روش ﺑﺴﯿﺎر اﻣﻦ ﺑﺮای اﺣﺮاز ﻫﻮﯾﺖ ﺑﺎ اﻧﻌﻄﺎف ﭘﺬﯾﺮی ﺑﯿﺸﺘﺮ اﺳﺖ و ﻗﺎدر اﺳﺖ ﺑﺎ اﻟﮕﻮرﯾﺘﻢ­ﻫﺎی ﻣﺨﺘﻠﻔﯽ ﻧﻈﯿﺮ MD5 ﮐﺎر ﮐﻨﺪ. ﻫﻤﭽﻨﯿﻦ EAP ﻣﯽ ﺗﻮاﻧﺪ در ﻗﺎﻟﺐ ﭘﺮوﺗﮑﻞﻫﺎی دﯾﮕﺮ، ﻣﺤﺮﻣﺎنه^[۶۰] ﺷﻮد. ﻟﺬا ﮐﺎرﺑﺮد آن وسیعتر از CHAP و PAP ﺧﻮاﻫﺪ ﺷﺪ[۹].

۲-۳ روش های EAP

روش­های EAP به سه دسته تقسیم می­شوند[۱۱][۱۲]:
۱) روش­های legacy EAP در RFC 3748 تعریف شده ­اند. ۲) روش­های EAP مبتنی بر مجوز، در این دسته از متدها یک کانال امن و برنامه‌های تصدیق شده را ایجاد می‌نمایند. ۳) روش­های EAP که روشی را برای متقاعد کردن دو طرف نسبت به یکدیگر ایجاد می‌کنند، هر دو طرف رازی را بدون آشکار کردن آن برای شخص سوم می‌دانند که ممکن است به مکالمۀ آنها گوش دهد. چندین روش EAP طراحی شده برای شبکه‌های بی‌سیم وجود دارد. روش های EAP به شرح زیر است:

(( اینجا فقط تکه ای از متن درج شده است. برای خرید متن کامل فایل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. ))

روش­های legacy EAP
EAP–MD5
روش­های EAP مبتنی بر مجوز
EAP–TLS
EAP–TTLS
EAP PEAP
روش­های EAP مبتنی بر رمزعبور
LEAP
SPEKE
EAP SIM
EAP–AKA

۲-۴ ﺗﻐﯿﯿﺮ ﻣﺤﯿﻂ^[۶۱]

ﺑﺎ ﭘﯿﺸﺮﻓﺖ ﺗﮑﻨﻮﻟﻮژی ﺷﺒﮑﻪ ﺑﯿ­­ﺴﯿﻢ^[۶۲] ﭘﺸﺘﯿﺒﺎﻧﯽ از ﺗﻐﯿﯿﺮ ﻣﺤﯿﻂ ﯾﮑﯽ از ﻣﻮﺿﻮﻋﺎت ﻣﻬﻢ در ﺷﺒﮑﻪ ۸۰۲٫۱۱ WLAN IEEE است. اﻣﺎ ﺑﺮﻧﺎﻣﻪﻫﺎی ﮐﺎرﺑﺮدی ﭼﻨﺪرﺳﺎﻧﻪای^[۶۳] ﻧﯿﺎز ﺑﻪ ﺗﻐﯿﯿﺮ ﻣﺤﯿﻂ ﺳﺮﯾﻊ دارﻧﺪ ﮐﻪ ﺷﺒﮑﻪ IEEE 802.11 WLAN ﻧﻤﯽﺗﻮاﻧﺪ ﻧﯿﺎز اﯾﻦ ﺑﺮﻧﺎﻣﻪﻫﺎ را ﻓﺮاﻫﻢ ﮐﻨﺪ. ﺗﻐﯿﯿﺮ ﻣﺤﯿﻂ ﻓﺮآﯾﻨﺪی اﺳﺖ ﮐﻪ وﻗﺘﯽ ﯾﮏ ﮔﺮه ﻓﻌﺎل از ﯾﮏ ﻣﺤﺪوده ﺗﺤﺖ ﭘﻮﺷﺶ ﯾﮏ ﻧﻘﻄﻪ دﺳﺘﺮﺳﯽ یا یک سلول ﺑﻪ ﯾﮏ ﻣﺤﺪوده ﺗﺤﺖ ﭘﻮﺷﺶ AP دﯾﮕﺮ یا سلول دیگر ﻣﻨﺘﻘﻞ ﻣﯽ ﺷﻮد[۱۳][۹].
در ﺷﺒﮑﻪﻫﺎی ﺑﯿﺴﯿﻢ ﮐﻪ از ﻣﻌﻤﺎری اﺳﺘﺎﻧﺪارد IEEE 802.11 اﺳﺘﻔﺎده ﻣﯽﮐﻨﻨﺪ، ﻫﺮ ﺳﺮوﯾﺲ ﮔﯿﺮﻧﺪه ﺑﻪ ﯾﮏ ﻧﻘﻄﻪ دﺳﺘﺮﺳﯽ^[۶۴] واﺑﺴﺘﻪ اﺳﺖ ﮐﻪ دﺳﺘﺮﺳﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ را ﻓﺮاﻫﻢ ﻣﯽﮐﻨﺪ. از آﻧﺠﺎﯾﯽ ﮐﻪ ﻣﺤﺪوده ﺗﺤﺖ ﭘﻮﺷﺶ ﻧﻘﻄﻪ دﺳﺘﺮﺳﯽ ﻫﺎ ﻣﺤﺪود ﻣﯽﺑﺎﺷﺪ، ﻫﺮ ﺳﺮوﯾﺲ ﮔﯿﺮﻧﺪه ﻫﻨﮕﺎﻣﯽ ﮐﻪ وارد ﻣﺤﯿﻂ ﺟﺪﯾﺪ ﻣﯽﺷﻮد ﻣﺠﺒﻮر اﺳﺖ ﮐﻪ ﻧﻘﻄﻪ دﺳﺘﺮﺳﯽ ﺧﻮد را ﺗﻐﯿﯿﺮ دﻫﺪ. اﯾﻦ ﻋﻤﻠﯿﺎت ﺗﺤﺖ ﻋﻨﻮان ﺗﻐﯿﯿﺮ ﻣﺤﯿﻂ^[۶۵]ﻣﻌﺮﻓﯽ ﻣﯽﺷﻮد. ﻫﻤﺎن ﻃﻮر ﮐﻪ ﺘﻪ ﺷﺪ اﮔﺮ ﯾﮏ ﮐﺎرﺑﺮ ﻣﺘﺤﺮک ﺑﺨﻮاﻫﺪ ارﺗﺒﺎط ﺧﻮد را ﺣﻔﻆ ﮐﻨﺪ، ﺑﺎﯾﺪ ﻣﺪت زﻣﺎن ﻓﺮآﯾﻨﺪ ﺗﻐﯿﯿﺮ ﻣﺤﯿﻂ ﺑﻪ اﻧﺪازه ﮐﺎﻓﯽ ﮐﻮﺗﺎه ﺑﺎﺷﺪ.ﺑﻪ ﻃﻮر دﻗﯿﻖ ﻓﺮآﯾﻨﺪ ﺗﻐﯿﯿﺮ ﻣﺤﯿﻂ در ﺷﺒﮑﻪﻫﺎی ﺑﯿﺴﯿﻢ در ﺷﮑﻞ۲-۱ ﻧﺸﺎن داده ﺷﺪه اﺳﺖ. در اﯾﻦ ﺷﮑﻞ ﻓﺮض ﺷﺪه اﺳﺖ ﮐﻪ ﻧﻘﻄﻪ دﺳﺘﺮﺳﯽ و اﺣﺮازﮐﻨﻨﺪه ﻫﻮﯾﺖ^[۶۶] ﻣﺸﺘﺮک ﻫﺴﺘﻨﺪ.
شکل۲-۱ فرایند تغییر محیط در شبکه ­های بی­سیم[۹]
در ﻃﻮل اوﻟﯿﻦ ﻣﺮﺣﻠﻪ از ﻓﺮآﯾﻨﺪ ﺗﻐﯿﯿﺮ ﻣﺤﯿﻂ ﻣﺘﻘﺎﺿﯽ ﺗﻼش ﻣﯽﮐﻨﺪ ﺗﺎ ﭘﺘﺎﻧﺴﯿﻞ و ﺗﻮان ﻧﻘﻄﻪ دﺳﺘﺮﺳﯽ­ﻫﺎی ﺟﺪﯾﺪ را ﺑﺮرﺳﯽ ﮐﻨﺪ، ﺑﻪ ﻣﻨﻈﻮر ﺗﻌﯿﯿﻦ اﯾﻨﮑﻪ آﯾﺎ ﻧﻘﻄﻪ دﺳﺘﺮﺳﯽ ﺗﻮان اﺗﺼﺎل را ﺑﺮای اراﺋﻪ ﺳﺮوﯾﺲ را دارد؟ ﺑﺮاﺳﺎس ﺑﺮرﺳﯽ ﭘﺎﺳﺦﻫﺎی درﯾﺎﻓﺘﯽ، ﻣﺘﻘﺎﺿﯽ ﺗﺼﻤﯿﻢ ﺧﻮاﻫﺪ ﮔﺮﻓﺖ ﮐﻪ ﺑﺎ ﻧﻘﻄﻪ دﺳﺘﺮﺳﯽ ارﺗﺒﺎط ﺑﺮﻗﺮار ﮐﻨﺪ.
ﻣﺮﺣﻠﻪ ﺑﻌﺪی، ﻣﺮﺣﻠﻪ ارﺗﺒﺎط اﺳﺖ. ﻣﺘﻘﺎﺿﯽ ﯾﮏ ﭘﯿﺎم در ﻗﺎﻟﺐ ۸۰۲٫۱۱ ﺑﺮای ﻣﻌﺎﺷﺮت ﺑﺎ ﻧﻘﻄﻪ دﺳﺘﺮﺳﯽ ﻣﯽﻓﺮﺳﺘﺪ، ﻧﻘﻄﻪ دﺳﺘﺮﺳﯽ ﺟﻮاﺑﯽ ﺑﺮای درﺧﻮاﺳﺖ ﺑﺮﻣﯽﮔﺮداﻧﺪ. در اﯾﻦ ﻧﻘﻄﻪ، ﯾﮏ ارﺗﺒﺎط ﻣﻨﻄﻘﯽ ﺑﯿﻦ ﻣﺘﻘﺎﺿﯽ و ﻧﻘﻄﻪ دﺳﺘﺮﺳﯽ اﯾﺠﺎد ﺷﺪه اﺳﺖ. ﭘﺲ از ﻓﺎز اﻧﺠﻤﻦ، ﻣﺘﻘﺎﺿﯽ ﯾﮏ ﭘﯿﺎم در ﻗﺎﻟﺐ EAP ﺑﺮای ﺷﺮوع اﺣﺮاز ﻫﻮﯾﺖ ﻣﯽﻓﺮﺳﺘﺪ. ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﻧﻘﻄﻪ دﺳﺘﺮﺳﯽ اﻃﻼﻋﺎت ﻫﻮﯾﺘﯽ ﻣﺘﻘﺎﺿﯽ را درﯾﺎﻓﺖ ﮐﺮد، آن را ﺑﻪ ﺳﺮوﯾﺲ دﻫﻨﺪه اﺣﺮاز ﻫﻮﯾﺖ ﻣﯽﻓﺮﺳﺘﺪ و ﺳﺮوﯾﺲ دﻫﻨﺪه اﺣﺮاز ﻫﻮﯾﺖ ﺗﺼﻤﯿﻢ ﮔﯿﺮی ﺧﻮاﻫﺪ ﮐﺮد ﮐﻪ آﯾﺎ اﺣﺮازﮐﻨﻨﺪه ﻫﻮﯾﺖ ﻣﯽﺗﻮاﻧﺪ اﺟﺎزه دﺳﺘﺮﺳﯽ ﺑﻪ ﺷﺒﮑﻪ را ﺑﻪ ﻣﺘﻘﺎﺿﯽ ﺑﺪﻫﺪ ﯾﺎ ﺧﯿﺮ. ﻗﺒﻞ از ﺗﺼﻤﯿﻢ ﻧﻬﺎﯾﯽ ﺳﺮوﯾﺲ دﻫﻨﺪه اﺣﺮاز ﻫﻮﯾﺖ AAA ﻣﻤﮑﻦ اﺳﺖ ﺗﺒﺎدل ﭘﯿﺎم ﺑﺴﯿﺎری ﺑﯿﻦ ﺳﺮوﯾﺲ دﻫﻨﺪه اﺣﺮاز ﻫﻮﯾﺖ و ﻣﺘﻘﺎﺿﯽ ﺻﻮرت ﮔﯿﺮد. ﻫﻤﭽﻨﯿﻦ زﻣﺎن ﻣﻮرد ﻧﯿﺎز ﺑﺮای اﻧﺠﺎم اﺣﺮاز ﻫﻮﯾﺖ، ﺑﻪ روش اﻧﺠﺎم اﺣﺮاز ﻫﻮﯾﺖ ﺑﺴﺘﮕﯽ دارد. ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﮐﻪ اﺣﺮازﮐﻨﻨﺪه ﻫﻮﯾﺖ ﻧﯿﺎزی ﻧﯿﺴﺖ ﮐﻪ ﺑﺪاﻧﺪ از ﭼﻪ ﻧﻮع روش اﺣﺮاز ﻫﻮﯾﺘﯽ اﺳﺘﻔﺎده ﻣﯽﺷﻮد. اﯾﻦ ﯾﮏ ﻣﻮﺿﻮع ﺑﯿﻦ ﺳﺮوﯾﺲ ﮔﯿﺮﻧﺪه و ﺳﺮوﯾﺲ دﻫﻨﺪه اﺣﺮاز ﻫﻮﯾﺖ اﺳﺖ.

۲-۵ ﻣﺸﮑﻼت اﻣﻨﯿﺘﯽ و ﺗﺄﺧﯿﺮ

ﺑﺎﺗﻮﺟﻪ ﺑﻪ ﻣﺒﺎﺣﺚ ﻣﻄﺮح ﺷﺪه، اﻓﺰاﯾﺶ ﺗﻌﺪاد ﭘﯿﺎم ﻫﺎی رد وﺑﺪل ﺷﺪه زﻣﺎن ﺗﺄﺧﯿﺮ را ﺑﺎﻻ ﻣﯽﺑﺮد. اﯾﻦ زﻣﺎن ﺗﺄﺧﯿﺮ ﺑﺎﻋﺚ ﺷﺪه اﺳﺖ ﺗﺎ ﻧﺘﻮان از رﻣﺰﻧﮕﺎری ﻗﺪرﺗﻤﻨﺪ و ﻫﻤﭽﻨﯿﻦ ﭘﺮوﺗﮑﻞﻫﺎی اﻣﻨﯿﺘﯽ ﻗﻮی در دﺳﺖﯾﺎﺑﯽ ﺑﻪ ﺳﺮوﯾﺲ دﻫﻨﺪه AAA اﺳﺘﻔﺎده ﮐﺮد، ﮐﻪ اﯾﻦ ﮐﻤﺒﻮد ﺑﻪ ﻧﻮﺑﻪ ﺧﻮد ﺷﺒﮑﻪ را دﭼﺎر ﻣﺸﮑﻞ ﺧﻮاﻫﺪ ﮐﺮد. از ﺳﻮی دﯾﮕﺮ ﺑﺎﻻ ﺑﻮدن زﻣﺎن ﺗﺄﺧﯿﺮ ﮐﯿﻔﯿﺖ دﺳﺘﺮﺳﯽ ﺑﻪ ﺷﺒﮑﻪ را ﺗﻬﺪﯾﺪ ﻣﯽﮐﻨﺪ. ﺑﻪ ﻃﻮری ﮐﻪ ﺧﺪﻣﺎت رﺳﺎﻧﯽ دﭼﺎر ﻣﺸﮑﻞ ﺧﻮاﻫﺪ ﺷﺪ.

۲-۶ مفاهیم IPsec^[67] و استفاده از ^[۶۸]SA

همانگونه که در IPsec تعریف شده است مفهوم Security Association عبارتست از یک رابطه امن که میان فرستنده و دریافت کننده یک رابطه در سطح شبکه مطرح است. این رابطه امن پارامترهای بسیاری دارد به عنوان مثال، SPI^[69] ، کلید و بازه زمانی، و همه ی مواردی که امکان رمزنگاری و احرازهویت در سرور را فراهم می­ کند. یک SA را می­توان با پروتکل­هایی نظیر ISAKMP^[70]، SSL^[71] و TLS^[72] برقرار کرد و امکان اصلاح و تغییر آن وجود دارد. در این دسته از پروتکل­ها، SSL و TLS پروتکل­هایی هستند که بصورت معمول در شبکه ­های سیار استفاده می­شوند. برای رمزنگاری ارتباطلات client/server بین وسایل شبکه از استاندارد SSL استفاده می­ شود. در این استاندارد از کلید عمومی برای رمزنگاری و انتقال اطلاعات استفاده می­ شود. IETF با هدف ارائه نسخه اینترنتی استاندارد SSL، استاندارد TLS را ارائه نمود. با این وجود، تمامی الگوریتم­هایی که در این استاندارد ارائه شده ­اند زمانگیر^[۷۳] هستند، مخصوصا در مواردی که کاربر، گره­ای سیار با محدودیت محاسباتی باشد. افزایش زمان احرازهویت بر پارامترهای نظیر packet delay و call dropping probability تاثیرگذار است[۹][۱۴].

۲-۷مروری برMobile-IP و فرایند Handoff

وقتی که یک کامپیوتر سیار^[۷۴] از مکان اصلی خود جابجا می­ شود، آدرس IP آن از اعتبار ساقط می­ شود. بدین معنی که دیگر از این آدرس IP برای تشخیص موقعیت گره نمی­ توان استفده کرد و همین سبب مشود تا مسیریابی عادی اینترنت از کار بیافتد. برای حل این مشکل روش های مختلفی پیشنهاد شده است که یکی از مشهورترین آنها Mobile-IP است و ما هم در روش پیشنهادی از آن استفاده می­کنیم. Mobile-IP از دو نوع Agent یکی home و دیگری forigen برای کنترل مسیریابی بسته­ها به گره سیار استفاده می­ کند. تا زمانیکه MH در شبکه home است، مسیریابی به صورت عادی انجام می­ شود. ولی پس از خروج MH از شبکه و ورود به شبکه جدید، MH بلافاصله آدرس IP جدید خود را از طریق forigen به home می­فرستد و به اصطلاح خود را در آن رجیستر می­ کند. از این به بعد بسته­های ارسال شده به مقصد MN پس از رسیدن به HA با سرآیند IP جدید بسته بندی شده و بهFA فرستاده می­شوند. FA نیز سرآیند جدید را برداشته و بسته را با سرآیند اصلی به MH ارسال می­ کند. ACK های برگشتی بصورت عادی به فرستنده(CN) می­رسند. شکل­های ۲-۳ ، ۲-۴ و ۲-۵ فعل و انفعالاتی را که در زمان یک handoff رخ می­دهد، نشان می­ دهند.
شکل ۲-۳ قبل از handoff
شکل۲-۴ handoff بین دو شبکه forigen
شکل ۲-۵ بعد از handoff
شکل ۲-۳، قبل از شروع handoff را نشان میدهد که بستهای ارسال شده به مقصد MH به FH رسیده و از آنجا بهFH مربوط فرستاده میشوند تا به MH تحویل داده شوند.
شکل ۲-۴، زمانی است که handoff بین FA1 و FH2 در حال انجام است. چهار مرحله متمایز در اینجا مشخص شده است.
گام اول، MH یک پیغام اعلان موقعیت (Advertising Message) از FA جدید دریافت می­ کند.
گام دوم، MH از FA درخواست میکند تا آدرس IP جدید را در HA ثبت نماید.
گام سوم، درخواست ثبت شدن از FA به HA ارسال می­ شود.
گام چهارم، HA ثبت شدن را تایید میکند.(پایان handoff)
در مدت زمانی که MH توسط هیچ Agent ای ثبت نشده است، تمام بسته های ارسالی به آن گم(lost) خواهند شد. اگر زمان handoff از timeout انتقال مجدد (RTO) طولانیترباشد، چون فرستنده در این مدت ACKای از MH دریافت نمی­کند و این پدیده را به وجود ازدحام در شبکه تعبیر می­ کند، الگوریتم­های کنترل ازدحام مثل شروع آهسته و پرهیز از ازدحام را فراخوانی کرده و متعاقبا پنجره ازدحام فوق العاده کوچک شده و زمان timeout افزایش می­یابد.
شکل ۲-۵، زمان بعد از handoff را به تصویر می­کشد. بسته­ها مجددا از طریق HA به FA جدید مسیریابی شده و به MH می­رسند. ولی همانطور که ملاحظه میشود نرخ انتقال بسته­ها به سبب فراخوانی الگوریتم­های کنترل ازدحام در مرحله قبل به یک بسته کاهش یافته است. بطور خلاصه میتوان در handoff چهار مرحله زیر را مشاهده کرد:
Handoff در لایه پیوند داده ­ها که معمولا بسیار کوتاه است.
خروج MH از ناحیه سلولی تحت پوشش Agentها. در این مرحله که معمولا در سلولهای همپوشانی نشده قابل مشاهده است، ارتباط میان MH و شبکه کاملا قطع می­باشد و MH هیچ پیامی از Agentها (اعم از داخلی و خارجی) دریافت نمی­کند.
Movement Detection، در این مرحله MH با مبادله پیامهای اعلان موقعیت، جابجایی و تغییر زیر شبکه را از home به forigen تشخیص میدهد.
Registration، در اینجا لایه Mobile-IP، آدرس IP جدید (COA^[75]) را از FA گرفته و با ارسال و دریافت پیامهای registration request و registeration reply آنرا در HA ثبت می­ کند.

سابقه و پیشینه تحقیق

برقراری امنیت در شبکه ­های بی­سیم در سطوح مختلف امکان پذیر است. لذا در با برقراری کانال امن از نقطه ابتدایی اتصال گره سیار به شبکه بی­سیم یعنی نقاط دسترسی می­توان امنیت را تقویت نمود. می­توان با تسریع در فرایند Handoff و متعاقا کاهش زمان احراز هویت استفاده نمود و از استاندارد امنیتی قوی­تری در شبکه استفاده نمود.

۳-۱ کارهای انجام شده در زمینه امنیت Handoff

۳-۱-۱ Pre-Authentication با ذخیره کردن کلید در حافظه نهان^[۷۶]

در روش Pre-Authentication کلید در حافظه نهان ذخیره میشود و این رویکرد را به عنوان یک راه حل پیشنهاد شده است[۱۵]. این ایده برای Pre-Authentication است، برای اجرای صحیح روش احراز هویت بین متقاضی و APهای جدید در حالی که متقاضی هنوز در ارتباط با AP قدیمی است. به این صورت که یک درخواست کننده هنگامی که توسط یک AP تصدیق هویت شد، به دیگر APها اطلاع داده شود که دیگر در آن‌ها عملیات احراز هویت دوباره انجام نشود، این روش مستلزم این می‌باشد که در APها یک حافظه نهان وجود داشته باشد تا بتواند پیام‌ها را نگهداری کند، و عمل اطلاع رسانی نیز به عهده خود APها گذاشته شده است.
این راه حل دارای مزایایی می‌باشد: احراز هویت می‌تواند در حد معقول صورت گیرد، و راه حل بر روی مکانیزم احراز هویت مورد استفاده، بستگی ندارد. نقطه ضعف این است که قبل از احراز هویت نیاز به لایه پیوند ارتباطی بین APها است. رفع این مشکل آسان نیست زیرا شبکه‌های مختلفی در کنار هم وجود دارد که توسط سرورهای مختلف اداره می‌شوند، پل زدن اترنت یا اترنت بر روی IP می‌تواند یک راه حل برای این مشکل باشد. اما استفاده از این روش نیاز به اعتماد جدی بین سرورها دارد و سیستم عامل ویژه بر روی AP نیز لازم می‌باشد؛ و مشکل دیگر این روش این است که اگر یک نفوذگر برای اولین بار بتواند وارد شبکه شود با خیال راحت می‌تواند به کار خود در شبکه‌ ادامه دهد زیرا دیگر احراز هویت نخواهد شد.
و مشکل بعدی برای ایستگاه‌های متحرک است، در این حالت تمام APها باید از وضعیت مکانی همدیگر اطلاع داشته باشند که در صورت متحرک بودن آنها باید پیام‌هایی بین آنها رد و بدل شود که خود این پیام‌های کنترلی ترافیک زیادی بر شبکه وارد می‌کند.

۳-۱-۲ استفاده از پروتکل IAPP^[77] برای تعاملات بین نقاط دسترسی^[۷۸]

یکی دیگر از راه حل ممکن پروتکل بین نقطه دسترسی (IAPP^[79])، پیشنهاد شده توسط IEEE است[۱۵]. این پروتکل به عنوان IEEE 802.11f در سال ۲۰۰۳ میلادی معرفی شد، اما در سال ۲۰۰۶ میلادی تقریبا از دور خارج شد. با این حال از ایده اصلی طراحی آن هنوز قابل توجه است؛ به جای انجام عملیات دوباره احراز هویت،AP جاری پیام‌های امنیتی برای APهای جدید می‌فرستد. در واقع AP قدیمی کار سرور اصلی را انجام می‌دهد. این پروتکل در شکل زیر نشان داده شده است. پیش نویس اولیه IAPP دو نوع تعامل را توصیه می‌کند[۱۵].