本发明涉及以分离MAC模式实现会聚式WAPI网络架构的方法,该方法包括以下步骤:1)构建由无线终端点实现WPI的分离MAC模式:将无线接入点的MAC功能和WAPI功能分离到无线终端点和访问控制器上;2)在由无线终端点实现WPI的分离MAC模式下,实现WAPI与会聚式WLAN网络体系架构的融合;2.1)站点与无线终端点以及访问控制器之间的关联连接过程;2.2)访问控制器与无线终端点之间WAI协议开始执行的通告过程;2.3)站点与访问控制器之间WAI协议的执行过程;2.4)访问控制器与无线终端点之间WAI协议执行结束的通告过程;2.5)无线终端点与站点之间利用WPI进行保密通信的过程。本发明不仅能够满足WLAN的大规模部署需求,而且能够保证会聚式体系架构下WLAN的安全性。
1.以分离MAC模式实现会聚式WAPI网络架构的方法,其特征在于:该方法包括以下步骤:
1)构建由无线终端点实现WPI的分离MAC模式:将无线接入点的MAC功能和WAPI功能分离到无线终端点和访问控制器上;
2)在由无线终端点实现WPI的分离MAC模式下,实现WAPI与会聚式WLAN网络体系架构的融合;
2.1)站点与无线终端点以及访问控制器之间的关联连接过程;
2.2)访问控制器与无线终端点之间WAI协议开始执行的通告过程;
2.3)站点与访问控制器之间WAI协议的执行过程;
2.4)访问控制器与无线终端点之间WAI协议执行结束的通告过程;
2.5)无线终端点与站点之间利用WPI进行保密通信的过程。
2.根据权利要求1所述的以分离MAC模式实现会聚式WAPI网络架构的方法,其特征在于:所述步骤2.1)的具体步骤如下:
2.1.1)站点被动侦听无线终端点的信标帧获得包括WAPI信息元素的无线终端点的参数;或者站点主动向无线终端点发送探询请求帧,无线终端点收到站点的探询请求帧后,向站点发送探询响应帧,站点收到无线终端点的探询响应帧即获得包括WAPI信息元素的无线终端点的参数;所述WAPI信息元素包括无线终端点支持的WAI鉴别及密钥管理套件和密码套件;
2.1.2)站点向访问控制器发送链路验证请求帧,请求与访问控制器之间的链路验证;
2.1.3)访问控制器根据站点的链路验证请求帧,向站点发送链路验证响应帧;
2.1.4)链路验证成功后,站点向访问控制器发送关联请求帧,请求与访问控制器进行关联,站点在关联请求帧中包含WAPI信息元素确定站点选择的WAI鉴别及密钥管理套件、密码套件;
2.1.5)访问控制器解析站点的关联请求帧,向站点发送关联响应帧。
3.根据权利要求1所述的以分离MAC模式实现会聚式WAPI网络架构的方法,其特征在于:所述步骤2.2)的具体步骤如下:
2.2.1)访问控制器向无线终端点发送WAI开始执行通告,告知无线终端点包括站点的MAC地址、WLAN ID号、鉴别开始标识信息,其中鉴别开始标识用于告知无线终端点关闭受控端口,仅转发来自相应站点的WAI协议数据;
2.2.2)无线终端点向访问控制器发送WAI开始执行通告响应消息。
4.根据权利要求1所述的以分离MAC模式实现会聚式WAPI网络架构的方法,其特征在于:所述步骤2.3)的具体步骤如下:
2.3.1)访问控制器与站点之间的WAI鉴别过程;
2.3.2)访问控制器与站点之间的WAI单播密钥协商过程;
2.3.3)访问控制器与站点之间的WAI组播密钥通告过程。
5.根据权利要求1所述的以分离MAC模式实现会聚式WAPI网络架构的方法,其特征在于:所述步骤2.4)的具体步骤如下:
2.4.1)访问控制器向无线终端点发送WAI结束执行通告,告知无线终端点包括站点的MAC地址、WLAN ID、密钥数据、密码套件以及鉴别结束标识信息,其中鉴别结束标识用于告知无线终端点打开受控端口,转发来自相应站点的所有数据,包括WAI协议数据和非WAI协议数据;
2.4.2)无线终端点向访问控制器发送WAI结束执行通告响应消息。
6.根据权利要求1所述的以分离MAC模式实现会聚式WAPI网络架构的方法,其特征在于:所述步骤2.5)的具体步骤如下:
7.根据权利要求1或2或3或4或5或6所述的以分离MAC模式实现会聚式WAPI网络架构的方法,其特征在于:所述步骤2.5)之后还包括步骤2.6)访问控制器与站点之间的单播密钥更新过程。
8.根据权利要求7所述的以分离MAC模式实现会聚式WAPI网络架构的方法,其特征在于:所述步骤2.6)的具体步骤如下:
2.6.1)当需要进行单播密钥更新时,访问控制器与站点之间执行WAI单播密钥协商过程;
2.6.2)当WAI单播密钥协商过程完成后,访问控制器向无线终端点发送单播密钥更新通告,通告站点的MAC地址、WLAN ID以及更新后的单播密钥数据和密码套件信息;
2.6.3)无线终端点向访问控制器发送单播密钥更新通告响应。
9.根据权利要求1或2或3或4或5或6所述的以分离MAC模式实现会聚式WAPI网络架构的方法,其特征在于:所述步骤2.5)之后还包括步骤2.7)访问控制器与站点之间的组播密钥更新过程。
10.根据权利要求9所述的以分离MAC模式实现会聚式WAPI网络架构的方法,其特征在于:所述步骤2.7)的具体步骤如下:
2.7.1)当访问控制器需要进行组播密钥更新时,首先向无线终端点发送组播密钥更新开始通告,消息中包括WLAN ID、组播密钥数据、数据分组序号;
2.7.2)无线终端点收到组播密钥更新开始通告后,向访问控制器发送组播密钥更新开始通告响应;
2.7.3)访问控制器与站点之间执行WAI组播密钥通告过程;
2.7.4)当WAI组播密钥通告过程完成后,访问控制器向无线终端点发送组播密钥更新结束通告消息,该消息包括组播密钥索引、组播密钥更新结束标识;
2.7.5)无线终端点对访问控制器的组播密钥更新结束通告进行响应,向访问控制器发送组播密钥更新结束通告响应。
以分离MAC模式实现会聚式WAPI网络架构的方法
技术领域
[0001] 本发明涉及以分离MAC模式实现会聚式WAPI网络架构的方法。
背景技术
[0002] 自治式体系架构的无线局域网WLAN(Wireless Local Area Networks)中无线接入点AP(Access Point)完全部署和端接GB15629.11功能,作为网络上一个单独的实体,进行独立管需理。目前基于无线局域网鉴别与保密基础设施WAPI(WLAN Authentication and Privacy Infrastructure)设计的WLAN均采用自治式体系架构,但随着WLAN部署规模的扩大,这种自治式架构的网络工作模式因其固有的缺陷已逐渐成为制约无线技术发展的障碍。
[0003] 首先,自治式架构的WLAN中,AP作为网际互联协议IP(Internet Protocol)可寻址设备,需要进行独立管理,包括监测、配置和控制等。在进行大规模网络部署时,大量的AP将产生巨大的管理开销,给网络造成沉重负担。尤其是网内AP的配置管理方式互不相同时,这种现象更为明显,势必阻碍无线技术的发展。
[0004] 其次,自治式架构的WLAN中,保证所有AP配置参数的一致性存在一定困难。因为AP的配置中除静态参数外,更多的是需要动态配置的参数。在大规模WLAN中,及时更新全网AP的动态配置的工作量非常繁重,甚至无法实现。
[0005] 第三,WLAN中,无线传输介质作为一种共享资源,为提高网络的性能,必须实时监测每一个AP并根据当前共享介质的使用情况对这些AP的配置进行动态更新,而手工配置与无线传输介质相关的AP参数将耗费大量的人力、物力。
[0006] 第四,自治式架构的WLAN中,安全接入网络和阻止非法AP的加入也较为困难。在通常情况下,AP的部署位置使得难以对其加以保护,一旦AP被窃将造成所加载安全信息的泄漏,对网络安全造成威胁。
[0007] 综上所述,自治式架构的WLAN中,尤其在大规模部署的情况下,对AP进行监测、配置和控制将给网络造成沉重的管理负担。而且,维护AP配置的一致性也十分困难。此外,无线传输介质的共享和动态特性要求网络中AP协作一致以争取最大的网络性能和最小的无线干扰,这对AP的配置管理提出了更高的要求。安全是设计无线网络需要考虑的重要因素之一,大规模的部署也将给WLAN的安全带来巨大挑战。由此可见,自治式体系架构WLAN的工作模式已无法适用大规模网络的部署需求,亟需设计基于WAPI的会聚式WLAN网络体系架构,即WAPI瘦AP架构。
发明内容
[0008] 本发明的目的在于克服上述自治式WLAN网络体系架构的缺陷,提供一种由无线终端点WTP(Wireless Terminal Point)实现无线局域网保密基础设施WPI(WLAN Privacy Infrastructure)的分离MAC模式的会聚式WAPI网络架构方法,通过将AP的媒体访问控制MAC(Medium Access Control)功能以及WAPI功能进行划分,实现对全网AP的集中控制和管理,以满足大规模WLAN的部署需求。
[0009] 本发明的技术解决方案是:本发明为以分离MAC模式实现会聚式WAPI网络架构的方法,其特殊之处在于:该方法包括以下步骤:
[0010] 1)构建由无线终端点实现WPI的分离MAC模式:将无线接入点的MAC功能和WAPI功能分离到无线终端点和访问控制器上;
[0011] 2)在由无线终端点实现WPI的分离MAC模式下,实现WAPI与会聚式WLAN网络体系架构的融合;
[0012] 2.1)站点与无线终端点以及访问控制器之间的关联连接过程;
[0013] 2.2)访问 控制器 与无线 终端 点之间 无线局 域网 鉴别基 础设 施WAI(WLANAuthentication Infrastructure)协议开始执行的通告过程;
[0014] 2.3)站点与访问控制器之间WAI协议的执行过程;
[0015] 2.4)访问控制器与无线终端点之间WAI协议执行结束的通告过程;
[0016] 2.5)无线终端点与站点之间利用WPI进行保密通信的过程。
[0017] 上述步骤2.1)的具体步骤如下:
[0018] 2.1.1)站点被动侦听无线终端点的信标帧获得包括WAPI信息元素的无线终端点的参数;或者站点主动向无线终端点发送探询请求帧,无线终端点收到站点的探询请求帧后,向站点发送探询响应帧,站点收到探询响应帧即获得包括WAPI信息元素的无线终端点的参数;所述WAPI信息元素包括无线终端点支持的WAI鉴别及密钥管理套件、密码套件;
[0019] 2.1.2)站点向访问控制器发送链路验证请求帧,请求与访问控制器之间的链路验证;
[0020] 2.1.3)访问控制器根据站点的链路验证请求帧,向站点发送链路验证响应帧;
[0021] 2.1.4)链路验证成功后,站点向访问控制器发送关联请求帧,请求与访问控制器进行关联,站点在关联请求帧中包含WAPI信息元素确定站点选择的WAI鉴别及密钥管理套件、密码套件;
[0022] 2.1.5)访问控制器解析站点的关联请求帧,向站点发送关联响应帧。
[0023] 上述步骤2.2)的具体步骤如下:
[0024] 2.2.1)访问控制器向无线终端点发送WAI开始执行通告,告知无线终端点包括站点的MAC地址、WLAN ID号、鉴别开始标识等信息,其中鉴别开始标识用于告知无线终端点关闭受控端口,仅转发来自相应站点的WAI协议数据;
[0025] 2.2.2)无线终端点向访问控制器发送WAI开始执行通告响应消息。
[0026] 上述步骤2.3)的具体步骤如下:
[0027] 2.3.1)访问控制器与站点之间的WAI鉴别过程;
[0028] 2.3.2)访问控制器与站点之间的WAI单播密钥协商过程;
[0029] 2.3.3)访问控制器与站点之间的WAI组播密钥通告过程。
[0030] 上述步骤2.4)的具体步骤如下:
[0031] 2.4.1)访问控制器向无线终端点发送WAI结束执行通告,告知无线终端点包括站点的MAC地址、WLAN ID、密钥数据、密码套件以及鉴别结束标识信息,其中鉴别结束标识用于告知无线终端点打开受控端口,转发来自相应站点的所有数据,包括WAI协议数据和非WAI协议数据;
[0032] 2.4.2)无线终端点向访问控制器发送WAI结束执行通告响应消息。
[0033] 上述步骤2.5)的具体步骤如下:
[0034] 2.5.1)无线终端点加密并发送去往站点的数据;
[0035] 2.5.2)无线终端点解密并转发来自站点的数据。
[0036] 上述步骤2.5)之后还包括步骤2.6)访问控制器与站点之间的单播密钥更新过程。
[0037] 上述步骤2.6)的具体步骤如下:
[0038] 2.6.1)当需要进行单播密钥更新时,访问控制器与站点之间执行WAI单播密钥协商过程;
[0039] 2.6.2)当WAI单播密钥协商过程完成后,访问控制器向无线终端点发送单播密钥更新通告,通告站点的MAC地址、WLAN ID以及更新后的单播密钥数据和密码套件等信息;
[0040] 2.6.3)无线终端点向访问控制器发送单播密钥更新通告响应。
[0041] 上述步骤2.5)或2.6)之后还包括步骤2.7)访问控制器与站点之间的组播密钥更新过程。
[0042] 上述步骤2.7)的具体步骤如下:
[0043] 2.7.1)当访问控制器需要进行组播密钥更新时,首先向无线终端点发送组播密钥更新开始通告,消息中包括WLAN ID、组播密钥数据、数据分组序号(Packet Number)等信息;
[0044] 2.7.2)无线终端点收到组播密钥更新开始通告后,向访问控制器发送组播密钥更新开始通告响应;
[0045] 2.7.3)访问控制器与站点之间执行WAI组播密钥通告过程;
[0046] 2.7.4)当WAI组播密钥通告过程完成后,访问控制器向无线终端点发送组播密钥更新结束通告,其中包括组播密钥索引、组播密钥更新结束标识等信息;
[0047] 2.7.5)无线终端点对访问控制器的组播密钥更新结束通告进行响应,向访问控制器发送组播密钥更新结束通告响应。
[0048] 本发明提供分离MAC模式的会聚式WLAN网络体系架构下实体之间通信交互流程,将AP的MAC功能和WAPI功能分离到WTP和访问控制器AC(Access Controller)上,由WTP实现与站点STA(Station)之间的GB15629.11标准要求的实时性信息的交互,包括信标帧、对探询请求帧的响应等,并实现WPI协议,由AC实现与STA之间的非实时性交互,包括关联、WAI协议等。将这种AP功能的划分模式称为由WTP实现WPI的分离MAC模式。本发明与现有技术相比具有如下优点:本发明提出了以分离MAC模式实现会聚式WAPI网络架构的方法,克服了目前基于WAPI协议的自治式网络架构无法适用大规模WLAN部署需求的局限性。它采用分离MAC的模式,实现AC对WTP的统一监测、配置和控制,从而达到对WLAN中WTP进行集中管理的目的;采用由AC实现WAI协议,WTP实现WPI协议的方式,将WAPI协议与会聚式WLAN体系架构无缝融合,能够保障WLAN的安全。综上,本发明不仅能够满足WLAN的大规模部署需求,而且能够保证会聚式体系架构下WLAN的安全性。
附图说明
[0049] 图1为由WTP实现WPI的分离MAC模式的会聚式WAPI网络体系架构消息流程图;
[0050] 图2为AC与STA之间的单播密钥更新流程图;
[0051] 图3为AC与STA之间的组播密钥更新流程图。
具体实施方式
[0052] 参见图1,根据本发明的优选实施例,其具体方法如下:
[0053] 1)构建由无线终端点实现WPI的分离MAC模式:将AP的MAC功能和WAPI功能分离到无线终端点WTP(Wireless Terminal Point)和访问控制器AC(Access Controller)上;
[0054] 2)在由无线终端点实现WPI的分离MAC模式下,实现WAPI与会聚式WLAN网络体系架构的融合;
[0055] 2.1)STA与WTP以及AC之间的关联连接过程;
[0056] 2.1.1)STA被动侦听WTP的信标帧获得WTP的相关参数,包括WAPI信息元素(WTP支持的WAI鉴别及密钥管理套件、密码套件等);或者STA主动向WTP发送探询请求帧,WTP收到STA的探询请求帧后,向STA发送探询响应帧,STA收到WTP的探询响应帧获得WTP的相关参数,包括WAPI信息元素(WTP支持的WAI鉴别及密钥管理套件、密码套件等);
[0057] 2.1.2)STA获得WTP的探询响应后,向AC发送链路验证请求帧,请求与AC之间的链路验证;
[0058] 2.1.3)AC根据STA的链路验证请求帧,向STA发送链路验证响应帧;
[0059] 2.1.4)链路验证成功后,STA向AC发送关联请求帧,请求与AC进行关联,STA在关联请求中包含WAPI信息元素确定STA选择的WAI鉴别及密钥管理套件、密码套件等;
[0060] 2.1.5)AC解析STA的关联请求帧,向STA发送关联响应帧。
[0061] 2.2)AC与WTP之间WAI协议开始执行的通告过程;
[0062] 2.2.1)AC向WTP发送WAI开始执行通告,告知WTP包括STA的MAC地址、WLAN ID号、鉴别开始标识等信息,其中鉴别开始标识用于告知WTP关闭受控端口,仅转发来自相应STA的WAI协议数据;
[0063] 2.2.2)WTP向AC发送WAI开始执行通告响应消息。
[0064] 2.3)STA与AC之间WAI协议的执行过程;
[0065] 2.3.1)AC与STA之间的WAI鉴别过程。
[0066] 2.3.2)AC与STA之间的WAI单播密钥协商过程。
[0067] 2.3.3)AC与STA之间的WAI组播密钥通告过程。
[0068] 2.4)AC与WTP之间WAI协议执行结束的通告过程;
[0069] 2.4.1)AC向WTP发送WAI结束执行通告,告知WTP包括STA的MAC地址、WLAN ID、密钥数据、密码套件以及鉴别结束标识等信息,其中鉴别结束标识用于告知WTP打开受控端口,转发来自相应STA的所有数据,包括WAI协议数据和非WAI协议数据;
[0070] 2.4.2)WTP向AC发送WAI结束执行通告响应消息。
[0071] 2.5)WTP与STA之间利用WPI进行保密通信的过程。
[0072] 2.5.1)WTP加密并发送去往STA的数据;
[0073] 2.5.2)WTP解密并转发来自STA的数据。
[0074] 参见图2,此外,本发明流程中还包括步骤2.6)AC与STA之间的单播密钥更新过程:
[0075] 2.6.1)当需要进行单播密钥更新时,AC与STA之间执行WAI单播密钥协商过程;
[0076] 2.6.2)当WAI单播密钥协商过程完成后,AC向WTP发送单播密钥更新通告,通告STA的MAC地址、WLAN ID以及更新后的单播密钥数据和密码套件等信息;
[0077] 2.6.3)WTP向AC发送单播密钥更新通告响应。
[0078] 参见图3,此外,本发明流程中还包括步骤2.7)AC与STA之间的组播密钥更新过程:
[0079] 2.7.1)当AC需要进行组播密钥更新时,首先向WTP发送组播密钥更新开始通告,消息中包括WLAN ID、组播密钥数据、数据分组序号PN等信息。
[0080] 2.7.2)WTP收到组播密钥更新开始通告后,向AC发送组播密钥更新开始通告响应。
[0081] 2.7.3)AC与STA之间执行WAI组播密钥通告过程。
[0082] 2.7.4)当WAI组播密钥通告过程完成后,AC向WTP发送组播密钥更新结束通告,其中包括组播密钥索引、组播密钥更新结束标识等信息。
[0083] 2.7.5)WTP对AC的组播密钥更新结束通告进行响应,向AC发送组播密钥更新结束通告响应。
[0084] 上述实施例中,为了保护步骤2.2)、2.4)、2.6)和2.7)中密钥数据的安全,AC和WTP之间可以预设安全通道,该安全通道可利用AC和WTP之间建立专网或利用安全协议(如数据报传输层安全DTLS(Datagram Transport LayerSecurity)协议)来建立。
