CN103368738A - 一种安全身份发现及通信方法 - Google Patents
一种安全身份发现及通信方法 Download PDFInfo
- Publication number
- CN103368738A CN103368738A CN2012101048259A CN201210104825A CN103368738A CN 103368738 A CN103368738 A CN 103368738A CN 2012101048259 A CN2012101048259 A CN 2012101048259A CN 201210104825 A CN201210104825 A CN 201210104825A CN 103368738 A CN103368738 A CN 103368738A
- Authority
- CN
- China
- Prior art keywords
- website
- identity
- mac address
- ciphertext
- frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种安全身份发现方法,第一站点和第二站点间进行身份发现的帧均隐藏或者省略了双方站点的MAC地址,而采用身份编码来标识双方站点的身份,采用密文来进行身份验证,提高了站点间在进行身份发现时的私密性保护程度。
Description
技术领域
本发明涉及无线通信网络,尤其涉及一种安全身份发现方法,以及一种安全通信方法。
背景技术
802.11是IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师协会)制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中,用户与用户终端的无线接入。
IEEE 802.11技术为多个PHY(Physical Layer,物理层)制定一个通用的MAC(Medium Access Control,介质访问控制)层以标准无线局域网的建设。其中媒介接入控制层MAC的主要任务就是为同网络中的多个站点建立寻址和信道接入控制机制,使得多站点之间的通信成为可能。
WLAN(Wireless Local Area Networks,无线局域网)的基本组成部分是BSS(Basic Service Set,基本服务集),其根据某一特定覆盖区域之内,并具有某种关联的站点STA组成,如图1中所示的BSS2和BSS3。在BSS网络中具有专职管理BSS的中央站点被称为AP(Access Point,接入点),而在该网络中的其它站点STA都与它相关联。而多个BSS网通过DS相互连接即可组成ESS(Extended Service Set,扩展服务集)。在AP缺失的情况下,站点STA也可以自组网络而相互直接通信,此网络即为独立BSS或者IBSS,如图1所示的BSS1。
NAN(Neighborhood Area Network,社区网络)是WFA于2011年12月成立的一个项目组,其致力于各无线设备间,在pre-association的状态,在低能耗的情况下,不通过中转设备(如AP或基站等)辅助,以直连的形式相互获取信息。主要携带有以下3个要求:1、低功耗(节能);2、无中转设备,直接连接;3、在Pre-Association状态(只能进行Class 1信息的发送)。其中Class 1信息又携带有:Control Frame(控制帧)、Management frames(管理帧)和Data frames(数据帧)。
在NAN技术中,站点主要采用广播信标帧来实现站点之间的相互发现。即:站点在某一信道上,以随机事件为起点,按照一定的信标帧发送周期(取值范围20ms到1000ms,预设值为100ms),周期性广播发送携带有有自己信息和信标帧。其周围站点通过接受和解读上述广播的信标帧信息了解该站点的存在和该站点的信息。
MAC地址,或称为硬件地址,用来定义网络设备的位置,根据48比特长,16进制数字组成,0到23位是组织唯一标识符,是识别局域网结点的标志,24-47位根据该网络设备的厂家自己分配。数据包格式如表1所示:
表1
其中Address 1字段填写为该帧的立即接受地址;Address 2字段填写为该帧的立即发送地址;Frame Body字段装载着准备通过MAC包传递的上层内容(如IP包)。MAC地址是各站点在MAC层通信范围内的唯一身份标识,因此当周围站点在信道中监听到携带有有某一MAC地址的信标帧出现,便可判断其周围有该MAC地址对应的站点存在。
各站点所广播出的信标帧可以被其身边任意站点接收。又根据于站点之间在Pre-Association(非关联)状态下,没有进行密钥协商,不能对自己所广播的信标帧进行加密,因此各站点所广播处的信标帧可以被周围任意站点解读,信标帧中携带有的自己的MAC地址信息也可以被其周围任意站点获知,而MAC地址信息的泄露会导致各站点用户的私密性将得不到保护。
发明内容
本发明提供了一种安全身份发现方法,以提高在站点间进行身份发现时的私密性保护程度,该方法包括:
第一站点发送身份发现帧;所述身份发现帧携带有所述第一站点身份编码和目标站点信息,所述目标站点信息包括第一密文;
所述第一站点接收第二站点发送的身份认证帧;所述身份认证帧携带有所述第二站点身份编码、所述第一站点身份编码和第二密文;
所述第一站点验证所述第二站点的身份;
所述第一站点发送身份确认帧给所述第二站点,所述身份确认帧携带有所述第二站点身份编码;或者所述身份确认帧携带有所述第一站点身份编码和所述第二站点身份编码。
本发明提供了一种安全身份发现方法,以提高在站点间进行身份发现时的私密性保护程度,该方法包括:
第二站点接收第一站点发送的身份发现帧,所述身份发现帧携带有所述第一站点身份编码和目标站点信息,所述目标站点信息包括第一密文;
所述第二站点验证所述第一站点的身份;
所述第二站点发送身份认证帧给所述第一站点,所述身份认证帧携带有所述第二站点身份编码、所述第一站点身份编码和第二密文;
所述第二站点接收所述第一站点发送的身份确认帧,所述身份确认帧携带有所述第二站点身份编码;或者所述身份确认帧携带有所述第一站点身份编码和所述第二站点身份编码。
本发明还提供了一种用于安全身份发现的第一站点,包括:
第一发送模块,用于发送身份发现帧;所述身份发现帧携带有所述第一站点身份编码和目标站点信息,所述目标站点信息包括第一密文;
接收模块,用于接收所述第二站点发送的身份认证帧;所述身份认证帧携带有所述第二站点身份编码、所述第一站点身份编码和第二密文;
验证模块,用于验证所述第二站点的身份;
第二发送模块,用于发送身份确认帧给所述第二站点,所述身份确认帧携带有所述第二站点身份编码;或者所述身份确认帧携带有所述第一站点身份编码和所述第二站点身份编码。
本发明还提供了一种用于安全身份发现的第二站点,包括:
第一接收模块,用于接收第一站点发送的身份发现帧,所述身份发现帧携带有所述第一站点身份编码和目标站点信息,所述目标站点信息包括第一密文;
验证模块,用于验证所述第一站点的身份;
第一发送模块,用于发送身份认证帧给所述第一站点,所述身份认证帧携带有所述第二站点身份编码、所述第一站点身份编码和第二密文;
第二接收模块,用于接收所述第一站点发送的身份确认帧,所述身份确认帧携带有所述第二站点身份编码;或者所述身份确认帧携带有所述第一站点身份编码和所述第二站点身份编码。
本发明提供的该安全身份发现方法,第一站点和第二站点间进行身份发现的帧均隐藏或者省略了双方站点的MAC地址,而采用身份编码来标识双方站点的身份,采用密文来进行身份验证,提高了站点间在进行身份发现时的私密性保护程度。
附图说明
图1为现有技术中WLAN的IBSS、BSS和ESS概念图;
图2为本发明实施例提供的一种安全身份发现方法流程图;
图3为本发明实施例提供的一种安全身份通信方法流程图;
图4为本发明实施例提供的一种用于安全身份发现的第一站点结构图;
图5为本发明实施例提供的一种用于安全身份通信的第一站点结构图;
图6为本发明实施例提供的一种用于安全身份发现的第二站点结构图;
图7为本发明实施例提供的一种用于安全身份通信的第二站点结构图;
图8为本发明实施例提供的一种用于安全身份发现或通信的系统结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
应理解,本发明实施例的技术方案可以应用于各种通信系统,例如:GSM(Global System of Mobile communication,全球移动通讯)系统、CDMA(CodeDivision Multiple Access,码分多址)系统、WCDMA(Wideband Code DivisionMultiple Access,宽带码分多址)系统、GPRS(General Packet Radio Service,通用分组无线业务)、LTE(Long Term Evolution,长期演进)系统、FDD-LTE(Frequency Division Duplex,频分双工)系统、TDD-LTE(Time Division Duplex,时分双工)、UMTS(Universal Mobile Telecommunication System,通用移动通信系统)、WiMAX(Worldwide Interoperability for Microwave Access,全球互联微波接入)通信系统、微波通信系统等。
实施例一:
本发明实施例一提供了一种安全身份发现方法,该方法主要包括:
第一站点发送身份发现帧,所述身份发现帧携带有所述第一站点身份编码TID和目标站点信息,所述目标站点信息包括第一密文Challenge Text1;
第二站点接收该身份发现帧,并验证该第一站点的身份;
第二站点向第一站点发送身份认证帧,所述身份认证帧携带有第二站点身份编码RID、第一站点身份编码TID和第二密文Challenge Text2;
第一站点接收所述身份认证帧,并验证该第一站点的身份;
第一站点发送身份确认帧给第二站点,所述身份确认帧携带有所述RID,或者所述身份确认帧携带有所述RID和所述TID。
实施例二:
本发明实施例二提供了一种安全身份发现方法,图2示出了该方法示意性流程图。参考图2,该方法包括:
S201,第一站点发送身份发现帧;
第一站点通过周期性广播的方式来发送身份发现帧给目标站点,即第一站点要查找的好友站点,同时,非目标站点也有可能接收到该身份发现帧。
该身份发现帧的帧结构如下表2所示:
| Frame Control | RA | TID Seq. | 目标站点信息 | FCS |
目标站点信息包括:
| 第一密文 |
表2
其中,RA字段中填写发送地址,TID Seq.为根据预设算法生成或预先配置的第一站点身份编码,目标站点信息包括第一站点和该身份发现帧所发送的目标站点共享的第一密文,该第一密文可以预先配置在站点中。
优选的,该身份发现帧的帧结构还可以如下表3所示:
| Frame Control | RA | TID Seq. | 目标站点信息 | FCS |
目标站点信息包括:
| Partial MAC | 第一密文 |
表3
其中,RA、TID Seq.和目标站点信息字段的含义与表2相同,与表2的区别在于,目标站点信息还包括Partial MAC字段,Partial MAC为该身份发现帧所发送的目标站点的部分MAC地址信息。所示部分MAC地址信息可以为该目标站点的前X位、后X位、中间X位的MAC地址信息等,具体选取算法可以预先配置在站点中。
优选的,该身份发现帧还可以如下表4所示:
| Frame Control | RA | TID Seq. | PMC | Partial MAC | 目标站点信息 | FCS |
目标站点信息包括:
| PMC | Partial MAC | 第一密文 |
表4
其中,RA、TID Seq.、第一密文和Partial MAC字段的含义与表3相同,与表3的区别在于,目标站点信息还包括PMC(Partial MAC Choose,部分MAC地址选取)字段,PMC为选取策略指示位,指示了Partial MAC的选取算法。例如,当PMC为1时,表示Partial MAC的选取算法为目标站点MAC地址的后X位MAC地址信息;当PMC为2时,表示Partial MAC的选取算法为目标站点MAC地址的后X位偶数位的MAC地址信息等。该PMC可以预先配置在站点中。
优选的,第一密文根据第一站点的MAC地址和该帧目标站点的MAC地址通过默认算法1计算所得,该默认算法1可以预先配置在站点中。例如,当默认算法1为加法时,该第一密文即为第一站点的MAC地址和该帧目标站点的MAC地址相加所得。
优选的,所述身份发现帧还携带有第一信息,第一密文根据第一站点的MAC地址、该帧目标站点的MAC地址和第一信息通过默认算法1计算所得,该默认算法1可以预先配置在站点中。该第一信息包括但不限于:时间信息、身份编码信息等。
优选的,该身份发现帧的帧结构还可以如下表5所示:
| Frame Control | RA | TID Seq. | 目标站点信息 | FCS |
目标站点信息包括:
| CAC | 第一密文 |
表5
其中,RA和TID Seq.字段的含义与表2相同,与表2的区别在于,第一密文是根据第一站点的MAC地址和该帧目标站点的MAC地址,通过算法1计算所得;目标站点信息还包括CAC(Coding Algorithm Choose,加密算法选取)字段,该CAC为第一指示位,指示了得出表5中第一密文的算法1。
优选的,该身份发现帧的帧结构还可以如下表6所示:
目标站点信息包括:
| Dialog Token | 第一密文 |
表6
其中,RA、TID Seq.字段的含义与表2相同,与表2的区别在于,加入了NoF字段,并且身份发现帧包括多个目标站点信息,NoF为该身份发现帧所发送的目标站点数量,其中目标站点信息还包括每一个目标站点对应的编号,第一密文为第一站点和相应编号的目标站点所共享的密文。例如,目标站点信息3包括编号3和第一站点和编号为3的目标站点共享的密文。使得第一站点可以同时向多个好友站点进行安全身份确认,该好友站点即为身份发现帧所发送的目标站点。同时,非目标站点也有可能接收到该身份发现帧。
优选的,该身份发现帧的帧结构如表6所示时,目标站点信息还可以包括每一个目标站点的部分MAC地址信息Partial MAC;
或者,目标站点信息还可以包括每一个目标站点Partial MAC和选取策略指示位PMC;
或者,目标站点信息中的第一密文可以根据第一站点的MAC地址和相应编号的目标站点的MAC地址通过默认算法1计算所得;
或者,目标站点信息中的第一密文可以根据第一站点的MAC地址和相应编号目标站点的MAC地址通过算法1计算所得,并且目标站点信息还包括第一指示位CAC。
S202:第二站点接收该身份发现帧,并验证第一站点的身份;
由于第二站点不一定为第一站点的好友站点,因此第二站点接收到该身份发现帧后,需要判断自己是否为第一站点所发送的身份发现帧的目标站点,具体为:解析所述身份认证帧携带的第一密文,验证该第一密文是否和共享密文相同,共享密文为第二站点和其好友站点共享的密文,该共享密文可以预先配置在站点中。若该第一密文和共享密文相同,则执行步骤203a;若不相同,则第二站点丢弃该身份发现帧,并不再执行以下步骤。
优选的,当第一密文是根据第一站点的MAC地址和该帧目标站点的MAC地址通过默认算法1计算所得时,第二站点接收到该身份发现帧后,根据自己的MAC地址和第一密文,通过默认算法2计算出第三MAC地址。
该默认算法2可以预先配置在站点中,该第三MAC地址可以为第一站点的MAC地址,也可以为第一站点以外的其他站点的MAC地址。默认算法2可以为默认算法1的逆算法。例如,当默认算法1为加法时,该第一密文即为第一站点的MAC地址和该帧目标站点的MAC地址相加所得,该默认算法2即为减法,第二站点可以通过用第一密文减去自己的MAC地址得到该第三MAC地址。
然后第二站点在自己的好友站点中查找有无该第三MAC地址。若好友站点中有匹配的站点,则执行S203b,进行安全身份的进一步确认;若好友站点中没有匹配的站点,则第二站点丢弃该身份发现帧,并不再执行以下步骤。
之所以要进一步确认安全身份,是因为第一站点发送的身份发现帧可能被非目标站点接收,每一个接收站点都可以根据自己的MAC地址和接收到的第一密文计算出第三MAC地址。例如,默认算法1为减法运算,默认算法2为加法运算,MAC地址为5的第一站点需要查找MAC地址为3的第二站点,发送的第一密文为2(5-2),MAC地址为4的站点接收到该身份发现帧后,通过默认算法2,认为该帧的发送站点的MAC地址为6(4+2),且自己好友站点中存在MAC地址为6的第三站点,此时便出现了错误的安全身份确认,故需要进行进一步确认安全身份。
优选的,当身份发现帧还携带有第一信息,且第一密文根据第一站点的MAC地址、该帧目标站点的MAC地址和第一信息通过默认算法1计算所得时,第二站点接收到该身份发现帧后,根据自己的MAC地址、第一密文和第一信息、通过默认算法2计算出第三MAC地址。
然后第二站点在自己的好友站点中查找有无该第三MAC地址。此处及以下的好友站点是指预先配置在站点中,记录有其好友站点和各好友站点对应的MAC地址的列表。若好友站点中有匹配的站点,则执行S203b,进行安全身份的进一步确认;若好友站点中没有匹配的站点,则第二站点丢弃该身份发现帧,并不再执行以下步骤。
优选的,当身份发现帧的帧结构如表6所示,且第一密文是根据第一站点的MAC地址和相应编号的目标站点的MAC地址通过默认算法1计算所得时,第二站点接收到该身份发现帧后,先通过默认算法2计算出第三MAC地址。然后第二站点在自己的好友站点中查找有无该第三MAC地址:若好友站点中有匹配的站点,则执行S203b,进行安全身份的进一步确认;若好友站点中没有匹配的站点,则第二站点丢弃该身份发现帧,并不再执行以下步骤。
优选的,当该身份发现帧的帧结构如表5所示时,第二站点接收到该身份发现帧后,先根据第一指示位,确认算法2,当第二站点为该身份发现帧所发送的目标站点时,第二站点即可通过算法2得到第三MAC地址。例如,算法2可以为算法1的逆运算,第二站点通过算法2计算出第三MAC地址,然后第二站点在自己的好友站点中查找有无该第三MAC地址,若好友站点中有匹配的站点,则执行S203c;若第二站点好友站点中没有匹配的站点,则第二站点丢弃该身份发现帧,并不再执行以下步骤。
之所以要进一步确认安全身份的理根据如上述优选的实施例类似,不再赘述。
优选的,当身份发现帧的格式如表6所示,且第一密文是根据第一站点的MAC地址和相应编号的目标站点的MAC地址通过算法1计算所得,表7中的目标站点信息还携带有第一指示位时,第二站点接收到该身份发现帧后,先根据第一指示位确定算法2,再通过算法2计算出第三MAC地址。然后第二站点在自己的好友站点中查找有无该第三MAC地址:若好友站点中有匹配的站点,则执行S203b,进行安全身份的进一步确认;若好友站点中没有匹配的站点,则第二站点丢弃该身份发现帧,并不再执行以下步骤。
优选的,当该身份发现帧的帧结构如表6所示时,第二站点接收到该身份发现帧后,依次解析每一个目标站点信息中携带的第一密文,如果存在和第二站点和其好友站点共享密文相同的第一密文,则执行S203d;若不存在,则丢弃该身份发现帧,并不再执行以下步骤。
优选的,当该身份发现帧的帧结构如表3所示时,则在S202及其优选的实施例中,第二站点接收到该身份发现帧后,验证第一站点的身份之前,先验证该身份发现帧所发送的目标站点的部分MAC地址信息Partial MAC和自己的MAC地址是否匹配。例如,若该Partial MAC选取的是目标站点的后X位MAC地址,则比较自己的后X位地址是否与该Partial MAC相匹配,若该Partial MAC和自己的MAC地址相匹配,则继续验证第一站点的身份;若该Partial MAC和自己的MAC地址不匹配,则第二站点丢弃该身份发现帧,并不再执行以下步骤。
优选的,当该身份发现帧的帧结构如表4所示时,则在S202及其优选的实施例中,第二站点接收到该身份发现帧后,验证第一站点的身份之前,先根据选取策略指示位PMC确定Partial MAC的选取算法,并验证该Partial MAC和自己的MAC地址是否匹配。若该Partial MAC和自己的MAC地址相匹配,则继续验证第一站点的身份;若该Partial MAC和自己的MAC地址不匹配,则第二站点丢弃该身份发现帧,并不再执行以下步骤。
S203a:第二站点发送身份认证帧给第一站点;
该身份认证帧的帧结构如表7所示:
| Frame Control | RID Seq. | TID Seq. | 第二密文 | FCS |
表7
其中,RID Seq.为根据预设算法生成或预先配置的第二站点身份编码,该RID Seq.可以完全根据预设算法生成,也可以预先配置好固定的身份编码,还可以取自第一站点身份编码TID Seq.,具体选取算法可以预先为站点配置。TIDSeq.为第一站点身份编码,第二密文可以与身份发现帧中的密文相同,也可以不同。
当身份发现帧的帧结构如表6所示时,该身份认证帧还携带有相应编号。例如,第二站点为身份发现帧所发送的目标站点之一,且在身份发现帧中的编号为3,则第二站点验证第一站点为其好友站点后,则在身份认证帧中还携带有编号3。
S203b:第二站点发送身份认证帧给第一站点;
该身份认证帧的帧结构如表7所示,其中,RID Seq.和TID Seq.字段的含义和表7相同,与表7的区别在于,第二密文是第二站点根据第三MAC地址和自己的MAC地址,通过默认算法3计算所得。该默认算法3可以预先配置在站点中。
当第三MAC地址是第二站点根据自己的MAC地址、第一密文和第一信息,通过默认算法2计算得出时,第二密文是第二站点根据自己的MAC地址、第三MAC地址和第二信息,通过默认算法3计算所得,并且该身份认证帧还携带有所述第二信息。该第一信息包括但不限于:时间信息、身份编码信息等。
当身份认证帧的帧结构如表6所示时,该身份认证帧还携带有相应编号。
S203c:第二站点发送身份认证帧给第一站点;
该身份认证帧的帧结构如表8所示:
| Frame Control | RID Seq. | TID Seq. | CAC | 第二密文 | FCS |
表8
其中,RID Seq.和TID Seq.字段的含义与表7相同,与表7的区别在于,表8中的第二密文是第二站点根据第二站点的MAC地址和第三MAC地址,通过算法3计算所得,并加入了第二指示位CAC,该CAC指示了算法3。
当身份认证帧的帧结构如表6所示时,该身份认证帧还携带有相应编号。
S203d:第二站点发送身份认证帧给第一站点;
该身份认证帧的帧结构如表9所示:
| Frame Control | RID Seq. | TID Seq. | Dialog Token | 第二密文 | FCS |
表9
其中,RID Seq.和TID Seq.字段的含义与表7相同,与表7的区别在于,表9加入了相应编号Dialog Token。
S204:第一站点接收身份认证帧,并验证第二站点的身份;
第一站点接收到该身份认证帧后,解析该身份认证帧携带的第二密文,验证该第二密文是否和共享密文相同,共享密文为第一站点和身份发现帧所发送的目标站点共享的密文:若相同,则执行S205a;若不相同,则执行S205b。
优选的,若该身份认证帧的帧结构如表7所示,且第二密文是根据第二站点的MAC地址和第三MAC地址,通过默认算法3计算所得时,则第一站点接收到该身份认证帧后,先根据自己的MAC地址和第二密文,通过默认算法4计算出第四MAC地址,然后第一站点在身份发现帧所发送的目标站点中查找有无该第四MAC地址,即验证该第四MAC地址是否和身份发现帧所发送的目标站点相匹配,若身份发现帧所发送的目标站点中有该第四MAC地址,则执行S205a;若没有,则执行S205b,或者丢弃该身份认证帧,并不再执行以下步骤。
默认算法4可以预先配置在站点中,可以为默认算法3的逆算法,例如当默认算法3为乘法时,该第二密文即为第二站点的MAC地址和第三MAC地址相乘所得,该默认算法4即为除法,第一站点可以通过用第二密文除以自己的MAC地址得到第四MAC地址。
优选的,当第二密文是第二站点根据自己的MAC地址、第三MAC地址和第二信息,通过默认算法3计算所得,并且该身份认证帧还携带有所述第二信息时,第一站点在接收到身份认证帧后,先根据自己的MAC地址、第二密文和第二信息,通过默认算法4计算出第四MAC地址,然后第一站点在身份发现帧所发送的目标站点中查找有无该第四MAC地址,即验证该第四MAC地址是否和身份发现帧所发送的目标站点相匹配,若身份发现帧所发送的目标站点中有该第四MAC地址,则执行S205a;若没有,则执行S205b,或者丢弃该身份认证帧,并不再执行以下步骤。
当身份发现帧的帧结构如表6所示时,且身份认证帧还携带有相应编号时,第一站点计算出第四MAC地址后,在相应编号的目标站点中查找有无该MAC地址。例如,第二站点为身份发现帧所发送的目标站点之一,且在身份发现帧中的编号为3,则第二站点验证第一站点为其好友站点后,则在身份认证帧中还携带有编号3,则第一站点验证身份发现帧所发送的、编号为3的目标站点MAC地址是否和计算出来的第二站点MAC地址相匹配,若匹配,则执行S205a;若不相匹配,则执行S205b,或者丢弃该身份认证帧,并不再执行以下步骤。
优选的,当该身份认证帧的帧结构如表8所示,则第一站点接收到该身份认证帧后,先根据第二指示位CAC,选取算法4,计算出第四MAC地址,然后第一站点在身份发现帧所发送的目标站点中查找有无该MAC地址,若身份发现帧所发送的目标站点中有该MAC地址,则执行S205a;若没有,则执行S205b,或者丢弃该身份认证帧,并不再执行以下步骤。
当身份发现帧的帧结构如表6所示时,且身份认证帧还携带有相应编号时,第一站点计算出第四MAC地址后,在相应编号的目标站点中查找有无该MAC地址。例如,第二站点为身份发现帧所发送的目标站点之一,且在身份发现帧中的编号为3,则第二站点验证第一站点为其好友站点后,则在身份认证帧中还携带有编号3,则第一站点验证身份发现帧所发送的、编号为3的目标站点MAC地址是否和计算出来的第二站点MAC地址相匹配,若匹配,则执行S205a;若不相匹配,则执行S205b,或者丢弃该身份认证帧,并不再执行以下步骤。
S205a:第一站点向第二站点发送身份确认帧,该身份确认帧携带有第二站点身份编码,或者所述身份确认帧携带有所述第一站点身份编码和所述第二站点身份编码;
S205b:第一站点向第二站点发送身份确认帧,该身份确认帧携带有第二站点身份编码,或者所述身份确认帧携带有所述第一站点身份编码和所述第二站点身份编码;
优选的,该身份确认帧还携带有否认信息,指示所述第二站点未通过身份认证;或者身份确认帧携带有否认信息和特殊值,所指示所述第二站点未通过身份认证,特殊值指示身份确认帧携带有否认信息。
S206:第二站点接收身份确认帧,完成安全身份确认。
优选的,当第二站点接收到携带有否认信息的身份确认帧后,将第一站点的身份编码记录入陌生人列表,并在之后一段时间内丢弃携带有该身份编码信息的数据包。所述一段时间的长度可以根据站点内的计数器控制。
本实施例提供的该安全身份发现方法,通过处于非关联Pre-Association状态下的两个站点在进行相互通信之前,执行一个安全身份的发现程序,使得第一站点和第二站点相互确认对方的安全身份,并且本实施例中的消息帧均隐藏或者省略了双方站点的MAC地址,提高了用户在使用无线通信时的私密性保护程度。
实施例三:
本发明实施例三提供了一种安全身份通信方法,该方法为实施例二的安全身份发现方法的后续通信方法。图3示出了该方法示意性流程图。参考图3,该方法包括:
续实施例二中的S206,第二站点接收身份确认帧,通过安全身份认证后:
S301:第一站点发送数据包给第二站点;
第一站点发送的数据包使用双方站点的身份编码进行安全身份标识。例如,第一站点的身份编码为TID Seq.,第二站点的身份编码为RID Seq.,则第一站点可以在该数据包的发送方地址字段处填写TID Seq.,在接收方地址字段处填写RID Seq.。
若双方站点的身份编码位数超过正常的MAC地址时,可以按照一定默认的方式,从双方站点的身份编码中提取缩短的身份编码,例如取后48比特,再将缩短的身份编码放入对应的地址字段。
优选的,该数据包的帧结构如表10所示:
表10
其中,Payload为封装的传输内容。Payload可以为具体的数据内容,也可以是一个封装的帧体。该数据包空缺或者省略了地址位。
S302:第二站点发送数据包给第一站点;
第二站点发送的数据包也使用双方站点的身份编码进行安全身份标识。例如,第一站点的身份编码为TID Seq.,第二站点的身份编码为RID Seq.,则第二站点可以在该数据包的发送方地址字段处填写RID Seq.,在接收方地址字段处填写TID Seq.。
若双方站点的身份编码位数超过正常的MAC地址时,可以按照一定默认的方式,从双方站点的身份编码中提取缩短的身份编码,例如取后48比特,再将缩短的身份编码放入对应的地址字段。
本实施例提供的该安全身份通信方法,通过相互确认过对方安全身份的两个站点,使用身份编码来标识双方的安全身份进行通信,并且本实施例中的消息帧均隐藏或者省略了双方站点的MAC地址,提高了用户在使用无线通信时的私密性保护程度。
实施例四:
本发明实施例四提供了一种安全身份第一站点,图5示出了该站点示意性结构图。参考图4,该站点包括:
第一发送模块,用于发送身份发现帧;该身份发现帧携带有第一站点身份编码和第一密文;
接收模块,用于接收该第二站点发送的身份认证帧;该身份认证帧携带有该第二站点身份编码、该第一站点身份编码和第二密文;
验证模块,用于验证该第二站点的身份;
第二发送模块,用于发送身份确认帧给该第二站点,该身份确认帧携带有该第二站点身份编码。
其中,第一发送模块可以通过向多个好友站点进行周期性广播的方式来发送身份发现帧,同时,非好友站点也有可能接收到该身份发现帧。第一站点身份编码和第二站点身份编码均为根据预设算法生成或预先配置的身份编码。第一密文为第一站点和第二站点共享的密文,和/或第二密文为第一站点和第二站点共享的密文。
其中,验证模块具体用于第一站点验证第一密文是否和共享密文相同,共享密文为第一站点和身份发现帧所发送的目标站点共享的密文。
其中,身份确认帧还携带有第一站点身份编码。
其中,身份发现帧还携带有目标站点信息的数量,目标站点信息还包括目标站点编号,所述第一密文为相应编号的目标站点所对应的密文;身份认证帧还携带有相应编号。
优选的,该第一站点还包括计算模块,该计算模块用于根据该第一站点的MAC地址和该身份发现帧所发送的目标站点的MAC地址,或者根据该第一站点的MAC地址和相应编号的目标站点,通过默认算法1计算得出该第一密文;还用于当该第二密文根据第二站点的MAC地址和第三MAC地址,通过默认算法3计算所得时,根据所述第一站点的MAC地址和第二密文,通过默认算法4计算出第匹MAC地址。此时验证模块具体用于验证第匹MAC地址是否和身份发现帧所发送的目标站点相匹配。
优选的,该第一站点还包括加密模块,该加密模块用于根据该第一站点的MAC地址和该身份发现帧所发送的目标站点的MAC地址,或者根据该第一站点的MAC地址和相应编号的目标站点,通过算法1计算得出该第一密文;还用于当该第二密文根据第二站点的MAC地址和第三MAC地址,通过算法3计算所得时,并且该第二站点返回的身份认证帧还携带有第二指示位时,先根据该第二指示位确定算法4,再根据该算法4计算出第四MAC地址。此时所述验证模块具体用于验证第四MAC地址是否和身份发现帧所发送的目标站点相匹配。
实施例五:
本发明实施例五提供了一种用于安全身份通信的第一站点,图5示出了该站点示意性结构图。参考图5,该站点在实施例四及其优选的实施例的基础上还包括:
第三发送模块,用于发送数据包给该第二站点,该数据包携带有发送方地址信息和接收方地址信息;该发送方地址信息为该第一站点身份编码,该接收方地址信息为该第二站点身份编码。
优选的,该第一站点还包括提取模块,该提取模块用于当第一站点身份编码位数超过正常MAC地址位数时,从该第一站点身份编码中提取缩短的身份编码,并将缩短的身份编码放入该数据包对应的地址信息中。
实施例六:
本发明实施例六提供了一种安全身份第二站点,图6示出了该站点示意性结构图。参考图6,该站点包括:
第一接收模块,用于接收第一站点发送的身份发现帧,该身份发现帧携带有该第一站点身份编码和第一密文;
验证模块,用于验证该第一站点的身份;
第一发送模块,用于发送身份认证帧给该第一站点,该身份认证帧携带有该第二站点身份编码、该第一站点身份编码和第二密文;
第二接收模块,用于接收该第一站点发送的身份确认帧,该身份确认帧携带有该第二站点身份编码。
其中,验证模块具体用于验证第一密文是否和共享密文相同,共享密文为第二站点和其好友站点共享的密文。所述第一站点身份编码为和第二站点身份编码均为根据预设算法生成或预先配置的身份编码。第一密文为第一站点和第二站点共享的密文,和/或第二密文为第一站点和第二站点共享的密文。
其中,身份发现帧还携带有目标站点信息的数量,目标站点信息还包括目标站点编号,所述第一密文为相应编号的目标站点所对应的密文;身份认证帧还携带有相应编号。
优选的,第二站点还包括确定模块,该确定模块用于当该身份发现帧还携带有选取策略指示位时,根据该选取策略指示位确定该部分MAC地址信息的选取算法。
优选的,该第二站点还包括计算模块,该计算模块用于当该第一密文根据该第一站点的MAC地址和该身份发现帧所发送的目标站点的MAC地址,或者根据第一站点的MAC地址和相应编号的目标站点的MAC地址,通过默认算法1计算所得时,通过默认算法2计算出第三MAC地址;此时验证模块具体用于验证该第三MAC地址是否配置在第二战点的好友站点中。计算模块还用于根据第二站点的MAC地址和第三MAC地址,通过默认算法3计算得出第二密文。
优选的,该第二站点还包括加密模块,该加密模块用于当该第一密文根据该第一站点的MAC地址和该身份发现帧所发送的目标站点的MAC地址,或者根据第一站点的MAC地址和相应编号的目标站点的MAC地址,通过算法1计算所得,并且该身份发现帧还携带有第一指示位,该第一指示位指示了算法1时,先根据该第一指示位确定算法2,再根据该算法2计算出第三MAC地址;此时所述验证模块具体用于验证该第三MAC地址是否配置在第二战点的好友站点中。加密模块还用于根据第二站点的MAC地址和第三MAC地址,通过算法3计算得出第二密文。
优选的,该第二站点还包括记录模块,该记录模块用于当该身份确认帧还携带有否认信息,该否认信息指示该第二站点未通过身份认证时,将该第一站点身份编码记录入陌生人列表,并在之后一段时间内丢弃携带有该第一站点身份编码的数据包。
实施例七:
本发明实施例七提供了一种用于安全身份通信的第二站点,图7示出了该站点示意性结构图。参考图7,该站点在实施例六及其优选的实施例的基础上还包括:
第二发送模块,用于发送数据包给第一站点,该数据包携带有发送方地址信息和接收方地址信息;该发送方地址信息为该第二站点身份编码,该接收方地址信息为该第一站点身份编码。
优选的,该第一站点还包括提取模块,该提取模块用于当第二站点身份编码位数超过正常MAC地址位数时,从该第二站点身份编码中提取缩短的身份编码,并将缩短的身份编码放入该数据包对应的地址信息中。
实施例八:
本发明实施例八提供了一种安全身份发现系统,图8示出了该站点示意性结构图。参考图8,该系统包括第一站点和第二站点,
其中,第一站点又包括实施例四中所述的第一发送模块、接收模块、验证模块和第二发送模块;
第二站点又包括实施例六中所述的第一接收模块、验证模块、第一发送模块和第二接收模块;
优选的,该安全身份发现系统中的第二站点还包括实施例六中所述的确定模块;
优选的,该安全身份发现系统中的第二站点还包括实施例六中所述的记录模块。
优选的,该安全身份发现系统中的第一站点还包括实施例五中所述的计算模块,第二站点还包括实施例八中所述的计算模块。
优选的,该安全身份发现系统中的第一站点还包括实施例五中所述的加密模块,第二站点还包括实施例八中所述的加密模块。
实施例九:
本发明实施例九提供了一种安全身份通信系统,图8示出了该站点示意性结构图。参考图8,该系统包括第一站点和第二站点:
其中,第一站点又包括实施例四中所述的第一发送模块、接收模块、验证模块、和第二发送模块,以及实施例五中所述的第三发送模块;
第二站点又包括实施例六中所述的第一接收模块、验证模块、第一发送模块和第二接收模块,以及实施例九中所述的第二发送模块。
优选的,该安全身份发现系统中的第一站点还包括实施例五中所述的提取模块。
优选的,该安全身份发现系统中的第二站点还包括实施例七中所述的提取模块。
优选的,该安全身份发现系统中的第一站点还包括实施例五中所述的提取模块,相应的,第二站点还包括实施例七中所述的提取模块。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (37)
1.一种安全身份发现方法,其特征在于,包括:
第一站点发送身份发现帧;所述身份发现帧携带有所述第一站点身份编码和目标站点信息,所述目标站点信息包括第一密文;
所述第一站点接收第二站点发送的身份认证帧;所述身份认证帧携带有所述第二站点身份编码、所述第一站点身份编码和第二密文;
所述第一站点验证所述第二站点的身份;
所述第一站点发送身份确认帧给所述第二站点,所述身份确认帧携带有所述第二站点身份编码;或者所述身份确认帧携带有所述第一站点身份编码和所述第二站点身份编码。
2.根据权利要求1所述的方法,其特征在于,所述第一站点身份编码为根据预设算法生成或预先配置的身份编码;所述第二站点身份编码为根据预设算法生成或预先配置的身份编码。
3.根据权利要求1所述的方法,其特征在于,所述身份发现帧还携带有所述目标站点信息的数量,所述目标站点信息还包括目标站点编号,所述第一密文为相应编号的目标站点所对应的密文;所述身份认证帧还携带有所述相应编号。
4.根据权利要求1或3所述的方法,其特征在于,所述第一密文为所述第一站点和第二站点共享的密文,和/或所述第二密文为所述第一站点和第二站点共享的密文。
5.根据权利要求1或3所述的方法,其特征在于,所述第一站点验证所述第二站点的身份,具体为:所述第一站点验证所述第二密文是否和共享密文相同;所述共享密文为所述第一站点和所述身份发现帧所发送的目标站点共享的密文。
6.根据权利要求1所述的方法,其特征在于,所述第一密文根据所述第一站点的介质访问控制MAC地址和所述身份发现帧所发送的目标站点的MAC地址,通过默认算法1计算所得;所述第二密文根据所述第二站点的MAC地址和第三MAC地址,通过默认算法3计算所得;所述第三MAC地址由所述第二站点根据所述第二站点MAC地址和所述第一密文,通过默认算法2计算所得;
所述第一站点验证所述第二站点的身份,具体为:
所述第一站点根据所述第一站点的MAC地址和第二密文,通过默认算法4计算出第四MAC地址,并验证所述第四MAC地址是否和所述身份发现帧所发送的目标站点相匹配。
7.根据权利要求3所述的方法,其特征在于,所述第一密文根据所述第一站点的MAC地址和相应编号的目标站点的MAC地址,通过默认算法1计算所得;所述第二密文根据所述第二站点的MAC地址和第三MAC地址,通过默认算法3计算所得;所述第三MAC地址由所述第二站点根据所述第二站点MAC地址和所述第一密文,通过默认算法2计算所得;
所述第一站点验证所述第二站点的身份,具体为:
所述第一站点根据所述第一站点的MAC地址和第二密文,通过默认算法4计算出第四MAC地址,并验证所述第四MAC地址是否和所述相应编号的目标站点相匹配。
8.根据权利要求1所述的方法,其特征在于,所述第一密文根据所述第一站点的MAC地址和所述身份发现帧所发送的目标站点的MAC地址通过算法1计算所得;所述目标站点信息还包括第一指示位,所述第一指示位指示了所述算法1;
所述第二密文根据所述第二站点的MAC地址和第三MAC地址,通过算法3计算所得;所述身份认证帧还携带有第二指示位,所述第二指示位指示了所述算法3;所述第三MAC地址由所述第二站点根据所述第二站点MAC地址和所述第一密文,通过算法2计算所得;
所述第一站点验证所述第二站点的身份,具体为:
所述第一站点根据所述第二指示位确定算法4,然后根据所述第一站点的MAC地址和所述第二密文,通过算法4计算出第四MAC地址,并验证所述第四MAC地址是否和所述身份发现帧所发送的目标站点相匹配。
9.根据权利要求3所述的方法,其特征在于,所述第一密文根据所述第一站点的MAC地址和相应编号的目标站点的MAC地址通过算法1计算所得;所述目标站点信息还包括第一指示位,所述第一指示位指示了所述算法1;
所述第二密文根据所述第二站点的MAC地址和第三MAC地址,通过算法3计算所得;所述身份认证帧还携带有第二指示位,所述第二指示位指示了所述算法3;所述第三MAC地址由所述第二站点根据所述第二站点MAC地址和所述第一密文,通过算法2计算所得;
所述第一站点验证所述第二站点的身份,具体为:
所述第一站点根据所述第二指示位确定算法4,然后根据所述第一站点的MAC地址和所述第二密文,通过算法4计算出第四MAC地址,并验证所述第四MAC地址是否和所述相应编号的目标站点相匹配。
10.根据权利要求1或3所述的方法,其特征在于,所述身份确认帧还携带有否认信息,所述否认信息指示所述第二站点未通过身份认证;或者所述身份确认帧携带有否认信息和特殊值,所述否认信息指示所述第二站点未通过身份认证,所述特殊值指示所述身份确认帧携带有所述否认信息。
11.根据权利要求1-3任一项所述的方法,其特征在于,该方法之后还包括:
第一站点发送数据包给所述第二站点,所述数据包携带有发送方地址信息和接收方地址信息;所述发送方地址信息为所述第一站点身份编码,所述接收方地址信息为所述第二站点身份编码;
当所述身份编码位数超过正常MAC地址位数时,从所述身份编码中提取缩短的身份编码,并将所述缩短的身份编码放入所述数据包对应的地址信息中。
12.一种安全身份发现方法,其特征在于,包括:
第二站点接收第一站点发送的身份发现帧,所述身份发现帧携带有所述第一站点身份编码和目标站点信息,所述目标站点信息包括第一密文;
所述第二站点验证所述第一站点的身份;
所述第二站点发送身份认证帧给所述第一站点,所述身份认证帧携带有所述第二站点身份编码、所述第一站点身份编码和第二密文;
所述第二站点接收所述第一站点发送的身份确认帧,所述身份确认帧携带有所述第二站点身份编码;或者所述身份确认帧携带有所述第一站点身份编码和所述第二站点身份编码。
13.根据权利要求12所述的方法,其特征在于,所述第一站点身份编码为根据预设算法生成或预先配置的身份编码;所述第二站点身份编码为根据预设算法生成或预先配置的身份编码。
14.根据权利要求12所述的方法,其特征在于,所述身份发现帧还携带有所述目标站点信息的数量,所述目标站点信息还包括目标站点编号,所述第一密文为相应编号的目标站点所对应的密文;所述身份认证帧还携带有所述相应编号。
15.根据权利要求12或14所述的方法,其特征在于,所述第一密文为所述第一站点和第二站点共享的密文,和/或所述第二密文为所述第一站点和第二站点共享的密文。
16.根据权利要求12所述的方法,其特征在于,所述第二站点验证所述第一站点的身份,具体为:所述第二站点验证所述第一密文是否和共享密文相同;所述共享密文为所述第二站点和其好友站点共享的密文。
17.根据权利要求14所述的方法,其特征在于,所述第二站点验证所述第一站点的身份,具体为:所述第二站点验证所述第一密文是否和共享密文相同;所述共享密文为所述第二站点和其好友站点共享的密文。
18.根据权利要求12所述的方法,其特征在于,所述第一密文根据所述第一站点的介质访问控制MAC地址和所述身份发现帧所发送的目标站点的MAC地址,通过默认算法1计算所得;
所述第二站点验证所述第一站点的身份,具体为:
所述第二站点根据所述第二站点的MAC地址和所述第一密文,通过默认算法2计算出第三MAC地址,并验证所述第三MAC地址是否和自己的好友站点相匹配;
所述第二站点发送身份认证帧给所述第一站点,具体为:
若所述第三MAC地址和所述第二站点的好友站点相匹配,则发送身份认证帧给所述第一站点;所述身份认证帧携带的所述第二密文根据所述第二站点的MAC地址和所述第三MAC地址,通过默认算法3计算所得。
19.根据权利要求14所述的方法,其特征在于,所述第一密文根据所述第一站点的MAC地址和相应编号的目标站点的MAC地址,通过默认算法1计算所得;
所述第二站点验证所述第一站点的身份,具体为:
所述第二站点根据所述第二站点的MAC地址和所述第一密文,通过默认算法2计算出第三MAC地址,并验证所述第三MAC地址是否和自己的好友站点相匹配;
所述第二站点发送身份认证帧给所述第一站点,具体为:
若所述第三MAC地址和所述第二站点的好友站点相匹配,则发送身份认证帧给所述第一站点;所述身份认证帧携带有所述相应编号和所述第二密文;所述第二密文根据所述第二站点的MAC地址和所述第三MAC地址,通过默认算法3计算所得。
20.根据权利要求12所述的方法,其特征在于,所述第一密文根据所述第一站点的MAC地址和所述身份发现帧所发送的目标站点的MAC地址通过算法1计算所得;所述目标站点信息还包括第一指示位,所述第一指示位指示了所述算法1;
所述第二站点验证所述第一站点的身份,具体为:
所述第二站点根据所述第一指示位确定算法2,再根据所述第二站点的MAC地址和所述第一密文,通过所述算法2计算出第三MAC地址,并验证所述第三MAC地址是否和自己的好友站点相匹配;
所述第二站点发送身份认证帧,具体为:
若所述第三MAC地址和所述第二站点的好友站点相匹配,则发送身份认证帧给所述第一站点;所述身份认证帧携带有第二密文和第二指示位;所述第二密文根据所述第二站点的MAC地址和第三MAC地址,通过算法3计算所得;所述第二指示位指示了所述算法3。
21.根据权利要求14所述的方法,其特征在于,所述第一密文根据所述第一站点的MAC地址和相应编号的目标站点的MAC地址通过算法1计算所得;所述目标站点信息还包括第一指示位,所述第一指示位指示了所述算法1;
所述第二站点验证所述第一站点的身份,具体为:
所述第二站点根据所述第一指示位确定算法2,再根据所述第二站点的MAC地址和所述第一密文,通过所述算法2计算出第三MAC地址,并验证所述第三MAC地址是否和自己的好友站点相匹配;
所述第二站点发送身份认证帧,具体为:
若所述第三MAC地址和所述第二站点的好友站点相匹配,则发送身份认证帧给所述第一站点;所述身份认证帧携带有所述相应编号、所述第二密文和第二指示位;所述第二密文根据所述第二站点的MAC地址和第三MAC地址通过算法3计算所得;所述第二指示位指示了所述算法3。
22.根据权利要求16-21任一项所述的方法,其特征在于,所述目标站点信息还包括所述身份发现帧所发送的目标站点的部分介质访问控制MAC地址信息;则所述第二站点在所述部分MAC地址信息和所述第二站点的MAC地址相匹配时,验证所述第一站点的身份。
23.根据权利要求22所述的方法,其特征在于,所述目标站点信息还包括选取策略指示位,所述选取策略指示位指示了在所述目标站点的MAC地址中选取所述部分MAC地址信息的算法;则所述第二站点根据所述选取策略指示位确定所述部分MAC地址信息的选取算法,并在所述部分MAC地址信息和所述第二站点的MAC地址相匹配时,验证所述第一站点的身份。
24.根据权利要求12或14所述的方法,其特征在于,所述身份确认帧还携带有否认信息,所述否认信息指示所述第二站点未通过身份认证;或者所述身份确认帧携带有否认信息和特殊值,所述否认信息指示所述第二站点未通过身份认证,所述特殊值指示所述身份确认帧携带有所述否认信息。
25.根据权利要求24所述的方法,其特征在于,该方法之后还包括:
所述第二站点将所述第一站点身份编码记录入陌生人列表,并在之后一段时间内丢弃携带有所述第一站点身份编码的数据包;所述一段时间的长度根据第二站点内的计数器控制。
26.根据权利要求12-14任一项所述的方法,其特征在于,该方法之后还包括:
第二站点发送数据包给所述第一站点,所述数据包携带有发送方地址信息和接收方地址信息;所述发送方地址信息为所述第二站点身份编码,所述接收方地址信息为所述第一站点身份编码;
当所述身份编码位数超过正常MAC地址位数时,从所述身份编码中提取缩短的身份编码,并将所述缩短的身份编码放入所述数据包对应的地址信息中。
27.一种安全身份第一站点,其特征在于,包括:
第一发送模块,用于发送身份发现帧;所述身份发现帧携带有所述第一站点身份编码和目标站点信息,所述目标站点信息包括第一密文;
接收模块,用于接收所述第二站点发送的身份认证帧;所述身份认证帧携带有所述第二站点身份编码、所述第一站点身份编码和第二密文;
验证模块,用于验证所述第二站点的身份;
第二发送模块,用于发送身份确认帧给所述第二站点,所述身份确认帧携带有所述第二站点身份编码;或者所述身份确认帧携带有所述第一站点身份编码和所述第二站点身份编码。
28.根据权利要求27所述的第一站点,其特征在于,所述第一站点还包括计算模块,所述计算模块用于根据所述第一站点的介质访问控制MAC地址和所述身份发现帧所发送的目标站点的MAC地址,通过默认算法1计算得出所述第一密文;或者,当所述身份发现帧还携带有所述目标站点信息的数量,所述目标站点信息还包括目标站点编号,所述第一密文为相应编号的目标站点所对应的密文时,所述所述计算模块用于根据所述第一站点的MAC地址和相应编号的目标站点的MAC地址,通过默认算法1计算得出所述第一密文;
所述计算模块还用于当所述第二密文根据所述第二站点的MAC地址和第三MAC地址,通过默认算法3计算所得时,根据所述第一站点的MAC地址和第二密文,通过默认算法4计算出第四MAC地址;所述第三MAC地址由所述第二站点根据所述第二站点MAC地址和所述第一密文,通过默认算法2计算所得;
此时所述验证模块具体用于验证所述第四MAC地址是否和所述身份发现帧所发送的目标站点相匹配。
29.根据权利要求27所述的第一站点,其特征在于,所述第一站点还包括加密模块,所述加密模块用于根据所述第一站点的MAC地址和所述身份发现帧所发送的目标站点的MAC地址,通过算法1计算得出所述第一密文;或者,当所述身份发现帧还携带有所述目标站点信息的数量,所述目标站点信息还包括目标站点编号,所述第一密文为相应编号的目标站点所对应的密文时,所述加密模块用于根据所述第一站点的MAC地址和相应编号的目标站点的MAC地址,通过算法1计算得出所述第一密文;
所述加密模块还用于当所述第二密文根据所述第二站点的MAC地址和第三MAC地址,通过算法3计算所得、并且所述身份认证帧还携带有第二指示位,所述第二指示位指示了所述算法3时,先根据所述第二指示位确定算法4,再根据所述第一站点的MAC地址和所述第二密文,通过算法4计算出第四MAC地址;所述第三MAC地址由所述第二站点根据所述第二站点MAC地址和所述第一密文,通过算法2计算所得;
此时所述验证模块具体用于验证所述第四MAC地址是否和所述身份发现帧所发送的目标站点相匹配。
30.根据权利要求27所述的第一站点,其特征在于,所述第一站点还包括第三发送模块,所述第三发送模块用于发送数据包给所述第二站点,所述数据包携带有发送方地址信息和接收方地址信息;所述发送方地址信息为所述第一站点身份编码,所述接收方地址信息为所述第二站点身份编码;或者,
所述第一站点还包括第三发送模块和提取模块,所述第三发送模块用于发送数据包给所述第二站点,所述数据包携带有发送方地址信息和接收方地址信息;所述发送方地址信息为所述第一站点身份编码,所述接收方地址信息为所述第二站点身份编码;所述提取模块用于当所述身份编码位数超过正常MAC地址位数时,从所述身份编码中提取缩短的身份编码,并将所述缩短的身份编码放入所述数据包对应的地址信息中。
31.一种安全身份第二站点,其特征在于,包括:
第一接收模块,用于接收第一站点发送的身份发现帧,所述身份发现帧携带有所述第一站点身份编码和目标站点信息,所述目标站点信息包括第一密文;
验证模块,用于验证所述第一站点的身份;
第一发送模块,用于发送身份认证帧给所述第一站点,所述身份认证帧携带有所述第二站点身份编码、所述第一站点身份编码和第二密文;
第二接收模块,用于接收所述第一站点发送的身份确认帧,所述身份确认帧携带有所述第二站点身份编码;或者所述身份确认帧携带有所述第一站点身份编码和所述第二站点身份编码。
32.根据权利要求31所述的第二站点,其特征在于,所述第二站点还包括计算模块,所述计算模块用于当所述第一密文根据所述第一站点的介质访问控制MAC地址和所述身份发现帧所发送的目标站点的MAC地址,通过默认算法1计算所得时,通过默认算法2计算出第三MAC地址;或者,当所述身份发现帧还携带有所述目标站点信息的数量,所述目标站点信息还包括目标站点编号,所述第一密文为相应编号的目标站点所对应的密文,并且所述第一密文根据所述第一站点的MAC地址和相应编号的目标站点的MAC地址,通过默认算法1计算所得时,所述计算模块用于通过默认算法2计算出第三MAC地址
此时所述验证模块具体用于验证所述第三MAC地址是否和所述第二战点的好友站点相匹配;
所述计算模块还用于根据所述第二站点的MAC地址和所述第三MAC地址,通过默认算法3计算得出所述第二密文。
33.根据权利要求31所述的第二站点,其特征在于,所述第二站点还包括加密模块,所述加密模块用于当所述第一密文根据所述第一站点的MAC地址和所述身份发现帧所发送的目标站点的MAC地址通过算法1计算所得,并且所述目标站点信息还包括第一指示位时,先根据所述第一指示位确定算法2,再根据所述第二站点的MAC地址和所述第一密文,通过所述算法2计算出第三MAC地址;此时所述验证模块具体用于验证所述第三MAC地址是否和所述第二战点的好友站点相匹配;
所述加密模块还用于根据所述第二站点的MAC地址和所述第三MAC地址,通过算法3计算得出所述第二密文。
34.根据权利要求31所述的第二站点,其特征在于,所述第二站点还包括记录模块,所述记录模块用于当所述身份确认帧还携带有否认信息,所述否认信息指示所述第二站点未通过身份认证时,将所述第一站点身份编码记录入陌生人列表,并在之后一段时间内丢弃携带有所述第一站点身份编码的数据包。
35.根据权利要求31所述的第二站点,其特征在于,所述第二站点还包括第二发送模块,所述第二发送模块用于发送数据包给所述第一站点,所述数据包携带有发送方地址信息和接收方地址信息;所述发送方地址信息为所述第二站点身份编码,所述接收方地址信息为所述第一站点身份编码;或者,
所述第二站点还包括第二发送模块和提取模块,所述第二发送模块用于发送数据包给所述第一站点,所述数据包携带有发送方地址信息和接收方地址信息;所述发送方地址信息为所述第二站点身份编码,所述接收方地址信息为所述第一站点身份编码;所述提取模块用于当所述身份编码位数超过正常MAC地址位数时,从所述身份编码中提取缩短的身份编码,并将所述缩短的身份编码放入所述数据包对应的地址信息中。
36.一种安全身份发现系统,其特征在于,包括权利要求27所述的第一站点和权利要求31所述的第二站点。
37.一种安全身份通信系统,其特征在于,包括权利要30所述的第一站点和权利要求35所述的第二站点。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210104825.9A CN103368738B (zh) | 2012-04-11 | 2012-04-11 | 一种安全身份发现及通信方法 |
| EP13775581.5A EP2822310B1 (en) | 2012-04-11 | 2013-01-25 | Secure identity discovery and communication method |
| PCT/CN2013/070962 WO2013152632A1 (zh) | 2012-04-11 | 2013-01-25 | 一种安全身份发现及通信方法 |
| US14/496,902 US9357389B2 (en) | 2012-04-11 | 2014-09-25 | Security identity discovery and communication method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210104825.9A CN103368738B (zh) | 2012-04-11 | 2012-04-11 | 一种安全身份发现及通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103368738A true CN103368738A (zh) | 2013-10-23 |
| CN103368738B CN103368738B (zh) | 2017-02-15 |
Family
ID=49327062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210104825.9A Active CN103368738B (zh) | 2012-04-11 | 2012-04-11 | 一种安全身份发现及通信方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9357389B2 (zh) |
| EP (1) | EP2822310B1 (zh) |
| CN (1) | CN103368738B (zh) |
| WO (1) | WO2013152632A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105993185A (zh) * | 2013-12-02 | 2016-10-05 | 高通股份有限公司 | 用于邻域网络检测的方法和装置 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10148769B2 (en) * | 2015-09-11 | 2018-12-04 | Blackberry Limited | Pre-association discovery of services |
| US20170311341A1 (en) * | 2016-04-25 | 2017-10-26 | Qualcomm Incorporated | Neighbor awareness networking schedule negotiation |
| US10778449B2 (en) * | 2018-01-26 | 2020-09-15 | Huawei Technologies Co., Ltd. | System and method for shared sessions in communication networks |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060274643A1 (en) * | 2005-06-03 | 2006-12-07 | Alcatel | Protection for wireless devices against false access-point attacks |
| CN101540671A (zh) * | 2009-04-21 | 2009-09-23 | 中兴通讯股份有限公司 | 一种自组网络下wapi站点间安全关联的建立方法 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100428964B1 (ko) * | 2001-08-27 | 2004-04-29 | 아이피원(주) | 무선 랜에서의 인증 제공을 위한 로그인 id 인증 방법및 시스템 |
| WO2003058879A1 (en) * | 2002-01-08 | 2003-07-17 | Seven Networks, Inc. | Secure transport for mobile communication network |
| US8271786B1 (en) * | 2002-10-16 | 2012-09-18 | Hewlett-Packard Development Company, L.P. | Method and system for providing secure communications between a first and a second peer device |
| US8230480B2 (en) * | 2004-04-26 | 2012-07-24 | Avaya Inc. | Method and apparatus for network security based on device security status |
| US7506042B2 (en) * | 2004-08-06 | 2009-03-17 | Sharp Laboratories Of America, Inc. | Hierarchical ad hoc network organizational method involving with proxy networking |
| WO2006087473A1 (fr) * | 2005-02-18 | 2006-08-24 | France Telecom | Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil |
| US7616594B2 (en) * | 2005-04-22 | 2009-11-10 | Microsoft Corporation | Wireless device discovery and configuration |
| US8122482B2 (en) * | 2008-01-24 | 2012-02-21 | Cisco Technology, Inc. | Cryptographic peer discovery, authentication, and authorization for on-path signaling |
| WO2009129337A1 (en) * | 2008-04-15 | 2009-10-22 | Problem Resolution Enterprise, Llc | Method and process for registering a device to verify transactions |
| US8176328B2 (en) * | 2008-09-17 | 2012-05-08 | Alcatel Lucent | Authentication of access points in wireless local area networks |
| US8769682B2 (en) * | 2008-09-18 | 2014-07-01 | Alcatel Lucent | Mechanism for identifying malicious content, DoS attacks, and illegal IPTV services |
| KR20100049472A (ko) * | 2008-11-03 | 2010-05-12 | 엘지전자 주식회사 | 이동국 식별방법 |
| CN101588573B (zh) * | 2009-06-29 | 2011-11-30 | 方秀芹 | 安全验证方法、系统及移动终端、服务器 |
| US8370920B2 (en) * | 2009-10-28 | 2013-02-05 | Aunigma Network Security Corp. | System and method for providing unified transport and security protocols |
| EP2372971A1 (en) * | 2010-03-30 | 2011-10-05 | British Telecommunications Public Limited Company | Method and system for authenticating a point of access |
| CN101820629A (zh) * | 2010-04-15 | 2010-09-01 | 华为终端有限公司 | 一种无线局域网中身份认证的方法、装置及系统 |
| US9794731B2 (en) * | 2010-12-31 | 2017-10-17 | Google Technology Holdings LLC | Method and apparatus for providing secure communication in a self-organizing network |
| US8699379B2 (en) * | 2011-04-08 | 2014-04-15 | Blackberry Limited | Configuring mobile station according to type of wireless local area network (WLAN) deployment |
| US9215234B2 (en) * | 2012-01-24 | 2015-12-15 | Hewlett Packard Enterprise Development Lp | Security actions based on client identity databases |
| US8719573B2 (en) * | 2012-01-27 | 2014-05-06 | Intuit Inc. | Secure peer discovery and authentication using a shared secret |
-
2012
- 2012-04-11 CN CN201210104825.9A patent/CN103368738B/zh active Active
-
2013
- 2013-01-25 EP EP13775581.5A patent/EP2822310B1/en active Active
- 2013-01-25 WO PCT/CN2013/070962 patent/WO2013152632A1/zh active Application Filing
-
2014
- 2014-09-25 US US14/496,902 patent/US9357389B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060274643A1 (en) * | 2005-06-03 | 2006-12-07 | Alcatel | Protection for wireless devices against false access-point attacks |
| CN101540671A (zh) * | 2009-04-21 | 2009-09-23 | 中兴通讯股份有限公司 | 一种自组网络下wapi站点间安全关联的建立方法 |
Non-Patent Citations (1)
| Title |
|---|
| A. MENEZES等: "Chapter10 Identification and Entity Authentication", 《HANDBOOK OF APPLIED CRYPTOGRAPHY》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105993185A (zh) * | 2013-12-02 | 2016-10-05 | 高通股份有限公司 | 用于邻域网络检测的方法和装置 |
| CN105993185B (zh) * | 2013-12-02 | 2020-08-28 | 高通股份有限公司 | 用于邻域网络检测的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103368738B (zh) | 2017-02-15 |
| EP2822310B1 (en) | 2017-05-03 |
| US9357389B2 (en) | 2016-05-31 |
| EP2822310A1 (en) | 2015-01-07 |
| EP2822310A4 (en) | 2015-03-11 |
| WO2013152632A1 (zh) | 2013-10-17 |
| US20150012749A1 (en) | 2015-01-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104604206B (zh) | 用于安全地传送和接收发现和寻呼消息的系统、方法和设备 | |
| CN101926151B (zh) | 建立安全关联的方法和通信网络系统 | |
| CN104584602B (zh) | 加密发现分组中的服务宣告消息 | |
| US9473941B1 (en) | Method, apparatus, and computer program product for creating an authenticated relationship between wireless devices | |
| CN103688563A (zh) | 执行组认证和密钥协商过程 | |
| CN104410970A (zh) | 一种无线智能接入方法 | |
| CN101917714A (zh) | 基于成对主密钥的验证式密钥交换 | |
| CN103609154A (zh) | 一种无线局域网接入鉴权方法、设备及系统 | |
| US20150230216A1 (en) | Method and device for scrambling sequence configuration, user equipment, and base station | |
| US20110093712A1 (en) | Communication device supporting pairing | |
| CN101926122A (zh) | 建立安全关联的方法和通信系统 | |
| CN102595389A (zh) | 一种mtc服务器共享密钥的方法及系统 | |
| US20240107313A1 (en) | Control frame processing method, control frame generating method, station, access point, and storage medium | |
| CN103368738A (zh) | 一种安全身份发现及通信方法 | |
| CN113382411A (zh) | 用于末端装置发现另一个末端装置的方法和设备 | |
| CN100495960C (zh) | 无线通信装置的设定方法和计算机外围设备、信息处理装置 | |
| WO2015103788A1 (zh) | 传输参考信号的方法和用户设备 | |
| CN107079030A (zh) | 在无线站向认证服务器的重新认证期间的隐私 | |
| CN102045716A (zh) | 一种无线局域网中端站的安全配置方法和系统 | |
| Mughal et al. | Performance analysis of V2V communications: A novel scheduling assignment and data transmission scheme | |
| WO2019129346A1 (en) | Wireless authentication apparatus, system and method | |
| US11019037B2 (en) | Security improvements in a wireless data exchange protocol | |
| CN115002764A (zh) | 一种秘钥更新、获取和撤销方法及通信装置 | |
| CN103368737B (zh) | 一种安全身份发现方法 | |
| CN102487505B (zh) | 一种传感器节点的接入认证方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |