Microsoft 802.1X身份验证客户端
Windows XP中一项颇具价值的特性便是针对所有LAN适配器的IEEE 802.1X身份验证可用性。IEEE 802.1X标准定义了基于端口的网络访问控制机制,这种机制能够为以太网和IEEE 802.11无线网络提供经过身份验证的网络访问方式。借助这种基于端口的网络访问控制机制,除非通过交换机(针对以太网)或无线访问点(针对无线网络)授予访问权限,否则,任何网络设备均无法在网络上发送数据帧。这种权限是通过对网络设备证书进行验证的身份验证处理过程来授予的。其实现方式类似于通过一套证书对Internet(通过Internet服务提供商)或企业内部网络(通过拨号或虚拟专用网络远程访问连接)进行访问。
IEEE 802.1X降低了与IEEE 802.11无线网络连接相关的安全隐患。IEEE 802.11无线网络标准指定了两种身份验证方法:其中一个基于无线适配器标识技术(开放系统身份验证),另一种则基于密钥资料检验技术(共享密钥身份验证)。与开放系统或共享密钥身份验证方式不同,IEEE 802.1X在允许访问无线网络之前,强制对面向无线计算机或用户且基于用户的证书进行验证,并依据实际使用的身份验证方法,动态确定无线通信过程中所使用的加密密钥。如果在未启用IEEE 802.1X身份验证机制的情况下与IEEE 802.11无线局域网(WLAN)建立连接,您所发送的数据将非常容易遭到攻击。
Microsoft 802.1X身份验证客户端是一种支持免费下载的产品,它允许运行Windows 2000操作系统且装有Service Pack 3(或更高版本)的计算机通过IEEE 802.1X对网络连接(包括无线网络连接)进行身份验证。在Microsoft 802.1X身份验证客户端出现之前,只有运行Windows XP的计算机能够支持IEEE 802.1X身份验证。
Microsoft 802.1X身份验证客户端中不包含能够根据可用网络集合与首选网络配置同无线网络实现动态连接的Windows XP无线零配置(WZC)服务。您仍需利用无线适配器所提供的配置工具来设置针对无线网络的无线连接。
IEEE 802.1X身份验证机制利用可扩展身份验证协议(EAP)在身份验证过程中交换消息。Microsoft 802.1X身份验证客户端针对无线身份验证使用以下EAP方法:
- EAP-传输层安全性(EAP-TLS)应用在基于证书的安全环境中。它提供了最为强大的身份验证机制与密钥确定方法。EAP-TLS在客户端与身份验证服务器--通常为远程身份验证拨号用户服务(RADIUS)服务器--之间提供了相互身份验证、加密方式协商以及加密密钥确定等项机制。
- 受到保护的EAP(PEAP)是一种通过TLS来进一步增强其它EAP身份验证方法安全性的身份验证机制。面向Microsoft 802.1X身份验证客户端的PEAP提供了针对TLS(PEAP-TLS,同时在服务器身份验证过程与客户端身份验证过程中使用证书)与Microsoft质询握手身份验证协议2.0版(PEAP-MS-CHAP v2,在服务器身份验证过程中使用证书,而在客户端身份验证过程中使用基于口令的授权凭证)的支持能力。
Windows XP Service Pack 1(SP1)同样支持PEAP-TLS与PEAP-MS-CHAP v2。
当您在运行Windows 2000 Server操作系统产品家族成员的计算机上安装Microsoft 802.1X身份验证客户端时,Microsoft 802.1X身份验证客户端将额外提供面向Internet身份验证服务(IAS,Microsoft的RADIUS服务器实现方案)的PEAP身份验证(包含PEAP-TLS和PEAP-MS-CHAP v)支持能力。同时运行Windows 2000 Server操作系统产品家族成员、Microsoft 802.1X身份验证客户端以及IAS的计算机可以作为RADIUS服务器使用,并针对那些采用EAP-TLS、PEAP-TLS或PEAP-MS-CHAP v2身份验证方式的802.1X无线客户端执行身份验证与许可授权操作。
在安装Microsoft 802.1X身份验证客户端之前,您必须首先:
- 确保计算机上安装了无线适配器。
- 确保计算机上安装了袖珍端口驱动器程序(由无线适配器生产厂商提供)。
- 安装用以对适配器进行设置的实用配置工具(同样由无线适配器生产厂商提供)。
- 利用配置工具对连接可用无线网络的接口卡进行设置并启用IEEE 802.1X。
- 获取合法证书。与网络管理员取得联系,以了解证书获取方式。对于PEAP-MS-CHAP v2,如果安装在RADIUS服务器上的计算机证书发行者根证书授权机构(CA)证书尚未安装到您的无线客户端上,那么,您只需安装一份证书即可。
- 确保安装了Windows 2000 Service Pack 3或更新版本。
如需安装Microsoft 802.1X身份验证客户端,请将安装程序复制到您的计算机上并加以运行。安装程序将检测您的系统并安装Microsoft 802.1X身份验证客户端。
针对Windows 2000配置Microsoft 802.1X身份验证客户端
对于运行Windows 2000操作系统的计算机,Microsoft 802.1X身份验证客户端(无线配置服务)缺省情况下处于禁用状态。如需将无线配置服务设置为在计算机每次启动时自动运行,请使用“服务”嵌入式单元将无线配置服务的“启动”选项设置为“自动”,并启动此项服务。一旦启动后,拨号与网络连接文件夹中包括无线LAN连接在内的所有LAN连接属性窗口都将增加一个额外的“身份验证”选项卡,具体情况如下图所示。
如需针对无线连接在Windows 2000中配置Microsoft 802.1X身份验证客户端,请获取无线LAN连接属性,单击“身份验证”选项卡,并根据您的无线部署方案设置适当的选项。如需卸载Microsoft 802.1X身份验证客户端,请使用控制面板中的“添加或删除程序”。
具备Microsoft 802.1X身份验证客户端的计算机通过以下方式获取无线连接身份验证证书:
- 使用计算机证书自动注册方式。
对于运行Windows 2000操作系统的计算机,自动注册机制将自动请求并发行基于计算机配置组策略的证书。通过配置自动证书请求设置组策略选项(位于“计算机配置”\“Windows设置”\“安全设置”\“公共密钥策略”分支下),经过配置域系统容器内的计算机将在计算机组策略设置刷新时自动申请指定类型的证书。 - 导入证书。
证书文件可以针对每个用户独立创建并发行。同时,单一证书文件也可发配给所有用户。针对一组用户使用同一份证书的方式称为组证书,由于能够获取证书文件的任何人均可对无线连接成功实现身份验证,因此,这是一种安全性最低的证书部署方案。对于Windows 2000操作系统,请使用“证书”嵌入式单元向本地计算机存储单元(位于“本地计算机”\“个人”\“证书”分支下)中导入计算机证书或者向当前用户存储单元(位于“当前用户”\“个人”\“证书”分支下)中导入用户证书。
- 利用Internet Explorer和Web注册机制向CA申请证书。
如果您正在使用支持Web证书注册机制的CA,请通过Internet Explorer向CA申请一份证书。对于运行Microsoft Windows 2000操作系统及证书服务的CA,请使用地址http://CAComputerName/certsrv,其中CAComputerName为CA计算机名称。系统可能会提示您输入Windows域授权凭证。这种情况下,请输入针对这份证书的适当用户名称凭证,单击“确定”,并根据Web页面上的指示信息向CA申请一份用户证书。如果系统未提示输入Windows域授权凭证,记录在证书中的用户名称将根据当前登录所使用授权凭证来确定(除非通过不同的授权凭证与CA计算机建立独立连接)。
一旦证书被安装后,您便可以在“证书”嵌入式单元中对其进行查看。
浙公网安备 33010602011771号