WiFiCx WPA3-SAE 인증

WiFiCx는 WPA3-PERSONAL이라고도 하는 WPA3-SAE를 지원합니다. SAE(Equals의 보안 인증) 인증에 대한 프레임 콘텐츠 생성 및 구문 분석은 Windows 내에서 수행되지만 OS는 WPA3-SAE 인증 프레임을 보내고 받기 위한 드라이버 지원이 필요합니다.

WPA3-SAE 기능

WiFiCx 드라이버는 다음을 수행하여 SAE 지원을 나타냅니다.

1. SAE 지원 기능을 설정합니다.
   드라이버는 WifiDeviceSetDeviceCapabilities를 호출하는 동안 WIFI_DEVICE_CAPABILITIES SAEAuthenticationSupported 기능을 설정합니다.

2. MFP 기능을 설정합니다.
   드라이버는 WifiDeviceSetStationCapabilities를 호출하는 동안 WIFI_STATION_CAPABILITIES MFPCapable 기능을 설정합니다.

3. WDI_AUTH_ALGO_WPA3_SAE 암호화를 추가합니다.
   드라이버는 WifiDeviceSetStationCapabilities 호출에서 반환된 인증 암호 조합 목록에 WDI_AUTH_ALGO_WPA3_SAE + DOT11_CIPHER_ALGO_CCMP 쌍을 포함합니다. 이 구조는 다음 구조에 추가해야 합니다.

   • WIFI_STATION_CAPABILITIES ->NumSupportedUnicastAlgorithms + UnicastAlgorithmsList

   또한 드라이버는 WifiDeviceSetStationCapabilities 호출에서 반환된 인증 암호 조합 목록에 WDI_AUTH_ALGO_WPA3_SAE + WDI_CIPHER_ALGO_BI 쌍을 포함합니다. 다음 구조체에 추가해야 합니다.

   • WIFI_STATION_CAPABILITIES ->NumSupportedMulticastMgmtAlgorithms + MulticastMgmtAlgorithmsList

WPA3-SAE 인증 흐름

커넥트이온 시작

SAE 연결은 OID_WDI_TASK_CONNECT 또는 OID_WDI_TASK_ROAM 시작됩니다. WDI는 드라이버가 SAE 인증을 수행해야 하는 경우 WDI_AUTH_ALGO_WPA3_SAE 인증 방법으로 지정합니다. WDI가 커넥트/Roam 작업의 BSS 목록에 PMKID를 제공하는 경우 드라이버는 SAE 인증을 건너뛰고 대신 Open Authentication을 수행한 다음 PMKID와 다시 연결 요청을 수행합니다.

인증 흐름

SAE 매개 변수에 대한 초기 요청

드라이버는 먼저 연결하거나 로밍할 BSS를 선택하고, WDI가 해당 BSS에 대한 PMKID를 제공하지 않은 경우 드라이버는 NDIS_STATUS_WDI_INDICATION_SAE_AUTH_PARAMS_NEEDED WDI에서 커밋 매개 변수를 요청합니다. 이 초기 표시에서 드라이버는 표시 유형을 WDI_SAE_INDICATION_TYPE_COMMIT_REQUEST_PARAMS_NEEDED 설정합니다. 이에 대한 응답으로 WDI는 다음 옵션 중 하나를 사용하여 드라이버에 OID_WDI_SET_SAE_AUTH_PARAMS 보냅니다.

• 커밋 요청 보내기(WDI_SAE_REQUEST_TYPE_COMMIT_PARAMS)
• SAE 인증 실패(WDI_SAE_REQUEST_TYPE_FAILURE)

커밋 응답을 받으면

커밋 응답을 받으면 드라이버는 형식이 WDI_SAE_INDICATION_TYPE_COMMIT_FRAME 설정된 NDIS_STATUS_WDI_INDICATION_SAE_AUTH_PARAMS_NEEDED 보냅니다. 이에 대한 응답으로 WDI는 다음 요청 중 하나를 사용하여 OID_WDI_SET_SAE_AUTH_PARAMS 보냅니다.

• 커밋 요청 보내기(WDI_SAE_REQUEST_TYPE_COMMIT_PARAMS)
• 확인 요청 보내기(WDI_SAE_REQUEST_TYPE_CONFIRM_PARAMS)
• SAE 인증 실패(WDI_SAE_REQUEST_TYPE_FAILURE)

확인 응답을 받으면

Confirm 응답을 받으면 드라이버는 형식이 WDI_SAE_INDICATION_TYPE_CONFIRM_FRAME 설정된 NDIS_STATUS_WDI_INDICATION_SAE_AUTH_PARAMS_NEEDED 보냅니다. 그런 다음 WDI는 SAE 상태 필드가 성공 또는 실패로 설정된 OID_WDI_SET_SAE_AUTH_PARAMS 보냅니다. 시간 제한 또는 기타 이유로 인해 드라이버에서 SAE 인증이 실패하는 경우 드라이버는 WDI_SAE_INDICATION_TYPE_ERROR 설정된 형식과 WDI_TLV_SAE_STATUS 지정된 실패 이유와 함께 NDIS_STATUS_WDI_INDICATION_SAE_AUTH_PARAMS_NEEDED 표시를 보냅니다.

시간 제한 및 재전송

드라이버에서 처리합니다.

WPA3-SAE 연결

디바이스는 다음 옵션 중 하나를 사용하여 SAE 네트워크에 연결합니다.

(Re) SAE 교환 후 연결

이는 일반적으로 SAE 네트워크에 대한 첫 번째 연결 시도입니다. 드라이버는 연결 요청 프레임의 RSN IE에서 SAE AKM을 설정합니다.

(Re) PMKID를 사용한 연결

WDI가 연결/로밍 작업에서 BSS 항목에 대한 PMKID를 제공한 경우 드라이버는 다음을 수행합니다.

1. 드라이버는 Open 인증을 수행한 다음(다시) 연결 요청에 PMKID를 포함합니다.
2. 디바이스가 짧은 시간 내에 AP로부터 응답을 받지 못하거나 AP가 응답에서 연결 오류를 반환하는 경우 드라이버는 이 AP로 SE 인증을 건너뛰고 다른 AP로 이동하거나 이 AP로 전체 SAE 인증을 수행하도록 대체합니다.

SAE 인증/연결이 완료되면 SAE 연결이 완료됩니다. 이전과 마찬가지로 드라이버는 연결 또는 로밍 작업의 결론에 대한 다음 표시를 보냅니다.

• NDIS_STATUS_WDI_INDICATION_ASSOCIATION_RESULT
• NDIS_STATUS_WDI_INDICATION_CONNECT_COMPLETE

오류 처리

SAE 커밋 요청 프레임 다시 보내기

드라이버가 시간 제한으로 인해 커밋 프레임을 다시 전송해야 하는 경우 WDI에서 제공한 원래 스칼라/요소 값을 다시 보내거나 NDIS_STATUS_WDI_INDICATION_SAE_AUTH_PARAMS_NEEDED 표시와 함께 WDI에서 새 Scalar/Element 값 집합을 요청할 수 있습니다.

SAE 응답 확인 프레임 다시 보내기

드라이버가 시간 제한으로 인해 Confirm 프레임을 다시 보내야 하는 경우 NDIS_STATUS_WDI_INDICATION_SAE_AUTH_PARAMS_NEEDED 표시와 함께 WDI에서 새 SendConfirm 및 Confirm 값 집합을 요청하여 형식을 WDI_SAE_INDICATION_TYPE_CONFIRM_REQUEST_RESEND_REQUEST 설정해야 합니다.

Wi-Fi 7 SAE 인증 변경 내용

Wi-Fi 7 SAE 인증 업데이트는 WiFiCx Wi-Fi 7 기능 요구 사항을 참조 하세요.