整合跨校無線漫遊環境之 VPN 認證架構
楊詠淇 唐可忠 黃偉航 陳偉文
國家高速網路與計算中心
[email protected]
;
[email protected]
;
[email protected]
;
[email protected]
蔡志宏
國立台灣大學電信工程學研究所
[email protected]
摘要
許多無線網路的資料加密技術如 WEP、TKIP 等已被提出,但這些加密方式都是使用對稱式加 密,金鑰值必須讓溝通的雙方知道,所以增加了不 安全的因子。在跨校無線漫遊環境中,整合各校無 線網路的環境,讓各校師生可以漫遊於各校的無線 網路之間,若學校使用如 WEP 的安全加密機制, 為了服務所有漫遊的使用者,勢必需要公開 WEP 的金鑰值,這樣公開金鑰值就等於給了有心人士開 啟資料的鑰匙,破壞整個 WEP 的運作機制,喪失 資料安全防護的效果。本文針對無線網路資料傳輸 的安全問題及跨校無線漫遊環境使用資料加密機 制的問題,提出一個整合原有漫遊架構,且兼具無 線網路資料加密功能的 VPN 架構,提供跨校漫遊 使用者便利且安全的使用無線網路的環境。 關鍵詞 :無線網路(WLAN)、跨校無線漫遊、 RADIUS、 VPN。1. 前言
近年無線網路環境建置由於無線網路的使用 便利及部署容易成為許多校園、公眾區域、咖啡 廳、圖書館、機場、旅館飯店的重要建設之一。校 園無線網路的建置已行之多年,各校皆依循著無線 網路標準著手進行建置,更隨著標準的演進而不斷 升級,但各校所建置的無線網路環境都只能提供該 校師生使用,使得各校的無線網路環境像是一個個 相互分離的孤島,無法達到資源共享與互利互惠的 願景。校園間資源的共享與整合是近年所時常被提 及的議題,「校園無線漫遊機制整合實驗與推廣計 畫(I)* [10]」透過整合各校的無線網路環境,以單 一認證平台,提供各校師生在各校園的無線網路環 境中進行漫遊,達成各校無線網路環境共享的理 念。更期望透過此一基礎的整合平台,激發更多的 應用與服務。* 校園無線漫遊機制整合實驗與推廣計畫( I)為一國科會 計畫,計畫編號為 NSC-92-2219-E-492-001,計畫執行期 間為 92 年 11 月至 93 年 12 月。 由於校園無線漫遊認證整合平台的建立,使得 各 校 的 無 線 網 路 環 境 可 讓 更 多 其 他 學 校 師 生 使 用,同時也使得無線網路的管理與安全問題更加浮 現,無線網路的使用者該有哪些使用權限、無線網 路使用者非法行為的偵測與追蹤、無線網路資料傳 輸的隱密性、無線網路的效能與品質等,都是慢慢 受到重視的問題。本文將針對無線網路資料傳輸的 隱密性的問題及解決方案進行說明,並結合既有的 校園無線漫遊環境,提出一套兼具漫遊與資料傳輸 安全的整合架構,為已建置完成的校園無線漫遊環 境提升安全等級,讓使用者享有安全無虞的使用環 境。
2. 校園無線漫遊計畫簡介
校園無線漫遊機制整合實驗與推廣計畫( I)係 由行政院國家科學委員會所支持,並由電信國家型 科技計畫提供執行政策指導的計畫之一,旨在提供 建置校園無線漫遊架構,提供漫遊服務與技術諮 詢,並透過此架構整合各校資源,及挖掘新應用, 以蓬勃無線產業的發展。計畫去年度已於國家高速 網路與計算中心成立無線漫遊認證交換中心,協同 資訊工業策進會電子商務研究所進行校園無線區 域網路漫遊環境的建置與整合,並與資策會所建立 之漫遊中心進行漫遊認證交換,使雙方所建立的學 校均能夠相互使用該校的無線網路資源,以逐步擴 展建立全島的無線區域網路環境。 現階段已經加入無線漫遊服務的學校當中,大 部分都是使用 Web-based PAP 認證方式,僅有一成 學校使用 802.1x EAP-MD5/EAP-PEAP 方式認證, 因此各校使用者在大部分情況下只要需要透過網 頁瀏覽器便能夠進行漫遊認證作業。截至本文撰稿 時為止,全台灣總計有約 50 所大學院校加入這個 無線漫遊認證環境之中,估計可漫遊帳號數目達五 十萬筆以上。 校園無線漫遊機制整合實驗與推廣計畫(II) **為上述計畫的延續,除延續前期計畫漫遊環境的 建置維護與技術諮詢外,特別針對無線漫遊網路可** 校園無線漫遊機制整合實驗與推廣計畫(II)為一國科 會計畫,計畫編號為 NSC-94-2219-E-492-001,計畫執行 期間為 94 年 01 月至 95 年 01 月。
能出現的安全問題進行探討與解決方案的提出,其 中包括漫遊認證環境下的使用者監控機制及跨校 漫遊環境之 VPN 架構的提出等。本文依據該計畫 所獲成果,特別獨立介紹跨校漫遊環境之可行 VPN 架構,旨在提升原有跨校漫遊架構之安全性,加強 資料傳輸上的隱密性。以下將針對無線環境上資料 傳輸的安全問題、無線環境上使用的資料加密機制 進行介紹,以了解提出該架構所要解決的問題所 在,以及所整合的技術,並針對所提出的架構與認 證方式進行說明。
3. 無線環境資料傳輸問題與加密機制
無線網路由於以空氣介質取代了原有網路線 材的傳遞方式,雖然增加使用上的便利性,但也降 低資料傳輸上的安全性與隱密性。因傳輸的資料封 包在無線通道中暴露,只要有適當的設備(筆記型 電腦或 PDA 加上無線網路卡,配合 AiroPeek[7]、 AirMagent[6]、 Ethereal[8]、Sniffer Pro Wireless[9] 等軟體工具)就能夠輕易擷取到這些未加密的資 料、還原整個資料交換的過程、甚至於是金融交易 的帳戶密碼等。若是使用者不了解無線網路存在的 安全問題,便可能透過不安全的無線網路傳遞重要 且私密的個人訊息,進而遭受有心人士的擷取與濫 用。正因為無線網路上有這些資料可能遭竊的疑 慮 , 各 種 不 同 的 專 屬 於 無 線 網 路 ( WEP[11]、 TKIP[12]、 AES [12]等 ) 或 是 套 用 原 有 有 線 網 路 (PPTP[3][4]、L2TP/IPSec[1][4]等 VPN 機制)所使 用的加密機制也應孕而生。以下將介紹無線網路上 資料傳輸的問題與常見的資料加密機制。3.1 資料傳輸問題
無線網路的傳輸是使用共用介質-空氣來傳輸 的,而且 IEEE 802.11 的傳輸協定是將傳送的封包 廣播到空氣中,再由該要接收的對象自行接收,也 就是說只要你能夠假扮成有權接收的對象,也能夠 收到傳遞給別人的資料封包。正因無線網路的協定 上的特徵,使得無線網路在使用上有著資料被竊取 的潛在危機,圖 1 為使用 AiroPeek 擷取無線網路 傳輸資料,圖中所擷取的是有人正使用 TELNET 協 定在傳送資料,這邊可以清楚的看到傳送了 1、2、 3、4、5 的字元。由於 TELNET 協定並未有任何資 料加密機制的存在,故 以此為例,倘若今天您透過 無線網路進行網路金融交易,且未注意到該交易未 透過 SSL 等機制的加密,那麼您的交易資料就很有 可能被有心人士利用相關的工具擷取,造成您日後 更大的損失。 圖 1 以 AiroPeek 擷取無線網路傳輸資料 在無線網路中,除了透過上述以無線封包擷取 與分析工具( Wireless Sniffer)直接由空氣中竊取 資料外,另外還有透過裝設非法無線存取點(Rogue AP)的方式來竊取資料,讓使用者在不經意的情況 下,連上 Rogue AP 然後開始傳送資料,在連上 Rogue AP 的那一刻開始,使用者的一舉一動,都會 被 Rogue AP 所擷取,除非使用者使用其他的加密 機制(例如: PPTP、IPSec、SSL 等)。Rogue AP 竊取資料的情境如圖 2 所示,使用者可能因為有 心人士使用干擾器影響正常 AP 訊號,或使用者不 慎選取,而與 Rogue AP 建立連線,接著使用者所 有未加密的資料,都會被 Rogue AP 所擷取,然後 交由後端的分析器進行有用資訊的過濾。Rogue AP 也能與一般的網路接取,讓使用者連上後的感覺與 連接正常 AP 相同,而放心的使用無線網路,殊不 知所有的傳送資料都已經被竊取。 圖 2 Rogue AP 運作與竊取資料3.2 資料加密機制
針對上述在無線網路上傳輸資料可能遇到的 問題,從無線網路協定制定之初至今都不斷的有新的解決方案提出,有些已經被發覺有漏洞,可以被 輕易的破解,有些是新提出的標準,有些則是沿用 有線網路上行之多年的方法,下面將簡單介紹幾種 應用在無線網路上的加密機制。
1. WEP ( Wired Equivalent Privacy): 在 IEEE 802.11 無線網路協定制定的初期,就已經納入 協定標準之中,顧名思義, WEP 就是要讓無 線網路擁有與有線網路相同的隱密性。使用 RC4 演算法做為加密的核心,採用對稱式加 密方式,加解密雙方都需要有共用的金鑰。一 旦傳送方的 AP 啟用 WEP 的功能,所有與其 連線的設備也都需要開啟 WEP 的功能,並使 用相同的金鑰值,如此使用者送出資料時,就 會透過 WEP 的方式以該金鑰值將資料封包加 密,當 AP 收到資料時,也以相同的金鑰值去 將資料解密,然後再往上傳送,如此便能保證 資料在傳輸的過程中不會以明文( plaintext ) 的方式存在,即使被擷取也不能夠知道其中的 內容。不過 WEP 已被發現在某些狀況下能夠 被破解,所以 IEEE 802.11 的工作小組也著手 進行新標準的制定,彌補 WEP 的缺失。 2. TKIP(Temporal Key Integrity Protocol):是針
對 WEP 所用的演算法進行部份修改的過渡方 案 。 由 於 WEP 被 破 解 的 問 題 在 於 IV (Initialization Vector)在封包量大的時候會產 生重複數值,所以 TKIP 便將 IV 由原來的 24bits 擴展到 48bits,讓數值即使再封包量大 的時候,也不會有重複產生的狀況,另一方面 也增加金鑰值的長度,大幅增加了安全性,以 及破解的難度。
3. AES(Advanced Encryption Standard):下一代 無線網路的加密標準,已經納入 802.11i 的標 準之中,提供較 WEP 與 TKIP 更強大的加密 機制,由於 AES 的技術需要搭配新硬體的運 算,並非升級韌體就能夠支援,所以目前尚在 起步階段。
4. PPTP(Point-to-Point Tunneling Protocol):定 義於 RFC2637 的網路通道協定,是以 PPP (Point-to-Point Protocol)為基礎,且支援多 重封裝協定、認證方式、與加密方式的 VPN 技術。使用 client/server 架構,成本低建置容 易,且 Microsoft 的作業系統內建支援。PPTP 支 援 使 用 RC4 演 算 法 的 MPPE( Microsoft Point-to-Point Encryption) 128bits 的加密方 式,可以使用內部或外部的認證伺服器進行認 證。建立 PPTP VPN 連線只需要伺服器位址、 簡單的加密參數、使用者帳號與密碼,就能夠 建立連線。所以企業常選用來建立 VPN 機 制,也常用於無線網路上。
5. L2TP/IPSec ( Layer2 Tunneling Protocol/IP Security):透過 L2TP 建立網路連線與通道管
理並結合 IPSec 加密技術的 VPN 機制。由於 使用 IPSec 的加密方式,其支援 Pre-shared Key 與 IKE 的方式來建立安全通道,保障使用者 使用 L2TP 送出帳號密碼時資料的保密或是用 憑證方式溝通,較 PPTP 來的更加安全,不過 也比較複雜。
4. 跨校無線漫遊 VPN 架構
在上節已經說明透過無線網路傳遞資料所可 能產生的資料遭竊問題,也說明了目前常用來解決 該問題的幾種加密機制。接下來,我們將介紹使用 這幾種機制在跨校漫遊無線網路環境上的問題所 在,並說明我們所提出的 VPN 漫遊架構,以及預 計的推廣進程。4.1 跨校無線漫遊安全機制之問題
在無線網路上最常也最基本用來做為安全機 制的就是 WEP,由於 WEP 使用對稱式加密方式, 收送雙方必須知道所使用的金鑰值,才能進行傳 輸,一般適用於較小型公司或家庭,能夠對於金鑰 的管理有所掌控才適合使用。在跨校無線漫遊的環 境當中,無線網路的使用環境是遍佈全國各大專院 校,無線網路的使用者亦是來自於全國各大專院校 的師生,若使用 WEP 加密方式,金鑰值勢必公告 給所有使用者知道,一旦金鑰值公開,使用者雖然 能夠透過加密方式與各校的無線網路存取點傳輸 資料,但由於金鑰值的公開,任何人也都能夠輕易 的使用該值透過工具解開密文(ciphertext ),這樣 與沒有使用 WEP 加密的環境就幾乎沒有什麼不同。 在校園無線漫遊機制整合實驗與推廣計畫(I) 所 建 置 完 成 的 學 校 中 , 不 到 一 成 使 用 802.1x (EAP-MD5/EAP-PEAP),且皆未使用任何 VPN 加 密機制來輔助無線網路資料傳輸上的加密,所以除 了極少數使用 802.1x PEAP 的學校使用動態 WEP 加密外,幾乎是不設防。 我們建議學校除了使用 WEP 或 802.1x 架構所 提供資料鏈結層(Data Link Layer)的安全保護機 制外,因其目前的安全強度略嫌不足,所以可以再 透 過 網 路 層 ( Network Layer) 的 安 全 保 護 機 制 (PPTP、L2TP/IPSec VPN)來加強無線網路的安全 等級。 若學校在跨校無線漫遊環境中想採用 VPN 加 密機制輔助進行無線網路端資料傳輸的加密,則必 須考量漫遊使用者的認證問題。使用 VPN 機制時 需 要 進 行 身 分 驗 證 的 過 程 , 認 證 伺 服 器 可 能 是 RADIUS 伺服器配合 Unix 系統帳號或配合 LDAP 系統。透過 RADIUS 的功能,雖然可以輕易的將各 校的帳號串聯起來,然後供漫遊使用者使用 VPN 認證,但由於多數的 VPN 系統所支援的認證方式 為 Challenge-based(例如:CHAP、MS-CHAP 等),可能造漫遊使用者無法認證。 Challenge-based 認證 溝通方式的好處在於認證過程不需直接傳遞密碼 等敏感資料,但缺點是帳號伺服器上所傳放的帳號 必須是未經編碼或加密的資料格式。這樣的限制就 會讓許多透過 Unix 系統存放帳號資訊的學校無法 進行認證(原因是 Unix系統使用 One-way Hash 的 編碼方式,並非存放未編碼或加密的資料,所以在 進行 Challenge-based 認證時會失敗)。 由於跨校無線漫遊環境使用 WEP 等資料鏈結 層的安全保護機制有其困難,所以建議搭配使用 VPN 的網路層安全保護機制,但又由於認證溝通方 式與帳號系統間認證上的問題(帳號無法漫遊), 所以在跨校無線漫遊環境上使用 VPN 還有需要克 服的地方。以下將先介紹目前已建置於 50 所大專 院校的無線漫遊架構,然後再介紹我們將 VPN 機 制套用於該架構上,解決帳號無法漫遊問題所提出 的新架構。
4.2 我國校園無線漫遊架構
我國校園無線漫遊架構 [2][5]是以 RADIUS 為 基礎所建構而成的,其中最主要的技術為 RADIUS 與後端帳號系統整合技術及 RADIUS PROXY 技 術,透過各校的 RADIUS 伺服器(認證伺服器)與 校內師生帳號系統整合,再經由 RADIUS PROXY 技術將師生帳號資訊進行跨校際的傳送,以完成本 計畫的無線漫遊架構。圖 3 為無線漫遊架構示意 圖,主要可分為所屬學校、漫遊學校、及漫遊認證 中心三大部分,其運作方式如下:當使用者漫遊至 其他學校使用無線網路時,需要使用所屬學校發放 且具有可識別 Domain 之帳號(最常見之帳號,如 師生之 Email 位址)來登入認證系統,系統在收到 使用者的認證資訊後,會交由後端校內的認證伺服 器,依據所屬 Domain 來進行使用者身份的識別, 若發現帳號之 Domain 為當地所屬,便由當地的認 證系統進行認證;若帳號所屬之 Domain 為其他單 位所有,則使用者認證資訊將交由建置於各校的漫 遊伺服器處理,透過 RADIUS PROXY 功能,將認 證資訊轉交給漫遊中心伺服器,再將帳號交由所屬 學校之認證伺服器進行身分比對,然後依據認證伺 服器回傳結果,通知該無線閘道器進行網路存取權 限的控管。 圖 3 我國校園無線漫遊架構示意圖4.3 無線漫遊 VPN 架構
以 下 介 紹 我 們 如 何 在 原 有 的 無 線 漫 遊 架 構 上,搭配建置 VPN 加密機制,且克服先前所提到 VPN 認證溝通方式無法支援漫遊的問題。 首先先說明在整合無線漫遊 VPN 架構下的使 用情境。假設 A 校學生 Kevin 漫遊到 B 校使用無線 網路(假設 A 校與 B 校都是使用 Web-based PAP 認 證),Kevin 到 B 校後,開啟筆記型電腦與無線區域 網路,連接上 B 校的無線網路,然後開啟瀏覽器任 意連結一個網址,看到登入無線網路認證的網頁, 在帳號與密碼處輸入原來學校的帳號密碼(例如: Kevin@school_B.edu.tw),然後無線網路的連線即可 開通(以上動作為基本無線漫遊動作);接著連上 漫遊中心 VPN 帳號申請網站,同樣輸入之前所輸 入的帳號進行身分驗證取得 VPN 帳號與密碼(帳 號為 Kevin@school_B.edu.tw@VPN,密碼為隨機亂 數),然後依據網頁的提示,透過筆記型電腦上安 裝的 VPN 撥接軟體進行 VPN 連線即可(亦可事先 下載本計畫所開發的 VPN 撥接軟體***,然後在通 過身分驗證後,只需要點選下載連線即可自動完成 VPN 連線建立)。 以下介紹作者依據上述情境,整合既有的無線 漫遊環境所提出的「無線漫遊 VPN 架構」(如圖 4)。首先介紹 VPN 架構中的五項重要組成元件: 圖 4 無線漫遊 VPN 架構示意圖 1. VPN 撥接軟體:建立 VPN 連線必備的工具, 目前我們暫時設定以 Windows 為的作業平 台,所以 VPN 撥接軟體為 Windows 系統內 建,其支援 PPTP 與 L2TP/IPSec 兩種,至於 使用哪一種端看漫遊學校所使用的 VPN 型態 而定,這些資訊與所需設定之參數會在使用者*** 本計畫為便利使用者使用此 VPN 架構,特別開發搭配 該架構使用之 VPN 撥接軟體(WVPNDialer),目前僅開 發 Windows 平台之 PPTP VPN 撥接,日後將會增加 L2TP/IPSec 與不同平台之 VPN 撥接軟體。由於目前該架 構尚未正式服務,故此軟體尚未開放下載。待服務啟動, 將於本計畫網頁http://wlanrc.nchc.org.tw上進行公告。
身份確認後,由漫遊中心連同提供 VPN 撥接 帳號密碼一起提供,然後再自行設定到 VPN 撥接軟體上進行撥接。(若使用本計畫所開發 之 VPN 撥接軟體,則會由軟體自行判斷)。 2. 無線網路閘道器(內建 VPN 伺服器):用來控 管無線網路的使用權限,許多目前已加入漫遊 架構的學校所使用的無線網路閘道器都內建 VPN 伺服器(PPTP 或 L2TP/IPSec 或兩者都 支援,且支援 RADIUS 認證機制)。這邊就是 利用無線閘道器的 VPN 伺服器功能來提供 VPN 運作的。若無線閘道器不支援任何 VPN 伺服器功能,也可使用其他獨立運作的 VPN 伺服器,但要注意該 VPN 伺服器必須僅供無 線漫遊使用,若必須與其他 VPN 服務一同使 用,請務必將使用權限劃分清楚。 3. 漫遊中心伺服器(支援辨識 VPN 帳號):在無 線漫遊架構中,漫遊中心伺服器的角色是負責 Proxy 來自各校的認證訊息,依據帳號所屬的 Domain 轉送到對應的伺服器進行認證。在無 線漫遊 VPN 架構中,我們沿用原架構中的漫 遊中心伺服器,新增其對 VPN 帳號( @VPN) 的判別能力。當遇到來自各校的 VPN 帳號 時,能夠正確的轉送到漫遊中心 VPN 帳號伺 服器進行認證。 4. 漫 遊 中 心 VPN 帳 務 處 理 伺 服 器 : 主 體 為 RADIUS 伺服器,處理所有 VPN 認證帳號的 認證工作,此處存在所有動態配置的 VPN 帳 號密碼,並且以未加密且未編碼方式存放(支 援 Challenge-based 認證方式)。為了讓密碼遭 竊的機率降到最低,除啟動伺服器本身的防火 牆功能及與互連伺服器間 VPN 通道的建立 外 , 針 對 帳 號 密 碼 的 控 制 部 分 , 我 們 採 用 One-Time Password,只有使用者要求時候才 動態產生,且在使用者完成 VPN 撥接連線後 自動刪除,若使用者未使用該帳號,也會在固 定的時間內自動刪除,以增加架構的安全性。 5. 漫遊中心 VPN 帳號申請網站:提供固定網址 讓使用者連線申請 VPN 帳號,網頁將提供各 種平台 VPN 撥接的說明與使用指引(目前僅 提供 Windows 平台)。另外亦提供 VPN 帳號 的申請與使用紀錄及 Accounting 資訊,提供 管理者查詢,輔助錯誤與異常狀況的追蹤。整 個 VPN 帳號申請網站都支援 SSL 加密機制加 密機制,保證在尚未使用 VPN 加密機制前, 在網頁上所輸入的資料不會外洩。 有了之前說明的使用情境與五項重要組成元 件的介紹後 ,接下來就來說明整個無線漫遊 VPN 架構的運作方式。整體的運作方式可分為兩部分, 第一部分為「漫遊身分驗證與 VPN 帳號資訊取得」 (如圖 5),第二部分為「VPN 撥接身分驗證與連 線建立」(如圖 6)。 圖 5 漫遊身分驗證與 VPN 帳號資訊取得 漫遊身分驗證與 VPN 帳號資訊取得程序則依以下 步驟。 1. 首先使用者在通過無線漫遊取得無線網路使 用權後,立刻連結至漫遊中心 VPN 帳號申請 網站,進行 VPN 帳號的申請,在網頁上需輸 入自己的帳號與密碼(與開通漫遊網路之帳號 密碼相同)。 2. 系統會依據此組帳號密碼發出 RADIUS 認證 訊息,透過漫遊中心伺服器轉送至對應學校的 漫遊伺服器,再轉送到該校的認證伺服器進行 使用者身分的確認。 3. 在確認使用者的為合法的漫遊使用者後,便會 通知漫遊中心 VPN 帳務處理伺服器,產生供 該使用者撥接 VPN 的帳號密碼(帳號以@VPN 結尾),以及其他系統對該帳號的控制資訊。 4. 使用者便會從網頁上得到所有撥接 VPN 網路 的相關資訊。 圖 6 VPN 撥接身分驗證與連線建立 VPN 撥接身分驗證與連線建立,則依以下程序。 1. 使用者使用 VPN 撥接軟體,將先前所得到的 VPN 撥接資訊設定至軟體中,然後開始進行 VPN 撥接。 2. 當無線閘道器上的 VPN 伺服器接收到 VPN客 戶端的連線建立訊息後,便開始驗證使用者身
份。VPN 伺服器會使用 RADIUS 訊息將認證 請求送出到漫遊伺服器,漫遊伺服器將該訊息 轉送到漫遊中心伺服器,漫遊中心伺服器依據 帳號所屬的 Domain(@VPN),將該認證請求 轉送到漫遊中心 VPN 帳務處理伺服器進行認 證。通過認證後,使用者即可完成 VPN 連線 的建立。 3. 當認證完成後,漫遊中心 VPN 帳務處理伺服 器基於 One-Time Password 的使用原則,會將 帳號立即刪除。若該帳號於一定時間內未被使 用,也會自動刪除。
4.4 推廣進程
由於該架構目前尚未開始進行建置與部署,但 已經通過可行性的測試與完成相關系統的開發,預 計七月下旬開始進行各校無線閘道器功能的調查 與評估,以及各校參與服務測試意願,八月開始進 行服務的建置與開通,並陸續針對服務試用單位與 使用者的建議進行架構的調整、服務的改進以及工 具的開發。期望透過本計畫的努力,提供無線漫遊 使用者一個兼具安全與便利的使用環境。5. 結論
本文所提出之整合跨校無線漫遊環境之 VPN 認證架構,旨在提供使用者安全的無線網路使用環 境,並同時克服 VPN 認證在跨校使用時所產生的 問題。所提出的架構,建置於原有的跨校無線漫遊 環境之上,透過 RADIUS、VPN、One-Time Password 等機制的輔助,完成架構的建置。雖然目前尚未正 式提供服務,但在測試的過程中,已證明其可行及 可用性,未來將會以建置國家高速網路與計算中心 做為示範點進行推廣,透過使用者的建議逐步來加 強架構上的缺失,與未盡詳實考量之處。期望透過 此架構的提出,補強無線網路在使用上的安全疑 慮,甚至觸發更多安全架構的提出,提供更加完善 的跨校無線漫遊服務。6. 參考文獻
[1] B. Patel, B. Adoba, W. Dixon, G. Zorn, S. Booth, “Securing L2TP using IPSec”, RFC3193, November 2001.
[2] C. H. Ku, Y. C. Yang, and Z. H. Tsai, “An experimental environment for cross campus WLAN roaming”, Journal of Internet Technology, Vol. 4, No. 2, pp.85-89, 2003. [3] K. Hamzeh, G. Pall, W. Verthein, J. Taarud, W.
Little, G. Zorn, “Point-to-Point Tunneling Protocol”, RFC2637, July 1999.
[4] Plant3 Wireless, “CWSP Certified Wireless Security Professional Official Study Guide”,
McGraw-Hill, June 2003.
[5] 楊 詠 淇 , 唐 可 忠 , 黃偉航 , 陳 偉 文 , 蔡 志 宏 , “校園無線區域網路漫遊環境與其網路電話應 用”, 2004 Taiwan Area Network Conference, Taitung, Taiwan, R.O.C, pp.1262-1267, October 27-29, 2004.
[6] AirMagnet, http://www.airmagnet.com
[7] AiroPeek, http://www.wildpackets.com. [8] Ethereal, http://www.ethereal.com
[9] Sniffer Pro, http://www.networkassociates.com
[10] 校 園 無 線 漫 遊 整 合 機 制 與 推 廣 計 畫 網 站 ,
http://wlanrc.nchc.org.tw.
[11] IEEE Standard 802.11-1999, 1999. [12] IEEE Standard 802.11i-2004, 2004.
