Eduroam在中国科学技术大学的部署中国科大网络信息中心1谢谢你的观看2019-11-2提纲无线网络信道安全Eduroam简介Eduroam的radius认证过程Eduroam联盟加入步骤学校的eduroam部署方案省级eduroam部署方案讨论2谢谢你的观看2019-11-2无线网络信道安全认证:无线AP和无线终端识别对方的过程加密:无线AP和无线终端之间通信的数据加密过程WEPopensystem,不加密,无任何安全手段WEP共享密码加密,简单认证,会话过程中加密key不变,容易被破解,不建议使用WPA更好的加密,会话中key一直在变化个人模式(Personalmode):密码认证,使用TKIP/MIC加密企业模式(Enterprisemode):EAP认证,使用TKIP/MIC加密WPA2最安全的模式,使用AES加密,几乎不能被破解,推荐使用个人模式(Personalmode):密码认证,使用AES/CCMP加密企业模式(Enterprisemode):EAP认证,使用AES/CCMP加密3谢谢你的观看2019-11-2个人模式/企业模式个人模式(Personalmode):无线AP和无线终端设备,使用相同的密码认证家用和soho站点使用很常见企业模式(Enterprisemode):无线AP和无线终端设备使用EAP认证,后台往往有radius协议的参与无线终端可以使用用户名/密码认证无线终端也可以使用个人证书认证我国使用用户名密码较常见国外使用个人证书也很常用4谢谢你的观看2019-11-2802.1X认证/WEB认证802.1X认证在WPA/WPA2企业模式下认证用户提供的认证信息(如密码或个人证书)利用EAP协议传输给后台的radius服务器进行认证密码和个人证书等关键信息离开用户的终端后不使用明文传输,能提供最大程度的保密性无线终端可选对无线AP及后面的radius服务器进行认证WEB/Portal认证用户提供用户名和密码后认证密码往往会提交给认证服务器国外使用802.1X认证较多,尤其是漫游认证时我国使用WEB/Portal认证较多,但漫游认证有信任问题试想:一个科大的用户到师大使用网络,师大的服务器弹出一个窗口让你输入科大的用户名和密码,该输入吗?是否能信任该服务器呢?5谢谢你的观看2019-11-2EAP类型EAP是一个框架,很灵活,常用的有:EAP-TLS,主要用于证书认证EAP-TTLS,使用TLS加密认证过程,后续使用PAP认证,传送密码到后台,因此后台可以存非明文密码PEAP,使用TLS加密认证过程,细分为EAP-PEAPMSCHAPv2不传送明文密码到后台,后台只能存明文密码或NThashEAP-PEAPMSCHAPv2使用最广泛,国外使用EAP-TLS也比较多,EAP-TTLSPAP认证也有少量使用6谢谢你的观看2019-11-2密码要求后台存用户明文密码支持最广泛7谢谢你的观看2019-11-2完整过程WPA2/802.1XEAPRaidus/EAP最终目的:一切为了安全•传输加密•用户密码之类的敏感信息hash处理后加密传输,永远不传输原文8谢谢你的观看2019-11-2Eduroam简介Eduroam是一个无线漫游认证体系起源于欧洲被各大教育和科研机构广泛采用解决用户在教育和科研机构间漫游时的用户身份认证问题使用场景:一个科大的用户在国内外任何提供eduroam服务网络中,在自己的设备上输入科大的用户名和密码,就可以通过身份验证并使用wifi网络。同时确保:密码不会被泄漏无线信道加密9谢谢你的观看2019-11-2eduroam联盟无线网络服务eduroam(EducationRoaming,)是一种安全的全球学术网络Wi-Fi漫游服务,目前已经覆盖全球七十多个国家和地区的大学及科研机构。参与该联盟的机构只需在本单位设立eduroam账户,用户即可使用原机构提供的合法账号,在全球已参与eduroam联盟机构内实现无线网络访问的无障碍漫游。中国科学院计算机网络信息中心负责管理eduroam中国无线网漫游交换中心(),它的服务器负责.cn认证域的转发。北京大学的服务器()负责.edu.cn认证域的转发。10谢谢你的观看2019-11-2eduroam联盟无线网络服务加入eduroam联盟的成员,要提供RADIUS服务器以实现认证、计费(计费不是必需的)功能,还要提供支持802.1X认证的无线接入服务设施以便用户使用无线网络。部署eduroam无线服务的SSID必须为eduroam,并且必须免费向联盟成员用户提供。Eduroam不涉及任何费用的结算。如果跟已有的计费政策冲突,可以考虑限制带宽/减少覆盖范围等手段。11谢谢你的观看2019-11-2eduroam联盟无线网络服务当用户连接无线接入服务设施时,需要提供用户名、密码等信息用来认证身份。手机/win10使用非常方便,windows可能需要简单设置。无线接入设施将用户名(含认证的域名)、密码或个人证书信息经过加密处理后,利用RADIUS协议发送给本地RADIUS服务器请求认证。如果是本域用户,RADIUS服务直接给出允许或拒绝用户接入的应答;如果是其他联盟用户,RADIUS服务器将认证请求转发给上一级RADIUS服务器,通过若干RADIUS服务器转发给用户所在域的RADIUS服务器,最后将认证应答发送给无线接入设施。整个认证过程中,用户提供的密码仅仅在用户的无线终端设备(如手机、笔记本电脑)内明文处理,离开终端之后传输的不是密码明文,而是经加密或处理后的密码,因此非常安全。12谢谢你的观看2019-11-2Eduroam的radius认证过程cn.edu.cn.ustc.edu.cn.sjtu.edu.cn.edu.wisc.edu.mit.edu.sjtu用户在科大使用eduroam,输入的用户名是xxx@sjtu.edu.cnWPA2/802.1Xradius1234xxx@sjtu.edu.cn很像一个邮件地址,但跟邮箱无关,它的含义是sjtu.edu.cn域上的用户xxx13谢谢你的观看2019-11-2Eduroam的radius认证过程cn.edu.cn.ustc.edu.cn.sjtu.edu.cn.edu.wisc.edu.mit.edu.mit用户在科大使用eduroam,输入的用户名是xxx@mit.edu1234567814谢谢你的观看2019-11-2Eduroam的radius认证过程cn.edu.cn.ustc.edu.cn.sjtu.edu.cn.edu.wisc.edu.mit.edu.科大用户在wisc使用eduroam,输入的用户名是xxx@ustc.edu.cn1234567815谢谢你的观看2019-11-2Eduroam联盟加入步骤基础条件有用户名和明文密码信息,以便radius使用(加密处理后的密码麻烦些)有一个vlan以DHCP上网,将来供无线用户使用准备1个IP地址,将来用作radius服务器申请加入联盟–联系eduroam认证中心•CERNET用户可以联系eduroam@CERNET•其他用户请联系eduroam中国无线网漫游交换中心–填写申请表,发送邮件,等待对方的电话联系,并获取到相关的key(key用来与上游的radius服务器通信使用)16谢谢你的观看2019-11-2Eduroam联盟加入步骤配置相关设备配置radius服务器(需要用到key信息)配置无线网络测试开通参考资料:17谢谢你的观看2019-11-2调试方法在radius服务器上执行radiusd–X这样启动会打印详细的调试信息使用终端连接无线,测试如果正常连接,在radacctradpostauth表中能看到相关的记录。/var/log/radius目录下可以看到更详细的认证和计费记录。测试工具,测试从国外登录是否能认证18谢谢你的观看2019-11-2学校的eduroam部署方案学校eduroam规划是否与学校的计费规则冲突?全覆盖还是部分覆盖?是否有现成的用户名/密码信息?现有的计费认证系统是否支持802.1X认证?科大的做法:全覆盖,所有无线AP都提供eduroamSSID已有用户名/密码,单独建立freeradius服务器,定期(20分钟/次)将用户名/密码自动更新所有校内付费用户自动开通其他学校/机构用户直接无限制使用19谢谢你的观看2019-11-220谢谢你的观看2019-11-22016年的使用情况注:10月统计到23日用户数大致比例是校内:国外:国内=200:10:10500100015002000250030001月3月5月7月9月校外用户校内用户21谢谢你的观看2019-11-2国外专家习惯使用eduroam周六在我校举办“第八届国际研究生奖学金信息说明会”会场提供了eduroam和ustc-internet(不需任何认证)两个SSID峰值180人连接无线网络,其中连接eduroam的有60人22谢谢你的观看2019-11-2建议eduroam部署方案先提出加入申请从部分覆盖开始,逐步扩大覆盖范围先期覆盖会议室、学术报告厅等有来访人员的区域radius认证服务如果有用户名/密码信息,很容易设置如果没有,可以先提供接入服务,确保来访人员能使用如果现有校园无线网络无法支持,可以考虑在部分区域以低成本方式另建eduroam的无线环境23谢谢你的观看2019-11-2低成本另建eduroam无线环境建议考虑MikroTikRouterOS无线路由器MikroTikRouterOS是一种路由操作系统,基于Linux核心开发在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能,其极高的性价比可以做为纯软件运行在x86硬件平台MikroTik公司销售专用的一体化软硬件平台24谢谢你的观看2019-11-2设备形态25谢谢你的观看2019-11-2低成本另建eduroam无线环境RB952Ui-5ac2nD(hAPaclite)ROS双频无线路由器,400元/台650MHzCPU64MB内存五个100Mbps以太网端口双链支持802.11b/g/n2.4GHz无线单链的802.11ac5GHz无线支持radius等协议26谢谢你的观看2019-11-2低成本另建eduroam无线环境RB962UiGS-5HacT2HnThAPac双频无线路由器,900元/台720MHzCPU128MB内存五个1000Mbps以太网端口双链支持802.11b/g/n2.4GHz无线单链的802.11ac5GHz无线支持radius等协议27谢谢你的观看2019-11-2低成本另建eduroam无线环境设置简单:购置无线路由器设置一台虚拟机freeradius注意事项:如果使用NAT,要注意Wifi用户上网日志的记录freeradius校园网28谢谢你的观看2019-11-2省级eduroam部署方案讨论条件具备的高校,建议直接加入eduroam联盟省级eduroam部署认证服务器省网中心设置freeradius服务器,对接将来规划中的统一身份认证系统,认证过的各学校用户可以自主开户,审核后生效这些账户可以直接在国内外eduroam网络使用无线网络覆盖购置无线路由器安装在省内高校