期未報告:公眾無線網路的架構,比較 通訊所 鍾國麟 主要的內容還是S.Y

Public Wireless network Public Access Mobile LAN (NEC) The CHOICE Network (Microsoft) Protocol for Authorization and Negotiation of Services . 設定方便 使用全球性統一的認證資料庫 不需要更動原來的AP, 802.11 Protocol 期中的時候介紹了 nec 提出的 public address mobile lan 期未的時候為各位介紹其他無線網路架構, 同時也為這二個架構做一個比較 Microsoft做提出的CHOICE Network 他們這為這個網路建立一個新的協定 特色如下 他們主要的force 是在一個使用者 你可能在office 或是家裡用網路 到是某一天你到了一家coffee店 還是可以很順利的上網 不用做額外的設定 在戶外上網回到家中或是公司 還是馬上可以使用原來的網路

Security in Public-area Networks MAC-level Filtering No protection against hardware address spoofing; does not scale WEP Key Security Keys are hard-wired and cannot be changed flexibly WEP keys can be broken over time OK for small enterprises, but does not scale well IEEE 802.1x port-based access control May require changes to existing AP hardware and software 鎖MAC .網路卡卡號可以做假 WEB Key 發佈困難 IEEE 802.1x 又要更新AP 最友善的解決方法就是.. 使用帳號密碼

使用者 MS PASSPORT 封包檢查,計量 認證,Key管理 這是整個架構圖 因為不改變ap Ap只當橋接器 所以要有一台server去跟ms passport溝通 同時做user session key的管理 另一個 verifier 是做packet 檢查和計量 MS Passport 是使用 web based 的認證方法 使用者到了新的ap下，就會跳出一個網頁輸入帳號密碼就可以用了 使用者

上網流程(1/3) Internet Authorizer Verifier DHCP Client 由DHCP取得IP MS PASSPORT Authorizer Verifier DHCP beacon AP 在這環境下 ap 都是用 Authorizer 控管 Client 要加 driver 到了一個ap 服務的環境下 由dhcp 取得ip 並從beacon得到相關網路參數 Client 由DHCP取得IP Client 經由Authorizer發出的beacon得到 相關網路參數 Client+driver

上網流程(2/3) Internet Authorizer Verifier Web (3)由beacon參數連線至web 認證 Network_id Verifier_IP Authorizer_IP Web url … MS PASSPORT Authorizer Verifier Web AP Beacon內會寫著這個網路的id是什麼 Verifier , authorizer的ip是什麼 然後client 出現一個網頁，輸入id/pw 後 Authorizer 會發session key, token 給client 和 verifier 並請 verifier 開放ip filter (3)由beacon參數連線至web 認證 (4)Authorizer發session key,token 給client和 Verifier,並請Verifier開放IP Filter Client+driver

上網流程(3/3) packet Internet 檢查,移除tag在傳至Internet Authorizer Verifier MS PASSPORT Authorizer Verifier Policy AP 然後每個從 client發出的封包，都要加上tag 封包傳到Verifier 後 移除tag 在傳到 internet Client+driver packet tag Client傳送packet加上tag

Tag format 利用session key 將token,checksum 加密 Tag 主要是證明這個封包的主人是誰 還有完整性 (使用md5 編碼) 利用session key 將token,checksum 加密

Beacon 基本的 beacon Beacon會一直在網路上週期的發送，如果client 未收到beacon，表示他回到原來的private network了，則PANs_Client就停止將封包加tab的動做。 network_id為大範圍的網路區別，例如現在是在hinet network 下，如果network_id更換了，可能漫遊到seednet了。 而subnetmask可以讓PANS_client知道是在同一個public network下，但是更換了AP，應該要換Sessionkey或是做其他相關處理。

Mobility Beacon 週期性發送 未收到beacon Client (Mobile node) 離開CHOICE network 恢復原本設定，packet 不加tag Beacon會一直在網路上週期的發送，如果client 未收到beacon，表示他回到原來的private network了，則PANs_Client就停止將封包加tab的動做。

Mobility Internet Authorizer Verifier subnet Client+driver MS PASSPORT Verifier Authorizer subnet AP beacon Beacon內subnet mask不一樣 更改 Verifier IP Client+driver

Mobility Internet Authorizer Verifier Authorizer subnet Client+driver MS PASSPORT Authorizer Verifier Authorizer subnet AP beacon Client+driver Network_id不同 重新認證

Host Configuration Key Management IP assignment (DHCP), Default Gateway On-site network access software installation Network discovery for enabling/disabling network access protocol Key Management Store/invalidate session keys collected from multiple networks Roaming: always bypass authentication process if possible Renew keys within a session to enhance security

Load Balancing among Verifiers

Choice network summary 使用者不需要手動設定 使用全球性的認證帳號 現有AP,802.11不需更動 實驗分析，packet加tag在100M有線網路實驗 會減少10% 輸出, 增加40% (CPU)

PAMLan vs CHOICE network 認證的方法 加密方法 QOS mobility 設備更新程度 軟體更新程式 protocol 是否更動

認證,保護 種類 PAMLan CHOICE network 認證方法 使用原本的ISP帳號 RADIUS 使用MS passport WEB-Based 加密key Session key Key發送 Public key將s_key封裝 Web-based S/MIME 資料傳送 可使用IPSec或其他方式 每個封包加上tag,可配合IPSec或其他方式

漫遊,環境設定 種類 PAMLan CHOICE network 環境設定 DHCP DHCP+Beacon 未認證前 IP Filter Micromobility 新AP向舊AP要user session key 新verifier向舊verifier要user session key Mobility routing MPLS Client driver 更換gateway Macromobility 重新認證 Client 會記錄network_id 如果session key未過期可續用

其他 種類 PAMLan CHOICE network QoS MPLS網路 簡單policy AP韌體 需更新(Radius client..) 不需更動 MN Client 加裝PANs_Client driver 802.11protocol 成本 高(網路設備需更新) 低

AP需更改, Vlan/MPLS網路架設麻煩 單一認證資料庫 Beacon造成網路負擔 種類 PAMLan CHOICE network Load balancing 無 Beacon發佈新Verifier server 計算 Time,packet,帳號 Per packet 優點 各ISP業者的帳號皆可用MPLS保障頻寬 不需更改AP,網路設備 Auto-configure 缺點 AP需更改, Vlan/MPLS網路架設麻煩 單一認證資料庫 Beacon造成網路負擔