張小云

文章編號(hào)： 2095-2163（2018）03-0175-04中圖分類號(hào)： 文獻(xiàn)標(biāo)志碼： A

摘要： 關(guān)鍵詞： in Enterprise Wireless Network

（Gansu Armed Police Corps， Lin Xia Gansu 730046， China）

Abstract： With the development of software defined network in enterprise wireless network， new authentication， authorization and mobility methods yields. This article aims to discuss the advantages and disadvantages of traditional authentication， authorization， and mobility management methods and softwaredefined networking methods. The results show that it is feasible and reliable to implement these functions in softwaredefined networks.

Key words：

作者簡(jiǎn)介：

收稿日期： 引言

在企業(yè)無(wú)線網(wǎng)絡(luò)中，多個(gè)接入點(diǎn)（AP）提供一個(gè)典型的區(qū)域網(wǎng)絡(luò)覆蓋，如企業(yè)、車站、校園、醫(yī)院等。企業(yè)無(wú)線網(wǎng)絡(luò)廣播相同的服務(wù)集標(biāo)識(shí)符（SSID），客戶端可以選擇信號(hào)最強(qiáng)的AP連接并移動(dòng)或動(dòng)態(tài)地切換到其他的AP。AP通過(guò)有線或者無(wú)線接入主干網(wǎng)。

物理信道具有無(wú)線物理特性，因此對(duì)訪問(wèn)基礎(chǔ)設(shè)施進(jìn)行認(rèn)證和訪問(wèn)控制變得至關(guān)重要。由于AP覆蓋范圍有限，網(wǎng)絡(luò)中的移動(dòng)客戶端，如筆記本電腦和智能手機(jī)，需要從一個(gè)AP切換到另一個(gè)AP。此過(guò)程包括掃描和選擇一個(gè)AP并與之相連、重認(rèn)證并重關(guān)聯(lián)，負(fù)載平衡也是切換的一個(gè)原因。如果對(duì)每個(gè)AP進(jìn)行單獨(dú)配置，則AP之間的切換極為復(fù)雜。在負(fù)載平衡的情況下，AP將自己的統(tǒng)計(jì)信息發(fā)送給鄰居AP來(lái)決策是否進(jìn)行切換。針對(duì)這種網(wǎng)絡(luò)特性，中心式處理更有利于全局的負(fù)載均衡，這一思路與中心式處理方式的軟件定義網(wǎng)絡(luò)相似。OPENFLOW提供開(kāi)放的接口來(lái)控制整個(gè)網(wǎng)絡(luò)，這使得網(wǎng)絡(luò)管理者能夠在不考慮底層實(shí)現(xiàn)的情況下運(yùn)行自己的網(wǎng)絡(luò)管理邏輯。

多數(shù)的企業(yè)無(wú)線網(wǎng)絡(luò)采用集中式的認(rèn)證方式，認(rèn)證服務(wù)一般通過(guò)WPA-ENTERPRISE提供。中心認(rèn)證服務(wù)器給每個(gè)用戶分配一個(gè)賬號(hào)，用戶在該服務(wù)器上進(jìn)行認(rèn)證而非在AP上進(jìn)行認(rèn)證。在軟件定義無(wú)線網(wǎng)絡(luò)中，有3種方式進(jìn)行認(rèn)證、授權(quán)和移動(dòng)性管理：傳統(tǒng)方式、部分使用軟件定義網(wǎng)絡(luò)方式以及完全使用軟件定義網(wǎng)絡(luò)方式。下面列出是相關(guān)的研究方法。

OPENFLOW Wireless方法使不同無(wú)線網(wǎng)絡(luò)之間的切換實(shí)現(xiàn)更加方便[1]。該方法提供一個(gè)接口在80111和UMTS蜂窩網(wǎng)絡(luò)之間進(jìn)行無(wú)縫切換。OPENWIFI是另一個(gè)與無(wú)線網(wǎng)絡(luò)相關(guān)的OPENFLOW項(xiàng)目，把訪問(wèn)（連接、 轉(zhuǎn)發(fā)）、認(rèn)證和要價(jià)（流量監(jiān)控、要價(jià)）定義為不同的功能，并將其分割。 開(kāi)放系統(tǒng)認(rèn)證或者預(yù)定義的預(yù)共享碼被使用，并且當(dāng)一個(gè)IP地址已經(jīng)經(jīng)由DHCP獲得，數(shù)據(jù)流將被投放到其它特定的提供網(wǎng)頁(yè)接口認(rèn)證服務(wù)器[2]。用戶可以通過(guò)Google、Facebook等平臺(tái)上的認(rèn)證信息來(lái)認(rèn)證。OPENFLOW用來(lái)relay或者block所有的流量，通過(guò)統(tǒng)計(jì)流量信息進(jìn)行要價(jià)。OPENWIFI在傳輸層實(shí)現(xiàn)以上技術(shù)，該方法提供訪問(wèn)控制和流量轉(zhuǎn)移而不是拒絕流量，這與鏈路層的機(jī)制并不一樣，因此802.11不推薦此方法。

還有一些以改進(jìn)切換為目的的研究，一些類型的切換和改進(jìn)的信任機(jī)制[2]，并且作為建立新的信任關(guān)系的基礎(chǔ)。802.11f提出的IAPP是一個(gè)建議的協(xié)議來(lái)改進(jìn)切換，也可以用OPENFLOW[4]來(lái)實(shí)現(xiàn)。

在改進(jìn)切換和降低丟包方面，AP在發(fā)現(xiàn)階段和重新認(rèn)證階段發(fā)送緩存的數(shù)據(jù)。這是基于掃描一個(gè)新AP是總體切換延遲中的一大部分[5]的理論。掃描之前，STA可以通知AP將其進(jìn)行休眠，AP將緩存數(shù)據(jù)并在掃描完畢之后清除數(shù)據(jù)，新AP通過(guò)混雜模式已收到STA在舊AP上保存的數(shù)據(jù)包。

本文首先介紹802.11網(wǎng)絡(luò)中的認(rèn)證、授權(quán)和移動(dòng)性管理。其次，詳細(xì)介紹了在企業(yè)無(wú)線網(wǎng)絡(luò)中3種認(rèn)證、授權(quán)和移動(dòng)性管理的設(shè)計(jì)思路，并對(duì)3種方法的優(yōu)缺點(diǎn)進(jìn)行對(duì)比。

1802.11無(wú)線網(wǎng)絡(luò)

IEEE標(biāo)準(zhǔn)802.11規(guī)定了無(wú)線局域網(wǎng)（WLAN）的組件、功能和協(xié)議。本文對(duì)這些功能進(jìn)行詳細(xì)的描述。

802.11無(wú)線網(wǎng)絡(luò)通常包含一個(gè)或多個(gè)無(wú)線接入點(diǎn)（AP），這些AP用來(lái)連接STAtions（STA）并通過(guò)交換包含數(shù)據(jù)或者控制信息的數(shù)據(jù)幀進(jìn)行通信。AP可以通過(guò)骨干網(wǎng)絡(luò)連接到互連網(wǎng)絡(luò)中。因?yàn)橹挥姓J(rèn)證的終端能夠授予訪問(wèn)網(wǎng)絡(luò)的權(quán)利，因此STA必須提供自身的身份信息給無(wú)線網(wǎng)絡(luò)進(jìn)行認(rèn)證，這種認(rèn)證可以在AP或者認(rèn)證服務(wù)器上進(jìn)行。

STA是一個(gè)兼容802.11媒體訪問(wèn)控制并具有無(wú)線媒體物理層接口的設(shè)備。每個(gè)STA運(yùn)行一個(gè)端口接入實(shí)體PAE的實(shí)現(xiàn)來(lái)控制MAC上的數(shù)據(jù)轉(zhuǎn)發(fā)。PAE具有提供認(rèn)證和請(qǐng)求認(rèn)證2種角色。

AP是經(jīng)由無(wú)線媒介連接到STAs提供分布式的接入服務(wù)。通過(guò)管理控制和非控制2個(gè)虛擬接口來(lái)扮演認(rèn)證者的角色?？刂平涌谥唤邮?02.11控制幀，非控制接口接收所有幀，且可以把這些數(shù)據(jù)幀從無(wú)線接口橋接到骨干網(wǎng)上。

客戶端在這里定義為非AP的STA，可以連接到AP并扮演一個(gè)請(qǐng)求認(rèn)證的角色。與AP之間具有幾種關(guān)系：未連接、連接、認(rèn)證或者激活。STA可以被多個(gè)AP同時(shí)認(rèn)證，但是激活態(tài)和連接態(tài)是排它的。在無(wú)線網(wǎng)絡(luò)中，STA從一個(gè)無(wú)線AP移動(dòng)到另外一個(gè)AP，導(dǎo)致?tīng)顟B(tài)的變換，這個(gè)過(guò)程稱作為切換。

認(rèn)證服務(wù)器是通過(guò)認(rèn)證申請(qǐng)者提供的身份信息來(lái)確定其是否具有接入服務(wù)資格的一個(gè)實(shí)體。認(rèn)證服務(wù)器作為局域網(wǎng)的一個(gè)服務(wù)器或者運(yùn)行在AP之上。

在通常的無(wú)線網(wǎng)絡(luò)中，所有無(wú)線節(jié)點(diǎn)都是STA，并且其身份是排它的并決定于其運(yùn)行的服務(wù)。通常AP會(huì)扮演認(rèn)證者的角色運(yùn)行HOSTAPD?？蛻舳诉\(yùn)行WPA_SUPPLIANT，用WPA-PSK或帶有身份信息的賬號(hào)進(jìn)行認(rèn)證。

STA須經(jīng)過(guò)如下步驟加入無(wú)線網(wǎng)絡(luò)：首先，要么主動(dòng)探測(cè)信道上的AP、要么被動(dòng)地從包含bssid信息的信標(biāo)包中讀取AP信息。其次，依據(jù)接入策略以及信號(hào)強(qiáng)度，STA選擇其中一個(gè)AP進(jìn)行鏈接，在鏈接前，STA發(fā)送一個(gè)802.11認(rèn)證請(qǐng)求管理幀給AP并接收到一個(gè)回復(fù)包。因?yàn)閃EP協(xié)議通常被認(rèn)為是不安全的，所以無(wú)線網(wǎng)絡(luò)通常用開(kāi)放系統(tǒng)認(rèn)證和連接后的“真實(shí)”認(rèn)證。

Association是一個(gè)用來(lái)建立AP/STA對(duì)應(yīng)的服務(wù)，并允許分布式系統(tǒng)從客戶端發(fā)送數(shù)據(jù)幀到正確的AP。其可以等效為有線網(wǎng)絡(luò)里的插入網(wǎng)口。在掃描覆蓋范圍內(nèi)的AP后，STA選取其中一個(gè)進(jìn)行連接，發(fā)送一個(gè)802.11管理幀，這個(gè)幀叫做連接請(qǐng)求并包含SSID、支持的速率以及兼容信息。如果AP接收其連接請(qǐng)求，則回復(fù)一個(gè)連接響應(yīng)并緩存STA的數(shù)據(jù)幀。

替代不安全的WEP，大多數(shù)無(wú)線局域網(wǎng)都支持Robust Secure Network （RSN），這是一個(gè)安全標(biāo)準(zhǔn)，提供認(rèn)證和數(shù)據(jù)保密服務(wù)。認(rèn)證服務(wù)使用IEEE80211.x，數(shù)據(jù)保密采用TKIP和基于AES的認(rèn)證協(xié)議。

支持RSN的STA可以通過(guò)以下幾個(gè)方式建立一個(gè)健壯安全網(wǎng)絡(luò)連接（RSNA）：對(duì)于每個(gè)連接到802.1x接口的終端，802.1x端口包含控制和非控制接口。首先，一個(gè)連接的STA僅可以訪問(wèn)控制的虛擬借口，AP扮演認(rèn)證者角色并處理認(rèn)證信息，這一信息可以是（PSK）、證書(shū)或者用戶名密碼。如果是預(yù)共享值，則AP自己進(jìn)行認(rèn)證；如果是證書(shū)或者密碼，則通常由認(rèn)證服務(wù)器進(jìn)行認(rèn)證。最后，會(huì)話鍵值在AP和STA之間進(jìn)行協(xié)商，然后STA進(jìn)入激活狀態(tài)并能夠訪問(wèn)網(wǎng)絡(luò)。

如果一個(gè)STA移動(dòng)到其連接的AP覆蓋范圍之外，則其漫游到另外一個(gè)AP并進(jìn)行一次切換。首先進(jìn)行探測(cè)，然后發(fā)送認(rèn)證信息，最后發(fā)送再連接幀，這個(gè)幀類似于連接幀，但是包含額外的6比特當(dāng)前AP地址信息。這個(gè)信息使新AP和舊AP進(jìn)行傳輸緩存數(shù)據(jù)表和會(huì)話信息的溝通。802.11F中的IAPP協(xié)議提供此服務(wù)。

如果新AP已經(jīng)緩存了PMKSA，身份信息的交換可以略過(guò)并通過(guò)啟動(dòng)4次握手來(lái)建立PTKSA，即會(huì)話鍵值。AP通過(guò)相同的方式將控制接口和非控制接口信息發(fā)送給STA。在非控制接口解鎖之后，STA變成激活狀態(tài)。

23種方法對(duì)比

本文用控制器構(gòu)成軟件定義網(wǎng)絡(luò)的控制平面。控制器負(fù)責(zé)提取收集器中存儲(chǔ)的與網(wǎng)絡(luò)狀況相關(guān)的統(tǒng)計(jì)信息，并根據(jù)這些信息制定合理的控制方案，最后傳達(dá)給AP執(zhí)行數(shù)據(jù)包的轉(zhuǎn)發(fā)等工作。

將OPENFLOW整合進(jìn)無(wú)線架構(gòu)有多種方法。首先應(yīng)該確定什么功能應(yīng)該中心化、狀態(tài)應(yīng)該保存在控制器還是AP上。目前，有3種不同的中心化程度方法：其一是最少得中心化處理，即沒(méi)有OPENFLOW的傳統(tǒng)模式；其二是幾乎所有功能都轉(zhuǎn)移到中心服務(wù)器上；其三是介于其中的所有方法。這些方法區(qū)別在于信息在何處保存。如PMKSAs，這種信息代表著網(wǎng)絡(luò)和客戶端之間的信任關(guān)系，這一信息到底應(yīng)該存放在AP還是中心控制器。本文對(duì)3種方法的優(yōu)缺點(diǎn)進(jìn)行闡述。

2.13種功能都在AP上實(shí)現(xiàn)

2.1.1實(shí)現(xiàn)方式

大部分的功能都在AP上實(shí)現(xiàn)，OPENFLOW實(shí)現(xiàn)最少功能。認(rèn)證和連接一般通過(guò)HOSTAPD來(lái)實(shí)現(xiàn)，關(guān)于認(rèn)證的信息一般在AP上存儲(chǔ)。當(dāng)一個(gè)STA變成激活態(tài)，即經(jīng)過(guò)4次握手結(jié)束之后，非控制端口被解鎖，STA發(fā)送的數(shù)據(jù)到達(dá)OPENFLOW在網(wǎng)橋上的交換機(jī)。Packetin消息通知控制器新的終端加入，其數(shù)據(jù)包按照控制器的邏輯進(jìn)行轉(zhuǎn)發(fā)。在此情況下，OPENFLOW交換機(jī)或者控制器都不實(shí)現(xiàn)802.11的功能。

2.1.2優(yōu)缺點(diǎn)

需要最少的改進(jìn)并使用最多的AP功能。能夠很輕易地使用在現(xiàn)有的網(wǎng)絡(luò)中，但這種方法能實(shí)現(xiàn)的功能相當(dāng)有限，如終端的進(jìn)入不能被中心控制器管理，決策停留在現(xiàn)有的認(rèn)證服務(wù)器上，AP之間無(wú)法進(jìn)行l(wèi)oadbalance?？紤]到移動(dòng)性，改進(jìn)切換的可能性不大。由于無(wú)論信任關(guān)系或者鍵值管理OPENFLOW都不能染指，其余AP的相應(yīng)狀態(tài)OPENFLOW也無(wú)法獲得，控制器基本不能跟蹤用戶的移動(dòng)特征。盡管如此，控制器能記錄本AP的STA統(tǒng)計(jì)信息，這些能夠幫助連接到OPENFLOW的交換機(jī)進(jìn)行負(fù)載均衡，并對(duì)發(fā)現(xiàn)高利用率的AP進(jìn)行調(diào)度。

2.2部分功能使用OPENFLOW實(shí)現(xiàn)

2.2.1實(shí)現(xiàn)方式

這種方式更加中心化，擴(kuò)展了802.11的管理功能?？刂破鞅粩U(kuò)展來(lái)處理802.11的空指針，并能決定用哪個(gè)認(rèn)證服務(wù)器。AP通過(guò)自身的驅(qū)動(dòng)來(lái)處理802.11連接，驅(qū)動(dòng)部分可以不進(jìn)行修改。OPENFLOW實(shí)現(xiàn)替代的網(wǎng)橋，這個(gè)網(wǎng)橋工作于無(wú)線和有線結(jié)構(gòu)之間，并將802.1x的幀傳送到控制器。OPENFLOW組件通0x888e特征位發(fā)現(xiàn)數(shù)據(jù)幀中包含802.11的協(xié)議信息，在未認(rèn)證之前拋棄所有的數(shù)據(jù)幀，保留協(xié)議幀。控制器能夠獲得AP的狀態(tài)信息，并將這些協(xié)議幀傳送到認(rèn)證服務(wù)器進(jìn)行處理。在此過(guò)程中，OPENFLOW不負(fù)責(zé)認(rèn)證，但至少能夠選擇認(rèn)證服務(wù)器并與之交互。當(dāng)STA被認(rèn)證之后，控制器轉(zhuǎn)發(fā)PRIMARY MASTER KEY security assertion給AP，AP也報(bào)有這個(gè)信息。這個(gè)過(guò)程后，AP和STA完成了4次握手，OPENFLOW僅實(shí)現(xiàn)了將這些協(xié)議信息進(jìn)行轉(zhuǎn)發(fā)、證明和授權(quán)，很大一部分由OPENFLOW完成。通過(guò)這種實(shí)現(xiàn)方式，當(dāng)一個(gè)切換發(fā)生的時(shí)候，控制器能夠直接將PMKSA轉(zhuǎn)發(fā)給其它AP，而不用再進(jìn)行重新連接步驟。

2.2.2優(yōu)缺點(diǎn)

這種實(shí)現(xiàn)方式需要轉(zhuǎn)發(fā)部分?jǐn)?shù)據(jù)，因此當(dāng)網(wǎng)絡(luò)規(guī)模大、客戶端數(shù)量大時(shí)會(huì)成為一個(gè)問(wèn)題。優(yōu)點(diǎn)在于OPENFLOW可以將認(rèn)證協(xié)議包發(fā)送到指定的認(rèn)證服務(wù)器，這使得設(shè)備的接入可以采用通用賬號(hào)，如google賬號(hào)，這一優(yōu)勢(shì)增加了認(rèn)證的靈活性。此外，pmksas對(duì)controller是可見(jiàn)的，這樣控制器能夠建立STA和其它AP之間的信任關(guān)系，在STA漫游之前，就能積極準(zhǔn)備漫游的發(fā)生，使得漫游過(guò)程更加迅速。這種實(shí)現(xiàn)還有一個(gè)缺點(diǎn)在于安全控制。在這種實(shí)現(xiàn)下，loadbalance可以在核心網(wǎng)絡(luò)上實(shí)現(xiàn)，而不是在網(wǎng)絡(luò)的邊緣。

2.33種功能完全使用OPENFLOW實(shí)現(xiàn)

2.3.1實(shí)現(xiàn)方式

在AP上，通過(guò)修改802.11驅(qū)動(dòng)來(lái)改變接收到連接請(qǐng)求時(shí)的動(dòng)作，驅(qū)動(dòng)不再發(fā)送連接應(yīng)答，將數(shù)據(jù)幀傳送給OPENFLOW進(jìn)行處理。OPENFLOW實(shí)現(xiàn)一個(gè)網(wǎng)橋替換無(wú)線和有線接口之間的網(wǎng)橋，將所有的連接請(qǐng)求發(fā)送到OPENFLOW模塊，在具有網(wǎng)絡(luò)的視角以及用戶的請(qǐng)求，控制器可以決定是否接受客戶端的連接請(qǐng)求或者拒絕它。如將連接請(qǐng)求轉(zhuǎn)發(fā)到低負(fù)載的AP上。這要求OPENFLOW能夠產(chǎn)生802.11幀。所有的802.11幀都通過(guò)AP送到控制器，AP扮演轉(zhuǎn)發(fā)者而不保持連接或者認(rèn)證用戶的狀態(tài)?？刂破鞅仨氈匦聦?shí)現(xiàn)802.11的連接和斷開(kāi)、802.1x的認(rèn)證、與認(rèn)證服務(wù)器的通信、會(huì)話鍵值管理等。

2.3.2優(yōu)缺點(diǎn)

該實(shí)現(xiàn)方式需要做大量修改和controller高計(jì)算負(fù)載。為了保障可伸縮性，需要布置多個(gè)控制器和引入其它的分布式狀態(tài)。這種實(shí)現(xiàn)方式具有很強(qiáng)的靈活性，可以使來(lái)自網(wǎng)絡(luò)邊際的負(fù)載均衡變得可能。認(rèn)證服務(wù)器能夠處理客戶端的連接請(qǐng)求而不用分布到AP上。改進(jìn)切換通過(guò)使用相同的會(huì)話鍵，在一個(gè)客戶端之前已經(jīng)active的情況下重用PTKSA并略過(guò)4次握手。

3結(jié)束語(yǔ)

本文分析了傳統(tǒng)企業(yè)無(wú)線網(wǎng)絡(luò)中認(rèn)證、授權(quán)以及移動(dòng)性3種功能在軟件定義網(wǎng)絡(luò)中的實(shí)現(xiàn)方式和優(yōu)缺點(diǎn)。并指出在軟件定義網(wǎng)絡(luò)中，認(rèn)證、授權(quán)以及移動(dòng)性管理是可信的。

參考文獻(xiàn)

[1] Bargh M S， Hulsebosch R J， Eertink E H， et al. Fast authentication methods for handovers between IEEE 802.11 wireless LANs[C]// ACM International Workshop on Wireless Mobile Applications and Services on Wlan Hotspots. ACM， 2004：51-60.

[2] TU Berlin. Berlin open wireless lab. http：//www.bowl.tu-berlin.de/，2012.

[3] Floodlight. A java-based openow controller.http：//oodlight.openow hub.org， 2012.

[4] Gude N， Koponen T， Pettit J， et al. NOX：towards an operating system for networks[J]. Acm Sigcomm Computer Communication Review， 2008， 38（3）：105-110.

[5] IEEE-Std 802.11gTM IEEE Standard for Information Technology-Telecommunications and Information Exchange Between Systems-Local and Metropolitan Area Networks-Specific Requirements. part 11：Wireless LAN medium access control （MAC） and physical layer （PHY） specification[S]. New York， USA： IEEE， 2003.