WO2018040805A1 - 无线局域网中建立关联的方法、终端和接入点 - Google Patents

Abstract

本发明实施例提供了一种无线局域网中建立关联的方法、终端和接入点，该方法包括：终端生成加密的该终端的能力信息；该终端接收接入点发送的关联前索引信息，该关联前索引信息用于该接入点识别该终端；该终端向该接入点发送加密的该终端的能力信息和关联请求消息，该关联请求消息包括该关联前索引信息；该终端接收该接入点根据该终端的能力信息发送的关联响应消息，从而该终端与该接入点建立起关联。终端的能力信息通过加密的方式发送给接入点，并通过关联前索引信息来标识该终端，这样，窃听者在空口即使监听到该终端的能力信息，也不能获取该终端的能力信息，提高了用户隐私保护能力。

Description

无线局域网中建立关联的方法、终端和接入点

本申请要求于2016年8月31日提交中国专利局、申请号为CN201610799549.0、申请名称为“一种设备之间进行安全关联的方法和设备”的中国专利申请,以及于2016年11月11日提交中国专利局、申请号为CN201610995436.8、申请名称为“无线局域网中建立关联的方法、终端和接入点”的中国专利申请的优先权，它们的全部内容通过引用结合在本申请中。

技术领域

本发明实施例涉及通信领域，尤其涉及通信领域中无线局域网中建立关联的方法、终端和接入点。

背景技术

无线保真(Wireless Fidelity，WiFi)技术作为一种短距离的无线局域网通信技术，以其频谱免费、传输速率高等优点得到了非常广泛的应用。目前在机场、餐馆和会议室等许多公共场合都设置有WiFi的接入点(Access Point，AP)。用户可以通过带有WiFi网络接口的终端与AP相连，实现低资费或者免费的网络访问。

终端在向AP发送关联请求消息之前，首先向AP发送探测请求消息，在该探测请求消息中，携带了终端的设备信息，例如，设备的能力信息，支持的速率信息(Support rates)、扩展支持的速率信息(Extended Supported Rates)和厂商特定信息(Vendor Specific)等。这些设备信息在正常情况下不会发生变化，也就是说终端在与AP关联之前的探测请求消息中携带的这些设备信息长时间保持不变。这些信息中的某一种信息单独看在不同设备之间不是全局或者全球唯一的，但是其中一个或者多个信息的组合，就有可能成为该设备的一种“指纹”信息，这种“指纹”信息在局部地区或者甚至整个网络中都有可能在很大程度上能够唯一标识出该设备，因此，窃听者通过在空口接收探测请求消息并分析该消息中携带的这些“指纹”信息，便能够追踪到该设备，获取用户的隐私信息，例如，窃听者获取用户经常出现的地点、时间，从而通过大量的数据分析便可以获得用户的生活习惯、社会关系甚至社会关系等隐私信息。

发明内容

本申请提出了一种无线局域网中建立关联的方法、终端和接入点，以解决用户隐私在终端与接入点关联过程中泄露的问题。

第一方面，提供了一种无线局域网中建立关联的方法，该方法包括：终端生成加密的所述终端的能力信息；所述终端接收接入点发送的与所述终端相关的关联前索引信息，所述关联前索引信息用于所述接入点在所述终端与所述接入点尚未建立关联时识别所述终端；所述终端向所述接入点发送加密的所述终端的能力信息和关联请求消息，所述关联请求消息包括所述关联前索引信息；所述终端接收所述接入点根据所述终端的能力信息和所述关联前索引信息发送的关联响应消息，从而所述终端与所述接入点建立起关联。

该关联前索引信息能够标识该终端。该终端与该接入点尚未建立关联时，可以指在该终端与该接入点尚未成功建立本次关联时，可以是在建立本次关联前或在建立本次关联的过程中，具体可以包括：在STA向AP发送关联请求消息时，或者说，在AP接收到STA发送的关联请求消息时。当然，该关联前 索引信息也可以在该终端与该接入点成功建立本次关联后继续使用，例如，用于下一次该终端与该接入点进行关联前或关联过程中。

终端的能力信息通过加密的方式发送给接入点，并通过关联前索引信息来标识该终端，这样，窃听者不管是在关联之前或者是在关联过程中在空口即使监听到该终端的能力信息，也不能获取该终端的能力信息，从而可以防止窃听者根据终端的能力信息确定终端所在的位置、时间等信息，避免用户隐私的泄露。

结合第一方面，在第一方面的某些实现方式中，所述终端向所述接入点发送加密的所述终端的能力信息和关联请求消息(可称为：Association Request消息)，包括：所述终端向所述接入点发送所述关联请求消息，所述关联请求消息包括所述加密的所述终端的能力信息。

通过所述关联请求消息来携带所述加密的终端的能力信息，可以进一步节省信令的开销，提高无线资源的利用率。

结合第一方面，在第一方面的某些实现方式中，所述终端向所述接入点发送加密的所述终端的能力信息和关联请求消息，包括：所述终端向所述接入点发送第一消息，所述第一消息包括所述加密的所述终端的能力信息，所述第一消息为管理消息；所述终端向所述接入点发送所述关联请求消息。

结合第一方面，在第一方面的某些实现方式中，在所述终端向所述接入点发送加密的所述终端的能力信息之前，所述方法还包括：所述终端向所述接入点发送所述终端的公钥，所述终端的公钥用于所述接入点生成解密所述加密的终端的能力信息的解密密钥，其中，所述终端接收所述接入点发送的与所述终端相关的关联前索引信息发生在所述终端向所述接入点发送所述终端的公钥之后；所述终端接收所述接入点发送的所述接入点的公钥；所述终端根据所述接入点的公钥生成所述终端的加密密钥，所述终端的加密密钥用于加密所述终端的能力信息。

结合第一方面，在第一方面的某些实现方式中，所述终端向所述接入点发送所述终端的公钥，包括：所述终端向所述接入点发送探测请求消息(即：Probe Request消息)，所述探测请求消息包括所述终端的公钥；或者，所述终端向所述接入点发送第二消息，所述第二消息包括所述终端的公钥，所述第二消息为管理消息。

结合第一方面，在第一方面的某些实现方式中，所述终端接收所述接入点发送的所述接入点的公钥，包括：所述终端接收所述接入点发送的探测响应消息(Probe Response消息)，所述探测响应消息包括所述接入点的公钥；或者，所述终端接收所述接入点发送的第三消息，所述第三消息包括所述接入点的公钥，所述第三消息为管理消息；或者，所述终端接收所述接入点发送的信标帧，所述信标帧包括所述接入点的公钥。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述终端接收所述接入点发送的指示信息，所述指示信息用于指示所述接入点支持与所述终端进行加密的所述终端的设备能力信息的传输。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述终端接收所述接入点发送的指示信息，包括：所述终端接收所述接入点发送的探测响应消息，所述探测响应消息包括所述指示信息；或者，所述终端接收所述接入点发送的第四消息，所述第四消息包括所述指示信息，所述第四消息为管理消息；或者，所述终端接收所述接入点发送的信标帧(即Beacon帧)，所述信标帧包括所述指示信息。

结合第一方面，在第一方面的某些实现方式中，所述终端接收所述接入点发送的关联前索引信息，包括：所述终端接收接入点发送的第五消息，所述第五消息包括所述关联前索引信息，所述第五消息为 管理消息(如：Action Frame)；或者，所述终端接收所述接入点发送的探测响应消息，所述探测响应消息包括所述关联前索引信息。

结合第一方面，在第一方面的某些实现方式中，所述终端向所述接入点发送所述关联请求消息所使用的MAC地址与所述终端向所述接入点发送所述关联请求消息之前所使用的MAC地址不同。

即使所述终端在向所述接入点发送关联请求消息之前使用的MAC地址和发送关联请求消息时使用的MAC地址不同，所述接入点仍然能够通过所述关联前索引信息来识别所述终端。

结合第一方面，在第一方面的某些实现方式中，所述第一消息、第二消息为同一消息，该消息同时包含了所述第一消息和所述第二消息所包含的内容。

结合第一方面，在第一方面的某些实现方式中，所述第一消息和所述第二消息为独立的消息。

应理解，这里独立的消息可以是与上述同一消息相对的概念，也就是说，第一消息和第二消息可以是不同的分别发送的消息。

结合第一方面，在第一方面的某些实现方式中，所述第三消息、第四消息和第五消息为同一消息，该消息包含了所述第三消息、第四消息和第五消息所包含的内容。

结合第一方面，在第一方面的某些实现方式中，所述第三消息、第四消息和第五消息中至少两个消息为独立的消息。

应理解，这里独立的消息可以是与上述同一消息相对的概念，也就是说，第三消息、第四消息和第五消息中至少两个消息可以是不同的分别发送的消息。

第二方面，提供了一种无线局域网中建立关联的方法，该方法包括：接入点生成与终端相关的关联前索引信息，所述关联前索引信息用于所述接入点在所述终端与所述接入点尚未建立关联时识别所述终端；所述接入点向所述终端发送所述关联前索引信息；所述接入点接收所述终端发送的加密的所述终端的能力信息和关联请求消息，所述关联请求消息包括所述关联前索引信息；所述接入点解密所述加密的终端的能力信息；所述接入点根据所述终端的能力信息和所述关联前索引信息向所述终端发送关联响应消息(可称为：Association Response消息)，从而所述接入点与所述终端建立起关联。

结合第二方面，在第二方面的某些实现方式中，所述接入点接收所述终端发送的加密的所述终端的能力信息和关联请求消息，包括：所述接入点接收所述终端发送的所述关联请求消息，所述关联请求消息包括所述加密的所述终端的能力信息。

结合第二方面，在第二方面的某些实现方式中，所述接入点接收所述终端发送的加密的所述终端的能力信息和关联请求消息，包括：所述接入点接收所述终端发送的第一消息，所述第一消息包括所述加密的所述终端的能力信息，所述第一消息为管理消息；所述接入点接收所述终端发送的关联请求消息。

结合第二方面，在第二方面的某些实现方式中，在所述接入点接收所述终端发送的加密的所述终端的能力信息之前，所述方法还包括：所述接入点接收所述终端发送的所述终端的公钥，其中，所述接入点向所述终端发送所述关联前索引信息发生在所述接入点接收所述终端发送的所述终端的公钥之后；所述接入点根据所述终端的公钥生成解密密钥，所述解密密钥用于解密所述加密的所述终端的能力信息；所述接入点向所述终端发送所述接入点的公钥，所述接入点的公钥用于所述终端生成加密所述终端的能力信息的加密密钥。

结合第二方面，在第二方面的某些实现方式中，所述接入点接收所述终端发送的所述终端的公钥，包括：所述接入点接收所述终端发送的探测请求消息，所述探测请求消息包括所述终端的公钥；或者，所述接入点接收所述终端发送的第二消息，所述第二消息包括所述终端的公钥，所述第二消息为管理消息。

结合第二方面，在第二方面的某些实现方式中，所述接入点向所述终端发送所述接入点的公钥，包括：所述接入点向所述终端发送探测响应消息，所述探测响应消息包括所述接入点的公钥；或者，所述接入点向所述终端发送第三消息，所述第三消息包括所述接入点的公钥，所述第三消息为管理消息；或者，所述接入点向所述终端发送信标帧，所述信标帧包括所述接入点的公钥。

结合第二方面，在第二方面的某些实现方式中，所述方法还包括：所述接入点向所述终端发送指示信息，所述指示信息用于指示所述接入点支持与所述终端进行加密的所述终端的设备能力信息的传输。

结合第二方面，在第二方面的某些实现方式中，所述接入点向所述终端发送指示信息，包括：所述接入点向所述终端发送探测响应消息，所述探测响应消息包括所述指示信息；或者所述接入点向所述终端发送第四消息，所述第四消息包括所述指示信息，所述第四消息为管理消息；或者，所述接入点向所述终端发送信标帧，所述信标帧包括所述指示信息。

结合第二方面，在第二方面的某些实现方式中，所述接入点向所述终端发送所述关联前索引信息，包括：所述接入点向所述终端发送第五消息，所述第五消息包括所述关联前索引信息，所述第五消息为管理消息；或者，所述接入点向所述终端发送探测响应消息，所述探测响应消息包括所述关联前索引信息。

结合第二方面，在第二方面的某些实现方式中，在所述接收所述终端发送的所述关联请求消息之前，所述方法还包括：所述接入点生成加密的接入点的能力信息；所述接入点向所述终端发送所述加密的接入点的能力信息。

第三方面，提供了一种终端，该终端可用于执行上述第一方面各方法实施例所提供的方法，该终端包括：生成模块，用于生成加密的所述终端的能力信息；接收模块，用于接收接入点发送的关联前索引信息，所述关联前索引信用于所述接入点识别所述终端；发送模块，用于向所述接入点发送加密的所述终端的能力信息和关联请求消息，所述关联请求消息包括所述关联前索引信息；所述接收模块还用于接收所述接入点根据所述终端的能力信息发送的关联响应消息，从而所述终端和所述接入点建立起关联。

第四方面，提供了一种接入点，该接入点可用于执行上述第二方面各方法实施例所提供的方法，该接入点包括：生成模块，用于生成与终端相关的关联前索引信息，所述关联前索引信息用于所述接入点在所述终端与所述接入点尚未建立关联时识别所述终端；发送模块，用于向所述终端发送所述关联前索引信息；接收模块，用于接收所述终端发送的加密的所述终端的能力信息和关联请求消息，所述关联请求消息包括所述关联前索引信息；解密模块，用于解密所述加密的终端的能力信息；所述发送模块还用于：根据所述终端的能力信息和所述关联前索引信息向所述终端发送关联响应消息，从而所述接入点和所述终端建立起关联。

第五方面，提供了一种终端，该终端可用于执行上述第一方面各方法实施例所提供的方法，该终端包括：处理器1101、存储器1102、发送器1103、接收器1105，终端中的前述各个组件通过耦合的方式连接在一起，接收器1105通过天线1104接收数据，发送器1103通过天线1104发送数据。其中，该处理器1101，用于生成加密的所述终端的能力信息；接收器1105，用于接收接入点发送的关联前索引信息，所述关联前索引信用于所述接入点识别所述终端；发送器1103，用于向向所述接入点发送加密的所述终端的能力信息和关联请求消息，所述关联请求消息包括所述关联前索引信息；所述接收器1104还用于接收所述接入点根据所述终端的能力信息和所述关联前索引信息发送的关联响应消息，从而所述终端和所述接入点建立起关联。

第六方面，提供了一种接入点，该接入点可用于执行上述第二方面各方法实施例所提供的方法，该接入点包括：处理器1201、存储器1202、发送器1203、接收器1205，终端中的各个组件通过耦合的方 式连接在一起，接收器1205通过天线1204接收数据，发送器1203通过天线1204发送数据。其中，该处理器1201，用于生成与终端相关的关联前索引信息，所述关联前索引信息用于所述接入点在所述终端与所述接入点尚未建立关联时识别所述终端；发送器1203，用于向所述终端发送所述关联前索引信息；接收器1205，用于接收所述终端发送的加密的所述终端的能力信息和关联请求消息，所述关联请求消息包括所述关联前索引信息；处理器1201，用于解密所述加密的终端的能力信息；所述发送器1203还用于根据所述终端的能力信息和所述关联前索引信息向所述终端发送关联响应消息，从而所述接入点和所述终端建立起关联。

第七方面，提供了一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的指令。

第八方面，提供了一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第二方面或第二方面的任意可能的实现方式中的方法的指令。

第九方面，提供了一种通信的***，包括如第三方面所述的终端和第四方面所述的接入点。

第十方面，提供了一种通信的***，包括如第五方面所述的终端和第六方面所述的接入点。

终端的能力信息通过加密的方式发送给接入点，这样，窃听者不管是在关联之前或者是在关联过程中在空口即使监听到该加密的终端的能力信息，也不能解密获取该终端的能力信息，从而可以防止窃听者根据终端的能力信息确定终端所在的位置、时间等信息，避免用户隐私的泄露。进一步地，接入点通过给终端分配关联前索引信息，通过关联前索引信息来标识该终端，这样，即使终端在向接入点发送关联请求消息之前使用的MAC地址和发送关联请求消息时使用的MAC地址不同，接入点仍然能够通过关联前索引信息来识别终端，并确定解密密钥来解密所述加密的终端的设备能力信息，从而获得终端的设备能力信息。

附图说明

图1是本发明实施例可能使用的应用场景；

图2是根据本发明实施例的智能手机的示意性框图；

图3是本发明实施例的无线局域网中建立关联的方法的流程图；

图4是本发明另一实施例的无线局域网中建立关联的方法的流程图；

图5是本发明再一实施例的无线局域网中建立关联的方法的流程图；

图6是本发明再一实施例的无线局域网中建立关联的方法的流程图；

图7是本发明再一实施例的无线局域网中建立关联的方法的流程图；

图8是本发明再一实施例的无线局域网中建立关联的方法的流程图；

图9是本发明实施例的终端的示意性框图；

图10是本发明实施例的接入点的示意性框图；

图11是本发明另一实施例的终端的示意性框图；

图12是本发明另一实施例的接入点的示意性框图；

图13是本发明再一实施例的终端的示意性框图；

图14是本发明再一实施例的接入点的示意性框图。

具体实施方式

下面结合附图，对本发明的实施例进行描述。

本发明的各实施例，可以应用于各种无线通信***，例如：基于无线保真(Wireless Fidelity，WIFI)、蓝牙(Bluetooth)、及全球微波互联接入(Worldwide Interoperability for Microwave Access，WiMAX)、无线局域网鉴别和保密基础结构(Wireless LAN Authentication and Privacy Infrastructure，WAPI)等等***以及其它将终端以无线方式互相连接的通信***。本发明实施例并不限定，但为描述方便，下述实施例以WiFi***为例进行说明。

接入点(Access Point，AP)，也可称之为无线访问接入点或桥接器或热点等，其可以接入服务器或通信网络。

站点(Station，STA)，可以是无线传感器、无线通信终端或移动终端，如支持WiFi通讯功能的移动电话(或称为“蜂窝”电话)和具有无线通信功能的计算机，例如，可以是支持WiFi通讯功能的便携式、袖珍式、手持式、计算机内置的或者车载的无线通信装置，它们与无线接入网交换语言和/或数据。本发明实施例并不限定，但为描述方便，下述实施例以终端为例进行说明。

图1是本发明实施例可能使用的应用场景。如图1所示，STA在向AP发送关联请求之前，首先向AP发送探测请求消息，该探测请求消息中可以包括该STA的设备信息，并接收AP根据该探测请求消息内容发送的探测响应消息；或者，终端接收接入点发送的信标帧，该信标帧可以包括该接入点的设备信息。之后终端向AP发送关联请求消息，接收AP发送的关联响应消息并完成与AP的关联。终端在与AP关联后可以通过安全认证消息建立与AP的安全连接，从而进行后续的数据传输。

在上述STA与AP建立关联的过程中，探测请求消息和/或关联请求消息中携带的该STA的设备信息是通过空口发送，由于该STA的设备信息中的个性化信息容易构成该STA的“指纹”信息，因此，窃听者可以通过在空口上接收和分析探测请求消息和/或关联请求消息报文，便可以追踪到该STA，造成用户隐私信息的泄露。

应理解，当具有WiFi功能的STA与AP处于未连接状态时，STA一般会周期性的发送探测请求消息来扫面周围的接入点，即使STA已经与当前AP连接，在实际中STA仍然会发送探测请求消息扫描周围的接入点，这样当当前接入点的信号变弱的情况下，STA可以快速完成接入点的切换。这种STA在关联状态下和未关联状态下均会发送探测请求，而探测请求中携带设备信息，例如，设备能力信息、支持速率信息等个性化信息，MAC地址信息等，其中这些设备的全部信息或者是部分信息容易构成该STA的“指纹”信息，窃听者通过监听这些信息便可以获取STA的位置、时间等信息，从而通过分析获取用户的隐私信息。

对于STA的MAC地址泄露用户隐私的问题可以通过临时MAC地址的方法解决，也就是说，在STA发送探测请求时，STA使用临时MAC地址，而在与AP实际关联过程中使用真实MAC地址。这种方法在一定程度上可以避免窃听者通过监听MAC地址而泄露用户的隐私信息，但是探测请求中所包括的设备信息构成的“指纹”信息仍然会泄露用户的隐私信息。

图2示出了与本发明实施例相关的智能手机100的部分结构框图。该智能手机100包括：射频(Radio Frequency，简称为“RF”)电路110，存储器120、输入单元130、显示单元140、音频电路150、WiFi模块160、处理器170、以及电源180等部件。本领域技术人员可以理解，图4中示出的手机结构并不构成对手机的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。

在本发明实施例中，RF电路110可用于收发信息或通话过程中信号的接收和发送，特别地，将基站的下行信息接收后，给处理器170处理；另外，将涉及上行的数据发送给基站。通常，RF电路110包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(Low Noise  Amplifier，简称为“LNA”)、双工器等。此外，RF电路110还可以通过无线通信与网络和其他设备通信。该无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯***(Global System of Mobile Communication，简称为“GSM”)、通用分组无线服务(General Packet Radio Service，简称为“GPRS”)、码分多址(Code Division Multiple Access，简称为“CDMA”)、宽带码分多址(Wideband Code Division Multiple Access，简称为“WCDMA”)、长期演进(Long Term Evolution，简称为“LTE”)、电子邮件、短消息服务(Short Messaging Service，简称为“SMS”)等。

存储器120可用于存储软件程序，处理器170通过运行存储在存储器120的软件程序，从而执行智能手机100的各种功能应用以及数据处理。存储器120可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作***、至少一个功能所需的应用程序(比如声音播放功能、图象播放功能等)等；存储数据区可存储根据智能手机100的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器120可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

输入单元130可用于接收输入的数字或字符信息，以及产生与智能手机100的用户设置以及功能控制有关的键信号输入。具体地，输入单元130可包括触控面板以及其他输入设备。触控面板，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板上或在触控面板附近的操作)，并根据预先设定的程式驱动相应的连接装置。可选的，触控面板可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器，并能接收处理器发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板。除了触控面板，输入单元还可以包括其他输入设备。具体地，其他输入设备可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

显示单元140可用于显示由用户输入的信息或提供给用户的信息以及设备的各种菜单。显示单元140可包括显示面板，可选的，可以采用液晶显示器(Liquid Crystal Display，简称为“LCD”)、有机发光二极管(Organic Light-Emitting Diode，简称为“OLED”)等形式来配置显示面板。进一步的，触控面板可覆盖显示面板，当触控面板检测到在其上或附近的触摸操作后，传送给处理器以确定触摸事件的类型，随后处理器170根据触摸事件的类型在显示面板上提供相应的视觉输出。虽然在图2中，触控面板与显示面板是作为两个独立的部件来实现智能手机100的输入和输出功能，但是在某些实施例中，可以将触控面板与显示面板集成而实现智能手机100的输入和输出功能。

音频电路150、扬声器，麦克风可提供用户与智能手机100之间的音频接口。音频电路150可将接收到的音频数据转换后的电信号，传输到扬声器，由扬声器转换为声音信号输出；另一方面，麦克风将收集的声音信号转换为电信号，由音频电路150接收后转换为音频数据，将音频数据输出至存储器170以便进一步处理。

WiFi模块160是集成WiFi功能的芯片基本电路集合，WiFi模块160能够根据协议进行无线传输。

处理器170是智能手机100的控制中心，利用各种接口和线路连接整个智能手机100的各个部分，通过运行或执行存储在存储器内的软件程序和/或模块，以及调用存储在存储器120内的数 据，执行智能手机100的各种功能和处理数据，从而对智能手机100进行整体监控。可选的，处理器170可包括一个或多个处理单元；可选的，处理器170可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作***、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器170中。

应理解，上述包含WiFi模块的手机既可以作为接入点，也可以作为关联接入点的终端，不管作为接入点还是作为关联接入点的终端，由于手机包含用户大量的个人隐私信息，因此手机在作为与接入点关联的终端或者是作为接入点时都有隐私保护的需求。

还应理解，手机作为与接入点关联的终端可以是本发明实施例的一种应用场景，即本发明实施例中所述终端可以为此处所述的手机，所述终端的结构可以参考所述手机的部分结构框图(如，所述终端的发送器和接收器可以对应所述手机的RF电路，它们可以完成相似或相同的功能)，并可能具有更多或更少的部件。

图3示出了本发明实施例的无线局域网中建立关联的方法的示意图，该方法可以用于可穿戴设备作为STA和手机作为AP的应用场景中，应理解，在本发明实施例中，该STA也可以称为终端，该方法包括：

S310，终端生成加密的终端的能力信息。

具体而言，终端可以将该终端的个性化能力信息进行加密，生成加密的终端的能力信息。在此，终端的个性化能力信息可以是该终端特有的能力信息，也就是说，窃听者可以根据终端的个性化信息所组成的“指纹”信息跟踪该设备。当然，终端的能力信息也可以包括该终端的通用能力信息，这些终端的能力信息可以是终端的设备信息中的全部信息或者是部分信息，对此本发明实施例不做限定。

可选地，在一些实施例中，AP也可以生成加密的AP的能力信息，应理解这里，AP的能力信息可以是AP的设备信息中的全部信息或者是部分信息。AP可以根据保密传输的需求确定进行加密传输的AP的能力信息。

具体而言，终端在与AP关联，AP也可以具有保护隐私的需求，当AP需要保护隐私时，AP也可以生成加密的AP的能力信息，这里的AP能力信息可以为AP设备信息中的全部或者部分信息。

S320，接入点生成与终端相关的关联前索引信息，该关联前索引信息用于在所述终端与所述接入点尚未建立关联时识别所述终端。

具体而言，接入点生成关联前索引信息，该关联前索引信息可以在一段时间内不发生改变，当然，AP也可以设置该关联前索引足够长，该关联前索引信在很长时间内可以保持唯一。这样，AP生成该关联前索引后，可以在很长时间内标识某一特定终端，从而根据该关联前索引信息确定与该关联前索引对应的终端的能力信息，在后续关联过程中可以确定使用与该终端对应的能力建立关联。应理解，该关联前索引信息还可以对应一个终端，AP生成的关联前索引信息在该索引信息的有效时间内保持唯一，即每一个终端对应不同的关联前索引信息，也就是说，关联前索引信息与终端是一对一的关系。还应理解，这里的关联前索引信息可以是一个身份(Identity，ID)标识符，或者是一串数字，或者是某一字符，或者是数字与字符等的组合，对此本发明实施例不做限定。关联前索引信息可以是在关联前生成，有效期可以持续不同的时间，例如，可以是STA完成与AP的本次关联后即失效；也可以是很长时间，这样，在STA完成与AP的关联进行本次关联回话后，该关联前索引信息在STA与AP的下次关联时仍然有效。

可选地，在一些实施例中，AP生成关联前索引信息，该关联前索引信息还可以标识终端的 能力信息。例如，当终端具备能力信息1，则AP生成关联前索引信息1与该能力信息1对应，当终端具备能力信息2，则AP生成关联前索引信息2与该能力信息2对应。在后续AP与终端实际关联过程中，AP可以根据该关联前索引信息确定终端的能力信息，从而采用对应的能力与终端进行数据传输。这里，当AP生成的关联前索引信息与不同的设备能力信息相对应时，同一个关联前索引信息可以对应多个终端，是一对多的关系，例如，具备能力信息1的终端都可以对应关联信息1。当关联前索引信息用于标识终端的能力信息时，这样关联前索引信息可能只有有限的几种，这样避免了终端的个性化设备能力信息形成“指纹”造成隐私信息的泄露，提升了终端隐私的保护能力。

可选地，在一些实施例中，AP也可以生成加密的关联前索引信息。当AP生成加密的关联前索引信息，可以避免窃听者通过空口获取该关联前索引信息，更好的保护用户的隐私。

另外，在本实施例中，不限定S310生成加密的终端的能力信息和S320生成关联前索引信息之间的先后关系。可以是终端先生成加密的能力信息，也可以是AP先生成关联前索引信息。

S330，接入点向终端发送关联前索引信息。

应理解，在本发明实施例中，接入点也可以向终端发送加密的关联前索引信息，对此本发明实施例不做限定。

可选地，在一些实施例中，该接入点可以向终端发送第五消息，该第五消息包括该关联前索引信息。

具体地，在本发明实施例中，该第五消息可以是一种新定义的帧，例如，该第五消息可以是一种管理帧，例如Action frame或者是Public Action frame，在该Action frame中携带上述关联前索引信息。应理解，在AP通过第五消息向终端发送关联前索引信息之前，该接入点还可以接收终端发送的关联帧，该关联帧可以包括终端的通用的能力信息，这里的关联帧也可以是一种新定义的管理帧，例如，Action frame。也就是说，终端通过新定义的管理帧向接入点发送该终端的通用能力信息时，接入点可以通过新定义的第五消息向终端发送关联前索引信息。

还应理解，当终端对保密能力要求较高时，接入点还可以通过第五消息来发送加密的关联前索引信息。

可选地，在一些实施例中，该接入点可以向终端发送探测响应消息，该探测响应消息包括关联前索引信息。

应理解，在接入点向终端发送探测响应消息之前，该方法还包括：该终端向接入点发送探测请求消息。

具体而言，在本发明实施例中，终端向AP发送探测请求消息，该探测请求消息中可以包括该终端的通用能力信息，应理解，终端也可以根据其对隐私保护的需求情况确定该探测请求信息中所包括的通用能力信息，例如，当终端对隐私保护需求很高时，所有可以被窃听者用来生成“指纹”的设备能力信息将不传输。当然，接入点也可以将该关联前索引信息进行加密，也就是说，接入点可以通过探测响应消息来向终端发送加密的关联前索引信息。接入点在接收终端的探测请求消息后，接入点向终端发送该探测请求消息的探测响应消息，该探测响应消息可以包括AP生成的关联前索引信息。

应理解，当终端发送新定义的管理帧来传输通用能力信息时，接入点向终端发送的也是新定义的关联帧，用来传输关联前索引信息。但本发明实施例不限于此，例如，终端可以通过探测请求消息来携带该终端的通用能力信息，接入点可以通过新定义的帧来向终端发送关联前索引信息， 或者，终端可以通过新定义的帧来向接入点发送该终端的关联前索引信息，接入点可以通过在探测响应消息中向终端发送关联前索引信息。这里新定义的帧可以是一种管理帧，例如Action frame。

还应理解，S330步骤与S310步骤之前不限定先后关系。AP传输关联前索引信息只要在终端发起关联请求之前即可。该关联前索引信息将被终端用来携带在关联请求中，以便于AP识别该关联请求对应的终端。

S340，终端向接入点发送加密的终端的能力信息和关联请求消息，该关联前请求消息包括所述关联前索引信息。

应理解，在本发明实施例中，加密的终端的能力信息和关联请求消息可以同时发送，也可以在不同的消息中发送。例如先发送加密的终端的能力信息，再发送关联请求消息。对于终端向接入点发送加密的终端的能力信息可以有多种方式实现，对于具体实现方式将在下文描述。

可选地，在一些实施例中，该终端向接入点发送加密的终端的能力信息和关联请求消息，包括：

所述终端向所述接入点发送关联请求消息，所述关联请求消息包括所述加密的所述终端的能力信息。

具体而言，终端可以在向AP发送的关联请求消息中包含一个IE，在该IE中携带所述加密的所述终端的能力信息，也就是说，通过在关联前请求消息中新建一个信息元素(Information Element，IE)来承载所述加密的所述终端的能力信息。在这种情况下，AP可以根据关联前索引信息确定该终端，并确定之前跟该终端协商的密钥，以便于该AP确定使用对应的密钥解密接收到的所述加密的所述终端的能力信息。

可选地，在一些实施例中，该终端向接入点发送加密的所述终端的能力信息和关联请求消息，包括：

终端向接入点发送第一消息，所述第一消息包括加密的所述终端的能力信息，该第一消息为管理消息；

该终端向接入点发送该关联请求消息。

具体而言，第一消息可以是一种新定义的帧，例如第一消息可以是一种管理帧，例如Action frame或者是Public Action frame，终端可以通过该Action frame来携带加密的所述终端的能力信息，当然该第一消息也可以是其他类型的帧。终端向接入点发送关联请求消息，该关联请求消息中可以携带关联前索引信息。具体地，可以在该关联请求消息中新建一个IE，在该IE中承载该关联前索引信息。该关联前索引信息是AP生成并发送给终端，终端可以在该关联请求信息中携带该关联前索引信息，以便于AP能够根据该关联前索引信息确定该终端。这样，即使关联消息和终端之前发送给AP的消息采用不同的MAC地址，AP仍然能够根据关联前索引信息来确定终端之间的对应关系。

应理解，终端向接入点发送第一消息可以在终端发送关联请求消息之前，也就是说，终端在向AP发送关联请求消息之前，AP可以已经获取该终端的能力信息；AP向终端发送关联前索引信息可以在终端发送第一消息之前，也可以在终端发送第一消息之后，对此本发明实施例不做限定；但是AP发送关联前索引信息一定在终端发送关联请求消息之前；当接入点向终端发送关联前索引信息在终端发送第一消息之后时，终端通过第一消息发送加密的所述终端的能力信息，AP收到该终端的能力信息后给终端发送分配的关联前索引信息，并发送给终端，后续当终端向接入点发送关联请求消息时，携带之前AP为终端分配的关联前索引信息，这样终端在发送关联请求消息时即 使不携带终端的能力信息，AP也可以根据关联请求消息中携带的关联前索引信息来确定终端的能力信息。

应理解，AP在收到终端的加密的能力信息之后，为终端分配关联前索引信息，在这种情况下，接入点为终端分配的关联前索引信息可以用来标识终端的能力信息，例如，接入点在获取终端的加密的能力信息之后，接入点通过关联前索引信息1来标识终端的能力信息1，并将该关联前索引信息1发送给终端，在终端后续关联时，携带该关联前索引信息1，接入点通过该关联前索引信息1可以确定终端的能力信息。

应理解，在本发明实施例中，终端的能力信息可以通过第一消息在关联请求消息之前发送，因此，在该关联请求消息中可以不包括该终端的能力信息，或者该关联请求消息中可以仅仅包括该终端的通用能力信息，接入点可以通过关联前请求消息来确定对应的终端。

可选地，在一些实施例中，该终端向接入点发送加密的所述终端的能力信息包括：

终端向接入点发送探测请求消息，该探测请求消息包括加密的该终端的能力信息。

具体地，终端向接入点发送探测请求消息，可以在该探测请求消息中新建一个IE，在该IE中承载该加密的终端的能力信息，当然，也可以通过该探测请求消息中已有的IE来承载加密的终端的能力信息。

可选地，在一些实施例中，终端向接入点发送关联请求消息所使用的MAC地址与终端向接入点发送关联请求消息之前的消息所使用的MAC地址不同。

应理解，在本发明实施例中，终端在与AP关联过程中，终端在扫描阶段，也就是终端在向AP发送关联请求之前，终端与AP进行信令交互所使用的MAC地址与终端与AP进行关联所使用的MAC地址可以是不同的，因此在本发明实施例中，AP可以通过生成的关联前索引信息，在终端与AP实际关联时识别该终端和/或该终端的能力，这样，即时在终端向AP发送关联请求时的MAC地址发生改变，AP也可以通过该关联前索引信息确定该关联请求对应之前哪个终端，并确定对应的能力信息。

S350，接入点解密加密的终端的能力信息。

具体而言，接入点在接收终端发送的加密的该终端的能力信息之后，解密该加密的终端的能力信息，从而获取该终端的能力信息。

应理解，在S340中，当终端通过第一消息发送加密的该终端的能力信息时，S350中接入点解密加密的终端的能力信息可以是在S340中终端发送关联请求消息之前，而在第一消息之后。

还应理解，接入点生成关联前索引信息还可以在S350之后，也就是说，接入点可以在获取终端的加密的能力信息之后，根据该终端的能力信息来生成关联前索引信息。当然，接入点生成关联索引信息也可以在S350之前，对此本发明实施例不做限定。

S360，接入点根据终端的能力信息和所述关联前索引信息向该终端发送关联响应消息，从而完成与终端的关联。

在一些实施例中，当该关联前索引信息还可以标识终端的能力信息时，步骤S360可以为该接入点根据该关联前索引信息向该终端发送关联响应消息，并完成与终端的关联。

S370，接入点和终端建立起安全的连接。

需要说明的是，当终端接收到AP发送的携带指示关联成功的指示信息的关联响应消息时,即终端完成与AP的关联,之后两者可以进一步建立连接以传输数据；在终端发送关联请求消息之前还可能包括终端与AP之间的安全认证,或者是终端在接收到关联响应消息之后,两者完成连接 建立之前两者进行安全认证。

应理解，在本发明实施方式中，上述各过程的序号的大小并不意味者执行顺序的先后，例如，S330中接入点向终端发送关联前索引信息并不一定在S310之后，S330也可以先于S310执行。各个过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

终端的能力信息通过加密的方式发送给接入点，这样，窃听者不管是在关联之前或者是在关联过程中在空口即使监听到该能力信息，也不能获取该终端的能力信息，从而可以防止窃听者根据终端的能力信息确定终端所在的位置、时间等信息，避免用户隐私的泄露。进一步地，接入点通过给终端分配关联前索引信息，通过关联前索引信息来标识终端，这样，即使终端在向接入点发送关联请求消息之前使用的MAC地址和发送关联请求消息时使用的MAC地址不同，接入点仍然能够通过关联前索引信息来识别终端，并确定终端的加密的设备能力信息的解密密钥来解密终端的设备能力信息，从而获得终端的设备能力信息。

可选地，在一些实施例中，该终端向接入点发送该加密的终端的能力信息之前，该方法还包括：

该终端向接入点发送探测请求消息；

该终端接收接入点根据该探测请求消息发送的探测响应消息。

具体地，在本发明实施例中，当终端通过新定义的帧，例如一种管理帧来发送加密的终端的能力信息，并且接入点通过新定义的帧来向终端发送关联请求消息时，终端在向接入点发送探测请求消息时，可以仅仅在该探测请求消息中携带该终端的通用能力信息，这些通用能力信息可以用于AP判断是否进一步与终端进行后续关联。当然，AP在向接入点发送探测响应消息时，也可以在该探测响应消息中携带该AP的通用能力信息，若果该AP不需要保密，AP也可以在该探测响应消息中携带AP的个性化能力信息。

可选地，在一些实施例中，在该终端向接入点发送加密的终端的能力信息之前，该方法还包括：

该终端向该接入点发送所述终端的公钥，该终端的公钥用于该接入点生成解密该加密的终端的能力信息的解密密钥，其中，所述终端接收所述接入点发送的与所述终端相关的关联前索引信息发生在所述终端向所述接入点发送所述终端的公钥之后；

该终端接收给接入点发送的该接入点的公钥；

该终端根据该接入点的公钥生成该终端的加密密钥，该终端的加密密钥用于加密该终端的能力信息。

具体地，在本发明实施例中，终端与AP相互发送各自的公钥实现公钥交换，终端的公钥与该终端的私钥相对应，接入点的公钥与该接入点的私钥相对应。应理解，终端向接入点发送公钥和接入点向终端发送公钥这两个动作可以不区分先后顺序，只要通过信令交互实现彼此公钥的交换即可。这里终端的公钥也可以称为终端的公钥信息，AP的公钥也可以称为AP的公钥信息。还应理解，终端和接入点之间通过信令实现密钥交换可以由多种实现方式，下文将对终端和接入点之间的密钥交换进行描述，应理解，下文描述仅仅是本发明实施例的几种可选方式，但本发明实施例不限于此。

还应理解，当终端先接收到接入点发送的公钥时，终端便可以根据终端的私钥信息，以及接入点的公钥生成加密密钥，该加密密钥用来加密终端的设备能力信息，从而生成加密的设备能力信息。当然，这里终端生成加密密钥时还可以使用其他信息，例如，接入点的位置信息，或者一 个随机值Nonce。还应理解，当终端根据加密密钥生成加密的能力信息之后，可以在向接入点发送公钥的消息中同时携带生成的加密的终端的能力信息。当接入点接收到终端发送的终端的公钥之后，可以根据该终端的公钥信息，并结合接入点自己的私钥信息，生成解密密钥，从而解密设备的加密的终端的能力信息，从而获得终端的设备的能力信息。

可选地，在一些实施例中，终端向接入点发送所述终端的公钥，包括：

终端向该接入点发送探测请求消息，该探测请求消息包括该终端的公钥；

或者，终端向接入点发送第二消息，该第二消息包括该终端的公钥，该第二消息为管理消息。

具体而言，终端向所述接入点发送探测请求消息，该探测请求消息包括所述终端的公钥，终端向接入点发送的探测请求消息中，可以包含一个新定义IE，在该IE中承载该终端的公钥，当然，也可以通过该探测请求消息中现有的IE来承载该终端的公钥。应理解，这里终端可以通过单播和/或多播的探测请求消息和/或第二消息来携带该终端的公钥，这里的多播可以包括广播。

终端向接入点发送第二消息，该第二消息包括该终端的公钥，该第二消息为管理消息。该第二消息可以是一种新定义的帧，例如，Action frame或Public action frame，在该Action frame中携带终端的密钥。

可选地，在一些实施中，终端接收接入点发送的该接入点的公钥，包括：

终端接收该接入点发送的探测响应消息，该探测响应消息包括该接入点的公钥；

具体而言，在本发明实施例中，接入点在接收到终端发送的探测请求消息之后，根据该探测请求消息向终端发送探测响应消息，可以在该探测响应消息中新定义一个IE来承载该接入点的公钥，当然，也可以通过该探测响应消息中现有的IE来承载该接入点的公钥。

可选地，在一些实施例中，终端接收接入点发送的该接入点的公钥，包括：

终端接收该接入点发送的第三消息，该第三消息包括该接入点的公钥，该第三消息为管理消息。

应理解，该第三消息可以是一种新定义的帧，例如Action frame或Public action frame，在该action frame中携带接入点的公钥。

这里接入点可以为通过单播和/或多播的探测响应消息和/或第三消息来携带该接入点的公钥，这里的多播可以包括广播。

可选地，在一些实施例中，终端接收接入点发送的该接入点的公钥，包括：

终端接收该接入点发送的信标帧，该信标帧包括该接入点的公钥。

具体而言，在本发明实施例中，接入点可以向终端发送的信标帧中定义一个IE，该新定义的IE可以用来承载接入点的公钥，当然也可以通过该信标帧中现有的IE来承载该接入点的公钥。

应理解，这里AP向终端发送该AP的公钥还可以与AP向该终端表明自己支持安全关联模式同步完成，例如，AP可以在探测响应消息中同时携带该AP的公钥以及指示接入点支持安全关联模式的指示信息，当然，AP还可以仅仅以向终端发送公钥来隐含表明该AP支持安全关联模式。还应理解，AP与终端交换密钥的过程还可以先于终端发现AP能力过程，也可以在终端发现AP能力之后，对此本发明实施例不做限定，这里发现AP的能力可以指终端获知AP支持安全关联模式。

可选地，在一些实施例中，终端和AP可以采用迪菲－赫尔曼(Diffie–Hellman，DH)密钥交换算法计算生成各自的加密密钥。例如，终端在获取AP的公钥AP-PK(对应AP的私钥AP-pk)之后，便可以通过DH算法以及自身的私钥STA-pk计算该终端的加密密钥STA-dhk，同样AP在获取终端的公钥STA-PK(对应STA的私钥STA-pk)之后，也可以根据DH算法以及自身的私钥AP-pk 计算该AP的加密密钥AP-dhk，这里的STA-dhk和AP-dhk是相同的对称加密密钥，也就是说，AP可以利用AP-dhk来解密终端通过STA-dhk加密的能力信息，终端也可以通过STA-dhk来解密AP通过AP-dhk加密的能力信息。

应理解，终端和AP还可以基于其他密钥交换算法来生成各自的加密密钥，例如，终端和AP还可以通过基于椭圆曲线密码体制的迪菲－赫尔曼(Elliptic Curve Cryptosystems Diffie Hellman，ECDH)密钥交换算法，来生成各自的加密密钥。

可选地，在一些实施例中，在终端向接入点发公钥时，可以同时向接入点发送一个现场值和/或随机数(Number used once，Nonce)。例如，终端在向接入点发送公钥时，可以在承载该终端的公钥的第二消息中携带一个现场值和/或Nonce，从而可以使接入点生成的AP-dhk产生变化效果，从而可以使终端和/或接入点生成的加密密钥可以更好的保护终端和/或接入点的能力信息，提高用户的隐私保护能力。

可选地，在一些实施例中，接入点向终端发送公钥时，可以同时向终端发送一个现场值和/或随机数(Number used once，Nonce)。例如，接入点在向终端发送公钥时，可以在承载该接入点的公钥的第三消息中携带一个现场值和/或Nonce，从而可以使终端生成的AP-dhk产生变化效果，从而可以使终端和/或接入点生成的加密密钥可以更好的保护终端和/或接入点的能力信息，提高用户的隐私保护能力。

可选地，在一些实施例中，接入点和/或终端可以周期性变化各自的公钥和私钥对。这样，接入点和终端在进行公钥交换后生成的加密密钥也将产生周期性变化，从而可以使终端和/或接入点生成的加密密钥可以更好的保护终端和/或接入点的能力信息，提高用户的隐私保护能力。

可选地，在一些实施例中，该方法还包括：终端接收接入点发送的指示信息，该指示信息用于指示该接入点支持与该终端进行加密的该终端的能力信息传输。

应理解，该接入点支持与终端进行加密的终端的能力信息的传输也可以称为接入点支持安全关联模式，或者反追踪工作模式，当然也可以称为其他模式，对此本发明实施例不做限定。还应理解，在本发明实施例中，终端需要确定AP支持与该终端进行加密的终端的能力信息的传输的特性，当然，AP也可以默认支持与终端进行加密的终端的能力信息的传输，也就是说，AP可以不需要单独向终端发送指示信息用来指示该AP支持与终端进行加密的终端的能力信息的传输，终端默认该AP支持与终端进行加密的终端的能力信息的传输。

还应理解，在本发明实施例中，接入点向终端发送该指示信息也可以称为能力发现过程，也就是说，终端接收接入点发送的指示信息来发现接入点支持安全关联模式。

可选地，在一些实施例中，该终端接收所述接入点发送的指示信息，包括：该终端接收所述接入点发送的探测响应消息，该探测响应消息包括该指示信息。

接入点在接收到终端发送的探测请求消息之后，可以在向该终端发送的探测响应消息中携带上述指示信息。具体地，可以在向终端发送的探测响应消息中新定义一个IE，该IE可以用来承载上述指示信息，用来指示AP支持安全关联模式，当然，该接入点也可以探测响应消息中现有的IE来承载上述指示信息。

应理解，在本发明实施例中，终端也可以在探测请求消息中携带指示该终端支持安全关联模式的指示信息，在这种情况下，AP也可以仅仅通过回复终端探测响应信息来隐含指示AP支持安全关联模式，也就是说，AP不用再在探测响应消息中包含指示AP支持安全关联模式的指示信息。

可选地，在一些实施例中，终端接收接入点发送的指示信息，包括：

该终端接收该接入点发送的第四消息，该第四消息包括指示信息，该第四消息为管理消息。

具体而言，在本发明实施例中，该第四消息可以是一种新定义的帧，例如，Action frame，在该Action frame中可以携带指示接入点支持终端进行加密的该终端的能力信息传输的指示信息，也就是说，接入点可以通过一种新定义的帧来承载该指示信息，用来指示该接入点支持安全关联模式。

应理解，在本发明实施例中，AP通过新定义的Action frame携带该AP支持安全关联模式，在此情况下，AP首先接收终端发送的新定义的Action frame，在该终端的Action frame中可以携带终端也支持安全关联模式。当然，终端在向AP发送的Action frame中也可以不携带该终端支持安全关联模式的指示信息，默认终端支持该安全关联模式。终端在向AP发送的Action frame中携带指示终端支持安全关联模式的指示信息时，AP也可以通过向终端发送的Action frame中不携带AP支持安全关联模式的指示信息来隐式指示AP支持该安全关联模式。

可选地，在一些实施例中，该终端接收所述接入点发送的指示信息，包括：该终端接收所述接入点发送的信标帧，所述信标帧包括所述指示信息。

具体地，在本发明实施例中，该信标帧中可以新定义一个IE，该IE用来承载上述指示信息，用来指示AP指示安全关联模式，当然，也可以通过信标帧中现有的IE来承载上述指示信息。

应理解，终端获取指示AP支持安全关联模式的指示信息还可以有其他方式，例如，AP可以通过广播方式向终端发送广播消息和/或其他同步消息，在该广播消息和/或其他同步消息中可以携带该指示信息，终端听到该广播消息后，便可以获知AP支持安全关联模式。这里AP还可以向其他设备发送指示信息，当需要与该AP进行关联的终端听到该指示信息，便可以得知AP支持安全关联模式。当然，本领域技术人员还可以根据实际应用场景获得其他的指示接入点支持安全关联模式的指示信息，对此本发明实施例不做限定。

本发明实施例的技术方案还可以用来被厂商作为私有的技术解决方案，也就是说，同一厂商的设备可以采用本发明实施例的技术方案，这种方式可以通过扩展现有消息中的厂商特定信息元素(Vender Specific IE)来实现。

下面将以STA(或称为终端)为可穿戴设备，AP为智能手机为例，详细描述本发明实施例的无线局域网中建立关联的方法。应理解，以AP为智能手机和STA为可穿戴设备为例仅仅是为了方便描述，而不应对本发明实施例的保护范围构成限定。还应理解，智能手机作为AP时和STA一样，同样也可以有保护隐私的需求。还应理解，在本发明实施例中，STA也可以成为终端。

图4示出了本发明实施例的无线局域网中建立关联的方法流程图。该方法包括：

S401，终端接收AP发送的信标帧。

可选地，在一些实施例中，该信标帧可以携带指示AP支持与终端安全关联模式的指示信息。

具体地，在本发明实施例中，该信标帧可以包括一个新定义的IE，在该新定义的IE中可以携带上述指示信息。

应理解，该安全关联模式可以是AP支持与终端进行设备能力信息加密传输。也就是说，该AP支持本发明实施例的技术方案。

可选地，在一些实施例中，该信标帧可以携带该AP的公钥。

具体而言，在该信标帧中可以包含一个新定义的IE，在该IE中可以携带该AP的公钥。应理解，AP的公钥与该AP的私钥相对应，该公钥可以使STA生成该STA的加密密钥。应理解，终端生成加密密钥的过程包括终端至少根据AP的公钥和种终端自己的私钥，当然，终端也可以结合 其它信息来生成加密密钥，例如，终端的位置信息等来生成STA的加密密钥，从而使生成的加密密钥产生变化效果。

可选地，在一些实施例中，该信标帧还可以携带AP的通用能力信息。

具体地，接入点向终端发送信标帧，该信标帧可以携带终端的通用能力信息，用于终端根据该接入点的通用能力信息判断是否需要进一步进行后续关联。应理解，在本发明实施例中，当AP不需要保护隐私时，该信标帧也可以携带该AP的个性化的能力信息。

S402，终端向AP发送探测请求消息。

可选地，在一些实施例中，该探测请求消息中可以携带该终端的通用能力信息。也就是说，该探测请求消息可以不再包含我们希望隐藏或保护的终端的能力信息，或者是仅包含部分不具有很明显的个性化特征的终端的能力信息。这样，即使攻击者仅通过监听该Probe Request消息，也无法获得可以识别该终端的“指纹”信息，从而无法跟踪该终端。例如，终端可以使用一类或者几类通用的能力信息来向AP表明自己的能力，从而让AP确定自身是否满足STA的查询的条件(也可理解为，让AP确定其是否能满足终端的需求)，或者让AP确定STA是否满足AP的通信条件，便于AP判断是否回复探测响应消息。应理解，由于终端发送的是通用的设备能力信息中的一种或几种，由于很多其他终端可以同时使用这几种或一种能力信息，这样即使窃听者获取该通用能力信息，也无法识别该终端，从而降低了终端被追踪的可能。

可选地，在一些实施例中，该探测请求消息中可以携带指示终端支持安全关联模式的指示信息。

可选地，在一些实施例中，该探测请求消息中可以携带该终端的公钥，该公钥用于AP生成解密加密的终端的能力信息的解密密钥。

应理解，在本发明实施例中，终端和AP可以采用迪菲－赫尔曼(Diffie Hellman，DH)密钥交换算法计算生成各自的加密密钥。例如，终端在获取AP的公钥AP-PK之后，便可以通过DH算法以及自身的私钥STA-pk计算该终端的加密密钥STA-dhk，同样AP在获取终端的公钥STA-PK之后，也可以根据DH算法以及自身的私钥AP-pk计算该AP的加密密钥AP-dhk，这里的STA-dhk和AP-dhk是相同的对称加密密钥，也就是说，AP可以利用AP-dhk来解密终端通过STA-dhk加密的能力信息，终端也可以通过STA-dhk来解密AP通过AP-dhk加密的能力信息。

还应理解，AP与终端采用DH密钥交换算法生成各自的加密密钥仅仅是一种实现方式，本领域技术人员还可以通过其他密钥交换算法生成各自的加密密钥，对此，本发明实施例不做限定。

S403，接入点向终端发送探测响应消息。

可选地，在一些实施例中，该探测响应消息可以携带AP的通用能力信息。

应理解，当AP不需要保护隐私时，该探测响应消息还可以包括AP的个性化能力信息。对此本发明实施例不做限定。

可选地，在一些实施例中，该探测响应消息可以携带AP的公钥。

可选地，在一些实施例中，该探测响应消息可以携带指示接入点支持安全关联模式的指示信息。

S404，终端向接入点发送第一请求帧，该第一请求帧是一种新定义的管理帧。

具体地，该第一请求帧可以是Action frame(一种管理帧)，但本发明不限于此。

可选地，在一些实施例中，该第一请求帧还可以是其他类型的帧。

可选地，在一些实施例中，该第一请求帧可以携带终端的公钥。

应理解，在本发明实施例中，接入点在获取终端的公钥之后，便可以根据DH算法计算该接入多点的解密秘钥AP-dhk，该AP-dhk用于解密终端的能力信息，还可以用于加密该接入点的能力信息。

可选地，在一些实施例中，该第一请求帧可以携带终端的通用能力信息。

具体地，终端可以通过该第一请求帧中携带一类或者几类通用能力信息(可以理解为，通用的设备能力信息中的一种或几种)来向接入点表明自己的能力信息，从而让接入点确定自身是否满足终端的查询条件，或者终端是否满足AP的通信能力条件，便于接入点判断是否回复响应帧。

可选地，在一些实施例中，该第一请求帧可以携带指示终端支持安全关联模式的指示信息。

应理解，这里的第一请求帧可以对应权利要求中的第二消息。

S405，接入点向终端发送第一响应帧，该第一响应帧是一种新定义的管理帧。

具体地，该第一响应帧可以是Action frame(一种管理帧)，但本发明实施例不限于此。

可选地，在一些实施例中，该第一响应帧还可以是其他类型的帧。

可选地，在一些实施例中，该第一响应帧可以携带接入点的通用能力信息。

可选地，在一些实施例中，该第一响应帧还可以携带接入点的公钥。

应理解，在本发明实施例中，终端在获取终端的公钥之后，便可以根据DH算法计算该终端的加密密钥秘钥STA-dhk，该STA-dhk用于解密终端的能力信息，还可以用于加密该接入点的能力信息。还应理解，当AP不需要隐私保护时，该AP可以在该第一响应帧中携带接入点的个性化能力信息；如果接入点也需要隐私保护，当接入点已经获得终端的公钥的情况下，可以根据终端的公钥，接入点自己的私钥等信息生成AP-dhk，加密接入点的个性化的能力信息，在接入点向终端发送该接入点的公钥时，可以在同一消息中发送加密的接入点的能力信息，终端在接收到加密的接入点的能力信息和接入点的公钥后，可以计算STA-dhk来解密接入点的设备的能力信息，从而获取接入点的能力信息；或者是，如果接入点也需要隐私保护，那么接入点也可以不发送设备的信息，也就是说接入点不发送个性化的设备能力信息，这样接入点也不会因为发送设备的能力信息带有“指纹”信息而导致隐私被泄露，这种接入点的通用能力信息可以用于被终端判断是否满足自己的要求，从而确定是否执行进一步的能力信息传输或者关联，对此本发明实施例不做限定。

可选地，在一些实施例中，该第一响应帧可以携带指示接入点支持安全关联模式的指示信息。

应理解，在本发明实施例中，当终端向接入点发送第一请求帧携带终端支持安全关联模式的指示信息时，接入点也可以仅仅通过回复终端第一响应帧来隐式指示该接入点支持安全关联模式，也即是说，接入点在第一响应帧中不携带指示接入点支持安全关联模式的展示信息。

还应理解，这里的第一响应帧可以对应权利要求中的第三消息和/或第四消息。例如，当第一响应帧携带接入点的公钥时，该第一响应帧可以对应于权利要求中的第三消息；当第一响应帧携带接入点支持与所述终端进行加密的所述终端的能力信息的传输的指示信息时，该第一响应帧可以对应于权利要求中的第四消息。当然，这里第一响应帧还可以同时是第三消息和第四消息，也就是说，第三消息和第四消息可以是同一消息，而这同一消息即可以是这里的第一响应帧。

S406，终端生成加密的终端的能力信息。

具体地，在本发明实施例中，终端在获取接入点的公钥之后，便可以通过DH算法和自身的私钥生成加密该终端能力信息的加密密钥，之后使用该加密密钥加密终端的能力信息。

应理解，在本发明实施例中，标号S406并不限定该步骤的执行顺序，终端一旦获取接入点 的公钥后，便可以根据生成的加密密钥来生成加密的终端的能力信息，对此本发明实施例不做限定。

可选地，在一些实施例中，接入点和终端在根据DH算法计算各自的加密密钥时，可以加入位置信息和/或Nonce。

在计算加密密钥时通过加入位置信息和/或Nonce，可以使加密后的内容产生变化的效果。当然，也可以是STA或者AP隔一段时间变化自身的公钥私钥对。

S407，终端向接入点发送第二请求帧，该第二请求帧携带加密的终端的能力信息，该第二请求帧是新定义的管理帧。

加密的终端的能力信息通过新定义的管理帧发送给接入点，从而避免了终端的能力信息直接在空口发送，避免了攻击者通过监听空口消息获得终端的能力信息，从而根据能力信息中的信息生成该终端的“指纹”特征信息，从而跟踪终端。

可选地，在一些实施例中，该第二请求帧可以是Public Action frame。

可选地，在一些实施例中，该第二请求帧也可以是其他类型的帧，对此本发明实施例不做限定。

应理解，这里的第二请求帧可以对应权利要求中的第一消息。

S408，接入点根据终端的能力信息生成关联前索引信息，该关联前索引信息用于标识该终端。

具体地，在本发明实施例中，AP在获取终端的公钥之后，便可以根据自己的私钥和DH算法生成解密加密的终端的能力信息的解密密钥。接入点在收到终端发送的终端的能力信息后，利用自身生成的解密密钥来解密该加密的终端的能力信息，从而得到终端的能力信息。接入点在获得终端的能力信息之后，可以判断自己是否符合终端要寻找的AP的要求，或者是判断终端是否满足与其关联的要求，以确定是否继续跟终端进行后续通信。

应理解，在本发明实施例中，该关联前索引信息可以在一段时间内保持唯一，即区别不同的终端即可。当然，该关联前索引信息也可以设置足够长，在很长时间内唯一，这样接入点在后续收到终端的关联请求时，可以确定对应该终端的能力信息，并在后续关联过程中使用对应的能力来建立关联。

可选地，在一些实施例中，该关联前索引信息可以对应一种设备能力信息。

例如，在本发明实施例中，具备能力信息1的终端对应关联前索引1，具备能力信息2的终端对应关联前索引2。具体可以参考前面所述的相关内容。

S409，接入点向终端发送第二响应帧，该第二响应帧携带接入点生成的关联前索引信息，该第二请求帧是新定义的管理帧。

可选地，在一些实施例中，该第二响应帧中携带的关联前索引信息可以是加密的关联前索引信息。

具体地，在本发明实施例中，接入点可以使用和终端进行公钥交换后生成的加密密钥来加密该关联前索引信息。在这情况下，终端可以通过与接入点公钥交换后生成的解密密钥来解密该加密的关联前索引信息。该关联前索引信息是用来给终端后续向接入点发起关联的时候使用，以便接入点知道用什么样的能力与该终端进行通信，也就是说，接入点通过该关联前索引信息来记住终端的能力信息，后续在通信中可以通过该关联索引信息既可以确定该关联索引信息对应的终端，这样即使在终端发送关联请求时使用的MAC地址不同，接入点也可以确定该新的MAC地址的关联请求对应之前哪个终端，或者终端的能力信息。

可选地，在一些实施例中，该第二响应帧可以是新定义的管理帧，例如Publ ic Act ion frame。

可选地，在一些实施例中，该第二响应帧也可以是其他类型的帧，对此本发明实施例不做限定。

应理解，这里的第二响应帧可以对应与权利要求中的第五消息。

S410，终端向接入点发送关联请求消息，该关联请求消息中携带关联前索引信息。

应理解，在本发明实施例中，终端向接入点发送关联请求消息，该关联请求消息中可以不携带终端的个性化能力信息。可以想到的是，在本发明实施例中，所有可能泄露终端隐私信息的终端的设备能力信息都可以在终端向接入点发送关联请求之前通过加密的方式发送给接入点。

可选地，在一些实施例中，终端还在关联请求消息中携带加密的终端的设备能力信息，接入点可以根据之前步骤交换的信息生成的AP-dhk来解密终端的加密的能力信息；这里解密密钥可以通过关联前索引来确定，在这个实施例中，关联前索引信息用来标识对应的终端，或者是进一步对应了终端使用的加密密钥；该索引信息用于AP确定解密终端的加密的能力信息所使用的解密密钥。

可选地，在一些实施例中，终端向接入点发送关联请求，该关联请求中可以携带加密的关联前索引信息。

具体而言，终端可以使用与接入点交换公钥后生成的加密密钥来加密该关联前索引信息，当终端向接入点发送关联请求消息之前使用的MAC地址与终端发送关联请求消息使用的MAC地址相同时，接入点在收到该加密的关联前索引信息后，接入点可以通过关联请求消息的MAC地址来确定对应的解密密钥来解密该关联前索引信息，从而根据该关联前索引信息确定终端的设备能力信息。

S411，接入点向终端发送关联响应消息，从而与终端建立起关联。

具体而言，接入点在接收到终端发送的关联请求后，根据该关联请求中的关联前索引信息确定终端的能力信息，或者是当关联请求消息中直接携带加密的设备的能力信息时，利用关联前索引信息确定的解密密钥并解密设备的加密能力信息后，从而向该终端发送关联响应消息，从而与终端建立起关联。

S412，接入点和终端建立起安全的连接。

需要注意的是，在本发明实施例中上述各过程的序号的大小并不意味者执行顺序的先后。此外，在终端与接入点建立关联的整个流程中，上述过程也并不一定都必须执行，例如，在终端与接入点交换公钥过程中，终端可以通过探测请求消息中携带该终端的公钥，接入点可以通过探测响应消息携带该接入点的公钥，此时步骤S401可以作为可选步骤。步骤S402和S403可以用步骤S404和S405来替代，即步骤S402-S405中可以选择只执行S402和S403，或只执行S404和S405。

应理解，各个过程的执行顺序和执行必要性应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

还应理解，在发明实施例中，第一请求帧、第二请求帧、第一响应帧和第二响应帧可以是一种新定义的帧，这里也可以称为消息帧或消息，具体序号称为第一或第二等可根据实际情况而定。这里的序号如第一和第二，是为了表述的方便，可用于区分不同的对象，当然这里的第一请求帧和第二请求帧也可以是同一消息(即同一对象)，第一响应帧和第二响应帧也可以是同一消息，也就是说，在同一消息中可以携带多种信息，例如本发明实施例中终端的公钥和加密的终端的能力信息都可以承载在第一请求帧中。本领域技术人员可以根据具体使用场景，对此本发明实施例 不做限定。

应理解，如果在S401-S405中AP与终端进行了能力发现，则该过程也可以称为AP能力发现过程；若果S401-S405中AP与终端进行了密钥交换，则该过程也可以称为加密密钥生成过程。S406-S409也可以称为加密的终端能力信息发送过程。S410-S411也可以称为AP与终端建立关联过程。这里的过程划分不应对本发明实施例构成限定。

还应理解，图4所示的无线局域网中建立关联方法的核心思想是可以通过一种新定义的帧，例如Public action frame，来传输加密的终端的能力信息，从而保护终端的个性化信息不被窃听者攻击，保护用户的隐私信息。

图5示出了本发明另一实施例的无线局域网中建立安全连接的方法的流程图。该方法包括：

S501，终端接收接入点发送的信标帧。

可选地，在一些实施例中，该信标帧可以携带指示AP支持与终端安全关联模式。

应理解，该安全关联模式可以是AP支持与终端进行设备能力信息加密传输。也就是说，该AP支持本发明实施例的技术方案。

可选地，在一些实施例中，该信标帧可以携带该AP的公钥。这里AP的公钥可以是每次都不同，或者是过一段时间修改，或者是一直保持不变，也就是说，AP可以根据自身性能或者参数来改变自己的公钥和私钥对，从而使终端根据该接入点的公钥生成加密密钥时可以产生变化的效果。

应理解，AP的公钥与该AP的私钥相对应，接入点向终端发送该接入点的公钥可以用于STA生成该STA的加密密钥。

可选地，在一些实施例中，该信标帧还可以携带AP的通用能力信息。

应理解，当AP不需要保护隐私时，该信标帧也可以携带AP的个性化信息。

S502，终端向接入点发送探测请求消息。

可选地，在一些实施例中，该探测请求消息中可以携带该终端的通用能力信息。也就是说该探测请求消息不再包含我们希望隐藏或保护的终端的能力信息，或者是仅包含部分不具有很明显的个性化特征的终端的能力信息。即攻击者仅通过监听该Probe Request消息无法获得可以区别该终端的“指纹”信息，用于后续的终端跟踪。例如，终端可以使用一类或者几类通用的能力信息来向AP表明自己的能力，从而让AP确定是否满足STA的查询的条件，或者是STA是否满足AP的通信条件，便于AP判断是否回复探测响应消息。应理解，由于终端发送的是通用的设备能力信息的一种或几种，由于很多终端同时使用这几种，从而降低了被追踪的可能。当然，在该探测请求消息中，也可以不携带终端的能力信息。

可选地，在一些实施例中，该探测请求消息中可以携带指示终端支持安全关联模式的指示信息。

可选地，在一些实施例中，该探测请求消息中可以携带该终端的公钥，该公钥用于AP生成解密加密的终端的能力信息的解密密钥。

可选地，在一些实施例中，当S501中的信标帧中包含接入点的公钥信息时，终端在发送S502探测请求消息之前就已经可以根据接入点的公钥信息和终端的私钥信息，生成加密密钥信息，从而生成加密的终端的能力信息(对应于S503步骤)；这样在S502步骤的探测请求消息中，终端可以携带加密的终端的能力信息。

应理解，在本发明实施例中，终端和AP可以采用迪菲－赫尔曼(Diffie Hellman，DH)密钥交换算法计算生成各自的加密密钥。例如，终端在获取AP的公钥AP-PK之后，便可以通过 DH算法以及自身的私钥STA-pk计算该终端的加密密钥STA-dhk，同样AP在获取终端的公钥STA-PK之后，也可以根据DH算法以及自身的私钥AP-pk计算该AP的加密密钥AP-dhk，这里的STA-dhk和AP-dhk是相同的对称加密密钥，也就是说，AP可以利用AP-dhk来解密终端通过STA-dhk加密的能力信息，终端也可以通过STA-dhk来解密AP通过AP-dhk加密的能力信息。

还应理解，AP与终端采用DH密钥交换算法生成各自的加密密钥仅仅是一种实现方式，本领域技术人员还可以通过其他密钥交换算法生成各自的加密密钥，对此，本发明实施例不做限定。

S503，接入点生成关联前索引信息，该关联前索引信息用于标识该终端。

具体地，在本发明实施例中，接入点接收终端通过探测请求消息携带的公钥后，便可以根据自己的私钥和DH算法生成解密加密的终端的能力信息的解密密钥。应理解，在本发明实施例中，终端与AP通过DH密钥交换算法生成终端的加密密钥STA-dhk和接入点的解密密钥AP-dhk可以是相同的，也就是说终端的加密密钥STA-dhk也可以解密接入点使用解密密钥AP-dhk加密的接入点的设备能力信息。在这种情况下，接入点生成关联前索引消息，该关联前索引信息用于终端在后续发起关联时使用，也就是说，在后续关联时，接入点根据该关联前索引信息可以确定该终端，或者是进一步确定该终端对应的加密密钥。

应理解，在本发明实施例中，该关联前索引信息可以在一段时间内保持唯一，即区别不同的终端即可。当然，该关联前索引信息也可以设置足够长，在很长时间内唯一，这样接入点在后续收到终端的关联请求时，可以确定对应该终端的能力信息，并在后续关联过程中使用对应的能力来建立关联。

应理解，当S502步骤中发送的探测请求消息包含加密的终端的能力信息时，在步骤S502之后，即AP接收到探测请求消息时即已经包含了加密的终端的能力信息和终端的公钥信息，AP这时就可以结合自己的私钥和终端的公钥信息，和其它信息(如果在这里需要其它信息，还需要AP和终端在交互过程中确认，或者是之前通过消息指示出来)生成解密密钥，对加密的设备的能力信息进行解密，获得终端的能力信息。

S504，接入点向终端发送探测响应消息，该探测响应消息中携带关联前索引信息。

应理解，在本发明实施例中，该探测请求消息中携带的关联前索引信息可以是加密的，也就是说，接入点可以使用与终端交换公钥后生成的加密密钥加密该关联前索引信息。当然，该探测请求消息中携带的关联前索引信息也可以是不加密的。

可选地，在一些实施例中，该探测响应消息可以携带AP的通用能力信息。

应理解，在本发明实施例中，如果接入点也需要保护隐私，此时该探测响应消息中也可以携带该加密的接入点的能力信息。

应理解，当AP不需要保护隐私时，该探测响应消息还可以包括AP的个性化能力信息。对此本发明实施例不做限定。

可选地，在一些实施例中，该探测响应消息可以携带AP的公钥。

可选地，在一些实施例中，该探测响应消息可以携带指示终端支持安全关联模式的指示信息。

S505，终端生成加密的终端的能力信息。

具体地，在本发明实施例中，终端在获取接入点的公钥之后，便可以通过DH算法和自身的私钥生成加密该终端能力信息的加密密钥，之后使用该加密密钥加密终端的能力信息。

应理解，在本发明实施例中，标号S505并不限定该步骤的执行顺序，终端一旦获取接入点的公钥后，便可以生成加密的终端的能力信息，对此本发明实施例不做限定。

可选地，在一些实施例中，接入点和终端在根据DH算法计算各自的加密密钥时，可以加入位置信息和/或Nonce。应理解，如果这里使用了现场值或者其他信息，需要在之前终端向AP发送公钥的消息中携带，或者是AP向终端发送的公钥消息中携带，或者是在其它消息中携带。

在计算加密密钥时通过加入位置信息和/或Nonce，可以使加密后的内容产生变化的效果。当然，也可以是STA或者AP隔一段时间变化自身的公钥私钥对。

S506，终端向接入点发送关联请求消息，该关联请求消息包括加密的终端的能力信息和所述关联前索引信息。

在本发明实施例中，加密的终端的能力信息通过现有信令进行传输，节省了信令的开销。终端能力信息和关联前索引信息通过加密的方式发送给接入点，从而避免了终端的能力信息和直接在空口发送，避免了攻击者通过监听空口消息获得终端的能力信息，从而根据能力信息中的信息生成该终端的“指纹”特征信息，从而跟踪终端。

应理解，在本发明实施例中，加密的终端能力信息通过关联请求消息发送给接入点，在这种情况下，接入点可以通过关联请求消息中携带的关联前索引信息来去确定该终端，这样即使在终端发送关联请求的MAC地址发生改变，接入点任然能够通过关联前索引信息来确定变化MAC地址的终端，从而采用该终端对应的解密密钥解密加密的终端的能力信息。

S507，接入点向终端发送关联响应消息，从而与终端建立起关联。

具体而言，接入点在接收终端通过关联请求消息发送的加密的终端的能力信息和关联前索引信息之后，根据关联前索引信息确定解密该终端加密的能力信息的解密密钥，根据该解密密钥解密加密的终端的能力信息，从而获取该终端的能力信息，接入点根据该终端的能力信息确定是否向终端发送关联响应消息，并在向终端发送关联响应消息后两者建立起关联。

S508，接入点和终端建立起安全的连接。

需要注意的是，在本发明实施例中上述各过程的序号的大小并不意味者执行顺序的先后。此外，在终端与接入点建立关联的整个流程中，上述过程也并不一定必须执行，例如，在终端与接入点交换公钥过程中，终端可以通过探测请求消息中携带该终端的公钥，接入点可以通过探测响应消息携带该接入点的公钥，此时步骤S504和S505仅仅作为公钥交换步骤时可以作为可选步骤。应理解，各个过程的执行顺序和执行必要性应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

应理解，在上述图5所示的具体实施例中，核心思想是通过现有技术中的消息来增加信息元素或者已有信息元素来实现本发明实施例技术方案，而不增加新定义的消息。当然，这里的实施例仅仅以加密的终端的能力信息在关联请求消息中携带为例进行说明，但本发明实施例不限于此，例如，加密的终端的能力信息还可以通过探测请求消息来携带。

上文详细说明了本发明实施例的无线局域网中建立关联的方法，下面将详细说明本发明实施例的接入点和终端。

图6是本发明实施例的一种无线局域网中建立关联的方法示意图。该方法包括：

S601，终端向接入点发送探测请求消息(Probe Request)，该探测请求消息包括指示终端支持安全关联模式的指示信息以及该终端的公钥STA-PK；

S602，接入点向终端发送探测响应消息(Probe Response)，该探测响应消息包括指示接入点支持安全关联模式的指示信息以及该接入点的公钥AP-PK；

S603，终端根据自身的私钥STA-pk以及接收到的接入点的公钥AP-PK生成加密密钥STA-dhk， 该加密密钥用于加密该终端的能力信息；

S604，接入点根据自身的私钥AP-pk以及接收的终端的公钥STA-PK生成解密密钥AP-dhk，该解密密钥用于解密所述加密的该终端的能力信息；

S605，终端根据生成的加密密钥加密终端的能力信息；

S606，接入点生成关联前索引信息，该关联前索引信息用于接入点在该终端与该接入点尚未建立关联时识别该终端；

S607，终端向接入点发送Action frame，该Action frame可以是一种新定义的管理帧，该Action frame可以携带终端生成的加密的终端的能力信息；

S608，接入点接收到终端发送的加密的终端的能力信息，用解密密钥进行解密以获得终端的能力信息；

S609，接入点向终端发送Action frame，该Action frame可以是一种新定义的管理帧，该Action frame可以携带接入点生成的关联前索引信息；

S610，终端向接入点发送关联请求消息(Association Request)，该关联请求消息包括该关联前索引信息；

S611，接入点根据终端发送的关联前索引信息向该终端发送关联响应消息(Association Response)，从而该接入点与该终端完成本次关联的建立。

S612，接入点和终端建立起安全的连接。

其中S603和S604可以不限定先后关系,S604与S606也可以不限定先后关系，S604和S607也可以不限定先后关系。

应理解，图6所示的本发明实施例的无线局域网中建立关联的方法仅仅是一种具体的实现方式，而不应对本发明实施例构成限定。

还应理解，上述方法中的序号不应对本发明实施例的执行顺序构成限定，本发明实施例中的各个步骤的执行顺序应当以其内在逻辑为准。

图7是本发明实施例的一种无线局域网中建立关联的方法示意图。该方法包括：

S701，终端向接入点发送探测请求消息(Probe Request)，该探测请求消息包括终端的公钥STA-PK以及终端支持安全关联模式的指示信息；

S702，接入点根据终端发送的该终端的公钥STA-PK和自身的私钥AP-pk，生成解密密钥AP-dhk，该解密密钥用于解密加密的终端的能力信息；

S703，接入点生成关联前索引信息，该关联前索引信息用于接入点在该终端与该接入点尚未建立关联时识别该终端；

S704，接入点向终端发送探测响应消息(Probe Response)，该探测响应消息包括接入点支持安全关联模式的指示信息、该接入点的公钥AP-PK以及关联前索引信息；

S705，终端根据接入点的公钥AP-PK及自身的私钥STA-pk生成加密密钥STA-dhk，该加密密钥用于加密该终端的能力信息；

S706，终端根据其生成的加密密钥来加密该终端的能力信息；

S707，终端向接入点发送关联请求消息(Association Request)，该关联请求消息包括关联前索引信息和加密的终端的能力信息。

应理解，接入点在接收到终端发送的关联请求消息之后，获取该关联请求消息中的关联前索引信息，根据该关联前索引信息来确定该终端的解密密钥，从而解密加密的该终端的能力信息。

S708，接入点接收到终端发送的关联前索引信息和加密的终端的能力信息，用解密密钥进行解密以获得终端的能力信息；

S709，接入点根据终端发送的关联前索引信息向该终端发送关联响应消息(Association Response)，从而该接入点与该终端完成关联的建立。

S710，终端和接入点建立起安全的连接。

其中S702和S704的先后关系可以不限制，S702与S707也可以不限定先后关系。

应理解，图7所示的本发明实施例的无线局域网中建立关联的方法仅仅是一种具体的实现方式，而不应对本发明实施例构成限定。

还应理解，上述方法中的序号不应对本发明实施例的执行顺序构成限定，本发明实施例中的各个步骤的执行顺序应当以其内在逻辑为准。

图8是本发明实施例的一种无线局域网中建立关联的方法示意图。该方法包括：

S801，终端向接入点发送探测请求消息(Probe Request)，该探测请求消息包括指示终端支持安全关联模式的指示信息；

S802，接入点向终端发送探测响应消息(Probe Response)，该探测响应消息包括指示该接入点支持安全关联模式的指示信息；

S803，终端向接入点发送Public Action frame，该Public Action frame可以是一种新的管理帧，该Public Action frame可以包括该终端的公钥STA-PK；

S804，接入点根据终端发送的该终端的公钥STA-PK和自身的私钥AP-PK，生成解密密钥AP-dhk，该解密密钥用于解密加密的终端的能力信息；

S805，接入点生成关联前索引信息，该关联前索引信息用于接入点在该终端与该接入点尚未建立关联时识别该终端；

S806，接入点向终端发送Public Action frame，该Public Action frame可以为一种新的管理帧，该Public Action frame可以包括该接入点的公钥AP-PK和关联前索引信息；

S807，终端根据接入点的公钥AP-PK及自身的私钥STA-pk生成加密密钥STA-dhk，该加密密钥用于加密该终端的能力信息；

S808，终端根据其生成的加密密钥来加密该终端的能力信息；

S809，终端向接入点发送关联请求消息(Association Request)，该关联请求消息包括关联前索引信息和加密的终端的能力信息。

应理解，接入点在接收到终端发送的关联请求消息之后，获取该关联请求消息中的关联前索引信息，根据该关联前索引信息来确定该终端的解密密钥，从而解密加密的该终端的能力信息。

S810，接入点接收到终端发送的关联前索引信息和加密的终端的能力信息，用解密密钥进行解密以获得终端的能力信息；

S811，接入点根据终端发送的关联前索引信息向该终端发送关联响应消息(Association Response)，从而该接入点与该终端完成本次关联的建立。

S812，终端和接入点建立起安全的连接。

其中S804和S806可以不限定先后关系；S804和S809也可以不限定先后关系。

应理解，图8所示的本发明实施例的无线局域网中建立关联的方法仅仅是一种具体的实现方式，而不应对本发明实施例构成限定。

还应理解，上述方法中的序号不应对本发明实施例的执行顺序构成限定，本发明实施例中的 各个步骤的执行顺序应当以其内在逻辑为准。

图9示出了本发明实施例的终端的示意性框图，该终端可以为图2所示的智能手机，该终端900包括：

生成模块910，用于生成加密的所述终端的能力信息；

接收模块920，用于接收接入点发送的与所述终端相关的关联前索引信息，所述关联前索引信息用于所述接入点在所述终端与所述接入点尚未建立关联时识别所述终端；

发送模块930，用于向所述接入点发送加密的所述终端的能力信息和关联请求消息，所述关联请求消息包括所述关联前索引信息；

所述接收模块920还用于接收所述接入点根据所述终端的能力信息和所述关联前索引信息发送的关联响应消息，从而所述终端和所述接入点建立起关联。

本发明实施例的终端，将终端的能力信息通过加密的方式发送给接入点，并通过关联前索引信息来标识该终端，这样，窃听者不管是在关联之前或者是在关联过程中在空口即使监听到该能力信息，也不能获取该终端的能力信息，从而可以防止窃听者根据终端的能力信息确定终端所在的位置、时间等信息，避免用户隐私的泄露。

可选地，在一些实施例中，所述发送模块具体用于：向所述接入点发送关联请求消息，所述关联请求消息包括所述加密的所述终端的能力信息。

可选地，在一些实施例中，所述发送模块具体用于：向所述接入点发送第一消息，所述第一消息包括所述加密的所述终端的能力信息，所述第一消息为管理消息；

向所述接入点发送所述关联请求消息。

可选地，在一些实施例中，所述发送模块还用于：在所述发送模块发送加密的所述终端的能力信息之前，向所述接入点发送所述终端的公钥，所述终端的公钥用于所述接入点生成解密所述终端的能力信息的解密密钥；

所述接收模块还用于接收所述接入点发送的所述接入点的公钥；

所述生成模块还用于根据所述接入点的公钥生成所述终端的加密密钥，所述终端的加密密钥用于加密所述终端的能力信息。

可选地，在一些实施例中，所述发送模块具体用于：向所述接入点发送探测请求消息，所述探测请求消息包括所述终端的公钥；

或者，向所述接入点发送第二消息，所述第二消息包括所述终端的公钥，所述第二消息为管理消息。

可选地，在一些实施例中，所述接收模块具体用于：接收所述接入点发送的探测响应消息，所述探测响应消息包括所述接入点的公钥；

或者，接收所述接入点发送的第三消息，该第三消息包括所述接入点的公钥，所述第三消息为管理消息；

或者，接收所述接入点发送的信标帧，所述信标帧包括所述接入点的公钥。

可选地，在一些实施例中，所述接收模块还用于：接收所述接入点发送的指示信息，所述指示信息用于指示所述接入点支持与所述终端进行加密的所述终端的设备能力信息传输。

可选地，在一些实施例中，所述接收模块具体用于：接收所述接入点发送的探测响应消息，所述探测响应消息包括所述指示信息；

或者，接收所述接入点发送的第四消息，该第四消息包括所述指示信息，所述第四消息为管 理消息；

或者，接收所述接入点发送的信标帧，所述信标帧包括所述指示信息。

可选地，在一些实施例中，所述接收模块具体用于：接收接入点发送的第五消息，所述第五消息包括所述关联前索引信息，所述第五消息为管理消息；

或者，接收所述接入点发送的探测响应消息，所述探测响应消息包括所述关联前索引信息。

可选地，在一些实施例中，所述终端向所述接入点发送所述关联请求消息所使用的MAC地址与所述终端向所述接入点发送所述关联请求消息之前所使用的MAC地址不同。

应理解，这里的终端均以功能模块的形式体现。这里的功能模块均可以对应于图2所示的智能手机的各个实体模块，例如，这里的生成模块可以对应于图2中智能手机的处理器，发送模块和接收模块可以对应于智能手机的射频电路等。还应理解，这里的术语“模块”可以指用于应用特有的集成电路、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器)和存储器、合并络级电路和/或奇特支持所描述的功能的合适组件。该终端可以用于执行上述方法实施例中与终端相对应的各个流程和\或步骤，为避免重复，在此不再赘述。

图10是本发明实施例的接入点的示意性框图。该接入点也可以对应于图2中的智能手机，该智能手机作为接入点同样可以有保护隐私的需要。该接入点1000包括：

生成模块1010，用于生成与终端相关的关联前索引信息，所述关联前索引信息用于所述接入点在所述终端与所述接入点尚未建立关联时识别所述终端；

发送模块1020，用于向所述终端发送所述关联前索引信息；

接收模块1030，用于接收所述终端发送的加密的所述终端的能力信息和关联请求消息，所述关联请求消息包括所述关联前索引信息；

解密模块1040，用于解密所述加密的终端的能力信息。

所述发送模块1020还用于根据所述终端的能力信息和所述关联前索引信息向所述终端发送关联响应消息，从而所述接入点和所述终端建立起关联。

本发明实施例的接入点，支持与终端进行加密的终端的能力信息传输，并通过关联前索引信息来标识该终端，这样，窃听者不管是在关联之前或者是在关联过程中在空口即使监听到该能力信息，也不能获取该终端的能力信息，从而可以防止窃听者根据终端的能力信息确定终端所在的位置、时间等信息，避免用户隐私的泄露。

可选地，在一些实施例中，所述接收模块具体用于：

接收所述终端发送的关联请求消息，所述关联请求消息包括所述加密的所述终端的能力信息。

可选地，在一些实施例中，所述接收模块还用于：接收所述终端发送的第一消息，所述第一消息包括所述加密的所述终端的能力信息，所述第一消息为管理消息；接收所述终端发送的关联请求消息。

可选地，在一些实施例中，所述接收器还用于：所述接收模块具体用于：接收所述终端发送的所述终端的公钥；

所述生成模块还用于：根据所述终端的公钥生成解密密钥，所述解密密钥用于解密加密的所述终端的能力信息；

所述发送模块还用于：向所述终端发送所述接入点的公钥，所述接入点的公钥用于所述终端生成加密所述终端的能力信息的加密密钥。

可选地，在一些实施例中，所述接收模块具体用于：接收所述终端发送的探测请求消息，所述探测请求消息包括所述终端的公钥；

或者，接收所述终端向所述接入点发送的第二消息，所述第二消息包括所述终端的公钥，所述第二消息为管理消息。

可选地，在一些实施例中，所述发送模块具体用于：向所述终端发送探测响应消息，所述探测响应消息包括所述接入点的公钥；

或者，向所述终端发送第三消息，所述第三消息包括所述接入点的公钥，所述第三消息为管理消息；

或者，向所述终端发送信标帧，所述信标帧包括所述接入点的公钥。

可选地，在一些实施中，所述发送模块还用于：向所述终端发送指示信息，所述指示信息用于指示所述接入点支持与所述终端进行加密的所述终端的设备能力信息传输。

可选地，在一些实施例中，所述发送模块具体用于：向所述终端发送探测响应消息，所述探测响应消息包括所述指示信息；

或者，向所述终端发送第四消息，所述第四消息包括所述指示信息，所述第四消息为管理消息；

或者，向所述终端发送信标帧，所述信标帧包括所述指示信息。

可选地，在一些实施例中，所述发送模块具体用于：向所述终端发送第五消息，所述第五消息包括所述关联前索引信息，所述第五消息为管理消息；

或者，向所述终端发送探测响应消息，所述探测响应消息包括所述关联前索引信息。

可选地，在一些实施例中，所述生成模块还用于：所述接入点生成加密的接入点的能力信息；

所述发送模块还用于向所述终端发送所述加密的接入点的能力信息。

应理解，这里的接入点均以功能模块的形式体现。这里的术语“模块”可以指用于应用特有的集成电路、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器)和存储器、合并络级电路和/或其他支持所描述的功能的合适组件。该接入点可以用于执行上述方法实施例中与接入点相对应的各个流程和\或步骤，为避免重复，在此不再赘述。

图11示出了本发明另一实施例的终端的示意性框图。该终端包括：处理器1101、存储器1102、发送器1103、接收器1105，终端中的各个组件通过耦合的方式连接在一起，接收器1105通过天线1104接收数据，发送器1103通过天线1104发送数据。需要说明的是，接收器和发送器可以共用一个具有接收和发送信号两种能力的天线，也可以分别使用不同的天线，本发明实施例对此不作限制，仅以前一种情况为示例。

上述本发明实施例揭示的无线局域网中建立关联的方法可以应用于处理器1101中，或者由处理器1101实现。处理器1101可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器1101中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1101可以是通用处理器、或者是***级芯片(System-on-a-Chip，SOC芯片)、基带处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是 任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read-Only Memory，ROM)、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1102，处理器1101读取存储器1102中的指令，结合其硬件完成上述方法的步骤。

该处理器1101，用于生成加密的所述终端的能力信息；

接收器1104，用于接收接入点发送的与所述终端相关的关联前索引信息，所述关联前索引信息用于所述接入点在所述终端与所述接入点尚未建立关联时识别所述终端；

发送器1103，用于向所述接入点发送加密的所述终端的能力信息和关联请求消息，所述关联请求消息包括所述关联前索引信息；

所述接收器1104还用于接收所述接入点根据所述终端的能力信息和所述关联前索引信息发送的关联响应消息，从而所述终端和所述接入点建立起关联。

本发明实施例的终端，将终端的能力信息通过加密的方式发送给接入点，并通过关联前索引信息来标识该终端，这样，窃听者不管是在关联之前或者是在关联过程中在空口即使监听到该能力信息，也不能获取该终端的能力信息，从而可以防止窃听者根据终端的能力信息确定终端所在的位置、时间等信息，避免用户隐私的泄露。

可选地，在一些实施例中，所述发送器还用于：向所述接入点发送关联请求消息，所述关联请求消息包括所述加密的所述终端的能力信息。

可选地，在一些实施例中，所述发送器还用于：向所述接入点发送第一消息，所述第一消息包括所述加密的所述终端的能力信息，所述第一消息为管理消息；

向所述接入点发送所述关联请求消息。

可选地，在一些实施例中，所述发送器还用于：在所述发送模块发送加密的所述终端的能力信息之前，向所述接入点发送所述终端的公钥，所述终端的公钥用于所述接入点生成解密所述终端的能力信息的解密密钥；

所述接收模块还用于接收所述接入点发送的所述接入点的公钥；

所述生成模块还用于根据所述接入点的公钥生成所述终端的加密密钥，所述终端的加密密钥用于加密所述终端的能力信息。

可选地，在一些实施例中，所述发送器具体用于：向所述接入点发送探测请求消息，所述探测请求消息包括所述终端的公钥；

或者，向所述接入点发送第二消息，所述第二消息包括所述终端的公钥，所述第二消息为管理消息。

可选地，在一些实施例中，所述接收器具体用于：接收所述接入点发送的探测响应消息，所述探测响应消息包括所述接入点的公钥；

或者，接收所述接入点发送的第三消息，所述第三消息包括所述接入点的公钥，所述第三消息为管理消息；

或者，接收所述接入点发送的信标帧，所述信标帧包括所述接入点的公钥。

可选地，在一些实施例中，所述接收器具体用于：接收所述接入点发送的指示信息，所述指示信息用于指示所述接入点支持与所述终端进行加密的所述终端的设备能力信息传输。

可选地，在一些实施例中，所述接收器还用于：接收所述接入点发送的探测响应消息，所述 探测响应消息包括所述指示信息；

或者，接收所述接入点发送的第四消息，所述第四消息包括所述指示信息，所述第四消息为管理消息；

或者，接收所述接入点发送的信标帧，所述信标帧包括所述指示信息。

可选地，在一些实施例中，所述接收器具体用于：接收接入点发送的第五消息，所述第五消息包括所述关联前索引信息，所述第五消息为管理消息；

或者，接收所述接入点发送的探测响应消息，所述探测响应消息包括所述关联前索引信息。

可选地，在一些实施例中，所述终端向所述接入点发送所述关联请求消息所使用的MAC地址与所述终端向所述接入点发送所述关联请求消息之前所使用的MAC地址不同。

应理解，该终端可以用于执行上述方法实施例中与终端相对应的各个流程和\或步骤，为避免重复，在此不再赘述。

图12是本发明另一实施例的接入点的示意性框图。该接入点包括：处理器1201、存储器1202、发送器1203、接收器1205，终端中的各个组件通过耦合的方式连接在一起，接收器1205通过天线1204接收数据，发送器1203通过天线1204发送数据。需要说明的是，接收器和发送器可以共用一个具有接收和发送信号两种能力的天线，也可以分别使用不同的天线，本发明实施例对此不作限制，仅以前一种情况为示例。

上述本发明实施例揭示的无线局域网中建立关联的方法可以应用于处理器1201中，或者由处理器1201实现。处理器1201可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器1201中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1201可以是通用处理器、或者是***级芯片(System-on-a-Chip，SOC芯片)、基带处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read-Only Memory，ROM)、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1202，处理器1201读取存储器1202中的指令，结合其硬件完成上述方法的步骤。

该处理器1201，用于生成与终端相关的关联前索引信息，所述关联前索引信息用于所述接入点在所述终端与所述接入点尚未建立关联时识别所述终端；

发送器1203，用于向所述终端发送所述关联前索引信息；

接收器1205，用于接收所述终端发送的加密的所述终端的能力信息和关联请求消息，所述关联请求消息包括所述关联前索引信息；

处理器1201，用于解密所述加密的终端的能力信息；

所述发送模块1203还用于根据所述终端的能力信息和所述关联前索引信息向所述终端发送关联响应消息，从而所述接入点和所述终端建立起关联。

本发明实施例的接入点，支持与终端进行加密的终端的能力信息传输，并通过关联前索引信息来标识该终端，这样，窃听者不管是在关联之前或者是在关联过程中在空口即使监听到该能力 信息，也不能获取该终端的能力信息，从而可以防止窃听者根据终端的能力信息确定终端所在的位置、时间等信息，避免用户隐私的泄露。

可选地，在一些实施例中，所述接收器具体用于：接收所述终端发送的关联请求消息，所述关联请求消息包括所述加密的所述终端的能力信息。

可选地，在一些实施例中，所述接收器还用于：接收所述终端发送的第一消息，所述第一消息包括所述加密的所述终端的能力信息，所述第一消息为管理消息；接收所述终端发送的关联请求消息

可选地，在一些实施例中，所述接收器还用于：接收所述终端发送的所述终端的公钥；

所述处理器还用于：根据所述终端的公钥生成解密密钥，所述解密密钥用于解密加密的所述终端的能力信息；

所述发送器还用于：向所述终端发送所述接入点的公钥，所述接入点的公钥用于所述终端生成加密所述终端的能力信息的加密密钥。

可选地，在一些实施例中，所述接收器具体用于：接收所述终端发送的探测请求消息，所述探测请求消息包括所述终端的公钥；

或者，接收所述终端向所述接入点发送的第二消息，所述第二消息包括所述终端的公钥，所述第二消息为管理消息。

可选地，在一些实施例中，所述发送器具体用于：向所述终端发送探测响应消息，所述探测响应消息包括所述接入点的公钥；

或者，向所述终端发送第三消息，所述第三消息包括所述接入点的公钥，所述第三消息为管理消息；

或者，向所述终端发送信标帧，所述信标帧包括所述接入点的公钥。

可选地，在一些实施中，所述发送器具体用于：向所述终端发送指示信息，所述指示信息用于指示所述接入点支持与所述终端进行加密的所述终端的设备能力信息传输。

可选地，在一些实施例中，所述发送器还用于：向所述终端发送探测响应消息，所述探测响应消息包括所述指示信息；

或者，向所述终端发送第四消息，所述第四消息包括所述指示信息，所述第四消息为管理消息；

或者，向所述终端发送信标帧，所述信标帧包括所述指示信息。

可选地，在一些实施例中，所述发送器具体用于：向所述终端发送第五消息，所述第五消息包括所述关联前索引信息，所述第五消息为管理消息；

或者，向所述终端发送探测响应消息，所述探测响应消息包括所述关联前索引信息。

可选地，在一些实施例中，所述处理器还用于：所述接入点生成加密的接入点的能力信息；

所述发送模块还用于向所述终端发送所述加密的接入点的能力信息。

应理解，该接入点可以用于执行上述方法实施例中与接入点相对应的各个流程和\或步骤，为避免重复，在此不再赘述。

图13是本发明再一实施例的终端的示意性框图。该终端包括：

处理模块1301，用于控制终端内部各模块动作。

发现模块1302，用于执行接入点的发现。

具体地，该发现模块用于发现周围支持安全关联模式的接入点，和/或产生探测请求消息。

加密解密模块1303，用于产生保护终端的能力信息的公钥和私钥对。

可选地，在一些实施例中，该加密解密模块还可以生成加密密钥和对终端的能力信息进行加密和解密处理。

可选地，在一些实施例中，该加密解密模块还可以在获得接入点的公钥之后，能够计算得到终端的能力信息的加密密钥。

可选地，在一些实施例中，该加密解密模块还可以对终端的能力信息进行加密，生成加密后的终端的能力信息。

可选地，在一些实施例中，当接入点也需要隐私保护时，该加密解密模块还可以在收到接入点加密的接入点的能力信息后，解密获得接入点的能力信许。

关联模块1304，用于执行终端与接入点的认证和关联，包括根据安全前关联索引信息完成终端的认证和关联。

应理解，该终端可以用于执行上述方法实施例中与终端相对应的各个流程和\或步骤，为避免重复，在此不再赘述。

图14示出了本发明再一实施例的接入点的示意性框图，该接入点包括：

处理模块1401，用于控制接入点中内部各个模块的动作。

发现响应模块1402，用于执行终端的发现的响应的生成和回复。

可选地，在一些实施例中，该发现响应模块还用于产生探测响应消息。通过发现响应模块对终端的响应，还可以指示该接入点支持反追踪模式。

加密解密模块1403，用于产生保护该接入点能力信息的公钥和私钥对。

可选地，在一些实施例中，该加密解密模块还可以生成加密密钥。

可选地，在一些实施例中，该加密解密模块还可以对接入点的能力信息进行加密和解密处理。

可选地，在一些实施例中，该加密解密模块在获得终端的公钥后，还能够计算得到接入点的能力信息的加密密钥。

可选地，在一些实施例中，该加密解密模块还可以对加密的终端的能力信息进行解密，获得终端的能力信息。

可选地，在一些实施例中，当接入点也需要隐私保护时，该加密解密模块还可以对设备能力信息进行加密，生成加密的接入点的能力信息。

可选地，在一些实施例中，该加密解密模块还可以产生关联前索引信息。

关联模块1404，用于执行终端的认证和关联，包括根据关联前索引信息完成与终端的认证和关联。

该接入点可以用于执行上述方法实施例中与接入点相对应的各个流程和\或步骤，为避免重复，在此不再赘述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的技术方案的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的***、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。本发明各方法实施例之间相关部分可以相互参考；各装置实施例所提供的装置用于执行对应的方法实施例所提 供的方法，故各装置实施例可以参考相关的方法实施例中的相关部分进行理解。本发明各实施例之间相关部分均可以相互参考。

本发明各装置实施例中给出的装置结构图仅示出了对应的装置的简化设计。在实际应用中，该装置可以包含任意数量的发射器，接收器，收发器，处理器，存储器等，以实现本发明各装置实施例中该装置所执行的功能或操作，而所有可以实现本申请的装置都在本申请的保护范围之内。

本发明各实施例中提供的消息/帧/指示信息、模块或单元等的名称仅为示例，可以使用其他名称，只要消息/帧/指示信息、模块或单元等的作用相同即可。

在本申请所提供的几个实施例中，应该理解到，所揭露的***、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明实施例的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内，因此本发明的保护范围应以权利要求的保护范围为准。

Claims (42)

1. 一种无线局域网中建立关联的方法，其特征在于，包括：

   终端生成加密的所述终端的能力信息；

   所述终端接收接入点发送的与所述终端相关的关联前索引信息，所述关联前索引信息用于所述接入点在所述终端与所述接入点尚未建立关联时识别所述终端；

   所述终端向所述接入点发送加密的所述终端的能力信息和关联请求消息，所述关联请求消息包括所述关联前索引信息；

   所述终端接收所述接入点根据所述终端的能力信息和所述关联前索引信息发送的关联响应消息，从而所述终端与所述接入点建立起关联。
2. 根据权利要求1所述的方法，其特征在于，所述终端向所述接入点发送加密的所述终端的能力信息和关联请求消息，包括：

   所述终端向所述接入点发送所述关联请求消息，所述关联请求消息包括所述加密的所述终端的能力信息。
3. 根据权利要求1所述的方法，其特征在于，所述终端向所述接入点发送加密的所述终端的能力信息和关联请求消息，包括：

   所述终端向所述接入点发送第一消息，所述第一消息包括所述加密的所述终端的能力信息，所述第一消息为管理消息；

   所述终端向所述接入点发送所述关联请求消息。
4. 根据权利要求1-3中任一项所述的方法，其特征在于，在所述终端向所述接入点发送加密的所述终端的能力信息之前，所述方法还包括：

   所述终端向所述接入点发送所述终端的公钥，所述终端的公钥用于所述接入点生成解密所述加密的终端的能力信息的解密密钥，其中，所述终端接收所述接入点发送的与所述终端相关的关联前索引信息发生在所述终端向所述接入点发送所述终端的公钥之后；

   所述终端接收所述接入点发送的所述接入点的公钥；

   所述终端根据所述接入点的公钥生成所述终端的加密密钥，所述终端的加密密钥用于加密所述终端的能力信息。
5. 根据权利要求4所述的方法，其特征在于，所述终端向所述接入点发送所述终端的公钥，包括：

   所述终端向所述接入点发送探测请求消息，所述探测请求消息包括所述终端的公钥；

   或者，所述终端向所述接入点发送第二消息，所述第二消息包括所述终端的公钥，所述第二消息为管理消息。
6. 根据权利要求4或5所述的方法，其特征在于，所述终端接收所述接入点发送的所述接入点的公钥，包括：

   所述终端接收所述接入点发送的探测响应消息，所述探测响应消息包括所述接入点的公钥；

   或者，所述终端接收所述接入点发送的第三消息，所述第三消息包括所述接入点的公钥，所述第三消息为管理消息；

   或者，所述终端接收所述接入点发送的信标帧，所述信标帧包括所述接入点的公钥。
7. 根据权利要求1-6中任一项所述的方法，其特征在于，所述方法还包括：

   所述终端接收所述接入点发送的指示信息，所述指示信息用于指示所述接入点支持与所述终端进行加密的所述终端的能力信息的传输。
8. 根据权利要求7所述的方法，其特征在于，所述终端接收所述接入点发送的指示信息，包括：

   所述终端接收所述接入点发送的探测响应消息，所述探测响应消息包括所述指示信息；

   或者，所述终端接收所述接入点发送的第四消息，所述第四消息包括所述指示信息，所述第四消息为管理消息；

   或者，所述终端接收所述接入点发送的信标帧，所述信标帧包括所述指示信息。
9. 根据权利要求1-8中任一项所述的方法，其特征在于，所述终端接收所述接入点发送的关联前索引信息，包括：

   所述终端接收接入点发送的第五消息，所述第五消息包括所述关联前索引信息，所述第五消息为管理消息；

   或者，所述终端接收所述接入点发送的探测响应消息，所述探测响应消息包括所述关联前索引信息。
10. 根据权利要求1-9中任一项所述的方法，其特征在于，所述终端向所述接入点发送所述关联请求消息所使用的MAC地址与所述终端向所述接入点发送所述关联请求消息之前所使用的MAC地址不同。
11. 一种无线局域网中建立关联的方法，其特征在于，包括：

    接入点生成与终端相关的关联前索引信息，所述关联前索引信息用于所述接入点在所述终端与所述接入点尚未建立关联时识别所述终端；

    所述接入点向所述终端发送所述关联前索引信息；

    所述接入点接收所述终端发送的加密的所述终端的能力信息和关联请求消息，所述关联请求消息包括所述关联前索引信息；

    所述接入点解密所述加密的终端的能力信息；

    所述接入点根据所述终端的能力信息和所述关联前索引信息向所述终端发送关联响应消息，从而所述接入点与所述终端建立起关联。
12. 根据权利要求11所述的方法，其特征在于，所述接入点接收所述终端发送的加密的所述终端的能力信息和关联请求消息，包括：

    所述接入点接收所述终端发送的所述关联请求消息，所述关联请求消息包括所述加密的所述终端的能力信息。
13. 根据权利要求11所述的方法，其特征在于，所述接入点接收所述终端发送的加密的所述终端的能力信息和关联请求消息，包括：

    所述接入点接收所述终端发送的第一消息，所述第一消息包括所述加密的所述终端的能力信息，所述第一消息为管理消息；

    所述接入点接收所述终端发送的关联请求消息。
14. 根据权利要求11-13中任一项所述的方法，其特征在于，在所述接入点接收所述终端发送的加密的所述终端的能力信息之前，所述方法还包括：

    所述接入点接收所述终端发送的所述终端的公钥，其中，所述接入点向所述终端发送所述关联前索引信息发生在所述接入点接收所述终端发送的所述终端的公钥之后；

    所述接入点根据所述终端的公钥生成解密密钥，所述解密密钥用于解密所述加密的所述终端的能力信息；

    所述接入点向所述终端发送所述接入点的公钥，所述接入点的公钥用于所述终端生成加密所述终端的能力信息的加密密钥。
15. 根据权利要求14所述的方法，其特征在于，所述接入点接收所述终端发送的所述终端的公钥， 包括：

    所述接入点接收所述终端发送的探测请求消息，所述探测请求消息包括所述终端的公钥；

    或者，所述接入点接收所述终端发送的第二消息，所述第二消息包括所述终端的公钥，所述第二消息为管理消息。
16. 根据权利要求14或15所述的方法，其特征在于，所述接入点向所述终端发送所述接入点的公钥，包括：

    所述接入点向所述终端发送探测响应消息，所述探测响应消息包括所述接入点的公钥；

    或者，所述接入点向所述终端发送第三消息，所述第三消息包括所述接入点的公钥，所述第三消息为管理消息；

    或者，所述接入点向所述终端发送信标帧，所述信标帧包括所述接入点的公钥。
17. 根据权利要求11-16中任一项所述的方法，其特征在于，所述方法还包括：

    所述接入点向所述终端发送指示信息，所述指示信息用于指示所述接入点支持与所述终端进行加密的所述终端的设备能力信息的传输。
18. 根据权利要求17所述的方法，其特征在于，所述接入点向所述终端发送指示信息，包括：

    所述接入点向所述终端发送探测响应消息，所述探测响应消息包括所述指示信息；

    或者，所述接入点向所述终端发送第四消息，所述第四消息包括所述指示信息，所述第四消息为管理消息；

    或者，所述接入点向所述终端发送信标帧，所述信标帧包括所述指示信息。
19. 根据权利要求11-18中任一项所述的方法，其特征在于，所述接入点向所述终端发送所述关联前索引信息，包括：

    所述接入点向所述终端发送第五消息，所述第五消息包括所述关联前索引信息，所述第五消息为管理消息；

    或者，所述接入点向所述终端发送探测响应消息，所述探测响应消息包括所述关联前索引信息。
20. 根据权利要求11-19中任一项所述的方法，其特征在于，在所述接收所述终端发送的所述关联请求消息之前，所述方法还包括：

    所述接入点生成加密的接入点的能力信息；

    所述接入点向所述终端发送所述加密的接入点的能力信息。
21. 一种终端，其特征在于，包括：

    生成模块，用于生成加密的所述终端的能力信息；

    接收模块，用于接收接入点发送的与所述终端相关的关联前索引信息，所述关联前索引信息用于所述接入点在所述终端与所述接入点尚未建立关联时识别所述终端；

    发送模块，用于向所述接入点发送加密的所述终端的能力信息和关联请求消息，所述关联请求消息包括所述关联前索引信息；

    所述接收模块还用于接收所述接入点根据所述终端的能力信息和所述关联前索引信息发送的关联响应消息，从而所述终端与所述接入点建立起关联。
22. 根据权利要求21所述的终端，其特征在于，所述发送模块具体用于：

    向所述接入点发送所述关联请求消息，所述关联请求消息包括所述加密的所述终端的能力信息。
23. 根据权利要求21所述的终端，其特征在于，所述发送模块具体用于：

    向所述接入点发送第一消息，所述第一消息所述第一消息包括所述加密的所述终端的能力信息，所述第一消息为管理消息；

    向所述接入点发送所述关联请求消息。
24. 根据权利要求21-23中任一项所述的终端，其特征在于，所述发送模块还用于：在所述发送模块向所述接入点发送加密的所述终端的能力信息之前，向所述接入点发送所述终端的公钥，所述终端的公钥用于所述接入点生成解密所述加密的终端的能力信息的解密密钥；其中，所述终端接收所述接入点发送的与所述终端相关的关联前索引信息发生在所述终端向所述接入点发送所述终端的公钥之后；

    所述接收模块还用于接收所述接入点发送的所述接入点的公钥；

    所述生成模块还用于根据所述接入点的公钥生成所述终端的加密密钥，所述终端的加密密钥用于加密所述终端的能力信息。
25. 根据权利要求24所述的终端，其特征在于，所述发送模块具体用于：

    向所述接入点发送探测请求消息，所述探测请求消息包括所述终端的公钥；

    或者，向所述接入点发送第二消息，所述第二消息包括所述终端的公钥，所述第二消息为管理消息。
26. 根据权利要求24或25所述的方法，其特征在于，所述接收模块具体用于：

    接收所述接入点发送的探测响应消息，所述探测响应消息包括所述接入点的公钥；

    或者，接收所述接入点发送的第三消息，所述第三消息包括所述接入点的公钥，所述第三消息为管理消息；

    或者，接收所述接入点发送的信标帧，所述信标帧包括所述接入点的公钥。
27. 根据权利要求21-26中任一项所述的终端，其特征在于，所述接收模块还用于：

    接收所述接入点发送的指示信息，所述指示信息用于指示所述接入点支持与所述终端进行加密的所述终端的设备能力信息的传输。
28. 根据权利要求27所述的终端，其特征在于，所述接收模块具体用于：

    接收所述接入点发送的探测响应消息，所述探测响应消息包括所述指示信息；

    或者，接收所述接入点发送的第四消息，所述第四消息包括所述指示信息，所述第四消息为管理消息；

    或者，接收所述接入点发送的信标帧，所述信标帧包括所述指示信息。
29. 根据权利要求21-28中任一项所述的终端，其特征在于，所述接收模块具体用于：

    接收接入点发送的第五消息发送，所述第五消息包括所述关联前索引信息，所述第五消息为管理消息；

    或者，接收所述接入点发送的探测响应消息，所述探测响应消息包括所述关联前索引信息。
30. 根据权利要求21-29中任一项所述的方法，其特征在于，所述终端向所述接入点发送所述关联请求消息所使用的MAC地址与所述终端向所述接入点发送所述关联请求消息之前所使用的MAC地址不同。
31. 一种接入点，其特征在于，包括：

    生成模块，生成与终端相关的关联前索引信息，所述关联前索引信息用于所述接入点在所述终端与所述接入点尚未建立关联时识别所述终端；

    发送模块，用于向所述终端发送所述关联前索引信息；

    接收模块，用于接收所述终端发送的加密的所述终端的能力信息和关联请求消息，所述关联请求消息包括所述关联前索引信息；

    解密模块，用于解密所述加密的终端的能力信息；

    所述发送模块还用于：根据所述终端的能力信息和所述关联前索引信息向所述终端发送关联响应消息，从而所述接入点与所述终端建立起关联。
32. 根据权利要求31所述的接入点，其特征在于，所述接收模块具体用于：

    接收所述终端发送的所述关联请求消息，所述关联请求消息包括所述加密的所述终端的能力信息。
33. 根据权利要求31所述的接入点，其特征在于，所述接收模块具体用于：

    接收所述终端发送的第一消息，所述第一消息包括所述加密的所述终端的能力信息，所述第一消息为管理消息；

    接收所述终端发送的关联请求消息。
34. 根据权利要求31-33中任一项所述的接入点，其特征在于，所述接收模块具体用于：接收所述终端发送的所述终端的公钥，其中，所述接入点向所述终端发送所述关联前索引信息发生在所述接入点接收所述终端发送的所述终端的公钥之后；；

    所述生成模块还用于：根据所述终端的公钥生成解密密钥，所述解密密钥用于解密所述加密的所述终端的能力信息；

    所述发送模块还用于：向所述终端发送所述接入点的公钥，所述接入点的公钥用于所述终端生成加密所述终端的能力信息的加密密钥。
35. 根据权利要求34所述的接入点，其特征在于，所述接收模块具体用于：

    接收所述终端发送的探测请求消息，所述探测请求消息包括所述终端的公钥；

    或者，接收所述终端发送的第二消息，所述第二消息包括所述终端的公钥，所述第二消息为管理消息。
36. 根据权利要求34或35所述的接入点，其特征在于，所述发送模块具体用于：

    向所述终端发送探测响应消息，所述探测响应消息包括所述接入点的公钥；

    或者，向所述终端发送第三消息，所述第三消息包括所述接入点的公钥，所述第三消息为管理消息；

    或者，向所述终端发送信标帧，所述信标帧包括所述接入点的公钥。
37. 根据权利要求31-36中任一项所述的接入点，其特征在于，所述发送模块还用于：

    向所述终端发送指示信息，所述指示信息用于指示所述接入点支持与所述终端进行加密的所述终端的设备能力信息的传输。
38. 根据权利要求37所述的接入点，其特征在于，所述发送模块具体用于：

    向所述终端发送探测响应消息，所述探测响应消息包括所述指示信息；

    或者，向所述终端发送第四消息，所述第四消息包括所述指示信息，所述第四消息为管理消息；

    或者，向所述终端发送信标帧，所述信标帧包括所述指示信息。
39. 根据权利要求31-38中任一项所述的接入点，其特征在于，所述发送模块具体用于：

    向所述终端发送第五消息，所述第五消息包括所述关联前索引信息，所述第五消息为管理消 息；

    或者，向所述终端发送探测响应消息，所述探测响应消息包括所述关联前索引信息。
40. 根据权利要求31-39中任一项所述的接入点，其特征在于，所述生成模块还用于：在所述接收模块接收所述终端发送的所述关联请求消息之前，所述接入点生成加密的接入点的能力信息；

    所述发送模块还用于向所述终端发送所述加密的接入点的能力信息。
41. 一种终端，其特征在于，包括：

    处理器、存储器、发送器和接收器；

    所述存储器用于存储指令；

    所述处理器用于调用所述指令，通过所述发送器和接收器来执行如权利要求1-10任一所述的方法。
42. 一种接入点，其特征在于，包括：

    处理器、存储器、发送器和接收器；

    所述存储器用于存储指令；

    所述处理器用于调用所述指令，通过所述发送器和接收器来执行如权利要求11-20任一所述的方法。

Images