专利名称:本地转发模式下无线接入控制器集中认证的方法及系统的制作方法
技术领域:
本发明涉及移动通信技术,具体涉及本地转发模式下无线接入控制器集中认证的方法及系统。
背景技术:
无线局域网(WLAN,Wireless Local Area Network)是基于 802.11 媒体接入控制和物理层定义(Wireless LAN Medium Access Control and PhysicalLayerSpecifications)的标准。现有的WLAN网络普遍采用无线接入点(AP,Access Point)加无线接入控制器(AC, Access Controller)的瘦AP架构。这种瘦AP架构具体定义于RFC 5415标准中无线接入点控制配置协议(CAPffAP, Control AndProvisioning of Wireless Access PointsProtocol)和RFC 5416标准中无线接入点控制配置协议与IEEE 802.11的绑定(RFC5416,Control and Provisioning offfireless Access Points (CAPffAP) Protocol Bindingfor IEEE 802.11)。在这种架构下,AC通过CAPWAP协议对AP进行统一的管理、配置以及对无线用户(STA,Station)的接入控制,并提供了两种用户数据处理模式:集中转发和本地转发。在集中转发模式下,使用CAPWAP数据隧道完成AP接入数据流的汇聚,由AC负责数据转发;在本地转发模式下,由AP自行完成数据转发。如图1所示,本地转发模式下,AC只负责对AP和STA的管理控制,不对业务流量进行控制。IEEE 802LAN/WAN委员会为解决无线局域网网络安全问题,提出了 802.1X协议。该协议是一种基于端口的网络接入控制协议。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。该协议由申请者(Supplicant)、认证者(Authenticator)和认证服务器(Authentication Server)组成。申请者和认证者之间通过基于局域网的扩展认证协议(EAPOL)进行通信,该报文为二层报文。在瘦AP架构中,一般由STA作为申请者、AC作为认证者、远程认证拨号用户服务(RADIUS,Remote Authentication Dial-1n User Service)服务器作为认证服务器。认证过程如图2所示:步骤200:申请者STA发出EAPOL开始(EAPOL-Start)消息,开始802.1X认证。步骤201:认证者AC发出EAP请求/身份(EAP-Request/Identity)消息,请求STA上报用户名。步骤202:STA 通过 EAP 响应 / 身份(EAP-Response/Identity)消息应答,包含 STA用户名。步骤203:AC将该消息转换成RADIUS接入请求(RADIUS-Access-Request)消息送给RADIUS服务器。步骤204 =RADIUS服务器选择一种类型的身份认证,并在发送的EAP请求消息(EAP-Request)中指定认证方法。EAP-Request封装在RADIUS接入挑战(RADIUS-Access-ChalIenge)中。步骤205:AC收到后将请求/方法(EAP-Request/方法)消息转发给STA处理。步骤206 =STA通过响应/方法(EAP-Response/Method)消息响应RADIUS服务器发出的挑战。步骤207:AC将收到的响应转换成RADIUS接入请求(RADIUS-Access-Request)发送给RADIUS服务器。步骤204至步骤207可能会重复多次,直到身份认证完毕。步骤208 =RADIUS服务器通过挑战的响应,鉴别该用户的合法性。如果合法,则发送接入允许(RADIUS-Access-Ac(^pt)消息允许用户访问网络,并将成对主密钥(PMK,Pairwise Master Key)告知认证者 AC。步骤209:AC再发送成功(EAP-Success)消息通知STA。步骤210 -.AC产生一个随机数Anonce,通过EAPOL-Key消息发送给STA。STA产生一个随机数Snonce,再根据Anonce等参数算出成对临时密钥(PTK, Pairwise TransientKey)。步骤211:STA将Snonce通过EAPOL-Key消息发送给AC。因为PTK产生的算法相同、参数相同,AC侧也能算出与STA侧相同的PTK。使用PTK对接收的报文做MIC校验,如果校验失败说明认证失败。否则,发送安装PTK的消息。步骤212:AC发送安 装PTK的消息。步骤213:STA安装PTK成功,返回确认消息。步骤214:AC发送安装群组临时密钥(GTK, Group Transient Key)的消息。步骤215 =STA安装GTK成功,返回确认消息。在本地转发模式下,如果AC与AP跨三层组网,二层报文将无法直接在AC和AP之间传递。在这种组网方式下,无法由AC作为认证者实现STA认证的功能。通常采用对承载网络进行特殊配置或改由AP做认证者来解决这个问题。第一种解决方法增加了组网的复杂性;第二种解决方法不利于网络安全。在瘦AP架构中,由于AP数目较多且作为接入设备,所以AP获知PMK并不安全;同时,AC不能控制单播、组播密钥的更新,无法保证无线网络的安全性。
发明内容
本发明要解决的技术问题是提供一种本地转发模式下无线接入控制器集中认证的方法及系统,在本地转发模式下即使AC和AP跨三层组网,依然可以由AC作为认证者完成802.1X认证,保证无线局域网络的安全性。为了解决上述技术问题,本发明提供了一种本地转发模式下无线接入控制器集中认证的方法,其中,无线接入点(AP)将从无线用户(STA)接收到的扩展认证协议报文封装为无线接入点控制配置协议(CAPWAP)报文后发送到无线接入控制器(AC);所述AC从所述AP收到CAPWAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并转换为远程认证拨号用户服务(RADIUS)报文发送至认证服务器,将所述认证服务器返回的RADIUS报文转换为扩展认证协议报文并封装为CAPWAP报文后发送至所述AP ;
所述AP从所述AC收到CAPWAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并发送至所述STA。进一步地,上述方法还可以具有以下特点:在所述STA和所述AC之间进行密钥协商的过程中,所述AC将需向所述STA发送的密钥协商扩展认证协议报文封装为CAPWAP报文后发送至所述AP ;所述AP将从所述AC接收到的CAPWAP报文解析为密钥协商扩展认证协议报文后发送至所述STA,并将从所述STA接收到的密钥协商扩展认证协议报文封装为CAPWAP报文后发送到所述AC。进一步地,上述方法还可以具有以下特点:将扩展认证协议报文封装为CAPWAP报文的方式是将所述扩展认证协议报文封装到CAPWAP报文的厂商私有扩展元素中。为了解决上述技术问题,本发明还提供了一种本地转发模式下无线接入控制器集中认证的系统,其中,包括无线接入点(AP)、无线接入控制器(AC)、认证服务器;所述AP,用于将从无线用户(STA)接收到的扩展认证协议报文封装为无线接入点控制配置协议(CAPWAP)报文后发送到无线接入控制器(AC);还用于从所述AC收到CAPWAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并发送至所述STA ;所述AC,用于从所述AP收到CAPWAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并转换为远程认证拨号用户服务(RADIUS)报文发送至认证服务器,将所述认证服务器返回的RADIUS报文转换为扩展认证协议报文并封装为CAPWAP报文后发送至所述AP0进一步地,上述系统还可以具有以下特点:所述AC,还用于将需向所述STA发送的密钥协商扩展认证协议报文封装为CAPWAP报文后发送至所述AP;所述AP,还用于将从所述AC接收到的CAPWAP报文解析为密钥协商扩展认证协议报文后发送至所述STA,并将从所述STA接收到的密钥协商扩展认证协议报文封装为CAPffAP报文后发送到所述AC。进一步地,上述系统还可以具有以下特点:所述AP或所述AC,还用于将所述扩展认证协议报文封装到CAPWAP报文的厂商私
有扩展元素中。为了解决上述技术问题,本发明还一种无线接入点(AP),其中,包括报文转换模块;所述报文转换模块,用于将从无线用户(STA)接收到的扩展认证协议报文封装为无线接入点控制配置协议(CAPWAP)报文后发送到无线接入控制器(AC);还用于从所述AC收到CAPWAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并发送至无线用户(STA)。进一步地,上述AP还可以具有以下特点:所述报文转换模块,还用于将从所述AC接收到的CAPWAP报文解析为密钥协商扩展认证协议报文后发送至所述STA,并将从所述STA接收到的密钥协商扩展认证协议报文封装为CAPWAP报文后发送到所述AC。为了解决上述技术问题,本发明还一种无线接入控制器(AC),其中,包括报文转换模块;所述报文转换模块,用于从所述AP收到CAPWAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并转换为远程认证拨号用户服务(RADIUS)报文发送至认证服务器,将所述认证服务器返回的RADIUS报文转换为扩展认证协议报文并封装为CAPWAP报文后发送至所述AP。进一步地,上述AC还可以具有以下特点:所述报文转换模块,还用于将需向所述STA发送的密钥协商扩展认证协议报文封装为CAPWAP报文后发送至所述AP。 实施本方案后,在本地转发模式下,即使AC和AP跨三层组网,依然可以由AC作为认证者完成802.1X认证,保证无线局域网络的安全性,无需增加承载网络的复杂度。
图1是本地转发模式下的组网示意图;图2是现有技术中认证流程图;图3实施例中认证流程图。
具体实施例方式本地转发模式下无线接入控制器集中认证的方法包括:无线接入点(AP)将从无线用户(STA)接收到的扩展认证协议报文封装为无线接入点控制配置协议(CAPWAP)报文后发送到无线接入控制器(AC);所述AC从所述AP收到CAPWAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并转换为远程认证拨号用户服务(RADIUS)报文发送至认证服务器,将所述认证服务器返回的RADIUS报文转换为扩展认证协议报文并封装为CAPWAP报文后发送至所述AP ;所述AP从所述AC收到CAPWAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并发送至所述STA。此方法还包括:在所述STA和所述AC之间进行密钥协商的过程中,所述AC将需向所述STA发送的密钥协商扩展认证协议报文封装为CAPWAP报文后发送至所述AP ;所述AP将从所述AC接收到的CAPWAP报文解析为密钥协商扩展认证协议报文后发送至所述STA,并将从所述STA接收到的密钥协商扩展认证协议报文封装为CAPWAP报文后发送到所述AC。将扩展认证协议报文封装为CAPWAP报文的方式是将所述扩展认证协议报文封装到CAPWAP报文的厂商私有扩展元素(Vendor Specific Payload)中。如表I所示,其中,厂商私有扩展元素包括厂商标示(Vendor Identifier),占用4个字节;包括扩展元素标识(Element ID),用于指示厂商私有扩展元素的序号;包括元素长度(Element Length),用于表示扩展元素的长度;包括元素数据(Element Data),用于承载被封装的扩展认证协议报文。
表I扩展的封装EAPOL报文的元素格式
权利要求
1.一种本地转发模式下无线接入控制器集中认证的方法,其中, 无线接入点(AP)将从无线用户(STA)接收到的扩展认证协议报文封装为无线接入点控制配置协议(CAPWAP)报文后发送到无线接入控制器(AC); 所述AC从所述AP收到CAPWAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并转换为远程认证拨号用户服务(RADIUS)报文发送至认证服务器,将所述认证服务器返回的RADIUS报文转换为扩展认证协议报文并封装为CAPWAP报文后发送至所述AP ; 所述AP从所述AC收到CAPWAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并发送至所述STA。
2.如权利要求1所述的方法,其特征在于, 在所述STA和所述AC之间进行密钥协商的过程中,所述AC将需向所述STA发送的密钥协商扩展认证协议报文封装为CAPWAP报文后发送至所述AP ; 所述AP将从所述AC接收到的CAPWAP报文解析为密钥协商扩展认证协议报文后发送至所述STA,并将从所述STA接收到的密钥协商扩展认证协议报文封装为CAPWAP报文后发送到所述AC。
3.如权利要求1或2所述的方法,其特征在于, 将扩展认证协议报文封装为CAPW AP报文的方式是将所述扩展认证协议报文封装到CAPffAP报文的厂商私有扩展元素中。
4.一种本地转发模式下无线接入控制器集中认证的系统,其中, 包括无线接入点(AP)、无线接入控制器(AC)、认证服务器; 所述AP,用于将从无线用户(STA)接收到的扩展认证协议报文封装为无线接入点控制配置协议(CAPWAP)报文后发送到无线接入控制器(AC);还用于从所述AC收到CAPWAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并发送至所述STA ; 所述AC,用于从所述AP收到CAPWAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并转换为远程认证拨号用户服务(RADIUS)报文发送至认证服务器,将所述认证服务器返回的RADIUS报文转换为扩展认证协议报文并封装为CAPWAP报文后发送至所述AP。
5.如权利要求4所述的系统,其特征在于, 所述AC,还用于将需向所述STA发送的密钥协商扩展认证协议报文封装为CAPWAP报文后发送至所述AP; 所述AP,还用于将从所述AC接收到的CAPWAP报文解析为密钥协商扩展认证协议报文后发送至所述STA,并将从所述STA接收到的密钥协商扩展认证协议报文封装为CAPWAP报文后发送到所述AC。
6.如权利要求4或5所述的系统,其特征在于, 所述AP或所述AC,还用于将所述扩展认证协议报文封装到CAPWAP报文的厂商私有扩展元素中。
7.一种无线接入点(AP),其中,包括报文转换模块; 所述报文转换模块,用于将从无线用户(STA)接收到的扩展认证协议报文封装为无线接入点控制配置协议(CAPWAP)报文后发送到无线接入控制器(AC);还用于从所述AC收到CAPffAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并发送至无线用户(STA)。
8.如权利要求7所述的AP,其特征在于,所述报文转换模块,还用于将从所述AC接收到的CAPWAP报文解析为密钥协商扩展认证协议报文后发送至所述STA,并将从所述STA接收到的密钥协商扩展认证协议报文封装为CAPWAP报文后发送到所述AC。
9.一种无线接入控制器(AC),其中,包括报文转换模块; 所述报文转换模块,用于从所述AP收到CAPWAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并转换为远程认证拨号用户服务(RADIUS)报文发送至认证服务器,将所述认证服务器返回的RADIUS报文转换为扩展认证协议报文并封装为CAPWAP报文后发送至所述AP。
10.如权利要求9所述的AC,其特征在于, 所述报文转换模块,还用于将需向所述STA发送的密钥协商扩展认证协议报文封装为CAPffAP报文后发送至所 述AP。
全文摘要
本发明公开了本地转发模式下无线接入控制器集中认证的方法及系统,包括AP将从STA接收到的扩展认证协议报文封装为CAPWAP报文后发送到AC;所述AC从所述AP收到CAPWAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并转换为RADIUS报文发送至认证服务器,将所述认证服务器返回的RADIUS报文转换为扩展认证协议报文并封装为CAPWAP报文后发送至所述AP;所述AP从所述AC收到CAPWAP报文后从所述CAPWAP报文中解析出扩展认证协议报文并发送至所述STA。本方案在本地转发模式下,即使AC和AP跨三层组网,依然可以由AC作为认证者完成802.1X认证,保证无线局域网络的安全性,无需增加承载网络的复杂度。
文档编号H04W12/06GK103167493SQ20111042433
公开日2013年6月19日 申请日期2011年12月16日 优先权日2011年12月16日
发明者刘杨, 池艳广 申请人:中兴通讯股份有限公司