CN103874059B - 报文处理方法及装置、系统 - Google Patents
报文处理方法及装置、系统 Download PDFInfo
- Publication number
- CN103874059B CN103874059B CN201210528207.7A CN201210528207A CN103874059B CN 103874059 B CN103874059 B CN 103874059B CN 201210528207 A CN201210528207 A CN 201210528207A CN 103874059 B CN103874059 B CN 103874059B
- Authority
- CN
- China
- Prior art keywords
- message
- authentication data
- addresses
- sequence
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Abstract
本发明实施例公开了一种报文处理方法及装置、系统,第一节点接收中继设备发送的第一报文,第一报文中包括第二节点向中继设备发送的第二报文中的数据,第二报文中的数据使用第二附加认证数据、第一节点和第二节点之间的会话密钥进行加密,第二附加认证数据由第二节点使用第二规则至少根据第二报文的报文头中的地址信息生成的;第一节点根据第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据;使用第一附加认证数据、第一节点和第二节点之间的会话密钥对第一报文中的数据进行解密。解决了现有的中继设备在站点和接入点之间转发报文时需要解密再加密的处理过程而导致的信道利用率降低的问题。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种报文处理方法及装置、系统。
背景技术
在IEEE(Institute of Electrical and Electronics Engineers,电子电气工程师协会)802.11ah标准中,为了扩展AP(英文:Access Point,接入点,简称AP)的覆盖范围,通常会在STA(英文:Station,站点,简称STA)和AP之间增加中继设备(英文:Relay),通过Relay在STA和AP之间转发加密报文,按照标准实现,Relay和STA之间协商有会话密钥PTKrd,其中,PTK(Pairwise Transient Key,一对节点间的临时密钥)为节点间的临时密钥,r表示Relay,d表示Relay的下行链路,Relay和AP之间也协商有会话密钥PTKru,其中,r表示Relay,u表示Relay的上行链路。通常,当Relay在转发STA发送给AP的上行加密报文时,Relay先用PTKrd解密该上行加密报文,之后再用PTKru加密该上行加密报文;当Relay在转发AP发送给STA的下行加密报文时,Relay先用PTKru解密该下行加密报文,之后再用PTKrd加密该下行加密报文。
上述Relay在STA和AP之间转发加密报文时需要解密再加密的处理过程,需要占用一定的处理时间,会降低信道利用率,增加Relay的额外耗能。
发明内容
本发明提供一种报文处理方法及装置、系统,用以解决现有的中继设备在站点和接入点之间转发报文时需要解密再加密的处理过程而导致的信道利用率降低的问题。
第一方面,本发明提供一种报文处理方法,应用于中继设备在第一节点和第二节点之间转发报文的场景,包括:
第一节点接收中继设备发送的第一报文,所述第一报文中包括第二节点向所述中继设备发送的第二报文中的数据,所述第二报文中的数据使用了第二附加认证数据、所述第一节点和所述第二节点之间的会话密钥进行了加密,所述第二附加认证数据是由所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成的,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是所述第一节点;
所述第一节点至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,其中,所述第一附加认证数据与所述第二附加认证数据相同;
所述第一节点使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密。
基于第一方面,在第一种实施方式中,所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
基于第一方面或第一方面的第一种实施方式,在第二种实施方式中,所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。
基于第一方面、第一方面的第一或第二种实施方式,在第三种实施方式中,所述第二报文中还包括中继消息认证信息,所述中继消息认证信息由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述第一节点发送所述第一报文。
基于第一方面、第一方面的第一、第二或第三种实施方式,在第四种实施方式中,所述第一节点为站点,第二节点为接入点;或,所述第一节点为接入点,所述第二节点为站点。
第二方面,本发明提供一种报文处理方法,应用于中继设备在第一节点和第二节点之间转发报文的场景,包括:
第二节点生成第二报文,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是所述第一节点;
所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成第二附加认证数据,使用所述第二附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第二报文中的数据进行加密;
所述第二节点将所述加密后的第二报文发送给所述中继设备,以使所述中继设备接收到所述第二报文后向所述第一节点发送第一报文,所述第一报文中包含所述第二报文中的数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,使得所述第一节点接收到所述第一报文后至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同。
基于第二方面,在第一种实施方式中,所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
基于第二方面或第二方面的第一种实施方式,在第二种实施方式中,所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。
基于第二方面、第二方面的第一或第二种实施方式,在第三种实施方式中,所述第二报文中还包括中继消息认证信息,所述中继消息认证信息由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述第一节点发送所述第一报文。
基于第二方面、第二方面的第一、第二或第三种实施方式,在第四种实施方式中,所述第一节点为站点,第二节点为接入点;或,所述第一节点为接入点,所述第二节点为站点。
第三方面,本发明提供一种报文处理方法,应用于中继设备在第一节点和第二节点之间转发报文的场景,包括:
中继设备接收第二节点发送的第二报文,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是第一节点,所述第二报文中的数据使用了第二附加认证数据、所述第一节点和第二节点之间的会话密钥进行了加密,所述第二附加认证数据由所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成;
所述中继设备向所述第一节点发送第一报文,所述第一报文中包含所述第二报文中的数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,以使所述第一节点至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,并使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同。
基于第三方面,在第一种实施方式中,所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
基于第三方面或第三方面的第一种实施方式,在第二种实施方式中,,所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。
基于第三方面、第三方面的第一或第二种实施方式,在第三种实施方式中,所述第二报文中还包括中继消息认证信息,所述中继消息认证信息由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述第一节点发送所述第一报文。
基于第三方面、第三方面的第一、第二或第三种实施方式,在第四种实施方式中,所述第一节点为站点,第二节点为接入点;或,所述第一节点为接入点,所述第二节点为站点。
第四方面,本发明提供一种报文处理装置,位于第一节点侧,应用于中继设备在所述第一节点和第二节点之间转发报文的场景,包括:
接收模块,用于接收中继设备发送的第一报文,所述第一报文中包括第二节点向所述中继设备发送的第二报文中的数据,所述第二报文中的数据使用了第二附加认证数据、所述第一节点和所述第二节点之间的会话密钥进行了加密,所述第二附加认证数据是由所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成的,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是所述第一节点;
解密模块,用于至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述另一第二节点,其中,所述使用所述第一规则生成的附加认证数据与所述使用所述第二规则生成的附加认证数据相同;使用所述第一附加认证数据、所述第一节点和所述另一第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同。
基于第四方面,在第一种实施方式中,所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
基于第四方面或第四方面的第一种实施方式,在第二种实施方式中,所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。
基于第四方面、第四方面的第一或第二种实施方式,在第三种实施方式中,所述第二报文中还包括中继消息认证信息,所述中继消息认证信息由所述另一节点使用所述中继设备和所述另一节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述节点发送所述第一报文。
基于第四方面、第四方面的第一、第二或第三种实施方式,在第四种实施方式中,所述第一节点为站点,所述第二节点为接入点;或,所述第一节点为接入点,所述第二节点为站点。
第五方面,本发明提供一种报文处理装置,位于第二节点侧,应用于中继设备在所述第二节点和第一节点之间转发报文的场景,包括:
报文生成模块,用于生成第二报文,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述节点、下一接收方是所述另一节点;
加密模块,用于至少根据所述第二报文的报文头中的地址信息使用第二规则生成第二附加认证数据,使用所述第二附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第二报文中的数据进行加密;
发送模块,用于将所述加密后的第二报文发送给所述中继设备,以使所述中继设备接收到所述第二报文后向所述第一节点发送第一报文,所述第一报文中包含所述第二报文中的数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,使得所述第一节点接收到所述第一报文后至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同。
基于第五方面,在第一种实现方式中,所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
基于第五方面或第五方面的第一种实现方式,在第二种实现方式中,所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。
基于第五方面、第五方面的第一或第二种实现方式,在第三种实现方式中,所述第二报文中还包括中继消息认证信息,所述中继消息认证信息由所述节点使用所述中继设备和所述节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述另一节点发送所述第一报文。
基于第五方面、第五方面的第一、第二或第三种实现方式,在第四种实现方式中,所述第二节点为站点,所述第一节点为接入点;或,所述第二节点为接入点,所述第一节点为站点。
第六方面,本发明提供一种报文处理装置,位于中继设备侧,应用于中继设备在第一节点和第二节点之间转发报文的场景,包括:
接收模块,用于接收第二节点发送的第二报文,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是第一节点,所述第二报文中的数据使用了第二附加认证数据、所述第一节点和第二节点之间的会话密钥进行了加密,所述第二附加认证数据由所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成;
发送模块,用于向所述第一节点发送第一报文,所述第一报文中包含所述第二报文中的数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,以使所述第一节点至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,并使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同。
基于第六方面,在第一种实现方式中,所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
基于第六方面或第六方面的第一种实现方式,在第二种实现方式中,所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。
基于第六方面、第六方面的第一或第二种实现方式,在第三种实现方式中,所述第二报文中还包括中继消息认证信息,所述中继消息认证信息由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述第一节点发送所述第一报文。
基于第六方面、第六方面的第一、第二或第三种实现方式,在第四种实现方式中,所述第一节点为站点,第二节点为接入点;或,所述第一节点为接入点,所述第二节点为站点。
第七方面,本发明提供一种报文处理系统,应用于中继设备在第一节点和第二节点之间转发报文的场景,包括:第一节点、第二节点、中继设备;
所述第一节点包括上述第四方面所述的报文处理装置;
所述第二节点包括上述第五方面所述的报文处理装置;
所述中继设备包括上述第六方面所述的报文处理装置。
本发明通过第一节点接收中继设备发送的第一报文,其中,第一报文中包括第二节点向所述中继设备发送的第二报文中的数据,所述第二报文中的数据使用第二附加认证数据、第一节点和第二节点之间的会话密钥进行加密,所述第二附加认证数据由所述第二节点使用第二规则至少根据所述第二报文的报文头中的地址信息生成的;第一节点至少根据第一报文中的地址信息使用第一规则生成第一附加认证数据,其中,第一节点根据第一规则生成的第一附加认证数据中各地址顺序与第二节点根据第二规则生成的第二附加认证数据中各地址顺序是相同的,进一步地,第一节点利用第一附加认证数据以及第一节点和第二节点之间的会话密钥解密第一报文中的数据。从而当中继设备接收到第二节点发送的第二报文时,不需要对第二报文先进行解密然后再加密后发送第一报文给第一节点,节省了中继设备处理报文的时间,提高了信道利用率,减小了中继设备的额外耗能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例应用的一种CCMP加密报文的帧格式示意图;
图2为本发明实施例应用的一种MAC帧头的格式示意图;
图3为本发明一实施例提供的报文处理方法的流程示意图;
图4为本发明实施例应用的报文处理系统的一种架构示意图;
图5为本发明另一实施例提供的报文处理方法的流程示意图;
图6为本发明另一实施例提供的报文处理方法的流程示意图;
图7为本发明一实施例提供的报文处理装置的结构示意图;
图8为本发明另一实施例提供的报文处理装置的结构示意图;
图9为本发明另一实施例提供的报文处理装置的结构示意图;
图10为本发明另一实施例提供的报文处理装置的结构示意图;
图11为本发明另一实施例提供的报文处理装置的结构示意图;
图12为本发明另一实施例提供的报文处理装置的结构示意图;
图13为本发明一实施例提供的报文处理系统的一种结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在802.11标准中,STA(英文:Station,站点)是指支持802.11协议的设备,包括AP在内,AP在标准中被称为AP STA,不是AP的STA在标准中被称为non-AP STA。本发明中所述的站点STA指应用终端,也即non-AP STA,本发明中所述的接入点AP,可以是标准中的APSTA,本发明中所述的中继设备Relay,可以是标准中的Relay STA。
在IEEE802.11ah标准中,通常,采用计数器模式密码块链消息认证码协议(英文:Counter Mode with Cipher-block Chaining Message Authentication Code Protocol,简称CCMP)对报文中的数据进行加密。图1为本发明实施例应用的一种CCMP加密报文的帧格式示意图,报文头一般称为媒介访问控制帧头(英文:Media Access Control header,简称MAC header),如图1所示,MAC header和CCMP Header参与加密计算但本身不被加密;待发送报文中的数据Data和消息完整性码(英文:Message Integrity Code,简称MIC)被加密(英文:Encrypted),帧检验序列(英文:Frame Check Sequence,简称FCS)用于检查帧在传输过程中是否出错。本发明实施例可以应用的CCMP加密报文的帧格式不限于图1所示的帧格式。
在实际应用中,AP或者STA采用CCMP算法对待发送报文中的数据Data和消息完整性码MIC加密之前,需要使用待发送报文的MAC帧头中的地址信息生成附加认证数据(英文:Additional Authentication Data,简称AAD),图2为本发明实施例应用的一种MAC帧头的格式示意图,如图2所示,MAC帧头中包括多个地址信息,其中,地址信息中包括的各地址顺序为地址A1、地址A2、地址A3和地址A4,其中,A1是接收地址,即当前接收报文的节点地址,A2是发送地址,即当前发送报文的节点地址。当目的地址为接收地址时,MAC帧头中不需要写目的地址,当目的地址不是接收地址时,A3是目的地址,通常,目的地址为下一个接收报文的节点地址;当源地址是发送地址,MAC帧头中不需要写源地址,当源地址不是发送地址时,则A3或A4中需要写入源地址,通常,源地址为上一个发送报文的节点地址。本发明实施例可以应用的MAC帧头的格式不限于图2所示的格式。
由图2所示的MAC帧头结构可知,当报文每一次被Relay转发时,MAC帧头中的各地址的顺序必然改变,由于MAC帧头中的各地址顺序在报文转发过程中是改变的,根据MAC帧头中的各地址顺序生成的附加认证数据AAD也会改变,因此,Relay在接收到的报文之后,必须对接收到的报文中的加密数据进行解密,在MAC帧头中重新写入转发的地址信息,然后根据重新写入的地址信息生成附加认证数据,并利用该重新生成的附加认证数据对解密后的数据进行加密。从而增加了Relay的报文处理时间,降低信道利用率,增加Relay的额外耗能。
鉴于上述存在的问题,本发明实施例提供一种报文处理方法,应用于中继设备在第一节点和第二节点之间转发报文的场景,可以解决现有的中继设备在站点和接入点之间转发报文时需要解密再加密的处理过程而导致的信道利用率降低的问题。
需要说明的是,以下各实施例中,若第一节点是接入点AP时,则第二节点为站点STA,或者若第一节点是站点STA时,则第二节点是接入点AP。
图3为本发明一实施例提供的报文处理方法的流程示意图;应用于中继设备在第一节点和第二节点之间转发报文的场景,如图3所示,报文处理方法具体包括:
301、第一节点接收中继设备发送的第一报文,所述第一报文中包括第二节点向所述中继设备发送的第二报文中的数据,所述第二报文中的数据使用了第二附加认证数据、所述第一节点和所述第二节点之间的会话密钥进行了加密,所述第二附加认证数据是由所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成的,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是所述第一节点。
具体实现时:图4为本发明实施例应用的报文处理系统的一种架构示意图,如图4所示,假设接入点AP为第一节点,站点STA为第二节点,STA生成第二报文,其中,第二报文的报文头(如图1所示的MAC帧头)中的地址信息中的各地址顺序为:A1为Relay的地址,发送地址A2兼源地址为STA的地址,下一个接收方的地址A3为AP的地址。STA至少根据第二报文的报文头中的地址信息使用第二规则生成第二附加认证数据AAD,之后,STA利用第二AAD以及STA和AP之间的会话密钥对第二报文中的数据进行加密,并将加密后的第二报文发送给Relay。
Relay接收到STA发送的第二报文之后,可以重新组装以得到第一报文,具体可以为:填充第一报文的报文头(MAC帧头)中的地址信息,即接收地址A1兼目的地址为AP的地址,发送地址A2为Relay的地址,源地址A3为STA的地址;将第二报文中的加密数据填充在第一报文中的Data部分中。所述第一报文也可以是在所述第二报文上进行简单的地址信息更新后得到的。本实施例中,Relay不需要对STA发送的第二报文进行解密处理,可以直接将第二报文中的加密数据填充在第一报文中的Data部分中,之后,Relay将第一报文发送给AP。
可选地,上述STA发送给Relay的第二报文中还可以包括中继消息认证信息,所述中继消息认证信息可以是由STA使用STA和Relay之间的消息认证密钥生成的,用以Relay接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向AP发送第二报文。
302、第一节点至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,其中,所述第一附加认证数据与所述第二附加认证数据相同。
需要说明的是,本发明实施例的应用场景是中继设备在第一节点和第二节点之间转发报文,因此,当AP接收到第一报文之后,需要根据第一报文的报文头中的地址信息,假设发送地址A2为Relay的地址,则可以确定该第一报文是Relay转发的;或者,当AP接收第一报文之后,假设第一报文的报文头中携带有Relay发送的标志位,例如标志位为1时,表示该第一报文是Relay发送的,0表示该第一报文不是Relay发送的,具体实现时,Relay发送的标志位可以利用MAC帧头的帧控制(英文:Frame Control,简称FC)中保留的比特(bit)位来标识。
由于报文每一次被Relay转发时,报文头中的各地址的顺序必然改变,因此,AP在接收到Relay发送的第一报文中的各地址顺序与STA在发送给Relay的第二报文中的各地址顺序是不同的。为了能够实现Relay不需要对STA发送的第二报文中的加密数据进行解密处理,并且AP能够将Relay发送的第一报文中包含的来自STA的第二报文中的加密数据进行解密,AP根据第一报文的报文头中的各地址信息使用第一规则生成的第一附加认证数据必须与STA根据第二报文的报文头中的各地址信息使用第二规则生成的第二附加认证数据是相同的。具体实现时:
若所述第一规则是第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,则所述第二规则是第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得根据所述第二规则生成的第二附加认证数据中各地址顺序和根据第一规则生成的所述第一附加认证数据中各地址顺序相同;或
若所述第一规则是第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,则所述第二规则是第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得根据所述第二规则生成的第二附加认证数据中各地址顺序和根据第一规则生成的所述第一附加认证数据中各地址顺序相同。
如图4所示,假设第二节点STA根据第二报文的报文头中的地址信息使用第二规则生成第二附加认证数据,该第二规则是第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,则第一节点AP根据第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据时,该第一规则是第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,使得所述第二节点STA根据第二报文的报文头中的地址信息使用所述第二规则生成的第二附加认证数据中各地址顺序和第一节点AP根据第一报文的报文头中的地址信息使用所述第一规则生成的第一附加认证数据中各地址顺序相同。
具体实现时,例如,第一节点AP中可以预设有地址映射表,其中,地址映射表中设置有Relay发送的第一报文的报文头中的各地址在AP生成的AAD中的各地址字段的位置的映射关系;
其中,表1为本发明实施例预设的地址映射表,如表1所示,下行表示AP通过Relay向STA发送报文,上行表示STA通过Relay向AP发送报文;为了实现AP正确的解密Relay发送的第一报文中包含的来自STA的第二报文中的加密数据,AP生成的AAD中的各地址顺序需要与STA生成的AAD中的各地址顺序一致。表1:
需要说明的是,可选的,AP的AAD中可以有第四个地址字段,在表1中未具体示出有第四个地址字段时的内容。基于上述第一节点AP确定第一报文是Relay发送的基础上,AP获取第一报文的报文头中的地址信息,具体为:接收地址A1兼目的地址为AP的地址,发送地址A2为Relay的地址,源地址A3为STA的地址;查询表1所示的地址映射表,得到与上述获取的第一报文的报文头中各地址顺序对应的映射地址顺序,即第一报文的报文头中的接收地址A1(AP的地址)对应映射地址中的A3,第一报文的报文头中的发送地址A2(Relay的地址)对应映射地址中的A1,第一报文的报文头中的源地址A3(STA的地址)对应映射地址中的A2;
之后,AP根据第一报文的报文头中的地址信息使用的第一规则生成对应的附加认证数据时,具体可以为:AP根据第一报文的报文头中的各地址顺序对应的映射地址顺序,分别将各映射地址填入生成附加认证数据的MAC帧头中对应的A1、A2和A3的位置,也就是说,将Relay的地址填入A1位置,将STA的地址填入A2位置,将AP的地址填入A3位置,生成第一附加认证数据,第一附加认证数据中各地址顺序为Relay的地址、STA的地址、AP的地址。这种情况下,第一节点AP根据第一报文头中的地址信息使用第一规则生成对应的第一附加认证数据时,该第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文头中的各地址顺序不同,则,第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文头中的各地址顺序相同,由于第二报文头中的地址信息中的各地址顺序为:A1为Relay的地址,发送地址A2兼源地址为STA的地址,下一个接收节点的地址A3为AP的地址,则第二节点STA根据第二报文头中的地址信息使用第二规则生成对应的第二附加认证数据中各地址顺序为Relay的地址、STA的地址、AP的地址。从而AP生成的第一AAD中各地址顺序与STA生成的第二AAD中各地址顺序相同,进而可以实现AP正确的解密Relay发送的第一报文中包含的来自STA的第二报文中的加密数据。
需要说明的是,如图4所示,假设第二节点STA根据第二报文的报文头中的地址信息使用第二规则生成第二附加认证数据,该第二规则是第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,则第一节点AP根据第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据时,该第一规则是第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,使得所述第二节点STA根据第二报文的报文头中的地址信息使用所述第二规则生成的第二附加认证数据中各地址顺序和第一节点AP根据第一报文的报文头中的地址信息使用所述第一规则生成的第一附加认证数据中各地址顺序相同。具体实现时,例如,第二节点STA中可以预设有地址映射表,其中,地址映射表中可以设置有Relay发送的第一报文的报文头中的各地址在第二节点STA生成的AAD中的各地址字段的位置的映射关系,映射原理不再赘述。
303、第一节点使用根据所述第一规则生成的第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密。
具体实现时,可以按照CCMP算法,第一节点使用第一附加认证数据、第一报文中的CCMP头中的包序号信息、以及第一节点和第二节点之间的会话密钥等进行一系列运算产生密钥链的第一密钥值,再将这个第一密钥值经过一个固定公式的计算生成第二密钥值,再将第二密钥值经过所述固定公式的计算生成第三密钥值,依此类推,这一系列的密钥值就是密钥链。密钥链中的每个密钥值可以都是128比特,每个密钥值依次与待解密数据中的128比特进行异或运算,就得到对应的明文数据,本领域技术人员可以理解的是,CCMP算法可以是现有技术,本发明对此不作限定。
需补充说明的是,附加认证数据中可以只包含地址信息,也可以还使用了报文头中的除了地址信息之外的其它信息,例如帧控制FC(Frame Control,帧控制)字段、服务质量控制QC(Quality of service Control,QoS控制)字段、序列控制SC(Sequence Control)字段,这些字段包含很多指示信息位,这些信息位有些在附加认证数据中保持与报文头中相同的值,有些则在附加认证数据中被设置为固定值。为了使得所述的第一节点和所述的第二节点对于它们之间传递的同一数据产生相同的附加认证数据,那些在Relay转发后会发生变化的信息位在生成的附加认证数据中可以被设为固定值,例如FC字段中有两个信息位是toDS和fromDS,分别表示这个报文是否发送给网络侧或来自网络侧,在Relay接收STA发送的报文时,这两个信息位的值可以是“10”,而Relay向AP发送报文时,这两个信息位的值可以是“11”,因此,无论是STA还是AP在产生附加认证数据时,都将在附加认证数据中的这两个信息位设为固定值,例如“11”。附加认证数据中这些信息位设为固定值并不表示特定含义,仅仅是为了STA和AP得到相同的附加认证数据。
还需补充说明的是,CCMP算法中还可以根据报文头中的A2地址生成现场值(英文:Nonce),将该现场值参与加密计算过程,因此,第一节点接收第一报文后需生成相同的现场值才能正确解密。如图4所示,Relay发送给AP的第一报文中的A2是与Relay接收的来自STA的第二报文中的A2是不同的,为了让AP与STA使用相同的现场值,例如在上行的情形下,需要AP根据表1所示的地址映射关系,确定Relay发送给AP的第一报文的报文头中地址A3与STA发送给Relay的第二报文中的A2是相同的,因此,AP可以根据第一报文头中地址A3来产生现场值,这样AP产生的现场值就和STA产生的现场值相同。
本发明实施例通过第一节点接收中继设备发送的第一报文,其中,第一报文中包括第二节点向所述中继设备发送的第二报文中的数据,所述第二报文中的数据使用第二附加认证数据、第一节点和第二节点之间的会话密钥进行加密,所述第二附加认证数据由所述第二节点使用第二规则至少根据所述第二报文的报文头中的地址信息生成的;第一节点至少根据第一报文中的地址信息使用第一规则生成第一附加认证数据,其中,第一节点根据第一规则生成的第一附加认证数据中各地址顺序与第二节点根据第二规则生成的第二附加认证数据中各地址顺序是相同的,进一步地,第一节点利用第一附加认证数据以及第一节点和第二节点之间的会话密钥解密第一报文中的数据。从而当中继设备接收到第二节点发送的第二报文时,不需要对第二报文先进行解密然后再加密后发送第一报文给第一节点,节省了中继设备处理报文的时间,增加了信道利用率,减小了中继设备的额外耗能。
图5为本发明另一实施例提供的报文处理方法的流程示意图;应用于中继设备在第一节点和第二节点之间转发报文的场景,如图5所示,报文处理方法具体包括:
501、第二节点生成第二报文,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是所述第一节点。
具体实现时,如图4所示,假设第二节点为AP,第一节点为STA,当AP需要发送一个加密数据到STA时,AP可以生成第二报文,在第二报文的报文头中填入各地址信息,接收地址A1为Relay的地址,发送地址A2兼源地址为AP的地址,目的地址A3为STA的地址;将待发送的数据填入到第二报文的Data部分。
502、第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成第二附加认证数据,使用所述第二附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第二报文中的数据进行加密;
具体实现时,AP在发送第二报文之前,AP需要生成第二附加认证数据,本实施例中,AP至少根据第二报文中的地址信息使用第二规则生成第二附加认证数据,其中,第二规则可以是第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同;或第二规则也可以是第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同。
之后,AP使用第二附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第二报文中的数据进行加密,具体实现时,可以按照CCMP算法,AP使用第二附加认证数据、第二报文中的CCMP头中的包序号信息、以及AP和STA之间的会话密钥等进行一系列运算产生密钥链的第一密钥值,再将这个第一密钥值经过一个固定公式的计算生成第二密钥值,再将第二密钥值经过所述固定公式的计算生成第三密钥值,依此类推,这一系列的密钥值就是密钥链。密钥链中的每个密钥值可以都是128比特,每个密钥值依次与待加密数据中的128比特进行异或运算,就可以得到对应的密文数据。
503、第二节点将所述加密后的第二报文发送给所述中继设备,以使所述中继设备接收到所述第二报文后向所述第一节点发送第一报文,所述第一报文中包含所述第二报文中的数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,使得所述第一节点接收到所述第一报文后至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同。
本实施例中,如图4所示,当Relay接收到AP发送的第二报文之后,不需要对第二报文中的加密数据进行解密,Relay可以重新组装以得到第一报文,具体地可以为,将第二报文中的加密数据填充到第一报文的Data部分,将第一报文的报文头的地址信息填充为:接收地址A1兼目的地址为STA的地址,发送地址A2为Relay的地址,源地址A3为AP的地址。所述第一报文也可以是在所述第二报文上进行简单的地址信息更新后得到的。之后,Realy将第一报文发送给STA。
为了使得STA能够正确解密出第一报文中包含的来自AP的第二报文中的加密数据,STA根据第一报文中的地址信息使用第一规则生成的第一附加认证数据必须与AP根据第二报文的报文头中的地址信息使用第二规则生成第二附加认证数据是相同的,可以包括,STA使用第一规则生成的第一附加认证数据中的各地址顺序必须与AP使用第二规则生成的第二附加认证数据中的各地址顺序相同。具体实现时可以为:
若AP使用的第二规则是第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,则STA使用的第一规则是第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,使得STA根据使用所述第一规则生成的第一附加认证数据中各地址顺序和AP根据使用所述第二规则生成的第二附加认证数据中各地址顺序相同;或
若AP使用的第二规则是第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,则STA使用的第一规则是第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,使得STA使用所述第一规则生成的第一附加认证数据中各地址顺序和AP使用所述第二规则生成的第二附加认证数据中各地址顺序相同。
进一步地,在本发明的一个可选实施方式中,AP生成的第二报文中还可以包括中继消息认证信息,所述中继消息认证信息由AP使用Relay和AP之间的消息认证密钥生成,以便Relay接收到AP发送的第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向STA发送第一报文。其中,上述中继消息认证信息可以是AP对所述第二报文的FCS字段使用所述消息认证密钥进行加密或哈希运算得到的。在具体实现时可以为:
例如图4所示,AP发送第二报文给Relay之前,可以与Relay协商一个中继消息认证密钥,该中继消息认证密钥用于对AP发送给Relay的第二报文进行简单的消息认证,通常,AP可以使用该AP与Relay之间协商好的中继消息认证密钥对待发送的第二报文中的FCS字段进行加密或哈希(hash)运算,将加密或哈希后的FCS作为中继消息认证信息代替原有的FCS字段,本实施例中,为了说明的方便,可以将哈希后的FCS称为中继认证字段R-Auth。Relay接收到AP发送的第二报文之后,使用所述中继消息认证密钥验证所述中继消息认证信息,验证第二报文中携带的中继认证字段R-Auth,具体验证方法可以是采用AP产生R-Auth相同的过程产生R-Auth’,然后比较R-Auth’和报文中的R-Auth,若两者相等,则验证成功,否则验证失败。Relay在验证R-Auth成功的基础上,将该第二报文中的加密数据组装到第一报文中并发送给STA;可选地,若Relay验证R-Auth不成功,Relay可以直接丢弃第二报文。
本发明实施例通过第二节点根据第二报文中的地址信息使用第二规则生成第二附加认证数据,利用第二附加认证数据、第一节点与第二节点之间的会话密钥对第二报文中的数据进行加密后,将第二报文发送给中继设备,使得中继设备不需要对第二报文中的加密数据进行解密,而是将第二报文中的加密数据直接携带在第一报文中发送给第一节点,以使第一节点根据第一报文中的地址信息使用第一规则生成第一附加认证数据,其中,使用第一规则生成第一附加认证数据与使用第二规则生成第二附加认证数据是相同的,第一节点利用第一附加认证数据、第一节点和第二节点之间的会话密钥对第一报文中的加密数据进行解密。从而能够实现中继设备在转发加密报文的过程中不需要先解密后再加密的过程,节省了报文处理的时间,增加了信道利用率,减小了中继设备的额外耗能。
图6为本发明另一实施例提供的报文处理方法的流程示意图;应用于中继设备在第一节点和第二节点之间转发报文的场景,如图6所示,报文处理方法具体包括:
601、中继设备接收第二节点发送的第二报文,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是第一节点,所述第二报文中的数据使用了第二附加认证数据、所述第一节点和第二节点之间的会话密钥进行了加密,所述第二附加认证数据由所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成。
602、中继设备向所述第一节点发送第一报文,所述第一报文中包含所述第二报文中的数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,以使所述第一节点至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,并使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同。
本实施例中,中继设备在接收到第二节点发送的第二报文之后,不需要将第二报文中的加密数据进行解密,可以直接将所述加密数据填充到第一报文的Data部分,将第一报文的报文头的地址信息填充为:接收地址A1兼目的地址为第一节点的地址,发送地址A2为中继设备的地址,源地址A3为第二节点的地址;之后,中继设备将第一报文发送给第一节点。
其中,所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
进一步地,所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。
其中,所述第一节点为站点,所述第二节点为接入点;或,所述第一节点为接入点,所述第二节点为站点。
进一步地,在本发明的一个实施方式中,所述中继设备接收第二节点发送的第二报文中还可以包括中继消息认证信息,所述中继消息认证信息由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生成,以便所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述第一节点发送所述第一报文。其中,上述中继消息认证信息由第二节点使用所述中继设备和所述第一节点之间的消息认证密钥生成,在具体实现时,可以是第二节点对所述第二报文的FCS字段使用所述消息认证密钥进行加密或哈希运算得到上述中继消息认证信息。具体可参考前述相关部分的描述,此处不再赘述。
本发明实施例的中继设备在接收到第二节点发送的第二报文时,不需要中继设备对第二报文中的加密数据先解密后加密的过程,可以直接将该加密数据重新组装到第一报文中,节省了中继设备处理报文的时间,增加了信道利用率,减小了中继设备的额外耗能。
图7为本发明一实施例提供的报文处理装置的结构示意图;位于第一节点侧,应用于中继设备在第一节点和第二节点之间转发报文的场景,如图7所示,包括:
接收模块71,用于接收中继设备发送的第一报文,所述第一报文中包括第二节点向所述中继设备发送的第二报文中的数据,所述第二报文中的数据使用了第二附加认证数据、所述第一节点和所述第二节点之间的会话密钥进行了加密,所述第二附加认证数据是由所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成的,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是所述第一节点;
解密模块72,用于至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述另一第二节点,其中,所述使用所述第一规则生成的附加认证数据与所述使用所述第二规则生成的附加认证数据相同;使用所述第一附加认证数据、所述第一节点和所述另一第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同。
其中,所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
进一步地,所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。
进一步可选的,所述第二报文中还可以包括中继消息认证信息,所述中继消息认证信息由所述另一节点使用所述中继设备和所述另一节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述节点发送所述第一报文。
其中,所述第一节点为站点,所述第二节点为接入点;或,所述第一节点为接入点,所述第二节点为站点。
本发明实施例通过第一节点接收中继设备发送的第一报文,其中,第一报文中包括第二节点向所述中继设备发送的第二报文中的数据,所述第二报文中的数据使用第二附加认证数据、第一节点和第二节点之间的会话密钥进行加密,所述第二附加认证数据由所述第二节点使用第二规则至少根据所述第二报文的报文头中的地址信息生成的;第一节点至少根据第一报文中的地址信息使用第一规则生成第一附加认证数据,其中,第一节点根据第一规则生成的第一附加认证数据中各地址顺序与第二节点根据第二规则生成的第二附加认证数据中各地址顺序是相同的,进一步地,第一节点利用第一附加认证数据以及第一节点和第二节点之间的会话密钥解密第一报文中的数据。从而当中继设备接收到第二节点发送的第二报文时,不需要对第二报文先进行解密然后再加密后发送第一报文给第一节点,节省了中继设备处理报文的时间,增加了信道利用率,减小了中继设备的额外耗能。
图8为本发明另一实施例提供的报文处理装置的结构示意图;位于第二节点侧,应用于中继设备在所述第二节点和第一节点之间转发报文的场景,包括:
报文生成模块81,用于生成第二报文,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述节点、下一接收方是所述另一节点;
加密模块82,用于至少根据所述第二报文的报文头中的地址信息使用第二规则生成第二附加认证数据,使用所述第二附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第二报文中的数据进行加密;
发送模块83,用于将所述加密后的第二报文发送给所述中继设备,以使所述中继设备接收到所述第二报文后向所述第一节点发送第一报文,所述第一报文中包含所述第二报文中的数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,使得所述第一节点接收到所述第一报文后至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同。
其中,所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
进一步地,所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。
进一步可选的,所述第二报文中还包括中继消息认证信息,所述中继消息认证信息由所述节点使用所述中继设备和所述节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述另一节点发送所述第一报文。
其中,所述第二节点为站点,所述第一节点为接入点;或,所述第二节点为接入点,所述第一节点为站点。
本发明实施例通过第二节点根据第二报文中的地址信息使用第二规则生成第二附加认证数据,利用第二附加认证数据、第一节点与第二节点之间的会话密钥对第二报文中的数据进行加密后,将第二报文发送给中继设备,使得中继设备不需要对第二报文中的加密数据进行解密,而是将第二报文中的加密数据直接携带在第一报文中发送给第一节点,以使第一节点根据第一报文中的地址信息使用第一规则生成第一附加认证数据,其中,使用第一规则生成第一附加认证数据与使用第二规则生成第二附加认证数据是相同的,第一节点利用第一附加认证数据、第一节点和第二节点之间的会话密钥对第一报文中的加密数据进行解密。从而能够实现中继设备在转发加密报文的过程中不需要先解密后再加密的过程,节省了报文处理的时间,增加了信道利用率,减小了中继设备的额外耗能。
图9为本发明另一实施例提供的报文处理装置的结构示意图;位于中继设备侧,应用于中继设备在所述第二节点和第一节点之间转发报文的场景,包括:
接收模块91,用于接收第二节点发送的第二报文,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是第一节点,所述第二报文中的数据使用了第二附加认证数据、所述第一节点和第二节点之间的会话密钥进行了加密,所述第二附加认证数据由所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成;
发送模块92,用于向所述第一节点发送第一报文,所述第一报文中包含所述第二报文中的数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,以使所述第一节点至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,并使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同。
其中,所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
进一步地,所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。
进一步可选的,所述第二报文中还可以包括中继消息认证信息,所述中继消息认证信息由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述第一节点发送所述第一报文。
其中,所述第一节点为站点,第二节点为接入点;或,所述第一节点为接入点,所述第二节点为站点。
本发明实施例的中继设备在接收到第二节点发送的第二报文时,不需要中继设备对第二报文中的加密数据先解密后加密的过程,可以直接将该加密数据重新组装到第一报文中,节省了中继设备处理报文的时间,增加了信道利用率,减小了中继设备的额外耗能。
图10为本发明另一实施例提供的报文处理装置的结构示意图;位于第一节点侧,应用于中继设备在第一节点和第二节点之间转发报文的场景,本实施例的报文处理装置具体可以为接入点或者站点,如图10所示,第一节点包括:处理器、存储器和通信总线,其中,处理器和存储器通过通信总线连接,存储器中保存有用于中继设备在第一节点和第二节点之间转发报文的场景时的报文处理方法的实现指令;进一步地,第一节点还包括通信接口,通过通信接口与其他网元设备(例如中继设备)通信。
当处理器调取存储器中的指令时,可以执行如下步骤:
接收中继设备发送的第一报文,所述第一报文中包括第二节点向所述中继设备发送的第二报文中的数据,所述第二报文中的数据使用了第二附加认证数据、所述第一节点和所述第二节点之间的会话密钥进行了加密,所述第二附加认证数据是由所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成的,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是所述第一节点;
至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述另一第二节点,其中,所述使用所述第一规则生成的附加认证数据与所述使用所述第二规则生成的附加认证数据相同;使用所述第一附加认证数据、所述第一节点和所述另一第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同。
其中,所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
进一步地,所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。
进一步可选的,所述第二报文中还可以包括中继消息认证信息,所述中继消息认证信息由所述另一节点使用所述中继设备和所述另一节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述节点发送所述第一报文。
其中,所述第一节点为站点,所述第二节点为接入点;或,所述第一节点为接入点,所述第二节点为站点。
本发明实施例通过第一节点接收中继设备发送的第一报文,其中,第一报文中包括第二节点向所述中继设备发送的第二报文中的数据,所述第二报文中的数据使用第二附加认证数据、第一节点和第二节点之间的会话密钥进行加密,所述第二附加认证数据由所述第二节点使用第二规则至少根据所述第二报文的报文头中的地址信息生成的;第一节点至少根据第一报文中的地址信息使用第一规则生成第一附加认证数据,其中,第一节点根据第一规则生成的第一附加认证数据中各地址顺序与第二节点根据第二规则生成的第二附加认证数据中各地址顺序是相同的,进一步地,第一节点利用第一附加认证数据以及第一节点和第二节点之间的会话密钥解密第一报文中的数据。从而当中继设备接收到第二节点发送的第二报文时,不需要对第二报文先进行解密然后再加密后发送第一报文给第一节点,节省了中继设备处理报文的时间,增加了信道利用率,减小了中继设备的额外耗能。
图11为本发明另一实施例提供的报文处理装置的结构示意图;位于第二节点侧,应用于中继设备在第一节点和第二节点之间转发报文的场景,具体可以为接入点AP或站点STA,如图11所示,第二节点包括:处理器、存储器和通信总线,其中,处理器和存储器通过通信总线连接,存储器中保存有用于中继设备在第一节点和第二节点之间转发报文的场景时的报文处理方法的实现指令;进一步地,第二节点还包括通信接口,通过通信接口与其他网元设备(例如中继设备)通信。
当处理器调取存储器中的指令时,可以执行如下步骤:
生成第二报文,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述节点、下一接收方是所述另一节点;
至少根据所述第二报文的报文头中的地址信息使用第二规则生成第二附加认证数据,使用所述第二附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第二报文中的数据进行加密;
将所述加密后的第二报文发送给所述中继设备,以使所述中继设备接收到所述第二报文后向所述第一节点发送第一报文,所述第一报文中包含所述第二报文中的数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,使得所述第一节点接收到所述第一报文后至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同。
其中,所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
进一步地,所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。
进一步可选的,所述第二报文中还可以包括中继消息认证信息,所述中继消息认证信息由所述节点使用所述中继设备和所述节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述另一节点发送所述第一报文。
其中,所述第二节点为站点,所述第一节点为接入点;或,所述第二节点为接入点,所述第一节点为站点。
本发明实施例通过第二节点根据第二报文中的地址信息使用第二规则生成第二附加认证数据,利用第二附加认证数据、第一节点与第二节点之间的会话密钥对第二报文中的数据进行加密后,将第二报文发送给中继设备,使得中继设备不需要对第二报文中的加密数据进行解密,而是将第二报文中的加密数据直接携带在第一报文中发送给第一节点,以使第一节点根据第一报文中的地址信息使用第一规则生成第一附加认证数据,其中,使用第一规则生成第一附加认证数据与使用第二规则生成第二附加认证数据是相同的,第一节点利用第一附加认证数据、第一节点和第二节点之间的会话密钥对第一报文中的加密数据进行解密。从而能够实现中继设备在转发加密报文的过程中不需要先解密后再加密的过程,节省了报文处理的时间,增加了信道利用率,减小了中继设备的额外耗能。
图12为本发明另一实施例提供的报文处理装置的结构示意图;位于中继设备侧,应用于中继设备在第一节点和第二节点之间转发报文的场景,具体可以为Relay,如图12所示,中继设备包括:处理器、存储器和通信总线,其中,处理器和存储器通过通信总线连接,存储器中保存有用于中继设备在第一节点和第二节点之间转发报文的场景时的报文处理方法的实现指令;进一步地,中继设备还包括通信接口,通过通信接口与其他网元设备(例如接入点或站点)通信。
当处理器调取存储器中的指令时,可以执行如下步骤:
接收第二节点发送的第二报文,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是第一节点,所述第二报文中的数据使用了第二附加认证数据、所述第一节点和第二节点之间的会话密钥进行了加密,所述第二附加认证数据由所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成;
向所述第一节点发送第一报文,所述第一报文中包含所述第二报文中的数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,以使所述第一节点至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,并使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同。
其中,所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
进一步地,所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。
进一步可选的,所述第二报文中还可以包括中继消息认证信息,所述中继消息认证信息由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述第一节点发送所述第一报文。
其中,所述第一节点为站点,第二节点为接入点;或,所述第一节点为接入点,所述第二节点为站点
本发明实施例的中继设备在接收到第二节点发送的第二报文时,不需要中继设备对第二报文中的加密数据先解密后加密的过程,可以直接将该加密数据重新组装到第一报文中,节省了中继设备处理报文的时间,增加了信道利用率,减小了中继设备的额外耗能。
图13为本发明另一实施例提供的报文处理系统的一种结构示意图,应用于中继设备在第一节点和第二节点之间转发报文的场景,如图13所示,所述系统具体包括:中继设备11、第一节点12和第二节点13;
其中,第一节点12包括上述图7或图10所示实施例提供的报文处理装置,详细内容参考图7或图10所示实施例提供的报文处理装置中的相关描述;
第二节点13包括上述图8或图11所示实施例提供的报文处理装置,详细内容参考图8或图11所示实施例提供的报文处理装置中的相关描述;
中继设备11为上述图9或图12所示实施例提供的报文处理装置,详细内容参考图9或图12所示实施例提供的报文处理装置中的相关描述;
在实际应用,若第一节点是接入点AP时,则第二节点为站点STA,或者若第一节点是站点STA时,则第二节点是接入点AP。
本发明实施例通过第一节点接收中继设备发送的第一报文,其中,第一报文中包括第二节点向所述中继设备发送的第二报文中的数据,所述第二报文中的数据使用第二附加认证数据、第一节点和第二节点之间的会话密钥进行加密,所述第二附加认证数据由所述第二节点使用第二规则至少根据所述第二报文的报文头中的地址信息生成的;第一节点至少根据第一报文中的地址信息使用第一规则生成第一附加认证数据,其中,第一节点根据第一规则生成的第一附加认证数据中各地址顺序与第二节点根据第二规则生成的第二附加认证数据中各地址顺序是相同的,进一步地,第一节点利用第一附加认证数据以及第一节点和第二节点之间的会话密钥解密第一报文中的数据。从而当中继设备接收到第二节点发送的第二报文时,不需要对第二报文先进行解密然后再加密后发送第一报文给第一节点,节省了中继设备处理报文的时间,增加了信道利用率,减小了中继设备的额外耗能。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (19)
1.一种报文处理方法,应用于中继设备在第一节点和第二节点之间转发报文的场景,其特征在于,包括:
第一节点接收中继设备发送的第一报文,所述第一报文中包括第二节点向所述中继设备发送的第二报文中的数据,所述第二报文中的数据使用了第二附加认证数据、所述第一节点和所述第二节点之间的会话密钥进行了加密,所述第二附加认证数据是由所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成的,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是所述第一节点;
所述第一节点至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,其中,所述第一附加认证数据与所述第二附加认证数据相同;
所述第一节点使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密;
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
2.根据权利要求1所述的方法,其特征在于,所述第二报文中还包括中继消息认证信息,所述中继消息认证信息由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述第一节点发送所述第一报文。
3.根据权利要求1所述的方法,其特征在于,所述第一节点为站点,第二节点为接入点;或,所述第一节点为接入点,所述第二节点为站点。
4.一种报文处理方法,应用于中继设备在第一节点和第二节点之间转发报文的场景,其特征在于,包括:
第二节点生成第二报文,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是所述第一节点;
所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成第二附加认证数据,使用所述第二附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第二报文中的数据进行加密;
所述第二节点将所述加密后的第二报文发送给所述中继设备,以使所述中继设备接收到所述第二报文后向所述第一节点发送第一报文,所述第一报文中包含所述第二报文中的数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,使得所述第一节点接收到所述第一报文后至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同;
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
5.根据权利要求4所述的方法,其特征在于,所述第二报文中还包括中继消息认证信息,所述中继消息认证信息由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述第一节点发送所述第一报文。
6.根据权利要求4所述的方法,其特征在于,所述第一节点为站点,第二节点为接入点;或,所述第一节点为接入点,所述第二节点为站点。
7.一种报文处理方法,应用于中继设备在第一节点和第二节点之间转发报文的场景,其特征在于,包括:
中继设备接收第二节点发送的第二报文,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是第一节点,所述第二报文中的数据使用了第二附加认证数据、所述第一节点和第二节点之间的会话密钥进行了加密,所述第二附加认证数据由所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成;
所述中继设备向所述第一节点发送第一报文,所述第一报文中包含所述第二报文中的数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,以使所述第一节点至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,并使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同;
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
8.根据权利要求7所述的方法,其特征在于,所述第二报文中还包括中继消息认证信息,所述中继消息认证信息由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述第一节点发送所述第一报文。
9.根据权利要求7所述的方法,其特征在于,所述第一节点为站点,第二节点为接入点;或,所述第一节点为接入点,所述第二节点为站点。
10.一种报文处理装置,位于第一节点侧,应用于中继设备在所述第一节点和第二节点之间转发报文的场景,其特征在于,包括:
接收模块,用于接收中继设备发送的第一报文,所述第一报文中包括第二节点向所述中继设备发送的第二报文中的数据,所述第二报文中的数据使用了第二附加认证数据、所述第一节点和所述第二节点之间的会话密钥进行了加密,所述第二附加认证数据是由所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成的,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是所述第一节点;
解密模块,用于至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,其中,所述使用所述第一规则生成的附加认证数据与所述使用所述第二规则生成的附加认证数据相同;使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同;
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
11.根据权利要求10所述的装置,其特征在于,所述第二报文中还包括中继消息认证信息,所述中继消息认证信息由所述第一节点使用所述中继设备和所述第一节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述节点发送所述第一报文。
12.根据权利要求10所述的装置,其特征在于,所述第一节点为站点,所述第二节点为接入点;或,所述第一节点为接入点,所述第二节点为站点。
13.一种报文处理装置,位于第二节点侧,应用于中继设备在所述第二节点和第一节点之间转发报文的场景,其特征在于,包括:
报文生成模块,用于生成第二报文,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述节点、下一接收方是所述第一节点;
加密模块,用于至少根据所述第二报文的报文头中的地址信息使用第二规则生成第二附加认证数据,使用所述第二附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第二报文中的数据进行加密;
发送模块,用于将所述加密后的第二报文发送给所述中继设备,以使所述中继设备接收到所述第二报文后向所述第一节点发送第一报文,所述第一报文中包含所述第二报文中的数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,使得所述第一节点接收到所述第一报文后至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同;
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
14.根据权利要求13所述的装置,其特征在于,所述第二报文中还包括中继消息认证信息,所述中继消息认证信息由所述节点使用所述中继设备和所述节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述第一节点发送所述第一报文。
15.根据权利要求13所述的装置,其特征在于,所述第二节点为站点,所述第一节点为接入点;或,所述第二节点为接入点,所述第一节点为站点。
16.一种报文处理装置,位于中继设备侧,应用于中继设备在第一节点和第二节点之间转发报文的场景,其特征在于,包括:
接收模块,用于接收第二节点发送的第二报文,所述第二报文的报文头中的地址信息指示所述第二报文的接收方是所述中继设备、发送方是所述第二节点、下一接收方是第一节点,所述第二报文中的数据使用了第二附加认证数据、所述第一节点和第二节点之间的会话密钥进行了加密,所述第二附加认证数据由所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二规则生成;
发送模块,用于向所述第一节点发送第一报文,所述第一报文中包含所述第二报文中的数据,所述第一报文的报文头中包含的地址信息指示所述第一报文的接收方是所述第一节点、发送方是所述中继设备、上一发送方是所述第二节点,以使所述第一节点至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据,并使用所述第一附加认证数据、所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解密,其中,所述第一附加认证数据与所述第二附加认证数据相同;
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同;或
所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同,所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序相同,使得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相同。
17.根据权利要求16所述的装置,其特征在于,所述第二报文中还包括中继消息认证信息,所述中继消息认证信息由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生成,用以所述中继设备接收到所述第二报文之后,使用所述消息认证密钥验证所述中继消息认证信息,若验证通过则向所述第一节点发送所述第一报文。
18.根据权利要求16所述的装置,其特征在于,所述第一节点为站点,第二节点为接入点;或,所述第一节点为接入点,所述第二节点为站点。
19.一种报文处理系统,应用于中继设备在第一节点和第二节点之间转发报文的场景,其特征在于,包括:中继设备、第一节点和第二节点;
所述中继设备包括如权利要求16-18任一项所述的报文处理装置;
所述第一节点包括如权利要求10-12任一项所述的报文处理装置;
所述第二节点包括如权利要求13-15任一项所述的报文处理装置。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210528207.7A CN103874059B (zh) | 2012-12-10 | 2012-12-10 | 报文处理方法及装置、系统 |
| ES13863218.7T ES2625481T3 (es) | 2012-12-10 | 2013-12-10 | Método, dispositivo y sistema para procesamiento de paquetes a través de una retransmisión |
| PCT/CN2013/088947 WO2014090130A1 (zh) | 2012-12-10 | 2013-12-10 | 报文处理方法及装置、系统 |
| EP13863218.7A EP2919498B1 (en) | 2012-12-10 | 2013-12-10 | Method, device and system for packet processing through a relay |
| US14/734,812 US9872175B2 (en) | 2012-12-10 | 2015-06-09 | Packet processing method, apparatus, and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210528207.7A CN103874059B (zh) | 2012-12-10 | 2012-12-10 | 报文处理方法及装置、系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103874059A CN103874059A (zh) | 2014-06-18 |
| CN103874059B true CN103874059B (zh) | 2018-06-05 |
Family
ID=50912108
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210528207.7A Active CN103874059B (zh) | 2012-12-10 | 2012-12-10 | 报文处理方法及装置、系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9872175B2 (zh) |
| EP (1) | EP2919498B1 (zh) |
| CN (1) | CN103874059B (zh) |
| ES (1) | ES2625481T3 (zh) |
| WO (1) | WO2014090130A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107094080B (zh) * | 2016-02-12 | 2020-07-17 | 东芝存储器株式会社 | 通信装置 |
| CN108347410B (zh) | 2017-01-24 | 2021-08-31 | 华为技术有限公司 | 安全实现方法、设备以及系统 |
| CN107046493B (zh) * | 2017-04-28 | 2019-09-06 | 中国人民解放军国防科学技术大学 | 通信方法及装置 |
| US11012430B1 (en) * | 2019-11-04 | 2021-05-18 | Sprint Communications Company L.P. | User equipment relay mediated network channels with blockchain logging |
| CN111049649A (zh) * | 2019-12-17 | 2020-04-21 | 湖南安方信息技术有限公司 | 一种基于标识密码的零交互密钥协商安全增强协议 |
| CN111343207B (zh) * | 2020-05-19 | 2020-09-11 | 北京华云安信息技术有限公司 | 多节点联合加密的数据传输方法、设备和存储介质 |
| CN112052171B (zh) * | 2020-09-03 | 2021-05-28 | 上海复深蓝软件股份有限公司 | 测试报文处理方法、装置、计算机设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102143164A (zh) * | 2011-01-24 | 2011-08-03 | 中兴通讯股份有限公司 | 报文中继方法、装置及基站 |
| CN102647355A (zh) * | 2012-04-12 | 2012-08-22 | 华为技术有限公司 | Lacp协商处理方法、中继节点及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001313672A (ja) * | 2000-04-28 | 2001-11-09 | Toshiba Corp | ネットワークシステム、パケット中継装置、無線端末及びパケット処理方法 |
| ATE499787T1 (de) * | 2004-04-30 | 2011-03-15 | Research In Motion Ltd | System und verfahren zur sicherung von daten |
| JP5094724B2 (ja) * | 2006-08-24 | 2012-12-12 | パナソニック株式会社 | 通信システム、通信方法、無線端末、無線中継装置及び制御装置 |
| US8588417B2 (en) * | 2007-05-04 | 2013-11-19 | Conexant Systems, Inc. | Systems and methods for multicast retransmission over a secure wireless LAN |
| US20090271626A1 (en) * | 2007-09-04 | 2009-10-29 | Industrial Technology Research Institute | Methods and devices for establishing security associations in communications systems |
| US8537795B2 (en) * | 2009-07-28 | 2013-09-17 | Intel Corporation | Method, apparatus and system for forwarding frame in wireless communication systems |
| KR101689608B1 (ko) * | 2010-01-20 | 2016-12-27 | 엘지전자 주식회사 | 무선랜에서 능동 스캐닝 방법 및 장치 |
-
2012
- 2012-12-10 CN CN201210528207.7A patent/CN103874059B/zh active Active
-
2013
- 2013-12-10 WO PCT/CN2013/088947 patent/WO2014090130A1/zh active Application Filing
- 2013-12-10 ES ES13863218.7T patent/ES2625481T3/es active Active
- 2013-12-10 EP EP13863218.7A patent/EP2919498B1/en active Active
-
2015
- 2015-06-09 US US14/734,812 patent/US9872175B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102143164A (zh) * | 2011-01-24 | 2011-08-03 | 中兴通讯股份有限公司 | 报文中继方法、装置及基站 |
| CN102647355A (zh) * | 2012-04-12 | 2012-08-22 | 华为技术有限公司 | Lacp协商处理方法、中继节点及系统 |
Non-Patent Citations (1)
| Title |
|---|
| Efficient hardware architecture for the AES-CCM protocol of the IEEE 802.11i standard;Ignacio Algredo-Badillo等;《Computers and Electrical Engineering》;20100121;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US9872175B2 (en) | 2018-01-16 |
| EP2919498A1 (en) | 2015-09-16 |
| ES2625481T3 (es) | 2017-07-19 |
| EP2919498A4 (en) | 2015-12-02 |
| EP2919498B1 (en) | 2017-04-05 |
| US20150271672A1 (en) | 2015-09-24 |
| CN103874059A (zh) | 2014-06-18 |
| WO2014090130A1 (zh) | 2014-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103874059B (zh) | 报文处理方法及装置、系统 | |
| US11626979B2 (en) | ECDHE key exchange for mutual authentication using a key server | |
| US7774594B2 (en) | Method and system for providing strong security in insecure networks | |
| EP2062189B1 (en) | Method and system for secure processing of authentication key material in an ad hoc wireless network | |
| EP2522100B1 (en) | Secure multi-uim authentication and key exchange | |
| CN105554760B (zh) | 无线接入点认证方法、装置及系统 | |
| US8467532B2 (en) | System and method for secure transaction of data between a wireless communication device and a server | |
| KR20190034505A (ko) | 데이터 변환 시스템 및 방법 | |
| CN103391541B (zh) | 无线设备的配置方法及装置、系统 | |
| JP5855127B2 (ja) | 無線通信システムにおける短文データの暗号化方法及び装置 | |
| CN105164968A (zh) | 由至少一个服务器执行的用于处理从第一计算装置到第二计算装置的数据分组以允许端到端加密通信的方法 | |
| CN102035845B (zh) | 支持链路层保密传输的交换设备及其数据处理方法 | |
| US9264404B1 (en) | Encrypting data using time stamps | |
| WO2016161583A1 (zh) | 一种gprs系统密钥增强的方法、sgsn设备、ue、hlr/hss及gprs系统 | |
| CN114364062B (zh) | 一种车联网安全接入网关的方法 | |
| CN107801187A (zh) | 加解密方法、装置及系统 | |
| Fujdiak et al. | Security in low-power wide-area networks: State-of-the-art and development toward the 5G | |
| CN102045343B (zh) | 基于数字证书的通讯加密安全控制方法、服务器及系统 | |
| CN103905389B (zh) | 基于中继设备的安全关联、数据传输方法及装置、系统 | |
| CN106209401A (zh) | 一种传输方法及装置 | |
| CN108111515B (zh) | 一种适用于卫星通信的端到端安全通信加密方法 | |
| CN111093193A (zh) | 一种适用于Lora网络的MAC层通信安全机制 | |
| CN106789903A (zh) | 无线通信方法、装置及通信设备 | |
| CN115514475A (zh) | 一种量子安全网络的密钥中继方法 | |
| CN102271085B (zh) | 报文交互方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20171031 Address after: Metro Songshan Lake high tech Industrial Development Zone, Guangdong Province, Dongguan City Road 523808 No. 2 South Factory (1) project B2 -5 production workshop Applicant after: HUAWEI terminal (Dongguan) Co., Ltd. Address before: 518129 Longgang District, Guangdong, Bantian HUAWEI base B District, building 2, building No. Applicant before: Huawei Device Co., Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 523808 Southern Factory Building (Phase I) Project B2 Production Plant-5, New Town Avenue, Songshan Lake High-tech Industrial Development Zone, Dongguan City, Guangdong Province Patentee after: Huawei Device Co., Ltd. Address before: 523808 Southern Factory Building (Phase I) Project B2 Production Plant-5, New Town Avenue, Songshan Lake High-tech Industrial Development Zone, Dongguan City, Guangdong Province Patentee before: HUAWEI terminal (Dongguan) Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder |