ntuccepaper2019

作者：曾保彰 / 臺灣大學計算機及資訊網路中心資訊網路組技正

---

於2018年WPA3上市及2019年WiFi 6產品也跟著上市，目前市場上主流的無線網路基地台都支援這二樣協定，本文將提一些相關資訊，建議使用這兩個協定，並提供給大家參考。另外就校園無線網路，主要是使用NTU、ntu_peap及eduroam這三個無線網路名稱(SSID, Service Set Identifier)，師生在使用上有一些注意事項，這些注意事項計資中心也在設定說明網頁上說明，內容是加強一些資安議題，也供大家參考。

 

WPA3及WIFI 6簡介

無線網路安全最關心的議題有二個：分別是無線網路的使用認證及無線傳輸內容的保密。WPA就是無線網路安全使用的協定，而WPA3，簡單的說是第三代的WPA，而WPA（WiFi Protected Access），意即「WiFi存取保護」，是一種由WiFi聯盟制訂並發佈用來保護無線網路（WiFi）存取安全的技術標準。WiFi第一代是WEP（Wired Equivalent Privacy）,中文翻成”有線等效加密”，WEP因很快訧被破解（被發現嚴重的弱點），因此WiFi聯盟後續推出WPA、WPA2與WPA3系列來加強無線網路安全[1]。

    無線網路使用認證有分成家用的WPA-Personal或WPA-PSK (Pre-Shared Key)與企業用的WPA-Enterprise或WPA-802.1x，而企業用需要有另一台儲存無線使用者帳戶資料的認證伺服器。目前公開共同的協定為RADIUS (Remote Authentication Dial-In User Service)伺服器。到了第三代就稱為WPA3-Personal或WPA3-Enterprise, WPA3-Personal的設定方式與WEP相同，無線基地台與筆記型電腦必須設定相同的密碼(Pre-Shared Key)。WPA3最大的特點是對等實體同時驗證（Simultaneous Authentication of Equals，簡稱SAE）[2], SAE最大的好處:

1. 自由的密碼選擇：允許使用者選擇容易記住的密碼。
2. 容易使用：無需使用者多作網路的連接方式設定，就可提供更強的保護。
3. 保密傳輸資料的強度增加：即使在資料發出後密碼遭到洩漏，也可保護傳輸資料安全。

接著我們來介紹WIFI 6:電機電子工程師學會（IEEE）在製訂無線區域網路規格時，係採用IEEE 802.11編號，如:802.11b、802.11a、802.11g、802.11n、802.11ac及802.11ax，可是一般使用者很難看出那個規格比較快，之後就依發展的時程，就重新取名為WiFi 1、WiFi 2、WiFi 3、WiFi 4、WiFi 5及WiFi 6來對應上述的802.11規格。而WiFi 6即為IEEE 802.11ax，是目前速度最快的協定，同時也向下相容WiFi 1至5，通過相容性認證，產品就會有圖一的標章。而圖二可以看出WiFi 6比WiFi 5作了那一些改善。WiFi 6（IEEE 802.11ax）實體層（PHY）已超過１G，可有效解決熱點問題。

目前新上市的無線基地台都是以WiFi 6為主，同時也會看到支援WPA 3，當您採購及使用此類的產品，加密方式請改用更安全的WPA 3協定。

 

校園無線網路使用上注意事項

就校園無線網路，主要是使用NTU、ntu_peap及eduroam這三個無線網路名稱，師生在使用上的注意事項：若您的上網設備支援ntu_peap或eduroam，請用這兩個方式使用無線網路，因這兩個協定都是使用WPA2-ENTERPRISE，無線電波的訊號會加密，而NTU本身是不加密的無線網路，若您的設備只能使用NTU，建議您只好使用加密協定HTTPS上網（在CHROME會顯示安全性連線），尤其是在輸入帳號及密碼時更要小心，不但要注意安全連線，還要注意網址正不正確，若沒有安全連線或網址錯誤就有可能是釣魚網站。

PEAP是目前台灣大學在無線網路認證(ntu_peap及eduroam)使用的認證方式，它是網際網路標準（RFC 5247）定義的Extensible Authentication Protocol（縮寫為 EAP）的一種，在無線網路或點對點協議中普遍使用的認證框架之一。

 

如何確認是台大計中的無線網路服務?

因ntu_peap及eduroam非計中專用的無線網路名稱，任何人有無線基地台也可以設這二個名稱，但計資中心的這二個服務是必需透過認證才能使用的服務，所以為避免被有心人士假造ntu_peap及eduroam來騙取師生連線，進而竊取上網內容，其實有些方式可確認是台大計中的無線網路服務，再進行連線。

就像網頁的安全的連線（HTTPS），我們都是透過官方的憑證來確定是台大的網站，同樣PEAP也是透過官方的憑證來確認台大計中的服務，以WINDOWS 10為例，在設定ntu_peap連線時，務必＂顯示憑證詳細資料＂（如圖三），結果務必如圖四：內容是發給台大計中，網域是adfs.ntu.edu.tw，簽發者是TWCA等，資料正確才能連線（其中指紋因每年都會更新憑證而不同，正確可參考下列安全組態說明網址）;在設定ANDROID 11則如圖五。同樣在連eduroam時，網域是eduroam.ntu.edu.tw，簽發者是TWCA，資料正確才能連線。詳細安全組態說明可參考：

https://ccnet.ntu.edu.tw/wireless/ccnet/wireless.php?page=wireless

 

圖一　設備通過Wi-Fi 6標準的測試，即可在商品上這個標誌

 

圖二　WiFi5跟WiFi6的比較[3]

 

圖三　WINDOWS 10截圖一

 

　

圖四　WINDOWS 10截圖二

 

圖五　ANDROID ntu_peap截圖

 

結論

藉由WIFI 6及WPA3新協定的上市，配合本校逐步更新熱點之WIFI基地台至WIFI6，在速度變快的同時，使用者也注意一下無線網路的安全。

 

參考文獻

[1] https://zh.wikipedia.org/wiki/WPA

[2] https://www.wi-fi.org/zh-hant/discover-wi-fi/security

[3] https://www.arubanetworks.com/zh-hant/faq/what-is-wi-fi-6/