设定数据加密和验证
加密概述
如何启用 WEP 加密
系统管理员任务
为 WEP 和 MD5 验证设定客户端
为使用 WEP 或 TKIP 验证的 WPA-PSK 设定客户端
为使用 TKIP 加密和 TLS 验证的 WPA 设定客户端
为使用 TKIP 加密和 TTLS 或 PEAP 验证的 WPA 设定客户端
为使用 CKIP 加密和 LEAP 验证的 CCX 设定客户端
“有线等同隐私” (WEP) 加密和共享验证有助于为网络数据提供保护。WEP 使用加密密钥来加密数据,然后再将其传输。只有使用相同加密密钥的计算机才能访问该网络或解密其他计算机传输的加密数据。验证过程则从适配器到接入点之间提供一层额外的确认过程。WEP 加密算法易受被动和主动网络攻击。TKIP 和 CKIP 算法包括对 WEP 协议的增强,减轻现存网络攻击的损害并解决其缺点。
802.11 支持两种网络验证方法:开放系统和使用 64 位及 128 位 WEP 加密的共享。“开放”不要求加密验证方法来关联到特定的接入点。支持的验证方案是“开放”和“共享”验证:
当“数据加密(WEP、CKIP 或 TKIP)”启用时,使用网络密钥进行加密。网络密钥可自动提供(例如,可能提供给您的无线网络适配器),或者您可自行输入并指定密钥长度(64 位或 128 位)、密钥格式(ASCII 字符或十六进制数字)和密钥索引(特定密钥的储存位置)。密钥长度越长,密钥越安全。密钥长度每增加一位,可能的密钥数字翻一番。
在 802.11 中,一个无线站最多可配置四个密钥(密钥索引值 1、2、3 和 4)。当一个接入点或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时,被传输的消息指明用来加密消息正文的密钥索引。接收的接入点或无线站就可检索储存在该密钥索引中的密钥,并用它来解码加密的消息正文。
802.1x 使用两类加密密钥:静态和动态。静态加密密钥手动更改,较易受攻击。MD5 验证只使用静态加密密钥。动态加密密钥定期自动更新。这使得加密密钥更安全。要启用动态加密密钥,必须使用 802.1x 验证方法,例如 TLS、TTLS、PEAP 或 LEAP。
WLAN 中的安全性可通过启用使用 WEP(无线加密协议)的数据加密来补充。可选择 64 位或 128 位级别的加密。然后可再使用密钥来加密数据。另一个称为“密钥指数”的参数提供为该配置式创建多个密钥的选项。不过,一次只能使用一个密钥。还可选择用密码来保护配置式以保护隐私。
可使用口令短语来自动生成 WEP 密钥。您可选择或者使用口令短语,或者手动输入 WEP 密钥。使用 64 位加密,口令短语为 5 个字符长,您可选择输入任何随意易记短语(如 Acme1),或者输入与要连接的网络的 WEP 密钥匹配的 10 个十六进制字符。对 128 位加密,密码词组为 13 个字符长,您可输入 WEP 密钥的 26 个十六进制字符以连接到相应的网络。
注意: 您必须使用与无线网络上的其他设备相同的加密类型、密钥指数号和 WEP 密钥。
以下的例子叙述如何编辑现有的配置式并应用 WEP 加密。
注意: 开始之前,向系统管理员询问网络 WEP 口令短语或十六进制密钥。
要启用 WEP 加密:
- 使用口令短语:单击使用口令短语启用它。在“密码词组”字段中输入达 5 个(使用 64 位)或 13 个(使用 128 位)字母数字字符(0-9、a-z 或 A-Z)。
- 使用十六进制密钥:单击使用十六进制密钥启用它。在“十六进制密钥”字段中输入达 10 个(使用 64 位)或 26 个(使用 128 位)字母数字字符(0-9、A-F)。
![]() |
注意:以下信息供系统管理员使用。 |
如果您没有任何 EAP-TLS 或 EAP-TTLS 证书,您必须取得一份客户端证书以允许验证。通常,您需要咨询系统网络管理员,请求如何获得客户端证书的指导。证书可以从 Internet Explorer 或 Windows 控制面板小程序中的“Internet”管理。使用“Internet”的“内容”页面。
Windows XP and 2000: 获取客户端证书时,不要启用强大私钥保护。如果对一份证书启用了强大私钥保护,每次使用该证书时都必须输入访问密码。如果为 TLS/TTLS 验证配置该服务,必须对该证书禁用强大私钥保护。否则,802.1X 服务验证将失败,因为没有已经登录的用户可向其显示提示对话框。
关于智能卡的说明
安装智能卡后,证书自动被安装到计算机上,可以从个人证书存储和根证书存储中选择。
第一步:获取证书
要允许 TLS 验证,必须在登录用户帐户的本地仓库中有一份有效的客户端(用户)证书。还需要在根证书存储中有一份信任 CA 证书。
以下信息提供取得证书的两种方法:
注意: 如果这是您获得的第一份证书,CA 将首先询问是否应在根存储中安装一份信任的 CA 证书。该对话框不会指明这是信任的 CA 证书,但显示的证书名称是 CA 主机的名称。单击是。TLS 和 TTLS 都需要该证书。
下面的例子描述如何使用 WPA 及使用 TTLS 或 PEAP 验证的 TKIP 加密。
第二步:指定英特尔(R)无线 PROSet 使用的证书
选中允许中级证书复选框,允许在服务器证书和指定的 CA 之间的服务器证书链中存在多个未指定证书。如果此框未选中,则必须由指定的 CA 直接颁发服务器证书。
如果知道服务器名称,输入其名称。
选择恰当的选项,服务器名称完全相符,或者指定域名。
关于证书的说明:指定的身份应当与证书中的“颁发予”字段匹配,而且应当在验证方所使用的验证服务器(即 RADIUS 服务器)上注册。您的证书必须对验证服务器“有效”。这一要求取决于验证服务器,一般意味着验证服务器必须知道您的证书的颁发者是一个“证书权威”。您应当使用与安装证书所用的相同用户名登录。
要将 WEP 和 MD5 验证添加到一个新配置式:
注意:开始之前,向系统管理员询问在 RADIUS 服务器上的用户名和密码。
注意: 要安装 802.1x 密码同步功能(使用 Windows 登录),参阅安装或卸装 802.1x 密码同步功能获得安装指导。
如果不使用任何验证服务器,则使用“Wi-Fi 保护性接入 - 预配置共享密钥(WPA-PSK)”模式。此模式不使用任何 802.1x 验证协议;它适用于以下数据加密类型:WEP 或 TKIP。WEP 或 TKIP。WPA-PSK 要求预配置共享密钥(PSK)。对长度为 256 位的预配置共享密钥,必须输入一个口令短语或者 64 个十六进制字符。数据加密密钥从 PSK 衍生。
要配置使用 WPA-PSK 的配置式:
Wi-Fi 保护性接入(WPA)模式可与 TLS、TTLS 或 PEAP 一起使用。使用数据加密选项 WEP 或 TKIP 的 802.1x 验证协议。Wi-Fi 保护性接入(WPA)模式与 802.1x 验证绑定。数据加密密钥从 802.1x 密钥交换接收。为增强数据加密,Wi-Fi 保护性接入利用其“时间性密钥完整性协议(TKIP)”。TKIP 提供重大的数据加密增强,包括重新生成密钥的方法。
选中允许中级证书复选框,允许在服务器证书和指定的 CA 之间的服务器证书链中存在多个未指定证书。如果此框未选中,则必须由指定的 CA 直接颁发服务器证书。
如果知道服务器名称,输入其名称。
选择恰当的选项,服务器名称完全相符,或者指定域名。
关于证书的说明:指定的身份应当与证书中的“颁发予”字段匹配,而且应当在验证方所使用的验证服务器(即 RADIUS 服务器)上注册。您的证书必须对验证服务器“有效”。这一要求取决于验证服务器,一般意味着验证服务器必须知道您的证书的颁发者是一个“证书权威”。您应当使用与安装证书所用的相同用户名登录。
使用 TTLS 验证:这些设置定义用来验证用户的协议和身份凭证。在 TTLS 中,客户端使用 EAP-TLS 来证实服务器,并在客户端与服务器之间创建一个 TLS 加密的频道。客户端可在这个加密的信道上使用另一种验证协议(通常是基于密码的协议,例如 MD5 挑战)来启用服务器证实。挑战和相应数据包通过一条非暴露的 TLS 加密信道发送。
使用 PEAP 验证:为将客户端验证到验证服务器,要求 PEAP 设置。在 PEAP 中,客户端使用 EAP-TLS 来证实服务器,并在客户端与服务器之间创建一个 TLS 加密的信道。客户端可在这个加密的信道上使用另一种 EAP 机制(例如 Microsoft Challenge Authentication Protocol (MSCHAP) 第 2 版)来启用服务器证实。挑战和相应数据包通过一条非暴露的 TLS 加密信道发送。
下面的例子描述如何使用 WPA 及使用 TTLS 或 PEAP 验证的 TKIP 加密。
注意: 要安装 802.1x 密码同步功能(使用 Windows 登录),参阅安装或卸装 802.1x 密码同步功能获得安装指导。
选中允许中级证书复选框,允许在服务器证书和指定的 CA 之间的服务器证书链中存在多个未指定证书。如果此框未选中,则必须由指定的 CA 直接颁发服务器证书。
如果知道服务器名称,输入其名称。
选择恰当的选项,服务器名称完全相符,或者指定域名。
关于证书的说明:指定的身份应当与证书中的“颁发予”字段匹配,而且应当在验证方所使用的验证服务器(即 RADIUS 服务器)上注册。您的证书必须对验证服务器“有效”。这一要求取决于验证服务器,一般意味着验证服务器必须知道您的证书的颁发者是一个“证书权威”。您应当使用与安装证书所用的相同用户名登录。
![]() |
注意:LEAP 配置式只能用英特尔(R)无线 PROSet 配置。 |
要连接到一个特定 ESS 或无线局域网,必须配置一个英特尔(R)无线 PROSet CCX (v1.0) 配置式。配置式设置包括 LEAP、CKIP 和 欺诈 AP 检测的设置。
要为 CCX 安全性设置配置一个配置式:
注意: 要安装 802.1x 密码同步功能(使用 Windows 登录),参阅安装或卸装 802.1x 密码同步功能获得安装指导。
接入点提供根据 WLAN 环境来选择不同验证类型的设置。在客户端与接入点建立连接时发生的 802.11 验证握手的的过程中,客户端发送一个验证算法字段。对不同的验证类型,启用 CCX 的接入点所识别的验证算法值也不同。例如,“网络 EAP (Network-EAP)”表示 LEAP,其值为 0x80;而“开放 (Open)”(802.11 指定的“开放”验证)和“要求 EAP (Required EAP)”(要求 EAP 握手交换)的值为 0x0。
接入点:对只使用 LEAP 验证的启用了 CCX 的网络,其验证类型通过选中“网络 EAP”复选框而不选中“开放”和“要求 EAP”复选框来设定。于是,接入点就配置为只允许 LEAP 客户端验证和连接。在此例中,接入点期待 802.11 验证算法设为 0x80(LEAP),而拒绝试图用验证算法值 0x0 来验证的客户端。
客户端:在此例中,客户端需要发送验证算法值 0x80,否则,802.11 验证握手会失败。在引导过程中,无线 LAN 驱动程序已经加载,但英特尔(R)无线 PROSet 请求方尚未加载,客户端发送验证算法值为 0x0 的 802.11 验证。英特尔(R)无线 PROSet 请求方一旦加载并使用 LEAP 配置式,客户端即发送验证算法值为 0x80 的 802.11 验证。不过,请求方只在“欺诈 AP”复选框被选中时才发送 0x80。
接入点:如果“网络 EAP”、“开放”和“要求 EAP”复选框被选中,接入点对两种类型的 802.11 验证算法值 0x0 和 0x80 都接受。然而,客户端一旦关联并通过验证,接入点就会期待 EAP 握手发生。如果 EAP 握手因任何原因没有迅速发生,接入点不响应客户端为时约 60 秒钟。
客户端:此时,客户端可以发送验证算法值 0x80 或 0x0。这两个值都被接受,802.11 验证握手会成功。在引导过程中,无线 LAN 驱动程序已经加载,客户端发送验证算法值为 0x0 的 802.11 验证。这足以通过验证,但是需要用相应的 EAP 或 LEAP 身份凭证通知接入点以建立连接。
接入点:如果接入点配置为不选中“网络 EAP”而选中“开放”和“要求 EAP”,接入点将拒绝任何试图用验证算法值 0x80 来进行 802.11 验证的客户端。接入点将接受任何使用验证算法值 0x0 的客户端,并且期待 EAP 握手马上开始。在此例中,客户端使用 MD5、TLS、LEAP 或任何适用于特定网络配置的适当 EAP 方法。
客户端:在此例中,要求客户端发送验证算法值 0x0。如上所述,此过程的顺序包括重复最初的 802.11 验证握手。首先,无线 LAN 驱动程序以验证算法值 0x0 发起验证,然后,请求方重新此过程。不过,请求方使用的验证算法值取决于“欺诈 AP”复选框的状态。当“欺诈 AP”复选框未被选中时,客户端以验证算法值 0x0 发送 802.11 验证,即使请求方已经加载并使用 LEAP 配置式。
例如,有些设定为 LEAP 的非英特尔客户端,在此情况下就不能验证。然而,英特尔无线 LAN 客户端可以验证,只要不选中“欺诈 AP”。
当此复选框被选中时,它确保客户端按 CCX 的要求实现“欺诈 AP”功能。客户端记录其未通过验证的接入点,并将此信息发送给允许其验证和连接的接入点。此外,当“欺诈 AP”复选框被选中时,请求方将验证算法类型设为 0x80。可能有些网络配置实现上述的只有“开放”和“要求 EAP”的配置。为使此种设置能运行,客户端必须使用验证算法值 0x0,而如上所述,只有“网络 EAP”的设置则需使用 0x80。因此,“欺诈 AP”复选框也使客户端能够支持“只有‘网络 EAP’” 的设置和“只有‘开放’和‘要求 EAP’”的设置。
Cisco mandatory Client Compliance Specifications Version1.0(Cisco 强制性客户端依从规范版本 1.0):
依从 802.11 的所有强制性项目
MSDU 和 MMPDU 碎片处理
响应 RTS 而生成 CTS
开放和共享密钥验证支持
支持活动扫描
要求 Wi-Fi 依从
在 Windows 平台,Microsoft 802.11 NIC 依从
802.1X-2001 依从
在 Windows XP 上,支持 EAP-TLS(传输层安全性,RFC 2716)
在 Windows XP 上,支持 EAP-MD4(RFC 1320)
EAP 数据包不加密发送
支持广播密钥轮回
CKIP 支持
WEP/RC4 支持
对 WEP 支持四个密钥
对 WEP40 和 WEP128 密钥均支持
要求 LEAP 支持
支持“欺诈 AP”报告
Cisco 扩展:支持 Aironet IE – CWmin 和 CWmax 字段
支持 Encapsulation Transformation Rule IE
Cisco 扩展:AP IP 地址 IE
Cisco 扩展:Symbol IE
混合(WEP 和非 WEP)单元
接入点可响应一个以上 SSID – VLAN 知悉
支持隐密模式 - 客户端应当忽略信标中的丢失 SSID
支持多个 SSID – 客户端应当能最多漫游三个 SSID
客户端在探测请求中使用配置的 SSID
注意:请参阅 www.cisco.com 上的 Cisco Client extensions version 1.0 文档了解细节。
请阅读所有规定和免责声明。