WO2013181830A1

WO2013181830A1 - 关联标识通信装置和关联标识通信方法

Info

Publication number: WO2013181830A1
Application number: PCT/CN2012/076610
Authority: WO
Inventors: 董贤东
Original assignee: 宇龙计算机通信科技(深圳)有限公司
Priority date: 2012-06-07
Filing date: 2012-06-07
Publication date: 2013-12-12
Also published as: CN104335621B; CN104335621A

Abstract

本发明提供关联标识通信装置和方法，其中，装置包括：业务处理模块，通过无线收发模块接收终端的初始入网连接请求消息，与终端进行身份认证以及会话密钥协商，得到会话密钥，用会话密钥加密关联标识，并通过无线收发模块发送给终端；无线收发模块，用于与关联标识通信装置外部交互数据。通过本发明，能够保证AP将AID安全地发送到STA，防止AID被攻击者轻易获取并利用，从而对无线网络攻击，而危害到无线网络的安全。

Description

关联标识通信装置和关联标识通信方法技术领域

本发明涉及通信技术领域，具体而言，涉及关联标识通信装置和关联标识通信方法。背景技术

在 IEEE (美国电气和电子工程师协会） 802.11 中成立了 l lah 项目组， l lah的主要特点就是支持长距、低速通信，所谓长距就是指覆盖半径范围为 1km, 而传统的信号覆盖半径为 100m, 低速是指最低传输速率为 200kbps, 传统的传输速率都是 Mbps 级。 l lah 项目主要应用到传感网络或是应用到智能仪表，像 gas meter (煤气表），这种网络或仪表有一个特点，就是每次传输的数据量都很小，可能就是几个 bit (比特），但是通信频繁。

在现有标准中，消息中 MAC (媒介访问控制）帧的帧格式如图 1 所示。其中 Frame body (帧体）中就是上面提到的数据量，在传感网络中每次通信的数据量都很小，但现有规范中 MAC 头有 36个字节，即 288 个比特位，这样每次传输数据时可能数据量比 MAC 头还要小，这样带来了不必要的开销（显得头重脚轻），不利于 STA ( station, 终端、站点）省电。所以在 l lah项目中，对 MAC帧格式 #文了新的定义，称为压缩 MAC 帧，其格式 Compressed MAC frame format :¾口图 2所示。

对比图 1和图 1示出的这两种帧格式，可以发现压缩的 MAC帧格式比正常帧格式除掉了一些子域，像 Address4、 Duration/ID、 QoS Control 等，同时用 AID ( 2 octets , 2 个字节）代替了 Address 1 , AID 为 ( association identifier ) 关联标识，长度是 16 比特位，是 STA 加入 WLAN网络时，由 AP ( access point, 接入点 ) 分配给 STA在这个 WLAN (无线局域网）网络中的唯一标识，且这个 AID 是由 AP 在 Association response关联相应消息中以明文的形式发送给 STA的。

由于 AID是在关联响应过程中， AP以明文的方式发送给 STA, STA 获得 AID流程示意图如图 3所示，且在 l lah新定义的压缩 MAC帧格式已经用 AID来替代 MAC地址（Address 1 ) 来进行寻址，所以 AID很容易被攻击者抓包获得且利用，甚至伪造 AID对网络进行攻击。

因此，需要一种新的技术方案，能够保证 AP 将 AID 安全地发送到 STA, 防止 AID被攻击者轻易获取并利用，从而对无线网络攻击，而危害到无线网络的安全。发明内容

本发明所要解决的技术问题在于，提供一种新的技术方案，能够保证 AP将 AID安全地发送到 STA, 防止 AID被攻击者轻易获取并利用，从而对无线网络攻击，而危害到无线网络的安全。

有鉴于此，本发明提供一种关联标识通信装置，包括：业务处理模块，通过无线收发模块接收终端的初始入网连接请求消息，与所述终端进行身份认证以及会话密钥协商，得到所述会话密钥，用所述会话密钥加密关联标识，并通过所述无线收发模块发送给所述终端；所述无线收发模块，用于与所述关联标识通信装置外部交互数据。在该技术方案中，关联标识通信装置可以是路由器、手机、平板电脑、笔记本电脑等设备，可作为 AP , 业务处理模块相当于处理无线局域网业务的芯片，无线收发模块相当于收发无线局域网信号的天线， AP将 AID提供给 STA之前，可以先通过认证服务器与 STA进行身份验证以及会话密钥协商，以将 AID安全地传输给 STA, 避免提供给恶意攻击者，也就保证了无线局域网络的安全。

在上述技术方案中，优选地，所述初始入网连接请求消息包括探测请求消息和 /或关联请求消息。在该技术方案中， AP 可以在接收到 probe request (探测请求）消息或 association request (关联请求）消息时，执行与 STA的身份认证以及密钥协商。

在上述技术方案中，优选地，所述业务处理模块在接收到所述关联请求消息后，还通过所述无线收发模块向所述终端返回关联响应消息，其中，所述关联响应消息中不包含所述关联标识。在该技术方案中，保证返回给 STA的 association response消息中，不再包含 AID , 这就保证恶意攻击者不再能够从关联响应消息中即可轻易地获取 AID , 保证了网络的安全。

在上述技术方案中，优选地，所述会话密钥包括组临时密钥。在该技术方案中，会话密钥可以是 GTK ( group temporal key , 组临时密钥），本领域技术人员应当理解，除了 GTK之外，其他类似类型的加密密钥也可以使用在本技术方案中。

本发明还提供一种关联标识通信方法，包括：接收终端的初始入网连接请求消息，与终端进行身份认证以及会话密钥协商；得到所述会话密钥，用所述会话密钥加密关联标识并发送给所述终端。在该技术方案中， ΑΡ将 AID提供给 STA之前，可以先通过认证服务器与 STA进行身份验证以及会话密钥协商，以将 AID 安全地传输给 STA, 避免提供给恶意攻击者，也就保证了无线局域网络的安全。

在该技术方案中，优选地，所述初始入网连接请求消息包括探测请求消息和 /或关联请求消息。在该技术方案中， AP 可以在接收到 probe request (探测请求）消息或 association request (关联请求）消息时，执行与 STA的身份认证以及密钥协商。

在上述技术方案中，优选地，还包括：在接收到所述关联请求消息后，向所述终端返回关联响应消息，其中，所述关联响应消息不包含所述关联标识。在该技术方案中，保证返回给 STA的 association response消息中，不再包含 AID , 这就保证恶意攻击者不再能够从关联响应消息中即可轻易地获取 AID , 保证了网络的安全。

本发明还提供一种关联标识通信装置，包括：业务处理模块，生成初始入网连接请求消息，通过无线收发模块发送所述初始入网连接请求消息，与接入点进行身份认证以及密钥协商并得到会话密钥，通过所述无线收发模块从所述接入点接收加密的关联标识；无线收发模块，用于与所述关联标识通信装置外部交互数据。在该技术方案中，关联标识通信装置可以是手机、平板电脑和笔记本电脑，可作为 STA, 业务处理模块相当于处理无线局域网业务的芯片，无线收发模块相当于收发无线局域网信号的天线， STA在发出初始入网连接请求消息之后，基于网络安全方面的考虑，需要先与 AP进行身份验证以及密钥协商，以避免将 AID被恶意攻击者获取，也就保证了无线局域网络的安全。

在上述技术方案中，优选地，所述业务处理模块在发出所述关联请求消息后，还通过所述无线收发模块从所述接入点接收关联响应消息，所述关联响应消息中不包含所述关联标识。在该技术方案中， STA从 AP接收到的 association response消息后，已知其中不会包括 AID , 所以可以忽略 association response中 AID域中的信息，消除了获取错误 AID的可能性。

在上述技术方案中，优选地，所述业务处理模块接收所述关联标识后，用所述会话密钥对所述关联标识进行解密处理。在该技术方案中， STA按约定的会话密钥解密 AID后，可以利用 AID顺利地与 AP建立初始入网连接。

本发明还提供一种关联标识通信方法，包括：生成初始入网连接请求消息；发送所述初始入网连接请求消息，与接入点进行身份认证以及密钥协商，并得到会话密钥；从所述接入点接收加密的关联标识。在该技术方案中， STA 在发出初始入网连接请求消息之后，基于网络安全方面的考虑，需要先与 AP进行身份验证以及密钥协商，以避免将 AID被恶意攻击者获取，也就保证了无线局域网络的安全。

在上述技术方案中，优选地，还包括：在发出所述关联请求消息后，从所述接入点接收关联响应消息，所述关联响应消息中不包含所述关联标识。 STA从 AP接收到的 association response消息后，已知其中不会包括 AID , 所以可以忽略 association response中 AID域中的信息，消除了获取错误 AID的可能性。

在上述技术方案中，优选地，还包括：接收所述关联标识后，用所述会话密钥对所述关联标识进行解密处理。在该技术方案中， STA按约定的会话密钥解密 AID后，可以利用 AID顺利地与 AP建立初始入网连接。

通过以上技术方案，可以实现关联标识通信装置和关联标识通信方法，能够保证 ΑΡ将 AID安全地发送到 STA, 防止 AID被攻击者轻易获取并利用，从而对无线网络攻击，而危害到无线网络的安全。附图说明

图 1是现有技术的媒介访问控制帧的格式示意图；

图 2是压缩媒介访问控制帧的格式示意图；

图 3是根据现有技术的关联标识通信的示意图；

图 4是根据本发明的一个实施例的关联标识通信装置的框图；图 5是根据本发明的一个实施例的关联标识通信方法的流程图；图 6是根据本发明的一个实施例的关联标识通信装置的框图；图 7是根据本发明的一个实施例的关联标识通信方法的流程图；图 8是根据本发明的一个实施例的关联标识通信装置进行关联标识通信的示意图。具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不沖突的情况下，本申请的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。

图 4是根据本发明的一个实施例的关联标识通信装置的框图。

如图 4所示，本发明提供一种关联标识通信装置 400, 包括：业务处理模块 402 , 通过无线收发模块 404接收终端的初始入网连接请求消息，与所述终端进行身份认证以及会话密钥协商，得到所述会话密钥，用所述会话密钥加密关联标识，并通过所述无线收发模块 404发送给所述终端；所述无线收发模块 404 , 用于与所述关联标识通信装置 400 外部交互数据。在该技术方案中，关联标识通信装置 400可以是路由器、手机、平板电脑、笔记本电脑等设备，可作为 AP, 业务处理模块 402 相当于处理无线局域网业务的芯片，无线收发模块 404相当于收发无线局域网信号的天线， AP将 AID提供给 STA之前，可以先与 STA进行身份验证以及会话密钥协商，以将 AID 安全地传输给 STA, 避免提供给恶意攻击者，也就保证了无线局域网络的安全。

在上述技术方案中，所述初始入网连接请求消息包括探测请求消息和 /或关联请求消息。在该技术方案中， AP 可以在接收到 probe request (探测请求）消息或 association request (关联请求）消息时，执行与 STA 的身份认证以及密钥协商。

在上述技术方案中，所述业务处理模块 402在接收到所述关联请求消息后，还通过所述无线收发模块 404 向所述终端返回关联响应消息，其中，所述关联响应消息中不包含所述关联标识。在该技术方案中，保证返回给 STA的 association response消息中，不再包含 AID , 这就保证恶意攻击者不再能够从关联响应消息中即可轻易地获取 AID , 保证了网络的安全。

在上述技术方案中，所述会话密钥包括组临时密钥。在该技术方案中，会话密钥可以是 GTK ( group temporal key , 组临时密钥），本领域技术人员应当理解，除了 GTK之外，其他类似类型的加密密钥也可以使用在本技术方案中。

图 5是根据本发明的一个实施例的关联标识通信方法的流程图。

如图 5 所示，本发明还提供一种关联标识通信方法，包括：步骤 502 , 接收终端的初始入网连接请求消息，与终端进行身份认证以及会话密钥协商；步骤 504 , 得到所述会话密钥，用所述会话密钥加密关联标识并发送给所述终端。在该技术方案中， ΑΡ将 AID提供给 STA之前，可以先与 STA 进行身份验证以及会话密钥协商，以将 AID 安全地传输给 STA, 避免提供给恶意攻击者，也就保证了无线局域网络的安全。

在该技术方案中，所述初始入网连接请求消息包括探测请求消息和 / 或关联请求消息。在该技术方案中， AP可以在接收到 probe request (探测请求）消息或 association request (关联请求）消息时，执行与 STA 的身份认证以及密钥协商。

在上述技术方案中，还包括：在接收到所述关联请求消息后，向所述终端返回关联响应消息，其中，所述关联响应消息不包含所述关联标识。在该技术方案中，保证返回给 STA的 association response消息中, 不再包含 AID , 这就保证恶意攻击者不再能够从关联响应消息中即可轻易地获取 AID, 保证了网络的安全。

在上述技术方案中，所述会话密钥包括组临时密钥。在该技术方案中，会话密钥可以是 GTK ( group temporal key , 组临时密钥），本领域技术人员应当理解，除了 GTK之外，其他类似类型的加密密钥也可以使用在本技术方案中。图 6是根据本发明的一个实施例的关联标识通信装置的框图。

如图 6所示，本发明还提供一种关联标识通信装置 600 , 包括：业务处理模块 602 , 生成初始入网连接请求消息，通过无线收发模块 604发送所述初始入网连接请求消息，与接入点进行身份认证以及密钥协商并得到会话密钥，通过所述无线收发模块 604 从所述接入点接收加密的关联标识；无线收发模块 604 , 用于与所述关联标识通信装置 600 外部交互数据。在该技术方案中，关联标识通信装置 600可以是手机、平板电脑和笔记本电脑，可作为 STA, 业务处理模块 602相当于处理无线局域网业务的芯片，无线收发模块 604相当于收发无线局域网信号的天线， STA在发出初始入网连接请求消息之后，基于网络安全方面的考虑，需要先与 AP 进行身份验证以及密钥协商，以避免将 AID 被恶意攻击者获取，也就保证了无线局域网络的安全。

在上述技术方案中，所述业务处理模块 602在发出所述关联请求消息后，还通过所述无线收发模块 604从所述接入点接收关联响应消息，所述关联响应消息中不包含所述关联标识。在该技术方案中， STA从 AP接收到的 association response消息后，已知其中不会包括 AID , 所以可以忽略 association response中 AID域中的信息，消除了获取错误 AID的可能性。

在上述技术方案中，所述业务处理模块 602接收所述关联标识后，用所述会话密钥对所述关联标识进行解密处理。在该技术方案中， STA按约定的会话密钥解密 AID后，可以利用 AID顺利地与 AP建立初始入网连接。

在上述技术方案中，所述会话密钥包括组临时密钥。在该技术方案中，会话密钥可以是 GTK ( group temporal key , 组临时密钥），本领域技术人员应当理解，除了 GTK之外，其他类似类型的加密密钥也可以使用在本技术方案中。图 7是根据本发明的一个实施例的关联标识通信方法的流程图。

如图 7 所示，本发明还提供一种关联标识通信方法，包括：步骤 702 , 生成初始入网连接请求消息；步骤 704 , 发送所述初始入网连接请求消息，与接入点进行身份认证以及密钥协商，并得到会话密钥；步骤 706 , 从所述接入点接收加密的关联标识。在该技术方案中， STA 在发出初始入网连接请求消息之后，基于网络安全方面的考虑，需要先与 AP 进行身份验证以及密钥协商，以避免将 AID 被恶意攻击者获取，也就保证了无线局域网络的安全。

图 8是根据本发明的一个实施例的关联标识通信装置间进行关联标识通信的示意图。

在本发明的一个实施例中，本发明提供了一种 AID 加密传输的方案，有效的制止了 AID 被网络攻击者获取，以利用 AID 对网络进行攻击。为了不让 AID 以明文的方式暴露给攻击者，通过本实施例中的关联标识通信装置所实现的 AP和 STA, 改变了现有 AID分配的规范流程，即 AP返回给 STA的 association response (关联响应 ) 消息中不带 AID, 而是等到 STA与 AP完成 EAP认证， STA与 AP双方协商完会话密钥后，由 STA向 AP发送初始入网连接请求消息获得 AID, AP用会话密钥加密 AID发送给 STA, 具体流程如图 8所示：

步骤 802 , STA向 AP发出 association request (关联请求 ) 消息。步骤 804, AP向 STA返回 association response (关联响应 ) 消息, 这其中不包含 AID。

步骤 806, STA与 AP之间进行 EAP (可扩展身份认证协议 )认证，完成四次握手。

步骤 808 , 身份认证完成后， STA向 AP发出 AID request (关联标识请求），并与 AP约定加密密钥。

步骤 810, AP向 STA返回 AID response (关联标识响应 ) 消息，该消息中包含了通过会话密钥加密过的 AID。

需要注意的是，本实施中 AP也可以在接收到 STA的 probe request之后，就执行与 STA 的身份验证以及密钥协商，并根据约定的密钥将 AID 加密，再发送给 STA。

通过本发明的技术方案，可以实现关联标识通信装置和关联标识通信方法，解决了 AID 被攻击者利用，对网络进行攻击的问题，提高了网络的安全性。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种关联标识通信装置，其特征在于，包括：

业务处理模块，通过无线收发模块接收终端的初始入网连接请求消息，与所述终端进行身份认证以及会话密钥协商，得到所述会话密钥，用所述会话密钥加密关联标识，并通过所述无线收发模块发送给所述终端；所述无线收发模块，用于与所述关联标识通信装置外部交互数据。

2. 根据权利要求 1 所述的关联标识通信装置，其特征在于，所述初始入网连接请求消息包括探测请求消息和 /或关联请求消息。

3. 根据权利要求 2 所述的关联标识通信装置，其特征在于，所述业务处理模块在接收到所述关联请求消息后，还通过所述无线收发模块向所述终端返回关联响应消息，其中，所述关联响应消息中不包含所述关联标识。

4. 根据权利要求 1 至 3 中任一项所述的关联标识通信装置，其特征在于，所述会话密钥包括组临时密钥。

5. 一种关联标识通信方法，其特征在于，包括：

接收终端的初始入网连接请求消息，与所述终端进行身份认证以及会话密钥协商；

得到所述会话密钥，用所述会话密钥加密关联标识并发送给所述终端。

6. 根据权利要求 5 所述的关联标识通信方法，其特征在于，所述初始入网连接请求消息包括探测请求消息和 /或关联请求消息。

7. 根据权利要求 6 所述的关联标识通信方法，其特征在于，还包括：

在接收到所述关联请求消息后，向所述终端返回关联响应消息，其中，所述关联响应消息不包含所述关联标识。

8. 根据权利要求 5 至 7 中任一项所述的关联标识通信方法，其特征在于，所述会话密钥包括组临时密钥。

9. 一种关联标识通信装置，其特征在于，包括：

业务处理模块，生成初始入网连接请求消息，通过无线收发模块发送所述初始入网连接请求消息，与接入点进行身份认证以及密钥协商并得到会话密钥，通过所述无线收发模块从所述接入点接收加密的关联标识；无线收发模块，用于与所述关联标识通信装置外部交互数据。

10. 根据权利要求 9 所述的关联标识通信装置，其特征在于，所述初始入网连接请求消息包括探测请求消息和 /或关联请求消息。

11. 根据权利要求 10 所述的关联标识通信装置，其特征在于，所述业务处理模块在发出所述关联请求消息后，还通过所述无线收发模块从所述接入点接收关联响应消息，所述关联响应消息中不包含所述关联标识。

12. 根据权利要求 9所述的关联标识通信装置，其特征在于，所述业务处理模块接收所述关联标识后，用所述会话密钥对所述关联标识进行解密处理。

13. 根据权利要求 9 至 12 中任一项所述的关联标识通信装置，其特征在于，所述会话密钥包括组临时密钥。

14. 一种关联标识通信方法，其特征在于，包括：

生成初始入网连接请求消息；

发送所述初始入网连接请求消息，与接入点进行身份认证以及密钥协商，并得到会话密钥；

从所述接入点接收加密的关联标识。

15. 根据权利要求 14所述的关联标识通信方法，其特征在于，所述初始入网连接请求消息包括探测请求消息和 /或关联请求消息。

16. 根据权利要求 15 所述的关联标识通信方法，其特征在于，还包括：

在发出所述关联请求消息后，从所述接入点接收关联响应消息，所述关联响应消息中不包含所述关联标识。

17. 根据权利要求所述 14 的关联标识通信方法，其特征在于，还包括：

接收所述关联标识后，用所述会话密钥对所述关联标识进行解密处理。

18. 根据权利要求 14至 17中任一项所述的关联标识通信方法，其特征在于，所述会话密钥包括组临时密钥。