WO2014032442A1

WO2014032442A1 - 传输数据的方法、接入点和站点

Info

Publication number: WO2014032442A1
Application number: PCT/CN2013/076241
Authority: WO
Inventors: 伍天宇; 禄彼得; 李云波
Original assignee: 华为技术有限公司
Priority date: 2012-08-31
Filing date: 2013-05-27
Publication date: 2014-03-06
Also published as: EP2874423A1; CN103686702A; EP2874423B1; US20150172918A1; EP2874423A4

Abstract

本发明提供了传输数据的方法、接入点和站点。该方法包括：生成密钥；向站点发送该密钥；接收下行数据请求帧；根据该密钥，对该下行数据请求帧进行验证并获得验证结果；如果该验证结果为该下行数据请求帧正确，则向该站点发送下行数据。本发明实施例中，通过生成密钥并向站点发送该密钥，并在接收到下行数据请求帧后，如果根据该密钥验证该下行数据请求帧正确，则向该站点发送下行数据，因此能够防止第三方站点冒充该站点盗取下行数据，从而能够保证网络的安全性。

Description

传输数据的方法、接入点和站点本申请要求于 2012 年 8 月 31 日提交中国专利局、申请号为 201210317221.2、发明名称为"传输数据的方法、接入点和站点 "的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及通信领域，并且具体地，涉及传输数据的方法、接入点和站点。背景技术

在无线局域网（Wireless Local Area Networks, WLAN )系统中，省电性能是一项重要的性能指标。大部分 WLAN的站点（Station, STA )都工作在省电模式下。在这种模式下，没有数据需要传输时， STA会处于睡眠状态。 AP将定时发送信标（Beacon ) 帧，并且在 Beacon 帧中携带通信指示映射 ( Traffic Indication Map, TIM )元素（element )指示本基本服务集（Basic Service Set, BSS )中哪些 STA有下行数据。如果 STA醒来后在 beacon帧中的 TIM 域听到有自己的下行数据，那么 STA 会使用 PS-POLL ( Power Save-POLL, 功率节省轮询）帧从 AP取回緩存在 AP上的下行数据。

目前在 WLAN 系统中规定控制帧是没有保护机制的，因此现有的

PS-POLL帧作为一种控制帧，也是没有安全保护机制的。但是由于 PS-POLL 帧是用于目标 STA通知与自己关联的 AP下发下行数据，因此可能存在安全漏洞。例如，在 STA处于睡眠状态时，第三方站点 ^艮容易冒充目标 STA, 使用目标 STA的关联标识（ Association Identifier, AID )向 AP发送 PS-POLL 帧。 AP接收到该 PS-POLL帧后，会误认为目标 STA已经醒来，便向目标 STA发送緩存在 AP上的下行数据。第三方站点收到下行数据后给 AP发送确认帧，导致 AP误认为给目标 STA的下行数据已经成功发送，便将该数据从緩存中删除。因此，第三方站点能够在 AP和目标 STA都不知情的情况下，将目标 STA的下行数据盗取或删除甚至阻断 AP与目标 STA之间的通信，从而严重影响系统性能，危害了网络的安全性。发明内容

本发明实施例提供传输数据的方法、接入点和站点，能够防止第三方站点冒充该站点盗取下行数据，保证网络的安全性。

第一方面，提供了一种传输数据的方法，包括：生成密钥；向站点发送该密钥；接收下行数据请求帧；根据该密钥，对该下行数据请求帧进行验证并获得验证结果；如果该验证结果为该下行数据请求帧正确，则向该站点发送下行数据。

结合第一方面，在第一种可能的实现方式中，在从该站点接收到睡眠模式请求帧后，生成该密钥。

结合第一方面的第一种可能的实现方式，在第二种可能的实现方式中，在从该站点接收到该睡眠模式请求帧后，如果该睡眠模式请求帧指示该站点需要该密钥，则生成该密钥。

结合第一方面，在第三种可能的实现方式中，接收该站点发送的关联请求帧，如果该关联请求帧指示该站点支持密钥保护下行数据请求帧，则生成该密钥。

结合第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式，在第四种可能的实现方式中，向该站点发送睡眠模式回应帧，该睡眠模式回应帧携带加密的该密钥。

结合第一方面的第三种可能的实现方式，在第五种可能的实现方式中，向该站点发送关联响应帧，该关联响应帧携带加密的该密钥。

结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现或第一方面的第三种可能的实现方式，在第六种可能的实现方式中，向该站点发送加密数据帧，该加密数据帧携带该密钥。

第二方面，提供了一种传输数据的方法，包括：从接入点接收密钥；向该接入点发送下行数据请求帧，该下行数据请求帧携带加密的该密钥，该密钥由该接入点用于对该下行数据请求帧进行验证并获得验证结果；接收该接入点发送的下行数据，其中该下行数据是由该接入点在该验证结果为该下行数据请求帧正确后发送的。

结合第二方面，在第一种可能的实现方式中，从该接入点接收睡眠模式响应帧，该睡眠模式响应帧携带加密的该密钥，该睡眠模式响应帧是该接入点在接收到睡眠模式请求帧后发送的。

结合第二方面的第一种可能的实现方式，在第二种可能的实现方式中，该睡眠模式请求帧指示需要该密钥。

结合第二方面，在第三种可能的实现方式中，从该接入点接收关联响应帧，该关联响应帧携带加密的该密钥，该关联响应帧是该接入点在接收到关联请求帧后发送的，该关联请求帧用于指示支持密钥保护下行数据请求帧。

结合第二方面，在第四种可能的实现方式中，从该接入点接收加密数据帧，该加密数据帧携带该密钥。

结合第二方面或第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式或第二方面的第三种可能的实现方式或第二方面的第四种可能的实现方式，在第五种可能的实现方式中，在从睡眠模式醒来后，向该接入点发送该下行数据请求帧。

第三方面，提供了一种接入点，包括：生成单元，用于生成密钥；发送单元，用于向站点发送该密钥；接收单元，用于接收下行数据请求帧；验证单元，用于根据该密钥，对该下行数据请求帧进行验证并获得验证结果；该发送单元还用于如果该验证结果为该下行数据请求帧正确，则向该站点发送下行数据。

结合第三方面，在第一种可能的实现方式中，该生成单元具体用于在从该站点接收到睡眠模式请求帧后，生成该密钥。

结合第三方面的第一种可能的实现方式，在第二种可能的实现方式中，该生成单元具体用于在该接收单元从该站点接收到该睡眠模式请求帧后，如果该睡眠模式请求帧指示该站点需要该密钥，则生成该密钥。

结合第三方面，在第三种可能的实现方式中，该接收单元还用于接收该站点发送的关联请求帧；该生成单元具体用于如果该关联请求帧指示该站点支持密钥保护下行数据请求帧，则生成该密钥。

结合第三方面的第一种可能的实现方式或第三方面的第二种可能的实现方式，在第四种可能的实现方式中，该发送单元具体用于向该站点发送睡眠模式回应帧，该睡眠模式回应帧携带加密的该密钥。

结合第三方面的第三种可能的实现方式，在第五种可能的实现方式中，该发送单元具体用于向该站点发送关联响应帧，该关联响应帧携带加密的该密钥。结合第三方面或第三方面的第一种可能的实现方式或第三方面的第二种可能的实现或第三方面的第三种可能的实现方式，在第六种可能的实现方式中，该发送单元具体用于向该站点发送加密数据帧，该加密数据帧携带该密钥。

第四方面，提供了一种站点，包括：接收单元，用于从接入点接收密钥；发送单元，用于向该接入点发送下行数据请求帧，该下行数据请求帧携带加密的该密钥，该密钥由该接入点用于对该下行数据请求帧进行验证并获得验证结果；该接收单元还用于接收该接入点发送的下行数据，其中该下行数据是由该接入点在该验证结果为该下行数据请求帧正确后发送的。

结合第四方面，在第一种可能的实现方式中，该接收单元具体用于从该接入点接收睡眠模式响应帧，该睡眠模式响应帧携带加密的该密钥，该睡眠模式响应帧是该接入点在接收到睡眠模式请求帧后发送的，该睡眠模式请求帧指示站点将要进入睡眠模式。

结合第四方面的第一种可能的实现方式，在第二种可能的实现方式中，该睡眠模式请求帧指示需要该密钥。

结合第四方面，在第三种可能的实现方式中，该接收单元具体用于从该接入点接收关联响应帧，该关联响应帧携带加密的该密钥，该关联响应帧是该接入点在接收到关联请求帧后发送的，该关联请求帧用于指示支持密钥保护下行数据请求帧。

结合第四方面，在第四种可能的实现方式中，该接收单元具体用于从该接入点接收加密数据帧，该加密数据帧携带该密钥。

结合第四方面或第四方面的第一种可能的实现方式或第四方面的第二种可能的实现方式或第四方面的第三种可能的实现方式或第四方面的第四种可能的实现方式，在第五种可能的实现方式中，该发送单元具体用于在从睡眠模式醒来后，向该接入点发送该下行数据请求帧。

本发明实施例中，通过生成密钥并向站点发送该密钥，并在接收到下行数据请求帧后，如果根据该密钥验证该下行数据请求帧正确，则向该站点发送下行数据，因此能够防止第三方站点冒充该站点盗取下行数据，从而能够保证网络的安全性。附图说明为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作筒单地介绍，显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1是根据本发明实施例的传输数据的方法的示意性流程图。

图 2是根据本发明实施例的传输数据的方法的示意性流程图。

图 3是根据本发明实施例的传输数据的方法的过程的示意性流程图。图 4是根据本发明实施例的 WNM睡眠模式回应帧的格式的例子的示意图。

图 5是根据本发明实施例的下行数据请求帧的格式的例子的示意图。图 6是根据本发明实施例的传输数据的方法的过程的示意性流程图。图 7是根据本发明实施例的 AP的示意框图。

图 8是根据本发明实施例的 STA的示意框图。

图 9是本发明实施例提供的 AP的结构示意图。

图 10是本发明实施例提供的 STA的结构示意图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。

图 1是根据本发明实施例的传输数据的方法的示意性流程图。图 1的方法由 WLAN系统中的 AP执行。

110, 生成密钥。

该密钥可以用于 STA对下行数据请求帧进行保护。

可选地，作为一个实施例， AP可以在从站点（Station, STA )接收到睡眠模式请求帧后，生成密钥。该睡眠模式请求帧可以用于指示该 STA将要进入睡眠模式。这样无需对睡眠模式请求帧的格式进行修改。

可选地，作为另一实施例， AP可以在从 STA接收到睡眠模式请求帧后，如果该睡眠模式请求帧指示 STA 需要密钥，则生成该密钥。也就是，如果 AP接收到 STA的睡眠模式请求帧，且该睡眠模式请求帧指示 STA需要密钥，则 AP可以生成密钥。

此外，睡眠模式请求帧也可以指示 STA不需要密钥，这样 STA可以重用之前由 AP通知的密钥。这样提供了 STA选择的灵活性，例如可以重用之前的密钥或者重新从 AP接收一个密钥。

可选地，作为另一实施例， AP可以接收 STA发送的关联请求帧，如果该关联请求帧指示该 STA支持密钥保护下行数据请求帧，则 AP可以生成密钥。

具体地，通过密钥保护下行数据请求帧，是一种安全的下行数据请求机制。如果 STA支持这样的下行数据请求机制，则 AP可以生成密钥。

120, 向 STA发送该密钥。

可选地，作为另一实施例， AP可以向 STA发送睡眠模式回应帧，该睡眠模式回应帧可以携带加密的该密钥。

例如， AP可以在接收到 STA的睡眠模式请求帧后，生成密钥。然后通过睡眠模式回应帧向 STA发送密钥。睡眠模式回应帧是管理帧，因此可以通过现有的安全保护机制，例如 802.11协议中的安全保护机制，对睡眠模式回应帧携带的密钥进行加密，从而防止第三方站点获得睡眠模式回应帧携带的密钥。

可选地，作为另一实施例， AP可以向 STA发送关联响应帧，该关联响应帧携带加密的该密钥。

例如， AP可以在从 STA接收的关联请求帧指示该 STA支持密钥保护下行数据请求帧的机制的情况下，生成密钥。关联响应帧携带的密钥可以采用现有的安全保护机制进行加密，例如可以采用 802.11 协议中的安全保护机制，从而防止第三方站点获取密钥。

可选地，作为另一实施例， AP可以向 STA发送加密数据帧，该加密数据帧携带该密钥。

AP可以在生成该密钥后，通过加密数据帧向 STA发送该密钥。例如， AP在接收到睡眠模式请求帧后，生成密钥，可以通过不同于睡眠模式回应帧加密数据帧向 STA发送密钥。或者， AP在接收到关联请求帧后，生成密钥，可以通过不同于关联响应帧的加密数据帧向 STA发送密钥。这样，就无需修改睡眠模式回应帧或关联响应帧的格式。

130, 接收下行数据请求帧。 140, 根据该密钥，对该下行数据请求帧进行验证并获得验证结果。 150, 如果该验证结果为该下行数据请求帧正确，则向该 STA发送下行数据。

该下行数据请求帧可以携带该 STA 的标识，为了防止第三方站点冒充该 STA获取下行数据，则 AP可以对该下行数据请求帧进行验证。例如，如果该下行数据请求帧携带一个密钥，则 AP可以根据步骤 110生成的密钥，对该下行数据请求帧携带的密钥进行验证。如果步骤 110生成的密钥和下行数据请求帧携带的密钥相匹配，则可以验证该下行数据请求帧正确。此时， AP可以向 STA发送下行数据。

此外，如果验证结果为该下行数据请求帧不正确，则 AP可以不向该 STA 发送下行数据，并发送警告信息。

例如，该下行数据请求帧没有携带与步骤 110生成的密钥相匹配的密钥，或者携带的密钥与步骤 110生成的密钥不相匹配，则可以认为该下行数据请求帧不是来自该 STA, 或者该下行数据请求帧有可能来自恶意的第三方站点。则 AP可以不向该 STA发送下行数据，并可以向该 STA、用户或者网络管理员发送警告信息，从而发出网络中出现盗取或删除 AP为该 STA緩存的数据的企图。

应注意，上述密钥的长度可以是可变的，例如密钥的长度可以是 16比特（bit ) ~64 bit。这样的长度能够保证 AP和 STA之间的安全连接。

由此可见，在本发明实施例中， AP可以为 STA生成密钥，该密钥可以用于保护该 STA的下行数据请求帧。因此在接收到携带该 STA的标识的下行数据请求帧时，为了防止该下行数据请求帧是第三方站点冒充该 STA发送的， AP可以根据该密钥对该下行数据请求帧验证正确后，向该 STA发送下行数据，这样能够防止第三方站点冒充该 STA从 AP盗取下行数据，从而能够提供网络的安全性，并能够提高系统性能。

本发明实施例中，通过生成密钥并向站点发送该密钥，并在接收到下行数据请求帧后，如果根据该密钥验证该下行数据请求帧正确，则向该站点发送下行数据，因此能够防止第三方站点冒充该站点盗取下行数据，从而能够保证网络的安全性。

图 2是根据本发明实施例的传输数据的方法的示意性流程图。图 2的方法由 STA执行。 210, 从 AP接收密钥。

可选地，作为一个实施例， STA可以从 AP接收睡眠模式响应帧，该睡眠模式响应帧携带加密的该密钥，该睡眠模式响应帧是该 AP在接收到睡眠模式请求帧后发送的。该睡眠模式请求帧可以指示该 STA将要进入睡眠模式。

在从 AP接收密钥之前， STA可以向该 AP发送睡眠模式请求帧，该睡眠模式请求帧指示将要进入睡眠模式。这样， AP在接收到该睡眠模式请求帧后，可以生成密钥，并通过睡眠模式回应帧发送该密钥。由于睡眠模式回应帧是管理帧，因此可以通过现有的安全保护机制，例如 802.11协议中的安全保护机制，对睡眠模式回应帧携带的该密钥进行加密，从而防止第三方站点获取密钥。

可选地，作为另一实施例，睡眠模式请求帧可以指示该 STA需要密钥。这样，通过睡眠模式请求帧指示该 STA需要密钥，使得 AP在接收到该睡眠模式请求帧之后可以生成密钥。

可选地，作为另一实施例， STA可以从该 AP接收关联响应帧，该关联响应帧携带加密的该密钥，该关联响应帧是该 AP在接收到关联请求帧后发送的，该关联请求帧可以用于指示该 STA支持密钥保护下行数据请求帧。

具体地，通过密钥保护下行数据请求帧，是一种安全的下行数据请求机制。 STA可以通过关联请求帧向 AP告知支持这样的下行数据请求机制，这样 AP可以在接收到该关联请求帧后生成密钥，并通过关联响应帧发送密钥。关联响应帧携带的密钥可以采用现有的安全保护机制进行加密，例如可以采用 802.11协议中的安全保护机制进行加密。

可选地，作为另一实施例， STA可以从 AP接收加密数据帧，该加密数据帧携带该密钥。

例如， AP 可以在接收到关联请求帧后，生成密钥，通过不同于关联响应帧的加密数据帧发送密钥。或者， AP 可以在接收到睡眠模式请求帧后，生成密钥，通过不同于睡眠模式回应帧的加密数据帧发送密钥。这样，无需爹改睡眠模式回应帧或关联响应帧的格式。

220, 向该 AP发送下行数据请求帧，该下行数据请求帧携带加密的该密钥，该密钥由该 AP用于对该下行数据请求帧进行验证并获得验证结果。

可选地，作为另一实施例， STA可以在从睡眠模式醒来后，向 AP发送该下行数据请求帧。

例如， STA从睡眠模式醒来后，在 beacon帧中的 TIM域听到有自己的下行数据，则可以向 AP发送下行数据请求帧，并在下行数据请求帧中携带密钥。

下行数据请求帧携带的密钥可以采用现有的安全保护机制进行加密，例如可以采用 802.11协议中的安全保护机制进行加密。

230, 接收该 AP发送的下行数据，其中该下行数据是由该 AP在该验证结果为该下行数据请求帧正确后发送的。

AP为了防止第三方站点冒充该 STA盗取下行数据，可以根据该密钥对下行数据请求帧进行验证，在验证正确的情况下， STA才可以从 AP接收到下行数据。

本发明实施例中，通过从接入点接收密钥，并在向接入点发送的下行数据请求帧中携带该密钥，由于该密钥由该接入点用于对该下行数据请求帧进行验证并获得验证结果，使得在该验证结果为下行数据请求帧正确后才能接收该接入点发送的下行数据，因此能够防止第三方站点从该接入点盗取下行数据，从而能够保证网络的安全性。

下面将具体的例子详细描述本发明实施例。应注意，这些例子只是为了帮助本领域技术人员更好地理解本发明实施例，而非限制本发明实施例的范围。

图 3是根据本发明实施例的传输数据的方法的过程的示意性流程图。在图 3 中，以睡眠模式请求帧为无线网络管理（WNM ) 睡眠模式请求帧为例进行说明。

301 , STA向 AP发送 WNM睡眠模式请求帧。

WNM睡眠模式是一种针对非 AP的 STA的扩展省电模式。 STA可以通过 WNM睡眠模式请求帧告知 AP自己将要进入睡眠模式以及睡眠时间。

可选地， STA可以通过 WNM睡眠模式请求帧中的 1 bit来指示 STA需要密钥。

302, AP生成密钥。

例如， AP可以在接收到 WNM睡眠模式请求帧后生成密钥。或者， AP 可以在接收到 WNM睡眠模式请求帧且该 WNM睡眠模式请求帧指示 STA 需要密钥，生成密钥。密钥的长度可以是变长的，例如，密钥的长度可以是 16 bit ~ 64 bit, 这样能够保证 AP和 STA之间的安全连接。

303, AP向 STA发送 WNM睡眠模式回应帧，该 WNM睡眠模式回应帧携带加密的该密钥。

WNM睡眠模式回应帧是管理帧，该 WNM睡眠模式回应帧携带加密的密钥可以采用现有的安全保护机制进行加密，例如 802.11协议中的安全保护机制，从而防止第三方站点获取 WNM睡眠模式回应帧携带的密钥。

应理解，在一个 BSS中， AP可以与多个 STA相关联， AP为每个 STA 生成的用于保护其下行数据请求帧的密钥可以是相同的，这样能够筒化 AP 的工作。当然，各个 STA 的密钥也可以是不相同的。本发明实施例对此不作限定。

携带密钥的 WNM睡眠模式回应帧的格式的一个例子可以如图 4所示。图 4是根据本发明实施例的 WNM睡眠模式回应帧的格式的例子的示意图。在图 4中， WNM睡眠模式回应帧可以包括密钥，该 WNM睡眠模式回应帧包括的其它字段，例如元素（Element ) ID、长度、操作类型（Action Type ) 和 WNM睡眠模式回应状态等，可以参照现有技术，为了避免重复，此处不再赘述。

304, STA接收步骤 303中的 WNM睡眠模式回应帧，并从 WNM睡眠模式回应帧中获取并保存密钥。

在从 WNM睡眠模式回应帧中获取并保存密钥之后， STA可以进入睡眠模式。

305, STA向 AP发送下行数据请求帧，该下行数据请求帧携带加密的该密钥。

例如， STA在从睡眠模式醒来后，可以向 AP发送下行数据请求帧。在现有技术中，由于 PS-POLL帧是控制帧，不能使用加密方式发送。因此，下行数据请求帧的类型可以定义为数据（Data ) +PS-POLL, 格式可以不同于现有的 PS-POLL帧。根据现有的 802.11协议中的数据帧的格式，下行数据请求帧的格式的一个例子可以如图 5所示。图 5是根据本发明实施例的下行数据请求帧的格式的例子的示意图。

如图 5所示，下行数据请求帧可以采用 802.11的数据帧的格式。在现有的 802.11数据帧中，帧控制（Frame Control, FC )域中的子类型（Subtype ) 字段为保留字段，在本发明实施例中，可以将子类型字段定义为

Data+PS-POLL, 用于表示下行数据请求帧。

下行数据请求帧可以包括密钥，该密钥可以是加密的。此外，下行数据请求帧还可以包括其它字段，例如持续时间 /ID、地址 1 至地址 4、 SEQ ( Sequence, 序列）、 CCMP头、 MIC ( Message Integrity Code , 消息完整性代码）和 FCS ( Frame Check Sequence, 帧校验序列）等，这些字段的含义可以参照现有技术，为了避免重复，此处不再赘述。

306, AP接收到步骤 305的下行数据请求帧后，根据步骤 302生成的密钥对该下行数据请求帧进行验证并获得验证结果。

AP接收到下行数据请求帧后，恢复出该下行数据请求帧中携带的密钥。可以根据步骤 302生成的密钥验证下行数据请求帧携带的密钥。

307, 如果步骤 306 获得的验证结果为该下行数据请求帧正确，则 AP 向 STA发送下行数据。

例如，如果 AP验证下行数据请求帧中携带的密钥与步骤 302中生成的密钥相匹配，则可以确定下行数据请求帧验证正确， AP可以向 STA发送下行数据。

另外，如果验证结果为该下行数据请求帧不正确，例如下行数据请求帧中携带的密钥与步骤 302中生成的密钥不匹配， AP可以不向 STA发送下行数据，并发送警告信息，比如可以向该 STA、用户或网络管理员发送警告信息，从而告知网络中出现盗取下行数据的企图。

应注意， AP可以在 WNM睡眠模式回应帧中携带密钥，还可以在 WNM 睡眠模式回应帧中不携带密钥，而通过不同于 WNM睡眠模式回应帧的加密数据帧携带密钥。

应理解，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

图 6是根据本发明实施例的传输数据的方法的过程的示意性流程图。 601 , STA向 AP发送关联请求帧，该关联请求帧指示该 STA支持密钥保护下行数据请求帧。

602, AP在接收到关联请求帧后，生成密钥。

603 , AP向 STA发送关联响应帧，该关联响应帧携带加密的该密钥。关联响应帧携带的密钥可以采用现有的安全保护机制进行加密，例如可以采用 802.11协议中的安全保护机制，从而防止第三方站点获取密钥。

步骤 604至步骤 607与图 3中的步骤 304至 307相似，为了避免重复，此处不再赘述。

应注意， AP 可以通过关联响应帧携带密钥，也可以通过不同于关联响应帧的加密数据帧携带密钥。本发明实施例对此不作限定。

应注意，上述实施例可以结合使用，例如可以在 AP和 STA的关联过程设置密钥，也可以在睡眠模式的请求和响应中对密钥进行更新。本发明实施例对此不作限定。

图 7是根据本发明实施例的 AP的示意框图。图 7的 AP 700包括生成单元 710、发送单元 720、接收单元 730和验证单元 740。

生成单元 710生成密钥。发送单元 720向 STA发送密钥。接收单元 730 接收下行数据请求帧，该下行数据请求帧携带该 STA的标识。验证单元 740 根据密钥，对该下行数据请求帧进行验证并获得验证结果。所述发送单元还用于如果所述验证结果为该下行数据请求帧正确，则向该 STA发送下行数据。

本发明实施例中，通过生成密钥并向站点发送该密钥，并在接收到下行数据请求帧后，如果根据该密钥验证该下行数据请求帧正确，则向该站点发送下行数据，因此能够防止第三方站点冒充该站点盗取下行数据，从而能够保证网络的安全性。 AP 700的其它功能和操作可参照上面图 1至图 6的方法实施例中涉及 AP的过程，为了避免重复，此处不再赘述。

可选地，作为另一实施例，生成单元 710可在从 STA接收到睡眠模式请求帧后，生成该密钥。该睡眠模式请求帧可以用于指示 STA将要进入睡眠模式。

可选地，作为另一实施例，生成单元 710可在接收单元 730从 STA接收到睡眠模式请求帧后，如果睡眠模式请求帧指示该 STA 需要密钥，则生成该密钥。

可选地，作为另一实施例，接收单元 730还可接收 STA发送的关联请求帧。如果该关联请求帧指示该 STA 支持密钥保护下行数据请求帧，则生成单元 710可生成密钥。

可选地，作为另一实施例，发送单元 720可向该 STA发送睡眠模式回应帧，该睡眠模式回应帧携带加密的密钥。

可选地，作为另一实施例，发送单元 720可向该 STA发送关联响应帧，该关联响应帧携带加密的密钥。

可选地，作为另一实施例，发送单元 720可向该 STA发送加密数据帧，该加密数据帧携带密钥。

图 8是根据本发明实施例的 STA的示意框图。 STA 800包括接收单元 810和发送单元 820。

接收单元 810从 AP接收密钥。发送单元 820向 AP发送下行数据请求帧，该下行数据请求帧携带加密的该密钥，该密钥由 AP用于对该下行数据请求帧进行验证并获得验证结果。接收单元 810还接收 AP发送的下行数据，其中该下行数据是由该 AP 在该验证结果为该下行数据请求帧正确后发送的。

STA 800的其它功能和操作可参照上面图 1至图 6的方法实施例中涉及 STA的过程，为了避免重复，此处不再赘述。

可选地，作为一个实施例，接收单元 810可从 AP接收该 AP在接收到睡眠模式请求帧后生成的睡眠模式响应帧，该睡眠模式响应帧携带加密的密钥。该睡眠模式请求帧可以指示 STA将要进入睡眠模式。

可选地，作为另一实施例，睡眠模式请求帧可指示需要密钥。

可选地，作为另一实施例，接收单元 810可从该 AP接收关联响应帧，该关联响应帧携带加密的该密钥，该关联响应帧是该 AP在接收到关联请求帧后发送的，该关联请求帧用于指示支持密钥保护下行数据请求帧。

可选地，作为另一实施例，接收单元 810可从 AP接收加密数据帧，该加密数据帧携带密钥。

可选地，作为另一实施例，发送单元 820可在 STA从睡眠模式醒来后，向该 AP发送下行数据请求帧。

图 9是本发明实施例提供的 AP的结构示意图。如图 9所示， AP 900— 般包括至少一个处理器 910, 例如 CPU, 至少一个端口 920, 存储器 930, 和至少一个通信总线 940。通信总线 940用于实现这些装置之间的连接通信。处理器 910用于执行存储器 930中存储的可执行模块，例如计算机程序； AP可选的包含用户接口 950, 包括但不限于显示器，键盘和点击设备，例如鼠标、轨迹球（ trackball ) 、触感板或者触感显示屏。存储器 930可能包含高速 RAM 存储器，也可能还包括非易失性存储器（non-volatile memory ) , 例如至少一个磁盘存储器。通过至少一个端口 920实现该 ΑΡ 与至少一个 STA的通信连接，通过至少另一个端口 920与至少一个网络设备节点之间的通信连接。

在一些实施方式中，存储器 930存储了如下的元素，可执行模块或者数据结构，或者他们的子集，或者他们的扩展集：

操作系统 932, 包含各种系统程序，用于实现各种基础业务以及处理基于硬件的任务；

应用模块 934, 包含各种应用程序，用于实现各种应用业务。

应用模块 934中包括但不限于生成单元 710、发送单元 720、接收单元

730和验证单元 740。

应用模块 932中各单元的具体实现参见图 7所示实施例中的相应单元，在此不赘述。

图 10是本发明实施例提供的 STA的结构示意图。如图 10所示， STA 一般包括至少一个处理器 1010,例如 CPU,至少一个端口 1020,存储器 1030, 和至少一个通信总线 1040。通信总线 1040用于实现这些装置之间的连接通信。处理器 1010用于执行存储器 1030中存储的可执行模块，例如计算机程序； STA可选的包含用户接口 1050, 包括但不限于显示器，键盘和点击设备，例如鼠标、轨迹球（ trackball ) 、触感板或者触感显示屏。存储器 1030 可能包含高速 RAM存储器，也可能还包括非易失性存储器（non-volatile memory ) , 例如至少一个磁盘存储器。通过至少一个端口 1020实现该 STA 与至少一个 ΑΡ的通信连接，通过至少另一个端口 1020与至少一个 STA节点之间的通信连接。

在一些实施方式中，存储器 1030存储了如下的元素，可执行模块或者数据结构，或者他们的子集，或者他们的扩展集：

操作系统 1032, 包含各种系统程序，用于实现各种基础业务以及处理基于硬件的任务；

应用模块 1034, 包含各种应用程序，用于实现各种应用业务。

应用模块 1034中包括但不限于接收单元 810、发送单元 820。

应用模块 1032中各单元的具体实现参见图 8所示实施例中的相应单元，在此不赘述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。所属领域的技术人员可以清楚地了解到，为描述的方便和筒洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括： U盘、移动硬盘、只读存储器（ ROM, Read-Only Memory )、随机存取存储器（RAM, Random Access Memory ), 磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

权利要求

1. 一种传输数据的方法，其特征在于，包括：

生成密钥；

向站点发送所述密钥；

接收下行数据请求帧；

根据所述密钥，对所述下行数据请求帧进行验证并获得验证结果；如果所述验证结果为所述下行数据请求帧正确，则向所述站点发送下行数据。

2. 根据权利要求 1所述的方法，其特征在于，所述生成密钥包括：在从所述站点接收到睡眠模式请求帧后，生成所述密钥。

3. 根据权利要求 2所述的方法，其特征在于，所述在从所述站点接收到睡眠模式请求帧后，生成所述密钥，包括：

在从所述站点接收到所述睡眠模式请求帧后，如果所述睡眠模式请求帧指示所述站点需要所述密钥，则生成所述密钥。

4. 根据权利要求 1所述的方法，其特征在于，所述生成密钥包括：接收所述站点发送的关联请求帧，如果所述关联请求帧指示所述站点支持密钥保护下行数据请求帧，则生成所述密钥。

5. 根据权利要求 2或 3所述的方法，其特征在于，所述向站点发送所述密钥，包括：

向所述站点发送睡眠模式回应帧，所述睡眠模式回应帧携带加密的所述密钥。

6. 根据权利要求 4所述的方法，其特征在于，所述向站点发送所述密钥，包括：

向所述站点发送关联响应帧，所述关联响应帧携带加密的所述密钥。

7. 根据权利要求 1至 4中任一项所述的方法，其特征在于，所述向站点发送所述密钥，包括：

向所述站点发送加密数据帧，所述加密数据帧携带所述密钥。

8. 一种传输数据的方法，其特征在于，包括：

从接入点接收密钥；

向所述接入点发送下行数据请求帧，所述下行数据请求帧携带加密的所述密钥，所述密钥由所述接入点用于对所述下行数据请求帧进行验证并获得验证结果；

接收所述接入点发送的下行数据，其中所述下行数据是由所述接入点在所述验证结果为所述下行数据请求帧正确后发送的。

9. 根据权利要求 8所述的方法，其特征在于，所述从接入点接收密钥，包括：

从所述接入点接收睡眠模式响应帧，所述睡眠模式响应帧携带加密的所述密钥，所述睡眠模式响应帧是所述接入点在接收到睡眠模式请求帧后发送的。

10. 根据权利要求 9所述的方法，其特征在于，所述睡眠模式请求帧指示需要所述密钥。

11. 根据权利要求 8所述的方法，其特征在于，所述从接入点接收密钥，包括：

从所述接入点接收关联响应帧，所述关联响应帧携带加密的所述密钥，所述关联响应帧是所述接入点在接收到关联请求帧后发送的，所述关联请求帧用于指示支持密钥保护下行数据请求帧。

12. 根据权利要求 8所述的方法，其特征在于，所述从接入点接收密钥，包括：

从所述接入点接收加密数据帧，所述加密数据帧携带所述密钥。

13. 根据权利要求 8至 12中任一项所述的方法，其特征在于，所述向所述接入点发送所述下行数据请求帧，包括：

在从睡眠模式醒来后，向所述接入点发送所述下行数据请求帧。

14. 一种接入点，其特征在于，包括：

生成单元，用于生成密钥；

发送单元，用于向站点发送所述密钥；

接收单元，用于接收下行数据请求帧；

验证单元，用于根据所述密钥，对所述下行数据请求帧进行验证并获得验证结果；

所述发送单元还用于如果所述验证结果为所述下行数据请求帧正确，则向所述站点发送下行数据。

15. 根据权利要求 14所述的接入点，其特征在于，所述生成单元具体用于在从所述站点接收到睡眠模式请求帧后，生成所述密钥。

16. 根据权利要求 15所述的接入点，其特征在于，所述生成单元具体用于在所述接收单元从所述站点接收到所述睡眠模式请求帧后，如果所述睡眠模式请求帧指示所述站点需要所述密钥，则生成所述密钥。

17. 根据权利要求 14所述的接入点，其特征在于，所述接收单元还用于接收所述站点发送的关联请求帧；所述生成单元具体用于如果所述关联请求帧指示所述站点支持密钥保护下行数据请求帧，则生成所述密钥。

18. 根据权利要求 15或 16所述的接入点，其特征在于，所述发送单元具体用于向所述站点发送睡眠模式回应帧，所述睡眠模式回应帧携带加密的所述密钥。

19. 根据权利要求 17所述的接入点，其特征在于，所述发送单元具体用于向所述站点发送关联响应帧，所述关联响应帧携带加密的所述密钥。

20. 根据权利要求 14至 17中任一项所述的接入点，其特征在于，所述发送单元具体用于向所述站点发送加密数据帧，所述加密数据帧携带所述密钥。

21. 一种站点，其特征在于，包括：

接收单元，用于从接入点接收密钥；

发送单元，用于向所述接入点发送下行数据请求帧，所述下行数据请求帧携带加密的所述密钥，所述密钥由所述接入点用于对所述下行数据请求帧进行验证并获得验证结果；

所述接收单元还用于接收所述接入点发送的下行数据，其中所述下行数据是由所述接入点在所述验证结果为所述下行数据请求帧正确后发送的。

22. 根据权利要求 21所述的站点，其特征在于，所述接收单元具体用于从所述接入点接收睡眠模式响应帧，所述睡眠模式响应帧携带加密的所述密钥，所述睡眠模式响应帧是所述接入点在接收到睡眠模式请求帧后发送的。

23. 根据权利要求 22所述的站点，其特征在于，所述睡眠模式请求帧指示需要所述密钥。

24. 根据权利要求 25所述的站点，其特征在于，所述接收单元具体用于从所述接入点接收关联响应帧，所述关联响应帧携带加密的所述密钥，所述关联响应帧是所述接入点在接收到关联请求帧后发送的，所述关联请求帧用于指示支持密钥保护下行数据请求帧。

25. 根据权利要求 21所述的站点，其特征在于，所述接收单元具体用于从所述接入点接收加密数据帧，所述加密数据帧携带所述密钥。

26. 根据权利要求 21至 25中任一项所述的站点，其特征在于，所述发送单元具体用于在从睡眠模式醒来后，向所述接入点发送所述下行数据请求