WO2014005482A1

WO2014005482A1 - 建立直接链路方法、密钥更新方法和设备

Info

Publication number: WO2014005482A1
Application number: PCT/CN2013/077431
Authority: WO
Inventors: 陆苏; 丁志明; 树贵明
Original assignee: Huawei Device Co Ltd
Current assignee: Huawei Device Co Ltd
Priority date: 2012-07-03
Filing date: 2013-06-19
Publication date: 2014-01-09
Anticipated expiration: 2015-01-03
Also published as: CN103533540A; EP2846569A4; US20150104019A1; EP2846569B1; EP2846569A1

Description

建立直接链路方法、密钥更新方法和设备本申请要求于 2012年 7月 3 日提交中国专利局、申请号为 201210226264.X、发明名称为"建立直接链路方法、密钥更新方法和设备 "的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域本发明涉及通信技术，尤其涉及一种建立直接链路方法、密钥更新方法和设备。背景技术站点（Station, STA )以与接入点（Access Point, AP )协商的功率与 AP 通信。由于一个 AP覆盖范围内不同位置的 STA与 AP直接通信的速率是不同的，而与 AP距离较远的 STA在与 AP通信时，需要通过中继设备（Relay )转发数据来缩短 STA和 AP的通信时间。现有技术的 STA与 Relay之间直接链路的密钥产生方法为， STA产生一个随机数，并在向 AP发送的建立请求中携带该随机数， AP通过建立请求将该随机数发送给 Relay。 Relay接收到 STA产生的随机数后，产生一个随机数，通过 STA产生的随机数、 Relay产生的随机数进行计算生成用于对 STA向 Relay 发送的业务数据进行解密的密钥。 Relay通过向 AP发送的建立响应携带自身产生的随机数， AP通过建立响应将 Relay产生的随机数发送给 STA, 通过 STA 产生的随机数、 Relay产生的随机数进行计算生成用于对 STA向 Relay发送的业务数据进行加密的密钥。从而导致信令开销大。

发明内容本发明实施例提供一种建立直接链路方法、请求站点和被请求站点，以节省信令开销。一方面，本发明实施例提供一种建立直接链路方法，包括：

请求站点向接入点发送直接链路建立请求消息，以使所述接入点将所述直接链路建立请求消息发送给所述被请求站点，所述直接链路建立请求消息用于请求在所述请求站点与被请求站点之间建立直接链路；

所述请求站点接收所述接入点发送的直接链路建立响应消息，所述直接链路建立响应消息中携带第一密钥信息，所述第一密钥信息用于对所述请求站点与所述被请求站点之间的所述直接链路上传输的业务数据进行安全传输；所述请求站点通过所述直接链路向所述被请求站点发送的第一直接链路建立确认消息，所述第一直接链路建立确认消息用于指示所述请求站点接收到所述被请求站点生成的所述第一密钥信息。

本发明实施例提供另一种建立直接链路方法，包括：

被请求站点接收接入点发送的直接链路建立请求消息，所述直接链路建立请求消息用于请求在请求站点与所述被请求站点之间建立直接链路；

所述被请求站点生成第一密钥信息，所述第一密钥信息用于对所述请求站点与所述被请求站点之间的所述直接链路上传输的业务数据进行安全传输；所述被请求站点向所述接入点发送直接链路建立响应消息，以使所述接入点将所述直接链路建立响应消息发送给所述请求站点，所述直接链路建立响应消息中携带第一密钥信息；

所述被请求站点接收所述请求站点通过所述直接链路发送的第一直接链路建立确认消息，所述第一直接链路建立确认消息用于指示所述请求站点接收到所述被请求站点生成的所述第一密钥信息。

本发明实施例提供一种请求站点，包括：

发送器，用于向接入点发送直接链路建立请求消息，以使所述接入点将所述直接链路建立请求消息发送给所述被请求站点，所述直接链路建立请求消息用于请求在所述请求站点与被请求站点之间建立直接链路；

接收器，用于接收所述接入点发送的直接链路建立响应消息，所述直接链路建立响应消息中携带第一密钥信息，所述第一密钥信息用于对所述请求站点与所述被请求站点之间的所述直接链路上传输的业务数据进行安全传输；所述发送器还用于：通过所述直接链路向所述被请求站点发送的第一直接链路建立确认消息，所述第一直接链路建立确认消息用于指示所述请求站点接收到所述被请求站点生成的所述第一密钥信息。

本发明实施例提供一种被请求站点，包括：

接收器，用于接收接入点发送的直接链路建立请求消息，所述直接链路建立请求消息用于请求在请求站点与所述被请求站点之间建立直接链路；处理器，用于生成第一密钥信息，所述第一密钥信息用于对所述请求站点与所述被请求站点之间的所述直接链路上传输的业务数据进行安全传输；

发送器，用于向所述接入点发送直接链路建立响应消息，以使所述接入点将所述直接链路建立响应消息发送给所述请求站点，所述直接链路建立响应消息中携带第一密钥信息；

所述接收器还用于：接收所述请求站点通过所述直接链路发送的第一直接链路建立确认消息，所述第一直接链路建立确认消息用于指示所述请求站点接收到所述被请求站点生成的所述第一密钥信息。

本发明实施例提供的建立链路方法和设备，被请求站点接收到接入点转发的直接链路建立请求消息之后，在返回给接入点的直接链路建立响应消息中携带被请求站点生成的密钥信息，以使接入点将该直接链路建立响应消息返回给请求站点后，请求站点能够根据该密钥对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输，实现节省请求站点与被请求站点建立链路过程中的信令开销。

另一方面，本发明实施例提供一种密钥更新方法，包括：

被请求站点生成第二密钥信息，所述第二密钥信息用于替换所述被请求站点生成的第一密钥信息，对请求站点与所述被请求站点之间的直接链路上传输的业务数据进行安全传输；

所述被请求站点将第二密钥信息发送给接入点，以使所述接入点将所述第二密钥信息发送给所述被请求站点。

本发明实施例还提供一种密钥更新方法，包括：

请求站点接收接入点发送的所述第二密钥信息，所述第二密钥信息由所述被请求站点生成，用于替换所述被请求站点生成的第一密钥信息，对所述请求站点与所述被请求站点之间的直接链路上传输的业务数据进行安全传输；

所述请求站点釆用所述第二密钥信息替换所述第一密钥信息，对所述请求站点与所述被请求站点之间的直接链路上传输的业务数据进行安全传输。

本发明实施例还提供一种被请求站点，包括：

处理器，用于生成第二密钥信息，所述第二密钥信息用于替换所述被请求站点生成的第一密钥信息，对请求站点与所述被请求站点之间的直接链路上传输的业务数据进行安全传输；

发送器，用于将第二密钥信息发送给接入点，以使所述接入点将所述第二密钥信息发送给所述被请求站点。

本发明实施例还提供一种请求站点，包括：

接收器，用于接收接入点发送的所述第二密钥信息，所述第二密钥信息由所述被请求站点生成，用于替换所述被请求站点生成的第一密钥信息，对所述请求站点与所述被请求站点之间的直接链路上传输的业务数据进行安全传输；处理器，用于釆用所述第二密钥信息替换所述第一密钥信息，对所述请求站点与所述被请求站点之间的直接链路上传输的业务数据进行安全传输。

本发明实施例提供的密钥更新方法和设备，被请求站点产生用于替换第一密钥的第二密钥后，可以将第二密钥信息通过接入点返回给请求站点，以使请求站点釆用第二密钥替换第一密钥对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输，实现节省密钥更新过程的信令开销。

附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图 1为本发明的建立直接链路方法一个实施例的流程图；

图 2为本发明的建立直接链路方法又一个实施例的流程图；

图 3为本发明的建立直接链路方法另一个实施例的流程图；

图 4为本发明的建立直接链路方法另一个实施例的流程图；

图 5为本发明提供的被请求站点一个实施例的结构示意图；

图 6为本发明提供的接入点一个实施例的结构示意图；

图 7为本发明提供的请求站点一个实施例的结构示意图；

图 8为本发明提供的请求站点又一个实施例的结构示意图；

图 9为本发明提供的被请求站点一个实施例的结构示意图；

图 10为本发明提供的请求站点一个实施例的结构示意图；

图 1 1为本发明提供的被请求站点又一个实施例的结构示意图；

图 12为本发明提供的被请求站点又一个实施例的结构示意图；

图 13为本发明提供的请求站点又一个实施例的结构示意图；图 14为本发明提供的请求站点又一个实施例的结构示意图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。本文中描述的技术可用于各种通信系统，例如当前 2G, 3G通信系统和下一代通信系统，例如全球移动通信系统（GSM, Global System for Mobile communications ), 码分多址（CDMA, Code Division Multiple Access )系统，时分多址（TDMA, Time Division Multiple Access ) 系统，宽带码分多址

( WCDMA, Wideband Code Division Multiple Access ), 频分多址（FDMA, Frequency Division Multiple Access )系统正交频分多址（OFDMA Orthogonal Frequency-Division Multiple Access )系统，单载波 FDMA ( SC-FDMA )系统，通用分组无线业务（GPRS, General Packet Radio Service ) 系统，长期演进 ( LTE, Long Term Evolution ) 系统，以及其他此类通信系统。

图 1为本发明的建立直接链路方法一个实施例的流程图，如图 1所示，本实施例从被请求站点侧在建立直接链路过程中执行的操作为例，对本发明提供的建立链路方法进行说明。该方法包括：

S101、被请求站点接收接入点发送的直接链路建立请求消息，直接链路建立请求消息用于请求在请求站点与被请求站点之间建立直接链路。

5102、被请求站点生成第一密钥信息，第一密钥信息用于对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输。

5103、被请求站点向接入点发送直接链路建立响应消息，以使接入点将直接链路建立响应消息发送给请求站点，直接链路建立响应消息中携带第一密钥信息。

S104、被请求站点接收请求站点通过直接链路发送的第一直接链路建立确认消息，第一直接链路建立确认消息用于指示请求站点接收到被请求站点生成的第一密钥信息。

本申请中涉及的请求站点，可以是无线请求站点也可以是有线请求站点，举例来说，可以是各种网络，例如：无线保真（Wireless Fidelity, WiFi ) 网络或蜂窝网络中的站点，例如：传感器、电表等站点（STA )。被请求站点具备生成第一密钥信息的能力，可以是无线请求站点也可以是有线请求站点，例如，可以是传感器、电表等站点。同时，请求站点和被请求站点位于同一个网络中，例如，位于同一个接入点下的 Wi Fi网络中。接入点可以是无线局域网络

( Wireless Local Area Networks, WLAN ) 中的接入点（Access Point, AP ), 也可以是 WiFi网络中的接入点，也可以是 GSM网络、 GPRS网络或 CDMA网络、蜂窝网络中的基站（Base Transceiver Station, BJS \还可以是 CDMA2000 网络或 WCDMA网络中的基站（NodeB ), 还可以是 LTE网络中的演进型基站 ( Evolved NodeB , eNB ), 还可以是 WiMAX网络中的接入服务网络的基站 ( Access Service Network Base Station , ASN BS )等网元；或也可以是以上接入点、基站后面的控制器或认证器等网元。

本申请可以适用于多种实施场景，例如：在 WiFi网络中，作为请求站点的电表向接入点上报电表读数的实施场景；作为请求站点的温湿度传感器向接入点上报测量的温湿度等实施场景，在此不——列举。在这种实施场景下，如果请求站点与接入点之间的距离较远，则请求站点可以通过被请求站点转发向接入点上报的业务数据，来缩短请求站点和接入点的通信时间。请求站点与被请求站点之间需要建立直接链路来传输业务数据。

在请求站点与被请求站点建立直接链路的过程中，需要接入点转发直接链路建立请求消息和直接链路建立响应消息。

本发明实施例中，被请求站点接收到接入点转发的直接链路建立请求消息后，可以在本地生成用于对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输的第一密钥信息。其中，安全传输可以包括：对传输数据进行加 /解密，和 /或，完整性验证等操作。被请求站点可以将第一密钥信息携带在直接链路建立响应消息中发送给接入点，以使接入点将携带第一密钥信息的直接链路建立响应消息发送给请求站点。从而请求站点在与被请求站点之间的直接链路（即空口）上发送业务数据，例如：电表读数，传感器的检测数据时，在第一密钥的生命周期内，请求站点可以釆用该第一密钥信息对业务数据进行加密，被请求站点接收到请求站点发送的业务数据后，可以釆用第一密钥信息对接收到的业务数据进行解密。

可选的，第一密钥信息可以包括第一密钥，或者可以包括第一密钥和第一密钥的生命周期信息。在第一密钥信息包括第一密钥和第一密钥的生命周期信息的场景下，被请求站点在生成第一密钥后，还可以确定第一密钥的生命周期，并将第一密钥的生命周期信息包括在第一密钥信息中发送给接入点。

进一步的，被请求站点向接入点发送携带第一密钥信息的直接链路建立响应消息之后，可以接收到请求站点通过直接链路发送的第一直接链路建立确认消息（Confirm消息），该第一直接链路建立确认消息用于指示请求站点接收到被请求站点生成的第一密钥信息，该第一确认消息中可以携带用于完整性验证的消息完整性码 ( Message Integrity Code, MIC ) 。

由于被请求站点可以从直接链路上直接收到请求站点发送的第一直接链路建立确认消息，而不必通过接入点转发该第一直接链路建立确认消息，因此，减少了请求站点直接向接入点发送消息的次数，可以有效降低请求站点的能耗。

被请求站点能够从直接链路上接收到请求站点发送的第一直接链路建立确认消息。请求站点可以根据其中携带的 MIC, 对请求站点接收的第一直接链路建立确认消息进行完整性验证。若验证通过，则被请求站点可以通过直接链路向请求站点发送确认消息（Acknowledgement, ACK ) , 用于指示通过完整性验证，即请求站点正确接收第一密钥信息。

由于第一密钥具有一定的生命周期，在生命周期结束后，第一密钥将失效，无法再用于对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输。据此，可选的，被请求站点可以在第一密钥的生命周期结束之前，或者被请求站点的计时器溢出，或者请求站点请求更新第一密钥信息等实施场景下，生成第二密钥信息，将第二密钥信息发送给接入点，以使接入点将该第二密钥信息转发给请求站点，从而请求站点可以在第一密钥的生命周期结束之后，釆用第二密钥信息替换第一密钥信息，对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输。

可选的，第二密钥信息可以包括第二密钥，或者可以包括第二密钥和第二密钥的生命周期信息。在第二密钥信息包括第二密钥和第二密钥的生命周期信息的场景下，被请求站点在生成第二密钥后，还可以确定第二密钥的生命周期，并将第二密钥的生命周期信息包括在第二密钥信息中发送给接入点。

其中，被请求站点可以将第二密钥信息携带在现有的与接入点之间交互的各种格式的消息中发送给接入点，举例来说，可以将第二密钥信息携带在直接链路建立响应格式的消息中发送给接入点。由于被请求站点可以在第一密钥的生命周期结束之前，产生第二密钥信息并发送给请求站点，从而避免了由于第一密钥过期而导致的请求站点与被请求站点之间的直接链路重新建立，从而增加了传输吞吐率。

与向请求站点发送第一密钥信息相类似的，被请求站点将第二密钥信息发送给接入点之后，可以接收到请求站点通过直接链路发送的第二直接链路建立确认消息（Confirm消息），该第二直接链路建立确认消息用于指示请求站点接收到被请求站点生成的第二密钥信息，该第二直接链路建立确认消息中也可以携带用于完整性验证的 MIC。

被请求站点可以通过直接链路接收请求站点发送的第二直接链路建立确认消息，可以根据其中携带的 MIC进行完整性验证。若验证通过，则被请求站点可以通过直接链路向请求站点发送 ACK。

需要说明的是，本发明实施例涉及的直接链路建立请求消息、直接链路建立响应消息、以及第一直接链路建立确认消息（ Confirm消息 )和第二直接链路建立确认消息（Confirm消息）中，除了携带本发明实施例中涉及的信息之外，保留了上述消息中现有的各种信息，例如：请求站点的地址信息、被请求站点的地址信息、请求站点或被请求站点支持的速率集合以及能力（ Capacities )参数等信息，对于上述消息中携带的这些现有信息，可以参见电子电器工程师学会 ( Institute of Electrical and Electronics Engineers, IEEE )标准组织制定的例如 802.1 1等现有协议中的相关描述，在此不——赘述。

本实施例提供的建立链路方法，被请求站点接收到接入点转发的直接链路建立请求消息之后，在返回给接入点的直接链路建立响应消息中携带被请求站点生成的密钥信息，以使接入点将该直接链路建立响应消息返回给请求站点后，请求站点能够根据该密钥对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输，实现节省请求站点与被请求站点建立链路过程中的信令开销。图 2为本发明的建立直接链路方法又一个实施例的流程图，如图 2所示，本实施例从接入点侧在建立直接链路过程中执行的操作为例，对本发明提供的建立链路方法进行说明。该方法包括：

S201、接入点接收请求站点发送的直接链路建立请求消息，直接链路建立请求消息用于请求在请求站点与被请求站点之间建立直接链路。 S202、接入点将直接链路建立请求消息发送给被请求站点。

S203、接入点接收被请求站点发送的直接链路建立响应消息，直接链路建立响应消息中携带第一密钥信息，第一密钥信息用于对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输。

S204、接入点将直接链路建立响应消息发送给请求站点。

接入点接收到请求站点发送的直接链路建立请求消息后，可以将该直接链路建立的请求消息转发给被请求站点。

被请求站点接收到接入点转发的直接链路建立请求消息后，可以在本地生成用于对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输的第一密钥信息。被请求站点可以将第一密钥信息携带在直接链路建立响应消息中发送给接入点。接入点接收到携带第一密钥信息的直接链路建立响应消息之后，可以将该直接链路建立响应消息转发给请求站点。

可选的，被请求站点可以在第一密钥的生命周期结束之前，生成第二密钥信息，将第二密钥信息发送给接入点。接入点可以将该第二密钥信息转发给请求站点，从而请求站点可以在第一密钥的生命周期结束之后，釆用第二密钥信息替换第一密钥信息对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输。

需要说明的是，作为一种可行的实施方式，直接链路建立请求消息和直接链路建立响应消息可以封装成数据帧格式经由接入点转发。在这种实施场景下，接入点可以不对上述消息进行解析，而仅执行消息转发操作，这种场景即为隧道式直接链路建立过程。作为另一种可行的实施方式，直接链路建立请求消息和直接链路建立响应消息也可以以管理帧的格式经由接入点转发，在该实施场景下，接入点可以对上述消息解析，以便于对请求站点与哪个中继通信进行管理，这种实施场景即为非隧道式直接链路建立过程。

本实施例提供的建立链路方法，接入点将请求站点发送的直接链路建立请求消息转发给被请求站点之后，接入点接收的被请求站点返回的直接链路建立响应消息中携带被请求站点生成的密钥信息，接入点将该直接链路建立响应消息返回给请求站点后，请求站点能够根据该密钥对请求站点与被请求站点之间的直接链路上传输的业务数据进行加 /解密，实现节省请求站点与被请求站点建立链路过程中的信令开销。图 3为本发明的建立直接链路方法另一个实施例的流程图，如图 3所示，本实施例从请求站点侧在建立直接链路过程中执行的操作为例，对本发明提供的建立直接链路方法进行说明。该方法包括：

5301、请求站点向接入点发送直接链路建立请求消息，以使接入点将直接链路建立请求消息发送给被请求站点，直接链路建立请求消息用于请求在请求站点与被请求站点之间建立直接链路。

5302、请求站点接收接入点发送的直接链路建立响应消息，直接链路建立响应消息中携带第一密钥信息，第一密钥信息用于对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输。

5303、请求站点通过直接链路向被请求站点发送的第一直接链路建立确认消息，第一直接链路建立确认消息用于指示请求站点接收到被请求站点生成的第一密钥信息。

当请求站点与接入点距离较远，需要被请求站点转发业务数据的实施场景下，请求站点可以发起到被请求站点的直接链路建立。而在请求站点与被请求站点直接链路建立的过程中，需要接入点转发直接链路建立请求消息和直接链路建立响应消息。

被请求站点接收到接入点转发的直接链路建立请求消息后，可以在本地生成用于对请求站点与被请求站点之间的直接链路上传输的业务数据进行加 /解密的第一密钥信息。并将第一密钥信息携带在直接链路建立响应消息中发送给接入点。请求站点可以接收到接入点转发的携带第一密钥信息的直接链路建立响应消息。

其中，第一密钥信息中可以包括第一密钥，或者可以包括第一密钥和第一密钥的生命周期信息。

请求站点与被请求站点之间的直接链路建立之后，请求站点可以该上釆用该第一密钥信息对业务数据，例如：电表读数，传感器的检测数据等进行加密。

需要说明的是，请求站点接收接入点发送的直接链路建立响应消息之后，可以通过直接链路向被请求站点返回第一直接链路建立确认消息，以指示接收到被请求站点生成的第一密钥信息。

进一步的，在第一密钥的生命周期结束之前，请求站点还可以接收到接入点转发的第二密钥信息，该第二密钥信息由被请求站点在第一密钥的生命周期结束之前生成。从而请求站点可以在第一密钥的生命周期结束之后，釆用第二密钥信息对请求站点与被请求站点之间的直接链路上传输的业务数据进行加密。

其中，第二密钥信息中可以包括第二密钥，或者，可以包括第二密钥和第二密钥的生命周期信息。

类似的，请求站点接收接入点发送的第二密钥信息之后，可以通过直接链路向被请求站点发送的第二直接链路建立确认消息，用于指示接收到被请求站点生成的第二密钥信息。

本实施例提供的建立链路方法，请求站点向接入点发送直接链路建立请求消息之后，可以接收到接入点返回的携带被请求站点生成的密钥信息的直接链路建立响应消息，请求站点能够根据该密钥对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输，实现节省请求站点与被请求站点建立链路过程中的信令开销。图 4为本发明提供的密钥更新方法又一个实施例的流程图，如图 4所示，该方法包括：

5401、被请求站点生成第二密钥信息，第二密钥信息用于替换被请求站点生成的第一密钥信息，对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输；

5402、被请求站点将第二密钥信息发送给接入点，以使接入点将第二密钥信息发送给请求站点。

第一密钥信息可以为被请求站点生成的任一密钥信息，举例来说，可以是被请求站点与请求站点建立直接链路过程中生成的密钥信息，也可以是被请求站点在与请求站点通过直接链路进行业务传输的过程中生成的密钥信息。

由于第一密钥具有一定的生命周期，在生命周期结束后，第一密钥将失效，无法再用于对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输。据此，被请求站点可以在第一密钥的生命周期结束之前，或者被请求站点的计时器溢出，或者请求站点请求更新第一密钥等实施场景下，生成第二密钥信息，将包括第二密钥信息发送给接入点，以使接入点将该第二密钥信息转发给请求站点，从而请求站点可以在第一密钥的生命周期结束之后，釆用第二密钥信息替换第一密钥信息，对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输。

可选的，第二密钥信息中可以包括第二密钥，或者可以包括第二密钥和第二密钥的生命周期，在第二密钥信息中包括第二密钥和第二密钥的生命周期时，被请求站点在生成第二密钥后，还可以确定第二密钥的生命周期，并将第二密钥的生命周期信息包括在第二密钥信息中发送给接入点。

其中，被请求站点可以将第二密钥信息携带在现有的与接入点之间交互的各种格式的消息中发送给接入点，举例来说，可以将第二密钥信息携带在直接链路建立响应格式的消息中发送给接入点。

由于被请求站点可以在第一密钥的生命周期结束之前，产生第二密钥信息并发送给请求站点，从而避免了由于第一密钥过期而导致的请求站点与被请求站点之间的直接链路重新建立，从而增加了传输吞吐率。

被请求站点将第二密钥信息发送给接入点之后，可以接收到请求站点通过直接链路发送的第二直接链路建立确认消息（Confirm消息），该第二直接链路建立确认消息用于指示请求站点接收到被请求站点生成的第二密钥信息，该第二直接链路建立确认消息中也可以携带用于完整性验证的 MIC。

本实施例提供的密钥更新方法，被请求站点产生用于替换第一密钥信息的第二密钥信息后，可以将第二密钥信息通过接入点返回给请求站点，以使请求站点釆用第二密钥信息替换第一密钥信息对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输，实现节省密钥更新过程的信令开销。图 5为本发明提供的密钥更新方法又一个实施例的流程图，如图 5所示，该方法包括：

S501、接入点接收被请求站点发送的第二密钥信息，第二密钥信息由被请求站点生成，用于替换被请求站点生成的第一密钥信息，对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输；

S502、接入点将第二密钥信息发送给请求站点。

被请求站点在第一密钥的生命周期结束之前，生成第二密钥信息，将第二密钥信息发送给接入点。接入点可以将该第二密钥信息转发给请求站点，从而请求站点可以在第一密钥的生命周期结束之后，釆用第二密钥信息替换第一密钥信息对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输。

本实施例提供的密钥更新方法，接入点接收到被请求站点产生用于替换第一密钥的第二密钥信息后，可以将第二密钥信息转发给请求站点，以使请求站点釆用第二密钥信息替换第一密钥信息对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输，实现节省密钥更新过程的信令开销。图 6为本发明提供的密钥更新方法又一个实施例的流程图，如图 6所示，该方法包括：

S601、请求站点接收接入点发送的第二密钥信息，第二密钥信息由被请求站点生成，用于替换被请求站点生成的第一密钥信息，对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输；

S602、请求站点釆用第二密钥信息替换第一密钥信息，对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输。

在第一密钥的生命周期结束之前，请求站点还可以接收到接入点转发的第二密钥信息，该第二密钥信息由被请求站点在第一密钥的生命周期结束之前生成。从而请求站点可以在第一密钥的生命周期结束之后，釆用第二密钥信息对请求站点与被请求站点之间的直接链路上传输的业务数据进行加密。

其中，第二密钥信息中包括用于替换被请求站点生成的第一密钥信息，对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输第二密钥信息。可选的，第二密钥信息中还可以包括第二密钥的生命周期信息。

请求站点接收接入点发送的第二密钥信息之后，可以通过直接链路向被请求站点发送的第二直接链路建立确认消息，用于指示接收到被请求站点生成的第二密钥信息。

本实施例提供的密钥更新方法，请求站点可以接收到接入点转发的被请求站点产生用于替换第一密钥信息的第二密钥信息，从而釆用第二密钥信息替换第一密钥信息对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输，实现节省密钥更新过程的信令开销。图 7为本发明的建立链路方法另一个实施例的流程图，如图 7所示，本实施例提供了请求站点（STA1 ) 、接入点（AP )和被请求站点（STA2 )在建立链路过程中交互过程。

需要说明的是 STA1已经确定需要通过 STA2传输业务数据到达 AP, STA1 已选定 STA2 (即获得 STA2地址信息）。在建立 STA1与 STA2之间的直接链路之前， STA1和 STA2分别与同一个 AP关联，并建立了对应的鲁棒安全网络关联 ( Robust Security Network Association, RSNA ) , 即 STA1与 AP之间， AP与 STA2之间均建立了安全的双向的链路。

该方法包括：

S701、 STA1向 AP发送直接链路建立请求消息，直接链路建立请求消息用于请求在请求站点与被请求站点之间建立直接链路。

其中， STA1向 AP发送的直接链路建立请求消息（Setup Request ) 中包括： STA1的地址信息， STA2的地址信息， STA1支持的速率集合和能力

Capacities参数等。该直接链路建立请求消息利用 STA1与 AP进行关联时产生的 PTK进行加密。 STA1与 AP进行关联时产生密钥 1 ( PTK1 ) 的过程为现有技术，在此不再赘述。

可选的，直接链路建立请求消息中携带的 STA1的地址信息和 STA2的地址信息，可以釆用关联标识（ Association Identifier, AID ) , AID可以是在 STA1 与 AP进行关联时 AP为 STA1分配的关联标识，该关联标识的长度通常为 16 比特，相对于使用 48比特媒体接入控制 ( Media Access Control, MAC )地址，在 STA2传输时使用长度短的关联标识可以降低传输的负担，缩短链路建立后数据帧的帧头，从而可以提高有效负载的吞吐率。

需要说明的是， STA1与 STA2建立直连链路过程中，可以釆用 AID作为各自的地址信息。 STA1与 STA2直连链路建立后，当 STA1需要向 STA2发送业务数据时，可以釆用如下表一所示的两地址的短 MAC帧头格式。

Octets: 2 2 2 2

AID AID Sequence

Frame Control

(A1 for STAI) (A2 for STA2) Control 表一

表一中： Frame Control表示帧控制字，占用 2个字节； A1 for STA1为 STA1 的 ΑΙβ 占用 2个字节； Α2 for STA2为 STA2的 ΑΙβ 占用 2个字节； Sequence Control携带数据单元的编号和数据单元片段的编号，占用 2个字节。

5702、 AP将直接链路建立请求消息发送给 STA2。

其中， AP可以根据业务需要选择是否需要解析直接链路建立请求消息。例如：为了管理 AP范围内的各 STA1 , 以保证业务传输质量， AP可以解析建立请求消息，以获知 STA1通过哪个 STA2转发业务数据。

AP向 STA2转发的直接链路建立请求消息釆用 STA2与 AP关联时产生的密钥 2 ( PTK2 )进行加密。

5703、 STA2生成第一密钥信息，第一密钥信息用于对 STA1与 STA2之间的直接链路上传输的业务数据进行安全传输。

其中， STA2可以生成一个唯一的不与其他密钥重复的随机数作为第一密钥，也可以通过其他密钥生成方式生成第一密钥，在此并不做出限制。

可选的， STA2还可以确定第一密钥的生命周期。

S704、 STA2向 AP发送直接链路建立响应消息，直接链路建立响应消息中携带第一密钥信息。

其中，第一密钥信息中包括第一密钥，或者，可以包括第一密钥和第一密钥的生命周期信息。

与直接链路建立请求消息类似的， STA2向 AP发送 TDLS建立响应消息中包括： STA1的地址信息， STA2的地址信息， STA2支持的速率集合和能力 Capacities参数等。可选的，该 STA1的地址信息和 STA2的地址信息也可以釆用 AID。此外，该直接链路建立响应消息中还携带 STA2生成的第一密钥信息。

STA2向 AP方式的直接链路建立响应消息同样釆用 STA2与 AP关联时产生的密钥 2 ( PTK2 )进行加密。

STA2在向 AP发送直接链路建立响应消息之后，可以一直处于 active状态，直到收到 S707中的第一确认消息或是 STA2的定时器溢出。

5705、 AP将直接链路建立响应消息发送给请求站点。

AP向 STA1转发的直接链路建立响应消息可以釆用 STA1与 AP进行关联时产生密钥 1 ( PTK1 )进行加密。

5706、 STA1釆用第一密钥信息对第一直接链路建立确认消息进行加密，生成第一消息完整性码 MIC。

5707、 STA1通过直接链路向 STA2发送第一直接链路建立确认消息，第一直接链路建立确认消息中携带第一 MIC。

其中，第一直接链路建立确认消息（Confirm消息）至少包括： STA1的地址信息、 STA2的地址信息和第一 MIC等。

可选的， STA1的地址信息和 STA2的地址信息，可以釆用 AID。

S708、 STA2根据第一 MIC对请求站点接收的第一密钥进行完整性验证。若验证通过，则执行 S709, 否则流程结束。

S709、 STA2通过直接链路向 STA1发送第一确认消息，第一确认消息用于指示 STA1接收的第一密钥信息通过完整性验证。

其中， STA1根据第一密钥信息生成第一 MIC的过程，以及 STA2根据第一 MIC对 STA1接收的第一密钥信息进行完整性验证的过程均为现有技术，在此不再赘述。如果 STA2进行完整性验证失败，则 STA2不向 STA1发送第一确认消息，则 STA1与 STA2的直接链路建立失败。

STA1与 STA2之间的直接链路建立完毕后， STA1可以釆用第一密钥信息对在直接链路向 STA2发送的业务数据进行加密，再由 STA2将业务数据传输至 AP。其中， STA2向 AP转发的业务数据可以由 STA2与 AP进行关联时产生密钥 2 ( PTK2 )进行加密。

可选的, STA1在向 AP发送业务数据的过程中，也可以选择是否通过 STA2 转发业务数据。 STA1 可以在业务数据的物理层（ Physical Layer, PHY层）的帧头的信号或信号 A或信号 B ( Signal 或 Signal A 或 Signal B, SIGA )单元内添加一个比特的指示位，通过该指示位指示 STA2是否转发数据包。例如： STA1可以通过该指示位置 1 , 表示数据包由 STA2转发；置 0, 表示数据包不由 STA2转发，若 STA2接收到 STA1发送的数据包，可以做丟弃处理。需要说明的是，由于 1 1 ah规范中物理层的循环冗余校验 ( Cyclical Redundancy Check, CRC )校验只有 4个比特，物理头内的指示位较易受到干扰，因此， STA2可以进一步分析数据帧 MAC头内的地址信息来确认是否需要向 AP转发数据帧。

本实施例提供的建立链路方法，请求站点向接入点发送直接链路建立请求消息之后，接入点可以将该建立请求消息发送给被请求站点，被请求站点接收到接入点转发的直接链路建立请求消息之后，在返回给接入点的直接链路建立响应消息中携带被请求站点生成的密钥信息，以使接入点将该建立响应消息返回给请求站点后，请求站点能够根据该密钥对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输，实现节省请求站点与被请求站点建立链路过程中的信令开销。被请求站点可以从直接链路上直接收到请求站点发送的直接链路建立确认消息，而不必通过接入点转发该确认消息，因此，减少了请求站点直接向接入点发送消息的次数，可以有效降低请求站点的能耗。图 8为本发明提供的密钥更新方法又一个实施例的流程图，如图 8所示，该方法包括：

5801、 STA2生成第二密钥信息，第二密钥信息用于替换第一密钥信息，对 STA1与 STA2之间的直接链路上传输的业务数据进行安全传输。

可选的， STA2还可以确定第二密钥的生命周期。

与生成第一密钥类似的， STA2可以生成一个唯一的不与其他密钥（包括第一密钥）重复的随机数作为第二密钥，也可以通过其他密钥生成方式生成第二密钥，在此并不做出限制。

5802、 STA2将第二密钥信息发送给 AP。

其中，第二密钥信息中包括第二密钥，或者，可以包括第二密钥和第二密钥的生命周期信息。

其中， STA2向 AP发送的第二密钥信息可以釆用现有的各种消息格式。可选的，可以釆用直接链路建立响应消息（ Setu p Response ) 的消息格式。该新消息中可以包括： STA1的地址信息、 STA2的地址信息， STA2支持的速率集合和能力（Capacities )参数，以及第二密钥信息。该消息可以通过 STA2与

AP之间的 RSNA传邋可以釆用 STA2与 AP之间关联时产生的密钥 2( PTK2 ) 进行力口密。

可选的， STA1的地址信息和 STA2的地址信息可以釆用 AID。

5803、 AP将第二密钥信息发送给 STA1。

与 S802类似的， AP可以根据业务需要选择是否需要解析携带第二密钥及第二密钥的生命周期信息的消息。 AP可以通过 STA1与 AP关联时产生的密钥 1 ( PTK1 )对携带第二密钥信息的消息进行加密。

5804、 STA1釆用第二密钥信息对第二直接链路建立确认消息进行加密，生成第二 MIC。

S805、 STA1通过直接链路向 STA2发送第二直接链路建立确认消息，第二直接链路建立确认消息中携带第二 MIC。 5806、 STA2根据第二 MIC对第三确认消息进行完整性验若验证通过，则执行 S417, 否则流程结束。

5807、 STA2通过直接链路向 STA1发送第二确认消息，第二确认消息用于指示 STA1接收的第二密钥通过完整性验证。

其中， S804-S807的过程与 S706-S709的过程相类似，可参见 S706-S709 的相关描述。

本实施例提供的密钥更新方法，被请求站点可以在密钥的生命周期结束之前，产生新的密钥并发送给请求站点，从而避免了由于密钥过期而导致的请求站点与被请求站点之间的直接链路重新建立，从而增加了传输吞吐率。图 9为本发明提供的被请求站点一个实施例的结构示意图，如图 9所示，该被请求站点包括：接收器 1 1、处理器 12和发送器 13;

接收器 1 1 , 用于接收接入点发送的直接链路建立请求消息，直接链路建立请求消息用于请求在请求站点与被请求站点之间建立直接链路；

处理器 12, 用于生成第一密钥信息，第一密钥信息用于对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输；

发送器 13, 用于向接入点发送直接链路建立响应消息，以使接入点将直接链路建立响应消息发送给请求站点，直接链路建立响应消息中携带第一密钥信息；

接收器 1 1还可以用于：接收请求站点通过直接链路发送的第一直接链路建立确认消息，第一直接链路建立确认消息用于指示请求站点接收到被请求站点生成的第一密钥信息。

可选的，发送器 13发送的第一密钥信息中包括第一密钥，或包括第一密钥和第一密钥的生命周期；当第一密钥信息中包括第一密钥和第一密钥的生命周期时，处理器 12还可以用于：确定第一密钥的生命周期。

可选的，处理器 12还可以用于：生成第二密钥信息，第二密钥信息用于替换第一密钥信息，对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输；

相应的，发送器 13还可以用于：将第二密钥信息发送给接入点，以使接入点将第二密钥信息发送给被请求站点。

可选的，发送器 13发送的第二密钥信息中包括第二密钥，或第二密钥和第二密钥的生命周期；当第二密钥信息中包括第二密钥和第二密钥的生命周期时，处理器 12还可以用于：确定第二密钥的生命周期。

可选的，接收器 1 1还可以用于：接收请求站点通过直接链路发送的第二直接链路建立确认消息，第二直接链路建立确认消息用于指示请求站点接收到被请求站点生成的第二密钥信息。

本发明实例提供的被请求站点为本发明实施例提供的建立直接链路方法的执行设备，其执行建立直接链路方法的具体过程可参见图 3和图 7所示的方法实施例中的相关描述，在此不再赘述。

本实施例被请求站点，接收到接入点转发的直接链路建立请求消息之后，在返回给接入点的直接链路建立响应消息中携带被请求站点生成的密钥信息，以使接入点将该直接链路建立响应消息返回给请求站点后，请求站点能够根据该密钥对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输，实现节省请求站点与被请求站点建立链路过程中的信令开销。图 10为本发明提供的请求站点一个实施例的结构示意图，如图 10所示，该请求站点包括：发送器 21、接收器 22;

发送器 21 , 用于向接入点发送直接链路建立请求消息，以使接入点将直接链路建立请求消息发送给被请求站点，直接链路建立请求消息用于请求在请求站点与被请求站点之间建立直接链路；

接收器 22, 用于接收接入点发送的直接链路建立响应消息，直接链路建立响应消息中携带第一密钥信息，第一密钥信息用于对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输；

发送器 21还用于：通过直接链路向被请求站点发送的第一直接链路建立确认消息，第一直接链路建立确认消息用于指示请求站点接收到被请求站点生成的第一密钥信息。

可选的，接收器 22接收的第一密钥信息可以包括第一密钥，或者包括第一密钥和第一密钥的生命周期信息。

可选的，接收器 22还可以用于：接收接入点发送的第二密钥信息，第二密钥信息由被请求站点生成，第二密钥信息用于替换第一密钥，对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输。

可选的，接收器 22接收的第二密钥信息可以包括第二密钥，或包括第二密钥和第二密钥的生命周期信息。

可选的，发送器 21还可以用于：通过直接链路向被请求站点发送的第二直接链路建立确认消息，第二直接链路建立确认消息用于指示请求站点接收到被请求站点生成的第二密钥信息。

本发明实例提供的请求站点为本发明实施例提供的建立直接链路方法的执行设备，其执行建立直接链路方法的具体过程可参见图 1和图 7所示的方法实施例中的相关描述，在此不再赘述。

本实施例提供的请求站点，向接入点发送直接链路建立请求消息之后，可以接收到接入点返回的携带被请求站点生成的密钥信息的直接链路建立响应消息，请求站点能够根据该密钥对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输，实现节省请求站点与被请求站点建立链路过程中的信令开销。图 1 1为本发明提供的被请求站点又一个实施例的结构示意图，如图 1 1所示，该被请求站点可以包括：处理器 31和发送器 32;

处理器 31 , 用于生成第二密钥信息，第二密钥信息用于替换被请求站点生成的第一密钥信息，对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输；

发送器 32, 用于将第二密钥信息发送给接入点，以使接入点将第二密钥信息发送给被请求站点。

可选的，发送器 32发送的第二密钥信息中包括可以第二密钥，或第二密钥和第二密钥的生命周期；当第二密钥信息中包括第二密钥和第二密钥的生命周期时，处理器 31还可以用于：确定第二密钥的生命周期。

图 12为本发明提供的被请求站点又一个实施例的结构示意图，如图 12所示，可选的，在图 1 1所示实施例的基础上，被请求站点还可以包括：

接收器 33, 可以用于接收请求站点通过直接链路发送的直接链路建立确认消息，直接链路建立确认消息用于指示请求站点接收到被请求站点生成的第二密钥信息。

本发明实例提供的被请求站点为本发明实施例提供的密钥更新方法的执行设备，其执行密钥更新方法的具体过程可参见图 4和图 8所示的方法实施例中的相关描述，在此不再赘述。本实施例提供的被请求站点，产生用于替换第一密钥信息的第二密钥信息后，可以将第二密钥信息通过接入点返回给请求站点，以使请求站点釆用第二密钥信息替换第一密钥信息对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输，实现节省密钥更新过程的信令开销。图 13为本发明提供的请求站点又一个实施例的结构示意图，如图 13所示，该请求站点包括：接收器 41和处理器 42;

接收器 41 , 用于接收接入点发送的第二密钥信息，第二密钥信息由被请求站点生成，用于替换被请求站点生成的第一密钥信息，对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输；

处理器 42, 用于釆用第二密信息钥替换第一密钥信息，对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输。

可选的，接收器 41接收的第二密钥信息可以包括第二密钥，或包括第一密钥和第二密钥的生命周期信息。

图 14为本发明提供的请求站点又一个实施例的结构示意图，如图 14所示，在图 13所示实施例的基础上，该请求站点还可以包括：

发送器 43, 用于通过直接链路向被请求站点发送直接链路建立确认消息，直接链路建立确认消息用于指示请求站点接收到被请求站点生成的第二密钥信息。

本发明实例提供的请求站点为本发明实施例提供的密钥更新方法的执行设备，其执行密钥更新方法的具体过程可参见图 6和图 8所示的方法实施例中的相关描述，在此不再赘述。

本实施例提供的请求站点，可以接收到接入点转发的被请求站点产生用于替换第一密钥的第二密钥信息，从而釆用第二密钥信息替换第一密钥信息对请求站点与被请求站点之间的直接链路上传输的业务数据进行安全传输，实现节省密钥更新过程的信令开销。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以釆用硬件的形式实现，也可以釆用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）或处理器（processor )执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括： U盘、移动硬盘、只读存储器（ROM, Read-Only Memory ), 随机存取存储器（RAM, Random Access Memory )、磁碟或者光盘等各种可以存储程序代码的介质。

以上，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims

权利要求

1、一种建立直接链路方法，其特征在于，包括：请求站点向接入点发送直接链路建立请求消息，以使所述接入点将所述直接链路建立请求消息发送给所述被请求站点，所述直接链路建立请求消息用于请求在所述请求站点与被请求站点之间建立直接链路；

所述请求站点接收所述接入点发送的直接链路建立响应消息，所述直接链路建立响应消息中携带第一密钥信息，所述第一密钥信息用于对所述请求站点与所述被请求站点之间的所述直接链路上传输的业务数据进行安全传输；

所述请求站点通过所述直接链路向所述被请求站点发送的第一直接链路建立确认消息，所述第一直接链路建立确认消息用于指示所述请求站点接收到所述被请求站点生成的所述第一密钥信息。

2、根据权利要求 1所述的方法，其特征在于，所述第一密钥信息包括第一密钥，或者包括所述第一密钥和所述第一密钥的生命周期信息。

3、根据权利要求 1或 2所述的方法，其特征在于，所述请求站点接收所述接入点发送的直接链路建立响应消息之后，还包括：

所述请求站点接收所述接入点发送的第二密钥信息，所述第二密钥信息由所述被请求站点生成，所述第二密钥信息用于替换所述第一密钥信息，对所述请求站点与所述被请求站点之间的所述直接链路上传输的业务数据进行安全传输。

4、根据权利要求 3所述的方法，其特征在于，所述第二密钥信息包括第二密钥，或包括所述第二密钥和所述第二密钥的生命周期信息。

5、根据权利要求 3或 4所述的方法，其特征在于，所述请求站点接收所述接入点发送的第二密钥信息之后，还包括：所述请求站点通过所述直接链路向所述被请求站点发送的第二直接链路建立确认消息，所述第二直接链路建立确认消息用于指示所述请求站点接收到所述被请求站点生成的所述第二密钥信息。

6、一种建立直接链路方法，其特征在于，包括：

7、根据权利要求 6所述的方法，其特征在于，所述第一密钥信息中包括第一密钥，或包括所述第一密钥和所述第一密钥的生命周期；

当所述第一密钥信息中包括所述第一密钥和所述第一密钥的生命周期时，所述被请求站点向所述接入点发送直接链路建立响应消息之前，还包括：

所述被请求站点确定所述第一密钥的生命周期。

8、根据权利要求 6或 7所述的方法，其特征在于，所述被请求站点向所述接入点发送直接链路建立响应消息之后，还包括：

所述被请求站点生成第二密钥信息，所述第二密钥信息用于替换所述第一密钥信息，对所述请求站点与所述被请求站点之间的所述直接链路上传输的业务数据进行安全传输；

所述被请求站点将第二密钥信息发送给所述接入点，以使所述接入点将所述第二密钥信息发送给所述被请求站点。

9、根据权利要求 8所述的方法，其特征在于，所述第二密钥信息中包括第二密钥，或所述第二密钥和所述第二密钥的生命周期；

当所述第二密钥信息中包括所述第二密钥和所述第二密钥的生命周期时，所述被请求站点向所述接入点发送直接链路建立响应消息之后，还包括：

所述被请求站点确定所述第二密钥的生命周期

。

10、根据权利要求 8或 9所述的方法，其特征在于，所述被请求站点将所述第二密钥信息发送给所述接入点之后，还包括：

所述被请求站点接收所述请求站点通过所述直接链路发送的第二直接链路建立确认消息，所述第二直接链路建立确认消息用于指示所述请求站点接收到所述被请求站点生成的第二密钥信息。

1 1、一种密钥更新方法，其特征在于，包括：

12、根据权利要求 1 1所述的方法，其特征在于，所述第二密钥信息中包括第二密钥，或所述第二密钥和所述第二密钥的生命周期；

当所述第二密钥信息中包括所述第二密钥和所述第二密钥的生命周期时，所述被请求站点将第二密钥信息发送给接入点之前，还包括：

所述被请求站点确定所述第二密钥的生命周期。

13、根据权利要求 1 1或 12所述的方法，其特征在于，所述被请求站点将所述第二密钥信息发送给接入点之后，还包括：

所述被请求站点接收所述请求站点通过所述直接链路发送的直接链路建立确认消息，所述直接链路建立确认消息用于指示所述请求站点接收到所述被请求站点生成的第二密钥信息。

14、一种密钥更新方法，其特征在于，包括：

15、根据权利要求 14所述的方法，其特征在于，所述第二密钥信息包括第二密钥，或包括所述第一密钥和所述第二密钥的生命周期信息。

16、根据权利要求 14或 15所述的方法，其特征在于，所述请求站点接收接入点发送的所述第二密钥信息之后，还包括：

所述请求站点通过所述直接链路向所述被请求站点发送直接链路建立确认消息，所述直接链路建立确认消息用于指示所述请求站点接收到所述被请求站点生成的第二密钥信息。

17、一种请求站点，其特征在于，包括：

接收器，用于接收所述接入点发送的直接链路建立响应消息，所述直接链路建立响应消息中携带第一密钥信息，所述第一密钥信息用于对所述请求站点与所述被请求站点之间的所述直接链路上传输的业务数据进行安全传输；

所述发送器还用于：通过所述直接链路向所述被请求站点发送的第一直接链路建立确认消息，所述第一直接链路建立确认消息用于指示所述请求站点接收到所述被请求站点生成的所述第一密钥信息。

18、根据权利要求 17所述的请求站点，其特征在于，所述接收器接收的所述第一密钥信息包括第一密钥，或者包括所述第一密钥和所述第一密钥的生命周期信息。

19、根据权利要求 17或 18所述的请求站点，其特征在于，所述接收器还用于：接收所述接入点发送的第二密钥信息，所述第二密钥信息由所述被请求站点生成，所述第二密钥信息用于替换所述第一密钥信息，对所述请求站点与所述被请求站点之间的所述直接链路上传输的业务数据进行安全传输。

20、根据权利要求 19所述的请求站点，其特征在于，所述接收器接收的所述第二密钥信息包括第二密钥，或包括所述第二密钥和所述第二密钥的生命周期信息。

21、根据权利要求 19或 20所述的请求站点，其特征在于，所述发送器还用于：通过所述直接链路向所述被请求站点发送的第二直接链路建立确认消息，所述第二直接链路建立确认消息用于指示所述请求站点接收到所述被请求站点生成的所述第二密钥信息。

22、一种被请求站点，其特征在于，包括：

接收器，用于接收接入点发送的直接链路建立请求消息，所述直接链路建立请求消息用于请求在请求站点与所述被请求站点之间建立直接链路；

处理器，用于生成第一密钥信息，所述第一密钥信息用于对所述请求站点与所述被请求站点之间的所述直接链路上传输的业务数据进行安全传输；

23、根据权利要求 22所述的被请求站点，其特征在于，所述发送器发送的所述第一密钥信息中包括第一密钥，或包括所述第一密钥和所述第一密钥的生命周期；当所述第一密钥信息中包括所述第一密钥和所述第一密钥的生命周期时，所述处理器还用于：确定所述第一密钥的生命周期。

24、根据权利要求 22或 23所述的被请求站点，其特征在于，所述处理器还用于：生成第二密钥信息，所述第二密钥信息用于替换所述第一密钥信息，对所述请求站点与所述被请求站点之间的所述直接链路上传输的业务数据进行安全传输；

所述发送器还用于：将第二密钥信息发送给所述接入点，以使所述接入点将所述第二密钥信息发送给所述被请求站点。

25、根据权利要求 24所述的请求站点，其特征在于，所述发送器发送的所述第二密钥信息中包括第二密钥，或所述第二密钥和所述第二密钥的生命周期；当所述第二密钥信息中包括所述第二密钥和所述第二密钥的生命周期时，所述处理器还用于：确定所述第二密钥的生命周期。

26、根据权利要求 24或 25所述的被请求站点，其特征在于，所述接收器还用于：接收所述请求站点通过所述直接链路发送的第二直接链路建立确认消息，所述第二直接链路建立确认消息用于指示所述请求站点接收到所述被请求站点生成的第二密钥信息。

27、一种被请求站点，其特征在于，包括：

28、根据权利要求 27所述的被请求站点，其特征在于，所述发送器发送的所述第二密钥信息中包括第二密钥，或所述第二密钥和所述第二密钥的生命周期；当所述第二密钥信息中包括所述第二密钥和所述第二密钥的生命周期时，所述处理器还用于：确定所述第二密钥的生命周期。

29、根据权利要求 27或 28所述的被请求站点，其特征在于，还包括：接收器，用于接收所述请求站点通过所述直接链路发送的直接链路建立确认消息，所述直接链路建立确认消息用于指示所述请求站点接收到所述被请求站点生成的第二密钥信息。

30、一种请求站点，其特征在于，包括：

31、根据权利要求 30所述的请求站点，其特征在于，所述接收器接收的所述第二密钥信息包括第二密钥，或包括所述第一密钥和所述第二密钥的生命周期信息。

32、根据权利要求 30或 31所述的请求站点，其特征在于，还包括：发送器，用于通过所述直接链路向所述被请求站点发送直接链路建立确认消息，所述直接链路建立确认消息用于指示所述请求站点接收到所述被请求站点生成的第二密钥信息。