Freigeben über

WIFiCx WPA3-SAE-Authentifizierung

  • Artikel

WiFiCx unterstützt WPA3-SAE, auch als WPA3-Personal bezeichnet. Die Generierung und Analyse des Frame-Inhalts für die SAE-Authentifizierung (Secure Authentication of Equals) erfolgt innerhalb von Windows, das Betriebssystem benötigt jedoch Treiberunterstützung zum Senden und Empfangen von WPA3-SAE-Authentifizierungs-Frames.

WPA3-SAE-Funktionen

WiFiCx-Treiber zeigen SAE-Unterstützung wie folgt an:

  1. Festlegen der von SAE unterstützten Funktion
    Der Treiber legt die SAEAuthenticationSupported-Funktion in WIFI_DEVICE_CAPABILITIES während des Aufrufs von WifiDeviceSetDeviceCapabilities fest.

  2. Festlegen der MFP-Funktion
    Der Treiber legt die MFPCapable-Funktion in WIFI_STATION_CAPABILITIES während des Aufrufs von WifiDeviceSetStationCapabilities fest.

  3. Fügen Sie die WDI_AUTH_ALGO_WPA3_SAE-Verschlüsselung hinzu.
    Der Treiber enthält das WDI_AUTH_ALGO_WPA3_SAE + DOT11_CIPHER_ALGO_CCMP-Paar in der Liste der Kombinationen der Verschlüsselungsauthentifizierung, die beim Aufruf an WifiDeviceSetStationCapabilities zurückgegeben werden. Dies sollte in der folgenden Struktur hinzugefügt werden:

    Der Treiber enthält auch das WDI_AUTH_ALGO_WPA3_SAE + WDI_CIPHER_ALGO_BI-Paar in der Liste der Kombinationen der Verschlüsselungsauthentifizierung, die beim Aufruf an WifiDeviceSetStationCapabilities zurückgegeben werden. Dies sollte in der folgenden Struktur hinzugefügt werden:

WPA3-SAE-Authentifizierungsfluss

Initiierung der Verbindung

SAE-Verbindungen werden mit OID_WDI_TASK_CONNECT oder OID_WDI_TASK_ROAM initiiert. WDI gibt WDI_AUTH_ALGO_WPA3_SAE als Authentifizierungsmethode zurück, wenn der Treiber eine SAE-Authentifizierung durchführen soll. Wenn WDI die PMKID in der BSS-Liste in der Connect/Roam-Task bereitstellt, überspringt der Treiber die SAE-Authentifizierung und führt stattdessen eine offene Authentifizierung durch, gefolgt von einer erneuten Zuordnungsanforderung mit der PMKID.

Authentifizierungsfluss

Diagramm, das den WPA3-SAE-Authentifizierungsfluss zeigt.

Ursprüngliche Anforderung für SAE-Parameter

Der Treiber wählt zuerst einen BSS aus, mit dem eine Verbindung hergestellt oder ein Roaming durchgeführt werden soll, Wenn WDI die PMKID für dieses BSS nicht bereitgestellt hat, fordert der Treiber Commit-Parameter von WDI mit NDIS_STATUS_WDI_INDICATION_SAE_AUTH_PARAMS_NEEDED an. In dieser anfänglichen Angabe legt der Treiber den Angabetyp auf WDI_SAE_INDICATION_TYPE_COMMIT_REQUEST_PARAMS_NEEDED fest. Als Antwort sendet WDI WDI OID_WDI_SET_SAE_AUTH_PARAMS mit einer der folgenden Optionen an den Treiber.

  • Send Commit-Anforderung (WDI_SAE_REQUEST_TYPE_COMMIT_PARAMS)
  • SAE-Authentifizierungsfehler (WDI_SAE_REQUEST_TYPE_FAILURE)

Beim Empfang einer Commit-Antwort

Beim Empfang einer Commit-Antwort sendet der Treiber NDIS_STATUS_WDI_INDICATION_SAE_AUTH_PARAMS_NEEDED mit dem Typ, der auf WDI_SAE_INDICATION_TYPE_COMMIT_FRAME festgelegt ist. Als Antwort sendet WDI WDI OID_WDI_SET_SAE_AUTH_PARAMS mit einer der folgenden Anforderungen:

  • Send Commit-Anforderung (WDI_SAE_REQUEST_TYPE_COMMIT_PARAMS)
  • Send Confirm-Anforderung (WDI_SAE_REQUEST_TYPE_CONFIRM_PARAMS)
  • SAE-Authentifizierungsfehler (WDI_SAE_REQUEST_TYPE_FAILURE)

Nach Erhalt einer Confirm-Antwort

Beim Empfang einer Confirm-Antwort sendet der Treiber NDIS_STATUS_WDI_INDICATION_SAE_AUTH_PARAMS_NEEDED mit dem Typ, der auf WDI_SAE_INDICATION_TYPE_CONFIRM_FRAME festgelegt ist. WDI sendet dann OID_WDI_SET_SAE_AUTH_PARAMS, wobei das SAE-Statusfeld auf Erfolg oder Fehler festgelegt ist. Wenn die SAE-Authentifizierung aufgrund von Timeouts oder anderen Gründen im Treiber fehlschlägt, sendet der Treiber eine NDIS_STATUS_WDI_INDICATION_SAE_AUTH_PARAMS_NEEDED-Angabe mit dem Typ, der auf WDI_SAE_INDICATION_TYPE_ERROR festgelegt ist, und den in WDI_TLV_SAE_STATUS angegebenen Fehlergrund.

Timeouts und erneute Übertragungen

Diese werden vom Treiber behandelt.

WPA3-SAE-Zuordnung

Das Gerät stellt eine Verbindung mit einem SAE-Netzwerk mithilfe einer der folgenden Optionen bereit.

(Erneute) Zuordnung nach SAE-Austausch

Dies ist normalerweise der erste Zuordnungsversuch zu einem SAE-Netzwerk. Der Treiber legt den SAE AKM im RSN IE im Zuordnungsanforderungsrahmen fest.

(Erneute) Zuordnung mit PMKID

Wenn WDI einen PMKID für den BSS-Eintrag in der Verbindungs-/Roamingaufgabe bereitgestellt hat, führt der Treiber Folgendes aus:

  1. Der Treiber führt eine offene Authentifizierung aus, gefolgt von der Einbindung der PMKID in die (erneute) Zuordnungsanforderung.
  2. Wenn das Gerät innerhalb kurzer Zeit keine Antwort vom AP erhält oder wenn der AP in der Antwort einen Zuordnungsfehler zurückgibt, überspringt der Treiber die SE-Authentifizierung mit diesem AP und wechselt entweder zu einem anderen AP oder greift auf die vollständige SAE-Authentifizierung mit diesem AP zurück.

Die SAE-Verbindung wird abgeschlossen, sobald die SAE-Authentifizierung/Zuordnung abgeschlossen ist. Nach wie vor sendet der Treiber nach Abschluss der Verbindungs- bzw. Roaming-Aufgabe folgende Meldungen:

Fehlerbehandlung

Erneutes Senden des SAE Commit-Anforderungsframes

Wenn der Treiber einen Commit-Frame aufgrund eines Timeouts erneut senden muss, kann er entweder die ursprünglichen Skalar-/Elementwerte, die von WDI bereitgestellt wurden, erneut senden oder einen neuen Satz von Skalar-/Elementwerten von WDI mit einer NDIS_STATUS_WDI_INDICATION_SAE_AUTH_PARAMS_NEEDED-Angabe anfordern.

Erneutes Senden des SAE Confirm-Antwortframes

Wenn der Treiber aufgrund eines Timeouts einen Confirm-Frame erneut senden muss, sollte er einen neuen Satz von SendConfirm- und Confirm-Werten von WDI mit einer NDIS_STATUS_WDI_INDICATION_SAE_AUTH_PARAMS_NEEDED-Angabe anfordern, wobei der Typ auf WDI_SAE_INDICATION_TYPE_CONFIRM_REQUEST_RESEND_REQUEST festgelegt ist.

Änderungen der Wi-Fi 7 SAE-Authentifizierung

Informationen zu Wi-Fi 7 SAE-Authentifizierungsupdates finden Sie unter WiFiCx Wi-Fi 7-Featureanforderungen.