企业无线网络中的认证、授权和移动性管理对比研究_手机_

...,由集英社正版授权、车田正美监修的3D网游大作《圣斗士星矢》,...

张小云

文章编号： 2095-2163（2018）03-0175-04中图分类号：文献标志码： A

摘要：关键词： in Enterprise Wireless Network

（Gansu Armed Police Corps， Lin Xia Gansu 730046， China）

Abstract： With the development of software defined network in enterprise wireless network， new authentication， authorization and mobility methods yields. This article aims to discuss the advantages and disadvantages of traditional authentication， authorization， and mobility management methods and softwaredefined networking methods. The results show that it is feasible and reliable to implement these functions in softwaredefined networks.

Key words：

作者简介：

收稿日期：引言

在企业无线网络中，多个接入点（AP）提供一个典型的区域网络覆盖，如企业、车站、校园、医院等。企业无线网络广播相同的服务集标识符（SSID），客户端可以选择信号最强的AP连接并移动或动态地切换到其他的AP。AP通过有线或者无线接入主干网。

物理信道具有无线物理特性，因此对访问基础设施进行认证和访问控制变得至关重要。由于AP覆盖范围有限，网络中的移动客户端，如笔记本电脑和智能手机，需要从一个AP切换到另一个AP。此过程包括扫描和选择一个AP并与之相连、重认证并重关联，负载平衡也是切换的一个原因。如果对每个AP进行单独配置，则AP之间的切换极为复杂。在负载平衡的情况下，AP将自己的统计信息发送给邻居AP来决策是否进行切换。针对这种网络特性，中心式处理更有利于全局的负载均衡，这一思路与中心式处理方式的软件定义网络相似。OPENFLOW提供开放的接口来控制整个网络，这使得网络管理者能够在不考虑底层实现的情况下运行自己的网络管理逻辑。

多数的企业无线网络采用集中式的认证方式，認证服务一般通过WPA-ENTERPRISE提供。中心认证服务器给每个用户分配一个账号，用户在该服务器上进行认证而非在AP上进行认证。在软件定义无线网络中，有3种方式进行认证、授权和移动性管理：传统方式、部分使用软件定义网络方式以及完全使用软件定义网络方式。下面列出是相关的研究方法。

OPENFLOW Wireless方法使不同无线网络之间的切换实现更加方便[1]。该方法提供一个接口在80111和UMTS蜂窝网络之间进行无缝切换。OPENWIFI是另一个与无线网络相关的OPENFLOW项目，把访问（连接、转发）、认证和要价（流量监控、要价）定义为不同的功能，并将其分割。开放系统认证或者预定义的预共享码被使用，并且当一个IP地址已经经由DHCP获得，数据流将被投放到其它特定的提供网页接口认证服务器[2]。用户可以通过Google、Facebook等平台上的认证信息来认证。OPENFLOW用来relay或者block所有的流量，通过统计流量信息进行要价。OPENWIFI在传输层实现以上技术，该方法提供访问控制和流量转移而不是拒绝流量，这与链路层的机制并不一样，因此802.11不推荐此方法。

还有一些以改进切换为目的的研究，一些类型的切换和改进的信任机制[2]，并且作为建立新的信任关系的基础。802.11f提出的IAPP是一个建议的协议来改进切换，也可以用OPENFLOW[4]来实现。

在改进切换和降低丢包方面，AP在发现阶段和重新认证阶段发送缓存的数据。这是基于扫描一个新AP是总体切换延迟中的一大部分[5]的理论。扫描之前，STA可以通知AP将其进行休眠，AP将缓存数据并在扫描完毕之后清除数据，新AP通过混杂模式已收到STA在旧AP上保存的数据包。

本文首先介绍802.11网络中的认证、授权和移动性管理。其次，详细介绍了在企业无线网络中3种认证、授权和移动性管理的设计思路，并对3种方法的优缺点进行对比。

1802.11无线网络

IEEE标准802.11规定了无线局域网（WLAN）的组件、功能和协议。本文对这些功能进行详细的描述。

802.11无线网络通常包含一个或多个无线接入点（AP），这些AP用来连接STAtions（STA）并通过交换包含数据或者控制信息的数据帧进行通信。AP可以通过骨干网络连接到互连网络中。因为只有认证的终端能够授予访问网络的权利，因此STA必须提供自身的身份信息给无线网络进行认证，这种认证可以在AP或者认证服务器上进行。

STA是一个兼容802.11媒体访问控制并具有无线媒体物理层接口的设备。每个STA运行一个端口接入实体PAE的实现来控制MAC上的数据转发。PAE具有提供认证和请求认证2种角色。

AP是经由无线媒介连接到STAs提供分布式的接入服务。通过管理控制和非控制2个虚拟接口来扮演认证者的角色。控制接口只接受802.11控制帧，非控制接口接收所有帧，且可以把这些数据帧从无线接口桥接到骨干网上。

客户端在这里定义为非AP的STA，可以连接到AP并扮演一个请求认证的角色。与AP之间具有几种关系：未连接、连接、认证或者激活。STA可以被多个AP同时认证，但是激活态和连接态是排它的。在无线网络中，STA从一个无线AP移动到另外一个AP，导致状态的变换，这个过程称作为切换。

认证服务器是通过认证申请者提供的身份信息来确定其是否具有接入服务资格的一个实体。认证服务器作为局域网的一个服务器或者运行在AP之上。

在通常的无线网络中，所有无线节点都是STA，并且其身份是排它的并决定于其运行的服务。通常AP会扮演认证者的角色运行HOSTAPD。客户端运行WPA_SUPPLIANT，用WPA-PSK或带有身份信息的账号进行认证。

STA须经过如下步骤加入无线网络：首先，要么主动探测信道上的AP、要么被动地从包含bssid信息的信标包中读取AP信息。其次，依据接入策略以及信号强度，STA选择其中一个AP进行链接，在链接前，STA发送一个802.11认证请求管理帧给AP并接收到一个回复包。因为WEP协议通常被认为是不安全的，所以无线网络通常用开放系统认证和连接后的“真实”认证。

Association是一个用来建立AP/STA对应的服务，并允许分布式系统从客户端发送数据帧到正确的AP。其可以等效为有线网络里的插入网口。在扫描覆盖范围内的AP后，STA选取其中一个进行连接，发送一个802.11管理帧，这个帧叫做连接请求并包含SSID、支持的速率以及兼容信息。如果AP接收其连接请求，则回复一个连接响应并缓存STA的数据帧。

替代不安全的WEP，大多数无线局域网都支持Robust Secure Network （RSN），这是一个安全标准，提供认证和数据保密服务。认证服务使用IEEE80211.x，数据保密采用TKIP和基于AES的认证协议。

支持RSN的STA可以通过以下几个方式建立一个健壮安全网络连接（RSNA）：对于每个连接到802.1x接口的终端，802.1x端口包含控制和非控制接口。首先，一个连接的STA仅可以访问控制的虚拟借口，AP扮演认证者角色并处理认证信息，这一信息可以是（PSK）、证书或者用户名密码。如果是预共享值，则AP自己进行认证；如果是证书或者密码，则通常由认证服务器进行认证。最后，会话键值在AP和STA之间进行协商，然后STA进入激活状态并能够访问网络。

如果一个STA移动到其连接的AP覆盖范围之外，则其漫游到另外一个AP并进行一次切换。首先进行探测，然后发送认证信息，最后发送再连接帧，这个帧类似于连接帧，但是包含额外的6比特当前AP地址信息。这个信息使新AP和旧AP进行传输缓存数据表和会话信息的沟通。802.11F中的IAPP协议提供此服务。

如果新AP已经缓存了PMKSA，身份信息的交换可以略过并通过启动4次握手来建立PTKSA，即會话键值。AP通过相同的方式将控制接口和非控制接口信息发送给STA。在非控制接口解锁之后，STA变成激活状态。

23种方法对比

本文用控制器构成软件定义网络的控制平面。控制器负责提取收集器中存储的与网络状况相关的统计信息，并根据这些信息制定合理的控制方案，最后传达给AP执行数据包的转发等工作。

将OPENFLOW整合进无线架构有多种方法。首先应该确定什么功能应该中心化、状态应该保存在控制器还是AP上。目前，有3种不同的中心化程度方法：其一是最少得中心化处理，即没有OPENFLOW的传统模式；其二是几乎所有功能都转移到中心服务器上；其三是介于其中的所有方法。这些方法区别在于信息在何处保存。如PMKSAs，这种信息代表着网络和客户端之间的信任关系，这一信息到底应该存放在AP还是中心控制器。本文对3种方法的优缺点进行阐述。

2.13种功能都在AP上实现

2.1.1实现方式

大部分的功能都在AP上实现，OPENFLOW实现最少功能。认证和连接一般通过HOSTAPD来实现，关于认证的信息一般在AP上存储。当一个STA变成激活态，即经过4次握手结束之后，非控制端口被解锁，STA发送的数据到达OPENFLOW在网桥上的交换机。Packetin消息通知控制器新的终端加入，其数据包按照控制器的逻辑进行转发。在此情况下，OPENFLOW交换机或者控制器都不实现802.11的功能。

2.1.2优缺点

需要最少的改进并使用最多的AP功能。能够很轻易地使用在现有的网络中，但这种方法能实现的功能相当有限，如终端的进入不能被中心控制器管理，决策停留在现有的认证服务器上，AP之间无法进行loadbalance。考虑到移动性，改进切换的可能性不大。由于无论信任关系或者键值管理OPENFLOW都不能染指，其余AP的相应状态OPENFLOW也无法获得，控制器基本不能跟踪用户的移动特征。尽管如此，控制器能记录本AP的STA统计信息，这些能够帮助连接到OPENFLOW的交换机进行负载均衡，并对发现高利用率的AP进行调度。

2.2部分功能使用OPENFLOW实现

2.2.1实现方式

这种方式更加中心化，扩展了802.11的管理功能。控制器被扩展来处理802.11的空指针，并能决定用哪个认证服务器。AP通过自身的驱动来处理802.11连接，驱动部分可以不进行修改。OPENFLOW实现替代的网桥，这个网桥工作于无线和有线结构之间，并将802.1x的帧传送到控制器。OPENFLOW组件通0x888e特征位发现数据帧中包含802.11的协议信息，在未认证之前抛弃所有的数据帧，保留协议帧。控制器能够获得AP的状态信息，并将这些协议帧传送到认证服务器进行处理。在此过程中，OPENFLOW不负责认证，但至少能够选择认证服务器并与之交互。当STA被认证之后，控制器转发PRIMARY MASTER KEY security assertion给AP，AP也报有这个信息。这个过程后，AP和STA完成了4次握手，OPENFLOW仅实现了将这些协议信息进行转发、证明和授权，很大一部分由OPENFLOW完成。通过这种实现方式，当一个切换发生的时候，控制器能够直接将PMKSA转发给其它AP，而不用再进行重新连接步骤。

2.2.2优缺点

这种实现方式需要转发部分数据，因此当网络规模大、客户端数量大时会成为一个问题。优点在于OPENFLOW可以将认证协议包发送到指定的认证服务器，这使得设备的接入可以采用通用账号，如google账号，这一优势增加了认证的灵活性。此外，pmksas对controller是可见的，这样控制器能够建立STA和其它AP之间的信任关系，在STA漫游之前，就能积极准备漫游的发生，使得漫游过程更加迅速。这种实现还有一个缺点在于安全控制。在这种实现下，loadbalance可以在核心网络上实现，而不是在网络的边缘。

2.33种功能完全使用OPENFLOW实现

2.3.1实现方式

在AP上，通过修改802.11驱动来改变接收到连接请求时的动作，驱动不再发送连接应答，将数据帧传送给OPENFLOW进行处理。OPENFLOW实现一个网桥替换无线和有线接口之间的网桥，将所有的连接请求发送到OPENFLOW模块，在具有网络的视角以及用户的请求，控制器可以决定是否接受客户端的连接请求或者拒绝它。如将连接请求转发到低负载的AP上。這要求OPENFLOW能够产生802.11帧。所有的802.11帧都通过AP送到控制器，AP扮演转发者而不保持连接或者认证用户的状态。控制器必须重新实现802.11的连接和断开、802.1x的认证、与认证服务器的通信、会话键值管理等。

2.3.2优缺点

该实现方式需要做大量修改和controller高计算负载。为了保障可伸缩性，需要布置多个控制器和引入其它的分布式状态。这种实现方式具有很强的灵活性，可以使来自网络边际的负载均衡变得可能。认证服务器能够处理客户端的连接请求而不用分布到AP上。改进切换通过使用相同的会话键，在一个客户端之前已经active的情况下重用PTKSA并略过4次握手。

3结束语

本文分析了传统企业无线网络中认证、授权以及移动性3种功能在软件定义网络中的实现方式和优缺点。并指出在软件定义网络中，认证、授权以及移动性管理是可信的。

参考文献

[1] Bargh M S， Hulsebosch R J， Eertink E H， et al. Fast authentication methods for handovers between IEEE 802.11 wireless LANs[C]// ACM International Workshop on Wireless Mobile Applications and Services on Wlan Hotspots. ACM， 2004：51-60.

[2] TU Berlin. Berlin open wireless lab. http：//www.bowl.tu-berlin.de/，2012.

[3] Floodlight. A java-based openow controller.http：//oodlight.openow hub.org， 2012.

[4] Gude N， Koponen T， Pettit J， et al. NOX：towards an operating system for networks[J]. Acm Sigcomm Computer Communication Review， 2008， 38（3）：105-110.

[5] IEEE-Std 802.11gTM IEEE Standard for Information Technology-Telecommunications and Information Exchange Between Systems-Local and Metropolitan Area Networks-Specific Requirements. part 11：Wireless LAN medium access control （MAC） and physical layer （PHY） specification[S]. New York， USA： IEEE， 2003.