[发明专利]本地转发模式下无线接入控制器集中认证的方法及系统

说明书

技术领域

本发明涉及移动通信技术，具体涉及本地转发模式下无线接入控制器集中认证的方法及系统。

背景技术

无线局域网(WLAN，Wireless Local Area Network)是基于802.11媒体接入控制和物理层定义(Wireless LAN Medium Access Control and PhysicalLayer Specifications)的标准。

现有的WLAN网络普遍采用无线接入点(AP，Access Point)加无线接入控制器(AC，Access Controller)的瘦AP架构。这种瘦AP架构具体定义于RFC 5415标准中无线接入点控制配置协议(CAPWAP，Control AndProvisioning of Wireless Access Points Protocol)和RFC 5416标准中无线接入点控制配置协议与IEEE 802.11的绑定(RFC 5416，Control and Provisioning ofWireless Access Points(CAPWAP)Protocol Binding for IEEE 802.11)。在这种架构下，AC通过CAPWAP协议对AP进行统一的管理、配置以及对无线用户(STA，Station)的接入控制，并提供了两种用户数据处理模式：集中转发和本地转发。在集中转发模式下，使用CAPWAP数据隧道完成AP接入数据流的汇聚，由AC负责数据转发；在本地转发模式下，由AP自行完成数据转发。

如图1所示，本地转发模式下，AC只负责对AP和STA的管理控制，不对业务流量进行控制。

IEEE 802LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。该协议是一种基于端口的网络接入控制协议。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。该协议由申请者(Supplicant)、认证者(Authenticator)和认证服务器(Authentication Server)组成。申请者和认证者之间通过基于局域网的扩展认证协议(EAPOL)进行通信，该报文为二层报文。

在瘦AP架构中，一般由STA作为申请者、AC作为认证者、远程认证拨号用户服务(RADIUS，Remote Authentication Dial-In User Service)服务器作为认证服务器。认证过程如图2所示：

步骤200：申请者STA发出EAPOL开始(EAPOL-Start)消息，开始802.1X认证。

步骤201：认证者AC发出EAP请求/身份(EAP-Request/Identity)消息，请求STA上报用户名。

步骤202：STA通过EAP响应/身份(EAP-Response/Identity)消息应答，包含STA用户名。

步骤203：AC将该消息转换成RADIUS接入请求(RADIUS-Access-Request)消息送给RADIUS服务器。

步骤204：RADIUS服务器选择一种类型的身份认证，并在发送的EAP请求消息(EAP-Request)中指定认证方法。EAP-Request封装在RADIUS接入挑战(RADIUS-Access-Challenge)中。

步骤205：AC收到后将请求/方法(EAP-Request/方法)消息转发给STA处理。

步骤206：STA通过响应/方法(EAP-Response/Method)消息响应RADIUS服务器发出的挑战。

步骤207：AC将收到的响应转换成RADIUS接入请求(RADIUS-Access-Request)发送给RADIUS服务器。

步骤204至步骤207可能会重复多次，直到身份认证完毕。

步骤208：RADIUS服务器通过挑战的响应，鉴别该用户的合法性。如果合法，则发送接入允许(RADIUS-Access-Accept)消息允许用户访问网络，并将成对主密钥(PMK，Pairwise Master Key)告知认证者AC。

步骤209：AC再发送成功(EAP-Success)消息通知STA。

步骤210：AC产生一个随机数Anonce，通过EAPOL-Key消息发送给STA。STA产生一个随机数Snonce，再根据Anonce等参数算出成对临时密钥(PTK，Pairwise Transient Key)。