Windows XP 中 Wi-Fi Protected Access (WPA) 的安全性更新概觀

文章翻譯 文章翻譯
文章編號: 815485 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您,Microsoft Windows XP 的全新 Wi-Fi Protected Access (WPA) 更新。

「電子電機工程師協會」(Institute of Electrical & Electronics Engineers,IEEE) 的 802.11i 無線網路標準,詳細指明無線區域網路 (LAN) 安全性的改良功能。目前 802.11i 標準尚在起草階段,核准截止在 2003 年底,能夠解決原始 802.11 標準的許多安全性問題。在新的 IEEE 802.11i 標準即將核准之際,無線廠商已經一致認同可在內部操作的過渡時期標準,亦即 Wi-Fi Protected Access (WPA)。

WPA 安全性功能

WPA 標準包含下列安全性功能:

WPA 驗證

WPA 需要經過 802.1x 驗證。在 802.11 標準中,802.1x 驗證是選擇性。

在沒有「遠端驗證撥入使用者服務」(Remote Authentication Dial-In User Service,RADIUS) 基礎結構的環境中,WPA 支援使用預先共用的金鑰。在具有 RADIUS 基礎結構的環境中,則支援「可延伸驗證通訊協定」(Extensible Authentication Protocol,EAP) 和 RADIUS。

WPA 金鑰管理

有了 802.1x,您可以選擇性地重新執行單點傳送加密金鑰。此外,802.11 和 802.1x 並未提供機制來變更多點傳送和廣播流量所使用的全域加密金鑰。搭配使用 WPA 時,必須重新執行金鑰單點傳送和全域加密金鑰。對於單點傳送加密金鑰,TKIP (Temporal Key Integrity Protocol) 會變更每個框架的金鑰,並同步處理無線用戶端和無線存取點 (Access Point,AP) 之間的變更。對於全域加密金鑰,WPA 可以讓無線 AP 向已連線的無線用戶端通知變更的金鑰。

Temporal Key Integrity Protocol (TKIP)

在 802.11 中,「有線等位私密」(Wired Equivalent Privacy,WEP) 加密是選擇性使用的。WPA 的加密必須使用 TKIP。TKIP 會將 WEP 取代為比 WEP 演算法更強固,並且使用現有無線裝置上計算功能來執行加密操作的全新加密演算法。TKIP 還提供下列功能:
  • 決定加密金鑰之後,驗證安全性設定。
  • 同步處理每個框架的單點傳送加密金鑰變更。
  • 判斷每個預先共用金鑰驗證的唯一開始單點傳送加密金鑰。

Michael

有了 802.11 和 WEP,就可以藉由 802.11 載入內容所附加且以 WEP 加密的 32 位元完整性檢查值 (Integrity Check Value,ICV),提供資料的完整性。雖然 ICV 已加密,但您還是可以使用密碼分析來變更加密內容中的位元,並更新加密的 ICV,而讓收件者偵測不到。

有了 WPA,Michael 方法就能指定新的演算法,使用現有無線裝置上的可用計算功能,來計算 8 位元組訊息完整性程式碼 (Message Integrity Code,MIC)。MIC 是放在 IEEE 802.11 框架資料部分和 4 位元組 ICV 之間。MIC 欄位會與框架資料及 ICV 一起加密。

Michael 也提供重送防護。IEEE 802.11 框架的新框架計數器可以協助防止重送攻擊。

AES 支援

WPA 會將使用「進階加密標準」(Advanced Encryption Standard,AES) 定義為 WEP 加密的其他替代方式。您可能無法透過韌體更新在現有無線設備上新增 AES 支援,因此 AES 支援是選用的,並且必須依賴廠商的驅動程式支援。

支援 WPA 和 WEP 無線用戶端混合使用

如果要對 WPA 提供 WEP 無線網路漸進傳輸的支援,無線 AP 可以同時支援 WEP 和 WPA 用戶端。建立關聯的過程中,無線 AP 會判斷哪些用戶端使用 WEP,哪些用戶端使用 WPA。支援 WPA 和 WEP 用戶端混合使用仍存有問題。全域加密金鑰並非動態,因為 WEP 用戶端不支援。WPA 用戶端仍然保有的所有其他優點,包括完整性。

支援 WPA 所需進行的變更

使用 WPA 必須變更下列軟體:
  • 無線存取點
  • 無線網路介面卡
  • 無線用戶端程式

無線存取點的變更

無線存取點必須更新其韌體,才能支援下列項目:
  • 全新的 WPA 資訊元素

    如果要通知 WPA 支援,無線 AP 會傳送具有全新 802.11 WPA 資訊元素的信號框架,其中包含無線 AP 的安全性設定 (加密演算法和無線安全性設定資訊)。
  • WPA 兩階段驗證

    開啟 [系統],再開啟 [802.1x] (EAP 搭配 RADIUS 或預先共用金鑰)。
  • TKIP
  • Michael
  • AES (選用)
如果要升級無線存取點,以支援 WPA,請向無線 AP 廠商取得 WPA 韌體更新,並上載至您的無線 AP。

無線網路介面卡的變更

無線網路介面卡必須更新其韌體,才能支援下列項目:
  • 全新的 WPA 資訊元素
    無線用戶端必須能夠處理 WPA 資訊元素,並且回應特定的安全性設定。
  • WPA 兩階段驗證
  • 開啟 [系統],再開啟 [802.1x] (EAP 或預先共用金鑰)。
  • TKIP
  • Michael
  • AES (選用)
如果要升級無線網路介面卡,以支援 WPA,請向無線網路介面卡廠商取得 WPA 更新,並更新無線網路介面卡的驅動程式。

若是 Windows 無線用戶端,您必須取得支援 WPA 的更新網路介面卡驅動程式。若是與 Windows XP (Service Pack 1) 相容的無線網路介面卡驅動程式,更新的網路介面卡驅動程式必須能夠將介面卡的 WPA 功能和安全性設定,傳遞至 Wireless Zero Configuration 服務。

Microsoft 已經和許多無線廠商合作,為求在無線介面卡驅動程式中內嵌 WPA 韌體更新。因此,如果要更新 Windows 無線用戶端,您只需要取得並安裝全新的 WPA 相容驅動程式。Windows 載入無線網路介面卡驅動程式時,韌體會自動加以更新。

無線用戶端程式的變更

無線用戶端程式必須經過更新,以允許 WPA 驗證 (及預先共用金鑰) 設定和新 WPA 加密演算法 (TKIP 及選擇性 AES 元件)。

對於執行 Windows XP Service Pack 1 (SP1) 和使用支援 Wireless Zero Configuration 服務的無線網路介面卡的無線用戶端,您就必須取得並安裝 Windows WPA Client。如果是執行 Windows XP Service Pack 2 (SP2) 以及使用支援 Wireless Zero Configuration 服務的無線網路介面卡的無線用戶端,Windows XP SP2 就包含了 Windows WPA Client。因此,不需要其他下載項目。Windows WPA Client 會更新無線網路設定對話方塊,以支援新的 WPA 選項。

如需有關如何取得 WPA 用戶端程式的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
826942 目前已經提供 Windows XP 適用的無線更新彙總套件
如果無線用戶端執行 Windows 2000 (或用戶端執行 Windows XP SP1 且使用不支援 Wireless Zero Configuration 服務的無線網路介面卡),您就必須向無線網路介面卡廠商取得並安裝新的 WPA 相容設定工具。

Intel 相關資訊

如需詳細資訊,請造訪下列 Intel 網站:
http://support.intel.com/support/wireless/wlan/pro2100/index.htm
本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。Microsoft 不以暗示或其他方式,提供與這些產品的效能或可靠性有關的保證。

Microsoft 提供協力廠商的連絡資訊,以協助您找出技術支援。此連絡資訊若有變更,恕不另行通知。Microsoft 不保證此協力廠商連絡資訊的準確性。

屬性

文章編號: 815485 - 上次校閱: 2013年6月10日 - 版次: 7.3
這篇文章中的資訊適用於:
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Professional
關鍵字:?
kbresolve kbmsnuseraccounts kbhotfixserver kbqfe kbenv kbnetwork kbdriver kbinfo KB815485
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com