Condividi tramite

Interfaccia al modulo Nativo 802.11 802.1X

  • Articolo

 

Dopo che il sistema operativo riceve un'indicazione NDIS_STATUS_DOT11_ASSOCIATION_COMPLETION dal driver miniport Nativo 802.11, chiama la funzione Dot11ExtIhvPerformPostAssociate per avviare un'operazione post-associazione dalla DLL delle estensioni IHV.

Mentre esegue l'operazione di post-associazione o dopo il completamento dell'operazione, la DLL delle estensioni IHV può usare gli algoritmi EAP (Extensible Authentication Protocol) supportati dal sistema operativo per autenticare l'utente con il punto di accesso (AP). In questa situazione, l'interfaccia DLL delle estensioni IHV si interfaccia con il modulo 802.1X del framework Native 802.11 per l'elaborazione dei pacchetti EAP inviati dal punto di accesso (AP) nel formato EAP over LAN (EAPOL).

Per altre informazioni sul formato EAPOL, vedere la clausola 7 dello standard IEEE 802.1X-2001.

Per altre informazioni sul modulo 802.1X e sul framework Nativo 802.11, vedere Architettura software nativa 802.11.

Quando si interfaccia il modulo 802.1X per l'autenticazione utente, la DLL delle estensioni IHV deve seguire queste linee guida:

  • Per Windows Vista, la DLL delle estensioni IHV può avviare operazioni di autenticazione 802.1X tramite il modulo 802.1X solo per le connessioni di rete BSS (Infrastructure Basic Service Set).

  • La DLL delle estensioni IHV deve essere registrata con il sistema operativo per ricevere pacchetti EAPOL. In questo caso, la DLL deve chiamare la funzione Dot11ExtSetEtherTypeHandling e aggiungere IEEE EAPOL EtherType (0x888E) all'elenco di EtherType registrati passati tramite il parametro pusRegistration. Dopo la registrazione di EtherType, il sistema operativo inoltra i pacchetti EAPOL ricevuti alla DLL delle estensioni IHV tramite chiamate alla funzione Dot11ExtIhvReceivePacket funzione del gestore IHV.

    Per altre informazioni sulla registrazione di EtherType, vedere IEEE EtherType Handling.

  • Mentre esegue l'operazione di post-associazione, la DLL delle estensioni IHV avvia l'operazione di autenticazione 802.1X chiamando la funzione Dot11ExtStartOneX. Quando questa funzione viene chiamata, il sistema operativo esegue le operazioni seguenti:

    • Visualizzare la pagina delle proprietà per la configurazione dell'autenticazione 802.1X. Queste informazioni includono l'algoritmo EAP usato per l'autenticazione.
    • Richiedere all'utente le credenziali.
    • Inviare un pacchetto EAPOL-Start all'API per avviare l'autenticazione 802.1X.

    La DLL delle estensioni IHV può chiamare Dot11ExtStartOneX all'interno della chiamata a Dot11ExtIhvPerformPostAssociate o dopo la restituzione della chiamata di funzione.

  • La DLL delle estensioni IHV può chiamare la funzione Dot11ExtStartOneX solo dopo che il driver miniport nativo 802.11 ha completato un'operazione di associazione con l'AP. In questo caso, la DLL delle estensioni IHV non deve chiamare la funzione Dot11ExtStartOneX in una delle condizioni seguenti:

    • Prima che il sistema operativo chiami Dot11ExtIhvPerformPostAssociate. Il sistema operativo chiama questa funzione dopo che il driver miniport ha completato correttamente un'operazione di associazione. Per altre informazioni su questa operazione, vedere Association Operations.
    • Dopo che il sistema operativo chiama Dot11ExtIhvStopPostAssociate. Il sistema operativo chiama questa funzione dopo che il driver miniport ha completato un'operazione di disassociazione dall'AP. Per altre informazioni su questa operazione, vedere Operazioni di disassociazione.
    • Dopo che il sistema operativo chiama Dot11ExtIhvAdapterReset. Il sistema operativo chiama questa funzione dopo che il driver miniport ha completato un'operazione di disconnessione con la rete BSS (Basic Service Set). Per altre informazioni su questa operazione, vedere operazioni di disconnessione.

  • Mentre è in corso l'operazione di autenticazione 802.1X, la DLL delle estensioni IHV può annullare l'operazione chiamando Dot11ExtStopOneX.

  • Mentre l'operazione di autenticazione 802.1X è in corso, la DLL delle estensioni IHV deve chiamare Dot11ExtProcessOneXPacket per inoltrare pacchetti EAPOL al sistema operativo per l'elaborazione. Nota la DLL delle estensioni IHV è responsabile dell'elaborazione dei pacchetti EAPOL-Key ricevuti dall'API. La DLL non deve passare questi pacchetti al sistema operativo tramite chiamate a Dot11ExtProcessOneXPacket.

     

  • Al termine dell'operazione di autenticazione 802.1X, il sistema operativo chiama la funzione del gestore IHV Dot11ExtIhvOneXIndicateResult. Dopo aver chiamato questa funzione, la DLL delle estensioni IHV è responsabile dell'elaborazione di tutti i pacchetti EAPOL ricevuti dall'AP, ad esempio i pacchetti EAPOL-Key usati per la derivazione delle chiavi di crittografia.

  • Se l'operazione di autenticazione 802.1X è stata completata correttamente, il sistema operativo passa il valore MPPE-Send-Key alla struttura DOT11_MSONEX_RESULT_PARAMS a cui punta il pDot11MsOneXResultParams parametro di Dot11ExtIhvOneXIndicateResult. Il valore MPPE-Send-Key a cui punta il membro pbMPPESendKey di DOT11_MSONEX_RESULT_PARAMS è derivato tramite il processo di autenticazione ed è utilizzato dalla DLL delle estensioni IHV quando trasmette pacchetti EAPOL-Key all'AP. Questa chiave è crittografata e deve essere decrittografata chiamando la funzione CryptUnprotectData documentata in Windows SDK.

  • L'algoritmo usato per derivare le chiavi di crittografia dipende dall'implementazione del fornitore di hardware indipendente (IHV). La DLL delle estensioni IHV può supportare algoritmi di derivazione della chiave standard, ad esempio l'algoritmo definito nella clausola 8.5 dello standard IEEE 802.11i-2004, nonché supportare un algoritmo di derivazione della chiave proprietaria.

  • Dopo aver derivato le chiavi, la DLL delle estensioni IHV può chiamare le funzioni seguenti per scaricare le chiavi di crittografia nel driver miniport Native 802.11, che gestisce l'adattatore LAN wireless (WLAN).

  • La DLL delle estensioni IHV completa l'operazione di post-associazione chiamando la funzione Dot11ExtPostAssociateCompletion. Al termine dell'operazione di post-associazione, la DLL delle estensioni IHV può avviare un'altra operazione di autenticazione 802.1X se la DLL determina che l'utente deve essere riautenticato.

La figura seguente mostra la sequenza di eventi quando la DLL delle estensioni IHV avvia un'operazione di autenticazione 802.1X durante un'operazione di post-associazione.

Diagramma che mostra la sequenza di eventi quando la DLL delle estensioni IHV avvia un'operazione di autenticazione 802.1X durante un'operazione di post-associazione.