Windows XP 中 Wi-Fi 保护访问 (WPA) 安全更新的概述

文章翻译 文章翻译
文章编号: 815485 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文讨论 Microsoft Windows XP 中新的 WPA (Wi-Fi Protected Access) 更新。

电气和电子工程师协会 (IEEE) 802.11i 无线网络标准指定了对无线局域网 (LAN) 安全性的改进。802.11i 标准当前还没有定稿,最后的批准期限是 2003 年底。802.11i 标准将解决原来的 802.11 标准的许多安全性问题。尽管新的 IEEE 802.11i 标准正在等待批准,无线供应商已同意了一个称为 WPA (Wi-Fi Protected Access) 的可共同使用的过渡标准。

WPA 安全功能

WPA 标准中包含以下安全功能:

WPA 身份验证

WPA 要求进行 802.1x 身份验证。在 802.11 标准中,802.1x 身份验证是可选的。

对于没有远程身份验证拨号用户服务 (RADIUS) 结构的环境,WPA 支持使用预共享的密钥。对于具有 RADIUS 结构的环境,支持可扩展身份验证协议 (EAP) 和 RADIUS。

WPA 密钥管理

对于 802.1x,单播加密密钥的重新生成操作是可选的。另外,802.11 和 802.1x 没有提供任何机制来更改多路广播和广播通信所使用的全局加密密钥。对于 WPA,需要对单路广播和全局加密密钥进行重新加密操作。对于单路广播加密密钥,临时密钥完整性协议 (TKIP) 更改每一帧的密钥,而且更改操作会在无线客户端和无线访问点 (AP) 之间保持同步。对于全局加密密钥,WPA 包含一个工具,以便无线 AP 将更改后的密钥公布到连接的无线客户端。

临时密钥完整性协议 (TKIP)

对于 802.11,有线等效保密 (WEP) 加密是可选的。对于 WPA,需要使用 TKIP 进行加密。TKIP 将 WEP 替换为新的加密算法,该算法比 WEP 算法更强,但需要使用现有无线设备上存在的计算工具执行加密操作。TKIP 还提供以下功能:
  • 确定加密密钥后验证安全配置。
  • 同步更改每一帧的单路广播加密密钥。
  • 为每个预共享密钥身份验证确定唯一的起始单路广播加密密钥。

Michael

对于 802.11 和 WEP,数据完整性由 32 位的完整性检查值 (ICV) 提供,该值附加到 802.11 有效负载中并使用 WEP 进行加密。虽然对 ICV 进行了加密,但可以使用密码分析技术更改加密有效负载中的位并更新加密 ICV,而不会被接收器检测到。

对于 WPA,一种称为 Michael 的方法指定了新的算法,该算法使用现有无线设备上提供的计算工具计算 8 字节的消息完整性代码 (MIC)。MIC 被放在 802.11 帧的数据部分和 4 字节的 ICV 之间。MIC 字段随帧数据和 ICV 一起加密。

Michael 还有助于提供重放保护。IEEE 802.11 帧中的一个新帧计数器有助于禁止重放攻击。

AES 支持

WPA 将高级加密标准 (AES) 的使用定义为 WEP 加密的另一种替代方法。由于可能无法通过固件更新将 AES 支持添加到现有的无线设备,因此对 AES 的支持是可选的,并依赖于供应商驱动程序的支持。

支持 WPA 和 WEP 无线客户端的混合使用

为了支持将基于 WEP 的无线网络逐步转换为 WPA,无线 AP 可以同时支持 WEP 和 WPA 两种客户端。在关联过程中,无线 AP 确定哪些客户端使用 WEP 以及哪些客户端使用 WPA。对 WEP 和 WPA 客户端混合使用的支持存在问题。因为基于 WEP 的客户端不支持全局加密密钥,所以该密钥不是动态的。对 WPA 客户端的所有其他好处都保留了下来,包括完整性。

支持 WPA 所需的更改

WPA 要求对以下内容进行软件更改:
  • 无线访问点
  • 无线网络适配器
  • 无线客户端程序

对无线接入点的更改

无线接入点必须更新其固件才能支持以下内容:
  • 新的 WPA 信息元素

    为公布对 WPA 的支持,无线 AP 使用新的 802.11 WPA 信息元素发送信号帧,而该元素包含无线 AP 的安全配置(加密算法和无线安全配置信息)。
  • WPA 两段式身份验证

    打开“系统”,然后打开“802.1x”(带 RADIUS 的 EAP 或预共享密钥)。
  • TKIP
  • Michael
  • AES(可选)
要升级无线访问点以支持 WPA,请从无线 AP 供应商处获取 WPA 固件更新并将其上载到无线 AP。

对无线网络适配器的更改

无线网络适配器必须更新其固件才能支持以下内容:
  • 新的 WPA 信息元素
    无线客户端必须能够处理 WPA 信息元素并响应特定的安全配置。
  • WPA 两段式身份验证
  • 打开“系统”,然后打开“802.1x”(EAP 或预共享密钥)。
  • TKIP
  • Michael
  • AES(可选)
要升级无线网络适配器以支持 WPA,请从无线网络适配器供应商处获取 WPA 更新,并更新无线网络适配器驱动程序。

对于 Windows 无线客户端,必须获取已更新的、支持 WPA 的网络适配器驱动程序。对于与 Windows XP (Service Pack 1) 兼容的无线网络适配器驱动程序,更新后的网络适配器驱动程序必须能够将该适配器的 WPA 功能和安全配置传递到无线零配置 (Wireless Zero Configuration) 服务。

Microsoft 已经与许多无线供应商协作,以将 WPA 固件更新嵌入到无线适配器驱动程序中。因此,要更新 Windows 无线客户端,您只需获取新的 WPA 兼容的驱动程序,然后安装该驱动程序即可。当无线网络适配器驱动程序被加载到 Windows 中时,将自动更新该固件。

对无线客户端程序的更改

必须更新无线客户端程序,才能允许配置 WPA 身份验证(和预共享的密钥)以及新的 WPA 加密算法(TKIP 和可选的 AES 组件)。

对于运行 Windows XP Service Pack 1 (SP1) 并使用支持无线零配置服务的无线网络适配器的无线客户端,您必须获取并安装 Windows WPA Client。对于运行 Windows XP Service Pack 2 (SP2) 并使用支持无线零配置服务的无线网络适配器的无线客户端,Windows WPA Client 包含在 Windows XP SP2 中。因此,不需要进行其他下载。Windows WPA Client 更新无线网络配置对话框以支持新的 WPA 选项。

有关如何获取 WPA 客户端程序的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
826942 用于 Windows XP 的无线更新总成包现已面世
对于运行 Windows 2000 的无线客户端(或者运行 Windows XP SP1 并使用不支持无线零配置服务的无线网络适配器的客户端),您必须从您的无线网络适配器供应商那里获取并安装新的 WPA 兼容的配置工具。

相关的 Intel 信息

有关其他信息,请访问下面的 Intel 网站:
http://support.intel.com/support/wireless/wlan/pro2100/index.htm
本文中提到的第三方产品由 Microsoft 以外的其他公司提供。对于这些产品的性能或可靠性,Microsoft 不作任何暗示保证或其他形式的保证。

Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。
注意:本篇“快速发布”文章是从 Microsoft 支持组织直接创建的。 文中包含的信息按原样提供,用于响应紧急问题。 由于发布仓促,材料可能包含印刷错误,并且可能随时修订,恕不另行通知。 有关其他注意事项,请参阅使用条款

属性

文章编号: 815485 - 最后修改: 2014年6月27日 - 修订: 2.0
这篇文章中的信息适用于:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
关键字:?
kbresolve kbmsnuseraccounts kbhotfixserver kbqfe kbenv kbnetwork kbdriver kbinfo KB815485
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com