校园无线漫游认证机制安全与8021xpeap-ttls环境建置.pptVIP

跨校無線漫遊計畫簡介 計畫名稱 – 校園無線漫遊網路環境建置與安全升級計畫 計畫編號 - NSC 95-2219-E492-001 計畫時間 - 2006/02/01 ~ 2006/12/31 計畫目標 協助學校及縣市網單位建立公眾無線上網環境 與資策會漫遊中心進行認證交換，擴大服務範圍 與歐洲eduroam計畫合作國際無線漫遊認證服務 推動漫遊環境應用加值服務建置與研發 針對無線漫遊環境進行資訊安全相關研究 計畫網站 .tw 已完成漫遊建置之單位 漫遊認證環境架構圖 漫遊認證中心互連架構 跨校無線漫遊認證服務 近期服務項目 到訪其他學術研究單位時，可透過漫遊身份認證使用當地的無線網路或其他相關服務 未來發展服務 透過漫遊服務認證平台提供基礎身份驗證服務 遠距/跨校教學 跨校選課 VoIP 語音/影像電話 其他 常見的跨校無線漫遊認證方式 總計90連線單位 2 個單位採用 802.1x EAP-PEAP/TTLS及MD5 環境 清華大學、中華大學 2 個單位採用 802.1x PEAP與網頁認證並行的環境 大同大學、國防醫學院 其他個單位採用網頁認證或MAC位址認證(卡號) 認證網站或伺服器憑證使用情形 (尚未統計完全) 約有97%單位採用系統自建或預設憑證 約有3%單位採用校內自建憑證中心所發放之憑證 無線漫遊環境身份認證機制 網頁認證 使用網站伺服器憑證(Certificate)辨識合法認證網站 透過SSL加密保護使用者帳號密碼安全 採用PAP (Password Authentication Protocol)認證機制 802.1x認證 採CHAP或加密通道進行認證 EAP-MD5 (不安全，建議不採用) 採用CHAP (Challenge Handshake Authentication Protocol)認證 EAP-PEAP 採用 SSL加密通道 + MS-CHAP v2 認證 EAP-TTLS 採用 SSL加密通道 + PAP/CHAP/MS-CHAP/EAP 支援多種認證機制 PAP與CHAP認證機制之特性 PAP的特性 直接透過網路傳送使用者帳號及密碼到達認證伺服器進行認證 密碼將以明文形式在網路上傳送 能夠廣泛支援各式使用者帳號系統 密碼加密技術實作於認證伺服器上，與認證客戶端技術無關 CHAP的特性 使用者密碼將不會直接以明文方式透過網路傳送，較為安全 使用者採用單向雜湊(One-Way Hash)演算法計算出替代密碼的值 認證伺服器以同樣的方式計算出該值，比對是否與使用者傳來的相符 使用者帳號系統中的密碼必須以明碼儲存 亦即UNIX系統帳號將不適用於CHAP認證機制 較先進的認證機制均(應)支援CHAP，如802.1x EAP-系列 802.1x 漫遊認證相關名詞 Supplicant 指802.1x用戶端認證軟體 如PEAP認證軟體、TTLS認證軟體等 Authenticator 用來管制用戶的第一道關卡，能夠根據身份認證結果對用戶進行網路存取權限的控制 無線網路閘道器、開啟802.1x功能的AP Authentication Server 能夠存取使用者資料庫的認證伺服器，能夠真正進行使用者身份比對工作。 連結使用者資料庫的 RADIUS 系統 RADIUS Proxy Server 漫遊認證時，非原單位用戶的認證請求訊息，將透過RADIUS Proxy Server輾轉送到用戶帳號所屬的Authentication Server去認證 如漫遊伺服器、漫遊認證交換中心 適合校園的802.1x 認證機制 PEAP/TTLS 認證軟體 Windows內建認證軟體 僅支援PEAP認證機制 AlfaAriss Secure W2 僅支援TTLS認證機制 (eduroam計畫推薦軟體) WIRE1x 支援TLS/PEAP/TTLS/MD5等認證機制 Open1x 支援TLS/PEAP/TTLS/MD5等認證機制 Juniper Odyssey Access Client (商業軟體) 支援TLS/PEAP/TTLS/MD5等認證機制 PAP/PEAP/TTLS認證密碼傳輸 PEAP/TTLS 經由 TLS 通道傳輸使用者帳號及密碼，能夠避免中途被側錄 PEAP與TTLS認證機制 PEAP與TTLS均為秘密通道式的認證機制 使用者帳號與密碼均隱藏在秘密通道中傳送 Outer Identity 秘密通道的外包裝 Inner Identity 秘密通道內的真實身份資料 Outer 與 Inner Identity Outer Identity 的作用 標示EAP認證封包所屬用戶的帳號(User-Name)及領域名稱(realm) Outer Identity會加入EAP訊息的完整性計算，但不參與實際認證程序