Обзор обновления безопасности службы защищенного доступа Wi-Fi (WPA) в Windows XP

Переводы статьи Переводы статьи
Код статьи: 815485 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описано обновление службы защищенного доступа Wi-Fi (WPA, Wi-Fi Protected Access) в Windows XP.

Стандарт института Institute of Electrical & Electronics Engineers (IEEE) для беспроводных сетей 802.11i содержит изменения, которые призваны усовершенствовать безопасность беспроводных локальных сетей. На данный момент готова лишь предварительная версия стандарта 802.11i, который должен быть ратифицирован к концу 2003 года. В стандарте 802.11i решены многие проблемы безопасности, существовавшие в стандарте 802.11. Пока новый стандарт IEEE 802.11i еще не принят, производители оборудования для беспроводных сетей договорились об использовании временного стандарта взаимодействия сетей — WPA (защищенный доступ Wi-Fi).

Компоненты безопасности службы WPA

Стандарт WPA имеет следующие средства безопасности.

Проверка подлинности WPA

Стандарт WPA требует проверки подлинности 802.1x. В стандарте 802.11 проверка подлинности 802.1x была необязательной.

В средах, не использующих инфраструктуры RADIUS (Remote Authentication Dial-In User Service), WPA поддерживает работу с предварительным ключом. В средах, использующих инфраструктуру RADIUS, поддерживаются протокол EAP (Extensible Authentication Protocol, EAP) и служба RADIUS.

Управление ключами WPA

Стандарт 802.1x не требует обязательной смены ключей шифрования одноадресной рассылки. Кроме того, в стандартах 802.11 и 802.1x не определены механизмы изменения глобального ключа шифрования, который используется для многоадресного и широковещательного трафика. В WPA требуется смена обоих ключей. В случае использования ключа одноадресной рассылки протокол TKIP (Temporal Key Integrity Protocol) изменяет ключ для каждого кадра, а изменение синхронизируется между беспроводным клиентом и точкой беспроводного доступа. Для глобального ключа шифрования в WPA включены средства передачи измененного ключа от точки беспроводного подключения к клиентам.

Протокол TKIP (Temporal Key Integrity Protocol)

В стандарте 802.11 использование шифрования WEP (Wired Equivalent Privacy) является необязательным. В случае применения WPA шифрование по протоколу TKIP обязательно. Алгоритм шифрования TKIP более надежен по сравнению с WEP, но для расчетов он использует средства, имеющиеся на устройствах беспроводного доступа. Кроме того, TKIP обладает следующими возможностями:
  • проверка параметров безопасности после определения ключей шифрования;
  • синхронное изменение ключа шифрования при одноадресной рассылке для каждого кадра;
  • определение уникального начального ключа шифрования одноадресной рассылки для каждой проверки подлинности с предварительным ключом.

Метод Michael

В стандартах 802.11 и WEP за целостность данных отвечает 32-разрядное значение проверки целостности (Integrity Check Value, ICV), которое прилагается к трафику 802.11 и шифруется с помощью WEP. Несмотря на то что значение проверки целостности шифруется, криптографический анализ позволяет таким образом изменить данные и значение ICV, что принимающая сторона этого не заметит.

В WPA метод, называемый Michael, определяет новый алгоритм, который рассчитывает 8-разрядный код целостности сообщения (Message Integrity Code, MIC) с помощью средств, имеющихся у устройств беспроводного доступа. Значения MIC располагаются в кадре IEEE 802.11 между фрагментом данных и 4-байтовым ключом ICV. Значение MIC шифруется наряду с данными и значением ICV.

Кроме того, метод Michael позволяет защитить от повторений. Для этого в IEEE 802.11 используется счетчик новых кадров.

Поддержка алгоритма шифрования AES

Стандарт WPA позволяет использовать алгоритм AES (Advanced Encryption Standard) в качестве замены шифрованию WEP. Поскольку обновление микропрограммы беспроводного оборудования для использования шифрования AES возможно не всегда, поддержка AES является необязательной и зависит от драйверов устройств.

Поддержка совместного использования беспроводных клиентов WPA и WEP

Для обеспечения плавного перехода от беспроводных сетей на основе WEP к стандарту WPA точки беспроводного доступа могут одновременно работать как с WEP-, так и с WPA-клиентами. Во время сопоставления точка беспроводного доступа определяет тип клиента. Недостаток подхода, при котором одновременно поддерживаются клиенты обоих типов (WEP и WPA), заключается в том, что в этом случае глобальный ключ шифрования не является динамическим, поскольку клиенты WEP не поддерживают такие ключи. Остальные преимущества стандарта WPA, например проверка целостности, остаются реализованными.

Изменения, требуемые для поддержки WPA

Для применения WPA необходимо изменить программное обеспечение следующих элементов:
  • точки беспроводного доступа;
  • адаптеры беспроводных сетей;
  • беспроводные клиентские программы.

Изменения точек беспроводного доступа

Микропрограммы точек беспроводного доступа должны поддерживать следующее.
  • Новые элементы информации WPA

    Для оповещения о поддержке WPA точки беспроводного доступа отправляют пакет с новым элементом информации 802.11 WPA, содержащим параметры безопасности точки доступа (алгоритм шифрования и параметры безопасности).
  • Двухэтапная проверка подлинности WPA

    Открытие системы и проверка подлинности 802.1x (EAP и RADIUS или предварительный ключ).
  • Протокол TKIP
  • Метод Michael
  • Алгоритм AES (необязательно)
Чтобы обновить точки беспроводного доступа для поддержки WPA, обратитесь к производителю беспроводного оборудования за обновленной микропрограммой для WPA.

Изменения адаптеров беспроводных сетей

Адаптеры беспроводных сетей должны поддерживать следующее.
  • Новые элементы информации WPA
    Клиенты беспроводного доступа должны иметь возможность обрабатывать элементы информации WPA и отвечать на них, отправляя параметры безопасности.
  • Двухэтапная проверка подлинности WPA
  • Открытие системы и проверка подлинности 802.1x (EAP или предварительный ключ).
  • Протокол TKIP
  • Метод Michael
  • Алгоритм AES (необязательно)
Чтобы обновить адаптеры беспроводных сетей для поддержки WPA, обратитесь к соответствующему производителю и обновите драйвер адаптера.

Для клиентов Windows необходимо получить обновленный адаптер беспроводных сетей, который поддерживает WPA. Если драйверы адаптеров беспроводных сетей совместимы с Windows XP с пакетом обновления 1 (SP1), то обновленный адаптер должен уметь передавать сведения о своих возможностях WPA и параметрах безопасности службе настройки беспроводной связи.

Корпорация Майкрософт работает со многими производителями беспроводного оборудования, чтобы обеспечить поддержку стандарта WPA в драйверах адаптеров беспроводных сетей. Чтобы обновить клиент беспроводной связи Windows, достаточно лишь найти драйвер, совместимый с WPA, и установить его. Как только Windows загружает драйвер адаптера беспроводной сети, микропрограмма автоматически обновляется.

Изменения в клиентских программах, использующих беспроводную связь

Клиентские программы, использующие беспроводную связь, необходимо обновить, чтобы можно было задавать параметры конфигурации для проверки подлинности WPA (и предварительный ключ) и новых алгоритмов шифрования WPA (TKIP и необязательного компонента AES).

На компьютерах под управлением Windows XP с пакетом обновления 1 (SP1), которые работают в беспроводной сети и используют беспроводные сетевые адаптеры, поддерживающие службу настройки беспроводной связи, необходимо установить клиентскую программу Windows WPA. На компьютерах под управлением Windows XP с пакетом обновления 2 (SP2), которые работают в беспроводной сети и используют беспроводные сетевые адаптеры, поддерживающие службу настройки беспроводной связи, изначально установлена клиентская программа Windows WPA из состава пакета обновления 2 (SP2) для Windows XP (загрузка дополнительного программного обеспечения не требуется). Эта программа обновляет диалоговые окна конфигурации сети для поддержки новых параметров WPA.

Дополнительные сведения о получении программы см. в следующей статье базы знаний Майкрософт:
826942 Комплект исправлений для работы с беспроводной сетью для Windows XP
Для беспроводных клиентов, работающих под управлением Windows 2000 (или Windows XP с пакетом обновления 1 (SP1) с адаптерами беспроводных сетей, которые не поддерживают службу настройки беспроводной связи), необходимо получить у производителя адаптера беспроводной сети и установить новое средство настройки беспроводной сети, совместимое со стандартом WPA.

Дополнительная информация Intel

Дополнительные сведения см. на веб-узле Intel по адресу:
http://support.intel.com/support/wireless/wlan/pro2100/index.htm
В этой статье упомянуты программные продукты сторонних производителей. Корпорация Майкрософт не дает никаких гарантий и обязательств относительно корректной работы или надежности этих продуктов.

Контактные данные независимых производителей предоставлены в данной статье с целью помочь пользователям в получении необходимой технической поддержки. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не гарантирует точность контактных данных независимых производителей.
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 815485 - Последний отзыв: 31 января 2014 г. - Revision: 1.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Ключевые слова: 
kbresolve kbmsnuseraccounts kbhotfixserver kbqfe kbenv kbnetwork kbdriver kbinfo KB815485

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com