[发明专利]CAPWAP架构的接入控制器及其密钥管理方法

权利要求书

1.一种基于CAPWAP架构的接入控制器(AC)，该接入控制器管辖至少一个无线端接节点(AP1、AP2、AP3...)，其特征在于，该接入控制器包括：

-至少一个密钥管理模块(VAS1、VAS2、VAS3...)，与所述至少一个无线端接节点一一对应，并用于管理从该无线端接节点接入的用户站(MS)的、基于IEEE 802.11协议族的密钥。

2.根据权利要求1所述的接入控制器，其特征在于，该密钥管理模块管理对应于该用户站(MS)的主密钥(PMK)以及业务密钥(PTK)。

3.根据权利要求2所述的接入控制器，其特征在于，对于该接入控制器中的密钥管理体系，当该用户站(MS)通过第一无线端接节点(AP1)首次接入该接入控制器时，与该第一无线端接节点对应的第一密钥管理模块(VAS1)用于：

-与认证(AAA)服务器交互，获取与该用户站对应的该主会话密钥(MSK)，和/或确定与该用户站对应的该预共享密钥(PSK)；

-基于所述主会话密钥和/或所述预共享密钥，生成与该用户站对应的第一主密钥(PMK-R0)；

-基于所述第一主密钥，产生与该用户站对应的第一业务密钥(PTK)。

4.根据权利要求3所述的接入控制器，其特征在于，对于该接入控制器中的密钥管理体系，

-所述第一密钥管理模块还用于，基于所述第一主密钥(PMK-R0)，生成第二主密钥(PMK-R1a、PMK-R1b)，并将该第二主密钥提供给其他无线端接节点(AP2、AP3)所对应的第二密钥管理模块(VAS2、VAS3)，其中，该第二主密钥与所述第一主密钥不同，并且，提供给各第二密钥管理模块(VAS2、VAS3)的第二主密钥(PMK-R1a、PMK-R1b)各不相同；

-该第二密钥管理模块用于，存储所述第二主密钥，并基于所述第二主密钥，产生与该用户站对应的第二业务密钥(PTKa、PTKb)，其中，各第二密钥管理模块(VAS2、VAS3)产生的与该用户站对应的第二业务密钥(PTKa、PTKb)各不相同。

5.根据权利要求4所述的接入控制器，其特征在于，当该用户站(MS)切换到该第二无线端接节点(AP2、AP3)时，该接入控制器进行如下操作：

-接收来自该用户站的切换到第二无线端接节点的请求；

-从该请求确定与该第二无线端接节点对应的第二密钥管理模块(VAS2、VAS3)；

-基于该密钥管理体系，控制所述第一密钥管理与该第二密钥管理模块交互该第二主密钥(PMK-R1a、PMK-R1b)，并在第二密钥管理模块中产生该第二业务密钥(PTKa、PTKb)，完成切换过程。

6.根据权利要求1所述的接入控制器，其特征在于，在为各无线端接节点(AP 1、AP2、AP3...)进行的初始化配置阶段，所述接入控制器为该无线端接节点确定其对应的密钥管理模块(VAS1、VAS2、VAS3...)，所述密钥管理模块由以下至少任一方式形成：

-软件方式；

-硬件方式；

-固件方式。

7.一种在基于CAPWAP架构的接入控制器(AC)中进行密钥管理的方法，该接入控制器管辖至少一个无线端接节点(AP1、AP2、AP3...)，其特征在于，该方法包括：

-为所述至少一个无线端接节点，一一对应地设置至少一个密钥管理模块(VAS1、VAS2、VAS3...)，该密钥管理模块用于管理从该无线端接节点接入的用户站(MS)的、基于IEEE 802.11协议族的密钥。

8.根据权利要求7所述的方法，其特征在于，该密钥管理模块管理对应于用户站(MS)的主密钥(PMK)以及业务密钥(PTK)。

9.根据权利要求8所述的方法，其特征在于，对于该接入控制器中的密钥管理体系，当该用户站(MS)通过第一无线端接节点(AP1)首次接入该接入控制器时，该方法由与该第一无线端接节点对应的第一密钥管理模块(VAS1)进行如下步骤：

-与认证(AAA)服务器交互，获取与该用户站对应的主会话密钥(MSK)，和/或确定与该用户站对应的预共享密钥(PSK)；

-基于所述主会话密钥和/或所述预共享密钥，生成与该用户站对应的第一主密钥(PMK-R0)；

-基于所述第一主密钥，产生与该用户站对应的第一业务密钥(PTK)。