[发明专利]CAPWAP架构的接入控制器及其密钥管理方法

说明书

技术领域

本发明涉及无线局域网WLAN技术，特别涉及基于CAPWAP架构以及IEEE 802.11协议族的WLAN技术。

背景技术

无线局域网(WLAN)技术已经广泛地部署在个人家庭、企业以及公共热点中。特别是在近年来，随着WLAN技术的成熟，它已经成为了运行商接入网中的重要部分。例如，在3G牌照颁发后，中国的三大运营商已经建立并继续扩建所谓的“运营商级别的WLAN”，这一“运营商级别的WLAN”与中国的WiFi无线城市的趋势相一致。从技术的角度看，运营商级别的WLAN通常基于由IETF CAPWAP(Control and provisioning of wireless access points，无线接入点控制与规定)所定义的集中式架构，并且作为大范围的WLAN、与典型的WLAN截然不同地运作。

对于WLAN来说，IEEE 802.11协议族定义了一系列的密钥管理体系。以例如IEEE 802.11r来说，图1示出了一个示例的拓扑结构，图2示出了其典型的密钥管理体系。参照图1与图2，首先，移动站MS从接入节点AP1接入到该WLAN中，AP1具有IEEE 802.11协议的PHY层和MAC功能，AP1与AAA服务器(认证服务器)交互，认证该移动站MS的合法性，并且获得AAA服务器提供的主会话密钥MSK(和/或确定与该移动站MS对应的预共享密钥PSK)。接着，AP 1根据MSK与PSK，与该移动站MS协商获得作为第零级密钥的主密钥PMK-R0，并可以被称为第零级的密钥持有者R0KH。接下来，AP 1与移动站MS可以通过四次握手协商获得业务密钥PTK，于是，在移动站MS与AP1基于该业务密钥PTK通过无线接口进行通信。

仍参照图1与图2，在移动站MS需要从AP1切换到AP2，或者进行后继的从AP2到AP3的切换时，作为第零级密钥持有者的AP1将接收到来自其他AP的、移动站MS的切换请求，该AP1将生成作为第一级密钥的主密钥PKM-R1a和PMK-R1b，并将这些主密钥提供给作为切换目标的AP2或AP3。AP2或AP3接收并存储该些主密钥，它们可以被称为第一级密钥持有者(R1KHa与R1KHb)。之后，AP2或AP3可以进一步通过四次握手与移动站协商获得业务密钥PTKa或PTKb。AP2与AP3作为PTK的密钥持有者(PTK-KHa与PTK-KHb)存储业务密钥PTKa与PTKb。并且，移动站MS与AP2或AP3基于该业务密钥PTKa或PTKb通过无线接口进行通信，切换过程顺利完成。

可见，IEEE 802.11协议族中的密钥管理体系是基于每个AP的分布式的协作框架，这与CAPWAP的集中式架构不相兼容，如下面所分析的。

在CAPWAP中，AP可以被分为两类逻辑组件，其中之一是传统的AP(本地MAC模式)，它实现了PHY层功能以及IEEE 802.11协议族的全部的MAC层功能，也被称为“胖AP(fat AP)”。另外一种是被称为“瘦AP(thin AP)”的无线端接节点(WTP)(划分MAC模式)，在无线端接节点中仅仅实现了PHY层功能以及MAC协议中的下层部分，而MAC层协议中的上层部分由管辖这些瘦AP的一个接入控制器(Access Controller，简称AC)所实现。基于这样的功能划分，IEEE 802.11中的认证以及接入控制特性都在集中化的接入控制器中实现，允许它将用户端连接到任何无线端接节点而不需要EAP重新特征。

在CAPWAP中，接入控制器作为认证器工作，在初始化阶段，经由一个无线端接节点接入的用户站/移动站经过接入控制器与AAA服务器进行基于IEEE 802.11的EAP对话。完成后，AAA服务器将产生的主会话密钥MSK提供给接入控制器。接入控制器继而通过该无线端接节点与该用户站进行四次握手，并确定业务密钥。无线端接节点没有业务加密/解密功能，该功能由接入控制器所提供。