您目前已離線,請等候您的網際網路重新連線

Windows XP 中 Wi-Fi Protected Access (WPA) 的安全性更新概觀

Windows XP 支援已結束

Microsoft 於 2014 年 4 月 8 日結束對 Windows XP 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

結論
本文將告訴您,Microsoft Windows XP 的全新 Wi-Fi Protected Access (WPA) 更新。

「電子電機工程師協會」(Institute of Electrical & Electronics Engineers,IEEE) 的 802.11i 無線網路標準,詳細指明無線區域網路 (LAN) 安全性的改良功能。目前 802.11i 標準尚在起草階段,核准截止在 2003 年底,能夠解決原始 802.11 標準的許多安全性問題。在新的 IEEE 802.11i 標準即將核准之際,無線廠商已經一致認同可在內部操作的過渡時期標準,亦即 Wi-Fi Protected Access (WPA)。

回到頁首

WPA 安全性功能

WPA 標準包含下列安全性功能:

WPA 驗證

WPA 需要經過 802.1x 驗證。在 802.11 標準中,802.1x 驗證是選擇性。

在沒有「遠端驗證撥入使用者服務」(Remote Authentication Dial-In User Service,RADIUS) 基礎結構的環境中,WPA 支援使用預先共用的金鑰。在具有 RADIUS 基礎結構的環境中,則支援「可延伸驗證通訊協定」(Extensible Authentication Protocol,EAP) 和 RADIUS。

回到首頁

WPA 金鑰管理

有了 802.1x,您可以選擇性地重新執行單點傳送加密金鑰。此外,802.11 和 802.1x 並未提供機制來變更多點傳送和廣播流量所使用的全域加密金鑰。搭配使用 WPA 時,必須重新執行金鑰單點傳送和全域加密金鑰。對於單點傳送加密金鑰,TKIP (Temporal Key Integrity Protocol) 會變更每個框架的金鑰,並同步處理無線用戶端和無線存取點 (Access Point,AP) 之間的變更。對於全域加密金鑰,WPA 可以讓無線 AP 向已連線的無線用戶端通知變更的金鑰。

回到頁首

Temporal Key Integrity Protocol (TKIP)

在 802.11 中,「有線等位私密」(Wired Equivalent Privacy,WEP) 加密是選擇性使用的。WPA 的加密必須使用 TKIP。TKIP 會將 WEP 取代為比 WEP 演算法更強固,並且使用現有無線裝置上計算功能來執行加密操作的全新加密演算法。TKIP 還提供下列功能:
  • 決定加密金鑰之後,驗證安全性設定。
  • 同步處理每個框架的單點傳送加密金鑰變更。
  • 判斷每個預先共用金鑰驗證的唯一開始單點傳送加密金鑰。
回到頁首

Michael

有了 802.11 和 WEP,就可以藉由 802.11 載入內容所附加且以 WEP 加密的 32 位元完整性檢查值 (Integrity Check Value,ICV),提供資料的完整性。雖然 ICV 已加密,但您還是可以使用密碼分析來變更加密內容中的位元,並更新加密的 ICV,而讓收件者偵測不到。

有了 WPA,Michael 方法就能指定新的演算法,使用現有無線裝置上的可用計算功能,來計算 8 位元組訊息完整性程式碼 (Message Integrity Code,MIC)。MIC 是放在 IEEE 802.11 框架資料部分和 4 位元組 ICV 之間。MIC 欄位會與框架資料及 ICV 一起加密。

Michael 也提供重送防護。IEEE 802.11 框架的新框架計數器可以協助防止重送攻擊。

回到頁首

AES 支援

WPA 會將使用「進階加密標準」(Advanced Encryption Standard,AES) 定義為 WEP 加密的其他替代方式。您可能無法透過韌體更新在現有無線設備上新增 AES 支援,因此 AES 支援是選用的,並且必須依賴廠商的驅動程式支援。

回到首頁

支援 WPA 和 WEP 無線用戶端混合使用

如果要對 WPA 提供 WEP 無線網路漸進傳輸的支援,無線 AP 可以同時支援 WEP 和 WPA 用戶端。建立關聯的過程中,無線 AP 會判斷哪些用戶端使用 WEP,哪些用戶端使用 WPA。支援 WPA 和 WEP 用戶端混合使用仍存有問題。全域加密金鑰並非動態,因為 WEP 用戶端不支援。WPA 用戶端仍然保有的所有其他優點,包括完整性。

回到首頁

支援 WPA 所需進行的變更

使用 WPA 必須變更下列軟體:
  • 無線存取點
  • 無線網路介面卡
  • 無線用戶端程式
回到頁首

無線存取點的變更

無線存取點必須更新其韌體,才能支援下列項目:
  • 全新的 WPA 資訊元素

    如果要通知 WPA 支援,無線 AP 會傳送具有全新 802.11 WPA 資訊元素的信號框架,其中包含無線 AP 的安全性設定 (加密演算法和無線安全性設定資訊)。
  • WPA 兩階段驗證

    開啟 [系統],再開啟 [802.1x] (EAP 搭配 RADIUS 或預先共用金鑰)。
  • TKIP
  • Michael
  • AES (選用)
如果要升級無線存取點,以支援 WPA,請向無線 AP 廠商取得 WPA 韌體更新,並上載至您的無線 AP。

回到首頁

無線網路介面卡的變更

無線網路介面卡必須更新其韌體,才能支援下列項目:
  • 全新的 WPA 資訊元素
    無線用戶端必須能夠處理 WPA 資訊元素,並且回應特定的安全性設定。
  • WPA 兩階段驗證
  • 開啟 [系統],再開啟 [802.1x] (EAP 或預先共用金鑰)。
  • TKIP
  • Michael
  • AES (選用)
如果要升級無線網路介面卡,以支援 WPA,請向無線網路介面卡廠商取得 WPA 更新,並更新無線網路介面卡的驅動程式。

若是 Windows 無線用戶端,您必須取得支援 WPA 的更新網路介面卡驅動程式。若是與 Windows XP (Service Pack 1) 相容的無線網路介面卡驅動程式,更新的網路介面卡驅動程式必須能夠將介面卡的 WPA 功能和安全性設定,傳遞至 Wireless Zero Configuration 服務。

Microsoft 已經和許多無線廠商合作,為求在無線介面卡驅動程式中內嵌 WPA 韌體更新。因此,如果要更新 Windows 無線用戶端,您只需要取得並安裝全新的 WPA 相容驅動程式。Windows 載入無線網路介面卡驅動程式時,韌體會自動加以更新。

回到頁首

無線用戶端程式的變更

無線用戶端程式必須經過更新,以允許 WPA 驗證 (及預先共用金鑰) 設定和新 WPA 加密演算法 (TKIP 及選擇性 AES 元件)。

對於執行 Windows XP Service Pack 1 (SP1) 和使用支援 Wireless Zero Configuration 服務的無線網路介面卡的無線用戶端,您就必須取得並安裝 Windows WPA Client。如果是執行 Windows XP Service Pack 2 (SP2) 以及使用支援 Wireless Zero Configuration 服務的無線網路介面卡的無線用戶端,Windows XP SP2 就包含了 Windows WPA Client。因此,不需要其他下載項目。Windows WPA Client 會更新無線網路設定對話方塊,以支援新的 WPA 選項。

如需有關如何取得 WPA 用戶端程式的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
826942目前已經提供 Windows XP 適用的無線更新彙總套件
如果無線用戶端執行 Windows 2000 (或用戶端執行 Windows XP SP1 且使用不支援 Wireless Zero Configuration 服務的無線網路介面卡),您就必須向無線網路介面卡廠商取得並安裝新的 WPA 相容設定工具。

回到頁首

Intel 相關資訊

如需詳細資訊,請造訪下列 Intel 網站: 本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。Microsoft 不以暗示或其他方式,提供與這些產品的效能或可靠性有關的保證。

Microsoft 提供協力廠商的連絡資訊,以協助您找出技術支援。此連絡資訊若有變更,恕不另行通知。Microsoft 不保證此協力廠商連絡資訊的準確性。
kburl
內容

文章識別碼:815485 - 最後檢閱時間:06/10/2013 02:27:00 - 修訂: 7.3

  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Professional
  • kbresolve kbmsnuseraccounts kbhotfixserver kbqfe kbenv kbnetwork kbdriver kbinfo KB815485
意見反應