Oversigt over sikkerhedsopdateringen til WPA (Wi-Fi Protected Access) i Windows XP

Sammenfatning

I denne artikel beskrives den nye WPA-opdatering (Wi-Fi Protected Access) i Microsoft Windows XP.

I Institute of Electrical & Electronics Engineers' (IEEE) standard for trådløse netværk, 802.11i, angives forbedringer af sikkerheden i forbindelse med trådløst LAN. Standarden 802.11i findes i øjeblikket i kladdeform med forventet ratificering i slutningen af 2003. Standarden 802.11i behandler mange af sikkerhedsproblemerne i den oprindelige 802.11-standard. Mens den nye IEEE standard 802.11i ratificeres, er forhandlere af trådløse netværk nået til enighed om en fælles midlertidig standard, kendt som WPA (Wi-Fi Protected Access).

Tilbage til toppen

Funktioner i WPA-sikkerhed

De følgende sikkerhedsfunktioner er inkluderet i WPA-standarden:

WPA-godkendelse

802.1x-godkendelse er påkrævet i forbindelse med WPA. I standard 802.11 var 802.1x-godkendelse valgfri.

I forbindelse med miljøer uden RADIUS- infrastruktur (Remote Authentication Dial-In User Service) understøtter WPA brugen af en foruddelt nøgle. I forbindelse med miljøer med en RADIUS-infrastruktur, understøttes EAP (Extensible Authentication Protocol) og RADIUS.

Tilbage til toppen

WPA-nøglehåndtering

I forbindelse med 802.1x er omprogrammering af unicast krypteringsnøgler valgfri. Desuden leverer 802.11 og 802.1x ingen mekanisme til ændring af den globale krypteringsnøgle, der anvendes i forbindelse med multicast- og broadcast-trafik. I forbindelse med WPA er omprogrammering af både unicast- og globale krypteringsnøgler påkrævet. I forbindelse med unicast-krypteringsnøglen ændrer TKIP (Temporal Key Integrity Protocol) nøglen for hver ramme, og ændringen synkroniseres med den trådløse klient og det trådløse adgangspunkt. I forbindelse med den globale krypteringsnøgle inkluderer WPA en funktion, så det trådløse adgangspunkt kan informere de tilsluttede trådløse klienter om den ændrede nøgle.

Tilbage til toppen

TKIP (Temporal Key Integrity Protocol)

I forbindelse med 802.11 er WEP-kryptering (Wired Equivalent Privacy) valgfri. I forbindelse med WPA kræves kryptering vha. TKIP. TKIP erstatter WEP med en ny krypteringsalgoritme, der er stærkere end WEP-algoritmen, men som bruger de beregningsfunktioner, der findes på trådløse enheder, i forbindelse med krypteringshandlinger. TKIP sørger også for følgende:
 • En bekræftelse af sikkerhedskonfigurationen, når krypteringsnøglerne er fastslået.
 • En synkroniseret ændring af unicast-krypteringsnøglen for hver ramme.
 • En fastslåelse af en enestående unicast-startkrypteringsnøgle for hver foruddelt nøglegodkendelse.
Tilbage til toppen

Michael

I forbindelse med 802.11 og WEP leveres dataintegritet af en 32-bit ICV (Integrity Check Value), der er føjet til 802.11 datastørrelse og krypteret vha. WEP. Selvom ICV er krypteret, kan du bruge en krypteringsanalyse til at ændre dele i den krypterede datastørrelse og opdatere den krypterede ICV uden, at det registreres af modtageren.

I forbindelse med WPA angiver en metode kendt som Michael en ny algoritme, der beregner en 8-byte MIC (message integrity code) vha. de beregningsfunktioner, der er tilgængelige på eksisterende trådløse enheder. MIC er placeret mellem datadelen i IEEE 802.11-rammen og 4-byte-ICV'en. MIC-feltet krypteres sammen med rammedataene og ICV'en.

Michael er også med til at levere afspilningsbeskyttelse. En ny rammetæller i IEEE 802.11-rammen bidrager til beskyttelse mod afspilningsangreb.

Tilbage til toppen

AES-understøttelse

WPA definerer brugen af AES (Advanced Encryption Standard) som en ekstra erstatning for WEP-kryptering. Da det ikke er sikkert, du kan føje AES-understøttelse via en firmwareopdatering til det eksisterende trådløse udstyr, er support af AES valgfri og afhænger af leverandørens driverunderstøttelse.

Tilbage til toppen

Understøtter en blanding af WPA og trådløse WEP-klienter

Hvis du vil understøtte en gradvis overgang fra WEP-baserede trådløse netværk til WPA, kan et trådløst adgangspunkt understøtte både WEP- og WPA-klienter samtidigt. Under tilknytningen bestemmer det trådløse adgangspunkt, hvilke klienter der bruger WEP, og hvilke klienter der bruger WPA. Understøttelsen af en blanding af WEP- og WPA-klienter er problematisk. Den globale krypteringsnøgle er ikke dynamisk, da WEP-baserede klienter ikke kan understøtte den. Alle andre fordele ved WPA-klienterne bevares, herunder integritet.

Tilbage til toppen

Ændringer, der kræves i forbindelse med understøttelse af WPA

WPA kræver softwareændringer af følgende:
 • Trådløse adgangspunkter
 • Trådløse netværkskort
 • Trådløse klientprogrammer
Tilbage til toppen

Ændringer af trådløse adgangspunkter

Trådløse adgangspunkter skal have opdateret firmwaren for at kunne understøtte følgende:
 • Det nye WPA-opløsningselement

  I forbindelse med annonceringen af deres understøttelse af WPA sender trådløse adgangspunkter beaconrammen med et nyt 802.11 WPA-oplysningselement, der indeholder sikkerhedskonfigurationen for det trådløse adgangspunkt (krypteringsalgoritmer og oplysninger om trådløse sikkerhedskonfigurationer).
 • Godkendelse af WPA i to faser

  Åbn system, og åbn derefter 802.1x (EAP med RADIUS eller foruddelt nøgle).
 • TKIP
 • Michael
 • AES (valgfri)
Hvis du vil opgradere dine trådløse adgangspunkter, så de understøtter WPA, skal du anskaffe en WPA-firmwareopdatering hos leverandøren af de trådløse adgangspunkter og overføre den til dem.

Tilbage til toppen

Ændringer af trådløse netværkskort

Trådløse netværkskort skal have opdateret firmwaren for at kunne understøtte følgende:
 • Det nye WPA-opløsningselement
  Trådløse klienter skal kunne behandle WPA-oplysningselementet og svare med en bestemt sikkerhedskonfiguration.
 • Godkendelse af WPA i to faser
 • Åbn system, og åbn derefter 802.1x (EAP eller foruddelt nøgle).
 • TKIP
 • Michael
 • AES (valgfri)
Hvis du vil opgradere dine trådløse netværkskort til at understøtte WPA, skal du anskaffe en WPA-opdatering hos leverandøren af dine trådløse netværkskort og opdatere driveren til dem.

I forbindelse med trådløse Windows-klienter skal du anskaffe en opdateret driver til netværkskort, der understøtter WPA. I forbindelse med drivere til trådløse netværkskort, der er kompatible med Windows XP (Service Pack 1), skal den opdaterede driver til netværkskort kunne overføre netværkskortets WPA-egenskaber og sikkerhedskonfiguration til Konfigurationsfri tjeneste til trådløse forbindelser.

Microsoft har samarbejdet med mange leverandører af trådløse forbindelser for at kunne integrere WPA-firmwareopdateringen i driveren til trådløse netværkskort. Derfor skal du bare anskaffe den nye WPA-kompatible driver og installere den for at opdatere din trådløse Windows-klient. Firmwaren opdateres automatisk, når driveren til trådløse netværkskort indlæses i Windows.

Tilbage til toppen

Ændringer af trådløse klientprogrammer

Trådløse klientprogrammer skal opdateres, så de tillader konfiguration af WPA-godkendelse (og foruddelt nøgle) og de nye WPA-krypteringsalgoritmer (TKIP og den valgfrie AES-komponent).

I forbindelse med trådløse klienter, der kører Windows XP Service Pack 1 (SP1), og som bruger et trådløst netværkskort, der understøtter Konfigurationsfri tjeneste til trådløse forbindelser, skal du anskaffe og installere Windows WPA-klienten. I forbindelse med trådløse klienter, der kører Windows XP service pack 2 (SP2), og som bruger et trådløst netværkskort, der understøtter Konfigurationsfri tjeneste til trådløse forbindelser, er Windows WPA-klienten inkluderet i Windows XP SP2. Derfor er det ikke nødvendigt med yderligere overførsler. Windows WPA-klienten opdaterer dialogboksene til den trådløse netværkskonfiguration, så de understøtter de nye WPA-indstillinger.

Du finder flere oplysninger om WGA-klientprogrammet ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

826942 Den akkumulerede opdateringspakke til Windows XP er tilgængelig

I forbindelse med klienter, der kører Windows 2000 (eller klienter, der kører Windows XP SP1 og bruger et trådløst netværkskoft, som ikke understøtter Konfigurationsfri tjeneste til trådløse forbindelser), skal du anskaffe og installere et nyt WPA-kompatibelt konfigurationsværktøj hos din leverandør af trådløse netværkskort.

Tilbage til toppen

Relaterede Intel-oplysninger

Du finder flere oplysninger på følgende Intel-websted: De tredjepartsprodukter, der omtales i denne artikel, er produceret af firmaer, som er uafhængige af Microsoft. Microsoft giver ingen garanti, hverken underforstået eller på anden måde, hvad angår disse produkters ydeevne eller pålidelighed.


Oplysninger om kontakt til tredjepart er taget med for at gøre det lettere for dig at finde den ønskede tekniske support. Disse kontaktoplysninger kan ændres uden varsel. Microsoft kan ikke garantere, at kontaktoplysningerne vedrørende tredjepart er nøjagtige.
Egenskaber

Artikel-id: 815485 – Seneste udgave 27. jun. 2014 – Udgave 1

Feedback