跳到主要內容區塊

計資中心電子報C&INC E-paper

校務服務

臺大無線網路PEAP認證簡介
  • 卷期:v0006
  • 出版日期:2008-09-20

作者:曾保彰 / 臺灣大學計算機及資訊網路中心資訊網路組


只要申請計資中心的email帳號,即可暢遊臺大校園無線網路PEAP認證與網路電話,在此邀請全校師生踴躍申請臺大網路電話,同時也能享用安全的無線網路服務。

 

前言

為加強無線網路上網的安全性,計中於今年8月推出了無線網路PEAP認證,改善以往藉由瀏覽器認證的諸多弱點。為解決802.11無線區域網路以認證方式的問題,已有多家供應商在802.1X標準基礎上分別推出了自己的解決方案(如CISCO的LEAP及Microsoft的PEAP等)。因為本校大部份電腦安裝Microsoft Windows作業系統,故以PEAP方案作為認證的方式。
為避免多組記憶帳號密碼增加使用者的負擔,臺大校園無線網路PEAP認證與網路電話使用同一組帳號密碼。在此也邀請全校師生踴躍申請臺大網路電話,也可順道享用安全無線網路服務。


802.1X簡介

計中電子報第三期「無線網路安全」一文中曾提及臺大目前使用網路瀏覽器Web-based( Universal Access Method, UAM)認證方式的弱點。藉由採用802.1X的認證方式[1],將可有效提高無線網路使用上的安全性。
基於通訊埠(port)的網路存取標準802.1X是由IETF(Internet Engineering Task Force)可擴展認證協議(EAP,Extensible Authentication Protocol)發展而來的。電氣電子工程師協會(IEEE, Institute of Electrical and Electronics Engineers)推出該標準的目的是為區域網路基礎架構提供認證和授權的服務,並描述了認證及後續活動產生時的框架結構。它支援多種認證方法,如帳號密碼方式的EAP-MD5、傳輸層安全性的EAP-TLS及SIM卡認證的EAP-SIM等其它認證類型。

無論何種認證類型,802.1X規定在區域網路上的系統設備在存取控制交互時必須擔任以下角色之一(如圖一):

  1. 請求者(Supplicant):希望存取認證者系統提供服務的通訊埠,扮演請求者角色。一般來說,傳統的區域網路就是由個人電腦,在無線網路就是筆記本電腦或PDA等行動上網設備。

  2. 認證者(Authenticator):在允許存取可透過通訊埠存取的服務前,執行認證的通訊埠,扮演認證者角色,如邊界交換器(Edge Switch)來扮演或無線網路基地台(Access Point)等設備。

  3. 認證伺服器(Authentication Server):認證伺服器執行必要的認證功能以檢查請求者的身份,並向認證者指示該請求者是否獲得存取認證者服務的授權。以最簡單的EAP-MD5的認證方式,認證伺服器就必需有認證者的帳號及密碼系統。

Art editor Img

可擴展認證協議(EAP)如何運作呢?我們從[1]中取其中一個EAP-MD5 Challenge 認證機制,它是IEEE 802.1X 所有認證方式之中最簡易的方法,過程如圖二[1],實際的運作如下:

  1. 如果無線網路上有支援EAP-MD5服務的AP(Access Point),該AP會透過EAPOL 送出EAP-Packet,也就是EAP-Identity用來要求使用者確認身份。

  2. 使用者端程式收到EAP-Identity之後,就會先把身份認證的資料(帳號)送給AP與後端網路上的Radius Server,使用的通訊協定為Radius Protocol。

  3. 再來Radius Server會送出Access-Challenge給使用者

  4. 使用者端的程式收到後,就會把使用者的密碼經由Hash function處理後產生的結果,透過AP以Access-Request送回給Radius Server。

  5. 在Radius Server端收到這項要求後,就會根據自己所管理的使用者帳號,根據其密碼也同樣經過Hash function處理後,比對兩者是否一致。如果一致的話,就會送出Access-Accept的訊息給AP,如果兩者不同,表示該使用者的身份確認上有誤,就會送出Access-Reject給AP,成功的使用者就可以馬上使用網路;反之失敗就會對使用者送出EAPOL-Fail的訊息,此時使用者端的802.1X程式就會顯示出無法登入的訊息,並且要求使用者再次輸入正確的使用者帳號與密碼,便於進行下一次的登入嘗試。

Art editor Img

以上是EAP-MD5認證的流程,它與Web-based認證方式最大的差別就是密碼不會在空氣中暴露(會經過Hash function處理過),而Hash function最大的特色就是無法讓你還原原來的密碼。但在[2]這篇文獻中,EAP-MD5 已經被Mishra 及 Arbaugh兩位教授證明指出它仍只是單向認證的協定,會遭受到Man-in-the-Middle及Session-Hijack攻擊,所以本校不會採用這種認證方式。
 

臺大校園無線網路PEAP認證使用方式

Microsoft在推出Window XP以後,也推出PEAT(受保護的延伸驗證通訊協定Protected Extensible Authentication Protocol)認證,也是EAP的一種。它的認證過程也和圖二類似,最大的差別是在了使用數位憑證。認證的過程會被公開鑰匙加密法所保護,而私鑰只有Radius Server有,用以解開使用者的認證封包。藉由安全通道(Tunnel),增加其破解的難度以保護機密資料。

目前臺大校園無線網路在PEAP認證方式的SSID為 ntu_peap。使用者在使用前,必需下載安裝一個計中製作的數位憑證,詳細設定方法請參考http://ccnet.ntu.edu.tw/wireless2/wireless.html。ntu_peap也使用了WPA的加密法,可以有效保護使用者的上網內容不被第三人竊聽。要注意的是,這個加密法只有2003或2004年以後出廠的無線網卡才支援(因WPA實作的檢驗在2003年4月開始,於2003年11月變成強制性)。
 

結論

本文除了介紹了無線網路802.1X的認證方式,也希望能藉由這個方便又安全的認證方式(至少不必每次用無線網路時還要輸入帳號密碼)增加網路電話帳號密碼的另一用途,並讓師生在使用臺大校園無線網路上多一個選擇。
 

參考文獻

[1] IEEE Std 802.1X-2004, IEEE Standard for Local and metropolitan area networks - Port-Based Network Access Control
[2]A. Mishra and W. A. Arbaugh, “An Initial Security Analysis of the IEEE 802.1X Standard,” Department of Computer Science University of Maryland, Feb 6, 2002