WiFi Fast Roaming IEEE 802.11r chuyển vùng nhanh là gì?

13/07/2023 Đăng bởi: CÔNG TY TNHH AUTOMATION & CONTROL

Sơ lược về giao thức không dây 802.11 và thời điểm triển khai.

Vì một số lý do, tất cả các mô tả về 802.11r đều không đưa ra được lời giải thích đơn giản về giao thức chuyển vùng nhanh WiFi. Hầu hết chúng đều ở cấp độ quá cao và không có hiệu quả, hoặc chúng có xu hướng nhanh chóng bị lạc trong đám cỏ kỹ thuật. Bài đăng trên blog này cố gắng thu hẹp khoảng cách đó và cung cấp một lời giải thích hợp lý đơn giản nhưng thấu đáo.

Chuyển vùng nhanh là gì?

Chuyển vùng nhanh, còn được gọi là IEEE 802.11r hoặc Fast BSS Transition (FT), cho phép thiết bị khách chuyển vùng nhanh chóng trong môi trường triển khai bảo mật WPA2 Enterprise, bằng cách đảm bảo rằng thiết bị khách không cần xác thực lại máy chủ RADIUS mỗi lần nó chuyển vùng từ điểm truy cập này sang điểm truy cập khác. Điều này được thực hiện bằng cách thực sự thay đổi quy trình xác thực, liên kết và bắt tay bốn chiều tiêu chuẩn được sử dụng khi thiết bị chuyển vùng (tức là liên kết lại) với một điểm truy cập WiFi mới.

Lời giải thích đơn giản nhất là, sau khi một máy khách kết nối với AP đầu tiên trên mạng, máy khách được "xác nhận". Khi một thiết bị khách chuyển vùng sang một AP mới, thông tin từ liên kết ban đầu sẽ được chuyển đến AP mới để cung cấp thông tin xác thực cho khách hàng. Do đó, AP mới biết rằng ứng dụng khách này đã được máy chủ xác thực phê duyệt và do đó không cần lặp lại toàn bộ quá trình trao đổi 802.1X / EAP một lần nữa.

Chuyển vùng nhanh cũng mang lại hiệu quả cho quá trình thiết lập khóa mã hóa mới giữa AP mới và thiết bị khách, điều này mang lại lợi ích cho cả WPA2 Personal (hay còn gọi là khóa chia sẻ trước hoặc cụm mật khẩu) và WPA2 Enterprise (còn gọi là 802.1X hoặc EAP). Hỗ trợ cho 802.11r được quảng cáo trong đèn hiệu AP và khung phản hồi thăm dò.

Quy trình liên kết thông thường

Đây là các bước thông thường, hoặc trước 802.11r, được thực hiện bởi thiết bị khách khi nó kết nối với điểm truy cập hoặc chuyển vùng từ điểm truy cập này sang điểm truy cập khác.

1. Xác thực (khách hàng)

2. Phản hồi xác thực (AP)

3. (Re) Yêu cầu liên kết (khách hàng)

4. (Re) Phản hồi của Hiệp hội (AP)

 WPA2 Enterprise 802.1X / EAP (máy khách, AP và máy chủ xác thực); bỏ qua trong WPA2 Personal

5. Bắt tay bốn chiều # 1 - AP nonce được chuyển cho máy khách (AP)

6. Bắt tay bốn chiều # 2 - Nonce Supplicant được chuyển tới AP (client)

6.5   Lấy ra khóa mã hóa (AP & Client độc lập)

7. Bắt tay bốn chiều # 3 - xác minh khóa mã hóa bắt nguồn và giao tiếp của khóa tạm thời nhóm (AP)

8. Bắt tay bốn chiều # 4 - xác nhận giải mã thành công (máy khách)

Lưu ý, số nonce là một số giả ngẫu nhiên được tạo ra với mục đích gieo mầm thuật toán mã hóa. Cả AP (ẩn danh) và thiết bị hỗ trợ ứng dụng khách (snonce) đều tạo ra các lỗi không riêng của chúng như một phần của thương lượng.

Quá trình liên kết lại chuyển vùng nhanh chóng

Dưới đây liệt kê các bước sửa đổi - 802.11r - được thực hiện bởi thiết bị khách khi nó sử dụng Fast BSS Transition (FT) để di chuyển từ điểm truy cập này sang điểm truy cập khác.

1. xác thực FT; bao gồm thông tin hạt giống PMK từ liên kết ban đầu và nonce gợi ý (khách hàng)

2. Phản hồi xác thực FT - bao gồm thông tin hạt giống PMK và AP nonce (AP)

2.5 Bắt nguồn từ khóa mã hóa (AP & Client độc lập)

3. Yêu cầu liên kết lại FT - xác minh khóa mã hóa dẫn xuất (máy khách)

4. Phản hồi kết hợp lại FT - xác nhận giải mã thành công và Khóa tạm thời nhóm (AP)

Quy trình này hoạt động đối với cả liên kết lại WPA2 Enterprise và WPA2 Personal. Trong cả hai trường hợp, tám thông báo được chuyển giữa AP và thiết bị khách để xác thực, liên kết và bắt tay bốn chiều được giảm xuống còn bốn thông báo.

Lưu ý rằng có một phương pháp thay thế được gọi là chuyển tiếp BSS nhanh qua DS, trong đó thông tin xác thực được chuyển từ AP này sang AP khác trên mạng thông qua các khung quản lý hành động FT qua mạng Ethernet có dây kết nối chúng với nhau. Đây thường là một trong những chi tiết làm xáo trộn dòng nước của câu chuyện 802.11r. Điểm cốt yếu vẫn được giữ nguyên: AP đầu tiên "xác nhận" thiết bị khách cho các AP khác, do đó các AP còn lại không cần xác minh lại rằng thiết bị khách được phép kết nối với mạng.

zalo