返回目录页面
设定数据加密和验证安全性和加密:
PRO/无线 LAN Mini PCI 适配器用户指南
安全性和加密
加密概述
如何启用 WEP 加密
系统管理员任务
为 WEP 和 MD5 验证设定客户端
为使用 WEP 或 TKIP 验证的 WPA-PSK 设定客户端
为使用 TKIP 加密和 TLS 验证的 WPA 设定客户端
为使用 TKIP 加密和 TTLS 或 PEAP 验证的 WPA 设定客户端
为使用 CKIP 加密和 LEAP 验证的 CCX 设定客户端
“有线等同隐私” (WEP) 加密和共享验证有助于为网络数据提供保护。WEP 使用加密密钥来加密数据,然后再将其传输。只有使用相同加密密钥的计算机才能访问该网络或解密其他计算机传输的加密数据。验证过程则从适配器到接入点之间提供一层额外的确认过程。WEP 加密算法易受被动和主动网络攻击。开放和共享密钥验证
802.11 支持两种网络验证方法:开放系统和共享密钥。 支持的验证方案是“开放”和“共享密钥”验证:
当“数据加密(WEP、CKIP 或 TKIP)”启用时,使用网络密钥进行加密。网络密钥可自动提供(例如,可能提供给您的无线网络适配器),或者您可自行输入并指定密钥长度(64 位或 128 位)、密钥格式(ASCII 字符或十六进制数字)和密钥索引(特定密钥的储存位置)。密钥长度越长,密钥越安全。密钥长度每增加一位,可能的密钥数字翻一番。
在 802.11 中,一个无线站最多可配置四个密钥(密钥索引值 1、2、3 和 4)。当一个接入点或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时,被传输的消息指明用来加密消息正文的密钥索引。接收的接入点或无线站就可检索储存在该密钥索引中的密钥,并用它来解码加密的消息正文。
802.1x 使用两类加密密钥:静态和动态。静态加密密钥手动更改,较易受攻击。MD5 验证只使用静态加密密钥。动态加密密钥定期自动更新。这使得加密密钥更安全。要启用动态加密密钥,必须使用 802.1x 验证方法,例如 TLS、TTLS、PEAP 或 LEAP。
WLAN 中的安全性可通过启用使用 WEP(无线加密协议)的数据加密来补充。可选择 64 位或 128 位级别的加密。然后可再使用密钥来加密数据。另一个称为“密钥指数”的参数提供为该配置式创建多个密钥的选项。不过,一次只能使用一个密钥。还可选择用密码来保护配置式以保护隐私。.
可使用口令短语来自动生成 WEP 密钥。您可选择或者使用口令短语,或者手动输入 WEP 密钥。使用 64 位加密,口令短语为 5 个字符长,您可选择输入任何随意易记短语(如 Acme1),或者输入与用户要连接的网络的 WEP 密钥相应的 10 个十六进制数字。对 128 位加密,口令短语为 13 个字符长,您可输入 WEP 密钥的 26 个十六进制数字以连接到相应的网络。
注意: 您必须使用与无线网络上的其他设备相同的加密类型、密钥指数号和 WEP 密钥。此外,如果使用 802.1x 验证,必须禁用 WEP 加密。
以下的例子叙述如何编辑现有的配置式并应用 WEP 加密。
要启用 WEP 加密:
- 使用口令短语:单击使用口令短语启用它。在“口令短语”字段中输入达 5 个(使用 64 位)或 13 个(使用 128 位)字母数字字符(0-9、a-z 或 A-Z)。
- 使用十六进制密钥:单击使用十六进制密钥启用它。在“十六进制密钥”字段中输入达 10 个(使用 64 位)或 26 个(使用 128 位)字母数字字符(0-9、A-F)。
- 口令短语:单击使用口令短语启用它。 在“口令短语” 字段中输入长达 5 个(使用 64 位)或 13 个(使用 128 位)字母数字字符(0-9、a-z 或 A-Z)。
![]() |
注意: 您必须使用与无线网络上的其他设备相同的加密类型、密钥指数号和 WEP 密钥。 |
![]() |
注意: 以下信息供系统管理员使用。 |
如果您没有任何 EAP-TLS 或 EAP-TTLS 证书,您必须取得一份客户端证书以允许验证。通常,您需要咨询系统网络管理员,请求如何获得客户端证书的指导。证书可以从 Internet Explorer 或 Windows 控制面板小程序中的“因特网设置”管理。使用“因特网设置”的“内容”页面。
Windows XP and 2000: 获取客户端证书时,不要启用强大私钥保护。如果对一份证书启用了强大私钥保护,每次使用该证书时都必须输入访问密码。如果为 TLS/TTLS 验证配置该服务,必须对该证书禁用强大私钥保护。否则,802.1X 服务验证将失败,因为没有已经登录的用户可向其显示提示对话框。
关于智能卡的说明
安装智能卡后,证书自动被安装到计算机上,可以从个人证书存储和根证书存储中选择。
第一步:获取证书
要允许 TLS 验证,必须在登录用户帐户的本地仓库中有一份有效的客户端(用户)证书。还需要在根证书存储中有一份信任 CA 证书。
以下信息提供取得证书的两种方法:
从在 Windows 2000 服务器实现的公司认证权威
使用 Internet Explorer 的证书导入向导从文件导入证书
注意: 如果这是您获得的第一份证书,CA 将首先询问是否应在根存储中安装一份信任的 CA 证书。该对话框不会指明这是信任的 CA 证书,但显示的证书名称是 CA 主机的名称。单击是。TLS 和 TTLS 都需要该证书。
下面的例子描述如何使用 WPA 及使用 TTLS 或 PEAP 验证的 TKIP 加密。
第二步:指定英特尔(R) PROSet 使用的证书
获取并安装一份客户端证书(参阅步骤 1,或询问系统管理员)。
从常规页面,单击网络选项卡。
单击添加按钮。
输入配置式和网络(SSID)名称。
选择基础结构操作模式。
单击下一步。
选择开放用于“网络验证”。也可以选择其他任何可用的验证模式。
选择 WEP 用于数据加密。也可以选择其他任何可用的加密类型。
单击 802.1x 启用复选框。
设定验证类型为 TLS 供此次连接使用。
单击配置按钮以打开设置对话框。
在“用户名称”字段中输入您的用户名。
从列表中选择证书颁发者。选择“选择任何信任的 CA”作为默认值。
选中允许中级证书复选框,允许在服务器证书和指定的 CA 之间的服务器证书链中存在多个未指定证书。如果此框未选中,则必须由指定的 CA 直接颁发服务器证书。
输入“服务器”名称。
如果知道服务器名称,输入其名称。
选择恰当的选项,服务器名称完全相符,或者指定域名。
在“客户端证书”选项下,单击选择按钮以打开安装的证书列表。
关于证书的说明:指定的身份应当与证书中的“颁发予”字段匹配,而且应当在验证方所使用的验证服务器(即 RADIUS 服务器)上注册。您的证书必须对验证服务器“有效”。这一要求取决于验证服务器,一般意味着验证服务器必须知道您的证书的颁发者是一个“证书权威”。您应当使用与安装证书所用的相同用户名登录。
从列表中选择证书,再单击确定。客户端证书显示在“客户端证书”下。
单击关闭。
单击完成按钮保存配置式的安全性设置。
要将 WEP 和 MD5 验证添加到一个新配置式:
注意: 开始之前,从系统管理员取得在 RADIUS 服务器上的用户名和密码。
如果不使用任何验证服务器,则使用“Wi-Fi 保护性接入 - 预配置共享密钥(WPA-PSK)”模式。此模式不使用任何 802.1x 验证协议;它适用于以下数据加密类型:WEP 或 TKIP。WEP 或 TKIP。WPA-PSK 要求预配置共享密钥(PSK)。对长度为 256 位的预配置共享密钥,必须输入一个口令短语或者 64 个十六进制字符。数据加密密钥从 PSK 衍生。
要配置使用 WPA-PSK 的配置式:
从常规页面,单击网络选项卡。
单击添加按钮。
输入配置式和网络(SSID)名称。
选择基础结构操作模式。
单击下一步。
选择 WPA-PSK 用于“网络验证”。还可选择验证模式。
选择 WEP 用于数据加密。
选择下列之一:
使用口令短语:单击使用口令短语启用它。在“口令短语”字段中输入达 5 个(使用 64 位)或 13 个(使用 128 位)字母数字字符(0-9、a-z 或 A-Z)。
使用十六进制密钥:单击使用十六进制密钥启用它。在“十六进制密钥”字段中输入达 10 个(使用 64 位)或 26 个(使用 128 位)字母数字字符(0-9、A-F)。
单击 802.1x 启用复选框。
设定验证类型为 TLS 供此次连接使用。
单击完成按钮保存配置式的安全性设置。
为使用 TKIP 加密和 TLS 验证的 WPA 设定客户端
Wi-Fi 保护性接入(WPA)模式可与 TLS、TTLS 或 PEAP 一起使用。使用数据加密选项 WEP 或 TKIP 的 802.1x 验证协议。Wi-Fi 保护性接入(WPA)模式与 802.1x 验证绑定。数据加密密钥从 802.1x 密钥交换接收。 为增强数据加密,Wi-Fi 保护性接入利用其“时间性密钥完整性协议(TKIP)”。TKIP 提供重大的数据加密增强,包括重新生成密钥的方法。
获取并安装一份客户端证书,参阅为 TLS 验证设定客户端,或询问系统管理员。
从常规页面,单击网络选项卡。
单击添加按钮。
输入配置式和网络(SSID)名称。
选择基础结构操作模式。
单击下一步。
选择 WPA 用于“网络验证”。
选择 TKIP 用于数据加密。
设定验证类型为 TLS 供此次连接使用。
单击配置按钮以打开设置对话框。
在“用户名称”字段中输入您的用户名。
从列表中选择证书颁发者。选择“选择任何信任的 CA”作为默认值。
选中允许中级证书复选框,允许在服务器证书和指定的 CA 之间的服务器证书链中存在多个未指定证书。如果此框未选中,则必须由指定的 CA 直接颁发服务器证书。
输入“服务器”名称。
如果知道服务器名称,输入其名称。
选择恰当的选项,服务器名称完全相符,或者指定域名。
使用客户端证书:此选项从 Windows 登录用户的“私人”证书存储中选择一份客户端证书。此证书将用于客户端验证。单击选择按钮打开安装的证书列表。
关于证书的说明:指定的身份应当与证书中的“颁发予”字段匹配,而且应当在验证方所使用的验证服务器(即 RADIUS 服务器)上注册。您的证书必须对验证服务器“有效”。这一要求取决于验证服务器,一般意味着验证服务器必须知道您的证书的颁发者是一个“证书权威”。您应当使用与安装证书所用的相同用户名登录。
从列表中选择证书,再单击确定。客户端证书显示在“客户端证书”下。
单击关闭。
单击完成按钮保存配置式的安全性设置。
使用 TTLS 验证:这些设置定义用来验证用户的协议和身份凭证。在 TTLS 中,客户端使用 EAP-TLS 来证实服务器,并在客户端与服务器之间创建一个 TLS 加密的信道。客户端可在这个加密的信道上使用另一种验证协议(通常是基于密码的协议,例如 MD5 挑战)来启用服务器证实。挑战和相应数据包通过一条非暴露的 TLS 加密信道发送。
使用 PEAP 验证:为将客户端验证到验证服务器,要求 PEAP 设置。在 PEAP 中,客户端使用 EAP-TLS 来证实服务器,并在客户端与服务器之间创建一个 TLS 加密的信道。客户端可在这个加密的信道上使用另一种 EAP 机制(例如 Microsoft Challenge Authentication Protocol (MSCHAP) 第 2 版)来启用服务器证实。挑战和相应数据包通过一条非暴露的 TLS 加密信道发送。
下面的例子描述如何使用 WPA 及使用 TTLS 或 PEAP 验证的 TKIP 加密。
获取并安装一份客户端证书,参阅为 TLS 验证设定客户端,或询问系统管理员。
从常规页面,单击网络选项卡。
单击添加按钮。
输入配置式和网络(SSID)名称。
选择基础结构操作模式。
单击下一步。
选择 WPA 用于“网络验证”。
选择 TKIP 用于数据加密。
设定验证类型为 TTLS 或 PEAP 供此次连接使用。
单击配置按钮以打开设置对话框。
在漫游实体字段中输入漫游实体名称。 此可选的功能是提供给验证者的 802.1X 身份。建议此字段不要包含真实的身份,而使用期望的领域(例如,anonymous@myrealm)。
从列表中选择证书颁发者。选择“选择任何信任的 CA”作为默认值。
选中允许中级证书复选框,允许在服务器证书和指定的 CA 之间的服务器证书链中存在多个未指定证书。如果此框未选中,则必须由指定的 CA 直接颁发服务器证书。
输入“服务器”名称。
如果知道服务器名称,输入其名称。
选择恰当的选项,服务器名称完全相符,或者指定域名。
验证协议:
PEAP: 选择 MS-CHAP-V2。此参数指定在 PEAP 隧道中运行的验证协议。协议有:MS-CHAP-V2(默认)、GTC 和 TLS。
TTLS:选择 PAP。此参数指定在 TTLS 隧道中运行的验证协议。协议有:PAP(默认)、CHAP、MD5、MS-CHAP 和 MS-CHAP-V2。
输入用户名。 用户名必须与在客户端验证之前由 IT 管理员在验证服务器上设定的用户名匹配。用户名区分大小写。此名称指定由在 TLS 隧道中运行的验证协议提供给验证者的身份。这个用户身份只有在加密的隧道已通过验证并建立之后才传输给服务器。
输入用户密码。指定用户密码。此密码必须与在验证服务器上设定的密码匹配。
再次输入用户密码。 如果通过确认,显示在“密码”字段中输入的相同密码字符。
使用客户端证书:此选项从 Windows 登录用户的“私人”证书存储中选择一份客户端证书。此证书将用于客户端验证。单击选择按钮打开安装的证书列表。
关于证书的说明:指定的身份应当与证书中的“颁发予”字段匹配,而且应当在验证方所使用的验证服务器(即 RADIUS 服务器)上注册。您的证书必须对验证服务器“有效”。来自 Windows 登录用户的“私人”证书存储的客户端证书。此证书将用于客户端验证。这意味着验证服务器必须知道您的证书的颁发者是一个“证书权威”。您应当使用与安装证书所用的相同用户名登录。
从列表中选择证书,再单击确定。客户端证书显示在“客户端证书”下。
单击关闭。
单击完成按钮保存配置式的安全性设置。
请阅读所有规定和免责声明。