CN102761830A - 多播密钥更新、发送方法、接入点设备、终端设备和系统 - Google Patents
多播密钥更新、发送方法、接入点设备、终端设备和系统 Download PDFInfo
- Publication number
- CN102761830A CN102761830A CN2011101065442A CN201110106544A CN102761830A CN 102761830 A CN102761830 A CN 102761830A CN 2011101065442 A CN2011101065442 A CN 2011101065442A CN 201110106544 A CN201110106544 A CN 201110106544A CN 102761830 A CN102761830 A CN 102761830A
- Authority
- CN
- China
- Prior art keywords
- key
- multicast
- multicast key
- wireless network
- upgrade
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种多播密钥更新、发送方法、接入点设备、终端设备和系统,该多播密钥更新方法包括:当需要更新无线网络的多播密钥时,判断所述无线网络中组的用于加密多播密钥的密钥是否需要更新;如果所述组的用于加密多播密钥的密钥不需要更新,使用所述用于加密多播密钥的密钥加密更新后多播密钥,并组播给所述组内所有终端;如果所述组的用于加密多播密钥的密钥需要更新,则更新所述用于加密多播密钥的密钥,并将更新后的多播密钥和更新后的用于加密多播密钥的密钥单播给所述组内所有终端。本发明实施例可以实现以组播的方式进行多播密钥的更新,进而可以提高多播密钥的更新效率。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种多播密钥更新、发送方法、接入点设备、终端设备和系统。
背景技术
在无线局域网中,每个移动终端(Station;以下简称:STA)都拥有网络中的组临时密钥(Group Temporal Key;以下简称:GTK),该GTK是用来加密和解密广播帧的。在无线局域网的媒体接入控制(Media AccessControl;以下简称:MAC)层,广播和多播是类似概念,因此GTK也可以称为多播密钥。
当有STA加入基础服务集(Basic Service Set;以下简称:BSS),即一个无线局域网时,接入点(Access Point;以下简称:AP)将向该STA发送GTK。具体地,AP在STA与AP的四次握手的消息3中,将通过成对临时密钥(Pairwise Transient Key;以下简称:PTK)加密的GTK发送给STA,此处GTK分发是以单播的方式进行的。
当有STA从BSS中退出或GTK老化时间到达之后,AP将更新BSS的GTK,并通过单播的方式将更新后的GTK发送给还在BSS中的所有STA。
在无线保真(Wireless Fidelity;以下简称:WiFi)网络中,一个AP最多可与2007个STA关联,当需要更新GTK时,AP必须使用各STA的PTK加密GTK通过单播的方式发送给每个STA。如果一个无线局域网络中有大量的STA,那么GTK的更新效率很低。
发明内容
本发明实施例提供一种多播密钥更新、发送方法、接入点设备、终端设备和系统,以实现通过组播的方式将更新后的多播密钥发送给终端,提高多播密钥的更新效率。
本发明实施例提供一种多播密钥更新方法,包括:
当需要更新无线网络的多播密钥时,判断所述无线网络中组的用于加密多播密钥的密钥是否需要更新;
如果所述组的用于加密多播密钥的密钥不需要更新,使用所述用于加密多播密钥的密钥加密更新后多播密钥,并组播给所述组内所有终端;
如果所述组的用于加密多播密钥的密钥需要更新,则更新所述用于加密多播密钥的密钥,并将更新后的多播密钥和更新后的用于加密多播密钥的密钥单播给所述组内所有终端。
本发明实施例还提供一种多播密钥更新方法,包括:
当需要更新无线网络的多播密钥时,确定所述无线网络中组的用于加密多播密钥的密钥不需要更新;
使用所述用于加密多播密钥的密钥加密更新后多播密钥,并组播给所述组内所有终端。
本发明实施例还提供一种多播密钥发送方法,包括:
对终端进行分组;
当所述终端加入所述无线网络时,将所述无线网络的多播密钥、所述终端所在组的标识和用于加密多播密钥的密钥以单播方式发送给所述终端。
本发明实施例还提供一种接入点设备,包括:
判断模块,用于当需要更新无线网络的多播密钥时,判断所述无线网络中组的用于加密多播密钥的密钥是否需要更新;
加密模块,用于在所述判断模块确定所述组的用于加密多播密钥的密钥不需要更新之后,使用所述用于加密多播密钥的密钥加密更新后多播密钥;
更新模块,用于在所述判断模块确定所述组的用于加密多播密钥的密钥需要更新之后,更新所述用于加密多播密钥的密钥;
发送模块,用于在所述判断模块确定所述组的用于加密多播密钥的密钥不需要更新之后,将所述加密模块加密的更新后多播密钥组播给所述组内所有终端;以及在所述判断模块确定所述组的用于加密多播密钥的密钥需要更新之后,将更新后的多播密钥和所述更新模块更新后的用于加密多播密钥的密钥单播给所述组内所有终端。
本发明实施例还提供一种终端设备,包括:
接收模块,用于接收接入点设备组播的使用所述用于加密多播密钥的密钥加密的更新后多播密钥;
解密模块,用于使用所述用于加密多播密钥的密钥,对所述接收模块接收的所述加密的更新后多播密钥进行解密,获得更新后多播密钥。
本发明实施例还提供一种无线网络系统,包括如上所述的接入点设备,以及如上所述的终端设备。
通过本发明实施例,当需要更新无线网络的多播密钥时,如果一个组的用于加密多播密钥的密钥不需要更新,则可以使用该组的用于加密多播密钥的密钥加密更新后多播密钥,并组播给该组内所有终端。从而可以实现以组播的方式进行多播密钥的更新,进而可以提高多播密钥的更新效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明多播密钥更新方法一个实施例的流程图;
图2为本发明STA分组一个实施例的示意图;
图3为本发明STAX加入BSS一个实施例的示意图;
图4为本发明GTK发送方法一个实施例的流程图;
图5为本发明STA退网一个实施例的示意图;
图6为本发明多播密钥更新方法另一个实施例的流程图;
图7为本发明多播密钥更新方法再一个实施例的流程图;
图8为本发明多播密钥更新方法又一个实施例的流程图;
图9为本发明多播密钥发送方法一个实施例的流程图;
图10为本发明接入点设备一个实施例的结构示意图;
图11为本发明接入点设备另一个实施例的结构示意图;
图12为本发明终端设备一个实施例的结构示意图;
图13为本发明终端设备另一个实施例的结构示意图;
图14为本发明无线网络系统一个实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明多播密钥更新方法一个实施例的流程图,如图1所示,该多播密钥更新方法可以包括:
步骤101,当需要更新无线网络的GTK时,判断该无线网络中组的用于加密多播密钥的密钥(Key of GTK;以下简称:KGTK)是否需要更新。如果上述组的KGTK不需要更新,则执行步骤102;如果上述组的KGTK需要更新,则执行步骤103。
本实施例中,至少有2种情况会导致无线网络的GTK更新。第一种情况是有终端从无线网络中离开;另一种情况是GTK老化时间超时。
本实施例中,判断该无线网络中组的KGTK是否需要更新可以为:如果无线网络中有终端离开,和/或该KGTK的老化时间超时,则可以确定该无线网络中组的KGTK需要更新;反之,如果无线网络中没有终端离开,并且该KGTK的老化时间未到,则可以确定该无线网络中组的KGTK不需要更新。
本实施例中,当终端加入无线网络时,接入点会将终端分配到一个组中,然后将无线网络的GTK、该GTK的相关信息、该终端所在组的标识(GroupIdentifier;以下简称:GID)和该终端所在组的KGTK通过单播的方式发送给上述终端。其中,GTK的相关信息包括GTK的标识、组播报文序号等。
步骤102,使用上述组的KGTK加密更新后GTK,并组播给该组内所有终端;然后执行步骤104。
步骤103,更新上述组的KGTK,并将更新后的GTK和更新后的KGTK单播给该组内所有终端;然后执行步骤104。
具体地,KGTK是由接入点生成的,当上述组的KGTK需要更新时,接入点会生成一个新的KGTK,然后将新的KGTK单播给该组内所有终端。
步骤104,判断无线网络中是否还有组需要更新GTK。若还有组需要更新GTK,则返回执行步骤101;若无线网络中所有组的GTK都已更新,则结束流程。
本实施例中的终端可以是手机或笔记本电脑等,本实施例对终端的具体形式不作限定。
本实施例中,GID可以为MAC层的组播地址,唯一标识一个组。本实施例中,接入点将GID发送给终端时可以用PTK加密,也可以不加密。
另外,本实施例中,接入点广播的信标(Beacon)帧可以包括无线网络的最新GTK的标识和该最新GTK的剩余组播次数;以使终端从休眠态进入激活态之后,根据上述最新GTK的标识即可确定自身的GTK是否为最新GTK,如果不是,则终端可以根据剩余组播次数确定接入点是否还会组播该最新GTK;如果该接入点会组播最新GTK,则终端可以接收接入点组播的最新GTK;如果接入点不再组播该最新GTK,则终端可以通过单播的方式向上述接入点请求最新GTK,并接收接入点单播的最新GTK。
上述实施例中,当需要更新无线网络的GTK时,如果一个组的KGTK不需要更新,则可以使用上述组的KGTK加密更新后GTK,并组播给该组中的所有终端。从而可以实现以组播的方式进行GTK的更新,进而可以提高GTK的更新效率。
下面对本发明实施例提供的多播密钥更新方法进行详细介绍。
本发明实施例中,AP可以根据当前STA的个数进行分组,例如:分组数=int{当前STA总数}1/2。在STA加入BSS之前,AP就可以按照经验数据或固定设置对STA进行分组,每个分组均有唯一的GID和KGTK。其中,GID是用来标识每个分组,实际上就是每个分组的MAC组播地址;KGTK是在组内组播GTK时用于加密GTK的密钥。
图2为本发明STA分组一个实施例的示意图。图2所示实施例以AP将STA分为两组为例进行说明,如图2所示,AP将STA分为G1和G2两组,其中,G1中包括STA101、STA102、...STA1XX,G2中包括STA201、STA202、...STA2XX。
图3为本发明STAX加入BSS一个实施例的示意图,图3所示实施例以STAX加入的组为G1为例进行说明。待STAX加入G1后,AP将G1的GID、KGTK以及无线网络的GTK单播给STAX。
图4为本发明GTK发送方法一个实施例的流程图,本实施例介绍在图3所示场景下,AP向STAX发送多播密钥的方法。如图4所示,该方法可以包括:
步骤401,AP将STAX所在组的GID、通过该STAX的PTK加密的该STAX所在组的KGTK和无线网络的GTK封装在局域网扩展认证协议密钥(Extensible Authentication Protocol over Local Area Network Key;以下简称:EAPOL-Key)数据包中以单播的方式发送给STAX。
本实施例中,GID用于标识STAX所在的组,实际上就是STAX所在组的MAC组播地址。
步骤402,STAX以单播方式向AP发送EAPOL-Key数据包,该EAPOL-Key数据包携带消息完整性编码(Message Integrity Code;以下简称:MIC),该EAPOL-Key数据包用于确认STAX已收到AP在步骤401发送的EAPOL-Key数据包。
其中,MIC用于检验EAPOL-Key数据包的完整性,防止第三方篡改EAPOL-Key数据包的内容。
出于安全考虑,当有STA从无线网络中退出时,整个网络就要更新GTK。图5为本发明STA退网一个实施例的示意图,图5所示实施例以退网的STA为STAX为例进行说明。
现有技术中,在STAX退网之后,AP需要对无线网络中的所有STA的GTK进行一对一的更新,GTK的更新效率很低。而本发明实施例中,由于STAX所在组为G1,G1以外的分组(例如:G2)的KGTK不需更新,因此对于G2,AP可以只生成更新后GTK,然后通过G2的KGTK2加密更新后GTK,以组播的方式将加密的更新后GTK发送给G2中的STA,当G2中的STA接收到上述加密的更新后GTK时,使用KGTK2对该加密的更新后GTK进行解密即可获得更新后GTK。本发明实施例可以实现以组播的方式进行GTK的更新,提高GTK的更新效率。
图6为本发明多播密钥更新方法另一个实施例的流程图,本实施例介绍在图5所示场景下,对G2中STA的多播密钥进行更新的方法。如图6所示,该多播密钥更新方法可以包括:
步骤601,AP更新无线网络的GTK,并通过G2的KGTK2加密更新后GTK。
本实施例中,由于G2中的STA未发生改变不需更新KGTK2,所以AP更新无线网络的GTK之后,可以通过G2的KGTK2加密更新后GTK。
步骤602,AP将通过KGTK2加密的更新后GTK封装在EAPOL-Key数据包中,以组播的方式将该EAPOL-Key数据包发送给G2中的STA。
其中,该EAPOL-Key数据包携带MIC,该MIC用于检验EAPOL-Key数据包的完整性,防止第三方篡改EAPOL-Key数据包的内容。
本实施例中,组播消息的组播地址为G2的GID。
步骤603,G2中的STA接收到加密的更新后GTK之后,通过KGTK2解密该加密的更新后GTK获得更新后GTK。
上述实施例中,当需要更新GTK时,由于G2的KGTK不需要更新,因此AP在更新无线网络的GTK之后,通过KGTK2加密更新后GTK,然后将加密的更新后GTK组播给G2中的STA,从而可以实现以组播的方式进行GTK的更新,提高GTK的更新效率。
对于仍在G1中的STA(如:STA101、STA102...),AP以单播的方式为G1中的每个STA更新KGTK和GTK。在以下实施例的描述中,以KGTK1表示G1的KGTK。
图7为本发明多播密钥更新方法再一个实施例的流程图,本实施例介绍在图5所示场景下,对G1中STA的GTK进行更新的方法。如图7所示,该多播密钥更新方法可以包括:
步骤701,AP更新无线网络的GTK和KGTK1,通过G1中的STA的PTK加密更新后GTK和KGTK1。
步骤702,AP将加密的更新后GTK和KGTK1封装在EAPOL-Key数据包中,以单播的方式将该EAPOL-Key数据包发送给G1中的STA。
其中,该EAPOL-Key数据包携带MIC,该MIC用于检验EAPOL-Key数据包的完整性,防止第三方篡改EAPOL-Key数据包的内容。
步骤703,G1中的STA接收到加密的更新后GTK和KGTK1之后,通过该STA的PTK解密上述加密的更新后GTK和KGTK1,获得更新后GTK和KGTK1。
步骤704,G1中的STA以单播方式向AP发送EAPOL-Key数据包,该EAPOL-Key数据包携带MIC,该EAPOL-Key数据包用于确认STA已收到AP在步骤703发送的EAPOL-Key数据包。
本发明实施例中,若GTK的更新是由GTK老化时间超时导致的,这时每个分组的KGTK是不需要更新的,因此AP可以分别通过每个分组的KGTK加密更新后GTK,以组播的方式将加密的更新后GTK发送到每个分组中的STA,每个分组中的STA通过各自分组的KGTK解密上述加密的更新后GTK,即可获得更新后GTK。具体实现过程与本发明图6所示实施例类似,在此不再赘述。
本发明实施例中,当STA所在组的KGTK需要更新,例如:STA所在组的KGTK老化时间超时需要进行更新,且无线网络的GTK不需要更新时,AP可以使用GTK加密更新后的KGTK,并根据GID以组播方式发送给该组中的所有STA。
针对BSS中有STA休眠的情况,为使处于休眠态的STA接收到最新GTK,AP可以在Beacon帧中携带最新GTK的标识,当处于休眠态的STA进入激活态之后,接收到该Beacon帧,即可通过该Beacon帧中的最新GTK的标识,确定自身的GTK是否为最新GTK。其中,该Beacon帧的发送周期可以根据实际情况设置,例如:500毫秒,本发明实施例对此不作限定。
本发明实施例中,Beacon帧中还可以包括最新GTK的剩余组播次数,即AP以组播方式发送该最新GTK的剩余次数。当处于休眠态的STA进入激活态之后,可以根据Beacon帧中的最新GTK的标识确定自身的GTK是否为最新GTK,若不是,则该STA可以根据最新GTK的剩余组播次数确定AP是否还会组播该最新GTK;如果该AP会组播该最新GTK,则该STA可以等待并接收AP组播的最新GTK;如果AP不再组播该最新GTK,则该STA可以通过单播的方式向上述AP请求最新GTK,并接收AP以单播方式发送的最新GTK。
本发明实施例中,AP先对STA进行分组,对每个分组分别维护一个KGTK和一个GID。当更新GTK时,AP以组播方式向每个分组中的STA发送GTK,从而可以提高GTK的更新效率。
假设无线网络中有10000个STA,现有技术中,当有一个STA离开无线网络,AP在更新GTK时,需要做9999次GTK分发。而采用本发明实施例提供的多播密钥更新方法,可以大大减少GTK的分发次数,如下所示:
如果将上述10000个STA平均分为2组,则AP更新GTK时,分发更新后GTK的次数为:1(组播)+4999(单播)=5000;
如果将上述10000个STA平均分为100组,则AP更新GTK时,分发更新后GTK的次数为:99(组播)+99(单播)=198。
由此可见,本发明实施例提供的多播密钥更新方法,可以大大减少GTK的更新次数,提高GTK的更新效率,并且可以通过对STA进行合理的分组,最大限度的减少AP分发更新后GTK的次数。
图8为本发明多播密钥更新方法又一个实施例的流程图,如图8所示,该多播密钥更新方法可以包括:
步骤801,当需要更新无线网络的GTK时,确定无线网络中组的KGTK不需要更新。
步骤802,使用上述KGTK加密更新后GTK,并组播给上述组内所有终端。
上述实施例中,当需要更新无线网络的GTK时,如果一个组的KGTK不需要更新,则接入点可以使用上述组的KGTK加密更新后GTK,并组播给该组中的所有终端。从而可以实现以组播的方式进行GTK的更新,进而可以提高GTK的更新效率。
另外,本发明图8所示实施例中,如果当需要更新无线网络的GTK时,确定无线网络中组的KGTK需要更新,则更新上述KGTK,并将更新后的GTK和更新后的KGTK单播给上述组内所有终端。
图9为本发明多播密钥发送方法一个实施例的流程图,如图9所示,该多播密钥发送方法可以包括:
步骤901,对终端进行分组。
步骤902,当终端加入无线网络时,将该无线网络的GTK、该终端所在组的标识和KGTK以单播方式发送给上述终端。
上述实施例中,接入点对终端进行分组,在终端加入无线网络时,将该无线网络的GTK、该终端所在组的标识和KGTK以单播方式发送给上述终端,从而可以在需要更新无线网络的GTK时,以组播的方式进行GTK的更新,可以提高GTK的更新效率。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图10为本发明接入点设备一个实施例的结构示意图,本实施例中的接入点设备可以实现本发明图1所示实施例的流程。
如图10所示,该接入点设备可以包括:
判断模块1001,用于当需要更新无线网络的GTK时,判断无线网络中组的KGTK是否需要更新;具体地,判断模块1001可以在上述无线网络中有终端离开,和/或上述KGTK的老化时间超时的情况下,确定该无线网络中组的KGTK需要更新;
加密模块1002,用于在判断模块1001确定上述组的KGTK不需要更新之后,使用该组的KGTK加密更新后GTK;
更新模块1003,用于在判断模块1001确定上述组的KGTK需要更新之后,更新上述组的KGTK;
发送模块1004,用于在判断模块1001确定上述组的KGTK不需要更新之后,将加密模块1002加密的更新后GTK组播给上述组内所有终端;以及在判断模块1001确定上述组的KGTK需要更新之后,将更新后的GTK和更新模块1003更新后的KGTK单播给上述组内所有终端。
本实施例中,具体实现时,加密模块1002可以通过加密芯片实现;判断模块1001和更新模块1003的功能可以通过处理器,例如:中央处理单元(Central Processing Unit;以下简称:CPU)实现;发送模块1004的功能可以通过解码芯片实现;当然这只是本实施例的一种示例,本实施例对上述模块的具体实现方法不作限定,只要可以实现上述模块各自的功能即可。
上述实施例中,当需要更新无线网络的GTK时,如果一个组的KGTK不需要更新,则加密模块1002可以通过该组的KGTK加密更新后GTK,并由发送模块1004将加密模块1002加密的更新后GTK组播给该组内所有终端。从而可以实现以组播的方式进行GTK的更新,进而可以提高GTK的更新效率。
图11为本发明接入点设备另一个实施例的结构示意图,与图10所示的接入点设备相比,不同之处在于,图11所示的接入点设备中,判断模块1001还可以在发送模块1004将加密模块1002加密的更新后GTK组播给上述组内所有终端之后,或者发送模块1004将更新后的GTK和更新模块1003更新后的KGTK单播给上述组内所有终端之后,判断上述无线网络中是否还有组需要更新GTK;如果有,则由加密模块1002、更新模块1003和发送模块1004重复执行各自的操作,直至对无线网络中所有组的GTK都已更新。
进一步地,该接入点设备还可以包括:
分组模块1005,用于对终端进行分组;
发送模块1004还可以当终端加入无线网络时,将无线网络的GTK、该终端所在组的标识和KGTK,以单播方式发送给该终端。
另外,本实施例中,发送模块1004还可以广播Beacon帧,该Beacon帧包括无线网络的最新GTK的标识和最新GTK的剩余组播次数。这样,终端从休眠态进入激活态之后,根据最新GTK的标识即可确定自身的GTK是否为最新GTK,如果不是,则根据剩余组播次数确定接入点设备是否还会组播该最新GTK;如果接入点设备会组播该最新GTK,则该终端可以接收接入点设备组播的最新GTK;如果该接入点设备不再组播该最新GTK,则该终端可以通过单播的方式向该接入点设备请求最新GTK,并接收接入点设备以单播方式发送的最新GTK。
进一步地,本实施例中,发送模块1004还可以当组的KGTK需要更新,且无线网络的GTK不需要更新时,将更新后的KGTK以组播方式发送给该组中的所有终端。
本实施例中,具体实现时,分组模块1005的功能可以通过处理器,例如:CPU实现;当然这只是本实施例的一种示例,本实施例对分组模块1005的具体实现方法不作限定,只要可以实现分组模块1005的功能即可。
上述接入点设备可以实现以组播的方式进行GTK的更新,进而可以提高GTK的更新效率。
图12为本发明终端设备一个实施例的结构示意图,如图12所示,该终端设备可以包括:
接收模块1201,用于接收接入点设备组播的使用KGTK加密的更新后GTK;
解密模块1202,用于使用上述KGTK,对接收模块1201接收的上述加密的更新后GTK进行解密,获得更新后GTK。
进一步的,接收模块1201还可以接收接入点设备单播的更新后的多播密钥和更新后的用于加密多播密钥的密钥。
本实施例中,具体实现时,接收模块1201的功能可以通过解码芯片实现,解密模块1202的功能可以通过解密芯片实现;当然这只是本实施例的一种示例,本实施例对上述模块的具体实现方法不作限定,只要可以实现上述模块各自的功能即可。
上述终端设备可以接收接入点设备组播的GTK,从而可以实现以组播的方式进行GTK的更新,进而可以提供GTK的更新效率。
图13为本发明终端设备另一个实施例的结构示意图,与图12所示的终端设备相比,不同之处在于,图13所示的终端设备中,接收模块1201还可以在终端设备加入无线网络时,接收接入点设备单播的无线网络的GTK、该终端所在组的标识和KGTK。
进一步地,该终端设备还可以包括:确定模块1203和请求模块1204;
本实施例中,接收模块1201还可以接收接入点设备广播的信标(Beacon)帧,该Beacon帧中包括无线网络的最新GTK的标识和该最新GTK的剩余组播次数;以及在确定模块1203确定接入点设备会组播上述最新GTK之后,接收接入点设备组播的最新GTK;以及在请求模块1204通过单播的方式向接入点设备请求最新GTK之后,接收接入点设备以单播方式发送的最新GTK;
确定模块1203,用于在终端设备从休眠态进入激活态之后,根据接收模块1201接收的信标帧中包括的最新GTK的标识确定自身的GTK是否为最新GTK;以及在确定自身的GTK不是最新GTK之后,根据接收模块1201接收的Beacon帧中包括的剩余组播次数确定接入点设备是否还会组播上述最新GTK;
请求模块1204,用于在确定模块1203确定接入点设备不再组播上述最新GTK之后,通过单播的方式向接入点设备请求最新GTK。
本实施例中,具体实现时,确定模块1203可以通过处理器,例如:CPU实现;请求模块1204可以通过编码芯片实现;当然这只是本实施例的一种示例,本实施例对上述模块的具体实现方法不作限定,只要可以实现上述模块各自的功能即可。
上述终端设备可以接收接入点设备组播的GTK,从而可以实现以组播的方式进行GTK的更新,进而可以提供GTK的更新效率。
图14为本发明无线网络系统一个实施例的结构示意图,如图14所示,该无线网络系统可以包括接入点设备1401和终端设备1402;其中,接入点设备1401可以通过本发明图10和图11所示的接入点设备实现,终端设备1402可以通过本发明图12和图13所示的终端设备实现。
接入点设备1401与终端设备1402之间的交互请参照本发明方法实施例的描述,在此不再赘述。
上述系统可以实现以组播的方式进行GTK的更新,进而可以提高GTK的更新效率。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (20)
1.一种多播密钥更新方法,其特征在于,包括:
当需要更新无线网络的多播密钥时,判断所述无线网络中组的用于加密多播密钥的密钥是否需要更新;
如果所述组的用于加密多播密钥的密钥不需要更新,使用所述用于加密多播密钥的密钥加密更新后多播密钥,并组播给所述组内所有终端;
如果所述组的用于加密多播密钥的密钥需要更新,则更新所述用于加密多播密钥的密钥,并将更新后的多播密钥和更新后的用于加密多播密钥的密钥单播给所述组内所有终端。
2.根据权利要求1所述的方法,其特征在于,所述判断所述无线网络中组的用于加密多播密钥的密钥是否需要更新包括:
如果所述无线网络中有终端离开,和/或所述用于加密多播密钥的密钥的老化时间超时,则确定所述无线网络中组的用于加密多播密钥的密钥需要更新。
3.根据权利要求1所述的方法,其特征在于,所述使用所述用于加密多播密钥的密钥加密更新后多播密钥,并组播给所述组内所有终端,或者所述更新所述用于加密多播密钥的密钥,并将更新后的多播密钥和更新后的用于加密多播密钥的密钥单播给所述组内所有终端之后,还包括:
判断所述无线网络中是否还有组需要更新所述多播密钥;
如果有,则重复执行判断组的用于加密多播密钥的密钥是否需要更新的步骤及其后续步骤。
4.根据权利要求1-3任意一项所述的方法,其特征在于,所述需要更新无线网络的多播密钥之前,还包括:
对所述终端进行分组;
当所述终端加入所述无线网络时,将所述无线网络的多播密钥、所述终端所在组的标识和用于加密多播密钥的密钥以单播方式发送给所述终端。
5.根据权利要求1-3任意一项所述的方法,其特征在于,还包括:
广播信标帧,所述信标帧中包括所述无线网络的最新多播密钥的标识和所述最新多播密钥的剩余组播次数;以使所述终端从休眠态进入激活态之后,根据所述最新多播密钥的标识确定自身的多播密钥是否为最新多播密钥,如果不是,则根据所述剩余组播次数确定所述接入点是否还会组播所述最新多播密钥;如果所述接入点会组播所述最新多播密钥,则所述终端接收所述接入点组播的最新多播密钥;如果所述接入点不再组播所述最新多播密钥,则所述终端通过单播的方式向所述接入点请求所述最新多播密钥,并接收所述接入点以单播方式发送的所述最新多播密钥。
6.根据权利要求1-3任意一项所述的方法,其特征在于,还包括:
当所述组的用于加密多播密钥的密钥需要更新,且所述无线网络的多播密钥不需要更新时,将更新后的用于加密多播密钥的密钥以组播方式发送给所述组中的所有终端。
7.一种多播密钥更新方法,其特征在于,包括:
当需要更新无线网络的多播密钥时,确定所述无线网络中组的用于加密多播密钥的密钥不需要更新;
使用所述用于加密多播密钥的密钥加密更新后多播密钥,并组播给所述组内所有终端。
8.根据权利要求7所述的方法,其特征在于,还包括:
如果当需要更新无线网络的多播密钥时,确定所述组的用于加密多播密钥的密钥需要更新,则更新所述用于加密多播密钥的密钥,并将更新后的多播密钥和更新后的用于加密多播密钥的密钥单播给所述组内所有终端。
9.一种多播密钥发送方法,其特征在于,包括:
对终端进行分组;
当所述终端加入所述无线网络时,将所述无线网络的多播密钥、所述终端所在组的标识和用于加密多播密钥的密钥以单播方式发送给所述终端。
10.一种接入点设备,其特征在于,包括:
判断模块,用于当需要更新无线网络的多播密钥时,判断所述无线网络中组的用于加密多播密钥的密钥是否需要更新;
加密模块,用于在所述判断模块确定所述组的用于加密多播密钥的密钥不需要更新之后,使用所述用于加密多播密钥的密钥加密更新后多播密钥;
更新模块,用于在所述判断模块确定所述组的用于加密多播密钥的密钥需要更新之后,更新所述用于加密多播密钥的密钥;
发送模块,用于在所述判断模块确定所述组的用于加密多播密钥的密钥不需要更新之后,将所述加密模块加密的更新后多播密钥组播给所述组内所有终端;以及在所述判断模块确定所述组的用于加密多播密钥的密钥需要更新之后,将更新后的多播密钥和所述更新模块更新后的用于加密多播密钥的密钥单播给所述组内所有终端。
11.根据权利要求10所述的接入点设备,其特征在于,
所述判断模块,具体用于在所述无线网络中有终端离开,和/或所述用于加密多播密钥的密钥的老化时间超时的情况下,确定所述无线网络中组的用于加密多播密钥的密钥需要更新。
12.根据权利要求10所述的接入点设备,其特征在于,
所述判断模块,还用于判断所述无线网络中是否还有组需要更新所述多播密钥。
13.根据权利要求10-12任意一项所述的接入点设备,其特征在于,还包括:
分组模块,用于对所述终端进行分组;
所述发送模块,还用于当所述终端加入所述无线网络时,将所述无线网络的多播密钥、所述终端所在组的标识和用于加密多播密钥的密钥,以单播方式发送给所述终端。
14.根据权利要求10-12任意一项所述的接入点设备,其特征在于,
所述发送模块,还用于广播信标帧,所述信标帧中包括所述无线网络的最新多播密钥的标识和所述最新多播密钥的剩余组播次数。
15.根据权利要求10-12任意一项所述的接入点设备,其特征在于,
所述发送模块,还用于当所述组的用于加密多播密钥的密钥需要更新,且所述无线网络的多播密钥不需要更新时,将更新后的用于加密多播密钥的密钥以组播方式发送给所述组中的所有终端。
16.一种终端设备,其特征在于,包括:
接收模块,用于接收接入点设备组播的使用所述用于加密多播密钥的密钥加密的更新后多播密钥;
解密模块,用于使用所述用于加密多播密钥的密钥,对所述接收模块接收的所述加密的更新后多播密钥进行解密,获得更新后多播密钥。
17.根据权利要求16所述的终端设备,其特征在于,
所述接收模块,还用于接收所述接入点设备单播的更新后的多播密钥和更新后的用于加密多播密钥的密钥。
18.根据权利要求16-17任意一项所述的终端设备,其特征在于,
所述接收模块,还用于在所述终端设备加入无线网络时,接收所述接入点设备单播的所述无线网络的多播密钥、所述终端所在组的标识和用于加密多播密钥的密钥。
19.根据权利要求16-17任意一项所述的终端设备,其特征在于,还包括:确定模块和请求模块;
所述接收模块,还用于接收所述接入点设备广播的信标帧,所述信标帧中包括所述无线网络的最新多播密钥的标识和所述最新多播密钥的剩余组播次数;以及在所述确定模块确定所述接入点设备会组播所述最新多播密钥之后,接收所述接入点设备组播的最新多播密钥;以及在所述请求模块通过单播的方式向所述接入点设备请求所述最新多播密钥之后,接收所述接入点设备以单播方式发送的所述最新多播密钥;
所述确定模块,用于在所述终端设备从休眠态进入激活态之后,根据所述接收模块接收的信标帧中包括的所述最新多播密钥的标识确定自身的多播密钥是否为最新多播密钥;以及在确定自身的多播密钥不是最新多播密钥之后,根据所述接收模块接收的信标帧中包括的所述剩余组播次数确定所述接入点设备是否还会组播所述最新多播密钥;
所述请求模块,用于在所述确定模块确定所述接入点设备不再组播所述最新多播密钥之后,通过单播的方式向所述接入点设备请求所述最新多播密钥。
20.一种无线网络系统,其特征在于,包括如权利要求10-15任意一项所述的接入点设备,以及如权利要求16-19任意一项所述的终端设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011101065442A CN102761830A (zh) | 2011-04-27 | 2011-04-27 | 多播密钥更新、发送方法、接入点设备、终端设备和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011101065442A CN102761830A (zh) | 2011-04-27 | 2011-04-27 | 多播密钥更新、发送方法、接入点设备、终端设备和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102761830A true CN102761830A (zh) | 2012-10-31 |
Family
ID=47056120
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011101065442A Pending CN102761830A (zh) | 2011-04-27 | 2011-04-27 | 多播密钥更新、发送方法、接入点设备、终端设备和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102761830A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105323755A (zh) * | 2015-10-30 | 2016-02-10 | 北京交控科技有限公司 | 无线接入密钥管理方法及系统 |
CN111479229A (zh) * | 2020-04-10 | 2020-07-31 | 全景智联(武汉)科技有限公司 | 一种基于lorawan标准的组播通信方法、装置及系统 |
WO2022027476A1 (zh) * | 2020-08-06 | 2022-02-10 | 华为技术有限公司 | 密钥管理方法及通信装置 |
WO2022041141A1 (zh) * | 2020-08-28 | 2022-03-03 | 华为技术有限公司 | 一种通信方法及相关装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101056169A (zh) * | 2006-04-14 | 2007-10-17 | 华为技术有限公司 | 提高无线通信系统组播业务安全的方法及系统 |
CN101345765A (zh) * | 2008-08-21 | 2009-01-14 | 西安西电捷通无线网络通信有限公司 | 一种基于单播会话密钥的组播密钥分发方法及其更新方法 |
CN101677271A (zh) * | 2008-09-19 | 2010-03-24 | 华为技术有限公司 | 一种组播密钥管理的方法、装置及系统 |
-
2011
- 2011-04-27 CN CN2011101065442A patent/CN102761830A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101056169A (zh) * | 2006-04-14 | 2007-10-17 | 华为技术有限公司 | 提高无线通信系统组播业务安全的方法及系统 |
CN101345765A (zh) * | 2008-08-21 | 2009-01-14 | 西安西电捷通无线网络通信有限公司 | 一种基于单播会话密钥的组播密钥分发方法及其更新方法 |
CN101677271A (zh) * | 2008-09-19 | 2010-03-24 | 华为技术有限公司 | 一种组播密钥管理的方法、装置及系统 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105323755A (zh) * | 2015-10-30 | 2016-02-10 | 北京交控科技有限公司 | 无线接入密钥管理方法及系统 |
CN105323755B (zh) * | 2015-10-30 | 2019-06-18 | 交控科技股份有限公司 | 无线接入密钥管理方法及系统 |
CN111479229A (zh) * | 2020-04-10 | 2020-07-31 | 全景智联(武汉)科技有限公司 | 一种基于lorawan标准的组播通信方法、装置及系统 |
WO2022027476A1 (zh) * | 2020-08-06 | 2022-02-10 | 华为技术有限公司 | 密钥管理方法及通信装置 |
WO2022041141A1 (zh) * | 2020-08-28 | 2022-03-03 | 华为技术有限公司 | 一种通信方法及相关装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102104870A (zh) | 用于高吞吐量无线通信的在减少分组丢失情况下进行密钥重置的无线设备和方法 | |
US8781132B2 (en) | Method and device for managing encrypted group rekeying in a radio network link layer encryption system | |
CN101926151B (zh) | 建立安全关联的方法和通信网络系统 | |
CN101800943B (zh) | 一种适合组呼系统的组播密钥协商方法及系统 | |
US11329801B2 (en) | Initialization vector generation when performing encryption and authentication in wireless communications | |
CN107071771A (zh) | 执行链路建立和认证的系统和方法 | |
CN103297961A (zh) | 一种用于设备间安全通信的设备与系统 | |
CN101512937A (zh) | 用于移动客户端安全会话参数更新的设备、系统和方法 | |
CN1349723A (zh) | 用于蜂窝通信系统的鉴权方法 | |
CN102761830A (zh) | 多播密钥更新、发送方法、接入点设备、终端设备和系统 | |
CN103139769B (zh) | 一种无线通信方法及网络子系统 | |
CN103391540A (zh) | 密钥信息生成方法及系统、终端设备、接入网设备 | |
CN102137393A (zh) | 一种端到端的加密方法及装置 | |
CN102123361B (zh) | 加密信息通信的实现方法及装置 | |
JP2013207496A (ja) | 端末装置、受信方法、配信装置、配信方法、プログラム、および配信システム | |
CN102316450A (zh) | M2m通信的基于组的认证方法及其设备 | |
CN112134831B (zh) | 接入请求的发送、处理方法及装置 | |
WO2017012425A1 (zh) | 宽带集群系统的共享信道管理方法、系统、终端和基站 | |
CN102014342B (zh) | 混合组网的网络系统及方法 | |
CN103096305A (zh) | 应用于无线网络的联机方法及装置及其存取点 | |
CN101959188A (zh) | 一种无线局域网卡芯片密钥管理方法 | |
CN110913350B (zh) | 一种防作弊考勤方法、装置及系统 | |
CN101277533B (zh) | 通信安全增强方法、装置及系统 | |
JP6499315B2 (ja) | 移動通信システム及び通信網 | |
CN101784013B (zh) | 一种基于业务的安全组播方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20121031 |