敬邀 貴校加入校際漫遊行列
DESCRIPTION
敬邀 貴校加入校際漫遊行列. 中華民國九十四年二月. 前 言. 經濟部工業局奉指示配合行政院六年國家發展建設計畫,於科技顧問組規劃 e-Taiwan 計畫中之「寬頻到家」項下,規劃「無線寬頻網路示範應用計畫」,以強化台灣無線寬頻網路之建設與應用發展 推廣島內公眾無線區域網路漫遊服務機制,並協助國內業者建立跨網漫遊 (WLAN 和 Cellular) 以及國際漫遊服務機制,實現「一卡在手,全島走透透」、 「 One Subscription , Global Reach 」之理想 - PowerPoint PPT PresentationTRANSCRIPT
敬邀 貴校加入校際漫遊行列
中華民國九十四年二月
經濟部工業局奉指示配合行政院六年國家發展建設計畫,於科技顧問組規劃 e-Taiwan 計畫中之「寬頻到家」項下,規劃「無線寬頻網路示範應用計畫」,以強化台灣無線寬頻網路之建設與應用發展
推廣島內公眾無線區域網路漫遊服務機制,並協助國內業者建立跨網漫遊 (WLAN 和 Cellular) 以及國際漫遊服務機制,實現「一卡在手,全島走透透」、 「 One Subscription , Global Reach 」之理想
藉由校際漫遊之推動,協助全國大專院校間無線上網環境之透通,俾使各校教職員生得以使用單一帳號進行跨校漫遊,達到學校彼此間網路資源與資訊共享之目的
前 言
校際漫遊架構
AccessController
使用者User @ Home
Entity
漫遊學校(Visited Entity)
所屬學校(Home Entity)
AAA–RADIUS
System
漫遊認證交換中心
認證資訊
AAA–RADIUS
System
Internet
Roaming ServerRoaming Server
通過認證後允許上網
非本校帳號之認證資訊
上網點
加入校際漫遊的效益
教職員生可悠遊於便捷、透通的無線上網環境– 教職員生得以使用單一帳號,進行跨校漫遊,免除跨校申請
與設定的困擾– 方便學校行政人員公文、行政之往來– 學生可跨校使用各種通訊方式,如: VoIP
m-Learning 無障礙,教育資源更得以善用– 透過教育資源之共享,創造更高的學術生產力– 提供另外一種師生溝通的管道,有助於教學品質的提升– 教職員生可在參與漫遊之學校中,透過無線網路環境,迅速
地取得各校的網路資源與資訊
立
即
效
益
加入校際漫遊的效益 ( 續 )
名聲– 支持政府 (IDB) 活動,有助於提升學校的正面形象 以及能見度
利益– III 將提供建立校際漫遊所需之軟硬體設備的支援與協助
短期效
益
教育是促進經濟成長的一個重要因子讓學生於在校期間熟悉無線寬頻網路的使用,未來進入職場將更容易接受、運用無線寬頻相關的應用與服務,甚至投入推動的行列間接地培育日後無線寬頻產業的優秀人才
其他可搭配漫遊示範區提供應用服務若將來允許收費,將有設施供應等之收益
長期效益
目前推動成果
92 年完成連線– 淡江大學– 陽明大學– 台灣科技大學– 交通大學– 台灣大學– 政治大學– 清華大學
93 年完成連線– 雲林科技大學– 台北醫學大學– 逢甲大學– 高雄大學– 義守大學– 宜蘭大學– 師範大學– 高雄第一科技大學– 海洋大學– 中正大學– 東吳大學– 吳鳳技術學院– 聯合大學– 華梵大學
國網中心部分 ( 總計十七所大專院校 )
資策會漫遊中心部分( 總計二十一所大專院校、三個單位 )
靜宜大學大葉大學銘傳大學元智大學中央大學成功大學東華大學台東大學文化大學城區部嶺東技術學院暨南大學修平技術學院
中興大學輔英大學中華大學新竹師範學院台北大學
其他連線單位– 教育部– SIP/ENUM– 宜蘭縣網
目前推動成果漫遊認證漫遊認證交換中心交換中心
單一用戶帳號單一用戶帳號悠 遊 雙 網悠 遊 雙 網
手機電信業者手機電信業者
…
WLANWLAN 網路服務業者網路服務業者(12)(12)
學術網路學術網路 (38+108)(38+108)III(21) :台大、清大、交大、政大、 淡江、陽明、台科大、雲科大 、北醫、逢甲、高雄、義守、 宜蘭、 師大 、高雄第一科大、 海大、中正、東吳、吳鳳、聯 合、華梵III(1) :松山工農NCHC(17) :銘傳、靜宜、大葉、元智 、中央、 成大、台東、 東華、文化、嶺東、暨 南 、修平、中興、輔英、 中華、竹師、台北大 …宜蘭縣網 (107) :宜蘭縣 107 所中小學
國際漫遊組織國際漫遊組織
示範應用區示範應用區 (18)(18)IDB(15) :史博館、台北市/關渡自然公園 、台北縣、桃園縣、台中市、彰 化縣、台南市、屏 東縣/海生館 、花蓮縣、雲 林縣、宜蘭縣、高 雄縣、玉山國家公園、新竹市、 嘉義 市、金門縣、高雄市/科工 館 (RI) …Non-IDB(1) :信義計畫區 …
此漫遊認證交換中心不此漫遊認證交換中心不直接面對使用者,而是直接面對使用者,而是提供相關業者間之共通提供相關業者間之共通基礎服務!基礎服務!
( 具備身份認證、計價 拆帳與清算功能 )
示範區 (5) :全球領航、蕃薯藤/傳象、 HiNet 、開博、宏碁 …非示範區 (7) : So-net 、 Seednet 、曜正、 鉅坤、 APOL 、 EzOn ( 松山和中正機場 ) 、 東信 ( 清水和西螺休息站 )…
無線寬頻上網標章
其他其他 (2)(2)教育部、 SIP/ENUM : 09440
…
…
◆漫遊服務機制互通性說明
漫遊服務機制整體架構圖
AP
Hot Spot (Visited Entity)Hot Spot (Home Entity)
AccessController
AccessController
User @ Home Entity
VISITED ENTITYHOME ENTITY
AAA–RADIUS
System
漫遊認證交換中心漫遊認證交換中心
AuthenticationAuthorizationAccounting
Information
AuthenticationAuthorizationAccounting
Information
AAA–RADIUS
System
AP
Internet
Operator CAS, MSC , HLR
Roaming ServerRoaming Server
Roaming Server
Roaming Server
Roaming Server(Linux. Red Hat)
Firewall
VPND
Radius Proxy
Home Entity’sRadius Server
漫遊認證漫遊認證交換中心交換中心
VPN TUNNEL
Roaming Server 的硬體由 Home Entity 提供,資策會方面則協助軟體的安裝及設定。
Roaming Server 採遠端安裝的方式,參與單位依系統安裝步驟說明文件,完成作業系統安裝及網路設定。之後,再由漫遊認證交換中心透過網路進行軟體安裝及設定。
Roaming Server 之硬體規格, 建議至少為 CPU : P3 、 RAM : 512MB 、 HD : 10 GB、一個 10/100 Ethernet 網路介面 及 一部光碟機。
AAA-RADIUS PROTOCOL
RADIUSSERVER
RADIUSCLIENT
1. AAA-RADIUS REQUEST
2. AAA-RADIUS RESPONSE
AuthenticationAccess-Request
• PAP 、 CHAP …• EAP-MD5 、 EAP-TLS (certificate) 、 EAP-TTLS 、 EAP-PEAP
…( RADIUS Server 需支援 EAP over RADIUS ! )
Access-Accept/Reject
Access-Challenge
AccountingAccounting-Request
• Start 、 (Interim) 、 Stop
Accounting-Response
漫遊服務機制-相容性問題
問題點Home Entity’s Authentication Server 不支援 Visited Entity’s Authenticator(或是 Supplicant) 所選定的認證方式 PAP/CHAP (EAP-XXX…)
解決方法 (完全支援漫遊機制之必要條件 )要求 Authenticator / Supplicant 使用 PAP 、 CHAP / EAP over RADIUS 等身份認證方式 ( 三者擇一 )
要求 Authentication Server 同時支援 PAP 、 CHAP 及 EAP over RADIUS 等身份認證方式 ( 三者皆具 )
現況 多數學校的認證系統只支援 PAP
RoamingCenter Home Entity’s
AuthenticationServer
(RADIUS Server)
Visited Entity’sAuthentication
Server(RADIUS Server)RADIUS
REQUEST
PROXY
Visited Entity’s
Authenticator(Supplicant)
UAM and 802.1x
NAS
RADIUSSERVER
RADIUSCLIENT
AAA-RADIUSREQUEST
( PAP/CHAP)
NAS
AuthenticationServerAuthenticator
EAP over RADIUS
Web-BasedLogin Page
(SSL)
1 2
UAM
EAP over LAN
802.1x
Supplicant
1 2
○:普及性高、方便使用 (Web-based)X:安全性低、不具業界標準
○:安全性高、已成為 Wi-Fi 標準X:目前普及性較低、使用者端較為不便
RADIUS 帳號管理
獨立帳號
共用帳號
RADIUS’s DBalex passwd1bob passwd2candy passwd3
…
Email ServerUNIX Server
LDAP…
○:支援的認證協定最為完整 ,擁有最佳的漫遊互通性X:帳號獨立管理,可能造成 網管人員額外的負擔
○:可以延用既有的帳號系統, 免去帳號重複管理的麻煩X:通常只能支援 UAM(PAP) , 造成漫遊互通性上的問題
RADIUS
RADIUS
規 劃 建 議
尚未建置之單位在 RADIUS Server 中獨立管理使用者帳號,以獲得最佳之漫遊互通性無線網路佈建部份1. 可先選擇互通性較高的 UAM(PAP) 方式,惟系統應保留未來轉型至 WPA (802.1x+EAP+TKIP+MIC) 之彈性
2. 或直接選用以 802.1x + EAP 之認證方式,惟應規劃使用者端的軟體安裝與設定之相關細節 ( 此法在實施初期可能形成其他單位無法 Roaming In 之情況 )
已建置之單位進行 RADIUS 系統之升級,以便能同時支援多種認證方式(PAP 、 CHAP 、 EAP-XXX) ,獲得較佳之漫遊互通性考慮 PWLAN 系統升級至 WPA 之必要性
漫遊服務機制參與辦法
與漫遊認證交換中心進行互連測試 單位之 PWLAN 系統應採用 AAA-RADIUS 機制處理身份認證 ( 與計價 ) ,支援 EAP over Radius
提供 Roaming Server 所需之硬體及連網環境連網環境需要一個真實 IP 位址硬體須能配合作業環境 (Red Hat 9.x)
與漫遊認證交換中心接洽,進行連線測試業務窗口 蘇志倫 [email protected]
技術窗口 王天智 [email protected]
測試完成,向 TEEMA /通訊產業聯盟申請無線寬頻上網標章 (PWLAN Logo)
連絡窗口 陳焱君經理 [email protected]
誠摯地邀請 貴校加入校際漫遊的行列,並歡迎透過電話或 e-mail 與下列承辦人員進一步聯絡:
財團法人資訊工業策進會
蘇志倫 Tel : (02)8732-6222 #160
E-mail : [email protected]
王天智 Tel : (02)2739-9616 #895
E-mail : [email protected]
結 語
附 件
校園無線應用案例 提供教職員生無障礙的網路資源服務
– 學生可於圖書館使用筆記型電腦或其他終端設備無線上網
– 外賓來訪時可輕易連接上校園網路 提供無線校務資訊管理
– 搭配攝影機,針對校園死角進行無線監控– 搭配 PDA ,針對校園車輛進行停車管理– 搭配門禁系統,針對校園建築物在特定時段控管人員進出
無線區域網路 (WLAN)
AP
無線區域網路WLAN
Gateway Internet
802.11a/b/g
SSID?WEP?
公眾無線區域網路 (PWLAN)
AP
公眾無線區域網路PWLAN
GatewayInternet
802.11a/b/g
AccessController
AAA-RadiusServer
需身份認證的公眾環境– 身份辯識– 用戶收費
AAA-RADIUS– Authorization– Authentication– Accounting
UAM802.1x