Norma sama ovšem nabízí řadu dalších prvků volitelných, jako předběžnou autentizaci (pre-authentication), která umožňuje rychlý a bezpečný roaming mezi přístupovými body s minimalizací zpoždění, což bude potřeba např. pro hlasové služby pro WLAN. Podobně může zkrátit prodlevu při autentizaci uživatele tzv. key-caching, kdy uživatel při opětovném připojení k přístupovému bodu nemusí znovu zadávat své údaje a je připojen bez jakýchkoli úkonů z jeho strany.
Dnes se podíváme podrobněji právě na tyto dva prvky v normě, které nebudou povinně podporovány v budoucích produktech certifikovaných podle WPA2, protože pro mnohé budou zajímavé pro roaming mezi přístupovými body v souvislosti s aplikacemi citlivými na zpoždění, typicky pro hlasové služby. A podíváme se také na další aktivity, které se snaží o minimalizaci zpoždění při předávání uživatelů mezi přístupovými body při zachování maximální bezpečnosti.
Nejprve však několik vět o roamingu, protože se budeme soustřeďovat jen na velmi malou část tohoto komplexního problému. Především se omezíme na otázky roamingu mezi bezdrátovými sítěmi stejného typu (WLAN) a ponecháme stranou složitější problematiku roamingu mezi heterogenními sítěmi bezdrátovými lokálními a mobilními (např. WLAN-GSM/GPRS).
Roaming
Roaming probíhá typicky na druhé nebo třetí vrstvě síťové architektury. Roaming na druhé vrstvě znamená, že se uživatel přesunuje od jednoho přístupového bodu k druhému v rámci téže IP (pod)sítě. Řeší se tedy především „fyzické“ předání uživatele mezi dvěma přístupovými body. Pokud se ovšem uživatel přesouvá do jiné IP sítě, musí se kromě vlastního předání mezi přístupovými body také zapojit síťová vrstva, protože uživatel nemůže nadále navenek používat původní IP adresu. K tomu je potřeba nový síťový protokol. Mobile IP řeší tento problém pomocí tzv. domácí adresy, která je neměnná, a cizí adresy, kterou si klient půjčuje v navštívených sítích.
Přístupové body WLAN podporují roaming na druhé vrstvě, kdy se uživatelé automaticky připojují a opětovně připojují (re-associate) k různým přístupovým bodům při pohybu mezi sousedními WLAN. Roaming mezi dvěma sousedními přístupovými body (viz obrázek „Roaming na druhé a třetí vrstvě“) může proběhnout zcela transparentně, pokud se uživatel dostane mimo dosah daného přístupového bodu (signál slábne), klient si automaticky vyhledá kvalitnější signál. Klient skenuje kanály 802.11 a pokud najde více přístupových bodů díky vysílání probes, nejprve vyloučí ty s neznámým SSID (Service Set IDentifier) a nastavením šifrování. Klient si pak sestaví seznam vhodných přístupových bodů, z nichž jeden si vybere pro přidružení. Jakmile si vybere nový přístupový bod, opětovně se autentizuje a přidruží k němu. Jestliže podporuje 802.1×, pak ještě proběhne autentizace klienta.
Roaming vždy iniciuje samotný klient, typicky v případě snížení přenosové rychlosti (pakety se běžně přenášejí maximální zkonfigurovanou rychlostí na přístupovém bodu), více chybějících hlášení od WLAN (beacon; interval jejich periodického vysílání specifikuje samotná zpráva), nebo při více neúspěšných pokusech o odeslání dat.
Roaming na druhé a třetí vrstvě.
IAPP
Pro komunikaci mezi přístupovými body se používá protokol IAPP (Inter-Access Point Protocol) normalizovaný v IEEE 802.11f (IEEE Trial-Use Recommended for Multi-Vendor Access Point Interoperability via an Inter-Access Point Protocol Across Distribution Systems Supporting IEEE 802.11 Operation) z roku 2003. Nový přístupový bod musí informovat původní přístupový bod (na základě jeho MAC adresy najde jeho IP adresu – pomocí lokální tabulky nebo RADIUS serveru) o novém klientovi. MAC adresu původního přístupového bodu nese v sobě zpráva reassociation (běžná zpráva association v sobě žádnou MAC adresu přístupového bodu nemá).
Prostřednictvím spojení (tunelu chráněného IPSec na základě distribuce klíče pomocí RADIUS) informuje původní přístupový bod o reasociaci, aby si MAC adresu klienta vymazal ze své asociační tabulky. Nový přístupový bod také informuje mosty a přepínače připojené k lokálnímu segmentu, aby si aktualizovaly své tabulky a rámce pro stanici už posílaly na nový AP.
Key-caching
Předávání uživatelů mezi přístupovými body (často tam a zpět) může mít negativní dopad nejen na některé aplikace, ale i na autentizační server. Metoda ukládání klíčů do cache (key-caching) snižuje zátěž autentizačního serveru a současně urychluje přepojení klienta. Klient a přístupový bod si musí udržet bezpečnostní relaci při roamingu tak, aby při opětovném přidružení k přístupovému dobu bylo možné relaci opět nastartovat.
Ukládání klíčů do cache umožňuje uložit informaci na síť, takže po odpojení a opětovném připojení k přístupovému bodu nemusí uživatel znovu zadávat své údaje. Technicky se používá pojmenování bezpečnostní relace (security association) PMK (Pairwise Master Key), kdy při návratu k přístupovému bodu pošle v žádosti o přidružení (association) klient jméno klíče (jedno nebo více). Pokud přístupový bod odpoví pozitivně na žádost o přidružení, pokračuje se standardní výměnou čtyř zpráv (4-way handshake) v rámci EAPOL (Extensible Authentication Protocol over LANs), kde první zpráva v této komunikaci obsahuje jméno bezpečnostní relace PMK. V rámci výměny zpráv se mj. ověří, zda klient a přístupový bod mají stejnou bezpečnostní relaci PMK.
Key-caching
Caching klíčů podle údajů některých výrobců dokáže snížit zpoždění při předávání klienta mezi dvěma přístupovými body z 800 ms na pouhých 25 ms, což je výrazný přínos pro aplikace citlivé na zpoždění jako VoWLAN (Voice over WLAN).
Pre-authentication
Key-caching redukuje dobu potřebnou pro připojení k síti, pokud klient již někdy byl přidružen k přístupovému dobu. Autentizace předem (pre-authentication) pak řeší vytvořené bezpečnostní relace PMK, kdy klient ještě k danému přístupovému bodu nikdy přidružen nebyl.
Při prvním přidružení klienta k síti musí proběhnout úplná autentizace. Pokud si je uživatel vědom potřeby roamingu, může provést autentizaci předběžnou u přístupového bodu, který hodlá použít v nedalekém budoucnu. Autentizace předem je podobná 802.1×: autentizace probíhá prostřednictvím nového přístupového bodu (v roli autentizátora) a příslušné pakety putují přes stávající přístupový bod k novému.
Pre-authentication
Závěrem úspěšného provedení předběžné autentizace je ustavení bezpečnostní relace PMK mezi klientem a novým přístupovým bodem. Tím proces končí a už se neprovádí výměna čtyř zpráv. Při roamingu k novému přístupovému bodu pak klient provádí výše popsaný postup v rámci key-caching, který právě zahrnuje čtyřcestnou výměnu zpráv.
Pre-authentication umožňuje navázat bezpečnostní relaci před vlastním přidružením klienta k přístupovému bodu. Klient tím snižuje dobu, po kterou je vlastně od sítě při předávání mezi přístupovými bodu odpojen. Předběžná autentizace samozřejmě ale znamená zátěž pro autentizační server. Navíc jsme stále na druhé vrstvě, takže autentizaci předem nelze zrealizovat přes různé IP sítě.
Rychlý a bezpečný roaming
Roaming ve WLAN na podporu hlasových služeb je náročnější než u jiných – typicky datových – aplikací, protože musí být dostatečně rychlý a současně bezpečný. Dokončovaná norma 802.11e pro zaručení QoS (Quality of Service) nezahrnuje řešení pro rychlý roaming v souvislosti s moderními bezpečnostními mechanizmy 802.11i, proto vznikla v březnu 2004 nová pracovní skupina IEEE 802.21 (Media Independent Handoff) pro rychlý a bezpečný roaming (Fast, Secure Roaming) mezi potenciálně různými médii. Úkolem připravované normy je zachovat vysokou bezpečnost komunikace a přitom urychlit předávání uživatelů pro zachování kvality telefonních hovorů na úrovni podnikového VoIP (omezit přerušení volání a zpoždění při předávání na minimum).
Pro srovnání WPA s autentizací PSK (Pre-Shared Key) prodlužuje předávání uživatelů na 70 ms (zašifrovaný tunel prostřednictvím jednoho přístupového bodu se musí rozbít a vytvořit nový do jiné WLAN). Pro hlasové služby by bylo potřeba se dostat pod 50 ms, aby kvalita hovoru vnímaná uživatelem nebyla narušená.
Na rychlém roamingu se ovšem pracuje také v rámci podvýboru pro WLAN, kde vzniká norma IEEE 802.11r (Fast Roaming Fast Handoff) pro rychlejší předávání uživatelů (reasociaci) mezi přístupovými body téže WLAN.