設定資料加密和驗證
加密概述
如何啟用 WEP 加密
系統管理員作業
設定 WEP 和 MD5 驗證的用戶端
使用 WEP 或 TKIP 驗證為 WPA-PSK 設定用戶端
使用 TKIP 加密和 TLS 驗證為 WPA 設定用戶端
使用 TKIP 加密和 TTLS 或 PEAP 驗證為 WPA 設定用戶端
使用 CKIP 加密和 LEAP 驗證為 CCX 設定用戶端
有線對等式保密 (WEP) 加密和共用驗證為網路上的資料提供保護。WEP 使用加密鍵在資料傳輸之前對其進行加密。使用相同加密鍵的電腦才能存取該網路或解密其它電腦傳輸出來的加密資料。驗證提供介面卡到存取點的其它驗證程序。WEP 演算法容易受到被動和主動網路的侵犯。TKIP 和 CKIP 演算法包括轉移現有網路攻擊和指出其缺點之 WEP 通訊協定的增強功能。
802.11 支援兩種類型的網路驗證方法;「開放系統」以及使用 64 位元和 128 位元 WEP 加密的「共用系統」。開放模式不需要加密驗證方法來與特定的存取點關連。支援的驗證佈局是「開放」和「共用」驗證:
啟用資料加密 (WEP、CKIP 或 TKIP) 時,會使用網路金鑰來進行加密。網路金鑰可自動提供給您 (例如,可能會提供在您的無線網路介面卡,或者,您可自己輸入並指定金鑰的長度 (64 位元或 128 位元)、金鑰格式 (ASCII 字元或十六進位數字)、以及金鑰索引 (特定金鑰的儲存位置)。金鑰長度越長、保全性就越高。金鑰長度每增加一個位元,可能的金鑰數目就增加一倍。
在 802.11 下,無線站台最多可用四個金鑰設定 (金鑰索引值是 1、2、3、和 4)。當某個存取點或無線站台使用儲存在特定金鑰索引中的金鑰傳輸加密訊息時,傳輸訊息就會顯示用來加密訊息內容的金鑰索引。然後,接收存取點或無線站台就可以擷取儲存在該金鑰索引中的金鑰,然後,用該金鑰來解開加密的訊息內容。
802.1x 使用兩種類型的加密金鑰,靜態和動態。靜態加密金鑰是手動方式變更,比較容易受侵害。MD5 驗證僅使用靜態加密金鑰。動態加密金鑰會定期自動換新。這種方法使加密金鑰更安全。要啟用動態加密金鑰,您一定要使用 802.1x 驗證方法,例如 TLS、TTLS、PEAP 或 LEAP。
802.1x 驗證關鍵點
802.1x 驗證方法,包括密碼、憑證、和智慧卡 (存放資料的塑膠卡片)802.1x 密碼同步處理能力功能:MD5、TLS、TTLS、和 LEAP「身份證明」對話方塊上的「使用 Windows 登入」選項可允許 802.1x 身份證明符合您的 Windows 使用者名稱和密碼。802.1x 驗證選項僅可以使用基礎架構操作模式。
WLAN 中的保全性可以使用 WEP (無線加密通訊協定) 啟用資料加密來加以輔助。您可以選擇 64 或 128 位元等級的加密。另外,資料也可以用金鑰加密。另外一個稱為加密金鑰索引的參數會提供選項讓您為該設定檔建立多重加密金鑰。但是,一次僅能使用一個加密金鑰。您也可以選擇使用密碼保護來確保設定檔的私密性。
密語是用來自動產生WEP 鍵的。您可以選擇使用密語或手動輸入 WEP 鍵。使用 64 位元加密,密語是 5 個字元長,您可以配合要連線的網路,為 WEP 鍵選擇任何隨意和容易記住的辭句,像 Acme1,或輸入 10 個十六進位字元。若是 128 位元加密,密語就是 13 個字元長,或者為 WEP 鍵輸入 26 個十六進位字元以取得與適當網路之間的連線。
注意: 您一定要使用和無線網路上其它裝置一樣的加密類型、加密索引號碼、以及 WEP 鍵。
以下的範例說明如何編輯現有的設定檔和套用 WEP 加密。
注意: 開始之前,請先連絡您的系統管理員以取得網路 WEP 密語或「十六位元金鑰」。
要啟用 WEP 加密:
- 使用密語:按一下這個選向來啟用。在密與欄位中入文字語句,最多可以有五個 (使用 64 位元) 或13個 (使用 128 位元) 英數字元 (0-9、a-z 或 A-Z)。
- 使用十六位元金鑰:按一下這個選項來啟用。在十六位元金鑰欄位中,最多輸入十 (使用 64 位元) 個英數字元、0-9、A-F、或二十六 (使用 128 位元) 個英數字元、0-9、A-F。
![]() |
注意: 以下的資訊是要提供給系統管理員的。請參考系統管理員權限和受限制的使用者以獲取更多資訊。 |
如果您沒有任何 EAP-TLS、或 EAP-TTLS 憑證,就一定要取得用戶端憑證才能允許驗證。一般來說,您需要向您的系統網路管理員取得如何在網路上獲取憑證的說明。憑證可從「Internet 設定」管理,存取方法是從 Internet Explorer 或 Windows「控制台」小程式。使用「Internet 設定」的「內容」頁。
Windows XP 和 2000: 獲取用戶端證書時,請不要啟用加強私密金鑰保護。如果您為憑證啟用加強私密金鑰保護,每次使用此憑證時,您都需要輸入憑證的存取密碼。如果您在設定 TLS/TTLS 驗證的服務,就一定要停用憑證的加強私密金鑰保護。否則,802.1x 服務會無法通過驗證,因為它會沒有登入使用者名稱可以顯示提示對話方塊。
有關智慧卡的注意事項
安裝「智慧卡」後,憑證會自動安裝在您的電腦上,並且可以從個人憑證存放區和根憑證存放區選取。
步驟 1:取得憑證
要允許 TLS 驗證,登入使用者帳戶在本機存放庫中需要有有效的用戶端 (使用者) 憑證。您在根存放區中還需要一個可信任的 CA 憑證。
以下的資訊提供兩個取得憑證的方法:
注意: 如果這是您第一次獲取憑證的話,CA 會詢問您是否要先安裝根存放區中的受信任 CA 憑證。對話方塊不會說明這是受信任的 CA 憑證,但是顯示在憑證上的名稱會是 CA 的主機名稱。按一下「是」,TLS 和 TTLS 都會需要這個憑證。
若要設定使用具有 WEP 的 WPA 驗證,或是使用 TLS 驗證的 TKIP 加密的設定檔。
步驟 2:指定 Intel(R) PROSet 使用的憑證
注意:獲取並安裝用戶端憑證,參考「步驟 1」或向您的系統管理員洽詢。按一下「允許中繼憑證」核取方塊,允許伺服器憑證和指定的 CA 之間的伺服器憑證鏈含許多不指定的憑證。如果沒有核取,那麼,一定是由指定的 CA 直接簽發伺服器憑證。
輸入「伺服器/憑證」名稱。如果您知道伺服器/憑證名稱,請輸入這個名稱。選取完全符合伺服器名稱的適當選項或指定網域名稱。
用戶端憑證:這個選項會從 Windows 登入使用者的「個人」憑證存放區選取用戶端憑證。這項憑證會使用於用戶端驗證。按一下「選取」按鈕來開啟已安裝憑證的清單。
有關憑證的注意事項:指定的身分應該語憑證中的「發行給」欄位相符,並應該在驗證者使用的驗證伺服器 (亦即 RADIUS 伺服器) 上登錄。對驗證伺服器來說,您的憑證一定要「有效」。這項需求要視驗證伺服器而定,一般來說,表示驗證伺服器一定要將憑證簽發者視為「憑證授權單位」。您應該使用安裝憑證時使用的使用者名稱登入。
要新增 WEP 和 MD5 驗證到新的設定檔:
注意:開始之前,請先連絡您的系統管理員以取得 RADIUS 伺服器的使用者名稱和密碼。
- 連線時提示身份證明: 每次登入網路時,都會提示您輸入使用者名稱及密碼。
- 使用 Windows 登入:這個選項可允許 802.1x 身份證明符合您的 Windows 使用者名稱和密碼。連線前,「身份證明」對話方塊會顯示出來,提示您輸入您的 Windows 登入身份證明。
- 儲存使用者身份證明:使用您儲存的身份證明來登入網路。 按一下「設定」來開啟設定「身份證明」對話方塊。輸入在驗證伺服器上建立之使用者的使用者名稱、網域、和和密碼。這個身份證明會儲存起來以便將來配合這個 802.1x 設定檔使用。使用者名稱和密碼不需要和您的 Windows 使用者登入名稱和密碼一樣。按一下 「確定」來儲存身份證明。
注意: 如果「使用 Windows 登入」功能呈現灰色的話 (表示不可存取),就表示尚未安裝「單次簽入」功能。要安裝「使用 Windows 登入」功能,請參考安裝或解除安裝單次簽入功能以獲取安裝說明。
- 如果您沒有在「保全性設定」對話方塊中選取「使用Windows 登入」 (步驟 13),也沒有設定使用者身份證明,當您嘗試連線到這個設定檔時,會出現「輸入身份證明」對話方塊。輸入您的 Windows 使用者名稱和密碼。核取「儲存使用者身份證明」核取方塊來儲存身份證明以備將來使用這個 802.1x 設定檔時使用。
如果沒有使用任何驗證伺服器的話,使用 Wi-Fi 保護的存取 - 預先共用金鑰 (WPA-PSK) 模式。這個模式不使用任何 802.1x 驗證通訊協定。此模式可與 WEP 或 TKIP 資料加密一起使用。WPA-PSK 需要預先共用金鑰組態 (PSK)。一定要為長度 256 位元的「預先共用金鑰」密語或 64 個十六位元字元。資料加密金鑰是從 PSK 衍生出來的。
要使用 WEP 或 TKIP 加密配合 WPA-PSK 網路驗證來設定新設定檔:
Wi-Fi 保護的存取 (WPA) 模式可以使用於 TLS、TTLS、或 PEAP。這個 802.1x 驗證通訊協定使用 WEP 或 TKIP 資料加密選項。Wi-Fi 保護的存取 (WPA) 模式結合於 802.1x 驗證中。資料加密金鑰是從 802.1x 金鑰互換接收到的。為了要改善資料加密,「Wi-Fi 保護的存取」會使用「暫時密碼整合通訊協定」(TKIP)。TKIP 提供重要的資料加密增強功能,包括再次金鑰設定方法。
在「使用者名稱」欄位中輸入使用者名稱。
從清單中選取 憑證簽發者。選取「任何信任的 CA」為預設值。
按一下「允許中繼憑證」核取方塊,允許伺服器憑證和指定的 CA 之間的伺服器憑證鏈含許多不指定的憑證。如果沒有核取,那麼,一定是由指定的 CA 直接簽發伺服器憑證。
輸入「伺服器」名稱。如果您知道伺服器名稱,請輸入這個名稱。選取完全符合伺服器名稱的適當選項或指定網域名稱。
有關憑證的注意事項:指定的身分應該語憑證中的「發行給」欄位相符,並應該在驗證者使用的驗證伺服器 (亦即 RADIUS 伺服器) 上登錄。對驗證伺服器來說,您的憑證一定要「有效」。這項需求要視驗證伺服器而定,一般來說,表示驗證伺服器一定要將憑證簽發者視為「憑證授權單位」。您應該使用安裝憑證時使用的使用者名稱登入。
TTLS 驗證:這些設定定義用來驗證使用者的通訊協定和身分證明。在 TTLS 中,用戶端使用 EAP-TLS 來驗證伺服器,以及在用戶端和伺服器之間建立 TLS 加密的通道。用戶端可以使用另外一個驗證通訊協定,一般是密碼式的通訊協定,例如透過這個加密通道的「MD5 挑戰」來啟用伺服器驗證。挑戰和回應封包是透過非揭露的 TLS 加密通道傳送的。
PEAP 驗證:在驗證伺服器驗證用戶端時,需要 PEAP 設定。在 PEAP 中,用戶端使用 EAP-TLS 來驗證伺服器,以及在用戶端和伺服器之間建立 TLS 加密的通道。用戶端可以使用另外一個 EAP 機制,例如 Microsoft Challenge Authentication Protocol (MSCHAP) 版本 2,在這個加密的通道上啟用伺服器驗證。挑戰和回應封包是透過非揭露的 TLS 加密通道傳送的。
以下範例說明使用 TTLS 或 PEAP驗證來配合使用 WEP 或 TKIP 加密於 WPA。
輸入「伺服器」名稱。
- 如果您知道伺服器名稱,請輸入這個名稱。
- 選取完全符合伺服器名稱的適當選項或指定網域名稱。
- 連線時提示身份證明: 每次登入網路時,都會提示您輸入使用者名稱及密碼。
- 使用 Windows 登入:這個選項可允許 802.1x 身份證明符合您的 Windows 使用者名稱和密碼。連線前,「身份證明」對話方塊會顯示出來,提示您輸入您的 Windows 登入身份證明。
- 儲存使用者身份證明:選取這個方塊來儲存您的使用者名稱和密碼以便將來使用 802.1x 驗證設定檔時使用。按一下「設定」並輸入使用者名稱、網域、和密碼。在「確認密碼」文字方塊中,重新輸入密碼,然後按一下「確定」來儲存設定並關閉對話方塊。這個使用者名稱和網域一定要與用戶端驗證前,管理員在驗證伺服器中設定的使用者名稱相符。使用者名稱的大小寫須相符。這個名稱指定驗證通訊協定透過 TLS 通道操作而提供給驗證者的身份。加密通道被確認和建立後,這個使用者的身分才會被安全地傳輸到伺服器。重新輸入使用者密碼。如果確認的話,會顯示出在「密碼」欄位中輸入的密碼字元。
注意: 如果「使用 Windows 登入」功能呈現灰色的話 (表示不可存取),就表示尚未安裝「單次簽入」功能。要安裝「使用 Windows 登入」功能,請參考安裝或解除安裝單次簽入功能以獲取安裝說明。
有關憑證的注意事項:指定的身分應該語憑證中的「發行給」欄位相符,並應該在驗證者使用的驗證伺服器 (也就是,RADIUS 伺服器) 上登錄。對驗證伺服器來說,您的憑證一定要「有效」。這項需求要視驗證伺服器而定,一般來說,表示驗證伺服器一定要將憑證簽發者視為「憑證授權單位」。您應該使用安裝憑證時使用的使用者名稱登入。
- 如果您沒有在「保全性設定」對話方塊中選取「使用Windows 登入」 (步驟 15),也沒有設定使用者身份證明,當您嘗試連線到這個設定檔時,會出現「輸入身份證明」對話方塊。輸入您的 Windows 使用者名稱和密碼。核取「儲存使用者身份證明」核取方塊來儲存身份證明以備將來使用這個 802.1x 設定檔時使用。
![]() |
注意: LEAP 設定檔僅能使用 Intel(R) PROSet 設定。 |
一定要設定 Intel(R) PROSet CCX (v1.0) 設定檔才能連線到特定的 ESS 或 Wireless LAN 網路。設定檔設定包括 LEAP、CKIP 和 Rogue AP 偵測設定。
要設定 CCX 保全性設定的設定檔:
- 連線時提示身份證明: 如果您要在每次連線到無線網路前都輸入您的使用者名稱和密碼,請核取這個方塊。使用者名稱和密碼一定要先由管理員在驗證伺服器中設定。進行到步驟 13。
- 使用 Windows 登入:這個選項可允許 802.1x 身份證明符合您的 Windows 使用者名稱和密碼。使用者名稱和密碼不是規定的。進行到步驟 13。
- 儲存使用者身份證明:選取這個核取方塊來儲存您的使用者名稱和密碼以便將來使用 802.1x 驗證設定檔時使用。按一下「設定」並輸入使用者名稱、網域、和密碼。在「確認密碼」文字方塊中,重新輸入密碼,然後按一下「確定」來儲存設定並關閉對話方塊。這個使用者名稱和網域一定要與用戶端驗證前,管理員在驗證伺服器中設定的使用者名稱相符。使用者名稱的大小寫須相符。這個名稱指定驗證通訊協定透過 TLS 通道操作而提供給驗證者的身份。加密通道被確認和建立後,這個使用者的身分才會被安全地傳輸到伺服器。重新輸入使用者密碼。如果確認的話,會顯示出在「密碼」欄位中輸入的密碼字元。
注意: 如果「使用 Windows 登入」功能呈現灰色的話 (表示不可存取),就表示尚未安裝「單次簽入」功能。要安裝「使用 Windows 登入」功能,請參考安裝或解除安裝單次簽入功能以獲取安裝說明。
視 WLAN 環境而定,存取點提供選取不同驗證類型的設定值。用戶端會在連線建立期間,於用戶端和 AP 進行 802.11 驗證交涉時,傳送「驗證」演算法欄位。由 CCX 啟用之 AP 識別的「驗證」演算法值和其它不同驗證類型不一樣。舉例來說,「網路-EAP」表示 LEAP 在「開放」(其為 802.11 指定的「開放」驗證) 時的值是 0x80,並規定 EAP 交涉互換值為 0x0 的「規定 EAP」。
AP:若僅是使用 LEAP 驗證的 CCX 啟用網路,驗證類型會在「網路-EAP」核取方塊選取、「開放」和「規定 EAP」核取方塊取消核取的情況下設定。然後,AP 會設定僅允許LEAP 用戶端進行驗證和連線。在這種情況下,AP 會期待 802.11 驗證演算法被設為 0x80 (LEAP),而拒絕嘗試用 0x0 "驗證" 演算法值進行驗證的用戶端。
用戶端:在這種情況下,用戶端需要傳送驗證演算值 0x80,否則,802.11 驗證交涉就會失敗。開機期間,如果 Wireless LAN 驅動程式已經載入,但是 Intel(R) PROSet 請求者尚未載入,用戶端會用 0x0 的 "驗證" 演算值傳送 802.11 驗證。當 Intel(R) PROSet 請求者載入,並啟動 LEAP 設定檔時,它就會用 0x80 的 "驗證" 演算值傳送 802.11 驗證。
AP:如果「網路-EAP」、「開放」、和「規定 EAP」方塊有被核取,就會同時接受 802.11 驗證演算值 0x0 和 0x80 這兩種類型。但是,一旦用戶端被關聯和驗證,AP 就會期待 EAP 交涉發生。如果 EAP 交涉因為任何原因而沒有發生的話,AP 大約會有 60 秒的時間不會對用戶端做出反應。
用戶端:用戶端可傳送 0x80 或 0x0 的驗證演算值。兩種值都可被接受,802.11 驗證交涉也會成功。開機期間,如果 Wireless LAN 驅動程式已經載入,用戶端就會用 0x0 的 "驗證" 演算值傳送 802.11 驗證。這樣就足以得到驗證,但是,對應的 EAP 或 LEAP 身份證明需要與 AP 通訊才能建立連線。
AP:如果 AP 是在「網路-EAP」未核取,但是「開放」和「規定 EAP」核取的情況下設定的,AP 會拒絕任何嘗試使用 0x80 驗證值做 802.11 驗證的用戶端。AP 會接受任何使用 0x0 驗證演算值的用戶端,並預期 EAP 交涉很快發生。在這種情況下,用戶端會使用 MD5、TLS、LEAP 或任何其它適用於特定網路組態的適當 EAP 方法。
用戶端:在此情況下,用戶端需要送出 0x0 的驗證演算值。就如之前提到的,此順序需要重複提出 802.11 驗證交涉。首先,Wireless LAN 驅動程式會以 0x0 的值啟動驗證,然後,請求者會重複此程序。即使在請求者載入和涉及 LEAP 設定檔後,用戶端依然傳送含有 0x0 "驗證" 演算法值的 802.11 驗證。
LEAP 設定檔可確保用戶端依照 CCX 要求的方式執行 Rogue AP 功能。用戶端會注意其無法驗證的存取點,並將此資訊傳送給 AP,允許它進行驗證和連線。另外,請求者會將「驗證」演算法類型設定為 0x80。如上所述,可能還有一些網路組態執行和「僅限開啟和規定 EAP」 。要使這項設定能夠作業,用戶端一定要使用 0x0 的 "驗證" 演算法值,和上述的僅限網路 EAP 需要與 0x80 相反。Rogue AP 核取方塊也可讓用戶端僅支援「網路 EAP」、「開放」、和「規定 EAP」。
注意:請參考 www.cisco.com 中提供的 Cisco 用戶端延伸功能 2.0 版文件以獲取更詳細的資料。