返回目录页面

设定连接安全性:英特尔(R) PRO/无线 2200BG 用户指南


安全性和加密

设定数据加密和验证
加密概述
如何启用 WEP 加密
系统管理员任务
为 WEP 和 MD5 验证设定客户端
为使用 WEP 或 TKIP 验证的 WPA-PSK 设定客户端
为使用 TKIP 加密和 TLS 验证的 WPA 设定客户端
为使用 TKIP 加密和 TTLS 或 PEAP 验证的 WPA 设定客户端
为使用 CKIP 加密和 LEAP 验证的 CCX 设定客户端


设定数据加密和验证

“有线等同隐私” (WEP) 加密和共享验证有助于为网络数据提供保护。WEP 使用加密密钥来加密数据,然后再将其传输。只有使用相同加密密钥的计算机才能访问该网络或解密其他计算机传输的加密数据。验证过程则从适配器到接入点之间提供一层额外的确认过程。WEP 加密算法易受被动和主动网络攻击。TKIP 和 CKIP 算法包括对 WEP 协议的增强,减轻现存网络攻击的损害并解决其缺点。

开放和共享密钥验证

802.11 支持两种网络验证方法:开放系统和使用 64 位及 128 位 WEP 加密的共享。“开放”不要求加密验证方法来关联到特定的接入点。支持的验证方案是“开放”和“共享”验证:

网络密钥

当“数据加密(WEP、CKIP 或 TKIP)”启用时,使用网络密钥进行加密。网络密钥可自动提供(例如,可能提供给您的无线网络适配器),或者您可自行输入并指定密钥长度(64 位或 128 位)、密钥格式(ASCII 字符或十六进制数字)和密钥索引(特定密钥的储存位置)。密钥长度越长,密钥越安全。密钥长度每增加一位,可能的密钥数字翻一番。

在 802.11 中,一个无线站最多可配置四个密钥(密钥索引值 1、2、3 和 4)。当一个接入点或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时,被传输的消息指明用来加密消息正文的密钥索引。接收的接入点或无线站就可检索储存在该密钥索引中的密钥,并用它来解码加密的消息正文。

静态和动态加密密钥类型

802.1x 使用两类加密密钥:静态和动态。静态加密密钥手动更改,较易受攻击。MD5 验证只使用静态加密密钥。动态加密密钥定期自动更新。这使得加密密钥更安全。要启用动态加密密钥,必须使用 802.1x 验证方法,例如 TLS、TTLS、PEAP 或 LEAP。


加密概述

WLAN 中的安全性可通过启用使用 WEP(无线加密协议)的数据加密来补充。可选择 64 位或 128 位级别的加密。然后可再使用密钥来加密数据。另一个称为“密钥指数”的参数提供为该配置式创建多个密钥的选项。不过,一次只能使用一个密钥。还可选择用密码来保护配置式以保护隐私。

可使用口令短语来自动生成 WEP 密钥。您可选择或者使用口令短语,或者手动输入 WEP 密钥。使用 64 位加密,口令短语为 5 个字符长,您可选择输入任何随意易记短语(如 Acme1),或者输入与要连接的网络的 WEP 密钥匹配的 10 个十六进制字符。对 128 位加密,密码词组为 13 个字符长,您可输入 WEP 密钥的 26 个十六进制字符以连接到相应的网络。

注意: 您必须使用与无线网络上的其他设备相同的加密类型、密钥指数号和 WEP 密钥。


如何启用 WEP 加密

以下的例子叙述如何编辑现有的配置式并应用 WEP 加密。

注意: 开始之前,向系统管理员询问网络 WEP 口令短语或十六进制密钥。
 

要启用 WEP 加密:

  1. 常规页面,单击网络选项卡。
  2. 从“配置式列表”中选择该配置式,再单击编辑按钮。
  3. 单击安全性选项卡。
  4. 选择任何网络验证模式(建议选开放)。
  5. 选择 WEP 用于数据加密。
  6. 选择 64 位 128 位加密等级。
  7. 选择密钥索引 1、2、3 或 4
  8. 选择下列之一:
  1. 单击确定保存配置式设置。

系统管理员任务

注意:以下信息供系统管理员使用。

如何获得客户端证书

如果您没有任何 EAP-TLS 或 EAP-TTLS 证书,您必须取得一份客户端证书以允许验证。通常,您需要咨询系统网络管理员,请求如何获得客户端证书的指导。证书可以从 Internet Explorer 或 Windows 控制面板小程序中的“Internet”管理。使用“Internet”的“内容”页面。

Windows XP and 2000: 获取客户端证书时,不要启用强大私钥保护。如果对一份证书启用了强大私钥保护,每次使用该证书时都必须输入访问密码。如果为 TLS/TTLS 验证配置该服务,必须对该证书禁用强大私钥保护。否则,802.1X 服务验证将失败,因为没有已经登录的用户可向其显示提示对话框。

关于智能卡的说明

安装智能卡后,证书自动被安装到计算机上,可以从个人证书存储和根证书存储中选择。

为 TLS 验证设定客户端

第一步:获取证书

要允许 TLS 验证,必须在登录用户帐户的本地仓库中有一份有效的客户端(用户)证书。还需要在根证书存储中有一份信任 CA 证书。

以下信息提供取得证书的两种方法:

从 Windows 2000 CA 获取证书:

  1. 启动 Internet Explorer,浏览到 Certificate Authority HTTP Service(使用 http://yourdomainserver.yourdomain/certsrv 之类的 URL,其中 certsrv 是将您带到证书权威的命令)。也可以使用服务器的 IP 地址,例如“192.0.2.12/certsrv”。
  2. 使用在验证服务器上创建(上文)的用户帐户的名称和密码和登录到 CA。名称和密码不一定要与当前用户的 Windows 登录名和密码相同。
  3. 在 CA 的欢迎页面,选择 Request a certificate(请求证书)任务并提交表格。
  4. 在 Choose Request Type(选择请求类型)页面,选择 Advanced request(高级请求),再单击下一步
  5. 在 Advanced Certificate Requests(高级证书请求)页面,选择 Submit a certificate request to this CA using a form(使用表格向 CA 提交证书请求),再单击提交
  6. 在 Advanced Certificate Requests(高级证书请求)页面,选择 User certificate template(用户证书模板)。选择 Mark keys as exportable(将密钥标记为可导出),再单击下一步。使用显示的默认值。
  7. 在 Certificate Issued(颁发的证书)页面,选择 Install this certificate(安装此证书)。

注意: 如果这是您获得的第一份证书,CA 将首先询问是否应在根存储中安装一份信任的 CA 证书。该对话框不会指明这是信任的 CA 证书,但显示的证书名称是 CA 主机的名称。单击。TLS 和 TTLS 都需要该证书。

  1. 如果证书安装成功,将出现消息“Your new certificate has been successfully installed(您的新证书已成功安装)”。
  2. 为确认安装,单击 Internet Explorer > 工具 > Internet 选项 > 内容 > 证书。新证书应安装在“个人”文件夹。

从文件导入证书

  1. 打开“因特网属性”(右击桌面上的 Internet Explorer 图标,选择“属性”)。
  2. 单击“内容”页面上的证书按钮。这将打开安装的证书列表。
  3. 单击证书列表下方的导入按钮。这将启动“证书导入向导”。(注意:步骤 1 到 3 也可以通过双击证书的图标来完成。)
  4. 选择该文件,继续前进到“密码”页面。
  5. 在“密码”页面,输入该文件的访问密码。清除“启用强大私钥保护”选项。
  6. 在“证书存储”页面,选择“根据证书类型自动选择证书存储”。(证书必须位于“用户帐户个人存储”才能从客户端的“配置”对话框中访问;如果选择“自动”就会如此。)
  7. 继续前进到“完成证书导入”,再单击完成按钮。

下面的例子描述如何使用 WPA 及使用 TTLS 或 PEAP 验证的 TKIP 加密。

为 TLS 验证设定客户端

第二步:指定英特尔(R)无线 PROSet 使用的证书

  1. 获取并安装一份客户端证书(参阅步骤 1,或询问系统管理员)。
  2. 常规页面,单击网络选项卡。
  3. 单击添加按钮。
  4. 输入配置式和网络(SSID)名称。
  5. 选择基础结构操作模式。
  6. 单击下一步
  7. 选择开放用于“网络验证”。也可以选择其他任何可用的验证模式。
  8. 选择 WEP 用于数据加密。也可以选择其他任何可用的加密类型。
  9. 单击 802.1x 启用复选框。
  10. 设定验证类型为 TLS 供此次连接使用。
  11. 单击配置按钮以打开设置对话框。
  12. 在“用户名称”字段中输入您的用户名。
  13. 从列表中选择证书颁发者。选择“选择任何信任的 CA”作为默认值。
  14. 输入“服务器”名称。
  15. 在“客户端证书”选项下,单击选择按钮以打开安装的证书列表。
  16. 从列表中选择证书,再单击确定。客户端证书显示在“客户端证书”下。
  17. 单击关闭
  18. 单击完成按钮保存配置式的安全性设置。

为 WEP 和 MD5 验证设定客户端

要将 WEP 和 MD5 验证添加到一个新配置式:

注意:开始之前,向系统管理员询问在 RADIUS 服务器上的用户名和密码。

  1. 常规页面,单击网络选项卡。
  2. 单击“配置式列表”中的添加按钮。
  3. 输入配置式和网络(SSID)名称。
  4. 选择基础结构操作模式。
  5. 单击下一步
  6. 选择开放(建议)用于“网络验证”。
  7. 选择 WEP 用于数据加密。
  8. 选择 64 位128 位密等级。
  9. 选择密钥索引 1、2、34
  10. 输入要求的口令短语十六进制密钥
  11. 单击 802.1x 启用复选框。
  12. 选择 MD5 作为 802.1x 验证类型。
  13. 选中使用 Windows 登录复选框。此功能允许 802.1x 身份凭证匹配您的 Windows 用户名和密码。在连接到无线网络之前,“身份凭证”对话框出现,提示输入您的 Windows 登录身份凭证。
注意: 要安装 802.1x 密码同步功能(使用 Windows 登录),参阅安装或卸装 802.1x 密码同步功能获得安装指导。     
  1. 如果未选中使用 Windows 登录, 必须输入在验证服务器上创建的用户帐户的用户名和密码。 单击配置打开“身份凭证”对话框。输入已在验证服务器上创建的用户帐户的用户名和密码。单击保存用户身份凭证复选框以保存身份凭证供此 802.1x 配置式以后使用。 用户名和密码不一定要与当前 Windows 用户登录的用户名和密码相同。
  2. 单击关闭保存设置。
  3. 如果在“常规”设置页面中选中了密码保护复选框,再单击下一步显示“密码”页面并输入配置式密码。
  4. 单击完成按钮保存配置式设置。
  5. 选择网络选项卡。
  6. 选择配置式并单击连接
  7. 如果选中了使用 Windows 登录(见第 13 步),“身份凭证”对话框出现。输入您的 Windows 用户名和密码。选中保存用户身份凭证复选框以保存身份凭证供此配置式以后使用。
  8. 单击确定保存设置并连接至网络。

为使用 WEP 或 TKIP 验证的 WPA-PSK 设定客户端

如果不使用任何验证服务器,则使用“Wi-Fi 保护性接入 - 预配置共享密钥(WPA-PSK)”模式。此模式不使用任何 802.1x 验证协议;它适用于以下数据加密类型:WEP 或 TKIP。WEP TKIP。WPA-PSK 要求预配置共享密钥(PSK)。对长度为 256 位的预配置共享密钥,必须输入一个口令短语或者 64 个十六进制字符。数据加密密钥从 PSK 衍生。

要配置使用 WPA-PSK 的配置式:

  1. 常规页面,单击网络选项卡。
  2. 单击添加按钮。
  3. 输入配置式和网络(SSID)名称。
  4. 选择基础结构操作模式。
  5. 单击下一步
  6. 选择 WPA-PSK 用于“网络验证”。还可选择验证模式。
  7. 选择 WEPTKIP 用于数据加密。
  8. 选择下列之一:
  9. 单击完成按钮保存配置式的安全性设置。

为使用 TKIP 加密和 TLS 验证的 WPA 设定客户端

Wi-Fi 保护性接入(WPA)模式可与 TLS、TTLS 或 PEAP 一起使用。使用数据加密选项 WEP 或 TKIP 的 802.1x 验证协议。Wi-Fi 保护性接入(WPA)模式与 802.1x 验证绑定。数据加密密钥从 802.1x 密钥交换接收。为增强数据加密,Wi-Fi 保护性接入利用其“时间性密钥完整性协议(TKIP)”。TKIP 提供重大的数据加密增强,包括重新生成密钥的方法。

  1. 获取并安装一份客户端证书,参阅为 TLS 验证设定客户端,或询问系统管理员。
  2. 常规页面,单击网络选项卡。
  3. 单击添加按钮。
  4. 输入配置式和网络(SSID)名称。
  5. 选择基础结构操作模式。
  6. 单击下一步
  7. 选择 WPA 用于“网络验证”。
  8. 选择 TKIP 用于数据加密。
  9. 设定验证类型为 TLS 供此次连接使用。
  10. 单击配置按钮以打开设置对话框。
  11. 在“用户名称”字段中输入您的用户名。
  12. 从列表中选择证书颁发者。选择“选择任何信任的 CA”作为默认值。
  13. 输入“服务器”名称。
  14. 使用客户端证书:此选项从 Windows 登录用户的“私人”证书存储中选择一份客户端证书。此证书将用于客户端验证。单击“选择”按钮打开安装的证书列表。
  15. 从列表中选择证书,再单击确定。客户端证书显示在“客户端证书”下。
  16. 单击关闭
  17. 单击完成按钮保存配置式的安全性设置。

为使用 TKIP 加密和 TTLS 或 PEAP 验证的 WPA 设定客户端

使用 TTLS 验证:这些设置定义用来验证用户的协议和身份凭证。在 TTLS 中,客户端使用 EAP-TLS 来证实服务器,并在客户端与服务器之间创建一个 TLS 加密的频道。客户端可在这个加密的信道上使用另一种验证协议(通常是基于密码的协议,例如 MD5 挑战)来启用服务器证实。挑战和相应数据包通过一条非暴露的 TLS 加密信道发送。

使用 PEAP 验证:为将客户端验证到验证服务器,要求 PEAP 设置。在 PEAP 中,客户端使用 EAP-TLS 来证实服务器,并在客户端与服务器之间创建一个 TLS 加密的信道。客户端可在这个加密的信道上使用另一种 EAP 机制(例如 Microsoft Challenge Authentication Protocol (MSCHAP) 第 2 版)来启用服务器证实。挑战和相应数据包通过一条非暴露的 TLS 加密信道发送。

下面的例子描述如何使用 WPA 及使用 TTLS 或 PEAP 验证的 TKIP 加密。

  1. 获取并安装一份客户端证书,参阅为 TLS 验证设定客户端,或询问系统管理员。
  2. 常规页面,单击网络选项卡。
  3. 单击添加按钮。
  4. 输入配置式和网络(SSID)名称。
  5. 选择基础结构操作模式。
  6. 单击下一步
  7. 选择 WPA 用于“网络验证”。
  8. 选择 TKIP 用于数据加密。
  9. 选中使用 Windows 登录复选框。此功能允许 802.1x 身份凭证匹配您的 Windows 用户名和密码。 不要求第 17 和 18 步中的用户名和密码。连接之前,“身份凭证”对话框出现,提示输入您的 Windows 登录身份凭证。
注意: 要安装 802.1x 密码同步功能(使用 Windows 登录),参阅安装或卸装 802.1x 密码同步功能获得安装指导。     
  1. 如果未选中使用 Windows 登录, 必须输入在验证服务器上创建的用户帐户的用户名和密码(见第 17 和 18 步)。
  2. 设定验证类型为 TTLS PEAP 供此次连接使用。
  3. 单击配置按钮以打开设置对话框。
  4. 漫游身份字段中输入漫游身份名称。此可选的功能是提供给验证者的 802.1X 身份。建议此字段不要包含真实的身份,而使用期望的领域(例如,anonymous@myrealm)。
  5. 从列表中选择证书颁发者。选择“选择任何信任的 CA”作为默认值。
  6. 输入“服务器”名称。
  7. 验证协议:
  8. 输入用户名。用户名必须与在客户端验证之前由 IT 管理员在验证服务器上设定的用户名匹配。用户名区分大小写。此名称指定由在 TLS 隧道中运行的验证协议提供给验证者的身份。这个用户身份只有在加密的隧道已通过验证并建立之后才传输给服务器。
  9. 输入用户密码。指定用户密码。此密码必须与在验证服务器上设定的密码匹配。
  10. 选中保存用户身份凭证复选框以保存身份凭证供此配置式以后使用。注意:用户名和密码不一定要与当前 Windows 用户的用户名和密码相同。
  11. 再次输入用户密码。如果通过确认,显示在“密码”字段中输入的相同密码字符。
  12. 使用客户端证书:此选项从 Windows 登录用户的“私人”证书存储中选择一份客户端证书。此证书将用于客户端验证。单击选择按钮打开安装的证书列表。
  13. 从列表中选择证书,再单击确定。客户端证书显示在“客户端证书”下。
  14. 单击关闭
  15. 单击完成按钮保存配置式的安全性设置。
  16. 从配置式列表中选择配置式,再单击“连接”。
  17. 如果选中了使用 Windows 登录(见第 9 步),“身份凭证”对话框出现。输入您的 Windows 用户名和密码。选中保存用户身份凭证复选框以保存身份凭证供此配置式以后使用。
  18. 单击确定保存设置并连接至网络。

为使用 CKIP 加密和 LEAP 验证的 CCX 设定客户端

使用英特尔(R)无线 PROSet 配置 LEAP
注意:LEAP 配置式只能用英特尔(R)无线 PROSet 配置。   

要连接到一个特定 ESS 或无线局域网,必须配置一个英特尔(R)无线 PROSet CCX (v1.0) 配置式。配置式设置包括 LEAP、CKIP 和 欺诈 AP 检测的设置。

要为 CCX 安全性设置配置一个配置式:

  1. 常规页面,单击网络选项卡。
  2. 单击添加按钮。
  3. 输入配置式和网络(SSID)名称。
  4. 选择基础结构操作模式。
  5. 单击 Cisco Client eXtentions 复选框来启用 CCX 安全性。如果在“高级设置”中选中了 Cisco 的混合单元框,此选项也必须选中。注意:网络验证数据加密现在包括 CCX 安全性选项:开放共享用于 802.11 验证;无、WEP、CKIP 用于数据加密。
  6. 单击下一步
  7. 在“网络验证”选项中选择开放
  8. 选择 CKIP 用于数据加密。
  9. 单击 802.1x 启用复选框启用 802.1x 安全性选项。
  10. 选择 LEAP 作为 802.1x 验证类型。
  11. 选中使用 Windows 登录复选框。此功能允许 802.1x 身份凭证匹配您的 Windows 用户名和密码。在连接到无线网络之前,“身份凭证”对话框出现,提示输入您的 Windows 登录身份凭证。
注意: 要安装 802.1x 密码同步功能(使用 Windows 登录),参阅安装或卸装 802.1x 密码同步功能获得安装指导。     
  1. 如果未选中使用 Windows 登录,单击配置打开身份凭证对话框。输入已在验证服务器上创建的用户帐户的用户名和密码。 单击保存用户身份凭证复选框以保存身份凭证供此 802.1x 配置式以后使用。注意:用户名和密码不一定要与当前 Windows 用户登录的用户名和密码相同。
  2. 如果网络已经设置对付欺诈 AP,单击启用欺诈 AP 检测。如果在 AP 配置设置(只适用于 Cisco AP)中选中了“网络-EAP”复选框,也应设定此设置。
  3. 单击关闭保存设置。
  4. 选择网络选项卡。
  5. 从配置式列表中选择 CCX 配置式,再单击“连接”。
  6. 如果选中了使用 Windows 登录(见第 11 步),“身份凭证”对话框出现。输入您的 Windows 用户名和密码。选中保存用户身份凭证复选框以保存身份凭证供此配置式以后使用。
  7. 单击确定保存设置并连接至网络。

CCX 接入点和客户端配置

接入点提供根据 WLAN 环境来选择不同验证类型的设置。在客户端与接入点建立连接时发生的 802.11 验证握手的的过程中,客户端发送一个验证算法字段。对不同的验证类型,启用 CCX 的接入点所识别的验证算法值也不同。例如,“网络 EAP (Network-EAP)”表示 LEAP,其值为 0x80;而“开放 (Open)”(802.11 指定的“开放”验证)和“要求 EAP (Required EAP)”(要求 EAP 握手交换)的值为 0x0。

只有“网络 EAP”

接入点:对只使用 LEAP 验证的启用了 CCX 的网络,其验证类型通过选中“网络 EAP”复选框而不选中“开放”和“要求 EAP”复选框来设定。于是,接入点就配置为只允许 LEAP 客户端验证和连接。在此例中,接入点期待 802.11 验证算法设为 0x80(LEAP),而拒绝试图用验证算法值 0x0 来验证的客户端。

客户端:在此例中,客户端需要发送验证算法值 0x80,否则,802.11 验证握手会失败。在引导过程中,无线 LAN 驱动程序已经加载,但英特尔(R)无线 PROSet 请求方尚未加载,客户端发送验证算法值为 0x0 的 802.11 验证。英特尔(R)无线 PROSet 请求方一旦加载并使用 LEAP 配置式,客户端即发送验证算法值为 0x80 的 802.11 验证。不过,请求方只在“欺诈 AP”复选框被选中时才发送 0x80。

“网络 EAP”、“开放”和“要求 EAP”

接入点:如果“网络 EAP”、“开放”和“要求 EAP”复选框被选中,接入点对两种类型的 802.11 验证算法值 0x0 和 0x80 都接受。然而,客户端一旦关联并通过验证,接入点就会期待 EAP 握手发生。如果 EAP 握手因任何原因没有迅速发生,接入点不响应客户端为时约 60 秒钟。

客户端:此时,客户端可以发送验证算法值 0x80 或 0x0。这两个值都被接受,802.11 验证握手会成功。在引导过程中,无线 LAN 驱动程序已经加载,客户端发送验证算法值为 0x0 的 802.11 验证。这足以通过验证,但是需要用相应的 EAP 或 LEAP 身份凭证通知接入点以建立连接。

只有“开放”和“要求 EAP”

接入点:如果接入点配置为不选中“网络 EAP”而选中“开放”和“要求 EAP”,接入点将拒绝任何试图用验证算法值 0x80 来进行 802.11 验证的客户端。接入点将接受任何使用验证算法值 0x0 的客户端,并且期待 EAP 握手马上开始。在此例中,客户端使用 MD5、TLS、LEAP 或任何适用于特定网络配置的适当 EAP 方法。

客户端:在此例中,要求客户端发送验证算法值 0x0。如上所述,此过程的顺序包括重复最初的 802.11 验证握手。首先,无线 LAN 驱动程序以验证算法值 0x0 发起验证,然后,请求方重新此过程。不过,请求方使用的验证算法值取决于“欺诈 AP”复选框的状态。当“欺诈 AP”复选框未被选中时,客户端以验证算法值 0x0 发送 802.11 验证,即使请求方已经加载并使用 LEAP 配置式。

例如,有些设定为 LEAP 的非英特尔客户端,在此情况下就不能验证。然而,英特尔无线 LAN 客户端可以验证,只要不选中“欺诈 AP”。

“欺诈 AP”复选框配置

当此复选框被选中时,它确保客户端按 CCX 的要求实现“欺诈 AP”功能。客户端记录其未通过验证的接入点,并将此信息发送给允许其验证和连接的接入点。此外,当“欺诈 AP”复选框被选中时,请求方将验证算法类型设为 0x80。可能有些网络配置实现上述的只有“开放”和“要求 EAP”的配置。为使此种设置能运行,客户端必须使用验证算法值 0x0,而如上所述,只有“网络 EAP”的设置则需使用 0x80。因此,“欺诈 AP”复选框也使客户端能够支持“只有‘网络 EAP’” 的设置和“只有‘开放’和‘要求 EAP’”的设置。

Cisco CCX 功能支持

Cisco mandatory Client Compliance Specifications Version1.0(Cisco 强制性客户端依从规范版本 1.0):

注意:请参阅 www.cisco.com 上的 Cisco Client extensions version 1.0 文档了解细节。

返回目录页面


请阅读所有规定和免责声明