关于无线网络加密的一些概念（转）

原文地址：http://blog.sina.com.cn/s/blog_4ad042e5010009fa.html~type=v5_one&label=rela_nextarticle

关于无线网络加密的一些概念(2007-07-29 11:17:38)
   昨天到朋友家帮忙，带着本本一起过去，想互相传一些资料，但是苦于没有大容量的闪存，也没有路由器和HUB之类的东西，甚至连网线都没有。迫使我想到了用 无线网卡互连的想法。去Google查了些资料，最后顺利的连接成功！但是其中有许多不明所以的地方，所以今天特地去找了些这方面的东西看了下。以下是我 摘录的一些自认为挺有用的信息。供对无线网络不胜了解的人扫盲之用。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

关于无线网络加密的一些概念

   消费者在采购无线网路设备时，一定有看过或听过WEP加密机制，产品的彩盒上也都会注明支持64或128bit的WEP加密（目前是面上每款产品最少都支持64位元WEP）。WEP安全协定的英文全名为wired equivalent privacy protocol，是由Wi-Fi联盟制定。

   两个802.11g无线网卡，对等网方式连接，用XP无线网络来管理，设置网络验证方式可选：开放式、共享式、WPA-None三种。其中开放式、共享式只能选WEP加密；而WPA-None加密方式可选TKIP、AES两类。

无线局域网概念介绍

无线局域网的英文简称是WLAN（Wirel Local Area Network)，国内目前使用最多是802.11a/b/g。

频道(Channel)
802.11g可兼容802.11b，二者都使用了2.4G微波频段，最多可以使用14个频道(Channel)。各国的规定的2.4G频率范围略有不 同，在中国802.11b/g可以使用1-11频道，在同一区域可以有3个互不干扰的频道。家用微波炉也在这一频率范围会对信号有影响。蓝牙也在2.4G内，但蓝牙功率很小因此不会有大的影响。802.11a使用了5G无线频段，在同一区域可以有12个频道，一些高端的迅驰网卡支持802.11a。

带宽(bandwith)
802.11b: 11M,5.5M,2M,1M
802.11g: 54M,48M,36M,24M,18M,12M,9M,6M
802.11a: 54M,20M,6M

AP(Acess Point)
无线接入点，是一种网络设备，无线网卡与AP相连，通过AP与其它网卡交换信号，AP通常还有RJ-45以太网口用以与有线网相连。简单地说AP就象一个Hub。

Infrastructure
基础架构通讯方式，无线网卡通过AP进行无线通讯。

Ad-Hoc
一种无线网络通讯方式，各个网卡不经过AP直接进行点对点的通讯，当使用人比较少又没有AP但仍然想通过无线方式交互信息时可以用Ad-hoc方式应急。

SSID(System Set ID)
SSID用来区分不同的网络，最多可以有32个字符，如我们用的wep.net.sjtu。网卡设置了不同的SSID就可以进入不同网络，SSID通常由AP广播出来，通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID，此时用户就要手工设置SSID才能进入相应的网 络。

WEP(Wired Equivalent Privacy)有线等效保密
为了保证数据能通过无线网络安全传输而制定的一个加密标准，使用了共享秘钥RC4加密算法，密钥长度最初为40位(5个字符)，后来增加到128位(13个字符)，有些设备可以支持152位加密。使用静态(Static)WEP加密可以设置4个WEP Key，使用动态（Dynamic）WEP加密时，WEP Key会随时间变化而变化。

开放式与共享式验证(open or shared Authentication)
无线设备之间认证的模式，通常使用静态WEP加密时使用共享方式，使用802.1x动态WEP加密时使用开放认证方式。

WPA(Wi-Fi Protected Access)
Wi-Fi联盟制定的过渡性无线网络安全标准，相当于802.11i的精简版，使用了TKIP(Temporal Key Integrity Protocal)数据加密技术，虽然仍使用RC4加密算法，但使用了动态会话密钥。TKIP引入了4个新算法：48位初始化向量(IV)和IV顺序规则(IV Sequencing Rules)、每包密钥构建(Per-Packet Key Construction)、Michael消息完整性代码(Message Integrity Code,MIC)以及密钥重获/分发。WPA极大提高了无线网络数据传输的安全性但还没有一劳永逸地解决解决无线网络的安全性问题，因此厂商采纳的积极性似乎不高。目前Windows XP SP1可以支持WPA。

802.1x认证
静态WEP秘钥难于管理，改变秘钥时要通知所有人，如果有一个地方泄漏了秘钥就无安全性可言，而且静态WEP加密有严重的安全漏洞，通过无线侦听在收到一 定数量的数据后就可以破解得到WEP秘钥。802.1x最初用于有线以态网的认证接入，防止非法用户使用网络，后来人们发现802.1x用以无线网可以较 好地解决无线网络的安全接入。802.1x的EAP-TLS通过数字证书实现了用户与网络之间的双向认证，即可以防止非法用户使用网络，也可以防止用户连入非法的AP。802.1x使用动态WEP加密防止WEP Key被破解。为解决数字证书的发放难题人们对TLS认证进行了改进产生了TTLS和PEAP，可以用传统的用户名口令方式认证入网。我校无线网络的802.1x可以同时支持EAP-TLS，TTLS和PEAP。

WAPI(WLAN Authentication and Privacy Infrastructure)无线局域网认证与保密基础架构
中国提出的一个无线网络通讯的安全标准，国标代号GB15629.11。

Wi-Fi
是Wi-Fi联盟(Wi-Fi Alliance)的标记，参看[url]http://www.wi-fi.org[/url]。Wi-Fi联盟是1999年成立的非盈利性的国际组织，致力于基于802.11的无线网络产品的互通性认证。目前拥有200家会员单位。

?WPA-PSK—Enables WPA Pre-shared key (WPA-PSK), which enables your client adapter to associate to access points using WPA-PSK.

?WPA-None—Enables WPA for your client adapter when the client is set for ad hoc mode.

wpa-none用于对等网(ad-hoc),wpa-psk用于接入点连接。

区别：
WPA supports two mutually exclusive key management types: WPA and WPA-Pre-shared key (WPA-PSK). Using WPA key management, clients and the authentication server authenticate to each other using an EAP authentication method, and the client and server generate a pairwise master key (PMK). Using WPA, the server generates the PMK dynamically and passes it to the access point. Using WPA-PSK, however, you configure a pre-shared key on both the client and the access point, and that pre-shared key is used as the PMK.

加密强度：
WPA-AES using a radius server is better security since you then don't use a pre shared key.
But for most home users, setting up a radius server is not an option.
WPA-PSK with a pre shared key more than ~20 characters should be more secure than WEP.
preferebly using AES.
With WPA in infrastructure mode, the AP will provide you the key to encrypt/decrypt data, you can also on most AP set the timout interval when to renew the key.
With WPA-None, there is no 802.1x authenction, the key used to encrypt /decrypt is just a hash of the SSID and the password.
To me using WPA-None / TKIP isn't much better than WEP. (since both encrypt/decrypt using RC4 and the key is static)
Using WPA-None and AES should increase the security but still the key is static.

wpa是包含802.1x认证的，wpa-none则取消了这个功能。。。。

--------------------------------------------------------------------------------

配置无线网络：
Dell无线1450 USB适配器使用指南
Dell WLAN配置实用程序允许您通过无线网络菜单配置与无线网络进行通信时的参数。本节包含以下主题：

 无线网络菜单
 网络配置
 关联选项卡
 身份验证选项卡

--------------------------------------------------------------------------------

无线网络菜单
 

 备注：如果计算机运行Windows XP操作系统并启用了无线零配置服务，则无线连接配置由该服务所控制。若需使用Dell WLAN配置实用程序配置无线通信，则须禁用该服务。

可用网络：此菜单的第一部分用于显示可用无线网络的列表。如果与某一网络有关联，则在此列表及首选网络列表中该网络的图标上均会出现一个蓝色气泡。

该列表右侧的配置按钮可用来配置与突出显示的网络之间的连接；有关此过程的解释，请参阅网络配置。刷新按钮可强制配置实用程序扫描可用的网络，以便更新列表。

首选网络：此菜单的第二部分显示首选网络列表。该列表从上到下显示计算机试图连接的网络的顺序。如果计算机连接到其中某一网络，则该网络的图标上将出现一个蓝色气泡。如果计算机执行扫描时无法找到任何网络，该网络的图标上将出现一个带叉号的红色气泡。

当计算机开始搜索无线网络时，它首先试图连接到该列表中的第一个网络。如果无法连接到该网络，则尝试连接到列表中的第二个网络。此过程会一直持续到计算机与其中一个网络建立起连接。

突出显示该列表中的某一网络并单击上移或下移按钮，即可改变首选网络的顺序。

使用添加按钮可将新网络添加到该首选网络列表中。属性按钮用于配置选中的网络。有关这些按钮操作的详细解释，请参阅网络配置。使用删除按钮可将选中的网络从首选网络列表中删除。

首选网络部分下面有两个条目。在系统栏中显示无线配置图标字段用来确定是否在桌面右下角的系统栏中显示Dell WLAN配置实用程序的图标。如果不选中该字段，可从“开始”菜单启动配置实用程序。方法是：选择程序→Dell Wireless → Dell USB无线网卡实用程序。

无线网络菜单底部有三个按钮。单击确定按钮可将在该菜单或配置实用程序的任何其他 菜单中所做的更改应用到系统，并关闭该实用程序。单击取消按钮可取消上一次单击应用按钮之后所做的任何更改，但不关闭实用程序。单击应用按钮可保存在该菜 单或配置实用程序的任何其他菜单中所做的更改，但不关闭实用程序。

--------------------------------------------------------------------------------

网络配置
Dell WLAN配置实用程序中有三种配置网络的方法：

选择可用网络列表中的某一网络，然后单击配置按钮。
 
选择首选网络列表中的某一网络，然后单击属性按钮。
 
单击首选网络列表底下的添加按钮。
单击任意一个按钮，都会在屏幕上弹出类似于下面的窗口：

如果单击配置或属性按钮，单击按钮时突出显示的网络名称将显示在网络名称（SSID）字段中。如果是单击添加按钮显示的该菜单，则该字段为空。要将网络添加到首选网络列表中，请在该字段输入其名称。

该菜单底部将显示两个按钮。单击确定按钮可应用在该菜单以及配置实用程序的任何其他菜单中所做的更改。单击取消按钮可取消上一次单击应用按钮之后所做的任何更改。单击这两个按钮中的任意一个都将返回到无线网络菜单。

网络配置过程包括指定关联和身份验证的值，详细说明请见下面各节。

--------------------------------------------------------------------------------

关联选项卡
关联是指连接到网络（基础结构或adhoc）的能力。与网络相关联的最基本要求是要为网络指定正确的名称，或服务集标识符（SSID）。

接入时，各网络对身份验证和加密也可能有一定的要求。身份验证是网络用来确定您是否有入网授权的一种方法。加密则是用来遮掩网上传输数据的一种方法。

如果您正在配置的网络属于这种情况，就必须在该菜单的无线网络密钥部分输入所用网络使用的身份验证和加密类型。要选择这些字段的值，请单击相应字段右侧的向下箭头，然后突出显示下拉列表中的某一值。

--------------------------------------------------------------------------------

身份验证
验证共有六个类型：

开放式身份验证
共享式身份验证
WPA身份验证
WPA-PSK身份验证
WPA2身份验证
WPA2-PSK身份验证
若需使用WPA-PSK,WPA2-PSK身份验证，您必须单击该字段旁边的属性按钮，并输入一个共享的密钥。

键入的字母数字个数可在8和63之间，或不多不少键入64个十六进制字符。

--------------------------------------------------------------------------------

加密
开放式和共享式验证方法可使用WEP（有线等效隐私）加密途径遮掩传输的数据。若需为网络启用WEP加密方法，您必须输入WEP密钥，具体操作方法是：单击加密类型字段旁边的属性按钮。

单击此按钮后，配置实用程序将选择手动输入密钥，并允许您以字母数字或十六进制字符输入密钥。要输入密钥，请单击四个WEP密钥字段中的任意一个，然后开始键入。对于64位加密，必须在这些密钥字段中正确键入5位字母数字或10个十六进制字符；而对于128位加密，必须不多不少地键入13位字母数字或26个十六进制字符。然后单击确定按钮以创建密钥。单击确定按钮后，配置实用程序将使用星号遮掩此密钥。

全局密钥（默认值）字段允许您在四个加密密钥中指定一个要用于在无线局域网中传输数据的密钥。要更改默认密钥，可单击该字段右侧的上下箭头，直到出现想要使用的密钥编号。只要正在通信的接入点或计算机在同一位置具有相同的密钥，就可将任意密钥作为默认值。

要使用密码短语创建密钥，请单击输入密码短语旁边的单选按钮，并在密码短语字段中键入字符串。与手动创建密钥一样，您必须正确地键入5个字母数字或10位十六进制字符用于64位加密，而对于128位加密，则必须正确地输入13个字母数字或26位十六进制字符。单击确定按钮后，配置实用程序将生成4个WEP密钥，并使用星号遮掩这些密钥。

就WPA和WPA2验证而言，您可指定CKIP、TKIP或AES加密。若需指定EAP方法，请选取验证选项卡.

就WPA-PSK和WPA2-PSK验证而言，您可指定TKIP或AES加密

--------------------------------------------------------------------------------

关联菜单底部有两个字段。如果选中了第一个字段（单击该字段左侧的复选框），假如由AP使用的网络名称与该菜单中指定的网络名称相匹配，则您的计算机可与不支持加密的接入点进行关联。

如果您配置的网络是一个ad-hoc网络，则须选中关联菜单底部的第二个字段。如果要添加一个adhoc网络，请单击该字段旁边的复选框。选中该字段后，单击Ad-hoc信道字段右侧的下拉箭头并突出显示相应的信道，即可指定在ad-hoc网络中使用的信道。

--------------------------------------------------------------------------------

身份验证选项卡
如果配置的网络有身份验证方面的要求，可选取身份验证选项卡，以便继续配置。选取此选项卡后，屏幕上将显示一个类似于下列的菜单：

要启用身份验证，请单击对该网络启用IEEE 802.1x身份验证字段旁边的复选框。此举将激活其他字段，以便指定身份验证参数。

该菜单中的第一个字段允许您指定网络所用的可扩展身份验证协议(EAP)的类型。要选择一个类型，请单击该字段右侧的下拉箭头，从显示的列表中选择其中一个类型。

该字段下面还有三个字段，用以指定其他身份验证方法的参数。若需启用这些参数的任何一个，可单击相关字段旁边的复选框。

当EAP方法请求用户名/密码时，始终给与提示复选框（若已启用），将显示一个对话框，要求您输入用户名和密码，即使在该配置文件中业已配置，亦不例外。此选项与后面的选项不兼容。

此乃“公用”配置文件，本系统上的所有用户都可使用复选框可使其成为全系统的配置文件。在所用计算机开机时，它首先搜索系统配置文件，如果找到一个配置文件，计算机将尝试用之与无线网络连接（这项作业甚至在用户登录到Windows之前就已开始）。如果是公用配置文件，所用计算机还会在您注销Windows后仍然保留与无线网络的连接，以便另一用户登录。这一选项与当EAP方法请求用户名/密码时，始终给与提示选项不兼容。

对于公共配置文件，您可通过使用系统客户端证书字段指定，计算机本身(不论何人登录到该计算机)必须提交一份可在网上验证的证书。当您启用了这一字段后，您必须在下列证书字段中选择一个证书。

如果已安装了网域预登录功能，屏幕上则会显示“网域帐户的无线验证功能已启用”状态讯息，否则将会显示“网域帐户的无线验证功能已停用”。有关详情，请见网域预登录功能的安装与卸载.

--------------------------------------------------------------------------------

选择好EAP类型后，请单击属性按钮以指定身份验证所需要的信息。下面几个部分说明了每个可用EAP类型的配置。

PEAP身份验证
 
TLS身份验证
 
EAP - Cisco无线(LEAP)身份验证
 
MD5质询身份验证
 
TTLS身份验证

--------------------------------------------------------------------------------

PEAP身份验证
单击PEAP身份验证的属性按钮时，屏幕上会显示如下菜单：

PEAP需要用户名和服务器名称；请在屏幕的相应字段内输入这些信息。使用PEAP可以与服务器一起使用一个用于身份验证的客户端证书，方法是：单击使用客户端证书字段旁边的复选框，突出显示列表中的证书并选中它。

若单击验证服务器证书字段旁边的复选框，则可指定身份验证服务器必须首先正确地标识自身，然后方可开始验证任何客户端。

单击允许中间证书授权字段旁边的选择框，即可从已由在服务器名称字段中命名的服务器授权的、用以提供身份验证服务的身份验证服务器中接收证书凭据。单击允许子域字段旁边的复选框，即可从网络的任意子域中已通过授权的服务器上接收证书。

隧道身份验证需要用户名和密码（您可在此菜单的适当字段内输入）。您也可使用您的Windows用户名和密码进行隧道身份验证，方法是：选中自动使用我的Windows登录名和密码（包括域，如果可用的话）旁边的复选框。

隧道身份验证还需要使用一种身份验证方法。选择身份验证方法时，单击身份验证字段旁边的下拉箭头，然后在显示的列表中单击您想使用的方法。

要保存在本菜单中输入的信息，请单击确定按钮。要放弃对本信息所做的更改，请单击取消按钮。单击这两个按钮中的任意一个都将返回到无线网络属性菜单。

--------------------------------------------------------------------------------

TLS身份验证
单击TLS身份验证的属性按钮后，屏幕上将显示如下菜单：

TLS身份验证需要用户名和服务器名称；请在屏幕的相应字段输入这些信息。使用TLS身份验证，就可以与服务器一起使用一个用于身份验证的客户端证书，方法是：单击使用客户端证书字段旁边的复选框，突出显示列表中的证书并选中它。智能卡上的证书必须位于智能卡的公用区域。

若单击验证服务器证书 旁边的字段，则可指定身份验证服务器必须首先正确地标识自身，然后方可开始验证任何客户端。

单击允许中间证书授权字段旁边的选择框，即可从任何已由在服务器名称字段中命名的服务器授权过的、用以提供身份验证的身份验证服务器中接收证书凭证。单击允许子域字段旁边的复选框，即可从网络的任意子域中已通过授权的服务器上接收证书。

要保存在本菜单中输入的信息，请单击确定按钮。要放弃对本信息所做的更改，请单击取消按钮。单击这两个按钮中的任意一个都将返回到无线网络属性菜单。

--------------------------------------------------------------------------------

EAP - Cisco无线(LEAP)身份验证
单击LEAP身份验证的属性按钮后，屏幕上将显示如下菜单：

LEAP需要用户名和服务器名称；请在屏幕的相应字段输入这些信息。您也可使用您的Windows用户名和密码，方法是：选中自动使用我的Windows登录名和密码（包括域，如果可用的话）旁边的复选框。

还可以启用CCX（Cisco兼容扩展）与LEAP安全功能一起使用。网络EAP使用的是网络上的身份验证服务器。要使用该功能，请单击使用网络EAP旁边的复选框。

CCX还提供一种方法，可避免与未经授权的接入点进行关联。要启用该功能，请单击启用欺诈AP检测旁边的复选框。启用该功能后，还可以在AP身份验证失败时更改身份验证凭据（方法是：单击允许失败时更改凭证字段旁边的复选框），也可以设置此身份验证的超时时间值（方法是：单击超时字段右侧的上下箭头）。

要保存在本菜单中输入的信息，请单击确定按钮。要放弃对本信息所做的更改，请单击取消按钮。单击这两个按钮中的任意一个都将返回到无线网络属性菜单。

--------------------------------------------------------------------------------

MD5质询身份验证
单击MD5质询身份验证的属性按钮后，屏幕上将显示如下菜单：

MD5质询身份验证法只需要用户名和密码；请在所用屏幕的适当字段内输入此信息。您也可使用您的Windows用户名和密码进行MD5质询身份验证，方法是：选中自动使用我的Windows登录名和密码（包括域，如果可用的话）旁边的复选框。

要保存在本菜单中输入的信息，请单击确定按钮。要放弃对本信息所做的更改，请单击取消按钮。单击这两个按钮中的任意一个都将返回到无线网络属性菜单。

--------------------------------------------------------------------------------

TTLS身份验证
单击TTLS（隧道传输层安全协议）身份验证的属性按钮后，屏幕上将显示如下菜单：

TTLS需要用户名和服务器名称；请在屏幕上相应的字段内输入这些信息。使用TTLS可以与服务器一起使用一个用于身份验证的客户端证书，方法是：单击使用客户端证书字段旁边的复选框，突出显示列表中的证书并选中它。

若单击验证服务器证书字段旁边的复选框，则可指定身份验证服务器必须首先正确地标识自身，然后方可开始验证任何客户端。

单击允许中间证书授权字段旁边的选择框，即可从任何已由在服务器名称字段中命名的服务器授权过的、用以提供身份验证的身份验证服务器中接收证书凭证。单击允许子域字段旁边的复选框，即可从网络的任意子域中已通过授权的服务器上接收证书。

隧道身份验证需要用户名和密码（您可在此菜单的适当字段内输入）。您也可使用您的Windows用户名和密码进行隧道身份验证，方法是：选中自动使用我的Windows登录名和密码（包括域，如果可用的话）旁边的复选框。

隧道身份验证还需要使用一种身份验证方法。选择身份验证方法时，单击身份验证字段旁边的下拉箭头，然后在显示的列表中单击您想使用的方法。

要保存在本菜单中输入的信息，请单击确定按钮。要放弃对本信息所做的更改，请单击取消按钮。单击这两个按钮中的任意一个都将返回到无线网络属性菜单。