WPS協議閱讀之第五章initial WLAN setup

存在兩種用WPS配置WLAN網路的場景：
第一種情況是standalone AP使用WPS，standalone AP是指AP中內建一個Registrar並且不使用外接的Registrar，第二種情況是WPS AP使用一個或者多個外接的Registrar。AP授權外接Registrar向Enrollees釋出認證資訊並管理AP的配置。
開啟了WPS的AP必須在其beacon中包含SSID，如果使用者人為關閉AP的廣播SSID，則會同時自動關閉WPS，如果關閉WPS，那麼beacon幀和其他管理幀中將不會包含WPS IE，也不會有WPS協議幀互動。
一旦開啟WPS，AP不能使用其他接入控制機制(如MAC過濾機制)。
5.1 Standalone AP
最簡單地使用WPS進行初始化網路配置的是standalone AP，在這種情況下，WPS AP必須自動地選擇一個SSID和通道，同時預設開啟隨機生成PSK的WPA2-Personal，如果需要向下相容不支援WPA2-Personal的client，AP可以配置成混合模式。standalone AP包含一個WPS Registrar，利用Registrar Protocol向Enrollees釋出keys，同時包含一個安全的開關鍵，包含一個恢復出廠設定的按鍵。
如果standalone AP使用網頁輸入Enrollee密碼或者執行其他Registrar功能，需遵從以下建議：
a． AP的Registrar管理頁面經過TLS加密
b． 至少使用在TLS基礎上的response-auth摘要認證
c． 可以在registrar的網頁管理介面關閉新增新的Enrollees
如果AP用一個統一的內建的device password用於登入管理網頁和啟動外接Registar，這個密碼對於這個AP必須是獨一無二的，然而也允許使用者把這個密碼改為更強的密碼，如果預設密碼被改變，那麼原來的預設密碼將被改變，除非恢復出廠設定。
安全考量
當standalone AP作為一個Registrar時，存在一些可能的風險，理想情況下，在設定AP的時候需要一步一步不斷詢問使用者，但standalone AP與使用者互動不夠，導致使用者可用資訊不夠而不能做出正確的決定。
5.2 AP With an External Registrar
AP的最基本功能是在基礎型網路中控制鏈路層的訪問，WPS的設計初衷估計是域中一個成員被授權將域中成員擴充套件到域外其他裝置，如果開啟了無線網路安全功能，每一個域成員必須被給予認證資訊，enrollment功能可以由standalone AP執行，也可以委派給external Registrar裝置。如果external Registrar被執行，那麼external Registrar同樣會建立一個與AP的安全管理介面。
external Registrar釋出認證資訊到enrollees並配置域中的AP接受這些認證資訊，external Registrar也向使用者反饋資訊，以引導使用者完成enrollment功能，客戶訪問和認證資訊撤銷也由external Registrar完成。
使用者可能根據以下原因選擇一個external Registrar:
a. external Registrar有大的儲存能力，能顯示網路啟動的log資訊
b. external Registrar有豐富的UI支援，幫助使用者解釋和解決網路啟動中的問題
c. external Registrar 支援多個out-of-band通道，能支援更多的Enrollee裝置
d. 可以限制某些使用者在external Registrar上的工作
使用者操作external Registrar比standalone AP中的Registrar更方便，使用者常常不方便與AP直接互動，例如，如果external Registrar是一個移動手機，特別是當使用NFC時這種便攜可移動性Registrar能提高使用者網路配置的體驗。
雖然Registrar可能是一個WLAN device，但這不是必須的，Registrar定義的特性是向Enrollees認證和釋出認證資訊，在有一個共享金鑰的WPA2-Personal網路中，任何能與AP相通並且知道WLAN共享金鑰的裝置都可以作為Registrar並認證加入新的Enrollees。
如果Registrar對於AP是外接的，並且AP對不同的裝置支援不同的密碼，然而Registrar還是必須能夠為這個AP配置Enrollee的認證資訊，在這種情況下必須在Registrar和AP之間建立無線管理介面，就像在Enrollee和Registrar之間配置密碼進行保護一樣，external Registrar在設定AP的SSID，channel和其他引數的時候依然需要需要AP管理介面，產生AP管理金鑰的Registrars被稱為WLAN Managers。
為了保證WPS易於互動和滿足易用性的要求，WPS AP必須同時支援至少3個external Registrar，需要注意的是在AP配置支援一個或多個external Registrars後，該AP依然可以繼續作為standalone Registrar，在AP的實現的時候作為一項可選策略。如果AP的standalone Registrar功能可以關閉，AP恢復出廠設定應當可以恢復其預設操作。
當AP有一個新的用WPS關聯的無線管理Registrar，新的Registrar應當取代原來的Registrar，新的WLAN 管理Registrar可以在獲知AP共享金鑰後建立，一旦新增新的WLAN管理介面，其他任何WLAN管理Registrar都可以用該介面喚醒Registrar許可權。
5.2.1 EAP-based setup of External Registrar
圖2描述了註冊一個external Registrar到一個WPS AP的流程

1. AP傳送包含WPS IE的beacon
2. Registrar傳送Request type設為Registrar或WLAN Manager Registrar的WPS Probe request
3. AP回覆response tyep為AP的WPS probe response到Registrar
4. 使用者從AP的顯示或者標籤獲得device password並輸入到Registrar
5. external Registrar以傳送內容為WFA-SimpleConfig-Registrar-1-0的EAP-Response/Identity開始802.1X連線
6. AP和Registrar根據Registration協議互動M1-M8，M7包含目前AP的設定，M8包含Registrar對無線網路的具體設定
7. AP傳送EAP-Done，Registrar傳送EAP-ACK，然後AP傳送EAP-Failure表示Registration協議的結束
8. Registrar和AP根據M7和M8中的配置資訊完成配置，Registrar然後disassoc和re-assoc到AP，用新的認證資訊和AP支援的認證方法完成認證
   為了安全因素，要求在短時間啟動的AP建議只使用in-band通訊，AP的device password可能不是很強，如果AP停留在啟動模式，系統較易受到攻擊，建議使用者使用強的密碼代替預設密碼。
   WPS提供一種簡易的方法將無線網路配置和密碼傳到一個新的裝置，Registrar需要Enrollee的密碼以便向其他裝置傳送WLAN密碼。