以憑證中心機制強化跨校無線漫遊認證環境安全 kevin@nchc.org.tw ; a00whl00@nchc.org.tw 主講人 : 唐可忠 唐可忠 黃偉航 國家高速網路與計算中心 kevin@nchc.org.tw ; a00whl00@nchc.org.tw 蔡志宏 國立台灣大學電信工程學研究所 ztsai@cc.ee.ntu.edu.tw

跨校無線漫遊計畫簡介 計畫目標 計畫名稱 – 校園無線漫遊網路環境建置與安全升級計畫 計畫編號 - NSC 95-2219-E492-001 計畫時間 - 2006/02/01 ~ 2006/12/31 計畫目標 協助學校及縣市網單位建立公眾無線上網環境 與資策會漫遊中心進行認證交換，擴大服務範圍 與歐洲eduroam計畫合作國際無線漫遊認證服務 推動漫遊環境應用加值服務建置與研發 針對無線漫遊環境進行資訊安全相關研究 計畫網站 http://wlanrc.nchc.org.tw

已完成漫遊建置之單位 本計畫建置 ( 計 42 個單位) 資策會建置 ( 計 48 個單位) 國網中心 銘傳大學 靜宜大學 大葉大學 世新大學 暨南大學 元智大學 中央大學 成功大學 台東大學 東華大學 文化大學 嶺東科技大學 修平技術學院 龍華科技大學 中興大學 輔英科技大學 中華大學 新竹教育大學 台北大學 德明技術學院 大同大學 明道管理學院 聖約翰科技大學 景文技術學院 元培技術學院 東海大學 明新科技大學 中州技術學院 屏東商業技術學院 實踐大學 金門技術學院 東南技術學院 亞洲大學 弘光科技大學 國防醫學院 海山高工 高雄縣教育網路 致理技術學院 屏東教育大學 華夏技術學院 工業技術研究院 台灣大學 政治大學 交通大學 清華大學 台灣科技大學 雲林科技大學 高雄大學 陽明大學 淡江大學 台北醫學大學 逢甲大學 義守大學 台灣師範大學 宜蘭大學 海洋大學 高雄第一科大 中正大學 東吳大學 吳鳳技術學院 聯合大學 萬能科技大學 台南大學 華梵大學 北台技術學院 高雄醫學大學 中山大學 東方技術學院 高雄師範大學 嘉南藥理科大 台北商業技術學院 高雄海洋科大 開南大學 亞東技術學院 輔仁大學 中國海事商業專科學校 松山工農 松山家商 大理高中 台北市教育局 宜蘭縣教育網路 教育部電算中心 SIP/ENUM Trial 台北護理學院 育達商業技術學院 朝陽科技大學 樹德科技大學 屏東科技大學 台中技術學院 統計日期: 2006年10月30日 本計畫建置 ( 計 42 個單位) 資策會建置 ( 計 48 個單位)

漫遊認證環境架構圖

漫遊認證中心互連架構 eduroam 國際漫遊 台灣學術研究校際漫遊 跨校漫遊上網點 90+ eduroam 上網點 400+

跨校無線漫遊認證服務 近期服務項目 到訪其他學術研究單位時，可透過漫遊身份認證使用當地的無線網路或其他相關服務 未來發展服務 透過漫遊服務認證平台提供基礎身份驗證服務 遠距/跨校教學 跨校選課 VoIP 語音/影像電話 其他

常見的跨校無線漫遊認證方式 總計90連線單位 2 個單位採用 802.1x EAP-PEAP/TTLS及MD5 環境 清華大學、中華大學 2 個單位採用 802.1x PEAP與網頁認證並行的環境 大同大學、國防醫學院 其他個單位採用網頁認證或MAC位址認證(卡號) 認證網站或伺服器憑證使用情形 (尚未統計完全) 約有97%單位採用系統自建或預設憑證 約有3%單位採用校內自建憑證中心所發放之憑證

無線網路網頁認證的安全性 優點 建置容易，使用方便 缺點 使用者存取未經加密的網路服務時，容易被竊聽資料。 假冒SSID，引誘使用者連線並竊取資料。 假冒認證網頁，降低使用者的戒心，騙取使用者帳號。 假冒認證網站SSL憑證，讓使用者不小心誤信錯誤憑證，並誘使輸入個人帳號及密碼。

無線網路網頁認證流程

可疑的網站憑證提示訊息

無線漫遊使用者辨識憑證流程 無憑證觀念的使用者 馬上選擇永久信任憑證或暫時信任憑證 稍具憑證觀念的使用者 檢查憑證，並檢視憑證的發行單位，有效期限等資訊 瞭解憑證小心翼翼的使用者 行前早已經安裝該漫遊地區的憑證，只有憑證出問題時才會有憑證提示訊息 直接拒絕信任該憑證 具有豐富憑證觀念的使用者 詳細檢查憑證上所列出的訊息，並核對憑證指紋碼 與當地管理者求證是否憑證已經更換 無法求證的憑證訊息，一律不信任

冒名頂替的伺服器憑證 真的 假的

PKI公開金鑰基礎建設 PKI - Public Key Infrastructure 憑證註冊中心(Registration Authority)受理並審核憑證申請 憑證管理中心(Certificate Authority)發放並管理憑證時效 每個用戶都擁有個人憑證 用戶對用戶間的交易行為，均透過憑證來確保資料內容的完整性(Message Integrity)與不可否認性(Non-Repudiation) 簡而言之憑證機制能夠讓人容易去辨識伺服器或交易對象的真實性，因為憑證很難被假造 憑證的假造就像是假酒一樣，外觀看起來是一樣的，但是內容物(Public Key)一聞就是假的

數位憑證簡介 數位憑證(Digital Certificate)是一種透過第三方公正單位(憑證中心，CA)來證明自己身份的一種方式。 網路伺服器可以透過伺服器憑證，向使用者表明自己確實是真正非假冒的伺服器。 交易的雙方，使用者可透過個人憑證證明自己確實是交易者自身，而非冒名頂替。 正確的使用及檢視憑證資料，除了能夠確保資料安全，也能夠避免中間人攻擊。 目前廣被採用的數位憑證標準為 ITU-X.509

數位憑證的應用

X.509數位憑證簡介 X.509憑證組成內容包括 可供識別的資訊 (Information) 公開金鑰 (Public Key) 例如伺服器位址、持證單位名稱、發證單位名稱、有效期限等容易識別的資訊 憑證指紋碼 (fingerprints) 公開金鑰 (Public Key) 存放於公開憑證中，可用來加密資料，並確保只有該公開憑證的原始擁有者能夠開啟 私密金鑰 (Private Key) 用來開啟被公開金鑰加密過的資料 簽署資料，他人可用公開憑證檢驗簽章是否正確

無線漫遊憑證中心機制構想 服務項目 伺服器憑證的審核、發放及撤銷 伺服器憑證安裝指引服務 服務對象 提供跨校無線漫遊上網的單位 無線網路閘道器上的認證網頁憑證 自行建置的無線網路網頁認證伺服器憑證 支援802.1x之RADIUS上的伺服器憑證

無線漫遊憑證機制建議架構

無線漫遊憑證中心建議架構 Root CA (根憑證中心)可為以下機構 商業根憑證中心 自行建置根憑證中心 VeriSign, CyberTrust, GeoTrust , Thawte… 申請成為上述根憑證中心的中繼憑證中心 優點: 全球信任 自行建置根憑證中心 自行建置中繼憑證中心，並發放無線漫遊憑證 優點: 成本低廉

憑證申請流程 1) 申請者產生私密憑證 2) 申請者填寫憑證申請書 3) 將申請書 e-mail交付註冊中心審查 4) 審核使用者憑證申請資料 5) CA 進行憑證製作 6) 透過e-mail 寄回使用者專屬憑證 7) 用戶安裝或發佈公開憑證

憑證製作工具 OpenSSL OpenSSL 是一套實作SSL v2/v3以及TLS v1的開放原始碼軟體，可運作於各種UNIX、UNIX-like作業系統下 http://www.openssl.org Win32 OpenSSL OpenSSL 的 Windows 移植版本 http://www.slproweb.com/products/Win32OpenSSL.html

步驟一、製作私密憑證 #1 產生私密金鑰 openssl genrsa 4096 > my_cert.key.pem 4096 代表產生4096 bits長度之私密金鑰，理論上長度越長越難被暴力破解，但相對的加解密時間也會較長 限制私密金鑰檔案存取權限 chmod 400 my_cert.key.pem 在UNIX或UNIX-Like環境之下可用chmod指令設定存取權限 Windows系統則必須自行妥善保護私密憑證

步驟一、製作私密憑證 #2 私密憑證不一定要自己產生 可透過另一部方便操作的電腦，產生私密憑證後再送到伺服器上 透過 FTP、E-MAIL、磁片、隨身碟等各種資料傳輸管道 BASE64編碼的私密憑證，亦可透過SSH連線以文字剪貼的方式儲存到伺服器上 可以委託他人或憑證中心代為製作私密憑證 有私密憑證被側錄或遺失的風險 最好的方式就是在將要使用憑證的伺服器上，當場製作 在網頁伺服器上安裝OpenSSL，並產生私密憑證

步驟二、製作憑證申請書 產生憑證申請書 openssl req -new -key my_cert.key.pem > csr.pem 填寫憑證申請書 (此為範例，實際規格必須視憑證中心的規定而定) Country Name - TW Province Name - Taiwan Organization Name 漫遊單位英文全名，如 National Center for High-performance Computing Unit Name 憑證使用單位英文名稱，如 NCHC Computer Center Common Name (重要欄位，也就是使用者看到的伺服器名稱) 伺服器名稱(Domain Name)或IP位址 Email Address 憑證擁有者的電子郵件位址

步驟三、提交憑證申請書 將產生出來的 csr.pem 透過 e-mail 或其他管道送交憑證中心審核，靜待憑證審核及發放 CSR CSR = Certificate Signing Request, 憑證簽章要求, 憑證申請書

步驟四、數位憑證安裝及上線 1-首先確認手上的憑證是否齊全 (1)伺服器所屬的私密憑證 Private Key (2)憑證中心核發給伺服器的公開憑證 Public Key (3)憑證中心的根憑證及中繼憑證 Public Key 核發公開憑證時會一併提供或直接向憑證中心索取或下載 2-將以上憑證安裝至伺服器上 各種伺服器的憑證安裝步驟可能都不相同 參考各伺服器的操作手冊 3-對外廣泛公布自己的公開憑證

漫遊憑證使用實例 漫遊使用者行前下載並安裝「無線漫遊憑證」於行動裝置中(僅需一次) 到達無線漫遊上網地點，進行身份認證程序 + =

漫遊憑證使用實例 在漫遊上網地點上網，已經安裝漫遊憑證，卻出現憑證警告訊息 這個憑證必定為假造的憑證

漫遊憑證使用123 2. 使用 3. 回報 1. 下載 透過可靠的管道取得無線漫遊憑證中心的根憑證，並安裝到行動裝置上。 於上網地點進行無線認證時，正常情況下會直接連線到認證網頁，不會有憑證確認訊息。 3. 回報 認證時跳出憑證確認訊息，但憑證內容登記的是無線漫遊認證網站憑證。 回報給無線漫遊管理單位或當地管理人員。

使用漫遊憑證的優點 對於使用者 僅需安裝一次「無線漫遊根憑證」即可，不需要安裝各個漫遊上網點的憑證 易於辨視漫遊認證網頁確定為該單位所擁有 透過SSL加密的網頁認證程序，能夠保護使用者個人帳號密碼安全 憑證僅作用於認證網站辨識與資料加密，使用者仍然使用自己的無線帳號密碼進行登入 對於管理者 透過簡單的教育訓練便可讓使用者避免被網路釣魚的危險 降低資安管理成本

網頁認證環境的強化 網頁認證的缺點 透過https僅能夠保護使用者帳號及密碼安全 一般資料透過POP3、HTTP、FTP、TELNET等網路服務傳輸時，完全暴露在被竊聽的危險之中 如何強化傳輸安全? 建置VPN環境，要求使用者透過VPN上網 要求使用者使用具有加密機制的網路協定 關閉所有不具加密機制網路服務通訊埠 升級至802.1x環境! 建議認證機制 TTLS 或 PEAP eduroam國際教育無線漫遊採用TTLS機制

總結 安全 採用漫遊憑證中心機制，能夠降低跨校無線漫遊環境下，惡意無線認證網站釣魚騙取使用者帳號及密碼的危險 便利 漫遊憑證中心機制能夠讓使用者不需安裝許多各校的無線認證網頁憑證，就能安心進行無線網路認證程序 容易 漫遊憑證中心機制提供使用者能以簡單的方式去辨識惡意漫遊認證網站 管理者教育使用者的困難度降低，提高使用者接受度

漫遊憑證機制的未來展望 eduroam 與 eduroam-NG 國際學術漫遊 eduroam未來計劃採用分散式動態RADIUS認證機制，各RADIUS之間將以憑證中心機制辨視對方的身份。 此案仍在討論中 802.1x 漫遊環境 主流的PEAP及TTLS認證協定均需要數位憑證 eduroam及中華電信均採用TTLS認證機制 透過憑證中心整合的憑證，能夠應用於802.1x漫遊環境之中，大幅強化無線漫遊安全性 802.1x為802.11i所採用的認證機制，也是世界各國無線網路認證的未來主流

參考網站 校園無線漫遊機制整合實驗與推廣計畫網站 http://wlanrc.nchc.org.tw 資訊工業策進會漫遊認證交換中心網站 http://www.twroam.org.tw 台灣 eduroam推廣網站 http://eduroam.nchc.org.tw 歐洲地區 eduroam 學術研究單位無線漫遊計畫 http://www.eduroam.org 澳洲地區 eduroam 學術研究單位無線漫遊計畫 http://www.eduroam.edu.au 計畫聯絡 唐可忠 (03)5776085 #284 kevin@nchc.org.tw 黃偉航 (03)5776085 #283 a00whl00@nchc.org.tw

謝謝各位! Thank You!