漫谈WLAN快速切换

1、漫谈wlan快速切换1、概述 近年来，用户对接入业务的需求呈现宽带化、移动化和便捷化等特点。以ieee 802.11b标准为基础的宽带无线局域网(wlan)技术和产品迎合了人们对游牧状态下的宽带数据接入的需求，并在全球得到了大规模推广应用。wlan技术近两年发展较为迅速，由于ieee 802.11系列标准解决了空中接口兼容性问题，有力地促进了无线局域网终端和接入点(ap)的互通，因此设备成本下降很快。在提供internet接入业务的同时还提供语音通信和移动通信功能的宽带无线局域网已经成为当前的热点技术。 ieee提出了应用于无线局域网的ieee 802.11系列标准，ieee 802.11委员

2、会下的各个工作组正在试图定义各种802.11接口，以便802.11与其他有线网络、蜂窝移动通信网络之间的互通。ieee 802.11系列标准包括802.11b、802.11a和802.11g等物理层规范，802.11、802.11e、802.11i、802.11h和802.11r等增强型媒质接入控制(mac)层规范，802.11f、802.11n、802.11p、802.11s和802.11t等高层协议的规范。目前已经颁布的标准有802.11b、802.11a、802.11g、802.11i和802.11f，其他标准正在制定之中。 2、ieee 802.11r技术的提出 为了支持sta的移动性

3、，ieee首先提出了ieee 802.11f标准，即iapp(inter-access point protocol)协议，该标准规定了为了实现sta在同一网段上多ap之间的漫游功能，ap之间进行通信和交换切换相关信息的协议。所谓“切换”是指sta在移动到两个bss覆盖范围的临界处时，sta与新ap重新关联并与原ap断开关联的过程。802.11f标准规定了由sta、多个ap、ds(distribution service)、ac以及radius服务器组成的系统来实现sta在同一个ess下不同ap之间的切换功能。当由于无线链路的原因sta需要发生切换时，在与新ap进行正常通信前，必须与新ap进行

4、重新认证和重新关联。iapp协议是一个应用在ip层之上的高层协议，为了保证ap之间安全通信，支持iapp协议的ap应当向radius服务器进行注册，建立ap之间的安全通信连接。ap与radius之间的交互信息包括ap的bss id到ip地址之间的映射，radius向ap发送密钥以保证ap之间的安全通信。当sta需要切换时，需向新ap发出关联或者重新关联消息，ap应与radius服务器进行消息交互，实现新ap bss id与ip地址的映射，并且radius服务器向ap发送相应的密钥。由于每次sta切换时ap都需要与radius服务器进行消息交换，因此发生切换的时延比较长。为此802.11委员会成

5、立了tgr工作组进行fbt(fast bss transition，快速切换)的研究，目的是为了研究实现支持时延敏感业务的快速切换技术。 3、ieee 802.11r技术规范的范围和目的 802.11的tgr工作组在2004年底到2005年内初提出了802.11r的d0.00版本，并于今年3月提出了d0.01版本，以下对于802.11r的介绍都是基于d0.01版本。802.11r预计在2006年完成。 802.11r规定了发生切换时sta与同一ess下的ap之间的通信流程(包括验证密钥)，实现基于无线数据和无线语音的快速漫游协议。对于sta发生切换的条件和sta与不同ess下的ap之间的切换不

6、在802.11r的规定范围之内。802.11r技术适用于ieee 802.11i rsn(鲁棒性安全网络)和ieee 802.11e网络，也适用于不支持802802.11i rsn和ieee 802.11e网络。 当sta发生切换时，应与当前ap断开连接，与新ap建立新的连接，这个过程引起了短暂的连接丢失，可能导致丢包和上层协议的重传，最终导致切换时延变长。802.11r的目的是为了减少切换的时延，用于支持对时延敏感的voip等实时业务。切换时延包括实现802.11i中规定的认证时延、密钥交换时延以及重关联时延。802.11r通过研究新的认证协议、新的密钥管理协议、更快的ptk算法以及在重关联

7、或者关联之前的资源的预留，努力使验证和切换的时间压缩到最小程度。 4、802.11r快速切换协议 802.11r快速切换协议切换包括发现(discovery)、资源确认和配置(resource allocation)和快速切换(fast bss transition)3个阶段。发现阶段是指当sta发生切换之前，应该通过扫描其他的无线信道发现候选切换的ap以决定目标ap的过程。如果sta的当前连接支持的业务需要一定的资源，那么候选的目标ap则应该能够具备一定的资源支持此业务。 在ieee 802.11e的关联过程中，支持ieee 802.11e的qsta与目标ap发生关联，然后进行资源确认和预留

8、。此关联过程势必大大增加切换的时间，而且不能保证目标ap满足业务所需的资源要求，可能引起再一次的切换。在fbt网络中，资源确认和配置阶段是指当sta发生切换时，在与新ap发生关联之前就应该与新ap进行通信以确保目标ap具备所需的各类资源的过程。快速切换阶段是指sta一旦确定了目标ap，与原ap断开连接并与新ap建立连接的过程。 rsn中的快速切换过程包括建立新信道的无线连接与新ap建立关联，接着是认证过程(或者是在关联之前实现预认证过程)，然后是密钥管理阶段，最后是确认其他的一些连接参数，例如qos参数。在rsn中，由802.1x认证引入的时延可以通过pmk(pairwise master k

9、ey，单播主密钥)的缓存和预认证减少。当sta通过在与新ap关联之前或者预认证阶段缓存了安全关联，sta与新ap关联时无需再进行重新认证，但是还需要通过802.11i规定的4次握手协议实现密钥的管理和分发。sta可以通过无线方式或者当前ap和ds实现与新ap关联之前的预认证过程，建立pmksa(单播主密钥安全关联)，然后在与新ap的关联或者重关联阶段中通过pmkid(单播主密钥安全关联标识符)得到已经缓存的pmk。当与aaa服务器进行eap认证时，aaa服务器向ap返回认证有效存活时间参数，例如radius服务器和diameter服务器返回的session-timeout属性。pmk作为认证的

10、结果，aaa服务器的存活时间即是pmk的存活时间。ap为了保持业务的连续性应该在存活时间之内发起重新认证过程。在以前的rsna(鲁棒性安全关联)中，ap并不告诉sta关于pmk的超时信息，因此当sta利用pmkid试图发起重关联时，发现ap可能因pmk超时而不接受重关联，而需要完整的认证过程。因此，为了实现快速切换也不能采用rsn中的重关联过程。fbt网络通过定义新的密钥管理协议用于减少动态密钥分发带来的时延，通过告知pmksa的存活时间，sta可以选择合适的pmk作为密钥，可以判断是否能够采用预密钥或者需要进行预认证过程。 802.11r定义了以下两种切换方式实现快速切换： (1)基本方式(

11、basic mechanism)，即在重关联阶段进行资源的分配和其他所需信息的交互。这种方式适用于ap工作在轻载状态，并且通过beacon/probe响应消息获得目标ap的资源状况的场合。在支持ieee802.11e的qos网络中，ap通过beacon/probe响应消息中的qbss ie(信息元素)进行能力告知。qbss ie包括3个字段，分别是已经关联的sta数、bss信道使用情况和允许的接入能力。 (2)预先保留资源方式(pre-reservation mechanism)，指在重关联阶段之前预先进行资源确认和分配。这种机制适用于ds架构变化缓慢或者希望通过明确的资源保留来确保的业务qo

12、s的场合。 图1是一个典型的快速切换的拓扑，包括多个目标ap、ds和认证服务器。假设ds是安全的，即ap之间的通信是安全的。sta已经与ap1进行连接，上面有多个qos业务流。在此拓扑中，sta发生切换时，ap2和ap3作为候选的目标ap可以切换。sta通过scanning或者其他的办法确定最佳的目标ap为ap2。sta可以通过两种途径向目标ap发起资源请求(resource request)：一种是sta暂时断开当前的无线信道，通过其他的无线信道与目标ap2进行通信；另一种是sta通过当前的ap1转发sta的资源请求(resource request)与目标ap2进行通信。无论哪种方式，st

13、a和目标ap之间都是通过rrsap(resource request service access point)模块进行资源配置的处理。图2和图3给出了这两种方式的功能图。 图1快速切换典型拓扑示意图 图2通过无线方式实现资源请求功能图 图3通过ds方式实现资源请求功能图 从图2可以看出，sta上的rrsap产生资源请求消息，ap上的rrsap接收和处理来自sta的资源请求，并且响应sta的资源请求。从图3可以看出，sta的rrsap与当前ap broker function进行资源请求与响应，sta发送包括目标ap的资源请求消息，当前ap的broker function向目标ap转发资源请求

14、，目标ap接收资源请求。broker function可以实现资源请求消息的转发，限制sta发起的资源保留请求数或者能够同时保留资源的ap数。sta可以选择在切换之前在目标ap上保留资源，如果提前在目标ap上保留了资源，那么此资源在目标ap上的保存将持续一段时间，sta应该在此时间内完成切换过程。 802.11r通过定义一个ric(resource information container，资源信息存储器)提供资源的保留机制。sta发起的资源请求消息中应该包括各种强制的和可选的资源。对支持rsn的网络，fbt定义了一种在sta与目标ap之间的预密钥或者资源预留机制，定义了新的802.11的认

15、证消息用来允许客户端在重关联或关联之前发起握手消息生成ptk。 5、802.11r快速切换流程 802.11r对快速切换功能的支持可以通过扩展的ie(信息元素)中的能力比特位进行指示。在802.11r中单独定义了快速切换ie(快速切换信息元素)，其中包括2个附加的ie，一个用于qos参数(trie)，另一个用于安全参数(tsie)。可以通过在beason/rrobe响应消息中包括的所有的ie进行能力交互。802.11r定义了新的802.11认证流程，允许支持快速切换的sta发起快速切换认证请求。 802.11r定义了3类帧格式用于快速切换。第一类是快速切换authentication fram

16、e(认证帧)，包括1th frame、2th frame、3th frame和4th frame共4种帧。其中1th frame是快速切换认证请求帧，由sta发往目标ap，2th frame是目标ap对sta的认证请求的响应帧。这两个帧用于ap和sta各自交换anonce和snonce，用于产生ptk。如果是非rsn，则这两个帧等同于802.11中的open authentication帧。3th frame和4th frame分别是802.11认证确认帧和802.11认证ack帧，用在预先资源保留方式中的ptk生存时间交互和对资源进行提前保留。第二类是快速切换reassociation fr

17、ame(重关联帧)，包括重关联请求帧和重关联响应帧。第三类是快速切换action frame，包括ft request frame(快速切换请求帧)、ft response frame(快速切换响应帧)、ft confirm frame(快速切换确认帧)和ft ack frame(快速切换响应帧)。快速切换action frame用在当前ap和目标ap之间，表明通过ds方式实现资源请求的消息交互。 基于基本方式的快速切换流程如图4所示。基本方式不需要提前保留资源，流程简化了为建立802.11i中的ptksa(单播临时密钥安全关联)和802.11e中的qos资源所需的消息交互流程，并且将新定义的

18、ie运用在ptksa和qos资源配置中。从图4可以看出，快速切换流程采用了802.11r新定义的802.11认证消息使得支持快速切换的sta与目标ap能够指定已经建立好的ptksa，通过提供anonce和snonce提前计算出ptk，然后再进行qos资源的交互。ptksa的建立可以保证重关联消息交互中的qos的完整性。802.11的认证请求和认证响应消息既可以通过无线信道方式实现，也可通过ds方式实现。 图4基于基本方式的快速切换流程图(无线信道方式) 而在无线信道方式和ds方式下，基于预先保留资源方式的快速切换通过预先在目标ap上保存ptksa和qos资源，从而更好的减少切换产生的时延。同时，通过新引入的ric表明各种资源要求和各类资源请求的集合。ric本质上是各类ie的集合，用来表示资源数目，资源要求的说明和各种资源要求之间的关系。与基本方式的快速切换类似，预先保留资源方式的快速切换方式也采用了新的802.11认证流程。 6、总结 802.