WO2014090130A1 - 报文处理方法及装置、系统 - Google Patents

Abstract

本发明实施例公开了一种报文处理方法及装置、系统，第一节点接收中继设备发送的第一报文，第一报文中包括第二节点向中继设备发送的第二报文中的数据，第二报文中的数据使用第二附加认证数据、第一节点和第二节点之间的会话密钥进行加密，第二附加认证数据由第二节点使用第二规则至少根据第二报文的报文头中的地址信息生成的；第一节点根据第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据；使用第一附加认证数据、第一节点和第二节点之间的会话密钥对第一报文中的数据进行解密。解决了现有的中继设备在站点和接入点之间转发报文时需要解密再加密的处理过程而导致的信道利用率降低的问题。

Description

报文处理方法及装置、 系统

本申请要求于 2012年 12月 10日提交中国专利局、 申请号为 201210528207.7中国专利申请的优先权，其全部内容通过引用结合在本申请 中。

技术领域 本发明实施例涉及通信技术领域， 尤其涉及一种报文处理方法及装置、 系统。 背景技术 在 IEEE ( Institute of Electrical and Electronics Engineers , 电子电气工程 师协会） 802.11ah标准中， 为了扩展 AP (英文： Access Point, 接入点， 简 称 AP ) 的覆盖范围， 通常会在 STA (英文： Station, 站点， 简称 STA )和 AP之间增加中继设备（英文： Relay ), 通过 Relay在 STA和 AP之间转发加密 报文， 按照标准实现， Relay和 STA之间协商有会话密钥 PTKrd, 其中， PTK ( Pairwise Transient Key， 一对节点间的临时密钥）为节点间的临时密钥， r 表示 Relay, d表示 Relay的下行链路， Relay和 AP之间也协商有会话密钥 PTKru, 其中， r表示 Relay, 示 Relay的上行链路。 通常， 当 Relay在转发 STA发送给 AP的上行加密报文时， Relay先用 PTKrd解密该上行加密报文， 之后再用 PTKru加密该上行加密报文； 当 Relay在转发 AP发送给 STA的下行 加密报文时， Relay先用 PTKru解密该下行加密报文，之后再用 PTKrd加密该 下行加密报文。

上述 Relay在 STA和 AP之间转发加密报文时需要解密再加密的处理 过程， 需要占用一定的处理时间， 会降低信道利用率， 增加 Relay的额外耗 能。 发明内容 本发明提供一种报文处理方法及装置、 系统， 用以解决现有的中继设 备在站点和接入点之间转发报文时需要解密再加密的处理过程而导致的信 道利用率降低的问题。

第一方面， 本发明提供一种报文处理方法， 应用于中继设备在第一节 点和第二节点之间转发报文的场景， 包括：

第一节点接收中继设备发送的第一报文， 所述第一报文中包括第二节 点向所述中继设备发送的第二报文中的数据， 所述第二报文中的数据使用 了第二附加认证数据、 所述第一节点和所述第二节点之间的会话密钥进行 了加密， 所述第二附加认证数据是由所述第二节点至少根据所述第二报文 的报文头中的地址信息使用第二规则生成的， 所述第二报文的报文头中的 地址信息指示所述第二报文的接收方是所述中继设备、 发送方是所述第二 节点、 下一接收方是所述第一节点；

所述第一节点至少根据所述第一报文的报文头中的地址信息使用第一 规则生成第一附加认证数据， 所述第一报文的报文头中包含的地址信息指 示所述第一报文的接收方是所述第一节点、 发送方是所述中继设备、 上一 发送方是所述第二节点， 其中， 所述第一附加认证数据与所述第二附加认 证数据相同；

所述第一节点使用所述第一附加认证数据、 所述第一节点和所述第二 节点之间的会话密钥对所述第一报文中的数据进行解密。

基于第一方面， 在第一种实施方式中， 所述第一规则是所述第一附加 认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同， 所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的 报文头中的各地址顺序不同， 使得所述第二附加认证数据中各地址顺序和 所述第一附加认证数据中各地址顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

基于第一方面或第一方面的第一种实施方式， 在第二种实施方式中， 所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地 址顺序相同。

基于第一方面、 第一方面的第一或第二种实施方式， 在第三种实施方 式中， 所述第二报文中还包括中继消息认证信息， 所述中继消息认证信息 由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生 成， 用以所述中继设备接收到所述第二报文之后， 使用所述消息认证密钥 验证所述中继消息认证信息， 若验证通过则向所述第一节点发送所述第 ― 报文。

基于第一方面、 第一方面的第一、 第二或第三种实施方式， 在第四种 实施方式中， 所述第一节点为站点， 第二节点为接入点； 或， 所述第一节 点为接入点， 所述第二节点为站点。

第二方面， 本发明提供一种报文处理方法， 应用于中继设备在第一节 点和第二节点之间转发报文的场景， 包括：

第二节点生成第二报文， 所述第二报文的报文头中的地址信息指示所 述第二报文的接收方是所述中继设备、 发送方是所述第二节点、 下一接收 方是所述第一节点；

所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二 规则生成第二附加认证数据， 使用所述第二附加认证数据、 所述第一节点 和所述第二节点之间的会话密钥对所述第二报文中的数据进行加密；

所述第二节点将所述加密后的第二报文发送给所述中继设备， 以使所 述中继设备接收到所述第二报文后向所述第一节点发送第一报文， 所述第 一报文中包含所述第二报文中的数据， 所述第一报文的报文头中包含的地 址信息指示所述第一报文的接收方是所述第一节点、 发送方是所述中继设 备、 上一发送方是所述第二节点， 使得所述第一节点接收到所述第一报文 后至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附 加认证数据， 使用所述第一附加认证数据、 所述第一节点和所述第二节点 之间的会话密钥对所述第一报文中的数据进行解密， 其中， 所述第一附加 认证数据与所述第二附加认证数据相同。

基于第二方面， 在第一种实施方式中， 所述第一规则是所述第一附加 认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同， 所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的 报文头中的各地址顺序不同， 使得所述第二附加认证数据中各地址顺序和 所述第一附加认证数据中各地址顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

基于第二方面或第二方面的第一种实施方式， 在第二种实施方式中， 所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地 址顺序相同。

基于第二方面、 第二方面的第一或第二种实施方式， 在第三种实施方 式中， 所述第二报文中还包括中继消息认证信息， 所述中继消息认证信息 由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生 成， 用以所述中继设备接收到所述第二报文之后， 使用所述消息认证密钥 验证所述中继消息认证信息， 若验证通过则向所述第一节点发送所述第 ― 报文。

基于第二方面、 第二方面的第一、 第二或第三种实施方式， 在第四种 实施方式中， 所述第一节点为站点， 第二节点为接入点； 或， 所述第一节 点为接入点， 所述第二节点为站点。

第三方面， 本发明提供一种报文处理方法， 应用于中继设备在第一节 点和第二节点之间转发报文的场景， 包括：

中继设备接收第二节点发送的第二报文， 所述第二报文的报文头中的 地址信息指示所述第二报文的接收方是所述中继设备、 发送方是所述第二 节点、 下一接收方是第一节点， 所述第二报文中的数据使用了第二附加认 证数据、 所述第一节点和第二节点之间的会话密钥进行了加密， 所述第二 附加认证数据由所述第二节点至少根据所述第二报文的报文头中的地址信 息使用第二规则生成；

所述中继设备向所述第一节点发送第一报文， 所述第一报文中包含所 述第二报文中的数据， 所述第一报文的报文头中包含的地址信息指示所述 第一报文的接收方是所述第一节点、 发送方是所述中继设备、 上一发送方 是所述第二节点， 以使所述第一节点至少根据所述第一报文的报文头中的 地址信息使用第一规则生成第一附加认证数据， 并使用所述第一附加认证 数据、 所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的 数据进行解密， 其中， 所述第一附加认证数据与所述第二附加认证数据相 同。

基于第三方面， 在第一种实施方式中， 所述第一规则是所述第一附加 认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同， 所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的 报文头中的各地址顺序不同， 使得所述第二附加认证数据中各地址顺序和 所述第一附加认证数据中各地址顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

基于第三方面或第三方面的第一种实施方式， 在第二种实施方式中，， 所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地 址顺序相同。

基于第三方面、 第三方面的第一或第二种实施方式， 在第三种实施方 式中， 所述第二报文中还包括中继消息认证信息， 所述中继消息认证信息 由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生 成， 用以所述中继设备接收到所述第二报文之后， 使用所述消息认证密钥 验证所述中继消息认证信息， 若验证通过则向所述第一节点发送所述第 ― 报文。

基于第三方面、 第三方面的第一、 第二或第三种实施方式， 在第四种 实施方式中， 所述第一节点为站点， 第二节点为接入点； 或， 所述第一节 点为接入点， 所述第二节点为站点。

第四方面， 本发明提供一种报文处理装置， 位于第一节点侧， 应用于 中继设备在所述第一节点和第二节点之间转发报文的场景， 包括：

接收模块， 用于接收中继设备发送的第一报文， 所述第一报文中包括 第二节点向所述中继设备发送的第二报文中的数据， 所述第二报文中的数 据使用了第二附加认证数据、 所述第一节点和所述第二节点之间的会话密 钥进行了加密， 所述第二附加认证数据是由所述第二节点至少根据所述第 二报文的报文头中的地址信息使用第二规则生成的， 所述第二报文的报文 头中的地址信息指示所述第二报文的接收方是所述中继设备、 发送方是所 述第二节点、 下一接收方是所述第一节点；

解密模块， 用于至少根据所述第一报文的报文头中的地址信息使用第 一规则生成第一附加认证数据， 所述第一报文的报文头中包含的地址信息 指示所述第一报文的接收方是所述第一节点、 发送方是所述中继设备、 上 一发送方是所述另一第二节点， 其中， 所述使用所述第一规则生成的附加 认证数据与所述使用所述第二规则生成的附加认证数据相同； 使用所述第 一附加认证数据、 所述第一节点和所述另一第二节点之间的会话密钥对所 述第一报文中的数据进行解密， 其中， 所述第一附加认证数据与所述第二 附加认证数据相同。

基于第四方面， 在第一种实施方式中， 所述第一规则是所述第一附加 认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同， 所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的 报文头中的各地址顺序不同， 使得所述第二附加认证数据中各地址顺序和 所述第一附加认证数据中各地址顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

基于第四方面或第四方面的第一种实施方式， 在第二种实施方式中， 所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地 址顺序相同。

基于第四方面、 第四方面的第一或第二种实施方式， 在第三种实施方 式中， 所述第二报文中还包括中继消息认证信息， 所述中继消息认证信息 由所述另一节点使用所述中继设备和所述另一节点之间的消息认证密钥生 成， 用以所述中继设备接收到所述第二报文之后， 使用所述消息认证密钥 验证所述中继消息认证信息， 若验证通过则向所述节点发送所述第一报文。

基于第四方面、 第四方面的第一、 第二或第三种实施方式， 在第四种 实施方式中， 所述第一节点为站点， 所述第二节点为接入点； 或， 所述第 一节点为接入点， 所述第二节点为站点。

第五方面， 本发明提供一种报文处理装置， 位于第二节点侧， 应用于 中继设备在所述第二节点和第一节点之间转发报文的场景， 包括： 报文生成模块， 用于生成第二报文， 所述第二报文的报文头中的地址 信息指示所述第二报文的接收方是所述中继设备、 发送方是所述节点、 下 一接收方是所述另一节点；

加密模块， 用于至少根据所述第二报文的报文头中的地址信息使用第 二规则生成第二附加认证数据， 使用所述第二附加认证数据、 所述第一节 点和所述第二节点之间的会话密钥对所述第二报文中的数据进行加密； 发送模块， 用于将所述加密后的第二报文发送给所述中继设备， 以使 所述中继设备接收到所述第二报文后向所述第一节点发送第一报文， 所述 第一报文中包含所述第二报文中的数据， 所述第一报文的报文头中包含的 地址信息指示所述第一报文的接收方是所述第一节点、 发送方是所述中继 设备、 上一发送方是所述第二节点， 使得所述第一节点接收到所述第一报 文后至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一 附加认证数据， 使用所述第一附加认证数据、 所述第一节点和所述第二节 点之间的会话密钥对所述第一报文中的数据进行解密， 其中， 所述第一附 加认证数据与所述第二附加认证数据相同。

基于第五方面， 在第一种实现方式中， 所述第一规则是所述第一附加 认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同， 所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的 报文头中的各地址顺序不同， 使得所述第二附加认证数据中各地址顺序和 所述第一附加认证数据中各地址顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

基于第五方面或第五方面的第一种实现方式， 在第二种实现方式中， 所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地 址顺序相同。

基于第五方面、 第五方面的第一或第二种实现方式， 在第三种实现方 式中， 所述第二报文中还包括中继消息认证信息， 所述中继消息认证信息 由所述节点使用所述中继设备和所述节点之间的消息认证密钥生成， 用以 所述中继设备接收到所述第二报文之后， 使用所述消息认证密钥验证所述 中继消息认证信息， 若验证通过则向所述另一节点发送所述第一报文。

基于第五方面、 第五方面的第一、 第二或第三种实现方式， 在第四种 实现方式中， 所述第二节点为站点， 所述第一节点为接入点； 或， 所述第 二节点为接入点， 所述第一节点为站点。

第六方面， 本发明提供一种报文处理装置， 位于中继设备侧， 应用于 中继设备在第一节点和第二节点之间转发报文的场景， 包括：

接收模块， 用于接收第二节点发送的第二报文， 所述第二报文的报文 头中的地址信息指示所述第二报文的接收方是所述中继设备、 发送方是所 述第二节点、 下一接收方是第一节点， 所述第二报文中的数据使用了第二 附加认证数据、 所述第一节点和第二节点之间的会话密钥进行了加密， 所 述第二附加认证数据由所述第二节点至少根据所述第二报文的报文头中的 地址信息使用第二规则生成；

发送模块， 用于向所述第一节点发送第一报文， 所述第一报文中包含 所述第二报文中的数据， 所述第一报文的报文头中包含的地址信息指示所 述第一报文的接收方是所述第一节点、 发送方是所述中继设备、 上一发送 方是所述第二节点， 以使所述第一节点至少根据所述第一报文的报文头中 的地址信息使用第一规则生成第一附加认证数据， 并使用所述第一附加认 证数据、 所述第一节点和所述第二节点之间的会话密钥对所述第一报文中 的数据进行解密， 其中， 所述第一附加认证数据与所述第二附加认证数据 相同。

基于第六方面， 在第一种实现方式中， 所述第一规则是所述第一附加 认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同， 所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文的 报文头中的各地址顺序不同， 使得所述第二附加认证数据中各地址顺序和 所述第一附加认证数据中各地址顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

基于第六方面或第六方面的第一种实现方式， 在第二种实现方式中， 所述第二附加认证数据中的各地址顺序和所述第一附加认证数据中的各地 址顺序相同。

基于第六方面、 第六方面的第一或第二种实现方式， 在第三种实现方 式中， 所述第二报文中还包括中继消息认证信息， 所述中继消息认证信息 由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生 成， 用以所述中继设备接收到所述第二报文之后， 使用所述消息认证密钥 验证所述中继消息认证信息， 若验证通过则向所述第一节点发送所述第 ― 报文。

基于第六方面、 第六方面的第一、 第二或第三种实现方式， 在第四种 实现方式中， 所述第一节点为站点， 第二节点为接入点； 或， 所述第一节 点为接入点， 所述第二节点为站点。

第七方面， 本发明提供一种报文处理系统， 应用于中继设备在第一节 点和第二节点之间转发报文的场景， 包括： 第一节点、 第二节点、 中继设 备；

所述第一节点包括上述第四方面所述的报文处理装置；

所述第二节点包括上述第五方面所述的报文处理装置；

所述中继设备包括上述第六方面所述的报文处理装置。

本发明通过第一节点接收中继设备发送的第一报文， 其中， 第一报文 中包括第二节点向所述中继设备发送的第二报文中的数据， 所述第二报文 中的数据使用第二附加认证数据、 第一节点和第二节点之间的会话密钥进 行加密， 所述第二附加认证数据由所述第二节点使用第二规则至少根据所 述第二报文的报文头中的地址信息生成的； 第一节点至少根据第一报文中 的地址信息使用第一规则生成第一附加认证数据， 其中， 第一节点根据第 一规则生成的第一附加认证数据中各地址顺序与第二节点根据第二规则生 成的第二附加认证数据中各地址顺序是相同的， 进一步地， 第一节点利用 第一附加认证数据以及第一节点和第二节点之间的会话密钥解密第一报文 中的数据。 从而当中继设备接收到第二节点发送的第二报文时， 不需要对 第二报文先进行解密然后再加密后发送第一报文给第一节点， 节省了中继 设备处理报文的时间， 提高了信道利用率， 减小了中继设备的额外耗能。

附图说明 为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对 实施例或现有技术描述中所需要使用的附图作一简单地介绍， 显而易见地， 下面描述中的附图是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1为本发明实施例应用的一种 CCMP加密报文的帧格式示意图； 图 2为本发明实施例应用的一种 MAC帧头的格式示意图；

图 3为本发明一实施例提供的报文处理方法的流程示意图；

图 4为本发明实施例应用的报文处理系统的一种架构示意图； 图 5为本发明另一实施例提供的报文处理方法的流程示意图； 图 6为本发明另一实施例提供的报文处理方法的流程示意图； 图 7为本发明一实施例提供的报文处理装置的结构示意图；

图 8为本发明另一实施例提供的报文处理装置的结构示意图； 图 9为本发明另一实施例提供的报文处理装置的结构示意图； 图 10为本发明另一实施例提供的报文处理装置的结构示意图； 图 11为本发明另一实施例提供的报文处理装置的结构示意图； 图 12为本发明另一实施例提供的报文处理装置的结构示意图； 图 13为本发明一实施例提供的报文处理系统的一种结构示意图。 具体实 式 为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本 发明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描 述， 显然， 所描述的实施例是本发明一部分实施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有作出创造性劳动前提 下所获得的所有其他实施例， 都属于本发明保护的范围。

在 802.11标准中， STA (英文： Station, 站点）是指支持 802.11协议 的设备， 包括 AP在内， AP在标准中被称为 AP STA, 不是 AP的 STA在 标准中被称为 non-AP STA。 本发明中所述的站点 STA指应用终端， 也即 non-AP STA, 本发明中所述的接入点 AP, 可以是标准中的 AP STA, 本发 明中所述的中继设备 Relay, 可以是标准中的 Relay STA。

在 IEEE802.11ah标准中， 通常， 采用计数器模式密码块链消息认证码 协议 (英文： Counter Mode with Cipher-block Chaining Message Authentication Code Protocol, 简称 CCMP )对报文中的数据进行加密。 图 1为本发明实施 例应用的一种 CCMP加密报文的帧格式示意图， 报文头一般称为媒介访问 控制帧头 (英文： Media Access Control header, 简称 MAC header), 如图 1 所示， MAC header和 CCMP Header参与加密计算但本身不被加密；待发送 报文中的数据 Data和消息完整性码（英文： Message Integrity Code , 简称 MIC )被力。密（英文： Encrypted ),帧检马全序列（英文： Frame Check Sequence, 简称 FCS )用于检查帧在传输过程中是否出错。 本发明实施例可以应用的 CCMP加密报文的帧格式不限于图 1所示的帧格式。

在实际应用中， AP或者 STA采用 CCMP算法对待发送报文中的数据 Data和消息完整性码 MIC加密之前， 需要使用待发送报文的 MAC帧头中 的地址信息生成附加认证数据 （英文： Additional Authentication Data , 简称 AAD ) , 图 2为本发明实施例应用的一种 MAC帧头的格式示意图， 如图 2所示， MAC帧头中包括多个地址信息， 其中， 地址信息中包括的 各地址顺序为地址 Al、 地址 A2、 地址 A3和地址 A4 , 其中， A1是接收地 址， 即当前接收报文的节点地址， A2是发送地址， 即当前发送报文的节 点地址。 当目的地址为接收地址时， MAC帧头中不需要写目的地址， 当 目的地址不是接收地址时， A3是目的地址， 通常， 目的地址为下一个接 收报文的节点地址； 当源地址是发送地址， MAC帧头中不需要写源地址， 当源地址不是发送地址时， 则 A3或 A4中需要写入源地址， 通常， 源地址 为上一个发送报文的节点地址。 本发明实施例可以应用的 M A C帧头的格 式不限于图 2所示的格式。

由图 2所示的 MAC帧头结构可知， 当报文每一次被 Relay转发时， MAC帧头中的各地址的顺序必然改变 ,由于 MAC帧头中的各地址顺序在 报文转发过程中是改变的， 根据 MAC帧头中的各地址顺序生成的附加认 证数据 AAD也会改变， 因此， Relay在接收到的报文之后， 必须对接收到 的报文中的加密数据进行解密， 在 MAC帧头中重新写入转发的地址信 息， 然后根据重新写入的地址信息生成附加认证数据， 并利用该重新生 成的附加认证数据对解密后的数据进行加密。从而增加了 Relay的报文处 理时间， 降低信道利用率， 增加 Relay的额外耗能。

鉴于上述存在的问题， 本发明实施例提供一种报文处理方法， 应用于 中继设备在第一节点和第二节点之间转发报文的场景， 可以解决现有的中 继设备在站点和接入点之间转发报文时需要解密再加密的处理过程而导致 的信道利用率降低的问题。

需要说明的是， 以下各实施例中， 若第一节点是接入点 AP时， 则第二 节点为站点 STA,或者若第一节点是站点 STA时，则第二节点是接入点 AP。

图 3 为本发明一实施例提供的报文处理方法的流程示意图； 应用于中 继设备在第一节点和第二节点之间转发报文的场景， 如图 3 所示， 报文处 理方法具体包括：

301、 第一节点接收中继设备发送的第一报文， 所述第一报文中包括第 二节点向所述中继设备发送的第二报文中的数据， 所述第二报文中的数据 使用了第二附加认证数据、 所述第一节点和所述第二节点之间的会话密钥 进行了加密， 所述第二附加认证数据是由所述第二节点至少根据所述第二 报文的报文头中的地址信息使用第二规则生成的， 所述第二报文的报文头 中的地址信息指示所述第二报文的接收方是所述中继设备、 发送方是所述 第二节点、 下一接收方是所述第一节点。

具体实现时： 图 4为本发明实施例应用的报文处理系统的一种架构示 意图， 如图 4所示， 假设接入点 AP为第一节点， 站点 STA为第二节点， STA生成第二报文， 其中， 第二报文的报文头 （如图 2所示的 MAC帧头） 中的地址信息中的各地址顺序为： A1为 Relay的地址， 发送地址 A2兼源 地址为 STA的地址， 下一个接收方的地址 A3为 AP的地址。 STA至少才艮据 第二报文的报文头中的地址信息使用第二规则生成第二附加认证数据 AAD, 之后 , STA利用第二 AAD以及 STA和 AP之间的会话密钥对第二 报文中的数据进行加密， 并将加密后的第二报文发送给 Relay。

Relay接收到 STA发送的第二报文之后， 可以重新组装以得到第一报 文， 具体可以为： 填充第一报文的报文头（MAC帧头） 中的地址信息， 即 接收地址 A1兼目的地址为 AP的地址， 发送地址 A2为 Relay的地址， 源 地址 A3为 STA的地址；将第二报文中的加密数据填充在第一报文中的 Data 部分中。 所述第一报文也可以是在所述第二报文上进行简单的地址信息更 新后得到的。本实施例中， Relay不需要对 STA发送的第二报文进行解密处 理， 可以直接将第二报文中的加密数据填充在第一报文中的 Data部分中， 之后， Relay将第一报文发送给 AP。

可选地， 上述 STA发送给 Relay的第二报文中还可以包括中继消息认 证信息， 所述中继消息认证信息可以是由 STA使用 STA和 Relay之间的消 息认证密钥生成的，用以 Relay接收到所述第二报文之后，使用所述消息认 证密钥验证所述中继消息认证信息， 若验证通过则向 AP发送第二报文。

302、 第一节点至少根据所述第一报文的报文头中的地址信息使用第一 规则生成第一附加认证数据， 所述第一报文的报文头中包含的地址信息指 示所述第一报文的接收方是所述第一节点、 发送方是所述中继设备、 上一 发送方是所述第二节点， 其中， 所述第一附加认证数据与所述第二附加认 证数据相同。

需要说明的是， 本发明实施例的应用场景是中继设备在第一节点和第 二节点之间转发报文， 因此， 当 AP接收到第一报文之后， 需要根据第一报 文的报文头中的地址信息， 假设发送地址 A2为 Relay的地址， 则可以确定 该第一报文是 Relay转发的； 或者， 当 AP接收第一报文之后， 假设第一报 文的报文头中携带有 Relay发送的标志位，例如标志位为 1时，表示该第一 报文是 Relay发送的， 0表示该第一报文不是 Relay发送的， 具体实现时， Relay发送的标志位可以利用 MAC帧头的帧控制 （英文： Frame Control, 简称 FC ) 中保留的比特（bit )位来标识。

由于报文每一次被 Relay转发时， 报文头中的各地址的顺序必然改变， 因此， AP在接收到 Relay发送的第一报文中的各地址顺序与 STA在发送给 Relay的第二报文中的各地址顺序是不同的。 为了能够实现 Relay不需要对 STA发送的第二报文中的加密数据进行解密处理，并且 AP能够将 Relay发 送的第一报文中包含的来自 STA 的第二报文中的加密数据进行解密， AP 根据第一报文的报文头中的各地址信息使用第一规则生成的第一附加认证 数据必须与 STA根据第二报文的报文头中的各地址信息使用第二规则生成 的第二附加认证数据是相同的。 具体实现时：

若所述第一规则是第一附加认证数据中的各地址顺序与所述第一报文 的报文头中的各地址顺序相同， 则所述第二规则是第二附加认证数据中的 各地址顺序与所述第二报文的报文头中的各地址顺序不同， 使得根据所述 第二规则生成的第二附加认证数据中各地址顺序和根据第一规则生成的所 述第一附加认证数据中各地址顺序相同； 或

若所述第一规则是第一附加认证数据中的各地址顺序与所述第一报文 的报文头中的各地址顺序不同， 则所述第二规则是第二附加认证数据中的 各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得根据所述 第二规则生成的第二附加认证数据中各地址顺序和根据第一规则生成的所 述第一附加认证数据中各地址顺序相同。

如图 4所示， 假设第二节点 STA根据第二报文的报文头中的地址信息 使用第二规则生成第二附加认证数据， 该第二规则是第二附加认证数据中 的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 则第一节点 AP根据第一报文的报文头中的地址信息使用第一规则生成第一附加认证 数据时， 该第一规则是第一附加认证数据中的各地址顺序与所述第一报文 的报文头中的各地址顺序不同， 使得所述第二节点 STA根据第二报文的报 文头中的地址信息使用所述第二规则生成的第二附加认证数据中各地址顺 序和第一节点 AP根据第一报文的报文头中的地址信息使用所述第一规则 生成的第一附加认证数据中各地址顺序相同。

具体实现时， 例如， 第一节点 AP中可以预设有地址映射表， 其中， 地 址映射表中设置有 Relay发送的第一报文的报文头中的各地址在 AP生成的 AAD中的各地址字段的位置的映射关系；

其中， 表 1为本发明实施例预设的地址映射表， 如表 1所示， 下行表 示 AP通过 Relay向 STA发送报文，上行表示 STA通过 Relay向 AP发送报 文； 为了实现 AP正确的解密 Relay发送的第一报文中包含的来自 STA的 第二报文中的加密数据， AP生成的 AAD中的各地址顺序需要与 STA生成 的 AAD中的各地址顺序一致。 表 1 : AP的 AAD中 AP的 AAD中 AP的 AAD中 AP的 AAD中 的第一个地 的第二个地 的第三个地 的第四个地 方向 ^\址字段 址字段 址字段 址字段 下行 AP 发 给 AP 发 给 AP 发 给

Relay 的报文 Relay 的报文 Relay 的报文 中的 A3 中的 A1 中的 A2

上行 Relay 发 给 Relay 发 给 Relay 发 给

AP 的报文中 AP 的报文中 AP 的报文中 的 A2 的 A3 的 A1 需要说明的是， 可选的， AP的 AAD中可以有第四个地址字段， 在表 1中未具体示出有第四个地址字段时的内容。 基于上述第一节点 AP确定第 一报文是 Relay发送的基础上， AP获取第一报文的报文头中的地址信息， 具体为： 接收地址 A1兼目的地址为 AP的地址， 发送地址 A2为 Relay的 地址， 源地址 A3为 STA的地址； 查询表 1所示的地址映射表， 得到与上 文的报文头中的接收地址 Al ( AP的地址）对应映射地址中的 A3 , 第一报 文的报文头中的发送地址 A2 ( Relay的地址）对应映射地址中的 A1, 第一 报文的报文头中的源地址 A3 ( STA的地址 )对应映射地址中的 A2;

之后， AP根据第一报文的报文头中的地址信息使用的第一规则生成对 应的附加认证数据时， 具体可以为： AP根据第一报文的报文头中的各地址 顺序对应的映射地址顺序， 分别将各映射地址填入生成附加认证数据的 MAC帧头中对应的 Al、 A2和 A3的位置， 也就是说， 将 Relay的地址填 入 A1位置， 将 STA的地址填入 A2位置， 将 AP的地址填入 A3位置， 生 成第一附加认证数据，第一附加认证数据中各地址顺序为 Relay的地址、 STA 的地址、 AP的地址。 这种情况下， 第一节点 AP根据第一报文头中的地址 信息使用第一规则生成对应的第一附加认证数据时， 该第一规则是所述第 一附加认证数据中的各地址顺序与所述第一报文头中的各地址顺序不同， 则， 第二规则是所述第二附加认证数据中的各地址顺序与所述第二报文头 中的各地址顺序相同， 由于第二报文头中的地址信息中的各地址顺序为： Al为 Relay的地址， 发送地址 A2兼源地址为 STA的地址， 下一个接收节 点的地址 A3为 AP的地址，则第二节点 STA根据第二报文头中的地址信息 使用第二规则生成对应的第二附加认证数据中各地址顺序为 Relay的地址、

STA的地址、 AP的地址。 从而 AP生成的第一 AAD中各地址顺序与 STA 生成的第二 AAD中各地址顺序相同， 进而可以实现 AP正确的解密 Relay 发送的第一报文中包含的来自 STA的第二报文中的加密数据。

需要说明的是， 如图 4所示， 假设第二节点 STA根据第二报文的报文 头中的地址信息使用第二规则生成第二附加认证数据， 该第二规则是第二 附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不 同，则第一节点 AP根据第一报文的报文头中的地址信息使用第一规则生成 第一附加认证数据时， 该第一规则是第一附加认证数据中的各地址顺序与 所述第一报文的报文头中的各地址顺序相同， 使得所述第二节点 STA根据 第二报文的报文头中的地址信息使用所述第二规则生成的第二附加认证数 据中各地址顺序和第一节点 AP根据第一报文的报文头中的地址信息使用 所述第一规则生成的第一附加认证数据中各地址顺序相同。 具体实现时， 例如， 第二节点 STA中可以预设有地址映射表， 其中， 地址映射表中可以 设置有 Relay发送的第一报文的报文头中的各地址在第二节点 STA生成的 AAD中的各地址字段的位置的映射关系， 映射原理不再赘述。

303、 第一节点使用根据所述第一规则生成的第一附加认证数据、 所述 第一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解 密。

具体实现时， 可以按照 CCMP算法， 第一节点使用第一附加认证数据、 第一报文中的 CCMP头中的包序号信息、 以及第一节点和第二节点之间的 会话密钥等进行一系列运算产生密钥链的第一密钥值， 再将这个第一密钥 值经过一个固定公式的计算生成第二密钥值， 再将第二密钥值经过所述固 定公式的计算生成第三密钥值， 依此类推， 这一系列的密钥值就是密钥链。 密钥链中的每个密钥值可以都是 128 比特， 每个密钥值依次与待解密数据 中的 128 比特进行异或运算， 就得到对应的明文数据， 本领域技术人员可 以理解的是， CCMP算法可以是现有技术， 本发明对此不作限定。

需补充说明的是， 附加认证数据中可以只包含地址信息， 也可以还使 用了报文头中的除了地址信息之外的其它信息， 例如帧控制 FC ( Frame Control, 帧控制）字段、 服务质量控制 QC ( Quality of service Control, QoS 控制 )字段、 序列控制 SC ( Sequence Control )字段， 这些字段包含很多指 示信息位， 这些信息位有些在附加认证数据中保持与报文头中相同的值， 有些则在附加认证数据中被设置为固定值。 为了使得所述的第一节点和所 述的第二节点对于它们之间传递的同一数据产生相同的附加认证数据， 那 些在 Relay转发后会发生变化的信息位在生成的附加认证数据中可以被设 为固定值， 例如 FC字段中有两个信息位是 toDS和 fromDS, 分别表示这个 报文是否发送给网絡侧或来自网絡侧， 在 Relay接收 STA发送的报文时， 这两个信息位的值可以是 " 10" , 而 Relay向 AP发送报文时， 这两个信息 位的值可以是 "11" , 因此， 无论是 STA还是 AP在产生附加认证数据时， 都将在附加认证数据中的这两个信息位设为固定值， 例如 "11"。 附加认证 数据中这些信息位设为固定值并不表示特定含义， 仅仅是为了 STA和 AP 得到相同的附加认证数据。

还需补充说明的是， CCMP算法中还可以根据报文头中的 A2地址生成 现场值 (英文： Nonce), 将该现场值参与加密计算过程， 因此， 第一节点接 收第一报文后需生成相同的现场值才能正确解密。 如图 4所示， Relay发送 给 AP的第一报文中的 A2是与 Relay接收的来自 STA的第二报文中的 A2 是不同的， 为了让 AP与 STA使用相同的现场值， 例如在上行的情形下， 需要 AP根据表 1所示的地址映射关系， 确定 Relay发送给 AP的第一报文 的报文头中地址 A3与 STA发送给 Relay的第二报文中的 A2是相同的， 因 此， AP可以根据第一报文头中地址 A3来产生现场值， 这样 AP产生的现 场值就和 STA产生的现场值相同。

本发明实施例通过第一节点接收中继设备发送的第一报文， 其中， 第 一报文中包括第二节点向所述中继设备发送的第二报文中的数据， 所述第 二报文中的数据使用第二附加认证数据、 第一节点和第二节点之间的会话 密钥进行加密， 所述第二附加认证数据由所述第二节点使用第二规则至少 根据所述第二报文的报文头中的地址信息生成的； 第一节点至少根据第一 报文中的地址信息使用第一规则生成第一附加认证数据， 其中， 第一节点 根据第一规则生成的第一附加认证数据中各地址顺序与第二节点根据第二 规则生成的第二附加认证数据中各地址顺序是相同的， 进一步地， 第一节 点利用第一附加认证数据以及第一节点和第二节点之间的会话密钥解密第 一报文中的数据。 从而当中继设备接收到第二节点发送的第二报文时， 不 需要对第二报文先进行解密然后再加密后发送第一报文给第一节点， 节省 了中继设备处理报文的时间， 增加了信道利用率， 减小了中继设备的额外 耗能。

图 5 为本发明另一实施例提供的报文处理方法的流程示意图； 应用于 中继设备在第一节点和第二节点之间转发报文的场景， 如图 5 所示， 报文 处理方法具体包括：

501、 第二节点生成第二报文， 所述第二报文的报文头中的地址信息指 示所述第二报文的接收方是所述中继设备、 发送方是所述第二节点、 下一 接收方是所述第一节点。

具体实现时， 如图 4所示， 4叚设第二节点为 AP, 第一节点为 STA, 当 AP需要发送一个加密数据到 STA时， AP可以生成第二报文， 在第二报文 的报文头中填入各地址信息， 接收地址 A1为 Relay的地址， 发送地址 A2 兼源地址为 AP的地址， 目的地址 A3为 STA的地址； 将待发送的数据填入 到第二报文的 Data部分。

502、 第二节点至少根据所述第二报文的报文头中的地址信息使用第二 规则生成第二附加认证数据， 使用所述第二附加认证数据、 所述第一节点 和所述第二节点之间的会话密钥对所述第二报文中的数据进行加密；

具体实现时， AP在发送第二报文之前， AP需要生成第二附加认证数 据， 本实施例中， AP至少根据第二报文中的地址信息使用第二规则生成第 二附加认证数据， 其中， 第二规则可以是第二附加认证数据中的各地址顺 序与所述第二报文的报文头中的各地址顺序相同； 或第二规则也可以是第 二附加认证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序 不同。

之后， AP使用第二附加认证数据、 所述第一节点和所述第二节点之间 的会话密钥对所述第二报文中的数据进行加密， 具体实现时， 可以按照 CCMP算法， AP使用第二附加认证数据、第二报文中的 CCMP头中的包序 号信息、 以及 AP和 STA之间的会话密钥等进行一系列运算产生密钥链的 第一密钥值， 再将这个第一密钥值经过一个固定公式的计算生成第二密钥 值， 再将第二密钥值经过所述固定公式的计算生成第三密钥值， 依此类推， 这一系列的密钥值就是密钥链。 密钥链中的每个密钥值可以都是 128比特， 每个密钥值依次与待加密数据中的 128 比特进行异或运算， 就可以得到对 应的密文数据。

503、 第二节点将所述加密后的第二报文发送给所述中继设备， 以使所 述中继设备接收到所述第二报文后向所述第一节点发送第一报文， 所述第 一报文中包含所述第二报文中的数据， 所述第一报文的报文头中包含的地 址信息指示所述第一报文的接收方是所述第一节点、 发送方是所述中继设 备、 上一发送方是所述第二节点， 使得所述第一节点接收到所述第一报文 后至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附 加认证数据， 使用所述第一附加认证数据、 所述第一节点和所述第二节点 之间的会话密钥对所述第一报文中的数据进行解密， 其中， 所述第一附加 认证数据与所述第二附加认证数据相同。

本实施例中， 如图 4所示， 当 Relay接收到 AP发送的第二报文之后， 不需要对第二报文中的加密数据进行解密， Relay可以重新组装以得到第一 报文， 具体地可以为， 将第二报文中的加密数据填充到第一报文的 Data部 分， 将第一报文的报文头的地址信息填充为： 接收地址 A1 兼目的地址为 STA的地址， 发送地址 A2为 Relay的地址， 源地址 A3为 AP的地址。 所 述第一报文也可以是在所述第二报文上进行简单的地址信息更新后得到 的。 之后， Realy将第一报文发送给 STA。

为了使得 STA能够正确解密出第一报文中包含的来自 AP的第二报文 中的加密数据， STA根据第一报文中的地址信息使用第一规则生成的第一 附加认证数据必须与 AP根据第二报文的报文头中的地址信息使用第二规 则生成第二附加认证数据是相同的， 可以包括， STA使用第一规则生成的 第一附加认证数据中的各地址顺序必须与 AP使用第二规则生成的第二附 加认证数据中的各地址顺序相同。 具体实现时可以为：

若 AP使用的第二规则是第二附加认证数据中的各地址顺序与所述第 二报文的报文头中的各地址顺序相同， 则 STA使用的第一规则是第一附加 认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序不同， 使得 STA根据使用所述第一规则生成的第一附加认证数据中各地址顺序和 AP根据使用所述第二规则生成的第二附加认证数据中各地址顺序相同； 或 若 AP使用的第二规则是第二附加认证数据中的各地址顺序与所述第 二报文的报文头中的各地址顺序不同， 则 STA使用的第一规则是第一附加 认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序相同， 使得 STA使用所述第一规则生成的第一附加认证数据中各地址顺序和 AP 使用所述第二规则生成的第二附加认证数据中各地址顺序相同。

进一步地， 在本发明的一个可选实施方式中， AP生成的第二报文中还 可以包括中继消息认证信息， 所述中继消息认证信息由 AP使用 Relay和 AP之间的消息认证密钥生成， 以便 Relay接收到 AP发送的第二报文之后， 使用所述消息认证密钥验证所述中继消息认证信息， 若验证通过则向 STA 发送第一报文。其中， 上述中继消息认证信息可以是 AP对所述第二报文的 FCS 字段使用所述消息认证密钥进行加密或哈希运算得到的。 在具体实现 时可以为：

例如图 4所示， AP发送第二报文给 Relay之前， 可以与 Relay协商一 个中继消息认证密钥，该中继消息认证密钥用于对 AP发送给 Relay的第二 报文进行简单的消息认证， 通常， AP可以使用该 AP与 Relay之间协商好 的中继消息认证密钥对待发送的第二报文中的 FCS 字段进行加密或哈希 ( hash )运算， 将加密或哈希后的 FCS作为中继消息认证信息代替原有的 FCS字段， 本实施例中， 为了说明的方便， 可以将哈希后的 FCS称为中继 认证字段 R-Auth。 Relay接收到 AP发送的第二报文之后， 使用所述中继消 息认证密钥验证所述中继消息认证信息， 验证第二报文中携带的中继认证 字段 R-Auth, 具体验证方法可以是采用 AP产生 R-Auth相同的过程产生 R-Auth' , 然后比较 R-Auth，和报文中的 R-Auth, 若两者相等， 则验证成功， 否则验证失败。 Relay在验证 R-Auth成功的基础上， 将该第二报文中的加 密数据组装到第一报文中并发送给 STA; 可选地， 若 Relay验证 R-Auth不 成功， Relay可以直接丟弃第二报文。

本发明实施例通过第二节点根据第二报文中的地址信息使用第二规则 生成第二附加认证数据， 利用第二附加认证数据、 第一节点与第二节点之 间的会话密钥对第二报文中的数据进行加密后， 将第二报文发送给中继设 备， 使得中继设备不需要对第二报文中的加密数据进行解密， 而是将第二 报文中的加密数据直接携带在第一报文中发送给第一节点， 以使第一节点 根据第一报文中的地址信息使用第一规则生成第一附加认证数据， 其中， 使用第一规则生成第一附加认证数据与使用第二规则生成第二附加认证数 据是相同的， 第一节点利用第一附加认证数据、 第一节点和第二节点之间 的会话密钥对第一报文中的加密数据进行解密。 从而能够实现中继设备在 转发加密报文的过程中不需要先解密后再加密的过程， 节省了报文处理的 时间， 增加了信道利用率， 减小了中继设备的额外耗能。

图 6为本发明另一实施例提供的报文处理方法的流程示意图； 应用于 中继设备在第一节点和第二节点之间转发报文的场景， 如图 6所示， 报文 处理方法具体包括：

601、 中继设备接收第二节点发送的第二报文， 所述第二报文的报文头 中的地址信息指示所述第二报文的接收方是所述中继设备、 发送方是所述 第二节点、 下一接收方是第一节点， 所述第二报文中的数据使用了第二附 加认证数据、 所述第一节点和第二节点之间的会话密钥进行了加密， 所述 第二附加认证数据由所述第二节点至少根据所述第二报文的报文头中的地 址信息使用第二规则生成。

602、 中继设备向所述第一节点发送第一报文， 所述第一报文中包含所 述第二报文中的数据， 所述第一报文的报文头中包含的地址信息指示所述 第一报文的接收方是所述第一节点、 发送方是所述中继设备、 上一发送方 是所述第二节点， 以使所述第一节点至少根据所述第一报文的报文头中的 地址信息使用第一规则生成第一附加认证数据， 并使用所述第一附加认证 数据、 所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的 数据进行解密， 其中， 所述第一附加认证数据与所述第二附加认证数据相 同。

本实施例中， 中继设备在接收到第二节点发送的第二报文之后， 不需 要将第二报文中的加密数据进行解密， 可以直接将所述加密数据填充到第 一报文的 Data部分，将第一报文的报文头的地址信息填充为：接收地址 A1 兼目的地址为第一节点的地址， 发送地址 A2 为中继设备的地址， 源地址 A3为第二节点的地址； 之后， 中继设备将第一报文发送给第一节点。

其中， 所述第一规则是所述第一附加认证数据中的各地址顺序与所述 第一报文的报文头中的各地址顺序相同， 所述第二规则是所述第二附加认 证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同， 使 得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址 顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

进一步地， 所述第二附加认证数据中的各地址顺序和所述第一附加认 证数据中的各地址顺序相同。

其中， 所述第一节点为站点， 所述第二节点为接入点； 或， 所述第一 节点为接入点， 所述第二节点为站点。

进一步地， 在本发明的一个实施方式中， 所述中继设备接收第二节点 发送的第二报文中还可以包括中继消息认证信息， 所述中继消息认证信息 由所述第二节点使用所述中继设备和所述第二节点之间的消息认证密钥生 成， 以便所述中继设备接收到所述第二报文之后， 使用所述消息认证密钥 验证所述中继消息认证信息， 若验证通过则向所述第一节点发送所述第 ― 报文。 其中， 上述中继消息认证信息由第二节点使用所述中继设备和所述 第一节点之间的消息认证密钥生成， 在具体实现时， 可以是第二节点对所 述第二报文的 FCS字段使用所述消息认证密钥进行加密或哈希运算得到上 述中继消息认证信息。 具体可参考前述相关部分的描述， 此处不再赘述。

本发明实施例的中继设备在接收到第二节点发送的第二报文时， 不需 要中继设备对第二报文中的加密数据先解密后加密的过程， 可以直接将该 加密数据重新组装到第一报文中， 节省了中继设备处理报文的时间， 增加 了信道利用率， 减小了中继设备的额外耗能。

图 7为本发明一实施例提供的报文处理装置的结构示意图； 位于第一 节点侧， 应用于中继设备在第一节点和第二节点之间转发报文的场景， 如 图 7所示， 包括：

接收模块 71 , 用于接收中继设备发送的第一报文， 所述第一报文中包 括第二节点向所述中继设备发送的第二报文中的数据， 所述第二报文中的 数据使用了第二附加认证数据、 所述第一节点和所述第二节点之间的会话 密钥进行了加密， 所述第二附加认证数据是由所述第二节点至少根据所述 第二报文的报文头中的地址信息使用第二规则生成的， 所述第二报文的报 文头中的地址信息指示所述第二报文的接收方是所述中继设备、 发送方是 所述第二节点、 下一接收方是所述第一节点； 解密模块 72, 用于至少根据所述第一报文的报文头中的地址信息使用 第一规则生成第一附加认证数据， 所述第一报文的报文头中包含的地址信 息指示所述第一报文的接收方是所述第一节点、 发送方是所述中继设备、 上一发送方是所述另一第二节点， 其中， 所述使用所述第一规则生成的附 加认证数据与所述使用所述第二规则生成的附加认证数据相同； 使用所述 第一附加认证数据、 所述第一节点和所述另一第二节点之间的会话密钥对 所述第一报文中的数据进行解密， 其中， 所述第一附加认证数据与所述第 二附加认证数据相同。

其中， 所述第一规则是所述第一附加认证数据中的各地址顺序与所述 第一报文的报文头中的各地址顺序相同， 所述第二规则是所述第二附加认 证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同， 使 得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址 顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

进一步地， 所述第二附加认证数据中的各地址顺序和所述第一附加认 证数据中的各地址顺序相同。

进一步可选的， 所述第二报文中还可以包括中继消息认证信息， 所述 中继消息认证信息由所述另一节点使用所述中继设备和所述另一节点之间 的消息认证密钥生成， 用以所述中继设备接收到所述第二报文之后， 使用 所述消息认证密钥验证所述中继消息认证信息， 若验证通过则向所述节点 发送所述第一报文。

其中， 所述第一节点为站点， 所述第二节点为接入点； 或， 所述第一 节点为接入点， 所述第二节点为站点。

本发明实施例通过第一节点接收中继设备发送的第一报文， 其中， 第 一报文中包括第二节点向所述中继设备发送的第二报文中的数据， 所述第 二报文中的数据使用第二附加认证数据、 第一节点和第二节点之间的会话 密钥进行加密， 所述第二附加认证数据由所述第二节点使用第二规则至少 根据所述第二报文的报文头中的地址信息生成的； 第一节点至少根据第一 报文中的地址信息使用第一规则生成第一附加认证数据， 其中， 第一节点 根据第一规则生成的第一附加认证数据中各地址顺序与第二节点根据第二 规则生成的第二附加认证数据中各地址顺序是相同的， 进一步地， 第一节 点利用第一附加认证数据以及第一节点和第二节点之间的会话密钥解密第 一报文中的数据。 从而当中继设备接收到第二节点发送的第二报文时， 不 需要对第二报文先进行解密然后再加密后发送第一报文给第一节点， 节省 了中继设备处理报文的时间， 增加了信道利用率， 减小了中继设备的额外 耗能。

图 8为本发明另一实施例提供的报文处理装置的结构示意图； 位于第 二节点侧， 应用于中继设备在所述第二节点和第一节点之间转发报文的场 景， 包括：

报文生成模块 81 , 用于生成第二报文， 所述第二报文的报文头中的地 址信息指示所述第二报文的接收方是所述中继设备、 发送方是所述节点、 下一接收方是所述另一节点；

加密模块 82 , 用于至少根据所述第二报文的报文头中的地址信息使用 第二规则生成第二附加认证数据， 使用所述第二附加认证数据、 所述第一 节点和所述第二节点之间的会话密钥对所述第二报文中的数据进行加密； 发送模块 83 , 用于将所述加密后的第二报文发送给所述中继设备， 以 使所述中继设备接收到所述第二报文后向所述第一节点发送第一报文， 所 述第一报文中包含所述第二报文中的数据， 所述第一报文的报文头中包含 的地址信息指示所述第一报文的接收方是所述第一节点、 发送方是所述中 继设备、 上一发送方是所述第二节点， 使得所述第一节点接收到所述第一 报文后至少根据所述第一报文的报文头中的地址信息使用第一规则生成第 一附加认证数据， 使用所述第一附加认证数据、 所述第一节点和所述第二 节点之间的会话密钥对所述第一报文中的数据进行解密， 其中， 所述第一 附加认证数据与所述第二附加认证数据相同。

其中， 所述第一规则是所述第一附加认证数据中的各地址顺序与所述 第一报文的报文头中的各地址顺序相同， 所述第二规则是所述第二附加认 证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同， 使 得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址 顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

进一步地， 所述第二附加认证数据中的各地址顺序和所述第一附加认 证数据中的各地址顺序相同。

进一步可选的， 所述第二报文中还包括中继消息认证信息， 所述中继 消息认证信息由所述节点使用所述中继设备和所述节点之间的消息认证密 钥生成， 用以所述中继设备接收到所述第二报文之后， 使用所述消息认证 密钥验证所述中继消息认证信息， 若验证通过则向所述另一节点发送所述 第一报文。

其中， 所述第二节点为站点， 所述第一节点为接入点； 或， 所述第二 节点为接入点， 所述第一节点为站点。

本发明实施例通过第二节点根据第二报文中的地址信息使用第二规则 生成第二附加认证数据， 利用第二附加认证数据、 第一节点与第二节点之 间的会话密钥对第二报文中的数据进行加密后， 将第二报文发送给中继设 备， 使得中继设备不需要对第二报文中的加密数据进行解密， 而是将第二 报文中的加密数据直接携带在第一报文中发送给第一节点， 以使第一节点 根据第一报文中的地址信息使用第一规则生成第一附加认证数据， 其中， 使用第一规则生成第一附加认证数据与使用第二规则生成第二附加认证数 据是相同的， 第一节点利用第一附加认证数据、 第一节点和第二节点之间 的会话密钥对第一报文中的加密数据进行解密。 从而能够实现中继设备在 转发加密报文的过程中不需要先解密后再加密的过程， 节省了报文处理的 时间， 增加了信道利用率， 减小了中继设备的额外耗能。

图 9为本发明另一实施例提供的报文处理装置的结构示意图； 位于中 继设备侧， 应用于中继设备在所述第二节点和第一节点之间转发报文的场 景， 包括：

接收模块 91 , 用于接收第二节点发送的第二报文， 所述第二报文的报 文头中的地址信息指示所述第二报文的接收方是所述中继设备、 发送方是 所述第二节点、 下一接收方是第一节点， 所述第二报文中的数据使用了第 二附加认证数据、 所述第一节点和第二节点之间的会话密钥进行了加密， 所述第二附加认证数据由所述第二节点至少根据所述第二报文的报文头中 的地址信息使用第二规则生成；

发送模块 92, 用于向所述第一节点发送第一报文， 所述第一报文中包 含所述第二报文中的数据， 所述第一报文的报文头中包含的地址信息指示 所述第一报文的接收方是所述第一节点、 发送方是所述中继设备、 上一发 送方是所述第二节点， 以使所述第一节点至少根据所述第一报文的报文头 中的地址信息使用第一规则生成第一附加认证数据， 并使用所述第一附加 认证数据、 所述第一节点和所述第二节点之间的会话密钥对所述第一报文 中的数据进行解密， 其中， 所述第一附加认证数据与所述第二附加认证数 据相同。

其中， 所述第一规则是所述第一附加认证数据中的各地址顺序与所述 第一报文的报文头中的各地址顺序相同， 所述第二规则是所述第二附加认 证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同， 使 得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址 顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

进一步地， 所述第二附加认证数据中的各地址顺序和所述第一附加认 证数据中的各地址顺序相同。

进一步可选的， 所述第二报文中还可以包括中继消息认证信息， 所述 中继消息认证信息由所述第二节点使用所述中继设备和所述第二节点之间 的消息认证密钥生成， 用以所述中继设备接收到所述第二报文之后， 使用 所述消息认证密钥验证所述中继消息认证信息， 若验证通过则向所述第 ― 节点发送所述第一报文。

其中， 所述第一节点为站点， 第二节点为接入点； 或， 所述第一节点 为接入点， 所述第二节点为站点。 本发明实施例的中继设备在接收到第二节点发送的第二报文时， 不需 要中继设备对第二报文中的加密数据先解密后加密的过程， 可以直接将该 加密数据重新组装到第一报文中， 节省了中继设备处理报文的时间， 增加 了信道利用率， 减小了中继设备的额外耗能。

图 10为本发明另一实施例提供的报文处理装置的结构示意图； 位于第 一节点侧， 应用于中继设备在第一节点和第二节点之间转发报文的场景， 本实施例的报文处理装置具体可以为接入点或者站点， 如图 10所示， 第一 节点包括： 处理器、 存储器和通信总线， 其中， 处理器和存储器通过通信 总线连接， 存储器中保存有用于中继设备在第一节点和第二节点之间转发 报文的场景时的报文处理方法的实现指令； 进一步地， 第一节点还包括通 信接口， 通过通信接口与其他网元设备（例如中继设备）通信。

当处理器调取存储器中的指令时， 可以执行如下步骤：

接收中继设备发送的第一报文， 所述第一报文中包括第二节点向所述 中继设备发送的第二报文中的数据， 所述第二报文中的数据使用了第二附 加认证数据、 所述第一节点和所述第二节点之间的会话密钥进行了加密， 所述第二附加认证数据是由所述第二节点至少根据所述第二报文的报文头 中的地址信息使用第二规则生成的， 所述第二报文的报文头中的地址信息 指示所述第二报文的接收方是所述中继设备、 发送方是所述第二节点、 下 一接收方是所述第一节点；

至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一 附加认证数据， 所述第一报文的报文头中包含的地址信息指示所述第一报 文的接收方是所述第一节点、 发送方是所述中继设备、 上一发送方是所述 另一第二节点， 其中， 所述使用所述第一规则生成的附加认证数据与所述 使用所述第二规则生成的附加认证数据相同； 使用所述第一附加认证数据、 所述第一节点和所述另一第二节点之间的会话密钥对所述第一报文中的数 据进行解密， 其中， 所述第一附加认证数据与所述第二附加认证数据相同。

其中， 所述第一规则是所述第一附加认证数据中的各地址顺序与所述 第一报文的报文头中的各地址顺序相同， 所述第二规则是所述第二附加认 证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同， 使 得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址 顺序相同； 或 所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

进一步地， 所述第二附加认证数据中的各地址顺序和所述第一附加认 证数据中的各地址顺序相同。

进一步可选的， 所述第二报文中还可以包括中继消息认证信息， 所述 中继消息认证信息由所述另一节点使用所述中继设备和所述另一节点之间 的消息认证密钥生成， 用以所述中继设备接收到所述第二报文之后， 使用 所述消息认证密钥验证所述中继消息认证信息， 若验证通过则向所述节点 发送所述第一报文。

其中， 所述第一节点为站点， 所述第二节点为接入点； 或， 所述第一 节点为接入点， 所述第二节点为站点。

本发明实施例通过第一节点接收中继设备发送的第一报文， 其中， 第 一报文中包括第二节点向所述中继设备发送的第二报文中的数据， 所述第 二报文中的数据使用第二附加认证数据、 第一节点和第二节点之间的会话 密钥进行加密， 所述第二附加认证数据由所述第二节点使用第二规则至少 根据所述第二报文的报文头中的地址信息生成的； 第一节点至少根据第一 报文中的地址信息使用第一规则生成第一附加认证数据， 其中， 第一节点 根据第一规则生成的第一附加认证数据中各地址顺序与第二节点根据第二 规则生成的第二附加认证数据中各地址顺序是相同的， 进一步地， 第一节 点利用第一附加认证数据以及第一节点和第二节点之间的会话密钥解密第 一报文中的数据。 从而当中继设备接收到第二节点发送的第二报文时， 不 需要对第二报文先进行解密然后再加密后发送第一报文给第一节点， 节省 了中继设备处理报文的时间， 增加了信道利用率， 减小了中继设备的额外 耗能。

图 11为本发明另一实施例提供的报文处理装置的结构示意图； 位于第 二节点侧， 应用于中继设备在第一节点和第二节点之间转发报文的场景， 具体可以为接入点 AP或站点 STA, 如图 11所示， 第二节点包括： 处理器、 存储器和通信总线， 其中， 处理器和存储器通过通信总线连接， 存储器中 保存有用于中继设备在第一节点和第二节点之间转发报文的场景时的报文 处理方法的实现指令； 进一步地， 第二节点还包括通信接口， 通过通信接 口与其他网元设备（例如中继设备）通信。

当处理器调取存储器中的指令时， 可以执行如下步骤：

生成第二报文， 所述第二报文的报文头中的地址信息指示所述第二报 文的接收方是所述中继设备、 发送方是所述节点、 下一接收方是所述另一 节点；

至少根据所述第二报文的报文头中的地址信息使用第二规则生成第二 附加认证数据， 使用所述第二附加认证数据、 所述第一节点和所述第二节 点之间的会话密钥对所述第二报文中的数据进行加密；

将所述加密后的第二报文发送给所述中继设备， 以使所述中继设备接 收到所述第二报文后向所述第一节点发送第一报文， 所述第一报文中包含 所述第二报文中的数据， 所述第一报文的报文头中包含的地址信息指示所 述第一报文的接收方是所述第一节点、 发送方是所述中继设备、 上一发送 方是所述第二节点， 使得所述第一节点接收到所述第一报文后至少根据所 述第一报文的报文头中的地址信息使用第一规则生成第一附加认证数据， 使用所述第一附加认证数据、 所述第一节点和所述第二节点之间的会话密 钥对所述第一报文中的数据进行解密， 其中， 所述第一附加认证数据与所 述第二附加认证数据相同。

其中， 所述第一规则是所述第一附加认证数据中的各地址顺序与所述 第一报文的报文头中的各地址顺序相同， 所述第二规则是所述第二附加认 证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同， 使 得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址 顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

进一步地， 所述第二附加认证数据中的各地址顺序和所述第一附加认 证数据中的各地址顺序相同。 进一步可选的， 所述第二报文中还可以包括中继消息认证信息， 所述 中继消息认证信息由所述节点使用所述中继设备和所述节点之间的消息认 证密钥生成， 用以所述中继设备接收到所述第二报文之后， 使用所述消息 认证密钥验证所述中继消息认证信息， 若验证通过则向所述另一节点发送 所述第一报文。

其中， 所述第二节点为站点， 所述第一节点为接入点； 或， 所述第二 节点为接入点， 所述第一节点为站点。

本发明实施例通过第二节点根据第二报文中的地址信息使用第二规则 生成第二附加认证数据， 利用第二附加认证数据、 第一节点与第二节点之 间的会话密钥对第二报文中的数据进行加密后， 将第二报文发送给中继设 备， 使得中继设备不需要对第二报文中的加密数据进行解密， 而是将第二 报文中的加密数据直接携带在第一报文中发送给第一节点， 以使第一节点 根据第一报文中的地址信息使用第一规则生成第一附加认证数据， 其中， 使用第一规则生成第一附加认证数据与使用第二规则生成第二附加认证数 据是相同的， 第一节点利用第一附加认证数据、 第一节点和第二节点之间 的会话密钥对第一报文中的加密数据进行解密。 从而能够实现中继设备在 转发加密报文的过程中不需要先解密后再加密的过程， 节省了报文处理的 时间， 增加了信道利用率， 减小了中继设备的额外耗能。

图 12为本发明另一实施例提供的报文处理装置的结构示意图； 位于中 继设备侧， 应用于中继设备在第一节点和第二节点之间转发报文的场景， 具体可以为 Relay, 如图 12所示， 中继设备包括： 处理器、 存储器和通信 总线， 其中， 处理器和存储器通过通信总线连接， 存储器中保存有用于中 继设备在第一节点和第二节点之间转发报文的场景时的报文处理方法的实 现指令； 进一步地， 中继设备还包括通信接口， 通过通信接口与其他网元 设备（例如接入点或站点）通信。

当处理器调取存储器中的指令时， 可以执行如下步骤：

接收第二节点发送的第二报文， 所述第二报文的报文头中的地址信息 指示所述第二报文的接收方是所述中继设备、 发送方是所述第二节点、 下 一接收方是第一节点， 所述第二报文中的数据使用了第二附加认证数据、 所述第一节点和第二节点之间的会话密钥进行了加密， 所述第二附加认证 数据由所述第二节点至少根据所述第二报文的报文头中的地址信息使用第 二规则生成；

向所述第一节点发送第一报文， 所述第一报文中包含所述第二报文中 的数据， 所述第一报文的报文头中包含的地址信息指示所述第一报文的接 收方是所述第一节点、 发送方是所述中继设备、 上一发送方是所述第二节 点， 以使所述第一节点至少根据所述第一报文的报文头中的地址信息使用 第一规则生成第一附加认证数据， 并使用所述第一附加认证数据、 所述第 一节点和所述第二节点之间的会话密钥对所述第一报文中的数据进行解 密， 其中， 所述第一附加认证数据与所述第二附加认证数据相同。

其中， 所述第一规则是所述第一附加认证数据中的各地址顺序与所述 第一报文的报文头中的各地址顺序相同， 所述第二规则是所述第二附加认 证数据中的各地址顺序与所述第二报文的报文头中的各地址顺序不同， 使 得所述第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址 顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

进一步地， 所述第二附加认证数据中的各地址顺序和所述第一附加认 证数据中的各地址顺序相同。

进一步可选的， 所述第二报文中还可以包括中继消息认证信息， 所述 中继消息认证信息由所述第二节点使用所述中继设备和所述第二节点之间 的消息认证密钥生成， 用以所述中继设备接收到所述第二报文之后， 使用 所述消息认证密钥验证所述中继消息认证信息， 若验证通过则向所述第 ― 节点发送所述第一报文。

其中， 所述第一节点为站点， 第二节点为接入点； 或， 所述第一节点 为接入点， 所述第二节点为站点

本发明实施例的中继设备在接收到第二节点发送的第二报文时， 不需 要中继设备对第二报文中的加密数据先解密后加密的过程， 可以直接将该 加密数据重新组装到第一报文中， 节省了中继设备处理报文的时间， 增加 了信道利用率， 减小了中继设备的额外耗能。 图 13为本发明另一实施例提供的报文处理系统的一种结构示意图， 应 用于中继设备在第一节点和第二节点之间转发报文的场景， 如图 13所示， 所述系统具体包括： 中继设备 11、 第一节点 12和第二节点 13;

其中， 第一节点 12包括上述图 7或图 10所示实施例提供的报文处理 装置， 详细内容参考图 7或图 10所示实施例提供的报文处理装置中的相关 描述；

第二节点 13 包括上述图 8或图 11所示实施例提供的报文处理装置， 详细内容参考图 8或图 11所示实施例提供的报文处理装置中的相关描述； 中继设备 11为上述图 9或图 12所示实施例提供的报文处理装置， 详 细内容参考图 9或图 12所示实施例提供的报文处理装置中的相关描述； 在实际应用， 若第一节点是接入点 AP时， 则第二节点为站点 STA, 或 者若第一节点是站点 STA时， 则第二节点是接入点 AP。

本发明实施例通过第一节点接收中继设备发送的第一报文， 其中， 第 一报文中包括第二节点向所述中继设备发送的第二报文中的数据， 所述第 二报文中的数据使用第二附加认证数据、 第一节点和第二节点之间的会话 密钥进行加密， 所述第二附加认证数据由所述第二节点使用第二规则至少 根据所述第二报文的报文头中的地址信息生成的； 第一节点至少根据第一 报文中的地址信息使用第一规则生成第一附加认证数据， 其中， 第一节点 根据第一规则生成的第一附加认证数据中各地址顺序与第二节点根据第二 规则生成的第二附加认证数据中各地址顺序是相同的， 进一步地， 第一节 点利用第一附加认证数据以及第一节点和第二节点之间的会话密钥解密第 一报文中的数据。 从而当中继设备接收到第二节点发送的第二报文时， 不 需要对第二报文先进行解密然后再加密后发送第一报文给第一节点， 节省 了中继设备处理报文的时间， 增加了信道利用率， 减小了中继设备的额外 耗能。

所属领域的技术人员可以清楚地了解到， 为描述的方便和简洁， 上述 描述的系统， 装置和单元的具体工作过程， 可以参考前述方法实施例中的 对应过程， 在此不再赘述。

在本申请所提供的几个实施例中， 应该理解到， 所揭露的系统， 装置 和方法， 可以通过其它的方式实现。 例如， 以上所描述的装置实施例仅仅 是示意性的， 例如， 所述单元的划分， 仅仅为一种逻辑功能划分， 实际实 现时可以有另外的划分方式， 例如多个单元或组件可以结合或者可以集成 到另一个系统， 或一些特征可以忽略， 或不执行。 另一点， 所显示或讨论 的相互之间的耦合或直接耦合或通信连接可以是通过一些接口， 装置或单 元的间接耦合或通信连接， 可以是电性， 机械或其它的形式。 作为单元显示的部件可以是或者也可以不是物理单元， 即可以位于一个地 方， 或者也可以分布到多个网絡单元上。 可以根据实际的需要选择其中的 部分或者全部单元来实现本实施例方案的目的。

另外， 在本发明各个实施例中的各功能单元可以集成在一个处理单元 中， 也可以是各个单元单独物理存在， 也可以两个或两个以上单元集成在 一个单元中。 上述集成的单元既可以采用硬件的形式实现， 也可以采用硬 件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元， 可以存储在一个计算 机可读取存储介质中。 上述软件功能单元存储在一个存储介质中， 包括若 干指令用以使得一台计算机设备（可以是个人计算机， 服务器， 或者网絡 设备等）执行本发明各个实施例所述方法的部分步骤。 而前述的存储介质 包括： U盘、 移动硬盘、 只读存储器 （Read-Only Memory, 简称 ROM )、 随机存取存储器（ Random Access Memory, 简称 RAM )、 磁碟或者光盘等 各种可以存储程序代码的介质。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对 其限制； 尽管参照前述实施例对本发明进行了详细的说明， 本领域的普通 技术人员应当理解： 其依然可以对前述各实施例所记载的技术方案进行修 改， 或者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不 使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权利要求

1、 一种报文处理方法， 应用于中继设备在第一节点和第二节点之间转 发报文的场景， 其特征在于， 包括：

第一节点接收中继设备发送的第一报文， 所述第一报文中包括第二节 点向所述中继设备发送的第二报文中的数据， 所述第二报文中的数据使用 了第二附加认证数据、 所述第一节点和所述第二节点之间的会话密钥进行 了加密， 所述第二附加认证数据是由所述第二节点至少根据所述第二报文 的报文头中的地址信息使用第二规则生成的， 所述第二报文的报文头中的 地址信息指示所述第二报文的接收方是所述中继设备、 发送方是所述第二 节点、 下一接收方是所述第一节点；

所述第一节点至少根据所述第一报文的报文头中的地址信息使用第一 规则生成第一附加认证数据， 所述第一报文的报文头中包含的地址信息指 示所述第一报文的接收方是所述第一节点、 发送方是所述中继设备、 上一 发送方是所述第二节点， 其中， 所述第一附加认证数据与所述第二附加认 证数据相同；

所述第一节点使用所述第一附加认证数据、 所述第一节点和所述第二 节点之间的会话密钥对所述第一报文中的数据进行解密。

2、 根据权利要求 1所述的方法， 其特征在于， 所述第一规则是所述第 一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序 相同， 所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二 报文的报文头中的各地址顺序不同， 使得所述第二附加认证数据中各地址 顺序和所述第一附加认证数据中各地址顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

3、 根据权利要求 1或 2所述的方法， 其特征在于， 所述第二附加认证 数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。

4、 根据权利要求 1-3任一所述的方法， 其特征在于， 所述第二报文中 还包括中继消息认证信息， 所述中继消息认证信息由所述第二节点使用所 述中继设备和所述第二节点之间的消息认证密钥生成， 用以所述中继设备 接收到所述第二报文之后， 使用所述消息认证密钥验证所述中继消息认证 信息， 若验证通过则向所述第一节点发送所述第一报文。

5、 根据权利要求 1-4任一项所述的方法， 其特征在于， 所述第一节点 为站点， 第二节点为接入点； 或， 所述第一节点为接入点， 所述第二节点 为站点。

6、 一种报文处理方法， 应用于中继设备在第一节点和第二节点之间转 发报文的场景， 其特征在于， 包括：

第二节点生成第二报文， 所述第二报文的报文头中的地址信息指示所 述第二报文的接收方是所述中继设备、 发送方是所述第二节点、 下一接收 方是所述第一节点；

所述第二节点至少根据所述第二报文的报文头中的地址信息使用第二 规则生成第二附加认证数据， 使用所述第二附加认证数据、 所述第一节点 和所述第二节点之间的会话密钥对所述第二报文中的数据进行加密；

所述第二节点将所述加密后的第二报文发送给所述中继设备， 以使所 述中继设备接收到所述第二报文后向所述第一节点发送第一报文， 所述第 一报文中包含所述第二报文中的数据， 所述第一报文的报文头中包含的地 址信息指示所述第一报文的接收方是所述第一节点、 发送方是所述中继设 备、 上一发送方是所述第二节点， 使得所述第一节点接收到所述第一报文 后至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一附 加认证数据， 使用所述第一附加认证数据、 所述第一节点和所述第二节点 之间的会话密钥对所述第一报文中的数据进行解密， 其中， 所述第一附加 认证数据与所述第二附加认证数据相同。

7、 根据权利要求 6所述的方法， 其特征在于， 所述第一规则是所述第 一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺序 相同， 所述第二规则是所述第二附加认证数据中的各地址顺序与所述第二 报文的报文头中的各地址顺序不同， 使得所述第二附加认证数据中各地址 顺序和所述第一附加认证数据中各地址顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

8、 根据权利要求 6或 7所述的方法， 其特征在于， 所述第二附加认证 数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。

9、 根据权利要求 6-8任一所述的方法， 其特征在于， 所述第二报文中 还包括中继消息认证信息， 所述中继消息认证信息由所述第二节点使用所 述中继设备和所述第二节点之间的消息认证密钥生成， 用以所述中继设备 接收到所述第二报文之后， 使用所述消息认证密钥验证所述中继消息认证 信息， 若验证通过则向所述第一节点发送所述第一报文。

10、根据权利要求 6-9任一项所述的方法， 其特征在于， 所述第一节点 为站点， 第二节点为接入点； 或， 所述第一节点为接入点， 所述第二节点 为站点。

11、 一种报文处理方法， 应用于中继设备在第一节点和第二节点之间 转发报文的场景， 其特征在于， 包括：

中继设备接收第二节点发送的第二报文， 所述第二报文的报文头中的 地址信息指示所述第二报文的接收方是所述中继设备、 发送方是所述第二 节点、 下一接收方是第一节点， 所述第二报文中的数据使用了第二附加认 证数据、 所述第一节点和第二节点之间的会话密钥进行了加密， 所述第二 附加认证数据由所述第二节点至少根据所述第二报文的报文头中的地址信 息使用第二规则生成；

所述中继设备向所述第一节点发送第一报文， 所述第一报文中包含所 述第二报文中的数据， 所述第一报文的报文头中包含的地址信息指示所述 第一报文的接收方是所述第一节点、 发送方是所述中继设备、 上一发送方 是所述第二节点， 以使所述第一节点至少根据所述第一报文的报文头中的 地址信息使用第一规则生成第一附加认证数据， 并使用所述第一附加认证 数据、 所述第一节点和所述第二节点之间的会话密钥对所述第一报文中的 数据进行解密， 其中， 所述第一附加认证数据与所述第二附加认证数据相 同。

12、 根据权利要求 11所述的方法， 其特征在于， 所述第一规则是所述 第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺 序相同， 所述第二规则是所述第二附加认证数据中的各地址顺序与所述第 二报文的报文头中的各地址顺序不同， 使得所述第二附加认证数据中各地 址顺序和所述第一附加认证数据中各地址顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

13、 根据权利要求 11或 12所述的方法， 其特征在于， 所述第二附加 认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。

14、根据权利要求 11-13任一所述的方法， 其特征在于， 所述第二报文 中还包括中继消息认证信息， 所述中继消息认证信息由所述第二节点使用 所述中继设备和所述第二节点之间的消息认证密钥生成， 用以所述中继设 备接收到所述第二报文之后， 使用所述消息认证密钥验证所述中继消息认 证信息， 若验证通过则向所述第一节点发送所述第一报文。

15、根据权利要求 11-14任一项所述的方法， 其特征在于， 所述第一节 点为站点， 第二节点为接入点； 或， 所述第一节点为接入点， 所述第二节 点为 占点。

16、 一种报文处理装置， 位于第一节点侧， 应用于中继设备在所述第 一节点和第二节点之间转发报文的场景， 其特征在于， 包括：

接收模块， 用于接收中继设备发送的第一报文， 所述第一报文中包括 第二节点向所述中继设备发送的第二报文中的数据， 所述第二报文中的数 据使用了第二附加认证数据、 所述第一节点和所述第二节点之间的会话密 钥进行了加密， 所述第二附加认证数据是由所述第二节点至少根据所述第 二报文的报文头中的地址信息使用第二规则生成的， 所述第二报文的报文 头中的地址信息指示所述第二报文的接收方是所述中继设备、 发送方是所 述第二节点、 下一接收方是所述第一节点；

解密模块， 用于至少根据所述第一报文的报文头中的地址信息使用第 一规则生成第一附加认证数据， 所述第一报文的报文头中包含的地址信息 指示所述第一报文的接收方是所述第一节点、 发送方是所述中继设备、 上 一发送方是所述另一第二节点， 其中， 所述使用所述第一规则生成的附加 认证数据与所述使用所述第二规则生成的附加认证数据相同； 使用所述第 一附加认证数据、 所述第一节点和所述另一第二节点之间的会话密钥对所 述第一报文中的数据进行解密， 其中， 所述第一附加认证数据与所述第二 附加认证数据相同。

17、 根据权利要求 16所述的装置， 其特征在于， 所述第一规则是所述 第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺 序相同， 所述第二规则是所述第二附加认证数据中的各地址顺序与所述第 二报文的报文头中的各地址顺序不同， 使得所述第二附加认证数据中各地 址顺序和所述第一附加认证数据中各地址顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

18、 根据权利要求 16或 17所述的装置， 其特征在于， 所述第二附加 认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。

19、根据权利要求 16-18任一所述的装置， 其特征在于， 所述第二报文 中还包括中继消息认证信息， 所述中继消息认证信息由所述另一节点使用 所述中继设备和所述另一节点之间的消息认证密钥生成， 用以所述中继设 备接收到所述第二报文之后， 使用所述消息认证密钥验证所述中继消息认 证信息， 若验证通过则向所述节点发送所述第一报文。

20、根据权利要求 16-19任一项所述的装置， 其特征在于， 所述第一节 点为站点， 所述第二节点为接入点； 或， 所述第一节点为接入点， 所述第 二节点为站点。

21、 一种报文处理装置， 位于第二节点侧， 应用于中继设备在所述第 二节点和第一节点之间转发报文的场景， 其特征在于， 包括：

报文生成模块， 用于生成第二报文， 所述第二报文的报文头中的地址 信息指示所述第二报文的接收方是所述中继设备、 发送方是所述节点、 下 一接收方是所述另一节点；

加密模块， 用于至少根据所述第二报文的报文头中的地址信息使用第 二规则生成第二附加认证数据， 使用所述第二附加认证数据、 所述第一节 点和所述第二节点之间的会话密钥对所述第二报文中的数据进行加密； 发送模块， 用于将所述加密后的第二报文发送给所述中继设备， 以使 所述中继设备接收到所述第二报文后向所述第一节点发送第一报文， 所述 第一报文中包含所述第二报文中的数据， 所述第一报文的报文头中包含的 地址信息指示所述第一报文的接收方是所述第一节点、 发送方是所述中继 设备、 上一发送方是所述第二节点， 使得所述第一节点接收到所述第一报 文后至少根据所述第一报文的报文头中的地址信息使用第一规则生成第一 附加认证数据， 使用所述第一附加认证数据、 所述第一节点和所述第二节 点之间的会话密钥对所述第一报文中的数据进行解密， 其中， 所述第一附 加认证数据与所述第二附加认证数据相同。

22、 根据权利要求 21所述的装置， 其特征在于， 所述第一规则是所述 第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺 序相同， 所述第二规则是所述第二附加认证数据中的各地址顺序与所述第 二报文的报文头中的各地址顺序不同， 使得所述第二附加认证数据中各地 址顺序和所述第一附加认证数据中各地址顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

23、 根据权利要求 21或 22所述的装置， 其特征在于， 所述第二附加 认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。

24、根据权利要求 21-23任一所述的装置， 其特征在于， 所述第二报文 中还包括中继消息认证信息， 所述中继消息认证信息由所述节点使用所述 中继设备和所述节点之间的消息认证密钥生成， 用以所述中继设备接收到 所述第二报文之后， 使用所述消息认证密钥验证所述中继消息认证信息， 若验证通过则向所述另一节点发送所述第一报文。

25、根据权利要求 21-24任一项所述的装置， 其特征在于， 所述第二节 点为站点， 所述第一节点为接入点； 或， 所述第二节点为接入点， 所述第 一节点为站点。

26、 一种报文处理装置， 位于中继设备侧， 应用于中继设备在第一节 点和第二节点之间转发报文的场景， 其特征在于， 包括：

接收模块， 用于接收第二节点发送的第二报文， 所述第二报文的报文 头中的地址信息指示所述第二报文的接收方是所述中继设备、 发送方是所 述第二节点、 下一接收方是第一节点， 所述第二报文中的数据使用了第二 附加认证数据、 所述第一节点和第二节点之间的会话密钥进行了加密， 所 述第二附加认证数据由所述第二节点至少根据所述第二报文的报文头中的 地址信息使用第二规则生成；

发送模块， 用于向所述第一节点发送第一报文， 所述第一报文中包含 所述第二报文中的数据， 所述第一报文的报文头中包含的地址信息指示所 述第一报文的接收方是所述第一节点、 发送方是所述中继设备、 上一发送 方是所述第二节点， 以使所述第一节点至少根据所述第一报文的报文头中 的地址信息使用第一规则生成第一附加认证数据， 并使用所述第一附加认 证数据、 所述第一节点和所述第二节点之间的会话密钥对所述第一报文中 的数据进行解密， 其中， 所述第一附加认证数据与所述第二附加认证数据 相同。

27、 根据权利要求 26所述的装置， 其特征在于， 所述第一规则是所述 第一附加认证数据中的各地址顺序与所述第一报文的报文头中的各地址顺 序相同， 所述第二规则是所述第二附加认证数据中的各地址顺序与所述第 二报文的报文头中的各地址顺序不同， 使得所述第二附加认证数据中各地 址顺序和所述第一附加认证数据中各地址顺序相同； 或

所述第一规则是所述第一附加认证数据中的各地址顺序与所述第一报 文的报文头中的各地址顺序不同， 所述第二规则是所述第二附加认证数据 中的各地址顺序与所述第二报文的报文头中的各地址顺序相同， 使得所述 第二附加认证数据中各地址顺序和所述第一附加认证数据中各地址顺序相 同。

28、 根据权利要求 26或 27所述的装置， 其特征在于， 所述第二附加 认证数据中的各地址顺序和所述第一附加认证数据中的各地址顺序相同。

29、根据权利要求 26-28任一所述的装置， 其特征在于， 所述第二报文 中还包括中继消息认证信息， 所述中继消息认证信息由所述第二节点使用 所述中继设备和所述第二节点之间的消息认证密钥生成， 用以所述中继设 备接收到所述第二报文之后， 使用所述消息认证密钥验证所述中继消息认 证信息， 若验证通过则向所述第一节点发送所述第一报文。

30、根据权利要求 26-29任一项所述的装置， 其特征在于， 所述第一节 点为站点， 第二节点为接入点； 或， 所述第一节点为接入点， 所述第二节 点为 占点。

31、 一种报文处理系统， 应用于中继设备在第一节点和第二节点之间 转发报文的场景， 其特征在于， 包括： 中继设备、 第一节点和第二节点； 所述中继设备包括如权利要求 26-30任一项所述的报文处理装置； 所述第一节点包括如权利要求 16-20任一项所述的报文处理装置； 所述第二节点包括如权利要求 21-25任一项所述的报文处理装置。