Opportunistic Key Caching (OKC)

Authentifizierung von WLAN-Clients über EAP und 802.1x ist mittlerweile Standard in Unternehmens-Netzwerken, und auch beim öffentlichen Internet-Zugang findet es im Rahmen der Hotspot 2.0-Spezifikation immer mehr Verbreitung. Der Nachteil der Authentifizierung über 802.1x ist, dass die Zeit von Anmeldung bis zur Verbindung durch den Austausch von bis zu zwölf Datenpaketen zwischen WLAN-Client und AP sich merklich verlängert. Für die meisten Anwendungen, bei denen es nur um den Austausch von Daten geht, mag das nicht ins Gewicht fallen. Zeitkritische Anwendungen wie z. B. Voice-over-IP sind jedoch davon abhängig, dass die Neuanmeldung in einer benachbarten WLAN-Funkzelle die Kommunikation nicht beeinträchtigt.

Um dem entgegenzuwirken, haben sich bestimmte Authentifizierungsstrategien wie PMK-Caching und Pre-Authentifizierung etabliert, wobei auch durch Pre-Authentifizierung nicht alle Probleme behoben sind. Einerseits ist nicht sichergestellt, wie der WLAN-Client erkennt, ob der AP Pre-Authentifizierung beherrscht. Andererseits führt Pre-Authentifizierung zu einer erheblichen Belastung des RADIUS-Servers, der die Authentifizierungen von allen Clients und allen APs im WLAN-Netzwerk verarbeiten muss.

Das opportunistische Schlüssel-Caching verlagert die Schlüsselverwaltung auf einen WLC oder zentralen Switch, der alle APs im Netzwerk verwaltet. Meldet sich ein Client bei einem AP an, übernimmt der nachgeschaltete WLC als Authenticator die Schlüsselverwaltung und sendet dem AP den PMK, den schließlich der Client erhält. Wechselt der Client die Funkzelle, errechnet er aus diesem PMK und der MAC-Adresse des neuen APs eine PMKID und sendet die an den neuen AP in der Erwartung, dass der OKC aktiviert hat (deshalb "opportunistisch"). Kann der AP mit der PMKID nichts anfangen, handelt er mit dem Client eine normale 802.1x-Authentifizierung aus.

Ein LANCOM-AP kann auch OKC durchführen, falls der WLC vorübergehend nicht erreichbar ist. In diesem Fall speichert er den PMK und sendet ihn an den WLC, sobald er wieder verfügbar ist. Der schickt den PMK anschließend an alle APs im Netzwerk, so dass der Client sich beim Wechsel der Funkzelle dort über OKC anmelden kann.

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo