[发明专利]基于CAPWAP使用共享密钥的方法及装置

说明书

本发明揭示了一种基于CAPWAP使用共享密钥的方法及装置，应用于多个AP和一个AC进行CAPWAP通信的过程中，通过预先给AC和AP分配随机数资源池，使得AC和AP在各自的资源池里面挑选随机数，并通过相应随机数计算得到各自的DTLS加解密密钥，AC端芯片在存储每个AP的DTLS加解密密钥时，给密钥相同的AP分配同一个密钥索引值，这样便实现了多个AP可以共享同一个DTLS加解密密钥，从而可以降低AC芯片的面积、功耗、成本，又保证了网络安全性。

技术领域

本发明涉及CAPWAP协议，尤其是涉及一种基于CAPWAP使用共享密钥的方法及装置。

背景技术

传统的WLAN(Wireless Local Area Networks，无线局域网络)网络都是为企业或家庭内少量移动用户的接入而组建的。因此，通常只需要一个无线路由器就可以解决问题了。但是当无线接入的规模和密度达到一定程度之后，传统的无线路由器在部署和管理上都会出现问题。

瘦AP(接入点)+AC(接入控制器)是在胖AP之后的另一种架构，其中AC负责无线网络的接入控制，转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制，在该架构中瘦AP能单独工作，必须和AC配合使用，那么两者之间就需要有一种协议可以让它们能够进行互联和沟通。于是，IETF为了解决隧道协议不兼容问题造成的A厂家的AP和B厂家的AC无法进行互通，在2005年成立了CAPWAP工作组以标准化AP和AC间的隧道协议(rfc5415、rfc5416)。

根据rfc5415描述，为了防止AP和AC之间的数据被窃听，采用DTLS(数据包传输层安全协议)对其数据包进行加解密处理，用来保障网络安全通信。rfc5415同时规定了DTLS用于加密CAPWAP报文时必须支持的加解密算法TLS_RSA_WITH_AES_128_CBC_SHA，该算法的意义为：DTLS协议握手阶段采用RSA非对称加解密算法，数据传输阶段采用CBC模式的AES128加解密算法，同时采用SHA校验算法保证数据的完整性。AES 128算法的密钥长度为128bits，SHA算法的密钥长度为160bits。芯片级支持DTLS加解密模块，需要每个AP-AC隧道单方向的数据保存128+160＝288bits的密钥数据，双向通信则需要保存576bits的密钥数据。一个AC支持N个AP，那么消耗的密钥数据存储也需要N倍，这对芯片内部的面积、功耗、成本都是不小的代价。

在现有的一个技术方案中，DTLS加解密需要用到的密钥是在DTLS会话的握手阶段，由AP和AC共同协商得出，在该方案中AC芯片必须为每一个AP维护一组加解密的密钥，有几个AP就要维护几组密钥。当AP数量庞大时，就会消耗大量的存储区域去保存密钥，从而增大芯片的面积、成本。在现有另一个技术方案中，AP和AC之间DTLS加解密的密钥不通过DTLS握手阶段证书的形式来动态协商，而是通过用户手动将密钥配置进AP和AC，这种就是pre-shared密钥，AP和AC之间的数据，就通过用户静态配置的密钥进行加解密操作。通过pre-shared密钥，用户也可以使得多个AP共享同一个密钥。从网络安全的角度，为了防止数据被窃听，CAPWAP协议需要DTLS间歇性地更换密钥，但是pre-shared密钥是用户静态配置，除非用户手动更新，否则这个密钥不会变化，安全性降低了。

发明内容

本发明的目的在于克服现有技术的缺陷，提供一种基于CAPWAP使用共享密钥的方法及装置，以实现不同的AP和同一个AC进行CAPWAP通信时，能够使用共享的DTLS加解密密钥对CAPWAP数据进行加解密。

为实现上述目的，本发明提出如下技术方案：一种基于CAPWAP使用共享密钥的方法，该方法应用于多个AP和一个AC进行CAPWAP通信的过程中，所述方法包括：

AC和AP各自通过AC端随机数、AP端随机数和预主密钥这三个数据，计算出主密钥，从而得到DTLS加解密密钥；