1、Eduroam在中国科学技术大学的部署张焕杰 ()中国科大网络信息中心提纲无线网络信道安全Eduroam简介Eduroam的 radius认证过程Eduroam联盟加入步骤学校的 eduroam部署方案省级 eduroam部署方案讨论无线网络信道安全认证:无线 AP和无线终端识别对方的过程加密:无线 AP和无线终端之间通信的数据加密过程WEP open system,不加密,无任何安全手段WEP 共享密码加密,简单认证,会话过程中加密 key不变,容易被破解,不建议使用WPA 更好的加密,会话中 key一直在变化 个人模式 (Personal mode): 密码认证,使用 TKIP/MIC加密
2、 企业模式 (Enterprise mode): EAP认证,使用 TKIP/MIC加密 WPA2 最安全的模式,使用 AES加密,几乎不能被破解,推荐使用 个人模式 (Personal mode): 密码认证,使用 AES/CCMP加密 企业模式 (Enterprise mode): EAP认证,使用 AES/CCMP加密个人模式 /企业模式个人模式 (Personal mode): 无线 AP和无线终端设备,使用相同的密码认证家用和 soho站点使用很常见企业模式 (Enterprise mode): 无线 AP和无线终端设备使用 EAP认证,后台往往有radius协议的参与无线终端可以使
3、用用户名 /密码认证无线终端也可以使用个人证书认证我国使用用户名密码较常见国外使用个人证书也很常用802.1X认证 /WEB认证802.1X认证 在 WPA/WPA2企业模式下认证 用户提供的认证信息(如密码或个人证书)利用 EAP协议传输给后台的radius服务器进行认证 密码和个人证书等关键信息 离开用户的终端 后不使用明文传输,能提供最大程度的保密性 无线终端可选对无线 AP及后面的 radius服务器进行认证WEB/Portal认证 用户提供用户名和密码后认证 密码往往会提交给认证服务器 国外使用 802.1X认证较多,尤其是漫游认证时 我国使用 WEB/Portal认证较多,但漫游认
4、证有信任问题 试想:一个科大的用户到师大使用网络,师大的服务器弹出一个窗口让你输入科大的用户名和密码,该输入吗?是否能信任该服务器呢?EAP类型EAP是一个框架,很灵活,常用的有:EAP-TLS,主要用于证书认证EAP-TTLS,使用 TLS加密认证过程,后续使用 PAP认证,传送密码到后台,因此 后台可以存非明文密码PEAP,使用 TLS加密认证过程,细分为EAP-PEAP MSCHAPv2不传送明文密码到后台, 后台只能存明文密码或 NT hashEAP-PEAP MSCHAPv2使用最广泛,国外使用 EAP-TLS也比较多, EAP-TTLS PAP认证也有少量使用密码要求http:/
5、hash处理后加密传输, 永远不传输原文Eduroam简介Eduroam是一个无线漫游认证体系起源于欧洲被各大教育和科研机构广泛采用解决用户在教育和科研机构间漫游时的用户身份认证问题使用场景:一个科大的用户在国内外任何提供 eduroam服务网络中,在自己的设备上输入科大的用户名和密码,就可以通过身份验证并使用 wifi网络。同时确保:密码不会被泄漏无线信道加密eduroam联盟无线网络服务eduroam( Education Roaming, https:/www.eduroam.org/)是一种安全的全球学术网络 Wi-Fi漫游服务,目前已经覆盖全球七十多个国家和地区的大学及科研机构。 参与该联盟的机构只需在本单位设立 eduroam账户,用户即可使用原机构提供的合法账号,在全球已参与 eduroam联盟机构内实现无线网络访问的无障碍漫游。 中国科学院计算机网络信息中心负责管理 eduroam中国无线网漫游交换中心( http:/ 北京大学的服务器 (http:/)负责 认证域的转发。
