[发明专利]软件握手协商硬件加解密的CAPWAP隧道DTLS加解密方法

权利要求书

1.一种软件握手协商硬件加解密的CAPWAP隧道DTLS加解密方法，其特征在于，包括：

在AC设备侧和AP设备侧分别设置预共享密钥；

当创建CAPWAP控制会话或CAPWAP数据会话时，CPU根据所述预共享密钥进行DTLS握手协商生成随机密钥，并将所述随机密钥以及AP设备信息下发给ASIC芯片；

AC设备进行报文转发时，ASIC芯片根据所述随机密钥对接收到的CAPWAP报文进行解密，然后查表转发或上送CPU处理；对于需要加密转发的报文，ASIC芯片根据所述随机密钥进行加密后转发。

2.根据权利要求1所述的软件握手协商硬件加解密的CAPWAP隧道DTLS加解密方法，其特征在于，所述进行DTLS握手协商生成随机密钥具体包括：

根据所述预共享密钥进行身份认证，认证通过后，AP侧随机生成一个客户端随机数和PreMasterSecret，并通过加密方式传递给AC侧；AC侧随机生成一个服务器端随机数，通过加密方式传递给AP侧；

AC侧根据客户端随机数、服务器端随机数和PreMasterSecret协商生成随机密钥。

3.根据权利要求1所述的软件握手协商硬件加解密的CAPWAP隧道DTLS加解密方法，其特征在于，所述创建CAPWAP控制会话包括：在ASIC芯片上和CPU上同时创建CAPWAP控制会话，ASIC上CAPWAP控制会话用于识别控制报文以及对控制报文进行加解密处理；CPU上CAPWAP控制会话用于处理上送至CPU的控制报文。

4.根据权利要求1所述的软件握手协商硬件加解密的CAPWAP隧道DTLS加解密方法，其特征在于，所述创建CAPWAP数据会话包括：在ASIC上和CPU上同时创建CAPWAP数据会话，ASIC上CAPWAP数据会话用于识别数据报文以及对数据报文进行加解密处理；CPU上CAPWAP数据会话用于处理上送至CPU的数据报文。

5.根据权利要求3所述的软件握手协商硬件加解密的CAPWAP隧道DTLS加解密方法，其特征在于：所述在ASIC上创建CAPWAP控制会话包括设置密钥和添加隧道信息；

所述设置密钥包括将创建控制会话时下发至ASIC芯片的随机密钥设置为用于对CAPWAP控制报文进行加解密处理的密钥；

所述添加隧道信息包括设置AP设备信息，所述AP设备信息至少用于识别来自AP设备的CAPWAP控制报文。

6.根据权利要求4所述的软件握手协商硬件加解密的CAPWAP隧道DTLS加解密方法，其特征在于，所述在ASIC上创建CAPWAP数据会话包括设置密钥和添加隧道信息；

所述设置密钥包括将创建数据会话时下发至ASIC芯片的随机密钥设置为用于对CAPWAP数据报文进行加解密处理的密钥；

所述添加隧道信息包括设置AP设备信息，所述AP设备信息至少用于识别来自AP设备的CAPWAP数据报文。

7.根据权利要求5所述的软件握手协商硬件加解密的CAPWAP隧道DTLS加解密方法，其特征在于，所述对CAPWAP控制报文进行加解密处理包括：

对收到的控制报文，ASIC芯片根据相应的密钥进行解密后上送CPU；对需要发往AP设备的控制报文，ASIC芯片根据相应的密钥进行加密后发送。

8.根据权利要求6所述的软件握手协商硬件加解密的CAPWAP隧道DTLS加解密方法，其特征在于，所述对CAPWAP数据报文进行加解密处理包括：

对收到的数据报文，ASIC芯片根据相应的密钥进行解密，然后查找转发表，根据查找结果将解密后的报文进行转发或上送CPU；若转发出口为AP设备，ASIC芯片根据相应的密钥对报文进行加密后再转发。

9.根据权利要求1至8任一项所述的软件握手协商硬件加解密的CAPWAP隧道DTLS加解密方法，其特征在于：所述随机密钥包括AES key和HMAC key；所述AP设备信息包括AP设备的IP和端口号。

10.根据权利要求1至8任一项所述的软件握手协商硬件加解密的CAPWAP隧道DTLS加解密方法，其特征在于：所述握手协商过程基于OpenSSL协议实现。