專利名稱:發送消息的方法、建立安全連接的方法、接入點和工作站的制作方法
技術領域:
本發明涉及通信領域,尤其涉及一種發送消息的方法、建立安全連接的方法、接入點和工作站。
背景技術:
美國電氣電子工程師學會(IEEE) 802.11是第一代無線局域網(Wireless LocalArea Networks,即WLAN)標準之一。該標準定義了物理層和媒體訪問控制(MAC)協議的規范,允許無線局域網及無線設備制造商在一定范圍內建立互操作網絡設備。經過二十年的發展,IEEE 802.1lWLAN標準工作組發展完善了一系列標準家族,其中具有較大影響力以及應用較為廣泛的是802.1la,802.1lb,802.Hg,802.1ln等標準。與IEEE 802.11相對應的無線保真(W1-Fi)聯盟是1999年成立的非營利性國際組織,用來檢驗以IEEE 802.11規格為基礎的WLAN產品的互操作性。W1-Fi聯盟成員的目標是通過產品的互操作性來提高使用者的經驗。如圖1所示,一個 ffiEE 802.11網絡包括:工作站(Station,STA)和無線接入點(Access Point, AP) 其中,STA是任何具備IEEE 802.11的MAC層和物理(PHY)層接口的設備,通常由一臺PC機或筆記本計算機加上一塊無線網卡構成,此外無線的終端還可以是非計算機終端上的能提供無線連接的嵌入式設備(例如具備WLAN功能的智能終端)。AP可以看成是一個無線的Hub,用于提供STA和現有骨干網絡(有線或無線的)之間的橋接。一個AP和在其覆蓋范圍的一個或多個STA組成一個基本服務集(Basic Service Set,即BSS)。BSS通過基本服務集標識(BSSID)來進行唯一標識,BSSID即是AP的MAC地址。終端在一個BSS內可以互相通信。采用相同的服務集標識(SSID)的多個BSS形成的更大規模的虛擬BSS,則定義為擴展服務集(Extended Service Set,即ESS)。終端在同一 ESS內可以通信并且可以在下屬的多個BSS間移動。在ESS內連接多個BSS的網絡以及有線網絡稱為分布式系統(Distribution System,即DS)。DS可以采用無線或有線技術,通常采用以太網技術。為了完成認證以及IP地址分配功能,WLAN網絡還包括認證服務器(Authentication Server, AS)和動態主機配置協議(Dynamic Host Configurationprotocol Server,DHCP)服務器,如圖2所示。AS是為STA提供認證服務的實體,僅有通過認證的STA才能被授權接入802.11網絡。AS也可以嵌入在AP中。DHCP服務器則為STA分配IP地址。STA通過該WLAN網絡可以接入Internet。如圖3所示,為IEEE 802.1li所引入的安全的密鑰體系架構,其中,成對主密鑰(Pairwise Master Key,PMK)是STA和AS在擴展認證協議(EAP)認證過程中各自生成的密鑰,長度為256位。成對臨時密鑰(Pair Transient Key,PTK)是STA和AP分別根據PMK,以及STA生成的隨機數(SNonce)和AP生成的隨機數(ANonce),各自推導出的密鑰。PTK的低128位為密鑰確認密鑰(Key Confirmation Key,KCK),中間128位為密鑰加密密鑰(Key Encryption Key, KEK),剩下的高位 MSB 為臨時密鑰(Temporal Key, TK)。其中,KCK用于為4次握手過程和組密鑰握手過程中的基于局域網的擴展認證協議(ΕΑΡ Over LAN,EAPOL)-密鑰(KEY)消息提供數據源認證;KEK用于為4次握手和組密鑰握手的EAPOL-KEY消息提供機密性保護;TK用于保護STA和AP之間的數據報文的傳輸。此外,IEEE 802.11還定義了組臨時密鑰(GTK)。GTK是AP生成的一個隨機數,在組密鑰握手過程中,AP將GTK用KEK加密后,傳輸給STA。如圖4所示,為現有技術中一種STA初始接入IEEE 802.11網絡時帶有IP地址分配的安全建立連接的流程圖,具體步驟如下:步驟401-402、STA與網絡完成關聯之前的相關程序;這包括被略過的在步驟401之前的被動掃描(Beacon)或主動掃描(Probe Request/Response)過程;STA發送攜帶了EAP 響應(EAP Response) /ID 的 Auth 消息給 AP ;AP 將 AAA EAP-Response/ID 消息轉發給AS ;步驟403-409、此過程為EAP算法特定的認證過程,包括以下步驟:AS 向 AP 發送 AAA EAP 請求(EAP-Request)消息;AP生成隨機數ANonce,并將其攜帶于EAPoL-Key消息中;AP向STA發送Auth消息,此消息中包含了 EAP_Request消息和/或EAPoL-Key消息;STA收到Auth消 息后,可能需要和AS進行多步的交互過程繼續EAP認證;此后STA生成隨機數SNonce,并生成MSK、PMK,根據PMK和SNone和ANonce生成PTK,根據PTK生成KCK 和 KEK ;STA向AP發送關聯請求消息,此消息中包含了 EAP_Response, DHCP-Discover w/Rapid C0mmit,EAP0L-Key消息以及被KCK保護的全部MAC服務數據單元(MSDU)的消息完整性編碼(MIC)。其中EAPoL-Key消息包含了 STA生成的隨機數SNonce。DHCP相關消息可以用KEK進行加密保護。整個關聯請求消息用KCK進行完整性保護,并攜帶計算的MIC值;AP 緩存 MSDU MIC 和加密的 DHPC Discover 消息;AP向AS發送AAA EAP-Response消息,繼續進行EAP認證;步驟410、EAP認證成功完成,AS生成MSK和/或PMK ;步驟411、AS向AP發送AAA EAP成功(ΕΑΡ-Success)消息,該消息中攜帶PMK ;步驟412、AP根據收到的PMK、SNonce和ANonde生成PTK,并根據PTK生成KCK和KEK ;AP使用生成的KCK校驗MSDU MIC。如果驗證成功,AP使用生成的KEK解密DHCP-Discover 消息;步驟413、AP向DHCP服務器發送有快速分配的DHCP發現或沒有快速分配的DHCP發現(DHCP-Discover w/Rapid Commit)消息;步驟414、0! ^服務器為5了4分配1 地址,向4 發送0! ^-401^/1^^(1 Commit消息來完成DHCP程序;步驟415、AP向STA發送關聯答復消息,此消息包含了 AP為STA分配的關聯標識(Association Identifier,AID),EAP_Success,DHCP-Ack w/RapidCommit 消息,EAPoL-Key消息,KCK保護的全部MSDU的MIC。該消息使用KCK進行完整性保護。其中,EAPoL-Key消息包含了 GTK 和 IGTK(Integrity Group Temporal Key,完整性組臨時密鑰);步驟416、STA校驗關聯答復消息的MIC,如果校驗成功,STA安裝PTK,GTK和IGTK ;步驟417、AP安裝PTK。至此STA與AP之間的安全連接建立完成。
在上述安全連接建立的過程中,步驟415中的關聯答復消息需在AP收到DHCP服務器發送的DHCP-Ack w/Rapid Commit后才會發送給STA。STA收到該關聯答復消息后,才能根據該消息中攜帶的內容,進入已認證已關聯的狀態,狀態機進入全EAP上下文的狀態。但在DHCP服務器進行IP地址分配的過程中可能會有一定的延時(AP在合理的時間段過了之后仍未收到DHCPACK時才會發送消息知會STA此問題,然后再采用合適的默認方式來開始網絡程序,比如重新發送DHCP請求等),STA在DHCP程序沒有完成之前無法收到關聯答復消息。如果因為某些原因,DHCP服務器為STA分配IP地址的時間比較長,STA處的定時器到期后STA還未收到AP發送的關聯答復消息。這將導致STA無法判斷此安全建立的過程中何處出現問題,不利于STA中狀態機的控制,STA也無法及時獲知EAP認證是否成功,并在EAP認證失敗時會導致STA不能再次快速發起EAP認證。上述問題在STA與網絡之間進行包含IP地址分配的EAP重新認證時同樣存在,EAP重新認證包含了 EAP-RP等各種EAP相關的重新認證協議。因DHCP程序導致的安全建立過程的延時會大大降低STA建立安全連接及初始入網的速度,影響用戶體驗。移動用戶不斷地進入或離開一個ESS的覆蓋區域。當移動設備初始進入一個ESS時,移動設備必須進行如圖4所示的STA初始入網建立初始鏈路的過程。而在該初始鏈路建立的過程中,如果大量用戶同時在較短時間內需要接入WLAN網絡時(例如在飛機場,大量用戶下了飛機后需要連接WLAN網絡獲取相關的交通信息),入網時延較長的問題會更嚴重。為了解決移動用戶的入網延遲問題,ffiEE 802.11已經成立了 802.1lai工作組,旨在不降低原802.11網絡健壯安全網絡關聯(Robust Security Network Association,RSNA)安全級別的前提下,解決移動設備能夠快速建立初始鏈路的問題。作為移動設備快速建立安全鏈路程序的一部分,DHCP相關的入網延時也需要被解決來實現移動設備與網絡之間鏈路的快速建立。綜上所述,由安全建立過程中DHCP程序導致的入網延遲問題需要被解決來加快移動用戶入網速度以及改善用戶體驗。
發明內容
本發明實施例提供了 一種發送消息的方法、建立安全連接的方法、接入點和工作站,以解決DHCP導致的入網延遲問題。本發明實施例提供了一種發送消息的方法,該方法包括:接入點(AP)生成成對臨時密鑰(PTK)和/或校驗消息完整性編碼(MIC);所述AP向工作站(STA)發送關聯答復消息并和動態主機配置協議(DHCP)服務器進行DHCP過程;或者,僅向所述STA發送包含IP地址的關聯答復消息。優選地,所述關聯答復消息包含以下參數之一或其任意組合:所述AP為所述STA分配的關聯標識(AID)、擴展認證協議(EAP)認證成功消息、基于局域網的擴展認證協議密鑰(EAPoL-Key)消息和 MIC ;所述包含IP地址的關聯答復消息還包含所述AID、EAP認證成功消息、EAPoL-Key消息和MIC ;其中,EAPoL-Key消息包含組臨時密鑰(GTK)和/或完整性組臨時密鑰(IGTK)。
優選地,所述AP和DHCP服務器進行DHCP的過程包括:
所述AP向所述DHCP服務器發送DHCP過程請求消息。
優選地,所述AP和DHCP服務器進行DHCP過程還包括:
所述AP接收所述DHCP服務器為所述STA分配的IP地址。
優選地,所述DHCP過程包括DHCPv4、DHCPv6、鄰居發現(ND)和無狀態地址自動配置過程。
優選地,所述AP向STA發送關聯答復消息包括:
所述AP直接向所述STA發送所述關聯答復消息;或者
所述AP中設置一定時器,該定時器在所述AP向所述DHCP服務器發送所述DHCP過程請求消息后開始計時,如果該定時器到期,所述AP還未收到所述DHCP服務器返回的DHCP過程答復消息,則所述AP向所述STA發送所述關聯答復消息;或者
所述AP中設置一定時器,該定時器在所述AP向所述DHCP服務器發送所述DHCP過程請求消息后開始計時,如果該定時器未到期,所述AP收到所述DHCP服務器返回的DHCP過程答復消息,則所述AP向所述STA發送所述包含IP地址的關聯答復消息。
優選地,所述方法還包括:
如果該定時器到期,所述AP還未收到所述DHCP服務器返回的DHCP過程應答消息或DHCP過程否定應答消息,則AP向所述STA發送消息,以便所述STA重新進行DHCP過程。
優選地,所述AP和DHCP服務器進行DHCP過程之后,所述方法還包括:
所述AP在收到所述DHCP服務器發送的DHCP過程應答消息后,將所述DHCP過程應答消息發送給所述STA。
優選地,所述DHCP過程應答消息攜帶于所述AP向所述STA發送的關聯響應消息中。
本發明實施例提供了一種建立安全連接的方法,該方法包括:
工作站(STA)接收接入點(AP)發送的關聯答復消息;
所述STA校驗消息完整性編碼(MIC),并根據校驗結果選擇重新進行擴展認證協議(EAP)認證,或選擇等待動態主機配置協議(DHCP)過程答復消息。
優選地,所述關聯答復消息包含以下參數之一或其任意組合:所述AP為所述STA分配的關聯標識(AID)、EAP認證成功消息、基于局域網的擴展認證協議密鑰(EAPoL-Key)消息和MIC ;其中,EAPoL-Key消息包含組臨時密鑰(GTK)和/或完整性組臨時密鑰(IGTK)。
優選地,當所述關聯答復消息為包含IP地址的關聯答復消息時,所述方法還包括:
所述STA校驗MIC,并在校驗成功后安裝成對臨時密鑰(PTK)、組臨時密鑰(GTK)和完整性組臨時密鑰(IGTK)。
優選地,所述STA根據校驗結果選擇重新進行EAP認證,或選擇等待動態主機配置協議(DHCP)過程答復消息,包括:
所述STA校驗所述MIC失敗后,重新進行EAP認證或重新建立安全連接;或者
所述STA校驗所述MIC成功后,選擇等待所述AP返回的DHCP過程答復消息。
優選地,所述選擇等待所述AP返回的DHCP過程答復消息之后,所述方法還包括:
所述STA接收所述AP返回的包含為STA分配的IP地址的DHCP過程答復消息;或者
所述STA接收所述AP返回的未包含為STA分配的IP地址的DHCP過程答復消息,所述STA再次發起DHCP過程;或者
所述STA中設置定時器,該定時器在所述STA收到所述關聯答復消息后或者所述STA校驗所述MIC成功后開始計時,如果所述定時器到期,所述STA還未收到所述AP返回的DHCP過程答復消息,則所述STA再次發起DHCP過程。
優選地,所述STA校驗MIC之后,所述方法還包括:
所述STA進入已認證已關聯狀態,所述STA對應的狀態機進入全EAP上下文狀態。
本發明實施例提供了一種發送消息的方法,該方法包括:
接入點(AP)接收認證服務器(AS)進行擴展認證協議(EAP)認證失敗后發送的EAP認證失敗消息;
所述AP向工作站(STA)發送關聯答復消息,所述關聯答復消息包含EAP認證失敗消息。
本發明實施例提供了一種建立安全連接的方法,所述方法包括:
工作站(STA)接收接入點(AP)發送的包含擴展認證協議(EAP)認證失敗消息的關聯答復消息;
所述STA重新進行EAP認證或重新建立安全連接。
本發明實施例提供了一種接入點(AP),該AP包括:
生成校驗模塊,用于生成成對臨時密鑰(PTK)和/或校驗消息完整性編碼(MIC);
處理模塊,用于向工作站(STA)發送關聯答復消息并和動態主機配置協議(DHCP)服務器進行DHCP過程;或者,僅向所述STA發送包含IP地址的關聯答復消息。
優選地,所述關聯答復消息包含以下參數之一或其任意組合:所述AP為所述STA分配的關聯標識(AID)、擴展認證協議(EAP)認證成功消息、基于局域網的擴展認證協議密鑰(EAPoL-Key)消息和 MIC ;
所述包含IP地址的關聯答復消息還包含所述AID、EAP認證成功消息、EAPoL-Key消息和MIC ;
其中,EAPoL-Key消息包含組臨時密鑰(GTK)和/或完整性組臨時密鑰(IGTK)。
優選地,所述處理模塊和DHCP服務器進行DHCP過程,具體用于:
向所述DHCP服務器發送DHCP過程請求消息。
優選地,所述處理模塊,還用于接收所述DHCP服務器為所述STA分配的IP地址。
優選地,所述處理模塊向STA發送關聯答復消息,具體用于:
直接向所述STA發送所述關聯答復消息;或者
在所述AP中設置一定時器,該定時器在所述處理模塊向所述DHCP服務器發送所述DHCP過程請求消息后開始計時,如果該定時器到期,還未收到所述DHCP服務器返回的DHCP過程答復消息,則向所述STA發送所述關聯答復消息;或者
所述AP中設置一定時器,該定時器在所述AP向所述DHCP服務器發送所述DHCP過程請求消息后開始計時,如果該定時器未到期,所述AP收到所述DHCP服務器返回的DHCP過程答復消息,則所述AP向所述STA發送所述包含IP地址的關聯答復消息。
優選地,所述處理模塊,還用于如果該定時器到期,還未收到所述DHCP服務器返回的DHCP過程應答消息或DHCP過程否定應答消息,則向所述STA發送消息,以便所述STA重新進行DHCP過程。
優選地,所述處理模塊,還用于和DHCP服務器進行DHCP過程之后,若收到所述DHCP服務器發送的DHCP過程應答消息,則將所述DHCP過程應答消息直接發送或攜帶在關聯響應消息中發送給所述STA。
優選地,所述AP還包括:
接收模塊,用于接收認證服務器(AS)進行EAP認證失敗后發送的擴展認證協議(EAP)認證失敗消息;
所述處理模塊,具體用于向所述STA發送包含EAP認證失敗消息的關聯答復消息。
本發明實施例提供了 一種工作站(STA),該STA包括:
接收模塊,用于接收接入點(AP)發送的關聯答復消息;
處理模塊,用于校驗所述關聯答復消息中的消息完整性編碼(MIC),并根據校驗結果選擇重新進行擴展認證協議(EAP)認證,或選擇等待動態主機配置協議(DHCP)過程答復消息。
優選地,所述關聯答復消息包含所述AP為所述STA分配的關聯標識(AID)、EAP認證成功消息、基于局域網的擴展認證協議密鑰(EAPoL-Key)消息和MIC ;其中,EAPoL-Key消息包含組臨時密鑰(GTK)和/或完整性組臨時密鑰(IGTK)。
優選地,當所述關聯答復消息為包含IP地址的關聯答復消息時,
所述處理模塊,還用于校驗所述MIC,并在校驗成功后安裝成對臨時密鑰(PTK)、組臨時密鑰(GTK)和完整性組臨時密鑰(IGTK)。
優選地,所述處理模塊,具體用于:
校驗所述MIC失敗后,重新進行EAP認證或重新建立安全連接;或者
校驗所述MIC成功后,選擇等待所述AP返回的DHCP過程答復消息。
優選地,所述處理模塊,還用于:
選擇等待所述AP返回的DHCP過程答復消息之后,接收所述AP返回的包含為STA分配的IP地址的DHCP過程答復消息;或者
選擇等待所述AP返回的DHCP過程答復消息之后,接收所述AP返回的未包含為STA分配的IP地址的DHCP過程答復消息,再次發起DHCP過程;或者
選擇等待所述AP返回的DHCP過程答復消息之后,在所述STA中設置定時器,該定時器在所述STA收到所述關聯答復消息后或者所述STA校驗所述MIC成功后開始計時,如果所述定時器到期,還未收到所述AP返回的DHCP過程答復消息,則再次發起DHCP過程。
優選地,當所述關聯答復消息包含EAP認證失敗消息時,所述處理模塊,還用于重新進行EAP認證或重新建立安全連接。
上述發送消息的方法、建立安全連接的方法、接入點和工作站,可以加快STA建立安全鏈路的速度,減少終端初始接入WLAN網絡的時延;特別是對于大量用戶需要在極短時間內接入WLAN網絡的場景,性能有極大的提升,很好地改善了用戶體驗。
圖1為現有的IEEE 802.11網絡的架構圖2為現有的WLAN網絡的架構圖3為現有的IEEE 802.1li所引入的密鑰體系架構圖4為現有STA初始接入IEEE 802.11網絡時帶有IP地址分配的安全建立連接的信令流程圖5為本發明建立安全連接方法實施例一的信令流程圖6為本發明建立安全連接方法實施例二的信令流程圖7為本發明建立安全連接方法實施例三的信令流程圖8為本發明建立安全連接方法實施例四的信令流程圖9為本發明建立安全連接方法實施例五的信令流程圖10為本發明建立安全連接方法實施例六的信令流程圖11為本發明建立安全連接方法實施例七的信令流程圖12為本發明建立安全連接方法實施例八的信令流程圖13為本發明AP實施例的結構示意圖14為本發明STA實施例的結構示意圖。
具體實施方式
為使本發明的目的、技術方案和優點更加清楚明白,下文中將結合附圖對本發明的實施例進行詳細說明。需要說明的是,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互任意組合。
本發明實施例提供了一種發送消息的方法,該方法從AP側進行描述,該方法包括:
步驟11、接入點(AP)生成成對臨時密鑰(PTK)和/或校驗消息完整性編碼(MIC);
步驟12、所述AP向工作站(STA)發送關聯答復消息并和動態主機配置協議(DHCP)服務器進行DHCP過程;或者,僅向所述STA發送包含IP地址的關聯答復消息。
其中,所述關聯答復消息包含所述AP為所述STA分配的關聯標識(AID)、EAP認證成功消息、EAPoL-Key消息和MIC ;所述包含IP地址的關聯答復消息還包含所述AID、EAP認證成功消息、EAPoL-Key消息和MIC ;EAPoL-Key消息包含組臨時密鑰(GTK)和完整性組臨時密鑰(IGTK)。
上述方法是在EAP認證成功后進行的,當EAP認證失敗后,AP側執行的操作可以為:
接入點(AP)接收AS進行EAP認證失敗后發送的EAP認證失敗消息;
所述AP向工作站(STA)發送關聯答復消息,所述關聯答復消息包含EAP認證失敗消息。
上述發送消息的方法中,AP不需要在接收到DHCP服務器發送的DHCP過程答復消息后就可以向STA發送關聯應答消息,從而可以加快STA建立安全鏈路的速度,減少終端初始接入WLAN網絡的時延;特別是對于大量用戶需要在極短時間內接入WLAN網絡的場景,性能有極大的提升,很好地改善了用戶體驗。
本發明實施例還提供了一種建立安全連接的方法,該方法從STA側進行描述,該方法包括:
步驟21、工作站(STA)接收接入點(AP)發送的關聯答復消息;
其中,所述關聯答復消息包含所述AP為所述STA分配的關聯標識(AID)、EAP認證成功消息、EAPoL-Key消息和消息完整性編碼(MIC);其中,EAPoL-Key消息包含組臨時密鑰(GTK)和完整性組臨時密鑰(IGTK)。
步驟22、所述STA校驗消息完整性編碼(MIC),并根據校驗結果選擇重新進行EAP認證,或選擇等待動態主機配置協議(DHCP)過程答復消息。
當所述關聯答復消息為包含IP地址的關聯答復消息時,所述方法還包括:所述STA校驗MIC,并在校驗成功后安裝成對臨時密鑰(PTK)、組臨時密鑰(GTK)和完整性組臨時密鑰(IGTK)。
當所述關聯答復消息包含EAP認證失敗消息時,所述方法還包括:所述STA重新進行EAP認證或重新建立安全連接。
上述建立安全連接的方法中,STA可以快速地收到AP發送的關聯答復消息,從而可以盡快地建立安全鏈路,減少終端初始接入WLAN網絡的時延;特別是對于大量用戶需要在極短時間內接入WLAN網絡的場景,性能有極大的提升,很好地改善了用戶體驗。
下面從AP和STA交互的角度對本發明的技術方案進行詳細描述:
實施例一
如圖5所示,為本發明建立安全連接方法實施例一的信令流程圖,該過程包括:
步驟501、與圖4中的步驟401-411相同,此處不再贅述;
步驟502、AP根據收到的PMK,以及SNonce和ANonde生成PTK,并根據PTK生成KCK和KEK ;AP使用生成的KCK校驗MSDU MIC ;驗證成功,AP使用生成的KEK解密DHCP-Discover 消息;
解密DHCP Discover消息的過程也可以發生于步驟503之后。
步驟503、AP向STA發送關聯答復消息,AP向STA發送的關聯答復消息可包含AID,EAP_Success, EAPoL-Key 和 MIC ;其中 EAPoL-Key 包括 GTK 和 IGTK ;
步驟504、AP向DHCP服務器發送DHCP-Discover消息,其中攜帶Rapid Commit選項;
其中,DHCP-Discover消息即是DHCP過程請求消息;Rapid Commit是快速IP地址分配機制,為可選。
當然,該步驟也可以為:AP向DHCP服務器發送其他DHCP過程請求消息例如DHCP-請求(Request)消息;
上述步驟503和步驟504的執行不分時間先后順序,步驟504也可以發生于步驟503之前,還可以和步驟503同時進行。
步驟505、STA收到關聯答復消息后,校驗MIC成功;STA可以進入已認證已關聯狀態,狀態機進入全EAP上下文狀態;
STA選擇等待DHCP-Ack w/Rapid Commit消息。STA收到關聯答復消息后校驗MIC可與DHCP程序并行,或者在DHCP程序之前和之后。
步驟506、DHCP服務器向AP發送DHCP-Ack消息,該消息攜帶快速IP地址分配(Rapid Commit)選項;其中,快速IP地址分配機制為可選;
相應地,DHCP-Ack消息即是DHCP過程答復消息;
若上述DHCP過程請求消息為DHCP-Request消息,則相應的DHCP過程答復消息為DHCP-響應(Response)消息;
步驟507、AP將DHCP-Ack消息發送給STA,其中攜帶Rapid Commit選項。
優選地,DHCP Ack消息可攜帶于DHCP-Ack中。
實施例二
如圖6所示,為本發明建立安全連接方法實施例二的信令流程圖,該過程包括:
步驟601、與圖4中的步驟401-411相同,此處不再贅述;
步驟602、AP根據收到的PMK,以及SNonce和ANonde生成PTK,并根據PTK生成KCK和KEK ;AP使用生成的KCK校驗MSDU MIC ;驗證成功,AP使用生成的KEK解密DHCP-Discover 消息;
步驟603、AP向DHCP服務器發送DHCP-Discover消息,該消息攜帶Rapid Commit選項;
其中,快速IP地址分配機制為可選。
步驟604、AP中設置一個定時器,在AP向DHCP服務器發送DHCP-Discover消息后開始計時。如果定時器到期,AP還沒有收到DHCP服務器發送的DHCP-Ack消息,則AP發送關聯答復消息給STA,此關聯答復消息可包含AID,EAP_SuCCesS消息,EAPoL-Key消息,MIC ;其中EAPoL-Key消息包括GTK和IGTK。
步驟605、STA收到關聯答復消息后,校驗MIC成功,STA可以進入已認證已關聯狀態,狀態機進入全EAP上下文狀態。
STA選擇等待DHCP-Ack w/Rapid Commit消息。STA收到關聯答復消息后校驗MIC可與DHCP程序并行,或者在DHCP程序之前和之后。
步驟606、DHCP 服務器向 AP 發送 DHCP-Ack w/Rapid Commit 消息;
其中,快速IP地址分配機制為可選。
步驟607、AP 將 DHCP-Ack w/Rapid Commit 消息發送給 STA。
實施例三
如圖7所示,為本發明建立安全連接方法實施例三的信令流程圖,該過程包括:
步驟701、與圖4中的步驟401-411相同,此處不再贅述;
步驟702、AP根據收至IJ的PMK,以及SNonce和ANonde生成PTK,并根據PTK生成KCK和KEK ;AP使用生成的KCK校驗MSDU MIC ;驗證成功,AP使用生成的KEK解密DHCP-Discover 消息;
步驟703、AP 向 DHCP 服務器發送 DHCP-Discover w/Rapid Commit 消息;
其中,快速IP地址分配機制為可選。
步驟704、AP向DHCP服務器發送DHCP-Discover消息,該消息攜帶Rapid Commit選項;AP中設置一個定時器,在AP向DHCP服務器發送DHCP-Discover消息后開始計時,如果定時器到期,AP仍未收到DHCP發送的DHCP-Ack或DHCP NAK消息,則AP向STA發送消息通知此問題。優選地,此消息可以為關聯答復消息。
步驟705、STA收到關聯答復消息后,校驗MIC成功,STA可以進入已認證已關聯狀態,狀態機進入全EAP上下文狀態;
STA選擇等待DHCP確認消息。STA收到關聯答復消息后校驗MIC可與DHCP程序并行,或者在DHCP程序之前和之后。
步驟706、DHCP服務器向AP發送DHCP確認消息,該消息中攜帶有Rapid Commit選項;
其中,快速IP地址分配機制為可選。
步驟707、如果AP在特定時間內接收到DHCP確認消息,則AP將攜帶Rapid Commit選項的DHCP確認消息發送給STA。優選地,所述DHCP確認消息攜帶于關聯答復消息中;如果在特定時間內,AP仍未收到DHCP發送的DHCP確認消息,AP給STA發送消息通知此問題。優選地,此消息為關聯答復消息。STA或AP采用合適的默認方式來重新開始網絡程序,比如向DHCP服務器重新發送DHCP請求等。
實施例四
如圖8所示,為本發明建立安全連接方法實施例四的信令流程圖,該過程包括:
步驟801、與圖4中的步驟401-411相同,此處不再贅述;
步驟802、AP根據收至IJ的PMK,以及SNonce和ANonde生成PTK,并根據PTK生成KCK和KEK ;AP使用生成的KCK校驗MSDU MIC ;驗證成功,AP使用生成的KEK解密DHCP-Discover 消息;
解密DHCP Discover消息的過程也可以發生于步驟803之后。
步驟803、AP向STA發送關聯答復消息,AP向STA發送的關聯答復消息可包含AID,EAP_Success, EAPoL-Key, MIC ;其中 EAPoL-Key 包括 GTK 和 IGTK ;
步驟804、AP 向 DHCP 發送 DHCP-Discover w/Rapid Commit 消息;
其中,快速IP地址分配機制為可選。
其中,步驟803和步驟804不分時間先后順序,步驟804也可以發生于步驟803之前,也可以和步驟803同時進行。
步驟805、STA收到關聯答復消息后,校驗MIC成功,STA可以進入已認證已關聯狀態,狀態機進入全EAP上下文狀態;STA選擇等待DHCP-Ackw/Rapid Commit消息。STA中設置定時器在STA收到關聯答復消息后或者MIC校驗成功后開始計時;
STA收到關聯答復消息后校驗MIC可與DHCP程序并行,或者在DHCP程序之前和之后。
步驟806、STA中定時器到期,STA仍未收到AP發送的DHCP相關消息,STA重新發起DHCP程序或初始化程序或重新建立安全連接,其中DHCP程序可以僅在數據面進行。
實施例五
如圖9所示,為本發明建立安全連接方法實施例五的信令流程圖,該過程包括:
步驟901、與圖4中的步驟401-411相同,此處不再贅述;
步驟902、AP根據收到的PMK,以及SNonce和ANonde生成PTK,并根據PTK生成KCK和KEK ;AP使用生成的KCK校驗MSDU MIC,驗證成功;
步驟903、AP向STA發送關聯答復消息,AP向STA發送的關聯答復消息可包含AID,EAP_Success 消息,EAPoL-Key 消息,MIC ;其中 EAPoL-Key 包括 GTK 和 IGTK。
步驟904、AP 解密 DHCP-Discover 消息,AP 向 DHCP 發送 DHCP-Discoverw/RapidCommit 消息;
其中,快速IP地址分配機制為可選。解密DHCP Discover消息的過程也可以發生于步驟902中。
其中,步驟903和步驟904的執行不分時間先后順序,步驟904也可以發生于步驟903之前,也可以和步驟903同時進行。
步驟905、STA收到關聯答復消息后,校驗MIC失敗。
步驟906、STA會重新進行EAP認證過程,或重新建立安全連接。
實施例六
如圖10所示,為本發明建立安全連接方法實施例六的信令流程圖,該過程包括:
步驟1001、與圖4中的步驟401-411相同,此處不再贅述;
步驟1002、AP根據收到的PMK,以及SNonce和ANonde生成PTK,并根據PTK生成KCK和KEK,AP使用生成的KCK校驗MSDU MIC,驗證成功;
步驟1003、AP向STA發送包含IP地址信息的關聯答復消息,AP向STA發送的關聯答復消息可包含 AID,EAP_Success, EAPoL-Key, MIC ;其中 EAPoL-Key 包括 GTK 和 IGTK ;
其中,AP已經獲取DHCP服務器的IP地址分配。
步驟1004、STA收到關聯答復消息后,校驗MIC成功;STA進行PTK、GTK和IGTK的安裝。
實施例七
如圖11所示,為本發明建立安全連接方法實施例七的信令流程圖,該過程包括:
步驟1101、與圖4中的步驟401-409相同,此處不再贅述;
步驟1102、EAP認證失敗;
步驟1103、AS 向 AP 發送 EAP_ 失敗(Failure)消息;
步驟1104、AP向STA發送關聯答復消息,AP向STA發送的關聯答復消息包含EAP_失敗(Failure)消息;
步驟1105、STA重新進行EAP認證,或重新建立安全連接。
實施例八
如圖12所示,為本發明建立安全連接方法實施例八的信令流程圖,該過程包括:
步驟1201、與圖4中的步驟401-411相同,此處不再贅述;
步驟1202、AP根據收到的PMK,以及SNonce和ANonde生成PTK,并根據PTK生成KCK和KEK ;AP使用生成的KCK校驗MSDU MIC ;驗證成功,AP使用生成的KEK解密DHCP-Discover 消息;
步驟1203、AP向DHCP服務器發送DHCP-Discover w/消息,該消息攜帶RapidCommit 選項;
其中,快速IP地址分配機制為可選。
步驟1204、AP中設置一個定時器,在AP向DHCP服務器發送DHCP-Discover消息后開始計時。如果定時器未到期,AP收到DHCP服務器發送的DHCP-Ack消息;
步驟1205、AP發送包含IP地址的關聯答復消息給STA,此關聯答復消息可包含AID, EAP_Success 消息,EAPoL-Key 消息,MIC ;其中 EAPoL-Key 消息包括 GTK 和 IGTK ;
步驟1206、STA收到關聯答復消息后,校驗MIC成功,STA可以進入已認證已關聯狀態,狀態機進入全EAP上下文狀態。
上述實施例一至實施例八可以發生于STA與網絡快速建立安全連接時,或STA與網絡進行EAP重新認證時。
本發明上述實施例不限于IEEE 802.11系統,可以將它的相關模式應用于其它無線通信系統中。
如圖13所示,為本發明AP實施例的結構示意圖,該AP包括生成校驗模塊1301和處理模塊1302,其中:
生成校驗模塊,用于生成成對臨時密鑰(PTK)和/或校驗消息完整性編碼(MIC);
處理模塊,用于向工作站(STA)發送關聯答復消息并和動態主機配置協議(DHCP)服務器進行DHCP過程;或者,僅向所述STA發送包含IP地址的關聯答復消息。
其中,所述處理模塊和DHCP服務器進行DHCP過程,具體用于:向所述DHCP服務器發送DHCP過程請求消息。可選的,所述處理模塊,還用于接收所述DHCP服務器為所述STA分配的IP地址。
另外,所述處理模塊向STA發送關聯答復消息,具體用于:直接向所述STA發送所述關聯答復消息;或者,在所述AP中設置一定時器,該定時器在所述處理模塊向所述DHCP服務器發送所述DHCP過程請求消息后開始計時,如果該定時器到期,還未收到所述DHCP服務器返回的DHCP過程答復消息,則向所述STA發送所述關聯答復消息;或者,所述AP中設置一定時器,該定時器在所述AP向所述DHCP服務器發送所述DHCP過程請求消息后開始計時,如果該定時器未到期,所述AP收到所述DHCP服務器返回的DHCP過程答復消息,則所述AP向所述STA發送所述包含IP地址的關聯答復消息。所述處理模塊,還用于如果該定時器到期,還未收到所述DHCP服務器返回的DHCP過程應答消息或DHCP過程否定應答消息,則向所述STA發送消息,以便所述STA重新進行DHCP過程。
進一步地,所述處理模塊,還用于和DHCP服務器進行DHCP過程之后,若收到所述DHCP服務器發送的DHCP過程應答消息,則將所述DHCP過程應答消息直接發送或攜帶在關聯響應消息中發送給所述STA。
針對EAP認證失敗的情況,所述AP還包括:接收模塊,用于接收認證服務器(AS)進行EAP認證失敗后發送的擴展認證協議(EAP)認證失敗消息;所述處理模塊,具體用于向所述STA發送包含EAP認證失敗消息的關聯答復消息。
上述AP進行處理的過程與圖5-12中AP對應的操作相同,此處不再贅述。
上述AP不需要在接收到DHCP服務器發送的DHCP過程答復消息后就可以向STA發送關聯應答消息,從而可以加快STA建立安全鏈路的速度,減少終端初始接入WLAN網絡的時延;特別是對于大量用戶需要在極短時間內接入WLAN網絡的場景,性能有極大的提升,很好地改善了用戶體驗。
如圖14所示,為本發明STA實施例的結構示意圖,該STA包括接收模塊1401和處理模塊1402,其中:
接收模塊,用于接收接入點(AP)發送的關聯答復消息;
處理模塊,用于校驗所述關聯答復消息中的消息完整性編碼(MIC),并根據校驗結果選擇重新進行擴展認證協議(EAP)認證,或選擇等待動態主機配置協議(DHCP)過程答復消息。
其中,所述關聯答復消息包含所述AP為所述STA分配的關聯標識(AID)、EAP認證成功消息、EAPoL-Key消息和消息完整性編碼(MIC);其中,EAPoL-Key消息包含組臨時密鑰(GTK)和完整性組臨時密鑰(IGTK)。
另外,當所述關聯答復消息為包含IP地址的關聯答復消息時,所述處理模塊,還用于校驗所述MIC,并在校驗成功后安裝成對臨時密鑰(PTK)、組臨時密鑰(GTK)和完整性組臨時密鑰(IGTK)。
優選地,所述處理模塊,具體用于:校驗所述MIC失敗后,重新進行EAP認證或重新建立安全連接;或者,校驗所述MIC成功后,選擇等待所述AP返回的DHCP過程答復消息。所述處理模塊,還用于:選擇等待所述AP返回的DHCP過程答復消息之后,接收所述AP返回的包含為STA分配的IP地址的DHCP過程答復消息;或者,選擇等待所述AP返回的DHCP過程答復消息之后,接收所述AP返回的未包含為STA分配的IP地址的DHCP過程答復消息,再次發起DHCP過程;或者,選擇等待所述AP返回的DHCP過程答復消息之后,在所述STA中設置定時器,該定時器在所述STA收到所述關聯答復消息后或者所述STA校驗所述MIC成功后開始計時,如果所述定時器到期,還未收到所述AP返回的DHCP過程答復消息,則再次發起DHCP過程。
進一步地,當所述關聯答復消息包含EAP認證失敗消息時,所述處理模塊,還用于重新進行EAP認證或重新建立安全連接。
上述STA進行處理的過程與圖5-12中STA對應的操作相同,此處不再贅述。
上述STA可以快速地收到AP發送的關聯答復消息,從而可以盡快地建立安全鏈路,減少終端初始接入WLAN網絡的時延;特別是對于大量用戶需要在極短時間內接入WLAN網絡的場景,性能有極大的提升,很好地改善了用戶體驗。
本領域普通技術人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關硬件完成,上述程序可以存儲于計算機可讀存儲介質中,如只讀存儲器、磁盤或光盤等。可選地,上述實施例的全部或部分步驟也可以使用一個或多個集成電路來實現。相應地,上述實施例中的各模塊/單元可以采用硬件的形式實現,也可以采用軟件功能模塊的形式實現。本發明不限制于任何特定形式的硬件和軟件的結合。
以上實施例僅用以說明本發明的技術方案而非限制,僅僅參照較佳實施例對本發明進行了詳細說明。本領域的普通技術人員應當理解,可以對本發明的技術方案進行修改或者等同替換,而不脫離本發明技術方案的精神和范圍,均應涵蓋在本發明的權利要求范圍當中。
權利要求
1.一種發送消息的方法,其特征在于,該方法包括: 接入點(AP)生成成對臨時密鑰(PTK)和/或校驗消息完整性編碼(MIC); 所述AP向工作站(STA)發送關聯答復消息并和動態主機配置協議(DHCP)服務器進行DHCP過程;或者,僅向所述STA發送包含IP地址的關聯答復消息。
2.根據權利要求1所述的方法,其特征在于: 所述關聯答復消息包含以下參數之一或其任意組合:所述AP為所述STA分配的關聯標識(AID)、擴展認證協議(EAP)認證成功消息、基于局域網的擴展認證協議密鑰(EAPoL-Key)消息和 MIC ; 所述包含IP地址的關聯答復消息還包含所述AID、EAP認證成功消息、EAPoL-Key消息和 MIC ; 其中,EAPoL-Key消息包含組臨時密鑰(GTK)和/或完整性組臨時密鑰(IGTK)。
3.根據權利要求1所述方法,其特征在于: 所述AP和DHCP服務器進行 DHCP的過程包括: 所述AP向所述DHCP服務器發送DHCP過程請求消息。
4.根據權利要求1所述的方法,其特征在于: 所述AP和DHCP服務器進行DHCP過程還包括: 所述AP接收所述DHCP服務器為所述STA分配的IP地址。
5.根據權利要求1所述的方法,其特征在于: 所述DHCP過程包括DHCPv4、DHCPv6、鄰居發現(ND)和無狀態地址自動配置過程。
6.根據權利要求3所述的方法,其特征在于: 所述AP向STA發送關聯答復消息包括: 所述AP直接向所述STA發送所述關聯答復消息;或者 所述AP中設置一定時器,該定時器在所述AP向所述DHCP服務器發送所述DHCP過程請求消息后開始計時,如果該定時器到期,所述AP還未收到所述DHCP服務器返回的DHCP過程答復消息,則所述AP向所述STA發送所述關聯答復消息;或者 所述AP中設置一定時器,該定時器在所述AP向所述DHCP服務器發送所述DHCP過程請求消息后開始計時,如果該定時器未到期,所述AP收到所述DHCP服務器返回的DHCP過程答復消息,則所述AP向所述STA發送所述包含IP地址的關聯答復消息。
7.根據權利要求6所述的方法,其特征在于,所述方法還包括: 如果該定時器到期,所述AP還未收到所述DHCP服務器返回的DHCP過程應答消息或DHCP過程否定應答消息,則AP向所述STA發送消息,以便所述STA重新進行DHCP過程。
8.根據權利要求1-7任一權利要求所述的方法,其特征在于: 所述AP和DHCP服務器進行DHCP過程之后,所述方法還包括: 所述AP在收到所述DHCP服務器發送的DHCP過程應答消息后,將所述DHCP過程應答消息發送給所述STA。
9.根據權利要求8所述的方法,其特征在于: 所述DHCP過程應答消息攜帶于所述AP向所述STA發送的關聯響應消息中。
10.一種建立安全連接的方法,其特征在于,該方法包括: 工作站(STA)接收接入點(AP)發送的關聯答復消息;所述STA校驗消息完整性編碼(MIC),并根據校驗結果選擇重新進行擴展認證協議(EAP)認證,或選擇等待動態主機配置協議(DHCP)過程答復消息。
11.根據權利要求10所述的方法,其特征在于: 所述關聯答復消息包含以下參數之一或其任意組合:所述AP為所述STA分配的關聯標識(AID)、EAP認證成功消息、基于局域網的擴展認證協議密鑰(EAPoL-Key)消息和MIC;其中,EAPoL-Key消息包含組臨時密鑰(GTK)和/或完整性組臨時密鑰(IGTK)。
12.根據權利要求11所述的方法,其特征在于: 當所述關聯答復消息為包含IP地址的關聯答復消息時,所述方法還包括: 所述STA校驗MIC,并在校驗成功后安裝成對臨時密鑰(PTK)、組臨時密鑰(GTK)和完整性組臨時密鑰(IGTK)。
13.根據權利要求10所述的方法,其特征在于: 所述STA根據校 驗結果選擇重新進行EAP認證,或選擇等待動態主機配置協議(DHCP)過程答復消息,包括: 所述STA校驗所述MIC失敗后,重新進行EAP認證或重新建立安全連接;或者 所述STA校驗所述MIC成功后,選擇等待所述AP返回的DHCP過程答復消息。
14.根據權利要求13所述的方法,其特征在于: 所述選擇等待所述AP返回的DHCP過程答復消息之后,所述方法還包括: 所述STA接收所述AP返回的包含為STA分配的IP地址的DHCP過程答復消息;或者所述STA接收所述AP返回的未包含為STA分配的IP地址的DHCP過程答復消息,所述STA再次發起DHCP過程;或者 所述STA中設置定時器,該定時器在所述STA收到所述關聯答復消息后或者所述STA校驗所述MIC成功后開始計時,如果所述定時器到期,所述STA還未收到所述AP返回的DHCP過程答復消息,則所述STA再次發起DHCP過程。
15.根據權利要求10所述的方法,其特征在于: 所述STA校驗MIC之后,所述方法還包括: 所述STA進入已認證已關聯狀態,所述STA對應的狀態機進入全EAP上下文狀態。
16.—種發送消息的方法,其特征在于,該方法包括: 接入點(AP)接收認證服務器(AS)進行擴展認證協議(EAP)認證失敗后發送的EAP認證失敗消息; 所述AP向工作站(STA)發送關聯答復消息,所述關聯答復消息包含EAP認證失敗消肩、O
17.一種建立安全連接的方法,其特征在于,所述方法包括: 工作站(STA)接收接入點(AP)發送的包含擴展認證協議(EAP)認證失敗消息的關聯答復消息; 所述STA重新進行EAP認證或重新建立安全連接。
18.一種接入點(AP),其特征在于,該AP包括: 生成校驗模塊,用于生成成對臨時密鑰(PTK)和/或校驗消息完整性編碼(MIC); 處理模塊,用于向工作站(STA)發送關聯答復消息并和動態主機配置協議(DHCP)服務器進行DHCP過程;或者,僅向所述STA發送包含IP地址的關聯答復消息。
19.根據權利要求18所述的AP,其特征在于: 所述關聯答復消息包含以下參數之一或其任意組合:所述AP為所述STA分配的關聯標識(AID)、擴展認證協議(EAP)認證成功消息、基于局域網的擴展認證協議密鑰(EAPoL-Key)消息和 MIC ; 所述包含IP地址的關聯答復消息還包含所述AID、EAP認證成功消息、EAPoL-Key消息和 MIC ; 其中,EAPoL-Key消息包含組臨時密鑰(GTK)和/或完整性組臨時密鑰(IGTK)。
20.根據權利要求18所述的AP,其特征在于: 所述處理模塊和DHCP服務器進行DHCP過程,具體用于: 向所述DHCP服務器發送DHCP過程請求消息。
21.根據權利要求18所述的AP,其特征在于: 所述處理模塊,還用于接收所述DHCP服務器為所述STA分配的IP地址。
22.根據權利要求18所述的AP,其特征在于: 所述處理模塊向STA發送關 聯答復消息,具體用于: 直接向所述STA發送所述關聯答復消息;或者 在所述AP中設置一定時器,該定時器在所述處理模塊向所述DHCP服務器發送所述DHCP過程請求消息后開始計時,如果該定時器到期,還未收到所述DHCP服務器返回的DHCP過程答復消息,則向所述STA發送所述關聯答復消息;或者 所述AP中設置一定時器,該定時器在所述AP向所述DHCP服務器發送所述DHCP過程請求消息后開始計時,如果該定時器未到期,所述AP收到所述DHCP服務器返回的DHCP過程答復消息,則所述AP向所述STA發送所述包含IP地址的關聯答復消息。
23.根據權利要求22所述的AP,其特征在于: 所述處理模塊,還用于如果該定時器到期,還未收到所述DHCP服務器返回的DHCP過程應答消息或DHCP過程否定應答消息,則向所述STA發送消息,以便所述STA重新進行DHCP過程。
24.根據權利要求18-23任一權利要求所述的AP,其特征在于: 所述處理模塊,還用于和DHCP服務器進行DHCP過程之后,若收到所述DHCP服務器發送的DHCP過程應答消息,則將所述DHCP過程應答消息直接發送或攜帶在關聯響應消息中發送給所述STA。
25.根據權利要求18所述的AP,其特征在于,所述AP還包括: 接收模塊,用于接收認證服務器(AS)進行EAP認證失敗后發送的擴展認證協議(EAP)認證失敗消息; 所述處理模塊,具體用于向所述STA發送包含EAP認證失敗消息的關聯答復消息。
26.—種工作站(STA),其特征在于,該STA包括: 接收模塊,用于接收接入點(AP)發送的關聯答復消息; 處理模塊,用于校驗所述關聯答復消息中的消息完整性編碼(MIC),并根據校驗結果選擇重新進行擴展認證協議(EAP)認證,或選擇等待動態主機配置協議(DHCP)過程答復消肩、O
27.根據權利要求26所述的STA,其特征在于:所述關聯答復消息包含所述AP為所述STA分配的關聯標識(AID)、EAP認證成功消息、基于局域網的擴展認證協議密鑰(EAPoL-Key)消息和MIC ;其中,EAPoL-Key消息包含組臨時密鑰(GTK)和/或完整性組臨時密鑰(IGTK)。
28.根據權利要求27所述的STA,其特征在于: 當所述關聯答復消息為包含IP地址的關聯答復消息時, 所述處理模塊,還用于校驗所述MIC,并在校驗成功后安裝成對臨時密鑰(PTK)、組臨時密鑰(GTK)和完整性組臨時密鑰(IGTK)。
29.根據權利要求26所述的STA,其特征在于: 所述處理模塊,具體用于: 校驗所述MIC失敗后,重新進行EAP認證或重新建立安全連接;或者 校驗所述MI C成功后,選擇等待所述AP返回的DHCP過程答復消息。
30.根據權利要求29所述的STA,其特征在于: 所述處理模塊,還用于: 選擇等待所述AP返回的DHCP過程答復消息之后,接收所述AP返回的包含為STA分配的IP地址的DHCP過程答復消息;或者 選擇等待所述AP返回的DHCP過程答復消息之后,接收所述AP返回的未包含為STA分配的IP地址的DHCP過程答復消息,再次發起DHCP過程;或者 選擇等待所述AP返回的DHCP過程答復消息之后,在所述STA中設置定時器,該定時器在所述STA收到所述關聯答復消息后或者所述STA校驗所述MIC成功后開始計時,如果所述定時器到期,還未收到所述AP返回的DHCP過程答復消息,則再次發起DHCP過程。
31.根據權利要求26所述的STA,其特征在于: 當所述關聯答復消息包含EAP認證失敗消息時,所述處理模塊,還用于重新進行EAP認證或重新建立安全連接。
全文摘要
本發明提供了一種發送消息的方法、建立安全連接的方法、接入點和工作站,其中,發送消息的方法包括接入點(AP)生成成對臨時密鑰(PTK)和/或校驗消息完整性編碼(MIC);所述AP向工作站(STA)發送關聯答復消息并和動態主機配置協議(DHCP)服務器進行DHCP過程;或者,僅向所述STA發送包含IP地址的關聯答復消息。上述發送消息的方法、建立安全連接的方法、接入點和工作站,可以加快STA建立安全鏈路的速度,減少終端初始接入WLAN網絡的時延;特別是對于大量用戶需要在極短時間內接入WLAN網絡的場景,性能有極大的提升,很好地改善了用戶體驗。
文檔編號H04L9/32GK103200004SQ20121000461
公開日2013年7月10日 申請日期2012年1月9日 優先權日2012年1月9日
發明者朱李 申請人:中興通訊股份有限公司