加密通信方法、系統和相關設備的製作方法

2023-09-19 03:14:50

加密通信方法、系統和相關設備的製作方法
【專利摘要】本發明實施例涉及通信【技術領域】，公開了一種加密通信方法、系統和相關設備。其中，該方法包括：終端接收AP發送的加密算法和認證方法；所述終端與所述AP進行關聯，以使AC在所述關聯過程中獲取所述加密算法和認證方法；若所述認證方法為Portal認證方法，所述終端發起Portal認證，以使所述AC保存所述終端在所述Portal認證過程中使用的帳號和密碼；所述終端與所述AC進行單播密鑰協商，獲取單播密鑰；所述終端接收所述AP發送的組播密鑰；所述終端利用所述加密算法、單播密鑰、組播密鑰，進行與所述AP的加密通信。實施本發明實施例，可以提高Portal認證下數據傳輸的安全性。
【專利說明】加密通信方法、系統和相關設備

【技術領域】
[0001]本發明涉及通信【技術領域】，具體涉及一種加密通信方法、系統和相關設備。

【背景技術】
[0002]Portal (門戶)認證又稱為Web (全球資訊網)認證，是一種基於全球資訊網的認證方法，Portal認證方式具有:不需要安裝認證客戶端、減少客戶端的維護工作量、便於運營、可以在Portal頁面上開展業務拓展、技術成熟等優點，因而被廣泛應用於運營商、學校等網絡。
[0003]現有技術中，通過Portal認證之後，客戶端可以訪問網絡，但對於無線通信來說，現有的Portal認證方式不對空口報文進行安全性保護，所有的用戶數據在空口信號中都是明文傳輸，存在很大的安全隱患。


【發明內容】

[0004]本發明實施例所要解決的技術問題是提供一種加密通信方法、系統和相關設備，用於解決現有技術中採用Portal認證方式時空口信號的安全性問題。
[0005]本發明實施例提供一種加密通信方法，包括:
[0006]終端接收接入點AP發送的所述終端的加密算法和認證方法；
[0007]所述終端與所述AP進行關聯，以使接入控制器AC在所述關聯的過程中獲取所述終端的所述加密算法和所述認證方法；
[0008]如果所述認證方法為門戶Portal認證方法，所述終端發起Portal認證過程，以使所述AC保存所述終端在所述Portal認證過程中使用的帳號和密碼；
[0009]所述終端與所述AC進行單播密鑰協商，獲取單播密鑰；
[0010]所述終端接收所述AP發送的組播密鑰，所述組播密鑰由所述AP與所述AC協商得到；
[0011]所述終端利用所述加密算法、所述單播密鑰，以及所述組播密鑰，進行所述AP的加密通信。
[0012]相應的，本發明實施例還提供一種加密通信方法，包括:
[0013]接入控制器AC在接入點AP與終端的關聯的過程中獲取所述終端的加密算法和認證方法；所述終端是從所述AP獲取到所述加密算法和所述認證方法的；
[0014]如果所述方法為門戶Portal認證方法，所述AC為所述終端提供Portal認證，並保存所述終端在所述Portal認證過程中使用的帳號和密碼；
[0015]所述AC與所述終端進行單播密鑰協商，獲取單播密鑰；
[0016]所述AC與所述AP進行組播密鑰協商，獲取組播密鑰；
[0017]所述AC控制所述AP利用所述加密算法、所述單播密鑰，以及所述組播密鑰，進行與所述終端的加密通信。
[0018]相應的，本發明還提供一種加密通信方法，包括:
[0019]接入點AP發送終端的加密算法和認證方法給所述終端；
[0020]所述AP與所述終端進行關聯，以使接入控制器AC在所述關聯的過程中獲取所述終端的所述加密算法和所述認證方法；
[0021 ] 所述AP接收所述AC發送的單播密鑰，所述單播密鑰由所述終端和所述AC進行單播密鑰協商得到；
[0022]所述AP與所述AC進行組播密鑰協商，獲取組播密鑰；
[0023]所述AP將所述組播密鑰發送至所述終端；
[0024]所述AP使用所述加密算法、所述單播密鑰，以及所述組播密鑰，進行與所述終端的加密通信。
[0025]相應的，本發明實施例還提供一種終端，所述終端包括:
[0026]第一獲取單元，用於接收接入點AP發送的所述終端的加密算法和認證方法；
[0027]第一關聯單元，用於將所述終端與所述AP進行關聯，以使接入控制器AC在所述關聯過程中獲取所述終端的所述加密算法和所述認證方法；
[0028]判斷單元，用於判斷所述認證方法是否是門戶Portal認證方法；
[0029]第一認證單元,用於當所述判斷單元的判斷結果為是時,發起Portal認證，以使所述AC保存所述終端在所述Portal認證過程中使用的帳號和密碼；
[0030]第一單播密鑰協商單元，用於與所述AC進行單播密鑰協商，獲取單播密鑰；
[0031]第一接收單元，用於接收所述AP發送的組播密鑰，所述組播密鑰由所述AP與所述AC協商得到；
[0032]第一通信單元，用於利用所述加密算法、所述單播密鑰，以及所述組播密鑰，進行與所述AP的加密通信。
[0033]相應的，本發明實施例還提供一種接入控制器，包括:
[0034]第二獲取單元，用於在接入點AP與終端的關聯的過程中獲取所述終端的加密算法和認證方法；所述終端是從所述AP獲取到所述加密算法和所述認證方法的；
[0035]第二認證單元，用於當所述認證方法為門戶Portal認證方法時，為所述終端提供Portal認證，並在所述Portal認證過程中保存所述終端使用的帳號和密碼；
[0036]第二單播密鑰協商單元，用於與所述終端進行單播密鑰協商，獲取單播密鑰；
[0037]第一組播密鑰協商單元，用於與所述AP進行組播密鑰協商，獲取組播密鑰；
[0038]控制單元，用於控制所述AP利用所述加密算法、所述單播密鑰，以及所述組播密鑰，進行與所述終端的加密通信。
[0039]相應的,本發明實施例還提供一種接入點,包括:
[0040]第一發送單元，用於發送加密算法和認證方法給終端；
[0041]第二關聯單元，用於與所述終端進行關聯，以使接入控制器AC在所述關聯過程中獲取所述終端的所述加密算法和認證方法；
[0042]第二接收單元，用於接收所述AC發送的單播密鑰，所述單播密鑰由所述AC和所述終端進行單播密鑰協商得到；
[0043]第二組播密鑰協商單元，用於與所述AC進行組播密鑰協商，獲取組播密鑰；
[0044]第二發送單元，用於將所述組播密鑰發送至所述終端；
[0045]第二通信單元，用於使用所述加密算法、所述單播密鑰，以及組播密鑰，進行與所述終端的加密通信。
[0046]相應的，本發明實施例還提供一種加密通信系統，所述系統包括:
[0047]如上所述的終端、如上所述的接入控制器以及如上所述的接入點。
[0048]本發明實施例提供的加密通信方法、系統和相關設備，可以為採用Portal認證方式的網絡系統進行空口信號的加密，彌補了現有技術中空口信號的安全性缺陷，提高數據傳輸安全性。

【專利附圖】

【附圖說明】
[0049]為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。
[0050]圖1是現有技術中的Protal認證流程示意圖；
[0051]圖2是本發明實施例一提供的加密通信方法的流程示意圖；
[0052]圖3是本發明實施例一提供的加密通信方法中四次握手的流程示意圖；
[0053]圖4是本發明實施二提供的加密通信方法的流程示意圖；
[0054]圖5是本發明實施三提供的加密通信方法的流程示意圖；
[0055]圖6是本發明實施例四提供的終端的結構示意圖；
[0056]圖7是本發明實施例五提供的接入控制器的結構示意圖；
[0057]圖8是本發明實施例六提供的接入點的結構示意圖；
[0058]圖9是本發明實施例八提供的終端的結構示意圖。

【具體實施方式】
[0059]下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。
[0060]本發明實施例中提供了一種加密通信方法、系統和相關設備，用於解決現有技術中空口信號明文傳輸所導致的數據安全性問題。以下分別進行詳細說明。
[0061]如圖1所示，現有技術中Portal認證系統可以包括客戶端(終端)、Portal伺服器、接入設備和 AAA (Authenticat1n>Authrizat1n>Accounting,認證、授權、計費)伺服器等設備，Portal認證的流程可包括:
[0062](I)客戶端(如瀏覽器)向接入設備(如網絡接入伺服器)發送任意URL (Uniform/Universal Resource Locator,統一資源定位符)的 HTTP(Hyper Text TransferProtocol,超文本傳輸協議)訪問；
[0063](2 )接入設備將該訪問重定向到Portal伺服器；
[0064](3)客戶端訪問Portal伺服器進行認證，Portal伺服器提供Web頁面供用戶輸入用戶名和密碼；
[0065](4) Portal伺服器向接入設備發送認證請求，認證請求中包括用戶輸入的用戶名和密碼；
[0066](5)接入設備與AAA伺服器進行認證交互；
[0067](6)接入設備接收AAA伺服器返回的認證結果；
[0068](7)接入設備向Portal伺服器通知認證結果；
[0069](8) Portal伺服器向客戶端通知認證結果。
[0070]認證成功之後，客戶端可以訪問網絡。
[0071]在無線通信場景下，若採用Portal認證方式，在認證之後，客戶端和接入點之間的空口信號沒有經過加密，所有的用戶數據都是明文傳輸，數據的安全性存在很大隱患，本發明提供對基於Portal認證的數據加密通信方案,可解決Portal認證方式下的空口信號安全性問題。
[0072]下面結合附圖對本發明實施例進行詳細描述。
[0073]實施例一:
[0074]本發明提供一種加密通信方法，如圖2所示，該方法涉及的網絡架構包括終端(客戶端)、AP (Access Point,接入點)和AC (Access Controller,接入控制器),該方法包括:
[0075]201、終端接收接入點AP發送的所述終端的加密算法和認證方法。
[0076]其中加密算法可以包括:AES (Advanced Encrypt1n Standard,高級加密標準)算法或TKIP (Temporal Key Integrity Protocol,臨時密鑰完整性協議)算法，當然還可能包括其他合適的算法，在此不予具體的限定。
[0077]其中，認證方法可以包括:WPA (W1-Fi Protected Access, W1-Fi網絡安全接入)或WPA2或Portal認證方法，當然還可能包括其它的認證方法，在此不予具體的限定。
[0078]202、終端與上述AP進行關聯，以使上述AC在上述關聯的過程中獲取上述終端的加密算法和認證方法。
[0079]具體地，在關聯過程中，終端向AP發送攜帶上述加密算法和認證方法的關聯請求消息，該關聯請求消息將被透傳至AC，則AC可從該請求消息中獲取加密算法和認證方法。
[0080]203、判斷上述認證方法是否是Portal認證方法，如果是，執行步驟204，否則結束流程。
[0081]本實施例主要針對Portal認證方法,如果認證方法不是Portal認證,則結束流程。
[0082]204、上述終端發起Portal認證，以使上述AC保存終端在上述Portal認證過程中使用的帳號和密碼。
[0083]本實施例中，Portal認證可以是現有技術中的Portal認證,在此不予贅述。
[0084]205、終端與上述AC進行單播密鑰協商，獲取單播密鑰。
[0085]206、終端接收上述AP發送的組播密鑰。
[0086]其中，上述組播密鑰是AP和AC進行組播密鑰協商之後得到的。
[0087]207、上述終端利用上述加密算法、上述單播密鑰，以及上述組播密鑰，進行與上述AP的加密通信。
[0088]具體地，即終端接收AP發送的經過加密算法加密的數據，利用上述單播密鑰或組播密鑰進行數據解密；以及利用上述加密算法對需要上傳至AP的數據進行加密，密鑰也為上述單播密鑰或組播密鑰。
[0089]本實施例提供的加密通信方法可以為基於Portal認證的網絡系統進行空口信號的加密，克服了現有技術中採用Portal認證時空口信號的安全性缺陷，提高數據傳輸安全性。
[0090]需要說明的是，接入點AP和接入控制器可以集成在同一硬體設備中，也可以是兩個分離的硬體設備，在此不予具體的限制。
[0091]舉例來說，在其中的一種實施方式中，上述201可包括:
[0092]201A、終端接收AP發送的信標(Beacon)幀，獲取上述信標幀中攜帶的加密算法和認證方法。
[0093]在此種實施方式中，終端被動偵聽AP發出的信標幀(Beacon幀)，該信標幀攜帶有加密算法和認證方法，終端可對該信標幀進行解析從而獲取加密算法和認證方法。
[0094]舉例來說，在另一種實施方式中，上述201可包括:
[0095]201B1、終端發送探測請求Probe Request消息；
[0096]201B2、終端接收上述AP返回的探測響應Probe Response消息，獲取上述ProbeResponse消息中攜帶的上述加密算法和認證方法。
[0097]在該實施方式中，終端主動發出探測請求消息,AP接收到探測請求消息之後，將返回探測響應消息，並在探測響應消息攜帶了加密算法和認證方法，則終端在接收到探測響應消息之後，可以對該響應消息進行解析從而獲取到加密算法和認證方法。
[0098]舉例來說,上述步驟202可具體包括:
[0099]202A、終端向AP發送關聯請求Associate request消息,其中關聯請求消息中攜帶上述加密算法和認證方法的信息；
[0100]202B、上述關聯請求消息被透傳至上述AC使上述AC獲取加密算法和認證方法；
[0101]202C、上述AP向上述終端發送關聯響應Associate response消息，上述關聯響應消息是對上述關聯請求消息的響應。
[0102]具體地，在上述步驟205中，終端與AC可以將上述Portal認證過程中使用的密碼作為PMK (Pairwise Master Key，成對主密鑰)進行單播密鑰協商。具體地，AC與STA (終端，Stat1n)通過 EAP0L-KEY (Extensible Authenticat1n Protocol Over Lan,基於區域網的擴展認證協議)報文進行四次握手(4-Way Handshake),在四次握手的過程中，AC與STA在PMK的基礎上計算出一個512位的PTK (Pairwise Transient Key,成對臨時密鑰)，其中PTK可分解成為幾種不同用途的密鑰:數據加密密鑰、MIC Key (數據完整性密鑰)、EAPOL-Key報文加密密鑰、EAPOL-Key報文完整性加密密鑰等，用來為隨後的單播數據幀和EAPOL-Key消息提供加密和消息完整性保護。
[0103]如圖3所示，四次握手包括:
[0104]第一次握手:AC向終端發送第一 EAPOL-Key報文，該第一 EAPOL-Key報文中攜帶有AC產生的第一隨機數ANonce ；
[0105]第二次握手:終端接收上述第一 EAPOL-Key報文，獲取第一隨機數ANonce ;終端產生第二隨機數SNonce，由第一隨機數ANonce和第二隨機數SNonce使用偽隨機函數PRF(Pseudo random funct1n)產生第一臨時密鑰PTK,並根據上述臨時密鑰PTK計算得到信息完整性校驗碼MIC (Message Integrity Code);上述終端向AC發送第二 EAPOL-Key消息，第二 EAPOL-Key消息中攜帶有第二隨機數SNonce、MIC ；
[0106]第三次握手:AC接收第二 EAPOL-Key消息，獲取第二隨機數SNonce和MIC ；AC由第一隨機數ANonce和第二隨機數SNonce使用偽隨機函數PRF計算出第二臨時密鑰PTK，根據該第二臨時密鑰PTK中的MIC KEY進行MIC驗證，與第二 EAPOL-Key報文中的MIC進行比較，若不同則丟棄第二 EAPOL-Key報文，如果相同則向STA發送第三EAPOL-Key報文，第三EAPOL-Key報文中攜帶有第一隨機數ANonce、MIC和install PTK(表示已裝入單播密鑰PTK)；
[0107]第四次握手:終端在收到第三EAPOL-Key報文之後，裝入單播密鑰PTK，並發送第四EAPOL-Key報文通知AC，AC在接收到第四EAPOL-Key報文之後裝入PTK。至此PTK產生並裝入完成，單播S鑰協商完成。
[0108]具體地，在步驟206中，AP與AC之間可以將上述Portal認證過程中終端使用的密碼作為GMK (Group Master Key，組主密鑰)進行組播密鑰的協商，從而產生組播密鑰GTK(Group Transient Key,組臨時密鑰),相關的組播密鑰協商過程屬於現有技術,在此不予贅述。
[0109]實施例二:
[0110]本發明還提供一種加密通信方法，如圖4所示，該方法包括:
[0111]401、AC在AP與終端的關聯的過程中獲取終端的加密算法和認證方法；上述終端是從上述AP獲取到上述加密算法和上述認證方法的。
[0112]AP和終端關聯的具體過程，可以參考實施例一的描述，在此不予贅述。
[0113]402、如果上述方法為Portal認證方法，上述AC為上述終端提供Portal認證，並保存上述終端在上述Portal認證過程中使用的帳號和密碼；
[0114]Portal認證方法的具體內容可以是現有技術，在此不予贅述。
[0115]403、上述AC與上述終端進行單播密鑰協商，獲取單播密鑰；
[0116]單播密鑰協商的具體內容，可以參考實施例一的描述，在此不予贅述。
[0117]404、上述AC與上述AP進行組播密鑰協商，獲取組播密鑰；
[0118]上述AP在獲取上述組播密鑰之後將上述組播密鑰發送至上述終端；
[0119]組播密鑰協商的具體內容，可以參考實施例一的描述，在此不予贅述。
[0120]405、上述AC控制上述AP利用上述加密算法、上述單播密鑰，以及上述組播密鑰，進行與上述終端的加密通信。
[0121]AP和終端進行加密通信的具體內容可參考實施例一的描述，在此不予贅述。
[0122]實施例三:
[0123]本發明還提供一種加密通信方法，如圖5所示，上述方法包括:
[0124]50UAP發送終端的加密算法和認證方法給上述終端。
[0125]具體地，AP是通過在發送給終端的信標巾貞或者探測響應Probe Response消息中攜帶加密算法和上述認證方法的方式，將加密算法和認證方法發送給終端，具體內容可參考實施例一中的描述。
[0126]502、上述AP與終端進行關聯，以使接入控制器AC在上述關聯的過程中獲取上述加密算法和上述認證方法；
[0127]AP和終端進行關聯的具體過程可以參考實施例一的描述，在此不予贅述。
[0128]503、上述AP接收上述AC發送的單播密鑰，上述單播密鑰由上述終端和上述AC進行單播密鑰協商得到；
[0129]單播密鑰協商的具體內容可以參考實施例一的描述，在此不予贅述。
[0130]504、上述AP與上述AC進行組播密鑰協商，獲取組播密鑰；
[0131]組播密鑰協商的具體內容可以參考實施例一的描述，在此不予贅述。
[0132]505、上述AP將上述組播密鑰發送至上述終端；
[0133]506、上述AP使用上述加密算法、上述單播密鑰，以及上述組播密鑰，進行與上述終端的加密通信。
[0134]AP與終端進行加密通信的具體內容可以參考實施例一的描述，在此不予贅述。
[0135]實施例四:
[0136]本發明還提供一種終端，如圖6所示，該終端包括:
[0137]第一獲取單元601，用於接收接入點AP發送的所述終端的加密算法和認證方法；
[0138]第一關聯單元602，用於將上述終端與上述AP進行關聯，以使接入控制器AC在上述關聯過程中獲取上述終端的加密算法和認證方法；
[0139]判斷單元603,用於判斷上述認證方法是否是Portal認證方法；
[0140]第一認證單元604,用於當判斷單元603的判斷結果為是,發起Portal認證過程，以使上述AC保存終端在上述Portal過程中使用的帳號和密碼；
[0141]第一單播密鑰協商單元605，用於與上述AC進行單播密鑰協商，獲取單播密鑰；
[0142]第一接收單元606，用於接收上述AP發送的組播密鑰，上述組播密鑰由上述AP與上述AC進行組播密鑰協商得到；
[0143]第一通信單元607，用於利用上述加密算法、上述單播密鑰，以及上述組播密鑰，進行與上述AP的加密通信。
[0144]需要說明的是，接入點AP和接入控制器可以集成在同一硬體設備中，也可以是兩個分離的硬體設備，在此不予具體的限制。
[0145]本實施例中，第一獲取單元獲取的加密算法可以包括:AES (Advanced Encrypt1nStandard,高級加密標準)算法或 TKIP (Temporal Key Integrity Protocol,臨時密鑰完整性協議)算法，當然還可能包括其他合適的算法，在此不予具體的限定。
[0146]其中，認證方法可以包括:WPA (W1-Fi Protected Access, W1-Fi網絡安全接入)或WPA2或Portal認證方法，當然還可能包括其它的認證方法，在此不予具體的限定。
[0147]本實施例中，第一認證單元404發起的Portal認證可以是現有技術中的Portal認證，關於Portal認證的具體過程，在此不予贅述。
[0148]舉例來說，在其中的一種實施方式中，第一獲取單元601可包括:
[0149]第一接收子單元，用於接收上述AP發送的信標幀；
[0150]第一獲取子單元，用於獲取上述信標幀中攜帶的上述加密算法和認證方法。
[0151]在此種實施方式中，終端被動偵聽AP發出的信標幀(Beacon幀)，該信標幀攜帶有加密算法和認證方法，終端可獲取加密算法和認證方法。
[0152]舉例來說，在另一種實施方式中，第一獲取單元601可包括:
[0153]第一發送子單元,用於發送探測請求Probe Request消息；
[0154]第二接收子單元，用於接收上述AP返回的探測響應Probe Response消息；
[0155]第二獲取子單元，用於獲取上述Probe Response消息中攜帶的上述加密算法和認證方法。
[0156]在該實施方式中，終端主動發出探測請求消息，AP接收到探測請求消息之後，將返回探測響應消息，並在探測響應消息攜帶了加密算法和認證方法，則終端在接收到探測響應消息之後，可以獲取到加密算法和認證方法。
[0157]第一關聯單元602可用於使終端與AP進行關聯，在關聯過程中，終端向AP發送攜帶上述加密算法和認證方法的關聯請求消息，該關聯請求消息將被發送至AC，則AC可獲取加密算法和認證方法。具體的關聯過程可參考實施例一中步驟202A-202C的內容，在此不再贅述。
[0158]第一單播密鑰協商單元605主要用於實現和AC之間的單播密鑰協商，使終端獲取單播密鑰，其中可以將Portal認證過程中使用的密碼作為PMK (Pairwise Master Key,成對主密鑰)進行單播密鑰協商，具體的協商過程可參考實施例一中描述，在此不予贅述。
[0159]第一接收單元606接收到的組播密鑰是有AP和AC進行組播密鑰協商之後得到的，其中AP與AC之間可以將上述Portal認證過程中終端使用的密碼作為GMK (GroupMaster Key,組主密鑰)進行組播密鑰的協商，從而產生組播密鑰GTK (Group TransientKey，組臨時密鑰)，相關的組播密鑰協商過程屬於現有技術，在此不予贅述。
[0160]第一通信單元607，可用於實現終端和AP之間的加密通信，具體地，即第一通信單元接收AP發送的經過加密算法加密的數據，利用上述單播密鑰、組播密鑰或其進行解密；以及利用上述加密算法對需要上傳的數據進行加密，密鑰也為上述單播密鑰或組播密鑰。
[0161]實施例五:
[0162]本發明還提供一種接入控制器，如圖7所示，該接入控制器包括:
[0163]第二獲取單元701，用於在接入點AP與終端的關聯的過程中獲取上述終端的加密算法和認證方法；上述終端是從上述AP獲取到上述加密算法和上述認證方法的；
[0164]終端和AP之間的具體關聯過程以及AC如何在關聯過程中獲取加密算法和認證方法的具體內容，可參考實施例一中的描述，在此不予贅述；
[0165]其中，其中加密算法可以包括:AES(Advanced Encrypt1n Standard,高級加密標準)算法或TKIP (Temporal Key Integrity Protocol,臨時密鑰完整性協議)算法，當然還可能包括其他合適的算法，在此不予具體的限定。
[0166]其中，認證方法可以包括:WPA (W1-Fi Protected Access, W1-Fi網絡安全接入)或WPA2或Portal認證方法，當然還可能包括其它的認證方法，在此不予具體的限定。
[0167]第二認證單元702，用於當上述認證方法為Portal認證方法時，為上述終端提供Portal認證，並在上述Portal認證過程中保存上述終端使用的帳號和密碼；
[0168]該Portal認證可以是現有技術中的Portal認證,在此不予贅述。
[0169]第二單播密鑰協商單元703，用於與上述終端進行單播密鑰協商，獲取單播密鑰；
[0170]單播密鑰協商的具體內容可參考實施例一的描述，在此不予贅述。
[0171]第一組播密鑰協商單元704，用於與上述AP進行組播密鑰協商，獲取組播密鑰。
[0172]組播密鑰協商的具體內容可參考實施例一的描述，在此不予贅述。
[0173]控制單元705，用於控制上述AP利用上述加密算法、上述單播密鑰，以及上述組播密鑰，進行與上述終端的加密通信。
[0174]AP和終端進行加密通信的具體內容可以參考實施例一的描述，在此不予贅述。
[0175]需要說明的是，接入點AP和接入控制器可以集成在同一硬體設備中，也可以是兩個分離的硬體設備，在此不予具體的限制。
[0176]實施例六:
[0177]本發明還提供一種接入點，如圖8所示，該接入點包括:
[0178]第一發送單元801，用於發送終端的加密算法和認證方法給上述終端；
[0179]具體地，AP是通過在發送給終端的信標巾貞或者探測響應Probe Response消息中攜帶加密算法和上述認證方法的方式，將加密算法和認證方法發送給終端，具體內容可參考實施例一中的描述。
[0180]第二關聯單元802，用於與上述終端進行關聯，以使接入控制器AC在上述關聯過程中獲取所述終端的上述加密算法和認證方法；
[0181]終端和AP之間的具體關聯過程以及AC如何在關聯過程中獲取加密算法和認證方法的具體內容，可參考實施例一中的描述，在此不予贅述。
[0182]第二接收單元803，用於接收上述AC發送的單播密鑰，上述單播密鑰由上述終端和上述AC進行單播密鑰協商得到；
[0183]單播密鑰協商的具體內容可參考實施例一的描述，在此不予贅述。
[0184]第二組播密鑰協商單元804，用於與上述AC進行組播密鑰協商，獲取組播密鑰；
[0185]組播密鑰協商的具體內容可參考實施例一的描述，在此不予贅述。
[0186]第二發送單元805，用於將上述組播密鑰發送至上述終端；
[0187]在獲取組播密鑰之後，AP將組播密鑰發送至終端以使終端得到組播密鑰；
[0188]第二通信單元806，用於使用上述加密算法、上述單播密鑰，以及上述組播密鑰，進行與上述終端餓加密通信。
[0189]具體地，第二通信單元806，可用於實現AP和終端之間的加密通信，具體地，即AP接收終端發送的經過加密算法加密的數據，利用上述單播密鑰或組播密鑰進行解密；以及利用上述加密算法對需要傳輸給終端的數據進行加密，密鑰也為上述單播密鑰或組播密鑰。
[0190]需要說明的是，接入點AP和接入控制器可以集成在同一硬體設備中，也可以是兩個分離的硬體設備，在此不予具體的限制。
[0191]本實施例中，加密算法可以包括:AES(Advanced Encrypt1n Standard,高級加密標準)算法或TKIP (Temporal Key Integrity Protocol,臨時密鑰完整性協議)算法，當然還可能包括其他合適的算法，在此不予具體的限定。
[0192]認證方法可以包括:WPA (W1-Fi Protected Access, W1-Fi網絡安全接入)或WPA2或Portal認證方法，當然還可能包括其它的認證方法，在此不予具體的限定。
[0193]舉例來說,在其中的一種實施方式中,第一發送單兀801具體可用於發送信標中貞，該信標幀中攜帶有加密算法和認證方法，則終端接收信標幀之後可獲取加密算法和認證方法。
[0194]在此種實施方式中，終端被動偵聽AP發出的信標幀(Beacon幀)，該信標幀攜帶有加密算法和認證方法的信息，終端可獲取加密算法和認證方法。
[0195]在另一種實施方式中，接入點還可包括:第三接收單元，用於接收終端發送的探測請求 Probe Request 消息；
[0196]則第一發送單元801可具體用於發送探測響應Probe Response消息作為對探測請求Probe Request消息的應答,Probe Response消息中攜帶有加密算法和認證方法的信肩、O
[0197]在該實施方式中，終端主動發出探測請求消息，AP接收到探測請求消息之後，將返回探測響應消息，並在探測響應消息攜帶了加密算法和認證方法，則終端在接收到探測響應消息之後，可以獲取到加密算法和認證方法。
[0198]第二關聯單元802可用於使AP與終端進行關聯，在關聯過程中，終端向AP發送攜帶上述加密算法和認證方法的關聯請求消息，AP接收該關聯請求消息將其透傳至AC，則AC可獲取加密算法和認證方法。具體的關聯過程可參考實施一中步驟202A-202C的內容，在此不再贅述。
[0199]實施例七:
[0200]本發明還提供一種加密通信系統，其中該系統可包括如實施例四所描述的終端、如實施例五所描述的接入控制器以及如實施例六所描述的接入點，相關內容可參考以上各實施例，在此不予贅述。
[0201]實施例八:
[0202]本發明還提供一種終端900，該終端900包括:輸入裝置901、輸出裝置902、存儲器903和處理器904 ((處理器可包括一個或多個，圖9中以一個為例)。在本發明的一些實施例中，輸入裝置901、輸出裝置902、存儲器903和處理器904可通過總線或其它方式連接，其中，圖9中以通過總線連接為例。
[0203]其中該處理器904可以用於執行如下方法:
[0204]接收接入點AP發送的加密算法和認證方法；
[0205]與上述AP進行關聯，以使上述AC在上述關聯過程中獲取上述加密算法和認證方法;
[0206]判斷上述認證方法是否是Portal認證方法,如果是,發起Portal認證過程，以使上述AC保存終端在上述Portal過程中使用的帳號和密碼；
[0207]與上述AC進行單播密鑰協商，獲取單播密鑰；
[0208]接收上述AP發送的組播密鑰；
[0209]利用上述加密算法、上述單播密鑰，以及上述組播密鑰，進行與上述AP的加密通?目。
[0210]實施例九:
[0211]本發明還提供一種接入控制器AC，該接入控制器包括:輸入裝置、輸出裝置、存儲器和處理器((處理器可包括一個或多個)。在本發明的一些實施例中，輸入裝置、輸出裝置、存儲器和處理器可通過總線或其它方式連接。
[0212]其中該處理器可以用於執行如下方法:
[0213]在AP與終端的關聯的過程中獲取上述終端的加密算法和認證方法；上述終端是從上述AP獲取到上述加密算法和上述認證方法的；
[0214]如果上述方法為Portal認證方法，為上述終端提供Portal認證，並保存上述終端在上述Portal認證過程中使用的帳號和密碼；
[0215]與上述終端進行單播密鑰協商，獲取單播密鑰；
[0216]與上述AP進行組播密鑰協商，獲取組播密鑰；
[0217]控制上述AP利用上述加密算法、上述單播密鑰，以及上述組播密鑰，進行與上述終端的加密通信。
[0218]實施例十:
[0219]本發明還提供一種接入點AP，該接入點包括:輸入裝置、輸出裝置、存儲器和處理器((處理器可包括一個或多個)。在本發明的一些實施例中，輸入裝置、輸出裝置、存儲器和處理器可通過總線或其它方式連接。
[0220]其中該處理器可以用於執行如下方法:
[0221 ] 發送終端的加密算法和認證方法給上述終端。
[0222]與上述終端進行關聯，以使接入控制器AC在上述關聯的過程中獲取上述加密算法和上述認證方法；
[0223]接收上述AC發送的單播密鑰，上述單播密鑰由上述終端和上述AC進行單播密鑰協商得到；
[0224]與上述AC進行組播密鑰協商，獲取組播密鑰；
[0225]將上述組播密鑰發送至上述終端；
[0226]使用上述加密算法、上述單播密鑰，以及上述組播密鑰，進行與上述終端的加密通?目。
[0227]需要說明的是，以上各實施例均基於同一發明構思，在個別實施例描述未詳盡之處，可參考其他實施例中的描述。
[0228]本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程序來指令相關的硬體來完成，該程序可以存儲於一計算機可讀存儲介質中，存儲介質可以包括:快閃記憶體盤、只讀存儲器(Read-Only Memory,ROM)、隨機存取器(Random AccessMemory, RAM)、磁碟或光碟等。
[0229]以上對本發明實施例所提供的加密通信方法、系統及相關設備進行了詳細介紹，本文中應用了具體個例對本發明的原理及實施方式進行了闡述，以上實施例的說明只是用於幫助理解本發明的方法及其核心思想；同時，對於本領域的一般技術人員，依據本發明的思想，在【具體實施方式】及應用範圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本發明的限制。
【權利要求】
1.一種加密通信方法，其特徵在於，包括: 終端接收接入點AP發送的所述終端的加密算法和認證方法； 所述終端與所述AP進行關聯，以使接入控制器AC在所述關聯的過程中獲取所述終端的所述加密算法和所述認證方法； 如果所述認證方法為門戶Portal認證方法，所述終端發起Portal認證，以使所述AC保存所述終端在所述Portal認證過程中使用的帳號和密碼； 所述終端與所述AC進行單播密鑰協商，獲取單播密鑰； 所述終端接收所述AP發送的組播密鑰，所述組播密鑰由所述AP與所述AC協商得到； 所述終端利用所述加密算法、所述單播密鑰，以及所述組播密鑰，進行與所述AP的加密通信。
2.根據權利要求1所述的方法，其特徵在於，所述加密算法和所述認證方法攜帶在所述AP發送的信標巾貞,或者探測響應Probe Response消息中發送給所述終端。
3.根據權利要求1或2所述的方法，其特徵在於，所述終端與所述AC進行單播密鑰協商包括: 所述終端與所述AC將所述Portal認證過程中使用的密碼作為成對主密鑰PMK進行單播密鑰協商。
4.一種加密通信方法，其特徵在於，包括: 接入控制器AC在接入點AP與終端的關聯的過程中獲取所述終端的加密算法和認證方法；所述終端是從所述AP獲取到所述加密算法和所述認證方法的； 如果所述方法為門戶Portal認證方法，所述AC為所述終端提供Portal認證，並保存所述終端在所述Portal認證過程中使用的帳號和密碼； 所述AC與所述終端進行單播密鑰協商，獲取單播密鑰； 所述AC與所述AP進行組播密鑰協商，獲取組播密鑰； 所述AC控制所述AP利用所述加密算法、所述單播密鑰，以及所述組播密鑰，進行與所述終端的加密通信。
5.根據權利要求4所述的方法，其特徵在於，所述AC與所述終端進行單播密鑰協商包括: 所述AC與所述終端將所述Portal認證過程中使用的密碼作為成對主密鑰PMK進行單播密鑰協商。
6.一種加密通信方法，其特徵在於，包括: 接入點AP發送終端的加密算法和認證方法給所述終端； 所述AP與所述終端進行關聯，以使接入控制器AC在所述關聯的過程中獲取所述終端的所述加密算法和所述認證方法； 所述AP接收所述AC發送的單播密鑰，所述單播密鑰由所述終端和所述AC進行單播密鑰協商得到； 所述AP與所述AC進行組播密鑰協商，獲取組播密鑰； 所述AP將所述組播密鑰發送至所述終端； 所述AP使用所述加密算法、所述單播密鑰，以及所述組播密鑰，進行與所述終端的加密通信。
7.—種終端，其特徵在於，所述終端包括: 第一獲取單元，用於接收接入點AP發送的所述終端的加密算法和認證方法； 第一關聯單元，用於將所述終端與所述AP進行關聯，以使接入控制器AC在所述關聯的過程中獲取所述終端的所述加密算法和所述認證方法； 判斷單元，用於判斷所述認證方法是否是門戶Portal認證方法； 第一認證單元，用於當所述判斷單元的判斷結果為是時，發起Portal認證，以使所述AC保存所述終端在所述Portal認證過程中使用的帳號和密碼； 第一單播密鑰協商單元，用於與所述AC進行單播密鑰協商，獲取單播密鑰； 第二接收單元，用於接收所述AP發送的組播密鑰，所述組播密鑰由所述AP與所述AC進行組播密鑰協商得到； 第一通信單元，用於利用所述加密算法、所述單播密鑰，以及所述組播密鑰，進行與所述AP的加密通信。
8.根據權利要求7所述的終端，其特徵在於，所述第一獲取單元包括: 第一接收子單元，用於接收所述AP發送的信標幀； 第一獲取子單元，用於獲取所述信標幀中攜帶的所述加密算法和認證方法的信息。
9.根據權利要求7所述的終端，其特徵在於，所述第一獲取單元包括: 第一發送子單元，用於發送探測請求Probe Request消息； 第二接收子單元，用於接收所述AP返回的探測響應Probe Response消息； 第二獲取子單元，用於獲取所述Probe Response消息中攜帶的所述加密算法和認證方法。
10.根據權利要求7-9任一項所述的終端，其特徵在於，所述單播密鑰協商單元具體用於將所述Portal認證過程中使用的密碼作為成對主密鑰PMK與所述AC進行單播密鑰協商以獲得單播密鑰。
11.一種接入控制器，其特徵在於，包括: 第二獲取單元，用於在接入點AP與終端的關聯的過程中獲取所述終端的加密算法和認證方法；所述終端是從所述AP獲取到所述加密算法和所述認證方法的； 第二認證單元，用於當所述認證方法為門戶Portal認證方法時，為所述終端提供Portal認證，並在所述Portal認證過程中保存所述終端使用的帳號和密碼； 第二單播密鑰協商單元，用於與所述終端進行單播密鑰協商，獲取單播密鑰； 第一組播密鑰協商單元，用於與所述AP進行組播密鑰協商，獲取組播密鑰； 控制單元，用於控制所述AP利用所述加密算法、所述單播密鑰，以及所述組播密鑰，進行與所述終端的加密通信。
12.—種接入點，其特徵在於，包括: 第一發送單元，用於發送加密算法和認證方法給終端； 第二關聯單元，用於與所述終端進行關聯，以使接入控制器AC在所述關聯的過程中獲取所述終端的所述加密算法和所述認證方法； 第二接收單元，用於接收所述AC發送的單播密鑰，所述單播密鑰由所述AC和所述終端進行單播密鑰協商得到； 第二組播密鑰協商單元，用於與所述AC進行組播密鑰協商，獲取組播密鑰； 第二發送單元，用於將所述組播密鑰發送至所述終端； 第二通信單元，用於使用所述加密算法、所述單播密鑰，以及所述組播密鑰，進行與所述終端的加密通信。
13.一種加密通信系統，其特徵在於，所述系統包括: 如權利要求7-10任一項所述的終端、如權利要求11所述的接入控制器以及如權利要求12所述的接入點。
【文檔編號】H04L29/06GK104243416SQ201310239710
【公開日】2014年12月24日 申請日期:2013年6月17日 優先權日:2013年6月17日
【發明者】席輝, 吳日海 申請人:華為技術有限公司