CN103532720A - 一种capwap报文的传输方法和设备 - Google Patents
一种capwap报文的传输方法和设备 Download PDFInfo
- Publication number
- CN103532720A CN103532720A CN201310501592.0A CN201310501592A CN103532720A CN 103532720 A CN103532720 A CN 103532720A CN 201310501592 A CN201310501592 A CN 201310501592A CN 103532720 A CN103532720 A CN 103532720A
- Authority
- CN
- China
- Prior art keywords
- equipment
- message
- wtp
- key
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种CAPWAP报文的传输方法和设备,该方法包括:AC设备向WTP设备发送第一DH报文,所述第一DH报文中携带第一密钥协商信息,由所述WTP设备利用所述第一密钥协商信息生成密钥K;所述AC设备接收来自所述WTP设备的第二DH报文,所述第二DH报文中携带第二密钥协商信息,并利用所述第二密钥协商信息生成所述密钥K;所述AC设备利用所述密钥K对CAPWAP报文进行加密处理,并将加密处理后的CAPWAP报文发送给所述WTP设备。本发明实施例中,能够在提供CAPWAP隧道安全性的同时,减轻整个网络的升级和维护的工作量。
Description
技术领域
本发明涉及通信技术领域,尤其是一种CAPWAP报文的传输方法和设备。
背景技术
WLAN(Wireless Local Area Networks,无线局域网)提供了一种局域网的无线连接服务,能够提供高速的无线数据接入,和传统的有线接入方式相比,无线局域网让网络的使用更加自由,彻底摆脱了线缆和端口位置的束缚,而且无线局域网具有便于携带,易于移动的优点,免去或减少了繁杂的网络布线,只需要安放一个或多个WTP((Wireless Termination Points,无线终端点)设备就可以建立覆盖整个建筑或地区的局域网络。其中,在无线局域网络中,AC(Access Controller,无线控制器)设备用于对无线局域网中的WTP设备进行控制和管理,且WTP设备可以为AP(Access Point,接入点)设备。
AC设备和WTP设备之间将使用CAPWAP(Controlling and Provisioning ofWireless Access Point,无线接入点控制与供应)隧道,CAPWAP隧道是AC设备和WTP设备之间的通信控制协议,定义了AC设备和WTP设备间如何通信,为实现AC设备和WTP设备之间的互通性提供了一个通用的封装和传输机制。
为保证CAPWAP隧道的安全性,可以使用DTLS(Datagram Transport LayerSecurity,数据传输层安全)协议保护CAPWAP隧道。DTLS协议是CAPWAP隧道使用的加密协议,该DTLS协议参考了TCP(Transmission Control Protocol,传输控制协议)的TLS(Transport Layer Security,传输层安全)协议,通过在CAPWAP报文中添加DTLS控制字段,以对CAPWAP报文进行加密控制。
但是,DTLS协议要求WTP设备在使用前,需要安装证书,而在对整网的WTP设备部署证书时,会极大提高整个网络的升级和维护的工作量,因此是否选择DTLS协议,还需要综合考虑整网的规模大小以及实际具体应用场景。
发明内容
本发明实施例提供一种CAPWAP报文的传输方法和设备,以避免对整网的WTP设备部署证书,从而减轻整个网络的升级和维护的工作量。
为了达到上述目的,本发明实施例提供一种无线接入点控制与供应CAPWAP报文的传输方法,该方法应用于包括无线控制器AC设备和无线终端点WTP设备的无线局域网WLAN网络中,所述方法具体包括以下步骤:
所述AC设备向WTP设备发送第一DH报文,所述第一DH报文中携带第一密钥协商信息,由所述WTP设备利用所述第一密钥协商信息生成密钥K;
所述AC设备接收来自所述WTP设备的第二DH报文,所述第二DH报文中携带第二密钥协商信息,并利用所述第二密钥协商信息生成所述密钥K;
所述AC设备利用所述密钥K对CAPWAP报文进行加密处理,并将加密处理后的CAPWAP报文发送给所述WTP设备;和/或,所述AC设备接收来自所述WTP设备的经过所述密钥K加密处理后的CAPWAP报文,并利用所述密钥K对加密处理后的CAPWAP报文进行解密处理。
所述第一密钥协商信息具体为:大素数p、证书g、随机数X’;由所述WTP设备利用大素数p、证书g、随机数X’和本地随机生成的随机数Y生成密钥K,并利用大素数p、证书g和随机数Y生成随机数Y’;其中,X’=gXmod p,Y’=gY mod p,且X为所述AC设备本地随机生成的随机数;
所述第二密钥协商信息具体为:随机数Y’;所述AC设备利用所述第二密钥协商信息生成所述密钥K,具体包括:所述AC设备利用大素数p、证书g、随机数Y’和本地随机生成的随机数X生成所述密钥K。
所述AC设备向WTP设备发送第一DH报文之前,所述方法进一步包括:
所述AC设备向所述WTP设备发送第三DH报文,所述第三DH报文中携带所述AC设备支持DH密钥协商的信息;
所述AC设备接收来自所述WTP设备的第四DH报文,如果所述第四DH报文中携带所述WTP设备支持DH密钥协商的信息,则所述AC设备执行向所述WTP设备发送所述第一DH报文的步骤。
本发明实施例提供一种无线接入点控制与供应CAPWAP报文的传输方法,该方法应用于包括无线控制器AC设备和无线终端点WTP设备的无线局域网WLAN网络中,所述方法具体包括以下步骤:
所述WTP设备接收来自所述AC设备的第一DH报文,所述第一DH报文中携带第一密钥协商信息,并利用所述第一密钥协商信息生成密钥K;
所述WTP设备向AC设备发送第二DH报文,所述第二DH报文中携带第二密钥协商信息,由所述AC设备利用所述第二密钥协商信息生成密钥K;
所述WTP设备利用所述密钥K对CAPWAP报文进行加密处理,并将加密处理后的CAPWAP报文发送给所述AC设备;和/或,所述WTP设备接收来自所述AC设备的经过所述密钥K加密处理后的CAPWAP报文,并利用所述密钥K对加密处理后的CAPWAP报文进行解密处理。
所述第一密钥协商信息具体为:大素数p、证书g、随机数X’;所述WTP设备利用所述第一密钥协商信息生成密钥K,具体包括:所述WTP设备利用大素数p、证书g、随机数X’和本地随机生成的随机数Y生成密钥K;其中,X’=gX mod p,且X为所述AC设备本地随机生成的随机数;
所述方法还包括:所述WTP设备利用大素数p、证书g和随机数Y生成随机数Y’,其中,Y’=gY mod p,且所述第二DH报文中携带的所述第二密钥协商信息具体为:随机数Y’;由所述AC设备利用大素数p、证书g、随机数Y’和本地随机生成的随机数X生成所述密钥K。
所述WTP设备接收来自所述AC设备的第一DH报文前,所述方法包括:
所述WTP设备接收来自所述AC设备的第三DH报文,如果所述第三DH报文中携带所述AC设备支持DH密钥协商的信息,则向所述AC设备发送第四DH报文,且所述第四DH报文中携带所述WTP设备支持DH密钥协商的信息;由所述AC设备在获知所述第四DH报文中携带所述WTP设备支持DH密钥协商的信息时,执行向所述WTP设备发送第一DH报文的步骤。
本发明实施例提供一种无线控制器AC设备,应用于包括所述AC设备和无线终端点WTP设备的无线局域网WLAN网络中,所述AC设备具体包括:
发送模块,用于向WTP设备发送第一DH报文,该第一DH报文中携带第一密钥协商信息,由所述WTP设备利用所述第一密钥协商信息生成密钥K;
接收模块,用于接收来自所述WTP设备的第二DH报文,该第二DH报文中携带第二密钥协商信息,并利用所述第二密钥协商信息生成所述密钥K;
处理模块,用于利用所述密钥K对无线接入点控制与供应CAPWAP报文进行加密处理,并将加密处理后的CAPWAP报文发送给所述WTP设备;和/或,接收来自所述WTP设备的经过所述密钥K加密处理后的CAPWAP报文,并利用所述密钥K对加密处理后的CAPWAP报文进行解密处理。
所述第一密钥协商信息具体为:大素数p、证书g、随机数X’;由所述WTP设备利用大素数p、证书g、随机数X’和本地随机生成的随机数Y生成密钥K,并利用大素数p、证书g和随机数Y生成随机数Y’;其中,X’=gXmod p,Y’=gY mod p,且X为所述AC设备本地随机生成的随机数;
所述第二密钥协商信息具体为随机数Y’;所述接收模块,具体用于利用大素数p、证书g、随机数Y’和本地随机生成的随机数X生成所述密钥K。
所述发送模块,还用于向所述WTP设备发送第三DH报文,所述第三DH报文中携带所述AC设备支持DH密钥协商的信息;
所述接收模块,还用于接收来自所述WTP设备的第四DH报文,如果所述第四DH报文中携带所述WTP设备支持DH密钥协商的信息,则由所述发送模块执行向所述WTP设备发送所述第一DH报文的过程。
本发明实施例提供一种无线终端点WTP设备,应用于包括无线控制器AC设备和WTP设备的无线局域网WLAN网络中,所述WTP设备具体包括:
接收模块,用于接收来自所述AC设备的第一DH报文,所述第一DH报文中携带第一密钥协商信息,并利用所述第一密钥协商信息生成密钥K;
发送模块,用于向AC设备发送第二DH报文,所述第二DH报文中携带第二密钥协商信息,由所述AC设备利用所述第二密钥协商信息生成密钥K;
处理模块,用于利用所述密钥K对无线接入点控制与供应CAPWAP报文进行加密处理,并将加密处理后的CAPWAP报文发送给所述AC设备;和/或,接收来自所述AC设备的经过所述密钥K加密处理后的CAPWAP报文,并利用所述密钥K对加密处理后的CAPWAP报文进行解密处理。
所述第一密钥协商信息具体为:大素数p、证书g、随机数X’;所述接收模块,具体用于利用大素数p、证书g、随机数X’和本地随机生成的随机数Y生成密钥K;其中,X’=gX mod p,且X为所述AC设备本地随机生成的随机数;以及,利用大素数p、证书g和随机数Y生成随机数Y’,Y’=gY modp;所述第二密钥协商信息具体为:随机数Y’;由所述AC设备利用大素数p、证书g、随机数Y’和本地随机生成的随机数X生成所述密钥K。
所述接收模块,还用于接收来自所述AC设备的第三DH报文;
所述发送模块,还用于当第三DH报文中携带AC设备支持DH密钥协商的信息时,向AC设备发送第四DH报文,且第四DH报文中携带WTP设备支持DH密钥协商的信息;由AC设备在获知第四DH报文中携带WTP设备支持DH密钥协商的信息时,执行向WTP设备发送第一DH报文的过程。
与现有技术相比,本发明实施例至少具有以下优点:本发明实施例中,AC设备通过第一DH报文将第一密钥协商信息通知给WTP设备,由WTP设备利用第一密钥协商信息生成密钥K;此外,WTP设备通过第二DH报文将第二密钥协商信息通知给AC设备,由AC设备利用第二密钥协商信息生成密钥K;进一步的,AC设备和WTP设备之间通过该密钥K对CAPWAP报文进行加密处理和解密处理;上述方式能够在提供CAPWAP隧道安全性的同时,避免对整网的WTP设备部署证书,减轻整个网络的升级和维护的工作量,从而弥补CAPWAP协议定义的DTLS安全机制带来的维护、部署工作量大的问题,也避免了不开启DTLS安全机制带来的CAPWAP隧道安全问题。
附图说明
图1是本发明实施例提供的一种CAPWAP报文的传输方法流程图;
图2是本发明实施例中提出的第一DH报文的格式示意图;
图3是本发明实施例中提出的第二DH报文的格式示意图;
图4是本发明实施例提供的一种CAPWAP报文的传输方法流程图;
图5是本发明实施例中提出的Discovery Response报文的格式示意图;
图6是本发明实施例中提出的Join Request报文的格式示意图;
图7是本发明实施例提供的一种AC设备的结构示意图;
图8是本发明实施例提供的一种WTP设备的结构示意图。
具体实施方式
本发明实施例提供一种CAPWAP报文的传输方法,该方法应用于包括AC设备和WTP设备的WLAN网络中,且AC设备和WTP设备之间基于DH(即Diffie-Hellman,Diffie-Hellman是一种密钥交换方法,目的是在AC设备和WTP设备之间安全的交换一对密钥,且无需在网络上传输该密钥)对CAPWAP报文进行安全保护,如图1所示,该方法包括以下步骤:
步骤101,AC设备向WTP设备发送第一DH报文,该第一DH报文中携带第一密钥协商信息。该第一密钥协商信息具体为:大素数p、证书g(1<g<p)、随机数X’;X’=gX mod p,且X为AC设备本地随机生成的随机数。
步骤102,WTP设备在收到来自AC设备的第一DH报文之后,利用该第一DH报文中携带的第一密钥协商信息生成密钥K。
本发明实施例中,WTP设备利用第一密钥协商信息生成密钥K,具体包括但不限于:WTP设备利用大素数p、证书g、随机数X’和本地随机生成的随机数Y生成密钥K,该密钥K的具体生成过程在此不再赘述。
步骤103,WTP设备向AC设备发送第二DH报文,该第二DH报文中携带第二密钥协商信息。该第二密钥协商信息具体为:随机数Y’;随机数Y’是WTP设备利用大素数p、证书g和随机数Y生成的,且Y’=gY mod p。
步骤104,AC设备在收到来自WTP设备的第二DH报文之后,利用该第二DH报文中携带的第二密钥协商信息生成密钥K。
其中,AC设备生成的密钥K与WTP设备生成的密钥K相同。
本发明实施例中,AC设备利用第二密钥协商信息生成密钥K,具体包括但不限于:AC设备利用大素数p、证书g、随机数Y’和本地随机生成的随机数X生成密钥K,该密钥K的具体生成过程在此不再赘述。
本发明实施例中,通过对CAPWAP控制报文进行扩展,以使用CAPWAP控制报文中的CAPWAP报文头区分相应报文为第一DH报文或第二DH报文。
AC设备向WTP设备发送第一DH报文时,如图2所示,通过将MessageType(报文类型)设置为513,以标识该报文为第一DH报文(即DH1),该第一DH报文中携带大素数p、证书g、随机数X’、challenge text(质询文本)。WTP设备在收到第一DH报文后,利用大素数p、证书g、随机数X’和随机数Y生成密钥K,并利用大素数p、证书g和随机数Y生成随机数Y’。
WTP设备向AC设备发送第二DH报文时,如图3所示,通过将MessageType设置为514,以标识该报文为第二DH报文(即DH2),该第二DH报文中携带随机数Y’和加密后的challenge text。AC设备在收到第二DH报文后,利用大素数p、证书g、随机数Y’和随机数X生成密钥K,并对第二DH报文中携带的challenge text校验,如果校验成功,则说明生成的密钥K有效。
步骤105,AC设备利用密钥K对CAPWAP报文进行加密处理,并将加密处理后的CAPWAP报文发送给WTP设备,由WTP设备接收来自AC设备的经过密钥K加密处理后的CAPWAP报文,并利用密钥K对加密处理后的CAPWAP报文进行解密处理;和/或,WTP设备利用密钥K对CAPWAP报文进行加密处理,并将加密处理后的CAPWAP报文发送给AC设备,由AC设备接收来自WTP设备的经过密钥K加密处理后的CAPWAP报文,并利用密钥K对加密处理后的CAPWAP报文进行解密处理。
其中,该CAPWAP报文具体可以为CAPWAP控制报文和CAPWAP数据报文。AC设备和WTP设备在生成密钥K之后,将密钥K转换为加密算法/解密算法所需要的密钥长度,并选择相应的加密算法和解密算法,从而对后续的CAPWAP控制报文和CAPWAP数据报进行加密处理和解密处理。
本发明实施例中,AC设备和WTP设备还需要协商是否支持DH密钥协商;如果AC设备和WTP设备均支持DH密钥协商,则采用本发明实施例的技术方案,执行上述步骤以对CAPWAP隧道进行安全保护;如果AC设备和/或WTP设备不支持DH密钥协商,则不采用本发明实施例的技术方案。
基于此,AC设备向WTP设备发送第一DH报文之前,如果AC设备支持DH密钥协商,则AC设备还需要向WTP设备发送第三DH报文,该第三DH报文中携带AC设备支持DH密钥协商的信息;WTP设备在收到来自AC设备的第三DH报文后,如果第三DH报文中携带AC设备支持DH密钥协商的信息,且WTP设备支持DH密钥协商,则向AC设备发送第四DH报文,且第四DH报文中携带WTP设备支持DH密钥协商的信息;AC设备在收到来自WTP设备的第四DH报文后,如果第四DH报文中携带WTP设备支持DH密钥协商的信息,则AC设备执行向WTP设备发送第一DH报文的步骤。
CAPWAP隧道建立过程包括:WTP设备向网络中广播Discovery Request(发现请求)报文,以寻找网络中存在的AC设备。接收到Discover Request报文的AC设备向WTP设备返回Discovery Response(发现响应)报文。WTP设备接收到AC设备发送的Discover Response报文之后,向AC设备发送JoinRequest(加入请求)报文。AC设备向WTP设备发送Join Response(加入响应)报文。之后,AC设备与WTP设备之间建立CAPWAP隧道。
如图4所示,在将协商密钥K的过程应用于CAPWAP隧道的建立过程时,则本发明实施例提出的CAPWAP报文的传输方法包括以下步骤:
步骤401,WTP设备向网络中广播Discovery Request报文。
步骤402,AC设备在收到Discovery Request报文之后,向WTP设备发送Discovery Response报文,该Discovery Response报文为第三DH报文,且该Discovery Response报文中携带AC设备支持DH密钥协商的信息。
如图5所示,本发明实施例中,AC设备通过在Discovery Response报文的vendor(供应商)字段中增加是否支持DH密钥协商的TLV(Type LengthValue类型长度值),以表示AC设备支持DH密钥协商。
步骤403,WTP设备在收到Discover Response报文之后,向AC设备发送Join Request报文,该Join Request报文为第四DH报文,且该Join Request报文中携带WTP设备支持DH密钥协商的信息。
如图6所示,本发明实施例中,AC设备通过在Join Request报文的vendor字段中增加是否支持DH密钥协商的TLV,表示WTP设备支持DH密钥协商。
步骤404,AC设备在收到WTP设备的Join Request报文后,如果WTP设备支持DH密钥协商,则启动DH协商过程,并向WTP设备发送第一DH报文。其中,该第一DH报文中携带第一密钥协商信息。
步骤405,WTP设备在收到来自AC设备的第一DH报文之后,向AC设备发送第二DH报文。其中,该第二DH报文中携带第二密钥协商信息。
步骤406,AC设备向WTP设备发送Join Response报文。其中,该JoinResponse报文可以为经过密钥K加密处理后的Join Response报文。
当然,在具体实现中,并不局限于将协商密钥K的过程应用于CAPWAP隧道的建立过程,也可以在CAPWAP隧道的建立过程结束之后,进行协商密钥K的过程;基于此,第三DH报文还可以为其它类型的报文(即不是DiscoveryResponse报文),只要是AC设备在相应过程中向WTP设备发送的携带AC设备支持DH密钥协商的信息的报文即可;同理,第四DH报文还可以为其它类型的报文(即不是Join Request报文),只要是WTP设备在相应过程中向AC设备发送的携带WTP设备支持DH密钥协商的信息的报文即可。
综上所述,AC设备通过第一DH报文将第一密钥协商信息通知给WTP设备,由WTP设备利用第一密钥协商信息生成密钥K;此外,WTP设备通过第二DH报文将第二密钥协商信息通知给AC设备,由AC设备利用第二密钥协商信息生成密钥K;AC设备和WTP设备之间通过该密钥K对CAPWAP报文进行加密处理和解密处理;上述方式能够在提供CAPWAP隧道安全性的同时,避免对整网的WTP设备部署证书,减轻整个网络的升级和维护的工作量,从而弥补CAPWAP协议定义的DTLS安全机制带来的维护、部署工作量大的问题,也避免了不开启DTLS安全机制带来的CAPWAP隧道安全问题。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种无线控制器AC设备,应用于包括所述AC设备和无线终端点WTP设备的无线局域网WLAN网络中,如图7所示,所述AC设备具体包括:
发送模块11,用于向WTP设备发送第一DH报文,该第一DH报文中携带第一密钥协商信息,由WTP设备利用所述第一密钥协商信息生成密钥K;
接收模块12,用于接收来自WTP设备的第二DH报文,该第二DH报文中携带第二密钥协商信息,并利用所述第二密钥协商信息生成所述密钥K;
处理模块13,用于利用所述密钥K对无线接入点控制与供应CAPWAP报文进行加密处理,并将加密处理后的CAPWAP报文发送给所述WTP设备;和/或,接收来自所述WTP设备的经过所述密钥K加密处理后的CAPWAP报文,并利用所述密钥K对加密处理后的CAPWAP报文进行解密处理。
所述第一密钥协商信息具体为:大素数p、证书g、随机数X’;由所述WTP设备利用大素数p、证书g、随机数X’和本地随机生成的随机数Y生成密钥K,并利用大素数p、证书g和随机数Y生成随机数Y’;其中,X’=gXmod p,Y’=gY mod p,且X为所述AC设备本地随机生成的随机数;
所述第二密钥协商信息具体为随机数Y’;所述接收模块12,具体用于利用大素数p、证书g、随机数Y’和本地随机生成的随机数X生成所述密钥K。
所述发送模块11,还用于向所述WTP设备发送第三DH报文,所述第三DH报文中携带所述AC设备支持DH密钥协商的信息;
所述接收模块12,还用于接收来自所述WTP设备的第四DH报文,如果所述第四DH报文中携带所述WTP设备支持DH密钥协商的信息,则由所述发送模块11执行向所述WTP设备发送所述第一DH报文的过程。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种无线终端点WTP设备,应用于包括无线控制器AC设备和WTP设备的无线局域网WLAN网络中,如图8所示,所述WTP设备具体包括:
接收模块21,用于接收来自所述AC设备的第一DH报文,所述第一DH报文中携带第一密钥协商信息,并利用所述第一密钥协商信息生成密钥K;
发送模块22,用于向AC设备发送第二DH报文,所述第二DH报文中携带第二密钥协商信息,由AC设备利用所述第二密钥协商信息生成密钥K;
处理模块23,用于利用所述密钥K对无线接入点控制与供应CAPWAP报文进行加密处理,并将加密处理后的CAPWAP报文发送给所述AC设备;和/或,接收来自所述AC设备的经过所述密钥K加密处理后的CAPWAP报文,并利用所述密钥K对加密处理后的CAPWAP报文进行解密处理。
所述第一密钥协商信息具体为:大素数p、证书g、随机数X’;所述接收模块21,具体用于利用大素数p、证书g、随机数X’和本地随机生成的随机数Y生成密钥K;其中,X’=gX mod p,且X为所述AC设备本地随机生成的随机数;以及,利用大素数p、证书g和随机数Y生成随机数Y’,Y’=gYmod p;所述第二密钥协商信息具体为:随机数Y’;由所述AC设备利用大素数p、证书g、随机数Y’和本地随机生成的随机数X生成所述密钥K。
所述接收模块21,还用于接收来自所述AC设备的第三DH报文;
所述发送模块22,还用于当第三DH报文中携带AC设备支持DH密钥协商的信息时,向AC设备发送第四DH报文,且第四DH报文中携带WTP设备支持DH密钥协商的信息;由AC设备在获知第四DH报文中携带WTP设备支持DH密钥协商的信息时,执行向WTP设备发送第一DH报文的过程。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (12)
1.一种无线接入点控制与供应CAPWAP报文的传输方法,该方法应用于包括无线控制器AC设备和无线终端点WTP设备的无线局域网WLAN网络中,其特征在于,所述方法具体包括以下步骤:
所述AC设备向WTP设备发送第一DH报文,所述第一DH报文中携带第一密钥协商信息,由所述WTP设备利用所述第一密钥协商信息生成密钥K;
所述AC设备接收来自所述WTP设备的第二DH报文,所述第二DH报文中携带第二密钥协商信息,并利用所述第二密钥协商信息生成所述密钥K;
所述AC设备利用所述密钥K对CAPWAP报文进行加密处理,并将加密处理后的CAPWAP报文发送给所述WTP设备;和/或,所述AC设备接收来自所述WTP设备的经过所述密钥K加密处理后的CAPWAP报文,并利用所述密钥K对加密处理后的CAPWAP报文进行解密处理。
2.如权利要求1所述的方法,其特征在于,
所述第一密钥协商信息具体为:大素数p、证书g、随机数X’;由所述WTP设备利用大素数p、证书g、随机数X’和本地随机生成的随机数Y生成密钥K,并利用大素数p、证书g和随机数Y生成随机数Y’;其中,X’=gXmod p,Y’=gY mod p,且X为所述AC设备本地随机生成的随机数;
所述第二密钥协商信息具体为:随机数Y’;所述AC设备利用所述第二密钥协商信息生成所述密钥K,具体包括:所述AC设备利用大素数p、证书g、随机数Y’和本地随机生成的随机数X生成所述密钥K。
3.如权利要求1所述的方法,其特征在于,所述AC设备向WTP设备发送第一DH报文之前,所述方法进一步包括:
所述AC设备向所述WTP设备发送第三DH报文,所述第三DH报文中携带所述AC设备支持DH密钥协商的信息;
所述AC设备接收来自所述WTP设备的第四DH报文,如果所述第四DH报文中携带所述WTP设备支持DH密钥协商的信息,则所述AC设备执行向所述WTP设备发送所述第一DH报文的步骤。
4.一种无线接入点控制与供应CAPWAP报文的传输方法,该方法应用于包括无线控制器AC设备和无线终端点WTP设备的无线局域网WLAN网络中,其特征在于,所述方法具体包括以下步骤:
所述WTP设备接收来自所述AC设备的第一DH报文,所述第一DH报文中携带第一密钥协商信息,并利用所述第一密钥协商信息生成密钥K;
所述WTP设备向AC设备发送第二DH报文,所述第二DH报文中携带第二密钥协商信息,由所述AC设备利用所述第二密钥协商信息生成密钥K;
所述WTP设备利用所述密钥K对CAPWAP报文进行加密处理,并将加密处理后的CAPWAP报文发送给所述AC设备;和/或,所述WTP设备接收来自所述AC设备的经过所述密钥K加密处理后的CAPWAP报文,并利用所述密钥K对加密处理后的CAPWAP报文进行解密处理。
5.如权利要求4所述的方法,其特征在于,
所述第一密钥协商信息具体为:大素数p、证书g、随机数X’;所述WTP设备利用所述第一密钥协商信息生成密钥K,具体包括:所述WTP设备利用大素数p、证书g、随机数X’和本地随机生成的随机数Y生成密钥K;其中,X’=gX mod p,且X为所述AC设备本地随机生成的随机数;
所述方法还包括:所述WTP设备利用大素数p、证书g和随机数Y生成随机数Y’,其中,Y’=gY mod p,且所述第二DH报文中携带的所述第二密钥协商信息具体为:随机数Y’;由所述AC设备利用大素数p、证书g、随机数Y’和本地随机生成的随机数X生成所述密钥K。
6.如权利要求4所述的方法,其特征在于,所述WTP设备接收来自所述AC设备的第一DH报文之前,所述方法进一步包括:
所述WTP设备接收来自所述AC设备的第三DH报文,如果所述第三DH报文中携带所述AC设备支持DH密钥协商的信息,则向所述AC设备发送第四DH报文,且所述第四DH报文中携带所述WTP设备支持DH密钥协商的信息;由所述AC设备在获知所述第四DH报文中携带所述WTP设备支持DH密钥协商的信息时,执行向所述WTP设备发送第一DH报文的步骤。
7.一种无线控制器AC设备,应用于包括所述AC设备和无线终端点WTP设备的无线局域网WLAN网络中,其特征在于,所述AC设备具体包括:
发送模块,用于向WTP设备发送第一DH报文,该第一DH报文中携带第一密钥协商信息,由所述WTP设备利用所述第一密钥协商信息生成密钥K;
接收模块,用于接收来自所述WTP设备的第二DH报文,该第二DH报文中携带第二密钥协商信息,并利用所述第二密钥协商信息生成所述密钥K;
处理模块,用于利用所述密钥K对无线接入点控制与供应CAPWAP报文进行加密处理,并将加密处理后的CAPWAP报文发送给所述WTP设备;和/或,接收来自所述WTP设备的经过所述密钥K加密处理后的CAPWAP报文,并利用所述密钥K对加密处理后的CAPWAP报文进行解密处理。
8.如权利要求7所述的AC设备,其特征在于,
所述第一密钥协商信息具体为:大素数p、证书g、随机数X’;由所述WTP设备利用大素数p、证书g、随机数X’和本地随机生成的随机数Y生成密钥K,并利用大素数p、证书g和随机数Y生成随机数Y’;其中,X’=gXmod p,Y’=gY mod p,且X为所述AC设备本地随机生成的随机数;
所述第二密钥协商信息具体为随机数Y’;所述接收模块,具体用于利用大素数p、证书g、随机数Y’和本地随机生成的随机数X生成所述密钥K。
9.如权利要求7所述的AC设备,其特征在于,
所述发送模块,还用于向所述WTP设备发送第三DH报文,所述第三DH报文中携带所述AC设备支持DH密钥协商的信息;
所述接收模块,还用于接收来自所述WTP设备的第四DH报文,如果所述第四DH报文中携带所述WTP设备支持DH密钥协商的信息,则由所述发送模块执行向所述WTP设备发送所述第一DH报文的过程。
10.一种无线终端点WTP设备,应用于包括无线控制器AC设备和WTP设备的无线局域网WLAN网络中,其特征在于,所述WTP设备具体包括:
接收模块,用于接收来自所述AC设备的第一DH报文,所述第一DH报文中携带第一密钥协商信息,并利用所述第一密钥协商信息生成密钥K;
发送模块,用于向AC设备发送第二DH报文,所述第二DH报文中携带第二密钥协商信息,由所述AC设备利用所述第二密钥协商信息生成密钥K;
处理模块,用于利用所述密钥K对无线接入点控制与供应CAPWAP报文进行加密处理,并将加密处理后的CAPWAP报文发送给所述AC设备;和/或,接收来自所述AC设备的经过所述密钥K加密处理后的CAPWAP报文,并利用所述密钥K对加密处理后的CAPWAP报文进行解密处理。
11.如权利要求10所述的WTP设备,其特征在于,
所述第一密钥协商信息具体为:大素数p、证书g、随机数X’;所述接收模块,具体用于利用大素数p、证书g、随机数X’和本地随机生成的随机数Y生成密钥K;其中,X’=gX mod p,且X为所述AC设备本地随机生成的随机数;以及,利用大素数p、证书g和随机数Y生成随机数Y’,Y’=gY modp;所述第二密钥协商信息具体为:随机数Y’;由所述AC设备利用大素数p、证书g、随机数Y’和本地随机生成的随机数X生成所述密钥K。
12.如权利要求10所述的WTP设备,其特征在于,
所述接收模块,还用于接收来自所述AC设备的第三DH报文;
所述发送模块,还用于当第三DH报文中携带AC设备支持DH密钥协商的信息时,向AC设备发送第四DH报文,且第四DH报文中携带WTP设备支持DH密钥协商的信息;由AC设备在获知第四DH报文中携带WTP设备支持DH密钥协商的信息时,执行向WTP设备发送第一DH报文的过程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310501592.0A CN103532720A (zh) | 2013-10-22 | 2013-10-22 | 一种capwap报文的传输方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310501592.0A CN103532720A (zh) | 2013-10-22 | 2013-10-22 | 一种capwap报文的传输方法和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103532720A true CN103532720A (zh) | 2014-01-22 |
Family
ID=49934426
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310501592.0A Pending CN103532720A (zh) | 2013-10-22 | 2013-10-22 | 一种capwap报文的传输方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103532720A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105162791A (zh) * | 2015-09-23 | 2015-12-16 | 盛科网络(苏州)有限公司 | 基于capwap使用共享密钥的方法及装置 |
| CN105704101A (zh) * | 2014-11-27 | 2016-06-22 | 华为技术有限公司 | 一种用于推送消息的方法及设备 |
| CN108616355A (zh) * | 2018-05-03 | 2018-10-02 | 盛科网络(苏州)有限公司 | 软件握手协商硬件加解密的capwap隧道dtls加解密方法 |
| CN109075973A (zh) * | 2016-07-22 | 2018-12-21 | 华为国际有限公司 | 一种使用基于id的密码术进行网络和服务统一认证的方法 |
| CN113242121A (zh) * | 2021-04-15 | 2021-08-10 | 哈尔滨工业大学 | 一种基于组合加密的安全通信方法 |
| CN114760093A (zh) * | 2022-03-07 | 2022-07-15 | 新华三技术有限公司合肥分公司 | 通信方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101123501A (zh) * | 2006-08-08 | 2008-02-13 | 西安电子科技大学 | 一种wapi认证和密钥协商方法和系统 |
| CN101183935A (zh) * | 2007-12-17 | 2008-05-21 | 华为技术有限公司 | Rtp报文的密钥协商方法、装置及系统 |
| CN101374153A (zh) * | 2007-08-23 | 2009-02-25 | 中国移动通信集团公司 | 安全激活第三方应用的方法、第三方服务器、终端及系统 |
| CN101521882A (zh) * | 2009-03-24 | 2009-09-02 | 刘建 | 一种预共享密钥的更新方法及系统 |
-
2013
- 2013-10-22 CN CN201310501592.0A patent/CN103532720A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101123501A (zh) * | 2006-08-08 | 2008-02-13 | 西安电子科技大学 | 一种wapi认证和密钥协商方法和系统 |
| CN101374153A (zh) * | 2007-08-23 | 2009-02-25 | 中国移动通信集团公司 | 安全激活第三方应用的方法、第三方服务器、终端及系统 |
| CN101183935A (zh) * | 2007-12-17 | 2008-05-21 | 华为技术有限公司 | Rtp报文的密钥协商方法、装置及系统 |
| CN101521882A (zh) * | 2009-03-24 | 2009-09-02 | 刘建 | 一种预共享密钥的更新方法及系统 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105704101A (zh) * | 2014-11-27 | 2016-06-22 | 华为技术有限公司 | 一种用于推送消息的方法及设备 |
| CN105704101B (zh) * | 2014-11-27 | 2019-10-18 | 华为技术有限公司 | 一种用于推送消息的方法及设备 |
| CN105162791A (zh) * | 2015-09-23 | 2015-12-16 | 盛科网络(苏州)有限公司 | 基于capwap使用共享密钥的方法及装置 |
| CN105162791B (zh) * | 2015-09-23 | 2018-07-17 | 盛科网络(苏州)有限公司 | 基于capwap使用共享密钥的方法及装置 |
| CN109075973A (zh) * | 2016-07-22 | 2018-12-21 | 华为国际有限公司 | 一种使用基于id的密码术进行网络和服务统一认证的方法 |
| US11044084B2 (en) | 2016-07-22 | 2021-06-22 | Huawei International Pte. Ltd. | Method for unified network and service authentication based on ID-based cryptography |
| CN109075973B (zh) * | 2016-07-22 | 2022-04-05 | 华为国际有限公司 | 一种使用基于id的密码术进行网络和服务统一认证的方法 |
| CN108616355A (zh) * | 2018-05-03 | 2018-10-02 | 盛科网络(苏州)有限公司 | 软件握手协商硬件加解密的capwap隧道dtls加解密方法 |
| CN113242121A (zh) * | 2021-04-15 | 2021-08-10 | 哈尔滨工业大学 | 一种基于组合加密的安全通信方法 |
| CN114760093A (zh) * | 2022-03-07 | 2022-07-15 | 新华三技术有限公司合肥分公司 | 通信方法及装置 |
| CN114760093B (zh) * | 2022-03-07 | 2024-02-09 | 新华三技术有限公司合肥分公司 | 通信方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105684344B (zh) | 一种密钥配置方法和装置 | |
| CN106209739B (zh) | 云存储方法及系统 | |
| CN103532720A (zh) | 一种capwap报文的传输方法和设备 | |
| US10904753B2 (en) | Systems and methods for authentication | |
| CN104115544B (zh) | 使用naf密钥的设备到设备安全性 | |
| EP3065334A1 (en) | Key configuration method, system and apparatus | |
| EP2899666B1 (en) | Policy-based secure communication with automatic key management for industrial control and automation systems | |
| CN104660602A (zh) | 一种量子密钥传输控制方法及系统 | |
| CN105993146A (zh) | 不访问私钥而使用公钥密码的安全会话能力 | |
| CN104660603A (zh) | IPSec VPN中扩展使用量子密钥的方法及系统 | |
| CN102571702A (zh) | 物联网中的密钥生成方法、系统和设备 | |
| CN105141645A (zh) | 终端设备的登录方法、终端设备和云端服务器 | |
| CN103391541A (zh) | 无线设备的配置方法及装置、系统 | |
| CN101296086A (zh) | 接入认证的方法、系统和设备 | |
| JP5929834B2 (ja) | 情報設定方法及び無線通信システム | |
| CN105432058A (zh) | 针对mtc组密钥管理的装置和方法 | |
| CN108200014A (zh) | 利用智能密钥装置访问服务器的方法、装置及系统 | |
| CN102420642A (zh) | 蓝牙设备及其通信方法 | |
| US9698978B2 (en) | Network equipment and authentication and key management method for same | |
| CN107872315A (zh) | 数据处理方法和智能终端 | |
| CN103916851A (zh) | 一种安全认证的方法、设备及系统 | |
| CN114070579A (zh) | 一种基于量子密钥的工控业务鉴权认证方法和系统 | |
| CN103905389A (zh) | 基于中继设备的安全关联、数据传输方法及装置、系统 | |
| CN110198538A (zh) | 一种获得设备标识的方法及装置 | |
| CN104168566A (zh) | 一种接入网络的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140122 |