回到內容頁
設定資料加密和驗證保全性和加密:
PRO/Wireless LAN Mini PCI Adapter 使用者指南
保全性和加密
加密概述
如何啟用 WEP 加密
系統管理員作業
設定 WEP 和 MD5 驗證的用戶端
使用 WEP 或 TKIP 驗證為 WPA-PSK 設定用戶端
使用 TKIP 加密和 TLS 驗證為 WPA 設定用戶端
使用 TKIP 加密和 TTLS 或 PEAP 驗證為 WPA 設定用戶端
使用 CKIP 加密和 LEAP 驗證為 CCX 設定用戶端
有線對等式保密 (WEP) 加密和共用驗證為網路上的資料提供保護。 WEP 使用加密鍵在資料傳輸之前對其進行加密。 使用相同加密鍵的電腦才能存取該網路或解密其它電腦傳輸出來的加密資料。 驗證提供介面卡到存取點的其它驗證程序。WEP 演算法容易受到被動和主動網路的侵犯。 開放和共用金鑰驗證
802.11 支援兩種類型的網路驗證方法:開放系統和共用金鑰。 支援的驗證佈局是 "開放" 和 "共用鍵" 驗證:
啟用資料加密 (WEP、CKIP 或 TKIP) 時,會使用網路金鑰來進行加密。 網路金鑰可自動提供給您 (例如,可能會提供在您的無線網路介面卡、或者,您可自己輸入並指定金鑰的長度 (64 位元或 128 位元)、金鑰格式 (ASCII 字元或十六進位數字)、以及金鑰索引 (特定金鑰的儲存位置)。 金鑰長度越長、保全性就越高。 金鑰長度每增加一個位元,可能的金鑰數目就增加一倍。
在 802.11 下,無線站台最多可用四個金鑰設定 (金鑰索引值是 1、2、3、和 4)。 當某個存取點或無線站台使用儲存在特定金鑰索引中的金鑰傳輸加密訊息時,傳輸訊息就會顯示用來加密訊息內容的金鑰索引。 然後,接收存取點或無線站台就可以擷取儲存在該金鑰索引中的金鑰,然後,用該金鑰來解開加密的訊息內容。
802.1x 使用兩種類型的加密金鑰,靜態和動態。 靜態加密金鑰是手動方式變更,比較容易受侵害。 MD5 驗證僅使用靜態加密金鑰。 動態加密金鑰會定期自動換新。 這種方法使加密金鑰更安全。 要啟用動態加密金鑰,您一定要使用 802.1x 驗證方法,例如 TLS、TTLS、PEAP 或 LEAP。
WLAN 中的保全性可以使用 WEP (無線加密通訊協定) 啟用資料加密來加以輔助。 您可以選擇 64 或 128 位元等級的加密。 另外,資料也可以用金鑰加密。 另外一個稱為加密金鑰索引的參數會提供選項讓您為該設定檔建立多重加密金鑰。 但是,一次僅能使用一個加密金鑰。 您也可以選擇使用密碼保護來確保設定檔的私密性。
密語是用來自動產生WEP 鍵的。您可以選擇使用密語或手動輸入 WEP 鍵。 使用 64 位元加密,密語是 5 個字元長,您可以配合使用者要連線的網路,為 WEP 鍵選擇任何隨意和容易記住的辭句,像 Acme1,或輸入 10 個十六進位數字。 若是 128 位元加密,密語就是 13 個字元長,或者為 WEP 鍵輸入 26 個十六進位數字以取得與適當網路之間的連線。
注意: 您一定要使用和無線網路上其它裝置一樣的加密類型、加密索引號碼、以及 WEP 鍵。 同時,如果使用了 802.1x 驗證,一定要停用 WEP 加密。
以下的範例說明如何編輯現有的設定檔和套用 WEP 加密。
要啟用 WEP 加密:
- 使用密語: 按一下「使用密語」來啟用。 在密與欄位中入文字語句,最多可以有五個 (使用 64 位元) 或13個 (使用 128 位元) 英數字元 (0-9、a-z 或 A-Z)。
- 使用十六位元金鑰: 按一下「使用十六位元金鑰」來啟用。 在十六位元金鑰欄位中,最多輸入十 (使用 64 位元) 個英數字元、0-9、A-F、或二十六 (使用 128 位元) 個英數字元、0-9、A-F。
- 密語: 按一下 「使用密語」來將其啟用。 在密語欄位中輸入文字語句,最多可有五 (使用 64 位元)或 13 (使用 128 位元) 個英數字元 (0-9、a-z 或 A-Z)。
![]() |
注意: 您一定要使用和無線網路上其它裝置一樣的加密類型、索引號碼、以及 WEP 鍵。 |
![]() |
注意: 以下的資訊是要提供給系統管理員的。 |
如果您沒有任何 EAP-TLS、或 EAP-TTLS 憑證,就一定要取得用戶端憑證才能允許驗證。 一般來說,您需要向您的系統網路管理員取得如何在網路上獲取憑證的說明。 憑證可從「Internet 設定」管理,存取方法是從 Internet Explorer 或 Windows「控制台」小程式。 使用「Internet 設定」的「內容」頁。
Windows XP 和 2000: 獲取用戶端憑證時,請不要啟用加強私密金鑰保護。 如果您為憑證啟用加強私密金鑰保護,每次使用此憑證時,您都需要輸入憑證的存取密碼。 如果您在設定 TLS/TTLS 驗證的服務,就一定要停用憑證的加強私密金鑰保護。 否則,802.1x 服務會無法通過驗證,因為它會沒有登入使用者名稱可以顯示提示對話方塊。
有關智慧卡的注意事項
安裝 "智慧卡" 後,證書會自動安裝在您的電腦上,並且可以從個人憑證存放區和根憑證存放區選取。
步驟 1: 取得憑證
要允許 TLS 驗證,登入使用者帳戶在本機存放庫中需要有有效的用戶端 (使用者) 憑證。 您在根存放區中還需要一個可信任的 CA 憑證。
以下的資訊提供兩個取得憑證的方法:
從在 Windows 2000 Server 上執行的企業憑證授權單位
使用 Internet Explorer 的憑證匯入精靈來從檔案匯入憑證
注意: 如果這是您第一次獲取憑證的話,CA 會詢問您是否要先安裝根存放區中的受信任 CA 憑證。 對話方塊不會說明這是受信任的 CA 憑證,但是顯示在憑證上的名稱會是 CA 的主機名稱。 按一下「是」,TLS 和 TTLS 都會需要這個憑證。
以下範例說明使用 TTLS 或 PEAP驗證來配合使用 TKIP 加密於 WPA。
步驟 2: 指定 Intel(R) PROSet 使用的憑證
獲取並安裝用戶端憑證,參考 "步驟 1" 或向您的系統管理員洽詢。
從「一般」頁,按一下「網路」標籤。
按一下 「新增」按鈕。
輸入設定檔和網路 (SSID) 名稱。
為操作模式選取 Infrastructure (基礎架構)。
按一下「下一步」。
為 "網路驗證" 選取「開始」。 您也可以選取任何其它可供使用的驗證模式。
選取 WEP 為 "資料加密"。 您也可以選取任何其它可供使用的加密類型。
按一下「啟用 802.1x」 核取方塊。
設定要使用於這個連線之 TLS 的驗證類型。
按一下「設定」按鈕來開啟設定對話方塊。
在「使用者名稱」欄位中輸入使用者名稱。
從清單中選取 "憑證簽發者"。 選取「任何信任的 CA」為預設值。
按一下「允許中繼憑證」核取方塊,允許伺服器憑證和指定的 CA 之間的伺服器憑證鏈含許多不指定的憑證。 如果沒有核取,那麼,一定是由指定的 CA 直接發行伺服器憑證。
輸入「伺服器」名稱。
如果您知道伺服器名稱,請輸入這個名稱。
選取完全符合伺服器名稱的適當選項或指定網域名稱。
在「用戶端憑證」選項下,按一下「選取」按鈕來開啟安裝的憑證清單。
有關憑證的注意事項: 指定的身分應該語憑證中的「發行給」欄位相符,並應該在驗證者使用的驗證伺服器 (也就是,RADIUS 伺服器) 上登錄。 對驗證伺服器來說,您的憑證一定要 "有效"。 這項需求要視驗證伺服器而定,一般來說,表示驗證伺服器一定要將憑證發行者視為 "憑證授權單位"。 您應該使用安裝憑證時使用的使用者名稱登入。
從清單選取憑證,按一下「確定」。 用戶端憑證資訊會顯示在 "用戶端憑證" 下。
按一下「關閉」。
按一下「完成」按鈕來儲存設定檔的保全性設定。
要新增 WEP 和 MD5 驗證到新的設定檔:
注意: 開始之前,您一定要從系統管理員處取得 RADIUS 伺服器上的使用者名稱和密碼。
如果沒有使用任何驗證伺服器的話,使用 Wi-Fi 保護的存取 - 預先共用金鑰 (WPA-PSK) 模式。 這個模式不會使用任何 802.1x 驗證通訊協定。其可以使用於資料加密類型: WEP 或 TKIP。 WPA-PSK 需要預先共用金鑰組態 (PSK)。 您一定要為 "預先共用金鑰" 輸入長度 256 位元的密語或 64 個十六位元字元。 資料加密金鑰是從 PSK 衍生出來的。
使用 WPA-PSK 來設定設定檔:
從「一般」頁,按一下「網路」標籤。
按一下 「新增」按鈕。
輸入設定檔和網路 (SSID) 名稱。
為操作模式選取 Infrastructure (基礎架構)。
按一下「下一步」。
從「網路驗證」選取 WPA-PSK。 您還可以選取驗證模式。
選取 WEP 為 "資料加密"。
選取以下之一:
使用密語:按一下「使用密語言」來啟用。 在密語欄位中輸入文字語句,最多可以有五個(使用 64 位元) 或 13 個 (使用 128 位元) 英數字元 ((0-9、a-z 或 A-Z)。
使用十六位元金鑰:按一下「使用十六位元金鑰」來啟用。 在十六位元金鑰欄位中,最多輸入十 (使用 64 位元) 個英數字元、0-9、A-F、或二十六 (使用 128 位元) 個英數字元、0-9、A-F。
按一下「啟用 802.1x」 核取方塊。
設定要使用於這個連線之 TLS 的驗證類型。
按一下「完成」按鈕來儲存設定檔的保全性設定。
Wi-Fi 保護的存取 (WPA) 模式 可以使用於 TLS、TTLS、或 PEAP。 使用資料加密選項的 802.1x 驗證通訊協定;WEP 或 TKIP。 Wi-Fi 保護的存取 (WPA) 模式結合於 802.1x 驗證中。 資料加密金鑰是從 802.1x 金鑰互換接收到的。 為了要改善資料加密,"Wi-Fi 保護的存取" 會使用 "暫時密碼整合通訊協定" (TKIP)。 TKIP 提供重要的資料加密增強功能,包括再次金鑰設定方法。
獲取並安裝用戶端憑證,請參考設定 TLS 驗證的用戶端或洽詢您的系統管理員。
從「一般」頁,按一下「網路」標籤。
按一下 「新增」按鈕。
輸入設定檔和網路 (SSID) 名稱。
為操作模式選取 Infrastructure (基礎架構)。
按一下「下一步」。
為 "網路驗證" 選取 WPA。
選取 TKIP 為 "資料加密"。
設定要使用於這個連線之 TLS 的驗證類型。
按一下「設定」按鈕來開啟設定對話方塊。
在「使用者名稱」欄位中輸入使用者名稱。
從清單中選取 "憑證簽發者"。 選取「任何信任的 CA」為預設值。
按一下「允許中繼憑證」核取方塊,允許伺服器憑證和指定的 CA 之間的伺服器憑證鏈含許多不指定的憑證。 如果沒有核取,那麼,一定是由指定的 CA 直接發行伺服器憑證。
輸入「伺服器」名稱。
如果您知道伺服器名稱,請輸入這個名稱。
選取完全符合伺服器名稱的適當選項或指定網域名稱。
使用用戶端憑證: 這個選項會從 Windows 登入使用者的「個人」憑證存放區選取用戶端憑證。 這項憑證會使用於用戶端驗證。 按一下「選取」按鈕來開啟安裝憑證的清單。
有關憑證的注意事項: 指定的身分應該語憑證中的「發行給」欄位相符,並應該在驗證者使用的驗證伺服器 (也就是,RADIUS 伺服器) 上登錄。 對驗證伺服器來說,您的憑證一定要 "有效"。 這項需求要視驗證伺服器而定,一般來說,表示驗證伺服器一定要將憑證發行者視為 "憑證授權單位"。 您應該使用安裝憑證時使用的使用者名稱登入。
從清單選取憑證,按一下「確定」。 用戶端憑證資訊會顯示在 "用戶端憑證" 下。
按一下「關閉」。
按一下「完成」按鈕來儲存設定檔的保全性設定。
使用 TTLS 驗證:這些設定定義用來驗證使用者的通訊協定和身分證明。 在 TTLS 中,用戶端使用 EAP-TLS 來驗證伺服器,以及在用戶端和伺服器之間建立 TLS 加密的通道。 用戶端可以使用另外一個驗證通訊協定,一般是密碼式的通訊協定,例如透過這個加密通道的 "MD5 挑戰" 來啟用伺服器驗證。 挑戰和回應封包是透過非揭露的 TLS 加密通道傳送的。
使用 PEAP 驗證:在驗證伺服器驗證用戶端時,需要 PEAP 設定。 在 PEAP 中,用戶端使用 EAP-TLS 來驗證伺服器,以及在用戶端和伺服器之間建立 TLS 加密的通道。 用戶端可以使用另外一個 EAP 機制,例如 Microsoft Challenge Authentication Protocol (MSCHAP) 版本 2,在這個加密的通道上啟用伺服器驗證。 挑戰和回應封包是透過非揭露的 TLS 加密通道傳送的。
以下範例說明使用 TTLS 或 PEAP驗證來配合使用 TKIP 加密於 WPA。
獲取並安裝用戶端憑證,請參考設定 TLS 驗證的用戶端或洽詢您的系統管理員。
從「一般」頁,按一下「網路」標籤。
按一下 「新增」按鈕。
輸入設定檔和網路 (SSID) 名稱。
為操作模式選取 Infrastructure (基礎架構)。
按一下「下一步」。
為 "網路驗證" 選取 WPA。
選取 TKIP 為 "資料加密"。
設定要使用於這個連線之 TTLS 或 PEAP 的驗證類型。
按一下「設定」按鈕來開啟設定對話方塊。
在「漫遊身份」欄位中,輸入漫遊身份名稱。這個選擇性的功能是提供給驗證者的 802.1X 身份識別。 建議您不要在這個欄位填寫真實的身分,相反地,請使用喜愛的領域 (例如,anonymous@myrealm)。
從清單中選取 "憑證簽發者"。 選取「任何信任的 CA」為預設值。
按一下「允許中繼憑證」核取方塊,允許伺服器憑證和指定的 CA 之間的伺服器憑證鏈含許多不指定的憑證。 如果沒有核取,那麼,一定是由指定的 CA 直接發行伺服器憑證。
輸入「伺服器」名稱。
如果您知道伺服器名稱,請輸入這個名稱。
選取完全符合伺服器名稱的適當選項或指定網域名稱。
驗證通訊協定:
PEAP: 選取 MS-CHAP-V2。 這個參數指定透過 PEAP 通道操作的驗證通訊協定。 通訊協定有: MS-CHAP-V2 (預設)、GTC、和 TLS。
TTLS:選取 PAP。 這個參數指定透過 TTLS 通道操作的驗證通訊協定。 通訊協定有: PAP (預設)、CHAP、MD5、MS-CHAP 和 MS-CHAP-V2。
輸入使用者名稱。 這個使用者名稱一定要與用戶端驗證前, IT 管理員在驗證伺服器中設定的使用者名稱相符。 使用者名稱的大小寫須相符。 這個名稱指定驗證通訊協定透過 TLS 通道操作而提供給驗證者的身分。 加密通道被確蓋和建立後,這個使用者的身分才會被安全地傳輸到伺服器。
輸入使用者密碼。指定 使用者密碼。 這個密碼一定要與驗證伺服器中設定的密碼相符。
重新輸入使用者密碼。 如果確認的話,會顯示出在「密碼」欄位中輸入的密碼字元。
使用用戶端憑證: 這個選項會從 Windows 登入使用者的「個人」憑證存放區選取用戶端憑證。 這項憑證會使用於用戶端驗證。 按一下「選取」按鈕來開啟安裝憑證的清單。
有關憑證的注意事項: 指定的身分應該語憑證中的「發行給」欄位相符,並應該在驗證者使用的驗證伺服器 (也就是,RADIUS 伺服器) 上登錄。 對驗證伺服器來說,您的憑證一定要 "有效"。 這項需求要視驗證伺服器而定,一般來說,表示驗證伺服器一定要將憑證發行者視為 "憑證授權單位"。 這表示驗證是伺服器一定要將您的憑證簽發者當成 "憑證授權單位"。 您應該使用安裝憑證時使用的使用者名稱登入。
從清單選取憑證,按一下「確定」。 用戶端憑證資訊會顯示在 "用戶端憑證" 下。
按一下「關閉」。
按一下「完成」按鈕來儲存設定檔的保全性設定。
請閱讀所有的限制規定和免責聲明。