Interface para o módulo Nativo 802.11 802.1X
Depois que o sistema operacional recebe uma indicação NDIS_STATUS_DOT11_ASSOCIATION_COMPLETION do driver de miniporto Native 802.11, ele chama a função Dot11ExtIhvPerformPostAssociate para iniciar uma operação pós-associação pela DLL de Extensões IHV.
Embora ela execute a operação pós-associação ou após a conclusão da operação, a DLL de Extensões IHV pode usar os algoritmos de protocolo de autenticação extensível (EAP) compatíveis com o sistema operacional para autenticar o usuário com o ponto de acesso (AP). Nessa situação, a DLL de Extensões IHV interfaces com o módulo 802.1X da estrutura Native 802.11 para o processamento de pacotes EAP que são enviados pelo AP no formato EAP over LAN (EAPOL).
Para obter mais informações sobre o formato EAPOL, consulte a Cláusula 7 do padrão IEEE 802.1X-2001.
Para obter mais informações sobre o módulo 802.1X e a estrutura Native 802.11, consulte Native 802.11 Software Architecture.
Ao fazer a interfacção do módulo 802.1X para autenticação de usuário, a DLL de Extensões IHV deve seguir estas diretrizes:
Para o Windows Vista, a DLL de Extensões IHV pode iniciar operações de autenticação 802.1X por meio do módulo 802.1X somente para conexões de rede BSS (conjunto de serviços básicos de infraestrutura).
A DLL de Extensões IHV deve se registrar no sistema operacional para receber pacotes EAPOL. Nessa situação, a DLL deve chamar a função Dot11ExtSetEtherTypeHandling e adicionar o IEEE EAPOL EtherType (0x888E) à lista de EtherTypes registrados que são passados por meio do parâmetro pusRegistration . Depois que o EtherType é registrado, o sistema operacional encaminha pacotes EAPOL recebidos para a DLL de Extensões IHV por meio de chamadas para a função manipulador IHV Dot11ExtIhvReceivePacket .
Para obter mais informações sobre como registrar EtherTypes, consulte Tratamento de EtherType IEEE.
Enquanto está executando a operação pós-associação, a DLL de Extensões IHV inicia a operação de autenticação 802.1X chamando a função Dot11ExtStartOneX . Quando essa função é chamada, o sistema operacional faz o seguinte:
- Exiba a página de propriedades para a configuração da autenticação 802.1X. Essas informações incluem o algoritmo EAP usado para a autenticação.
- Solicitar credenciais ao usuário.
- Envie um pacote EAPOL-Start para a AP para iniciar a autenticação 802.1X.
A DLL de Extensões IHV pode chamar Dot11ExtStartOneX dentro da chamada para Dot11ExtIhvPerformPostAssociate ou após o retorno da chamada de função.
A DLL de Extensões IHV pode chamar a função Dot11ExtStartOneX somente depois que o driver de miniporto Native 802.11 tiver concluído uma operação de associação com a AP. Nessa situação, a DLL de Extensões IHV não deve chamar a função Dot11ExtStartOneX em nenhuma das seguintes condições:
- Antes que o sistema operacional chame Dot11ExtIhvPerformPostAssociate. O sistema operacional chama essa função depois que o driver de miniporto concluiu com êxito uma operação de associação. Para obter mais informações sobre essa operação, consulte Operações de associação.
- Depois que o sistema operacional chamar Dot11ExtIhvStopPostAssociate. O sistema operacional chama essa função depois que o driver de miniporto conclui uma operação de desassociação com a AP. Para obter mais informações sobre essa operação, consulte Operações de desassociação.
- Depois que o sistema operacional chamar Dot11ExtIhvAdapterReset. O sistema operacional chama essa função depois que o driver de miniporto conclui uma operação de desconexão com a rede BSS (conjunto de serviços básico). Para obter mais informações sobre essa operação, consulte Operações de desconexão.
Enquanto a operação de autenticação 802.1X está em andamento, a DLL de Extensões IHV pode cancelar a operação chamando Dot11ExtStopOneX.
Enquanto a operação de autenticação 802.1X está em andamento, a DLL de Extensões IHV deve chamar Dot11ExtProcessOneXPacket para encaminhar pacotes EAPOL para o sistema operacional para processamento. Nota A DLL de Extensões IHV é responsável pelo processamento EAPOL-Key pacotes recebidos da AP. A DLL não deve passar esses pacotes para o sistema operacional por meio de chamadas para Dot11ExtProcessOneXPacket.
Quando a operação de autenticação 802.1X for concluída, o sistema operacional chamará a função Manipulador IHV Dot11ExtIhvOneXIndicateResult . Depois que essa função é chamada, a DLL de Extensões IHV é responsável por processar todos os pacotes EAPOL recebidos da AP, como os pacotes de EAPOL-Key usados para derivação das chaves de criptografia.
Se a operação de autenticação 802.1X for concluída com êxito, o sistema operacional passará o valor MPPE-Send-Key para a estrutura DOT11_MSONEX_RESULT_PARAMS apontada pelo parâmetro pDot11MsOneXResultParams de Dot11ExtIhvOneXIndicateResult. O valor MPPE-Send-Key apontado pelo membro pbMPPESendKey do DOT11_MSONEX_RESULT_PARAMS é derivado por meio do processo de autenticação e é usado pela DLL de Extensões IHV ao enviar pacotes EAPOL-Key para a AP. Essa chave é criptografada e deve ser descriptografada chamando a função CryptUnprotectData documentada no SDK do Windows.
O algoritmo usado para derivar as chaves de criptografia depende da implementação do IHV (fornecedor independente de hardware). A DLL de Extensões IHV pode dar suporte a algoritmos de derivação de chave padrão, como o algoritmo definido na Cláusula 8.5 do padrão IEEE 802.11i-2004, bem como dá suporte a um algoritmo de derivação de chave proprietário.
Depois de derivar as chaves, a DLL de Extensões IHV pode chamar as seguintes funções para baixar as chaves de criptografia para o driver de miniporto Nativo 802.11, que gerencia o adaptador WLAN (LAN sem fio).
A DLL de Extensões IHV conclui a operação pós-associação chamando a função Dot11ExtPostAssociateCompletion . Após a conclusão da operação pós-associação, a DLL de Extensões IHV poderá iniciar outra operação de autenticação 802.1X se a DLL determinar que o usuário deve ser autenticado novamente.
A figura a seguir mostra a sequência de eventos quando a DLL de Extensões IHV inicia uma operação de autenticação 802.1X durante uma operação pós-associação.
