自治式体系架构的无线局域网WLAN(Wireless Local Area Networks)中无 线接入点AP(Access Point)完全部署和端接GB15629.11功能，作为网络上一 个单独的实体，需进行独立管理。目前基于无线局域网鉴别与保密基础设施 WAPI(WLAN Authentication and Privacy Infrastructure)设计的WLAN均采用 自治式体系架构，但随着WLAN部署规模的扩大，这种自治式架构的网络工作 模式因其固有的缺陷已逐渐成为制约无线技术发展的障碍。
首先，自治式架构的WLAN中，AP作为网际互联协议IP(Internet Protocol) 可寻址设备，需要进行独立管理，包括监测、配置和控制等。在进行大规模网 络部署时，大量的AP将产生巨大的管理开销，给网络造成沉重负担。尤其是网 内AP的配置管理方式互不相同时，这种现象更为明显，势必阻碍无线技术的发 展。
其次，自治式架构的WLAN中，保证所有AP配置参数的一致性存在一定 困难。因为AP的配置中除静态参数外，更多的是需要动态配置的参数。在大规 模WLAN中，及时更新全网AP的动态配置的工作量非常繁重，甚至无法实现。
第三，WLAN中，无线传输介质作为一种共享资源，为提高网络的性能， 必须实时监测每一个AP并根据当前共享介质的使用情况对这些AP的配置进行 动态更新，而手工配置与无线传输介质相关的AP参数将耗费大量的人力、物力。
第四，自治式架构的WLAN中，安全接入网络和阻止非法AP的加入也较 为困难。在通常情况下，AP的部署位置使得难以对其加以保护，一旦AP被窃 将造成所加载安全信息的泄漏，对网络安全造成威胁。
综上所述，自治式架构的WLAN中，尤其在大规模部署的情况下，对AP 进行监测、配置和控制将给网络造成沉重的管理负担。而且，维护AP配置的一 致性也十分困难。此外，无线传输介质的共享和动态特性要求网络中AP协作一 致以争取最大的网络性能和最小的无线干扰，这对AP的配置管理提出了更高的 要求。安全是设计无线网络需要考虑的重要因素之一，大规模的部署也将给 WLAN的安全带来巨大挑战。由此可见，自治式体系架构WLAN的工作模式已 无法适用大规模网络的部署需求，亟需设计基于WAPI的会聚式WLAN网络体 系架构，即WAPI瘦AP架构。目前基于无线接入点控制与配置CAPWAP(Control And Provisioning of Wireless Access Points)协议IEEE 802.11绑定规范的WLAN 不可避免地继承了IEEE 802.11i的安全缺陷，需要更为安全的替代解决方案。

本发明的目的在于克服上述自治式WLAN网络体系架构的缺陷，提供一种 由无线终端点WTP(Wireless Terminal Point)实现无线局域网保密基础设施WPI (WLAN Privacy Infrastructure)的分离MAC模式的将CAPWAP规范绑定WAPI 的方法，提出一种更为安全的基于WAPI的会聚式WLAN体系架构的工作流程。 通过将AP的媒体访问控制MAC(Medium Access Control)功能以及WAPI功 能进行划分，实现对全网AP的集中控制和管理，能够满足大规模WLAN的部 署需求。
本发明的技术解决方案是：本发明为一种将CAPWAP规范绑定WAPI 由WTP实现WPI的分离MAC模式的方法，其特殊之处在于：该方法包括以下 步骤：
1)构建由无线终端点实现WPI的分离MAC模式：将无线接入点 的MAC功能和WAPI功能分离到无线终端点和访问控制器上；
2)在由无线终端点实现WPI的分离MAC模式下，实现CAPWAP规范与 WAPI的绑定；
2.1)站点与无线终端点以及访问控制器之间的关联连接过程；
2.2)访问控制器与无线终端点之间无线局域网鉴别基础设施WAI(WLAN Authentication Infrastructure)协议开始执行的通告过程；
2.3)站点与访问控制器之间WAI协议的执行过程；
2.4)访问控制器与无线终端点之间WAI协议执行结束的通告过程；
2.5)无线终端点与站点之间利用WPI进行保密通信的过程。
上述步骤2.1)的具体步骤如下：
2.1.1)站点被动侦听无线终端点的信标帧获得包括WAPI信息元素的无线 终端点的参数；或者站点主动向无线终端点发送探询请求帧，无线终端点收到 站点的探询请求帧后，向站点发送探询响应帧，站点收到探询响应帧即获得包 括WAPI信息元素的无线终端点的参数；所述WAPI信息元素包括无线终端点 支持的WAI鉴别及密钥管理套件、密码套件；
2.1.2)站点向访问控制器发送链路验证请求帧，请求与访问控制器之间的 链路验证；
2.1.3)访问控制器根据站点的链路验证请求帧，向站点发送链路验证响应 帧；
2.1.4)链路验证成功后，站点向访问控制器发送关联请求帧，请求与访问 控制器进行关联，站点在关联请求帧中包括WAPI信息元素确定站点选择的 WAI鉴别及密钥管理套件、密码套件；
2.1.5)访问控制器解析站点的关联请求帧，向站点发送关联响应帧。
上述步骤2.2)的具体步骤如下：
2.2.1)访问控制器向无线终端点发送CAPWAP站点配置请求(Station Configuration Request)消息，消息中包括加入站点(Add Station)、GB15629.11 加入站点(Add Station)、GB15629.11站点会话密钥(Station Session Key)消 息元素；其中，站点会话密钥消息元素中的A被置为1用于告知无线终端点关 闭受控端口，仅转发来自对应站点的WAI协议数据；
2.2.2)无线终端点向访问控制器发送CAPWAP站点配置响应(Station Configuration Respons)消息，其中包括结果码(Result Code)等消息元素，用 于标识对CAPWAP站点配置请求消息的处理结果。
上述步骤2.3)的具体步骤如下：
2.3.1)访问控制器与站点之间的WAI鉴别过程；包括：无线终端点对来自 访问控制器的由CAPWAP GB15629.11绑定规范定义的CAPWAP数据封装格式 封装的WAI鉴别数据进行拆封后转发给站点；对来自站点的WAI鉴别数据根 据CAPWAP GB15629.11绑定规范定义的CAPWAP数据封装格式进行封装后发 送给访问控制器；
2.3.2)访问控制器与站点之间的WAI单播密钥协商过程；包括：无线终端 点对来自访问控制器的由CAPWAP GB15629.11绑定规范定义的CAPWAP数据 封装格式封装的WAI单播密钥协商数据进行拆封后转发给站点；对来自站点的 WAI单播密钥协商数据根据CAPWAP GB15629.11绑定规范定义的CAPWAP 数据封装格式进行封装后发送给访问控制器；
2.3.3)访问控制器与站点之间的WAI组播密钥通告过程；包括：无线终端 点对来自访问控制器的由CAPWAP GB15629.11绑定规范定义的CAPWAP数据 封装格式封装的WAI组播密钥通告数据进行拆封后转发给站点；对来自站点的 WAI组播密钥通告数据根据CAPWAP GB15629.11绑定规范定义的CAPWAP 数据封装格式进行封装后发送给访问控制器。
上述步骤2.4)的具体步骤如下：
2.4.1)访问控制器向无线终端点发送CAPWAP站点配置请求消息，消息中 包括加入站点、GB15629.11加入站点、GB15629.11站点会话密钥、GB15629.11 信息元素(GB15629.11Information Element)消息元素；根据加入站点消息元素 中站点的MAC地址，无线终端点打开与之对应的受控端口，转发来自该站点的 所有数据，包括WAI协议数据和非WAI协议数据；
2.4.2)无线终端点向访问控制器发送CAPWAP站点配置响应消息，其中 包括结果码等消息元素，用于标识对CAPWAP站点配置请求消息的处理结果。
上述步骤2.5)的具体步骤如下：
2.5.1)无线终端点加密来自访问控制器的数据并发送给站点。
2.5.2)无线终端点解密并向访问控制器转发来自站点的数据。
上述步骤2.5)之后还包括步骤2.6)访问控制器与站点之间的单播密钥更 新过程。
上所述步骤2.6)的具体步骤如下：
2.6.1)当需要进行单播密钥更新时，访问控制器与站点之间执行WAI单播 密钥协商过程；
2.6.2)当WAI单播密钥协商过程完成后，访问控制器向无线终端点发送 CAPWAP站点配置请求消息，消息中包含加入站点、GB15629.11加入站点、 GB15629.11站点会话密钥、GB15629.11信息元素消息元素；
2.6.3)无线终端点向访问控制器发送CAPWAP站点配置响应消息，其中 包括结果码消息元素，用于标识对CAPWAP站点配置请求消息的处理结果。
上述步骤2.5)或2.6)之后还包括步骤2.7)访问控制器与站点之间的组播 密钥更新过程。
上述步骤2.7)的具体步骤如下：
2.7.1)当访问控制器需要进行组播密钥更新时，首先向无线终端点发送 GB15629.11WLAN配置请求(GB15629.11WLAN Configuration Request)消息， 其中包含GB15629.11更新WLAN(GB15629.11Update WLAN)消息元素，该消 息元素中包括组播会话密钥MSK(Multicast Session Key)密钥数据、MSK索引、 MSK更新开始标识、数据分组序号PN(Packet Number)信息。
2.7.2)无线终端点向访问控制器发送GB15629.11WLAN配置响应 (GB15629.11WLAN Configuration Response)消息，其中包含结果码消息元素， 用于标识对GB15629.11WLAN配置请求消息的处理结果；
2.7.3)访问控制器与站点之间执行WAI组播密钥通告过程；
2.7.4)当WAI组播密钥通告过程完成后，访问控制器向无线终端点发送 GB15629.11WLAN配置请求消息，其中包含更新WLAN消息元素，该消息元 素中包括MSK索引、MSK更新结束标识信息；
2.7.5)无线终端点向访问控制器发送GB15629.11WLAN配置响应消息， 其中包括结果码消息元素，用于标识对GB15629.11WLAN配置请求消息的处理 结果。
本发明提供一种将CAPWAP规范绑定WAPI的由WTP实现WPI的分离 MAC模式的WLAN实体之间的通信交互流程，其特征在于：将AP的MAC功 能和WAPI功能分离到WTP和访问控制器AC(Access Controller)上，由WTP 实现与站点STA(Station)之间的GB15629.11标准要求的实时性信息的交互， 包括信标帧、对探询请求帧的响应等，并实现WPI协议，由AC实现与STA之 间的非实时性交互，包括关联、WAI协议等。并基于CAPWAP GB15629.11绑 定规范实现AC与WTP之间的通信。将这种AP功能的划分模式称为由WTP 实现WPI的分离MAC模式。本发明与现有技术相比具有如下优点：本发明提 出了以分离MAC模式实现WAPI与CAPWAP融合的方法，克服了目前基于 WAPI协议的自治式网络架构无法适用大规模WLAN部署需求的局限性。它采 用分离MAC的模式，实现AC对WTP的统一监测、配置和控制，从而达到对 WLAN中WTP进行集中管理的目的；采用由AC实现WAI协议，WTP实现 WPI协议的方式，将WAPI协议与会聚式WLAN体系架构无缝融合，能够保障 WLAN的安全。本发明不仅能够满足WLAN的大规模部署需求，而且能够保证 会聚式体系架构下WLAN的安全性。
附图说明
图1为将CAPWAP规范绑定WAPI由WTP实现WPI的分离MAC模式的 消息流程图；
图2为AC与STA之间的单播密钥更新流程图；
图3为AC与STA之间的组播密钥更新流程图。

参见图1，根据本发明的优选实施例，其具体方法如下：
1)构建由无线终端点实现WPI的分离MAC模式：将AP的MAC功能和 WAPI功能分离到WTP和访问控制器AC(Access Controller)上；
2)在由无线终端点实现WPI的分离MAC模式下，实现CAPWAP规范绑 定WAPI；
2.1)STA与WTP以及AC之间的关联连接过程；
2.1.1)STA被动侦听WTP的信标帧获得WTP的相关参数，包括WAPI信 息元素(WTP支持的WAI鉴别及密钥管理套件、密码套件等)；或者STA主 动向WTP发送探询请求帧，WTP收到STA的探询请求帧后，向STA发送探询 响应帧，STA收到WTP的探询响应帧获得WTP的相关参数，包括WAPI信息 元素(WTP支持的WAI鉴别及密钥管理套件、密码套件等)；
2.1.2)STA获得WTP的探询响应后，向AC发送链路验证请求帧，请求与 AC之间的链路验证；
2.1.3)AC根据STA的链路验证请求帧，向STA发送链路验证响应帧；
2.1.4)链路验证成功后，STA向AC发送关联请求帧，请求与AC进行关 联，STA在关联请求中包含WAPI信息元素确定STA选择的WAI鉴别及密钥 管理套件、密码套件等；
2.1.5)AC解析STA的关联请求帧，向STA发送关联响应帧。
2.2)AC与WTP之间WAI协议开始执行的通告过程；
2.2.1)AC向WTP发送CAPWAP站点配置请求消息，消息中包含加入站 点(STA的MAC地址)、GB15629.11加入站点(WLAN ID)、GB15629.11 站点会话密钥(A被置为1)等消息元素。其中，站点会话密钥消息元素中的 A被置为1用于告知WTP关闭受控端口，仅转发来自对应STA的WAI协议数 据；
2.2.2)WTP向AC发送CAPWAP站点配置响应消息，其中包含结果码等 消息元素，用于标识对CAPWAP站点配置请求消息的处理结果。
2.3)STA与AC之间WAI协议的执行过程；
2.3.1)AC与STA之间的WAI鉴别过程；包括：WTP对来自AC的由 CAPWAP GB15629.11绑定规范定义的CAPWAP数据封装格式封装的WAI鉴 别数据进行拆封后转发给STA；对来自STA的WAI鉴别数据根据CAPWAP GB15629.11绑定规范定义的CAPWAP数据封装格式进行封装后发送给AC；
2.3.2)AC与STA之间的WAI单播密钥协商过程；包括：WTP对来自AC 的由CAPWAP GB15629.11绑定规范定义的CAPWAP数据封装格式封装的WAI 单播密钥协商数据进行拆封后转发给STA；对来自STA的WAI单播密钥协商 数据根据CAPWAP GB15629.11绑定规范定义的CAPWAP数据封装格式进行封 装后发送给AC；
2.3.3)AC与STA之间的WAI组播密钥通告过程；包括：WTP对来自AC 的由CAPWAP GB15629.11绑定规范定义的CAPWAP数据封装格式封装的WAI 组播密钥通告数据进行拆封后转发给STA；对来自STA的WAI组播密钥通告 数据根据CAPWAP GB15629.11绑定规范定义的CAPWAP数据封装格式进行封 装后发送给AC。
2.4)AC与WTP之间WAI协议执行结束的通告过程；
2.4.1)AC向WTP发送CAPWAP站点配置请求消息，消息中包含加入站 点(STA的MAC地址)、GB15629.11加入站点(WLAN ID)、GB15629.11 站点会话密钥(密钥数据)、GB15629.11信息元素(WAPIIE(密码算法为 WPI-SMS4))等消息元素；根据加入站点消息元素中STA的MAC地址，WTP 打开与之对应的受控端口，转发来自该STA的所有数据，包括WAI协议数据和 非WAI协议数据；
2.4.2)WTP向AC发送CAPWAP站点配置响应消息，其中包含结果码等 消息元素，用于标识对CAPWAP站点配置请求消息的处理结果。
2.5)WTP与STA之间利用WPI进行保密通信的过程；
2.5.1)WTP加密来自AC的数据并发送给STA；
2.5.2)WTP解密并向AC转发来自STA的数据。
参见图2，此外，本发明流程中还包括步骤2.6)AC与STA之间的单播密 钥更新过程：
2.6.1)当需要进行单播密钥更新时，AC与STA之间执行WAI单播密钥协 商过程；
2.6.2)当WAI单播密钥协商过程完成后，AC向WTP发送CAPWAP站点 配置请求消息，消息中包含加入站点(STA的MAC地址)、GB15629.11加入 站点(WLAN ID)、GB15629.11站点会话密钥(单播会话密钥USK(Unicast Session Key)、GB15629.11信息元素(WAPIIE(密码算法为WPI-SMS4)) 等消息元素；
2.6.3)WTP向AC发送CAPWAP站点配置响应消息，其中包含结果码消 息元素，用于标识对CAPWAP站点配置请求消息的处理结果。
参见图3，此外，本发明流程中还包括步骤2.7)AC与STA之间的组播密 钥更新过程：
2.7.1)当AC需要进行组播密钥更新时，首先向WTP发送GB15629.11 WLAN配置请求消息，其中包含GB15629.11更新WLAN消息元素，该消息元 素中包含MSK密钥数据、MSK索引、MSK更新开始标识、数据分组序号PN 等信息；
2.7.2)WTP向AC发送GB15629.11WLAN配置响应消息，其中包含结果 码等消息元素，用于标识对GB15629.11WLAN配置请求消息的处理结果；
2.7.3)AC与STA之间执行WAI组播密钥通告过程；
2.7.4)当WAI组播密钥通告过程完成后，AC向WTP发送GB15629.11 WLAN配置请求消息，其中包含GB15629.11更新WLAN(MSK索引、MSK 更新结束标识)等消息元素；
2.7.5)WTP向AC发送GB15629.11WLAN配置响应消息，其中包含结果 码等消息元素，用于标识对GB15629.11WLAN配置请求消息的处理结果。