專利名稱:Capwap架構(gòu)的接入控制器及其密鑰管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線局域網(wǎng)WLAN技術(shù)����,特別涉及基于CAPWAP架構(gòu)以及IEEE 802. 11協(xié)議族的WLAN技術(shù)����。
背景技術(shù):
無線局域網(wǎng)(WLAN)技術(shù)已經(jīng)廣泛地部署在個人家庭��、企業(yè)以及公共熱點(diǎn)中��。特別是在近年來��,隨著WLAN技術(shù)的成熟��,它已經(jīng)成為了運(yùn)行商接入網(wǎng)中的重要部分���。例如�����,在3G牌照頒發(fā)后,中國的三大運(yùn)營商已經(jīng)建立并繼續(xù)擴(kuò)建所謂的“運(yùn)營商級別的WLAN”�����,這一“運(yùn)營商級別的WLAN”與中國的WiFi無線城市的趨勢相一致��。從技術(shù)的角度看,運(yùn)營商級別的 WLAN 通?��;谟?IETF CAPffAP (Control and provisioning of wireless access points,無線接入點(diǎn)控制與規(guī)定)所定義的集中式架構(gòu),并且作為大范圍的WLAN���、與典型的WLAN截然不同地運(yùn)作��。對于WLAN來說�����,IEEE 802. 11協(xié)議族定義了一系列的密鑰管理體系���。以例如IEEE802. Ilr來說,圖I示出了一個示例的拓?fù)浣Y(jié)構(gòu)�,圖2示出了其典型的密鑰管理體系。參照圖I與圖2�,首先,移動站MS從接入節(jié)點(diǎn)APl接入到該WLAN中���,APl具有IEEE 802. 11協(xié)議的PHY層和MAC功能�����,APl與AAA服務(wù)器(認(rèn)證服務(wù)器)交互��,認(rèn)證該移動站MS的合法性���,并且獲得AAA服務(wù)器提供的主會話密鑰MSK (和/或確定與該移動站MS對應(yīng)的預(yù)共享密鑰PSK)���。接著,AP I根據(jù)MSK與PSK��,與該移動站MS協(xié)商獲得作為第零級密鑰的主密鑰PMK-R0��,并可以被稱為第零級的密鑰持有者R0KH�����。接下來�,AP I與移動站MS可以通過四次握手協(xié)商獲得業(yè)務(wù)密鑰PTK,于是�����,在移動站MS與APl基于該業(yè)務(wù)密鑰PTK通過無線接口進(jìn)行通信����。仍參照圖I與圖2���,在移動站MS需要從APl切換到AP2�����,或者進(jìn)行后繼的從AP2到AP3的切換時�,作為第零級密鑰持有者的APl將接收到來自其他AP的、移動站MS的切換請求���,該APl將生成作為第一級密鑰的主密鑰PKM-Rla和PMK-Rlb���,并將這些主密鑰提供給作為切換目標(biāo)的AP2或AP3。AP2或AP3接收并存儲該些主密鑰��,它們可以被稱為第一級密鑰持有者(RlKHa與RlKHb)�����。之后���,AP2或AP3可以進(jìn)一步通過四次握手與移動站協(xié)商獲得業(yè)務(wù)密鑰PTKa或PTKb��。AP2與AP3作為PTK的密鑰持有者(PTK-KHa與PTK-KHb)存儲業(yè)務(wù)密鑰PTKa與PTKb����。并且,移動站MS與AP2或AP3基于該業(yè)務(wù)密鑰PTKa或PTKb通過無線接口進(jìn)行通信�����,切換過程順利完成���?��?梢姡琁EEE 802. 11協(xié)議族中的密鑰管理體系是基于每個AP的分布式的協(xié)作框架����,這與CAPWAP的集中式架構(gòu)不相兼容,如下面所分析的��。在CAPWAP中����,AP可以被分為兩類邏輯組件,其中之一是傳統(tǒng)的AP(本地MAC模式)���,它實(shí)現(xiàn)了 PHY層功能以及IEEE 802. 11協(xié)議族的全部的MAC層功能�����,也被稱為“胖AP (fat AP) ”�。另外一種是被稱為“瘦AP (thin AP) ”的無線端接節(jié)點(diǎn)(WTP)(劃分MAC模式)��,在無線端接節(jié)點(diǎn)中僅僅實(shí)現(xiàn)了 PHY層功能以及MAC協(xié)議中的下層部分�,而MAC層協(xié)議中的上層部分由管轄這些瘦AP的一個接入控制器(Access Controller,簡稱AC)所實(shí)現(xiàn)?����;谶@樣的功能劃分���,IEEE 802. 11中的認(rèn)證以及接入控制特性都在集中化的接入控制器中實(shí)現(xiàn)�,允許它將用戶端連接到任何無線端接節(jié)點(diǎn)而不需要EAP重新特征��。在CAPWAP中���,接入控制器作為認(rèn)證器工作�����,在初始化階段��,經(jīng)由一個無線端接節(jié)點(diǎn)接入的用戶站/移動站經(jīng)過接入控制器與AAA服務(wù)器進(jìn)行基于IEEE 802. 11的EAP對話����。完成后,AAA服務(wù)器將產(chǎn)生的主會話密鑰MSK提供給接入控制器�。接入控制器繼而通過該無線端接節(jié)點(diǎn)與該用戶站進(jìn)行四次握手,并確定業(yè)務(wù)密鑰�����。無線端接節(jié)點(diǎn)沒有業(yè)務(wù)加密/解密功能�����,該功能由接入控制器所提供�����。另一方面�,隨著WLAN變得越來越廣泛,它所支持的應(yīng)用的數(shù)量和類型也在逐漸增多��,其中包括對即時性要求高的業(yè)務(wù)�,例如VoIP及視頻通話等。這些即時性要求高的業(yè)務(wù)對在接入點(diǎn)(無線端接節(jié)點(diǎn))之間切換所引入的延遲十分敏感����。IEEE 802. Ilr協(xié)議實(shí)現(xiàn)了對IEEE 802. Ili協(xié)議的擴(kuò)展�����,以在MAC協(xié)議中直接地支持快速切換。在切換中�,IEEE802. Ilr協(xié)議優(yōu)化了復(fù)雜的切換密鑰的管理,并且減少了由認(rèn)證和安全切換所引入的切換 延遲�����。由于它具有支持安全快速切換的能力���,可以為VoIP和其他多媒體應(yīng)用提供良好的支持��,因此IEEE 802. Ilr對于企業(yè)級以及運(yùn)營商級別的WLAN來說具有很強(qiáng)的吸引力并且是十分必要的����。例如�,當(dāng)考慮到中國運(yùn)營商的大范圍WLAN的實(shí)現(xiàn)方案時,IEEE 802. Ilr以及CAPffAP集中式架構(gòu)的聯(lián)合應(yīng)用已經(jīng)是一個必然的實(shí)現(xiàn)需求��。事實(shí)上�����,IEEE 802. I Ir主要是為典型的WLAN (也被稱為簡單WLAN)而設(shè)計的,切換的安全密鑰切換依賴于具有完全功能的AP��,包括每個AP都需要具有密鑰管理和通信功能��。IEEE 802. Ilr的密鑰管理是一種分布式的體系����,它是基于點(diǎn)到點(diǎn)的AP的協(xié)作。它并不主要是為CAPWAP所定義的集中式控制架構(gòu)而設(shè)計的��。在CAPWAP架構(gòu)下�,安全切換中的密鑰管理應(yīng)該基于集中式的架構(gòu),特別是基于這種情況“瘦AP”中除PHY之外的大多數(shù)功能都被遷移到接入控制器AC中����。在大范圍運(yùn)營商級別的、集中式的WLAN中�����,大多數(shù)接入點(diǎn)都被實(shí)現(xiàn)為具有劃分MAC模式的“瘦AP”��,它不具有密鑰管理功能�,密鑰管理的相關(guān)功能都被提供在接入控制器AC中。因此����,在CAPWAP的集中式架構(gòu)與IEEE 802. Ilr的密鑰管理體系之間存在不一致的地方�。如何使得IEEE 802. Ilr的安全切換以及密鑰管理實(shí)現(xiàn)在包括“瘦AP”的CAPWAP集中式架構(gòu)下���,成為了一個挑戰(zhàn)���。應(yīng)該聯(lián)合地根據(jù)CAPWAP與IEEE 802. llr�,為移動性以及相關(guān)的問題考慮協(xié)作的機(jī)制。在IEEE 802. Ilr以及CAPWAP協(xié)作的環(huán)境下��,應(yīng)該重新設(shè)計密鑰管理體系�。
發(fā)明內(nèi)容
到目前,還沒有對于WLAN集中式架構(gòu)的�����、聯(lián)合應(yīng)用IEEE802. Ilr以及CAPWAP的解決方案以及相關(guān)工作�����。特別地���,并沒有關(guān)于在這一場景下的密鑰管理方法�����、管理體系以及安全的切換過程的解決方案��。本發(fā)明為在CAPWAP架構(gòu)下的集中式WLAN中實(shí)現(xiàn)IEEE802. Ilr設(shè)計了一種新的���、IEEE 802. Ilr集中式密鑰管理體系����。優(yōu)選地�����,該密鑰管理體系聯(lián)合地考慮在CAPWAP架構(gòu)下的IEEE 802. Ilr的快速切換以及安全性需求�。根據(jù)本發(fā)明的一個方面,提供了一種基于CAPWAP架構(gòu)的接入控制器�,該接入控制器管轄至少一個無線端接節(jié)點(diǎn),其特征在于�����,該接入控制器包括-至少一個密鑰管理模塊�,與所述至少一個無線端接節(jié)點(diǎn)一一對應(yīng),并用于管理從該無線端接節(jié)點(diǎn)接入的用戶站的����、基于IEEE 802. 11協(xié)議族的密鑰�����。根據(jù)該方面�,IEEE 802. Ilr可用性以及密鑰管理的安全魯棒性可以被同時實(shí)現(xiàn)在集中式的CAPWAP架構(gòu)中���。不僅如此�����,該方面與標(biāo)準(zhǔn)化的CAPWAP以及IEEE 802. Ilr設(shè)備(包括“瘦AP”、IEEE 802. Ilr WiFi終端以及AAA服務(wù)器)都保持兼容��,這使得該技術(shù)方案的實(shí)際部署具有良好的前景�����。根據(jù)一個優(yōu)選的實(shí)施方式����,該密鑰管理模塊管理對應(yīng)于該用戶站的主密鑰以及業(yè)務(wù)密鑰。根據(jù)另一個優(yōu)選的實(shí)施方式��,對于該接入控制器中的密鑰管理體系,當(dāng)該用戶站通過第一無線端接節(jié)點(diǎn)首次接入該接入控制器時����,與該第一無線端接節(jié)點(diǎn)對應(yīng)的第一密鑰管理模塊用于-與認(rèn)證服務(wù)器交互,獲取與該用戶站對應(yīng)的該主會話密鑰���,和/或確定與該用戶 站對應(yīng)的該預(yù)共享密鑰����;-基于所述主會話密鑰和/或所述預(yù)共享密鑰�����,生成與該用戶站對應(yīng)的第一主密鑰�����;-基于所述第一主密鑰����,產(chǎn)生與該用戶站對應(yīng)的第一業(yè)務(wù)密鑰。該實(shí)施方式為密鑰管理體系�����,提供了基于本發(fā)明所提出的架構(gòu)的、確定主密鑰以及業(yè)務(wù)密鑰的技術(shù)方案�。根據(jù)一個進(jìn)一步的實(shí)施方式,對于該接入控制器中的密鑰管理體系����,-所述第一密鑰管理模塊還用于,基于所述第一主密鑰�,生成第二主密鑰,并將該第二主密鑰提供給其他無線端接節(jié)點(diǎn)所對應(yīng)的第二密鑰管理模塊�����,其中�����,該第二主密鑰與所述第一主密鑰不同�����;-該第二密鑰管理模塊用于�,存儲所述第二主密鑰�,并基于所述第二主密鑰,產(chǎn)生與該用戶站對應(yīng)的第二業(yè)務(wù)密鑰。該實(shí)施方式為密鑰管理體系�����,提供了基于本發(fā)明所提出的架構(gòu)的���、處理第零級和第一級主密鑰的技術(shù)方案�����,使得各級主密鑰不同��,對單個主密鑰泄露具有一定的魯棒性��,提高了通信的安全性��。根據(jù)一個更進(jìn)一步優(yōu)選的實(shí)施方式�����,當(dāng)該用戶站切換到該第二無線端接節(jié)點(diǎn)時���,該接入控制器進(jìn)行如下操作-接收來自該用戶站的切換到第二無線端接節(jié)點(diǎn)的請求;-從該請求確定與該第二無線端接節(jié)點(diǎn)對應(yīng)的第二密鑰管理模塊��;-基于該密鑰管理體系,控制所述第一密鑰管理與該第二密鑰管理模塊交互該第二主密鑰���,并在第二密鑰管理模塊中產(chǎn)生該第二業(yè)務(wù)密鑰����,完成切換過程��。該實(shí)施方式提供了在切換時的密鑰交換過程�����,保證了安全以及快速的切換��。根據(jù)一個優(yōu)選的實(shí)施方式�����,在為各無線端接節(jié)點(diǎn)進(jìn)行的初始化配置階段��,所述接入控制器為該無線端接節(jié)點(diǎn)確定其對應(yīng)的密鑰管理模塊��,所述密鑰管理模塊由以下至少任一方式形成-軟件方式�����;-硬件方式�;-固件方式。
本實(shí)施方式給出了實(shí)現(xiàn)密鑰管理模塊的幾種更加具體的方法��,其中軟件方式比較靈活��,可以根據(jù)無線端接節(jié)點(diǎn)的數(shù)量實(shí)時地建立或撤銷密鑰管理模塊��;硬件方式實(shí)現(xiàn)的密鑰管理模塊具有穩(wěn)定的性能����。相應(yīng)地,根據(jù)本發(fā)明的一個方面的方法���,提供了一種在基于CAPWAP架構(gòu)的接入控制器(AC)中進(jìn)行密鑰管理的方法����,該接入控制器管轄至少一個無線端接節(jié)點(diǎn)(AP)���,其特征在于�,該方法包括-為所述至少一個無線端接節(jié)點(diǎn)���,一一對應(yīng)地設(shè)置至少一個密鑰管理模塊(VAS)��,該密鑰管理模塊用于管理從該無線端接節(jié)點(diǎn)接入的用戶站(MS)的����、基于IEEE 802. 11協(xié)議族的密鑰。
通過閱讀參照以下附圖所作的對非限制性實(shí)施例所作的詳細(xì)描述����,本發(fā)明的其它特征、目的和優(yōu)點(diǎn)將會變得更加明顯 圖I示出了 IEEE 802. Ilr的一個示例的拓?fù)浣Y(jié)構(gòu)�����;圖2示出了 IEEE 802. Ilr的典型的密鑰管理體系����;圖3示出了根據(jù)本發(fā)明的一個方面,接入控制器AC的內(nèi)部框圖���;圖4示出了根據(jù)本發(fā)明的一個方面��,實(shí)現(xiàn)在接入控制器AC中的IEEE 802. Ilr的密鑰管理體系�����;圖5示出了根據(jù)本發(fā)明的一個方面�����,移動臺MS從APl切換到AP2時的信令流程圖���。貫穿不同的示圖,相同或類似的附圖標(biāo)記表示對應(yīng)的特征�����。
具體實(shí)施例方式以下參照附圖對本發(fā)明的技術(shù)方案進(jìn)行詳細(xì)描述�。在本發(fā)明的實(shí)施方式中,接入控制器AC的功能可以被設(shè)計為具有為連接到該AC的所有WTP/AP (特別是瘦AP)的匯聚式的密鑰管理機(jī)制�����。本發(fā)明提出了虛擬AP安全分片(VAS)作為密鑰管理模塊來解決這一問題���。具體的�����,在每個AP的初始化配置階段���,接入控制器AC可以分別為每個AP分別確定一個VAS����。進(jìn)一步地���,該VAS可以由以下任一方式或者任多個方式的組合形成-軟件方式�;-硬件方式��;-固件方式����。該接入控制器AC在內(nèi)部維護(hù)了這些VAS。如圖3所示����,其中VASl至VAS5分別與APl至AP5——對應(yīng),它用于管理從該無線端接節(jié)點(diǎn)接入的移動站(MS)的��、基于IEEE802. Ilr的密鑰�。可以理解�����,該圖只是一個示例,在AC管轄了任何數(shù)量個AP的情況下����,AC為這任何數(shù)量個AP——設(shè)置對應(yīng)的VAS。當(dāng)該用戶站/移動站MS通過第一無線端接節(jié)點(diǎn)/接入點(diǎn)APl首次接入該接入控制器時AC�,如圖5中第I步所示���,該移動站MS與AAA服務(wù)器之間進(jìn)行EAP認(rèn)證����。之后�,如圖5中的第2步以及圖4所示,AAA服務(wù)器進(jìn)行密鑰分發(fā)��,將主會話密鑰MSK(MasterSession Key)告知VAS1����。并且/或者,VASl還獲得與該移動站對應(yīng)的該預(yù)共享密鑰PSK (Pre-Shared Key)�。此后,根據(jù)該MSK和/或PSK��,VASl獲取與該移動站MS對應(yīng)的配對主密鑰PMK (Pairwise Master Key)��,例如使用MSK的前一半來產(chǎn)生主密鑰PMK�����。由于該主密鑰PMK是第零級的,因此也可被稱為PMK-RO (Root O)����,該VASl也被稱為第零級的密鑰持有者(即權(quán)利要求書中所稱的第一密鑰管理模塊)。之后�,如圖5中的第3步所示,VASl可以經(jīng)由AP1�,與該移動站進(jìn)行四次握手,以產(chǎn)生業(yè)務(wù)密鑰PTK���。此后��,密鑰管理工作完成��,移動站MS經(jīng)過APl與接入控制器基于業(yè)務(wù)密鑰PTK進(jìn)行通信�����。當(dāng)例如切換等情況發(fā)生����,移動站需要通過其他接入點(diǎn),例如AP2接入的情況下��,需要進(jìn)行密鑰管理工作���,向與其他接入點(diǎn)對應(yīng)的VAS提供密鑰���。根據(jù)本發(fā)明,該移動站MS最初接入的接入點(diǎn)APl對應(yīng)的VASl將作為第零級的密鑰持有者向后繼的密鑰持有者提供密鑰�。 具體的���,如圖5中的第4步所示���,移動站MS向接入控制器AC發(fā)送從APl切換到AP2的請求。在接收到該請求后�,接入控制器AC從該請求確定與AP2對應(yīng)的VAS2,并通知第零級的密鑰持有者VAS1.如圖5中的第5步所示���,該第零級的密鑰持有者VASl生成用于AP2的第一級的主密鑰PMK-Rldf^n PMK-Rla�����。該第一級主密鑰PMK-Rla優(yōu)選地與第零級主密鑰PMK-RO不同��,例如是使用MSK的后一半所生成的���。這樣提高了安全性�,避免了現(xiàn)有的在接入控制器AC的管轄范圍內(nèi)使用同一個PMK時�,PMK泄露可能導(dǎo)致的安全性問題。VASl將第一級的主密鑰PMK-Rla提供給VAS2���,VAS2存儲了該P(yáng)MK-Rla�����,因此VAS2也被稱為第一級的密鑰持有者(RlKHa)(即權(quán)利要求書中所稱的第二密鑰管理模塊)�。之后�,如圖5中的第6步所示,VAS2可以通過四次握手�����,與移動站MS確定用于業(yè)務(wù)加密的業(yè)務(wù)密鑰PTKa��。此后����,VAS2存儲該業(yè)務(wù)密鑰PTKa����,因此���,VAS2也被稱為PTK密鑰持有者(PTK-KHa)�����。此后���,密鑰管理工作完成。在切換完成后�,移動站MS經(jīng)過AP2與接入控制器基于業(yè)務(wù)密鑰PTKa進(jìn)行通信�����。類似地�����,此后移動站MS又切換到另一個接入點(diǎn)AP3所轄��。第零級密鑰持有者R0KH����,即VASl又生成用于AP3的第一級的主密鑰PMK-R1���,例如PMK-Rlb,并提供給與接入點(diǎn)AP3對應(yīng)的VAS3�����,VAS3存儲了該P(yáng)MK-Rlb���,因此VAS3也被稱為第一級的密鑰持有者(RlKHb)(即權(quán)利要求書中所稱的第二密鑰管理模塊)�����。特別的����,該P(yáng)MK-Rlb與PMK以及PMK-Rla不同����。之后,VAS3可以通過四次握手����,與移動站MS確定用于業(yè)務(wù)加密的業(yè)務(wù)密鑰PTKb�����。此后��,VAS3存儲該業(yè)務(wù)密鑰PTKb����,因此VAS2也被稱為PTK密鑰持有者(PTK-KHb)����。特別的,該P(yáng)TKb與PTKa以及PTK都不同�。這樣,針對MS接入不同AP而產(chǎn)生不同的PMK和PTK��,而不是通過AC共享相同的PMK和PTK�,維護(hù)了 WLAN密鑰系統(tǒng)的魯棒性和安全性��。否則�,相同的單一 PMK和PTK—旦失效,整個WLAN系統(tǒng)的安全性就會受到威脅���。此后�,密鑰管理工作完成。在切換完成后�����,移動站MS經(jīng)過AP3與接入控制器基于業(yè)務(wù)密鑰PTKb進(jìn)行通信��。以上的過程移動站MS從APl切換至AP2���,再從AP2切換至AP3的場景僅僅是一個示例�����?���?梢岳斫?�,移動站MS可以直接從APl切換至AP3或者其他AP���,那么VASl將為對應(yīng)的VAS提供PMK���,而跳過上面描述的VAS2的操作?����?梢钥闯觯捎诿荑€的管理都在接入控制器AC內(nèi)部進(jìn)行��,并且為該移動站MS的在不同接入點(diǎn)AP處的接入都分配了不同的PMK����,進(jìn)而產(chǎn)生不同的PTK,保證了 PMK和PTK的多樣性�,提高了通信安全。需要說明的是����,上述實(shí)施例僅是示范性的,而非對本發(fā)明的限制���。任何不背離本發(fā)明精神的技術(shù)方案均應(yīng)落入本發(fā)明的保護(hù)范圍之內(nèi)�����,這包括使用在不 同實(shí)施例中出現(xiàn)的不同技術(shù)特征���,調(diào)度方法可以進(jìn)行組合���,以取得有益效果��。此外�,不應(yīng)將權(quán)利要求中的任何附圖標(biāo)記視為限制所涉及的權(quán)利要求;“包括”一詞不排除其它權(quán)利要求或說明書中未列出的裝置或步驟�����;裝置前的“一個”不排除多個這樣的裝置的存在�����。
權(quán)利要求
1.一種基于CAPWAP架構(gòu)的接入控制器(AC)��,該接入控制器管轄至少一個無線端接節(jié)點(diǎn)(AP1�����、AP2�����、AP3...)�����,其特征在于,該接入控制器包括 -至少一個密鑰管理模塊(VAS1���、VAS2���、VAS3. 與所述至少一個無線端接節(jié)點(diǎn)一一對應(yīng),并用于管理從該無線端接節(jié)點(diǎn)接入的用戶站(MS)的�����、基于IEEE 802. 11協(xié)議族的密鑰��。
2.根據(jù)權(quán)利要求I所述的接入控制器�,其特征在于,該密鑰管理模塊管理對應(yīng)于該用戶站(MS)的主密鑰(PMK)以及業(yè)務(wù)密鑰(PTK)�。
3.根據(jù)權(quán)利要求2所述的接入控制器,其特征在于�����,對于該接入控制器中的密鑰管理體系���,當(dāng)該用戶站(MS)通過第一無線端接節(jié)點(diǎn)(API)首次接入該接入控制器時���,與該第一無線端接節(jié)點(diǎn)對應(yīng)的第一密鑰管理模塊(VASl)用于 -與認(rèn)證(AAA)服務(wù)器交互,獲取與該用戶站對應(yīng)的該主會話密鑰(MSK)����,和/或確定與該用戶站對應(yīng)的該預(yù)共享密鑰(PSK); -基于所述主會話密鑰和/或所述預(yù)共享密鑰���,生成與該用戶站對應(yīng)的第一主密鑰(PMK-RO)��; -基于所述第一主密鑰���,產(chǎn)生與該用戶站對應(yīng)的第一業(yè)務(wù)密鑰(PTK)。
4.根據(jù)權(quán)利要求3所述的接入控制器��,其特征在于�,對于該接入控制器中的密鑰管理體系, -所述第一密鑰管理模塊還用于�,基于所述第一主密鑰(PMK-RO),生成第二主密鑰(PMK-Rla����、PMK-Rlb),并將該第二主密鑰提供給其他無線端接節(jié)點(diǎn)(AP2��、AP3)所對應(yīng)的第二密鑰管理模塊(VAS2、VAS3)���,其中����,該第二主密鑰與所述第一主密鑰不同�,并且,提供給各第二密鑰管理模塊(VAS2�����、VAS3)的第二主密鑰(PMK-Rla�、ΡΜΚ-Rlb)各不相同; -該第二密鑰管理模塊用于�����,存儲所述第二主密鑰����,并基于所述第二主密鑰,產(chǎn)生與該用戶站對應(yīng)的第二業(yè)務(wù)密鑰(PTKa��、PTKb)�����,其中,各第二密鑰管理模塊(VAS2����、VAS3)產(chǎn)生的與該用戶站對應(yīng)的第二業(yè)務(wù)密鑰(PTKa�、PTKb)各不相同。
5.根據(jù)權(quán)利要求4所述的接入控制器�����,其特征在于�,當(dāng)該用戶站(MS)切換到該第二無線端接節(jié)點(diǎn)(AP2、AP3)時��,該接入控制器進(jìn)行如下操作 -接收來自該用戶站的切換到第二無線端接節(jié)點(diǎn)的請求����; -從該請求確定與該第二無線端接節(jié)點(diǎn)對應(yīng)的第二密鑰管理模塊(VAS2、VAS3)��; -基于該密鑰管理體系���,控制所述第一密鑰管理與該第二密鑰管理模塊交互該第二主密鑰(PMK-Rla��、ΡΜΚ-Rlb)�,并在第二密鑰管理模塊中產(chǎn)生該第二業(yè)務(wù)密鑰(PTKa、PTKb)�����,完成切換過程�。
6.根據(jù)權(quán)利要求I所述的接入控制器,其特征在于���,在為各無線端接節(jié)點(diǎn)(AP1��、AP2��、AP3...)進(jìn)行的初始化配置階段�����,所述接入控制器為該無線端接節(jié)點(diǎn)確定其對應(yīng)的密鑰管理模塊(VAS1�����、VAS2�、VAS3. 所述密鑰管理模塊由以下至少任一方式形成 -軟件方式����; -硬件方式���; -固件方式。
7.一種在基于CAPWAP架構(gòu)的接入控制器(AC)中進(jìn)行密鑰管理的方法�,該接入控制器管轄至少一個無線端接節(jié)點(diǎn)(API、AP2����、AP3...)�����,其特征在于�,該方法包括-為所述至少一個無線端接節(jié)點(diǎn),一一對應(yīng)地設(shè)置至少一個密鑰管理模塊(VAS1�、VAS2、VAS3...)�,該密鑰管理模塊用于管理從該無線端接節(jié)點(diǎn)接入的用戶站(MS)的、基于IEEE 802. 11協(xié)議族的密鑰�。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于�����,該密鑰管理模塊管理對應(yīng)于用戶站(MS)的主密鑰(PMK)以及業(yè)務(wù)密鑰(PTK)。
9.根據(jù)權(quán)利要求8所述的方法����,其特征在于,對于該接入控制器中的密鑰管理體系���,當(dāng)該用戶站(MS)通過第一無線端接節(jié)點(diǎn)(API)首次接入該接入控制器時�����,該方法由與該第一無線端接節(jié)點(diǎn)對應(yīng)的第一密鑰管理模塊(VASl)進(jìn)行如下步驟 -與認(rèn)證(AAA)服務(wù)器交互����,獲取與該用戶站對應(yīng)的主會話密鑰(MSK)�����,和/或確定與該用戶站對應(yīng)的預(yù)共享密鑰(PSK)��; -基于所述主會話密鑰和/或所述預(yù)共享密鑰��,生成與該用戶站對應(yīng)的第一主密鑰(PMK-RO)�; -基于所述第一主密鑰,產(chǎn)生與該用戶站對應(yīng)的第一業(yè)務(wù)密鑰(PTK)�����。
10.根據(jù)權(quán)利要求9所述的方法,其特征在于��,對于該接入控制器中的密鑰管理體系�����,該方法還包括如下步驟 -由第一密鑰管理模塊基于所述第一主密鑰(PMK-RO)�,生成第二主密鑰(PMK-Rla、ΡΜΚ-Rlb)�����,并將該第二主密鑰提供給其他無線端接節(jié)點(diǎn)(AP2��、AP3)所對應(yīng)的第二密鑰管理模塊(VAS2�、VAS3)�����,其中����,該第二主密鑰與所述第一主密鑰不同��,并且����,提供給各第二密鑰管理模塊(VAS2��、VAS3)的第二主密鑰(PMK-Rla���、ΡΜΚ-Rlb)各不相同����; -由第二密鑰管理模塊存儲所述第二主密鑰�����,并基于所述第二主密鑰�����,產(chǎn)生與該用戶站對應(yīng)的第二業(yè)務(wù)密鑰(PTKa�����、PTKb),其中����,各第二密鑰管理模塊(VAS2、VAS3)產(chǎn)生的與該用戶站對應(yīng)的第二業(yè)務(wù)密鑰(PTKa�、PTKb)各不相同。
11.根據(jù)權(quán)利要求10所述的方法���,其特征在于���,當(dāng)該用戶站(MS)切換到第二無線端接節(jié)點(diǎn)(AP2、AP3)時��,該方法包括如下步驟 -接收來自該用戶站的切換到第二無線端接節(jié)點(diǎn)的請求�; -從該請求確定與該第二無線端接節(jié)點(diǎn)對應(yīng)的第二密鑰管理模塊(VAS2、VAS3)����; -基于該密鑰管理體系���,控制所述第一密鑰管理與該第二密鑰管理模塊交互第二主密鑰(PMK-Rla����、ΡΜΚ-Rlb),并在第二密鑰管理模塊中產(chǎn)生第二業(yè)務(wù)密鑰(PTKa�����、PTKb)�����,完成切換過程��。
12.根據(jù)權(quán)利要求7所述的方法��,其特征在于����,所述設(shè)置步驟包括 在為各無線端接節(jié)點(diǎn)(API、AP2��、AP3...)進(jìn)行的初始化配置階段�����,為該無線端接節(jié)點(diǎn)確定其對應(yīng)的密鑰管理模塊(VAS1�����、VAS2、VAS3...)���,所述密鑰管理模塊由以下至少任一方式形成 -軟件方式����; -硬件方式��; -固件方式��。
全文摘要
現(xiàn)有的集中式的CAPWAP架構(gòu)與分布式密鑰管理的IEEE802.11r協(xié)議無法同時地兼容實(shí)現(xiàn)��。本發(fā)明提出了一種CAPWAP架構(gòu)的接入控制器及其密鑰管理方法����,該接入控制器管轄至少一個無線端接節(jié)點(diǎn)(AP1-3),其特征在于���,該接入控制器包括至少一個密鑰管理模塊(VAS1-3)���,與所述至少一個無線端接節(jié)點(diǎn)一一對應(yīng),并用于管理從該無線端接節(jié)點(diǎn)接入的用戶站(MS)的�、基于IEEE802.11協(xié)議族的密鑰。IEEE 802.11r可用性以及密鑰管理的安全魯棒性可以被同時實(shí)現(xiàn)在集中式的CAPWAP架構(gòu)中���。本發(fā)明與標(biāo)準(zhǔn)化的CAPWAP以及IEEE 802.11r設(shè)備都保持兼容����,具有良好的前景�。
文檔編號H04W12/04GK102958051SQ20111024332
公開日2013年3月6日 申請日期2011年8月23日 優(yōu)先權(quán)日2011年8月23日
發(fā)明者鄭軍, 楊水根, 溫海波, 梁錚, 賓梵翔 申請人:上海貝爾股份有限公司