Exportovat (0) Tisk
Rozbalit vše
Expand Minimize

Služba WPS (Wireless Provisioning Services)

K čemu slouží služba WPS?

Stále větší počet uživatelů se k Internetu připojuje prostřednictvím narůstajícího počtu veřejných bezdrátových sítí, neboli přípojných bodů Wi-Fi (Wireless Fidelity). Služba WPS poskytuje uživatelům bezdrátových sítí jednotný způsob používání a snadné připojení k veřejným přípojným bodům Wi-Fi prostřednictvím automatického zřízení připojení klienta a bezproblémového předávání tohoto připojení (roamingu). Služba WPS umožňuje poskytovatelům bezdrátových služeb Internetu využít standardizovanou a integrovanou platformu k posílení zabezpečení přípojných bodů Wi-Fi, která se snadno používá a spravuje. Podnikům navíc služba WPS dovoluje snadno poskytnout přístup k privátním bezdrátovým sítím prostřednictvím účtu hosta se zvýšeným zabezpečením.

S využitím služby WPS mohou poskytovatelé bezdrátových služeb Internetu posílat mobilním klientům zřizovací a konfigurační informace, jakmile se připojí k Internetu nebo podnikové síti. To umožňuje bezproblémovou, automatickou a zabezpečenou konfiguraci mobilních klientů a jednotný postup registrace v podniku a mezi různými poskytovateli veřejných sítí a přípojnými body.

Koho se tato funkce týká?

Služba WPS je určena pro tři typy organizací:

  • Poskytovatelé přípojných bodů
    Poskytovatelé přípojných bodů instalují bezdrátové přístupové body na veřejná místa (například do obchodních center nebo na letiště), nejsou však poskytovateli služeb Internetu. Poskytovatelé přípojných bodů mají smlouvu s jedním nebo více poskytovateli služeb Internetu a uživatelům, kteří si chtějí vytvořit účet pro přístup k Internetu, nabízejí jeden nebo několik tarifů.
  • Poskytovatelé bezdrátových služeb Internetu
    Poskytovatelé bezdrátových služeb Internetu jsou poskytovatelé služeb Internetu, kteří buď instalují přípojné body Wi-Fi do veřejných míst, nebo tyto služby zabezpečují ve spolupráci s poskytovateli přípojných bodů.
  • Podniky
    Podniky mohou pomocí technologie WPS poskytovat přístup ke svým sítím prostřednictvím účtu hosta.

Jaké nové funkce byly přidány k této funkci v aktualizaci Service Pack 1 systému Windows Server 2003?

Služba WPS

Podrobný popis

Služba WPS (Wireless Provisioning Services) je rozšířením existujících služeb bezdrátových sítí a uživatelských rozhraní v systémech Windows XP a Windows Server 2003. Je postavena na základech stávajících funkcí systému Windows pro bezdrátové sítě (například službě Wireless Zero Configuration) a funkcích pro zabezpečení bezdrátových sítí, mezi které patří protokol PEAP (Protected Extensible Authentication Protocol) a šifrování WPA (Wi-Fi Protected Access). Služba WPS zahrnutá do systému Windows Server 2003 obsahuje některé modifikace. Do součásti Služba ověřování v Internetu (IAS) systému Windows Server 2003 bylo zahrnuto ověřování hosta u klientů během procesu zřízení připojení.

Služba WPS obsahuje součást pro zřízení připojení, která poskytovatelům bezdrátových služeb Internetu a podnikům umožňuje odeslat zřizovací a konfigurační informace mobilnímu klientovi, který se snaží připojit k Internetu nebo podnikové síti. Díky službě WPS mohou poskytovatelé nabízet své služby v různých místech sítě a používat několik názvů sítí (neboli identifikátorů SSID). Jakmile se uživatelé zaregistrují k poskytovateli bezdrátových služeb Internetu na jednom místě, nebo je jim zřízeno předběžné připojení a stáhli si zřizovací informace, mohou se později automaticky připojit k Internetu pomocí sítě provozované tímto poskytovatelem v různých přípojných bodech. Na základě dodaných zřizovacích souborů zvolí služba WZC (Wireless Zero Configuration) správnou síť, která patří tomuto poskytovateli. Služba WPS umožňuje také automatické a bezkonfliktní předávání připojení mezi různými poskytovateli.

Při použití služby WPS navíc klientský počítač automaticky aktualizuje uložené zřizovací informace. To poskytovateli umožňuje například změnit nastavení sítě či přidat nová místa bez přerušení služeb, nebo aniž by uživatelé museli upravit konfiguraci svých zařízení.

Při prvním připojení počítače uživatele k poskytovateli bezdrátových služeb Internetu a vytvoření účtu proběhnou následující čtyři fáze:

  • počítač zjistí síť poskytovatele v dosahu přípojného bodu Wi-Fi,
  • uživatel je ověřen pomocí účtu hosta a počítač je připojen k síti Wi-Fi,
  • je zřízeno připojení mobilního klienta a uživatel si vytvoří u poskytovatele účet,
  • uživatel je v síti Wi-Fi ověřen pomocí pověření nového uživatelského účtu.

Jednotlivé fáze jsou podrobně popsány v následujícím scénáři.

Uživatel přijde k přípojnému bodu Wi-Fi s přenosným počítačem, ve kterém je nainstalován systém Windows XP s aktualizací Service Pack 2 nebo Windows Server 2003 s aktualizací Service Pack 1 a služba WPS. Jakmile se počítač dostane do dosahu signalizace přístupového bodu poskytovatele bezdrátových služeb Internetu, dojde k následujícím akcím:

  1. Služba WZC (Wireless Zero Configuration) v klientském počítači rozpozná signalizační informace z přístupového bodu, u kterého je povoleno vysílání identifikátoru SSID (Service Set Identifier). Identifikátor SSID určuje název sítě.
  2. Systém Windows uživateli oznámí, že je k dispozici bezdrátová síť. Uživatel si v systému Windows prohlédne informace včetně popisného názvu sítě. V tomto příkladu má uživatel k dispozici reklamní kód sloužící k vytvoření účtu a pokračuje klepnutím na tlačítko Připojit. Klient služby WPS připojí počítač uživatele k bezdrátové síti pomocí účtu hosta s omezenými oprávněními.

Jakmile je účet hosta ověřen v síti Wi-Fi, dojde k následujícím akcím:

  1. Pomocí standardu 802.1x a protokolu PEAP (Protected Extensible Authentication Protocol) se služba WZC prostřednictvím přístupového bodu připojí a ověří jako host v síti poskytovatele, přičemž serveru služby ověřování v Internetu (IAS) automaticky předá prázdné uživatelské jméno a heslo (služba IAS bývá také označována jako server Microsoft RADIUS). Přístupový bod je připojen k bráně, která propustí přenosy směřující z klienta ke zřizovacím službám v síti za účelem dokončení registrace, ale zablokuje přístup klienta k Internetu.
  2. Server IAS (neboli server RADIUS) slouží jako koncový bod ověřování pomocí protokolů PEAP a TLS (Transport Layer Security) pro uživatele, kteří se připojují jako hosté. Mezi klientem a serverem IAS je vytvořeno tunelové propojení. Veškeré následné zprávy mezi klientem a serverem procházejí přes toto tunelové propojení, které obchází přístupový bod a bránu.
  3. K ověření serveru dojde, jakmile server IAS ověří svoji identitu u klientského počítače pomocí certifikátu, který v rozšíření Rozšířené použití klíče (EKU) obsahuje účel Ověření serveru. Tento certifikát je vydán veřejnou kořenovou certifikační autoritou, které klientský počítač důvěřuje.
  4. Server IAS ověří a autorizuje uživatele jako hosta. Zpráva Access-Accept (přijetí požadavku na připojení), kterou server IAS odešle klientovi, obsahuje kontejner s adresou URL na zřizovací informace. Tato adresa URL poskytne modulu WPS v klientovi informace o umístění hlavního souboru XML.

Jakmile je zřízeno připojení klienta a uživatel si vytvoří účet, dojde k následujícím akcím:

  1. Služba WPS v klientském počítači stáhne ze zřizovacího serveru hlavní soubor XML a příslušné dílčí soubory. Hlavní soubor obsahuje ukazatele na dílčí soubory XML, které řídí postup klienta tímto procesem. Po stažení registračního schématu XML se v klientovi spustí průvodce registrací, který uživateli umožní vytvořit a uhradit účet u poskytovatele bezdrátových služeb Internetu.
  2. Průvodce registrací v klientském počítači provede uživatele procesem vytvoření účtu. Uživatel zadá reklamní kód a své osobní údaje, například jméno, adresu a číslo kreditní karty. Data zadaná uživatelem převede klient služby WPS na dokument XML.
  3. Dokument XML obsahující data pro registraci uživatele je odeslán webové aplikaci na zřizovacím serveru poskytovatele bezdrátových služeb Internetu.
  4. Webová aplikace zkontroluje reklamní kód zadaný uživatelem oproti databázi reklamních kódů (například databázi serveru SQL Server). Pokud je reklamní kód platný, pokračuje webová aplikace ve zpracování dat uživatele.
  5. Webová aplikace zpracuje platební údaje uživatele. Po ověření platby a úspěšném zpracování registračních informací načte webová aplikace z databáze reklamních kódů informace o doméně a skupině zabezpečení, vytvoří uživatelský účet u některé služby pro ověření identity (jakou je například služba Active Directory) a přidá účet do skupiny zabezpečení. Webová aplikace také zadá nové uživatelské jméno do databáze reklamních kódů.
  6. Dokument XML obsahující pověření nového účtu je pak odeslán ze zřizovacího serveru poskytovatele klientovi služby WPS v klientském počítači. Klientský počítač pomocí těchto pověření nakonfiguruje službu WZC a standard 802.1x pod názvem poskytovatele. Připojení je pak znovu navázáno pomocí pověření nového účtu (uživatelského jména a hesla).

Postup opětovného navázání připojení:

  1. Služba WZC (Wireless Zero Configuration) v klientském počítači obnoví přidružení k identifikátoru SSID daného poskytovatele.
  2. Tato služba vyhledá správný profil 802.11, který byl stažen společně s ostatními informacemi poskytovatele v hlavním souboru XML. Služba WZC se pak znovu přidruží k přístupovému bodu pomocí správného profilu.
  3. Ve spolupráci se standardem 802.1x zahájí služba WZC proces ověřování prostřednictvím kombinace protokolů PEAP (Protected Extensible Authentication Protocol) a PEAP-MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol verze 2), a to pomocí pověření nového účtu, která předal klient služby WPS standardu 802.1x.
  4. Jakmile klient zahájí ověřování pomocí protokolu PEAP-MSCHAPv2, je mezi klientským počítačem uživatele a serverem IAS poskytovatele vytvořen kanál TLS.
  5. Ve druhé fázi ověřování pomocí protokolu PEAP-MSCHAPv2 server IAS poskytovatele ověří a autorizuje požadavek na připojení oproti novému účtu v databázi uživatelských účtů (kterou může být například služba Active Directory). Server IAS odešle do přístupového bodu zprávu Access-Accept (přijetí požadavku na připojení). Součástí této zprávy jsou atributy, které udávají, že uživatel nyní může získat přístup k Internetu.
  6. Přístupový bod vydá pokyn bráně, aby klientovi přiřadila logický segment sítě s přístupem k Internetu.

Proč je tato změna důležitá?

Služba WPS usnadňuje používání bezdrátových přípojných bodů, aniž by bylo ohroženo zabezpečení. Ve spojení se systémem Windows Server 2003 s aktualizací Service Pack 1 a serverem Microsoft IAS (známým také jako server RADIUS) umožňuje služba WPS mnohem snadnější vyhledávání bezdrátových přípojných bodů, jejich připojení a předávání, přičemž současně poskytuje vyšší zabezpečení.

  • V současnosti používaný připojovací model pro registraci u poskytovatele bezdrátových služeb Internetu a využívání služeb není zabezpečen. Většina přípojných bodů Wi-Fi umožňuje otevřené ověřování a nevyužívá šifrování dat. K prvotní registraci a následným přihlášením ke službám poskytovatele bezdrátových služeb Internetu musí uživatelé obvykle spustit webový prohlížeč. Služba WSP zmírňuje nebezpečí této hrozby šifrováním a ověřováním komunikace mezi klientem a bezdrátovou sítí.
  • Řešení založené na přesměrování prohlížeče se vyznačuje mnoha problémy při používání. Uživatelé vůbec nemusí vědět, že pro připojení je třeba spustit prohlížeč. Další úskalí představuje situace, kdy prohlížeč používá pro připojení k Internetu server proxy a uživatel je připojen přímo k podnikové síti. V tomto případě přesměrování prohlížeče nefunguje a uživatel musí vědět, že pro připojení k přípojnému bodu je nutné zakázat nastavení serveru proxy. Výsledkem mohou být nákladná volání poskytovateli bezdrátových služeb Internetu nebo podnikovému oddělení technické podpory.
  • Řešení založené na prohlížeči je zranitelné vůči útokům spočívajícím v zachycením zprávy při přenosu, například serverem využívajícím podvodný přístupový bod. Uživatelé komunikující s tímto přístupovým bodem mohou nevědomky poskytnout své osobní údaje a informace o kreditní kartě. Vyloučením nutnosti přihlášení prostřednictvím webu omezuje služba WSP zranitelnost uživatelů poskytovatele bezdrátových služeb Internetu vůči tomuto typu útoku.
  • Bez dodatečného klientského softwaru pro přípojné body nemohou uživatelé snadno rozpoznat přípojné body a nemají k dispozici jednotný postup pro registraci k těmto bodům. Pro uživatele je obtížné získat informace o poskytovateli bezdrátových služeb Internetu nebo vyhledat umístění jeho přípojných bodů. Pokud se uživatelé zaregistrují u jednoho přípojného bodu, nemusí jejich konfigurace umožňovat automatické používání jiných přípojných bodů. Navíc neexistuje žádný standardní postup pro udržování aktuálnosti zřizovacích a konfiguračních informací.
  • Doplňkový klientský software pro přípojné body může uživateli usnadnit přístup ke konkrétní síti poskytovatele bezdrátových služeb Internetu. Tento doplňkový software však může kolidovat se službami bezdrátové sítě samotného operačního systému nebo klientským softwarem od jiných poskytovatelů. To může způsobovat potíže se vzájemnou součinností a dokonce nestabilitu systému, protože se všechny tyto součásti snaží ovládat nastavení bezdrátové sítě celého systému. Při aktualizaci konfigurace poskytovatele bezdrátových služeb Internetu je obvykle nutná aktualizace klientského softwaru. Mnoho podnikových oddělení IT není z uvedených důvodů ochotno instalovat uživatelům klientský software pro přípojné body od jiných výrobců.
  • Poskytovatelé bezdrátových služeb Internetu nepoužívají k registraci uživatelů a aktualizaci jejich konfigurace žádný standardizovaný mechanismus. Výsledkem je nejednotný způsob používání a obtížné automatické a bezproblémové předávání připojení mezi různými poskytovateli.

Průvodce registrací do bezdrátové sítě

Podrobný popis

Průvodce registrací do bezdrátové sítě poskytuje uživatelské rozhraní pro registraci k přípojnému bodu bezdrátové sítě a provede uživatele procesem zřízení připojení. Průvodce sestavuje obsah ze zřizovacích informací (souborů XML) dodaných poskytovatelem bezdrátových služeb Internetu. Tyto zřizovací informace mohou být dynamicky stahovány nebo předem nainstalovány v klientském počítači. Tato instalace může být u nových počítačů provedena výrobcem OEM, oddělením IT v rámci organizace nebo prostřednictvím webu poskytovatele bezdrátových služeb Internetu. Zřizovací informace vlastní a vytváří poskytovatel bezdrátových služeb Internetu, který také rozhoduje o způsobu registrace a zřízení připojení. V následujícím příkladu je uvedena jednoduchá ukázka použití Průvodce registrací do bezdrátové sítě, kdy si uživatel předplatil přístupový kód. Schéma XML a průvodce jsou flexibilní a umožňují provádět i mnohem složitější registraci.

Uživatel nejprve klepne pravým tlačítkem myši na ikonu bezdrátové sítě v oznamovací oblasti a poté klepne na příkaz Zobrazit bezdrátové sítě k dispozici, nebo zareaguje na zprávu v oznamovací oblasti, která indikuje dostupnost nové bezdrátové sítě v dosahu. Po zobrazení dialogového okna Výběr bezdrátové sítě vybere uživatel novou bezdrátovou síť a uloží ji do seznamu upřednostněných sítí.

Uživatel pak vybere název sítě (identifikátor SSID) a klepnutím na tlačítko Připojit se připojí k bezdrátové síti. U přípojného bodu Wi-Fi s podporou služby WPS klient rozpozná, že je k dispozici více zřizovacích informací ve formě souborů XML o síti a poskytovateli. Pak požádá uživatele o potvrzení, zda mají být staženy zřizovací informace. U sítí bez podpory služby WPS je postup stejný jako u současného systému Windows XP. Uživatel je buď vyzván k zadání zabezpečovacího klíče (pokud se připojuje k zabezpečené síti), nebo upozorněn na skutečnost, že se připojuje k nezabezpečené síti, a dotázán, zda se chce opravdu připojit.

Po stažení se automaticky spustí Průvodce registrací do bezdrátové sítě, pomocí kterého se uživatel zaregistruje. Na první obrazovce je zobrazeno upravené logo (nebo reklama) a obsah od poskytovatele.

Následné obrazovky mohou obsahovat výběr předplatitelského tarifu, zadání informací o kreditní kartě, osobních údajů a podobně. V tomto příkladu existuje pouze jeden tarif a uživatel je požádán o zadání předplaceného nebo reklamního kódu a získá tak přístup k síti. Přípojný bod Wi-Fi pak zobrazí informace o vybraném tarifu, například podmínky smlouvy o poskytování služeb a prohlášení o ochraně osobních údajů.

Na poslední obrazovce se průvodce uživatele zeptá na předvolby pro toto připojení. Tyto výchozí předvolby může nastavit poskytovatel, uživatel je však může přepsat. Pokud si uživatel vybere například měsíční předplatné bez omezení dat, bude se pravděpodobně chtít automaticky připojit vždy, když bude v dosahu sítě. Jestliže si zvolí tarif s účtováním podle doby připojení nebo přenesených dat, dá zřejmě přednost ručnímu připojení v případě potřeby.

Druhá možnost určuje, zda má klient automaticky udržovat aktuálnost zřizovacích informací. Pokud poskytovatel například přidá nové názvy sítí, přidá nová místa nebo změní nastavení či zabezpečení sítě, může klient automaticky aktualizovat tyto informace během připojení k síti bez zásahu uživatele.

Pokud uživatel později navštíví přípojné body daného poskytovatele nebo jeho partnerů na stejných nebo jiných místech a používá automatickou konfiguraci, stačí znovu zapnout mobilní počítač nebo pokračovat v práci z úsporného režimu, a dojde k automatickému připojení. Při připojení je v dialogovém okně Výběr bezdrátové sítě (které se otevře z okna Zobrazit dostupné bezdrátové sítě) zobrazen namísto zakódovaného názvu sítě nebo identifikátoru SSID popisný název sítě a logo poskytovatele.

V tomto dialogovém okně může uživatel také vyhledat umístění dostupných přípojných bodů nebo zobrazit nápovědu a pomocné informace dodané poskytovatelem bezdrátových služeb Internetu. Nápověda i informace o umístění přípojných bodů jsou staženy jako součást zřizovacích informací. Informace o umístění lze zobrazit v režimu online nebo offline.

Jaké stávající funkce se změnily v aktualizaci Service Pack 1 systému Windows Server 2003?

Došlo ke změně uživatelského rozhraní pro bezdrátové sítě - stávající dialogové okno bylo nahrazeno novým dialogovým oknem Zobrazit dostupné bezdrátové sítě.

Je nutné změnit kód, aby bylo možné pracovat se systémem Windows Server 2003 s aktualizací Service Pack 1?

Služba WPS nevyžaduje žádné změny existujících aplikací. Služba WPS poskytuje dvě nová rozhraní API. Jedno z těchto rozhraní slouží k přidávání dat XML do počítače a jejich dotazování. Prostřednictvím tohoto rozhraní API může předběžné zřízení připojení klienta z webu poskytovatele bezdrátových služeb Internetu provést uživatel (pomocí samostatné aplikace), výrobce OEM nebo oddělení IT.

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Přidat
Zobrazit:
© 2014 Microsoft