校园无线漫游认证机制安全与8021xpeap-ttls环境建置-twaren.pdfVIP

校園無線漫遊認證機制安全與 802.1x PEAP/TTLS 環境建置 唐可忠 黃偉航 國家高速網路與計算中心 kevin@.tw ; a00whl00@.tw 蔡志宏 國立台灣大學電信工程學研究所 ztsai@.tw 摘要 管理者面臨更多的挑戰。 802.1x EAP-PEAP/TTLS 是兩種頗被看好的無 線認證機制 ，同時兼具線了方便使用與安全特 性 。EAP 屬於網路第二層的協定，因此也衍生了 IP 無法正確記錄的問題，PEAP/TTLS 的身份隱匿 機制更讓管理者難以去追查使用者身份，加上跨 校無線漫遊機制的建置，讓相關問題也更為複 雜。本文介紹跨校無線漫遊環境常見的無線網路 認證 環境 以及身份認證機制 的 比較 ，並且以 PEAP/TTLS 協定為主 ，介紹可能發生的問題以及 相關的處置方式 ，可作為各界在建置無線網路漫 遊認證環境時的參考。 圖 1 、跨校無線漫遊認證機制示意圖 關鍵詞 ：無線漫遊、802.1x 、PEAP/TTLS 、憑證 Abstract 2. 常見的校園無線認證架構 EA P-PEAP and EAP -TTLS are the most popular 目前在各個校園中最常見的無線網路認證方 TLS tunneled-based EAP authentication protocols in 式為 Web-based 網頁認證 ，少部分單位則採用 the 802.1x environment . Normally, PEAP/TTLS are 802. 1x[8] EA P-MD5 、EAP -PEAP(Protected EAP) [4] secure and convenient. But there is a big problem 及 TTLS (Tunneled TLS Authentication Protocol)[ 10] that the anonymous login capability supported by 認證方式 。大部分單位採用網頁認證的原因主要考 PEAP/TTLS may cause some accounting and log 量是方便使用 ，但這卻犧牲了無線網路的安全防 problem . The anonymous login capability may be a 護，讓大部分的使用者均暴露在危險的網路環境之 benefit of users but it ’s an obstacle t o administrators , 中。若要保障無線網路使用者的安全，目前最好的 especially in the cross - campuses WLAN roaming environment . This paper discusses th eses problems 機制莫過於 802.1x ，但是安全與方便通常是無法兼 and some practical solutions that may useful for 顧的 。本節將說明無線網路帳號密碼的驗證方式以 WLAN administrators . 及校園無線認證架構機制的特性比較。 Keywords ：WLAN, 802.1x, PEAP/TTLS, CA 2.1 密碼驗證方式 1. 前言 在更進一步說明各種認證機制前，我們必須先