本发明涉及通信领域,具体而言,涉及一种接入点的接入方法、装置及系统。
背景技术:
在相关技术中,sta接入ap的技术是:sta主动扫描,sta依次在11个信道上发出proberequest帧,寻找与sta所属有的相同的ssid的ap;或者sta被动扫描,sta被动等待ap每隔一段时间发送beacon信标帧,该帧提供ap及所在的bss信息:“我在这里”。
在相关技术中,可以采用以下方式将终端连接到网络热点:主设备a将ssid和密码通过wi-fidirect或者蓝牙将密码发送到其他设备后,其他设备又接收到ap的信标beacon帧后,检查beacon帧中的ssid是否和主设备a发来的一致,如果一致,输入密码连接该ap。
上述技术方案中存在以下缺点:一,用户在sta上点击ssid来发起接入ap的流程,过程中sta需要发出probequest帧;ap需要发出beacon帧;二,上述技术方案,只是简单的主设备a将ssid和密码发送给其他设备,其他设备获取后发起连接该ap的过程,连接的过程中还是需要用户手动输入密码,并没有减少接入流程。
针对相关技术中,终端接入网路热点流程繁琐的问题,目前还没有有效地解决方案。
技术实现要素:
本发明实施例提供了一种接入点的接入方法、装置及系统,以至少解决相关技术中终端接入网路热点流程繁琐的问题。
根据本发明的一个实施例,提供了一种接入点的接入方法,包括:
接入点ap设备接收接入到所述ap设备的第一站点sta设备发送的第二sta设备的第二媒体访问控制mac地址;
所述ap设备在所述ap设备覆盖范围内广播所述第二媒体访问控制(mediaaccesscontrol,简称为mac)地址,其中,在所述第二sta设备检测到所述第二mac地址的情况下,允许所述第二sta设备接入所述ap设备。
可选地,所述ap设备在所述ap设备覆盖范围内广播所述第二mac地址,包括:
所述ap设备在所述ap设备覆盖范围内广播beacon帧,其中,所述beacon帧中携带有所述第二mac地址。
可选地,所述beacon帧中通过以下携带所述第二mac地址:
在所述beacon帧中mac帧头header后的框架体framebody字段中携带所述第二mac地址。
可选地,在所述第二sta设备已经接入所述ap设备的情况下,所述ap设备依据所述第一sta设备的第一对称密钥标识pmkid(identification)获取所述第二sta设备的第二pmkid;并将所述第二pmkid发送至所述第二sta设备。
可选地,将所述第二pmkid发送至所述第二sta设备,包括:
所述ap设备根据所述第二pmkid与所述第二mac地址按照预设规则,计算得到第三pmkid,将所述第三pmkid发送到所述第二sta设备,其中,所述第二sta设备通过解析所述第三pmkid,得出第二mac地址,并在所述第二mac地址与所述第二sta设备本地存储的mac地址相同的情况下,采用所述第二pmkid与所述ap设备连接。
可选地,所述ap设备根据所述第二pmkid与第二mac地址按照预设规则,计算得到第三pmkid,包括:所述ap设备根据所述第二pmkid与所述第二mac地址执行异或运算,得到所述第三pmkid。
可选地,在解析得到的所述第二mac地址与所述第二sta设备本地存储的mac地址不相同的情况下,所述第二sta设备拒绝接入所述ap设备。
可选地,在所述第二sta设备未检测到所述第二mac地址的情况下,拒绝所述第二sta设备接入所述ap设备。
可选地,所述ap设备定期检测连接至所述ap设备的sta设备的mac地址及对话密钥(pairwisemasterkey,简称为pmk)的有效期。
根据本发明的另一个实施例,还提供了一种接入点的接入方法,包括:
第二站点sta设备在检测到接入点ap设备广播所述第二sta设备的第二mac地址的情况下,连接至所述ap设备,其中,所述ap设备通过第一sta设备获取所述第二mac地址,其中,所述第一sta设备已经连接至所述ap设备。
可选地,第二站点sta设备检测到接入点ap设备广播所述第二sta设备的第二mac地址,包括:
所述第二sta设备检测到所述ap设备在所述ap设备覆盖范围内广播的beacon帧中携带有所述第二mac地址。
可选地,所述第二sta设备检测到所述ap设备在所述ap设备覆盖范围内广播的beacon帧中携带有所述第二mac地址,包括:
所述第二sta设备通过检测所述beacon帧中的framebody的预设标识位来确定所述beacon帧中是否携带有所述第二mac地址。
可选地,第二站点sta设备在检测到接入点ap设备广播所述第二sta设备的第二mac地址之后,所述方法还包括:
接收输入信号;
所述第二sta设备依据所述输入信号确定是否接入所述ap设备。
可选地,所述第二sta设备连接至所述ap设备之后,所述方法还包括:
所述第二sta设备接收所述ap设备发送的第三pmkid,其中,所述第三pmkid是所述ap设备通过以下方式得到的:所述ap设备将所述第二sta设备的第二pmkid与第二mac地址按照预设规则加密,计算得到第三pmkid;
所述第二sta设备通过解析所述第三pmkid,得出第二mac地址,其中,在所述第二mac地址与所述第二sta设备本地存储的mac地址相同的情况下,所述第二sta设备采用所述第二pmkid与所述ap设备连接。
可选地,所述第二sta设备通过解析所述第三pmkid,得出第二mac地址,所述方法还包括:
在解析得到的所述第二mac地址与所述第二sta设备本地存储的mac地址不相同的情况下,终止所述第二sta设备接入所述ap设备的流程。
根据本发明的另一个实施例,还提供了一种接入点的接入方法,包括:
第一站点sta设备接入接入点ap设备;
所述第一sta设备将第二sta设备的第二mac地址发送到所述ap设备,其中,所述第二sta设备与所述第一sta设备均位于所述ap设备的覆盖范围内。
可选地,所述第一sta设备将第二sta设备的第二mac地址发送到所述ap设备,包括:
所述第一sta设备与所述ap设备协商产生pmk,所述第一sta设备依据所述pmk发起四次握手过程,并在所述四次握手过程中的第一次握手过程将所述第二mac地址发送到所述ap设备。
可选地,在所述第一次握手的使用可扩展的身份认证协议(extensibleauthenticationprotocol,简称为eap)报文中携带有所述第二mac地址及所述第一sta设备的pmkid的有效期。
可选地,所述第一sta设备将第二sta设备的第二mac地址发送到所述ap设备之后,所述方法还包括:
所述ap设备在所述ap设备覆盖范围内广播所述第二mac地址;所述第二sta设备检测到所述第二mac地址的情况下,所述第二sta设备接入所述热点ap设备。
可选地,所述ap设备在所述覆盖范围内广播所述第二mac地址,包括:
所述ap设备在所述ap设备覆盖范围内广播beacon帧,其中,所述beacon帧中携带有所述第二mac地址
可选地,所述第一sta设备将第二sta设备的第二mac地址发送到所述ap设备之前,所述方法还包括:
所述第一sta设备通过无线保真直连wifi-direct方式与所述第二sta设备连接,并获取所述第二sta设备的第二mac地址。
根据本发明的另一个实施例,还提供了一种接入点的接入系统,包括:
所述第一sta设备,用于将所述第二sta设备的第二mac地址发送到所述ap设备;
所述ap设备,用于在所述ap设备覆盖范围内广播所述第二mac地址;
所述第二sta设备,用于在所述第二sta设备检测到所述第二mac地址的情况下,接入所述ap设备。
可选地,所述ap设备,还用于在所述ap设备覆盖范围内广播beacon帧,其中,所述beacon帧中携带有所述第二mac地址。
可选地,所述ap设备,用于在所述第二sta设备已经接入所述ap设备的情况下,依据所述第一sta设备的第一pmkid计算得出所述第二sta设备的第二pmkid。
可选地,所述ap设备,用于根据所述第二pmkid与第二mac地址按照预设规则,计算得到第三pmkid,将所述第三pmkid发送到所述第二sta设备,其中,所述第二sta设备通过解析所述第三pmkid,得出第二mac地址,其中,在所述第二mac地址与所述第二sta设备本地存储的mac地址相同的情况下,所述第二sta设备采用所述第二pmkid与所述ap设备连接。
可选地,所述ap设备,用于定期检测连接至所述ap设备的sta设备的mac地址及pmk的有效期。
根据本发明的另一个实施例,还提供了一种接入点的接入装置,应用于接入点ap设备,包括:
接收模块,用于接收接入到所述ap设备的第一站点sta设备发送的第二sta设备的第二媒体访问控制mac地址;
广播模块,用于在所述ap设备覆盖范围内广播所述第二mac地址,其中,在所述第二sta设备检测到所述第二mac地址的情况下,允许所述第二sta设备接入所述ap设备。
可选地,所述广播模块还用于在所述ap设备覆盖范围内广播beacon帧,其中,所述beacon帧中携带有所述第二mac地址。
可选地,所述广播模块还用于在所述第二sta设备已经接入所述ap设备的情况下,依据所述第一sta设备的第一对称密钥标识pmkid获取所述第二sta设备的第二pmkid;并将所述第二pmkid发送至所述第二sta设备。
根据本发明的另一个实施例,还提供了一种接入点的接入装置,应用于第二sta设备,包括:
第二连接模块,用于第二站点sta设备在检测到接入点ap设备广播所述第二sta设备的第二mac地址的情况下,连接至所述ap设备,其中,所述ap设备通过第一sta设备获取所述第二mac地址,其中,所述第一sta设备已经连接至所述ap设备。
可选地,所述第二连接还用于检测所述ap设备在所述ap设备覆盖范围内广播的beacon帧中是否携带有所述第二mac地址。
可选地,所述第二连接模块还用于在检测到接入点ap设备广播所述第二sta设备的第二mac地址之后,接收输入信号,并依据所述输入信号确定是否接入所述ap设备。
根据本发明的另一个实施例,还提供了一种接入点的接入装置,应用于第一sta设备,包括:
第一连接模块,用于接入接入点ap设备;
发送模块,用于将第二sta设备的第二mac地址发送到所述ap设备,其中,所述第二sta设备与所述第一sta设备均位于所述ap设备的覆盖范围内。
可选地,所述发送模块还用于依据所述第一sta设备与所述ap设备协商产生的pmk发起四次握手过程,并在所述四次握手过程中的第一次握手过程将所述第二mac地址发送到所述ap设备。
可选地,所述发送模块还用于在将第二sta设备的第二mac地址发送到所述ap设备之前,通过无线保真直连wifi-direct方式与所述第二sta设备连接,并获取所述第二sta设备的第二mac地址。
根据本发明的又一个实施例,还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码:
接入点ap设备接收接入到所述ap设备的第一站点sta设备发送的第二sta设备的第二媒体访问控制mac地址;
所述ap设备在所述ap设备覆盖范围内广播所述第二mac地址,其中,在所述第二sta设备检测到所述第二mac地址的情况下,允许所述第二sta设备接入所述ap设备。
可选地,存储介质还设置为存储用于执行以下步骤的程序代码:
第二站点sta设备在检测到接入点ap设备广播所述第二sta设备的第二mac地址的情况下,连接至所述ap设备,其中,所述ap设备通过第一sta设备获取所述第二mac地址,其中,所述第一sta设备已经连接至所述ap设备。
可选地,存储介质还设置为存储用于执行以下步骤的程序代码:
第一站点sta设备接入接入点ap设备;
所述第一sta设备将第二sta设备的第二mac地址发送到所述ap设备,其中,所述第二sta设备与所述第一sta设备均位于所述ap设备的覆盖范围内。
通过本发明,接入点ap设备接收接入到该ap设备的第一站点sta设备发送的第二sta设备的第二媒体访问控制mac地址;该ap设备在该ap设备覆盖范围内广播该第二mac地址,其中,在该第二sta设备检测到该第二mac地址的情况下,允许该第二sta设备接入该ap设备。采用上述技术方案,解决了相关技术中终端接入网路热点流程繁琐的问题,使得第二sta设备快速连接到ap,在保证传输安全的情况下,大幅提升了终端设备接入ap的速率。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种接入点的接入方法的移动终端的硬件结构框图;
图2是根据本发明实施例的一种接入点的接入方法的流程图;
图3是根据本发明优选实施例提供的beacon帧结构示意图;
图4是根据本发明优选实施例的终端接入ap的系统结构框图;
图5是根据本发明实施例的一种接入点的接入装置的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
本申请文件中涉及的ap和sta是指:
ap模式:接入点accesspoint,提供无线接入服务,允许其它无线设备接入,提供数据访问,一般的无线路由/网桥工作在该模式下。ap和ap之间允许相互连接。
sta模式:station,类似于无线终端,sta本身并不接受无线的接入,它可以连接到ap,一般无线网卡即工作在该模式。
即,本申请文件中的sta设备及ap设备,可以是移动终端,当然不局限于移动终端。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图1是本发明实施例的一种接入点的接入方法的移动终端的硬件结构框图。如图1所示,移动终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,移动终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的接入点的接入方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(networkinterfacecontroller,nic),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(radiofrequency,rf)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种运行于上述移动终端的一种接入点的接入方法,图2是根据本发明实施例的一种接入点的接入方法的流程图,如图2所示,该流程包括如下步骤:
步骤s202,接入点ap设备接收接入到该ap设备的第一站点sta设备发送的第二sta设备的第二媒体访问控制mac地址;
步骤s204,该ap设备在该ap设备覆盖范围内广播该第二mac地址,其中,在该第二sta设备检测到该第二mac地址的情况下,允许该第二sta设备接入该ap设备。需要说明的是,ap设备会广播第二mac地址,第二sta设备在只有在检测到与本地存储的mac地址一样的情况下,才获知ap设备允许第二sta设备接入。
通过上述步骤,接入点ap设备接收接入到该ap设备的第一站点sta设备发送的第二sta设备的第二媒体访问控制mac地址;该ap设备在该ap设备覆盖范围内广播该第二mac地址,其中,在该第二sta设备检测到该第二mac地址的情况下,允许该第二sta设备接入该ap设备。采用上述技术方案,解决了相关技术中终端接入网路热点流程繁琐的问题,使得第二sta设备快速连接到ap,在保证传输安全的情况下,大幅提升了终端设备接入ap的速率。
可选地,该ap设备在该ap设备覆盖范围内广播beacon帧,其中,该beacon帧中携带有该第二mac地址。当然,也可以通过别的方式来发出第二mac地址。
可选地,在该beacon帧中macheader后的framebody字段中携带该第二mac地址。在后续的优选实施例会有详细记载。
可选地,在该第二sta设备已经接入该ap设备的情况下,该ap设备依据该第一sta设备的第一对称密钥标识pmkid获取该第二sta设备的第二pmkid;并将该第二pmkid发送至该第二sta设备。需要说明的是,本申请文件中,sta设备与ap设备是直接发送的pmkid,依据不同的pmkid,对应采用不同的pmk。
可选地,该ap设备根据该第二pmkid与该第二mac地址按照预设规则,计算得到第三pmkid,将该第三pmkid发送到该第二sta设备,其中,该第二sta设备通过解析该第三pmkid,得出第二mac地址,并在该第二mac地址与该第二sta设备本地存储的mac地址相同的情况下,采用该第二pmkid与该ap设备连接。需要说明的是,ap设备将第三pmkid发送到第二sta设备,是提供了一次安全验证的机会,虽然第三pmkid是依据第二mac地址和第二pmkid得出的,但是在传输第三pmkid的情况下,有可能存在误码之类的问题,因此,第二sta设备在解析了上述第三pmkid之后,需要查看解析出的mac地址是否与本地存储的mac地址一样,只有在一样的情况下,与上述ap设备依据第二pmkid进行数据传输。
可选地,该ap设备根据该第二pmkid与该第二mac地址执行异或运算,得到该第三pmkid。
可选地,在解析得到的该第二mac地址与该第二sta设备本地存储的mac地址不相同的情况下,该第二sta设备拒绝接入该ap设备。
可选地,在该第二sta设备未检测到该第二mac地址的情况下,拒绝该第二sta设备接入该ap设备。
可选地,该ap设备定期检测连接至该ap设备的sta设备的mac地址及pmk的有效期。需要说明的是,ap设备也可以定期检测mac地址的有效期。在第一sta设备断开与ap设备的连接之后,ap设备会存储一段时间的第一sta设备的pmk和mac地址,但是不可能永久存储,为避免浪费ap设备的pmk资源,ap设备会在检测到mac和/或pmk超过有效期之后,删除过期的mac和pmk,在下次又有相同的设备连接到ap设备之后,再建立新的pmk。
根据本发明的另一个实施例,还提供了一种接入点的接入方法,该方法包括以下步骤:
第二站点sta设备在检测到接入点ap设备广播该第二sta设备的第二mac地址的情况下,连接至该ap设备,其中,该ap设备通过第一sta设备获取该第二mac地址,其中,该第一sta设备已经连接至该ap设备。
可选地,该第二sta设备检测到该ap设备在该ap设备覆盖范围内广播的beacon帧中携带有该第二mac地址。
可选地,该第二sta设备通过检测该beacon帧中的framebody的预设标识位来确定该beacon帧中是否携带有该第二mac地址。
可选地,第二站点sta设备在检测到接入点ap设备广播该第二sta设备的第二mac地址之后,接收输入信号;该第二sta设备依据该输入信号确定是否接入该ap设备。需要说明的是,该实施例中记载的技术方案是说,第二sta设备在检测到自身可以连接到ap设备的情况下,还可以接受用户的输入信号,来确定是否连接至ap设备。
可选地,该第二sta设备连接至该ap设备之后,该第二sta设备接收该ap设备发送的第三pmkid,其中,该第三pmkid是该ap设备通过以下方式得到的:该ap设备将该第二sta设备的第二pmkid与第二mac地址按照预设规则加密,计算得到第三pmkid;
该第二sta设备通过解析该第三pmkid,得出第二mac地址,其中,在该第二mac地址与该第二sta设备本地存储的mac地址相同的情况下,该第二sta设备采用该第二pmkid与该ap设备连接。
可选地,该第二sta设备通过解析该第三pmkid,得出第二mac地址,该方法还包括:
在解析得到的该第二mac地址与该第二sta设备本地存储的mac地址不相同的情况下,终止该第二sta设备接入该ap设备的流程。
根据本发明的另一个实施例,还提供了一种接入点的接入方法,该方法包括以下步骤:
第一站点sta设备接入接入点ap设备;
该第一sta设备将第二sta设备的第二mac地址发送到该ap设备,其中,该第二sta设备与该第一sta设备均位于该ap设备的覆盖范围内。
可选地,该第一sta设备与该ap设备协商产生pmk,该第一sta设备依据该pmk发起四次握手过程,并在该四次握手过程中的第一次握手过程将该第二mac地址发送到该ap设备。
可选地,在该第一次握手的eapol报文中携带有该第二mac地址及该第一sta设备的pmkid的有效期。
可选地,该第一sta设备将第二sta设备的第二mac地址发送到该ap设备之后,该ap设备在该ap设备覆盖范围内广播该第二mac地址;该第二sta设备检测到该第二mac地址的情况下,该第二sta设备接入该热点ap设备。
可选地,该ap设备在该ap设备覆盖范围内广播beacon帧,其中,该beacon帧中携带有该第二mac地址
可选地,该第一sta设备将第二sta设备的第二mac地址发送到该ap设备之前,该第一sta设备通过无线保真直连wifi-direct方式与该第二sta设备连接,并获取该第二sta设备的第二mac地址。
下面结合本发明的优选实施例进行详细说明。
需要说明的是,在本优选实施例中staa设备,或者stab设备即为上述实施例中的第一sta设备,或者也可以是第二sta设备,即在本申请文件中涉及的sta设备可以具有相同的功能,区分第一,第二或者用a、b、c、d区分仅是做个标识,并不是它们实体上有什么区别。
本发明优选实施例的主体内容是:a、b、c、d是关联设备(且上述设备在同一ap覆盖的范围内)(此处需要补充的是,关联设备的前提设置是为了说明abcd的设备之间在没接入同一个ap之前,也是存在连接的,它们位于同一个ap覆盖范围下,彼此就可以通过wifi-direct等方式进行信息交互),staa获取到stab、c、d的mac地址,在staa接入到ap后,stab、c、d在未知staa接入的ap的ssid的情况下接入到该ap;在stab接入该ap的过程中,利用staa和ap连接过程中产生的成对主密钥来来完成wi-fi接入。为了密钥的安全性,不能直接使用设备a的密钥,需要将设备a的密钥、设备b的唯一标识进行关联计算得出设备b的密钥;设备在接收到之后也需要核对接收方是b而不是c。
具体地,实现上述主体内容,需要实现以下七大步骤:
步骤一,主设备a和ap先连接成功,在密钥协商的eapol握手过程中将连接时产生的pmkid和其他设备的mac地址发送给ap(其他设备在ap覆盖的范围内)。
步骤一中的第一技术点,主设备获取其他设备的mac地址。
相关联的设备staa、b、c、d中,主设备a可以通过和其他设备b、c、d通过wi-fidirecrt连接来获取其他设备的mac地址。
wi-fidirect在连接是主设备可以为go(groupowner),其他设备设备可以是gc(groupclient),在wi-fidirect的协议规范中在wi-fidirect连接的过程中go可以获取gc的mac地址。
步骤一中的第二技术点,将产生的pmkid和其他设备的mac地址发送给ap。
sta和ap认证成功后产生pmk,驱动根据获得的pmk发起四次握手过程(针对于wpa/wpa2psk的情况下,pmk即为psk)。在四次握手的第一次握手中,ap将在认证成功后产生的pmkid发送给sta,同时我们要在四次握手的过程中将stab、c、d的mac地址发送给ap,具体eapol报文中各字段含义如下表,表1是根据本发明优选实施例的eapol报文的字段含义表,如表1所示,显示了各字段的名称,分别占用的字节,以及相关的描述。
表1
本发明优选实施例中第一次握手的eapol中的packettype帧类型值为00;packetbody中携带ap发送给sta的pmkid,同时携带该pmkid的有效期、其他设备的mac地址。
步骤二,ap发出beacon广播帧,携带apssid、其他设备的mac地址;设备b收到beacon帧之后检查该帧是否携带自己的mac地址,如果携带stab就自动发起和ap的连接,一旦收到这样的beacon帧,stab就停止进行proberequest,直接进入authenticationrequest。
步骤二中涉及的第三技术点,ap发出beacon广播帧,携带apssid、其他设备的mac地址。
这里的beacon帧的功能是“表明ap是谁?(用ap的ssid表示)ap要找谁?(beacon帧中携带的mac地址来表示)”所以我们需要在传统的beacon帧中字段中添加stab、c、d中mac地址。图3是根据本发明优选实施例提供的beacon帧结构示意图,如图3所示,在macheader后面的framebody中携带stab、c、d的mac地址,由于framebody的大小是可变的,所以可以保证有足够的空间来携带mac地址,mac地址的位数为48位二进制数。首先用一个标识位来标识后面的数据类型是设备gc的mac地址,stab、c、d的mac地址按照顺序排列,首先是48位b的mac地址,然后依次是c、d、e。
步骤二中涉及的第四技术点,stab到beacon帧后自动连接该ap
stab接收到beacon帧后提取beacon帧中的framebody的标识位,如果有mac地址标识,那么就依次按照48位提取二进制数,如果和自己的mac地址相同,就表示b可以不需要用户手动操作就可以自动接入该ap。这时会让用户b进行选择,是否同意接入发送该beacon帧的ap,如果同意sta就完成扫描阶段,进入sta接入热点的第二阶段,认证(authentication)阶段,如果不同意,b就放弃接入该ap,继续等待下一个beacon帧的到来。整个过程中sta不需要发proberequest和proberesponse帧。
步骤二中涉及的第五技术点,根据gostaa的pmkid计算gcstab的pmkid
在802.11i协议中有pmkid的计算公式如下:
pmkid=hmac-sha1-128(pmk,"pmkname"|mac_ap|mac_sta)
其中,hmac-sha1-128是一个哈希函数,该函数的热点是单向函数,只有知道输入才能得到输出,反之如果知道输出和其中的某几个已知输入,无法获取到未知的输入。
在上述公式中,pmk是在认证成功后,产生pmk;pmkname是pmk的名称,也是已知的;mac_ap是ap的mac地址;mac_sta是sta的mac地址。
经过上述分析,要计算stab的pmkid,mac_ap、mac_sta是已知的,pmk,"pmkname"是采用staa和ap连接时产生的pmk和"pmkname",hmac-sha1-128也是已知的,所以可以计算出stab的pmkid。
为了加强密钥的安全性,ap并没有将按照上述方法计算出的pmkidb直接发送给b,发送的内容经过如下计算:
接收方stab会根据接收到pmkidb'和pmkidb值计算出一个mac地址,这时需要检查计算出的macb和sta本地存储的mac地址是否一致,如果一致就可以进行密钥协商的过程,如果不一致就中断密钥协商过程。将pmkidb和macb进行异或运算的目的就是为了保证接收方是stab,而不是stae,如果不进行这种异或运算,任何接收方在接收到pmkidb都可以发起密钥协商的过程。
步骤二涉及的第六技术点,在完成上述第五技术点中的验证步骤之后,ap将计算出的stab的pmkid发送给stab,具体是可以在ap发给stab所在终端的associationresponse消息中携带。
步骤三,stab和ap采用根据pmkida计算出的pmkidb连接,不需要stab和ap经过eapol协商产生pmkid的过程。
需要说明的是,上述的三大步骤中涉及的六个技术点,是说在本发明的优选实施例中可以执行上述技术点中涉及的技术方案,可以按照上述技术点中的顺序依据执行技术方案。
为了实现上述优选实施例中六个技术点,还可以包括以下技术方案:
图4是根据本发明优选实施例的终端接入ap的系统结构框图,如图4所示,该系统结构图中包括staa,ap,stab,每一部分又相应的包括下述提到的多个功能组成模块,多个功能组成模块如下:
第一技术点中的涉及的终端可以有功能组成模块。需要说明的是,该优选实施例中的终端就是上述实施例中的sta设备所在的终端:
终端上有mac地址获取模块:用于在go和gc在wi-fidirect连接过程中获取gc设备的mac地址;
终端上有mac地址存储模块:存储获取到的mac地址。
第二技术点、第五技术点、第六技术点中涉及的终端和ap可以有以下功能组成模块:
终端上有mac地址发送模块:将手机到的mac地址的添加到eapsuccess之后的第一次握手eapol帧中,packettype帧类型值为00;packetbody中携带ap发送给sta的pmkid,同时携带该pmkid的有效期、其他设备的mac地址(mac地址的起始位置有标识)。
终端上有pmk发送模块:将鉴权成功后的pmk在eapol第一次握手中发送。
ap上有mac地址管理模块,mac地址管理模块又可以包括以下模块:
1.mac地址提取存储模块:接收到eapol帧之后,检查packettype帧类型值是否为00,如果是那么提取packetbody中的内容,检查是否有mac地址的起始位置有标识,如果有就提取出来保存到ap上;
2.mac地址清空模块:根据接收模块获取到的mac地址的有效期来清空mac地址;
3.mac地址发送模块:将mac地址添加到beacon帧中广播。
ap上有pmk管理模块,pmk管理模块可以包括以下6个子模块:
1.pmk提取存储模块:接收到eapol帧之后,检查packettype帧类型值是否为00,如果是那么提取packetbody中pmk的内容,
2.pmk清空模块:根据接收模块获取到的pmk的有效期来清空pmk;
3.pmk发送模块:将计算出的pmkidb通过associationresponse消息发送到stab。
4.计算模块可以执行以下两个步骤:
第一步:根据pmka、macap、macb的根据pmkid计算公式算出pmkidb的值;
第二步:根据pmkidb和macb地址进行异或运算得出ap发送给b的pmkidb'内容。需要说明的是,该处的“ap发送给b的pmkidb'内容”即为上述实施例中的第三pmkid。
5.pmk发送模块还用于将上述计算模块中计算出的第一步和第二步计算出的内容通过associationresponse消息中携带发送给stab。
6.有效期检查模块:定期检查mac地址有效期,和pmk的有效期,在它们超出预定期限之后,删除二者的相关信息。
第三技术点中涉及的ap可以有以下功能组成模块:
ap有beacon发送单元,包含在mac地址发送模块,在macheader后面的framebody中携带stab、c、d的mac地址,由于framebody的大小是可变的,所以可以保证有足够的空间来携带mac地址,mac地址的位数为48位二进制数。首先用一个标识位来标识后面的数据类型是设备gc的mac地址,stab、c、d的mac地址按照顺序排列,首先是48位b的mac地址,然后依次是c、d、e。
第三技术点中涉及的终端可以包括以下七个功能组成模块(前四个模块在附图4中有显示,后边3个模块为未显示在图4中):
1.终端有beacon接收存储模块:接收到上述ap发的beacon帧;
2.终端有mac地址提取模块:sta接收到beacon帧后提取beacon帧中的framebody的标识位,如果有mac地址标识,那么就依次按照48位提取二进制数,如果和自己的mac地址相同,就表示b可以不需要用户手动操作就可以自动接入该ap;
3.终端有pmk接收模块:接收ap发送的associationresponse消息,并提取ap的计算模块计算出的第一步和第二步的内容;
4.计算模块:根据接收到的pmkidb计算出mac地址;
除了图4中显示的stab具有的四个模块,stab还具有可以设置有以下三个模块:
5.终端有自动接入ap确认模块:终端beacon检测模块检测到有和自己本地存储的mac地址相同mac地址的情况下,就触发检测去让用户确认是否自动接入ap,如果是就调用自动接入模块,如果否就调用中断接入模块。
6.终端自动接入模块:将上述终端技术模块中依据的接收到的ap计算模块计算出的第一步和第二步的内容进行计算得出mac地址,判断该mac地址是否和终端的一致,如果一致就进入eapol四次握手过程,完成stab到ap的接入;如果不一致就调用中断接入模块。
7.终端中断接入模块:stab拒绝接入该ap。
需要补充的是,该优选实施例中介绍的终端接入ap的方法可以使用在wi-fiwpa-psk、wpa2-psk鉴权方式中,也可以使用在wi-fi802.1x鉴权方式中使用。区别是在wpa-psk、wpa2-psk鉴权方式中,pmk是通过ssid和密码获取的:
pmk=psk=pdkdf2_sha1(passphrase,ssid,ssidlenth,4096);
在wi-fi802.1x鉴权方式中,pmk是在eapsuccess过程中产生的,采用该优选实施例的方案,stab在接入ap时不需要进过eap过程直接进入四次握手。
本发明的优选实施例中还提供了一种终端连接到ap的方法,该方法包括以下步骤:
步骤1,主设备staa获取从设备stab、c、d、e的mac地址,获取的方式可以是通过wi-fidirect连接的过程中通过mac地址提取模块来获取;
步骤2,主设备staa和ap连接,在鉴权成功后的第一次eapol握手中将鉴权产生的pmk发送给ap,同时将步骤1中的mac地址也发送给ap;
步骤3,ap接收到pmk之后保存到pmk存储模块中,提取eapol报文中携带的mac地址信息保存到mac地址存储模块中;并保存有效期;
步骤4,ap通过有效期检查模块检查mac地址是否过期,如果没有过期就在发送的beacon帧中携带有stab、c、d等从设备的mac地址进行广播;如果mac地址过期,那么该ap发起相关技术中的beacon帧;
步骤5,stab接收到来自ap的beacon帧,将该帧存储后解析出该帧是否携带有stab本地存储的mac地址;如果有,stab就对beacon帧进行响应,ap和stab就进入wi-fi连接auth阶段,整个过程中stab不需要发送proberequest帧发送主动扫描,继续执行步骤6,;如果没有就对该beacon不做任何响应,继续接收其他ap的beacon帧;
步骤6,在stab上给用户提示“是否同意接入go设备接入的ap”,如果用户同意就执行步骤7;如果用户不同意,终止stab接入ap的流程;
步骤7,ap收到stab对beacon帧的响应之后,调用计数器模块检查pmk存储模块中的staapmk是否过期,如果过期就删除该pmk信息,就中断stab接入该ap的过程;如果没有过期去就从pmk存储模块获取staa的pmk,用pmkid的计算公式计算出pmkidb;再根据公式计算出
步骤8,stab接收到
步骤9,ap和stab开始eapol四次握手,完成wi-fi接入。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明的另一个实施例,还提供了一种接入点的接入系统,包括:
该第一sta设备,用于将该第二sta设备的第二mac地址发送到该ap设备;
该ap设备,用于在该ap设备覆盖范围内广播该第二mac地址;
该第二sta设备,用于在该第二sta设备检测到该第二mac地址的情况下,接入该ap设备。
可选地,该ap设备,还用于在该ap设备覆盖范围内广播beacon帧,其中,该beacon帧中携带有该第二mac地址。
可选地,该ap设备,用于在该第二sta设备已经接入该ap设备的情况下,依据该第一sta设备的第一pmkid计算得出该第二sta设备的第二pmkid。
可选地,该ap设备,用于根据该第二pmkid与第二mac地址按照预设规则,计算得到第三pmkid,将该第三pmkid发送到该第二sta设备,其中,该第二sta设备通过解析该第三pmkid,得出第二mac地址,其中,在该第二mac地址与该第二sta设备本地存储的mac地址相同的情况下,该第二sta设备采用该第二pmkid与该ap设备连接。
可选地,该ap设备,用于定期检测连接至该ap设备的sta设备的mac地址及pmk的有效期。
实施例3
在本实施例中还提供了一种接入点的接入装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本发明实施例的一种接入点的接入装置的结构框图,该装置应用于接入点ap设备,如图5所示,该装置包括:
接收模块52(相当于上述实施例中的ap中的mac地址提取存储模块),用于接收接入到该ap设备的第一站点sta设备发送的第二sta设备的第二媒体访问控制mac地址;
广播模块54(相当于上述实施例中的ap中的mac地址发送模块),与该接收模块52连接,用于在该ap设备覆盖范围内广播该第二mac地址,其中,在该第二sta设备检测到该第二mac地址的情况下,允许该第二sta设备接入该ap设备。
可选地,该广播模块54还用于在该ap设备覆盖范围内广播beacon帧,其中,该beacon帧中携带有该第二mac地址。
可选地,该广播模块54还用于在该第二sta设备已经接入该ap设备的情况下,依据该第一sta设备的第一对称密钥标识pmkid获取该第二sta设备的第二pmkid;并将该第二pmkid发送至该第二sta设备。
根据本发明的另一个实施例,还提供了一种接入点的接入装置,应用于第二sta设备,包括:
第二连接模块(相当于上述实施例中的beacon接收存储模块及mac地址提取模块的部分功能),用于第二站点sta设备在检测到接入点ap设备广播该第二sta设备的第二mac地址的情况下,连接至该ap设备,其中,该ap设备通过第一sta设备获取该第二mac地址,其中,该第一sta设备已经连接至该ap设备。
可选地,该第二连接模块还用于检测该ap设备在该ap设备覆盖范围内广播的beacon帧中是否携带有该第二mac地址。
可选地,该第二连接模块还用于在检测到接入点ap设备广播该第二sta设备的第二mac地址之后,接收输入信号,并依据该输入信号确定是否接入该ap设备。
根据本发明的另一个实施例,还提供了一种接入点的接入装置,应用于第一sta设备,包括:
第一连接模块,用于接入接入点ap设备;
发送模块(相当于上述实施例中的mac地址发送模块),用于将第二sta设备的第二mac地址发送到该ap设备,其中,该第二sta设备与该第一sta设备均位于该ap设备的覆盖范围内。
可选地,该发送模块还用于依据该第一sta设备与该ap设备协商产生的pmk发起四次握手过程,并在该四次握手过程中的第一次握手过程将该第二mac地址发送到该ap设备。
可选地,该发送模块还用于在将第二sta设备的第二mac地址发送到该ap设备之前,通过无线保真直连wifi-direct方式与该第二sta设备连接,并获取该第二sta设备的第二mac地址。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例4
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
s1,接入点ap设备接收接入到该ap设备的第一站点sta设备发送的第二sta设备的第二媒体访问控制mac地址;
s2,该ap设备在该ap设备覆盖范围内广播该第二mac地址,其中,在该第二sta设备检测到该第二mac地址的情况下,允许该第二sta设备接入该ap设备。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:
s3,第二站点sta设备在检测到接入点ap设备广播该第二sta设备的第二mac地址的情况下,连接至该ap设备,其中,该ap设备通过第一sta设备获取该第二mac地址,其中,该第一sta设备已经连接至该ap设备。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:
s4,第一站点sta设备接入接入点ap设备;
s5,该第一sta设备将第二sta设备的第二mac地址发送到该ap设备,其中,该第二sta设备与该第一sta设备均位于该ap设备的覆盖范围内。
可选地,在本实施例中,上述存储介质可以包括但不限于:u盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行上述实施例中的方法步骤。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。