Interface vers le module Native 802.11 802.1X

  • Article

 

Une fois que le système d’exploitation a reçu une indication NDIS_STATUS_DOT11_ASSOCIATION_COMPLETION du pilote miniport native 802.11, il appelle la fonction Dot11ExtIhvPerformPostAssociate pour lancer une opération post-association par la DLL des extensions IHV.

Pendant qu’elle effectue l’opération post-association ou une fois l’opération terminée, la DLL des extensions IHV peut utiliser les algorithmes de protocole d’authentification extensible (EAP) pris en charge par le système d’exploitation pour authentifier l’utilisateur auprès du point d’accès (AP). Dans ce cas, la DLL des extensions IHV s’interface avec le module 802.1X de l’infrastructure Native 802.11 pour le traitement des paquets EAP envoyés par l’AP au format EAP sur LAN (EAPOL).

Pour plus d’informations sur le format EAPOL, reportez-vous à la clause 7 de la norme IEEE 802.1X-2001.

Pour plus d’informations sur le module 802.1X et l’infrastructure native 802.11, consultez Architecture logicielle Native 802.11.

Lors de l’interfaçage du module 802.1X pour l’authentification utilisateur, la DLL des extensions IHV doit suivre les instructions suivantes :

  • Pour Windows Vista, la DLL des extensions IHV peut lancer des opérations d’authentification 802.1X via le module 802.1X uniquement pour les connexions réseau BSS (Infrastructure Basic Service Set).

  • La DLL des extensions IHV doit s’inscrire auprès du système d’exploitation pour recevoir des paquets EAPOL. Dans ce cas, la DLL doit appeler la fonction Dot11ExtSetEtherTypeHandling et ajouter l’ETherType EAPOL IEEE (0x888E) à la liste des EtherTypes inscrits qui sont transmis via le paramètre pusRegistration . Une fois l’etherType inscrit, le système d’exploitation transfère les paquets EAPOL reçus à la DLL des extensions IHV par le biais d’appels à la fonction gestionnaire IHV Dot11ExtIhvReceivePacket .

    Pour plus d’informations sur l’inscription d’EtherTypes, consultez Gestion des etherTypes IEEE.

  • Pendant l’opération post-association, la DLL des extensions IHV lance l’opération d’authentification 802.1X en appelant la fonction Dot11ExtStartOneX . Lorsque cette fonction est appelée, le système d’exploitation effectue les opérations suivantes :

    • Affichez la page des propriétés pour la configuration de l’authentification 802.1X. Ces informations incluent l’algorithme EAP utilisé pour l’authentification.
    • demander à l'utilisateur des informations d'identification ;
    • Envoyez un paquet EAPOL-Start à l’AP pour lancer l’authentification 802.1X.

    La DLL des extensions IHV peut appeler Dot11ExtStartOneX dans l’appel à Dot11ExtIhvPerformPostAssociate ou après le retour de l’appel de fonction.

  • La DLL des extensions IHV peut appeler la fonction Dot11ExtStartOneX uniquement une fois que le pilote miniport native 802.11 a terminé une opération d’association avec le point d’accès. Dans ce cas, la DLL d’extensions IHV ne doit pas appeler la fonction Dot11ExtStartOneX dans l’une des conditions suivantes :

    • Avant que le système d’exploitation appelle Dot11ExtIhvPerformPostAssociate. Le système d’exploitation appelle cette fonction une fois que le pilote miniport a réussi une opération d’association. Pour plus d’informations sur cette opération, consultez Opérations d’association.
    • Une fois le système d’exploitation appelé Dot11ExtIhvStopPostAssociate. Le système d’exploitation appelle cette fonction une fois que le pilote miniport a terminé une opération de dissociation avec le point d’accès. Pour plus d’informations sur cette opération, consultez Opérations de dissociation.
    • Une fois le système d’exploitation appelé Dot11ExtIhvAdapterReset. Le système d’exploitation appelle cette fonction une fois que le pilote miniport a terminé une opération de déconnexion avec le réseau BSS (Basic Service Set). Pour plus d’informations sur cette opération, consultez Opérations de déconnexion.

  • Pendant que l’opération d’authentification 802.1X est en cours, la DLL des extensions IHV peut annuler l’opération en appelant Dot11ExtStopOneX.

  • Pendant que l’opération d’authentification 802.1X est en cours, la DLL des extensions IHV doit appeler Dot11ExtProcessOneXPacket pour transférer les paquets EAPOL au système d’exploitation pour traitement. Note La DLL des extensions IHV est responsable du traitement des paquets EAPOL-Key reçus de l’AP. La DLL ne doit pas transmettre ces paquets au système d’exploitation via des appels à Dot11ExtProcessOneXPacket.

     

  • Une fois l’opération d’authentification 802.1X terminée, le système d’exploitation appelle la fonction Gestionnaire IHV Dot11ExtIhvOneXIndicateResult . Une fois cette fonction appelée, la DLL des extensions IHV est responsable du traitement de tous les paquets EAPOL reçus de l’AP, tels que les paquets EAPOL-Key utilisés pour la dérivation des clés de chiffrement.

  • Si l’opération d’authentification 802.1X s’est terminée avec succès, le système d’exploitation transmet la valeur MPPE-Send-Key à la structure DOT11_MSONEX_RESULT_PARAMS pointée par le paramètre pDot11MsOneXResultParams de Dot11ExtIhvOneXIndicateResult. La valeur MPPE-Send-Key pointée vers le membre pbMPPESendKey de DOT11_MSONEX_RESULT_PARAMS est dérivée par le processus d’authentification et est utilisée par la DLL d’extensions IHV lors de l’envoi de paquets EAPOL-Key à l’AP. Cette clé est chiffrée et doit être déchiffrée en appelant la fonction CryptUnprotectData documentée dans le Kit de développement logiciel (SDK) Windows.

  • L’algorithme utilisé pour dériver les clés de chiffrement dépend de l’implémentation du fournisseur de matériel indépendant (IHV). La DLL des extensions IHV peut prendre en charge des algorithmes de dérivation de clé standard, tels que l’algorithme défini dans la clause 8.5 de la norme IEEE 802.11i-2004, ainsi qu’elle peut prendre en charge un algorithme de dérivation de clé propriétaire.

  • Une fois les clés dérivées, la DLL des extensions IHV peut appeler les fonctions suivantes pour télécharger les clés de chiffrement sur le pilote miniport natif 802.11, qui gère l’adaptateur LAN sans fil (WLAN).

  • La DLL des extensions IHV termine l’opération post-association en appelant la fonction Dot11ExtPostAssociateCompletion . Une fois l’opération post-association terminée, la DLL des extensions IHV peut lancer une autre opération d’authentification 802.1X si la DLL détermine que l’utilisateur doit être réauthentifié.

La figure suivante montre la séquence d’événements lorsque la DLL des extensions IHV lance une opération d’authentification 802.1X pendant une opération post-association.

Diagramme montrant la séquence d’événements lorsque la DLL d’extensions IHV lance une opération d’authentification 802.1X pendant une opération post-association.