Код статьи: 815485 - Последнее изменение :: 13 августа 2008 г. - Редакция: 7.1

Обзор обновления безопасности службы защищенного доступа Wi-Fi (WPA) в Windows XP

Список продуктов, к которым относится данная статья.
Совет по использованию системыЭта статья относится к операционной системе, отличной от установленной на вашем компьютере. Содержимое, не относящееся к используемой системе, отключено.

На этой странице

Развернуть все | Свернуть все

Аннотация

В данной статье описано обновление службы защищенного доступа Wi-Fi (WPA, Wi-Fi Protected Access) в Windows XP.

Стандарт института Institute of Electrical & Electronics Engineers (IEEE) для беспроводных сетей 802.11i содержит изменения, которые призваны усовершенствовать безопасность беспроводных локальных сетей. На данный момент готова лишь предварительная версия стандарта 802.11i, который должен быть ратифицирован к концу 2003 года. В стандарте 802.11i решены многие проблемы безопасности, существовавшие в стандарте 802.11. Пока новый стандарт IEEE 802.11i еще не принят, производители оборудования для беспроводных сетей договорились об использовании временного стандарта взаимодействия сетей — WPA (защищенный доступ Wi-Fi).

Перейти к началу страницы

Компоненты безопасности службы WPA

Стандарт WPA имеет следующие средства безопасности.

Проверка подлинности WPA

Стандарт WPA требует проверки подлинности 802.1x. В стандарте 802.11 проверка подлинности 802.1x была необязательной.

В средах, не использующих инфраструктуры RADIUS (Remote Authentication Dial-In User Service), WPA поддерживает работу с предварительным ключом. В средах, использующих инфраструктуру RADIUS, поддерживаются протокол EAP (Extensible Authentication Protocol, EAP) и служба RADIUS.

Управление ключами WPA

Стандарт 802.1x не требует обязательной смены ключей шифрования одноадресной рассылки. Кроме того, в стандартах 802.11 и 802.1x не определены механизмы изменения глобального ключа шифрования, который используется для многоадресного и широковещательного трафика. В WPA требуется смена обоих ключей. В случае использования ключа одноадресной рассылки протокол TKIP (Temporal Key Integrity Protocol) изменяет ключ для каждого кадра, а изменение синхронизируется между беспроводным клиентом и точкой беспроводного доступа. Для глобального ключа шифрования в WPA включены средства передачи измененного ключа от точки беспроводного подключения к клиентам.

Протокол TKIP (Temporal Key Integrity Protocol)

В стандарте 802.11 использование шифрования WEP (Wired Equivalent Privacy) является необязательным. В случае применения WPA шифрование по протоколу TKIP обязательно. Алгоритм шифрования TKIP более надежен по сравнению с WEP, но для расчетов он использует средства, имеющиеся на устройствах беспроводного доступа. Кроме того, TKIP обладает следующими возможностями:
  • проверка параметров безопасности после определения ключей шифрования;
  • синхронное изменение ключа шифрования при одноадресной рассылке для каждого кадра;
  • определение уникального начального ключа шифрования одноадресной рассылки для каждой проверки подлинности с предварительным ключом.

Метод Michael

В стандартах 802.11 и WEP за целостность данных отвечает 32-разрядное значение проверки целостности (Integrity Check Value, ICV), которое прилагается к трафику 802.11 и шифруется с помощью WEP. Несмотря на то что значение проверки целостности шифруется, криптографический анализ позволяет таким образом изменить данные и значение ICV, что принимающая сторона этого не заметит.

В WPA метод, называемый Michael, определяет новый алгоритм, который рассчитывает 8-разрядный код целостности сообщения (Message Integrity Code, MIC) с помощью средств, имеющихся у устройств беспроводного доступа. Значения MIC располагаются в кадре IEEE 802.11 между фрагментом данных и 4-байтовым ключом ICV. Значение MIC шифруется наряду с данными и значением ICV.

Кроме того, метод Michael позволяет защитить от повторений. Для этого в IEEE 802.11 используется счетчик новых кадров.

Поддержка алгоритма шифрования AES

Стандарт WPA позволяет использовать алгоритм AES (Advanced Encryption Standard) в качестве замены шифрованию WEP. Поскольку обновление микропрограммы беспроводного оборудования для использования шифрования AES возможно не всегда, поддержка AES является необязательной и зависит от драйверов устройств.

Поддержка совместного использования беспроводных клиентов WPA и WEP

Для обеспечения плавного перехода от беспроводных сетей на основе WEP к стандарту WPA точки беспроводного доступа могут одновременно работать как с WEP-, так и с WPA-клиентами. Во время сопоставления точка беспроводного доступа определяет тип клиента. Недостаток подхода, при котором одновременно поддерживаются клиенты обоих типов (WEP и WPA), заключается в том, что в этом случае глобальный ключ шифрования не является динамическим, поскольку клиенты WEP не поддерживают такие ключи. Остальные преимущества стандарта WPA, например проверка целостности, остаются реализованными.

Перейти к началу страницы

Изменения, требуемые для поддержки WPA

Для применения WPA необходимо изменить программное обеспечение следующих элементов:
  • точки беспроводного доступа;
  • адаптеры беспроводных сетей;
  • беспроводные клиентские программы.

Изменения точек беспроводного доступа

Микропрограммы точек беспроводного доступа должны поддерживать следующее.
  • Новые элементы информации WPA

    Для оповещения о поддержке WPA точки беспроводного доступа отправляют пакет с новым элементом информации 802.11 WPA, содержащим параметры безопасности точки доступа (алгоритм шифрования и параметры безопасности).
  • Двухэтапная проверка подлинности WPA

    Открытие системы и проверка подлинности 802.1x (EAP и RADIUS или предварительный ключ).
  • Протокол TKIP
  • Метод Michael
  • Алгоритм AES (необязательно)
Чтобы обновить точки беспроводного доступа для поддержки WPA, обратитесь к производителю беспроводного оборудования за обновленной микропрограммой для WPA.

Изменения адаптеров беспроводных сетей

Адаптеры беспроводных сетей должны поддерживать следующее.
  • Новые элементы информации WPA
    Клиенты беспроводного доступа должны иметь возможность обрабатывать элементы информации WPA и отвечать на них, отправляя параметры безопасности.
  • Двухэтапная проверка подлинности WPA
  • Открытие системы и проверка подлинности 802.1x (EAP или предварительный ключ).
  • Протокол TKIP
  • Метод Michael
  • Алгоритм AES (необязательно)
Чтобы обновить адаптеры беспроводных сетей для поддержки WPA, обратитесь к соответствующему производителю и обновите драйвер адаптера.

Для клиентов Windows необходимо получить обновленный адаптер беспроводных сетей, который поддерживает WPA. Если драйверы адаптеров беспроводных сетей совместимы с Windows XP с пакетом обновления 1 (SP1), то обновленный адаптер должен уметь передавать сведения о своих возможностях WPA и параметрах безопасности службе настройки беспроводной связи.

Корпорация Майкрософт работает со многими производителями беспроводного оборудования, чтобы обеспечить поддержку стандарта WPA в драйверах адаптеров беспроводных сетей. Чтобы обновить клиент беспроводной связи Windows, достаточно лишь найти драйвер, совместимый с WPA, и установить его. Как только Windows загружает драйвер адаптера беспроводной сети, микропрограмма автоматически обновляется.

Изменения в клиентских программах, использующих беспроводную связь

Клиентские программы, использующие беспроводную связь, необходимо обновить, чтобы можно было задавать параметры конфигурации для проверки подлинности WPA (и предварительный ключ) и новых алгоритмов шифрования WPA (TKIP и необязательного компонента AES).

На компьютерах под управлением Windows XP с пакетом обновления 1 (SP1), которые работают в беспроводной сети и используют беспроводные сетевые адаптеры, поддерживающие службу настройки беспроводной связи, необходимо установить клиентскую программу Windows WPA. На компьютерах под управлением Windows XP с пакетом обновления 2 (SP2), которые работают в беспроводной сети и используют беспроводные сетевые адаптеры, поддерживающие службу настройки беспроводной связи, изначально установлена клиентская программа Windows WPA из состава пакета обновления 2 (SP2) для Windows XP (загрузка дополнительного программного обеспечения не требуется). Эта программа обновляет диалоговые окна конфигурации сети для поддержки новых параметров WPA.

Дополнительные сведения о получении программы см. в следующей статье базы знаний Майкрософт:
826942  (http://support.microsoft.com/kb/826942/ ) Накопительный пакет обновления для работы с беспроводной сетью для Windows XP
Для беспроводных клиентов, работающих под управлением Windows 2000 (или Windows XP с пакетом обновления 1 (SP1) с адаптерами беспроводных сетей, которые не поддерживают службу настройки беспроводной связи), необходимо получить у производителя адаптера беспроводной сети и установить новое средство настройки беспроводной сети, совместимое со стандартом WPA.

Перейти к началу страницы

Дополнительная информация Intel

Дополнительные сведения см. на веб-узле Intel по адресу:
http://support.intel.com/support/wireless/wlan/pro2100/index.htm (http://support.intel.com/support/wireless/wlan/pro2100/index.htm)
В данной статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий и обязательств по корректной работе или надежности этих продуктов.

Контактные данные независимых производителей предоставлены в данной статье с целью помочь пользователям в получении необходимой технической поддержки. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно верности приведенных контактных данных сторонних производителей.
Перейти к началу страницы
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Перейти к началу страницы
Ключевые слова: 
kbresolve kbmsnuseraccounts kbhotfixserver kbqfe kbenv kbnetwork kbdriver kbinfo KB815485
Перейти к началу страницы