WO2013152632A1 - 一种安全身份发现及通信方法 - Google Patents

Abstract

本发明提供了一种安全身份发现方法，第一站点和第二站点间进行身份发现的帧均隐藏或者省略了双方站点的MAC地址，而采用身份编码来标识双方站点的身份，采用密文来进行身份验证，提高了站点间在进行身份发现时的私密性保护程度。

Description

一种安全身份发现及通信方法 本申请要求于 2012 年 4 月 11 日提交中国专利局、 申请号为 201210104825.9、发明名称为"一种安全身份发现及通信方法"的中国专利申 请的优先权， 其全部内容通过引用结合在本申请中。 技术领域 本发明涉及无线通讯技术领域， 具体涉及一种安全身份发现及通信方 法。

背景技术

802.11是 IEEE ( Institute of Electrical and Electronics Engineers , 电气和 电子工程师协会）制定的一个无线局域网标准， 主要用于解决办公室局域 网和校园网中， 用户与用户终端的无线接入。

IEEE 802.11技术为多个 PHY ( Physical Layer, 物理层 )制定一个通用 的 MAC ( Medium Access Control, 介质访问控制）层以标准无线局域网的 建设。其中媒介接入控制层 MAC的主要任务就是为同网络中的多个站点建 立寻址和信道接入控制机制， 使得多站点之间的通信成为可能。

WLAN ( Wireless Local Area Networks, 无线局域网） 的基本组成部分 是 BSS ( Basic Service Set, 基本服务集）， 其根据某一特定覆盖区域之内， 并具有某种关联的站点 STA组成， 如图 1中所示的 BSS2和 BSS3。 在 BSS 网络中具有专职管理 BSS的中央站点被称为 AP ( Access Point, 接入点）， 而在该网络中的其它站点 STA都与它相关联。 而多个 BSS网通过 DS相互 连接即可组成 ESS ( Extended Service Set, 扩展服务集）。 在 AP缺失的情况 下， 站点 STA也可以自组网络而相互直接通信， 此网络即为独立 BSS或者 IBSS, 如图 1所示的 BSS1。 NAN ( Neighborhood Area Network, 社区网络）是 WFA于 2011年 12 月成立的一个项目组， 其致力于各无线设备间， 在 pre-association的状态， 在低能耗的情况下， 不通过中转设备（如 AP或基站等）辅助， 以直连的形 式相互获取信息。 主要携带有以下 3个要求： 1、 低功耗（节能）； 2、 无中 转设备， 直接连接； 3、 在 Pre-Association状态（只能进行 Class 1信息的发 送）。其中 Class 1信息又携带有： Control Frame(控制帧）、Management frames (管理帧）和 Data frames (数据帧）。

在 NAN技术中， 站点主要采用广播信标帧来实现站点之间的相互发 现。 即： 站点在某一信道上， 以随机事件为起点， 按照一定的信标帧发送 周期（取值范围 20ms到 1000ms, 预设值为 100ms )， 周期性广播发送携带 有有自己信息和信标帧。 其周围站点通过接受和解读上述广播的信标帧信 息了解该站点的存在和该站点的信息。

MAC地址， 或称为硬件地址， 用来定义网络设备的位置， 根据 48比 特长， 16进制数字组成， 0到 23位是组织唯一标识符， 是识别局域网结点 的标志， 24-47位根据该网络设备的厂家自己分配。数据包格式如表 1所示:

Octets: 2 2 6 6 6 2 6 2 4 0-7951 4

Frame Duration Address Address Address Sequence Address Qos HT Frame FCS Control /ID 1 2 3 Control 4 Control Control Body

MAC Header

表 1

其中 Address 1字段填写为该帧的立即接受地址； Address 2字段填写为 该帧的立即发送地址； Frame Body字段装载着准备通过 MAC包传递的上 层内容（如 IP包）。 MAC地址是各站点在 MAC层通信范围内的唯一身份 标识，因此当周围站点在信道中监听到携带有有某一 MAC地址的信标帧出 现， 便可判断其周围有该 MAC地址对应的站点存在。

各站点所广播出的信标帧可以被其身边任意站点接收。 又根据于站点 之间在 Pre-Association (非关联）状态下， 没有进行密钥协商， 不能对自己

2

替換页 （细则第 26条） 所广播的信标帧进行加密， 因此各站点所广播处的信标帧可以被周围任意 站点解读，信标帧中携带有的自己的 MAC地址信息也可以被其周围任意站 点获知， 而 MAC地址信息的泄露会导致各站点用户的私密性将得不到保 护。

发明内容 本发明提供了一种安全身份发现方法， 以提高在站点间进行身份发现 时的私密性保护程度， 该方法包括：

第一站点发送身份发现帧； 所述身份发现帧携带有所述第一站点身份 编码和目标站点信息， 所述目标站点信息包括第一密文；

所述第一站点接收第二站点发送的身份认证帧； 所述身份认证帧携带 有所述第二站点身份编码、 所述第一站点身份编码和第二密文；

所述第一站点验证所述第二站点的身份；

所述第一站点发送身份确认帧给所述第二站点， 所述身份确认帧携带 有所述第二站点身份编码； 或者所述身份确认帧携带有所述第一站点身份 编码和所述第二站点身份编码。

本发明提供了一种安全身份发现方法， 以提高在站点间进行身份发现 时的私密性保护程度， 该方法包括：

第二站点接收第一站点发送的身份发现帧， 所述身份发现帧携带有所 述第一站点身份编码和目标站点信息， 所述目标站点信息包括第一密文； 所述第二站点验证所述第一站点的身份；

所述第二站点发送身份认证帧给所述第一站点， 所述身份认证帧携带 有所述第二站点身份编码、 所述第一站点身份编码和第二密文；

所述第二站点接收所述第一站点发送的身份确认帧， 所述身份确认帧 携带有所述第二站点身份编码； 或者所述身份确认帧携带有所述第一站点 身份编码和所述第二站点身份编码。

本发明还提供了一种用于安全身份发现的第一站点， 包括：

第一发送模块， 用于发送身份发现帧； 所述身份发现帧携带有所述第 一站点身份编码和目标站点信息， 所述目标站点信息包括第一密文；

接收模块， 用于接收所述第二站点发送的身份认证帧； 所述身份认证 帧携带有所述第二站点身份编码、 所述第一站点身份编码和第二密文； 验证模块， 用于验证所述第二站点的身份；

第二发送模块， 用于发送身份确认帧给所述第二站点， 所述身份确认 帧携带有所述第二站点身份编码； 或者所述身份确认帧携带有所述第一站 点身份编码和所述第二站点身份编码。

本发明还提供了一种用于安全身份发现的第二站点， 包括：

第一接收模块， 用于接收第一站点发送的身份发现帧， 所述身份发现 帧携带有所述第一站点身份编码和目标站点信息， 所述目标站点信息包括 第一密文；

验证模块， 用于验证所述第一站点的身份；

第一发送模块， 用于发送身份认证帧给所述第一站点， 所述身份认证 帧携带有所述第二站点身份编码、 所述第一站点身份编码和第二密文； 第二接收模块， 用于接收所述第一站点发送的身份确认帧， 所述身份 确认帧携带有所述第二站点身份编码； 或者所述身份确认帧携带有所述第 一站点身份编码和所述第二站点身份编码。

本发明提供的该安全身份发现方法， 第一站点和第二站点间进行身份 发现的帧均隐藏或者省略了双方站点的 MAC地址，而采用身份编码来标识 双方站点的身份， 采用密文来进行身份验证， 提高了站点间在进行身份发 现时的私密性保护程度。

附图说明 图 1为现有技术中 WLAN的 IBSS、 BSS和 ESS概念图； 图 2为本发明实施例提供的一种安全身份发现方法流程图；

图 3为本发明实施例提供的一种安全身份通信方法流程图；

图 4为本发明实施例提供的一种用于安全身份发现的第一站点结构图； 图 5为本发明实施例提供的一种用于安全身份通信的第一站点结构图； 图 6为本发明实施例提供的一种用于安全身份发现的第二站点结构图； 图 7为本发明实施例提供的一种用于安全身份通信的第二站点结构图； 图 8 为本发明实施例提供的一种用于安全身份发现或通信的系统结构

具体实施方式 为了使本技术领域的人员更好地理解本发明中的技术方案， 下面将结 合本发明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完整 地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是全部 的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有做出创造 性劳动前提下所获得的所有其他实施例， 都应当属于本发明保护的范围。

本文中术语 "系统" 和 "网络" 在本文中常被可互换使用。 本文中术 语 "和 /或，， ， 仅仅是一种描述关联对象的关联关系， 表示可以存在三种关 系， 例如， A和 /或 B, 可以表示： 单独存在 A, 同时存在 A和 B, 单独存在 B 这三种情况。 另外， 本文中字符 " , —般表示前后关联对象是一种 "或" 的关系。

应理解， 本发明实施例的技术方案可以应用于各种通信系统， 例如： GSM( Global System of Mobile communication,全球移动通讯 )系统、 CDMA ( Code Division Multiple Access ,码分多址）系统、 WCDMA( Wideband Code Division Multiple Access,宽带码分多址）系统、 GPRS ( General Packet Radio Service, 通用分组无线业务） 、 LTE ( Long Term Evolution, 长期演进） 系 统、 FDD -LTE ( Frequency Division Duplex, 频分双工） 系统、 TDD -LTE ( Time Division Duplex, 时分双工） 、 UMTS ( Universal Mobile

Telecommunication System, 通用移动通信系统） 、 WiMAX ( Worldwide Interoperability for Microwave Access, 全球互联敖波接入）通信系统、 £波 通信系统等。 实施例一：

本发明实施例一提供了一种安全身份发现方法， 该方法主要包括： 第一站点发送身份发现帧， 所述身份发现帧携带有所述第一站点身份 编码 TID和目标站点信息，所述目标站点信息包括第一密文 Challenge Textl ; 第二站点接收该身份发现帧， 并验证该第一站点的身份；

第二站点向第一站点发送身份认证帧， 所述身份认证帧携带有第二站 点身份编码 RID、 第一站点身份编码 TID和第二密文 Challenge Text2;

第一站点接收所述身份认证帧， 并验证该第一站点的身份；

第一站点发送身份确认帧给第二站点， 所述身份确认帧携带有所述 RID, 或者所述身份确认帧携带有所述 RID和所述 TID。 实施例二：

本发明实施例二提供了一种安全身份发现方法， 图 2示出了该方法示意 性流程图。 参考图 2, 该方法包括：

S201 , 第一站点发送身份发现帧；

第一站点通过周期性广播的方式来发送身份发现帧给目标站点， 即第 一站点要查找的好友站点， 同时， 非目标站点也有可能接收到该身份发现 帧。

该身份发现帧的帧结构如下表 2所示：

第一密文

表 2

其中， RA字段中填写发送地址， TID Seq.为根据预设算法生成或预先 配置的第一站点身份编码， 目标站点信息包括第一站点和该身份发现帧所 发送的目标站点共享的第一密文， 该第一密文可以预先配置在站点中。

优选的， 该身份发现帧的帧结构还可以如下表 3所示：

目标站点信息包括:

Partial MAC 第一密文

表 3

其中， RA、 TID Seq.和目标站点信息字段的含义与表 2相同， 与表 2的 区别在于， 目标站点信息还包括 Partial MAC字段， Partial MAC为该身份发 现帧所发送的目标站点的部分 MAC地址信息。 所示部分 MAC地址信息可以 为该目标站点的前 X位、 后 X位、 中间 X位的 MAC地址信息等， 具体选取算 法可以预先配置在站点中。

优选的， 该身份发现帧还可以如下表 4所示：

目标站点信息包括:

PMC Partial MAC 第一密文

表 4

其中， RA、 TID Seq., 第一密文和 Partial MAC字段的含义与表 3相同， 与表 3的区别在于， 目标站点信息还包括 PMC ( Partial MAC Choose, 部分 MAC地址选取）字段， PMC为选取策略指示位， 指示了 Partial MAC的选取 算法。 例如， 当 PMC为 1时， 表示 Partial MAC的选取算法为目标站点 MAC 地址的后 X位 MAC地址信息； 当 PMC为 2时，表示 Partial MAC的选取算法为 目标站点 MAC地址的后 X位偶数位的 MAC地址信息等。 该 PMC可以预先配 置在站点中。

优选的， 第一密文根据第一站点的 MAC地址和该帧目标站点的 MAC地 址通过默认算法 1计算所得， 该默认算法 1可以预先配置在站点中。 例如， 当默认算法 1为加法时，该第一密文即为第一站点的 MAC地址和该帧目标站 点的 MAC地址相加所得。

优选的， 所述身份发现帧还携带有第一信息， 第一密文根据第一站点 的 MAC地址、 该帧目标站点的 MAC地址和第一信息通过默认算法 1计算所 得， 该默认算法 1可以预先配置在站点中。 该第一信息包括但不限于： 时间 信息、 身份编码信息等。

优选的， 该身份发现帧的帧结构还可以如下表 5所示:

Frame Control RA TID Seq. 目标站点信息 FCS 目标站点信息包括：

CAC 第一密又

表 5

其中， RA和 TID Seq.字段的含义与表 2相同， 与表 2的区别在于， 第一 密文是根据第一站点的 MAC地址和该帧目标站点的 MAC地址， 通过算法 1 计算所得； 目标站点信息还包括 CAC ( Coding Algorithm Choose, 加密算法 选取）字段， 该 CAC为第一指示位， 指示了得出表 5中第一密文的算法 1。

优选的， 该身份发现帧的帧结构还可以如下表 6所示：

目标站点信息包括: Dialog Token 第一密文

表 6

其中， RA、 TID Seq.字段的含义与表 2相同， 与表 2的区别在于， 加入 了 NoF字段， 并且身份发现帧包括多个目标站点信息， NoF为该身份发现帧 所发送的目标站点数量， 其中目标站点信息还包括每一个目标站点对应的 编号， 第一密文为第一站点和相应编号的目标站点所共享的密文。 例如， 目标站点信息 3包括编号 3和第一站点和编号为 3的目标站点共享的密文。 使 得第一站点可以同时向多个好友站点进行安全身份确认， 该好友站点即为 身份发现帧所发送的目标站点。 同时， 非目标站点也有可能接收到该身份 发现帧。

优选的， 该身份发现帧的帧结构如表 6所示时， 目标站点信息还可以包 括每一个目标站点的部分 MAC地址信息 Partial MAC;

或者， 目标站点信息还可以包括每一个目标站点 Partial MAC和选取策 略指示位 PMC;

或者， 目标站点信息中的第一密文可以根据第一站点的 MAC地址和相 应编号的目标站点的 MAC地址通过默认算法 1计算所得；

或者， 目标站点信息中的第一密文可以根据第一站点的 MAC地址和相 应编号目标站点的 MAC地址通过算法 1计算所得，并且目标站点信息还包括 第一指示位 CAC。

S202: 第二站点接收该身份发现帧， 并验证第一站点的身份； 由于第二站点不一定为第一站点的好友站点， 因此第二站点接收到该 身份发现帧后， 需要判断自己是否为第一站点所发送的身份发现帧的目标 站点， 具体为： 解析所述身份认证帧携带的第一密文， 验证该第一密文是 否和共享密文相同， 共享密文为第二站点和其好友站点共享的密文， 该共 享密文可以预先配置在站点中。 若该第一密文和共享密文相同， 则执行步 骤 203a; 若不相同， 则第二站点丢弃该身份发现帧， 并不再执行以下步骤。 优选的， 当第一密文是根据第一站点的 MAC地址和该帧目标站点的 MAC地址通过默认算法 1计算所得时， 第二站点接收到该身份发现帧后，根 据自己的 MAC地址和第一密文， 通过默认算法 2计算出第三 MAC地址。

该默认算法 2可以预先配置在站点中，该第三 MAC地址可以为第一站点 的 MAC地址， 也可以为第一站点以外的其他站点的 MAC地址。 默认算法 2 可以为默认算法 1的逆算法。 例如， 当默认算法 1为加法时， 该第一密文即 为第一站点的 MAC地址和该帧目标站点的 MAC地址相加所得， 该默认算法 2即为减法，第二站点可以通过用第一密文减去自己的 MAC地址得到该第三 MAC地址。

然后第二站点在自己的好友站点中查找有无该第三 MAC地址。 若好友 站点中有匹配的站点， 则执行 S203b, 进行安全身份的进一步确认； 若好友 站点中没有匹配的站点， 则第二站点丢弃该身份发现帧， 并不再执行以下 步骤。

之所以要进一步确认安全身份， 是因为第一站点发送的身份发现帧可 能被非目标站点接收， 每一个接收站点都可以根据自己的 MAC地址和接收 到的第一密文计算出第三 MAC地址。 例如， 默认算法 1为减法运算， 默认算 法 2为加法运算， MAC地址为 5的第一站点需要查找 MAC地址为 3的第二站 点， 发送的第一密文为 2 ( 5-2 ) , MAC地址为 4的站点接收到该身份发现帧 后， 通过默认算法 2, 认为该帧的发送站点的 MAC地址为 6 ( 4+2 ) , 且自己 好友站点中存在 MAC地址为 6的第三站点，此时便出现了错误的安全身份确 认， 故需要进行进一步确认安全身份。

优选的， 当身份发现帧还携带有第一信息， 且第一密文根据第一站点 的 MAC地址、 该帧目标站点的 MAC地址和第一信息通过默认算法 1计算所 得时， 第二站点接收到该身份发现帧后， 根据自己的 MAC地址、 第一密文 和第一信息、 通过默认算法 2计算出第三 MAC地址。

然后第二站点在自己的好友站点中查找有无该第三 MAC地址。 此处及 以下的好友站点是指预先配置在站点中， 记录有其好友站点和各好友站点 对应的 MAC地址的列表。 若好友站点中有匹配的站点， 则执行 S203b, 进行 安全身份的进一步确认； 若好友站点中没有匹配的站点， 则第二站点丢弃 该身份发现帧， 并不再执行以下步骤。

优选的， 当身份发现帧的帧结构如表 6所示， 且第一密文是根据第一站 点的 MAC地址和相应编号的目标站点的 MAC地址通过默认算法 1计算所得 时， 第二站点接收到该身份发现帧后， 先通过默认算法 2计算出第三 MAC 地址。 然后第二站点在自己的好友站点中查找有无该第三 MAC地址： 若好 友站点中有匹配的站点， 则执行 S203b, 进行安全身份的进一步确认； 若好 友站点中没有匹配的站点， 则第二站点丢弃该身份发现帧， 并不再执行以 下步骤。

优选的， 当该身份发现帧的帧结构如表 5所示时， 第二站点接收到该身 份发现帧后， 先根据第一指示位， 确认算法 2, 当第二站点为该身份发现帧 所发送的目标站点时， 第二站点即可通过算法 2得到第三 MAC地址。 例如， 算法 2可以为算法 1的逆运算， 第二站点通过算法 2计算出第三 MAC地址， 然 后第二站点在自己的好友站点中查找有无该第三 MAC地址， 若好友站点中 有匹配的站点， 则执行 S203c; 若第二站点好友站点中没有匹配的站点， 则 第二站点丢弃该身份发现帧， 并不再执行以下步骤。

之所以要进一步确认安全身份的理根据如上述优选的实施例类似， 不 再赘述。

优选的， 当身份发现帧的格式如表 6所示， 且第一密文是根据第一站点 的 MAC地址和相应编号的目标站点的 MAC地址通过算法 1计算所得， 表 7中 的目标站点信息还携带有第一指示位时， 第二站点接收到该身份发现帧后， 先根据第一指示位确定算法 2, 再通过算法 2计算出第三 MAC地址。 然后第 二站点在自己的好友站点中查找有无该第三 MAC地址： 若好友站点中有匹 配的站点， 则执行 S203b, 进行安全身份的进一步确认； 若好友站点中没有 匹配的站点， 则第二站点丢弃该身份发现帧， 并不再执行以下步骤。

优选的， 当该身份发现帧的帧结构如表 6所示时， 第二站点接收到该身 份发现帧后， 依次解析每一个目标站点信息中携带的第一密文， 如果存在 和第二站点和其好友站点共享密文相同的第一密文， 则执行 S203d; 若不存 在， 则丢弃该身份发现帧， 并不再执行以下步骤。

优选的， 当该身份发现帧的帧结构如表 3所示时， 则在 S202及其优选的 实施例中， 第二站点接收到该身份发现帧后， 验证第一站点的身份之前， 先验证该身份发现帧所发送的目标站点的部分 MAC地址信息 Partial MAC 和自己的 MAC地址是否匹配。 例如， 若该 Partial MAC选取的是目标站点的 后 X位 MAC地址，则比较自己的后 X位地址是否与该 Partial MAC相匹配，若 该 Partial MAC和自己的 MAC地址相匹配， 则继续验证第一站点的身份； 若 该 Partial MAC和自己的 MAC地址不匹配， 则第二站点丢弃该身份发现帧， 并不再执行以下步骤。

优选的， 当该身份发现帧的帧结构如表 4所示时， 则在 S202及其优选的 实施例中， 第二站点接收到该身份发现帧后， 验证第一站点的身份之前， 先根据选取策略指示位 PMC确定 Partial MAC的选取算法， 并验证该 Partial MAC和自己的 MAC地址是否匹配。 若该 Partial MAC和自己的 MAC地址相 匹配， 则继续验证第一站点的身份； 若该 Partial MAC和自己的 MAC地址不 匹配， 则第二站点丢弃该身份发现帧， 并不再执行以下步骤。

S203a: 第二站点发送身份认证帧给第一站点；

该身份认证帧的帧结构如表 7所示:

其中， RID Seq.为根据预设算法生成或预先配置的第二站点身份编码， 该 RID Seq.可以完全根据预设算法生成， 也可以预先配置好固定的身份编 码， 还可以取自第一站点身份编码 TID Seq., 具体选取算法可以预先为站点 配置。 TID Seq.为第一站点身份编码， 第二密文可以与身份发现帧中的密文 相同， 也可以不同。

当身份发现帧的帧结构如表 6所示时， 该身份认证帧还携带有相应编 号。 例如， 第二站点为身份发现帧所发送的目标站点之一， 且在身份发现 帧中的编号为 3, 则第二站点验证第一站点为其好友站点后， 则在身份认证 帧中还携带有编号 3。

S203b: 第二站点发送身份认证帧给第一站点；

该身份认证帧的帧结构如表 7所示，其中， RID Seq.和 TID Seq.字段的含 义和表 7相同， 与表 7的区别在于， 第二密文是第二站点根据第三 MAC地址 和自己的 MAC地址， 通过默认算法 3计算所得。 该默认算法 3可以预先配置 在站点中。

当第三 MAC地址是第二站点根据自己的 MAC地址、 第一密文和第一信 息，通过默认算法 2计算得出时，第二密文是第二站点根据自己的 MAC地址、 第三 MAC地址和第二信息，通过默认算法 3计算所得， 并且该身份认证帧还 携带有所述第二信息。 该第一信息包括但不限于： 时间信息、 身份编码信 息等。

当身份认证帧的帧结构如表 6所示时， 该身份认证帧还携带有相应编 S203c: 第二站点发送身份认证帧给第一站点；

该身份认证帧的帧结构如表 8所示:

表 8

其中， RID Seq.和 TID Seq.字段的含义与表 7相同， 与表 7的区别在于, 表 8中的第二密文是第二站点根据第二站点的 MAC地址和第三 MAC地址, 通过算法 3计算所得， 并加入了第二指示位 CAC, 该 CAC指示了算法 3。 当身份认证帧的帧结构如表 6所示时， 该身份认证帧还携带有相应编

S203d: 第二站点发送身份认证帧给第

该身份认证帧的帧结构如表 9所示：

表 9

其中， RID Seq.和 TID Seq.字段的含义与表 7相同， 与表 7的区别在于， 表 9加入了相应编号 Dialog Token。

S204: 第一站点接收身份认证帧， 并验证第二站点的身份；

第一站点接收到该身份认证帧后， 解析该身份认证帧携带的第二密文， 验证该第二密文是否和共享密文相同， 共享密文为第一站点和身份发现帧 所发送的目标站点共享的密文： 若相同， 则执行 S205a; 若不相同， 则执行

S205b。

优选的， 若该身份认证帧的帧结构如表 7所示， 且第二密文是根据第二 站点的 MAC地址和第三 MAC地址， 通过默认算法 3计算所得时， 则第一站 点接收到该身份认证帧后， 先根据自己的 MAC地址和第二密文， 通过默认 算法 4计算出第四 MAC地址，然后第一站点在身份发现帧所发送的目标站点 中查找有无该第四 MAC地址， 即验证该第四 MAC地址是否和身份发现帧所 发送的目标站点相匹配， 若身份发现帧所发送的目标站点中有该第四 MAC 地址， 则执行 S205a; 若没有， 则执行 S205b, 或者丢弃该身份认证帧， 并 不再执行以下步骤。

默认算法 4可以预先配置在站点中， 可以为默认算法 3的逆算法， 例如 当默认算法 3为乘法时， 该第二密文即为第二站点的 MAC地址和第三 MAC 地址相乘所得， 该默认算法 4即为除法， 第一站点可以通过用第二密文除以 自己的 MAC地址得到第四 MAC地址。 优选的， 当第二密文是第二站点根据自己的 MAC地址、 第三 MAC地址 和第二信息， 通过默认算法 3计算所得， 并且该身份认证帧还携带有所述第 二信息时， 第一站点在接收到身份认证帧后， 先根据自己的 MAC地址、 第 二密文和第二信息，通过默认算法 4计算出第四 MAC地址， 然后第一站点在 身份发现帧所发送的目标站点中查找有无该第四 MAC地址， 即验证该第四 MAC地址是否和身份发现帧所发送的目标站点相匹配， 若身份发现帧所发 送的目标站点中有该第四 MAC地址， 则执行 S205a; 若没有， 则执行 S205b, 或者丢弃该身份认证帧， 并不再执行以下步骤。

当身份发现帧的帧结构如表 6所示时， 且身份认证帧还携带有相应编号 时， 第一站点计算出第四 MAC地址后， 在相应编号的目标站点中查找有无 该 MAC地址。 例如， 第二站点为身份发现帧所发送的目标站点之一， 且在 身份发现帧中的编号为 3, 则第二站点验证第一站点为其好友站点后， 则在 身份认证帧中还携带有编号 3, 则第一站点验证身份发现帧所发送的、 编号 为 3的目标站点 MAC地址是否和计算出来的第二站点 MAC地址相匹配， 若 匹配， 则执行 S205a; 若不相匹配， 则执行 S205b, 或者丢弃该身份认证帧， 并不再执行以下步骤。

优选的， 当该身份认证帧的帧结构如表 8所示， 则第一站点接收到该身 份认证帧后， 先根据第二指示位 CAC, 选取算法 4, 计算出第四 MAC地址， 然后第一站点在身份发现帧所发送的目标站点中查找有无该 MAC地址， 若 身份发现帧所发送的目标站点中有该 MAC地址， 则执行 S205a; 若没有， 则 执行 S205b, 或者丢弃该身份认证帧， 并不再执行以下步骤。

当身份发现帧的帧结构如表 6所示时， 且身份认证帧还携带有相应编号 时， 第一站点计算出第四 MAC地址后， 在相应编号的目标站点中查找有无 该 MAC地址。 例如， 第二站点为身份发现帧所发送的目标站点之一， 且在 身份发现帧中的编号为 3, 则第二站点验证第一站点为其好友站点后， 则在 身份认证帧中还携带有编号 3, 则第一站点验证身份发现帧所发送的、 编号 为 3的目标站点 MAC地址是否和计算出来的第二站点 MAC地址相匹配， 若 匹配， 则执行 S205a; 若不相匹配， 则执行 S205b, 或者丢弃该身份认证帧， 并不再执行以下步骤。

S205a: 第一站点向第二站点发送身份确认帧， 该身份确认帧携带有第 二站点身份编码， 或者所述身份确认帧携带有所述第一站点身份编码和所 述第二站点身份编码；

S205b: 第一站点向第二站点发送身份确认帧， 该身份确认帧携带有第 二站点身份编码， 或者所述身份确认帧携带有所述第一站点身份编码和所 述第二站点身份编码；

优选的， 该身份确认帧还携带有否认信息， 指示所述第二站点未通过 身份认证； 或者身份确认帧携带有否认信息和特殊值， 所指示所述第二站 点未通过身份认证， 特殊值指示身份确认帧携带有否认信息。

S206: 第二站点接收身份确认帧， 完成安全身份确认。

优选的， 当第二站点接收到携带有否认信息的身份确认帧后， 将第一 站点的身份编码记录入陌生人列表， 并在之后一段时间内丢弃携带有该身 份编码信息的数据包。 所述一段时间的长度可以根据站点内的计数器控制。

本实施例提供的该安全身份发现方法， 通过处于非关联 Pre- Association 状态下的两个站点在进行相互通信之前， 执行一个安全身份的发现程序， 使得第一站点和第二站点相互确认对方的安全身份， 并且本实施例中的消 息帧均隐藏或者省略了双方站点的 MAC地址， 提高了用户在使用无线通信 时的私密性保护程度。 实施例三：

本发明实施例三提供了一种安全身份通信方法， 该方法为实施例二的 安全身份发现方法的后续通信方法。 图 3示出了该方法示意性流程图。 参考 图 3, 该方法包括： 续实施例二中的 S206, 第二站点接收身份确认帧， 通过安全身份认证 后：

S301: 第一站点发送数据包给第二站点；

第一站点发送的数据包使用双方站点的身份编码进行安全身份标识。 例如， 第一站点的身份编码为 TID Seq., 第二站点的身份编码为 RID Seq., 则第一站点可以在该数据包的发送方地址字段处填写 TID Seq.,在接收方地 址字段处填写 RID Seq.„

若双方站点的身份编码位数超过正常的 MAC地址时， 可以按照一定默 认的方式， 从双方站点的身份编码中提取缩短的身份编码， 例如取后 48比 特， 再将缩短的身份编码放入对应的地址字段。

优选的， 该数据包的帧结构如表 10所示：

表 10

其中， Payload为封装的传输内容。 Payload可以为具体的数据内容， 也 可以是一个封装的帧体。 该数据包空缺或者省略了地址位。

S302: 第二站点发送数据包给第一站点；

第二站点发送的数据包也使用双方站点的身份编码进行安全身份标 识。例如，第一站点的身份编码为 TID Seq.,第二站点的身份编码为 RID Seq., 则第二站点可以在该数据包的发送方地址字段处填写 RID Seq.,在接收方地 址字段处填写 TID Seq.„

若双方站点的身份编码位数超过正常的 MAC地址时， 可以按照一定默 认的方式， 从双方站点的身份编码中提取缩短的身份编码， 例如取后 48比 特， 再将缩短的身份编码放入对应的地址字段。

本实施例提供的该安全身份通信方法， 通过相互确认过对方安全身份 的两个站点， 使用身份编码来标识双方的安全身份进行通信， 并且本实施 例中的消息帧均隐藏或者省略了双方站点的 MAC地址， 提高了用户在使用 无线通信时的私密性保护程度。 实施例四：

本发明实施例四提供了一种安全身份第一站点， 图 5示出了该站点示意 性结构图。 参考图 4, 该站点包括：

第一发送模块， 用于发送身份发现帧； 该身份发现帧携带有第一站点 身份编码和第一密文；

接收模块， 用于接收该第二站点发送的身份认证帧； 该身份认证帧携 带有该第二站点身份编码、 该第一站点身份编码和第二密文；

验证模块， 用于验证该第二站点的身份；

第二发送模块， 用于发送身份确认帧给该第二站点， 该身份确认帧携 带有该第二站点身份编码。

其中， 第一发送模块可以通过向多个好友站点进行周期性广播的方式 来发送身份发现帧， 同时， 非好友站点也有可能接收到该身份发现帧。 第 一站点身份编码和第二站点身份编码均为根据预设算法生成或预先配置的 身份编码。 第一密文为第一站点和第二站点共享的密文， 和 /或第二密文为 第一站点和第二站点共享的密文。

其中， 验证模块具体用于第一站点验证第一密文是否和共享密文相同， 共享密文为第一站点和身份发现帧所发送的目标站点共享的密文。

其中， 身份确认帧还携带有第一站点身份编码。

其中， 身份发现帧还携带有目标站点信息的数量， 目标站点信息还包 括目标站点编号， 所述第一密文为相应编号的目标站点所对应的密文； 身 份认证帧还携带有相应编号。

优选的， 该第一站点还包括计算模块， 该计算模块用于根据该第一站 点的 MAC地址和该身份发现帧所发送的目标站点的 MAC地址， 或者根据该 第一站点的 MAC地址和相应编号的目标站点，通过默认算法 1计算得出该第 一密文； 还用于当该第二密文根据第二站点的 MAC地址和第三 MAC地址， 通过默认算法 3计算所得时，根据所述第一站点的 MAC地址和第二密文， 通 过默认算法 4计算出第四 MAC地址。 此时验证模块具体用于验证第四 MAC 地址是否和身份发现帧所发送的目标站点相匹配。

优选的， 该第一站点还包括加密模块， 该加密模块用于根据该第一站 点的 MAC地址和该身份发现帧所发送的目标站点的 MAC地址， 或者根据该 第一站点的 MAC地址和相应编号的目标站点，通过算法 1计算得出该第一密 文； 还用于当该第二密文根据第二站点的 MAC地址和第三 MAC地址， 通过 算法 3计算所得时， 并且该第二站点返回的身份认证帧还携带有第二指示位 时， 先根据该第二指示位确定算法 4,再根据该算法 4计算出第四 MAC地址。 此时所述验证模块具体用于验证第四 MAC地址是否和身份发现帧所发送的 目标站点相匹配。 实施例五：

本发明实施例五提供了一种用于安全身份通信的第一站点， 图 5示出了 该站点示意性结构图。 参考图 5, 该站点在实施例四及其优选的实施例的基 础上还包括：

第三发送模块， 用于发送数据包给该第二站点， 该数据包携带有发送 方地址信息和接收方地址信息； 该发送方地址信息为该第一站点身份编码， 该接收方地址信息为该第二站点身份编码。

优选的， 该第一站点还包括提取模块， 该提取模块用于当第一站点身 份编码位数超过正常 MAC地址位数时， 从该第一站点身份编码中提取缩短 的身份编码， 并将缩短的身份编码放入该数据包对应的地址信息中。 实施例六: 本发明实施例六提供了一种安全身份第二站点， 图 6示出了该站点示意 性结构图。 参考图 6, 该站点包括：

第一接收模块， 用于接收第一站点发送的身份发现帧， 该身份发现帧 携带有该第一站点身份编码和第一密文；

验证模块， 用于验证该第一站点的身份；

第一发送模块， 用于发送身份认证帧给该第一站点， 该身份认证帧携 带有该第二站点身份编码、 该第一站点身份编码和第二密文；

第二接收模块， 用于接收该第一站点发送的身份确认帧， 该身份确认 帧携带有该第二站点身份编码。

其中， 验证模块具体用于验证第一密文是否和共享密文相同， 共享密 文为第二站点和其好友站点共享的密文。 所述第一站点身份编码为和第二 站点身份编码均为根据预设算法生成或预先配置的身份编码。 第一密文为 第一站点和第二站点共享的密文， 和 /或第二密文为第一站点和第二站点共 享的密文。

其中， 身份发现帧还携带有目标站点信息的数量， 目标站点信息还包 括目标站点编号， 所述第一密文为相应编号的目标站点所对应的密文； 身 份认证帧还携带有相应编号。

优选的， 第二站点还包括确定模块， 该确定模块用于当该身份发现帧 还携带有选取策略指示位时， 根据该选取策略指示位确定该部分 MAC地址 信息的选取算法。

优选的， 该第二站点还包括计算模块， 该计算模块用于当该第一密文 根据该第一站点的 MAC地址和该身份发现帧所发送的目标站点的 MAC地 址， 或者根据第一站点的 MAC地址和相应编号的目标站点的 MAC地址， 通 过默认算法 1计算所得时， 通过默认算法 2计算出第三 MAC地址； 此时验证 模块具体用于验证该第三 MAC地址是否配置在第二战点的好友站点中。 计 算模块还用于根据第二站点的 MAC地址和第三 MAC地址， 通过默认算法 3 计算得出第二密文。

优选的， 该第二站点还包括加密模块， 该加密模块用于当该第一密文 根据该第一站点的 MAC地址和该身份发现帧所发送的目标站点的 MAC地 址， 或者根据第一站点的 MAC地址和相应编号的目标站点的 MAC地址， 通 过算法 1计算所得， 并且该身份发现帧还携带有第一指示位， 该第一指示位 指示了算法 1时， 先根据该第一指示位确定算法 2, 再根据该算法 2计算出第 三 MAC地址； 此时所述验证模块具体用于验证该第三 MAC地址是否配置在 第二战点的好友站点中。 加密模块还用于根据第二站点的 MAC地址和第三 MAC地址， 通过算法 3计算得出第二密文。

优选的， 该第二站点还包括记录模块， 该记录模块用于当该身份确认 帧还携带有否认信息， 该否认信息指示该第二站点未通过身份认证时， 将 该第一站点身份编码记录入陌生人列表， 并在之后一段时间内丢弃携带有 该第一站点身份编码的数据包。 实施例七：

本发明实施例七提供了一种用于安全身份通信的第二站点， 图 7示出了 该站点示意性结构图。 参考图 7, 该站点在实施例六及其优选的实施例的基 础上还包括：

第二发送模块， 用于发送数据包给第一站点， 该数据包携带有发送方 地址信息和接收方地址信息； 该发送方地址信息为该第二站点身份编码， 该接收方地址信息为该第一站点身份编码。

优选的， 该第一站点还包括提取模块， 该提取模块用于当第二站点身 份编码位数超过正常 MAC地址位数时， 从该第二站点身份编码中提取缩短 的身份编码， 并将缩短的身份编码放入该数据包对应的地址信息中。 实施例八: 本发明实施例八提供了一种安全身份发现系统， 图 8示出了该站点示意 性结构图。 参考图 8 , 该系统包括第一站点和第二站点，

其中， 第一站点又包括实施例四中所述的第一发送模块、 接收模块、 验证模块和第二发送模块；

第二站点又包括实施例六中所述的第一接收模块、 验证模块、 第一发 送模块和第二接收模块；

优选的， 该安全身份发现系统中的第二站点还包括实施例六中所述的 确定模块；

优选的， 该安全身份发现系统中的第二站点还包括实施例六中所述的 记录模块。

优选的， 该安全身份发现系统中的第一站点还包括实施例五中所述的 计算模块， 第二站点还包括实施例八中所述的计算模块。

优选的， 该安全身份发现系统中的第一站点还包括实施例五中所述的 加密模块， 第二站点还包括实施例八中所述的加密模块。 实施例九：

本发明实施例九提供了一种安全身份通信系统， 图 8示出了该站点示意 性结构图。 参考图 8 , 该系统包括第一站点和第二站点：

其中， 第一站点又包括实施例四中所述的第一发送模块、 接收模块、 验证模块、 和第二发送模块， 以及实施例五中所述的第三发送模块；

第二站点又包括实施例六中所述的第一接收模块、 验证模块、 第一发 送模块和第二接收模块 , 以及实施例九中所述的第二发送模块。

优选的， 该安全身份发现系统中的第一站点还包括实施例五中所述的 提取模块。

优选的， 该安全身份发现系统中的第二站点还包括实施例七中所述的 提取模块。 优选的， 该安全身份发现系统中的第一站点还包括实施例五中所述的 提取模块， 相应的， 第二站点还包括实施例七中所述的提取模块。 所属领域的技术人员可以清楚地了解到， 为描述的方便和筒洁， 上述 描述的装置和单元的具体工作过程， 可以参考前述方法实施例中的对应过 程， 在此不再赘述。

在本发明所提供的几个实施例中， 应该理解到， 所揭露的装置和方法, 可以通过其它的方式实现。 例如， 以上所描述的装置实施例仅仅是示意性 的， 例如， 所述单元的划分， 仅仅为一种逻辑功能划分， 实际实现时可以 有另外的划分方式， 例如多个单元或组件可以结合或者可以集成到另一个 系统， 或一些特征可以忽略， 或不执行。 另一点， 所显示或讨论的相互之 间的耦合或直接耦合或通信连接可以是通过一些接口， 装置或单元的间接 耦合或通信连接， 可以是电性， 机械或其它的形式。 作为单元显示的部件可以是或者也可以不是物理单元， 即可以位于一个地 方， 或者也可以分布到多个网络单元上。 可以根据实际的需要选择其中的 部分或者全部单元来实现本实施例方案的目的。

另外， 在本发明各个实施例中的各功能单元可以集成在一个处理单元 中， 也可以是各个单元单独物理存在， 也可以两个或两个以上单元集成在 一个单元中。 上述集成的单元既可以采用硬件的形式实现， 也可以采用软 件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销 售或使用时， 可以存储在一个计算机可读取存储介质中。 基于这样的理解, 本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方 案的全部或部分可以以软件产品的形式体现出来， 该计算机软件产品存储 在一个存储介质中， 包括若干指令用以使得一台计算机设备（可以是个人 计算机， 服务器， 或者网络设备等）执行本发明各个实施例所述方法的全 部或部分。 而前述的存储介质包括： U盘、 移动硬盘、 只读存储器（ROM, Read-Only Memory )、 随机存取存储器（RAM, Random Access Memory ) 、 磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式， 使本领域技术人员能够理解或 实现本发明。 对这些实施例的多种修改对本领域的技术人员来说将是显而 易见的， 本文中所定义的一般原理可以在不脱离本发明的精神或范围的情 况下， 在其它实施例中实现。 因此， 本发明将不会被限制于本文所示的这 些实施例， 而是要符合与本文所公开的原理和新颖特点相一致的最宽的范 围。

Claims

权利要求

1、 一种安全身份发现方法， 其特征在于， 包括：

第一站点发送身份发现帧； 所述身份发现帧携带有所述第一站点身份 编码和目标站点信息， 所述目标站点信息包括第一密文；

所述第一站点接收第二站点发送的身份认证帧； 所述身份认证帧携带 有所述第二站点身份编码、 所述第一站点身份编码和第二密文；

所述第一站点验证所述第二站点的身份；

所述第一站点发送身份确认帧给所述第二站点， 所述身份确认帧携带 有所述第二站点身份编码； 或者所述身份确认帧携带有所述第一站点身份 编码和所述第二站点身份编码。

2、 根据权利要求 1所述的方法， 其特征在于， 所述第一站点身份编码 为根据预设算法生成或预先配置的身份编码； 所述第二站点身份编码为根 据预设算法生成或预先配置的身份编码。

3、 根据权利要求 1所述的方法， 其特征在于， 所述身份发现帧还携带 有所述目标站点信息的数量， 所述目标站点信息还包括目标站点编号， 所 述第一密文为相应编号的目标站点所对应的密文； 所述身份认证帧还携带 有所述相应编号。

4、 根据权利要求 1或 3所述的方法， 其特征在于， 所述第一密文为所 述第一站点和第二站点共享的密文， 和 /或所述第二密文为所述第一站点和 第二站点共享的密文。

5、 根据权利要求 1或 3所述的方法， 其特征在于， 所述第一站点验证 所述第二站点的身份， 具体为： 所述第一站点验证所述第二密文是否和共 享密文相同； 所述共享密文为所述第一站点和所述身份发现帧所发送的目 标站点共享的密文。

6、 根据权利要求 1所述的方法， 其特征在于， 所述第一密文根据所述 第一站点的介质访问控制 MAC 地址和所述身份发现帧所发送的目标站点 的 MAC地址，通过默认算法 1计算所得； 所述第二密文根据所述第二站点 的 MAC地址和第三 MAC地址，通过默认算法 3计算所得；所述第三 MAC 地址由所述第二站点根据所述第二站点 MAC地址和所述第一密文，通过默 认算法 2计算所得；

所述第一站点验证所述第二站点的身份， 具体为：

所述第一站点根据所述第一站点的 MAC地址和第二密文，通过默认算 法 4计算出第四 MAC地址， 并验证所述第四 MAC地址是否和所述身份发 现帧所发送的目标站点相匹配。

7、 根据权利要求 3所述的方法， 其特征在于， 所述第一密文根据所述 第一站点的 MAC地址和相应编号的目标站点的 MAC地址， 通过默认算法 1计算所得； 所述第二密文根据所述第二站点的 MAC地址和第三 MAC地 址， 通过默认算法 3计算所得； 所述第三 MAC地址由所述第二站点根据所 述第二站点 MAC地址和所述第一密文， 通过默认算法 2计算所得；

所述第一站点验证所述第二站点的身份， 具体为：

所述第一站点根据所述第一站点的 MAC地址和第二密文，通过默认算 法 4计算出第四 MAC地址， 并验证所述第四 MAC地址是否和所述相应编 号的目标站点相匹配。

8、 根据权利要求 1所述的方法， 其特征在于， 所述第一密文根据所述 第一站点的 MAC地址和所述身份发现帧所发送的目标站点的 MAC地址通 过算法 1 计算所得； 所述目标站点信息还包括第一指示位， 所述第一指示 位指示了所述算法 1;

所述第二密文根据所述第二站点的 MAC地址和第三 MAC地址， 通过 算法 3计算所得； 所述身份认证帧还携带有第二指示位， 所述第二指示位 指示了所述算法 3; 所述第三 MAC地址由所述第二站点根据所述第二站点 MAC地址和所述第一密文， 通过算法 2计算所得； 所述第一站点验证所述第二站点的身份， 具体为：

所述第一站点根据所述第二指示位确定算法 4,然后根据所述第一站点 的 MAC地址和所述第二密文， 通过算法 4计算出第四 MAC地址， 并验证 所述第四 MAC地址是否和所述身份发现帧所发送的目标站点相匹配。

9、 根据权利要求 3所述的方法， 其特征在于， 所述第一密文根据所述 第一站点的 MAC地址和相应编号的目标站点的 MAC地址通过算法 1计算 所得； 所述目标站点信息还包括第一指示位， 所述第一指示位指示了所述 算法 1;

所述第二密文根据所述第二站点的 MAC地址和第三 MAC地址， 通过 算法 3计算所得； 所述身份认证帧还携带有第二指示位， 所述第二指示位 指示了所述算法 3; 所述第三 MAC地址由所述第二站点根据所述第二站点 MAC地址和所述第一密文， 通过算法 2计算所得；

所述第一站点验证所述第二站点的身份， 具体为：

所述第一站点根据所述第二指示位确定算法 4,然后根据所述第一站点 的 MAC地址和所述第二密文， 通过算法 4计算出第四 MAC地址， 并验证 所述第四 MAC地址是否和所述相应编号的目标站点相匹配。

10、 根据权利要求 1或 3所述的方法， 其特征在于， 所述身份确认帧 还携带有否认信息， 所述否认信息指示所述第二站点未通过身份认证； 或 者所述身份确认帧携带有否认信息和特殊值， 所述否认信息指示所述第二 站点未通过身份认证， 所述特殊值指示所述身份确认帧携带有所述否认信

11、 根据权利要求 1一 3任一项所述的方法， 其特征在于， 该方法之后 还包括：

第一站点发送数据包给所述第二站点， 所述数据包携带有发送方地址 信息和接收方地址信息； 所述发送方地址信息为所述第一站点身份编码， 所述接收方地址信息为所述第二站点身份编码； 当所述身份编码位数超过正常 MAC地址位数时，从所述身份编码中提 取缩短的身份编码， 并将所述缩短的身份编码放入所述数据包对应的地址 信息中。

12、 一种安全身份发现方法， 其特征在于， 包括：

第二站点接收第一站点发送的身份发现帧， 所述身份发现帧携带有所 述第一站点身份编码和目标站点信息， 所述目标站点信息包括第一密文； 所述第二站点验证所述第一站点的身份；

所述第二站点发送身份认证帧给所述第一站点， 所述身份认证帧携带 有所述第二站点身份编码、 所述第一站点身份编码和第二密文；

所述第二站点接收所述第一站点发送的身份确认帧， 所述身份确认帧 携带有所述第二站点身份编码； 或者所述身份确认帧携带有所述第一站点 身份编码和所述第二站点身份编码。

13、 根据权利要求 12所述的方法， 其特征在于， 所述第一站点身份编 码为根据预设算法生成或预先配置的身份编码； 所述第二站点身份编码为 根据预设算法生成或预先配置的身份编码。

14、 根据权利要求 12所述的方法， 其特征在于， 所述身份发现帧还携 带有所述目标站点信息的数量， 所述目标站点信息还包括目标站点编号， 所述第一密文为相应编号的目标站点所对应的密文； 所述身份认证帧还携 带有所述相应编号。

15、 根据权利要求 12或 14所述的方法， 其特征在于， 所述第一密文 为所述第一站点和第二站点共享的密文， 和 /或所述第二密文为所述第一站 点和第二站点共享的密文。

16、 根据权利要求 12所述的方法， 其特征在于， 所述第二站点验证所 述第一站点的身份， 具体为： 所述第二站点验证所述第一密文是否和共享 密文相同； 所述共享密文为所述第二站点和其好友站点共享的密文。

17、 根据权利要求 14所述的方法， 其特征在于， 所述第二站点验证所 述第一站点的身份， 具体为： 所述第二站点验证所述第一密文是否和共享 密文相同； 所述共享密文为所述第二站点和其好友站点共享的密文。

18、 根据权利要求 12所述的方法， 其特征在于， 所述第一密文根据所 述第一站点的介质访问控制 MAC地址和所述身份发现帧所发送的目标站 点的 MAC地址， 通过默认算法 1计算所得；

所述第二站点验证所述第一站点的身份， 具体为：

所述第二站点根据所述第二站点的 MAC地址和所述第一密文，通过默 认算法 2计算出第三 MAC地址， 并验证所述第三 MAC地址是否和自己的 好友站点相匹配；

所述第二站点发送身份认证帧给所述第一站点， 具体为：

若所述第三 MAC地址和所述第二站点的好友站点相匹配，则发送身份 认证帧给所述第一站点； 所述身份认证帧携带的所述第二密文根据所述第 二站点的 MAC地址和所述第三 MAC地址， 通过默认算法 3计算所得。

19、 根据权利要求 14所述的方法， 其特征在于， 所述第一密文根据所 述第一站点的 MAC地址和相应编号的目标站点的 MAC地址， 通过默认算 法 1计算所得；

所述第二站点验证所述第一站点的身份， 具体为：

所述第二站点根据所述第二站点的 MAC地址和所述第一密文，通过默 认算法 2计算出第三 MAC地址， 并验证所述第三 MAC地址是否和自己的 好友站点相匹配；

所述第二站点发送身份认证帧给所述第一站点， 具体为：

若所述第三 MAC地址和所述第二站点的好友站点相匹配，则发送身份 认证帧给所述第一站点； 所述身份认证帧携带有所述相应编号和所述第二 密文；所述第二密文根据所述第二站点的 MAC地址和所述第三 MAC地址， 通过默认算法 3计算所得。

20、 根据权利要求 12所述的方法， 其特征在于， 所述第一密文根据所 述第一站点的 MAC地址和所述身份发现帧所发送的目标站点的 MAC地址 通过算法 1 计算所得； 所述目标站点信息还包括第一指示位， 所述第一指 示位指示了所述算法 1;

所述第二站点验证所述第一站点的身份， 具体为：

所述第二站点根据所述第一指示位确定算法 2,再根据所述第二站点的 MAC地址和所述第一密文， 通过所述算法 2计算出第三 MAC地址， 并验 证所述第三 MAC地址是否和自己的好友站点相匹配；

所述第二站点发送身份认证帧， 具体为：

若所述第三 MAC地址和所述第二站点的好友站点相匹配，则发送身份 认证帧给所述第一站点； 所述身份认证帧携带有第二密文和第二指示位； 所述第二密文根据所述第二站点的 MAC地址和第三 MAC地址， 通过算法 3计算所得； 所述第二指示位指示了所述算法 3。

21、 根据权利要求 14所述的方法， 其特征在于， 所述第一密文根据所 述第一站点的 MAC地址和相应编号的目标站点的 MAC地址通过算法 1计 算所得； 所述目标站点信息还包括第一指示位， 所述第一指示位指示了所 述算法 1;

所述第二站点验证所述第一站点的身份， 具体为：

所述第二站点根据所述第一指示位确定算法 2,再根据所述第二站点的 MAC地址和所述第一密文， 通过所述算法 2计算出第三 MAC地址， 并验 证所述第三 MAC地址是否和自己的好友站点相匹配；

所述第二站点发送身份认证帧， 具体为：

若所述第三 MAC地址和所述第二站点的好友站点相匹配，则发送身份 认证帧给所述第一站点； 所述身份认证帧携带有所述相应编号、 所述第二 密文和第二指示位； 所述第二密文根据所述第二站点的 MAC地址和第三 MAC地址通过算法 3计算所得； 所述第二指示位指示了所述算法 3。

22、 根据权利要求 16— 21任一项所述的方法， 其特征在于， 所述目标 站点信息还包括所述身份发现帧所发送的目标站点的部分介质访问控制

MAC地址信息； 则所述第二站点在所述部分 MAC地址信息和所述第二站 点的 MAC地址相匹配时， 验证所述第一站点的身份。

23、 根据权利要求 22所述的方法， 其特征在于， 所述目标站点信息还 包括选取策略指示位， 所述选取策略指示位指示了在所述目标站点的 MAC 地址中选取所述部分 MAC地址信息的算法；则所述第二站点根据所述选取 策略指示位确定所述部分 MAC地址信息的选取算法， 并在所述部分 MAC 地址信息和所述第二站点的 MAC地址相匹配时， 验证所述第一站点的身 份。

24、 根据权利要求 12或 14所述的方法， 其特征在于， 所述身份确认 帧还携带有否认信息， 所述否认信息指示所述第二站点未通过身份认证； 或者所述身份确认帧携带有否认信息和特殊值， 所述否认信息指示所述第 二站点未通过身份认证， 所述特殊值指示所述身份确认帧携带有所述否认 信息。

25、 根据权利要求 24所述的方法， 其特征在于， 该方法之后还包括： 所述第二站点将所述第一站点身份编码记录入陌生人列表， 并在之后 一段时间内丢弃携带有所述第一站点身份编码的数据包； 所述一段时间的 长度根据第二站点内的计数器控制。

26、 根据权利要求 12— 14任一项所述的方法， 其特征在于， 该方法之 后还包括：

第二站点发送数据包给所述第一站点， 所述数据包携带有发送方地址 信息和接收方地址信息； 所述发送方地址信息为所述第二站点身份编码， 所述接收方地址信息为所述第一站点身份编码；

当所述身份编码位数超过正常 MAC地址位数时，从所述身份编码中提 取缩短的身份编码， 并将所述缩短的身份编码放入所述数据包对应的地址 信息中。

27、 一种安全身份第一站点， 其特征在于， 包括：

第一发送模块， 用于发送身份发现帧； 所述身份发现帧携带有所述第 一站点身份编码和目标站点信息， 所述目标站点信息包括第一密文；

接收模块， 用于接收所述第二站点发送的身份认证帧； 所述身份认证 帧携带有所述第二站点身份编码、 所述第一站点身份编码和第二密文； 验证模块， 用于验证所述第二站点的身份；

第二发送模块， 用于发送身份确认帧给所述第二站点， 所述身份确认 帧携带有所述第二站点身份编码； 或者所述身份确认帧携带有所述第一站 点身份编码和所述第二站点身份编码。

28、 根据权利要求 27所述的第一站点， 其特征在于， 所述第一站点还 包括计算模块， 所述计算模块用于根据所述第一站点的介质访问控制 MAC 地址和所述身份发现帧所发送的目标站点的 MAC地址， 通过默认算法 1 计算得出所述第一密文； 或者， 当所述身份发现帧还携带有所述目标站点 信息的数量， 所述目标站点信息还包括目标站点编号， 所述第一密文为相 应编号的目标站点所对应的密文时， 所述所述计算模块用于根据所述第一 站点的 MAC地址和相应编号的目标站点的 MAC地址， 通过默认算法 1计 算得出所述第一密文；

所述计算模块还用于当所述第二密文根据所述第二站点的 MAC地址 和第三 MAC地址，通过默认算法 3计算所得时，根据所述第一站点的 MAC 地址和第二密文， 通过默认算法 4计算出第四 MAC地址； 所述第三 MAC 地址由所述第二站点根据所述第二站点 MAC地址和所述第一密文，通过默 认算法 2计算所得；

此时所述验证模块具体用于验证所述第四 MAC地址是否和所述身份 发现帧所发送的目标站点相匹配。

29、 根据权利要求 27所述的第一站点， 其特征在于， 所述第一站点还 包括加密模块，所述加密模块用于根据所述第一站点的 MAC地址和所述身 份发现帧所发送的目标站点的 MAC地址，通过算法 1计算得出所述第一密 文； 或者， 当所述身份发现帧还携带有所述目标站点信息的数量， 所述目 标站点信息还包括目标站点编号， 所述第一密文为相应编号的目标站点所 对应的密文时，所述加密模块用于根据所述第一站点的 MAC地址和相应编 号的目标站点的 MAC地址， 通过算法 1计算得出所述第一密文；

所述加密模块还用于当所述第二密文根据所述第二站点的 MAC地址 和第三 MAC地址，通过算法 3计算所得、并且所述身份认证帧还携带有第 二指示位， 所述第二指示位指示了所述算法 3 时， 先根据所述第二指示位 确定算法 4, 再根据所述第一站点的 MAC地址和所述第二密文， 通过算法 4计算出第四 MAC地址； 所述第三 MAC地址由所述第二站点根据所述第 二站点 MAC地址和所述第一密文， 通过算法 2计算所得；

此时所述验证模块具体用于验证所述第四 MAC地址是否和所述身份 发现帧所发送的目标站点相匹配。

30、 根据权利要求 27所述的第一站点， 其特征在于， 所述第一站点还 包括第三发送模块， 所述第三发送模块用于发送数据包给所述第二站点， 所述数据包携带有发送方地址信息和接收方地址信息； 所述发送方地址信 息为所述第一站点身份编码， 所述接收方地址信息为所述第二站点身份编 码； 或者，

所述第一站点还包括第三发送模块和提取模块， 所述第三发送模块用 于发送数据包给所述第二站点， 所述数据包携带有发送方地址信息和接收 方地址信息； 所述发送方地址信息为所述第一站点身份编码， 所述接收方 地址信息为所述第二站点身份编码； 所述提取模块用于当所述身份编码位 数超过正常 MAC地址位数时，从所述身份编码中提取缩短的身份编码， 并 将所述缩短的身份编码放入所述数据包对应的地址信息中。

31、 一种安全身份第二站点， 其特征在于， 包括：

第一接收模块， 用于接收第一站点发送的身份发现帧， 所述身份发现 帧携带有所述第一站点身份编码和目标站点信息， 所述目标站点信息包括 第一密文；

验证模块， 用于验证所述第一站点的身份；

第一发送模块， 用于发送身份认证帧给所述第一站点， 所述身份认证 帧携带有所述第二站点身份编码、 所述第一站点身份编码和第二密文； 第二接收模块， 用于接收所述第一站点发送的身份确认帧， 所述身份 确认帧携带有所述第二站点身份编码； 或者所述身份确认帧携带有所述第 一站点身份编码和所述第二站点身份编码。

32、 根据权利要求 31所述的第二站点， 其特征在于， 所述第二站点还 包括计算模块， 所述计算模块用于当所述第一密文根据所述第一站点的介 质访问控制 MAC地址和所述身份发现帧所发送的目标站点的 MAC地址， 通过默认算法 1计算所得时，通过默认算法 2计算出第三 MAC地址；或者， 当所述身份发现帧还携带有所述目标站点信息的数量， 所述目标站点信息 还包括目标站点编号， 所述第一密文为相应编号的目标站点所对应的密文， 并且所述第一密文根据所述第一站点的 MAC地址和相应编号的目标站点 的 MAC地址，通过默认算法 1计算所得时， 所述计算模块用于通过默认算 法 2计算出第三 MAC地址

此时所述验证模块具体用于验证所述第三 MAC地址是否和所述第二 战点的好友站点相匹配；

所述计算模块还用于根据所述第二站点的 MAC地址和所述第三 MAC 地址， 通过默认算法 3计算得出所述第二密文。

33、 根据权利要求 31所述的第二站点， 其特征在于， 所述第二站点还 包括加密模块， 所述加密模块用于当所述第一密文根据所述第一站点的 MAC地址和所述身份发现帧所发送的目标站点的 MAC地址通过算法 1计 算所得， 并且所述目标站点信息还包括第一指示位时， 先根据所述第一指 示位确定算法 2, 再根据所述第二站点的 MAC地址和所述第一密文， 通过 所述算法 2计算出第三 MAC地址；此时所述验证模块具体用于验证所述第 三 MAC地址是否和所述第二战点的好友站点相匹配；

所述加密模块还用于根据所述第二站点的 MAC地址和所述第三 MAC 地址， 通过算法 3计算得出所述第二密文。

34、 根据权利要求 31所述的第二站点， 其特征在于， 所述第二站点还 包括记录模块， 所述记录模块用于当所述身份确认帧还携带有否认信息， 所述否认信息指示所述第二站点未通过身份认证时， 将所述第一站点身份 编码记录入陌生人列表， 并在之后一段时间内丢弃携带有所述第一站点身 份编码的数据包。

35、 根据权利要求 31所述的第二站点， 其特征在于， 所述第二站点还 包括第二发送模块， 所述第二发送模块用于发送数据包给所述第一站点， 所述数据包携带有发送方地址信息和接收方地址信息； 所述发送方地址信 息为所述第二站点身份编码， 所述接收方地址信息为所述第一站点身份编 码； 或者，

所述第二站点还包括第二发送模块和提取模块， 所述第二发送模块用 于发送数据包给所述第一站点， 所述数据包携带有发送方地址信息和接收 方地址信息； 所述发送方地址信息为所述第二站点身份编码， 所述接收方 地址信息为所述第一站点身份编码； 所述提取模块用于当所述身份编码位 数超过正常 MAC地址位数时，从所述身份编码中提取缩短的身份编码， 并 将所述缩短的身份编码放入所述数据包对应的地址信息中。

36、 一种安全身份发现系统， 其特征在于， 包括权利要求 27所述的第 一站点和权利要求 31所述的第二站点。

37、 一种安全身份通信系统， 其特征在于， 包括权利要 30所述的第一 站点和权利要求 35所述的第二站点。