期未報告:公眾無線網路的架構,比較 通訊所 鍾國麟 主要的內容還是S.Y.

Slides:



Advertisements
Similar presentations
教育局資訊科技教育組 程序表講者 簡介計劃目的 佘孟先生 ( 教育局資訊科技教育組總課程發展主任 ) 使用津貼安排 傅永洪先生 ( 教育局資訊科技教育組高級行政主任 ) 專業發展課程 卓偉嘉先生 ( 教育局資訊科技教育組高級課程發展主任 ) 技術顧問及項目管理服務 林詠宜女士.
Advertisements

课程名称 培训目标 学完本课程后,您应该能: 区分AP技术 描述CAPWAP隧道协议 华为技术有限公司 版权所有 未经许可不得扩散.
本周复习一下基本的网络知识 下周开始讲解路由器的配置方法 第四周开始到实验室做实验(主楼910,919)
Rfc3315 Dynamic Host Configuration Protocol for IPv6 (DHCPv6) 組員: 蔡承翰 A 陳鈺璋 A 翁菘㠙 A 指導老師 吳俊興.
2.4 计算机网络基础 什么是计算机网络? 计算机网络有哪些功能? 计算机网络的发展历史? 计算机网络体系结构的内容? 计算机网络如何分类?
營運部胡乃馨副總 /技術部汪坤宏副總/業務部 陳富賢
高雄應用科技大學 有線網路建置實習(IV)
第五章 資訊科技基礎建設與新興科技.
IPV6技术与物联网应用 贾智平 1.
實驗 9: 無線安全網路之建設.
第 4 章 网络层.
计算机网络教程(第 2 版) 第 7 章 网络互连 课件制作人:谢希仁.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
MIE-311 Mobile Network Security
快速換手FMIPv6之擷取路由預測機制 指 導 教 授:童 曉 儒 博 士 學 生:宋 仁 誠.
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
第九章 無線網路.
企業如何建置安全的作業系統 Windows XP 網路安全
本著作除另有註明外,採取創用CC「姓名標示-非商業性-相同方式分享」台灣3.0版授權釋出
计算机网络 暨南大学计算机科学系 学年 第一学期.
计算机系统与网络技术 第14讲 局域网构建技术 讲课教师:常姗
4.6 局域网标准 专门的LAN标准 OSI/RM和TCP/IP均属于WAN标准 LAN具有自身固有的特点:
Chapter6 無線區域網路商業應用 姓名 : 洪嘉蓬 駱俊霖 學號 : N N
Foundations of Computer Science Chapter 6 電腦網路
Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23.
第一章 计算机网络基础 授课教师:买买提艾力
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
第10讲 物理网络与链路层 物理网络与链路 局域网概念 以太网标准 MAC、IP和ARP. 第10讲 物理网络与链路层 物理网络与链路 局域网概念 以太网标准 MAC、IP和ARP.
—营造健康网络生活环境 王立丰 ISA与企业网络安全管理 —营造健康网络生活环境 王立丰
宽带路由器配置与应用.
利用LoadRunner进行 性能测试.
网络地址转换(NAT) 及其实现.
The Challenge of Wi-Fi (Wireless fidelity) Roaming
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
第9章 電子商務安全防範.
指導教授:陳偉業 老師 碩專資管二甲 N 林士淵 富強鑫公司 資訊工程師 2006/12/23
David liang 数据通信安全教程 防火墙技术及应用 David liang
Windows Vista 操作系统最新安全特性
NTPC D-Link產品教育訓練 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
Server Load Balancing 飛雅高科技 李村.
(C) Active Network CO., Ltd
網路技術管理進階班---網路連結 講師 : 陳鴻彬 國立東華大學 電子計算機中心.
第 16 章 Internet架構.
ARUBA 無線網路教育訓練.
臺東縣中小學資訊教育校園網路管理暨資訊安全防護計畫研習
教育部補助「行動寬頻尖端技術跨校教學聯盟計畫-行動寬頻網路與應用-小細胞基站聯盟中心計畫」 Small Cell創新應用與服務專題 課程單元: LTE/SAE網路架構與元件 計畫主持人:許蒼嶺 授課教師:李宗南、簡銘伸、李名峰 教材編撰:李名峰 國立中山大學 資訊工程系.
P2P通信之 ——UDP穿越NAT方案的讨论
資訊安全─入門手冊 第 18 章 無線網路安全.
勤益科大無線上網之設定說明.
WLAN 技术基础介绍.
Windows 2003 server 進階介紹 麋鹿.
認識網際網路 網際網路(Internet)簡介 WWW簡介 臺灣地區網路資源 網路禮儀與規範 收發電子郵件 相關程式與服務
無線區域網路規劃與管理.
DHCP 详解及在 AP 中的使用 韦宇轩 SA
江西财经大学信息管理学院 《组网技术》课程组
Wireless Local Area Network
ISA Server 2004.
iSoftStone Information Service Corporation
Windows XP 簡易網路檢查 edo.
傳輸控制協議 /互聯網協議 TCP/IP.
實驗目的: 明瞭DHCP運作原理 建置DHCP伺服器
WIRELESS LAN B 邱培哲 B 張宏安.
3.2 網絡.
報告者: 通訊所 陳瑞文 學號: 授課教授: 潘仁義 老師
Common Security Problems in Business and Standards
Mobile IPv4.
Mobile Nodes and Multiple Interfaces in IPv6 (Monami6)
網際網路原理 網際網路源起與發展歷史 1968 ARPANET 1973 TCP/IP協定 1976 乙太網路,促成LAN的發展 … DNS
第 4 章 网络层.
Presentation transcript:

期未報告:公眾無線網路的架構,比較 通訊所 鍾國麟 主要的內容還是S.Y

Public Wireless network Public Access Mobile LAN (NEC) The CHOICE Network (Microsoft) Protocol for Authorization and Negotiation of Services . 設定方便 使用全球性統一的認證資料庫 不需要更動原來的AP, 802.11 Protocol 期中的時候介紹了 nec 提出的 public address mobile lan 期未的時候為各位介紹其他無線網路架構, 同時也為這二個架構做一個比較 Microsoft做提出的CHOICE Network 他們這為這個網路建立一個新的協定 特色如下 他們主要的force 是在一個使用者 你可能在office 或是家裡用網路 到是某一天你到了一家coffee店 還是可以很順利的上網 不用做額外的設定 在戶外上網回到家中或是公司 還是馬上可以使用原來的網路

Security in Public-area Networks MAC-level Filtering No protection against hardware address spoofing; does not scale WEP Key Security Keys are hard-wired and cannot be changed flexibly WEP keys can be broken over time OK for small enterprises, but does not scale well IEEE 802.1x port-based access control May require changes to existing AP hardware and software 鎖MAC .網路卡卡號可以做假 WEB Key 發佈困難 IEEE 802.1x 又要更新AP 最友善的解決方法就是.. 使用帳號密碼

使用者 MS PASSPORT 封包檢查,計量 認證,Key管理 這是整個架構圖 因為不改變ap Ap只當橋接器 所以要有一台server去跟ms passport溝通 同時做user session key的管理 另一個 verifier 是做packet 檢查和計量 MS Passport 是使用 web based 的認證方法 使用者到了新的ap下,就會跳出一個網頁輸入帳號密碼就可以用了 使用者

上網流程(1/3) Internet Authorizer Verifier DHCP Client 由DHCP取得IP MS PASSPORT Authorizer Verifier DHCP beacon AP 在這環境下 ap 都是用 Authorizer 控管 Client 要加 driver 到了一個ap 服務的環境下 由dhcp 取得ip 並從beacon得到相關網路參數 Client 由DHCP取得IP Client 經由Authorizer發出的beacon得到 相關網路參數 Client+driver

上網流程(2/3) Internet Authorizer Verifier Web (3)由beacon參數連線至web 認證 Network_id Verifier_IP Authorizer_IP Web url … MS PASSPORT Authorizer Verifier Web AP Beacon內會寫著這個網路的id是什麼 Verifier , authorizer的ip是什麼 然後client 出現一個網頁,輸入id/pw 後 Authorizer 會發session key, token 給client 和 verifier 並請 verifier 開放ip filter (3)由beacon參數連線至web 認證 (4)Authorizer發session key,token 給client和 Verifier,並請Verifier開放IP Filter Client+driver

上網流程(3/3) packet Internet 檢查,移除tag在傳至Internet Authorizer Verifier MS PASSPORT Authorizer Verifier Policy AP 然後每個從 client發出的封包,都要加上tag 封包傳到Verifier 後 移除tag 在傳到 internet Client+driver packet tag Client傳送packet加上tag

Tag format 利用session key 將token,checksum 加密 Tag 主要是證明這個封包的主人是誰 還有完整性 (使用md5 編碼) 利用session key 將token,checksum 加密

Beacon 基本的 beacon Beacon會一直在網路上週期的發送,如果client 未收到beacon,表示他回到原來的private network了,則PANs_Client就停止將封包加tab的動做。 network_id為大範圍的網路區別,例如現在是在hinet network 下,如果network_id更換了,可能漫遊到seednet了。 而subnetmask可以讓PANS_client知道是在同一個public network下,但是更換了AP,應該要換Sessionkey或是做其他相關處理。

Mobility Beacon 週期性發送 未收到beacon Client (Mobile node) 離開CHOICE network 恢復原本設定,packet 不加tag Beacon會一直在網路上週期的發送,如果client 未收到beacon,表示他回到原來的private network了,則PANs_Client就停止將封包加tab的動做。

Mobility Internet Authorizer Verifier subnet Client+driver MS PASSPORT Verifier Authorizer subnet AP beacon Beacon內subnet mask不一樣 更改 Verifier IP Client+driver

Mobility Internet Authorizer Verifier Authorizer subnet Client+driver MS PASSPORT Authorizer Verifier Authorizer subnet AP beacon Client+driver Network_id不同 重新認證

Host Configuration Key Management IP assignment (DHCP), Default Gateway On-site network access software installation Network discovery for enabling/disabling network access protocol Key Management Store/invalidate session keys collected from multiple networks Roaming: always bypass authentication process if possible Renew keys within a session to enhance security

Load Balancing among Verifiers

Choice network summary 使用者不需要手動設定 使用全球性的認證帳號 現有AP,802.11不需更動 實驗分析,packet加tag在100M有線網路實驗 會減少10% 輸出, 增加40% (CPU)

PAMLan vs CHOICE network 認證的方法 加密方法 QOS mobility 設備更新程度 軟體更新程式 protocol 是否更動

認證,保護 種類 PAMLan CHOICE network 認證方法 使用原本的ISP帳號 RADIUS 使用MS passport WEB-Based 加密key Session key Key發送 Public key將s_key封裝 Web-based S/MIME 資料傳送 可使用IPSec或其他方式 每個封包加上tag,可配合IPSec或其他方式

漫遊,環境設定 種類 PAMLan CHOICE network 環境設定 DHCP DHCP+Beacon 未認證前 IP Filter Micromobility 新AP向舊AP要user session key 新verifier向舊verifier要user session key Mobility routing MPLS Client driver 更換gateway Macromobility 重新認證 Client 會記錄network_id 如果session key未過期可續用

其他 種類 PAMLan CHOICE network QoS MPLS網路 簡單policy AP韌體 需更新(Radius client..) 不需更動 MN Client 加裝PANs_Client driver 802.11protocol 成本 高(網路設備需更新) 低

AP需更改, Vlan/MPLS網路架設麻煩 單一認證資料庫 Beacon造成網路負擔 種類 PAMLan CHOICE network Load balancing 無 Beacon發佈新Verifier server 計算 Time,packet,帳號 Per packet 優點 各ISP業者的帳號皆可用MPLS保障頻寬 不需更改AP,網路設備 Auto-configure 缺點 AP需更改, Vlan/MPLS網路架設麻煩 單一認證資料庫 Beacon造成網路負擔