WPS协议阅读之第五章initial WLAN setup

存在两种用WPS配置WLAN网络的场景：
第一种情况是standalone AP使用WPS，standalone AP是指AP中内置一个Registrar并且不使用外置的Registrar，第二种情况是WPS AP使用一个或者多个外置的Registrar。AP授权外置Registrar向Enrollees发布认证信息并管理AP的配置。
打开了WPS的AP必须在其beacon中包含SSID，如果用户人为关闭AP的广播SSID，则会同时自动关闭WPS，如果关闭WPS，那么beacon帧和其他管理帧中将不会包含WPS IE，也不会有WPS协议帧交互。
一旦打开WPS，AP不能使用其他接入控制机制(如MAC过滤机制)。
5.1 Standalone AP
最简单地使用WPS进行初始化网络配置的是standalone AP，在这种情况下，WPS AP必须自动地选择一个SSID和信道，同时默认打开随机生成PSK的WPA2-Personal，如果需要向下兼容不支持WPA2-Personal的client，AP可以配置成混合模式。standalone AP包含一个WPS Registrar，利用Registrar Protocol向Enrollees发布keys，同时包含一个安全的开关键，包含一个恢复出厂设置的按键。
如果standalone AP使用网页输入Enrollee密码或者执行其他Registrar功能，需遵从以下建议：
a． AP的Registrar管理页面经过TLS加密
b． 至少使用在TLS基础上的response-auth摘要认证
c． 可以在registrar的网页管理界面关闭添加新的Enrollees
如果AP用一个统一的内置的device password用于登录管理网页和启动外置Registar，这个密码对于这个AP必须是独一无二的，然而也允许用户把这个密码改为更强的密码，如果默认密码被改变，那么原来的默认密码将被改变，除非恢复出厂设置。
安全考量
当standalone AP作为一个Registrar时，存在一些可能的风险，理想情况下，在设置AP的时候需要一步一步不断询问用户，但standalone AP与用户交互不够，导致用户可用信息不够而不能做出正确的决定。
5.2 AP With an External Registrar
AP的最基本功能是在基础型网络中控制链路层的访问，WPS的设计初衷估计是域中一个成员被授权将域中成员扩展到域外其他设备，如果打开了无线网络安全功能，每一个域成员必须被给予认证信息，enrollment功能可以由standalone AP运行，也可以委派给external Registrar设备。如果external Registrar被运行，那么external Registrar同样会建立一个与AP的安全管理接口。
external Registrar发布认证信息到enrollees并配置域中的AP接受这些认证信息，external Registrar也向用户反馈信息，以引导用户完成enrollment功能，客户访问和认证信息撤销也由external Registrar完成。
用户可能根据以下原因选择一个external Registrar:
a. external Registrar有大的存储能力，能显示网络启动的log信息
b. external Registrar有丰富的UI支持，帮助用户解释和解决网络启动中的问题
c. external Registrar 支持多个out-of-band信道，能支持更多的Enrollee设备
d. 可以限制某些用户在external Registrar上的工作
用户操作external Registrar比standalone AP中的Registrar更方便，用户常常不方便与AP直接交互，例如，如果external Registrar是一个移动手机，特别是当使用NFC时这种便携可移动性Registrar能提高用户网络配置的体验。
虽然Registrar可能是一个WLAN device，但这不是必须的，Registrar定义的特性是向Enrollees认证和发布认证信息，在有一个共享**的WPA2-Personal网络中，任何能与AP相通并且知道WLAN共享**的设备都可以作为Registrar并认证加入新的Enrollees。
如果Registrar对于AP是外置的，并且AP对不同的设备支持不同的密码，然而Registrar还是必须能够为这个AP配置Enrollee的认证信息，在这种情况下必须在Registrar和AP之间建立无线管理接口，就像在Enrollee和Registrar之间配置密码进行保护一样，external Registrar在设置AP的SSID，channel和其他参数的时候依然需要需要AP管理接口，产生AP管理**的Registrars被称为WLAN Managers。
为了保证WPS易于交互和满足易用性的要求，WPS AP必须同时支持至少3个external Registrar，需要注意的是在AP配置支持一个或多个external Registrars后，该AP依然可以继续作为standalone Registrar，在AP的实现的时候作为一项可选策略。如果AP的standalone Registrar功能可以关闭，AP恢复出厂设置应当可以恢复其默认操作。
当AP有一个新的用WPS关联的无线管理Registrar，新的Registrar应当取代原来的Registrar，新的WLAN 管理Registrar可以在获知AP共享**后建立，一旦添加新的WLAN管理接口，其他任何WLAN管理Registrar都可以用该接口唤醒Registrar权限。
5.2.1 EAP-based setup of External Registrar
图2描述了注册一个external Registrar到一个WPS AP的流程

1. AP发送包含WPS IE的beacon
2. Registrar发送Request type设为Registrar或WLAN Manager Registrar的WPS Probe request
3. AP回复response tyep为AP的WPS probe response到Registrar
4. 用户从AP的显示或者标签获得device password并输入到Registrar
5. external Registrar以发送内容为WFA-SimpleConfig-Registrar-1-0的EAP-Response/Identity开始802.1X连接
6. AP和Registrar根据Registration协议交互M1-M8，M7包含目前AP的设置，M8包含Registrar对无线网络的具体设置
7. AP发送EAP-Done，Registrar发送EAP-ACK，然后AP发送EAP-Failure表示Registration协议的结束
8. Registrar和AP根据M7和M8中的配置信息完成配置，Registrar然后disassoc和re-assoc到AP，用新的认证信息和AP支持的认证方法完成认证
   为了安全因素，要求在短时间启动的AP建议只使用in-band通信，AP的device password可能不是很强，如果AP停留在启动模式，系统较易受到攻击，建议用户使用强的密码代替默认密码。
   WPS提供一种简易的方法将无线网络配置和密码传到一个新的设备，Registrar需要Enrollee的密码以便向其他设备发送WLAN密码。