Sicheres WLAN durch WPA und 802.11i, Teil 3

VoIP-Optimierung: Prä-Authentifizierung und PMK-Caching

Wie schon früher erwähnt, sind es oft die Details, welche die Verabschiedung eines Standards verzögern. Im Falle von 802.11i waren es zwei Details, die insbesondere beim Einsatz von WLAN für Sprachverbindungen (VoIP) helfen sollen. Vor allem in Zusammenhang mit WLAN-basierten schnurlosen Telefonen kommt einem schnellen Roaming, dem Wechsel zwischen Access Points ohne längere Unterbrechungen, eine besondere Bedeutung zu. Bei Telefongesprächen sind bereits Unterbrechungen von wenigen 100 Millisekunden störend. Eine vollständige Authentifizierung über 802.1x, inklusive der folgenden Schlüsselverhandlung mit dem Access Point, kann aber deutlich länger dauern.

Als erste Maßnahme wurde deshalb das so genannte PMK-Caching eingeführt. Der 802.11i-Standard bezeichnet mit dem PMK (Pairwise Master Key) das nach einer 802.1x-Authentifizierung in Client und Access Point vorhandene Master Secret, welches die Basis für den Schlüsselaustausch darstellt. In VoIP-Umgebungen ist es denkbar, dass ein Anwender sich zwischen einer relativ kleinen Zahl von Access Points hin- und herbewegt. Dabei wird es vorkommen, dass ein Client wieder zu einem Access Point wechselt, an dem er bereits früher einmal angemeldet war. In so einem Fall wäre es unsinnig, die ganze 802.1x-Authentifizierung zu wiederholen.

Aus diesem Grund kann der Access Point das PMK mit einer Kennung, der so genannten PMKID, versehen, die er an den Client übermittelt. Bei einer Wiederanmeldung fragt der Client mittels der PMKID, ob dieses PMK noch gültig ist. Falls ja, kann die 802.1x-Phase übersprungen werden. Es ist nur der Austausch von sechs kurzen Paketen erforderlich, bis die Verbindung wieder steht. Diese Optimierung ist bei PSK-basierten WLANs nicht erforderlich, denn dort ist das PMK ja ohnehin überall gleich und bekannt.

Eine weitere Maßnahme erlaubt auch für den Fall der erstmaligen Anmeldung eine Beschleunigung. Sie erfordert aber etwas Vorausschau vom Client: Dieser muss bereits im Betrieb eine schlechter werdende Verbindung zum Access Point erkennen und einen neuen Access Point selektieren, während er noch Verbindung zum alten Access Point hat. In diesem Fall hat er die Möglichkeit, die 802.1x-Verhandlung über den alten Access Point mit dem neuen Access Point zu führen. Dies verkürzt die Zeit um die Dauer der 802.1x-Verhandlung.