wpa_supplicant/README-WPS

   1 wpa_supplicant and Wi-Fi Protected Setup (WPS)
   2 ==============================================
   3
   4 This document describes how the WPS implementation in wpa_supplicant
   5 can be configured and how an external component on the client (e.g.,
   6 management GUI) is used to enable WPS enrollment and registrar
   7 registration.
   8
   9
  10 Introduction to WPS
  11 -------------------
  12
  13 Wi-Fi Protected Setup (WPS) is a mechanism for easy configuration of a
  14 wireless network. It allows automated generation of random keys (WPA
  15 passphrase/PSK) and configuration of an access point and client
  16 devices. WPS includes number of methods for setting up connections
  17 with PIN method and push-button configuration (PBC) being the most
  18 commonly deployed options.
  19
  20 While WPS can enable more home networks to use encryption in the
  21 wireless network, it should be noted that the use of the PIN and
  22 especially PBC mechanisms for authenticating the initial key setup is
  23 not very secure. As such, use of WPS may not be suitable for
  24 environments that require secure network access without chance for
  25 allowing outsiders to gain access during the setup phase.
  26
  27 WPS uses following terms to describe the entities participating in the
  28 network setup:
  29 - access point: the WLAN access point
  30 - Registrar: a device that control a network and can authorize
  31   addition of new devices); this may be either in the AP ("internal
  32   Registrar") or in an external device, e.g., a laptop, ("external
  33   Registrar")
  34 - Enrollee: a device that is being authorized to use the network
  35
  36 It should also be noted that the AP and a client device may change
  37 roles (i.e., AP acts as an Enrollee and client device as a Registrar)
  38 when WPS is used to configure the access point.
  39
  40
  41 More information about WPS is available from Wi-Fi Alliance:
  42 http://www.wi-fi.org/wifi-protected-setup
  43
  44
  45 wpa_supplicant implementation
  46 -----------------------------
  47
  48 wpa_supplicant includes an optional WPS component that can be used as
  49 an Enrollee to enroll new network credential or as a Registrar to
  50 configure an AP. The current version of wpa_supplicant does not
  51 support operation as an external WLAN Management Registrar for adding
  52 new client devices or configuring the AP over UPnP.
  53
  54
  55 wpa_supplicant configuration
  56 ----------------------------
  57
  58 WPS is an optional component that needs to be enabled in
  59 wpa_supplicant build configuration (.config). Here is an example
  60 configuration that includes WPS support and Linux wireless extensions
  61 -based driver interface:
  62
  63 CONFIG_DRIVER_WEXT=y
  64 CONFIG_WPS=y
  65 CONFIG_WPS2=y
  66
  67
  68 WPS needs the Universally Unique IDentifier (UUID; see RFC 4122) for
  69 the device. This is configured in the runtime configuration for
  70 wpa_supplicant (if not set, UUID will be generated based on local MAC
  71 address):
  72
  73 # example UUID for WPS
  74 uuid=12345678-9abc-def0-1234-56789abcdef0
  75
  76 The network configuration blocks needed for WPS are added
  77 automatically based on control interface commands, so they do not need
  78 to be added explicitly in the configuration file.
  79
  80 WPS registration will generate new network blocks for the acquired
  81 credentials. If these are to be stored for future use (after
  82 restarting wpa_supplicant), wpa_supplicant will need to be configured
  83 to allow configuration file updates:
  84
  85 update_config=1
  86
  87
  88
  89 External operations
  90 -------------------
  91
  92 WPS requires either a device PIN code (usually, 8-digit number) or a
  93 pushbutton event (for PBC) to allow a new WPS Enrollee to join the
  94 network. wpa_supplicant uses the control interface as an input channel
  95 for these events.
  96
  97 The PIN value used in the commands must be processed by an UI to
  98 remove non-digit characters and potentially, to verify the checksum
  99 digit. "wpa_cli wps_check_pin <PIN>" can be used to do such processing.
 100 It returns FAIL if the PIN is invalid, or FAIL-CHECKSUM if the checksum
 101 digit is incorrect, or the processed PIN (non-digit characters removed)
 102 if the PIN is valid.
 103
 104 If the client device has a display, a random PIN has to be generated
 105 for each WPS registration session. wpa_supplicant can do this with a
 106 control interface request, e.g., by calling wpa_cli:
 107
 108 wpa_cli wps_pin any
 109
 110 This will return the generated 8-digit PIN which will then need to be
 111 entered at the Registrar to complete WPS registration. At that point,
 112 the client will be enrolled with credentials needed to connect to the
 113 AP to access the network.
 114
 115
 116 If the client device does not have a display that could show the
 117 random PIN, a hardcoded PIN that is printed on a label can be
 118 used. wpa_supplicant is notified this with a control interface
 119 request, e.g., by calling wpa_cli:
 120
 121 wpa_cli wps_pin any 12345670
 122
 123 This starts the WPS negotiation in the same way as above with the
 124 generated PIN.
 125
 126
 127 If the client design wants to support optional WPS PBC mode, this can
 128 be enabled by either a physical button in the client device or a
 129 virtual button in the user interface. The PBC operation requires that
 130 a button is also pressed at the AP/Registrar at about the same time (2
 131 minute window). wpa_supplicant is notified of the local button event
 132 over the control interface, e.g., by calling wpa_cli:
 133
 134 wpa_cli wps_pbc
 135
 136 At this point, the AP/Registrar has two minutes to complete WPS
 137 negotiation which will generate a new WPA PSK in the same way as the
 138 PIN method described above.
 139
 140
 141 If the client wants to operate in the Registrar role to learn the
 142 current AP configuration and optionally, to configure an AP,
 143 wpa_supplicant is notified over the control interface, e.g., with
 144 wpa_cli:
 145
 146 wpa_cli wps_reg <AP BSSID> <AP PIN>
 147 (example: wpa_cli wps_reg 02:34:56:78:9a:bc 12345670)
 148
 149 This is used to fetch the current AP settings instead of actually
 150 changing them. The main difference with the wps_pin command is that
 151 wps_reg uses the AP PIN (e.g., from a label on the AP) instead of a
 152 PIN generated at the client.
 153
 154 In order to change the AP configuration, the new configuration
 155 parameters are given to the wps_reg command:
 156
 157 wpa_cli wps_reg <AP BSSID> <AP PIN> <new SSID> <auth> <encr> <new key>
 158 examples:
 159   wpa_cli wps_reg 02:34:56:78:9a:bc 12345670 testing WPA2PSK CCMP 12345678
 160   wpa_cli wps_reg 02:34:56:78:9a:bc 12345670 clear OPEN NONE ""
 161
 162 <auth> must be one of the following: OPEN WPAPSK WPA2PSK
 163 <encr> must be one of the following: NONE WEP TKIP CCMP
 164
 165
 166 Scanning
 167 --------
 168
 169 Scan results ('wpa_cli scan_results' or 'wpa_cli bss <idx>') include a
 170 flags field that is used to indicate whether the BSS support WPS. If
 171 the AP support WPS, but has not recently activated a Registrar, [WPS]
 172 flag will be included. If PIN method has been recently selected,
 173 [WPS-PIN] is shown instead. Similarly, [WPS-PBC] is shown if PBC mode
 174 is in progress. GUI programs can use these as triggers for suggesting
 175 a guided WPS configuration to the user. In addition, control interface
 176 monitor events WPS-AP-AVAILABLE{,-PBC,-PIN} can be used to find out if
 177 there are WPS enabled APs in scan results without having to go through
 178 all the details in the GUI. These notification could be used, e.g., to
 179 suggest possible WPS connection to the user.
 180
 181
 182 wpa_gui
 183 -------
 184
 185 wpa_gui-qt4 directory contains a sample GUI that shows an example of
 186 how WPS support can be integrated into the GUI. Its main window has a
 187 WPS tab that guides user through WPS registration with automatic AP
 188 selection. In addition, it shows how WPS can be started manually by
 189 selecting an AP from scan results.
 190
 191
 192 Credential processing
 193 ---------------------
 194
 195 By default, wpa_supplicant processes received credentials and updates
 196 its configuration internally. However, it is possible to
 197 control these operations from external programs, if desired.
 198
 199 This internal processing can be disabled with wps_cred_processing=1
 200 option. When this is used, an external program is responsible for
 201 processing the credential attributes and updating wpa_supplicant
 202 configuration based on them.
 203
 204 Following control interface messages are sent out for external programs:
 205
 206 WPS-CRED-RECEIVED  <hexdump of Credential attribute(s)>
 207 For example:
 208 <2>WPS-CRED-RECEIVED 100e006f10260001011045000c6a6b6d2d7770732d74657374100300020020100f000200081027004030653462303435366332363666653064333961643135353461316634626637313234333761636664623766333939653534663166316230323061643434386235102000060266a0ee1727
 209
 210
 211 wpa_supplicant as WPS External Registrar (ER)
 212 ---------------------------------------------
 213
 214 wpa_supplicant can be used as a WPS ER to configure an AP or enroll
 215 new Enrollee to join the network. This functionality uses UPnP and
 216 requires that a working IP connectivity is available with the AP (this
 217 can be either over a wired or wireless connection).
 218
 219 Separate wpa_supplicant process can be started for WPS ER
 220 operations. A special "none" driver can be used in such a case to
 221 indicate that no local network interface is actually controlled. For
 222 example, following command could be used to start the ER:
 223
 224 wpa_supplicant -Dnone -c er.conf -ieth0
 225
 226 Sample er.conf:
 227
 228 ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=admin
 229 device_name=WPS External Registrar
 230
 231
 232 wpa_cli commands for ER functionality:
 233
 234 wps_er_start [IP address]
 235 - start WPS ER functionality
 236 - the optional IP address parameter can be used to filter operations only
 237   to include a single AP
 238 - if run again while ER is active, the stored information (discovered APs
 239   and Enrollees) are shown again
 240
 241 wps_er_stop
 242 - stop WPS ER functionality
 243
 244 wps_er_learn <UUID> <AP PIN>
 245 - learn AP configuration
 246
 247 wps_er_config <UUID> <AP PIN> <new SSID> <auth> <encr> <new key>
 248 - examples:
 249   wps_er_config 87654321-9abc-def0-1234-56789abc0002 12345670 testing WPA2PSK CCMP 12345678
 250   wpa_er_config 87654321-9abc-def0-1234-56789abc0002 12345670 clear OPEN NONE ""
 251
 252 <auth> must be one of the following: OPEN WPAPSK WPA2PSK
 253 <encr> must be one of the following: NONE WEP TKIP CCMP
 254
 255
 256 wps_er_pbc <Enrollee UUID>
 257 - accept an Enrollee PBC using External Registrar
 258
 259 wps_er_pin <Enrollee UUID> <PIN> [Enrollee MAC address]
 260 - add an Enrollee PIN to External Registrar
 261 - if Enrollee UUID is not known, "any" can be used to add a wildcard PIN
 262 - if the MAC address of the enrollee is known, it should be configured
 263   to allow the AP to advertise list of authorized enrollees
 264
 265
 266 WPS ER events:
 267
 268 WPS_EVENT_ER_AP_ADD
 269 - WPS ER discovered an AP
 270
 271 WPS-ER-AP-ADD 87654321-9abc-def0-1234-56789abc0002 02:11:22:33:44:55 pri_dev_type=6-0050F204-1 wps_state=1 |Very friendly name|Company|Long description of the model|WAP|http://w1.fi/|http://w1.fi/hostapd/
 272
 273 WPS_EVENT_ER_AP_REMOVE
 274 - WPS ER removed an AP entry
 275
 276 WPS-ER-AP-REMOVE 87654321-9abc-def0-1234-56789abc0002
 277
 278 WPS_EVENT_ER_ENROLLEE_ADD
 279 - WPS ER discovered a new Enrollee
 280
 281 WPS-ER-ENROLLEE-ADD 2b7093f1-d6fb-5108-adbb-bea66bb87333 02:66:a0:ee:17:27 M1=1 config_methods=0x14d dev_passwd_id=0 pri_dev_type=1-0050F204-1 |Wireless Client|Company|cmodel|123|12345|
 282
 283 WPS_EVENT_ER_ENROLLEE_REMOVE
 284 - WPS ER removed an Enrollee entry
 285
 286 WPS-ER-ENROLLEE-REMOVE 2b7093f1-d6fb-5108-adbb-bea66bb87333 02:66:a0:ee:17:27
 287
 288 WPS-ER-AP-SETTINGS
 289 - WPS ER learned AP settings
 290
 291 WPS-ER-AP-SETTINGS uuid=fd91b4ec-e3fa-5891-a57d-8c59efeed1d2 ssid=test-wps auth_type=0x0020 encr_type=0x0008 key=12345678