Freigeben über

Schnittstelle zum nativen 802.11 802.1X-Modul

 

Nachdem das Betriebssystem vom Native 802.11-Miniporttreiber eine NDIS_STATUS_DOT11_ASSOCIATION_COMPLETION Indikation erhält, ruft es die Dot11ExtIhvPerformPostAssociate-Funktion auf, um einen Postzuordnungsvorgang durch die IHV Extensions DLL zu initiieren.

Während der Vorgang nach der Zuordnung oder nach Abschluss des Vorgangs ausgeführt wird, kann die IHV-Erweiterungs-DLL die erweiterbaren Authentifizierungsprotokollalgorithmen (EAP) verwenden, die vom Betriebssystem unterstützt werden, um den Benutzer mit dem Zugriffspunkt (AP) zu authentifizieren. In dieser Situation interagiert die IHV Extensions DLL mit dem 802.1X-Modul des Native 802.11-Frameworks zur Verarbeitung der EAP-Pakete, die vom AP im EAP over LAN-Format (EAPOL) gesendet werden.

Weitere Informationen zum EAPOL-Format finden Sie in Klausel 7 des IEEE 802.1X-2001-Standards.

Weitere Informationen zum 802.1X-Modul und zum Native 802.11-Framework finden Sie unter Native 802.11 Software Architecture.

Beim Interfacieren des 802.1X-Moduls für die Benutzerauthentifizierung muss die IHV-Erweiterungs-DLL die folgenden Richtlinien befolgen:

  • Für Windows Vista kann die IHV-Erweiterungs-DLL 802.1X-Authentifizierungsvorgänge nur für BSS-Netzwerkverbindungen (Infrastructure Basic Service Set) über das 802.1X-Modul initiieren.

  • Die IHV Extensions DLL muss sich beim Betriebssystem registrieren, um EAPOL-Pakete zu empfangen. In diesem Fall muss die DLL die Dot11ExtSetEtherTypeHandling-Funktion aufrufen und die IEEE EAPOL EtherType (0x888E) zur Liste der registrierten EtherTypes hinzufügen, die über den pusRegistration-Parameter übergeben werden. Nachdem der EtherType registriert wurde, leitet das Betriebssystem EAPOL-Pakete über Aufrufe der Dot11ExtIhvReceivePacket IHV Handler-Funktion an die IHV-Erweiterungs-DLL weiter.

    Weitere Informationen zum Registrieren von EtherTypes finden Sie unter IEEE EtherType Handling.

  • Während der Vorgang nach der Zuordnung ausgeführt wird, initiiert die IHV Extensions DLL den 802.1X-Authentifizierungsvorgang durch Aufrufen der Dot11ExtStartOneX-Funktion . Wenn diese Funktion aufgerufen wird, führt das Betriebssystem folgende Aktionen aus:

    • Zeigt die Eigenschaftenseite für die Konfiguration der 802.1X-Authentifizierung an. Diese Informationen umfassen den für die Authentifizierung verwendeten EAP-Algorithmus.
    • Aufforderung zur Eingabe der Anmeldeinformationen.
    • Senden Sie ein EAPOL-Start Paket an die AP, um die 802.1X-Authentifizierung zu initiieren.

    Die IHV Extensions DLL kann Dot11ExtStartOneX entweder innerhalb des Aufrufs von Dot11ExtIhvPerformPostAssociate oder nach dem Zurückgeben des Funktionsaufrufs aufrufen.

  • Die IHV Extensions DLL kann die Dot11ExtStartOneX-Funktion erst aufrufen, nachdem der Native 802.11-Miniporttreiber einen Zuordnungsvorgang mit der AP abgeschlossen hat. In diesem Fall darf die IHV Extensions DLL die Dot11ExtStartOneX-Funktion nicht unter einer der folgenden Bedingungen aufrufen:

  • Während der 802.1X-Authentifizierungsvorgang ausgeführt wird, kann die IHV Extensions DLL den Vorgang abbrechen, indem Dot11ExtStopOneX aufgerufen wird.

  • Während der 802.1X-Authentifizierungsvorgang ausgeführt wird, muss die IHV-Erweiterungs-DLL Dot11ExtProcessOneXPacket aufrufen, um EAPOL-Pakete zur Verarbeitung an das Betriebssystem weiterzuleiten. Anmerkung Die IHV Extensions DLL ist für die Verarbeitung von EAPOL-Key Paketen verantwortlich, die von der AP empfangen wurden. Die DLL darf diese Pakete nicht über Aufrufe von Dot11ExtProcessOneXPacket an das Betriebssystem übergeben.

     

  • Nach Abschluss des 802.1X-Authentifizierungsvorgangs ruft das Betriebssystem die Funktion Dot11ExtIhvOneXIndicateResult IHV Handler auf. Nachdem diese Funktion aufgerufen wurde, ist die IHV Extensions DLL für die Verarbeitung aller EAPOL-Pakete verantwortlich, die von der AP empfangen wurden, z. B. die EAPOL-Key Pakete, die für die Ableitung der Verschlüsselungsschlüssel verwendet werden.

  • Wenn der 802.1X-Authentifizierungsvorgang erfolgreich abgeschlossen wurde, übergibt das Betriebssystem den MPPE-Send-Key-Wert an die DOT11_MSONEX_RESULT_PARAMS Struktur, auf die der pDot11MsOneXResultParams-Parameter von Dot11ExtIhvOneXIndicateResult verweist. Der vom PbMPPESendKey-Mitglied von DOT11_MSONEX_RESULT_PARAMS verwiesene MPPE-Send-Key-Wert wird durch den Authentifizierungsprozess abgeleitet und wird von der IHV-Erweiterungs-DLL verwendet, wenn EAPOL-Key Pakete an die AP gesendet werden. Dieser Schlüssel ist verschlüsselt und sollte durch Aufrufen der CryptUnprotectData--Funktion entschlüsselt werden, die im Windows SDK dokumentiert ist.

  • Der Algorithmus, der verwendet wird, um die Chiffreschlüssel abzuleiten, hängt von der Implementierung des unabhängigen Hardwareanbieters (IHV) ab. Die IHV Extensions DLL kann Standardschlüsselableitungsalgorithmen unterstützen, z. B. den in Klausel 8.5 des IEEE 802.11i-2004-Standards definierten Algorithmus, sowie einen proprietären Schlüsselableitungsalgorithmus unterstützen.

  • Nachdem die Schlüssel abgeleitet wurden, kann die IHV Extensions DLL die folgenden Funktionen aufrufen, um die Chiffreschlüssel auf den Native 802.11 Miniporttreiber herunterzuladen, der den WLAN-Adapter (Wireless LAN) verwaltet.

  • Die IHV Extensions DLL schließt den Vorgang nach der Zuordnung ab, indem die Funktion Dot11ExtPostAssociateCompletion aufgerufen wird. Nach Abschluss des Zuordnungsvorgangs kann die IHV Extensions DLL einen weiteren 802.1X-Authentifizierungsvorgang initiieren, wenn die DLL feststellt, dass der Benutzer erneut authentifiziert werden muss.

Die folgende Abbildung zeigt die Abfolge von Ereignissen, wenn die IHV-Erweiterungs-DLL einen 802.1X-Authentifizierungsvorgang während eines Vorgangs nach der Zuordnung initiiert.

Diagramm, das die Abfolge von Ereignissen zeigt, wenn die IHV-Erweiterungs-DLL einen 802.1X-Authentifizierungsvorgang während eines Nachzuordnungsvorgangs initiiert.

 

 

  • Last updated on