文,并成功解密后则表不當钥协商完成。
[0025]本发明所揭示的一种基于CAPWAP使用共享密钥的方法,是在不影响标准DTLS握手协议流程的前提下,通过优化AP随机数和AC随机数、预主密钥的生成规则,使得不同的AP-AC隧道生成相同的加解密密钥,从而实现多个AP可以共享同一个DTLS加解密密钥。
[0026]具体地,由于DTLS的加解密密钥是由一个AC端32字节随机数、AP端32字节随机数和AP端48字节预主密钥这三个数据计算得到的,所以本发明在DTLS握手协商之前,给AC端分配一个32字节随机数资源池、AP端分配一个32字节随机数资源池和48字节预主密钥资源池。由于DTLS的握手过程是由AC和AP各自的系统软件进行维护,所以本发明分配的资源池并不消耗任何硬件资源。而且资源池的大小,可以根据AC端芯片支持的密钥存储区域的大小动态调整,如三个资源池分别有10、20、30个资源,那么总共可以生成10X20X30 = 6000 个密钥。
[0027]这样,在步骤S102中,AC端在自己的资源池中随机选择一个32字节数据,发送给AP端,在步骤SlOl中,AP端在自己的资源池中随机选择一个32字节数据,发送给AC端,在步骤S108中,AP端在预主密钥资源池选择一个48字节数据,发送给AC端。
[0028]然后AP和AC各自通过AC端随机数、AP端随机数和预主密钥这三个数据,计算出主密钥,从而得到各自的DTLS加解密密钥。对于AC来说,密钥是存储在本地交换机芯片中的存储区域,AC芯片为每个AP分配一个索引值,并通过该值去读取存储区域中的加解密的密钥。
[0029]本发明中,在AC端芯片存储每个AP的加解密密钥时,需要将当前保存的密钥与其存储区域内已经保存过的所有AP的密钥比较,如果发现有完全相同的密钥(如恰好在三个资源池里选择的是相同的随机数),则给这个AP分配与其密钥相同的那个AP的密钥索引值。如图2所示,AP1、AP5和AP7共用享密钥1,AP2和AP3共享密钥2,AP4和AP6共享密钥3,AP8使用密钥4,APm使用密钥k。这样,本发明便实现了多个AP可以共享同一个DTLS加解密密钥,从而可以降低AC芯片的面积、功耗、成本,又保证了网络安全性。
[0030]AC端芯片中存储的AP的加解密密钥和其对应的索引值之间的映射关系是根据AP当前正在使用的加解密密钥动态更新的,一旦AP从安全的角度重新和AC协商新的密钥,那么AC必须根据最新的密钥,去更新AP的密钥索引值。
[0031]本发明还对应提出了一种基于CAPWAP使用共享密钥的装置,包括多个AP和一个AC,在DTLS握手协商之前,AC端分配有一个AC资源池,每个AP端分配有一个AP资源池和预主密钥资源池。
[0032]每个AP均包括AP端随机数选择单元、预主密钥选择单元和AP主密钥计算单元,AC包括AC端随机数选择单元、AC主密钥计算单元、密钥比较单元和密钥分配单元,在DTLS会话握手过程的步骤S102中,AC端随机数选择单元在AC资源池中随机选择一个32字节数据,发送给AP端,在步骤SlOl中,AP端随机数选择单元在AP资源池中随机选择一个32字节数据,发送给AC端,在步骤S108中,AP端随机数选择单元在预主密钥资源池选择一个48字节数据,发送给AC端。然后,AP主密钥计算单元和AC主密钥计算单元各自通过AC端随机数、AP端随机数和预主密钥这三个数据,计算出主密钥,从而得到各自的DTLS加解密密钥。
[0033]密钥比较单元用于在AC端芯片存储每个AP的DTLS加解密密钥时,将当前保存的密钥与AC端芯片的存储区域中已保存的所有密钥比较,若有相同的,则密钥分配单元给当前AP分配一个与其密钥相同的AP的索引值。
[0034]本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。
【主权项】
1.一种基于CAPWAP使用共享密钥的方法,其特征在于:该方法应用于多个AP和一个AC进行CAPWAP通信的过程中,所述方法包括: AC和AP各自通过AC端随机数、AP端随机数和预主密钥这三个数据,计算出主密钥,从而得到DTLS加解密密钥; AC端芯片存储每个AP的DTLS加解密密钥时,将当前保存的密钥与AC端芯片的存储区域中已保存的所有密钥比较,若有相同的,则给当前AP分配一个与其密钥相同的AP的索引值。2.根据权利要求1所述的基于CAPWAP使用共享密钥的方法,其特征在于,在DTLS握手协商之前,给AC端分配一个AC资源池,给AP端分配一个AP资源池和预主密钥资源池。3.根据权利要求2所述的基于CAPWAP使用共享密钥的方法,其特征在于,在DTLS握手协商过程中,AC端在所述AC资源池随机选择一个AC端随机数发送给AP端,AP端在所述AP资源池随机选择一个AP端随机数发送给AC端,AP端在所述预主密钥资源池选择一个预主密钥发送给AC端。4.根据权利要求1所述的基于CAPWAP使用共享密钥的方法,其特征在于,所述AC端芯片中存储的AP的加解密密钥和其对应的索引值之间的映射关系是根据AP当前正在使用的加解密密钥动态更新的。5.根据权利要求1?4任意一项所述的基于CAPWAP使用共享密钥的方法,其特征在于,所述AC端随机数和AP端随机数的长度为32字节,所述预主密钥的长度为48字节。6.一种基于CAPWAP使用共享密钥的装置,其特征在于:包括多个AP和一个AC,每个所述AP均包括AP主密钥计算单元,所述AC包括AC主密钥计算单元、密钥比较单元和密钥分配单元,所述AP主密钥计算单元和AC主密钥计算单元各自通过AC端随机数、AP端随机数和预主密钥这三个数据,计算出主密钥,从而得到各自的DTLS加解密密钥;所述密钥比较单元用于在AC端芯片存储每个AP的DTLS加解密密钥时,将当前保存的密钥与AC端芯片的存储区域中已保存的所有密钥比较,若有相同的,则所述密钥分配单元给当前AP分配一个与其密钥相同的AP的索引值。7.根据权利要求6所述的基于CAPWAP使用共享密钥的装置,其特征在于,在DTLS握手协商之前,AC端分配有一个AC资源池,AP端分配有一个AP资源池和预主密钥资源池。8.根据权利要求7所述的基于CAPWAP使用共享密钥的装置,其特征在于,所述AC端还包括AC端随机数选择单元,所述AP端还包括AP端随机数选择单元和预主密钥选择单元,在DTLS握手协商过程中,所述AC端随机数选择单元用于在所述AC资源池随机选择一个AC端随机数发送给AP端,所述AP端随机数选择单元用于在所述AP资源池随机选择一个AP端随机数发送给AC端,所述预主密钥选择单元用于在所述预主密钥资源池选择一个预主密钥发送给AC端。9.根据权利要求6所述的基于CAPWAP使用共享密钥的装置,其特征在于,所述AC端芯片中存储的AP的加解密密钥和其对应的索引值之间的映射关系是根据AP当前正在使用的加解密密钥动态更新的。10.根据权利要求6?9任意一项所述的基于CAPWAP使用共享密钥的装置,其特征在于,所述AC端随机数和AP端随机数的长度为32字节,所述预主密钥的长度为48字节。
【专利摘要】本发明揭示了一种基于CAPWAP使用共享密钥的方法及装置,应用于多个AP和一个AC进行CAPWAP通信的过程中,通过预先给AC和AP分配随机数资源池,使得AC和AP在各自的资源池里面挑选随机数,并通过相应随机数计算得到各自的DTLS加解密密钥,AC端芯片在存储每个AP的DTLS加解密密钥时,给密钥相同的AP分配同一个密钥索引值,这样便实现了多个AP可以共享同一个DTLS加解密密钥,从而可以降低AC芯片的面积、功耗、成本,又保证了网络安全性。
【IPC分类】H04L9/08, H04L29/06
【公开号】CN105162791
【申请号】CN201510611882
【发明人】马千里, 方沛昱
【申请人】盛科网络(苏州)有限公司
【公开日】2015年12月16日
【申请日】2015年9月23日