无线网络的安全信息

无线网络技术提供了便捷性和移动性，但也给您的网络带来安全风险。例如，除非实现身份验证和授权机制，任何具有兼容的无线网卡的用户都可以访问该网络。如果不进行加密，无线数据就以明文方式发送，这样在某个无线访问点有效距离之内的任何人都可以检测和接收往来于无线访问点的所有数据。

以下安全机制增强了无线网络的安全性：

• 802.11 标识验证和身份验证
• 802.11 有线等效隐私 (WEP) 加密
• 802.1x 身份验证
• 802.1X 身份验证的 IAS 支持

802.11 标识验证和身份验证

对于标识验证和身份验证，IEEE 802.11 定义开放式系统和共享密钥验证子类型：

• 开放式系统验证不实际提供身份验证，而是通过在发送者（无线客户端）与接收者（无线访问点）之间的消息交换仅执行标识验证。
• 共享密钥身份验证通过验证发送者是否知道共享秘密提供身份验证。802.11 标准假定通过一个独立于 802.11 的安全通道把共享秘密发送到无线访问点。

有关如何指定要使用的身份验证子类型的信息，请参阅在组策略中定义首选的无线网络或在客户端计算机上定义无线网络连接。

要点

• 为了增强安全性和连接性，请不要使用共享密钥身份验证。共享密钥身份验证的安全性不如开放式系统身份验证，因为它要求进行交换的密钥为所有无线访问点和客户端所共享，故更易受到已知文本攻击的侵害。另外，如果在一个具有多个无线访问点的无线网络上使用共享密钥身份验证，在您从一个无线访问点移动到一个新的无线访问点时，就会失去网络连接。在此情况下，您会失去连接，因为您的网络密钥不再匹配所有无线访问点使用的共享密钥。要确定您所连接的无线网络是否具有多个无线访问点，请使用“无线监视器”。有关如何使用无线监视器查看有关无线访问点的详细信息的信息，请参阅查看有关无线网络访问点的详细信息。

802.11 WEP 加密

对于加密，802.11 定义 WEP 算法。WEP 通过加密无线客户端和无线访问点之间发送的数据来提供数据保密。

为加密通过无线网络发送的数据，WEP 使用具有标准的 40 位加密密钥或（在某些执行中）104 位加密密钥的 RC4 流密码。流密码是一种加密文本（产生密文）的方法，其中，在数据流的每个二进制数字中都应用加密密钥和算法，一次一个位。RSA Data Security 公司设计的 RC4 流密码可接受具有任意长度的密钥。数据完整性是通过无线帧加密部分中的完整性检查值 (ICV) 提供的。

802.1x 身份验证

802.1X 是一个 IEEE 标准，用于对有线以太网和无线 802.11 网络进行经过身份验证的网络访问。IEEE 802.1X 支持集中化用户标识、身份验证、动态密钥管理以及记帐。802.1X 标准通过允许计算机和网络彼此验证身份、生成通过无线连接加密数据的每用户/每会话密钥以及提供动态更改密钥的能力来提高安全性。

要点

• 为了增强在 <noloc></noloc>WindowsXP Service Pack 1 和 <noloc></noloc>Windows Server2003 家族中的安全性，802.1X 身份验证仅适用于需要使用网络密钥 (WEP) 的访问点（基础结构）网络。
• 强烈建议当连接到 802.11 无线网络时，使用 802.1X 身份验证。如果连接到 802.11 无线网络，但不启用 802.1X，发送的数据就很容易遭到各种攻击，例如，脱机通信分析、位翻转以及恶意数据包注入。

EAP 身份验证方法

802.1X 在身份验证过程中使用可扩展身份验证协议 (EAP) 进行消息交换。通过 EAP，使用任意一种身份验证方法（例如，密码、智能卡或证书验证无线连接。802.1X 对于 EAP 类型的支持，允许使用以下任何身份验证方法：

• EAP 传输层安全性 (EAP-TLS)，它使用服务器身份验证的证书和用户及客户端计算机身份验证的证书或智能卡。
• 带有 EAP-Microsoft 质询握手身份验证协议版本 2 的受保护的 EAP (PEAP with EAP-MS-CHAPv2)，它对服务器身份验证使用证书，对用户身份验证使用凭据（用户名和密码）。
• 带有 EAP-TLS 的 PEAP，它对服务器身份验证使用证书，对用户及客户端计算机身份验证或者使用智能卡或者使用证书。

详细信息，请参阅 EAP、MS-CHAP 版本 2、了解无线网络的 802.1X 身份验证以及 PEAP。

安全性和易于部署

选择一种身份验证方法时，要在所需安全级别与部署难易程度之间进行平衡。要获得最高等级的安全性，请选择带有证书的 PEAP (EAP-TLS)。PEAP 使用 TLS 增强其他 EAP 身份验证协议的安全性。通过 PEAP，TLS 用来在 EAP 客户端（如无线计算设备）以及 EAP 服务器（如 Internet 验证服务 (IAS) 服务器）之间创建一种端到端的加密通道。虽然带有 EAP-TLS 的 PEAP 和单独的 EAP-TLS 都通过使用服务器身份验证的证书和客户端计算机及用户身份验证的证书或智能卡来增强安全性，但是当使用带有 EAP-TLS 的 PEAP 时，客户端证书信息会被加密。

要获得最简便的部署，请选择带有密码的 PEAP (EAP-MS-CHAP v2)。带有 EAP-MS-CHAP v2 的 PEAP 最易部署，因为客户端的身份验证是基于密码的，所以无需在客户端安装证书或智能卡。因为在发生 EAP-MS-CHAP v2 验证之前，PEAP 已创建了一个端对端加密通道，所以身份验证交换不容易受到脱机词典 (offline dictionary) 攻击。

在 PEAP 身份验证过程中生成的会话密钥为有线等效隐私 (WEP) 加密密钥（该密钥用来加密在无线客户端和无线访问点之间传输的数据）提供了密钥材料。另外，PEAP 支持快速重新连接。只要将每一个无线访问点配置为同一 IAS (RADIUS) 服务器的客户端，PEAP 快速重新连接允许漫游用户在同一网络的不同无线访问点之间移动时保持连续的无线网络连接。

关于 802.1X 身份验证方法的证书需求的详细信息，请参阅网络访问身份验证和证书。有关部署智能卡的信息，请参阅清单：部署用于登录到 Windows 的智能卡。

要点

• 当部署 PEAP 和未经 PEAP 保护的 EAP 时，对于同一 EAP 身份验证类型请不要同时带有 PEAP 和没有 PEAP。例如，如果部署带有 EAP-TLS 的 PEAP (PEAP-EAP-TLS)，请不要同时部署没有 PEAP 的 EAP-TLS。以同一类型部署身份验证方法 - 一种带有 PEAP 保护，另一种没有 PEAP - 将产生安全缺陷。

802.1X 身份验证的 IAS 支持

为了增强无线网络的安全性和改进部署方式，您可以将 802.1X 与 IAS 一起使用，IAS 是远程身份验证拨入用户服务 (RADIUS) 服务器和代理服务器的 Microsoft 实现。执行 RADIUS 时，配置有 RADIUS 客户端的无线访问点，使用 RADIUS 协议把连接请求和记帐消息发送到一个中央 RADIUS 服务器。RADIUS 服务器访问一个用户帐户数据库以及一组授权规则，处理无线访问点的连接请求，然后接受或拒绝连接请求。

有关 802.1X 身份验证的详细信息，请参阅了解无线网络的 802.1X 身份验证。有关无线网络配置的信息，请参阅在客户端计算机上配置无线网络设置。有关配置用于无线访问身份验证的 IAS 的信息，请参阅清单：为无线访问配置 IAS 服务器和无线访问点以及无线访问。