OKC和802.11R的知識(shí)小科普

歡迎來(lái)到東用知識(shí)小課堂！
1.什么是漫游
簡(jiǎn)單來(lái)說(shuō)，就是設(shè)備從一個(gè)AP，連接到另一個(gè)AP。IP地址不需要重新申請(qǐng)。整個(gè)過(guò)程需要盡可能快的進(jìn)行，否則對(duì)于用戶(hù)而言，就會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)出現(xiàn)卡頓。而為了安全，網(wǎng)絡(luò)的認(rèn)證過(guò)程已經(jīng)變得十分耗時(shí)（例如802.1X認(rèn)證）。所以為了避免漫游時(shí)出現(xiàn)重新認(rèn)證，開(kāi)發(fā)出了OKC，以及802.11R協(xié)議進(jìn)行補(bǔ)充。避免漫游時(shí)進(jìn)行完整的認(rèn)證過(guò)程。
使用OKC，802.11R等協(xié)議，可以省去認(rèn)證過(guò)程的漫游，稱(chēng)為快速漫游。

2.PMK caching
PMK caching是由802.11i協(xié)議定義的，一種用在單個(gè)AP與設(shè)備之間的認(rèn)證中的有效技術(shù)。使用在當(dāng)一個(gè)工作站已經(jīng)認(rèn)證在某個(gè)AP上，然后漫游到其他AP，之后又漫游回該AP。不用進(jìn)行完整的認(rèn)證，只需進(jìn)行802.11i中定義的四次握手交換共享密鑰過(guò)程即可。
所以PMK caching只適用802.1X認(rèn)證。它的工作原理：
在漫游發(fā)生之后，會(huì)在關(guān)聯(lián)請(qǐng)求幀中將PMKID上報(bào)，AP根據(jù)PMKID在PMK caching中進(jìn)行查找對(duì)應(yīng)的PMK，如果找到，就不需要再進(jìn)行802.1X過(guò)程獲取PMK了。
3.OKC
OKC（Opportunistic Key Caching）也叫OPC（Opportunistic PMK Caching），是微軟定義的一套標(biāo)準(zhǔn)，并不在802.11標(biāo)準(zhǔn)中。不過(guò)多數(shù)廠商都支持這種方式，也成為了一種事實(shí)標(biāo)準(zhǔn)。是在PMK caching基礎(chǔ)上進(jìn)行設(shè)計(jì)的。它是與PMK caching類(lèi)似的技術(shù)，也是為了避免復(fù)雜的802.1X認(rèn)證過(guò)程。
OKC適用在同一網(wǎng)絡(luò)下，同一AC下的多個(gè)AP之間進(jìn)行的漫游。

與PMK caching不同，OKC會(huì)將PMK在AP之間進(jìn)行交換。它的工作原理：
當(dāng)STA跟AP1經(jīng)過(guò)完整的EAP/802.1X建立連接后，產(chǎn)生一條PMKSA，里面包含一個(gè)PMKID1，然后AP1把這個(gè)PMKSA傳給它的鄰居，其中一個(gè)就是AP2。
漫游發(fā)生前，STA要根據(jù)AA，SPA和PMKID1計(jì)算出一個(gè)PMKID2，把這個(gè)PMKID2放在RSN IE里，送給AP2。
AP2在收到這個(gè)PMKID2后，就像平時(shí)一樣，會(huì)在自己的PMKSA Cache里找，當(dāng)然，這是找不到的。因?yàn)镃ache沒(méi)有一個(gè)的PMKID是PMKID2。然后，AP2就要對(duì)Cache中的每一個(gè)Entry計(jì)算一次新的PMKID，其必要的幾個(gè)元素，AA，SPA和PMKID1都是有的。每計(jì)算一個(gè)就跟PMKID2匹配一次，匹配成功就可以直接進(jìn)行4次握手。
由于OKC是在PMK caching上進(jìn)行開(kāi)發(fā)，且并不是Wi－Fi聯(lián)盟推出的協(xié)議，所以并不是每個(gè)設(shè)備廠商都支持。
4.802.11R
IEEE802.11R(Fast BSS Transition)定義了STA在同一移動(dòng)域(MD)中的不同AP之間漫游時(shí)的交互細(xì)則，提供了實(shí)現(xiàn)BSS快速切換的標(biāo)準(zhǔn)。
802.11R快速漫游實(shí)現(xiàn)方法為：STA首次關(guān)聯(lián)MD內(nèi)的AP時(shí)，利用802.1x認(rèn)證獲得的主會(huì)話密鑰（MSK，由于該密鑰為認(rèn)證者和申請(qǐng)者共享，也稱(chēng)為成對(duì)主密鑰PMK）和MD內(nèi)各個(gè)AP的R1KH_ID計(jì)算出不同的PMK_R1分發(fā)給MD內(nèi)的其它AP；STA切換AP時(shí)，STA直接利用之前發(fā)送到目標(biāo)AP上的PMK_R1協(xié)商出成對(duì)臨時(shí)密鑰(PTK)和組臨時(shí)密鑰(GTK)，以此縮短漫游切換時(shí)間，避免再重復(fù)進(jìn)行耗時(shí)的802.1x認(rèn)證。
802.11R協(xié)議主要描述了四個(gè)部分的內(nèi)容：密鑰管理、FT初始化關(guān)聯(lián)、快速切換和新增的信息元素。

5.802.11R與OKC的不同
1).802.11R不僅可以用在802.1X認(rèn)證中，也可以用在PSK認(rèn)證中。
2).802.11R協(xié)議延伸出新的共享密鑰生成過(guò)程。
3).802.11R將密鑰交換過(guò)程放到關(guān)聯(lián)認(rèn)證過(guò)程。
4).802.11R不僅可以省去802.1X認(rèn)證過(guò)程，也可以省去四次握手過(guò)程。
好了！今天的東用知識(shí)小課堂到這里就結(jié)束了，大家如果還有疑問(wèn)的話，可以在下方留言或者私信給我們，我們下期再見(jiàn)！