專利名稱：一種以本地mac模式實(shí)現(xiàn)wapi與capwap融合的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種以本地MAC模式實(shí)現(xiàn)WAPI與CAPWAP融合的方法。
技術(shù)背景自治式體系架構(gòu)的無線局域網(wǎng)WLAN (Wireless Local Area Networks)中無 線接入點(diǎn)AP (Access Point)完全部署和端接GB15629.11功能，作為網(wǎng)絡(luò)上一 個單獨(dú)的實(shí)體，需進(jìn)行獨(dú)立管理。目前基于無線局域網(wǎng)鑒別與保密基礎(chǔ)設(shè)施 WAPI (WLAN Authentication and Privacy Infrastructure)設(shè)計(jì)的WLAN均采用 自治式體系架構(gòu)，但隨著WLAN部署規(guī)模的擴(kuò)大，這種自治式架構(gòu)的網(wǎng)絡(luò)工作 模式因其固有的缺陷已逐漸成為制約無線技術(shù)發(fā)展的障礙。首先，自治式架構(gòu)的WLAN中，AP作為網(wǎng)際互聯(lián)協(xié)議IP(Internet Protocol) 可尋址設(shè)備，需要進(jìn)行獨(dú)立管理，包括監(jiān)測、配置和控制等。在進(jìn)行大規(guī)模網(wǎng) 絡(luò)部署時，大量的AP將產(chǎn)生巨大的管理開銷，給網(wǎng)絡(luò)造成沉重負(fù)擔(dān)。尤其是網(wǎng) 內(nèi)AP的配置管理方式互不相同時，這種現(xiàn)象更為明顯，勢必阻礙無線技術(shù)的發(fā) 展。其次，自治式架構(gòu)的WLAN中，保證所有AP配置參數(shù)的一致性存在一定 困難。因?yàn)锳P的配置中除靜態(tài)參數(shù)外，更多的是需要動態(tài)配置的參數(shù)。在大規(guī) 模WLAN中，及時更新全網(wǎng)AP的動態(tài)配置的工作量非常繁重，甚至無法實(shí)現(xiàn)。第三，WLAN中，無線傳輸介質(zhì)作為一種共享資源，為提高網(wǎng)絡(luò)的性能， 必須實(shí)時監(jiān)測每一個AP并根據(jù)當(dāng)前共享介質(zhì)的使用情況對這些AP的配置進(jìn)行 動態(tài)更新，而手工配置與無線傳輸介質(zhì)相關(guān)的AP參數(shù)將耗費(fèi)大量的人力、物力。第四，自治式架構(gòu)的WLAN中，安全接入網(wǎng)絡(luò)和阻止非法AP的加入也較 為困難。在通常情況下，AP的部署位置使得難以對其加以保護(hù)， 一旦AP被竊 將造成所加載安全信息的泄漏，對網(wǎng)絡(luò)安全造成威脅。綜上所述，自治式架構(gòu)的WLAN中，尤其在大規(guī)模部署的情況下，對AP 進(jìn)行監(jiān)測、配置和控制將給網(wǎng)絡(luò)造成沉重的管理負(fù)擔(dān)。而且，維護(hù)AP配置的一 致性也十分困難。此外，無線傳輸介質(zhì)的共享和動態(tài)特性要求網(wǎng)絡(luò)中AP協(xié)作一 致以爭取最大的網(wǎng)絡(luò)性能和最小的無線干擾，這對AP的配置管理提出了更高的6要求。安全是設(shè)計(jì)無線網(wǎng)絡(luò)需要考慮的重要因素之一，大規(guī)模的部署也將給WLAN的安全帶來巨大挑戰(zhàn)。由此可見，自治式體系架構(gòu)WLAN的工作模式已 無法適用大規(guī)模網(wǎng)絡(luò)的部署需求，亟需設(shè)計(jì)基于WAPI的會聚式WLAN網(wǎng)絡(luò)體 系架構(gòu)，即WAPI瘦AP架構(gòu)。目前基于無線接入點(diǎn)控制與配置CAPWAP(Control And Provisioning of Wireless Access Points)協(xié)議IEEE 802.11綁定規(guī)范的WLAN 不可避免地繼承了 IEEE S02.11i的安全缺陷，需要更為安全的替代解決方案。 發(fā)明內(nèi)容本發(fā)明的目的在于克服上述自治式WLAN網(wǎng)絡(luò)體系架構(gòu)的缺陷，提供一種 本地媒體訪問控制MAC (Medium Access Control)模式的將CAPWAP規(guī)范綁 定WAPI的方法，提出一種更為安全的基于WAPI的會聚式WLAN體系架構(gòu)的 工作流程。通過將AP的MAC功能以及WAPI功能進(jìn)行劃分，實(shí)現(xiàn)對全網(wǎng)AP 的集中控制和管理，能夠滿足大規(guī)模WLAN的部署需求。本發(fā)明的技術(shù)解決方案是本發(fā)明為一種以本地MAC模式實(shí)現(xiàn)WAPI與 CAPWAP融合的方法，其特殊之處在于該方法包括以下步驟:1) 構(gòu)建本地MAC模式將無線接入點(diǎn)的MAC功能和WAPI功能分別分 離到無線終端點(diǎn)和訪問控制器上；2) 在本地MAC模式下，實(shí)現(xiàn)WAPI與CAPWAP規(guī)范的綁定；2.1) 站點(diǎn)與無線終端點(diǎn)以及訪問控制器之間的關(guān)聯(lián)連接過程；2.2) 訪問控制器與無線終端點(diǎn)之間無線局域網(wǎng)鑒別基礎(chǔ)設(shè)施WAI (WLAN Authentication Infrastructure)協(xié)議開始執(zhí)行的通告過程；2.3) 站點(diǎn)與訪問控制器之間WAI協(xié)議的執(zhí)行過程；2.4) 訪問控制器與無線終端點(diǎn)之間WAI協(xié)議執(zhí)行結(jié)束的通告過程；2.5) 無線終端點(diǎn)與站點(diǎn)之間利用無線局域網(wǎng)保密基礎(chǔ)設(shè)施WPI (WLAN Privacy Infrastructure)進(jìn)行保密通信的過程。上述步驟2.1)的具體步驟如下2丄1)站點(diǎn)被動偵聽無線終端點(diǎn)的信標(biāo)幀獲得包括WAPI信息元素的無線 終端點(diǎn)的參數(shù)；或者站點(diǎn)主動向無線終端點(diǎn)發(fā)送探詢請求幀，無線終端點(diǎn)收到 站點(diǎn)的探詢請求幀后，向站點(diǎn)發(fā)送探詢響應(yīng)幀，站點(diǎn)收到無線終端點(diǎn)的探詢響 應(yīng)幀獲得包括WAPI信息元素的無線終端點(diǎn)的參數(shù)；所述WAPI信息元素包括 無線終端點(diǎn)支持的WAI鑒別及密鑰管理套件、密碼套件；2丄2)站點(diǎn)向無線終端點(diǎn)發(fā)送鏈路驗(yàn)證請求幀，請求與無線終端點(diǎn)之間的鏈路驗(yàn)證-,2丄3)無線終端點(diǎn)根據(jù)站點(diǎn)的鏈路驗(yàn)證請求幀，向站點(diǎn)發(fā)送鏈路驗(yàn)證響應(yīng)幀；2丄4)鏈路驗(yàn)證成功后，無線終端點(diǎn)向訪問控制器發(fā)送關(guān)聯(lián)請求幀，請求 與訪問控制器進(jìn)行關(guān)聯(lián)，關(guān)聯(lián)請求幀包括WAPI信息元素確定站點(diǎn)選擇的WAI 鑒別及密鑰管理套件、密碼套件；2丄5)訪問控制器解析站點(diǎn)的關(guān)聯(lián)請求幀，向站點(diǎn)發(fā)送關(guān)聯(lián)響應(yīng)幀；上述步驟2.2)的具體步驟如下2.2.1) 訪問控制器向無線終端點(diǎn)發(fā)送CAPWAP站點(diǎn)配置請求(Station Configuration Request)消息，消息中包括加入站點(diǎn)(Add Station) 、 GB15629.il 加入站點(diǎn)(Add Station) 、 GB15629.H站點(diǎn)會話密鑰(Station Session Key)消 息元素，其中，站點(diǎn)會話密鑰消息元素中的A被置為1用于告知無線終端點(diǎn)關(guān) 閉受控端口，僅轉(zhuǎn)發(fā)來自對應(yīng)站點(diǎn)的WAI協(xié)議數(shù)據(jù)；2.2.2) 無線終端點(diǎn)向訪問控制器發(fā)送CAPWAP站點(diǎn)配置響應(yīng)(Station Configuration Response)消息，其中包括結(jié)果碼(Result Code)消息元素，用于 標(biāo)識對CAPWAP站點(diǎn)配置請求消息的處理結(jié)果。上述步驟2.3)的具體步驟如下-2.3.1) 訪問控制器與站點(diǎn)之間的WAI鑒別過程；包括無線終端點(diǎn)對來自 訪問控制器的由CAPWAP GB15629.il綁定規(guī)范定義的CAPWAP數(shù)據(jù)封裝格式 封裝的WAI鑒別數(shù)據(jù)進(jìn)行拆封后轉(zhuǎn)發(fā)給站點(diǎn)；對來自站點(diǎn)的WAI鑒別數(shù)據(jù)根 據(jù)CAPWAP GB15629.11綁定規(guī)范定義的CAPWAP數(shù)據(jù)封裝格式進(jìn)行封裝后發(fā) 送給訪問控制器；2.3.2) 訪問控制器與站點(diǎn)之間的WAI單播密鑰協(xié)商過程；包括無線終端 點(diǎn)對來自訪問控制器的由CAPWAP GB15629.11綁定規(guī)范定義的CAPWAP數(shù)據(jù) 封裝格式封裝的WAI單播密鑰協(xié)商數(shù)據(jù)進(jìn)行拆封后轉(zhuǎn)發(fā)給站點(diǎn)；對來自站點(diǎn)的 WAI單播密鑰協(xié)商數(shù)據(jù)根據(jù)CAPWAP GB15629.il綁定規(guī)范定義的CAPWAP 數(shù)據(jù)封裝格式進(jìn)行封裝后發(fā)送給訪問控制器；2.3.3) 訪問控制器與站點(diǎn)之間的WAI組播密鑰通告過程；包括無線終端 點(diǎn)對來自訪問控制器的由CAPWAP GB15629.11綁定規(guī)范定義的CAPWAP數(shù)據(jù)封裝格式封裝的WAI組播密鑰通告數(shù)據(jù)進(jìn)行拆封后轉(zhuǎn)發(fā)給站點(diǎn)；對來自站點(diǎn)的 WAI組播密鑰通告數(shù)據(jù)根據(jù)CAPWAP GB15629.U綁定規(guī)范定義的CAPWAP 數(shù)據(jù)封裝格式進(jìn)行封裝后發(fā)送給訪問控制器。 上述歩驟2.4)的具體步驟如下2.4.1) 訪問控制器向無線終端點(diǎn)發(fā)送CAPWAP站點(diǎn)配置請求消息，消息中 包含加入站點(diǎn)、GB15629.il加入站點(diǎn)、GB15629.U站點(diǎn)會話密鑰消息元素； 根據(jù)加入站點(diǎn)消息元素中站點(diǎn)的MAC地址，無線終端點(diǎn)打開與之對應(yīng)的受控端 口，轉(zhuǎn)發(fā)來自該站點(diǎn)的所有數(shù)據(jù)，包括WA協(xié)議數(shù)據(jù)和非WAI協(xié)議數(shù)據(jù)-,2.4.2) 無線終端點(diǎn)向訪問控制器發(fā)送CAPWAP站點(diǎn)配置響應(yīng)消息，其中包 括結(jié)果碼消息元素，用于標(biāo)識對CAPWAP站點(diǎn)配置請求消息的處理結(jié)果。上述步驟2.5)的具體步驟如下2.5.1) 無線終端點(diǎn)加密來自訪問控制器的數(shù)據(jù)并發(fā)送給站點(diǎn)；2.5.2) 無線終端點(diǎn)解密并轉(zhuǎn)發(fā)來自站點(diǎn)的數(shù)據(jù)。上述步驟2.5)之后還包括步驟2.6)訪問控制器與站點(diǎn)之間的單播密鑰更 新過程。上述步驟2.6)的具體步驟如下2.6.1) 當(dāng)需要進(jìn)行單播密鑰更新時，訪問控制器與站點(diǎn)之間執(zhí)行WAI單播 密鑰協(xié)商過程；2.6.2) 當(dāng)WAI單播密鑰協(xié)商過程完成后，訪問控制器向無線終端點(diǎn)發(fā)送 CAPWAP站點(diǎn)配置請求消息，消息中包含加入站點(diǎn)、GB15629.il加入站點(diǎn)、 GB15629.il站點(diǎn)會話密鑰、GB15629.il信息元素消息元素；2.6.3) 無線終端點(diǎn)向訪問控制器發(fā)送CAPWAP站點(diǎn)配置響應(yīng)消息，其中 包含結(jié)果碼消息元素，用于標(biāo)識對CAPWAP站點(diǎn)配置請求消息的處理結(jié)果。上述步驟2.5)或2.6)之后還包括步驟2.7)訪問控制器與站點(diǎn)之間的組播 密鑰更新過程。上述步驟2.7)的具體步驟如下2.7.1)當(dāng)訪問控制器需要進(jìn)行組播密鑰更新時，首先向無線終端點(diǎn)發(fā)送 GB1S629.11 WLAN配置請求(GB15629.il WLAN Configuration Request)消息， 其中包含GB15629.11更新WLAN(GBI5629.11 Update WLAN)消息元素，該消 息元素中包括組播會話密鑰MSK (Multicast Session Key)密鑰數(shù)據(jù)、MSK索弓l、MSK更新開始標(biāo)識、數(shù)據(jù)分組序號PN (PacketNumber);2.7.2) 無線終端點(diǎn)向訪問控制器發(fā)送GB15629.il WLAN配置響應(yīng) (GB15629.il WLAN Configuration Response)消息，其中包含結(jié)果碼消息元素，用于標(biāo)識對GB15629.il WLAN配置請求消息的處理結(jié)果；2.7.3) 訪問控制器與站點(diǎn)之間執(zhí)行WAI組播密鑰通告過程；2.7.4) 當(dāng)WAI組播密鑰通告過程完成后，訪問控制器向無線終端點(diǎn)發(fā)送 GB 15629.11 WLAN配置請求消息，其中包括GB15629.U更新WLAN消息元素， 該GB 15629.11更新WLAN包括MSK索引、MSK更新結(jié)束標(biāo)識；2.7.5) 無線終端點(diǎn)向訪問控制器發(fā)送GB15629.il WLAN配置響應(yīng)消息， 其中包含結(jié)果碼消息元素，用于標(biāo)識對GB15629.11 WLAN配置請求消息的處理 結(jié)果。本發(fā)明提供將CAPWAP規(guī)范綁定WAPI的本地MAC模式的WLAN實(shí)體 之間的通信交互流程，將AP的MAC功能和WAPI功能分離到無線終端點(diǎn)WTP (Wireless Terminal Point)和訪問控制器AC (Access Controller)上，由WTP 實(shí)現(xiàn)與站點(diǎn)STA (Station)之間的GB15629.il標(biāo)準(zhǔn)要求的實(shí)時性信息的交互， 包括信標(biāo)幀、對探詢請求幀的響應(yīng)等，并實(shí)現(xiàn)WPI協(xié)議，由AC實(shí)現(xiàn)與STA之 間的非實(shí)時性交互，包括關(guān)聯(lián)、WAI協(xié)議等。并基于CAPWAP GB15629.il綁 定規(guī)范實(shí)現(xiàn)AC與WTP之間的通信。將這種AP功能的劃分模式稱為本地MAC 模式。本發(fā)明與現(xiàn)有技術(shù)相比具有如下優(yōu)點(diǎn)本發(fā)明提出了一種以本地MAC模 式實(shí)現(xiàn)WAPI與CAPWAP融合的方法，克服了目前基于WAPI協(xié)議的自治式網(wǎng) 絡(luò)架構(gòu)無法適用大規(guī)模WLAN部署需求的局限性。它采用分離MAC功能的模 式，實(shí)現(xiàn)AC對WTP的統(tǒng)一監(jiān)測、配置和控制，從而達(dá)到對WLAN中WTP進(jìn) 行集中管理的目的；采用由AC實(shí)現(xiàn)WAI協(xié)議，WTP實(shí)現(xiàn)WPI協(xié)議的方式， 將WAPI協(xié)議與會聚式WLAN體系架構(gòu)無縫融合，能夠保障WLAN的安全。 本發(fā)明不僅能夠滿足WLAN的大規(guī)模部署需求，而且能夠保證會聚式體系架構(gòu) 下WLAN的安全性。


圖1為以本地MAC模式實(shí)現(xiàn)WAPI與CAPWAP融合的消息流程圖； 圖2為AC與STA之間的單播密鑰更新流程圖； 圖3為AC與STA之間的組播密鑰更新流程圖。
具體實(shí)施方式
參見圖1，根據(jù)本發(fā)明的優(yōu)選實(shí)施例，其具體方法如下-1) 構(gòu)建本地MAC模式將AP的MAC功能和WAPI功能分離到WTP和AC上；2) 在本地MAC模式下，實(shí)現(xiàn)將CAPWAP規(guī)范綁定WAPI的本地MAC 模式；2.1) STA與WTP以及AC之間的關(guān)聯(lián)連接過程；2丄1) STA被動偵聽WTP的信標(biāo)幀獲得WTP的相關(guān)參數(shù)，包括WAPI信 息元素(WTP支持的WAI鑒別及密鑰管理套件、密碼套件等)；或者STA主 動向WTP發(fā)送探詢請求幀，WTP收到STA的探詢請求幀后，向STA發(fā)送探詢 響應(yīng)幀，STA收到WTP的探詢響應(yīng)幀獲得WTP的相關(guān)參數(shù)，包括WAPI信息 元素(WTP支持的WAI鑒別及密鑰管理套件、密碼套件等)；2丄2) STA向WTP發(fā)送鏈路驗(yàn)證請求，請求與WTP之間的鏈路驗(yàn)證； 2丄3) WTP根據(jù)STA的鏈路驗(yàn)證請求幀，向STA發(fā)送鏈路驗(yàn)證響應(yīng)幀； 2丄4)鏈路驗(yàn)證成功后，STA向AC發(fā)送關(guān)聯(lián)請求幀，請求與AC進(jìn)行關(guān) 聯(lián)，關(guān)聯(lián)請求幀包含WAPI信息元素確定STA選擇的WAI鑒別及密鑰管理套 件、密碼套件等；2丄5) AC解析STA的關(guān)聯(lián)請求幀，向STA發(fā)送關(guān)聯(lián)響應(yīng)幀；2.2) AC與WTP之間WAI協(xié)議開始執(zhí)行的通告過程；2.2.1) AC向WTP發(fā)送CAPWAP站點(diǎn)配置請求消息，消息中包含加入站 點(diǎn)(STA的MAC地址)、GB15629,H加入站點(diǎn)(WLANID) 、 GB15629.il 站點(diǎn)會話密鑰(A被置為1)等消息元素。其中，站點(diǎn)會話密鑰消息元素中的 A被置為1用于告知WTP關(guān)閉受控端口，僅轉(zhuǎn)發(fā)來自對應(yīng)STA的WAI協(xié)議數(shù) 據(jù)；2.2.2) WTP向AC發(fā)送CAPWAP站點(diǎn)配置響應(yīng)消息，其中包含結(jié)果碼消 息元素，用于標(biāo)識對CAPWAP站點(diǎn)配置請求消息的處理結(jié)果。2.3) STA與AC之間WAI協(xié)議的執(zhí)行過程；2.3.1) AC與STA之間的WAI鑒別過程；包括WTP對來自AC的由 CAPWAP GB15629.il綁定規(guī)范定義的CAPWAP數(shù)據(jù)封裝格式封裝的WAI鑒 別數(shù)據(jù)進(jìn)行拆封后轉(zhuǎn)發(fā)給STA;對來自STA的WAI鑒別數(shù)據(jù)根據(jù)CAPWAPGB15629.il綁定規(guī)范定義的CAPWAP數(shù)據(jù)封裝格式進(jìn)行封裝后發(fā)送給AC;
2.3.2) AC與STA之間的WAI單播密鑰協(xié)商過程；包括WTP對來自AC 的由CAPWAP GB15629.11綁定規(guī)范定義的CAPWAP數(shù)據(jù)封裝格式封裝的WAI 單播密鑰協(xié)商數(shù)據(jù)進(jìn)行拆封后轉(zhuǎn)發(fā)給STA;對來自STA的WAI單播密鑰協(xié)商 數(shù)據(jù)根據(jù)CAPWAP GB15629.11綁定規(guī)范定義的CAPWAP數(shù)據(jù)封裝格式進(jìn)行封 裝后發(fā)送給AC;
2.3.3) AC與STA之間的WAI組播密鑰通告過程；包括WTP對來自AC 的由CAPWAP GB15629.il綁定規(guī)范定義的CAPWAP數(shù)據(jù)封裝格式封裝的WAI 組播密鑰通告數(shù)據(jù)進(jìn)行拆封后轉(zhuǎn)發(fā)給STA;對來自STA的WAI組播密鑰通告 數(shù)據(jù)根據(jù)CAPWAP GB 15629.11綁定規(guī)范定義的CAPWAP數(shù)據(jù)封裝格式進(jìn)行封 裝后發(fā)送給AC。
2.4) AC與WTP之間WAI協(xié)議執(zhí)行結(jié)束的通告過程；
2.4.1) AC向WTP發(fā)送CAPWAP站點(diǎn)配置請求消息，消息中包含加入站 點(diǎn)(STA的MAC地址)、GB15629.il加入站點(diǎn)(WLANID) 、 GB15629.il 站點(diǎn)會話密鑰(密鑰數(shù)據(jù))、GB15629.il信息元素(WAPIIE (密碼算法為 WPI-SMS4))等消息元素。根據(jù)加入站點(diǎn)消息元素中STA的MAC地址，WTP 打開與之對應(yīng)的受控端口，轉(zhuǎn)發(fā)來自該STA的所有數(shù)據(jù)，包括WAI協(xié)議數(shù)據(jù)和 非WAI協(xié)議數(shù)據(jù)；
2.4.2) WTP向AC發(fā)送CAPWAP站點(diǎn)配置響應(yīng)消息，其中包含結(jié)果碼消 息元素，用于標(biāo)識對CAPWAP站點(diǎn)配置請求消息的處理結(jié)果。
2.5) WTP與STA之間利用WPI進(jìn)行保密通信的過程；
2.5.1) WTP加密來自AC的數(shù)據(jù)并發(fā)送給STA;
2.5.2) WTP解密并轉(zhuǎn)發(fā)來自STA的數(shù)據(jù)。
參見圖2，此外，本發(fā)明流程中還包括步驟2.6) AC與STA之間的單播密 鑰更新過程
2.6.1) 當(dāng)需要進(jìn)行單播密鑰更新時，AC與STA之間執(zhí)行WAI單播密鑰協(xié) 商過程；
2.6.2) 當(dāng)WAI單播密鑰協(xié)商過程完成后，AC向WTP發(fā)送CAPWAP站點(diǎn) 配置請求消息，消息中包含加入站點(diǎn)(STA的MAC地址)、GB15629.il加入 站點(diǎn)(WLANID) 、 GB15629.il站點(diǎn)會話密鑰(單播會話密鑰USK (UnicastSession Key)密鑰數(shù)據(jù))、GB15629.il信息元素(WAPIIE (密碼算法為 WPI-SMS4))等消息元素；
2.6.3) WTP向AC發(fā)送CAPWAP站點(diǎn)配置響應(yīng)消息，其中包含結(jié)果碼消 息元素，用于標(biāo)識對CAPWAP站點(diǎn)配置請求消息的處理結(jié)果。
參見圖3，此外，本發(fā)明流程中還包括步驟2.7) AC與STA之間的組播密
鑰更新過程
2.7.1) 當(dāng)AC需要進(jìn)行組播密鑰更新時，首先向WTP發(fā)送IEEE 802.11 WLAN配置請求消息，其中包含GB15629.il更新WLAN消息元素，該消息元 素中包含MSK密鑰數(shù)據(jù)、MSK索引、MSK更新開始標(biāo)識、數(shù)據(jù)分組序號PN 等信息；
2.7.2) WTP向AC發(fā)送GB15629.11WLAN配置響應(yīng)消息，其中包含結(jié)果 碼消息元素，用于標(biāo)識對GB15629.il WLAN配置請求消息的處理結(jié)果；
2.7.3) AC與STA之間執(zhí)行WAI組播密鑰通告過程；
2.7.4) 當(dāng)WAI組播密鑰通告過程完成后，AC向WTP發(fā)送IEEE 802.11 WLAN配置請求消息，其中包含GB15629.il更新WLAN (MSK索引、MSK 更新結(jié)束標(biāo)識)等消息元素；
2.7.5) WTP向AC發(fā)送GB15629.il WLAN配置響應(yīng)消息，其中包含結(jié)果碼消 息元素，用于標(biāo)識對GB15629.il WLAN配置請求消息的處理結(jié)果。
1權(quán)利要求
1、一種以本地MAC模式實(shí)現(xiàn)WAPI與CAPWAP融合的方法，其特征在于該方法包括以下步驟1)構(gòu)建本地MAC模式將無線接入點(diǎn)的MAC功能和WAPI功能分別分離到無線終端點(diǎn)和訪問控制器上；2)在本地MAC模式下，實(shí)現(xiàn)將CAPWAP規(guī)范綁定WAPI的本地MAC模式；2.1)站點(diǎn)與無線終端點(diǎn)以及訪問控制器之間的關(guān)聯(lián)連接過程；2.2)訪問控制器與無線終端點(diǎn)之間WAI協(xié)議開始執(zhí)行的通告過程；2.3)站點(diǎn)與訪問控制器之間WAI協(xié)議的執(zhí)行過程；2.4)訪問控制器與無線終端點(diǎn)之間WAI協(xié)議執(zhí)行結(jié)束的通告過程；2.5)無線終端點(diǎn)與站點(diǎn)之間利用WPI進(jìn)行保密通信的過程。
2、 根據(jù)權(quán)利要求1所述的一種以本地MAC模式實(shí)現(xiàn)WAPI與CAPWAP 融合的方法，其特征在于所述步驟2.1)的具體步驟如下2丄1)站點(diǎn)被動偵聽無線終端點(diǎn)的信標(biāo)幀獲得包括WAPI信息元素的無線 終端點(diǎn)的參數(shù)；或者站點(diǎn)主動向無線終端點(diǎn)發(fā)送探詢請求幀，無線終端點(diǎn)收到 站點(diǎn)的探詢請求幀后，向站點(diǎn)發(fā)送探詢響應(yīng)幀，站點(diǎn)收到無線終端點(diǎn)的探詢響 應(yīng)幀獲得包括WAPI信息元素的無線終端點(diǎn)的參數(shù)；所述WAPI信息元素包括 無線終端點(diǎn)支持的WAI鑒別及密鑰管理套件、密碼套件；2丄2)站點(diǎn)向無線終端點(diǎn)發(fā)送鏈路驗(yàn)證請求幀，請求與無線終端點(diǎn)之間的 鏈路驗(yàn)證；2丄3)無線終端點(diǎn)根據(jù)站點(diǎn)的鏈路驗(yàn)證請求幀，向站點(diǎn)發(fā)送鏈路驗(yàn)證響應(yīng)幀；2丄4)鏈路驗(yàn)證成功后，無線終端點(diǎn)向訪問控制器發(fā)送關(guān)聯(lián)請求幀，請求 與訪問控制器進(jìn)行關(guān)聯(lián)，關(guān)聯(lián)請求幀包含WAPI信息元素確定站點(diǎn)選擇的WAI 鑒別及密鑰管理套件、密碼套件；2丄5)訪問控制器解析站點(diǎn)的關(guān)聯(lián)請求幀，向站點(diǎn)發(fā)送關(guān)聯(lián)響應(yīng)幀。
3、 根據(jù)權(quán)利要求1所述的一種以本地MAC模式實(shí)現(xiàn)WAPI與CAPWAP 融合的方法，其特征在于所述步驟2.2)的具體步驟如下2.2.1)訪問控制器向無線終端點(diǎn)發(fā)送CAPWAP站點(diǎn)配置請求消息，消息中包含加入站點(diǎn)、GB15629.il加入站點(diǎn)、GB15629.il站點(diǎn)會話密鑰消息元素， 其中，站點(diǎn)會話密鑰消息元素中的A被置為1用于告知無線終端點(diǎn)關(guān)閉受控端 口 ，僅轉(zhuǎn)發(fā)來自對應(yīng)站點(diǎn)的WAI協(xié)議數(shù)據(jù)；2.2.2)無線終端點(diǎn)向訪問控制器發(fā)送CAPWAP站點(diǎn)配置響應(yīng)消息，其中 包含結(jié)果碼消息元素，用于標(biāo)識對CAPWAP站點(diǎn)配置請求消息的處理結(jié)果。
4、 根據(jù)權(quán)利要求1所述的一種以本地MAC模式實(shí)現(xiàn)WAPI與CAPWAP 融合的方法，其特征在于所述步驟2.3)的具體步驟如下2.3.1) 訪問控制器與站點(diǎn)之間的WAI鑒別過程；包括無線終端點(diǎn)對來自訪問控制器的由CAPWAP GB15629.il綁定規(guī)范定義的CAPWAP數(shù)據(jù)封裝格式 封裝的WAI鑒別數(shù)據(jù)進(jìn)行拆封后轉(zhuǎn)發(fā)給站點(diǎn)；對來自站點(diǎn)的WAI鑒別數(shù)據(jù)根 據(jù)CAPWAP GB 15629.11綁定規(guī)范定義的CAPWAP數(shù)據(jù)封裝格式進(jìn)行封裝后發(fā) 送給訪問控制器；2.3.2) 訪問控制器與站點(diǎn)之間的WAI單播密鑰協(xié)商過程；包括無線終端 點(diǎn)對來自訪問控制器的由CAPWAP GB 15629.11綁定規(guī)范定義的CAPWAP數(shù)據(jù) 封裝格式封裝的WAI單播密鑰協(xié)商數(shù)據(jù)進(jìn)行拆封后轉(zhuǎn)發(fā)給站點(diǎn)；對來自站點(diǎn)的 WAI單播密鑰協(xié)商數(shù)據(jù)根據(jù)CAPWAP GB15629.il綁定規(guī)范定義的CAPWAP 數(shù)據(jù)封裝格式進(jìn)行封裝后發(fā)送給訪問控制器；2.3.3) 訪問控制器與站點(diǎn)之間的WAI組播密鑰通告過程；包括無線終端 點(diǎn)對來自訪問控制器的由CAPWAP GB15629.11綁定規(guī)范定義的CAPWAP數(shù)據(jù) 封裝格式封裝的WAI組播密鑰通告數(shù)據(jù)進(jìn)行拆封后轉(zhuǎn)發(fā)給站點(diǎn)；對來自站點(diǎn)的 WAI組播密鑰通告數(shù)據(jù)根據(jù)CAPWAP GB15629.il綁定規(guī)范定義的CAPWAP 數(shù)據(jù)封裝格式進(jìn)行封裝后發(fā)送給訪問控制器。
5、 根據(jù)權(quán)利要求1所述的一種以本地MAC模式實(shí)現(xiàn)WAPI與CAPWAP 融合的方法，其特征在于所述步驟2.4)的具體步驟如下2.4.1) 訪問控制器向無線終端點(diǎn)發(fā)送CAPWAP站點(diǎn)配置請求消息，消息 中包含加入站點(diǎn)、GB15629.il加入站點(diǎn)、GB15629.il站點(diǎn)會話密鑰、 GB15629.il信息元素消息元素。根據(jù)加入站點(diǎn)消息元素中站點(diǎn)的MAC地址， 無線終端點(diǎn)打開與之對應(yīng)的受控端口，轉(zhuǎn)發(fā)來自該站點(diǎn)的所有數(shù)據(jù)，包括WAI 協(xié)議數(shù)據(jù)和非WAI協(xié)議數(shù)據(jù)；2.4.2) 無線終端點(diǎn)向訪問控制器發(fā)送CAPWAP站點(diǎn)配置響應(yīng)消息，其中包含結(jié)果碼消息元素，用于標(biāo)識對CAPWAP站點(diǎn)配置請求消息的處理結(jié)果。
6、 根據(jù)權(quán)利要求1所述的一種以本地MAC模式實(shí)現(xiàn)WAPI與CAPWAP 融合的方法，其特征在于所述步驟2.5)的具體步驟如下2.5.1) 無線終端點(diǎn)加密來自訪問控制器的數(shù)據(jù)并發(fā)送給站點(diǎn)；2.5.2) 無線終端點(diǎn)解密并轉(zhuǎn)發(fā)來自站點(diǎn)的數(shù)據(jù)。
7、 根據(jù)權(quán)利要求1或2或3或4或5或6所述的一種以本地MAC模式實(shí) 現(xiàn)WAPI與CAPWAP融合的方法，其特征在于所述步驟2，5)之后還包括步 驟2.6)訪問控制器與站點(diǎn)之間的單播密鑰更新過程。
8、 根據(jù)權(quán)利要求7所述的一種以本地MAC模式實(shí)現(xiàn)WAPI與CAPWAP 融合的方法，其特征在于所述步驟2.6)的具體步驟如下2.6.1) 當(dāng)需要進(jìn)行單播密鑰更新時，訪問控制器與站點(diǎn)之間執(zhí)行WAI單播 密鑰協(xié)商過程；2.6.2) 當(dāng)WAI單播密鑰協(xié)商過程完成后，訪問控制器向無線終端點(diǎn)發(fā)送 CAPWAP站點(diǎn)配置請求消息，消息中包括加入站點(diǎn)、GB15629.il加入站點(diǎn)、 GB15629.il站點(diǎn)會話密鑰、GB15629.il信息元素消息元素；2.6.3) 無線終端點(diǎn)向訪問控制器發(fā)送CAPWAP站點(diǎn)配置響應(yīng)消息，其中 包括結(jié)果碼消息元素，用于標(biāo)識對CAPWAP站點(diǎn)配置請求消息的處理結(jié)果。
9、 根據(jù)權(quán)利要求l或2或3或4或5或6所述的一種以本地MAC模式實(shí) 現(xiàn)WAPI與CAPWAP融合的方法，其特征在于所述步驟2，5)之后還包括步 驟2.7)訪問控制器與站點(diǎn)之間的組播密鑰更新過程。
10、 根據(jù)權(quán)利要求9所述的一種以本地MAC模式實(shí)現(xiàn)WAPI與CAPWAP 融合的方法，其特征在于所述步驟2.7)的具體步驟如下2.7.1) 當(dāng)訪問控制器需要進(jìn)行組播密鑰更新時，首先向無線終端點(diǎn)發(fā)送 GB15629.11 WLAN配置請求消息，其中包含GB15629.11更新WLAN消息元素， 該消息元素中包括MSK密鑰數(shù)據(jù)、MSK索引、MSK更新開始標(biāo)識、數(shù)據(jù)分組 序號PN;2.7.2) 無線終端點(diǎn)向訪問控制器發(fā)送GB15629.il WLAN配置響應(yīng)消息， 其中包括結(jié)果碼消息元素，用于標(biāo)識對GB15629.11 WLAN配置請求消息的處理 結(jié)果；2.7.3) 訪問控制器與站點(diǎn)之間執(zhí)行WAI組播密鑰通告過程；(2.7.4) 當(dāng)WAI組播密鑰通告過程完成后，訪問控制器向無線終端點(diǎn)發(fā)送 GB15629.il WLAN配置請求消息，其中包括GB15629.11更新WLAN消息元素， 該GB15629.il更新WLAN包括MSK索引、MSK更新結(jié)束標(biāo)識；(2.7.5) 無線終端點(diǎn)向訪問控制器發(fā)送GB15629.il WLAN配置響應(yīng)消息， 其中包括結(jié)果碼消息元素，用于標(biāo)識對GB15629.11 WLAN配置請求消息的處理 結(jié)果。
全文摘要
本發(fā)明涉及一種以本地MAC模式實(shí)現(xiàn)WAPI與CAPWAP融合的方法，該方法包括以下步驟1)構(gòu)建本地MAC模式將無線接入點(diǎn)的MAC功能和WAPI功能分別分離到無線終端點(diǎn)和訪問控制器上；2)在本地MAC模式下，實(shí)現(xiàn)將CAPWAP規(guī)范綁定WAPI協(xié)議；2.1)站點(diǎn)與無線終端點(diǎn)以及訪問控制器之間的關(guān)聯(lián)連接過程；2.2)訪問控制器與無線終端點(diǎn)之間WAI協(xié)議開始執(zhí)行的通告過程；2.3)站點(diǎn)與訪問控制器之間WAI協(xié)議的執(zhí)行過程；2.4)訪問控制器與無線終端點(diǎn)之間WAI協(xié)議執(zhí)行結(jié)束的通告過程；2.5)無線終端點(diǎn)與站點(diǎn)之間利用WPI進(jìn)行保密通信的過程。本發(fā)明不僅能夠滿足WLAN的大規(guī)模部署需求，而且能夠保證會聚式體系架構(gòu)下WLAN的安全性。
文檔編號H04W84/02GK101577916SQ20091002141
公開日2009年11月11日 申請日期2009年2月27日 優(yōu)先權(quán)日2009年2月27日
發(fā)明者軍 曹, 杜志強(qiáng), 賴曉龍, 鐵滿霞, 黃振海 申請人:西安西電捷通無線網(wǎng)絡(luò)通信有限公司