WO2010130132A1

WO2010130132A1 - 一种会聚式wlan中由无线终端点完成wpi时的站点切换方法及系统

Info

Publication number: WO2010130132A1
Application number: PCT/CN2009/075564
Authority: WO
Inventors: 杜志强; 曹军; 铁满霞; 赖晓龙; 黄振海
Original assignee: 西安西电捷通无线网络通信有限公司
Priority date: 2009-05-14
Filing date: 2009-12-14
Publication date: 2010-11-18
Also published as: US8750521B2; EP2432263B1; US20120060205A1; CN101562811B; JP5351333B2; CN101562811A; EP2432263A4; EP2432263A1; JP2012527135A

Description

一种会聚式 WLAN中由无线终端点完成 WPI时的站点切换方法及系统本申请要求 2009年 5月 14 日提交的申请号为 200910022521.6, 名称为 "一种会聚式 WLAN中由 WTP完成 WI时的 STA漫游切换方法及其系统"的中国专利申请的优先权。技术领域

本发明涉及通信技术，尤其涉及一种会聚式无线局域网络（Wireless Local Area Network,筒称 WLAN )中由无线终端点（ Wireless Terminal Point, 简称 WTP)完成无线局域网保密基础结构（WLAN Privacy Infrastructure, 简称 WPI) 时的站点（Station, 简称 STA)切换方法及系统。背景技术

目前在基于无线局域网鉴别和保密基础结构（ WLAN Authent ication and Privacy Infrastructure, 简称 WAP I )协议的 WLAN中， STA切换方法均是在自治式 WLAN体系架构下提出的，无法直接适用于基于醫 I协议的会¾^ WLAN体系架构。

在会聚式 WLAN体系架构中，由访问控制器（Access Controller, 简称 AC)、无线交换机或者无线路由器等访问控制设备集中管理 WLAN的鉴别和策略执行功能，这些设备还可以提供集中的桥接、转发用户数据等功能。发明内容

本发明实施例提供了一种会聚式 WLAN中由无线终端点完成 WP I时的站点切换方法及系统，以解决现有技术存在的目前基于 WAPI协议的 WLAN中 STA 切换方法仅适用于自治式架构的缺陷，实现在会聚式 WLAN体系架构下当由 WTP实现 WPI时 STA在不同 AC下 WTP之间的切换。这里 AC也可由无线交换机或者无线路由器等设备代替。本发明实施例提供了一种会聚式 AN中由无线终端点完成 WP I时的站点切换方法，是站点在不同访问控制器下的无线终端点之间的切换方法，其特殊之处在于：该方法包括以下步骤：

步骤 1、站点通过目的无线终端点与目的访问控制器进行重新关联连接；步骤 2、目的访问控制器向已关联访问控制器请求基密钥（Ba se Key, 简称 BK ) ；

步骤 3、已关联访问控制器通知已关联无线终端点删除站点；

步驟 4、目的访问控制器通知目的无线终端点加入站点；

步骤 5、站点与目的访问控制器基于所请求的基密钥协商会话密钥；步骤 6、目的访问控制器与目的无线终端点之间同步会话密钥。

上述步骤 1的具体实现方式是：

步骤 11、站点获取包括 WAPI信息元素的目的无线终端点的相关参数，该 WAPI 信息元素包括目的无线终端点支持的鉴別及密钥管理套件和密码套件。

步樣 11具体可以包括：

站点被动侦听目的无线终端点的信标帧，获得包括 WAPI信息元素在内的目的无线终端点的相关参数，该 PI信息元素包括目的无线终端点支持的鉴别及密钥管理套件和密码套件；或者

站点主动向目的无线终端点发送探询请求帧，目的无线终端点收到站点的探询请求帧后，向站点发送探询响应帧，站点收到探询响应帧即获得包括 WAPI信息元素的目的无线终端点的相关参数，该 WAP I信息元素包括目的无线终端点支持的鉴别及密钥管理套件和密码套件。

步骤 12、站点进行链路验证；

其中，步骤 12具体可以包括：

在本地媒体访问控制（Medium Acces s Contro l , 简称 MAC )模式中，站点向目的无线终端点发送链路验证请求帧，请求与目的无线终端点之间的链路验证，目的无线终端点根据站点的链路验证请求帧，向站点发送链路验证响应帧；

在分离 MAC模式中，站点向目的访问控制器发送链路验证请求帧，请求与目的访问控制器之间的链路验证，目的访问控制器根据站点的链路验证请求帧，向站点发送链路验证响应帧。

步骤 13、链路验证成功后，站点向目的访问控制器发送重新关联奇求帧，请求与目的访问控制器进行重新关联，站点在重新关联请求帧中包含当前已关联无线终端点的标识、已关联访问控制器的标识以及 WAPI信息元素以确定站点所选择的鉴别及密钥管理套件和密码套件；其中，站点所选择的鉴别及密钥管理套件和密码套件等，最好与站点和已关联访问控制器关联时所选择的鉴别及密钥管理套件和密码套件相同；目的访问控制器解析站点的重新关联请求帧，向站点发送重新关联响应帧。

上述步骤 2的具体实现方式是：

步骤 21、目的访问控制器利用与已关联访问控制器之间预先建立的安全通道向已关联访问控制器发送基密钥请求信息，其中包含站点删除信息；步骤 22、已关联访问控制器根据目的访问控制器的基密钥请求信息，利用与目的访问控制器之间的安全通道向目的访问控制器发送基密钥，其中，向目的访问控制器发送的基密钥或者完全等于站点和已关联访问控制器之间的基密钥，或者该基密钥由站点和已关联访问控制器之间的基密钥利用扩展参数通过单向函数计算得到；扩展参数是站点和目的访问控制器之间预先可知的参数。

上述步骤 3的具体实现方式是：

步骤 31、已关联访问控制器根据目的访问控制器的基密钥请求信息中的站点删除信息，向已关联无线终端点发送无线接入点控制与配置协议 ( Control And Prov i s ioning of Wi re les s Acces s Point s protocol , 简称 CAPWAP )站点配置请求（ Stat ion Conf i gurat ion Reques t ) 消息，该请求消息中包含删除站点（Delete Station)等消息元素；

步骤 32、已关联无线终端点向已关联访问控制器发送 CAPWAP站点配置响应 ( Station Configuration Response ) 消息, 该响应消息包含用于标识对 CAPWAP站点配置请求消息的处理结果的结果码（ Result Code )消息元素。

上述步骤 4的具体实现方式是：

步骤 41、目的访问控制器向目的无线终端点发送 CAPWAP站点配置请求 ( Station Configuration Request )消息，该请求消息中包含加入站点 ( Add Station) 消息元素、 GB15629. il 加入站点（GB15629. il Add Station) 消息元素和 GB15629.11站点会话密钥（GB15629. il Station Session Key ) 消息元素等；其中， GB15629.11站点会话密钥消息元素中的 A标识位被置为 1, 用于告知目的无线终端点关闭受控端口，仅转发来自对应站点的无线局域网鉴別基础结构（WLAN Authentication Infrastructure, 简称 WAI )协议数据；

步骤 42、目的无线终端点向目的访问控制器发送 CAPWAP站点配置响应 ( Station Configuration Response ) 消息，该响应消息包含用于标识对 CAPWAP站点配置请求消息的处理结果的结果码 (Result Code) 消息元素。

上述步骤 5的具体实现方式是：

步骤 51、目的访问控制器与站点基于向已关联访问控制器所请求的基密钥进行 WAI单播密钥协商；包括：目的无线终端点对来自目的访问控制器的按照 CAPWAP数据封装格式封装的 WAI单播密钥协商数据进行拆封后转发给站点 STA; 目的无线终端点对来自站点的 WAI单播密钥协商数据按照 CAPWAP数据封装格式进行封装后发送给目的访问控制器；

步骤 52、目的访问控制器与站点进行 WAI组播密钥通告；包括：目的无线终端点对来自目的访问控制器的按照 CAPWAP数据封装格式封装的 WAI组播密钥通告数据进行拆封后转发给站点；目的无线终端点对来自站点的 WAI组播密钥通告数据按照 CAPWAP 数据封装格式进行封装后发送给目的访问控制器。

上述步骤 6的具体实现方式是：

步骤 61、目的访问控制器向目的无线终端点发送 CAPWAP站点配置请求 ( Station Configuration Request )消息，该请求消息中包含加入站点 ( Add Station) 消息元素、 GB15629. il 加入站点 (GB15629. il Add Station) 消息元素、 GB15629.11站点会话密钥（GB15629.il Station Session Key) 消息元素和 GB15629.11信息元素 ( GB 15629.11 Information Element ) 消息元素等；根据加入站点消息元素中站点的 MAC地址，目的无线终端点打开与之对应的受控端口，转发来自该站点的所有数据，包括 l协议数据和非 WAI 协议数据；

步骤 62、目的无线终端点向目的访问控制器发送 CAPWAP站点配置响应 ( Station Configuration Response ) 消息，该响应消息色含用于标识对 CAPWAP站点配置请求消息的处理结果的结果码 (Result Code) 消息元素。

一种会聚式 WLAN中由 WTP完成 WP I时的站点切换系统，其特殊之处在于：该系统包括目的访问控制器、已关联访问控制器、目的无线终端点、已关联无线终端点以及站点，站点通过目的无线终端点与目的访问控制器进行重新关联连接；目的访问控制器向已关联访问控制器请求基密钥；已关联访问控制器通知已关联无线终端点删除站点；目的访问控制器通知目的无线终端点删除站点；站点与目的访问控制器基于所请求的基密钥进行会话密钥的协商；目的访问控制器与目的无线终端点之间同步会话密钥。

本发明提供了一种基于 WAPI协议的会聚式 WLAN体系架构下当由 WTP完成 WPI时的站点切换方法及其系统，通过将 STA与 AC之间经 WAI协商产生的基密钥进行緩存，在 STA切换过程中利用该缓存的 BK生成 STA与目的 WTP之间的会话密钥，基于 CAPWAP控制消息实现 AC与 WTP之间的站点加入、站点删除和密钥同步操作，提出一种基于 WAPI协议的会聚式 WLAN体系架构下不同 AC下 WTP之间的 STA快速安全的切换方法。本发明具有如下优点：本发明提出了一种会聚式 WLAN中由 WTP完成 WI时的站点切换方法，基于 STA与 AC之间已协商并緩存的基密钥，利用 CAPWAP控制消息，该方法能够快速安全地实现 STA在不同 AC下 WTP之间的切换。附图说明

图 1为本发明所提供站点切换示意图；

图 2为本发明所提供站点切换方法流程图。具体实施方式

本发明通过将 STA与 AC之间经 WAI协商产生的 BK緩存，在 STA切换过程中利用该緩存的 BK生成 STA与目的 WTP之间的会话密钥，并基于 CAPWAP 控制消息实现 AC与 WTP之间的 STA加入、 STA删除和密钥同步操作，提出一种基于 WAPI协议的会聚式 WLAN体系架构下，在不同 AC下的 WTP之间 STA快速安全的切换流程，其中 AC之间可以是平行结构，也可以是分级结构。并且不限于是 AC, 还可以是无线交换机或者无线路由器等设备，下面以 AC为例进行说明。

参见图 2，本发明提供了一种 STA在不同 AC下的不同的 WTP之间切换的方法，才艮据本发明的优选实施例，该方法包括以下步骤：

步骤 1、 STA通过目的 WTP与目的 AC进行重新关联连接；

步驟 1具体可以包括下述流程：

步骤 11、 STA获取包括 WAPI信息元素的目的 WTP的相关参数，该 WAPI 信息元素包括目的 WTP支持的鉴别及密钥管理套件和密码套件等；

步骤 11中， STA可以被动侦听目的 WTP的信标帧，获得包括 WAPI信息元素的目的 WTP的相关参数；或者 STA也可以主动向目的 WTP发送探询请求帧，目的 WTP收到 STA的探询请求帧后，向 STA发送探询响应帧， STA收到探询响应帧，即获得包括 WAPI信息元素的目的 WTP的相关参数；步驟 12、 STA进行链路验证；

具体的，步骤 12可以包括如下步骤：

在本地 MAC模式下， STA向目的 WTP发送链路验证请求帧，请求与目的 WTP之间的链路验证，目的 WTP根据 STA的链路验证请求帧，向 STA发送链路验证响应帧；或者

在分离 MAC模式下， STA向目的 AC发送链路验证请求帧，请求与目的 AC 之间的链路验证，目的 AC根据 STA的链路验证请求帧，向 STA发送链路验证响应帧。

步骤 13、链路险证成功后， STA向目的 AC发送重新关联请求帧，请求与目的 AC进行重新关联， STA在重新关联请求帧中包含当前已关联 WTP的标识、已关联 AC的标识以及 WAPI信息元素，以确定 STA选择的鉴别及密钥管理套件和密码套件等，其中， STA 所选择的鉴别及密钥管理套件和密码套件等，最好与 STA初次与 AC关联时所选择的鉴別及密钥管理套件和密码套件相同；目的 AC解析 STA的重新关联请求帧，向 STA发送重新关联响应帧。

步樣 2、目的 AC向已关联 AC请求 BK或扩展基密钥（ Extended BK, 简称 EBK ) ；

步骤 2具体可以包括下述流程：

步骤 21、利用与已关联 AC之间预先建立的安全通道，目的 AC向已关联 AC发送 BK请求信息或 EBK请求信息，其中包含 STA删除信息；

步驟 22、根据目的 AC的 BK请求信息或 EBK请求信息，已关联 AC利用与目的 AC之间的安全通道向目的 AC发送 BK或 EBK , 其中， BK相当于 STA和已关联 AC之间的 BK, EBK由 STA和已关联 AC之间的基密钥利用扩展参数通过单向函数计算得到，即： EBK=F ( BK，扩展参数） , 扩展参数是 STA和目的 AC预先可知的参数，如双方的 MAC地址等， F为单向函数。

步骤 3、已关联 AC通知已关联 WTP删除 STA;

步骤 3具体可以包括下述流程：步驟 31、已关联 AC根据目的 AC的 BK请求信息或 EBK请求信息中的 STA 删除信息，向已关联 WTP发送 CAPWAP站点配置请求 ( Station Configuration Request ) 消息，消息中包含删除站点（Delete Station)等消息元素；

步骤 32、已关联 WTP向已关联 AC发送 CAP P站点配置响应 ( Station Configuration Response ) 消息，其中包含用于标识对 CAPWAP站点配置请求 ( Station Configuration Request )消息的处理结果的结果码（ Result Code ) 消息元素。

步驟 4、目的 AC通知目的 WTP加入 STA;

步骤 4具体可以包括下述流程：

步骤 41、目的 AC 向目的 WTP 发送 CAPWAP 站点配置请求（Station Configuration Request ) 消息，消息中包含力口入站点 ( Add Station ) 、 GB15629.11加入站点 (Add Station)和 GB15629.11站点会话密钥 (Station Session Key )等消息元素;其中， GB15629.11站点会话密钥（ Station Sess ion Key ) 消息元素中的 A标识位被置为 1 , 用于告知目的 WTP关闭受控端口，仅转发来自对应 STA的 WAI协议数据；

步骤 42、目的 WTP 向目的 AC 发送 CAPWAP 站点配置响应（Station Configuration Response ) 消息，其中包含用于标识对 CAPWAP站点配置请求 ( Station Configuration Request )消息的处理结果的结果码（ Result Code ) 消息元素。

步驟 5、 STA与目的 AC基于所奇求的 BK或 EBK协商会话密钥；步骤 5具体可以包括下述流程：

步骤 51、目的 AC与 STA基于所请求的 BK或 EBK进行 WAI单播密钥协商；包括：目的 WTP对来自目的 AC的按照 CAPWAP数据封装格式封装的 WAI单播密钥协商数据进行拆封后转发给 STA; 目的 WTP对来自 STA的 l单播密钥协商数据按照 CAPWAP数据封装格式进行封装后发送给目的 AC;

步骤 52、目的 AC与 STA进行 WAI组播密钥通告；包括：目的 WTP对来自目的 AC的按照 CAPWAP数据封装格式封装的 WAI组播密钥通告数据进行拆封后转发给 STA; 目的 WTP对来自 STA的 WAI组播密钥通告数据按照 CAPWAP 数据封装格式进行封装后发送给目的 AC。

步骤 6、目的 AC与目的 WTP之间同步会话密钥。

步骤 6具体可以包括下述流程：

步骤 61、目的 AC 向目的 ΉΡ 发送 CAPWAP 站点配置倚求（Station Configuration Request ) 消息，消息中包含力。入站点（Add Station ) 消息元素、 GB15629.il 加入站点 (Add Station) 消息元素、 GB15629.11站点会话密钥（ Station Session Key ) 消息元素和 GB 15629.11 信息元素

( Information Element ) 消息元素等；根据加入站点 ( Add Station ) 消息元素中 STA的 MAC地址，目的 WTP打开与该 STA对应的受控端口，转发来自该 STA的所有数据，该数据中包括 WAI协议数据和非 WAI协议数据；

步骤 62、目的 WTP 向目的 AC 发送 CAPWAP 站点配置响应（Station Configuration Response ) 消息，其中包含用于标识对 CAPWAP站点配置请求

( Station Configuration Request )消息的处理结果的结果码（ Result Code ) 消息元素。

本发明还提供了一种会聚式 WLAN中由 WTP完成 WPI时的 STA切换系统，该系统包括目的访问控制器、已关联访问控制器、目的无线终端点、已关联无线终端点以及站点，站点通过目的无线终端点与目的访问控制器进行重新关联连接；目的访问控制器向已关联访问控制器请求基密钥；已关联访问控制器通知已关联无线终端点删除站点；目的访问控制器通知目的无线终端点删除站点；站点与目的访问控制器基于所请求的基密钥进行会话密钥的协商；目的访问控制器与目的无线终端点之间同步会话密钥。

该站点切换系统可以执行本发明所提供的站点切换方法，具备相应的功能模块。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介盾中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括： ROM, RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权利要求书

1、一种会聚式 WLAN中由无线终端点完成 WPI时的站点切换方法，其特征在于该方法包括以下步骤：

步骤 1、站点通过目的无线终端点与目的访问控制器进行重新关联连接；步骤 2、目的访问控制器向已关联的访问控制器请求基密钥；

步骤 4、目的访问控制器通知目的无线终端点加入站点；

1、根据权利要求 1所述的站点切换方法，其特征在于，所述步骤 1包括：步骤 11、站点获取包括 WAPI信息元素在内的目的无线终端点的相关参数，该 PI信息元素包括目的无线终端点支持的鉴别及密钥管理套件和密码套件；

步驟 12、站点进行链路验证；

步骤 13、链路验证成功后，站点向目的访问控制器发送重新关联请求帧，请求与目的访问控制器进行重新关联，站点在重新关联请求帧中包含当前已关联无线终端点的标识、巳关联访问控制器的标识以及 WAPI信息元素，以确定站点选择的鉴别及密钥管理套件和密码套件；目的访问控制器解析站点的重新关联请求帧，向站点发送重新关联响应帧。

3、根据权利要求 2所述的站点切换方法，其特征在于，所述步骤 1 1包括：站点被动侦听目的无线终端点的信标帧，获得包括 WAPI信息元素的目的无线终端点的相关参数；或者

站点主动向目的无线终端点发送探询请求帧，目的无线终端点收到站点的探询请求帧后，向站点发送探询响应帧，站点收到探询响应帧即获得包括 WAPI信息元素的目的无线终端点的相关参数。

4、根据权利要求 2所述的站点切换方法，其特征在于，所述步骤 12包括：在本地 MAC模式中，站点向目的无线终端点发送链路验证请求帧，请求与目的无线终端点之间的链路验证，目的无线终端点根据站点的链路验证请求帧，向站点发送链路验证响应帧；或者

5、根据权利要求 2所述的站点切换方法，其特征在于：在步骤 13中，站点所选择的鉴别及密钥管理套件和密码套件，与站点和已关联访问控制器关联时所选择的鉴别及密钥管理套件和密码套件相同。

6、根据权利要求 1 ~ 5任一所述的站点切换方法，其特征在于，所述步骤 2包括：

步骤 21、目的访问控制器利用与已关联访问控制器之间预先建立的安全通道向已关联的访问控制器发送基密钥请求信息，其中包含站点删除信息；步骤 22、已关联访问控制器根据目的访问控制器的基密钥请求信息，利用与目的访问控制器之间的安全通道向目的访问控制器发送基密钥，其中，发送的所述基密钥完全等于站点和已关联访问控制器之间的基密钥，或者所述基密钥由站点和已关联访问控制器之间的基密钥利用扩展参数通过单向函数计算得到；所述 ·Τ展参数是站点和目的访问控制器之间预先可知的参数。

7、根据权利要求 6所述的站点切换方法，其特征在于，所述步骤 3包括：步驟 31、已关联访问控制器根据目的访问控制器的基密钥请求信息中的站点删除信息，向已关联无线终端点发送 CAPWAP站点配置请求消息，该请求消息中包含删除站点消息元素；

步骤 32、已关联无线终端点向已关联访问控制器发送 CAPWAP站点配置响应消息，该响应消息包含用于标识对 CAPWAP站点配置请求消息的处理结果的结果码消息元素。

8、根据权利要求 1 ~ 7任一所述的站点切换方法，其特征在于，所述步骤 4包括：

步骤 41、目的访问控制器向目的无线终端点发送 CAPWAP站点配置请求消息，该请求消息中包含加入站点消息元素、 GB15629. 11加入站点消息元素和 GB15629. 11站点会话密钥消息元素；其中， GB15629. 11站点会话密钥消息元素中的 A标识位被置为 1 , 用于告知目的无线终端点关闭受控端口，仅转发来自对应站点的 WAI协议数据；

步骤 42、目的无线终端点向目的访问控制器发送 CAPWAP站点配置响应消息，该响应消息包含用于标识对 CAPWAP站点配置请求消息的处理结果的结果码消息元素。

9、根据权利要求 1 ~ 8任一所述的站点切换方法，其特征在于，所述步骤 5包括：

步骤 51、目的访问控制器与站点基于向已关联访问控制器所请求的基密钥进行 WAI单播密钥协商；包括：目的无线终端点对来自目的访问控制器的按照 CAPWAP数据封装格式封装的 WAI单播密钥协商数据进行拆封后转发给站点；目的无线终端点对来自站点的 WAI单播密钥协商数据按照 CAPWAP数据封装格式进行封装后发送给目的访问控制器；

步骤 52、目的访问控制器与站点进行 WAI组播密钥通告；包括：目的无线终端点对来自目的访问控制器的按照 CAPWAP数据封装格式封装的 WAI组播密钥通告数据进行拆封后转发给站点；目的无线终端点对来自站点的 WA I组播密钥通告数据按照 CAPWAP数据封装格式进行封装后发送给目的访问控制器。

10、根据权利要求 1 ~ 9任一所述的站点切换方法，其特征在于，所述步骤 6包括：

步骤 61、目的访问控制器向目的无线终端点发送 CAPWAP站点配置请求消息，该请求消息中包含加入站点消息元素、 GB15629. 11加入站点消息元素、 GB15629. 11站点会话密钥消息元素和 GB15629. 11信息元素消息元素；根据加入站点消息元素中站点的 MAC地址，目的无线终端点打开与之对应的受控端口，转发来自该站点的所有数据，包括 WAI协议数据和非 WAI协议数据；步骤 62、目的无线终端点向目的访问控制器发送 CAPWAP站点配置响应消息，该响应消息包含用于标识对 CAPWAP站点配置请求消息的处理结果的结果码消息元素。

11、一种会聚式 WLAN中由无线终端点完成 WPI时的站点切换系统，其特征在于：所述系统包括目的访问控制器、已关联访问控制器、目的无线终端点、已关联无线终端点以及站点，所述站点通过目的无线终端点与目的访问控制器进行重新关联连接；所述目的访问控制器向已关联访问控制器请求基密钥；所述已关联访问控制器通知已关联无线终端点删除站点；所述目的访问控制器通知目的无线终端点删除站点；所述站点与目的访问控制器基于所请求的基密钥进行会话密钥的协商；所述目的访问控制器与目的无线终端点之间同步会话密钥。