CN117956449A - 一种网络连接方法及装置 - Google Patents
一种网络连接方法及装置 Download PDFInfo
- Publication number
- CN117956449A CN117956449A CN202211331696.7A CN202211331696A CN117956449A CN 117956449 A CN117956449 A CN 117956449A CN 202211331696 A CN202211331696 A CN 202211331696A CN 117956449 A CN117956449 A CN 117956449A
- Authority
- CN
- China
- Prior art keywords
- message
- password
- access point
- access
- station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 105
- 238000004891 communication Methods 0.000 claims abstract description 83
- 230000008569 process Effects 0.000 claims abstract description 26
- 230000006855 networking Effects 0.000 claims abstract description 10
- 230000004044 response Effects 0.000 claims description 22
- 238000012545 processing Methods 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 16
- 230000006870 function Effects 0.000 description 33
- 238000010586 diagram Methods 0.000 description 12
- 238000013461 design Methods 0.000 description 11
- OVGWMUWIRHGGJP-WVDJAODQSA-N (z)-7-[(1s,3r,4r,5s)-3-[(e,3r)-3-hydroxyoct-1-enyl]-6-thiabicyclo[3.1.1]heptan-4-yl]hept-5-enoic acid Chemical compound OC(=O)CCC\C=C/C[C@@H]1[C@@H](/C=C/[C@H](O)CCCCC)C[C@@H]2S[C@H]1C2 OVGWMUWIRHGGJP-WVDJAODQSA-N 0.000 description 8
- 101100161473 Arabidopsis thaliana ABCB25 gene Proteins 0.000 description 8
- 101000988961 Escherichia coli Heat-stable enterotoxin A2 Proteins 0.000 description 8
- 101100096893 Mus musculus Sult2a1 gene Proteins 0.000 description 8
- 101150081243 STA1 gene Proteins 0.000 description 8
- 239000013259 porous coordination polymer Substances 0.000 description 6
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 150000003839 salts Chemical class 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请涉及通信技术领域,公开了一种网络连接方法及装置,其中方法包括:站点生成第一消息,所述第一消息采用第一密码加密,所述第一消息为所述站点接入接入点的关联入网流程中的消息;所述站点向所述接入点发送所述第一消息。通过上面的方法,在站点接入接入点的关联入网流程中的消息采用第一密码进行加密,可以提高关联入网的安全性,避免关联入网过程中用户信息泄露或被拒绝服务。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种网络连接方法及装置。
背景技术
无线保真(wireless-fidelity,Wi-Fi)网络在各行各业都被普遍的使用,因此Wi-Fi网络的安全性也越来越被人们所关注。近年来,在Wi-Fi网络的关联入网过程中,有人提出可以采用侧信道攻击、安全组降级等方式对Wi-Fi网络进行攻击,从而入侵Wi-Fi网络。因此如何提升Wi-Fi网络的安全性,是一个亟待解决的方法。
发明内容
本申请提供一种网络连接方法及装置,用以提升网络的安全性。
第一方面,本申请提供一种网络连接方法,该方法包括:站点生成第一消息,第一消息采用第一密码加密,第一消息为站点接入接入点的关联入网流程中的消息;站点向接入点发送第一消息。
通过上面的方法,站点在关联入网流程中传输的消息采用第一密码进行加密,可以提高关联入网的安全性,避免关联入网过程中用户信息泄露或被拒绝服务,从而提升网络的安全性。
一种可能的实现方式中,第一密码根据接入点的接入密码和动态因子确定;或者,第一密码为接入点的接入密码。
如果第一密码根据接入密码和动态因子确定,可以使得第一密码随着动态因子的变化而不断变化,从而进一步提高STA在关联入网流程中发送的消息的安全性,提高网络连接的安全性。
一种可能的实现方式中,第一密码根据接入点的接入密码和动态因子确定,包括:第一密码为将接入点的接入密码和动态因子作为动态密码生成算法的输入参数时,动态密码生成算法输出的密码。
一种可能的实现方式中,动态因子为时间信息或随机序列。
一种可能的实现方式中,第一消息为以下一项或多项消息:
认证阶段的认证请求消息;
关联阶段的关联请求消息;
基于局域网的扩展认证协议(extensible authentication protocol over LAN,EAPOL)四步握手阶段中的消息2;
EAPOL四步握手阶段中的消息4。
通过对认证阶段、关联阶段以及EAPOL四步握手阶段中的消息进行加密,可以避免关联入网过程中用户信息泄露,从而提升网络的安全性。
一种可能的实现方式中,第一消息包括供应商信息元素字段。
通过在第一消息中添加供应商信息元素字段,使得第一消息的长度发生改变,避免被攻击者通过消息的长度猜测出第一消息的类型以及内容等信息,从而进一步提高网络的安全性。
一种可能的实现方式中,该方法还包括:站点接收来自接入点第二消息,第二消息采用第一密码加密,第二消息为站点接入接入点的关联入网流程中的消息。
一种可能的实现方式中,第二消息为以下一项或多项消息:
认证阶段的认证响应消息;
关联阶段的关联响应消息;
EAPOL四步握手阶段中的消息1;
EAPOL四步握手阶段中的消息3。
一种可能的实现方式中,第二消息包括供应商信息元素字段。
第二方面,本申请提供一种网络连接方法,该方法包括:接入点接收来自站点的第一消息,第一消息为站点接入接入点的关联入网流程中的消息;
接入点采用第一密码对第一消息进行解密。
一种可能的实现方式中,第一密码根据接入点的接入密码和动态因子确定;
或者,第一密码为接入点的接入密码。
一种可能的实现方式中,第一密码根据接入点的接入密码和动态因子确定,包括:
第一密码为将接入点的接入密码和动态因子作为动态密码生成算法的输入参数时,动态密码生成算法输出的密码。
一种可能的实现方式中,动态因子为时间信息或随机序列。
一种可能的实现方式中,第一消息为以下一项或多项消息:
认证阶段的认证请求消息;
关联阶段的关联请求消息;
基于局域网的扩展认证协议EAPOL四步握手阶段中的消息2;
EAPOL四步握手阶段中的消息4。
一种可能的实现方式中,第一消息包括供应商信息元素字段。
一种可能的实现方式中,该方法还包括:接入点向站点发送第二消息,第二消息采用第一密码加密,第二消息为站点接入接入点的关联入网流程中的消息。
一种可能的实现方式中,第二消息为以下一项或多项消息:
认证阶段的认证响应消息;
关联阶段的关联响应消息;
EAPOL四步握手阶段中的消息1;
EAPOL四步握手阶段中的消息3。
一种可能的实现方式中,第二消息包括供应商信息元素字段。
可以理解的是,上述第二方面所描述的方法与第一方面所描述的方法相对应,第二方面中相关技术特征的有益效果可以参照第一方面的描述,不再赘述。
第三方面,本申请提供一种通信装置,所述通信装置具备实现上述第一方面或第二方面的功能,比如,所述通信装置包括执行上述第一方面或第二方面涉及操作所对应的模块或单元或手段(means),所述模块或单元或手段可以通过软件实现,或者通过硬件实现,也可以通过硬件执行相应的软件实现。
在一种可能的设计中,所述通信装置包括处理单元、通信单元,其中,通信单元可以用于收发信号,以实现该通信装置和其它装置之间的通信;处理单元可以用于执行该通信装置的一些内部操作。处理单元、通信单元执行的功能可以和上述第一方面或第二方面涉及的操作相对应。
在一种可能的设计中,所述通信装置包括处理器,处理器可以用于与存储器耦合。所述存储器可以保存实现上述第一方面或第二方面涉及的功能的必要计算机程序或指令。所述处理器可执行所述存储器存储的计算机程序或指令,当所述计算机程序或指令被执行时,使得所述通信装置实现上述第一方面或第二方面中任意可能的设计或实现方式中的方法。
在一种可能的设计中,所述通信装置包括处理器和存储器,存储器可以保存实现上述第一方面或第二方面涉及的功能的必要计算机程序或指令。所述处理器可执行所述存储器存储的计算机程序或指令,当所述计算机程序或指令被执行时,使得所述通信装置实现上述第一方面或第二方面中任意可能的设计或实现方式中的方法。
在一种可能的设计中,所述通信装置包括处理器和接口电路,其中,处理器用于通过所述接口电路与其它装置通信,并执行上述第一方面或第二方面中任意可能的设计或实现方式中的方法。
可以理解地,上述第三方面中,处理器可以通过硬件来实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现。此外,以上处理器可以为一个或多个,存储器可以为一个或多个。存储器可以与处理器集成在一起,或者存储器与处理器分离设置。在具体实现过程中,存储器可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
第四方面,本申请提供一种通信系统,该通信系统可以包括站点和接入点;其中,站点用于执行上述第一方面所提供的方法,接入点用于执行上述第二方面所提供的方法。
第五方面,本申请提供一种计算机可读存储介质,所述计算机存储介质中存储有计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得计算机执行上述第一方面或第二方面的任一种可能的设计中的方法。
第六方面,本申请提供一种计算机程序产品,当计算机读取并执行所述计算机程序产品时,使得计算机执行上述第一方面或第二方面的任一种可能的设计中的方法。
第七方面,本申请提供一种芯片,所述芯片包括处理器,所述处理器与存储器耦合,用于读取并执行所述存储器中存储的软件程序,以实现上述第一方面或第二方面的任一种可能的设计中的方法。
附图说明
图1为本申请实施例适用的一种网络架构示意图;
图2为本申请实施例提供的一种网络连接方法流程示意图;
图3为本申请实施例提供的一种消息结构示意图;
图4为本申请实施例提供的一种消息结构示意图;
图5为本申请实施例提供的一种消息结构示意图;
图6为本申请实施例提供的一种网络连接方法流程示意图;
图7为本申请实施例提供的一种通信装置结构示意图;
图8为本申请实施例提供的一种通信装置结构示意图。
具体实施方式
下面结合说明书附图对本申请实施例做详细描述。
本申请实施例可以适用于局域网(local area networks,LAN),特别是无线局域网(wireless local area networks,WLAN),比如可以适用于采用电气电子工程师协会(institute of electrical and electronics engineers,IEEE)802.11系列协议中的任意一种协议的WLAN。其中,WLAN可以包括一个或多个基本服务集(basic service set,BSS),基本服务集中的网络节点包括接入点(access point,AP)和站点(station,STA)。此外,IEEE 802.11ad在原有的BSS基础上,引入个人基本服务集(personal basic serviceset,PBSS)和个人基本服务集控制节点(PBSS control point,PCP),个人基本服务集可以包含一个AP/PCP和多个关联于该AP/PCP的非(non)AP/PCP,本申请实施例中non AP/PCP可以称为STA,PCP可以理解为AP在PBSS里的角色的称呼。
本申请实施例也可以适用于物联网(internet of things,IoT)网络或车联网(vehicle to X,V2X)网络等无线局域网中。当然,本申请实施例还可以适用于其它可能的通信系统,例如长期演进(long term evolution,LTE)通信系统、LTE频分双工(frequencydivision duplex,FDD)通信系统、LTE时分双工(time division duplex,TDD)通信系统、通用移动通信系统(universal mobile telecommunication system,UMTS)、全球互联微波接入(worldwide interoperability for microwave access,WiMAX)通信系统、第五代(5thgeneration,5G)通信系统以及未来演进的通信系统等。
下文以本申请实施例适用于WLAN为例。参见图1,示出了本申请实施例适用的一种WLAN的网络架构图,图1是以该WLAN包括1个AP和2个STA为例。其中,与AP关联的STA,能够接收该AP发送的无线帧,也能够向该AP发送无线帧。本申请实施例将以AP和STA之间的通信为例进行描述,可以理解的是,本申请实施例也可以适用于AP与AP之间的通信,例如各个AP之间可通过分布式系统(distributed system,DS)相互通信,也可以适用于STA与STA之间的通信。
AP可以为终端设备(如手机)进入有线(或无线)网络的接入点。AP相当于一个连接有线网络和无线网络的桥梁,主要作用是将各个无线网络客户端连接到一起,然后将无线网络接入以太网。比如,AP可以是带有Wi-Fi芯片的终端设备(如手机)或者网络设备(如路由器)。本申请实施例中,AP可以为支持802.11be制式的设备,或者也可以为支持802.11ax、802.11ay、802.11ac、802.11n、802.11g、802.11b、802.11a以及802.11be下一代等802.11系列的多种WLAN制式的设备。
STA可以为无线通讯芯片、无线传感器或无线通信终端等,也可称为用户。例如,STA可以为支持Wi-Fi通讯功能的移动电话、支持Wi-Fi通讯功能的平板电脑、支持Wi-Fi通讯功能的机顶盒、支持Wi-Fi通讯功能的智能电视、支持Wi-Fi通讯功能的智能可穿戴设备、支持Wi-Fi通讯功能的车载通信设备和支持Wi-Fi通讯功能的计算机等等。可选地,STA可以支持802.11be制式,或者也可以支持802.11ax、802.11ay、802.11ac、802.11n、802.11g、802.11b、802.11a、802.11be下一代等802.11系列的多种WLAN制式。
可以理解的是,图1中所示意的AP和STA的数量仅是举例,还可以更多或者更少。
图1中所涉及的AP和STA可以为具有双模通信功能的通信装置,也就是具有低频(low frequency,LF)频段(或信道或链路)通信模式,和高频(highfrequency,HF)频段通信模式的通信装置。其中,低频频段比如包括sub 1吉赫兹(GHz)、2.4GHz、5GHz以及6GHz等,高频频段比如包括45GHz以及60GHz等。
本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
目前,STA接入AP的关联入网流程依次包括三个阶段:认证阶段,关联阶段,以及基于局域网的扩展认证协议(extensible authentication protocol over LAN,EAPOL)四步握手阶段。其中,认证阶段也可以称为链路认证阶段,本申请涉及到的认证机制可以为开放系统认证;关联阶段实现链路服务协商,协商内容包括:STA支持的速率、信道等信息;EAPOL四次握手阶段主要是为了确定出STA与AP之间用于后续数据加密的密钥。
本申请提供一种网络连接方法,可以提高STA接入AP的关联入网流程的安全性,从而提高网络的安全性,避免STA在关联入网过程中用户信息泄露或被拒绝服务。
下面结合具体实施例对本申请实施例提供的方法进行详细描述。在具体实施例中,将以本申请实施例所提供的方法应用于图1所示的网络架构为例。另外,该方法可由两个通信装置执行,这两个通信装置例如为图1中的STA和AP。其中,AP也可以替换为能够支持AP实现该方法所需的功能的通信装置,当然还可以是其他通信装置,例如芯片或芯片系统。STA也可以替换为能够支持STA实现该方法所需的功能的通信装置,当然还可以是其他通信装置,例如芯片或芯片系统。为了便于介绍,在下文中,以AP和STA之间的交互为例进行描述。
图2为本申请实施例提供的一种网络连接方法所对应的流程示意图。该流程之前,STA没有接入AP,即STA与AP之间没有网络连接。STA可以获取AP的服务集标识(service setidentifier,SSID)以及接入密码,该接入密码也可以称为SSID密码。STA如何获取SSID以及接入密码,本申请并不限定,例如,AP可以广播其建立的WLAN对应的SSID,用户可以在AP中输入相应的接入密码。该流程可以包括:
S201:STA生成第一消息。
其中,第一消息采用第一密码加密。
本申请中,SAT生成第一消息之前,STA和AP之间可以预先协商第一密码。
一种实现方式中,第一密码为AP的接入密码。例如,在该实现方式中,用户可以获得AP的接入密码,并将AP的接入密码输入至STA中,STA和AP之间从而能够获得相同的第一密码。
另一种实现方式中,STA和AP之间采用相同的方法生成第一密码,STA和AP之间从而能够获得相同的第一密码。
具体的,第一密码根据AP的接入密码和动态因子确定。举例来说,STA和AP之间可以预先约定相同的动态密码生成算法,其中,动态密码生成算法的具体类型并不限定,例如动态密码生成算法可以为基于事件计数的一次性密码生成算法,或者基于时间的一次性密码生成算法等。STA和AP分别将AP的接入密码和动态因子作为动态密码生成算法的输入参数时,动态密码生成算法输出的密码作为第一密码。
通过使用动态密码生成算法生成第一密码,可以使得第一密码随着动态因子的变化而不断变化,从而进一步提高STA在关联入网流程中发送的消息的安全性,提高网络连接的安全性。
在该实现方式中,AP可以通过广播消息指示AP支持的动态密码生成算法以及动态因子,STA从而可以确定生成第一密码的动态因子,以及相应的动态密码生成算法。可选地,为了保证安全性,该广播消息是通过约定密码加密的,例如通过AP的接入密码加密。
在该实现方式中,STA还可以下载密钥证书,该密钥证书中指示了生成第一密码的动态因子以及动态密码生成算法。其中,密钥证书的下载地址可以是AP指示的,也可以是预先约定的。可选地,为了保证安全性,STA在下载密钥证书之前,可以对STA的身份进行验证,只有身份验证通过的STA才能够下载密钥证书。具体身份验证过程,本申请对此并不限定,在此不再赘述。
本申请中,动态因子可以是时间信息,例如该动态因子可以是系统时间;动态因子也可以是随机序列,该随机序列也可以是AP和STA按照约定的算法各自独立生成的,该随机序列也可以是AP生成后指示给STA的,该随机序列也可以是STA生成后指示给AP的。以上只是示例,该动态因子也可以是SAT和AP都能够获取到的信息,本申请对此并不限定。
本申请中,动态因子对应一个更新周期,该周期的时长可以根据实际情况设置。每个周期内,动态因子保持不变,根据该动态因子生成的第一密钥在该周期内也保持不变。如果动态因子发生改变,那么根据该动态因子生成的第一密钥也发生改变。
假如STA1和STA2在同一个周期内接入AP,即在同一个周期内启动接入AP的关联入网流程,那么STA1和STA2获得的动态因子是相同的,从而计算出的第一密码也是相同的。STA1和STA2在关联入网流程中,采用相同的密码对消息进行加密。
假如STA1和STA2在不同周期内接入AP,例如STA1在第一周期内启动接入AP的关联入网流程,STA2在第二周期内启动接入AP的关联入网流程,那么STA1和STA2获得的动态因子是不同的,即时STA1和STA2采用相同的动态密码生成算法,计算出的第一密码也是不同的。STA1和STA2在关联入网流程中,采用不同的密码对消息进行加密。
本申请中,第一消息为STA接入AP的关联入网流程中的消息。也就是说,STA当前还没有接入AP,当用户通过在STA中输入AP的接入密码,触发启动接入AP的关联入网流程时,SAT可以生成第一消息。
关联入网流程包括三个阶段:认证阶段,关联阶段,以及EAPOL四步握手阶段。第一消息可以为上述三个阶段中的至少一个阶段中,STA向AP发送的消息。具体的,第一消息为以下一项或多项消息:
认证阶段的认证请求(authentication request)消息;
关联阶段的关联请求(association request)消息;
EAPOL四步握手阶段中的消息2;
EAPOL四步握手阶段中的消息4。
由于目前关联入网流程中的消息的内容和长度是固定的,本申请中,STA还可以对第一消息进行加盐操作,即在第一消息中添加供应商信息元素(vendor informationelement)字段,使得第一消息的长度发生改变,避免被攻击者通过消息的长度猜测出第一消息的类型以及内容等信息,从而进一步提高网络的安全性。
举例来说,假如第一消息为认证请求消息,经过加盐后的认证请求消息的结构可以如图3所示。图3中,认证请求消息包括媒体接入控制(medium access control,MAC)头(header)字段、认证算法(authentication algorithm)字段、认证序号(authenticationsequence)字段、状态码(status code)字段以及供应商信息元素字段。
其中,认证请求消息中除了供应商信息元素字段之外的字段的具体内容和含义,可以参考802.11系列中的描述,本申请对此并不限定。供应商信息元素字段为本申请在认证请求消息中新增加的字段,供应商信息元素字段可以包括元素标识(elementidentification,EID)、长度(length,len)、组织唯一标志符(organizationally uniqueidentifier,OUI)以及数据(data)。其中,EID的取值并不限定,例如可以为221;len表示OUI以及数据的总长度;数据的具体内容,本申请并不限定。
举例来说,假如第一消息为关联请求消息,经过加盐后的关联请求消息的结构可以如图4所示。图4中,关联请求消息除了包括MAC头字段、能力信息(capability info)字段、聆听间隔(listen interval)字段等字段之外,还包括新增加供应商信息元素字段。
其中,关联请求消息中除了供应商信息元素字段之外的字段的具体内容和含义,可以参考802.11系列中的描述,本申请对此并不限定。
S202:STA向AP发送第一消息;相应的,AP接收来自STA的第一消息。
STA发送第一消息的具体过程,本申请对此并不限定,在此不再赘述。
S203:AP采用第一密码对第一消息进行解密。
AP如何确定第一密码,可以参考前面的描述方式,在此不再赘述。
S204:AP向STA发送第二消息;相应的,STA接收来自AP的第二消息。
其中,第二消息采用第一密码加密。相应的,STA接收到第二消息时,采用第一密码解密第二消息。
本申请中,第二消息为STA接入AP的关联入网流程中的消息。举例来说,第二消息为以下一项或多项消息:
认证阶段的认证响应(authentication response)消息;
关联阶段的关联响应(association response)消息;
EAPOL四步握手阶段中的消息1;
EAPOL四步握手阶段中的消息3。
本申请中,AP也可以对第二消息进行加盐操作,即在第二消息中添加供应商信息元素字段,使得第二消息的长度发生改变,避免被攻击者通过消息的长度猜测出第二消息的类型以及内容等信息,从而进一步提高网络的安全性。
举例来说,假如第二消息为关联响应消息,经过加盐后的关联响应消息的结构可以如图5所示。图5中,关联响应消息除了包括MAC头字段、能力信息(capability info)字段、状态码字段等字段之外,还包括供应商信息元素字段。
其中,关联响应消息中除了供应商信息元素字段之外的字段的具体内容和含义,可以参考802.11系列中的描述,本申请对此并不限定。
通过上面的方法,在STA接入AP的关联入网流程中的消息采用第一密码进行加密,可以提高关联入网的安全性,避免STA在关联入网过程中用户信息泄露或被拒绝服务。
结合前面的描述,下面通过一个具体的实施例描述前面的过程。
如图6所示,为本申请实施例提供的一种网络连接方法流程示意图。
图6所示的流程之前,AP和STA之间约定采用相同的动态密码生成算法生成第一密码。动态密码生成算法的输入参数为AP的接入密码和动态因子,动态因子为时间信息。
当用户通过在STA中输入AP的接入密码触发启动接入AP的关联入网流程时,包括以下流程。
S601:STA向AP发送认证请求消息,该认证请求消息采用第一密码加密,且认证请求消息包括供应商信息元素字段。
S602:AP向STA发送认证响应消息,该认证请求消息采用第一密码加密,且认证请求消息包括供应商信息元素字段。
S601和S602为认证阶段的消息,通过S601和S602,AP对STA完成认证。该认证阶段的认证机制可以是指开发系统认证。
S603:STA向AP发送关联请求消息,该关联请求消息采用第一密码加密,且关联请求消息包括供应商信息元素字段。
其中,该关联请求消息中可以携带STA自身的各种参数以及根据服务配置选择的各种参数,例如STA支持的速率、支持的信道、支持的服务质量(quality of service,QoS)的能力等。
S604:AP向STA发送关联响应消息,该关联请求消息采用第一密码加密,且关联请求消息包括供应商信息元素字段。
S603和S604为关联阶段的消息,通过S601和S602,AP和STA实现链路服务协商,协商内容包括:STA支持的速率、信道以及QoS等信息。
S605:AP向STA发送EAPOL四步握手阶段中的消息1,该消息1采用第一密码加密。
可选地,该消息1包括供应商信息元素字段。
S606:STA向AP发送EAPOL四步握手阶段中的消息2,该消息2采用第一密码加密。
可选地,该消息2包括供应商信息元素字段。
S607:AP向STA发送EAPOL四步握手阶段中的消息3,该消息3采用第一密码加密。
可选地,该消息3包括供应商信息元素字段。
S608:STA向AP发送EAPOL四步握手阶段中的消息4,该消息4采用第一密码加密。
可选地,该消息4包括供应商信息元素字段。
通过S605至S608,AP和STA实现EAPOL四步握手,并确定出STA与AP之间用于后续数据加密的密钥。
通过上述过程,STA实现接入AP,STA从而可以通过AP与其它设备进行通信。
上述主要从通信装置交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,为了实现上述功能,STA和AP可以包括执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请的实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对STA和AP进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
与上述构思相同,如图7所示,本申请实施例还提供一种通信装置700用于实现上述方法中接入网设备或核心网设备或终端设备的功能。例如,该装置可以为软件模块或者芯片系统。本申请实施例中,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。该通信装置700可以包括:处理单元701和通信单元702。
本申请实施例中,通信单元也可以称为收发单元,可以包括发送单元和/或接收单元,分别用于执行上文方法实施例中接入网设备或核心网设备或终端设备执行的发送和接收的步骤。
以下,结合图7至图8详细说明本申请实施例提供的通信装置。应理解,装置实施例的描述与方法实施例的描述相互对应,因此,未详细描述的内容可以参见上文方法实施例,为了简洁,这里不再赘述。
通信单元也可以称为收发器、收发机、收发装置等。处理单元也可以称为处理器,处理单板,处理模块、处理装置等。可选的,可以将通信单元702中用于实现接收功能的器件视为接收单元,将通信单元702中用于实现发送功能的器件视为发送单元,即通信单元702包括接收单元和发送单元。通信单元有时也可以称为收发机、收发器、或收发电路等。接收单元有时也可以称为接收机、接收器、或接收电路等。发送单元有时也可以称为发射机、发射器或者发射电路等。
一种实现方式中,通信装置700可以执行以下功能:
处理单元,用于生成第一消息,第一消息采用第一密码加密,第一消息为站点接入接入点的关联入网流程中的消息;
通信单元,用于向接入点发送第一消息。
一种可能的实现方式中,第一密码根据接入点的接入密码和动态因子确定;
或者,第一密码为接入点的接入密码。
一种可能的实现方式中,处理单元具体用于:
将接入点的接入密码和动态因子作为动态密码生成算法的输入参数时,动态密码生成算法输出的密码作为第一密码。
一种可能的实现方式中,动态因子为时间信息或随机序列。
一种可能的实现方式中,第一消息为以下一项或多项消息:
认证阶段的认证请求消息;
关联阶段的关联请求消息;
基于局域网的扩展认证协议EAPOL四步握手阶段中的消息2;
EAPOL四步握手阶段中的消息4。
一种可能的实现方式中,第一消息包括供应商信息元素字段。
一种可能的实现方式中,通信单元还用于:
接收来自接入点第二消息,第二消息采用第一密码加密,第二消息为站点接入接入点的关联入网流程中的消息。
一种可能的实现方式中,第二消息为以下一项或多项消息:
认证阶段的认证响应消息;
关联阶段的关联响应消息;
EAPOL四步握手阶段中的消息1;
EAPOL四步握手阶段中的消息3。
一种可能的实现方式中,第二消息包括供应商信息元素字段。
一种实现方式中,通信装置700可以执行以下功能:
通信单元,用于接收来自站点的第一消息,第一消息为站点接入接入点的关联入网流程中的消息;
处理单元,用于采用第一密码对第一消息进行解密。
一种可能的实现方式中,第一密码根据接入点的接入密码和动态因子确定;
或者,第一密码为接入点的接入密码。
一种可能的实现方式中,处理单元具体用于:
将接入点的接入密码和动态因子作为动态密码生成算法的输入参数时,动态密码生成算法输出的密码作为第一密码。
一种可能的实现方式中,动态因子为时间信息或随机序列。
一种可能的实现方式中,第一消息为以下一项或多项消息:
认证阶段的认证请求消息;
关联阶段的关联请求消息;
基于局域网的扩展认证协议EAPOL四步握手阶段中的消息2;
EAPOL四步握手阶段中的消息4。
一种可能的实现方式中,第一消息包括供应商信息元素字段。
一种可能的实现方式中,该通信单元还用于:
向站点发送第二消息,第二消息采用第一密码加密,第二消息为站点接入接入点的关联入网流程中的消息。
一种可能的实现方式中,第二消息为以下一项或多项消息:
认证阶段的认证响应消息;
关联阶段的关联响应消息;
EAPOL四步握手阶段中的消息1;
EAPOL四步握手阶段中的消息3。
一种可能的实现方式中,第二消息包括供应商信息元素字段。
以上只是示例,处理单元701和通信单元702还可以执行其他功能,更详细的描述可以参考前面所示的方法实施例中相关描述,这里不加赘述。
如图8所示为本申请实施例提供的通信装置800,图8所示的装置可以为图7所示的装置的一种硬件电路的实现方式。该通信装置可适用于前面所示出的流程图中,执行上述方法实施例中接入网设备或核心网设备或终端设备的功能。为了便于说明,图8仅示出了该通信装置的主要部件。
如图8所示,通信装置800包括处理器810和接口电路820。处理器810和接口电路820之间相互耦合。可以理解的是,接口电路820可以为收发器或输入输出接口。可选的,通信装置800还可以包括存储器830,用于存储处理器810执行的指令或存储处理器810运行指令所需要的输入数据或存储处理器810运行指令后产生的数据。
当通信装置800用于实现前面所示的方法时,处理器810用于实现上述处理单元701的功能,接口电路820用于实现上述通信单元702的功能。
当上述通信装置为应用于接入网设备的芯片时,该接入网设备的芯片实现上述方法实施例中接入网设备的功能。该接入网设备芯片从终端设备中的其它模块(如射频模块或天线)接收信息;或者,该接入网设备的芯片向接入网设备中的其它模块(如射频模块或天线)发送信息。
当上述通信装置为应用于核心网设备的芯片时,该核心网设备的芯片实现上述方法实施例中核心网设备的功能。该核心网设备的芯片从核心网设备中的其它模块(如射频模块或天线)接收信息;或者,该核心网设备的芯片向核心网设备中的其它模块(如射频模块或天线)发送信息。
可以理解的是,本申请的实施例中的处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其它通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其它可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。通用处理器可以是微处理器,也可以是任何常规的处理器。
本申请的实施例中处理器可以是随机存取存储器(Random Access Memory,RAM)、闪存、只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于网络设备或终端设备中。处理器和存储介质也可以作为分立组件存在于网络设备或终端设备中。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (21)
1.一种网络连接方法,其特征在于,包括:
站点生成第一消息,所述第一消息采用第一密码加密,所述第一消息为所述站点接入接入点的关联入网流程中的消息;
所述站点向所述接入点发送所述第一消息。
2.根据权利要求1所述的方法,其特征在于,所述第一密码根据所述接入点的接入密码和动态因子确定;
或者,所述第一密码为所述接入点的接入密码。
3.根据权利要求2所述的方法,其特征在于,所述动态因子为时间信息或随机序列。
4.根据权利要求1至3任一所述的方法,其特征在于,所述第一消息为以下一项或多项消息:
认证阶段的认证请求消息;
关联阶段的关联请求消息;
基于局域网的扩展认证协议EAPOL四步握手阶段中的消息2;
所述EAPOL四步握手阶段中的消息4。
5.根据权利要求1至4任一所述的方法,其特征在于,所述第一消息包括供应商信息元素字段。
6.根据权利要求1至5任一所述的方法,其特征在于,所述方法还包括:
所述站点接收来自所述接入点第二消息,所述第二消息采用所述第一密码加密,所述第二消息为所述站点接入所述接入点的关联入网流程中的消息。
7.根据权利要求6所述的方法,其特征在于,所述第二消息为以下一项或多项消息:
认证阶段的认证响应消息;
关联阶段的关联响应消息;
EAPOL四步握手阶段中的消息1;
所述EAPOL四步握手阶段中的消息3。
8.根据权利要求6或7所述的方法,其特征在于,所述第二消息包括供应商信息元素字段。
9.一种网络连接方法,其特征在于,包括:
接入点接收来自所述站点的第一消息,所述第一消息为所述站点接入接入点的关联入网流程中的消息;
所述接入点采用所述第一密码对所述第一消息进行解密。
10.根据权利要求9所述的方法,其特征在于,所述第一密码根据所述接入点的接入密码和动态因子确定;
或者,所述第一密码为所述接入点的接入密码。
11.根据权利要求10所述的方法,其特征在于,所述动态因子为时间信息或随机序列。
12.根据权利要求9至11任一所述的方法,其特征在于,所述第一消息为以下一项或多项消息:
认证阶段的认证请求消息;
关联阶段的关联请求消息;
基于局域网的扩展认证协议EAPOL四步握手阶段中的消息2;
所述EAPOL四步握手阶段中的消息4。
13.根据权利要求9至12任一所述的方法,其特征在于,所述第一消息包括供应商信息元素字段。
14.根据权利要求9至13任一所述的方法,其特征在于,所述方法还包括:
所述接入点向所述站点发送第二消息,所述第二消息采用所述第一密码加密,所述第二消息为所述站点接入接入点的关联入网流程中的消息。
15.根据权利要求14所述的方法,其特征在于,所述第二消息为以下一项或多项消息:
认证阶段的认证响应消息;
关联阶段的关联响应消息;
EAPOL四步握手阶段中的消息1;
所述EAPOL四步握手阶段中的消息3。
16.根据权利要求14或15所述的方法,其特征在于,所述第二消息包括供应商信息元素字段。
17.一种通信装置,其特征在于,包括:
处理单元,用于生成第一消息,所述第一消息采用第一密码加密,所述第一消息为所述站点接入接入点的关联入网流程中的消息;
通信单元,用于向所述接入点发送所述第一消息。
18.一种通信装置,其特征在于,包括:
通信单元,用于接收来自所述站点的第一消息,所述第一消息为所述站点接入接入点的关联入网流程中的消息;
处理单元,用于采用所述第一密码对所述第一消息进行解密。
19.一种通信装置,其特征在于,包括处理器,所述处理器和存储器耦合,所述存储器中存储有计算机程序;所述处理器用于调用所述存储器中的计算机程序,使得所述通信装置执行如权利要求1至8中任一项所述的方法或者如权利要求9至16中任一项所述的方法。
20.一种计算机可读存储介质,其特征在于,所述存储介质中存储有计算机程序或指令,当所述计算机程序或指令被计算机执行时,实现如权利要求1至8中任一项所述的方法或者如权利要求9至16中任一项所述的方法。
21.一种计算机程序产品,其特征在于,当计算机读取并执行所述计算机程序产品时,使得计算机执行如权利要求1至8中任一项所述的方法或者如权利要求9至16中任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211331696.7A CN117956449A (zh) | 2022-10-28 | 2022-10-28 | 一种网络连接方法及装置 |
PCT/CN2023/125609 WO2024088165A1 (zh) | 2022-10-28 | 2023-10-20 | 一种网络连接方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211331696.7A CN117956449A (zh) | 2022-10-28 | 2022-10-28 | 一种网络连接方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117956449A true CN117956449A (zh) | 2024-04-30 |
Family
ID=90800589
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211331696.7A Pending CN117956449A (zh) | 2022-10-28 | 2022-10-28 | 一种网络连接方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN117956449A (zh) |
WO (1) | WO2024088165A1 (zh) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101568107B (zh) * | 2008-04-22 | 2014-04-16 | 日电(中国)有限公司 | 票据分发装置、快速认证装置、接入点及其方法 |
US9699654B2 (en) * | 2014-11-05 | 2017-07-04 | Qualcomm Incorporated | Authenticating messages in a wireless communication |
US20220167256A1 (en) * | 2020-11-20 | 2022-05-26 | Apple Inc. | MLD Privacy and Operation Enhancements |
EP4278705A1 (en) * | 2021-01-20 | 2023-11-22 | Huawei Technologies Co., Ltd. | Device and method for multi-link transmissions |
-
2022
- 2022-10-28 CN CN202211331696.7A patent/CN117956449A/zh active Pending
-
2023
- 2023-10-20 WO PCT/CN2023/125609 patent/WO2024088165A1/zh unknown
Also Published As
Publication number | Publication date |
---|---|
WO2024088165A1 (zh) | 2024-05-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11129009B2 (en) | Method and apparatus for providing secure communication in a self-organizing network | |
US9655012B2 (en) | Deriving a WLAN security context from a WWAN security context | |
US20180278625A1 (en) | Exchanging message authentication codes for additional security in a communication system | |
EP3516819B1 (en) | Next generation key set identifier | |
US20180184428A1 (en) | Associating and securitizing distributed multi-band link aggregation devices | |
US11812257B2 (en) | Multi-link wireless communication security | |
US20070190973A1 (en) | Base station, wireless communication systems, base station control programs and base station control methods | |
US20160366707A1 (en) | Apparatus, system and method of securing communications of a user equipment (ue) in a wireless local area network | |
US11622272B2 (en) | Restricted access procedure | |
US20160183313A1 (en) | MECHANISM TO SELECT APPROPRIATE S2a CONNECTIVITY MODE FOR TRUSTED WLAN | |
CN112292907B (zh) | 数据传输方法、装置、设备及存储介质 | |
US20160366124A1 (en) | Configuration and authentication of wireless devices | |
KR20180003628A (ko) | Ap에 접속된 sta에 대한 재연관 시간 감소 | |
CN108353269A (zh) | Wlan中的订户简档预配置 | |
EP3119118A2 (en) | Device and method of handling cellular-wireless local area network aggregation | |
CN117956449A (zh) | 一种网络连接方法及装置 | |
CN111526514B (zh) | 多频段通信的方法和装置 | |
US20160286390A1 (en) | Flexible and secure network management | |
US11997482B2 (en) | Association protection for wireless networks | |
CN106358187B (zh) | 处理认证程序的装置及方法 | |
CN118042557A (zh) | 一种网络连接方法及装置 | |
CN118575444A (zh) | 用于基于邻近的服务的用户设备到网络中继安全性 | |
KR20230014769A (ko) | 통신 장치, 통신 방법 및 기억 매체 | |
CN115209352A (zh) | 无线通信方法及设备 | |
JP2024507125A (ja) | スタンドアロン型の非パブリックネットワークにアクセスするための構成情報を提供すること |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |