[发明专利]一种以分离MAC模式实现WAPI与CAPWAP融合的方法

说明书

技术领域

本发明涉及一种以分离MAC模式实现WAPI与CAPWAP融合的方法。

背景技术

自治式体系架构的无线局域网WLAN(Wireless Local Area Networks)中无线接入点AP(Access Point)完全部署和端接GB15629.11功能，作为网络上一个单独的实体，需进行独立管理。目前基于无线局域网鉴别与保密基础设施WAPI(WLAN Authentication and Privacy Infrastructure)设计的WLAN均采用自治式体系架构，但随着WLAN部署规模的扩大，这种自治式架构的网络工作模式因其固有的缺陷已逐渐成为制约无线技术发展的障碍。

首先，自治式架构的WLAN中，AP作为网际互联协议IP(Internet Protocol)可寻址设备，需要进行独立管理，包括监测、配置和控制等。在进行大规模网络部署时，大量的AP将产生巨大的管理开销，给网络造成沉重负担。尤其是网内AP的配置管理方式互不相同时，这种现象更为明显，势必阻碍无线技术的发展。

其次，自治式架构的WLAN中，保证所有AP配置参数的一致性存在一定困难。因为AP的配置中除静态参数外，更多的是需要动态配置的参数。在大规模WLAN中，及时更新全网AP的动态配置的工作量非常繁重，甚至无法实现。

第三，WLAN中，无线传输介质作为一种共享资源，为提高网络的性能，必须实时监测每一个AP并根据当前共享介质的使用情况对这些AP的配置进行动态更新，而手工配置与无线传输介质相关的AP参数将耗费大量的人力、物力。

第四，自治式架构的WLAN中，安全接入网络和阻止非法AP的加入也较为困难。因为在通常情况下，AP的部署位置使得难以对其加以保护，一旦AP被窃将造成所加载的密钥等安全信息的泄漏，利用这些安全信息，攻击者将给网络安全造成威胁。

综上所述，自治式架构的WLAN中，尤其在大规模部署的情况下，对AP进行监测、配置和控制将给网络造成沉重的管理负担。而且，维护AP配置的一致性也十分困难。此外，无线传输介质的共享和动态特性要求网络中AP协作一致以争取最大的网络性能和最小的无线干扰，这对AP的配置管理提出了更高的要求。安全是设计无线网络需要考虑的重要因素之一，大规模的部署也将给WLAN的安全带来巨大挑战。由此可见，自治式体系架构WLAN的工作模式已无法适用大规模网络的部署需求，亟需设计基于WAPI的会聚式WLAN网络体系架构，即WAPI瘦AP架构。目前基于无线接入点控制与配置CAPWAP(ControlAnd Provisioning of Wireless Access Points)协议IEEE 802.11绑定规范的WLAN不可避免地继承了IEEE 802.11i的安全缺陷，需要更为安全的替代解决方案。

发明内容

本发明的目的在于克服上述自治式WLAN网络体系架构的缺陷，提供一种由访问控制器AC(Access Controller)实现无线局域网保密基础设施WPI(WLANPrivacy Infrastructure)的分离MAC模式的将CAPWAP规范绑定WAPI的方法，提出一种更为安全的基于WAPI的会聚式WLAN体系架构的工作流程。通过将AP的媒体访问控制MAC(Medium Access Control)功能以及WAPI功能进行划分，实现对全网AP的集中控制和管理，能够满足大规模WLAN的部署需求。

本发明的技术解决方案是：本发明为一种以分离MAC模式实现WAPI与CAPWAP融合的方法，其特殊之处在于：该方法包括以下步骤：

1)构建由访问控制器实现WPI的分离MAC模式：将无线接入点的MAC功能和WAPI功能分别分离到无线终端点和访问控制器上；

2)在由访问控制器实现WPI的分离MAC模式下，实现CAPWAP规范与WAPI的绑定；

2.1)站点与无线终端点以及访问控制器之间的关联连接过程；

2.2)访问控制器与无线终端点之间无线局域网鉴别基础设施WAI(WLANAuthentication Infrastructure)协议开始执行的通告过程；

2.3)站点与访问控制器之间WAI协议的执行过程；

2.4)访问控制器与无线终端点之间WAI协议执行结束的通告过程；

2.5)无线终端点与站点之间利用WPI进行保密通信的过程。

上述步骤2.1)的具体步骤如下：