技術領域

本發明涉及無線局域網WLAN技術，特別涉及基于CAPWAP架構以及IEEE?802.11協議族的WLAN技術。

背景技術

無線局域網(WLAN)技術已經廣泛地部署在個人家庭、企業以及公共熱點中。特別是在近年來，隨著WLAN技術的成熟，它已經成為了運行商接入網中的重要部分。例如，在3G牌照頒發后，中國的三大運營商已經建立并繼續擴建所謂的“運營商級別的WLAN”，這一“運營商級別的WLAN”與中國的WiFi無線城市的趨勢相一致。從技術的角度看，運營商級別的WLAN通常基于由IETF?CAPWAP(Control?and?provisioning?of?wireless?access?points，無線接入點控制與規定)所定義的集中式架構，并且作為大范圍的WLAN、與典型的WLAN截然不同地運作。

對于WLAN來說，IEEE?802.11協議族定義了一系列的密鑰管理體系。以例如IEEE?802.11r來說，圖1示出了一個示例的拓撲結構，圖2示出了其典型的密鑰管理體系。參照圖1與圖2，首先，移動站MS從接入節點AP1接入到該WLAN中，AP1具有IEEE?802.11協議的PHY層和MAC功能，AP1與AAA服務器(認證服務器)交互，認證該移動站MS的合法性，并且獲得AAA服務器提供的主會話密鑰MSK(和/或確定與該移動站MS對應的預共享密鑰PSK)。接著，AP?1根據MSK與PSK，與該移動站MS協商獲得作為第零級密鑰的主密鑰PMK-R0，并可以被稱為第零級的密鑰持有者R0KH。接下來，AP?1與移動站MS可以通過四次握手協商獲得業務密鑰PTK，于是，在移動站MS與AP1基于該業務密鑰PTK通過無線接口進行通信。

仍參照圖1與圖2，在移動站MS需要從AP1切換到AP2，或者進行后繼的從AP2到AP3的切換時，作為第零級密鑰持有者的AP1將接收到來自其他AP的、移動站MS的切換請求，該AP1將生成作為第一級密鑰的主密鑰PKM-R1a和PMK-R1b，并將這些主密鑰提供給作為切換目標的AP2或AP3。AP2或AP3接收并存儲該些主密鑰，它們可以被稱為第一級密鑰持有者(R1KHa與R1KHb)。之后，AP2或AP3可以進一步通過四次握手與移動站協商獲得業務密鑰PTKa或PTKb。AP2與AP3作為PTK的密鑰持有者(PTK-KHa與PTK-KHb)存儲業務密鑰PTKa與PTKb。并且，移動站MS與AP2或AP3基于該業務密鑰PTKa或PTKb通過無線接口進行通信，切換過程順利完成。

可見，IEEE?802.11協議族中的密鑰管理體系是基于每個AP的分布式的協作框架，這與CAPWAP的集中式架構不相兼容，如下面所分析的。

在CAPWAP中，AP可以被分為兩類邏輯組件，其中之一是傳統的AP(本地MAC模式)，它實現了PHY層功能以及IEEE?802.11協議族的全部的MAC層功能，也被稱為“胖AP(fat?AP)”。另外一種是被稱為“瘦AP(thin?AP)”的無線端接節點(WTP)(劃分MAC模式)，在無線端接節點中僅僅實現了PHY層功能以及MAC協議中的下層部分，而MAC層協議中的上層部分由管轄這些瘦AP的一個接入控制器(Access?Controller，簡稱AC)所實現。基于這樣的功能劃分，IEEE?802.11中的認證以及接入控制特性都在集中化的接入控制器中實現，允許它將用戶端連接到任何無線端接節點而不需要EAP重新特征。

在CAPWAP中，接入控制器作為認證器工作，在初始化階段，經由一個無線端接節點接入的用戶站/移動站經過接入控制器與AAA服務器進行基于IEEE?802.11的EAP對話。完成后，AAA服務器將產生的主會話密鑰MSK提供給接入控制器。接入控制器繼而通過該無線端接節點與該用戶站進行四次握手，并確定業務密鑰。無線端接節點沒有業務加密/解密功能，該功能由接入控制器所提供。