技术领域

本发明涉及无线局域网，尤其涉及一种组临时 密钥更新方法、装置和系统。 背景技术

WLAN (Wireless Local Area Network, 无线局域网） 是 20世纪 90年代 计算机与无线通信技术相结合的产物， 它使用无线信道来接入网络， 为通信 的移动化， 个人化和多媒体应用提供了潜在的手段， 并成为宽带接入的有效 手段之一。

802.11是 IEEE制定的一个无线局域网标准， 其体系结构的组成包括： 无线站点 STA( station) ,无线接入点 AP( access point) ,独立基本服务组 IBSS ( independent basic service set) , 基本月艮务组 BSS (basic service set) , 分布式 系统 DS (distribution system) 禾口扩展月艮务组 ESS (extended service set)。 其 中，无线站点 STA通常由一台 PC机或笔记本计算机加上一块无线网卡构成， 也可以是非计算机终端上的能提供无线连接的 嵌入式设备， 例如支持 802.11 的手机。 无线接入点 AP可以看成是一个无线的 Hub, 它的作用是提供 STA 和现有骨干网络（有线或无线的）之间的桥接 ， 为无线用户提供对有线或无 线网络的访问。

在 802.11网络中， 出于对空间信息传播技术的安全性考虑，会采 用组临时 密钥 （Group Transient Key, GTK) 加密和解密广播和组播报文， 同样出于 安全性考虑，还需要定期和不定期的更新组临 时密钥，在现有的瘦 AP方案 中， 组临时密钥是在接入控制点 AC (Access Control)上基于 ESS粒度进行更 新， 目前触发组临时密钥的更新有以下几点：

1、 AC定期更新其管理的 ESS内用户 （无线站点 STA) 的组临时密钥；

2、 AC响应 ESS内用户触发的更新组临时密钥的请求， 为该 ESS内所有用 户更新组播密钥。 以上的更新操作， 均需要在接入控制点 AC上完成， 由于 WLAN网络 的特点， 在 AC上管理的每一个 ESS包括很多用户， 用户的上线、 下线是很 频繁的现象， 因此会经常触发组临时密钥的更新操作， 由此触发 AC系统频 繁处理这些报文， 导致系统的效率低下， 性能下降， 甚至瘫痪。 发明内容

本发明实施例提供一种组临时密钥更新方法、 装置和系统， 以避免由 AC进行集中式频繁处理组临时密钥的更新操作� ��来的系统性能瓶颈问题。

本发明实施例的上述目的是通过如下技术方案 实现的：

一种组临时密钥更新方法， 所述方法包括： 根据接入控制点下发的业务 配置请求将接入点划分为多个虚拟接入点， 每一个虚拟接入点具有一个服务 组标识符； 基于虚拟接入点粒度计算并保存组临时密钥； 接收接入控制点下 发的组密钥更新代理请求， 对虚拟接入点范围内的无线站点进行组密钥更 新。

一种接入装置， 所述装置上划分有多个虚拟接入点， 所述装置包括： 检 测单元， 用于检测特定虚拟接入点是否需要更新组临时 密钥； 确定单元， 用 于在所述检测单元检测到所述特定虚拟接入点 需要更新组临时密钥时， 确定 该特定虚拟接入点待更新的新组临时密钥； 更新单元， 用于将所述新组临时 密钥发送给所述特定虚拟接入点范围内的所有 在线无线站点以进行组临时 密钥更新。

一种通信系统， 所述系统包括接入点和无线站点， 所述接入点连接所述 无线站点， 所述接入点上划分有多个虚拟接入点， 所述接入点用于检测到特 定虚拟接入点需要更新组临时密钥时， 确定该特定虚拟接入点待更新的新组 临时密钥； 将确定的新组临时密钥发送给该特定虚拟接入 点范围内的所有在 线无线站点以进行组临时密钥更新。

通过本发明实施例提供的方法、 装置和系统， 不仅改变了组密钥的管理 的位置， 由 AC转移到 AP， 在瘦 AP集中式管理的网络模型下， 极大的减轻 了 AC的负担， 还改变了组密钥更新的范围， 由 ESS级降到 VAP级， 缩小 了更新的范围， 减少了整个系统网络的流量， 减轻了系统的震荡。 附图说明

此处所说明的附图用来提供对本发明的进一歩 理解， 构成本申请的一部 分， 并不构成对本发明的限定。 在附图中：

图 1为本发明实施例的方法流程图；

图 2为瘦 AC网络结构示意图；

图 3为本发明一实施例的 STA通过 AP接入 AC的流程图；

图 4为本发明一实施例的链路建立流程图；

图 5为本发明一实施例的信息认证流程图；

图 6为本发明实施例的一种 GTK更新方法流程图；

图 7为本发明实施例的另外一种 GTK更新方法流程图；

图 8为本发明实施例的另外一种 GTK更新方法流程图；

图 9为本发明实施例的另外一种 GTK更新方法流程图；

图 10为本发明实施例的另外一种 GTK更新方法流程图；

图 11为本发明实施例的装置组成框图；

图 12为本发明实施例的系统组成框图。 具体实施方式

为使本发明实施例的目的、 技术方案和优点更加清楚明白， 下面结合实 施例和附图， 对本发明实施例做进一歩详细说明。 在此， 本发明的示意性实 施例及其说明用于解释本发明， 但并不作为对本发明的限定。

图 1为本发明实施例提供的一种组临时密钥更新� �法的流程图， 该方法 可以应用于无线局域网络 WLAN中接入点 AP， 请参照图 1， 该方法包括： 歩骤 101 : 将接入点 AP划分为多个虚拟接入点。

本实施例的方法可以应用于瘦 AP网络架构， 图 2为瘦 AP网络结构示 意图， 请参照图 2， 该网络架构包括接入控制点 AC、 由 AC集中控制的 AC 下连接的各个接入点 AP、 以及各个接入点下连接的无线站点设备 STA。

在本实施例中， 划分 VAP处理可以是 AP接收到接入控制点 AC向 AP 下发业务配置请求后触发。 接入点 AP根据该业务配置请求中携带的业务类 型、 业务配置参数等， 在 AP上划分多个虚拟 AP， 即 VAP, 每一个 VAP对 应一个服务组标识符 SSID, 即用一个 SSID标识。 AP根据业务配置请求确 定需要配置的业务类型， 将该业务类型添加到已有的一个或多个 VAP 中。 AP上划分 VAP的处理也可以是业务支撑系统根据需要通过 管理接口远程配 置， 当然也可以是操作维护人员通过配置命令行或 人机交互界面配置等。 其 中， AP上划分的多个 VAP中， 每一个 VAP可以包含一个或多个业务， 比如 AP上划分成 3个 VAPs, 即 VAP 1、 VAP2和 VAP3, 其中， VAP 1只提供上 网服务， VAP 2只提供视频服务， VAP 3既提供上网又提供视频服务等， 本 实施例并不以此作为限制。 由于每个 VAP逻辑上独立， 多个 VAP间互不影 响， 便于业务运营、 维护和管理。

在本实施例中， VAP的 SSID用于标识 VAP, 以便无线站点通过无线网 卡扫描到 SSID后， 可以便利地接入到 AP上多个 VAP中与该 SSID对应的 VAP, 以便与 AC进行关联， 以使 STA接入到网络。

歩骤 102: 在 AP上基于 VAP粒度计算组临时密钥；

在本实施例中， AP上多个 VAP计算各自对应的组临时密钥， 一个组 临时密钥对应一个 VAP, 该 VAP下的所有 STA公用该组临时密钥， AC上 可以不再保存基于 ESS 的 GMK (Group Master Key, 组主密钥）、 GTK信 息，而是在 AP上基于 VAP粒度进行计算并保存，也即 AP为每个 VAP计算 并保存一份 GMK、 GTK信息。 若该 VAP下有用户 （无线站点） 下线或者 其它原因需要更新组临时密钥时， 只需要更新该 VAP 的组临时密钥 (GTK) , 同时通告该 VAP下的所有在线用户。 这样整个更新过程就不需 要 AC 参与， 同时每次更新也只涉及最多 100 左右的用户。 歩骤 103: AP将计算得到的组临时密钥发送相应 VAP下的所有在线用 户以更新该 VAP的组临时密钥。

例如， AP接收 AC下发的组密钥更新代理请求， 响应该组密钥更新代 理请求， 确定多个 VAP中需要更新组临时密钥的 VAP, 对确定的 VAP范围 内的所有在线 STA进行组密钥更新。

在本实施例中， 在 AP上检测是否需要为该 AP上特定 VAP更新组临时 密钥， 以便触发更新该特定 VAP的处理。

在本发明的一实施例中，检测是否需要为该 AP上特定 VAP更新组临时 密钥是通过 AP检测 AC发送的组密钥更新代理请求实现的。 AP检测到 AC 发送的组密钥更新代理请求， 确定需要更新组临时密钥的 VAP, 在确定的 VAP范围内进行组临时密钥的更新。

在本发明的另一实施例中，检测是否需要为该 AP上特定 VAP更新组临 时密钥是通过 AP检测其覆盖区域内的 STA的连接状态实现的。 AP检测到 其覆盖区域内特定 STA从在线状态变成下线状态， 如果确定需要为该 STA 所属 VAP更新组临时密钥，在该 STA所属 VAP范围内进行组临时密钥的更新。

由于整个更新过程就不需要 AC 参与， 减轻了 AC的处理负担； 另外， 原 AC管理的 ESS包括其下连接的所有 AP， 本发明实施例中将更新的范围 由 AC管理的 ESS级降到 AP的 VAP级，缩小了更新的范围， 因此减少了整 个系统网络的流量， 减轻了系统的震荡。

图 3为 STA通过 AP接入网络时， AP根据本发明实施例提供的方法的 处理流程图， 请参照图 3， 该接入流程包括：

歩骤 301 : STA通过其上的无线网卡扫描附近的无线信号， 得到一组无 线接入列表， 也即本实施例的 AP在划分 VAP后提供的一组服务组标识符 SSID, 该无线站点 STA选择其中一个进行连接；

在本实施例中， 根据认证方式的不同， 需要输入密码、 提供证书等方式 证明是合法接入， 这些可以通过现有技术的方式实现， 在此不再赘述。 在本实施例中， STA选择一个 SSID进行无线连接可以通过图 4所示的 歩骤完成， 但本实施例并不以此作为限制， 请参照图 4， 该方法包括：

歩骤 401 : STA向 AP发送链路验证请求 （Authentication request-open system);

其中， 该链路验证请求中也可以携带选择的 VAP的 SSID和 STA的用 户标识。

歩骤 402: AP接收所述链路验证请求， 进行链路验证并向 STA返回链 路认证响应；

歩骤 403:接收到 AP返回的链路认证响应后， STA经由 AP向 AC发送 关联请求 ( Association request)；

其中， 该关联请求中可以携带 STA选择的 VAP的 SSID和 STA的用户 标识。

歩骤 404: AC 决策该 STA可以接入时，在 AC上建立 VAP和所述 STA 的关联关系， 向所述 STA返回关联响应（Association response),允许该 STA 接入无线网络，同时 AC记录 STA的关联信息，如 STA的 MAC地址、 VAP、 SSID等。

其中， 关联响应中可以携带 STA和 VAP的关联关系， 如 SSID和 STA 的对应关系信息。 由于 STA和 AC间交互的消息都经由 AP转发， AP可以 截取关联响应， 如果确定 AC对 STA认证成功， 根据关联响应中的 VAP和 STA的关联关系在 AP上建立 STA和 VAP的关联。 至此， AP上也保存了 STA的 MAC和 VAP、 SSID等对应关系信息 ， 此时无线链路已经接通。

歩骤 302: 无线链路接通后， STA经由 AP与 AC进行信息认证； 在本实施例中， 该信息认证过程可以通过四次握手过程实现， 在这四次 握手过程中， AC不将 GTK信息发送到 STA, 请参照图 5， 该过程包括如下 歩骤：

歩骤 501 : AC向 STA发送消息 1 ; 其中， 该消息 1包含一个随机值 A-nonce， 是四次握手消息中的第一个 消息， 与现有的四次握手消息（4-Way Handshake Message)相同， 在此不再 赘述。

在本实施例中， STA根据该 Α-nonce, 向 AC返回一些认证信息， 这是 现有技术的内容， 在此不再赘述。

其中， nonce 是为了防范重放攻击的随机值， A-nonce表示 AC发送给 STA的随机数。

歩骤 502: STA经由 AP向 AC发送消息 2;

其中，该消息 2包含 STA的 MAC地址、消息验证码 MIC以及 S-nonce， 其中， MIC是一个保护该消息 2不被篡改的消息验证码， S-nonce表示 STA 发送给 AC的随机数。 同样的， 该消息 2是四次握手消息中的第二个消息， 与现有的四次握手消息 （4-Way Handshake Message) 相同， 在此不再赘述。

在本实施例中， AC根据该消息 2中的 STA的 MAC地址和 S-nonce以 及 AC的 MAC地址和 A-nonce计算出 PTK (Pairwise Transient Key, 成对临 时密钥）， 根据该 PTK计算出 MIC, 将计算出的 MIC与消息 2中的 MIC进 行比较， 以验证该 STA是否合法， 这里可以通过现有技术的手段实现， 在 此不再赘述。

在本实施例中， 如果验证的结果为计算出的 MIC与消息 2中的 MIC相 同， 则该 STA合法。

歩骤 503: AC经由 AP向 STA发送消息 3;

其中， 该消息 3包含 AC的 MIC校验值以及 AC的加密状态， 同样的， 该消息 3是四次握手消息中的第三个消息，第三个消� �表明 AC核实 STA是 否知道 PMK, 以及通知 STAAC准备安装和使用数据加密密钥， 与现有的四 次握手消息 （4-Way Handshake Message) 相同， 在此不再赘述。

在本实施例中， STA根据该消息 3中的 MIC校验值， 与自己的 MIC进 行比较， 以确定 AC是否为可信任一方， 并根据该消息 3中的 AC的加密状 态， 确定该 AC是否已经准备安装和使用数据加密密钥。

歩骤 504: STA经由 AP向 AC发送消息 4;

其中， 该消息 4包含了密钥核实信息， 同样的， 该消息 4是四次握手消 息中的第四个消息， 与现有的四次握手消息（4-Way Handshake Message)相 同， 在此不再赘述。

在本实施例中， AC根据该消息 4， 确定密钥正准备安装和开始加密， 同时根据该消息 4确定握手过程结束。

歩骤 303 : 信息认证成功后， 接入控制点 AC下发 PTK到 VAP后， 由 VAP保存 PKT信息，用来对单播报文进行加密和解密，同 时启动 GTK的更新。

在本实施例中， 经过 STA和 AC的四次握手过程， AC将计算获得的成 对临时密钥 PTK发送给 VAP, 由 VAP收到 PTK后，启动组临时密钥更新过程。

在本实施例中， VAP启动 GTK的更新， 可以通过两次握手过程实现， 请继续参照图 5， 该过程包括：

歩骤 505: AP向 STA发送消息 5 ;

其中， 该消息 5包含了组临时密钥， 其为组密钥握手消息 1 (Group Key Handshake Message 1 )。

在本实施例中， AP是以 VAP的粒度下发组临时密钥，也即在 VAP的范 围内， 向 VAP范围的所有在线 STA下发组临时密钥。

歩骤 506: STA向 AP发送消息 6;

其中， 消息 6为消息 5的响应消息， 其为组密钥握手消息 2 (Group Key Handshake Message 2 )。

在本实施例中， STA接收到组临时密钥后， 进行组临时密钥的更新， 并 通过消息 6向 AP返回更新完毕的信息。

在本实施例中， 握手过程的消息可以为 EAPOL-Key ( Extensible Authentication Protocol over LAN-Key, 基于局域网的扩展认证协议密钥）报 文， 格式和现有的 EAPOL-Key报文的报文格式一样， 包括： 描述类型、 密 钥信息、 密钥长度、 重复计时器、 Key Nonce、 EAPOL-Key lV, 密钥起始序 列、 密钥标志符、 密钥 MIC ( 16)、 密钥数据长度 （2)、 密钥数据 （0…！ 1) 等字段， 其中， 描述类型字段为 254， 标志这个报文是 WPA1的报文， 描述 类型字段为 2， 标志这个报文是 WPA2的报文； 密钥信息字段包含了几个字 段，提供密钥类型和怎样使用的信息，也包含 各种与握手过程相关的控制位; 密钥长度字段用字节表示的密钥长度， 主要对于成对密钥， 尽管实际的 PTK 没有在这个密钥帧中发送， 这是 PTK 的长度， 它是目标密钥； 重复计时器 字段的值随着每个消息而增长来探测任何以重 复旧消息的攻击企图， 当这个 消息是一个 ACK请求的回应时例外， 在这个情况下， 那个被 "回复 " 的重 复值插入到此字段； Key Nonce字段的当前值用于派生出临时成对密钥和� �� 密钥； EAPOL-Key IV字段时用于对于组密钥的传输， GTK使用 EAPOL-Key 加密字连同这个 IV值进行加密， 这个加密过的 GTK放在密钥数据区； 密钥 起始序列字段在密钥安装后， 希望收到的第一个帧的序列号这个序列号用于 防止重复攻击； 密钥标志符字段没有于 WPA, 在将来它可能用于使能事先 建立多个密钥；密钥 MIC字段是一个完整性校验值，计算的范围是从 EAPOL 协议版本字段到密钥材料结束（在计算过程中 ， 这个字段置 0); 密钥数据长 度字段以字节为单位定义了密钥数据字段的长 度， 密钥数据字段可以不同于 实际密钥本身； 密钥数据字段为需要秘密传送的数据， 例如， 在组密钥情况 下， 这是加密的 GTK; 在一些成对密钥信息情况下， 这个字段携带了一个 信息要素。

其中， 密钥信息字段说明如表一所示:

0-3 比特 目前未用置 0

4-9 比特 握手不同阶段的控制位

10-11 比特 密钥指数， 在组密钥的情况下指明密钥的索引。 这允许通过安装新的组密钥稍侯 进行更新。 新的组密钥的索引位置不同于现在的组密钥的 索引位置

12 比特 密钥类型： 区分成对密钥和组密钥消息

13-15 比特 标志版本并且允许在将来使用不同的方案和密 钥加密方法。 其中， 4~9 比特说明如表

图 6为根据本发明实施例提供的方法， AP根据 STA的主动请求对该 STA 接入的 VAP范围内的所有 STA进行组密钥更新的流程图， 请参照图 6， 该 方法包括：

歩骤 601 : AP接收 STA的组临时密钥更新请求， 表一中的密钥信息字 段中第十二个比特用来表明是否是组密钥更新 报文；

歩骤 602: AP更新所述 STA接入的 VAP的组临时密钥；

AP可以根据组临时密钥更新请求报文中的 MAC地址信息，找到该 STA 关联的 VAP,根据 VAP再查找对应的组临时密钥；该存储在本地的 与该 VAP 标识对应的组临时密钥是 AP在接收到组临时密钥更新请求之前， 自身计算 并保存的， 组临时的计算方法是现有技术的内容， 不再赘述。

歩骤 603: AP向所述 STA接入的 VAP范围内的所有在线 STA发送更新 后的组临时密钥的报文。

图 7为根据本发明实施例提供的方法， AP在 STA正常下线时对该 STA 原来接入的 VAP范围内的所有 STA进行组密钥更新的流程图， 请参照图 7， 该方法包括：

歩骤 701 : AP接收 STA的去关联请求： STA离开 VAP后， 会向 AP发 送去关联报文， AP收到报文后先删除 AP上该 STA的信息， 再通知 AC删 除之前保存的 STA信息， 如 STA的 MAC、 VAP, SSID等，

歩骤 702: AP更新所述 STA原来接入的 VAP的组临时密钥； AP可以根据去关联请求报文中的 MAC地址信息， 找到该 STA关联的 VAP, 根据 VAP再查找对应的组临时密钥； 该存储在本地的与该 VAP标识 对应的组临时密钥是 AP在接收到组临时密钥更新请求之前， 自身计算并保 存的， 组临时的计算方法是现有技术的内容， 不再赘述。

歩骤 703: AP向所述 STA原来接入的 VAP范围内的 STA发送更新后的 组临时密钥的报文。

由此， AP触发了 VAP范围内的 STA的组临时密钥的更新。

图 8为根据本发明实施例提供的方法， AP在 STA异常下线时对该 STA 原来接入的 VAP范围内的所有 STA进行组密钥更新的流程图， 请参照图 8， 该方法包括：

歩骤 801 : AP检测 STA是否下线；

在本实施例中， AP可以根据报文流量检测 STA是否下线。

歩骤 802: AP定期的检测 AP芯片上对应的 STA是否有流量统计， 芯 片上根据 STA的 MAC统计， 通过如果检测到 STA没有流量， 则认为 STA 下线， 则 AP更新该 STA原来接入的 VAP的组临时密钥；

歩骤 803: AP向所述 STA原来接入的 VAP范围内的所有在线 STA发送 更新后的组临时密钥的报文。

由此， AP触发了 VAP范围内的 STA的组临时密钥的更新。

图 9为根据本发明实施例提供的方法， AP在 STA漫游时对该 STA原来 接入的 VAP范围内的所有 STA进行组密钥更新的流程图， 请参照图 9， 该 方法包括：

歩骤 901 : AP接收 STA的去关联或去认证请求；

在本实施例中， STA离开了老的 VAP,去新的 VAP认证，会向老的 VAP 发出去关联或者去认证请求。

歩骤 902: AP更新所述 STA原来接入的 VAP的组临时密钥；

在本实施例中，老的 VAP收到该去关联或去认证请求后，触发这个 VAP 范围内的 STA进行组密钥更新。

AP可以根据去关联请求或去认证请求报文中的 MAC地址信息， 找到 该 STA关联的 VAP, 根据 VAP再查找对应的组临时密钥； 该存储在本地的 与该 VAP标识对应的组临时密钥是 AP在接收到组临时密钥更新请求之前， 自身计算并保存的， 组临时的计算方法是现有技术的内容， 不再赘述。

歩骤 903: AP向所述 STA原来接入的 VAP范围内的 STA发送更新后的 组临时密钥的报文。

由此， AP代理 AC触发了 VAP范围内的 STA的组临时密钥的更新。 图 10为根据本发明实施例提供的方法， AP定时更新 VAP范围内的所 有 STA的组密钥更新的流程图， 请参照图 10， 该方法包括：

歩骤 1001 : 定时更新组临时密钥；

歩骤 1002: 向 VAP范围内的 STA发送更新后的组临时密钥的报文。 通过本实施例的方法， AP根据 AC的组密钥更新代理请求， 在需要更 新组临时密钥时，代替 AC在 VAP范围内进行组临时密钥的更新， 由于整个 更新过程就不需要 AC 参与，减轻了 AC的处理负担，又由于更新的范围由 ESS级降到 VAP级， 缩小了更新的范围， 因此减少了整个系统网络的流量， 减轻了系统的震荡。

图 11为本发明实施例提供的接入装置组成框图， 请参照图 11， 该装置 上划分有多个虚拟接入点， 所述装置包括：

检测单元 111， 用于检测特定虚拟接入点是否需要更新组临时 密匙。 确定单元 112， 用于在检测单元 111检测到特定虚拟接入点需要更新组 临时密匙时， 确定该特定虚拟接入点待更新的新组临时密匙 。

更新单元 113， 用于将所述新组临时密匙发送给所述特定虚拟 接入点范 围内在线无线站点以进行组临时密匙更新。

所述接入装置还包括划分单元 114， 用于根据接入控制点的业务配置请 求将在所述接入装置上划分多个虚拟接入点。 其中， 所述检测单元 111具体可以包括第一检测模块 1111和第二检测 模块 1112， 其中：

所述第一检测模块 1111 用于根据报文流量检测到无线站点下线时， 判 定所述无线站点所属的虚拟接入点需要更新组 临时密匙。

所述第二检测模块 1112用于检测到无线站点发送的去关联请求或� �认 证请求时， 确定所述无线站点所属的虚拟接入点需要更新 组临时密钥。

所述更新单元 113还可以定时将新组临时密匙向虚拟接入点下 的无线站 点发送。

本实施例的装置的各组成部分分别用于实现前 述方法实施例的各方法 的歩骤， 由于在方法实施例中， 已经对各歩骤进行了详细说明，在此不再赘述 。

本实施例的装置可以应用于接入点 AP， 在此不再赘述。

通过本实施例的装置， AP根据 AC的组密钥更新代理请求， 在需要更 新组临时密钥时，代替 AC在 VAP范围内进行组临时密钥的更新， 由于整个 更新过程就不需要 AC 参与，减轻了 AC的处理负担，又由于更新的范围由 ESS级降到 VAP级， 缩小了更新的范围， 因此减少了整个系统网络的流量， 减轻了系统的震荡。

图 12为本发明实施例提供的一种通信系统组成框� ��， 请参照图 12， 该 系统包括接入点 （AP ) 122以及无线站点 （STA) 123， AP 122上划分有 多个虚拟接入点， 其中：

AP 122用于检测到特定虚拟接入点需要更新组临时 密钥时，确定该特定 虚拟接入点待更新的新组临时密钥； 将确定的新组临时密钥发送给该特定虚 拟接入点范围内的所有在线无线站点以进行组 临时密钥更新。

所提供的系统还可以包括接入控制点 （AC) 121， 所述 AC 121用于向 AP 122下发业务配置请求， AP 122可以根据该业务配置请求将 AP 122划分 成多个虚拟接入点。

具体的， AC 121用于向 AP 122下发业务配置请求和组密钥更新代理请求。 接入点 122用于根据 AC 121下发的业务配置请求将 AP 122划分为多个 VAPs, 例如 VAPl〜VAPn， n为正整数， 其中， 每一个 VAPi ( Ki<n) 具 下发的组密钥更新代理请求， 对 VA 范围内的无线站点进行组密钥更新。

在本实施例中， 物理上， 无线站点 STA是与接入点 122相连， 但由于 接入点 122被划分为了多个虚拟接入点 12 ， 因此， 连接到接入点 122下的 无线站点 STA也分别隶属于该多个虚拟接入点 VAPi, 也即每一个虚拟接入 点 VPAi对应多个无线站点。

在本实施例中， 接入点 122可以包含图 11所示的接入装置， 由于在图 11的说明中， 已经对该通信装置进行了详细说明， 在此不再赘述。

无线站点 123用于接收所述接入点 122下发的更新后的组临时密钥。 在本实施例中， 该无线站点 123是与接入点 122相连的属于某一虚拟接 入点 VA 的范围的无线站点， 可以是多个， 具体取决于接入点 122对虚拟 接入点的划分及更新请求。 例如， 如果接入点 122被划分为 n个虚拟接入点 VAP, 即 VAPl~VAPn， 根据接入控制点 121 的组密钥更新代理请求， 需要 对 VAP1范围内的 STA进行组密钥更新，则该接入点 122将 VAP1的组临时 密钥更新后下发到 VAP1范围内的 STA。

通过本实施例的系统， AP根据 AC的组密钥更新代理请求， 在需要更 新组临时密钥时，代替 AC在 VAP范围内进行组临时密钥的更新， 由于整个 更新过程就不需要 AC 参与，减轻了 AC的处理负担，又由于更新的范围由 ESS级降到 VAP级， 缩小了更新的范围， 因此减少了整个系统网络的流量， 减轻了系统的震荡。

本发明实施例提供的方法、 装置和系统， 与现有的组临时密钥更新方法 相比， 具有如下优势：

1、 改变了组密钥的管理的位置， 由 AC转移到 AP， 在瘦 AC集中式管 理的网络模型下， 极大的减轻了 AC的负担；

2、 改变了组密钥更新的范围， 由 ESS级降到 VAP级， 缩小了更新的范 围， 减少了整个系统网络的流量， 减轻了系统的震荡；

3、 WPA分为 WPA1和 WAP2两种标准， 本发明实施例的技术方案， 还 对 WPA2的组密钥更新流程做了优化。

结合本文中所公开的实施例描述的方法或算法 的歩骤可以直接用硬件、 处理器执行的软件模块， 或者二者的结合来实施。 软件模块可以置于随机存 储器（RAM)、 内存、 只读存储器（ROM)、 电可编程 ROM、 电可擦除可编 程 ROM、 寄存器、 硬盘、 可移动磁盘、 CD-ROM、 或技术领域内所公知的 任意其它形式的存储介质中。

以上所述的具体实施例， 对本发明的目的、 技术方案和有益效果进行了 进一歩详细说明， 所应理解的是， 以上所述仅为本发明的具体实施例而已， 并不用于限定本发明的保护范围， 凡在本发明的精神和原则之内， 所做的任 何修改、 等同替换、 改进等， 均应包含在本发明的保护范围之内。