[发明专利]提高MESH网络中的接入控制器控制效率的方法及接入控制器

说明书

技术领域

本发明涉及MESH技术领域，具体涉及提高MESH网络中的接入控制器(AC，Access Controller)控制效率的方法、系统及AC。

背景技术

MESH网络指的是符合电子电气工程师协会(IEEE，Institute of Electricaland Electronic Engineers)802.11s技术的无线局域网。集中控制式的MESH网络与普通的集中控制式接入网络相同，MESH节点(MP，Mesh Point)通过无线接入点配置和提供(CAPWAP，Configuration and Provisioning forWireless Access Points)隧道连接到无线接入控制器(AC，Access Controller)，供AC配置和维护MP，并应用统一的安全策略。

MP在上线时，首先寻找自己的AC，与之建立CAPWAP隧道，才能获取到配置。MP从AC获取MESH配置和其它配置之后，才能开始与其它MP组建MESH链路。

无线MESH网络和普通的无线接入网一样，也存在无线连接的安全问题，其中最重要的方面在于传输数据时对数据进行加密。MESH链路加密采用密钥方式，即双方MP都使用密钥对数据加解密，因此密钥的管理是MESH安全体系中的主要部分。

MESH网络中的密钥管理机制称为MESH网络密钥分发者(MKD，MESHKey Distributor)分层密钥机制，负责MESH网络中密钥的生成、协商和分发。在这一机制中存在如下角色：

MKD：MESH网络的密钥生成和分发者，是MESH网络的安全认证中心。

MA：MESH链路建立时的认证方。MA需要在MKD的协助下完成认证过程。能担当MA的MP必须已经获得MKD的认证，已经与MKD建立了安全的通信通道。

被认证者(Supplicant)：MESH链路建立时的被认证方。在一次安全认证过程中，双方MP会分任MA和Supplicant的角色。Supplicant既可能是未经MKD认证的MP，也可以是MA。

MESH安全中设置了MKD域的概念，为MESH安全策略的应用区域，每一个域中只有一个MKD，并至少有一个MA。在同一域内的MP执行相同的安全认证策略。目前每个MESH网络中都只有一个MKD域。在集中控制式的WLAN MESH网络中，由AC担任域内的MKD的角色。

图1为现有的MESH网络的分层密钥体系示意图，如图1所示，其主要由两部分构成，分别服务于MESH链路加密和密钥分发通道加密。两部分的密钥都是从第一级PSK或者从由802.1x协议生成的MSK衍生而得。以下以从第一级PSK衍生出各级密钥为例，对MESH网络的分层密钥体系进行说明：

其中，第一级PSK即共享密钥，由用户配置的共享式密码生成，MKD和合法加入MESH网络的MP都持有第一级PSK。

用于MESH链路加密的密钥包括PMK-MKD、PMK-MA和PTK。PMK-MKD从PSK生成，MKD和Supplicant都持有该密钥，对于加入某一MKD域内的某一MP而言，对应的PMK-MKD只有一个。PMK-MA从PMK-MKD生成，MKD、MA和Supplicant都持有，用以生成MESH链路加密时的具体PTK；对于加入某一MKD域内的某一MP而言，如果与多个MA建立MESH链路，那么对应每一个MA都生成不同的PMK-MA。PTK用于实际MESH链路的加解密，基于PMK-MA生成，由担任MA和Supplicant的双方MP协商而得，共同持有。不同的MESH链路有不同的PTK，而且每一链路的PTK在超过一定时间之后还会自动更新，以降低破解密钥的概率。

用于密钥分发通道加密的密钥包括MKDK和MPTK-KD。这两个密钥都由MKD和可以承担MA的MP共同持有。MKDK由PSK生成，每一个能担任MA的MP只有一个对应MKDK。MPTK-KD由MKDK生成，用以对MKD与MA之间传递的用于加密MESH链路的密钥因子进行加密。当MESH链路的密钥协商完成后，尚未成为MA的MP计算MKDK，然后通过4次握手过程与MKD协商MPTK-KD。协商成功之后该MP成为MA，即有资格在与其它MP建立MESH链路时担任MA。

此外，根据MESH技术协议，MKD通过三个协议管理密钥的传递：PULL、PUSH和DELETE协议。

PULL协议用于MA向MKD申请为Supplicant生成分层密钥，包括两个报文的收发处理。如图2所示，其具体过程如下：