CN102014342A - 混合组网的网络系统及方法 - Google Patents
混合组网的网络系统及方法 Download PDFInfo
- Publication number
- CN102014342A CN102014342A CN201010620281.2A CN201010620281A CN102014342A CN 102014342 A CN102014342 A CN 102014342A CN 201010620281 A CN201010620281 A CN 201010620281A CN 102014342 A CN102014342 A CN 102014342A
- Authority
- CN
- China
- Prior art keywords
- management frames
- management
- user terminal
- sta2
- frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种混合组网的网络系统及方法,包括接入点AP及不支持管理帧保护的用户终端STA1,混合组网的网络系统还包括支持管理帧保护的用户终端STA2;混合组网的网络系统包括以下三种情形:情形一,当AP是支持管理帧保护的设备,并且允许STA1及STA2从所述AP接入网络;情形二,当接入点AP是不支持管理帧保护的设备;情形三:当接入点AP是支持管理帧保护的设备,并且允许STA2从所述AP接入网络而不允许STA1从所述AP接入网络。本发明提供了一种安全性高、有效提高系统效率的混合组网的网络系统及方法。
Description
技术领域
本发明属于无线通信网络安全应用领域,涉及一种无线局域网中具有管理帧保护能力的设备与原有不具有管理帧保护的设备混合组网的网络系统及方法。
背景技术
无线网络连接采用无线信号承载信息的传输。无线信号是发散的,无线电波广播范围内的任何信号都很容易被监听到,造成通信信息泄露。目前广泛应用的WLAN技术都没有实现对管理帧的保护,于是黑客可以伪造MAC地址假装成合法的工作站,通过发送解除关联或解除链路验证消息使工作站的网络中止。网络中止后重新建立关联和认证过程需要耗费一定的时间,致使网络遭到拒绝服务(DoS)攻击。
对管理帧进行保护是将来无线网络应用的趋势。但是目前传统设备和具有管理帧保护功能的设备并存于网络的局面还会持续一段时间。保证网络系统能兼容具有管理帧保护功能的设备和现有的传统设备是组建网络系统和升级设备需要解决的问题。
发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种安全性高、有效提高系统效率的混合组网的网络系统及方法。
本发明的技术解决方案是:本发明提供了一种混合组网的网络系统,包括接入点AP及不支持管理帧保护的用户终端STA1,其特殊之处在于:所述混合组网的网络系统还包括支持管理帧保护的用户终端STA2;所述混合组网的网络系统包括以下三种情形:
情形一,当AP是支持管理帧保护的设备,并且允许STA1及STA2从所述AP接入网络时,
STA1与所述AP之间按照现有WAPI标准定义的管理帧的处理方式处理单播管理帧;若STA2未成功完成单播密钥协商过程,则STA2与所述AP之间按照现有WAPI标准定义的管理帧的处理方式处理单播管理帧,若STS2成功完成了单播密钥协商过程,则STA2与所述AP之间按照现有WAPI标准中定义处理单播数据帧的处理方式处理单播管理帧;
所述AP对STA1及STA2广播被保护的组播管理帧,被保护的组播管理帧帧体在现有WAPI标准中的组播管理帧帧体基础上进一步包含了管理帧MIC信息元素;STA1接收到被保护的组播管理帧后,按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧帧体的除管理帧MIC信息元素之外的其他部分所指示的操作;STA2接收到被保护的组播管理帧后,若未成功完成组播密钥协商过程,则STA2按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧帧体的除管理帧MIC信息元素之外的其他部分所指示的操作,若已完成组播密钥协商过程,则STA2在成功校验管理帧MIC信息元素后按照现有WAPI标准中定义的管理帧操作过程执行执行被保护的组播管理帧帧体的除管理帧MIC信息元素以外的其他部分所指示的操作;
情形二,当接入点AP是不支持管理帧保护的设备时,
STA1从所述AP接入网络时,STA1和AP按照现有WAPI标准中定义的管理帧的处理方式构造和处理单播管理帧;AP按照现有WAPI标准中定义的管理帧的处理方式构造组播管理帧,STA1按照现有WAPI标准中定义的管理帧的处理方式处理组播管理帧;
STA2从所述AP接入网络时,若STA2禁用管理帧保护功能,则STA2和所述AP按照现有WAPI标准中定义的管理帧的处理方式构造和处理单播管理帧,AP按照现有WAPI标准中定义的管理帧的处理方式构造组播管理帧,STA2按照现有WAPI标准中定义的管理帧的处理方式处理组播管理帧;若STA2设置为必须启用管理帧保护功能,则STA2寻找其他接入点AP,直至寻找到支持管理帧保护的接入点AP时,STA2及该寻找到的支持管理帧保护的接入点AP将按照情形一中STA2及AP的工作方式进行工作;
情形三:当接入点AP是支持管理帧保护的设备,并且允许STA2从所述AP接入网络而不允许STA1从所述AP接入网络时,
STA2及该接入点AP按照情形一中STA2及AP的工作方式进行工作;
STA1寻找其他接入点AP,直至寻找到不支持管理帧保护的接入点AP时,STA1和该寻找到的不支持管理帧保护的接入点AP按照现有WAPI标准中定义的管理帧的处理方式构造和处理单播管理帧,该寻找到的不支持管理帧保护的接入点AP按照现有WAPI标准中定义的管理帧的处理方式构造组播管理帧,STA1按照现有WAPI标准中定义的管理帧的处理方式处理组播管理帧。
上述情形一中,当AP对STA1及STA2广播被保护的组播管理帧时,若已完成组播密钥协商过程,则用户终端STA2校验管理帧MIC信息元素中的消息鉴别码MIC;如果校验失败,则接收端STA2丢弃该被保护的组播管理帧;如果校验成功,则接收端STA2按照现有WAPI标准中定义的管理帧操作过程执行该被保护的组播管理帧帧体的除管理帧MIC信息元素以外的其他部分所指示的操作。
上述被保护的组播管理帧包括MAC头、管理帧帧体以及帧检验序列FCS;管理帧帧体在现有WAPI标准中的帧体基础上进一步包含了管理帧MIC信息元素;管理帧MIC信息元素包含元素标识、长度以及信息字段;
其中:
所述元素标识用于指示含有所述元素标识的信息元素是管理帧MIC信息元素,其值不与WAPI标准中已经定义的元素标识的取值相同,所述信息元素的信息字段中至少包含消息鉴别码MIC;所述消息鉴别码MIC是利用组播会话密钥对管理帧体中除所述消息鉴别码MIC之外的其他数据进行计算生成的。
一种混合组网方法,其特殊之处在于:当接入点AP是支持管理帧保护的设备,用户终端STA1是不支持管理帧保护的用户终端,用户终端STA2是支持管理帧保护的用户终端,并且所述接入点AP允许用STA1以及STA2接入网络时,所述混合组网方法包括以下过程:
1)用户终端与接入点AP相互发送单播管理帧:
1.1)当接入网络的用户终端是用户终端STA1时,接入点AP不启用管理帧保护功能,发送端和接收端的处理过程与现有WAPI标准中发送端和接收端对管理帧的处理过程相同,发送和处理未加密的单播管理帧;其中,当发送端为用户终端STA1时,接收端为接入点AP,当发送端为接入点AP时,接收端为用户终端STA1;
1.2)当接入网络的用户终端是用户终端STA2时,若所述接入点AP与用户终端STA2在未成功完成单播密钥协商过程,则发送端发送未加密的单播管理帧,其发送端处理过程与WAPI标准中的管理帧的处理过程相同,接收端接收到未加密的单播管理帧后按照WAPI标准中的管理帧的处理过程处理;若用户终端STS2成功完成了单播密钥协商过程,则发送端利用单播会话密钥发送加密的单播管理帧,其发送端处理过程与WAPI标准中定义的单播数据帧的处理方式相同,接收端收到加密的单播管理帧后按照WAPI标准中定义的单播数据帧的处理方式进行处理;其中,当发送端为用户终端STA2时,接收端为接入点AP,当发送端为接入点AP时,接收端为用户终端STA2;
2)接入点AP构造被保护的组播管理帧发送给用户终端,被保护的组播管理帧帧体在现有WAPI标准中的组播管理帧帧体基础上进一步包含了管理帧MIC信息元素:
2.1)当接入网络的用户终端是用户终端STA1时,用户终端STA1忽略管理帧MIC信息元素并按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧帧体的除管理帧MIC信息元素之外的其他部分所指示的操作;
2.2)当接入网络的用户终端是用户终端STA2时,
2.2.1)若接入点AP与用户终端STA2未成功完成组播密钥协商过程,则用户终端STA2忽略管理帧MIC信息元素并按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧帧体的除管理帧MIC信息元素之外的其他部分所指示的操作;
2.2.2)若接入点AP与用户终端STA2已完成组播密钥协商过程,则户终端STA2在成功校验管理帧MIC信息元素后按照现有WAPI标准中定义的管理帧操作过程执行,执行被保护的组播管理帧帧体的除管理帧MIC信息元素以外的其他部分所指示的操作。
上述过程2.2.2)的具体实现方式是:用户终端STA2校验管理帧MIC信息元素中的消息鉴别码MIC,即根据所述管理帧MIC信息元素中包含的消息鉴别码MIC检验管理帧帧体中除了管理帧MIC信息元素以外的其他数据是否合法;如果不合法,则接收端STA2丢弃该组播管理帧;如果合法,则接收端STA2按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧帧体的除管理帧MIC信息元素以外的其他部分所指示的操作。
上述被保护的组播管理帧包括MAC头、管理帧帧体以及帧检验序列FCS;管理帧帧体在现有WAPI标准中的帧体基础上进一步包含了管理帧MIC信息元素;管理帧MIC信息元素包含元素标识、长度以及信息字段;
其中:
所述元素标识用于指示含有所述元素标识的信息元素是管理帧MIC信息元素,其值不与WAPI标准中已经定义的元素标识的取值相同,所述信息元素的信息字段中至少包含消息鉴别码MIC;所述消息鉴别码MIC是利用组播会话密钥对管理帧体中除所述消息鉴别码MIC之外的其他数据进行计算生成的。
一种混合组网方法,其特殊之处在于:当接入点AP是不支持管理帧保护的设备,用户终端包括不支持管理帧保护的用户终端STA1以及支持管理帧保护的用户终端STA2时,所述混合组网方法包括以下过程:
1)当接入网络的用户终端是用户终端STA1时,STA1和AP按照现有WAPI标准中定义的管理帧的处理方式构造和处理单播管理帧;AP按照现有WAPI标准中定义的管理帧的处理方式构造组播管理帧,STA1按照现有WAPI标准中定义的管理帧的处理方式处理组播管理帧;
2)当接入网络的用户终端是用户终端STA2时,若用户终端STA2禁用管理帧保护功能,则STA2和所述AP按照现有WAPI标准中定义的管理帧的处理方式构造和处理单播管理帧,AP按照现有WAPI标准中定义的管理帧的处理方式构造组播管理帧,STA2按照现有WAPI标准中定义的管理帧的处理方式处理组播管理帧;若用户终端STA2设置为必须启用管理帧保护功能,则用户终端STA2寻找其他接入点AP,直至寻找到支持管理帧保护的接入点AP接入网络时,
2.1)若所述寻找到支持管理帧保护的接入点AP与用户终端STA2未成功完成单播密钥协商过程,则发送端发送未加密的单播管理帧,其发送端处理过程与WAPI标准中的管理帧的处理过程相同,接收端接收到未加密的单播管理帧后按照WAPI标准中的管理帧的处理过程处理;若用户终端STA2成功完成了单播密钥协商过程,则发送端利用单播会话密钥发送加密的单播管理帧,其发送端处理过程与WAPI标准中定义的单播数据帧的处理方式相同,接收端收到加密的单播管理帧后按照WAPI标准中定义的单播数据帧的处理方式进行处理;其中,当发送端为用户终端STA2时,接收端为所述寻找到支持管理帧保护的接入点AP;当发送端为所述寻找到支持管理帧保护的接入点AP时,接收端为用户终端STA2;
2.2)若所述寻找到支持管理帧保护的接入点AP与用户终端STA2未成功完成组播密钥协商过程,则用户终端STA2忽略所述寻找到支持管理帧保护的接入点AP发送给用户终端STA2的被保护的组播管理帧中的管理帧MIC信息元素,并按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧帧体的除管理帧MIC信息元素之外的其他部分所指示的操作;若所述寻找到支持管理帧保护的接入点AP与用户终端STA2已完成组播密钥协商过程,则户终端STA2在成功校验管理帧MIC信息元素后按照现有WAPI标准中定义的管理帧操作过程执行,执行被保护的组播管理帧帧体的除管理帧MIC信息元素以外的其他部分所指示的操作。
在上述过程2.2)中,若已完成组播密钥协商过程,则用户终端STA2校验管理帧MIC信息元素中的消息鉴别码MIC;如果校验失败,则接收端STA2丢弃该被保护的组播管理帧;如果校验成功,则接收端STA2按照现有WAPI标准中定义的管理帧操作过程执行该被保护的组播管理帧帧体的除管理帧MIC信息元素以外的其他部分所指示的操作。
一种混合组网方法,其特殊之处在于:当接入点AP是支持管理帧保护的设备,用户终端STA1是不支持管理帧保护的用户终端,用户终端用STA2是支持管理帧保护的用户终端,并且所述接入点AP只允许用户终端STA2接入而不允许用户终端STA1接入网络时,所述混合组网方法包括以下过程:
1)当接入网络的用户终端是用户终端STA1时,所述用户终端STA1寻找其他接入点AP,直至寻找到不支持管理帧保护的接入点AP时,用户终端STA1和该寻找到的不支持管理帧保护的AP按照现有WAPI标准中定义的管理帧的处理方式构造和处理单播管理帧,该寻找到的不支持管理帧保护的AP按照现有WAPI标准中定义的管理帧的处理方式构造组播管理帧,STA1按照现有WAPI标准中定义的管理帧的处理方式处理组播管理帧;
2)当接入网络的用户终端是用户终端STA2时,
2.1)若所述接入点AP与用户终端STA2未成功完成单播密钥协商过程,则发送端发送未加密的单播管理帧,其发送端处理过程与WAPI标准中的管理帧的处理过程相同,接收端接收到未加密的单播管理帧后按照WAPI标准中的管理帧的处理过程处理;若用户终端STS2成功完成了单播密钥协商过程,则发送端利用单播会话密钥发送加密的单播管理帧,其发送端处理过程与WAPI标准中定义的单播数据帧的处理方式相同,接收端收到加密的单播管理帧后按照WAPI标准中定义的单播数据帧的处理方式进行处理;其中,当发送端为用户终端STA2时,接收端为接入点AP;当发送端为接入点AP时,接收端为用户终端STA2;
2.2)若所述接入点AP与用户终端STA2未成功完成组播密钥协商过程,则用户终端STA2忽略所述接入点AP发送给用户终端STA2的被保护的组播管理帧中的管理帧MIC信息元素,并按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧帧体的除管理帧MIC信息元素之外的其他部分所指示的操作;若所述接入点AP与用户终端STA2已完成组播密钥协商过程,则用户终端STA2在成功校验管理帧MIC信息元素后按照现有WAPI标准中定义的管理帧操作过程执行执行被保护的组播管理帧帧体的除管理帧MIC信息元素以外的其他部分所指示的操作。
上述被保护的组播管理帧包括MAC头、管理帧帧体以及帧检验序列FCS;管理帧帧体在现有WAPI标准中的帧体基础上进一步包含了管理帧MIC信息元素;管理帧MIC信息元素包含元素标识、长度以及信息字段;
其中:
所述元素标识用于指示含有所述元素标识的信息元素是管理帧MIC信息元素,其值不与WAPI标准中已经定义的元素标识的取值相同,所述信息元素的信息字段中至少包含消息鉴别码MIC;所述消息鉴别码MIC是利用组播会话密钥对管理帧体中除所述消息鉴别码MIC之外的其他数据进行计算生成的。
本发明提供了一种用于混合组网的管理帧保护方法及其系统,在支持管理帧保护的设备和现有不支持管理帧保护的设备组成的系统中,保证传统设备正常接入系统,并能够正常解析含有保护字段的组播管理帧,有效提高系统效率。
附图说明
图1是混合组网系统中发送单播管理帧的示意图;
图2是混合组网系统中发送组播管理帧的示意图;
图3是组播管理帧的结构示意图。
具体实施方式
以下是结合本发明中的附图对本发明的具体实施方式的描述,足以使本领域的技术人员理解和实施。
本发明较佳实施方式提供了一种支持管理帧保护设备与现有不支持管理帧保护设备混合组网的方法,尽量降低设备升级的代价并实现升级前后的设备并存的系统。以下实施例中现有WAPI标准指代国家标准GB15629.11-2003/XG1-2006版本;现有不支持管理帧保护的用户终端用STA1表示;支持管理帧保护的用户终端用STA2表示,其主要实施过程如下:
本发明对于支持管理帧保护的设备与不支持管理帧保护的设备混合组网的系统主要包括以下三种情形:
情形一,接入点AP是支持管理帧保护的设备,并且同时允许用户终端STA1与用户终端STA2接入网络。
参见图1,是情形一下混合组网系统中发送单播管理帧的示意图,具体实施过程如下:
1、用户终端STA1通过接入点AP接入网络时,接入点AP不启用管理帧保护功能,发送端(STA1或AP)和接收端(AP或STA1)的处理过程按照现有WAPI标准中定义的管理帧的处理方式,处理未加密的单播管理帧450。
2、用户终端STA2启用管理帧保护功能与所述接入点AP建立连接,具体实施分为以下两种情况:
a)如果所述接入点AP与所述用户终端STA2在未成功完成单播密钥协商过程时需要发送单播管理帧,发送端(STA2或AP)发送未加密的单播管理帧450,其发送端处理过程与现有WAPI标准中定义的管理帧的处理方式相同;接收端(AP或STA2)接收到未加密的单播管理帧450后也按照现有WAPI标准中定义的管理帧的处理方式处理。
b)如果所述接入点AP与所述用户终端STA2完成了单播密钥协商过程,发送端(STA2或AP)发送单播管理帧时,发送端利用单播会话密钥发送加密的单播管理帧400,其发送端处理过程与现有WAPI标准中定义的单播数据帧的处理方式相同;接收端(AP或STA2)收到后也按照现有WAPI标准中定义的单播数据帧的处理方式进行处理。
在情形一下,所述接入点AP发送组播管理帧给用户终端STA1和用户终端STA2的过程如图2所示,接入点AP广播给所有用户终端被保护的组播管理帧,具体实施过程如下:
1、发送端接入点AP构造被保护的组播管理帧发送给接收端用户终端STA1和用户终端STA2。组播管理帧的结构如图3所示,包括MAC头、帧体以及帧检验序列FCS三个部分。现有WAPI标准中的帧体部分至少包含已有固定字段600,可能还包含已有信息元素602。被保护的组播管理帧帧体在现有WAPI标准中的帧体基础上进一步包含了管理帧MIC信息元素604。管理帧MIC信息元素604的结构与现有WAPI标准中定义的信息元素格式相同,都包含:元素标识、长度和信息字段。
管理帧MIC信息元素604的元素标识用于指示该信息元素是管理帧MIC信息元素604,其值不能与现有WAPI标准中已经定义的元素标识的取值相同。当元素标识表示该信息元素为管理帧MIC信息元素604,那么该信息元素的信息字段中至少包含消息鉴别码MIC。消息鉴别码MIC是利用组播会话密钥对管理帧体中的其他数据(至少包含已有固定字段600,可能还包含已有信息元素602)进行计算生成的,主要用于检验在传输过程中该消息是否有被篡改。
2、用户终端STA1和用户终端STA2接收到被保护的组播管理帧500后执行不同的操作,其具体实施过程为:
a)用户终端STA1作为接收端:因为用户终端STA1是现有不支持管理帧保护的设备,所以不能解析管理帧MIC信息元素604的元素标识,用户终端STA1忽略所述管理帧MIC信息元素604;但是管理帧帧体的除管理帧MIC信息元素604之外的其他部分(至少包含已有固定字段600,可能还包含已有信息元素602)仍可以被用户终端STA1正确解析,因此用户终端STA1将按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧帧体的除管理帧MIC信息元素604之外的其他部分所指示的操作。
b)用户终端STA2作为接收端:在未成功完成组播密钥协商过程时,因为用户终端STA2没有安全组播会话密钥,无法校验管理帧MIC信息元素604字段,所以处理组播管理帧500的方法与上述a)中相同;在成功完成组播密钥协商过程后,用户终端STA2能够解析管理帧MIC信息元素604,因此用户终端STA2将首先校验管理帧MIC信息元素604中的消息鉴别码MIC,即根据所述管理帧MIC信息元素604中包含的消息鉴别码MIC检验管理帧帧体中除了管理帧MIC信息元素604以外的其他数据(至少包含已有固定字段600,可能还包含已有信息元素602)是否合法。如果校验失败,则接收端STA2丢弃该组播管理帧500;如果校验成功,则接收端STA2按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧500帧体的除管理帧MIC信息元素以外的其他部分所指示的操作。
在情形一下,接入点AP广播组播管理帧500时,接入点AP可以只用广播一次组播管理帧500就能让系统中的所有用户终端解析组播管理帧500,不用分别对不同的用户终端STA1和用户终端STA2分别广播组播管理帧500,提高了接入点AP的处理效率。
情形二,接入点AP是现有不支持管理帧保护的设备。此情形下:
1、用户终端STA1要从接入点AP接入网络时,STA1和AP按照现有WAPI标准中定义的管理帧的处理方式构造和处理单播管理帧,AP按照现有WAPI标准中定义的管理帧的处理方式构造组播管理帧,STA1按照现有WAPI标准中定义的管理帧的处理方式处理组播管理帧;
2、用户终端STA2要从接入点AP接入网络时,则用户终端STA2禁用管理帧保护功能,此时STA2和AP按照现有WAPI标准中定义的管理帧的处理方式构造和处理单播管理帧,AP按照现有WAPI标准中定义的管理帧的处理方式构造组播管理帧,STA2按照现有WAPI标准中定义的管理帧的处理方式处理组播管理帧;如果用户终端STA2设置为必须启用管理帧保护功能,则用户终端STA2将无法接入该AP,需要寻找其他接入点AP,直至寻找到支持管理帧保护的接入点AP时,STA2及该寻找到的支持管理帧保护的接入点AP将按照情形一中STA2及AP的工作方式进行工作。
情形三,接入点AP是支持管理帧保护的设备,并且只允许用户终端STA2接入时,而不允许用户终端STA1从所述接入点AP接入网络。此时,STA2及该接入点AP将按照情形一中STA2及AP的工作方式进行工作。STA1需要重新寻找其他的接入点AP,直至寻找到现有不支持管理帧保护的接入点AP时,STA1和AP按照现有WAPI标准中定义的管理帧的处理方式构造和处理单播管理帧,AP按照现有WAPI标准中定义的管理帧的处理方式构造组播管理帧,STA1按照现有WAPI标准中定义的管理帧的处理方式处理组播管理帧。
以上所述的实施例指示本发明较优选的具体实施方式的一种,本领域的技术人员在本发明技术方案范围内进行的各种变化和替换都应包含在本发明的保护范围内。
Claims (10)
1.一种混合组网的网络系统,包括接入点AP及不支持管理帧保护的用户终端STA1,其特征在于:所述混合组网的网络系统还包括支持管理帧保护的用户终端STA2;所述混合组网的网络系统包括以下三种情形:
情形一,当AP是支持管理帧保护的设备,并且允许STA1及STA2从所述AP接入网络时,
STA1与所述AP之间按照现有WAPI标准定义的管理帧的处理方式处理单播管理帧;若STA2未成功完成单播密钥协商过程,则STA2与所述AP之间按照现有WAPI标准定义的管理帧的处理方式处理单播管理帧,若STS2成功完成了单播密钥协商过程,则STA2与所述AP之间按照现有WAPI标准中定义处理单播数据帧的处理方式处理单播管理帧;
所述AP对STA1及STA2广播被保护的组播管理帧,被保护的组播管理帧帧体在现有WAPI标准中的组播管理帧帧体基础上进一步包含了管理帧MIC信息元素;STA1接收到被保护的组播管理帧后,按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧帧体的除管理帧MIC信息元素之外的其他部分所指示的操作;STA2接收到被保护的组播管理帧后,若未成功完成组播密钥协商过程,则STA2按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧帧体的除管理帧MIC信息元素之外的其他部分所指示的操作,若已完成组播密钥协商过程,则STA2在成功校验管理帧MIC信息元素后按照现有WAPI标准中定义的管理帧操作过程执行执行被保护的组播管理帧帧体的除管理帧MIC信息元素以外的其他部分所指示的操作;
情形二,当接入点AP是不支持管理帧保护的设备时,
STA1从所述AP接入网络时,STA1和AP按照现有WAPI标准中定义的管理帧的处理方式构造和处理单播管理帧;AP按照现有WAPI标准中定义的管理帧的处理方式构造组播管理帧,STA1按照现有WAPI标准中定义的管理帧的处理方式处理组播管理帧;
STA2从所述AP接入网络时,若STA2禁用管理帧保护功能,则STA2和所述AP按照现有WAPI标准中定义的管理帧的处理方式构造和处理单播管理帧,AP按照现有WAPI标准中定义的管理帧的处理方式构造组播管理帧,STA2按照现有WAPI标准中定义的管理帧的处理方式处理组播管理帧;若STA2设置为必须启用管理帧保护功能,则STA2寻找其他接入点AP,直至寻找到支持管理帧保护的接入点AP时,STA2及该寻找到的支持管理帧保护的接入点AP将按照情形一中STA2及AP的工作方式进行工作;
情形三:当接入点AP是支持管理帧保护的设备,并且允许STA2从所述AP接入网络而不允许STA1从所述AP接入网络时,
STA2及该接入点AP按照情形一中STA2及AP的工作方式进行工作;
STA1寻找其他接入点AP,直至寻找到不支持管理帧保护的接入点AP时,STA1和该寻找到的不支持管理帧保护的接入点AP按照现有WAPI标准中定义的管理帧的处理方式构造和处理单播管理帧,该寻找到的不支持管理帧保护的接入点AP按照现有WAPI标准中定义的管理帧的处理方式构造组播管理帧,STA1按照现有WAPI标准中定义的管理帧的处理方式处理组播管理帧。
2.根据权利要求1所述的混合组网的网络系统,其特征在于:所述情形一中,当AP对STA1及STA2广播被保护的组播管理帧时,若已完成组播密钥协商过程,则用户终端STA2校验管理帧MIC信息元素中的消息鉴别码MIC;如果校验失败,则接收端STA2丢弃该被保护的组播管理帧;如果校验成功,则接收端STA2按照现有WAPI标准中定义的管理帧操作过程执行该被保护的组播管理帧帧体的除管理帧MIC信息元素以外的其他部分所指示的操作。
3.根据权利要求1或2所述的混合组网的网络系统,其特征在于:所述被保护的组播管理帧包括MAC头、管理帧帧体以及帧检验序列FCS;管理帧帧体在现有WAPI标准中的帧体基础上进一步包含了管理帧MIC信息元素;管理帧MIC信息元素包含元素标识、长度以及信息字段;
其中:
所述元素标识用于指示含有所述元素标识的信息元素是管理帧MIC信息元素,其值不与WAPI标准中已经定义的元素标识的取值相同,所述信息元素的信息字段中至少包含消息鉴别码MIC;所述消息鉴别码MIC是利用组播会话密钥对管理帧体中除所述消息鉴别码MIC之外的其他数据进行计算生成的。
4.一种混合组网方法,其特征在于:当接入点AP是支持管理帧保护的设备,用户终端STA1是不支持管理帧保护的用户终端,用户终端STA2是支持管理帧保护的用户终端,并且所述接入点AP允许用STA1以及STA2接入网络时,所述混合组网方法包括以下过程:
1)用户终端与接入点AP相互发送单播管理帧:
1.1)当接入网络的用户终端是用户终端STA1时,接入点AP不启用管理帧保护功能,发送端和接收端的处理过程与现有WAPI标准中发送端和接收端对管理帧的处理过程相同,发送和处理未加密的单播管理帧;其中,当发送端为用户终端STA1时,接收端为接入点AP,当发送端为接入点AP时,接收端为用户终端STA1;
1.2)当接入网络的用户终端是用户终端STA2时,若所述接入点AP与用户终端STA2在未成功完成单播密钥协商过程,则发送端发送未加密的单播管理帧,其发送端处理过程与WAPI标准中的管理帧的处理过程相同,接收端接收到未加密的单播管理帧后按照WAPI标准中的管理帧的处理过程处理;若用户终端STS2成功完成了单播密钥协商过程,则发送端利用单播会话密钥发送加密的单播管理帧,其发送端处理过程与WAPI标准中定义的单播数据帧的处理方式相同,接收端收到加密的单播管理帧后按照WAPI标准中定义的单播数据帧的处理方式进行处理;其中,当发送端为用户终端STA2时,接收端为接入点AP,当发送端为接入点AP时,接收端为用户终端STA2;
2)接入点AP构造被保护的组播管理帧发送给用户终端,被保护的组播管理帧帧体在现有WAPI标准中的组播管理帧帧体基础上进一步包含了管理帧MIC信息元素:
2.1)当接入网络的用户终端是用户终端STA1时,用户终端STA1忽略管理帧MIC信息元素并按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧帧体的除管理帧MIC信息元素之外的其他部分所指示的操作;
2.2)当接入网络的用户终端是用户终端STA2时,
2.2.1)若接入点AP与用户终端STA2未成功完成组播密钥协商过程,则用户终端STA2忽略管理帧MIC信息元素并按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧帧体的除管理帧MIC信息元素之外的其他部分所指示的操作;
2.2.2)若接入点AP与用户终端STA2已完成组播密钥协商过程,则户终端STA2在成功校验管理帧MIC信息元素后按照现有WAPI标准中定义的管理帧操作过程执行,执行被保护的组播管理帧帧体的除管理帧MIC信息元素以外的其他部分所指示的操作。
5.根据权利要求4所述的混合组网方法,其特征在于:所述过程2.2.2)的具体实现方式是:用户终端STA2校验管理帧MIC信息元素中的消息鉴别码MIC,即根据所述管理帧MIC信息元素中包含的消息鉴别码MIC检验管理帧帧体中除了管理帧MIC信息元素以外的其他数据是否合法;如果不合法,则接收端STA2丢弃该组播管理帧;如果合法,则接收端STA2按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧帧体的除管理帧MIC信息元素以外的其他部分所指示的操作。
6.根据权利要求4或5所述的混合组网方法,其特征在于:所述被保护的组播管理帧包括MAC头、管理帧帧体以及帧检验序列FCS;管理帧帧体在现有WAPI标准中的帧体基础上进一步包含了管理帧MIC信息元素;管理帧MIC信息元素包含元素标识、长度以及信息字段;
其中:
所述元素标识用于指示含有所述元素标识的信息元素是管理帧MIC信息元素,其值不与WAPI标准中已经定义的元素标识的取值相同,所述信息元素的信息字段中至少包含消息鉴别码MIC;所述消息鉴别码MIC是利用组播会话密钥对管理帧体中除所述消息鉴别码MIC之外的其他数据进行计算生成的。
7.一种混合组网方法,其特征在于:当接入点AP是不支持管理帧保护的设备,用户终端包括不支持管理帧保护的用户终端STA1以及支持管理帧保护的用户终端STA2时,所述混合组网方法包括以下过程:
1)当接入网络的用户终端是用户终端STA1时,STA1和AP按照现有WAPI标准中定义的管理帧的处理方式构造和处理单播管理帧;AP按照现有WAPI标准中定义的管理帧的处理方式构造组播管理帧,STA1按照现有WAPI标准中定义的管理帧的处理方式处理组播管理帧;
2)当接入网络的用户终端是用户终端STA2时,若用户终端STA2禁用管理帧保护功能,则STA2和所述AP按照现有WAPI标准中定义的管理帧的处理方式构造和处理单播管理帧,AP按照现有WAPI标准中定义的管理帧的处理方式构造组播管理帧,STA2按照现有WAPI标准中定义的管理帧的处理方式处理组播管理帧;若用户终端STA2设置为必须启用管理帧保护功能,则用户终端STA2寻找其他接入点AP,直至寻找到支持管理帧保护的接入点AP接入网络时,
2.1)若所述寻找到支持管理帧保护的接入点AP与用户终端STA2未成功完成单播密钥协商过程,则发送端发送未加密的单播管理帧,其发送端处理过程与WAPI标准中的管理帧的处理过程相同,接收端接收到未加密的单播管理帧后按照WAPI标准中的管理帧的处理过程处理;若用户终端STS2成功完成了单播密钥协商过程,则发送端利用单播会话密钥发送加密的单播管理帧,其发送端处理过程与WAPI标准中定义的单播数据帧的处理方式相同,接收端收到加密的单播管理帧后按照WAPI标准中定义的单播数据帧的处理方式进行处理;其中,当发送端为用户终端STA2时,接收端为所述寻找到支持管理帧保护的接入点AP;当发送端为所述寻找到支持管理帧保护的接入点AP时,接收端为用户终端STA2;
2.2)若所述寻找到支持管理帧保护的接入点AP与用户终端STA2未成功完成组播密钥协商过程,则用户终端STA2忽略所述寻找到支持管理帧保护的接入点AP发送给用户终端STA2的被保护的组播管理帧中的管理帧MIC信息元素,并按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧帧体的除管理帧MIC信息元素之外的其他部分所指示的操作;若所述寻找到支持管理帧保护的接入点AP与用户终端STA2已完成组播密钥协商过程,则户终端STA2在成功校验管理帧MIC信息元素后按照现有WAPI标准中定义的管理帧操作过程执行,执行被保护的组播管理帧帧体的除管理帧MIC信息元素以外的其他部分所指示的操作。
8.根据权利要求7所述的混合组网方法,其特征在于:在所述过程2.2)中,若已完成组播密钥协商过程,则用户终端STA2校验管理帧MIC信息元素中的消息鉴别码MIC;如果校验失败,则接收端STA2丢弃该被保护的组播管理帧;如果校验成功,则接收端STA2按照现有WAPI标准中定义的管理帧操作过程执行该被保护的组播管理帧帧体的除管理帧MIC信息元素以外的其他部分所指示的操作。
9.一种混合组网方法,其特征在于:当接入点AP是支持管理帧保护的设备,用户终端STA1是不支持管理帧保护的用户终端,用户终端用STA2是支持管理帧保护的用户终端,并且所述接入点AP只允许用户终端STA2接入而不允许用户终端STA1接入网络时,所述混合组网方法包括以下过程:
1)当接入网络的用户终端是用户终端STA1时,所述用户终端STA1寻找其他接入点AP,直至寻找到不支持管理帧保护的接入点AP时,用户终端STA1和该寻找到的不支持管理帧保护的AP按照现有WAPI标准中定义的管理帧的处理方式构造和处理单播管理帧,该寻找到的不支持管理帧保护的AP按照现有WAPI标准中定义的管理帧的处理方式构造组播管理帧,STA1按照现有WAPI标准中定义的管理帧的处理方式处理组播管理帧;
2)当接入网络的用户终端是用户终端STA2时,
2.1)若所述接入点AP与用户终端STA2未成功完成单播密钥协商过程,则发送端发送未加密的单播管理帧,其发送端处理过程与WAPI标准中的管理帧的处理过程相同,接收端接收到未加密的单播管理帧后按照WAPI标准中的管理帧的处理过程处理;若用户终端STS2成功完成了单播密钥协商过程,则发送端利用单播会话密钥发送加密的单播管理帧,其发送端处理过程与WAPI标准中定义的单播数据帧的处理方式相同,接收端收到加密的单播管理帧后按照WAPI标准中定义的单播数据帧的处理方式进行处理;其中,当发送端为用户终端STA2时,接收端为接入点AP;当发送端为接入点AP时,接收端为用户终端STA2;
2.2)若所述接入点AP与用户终端STA2未成功完成组播密钥协商过程,则用户终端STA2忽略所述接入点AP发送给用户终端STA2的被保护的组播管理帧中的管理帧MIC信息元素,并按照现有WAPI标准中定义的管理帧操作过程执行被保护的组播管理帧帧体的除管理帧MIC信息元素之外的其他部分所指示的操作;若所述接入点AP与用户终端STA2已完成组播密钥协商过程,则用户终端STA2在成功校验管理帧MIC信息元素后按照现有WAPI标准中定义的管理帧操作过程执行执行被保护的组播管理帧帧体的除管理帧MIC信息元素以外的其他部分所指示的操作。
10.根据权利要求9所述的混合组网方法,其特征在于:所述被保护的组播管理帧包括MAC头、管理帧帧体以及帧检验序列FCS;管理帧帧体在现有WAPI标准中的帧体基础上进一步包含了管理帧MIC信息元素;管理帧MIC信息元素包含元素标识、长度以及信息字段;
其中:
所述元素标识用于指示含有所述元素标识的信息元素是管理帧MIC信息元素,其值不与WAPI标准中已经定义的元素标识的取值相同,所述信息元素的信息字段中至少包含消息鉴别码MIC;所述消息鉴别码MIC是利用组播会话密钥对管理帧体中除所述消息鉴别码MIC之外的其他数据进行计算生成的。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010106202812A CN102014342B (zh) | 2010-12-31 | 2010-12-31 | 混合组网的网络系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010106202812A CN102014342B (zh) | 2010-12-31 | 2010-12-31 | 混合组网的网络系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102014342A true CN102014342A (zh) | 2011-04-13 |
CN102014342B CN102014342B (zh) | 2012-07-18 |
Family
ID=43844320
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010106202812A Active CN102014342B (zh) | 2010-12-31 | 2010-12-31 | 混合组网的网络系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102014342B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102781097A (zh) * | 2011-05-09 | 2012-11-14 | 中兴通讯股份有限公司 | 无线局域网中无线站点组配置和管理的方法及装置 |
CN105025472B (zh) * | 2014-04-25 | 2018-09-18 | Tcl集团股份有限公司 | 一种wifi接入点加密隐藏及发现的方法及其系统 |
CN112867005A (zh) * | 2020-12-31 | 2021-05-28 | 乐鑫信息科技(上海)股份有限公司 | 控制帧处理及生成方法、站点、接入点及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1864384A (zh) * | 2003-10-16 | 2006-11-15 | 思科技术公司 | 用于保护网络管理帧的系统和方法 |
CN1922824A (zh) * | 2004-03-17 | 2007-02-28 | 英特尔公司 | 无线lan中的管理帧的保护 |
CN101208981A (zh) * | 2005-05-17 | 2008-06-25 | 英特尔公司 | 在无线网络中协商保护管理帧的安全参数 |
US20090235066A1 (en) * | 2008-03-17 | 2009-09-17 | Henry Ptasinski | Method and system for secure block acknowledgment (block ack) with protected mac sequence number |
-
2010
- 2010-12-31 CN CN2010106202812A patent/CN102014342B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1864384A (zh) * | 2003-10-16 | 2006-11-15 | 思科技术公司 | 用于保护网络管理帧的系统和方法 |
CN1922824A (zh) * | 2004-03-17 | 2007-02-28 | 英特尔公司 | 无线lan中的管理帧的保护 |
CN101208981A (zh) * | 2005-05-17 | 2008-06-25 | 英特尔公司 | 在无线网络中协商保护管理帧的安全参数 |
US20090235066A1 (en) * | 2008-03-17 | 2009-09-17 | Henry Ptasinski | Method and system for secure block acknowledgment (block ack) with protected mac sequence number |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102781097A (zh) * | 2011-05-09 | 2012-11-14 | 中兴通讯股份有限公司 | 无线局域网中无线站点组配置和管理的方法及装置 |
WO2012152125A1 (zh) * | 2011-05-09 | 2012-11-15 | 中兴通讯股份有限公司 | 无线局域网中无线站点组配置和管理的方法及装置 |
CN105025472B (zh) * | 2014-04-25 | 2018-09-18 | Tcl集团股份有限公司 | 一种wifi接入点加密隐藏及发现的方法及其系统 |
CN112867005A (zh) * | 2020-12-31 | 2021-05-28 | 乐鑫信息科技(上海)股份有限公司 | 控制帧处理及生成方法、站点、接入点及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN102014342B (zh) | 2012-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8295488B2 (en) | Exchange of key material | |
CN103609154B (zh) | 一种无线局域网接入鉴权方法、设备及系统 | |
CN102035845B (zh) | 支持链路层保密传输的交换设备及其数据处理方法 | |
CN101800943B (zh) | 一种适合组呼系统的组播密钥协商方法及系统 | |
EP3086586B1 (en) | Terminal authentication method, device and system | |
CA2450631A1 (en) | System and method for processing encoded messages for exchange with a mobile data communication device | |
WO2007082060A2 (en) | Apparatus and method for protection of management frames | |
CN101208981A (zh) | 在无线网络中协商保护管理帧的安全参数 | |
CN105142136B (zh) | 一种防伪基站攻击的方法 | |
CN101707767B (zh) | 一种数据传输方法及设备 | |
CN101616412A (zh) | 无线局域网中管理帧的校验方法和设备 | |
CN105119900A (zh) | 信息安全传输方法、联网接入方法及相应的终端 | |
WO2022144007A1 (zh) | 控制帧处理及生成方法、站点、接入点及存储介质 | |
CN110784865A (zh) | 物联网设备的配网方法、终端、物联网设备及配网系统 | |
CN103391540A (zh) | 密钥信息生成方法及系统、终端设备、接入网设备 | |
CN101986726A (zh) | 一种基于wapi的管理帧保护方法 | |
KR101777052B1 (ko) | Ble 통신 장치 및 방법 | |
CN103166757A (zh) | 一种动态保护用户隐私数据的方法及系统 | |
CN105120454B (zh) | 信息传输方法、联网接入方法及相应的终端 | |
US11019037B2 (en) | Security improvements in a wireless data exchange protocol | |
CN102014342B (zh) | 混合组网的网络系统及方法 | |
CN110166410B (zh) | 一种安全传输数据的方法、终端及多模通信终端 | |
CN101790168A (zh) | Nas和as初始安全模式命令过程的方法 | |
WO2015192665A1 (zh) | 基于临时mac地址的接入方法、装置及系统 | |
EP2874423B1 (en) | Data transmission method, access point and station |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |