WO2011137782A1

WO2011137782A1 - 无线局域网中密钥的发送方法、装置及***

Info

Publication number: WO2011137782A1
Application number: PCT/CN2011/074199
Authority: WO
Inventors: 耿立波; 胡俊理; 张朋; 蔡成贵
Original assignee: 华为技术有限公司
Priority date: 2010-09-19
Filing date: 2011-05-17
Publication date: 2011-11-10
Also published as: US8842830B2; EP2432265B1; CN102404720B; US20120110324A1; CN102404720A; EP2432265A1

Description

无线局域网中密钥的发送方法、装置及*** 本申请要求于 2010年 9月 19日提交中国专利局、申请号为 201010286269.2 发明名称为 "无线局域网中密钥的发送方法及装置" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信技术领域，尤其涉及一种无线局域网中密钥的发送方法、装置及***。背景技术

WLAN (Wireless Local Area Network, 无线局域网）是以无线信道作为传输媒介的计算机局域网，是有线联网方式的重要补充和延伸。基于 WLAN技术的网络结构中通常包括 WLAN站点、 AP( Access Point,接入点）、AC( Access Control, 接入控制器）等网络设备。其中， AP的作用是将 WLAN站点与现有的有线网络连接起来, 而 AC通过 CAP P ( Control And Provisioning of Wireless Access Point, 无线接入点的控制和配置）控制通道可以实现对 AP的管理。

目前，根据实现功能的不同， WLAN中釆用的 AC可以分为两种类型：一种是 BRAS (Broadband Remote Access Server, 宽带远程接入服务器）与 AC分离，由 BRAS设备实现 WLAN站点的接入认证功能， AC实现 AP管理功能。另一种是 BRAS设备集成 AC, 此时 AC作为一个功能模块集成到 BRAS设备中， BRAS设备同时实现 WLAN站点的接入认证功能和 AP管理功能。

下面以 BRAS集成 AC为例，对 WLAN站点的接入认证的实现过程进行介绍。首先， AP与 BRAS设备建立 CAPWAP链路 (包括 CAPWAP数据通道和 CAPWAP 控制通道）。 WLAN站点向 AP发送关联请求信息， AP接收到 WLAN站点的关联请求信息后，向 BRAS设备发送请求，以确定是否允许此 WLAN站点关联该 AP。 BRAS 设备经过判断如果允许该 WLAN站点与该 AP进行关联，则将结果下发给 AP, AP 向 WLAN站点发送关联响应帧，允许 WLAN站点关联 AP。此时，虽然 WLAN站点关联 AP已经成功，但这只意味着 WLAN站点取得其与 AP之间的无线链路的使用许可。之后， WLAN 站点还需要向 BRAS 设备发起认证请求， BRAS 设备向 AAA ( Authentication Authorization Account, 认证、授权、计费)月良务器转发该 WLAN站点的认证请求。获得 AAA服务器授权后， BRAS设备向 WLAN站点发送认证响应 , 以通知该 WL AN站点认证成功 , 允许其访问互联网络。

现有技术中， WLAN站点可以釆用三种接入认证方式， EAP-SIM (Extensible Authentication Protocol Method For Mobile Communications Subscriber Identity Modules, 全球移动通信***用户一致模块的可扩展鉴定协议） /EAP-AKA (Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement, 第三代移动通讯网络（3G)的认证和密钥协商机制的可扩展鉴定协议）是其中一种认证方式。在 EAP-SIM/EAP-AKA认证场景中， LAN站点和 AP之间的无线链路传输数据会釆用 WPA2( Wi-Fi Protected Access )标准进行加密，在 WLAN站点认证通过后， AAA服务器都会下发该 WLAN 站点的主密钥 PMK给 BRAS设备。

BRAS设备获得 WLAN站点的主密钥 PMK之后，如果 BRAS设备集成了 AC, 也即当 AC作为一个功能模块集成在 BRAS设备中时，该 BRAS设备可以釆用内部通信机制通知 BRAS设备的 AC模块，直接釆用主密钥 PMK与该 WLAN站点发起 "四次握手"协商临时密钥 PTK,后续 WLAN站点与 AP之间的无线链路釆用临时密钥 PTK加密数据。然而，在 BRAS设备与 AC分离的应用场景中， BRAS设备从 AAA服务器获得 WLAN站点的主密钥 PMK后，由于 BRAS设备与 AC不是同一台设备，因而 BRAS设备无法釆用内部通信机制通知 AC该 WLAN站点的主密钥 PMK, 使得 AC也无法知道何时与该 WLAN站点进行 "四次握手" 协商临时密钥 PTK。发明内容

本发明的实施例提供一种无线局域网中密钥的发送方法及装置，在 BRAS设备与 AC分离的应用场景中， BRAS设备可以向 AC下发指定 WLAN站点的主密钥，并触发该 AC与 WLAN站点进行协商临时密钥。为达到上述目的，本发明的实施例釆用如下技术方案：

一方面，一种无线局域网中密钥的发送方法，包括：

接收接入控制器 AC发送的第一无线接入点的控制和配置 CAPWAP消息，所述第一 CAPWAP消息中携带接入点 AP的英特网协议 IP地址、所述 AC的 IP地址、无线局域网 WLAN站点的媒体接入控制 MAC地址；

从所述第一 CAP P消息中获取所述 AP的 IP地址、所述 AC的 IP地址、所述 WLAN站点的 MAC地址，并保存到站点信息表中；

向所述 AC发送第二 CAPWAP消息，以触发所述 AC向所述 WLAN站点发送关联成功信息，所述第二 CAPWAP消息携带所述 WLAN站点的 MAC地址；

接收从所述 AC转发来的所述 WLAN站点的认证请求报文，向认证、授权、计费 AAA服务器发起认证；

当接收到所述 AAA服务器下发的所述 WLAN站点的主密钥时，在所述站点信息表中查找与所述 WLAN站点关联的 AC的 IP地址；

向所述 AC发送第三 CAPWAP消息，以指示所述 AC与所述 WLAN站点进行四次握手协商临时密钥，所述第三 CAPWAP消息携带所述 WLAN站点的主密钥、四次握手触发比特位、所述 WLAN站点的 MAC地址。

另一方面，一种无线局域网中密钥的发送装置，包括：

第一接收单元 11 ,用于接收接入控制器 AC发送的第一无线接入点的控制和配置 CAPWAP消息，所述第一 CAPWAP消息中携带接入点 AP的英特网协议 IP地址、所述 AC的 IP地址、无线局域网 WLAN站点的媒体接入控制 MAC地址；

处理单元 12 , 用于从所述第一 CAP P消息中获取所述 AP的 IP地址、所述 AC的 I P地址、所述 WL AN站点的 MAC地址，并保存到站点信息表中；

第一发送单元 1 3 , 用于向所述 AC发送第二 CAPWAP消息，以触发所述 AC向所述 WLAN站点发送关联成功信息，所述第二 CAP P消息携带所述 WLAN站点的 MAC地址；

第二接收单元 14 , 用于接收从所述 AC转发来的所述 WL AN站点的认证请求报文，向认证、授权、计费 AAA服务器发起认证；

查找单元 15 ,还用于当接收到所述 AAA服务器下发的所述 WLAN站点的主密钥时，在所述站点信息表中查找与所述 WLAN站点关联的 AC的 IP地址；

第二发送单元 16 , 用于向所述 AC发送第三 CAPWAP消息，以指示所述 AC与所述 WLAN站点进行四次握手协商临时密钥，所述第三 CAP P消息携带所述 WLAN 站点的主密钥、四次握手触发比特位、所述 WLAN站点的 MAC地址。

本发明实施例提供的无线局域网中密钥的发送方法及装置，利用接收到的来自 AC的第一 CAP P消息，可以将接入点 AP的 IP地址、所述 AC的 IP地址、 WLAN站点的 MAC地址保存到站点信息表中。当所述 WLAN站点与所述 AP关联成功并通过 AAA服务器的认证之后，本发明实施例提供的方法会接收 AAA服务器下发的所述 WLAN站点的主密钥，从所述站点信息表中查找出与所述 WLAN站点关联的 AC的 IP地址，并向所述 AC发送携带有所述 WLAN站点的主密钥、四次握手触发比特位、所述 WLAN站点的 MAC地址的第三 C AP P消息，指示所述 AC 与所述 WLAN站点进行四次握手协商临时密钥。

在 BRAS设备与 AC分离的应用场景中，与现有技术相比，本发明实施例中 BRAS设备可以向 AC发送所述 WLAN站点的主密钥，触发该 AC与所述 WLAN站点进行协商临时密钥，从而可以保证 WLAN网络中的站点在认证通过后，仍然可以釆用 WAP2标准实现与 AP之间的无线链路数据加密，充分保证 WLAN网络的安全性和可靠性。。附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例中提供的一种无线局域网中密钥的发送方法的流程图；图 1为本发明实施例中提供的另一种无线局域网中密钥的发送方法流程图；图 3为本发明实施例中提供的又一种无线局域网中密钥的发送方法流程图；图 4为本发明实施例中提供的利用主密钥进行协商临时密钥的流程图；图 5为本发明实施例中提供的一种无线局域网中密钥的发送装置的结构图；图 6为本发明实施例中提供的另一种无线局域网中密钥的发送装置结构图；图 7 为本发明实施例中提供的又一种无线局域网中密钥的发送装置的结构图；图 8为本发明实施例中提供的再一种无线局域网中密钥的发送装置结构图；图 9 为本发明实施例中提供的还又一种无线局域网中密钥的发送装置结构图；

图 10为本发明实施例中提供的再又一种无线局域网中密钥的发送装置结构图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图 1 所示的实施例提供一种无线局域网中密钥的发送方法，在本发明的实施例中， BRAS设备与 AC彼此分离，由 BRAS设备实现 WLAN站点接入认证功能， AC实现 AP管理功能。下面从 BRAS设备一侧详细描述该方法，具体包括：

100、 BRAS设备接收接入控制器 AC发送的第一 C AP P消息，所述第一 CAPWAP 消息中携带有接入点 AP的 IP地址、所述 AC的 IP地址、 WLAN站点的 MAC地址；

101、 BRAS设备从上述第一 CAPWAP消息中提取接入点 AP的 IP地址、所述 AC的 IP地址、 WLAN站点的 MAC地址，并将所述提取出的信息作为 WLAN站点信息保存到站点信息表中。

具体地，当 WLAN站点请求关联 AP时，所述 WLAN站点向所述 AC发送关联请求信息，所述 AC接收到该关联请求信息后，从该关联请求信息中提取所述 AP 的 IP地址、所述 AC的 IP地址、 WLAN站点的 MAC地址，并将提取出来的信息通过第一 CAP P消息发送给 BRAS设备。所述 BRAS设备将接入点 AP的 IP地址、所述 AC的 IP地址、 WLAN站点的 MAC地址等信息保存在站点信息表中。该站点信息表主要用于查找某个站点关联的 AP和 AC,例如当 BRAS设备需要向 AC通知某站点的处理消息时，可以到所述站点信息表中查找该站点的 AC的 IP地址。

例如，该第一 CAP P消息可以是扩展 CAP P协议报文得到的新消息，该第一 CAPWAP消息携带有 AP的 IP地址、 AC的 IP地址、 WLAN站点的 MAC地址。

另夕卜，所述 WLAN站点与 AP之间釆用 802. 11帧进行数据传输， AP将 WLAN 站点的 802. 11帧转化为 AC可识别的帧格式后，通过 CAPWAP数据通道发送转化后的数据帧给 AC。例如，将 WLAN站点的 802. 11帧转化为 802. 3帧后发送给 AC。

102、 BRAS 设备向所述 AC发送携带有所述 WLAN站点的 MAC地址的第二 CAPWAP消息，以触发所述 AC发送关联成功信息给所述 WLAN站点。

具体地，上述 BRAS设备接收到 AC发送的第一 CAPWAP消息，将所述第一 CAPWAP消息携带的 AP的 IP地址、 AC的 IP地址、 WLAN站点的 MAC地址进行提取并保存后，上述 BRAS设备向所述 AC发送携带有所述 WLAN站点的 MAC地址的第二 CAPWAP消息，接收到第二 CAPWAP消息后，所述 AC发送关联成功信息给所述 WLAN站点，告知所述 WLAN站点允许其与所述 AP进行关联。所述 WLAN站点与所述 AP关联成功。

例如，该第二 CAPWAP消息可以为扩展 CAPWAP协议报文得到的新消息，该消息携带有 WLAN站点的 MAC地址。

另外，如果所述 AC在预设时间内，没有接收到上述第二 CAPWAP消息，例如所述 AC 在发送上述第一 CAPWAP 消息后的 10 分钟内没有接收到上述第二 CAPWAP消息，那么所述 AC会向所述 BRAS设备重新发送 101中的第一 CAPWAP消息，如果 AC重新发送了指定次数的所述第一 CAPWAP消息后，仍然没有接收到 BRAS 设备下发的上述第二 CAPWAP 消息，例如： AC 重新发送了三次所述第一 CAPWAP消息后，仍然没有接收到 BRAS设备下发的上述第二 CAP P消息，则所述 AC返回关联失败信息给所述 WLAN站点。

103、 BRAS设备接收从 AC转发来的所述 WL AN站点的认证请求报文，并向认证、授权、计费 AAA服务器发起认证。

具体地，当经过 102所述 WLAN站点与所述 AP关联成功之后，所述 WLAN站点会发起认证请求。此时， BRAS设备会接收到从 AC转发来的所述 WLAN站点的认证请求 ^艮文，并向 AAA服务器发起认证。

104、 BRAS设备接收 AAA服务器下发的所述 WLAN站点的主密钥。

当 AAA 服务器确认 WLAN 站点认证成功后，通过 RADIUS ( Remote Authent i ca t ion Dia l-In User Serv i ce ,远程认证拔入用户月良务）十办议通口 BRAS 设备，并将所述 WLAN站点的主密钥 PMK下发给 BRAS设备。一种可能的场景为：所述 WLAN站点会向 BRAS设备发起 EAP-S IM/EAP-AKA认证，经过 EAP-S IM/EAP-AKA 的标准协议交互过程后， AAA服务器允许所述 WLAN站点认证通过，并通过 RADIUS 协议下发主密钥 PMK给 BRAS设备。

105、 BRAS设备从所述站点信息表中查找出与所述 WLAN站点关联的 AC的 IP地址，并向所述 AC发送第三 CAPWAP消息，以指示所述 AC与所述 WLAN站点进行四次握手协商临时密钥；其中，该第三 CAPWAP消息携带有所述 WLAN站点的主密钥、四次握手触发比特位、所述 WLAN站点的 MAC地址。

具体地， BRAS设备从所述站点信息表中查找出与所述 WLAN站点关联的 AC 的 IP地址，通过第三 CAPWAP消息将所述 WLAN站点的主密钥 PMK和四次握手触发比特位通知给与所述 WLAN站点关联的 AC。例如，该第三 CAPWAP消息可以为扩展 CAP P协议报文得到的新消息，该消息携带有所述 WLAN站点的主密钥、四次握手触发比特位、 WLAN站点的 MAC地址。

从本发明实施例提供的无线局域网中密钥的发送方法实现过程可以看出，所述 BRAS设备利用接收到的来自 AC的第一 CAP P消息，可以将接入点 AP的 IP地址、所述 AC的 IP地址、 WLAN站点的 MAC地址保存到站点信息表中。当所述 WLAN站点与所述 AP关联成功并通过 AAA服务器的认证之后， BRAS设备会接收 AAA服务器下发的所述 WLAN站点的主密钥，从所述站点信息表中查找出与所述 WLAN站点关联的 AC的 IP地址，并向所述 AC发送携带有所述 WLAN站点的主密钥、四次握手触发比特位、所述 WLAN站点的 MAC地址的第三 CAP P消息，指示所述 AC与所述 WLAN站点进行四次握手协商临时密钥。

与现有技术相比，在 BRAS设备与 AC分离的场景中，本发明实施例中， BRAS 设备可以向 AC发送所述 WLAN站点的主密钥，触发该 AC与所述 WLAN站点进行协商临时密钥。从而可以保证 WLAN网络中的站点在认证通过后，仍然可以釆用 WAP2标准实现与 AP之间的无线链路数据加密，充分保证 WLAN网络的安全性和可靠性。

需要说明的是，具体应用过程中，优选的，在上述第一 CAP P 消息 /第二 CAPWAP消息 /第三 CAP P消息中还可以携带所述 WLAN站点的虚拟局域网标识 VLAN ID, 此时，在上述 101 中也会在站点信息表中保存所述第一 CAPWAP消息中携带的所述 WLAN站点的 VL AN I D。

可选的，在 WLAN网络建立初始时，可以在 AC上配置 AC Hel per ( AC的帮助设备 ), 该 AC Helper具体可以为 BRAS设备。该 BRAS设备运行 CAP P协议。 AC根据本地配置的 BRAS设备的 IP地址，主动向 BRAS设备请求建立 CAPWAP链路。此时，（如图 2所示）在 BRAS设备接收来自接入控制器 AC的第一 CAPWAP 消息之前，该方法还包括：

106、接收所述 AC发送的 CAP P链路请求，并与所述 AC之间建立 CAPWAP 控制通道。

由于 BRAS设备作为 AC He l per只面向 AC , 不面向 AP , 所以 BRAS设备所运行的 CAPWAP 协议不具有控制和管理 AP 的功能，因而只需要建立具有 DTLS ( Da tagram Transpor t Layer Secur i ty, 数据 4艮传输层安全协议）加密功能和 KEEPALIVE机制 (保活机制 ) 的 CAP P控制通道，无需建立 CAP P数据通道。

可选的，如图 3所示，当 BRAS设备向所述 AC发送第三 CAPWAP消息后，该方法还包括：

107、所述 BRAS设备接收所述 AC发送的第四 CAP P消息，以确认所述 AC 已经收到所述第三 CAPWAP消息，其中，第四 CAPWAP消息携带有所述 WLAN站点的 MAC地址。

例如，该第四 CAPWAP消息可以是扩展 CAPWAP协议报文得到的新消息，该消息携带有 WLAN站点的 MAC地址。如果本步骤中所述 BRAS设备在指定时间内没有接收到上述第四 CAPWAP消息，例如，所述 BRAS设备在发送第三 CAP P消息后的 10分钟内没有接收到上述第四 CAPWAP消息，则所述 BRAS设备会重新发送第三 CAP P消息给所述 AC。如果重新发送了预设次数的所述第三 CAPWAP消息给所述 AC , 例如，所述 BRAS设备重新发送了三次所述第三 CAPWAP消息给所述 AC , 仍然没有收到第四 CAPWAP消息，所述 BRAS设备会从站点信息表中删除所述 WLAN站点的信息，并检测所述 BRAS设备与 AC之间的 CAPWAP控制通道是否处于连接状态，例如可以根据 KEEPAL I VE消息检测出 CAPWAP控制通道处于连接状态还是处于断开状态。在确认所述 CAPWAP控制通道处于连接状态时，向所述 AC发送第七 C AP P消息，以通知 AC该 WL AN站点信息已被删除，示例性的，所述第七 CAP P消息可以是扩展 CAPWAP协议报文得到的新消息，携带有所述 WLAN站点 MAC地址。所述 AC收到第七 CAPWAP消息后，根据该 WLAN站点的 MAC 地址从本地存储的站点信息表获得与该 WLAN站点关联的 AP的 IP地址，通知所述 AP与该 WLAN站点解除关联，并将该 WLAN站点从本地存储的站点信息表中删除。

可选的， AC也可以检测到所述 CAPWAP控制通道当前所处的状态。实际应用过程中，如果 BRAS设备在确认所述 CAPWAP控制通道处于断开状态时，此时 BRAS设备无法向所述 AC发送第七 CAPWAP消息。而是由 AC在确认所述 CAPWAP 控制通道处于断开状态后，从本地存储的站点信息表获得与该 BRAS设备对应的所有 WLAN站点及该 WLAN站点关联的 AP的 IP地址，通知所述所有 WLAN站点各自的 AP分别与其关联的 WLAN站点解除关联，并将所述所有 WLAN站点从本地存储的站点信息表中删除。

在所述 AC接收到的第三 CAPWAP消息后，所述 AC可以从第三 CAPWAP消息获得所述 WLAN站点的主密钥 ,并与所述 WLAN站点进行四次握手协商获得该 WLAN 站点的临时密钥 PTK。然后，所述 AC将临时密钥 PTK通知上述 AP, 所述 WLAN 站点和 AP均釆用临时密钥 PTK加解密无线数据。面具体介绍一下所述 AC在接收到第三 CAPWAP消息后，获得所述 WLAN站点的主密钥并触发 "四次握手" 与所述 WLAN站点协商出临时密钥 PTK的过程，如图 4 所示，包括： 201、所述 AC向 WLAN站点发送第一 EAPoL-KEY报文（KEY of Extensible Authentication Protocol over Local Area Network, 局域网的可扩展鉴定十办议的 KEY 报文），该第一 EAPoL-KEY 报文携带有所述 AC 的 MAC 地址和第一 AC-NONCE (Access Control NONCE, AC设备的 NONCE随机值）。

202、所述 WLAN站点收到第一 EAPoL-KEY报文后，利用所述 AC的 MAC地址和第一 AC—N0NCE、所述 WLAN站点的 MAC地址和 STA—應 CE ( STATION NONCE, 站点的 NONCE随机值 ), 以及本地存储的主密钥 PMK, 计算第一临时密钥 PTK。

例如，计算出的第一临时密钥 ΡΤΚ可以为 64字节，可选的，可以将第一临时密钥 ΡΤΚ中的特定 16字节作为第一消息完整码，另外的特定 16字节作为该 WLAN站点和 ΑΡ的无线数据加密密钥。

203、所述 WLAN站点向 AC返回第二 EAPoL-KEY报文，该报文携带有所述 WLAN 站点的 MAC地址、 STA-N0NCE和第一消息完整码。

204、所述 AC收到该第二 EAPoL-KEY报文，利用报文中 WLAN站点的 MAC地址和 STA-N0NCE, 并利用所述 AC的 MAC地址和第一 AC_N0NCE、以及从所述第三 CAPWAP消息中获取的 WLAN站点的主密钥 PMK, 计算第二临时密钥 PTK。

与第一临时密钥 ΡΤΚ相类似的，第二临时密钥 ΡΤΚ也可以是 64字节。可选的，上述 AC设备也可以从第二临时密钥 PTK中取出特定 16字节作为第二消息完整码，将第二消息完整码与上述第一消息完整码比较，如果两者一致，则所述 AC核实所述 WLAN站点确实知道主密钥 PMK。

205、所述 AC重新生成第二 AC-N0NCE, 并利用所述 AC的 MAC地址和新生成的第二 AC-N0NCE, 所述 WLAN站点的 MAC地址和 STA-N0NCE, 以及所述 WLAN站点的主密钥 PMK，计算第三临时密钥 PTK。类似的，第三临时密钥 ΡΤΚ也可以是 64字节，可选的，也可以从第三临时密钥 PTK中取出特定 16字节作为第三消息完整码，另外的特定 1 6字节的准备安装和使用数据加密密钥。

206、所述 AC设备向 WLAN站点返回第三 EAPoL-KEY报文，该报文携带 AC 的 MAC地址和新生成的第二 AC_N0NCE、新生成的第三消息完整码、准备安装和使用数据加密密钥。

207、所述 WL AN站点收到该第三 EAPoL-KEY报文，同样校验报文的消息完整码，核实 AC已经知道主密钥 PMK后，所述 WLAN站点返回第四 EAPoL-KEY报文，通知 AC已经核实主密钥、准备安装和使用数据加密密钥，握手过程结束。

当 "四次握手" 协商成功后， AC釆用 CAPWAP协议报文向 AP下发临时密钥 PTK , CAPWAP协议报文釆用 DTLS加密传输。

可选的，在本发明实施例提供的无线局域网中密钥的发送方法的执行过程中，还可能出现如下应用情形：

情形一：

所述 BRAS设备在 1 01 中将 WLAN站点信息存储在站点信息表之后，还可以为保存在所述站点信息表中的每一个站点信息设置生命周期，如果 WLAN站点信息的生命周期到期，所述 BRAS设备会从站点信息表中取出与所述 WLAN站点关联的 AC的 I P地址，通过 CAP P控制通道向上述 AC发送第五 CAP P消息，以通知 AC该 WL AN站点的生命周期已到，示例性的，该第五 C AP P消息可以是扩展 C AP P协议报文得到的新消息，携带有所述 WL AN站点的 MAC地址。

所述 AC接收到该第五 CAP P消息后，经过检查如果得知 WLAN站点仍然在线时，向所述 BRAS设备重新发送第一 CAP P消息，以通知所述 AC该 WLAN站点在线。否则，所述 AC不发送任何消息，所述 BRAS设备会将该 WLAN站点信息从所述站点信息表中进行删除。

情形二：

在 WLAN站点和 AP解除关联后 ,所述 AC会主动向 BRAS设备发送第六 CAPWAP 消息，以通知 BRAS设备该 WLAN站点和 AP已经解除关联，示例性的，该第六 CAPWAP 消息可以是扩展 CAPWAP协议报文得到的新消息，携带有 WLAN站点的 MAC地址。此时，本发明实施例中的所述 BRAS设备会根据所述第六 CAPWAP消息，从所述站点信息表中删除所述 WLAN站点信息，并使得该 WLAN站点下线，无法访问互联网。

情形三：

在所述 WLAN站点主动下线后，本发明实施例的上述 BRAS设备从所述站点信息表中主动删除所述 WLAN站点信息，并向与所述 WLAN站点关联的 AC发送第七 CAPWAP消息，以通知 AC该 WL AN站点信息已被删除，示例性的，所述第七 CAPWAP 消息可以是扩展 CAPWAP协议报文得到的新消息，携带有所述 WLAN站点 MAC地址。所述 AC收到此消息后，根据该 WLAN站点的 MAC地址从本地存储的站点信息表获得与该 WLAN站点关联的 AP的 IP地址，通知所述 AP与该 WLAN站点解除关联，并将该 WLAN站点从本地存储的站点信息表中删除。

情形四：

如果所述 AC与 WLAN站点 "四次握手" 协商临时密钥 PTK失败时，上述 AC 会主动向 BRAS设备发送第六 CAPWAP消息，以通知 BRAS设备 AC与 WLAN站点临时密钥协商失败，此时， BRAS设备根据所述第六 CAPWAP消息从所述站点信息表中删除所述 WLAN站点信息，并使得该站点下线，无法访问互联网。

优选的，在上述第四 CAPWAP消息 /第五 CAPWAP消息 /第六 CAPWAP消息 /第七 C APWAP消息中还可以携带所述 WL AN站点的虚拟局域网标识 VL AN I D。

本发明的实施例提供一种无线局域网中密钥的发送装置，如图 5 所示，包括：

第一接收单元 11用于接收接入控制器 AC发送的第一无线接入点的控制和配置 CAPWAP消息，所述第一 CAPWAP消息中携带接入点 AP的英特网协议 IP地址、所述 AC的 IP地址、无线局域网 WLAN站点的媒体接入控制 MAC地址；

处理单元 12用于从所述第一 CAP P消息中获取所述 AP的 IP地址、所述 AC的 I P地址、所述 WL AN站点的 MAC地址，并保存到站点信息表中；

第一发送单元 1 3用于向所述 AC发送第二 CAP P消息，以触发所述 AC向所述 WLAN站点发送关联成功信息，所述第二 CAP P消息携带所述 WLAN站点的 MAC地址；

查找单元 15 ,用于当接收到所述 AAA服务器下发的所述 WLAN站点的主密钥时，在所述站点信息表中查找与所述 WLAN站点关联的 AC的 IP地址；

可选的，如图 6所示，该装置还可以包括：链路建立单元 17 , 用于接收所述 AC发送的 CAP P链路请求，并与所述 AC之间建立 CAP P控制通道。

可选的，如图 7所示，当所述第二发送单元 16向所述 AC发送第三 CAPWAP 消息后，所述装置还可以包括：第三接收单元 18 , 用于接收所述 AC发送的携带有所述 WLAN站点的 MAC地址的第四 C AP P消息，以确认所述 AC已经收到所述第三 C AP P消息。

可选的，在可以为所述站点信息表中保存的每一个站点信息设定生命周期。如图 8所示，该装置还包括：

第三发送单元 19 , 用于当如果所述 WLAN站点信息的生命周期到期时，向与所述指点站点关联的 AC发送携带有所述 WLAN站点的 MAC地址的第五 CAP P消息，以通知所述 AC所述 WL AN站点的生命周期已到。

可选的，如图 9所示，该装置还可以包括：第四接收单元 20和删除单元 21。其中，在 WLAN站点和 AP解除关联后，或者当所述 AC与 WLAN站点 "四次握手" 协商临时密钥 PTK失败时，所述第四接收单元 20用于接收所述 AC发送的携带有所述 WLAN站点的 MAC地址的第六 CAP P消息，所述删除单元 21用于根据所述第六 CAP P消息从所述站点信息表中删除所述 WLAN站点信息。

进一步地，如果所述 WLAN站点主动下线时，也会触发所述删除单元 21从所述站点信息表中删除所述 WLAN站点信息；如图 10所示，该装置还包括：第四发送单元 22。

所述第四发送单元 22用于向与所述 WLAN站点关联的 AC发送第七 CAPWAP 消息，以通知所述 AC所述 WL AN站点信息已被删除，所述第七 C APWAP消息携带有所述 WLAN站点 MAC地址。

具体地，所述无线局域网中密钥的发送装置可以为 BRAS设备，所述 WLAN 站点可以为移动终端。

可选的，在上述第一 CAP P消息 /第二 CAP P消息 /第三 CAP P消息 /第四 CAP P消息 /第五 CAP P消息 /第六 CAP P消息 /第七 CAP P消息中还可以携带所述 WLAN站点的虚拟局域网标识 VLAN ID , 此时，在上述获取单元 1 1也会保存所述第一 CAPWAP消息中携带的所述 WLAN站点的 VLAN ID。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分处理可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的处理；而前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

权利要求

1、一种无线局域网中密钥的发送方法，其特征在于，包括：

当接收到所述 AAA服务器下发的所述 WLAN站点的主密钥时，在所述站点信息表中查找与所述 WL AN站点关联的 AC的 IP地址；

2、根据权利要求 1所述的无线局域网中密钥的发送方法，其特征在于，在接收接入控制器 AC发送的第一无线接入点的控制和配置 CAP P消息之前，该方法还包括：接收所述 AC发送的建立 CAPWAP链路请求，并与所述 AC之间建立 CAPWAP控制通道。

3、根据权利要求 1所述的无线局域网中密钥的发送方法，其特征在于，在向所述 AC发送第三 CAPWAP消息之后，该方法还包括：接收所述 AC发送的携带有所述 WL AN站点的 MAC地址的第四 C AP P消息，以确认所述 AC已经收到所述第三 CAPWAP消息。

4、根据权利要求 1、 2或 3所述的无线局域网中密钥的发送方法，其特征在于，所述站点信息表中保存的每一个站点信息对应有生命周期，在从所述第一 CAPWAP消息中获取所述 AP的 IP地址、所述 AC的 IP地址、所述 WLAN站点的 MAC地址，并保存到站点信息表中之后，还包括：

如果所述 WLAN站点信息的生命周期到期，向与所述 WLAN站点关联的 AC发送携带有所述 WL AN站点的 MAC地址的第五 CAPWAP消息，以通知所述 AC所述 WL AN 站点的生命周期已到。

5、根据权利要求 1、 2或 3所述的无线局域网中密钥的发送方法，其特征在于，在从所述第一 CAPWAP消息中获取所述 AP的 IP地址、所述 AC的 IP地址、所述 WLAN站点的 MAC地址，并保存到站点信息表中之后，还包括：

接收所述 AC发送的携带有所述 WLAN站点的 MAC地址的第六 CAPWAP消息；根据所述第六 CAPWAP消息从所述站点信息表中删除所述 WLAN站点信息。

6、根据权利要求 1、 2或 3所述的无线局域网中密钥的发送方法，其特征在于，在从所述第一 CAPWAP消息中获取所述 AP的 IP地址、所述 AC的 IP地址、所述 WLAN站点的 MAC地址，并保存到站点信息表中之后，还包括：

从所述站点信息表中删除所述 WLAN站点信息；

向与所述 WLAN站点关联的 AC发送第七 CAPWAP消息，以通知所述 AC所述 WLAN站点信息已被删除，所述第七 CAPWAP消息携带有所述 WLAN站点 MAC地址。

7、一种无线局域网中密钥的发送装置，其特征在于，包括：

第一接收单元（11 ), 用于接收接入控制器 AC发送的第一无线接入点的控制和配置 CAPWAP消息，所述第一 CAP P消息中携带接入点 AP的英特网协议 IP 地址、所述 AC的 IP地址、无线局域网 WLAN站点的媒体接入控制 MAC地址；处理单元（ 12 ), 用于从所述第一 CAP P消息中获取所述 AP的 IP地址、所述 AC的 IP地址、所述 WLAN站点的 MAC地址，并保存到站点信息表中；

第一发送单元（13 ), 用于向所述 AC发送第二 CAPWAP消息，以触发所述 AC 向所述 WLAN站点发送关联成功信息，所述第二 CAP P消息携带所述 WLAN站点的 MAC地址；

第二接收单元（14 ), 用于接收从所述 AC转发来的所述 WLAN站点的认证请求报文，向认证、授权、计费 AAA服务器发起认证；

查找单元（ 15 ), 用于当接收到所述 AAA服务器下发的所述 WLAN站点的主密钥时，在所述站点信息表中查找与所述 WLAN站点关联的 AC的 IP地址；

第二发送单元（16 ), 用于向所述 AC发送第三 CAPWAP消息，以指示所述 AC 与所述 WLAN站点进行四次握手协商临时密钥，所述第三 CAP P消息携带所述 WLAN站点的主密钥、四次握手触发比特位、所述 WLAN站点的 MAC地址。

8、根据权利要求 7所述的无线局域网中密钥的发送装置，其特征在于，该装置还包括：链路建立单元（17 ), 用于接收所述 AC发送的建立无线接入点的控制和配置 CAP P链路请求，并与所述 AC之间建立 CAP P控制通道。

9、根据权利要求 7所述的无线局域网中密钥的发送装置，其特征在于，该装置还包括：第三接收单元（18 ), 用于接收所述 AC发送的携带有所述 WLAN站点的 MAC地址的第四 CAP P消息，以确认所述 AC已经收到所述第三 CAP P消息。

10、根据权利要求 7、 8或 9所述的无线局域网中密钥的发送装置，其特征在于，还包括：

第三发送单元（19 ), 用于当所述 WLAN站点信息的生命周期到期时，向与所述指点站点关联的 AC发送携带有所述 WL AN站点的 MAC地址的第五 CAP P消息，以通知所述 AC所述 WL AN站点的生命周期已到。

1 1、根据权利要求 7、 8或 9所述的无线局域网中密钥的发送装置，其特征在于，还包括：

第四接收单元（ 20 ), 用于接收所述 AC发送的携带有所述 WLAN站点的 MAC 地址的第六 C AP P消息；

删除单元（21 ), 用于根据所述第六 CAPWAP 消息从所述站点信息表中删除所述 WLAN站点信息。

12、根据权利要求 1 1所述的无线局域网中密钥的发送装置，其特征在于，该装置还包括：第四发送单元（22 ), 用于向与所述 WLAN站点关联的 AC发送第七 CAP P消息，以通知所述 AC所述 WLAN站点信息已被删除，所述第七 CAPWAP消息携带有所述 WL AN站点 MAC地址。

1 3、一种无线局域网中密钥分发***，其特征在于，包括：接入控制器 AC、认证、授权、计费 AAA服务器，以及根据权利要求 7-1 2中任一项所述的无线局域网中密钥的发送装置。