1. 研究目的：本論文將提出結合802.1x驗證和WLAN加密技術以解決目前無線網路目前所面臨的安全問題：a. 憑證服務：使用公開金鑰憑證來驗證WLAN中的使用者和電腦。b. PEAP和密碼保護：使用簡單的使用者名稱和密碼。本論文所提出的兩種方式其基本架構，主要是使用Microsoft公司的Windows Server 2003做為安全認證平台，並使用執行Microsoft Windows XP和Microsoft Pocket PC的用戶端電腦模擬無線網路用戶。2. 研究內容：本論文實驗架構是以IEEE 802.1x標準為基礎，搭配使用遠端驗證撥號使用者服務(RADIUS)和公開金鑰基礎結構(PKI)所建構的，可應用於有數千名無線網路使用者的無線區域網路，而RADIUS和PKI架構在設計之初即考慮到其他網路應用，如：遠端存取和加密檔案系統的使用。最後本論文亦提供解決跨網路漫遊時不同認證方式的問題。3. 研究結果：本論文提出的改善安全方式是使用「可延伸的驗證通訊協定–傳輸層安全性(EAP-TLS)」通訊協定以802.1x無線網路硬體搭配遠端驗證撥號使用者服務(RADIUS)驗證及公開金鑰基礎結構(PKI)為基礎，增強無線網路通訊安全性的問題，以實體的模擬網路來驗證並得到令人滿意的結果：例如在無線用戶端、無線存取點(AP)及RADIUS伺服器三者之間的相互驗證，以決定無線網路的授權問題與存取控制，並以加密金鑰的安全管理來加強無線網路流量的加密機制。本論文最後並提出以MSA、IAOS的觀念，企圖用來改善因使用不同的認證方式導致後端RADIUS Server認證格式不相容的問題。

In this paper, we proposed an advanced security solution for 802.11 based on 802.1x wireless authentication with EAP-TLS protocol, we built a trial network to test and verify our improvement & advantages of our theory. Furthermore, we provide an affordable model of “Multi-stack Authentication, MSA” to solve the variety authentication standards, which implemented in popular wireless networks. It brings a new concept of “Integrated Authentication Operation System, IAOS”, which allows the parts upon the authentication process into individual integral part. It benefits the WLAN service provider to build their WLAN economically and efficiency.

中文摘要…………………………………………………………………I
英文摘要………………………………………………………………III
誌    謝…………………………………………………………………IV
目    錄…………………………………………………………………V
圖 目 錄………………………………………………………………VII
表 目 錄………………………………………………………………VIII
第一章 概論………………………………………………………………1
1.1 引言…………………………………………………………………1
1.2 研究背景……………………………………………………………1
1.3 研究動機與目的……………………………………………………3
1.4 預期研究的貢獻……………………………………………………5
第二章 現有無線區域網路安全機制……………………………………6
2.1 現有無線區域網路認證方法………………………………………6
2.2 現有認證方法的缺失與問題………………………………………12
第三章 改善的安全機制………………………………………………15
3.1 設計原理……………………………………………………………15
3.2 操作流程與實作部份………………………………………………18
3.3 驗證…………………………………………………………………26
第四章 跨網安全認證的應用…………………………………………32
4.1 模擬狀況……………………………………………………………32
4.2 應用模型……………………………………………………………37
4.3 應用模型圖解………………………………………………………41
第五章 結論與未來工作………………………………………………45
參考文獻…………………………………………………………………47
圖 目 錄
圖2.1 WEP 資料格式……………………………………….…………………………………………8
圖2.2 802.1x 在網路安全架構中角色……………………………………………………10
圖2.3 802.1x 應用於802.11 網路之認證過程………….……………………………11
圖3.1 EAP-TLS 架構……………………………………….………………………………………15
圖3.2 實驗網路的規劃與實踐………………………………………………………………16
圖3.3 實驗網路認證訊息交換流程示意…………………………..……………………18
圖3.4 CA、Active Directory、網頁伺服器之關聯…………………….…………24
圖4.1 使用單一帳號跨不同網路(訊號不重疊)…………………….………………33
圖4.2 使用不同帳號跨不同網路(訊號不重疊)……………………….……………34
圖4.3 使用單一帳號跨不同網路(訊號重疊)………………………...………………35
圖4.4 使用不同帳號跨不同網路(訊號重疊)…………………...……………………36
圖4.5 以MSA 觀念建構的IAOS 操作流程……………………..…………………………40
圖4.6 利用共用使用者目錄獲得跨網路授權…………………...……………………41
圖4.7 利用獨立的使用者目錄獲得授權………………………………………………..42
圖4.8 利用共同使用者目錄及連線次要AP 提供無縫隙漫遊…………………43
圖4.9 利用獨立的使用者目錄及連線次要AP 提供無縫隙漫遊…………..…44

表 目 錄
表3.1 使用憑證的用戶端類型……………………………..…………………………………21
表3.2 使用憑證的應用程式清單……………………………...……………………………21
表3.2 未來可能使用到的認證應用……………………….………………………………21
表3.4 測試結果……………………………………………………..………………………………30

1. 台灣電腦網路危機處理暨協調中心，『802-11無線網路安全白皮書』，02.2003
2. Arunesh Mishra & William A.Arbaugh，『An Initial Security of the IEEE 802.1x Standard』，02.2002
3. 楊詠淇等五人，『校園無線區域網路漫遊環境建置現況與其網路電話應用』，國家高速網路與計算中心、國立台灣大學電信工程學研究所，11.2004
4. 郭文光，『無線網路安全』，國立成功大學電機工程學系，07.2004
5. 李正彥，『802.1x』，國立交通大學資訊科學系計算機中心，2003
6. 陳其元，『無線網路安全技術』，資策會教育訓練處，2003
7. 資訊工業策進會，『無線漫遊計畫』，http://www.aci.iii.org.tw
8.高孟甫，『無線區域網路所面臨之資安威脅』，資策會網路多媒體研究所，04.2005
9. 財團法人資訊工業策進會，『漫遊連線作業程序』，06.2004
10.王鴻紳，『雙網計畫對行動語音市場之商機與風險』，台灣大哥大公司，2005
11. 林嘉慶等二人，『雙網整合之單一認證機制』，工研院電通所網路技術組，2004
12. 陳彥錚，『利用連線服務監測之無線區域網路身份認證、授權及計帳服務』，國立暨南國際大學資訊管理研究所，06.2004
13. 余孝先，『雙網整合計畫：現況與展望』，03.2004
14. 周韻采，『無線台北、台北無限』，無線上網趨勢座談會，03.2005
15. 蔡文章，『無線區域網路WPA加密之強健性設計』，淡江大學電機工程學系通訊系統組，01.2004
16. 莊效諺，『無線網路安全解決方案-802.1x在authenticator的實作及改良』，國立台灣大學資訊工程研究所，01.2003
17. 馳元科技：www.interepoch.com.tw
18. Microsoft Corporation，『The Advantages of Protected Extensible Authentication Protocol (PEAP): A Standard Approach to User Authentication for IEEE 802.11 Wireless Network Access』，2004
19. Microsoft Corporation，『How 802.11 Wireless Works』，2003
20. Microsoft Corporation，『以憑證服務保護無線區域網路的安全』，11.2004
21. Microsoft Corporation，『Wi-Fi保護式存取資料加密及完整性』，
11.2004
22. Microsoft Corporation，『Wi-Fi 保護式存取 (WPA) 概觀』，03.2002
23. Windows IT Pro Magazine 國際中文版2004年9月號
24. 國家高速網路與計算中心，『校園無線漫遊機制整合實驗與推廣計畫』，wlanrc.nchc.org.tw/index1-1.htm
25. 淡江大學資訊中心，http://ipc.tku.edu.tw
26. 國立清華大學計算機與通訊中心，www.nthu.edu.tw/ccc/index