转:http://blog.csdn.net/winterth/article/details/8108606
Fast Roaming就是为了提高roaming的效率。在802.11r前,通常是指在RSN(WPA2)的框架下,略过EAP/802.1X,使用PMKSA Cache中的PMK直接进行连接。
所以,在WPA或是WEP的情况下,无法进行Fast Roaming。
在802.11r发布之前,Fast Roaming大致分为3种情况:
- 普通的PMKSA Cache
- Preauthentication
- OKC(Opportunistic Key Caching)
无论哪种情况,在Roaming时的流程都是差不多的:STA在(re)associate request的RSN IE里带上一个PMKID List,然后AP在PMKSA Cache里找到一个PMKID匹配的Entry。
差别在于Roaming前的行为。
虽然说允许STA送上一个PMKID List,但通常STA只会送一个PMKID。
所以,是否要启动Fast Roaming,完全取决于STA的行为,Fast Roaming能否成功,则需要AP的配合。
Preauthentication
Preauthentication是802.11-2007中定义的Fast Roaming方法。是指STA通过当前连接的AP(AP1),跟它即将要连的AP(AP2)进行一次完整的802.1X认证。认证通过后,AP2中就会生成一条PMKSA Cache。
简单总结下:预认证是用于802.1X。与多个AP进行开放式系统认证并不是预认证。向新AP进行802.1X认证才是预认证。
当使用WPA时能否进行预认证(preauthentication)?按照802.11-2007标准,预认证能力是利用RSN IE来通告的。这意味着Wi-Fi联盟之前的WPA由于使用WPA IE而不是RSN IE而不能进行预认证。
当Fast Roaming发生时,STA会把新的PMKID送给AP2,AP2在自己的Cache里找到这个PMKID后就可以略过802.1X了。
WPA2和WPA区别是什么呢?它们对于快速漫游和安全特性有什么影响呢? 首先,要知道一个BSS只要不支持WEP而支持TKIP或CCMP,那么就被认为是一个RSN。 但使用哪一种encryption cipher(s)也决定了BSS中的帧格式。具体来讲,如果网络支持WPA2 (AES-CCMP与可选的TKIP)安全,那么在许多管理帧中将包含RSN IE。但如果BSS仅支持WPA安全(TKIP),那么RSN IE将被WPA IE替换。WPA IE与RSN IE的功能类似,但RSN IE中的一些字段发生了变化或被忽略。
仔细分析下WPA IE中遗漏的一些字段。首先WPA IE中不存在preauthentication字段,这也就意味着不能支持预认证功能。而且,WPA IE中不存在PMKID Count和PMKID List字段,而现在快速安全漫游中的许多特性(诸如PMK caching和Opportunistic Key Caching (OKC))都要使用这些字段,这两个字段缺失也意味着不能支持这些特性,这对于移动环境中使用WPA-Enterprise的人是一个考验。
仔细分析下WPA IE中遗漏的一些字段。首先WPA IE中不存在preauthentication字段,这也就意味着不能支持预认证功能。而且,WPA IE中不存在PMKID Count和PMKID List字段,而现在快速安全漫游中的许多特性(诸如PMK caching和Opportunistic Key Caching (OKC))都要使用这些字段,这两个字段缺失也意味着不能支持这些特性,这对于移动环境中使用WPA-Enterprise的人是一个考验。
下面看看WPA IE和RSN IE的差异。
图 2-1 Beacon帧中携带的WPA IE
图 2-1 Beacon帧中携带的WPA IE
图 2-2 关联请求帧中携带的WPA IE
图 2-3 Probe应答帧中携带的RSN IE
图 2-4 关联请求帧中携带的RSN IE
图 2-1是Beacon帧(使用PSK安全)中携带的WPA IE, 可以与图 2-3给出的Probe应答帧(使用802.1X/EAP安全)中携带的RSN IE对比。然后比较图 2-2和图 2-4,分别是关联请求帧中携带的WPA IE和关联请求帧中携带的RSN IE。这里的截图使用了现实世界中常用的PSK和802.1X/EAP来展示两者的差异。
注意:OUI从00:0F:AC变为00:50:F2(IEEE对Wi-Fi联盟),但是cipher type与authentication type的编码相同。在WPA IE中没有preauthentication bit,而且在(重)关联帧1如果对老客户需要支持TKIP,但又要支持CCMP,那么可以配置为WPA2就可以同时支持这两种ciphers,这将使网络中使用的是RSN IE。当然,你会发现一些使用TKIP的设备无论如何不支持快速安全漫游,但是客户真的希望具备该特性。 中没有PMKID count和PMKID list字段。注意这里的RSN IE截图中只有PMKID Count字段而没有PMKID List字段,这是由于PMKID Count取值为0,否则将会有PMKID list字段。
如果对老客户需要支持TKIP,但又要支持CCMP,那么可以配置为WPA2就可以同时支持这两种ciphers,这将使网络中使用的是RSN IE。当然,你会发现一些使用TKIP的设备无论如何不支持快速安全漫游,但是客户真的希望具备该特性。
现今企业中对漫游的支持非常差,这对于商家,尤其是client和supplicant的商家应当是一块大蛋糕,但没有商家来替用户考虑。使用802.1X/EAP 的用户要想实现漫游,现实世界除了几个专用的解决方案(Cisco的Cisco Centralized Key Management—CCKM或Meru的Virtual Port/Cell),其他商家对此并没有下大力气来解决,而是将问题留给了用户:要安全还是要性能。希望Wi-Fi联盟能够将它列为WPA2-Enterprise认证中的一项需求。
注意:OUI从00:0F:AC变为00:50:F2(IEEE对Wi-Fi联盟),但是cipher type与authentication type的编码相同。在WPA IE中没有preauthentication bit,而且在(重)关联帧1如果对老客户需要支持TKIP,但又要支持CCMP,那么可以配置为WPA2就可以同时支持这两种ciphers,这将使网络中使用的是RSN IE。当然,你会发现一些使用TKIP的设备无论如何不支持快速安全漫游,但是客户真的希望具备该特性。 中没有PMKID count和PMKID list字段。注意这里的RSN IE截图中只有PMKID Count字段而没有PMKID List字段,这是由于PMKID Count取值为0,否则将会有PMKID list字段。
如果对老客户需要支持TKIP,但又要支持CCMP,那么可以配置为WPA2就可以同时支持这两种ciphers,这将使网络中使用的是RSN IE。当然,你会发现一些使用TKIP的设备无论如何不支持快速安全漫游,但是客户真的希望具备该特性。
现今企业中对漫游的支持非常差,这对于商家,尤其是client和supplicant的商家应当是一块大蛋糕,但没有商家来替用户考虑。使用802.1X/EAP 的用户要想实现漫游,现实世界除了几个专用的解决方案(Cisco的Cisco Centralized Key Management—CCKM或Meru的Virtual Port/Cell),其他商家对此并没有下大力气来解决,而是将问题留给了用户:要安全还是要性能。希望Wi-Fi联盟能够将它列为WPA2-Enterprise认证中的一项需求。
OKC(Opportunistic Key Caching)
OKC,也叫OPC(Opportunistic PMK Caching),是微软定义的一套标准,并不在802.11标准中。不过多数厂商都支持这种方式,也成为了一种事实标准。
其流程大致如下:
当STA跟AP1经过完整的EAP/802.1X建立连接后,产生一条PMKSA,里面包含一个PMKID1,然后AP1把这个PMKSA传给它的邻居,其中一个就是AP2。
Fast Roaming发生前,STA要根据AA,SPA和PMKID1计算出一个PMKID2,把这个PMKID2放在RSN IE里,送给AP2。
AP2在收到这个PMKID2后,就像平时一样,会在自己的PMKSA Cache里找,当然,这是找不到的。因为Cache没有一个的PMKID是PMKID2。然后,AP2就要对Cache中的每一个Entry计算一次新的PMKID,其必要的几个元素,AA,SPA和PMKID1都是有的。每计算一个就跟PMKID2匹配一次,匹配成功就可以直接进行4次握手。
Preauthentication虽然在Roaming期间略过了802.1X,但还是每次都要做,只不过提前罢了。
OKC的出现,就是为了解决每次都要做802.1X的问题,可以提高效率,降低网络负荷。可是,OKC的方便是建立在牺牲安全性的基础上的。这会导致每个AP上都拿到相同的PMK。
为了同时解决Preauthentication和OKC的缺陷,IEEE推出了802.11r,对Fast Roaming进行了补充。
969
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
