返回目录页面

安全性概述:PRO/无线 LAN Mini PCI 适配器用户指南


WEP 加密和验证设定
加密概述
保护网络
验证类型
802.1x 验证
什么是 RADIUS
Wi-Fi 保护性接入 (WPA)
PEAP
Cisco LEAP


WEP 加密和验证

有线等同隐私 (WEP) 加密和共享验证为网络数据提供保护。WEP 使用加密密钥来加密数据,然后再将其传输。只有使用相同加密密钥的计算机才能访问该网络或解密其他计算机传输的加密数据。验证过程则从适配器到接入点之间提供一层额外的确认过程。

支持的验证方案是“开放”和“共享密钥”验证:

  • “共享密钥”验证使用 64 位和 128 位 WEP 加密密钥。
  • “开放”模式不使用加密验证方法来关联到特定的接入点。

网络密钥

当“数据加密(WEP、CKIP 或 TKIP)”启用时,使用网络密钥进行加密。网络密钥可自动提供(例如,可能提供给您的无线网络适配器),或者自行输入并指定密钥长度(64 位或 128 位)、密钥格式(ASCII 字符或十六进制数字)和密钥索引(特定密钥的储存位置)。密钥长度越长,密钥越安全。密钥长度每增加一位,可能的密钥数字翻一番。在 802.11 中,一个无线站最多可配置四个密钥(密钥索引值 1、2、3 和 4)。当一个接入点或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时,被传输的消息指明用来加密消息正文的密钥索引。接收的接入点或无线站就可检索储存在该密钥索引中的密钥,并用它来解码加密的消息正文。

静态和动态加密密钥类型

802.1x 使用两类加密密钥:静态和动态。静态加密密钥手动更改,较易受攻击。MD5 验证只使用静态加密密钥。动态加密密钥定期自动更新。这使得加密密钥更安全。要启用动态加密密钥,必须使用 802.1x 验证方法,例如 TLS、TTLS 或 PEAP。


加密概述

WLAN 中的安全性可通过启用使用 WEP(无线加密协议)的数据加密来补充。可选择 64 位或 128 位级别的加密。然后可再使用密钥来加密数据。另一个称为“密钥指数”的参数提供为该配置式创建多个密钥的选项。不过,一次只能使用一个密钥。还可选择用密码来保护配置式以保护隐私。可使用口令短语来自动生成 WEP 密钥。您可选择或者使用口令短语,或者手动输入 WEP 密钥。使用 64 位加密,口令短语为 5 个字符长,您可选择输入任何随意易记短语(如 Acme1),或者输入与用户要连接的网络的 WEP 密钥相应的 10 个十六进制数字。对 128 位加密,口令短语为 13 个字符长,您可输入 WEP 密钥的 26 个十六进制数字以连接到相应的网络。

注意: 您必须使用与无线网络上的其他设备相同的加密类型、密钥指数号和 WEP 密钥。此外,如果使用 802.1x 验证,必须禁用 WEP 加密。


保护网络


验证类型

IEEE 802.1x 标准为 802 LAN 提供一般性验证框架并指定一个可扩展验证协议(EAP)使得许多不同类型的验证协议能启用 LAN 传输。一个 WAN 客户端向接入点发出验证请求,接入点验证该客户端到符合可扩展验证协议(EAP)的 RADIUS 服务器。RADIUS 服务器或者验证用户(通过密码),或者验证机器(通过 MAC 地址)。802.1x 验证不受 802.11 验证过程约束。 802.1x 标准提供一种验证框架。 802.1x 验证有不同的类型,每一类型提供一种不同的验证途径,但所有类型都应用相同的协议和框架于客户端和接入点之间的通讯。在多数协议中,当 802.1x 验证过程完成时,请求方会接收到一个密钥,用于数据加密。

参阅为 WEP 和 MD5 验证设定客户端以了解有关设定 802.1x 配置式的详情。


802.1x 验证

802.1x 功能

  • 802.1x 请求方协议支持

  • 支持可扩展验证协议(EAP)- RFC 2284

  • 支持的验证方法:

    • MD5 - RFC 2284

    • EAP TLS 验证协议 - RFC 2716 和 RFC 2246

    • EAP 隧道 TLS(TTLS)

    • Cisco LEAP

    • PEAP

  • 支持 Windows* XP、2000

802.1x 验证说明

  • 802.1x 验证方法,包括密码、证书和智能卡(保存数据的塑料卡)。

  • 802.1x 验证选项只能与基础结构操作模式一起使用。

  • 网络验证模式有:EAP-TLS、EAP-TTLS、MD5 挑战、LEAP(只用于 Cisco-Client eXtentions 模式)和 PEAP(只用于 WPA 模式)

概述

802.1x 验证不受 802.11 验证过程约束。802.1x 标准为各种验证和密钥管理协议提供一个框架。802.1x 验证有不同的类型,每一类型提供一种不同的验证途径,但所有类型都应用相同的 802.1x 协议和框架于客户端和接入点之间的通讯。在多数协议中,当 802.1x 验证过程完成时,请求方会接收到一个密钥,用于数据加密。参阅 802.1x 和数据加密以了解更多信息。在 802.1x 验证中,在客户端和连接到接入点的“远程验证拨入用户服务(RADIUS)”服务器之间使用一种验证方法。验证过程使用身份凭证(例如不通过无线网络传输的用户密码)。大多数 802.1x 类型支持动态的每一用户、每次会话的密钥以加强静态密钥安全性。802.1x 通过使用一种称为“可扩展验证协议(EAP)”的现有验证协议而获益。802.1x 对无线 LAN 的验证有三个主要组件:验证方(接入点)、请求方(客户端软件)和验证服务器(一台远程验证拨入用户服务(RADIUS)服务器)。802.1x 验证安全性引发一个由 WLAN 客户端向接入点的授权请求,它将客户端验证到一台符合“可扩展验证协议”(EAP)标准的 RADIUS 服务器。RADIUS 服务器或者验证用户(通过密码或证书),或者验证系统(通过 MAC 地址)。从理论上说,无线客户端要到整个事务完成后才能加入网络。802.1x 使用若干种验证算法:MD5-挑战、EAP-TLS、EAP-TTLS、保护性 EAP(PEAP)和 EAP Cisco 无线轻量级可扩展验证协议(LEAP)。 这些都是 WLAN 客户端向 RADIUS 服务器标识自身的方法。Radius 验证使用数据库来核对用户身份。Radius 由一组“验证、授权和会计 (AAA) ”的标准组成。Radius 包括一个在多服务器环境下确认客户端的代理过程。IEEE 802.1x 标准用来控制和验证对基于端口的 802.11 无线和有线以太网的接入。基于端口的网络接入控制类似于交换的局域网(LAN)基础架构,后者验证挂接到 LAN 端口的设备并在验证过程失败时防止接入该端口。

802.1x 验证的工作原理

802.1x 验证过程简单描述如下:

  1. 客户端向接入点发送“请求接入”消息。接入点要求客户端的身份。
  2. 客户端以其身份数据包回应,该身份数据包被送到验证服务器。
  3. 验证服务器发送“接受”数据包给接入点。
  4. 接入点将该客户端端口置于授权的状态,并允许进行数据通信。

什么是 RADIUS?

RADIUS 是“远程接入拨号用户服务”,一种授权、验证和会计 (AAA) 客户端-服务器协议,用于 AAA 拨号客户端登录至“网络接入服务器”或从其注销时。通常,RADIUS 服务器用于因特网服务供应商 (ISP) 来执行 AAA 任务。AAA 的各阶段叙述如下:

  • 授权阶段: 针对本地数据库校验用户名和密码。校验用户身份后,开始验证过程。

  • 验证阶段: 确定是否允许一个请求访问一个资源。一个 IP 地址被分配给该拨号客户端。

  • 会计阶段: 收集资源利用的信息,用于趋势分析、审计、会话时间收费或成本分配。


Wi-Fi 保护性接入*(WPA)

Wi-Fi 保护性接入(WPA)是一种增强安全性,大大提高 WLAN 的数据保护和接入控制级别。WPA 模式执行 802.1x 验证和密钥交换,只适用于动态加密密钥为加强数据加密,WPA 采用“时间性密钥完整性协议(TKIP)”。TKIP 提供重大的数据加密增强,包括每一数据包密钥混合函数、称为 Michael 的消息完整性核实(MIC)、带顺序规则的扩展初始化矢量(IV)以及重新生成密钥的机制。使用此改进的增强,TKIP 提供的保护可抵御 WEP 的已知弱点。


PEAP

PEAP 是一种新的可扩展验证协议(EAP)IEEE 802.1x 验证类型,旨在利用服务器侧的 EAP-传输层安全性(EAP-TLS),并支持多种验证方法,包括用户密码和一次性密码,以及“通用令牌卡(Generic Token Card)”。


Cisco LEAP

Cisco LEAP(EAP Cisco 无线)是一种通过用户提供的登录密码实现的服务器和客户端 802.1x 验证。当一个无线接入点与一个启用了 Cisco LEAP 的 RADIUS(Cisco 安全接入控制服务器 (ACS) 服务器)通讯时,Cisco LEAP 通过客户端无线适配器与无线网络之间的交互验证而提供接入控制,并且还提供动态的各别用户加密密钥来帮助保护传输数据的隐私。

“Cisco 欺诈 AP”安全性功能

“Cisco 欺诈 AP”功能提供安全性保护的机制是引入一个欺诈接入点,该欺诈接入点能够模仿网络上的合法接入点以便抽取用户身份凭证和验证协议的信息从而可能危及安全性。此功能只适用于 Cisco 的 LEAP 验证。标准的 802.11 技术对引入欺诈接入点的网络不提供保护。

CKIP

Cisco 密钥完整性协议(CKIP)是 Cisco 专有的安全性协议,用于加密 802.11 媒体。CKIP 使用以下功能来提高 802.11 在基础结构模式中的安全性:

  • 密钥排列
  • 消息完整性核查
  • 消息顺序号

返回目录页面


请阅读所有规定和免责声明