Windows XP 中的 WPA 无线安全更新概述

无题

这篇文章中的信息适用于:
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional

本任务的内容

概要
WPA 安全的功能
WPA 身份验证
WPA 密钥管理
临时密钥完整性协议 (TKIP)
Michael
AES 支持
支持 WPA 和 WEP 无线客户端的混合使用
支持 WPA 所需的更改
对无线访问点的更改
对无线网络适配器的更改
对无线客户端程序的更改

概要
本文讨论 Microsoft Windows XP 中新的 WPA (Wi-Fi Protected Access) 更新。

电气和电子工程师协会 (IEEE) 802.11i 无线网络标准指定了对无线局域网 (LAN) 安全性的改进。802.11i 标准当前还没有定稿，最后的批准期限是 2003 年底。802.11i 标准将解决原来的 802.11 标准的许多安全性问题。尽管新的 IEEE 802.11i 标准正在等待批准，无线供应商已同意了一个称为 WPA (Wi-Fi Protected Access) 的可共同使用的过渡标准。

WPA 安全的功能
下面的安全功能包含在 WPA 标准中：
WPA 身份验证
WPA 中需要 802.1x 身份验证。在 802.11 标准中，802.1x 身份验证是可选的。

对于没有远程身份验证拨号用户服务 (RADIUS) 结构的环境，WPA 支持使用预共享的密钥。对于具有 RADIUS 结构的环境，支持可扩展身份验证协议 (EAP) 和 RADIUS。


WPA 密钥管理
对于 802.1x，单路广播加密密钥的重新加密操作是可选的。另外，802.11 和 802.1x 没有提供任何机制来更改多路广播和广播通信所使用的全局加密密钥。对于 WPA，需要对单路广播和全局加密密钥进行重新加密操作。对于单路广播加密密钥，临时密钥完整性协议 (TKIP) 更改每一帧的密钥，而且更改操作会在无线客户端和无线访问点 (AP) 之间保持同步。对于全局加密密钥，WPA 包含一个工具，以便无线 AP 将更改后的密钥公布到连接的无线客户端。


临时密钥完整性协议 (TKIP)对于 802.11，有线等价隐私 (WEP) 加密是可选的。对于 WPA，需要使用 TKIP 进行加密。TKIP 将 WEP 替换为新的加密算法，该算法比 WEP 算法更强，但需要使用现有无线设备上存在的计算工具执行加密操作。TKIP 还提供以下功能：
确定加密密钥后验证安全配置。
同步更改每一帧的单路广播加密密钥。
为每个预共享密钥身份验证确定唯一的起始单路广播加密密钥。

Michael
对于 802.11 和 WEP，数据完整性由 32 位的完整性校验值 (ICV) 提供，该值被附加到 802.11 有效负载并使用 WEP 加密。虽然对 ICV 进行了加密，但可以使用密码分析技术更改加密有效负载中的位并更新加密 ICV，而不会被接收器检测到。

对于 WPA，一种称为 Michael 的方法指定了新的算法，该算法使用现有无线设备上提供的计算工具计算 8 字节的消息完整性代码 (MIC)。MIC 被放在 802.11 帧的数据部分和 4 字节的 ICV 之间。MIC 字段随帧数据和 ICV 一起加密。

Michael 还提供重放保护。IEEE 802.11 帧中的一个新帧计数器用于禁止重放攻击。

AES 支持
WPA 将高级加密标准 (AES) 的使用定义为 WEP 加密的另外一种替代方法。由于可能无法通过固件更新将 AES 支持添加到现有的无线设备，因此对 AES 的支持是可选的，并依赖于供应商驱动程序的支持。


支持 WPA 和 WEP 无线客户端的混合使用
为支持将基于 WEP 的无线网络逐渐转换到 WPA，无线 AP 可以同时支持 WEP 和 WPA 客户端。在关联过程中，无线 AP 确定哪些客户端使用 WEP 以及哪些客户端使用 WPA。支持 WEP 和 WPA 客户端的混合使用的缺点在于：全局加密密钥不是动态的。这是因为基于 WEP 的客户端不支持这样做。WPA 客户端的所有其他优点（如完整性）都保留了下来。


支持 WPA 所需的更改
WPA 要求对以下内容进行软件更改：
无线访问点
无线网络适配器
无线客户端程序
返回页首
对无线访问点的更改
无线访问点必须更新其固件才能支持以下内容：
新的 WPA 信息元素
为公布对 WPA 的支持，无线 AP 使用新的 802.11 WPA 信息元素发送信号帧，而该元素包含无线 AP 的安全配置（加密算法和无线安全配置信息）。
WPA 两段式身份验证
开放系统，然后是 802.1x（具有 RADIUS 的 EAP 或预共享密钥）。
TKIP
Michael
AES（可选）
要升级无线访问点以支持 WPA，请从无线 AP 供应商处获取 WPA 固件更新并将其上载到无线 AP。


对无线网络适配器的更改
无线网络适配器必须更新其固件才能支持以下内容：
新的 WPA 信息元素
无线客户端必须能够处理 WPA 信息元素并响应特定的安全配置。
WPA 两段式身份验证
开放系统，然后是 802.1x（EAP 或预共享密钥）。
TKIP
Michael
AES（可选）
要升级无线网络适配器以支持 WPA，请从无线网络适配器供应商处获取 WPA 更新，并更新无线网络适配器驱动程序。

对于 Windows 无线客户端，必须获取已更新的、支持 WPA 的网络适配器驱动程序。对于与 Windows XP (Service Pack 1) 和 Windows Server 2003 兼容的无线网络适配器驱动程序，更新后的网络适配器驱动程序必须能够将该适配器的 WPA 功能和安全配置传递到 Wireless Zero Configuration 服务。

Microsoft 已经与许多无线供应商协作，以将 WPA 固件更新嵌入到无线适配器驱动程序中。因此，要更新 Windows 无线客户端，所有必须做的事情只是获取新的与 WPA 兼容的驱动程序并安装该驱动程序。当无线网络适配器驱动程序被加载到 Windows 中时，将自动更新该固件。


对无线客户端程序的更改
必须更新无线端客户程序，才能允许配置 WPA 身份验证（和预共享的密钥）以及新的 WPA 加密算法（TKIP 和可选的 AES 组件）。

对于运行 Windows XP Service Pack 1 (SP1) 及更高版本或 Windows Server 2003 的无线客户端，以及对于使用支持 Wireless Zero Configuration 服务的无线网络适配器的客户端而言，必须获取并安装 Windows WPA Client。Windows WPA Client 更新无线网络配置对话框以支持新的 WPA 选项。

要获得 WPA 客户端程序，请访问下面的 Microsoft Web 站点：

下载 Windows XP i386 软件包



对于运行 Windows 2000 的无线客户端（或者运行 Windows XP SP1 或 Windows Server 2003 以及使用不支持 Wireless Zero Configuration 服务的无线网络适配器的客户端）而言，必须从无线网络适配器供应商处获取并安装新的与 WPA 兼容的配置工具。


相关的 Intel 信息
有关此更新的 Intel 问题的信息，请访问下面的 Intel Web 站点：
http://www.intel.com/support/net ... s-006131-prd944.htm

shtiger

学习了。。。。