Fast BSS Transition原理简介
1 适用场景
当STA在属于相同MD(mobility domain)的AP之间切换连接时,可使用Fast BSS Transition。
在这种场景下,统一MD下多个AP对密钥的管理分为两个层次:1)全域范围内的统一KEY;2)每个AP的内部KEY。这两类KEY是有关联的,第一类KEY是生成第二类KEY的源数据。
在统一MD下,每个接入的STA对应各自的全域统一KEY,从而也就在每个AP上有各自不同的第二类KEY。
2 过程描述
分两个过程:1)初次接入过程;2)快速切换过程。
2.1 初次接入过程
在支持FT功能的MD域中,beacon帧带MDE信息:
初次接入过程中,从AP获得本STA在系统中统一KEY的ID(R0KH-ID),这个ID在快速切换时用于告诉下一个目标AP本STA所用的KEY的索引值。
初次接入的认证过程是,先通过802.1X或PSK(Pre-shared Key)获得统一KEY,然后结合AP的特征值R1KH-ID(AP的MAC地址值)和STA的特征值S0KH-ID、S1KH-ID(均为STA的MAC地址值),以及双方的随机数ANonce和SNonce,算出本次会话的密钥,并在4-way握手过程中进行认证和其他配置的传递。最终建立安全连接。
2.2 快速切换过程
两种方式:1)与目标AP直接联系;2)与目标AP间接联系。下如面两图所示:
快速切换过程,首先STA通过Auth-req或FT-req帧,告知目标AP其所用的R0KH-ID以及本次会话中使用的随机数SNonce;然后目标AP回应其R1KH-ID和ANonce值;STA在初次接入过程中,已获得统一的KEY,再加上本次会话的SNonce、ANonce和R1KH-ID,可算出新会话的通信密钥。
整个快速切换过程,分为两次requset-response交互,将认证、关联、配置合并在这两次交互中完成。相对于普通的认证、关联、EAPOL-key 4-way握手过程,减少了交互的次数,从而提升了切换的速度。普通的连接过程可参考WiFi认证过程wpa/wpa2
3 小结
快速切换功能涉及整个系统,不是单个AP、STA就能实现。必须在构建WiFi系统时从整体考虑,系统中有统一的KEY管理设备,并且可通过安全通信方式,管理域内各个AP,分发每个STA在各个AP中所使用的密钥。在STA从原来的AP切换到新的AP后,应该有机制实现STA在原AP上关联状态的改变,避免系统中有多个AP处于与同一个STA关联的状态。