W LAN 运营有多种认证方式，但最常用的方式为弹出Portal 登录页面。即：用户搜索到运营商的AP 后，连接进去获得IP 地址，打开浏览器，输入账号和密码便可登录。

这种方式虽然简单方便，但由于AP 的接入没有采用WEP 和W PA2等加密方式，空中信道很容易被侦查破解，黑客能够截获空中传输的账号和密码。因此该方式安全性较低。

如何提高登录页面的安全性呢?据城市热点总结， 目前大部分W LAN 运营商采用以下几种方案：

1. Portal 服务器与BRAS 和Radius 服务器采用CHAP 的认证方式

2. HTTPS 的登录页面方式

3. 手机短信获得动态密码方式

下面城市热点将对这3 种方式进行论述与比较。

1. 方案1 的认证方式最为简单实用，也非常安全。其中Radius 标准提供了2 种可选的身份认证方法：口令验证协议PAP(Password Authentication Protocol，PAP) 和质询握手协议(Challenge Handshake Authentication Protocol，CHAP)。如果双方协商达成一致，也可以不使用任何身份认证方法。质询握手协议认证(CHAP)相比口令验证协议认证(PAP)安全性更高，因为CHAP 不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为“挑战字符串”。

与此同时，身份认证可以随时进行，包括在双方正常通信过程中。因此，这种方式下传输的密码具有时效性。

采用PAP 的认证方式，密码是明码或者采用可逆算法传输，而且可以通过查看登录页面的源代码查到加密的算法，因此可以很容易地找到破解的算法。而CHAP 采用MD 5的加密方式是不可逆的，算法是公开的，也就是说侦听者无法从加密后的结果去反算出密码，在整个认证过程中的只有Radius server 和用户知道密码，包括BRAS 等接入设备也只是传输MD 5 加密后的结果，加密采用一个挑战值的方式，每次认证都不一样，加密的结果也是每次不同，即使被黑客获得，也会在下一次认证时失效。

2. H ttps 的登录页面方式，安全性是最高的，因为动态SSL 的证书加密方式，目前无法破解，但是需要portal 服务器购买正式的网站证书，成本也比较高。

3. 目前移动运营商多数采用手机短信获得动态密码的方式，密码仅在10- 20 分钟有效，这种方式与CHAP 的安全机制有异曲同工之处，均采用限制密码的有效周期这一手段。该方法虽安全性高，但每次至少使用一条短信，成本也就随之升高，并且操作手段相对繁琐。

通过上述论证，城市热点认为这3 种方式彼此独立，互不矛盾，都是提高运营商认证安全的很好方法，也可混合使用。