CN112867005A - 控制帧处理及生成方法、站点、接入点及存储介质 - Google Patents

控制帧处理及生成方法、站点、接入点及存储介质 Download PDF

Info

Publication number
CN112867005A
CN112867005A CN202011643629.XA CN202011643629A CN112867005A CN 112867005 A CN112867005 A CN 112867005A CN 202011643629 A CN202011643629 A CN 202011643629A CN 112867005 A CN112867005 A CN 112867005A
Authority
CN
China
Prior art keywords
control frame
mic
value
random value
check value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011643629.XA
Other languages
English (en)
Inventor
张园园
顾胜东
张军一
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Espressif Systems Shanghai Co Ltd
Original Assignee
Espressif Systems Shanghai Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Espressif Systems Shanghai Co Ltd filed Critical Espressif Systems Shanghai Co Ltd
Priority to CN202011643629.XA priority Critical patent/CN112867005A/zh
Publication of CN112867005A publication Critical patent/CN112867005A/zh
Priority to PCT/CN2021/143958 priority patent/WO2022144007A1/zh
Priority to US18/260,211 priority patent/US20240107313A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种控制帧处理方法、站点、控制帧生成方法、接入点以及计算机可读存储介质,控制帧处理方法通过接收接入点发送的控制帧,对接收到的所述控制帧进行解析,提取其中的随机值以及MIC校验值;采用来自接入点的数据密钥对随机值以及MIC校验值进行解密,得到随机值的原始明文以及MIC校验值的原始明文;采用来自接入点的MIC密钥、控制帧中的非校验字段及随机值计算本地MIC校验值;判断MIC校验值的原始明文与本地MIC校验值是否一致,如果是,则根据控制帧执行相应控制操作。本申请提供的控制帧处理方法,能够对控制帧进行有效保护,防止黑客利用控制帧来进行无线网络攻击,保证了网络的安全性。

Description

控制帧处理及生成方法、站点、接入点及存储介质
技术领域
本申请涉及无线通信技术领域,尤其涉及一种控制帧处理方法、站点、控制帧生成方法、接入点以及计算机可读存储介质。
背景技术
随着手机、PAD等个人电子设备的不断普及,以及物联网技术的深入发展,具有Wi-Fi通信需求的设备数量呈爆发式增长。在高密度部署场景下,Wi-Fi的传输效率成为影响用户体验的关键之一。基于此现状,Wi-Fi联盟提出了新一代Wi-Fi协议IEEE 802.11ax,其首要目的是解决网络容量问题,提升网络效率。
802.11ax提升效率最重要的举措之一就是采用正交频分多址(OrthogonalFrequency Division Multiple Access,OFDMA)技术。OFDMA技术将信道进一步划分为更小的资源单元(Resource Units,RU),接入点(Access Point,AP)将与不同终端间的数据传输分配在不同的RU,从而实现AP与多个设备同时通信,提升了无线网络的传输效率。触发(trigger)帧作为802.11ax中引入的一种新的控制帧,能够使得网络中支持802.11ax协议的设备进行高效的OFDMA通信,提升网络的效率。但是其强大的控制能力以及缺乏有效的保护,使得触发帧或类似的控制帧很容易成为黑客进行网络破坏的突破口。因此,如何对触发帧或控制帧进行有效的保护从而保证网络的安全,是无线通信领域研究的重点和难点。
发明内容
为解决上述问题,本申请提供了一种控制帧处理方法,应用于无线通信的站点,包括:
接收接入点发送的控制帧,所述控制帧中包括校验字段,所述校验字段包括随机值以及信息完整性校验(Message Integrity Check,MIC)校验值;
对接收到的所述控制帧进行解析,提取其中的随机值以及MIC校验值;
采用来自接入点的数据密钥对所述随机值以及所述MIC校验值进行解密,得到所述随机值的原始明文以及所述MIC校验值的原始明文;
采用来自接入点的MIC密钥、所述控制帧中的非校验字段及所述随机值计算本地MIC校验值;
判断所述MIC校验值的原始明文与所述本地MIC校验值是否一致,如果是,则根据所述控制帧执行相应控制操作。
可选地,在所述判断所述MIC校验值的原始明文与所述本地MIC校验值是否一致之后还包括:
若所述MIC校验值的原始明文与所述本地MIC校验值不一致,则丢弃所述控制帧。
可选地,在所述对接收到的所述控制帧进行解析,提取其中的随机值以及MIC校验值之前还包括:
判断所述控制帧中是否包含有效的校验字段;
如果是,则执行后续对接收到的所述控制帧进行解析,提取其中的随机值以及MIC校验值的操作;如果否,则丢弃所述控制帧。
可选地,在所述对接收到的所述控制帧进行解析,提取其中的随机值以及MIC校验值之前还包括:
判断所述站点与所述接入点是否已关联;
如果是,则执行后续对接收到的所述控制帧进行解析,提取其中的随机值以及MIC校验值的操作;如果否,则根据所述控制帧执行相应控制操作。
可选地,在所述得到所述随机值的原始明文以及所述MIC校验值的原始明文之后还包括:
判断解码到的所述随机值的原始明文是否满足单调递增或单调递减的条件;
如果是,则执行后续使用接收到的所述控制帧计算本地MIC校验值的操作;如果否,则丢弃所述控制帧。
可选地,所述控制帧是用于对上行OFDMA传输进行资源分配的触发帧。
可选地,所述MIC密钥是从接入点组播发送到站点的MIC密钥。
本申请还提供了一种站点,所述站点包括处理器以及存储器;其中,所述存储器用于存储程序指令;
所述处理器用于根据所述程序指令执行上述任一种所述的控制帧处理方法的操作。
本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有程序指令,所述程序指令被执行时实现上述任一种所述的控制帧处理方法的操作。
本申请还提供了一种控制帧生成方法,应用于无线通信的接入点,包括:
生成随机值;
采用控制帧的非校验字段、所述随机值以及发送至站点的MIC密钥计算MIC校验值;
采用数据密钥对所述随机值以及计算得到的所述MIC校验值进行加密,得到所述随机值的密文以及所述MIC校验值的密文;
将所述随机值的密文以及所述MIC校验值的密文作为校验字段,添加至控制帧中;
将所述控制帧发送至站点。
可选地,所述校验字段包括:控制帧校验字段标识、数据类型、数据长度以及数值信息;其中,所述控制帧校验字段标识用于标识当前字段是否为校验字段;所述数据类型用于标识所述数值信息的类型为随机值类型或MIC校验值类型;所述数据长度用于标识所述数值信息的长度;所述数值信息用于在所述数据类型标识为随机值类型时表示对应的随机值,或在所述数据类型标识为MIC校验值时表示对应的MIC校验值。
可选地,所述随机值按照单调递增或单调递减进行生成。
本申请还提供了一种接入点,所述接入点包括处理器以及存储器;其中,所述存储器用于存储程序指令;
所述处理器用于根据所述程序指令执行上述任一种所述的控制帧生成方法的操作。
本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有程序指令,所述程序指令被执行时实现上述任一种所述的控制帧生成方法的操作。
本申请提供的控制帧处理方法,应用于无线通信的站点,通过接收接入点发送的控制帧,该控制帧中包括校验字段,校验字段包括随机值以及MIC校验值;对接收到的所述控制帧进行解析,提取其中的随机值以及MIC校验值;采用来自接入点的数据密钥对所述随机值以及所述MIC校验值进行解密,得到所述随机值的原始明文以及所述MIC校验值的原始明文;采用来自接入点的MIC密钥、所述控制帧中的非校验字段及所述随机值计算本地MIC校验值;判断所述MIC校验值的原始明文与所述本地MIC校验值是否一致,如果是,则根据所述控制帧执行相应控制操作。本申请提供的控制帧处理方法,能够对控制帧进行有效保护,防止黑客利用控制帧来进行无线网络攻击,保证了网络的安全性。本申请利用控制帧中的保留字段进行加密操作,且仅针对校验信息进行加密,而不是对帧体数据的部分进行加密。因此,即使通信双方中有一方不支持本申请的加密方法,也不会影响双方的正常通信,在提升安全性的同时也兼顾了兼容性,可扩展性更强。此外,本申请中由于帧体数据的部分是不加密的,且MIC校验值是根据帧体数据与MIC密钥得出的,如果不加入随机数的话,攻击者可能通过帧体数据以及MIC校验值得到MIC校验值,因此,本方案中采用添加随机数的方式进一步提升了网络的安全性。
此外,本申请还提供了一种至少具有上述技术优点的站点、控制帧生成方法、接入点以及计算机可读存储介质。
附图说明
在下文中,将基于实施例参考附图进一步解释本申请。
图1示意性地示出基于触发帧的上行OFDMA传输示意图;
图2示意性地示出本申请所提供的控制帧处理方法的一种具体实施方式的流程图;
图3示意性地示出触发帧的格式示意图;
图4示意性地示出本申请所提供的控制帧处理方法的另一种具体实施方式的流程图;
图5示意性地示出本申请所提供的控制帧处理装置的一种具体实施方式的结构框图;
图6示意性地示出本申请所提供的站点的一种具体实施方式的结构框图;
图7示意性地示出本申请所提供的控制帧生成方法的一种具体实施方式的流程图;
图8示意性地示出本申请所提供的控制帧生成装置的一种具体实施方式的结构框图;
图9示意性地示出本申请所提供的接入点的结构框图。
具体实施方式
以下将结合附图和具体的实施方式,对本申请的方法及设备进行详细说明。应理解,附图所示以及下文所述的实施例仅仅是说明性的,而不作为对本申请的限制。
参照图1基于触发帧的上行OFDMA传输示意图,接入点(AP)通过发送触发帧,告知所有站点(STA)需要发包站点的关联ID(Association ID,AID)、RU位置、发送时间、发射功率等信息。收到触发帧的站点将自身的AID与触发帧中的AID进行比较,若识别出自身的AID与触发帧中的AID相同,则在收到触发帧后SIFS时间后按照规定参数进行TB PPDU的发送。接入点收到触发帧后使用MU-STA BA帧向所有站点进行回复。
触发帧是802.11ax协议实现高效率传输的关键。作为一种控制帧,触发帧没有采用安全措施进行保护,同时,802.11ax协议规定触发帧可以按照除802.11b以外的任何物理帧格式进行发送,所以利用触发帧进行拒绝服务(DoS)等攻击的实施成本非常低。利用触发帧进行攻击的黑客可以让任意一个或多个站点在规定RU按规定功率发包,从而让被攻击设备无法进行正常的收发包。如:黑客可以每隔10ms发送一个触发帧,让被攻击者在某个26tone的RU上以极小的发射功率发5ms的TB PPDU包。这种攻击方式在瘫痪被攻击者的同时,几乎不会影响网络中其他设备的正常通信。
作为802.11ax协议中新引入的控制帧,由于协议规定统一的安全措施进行保护,因此直接采用管理帧中的加密方式会导致设备之间不兼容的问题。鉴于此,本申请旨在解决新引入的触发帧缺乏有效保护机制的问题,防止黑客利用触发帧进行无线网络攻击,以保证802.11ax网络的安全。
图2示出了本申请所提供的控制帧处理方法的一种具体实施方式的流程图。本实施例中,该方法应用于无线通信的站点,其具体包括:
S201:接收接入点发送的控制帧,所述控制帧中包括校验字段,所述校验字段包括随机值以及MIC校验值;
本申请实施例在控制帧中添加校验字段,校验字段包括有随机值R和MIC校验值(Message Integrity Code)。作为一种具体实施方式,校验字段可以包括:控制帧校验字段标识(AID)、数据类型(info_type)、数据长度(info_len)以及数值信息(info_data);其中,所述控制帧校验字段标识(AID)用于标识当前字段是否为校验字段;所述数据类型(info_type)用于标识所述数值信息的类型为随机值类型或MIC校验值类型;所述数据长度(info_len)用于标识所述数值信息的长度;所述数值信息(info_data)用于在所述数据类型标识为随机值类型时表示对应的随机值,或在所述数据类型标识为MIC校验值时表示对应的MIC校验值。
下面介绍添加校验字段的一种具体表现形式。以控制帧为触发帧为例,参照图3触发帧的格式示意图。触发帧包含MAC头、公共信息(common info)字段以及多个用户信息(user info)字段。其中用户信息(user info)字段的基础长度为40比特,根据触发(trigger)帧细分类型的不同会有若干触发帧附加信息。每个用户信息(user info)字段由一个12位的AID以及一系列控制信息构成。本申请实施例在触发帧最后一个有效的用户信息(user info)字段后添加若干个AID的用户信息(user info)域,用于传输校验字段。新添加的用户信息(user info)校验字段结构如表1所示。
表1
位置 Bit 0:Bit 11 Bit 12:Bit13 Bit 14:Bit 15 Bit 15:Bit 39 其他
内容 4094 info_type info_len info_data 0
本实施例中,AID=4094为触发帧校验字段标识,可以理解的是,其仅为一种具体示例,在实际中可以利用任何触发帧保留的AID,并不限于该具体形式。info_type为0时表示后续info_data的类型为随机值R,info_type为1表示后续info_data的类型为MIC校验值。info_len表示info_data中有效数据的长度,单位为字节。info_data为具体携带的随机值或MIC校验值。接入点(AP)通过在传输的控制帧中携带多个如上所述的用户信息(userinfo),即可以传输任意长度的随机值或者MIC校验值。
S202:对接收到的所述控制帧进行解析,提取其中的随机值以及MIC校验值;
站点在接收到接入点发送的控制帧之后,对控制帧进行解析,可以从控制帧中提取出携带的随机值Rrx_encry和MIC校验值MICrx_encry。作为一种具体实施方式,站点在识别到AID=4094标记之后,可以从中提取到随机值Rrx_encry和MIC校验值MICrx_encry
S203:采用来自接入点的数据密钥对所述随机值以及所述MIC校验值进行解密,得到所述随机值的原始明文以及所述MIC校验值的原始明文;
采用站点本地来自接入点的数据密钥对随机值Rrx_encry和MIC校验值MICrx_encry进行解密,得到随机值的原始明文Rrx和MIC校验值的原始明文MICrx。可以理解的是,解密的方法可以采用AES算法等对称算法或非对称算法,在此不做限定。
S204:采用来自接入点的MIC密钥、所述控制帧中的非校验字段及所述随机值计算本地MIC校验值;
采用来自接入点的MIC密钥、控制帧中的非校验字段及随机值计算本地MIC校验值MIClocal。MIC密钥用于计算MIC校验值,其可以是从接入点组播发送到站点的MIC密钥。本申请中控制帧为可变长的控制帧,其可支持存放校验字段。控制帧可以分为校验字段以及非校验字段。作为一种具体实施方式,控制帧可以为触发帧。
S205:判断所述MIC校验值的原始明文与所述本地MIC校验值是否一致,如果是,则根据所述控制帧执行相应控制操作。
比较MIClocal与MICrx,若MIClocal与MICrx一致,则按照802.11ax协议响应该控制帧,执行相应控制操作。
在上述实施例的基础上,本申请所提供的控制帧处理方法还可以进一步包括:在所述判断所述MIC校验值的原始明文与所述本地MIC校验值是否一致之后还包括:若所述MIC校验值的原始明文与所述本地MIC校验值不一致,则丢弃所述控制帧。即,在比较MIClocal与MICrx不一致时,则丢弃该控制帧。
本申请提供的控制帧处理方法,能够对控制帧进行有效保护,防止黑客利用控制帧来进行无线网络攻击,保证了网络的安全性。本申请利用控制帧中的保留字段进行加密操作,且仅针对校验信息进行加密,而不是对帧体数据的部分进行加密。因此,即使通信双方中有一方不支持本申请的加密方法,也不会影响双方的正常通信,在提升安全性的同时也兼顾了兼容性,可扩展性更强。此外,本申请中由于帧体数据的部分是不加密的,且MIC校验值是根据帧体数据与MIC密钥得出的,如果不加入随机数的话,攻击者可能通过帧体数据以及MIC校验值得到MIC校验值,因此,本方案中采用添加随机数的方式进一步提升了网络的安全性。
进一步地,还可以记录本次获取的随机值Rrx用于下次的校验过程。具体地,可以在得到所述随机值的原始明文以及所述MIC校验值的原始明文之后,判断解码到的随机值的原始明文是否满足单调递增或单调递减的条件,在满足单调递增或单调递减的条件下,才进行后续校验的操作。在不满足单调递增或单调递减的情况下,则丢弃该控制帧。通过设置该校验条件,进一步保证了网络的安全。
本申请所提供的控制帧处理方法的另一种具体实施方式的流程图如图4所示,本实施例以控制帧为触发帧为例,并增加了判断控制帧是否包含有效的校验字段、判断站点与接入点是否已关联、以及判断随机值的原始明文是否满足单调递增或单调递减的条件的操作过程。参照图4,该方法具体包括:
S401:接收接入点发送的触发帧,所述触发帧中包括校验字段,所述校验字段包括随机值以及MIC校验值;
S402:判断所述触发帧中是否包含有效的校验字段;如果是,则进入S403;如果否,则进入S409;
S403:判断所述站点与所述接入点是否已关联;如果是,则进入S404;如果否,则进入S408;
S404:对接收到的所述触发帧进行解析,提取其中的随机值以及MIC校验值;
S405:采用来自接入点的数据密钥对所述随机值以及所述MIC校验值进行解密,得到所述随机值的原始明文以及所述MIC校验值的原始明文;
S406:判断解码到的所述随机值的原始明文是否满足单调递增或单调递减的条件;如果是,则进入S407;如果否,则进入S409;
S407:采用来自接入点的MIC密钥、所述触发帧中的非校验字段及所述随机值计算本地MIC校验值,判断所述MIC校验值的原始明文与所述本地MIC校验值是否一致,如果是,则进入S408;如果否,则进入S409;
S408:根据所述触发帧执行相应控制操作;
S409:丢弃所述触发帧。
由802.11ax协议规定,站点未连接至接入点时也可使用AID=2046的user field中的信息进行TB PPDU的发送。这种场景下由于站点尚未分配到组播密钥,则对该触发帧不进行任何校验,按照802.11ax协议规定进行传输。
通过判断站点与接入点是否已关联,即判断站点与接入点是否已建立连接。在站点与接入点已关联或已建立连接的情况下,站点接收到来自接入点的数据密钥和MIC密钥。
若收到触发帧的站点已经获取到组播密钥,则根据AID=4094标记,在收到触发帧后提取出Rrx_encry和MICrx_encry。接着使用本地的组播数据密钥对这两部分进行解密,得到原始明文Rrx和MICrx。若设置解码到的随机值的原始明文应满足单调递增的条件,则如果本次收到的随机数Rrx比上次解析到的小,则认为本触发帧不应当信任,站点不响应该触发帧。若设置解码到的随机值的原始明文应满足单调递减的条件,则如果本次收到的随机数Rrx比上次解析到的大,则认为本触发帧不应当信任,站点不响应该触发帧。否则,使用本地MIC密钥从收到触发帧MAC头开始,到最后一个有效的user info,即不包含AID为4094的user info,连同解密得到的Rrx使用解密算法计算出MIClocal。最后,比较MIClocal与MICrx,若MIClocal与MICrx不一致,则丢弃该触发帧。否则,按照802.11ax协议响应该触发帧,并记录本次获取的随机值Rrx用于下次的校验。
作为一种具体实施方式,解密方法可以为AES-CBC。
本实施例提供了一种兼顾兼容性以及安全性的触发帧保护方案。利用触发帧中的保留字段进行加密操作,且仅针对校验信息进行加密,而不是对帧体数据的部分进行加密。因此,即使通信双方中有一方不支持本申请的加密方法,也不会影响双方的正常通信,在提升安全性的同时也兼顾了兼容性,可扩展性更强。此外,本申请中由于帧体数据的部分是不加密的,且MIC校验值是根据帧体数据与MIC密钥得出的,如果不加入随机数的话,攻击者可能通过帧体数据以及MIC校验值得到MIC校验值,因此,本方案中采用添加随机数判断其单调递增或递减的方式也进一步提升了网络的安全性。
此外,本申请还提供了一种控制帧处理装置,所述控制帧处理装置应用于无线通信的站点。如图5本申请所提供的控制帧处理装置500的一种具体实施方式的结构框图所示,该装置具体包括:
接收模块501,被配置为接收接入点发送的控制帧,所述控制帧中包括校验字段,所述校验字段包括随机值以及MIC校验值;
解析模块502,被配置为对接收到的所述控制帧进行解析,提取其中的随机值以及MIC校验值;
解密模块503,被配置为采用来自接入点的数据密钥对所述随机值以及所述MIC校验值进行解密,得到所述随机值的原始明文以及所述MIC校验值的原始明文;
第一计算模块504,被配置为采用来自接入点的MIC密钥、所述控制帧中的非校验字段及所述随机值计算本地MIC校验值;
判断模块505,被配置为判断所述MIC校验值的原始明文与所述本地MIC校验值是否一致,如果是,则根据所述控制帧执行相应控制操作。
此外,本申请还提供了一种站点600,如图6站点的一种具体实施方式的结构框图所示,该站点600包括处理器601以及存储器602。其中,存储器用于存储程序指令;所述处理器用于根据所述程序指令执行如上述任一种所述的控制帧处理方法的操作。
此外,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质存储有程序指令,所述程序指令被执行时实现上述任一种所述的控制帧处理方法的操作。
可以理解的是,本申请所提供的控制帧处理装置、站点以及计算机可读存储介质与上述的控制帧处理方法相对应,其具体实施方式可以参照上述方法部分的内容,在此不再赘述。
此外,本申请还提供了一种控制帧生成方法,应用于无线通信的接入点,如图7本申请所提供的控制帧生成方法的一种具体实施方式的流程图所示,该方法包括:
S701:生成随机值;
接入点生成随机值R,例如可以生成一个128比特的随机值R。当然,此处的128比特仅为具体示例,并不构成限定。接入点生成的随机值R可以满足单调递增或单调递减的条件。站点在接收到控制帧之后,从中解析得到随机值,可以判断与之前解析的数据相比是否满足单调递增或单调递减的条件,在不满足单调递增或单调递减的情况下,则丢弃该控制帧,从而起到避免重放攻击的作用。
S702:采用控制帧的非校验字段、所述随机值以及发送至站点的MIC密钥计算MIC校验值;
将控制帧中从MAC头开始到最后一个有效user info中的所有数据以及随机值R,根据控制帧的非校验字段、随机值以及发送至站点的MIC密钥计算得到MIC校验值。MIC密钥可以为站点与接入点连接时获取得到的MIC密钥。具体可以使用AES-CBC计算MIC校验值,以保证控制帧的完整性。
S703:采用数据密钥对所述随机值以及计算得到的所述MIC校验值进行加密,得到所述随机值的密文以及所述MIC校验值的密文;
对产生的随机值R以及计算得到的MIC校验值,基于组播帧数据密钥使用加密算法进行加密,得到随机值的密文R*以及MIC校验值的密文MIC*。加密算法可以采用AES算法等对称算法,当然也可以采用非对称算法等。
S704:将所述随机值的密文以及所述MIC校验值的密文作为校验字段,添加至控制帧中;
作为一种具体实施方式,校验字段可以包括:控制帧校验字段标识、数据类型、数据长度以及数值信息;其中,所述控制帧校验字段标识用于标识当前字段是否为校验字段;所述数据类型用于标识所述数值信息的类型为随机值类型或MIC校验值类型;所述数据长度用于标识所述数值信息的长度;所述数值信息用于在所述数据类型标识为随机值类型时表示对应的随机值,或在所述数据类型标识为MIC校验值时表示对应的MIC校验值。
以触发帧为例,控制帧校验字段生成过程的示意图如图7所示。将原始的控制帧同随机数进行MIC校验值运算,得到控制帧的完整性校验信息MIC。随后将随机数和MIC校验值进行加密,然后将随机值的密文R*以及MIC校验值的密文MIC*按照上述添加校验字段的方法拆分后添加至控制帧中。拆分过程可以为先传输低位后传输高位,当然也可以先传输高位再传输低位,这均不影响本申请的实现。
S705:将所述控制帧发送至站点。
接入点将该控制帧发送至站点,站点接收到该控制帧之后,执行上述控制帧处理的方法的操作。
此外,本申请还提供了一种控制帧生成装置,应用于无线通信的接入点,如图8本申请所提供的控制帧生成装置800的一种具体实施方式的结构框图所示,该装置具体包括:
生成模块801,被配置为生成随机值;
第二计算模块802,被配置为采用根据控制帧的非校验字段、所述随机值以及发送至站点的MIC密钥计算MIC校验值;
加密模块803,被配置为采用数据密钥对所述随机值以及计算得到的所述MIC校验值进行加密,得到所述随机值的密文以及所述MIC校验值的密文;
添加模块804,被配置为将所述随机值的密文以及所述MIC校验值的密文作为校验字段,添加至控制帧中;
发送模块805,被配置为将所述控制帧发送至站点。
此外,本申请还提供了一种接入点900,如图9接入点的结构框图所示,该接入点900包括处理器901以及存储器902;其中,所述存储器902用于存储程序指令;所述处理器901用于根据所述程序指令执行上述任一种所述的控制帧生成方法的操作。
此外,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有程序指令,所述程序指令被执行时实现上述任一种所述的控制帧生成方法的操作。
可以理解的是,本申请所提供的控制帧生成装置、接入点以及计算机可读存储介质与上述的控制帧生成方法相对应,其具体实施方式可以参照上述方法部分的内容,在此不再赘述。
本申请的技术方案可以应用于IEEE 802.11ax无线局域网络中,该网络中包括一个或多个接入点(access point,AP)和一个或多个站点(station,STA)。
其中,站点可以为具有无线通信功能的装置,如用户设备、接入终端、远程终端、用户终端、移动设备,还可以为蜂窝电话、具有无线通信功能的手持设备、车载设备、可穿戴设备等,本申请实施例对此并不限定。
接入点可以是任意一种具有无线收发功能的、与站点进行通信的设备。该设备包括但不限于:演进型节点B、无线网络控制器、节点B、基站控制器等,还可以为5G、5G系统中的基站的一个或一组天线面板,或者还可以为基带单元或分布式单元等,在此不做限定。
本申请能够对控制帧进行有效保护,防止黑客利用控制帧来进行无线网络攻击,保证了网络的安全性。本申请利用控制帧中的保留字段进行加密操作,且仅针对校验信息进行加密,而不是对帧体数据的部分进行加密。因此,即使通信双方中有一方不支持本申请的加密方法,也不会影响双方的正常通信,在提升安全性的同时也兼顾了兼容性,可扩展性更强。此外,本申请中由于帧体数据的部分是不加密的,且MIC校验值是根据帧体数据与MIC密钥得出的,如果不加入随机数的话,攻击者可能通过帧体数据以及MIC校验值得到MIC校验值,因此,本方案中采用添加随机数的方式进一步提升了网络的安全性。
虽然出于本公开的目的已经描述了本申请各方面的各种实施例,但是不应理解为将本公开的教导限制于这些实施例。在一个具体实施例中公开的特征并不限于该实施例,而是可以和不同实施例中公开的特征进行组合。例如,在一个实施例中描述的根据本申请的方法的一个或多个特征和/或操作,亦可单独地、组合地或整体地应用在另一实施例中。本领域技术人员应理解,还存在可能的更多可选实施方式和变型,可以对上述系统进行各种改变和修改,而不脱离由本申请权利要求所限定的范围。

Claims (14)

1.一种控制帧处理方法,应用于无线通信的站点,其特征在于,包括:
接收接入点发送的控制帧,所述控制帧中包括校验字段,所述校验字段包括随机值以及MIC校验值;
对接收到的所述控制帧进行解析,提取其中的随机值以及MIC校验值;
采用来自接入点的数据密钥对所述随机值以及所述MIC校验值进行解密,得到所述随机值的原始明文以及所述MIC校验值的原始明文;
采用来自接入点的MIC密钥、所述控制帧中的非校验字段及所述随机值计算本地MIC校验值;
判断所述MIC校验值的原始明文与所述本地MIC校验值是否一致,如果是,则根据所述控制帧执行相应控制操作。
2.如权利要求1所述的控制帧处理方法,其特征在于,在所述判断所述MIC校验值的原始明文与所述本地MIC校验值是否一致之后还包括:
若所述MIC校验值的原始明文与所述本地MIC校验值不一致,则丢弃所述控制帧。
3.如权利要求1所述的控制帧处理方法,其特征在于,在所述对接收到的所述控制帧进行解析,提取其中的随机值以及MIC校验值之前还包括:
判断所述控制帧中是否包含有效的校验字段;
如果是,则执行后续对接收到的所述控制帧进行解析,提取其中的随机值以及MIC校验值的操作;如果否,则丢弃所述控制帧。
4.如权利要求1所述的控制帧处理方法,其特征在于,在所述对接收到的所述控制帧进行解析,提取其中的随机值以及MIC校验值之前还包括:
判断所述站点与所述接入点是否已关联;
如果是,则执行后续对接收到的所述控制帧进行解析,提取其中的随机值以及MIC校验值的操作;如果否,则根据所述控制帧执行相应控制操作。
5.如权利要求1至4任一项所述的控制帧处理方法,其特征在于,在所述得到所述随机值的原始明文以及所述MIC校验值的原始明文之后还包括:
判断解码到的所述随机值的原始明文是否满足单调递增或单调递减的条件;
如果是,则执行后续使用接收到的所述控制帧计算本地MIC校验值的操作;如果否,则丢弃所述控制帧。
6.如权利要求5所述的控制帧处理方法,其特征在于,所述控制帧是用于对上行OFDMA传输进行资源分配的触发帧。
7.如权利要求5所述的控制帧处理方法,其特征在于,所述MIC密钥是从接入点组播发送到站点的MIC密钥。
8.一种站点,其特征在于,所述站点包括处理器以及存储器;其中,所述存储器用于存储程序指令;
所述处理器用于根据所述程序指令执行如权利要求1至7任一项所述的控制帧处理方法的操作。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有程序指令,所述程序指令被执行时实现如权利要求1至7任一项所述的控制帧处理方法的操作。
10.一种控制帧生成方法,应用于无线通信的接入点,其特征在于,包括:
生成随机值;
采用控制帧的非校验字段、所述随机值以及发送至站点的MIC密钥计算MIC校验值;
采用数据密钥对所述随机值以及计算得到的所述MIC校验值进行加密,得到所述随机值的密文以及所述MIC校验值的密文;
将所述随机值的密文以及所述MIC校验值的密文作为校验字段,添加至控制帧中;
将所述控制帧发送至站点。
11.如权利要求10所述的控制帧生成方法,其特征在于,所述校验字段包括:控制帧校验字段标识、数据类型、数据长度以及数值信息;其中,所述控制帧校验字段标识用于标识当前字段是否为校验字段;所述数据类型用于标识所述数值信息的类型为随机值类型或MIC校验值类型;所述数据长度用于标识所述数值信息的长度;所述数值信息用于在所述数据类型标识为随机值类型时表示对应的随机值,或在所述数据类型标识为MIC校验值时表示对应的MIC校验值。
12.如权利要求10或11所述的控制帧生成方法,其特征在于,所述随机值按照单调递增或单调递减进行生成。
13.一种接入点,其特征在于,所述接入点包括处理器以及存储器;其中,所述存储器用于存储程序指令;
所述处理器用于根据所述程序指令执行如权利要求10至12任一项所述的控制帧生成方法的操作。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有程序指令,所述程序指令被执行时实现如权利要求10至12任一项所述的控制帧生成方法的操作。
CN202011643629.XA 2020-12-31 2020-12-31 控制帧处理及生成方法、站点、接入点及存储介质 Pending CN112867005A (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202011643629.XA CN112867005A (zh) 2020-12-31 2020-12-31 控制帧处理及生成方法、站点、接入点及存储介质
PCT/CN2021/143958 WO2022144007A1 (zh) 2020-12-31 2021-12-31 控制帧处理及生成方法、站点、接入点及存储介质
US18/260,211 US20240107313A1 (en) 2020-12-31 2021-12-31 Control frame processing method, control frame generating method, station, access point, and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011643629.XA CN112867005A (zh) 2020-12-31 2020-12-31 控制帧处理及生成方法、站点、接入点及存储介质

Publications (1)

Publication Number Publication Date
CN112867005A true CN112867005A (zh) 2021-05-28

Family

ID=76000904

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011643629.XA Pending CN112867005A (zh) 2020-12-31 2020-12-31 控制帧处理及生成方法、站点、接入点及存储介质

Country Status (3)

Country Link
US (1) US20240107313A1 (zh)
CN (1) CN112867005A (zh)
WO (1) WO2022144007A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022144007A1 (zh) * 2020-12-31 2022-07-07 乐鑫信息科技(上海)股份有限公司 控制帧处理及生成方法、站点、接入点及存储介质
WO2023082208A1 (zh) * 2021-11-12 2023-05-19 Oppo广东移动通信有限公司 通信方法和站点
WO2023082209A1 (zh) * 2021-11-12 2023-05-19 Oppo广东移动通信有限公司 通信方法和站点

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101394412A (zh) * 2008-09-28 2009-03-25 西安西电捷通无线网络通信有限公司 一种防止安全协议第一条消息被伪造的方法
CN101442531A (zh) * 2008-12-18 2009-05-27 西安西电捷通无线网络通信有限公司 一种安全协议第一条消息的保护方法
CN101986726A (zh) * 2010-10-25 2011-03-16 西安西电捷通无线网络通信股份有限公司 一种基于wapi的管理帧保护方法
CN102014342A (zh) * 2010-12-31 2011-04-13 西安西电捷通无线网络通信股份有限公司 混合组网的网络系统及方法
CN104486759A (zh) * 2014-12-15 2015-04-01 北京极科极客科技有限公司 一种无障碍接入无线网络的方法
EP2974423A1 (en) * 2013-03-15 2016-01-20 Qualcomm Incorporated Protected control frames
WO2019088732A1 (ko) * 2017-11-02 2019-05-09 엘지전자 주식회사 무선 랜에서 프레임을 송신 또는 수신하는 방법 및 이를 위한 장치

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109842880B (zh) * 2018-08-23 2020-04-03 华为技术有限公司 路由方法、装置及系统
CN112867005A (zh) * 2020-12-31 2021-05-28 乐鑫信息科技(上海)股份有限公司 控制帧处理及生成方法、站点、接入点及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101394412A (zh) * 2008-09-28 2009-03-25 西安西电捷通无线网络通信有限公司 一种防止安全协议第一条消息被伪造的方法
CN101442531A (zh) * 2008-12-18 2009-05-27 西安西电捷通无线网络通信有限公司 一种安全协议第一条消息的保护方法
CN101986726A (zh) * 2010-10-25 2011-03-16 西安西电捷通无线网络通信股份有限公司 一种基于wapi的管理帧保护方法
CN102014342A (zh) * 2010-12-31 2011-04-13 西安西电捷通无线网络通信股份有限公司 混合组网的网络系统及方法
EP2974423A1 (en) * 2013-03-15 2016-01-20 Qualcomm Incorporated Protected control frames
CN104486759A (zh) * 2014-12-15 2015-04-01 北京极科极客科技有限公司 一种无障碍接入无线网络的方法
WO2019088732A1 (ko) * 2017-11-02 2019-05-09 엘지전자 주식회사 무선 랜에서 프레임을 송신 또는 수신하는 방법 및 이를 위한 장치

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
关义章, 北京邮电大学出版社 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022144007A1 (zh) * 2020-12-31 2022-07-07 乐鑫信息科技(上海)股份有限公司 控制帧处理及生成方法、站点、接入点及存储介质
WO2023082208A1 (zh) * 2021-11-12 2023-05-19 Oppo广东移动通信有限公司 通信方法和站点
WO2023082209A1 (zh) * 2021-11-12 2023-05-19 Oppo广东移动通信有限公司 通信方法和站点

Also Published As

Publication number Publication date
US20240107313A1 (en) 2024-03-28
WO2022144007A1 (zh) 2022-07-07

Similar Documents

Publication Publication Date Title
US11122428B2 (en) Transmission data protection system, method, and apparatus
CN103945376B (zh) 用于高吞吐量无线通信的在减少分组丢失情况下进行密钥重置的无线设备和方法
WO2022144007A1 (zh) 控制帧处理及生成方法、站点、接入点及存储介质
US20180278625A1 (en) Exchanging message authentication codes for additional security in a communication system
EP3771244B1 (en) Authentication method, related equipment, and system
CN107113287A (zh) 在用户装备之间执行设备到设备通信的方法
US11082843B2 (en) Communication method and communications apparatus
EP3076695B1 (en) Method and system for secure transmission of small data of mtc device group
Singla et al. Protecting the 4G and 5G cellular paging protocols against security and privacy attacks
Pratas et al. Massive machine-type communication (mMTC) access with integrated authentication
US20080120728A1 (en) Method and apparatus for performing integrity protection in a wireless communications system
US20240163674A1 (en) Communication method and apparatus
US11019037B2 (en) Security improvements in a wireless data exchange protocol
Chakrabarty et al. Black networks for Bluetooth low energy
EP3654579A1 (en) Methods and devices for providing message authentication code suitable for short messages
CN106465117B (zh) 一种终端接入通信网络的方法、装置及通信系统
CN103368738B (zh) 一种安全身份发现及通信方法
Jover et al. Some key challenges in securing 5G wireless networks
CN110830421B (zh) 数据传输方法和设备
CN108810981B (zh) 一种数据传输方法及装置
CN108990052B (zh) Wpa2协议脆弱性的检测方法
CN114423001A (zh) 解密方法、服务器及存储介质
Narang et al. Survey of Mobile WiMAX and its threats
EP2984783B1 (en) Secure radio information transfer over mobile radio bearer
CN111432404B (zh) 信息处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination