4.5.3 ENABLE_NETWORK命令处理
最后更新于:2022-04-02 06:03:25
ENABLE_NETWORK命令由wpa_supplicant_ctrl_iface_enable_network进行处理,其代码如
下所示。
**ctrl_iface.c::wpa_supplicant_ctrl_iface_enable_network**
~~~
static int wpa_supplicant_ctrl_iface_enable_network(struct wpa_supplicant *wpa_s,char *cmd)
{
int id;
struct wpa_ssid *ssid;
if (os_strcmp(cmd, "all") == 0) { // 使能所有无线网络
ssid = NULL;
} else {
id = atoi(cmd); // 本例中的id为0
ssid = wpa_config_get_network(wpa_s->conf, id); // 找到id为0的无线网络配置对象
......
// 在前面ADD_NETWORK中,disabled为1,表示还没有使能它。disable为2的情况和P2P有关
if (ssid->disabled == 2) {......}
}
wpa_supplicant_enable_network(wpa_s, ssid);
return 0;
}
~~~
来看wpa_supplicant_enable_network,其代码如下所示。
**wpa_supplicant.c::wpa_supplicant_enable_network**
~~~
void wpa_supplicant_enable_network(struct wpa_supplicant *wpa_s, struct wpa_ssid *ssid)
{
struct wpa_ssid *other_ssid;
int was_disabled;
if (ssid == NULL) {
......// 处理ENABLE_NETWORK all的情况
} else if (ssid->disabled && ssid->disabled != 2) {
if (wpa_s->current_ssid == NULL) {// WPAS当前没有活跃的无线网络,所以current_ssid为空
wpa_s->reassociate = 1; // 注意这个变量的值
// ADD_NETWORK只是添加了一个无线网络配置项
// 接下来要发起扫描工作以和对应的无线网络进行交互
// 下面这个函数将发起scan操作。后面两个0代表时间。详情见下节分析
wpa_supplicant_req_scan(wpa_s, 0, 0);
}
was_disabled = ssid->disabled;
ssid->disabled = 0; // 设置disabled为0
if (was_disabled != ssid->disabled)
wpas_notify_network_enabled_changed(wpa_s, ssid);
}
}
~~~
正如代码中注释所说,ADD_NETWORK不过是为WPAS添加了一个无线网络配置项罢了。该无线网络是否存在?通过SET_NETWORK配置的信息是否正确?这些问题的解答首先从无线网络扫描开始。
#### **一、无线网络扫描流程分析**
ENABLE_NETWORK将发起无线网络扫描请求,这是由wpa_supplicant_req_scan完成的,其代码如下所示。
**scan.c::wpa_supplicant_req_scan**
~~~
void wpa_supplicant_req_scan(struct wpa_supplicant *wpa_s, int sec, int usec)
{
#ifndef ANDROID // Android平台上,该宏被定义
......// 不讨论非Android平台上的代码
#endif
eloop_cancel_timeout(wpa_supplicant_scan, wpa_s, NULL);
// 在本例中,sec和usec都是0,所以wpa_supplicant_scan将很快得到执行。该函数是扫描的核心代码
eloop_register_timeout(sec, usec, wpa_supplicant_scan, wpa_s, NULL);
}
~~~
wpa_supplicant_scan是无线网络扫描的核心函数,其代码比较复杂,我们分段来看。
**1、wpa_supplicant_scan分析之一**
这一段代码主要和scan请求的参数准备有关。
**scan.c::wpa_supplicant_scan代码段一**
~~~
static void wpa_supplicant_scan(void *eloop_ctx, void *timeout_ctx)
{
struct wpa_supplicant *wpa_s = eloop_ctx;
struct wpa_ssid *ssid; int scan_req = 0, ret;
struct wpabuf *extra_ie; // 用于存储Information Element信息
struct wpa_driver_scan_params params; // 发给驱动的scan请求命令
// 用于记录一个scan请求能包含多少个ssid。请参考4.3.4节关于capability的介绍
size_t max_ssids;
enum wpa_states prev_state;
// wpa_state取值为WPA_INACTIVE,由4.3.4节wpa_supplicant_driver_init函数中的代码设置
if (wpa_s->wpa_state == WPA_INTERFACE_DISABLED) { return;}
// disconnected为0,scan_req为1,都是wpa_supplicant构造时的默认值
if (wpa_s->disconnected && !wpa_s->scan_req) { ......}
/*
搜索wpa_config中所有的无线网络配置项,看其中是否有使能的无线网络。本例中,在扫描之前,
已经将目标wpa_ssid的disabled变量置为0,这样,下面这个函数调用将返回非0值,使得整个if判断为假。
*/
if (!wpa_supplicant_enabled_networks(wpa_s->conf) && !wpa_s->scan_req) {......}
/*
ap_scan是一个很有意思的参数,它和AP扫描和选择有关,默认值为1。值为1:表示WPAS来完成
AP扫描和选择的绝大部分工作(包括关联、EAPOL认证等工作)。值为0:表示驱动完成AP扫描和选
择的工作。这种驱动比较少见,笔者未能找到关于WPA_DRIVER_FLAGS_WIRED标志的合理解释,有
知晓的读者不妨和大家分享一下相关知识。值为2:和0类似,不过在NDIS(Windows上的网络设备
驱动)中用得较多。
*/
if (wpa_s->conf->ap_scan != 0 && (wpa_s->drv_flags & WPA_DRIVER_FLAGS_WIRED)){......}
if (wpa_s->conf->ap_scan == 0) {// 如果驱动能完成大部分工作的话,WPAS的工作量将大大减少
wpa_supplicant_gen_assoc_event(wpa_s);
return; // 无须后面的流程
}
......// CONFIG_P2P:P2P相关,本章不讨论
if (wpa_s->conf->ap_scan == 2)
max_ssids = 1;
else {
max_ssids = wpa_s->max_scan_ssids; // 一个scan请求能包含多少个ssid
if (max_ssids > WPAS_MAX_SCAN_SSIDS)
max_ssids = WPAS_MAX_SCAN_SSIDS;
}
scan_req = wpa_s->scan_req; // scan_req为1
wpa_s->scan_req = 0; // scan_req被置为0
os_memset(¶ms, 0, sizeof(params));
// 初始化scan请求的参数,其类型为wpa_driver_scan_params
}
~~~
根据第3章关于无线网络扫描的介绍,一个Probe Request要么指定wildcard ssid以扫描周围所有的无线网络,要么指定某个ssid以扫描特定无线网络。为了方便WPAS的使用,wlandriver新增了一个功能,使得上层可通过一次scan请求来扫描多个不同ssid的无线网络。一个scan请求在代码中对应的数据结构就是wpa_driver_scan_params。而wpa_supplicant_scan最重要的工作就是准备好这个请求。
**2、wpa_supplicant_scan分析之二**
接着来看代码段二。
**scan.c::wpa_supplicant_scan代码段二**
~~~
......// 接上段代码
prev_state = wpa_s->wpa_state; // 此时的wpa_state是WPA_INACTIVE
if (wpa_s->wpa_state == WPA_DISCONNECTED || wpa_s->wpa_state == WPA_INACTIVE)
wpa_supplicant_set_state(wpa_s, WPA_SCANNING);// 设置WPAS状态为WPA_SCANNING
/*
connect_without_scan指向一个wpa_ssid对象。它对应的应用场景是:WPAS事先通过某种方
式(例如后续章节将要介绍的WPS)已经知道要连接的无线网络了,所以此处就无须扫描,仅关联它即可。
*/
if (scan_req != 2 && wpa_s->connect_without_scan) {
for (ssid = wpa_s->conf->ssid; ssid; ssid = ssid->next) {
if (ssid == wpa_s->connect_without_scan)
break;
}
wpa_s->connect_without_scan = NULL;
if (ssid) {
wpa_supplicant_associate(wpa_s, NULL, ssid); // 关联到目标网络
return;
}
}
// 搜索wpa_config中的所有无线网络配置项,看看哪些需要包含到这次scan请求中
ssid = wpa_s->conf->ssid;
/*
prev_scan_ssid用于记录上一次scan请求的最后一个ssid。它对应了如下的应用场景。
假设scan请求一次只能携带2个ssid,如果要扫描wpa_config中配置的全部网络项(假设是4个),
则需要发起两次scan请求。所以,当prev_scan_ssid上一次扫描的并非全部无线网络的话(由
wildcardssid来判断),则此处要接着扫描之前没有扫描的那些无线网络。
以本例而言,prev_scan_ssid初始值是WILDCARD_SSID_SCAN(其值为1)。
*/
if (wpa_s->prev_scan_ssid != WILDCARD_SSID_SCAN) {
while (ssid) {
if (ssid == wpa_s->prev_scan_ssid) {
ssid = ssid->next;
break;
}
ssid = ssid->next;
}
}
if (scan_req != 2 && wpa_s->conf->ap_scan == 2) {
......// 不考虑这种情况
#ifndef ANDROID
......
#endif
} else {
struct wpa_ssid *start = ssid, *tssid;
int freqs_set = 0;
if (ssid == NULL && max_ssids > 1)
ssid = wpa_s->conf->ssid;
while (ssid) {
/*
有一些AP被设置为hidden ssid。即它不响应wildcard ssid扫描的Probe Request,
同时,自己发送的Beacon帧也不携带ssid信息。这样,只有知道ssid的STA才能和这
些AP连接上,其安全性略有提高。scan_ssid就是用来判断此无线网络是否需要指明ssid。
本例中的"Test"无线网络没有隐藏 ssid,所以scan_ssid值为0。否则需要通过SET_
NETWORK 0 scan_ssid 1来设置它。
*/
if (!ssid->disabled && ssid->scan_ssid) {
// 把ssid信息加到params的ssids数组中
params.ssids[params.num_ssids].ssid = ssid->ssid;
params.ssids[params.num_ssids].ssid_len = ssid->ssid_len;
params.num_ssids++;
// 如果本次scan请求的ssid个数已经达到driver能支持的最大数,则跳出循环
if (params.num_ssids + 1 >= max_ssids) break;
}
ssid = ssid->next;
if (ssid == start)
break;
if (ssid == NULL && max_ssids > 1 && start != wpa_s->conf->ssid)
ssid = wpa_s->conf->ssid;
}
/*
处理扫描时的频率选择。如果已经知道目标无线网络的工作信道,可以直接设定频率参数以
优化扫描过程。否则,无线网卡将尝试在各个信道上搜索目标无线网络。本例没有使用频率参数。
*/
for (tssid = wpa_s->conf->ssid; tssid; tssid = tssid->next) {
if (tssid->disabled) continue;
if ((params.freqs || !freqs_set) && tssid->scan_freq) {
int_array_concat(¶ms.freqs,tssid->scan_freq);
} else {
os_free(params.freqs);
params.freqs = NULL;
}
freqs_set = 1;
}
int_array_sort_unique(params.freqs); // 对所有频率参数进行升序排序
}
if (ssid && max_ssids == 1) { // 如果scan请求最多只能包含一个ssid
if (!wpa_s->prev_scan_wildcard) {
params.ssids[0].ssid = NULL; // 扫描wildcast ssid
params.ssids[0].ssid_len = 0;
wpa_s->prev_scan_wildcard = 1;
} else {
wpa_s->prev_scan_ssid = ssid;
wpa_s->prev_scan_wildcard = 0;
}
} else if (ssid) {
wpa_s->prev_scan_ssid = ssid;
params.num_ssids++;
} else {
wpa_s->prev_scan_ssid = WILDCARD_SSID_SCAN;
params.num_ssids++;
}
// 对频率参数进行修改,和P2P以及WPS有关,本章略过它们
wpa_supplicant_optimize_freqs(wpa_s, ¶ms);
// 是否需要携带附件的IE信息。主要用在WPS等情况,本章略过它们
extra_ie = wpa_supplicant_extra_ies(wpa_s, ¶ms);
if (params.freqs == NULL && wpa_s->next_scan_freqs) {
params.freqs = wpa_s->next_scan_freqs;
} else os_free(wpa_s->next_scan_freqs);
wpa_s->next_scan_freqs = NULL;
/*
scan请求可以设置一个过滤条件,扫描完毕后,driver wrapper会过滤掉那些不符合条件的无线
网络。注意,filter_ssids用来保存那些不能被过滤的无线网络ssid。即,扫描到的无线网络不在
filter_ssids中时,它将被过滤掉。过滤的代码在driver_nl80211.c nl80211_scan_filtered
函数中,其调用之处在同一文件里的bss_info_handler函数中。
*/
params.filter_ssids = wpa_supplicant_build_filter_ssids(wpa_s->conf,
¶ms.num_filter_ssids);
if (extra_ie) {
params.extra_ies = wpabuf_head(extra_ie);
params.extra_ies_len = wpabuf_len(extra_ie);
}
#ifdef CONFIG_P2P
......
#endif /* CONFIG_P2P */
~~~
上述wpa_supplicant_scan代码段主要展示了如何填写扫描请求参数,复杂之处在于其对细节的处理。下面来看最后一个代码段。
**3、wpa_supplicant_scan分析之三**
当scan请求的参数准备好后,wpa_supplicant_scan将直接向driver wrapper发起scan请求。
**scan.c::wpa_supplicant_scan代码段三**
~~~
static int wpa_driver_nl80211_scan(void *priv, struct wpa_driver_scan_params *params)
{
struct i802_bss *bss = priv; // i802_bss是driver wrapper的上下文信息
struct wpa_driver_nl80211_data *drv = bss->drv;
// 获取wpa_driver_nl80211_data对象
int ret = 0, timeout;
struct nl_msg *msg, *ssids, *freqs, *rates;
size_t i;
drv->scan_for_auth = 0;
msg = nlmsg_alloc();ssids = nlmsg_alloc();freqs = nlmsg_alloc();
rates = nlmsg_alloc();
// 这个函数的主要功能是将wpa_driver_scan_params参数转换成对应的netlink command
os_free(drv->filter_ssids);
drv->filter_ssids = params->filter_ssids;
params->filter_ssids = NULL;
drv->num_filter_ssids = params->num_filter_ssids;
nl80211_cmd(drv, msg, 0, NL80211_CMD_TRIGGER_SCAN);
NLA_PUT_U32(msg, NL80211_ATTR_IFINDEX, drv->ifindex); // 指定网卡设备编号
for (i = 0; i < params->num_ssids; i++) // 填充ssid信息
NLA_PUT(ssids, i + 1, params->ssids[i].ssid_len,params->ssids[i].ssid);
if (params->num_ssids)
nla_put_nested(msg, NL80211_ATTR_SCAN_SSIDS, ssids);
if (params->extra_ies) // 填充附加IE信息
NLA_PUT(msg, NL80211_ATTR_IE, params->extra_ies_len,params->extra_ies);
if (params->freqs) { // 填充频率信息
for (i = 0; params->freqs[i]; i++) NLA_PUT_U32(freqs, i + 1, params->freqs[i]);
nla_put_nested(msg, NL80211_ATTR_SCAN_FREQUENCIES, freqs);
}
if (params->p2p_probe) {......// P2P相关}
/*
发送请求给wlan驱动。返回值只是表示该命令是否正确发送给了驱动。扫描结束事件将通过
driver event返回给WPAS。下文将分析如何处理扫描结束事件。
*/
ret = send_and_recv_msgs(drv, msg, NULL, NULL);
msg = NULL;
if (ret) { ......// 错误处理}
timeout = 10;
/*
一般情况下,driver完成扫描后需要通知WPAS一个scan complete事件。如果驱动不通知的话,
WPAS就会自己去查询driver以获取扫描到的无线网络信息。如何知晓driver是否会通知该事件呢?
WPAS中是通过scan_complete_events变量来判断的。值得指出的是,该变量的取值是测试出来的。
即scan_complete_events初始值为0。如果扫描后收到了scan complete事件,该值将被
修改为1。由于本例中,该变量是第一次碰到,所以其值为0。
*/
if (drv->scan_complete_events) timeout = 30;
eloop_cancel_timeout(wpa_driver_nl80211_scan_timeout, drv, drv->ctx);
// 本例中,timeout为10秒
eloop_register_timeout(timeout, 0, wpa_driver_nl80211_scan_timeout, drv, drv->ctx);
......
return ret;
}
~~~
就本例而言,ENABLE_WORK命令处理的第一步就是要扫描周围的无线网络。至于目标无线网络是否存在,则属于扫描结果处理流程的工作了。
**4、无线网络扫描流程总结**
图4-31所示为触发扫描功能的流程图。
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/f51958191d204596353feee06e3a644d_990x544.jpg)
图4-31 触发扫描的流程图
图4-31所示函数中,wpa_supplicant_scan的内容较为丰富,其中有很多细节内容。读者初次学习时,可以先不考虑这些细节,只要把握图4-31中的函数调用流程即可。
马上来看扫描结果的处理流程。
#### **二、扫描结果处理流程分析**
在上一节的扫描请求中,driver_nl80211发送了NL80211_CMD_TRIGGER_SCAN命令给wlan driver以通知它开始扫描周围的无线网络。当wlan driver完成此任务后,它将向4.3.4节中wpa_driver_nl80211_init_nl_global函数中注册的三个netlink组播之一的"scan"组播地址发送结果。而driver_nl80211对应处理来自wlan driver netlink消息处理回调函数为
process_global_event,而它最终又会调用do_process_drv_event进行处理。所有,直接来看do_process_drv_event中和扫描结果相关的代码即可。
**driver_nl80211.c::do_process_drv_event**
~~~
static void do_process_drv_event(struct wpa_driver_nl80211_data *drv,
int cmd, struct nlattr **tb)
{
/*
ap_scan_as_station和hostapd有关,该值默认等于NL80211_IFTYPE_UNSPECIFIED。读
者可参考4.3.4节"wpa_supplicant_init_iface分析之三"中对wpa_driver_nl80211_init
的分析。
*/
if (drv->ap_scan_as_station != NL80211_IFTYPE_UNSPECIFIED &&
(cmd == NL80211_CMD_NEW_SCAN_RESULTS ||cmd == NL80211_CMD_SCAN_ABORTED)) {......}
switch (cmd) {
// driver wrapper发送NL80211_CMD_TRIGGER_SCAN命令后,wlan driver也会回复同名的一个消息
case NL80211_CMD_TRIGGER_SCAN:
wpa_printf(MSG_DEBUG, "nl80211: Scan trigger");
break;
......// 其他消息处理
case NL80211_CMD_NEW_SCAN_RESULTS:
// 收到来自driver的scan回复,所以设置scan_complete_events变量为1
drv->scan_complete_events = 1;
// 取消超时任务
eloop_cancel_timeout(wpa_driver_nl80211_scan_timeout, drv, drv->ctx);
/*
图4-1所示的WPAS软件结构中曾提到driver wrapper将通过发送driver event的方式
触发WPAS其他模块进行对应处理。下面这个函数即是用来处理和发送与scan相关的driver
event的。其详情见下文。
*/
send_scan_event(drv, 0, tb);
break;
......
}
return
}
~~~
上述代码中的send_scan_event将解析来自wlan driver的扫描完毕事件,然后再向WPAS发送driver event,其代码如下所示。
**driver_nl80211.c::send_scan_event**
~~~
static void send_scan_event(struct wpa_driver_nl80211_data *drv, int aborted,
struct nlattr *tb[])
{
// 代表driver event的数据结构
// 它是一个联合体,包含了assoc_info、auth_info、scan_info等较多内容
union wpa_event_data event;
struct nlattr *nl;
int rem;
// 扫描信息,包含频率数组(int类型的数组)以及wpa_driver_scan_ssid数组
// 请读者特别注意scan_info不是扫描结果
struct scan_info *info;
#define MAX_REPORT_FREQS 50
int freqs[MAX_REPORT_FREQS];
int num_freqs = 0;
/*
scan_for_auth变量和wlan driver有关,它描述了如下的应用场景。
当WPAS发起认证(authentication)操作时,它将向driver发送NL80211_CMD_
AUTHENTICATE命令。driver可能因为某种原因(超时等),其内部存储的目标BSS(代表目标无
线网络)信息失效。这时,它将返回ENOENT给WPAS。正常情况下,WPAS应该重新扫描。但为了加
快这个流程,WPAS可以单独扫描目标无线网络(因为WPAS还是保存了目标无线网络的信息,例如
频道等),然后再发起认证操作。从笔者角度来看,该场景对应的问题是wlan driver没有目标
BSS信息,而WPAS有目标BSS信息。WPAS和wlan driver是两个不同模块,二者的信息并不能
总是保持一致。既然WPAS有目标BSS信息,那么可以通过更加快捷的方法让wlan driver也得
到这个信息(通过在指定频道到扫描目标BSS),从而加快整个流程(从WPAS角度来看,用户加入无
线网络的流程已经进行到Authentication阶段,此时再退回到重新扫描的阶段实在有些麻烦)。
关于scan_for_auth的官方解释,请通过前面介绍的git blame命令获取commit message,
方法是先通过"git blame ./src/drivers/driver_nl80211.c | grep scan_for_auth"
获得和scan_for_auth相关的commit号,然后再用git log commit号查看。
git blame的用法请参考4.2.4节。
*/
if (drv->scan_for_auth) {......}
os_memset(&event, 0, sizeof(event));
info = &event.scan_info;
info->aborted = aborted;
if (tb[NL80211_ATTR_SCAN_SSIDS]) {// 遍历NL80211_ATTR_SCAN_SSIDS属性
nla_for_each_nested(nl, tb[NL80211_ATTR_SCAN_SSIDS], rem) {
struct wpa_driver_scan_ssid *s = &info->ssids[info->num_ssids];
s->ssid = nla_data(nl); s->ssid_len = nla_len(nl);
info->num_ssids++;
if (info->num_ssids == WPAS_MAX_SCAN_SSIDS) break;
}
}
if (tb[NL80211_ATTR_SCAN_FREQUENCIES]) {// 获取netlink消息中的频率信息
nla_for_each_nested(nl, tb[NL80211_ATTR_SCAN_FREQUENCIES], rem) {
freqs[num_freqs] = nla_get_u32(nl);
num_freqs++;
if (num_freqs == MAX_REPORT_FREQS - 1) break;
}
info->freqs = freqs;
info->num_freqs = num_freqs;
}
// wpa_supplicant_event被driver event模块用来发送driver事件给WPAS
wpa_supplicant_event(drv->ctx, EVENT_SCAN_RESULTS, &event);
}
~~~
上述代码中请注意struct scan_info的作用,它定义于联合体wpa_event_data中,包含了本次扫描请求扫描了哪些SSID、对应的频率等。
>[info] 提示 scan_info不是scan后得到的结果信息,而是代表驱动处理scan请求时的一些处理信息。对于那些不支持通知scan complete事件的driver而言,scan_info就没法获得。例如,超时扫描处理wpa_driver_nl80211_scan_timeout中调用wpa_supplicant_event时就没有scan_info。
scan_info到底有什么作用呢?后文将详细介绍它。
wpa_supplicant_event是driver wrapper向WPAS通知driver event的接口函数,其代码如下所示。
**events.c::wpa_supplicant_event**
~~~
void wpa_supplicant_event(void *ctx, enum wpa_event_type event,
union wpa_event_data *data)
{
struct wpa_supplicant *wpa_s = ctx;
u16 reason_code = 0;
int locally_generated = 0;
......
switch (event) {
......// driver event总类非常多,现在只分析EVENT_SCAN_RESULT即可
case EVENT_SCAN_RESULTS:
wpa_supplicant_event_scan_results(wpa_s, data);
break;
......
}
}
~~~
代码很简单,下面直接来分析此处的目标函数wpa_supplicant_event_scan_results。
**1、wpa_supplicant_event_scan_results函数分析**
函数代码如下。
**events.c::wpa_supplicant_event_scan_results**
~~~
static void wpa_supplicant_event_scan_results(struct wpa_supplicant *wpa_s,
union wpa_event_data *data)
{
const char *rn, *rn2;
struct wpa_supplicant *ifs;
// 笔者编译的WPAS实际上打开了ANDROID_P2P宏,但本章不讨论P2P相关内容
#ifdef ANDROID_P2P
if (_wpa_supplicant_event_scan_results(wpa_s, data, 0) < 0)
#else
if (_wpa_supplicant_event_scan_results(wpa_s, data) < 0)
#endif
return;
/*
get_radio_name函数和4.3.4节"wpa_supplicant_init_iface分析之三"中提到的
/sys/class/net/wlan0/phy80211/name文件内容有关。driver_nl80211实现了这个函数,
它将返回上面这个文件的内容。
*/
if (!wpa_s->driver->get_radio_name) return;
/*
下面这段代码的作用主要是看虚拟接口设备(参考4.3.4节中对Virtual Interface的介绍)
是不是使用了同一个物理设备。如果使用了同一个物理设备,则这个虚拟设备获得的扫描结果可以
和其他虚拟设备共享(避免重复扫描)。本章不对其中细节进行介绍。
*/
rn = wpa_s->driver->get_radio_name(wpa_s->drv_priv);
/*
global指向wpa_global对象,ifaces是wpa_global的成员变量,指向一个wpa_supplicant
对象的队列,可参考图4-7和图4-11。在WPAS中,每一个wpa_supplicant对象会和一个虚拟接口
设备关联。
*/
for (if s = wpa_s->global->ifaces; ifs; ifs = ifs->next) {
if (ifs == wpa_s || !ifs->driver->get_radio_name)
continue;
rn2 = ifs->driver->get_radio_name(ifs->drv_priv);
if (rn2 && os_strcmp(rn, rn2) == 0) {// 比较两个虚拟设备对应的物理设备是否为同一个
#ifdef ANDROID_P2P
......
#else // 和其他虚拟设备分享扫描结果
_wpa_supplicant_event_scan_results(ifs, data);
#endif
}
}
}
~~~
上述代码中,_wpa_supplicant_event_scan_results是核心处理函数并且内容较多,所以下面将分段研究它。
**2、_wpa_supplicant_event_scan_results分析之一**
先来看第一个代码段,代码如下所示。
**events.c::_wpa_supplicant_event_scan_results代码段一**
~~~
#ifdef ANDROID_P2P
static int _wpa_supplicant_event_scan_results(struct wpa_supplicant *wpa_s,
union wpa_event_data *data, int suppress_event)
#else
static int _wpa_supplicant_event_scan_results(struct wpa_supplicant *wpa_s,
union wpa_event_data *data)
#endif
{
struct wpa_bss *selected; struct wpa_ssid *ssid = NULL;
struct wpa_scan_results *scan_res;// 这才是真正的扫描结果
int ap = 0;
......
wpa_supplicant_notify_scanning(wpa_s, 0);
......// 和P2P相关,本章不讨论
// 获得无线网络扫描结果。就本例而言,前面得到的scan_info信息将传递到下面这个函数
scan_res = wpa_supplicant_get_scan_results(wpa_s,data ? &data->scan_info : NULL, 1);
if (scan_res == NULL) {......// 扫描结果为空,重新发起扫描}
#ifndef CONFIG_NO_RANDOM_POOL
/*
把扫描结果中得到的无线网络频率、信号强度等信息取出来,然后写到图4-1中的crpto模块。
这样,能增加随机数生成的随机性。WPAS中nonce的生成都会利用随机数生成器。感兴趣的读者
不妨自行研究相关内容。
*/
......
#endif /* CONFIG_NO_RANDOM_POOL */
~~~
wpa_supplicant_get_scan_results比较重要,我们通过代码来介绍它。
**scan.c::wpa_supplicant_get_scan_results**
~~~
struct wpa_scan_results * wpa_supplicant_get_scan_results(struct wpa_supplicant *wpa_s,
struct scan_info *info, int new_scan)
{
struct wpa_scan_results *scan_res;
size_t i;
int (*compar)(const void *, const void *) = wpa_scan_result_compar;
/*
调用driver interface的get_scan_results2函数,对nl80211来说,其真实函数是wpa_driver_
nl80211_get_scan_results,它将向wlan driver发送NL80211_CMD_GET_SCAN命令以获取
扫描结果。另外,wpa_driver_nl80211_get_scan_results中还涉及一个比较有意思的函数
wpa_driver_nl80211_check_bss_status。其作用请读者利用前面介绍的git blame方法来查询。
*/
scan_res = wpa_drv_get_scan_results2(wpa_s);
if (scan_res == NULL) {return NULL;} //
#ifdef CONFIG_WPS
......// WPS相关
#endif /* CONFIG_WPS */
/*
对扫描结果进行排序,排序函数是wpa_scan_result_compar,它将根据无线网络的信噪比(SNR)
进行排序信噪比越高,无线网络信号越强。注意,除了SNR外,wpa_scan_result_compar还有别
的比较条件,感兴趣的读者可行阅读该函数。
*/
qsort(scan_res->res, scan_res->num, sizeof(struct wpa_scan_res *),compar);
......
/*
更新WPAS中保存的那些bss信息(即无线网络信息,每一个无线网络由wpa_bss表示)。我们在4.3.4节中
曾经介绍过和wpa_bss相关的知识。WPAS维护了一个wpa_bss链表,每次扫描时都可能更新这个链表
(添加新扫描得到的wpa_bss、删除某些老旧的wpa_bss)。
*/
wpa_bss_update_start(wpa_s);
for (i = 0; i < scan_res->num; i++)
wpa_bss_update_scan_res(wpa_s, scan_res->res[i]);
/*
这里用上了scan_info。那些没有包含在本次scan_info中的wpa_bss不用更新。结合4.5.3节
“wpa_supplicant_scan分析之二”中提到的prev_scan_ssid的作用,能想到为什么不更新那些
没有包含在scan_info中的wpa_bss吗?
*/
wpa_bss_update_end(wpa_s, info, new_scan);
return scan_res;
}
~~~
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/8d98c3a7f39c3a31bc44cf5344135a62_1226x359.jpg)
图4-32 wpa_scan_res相关数据结构
**3、_wpa_supplicant_event_scan_results分析之二**
接着来看_wpa_supplicant_event_scan_results下一个代码片段。
**events.c::_wpa_supplicant_event_scan_results代码段二**
~~~
......// 接_wpa_supplicant_event_scan_results代码片段一
/*
如果wpa_supplicant对扫描结果有特殊处理,则调用scan_res_handler对应的函数处理。
目前只有P2P情况下scan_res_handler才起作用。
*/
if (wpa_s->scan_res_handler) { ......return 0;}
......// hostapd的情况,本书不讨论
#ifdef ANDROID_P2P
if(!suppress_event)
#endif
{ ......// 通知客户端,扫描结束 }
wpas_notify_scan_done(wpa_s, 1);
if ((wpa_s->conf->ap_scan == 2 && !wpas_wps_searching(wpa_s))) {}
if (wpa_s->disconnected) {......}
/*
还记得4.5.3节“wpa_supplicant_scan分析之一”中的ap_scan变量吗?下面这个
wpas_driver_bss_selection函数判断是否由driver来控制无线网络的选择。显然,
本例中它将返回0值。不过,由于本例不支持bgscan(由CONFIG_BGSCAN宏控制),
bgscan_notify_scan返回0。
这样,下面这个if判断失败。
*/
if (!wpas_driver_bss_selection(wpa_s)&&bgscan_notify_scan(wpa_s, scan_res) == 1) {
wpa_scan_results_free(scan_res);
return 0;
}
// 从扫描结果中选择一个合适的无线网络
// 注意,在本例中,下面这个函数将返回目标无线网络对应的wpa_bss对象
selected = wpa_supplicant_pick_network(wpa_s, scan_res, &ssid);
}
~~~
上面这段代码相对简单。注意最后一句代码中调用的wpa_supplicant_pick_network函数。它将根据scan_res(扫描结果)、wpa_bss(代表一个真实BSS的信息)和wpa_ssid(代表用户设置的某个无线网络配置项)的匹配情况来选择合适的无线网络。匹配检查包含很多内容,例如ssid是否匹配、安全设置是否匹配、速率是否匹配等。最终,该函数返回一个被选中的目标无
线网络的wpa_bss对象。
>[info] 提示 wpa_supplicant_pick_network函数实际上检查的项非常多。由于篇幅问题,本章不能一 一道来,感兴趣的读者请仔细研究。
**4、_wpa_supplicant_event_scan_results分析之三**
接着来看_wpa_supplicant_event_scan_results的第三段代码。
**events.c::_wpa_supplicant_event_scan_results代码段三**
~~~
......// 接代码段二
if (selected) { // 本例中返回的selected无线网络wpa_bss对象代表目标"Test"无线网络
int skip;
/*
判断是否需要漫游。简单来说,漫游表示需要切换无线网络。对本例而言,由于之前没有和AP关联,
所以此处是需要漫游的(即需要切换无线网络)。
wpa_supplicant_need_to_roam中还包括对同一个ESS中如何选择更合适的BSS有一些
简单的判断,主要是根据信号强度来选择。
*/
skip = !wpa_supplicant_need_to_roam(wpa_s, selected, ssid,scan_res);
wpa_scan_results_free(scan_res);
if (skip) {// 无须切换网络,所以没有太多要做的工作
wpa_supplicant_rsn_preauth_scan_results(wpa_s);
return 0;
}
// 关联至目标无线网络。我们下一节再分析它
if (wpa_supplicant_connect(wpa_s, selected, ssid) < 0) {......}
// 预认证(Pre-Authentication)处理,和802.11中的Fast Transition有关,本书不讨论
wpa_supplicant_rsn_preauth_scan_results(wpa_s);
} else { ......// 没有匹配的无线网络情况的处理 }
return 0;
}
~~~
到此为止,扫描结果的处理基本完毕,剩下的工作就是通过wpa_supplicant_connect向目标AP发起关联等请求以加入"Test"无线网络。
在介绍wpa_supplicant_connect之前,先总结一下扫描结果处理流程。
**5、扫描结果处理流程总结**
扫描结果的处理流程相对比较复杂,如图4-33所示。其中有几个函数包含一些非常重要的细节,读者在研究过程中要特别注意。
* wpa_supplicant_pick_nework:在扫描结果中找到一个最佳的无线网络。
* wpa_supplicant_need_to_roam:判断是否需要切换网络。
* wpa_supplicant_rsn_preauth_scan_results:更新PMKSA缓存信息。其工作和Pre-Authentication有关。不过Pre-Authenticaton真正的实现也需要AP的支持。
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2195255b1d4d31d69a85da03d91cb6ef_869x659.jpg)
图4-33 扫描处理流程
图4-34所示为笔者通过AirPcap截获的目标AP发送的Probe Response帧。
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/9a9206c98e6cce170695a9e372b9168c_1026x645.jpg)
图4-34 Probe Response帧内容
请读者注意图4-34中所示的RSN信息,它描述了AP所支持的RSN功能。下节介绍WPAS如何关联到目标无线网络时将用到它。
#### **三、关联无线网络处理流程分析**
关联无线网络处理的流程从wpa_supplicant_connect开始,其代码如下所示。
**events.c::wpa_supplicant_connect**
~~~
int wpa_supplicant_connect(struct wpa_supplicant *wpa_s,struct wpa_bss *selected,
struct wpa_ssid *ssid)
{
// WPS相关,本章不讨论
if (wpas_wps_scan_pbc_overlap(wpa_s, selected, ssid)) {......}
/*
4.5.3节介绍的wpa_supplicant_enable_network函数中,reassociate值被设置为1。
当WPAS处于ASSOCIATING状态时,wpa_s->pending_bssid用于存储目标网络的BSSID。
*/
if (wpa_s->reassociate || (os_memcmp(selected->bssid, wpa_s->bssid, ETH_ALEN) != 0 &&
((wpa_s->wpa_state != WPA_ASSOCIATING && wpa_s->wpa_state != WPA_AUTHENTICATING) ||
os_memcmp(selected->bssid, wpa_s->pending_bssid, ETH_ALEN) != 0))) {
// 和EAP-SIM/AKA认证方法有关。在此处初始化相关资源。本章不讨论
if (wpa_supplicant_scard_init(wpa_s, ssid)) {
wpa_supplicant_req_new_scan(wpa_s, 10, 0);
return 0;
}
wpa_supplicant_associate(wpa_s, selected, ssid);// 发起关联操作
} else {......}
return 0;
}
~~~
就本例而言,wpa_supplicant_connect最重要的工作就是触发STA发起关联操作。关联操作通过wpa_supplicant_associate函数来完成。这部分代码比较复杂,我们分段来看。
**1、wpa_supplicant_associate分析之一**
和发起无线扫描请求一样,wpa_supplicant_associate函数主要目的就是填充一个用于向wlan driver发起关联请求的struct wpa_driver_associate_params类型的对象,然后调用driverinterface对应的接口函数。由于关联时考虑的因素非常多,所以对应的处理也比较烦琐。本节先介绍第一段内容。
**wpa_supplicant.c::wpa_supplicant_associate代码段一**
~~~
void wpa_supplicant_associate(struct wpa_supplicant *wpa_s,
struct wpa_bss *bss, struct wpa_ssid *ssid)
{
u8 wpa_ie[200]; size_t wpa_ie_len;
int use_crypt, ret, i, bssid_changed;
int algs = WPA_AUTH_ALG_OPEN; // 认证方法
enum wpa_cipher cipher_pairwise, cipher_group;// 单播数据和组播数据加密方法
struct wpa_driver_associate_params params; // 此函数主要目的是正确填充params的内容
int wep_keys_set = 0; struct wpa_driver_capa capa;
int assoc_failed = 0; struct wpa_ssid *old_ssid;
#ifdef CONFIG_HT_OVERRIDES
......// 802.11n相关的内容
#endif /* CONFIG_HT_OVERRIDES */
#ifdef CONFIG_IBSS_RSN
......// IBSS相关内容
#endif /* CONFIG_IBSS_RSN */
#ifdef ANDROID_P2P
int freq = 0;
#endif
if (ssid->mode == WPAS_MODE_AP || ssid->mode == WPAS_MODE_P2P_GO ||
ssid->mode == WPAS_MODE_P2P_GROUP_FORMATION) { ...... return; }
#ifdef CONFIG_TDLS
......// TDLS是WFA定义的另外一项规范。本书不讨论
#endif /* CONFIG_TDLS */
/*
我们曾在4.3.3节功能相关成员变量及背景知识中曾介绍过CONFIG_SME相关的信息。
Galaxy Note 2不支持WPA_DRIVER_FLAGS_SME参数。
*/
if ((wpa_s->drv_flags & WPA_DRIVER_FLAGS_SME) && ssid->mode == IEEE80211_MODE_INFRA) {
sme_authenticate(wpa_s, bss, ssid);
return;
}
os_memset(¶ms, 0, sizeof(params));
wpa_s->reassociate = 0;
// wpas_driver_bss_selection于判断是否由wlan driver来完成无线网络选择,本例它返回FALSE
if (bss && !wpas_driver_bss_selection(wpa_s)) {
#ifdef CONFIG_IEEE80211R
......// 802.11R相关
#endif /* CONFIG_IEEE80211R */
bssid_changed = !is_zero_ether_addr(wpa_s->bssid);
os_memset(wpa_s->bssid, 0, ETH_ALEN);// 设置wpa_supplicant bssid数组成员值为全0
// 将BSSID复制到wpas->pending_bssid中
os_memcpy(wpa_s->pending_bssid, bss->bssid, ETH_ALEN);
if (bssid_changed)
wpas_notify_bssid_changed(wpa_s);
#ifdef CONFIG_IEEE80211R
......// 和802.11R有关
#endif /* CONFIG_IEEE80211R */
#ifdef CONFIG_WPS
} else if (......WPS相关) {
......
#endif /* CONFIG_WPS */
} else os_memset(wpa_s->pending_bssid, 0, ETH_ALEN);
// 取消计划扫描和普通扫描任务
wpa_supplicant_cancel_sched_scan(wpa_s);
wpa_supplicant_cancel_scan(wpa_s);
/*
清空上一次association时使用的WPA/RSN IE信息,这些信息保存在wpa_supplicant
对象的assoc_wpa_ie(类型为u8*)对应的buffer中。
*/
wpa_sm_set_assoc_wpa_ie(wpa_s->wpa, NULL, 0);
}
~~~
如果不考虑各种编译宏选项(对WPS、802.11R支持),上述代码段还算比较简单。
**2、wpa_supplicant_associate分析之二**
接着来看代码段二。
**wpa_supplicant.c::wpa_supplicant_associate代码段二**
~~~
......// 接代码段一
#ifdef IEEE8021X_EAPOL
// 本例中,为目标无线网络配置的key_mgmt为SET_NETWORK 0 key_mgmt WPA-PSK
// 通过"SET_NETWORK 0 key_mgmt WPA-PSK"命令来完成
if (ssid->key_mgmt & WPA_KEY_MGMT_IEEE8021X_NO_WPA) {
......// 处理key_mgmt为非WPA的情况}
#endif /* IEEE8021X_EAPOL */
/*
auth_alg为认证方法,可取值有WPA_AUTH_ALG_OPEN、WPA_AUTH_ALG_SHARED等。根据第3章
对WPA的介绍,如果要使用WPA的话,在和AP关联时必须使用Open System(即WPA_AUTH_ALG_OPEN)。
如果没有设置该值,其值默认为0。
*/
if (ssid->auth_alg) {......}
/*
下面这个if判断很重要,请读者注意。
wpa_bss_get_vendor_ie函数用于获取wpa_bss中的和vendor相关的IE,此处IE对应的标志是
WPA_IE_VENDOR_TYPE(该值被定义为:#define WPA_IE_VENDOR_TYPE 0x0050f201)。
读者可参考图4-34中Probe Response帧中最后一个IE项(Microsoft:WPA IE,
因为MS的OUI是00-50-f2)。注意:该OUI也供WFA定义的几种规范使用。
wpa_bss_get_ie(bss, WLAN_EID_RSN)) 用于获取RSN IE。图4-34中也包含RSN IE。
wpa_key_mgmt_wpa(ssid->key_mgmt)用于判断无线网络配置时设置的key_mgmt是否
和WPA相关(本例中,key_mgmt被设为WPA-PSK,它属于WPA的一种)。
简而言之,下面这个if条件就是判断目标无线网络是否支持WPA/RSN功能,并且无线网络配置项
是否也设置key_mgmt与WPA相关。很显然,本例满足下面这个if条件。
*/
if (bss && (wpa_bss_get_vendor_ie(bss, WPA_IE_VENDOR_TYPE) ||
wpa_bss_get_ie(bss, WLAN_EID_RSN)) && wpa_key_mgmt_wpa(ssid->key_mgmt)) {
int try_opportunistic;
/*
ssid->proto默认值为DEFAULT_PROTO,它由4.5.1节中ADD_NETWORK命令处理的
wpa_config_set_network_defaults函数完成。proactive_key_caching默认值为0。
*/
try_opportunistic = ssid->proactive_key_caching && (ssid->proto & WPA_PROTO_RSN);
/*
下面这个函数用于从pmksa缓存中取出current_ssid对应的pmkid cache项(类型为rsn_
pmksa_cache),然后将其赋值给wpa_sm中的cur_pmksa变量中。此时我们还没有pmksa
缓存信息,故if条件失败。
*/
if (pmksa_cache_set_current(wpa_s->wpa, NULL, bss->bssid,wpa_s->current_ssid,
try_opportunistic) == 0){
// 设置eapol_sm的cached_pmk为1(由该函数第二个参数决定),表示要使用pmksa
eapol_sm_notify_pmkid_attempt(wpa_s->eapol, 1);
}
wpa_ie_len = sizeof(wpa_ie);
/*
wpa_supplicant_set_suites函数比较繁琐,其目的是生成一个用于关联请求的IE信息。
这些信息包括:group_cipher、pairwise_cipher、key_mgmt。信息的选择需要考虑AP的情况,
即图4-34中AP包含的RSN和WPA IE。最终的选择如下:
proto=WPA_PROTO_RSN、group_cipher=pairwise_cipher=WPA_CIPHER_CCMP
key_mgmt=WPA_KEY_MGMT_PSK
感兴趣的读者不妨自行阅读wpa_supplicant_set_suites。
*/
if (wpa_supplicant_set_suites(wpa_s, bss, ssid,wpa_ie, &wpa_ie_len)) {......}
} else if (wpa_key_mgmt_wpa_any(ssid->key_mgmt)) {
......
#ifdef CONFIG_WPS
.......// WPS处理
#endif /* CONFIG_WPS */
} else {......}
......// P2P和interworking相关的处理
// 清除wlan driver中的key设置
wpa_clear_keys(wpa_s, bss ? bss->bssid : NULL);
use_crypt = 1;
/*
将WPAS中定义的数据类型转换成driver wrapper使用的数据类型。例如,WPAS使用WPA_CIPHER_CCMP,
而driver wrapper对应的值为CIPHER_CCMP。
*/
cipher_pairwise = cipher_suite2driver(wpa_s->pairwise_cipher);
cipher_group = cipher_suite2driver(wpa_s->group_cipher);
if (wpa_s->key_mgmt == WPA_KEY_MGMT_NONE ||
wpa_s->key_mgmt == WPA_KEY_MGMT_IEEE8021X_NO_WPA) {......}
if (wpa_s->key_mgmt == WPA_KEY_MGMT_WPS) use_crypt = 0;
#ifdef IEEE8021X_EAPOL
if (wpa_s->key_mgmt == WPA_KEY_MGMT_IEEE8021X_NO_WPA) {
......// 选择单播和组播数据加密方法}
#endif /* IEEE8021X_EAPOL */
if (wpa_s->key_mgmt == WPA_KEY_MGMT_WPA_NONE) {......}
// 设置wpa_sm的状态为WPA_ASSOCIATING
wpa_supplicant_set_state(wpa_s, WPA_ASSOCIATING);
}
}
~~~
这段代码主要是根据AP的情况选择合适的加密方法及认证方法。虽然目的很简单,但判断条件以及相关函数却比较烦琐,而且还有相当一部分代码是针对P2P、WPS等不同情况的处理。建议读者先了解其目的,以后根据工作需要再来研读其中的细节。
**3、wpa_supplicant_associate分析之三**
下面来看wpa_supplicant_associate最后一段代码。
**wpa_supplicant.c::wpa_supplicant_associate代码段三**
~~~
......// 接代码段二
if (bss) { // 填充struct wpa_driver_associate_params中的信息
params.ssid = bss->ssid;
params.ssid_len = bss->ssid_len;
if (!wpas_driver_bss_selection(wpa_s)) {
params.bssid = bss->bssid;
params.freq = bss->freq;
}
}......// 其他处理
// 填充参数
params.wpa_ie = wpa_ie; params.wpa_ie_len = wpa_ie_len;
params.pairwise_suite = cipher_pairwise; params.group_suite = cipher_group;
params.key_mgmt_suite = key_mgmt2driver(wpa_s->key_mgmt);
params.wpa_proto = wpa_s->wpa_proto;params.auth_alg = algs;
params.mode = ssid->mode;
for (i = 0; i < NUM_WEP_KEYS; i++) {......// 设置wep key相关信息}
params.wep_tx_keyidx = ssid->wep_tx_keyidx;
......
/*
设置wlan driver是否丢弃未加密数据包。注意,在通过RSN身份验证前,EAPOL 4-Way Handshake等
EAPOL数据是没有加密的,所以这个变量只针对非EAPOL/EAP数据包。本例中use_crpyt为1。
*/
params.drop_unencrypted = use_crypt;
#ifdef CONFIG_IEEE80211W
......// 802.11w相关
#endif /* CONFIG_IEEE80211W */
params.p2p = ssid->p2p_group;
/*
uapsd为Unscheduled Automatic Power Save Delivery的缩写,也称为WMM power save,
属于WFA定义的一种标准,和节电有关。
*/
if (wpa_s->parent->set_sta_uapsd)
params.uapsd = wpa_s->parent->sta_uapsd;
else
params.uapsd = -1;
#ifdef ANDROID_P2P
......// P2P相关
#endif
// 调用driver interface的associate函数以发起关联请求。该函数非常重要,下一节介绍
ret = wpa_drv_associate(wpa_s, ¶ms);
if (ret < 0) {......// 错误处理}
if (wpa_s->key_mgmt == WPA_KEY_MGMT_WPA_NONE) {......// 其他处理
#ifdef CONFIG_IBSS_RSN
} else if (......) {......// IBSS相关
#endif /* CONFIG_IBSS_RSN */
} else {
int timeout = 60;// 设置一个超时时间,身份认证必须在60秒内完成
if (assoc_failed) timeout = ssid->mode == WPAS_MODE_IBSS ? 10 : 5;
else if (wpa_s->conf->ap_scan == 1) // 对本例而言,timeout最终取值为10秒
timeout = ssid->mode == WPAS_MODE_IBSS ? 20 : 10;
// 设置一个超时任务:对应函数为wpa_supplicant_timeout,用于处理身份认证超时的情况
wpa_supplicant_req_auth_timeout(wpa_s, timeout, 0);
}
......
if (wpa_s->current_ssid && wpa_s->current_ssid != ssid)
eapol_sm_invalidate_cached_session(wpa_s->eapol);// 设置上一次eapol session无效
old_ssid = wpa_s->current_ssid;
wpa_s->current_ssid = ssid;// 设置wpa_supplicant对象的current_ssid和current_bss变量
wpa_s->current_bss = bss;
// 下面这个函数实际上是将加密/身份验证信息设置到wpa_sm对应的变量中去
wpa_supplicant_rsn_supp_set_config(wpa_s, wpa_s->current_ssid);
// 配置eapol sm和eap sm。其中:portControl被置为AUTO
// eapSuccess=altAccept=eapFail=altReject=FALSE。这个过程没有状态发生变化
wpa_supplicant_initiate_eapol(wpa_s);
if (old_ssid != wpa_s->current_ssid)
wpas_notify_network_changed(wpa_s);
}
~~~
至此,wpa_supplicant_associate函数就分析完毕。读者如果还记得第3章关于STA加入AP的步骤的话,可能会有一些疑惑。STA加入AP的顺序是先发送Authentication请求,然后再发送Association请求。但此处仅调用了wpa_drv_associate函数,似乎忽略了Authentication这一步。该问题的回答将放在下一节,直接来看driver nl80211对应的wpa_driver_nl80211_associate函数。
**4、wpa_driver_nl80211_associate函数分析**
代码如下所示。
**driver_nl80211.c::wpa_driver_nl80211_associate**
~~~
static int wpa_driver_nl80211_associate(void *priv,
struct wpa_driver_associate_params *params)
{
struct i802_bss *bss = priv;
struct wpa_driver_nl80211_data *drv = bss->drv;
int ret = -1; struct nl_msg *msg;
// 处理AP和IBSS的情况
if (params->mode == IEEE80211_MODE_AP) return wpa_driver_nl80211_ap(drv, params);
if (params->mode == IEEE80211_MODE_IBSS)
return wpa_driver_nl80211_ibss(drv, params);
// 目前大部分手机不支持WPA_DRIVER_FLAGS_SME
if (!(drv->capa.flags & WPA_DRIVER_FLAGS_SME)) {
enum nl80211_iftype nlmode = params->p2p ? // 本例对应的是非p2p情况
NL80211_IFTYPE_P2P_CLIENT : NL80211_IFTYPE_STATION;
// 设置设备类型,可参考4.3.4节wpa_driver_nl80211_finish_drv_init函数分析
if (wpa_driver_nl80211_set_mode(priv, nlmode) < 0) return -1;
return wpa_driver_nl80211_connect(drv, params);
}
/*
注意:根据第3章对STA加入AP操作的描述,STA需要首先发送authentication请求,然后再发送
association请求。在“wpa_supplicant_associate分析之一”中,有一个sme_authenticate
函数,它将发起authentication请求。对于不支持SME的wlan driver来说,WPAS只要向wlan driver
发送connect命令即可完成association和authentication这两步。这种实现方式和wlan driver
以及cfg80211有关。本书不拟对此展开详细讨论。读者可在wpa_supplicant官方源码中利用
"git log a8c5b43a"命令查看相关信息。
*/
......// 对于支持SME的wlan driver,则需要发送NL80211_CMD_ASSOCIATE命令
}
~~~
来看wpa_driver_nl80211_connect函数,其代码如下所示。
**driver_nl80211.c::wpa_driver_nl80211_connect**
~~~
static int wpa_driver_nl80211_connect(struct wpa_driver_nl80211_data *drv,
struct wpa_driver_associate_params *params)
{
struct nl_msg *msg; enum nl80211_auth_type type;
int ret = 0; int algs;
msg = nlmsg_alloc();
nl80211_cmd(drv, msg, 0, NL80211_CMD_CONNECT);// 构造一个NL80211_CMD_CONNECT命令
NLA_PUT_U32(msg, NL80211_ATTR_IFINDEX, drv->ifindex);// 设置本次命令对应的网络接口
// 设备索引号填充bssid信息
if (params->bssid) NLA_PUT(msg, NL80211_ATTR_MAC, ETH_ALEN, params->bssid);
if (params->freq) {......// 填充频率信息}
if (params->ssid) {// 填充ssid信息
NLA_PUT(msg, NL80211_ATTR_SSID, params->ssid_len,params->ssid);
os_memcpy(drv->ssid, params->ssid, params->ssid_len);// 将ssid信息保存起来
drv->ssid_len = params->ssid_len;
}
......
if (params->pairwise_suite != CIPHER_NONE) {
......// 处理pairwise_cipher取值情况
NLA_PUT_U32(msg, NL80211_ATTR_CIPHER_SUITES_PAIRWISE, cipher);
}
......// 其他各项参数处理
// 向wlan driver发送NL80211_CMD_CONNECT命令
ret = send_and_recv_msgs(drv, msg, NULL, NULL);
msg = NULL;
if (ret) {......// 错误处理}
ret = 0;
......
return ret;
}
}
~~~
至此,WPAS就把CONNECT请求发给了驱动,驱动将完成Authentication帧和Association Request帧的处理。和scan请求类似,关联无线网络处理流程主要是为了填充一个wpa_driver_associate_params类型的对象。不过该对象中各个参数的设置颇有来头,需要对802.11规范有相当了解才可以做到正确无误。
**5、关联无线网络处理流程总结**
来看一下关联无线网络处理流程所涉及的几个重要函数调用,如图4-35所示。
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/b109119433112f6d115efd32c8e0a0c3_755x627.jpg)
图4-35 wpa_supplicant_connect流程
图4-35中最复杂的就是wpa_supplicant_associate函数,希望读者能结合代码进行阅读。
WPAS成功调用wpa_supplicant_associate后,将等待NL80211_CMD_CONNECT命令的处理结果。该结果由wlan driver通过NL80211_CMD_CONNECT类型的消息返回给driver wrapper。
下面一节将分析WPAS如何处理该消息。
#### **四、关联事件处理流程分析**
结合上节所述内容,WPAS中的driver wrapper将收到来自wlan driver的NL80211_CMD_CONNECT命令,其对应的处理代码如下所示。
**driver_nl80211.c::do_process_drv_event**
~~~
static void do_process_drv_event(struct wpa_driver_nl80211_data *drv, int cmd,
struct nlattr **tb)
{
// 曾在4.5.3节“扫描结果处理流程分析”中见过该函数处理NL80211_CMD_NEW_SCAN_RESULTS
......
switch (cmd) {
......
case NL80211_CMD_CONNECT:// wlan driver返回该命令的处理结果
case NL80211_CMD_ROAM:
/*
调用mlme_event_connect进行处理,其中NL80211_ATTR_STATUS_CODE属性保存了AP的处理结果
(即Association请求的处理结果)、NL80211_ATTR_MAC属性保存了AP的MAC地址(就是bssid)、
NL80211_ATTR_REQ_IE属性保存了Association Request请求时包含的IE(STA发送的IE)、
NL80211_ATTR_RESP_IE属性保存了Association Response帧包含的IE信息(AP发送的IE)。
*/
mlme_event_connect(drv, cmd, tb[NL80211_ATTR_STATUS_CODE],
tb[NL80211_ATTR_MAC], tb[NL80211_ATTR_REQ_IE], tb[NL80211_ATTR_RESP_IE]);
......
}
}
~~~
当wlan driver返回NL80211_CMD_CONNECT命令时,其真正的处理函数实际上是mlme_event_connect,此函数代码如下所示。
**driver_nl80211.c::mlme_event_connect**
~~~
static void mlme_event_connect(struct wpa_driver_nl80211_data *drv,
enum nl80211_commands cmd, struct nlattr *status, struct nlattr *addr,
struct nlattr *req_ie,struct nlattr *resp_ie)
{
/*
driver wrapper通知WPAS其他模块时候使用的事件类型。我们曾在4.5.3节“扫描结果处理流程分析”
中对send_scan_event函数分析时见过。
*/
union wpa_event_data event;
if (drv->capa.flags & WPA_DRIVER_FLAGS_SME) {......// wlan driver支持SME时的处理}
os_memset(&event, 0, sizeof(event));
if (cmd == NL80211_CMD_CONNECT && nla_get_u16(status) != WLAN_STATUS_SUCCESS) {
......// 关联AP失败的处理
wpa_supplicant_event(drv->ctx, EVENT_ASSOC_REJECT, &event);
return;
}
drv->associated = 1;
if (addr)// 保存bssid
os_memcpy(drv->bssid, nla_data(addr), ETH_ALEN);// 保存bssid信息
if (req_ie) {// 保存Association Request ie信息
event.assoc_info.req_ies = nla_data(req_ie);
event.assoc_info.req_ies_len = nla_len(req_ie);
}
if (resp_ie) {// 保存Association Response ie信息
event.assoc_info.resp_ies = nla_data(resp_ie);
event.assoc_info.resp_ies_len = nla_len(resp_ie);
}
// 通过发送NL80211_GET_SCAN命令获取STA的工作频率
event.assoc_info.freq = nl80211_get_assoc_freq(drv);
// 重要函数,见下文分析
wpa_supplicant_event(drv->ctx, EVENT_ASSOC, &event);
}
~~~
wpa_supplicant_event中处理EVENT_ASSOC消息的是wpa_supplicant_event_assoc,下面将分段介绍它。
**1、wpa_supplicant_event_assoc分析之一**
代码如下所示。
**events.c::wpa_supplicant_event_assoc代码段一**
~~~
static void wpa_supplicant_event_assoc(struct wpa_supplicant *wpa_s,
union wpa_event_data *data)
{
u8 bssid[ETH_ALEN]; int ft_completed;
int bssid_changed; struct wpa_driver_capa capa;
......// CONFIG_AP处理
// 判断Fast Transition是否完成,由于本例没有设置CONFIG_80211R宏,所以下面这个函数返回0
ft_completed = wpa_ft_is_completed(wpa_s->wpa);
/*
在4.5.3节“wpa_supplicant_associate分析之一”中,wpa_supplicant对象的assoc_wpa_ie
被清空。此处需要保存这些IE信息。wpa_supplicant_event_associnfo比较烦琐,主要是更新RSN/WPA
IE信息,请感兴趣的读者自行阅读。
*/
if (data && wpa_supplicant_event_associnfo(wpa_s, data) < 0) return;
wpa_supplicant_set_state(wpa_s, WPA_ASSOCIATED);// 设置wpa_sm装为WPA_ASSOCIATED
// 从driver wrapper中获得bssid信息
if (wpa_drv_get_bssid(wpa_s,bssid)>=0&&os_memcmp(bssid,wpa_s->bssid,ETH_ALEN)!=0){
random_add_randomness(bssid, ETH_ALEN); // 和随机数相关
bssid_changed = os_memcmp(wpa_s->bssid, bssid, ETH_ALEN);
os_memcpy(wpa_s->bssid, bssid, ETH_ALEN); // 设置bssid
os_memset(wpa_s->pending_bssid, 0, ETH_ALEN); // 清空pending_bssid
if (bssid_changed)
wpas_notify_bssid_changed(wpa_s);
// 和动态WEP Key有关,本书不讨论
if (wpa_supplicant_dynamic_keys(wpa_s)&&!ft_completed)wpa_clear_keys(wpa_s, bssid);
/*
就本例而言(ap_scan为1,并且current_ssid不为空),下面这个函数作用不大。对其他情况而言,
该函数负责的工作我们在前面都见识过了。
*/
if (wpa_supplicant_select_config(wpa_s) < 0) {......// 错误处理}
/*
这个if条件对应的代码段让笔者非常困惑,因为在4.5.3节“wpa_supplicant_associate
分析之三”的最后已经为wpa_s->current_bss赋值了。此处为何又再赋值?通过笔者实测,bss
和current_bss的值是相同的。添加这段代码的人也没有说明为什么(读者不妨参考“git show
8f770587”命令的结果)。有知晓其来龙去脉的读者不妨和大家分享相关知识。
*/
if (wpa_s->current_ssid) {
struct wpa_bss *bss = NULL;
bss = wpa_supplicant_get_new_bss(wpa_s, bssid);
if (!bss) {
wpa_supplicant_update_scan_results(wpa_s);
bss = wpa_supplicant_get_new_bss(wpa_s, bssid);
}
if (bss)
wpa_s->current_bss = bss;
}
if (wpa_s->conf->ap_scan==1&&wpa_s->drv_flags&WPA_DRIVER_FLAGS_BSS_SELECTION){
......// wlan driver支持BSS SELECTION功能时对应的处理
}
}
~~~
wpa_supplicant_event_assoc函数的历史比较悠久(根据git commit信息,它从0.6.3版本开始就存在。而实际历史可能还要更久,因为WPAS从0.6.3版本后才开始使用git来管理代码)。在笔者研究的WPAS相关代码中,wpa_supplicant_event_assoc函数算是相当复杂的了。其中一个主要原因是该函数内部有很多细节需要考虑,有些细节甚至是为了解决某个bug。对于初学者而言,笔者建议可只关注该函数涉及的主要流程。
**2、wpa_supplicant_event_assoc分析之二**
接下来分析该函数最后一段代码。
**events.c::wpa_supplicant_event_assoc代码段二**
~~~
......// 接代码段一
#ifdef CONFIG_SME
......// 支持SME的情况
#endif /* CONFIG_SME */
if (wpa_s->current_ssid) {
/*
初始化SIM/USIM卡。根据代码中的注释:在ap_scan为1的情况下,该函数在此之前就被调用过。
而其他情况下,需要在此处调用它。在4.5.3节关联无线网络处理流程分析中见过此函数。
*/
wpa_supplicant_scard_init(wpa_s, wpa_s->current_ssid);
}
wpa_sm_notify_assoc(wpa_s->wpa, bssid);
// 初始化wpa_sm中和后续EAPOL-Key交换相关联的变量
/*
wpa_s->l2在4.3.4节wpa_supplicant_driver_init函数分析中通过l2_packet_init函数调用被赋值。
所以下面这个if条件为真。对Linux平台来说,l2_packet_notify_auth_start
实际上是一个空函数。
*/
if (wpa_s->l2) l2_packet_notify_auth_start(wpa_s->l2);
if (!ft_completed) {// 设置EAPOL相关外部变量
eapol_sm_notify_portEnabled(wpa_s->eapol, FALSE);
eapol_sm_notify_portValid(wpa_s->eapol, FALSE);
}
// 本例采用的就是WPA-PSK认证算法
if (wpa_key_mgmt_wpa_psk(wpa_s->key_mgmt) || ft_completed)
eapol_sm_notify_eap_success(wpa_s->eapol, FALSE);
// 设置EAPOL模块中的portEnabled为TRUE,将状态机一系列动作。详情见下文
eapol_sm_notify_portEnabled(wpa_s->eapol, TRUE);
wpa_s->eapol_received = 0;
if (......){......}
} else if (!ft_completed) {
wpa_supplicant_req_auth_timeout(wpa_s, 10, 0);// 重新注册一个认证超时任务
}
wpa_supplicant_cancel_scan(wpa_s);// 取消scan任务
......// 处理wlan driver支持WPA_DRIVER_FLAGS_4WAY_HANDSHAKE功能以及ft_complete为1时的情况
if (wpa_s->pending_eapol_rx) {
/*
pending_eapol_rx变量对应如下的应用场景。
有时候在WPAS收到来自wlan driver的EVENT_ASSOC事件之前(即wpa_supplicant_event_
assoc被调用之前),AP就发送EAPOL消息过来(后文会分析相关代码)以触发认证流程。而由于
WPAS还未处理EVENT_ASSOC事件。所以,EAPOL消息会先保存到pending_eapol_rx中,直到
wpa_supplicant_event_assoc函数中再来处理(即收到了EVENT_ASSOC事件)。笔者测试过
程中发现有些AP会出现这种情况。
*/
}
......// WEP的情况
......// IBSS的情况
}
~~~
wpa_supplicant_event_assoc函数终于分析完毕。正如上一节最后所提到的那样,该函数实际上非常复杂,细节内容很难在本章篇幅内一一覆盖。同时,对初学者来说,流程比细节更重要,所以可先略过这些细节。
上述代码中,eapol_sm_notify_portEnabled被调用以设置portEnable为TRUE。EAPOL模块包含众多SM,它们是否会因为这个变量的变化而随之发生状态改变呢?来看下节。
**3、eapol_sm_notify_portEnabled函数**
eapol_sm_notify_portEnabled的代码如下所示。
**eapol_supp_sm.c::eapol_sm_notify_portEnabled**
~~~
void eapol_sm_notify_portEnabled struct eapol_sm *sm, Boolean enabled)
{
......
sm->portEnabled= enabled;// 设置portEnabled变量为TRUE
eapol_sm_step(sm); // 状态机联动。这部分代码在4.4.2节介绍“状态机联动”时出现过
}
~~~
eapol_sm_step将依次更新SUPP_PAE、KEY_RX、SUPP_BE和EAP_SM状态信息。在该函数
执行之前,这四个状态机的状态依次如下。
* SUPP_PAE为DISCONNECTED状态;
* KEY_RX为NO_KEY_RECEIVE状态;
* SUPP_BE为IDLE状态;
* EAP_SM为DISABLED状态。
根据代码(eapol_supp_sm.c中SM_STEP(SUPP_PAE))以及图4-28可知,SUPP_PAE下一个要进入的状态是CONNECTING,其EA(Entry Aciton)代码如下。
**eapol_supp_sm.c::SM_STATE(SUPP_PAE,CONNECTING)**
~~~
SM_STATE(SUPP_PAE, CONNECTING)
{
// SUPP_PAE_state此时的值为SUPP_PAE_DISCONNECTED,故send_start为0
int send_start = sm->SUPP_PAE_state == SUPP_PAE_CONNECTING;
SM_ENTRY(SUPP_PAE, CONNECTING);
if (send_start) {
sm->startWhen = sm->startPeriod;
sm->startCount++;
} else {
#ifdef CONFIG_WPS
sm->startWhen = 1;
#else /* CONFIG_WPS */
sm->startWhen = 3; // 设置startWhen值为3
#endif /* CONFIG_WPS */
}
eapol_enable_timer_tick(sm); // 使能Port Timers SM
sm->eapolEap = FALSE;
if (send_start) eapol_sm_txStart(sm); // 发送EAPOL Start包。此时该函数不会被调用
}
~~~
读者可参考代码以及状态机示意图以了解其他状态机的切换。该函数执行完毕后,各个状态机的变化如下。
* SUPP_PAE进入CONNECTING状态;
* KEY_RX不变(NO_KEY_RECEIVE);
* SUPP_BE进入IDLE状态;
* EAP_SM不变(DISABLED状态)。
>[info] 注意 根据图4-21关于EAP SUPP_SM的描述,当portEnabled值为TRUE时,应该从DISABLED状态切换至INITIALIZE状态。不过,在4.5.3节“wpa_supplicant_associate分析之三”中曾调用过wpa_supplicant_initiate_eapol函数。在该函数中,由于本例使用的认证算法是WPA-PSK,所以force_disabled变量为TRUE,导致EAP SUPP SM不能转换至INITIALIZE状态。(参考eap.c::SM_STEP(EAP)函数中第一个else if判断。)
**4、关联事件处理流程总结**
关联事件处理流程中涉及的重要函数调用如图4-36所示。注意,wpa_supplicant_event_assoc中略去了部分细节代码。请读者清楚图中的几个重要函数后,再根据本节所述内容研究这些细节。
至此,WPAS已经和目标AP完成了Association操作,接来下将进入802.1X身份认证流程。根据图3-44所示,接下来的工作将是4-Way Handshake和Group Key Handshake的处理。
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/fcab68223bd2edcdc2060657b1345c8f_863x635.jpg)
图4-36 NL80211_CMD_CONNECT处理流程
#### **五、EAPOL-Key交换流程分析**
对本例而言,本节所说的EAPOL-Key交换包括4-Way Handshake和Group Key Handshake过程(注意,由于采用的是PSK认证方式,故本节分析的交互流程将不涉及STA和AuthenticatorServer开展的身份认证的流程)。
首先发起的是4-Way Handshake Key交换。对于WPA-PSK认证方法来说,STA不会发送EAPOL-Start消息给AP。根据笔者的测试,完成关联操作后,Galaxy Note 2会发送一个Null function(没有实际数据)的数据包给AP(如图4-37所示),而AP接收到该消息后发现STA还未通过认证,所以它就会被触发以开始4-Way Handshake流程(参考图3-46的左图)。
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/34126d6f53ad3edf809432d410cdaecf_903x152.jpg)
图4-37 Null function数据包
由图4-37可知,Galaxy Note 2向AP发送一个Null function数据包后,AP就开始了4-Way Handshake流程。它首先发送一个EAPOL帧给STA(图4-37中"Message 1 of 4"这一项)。我们在4.3.4节的最后曾提到l2_packet模块(参考图4-1)用来接收PACKET类型socket数据的函数是wpa_supplicant_rx_eapol。实际上,该函数就是WPAS中用来接收EAP/EAPOL数据包的。所以,wpa_supplicant_rx_eapol将处理AP发送过来的EAPOL帧。马上来看此函数,代码如下所示。
**wpa_supplicant.c::wpa_supplicant_rx_eapol**
~~~
void wpa_supplicant_rx_eapol(void *ctx, const u8 *src_addr,
const u8 *buf, size_t len)
{
struct wpa_supplicant *wpa_s = ctx;
/*
读者还记得4.5.3节“wpa_supplicant_event_assoc分析之二”最后关于pending_eapol_rx
的解释吗?当wpa_state状态不为WPA_ASSOCIATED的时候,如果收到AP发来的数据包,则先保存
起来,然后留待wpa_supplicant_event_assoc中去处理。
*/
if (wpa_s->wpa_state < WPA_ASSOCIATED) {
wpabuf_free(wpa_s->pending_eapol_rx);
wpa_s->pending_eapol_rx = wpabuf_alloc_copy(buf, len);// 复制数据
if (wpa_s->pending_eapol_rx) {
os_get_time(&wpa_s->pending_eapol_rx_time);
os_memcpy(wpa_s->pending_eapol_rx_src, src_addr,ETH_ALEN);
}
return;
}
......// CONFIG_AP处理
if (wpa_s->key_mgmt == WPA_KEY_MGMT_NONE) { return; }
/*
eapol_received用于记录收到的EAPOL/EAP包个数。初次进来,需要设置认证超时任务(这个
任务已经设置过多次了,不过wpa_supplicant_req_auth_timeout会先取消上一次设置的认证超时
任务,然后再设置新的)。
*/
if (wpa_s->eapol_received == 0 &&
(!(wpa_s->drv_flags & WPA_DRIVER_FLAGS_4WAY_HANDSHAKE) ||
!wpa_key_mgmt_wpa_psk(wpa_s->key_mgmt) || wpa_s->wpa_state != WPA_COMPLETED) &&
(wpa_s->current_ssid == NULL || wpa_s->current_ssid->mode != IEEE80211_MODE_IBSS)
) {
wpa_supplicant_req_auth_timeout(wpa_s,
(wpa_key_mgmt_wpa_ieee8021x(wpa_s->key_mgmt) ||
wpa_s->key_mgmt == WPA_KEY_MGMT_IEEE8021X_NO_WPA ||
wpa_s->key_mgmt == WPA_KEY_MGMT_WPS) ? 70 : 10, 0);
}
wpa_s->eapol_received++;
if (wpa_s->countermeasures) { return; }
......// CONFIG_IBSS_RSN处理
os_memcpy(wpa_s->last_eapol_src, src_addr, ETH_ALEN);
/*
对于非PSK认证方法(如802.1X认证),EAPOL/EAP帧由eapol_sm_rx_eapol进行处理。
另外,与四次握手和组播密钥交换相关的EAPOL-Key帧也不在eapol_sm_rx_eapol中处理。
*/
if (!wpa_key_mgmt_wpa_psk(wpa_s->key_mgmt) &&
eapol_sm_rx_eapol(wpa_s->eapol, src_addr, buf, len) > 0) return;
/*
driver_nl80211没有实现poll函数。该函数的目的是为了从驱动中获取Association过程中涉及
的IE信息对于nl80211来说,关联完成后,我们就已经收到了这些信息,所以不需要再次获取它们了。
*/
wpa_drv_poll(wpa_s);
if (!(wpa_s->drv_flags & WPA_DRIVER_FLAGS_4WAY_HANDSHAKE))
wpa_sm_rx_eapol(wpa_s->wpa, src_addr, buf, len);// 关键函数。见下文分析
else if (wpa_key_mgmt_wpa_ieee8021x(wpa_s->key_mgmt)) {
eapol_sm_notify_portValid(wpa_s->eapol, TRUE);
}
}
~~~
wpa_sm_rx_eapol是本节的重点。在介绍之前,先来介绍EAPOL-Key交换的背景知识。一方面对3.3.7节RSNA介绍的补充,另一方面该背景知识对我们理解wpa_sm_rx_eapol函数也有重要帮助。
**1、背景知识介绍[22][23]**
由3.3.7节可知,RSNA过程中有两组Key需要交换和派生。
* PTK(Pairwise Transient Key,成对临时密钥)用于加解密单播数据。它从PMK(Pairwise Master Key)派生(derive)而来。对于SOHO网络环境来说,PMK就是PSK。它由用户设置的passphrase扩展而来(请读者参考4.5.2节中wpa_config_update_psk)。AP和STA需要通过4-Way Handshake协议交换和派生PTK。
* GTK(Group Transient Key,组临时密钥)用于加解密组播数据。它由GMK(Group MasterKey,其来源由AP或Authenticator Server决定)派生而来。AP和STA通过Group Key Handshake协议交换和派生GTK。Group Key Handshake必须在完成4-Way Handshake之后才能开展。
提示 Group Key Handshake对应的场景比较特殊。对组播数据而言,AP和所有和它关联的STA使用同一个GTK。不过,如果中途有STA离开(取消和AP的关联)的话,从安全角度考虑,AP和剩下的STA之间最好更换一个新的GTK。AP将根据情况来触发Group Key Handshake流程。另外,AP可通过4-Way Handshake告知STA其当前使用的GTK。这种情况下,AP和STA之间
无须开展Group Key Handshake流程。
下面,通过实例来介绍4-Way Handshake涉及的四次帧交换以及其中包含的数据信息。
* 第一个EAPOL-Key帧(以后简称Message A)由AP发送给STA,其内容如图4-38所示。Key Descriptor Type及以下的内容属于Key Descriptor。Key Descriptor用来描述EAPOL-Key帧的Key信息,由多个字段组成。
* 第一个字段是Key Descriptor Type,目前取值有三个,分别是RC4、WPA和RSN(即WPA2),802.11中可使用后两个。
* Key Information字段(2字节)包含多个标志位。下文将一一介绍它们。
* Key Length字段(2字节)表示PTK密钥的长度。对CCMP来说,它是16字节(128位),而对TKIP来说,其长度是32字节(256位)。读者可参考图3-47中的CCMP-TK、TKIP-TK和TKIP-MIC Key。CCMP和TKIP长度不一致的原因是CCMP可用一个Key完成数据加解密和MIC校验,而TKIP使用不同的Key来完成加解密以及MIC校验。
* Replay Counter字段(8字节)和防止重放攻击有关。一个简单的应用场景为STA之前收到过Replay Counter为1的包。假如它又收到一个Replay Counter为0的包,则认为发生了重放攻击,STA将丢弃Replay Counter为0的包。对Message A来说,该值必须为0。
* Key Nonce字段(32字节)用于存储Nonce值。对Message A来说,此Nonce值由AP生成,所以也叫ANonce。
* Key IV字段(16字节)表示初始向量,用于Key生成。Message A中该字段为全0。
* Key RSC字段(8字节)是Key Receive Sequence Counter的缩写,也和重放攻击有关。该字段用于四次握手的第三帧以及组播Key握手的第一帧中。
* Key ID字段(8字节)对WPA/RSN来说,该字段未使用。
* Key MIC字段(可变字节长度)表示存储MIC数据,其长度和具体的算法有关。笔者查询了802.11文档[22],规范中列出的几种算法对应的MIC长度都是16字节。
* Key Data Length字段(2字节)表示Key Data长度。图4-38没有携带Key Data,所以该项为0。如果该项不为0,Key Descriptor还将在Key Data Length后添加一个"Key Data"项。
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/7682e5b921c82615bf20992dd6426bc0_887x532.jpg)
图4-38 Message A的内容
图4-38中,Key Information字段的内容如图4-39所示。
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/c836a906a12d8f3c27314d27646409f6_1226x148.jpg)
图4-39 Key Information字段
如图4-39所示:
* Key Descriptor Version:用于指示Key Descriptor的版本号。当值为2时,表示Key Descriptor的Key Data用AES加密,而Key MIC由HMAC-SHA1算法计算而来。
* Key Type:值为1,表示该帧用于PTK派生,值为0表示该帧用于GTK派生。
* Reserved:该字段必须为0(图4-38中,该字段也被称为Key Index)。
* Install:当Key Type为1时,Install值为1表示STA需要安装PTK(将PTK传给驱动,下文源码分析时将看到相关函数)。Key Type为0时,Install必须为0。
* Key ACK:AP发送EAPOL-Key帧给STA时,如果需要STA发送回复数据,则设置其为1。
* Key MIC:如果EAPOL-Key帧包含MIC信息,其值被设为1,否则为0。
* Secure:当STA或AP派生出了PTK或GTK后,STA或AP发出的EAPOL-Key帧将该值设为1。
* Error:使用TKIP时,如果STA检查到MIC错误,则设置该值为1。对于其他情况下的MIC错误,该值和Request都必须被设为1。
* Request:STA请求AP发起4-Way Handshake(Key Type同时被设为1)或者Group KeyHandshake(Key Type同时被设为0)流程时,其值被设为1。或者和Error都被设为1以报告MIC错误。
* Encrypted Key Data:表示Key Data是否加密。
* SMK:Station-to-station link Master Key的缩写,是另外一种Key交换协议。本书不讨论。同上述介绍,相信读者对Key Descriptor有了一定的了解。现在马上来介绍四次握手协议中每个EAPOL-Key帧所包含的内容以及接收方的处理逻辑。
Message A由AP发送给STA,其内容如下。
* Key Info:Error位为0,因为这是第一帧数据。Secure位为0表示该帧没有加密的数据。KeyMIC为0表示该帧不包含MIC数据。Key ACK位为1表示AP要求STA回复此帧。Key Install为0表示现在还无法安装PTK。Key Type设为1表示当前是Pairwise密钥派生。本例中,Key DescriptionVersion值为2。
* Replay Counter:本例中它被设为1。STA需要保存这个值以检测重放攻击。
* Key Nonce:AP生成的随机数,也叫ANonce。
* 由于本帧不包含Key信息,所以其他字段都设为0。
提醒 802.11规范中指出,Message A的Key Data可以携带PMKID信息(包含在RSN IE或其他厂商自定义的IE中)。不过本例中,Message A没有携带它。
STA收到Message A的处理逻辑如下。
1. 生成一个Nonce,也叫SNonce。
2. 派生PTK。
3. 构造第二个EAPOL-Key帧,称为Message B。
图4-40为Message B的截图。
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/594bb0bb52c62a2d69e992194b68d91b_812x700.jpg)
图4-40 Message B的内容
如图4-40所示:
* 由Key Info的设置可知该帧包括MIC数据(Key MIC位为1)。
* Replay Counter的值必须等于Message A中的Replay Counter。
* Key MIC是对整个EAPOL-Key帧进行计算而来,计算方法由Key Descriptor Version指定(图4-40中的HMAC-SHA1 MIC方法)。
* Key Data包含一个RSN Information Element。该RSN IE来自STA之前和AP在关联操作时获得的RSN IE。规范没有说明为何此处要包含RSN IE。不过[23]倒是有一句简单的说法。即为了防止STA中途更改安全参数。
* AP收到Message B的处理如下。
* 派生PTK。
* 检查Message B的MIC值是否正确。如果发现MIC错误,则丢弃(而且是silently)MessageB。
这种情况下,4-Way Handshake流程已经被中断。如果MIC正确,AP将构造第三个EAPOLKey 帧,此处称为Message C,其内容如图4-41所示。
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/5c1ba15657b10d789e7200580430ef0b_813x510.jpg)
图4-41 Message C的内容
由图4-41可知:
* Install为1,表示STA收到该帧后就可以安装PTK了。Secure为1表示AP已经派生了PTK。Encrpted Key Data为1,表示Key Data被加密了。
* Replay Counter为2,比前面的值增加1。
* Key Nonce值和Message A的一样。
* MIC对EAPOL-Key整个进行计算得来。
* Key IV为0。注意,如果Key Descriptor Version为2时,该字段必须为0。否则可以是其他随机数。
* Key Data由PTK加密后而来。其解密后的内容包括AP在Probe Response或Beacon帧包含RSN IE信息,另外还有可能包括GTK信息。如果有GTK的话,4-Way Handshake完毕后就无须开展Group Key Handshake流程。
STA收到Message C的处理如下。
1. 检查Replay Counter,计算MIC以及利用自己的PTK解密Key Data以获取RSN IE。
2. 如果Message C包含GTK信息,则取出GTK。注意,GTK以及和Key相关的信息存储在KDE(Key Data Element)的IE中。关于KDE和GTK的格式,请读者继续阅读下文。
3. 构造并发送最后一个EAPOL-Key帧,称为Message D。
4. 为Driver安装PTK。
Message D的内容如图4-42所示。由图可知,Replay Counter和Message C一样。MIC通过对EAPOL-Key整个进行计算得来。
AP收到Message D的处理如下。
1. 再次计算MIC,如果正确则为driver安装PTK。
2. 更新Replay Counter,如果以后需要更新Key,则使用一个不同的Replay Counter。
至此,4-Way Handshake成功完成,而AP和STA以后的单播数据将全部通过PTK进行加密。这就使得我们无法通过AirPcap解析Group Key Handshake数据包。关于Group Key Handshake的流程请看参考资料[22][23]。
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/6ff1124eb71d47031f2f145cf3b53825_961x578.jpg)
图4-42 Message D的内容
根据前文所述,AP在Message C中可以携带GTK信息。这样4-Way Handshake完毕后,STA无须开展Group Key Handshake。
> 注意 经过测试,有些AP每次在4-Way Handshake完毕后就发起Group Key Handshake,而有些AP在Message C中直接包含了GTK,这样就避免了Group Key Handshake。接下来的代码分析以后一种情况为目标。
另外,请注意图3-47,该图展示了PTK的组成。以CCMP为例,PTK包含三个部分,分别是KCK、KEK和TK。其中KCK用来处理MIC字段,KEK用来处理Key Data字段,而TK则用于握手协议完毕后的数据加密。
介绍完背景知识后,马上来研究wpa_sm_rx_eapol函数,它是不是遵守了规范所描述的流程呢?
**2、wpa_sm_rx_eapol函数**
在分析代码之前,先介绍两个重要的数据结构,如图4-43所示。
* struct ieee802_1x_hdr为EAPOL帧头信息。
* struct wpa_eapol_key为EAPOL-Key帧的数据信息。
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/caa2af82c68df61b356f111533830ebc_1087x404.jpg)
图4-43 EAPOL-Key帧对应的数据结构
wpa_sm_rx_eapol代码如下所示。
**wpa.c::wpa_sm_rx_eapol**
~~~
int wpa_sm_rx_eapol(struct wpa_sm *sm, const u8 *src_addr,
const u8 *buf, size_t len)
{
size_t plen, data_len, extra_len;
struct ieee802_1x_hdr *hdr; struct wpa_eapol_key *key;
u16 key_info, ver; u8 *tmp; int ret = -1;
struct wpa_peerkey *peerkey = NULL;
......// 参数检查
tmp = os_malloc(len); os_memcpy(tmp, buf, len);
hdr = (struct ieee802_1x_hdr *) tmp;
key = (struct wpa_eapol_key *) (hdr + 1);
plen = be_to_host16(hdr->length);
data_len = plen + sizeof(*hdr);
// 检查EAPOL-Key帧的类型
if (hdr->version < EAPOL_VERSION) { }
if (hdr->type != IEEE802_1X_TYPE_EAPOL_KEY)// 本函数只处理EAPOL-Key帧
{ ret = 0; goto out;}
if (key->type != EAPOL_KEY_TYPE_WPA && key->type != EAPOL_KEY_TYPE_RSN) {
ret = 0; goto out; // 只处理key类型为WPA和RSN的情况
}
/*
通知lowerLayerSuccess。该函数最后一个参数表示此次调用是否来自EAPOL模块内部,
由于wpa_sm_rx_eapol并非EAPOL模块内部,所以该参数为0。
*/
eapol_sm_notify_lower_layer_success(sm->eapol, 0);
// 取出Key Information字段,并保存到key_info变量中
key_info = WPA_GET_BE16(key->key_info);
ver = key_info & WPA_KEY_INFO_TYPE_MASK; // 获取key descriptor version
if (ver != WPA_KEY_INFO_TYPE_HMAC_MD5_RC4 && ver !=
WPA_KEY_INFO_TYPE_HMAC_SHA1_AES)
goto out; // 根据规范的要求做相应处理
......// CONFIG_IEEE80211R和CONFIG_IEEE80211W的处理
// 加密算法兼容性检查
if (sm->pairwise_cipher==WPA_CIPHER_CCMP&&ver!=
WPA_KEY_INFO_TYPE_HMAC_SHA1_AES){
// 下面这个if判断用于检查组播数据加密设置是否正确
if(sm->group_cipher!=WPA_CIPHER_CCMP&&!(key_info&WPA_KEY_INFO_KEY_TYPE)){
......// 打印一句兼容性警告
} else goto out;
}
......// CONFIG_PEERKEY处理。PeerKey对应peerkey handshake流程,它和IEEE802.11e DLS有关
// 检查Replay Counter,如果收到的Replay Counter比之前接收的值小,则丢弃该帧
if (!peerkey && sm->rx_replay_counter_set && os_memcmp(key->replay_counter,
sm->rx_replay_counter, WPA_REPLAY_COUNTER_LEN) <= 0) goto out;
// STA收到的EAPOL-Key帧必须设置ACK位或SMK位为1
if (!(key_info & (WPA_KEY_INFO_ACK | WPA_KEY_INFO_SMK_MESSAGE)) ) goto out;
// 只有STA向AP发送的EAPOL-Key帧才能设置Request位
if (key_info & WPA_KEY_INFO_REQUEST) goto out;
/*
MIC位不为0,则需要解析MIC数据。对STA来说,只有Message C会携带MIC信息。
wpa_supplicant_verify_eapol_key_mic比较简单,请读者自行阅读它。其功能是:STA
根据KCK计算MIC,然后将其和接收到的MIC进行比较。如果MIC值检查正常,则PTK正确。
*/
if ((key_info & WPA_KEY_INFO_MIC) && !peerkey &&
wpa_supplicant_verify_eapol_key_mic(sm, key, ver, tmp, data_len)) goto out;
extra_len = data_len - sizeof(*hdr) - sizeof(*key);
if (WPA_GET_BE16(key->key_data_length) > extra_len) goto out;// 参数检查
extra_len = WPA_GET_BE16(key->key_data_length);
// Encrpted Key Data位为1,表示该帧包含加密数据,需要利用KEK进行解密
// 该函数也比较简单,请读者自行阅读
if (sm->proto == WPA_PROTO_RSN && (key_info & WPA_KEY_INFO_ENCR_KEY_DATA)) {
if (wpa_supplicant_decrypt_key_data(sm, key, ver)) goto out;
extra_len = WPA_GET_BE16(key->key_data_length);
}
// Key Info Type值为1,表示为Pairwise Key。值为0表示Group Key
if (key_info & WPA_KEY_INFO_KEY_TYPE) {
if (key_info & WPA_KEY_INFO_KEY_INDEX_MASK) goto out;
if (peerkey) { peerkey_rx_eapol_4way(sm, peerkey, key, key_info, ver);
} else if (key_info & WPA_KEY_INFO_MIC) {// 对STA而言,只有Message C包含MIC信息
wpa_supplicant_process_3_of_4(sm, key, ver);// 处理Message C
} else {// 处理Message A
wpa_supplicant_process_1_of_4(sm, src_addr, key, ver);
}
} else if (key_info & WPA_KEY_INFO_SMK_MESSAGE) {// SMK的情况
peerkey_rx_eapol_smk(sm, src_addr, key, extra_len, key_info, ver);
} else {// Group Key Handshake处理
if (key_info & WPA_KEY_INFO_MIC) {// 组播密钥交换。本章不讨论此函数
wpa_supplicant_process_1_of_2(sm, src_addr, key,extra_len, ver);
} else ......// 打印一句警告
}
ret = 1;
out:
os_free(tmp);
return ret;
}
~~~
wpa_sm_rx_eapol的流程比较简单,就是先处理EAPOL-Key的基本信息(如计算MIC、解密Key Data),然后根据情况处理MessageA、Message C或者Group Key Handshake的Message 1。
由于本例不涉及Group Key Handshake流程,所以下面将介绍Message A及Message C的处理过程。
**3、wpa_supplicant_process_1_of_4函数**
wpa_supplicant_process_1_of_4用于处理Message A,其代码如下所示。
**wpa.c::wpa_supplicant_process_1_of_4**
~~~
static void wpa_supplicant_process_1_of_4(struct wpa_sm *sm,
const unsigned char *src_addr,
const struct wpa_eapol_key *key, u16 ver)
{
struct wpa_eapol_ie_parse ie; struct wpa_ptk *ptk;
u8 buf[8]; int res;
if (wpa_sm_get_network_ctx(sm) == NULL) {......// 错误处理}
wpa_sm_set_state(sm, WPA_4WAY_HANDSHAKE); // 设置状态为WPA_4WAY_HANDSHAKE
os_memset(&ie, 0, sizeof(ie));
#ifndef CONFIG_NO_WPA2
if (sm->proto == WPA_PROTO_RSN) {
const u8 *_buf = (const u8 *) (key + 1);// buf中是已经解密的Key Data数据
size_t len = WPA_GET_BE16(key->key_data_length);
// 解析Message A中包含的RSN信息。对本例而言,Message A中没有RSN信息
if (wpa_supplicant_parse_ies(_buf, len, &ie) < 0) goto failed;
}
#endif /* CONFIG_NO_WPA2 */
// 如果根据RSN IE中的pmkid判断是否有PMKSA缓存项。本例没有RSN IE,所以不存在ie.pmkid
res = wpa_supplicant_get_pmk(sm, src_addr, ie.pmkid);
if (res == -2) return;
if (res)
goto failed;
// 结合前面对背景知识的描述,STA需要创建自己的Nonce
if (sm->renew_snonce) {
if (random_get_bytes(sm->snonce, WPA_NONCE_LEN)) goto failed;
sm->renew_snonce = 0;
}
/*
tptk变量存储的是临时PTK,因为现在还不确定PTK是否正确。注意,当收到Message C时,
wpa_sm_rx_eapol的wpa_supplicant_verify_eapol_key_mic函数将把sm->tptk的内容复制到
sm->ptk变量中作为正式的ptk存储。
*/
ptk = &sm->tptk;
wpa_derive_ptk(sm, src_addr, key, ptk);// 派生PTK并将结果保存到tptk变量中
os_memcpy(buf, ptk->u.auth.tx_mic_key, 8);
os_memcpy(ptk->u.auth.tx_mic_key, ptk->u.auth.rx_mic_key, 8);
os_memcpy(ptk->u.auth.rx_mic_key, buf, 8);
sm->tptk_set = 1; // tptk_set为1表示临时PTK存在
// 构造并发送Message B。请读者结合参考资料[23]来研究此函数
if (wpa_supplicant_send_2_of_4(sm, sm->bssid, key, ver, sm->snonce,
sm->assoc_wpa_ie, sm->assoc_wpa_ie_len, ptk)) goto failed;
// 包括AP的Nonce信息
os_memcpy(sm->anonce, key->key_nonce, WPA_NONCE_LEN);
return;
failed:
wpa_sm_deauthenticate(sm, WLAN_REASON_UNSPECIFIED);
}
~~~
STA将Message B发送出去后,AP将接收到它并根据AP的处理逻辑进行处理。假设一切顺利,AP将构造并发送Message C给STA。
STA依然在wpa_sm_rx_eapol中处理Message C,其过程如下。
1. 由于Message C包含MIC以及Key Data数据,故它们将在wpa_sm_rx_eapol中的wpa_supplicant_verify_eapol_key_mic及wpa_supplicant_decrypt_key_data被处理。这两个函数的代码请感兴趣的读者自行阅读。
2. 接下来调用wpa_supplicant_process_3_of_4。这是我们分析的重点。
**4、wpa_supplicant_process_3_of_4函数**
wpa_supplicant_process_3_of_4的代码如下所示。
**wpa.c::wpa_supplicant_process_3_of_4**
~~~
static void wpa_supplicant_process_3_of_4(struct wpa_sm *sm,
const struct wpa_eapol_key *key, u16 ver)
{
u16 key_info, keylen, len;
const u8 *pos; struct wpa_eapol_ie_parse ie;
wpa_sm_set_state(sm, WPA_4WAY_HANDSHAKE);// 还是处于WPA_4WAY_HANDSHAKE状态
key_info = WPA_GET_BE16(key->key_info);
pos = (const u8 *) (key + 1);
len = WPA_GET_BE16(key->key_data_length);
/*
解析Message C中包含的IE信息。注意,key data中的数据已经由wpa_supplicant_decrypt_key_data
解密过了。
*/
if (wpa_supplicant_parse_ies(pos, len, &ie) < 0) goto failed;
if (ie.gtk && !(key_info & WPA_KEY_INFO_ENCR_KEY_DATA)) goto failed;
......// CONFIG_IEEE80211W
// 校验RSN信息。该校验似乎也是为了防止安全设置项中途发生改变
if (wpa_supplicant_validate_ie(sm, sm->bssid, &ie) < 0) goto failed;
// 比较Message A和Message C中的Nonce值
if (os_memcmp(sm->anonce, key->key_nonce, WPA_NONCE_LEN) != 0)
goto failed;
keylen = WPA_GET_BE16(key->key_length);
......// 参数检查
// 构造并发送Message D,请读者自行阅读该函数
if (wpa_supplicant_send_4_of_4(sm, sm->bssid, key, ver, key_info,
NULL, 0, &sm->ptk)) goto failed;
sm->renew_snonce = 1;
/*
调用driver_nl80211的wpa_driver_nl80211_set_key函数将key发给驱动。以后,所有
无线网络数据都将被加密。另外,如果wpa_supplicant.conf文件配置wpa_ptk_rekey
(用来控制PTK的生命周期,时间为秒)时,该函数内部还将注册一个超时函数wpa_sm_rekey_ptk。一旦
wpa_ptk_rekey到期,STA将重新和AP开展4-Way Handshake以重新派生新的PTK。
请读者自行阅读wpa_supplicant_install_ptk函数。
*/
if (key_info & WPA_KEY_INFO_INSTALL) // 安装Key
if (wpa_supplicant_install_ptk(sm, key)) goto failed;
// Message C必须设置Secure位
if (key_info & WPA_KEY_INFO_SECURE) {
// 下面这个函数和管理帧加密有关系
wpa_sm_mlme_setprotection(sm, sm->bssid, MLME_SETPROTECTION_PROTECT_TYPE_RX,
MLME_SETPROTECTION_KEY_TYPE_PAIRWISE);
eapol_sm_notify_portValid(sm->eapol, TRUE);// 设置EAPOL SM portValid为TRUE
}
wpa_sm_set_state(sm, WPA_GROUP_HANDSHAKE); // 设置状态为WPA_GROUP_HANDSHAKE
// 对本例而言,Message C中包含了GTK信息
if (ie.gtk && wpa_supplicant_pairwise_gtk(sm, key,
ie.gtk, ie.gtk_len, key_info) < 0) goto failed;
// 和IEEE80211W有关。本书不讨论它
if (ieee80211w_set_keys(sm, &ie) < 0) goto failed;
/*
下面这个函数将调用driver wrapper的set_rekey_info函数。该函数和GTK的更新有关。
它对应以下应用场景。
当某STA因为省电或别的什么原因进入休眠状态时,如果AP在STA休眠过程中更新了GTK。当该STA
醒来时,其组播消息密钥肯定失效了。这种情况该如何处理呢?通过set_rekey_info函数,我们可
将该工作交给wlan芯片来完成。即由wlan芯片来负责处理EAPOL-Key帧交换以更新GTK。注意,
如果wlan driver不支持该功能,它将唤醒STA,并将该工作交给WPAS来完成。
这部分功能属于WoWLAN(无线局域网唤醒)机制的一部分,目前只有很少的系统支持它。读者可阅读
参考资料[24][25]以加深对WoWLAN的认识。
*/
wpa_sm_set_rekey_offload(sm);
return;
failed:
wpa_sm_deauthenticate(sm, WLAN_REASON_UNSPECIFIED);
}
~~~
wpa_supplicant_process_3_of_4代码逻辑和背景知识介绍中关于Message C的处理逻辑大体一致。对于包含GTK信息的Message C来说,wpa_supplicant_pairwise_gtk将被调用以处理GTK对应的KDE信息。马上来看此函数。
**5、wpa_supplicant_pairwise_gtk函数**
介绍wpa_supplicant_pairwise_gtk之前,先来看看KDE和GTK的格式,如图4-44所示。
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/34aa678fdf014445555166683108a08f_1205x333.jpg)
图4-44 KDE和GTK格式
图4-44中,上图为KDE的格式,其中Type取值为0xdd。Data包含具体的信息。当Data中的信息为GTK时,OUT取值为00-0F-AC,Data Type取值为1。下图为GTK的格式。KeyID字段可取值有0~3共4个,它和动态Key有关。Tx字段为1,表示发送和接收组播数据都需要使用该GTK。值为0表示仅接收组播数据需要使用该GTK。
**wpa.c::wpa_supplicant_pairwise_gtk**
~~~
static int wpa_supplicant_pairwise_gtk(struct wpa_sm *sm,
const struct wpa_eapol_key *key,
const u8 *gtk, size_t gtk_len, int key_info)
{
#ifndef CONFIG_NO_WPA2
struct wpa_gtk_data gd;
os_memset(&gd, 0, sizeof(gd));
if (gtk_len < 2 || gtk_len - 2 > sizeof(gd.gtk))
return -1; // 参数检查
gd.keyidx = gtk[0] & 0x3;
// 下面这个函数对图4-44中的Tx位进行一些处理
// 它对某些AP错误设置Tx位的情况采取了“绕过去”的策略
gd.tx = wpa_supplicant_gtk_tx_bit_workaround(sm,!!(gtk[0] & BIT(2)));
gtk += 2; gtk_len -= 2;
os_memcpy(gd.gtk, gtk, gtk_len);
gd.gtk_len = gtk_len;
// 检查组播数据加密设置是否合适,然后调用wpa_supplicant_install_gtk函数安装GTK
if (wpa_supplicant_check_group_cipher(sm, sm->group_cipher, gtk_len, gtk_len,
&gd.key_rsc_len, &gd.alg) ||
wpa_supplicant_install_gtk(sm, &gd, key->key_rsc))
return -1;
// 最后一个关键函数
wpa_supplicant_key_neg_complete(sm, sm->bssid,key_info & WPA_KEY_INFO_SECURE);
return 0;
#else
return -1;
#endif
}
~~~
上述代码中,请读者自行阅读除wpa_supplicant_key_neg_complete外的其他几个函数。下面来看最后一个关键函数。
**wpa.c::wpa_supplicant_key_neg_complete**
~~~
static void wpa_supplicant_key_neg_complete(struct wpa_sm *sm,const u8 *addr, int secure)
{
wpa_sm_cancel_auth_timeout(sm);// 取消超时任务
// 该函数内部将调用wpa_supplicant.c中的wpa_supplicant_set_state。请读者自行阅读
// 不光是一个简单的设置状态,它还需要调用driver的set_supp_port函数
wpa_sm_set_state(sm, WPA_COMPLETED);// 设置WPAS的状态为WPA_COMPLETED
if (secure) {// secure为1
wpa_sm_mlme_setprotection( sm, addr, MLME_SETPROTECTION_PROTECT_TYPE_RX_TX,
MLME_SETPROTECTION_KEY_TYPE_PAIRWISE);
eapol_sm_notify_portValid(sm->eapol, TRUE);
if (wpa_key_mgmt_wpa_psk(sm->key_mgmt))// 本例采用了PSK认证,故可以通知eapSuccess
eapol_sm_notify_eap_success(sm->eapol, TRUE);
eloop_register_timeout(1, 0, wpa_sm_start_preauth, sm, NULL);
}
if (sm->cur_pmksa && sm->cur_pmksa->opportunistic)
sm->cur_pmksa->opportunistic = 0;
.....// CONFIG_IEEE80211R
}
~~~
至此,4-Way Handshake的处理就全部完成。而802.1X中Port的状态以及WPAS的状态则由此过程中相关的函数触发以发生转换。下一节将简单介绍这部分的内容。
**6、WPAS状态机变化**
上述4-Way Handshake处理流程节中,EAPOL模块、EAP模块以及WPAS的状态都会发生对应的转换。在上述wpa_supplicant_key_neg_complete中,wpa_sm_set_state将设置WPAS的状态为WPA_COMPLETED。马上来看wpa_sm_set_state的代码,如下所示。
**wpa_i.h::wpa_sm_set_state**
~~~
static inline void wpa_sm_set_state(struct wpa_sm *sm, enum wpa_states state)
{
/*
调用回调函数。由4.3.4节的wpa_supplicant_init_wpa函数中设置,其真实函数为
_wpa_supplicant_set_state,而该函数又会调用wpa_supplicant_set_state。
*/
sm->ctx->set_state(sm->ctx->ctx, state);
}
~~~
wpa_sm_set_state将调用前面设置的回调函数进行处理。
最终的处理函数wpa_supplicant_set_state如下所示
**wpa_supplicant.c::wpa_supplicant_set_state**
~~~
void wpa_supplicant_set_state(struct wpa_supplicant *wpa_s,
enum wpa_states state)
{
enum wpa_states old_state = wpa_s->wpa_state;
......
if (state == WPA_COMPLETED && wpa_s->new_connection) {
#if defined(CONFIG_CTRL_IFACE) || !defined(CONFIG_NO_STDOUT_DEBUG)
struct wpa_ssid *ssid = wpa_s->current_ssid;
#endif
wpa_s->new_connection = 0;
wpa_s->reassociated_connection = 1;
/*
设置driver的IfOperStatus为IF_OPER_UP,driver nl80211中对应的函数是
wpa_driver_nl80211_set_operstate。
*/
wpa_drv_set_operstate(wpa_s, 1);
#ifndef IEEE8021X_EAPOL
/*
以driver nl80211来说,下面这个函数将调用wpa_driver_nl80211_set_supp_port
以设置驱动中STA的标志为NL80211_STA_FLAG_AUTHENTICATED。
*/
wpa_drv_set_supp_port(wpa_s, 1);
#endif /* IEEE8021X_EAPOL */
wpa_s->after_wps = 0;
} else if (state == WPA_DISCONNECTED || state == WPA_ASSOCIATING ||
state == WPA_ASSOCIATED) {
wpa_s->new_connection = 1;// ASSOCIATING或ASSOCIATED状态下,new_connection被置为1
wpa_drv_set_operstate(wpa_s, 0);// 设置driver的IfOperStatus为IF_OPER_DORMANT
#ifndef IEEE8021X_EAPOL
wpa_drv_set_supp_port(wpa_s, 0);// 取消STA的NL80211_STA_FLAG_AUTHENTICATED标志
#endif /* IEEE8021X_EAPOL */
}
wpa_s->wpa_state = state;
.......
}
~~~
当WPAS的状态变成WPA_COMPLETED后,还需要设置driver的IfOperStatus以及NL80211_STA_FLAG_AUTHENTICATED标志位。如此这般,WPAS才算和Driver上下同心。
**7、EAPOL/EAP状态机变化**
在4-Way Handshake过程中,EAPOL/EAP状态机也会发生变化。在4.5.3节eapol_sm_notify_portEnabled函数分析的最后,已知EAPOL/EAP状态机的状态分别如下。
* SUPP_PAE进入CONNECTING状态;
* KEY_RX不变(NO_KEY_RECEIVE);
* SUPP_BE进入IDLE状态;
* EAP_SM不变(DISABLED状态)。
在4-Way Handshake过程中,一共有两个和EAPOL相关的函数被调用:
eapol_sm_notify_portValid函数portValid被设为TRUE。
eapol_sm_notify_eap_success函数代码如下所示。
**eapol_supp_sm.c::eapol_sm_notify_eap_success**
~~~
void eapol_sm_notify_eap_success(struct eapol_sm *sm, Boolean success)
{
if (sm == NULL) return;
sm->eapSuccess = success;
sm->altAccept = success;
if (success) eap_notify_success(sm->eap);
eapol_sm_step(sm);// 状态机联动
} // 直接来看eap_notify_success函数
void eap_notify_success(struct eap_sm *sm)
{
if (sm) {
sm->decision = DECISION_COND_SUCC;
sm->EAP_state = EAP_SUCCESS;// EAP_SM状态直接被设置为EAP_SUCCESS
}
}
~~~
根据4.4.2节状态机联动中对eapol_sm_step的分析,四个状态机更新的顺序分别是SUPP_PAE、KER_RX、SUPP_BE和EAP_SM。分别结合四个状态机的切换图,我们可知第一轮循环中:
* eapSuccess将先触发SUPP_PAE进入AUTHENTICATING状态,该状态对应的EA将设置suppStart为TRUE。
* eapSuccess和suppStart将触发SUPP_BE进入SUCCESS状态,该状态对应的EA将设置keyRun和suppSuccess为TRUE。
* EAP_SM状态在eap_notify_success中直接被置为EAP_SUCCESS。但在状态切换中,由于force_disabled变量为TRUE,导致EAP SUPP SM将直接转回DISABLED状态(和4.4.2节介绍的状态机联动的情况类似)。
* KER_RX状态不变。由于上述状态机均有状态变化,下面进入第二轮循环:
* suppSuccess和portValid为TRUE将触发SUPP_PAE进入AUTHENTICATED状态(由于条件变量不会再改变,故SUPP_PAE将不再发生状态变化)。该状态的EA见下文代码。
* 由于UCT的存在,SUPP_BE将跳转到IDLE状态。
* KEY_RX和EAP_SM状态保持不变。
以下是SUPP_PAE的EA代码。
**eapol_supp_sm.c::SM_STATE(SUPP_PAE,AUTHENTICATED**
~~~
SM_STATE(SUPP_PAE, AUTHENTICATED)
{
SM_ENTRY(SUPP_PAE, AUTHENTICATED);
sm->suppPortStatus = Authorized;
// 也会调用wpa_drv_set_supp_port函数
eapol_sm_set_port_authorized(sm);
/*
设置cb_status为EAPOL_CB_SUCCESS,将触发eapol_sm_step在退出前调用
wpa_supplicant_eapol_cb,此函数对于WPA/RSN企业认证法有重要作用。请读者自行阅读。
*/
sm->cb_status = EAPOL_CB_SUCCESS;
}
~~~
请读者结合SUPP_PAE和SUPP_BE的状态切换图来理解上述的状态变化过程。
至此,STA就通过了AP的身份验证。下一步的工作就是dhcpcd从AP那获取一个IP,然后手机就可以上网了。
**8、EAPOL-Key交换流程总结**
下面总结4-Way Handshake的流程,如图4-45和图4-46所示。
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/02ba2423105c7ff933b471ff437458f6_1050x509.jpg)
图4-45 Message A处理流程
:-: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/1747d23a7c672cafebba58ad1d946446_870x896.jpg)
图4-46 Message C处理流程
图中分别为4-Way Handshake中Message A与Message C的处理流程。其中,Message C还携带了GTK信息,这样就无须Group Key Handshake了。
';