著录项信息
专利名称 | 无线局域网中密钥的发送方法及装置 |
申请号 | CN201010286269.2 | 申请日期 | 2010-09-19 |
法律状态 | 授权 | 申报国家 | 中国 |
公开/公告日 | 2012-04-04 | 公开/公告号 | CN102404720A |
优先权 | 暂无 | 优先权号 | 暂无 |
主分类号 | 暂无 | IPC分类号 | 暂无查看分类表>
|
申请人 | 华为技术有限公司 | 申请人地址 | 广东省深圳市龙岗区坂田华为基地总部办公楼
变更
专利地址、主体等相关变化,请及时变更,防止失效 |
权利人 | 华为技术有限公司 | 当前权利人 | 华为技术有限公司 |
发明人 | 耿立波;胡俊理;张朋;蔡成贵 |
代理机构 | 北京中博世达专利商标代理有限公司 | 代理人 | 申健 |
摘要
本发明公开一种无线局域网中密钥的发送方法及装置,涉及通信技术领域,在BRAS设备与AC分离的应用场景中,BRAS设备可以向AC下发指定WLAN站点的主密钥,并触发该AC与WLAN站点进行协商临时密钥。包括:当接收到所述AAA服务器下发的所述WLAN站点的主密钥时,在站点信息表中查找与所述WLAN站点关联的AC的IP地址;向所述AC发送第三CAPWAP消息,以指示所述AC与所述WLAN站点进行四次握手协商临时密钥,所述第三CAPWAP消息携带所述WLAN站点的主密钥、四次握手触发比特位、所述WLAN站点的MAC地址。本发明实施例主要应用于AC与WLAN站点进行协商临时密钥的过程中。
1.一种无线局域网中密钥的发送方法,所述方法应用于全球移动通信系统用户一致模块的可扩展鉴定协议EAP-SIM或第三代移动通讯网络的认证和密钥协商机制的可扩展鉴定协议EAP-AKA认证,其特征在于,包括:
BRAS设备接收接入控制器AC发送的第一无线接入点的控制和配置CAPWAP消息,所述第一CAPWAP消息中携带接入点AP的英特网协议IP地址、所述AC的IP地址、无线局域网WLAN站点的媒体接入控制MAC地址;
BRAS设备从所述第一CAPWAP消息中获取所述AP的IP地址、所述AC的IP地址、所述WLAN站点的MAC地址,并保存到站点信息表中;
BRAS设备向所述AC发送第二CAPWAP消息,以触发所述AC向所述WLAN站点发送关联成功信息,所述第二CAPWAP消息携带所述WLAN站点的MAC地址;
BRAS设备接收从所述AC转发来的所述WLAN站点的认证请求报文,向认证、授权、计费AAA服务器发起认证;
BRAS设备当接收到所述AAA服务器下发的所述WLAN站点的主密钥时,在所述站点信息表中查找与所述WLAN站点关联的AC的IP地址;
BRAS设备向所述AC发送第三CAPWAP消息,以指示所述AC与所述WLAN站点进行四次握手协商临时密钥,所述第三CAPWAP消息携带所述WLAN站点的主密钥、四次握手触发比特位、所述WLAN站点的MAC地址。
2.根据权利要求1所述的无线局域网中密钥的发送方法,其特征在于,在接收接入控制器AC发送的第一无线接入点的控制和配置CAPWAP消息之前,该方法还包括:接收所述AC发送的建立CAPWAP链路请求,并与所述AC之间建立CAPWAP控制通道。
3.根据权利要求1所述的无线局域网中密钥的发送方法,其特征在于,在向所述AC发送第三CAPWAP消息之后,该方法还包括:接收所述AC发送的携带有所述WLAN站点的MAC地址的第四CAPWAP消息,以确认所述AC已经收到所述第三CAPWAP消息。
4.根据权利要求1、2或3所述的无线局域网中密钥的发送方法,其特征在于,所述站点信息表中保存的每一个站点信息对应有生命周期,在从所述第一CAPWAP消息中获取所述AP的IP地址、所述AC的IP地址、所述WLAN站点的MAC地址,并保存到站点信息表中之后,还包括:
如果所述WLAN站点信息的生命周期到期,向与所述WLAN站点关联的AC发送携带有所述WLAN站点的MAC地址的第五CAPWAP消息,以通知所述AC所述WLAN站点的生命周期已到。
5.根据权利要求1、2或3所述的无线局域网中密钥的发送方法,其特征在于,在从所述第一CAPWAP消息中获取所述AP的IP地址、所述AC的IP地址、所述WLAN站点的MAC地址,并保存到站点信息表中之后,还包括:
接收所述AC发送的携带有所述WLAN站点的MAC地址的第六CAPWAP消息;
根据所述第六CAPWAP消息从所述站点信息表中删除所述WLAN站点信息。
6.根据权利要求1、2或3所述的无线局域网中密钥的发送方法,其特征在于,在从所述第一CAPWAP消息中获取所述AP的IP地址、所述AC的IP地址、所述WLAN站点的MAC地址,并保存到站点信息表中之后,还包括:
从所述站点信息表中删除所述WLAN站点信息;
向与所述WLAN站点关联的AC发送第七CAPWAP消息,以通知所述AC所述WLAN站点信息已被删除,所述第七CAPWAP消息携带有所述WLAN站点MAC地址。
7.一种无线局域网中密钥的发送装置,所述装置应用于全球移动通信系统用户一致模块的可扩展鉴定协议EAP-SIM或第三代移动通讯网络的认证和密钥协商机制的可扩展鉴定协议EAP-AKA认证,其特征在于,包括:
第一接收单元(11),用于接收接入控制器AC发送的第一无线接入点的控制和配置CAPWAP消息,所述第一CAPWAP消息中携带接入点AP的英特网协议IP地址、所述AC的IP地址、无线局域网WLAN站点的媒体接入控制MAC地址;
处理单元(12),用于从所述第一CAPWAP消息中获取所述AP的IP地址、所述AC的IP地址、所述WLAN站点的MAC地址,并保存到站点信息表中;
第一发送单元(13),用于向所述AC发送第二CAPWAP消息,以触发所述AC向所述WLAN站点发送关联成功信息,所述第二CAPWAP消息携带所述WLAN站点的MAC地址;
第二接收单元(14),用于接收从所述AC转发来的所述WLAN站点的认证请求报文,向认证、授权、计费AAA服务器发起认证;
查找单元(15),用于当接收到所述AAA服务器下发的所述WLAN站点的主密钥时,在所述站点信息表中查找与所述WLAN站点关联的AC的IP地址;
第二发送单元(16),用于向所述AC发送第三CAPWAP消息,以指示所述AC与所述WLAN站点进行四次握手协商临时密钥,所述第三CAPWAP消息携带所述WLAN站点的主密钥、四次握手触发比特位、所述WLAN站点的MAC地址。
8.根据权利要求7所述的无线局域网中密钥的发送装置,其特征在于,该装置还包括:
链路建立单元(17),用于接收所述AC发送的建立无线接入点的控制和配置CAPWAP链路请求,并与所述AC之间建立CAPWAP控制通道。
9.根据权利要求7所述的无线局域网中密钥的发送装置,其特征在于,该装置还包括:第三接收单元(18),用于接收所述AC发送的携带有所述WLAN站点的MAC地址的第四CAPWAP消息,以确认所述AC已经收到所述第三CAPWAP消息。
10.根据权利要求7、8或9所述的无线局域网中密钥的发送装置,其特征在于,还包括:
第三发送单元(19),用于当所述WLAN站点信息的生命周期到期时,向与所述WLAN站点关联的AC发送携带有所述WLAN站点的MAC地址的第五CAPWAP消息,以通知所述AC所述WLAN站点的生命周期已到。
11.根据权利要求7、8或9所述的无线局域网中密钥的发送装置,其特征在于,还包括:
第四接收单元(20),用于接收所述AC发送的携带有所述WLAN站点的MAC地址的第六CAPWAP消息;
删除单元(21),用于根据所述第六CAPWAP消息从所述站点信息表中删除所述WLAN站点信息。
12.根据权利要求11所述的无线局域网中密钥的发送装置,其特征在于,该装置还包括:第四发送单元(22),用于向与所述WLAN站点关联的AC发送第七CAPWAP消息,以通知所述AC所述WLAN站点信息已被删除,所述第七CAPWAP消息携带有所述WLAN站点MAC地址。
无线局域网中密钥的发送方法及装置\n技术领域\n[0001] 本发明涉及通信技术领域,尤其涉及一种无线局域网中密钥的发送方法及装置。\n背景技术\n[0002] WLAN(Wireless Local Area Network,无线局域网)是以无线信道作为传输媒介的计算机局域网,是有线联网方式的重要补充和延伸。基于WLAN技术的网络结构中通常包括WLAN站点、AP(Access Point,接入点)、AC(Access Control,接入控制器)等网络设备。其中,AP的作用是将WLAN站点与现有的有线网络连接起来,而AC通过CAPWAP(Control And Provisioning of Wireless AccessPoint,无线接入点的控制和配置)控制通道可以实现对AP的管理。\n[0003] 目前,根据实现功能的不同,WLAN中采用的AC可以分为两种类型:一种是BRAS(Broadband Remote Access Server,宽带远程接入服务器)与AC分离,由BRAS设备实现WLAN站点的接入认证功能,AC实现AP管理功能。另一种是BRAS设备集成AC,此时AC作为一个功能模块集成到BRAS设备中,BRAS设备同时实现WLAN站点的接入认证功能和AP管理功能。\n[0004] 下面以BRAS集成AC为例,对WLAN站点的接入认证的实现过程进行介绍。\n[0005] 首先,AP与BRAS设备建立CAPWAP链路(包括CAPWAP数据通道和CAPWAP控制通道)。WLAN站点向AP发送关联请求信息,AP接收到WLAN站点的关联请求信息后,向BRAS设备发送请求,以确定是否允许此WLAN站点关联该AP。BRAS设备经过判断如果允许该WLAN站点与该AP进行关联,则将结果下发给AP,AP向WLAN站点发送关联响应帧,允许WLAN站点关联AP。此时,虽然WLAN站点关联AP已经成功,但这只意味着WLAN站点取得其与AP之间的无线链路的使用许可。之后,WLAN站点还需要向BRAS设备发起认证请求,BRAS设备向AAA(Authentication Authorization Account,认证、授权、计费)服务器转发该WLAN站点的认证请求。获得AAA服务器授权后,BRAS设备向WLAN站点发送认证响应,以通知该WLAN站点认证成功,允许其访问互联网络。\n[0006] 现有技术中,WLAN站点可以采用三种接入认证方式,EAP-SIM(ExtensibleAuthentication Protocol Method For Mobile Communications SubscriberIdentity Modules,全球移动通信系统用户一致模块的可扩展鉴定协议)/EAP-AKA(Extensible Authentication Protocol Method for 3rd GenerationAuthentication and Key Agreement,第三代移动通讯网络(3G)的认证和密钥协商机制的可扩展鉴定协议)是其中一种认证方式。在EAP-S IM/EAP-AKA认证场景中,WLAN站点和AP之间的无线链路传输数据会采用WPA2(Wi-Fi ProtectedAccess)标准进行加密,在WLAN站点认证通过后,AAA服务器都会下发该WLAN站点的主密钥PMK给BRAS设备。\n[0007] BRAS设备获得WLAN站点的主密钥PMK之后,如果BRAS设备集成了AC,也即当AC作为一个功能模块集成在BRAS设备中时,该BRAS设备可以采用内部通信机制通知BRAS设备的AC模块,直接采用主密钥PMK与该WLAN站点发起“四次握手”协商临时密钥PTK,后续WLAN站点与AP之间的无线链路采用临时密钥PTK加密数据。\n[0008] 然而,发明人发现当在BRAS设备与AC分离的应用场景中,BRAS设备从AAA服务器获得WLAN站点的主密钥PMK后,由于BRAS设备与AC不是同一台设备,因而BRAS设备无法采用内部通信机制通知AC该WLAN站点的主密钥PMK,使得AC也无法知道何时与该WLAN站点进行“四次握手”协商临时密钥PTK。\n发明内容\n[0009] 本发明的实施例提供一种无线局域网中密钥的发送方法及装置,在BRAS设备与AC分离的应用场景中,BRAS设备可以向AC下发指定WLAN站点的主密钥,并触发该AC与WLAN站点进行协商临时密钥。\n[0010] 为达到上述目的,本发明的实施例采用如下技术方案:\n[0011] 一种无线局域网中密钥的发送方法,包括:\n[0012] 接收接入控制器AC发送的第一无线接入点的控制和配置CAPWAP消息,所述第一CAPWAP消息中携带接入点AP的英特网协议IP地址、所述AC的IP地址、无线局域网WLAN站点的媒体接入控制MAC地址;\n[0013] 从所述第一CAPWAP消息中获取所述AP的IP地址、所述AC的IP地址、所述WLAN站点的MAC地址,并保存到站点信息表中;\n[0014] 向所述AC发送第二CAPWAP消息,以触发所述AC向所述WLAN站点发送关联成功信息,所述第二CAPWAP消息携带所述WLAN站点的MAC地址;\n[0015] 接收从所述AC转发来的所述WLAN站点的认证请求报文,向认证、授权、计费AAA服务器发起认证;\n[0016] 当接收到所述AAA服务器下发的所述WLAN站点的主密钥时,在所述站点信息表中查找与所述WLAN站点关联的AC的IP地址;\n[0017] 向所述AC发送第三CAPWAP消息,以指示所述AC与所述WLAN站点进行四次握手协商临时密钥,所述第三CAPWAP消息携带所述WLAN站点的主密钥、四次握手触发比特位、所述WLAN站点的MAC地址。\n[0018] 一种无线局域网中密钥的发送装置,包括:\n[0019] 第一接收单元11,用于接收接入控制器AC发送的第一无线接入点的控制和配置CAPWAP消息,所述第一CAPWAP消息中携带接入点AP的英特网协议IP地址、所述AC的IP地址、无线局域网WLAN站点的媒体接入控制MAC地址;\n[0020] 处理单元12,用于从所述第一CAPWAP消息中获取所述AP的IP地址、所述AC的IP地址、所述WLAN站点的MAC地址,并保存到站点信息表中;\n[0021] 第一发送单元13,用于向所述AC发送第二CAPWAP消息,以触发所述AC向所述WLAN站点发送关联成功信息,所述第二CAPWAP消息携带所述WLAN站点的MAC地址;\n[0022] 第二接收单元14,用于接收从所述AC转发来的所述WLAN站点的认证请求报文,向认证、授权、计费AAA服务器发起认证;\n[0023] 查找单元15,还用于当接收到所述AAA服务器下发的所述WLAN站点的主密钥时,在所述站点信息表中查找与所述WLAN站点关联的AC的IP地址;\n[0024] 第二发送单元16,用于向所述AC发送第三CAPWAP消息,以指示所述AC与所述WLAN站点进行四次握手协商临时密钥,所述第三CAPWAP消息携带所述WLAN站点的主密钥、四次握手触发比特位、所述WLAN站点的MAC地址。\n[0025] 本发明实施例提供的无线局域网中密钥的发送方法及装置,利用接收到的来自AC的第一CAPWAP消息,可以将接入点AP的IP地址、所述AC的IP地址、WLAN站点的MAC地址保存到站点信息表中。当所述WLAN站点与所述AP关联成功并通过AAA服务器的认证之后,本发明实施例提供的方法会接收AAA服务器下发的所述WLAN站点的主密钥,从所述站点信息表中查找出与所述WLAN站点关联的AC的IP地址,并向所述AC发送携带有所述WLAN站点的主密钥、四次握手触发比特位、所述WLAN站点的MAC地址的第三CAPWAP消息,指示所述AC与所述WLAN站点进行四次握手协商临时密钥。\n[0026] 在BRAS设备与AC分离的应用场景中,与现有技术相比,本发明实施例中BRAS设备可以向AC发送所述WLAN站点的主密钥,触发该AC与所述WLAN站点进行协商临时密钥,从而可以保证WLAN网络中的站点在认证通过后,仍然可以采用WAP2标准实现与AP之间的无线链路数据加密,充分保证WLAN网络的安全性和可靠性。。\n附图说明\n[0027] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。\n[0028] 图1为本发明实施例中提供的一种无线局域网中密钥的发送方法的流程图;\n[0029] 图2为本发明实施例中提供的另一种无线局域网中密钥的发送方法流程图;\n[0030] 图3为本发明实施例中提供的又一种无线局域网中密钥的发送方法流程图;\n[0031] 图4为本发明实施例中提供的利用主密钥进行协商临时密钥的流程图;\n[0032] 图5为本发明实施例中提供的一种无线局域网中密钥的发送装置的结构图;\n[0033] 图6为本发明实施例中提供的另一种无线局域网中密钥的发送装置结构图;\n[0034] 图7为本发明实施例中提供的又一种无线局域网中密钥的发送装置的结构图;\n[0035] 图8为本发明实施例中提供的再一种无线局域网中密钥的发送装置结构图;\n[0036] 图9为本发明实施例中提供的还又一种无线局域网中密钥的发送装置结构图;\n[0037] 图10为本发明实施例中提供的再又一种无线局域网中密钥的发送装置结构图。\n具体实施方式\n[0038] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。\n[0039] 如图1所示的实施例提供一种无线局域网中密钥的发送方法,在本发明的实施例中,BRAS设备与AC彼此分离,由BRAS设备实现WLAN站点接入认证功能,AC实现AP管理功能。下面从BRAS设备一侧详细描述该方法,具体包括:\n[0040] 100、BRAS设备接收接入控制器AC发送的第一CAPWAP消息,所述第一CAPWAP消息中携带有接入点AP的IP地址、所述AC的IP地址、WLAN站点的MAC地址;\n[0041] 101、BRAS设备从上述第一CAPWAP消息中提取接入点AP的IP地址、所述AC的IP地址、WLAN站点的MAC地址,并将所述提取出的信息作为WLAN站点信息保存到站点信息表中。\n[0042] 具体地,当WLAN站点请求关联AP时,所述WLAN站点向所述AC发送关联请求信息,所述AC接收到该关联请求信息后,从该关联请求信息中提取所述AP的IP地址、所述AC的IP地址、WLAN站点的MAC地址,并将提取出来的信息通过第一CAPWAP消息发送给BRAS设备。所述BRAS设备将接入点AP的IP地址、所述AC的IP地址、WLAN站点的MAC地址等信息保存在站点信息表中。该站点信息表主要用于查找某个站点关联的AP和AC,例如当BRAS设备需要向AC通知某站点的处理消息时,可以到所述站点信息表中查找该站点的AC的I P地址。\n[0043] 例如,该第一CAPWAP消息可以是扩展CAPWAP协议报文得到的新消息,该第一CAPWAP消息携带有AP的IP地址、AC的IP地址、WLAN站点的MAC地址。\n[0044] 另外,所述WLAN站点与AP之间采用802.11帧进行数据传输,AP将WLAN站点的\n802.11帧转化为AC可识别的帧格式后,通过CAPWAP数据通道发送转化后的数据帧给AC。\n例如,将WLAN站点的802.11帧转化为802.3帧后发送给AC。\n[0045] 102、BRAS设备向所述AC发送携带有所述WLAN站点的MAC地址的第二CAPWAP消息,以触发所述AC发送关联成功信息给所述WLAN站点。\n[0046] 具体地,上述BRAS设备接收到AC发送的第一CAPWAP消息,将所述第一CAPWAP消息携带的AP的IP地址、AC的IP地址、WLAN站点的MAC地址进行提取并保存后,上述BRAS设备向所述AC发送携带有所述WLAN站点的MAC地址的第二CAPWAP消息,接收到第二CAPWAP消息后,所述AC发送关联成功信息给所述WLAN站点,告知所述WLAN站点允许其与所述AP进行关联。所述WLAN站点与所述AP关联成功。\n[0047] 例如,该第二CAPWAP消息可以为扩展CAPWAP协议报文得到的新消息,该消息携带有WLAN站点的MAC地址。\n[0048] 另外,如果所述AC在预设时间内,没有接收到上述第二CAPWAP消息,例如所述AC在发送上述第一CAPWAP消息后的10分钟内没有接收到上述第二CAPWAP消息,那么所述AC会向所述BRAS设备重新发送101中的第一CAPWAP消息,如果AC重新发送了指定次数的所述第一CAPWAP消息后,仍然没有接收到BRAS设备下发的上述第二CAPWAP消息,例如:AC重新发送了三次所述第一CAPWAP消息后,仍然没有接收到BRAS设备下发的上述第二CAPWAP消息,则所述AC返回关联失败信息给所述WLAN站点。\n[0049] 103、BRAS设备接收从AC转发来的所述WLAN站点的认证请求报文,并向认证、授权、计费AAA服务器发起认证。\n[0050] 具体地,当经过102所述WLAN站点与所述AP关联成功之后,所述WLAN站点会发起认证请求。此时,BRAS设备会接收到从AC转发来的所述WLAN站点的认证请求报文,并向AAA服务器发起认证。\n[0051] 104、BRAS设备接收AAA服务器下发的所述WLAN站点的主密钥。\n[0052] 当AAA服务器确认WLAN站点认证成功后,通过RADIUS(RemoteAuthentication Dial-In User Service,远程认证拨入用户服务)协议通知BRAS设备,并将所述WLAN站点的主密钥PMK下发给BRAS设备。一种可能的场景为:所述WLAN站点会向BRAS设备发起EAP-SIM/EAP-AKA认证,经过EAP-SIM/EAP-AKA的标准协议交互过程后,AAA服务器允许所述WLAN站点认证通过,并通过RADIUS协议下发主密钥PMK给BRAS设备。\n[0053] 105、BRAS设备从所述站点信息表中查找出与所述WLAN站点关联的AC的IP地址,并向所述AC发送第三CAPWAP消息,以指示所述AC与所述WLAN站点进行四次握手协商临时密钥;其中,该第三CAPWAP消息携带有所述WLAN站点的主密钥、四次握手触发比特位、所述WLAN站点的MAC地址。\n[0054] 具体地,BRAS设备从所述站点信息表中查找出与所述WLAN站点关联的AC的IP地址,通过第三CAPWAP消息将所述WLAN站点的主密钥PMK和四次握手触发比特位通知给与所述WLAN站点关联的AC。例如,该第三CAPWAP消息可以为扩展CAPWAP协议报文得到的新消息,该消息携带有所述WLAN站点的主密钥、四次握手触发比特位、WLAN站点的MAC地址。\n[0055] 从本发明实施例提供的无线局域网中密钥的发送方法实现过程可以看出,所述BRAS设备利用接收到的来自AC的第一CAPWAP消息,可以将接入点AP的IP地址、所述AC的IP地址、WLAN站点的MAC地址保存到站点信息表中。当所述WLAN站点与所述AP关联成功并通过AAA服务器的认证之后,BRAS设备会接收AAA服务器下发的所述WLAN站点的主密钥,从所述站点信息表中查找出与所述WLAN站点关联的AC的IP地址,并向所述AC发送携带有所述WLAN站点的主密钥、四次握手触发比特位、所述WLAN站点的MAC地址的第三CAPWAP消息,指示所述AC与所述WLAN站点进行四次握手协商临时密钥。\n[0056] 与现有技术相比,在BRAS设备与AC分离的场景中,本发明实施例中,BRAS设备可以向AC发送所述WLAN站点的主密钥,触发该AC与所述WLAN站点进行协商临时密钥。从而可以保证WLAN网络中的站点在认证通过后,仍然可以采用WAP2标准实现与AP之间的无线链路数据加密,充分保证WLAN网络的安全性和可靠性。\n[0057] 需要说明的是,具体应用过程中,优选的,在上述第一CAPWAP消息/第二CAPWAP消息/第三CAPWAP消息中还可以携带所述WLAN站点的虚拟局域网标识VLAN ID,此时,在上述101中也会在站点信息表中保存所述第一CAPWAP消息中携带的所述WLAN站点的VLAN ID。\n[0058] 可选的,在WLAN网络建立初始时,可以在AC上配置AC Helper(AC的帮助设备),该AC Helper具体可以为BRAS设备。该BRAS设备运行CAPWAP协议。AC根据本地配置的BRAS设备的IP地址,主动向BRAS设备请求建立CAPWAP链路。此时,(如图2所示)在BRAS设备接收来自接入控制器AC的第一CAPWAP消息之前,该方法还包括:\n[0059] 106、接收所述AC发送的CAPWAP链路请求,并与所述AC之间建立CAPWAP控制通道。\n[0060] 由于BRAS设备作为AC Helper只面向AC,不面向AP,所以BRAS设备所运行的CAPWAP协议不具有控制和管理AP的功能,因而只需要建立具有DTLS(Datagram Transport Layer Security,数据报传输层安全协议)加密功能和KEEPALIVE机制(保活机制)的CAPWAP控制通道,无需建立CAPWAP数据通道。\n[0061] 可选的,如图3所示,当BRAS设备向所述AC发送第三CAPWAP消息后,该方法还包括:\n[0062] 107、所述BRAS设备接收所述AC发送的第四CAPWAP消息,以确认所述AC已经收到所述第三CAPWAP消息,其中,第四CAPWAP消息携带有所述WLAN站点的MAC地址。\n[0063] 例如,该第四CAPWAP消息可以是扩展CAPWAP协议报文得到的新消息,该消息携带有WLAN站点的MAC地址。如果本步骤中所述BRAS设备在指定时间内没有接收到上述第四CAPWAP消息,例如,所述BRAS设备在发送第三CAPWAP消息后的10分钟内没有接收到上述第四CAPWAP消息,则所述BRAS设备会重新发送第三CAPWAP消息给所述AC。如果重新发送了预设次数的所述第三CAPWAP消息给所述AC,例如,所述BRAS设备重新发送了三次所述第三CAPWAP消息给所述AC,仍然没有收到第四CAPWAP消息,所述BRAS设备会从站点信息表中删除所述WLAN站点的信息,并检测所述BRAS设备与AC之间的CAPWAP控制通道是否处于连接状态,例如可以根据KEEPALIVE消息检测出CAPWAP控制通道处于连接状态还是处于断开状态。在确认所述CAPWAP控制通道处于连接状态时,向所述AC发送第七CAPWAP消息,以通知AC该WLAN站点信息已被删除,示例性的,所述第七CAPWAP消息可以是扩展CAPWAP协议报文得到的新消息,携带有所述WLAN站点MAC地址。所述AC收到第七CAPWAP消息后,根据该WLAN站点的MAC地址从本地存储的站点信息表获得与该WLAN站点关联的AP的IP地址,通知所述AP与该WLAN站点解除关联,并将该WLAN站点从本地存储的站点信息表中删除。\n[0064] 可选的,AC也可以检测到所述CAPWAP控制通道当前所处的状态。实际应用过程中,如果BRAS设备在确认所述CAPWAP控制通道处于断开状态时,此时BRAS设备无法向所述AC发送第七CAPWAP消息。而是由AC在确认所述CAPWAP控制通道处于断开状态后,从本地存储的站点信息表获得与该BRAS设备对应的所有WLAN站点及该WLAN站点关联的AP的IP地址,通知所述所有WLAN站点各自的AP分别与其关联的WLAN站点解除关联,并将所述所有WLAN站点从本地存储的站点信息表中删除。\n[0065] 在所述AC接收到的第三CAPWAP消息后,所述AC可以从第三CAPWAP消息获得所述WLAN站点的主密钥,并与所述WLAN站点进行四次握手协商获得该WLAN站点的临时密钥PTK。然后,所述AC将临时密钥PTK通知上述AP,所述WLAN站点和AP均采用临时密钥PTK加解密无线数据。\n[0066] 为了更详细地说明本发明实施例提供的无线局域网中密钥的发送方法,下面具体介绍一下所述AC在接收到第三CAPWAP消息后,获得所述WLAN站点的主密钥并触发“四次握手”与所述WLAN站点协商出临时密钥PTK的过程,如图4所示,包括:\n[0067] 201、 所 述 AC 向 WLAN 站 点 发 送 第 一 EAPoL-KEY 报 文 (KEY of ExtensibleAuthentication Protocol over Local Area Network,局域网的可扩展鉴定协议的KEY报文),该第一EAPoL-KEY报文携带有所述AC的MAC地址和第一AC_NONCE(Access Control NONCE,AC设备的NONCE随机值)。\n[0068] 202、所述WLAN站点收到第一EAPoL-KEY报文后,利用所述AC的MAC地址和第一AC_NONCE、所述WLAN站点的MAC地址和STA_NONCE(STATION NONCE,站点的NONCE随机值),以及本地存储的主密钥PMK,计算第一临时密钥PTK。\n[0069] 例如,计算出的第一临时密钥PTK可以为64字节,可选的,可以将第一临时密钥PTK中的特定16字节作为第一消息完整码,另外的特定16字节作为该WLAN站点和AP的无线数据加密密钥。\n[0070] 203、所述WLAN站点向AC返回第二EAPoL-KEY报文,该报文携带有所述WLAN站点的MAC地址、STA_NONCE和第一消息完整码。\n[0071] 204、所述AC收到该第二EAPoL-KEY报文,利用报文中WLAN站点的MAC地址和STA_NONCE,并利用所述AC的MAC地址和第一AC_NONCE、以及从所述第三CAPWAP消息中获取的WLAN站点的主密钥PMK,计算第二临时密钥PTK。\n[0072] 与第一临时密钥PTK相类似的,第二临时密钥PTK也可以是64字节。可选的,上述AC设备也可以从第二临时密钥PTK中取出特定16字节作为第二消息完整码,将第二消息完整码与上述第一消息完整码比较,如果两者一致,则所述AC核实所述WLAN站点确实知道主密钥PMK。\n[0073] 205、所述AC重新生成第二AC_NONCE,并利用所述AC的MAC地址和新生成的第二AC_NONCE、所述WLAN站点的MAC地址和STA_NONCE,以及所述WLAN站点的主密钥PMK,计算第三临时密钥PTK。类似的,第三临时密钥PTK也可以是64字节,可选的,也可以从第三临时密钥PTK中取出特定16字节作为第三消息完整码,另外的特定16字节的准备安装和使用数据加密密钥。\n[0074] 206、所述AC设备向WLAN站点返回第三EAPoL-KEY报文,该报文携带AC的MAC地址和新生成的第二AC_NONCE、新生成的第三消息完整码、准备安装和使用数据加密密钥。\n[0075] 207、所述WLAN站点收到该第三EAPoL-KEY报文,同样校验报文的消息完整码,核实AC已经知道主密钥PMK后,所述WLAN站点返回第四EAPoL-KEY报文,通知AC已经核实主密钥、准备安装和使用数据加密密钥,握手过程结束。\n[0076] 当“四次握手”协商成功后,AC采用CAPWAP协议报文向AP下发临时密钥PTK,CAPWAP协议报文采用DTLS加密传输。\n[0077] 可选的,在本发明实施例提供的无线局域网中密钥的发送方法的执行过程中,还可能出现如下应用情形:\n[0078] 情形一:\n[0079] 所述BRAS设备在101中将WLAN站点信息存储在站点信息表之后,还可以为保存在所述站点信息表中的每一个站点信息设置生命周期,如果WLAN站点信息的生命周期到期,所述BRAS设备会从站点信息表中取出与所述WLAN站点关联的AC的IP地址,通过CAPWAP控制通道向上述AC发送第五CAPWAP消息,以通知AC该WLAN站点的生命周期已到,示例性的,该第五CAPWAP消息可以是扩展CAPWAP协议报文得到的新消息,携带有所述WLAN站点的MAC地址。\n[0080] 所述AC接收到该第五CAPWAP消息后,经过检查如果得知WLAN站点仍然在线时,向所述BRAS设备重新发送第一CAPWAP消息,以通知所述AC该WLAN站点在线。否则,所述AC不发送任何消息,所述BRAS设备会将该WLAN站点信息从所述站点信息表中进行删除。\n[0081] 情形二:\n[0082] 在WLAN站点和AP解除关联后,所述AC会主动向BRAS设备发送第六CAPWAP消息,以通知BRAS设备该WLAN站点和AP已经解除关联,示例性的,该第六CAPWAP消息可以是扩展CAPWAP协议报文得到的新消息,携带有WLAN站点的MAC地址。此时,本发明实施例中的所述BRAS设备会根据所述第六CAPWAP消息,从所述站点信息表中删除所述WLAN站点信息,并使得该WLAN站点下线,无法访问互联网。\n[0083] 情形三:\n[0084] 在所述WLAN站点主动下线后,本发明实施例的上述BRAS设备从所述站点信息表中主动删除所述WLAN站点信息,并向与所述WLAN站点关联的AC发送第七CAPWAP消息,以通知AC该WLAN站点信息已被删除,示例性的,所述第七CAPWAP消息可以是扩展CAPWAP协议报文得到的新消息,携带有所述WLAN站点MAC地址。所述AC收到此消息后,根据该WLAN站点的MAC地址从本地存储的站点信息表获得与该WLAN站点关联的AP的IP地址,通知所述AP与该WLAN站点解除关联,并将该WLAN站点从本地存储的站点信息表中删除。\n[0085] 情形四:\n[0086] 如果所述AC与WLAN站点“四次握手”协商临时密钥PTK失败时,上述AC会主动向BRAS设备发送第六CAPWAP消息,以通知BRAS设备AC与WLAN站点临时密钥协商失败,此时,BRAS设备根据所述第六CAPWAP消息从所述站点信息表中删除所述WLAN站点信息,并使得该站点下线,无法访问互联网。\n[0087] 优选的,在上述第四CAPWAP消息/第五CAPWAP消息/第六CAPWAP消息/第七CAPWAP消息中还可以携带所述WLAN站点的虚拟局域网标识VLAN ID。\n[0088] 本发明的实施例提供一种无线局域网中密钥的发送装置,如图5所示,包括:\n[0089] 第一接收单元11用于接收接入控制器AC发送的第一无线接入点的控制和配置CAPWAP消息,所述第一CAPWAP消息中携带接入点AP的英特网协议IP地址、所述AC的IP地址、无线局域网WLAN站点的媒体接入控制MAC地址;\n[0090] 处理单元12用于从所述第一CAPWAP消息中获取所述AP的I P地址、所述AC的IP地址、所述WLAN站点的MAC地址,并保存到站点信息表中;\n[0091] 第一发送单元13用于向所述AC发送第二CAPWAP消息,以触发所述AC向所述WLAN站点发送关联成功信息,所述第二CAPWAP消息携带所述WLAN站点的MAC地址;\n[0092] 第二接收单元14,用于接收从所述AC转发来的所述WLAN站点的认证请求报文,向认证、授权、计费AAA服务器发起认证;\n[0093] 查找单元15,用于当接收到所述AAA服务器下发的所述WLAN站点的主密钥时,在所述站点信息表中查找与所述WLAN站点关联的AC的I P地址;\n[0094] 第二发送单元16,用于向所述AC发送第三CAPWAP消息,以指示所述AC与所述WLAN站点进行四次握手协商临时密钥,所述第三CAPWAP消息携带所述WLAN站点的主密钥、四次握手触发比特位、所述WLAN站点的MAC地址。\n[0095] 可选的,如图6所示,该装置还可以包括:链路建立单元17,用于接收所述AC发送的CAPWAP链路请求,并与所述AC之间建立CAPWAP控制通道。\n[0096] 可选的,如图7所示,当所述第二发送单元16向所述AC发送第三CAPWAP消息后,所述装置还可以包括:\n[0097] 第三接收单元18,用于接收所述AC发送的携带有所述WLAN站点的MAC地址的第四CAPWAP消息,以确认所述AC已经收到所述第三CAPWAP消息。\n[0098] 可选的,在可以为所述站点信息表中保存的每一个站点信息设定生命周期。如图\n8所示,该装置还包括:\n[0099] 第三发送单元19,用于当如果所述WLAN站点信息的生命周期到期时,向与所述指点站点关联的AC发送携带有所述WLAN站点的MAC地址的第五CAPWAP消息,以通知所述AC所述WLAN站点的生命周期已到。\n[0100] 可选的,如图9所示,该装置还可以包括:第四接收单元20和删除单元21。\n[0101] 其中,在WLAN站点和AP解除关联后,或者当所述AC与WLAN站点“四次握手”协商临时密钥PTK失败时,所述第四接收单元20用于接收所述AC发送的携带有所述WLAN站点的MAC地址的第六CAPWAP消息,所述删除单元21用于根据所述第六CAPWAP消息从所述站点信息表中删除所述WLAN站点信息。\n[0102] 进一步地,如果所述WLAN站点主动下线时,也会触发所述删除单元21从所述站点信息表中删除所述WLAN站点信息;如图10所示,该装置还包括:第四发送单元22。\n[0103] 所述第四发送单元22用于向与所述WLAN站点关联的AC发送第七CAPWAP消息,以通知所述AC所述WLAN站点信息已被删除,所述第七CAPWAP消息携带有所述WLAN站点MAC地址。\n[0104] 具体地,所述无线局域网中密钥的发送装置可以为BRAS设备,所述WLAN站点可以为移动终端。\n[0105] 可选的,在上述第一CAPWAP消息/第二CAPWAP消息/第三CAPWAP消息/第四CAPWAP消息/第五CAPWAP消息/第六CAPWAP消息/第七CAPWAP消息中还可以携带所述WLAN站点的虚拟局域网标识VLAN ID,此时,在上述获取单元11也会保存所述第一CAPWAP消息中携带的所述WLAN站点的VLAN ID。\n[0106] 与现有技术相比,在BRAS设备与AC分离的场景中,本发明实施例中,BRAS设备可以向AC发送所述WLAN站点的主密钥,触发该AC与所述WLAN站点进行协商临时密钥。从而可以保证WLAN网络中的站点在认证通过后,仍然可以采用WAP2标准实现与AP之间的无线链路数据加密,充分保证WLAN网络的安全性和可靠性。\n[0107] 以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
法律信息
- 2014-10-08
- 2012-06-13
实质审查的生效
IPC(主分类): H04W 12/00
专利申请号: 201010286269.2
申请日: 2010.09.19
- 2012-04-04
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| |
2006-11-08
|
2005-08-12
| | |
2
| |
2010-02-17
|
2009-09-15
| | |
3
| |
2009-11-11
|
2008-08-25
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 该专利没有被任何外部专利所引用! |