一种无线局域网漫游方法和装置与流程

本发明涉及通信领域，尤其涉及一种无线局域网漫游方法和装置。

背景技术：

近几年来，无线局域网(wirelesslocalareanetwork，wlan)技术经过快速的发展，其无线网络部署的规模越来越大，相应地无线局域网安全技术也在不断发展，使得无线终端的接入过程变得越来越复杂。采用高级安全策略的无线网络在漫游时有较大的时延，这会严重影响实时性要求较高的业务。因此，使用无线终端的用户希望在不牺牲安全性的前提下快速灵活地漫游于无线局域网中。

在无线局域网漫游方法中，电气和电子工程师学会(instituteofelectricalandelectronicsengineers，ieee)802.11r提出的快速基本服务集(basicserviceset，bss)切换协议，对密钥结构和认证过程做了较大改动，提升了切换的安全性和切换速度。ieee802.11r协议设计了三层密钥结构，使站点(station，sta)能够在同一移动领域(mobilitydomain，md)中的无线接入点(ap，accesspoint)间进行快速切换，三层密钥分别为成对主密钥r0(pairwisemasterkeyr0，pmk_r0)、成对主密钥r1(pairwisemasterkeyr1，pmk_r1)和成对临时密钥(pairwisetransientkey，ptk)。具体地，pmk_r0为第一层密钥，pmk_r1为第二层密钥，ptk为第三层密钥。快速bss切换的主要方法为：如图1所示，假设与sta相连的无线ap是与sta在md1中第一次关联的无线ap，sta第一次与md1内的无线ap关联时，第一次关联的无线ap利用认证获得的pmk_r0计算出不同的pmk_r1，并分发给md1内其他的无线ap，其他无线ap可以是如图1中的无线ap1、无线ap2和无线ap3；当发生切换时，无线ap和sta直接利用pmk_r1协商出ptk和组临时密钥(grouptransientkey，gtk)，缩短了切换时间。其中，密钥的分发是由sta第一次关联的无线ap上的密钥管理实体r0密钥持有者(keyholder,kh)发起的，它会轮询md内每个无线ap上的密钥管理实体，然后计算出pmk_r1存储在r1kh中。由于各个r1kh的身份标识(identity，id)在md中是唯一的，因此对应于sta的所有的pmk_r1都是不同的，但都是由同一个pmk_r0推演而来。

可知，ieee802.11r是同一md内的无线ap之间的快速切换，因而密钥的分发也是在同一md内进行的，无法做到跨md进行密钥分发，进而使得sta无法跨md进行快速漫游；而且sta第一次关联的无线ap上的r0kh进行密钥的分发时，需要轮询md内每个无线ap上的r1kh，计算出pmk_r1后，分发给md内所有其他的无线ap,由于sta可能不会移动到md内某些无线ap覆盖范围内，所以sta第一次关联的无线ap可能会产生一些无效的pmk_r1，使得sta第一次关联的无线ap产生不必要的计算工作量。

技术实现要素：

本发明实施例提供一种无线局域网漫游方法和装置，能够解决sta无法跨md进行快速漫游以及sta在md内第一次接入的无线ap产生不必要的计算工作量的问题。

一方面，本发明实施例提供一种无线局域网漫游方法，包括：终端获取无线接入点ap的相关信息；终端根据无线ap的相关信息和第一层密钥获取第二层密钥，并向无线ap发送第二层密钥和终端的变量，使无线ap根据第二层密钥、终端的变量和无线ap的变量获取第三层密钥；终端接收无线ap的变量，并根据无线ap的变量、第二层密钥和终端的变量获取第三层密钥，以便终端根据第三层密钥接入无线ap。这样一来，可以由终端获取所需的无线ap对应的第二层密钥，相比现有技术中由第一次关联的无线ap来获取同一md内其他所有无线ap对应的第二层密钥，本发明可以解决sta在md内第一次接入的无线ap产生不必要的计算工作量的问题，而且由终端计算所需的无线ap的第二层密钥，可以使终端不仅可以在同一md内漫游，也可以在不同md之间进行漫游，从而解决了终端无法跨md进行快速漫游的问题。

在一种可能的设计中，无线ap的相关信息包括无线ap的媒体访问控制(mediaaccesscontrol，mac)地址、接入网关的网际协议ip地址、mac地址和前缀长度。这样一来，终端可以根据无线ap的mac地址、mn的mac地址和第一层密钥来获取第二层密钥。

在一种可能的设计中，终端根据无线ap的相关信息和第一层密钥获取第二层密钥，并向无线ap发送第二层密钥包括：终端根据无线ap的mac地址、第一层密钥以及终端的mac地址计算第二层密钥；终端向接入网关发送请求消息，请求消息包括第二层密钥和终端的变量，使接入网关将请求消息重新封装后发送给无线ap。这样一来，终端可以根据无线ap的mac地址、第一层密钥以及终端的mac地址计算第二层密钥，并通过接入网关将请求消息发送给无线ap。

在一种可能的设计中，终端接收无线ap的变量包括：终端接收接入网关将从无线ap接收到的消息重新封装后的响应消息，响应消息包括无线ap发送的无线ap的变量。这样一来，终端可以根据响应消息包括的无线ap的变量来计算第三层密钥，可以使终端根据第三层密钥接入无线ap。

另一方面，本发明实施例提供一种无线局域网漫游方法，包括：无线接入点ap接收终端发送的第二层密钥和终端的变量，并根据第二层密钥和终端的变量获取第三层密钥，第二层密钥是终端根据无线ap的相关信息和第一层密钥计算得到的；无线ap向终端发送无线ap的变量，使终端根据无线ap的变量、第二层密钥以及终端的变量获取第三层密钥，并根据第三层密钥接入无线ap。这样一来，无线接入点ap接收由终端发送的第二层密钥和终端的变量，也就是说无线ap接收到的第二层密钥和终端的变量是由终端获取并发送，相比现有技术中由终端第一次关联的无线ap来获取同一md内其他所有无线ap对应的第二层密钥，并分发给同一md内的其他无线ap，本发明可以解决sta在md内第一次接入的无线ap产生不必要的计算工作量的问题；而且可以是任一md内的无线ap接收终端发送的第二层密钥和终端的变量，并计算第三层密钥，以便终端可以接入任一md内的无线ap，从而解决了终端无法跨md进行快速漫游的问题。

在一种可能的设计中，无线ap的相关信息包括无线ap的媒体访问控制mac地址、接入网关的网际协议ip地址、mac地址和前缀长度。

在一种可能的设计中，无线接入点ap接收终端发送的第二层密钥和终端的变量包括：无线ap接收终端通过接入网关发送的第一报文，第一报文是接入网关将终端发送的请求消息重新封装后的报文，第一报文和请求消息均包括第二层密钥和终端的变量。

在一种可能的设计中，无线ap向终端发送无线ap的变量包括：无线ap向接入网关发送第二报文，使接入网关解析第二报文以得到无线ap的变量后，向终端发送响应消息，第二报文和响应消息均包括无线ap的变量。

再一方面，本发明实施例提供一种终端，包括：获取单元，用于获取无线接入点ap的相关信息；所述获取单元，还用于根据无线ap的相关信息和第一层密钥获取第二层密钥；发送单元，用于向无线ap发送第二层密钥和终端的变量，使无线ap根据第二层密钥、终端的变量和无线ap的变量获取第三层密钥；接收单元，用于接收无线ap的变量；获取单元，还用于根据无线ap的变量、第二层密钥和终端的变量获取第三层密钥，以便终端根据第三层密钥接入无线ap。

在一种可能的设计中，无线ap的相关信息包括无线ap的媒体访问控制mac地址、接入网关的网际协议ip地址、mac地址和前缀长度。

在一种可能的设计中，获取单元用于：根据无线ap的mac地址、第一层密钥以及终端的mac地址计算第二层密钥；发送单元，用于向接入网关发送请求消息，请求消息包括第二层密钥和终端的变量，使接入网关将请求消息重新封装后发送给无线ap。

在一种可能的设计中，接收单元还用于：接收接入网关将从无线ap接收到的消息重新封装后的响应消息，响应消息包括无线ap发送的无线ap的变量。

再一方面，本发明实施例提供一种无线接入点ap，包括：

接收单元，用于接收终端发送的第二层密钥和终端的变量；获取单元，用于根据第二层密钥和终端的变量获取第三层密钥，第二层密钥是终端根据无线ap的相关信息和第一层密钥计算得到的；发送单元，用于向终端发送无线ap的变量，使终端根据无线ap的变量、第二层密钥以及终端的变量获取第三层密钥，并根据第三层密钥接入无线ap。

在一种可能的设计中，无线ap的相关信息包括无线ap的媒体访问控制mac地址、接入网关的网际协议ip地址、mac地址和前缀长度。

在一种可能的设计中，接收单元还用于：接收终端通过接入网关发送的第一报文，第一报文是接入网关将终端发送的请求消息重新封装后的报文，第一报文和请求消息均包括第二层密钥和终端的变量。

在一种可能的设计中，发送单元还用于：向接入网关发送第二报文，使接入网关解析第二报文以得到无线ap的变量后，向终端发送响应消息，第二报文和响应消息均包括无线ap的变量。

再一方面，本发明实施例还提供一种通信系统，通信系统包括终端和无线ap，终端和无线ap的具体实现方式可以参见上述说明。

再一方面，本发明实施例提供了一种计算机存储介质，用于储存为上述终端所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

再一方面，本发明实施例提供了一种计算机存储介质，用于储存为上述无线ap所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

本发明实施例提供一种无线局域网漫游方法和装置，终端根据获取的无线ap的相关信息和第一层密钥获取第二层密钥，并发送给无线ap，使无线ap根据第二层密钥计算第三层密钥，以便终端根据第三层密钥接入无线ap从而实现快速漫游；本发明由终端来进行第二层密钥的计算和发送，只需要在漫游前针对待切换至的无线ap来计算第二层密钥，而现有技术中，需要由第一次关联的无线ap计算同一md内所有的ap的第二层密钥，因此本发明解决了终端第一次接入的无线ap产生不必要的计算工作量的问题；而且现有技术中第一次关联的无线ap只能计算同一md内的其他无线ap对应的第二层密钥，本发明中由终端计算待漫游的无线ap的第二层密钥，这样可以不限于同一md内的无线ap，就可以使其他md内的无线ap根据第二层密钥计算第三层密钥，以便终端根据第三层密钥接入无线ap从而实现快速漫游，因此本发明解决了终端无法跨md进行快速漫游的问题。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种快速bss切换的应用场景图；

图2为本发明实施例提供的一种终端的内部结构示意图；

图3为本发明实施例提供的一种无线ap的内部结构示意图；

图4为本发明实施例提供的一种快速漫游方法的信号流程图；

图5为本发明实施例提供的一种快速漫游方法的网络架构图；

图6为本发明实施例提供的一种消息头格式；

图7为本发明实施例提供的一种请求消息的消息体格式；

图8为本发明实施例提供的一种应答消息的消息体格式；

图9为本发明实施例提供的一种终端的结构示意图；

图10为本发明实施例提供的一种终端的结构示意图；

图11为本发明实施例提供的一种终端的结构示意图；

图12为本发明实施例提供的一种无线ap的结构示意图；

图13为本发明实施例提供的一种无线ap的结构示意图；

图14为本发明实施例提供的一种无线ap的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例可应用于终端从当前无线ap漫游至新无线ap的过程，也可应用于其他漫游或切换过程中，本申请不做限定。

本发明的系统架构可以包括sta、无线ap以及接入网关，无线ap可以包括切换前的链路中的原接入点(previousaccesspoint,pap)和切换后的链路中的新接入点(newaccesspoint，nap)，接入网关可以是接入路由器，可以包括切换前原链路中的原接入路由器(previousaccessrouter，par)和切换后的链路中的新接入路由器(newaccessrouter，nar)。本发明的漫游方法可以是sta与pap连接时，通过nar和/或par与nap通信，使得sta可以从pap快速切换到nap，从而实现快速漫游。本发明中的sta采用id/位置(locator)分离架构，id代表sta的标识，具有唯一性；locator表示终端当前所在的位置，即网络协议(internetprotocol，ip)地址，可以随着sta接入到不同的网络中发生变化。在本发明实施例中，sta可以是终端，终端可以是移动终端(mobilenode，mn)、手机、智能终端、多媒体设备、流媒体设备、可穿戴设备、智能电表、智能水表等。

图2为本发明实施例中终端的一种内部结构示意图，在本发明中，终端可以包括处理模块201、通讯模块202、存储模块203。其中，处理模块201用于控制终端的各部分硬件装置和应用程序软件等；通讯模块202用于可使用lte、wifi等通讯方式接受其它设备发送的指令，也可以将终端的数据发送给其它设备；存储模块203用于执行终端的软件程序的存储、数据的存储和软件的运行等。

图3为本发明实施例中无线ap的一种内部结构示意图，在本发明中，无线ap可以包括处理模块301、通讯模块302、存储模块303。其中，处理模块301用于控制无线ap的各部分硬件装置和应用程序软件等；通讯模块302用于可使用lte、wifi等通讯方式接受其它设备发送的指令，也可以将无线ap的数据发送给其它设备；存储模块303用于执行无线ap的软件程序的存储、数据的存储和软件的运行等。

下面以终端进行快速漫游的过程为例对本发明实施例进行说明。本发明的基本思想是：终端获取无线ap的相关信息；终端根据无线ap的相关信息和第一层密钥获取第二层密钥，并向无线ap发送第二层密钥和终端的变量，使无线ap根据第二层密钥、终端的变量和无线ap的变量获取第三层密钥；终端接收无线ap的变量，并根据无线ap的变量、第二层密钥和终端的变量获取第三层密钥，以便终端根据第三层密钥接入无线ap。

本发明实施例提供一种无线局域网漫游方法，在本发明实施例中，上述无线ap可以理解为nap，下面以无线ap为nap，终端为mn进行说明，如图4所示，包括：

401、mn获取nap的相关信息。

具体来说，如图5所示，图5为本发明提供的一种无线局域网快速漫游方法的架构图，包括验证、授权和记账(authentication、authorization、accounting,aaa)服务器，鉴别位置映射系统(identifierlocatormappingsystem，ilms)服务器，通信节点(correspondingnode，cn)，par，nar1，nar2，pap，nap1，nap2以及mn；假设aaa服务器的ip地址为15::6；ilms服务器的ip地址为15::7；cn的id为2f00::2，ip地址为15::1；par的ip地址为10::1和15::2；nar1的ip地址为11::1和15::3；nar2的ip地址为12::1和15::4；mn的id为2f00::1；当mn第一次接入pap链路中，需要通过aaa服务器的认证，认证通过后，为mn配置ip地址为10::2，即配置locator为10::2，然后把id与locator的映射关系更新到ilms服务器中，以使得mn通过par与cn进行通信。

如图4所示，假设当mn与cn正在通信时，mn移动到pap与nap的覆盖的叠加区域，mn收到nap的信号，可以是收到nap发送的信标(beacon)信号；或者当mn与cn正在通信时，终端通过预测方法预测到即将进入nap的覆盖范围；此时mn向par发送路由器请求代理通告(routersolicitationforproxyadvertisement，rtsolpr)消息请求nap的相关信息，par收到rtsolpr消息后向mn发送代理路由器通告(proxyrouteradvertisement，prrtadr)消息，该prrtadr消息中携带有nap的相关信息，mn通过prrtadr消息获得nap的相关信息。nap的相关信息可以包括nap的mac地址、nap的接入网关nar的ip地址、mac地址和前缀长度等信息。

举例来说，如图5所示，假设mn与cn通信时移动到了pap与nap1的叠加区域，此时mn向par发送rtsolpr消息请求nap1的相关信息，par收到rtsolpr消息后向mn发送prrtadr消息，该prrtadr消息中携带有nap1的相关信息，mn通过prrtadr消息获得nap1的相关信息，nap1的相关信息可以包括nap1的mac地址、nap1的接入网关nar1的ip地址、mac地址和前缀长度等信息。

402、mn根据nap的相关信息和第一层密钥获取第二层密钥。

终端根据nap的mac地址、第一层密钥以及终端的mac地址计算第二层密钥；其中，pmk_r0为第一层密钥，可以由主会话密钥(mastersenssionkey，msk)或预共享密钥(pre-sharedkey，psk)推演而来，并且由pmk_r0密钥持有者保存，终端的pmk_r0的密钥持有者为s0kh，nap的pmk_r0的密钥持有者为r0kh。pmk_r1为第二层密钥，由s0kh和r0kh共同推演而来的，并且由pmk_r1的密钥持有者保存，终端的pmk_r1的密钥持有者为s1kh，nap的pmk_r1的密钥持有者为r1kh。

而后，mn向接入网关发送请求消息，请求消息包括pmk_r1和mn的变量，使接入网关将请求消息重新封装后发送给nap，可以是重新封装为第一远程中继代理(remoterequestbroker，rrb)报文，接入网关可以包括par和/或nar，若包括par和nar，可以如步骤403～405所示：

403、mn向par发送请求消息，请求消息包括第二层密钥和mn的变量。

mn通过网络层向par发送请求消息，请求消息包括pmk_r1，mn的变量及其他的相关信息。

其中，请求消息可以包括消息头和消息体，消息头的格式可以为移动头消息(mobilityheadermessage)，如图6所示，该消息头中的下一拓展头(nextheader)字段可以表示下一个拓展头的协议号，若无扩展头，则设置为ipproto_none(59)；头长(headerlength)字段可以以8字节为单位，不包括前8个字节；消息处理类型(mh(messagehandling)type)字段用来定义具体的消息类型，请求消息的mhtype字段的值可以为5；保留(reserved)字段为8比特位字段，初始值为0；校验和(checksum)字段为16比特位无符号整数；报文数据(messagedata)字段为可变的数据域。

该请求消息的消息体的格式可以如图7所示，其中‘a’标记(flag)字段若为1则表示需要接入路由器回复应答消息；reserved为保留字段，初始值为0；类型(type)字段若为0则表示是由终端发送的数据包，若为1则表示是接入路由器发送的数据包；主机身份标识(hostidentifer)字段表示终端的主机标识；locator互联网协议版本6(internetprotocolversion6，ipv6)地址(address)字段表示ipv6地址；macaddress字段表示目标ap的mac地址，即nap的mac地址。

404、par验证mn的合法性，在mn合法时将修改后的请求消息发送给nar。

par收到请求消息后验证mn的合法性，若验证mn合法，则修改请求消息的目的ip地址为nar的ip地址，修改源ip地址为par的ip地址，然后将修改后的请求消息通过网络层发送给nar。举例来说，如图5所示，假设mn准备切换至nap1，则par收到请求消息后验证mn的合法性，若验证mn合法，则可以修改请求消息的目的ip地址为nar1的ip地址，即将请求消息的目的ip地址由10::1修改为15::3；并修改源ip地址为par的ip地址，即将请求消息的源ip地址由10::2修改为15::2；然后将修改后的请求消息通过网络层发送给nar1。假设mn准备切换至nap2，则可以修改请求消息的目的ip地址为nar1的ip地址，即将请求消息的目的ip地址由10::1修改为15::4；并修改源ip地址为par的ip地址，即将请求消息的源ip地址由10::2修改为15::2。

405、nar验证par的合法性，在par合法时将修改后的请求消息重新封装后发送给nap。

nar收到请求消息后，通过源ip地址来验证par的合法性，若验证par合法，则可以把请求消息封装为rrb帧格式，即将请求消息封装为rrb报文，而后通过链路层发送给nap。

一种可替换的方式为，mn通过网络层直接向nar发送请求消息，nar收到请求消息后，验证mn的合法性，若验证mn合法，则可以将请求消息封装为rrb帧格式后，即可以将请求消息封装为rrb报文后，通过链路层发送给nap。

406、nap根据重新封装后的请求消息以及nap的变量计算第三层密钥。

重新封装后的请求消息可以为rrb报文，nap收到rrb报文后，根据pmk_r1、mn的变量、nap的变量等元素计算ptk。其中ptk由s1kh和r1ky共同推演而来，r0kh和r1kh为认证者端的结构，与之对应的s0kh和s1kh为客户端的结构。

407、nap向nar发送第二报文，第二报文包括nap的变量。

第二报文可以是第二rrb报文，可以是nap通过链路层将第二rrb报文发送给nar。

408、nar解析第二报文得到响应消息，响应消息包括nap的变量，并将响应消息发送给par。

nar接收到第二rrb报文后，把第二rrb报文中包括的nap的变量封装到响应消息中，再将响应消息的源ip地址改为nar的ip地址，目的ip地址改为par的ip地址，并将响应消息发送给par。

409、par验证nap的合法性，并在nar合法时向mn发送响应消息。

par收到响应消息后，通过源ip地址来验证nar的合法性，若验证nar合法，则修改响应消息的目的ip地址为mn的ip地址，源ip地址为par的ip地址，再将修改后的响应消息发送给mn。

其中，响应消息可以包括消息头和消息体，消息头的格式可以参考步骤403，其中，请求消息的mhtype字段的值为6。

该响应消息的消息体的格式可以如图8所示，其中，状态(status)字段是16比特位的无符号整数，当status字段为0时，表示消息无误；当status字段为1时，表示接入网关不存在；当status字段为2时，表示身份标识不存在；当status字段为3时，表示mac地址不存在；type字段若为0则表示原接入路由器发送的包；若为1则表示新接入路由器发送的包；hostidentifer字段为终端的主机标识；locatoripv6address字段表示ipv6地址；macaddress字段表示目标ap的mac地址。

一种可替换的方式为，nap向nar发送包括nap的变量的报文，可以是nap向nar发送包括nap的变量的rrb报文，nar接收到rrb报文后，把nap的变量封装到响应消息中直接发送给mn。

410、mn根据无线ap的变量、第二层密钥和mn的变量获取第三层密钥。

mn收到响应消息后，根据pmk_r1、mn的变量及nap的变量等元素计算ptk，以便mn根据ptk进行快速切换至nap。

另外，假设mn在pap的信号到达一定阈值后，即mn接收到pap的信号弱到一定的阈值后，只需要两个报文交互，mn即可接入到nap，具体可以是mn向nap发送关联请求，nap接收到关联请求后向mn发送关联响应，即可切换至nap，从而实现快速漫游。

举例来说，如图5所示，假设mn准备切换到nap1，那么mn向nap1发送第二层密钥，当mn接收到pap的信号弱到一定的阈值时，mn配置新的locator地址为11::2，并切换至nap1，由于ptk已经提前计算，只需要两个报文交互，mn即可接入到nap1，然后mn向ilms和cn更新id与locator的对应关系，更新完成后，mn与cn通过nar1进行通信。若mn准备切换到nap2，可以按照上述步骤进行即可。

本发明实施例提供一种无线局域网漫游方法和装置，mn根据获取的nap的相关信息和第一层密钥获取第二层密钥，并发送给nap，以便nap根据第二层密钥计算第三层密钥，使得终端可以根据第三层密钥接入无线ap从而实现快速漫游；而现有技术是由第一次关联的无线ap计算处于同一md内的其他无线ap对应的第二层密钥，并将第二层密钥分别分发给同一md内的其他无线ap，以便于mn可以从pap漫游到同一md内的任一无线ap；本发明由mn来进行第二层密钥的计算和发送，只需要针对待漫游至的无线ap来计算第二层密钥，而现有技术中，第一次关联的无线ap需要计算同一md内所有的ap的第二层密钥，因此本发明解决了mn第一次接入的无线ap产生不必要的计算工作量的问题；而且现有技术中第一次关联的无线ap只能计算同一md内的其他无线ap对应的第二层密钥，本发明中由mn计算待漫游的无线ap的第二层密钥，这样可以不限于同一md内的无线ap，就可以使其他md内的无线ap根据第二层密钥计算第三层密钥，以便mn根据第三层密钥接入其他md内的无线ap从而实现快速漫游，因此本发明解决了mn无法跨md进行快速漫游的问题。

上述主要从终端和无线ap的角度对本发明实施例提供的方案进行了介绍。可以理解的是，终端和无线ap为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的算法步骤，本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

本发明实施例可以根据上述方法示例对终端和无线ap进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本发明实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图9示出了上述实施例中所涉及的终端9的一种可能的结构示意图，包括：获取单元901、发送单元902和接收单元903。获取单元901用于支持终端执行图4中的过程401、402和410。发送单元902用于支持终端执行图4中的过程403。其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在采用集成的单元的情况下，图10示出了上述实施例中所涉及的终端的一种可能的结构示意图。终端10包括：处理模块1001和通信模块1002。处理模块1001用于对终端的动作进行控制管理，例如处理模块1001用于支持终端执行图4中的过程401、402和410，通信模块1002用于支持终端与其他网络实体的通信，例如向无线ap发送第二层密钥和终端的变量等。终端还可以包括存储模块1003，用于存储终端的程序代码和数据，例如用于存储本发明实施例中无线ap的相关信息的相关文件等。

其中，处理模块1001可以是处理器或控制器，例如可以是中央处理器(centralprocessingunit，cpu)，通用处理器，数字信号处理器(digitalsignalprocessor，dsp)，专用集成电路(application-specificintegratedcircuit，asic)，现场可编程门阵列(fieldprogrammablegatearray，fpga)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，dsp和微处理器的组合等等。通信模块1002可以是收发器、收发电路或通信接口等。存储模块1003可以是存储器。

当处理模块1001为处理器，通信模块1002为收发器，存储模块1003为存储器时，本发明实施例所涉及的终端可以为图11所示的终端。

参阅图11所示，该终端11包括：处理器1101、收发器1102、存储器1103以及总线1104。其中，收发器1102、处理器1101以及存储器1103通过总线1104相互连接；总线1104可以是外设部件互连标准(peripheralcomponentinterconnect，pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，eisa)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图11中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在采用对应各个功能划分各个功能模块的情况下，图12示出了上述实施例中所涉及的无线ap12的一种可能的结构示意图，无线ap包括：接收单元1201、获取单元1202和发送单元1203。接收单元1201用于支持终端执行图4中的过程406。其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在采用集成的单元的情况下，图13示出了上述实施例中所涉及的无线ap的一种可能的结构示意图。无线ap13包括：处理模块1301和通信模块1302。处理模块1301用于对无线ap的动作进行控制管理，例如处理模块1301用于支持终端执行图4中的过程404。通信模块1302用于支持无线ap与其他网络实体的通信，例如向终端发送无线ap的变量等。无线ap还可以包括存储模块1303，用于存储无线ap的程序代码和数据，例如用于存储本发明实施例中rrb报文的相关文件等。

其中，处理模块1301可以是处理器或控制器，例如可以是中央处理器cpu，通用处理器，数字信号处理器dsp，专用集成电路asic，现场可编程门阵列fpga或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，dsp和微处理器的组合等等。通信模块1302可以是收发器、收发电路或通信接口等。存储模块1303可以是存储器。

当处理模块1301为处理器，通信模块1302为收发器，存储模块1303为存储器时，本发明实施例所涉及的无线ap可以为图14所示的终端。

参阅图14所示，该无线ap14包括：处理器1401、收发器1402、存储器1403以及总线1404。其中，收发器1402、处理器1401以及存储器1403通过总线1404相互连接；总线1404可以是外设部件互连标准pci总线或扩展工业标准结构eisa总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图14中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

结合本发明公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(randomaccessmemory，ram)、闪存、只读存储器(readonlymemory，rom)、可擦除可编程只读存储器(erasableprogrammablerom，eprom)、电可擦可编程只读存储器(electricallyeprom，eeprom)、寄存器、硬盘、移动硬盘、只读光盘(cd-rom)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于asic中。另外，该asic可以位于核心网接口设备中。当然，处理器和存储介质也可以作为分立组件存在于核心网接口设备中。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。