設定資料加密和驗證
加密概述
如何啟用 WEP 加密
系統管理員作業
設定 WEP 和 MD5 驗證的用戶端
使用 WEP 或 TKIP 驗證為 WPA-PSK 設定用戶端
使用 TKIP 加密和 TLS 驗證為 WPA 設定用戶端
使用 TKIP 加密和 TTLS 或 PEAP 驗證為 WPA 設定用戶端
使用 CKIP 加密和 LEAP 驗證為 CCX 設定用戶端
有線對等式保密 (WEP) 加密和共用驗證為網路上的資料提供保護。 WEP 使用加密鍵在資料傳輸之前對其進行加密。 使用相同加密鍵的電腦才能存取該網路或解密其它電腦傳輸出來的加密資料。 驗證提供介面卡到存取點的其它驗證程序。WEP 演算法容易受到被動和主動網路的侵犯。 TKIP 和 CKIP 演算法包括轉移現有網路攻擊和指出其缺點之 WEP 通訊協定的增強功能。
802.11 支援兩種類型的網路驗證方法;"開放系統" 以及使用 64 位元和 128 位元 WEP 加密的 "共用系統"。 開放模式不需要加密驗證方法來與特定的存取點關連。 支援的驗證佈局是 "開放" 和 "共用" 驗證:
啟用資料加密 (WEP、CKIP 或 TKIP) 時,會使用網路金鑰來進行加密。 網路金鑰可自動提供給您 (例如,可能會提供在您的無線網路介面卡、或者,您可自己輸入並指定金鑰的長度 (64 位元或 128 位元)、金鑰格式 (ASCII 字元或十六進位數字)、以及金鑰索引 (特定金鑰的儲存位置)。 金鑰長度越長、保全性就越高。 金鑰長度每增加一個位元,可能的金鑰數目就增加一倍。
在 802.11 下,無線站台最多可用四個金鑰設定 (金鑰索引值是 1、2、3、和 4)。 當某個存取點或無線站台使用儲存在特定金鑰索引中的金鑰傳輸加密訊息時,傳輸訊息就會顯示用來加密訊息內容的金鑰索引。 然後,接收存取點或無線站台就可以擷取儲存在該金鑰索引中的金鑰,然後,用該金鑰來解開加密的訊息內容。
802.1x 使用兩種類型的加密金鑰,靜態和動態。 靜態加密金鑰是手動方式變更,比較容易受侵害。 MD5 驗證僅使用靜態加密金鑰。 動態加密金鑰會定期自動換新。 這種方法使加密金鑰更安全。 要啟用動態加密金鑰,您一定要使用 802.1x 驗證方法,例如 TLS、TTLS、PEAP 或 LEAP。
WLAN 中的保全性可以使用 WEP (無線加密通訊協定) 啟用資料加密來加以輔助。 您可以選擇 64 或 128 位元等級的加密。 另外,資料也可以用金鑰加密。 另外一個稱為加密金鑰索引的參數會提供選項讓您為該設定檔建立多重加密金鑰。 但是,一次僅能使用一個加密金鑰。 您也可以選擇使用密碼保護來確保設定檔的私密性。
密語是用來自動產生WEP 鍵的。您可以選擇使用密語或手動輸入 WEP 鍵。 使用 64 位元加密,密語是 5 個字元長,您可以配合要連線的網路,為 WEP 鍵選擇任何隨意和容易記住的辭句,像 Acme1,或輸入 10 個十六進位字元。 若是 128 位元加密,密語就是 13 個字元長,或者為 WEP 鍵輸入 26 個十六進位字元以取得與適當網路之間的連線。
注意: 您一定要使用和無線網路上其它裝置一樣的加密類型、加密索引號碼、以及 WEP 鍵。
以下的範例說明如何編輯現有的設定檔和套用 WEP 加密。
注意: 開始之前,請先連絡您的系統管理員以取得網路 WEP 密語或 "十六位元金鑰"。
要啟用 WEP 加密:
- 使用密語: 按一下「使用密語」來啟用。 在密與欄位中入文字語句,最多可以有五個(使用 64 位元)或13個(使用 128 位元)英數字元(0-9、a-z 或 A-Z)。
- 使用十六位元金鑰: 按一下「使用十六位元金鑰」來啟用。 在十六位元金鑰欄位中,最多輸入十 (使用 64 位元) 個英數字元、0-9、A-F、或二十六 (使用 128 位元) 個英數字元、0-9、A-F。
![]() |
注意:以下的資訊是要提供給系統管理員的。 |
如果您沒有任何 EAP-TLS、或 EAP-TTLS 證書,就一定要取得用戶端證書才能允許驗證。 一般來說,您需要向您的系統網路管理員取得如何在網路上獲取證書的說明。 證書可從「Internet 設定」管理,存取方法是從 Internet Explorer 或 Windows「控制台」小程式。 使用「Internet 設定」的「內容」頁。
Windows XP 和 2000: 獲取用戶端證書時,請不要啟用加強私密金鑰保護。 如果您為證書啟用加強私密金鑰保護,每次使用此證書時,您都需要輸入證書的存取密碼。 如果您在設定 TLS/TTLS 驗證的服務,就一定要停用證書的加強私密金鑰保護。 否則,802.1x 服務會無法通過驗證,因為它會沒有登入使用者名稱可以顯示提示對話方塊。
有關智慧卡的注意事項
安裝 "智慧卡" 後,證書會自動安裝在您的電腦上,並且可以從個人證書存放區和根證書存放區選取。
步驟 1: 取得憑證
要允許 TLS 驗證,登入使用者帳戶在本機存放庫中需要有有效的用戶端 (使用者) 證書。 您在根存放區中還需要一個可信任的 CA 憑證。
以下的資訊提供兩個取得證書的方法:
注意: 如果這是您第一次獲取證書的話,CA 會詢問您是否要先安裝根存放區中的受信任 CA 證書。 對話方塊不會說明這是受信任的 CA 證書,但是顯示在證書上的名稱會是 CA 的主機名稱。 按一下「是」,TLS 和 TTLS 都會需要這個證書。
以下範例說明使用 TTLS 或 PEAP驗證來配合使用 TKIP 加密於 WPA。
步驟 2: 指定 Intel(R) PROSet for Wireless 使用的憑證
按一下「允許中繼憑證」核取方塊,允許伺服器憑證和指定的 CA 之間的伺服器憑證鏈含許多不指定的憑證。 如果沒有核取,那麼,一定是由指定的 CA 直接發行伺服器證書。
如果您知道伺服器名稱,請輸入這個名稱。
選取完全符合伺服器名稱的適當選項或指定網域名稱。
有關憑證的注意事項: 指定的身份應該語證書中的「發行給」欄位相符,並應該在驗證者使用的驗證伺服器 (也就是,RADIUS 伺服器) 上登錄。 對驗證伺服器來說,您的證書一定要 "有效"。 這項需求要視驗證伺服器而定,一般來說,表示驗證伺服器一定要將證書發行者視為 "證書授權單位"。 您應該使用安裝證書時使用的使用者名稱登入。
要新增 WEP 和 MD5 驗證到新的設定檔:
注意: 開始之前,請先連絡您的系統管理員以取得 RADIUS 伺服器的使用者名稱和密碼。
注意: 要安裝 802.1x 密碼同步處理能力功能 (使用 Windows 登入),請參考安裝或解除安裝 " 802.1x 密碼同步處理能力功能" 以獲取安裝說明。
如果沒有使用任何驗證伺服器的話,使用 Wi-Fi 保護的存取 - 預先共用金鑰 (WPA-PSK) 模式。 這個模式不會使用任何 802.1x 驗證通訊協定。其可以使用於資料加密類型: WEP 或 TKIP。 WPA-PSK 需要預先共用金鑰組態 (PSK)。 您一定要為 "預先共用金鑰" 輸入長度 256 位元的密語或 64 個十六位元字元。 資料加密金鑰是從 PSK 衍生出來的。
使用 WPA-PSK 來設定設定檔:
Wi-Fi 保護的存取 (WPA) 模式可以使用於 TLS、TTLS、或 PEAP。 使用資料加密選項的 802.1x 驗證通訊協定;WEP 或 TKIP。 Wi-Fi 保護的存取 (WPA) 模式結合於 802.1x 驗證中。 資料加密金鑰是從 802.1x 金鑰互換接收到的。 為了要改善資料加密,"Wi-Fi 保護的存取" 會使用 "暫時密碼整合通訊協定" (TKIP)。 TKIP 提供重要的資料加密增強功能,包括再次金鑰設定方法。
按一下「允許中繼憑證」核取方塊,允許伺服器憑證和指定的 CA 之間的伺服器憑證鏈含許多不指定的憑證。 如果沒有核取,那麼,一定是由指定的 CA 直接發行伺服器證書。
如果您知道伺服器名稱,請輸入這個名稱。
選取完全符合伺服器名稱的適當選項或指定網域名稱。
有關憑證的注意事項: 指定的身份應該語證書中的「發行給」欄位相符,並應該在驗證者使用的驗證伺服器 (也就是,RADIUS 伺服器) 上登錄。 對驗證伺服器來說,您的證書一定要 "有效"。 這項需求要視驗證伺服器而定,一般來說,表示驗證伺服器一定要將證書發行者視為 "證書授權單位"。 您應該使用安裝證書時使用的使用者名稱登入。
使用 TTLS 驗證:這些設定定義用來驗證使用者的通訊協定和身分證明。 在 TTLS 中,用戶端使用 EAP-TLS 來驗證伺服器,以及在用戶端和伺服器之間建立 TLS 加密的通道。 用戶端可以使用另外一個驗證通訊協定,一般是密碼式的通訊協定,例如透過這個加密通道的 "MD5 挑戰" 來啟用伺服器驗證。 挑戰和回應封包是透過非揭露的 TLS 加密通道傳送的。
使用 PEAP 驗證:在驗證伺服器驗證用戶端時,需要 PEAP 設定。 在 PEAP 中,用戶端使用 EAP-TLS 來驗證伺服器,以及在用戶端和伺服器之間建立 TLS 加密的通道。 用戶端可以使用另外一個 EAP 機制,例如 Microsoft Challenge Authentication Protocol (MSCHAP) 版本 2,在這個加密的通道上啟用伺服器驗證。 挑戰和回應封包是透過非揭露的 TLS 加密通道傳送的。
以下範例說明使用 TTLS 或 PEAP驗證來配合使用 TKIP 加密於 WPA。
注意: 要安裝 802.1x 密碼同步處理能力功能 (使用 Windows 登入),請參考安裝或解除安裝 " 802.1x 密碼同步處理能力功能" 以獲取安裝說明。
按一下「允許中繼憑證」核取方塊,允許伺服器憑證和指定的 CA 之間的伺服器憑證鏈含許多不指定的憑證。 如果沒有核取,那麼,一定是由指定的 CA 直接發行伺服器證書。
如果您知道伺服器名稱,請輸入這個名稱。
選取完全符合伺服器名稱的適當選項或指定網域名稱。
有關憑證的注意事項: 指定的身份應該語證書中的「發行給」欄位相符,並應該在驗證者使用的驗證伺服器 (也就是,RADIUS 伺服器) 上登錄。 對驗證伺服器來說,您的證書一定要 "有效"。 這項需求要視驗證伺服器而定,一般來說,表示驗證伺服器一定要將證書發行者視為 "證書授權單位"。 您應該使用安裝證書時使用的使用者名稱登入。
![]() |
注意: LEAP 設定檔僅能使用 Intel(R) PROSet for Wireless 設定。 |
一定要設定 Intel(R) PROSet for Wireless CCX (v1.0) 設定檔才能連線到特定的 ESS 或 Wireless LAN 網路。 設定檔設定包括 LEAP、CKIP 和 Rogue AP 偵測設定。
要設定 CCX 保全性設定的設定檔:
注意: 要安裝 802.1x 密碼同步處理能力功能 (使用 Windows 登入),請參考安裝或解除安裝 " 802.1x 密碼同步處理能力功能" 以獲取安裝說明。
視 WLAN 環境而定,存取點提供選取不同驗證類型的設定值。 用戶端會在連線建立期間,於用戶端和 AP 進行 802.11 驗證交涉時,傳送 "驗證" 演算法欄位。 由 CCX 啟用之 AP 識別的 "驗證" 演算法值和其它不同驗證類型不一樣。 舉例來說,"網路-EAP" 表示 LEAP 在 "開放" (其為 802.11 指定的 "開放" 驗證) 時的值是 0x80,並規定 EAP 交涉互換值為 0x0 的 "規定 EAP"。
AP: 若僅是使用 LEAP 驗證的 CCX 啟用網路,驗證類型會在 "網路-EAP" 核取方塊選取、"開放" 和 "規定 EAP" 核取方塊取消核取的情況下設定。 然後,AP 會設定僅允許LEAP 用戶端進行驗證和連線。 在這種情況下,AP 會期待 802.11 驗證演算法被設為 0x80 (LEAP),而拒絕嘗試用 0x0 "驗證" 演算法值進行驗證的用戶端。
用戶端: 在這種情況下,用戶端需要傳送驗證演算值 0x80,否則,802.11 驗證交涉就會失敗。 開機期間,如果 Wireless LAN 驅動程式已經載入,但是 Intel(R) PROSet for Wireless 請求者尚未載入,用戶端會用 0x0 的 "驗證" 演算值傳送 802.11 驗證。 當 Intel(R) PROSet for Wireless 請求者載入,並啟動 LEAP 設定檔時,它就會用 0x80 的 "驗證" 演算值傳送 802.11 驗證。 但是,如果 Rogue AP 方塊有核取,請求者才會傳送出 0x80。
AP: 如果「網路-EAP」、「開放」、和「規定 EAP」方塊有被核取,就會同時接受 802.11 驗證演算值 0x0 和 0x80 這兩種類型。 但是,一旦用戶端被關聯和驗證,AP 就會期待 EAP 交涉發生。如果 EAP 交涉因為任何原因而沒有發生的話,AP 大約會有 60 秒的時間不會對用戶端做出反應。
用戶端: 用戶端可傳送 0x80 或 0x0 的驗證演算值。 兩種值都可被接受,802.11 驗證交涉也會成功。 開機期間,如果 Wireless LAN 驅動程式已經載入,用戶端就會用 0x0 的 "驗證" 演算值傳送 802.11 驗證。 這樣就足以得到驗證,但是,對應的 EAP 或 LEAP 身份證明需要與 AP 通訊才能建立連線。
AP: 如果 AP 是在「網路-EAP」未核取,但是「開放」和「規定 EAP」核取的情況下設定的,AP 會拒絕任何嘗試使用 0x80 驗證值做 802.11 驗證的用戶端。 AP 會接受任何使用 0x0 驗證演算值的用戶端,並預期 EAP 交涉很快發生。 在這種情況下,用戶端會使用 MD5、TLS、LEAP 或任何其它適用於特定網路組態的適當 EAP 方法。
用戶端: 在此情況下,用戶端需要送出 0x0 的驗證演算值。 就如之前提到的,此順序需要重複提出 802.11 驗證交涉。 首先,Wireless LAN 驅動程式會以 0x0 的值啟動驗證,然後,請求者會重複此程序。 但是,請求者使用的驗證演算法值要視 Rogue AP 核取方塊的狀態而定。 當 Rogue AP 方塊取消核取時,即使是在請求者上載並啟動 LEAP 設定檔後,用戶端依然會用 0x0 的驗證演算法值傳送 802.11 驗證。
例如,設定為 LEAP 時,有些非 Intel 的用戶端在這種情況下會無法驗證。 但是,如果 Rogue AP 沒有核取,Intel Wireless LAN 用戶端就可驗證。
該核取方塊被核取時,就會確保用戶端依照 CCX 的規定執行 Rogue AP 功能。 用戶端會注意其無法驗證的 AP,並將此資訊傳送給 AP,允許它進行驗證和連線。 另外,當 Rogue AP 方塊核取時,請求者會設定 "驗證" 演算類型為 0x80。 如上所述,可能還有一些網路組態執行和「僅限開啟和規定 EAP」 。 要使這項設定能夠作業,用戶端一定要使用 0x0 的 "驗證" 演算法值,和上述的僅限 EAP 需要與 0x80 相反。因此,Rogue AP 核取方塊也可讓用戶端僅支援「網路 EAP」和「規定 EAP」。
Cisco 強制性用戶端符合規格 1.0 版:
符合 802.11 的所有強制性項目
MSDU 和 MMPDU 的磁碟重組
回應 RTS 而產生 CTS
開放和共用加密鍵驗證支援
支援作用中掃瞄
需要符合 Wi-Fi
在 Windows 作業平台,符合 Microsoft 802.11 NIC
符合 802.1X-2001
Windows XP 上的 EAP-TLS (傳輸層保全性,RFC 2716) 支援
Windows XP 上的 EAP-MD4 (RFC 1320) 支援
要傳送出去的未加密 EAP 封包
廣播金鑰輪流支援
CKIP 支援
WEP/RC4 支援
支援 WEP 的 4 個金鑰
兩個 WEP40 和 WEP128 金鑰都受到支援
需要 LEAP 支援
Rogue AP 報告支援
Cisco Extension: Aironet IE 支援 – CWmin 和 CWmax 欄位
壓縮格式規則 IE 支援
Cisco Extension: AP IP 位址 IE
Cisco Extension: Symbol IE
混合 (WEP 和非 WEP) 儲存格
AP 可能對一個以上 SSID 做出回應 – VLAN 警覺
隱藏模式支援 - 用戶端應該忽略信號中的缺少的 SSID
多重 SSID 支援 – 用戶端最多應該可以漫遊 3 個 SSID
用戶端在偵測要求中使用設定的 SSID
注意:請參考 www.cisco.com 中提供的 Cisco 用戶端延伸功能 1.0 版文件以獲取更詳細的資料。
請閱讀所有的限制規定和免責聲明。