اولین تعامل بین APها در طول Handoff و توسط پروتکل IAPP رخ میدهد، و فرم دوم از تعامل بین AP و سرور Radius است.
IAPP نقش قابل توجهی طی یک Handoff دارد. دو هدف اصلی به دست آمده توسط IAPP عبارتند از:
حفظ یک مرکز ارتباط ثابت برای شبکه بیسیم.
انتقال امن اطلاعات بین APها درگیر در ایجاد ارتباط دوباره سرویس گیرنده، که میتواند شامل IP، زمینههای امنیتی، فشرده سازی هدر و اطلاعات حسابداری AAA باشد.
هنگامی که AP اول فاز ارتباط را انجام میدهد، AP به صورت پخش همگانی دیگر APها را از این موضوع مطلع میکند. پس از دریافت این پیام، APها اطلاعات فاز ارتباط خود را به روز میکنند.
در آغاز فاز ارتباط مجدد، AP جدید به صورت انتخابی میتواند پیام Security Block را برای AP قدیمی ارسال کند، که با دریافت پیام Ack-Security-Block از صحت ارسال مطمئن میشود. این پیغام حاوی اطلاعات امنیتی به منظور ایجاد یک کانال ارتباطی امن بین APها است. AP جدید یک پیام Move-Notify به ایستگاه AP قدیمی میفرستد به منظور آگاه ساختن AP قدیمی از اطلاعات جدید[۱۶].
شکل ۳-۱ : پروتکل IAPP[16]
این راه حل از روشهای قبل ضعیفتر میباشد، احراز هویت از آن نیاز به ارتباط امن بین APها دارد، و برای تغییر محیط بین سرورهای که مشابه نیستند غیر ممکن است.
۳-۱-۳ کاهش تاخیرReauthentication در Handoff
در این پروتکل، تمام ارتباطات بین سرویس گیرنده متحرک و نقاط دسترسی از اتصال بیسیم استفاده میشود[۱۷]. نقاط دسترسی به صورت مستقیم با یکدیگر ارتباط ندارند. با این وجود، افزونگی و سربار ارتباطات بیسیم نسبتاً کوچک است. برای ارتباط APها از پروتکلهای ۸۰۲٫۱۱ استفاده شده است. در این پروتکل دادهها با کمترین هزینه انتقال داده میشوند. و این به این معنی میباشد که پیامهای فرستاده شده رابطهای ارتباطی را افزایش نمیدهد.
لازم به ذکر است که برخی از پروتکلهای متحرک اجازه میدهد کاربر متحرک با نقطه دسترسیهای قدیمی مذاکره داشته باشد، مثل GSM. ممکن است کاربر متحرک در خارج از پوشش شبکه حرکت کند و وابسته به یک نقطه دسترسی جدید شود. از این رو، ارتباطی با AP برقرار میشود تا اطلاعات آن را به روز کند. شکل زیر به تشریح این پروتکل پرداخته است. کاربر متحرک اعتبارنامهای از AP1 دریافت میکند، که در آن با موفقیت تصدیق شده است. هنگامی که کاربر متحرک وارد محیط AP2 جدید میشود، این گواهینامه را به AP2 تحویل میدهد؛ و برای امنیت این گواهینامه رمزنگاری شده است. این کار میتواند از پروتکل درخواست و پاسخ باشد. AP2 با بررسی این اعتبار نامه اجازه دسترسی به شبکه را برای درخواست کننده صادر میکند.
شکل ۳-۲- حرکت سرویس گیرنده بین APها[۱۷]
این روش از الگوریتم بسیار سریع استفاده کرده است، اما تا حدودی در تأیید هویت ضعیف است، و به طور بالقوه احراز هویت به آهستگی صورت میگیرد. اگر دومین پروتکل اعتبار نامه را تائید نکند (به این معنی است که متقاضی در احراز هویت اول تقلب کرده است)، سپس AP از دسترسی به شبکه جلوگیری میکند. در صورت شکسته شدن این پروتکل ضعیف دسترسی افراد غیر مجاز به شبکه امکان پذیر خواهد شد، و تنها برای چند ثانیه به عنوان پروتکل ظاهراً قوی میتواند عمل کند این طرح نیازی به ارتباطات بین APها ندارد، و به آسانی قابل پیاده سازی میباشد. از سوی دیگر، رویکرد خوش بینانه به معنای حداقل از دست دادن امنیت میباشد، که ممکن است برای برخی از برنامههای کاربردی کسب و کار غیر قابل قبول باشد.
۳-۱-۴ کاهش تاخیر Handoff با بهره گرفتن از روش FHR[80]
برای کاهش تأخیر احراز هویت طرح FHR پیشنهاد شده است. در این طرح، اطلاعات مربوط به احراز هویت متقاضی فعالانه به APهای متعدد توزیع میشود.
برای پیش بینی الگوی تحرک متقاضی، مفهوم منطقه تغیرات مکرر (FHR) معرفی شد[۱۸]. FHR مجموعهای از APها است که با احتمال زیادی در آینده نزدیک توسط متقاضی بازدید خواهد شد. FHR بر اساس فراوانی Handoff و اولویت متقاضی را در سیستم متمرکز ساخته شده است. FHR به راحتی میتواند بر اساس مدل IEEE 802.1x اجرا شود[۳]. پس از مطالعات مختلف، تعداد APها مرتبط با متقاضی در طول زمان خدمت خود را به طور معمول به ۲ یا ۳ محدود میشوند. بنابراین، در طرح FHR، اطلاعات مربوط به احراز هویت متقاضی به زیر مجموعهای از APهای مجاور که در فاصله حداکثر دو هاب از AP فعلی واقع شدهاند تحویل داده میشوند.
طرح استفاده از FHR در شکل ۳-۳ نمایش داده شده است، در این مثال، سرویس گیرنده مرتبط با AP4 در مرحله ورود[۸۱] به سایت است، و FHR شامل AP0، AP4، AP7 و AP8 است. بنابراین، اطلاعات احراز هویت به چهار AP ( AP0، AP4،AP7 و AP8) فرستاده میشود. اگر متقاضی به یکی از AP های انتخاب شده حرکت کند، هیچ روش احراز هویتی از طرف سرور احراز هویت مورد نیاز نیست. به هر حال، اگر متقاضی بهAP دیگری (به عنوان مثال، AP2 در شکل ۳-۳b-) حرکت کند که در عملیات احراز هویت پیش بینی نشده است، تأیید هویت جدید باید از طریق سرور انجام شود. علاوه بر این، پس از انجام Handoff به AP2، FHR جدید، متشکل از AP1، AP2، AP3 و AP5 ساخته میشود.
شکل ۳-۳- طرح FHR [18]
این طرح دارای مشکلاتی میباشد، از جمله این که امنیت بسیار پایینی دارد، در واقع این طرح بیشتر برای کاهش زمان دسترسی ارائه شده است نه بالا بردن امنیت. و در شبکههای ناهمگون که APها مختلف در کنار هم قرار دارند پیاده سازی این ایده مشکل خواهد شد، زیرا نیاز به پیامهای کنترلی زیادی میباشد، و با حرکت بیشتر سرویس گیرندهها این پیامها بیشتر خواهد شد زیرا با ورود به هر AP همسایگان جدید درست خواهد شد. بنابراین میتوان نتیجه گرفت که در شبکههای شلوغ این طرح پاسخگو نخواهد بود.
۳-۱-۵ کاهش تاخیر Handoff با بهره گرفتن از روش PNC[82]
به جای استفاده از سیستم متمرکز، طرح پیشگیرانه بر اساس ساختار cache توزیع شده معرفی شد. این طرح به عنوان طرح PNC نامیده میشود[۱۹]. طرح PNC از یک گراف همسایه استفاده میکند، که به صورت پویا، برای پیش بینی Handoff کاربر متحرک استفاده میکند. طرح PNC تضمین می کند که Handoff یک هاب جلوتر پیش بینی شود، و در نتیجه تأخیر Handoff کاهش مییابد.
گراف همسایه با بهره گرفتن از اطلاعات مبادله شده در طول Handoff متقاضی ساخته شده است. به تازگی، طرح PNC از خصوصیات IAPP استفاده میکند، که یک پروتکل استاندارد برای ارتباطات بین APها است. بهره برداری از طرح PNC در شکل ۳-۴ نشان داده شده است. وقتی متقاضی وارد محیط AP4 میشود، این AP اطلاعات متقاضی را به تمام APهای همسایه (به عنوان مثال، AP0، AP2، AP5، AP7 و AP8) ارسال میکند. وقتی متقاضی به AP2 حرکت میکند، هیچ گونه احراز هویتی انجام نمیشود زیرا پیشتر انجام شده است، در عین حال، اطلاعات متقاضی از دیگر APهای غیر همسایه (به عنوان مثال، AP0، AP7 و AP8) برداشته میشود.
شکل ۳-۴- طرح PNC [19]
در طرح PNC، اطلاعات متقاضی به تمام APهای همسایه در هر زمان که ارتباط ایجاد میشود ارسال خواهد شد. بنابراین، طرح PNC ممکن است منجر به سربار بالای شود، به ویژه هنگامی که تعداد زیادی سرویس گیرنده در شبکههای بیسیم IEEE 802.11 وجود داشته باشد. علاوه بر این، مطالعات انجام شده نشان میدهد که حتی در مورد جایی که یک تعداد از APها مستقر هستند، حداکثر ۲ یا ۳ تا از APها هدف اصلی از Handoff میباشند. بنابراین، انتشار اطلاعات متقاضی به زیر مجموعهای از APها همسایه غیر ضروری میباشد. و دیگر مشکل این طرح امنیت پایین آن میباشد، زیرا در صورت شکست احراز هویت اول نفوذگر بدون هیچگونه مانعی میتواند به شبکه دسترسی پیدا کند. علاوه بر موارد فوق ممکن است در شبکههای ناهمگون که APهای که توسط سرورهای مختلف کنترل میشوند، در کنار هم باشند دچار مشکل میشوند، زیرا همسایگان از حرکت درخواست کننده بین APها انتخاب میشوند و ممکن است این APها متعلق به یک سرور نباشند، این شرایط پیچیدگی را افزایش میدهد.
الگوریتم PNC[20] بشرح زیر است:
۳-۱-۶ کاهش تاخیر Handoff با بهره گرفتن از روش SNC[83]
به منظور کاهش سربار، طرح ذخیره همسایه انتخابی SNC پیشنهاد شد[۲۰]. طرح SNC طرح پیشرفتهتر PNC با اضافه کردن یک مفهوم جدید با عنوان وزن همسایه است.
وزن همسایه نشان دهنده احتمال Handoff برای هر AP همسایه است. بر اساس وزن همسایه، اطلاعات متقاضی تنها به APهای همسایه انتخاب شده فرستاده میشود. به عنوان مثال، به APهای همسایه که وزن معادل یا بیشتر از یک آستانه از پیش تعریف شده دارند. نمودار همسایه و وزن همسایه به راحتی میتوان با نظارت بر الگوهای Handoff در میان APها ساخته شود. هنگامی که ما شکل ۳-۴ با شکل ۳-۵ را مقایسه میکنیم، طرح SNC شامل عملیات انتقال کمتری است. برای مثال، وقتی متقاضی با AP4 ارتباط دارد، تنها سه همسایه به عنوان مثال، AP2، AP5 و AP8 اطلاعات متقاضی را دریافت میکنند. اگر متقاضی وارد یکی از APهای همسایه انتخاب شده شود، طرح SNC همان کاهش تأخیر طرح PNC را موجب میشود. اگر مقدار آستانه با دقت انتخاب شود میتواند عملکرد خوب Handoff را ارائه دهد. علاوه بر این، اگر cache در AP محدود است، طرح SNC نسبت به طرح PNC ترجیح داده میشود.
شکل ۳-۵- طرح SNC [20]
الگوریتم SNC [20] بشرح زیر است:
۳-۱-۷ استفاده از روش سرورهای موقتی[۸۴]
در دسته دیگر راهکارها برای بهبود تاخیر Handoff ، استفاده از سرورهای موقت LAS[85] محلی میباشد[۲]. برای این کار از یک مجمع امنیتی ([۸۶]SA) همانند IPSEC استفاده میشود که SA حکم یک رابط بین سرویس گیرنده و سرور را دارد که می تواند به عنوان یک سرور موقت نیز کار سرور اصلی AAA را انجام دهد. این طرح در شکل ۳-۶ نمایش داده شده است. در همین حال، روند پردازش احراز هویت تاثیر زیادی بر QoS دارد مانند زمان تأخیر احراز هویت به دلیل هزینه سربار اضافی که دارد. وقتی کلید عمومی / خصوصی مکانیزم احراز هویت اعمال میشود، پیچیدگی محاسبات بالایی دارد.
شکل ۳-۶ طرح LAS [2]
از سوی دیگر، در احراز هویت بر اساس کلید مخفی، با توجه به عدم وجود SA بینMU[87] و سرور AAA که در خارج شبکه قرار دارد، اطلاعاتMU ها رمزگذاری شده و توسط انتقال هاب- هاب به شبکه خانگی خود که سرور AAA در آن قرار دارد منتقل میشود، که باعث بالا رفتن هزینه میشود، و تأخیر طولانی احراز هویت رخ میدهد.
در روش LAS نحوه برخورد با گره سیار طبق فلوچارت شکل ۳-۷ است:
شکل ۳-۷ فلوچارت طرح LAS [2]
هر گره سیار با ورود به سلول نقطه دسترسی جدید وجود وجود یا عدم وجود کانال امن توسط سرور [۸۸]LAS مورد بررسی قرار میگیرد. درصورتیکه وجود داشت احراز هویت میگردد و در غیر اینصورت به منظور احراز هویت به سمت سرور HAS[89] ارسال میگردد.
۳-۱-۸ کاهش تاخیر Handoff با بهره گرفتن از روش ANC[90]
به منظور کاهش سربار و جستجوی موثرتر AP بعدی جهت Handoff، روش ANC پیشنهاد شده است[۲۱]. هنگامیکه یک گره سیار در حال حرکت است مسیر معینی را طی مینماید تا به مقصد برسد در این میان از محدوده جغرافیایی آنتندهی APهای مختلفی عبور مینماید. حال گره سیار برای انجام عملیات Handoff باید از میان APهای مختلفی یکی را که مستعدتر است، انتخاب نماید. در این روش مفهومی بنام [۹۱]CL را معرفی می کند که حاوی لیستی از APهای مستعد میباشد. در واقع ANC بعنوان فرم کلی از دو روش PNC وSNC است. این روش نسبت به روش های قبلی زمان انتقال[۹۲] کاهش داده و مستعدترین AP را از بین APهای همسایه انتخاب می کند. ANC از active scanning استفاده می کند. هنگامیکه گره سیار، APهای مستعد را پیش بینی کرد سپس گره سیار مقدار ProbeRequest برای کانال ارتباطی آنها ارسال می کند. در نتیجه هیچ مقدار MinChannelTime تحت تاثیر قرار نمیگیرد. شایان ذکر است با بهره گرفتن از active scanning با دریافت اولین پاسخ ProbeRequest از طرف APهای مستعد آنرا بعنوان AP بعدی انتخاب مینماید و سایر پاسخها را درنظر نمیگیرد. این روش نه تنها منجر به کاهش سربار احراز هویت IAPP میگردد بلکه باعث کاهش تاخیر EAPOL می شود.
همانطور که در این فصل بیان شد، تأخیر به وجود آمده در زمان احراز هویت، کیفیت دسترسی به شبکه را تحت تأثیر قرار میدهد، به طوری که خدمات رسانی در شبکه افت خواهد کرد، و طرحهای ارائه شده برای رفع این مشکل غالباً با مشکل امنیتی روبرو هستند به دلیل این که سیاستهای امنیتی قوی مانند رمزنگاری معمولاً نیاز به پردازشهای قوی دارند و پردازش قوی نیز زمانبر خواهد و این زمان بالا مشکل تأخیر را نیز بیشتر خواهد کرد.
پیشنهاد رفع مشکل بالا، ارائه یک چارچوب و معماری، احراز هویت و دستیابی کاربران در معماری AAA در کمترین زمان ممکن صورت گیرد که وابستگی بسیار کمی به تعداد شبکه های واسط و تعداد کاربران داشته باشد، در این ساختار دو عامل مهم QoS و امنیت از کیفیت بالایی برخوردار خواهند بود که این معماری بر پایه استاندارد Radius خواهد بود.
یک روش پیشنهادی، می تواند بهکارگیری یک موتور Cache در APها میباشد، که این امر منجز به کاهش زمان احراز هویت است، ضمن آنکه تمام عملیات مربوط به سرور نیز به طور کامل انجام خواهد گرفت، بنابراین امنیت دچار مشکل نخواهد شد. علاوه بر این با کاهش زمان تأخیر میتوان از پروتکلهای امنیتی قوی در ارتباط با سرور AAA استفاده کرد. در این راستا، می توان از ارتباط VPN نیز بهره گرفت.
موضوع افزایش پهنای باند کاربر پس از احراز هویت، می تواند بعنوان یکی دیگر از پارامترهای روش پیشنهادی مورد توجه قرار گیرد.
همچنین ایجاد نوعی سیستم برای کاربران خوش رفتار، به گونه ای که بدون هیچگونه عملیات احراز هویت بتوانند به شبکه دسترسی داشته باشند ولی یک ناظر برای آنها وجود داشته باشد تا با انجام کوچکترین عملیات مشکوک، با کاربر متخلف برخورد شود نیز یکی دیگر از ویژگیهای روش پیشنهادی خواهد بود. روشهای بیان شده همگی سعی در کاهش Handoff داشتند در نتیجه Authentication سریعتر انجام میگیرد. ولی هیچ کدام بر ارتقا امنیت تاکیدی نداشتند. بعنوان مثال:
Pre-Authentication با ذخیره کردن کلید در cache ،
