OKC和802.11R的知识小科普

欢迎来到东用知识小课堂！

1.什么是漫游

简单来说，就是设备从一个AP，连接到另一个AP。IP地址不需要重新申请。整个过程需要尽可能快的进行，否则对于用户而言，就会发现网络出现卡顿。而为了安全，网络的认证过程已经变得十分耗时（例如802.1X认证）。所以为了避免漫游时出现重新认证，开发出了OKC，以及802.11R协议进行补充。避免漫游时进行完整的认证过程。

使用OKC，802.11R等协议，可以省去认证过程的漫游，称为快速漫游。

2.PMK caching

PMK caching是由802.11i协议定义的，一种用在单个AP与设备之间的认证中的有效技术。使用在当一个工作站已经认证在某个AP上，然后漫游到其他AP，之后又漫游回该AP。不用进行完整的认证，只需进行802.11i中定义的四次握手交换共享密钥过程即可。

所以PMK caching只适用802.1X认证。它的工作原理：

在漫游发生之后，会在关联请求帧中将PMKID上报，AP根据PMKID在PMK caching中进行查找对应的PMK，如果找到，就不需要再进行802.1X过程获取PMK了。

3.OKC

OKC（Opportunistic Key Caching）也叫OPC（Opportunistic PMK Caching），是微软定义的一套标准，并不在802.11标准中。不过多数厂商都支持这种方式，也成为了一种事实标准。是在PMK caching基础上进行设计的。它是与PMK caching类似的技术，也是为了避免复杂的802.1X认证过程。

OKC适用在同一网络下，同一AC下的多个AP之间进行的漫游。

与PMK caching不同，OKC会将PMK在AP之间进行交换。它的工作原理：

当STA跟AP1经过完整的EAP/802.1X建立连接后，产生一条PMKSA，里面包含一个PMKID1，然后AP1把这个PMKSA传给它的邻居，其中一个就是AP2。

漫游发生前，STA要根据AA，SPA和PMKID1计算出一个PMKID2，把这个PMKID2放在RSN IE里，送给AP2。

AP2在收到这个PMKID2后，就像平时一样，会在自己的PMKSA Cache里找，当然，这是找不到的。因为Cache没有一个的PMKID是PMKID2。然后，AP2就要对Cache中的每一个Entry计算一次新的PMKID，其必要的几个元素，AA，SPA和PMKID1都是有的。每计算一个就跟PMKID2匹配一次，匹配成功就可以直接进行4次握手。

由于OKC是在PMK caching上进行开发，且并不是Wi－Fi联盟推出的协议，所以并不是每个设备厂商都支持。

4.802.11R

IEEE802.11R(Fast BSS Transition)定义了STA在同一移动域(MD)中的不同AP之间漫游时的交互细则，提供了实现BSS快速切换的标准。

802.11R快速漫游实现方法为：STA首次关联MD内的AP时，利用802.1x认证获得的主会话密钥（MSK，由于该密钥为认证者和申请者共享，也称为成对主密钥PMK）和MD内各个AP的R1KH_ID计算出不同的PMK_R1分发给MD内的其它AP；STA切换AP时，STA直接利用之前发送到目标AP上的PMK_R1协商出成对临时密钥(PTK)和组临时密钥(GTK)，以此缩短漫游切换时间，避免再重复进行耗时的802.1x认证。

802.11R协议主要描述了四个部分的内容：密钥管理、FT初始化关联、快速切换和新增的信息元素。

5.802.11R与OKC的不同

1).802.11R不仅可以用在802.1X认证中，也可以用在PSK认证中。

2).802.11R协议延伸出新的共享密钥生成过程。

3).802.11R将密钥交换过程放到关联认证过程。

4).802.11R不仅可以省去802.1X认证过程，也可以省去四次握手过程。

好了！今天的东用知识小课堂到这里就结束了，大家如果还有疑问的话，可以在下方留言或者私信给我们，我们下期再见！返回搜狐，查看更多

责任编辑：