加密概述
WEP 加密和验证
802.1x 加密和验证
什么是 RADIUS
Wi-Fi 保护性接入 (WPA)
PEAP
Cisco LEAP
WLAN 中的安全性可通过启用使用 WEP(无线加密协议)的数据加密来补充。可选择 64 位或 128 位级别的加密。然后可再使用密钥来加密数据。 另一个称为“密钥指数”的参数提供为该配置式创建多个密钥的选项。不过,一次只能使用一个密钥。 还可选择用密码来保护英特尔(R)无线 PROSet 配置式以保护隐私。可使用口令短语来自动生成 WEP 密钥。您可选择或者使用口令短语,或者手动输入 WEP 密钥。使用 64 位加密,口令短语为 5 个字符长,您可选择输入任何随意易记短语(如 Acme1),或者输入与用户要连接的网络的 WEP 密钥相应的 10 个十六进制数字。对 128 位加密,密码词组为 13 个字符长,您可输入 WEP 密钥的 26 个十六进制数字以连接到相应的网络。
“有线等同隐私” (WEP) 加密和共享验证为网络数据提供保护。WEP 使用加密密钥来加密数据,然后再将其传输。只有使用相同加密密钥的计算机才能访问该网络或解密其他计算机传输的加密数据。验证过程则从适配器到接入点之间提供一层额外的确认过程。
支持的验证方案是“开放”和“共享密钥”验证:
当“数据加密(WEP、CKIP 或 TKIP)”启用时,使用网络密钥进行加密。网络密钥可自动提供(例如,可能提供给您的无线网络适配器),或者自行输入并指定密钥长度(64 位或 128 位)、密钥格式(ASCII 字符或十六进制数字)和密钥索引(特定密钥的储存位置)。密钥长度越长,密钥越安全。密钥长度每增加一位,可能的密钥数字翻一番。在 802.11 中,一个无线站最多可配置四个密钥(密钥索引值 1、2、3 和 4)。当一个接入点或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时,被传输的消息指明用来加密消息正文的密钥索引。接收的接入点或无线站就可检索储存在该密钥索引中的密钥,并用它来解码加密的消息正文。
802.1x 使用两类加密密钥:静态和动态。静态加密密钥手动更改,较易受攻击。MD5 验证只使用静态加密密钥。动态加密密钥定期自动更新。这使得加密密钥更安全。要启用动态加密密钥,必须使用 802.1x 验证方法,例如 TLS、TTLS 或 PEAP。
802.1x 功能
802.1x 请求方协议支持
支持可扩展验证协议(EAP)- RFC 2284
支持的验证方法:
MD5 - RFC 2284
EAP TLS 验证协议 - RFC 2716 和 RFC 2246
EAP 隧道 TLS(TTLS)
Cisco LEAP
PEAP
支持 Windows* XP、2000
802.1x 验证说明
802.1x 验证方法,包括密码、证书和智能卡(保存数据的塑料卡)。
802.1x 验证选项只能与基础结构操作模式一起使用。
网络验证模式有:EAP-TLS、EAP-TTLS、MD5 挑战、LEAP(只用于 Cisco-Client eXtentions 模式)和 PEAP(只用于 WPA 模式)
概述
802.1x 验证不受 802.11 验证过程约束。802.1x 标准为各种验证和密钥管理协议提供一个框架。802.1x 验证有不同的类型,每一类型提供一种不同的验证途径,但所有类型都应用相同的 802.1x 协议和框架于客户端和接入点之间的通讯。在多数协议中,当 802.1x 验证过程完成时,请求方会接收到一个密钥,用于数据加密。
在 802.1x 验证中,在客户端和连接到接入点的“远程验证拨入用户服务(RADIUS)”服务器之间使用一种验证方法。验证过程使用身份凭证(例如不通过无线网络传输的用户密码)。大多数 802.1x 类型支持动态的每一用户、每次会话的密钥以加强静态密钥安全性。802.1x 通过使用一种称为“可扩展验证协议(EAP)”的现有验证协议而获益。802.1x 对无线 LAN 的验证有三个主要组件:验证方(接入点)、请求方(客户端软件)和验证服务器(一台远程验证拨入用户服务(RADIUS)服务器)。802.1x 验证安全性引发一个由 WLAN 客户端向接入点的授权请求,它将客户端验证到一台符合“可扩展验证协议”(EAP)标准的 RADIUS 服务器。RADIUS 服务器或者验证用户(通过密码或证书),或者验证系统(通过 MAC 地址)。从理论上说,无线客户端要到整个事务完成后才能加入网络。802.1x 使用若干种验证算法:MD5-挑战、EAP-TLS、EAP-TTLS、保护性 EAP(PEAP)和 EAP Cisco 无线轻量级可扩展验证协议(LEAP)。这些都是 WLAN 客户端向 RADIUS 服务器标识自身的方法。Radius 验证使用数据库来核对用户身份。Radius 由一组“验证、授权和会计 (AAA) ”的标准组成。Radius 包括一个在多服务器环境下确认客户端的代理过程。IEEE 802.1x 标准用来控制和验证对基于端口的 802.11 无线和有线以太网的接入。基于端口的网络接入控制类似于交换的局域网(LAN)基础架构,后者验证挂接到 LAN 端口的设备并在验证过程失败时防止接入该端口。
802.1x 验证的工作原理
802.1x 验证过程简单描述如下:
参阅为 WEP 和 MD5 验证设定客户端以了解使用英特尔(R)无线 PROSet 实用程序设定 802.1x 配置式的详情。
RADIUS 是“远程接入拨号用户服务”,一种授权、验证和会计 (AAA) 客户端-服务器协议,用于 AAA 拨号客户端登录至“网络接入服务器”或从其注销时。通常,RADIUS 服务器用于因特网服务供应商 (ISP) 来执行 AAA 任务。AAA 的各阶段叙述如下:
授权阶段: 针对本地数据库校验用户名和密码。校验用户身份后,开始验证过程。
验证阶段: 确定是否允许一个请求访问一个资源。一个 IP 地址被分配给该拨号客户端。
会计阶段: 收集资源利用的信息,用于趋势分析、审计、会话时间收费或成本分配。
Wi-Fi 保护性接入(WPA)是一种增强安全性,大大提高 WLAN 的数据保护和接入控制级别。WPA 模式执行 802.1x 验证和密钥交换,只适用于动态加密密钥。为加强数据加密,WPA 采用“时间性密钥完整性协议(TKIP)”。TKIP 提供重大的数据加密增强,包括每一数据包密钥混合函数、称为 Michael 的“消息完整性核实”(MIC)、带顺序规则的扩展初始化矢量(IV)以及重新生成密钥的机制。使用此改进的增强,TKIP 提供的保护可抵御 WEP 的已知弱点。
PEAP 是一种新的可扩展验证协议(EAP)IEEE 802.1x 验证类型,旨在利用服务器侧的 EAP-传输层安全性(EAP-TLS),并支持多种验证方法,包括用户密码和一次性密码,以及“通用令牌卡(Generic Token Card)”。
Cisco LEAP(EAP Cisco 无线)是一种通过用户提供的登录密码实现的服务器和客户端 802.1x 验证。当一个无线接入点与一个启用了 Cisco LEAP 的 RADIUS(Cisco 安全接入控制服务器 (ACS) 服务器)通讯时,Cisco LEAP 通过客户端无线适配器与无线网络之间的交互验证而提供接入控制,并且还提供动态的各别用户加密密钥来帮助保护传输数据的隐私。
“Cisco 欺诈 AP”安全性功能
“Cisco 欺诈 AP”功能提供安全性保护的机制是引入一个欺诈接入点,该欺诈接入点能够模仿网络上的合法接入点以便抽取用户身份凭证和验证协议的信息从而可能危及安全性。此功能只适用于 Cisco 的 LEAP 验证。标准的 802.11 技术对引入欺诈接入点的网络不提供保护。
CKIP
Cisco 密钥完整性协议(CKIP)是 Cisco 专有的安全性协议,用于加密 802.11 媒体。CKIP 使用以下功能来提高 802.11 在基础结构模式中的安全性:
有些接入点,例如 Cisco 350 或 Cisco 1200,所支持的环境中,并非所有客户站都支持 WEP 加密,这称为“混合单元模式”。 当这些无线网络以“可选加密”模式运行时,以 WEP 模式加入的客户站发出的所有消息都加密,而以标准模式加入的客户站发出的所有消息都不加密。 这些接入点广播网络不使用加密,但允许客户使用 WEP 模式加入。 当在配置式中启用“混合单元”时,它允许连接至配置为“可选加密”的接入点。
![]() |
注意: 当在配置式中使用启用 Cisco-Client eXtentions 时,确保启用“高级设置”混合单元(要求 Cisco CCX 选项)。 启用 Cisco CCX 的配置式使用 CKIP 数据加密和 802.1x LEAP 验证。 |
请阅读所有规定和免责声明。