设定数据加密和验证
加密概述
如何启用 WEP 加密
系统管理员任务
为 WEP 和 MD5 验证设定客户端
为使用 WEP 或 TKIP 验证的 WPA-PSK 设定客户端
为使用 TKIP 加密和 TLS 验证的 WPA 设定客户端
为使用 TKIP 加密和 TTLS 或 PEAP 验证的 WPA 设定客户端
为使用 CKIP 加密和 LEAP 验证的 CCX 设定客户端
“有线等同隐私” (WEP) 加密和共享验证有助于为网络数据提供保护。WEP 使用加密密钥来加密数据,然后再将其传输。只有使用相同加密密钥的计算机才能访问该网络或解密其他计算机传输的加密数据。验证过程则从适配器到接入点之间提供一层额外的确认过程。WEP 加密算法易受被动和主动网络攻击。TKIP 和 CKIP 算法包括对 WEP 协议的增强,减轻现存网络攻击的损害并解决其缺点。
802.11 支持两种网络验证方法:开放系统和使用 64 位及 128 位 WEP 加密的共享。“开放”不要求加密验证方法来关联到特定的接入点。支持的验证方案是“开放”和“共享”验证:
当“数据加密”(WEP、WEP、CKIP 或 TKIP)启用时,使用网络密钥进行加密。网络密钥可自动提供(例如,可能提供给您的无线网络适配器),或者您可自行输入并指定密钥长度(64 位或 128 位)、密钥格式(ASCII 字符或十六进制数字)和密钥索引(特定密钥的储存位置)。密钥长度越长,密钥越安全。密钥长度每增加一位,可能的密钥数字翻一番。
在 802.11 中,一个无线站最多可配置四个密钥(密钥索引值 1、2、3 和 4)。当一个接入点或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时,被传输的消息指明用来加密消息正文的密钥索引。接收的接入点或无线站就可检索储存在该密钥索引中的密钥,并用它来解码加密的消息正文。
802.1x 使用两类加密密钥:静态和动态。静态加密密钥手动更改,较易受攻击。MD5 验证只使用静态加密密钥。动态加密密钥定期自动更新。这使得加密密钥更安全。要启用动态加密密钥,必须使用 802.1x 验证方法,例如 TLS、TTLS、PEAP 或 LEAP。
802.1x 验证要点
802.1x 验证方法包括密码、证书和智能卡(保存数据的塑料卡)。
802.1x 密码同步功能:MD5、TLS、TTLS 和 LEAP 身份凭证对话框上的“使用 Windows 登录”选项框,此功能允许 802.1x 身份凭证匹配您的 Windows 用户名和密码。802.1x 验证选项只能与基础结构操作模式一起使用。
WLAN 中的安全性可通过启用使用 WEP(无线加密协议)的数据加密来补充。可选择 64 位或 128 位级别的加密。然后可再使用密钥来加密数据。另一个称为“密钥指数”的参数提供为该配置式创建多个密钥的选项。不过,一次只能使用一个密钥。还可选择用密码来保护配置式以保护隐私。
可使用口令短语来自动生成 WEP 密钥。您可选择或者使用口令短语,或者手动输入 WEP 密钥。使用 64 位加密,口令短语为 5 个字符长,您可选择输入任何随意易记短语(如 Acme1),或者输入与要连接的网络的 WEP 密钥匹配的 10 个十六进制字符。对 128 位加密,口令短语为 13 个字符长,您可为 WEP 密钥输入 26 个十六进制字符以连接到相应的网络。
注意: 您必须使用与无线网络上的其他设备相同的加密类型、密钥指数号和 WEP 密钥。
以下的例子叙述如何编辑现有的配置式并应用 WEP 加密。
注意: 开始之前,向系统管理员询问网络 WEP 口令短语或十六进制密钥。
要启用 WEP 加密:
- 使用口令短语:单击此选项以启用。在“口令短语”字段中输入达 5 个(使用 64 位)或 13 个(使用 128 位)字母数字字符(0-9、a-z 或 A-Z)的文本短语。
- 使用十六进制密钥:单击此选项以启用。在“十六进制密钥”字段中输入达 10 个(使用 64 位)或 26 个(使用 128 位)字母数字字符(0-9、A-F)。
![]() |
注意: 以下信息供系统管理员使用。 参阅管理员特权和限权用户获得更多信息。 |
如果您没有任何 EAP-TLS 或 EAP-TTLS 证书,您必须取得一份客户端证书以允许验证。通常,您需要咨询系统网络管理员,请求如何获得客户端证书的指导。证书可以从 Internet Explorer 或 Windows 控制面板小程序中的“Internet”管理。使用“Internet”的“内容”页面。
Windows XP and 2000: 获取客户端证书时,不要启用强大私钥保护。如果对一份证书启用了强大私钥保护,每次使用该证书时都必须输入访问密码。如果为 TLS/TTLS 验证配置该服务,必须对该证书禁用强大私钥保护。否则,802.1X 服务验证将失败,因为没有已经登录的用户可向其显示提示对话框。
关于智能卡的说明
安装智能卡后,证书自动被安装到计算机上,可以从个人证书存储和根证书存储中选择。
第一步:获取证书
要允许 TLS 验证,必须在登录用户帐户的本地仓库中有一份有效的客户端(用户)证书。还需要在根证书存储中有一份信任 CA 证书。
以下信息提供取得证书的两种方法:
注意: 如果这是您获得的第一份证书,CA 将首先询问是否应在根存储中安装一份信任的 CA 证书。该对话框不会指明这是信任的 CA 证书,但显示的证书名称是 CA 主机的名称。单击是。TLS 和 TTLS 都需要该证书。
要配置使用 WPA 验证、使用 TLS 验证和 WEP 或 TKIP 加密的配置式。
第二步:指定英特尔(R) PROSet 使用的证书
注意: 获取并安装一份客户端证书(参阅步骤 1,或询问系统管理员)。选中允许中级证书复选框,允许在服务器证书和指定的 CA 之间的服务器证书链中存在多个未指定证书。如果此框未选中,则必须由指定的 CA 直接颁发服务器证书。
输入服务器/证书名称。如果知道服务器/证书名称,输入其名称。选择恰当的选项,服务器名称完全相符,或者指定域名。
客户端证书:此选项从 Windows 登录用户的“私人”证书存储中选择一份客户端证书。此证书将用于客户端验证。单击选择按钮打开安装的证书列表。
关于证书的说明: 指定的身份应当与证书中的“颁发予”字段匹配,而且应当在验证方所使用的验证服务器(即 RADIUS 服务器)上注册。您的证书必须对验证服务器“有效”。这一要求取决于验证服务器,一般意味着验证服务器必须知道您的证书的颁发者是一个“证书权威”。您应当使用与安装证书所用的相同用户名登录。
要将 WEP 和 MD5 验证添加到一个新配置式:
注意:开始之前,向系统管理员询问在 RADIUS 服务器上的用户名和密码。
- 连接时提示身份凭证: 每次您登录至网络时提示输入用户名和密码。
- 使用 Windows 登录: 此选项允许 802.1x 身份凭证匹配您的 Windows 用户名和密码。连接之前,“身份凭证”对话框出现,提示输入您的 Windows 登录身份凭证。
- 保存用户身份凭证:使用您的保存的身份凭证登录至网络。单击配置打开“身份凭证”对话框。输入已在验证服务器上创建的用户帐户的用户名、域和密码。这些身份凭证被保存供以后与 802.1x 配置式一起使用。用户名和密码不一定要与 Windows 用户登录的用户名和密码相同。单击确定保存身份凭证。
注意: 如果“使用 Windows 登录”功能变灰(不可使用),“单一签入”功能未安装。 要安装“使用 Windows 登录”功能,参阅安装或卸装单一签入功能得到安装指导。
- 如果在“安全性设置”对话框中未选中“使用 Windows 登录”(第 13 步),也未配置用户身份凭证,在试图用此配置式连接时,将出现“输入身份凭证”对话框。输入您的 Windows 用户名和密码。单击保存用户身份凭证复选框以保存身份凭证供此 802.1x 配置式以后使用。
如果不使用任何验证服务器,则使用“Wi-Fi 保护性接入预配置共享密钥(WPA-PSK)”模式。此模式不使用任何 802.1x 验证协议。它可以与 WEP 或 TKIP 数据加密类型一起使用:WPA-PSK 要求预配置共享密钥(PSK)。对长度为 256 位的预配置共享密钥,必须输入一个口令短语或者 64 个十六进制字符。数据加密密钥从 PSK 衍生。
要配置使用 WEP 或 TKIP 加密与 WPA-PSK 网络验证的新配置式:
Wi-Fi 保护性接入(WPA)模式可与 TLS、TTLS 或 PEAP 一起使用。此 802.1x 验证协议使用数据加密选项:WEP 或 TKIP。Wi-Fi 保护性接入(WPA)模式与 802.1x 验证绑定。数据加密密钥从 802.1x 密钥交换接收。为增强数据加密,Wi-Fi 保护性接入利用其“时间性密钥完整性协议(TKIP)”。TKIP 提供重大的数据加密增强,包括重新生成密钥的方法。
在“用户名称”字段中输入您的用户名。
从列表中选择证书颁发者。选择“任何信任的 CA”作为默认值。
选中允许中级证书复选框,允许在服务器证书和指定的 CA 之间的服务器证书链中存在多个未指定证书。如果此框未选中,则必须由指定的 CA 直接颁发服务器证书。
输入“服务器”名称。如果知道服务器名称,输入其名称。选择恰当的选项,服务器名称完全相符,或者指定域名。
关于证书的说明: 指定的身份应当与证书中的“颁发予”字段匹配,而且应当在验证方所使用的验证服务器(即 RADIUS 服务器)上注册。您的证书必须对验证服务器“有效”。这一要求取决于验证服务器,一般意味着验证服务器必须知道您的证书的颁发者是一个“证书权威”。您应当使用与安装证书所用的相同用户名登录。
TTLS 验证:这些设置定义用来验证用户的协议和身份凭证。在 TTLS 中,客户端使用 EAP-TLS 来证实服务器,并在客户端与服务器之间创建一个 TLS 加密的信道。客户端可在这个加密的信道上使用另一种验证协议(通常是基于密码的协议,例如 MD5 挑战)来启用服务器证实。挑战和相应数据包通过一条非暴露的 TLS 加密信道发送。
PEAP 验证:为将客户端验证到验证服务器,要求 PEAP 设置。在 PEAP 中,客户端使用 EAP-TLS 来证实服务器,并在客户端与服务器之间创建一个 TLS 加密的信道。客户端可在这个加密的信道上使用另一种 EAP 机制(例如 Microsoft Challenge Authentication Protocol (MSCHAP) 第 2 版)来启用服务器证实。挑战和相应数据包通过一条非暴露的 TLS 加密信道发送。
下面的例子描述如何使用 WPA 及使用 TTLS 或 PEAP 验证的 WEP 或 TKIP 加密。
输入“服务器”名称。
- 如果知道服务器名称,输入其名称。
- 选择恰当的选项,服务器名称完全相符,或者指定域名。
- 连接时提示身份凭证: 每次您登录至网络时提示输入用户名和密码。
- 使用 Windows 登录: 此选项允许 802.1x 身份凭证匹配您的 Windows 用户名和密码。连接之前,“身份凭证”对话框出现,提示输入您的 Windows 登录身份凭证。
- 保存用户身份凭证:选中此框保存您的用户名和密码以供将来使用 802.1x 验证配置式时使用。单击配置并输入用户名、域和密码。在“确认密码”文本框中再次输入密码,再单击确定保存设置并关闭对话框。用户名和域必须与在客户端验证之前由系统管理员在验证服务器上设定的用户名匹配。用户名区分大小写。此名称指定由在 TLS 隧道中运行的验证协议提供给验证者的身份。这个用户身份只有在加密的隧道已通过验证并建立之后才传输给服务器。再次输入用户密码。如果通过确认,显示在“密码”字段中输入的相同密码字符。
注意: 如果“使用 Windows 登录”功能变灰(不可使用),“单一签入”功能未安装。 要安装“使用 Windows 登录”功能,参阅安装或卸装单一签入功能得到安装指导。
关于证书的说明:指定的身份应当与证书中的“颁发予”字段匹配,而且应当在验证方所使用的验证服务器(即 RADIUS 服务器)上注册。您的证书必须对验证服务器“有效”。这一要求取决于验证服务器,一般意味着验证服务器必须知道您的证书的颁发者是一个“证书权威”。您应当使用与安装证书所用的相同用户名登录。
- 如果在“安全性设置”对话框中未选中“使用 Windows 登录”(第 15 步),也未配置用户身份凭证,在试图用此配置式连接时,将出现“输入身份凭证”对话框。输入您的 Windows 用户名和密码。单击“保存用户身份凭证”复选框以保存身份凭证供此 802.1x 配置式以后使用。
![]() |
注意: LEAP 配置式只能用英特尔(R) PROSet 配置。 |
要连接到一个特定 ESS 或无线局域网,必须配置一个英特尔(R) PROSet CCX (v1.0) 配置式。配置式设置包括 LEAP、CKIP 和 欺诈 AP 检测的设置。
要为 CCX 安全性设置配置一个配置式:
- 连接时提示身份凭证: 如果您想要在每次连接到无线网络之前输入用户名和密码,选择此框。用户名和密码必须首先由系统管理员在验证服务器上设定。继续执行步骤 13。
- 使用 Windows 登录: 此选项允许 802.1x 身份凭证匹配您的 Windows 用户名和密码。用户名和密码不是必需的。继续执行步骤 13。
- 保存用户身份凭证: 选中此复选框保存您的用户名和密码以供将来使用 802.1x 验证配置式时使用。单击配置并输入用户名、域和密码。在“确认密码”文本框中再次输入密码,再单击确定保存设置并关闭对话框。用户名和域必须与在客户端验证之前由系统管理员在验证服务器上设定的用户名匹配。用户名区分大小写。此名称指定由在 TLS 隧道中运行的验证协议提供给验证者的身份。这个用户身份只有在加密的隧道已通过验证并建立之后才传输给服务器。再次输入用户密码。如果通过确认,显示在“密码”字段中输入的相同密码字符。
注意: 如果“使用 Windows 登录”功能变灰(不可使用),“单一签入”功能未安装。 要安装“使用 Windows 登录”功能,参阅安装或卸装单一签入功能得到安装指导。
接入点提供根据 WLAN 环境来选择不同验证类型的设置。在客户端与接入点建立连接时发生的 802.11 验证握手的的过程中,客户端发送一个验证算法字段。对不同的验证类型,启用 CCX 的接入点所识别的验证算法值也不同。例如,“网络 EAP (Network-EAP)”表示 LEAP,其值为 0x80;而“开放 (Open)”(802.11 指定的“开放”验证)和“要求 EAP (Required EAP)”(要求 EAP 握手交换)的值为 0x0。
接入点:对只使用 LEAP 验证的启用了 CCX 的网络,其验证类型通过选中“网络 EAP”复选框而不选中“开放”和“要求 EAP”复选框来设定。于是,接入点就配置为只允许 LEAP 客户端验证和连接。在此例中,接入点期待 802.11 验证算法设为 0x80(LEAP),而拒绝试图用验证算法值 0x0 来验证的客户端。
客户端:在此例中,客户端需要发送验证算法值 0x80,否则,802.11 验证握手会失败。在引导过程中,无线 LAN 驱动程序已经加载,但英特尔(R) PROSet 请求方尚未加载,客户端发送验证算法值为 0x0 的 802.11 验证。英特尔(R) PROSet 请求方一旦加载并使用 LEAP 配置式,客户端即发送验证算法值为 0x80 的 802.11 验证。
接入点:如果“网络 EAP”、“开放”和“要求 EAP”复选框被选中,接入点对两种类型的 802.11 验证算法值 0x0 和 0x80 都接受。然而,客户端一旦关联并通过验证,接入点就会期待 EAP 握手发生。如果 EAP 握手因任何原因没有迅速发生,接入点不响应客户端为时约 60 秒钟。
客户端:此时,客户端可以发送验证算法值 0x80 或 0x0。这两个值都被接受,802.11 验证握手会成功。在引导过程中,无线 LAN 驱动程序已经加载,客户端发送验证算法值为 0x0 的 802.11 验证。这足以通过验证,但是需要用相应的 EAP 或 LEAP 身份凭证通知接入点以建立连接。
接入点:如果接入点配置为不选中“网络 EAP”而选中“开放”和“要求 EAP”,接入点将拒绝任何试图用验证算法值 0x80 来进行 802.11 验证的客户端。接入点将接受任何使用验证算法值 0x0 的客户端,并且期待 EAP 握手马上开始。在此例中,客户端使用 MD5、TLS、LEAP 或任何适用于特定网络配置的适当 EAP 方法。
客户端:在此例中,要求客户端发送验证算法值 0x0。如上所述,此过程的顺序包括重复最初的 802.11 验证握手。首先,无线 LAN 驱动程序以验证算法值 0x0 发起验证,然后,请求方重新此过程。客户端以验证算法值 0x0 发送 802.11 验证,即使请求方已经加载并使用 LEAP 配置式。
LEAP 配置式保证客户端实行 CCX 要求的“欺诈 AP”功能。客户端记录其未通过验证的接入点,并将此信息发送给允许其验证和连接的接入点。同时,请求方将验证算法类型设为 0x80。可能有些网络配置实现上述的只有“开放”和“要求 EAP”的配置。 为使此种设置能运行,客户端必须使用验证算法值 0x0,与上述的仅网络 EAP 需使用 0x80 相反。 LEAP 配置式使客户端能够支持“仅网络 EAP” 和“开放”以及“仅要求的 EAP”。
注意:请参阅 www.cisco.com 上的 Cisco Client extensions version 2.0 文档了解细节。