Exporteren (0) Afdrukken
Alles uitvouwen
Expand Minimize

WPS (Wireless Provisioning Services)

Hoe werkt WPS?

Steeds meer gebruikers hebben toegang tot internet via een groeiend aantal openbare draadloze netwerken, of Wi-Fi-hotspots (Wireless Fidelity). WPS (Wireless Provisioning Services) biedt draadloze gebruikers een consistente ervaring en naadloze verbindingen met openbare Wi-Fi-hotspots dankzij automatische netwerkservices voor clients en de mogelijkheid om naadloos te over te schakelen tussen verschillende providers. WPS stelt WISP's (Wireless Internet Service Providers) in staat een op standaarden gebaseerd en geïntegreerd platform te gebruiken voor het beschikbaar stellen van Wi-Fi-hotspots met extra beveiliging die gemakkelijk te gebruiken en beheren zijn. Bovendien stelt WPS ondernemingen in de gelegenheid op een eenvoudige manier met verbeterde beveiliging gasttoegang te bieden tot draadloze privé-netwerken.

Met WPS kunnen WISP's en ondernemingen netwerkservice- en configuratiegegevens versturen naar mobiele clients op het moment dat zij verbinding maken met internet of het bedrijfsnetwerk. Zodoende is een naadloze, automatische en veilige configuratie mogelijk van mobiele clients, met een uniforme aanmeldingsprocedure binnen het bedrijf en voor verschillende openbare netwerkaanbieders en hotspotlocaties.

Voor wie is deze voorziening van belang?

WPS (Wireless Provisioning Services) is bedoeld voor drie soorten organisaties:

  • HSP (Hotspot Service Provider)
    HSP's stellen draadloze toegangspunten beschikbaar op openbare plekken, zoals winkelcentra en luchthavens, maar HSP's zijn geen internetproviders. In plaats daarvan heeft een HSP een contract bij een of meer internetproviders en biedt de HSP gebruikers een of meer serviceplannen waaruit ze kunnen kiezen als ze een account willen voor internettoegang.
  • WISP (Wireless Internet Service Provider)
    WISP's zijn internetproviders die Wi-Fi-hotspots beschikbaar stellen op openbare plekken of Wi-Fi-hotspotservices uitbesteden aan een HSP.
  • Onderneming
    Ondernemingen kunnen gebruikmaken van WPS-technologie om gasttoegang op hun netwerken te beheren.

Welke nieuwe functionaliteit is aan deze voorziening toegevoegd in Windows Server 2003 Service Pack 1?

WPS

Gedetailleerde beschrijving

WPS vormt een uitbreiding op de bestaande draadloze services en gebruikersinterfaces binnen Windows XP en Windows Server 2003. Het is gebaseerd op de draadloze functionaliteit zoals die al in Windows aanwezig is, zoals WZC (Wireless Zero Configuration), en de beveiligingsvoorzieningen voor draadloze toegang, zoals PEAP (Protected Extensible Authentication Protocol) en WPA (Wi-Fi Protected Access). WPS bevat ook aanpassingen voor Windows Server 2003. Het onderdeel IAS (Internet Authentication Service) van Windows Server 2003 is aangepast en biedt nu ook mogelijkheden voor gastverificatie van de clients bij draadloze toegang.

WPS bevat een netwerkserviceonderdeel met behulp waarvan WISP's (Wireless Internet Service Provider) en ondernemingen netwerk- en configuratiegegevens kunnen versturen naar een mobiele client die probeert verbinding te maken met internet of het bedrijfsnetwerk. Door WPS te gebruiken, kunnen WISP's services aanbieden op meerdere netwerklocaties en kunnen meerdere netwerknamen (ook wel SSID-namen of Service Set Identifiers genoemd) worden gebruikt. Nadat gebruikers zich op één locatie hebben aangemeld bij een WISP of de verbinding hebben geconfigureerd door netwerkservicegegevens te downloaden, kunnen ze hieropvolgende malen automatisch verbinding maken via het netwerk dat door de WISP ter beschikking wordt gesteld op de verschillende hotspotlocaties. Dankzij de Wireless Zero Configuration-service (WZC) wordt automatisch het juiste netwerk gekozen dat bij de WISP hoort op basis van de opgegeven bestanden met netwerkservicegegevens. WSP biedt ook mogelijkheden voor automatisch en naadloos wisselen tussen verschillende providers (roaming).

Wanneer WPS wordt gebruikt, worden de netwerkservicegegevens op de clientcomputer bovendien automatisch up-to-date gehouden. De provider kan dus bijvoorbeeld de netwerkinstellingen wijzigen of nieuwe locaties toevoegen zonder dat de service wordt onderbroken en zonder dat gebruikers hun systeem opnieuw moeten instellen.

Wanneer een gebruiker verbinding maakt met een WISP en voor het eerst een account instelt, worden de volgende vier stadia doorlopen:

  • De computer herkent het WISP-netwerk op een Wi-Fi-hotspot.
  • De gebruiker wordt geverifieerd via een gastaccount en de computer wordt verbonden met het Wi-Fi-netwerk.
  • De mobiele client ontvangt de benodigde netwerkservicegegevens en de gebruiker stelt een account in bij de WISP.
  • De gebruiker wordt geverifieerd op het Wi-Fi-netwerk met behulp van de nieuwe gebruikersaccountreferenties.

In het volgende scenario wordt elk van deze stadia gedetailleerd beschreven.

Bij een Wi-Fi-hotspot arriveert een gebruiker met een draagbare computer waarop Windows XP met Service Pack 2 of Windows Server 2003 met Service Pack 1 en WPS (Wireless Provisioning Services) wordt uitgevoerd. Wanneer de computer binnen het bereik van het WISP-toegangspuntbaken komt, gebeurt het volgende:

  1. Door middel van de WZC-service (Wireless Zero Configuration) op de clientcomputer worden de bakengegevens van het toegangspunt gedetecteerd, die zijn voorzien van een broadcast-SSID (Service Set Identifier). De SSID komt overeen met de netwerknaam.
  2. De gebruiker krijgt in Windows het bericht dat er een draadloos netwerk beschikbaar is. De gebruiker bekijkt informatie in Windows, waaronder de beschrijvende naam van het netwerk. In dit voorbeeld beschikt de gebruiker over een promotiecode voor het instellen van een account en kan deze verdergaan door op Verbinden te klikken. De WPS-client brengt dan een verbinding tot stand tussen de computer van de gebruiker en het draadloze netwerk via een gastaccount met beperkte rechten.

Wanneer de gastaccount wordt geverifieerd door het Wi-Fi-netwerk, gebeurt er het volgende:

  1. WZC maakt gebruik van 802.1x en PEAP (Protected Extensible Authentication Protocol) om als gast verbinding te maken en zich aan te melden bij het WISP-netwerk via het toegangspunt. Hierbij worden automatisch een lege gebruikersnaam en wachtwoord doorgegeven aan de IAS-server (ook wel de Microsoft-RADIUS-server genoemd) van de WISP. Het toegangspunt wordt verbonden met een gatewayapparaat dat toestaat dat verkeer van de client wordt doorgegeven aan de netwerkservices in het netwerk om het aanmeldingsproces te voltooien, maar dat toegang tot internet vanaf de client blokkeert.
  2. De IAS-server (of RADIUS-server) is de PEAP-verificator en het TLS-eindpunt (Transport Layer Security) voor gebruikers die als gast verbinding maken. De TLS-tunnel wordt gemaakt tussen client en IAS-server. Alle volgende berichten tussen client en server gaan door deze tunnel, die langs het toegangspunt en het gatewayapparaat loopt.
  3. Er wordt serververificatie uitgevoerd wanneer de IAS-server zijn identiteit verifieert bij de clientcomputer met een certificaat dat het doel van de serververificatie bevat in extensies voor uitgebreid sleutelgebruik. Dit certificaat wordt uitgegeven door een openbare certificeringsinstantie die door de clientcomputer wordt vertrouwd.
  4. De IAS-server verifieert en machtigt de gebruiker als gast. Het toegangsacceptatiebericht dat de IAS-server naar de client verzendt is een container met een URL naar de netwerkservicegegevens. Deze URL bevat de locatie van het XML-hoofdbestand voor de WPS-engine die op de client wordt uitgevoerd.

Wanneer de client de benodigde netwerkservicegegevens ontvangt en de gebruiker een account instelt, gebeurt het volgende:

  1. Op de clientcomputer wordt met WPS het XML-hoofdbestand gedownload evenals de subbestanden van de netwerkserver. Het hoofdbestand bevat verwijzingen naar XML-subbestanden die bepalen welke stappen de client moet doorlopen. Wanneer het XML-aanmeldingsschema is gedownload, wordt de aanmeldingswizard op de client gestart, zodat de gebruiker een account kan instellen en betalen bij de WISP.
  2. Met behulp van de aanmeldingswizard op de clientcomputer doorloopt de gebruiker het aanmeldingsproces voor een account. De gebruiker voert de promotiecode in evenals persoonlijke gegevens, zoals naam, adres en creditcardnummer. De gegevens die door de gebruiker zijn ingevoerd, worden door de WPS-client omgezet in een XML-document.
  3. Het XML-document met de aanmeldingsgegevens van de gebruiker wordt verzonden naar de webtoepassing op de WISP-server.
  4. De webtoepassing controleert de promotiecode die door de gebruiker is ingevoerd in de database met promotiecodes (bijvoorbeeld een SQL Server-database). Als de promotiecode geldig is, worden de gebruikersgegevens verder verwerkt in de webtoepassing.
  5. De betalingsgegevens van de gebruiker worden in de webtoepassing verwerkt. Wanneer de betaling is gecontroleerd en alle aanmeldingsgegevens zijn ingevuld, worden met de webtoepassing de domein- en beveiligingsgroepgegevens in de promotiecodedatabase gelezen, wordt een gebruikersaccount aangemaakt in een identiteitsservice (zoals Active Directory) en wordt de account aan de beveiligingsgroep toegevoegd. De nieuwe gebruikersnaam wordt ook in de promotiecodedatabase ingevoerd.
  6. Een XML-document met de nieuwe accountreferenties wordt van de WISP-server naar de WPS-client verzonden op de clientcomputer. Op de clientcomputer worden aan de hand van deze referenties WZC en 802.1x geconfigureerd onder de naam van de WISP. De verbinding wordt opnieuw tot stand gebracht met de nieuwe accountreferenties (gebruikersnaam en wachtwoord).

De verbinding wordt op de volgende manier opnieuw tot stand gebracht:

  1. De Wireless Zero Configuration-service (WZC) op de clientcomputer zorgt ervoor dat deze opnieuw wordt gekoppeld aan de SSID voor de WISP.
  2. Door middel van WZC wordt het juiste 802.11-profiel opgespoord dat is gedownload aan de hand van de andere WISP-gegevens in het XML-hoofdbestand. Door middel van WZC wordt een nieuwe koppeling met het toegangspunt tot stand gebracht op basis van het juiste profiel.
  3. Bij WZC wordt 802.1x gebruikt om het verificatieproces voor PEAP-MSCHAPv2 (een combinatie van Protected Extensible Authentication Protocol en het Microsoft Challenge Handshake Authentication Protocol versie 2) te starten. Hierbij worden de nieuwe accountreferenties gebruikt die aan 802.1x zijn doorgegeven door de WPS-client (Wireless Provisioning Services).
  4. Wanneer de client het verificatieproces start met PEAP-MSCHAPv2-verificatie, wordt een TLS-kanaal gemaakt tussen de clientcomputer van de gebruiker en de IAS-server van de WISP.
  5. In het tweede stadium van PEAP-MSCHAPv2-verificatie verifieert en machtigt de IAS-server van de WISP de verbindingsaanvraag aan de hand van de nieuwe account in de database met gebruikersaccounts (bijvoorbeeld Active Directory). De IAS-server verzendt een toegangsacceptatiebericht naar het toegangspunt. Het toegangsacceptatiebericht bevat kenmerken die aangeven hoe de gebruiker nu toegang kan krijgen tot internet.
  6. Het toegangspunt laat het gatewayapparaat weten dat de client moet worden toegewezen aan het logisch-segmentnetwerk dat toegang heeft tot internet.

Wat is het belang van deze wijziging?

WPS maakt het eenvoudiger om draadloze hotspots te gebruiken zonder dat de veiligheid in het geding komt. Dankzij Windows Server 2003 Service Pack 1 en Microsoft IAS (ook wel RADIUS-server genoemd) kunnen via WPS gemakkelijker draadloze hotspots met extra beveiliging worden gedetecteerd op de computers van gebruikers. Bovendien kan er gemakkelijker een verbinding tot stand worden gebracht en kan gemakkelijker worden gewisseld tussen verschillende draadloze hotspots met extra beveiliging.

  • Het huidige verbindingsmodel voor WISP-aanmelding en -gebruik is niet beveiligd. De meeste Wi-Fi-hotspots zijn geconfigureerd voor open verificatie en zonder gegevenscodering. Gebruikers moeten in de meeste gevallen een webbrowser openen, zowel om zich de eerste keer bij de WISP-service aan te melden als bij hieropvolgende aanmeldingen. WSP beperkt dit risico door codering en verificatie toe te voegen aan de communicatie tussen de client en het draadloze netwerk.
  • Bij een implementatie op basis van browseromleidingen kunnen verschillende problemen optreden. Gebruikers weten mogelijk niet eens dat ze hun browser moeten starten om verbinding te krijgen. Ook wanneer in de browser wordt ingesteld dat proxyinstellingen moeten worden gebruikt voor toegang tot internet en de gebruiker direct is verbonden met het bedrijfsnetwerk, kan het misgaan. In dit geval werken browseromleidingen niet en zou de gebruiker moeten weten dat de proxyinstellingen moeten worden uitgeschakeld om verbinding te kunnen maken met de hotspot. Dit kan ertoe leiden dat er kostbare telefoontjes moeten worden gepleegd met de helpdesk van de WISP of het bedrijf om het probleem op te lossen.
  • Een op de browser gebaseerde implementatie is kwetsbaar voor tussenpersoonaanvallen, bijvoorbeeld door een kwaadwillende front-end server die een rogue-toegangspunt gebruikt. Gebruikers die gegevens invoeren voor dit toegangspunt kunnen zo onbewust persoonlijke identificatie- en creditcardgegevens doorgeven aan onbevoegden. Doordat webaanmelding niet nodig is, zijn WISP-gebruikers met WSP minder kwetsbaar voor dit soort aanvallen.
  • Zonder extra clientsoftware voor hotspots kunnen gebruikers hotspots niet gemakkelijk detecteren en beschikken ze niet over een uniform aanmeldingsmechanisme voor hotspots. Het is niet eenvoudig voor gebruikers om informatie te vinden over de WISP of te zoeken naar de hotspotlocaties voor die WISP. Als gebruikers zich bij één hotspot aanmelden, betekent dit niet automatisch dat ze ook de andere hotspots kunnen gebruiken. Bovendien is er geen standaardmechanisme om hun netwerkservice- en configuratiegegevens up-to-date te houden.
  • Speciale hotspotclientsoftware vergemakkelijkt de toegang tot het netwerk van een specifieke WISP. Dergelijke software kan echter ook leiden tot conflicten met de draadloze services die standaard in het besturingssysteem zijn opgenomen, of met clientsoftware van andere leveranciers. Er kunnen samenwerkingsproblemen ontstaan en het systeem kan instabiel worden wanneer vanuit deze softwaretoepassingen wordt geprobeerd de instellingen voor draadloos netwerken van het gehele systeem te beheren. Wanneer de WISP-configuratie wordt bijgewerkt, moet gewoonlijk ook de clientsoftware worden bijgewerkt. Daarom stellen IT-afdelingen van bedrijven liever geen hotspotclientsoftware van andere leveranciers beschikbaar aan hun gebruikers.
  • Er is geen gestandaardiseerd mechanisme voor het verwerken van gebruikersaanmeldingen en het bijwerken van de bijbehorende configuraties dat geldig is voor alle WISP's. De gebruikerservaring verschilt dus per provider en automatisch en naadloos overschakelen van de ene naar de andere provider kan moeilijkheden geven.

Wizard Registreren bij draadloos netwerk

Gedetailleerde beschrijving

Met de wizard Registreren bij draadloos netwerk kan de gebruiker zich aanmelden voor een draadloze hotspot en wordt een procedure doorlopen voor het invoeren van de benodigde netwerkservicegegevens. De inhoud van de wizard wordt samengesteld op basis van de netwerkservicegegevens (XML-bestanden) die door de WISP worden aangeleverd. De netwerkservicegegevens kunnen dynamisch worden gedownload of vooraf worden geïnstalleerd op het clientsysteem. De installatie vooraf kan worden verzorgd door de OEM-leverancier (bij nieuwe systemen), door de IT-afdeling van een organisatie of via de website van een WISP. De WISP is eigenaar en samensteller van de netwerkservicegegevens en bepaalt de aanmeldingsprocedure die gebruikers moeten doorlopen. In het volgende voorbeeld wordt een eenvoudig scenario beschreven waarin de gebruiker zich via de wizard Registreren bij draadloos netwerk aanmeldt met behulp van een vooraf betaalde toegangscode. Het XML-schema en de wizard zijn flexibel en bieden mogelijkheden voor complexere aanmeldingsprocedures.

Om te beginnen kan de gebruiker met de rechtermuisknop klikken op het pictogram voor draadloze netwerken in het systeemvak en vervolgens klikken op Beschikbare draadloze netwerken weergeven. De gebruiker kan ook reageren op de melding in het systeemvak waarin de beschikbaarheid van een nieuw draadloos netwerk binnen het bereik wordt aangegeven. Wanneer de melding Een draadloos netwerk installeren verschijnt, selecteert de gebruiker een nieuwe draadloos netwerk en voegt dit vervolgens toe aan de lijst met voorkeursnetwerken.

De gebruiker selecteert vervolgens een netwerknaam (een SSID) en klikt op Verbinden om verbinding te maken met het draadloze netwerk. Bij een Wi-Fi-hotspot die op WPS is gebaseerd, detecteert de client dat er meer netwerkservicegegevens beschikbaar zijn voor het netwerk en de provider in de vorm van XML-bestanden. Vervolgens moet de gebruiker aangeven of deze netwerkservicegegevens moeten worden gedownload. Bij een niet-WPS-netwerk is de procedure hetzelfde als nu bij Windows XP: ofwel moet de gebruiker een beveiligingscode opgeven wanneer verbinding wordt gemaakt met een beveiligd netwerk ofwel verschijnt er een bericht met de waarschuwing dat het netwerk waarmee verbinding wordt gemaakt, niet is beveiligd, waarna de gebruiker moet aangeven of hij nog steeds verbinding wil maken.

Wanneer het downloaden is voltooid, wordt de gebruiker automatisch door het aanmeldingsproces geleid via de wizard Registreren bij draadloos netwerk. Op het eerste scherm wordt een aangepast logo (of banner) en aangepaste inhoud van de provider weergegeven.

Op de hiernavolgende schermen kan een abonnementsregeling worden weergegeven, of mogelijk moet de gebruiker hier persoonlijke informatie zoals creditcardgegevens invoeren. In dit voorbeeld is er slechts één abonnementsregeling en wordt de gebruiker gevraagd de promotiecode of de vooraf aangeschafte code te typen om toegang te verkrijgen tot het netwerk. Vervolgens wordt informatie weergegeven over de geselecteerde regeling, zoals de voorwaarden van de serviceovereenkomst en een privacyverklaring.

Op het laatste scherm van de wizard wordt de gebruikers gevraagd voorkeursinstellingen op te geven voor deze verbinding. Deze standaardinstellingen kunnen door de provider worden ingesteld, maar kunnen door de gebruiker worden overschreven. Stel dat de gebruiker een maandabonnement zonder datalimiet aanschaft. In dat geval is het aannemelijk dat de gebruiker altijd automatisch verbinding wil maken met het netwerk zodra dit binnen bereik is. Als gebruiker per keer betaalt, zal deze waarschijnlijk zelf willen bepalen wanneer de verbinding tot stand wordt gebracht en de voorkeur geven aan een handmatige verbinding.

De tweede optie bepaalt of de client de netwerkservicegegevens automatisch up-to-date houdt. Stel, de provider voegt nieuwe netwerknamen of locaties toe, of wijzigt de netwerk- of beveiligingsinstellingen. In dat geval kan de client de gegevens zonder tussenkomst van de gebruiker bijwerken wanneer er verbinding is met het netwerk.

Wanneer de verbinding automatisch tot stand wordt gebracht, hoeft de gebruiker bij volgende bezoeken aan hotspots die door de provider of diens roaming-partners op deze of andere locaties beschikbaar worden gesteld, alleen de mobiele computer weer in te schakelen of de stand-bystand op te heffen. Er wordt dan automatisch verbinding gemaakt. Wanneer er een verbinding is, wordt er geen cryptische netwerknaam of SSID weergegeven in het dialoogvenster Een draadloos netwerk selecteren (dat wordt geopend vanuit het berichtvenster Beschikbare draadloze netwerken weergeven), maar verschijnt de beschrijvende naam van de provider, samen met diens logo.

Vanuit dit dialoogvenster kunnen gebruikers ook beschikbare hotspotlocaties zoeken of de Help- en ondersteuningsinformatie van de WISP bekijken. De Help en de locatiegegevens voor hotspots maken deel uit van de netwerkservicegegevens die worden gedownload. De locatiegegevens kunnen worden doorzocht en on line of off line worden bekeken.

Welke bestaande functionaliteit is gewijzigd in Windows Server 2003 Service Pack 1?

De gebruikersinterface voor draadloze netwerken is gewijzigd. Een nieuw dialoogvenster Beschikbare draadloze netwerken weergeven heeft de plaats ingenomen van het bestaande dialoogvenster.

Moet ik mijn code wijzigen zodat deze werkt in Windows Server 2003 Service Pack 1?

WPS vereist geen wijzigingen in bestaande toepassingen. Er zijn twee nieuwe API's beschikbaar met WPS. Via een van de nieuwe API's kunnen gegevens worden toegevoegd en kunnen de XML-gegevens op de computer worden doorzocht. Met deze API kunnen OEM-leveranciers of medewerkers van de IT-afdeling de netwerkgegevens voor de client van te voren van de website van de WISP downloaden (met behulp van een zelfstandige toepassing).

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft