企業無線網絡中的認證、授權和移動性管理對比研究

張小云

文章編號： 2095-2163（2018）03-0175-04中圖分類號： 文獻標志碼： A

摘要： 關鍵詞： in Enterprise Wireless Network

（Gansu Armed Police Corps， Lin Xia Gansu 730046， China）

Abstract： With the development of software defined network in enterprise wireless network， new authentication， authorization and mobility methods yields. This article aims to discuss the advantages and disadvantages of traditional authentication， authorization， and mobility management methods and softwaredefined networking methods. The results show that it is feasible and reliable to implement these functions in softwaredefined networks.

Key words：

作者簡介：

收稿日期： 引言

在企業無線網絡中，多個接入點（AP）提供一個典型的區域網絡覆蓋，如企業、車站、校園、醫院等。企業無線網絡廣播相同的服務集標識符（SSID），客戶端可以選擇信號最強的AP連接并移動或動態地切換到其他的AP。AP通過有線或者無線接入主干網。

物理信道具有無線物理特性，因此對訪問基礎設施進行認證和訪問控制變得至關重要。由于AP覆蓋范圍有限，網絡中的移動客戶端，如筆記本電腦和智能手機，需要從一個AP切換到另一個AP。此過程包括掃描和選擇一個AP并與之相連、重認證并重關聯，負載平衡也是切換的一個原因。如果對每個AP進行單獨配置，則AP之間的切換極為復雜。在負載平衡的情況下，AP將自己的統計信息發送給鄰居AP來決策是否進行切換。針對這種網絡特性，中心式處理更有利于全局的負載均衡，這一思路與中心式處理方式的軟件定義網絡相似。OPENFLOW提供開放的接口來控制整個網絡，這使得網絡管理者能夠在不考慮底層實現的情況下運行自己的網絡管理邏輯。

多數的企業無線網絡采用集中式的認證方式，認證服務一般通過WPA-ENTERPRISE提供。中心認證服務器給每個用戶分配一個賬號，用戶在該服務器上進行認證而非在AP上進行認證。在軟件定義無線網絡中，有3種方式進行認證、授權和移動性管理：傳統方式、部分使用軟件定義網絡方式以及完全使用軟件定義網絡方式。下面列出是相關的研究方法。

OPENFLOW Wireless方法使不同無線網絡之間的切換實現更加方便[1]。該方法提供一個接口在80111和UMTS蜂窩網絡之間進行無縫切換。OPENWIFI是另一個與無線網絡相關的OPENFLOW項目，把訪問（連接、 轉發）、認證和要價（流量監控、要價）定義為不同的功能，并將其分割。 開放系統認證或者預定義的預共享碼被使用，并且當一個IP地址已經經由DHCP獲得，數據流將被投放到其它特定的提供網頁接口認證服務器[2]。用戶可以通過Google、Facebook等平臺上的認證信息來認證。OPENFLOW用來relay或者block所有的流量，通過統計流量信息進行要價。OPENWIFI在傳輸層實現以上技術，該方法提供訪問控制和流量轉移而不是拒絕流量，這與鏈路層的機制并不一樣，因此802.11不推薦此方法。

還有一些以改進切換為目的的研究，一些類型的切換和改進的信任機制[2]，并且作為建立新的信任關系的基礎。802.11f提出的IAPP是一個建議的協議來改進切換，也可以用OPENFLOW[4]來實現。

在改進切換和降低丟包方面，AP在發現階段和重新認證階段發送緩存的數據。這是基于掃描一個新AP是總體切換延遲中的一大部分[5]的理論。掃描之前，STA可以通知AP將其進行休眠，AP將緩存數據并在掃描完畢之后清除數據，新AP通過混雜模式已收到STA在舊AP上保存的數據包。

本文首先介紹802.11網絡中的認證、授權和移動性管理。其次，詳細介紹了在企業無線網絡中3種認證、授權和移動性管理的設計思路，并對3種方法的優缺點進行對比。

1802.11無線網絡

IEEE標準802.11規定了無線局域網（WLAN）的組件、功能和協議。本文對這些功能進行詳細的描述。

802.11無線網絡通常包含一個或多個無線接入點（AP），這些AP用來連接STAtions（STA）并通過交換包含數據或者控制信息的數據幀進行通信。AP可以通過骨干網絡連接到互連網絡中。因為只有認證的終端能夠授予訪問網絡的權利，因此STA必須提供自身的身份信息給無線網絡進行認證，這種認證可以在AP或者認證服務器上進行。

STA是一個兼容802.11媒體訪問控制并具有無線媒體物理層接口的設備。每個STA運行一個端口接入實體PAE的實現來控制MAC上的數據轉發。PAE具有提供認證和請求認證2種角色。

AP是經由無線媒介連接到STAs提供分布式的接入服務。通過管理控制和非控制2個虛擬接口來扮演認證者的角色。控制接口只接受802.11控制幀，非控制接口接收所有幀，且可以把這些數據幀從無線接口橋接到骨干網上。

客戶端在這里定義為非AP的STA，可以連接到AP并扮演一個請求認證的角色。與AP之間具有幾種關系：未連接、連接、認證或者激活。STA可以被多個AP同時認證，但是激活態和連接態是排它的。在無線網絡中，STA從一個無線AP移動到另外一個AP，導致狀態的變換，這個過程稱作為切換。

認證服務器是通過認證申請者提供的身份信息來確定其是否具有接入服務資格的一個實體。認證服務器作為局域網的一個服務器或者運行在AP之上。

在通常的無線網絡中，所有無線節點都是STA，并且其身份是排它的并決定于其運行的服務。通常AP會扮演認證者的角色運行HOSTAPD。客戶端運行WPA_SUPPLIANT，用WPA-PSK或帶有身份信息的賬號進行認證。

STA須經過如下步驟加入無線網絡：首先，要么主動探測信道上的AP、要么被動地從包含bssid信息的信標包中讀取AP信息。其次，依據接入策略以及信號強度，STA選擇其中一個AP進行鏈接，在鏈接前，STA發送一個802.11認證請求管理幀給AP并接收到一個回復包。因為WEP協議通常被認為是不安全的，所以無線網絡通常用開放系統認證和連接后的“真實”認證。

Association是一個用來建立AP/STA對應的服務，并允許分布式系統從客戶端發送數據幀到正確的AP。其可以等效為有線網絡里的插入網口。在掃描覆蓋范圍內的AP后，STA選取其中一個進行連接，發送一個802.11管理幀，這個幀叫做連接請求并包含SSID、支持的速率以及兼容信息。如果AP接收其連接請求，則回復一個連接響應并緩存STA的數據幀。

替代不安全的WEP，大多數無線局域網都支持Robust Secure Network （RSN），這是一個安全標準，提供認證和數據保密服務。認證服務使用IEEE80211.x，數據保密采用TKIP和基于AES的認證協議。

支持RSN的STA可以通過以下幾個方式建立一個健壯安全網絡連接（RSNA）：對于每個連接到802.1x接口的終端，802.1x端口包含控制和非控制接口。首先，一個連接的STA僅可以訪問控制的虛擬借口，AP扮演認證者角色并處理認證信息，這一信息可以是（PSK）、證書或者用戶名密碼。如果是預共享值，則AP自己進行認證；如果是證書或者密碼，則通常由認證服務器進行認證。最后，會話鍵值在AP和STA之間進行協商，然后STA進入激活狀態并能夠訪問網絡。

如果一個STA移動到其連接的AP覆蓋范圍之外，則其漫游到另外一個AP并進行一次切換。首先進行探測，然后發送認證信息，最后發送再連接幀，這個幀類似于連接幀，但是包含額外的6比特當前AP地址信息。這個信息使新AP和舊AP進行傳輸緩存數據表和會話信息的溝通。802.11F中的IAPP協議提供此服務。

如果新AP已經緩存了PMKSA，身份信息的交換可以略過并通過啟動4次握手來建立PTKSA，即會話鍵值。AP通過相同的方式將控制接口和非控制接口信息發送給STA。在非控制接口解鎖之后，STA變成激活狀態。

23種方法對比

本文用控制器構成軟件定義網絡的控制平面。控制器負責提取收集器中存儲的與網絡狀況相關的統計信息，并根據這些信息制定合理的控制方案，最后傳達給AP執行數據包的轉發等工作。

將OPENFLOW整合進無線架構有多種方法。首先應該確定什么功能應該中心化、狀態應該保存在控制器還是AP上。目前，有3種不同的中心化程度方法：其一是最少得中心化處理，即沒有OPENFLOW的傳統模式；其二是幾乎所有功能都轉移到中心服務器上；其三是介于其中的所有方法。這些方法區別在于信息在何處保存。如PMKSAs，這種信息代表著網絡和客戶端之間的信任關系，這一信息到底應該存放在AP還是中心控制器。本文對3種方法的優缺點進行闡述。

2.13種功能都在AP上實現

2.1.1實現方式

大部分的功能都在AP上實現，OPENFLOW實現最少功能。認證和連接一般通過HOSTAPD來實現，關于認證的信息一般在AP上存儲。當一個STA變成激活態，即經過4次握手結束之后，非控制端口被解鎖，STA發送的數據到達OPENFLOW在網橋上的交換機。Packetin消息通知控制器新的終端加入，其數據包按照控制器的邏輯進行轉發。在此情況下，OPENFLOW交換機或者控制器都不實現802.11的功能。

2.1.2優缺點

需要最少的改進并使用最多的AP功能。能夠很輕易地使用在現有的網絡中，但這種方法能實現的功能相當有限，如終端的進入不能被中心控制器管理，決策停留在現有的認證服務器上，AP之間無法進行loadbalance。考慮到移動性，改進切換的可能性不大。由于無論信任關系或者鍵值管理OPENFLOW都不能染指，其余AP的相應狀態OPENFLOW也無法獲得，控制器基本不能跟蹤用戶的移動特征。盡管如此，控制器能記錄本AP的STA統計信息，這些能夠幫助連接到OPENFLOW的交換機進行負載均衡，并對發現高利用率的AP進行調度。

2.2部分功能使用OPENFLOW實現

2.2.1實現方式

這種方式更加中心化，擴展了802.11的管理功能。控制器被擴展來處理802.11的空指針，并能決定用哪個認證服務器。AP通過自身的驅動來處理802.11連接，驅動部分可以不進行修改。OPENFLOW實現替代的網橋，這個網橋工作于無線和有線結構之間，并將802.1x的幀傳送到控制器。OPENFLOW組件通0x888e特征位發現數據幀中包含802.11的協議信息，在未認證之前拋棄所有的數據幀，保留協議幀。控制器能夠獲得AP的狀態信息，并將這些協議幀傳送到認證服務器進行處理。在此過程中，OPENFLOW不負責認證，但至少能夠選擇認證服務器并與之交互。當STA被認證之后，控制器轉發PRIMARY MASTER KEY security assertion給AP，AP也報有這個信息。這個過程后，AP和STA完成了4次握手，OPENFLOW僅實現了將這些協議信息進行轉發、證明和授權，很大一部分由OPENFLOW完成。通過這種實現方式，當一個切換發生的時候，控制器能夠直接將PMKSA轉發給其它AP，而不用再進行重新連接步驟。

2.2.2優缺點

這種實現方式需要轉發部分數據，因此當網絡規模大、客戶端數量大時會成為一個問題。優點在于OPENFLOW可以將認證協議包發送到指定的認證服務器，這使得設備的接入可以采用通用賬號，如google賬號，這一優勢增加了認證的靈活性。此外，pmksas對controller是可見的，這樣控制器能夠建立STA和其它AP之間的信任關系，在STA漫游之前，就能積極準備漫游的發生，使得漫游過程更加迅速。這種實現還有一個缺點在于安全控制。在這種實現下，loadbalance可以在核心網絡上實現，而不是在網絡的邊緣。

2.33種功能完全使用OPENFLOW實現

2.3.1實現方式

在AP上，通過修改802.11驅動來改變接收到連接請求時的動作，驅動不再發送連接應答，將數據幀傳送給OPENFLOW進行處理。OPENFLOW實現一個網橋替換無線和有線接口之間的網橋，將所有的連接請求發送到OPENFLOW模塊，在具有網絡的視角以及用戶的請求，控制器可以決定是否接受客戶端的連接請求或者拒絕它。如將連接請求轉發到低負載的AP上。這要求OPENFLOW能夠產生802.11幀。所有的802.11幀都通過AP送到控制器，AP扮演轉發者而不保持連接或者認證用戶的狀態。控制器必須重新實現802.11的連接和斷開、802.1x的認證、與認證服務器的通信、會話鍵值管理等。

2.3.2優缺點

該實現方式需要做大量修改和controller高計算負載。為了保障可伸縮性，需要布置多個控制器和引入其它的分布式狀態。這種實現方式具有很強的靈活性，可以使來自網絡邊際的負載均衡變得可能。認證服務器能夠處理客戶端的連接請求而不用分布到AP上。改進切換通過使用相同的會話鍵，在一個客戶端之前已經active的情況下重用PTKSA并略過4次握手。

3結束語

本文分析了傳統企業無線網絡中認證、授權以及移動性3種功能在軟件定義網絡中的實現方式和優缺點。并指出在軟件定義網絡中，認證、授權以及移動性管理是可信的。

參考文獻

[1] Bargh M S， Hulsebosch R J， Eertink E H， et al. Fast authentication methods for handovers between IEEE 802.11 wireless LANs[C]// ACM International Workshop on Wireless Mobile Applications and Services on Wlan Hotspots. ACM， 2004：51-60.

[2] TU Berlin. Berlin open wireless lab. http：//www.bowl.tu-berlin.de/，2012.

[3] Floodlight. A java-based openow controller.http：//oodlight.openow hub.org， 2012.

[4] Gude N， Koponen T， Pettit J， et al. NOX：towards an operating system for networks[J]. Acm Sigcomm Computer Communication Review， 2008， 38（3）：105-110.

[5] IEEE-Std 802.11gTM IEEE Standard for Information Technology-Telecommunications and Information Exchange Between Systems-Local and Metropolitan Area Networks-Specific Requirements. part 11：Wireless LAN medium access control （MAC） and physical layer （PHY） specification[S]. New York， USA： IEEE， 2003.