WO2023020164A1 - 管理通信信道的方法和装置 - Google Patents
管理通信信道的方法和装置 Download PDFInfo
- Publication number
- WO2023020164A1 WO2023020164A1 PCT/CN2022/105248 CN2022105248W WO2023020164A1 WO 2023020164 A1 WO2023020164 A1 WO 2023020164A1 CN 2022105248 W CN2022105248 W CN 2022105248W WO 2023020164 A1 WO2023020164 A1 WO 2023020164A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- client
- management frame
- target information
- encrypted
- information element
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 108
- 238000004891 communication Methods 0.000 title claims abstract description 84
- 230000008569 process Effects 0.000 claims description 53
- 230000004044 response Effects 0.000 claims description 17
- 239000000523 sample Substances 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 12
- 238000010276 construction Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 12
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000001052 transient effect Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
Abstract
本说明书实施例提供了一种管理通信信道的方法和装置,所述方法的一具体实施例通过无线接入点AP设备执行,包括,在无线接入点AP设备端构建携带目标信息元素的原始管理帧,目标信息元素包括与通信信道管理相关的信息元素。在确定存在客户端已连接到AP设备的情况下,针对连接到AP设备的各个客户端,将构建的管理帧的目标地址设置为该客户端的MAC地址,并采用该客户端对应的密钥对目标信息元素中的信息进行加密。之后,将设置地址和加密后的管理帧在WiFi网络内进行发送。
Description
本申请要求于2021年8月19日提交中国国家知识产权局、申请号为202110957050.9、申请名称为“管理通信信道的方法和装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
本说明书实施例涉及计算机技术领域,尤其涉及一种管理通信信道的方法和装置。
随着无线通信的发展,越来越多的设备通过WiFi联入网络,实现智能化功能。WiFi通信的开放性特点,为终端设备联入无线网络提供了便利,同时也为攻击者提供了可乘之机。攻击者可以伪造和重放无线网络上的任意帧,给用户信息安全带来极大的威胁。举例来说,Beacon帧作为无线AP(Wireless Access Point,无线接入点)的信标帧,通常是明文传输的,任何人都可以监听和伪造。当攻击者伪造Beacon帧中与通信信道相关的信息并重放时,会造成对已连接WiFi网络的客户端的攻击。例如,客户端接收到Beacon帧中畸形的通信信道相关信息后,可能因数据解析错误而导致网络连接中断或系统崩溃。又例如,客户端接收Beacon帧中伪造的通信信道相关信息,会执行错误的指令去切换信道,从而导致连接中断或者中间人攻击。
因此,希望能有改进的方案,能够提高WiFi通信的安全性。
发明内容
本说明书实施例描述了一种管理通信信道的方法和装置,在无线接入点AP设备端构建携带目标信息元素的原始管理帧,目标信息元素包括与通信信道管理相关的信息元素。针对连接到AP设备的各个客户端,将构建的原始管理帧的目标地址设置为该客户端的MAC地址,并采用该客户端对应的密钥对目标信息元素中的信息进行加密,得到加密管理帧。之后,将加密管理帧进行发送。从而实现了AP设备和客户端之间通信信道管理相关信息的加密传输,防止了攻击者对管理帧中携带的通信信道管理相关信息的伪造和重放,提高了WiFi通信的安全性。
根据第一方面,提供了一种管理通信信道的方法,通过无线接入点AP设备执行,包 括:构建携带目标信息元素的原始管理帧,上述目标信息元素包括与通信信道管理相关的信息元素;在确定存在客户端已连接到上述AP设备的情况下,针对已连接客户端中的各个客户端,执行以下步骤:将上述原始管理帧的目的地址设置为该客户端的MAC地址;采用该客户端对应的密钥对上述目标信息元素中的信息进行加密,得到加密管理帧;将上述加密管理帧在WiFi网络内进行发送,以供WiFi网络内的已连接客户端根据目的地址确定是否对接收到的管理帧进行处理。
在一个实施例中,上述方法还包括:在确定没有客户端与上述AP设备建立连接的情况下,在WIFI网络中广播上述原始管理帧。
在一个实施例中,上述采用该客户端对应的密钥对上述目标信息元素中的信息进行加密,包括:获取与该客户端建立连接时握手过程中生成的二者之间的专属密钥;使用上述专属密钥对上述目标信息元素中的信息进行加密。
在一个实施例中,上述目标信息元素采用标签-长度-取值的数据格式进行存储;以及上述采用该客户端对应的密钥对上述目标信息元素中的信息进行加密,包括:采用该客户端对应的密钥对上述目标信息元素中的取值进行加密。
在一个实施例中,上述原始管理帧包括信标帧和探测响应帧。
在一个实施例中,上述目标信息元素包括以下之一:信道切换声明元素、信道切换封装元素、宽频信道切换元素、网状网络信道切换参数元素、信道切换时间元素、最大信道切换时间元素和未来信道引导元素。
在一个实施例中,当上述原始管理帧为信标帧,上述目标信息元素为信道切换声明元素时,上述方法还包括:响应于确定信道切换完成,在上述WiFi网络中发送目的地址为广播地址,以及不携带信道切换声明元素的信标帧。
根据第二方面,提供了一种管理通信信道的方法,通过客户端执行,包括:接收无线接入点AP设备发送的加密管理帧,其中携带加密后的目标信息元素,上述目标信息元素包括与通信信道管理相关的信息元素;根据上述加密管理帧的目的地址,确定是否对该加密管理帧进行处理;响应于确定对该加密管理帧进行处理,使用预先存储的密钥对上述目标信息元素进行解密;根据解密结果对通信信道进行管理。
在一个实施例中,上述根据上述加密管理帧的目的地址,确定是否对该加密管理帧进行处理,包括:在上述加密管理帧的目的地址为上述客户端的MAC地址时,确定对该加密管理帧进行处理。
在一个实施例中,上述使用预先存储的密钥对上述目标信息元素进行解密,包括: 使用与上述无线接入点AP设备建立连接时握手过程中生成的二者之间的专属密钥,对上述目标信息元素进行解密。
在一个实施例中,上述加密管理帧为加密的信标帧,上述目标信息元素为信道切换声明元素;上述根据解密结果对通信信道进行管理,包括:根据解密后的信道切换声明元素,进行信道切换。
根据第三方面,提供了一种管理通信信道的装置,设置于无线接入点AP设备,包括:构建单元,配置为构建携带目标信息元素的原始管理帧,上述目标信息元素包括与通信信道管理相关的信息元素;执行单元,配置为在确定存在客户端已连接到上述AP设备的情况下,针对已连接客户端中的各个客户端,执行预设步骤,其中,上述执行单元包括:设置模块,配置为将上述原始管理帧的目的地址设置为该客户端的MAC地址;加密模块,配置为采用该客户端对应的密钥对上述目标信息元素中的信息进行加密,得到加密管理帧;发送模块,配置为将上述加密管理帧在WiFi网络内进行发送,以供WiFi网络内的已连接客户端根据目的地址确定是否对接收到的管理帧进行处理。
根据第四方面,提供了一种管理通信信道的装置,设置于客户端,包括:接收单元,配置为接收无线接入点AP设备发送的加密管理帧,其中携带加密后目标信息元素,上述目标信息元素包括与通信信道管理相关的信息元素;确定单元,配置为根据上述加密管理帧的目的地址,确定是否对该加密管理帧进行处理;解密单元,配置为响应于确定对该加密管理帧进行处理,使用预先存储的密钥对上述目标信息元素进行解密;管理单元,配置为根据解密结果对通信信道进行管理。
根据第五方面,提供了一种计算机可读存储介质,其上存储有计算机程序,当上述计算机程序被处理器执行时,实现如第一方面中任一项的上述的方法。
根据第六方面,提供了一种无线接入点AP设备,包括存储器和处理器,其特征在于,上述存储器中存储有可执行代码,上述处理器执行上述可执行代码时,实现如第一方面中任一项上述的方法。
根据第七方面,提供了一种计算机可读存储介质,其上存储有计算机程序,当上述计算机程序在计算机中执行时,令计算机执行如第二方面中任一项的上述的方法。
根据第八方面,提供了一种终端设备,包括存储器和处理器,其特征在于,上述存储器中存储有可执行代码,上述处理器执行上述可执行代码时,实现如第二方面中任一项上述的方法。
根据本说明书实施例提供的管理通信信道的方法和装置,在无线接入点AP设备端, 首先构建携带目标信息元素的原始管理帧,目标信息元素包括与通信信道管理相关的信息元素。针对连接到AP设备的各个客户端,将构建的原始管理帧的目标地址设置为该客户端的MAC地址,并采用该客户端对应的密钥对目标信息元素中的信息进行加密,得到加密管理帧。之后,将加密管理帧进行发送。由于AP设备加密过程中针对不同客户端采用的密钥不同,因此,客户端只能解密目的地址与自身MAC地址相同的管理帧中的目标信息元素的信息,而不能解密其它管理帧中的目标信息元素的信息。从而实现了AP设备和客户端之间通信信道管理相关信息的加密传输,防止了攻击者对管理帧中携带的通信信道管理相关信息的伪造和重放,提高了WiFi通信的安全性。
图1为本说明书披露的一个实施例的实施场景示意图;
图2示出了根据一个实施例的管理通信信道的方法的流程示意图;
图3示出了Beacon帧的主要结构的示意图;
图4示出了CSA的格式示意图;
图5示出了四次握手过程的流程示意图;
图6示出了TLV数据格式的示意图;
图7示出了根据又一个实施例的管理通信信道的方法的流程示意图;
图8示出了根据一个实施例的管理通信信道的装置的示意性框图;
图9示出了根据又一个实施例的管理通信信道的装置的示意性框图。
下面通过附图和实施例,对本说明书提供的技术方案做进一步的详细描述。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。需要说明的是,在不冲突的情况下,本说明书的实施例及实施例中的特征可以相互组合。
图1为本说明书披露的一个实施例的实施场景示意图。如图1所示,在图1的实施场景中,包括无线AP设备101和多个客户端102。当无线AP设备101需要对通信信道进行管理(例如,切换信道)的时候,为了通知所连接的客户端102,会构建携带目标信息元素的原始管理帧,该目标信息元素包括与通信信道管理相关的信息元素。针对已连接客户端102中的每一个客户端102,将所构建的原始管理帧的目的地址设置为该客户端102的 MAC地址,并采用该客户端102对应的密钥对应目标信息元素中的信息进行加密,得到加密管理帧。由于WiFi网络的开放性,WiFi网络中传输的数据帧会被网络中的所有客户端102接收,因此,为了防止管理帧中加密的信息被其他客户端破解,加密时不同的客户端采用不同的密钥。最后,无线AP设备101将设置地址和加密后的加密管理帧在WiFi网络内进行发送。WiFi网络内的客户端102接收到该加密管理帧之后,会判断该加密管理帧的目的地址是否与自身的MAC地址相同。如果相同,则使用预存的密钥对该加密管理帧的目标信息元素进行解密、解析等处理,最终得到通信信道管理相关信息,并根据得到的通信信道管理相关信息对通信信道进行管理。由此,实现了AP设备101和客户端102之间通信信道管理相关信息的加密传输,防止了攻击者对管理帧中携带的通信信道管理相关信息的伪造和重放,提高了WiFi通信的安全性。下面描述以上过程的具体执行方式。
图2示出了根据一个实施例的管理通信信道的方法。该方法可以通过无线接入点AP设备执行。举例来说,AP设备可以包括无线路由器。如图2所示,管理通信信道的方法可以包括以下步骤:
步骤201,构建携带目标信息元素的原始管理帧。
在本实施例中,AP设备可以构建携带目标信息元素的管理帧,作为原始管理帧。这里,目标信息元素可以包括与通信信道管理相关的信息元素。
在一个实施例中,上述原始管理帧可以包括信标帧(Beacon帧)和探测响应帧。
通常,无线客户端可以通过被动扫描和主动扫描的方式获取周围的无线网络信息。被动扫描是指客户端通过监听AP设备定期发送的Beacon帧获取无线网络信息。主动扫描是指客户端主动发送探测请求帧(Probe Request帧),通过AP设备针对探测请求帧发回的探测响应帧(Probe Response)获取网络信号。
Beacon帧是基于IEEE 802.11的无线局域网中的管理帧之一,它包含了网络的描述信息。Beacon帧由基础设施基本服务集(Basic Service Set,BSS)中的无线接入点(AP)设备周期性地传送。Beacon帧用于宣布无线局域网的存在,并使基本服务集的成员同步。图3示出了Beacon帧的主要结构的示意图。可以理解,图中方框上面的数字可以表示信息所占的空间,单位为八位组(octet),octets为octet的复数形式。如图3所示,Beacon信标帧包括802.11 MAC Header(MAC头)、可变(variable)长的帧主体(Frame Body)和帧检验序列(FCS)。作为示例,MAC头可以包括以下内容:帧控制(Frame Control)、持续时间/ID(Duration/ID)、地址信息(Address)、顺序控制(Sequence Control)、服务质量控制(QoS Control)、HT(High-throughput,高吞吐量)控制(HT Control) 等等。Beacon帧的帧主体部分可以包括固定长度字段和多个信息元素。其中,固定长度字段可以包括时间戳(Timestamp)、信标间隔(Beacon interval)、性能信息(Capability information)等。
与Beacon帧的结构相似,探测响应帧的帧主体部分也可以包括固定长度字段和多个信息元素。
在一个实施例中,上述目标信息元素可以包括以下之一:信道切换声明(Channel Switch Announcement,CSA)元素、信道切换封装(Channel Switch Wrapper)元素、宽频信道切换元素(Wide Bandwith Channel Switch)元素、网状网络信道切换参数(Mesh Channel Switch Parameters)元素、信道切换时间(Channel Switch Timing)元素、最大信道切换时间(Max Channel Switch Time)元素和未来信道引导(Future Channel Guidance)元素。上述目标信息元素可以与通信信道管理相关。举例来说,AP为了警告WiFi网络中的客户端即将变换信道,可以在管理帧(例如,Beacon帧、探测响应帧等)中加入对应的CSA字段,来通知客户端即将切往的信道,以便让客户端及时切换到新的信道。图4示出了CSA的格式示意图,如图4所示CSA包括元素标识(Element ID)、长度(Length)、信道切换模式(Channel Switch Mode)、新信道编号(New Channel Number)、信道切换计时(Channel Switch Count)。可以理解,上述目标信息元素的功能和格式在WiFi无线网络802.11技术标准中有详细的描述和记载,此处不再赘述。根据实际需要,上述目标信息元素都可以在Beacon帧和探测响应帧中出现。
作为示例,构建携带目标信息元素的管理帧,可以是指在管理帧的帧主体中写入目标信息元素,从而得到携带目标信息元素的管理帧。
步骤202,在确定存在客户端已连接到AP设备的情况下,针对已连接客户端中的各个客户端,执行以下步骤2021-2023。具体地:
步骤2021,将原始管理帧的目的地址设置为该客户端的MAC地址。
在本实施例中,针对已经连接到AP设备的每一个客户端,AP设备可以将上述携带目标信息元素的原始管理帧的目的地址设置为该客户端的MAC地址。
步骤2022,采用该客户端对应的密钥对目标信息元素中的信息进行加密,得到加密管理帧。
在本实施例中,与AP设备连接的每一个客户端与AP设备之间都可以预先交换或协商一组密钥。举例来说,该密钥可以是对称密钥,也可以是非对称密钥。为了防止管理帧中加密的信息被破解,不同的客户端所对应的密钥不同。
在一个实施例中,步骤2022还可以具体如下实现:首先,将与该客户端建立连接时握手过程中生成的二者之间的专属密钥确定为该客户端对应的密钥。然后,使用该专属密钥对目标信息元素中的信息进行加密。
一般,AP设备与客户端建立连接时,会通过握手过程交换密钥,该过程成功后会产生一个AP设备和客户端之间通信的密钥,用于加密通信数据。以四次握手过程为例,图5示出了四次握手过程的流程示意图,如图5所示,具体过程包括:
第一次握手,AP设备生成随机数ANonce,并将ANonce、服务集标识(Service Set Identifier,SSID)和自身的MAC地址等信息,发送给客户端。客户端接收到后,可以计算出PTK(pairwise transient key,成对临时秘钥)。其中,PTK可以通过以下公式(1)计算:
PTK=HMAC(PMK+ANonce+SNonce+MAC
A+MAC
s) (1)
其中,HMAC表示HMAC算法,SNonce是客户端生成的随机数,MAC
A表示AP设备的MAC地址,MAC
s表示客户端的MAC地址。这里,PMK跟认证方式有关,如果是PSK(pre-shared key,预共享密钥模式)认证方式,则PMK通过以下公式(2)计算:
PMK=PBKDF2(Passphrase,SSID) (2)
其中,PBKDF2表示PBKDF2算法,Passphrase表示用户输入的登录密码。
第二次握手,客户端将SNonce、自身的MAC地址、MIC(Message Integrity code,消息完整性代码)等信息发送给AP设备。AP设备接收之后,同样利用公式(1)计算PTK的值。
第三次握手,AP设备将携带GTK(Group Transient Key,组临时秘钥)和MIC的消息发送给客户端。其中,GTK使用KEK(key Encryption key,密钥加密密钥)加密,KEK用来加密密钥生成消息。MIC使用KCK(key confirmation key,密钥确认密钥)加密,MIC用来计算密钥生成消息的完整性。客户端接收到上述消息后,会进行MIC的校验,如果校验成功,客户端就获取到了GTK。
第四次握手,客户端向AP设备发送用于确认的消息,AP设备对该消息认证成功,双方安装PTK、GTK。可以理解,本说明书仅仅是对四次握手过程的简要描述,实际握手过程中的计算更加复杂,此处不再赘述。
在本实施例中,AP设备可以将与该客户端四次握手过程中生成的PTK确定为该客户端对应的密钥,并使用PTK对目标信息元素中的信息进行加密。相对于多个客户端共享的GTK,PTK是AP设备与单个客户端之间协商出来的专属秘钥,各个客户端与AP协商出不同的专 属秘钥。本实现方式,可以复用握手过程中生成的专属密钥对信息进行加密,而不需要再额外交换或协商密钥,从而简化了密钥确定步骤,提高了效率。
在一个实施例中,上述目标信息元素可以采用标签-长度-取值,即,TLV(Tag、Length、Value),的数据格式进行存储。图6示出了TLV数据格式的示意图,如图6所示,以TLV数据格式表示的目标信息元素包括元素标识(Element ID)、长度(Length)和信息(Information)。其中,元素标识、长度和信息分别对应TLV数据格式中的标签、长度和取值。
基于目标信息元素的这种数据格式,步骤2022还可以具体如下实现:采用该客户端对应的密钥对目标信息元素中的取值进行加密。以目标信息元素为CSA为例,只需对信道切换模式、新信道编号、信道切换计时进行加密。本实现方式,只对目标信息元素中的取值进行加密,而不需要对目标信息元素中的所有信息都进行加密,从而在保证取值不泄露的同时,减少了加密、解密过程中的数据计算量,提高了效率。
步骤2023,将设置地址和加密处理后得到的加密管理帧在WiFi网络内进行发送,以供WiFi网络内的已连接客户端根据目的地址确定是否对接收到的管理帧进行处理。
在本实施例中,AP设备可以将设置地址和加密处理后得到的加密管理帧在WiFi网络内进行发送。由于WiFi网络的开放性,WiFi网络内的客户端都可以接收到该加密管理帧。WiFi网络内的已连接客户端可以根据加密管理帧的目的地址判断是否对接收到的加密管理帧进行处理。具体的,客户端可以判断加密管理帧的目的地址是否和自身的MAC地址相同,如果相同,则对管理帧执行解密、解析等操作,并根据解密、解析得到的通信信道管理相关信息对信道进行管理。例如,当目标信息元素为信道切换声明元素时,可以根据解密、解析得到的信道切换声明进行信道切换。
在一个实施例中,上述管理通信信道的方法,还可以包括图2中未示出的以下步骤:在确定没有客户端与AP设备建立连接的情况下,在WIFI网络中广播原始管理帧。
在本实施例中,如果没有客户端与AP设备建立连接,则AP设备可以将构建的原始管理帧(例如,信标帧)的目的地址设置为广播地址,在WiFi网络中广播该原始管理帧,该原始管理帧携带原始的不加密的目标信息元素。以信标帧为例,在没有客户端与AP设备连接的情况下,发送的信标帧可以是不加密的信标帧。
在一个实施例中,当上述原始管理帧为信标帧,上述目标信息元素为信道切换声明元素时,上述管理通信信道的方法,还可以包括图2中示出的以下步骤:响应于确定信道切换完成,在WiFi网络中发送目的地址为广播地址,以及不携带信道切换声明元素的信标 帧。
在本实施例中,根据信道切换声明元素中信息,AP设备和客户端的信道切换完成后,AP设备将继续在WiFi网络中发送目的地址为广播地址,且不携带信道切换声明元素的信标帧,以宣布无线局域网的存在。
图7示出了根据一个实施例的管理通信信道的方法的流程示意图。该方法可以通过客户端执行。这里,客户端可以是指能够与WiFi网络建立连接的各种设备,包括但不限于智能手机、平台电脑、电子书阅读器、笔记本电脑等等。如图7所示,该管理通信信道的方法可以包括以下步骤:
步骤701,接收无线接入点AP设备发送的加密管理帧,其中携带加密后的目标信息元素。
在本实施例中,客户端可以接收所连接的无线接入点AP设备发送的、携带加密后目标信息元素的管理帧。这里,管理帧可以包括信标帧(Beacon帧)和探测响应帧。上述目标信息元素可以包括与通信信道管理相关的信息元素。例如,目标信息元素可以包括以下之一:信道切换声明(Channel Switch Announcement,CSA)元素、信道切换声明(Channel Switch Announcement,CSA)元素、信道切换封装(Channel Switch Wrapper)元素、宽频信道切换元素(Wide Bandwith Channel Switch)元素、网状网络信道切换参数(Mesh Channel Switch Parameters)元素、信道切换时间(Channel Switch Timing)元素、最大信道切换时间(Max Channel Switch Time)元素和未来信道引导(Future Channel Guidance)元素。上述目标信息元素位于管理帧的帧主体部分。
步骤702,根据所接收的加密管理帧的目的地址,确定是否对该加密管理帧进行处理。
在本实施例中,针对已经连接到AP设备的每一个客户端,AP设备可以将携带加密后目标信息元素的加密管理帧的目的地址设置为该客户端的MAC地址。这样,WiFi网络内的客户端可以根据所接收的加密管理帧的目的地址,确定接收到的加密管理帧是否是AP设备针对自己发送的,如果是,则对该加密管理帧进行处理。具体的,客户端可以判断接收的加密管理帧的目的地址是否与自己的MAC地址相同,如果相同,则确定该管理帧是AP设备针对自己发送的,从而确定对该加密管理帧进行处理。
步骤703,响应于确定对上述加密管理帧进行处理,使用预先存储的密钥对目标信息元素进行解密。
在本实施例中,与AP设备连接的每一个客户端与AP设备之间都可以预先交换或协商一组密钥。举例来说,该密钥可以是对称密钥,也可以是非对称密钥。为了防止管理帧中 加密的信息被破解,不同的客户端所对应的密钥不同。这样,如果客户端确定对接收的管理帧进行处理,则使用预先存储的、与AP设备交换或协商的密钥对目标信息元素进行解密。可以理解,对目标信息元素进行解密之后,客户端还可以按照目前常规的解析管理帧的方式对管理帧进行解析。
在一个实施例中,上述使用预先存储的密钥对目标信息元素进行解密,可以具体如下进行:使用与无线接入点AP设备建立连接时握手过程中生成的二者之间的专属密钥,对目标信息元素进行解密。
一般,AP设备与客户端建立连接时,会通过握手过程交换密钥,该过程成功后会产生一个AP设备和客户端之间通信的密钥,用于加密通信数据。以四次握手过程为例,由结合图5的描述可知,四次握手过程中会产生PTK(pairwise transient key,成对临时秘钥),作为AP设备与单个客户端之间的专属秘钥。
在本实施例中,客户端可以使用与AP设备建立连接时四次握手过程中生成的PTK,对目标信息元素进行解密。本实现方式,可以复用握手过程中生成的密钥对信息进行加密,而不需要再额外交换或协商密钥,从而简化了密钥确定步骤,提高了效率。
步骤704,根据解密结果对通信信道进行管理。
在本实施例中,客户端根据对目标信息元素的解密结果,以及对管理帧的解析结果,对信道信息进行管理。例如,当加密管理帧为加密的信标帧,目标信息元素为信道切换声明元素时,可以根据解密、解析得到的信道切换声明进行信道切换。
本申请的上述实施例提供的管理通信信道的方法,实现了AP设备和客户端之间通信信道管理相关信息的加密传输,防止了攻击者对管理帧中携带的通信信道管理相关信息的伪造和重放,提高了WiFi通信的安全性。
根据另一方面的实施例,提供了一种管理通信信道的装置。上述管理通信信道的装置可以设置于无线接入点AP设备中。
图8示出了根据一个实施例的管理通信信道的装置的示意性框图。如图8所示,该管理通信信道的装置800包括:构建单元801,配置为构建携带目标信息元素的原始管理帧,上述目标信息元素包括与通信信道管理相关的信息元素;执行单元802,配置为在确定存在客户端已连接到上述AP设备的情况下,针对已连接客户端中的各个客户端,执行预设步骤,其中,上述执行单元802包括:设置模块8021,配置为将上述原始管理帧的目的地址设置为该客户端的MAC地址;加密模块8022,配置为采用该客户端对应的密钥对上述目标信息元素中的信息进行加密,得到加密管理帧;发送模块8023,配置为将加密管理 帧在WiFi网络内进行发送,以供WiFi网络内的已连接客户端根据目的地址确定是否对接收到的管理帧进行处理。
在本实施例的一些可选的实现方式中,装置800还包括:广播单元(图中未示出),配置为在确定没有客户端与上述AP设备建立连接的情况下,在WIFI网络中广播上述原始管理帧。
在本实施例的一些可选的实现方式中,上述加密模块8022进一步配置为:获取与该客户端建立连接时握手过程中生成的二者之间的专属密钥;使用上述专属密钥对上述目标信息元素中的信息进行加密。
在本实施例的一些可选的实现方式中,上述目标信息元素采用标签-长度-取值的数据格式进行存储;以及上述加密模块8022进一步配置为:采用该客户端对应的密钥对上述目标信息元素中的取值进行加密。
在本实施例的一些可选的实现方式中,上述原始管理帧包括信标帧和探测响应帧。
在本实施例的一些可选的实现方式中,上述目标信息元素包括以下之一:信道切换声明元素、信道切换封装元素、宽频信道切换元素、网状网络信道切换参数元素、信道切换时间元素、最大信道切换时间元素和未来信道引导元素。
在本实施例的一些可选的实现方式中,上述装置800还包括:信标帧发送单元(图中未示出),配置为响应于确定信道切换完成,在上述WiFi网络中发送目的地址为广播地址,以及不携带信道切换声明元素的信标帧。
根据另一方面的实施例,提供了一种管理通信信道的装置。上述管理通信信道的装置可以设置于客户端。
图9示出了根据又一个实施例的管理通信信道的装置的示意性框图。如图9所示,该管理通信信道的装置900包括:接收单元901,配置为接收无线接入点AP设备发送的加密管理帧,其中携带加密后的目标信息元素,上述目标信息元素包括与通信信道管理相关的信息元素;确定单元902,配置为根据上述加密管理帧的目的地址,确定是否对该加密管理帧进行处理;解密单元903,配置为响应于确定对该加密管理帧进行处理,使用预先存储的密钥对上述目标信息元素进行解密;管理单元904,配置为根据解密结果对通信信道进行管理。
在本实施例的一些可选的实现方式中,上述确定单元902进一步配置为:在上述加密管理帧的目的地址为上述客户端的MAC地址时,确定对该加密管理帧进行处理。
在本实施例的一些可选的实现方式中,上述解密单元903进一步配置为:使用与上 述无线接入点AP建立连接时握手过程中生成的二者之间的专属密钥,对上述目标信息元素进行解密。
在本实施例的一些可选的实现方式中,上述管理单元904进一步配置为:根据解密后的信道切换声明元素,进行信道切换。
根据另一方面的实施例,还提供了一种计算机可读存储介质,其上存储有计算机程序,当上述计算机程序被处理器执行时,实现如图2所描述的方法。
根据再一方面的实施例,还提供了一种无线接入点AP设备,包括存储器和处理器,其特征在于,上述存储器中存储有可执行代码,上述处理器执行上述可执行代码时,实现如图2所描述的方法。
根据另一方面的实施例,还提供了一种计算机可读存储介质,其上存储有计算机程序,当上述计算机程序在计算机中执行时,令计算机执行如图7所描述的方法。
根据再一方面的实施例,还提供了一种终端设备,包括存储器和处理器,其特征在于,上述存储器中存储有可执行代码,上述处理器执行上述可执行代码时,实现如图7所描述的方法。
本领域普通技术人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执轨道,取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执轨道的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (17)
- 一种管理通信信道的方法,通过无线接入点AP设备执行,包括:构建携带目标信息元素的原始管理帧,所述目标信息元素包括与通信信道管理相关的信息元素;在确定存在客户端已连接到所述AP设备的情况下,针对已连接客户端中的各个客户端,执行以下步骤:将所述原始管理帧的目的地址设置为该客户端的MAC地址;采用该客户端对应的密钥对所述目标信息元素中的信息进行加密,得到加密管理帧;将所述加密管理帧在WiFi网络内进行发送,以供WiFi网络内的已连接客户端根据目的地址确定是否对接收到的管理帧进行处理。
- 根据权利要求1所述的方法,其中,所述方法还包括:在确定没有客户端与所述AP设备建立连接的情况下,在WIFI网络中广播所述原始管理帧。
- 根据权利要求1所述的方法,其中,所述采用该客户端对应的密钥对所述目标信息元素中的信息进行加密,包括:获取与该客户端建立连接时握手过程中生成的二者之间的专属密钥;使用所述专属密钥对所述目标信息元素中的信息进行加密。
- 根据权利要求1所述的方法,其中,所述目标信息元素采用标签-长度-取值的数据格式进行存储;以及所述采用该客户端对应的密钥对所述目标信息元素中的信息进行加密,包括:采用该客户端对应的密钥对所述目标信息元素中的取值进行加密。
- 根据权利要求1所述的方法,其中,所述原始管理帧包括信标帧和探测响应帧。
- 根据权利要求5所述的方法,其中,所述目标信息元素包括以下之一:信道切换声明元素、信道切换封装元素、宽频信道切换元素、网状网络信道切换参数元素、信道切换时间元素、最大信道切换时间元素和未来信道引导元素。
- 根据权利要求6所述的方法,其中,当所述原始管理帧为信标帧,所述目标信息元素为信道切换声明元素时,所述方法还包括:响应于确定信道切换完成,在所述WiFi网络中发送目的地址为广播地址,以及不携带信道切换声明元素的信标帧。
- 一种管理通信信道的方法,通过客户端执行,包括:接收无线接入点AP设备发送的加密管理帧,其中携带加密后的目标信息元素,所述目标信息元素包括与通信信道管理相关的信息元素;根据所述加密管理帧的目的地址,确定是否对该加密管理帧进行处理;响应于确定对该加密管理帧进行处理,使用预先存储的密钥对所述目标信息元素进行解密;根据解密结果对通信信道进行管理。
- 根据权利要求8所述的方法,其中,所述根据所述加密管理帧的目的地址,确定是否对该加密管理帧进行处理,包括:在所述加密管理帧的目的地址为所述客户端的MAC地址时,确定对该加密管理帧进行处理。
- 根据权利要求8所述的方法,其中,所述使用预先存储的密钥对所述目标信息元素进行解密,包括:使用与所述无线接入点AP设备建立连接时握手过程中生成的二者之间的专属密钥,对所述目标信息元素进行解密。
- 根据权利要求8所述的方法,其中,所述加密管理帧为加密的信标帧,所述目标信息元素为信道切换声明元素;所述根据解密结果对通信信道进行管理,包括:根据解密后的信道切换声明元素,进行信道切换。
- 一种管理通信信道的装置,设置于无线接入点AP设备,包括:构建单元,配置为构建携带目标信息元素的原始管理帧,所述目标信息元素包括与通信信道管理相关的信息元素;执行单元,配置为在确定存在客户端已连接到所述AP设备的情况下,针对已连接客户端中的各个客户端,执行预设步骤,其中,所述执行单元包括:设置模块,配置为将所述原始管理帧的目的地址设置为该客户端的MAC地址;加密模块,配置为采用该客户端对应的密钥对所述目标信息元素中的信息进行加密,得到加密管理帧;发送模块,配置为将所述加密管理帧在WiFi网络内进行发送,以供WiFi网络内的已连接客户端根据目的地址确定是否对接收到的管理帧进行处理。
- 一种管理通信信道的装置,设置于客户端,包括:接收单元,配置为接收无线接入点AP设备发送的加密管理帧,其中携带加密后目标信息元素,所述目标信息元素包括与通信信道管理相关的信息元素;确定单元,配置为根据所述加密管理帧的目的地址,确定是否对该加密管理帧进行处理;解密单元,配置为响应于确定对该加密管理帧进行处理,使用预先存储的密钥对所述目标信息元素进行解密;管理单元,配置为根据解密结果对通信信道进行管理。
- 一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序被处理器执行时,实现如权利要求1-7中任一项的所述的方法。
- 一种无线接入点AP设备,包括存储器和处理器,其特征在于,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1-7中任一项所述的方法。
- 一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求8-11中任一项的所述的方法。
- 一种终端设备,包括存储器和处理器,其特征在于,所述存储器中存储有可执行 代码,所述处理器执行所述可执行代码时,实现权利要求8-11中任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP22857477.8A EP4319229A1 (en) | 2021-08-19 | 2022-07-12 | Method and apparatus for managing communication channel |
| US18/520,123 US20240098488A1 (en) | 2021-08-19 | 2023-11-27 | Communication channel management methods and apparatuses |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110957050.9 | 2021-08-19 | ||
| CN202110957050.9A CN113613245A (zh) | 2021-08-19 | 2021-08-19 | 管理通信信道的方法和装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| US18/520,123 Continuation US20240098488A1 (en) | 2021-08-19 | 2023-11-27 | Communication channel management methods and apparatuses |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2023020164A1 true WO2023020164A1 (zh) | 2023-02-23 |
Family
ID=78341377
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2022/105248 WO2023020164A1 (zh) | 2021-08-19 | 2022-07-12 | 管理通信信道的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20240098488A1 (zh) |
| EP (1) | EP4319229A1 (zh) |
| CN (1) | CN113613245A (zh) |
| WO (1) | WO2023020164A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113613245A (zh) * | 2021-08-19 | 2021-11-05 | 支付宝(杭州)信息技术有限公司 | 管理通信信道的方法和装置 |
| CN115174388B (zh) * | 2022-07-01 | 2024-03-26 | 杭州涂鸦信息技术有限公司 | 一种联网智能设备网络更新方法、装置、设备及存储介质 |
| GB2620416A (en) * | 2022-07-07 | 2024-01-10 | Canon Kk | Obfuscation of IES in management frames using container IES with encrypted information section |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030063593A1 (en) * | 2001-09-29 | 2003-04-03 | Kabushiki Kaisha Toshiba | Wireless communication system and wireless LAN access point |
| WO2006120316A1 (fr) * | 2005-05-13 | 2006-11-16 | France Telecom | Procede de communication pour reseaux sans fil par trames de gestion comportant une signature electronique |
| CN107846685A (zh) * | 2017-11-16 | 2018-03-27 | 北京小米移动软件有限公司 | 配置信息的传输方法、装置及系统、存储介质 |
| WO2020011276A1 (zh) * | 2018-07-11 | 2020-01-16 | 杭州博联智能科技股份有限公司 | 利用wifi管理帧的数据发送、接收和通信方法、设备、存储介质 |
| CN113613245A (zh) * | 2021-08-19 | 2021-11-05 | 支付宝(杭州)信息技术有限公司 | 管理通信信道的方法和装置 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050086465A1 (en) * | 2003-10-16 | 2005-04-21 | Cisco Technology, Inc. | System and method for protecting network management frames |
| AP2008004599A0 (en) * | 2006-02-28 | 2008-10-31 | Nokia Corp | Multicast group address signaling using MAC header for power save delivery in a wireless network |
| CN101272379A (zh) * | 2008-05-13 | 2008-09-24 | 武汉理工大学 | 基于IEEE802.1x安全认证协议的改进方法 |
| CN101959188B (zh) * | 2009-07-16 | 2012-11-14 | 北京中电华大电子设计有限责任公司 | 一种无线局域网卡芯片密钥管理方法 |
| CN101848463A (zh) * | 2010-03-16 | 2010-09-29 | 苏州汉明科技有限公司 | 无线接入点保护合法用户接入的方法 |
| CN102404720B (zh) * | 2010-09-19 | 2014-10-08 | 华为技术有限公司 | 无线局域网中密钥的发送方法及装置 |
| CN101986726B (zh) * | 2010-10-25 | 2012-11-07 | 西安西电捷通无线网络通信股份有限公司 | 一种基于wapi的管理帧保护方法 |
| EP2698031B1 (en) * | 2011-04-15 | 2016-02-24 | Intel Corporation | Methods and arrangements for channel access in wireless networks |
| CN102750750A (zh) * | 2012-06-18 | 2012-10-24 | 北京大学 | 一种基于Wi-Fi的打卡方法及其系统 |
| CN104333862B (zh) * | 2013-07-22 | 2018-03-16 | 中国科学院信息工程研究所 | 一种无线局域网细粒度管控方法 |
| CN105049422B (zh) * | 2015-06-25 | 2018-04-13 | 迪爱斯信息技术股份有限公司 | 一种wifi探测识别设备、系统以及wifi探测识别方法 |
| CN105635185A (zh) * | 2016-03-25 | 2016-06-01 | 珠海网博信息科技股份有限公司 | 一种wifi环境下防止监听的方法和装置 |
| CN106412883B (zh) * | 2016-11-10 | 2021-11-05 | 新华三技术有限公司 | 一种接入无线网络的方法及装置 |
| CN107995671A (zh) * | 2017-12-01 | 2018-05-04 | 海尔优家智能科技(北京)有限公司 | 连接无线访问接入点的方法、装置、设备及存储介质 |
| CN108282551B (zh) * | 2018-03-07 | 2021-04-09 | 成都众网行科技有限公司 | 报文识别处理方法、装置、监听设备及可读存储介质 |
| CN111278036B (zh) * | 2018-12-04 | 2024-01-09 | 京东科技信息技术有限公司 | 一种采集mac地址的方法及装置 |
| US20200367124A1 (en) * | 2019-05-16 | 2020-11-19 | Mediatek Singapore Pte. Ltd. | Synchronization Of Client And Access Point During Channel Switch In Wireless Communications |
-
2021
- 2021-08-19 CN CN202110957050.9A patent/CN113613245A/zh active Pending
-
2022
- 2022-07-12 WO PCT/CN2022/105248 patent/WO2023020164A1/zh active Application Filing
- 2022-07-12 EP EP22857477.8A patent/EP4319229A1/en active Pending
-
2023
- 2023-11-27 US US18/520,123 patent/US20240098488A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030063593A1 (en) * | 2001-09-29 | 2003-04-03 | Kabushiki Kaisha Toshiba | Wireless communication system and wireless LAN access point |
| WO2006120316A1 (fr) * | 2005-05-13 | 2006-11-16 | France Telecom | Procede de communication pour reseaux sans fil par trames de gestion comportant une signature electronique |
| CN107846685A (zh) * | 2017-11-16 | 2018-03-27 | 北京小米移动软件有限公司 | 配置信息的传输方法、装置及系统、存储介质 |
| WO2020011276A1 (zh) * | 2018-07-11 | 2020-01-16 | 杭州博联智能科技股份有限公司 | 利用wifi管理帧的数据发送、接收和通信方法、设备、存储介质 |
| CN113613245A (zh) * | 2021-08-19 | 2021-11-05 | 支付宝(杭州)信息技术有限公司 | 管理通信信道的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20240098488A1 (en) | 2024-03-21 |
| EP4319229A1 (en) | 2024-02-07 |
| CN113613245A (zh) | 2021-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11595832B2 (en) | Method and apparatus for base station self-configuration | |
| US8838972B2 (en) | Exchange of key material | |
| US8254581B2 (en) | Lightweight key distribution and management method for sensor networks | |
| WO2023020164A1 (zh) | 管理通信信道的方法和装置 | |
| US7747862B2 (en) | Method and apparatus to authenticate base and subscriber stations and secure sessions for broadband wireless networks | |
| JP5480890B2 (ja) | 制御信号の暗号化方法 | |
| KR20180130203A (ko) | 사물인터넷 디바이스 인증 장치 및 방법 | |
| US20120254615A1 (en) | Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network | |
| WO2020216047A1 (zh) | 一种认证信息处理方法、终端和网络设备 | |
| Singh et al. | Elliptic curve cryptography based mechanism for secure Wi-Fi connectivity | |
| Qachri et al. | A formally verified protocol for secure vertical handovers in 4G heterogeneous networks | |
| Badra et al. | Flexible and fast security solution for wireless LAN | |
| Kambourakis et al. | Key Management in 802.16 e |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 22857477 Country of ref document: EP Kind code of ref document: A1 |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 22857477.8 Country of ref document: EP Ref document number: 2022857477 Country of ref document: EP |
|
| ENP | Entry into the national phase |
Ref document number: 2022857477 Country of ref document: EP Effective date: 20231103 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |