اولین تعامل بین APها در طول Handoff و توسط پروتکل IAPP رخ می‌دهد، و فرم دوم از تعامل بین AP و سرور Radius است.
IAPP نقش قابل توجهی طی یک Handoff دارد. دو هدف اصلی به دست آمده توسط IAPP عبارتند از:
حفظ یک مرکز ارتباط ثابت برای شبکه بی­سیم.
(( اینجا فقط تکه ای از متن درج شده است. برای خرید متن کامل فایل پایان نامه با فرمت ورد می توانید به سایت nefo.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. ))

انتقال امن اطلاعات بین APها درگیر در ایجاد ارتباط دوباره سرویس گیرنده، که می‌تواند شامل IP، زمینه‌های امنیتی، فشرده سازی هدر و اطلاعات حسابداری AAA باشد.
هنگامی که AP اول فاز ارتباط را انجام می‌دهد، AP به صورت پخش همگانی دیگر APها را از این موضوع مطلع می‌کند. پس از دریافت این پیام، APها اطلاعات فاز ارتباط خود را به روز می‌کنند.
در آغاز فاز ارتباط مجدد، AP جدید به صورت انتخابی می‌تواند پیام Security Block را برای AP قدیمی ارسال کند، که با دریافت پیام Ack-Security-Block از صحت ارسال مطمئن­ می‌شود. این پیغام حاوی اطلاعات امنیتی به منظور ایجاد یک کانال ارتباطی امن بین APها است. AP جدید یک پیام Move-Notify به ایستگاه AP قدیمی می‌فرستد به منظور آگاه ساختن AP قدیمی از اطلاعات جدید[۱۶].

شکل ۳-۱ : پروتکل IAPP[16]
این راه حل از روش‌های قبل ضعیف‌تر می‌باشد، احراز هویت از آن نیاز به ارتباط امن بین APها دارد، و برای تغییر محیط بین سرورهای که مشابه نیستند غیر ممکن است.

۳-۱-۳ کاهش تاخیرReauthentication در Handoff

در این پروتکل، تمام ارتباطات بین سرویس گیرنده متحرک و نقاط دسترسی از اتصال بی‌سیم استفاده می‌شود[۱۷]. نقاط دسترسی به صورت مستقیم با یکدیگر ارتباط ندارند. با این وجود، افزونگی و سربار ارتباطات بی‌سیم نسبتاً کوچک است. برای ارتباط APها از پروتکل‌های ۸۰۲٫۱۱ استفاده شده است. در این پروتکل داده‌ها با کم‌ترین هزینه انتقال داده می‌شوند. و این به این معنی می‌باشد که پیام‌های فرستاده شده رابط‌های ارتباطی را افزایش نمی‌دهد.
لازم به ذکر است که برخی از پروتکل‌های متحرک اجازه می‌دهد کاربر متحرک با نقطه دسترسی‌های قدیمی مذاکره داشته باشد، مثل GSM. ممکن است کاربر متحرک در خارج از پوشش شبکه حرکت کند و وابسته به یک نقطه دسترسی جدید شود. از این رو، ارتباطی با AP برقرار می‌شود تا اطلاعات آن را به روز کند. شکل زیر به تشریح این پروتکل پرداخته است. کاربر متحرک اعتبارنامه‌ای از AP1 دریافت می‌کند، که در آن با موفقیت تصدیق شده است. هنگامی که کاربر متحرک وارد محیط AP2 جدید می‌شود، این گواهی‌نامه را به AP2 تحویل می‌دهد؛ و برای امنیت این گواهی‌نامه رمزنگاری شده است. این کار می‌تواند از پروتکل درخواست و پاسخ باشد. AP2 با بررسی این اعتبار نامه اجازه دسترسی به شبکه را برای درخواست کننده صادر می‌کند.

شکل ۳-۲- حرکت سرویس گیرنده بین APها[۱۷]
این روش از الگوریتم بسیار سریع استفاده کرده است، اما تا حدودی در تأیید هویت ضعیف است، و به طور بالقوه احراز هویت به آهستگی صورت می‌گیرد. اگر دومین پروتکل اعتبار نامه را تائید نکند (به این معنی است که متقاضی در احراز هویت اول تقلب کرده است)، سپس AP از دسترسی به شبکه جلوگیری می‌کند. در صورت شکسته شدن این پروتکل ضعیف دسترسی افراد غیر مجاز به شبکه امکان پذیر خواهد شد، و تنها برای چند ثانیه به عنوان پروتکل ظاهراً قوی می‌تواند عمل کند این طرح نیازی به ارتباطات بین APها ندارد، و به آسانی قابل پیاده سازی می‌باشد. از سوی دیگر، رویکرد خوش بینانه به معنای حداقل از دست دادن امنیت می‌باشد، که ممکن است برای برخی از برنامه‌های کاربردی کسب و کار غیر قابل قبول باشد.

۳-۱-۴ کاهش تاخیر Handoff با بهره گرفتن از روش FHR^[80]

برای کاهش تأخیر احراز هویت طرح FHR پیشنهاد شده است. در این طرح، اطلاعات مربوط به احراز هویت متقاضی فعالانه به APهای متعدد توزیع می‌شود.
برای پیش بینی الگوی تحرک متقاضی، مفهوم منطقه تغیرات مکرر (FHR) معرفی شد[۱۸]. FHR مجموعه‌ای از APها است که با احتمال زیادی در آینده نزدیک توسط متقاضی بازدید خواهد شد. FHR بر اساس فراوانی Handoff و اولویت متقاضی را در سیستم متمرکز ساخته شده است. FHR به راحتی می‌تواند بر اساس مدل IEEE 802.1x اجرا شود[۳]. پس از مطالعات مختلف، تعداد APها مرتبط با متقاضی در طول زمان خدمت خود را به طور معمول به ۲ یا ۳ محدود می‌شوند. بنابراین، در طرح FHR، اطلاعات مربوط به احراز هویت متقاضی به زیر مجموعه‌ای از APهای مجاور که در فاصله حداکثر دو هاب از AP فعلی واقع شده‌اند تحویل داده می‌شوند.
طرح استفاده از FHR در شکل ۳-۳ نمایش داده شده است، در این مثال، سرویس گیرنده مرتبط با AP4 در مرحله ورود^[۸۱] به سایت است، و FHR شامل AP0، AP4، AP7 و AP8 است. بنابراین، اطلاعات احراز هویت به چهار AP ( AP0، AP4،AP7 و AP8) فرستاده می‌شود. اگر متقاضی به یکی از AP های انتخاب شده حرکت کند، هیچ روش احراز هویتی از طرف سرور احراز هویت مورد نیاز نیست. به هر حال، اگر متقاضی بهAP دیگری (به عنوان مثال، AP2 در شکل ۳-۳b-) حرکت کند که در عملیات احراز هویت پیش بینی نشده است، تأیید هویت جدید باید از طریق سرور انجام شود. علاوه بر این، پس از انجام Handoff به AP2، FHR جدید، متشکل از AP1، AP2، AP3 و AP5 ساخته می‌شود.

شکل ۳-۳- طرح FHR [18]
این طرح دارای مشکلاتی می‌باشد، از جمله این که امنیت بسیار پایینی دارد، در واقع این طرح بیشتر برای کاهش زمان دسترسی ارائه شده است نه بالا بردن امنیت. و در شبکه‌های ناهمگون که APها مختلف در کنار هم قرار دارند پیاده سازی این ایده مشکل خواهد شد، زیرا نیاز به پیام‌های کنترلی زیادی می‌باشد، و با حرکت بیشتر سرویس گیرنده‌ها این پیام‌ها بیشتر خواهد شد زیرا با ورود به هر AP همسایگان جدید درست خواهد شد. بنابراین می‌توان نتیجه گرفت که در شبکه‌های شلوغ این طرح پاسخگو نخواهد بود.

۳-۱-۵ کاهش تاخیر Handoff با بهره گرفتن از روش PNC^[82]

به جای استفاده از سیستم متمرکز، طرح پیشگیرانه بر اساس ساختار cache توزیع شده معرفی شد. این طرح به عنوان طرح PNC نامیده می‌شود[۱۹]. طرح PNC از یک گراف همسایه استفاده می‌کند، که به صورت پویا، برای پیش بینی Handoff کاربر متحرک استفاده می‌کند. طرح PNC تضمین می کند که Handoff یک هاب جلوتر پیش بینی شود، و در نتیجه تأخیر Handoff کاهش می‌یابد.
گراف همسایه با بهره گرفتن از اطلاعات مبادله شده در طول Handoff متقاضی ساخته شده است. به تازگی، طرح PNC از خصوصیات IAPP استفاده می‌کند، که یک پروتکل استاندارد برای ارتباطات بین APها است. بهره برداری از طرح PNC در شکل ۳-۴ نشان داده شده است. وقتی متقاضی وارد محیط AP4 می‌شود، این AP اطلاعات متقاضی را به تمام APهای همسایه (به عنوان مثال، AP0، AP2، AP5، AP7 و AP8) ارسال می‌کند. وقتی متقاضی به AP2 حرکت می‌کند، هیچ گونه احراز هویتی انجام نمی‌شود زیرا پیش‌تر انجام شده است، در عین حال، اطلاعات متقاضی از دیگر APهای غیر همسایه (به عنوان مثال، AP0، AP7 و AP8) برداشته می‌شود.

شکل ۳-۴- طرح PNC [19]
در طرح PNC، اطلاعات متقاضی به تمام APهای همسایه در هر زمان که ارتباط ایجاد می‌شود ارسال خواهد شد. بنابراین، طرح PNC ممکن است منجر به سربار بالای شود، به ویژه هنگامی که تعداد زیادی سرویس گیرنده در شبکه‌های بی‌سیم IEEE 802.11 وجود داشته باشد. علاوه بر این، مطالعات انجام شده نشان می‌دهد که حتی در مورد جایی که یک تعداد از APها مستقر هستند، حداکثر ۲ یا ۳ تا از APها هدف اصلی از Handoff می‌باشند. بنابراین، انتشار اطلاعات متقاضی به زیر مجموعه‌ای از APها همسایه غیر ضروری می‌باشد. و دیگر مشکل این طرح امنیت پایین آن می‌باشد، زیرا در صورت شکست احراز هویت اول نفوذگر بدون هیچگونه مانعی می‌تواند به شبکه دسترسی پیدا کند. علاوه بر موارد فوق ممکن است در شبکه‌های ناهمگون که APهای که توسط سرورهای مختلف کنترل می‌شوند، در کنار هم باشند دچار مشکل می­شوند، زیرا همسایگان از حرکت درخواست کننده بین APها انتخاب می‌شوند و ممکن است این APها متعلق به یک سرور نباشند، این شرایط پیچیدگی را افزایش می‌دهد.
الگوریتم PNC[20] بشرح زیر است:

۳-۱-۶ کاهش تاخیر Handoff با بهره گرفتن از روش SNC^[83]

به منظور کاهش سربار، طرح ذخیره همسایه انتخابی SNC پیشنهاد شد[۲۰]. طرح SNC طرح پیشرفته‌تر PNC با اضافه کردن یک مفهوم جدید با عنوان وزن همسایه است.
وزن همسایه نشان دهنده احتمال Handoff برای هر AP همسایه است. بر اساس وزن همسایه، اطلاعات متقاضی تنها به APهای همسایه انتخاب شده فرستاده می‌شود. به عنوان مثال، به APهای همسایه که وزن معادل یا بیشتر از یک آستانه از پیش تعریف شده دارند. نمودار همسایه و وزن همسایه به راحتی می‌توان با نظارت بر الگوهای Handoff در میان APها ساخته شود. هنگامی که ما شکل ۳-۴ با شکل ۳-۵ را مقایسه می‌کنیم، طرح SNC شامل عملیات انتقال کمتری است. برای مثال، وقتی متقاضی با AP4 ارتباط دارد، تنها سه همسایه به عنوان مثال، AP2، AP5 و AP8 اطلاعات متقاضی را دریافت می‌کنند. اگر متقاضی وارد یکی از APهای همسایه انتخاب شده شود، طرح SNC همان کاهش تأخیر طرح PNC را موجب می‌شود. اگر مقدار آستانه با دقت انتخاب شود می‌تواند عملکرد خوب Handoff را ارائه دهد. علاوه بر این، اگر cache در AP محدود است، طرح SNC نسبت به طرح PNC ترجیح داده می‌شود.

شکل ۳-۵- طرح SNC [20]
الگوریتم SNC [20] بشرح زیر است:

۳-۱-۷ استفاده از روش سرورهای موقتی^[۸۴]

در دسته­ دیگر راهکارها برای بهبود تاخیر Handoff ، استفاده از سرورهای موقت LAS^[85] محلی می­باشد[۲]. برای این کار از یک مجمع امنیتی (^[۸۶]SA) همانند IPSEC استفاده می‌شود که SA حکم یک رابط بین سرویس گیرنده و سرور را دارد که می ­تواند به عنوان یک سرور موقت نیز کار سرور اصلی AAA را انجام دهد. این طرح در شکل ۳-۶ نمایش داده شده است. در همین حال، روند پردازش احراز هویت تاثیر زیادی بر QoS دارد مانند زمان تأخیر احراز هویت به دلیل هزینه سربار اضافی که دارد. وقتی کلید عمومی / خصوصی مکانیزم احراز هویت اعمال می‌شود، پیچیدگی محاسبات بالایی دارد.

شکل ۳-۶ طرح LAS [2]
از سوی دیگر، در احراز هویت بر اساس کلید مخفی، با توجه به عدم وجود SA بینMU^[87] و سرور AAA که در خارج شبکه قرار دارد، اطلاعاتMU ها رمزگذاری شده و توسط انتقال هاب- هاب به شبکه خانگی خود که سرور AAA در آن قرار دارد منتقل می‌شود، که باعث بالا رفتن هزینه می‌شود، و تأخیر طولانی احراز هویت رخ می‌دهد.
در روش LAS نحوه برخورد با گره سیار طبق فلوچارت شکل ۳-۷ است:
شکل ۳-۷ فلوچارت طرح LAS [2]
هر گره سیار با ورود به سلول نقطه دسترسی جدید وجود وجود یا عدم وجود کانال امن توسط سرور ^[۸۸]LAS مورد بررسی قرار میگیرد. درصورتیکه وجود داشت احراز هویت میگردد و در غیر اینصورت به منظور احراز هویت به سمت سرور HAS^[89] ارسال میگردد.

۳-۱-۸ کاهش تاخیر Handoff با بهره گرفتن از روش ANC^[90]

به منظور کاهش سربار و جستجوی موثرتر AP بعدی جهت Handoff، روش ANC پیشنهاد شده است[۲۱]. هنگامیکه یک گره سیار در حال حرکت است مسیر معینی را طی می­نماید تا به مقصد برسد در این میان از محدوده جغرافیایی آنتن­دهی APهای مختلفی عبور می­نماید. حال گره سیار برای انجام عملیات Handoff باید از میان APهای مختلفی یکی را که مستعدتر است، انتخاب نماید. در این روش مفهومی بنام ^[۹۱]CL را معرفی می­ کند که حاوی لیستی از APهای مستعد می­باشد. در واقع ANC بعنوان فرم کلی از دو روش PNC وSNC است. این روش نسبت به روش های قبلی زمان انتقال^[۹۲] کاهش داده و مستعدترین AP را از بین APهای همسایه انتخاب می­ کند. ANC از active scanning استفاده می­ کند. هنگامیکه گره سیار، APهای مستعد را پیش ­بینی کرد سپس گره سیار مقدار ProbeRequest برای کانال ارتباطی آنها ارسال می­ کند. در نتیجه هیچ مقدار MinChannelTime تحت تاثیر قرار نمی­گیرد. شایان ذکر است با بهره گرفتن از active scanning با دریافت اولین پاسخ ProbeRequest از طرف APهای مستعد آنرا بعنوان AP بعدی انتخاب می­نماید و سایر پاسخ­ها را درنظر نمی­گیرد. این روش نه تنها منجر به کاهش سربار احراز هویت IAPP می­گردد بلکه باعث کاهش تاخیر EAPOL می­ شود.
همان‌طور که در این فصل بیان شد، تأخیر به وجود آمده در زمان احراز هویت، کیفیت دسترسی به شبکه را تحت تأثیر قرار می‌دهد، به طوری که خدمات رسانی در شبکه افت خواهد کرد، و طرح‌های ارائه شده برای رفع این مشکل غالباً با مشکل امنیتی روبرو هستند به دلیل این که سیاست‌های امنیتی قوی مانند رمزنگاری معمولاً نیاز به پردازش‌های قوی دارند و پردازش قوی نیز زمان‌بر خواهد و این زمان بالا مشکل تأخیر را نیز بیشتر خواهد کرد.
پیشنهاد رفع مشکل بالا، ارائه یک چارچوب و معماری، احراز هویت و دستیابی کاربران در معماری AAA در کمترین زمان ممکن صورت گیرد که وابستگی بسیار کمی به تعداد شبکه ­های واسط و تعداد کاربران داشته باشد، در این ساختار دو عامل مهم QoS و امنیت از کیفیت بالایی برخوردار خواهند بود که این معماری بر پایه استاندارد Radius خواهد بود.
یک روش پیشنهادی، می تواند به‌کارگیری یک موتور Cache در APها می‌باشد، که این امر منجز به کاهش زمان احراز هویت است، ضمن آنکه تمام عملیات مربوط به سرور نیز به طور کامل انجام خواهد گرفت، بنابراین امنیت دچار مشکل نخواهد شد. علاوه بر این با کاهش زمان تأخیر می‌توان از پروتکل‌های امنیتی قوی در ارتباط با سرور AAA استفاده کرد. در این راستا، می توان از ارتباط VPN نیز بهره گرفت.
موضوع افزایش پهنای باند کاربر پس از احراز هویت، می ­تواند بعنوان یکی دیگر از پارامترهای روش پیشنهادی مورد توجه قرار گیرد.
همچنین ایجاد نوعی سیستم برای کاربران خوش رفتار، به گونه ­ای که بدون هیچ­گونه عملیات احراز هویت بتوانند به شبکه دسترسی داشته باشند ولی یک ناظر برای آنها وجود داشته باشد تا با انجام کوچکترین عملیات مشکوک، با کاربر متخلف برخورد شود نیز یکی دیگر از ویژگیهای روش پیشنهادی خواهد بود. روش­های بیان شده همگی سعی در کاهش Handoff داشتند در نتیجه Authentication سریعتر انجام می­گیرد. ولی هیچ کدام بر ارتقا امنیت تاکیدی نداشتند. بعنوان مثال:
Pre-Authentication با ذخیره کردن کلید در cache ،