Chinaunix首页 | 论坛 | 博客
  • 博客访问: 15497403
  • 博文数量: 2005
  • 博客积分: 11986
  • 博客等级: 上将
  • 技术积分: 22535
  • 用 户 组: 普通用户
  • 注册时间: 2007-05-17 13:56
文章分类

全部博文(2005)

文章存档

2014年(2)

2013年(2)

2012年(16)

2011年(66)

2010年(368)

2009年(743)

2008年(491)

2007年(317)

分类:

2008-08-15 15:17:43

无线网络的加密

        前天买了一个LINKSYS   WRT54GL路由,选用WPA Personal方式加密后,在我的DELL D830上连接没任何问题,信号也不错。但连接我的老本本T40则提示:“windows 无法连接到选定网络, 网络可能不在区域中。请刷新网络列表”,如果 WRT54GL不加密则连接正常,卸载重新安装了T40的 Cisco Systems PCI Wireless LAN Adapter驱动也不行,到底是什么原因?一时颇感茫然。
 
         后来,在网上找到答案: Cisco Systems PCI Wireless LAN 是老旧的802.11b设备,不支持WPA Personal方式加密,只能采取WEP加密方式。说改就改,进入WRT54GL路由设置页面,Security Mode改为wep,WEP Encryption改为64bits 10 hex digits,再自动算出一个密钥,连接T40,OK!
 
        回过头来看看戴尔的D830,竟然显示该无线网络不能使用。打开看看网络属性,原来还是上次的WPA Personal方式。再修改“安全类型”:共享式,“加密类型”:wep,添加网络安全密钥和密钥索引,总算成功了。不过,wep加密是最易被破解的, 网上找个软件几小时就可以破解,最安全还是wpa加mac地址过滤加密。
 
       链接:                        下面是有关无线加密资料:
       加密方式
       802.1x:ieee 802.1x 是一种网络访问控制的协议标准,ieee 802.1x 身份验证提供对无线网络和对有线以太网网络的经验证的访问权限。ieee 802.1x 通过提供用户和计算机标识、集中的身份验证以及动态密钥管理,可将无线网络安全风险减小到最低程度。为使用802.1x,radius server ,无线接入点和无线客户端必须支持至少一种eap 协议。
    也可同时使用802.1x 认证和wep 加密提高网络安全性。
    wpa with radius:用户提供认证所需的凭证,如用户名密码,通过特定的radius 服务器来实现。大型企业网络通常采用这种方式。
    wpa-psk:简化的wpa 模式,它不需要专门的认证服务器。这种模式叫做wpa 预共享密钥(wpa-psk),仅要求在每个wlan 节点(ap、无线路由器、网卡等)预先输入一个密钥即可实现。中小型的企业网络或者家庭用户则通常采用这种方式。
    wpa2-psk: wpa2-psk 加密方式是wpa 加密方式的一个新版本。只有所有的客户端都支持wpa2 加密方式,才可选用此种加密方式。如果选择此项,必须使用aes 资料加密,并且输入passphrase。
   wpa-psk & wpa2-psk: 此选项能使客户端要么选择wpa(使用tkip)加密方式,或者wpa2(aes)加密方式。如果选择此项,数据加密类型必须是tkip + aes。也必须输入wpa passphrase。
   wpa2 with radius:wpa2 加密方式是wpa 加密方式的一个新版本。只有所有的客户端都支持wpa2 加密方式,才可选用此种加密方式。如果选择此项,则必须使用aes 加密,并且一定要配置radius 服务器。
   wpa & wpa2 with radius:此选项能使客户端要么选择wpa(使用tkip)加密方式,或者wpa2(aes)加密方式。如果选择此项,数据加密类型必须是tkip + aes,并且必须配置radius 服务器。
   data encryption:
   选择数据加密方式。如果被打开,必须输入密钥,并且其他无线设备(无线卡片或无线网桥)必须使用相同的密钥才能正常通信。
    none:只有在鉴别类型为开放系统时,才能使用。
    64 bits:由10 个十六进制数组成。
   128 bits:由26 个十六进制数组成。
    152 bits:由32 个十六进制数组成。
   tkip:temporal key integrity protocol,是一种和wpa-psk 认证模式搭配使用的动态加密方式
   aes:advanced encryption standard,是一种高级加密标准,一般和wpa2-psk,wpa,wpa2等认证模式配合使用
   ATTENTION: 当无线接入点设置authentication、data encryption 和key 以后,与无线接入点连接的其它无线网桥和无线卡片也必须使用和无线接入点一样的authentication、data encryption 和key,否则它们不能建立连接。

      WEP加密密钥
  如果我们对无线上网的安全要求比较高,那么最理想的办法就是启用无线路由器的WEP加密功能,以便通过登录密码来拒绝非法攻击者与本地无线路由器建立连接。在启用无线路由器的WEP加密功能时,我们可以按照如下步骤来操作:
  首先以系统管理员权限进入到无线路由器设备的后台管理页面,找到其中的“无线参数”设置项,再打开基本设置页面,在该页面的右侧显示区域中检查“开启安全设置”项目是否处于选中状态,要是发现该选项已经被取消选中时,我们必须及时重新选中它。
  其次单击“安全类型”设置项旁边的下拉按钮,从弹出的下拉菜单中选择“WEP”选项,再将“安全选项”参数调整为“自动”,同时将“密钥格式选择”参数调整为“16进制”。
  下面在密钥输入菜单中,我们可以选中“密钥2”选项,以便为日后需要时预留出“单独密钥”的功能;选中“密钥2”项目后,再将“密钥类型”设置为“64位加密”,然后在“密钥内容”文本框中输入合适的加密密码。
  例如可以输入“%^!^*76$9”,最后单击“保存”按钮将设置操作保存起来,再将无线路由器重新启动一下,这么一来任何用户与本地无线路由器建立连接时,都需要输入加密密码,如果不知道访问密码的话,那么他们自然也就无法偷偷使用本地的无线网络了。
 
 

最早的 IEEE 802.11 标准提供了下列这组安全功能,用以保护无线 LAN 通信:

两种不同的身份验证方法:开放式系统和共享密钥

有线对等保密 (WEP) 加密算法

完整性检查值 (ICV)(采用 WEP 加密,可提供数据完整性)

随着时间的推移,这些安全功能经证明无法对一般情况下的无线 LAN 通信,提供充分的保护。为了解决最早的 IEEE 802.11 标准的安全问题,运用了以下这些技术:

基于 IEEE 802.1X 端口的网络访问控制标准是一种可用于执行 802.11 无线客户端身份验证的方法。 IEEE 802.1X 提供了每用户的身份识别和验证、扩展的身份验证方法以及(依据具体的身份验证方法)加密密钥管理——动态的每工作站、每会议密钥决定和密钥重新生成。

Wi-Fi 保护访问 (WPA™) 是 所采用的一种过渡标准,用于在 IEEE 802.11i 标 准得到批准后,提供更安全的加密和数据完整性。WPA 支持通过 802.1X(称作 WPA Enterprise)或结合预共享密钥(称作 WPA Personal)的身份验证、一种称为临时密钥完整性协议 (TKIP) 的新型加密算法、以及一种称为 Michael 的新型完整性算法。WPA 属于 802.11i 规范的一部分。

IEEE 802.11i 标准已正式取代了有线 对等保密 (WEP) 及最早的 IEEE 802.11 标准的其它一些安全功能。WPA2™ 是一种由 Wi-Fi 联盟授予的产品认证。Wi-Fi 联盟专门对无线设备与 802.11i 标准的兼容性进行认证。WPA2 认证旨在支持 802.11i 标准的其它尚未包含在支持 WPA 的产品中的强制性安全功能。与 WPA 一样,WPA2 也提供了“Enterprise”(企业)和“Personal”(个人)这两种操作模式。

WPA2 安全功能

用于 Windows XP Service Pack 2 的 WPA2/WPS IE 更新支持以下 WPA2 安全功能:

WPA2 身份验证

对于 WPA2 Enterprise,WPA2 要求执行两个阶段的身份验证:第一个阶段是开放式系统身份验证,第二个阶段则采用可扩展的身份验证协议 (EAP) 身份验证方法。对于没有远程身份验证拨入用户服务 (RADIUS) 基础结构的环境(比如:小型办公/家庭办公 [SOHO] 网络,WPA2 Personal 支持使用预共享密钥 (PSK)。

WPA2 密钥管理

与 WPA 一样,WPA2 要求根据 EAP 或 PSK 身份验证过程,确定相互的成对主密钥 (PMK),并通过四次握手 (4-Way Handshake)过程,计算成对的临时密钥。

高级加密标准

WPA2 要求支持使用 Counter Mode-Cipher Block Chaining (CBC)-Message Authentication Code (MAC) Protocol (CCMP)(计数器模式和密码块链消息身份验证代码协议)的高级加密标准 (AES)。AES 计数器模式一种块密码,可使用 128 位加密密钥,一次对多个 128 位数据块进行加密。CBC-MAC 算法可生成一个消息完整性代码 (MIC),为无线帧提供数据来源验证和数据完整性。包含在 WPA2 保护的无线帧并合并到加密和 MIC 计算中的一个 Packet Number 字段,提供了重播保护。AES 加密符合联邦信息处理标准 (FIPS) 140-2 的要求。

 

其它用于实现快速漫游的 WPA2 功能

当无线客户端使用 802.1X 执行身份验证时,会有一系列消息在无线客户端和无线访问点 (AP) 之间传送 ,以交换凭据。此消息交换会给连接过程造成延迟。当无线客户端从一个无线访问点漫游到另一个访问点时,延迟执行 802.1X 身份验证会导致产生明显的网络连接中断的情况,而与时间相关的流量(语音或视频数据流)的情况尤其严重。为了最小化因在无线访问点间漫游而导致的延迟时 间,WPA2 无线设备能够有选择地支持 PMK 缓存和预身份验证。

PMK 缓存

从一个无线访问点漫游到另一个访问点时,无线客户端必须与每个无线访问点一起执行完整的 802.1X 身份验证。WPA2 允许无线客户端和无线访问点缓存完整的 802.1X 身份验证的结果,这样当客户端漫游回已执行过身份验证的无线访问点时,就只需执行四次握手过程,并确定新的成对的临时密钥了。无线客户端在 Association Request 帧中包含了一个 PMK 标识符。该标识符是在最初的身份验证期间确定的,并与无线客户端和无线访问点的 PMK 缓存项目一起保存。PMK 缓存项目的保存时间有限,具体时间长度可在无线客户端和无线访问点上进行配置。

为了让使用单台交换机(充当 802.1X 身份验证器)的无线网络基础结构实现更快的转换速度,用于 Windows XP Service Pack 2 的 WPA2/WPS IE 更新会计算 PMK 标识符值,从而在连接到交换机的无线访问点间漫游时,可以重复使用同该交换机的 802.1X 身份验证所确定的 PMK。该方法称为 机会性的 PMK 缓存。

预身份验证

通过预身份验证,WPA2 无线客户端在与当前的无线访问点连接的同时,可以有选择地同其有效连接范围内的其它无线访问点,执行 802.1X 身份验证。无线客户端会通过现有的无线连接,向其它无线访问点发送预身份验证流量。与无线访问点进行了预身份验证,并将 PMK 及其相关的信息保存在 PMK 缓存中之后,无线客户端在连接到已经与之进行过预身份验证的无线访问点时,仅需执行四次握手过程。

支持预身份验证的 WPA2 客户端只能与在 Beacon 和 Probe Response 帧中公布其预身份验证能力的无线访问点,执行预身份验证。

同时支持 WPA2、WPA 和 WEP 无线客户端

WPA2 认证的无线设备也可兼容 WPA 和 WEP。可以在同一个环境中,同时运行 WPA2、WPA 和 WEP 无线设备。

支持 WPA2 所需执行的更改

实现 WPA2 支持,需要更改以下各项:

无线访问点

无线网络适配器

无线客户端软件

更改无线访问点

借助 WPA,无线网络设备就可以通过固件更新进行升级,因为 WPA 安全功能利用了目前针对 WEP 设计的计算工具。然而,对于 WPA2,没有计算工具用以为 AES CCMP 执行更复杂的计算的无线访问点,就无法通过固件更新进行升级,而必须进行更换。通常,这类无线访问点的生产日期较早,当时还不支持 802.11g 标准。而较新的无线访问点(比如那些支持 802.11g 标准的访问点)则可通过固件更新进行升级。

请查阅无线访问点厂商的说明文档或网站,确定是要更换您的无线访问点,还是可以通过固件更新来支持 WPA2。如果只需要进行固件更新,那么从无线访问点厂商那里获取有关更新,并将其安装在无线访问点上。

更改无线网络适配器

与无线访问点一样,无线网络适配器的更换与否取决于其是否具有计算工具来执行 AES CCMP。请查阅无线网络适配器厂商的说明文档或网站,确定是要更换您的无线网络适配器,还是可以通过固件更新来支持 WPA2。如果只需要进行固件更新,那么从无线适配器厂商那里获取有关更新,并将其安装在无线网络适配器上。

对于运行 Windows XP Service Pack 2 的无线客户端,必须获取一个经过更新的支持 WPA2 的网络适配器驱动程序。经更新的网络适配器驱动程序必须能够将适配器的 WPA2 功能传递给 Windows XP 无线自动配置。

更改无线客户端程序

必须更新无线客户端软件以便对 WPA2 身份验证选项进行配置。用于 Windows XP Service Pack 2 的 WPA2/WPS IE 更新包含了对 WPA2 的支持,并修改了以下项目:

“选择一个无线网络”对话框

无线网络属性的“关联”选项卡。

当您连接到支持 WPA2 的无线网络时,网络的类型在“选择一个无线网络”对话框中,显示为“WPA2”。具体例子见下图。

在无线网络属性的“关联”选项卡上,“网络身份验证”下拉框多了几个附加选项:“WPA2”(用于 WPA2 Enterprise)和“WPA2-PSK”(用于 WPA2 Personal)。只有无线网络适配器及其驱动程序都支持 WPA2 时,才会出现上述选项。具体例子见下图。

注意 用于 Windows Server 2003 SP1 的无线网络 (IEEE 802.11) 策略组策略扩展不支持对 WPA2 身份验证设置进行配置。

阅读(3840) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~