Översikt över WPA-säkerhetsuppdatering (Wi-Fi Protected Access) i Windows XP

Sammanfattning

I den här artikeln beskrivs den nya WPA-uppdateringen (Wi-Fi Protected Access) i Microsoft Windows XP.

IEEE-standarden (Institute of Electrical & Electronics Engineers) 802.11i för trådlösa nätverk medför flera förbättringar av säkerheten i trådlösa lokala nätverk. 802.11i-standarden finns för närvarande i utkastform och kommer att ratificeras i slutet av 2003. Den löser många säkerhetsproblem i den ursprungliga 802.11-standarden. Medan den nya IEEE 802.11i-standarden ratificeras har leverantörer av utrustning för trådlösa nätverk enats om en tillfällig standard med beteckningen WPA (Wi-Fi Protected Access).

Överst på sidan

WPA-säkerhet

Följande säkerhetsfunktioner ingår i WPA-standarden:

WPA-autentisering

802.1x-autentisering krävs i WPA. I 802.11-standarden var 802.1x-autentisering valfri.

För miljöer utan RADIUS-infrastruktur (Remote Authentication Dial-In User Service) stöder WPA användning av en i förväg delad nyckel. För miljöer med RADIUS-infrastruktur stöds EAP (Extensible Authentication Protocol) och RADIUS.

Överst på sidan

WPA-nyckelhantering

I 802.1x är uppdatering av unicast-krypteringsnycklar valfri. Dessutom ger 802.11 och 802.1x inga möjligheter att ändra den globala krypteringsnyckeln som används för multicast- och broadcast-trafik. I WPA krävs uppdatering av både unicast-nycklar och globala krypteringsnycklar. För unicast-krypteringsnyckeln ändras nyckeln för varje ram av TKIP (Temporal Key Integrity Protocol), och ändringen synkroniseras mellan den trådlösa klienten och den trådlösa åtkomstpunkten. För den globala krypteringsnyckeln innehåller WPA en funktion som gör att den trådlösa åtkomstpunkten kan annonsera den ändrade nyckeln till anslutna trådlösa klienter.

Överst på sidan

TKIP (Temporal Key Integrity Protocol)

För 802.11 är WEP (Wired Equivalent Privacy) valfritt. För WPA krävs kryptering med TKIP. TKIP ersätter WEP med en ny krypteringsalgoritm som är starkare än WEP-algoritmen, men där beräkningsfunktionerna i befintliga trådlösa enheter används för kryptering. TKIP möjliggör även följande:
 • Verifiering av säkerhetskonfigurationen efter att krypteringsnycklarna har fastställts.
 • Synkroniserad ändring av unicast-krypteringsnyckeln för varje ram.
 • Fastställande av en unik initial unicast-krypteringsnyckel för varje autentisering av en i förväg delad nyckel.
Överst på sidan

Michael

Med 802.11 och WEP skyddas data av ett 32-bitars integritetskontrollvärde (ICV) som läggs till 802.11-innehållet och krypteras med WEP. Även om integritetskontrollvärdet krypteras kan det krypterade innehållet ändras, och det krypterade integritetskontrollvärdet kan uppdateras utan att mottagaren märker det.

I WPA anger en metod som kallas Michael en ny algoritm för beräkning av en 8-bitars meddelandeintegritetskod (MIC) med hjälp av tillgängliga beräkningsfunktioner på befintliga trådlösa enheter. Meddelandeintegritetskoden finns mellan datadelen av IEEE 802.11-ramen och integritetskontrollvärdet med 4 byte. Fältet med meddelandeintegritetskoden krypteras tillsammans med ramdata och integritetskontrollvärdet.

Michael skyddar också mot replay-angrepp genom en ny ramräknare i IEEE 802.11-ramen.

Överst på sidan

AES-stöd

I WPA definieras användning av AES (Advanced Encryption Standard) som en ytterligare ersättning för WEP-kryptering. Eftersom det kanske inte är möjligt att lägga till AES-stöd genom en uppdatering av inbyggd programvara i befintlig trådlös utrustning, är stöd för AES valfritt och beroende av leverantörens drivrutinstöd.

Överst på sidan

Stöd för en blandning av trådlösa WPA- och WEP-klienter

Som stöd för en gradvis övergång från WEP till WPA kan en trådlös åtkomstpunkt stödja både WEP- och WPA-klienter samtidigt. Under denna tid avgörs i den trådlösa åtkomstpunkten vilka klienter som har WEP och vilka som har WPA. Stöd för en blandning av WPA- och WEP-klienter innebär vissa problem. Den globala krypteringsnyckeln är inte dynamisk, eftersom den inte kan stödjas av WEP-baserade klienter. Alla övriga fördelar för WPA-klienter, inklusive integriteten, finns kvar.

Överst på sidan

Ändringar som krävs för WPA-stöd

WPA kräver programändringar av följande:
 • Trådlösa åtkomstpunkter
 • Kort för trådlösa nätverk
 • Program för trådlösa klienter
Överst på sidan

Ändringar av trådlösa åtkomstpunkter

Programvara i trådlösa åtkomstpunkter måste uppdateras för att stödja följande:
 • Det nya WPA-informationselementet

  För att annonsera sitt stöd för WPA sänder trådlösa åtkomstpunkter beacon-ramen med ett nytt 802.11 WPA-informationselementet som innehåller den trådlösa åtkomstpunktens säkerhetskonfiguration (krypteringsalgoritmer och konfigurationsinformation för trådlös säkerhet).
 • WPA-autentiseringen i två faser

  Öppna system och sedan 802.1x (EAP med RADIUS eller i förväg delad nyckel).
 • TKIP
 • Michael
 • AES (valfritt)
Uppgradera de trådlösa åtkomstpunkterna för WPA-stöd genom att hämta en WPA-uppdatering för den inbyggda programvaran från leverantören av åtkomstpunkten, och överför uppdateringen till åtkomstpunkterna.

Överst på sidan

Ändringar av kort för trådlösa nätverk

Programvara i kort för trådlösa nätverk måste uppdateras för att stödja följande:
 • Det nya WPA-informationselementet
  Trådlösa klienter måste kunna bearbeta WPA-informationselementet och svara med en viss säkerhetskonfiguration.
 • WPA-autentiseringen i två faser
 • Öppna system och sedan 802.1x (EAP eller i förväg delad nyckel).
 • TKIP
 • Michael
 • AES (valfritt)
Uppgradera korten för trådlösa nätverk för WPA-stöd genom att hämta en WPA-uppdatering från leverantören av kortet och uppdatera kortets drivrutin.

För trådlösa Windows-klienter måste du skaffa en drivrutin som stöder WPA. För drivrutiner som är kompatibla med Windows XP (Service Pack 1) måste den uppdaterade drivrutinen kunna överföra kortets WPA-funktioner och säkerhetskonfiguration till tjänsten Wireless Zero Configuration.

Microsoft har samarbetat med många leverantörer av trådlös utrustning för att uppdateringen av den inbyggda programvaran för WPA ska bäddas in i drivrutinen för kortet för trådlösa nätverk. Därför kan du uppdatera en trådlös Windows-klient genom att bara hämta den nya WPA-kompatibla drivrutinen och installera den. Den inbyggda programvaran uppdateras automatiskt när drivrutinen för kortet laddas i Windows.

Överst på sidan

Ändringar av program för trådlösa klienter

Program för trådlösa klienter måste uppdateras så att de möjliggör konfiguration av WPA-autentisering (och i förväg delad nyckel) och de nya WPA-krypteringsalgoritmerna (TKIP och den valfria AES-komponenten).

För trådlösa klienter med Windows XP Service Pack 1 (SP1) och ett kort för trådlösa nätverk som stöder tjänsten Wireless Zero Configuration måste du hämta och installera Windows WPA-klienten. För trådlösa klienter med Windows XP Service Pack 2 (SP2) och ett kort för trådlösa nätverk som stöder tjänsten Wireless Zero Configuration ingår Windows WPA-klienten i Windows XP SP2. Därför behöver du inte hämta några ytterligare filer. Genom Windows WPA-klienten uppdateras dialogrutorna för konfiguration av trådlösa nätverk så att de nya WPA-alternativen stöds.

Om du vill veta mer om hur du hämtar WPA-klientprogrammet klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:

826942 Samlat trådlöst uppdateringspaket för Windows XP är tillgängligt

För trådlösa klienter med Windows 2000 (eller klienter med Windows XP SP1 och ett kort för trådlösa nätverk som inte stöder tjänsten Wireless Zero Configuration), måste du hämta och installera ett nytt WPA-kompatibelt konfigurationsverktyg från leverantören av kortet för trådlösa nätverk.

Överst på sidan

Mer information från Intel

Mer information finns på följande Intel-webbplats: De produkter från andra tillverkare som diskuteras i denna artikel tillverkas oberoende av Microsoft. Produkternas funktion eller tillförlitlighet kan därför inte garanteras.


Kontaktinformationen för andra företag som lämnas i denna artikel kan hjälpa dig att hitta den tekniska support du behöver. Denna information kan ändras utan föregående meddelande. Microsoft garanterar inte på något sätt att kontaktinformationen är korrekt.
Egenskaper

Artikel-id: 815485 – senaste granskning 27 juni 2014 – revision: 1

Feedback