WO2010097003A1

WO2010097003A1 - 以分离mac模式实现wapi与capwap融合方法

Info

Publication number: WO2010097003A1
Application number: PCT/CN2009/075921
Authority: WO
Inventors: 铁满霞; 曹军; 杜志强; 葛莉; 赖晓龙
Original assignee: 西安西电捷通无线网络通信股份有限公司
Priority date: 2009-02-27
Filing date: 2009-12-24
Publication date: 2010-09-02
Also published as: CN101646171B; CN101646171A

Description

以分离 MAC模式实现 WAPI与 CAPWAP融合方法

本申请要求于 2009 年 2 月 27 日提交中国专利局、申请号为 200910021420.7、发明名称为"以分离 MAC模式实现 WAPI与 CAPWAP融合的方法 "的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及网络应用领域，尤其涉及以分离 MAC 模式实现 WAPI 与 CAPWAP融合的方法。

背景技术

自治式体系架构的无线局域网 WLAN ( Wireless Local Area Networks ) 中无线接入点 AP ( Access Point )作为网络上一个单独的实体，完全部署和端接 GB15629.il 功能，需对其进行独立管理。目前基于无线局域网鉴别与保密基均采用自治式体系架构，但随着 WLAN部署规模的扩大，这种自治式架构的网络工作模式因其固有的缺陷已逐渐成为制约无线技术发展的障碍。

首先，自治式架构的 WLAN中， AP作为网际互联协议 IP( Internet Protocol ) 可寻址设备，需要进行独立管理，包括监测、配置和控制等。在进行大规模网络部署时，大量的 AP将产生巨大的管理开销，给网络造成沉重负担。尤其是网内 AP的配置管理方式互不相同时，这种现象更为明显，势必阻碍无线技术的发展。

其次，自治式架构的 WLAN中，保证所有 AP配置参数的一致性存在一定困难。因为 AP的配置中除静态参数外，更多的是需要动态配置的参数。在大规模 WLAN中，及时更新全网 AP的动态配置的工作量非常繁重，甚至无法实现。

第三， WLAN中，无线传输介质作为一种共享资源，为提高网络的性能，必须实时监测每一个 AP并根据当前共享介质的使用情况对这些 AP的配置进行动态更新，而手工配置与无线传输介质相关的 AP参数将耗费大量的人力、物力。

第四，自治式架构的 WLAN中，安全接入网络和阻止非法 AP的加入也较为困难。在通常情况下， AP 的部署位置使得难以对其加以保护，一旦 AP 被窃将造成所加载安全信息的泄漏，对网络安全造成威胁。

综上所述，自治式架构的 WLAN中，尤其在大规模部署的情况下，对 AP 进行监测、配置和控制将给网络造成沉重的管理负担。而且，维护 AP配置的一致性也十分困难。此外，无线传输介质的共享和动态特性要求网络中 AP协作一致以争取最大的网络性能和最小的无线干扰，这对 AP的配置管理提出了更高的要求。安全是设计无线网络需要考虑的重要因素之一，大规模的部署也将给 WLAN的安全带来巨大挑战。由此可见，自治式体系架构 WLAN的工作模式已无法适用大规模网络的部署需求，亟需设计基于 WAPI的会聚式 WLAN 网络体系架构，即 WAPI瘦 AP架构。目前基于无线接入点控制与配置 CAPWAP ( Control And Provisioning of Wireless Access Points )协议 IEEE 802.11绑定规范的 WLAN不可避免地继承了 IEEE 802.11i的安全缺陷，所以，需要更为安全的替代解决方案。

发明内容

本发明的目的在于克服上述自治式 WLAN网络体系架构的缺陷，提供一种由无线终端点 WTP ( Wireless Terminal Point )实现无线局 i或网保密基础结构 WPI ( WLAN Privacy Infrastructure ) 的分离 MAC模式的将 CAPWAP规范绑定 WAPI的方法，提出一种更为安全的基于 WAPI的会聚式 WLAN体系架构的工作流程。

本发明的技术解决方案是：

本发明提出一种将 CAPWAP规范绑定 WAPI由 WTP实现 WPI的分离

MAC模式的方法，其特殊之处在于：该方法包括以下步骤：

1 )构建由无线终端点实现 WPI的分离 MAC模式的步骤：将无线接入点的 MAC功能和 WAPI功能分别分离到无线终端点和访问控制器上；

2 )在由无线终端点实现 WPI的分离 MAC模式下，进行 CAPWAP规范与 WAPI的绑定的步骤：

2.1 )站点与无线终端点以及访问控制器之间进行关联连接的过程； 2.2 )访问控制器与无线终端点之间通告无线局域网鉴别基础结构 WAI ( WLAN Authentication Infrastructure )十办议开始执行的过程；

2.3 )站点与访问控制器之间执行 WAI协议的过程； 2.4 )访问控制器与无线终端点之间通告 WAI协议执行结束的过程； 2.5 )无线终端点与站点之间利用 WPI进行保密通信的过程。

上述步骤 2.1 ) 的具体步骤如下：

2.1.1 )站点被动侦听无线终端点的信标帧获得包括 WAPI信息元素的无线终端点的参数；或者站点主动向无线终端点发送探询请求帧，无线终端点收到站点的探询请求帧后，向站点发送探询响应帧，站点收到探询响应帧即获得包括 WAPI信息元素的无线终端点的参数；所述 WAPI信息元素包括无线终端点支持的鉴别及密钥管理套件和密码套件；

2.1.2 )站点向访问控制器发送链路验证请求帧，请求与访问控制器之间的链路验证；

2.1.3 )访问控制器根据站点的链路验证请求帧，向站点发送链路验证响应帧；

2.1.4 )链路验证成功后，站点向访问控制器发送关联请求帧，请求与访问控制器进行关联，在关联请求帧中包括 WAPI信息元素，用以确定站点选择的鉴别及密钥管理套件和密码套件；

2.1.5 )访问控制器解析站点的关联请求帧，向站点发送关联响应帧。

上述步骤 2.2 ) 的具体步骤如下：

2.2.1 )访问控制器向无线终端点发送 CAPWAP 站点配置请求（Station Configuration Request )消息，消息中包括加入站点（ Add Station ), GB15629.il 加入站点（Add Station ), GB15629.il站点会话密钥（ Station Session Key ) 消息元素；其中， GB15629.il站点会话密钥消息元素中的 A被置为 1用于告知无线终端点关闭受控端口，仅转发来自对应站点的 WAI协议数据；其中 A为 GB15629.il站点会话密钥消息元素中的一个标识位， A作为标识位，若该标识被设置为 1 , 用于告知无线终端点打开受控端口，仅转发 WAI协议数据。

2.2.2 ) 无线终端点向访问控制器发送 CAPWAP 站点配置响应（Station

Configuration Respons ) 消息，其中包括结果码 ( Result Code )等消息元素，用于标识对 CAPWAP站点配置请求消息的处理结果。

上述步骤 2.3 ) 的具体步骤如下：

2.3.1 )访问控制器与站点之间的 WAI鉴别过程；包括：无线终端点对来自访问控制器的根据 CAPWAP数据封装格式封装的 WAI鉴别数据进行拆封后转发给站点；对来自站点的 WAI鉴别数据根据 CAPWAP数据封装格式进行封装后发送给访问控制器；

2.3.2 )访问控制器与站点之间的 WAI单播密钥协商过程；包括：无线终端点对来自访问控制器的根据 CAPWAP数据封装格式封装的 WAI单播密钥协商数据进行拆封后转发给站点；对来自站点的 WAI 单播密钥协商数据根据 CAPWAP数据封装格式进行封装后发送给访问控制器；

2.3.3 )访问控制器与站点之间的 WAI组播密钥通告过程；包括：无线终端点对来自访问控制器的根据 CAPWAP数据封装格式封装的 WAI组播密钥通告数据进行拆封后转发给站点；对来自站点的 WAI 组播密钥通告数据根据 CAPWAP数据封装格式进行封装后发送给访问控制器。

上述步骤 2.4 ) 的具体步骤如下：

2.4.1 )访问控制器向无线终端点发送 CAPWAP站点配置请求消息，消息中包括加入站点、 GB15629.il 加入站点、 GB15629.il 站点会话密钥、 GB15629.il信息元素（ GB15629.il Information Element )消息元素；根据加入站点消息元素中站点的 MAC地址，无线终端点打开与所述 MAC地址对应的受控端口，转发来自该站点的所有数据，包括 WAI协议数据和非 WAI协议数据；

2.4.2 )无线终端点向访问控制器发送 CAPWAP站点配置响应消息，其中包括结果码等消息元素，用于标识对 CAPWAP站点配置请求消息的处理结果。

上述步骤 2.5 ) 的具体步骤如下：

2.5.1 )无线终端点加密来自访问控制器的数据并发送给站点；

2.5.2 )无线终端点解密并向访问控制器转发来自站点的数据。

上述步骤 2.5 )之后还包括步骤 2.6 )访问控制器与站点之间的单播密钥更新过程。

上所述步骤 2.6 ) 的具体步骤如下：

2.6.1 ) 当需要进行单播密钥更新时，访问控制器与站点之间执行 WAI单播密钥协商过程；

2.6.2 ) 当 WAI单播密钥协商过程完成后，访问控制器向无线终端点发送 CAPWAP站点配置请求消息，消息中包含加入站点、 GB 15629.11加入站点、 GB15629.il站点会话密钥和 GB15629.il信息元素消息元素；

2.6.3 )无线终端点向访问控制器发送 CAPWAP站点配置响应消息，其中包括结果码消息元素，用于标识对 CAPWAP站点配置请求消息的处理结果。

上述步骤 2.5 )或 2.6 )之后还包括步骤 2.7 )访问控制器与站点之间的组播密钥更新过程。

上述步骤 2.7 ) 的具体步骤如下：

2.7.1 ) 当访问控制器需要进行组播密钥更新时，首先向无线终端点发送 GB15629.il WLAN配置请求（GB15629.il WLAN Configuration Request ) 消息，其中包含 GB15629.il更新 WLAN(GB15629.11 Update WLAN)消息元素，该消息元素中包括组播会话密钥 MSK( Multicast Session Key )密钥数据、 MSK 索引、 MSK更新开始标识和数据分组序号 PN ( Packet Number )信息。

2.7.2 ) 无线终端点向访问控制器发送 GB15629.il WLAN 配置响应 ( GB15629.il WLAN Configuration Response ) 消息，其中包含结果码消息元素，用于标识对 GB15629.il WLAN配置请求消息的处理结果；

2.7.3 )访问控制器与站点之间执行 WAI组播密钥通告过程；

2.7.4 ) 当 WAI组播密钥通告过程完成后，访问控制器向无线终端点发送 GB15629.il WLAN配置请求消息，其中包含 GB15629.il更新 WLAN消息元素，该消息元素中包括 MSK索引和 MSK更新结束标识信息；

2.7.5 )无线终端点向访问控制器发送 GB15629.il WLAN配置响应消息，其中包括结果码消息元素，用于标识对 GB15629.11WLAN配置请求消息的处理结果。

本发明提供一种将 CAPWAP规范绑定 WAPI的由 WTP实现 WPI的分离 MAC模式的 WLAN实体之间的通信交互流程，其特征在于：将 AP的 MAC 功能和 WAPI功能分离到 WTP和访问控制器 AC ( Access Controller )上，由 WTP实现与站点 STA ( Station )之间的 GB15629.il标准要求的实时性信息的交互，包括信标帧、对探询请求帧的响应等，并实现 WPI协议，由 AC实现与 STA之间的非实时性交互，包括关联、 WAI 协议等。并基于 CAPWAP GB15629.il绑定规范实现 AC与 WTP之间的通信。将这种 AP功能的划分模式称为由 WTP实现 WPI的分离 MAC模式。本发明与现有技术相比具有如下优点：本发明提出了以分离 MAC模式实现 WAPI与 CAPWAP融合的方法，通过将 AP的媒体访问控制 MAC ( Medium Access Control )功能以及 WAPI 功能进行划分，实现对全网 AP 的集中控制和管理，能够满足大规模 WLAN 的部署需求。克服了目前基于 WAPI协议的自治式网络架构无法适用大规模 WLAN部署需求的局限性。它采用分离 MAC的模式，实现 AC对 WTP的统一监测、配置和控制，从而达到对 WLAN中 WTP进行集中管理的目的；采用由 AC实现 WAI协议， WTP实现 WPI协议的方式，将 WAPI协议与会聚式 WLAN体系架构无缝融合，能够保障 WLAN 的安全。本发明不仅能够满足 WLAN的大规模部署需求，而且能够保证会聚式体系架构下 WLAN的安全性。附图说明

图 1为将 CAPWAP规范绑定 WAPI由 WTP实现 WPI的分离 MAC模式的消息流程图；

图 2为 AC与 STA之间的单播密钥更新流程图；

图 3为 AC与 STA之间的组播密钥更新流程图。具体实施方式

参见图 1 , 根据本发明的优选实施例，其具体方法如下：

1 )构建由无线终端点实现 WPI的分离 MAC模式：将 AP的 MAC功能和 WAPI功能分离到 WTP和访问控制器 AC ( Access Controller )上；

2 )在由无线终端点实现 WPI的分离 MAC模式下，实现 CAPWAP规范绑定 WAPI;

2.1 ) STA与 WTP以及 AC之间的关联连接过程；

2.1.1 ) STA被动侦听 WTP的信标帧获得 WTP的相关参数，包括 WAPI 信息元素（WTP支持的鉴别及密钥管理套件、密码套件等）；

或者， STA主动向 WTP发送探询请求帧， WTP收到 STA的探询请求帧后，向 STA发送探询响应帧， STA从收到 WTP的探询响应帧中获得 WTP的相关参数，包括 WAPI信息元素；其中， WAPI信息元素包括 WTP支持的鉴别及密钥管理套件、密码套件等；

2.1.2 ) STA获得 WTP的探询响应后，向 AC发送链路验证请求帧，请求与 AC之间的链路验证；

2.1.3 ) AC根据 STA的链路验证请求帧，向 STA发送链路验证响应帧；

2.1.4 )链路验证成功后， STA向 AC发送关联请求帧，请求与 AC进行关联， STA在关联请求中包含 WAPI信息元素确定 STA选择的鉴别及密钥管理套件、密码套件等；

2.1.5 ) AC解析 STA的关联请求帧，向 STA发送关联响应帧。

2.2 ) AC与 WTP之间 WAI协议开始执行的通告过程；

2.2.1 ) AC向 WTP发送 CAPWAP站点配置请求消息，消息中包含加入站点 ( STA的 MAC地址）、 GB15629.il加入站点（ WLAN ID )、 GB15629.il站点会话密钥（A被置为 1 )等消息元素。其中， GB15629.il站点会话密钥消息元素中的 A被置为 1用于告知 WTP关闭受控端口，仅转发来自对应 STA的 WAI协议数据；其中 A为 GB15629.il站点会话密钥消息元素中的一个标识位， A作为标识位，若该标识被设置为 1 , 用于告知无线终端点打开受控端口，仅转发 WAI协议数据。

2.2.2 ) WTP向 AC发送 CAPWAP站点配置响应消息，其中包含结果码等消息元素，用于标识对 CAPWAP站点配置请求消息的处理结果。

2.3 ) STA与 AC之间 WAI协议的执行过程；

2.3.1 ) AC与 STA之间的 WAI鉴别过程；包括： WTP对来自 AC的由 CAPWAP数据封装格式封装的 WAI鉴别数据进行拆封后转发给 STA; 对来自 STA的 WAI鉴别数据根据 CAPWAP数据封装格式进行封装后发送给 AC;

2.3.2 ) AC与 STA之间的 WAI单播密钥协商过程；包括： WTP对来自 AC的由 CAPWAP数据封装格式封装的 WAI单播密钥协商数据进行拆封后转发给 STA; 对来自 STA的 WAI单播密钥协商数据根据 CAPWAP数据封装格式进行封装后发送给 AC;

2.3.3 ) AC与 STA之间的 WAI组播密钥通告过程；包括： WTP对来自 AC的由 CAPWAP数据封装格式封装的 WAI组播密钥通告数据进行拆封后转发给 STA; 对来自 STA的 WAI组播密钥通告数据根据 CAPWAP数据封装格式进行封装后发送给 AC。

2.4 ) AC与 WTP之间 WAI协议执行结束的通告过程；

2.4.1 ) AC向 WTP发送 CAPWAP站点配置请求消息，消息中包含加入站点 ( STA的 MAC地址）、 GB15629.il加入站点（ WLAN ID )、 GB15629.il站点会话密钥（密钥数据）、 GB15629.il 信息元素（ WAPIIE (密码算法为 WPI-SMS4 ) )等消息元素；根据加入站点消息元素中 STA的 MAC地址， WTP 打开与该 MAC地址对应站点的受控端口，转发来自该 STA的所有数据，包括 WAI协议数据和非 WAI协议数据；

2.4.2 ) WTP向 AC发送 CAPWAP站点配置响应消息，其中包含结果码等消息元素，用于标识对 CAPWAP站点配置请求消息的处理结果。

2.5 ) WTP与 STA之间利用 WPI进行保密通信的过程；

2.5.1 ) WTP加密来自 AC的数据并发送给 STA;

2.5.2 ) WTP解密并向 AC转发来自 STA的数据。

参见图 2, 此外，本发明流程中还包括步骤 2.6 ) AC与 STA之间的单播密钥更新过程：

2.6.1 ) 当需要进行单播密钥更新时， AC与 STA之间执行 WAI单播密钥协商过程；

2.6.2 ) 当 WAI单播密钥协商过程完成后， AC向 WTP发送 CAPWAP站点配置请求消息，消息中包含加入站点（ STA的 MAC地址）、 GB15629.il加入站点（ WLAN ID )、 GB15629.il站点会话密钥（单播会话密钥 USK ( Unicast Session Key )、 GB15629.il信息元素（WAPIIE (密码算法为 WPI-SMS4 ) )等消息元素；

2.6.3 ) WTP向 AC发送 CAPWAP站点配置响应消息，其中包含结果码消息元素，用于标识对 CAPWAP站点配置请求消息的处理结果。

参见图 3, 此外，本发明流程中还包括步骤 2.7 ) AC与 STA之间的组播密钥更新过程：

2.7.1 ) 当 AC需要进行组播密钥更新时，首先向 WTP发送 GB15629.il WLAN配置请求消息，其中包含 GB15629.il更新 WLAN消息元素，该消息元素中包含 MSK密钥数据、 MSK索引、 MSK更新开始标识、数据分组序号 PN等信息；

2.7.2 ) WTP向 AC发送 GB15629.il WLAN配置响应消息，其中包含结果码等消息元素，用于标识对 GB15629.il WLAN配置请求消息的处理结果； 2.7.3 ) AC与 STA之间执行 WAI组播密钥通告过程；

2.7.4 ) 当 WAI组播密钥通告过程完成后， AC向 WTP发送 GB15629.il WLAN配置请求消息，其中包含 GB15629.il更新 WLAN ( MSK索引、 MSK 更新结束标识）等消息元素；

2.7.5 ) WTP向 AC发送 GB15629.il WLAN配置响应消息，其中包含结果码等消息元素，用于标识对 GB15629.il WLAN配置请求消息的处理结果。

以上对本发明所提供的一种以分离 MAC模式实现 WAPI与 C APWAP 融合的方法，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1、以分离 MAC模式实现无线局域网鉴别与保密基础结构 WAPI与无线接入点控制与配置 CAPWAP融合的方法，其特征在于：该方法包括以下步骤：

1 ) 构建由无线终端点实现无线局域网保密基础结构 WPI 的分离

MAC模式的步骤：将无线接入点的 MAC功能和 WAPI功能分别分离到无线终端点和访问控制器上；

2 ) 在由无线终端点实现 WPI的分离 MAC模式下，进行 CAPWAP 规范绑定 WAPI的步骤：

2.1 ) 站点与无线终端点以及访问控制器之间进行关联连接的过程；

2.2 ) 访问控制器与无线终端点之间通告无线局域网鉴别基础结构 WAI协议开始执行的过程；

2.3 ) 站点与访问控制器之间执行 WAI协议的过程；

2.4 ) 访问控制器与无线终端点之间通告 WAI协议执行结束的过程； 2.5 ) 无线终端点与站点之间利用 WPI进行保密通信的过程。

2、根据权利要求 1所述的以分离 MAC模式实现 WAPI与 CAPWAP 融合的方法，其特征在于：所述步骤 2.1 ) 的具体步骤如下：

2.1.1 ) 站点被动侦听无线终端点的信标帧获得包括 WAPI信息元素的无线终端点的参数；或者

站点主动向无线终端点发送探询请求帧，无线终端点收到站点的探询请求帧后，向站点发送探询响应帧，站点从收到探询响应帧中获得包括 WAPI信息元素的无线终端点的参数；所述 WAPI信息元素包括无线终端点支持的鉴别及密钥管理套件和密码套件；

2.1.2 ) 站点向访问控制器发送链路验证请求帧，请求与访问控制器之间的链路验证；

2.1.3 ) 访问控制器根据站点的链路验证请求帧，向站点发送链路验证响应帧；

2.1.4 ) 链路验证成功后，站点向访问控制器发送关联请求帧，请求与访问控制器进行关联，在关联请求帧中包含 WAPI 信息元素，用以确定站点选择的鉴别及密钥管理套件和密码套件；

3、根据权利要求 1 或 2 所述的以分离 MAC 模式实现 WAPI 与 CAPWAP融合的方法，其特征在于：所述步骤 2.2 ) 的具体步骤如下： 2.2.1 ) 访问控制器向无线终端点发送 CAPWAP站点配置请求消息，消息中包括加入站点、 GB15629. il加入站点、 GB15629. il站点会话密钥消息元素；其中， GB15629. il站点会话密钥消息元素中的标识 A被置为 1用于告知无线终端点关闭受控端口，仅转发来自对应站点的 WAI协议数据；

2.2.2 ) 无线终端点向访问控制器发送 CAPWAP站点配置响应消息，其中包括结果码消息元素，用于标识对 CAPWAP站点配置请求消息的处理结果。

4、根据权利要求 1-3任一项所述的以分离 MAC模式实现 WAPI与 CAPWAP融合的方法，其特征在于：所述步骤 2.3 ) 的具体步骤如下： 2.3.1 ) 访问控制器与站点之间的 WAI鉴别过程；包括：无线终端点对来自访问控制器的根据 CAPWAP数据封装格式封装的 WAI鉴别数据进行拆封后转发给站点；对来自站点的 WAI鉴别数据根据 CAPWAP数据封装格式进行封装后发送给访问控制器；

2.3.2 ) 访问控制器与站点之间的 WAI单播密钥协商过程；包括：无线终端点对来自访问控制器的根据 CAPWAP 数据封装格式封装的 WAI 单播密钥协商数据进行拆封后转发给站点；对来自站点的 WAI单播密钥协商数据根据 CAPWAP数据封装格式进行封装后发送给访问控制器；

2.3.3 ) 访问控制器与站点之间的 WAI组播密钥通告过程；包括：无线终端点对来自访问控制器的根据 CAPWAP 数据封装格式封装的 WAI 组播密钥通告数据进行拆封后转发给站点；对来自站点的 WAI组播密钥通告数据根据 CAPWAP数据封装格式进行封装后发送给访问控制器。

5、根据权利要求 1-4任一项所述的以分离 MAC模式实现 WAPI与 CAPWAP融合的方法，其特征在于：所述步骤 2.4 ) 的具体步骤如下：

2.4.1 ) 访问控制器向无线终端点发送 CAPWAP站点配置请求消息，消息中包括加入站点、 GB15629. il加入站点、 GB15629. il站点会话密钥、 GB15629. i l 信息元素消息元素；根据加入站点消息元素中站点的 MAC 地址，无线终端点打开与所述 MAC地址对应的受控端口，转发来自该站点的所有数据，包括 WAI协议数据和非 WAI协议数据；

2.4.2 ) 无线终端点向访问控制器发送 CAPWAP站点配置响应消息，其中包括结果码消息元素，用于标识对 CAPWAP站点配置请求消息的处理结果。

6、根据权利要求 1-5任一项所述的以分离 MAC模式实现 WAPI与 CAPWAP融合的方法，其特征在于：所述步骤 2.5 ) 的具体步骤如下： 2.5.1 ) 无线终端点加密来自访问控制器的数据并发送给站点；

2.5.2 ) 无线终端点解密并向访问控制器转发来自站点的数据。

7、根据权利要求 1-6任一项所述的以分离 MAC模式实现 WAPI与 CAPWAP融合的方法，其特征在于：所述步骤 2.5 )之后还包括步骤 2.6 ) 访问控制器与站点之间的单播密钥更新过程。

8、根据权利要求 7所述的以分离 MAC模式实现 WAPI与 CAPWAP 融合的方法，其特征在于：所述步骤 2.6 ) 的具体步骤如下：

2.6.1 )当需要进行单播密钥更新时，访问控制器与站点之间执行 WAI 单播密钥协商过程；

2.6.2 ) 当 WAI单播密钥协商过程完成后，访问控制器向无线终端点发送 CAPWAP 站点配置请求消息，消息中包含加入站点、 GB 15629.11 加入站点、 GB15629. il站点会话密钥和 GB15629. il信息元素消息元素；

2.6.3 ) 无线终端点向访问控制器发送 CAPWAP站点配置响应消息，其中包括结果码消息元素，用于标识对 CAPWAP站点配置请求消息的处理结果。

9、根据权利要求 1-8任一项所述的以分离 MAC模式实现 WAPI与

CAPWAP融合的方法，其特征在于：所述步骤 2.5 )之后还包括步骤 2.7 ) 访问控制器与站点之间的组播密钥更新过程。

10、根据权利要求 9所述的以分离 MAC模式实现 WAPI与 CAPWAP 融合的方法，其特征在于：所述步骤 2.7 ) 的具体步骤如下：

2.7.1 ) 当访问控制器需要进行组播密钥更新时，首先向无线终端点发送 GB15629.il WLAN Configuration Request 消息，其中包括 GB15629.il更新 WLAN消息元素，该 GB15629.il更新 WLAN消息元素中包括 MSK密钥数据、 MSK索引、 MSK更新开始标识和数据分组序号 PN;

2.7.2)无线终端点向访问控制器发送 GB15629.il WLAN配置响应消息，其中包括结果码消息元素，用于标识对 GB15629.il WLAN配置请求消息的处理结果；

2.7.3 ) 访问控制器与站点之间执行 WAI组播密钥通告过程；

2.7.4) 当 WAI组播密钥通告过程完成后，访问控制器向无线终端点发送 GB15629.il WLAN 配置请求消息，其中包括 GB15629.il 更新 WLAN消息元素，该 GB15629.il更新 WLAN消息元素包括 MSK索引和 MSK更新结束标识；

2.7.5 )无线终端点向访问控制器发送 GB15629.il WLAN配置响应消息，其中包括结果码消息元素，用于标识对 GB15629.il WLAN配置请求消息的处理结果。