一种安全身份发现方法 |
|||||||
| 申请号 | CN201210104823.X | 申请日 | 2012-04-11 | 公开(公告)号 | CN103368737B | 公开(公告)日 | 2017-07-14 |
| 申请人 | 华为技术有限公司; | 发明人 | 黄开缔; 杨国瑞; 夏林峰; | ||||
| 摘要 | 本 发明 提供了一种安全身份通信方法,第一 站点 和第二站点间进行通信的 帧 均隐藏或者省略了双方站点的真实MAC地址,而采用链路号来标识双方站点的身份,进行安全通信,提高了用户在使用无线通信时的私密性保护程度。 | ||||||
| 权利要求 | 1.一种安全通信方法,其特征在于,包括: |
||||||
| 说明书全文 | 一种安全身份发现方法技术领域[0001] 本发明涉及无线通信网络,尤其涉及一种安全身份发现方法,以及一种安全通信方法。 背景技术[0002] 802.11是IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师协会)制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中,用户与用户终端的无线接入。 [0003] IEEE 802.11技术为多个PHY(Physical Layer,物理层)制定一个通用的MAC(Medium Access Control,介质访问控制)层以标准无线局域网的建设。其中媒介接入控制层MAC的主要任务就是为同网络中的多个站点建立寻址和信道接入控制机制,使得多站点之间的通信成为可能。 [0004] WLAN(Wireless Local Area Networks,无线局域网)的基本组成部分是BSS(Basic Service Set,基本服务集),其由某一特定覆盖区域之内,并具有某种关联的站点STA组成,如图1中所示的BSS2和BSS3。在BSS网络中具有专职管理BSS的中央站点被称为AP(Access Point,接入点),而在该网络中的其它站点STA都与它相关联。而多个BSS网通过DS相互连接即可组成ESS(Extended Service Set,扩展服务集)。在AP缺失的情况下,站点STA也可以自组网络而相互直接通信,此网络即为独立BSS或者IBSS,如图1所示的BSS1。 [0005] NAN(Neighborhood Area Network,社区网络)是WFA于2011年12月成立的一个项目组,其致力于各无线设备间,在pre-association的状态,在低能耗的情况下,不通过中转设备(如AP或基站等)辅助,以直连的形式相互获取信息。主要携带有以下3个要求:1、低功耗(节能);2、无中转设备,直接连接;3、在Pre-Association状态(只能进行Class 1信息的发送)。其中Class 1信息又携带有:Control Frame(控制帧)、Management frames(管理帧)和Data frames(数据帧)。 [0006] 在NAN技术中,站点主要采用广播信标帧来实现站点之间的相互发现。即:站点在某一信道上,以随机事件为起点,按照一定的信标帧发送周期(取值范围20ms到1000ms,预设值为100ms),周期性广播发送携带有有自己信息和信标帧。其周围站点通过接受和解读上述广播的信标帧信息了解该站点的存在和该站点的信息。 [0007] MAC地址,或称为硬件地址,用来定义网络设备的位置,由48比特长,16进制数字组成,0到23位是组织唯一标识符,是识别局域网结点的标志,24-47位由该网络设备的厂家自己分配。第一MAC帧格式如表1所示: [0008] [0009] 表1 [0010] 其中Address 1字段填写为该帧的立即接受地址;Address 2字段填写为该帧的立即发送地址;Frame Body字段装载着准备通过MAC包传递的上层内容(如IP包)。MAC地址是各站点在MAC层通信范围内的唯一身份标识,因此当周围站点在信道中监听到携带有有某一MAC地址的信标帧出现,便可判断其周围有该MAC地址对应的站点存在。 [0011] 各站点所广播出的信标帧可以被其身边任意站点接收。又由于站点之间在Pre-Association(非关联)状态下,没有进行密钥协商,不能对自己所广播的信标帧进行加密,因此各站点所广播处的信标帧可以被周围任意站点解读,信标帧中携带有的自己的MAC地址信息也可以被其周围任意站点获知,而MAC地址信息的泄露会导致各站点用户的私密性将得不到保护。 发明内容[0012] 本发明提供了一种安全身份通信方法,以提高在站点间进行通信时的私密性保护程度,该方法包括: [0013] 第一站点发送第一介质访问控制MAC帧给第二站点,所述第一MAC帧携带有所述第一链路号和指示字段;所述第一链路号用于标识所述第一站点和第二站点的身份,所述指示字段指示所述第一MAC帧携带有所述第一链路号。 [0014] 本发明还提供了一种安全身份通信方法,以提高在站点间进行通信时的私密性保护程度,该方法包括: [0015] 第二站点接收第一站点发送的介质访问控制第一MAC帧,所述第一MAC帧携带有第一链路号和指示字段,所述第一链路号用于标识所述第一站点和第二站点的身份;所述指示字段指示所述第一MAC帧携带有所述第一链路号; [0016] 所述第二站点发送第二MAC帧给所述第一站点,所述第二MAC帧携带有第二链路号和指示字段;所述第二链路号用于标识所述第一站点和第二站点的身份;所述指示字段指示所述第二MAC帧携带有所述第二链路号。 [0017] 本发明还提供了一种用于安全身份通信的第一站点,包括: [0018] 发送模块,用于发送第一介质访问控制MAC帧给所述第二站点,所述第一MAC帧携带有所述第一链路号和指示字段;所述第一链路号用于标识所述第一站点和第二站点的身份,所述指示字段指示所述第一MAC帧携带有所述第一链路号; [0019] 接收模块,用于接收所述第二站点发送的第二MAC帧,所述第二MAC帧携带有第二链路号和指示字段;所述第二链路号用于标识所述第一站点和第二站点的身份;所述指示字段指示所述第二MAC帧携带有所述第二链路号。 [0020] 本发明还提供了一种用于安全身份通信的第二站点,包括: [0021] 接收模块,用于接收第一站点发送的介质访问控制第一MAC帧,所述第一MAC帧携带有第一链路号和指示字段,所述第一链路号用于标识所述第一站点和第二站点的身份;所述指示字段指示所述第一MAC帧携带有所述第一链路号; [0022] 发送模块,用于发送第二MAC帧给所述第一站点,所述第二MAC帧携带有第二链路号和指示字段;所述第二链路号用于标识所述第一站点和第二站点的身份;所述指示字段指示所述第二MAC帧携带有所述第二链路号。 [0023] 本发明提供的该安全身份通信方法,第一站点和第二站点间进行通信的帧均隐藏或者省略了双方站点的真实MAC地址,而采用第一链路号来标识双方站点的身份,进行安全通信,提高了用户在使用无线通信时的私密性保护程度。附图说明 [0026] 图3为本发明实施例提供的一种用于安全身份通信的第一站点结构图; [0027] 图4为本发明实施例提供的一种用于安全身份通信的第二站点结构图; [0028] 图5为本发明实施例提供的一种用于安全身份通信的系统结构图; 具体实施方式[0029] 为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。 [0030] 本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。 [0031] 应理解,本发明实施例的技术方案可以应用于各种通信系统,例如:GSM(Global System of Mobile communication,全球移动通讯)系统、CDMA(Code Division Multiple Access,码分多址)系统、WCDMA(Wideband Code Division Multiple Access,宽带码分多址)系统、GPRS(General Packet Radio Service,通用分组无线业务)、LTE(Long Term Evolution,长期演进)系统、FDD-LTE(Frequency Division Duplex,频分双工)系统、TDD-LTE(Time Division Duplex,时分双工)、UMTS(Universal Mobile Telecommunication System,通用移动通信系统)、WiMAX(Worldwide Interoperability for Microwave Access,全球互联微波接入)通信系统、微波通信系统等。 [0032] 实施例一: [0033] 本发明实施例一提供了一种安全身份通信方法,图2示出了该方法示意性流程图。参考图2,该方法包括: [0034] S201:第一站点为其和第二站点之间的链路分配第一链路号; [0035] 优选的,该第一链路号可以是第二站点为其和第一站点之间的链路所分配; [0036] 优选的,该第一链路号可以是第三站点为第一站点和第二站点之间的链路所分配。 [0037] S202:第一站点发送第一MAC帧给第二站点; [0038] 该第一MAC帧携带有S201中第一站点为其和第二站点之间链路所分配的,或者第二站点为其和第一站点之间链路所分配的,或者第三站点为第一站点和第二站点之间链路所分配的第一链路号和指示字段,该第一链路号用以标识双方站点的身份,该指示字段指示了该第一MAC帧携带有第一链路号; [0039] 第一站点可以通过广播的方式发送第一MAC帧给多个第二站点,使用第一链路号来标识第一站点和多个第二站点的身份。 [0040] 优选的,该第一链路号还用于指示第一站点和第二站点间数据包的流向,即指示数据包是第一站点发送给第二站点的。 [0041] 优选的,第一站点可以在该第一MAC帧的Address1字段处填写第一链路号,在Address2字段处填写指示字段,例如全1值,当指示字段取特殊值时,即指示该第一MAC帧携带有第一链路号 [0042] 需要注意的是,该第一MAC帧隐藏或者省略了双方站点的真实MAC地址,因此双方站点在进行通信的时候,不会因为其他站点接收到该第一MAC帧而泄露其真实的MAC地址。 [0043] 优选的,该第一MAC帧的帧结构如表2所示: [0044] [0045] 表2 [0046] 其中,Payload为封装的传输内容。Payload可以为具体的数据内容,也可以是一个封装的帧体,该第一MAC帧空缺或者省略了地址位。 [0047] S203:第二站点发送第二MAC帧给第一站点; [0048] 该第二MAC帧携带有第二链路号和指示字段,该第二链路号用以标识双方站点的身份,该指示字段指示了该第二MAC帧携带有第二链路号。 [0049] 第二站点可以在该第二MAC帧的Address1字段处填写第二链路号,在Address2字段处填写指示字段,例如全1值,当所述指示字段取特殊值时,即指示该第二MAC帧携带有第二链路号 [0050] 需要注意的是,该第二MAC帧隐藏或者省略了双方站点的真实MAC地址,因此双方站点在进行通信的时候,不会因为其他站点接收到该第二MAC帧而泄露其真实的MAC地址。 [0051] 优选的,该第二MAC帧的帧结构如表2所示,其中,Payload为封装的传输内容。Payload可以为具体的数据内容,也可以是一个封装的帧体。该第二MAC帧空缺或者省略了地址位。 [0052] 优选的,第二链路号和第一链路号相同,或者第二链路号为改变第一链路号特定位置的数值所得,用以标识双方站点的身份,并且指示双方站点之间数据包的流向,即指示该数据包是第二站点发送给第一站点的;该指示字段指示了该第二MAC帧携带有第二链路号。 [0053] 第二站点可以在该第二MAC帧的Address1字段处填写第二链路号,在Address2字段处填写指示字段,例如全1值,当指示字段取特殊值时,即指示该第二MAC帧携带有该第二链路号 [0054] 本实施例提供的该安全身份通信方法,第一站点和第二站点通过使用链路号来标识双方的安全身份进行通信,并且本实施例中的消息帧均隐藏或者省略了双方站点的真实MAC地址,提高了用户在使用无线通信时的私密性保护程度。 [0055] 实施例二: [0056] 本发明实施例二提供了一种用于安全身份通信的第一站点,图3示出了该站点示意性结构图。参考图3,该站点包括: [0057] 发送模块,用于发送第一MAC帧给该第二站点,该第一MAC帧携带有该第一链路号和指示字段;第一链路号用于标识第一站点和第二站点的身份,该指示字段指示该第一MAC帧携带有该第一链路号; [0058] 接收模块,用于接收第二站点发送的第二MAC帧,第二MAC帧携带有第二链路号和指示字段;第二链路号用于标识第一站点和第二站点的身份;指示字段指示第二MAC帧携带有第二链路号。 [0059] 优选的,该第一站点还包括分配模块,用于第一站点为其和第二站点之间的链路分配第一链路号。 [0060] 优选的,第二链路号和第一链路号相同,或者第二链路号为改变第一链路号特定位置的数值所得。 [0061] 优选的,指示字段可以为所述第一MAC帧和/或所述第二MAC帧的地址字段,当指示字段取特殊值时,即指示第一MAC帧和/或第二MAC帧携带有第一链路号。 [0062] 优选的,第一MAC帧和/或第二MAC帧携带有封装的传输内容Payload,所述Payload为具体的数据内容或者封装的帧体。 [0063] 需要注意的是,该第一MAC帧和第二MAC帧均隐藏或者省略了双方站点的真实MAC地址,因此双方站点在进行通信的时候,不会因为其他站点接收到该第一MAC帧和第二MAC帧而泄露其真实的MAC地址。 [0064] 实施例三: [0065] 本发明实施例三提供了一种用于安全身份通信的第二站点,图4示出了该站点示意性结构图。参考图4,该站点包括: [0066] 接收模块,用于接收第一站点发送的第一MAC帧,第一MAC帧携带有第一链路号和指示字段,第一链路号用于标识第一站点和第二站点的身份;指示字段指示第一MAC帧携带有第一链路号; [0067] 发送模块,用于发送第二MAC帧给第一站点,第二MAC帧携带有第二链路号和指示字段;第二链路号用于标识第一站点和第二站点的身份;指示字段指示第二MAC帧携带有第二链路号。 [0068] 优选的,第二站点还包括分配模块,分配模块用于第二站点为其和第一站点之间的链路分配第一链路号。 [0069] 优选的,第二链路号和第一链路号相同,或者第二链路号为改变第一链路号特定位置的数值所得。。 [0070] 优选的,指示字段为第一MAC帧和/或第二MAC帧的地址字段,当指示字段取特殊值时,即指示第一MAC帧和/或第二MAC帧携带有第一链路号。 [0071] 优选的,第一MAC帧和/或第二MAC帧携带有封装的传输内容Payload,Payload为具体的数据内容或者封装的帧体。 [0072] 实施例四: [0073] 本发明实施例四提供了一种安全身份通信系统,图5示出了该站点示意性结构图。参考图5,该系统包括实施例二中所述的第一站点,和实施例三中所述的第二站点。 [0074] 或者,该系统包括实施例二及其优选的实施例中所述的第一站点,和实施例三及其优选的实施例中所述的第二站点。 [0075] 所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。 [0076] 在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。 [0077] 所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。 [0078] 另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。 [0079] 所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。 [0080] 以上所述仅是本发明的优选实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。 |
||||||
