Sinalização Nativa e Cache de Autenticação em Redes IEEE802.11

Sinalização Nativa e Cache de Autenticação em Redes IEEE802.11 Daniel de Haro Moraes , Eleri Cardozo (Orientador) Departamento de Engenharia de Computação e Automação Industrial (DCA) Faculdade de Engenharia Elétrica e de Computação (FEEC) Universidade Estadual de Campinas (Unicamp) Caixa Postal 6101, 13083-970 – Campinas, SP, Brasil {dmoraes,eleri}@dca.fee.unicamp.br Abstract – Current wireless network architectures consider the interaction between stations (STAs) and access points (APs) as discrete and localized events at OSI model layer 2. Such interactions are not signaled to other network entities like routers. This article shows that handover efficiency can be increased when this signalization is employed and proposes a native trigger technique to implement it. In addition, it introduces the concept of a distributed authentication cache to improve handover performance in enterprise secure wireless networks that use WPA-2 and RADIUS. A prototype of native trigger was implemented and evaluated in a mobile IP network. The authentication cache, that is mainly based in a distributed hash table (DHT) that stores STAs pairwise master keys (PMK) was deployed in a network simulator and the results are promising, but a real implementation is still in course. Keywords –

AAA Servers, Cache, Triggers, Wireless Security, Handover, DHT, Routing, Filtering

1. Introdução Atualmente, com a disseminação das redes sem fio de padrão IEEE802.11 [1, 5] e a miniaturização dos computadores pessoais, um computador pode mover-se geograficamente e continuar conectado a uma rede local sem fio (WLAN) [9]. Uma rede sem fio pode ser composta de apenas um ponto de acesso (Basic Service Set BSS) [1], ficando limitada à abrangência de seu sinal, ou então ser composta de vários pontos de acesso (Extended Service Set - ESS) [1], aumentando assim a sua cobertura de sinal utilizando um sistema de troca de pontos de acesso (APs) pelas estações (STAs) baseada na relação entre sinal e ruído (Handover) [1]. Porém, existe a mobilidade intradomínio. Um domínio pode ser composto de várias sub-redes. Os casos anteriormente descritos não são suficientes para proporcionar este tipo de mobilidade e para suprir essa necessidade criou-se a Mobility Plane Architecture (MPA) [10]. MPA sugere a criação de uma rede overlay que utiliza túneis IP com Generic Routing Encapsulation (GRE) [4]. A manutenção destes túneis e o gerenciamento de rotas é feito através do envio de mensagens que seguem o Resource Reservation Protocol (RSVP) [6] para os roteadores. A sinalização da MPA é feita através de filtros na camada 3 (L3) do modelo Open Systems Interconnection (OSI) [9] e serviços que processam os pacotes filtrados e depois sinalizam as trocas de rotas aos roteadores. Porém, foi observado que também seria possível gerar esta sinalização a partir de eventos da

camada 2 (L2) do modelo OSI. Estes modelos de sinalização são apresentados na primeira parte da Seção 2. Com a expansão da rede torna-se necessária a implantação de um esquema de segurança e autenticação, tanto dos dados quanto das entidades que a integram. Os modelos atuais utilizam um sistema de autenticação baseados no protocolo Remote Authentication Dial In User Service (RADIUS) [7]. Este protocolo não apresenta um bom desempenho quando se necessita de trocas rápidas de APs (