Omówienie aktualizacji zabezpieczeń sieci bezprzewodowych WPA w systemie Windows XP

Streszczenie

Ten artykuł zawiera omówienie nowej aktualizacji sieci bezprzewodowych WPA w systemie Windows XP.

Standard sieci bezprzewodowych IEEE (Institute of Electrical & Electronics Engineers) 802.11i określa ulepszenia zabezpieczeń bezprzewodowych sieci lokalnych (LAN, local area network). Standard 802.11i jest obecnie w wersji roboczej i powinien zostać przyjęty w roku 2003. W standardzie 802.11i rozwiązano szereg problemów z zabezpieczeniami oryginalnego standardu 802.11. W oczekiwaniu na przyjęcie standardu IEEE 802.11i producenci sprzętu bezprzewodowego zgodzili się na używanie tymczasowego standardu umożliwiającego współpracę określonego jako WPA (Wi-Fi Protected Access).

Powrót do początku

Funkcje zabezpieczeń WPA

Standard WPA zawiera następujące funkcje zabezpieczeń:

Uwierzytelnianie WPA

W standardzie WPA jest wymagane uwierzytelnianie 802.1x. W standardzie 802.11 uwierzytelnianie 802.1x było opcjonalne.

W przypadku środowisk bez infrastruktury usługi RADIUS (Remote Authentication Dial-In User Service) standard WPA obsługuje używanie klucza wstępnego. W środowiskach z infrastrukturą usługi RADIUS jest dostępna obsługa protokołu EAP (Extensible Authentication Protocol) i usługi RADIUS.

Powrót do początku

Zarządzanie kluczami WPA

W przypadku protokołu 802.1x ponowne tworzenie kluczy szyfrowania w emisji pojedynczej jest opcjonalne. Oprócz tego protokoły 802.11 i 802.1x nie zawierają mechanizmu zmieniania globalnego klucza szyfrowania używanego na potrzeby ruchu w technice multiemisji i emisji. W technologii WPA ponowne tworzenie kluczy jest wymagane zarówno dla kluczy emisji pojedynczej, jak i dla globalnych kluczy szyfrowania. W przypadku klucza szyfrowania dla emisji pojedynczej protokół TKIP zmienia klucz dla każdej ramki i synchronizuje te zmiany między klientem sieci bezprzewodowych a punktem dostępu bezprzewodowego. W przypadku globalnego klucza szyfrowania protokół WPA zawiera funkcję umożliwiającą punktom dostępu bezprzewodowego anonsowanie zmienionego klucza podłączonym klientom sieci bezprzewodowej.

Powrót do początku

Protokół TKIP (Temporal Key Integrity Protocol)

W protokole 802.11 szyfrowanie WEP jest opcjonalne. W protokole WPA jest wymagane szyfrowanie przy użyciu protokołu TKIP. Protokół TKIP zastępuje technologię WEP nowym algorytmem szyfrowania, silniejszym niż algorytm WEP, ale używającym do operacji szyfrowania funkcji obliczeniowych dostępnych w istniejących urządzeniach sieci bezprzewodowych. Protokół TKIP udostępnia również następujące funkcje:
 • weryfikacja konfiguracji zabezpieczeń po określeniu kluczy szyfrowania,
 • zsynchronizowane zmienianie klucza szyfrowania emisji pojedynczej dla każdej ramki,
 • określanie unikatowego początkowego klucza szyfrowania emisji pojedynczej przy każdym uwierzytelnianiu klucza wstępnego.
Powrót do początku

Metoda Michael

W protokole 802.11 z technologią WEP integralność danych jest gwarantowana dzięki 32-bitowej wartości kontrolnej integralności (ICV, integrity check value) dołączanej do ładunku protokołu 802.11 i szyfrowanej metodą WEP. Wartość ICV jest szyfrowana, jednak korzystając z analizy kryptograficznej, można zmienić bity zaszyfrowanego ładunku i zaktualizować zaszyfrowaną wartość ICV w sposób niemożliwy do wykrycia przez odbiorcę.

W przypadku protokołu WPA jest dostępna metoda określona jako Michael, określająca nowy algorytm obliczania 8-bajtowego kodu integralności komunikatu (MIC, message integrity code) przy użyciu funkcji obliczeniowych dostępnych na istniejących urządzeniach sieci bezprzewodowych. Wartość MIC jest umieszczana między częścią danych ramki IEEE 802.11 a 4-bajtową wartością ICV. Pole MIC jest szyfrowane razem z danymi ramki i wartością ICV.

Metoda Michael umożliwia ochronę przed powtarzaniem. Nowy licznik ramek w ramce IEEE 802.11 zapobiega atakom przez powtórzenie.

Powrót do początku

Obsługa szyfrowania AES

W protokole WPA jako dodatkową opcję dostępną zamiast szyfrowania WEP zdefiniowano szyfrowanie AES (Advanced Encryption Standard). Obsługa szyfrowania AES jest opcjonalna i zależy od funkcji sterowników producenta. Jest to spowodowane faktem, że nie zawsze można uzyskać obsługę szyfrowania AES przez aktualizację oprogramowania układowego istniejącego sprzętu sieci bezprzewodowych.

Powrót do początku

Jednoczesna obsługa klientów bezprzewodowych WPA i WEP

Aby umożliwić stopniowe przejście od sieci bezprzewodowych opartych na protokole WEP do sieci opartych na protokole WPA, punkt dostępu bezprzewodowego może jednocześnie obsługiwać klientów WEP i WPA. Podczas kojarzenia punkt dostępu bezprzewodowego określa, którzy klienci używają protokołu WEP, a którzy WPA. Jednoczesna obsługa klientów WEP i WPA powoduje pewne problemy. Globalny klucz szyfrowania nie jest dynamiczny, ponieważ klienci WEP takiego nie obsługują. Są zachowywane wszystkie pozostałe korzyści z używania klientów WPA (w tym integralność).

Powrót do początku

Zmiany wymagane do obsługi technologii WPA

Protokół WPA wymaga zmian w oprogramowaniu następujących elementów:
 • Punktów dostępu bezprzewodowego
 • Kart sieci bezprzewodowych
 • Programów na klientach sieci bezprzewodowych
Powrót do początku

Zmiany punktów dostępu bezprzewodowego

Punkty dostępu bezprzewodowego wymagają aktualizacji oprogramowania układowego w celu umożliwienia obsługi następujących funkcji:
 • Nowy element informacji protokołu WPA

  W celu anonsowania obsługi protokołu WPA punkty dostępu bezprzewodowego wysyłają ramkę sygnału z elementem informacji protokołu 802.11 WPA zawierającym konfigurację zabezpieczeń punktu dostępu bezprzewodowego (algorytmy szyfrowania i informacji o konfiguracji zabezpieczeń sieci bezprzewodowej).
 • Dwufazowe uwierzytelnianie WPA

  Open System, a następnie 802.1x (protokół EAP z usługą RADIUS lub klucz wstępny).
 • TKIP
 • Metoda Michael
 • AES (opcjonalne)
Aby uaktualnić punkty dostępu bezprzewodowego w celu uzyskania obsługi protokołu WPA, należy dla nich uzyskać od producenta aktualizację oprogramowania układowego dotyczącą obsługi protokołu WPA i przesłać ją do punktów dostępu.

Powrót do początku

Zmiany dotyczące kart sieci bezprzewodowych

Karty sieci bezprzewodowych wymagają aktualizacji oprogramowania układowego w celu umożliwienia obsługi następujących funkcji:
 • Nowy element informacji protokołu WPA
  Klienci sieci bezprzewodowych muszą być w stanie przetworzyć element informacji WPA i odpowiedzieć, podając określoną konfigurację zabezpieczeń.
 • Dwufazowe uwierzytelnianie WPA
 • Open System, a następnie 802.1x (protokół EAP lub klucz wstępny).
 • TKIP
 • Metoda Michael
 • AES (opcjonalne)
Aby uaktualnić karty sieci bezprzewodowych w celu uzyskania obsługi protokołu WPA, należy dla nich uzyskać od producenta aktualizację oprogramowania i zaktualizować ich sterowniki.

W przypadku klientów sieci bezprzewodowych z systemem Windows należy uzyskać zaktualizowany sterownik karty sieciowej z obsługą protokołu WPA. W przypadku sterowników kart sieci bezprzewodowych zgodnych z systemem Windows XP (z dodatkiem Service Pack 1) zaktualizowany sterownik karty sieciowej musi mieć możliwość przekazywania funkcji protokołu WPA karty i konfiguracji zabezpieczeń do usługi konfiguracji zerowej sieci bezprzewodowej.

Firma Microsoft osadziła aktualizacje oprogramowania układowego dla protokołu WPA w sterownikach kart sieci bezprzewodowych we współpracy z wieloma producentami urządzeń bezprzewodowych. Oznacza to, że w celu zaktualizowania klienta sieci bezprzewodowych opartego na systemie Windows należy uzyskać i zainstalować nowy sterownik zgodny z protokołem WPA. Oprogramowanie układowe zostanie automatycznie zaktualizowane, gdy sterownik karty sieci bezprzewodowej zostanie załadowany w systemie Windows.

Powrót do początku

Zmiany programów klienckich dla sieci bezprzewodowych

Umożliwienie konfigurowania uwierzytelniania WPA (i klucza wstępnego) oraz nowych algorytmów szyfrowania WPA (TKIP i opcjonalnego składnika AES) wymaga aktualizacji programów na klientach sieci bezprzewodowych.

W przypadku klientów sieci bezprzewodowych z systemem Windows XP z dodatkiem Service Pack 1 (SP1) używających kart sieci bezprzewodowych obsługujących usługę konfiguracji zerowej sieci bezprzewodowej należy uzyskać i zainstalować klienta protokołu WPA dla systemu Windows. W przypadku klientów sieci bezprzewodowych z systemem Windows XP z dodatkiem Service Pack 2 (SP2) używających kart sieci bezprzewodowych obsługujących usługę konfiguracji zerowej sieci bezprzewodowej klient protokołu WPA dla systemu Windows jest dołączony do dodatku SP2 dla systemu Windows XP. Nie trzeba więc pobierać żadnych dodatkowych plików. Klient protokołu WPA dla systemu Windows aktualizuje okna dialogowe konfiguracji sieci bezprzewodowych i dodaje opcje obsługi nowych opcji protokołu WPA.

Aby dowiedzieć się więcej o uzyskiwaniu programu klienckiego protokołu WPA, kliknij następujący numer artykułu w celu wyświetlenia go w bazie wiedzy Microsoft Knowledge Base:

826942 Jest dostępny pakiet zbiorczy aktualizacji dotyczący sieci bezprzewodowych dla systemu Windows XP

W przypadku klientów sieci bezprzewodowych z systemem Windows 2000 (oraz klientów z systemem Windows XP z dodatkiem SP1 i używających kart sieci bezprzewodowych, które nie obsługują usługi konfiguracji sieci bezprzewodowej) należy uzyskać od producenta karty nowe narzędzie konfiguracji zgodne z protokołem WPA i zainstalować je.

Powrót do góry

Pokrewne informacje firmy Intel

Aby uzyskać dodatkowe informacje, odwiedź następującą witrynę firmy Intel w sieci Web: Produkty innych firm omówione w tym artykule są wytwarzane przez producentów niezależnych od firmy Microsoft. Firma Microsoft nie daje żadnych gwarancji, domyślnych ani żadnego innego rodzaju, odnośnie do wydajności lub niezawodności tych produktów.


Firma Microsoft udostępnia informacje dotyczące sposobu kontaktowania się z innymi firmami, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Informacje tego typu mogą ulec zmianie bez powiadomienia. Firma Microsoft nie gwarantuje, że informacje dotyczące innych firm są precyzyjne.
Właściwości

Identyfikator artykułu: 815485 — ostatni przegląd: 27.06.2014 — zmiana: 1

Opinia