WO2013104301A1

WO2013104301A1 - 发送消息的方法、建立安全连接的方法、接入点和工作站

Info

Publication number: WO2013104301A1
Application number: PCT/CN2013/070242
Authority: WO
Inventors: 朱李
Original assignee: 中兴通讯股份有限公司
Priority date: 2012-01-09
Filing date: 2013-01-09
Publication date: 2013-07-18
Also published as: CN103200004B; CN103200004A

Abstract

一种发送消息的方法、建立安全连接的方法、接入点和工作站，其中，发送消息的方法包括：接入点（AP）生成成对临时密钥（PTK）和/或校验消息完整性编码（MIC）；所述AP向工作站（STA）发送关联答复消息并和动态主机配置协议（DHCP）服务器进行DHCP过程；或者，仅向所述STA发送包含IP地址的关联答复消息。上述发送消息的方法、建立安全连接的方法、接入点和工作站，可以加快STA建立安全链路的速度，减少终端初始接入WLAN网络的时延；特别是对于大量用户需要在极短时间内接入WLAN网络的场景，性能有极大的提升，很好地改善了用户体验。

Description

发送消息的方法、建立安全连接的方法、接入点和工作站

技术领域

本发明涉及通信领域，尤其涉及一种发送消息的方法、建立安全连接的方法、接入点和工作站。背景技术

美国电气电子工程师学会（IEEE ) 802.11是第一代无线局域网（Wireless Local Area Networks, 即 WLAN )标准之一。该标准定义了物理层和媒体访问控制 (MAC)协议的规范，允许无线局域网及无线设备制造商在一定范围内建立互操作网络设备。经过二十年的发展， IEEE 802.11 WLAN标准工作组发展完善了一系列标准家族，其中具有较大影响力以及应用较为广泛的是 802.11a, 802.11b, 802. l lg, 802.11η等标准。

与 IEEE 802.11相对应的无线保真（Wi-Fi )联盟是 1999年成立的非营利性国际组织，用来检验以 IEEE 802.11规格为基础的 WLAN产品的互操作性。 Wi-Fi联盟成员的目标是通过产品的互操作性来提高使用者的经验。

如图 1所示，一个 IEEE 802.11网络包括：工作站（Station, STA )和无线接入点（ Access Point, AP )。其中， STA是任何具备 IEEE 802.11的 MAC 层和物理（PHY )层接口的设备，通常由一台 PC机或笔记本计算机加上一块无线网卡构成，此外无线的终端还可以是非计算机终端上的能提供无线连接的嵌入式设备（例如具备 WLAN功能的智能终端）。 AP可以看成是一个无线的 Hub, 用于提供 STA和现有骨干网络（有线或无线的）之间的桥接。一个 AP 和在其覆盖范围的一个或多个 STA组成一个基本服务集（Basic Service Set,即 BSS )。 BSS通过基本服务集标识（ BSSID )来进行唯一标识， BSSID即是 AP的 MAC地址。终端在一个 BSS内可以互相通信。釆用相同的服务集标识（SSID )的多个 BSS形成的更大规模的虚拟 BSS, 则定义为扩展服务集（Extended Service Set, 即 ESS ) 。终端在同一 ESS内可以通信并且可以在下属的多个 BSS间移动。在 ESS内连接多个 BSS的网络以及有线网络称为分布式系统（Distribution System, 即 DS ) 。 DS可以釆用无线或有线技术，通常釆用以太网技术。

为了完成认证以及 IP 地址分配功能， WLAN 网络还包括认证服务器 ( Authentication Server , AS ) 和动态主机西己置协议 ( Dynamic Host Configuration protocol Server, DHCP )服务器，如图 2所示。 AS是为 STA 提供认证服务的实体，仅有通过认证的 STA才能被授权接入 802.11 网络。 AS也可以嵌入在 AP中。 DHCP服务器则为 STA分配 IP地址。 STA通过该 WLAN网络可以接入 Internet„

如图 3所示，为 IEEE 802. l li所引入的安全的密钥体系架构，其中，成对主密钥（ Pairwise Master Key, PMK )是 STA和 AS在扩展认证协议（ EAP ) 认证过程中各自生成的密钥，长度为 256位。成对临时密钥（ Pair Transient Key, PTK )是 STA和 AP分别根据 PMK, 以及 STA生成的随机数（ SNonce )和 AP生成的随机数（ANonce ) , 各自推导出的密钥。 PTK的低 128位为密钥确认密钥（Key Confirmation Key, KCK ) , 中间 128位为密钥加密密钥（Key Encryption Key, KEK ) ,剩下的高位 MSB为临时密钥（ Temporal Key, TK )。其中， KCK用于为 4次握手过程和组密钥握手过程中的基于局域网的扩展认证协议（ EAP Over LAN, EAPOL ) -密钥（ KEY )消息提供数据源认证； KEK 用于为 4次握手和组密钥握手的 EAPOL-KEY消息提供机密性保护； TK用于保护 STA和 AP之间的数据报文的传输。

此外， IEEE 802.11还定义了组临时密钥（ GTK ) 。 GTK是 AP生成的一个随机数，在组密钥握手过程中，ΑΡ将 GTK用 ΚΕΚ加密后，传输给 STA。

如图 4所示，为现有技术中一种 STA初始接入 IEEE 802.11网络时带有 IP地址分配的安全建立连接的流程图，具体步骤如下：

步骤 401-402、 STA与网络完成关联之前的相关程序；这包括被略过的在步骤 401之前的被动扫描（ Beacon )或主动扫描 ( Probe Request/Response ) 过程； STA发送携带了 EAP响应（ EAP_Response ) /ID的 Auth消息给 AP; AP将 AAA EAP-Response/ID消息转发给 AS;

步骤 403-409、此过程为 EAP算法特定的认证过程，包括以下步骤：

AS向 AP发送 AAA EAP请求（ EAP-Request ) 消息； AP生成随机数 ANonce, 并将其携带于 EAPoL-Key消息中； AP向 STA 发送 Auth消息，此消息中包含了 EAP— Request消息和 /或 EAPoL-Key消息；

STA收到 Auth消息后，可能需要和 AS进行多步的交互过程继续 EAP 认证；此后 STA生成随机数 SNonce,并生成 MSK、PMK,根据 PMK和 SNone 和 ANonce生成 PTK, 根据 PTK生成 KCK和 KEK;

STA 向 AP 发送关联请求消息，此消息中包含了 EAP— Response , DHCP-Discover w/Rapid Commit, EAPoL-Key消息以及被 KCK保护的全部 MAC服务数据单元（MSDU )的消息完整性编码（MIC )。其中 EAPoL-Key 消息包含了 ST A生成的随机数 SNonce。 DHCP相关消息可以用 KEK进行加密保护。整个关联请求消息用 KCK进行完整性保护，并携带计算的 MIC值；

AP緩存 MSDU MIC和加密的 DHPC Discover消息；

AP向 AS发送 AAA EAP-Response消息 , 继续进行 EAP认证；步骤 410、 EAP认证成功完成， AS生成 MSK和 /或 PMK;

步骤 411、 AS向 AP发送 AAA EAP成功（ EAP-Success )消息，该消息中携带 PMK;

步骤 412、 AP根据收到的 PMK、 SNonce和 ANonde生成 PTK, 并根据 PTK生成 KCK和 KEK; AP使用生成的 KCK校验 MSDU MIC。如果险证成功 , AP使用生成的 KEK解密 DHCP-Discover消息；

步骤 413、 AP向 DHCP服务器发送有快速分配的 DHCP发现或没有快速分配的 DHCP发现（ DHCP-Discover w/Rapid Commit ) 消息；

步骤 414、 DHCP服务器为 STA分配 IP地址，向 AP发送 DHCP-Ack w/Rapid Commit消息来完成 DHCP程序；

步骤 415、 AP向 STA发送关联答复消息，此消息包含了 AP为 STA分配的关联标识（ Association Identifier, AID ) , EAP— Success , DHCP-Ack w/Rapid Commit消息， EAPoL-Key消息， KCK保护的全部 MSDU的 MIC。该消息使用 KCK进行完整性保护。其中， EAPoL-Key消息包含了 GTK和 IGTK ( Integrity Group Temporal Key, 完整性组临时密钥）；

步骤 416、 STA校验关联答复消息的 MIC ,如果校验成功， STA安装 PTK, GTK和 IGTK;

步骤 417、 AP安装 PTK。至此 STA与 AP之间的安全连接建立完成。在上述安全连接建立的过程中，步骤 415中的关联答复消息需在 AP收到 DHCP服务器发送的 DHCP-Ack w/Rapid Commit后才会发送给 STA。 STA 收到该关联答复消息后，才能根据该消息中携带的内容，进入已认证已关联的状态，状态机进入全 EAP上下文的状态。但在 DHCP服务器进行 IP地址分配的过程中可能会有一定的延时（AP在合理的时间段过了之后仍未收到 DHCPACK时才会发送消息知会 STA此问题，然后再釆用合适的默认方式来开始网络程序，比如重新发送 DHCP请求等）， STA在 DHCP程序没有完成之前无法收到关联答复消息。如果因为某些原因， DHCP服务器为 STA分配 IP地址的时间比较长， STA处的定时器到期后 STA还未收到 AP发送的关联答复消息。这将导致 STA无法判断此安全建立的过程中何处出现问题，不利于 STA中状态机的控制， STA也无法及时获知 EAP认证是否成功，并在 EAP 认证失败时会导致 STA不能再次快速发起 EAP认证。上述问题在 STA与网络之间进行包含 IP地址分配的 EAP重新认证时同样存在， EAP重新认证包含了 EAP-RP等各种 EAP相关的重新认证协议。因 DHCP程序导致的安全建立过程的延时会大大降低 STA建立安全连接及初始入网的速度，影响用户体验。

移动用户不断地进入或离开一个 ESS的覆盖区域。当移动设备初始进入一个 ESS时，移动设备必须进行如图 4所示的 STA初始入网建立初始链路的过程。而在该初始链路建立的过程中，如果大量用户同时在较短时间内需要接入 WLAN网络时（例如在飞机场，大量用户下了飞机后需要连接 WLAN 网络获取相关的交通信息），入网时延较长的问题会更严重。

为了解决移动用户的入网延迟问题， IEEE 802.i l 已经成立了 802.11ai 工作组，旨在不降低原 802.11 网络健壮安全网络关联（Robust Security Network Association, RSNA )安全级别的前提下，解决移动设备能够快速建立初始链路的问题。作为移动设备快速建立安全链路程序的一部分， DHCP 相关的入网延时也需要被解决来实现移动设备与网络之间链路的快速建立。

综上所述，由安全建立过程中 DHCP程序导致的入网延迟问题需要被解决来加快移动用户入网速度以及改善用户体验。

发明内容

本发明实施例提供了一种发送消息的方法、建立安全连接的方法、接入点和工作站，以解决 DHCP导致的入网延迟问题。

本发明实施例提供了一种发送消息的方法，该方法包括：接入点（AP ) 生成成对临时密钥（PTK )和 /或校验消息完整性编码（MIC ) ；所述 AP向工作站（STA )发送关联答复消息并和动态主机配置协议（DHCP )服务器进行 DHCP过程；或者，仅向所述 STA发送包含 IP地址的关联答复消息。

优选地，所述关联答复消息包含以下参数之一或其任意组合：所述 AP 为所述 STA分配的关联标识（ AID )、扩展认证协议（ EAP )认证成功消息、基于局域网的扩展认证协议密钥（EAPoL-Key ) 消息和 MIC; 所述包含 IP 地址的关联答复消息还包含所述 AID、 EAP认证成功消息、 EAPoL-Key消息和 MIC; 其中， EAPoL-Key消息包含组临时密钥（GTK )和 /或完整性组临时密钥（IGTK ) 。

优选地，所述 AP和 DHCP服务器进行 DHCP的过程包括：

所述 AP向所述 DHCP服务器发送 DHCP过程请求消息。

优选地，所述 AP和 DHCP服务器进行 DHCP过程还包括：

所述 AP接收所述 DHCP服务器为所述 STA分配的 IP地址。

优选地，所述 DHCP过程包括 DHCPv4、 DHCPv6、邻居发现（ND )和无状态地址自动配置过程。

优选地，所述 AP向 STA发送关联答复消息包括：

所述 AP直接向所述 STA发送所述关联答复消息；或者

所述 AP中设置一定时器，该定时器在所述 AP向所述 DHCP服务器发送所述 DHCP过程请求消息后开始计时，如果该定时器到期，所述 AP还未收到所述 DHCP服务器返回的 DHCP过程答复消息，则所述 AP向所述 STA 发送所述关联答复消息；或者所述 AP中设置一定时器，该定时器在所述 AP向所述 DHCP服务器发送所述 DHCP过程请求消息后开始计时，如果该定时器未到期，所述 AP收到所述 DHCP服务器返回的 DHCP过程答复消息，则所述 AP向所述 STA 发送所述包含 IP地址的关联答复消息。

优选地，所述方法还包括：如果该定时器到期，所述 AP还未收到所述

DHCP服务器返回的 DHCP过程应答消息或 DHCP过程否定应答消息，则 AP向所述 STA发送消息，以便所述 STA重新进行 DHCP过程。

优选地，所述 AP和 DHCP服务器进行 DHCP过程之后，所述方法还包括：所述 AP在收到所述 DHCP服务器发送的 DHCP过程应答消息后，将所述 DHCP过程应答消息发送给所述 STA。

优选地，所述 DHCP过程应答消息携带于所述 AP向所述 STA发送的关联响应消息中。

本发明实施例提供了一种建立安全连接的方法，该方法包括：

工作站（STA )接收接入点（AP )发送的关联答复消息；所述 STA校验消息完整性编码（ MIC ),并根据校验结果选择重新进行扩展认证协议（ EAP ) 认证，或选择等待动态主机配置协议（DHCP )过程答复消息。

优选地，所述关联答复消息包含以下参数之一或其任意组合：所述 AP 为所述 STA分配的关联标识（AID ) 、 EAP认证成功消息、基于局域网的扩展认证协议密钥（ EAPoL-Key )消息和 MIC; 其中 , EAPoL-Key消息包含组临时密钥（GTK )和 /或完整性组临时密钥（IGTK ) 。

优选地，当所述关联答复消息为包含 IP地址的关联答复消息时，所述方法还包括：所述 STA校验 MIC,并在校验成功后安装成对临时密钥（PTK )、组临时密钥（GTK )和完整性组临时密钥（IGTK ) 。

优选地，所述 STA根据校验结果选择重新进行 ΕΑΡ认证，或选择等待动态主机配置协议（DHCP )过程答复消息，包括：所述 STA校验所述 MIC 失败后，重新进行 EAP认证或重新建立安全连接；或者所述 STA校验所述 MIC成功后，选择等待所述 AP返回的 DHCP过程答复消息。

优选地，所述选择等待所述 AP返回的 DHCP过程答复消息之后，所述方法还包括：所述 STA接收所述 AP返回的包含为 STA分配的 IP地址的 DHCP过程答复消息；或者

所述 STA接收所述 AP返回的未包含为 STA分配的 IP地址的 DHCP过程答复消息，所述 STA再次发起 DHCP过程；或者

所述 STA中设置定时器，该定时器在所述 STA收到所述关联答复消息后或者所述 STA校验所述 MIC成功后开始计时，如果所述定时器到期，所述 STA还未收到所述 AP返回的 DHCP过程答复消息，则所述 STA再次发起 DHCP过程。

优选地，所述 STA校验 MIC之后，所述方法还包括：所述 STA进入已认证已关联状态，所述 STA对应的状态机进入全 EAP上下文状态。

本发明实施例提供了一种发送消息的方法，该方法包括：

接入点（ AP )接收认证服务器（ AS )进行扩展认证协议（ EAP )认证失败后发送的 EAP认证失败消息；所述 AP向工作站（STA )发送关联答复消息，所述关联答复消息包含 EAP认证失败消息。

本发明实施例提供了一种建立安全连接的方法，所述方法包括：工作站

( STA )接收接入点（AP )发送的包含扩展认证协议（EAP )认证失败消息的关联答复消息；所述 STA重新进行 EAP认证或重新建立安全连接。

本发明实施例提供了一种接入点（AP ) , 该 AP包括：

生成校验模块，设置为：生成成对临时密钥（PTK )和 /或校验消息完整性编码（MIC ) ；

处理模块，设置为：向工作站（STA )发送关联答复消息并和动态主机配置协议（ DHCP )服务器进行 DHCP过程；或者，仅向所述 STA发送包含 IP地址的关联答复消息。

优选地，所述处理模块设置为：和 DHCP服务器进行 DHCP过程，向所述 DHCP服务器发送 DHCP过程请求消息。

优选地，所述处理模块，还设置为：接收所述 DHCP服务器为所述 STA 分配的 IP地址。

优选地，所述处理模块设置为：向 STA发送关联答复消息，

直接向所述 STA发送所述关联答复消息；或者

在所述 AP中设置一定时器，该定时器在所述处理模块向所述 DHCP服务器发送所述 DHCP过程请求消息后开始计时，如果该定时器到期，还未收到所述 DHCP服务器返回的 DHCP过程答复消息，则向所述 STA发送所述关联答复消息；或者

所述 AP中设置一定时器，该定时器在所述 AP向所述 DHCP服务器发送所述 DHCP过程请求消息后开始计时，如果该定时器未到期，所述 AP收到所述 DHCP服务器返回的 DHCP过程答复消息，则所述 AP向所述 STA 发送所述包含 IP地址的关联答复消息。

优选地，所述处理模块，还设置为：如果该定时器到期，还未收到所述 DHCP服务器返回的 DHCP过程应答消息或 DHCP过程否定应答消息，则向所述 STA发送消息，以便所述 STA重新进行 DHCP过程。

优选地，所述处理模块，还设置为：和 DHCP服务器进行 DHCP过程之后，若收到所述 DHCP服务器发送的 DHCP过程应答消息，则将所述 DHCP 过程应答消息直接发送或携带在关联响应消息中发送给所述 STA。

优选地，所述 AP还包括：

接收模块，设置为：接收认证服务器（AS )进行 EAP认证失败后发送的扩展认证协议（EAP )认证失败消息；

所述处理模块，设置为：向所述 STA发送包含 EAP认证失败消息的关联答复消息。

本发明实施例提供了一种工作站（STA ) , 该 STA包括：接收模块，设置为：接收接入点（AP )发送的关联答复消息；处理模块，设置为：校验所述关联答复消息中的消息完整性编码（ MIC ), 并根据校验结果选择重新进行扩展认证协议（EAP )认证，或选择等待动态主机配置协议（DHCP )过程答复消息。

优选地，所述关联答复消息包含所述 AP为所述 STA分配的关联标识

( AID )、EAP认证成功消息、基于局域网的扩展认证协议密钥（ EAPoL-Key ) 消息和 MIC; 其中， EAPoL-Key消息包含组临时密钥（GTK )和 /或完整性组临时密钥（IGTK ) 。

优选地，所述处理模块，还设置为：当所述关联答复消息为包含 IP地址的关联答复消息时，校验所述 MIC,并在校验成功后安装成对临时密钥（ PTK )、组临时密钥（GTK )和完整性组临时密钥（IGTK ) 。

优选地，所述处理模块，设置为：

校验所述 MIC失败后，重新进行 EAP认证或重新建立安全连接；或者校验所述 MIC成功后，选择等待所述 AP返回的 DHCP过程答复消息。优选地，所述处理模块，还设置为：

选择等待所述 AP返回的 DHCP过程答复消息之后，接收所述 AP返回的包含为 STA分配的 IP地址的 DHCP过程答复消息；或者

选择等待所述 AP返回的 DHCP过程答复消息之后，接收所述 AP返回的未包含为 STA分配的 IP地址的 DHCP过程答复消息，再次发起 DHCP过程；或者

选择等待所述 AP返回的 DHCP过程答复消息之后，在所述 STA中设置定时器，该定时器在所述 STA收到所述关联答复消息后或者所述 STA校验所述 MIC成功后开始计时，如果所述定时器到期，还未收到所述 AP返回的 DHCP过程答复消息，则再次发起 DHCP过程。

优选地，所述处理模块，还设置为：当所述关联答复消息包含 EAP认证失败消息时，重新进行 EAP认证或重新建立安全连接。

上述发送消息的方法、建立安全连接的方法、接入点和工作站，可以加快 STA建立安全链路的速度，减少终端初始接入 WLAN网络的时延；特别是对于大量用户需要在极短时间内接入 WLAN网络的场景，性能有极大的提升，很好地改善了用户体验。

附图概述

图 1为 IEEE 802.11网络的架构图；

图 2为 WLAN网络的架构图；

图 3为 IEEE 802. l li所引入的密钥体系架构图；

图 4为 STA初始接入 IEEE 802.11网络时带有 IP地址分配的安全建立连接的信令流程图；

图 5为本发明建立安全连接方法实施例一的信令流程图；

图 6为本发明建立安全连接方法实施例二的信令流程图；

图 7为本发明建立安全连接方法实施例三的信令流程图；

图 8为本发明建立安全连接方法实施例四的信令流程图；

图 9为本发明建立安全连接方法实施例五的信令流程图；

图 10为本发明建立安全连接方法实施例六的信令流程图；

图 11为本发明建立安全连接方法实施例七的信令流程图；

图 12为本发明建立安全连接方法实施例八的信令流程图；

图 13为本发明 AP实施例的结构示意图；

图 14为本发明 STA实施例的结构示意图。

本发明的较佳实施方式

下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

本发明实施例提供了一种发送消息的方法，该方法从 AP侧进行描述，该方法包括：

步骤 11、接入点（AP )生成成对临时密钥（PTK )和 /或校验消息完整性编码（MIC ) ；

步骤 12、所述 AP向工作站（STA )发送关联答复消息并和动态主机配置协议（ DHCP )服务器进行 DHCP过程；或者，仅向所述 STA发送包含 IP 地址的关联答复消息。

EAP认证成功消息、 EAPoL-Key消息和 MIC; 所述包含 IP地址的关联答复消息还包含所述 AID、 EAP 认证成功消息、 EAPoL-Key 消息和 MIC; EAPoL-Key消息包含组临时密钥（ GTK )和完整性组临时密钥（IGTK ) 。

上述方法是在 EAP认证成功后进行的，当 EAP认证失败后， AP侧执行的操作可以为：

接入点（ AP )接收 AS进行 EAP认证失败后发送的 EAP认证失败消息；所述 AP向工作站（STA )发送关联答复消息，所述关联答复消息包含 EAP认证失败消息。

上述发送消息的方法中，ΑΡ不需要在接收到 DHCP服务器发送的 DHCP 过程答复消息后就可以向 STA发送关联应答消息，从而可以加快 STA建立安全链路的速度，减少终端初始接入 WLAN网络的时延；特别是对于大量用户需要在极短时间内接入 WLAN网络的场景，性能有极大的提升，很好地改善了用户体验。本发明实施例还提供了一种建立安全连接的方法，该方法从 STA侧进行描述，该方法包括：

步骤 21、工作站（STA )接收接入点（AP )发送的关联答复消息；

EAP认证成功消息、 EAPoL-Key 消息和消息完整性编码 ( MIC ) ；其中， EAPoL-Key消息包含组临时密钥（ GTK )和完整性组临时密钥（IGTK ) 。

步骤 22、所述 STA校验消息完整性编码（MIC ) , 并根据校验结果选择重新进行 EAP认证，或选择等待动态主机配置协议（DHCP )过程答复消息。

当所述关联答复消息为包含 IP地址的关联答复消息时，所述方法还包括: 所述 STA校验 MIC, 并在校验成功后安装成对临时密钥（PTK )、组临时密钥（GTK )和完整性组临时密钥（IGTK ) 。

当所述关联答复消息包含 EAP认证失败消息时，所述方法还包括：所述 STA重新进行 EAP认证或重新建立安全连接。

上述建立安全连接的方法中， STA可以快速地收到 AP发送的关联答复消息，从而可以尽快地建立安全链路，减少终端初始接入 WLAN网络的时延；特别是对于大量用户需要在极短时间内接入 WLAN网络的场景，性能有极大的提升，很好地改善了用户体验。

下面从 AP和 STA交互的角度对本发明的技术方案进行详细描述：实施例一

如图 5所示，为本发明建立安全连接方法实施例一的信令流程图，该过程包括：

步骤 501、与图 4中的步骤 401-411相同，此处不再赘述；

步骤 502、 AP根据收到的 PMK, 以及 SNonce和 ANonde生成 PTK, 并根据 PTK生成 KCK和 KEK; AP使用生成的 KCK校验 MSDU MIC; 验证成功， AP使用生成的 KEK解密 DHCP-Discover消息；

解密 DHCP Discover消息的过程也可以发生于步骤 503之后。

步骤 503、 AP向 STA发送关联答复消息， AP向 STA发送的关联答复消息可包含 AID, EAP— Success, EAPoL-Key和 MIC; 其中 EAPoL-Key包括 GTK和 IGTK;

步骤 504、 AP向 DHCP服务器发送 DHCP-Discover消息，其中携带 Rapid Commit选项；

其中， DHCP-Discover消息即是 DHCP过程请求消息； Rapid Commit是快速 IP地址分配机制 , 为可选。

当然，该步骤也可以为： AP向 DHCP服务器发送其他 DHCP过程请求消息例如 DHCP-请求（Request ) 消息；

上述步骤 503和步骤 504的执行不分时间先后顺序，步骤 504也可以发生于步骤 503之前，还可以和步骤 503同时进行。

步骤 505、 STA收到关联答复消息后，校验 MIC成功； STA可以进入已认证已关联状态，状态机进入全 EAP上下文状态；

STA选择等待 DHCP-Ack w/Rapid Commit消息。 STA收到关联答复消息后校验 MIC可与 DHCP程序并行，或者在 DHCP程序之前和之后。

步骤 506、 DHCP服务器向 AP发送 DHCP-Ack消息，该消息携带快速 IP地址分配 (Rapid Commit)选项；其中，快速 IP地址分配机制为可选；

相应地， DHCP-Ack消息即是 DHCP过程答复消息；

若上述 DHCP过程请求消息为 DHCP- Request消息，则相应的 DHCP过程答复消息为 DHCP- 响应（Response ) 消息；

步骤 507、 AP将 DHCP-Ack消息发送给 STA, 其中携带 Rapid Commit 选项。

优选地， DHCP Ack消息可携带于 DHCP-Ack中。

实施例二

如图 6所示，为本发明建立安全连接方法实施例二的信令流程图，该过程包括：

步骤 601、与图 4中的步骤 401-411相同，此处不再赘述；

步骤 602、 AP根据收到的 PMK, 以及 SNonce和 ANonde生成 PTK, 并根据 PTK生成 KCK和 KEK; AP使用生成的 KCK校验 MSDU MIC; 验证成功， AP使用生成的 KEK解密 DHCP-Discover消息；

步骤 603、 AP向 DHCP服务器发送 DHCP-Discover消息，该消息携带 Rapid Commit选项；

其中 , 快速 IP地址分配机制为可选。

步骤 604、 AP 中设置一个定时器，在 AP 向 DHCP 服务器发送 DHCP-Discover 消息后开始计时。如果定时器到期， AP还没有收到 DHCP 服务器发送的 DHCP-Ack消息，则 AP发送关联答复消息给 STA, 此关联答复消息可包含 AID , EAP— Success 消息， EAPoL-Key 消息， MIC; 其中 EAPoL-Key消息包括 GTK和 IGTK。

步骤 605、 STA收到关联答复消息后，校验 MIC成功， STA可以进入已认证已关联状态 , 状态机进入全 EAP上下文状态。

步骤 606、 DHCP服务器向 AP发送 DHCP-Ack w/Rapid Commit消息；其中 , 快速 IP地址分配机制为可选。

步骤 607、 AP将 DHCP-Ack w/Rapid Commit消息发送给 STA。

实施例三

如图 7所示，为本发明建立安全连接方法实施例三的信令流程图，该过程包括：

步骤 701、与图 4中的步骤 401-411相同，此处不再赘述；

步骤 702、 AP根据收到的 PMK, 以及 SNonce和 ANonde生成 PTK, 并根据 PTK生成 KCK和 KEK; AP使用生成的 KCK校验 MSDU MIC; 验证成功， AP使用生成的 KEK解密 DHCP-Discover消息；

步骤 703、 AP向 DHCP服务器发送 DHCP-Discover w/Rapid Commit消息；

其中 , 快速 IP地址分配机制为可选。

步骤 704、 AP向 DHCP服务器发送 DHCP-Discover 消息，该消息携带 Rapid Commit选项； AP 中设置一个定时器，在 AP向 DHCP服务器发送 DHCP-Discover消息后开始计时，如果定时器到期， AP仍未收到 DHCP发送的 DHCP-Ack或 DHCP NAK消息，则 AP向 STA发送消息通知此问题。优选地，此消息可以为关联答复消息。

步骤 705、 STA收到关联答复消息后，校验 MIC成功， STA可以进入已认证已关联状态，状态机进入全 EAP上下文状态；

STA选择等待 DHCP确认消息。 STA收到关联答复消息后校验 MIC可与 DHCP程序并行，或者在 DHCP程序之前和之后。步骤 706、 DHCP服务器向 AP发送 DHCP确认消息，该消息中携带有 Rapid Commit选项；

其中 , 快速 IP地址分配机制为可选。

步骤 707、如果 AP在特定时间内接收到 DHCP确认消息，则 AP将携带 Rapid Commit选项的 DHCP确认消息发送给 STA。优选地，所述 DHCP确认消息携带于关联答复消息中；如果在特定时间内， AP仍未收到 DHCP发送的 DHCP确认消息， AP给 STA发送消息通知此问题。优选地，此消息为关联答复消息。 STA或 AP釆用合适的默认方式来重新开始网络程序，比如向 DHCP服务器重新发送 DHCP请求等。

实施例四

如图 8所示，为本发明建立安全连接方法实施例四的信令流程图，该过程包括：

步骤 801、与图 4中的步骤 401-411相同，此处不再赘述；

步骤 802、 AP根据收到的 PMK, 以及 SNonce和 ANonde生成 PTK, 并根据 PTK生成 KCK和 KEK; AP使用生成的 KCK校验 MSDU MIC; 验证成功， AP使用生成的 KEK解密 DHCP-Discover消息；

解密 DHCP Discover消息的过程也可以发生于步骤 803之后。

步骤 803、 AP向 STA发送关联答复消息， AP向 STA发送的关联答复消息可包含 AID, EAP— Success, EAPoL-Key, MIC; 其中 EAPoL-Key包括 GTK和 IGTK;

步骤 804、 AP向 DHCP发送 DHCP-Discover w/Rapid Commit消息；其中 , 快速 IP地址分配机制为可选。

其中，步骤 803和步骤 804不分时间先后顺序，步骤 804也可以发生于步骤 803之前，也可以和步骤 803同时进行。

步骤 805、 STA收到关联答复消息后，校验 MIC成功， STA可以进入已认证已关联状态，状态机进入全 EAP上下文状态； STA选择等待 DHCP-Ack w/Rapid Commit消息。 STA中设置定时器在 STA收到关联答复消息后或者 MIC校验成功后开始计时； STA收到关联答复消息后校验 MIC可与 DHCP程序并行，或者在 DHCP 程序之前和之后。

步骤 806、 STA中定时器到期， STA仍未收到 AP发送的 DHCP相关消息， STA重新发起 DHCP程序或初始化程序或重新建立安全连接，其中 DHCP 程序可以仅在数据面进行。

实施例五

如图 9所示，为本发明建立安全连接方法实施例五的信令流程图，该过程包括：

步骤 901、与图 4中的步骤 401-411相同，此处不再赘述；

步骤 902、 AP根据收到的 PMK, 以及 SNonce和 ANonde生成 PTK, 并根据 PTK生成 KCK和 KEK; AP使用生成的 KCK校验 MSDU MIC, 验证成功；

步骤 903、 AP向 STA发送关联答复消息， AP向 STA发送的关联答复消息可包含 AID , EAP— Success消息， EAPoL-Key消息， MIC;其中 EAPoL-Key 包括 GTK和 IGTK。

步骤 904、 AP解密 DHCP-Discover消息， AP向 DHCP发送 DHCP-Discover w/Rapid Commit消息；

其中，快速 IP地址分配机制为可选。解密 DHCP Discover消息的过程也可以发生于步骤 902中。

其中，步骤 903和步骤 904的执行不分时间先后顺序，步骤 904也可以发生于步骤 903之前，也可以和步骤 903同时进行。

步骤 905、 STA收到关联答复消息后，校验 MIC失败。

步骤 906、 STA会重新进行 EAP认证过程，或重新建立安全连接。

实施例六

如图 10所示，为本发明建立安全连接方法实施例六的信令流程图，该过程包括：

步骤 1001、与图 4中的步骤 401-411相同，此处不再赘述；步骤 1002、 AP根据收到的 PMK, 以及 SNonce和 ANonde生成 PTK, 并根据 PTK生成 KCK和 KEK, AP使用生成的 KCK校验 MSDU MIC, 验证成功；

步骤 1003、 AP向 STA发送包含 IP地址信息的关联答复消息， AP向 STA 发送的关联答复消息可包含 AID, EAP— Success, EAPoL-Key, MIC; 其中 EAPoL-Key包括 GTK和 IGTK;

其中， AP已经获取 DHCP服务器的 IP地址分配。

步骤 1004、 STA收到关联答复消息后，校验 MIC成功； STA进行 PTK、 GTK和 IGTK的安装。

实施例七

如图 11所示，为本发明建立安全连接方法实施例七的信令流程图，该过程包括：

步骤 1101、与图 4中的步骤 401-409相同，此处不再赘述；

步骤 1102、 EAP认证失败；

步骤 1103、 AS向 AP发送 EAP_失败（ Failure ) 消息；

步骤 1104、 AP向 STA发送关联答复消息， AP向 STA发送的关联答复消息包含 EAP—失败（ Failure ) 消息；

步骤 1105、 STA重新进行 EAP认证，或重新建立安全连接。

实施例八

如图 12所示，为本发明建立安全连接方法实施例八的信令流程图，该过程包括：

步骤 1201、与图 4中的步骤 401-411相同，此处不再赘述；

步骤 1202、 AP根据收到的 PMK, 以及 SNonce和 ANonde生成 PTK, 并根据 PTK生成 KCK和 KEK; AP使用生成的 KCK校验 MSDU MIC; 验证成功 , AP使用生成的 KEK解密 DHCP-Discover消息；

步骤 1203、 AP向 DHCP服务器发送 DHCP-Discover w/消息，该消息携带 Rapid Commit选项；其中，快速 IP地址分配机制为可选。步骤 1204、 AP 中设置一个定时器，在 AP 向 DHCP 服务器发送 DHCP-Discover消息后开始计时。如果定时器未到期， AP收到 DHCP服务器发送的 DHCP-Ack消息；

步骤 1205、 AP发送包含 IP地址的关联答复消息给 STA, 此关联答复消息可包含 AID , EAP— Success消息， EAPoL-Key消息， MIC;其中 EAPoL-Key 消息包括 GTK和 IGTK;

步骤 1206、 STA收到关联答复消息后，校验 MIC成功， STA可以进入已认证已关联状态 , 状态机进入全 EAP上下文状态。

上述实施例一至实施例八可以发生于 STA与网络快速建立安全连接时，或 STA与网络进行 EAP重新认证时。

本发明上述实施例不限于 IEEE 802.11 系统，可以将它的相关模式应用于其它无线通信系统中。

如图 13所示，为本发明 AP实施例的结构示意图，该 AP包括生成校验模块 1301和处理模块 1302, 其中：

生成校验模块，用于生成成对临时密钥（PTK )和 /或校验消息完整性编码（ MIC ) ；

处理模块，用于向工作站（STA )发送关联答复消息并和动态主机配置协议（DHCP )服务器进行 DHCP过程；或者，仅向所述 STA发送包含 IP 地址的关联答复消息。

其中，所述处理模块和 DHCP服务器进行 DHCP过程，具体用于：向所述 DHCP服务器发送 DHCP过程请求消息。可选的，所述处理模块，还用于接收所述 DHCP服务器为所述 STA分配的 IP地址。

另外，所述处理模块向 STA发送关联答复消息，具体用于：直接向所述 STA发送所述关联答复消息；或者，在所述 AP中设置一定时器，该定时器在所述处理模块向所述 DHCP服务器发送所述 DHCP过程请求消息后开始计时，如果该定时器到期，还未收到所述 DHCP服务器返回的 DHCP过程答复消息，则向所述 STA发送所述关联答复消息；或者，所述 AP中设置一定时器，该定时器在所述 AP向所述 DHCP服务器发送所述 DHCP过程请求消息后开始计时，如果该定时器未到期，所述 AP收到所述 DHCP服务器返回的复消息。所述处理模块，还用于如果该定时器到期，还未收到所述 DHCP服务器返回的 DHCP过程应答消息或 DHCP过程否定应答消息，则向所述 STA 发送消息，以便所述 STA重新进行 DHCP过程。

进一步地，所述处理模块，还用于和 DHCP服务器进行 DHCP过程之后，若收到所述 DHCP服务器发送的 DHCP过程应答消息，则将所述 DHCP过程应答消息直接发送或携带在关联响应消息中发送给所述 STA。

针对 EAP认证失败的情况，所述 AP还包括：接收模块，用于接收认证服务器（AS )进行 EAP认证失败后发送的扩展认证协议（EAP )认证失败消息；所述处理模块，具体用于向所述 STA发送包含 EAP认证失败消息的关联答复消息。

上述 AP进行处理的过程与图 5-12中 AP对应的操作相同，此处不再赘述。

上述 AP不需要在接收到 DHCP服务器发送的 DHCP过程答复消息后就可以向 STA发送关联应答消息，从而可以加快 STA建立安全链路的速度，减少终端初始接入 WLAN网络的时延；特别是对于大量用户需要在极短时间内接入 WLAN网络的场景，性能有极大的提升，很好地改善了用户体验。

如图 14所示，为本发明 STA实施例的结构示意图，该 STA包括接收模块 1401和处理模块 1402, 其中：

接收模块，用于接收接入点（ AP )发送的关联答复消息；

处理模块，用于校验所述关联答复消息中的消息完整性编码（MIC ) , 并根据校验结果选择重新进行扩展认证协议（EAP )认证，或选择等待动态主机配置协议（DHCP )过程答复消息。

另外，当所述关联答复消息为包含 IP地址的关联答复消息时，所述处理模块，还用于校验所述 MIC, 并在校验成功后安装成对临时密钥（PTK ) 、组临时密钥（GTK )和完整性组临时密钥（IGTK ) 。

优选地，所述处理模块，具体用于：校验所述 MIC 失败后，重新进行 EAP认证或重新建立安全连接；或者，校验所述 MIC成功后，选择等待所述 AP返回的 DHCP过程答复消息。所述处理模块，还用于：选择等待所述 AP返回的 DHCP过程答复消息之后，接收所述 AP返回的包含为 STA分配的 IP地址的 DHCP过程答复消息；或者，选择等待所述 AP返回的 DHCP 过程答复消息之后，接收所述 AP返回的未包含为 STA分配的 IP地址的 DHCP过程答复消息，再次发起 DHCP过程；或者，选择等待所述 AP返回的 DHCP过程答复消息之后，在所述 STA中设置定时器，该定时器在所述 STA收到所述关联答复消息后或者所述 STA校验所述 MIC成功后开始计时，如果所述定时器到期，还未收到所述 AP返回的 DHCP过程答复消息，则再次发起 DHCP过程。

进一步地，当所述关联答复消息包含 EAP认证失败消息时，所述处理模块，还用于重新进行 EAP认证或重新建立安全连接。

上述 STA进行处理的过程与图 5-12中 STA对应的操作相同，此处不再赘述。

上述 STA可以快速地收到 AP发送的关联答复消息，从而可以尽快地建立安全链路，减少终端初始接入 WLAN网络的时延；特别是对于大量用户需要在极短时间内接入 WLAN网络的场景，性能有极大的提升，很好地改善了用户体验。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，上述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块 /单元可以釆用硬件的形式实现，也可以釆用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

以上实施例仅用以说明本发明的技术方案而非限制，仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，均应涵盖在本发明的权利要求范围当中。

工业实用性

Claims

权利要求书

1、一种发送消息的方法，该方法包括：

接入点（ AP )生成成对临时密钥（ PTK )和/或校验消息完整性编码（ MIC ); 所述 AP 向工作站（STA )发送关联答复消息并和动态主机配置协议 ( DHCP )服务器进行 DHCP过程；或者，仅向所述 STA发送包含 IP地址的关联答复消息。

2、根据权利要求 1所述的方法，其中，

所述关联答复消息包含以下参数之一或其任意组合：所述 AP 为所述 STA分配的关联标识（AID ) 、扩展认证协议（EAP )认证成功消息、基于局域网的扩展认证协议密钥（EAPoL-Key ) 消息和 MIC;

所述包含 IP地址的关联答复消息还包含所述 AID、 EAP认证成功消息、 EAPoL-Key消息和 MIC;

其中， EAPoL-Key 消息包含组临时密钥（ GTK )和 /或完整性组临时密钥（IGTK ) 。

3、根据权利要求 1所述方法，其中，

所述 AP和 DHCP服务器进行 DHCP的过程包括：

所述 AP向所述 DHCP服务器发送 DHCP过程请求消息。

4、根据权利要求 1所述的方法，其中，

所述 AP和 DHCP服务器进行 DHCP过程还包括：

所述 AP接收所述 DHCP服务器为所述 STA分配的 IP地址。

5、根据权利要求 1所述的方法，其中，所述 DHCP过程包括 DHCPv4、 DHCPv6、邻居发现（ND )和无状态地址自动配置过程。

6、根据权利要求 3所述的方法，其中，

所述 AP向 STA发送关联答复消息包括：

所述 AP直接向所述 STA发送所述关联答复消息；或者

所述 AP中设置一定时器，该定时器在所述 AP向所述 DHCP服务器发送所述 DHCP过程请求消息后开始计时，如果该定时器到期，所述 AP还未收到所述 DHCP服务器返回的 DHCP过程答复消息，则所述 AP向所述 STA 发送所述关联答复消息；或者

7、根据权利要求 6所述的方法，其中，所述方法还包括：

如果该定时器到期，所述 AP还未收到所述 DHCP服务器返回的 DHCP 过程应答消息或 DHCP过程否定应答消息，则 AP向所述 STA发送消息，以便所述 STA重新进行 DHCP过程。

8、根据权利要求 1-7任一权利要求所述的方法，其中，

所述 AP和 DHCP服务器进行 DHCP过程之后，所述方法还包括：所述 AP在收到所述 DHCP服务器发送的 DHCP过程应答消息后，将所述 DHCP过程应答消息发送给所述 STA。

9、根据权利要求 8所述的方法，其中，所述 DHCP过程应答消息携带于所述 AP向所述 STA发送的关联响应消息中。

10、一种建立安全连接的方法，该方法包括：

工作站（STA )接收接入点（AP )发送的关联答复消息；

所述 STA校验消息完整性编码（MIC ) , 并根据校验结果选择重新进行扩展认证协议（EAP )认证，或选择等待动态主机配置协议（DHCP )过程答复消息。

11、根据权利要求 10所述的方法，其中，

所述关联答复消息包含以下参数之一或其任意组合：所述 AP 为所述 STA分配的关联标识（AID ) 、 EAP认证成功消息、基于局域网的扩展认证协议密钥（ EAPoL-Key )消息和 MIC; 其中 , EAPoL-Key消息包含组临时密钥（GTK )和 /或完整性组临时密钥（IGTK ) 。

12、根据权利要求 11所述的方法，其中，

13、根据权利要求 10所述的方法，其中，

所述 STA根据校验结果选择重新进行 EAP认证，或选择等待动态主机配置协议（DHCP )过程答复消息，包括：

所述 STA校验所述 MIC失败后，重新进行 EAP认证或重新建立安全连接；或者

所述 STA校验所述 MIC成功后，选择等待所述 AP返回的 DHCP过程答复消息。

14、根据权利要求 13所述的方法，其中，所述选择等待所述 AP返回的 DHCP过程答复消息之后，所述方法还包括：

所述 STA接收所述 AP返回的包含为 STA分配的 IP地址的 DHCP过程答复消息；或者

15、根据权利要求 10所述的方法，其中，

所述 STA校验 MIC之后，所述方法还包括：所述 STA进入已认证已关联状态，所述 STA对应的状态机进入全 EAP上下文状态。

16、一种发送消息的方法，该方法包括：

17、一种建立安全连接的方法，所述方法包括：

工作站（STA )接收接入点（AP )发送的包含扩展认证协议（EAP )认证失败消息的关联答复消息；

所述 STA重新进行 EAP认证或重新建立安全连接。

18、一种接入点（AP ) , 该 AP包括：

19、根据权利要求 18所述的 AP, 其中，

所述关联答复消息包含以下参数之一或其任意组合：所述 AP 为所述 STA分配的关联标识（AID ) 、扩展认证协议（EAP )认证成功消息、基于局域网的扩展认证协议密钥（ EAPoL-Key ) 消息和 MIC;

20、根据权利要求 18所述的 AP, 其中，

所述处理模块设置为：和 DHCP服务器进行 DHCP过程，

向所述 DHCP服务器发送 DHCP过程请求消息。

21、根据权利要求 18所述的 AP, 其中，

所述处理模块，还设置为：接收所述 DHCP服务器为所述 STA分配的

IP地址。

22、根据权利要求 18所述的 AP, 其中，所述处理模块设置为：向 STA发送关联答复消息，

直接向所述 STA发送所述关联答复消息；或者

23、根据权利要求 22所述的 AP, 其中，

所述处理模块，还设置为：如果该定时器到期，还未收到所述 DHCP服务器返回的 DHCP过程应答消息或 DHCP过程否定应答消息，则向所述 STA 发送消息，以便所述 STA重新进行 DHCP过程。

24、根据权利要求 18-23任一权利要求所述的 AP, 其中，

所述处理模块，还设置为：和 DHCP服务器进行 DHCP过程之后，若收到所述 DHCP服务器发送的 DHCP过程应答消息，则将所述 DHCP过程应答消息直接发送或携带在关联响应消息中发送给所述 STA。

25、根据权利要求 18所述的 AP, 其中，所述 AP还包括：

26、一种工作站（STA ) , 该 STA包括：

接收模块，设置为：接收接入点（AP )发送的关联答复消息；处理模块，设置为：校验所述关联答复消息中的消息完整性编码（ MIC ), 并根据校验结果选择重新进行扩展认证协议（EAP )认证，或选择等待动态主机配置协议（DHCP )过程答复消息。

27、根据权利要求 26所述的 STA, 其中，

所述关联答复消息包含所述 AP为所述 STA分配的关联标识（ AID ) 、 EAP认证成功消息、基于局域网的扩展认证协议密钥（EAPoL-Key )消息和 MIC; 其中 , EAPoL-Key消息包含组临时密钥（ GTK )和 /或完整性组临时密钥（IGTK ) 。

28、根据权利要求 27所述的 STA, 其中，所述处理模块，还设置为：当所述关联答复消息为包含 IP地址的关联答复消息时，

校验所述 MIC, 并在校验成功后安装成对临时密钥（PTK ) 、组临时密钥（GTK )和完整性组临时密钥（IGTK ) 。

29、根据权利要求 26所述的 STA, 其中，所述处理模块，设置为：校验所述 MIC失败后，重新进行 EAP认证或重新建立安全连接；或者校验所述 MIC成功后，选择等待所述 AP返回的 DHCP过程答复消息。

30、根据权利要求 29所述的 STA, 其中，所述处理模块，还设置为：选择等待所述 AP返回的 DHCP过程答复消息之后，接收所述 AP返回的包含为 STA分配的 IP地址的 DHCP过程答复消息；或者

31、根据权利要求 26所述的 STA, 其中，所述处理模块，还设置为：当所述关联答复消息包含 EAP认证失败消息时，重新进行 EAP认证或重新建立安全连接。