专利名称:一种实现无线局域网安全措施的计算机设备和方法
技术领域:
本发明涉及网络鉴权技术,特别是指一种实现无线局域网安全措施的计算机设备和方法。
背景技术:
无线局域网鉴权与保密基础结构(WAPI,WLAN Authentication and PrivacyInfrastructure)是中国无线局域网国家标准GB15629. 11中提出的应用无线通信 技术(WLAN,Wireless Local Area Network)安全解决方案。WAPI采用国家密码管理委员 会办公室批准的公开密钥体制的椭圆曲线密码算法(ECC)和秘密密钥体制的分组密码算 法(SMS4),实现了设备的身份鉴权、链路验证、访问控制和用户信息在无线传输状态下的加 密保护。在现有的实现方案中,基于公钥密码体系的证书机制,如果进行实现移动终端 (MT)与无线接入点(AP)间双向鉴权;通常是由无线网卡所集成的WAPI功能实现,S卩,硬件 厂商自己或者与其他厂商合作在无线网卡中实现了 WAPI。发明人在实现本发明的过程中,发现现有技术中至少存在如下问题WAPI不能与 硬件相分离,限制了专注于WAPI技术的开发人员对WAPI技术的发展,而且,由于WAPI是集 成在硬件网卡上的,导致在对WAPI功能进行后续升级的过程中需要得到其他企业的许可。
发明内容
本发明的目的是提供一种实现无线局域网安全措施的计算机设备和方法,用于在 实现WAPI技术过程中,摆脱对国外企业的依赖,实现对WAPI技术的升级。为了解决上述问题,一方面,本发明提供了一种计算机设备,包括有网卡设备,还 包括与所述网卡设备相独立的WAPI设备,所述WAPI设备中包括无线局域网鉴权基础结构 单元,用于在与一无线访问接入点AP建立链路时发送用户环境配置文件和WAPI信息元素; 并当收到来自所述AP的验证信息时,与所述AP成功建立链路;其中,所述验证信息是关于 所述WAPI信息元素与所述AP匹配成功的信息;无线局域网保密基础结构单元,用于在所述 无线局域网鉴权基础结构单元与所述AP建立链路之后,使用加密解密密钥对网络数据进 行加解密;网卡设备,包括有接收单元,判断单元,转发单元;其中,所述接收单元用于接收 所述用户环境配置文件和来自所述AP的WAPI配置信息;所述判断单元用于将所述用户环 境配置文件与所述WAPI配置信息进行比对,当所述用户环境配置文件中的内容包括在所 述WAPI配置信息中时,通知所述WAPI设备发送所述WAPI信息元素;所述转发单元用于将 所述WAPI信息元素转发给所述AP,并将来自所述AP的所述验证信息通知所述WAPI设备。优选的,还包括用户交互单元,用于接收用户的输入,并显示相应的反馈提示信 息;网络配置用户界面单元,用于根据所述用户的输入,通知所述无线局域网鉴权基础结构 单元生成一所述用户环境配置文件。优选的,所述无线局域网鉴权基础结构单元还包括密钥协商单元,用于与所述AP之间动态协商所述加密解密密钥。优选的,所述网卡设备还包括第一工作模式转换模块,用于在所述网卡设备处于 一正常模式下,通知所述网卡设备对将要发送的所述网络数据进行加密,对接收到的所述 网络数据进行解密;当所述用户环境配置文件中的内容包括在所述WAPI配置信息中时,设置所述网 卡设备处于安全卸载模式,其中所述安全卸载模式用于接收到来所述WAPI设备发送的所 述WAPI信息元素;在所述网卡设备与所述无线访问接入点AP建立链路连接之后,设置所述网卡设 备处于一通过模式,在所述通过模式下,所述网卡设备不再对网络数据进行加密解密。优选的,所述无线局域网保密基础结构单元还包括第二工作模式转换模块,用 于在一数据绕路模式下,设置所述无线局域网保密基础结构单元处于非工作状态;在保密 安全模式下,设置所述无线局域网保密基础结构单元将接收到的所述网络数据进行加密解
r t [ ο另一方面,本发明提供了一种实现无线局域网安全措施的方法,应用于一计算机 中的网卡设备,包括接收到来自一 WAPI设备的一用户环境配置文件;接收到一个WAPI配 置信息;将所述用户环境配置文件与所述WAPI配置信息进行比对,当所述用户环境配置文 件中的内容包括在所述WAPI配置信息中时,通知所述WAPI设备发送WAPI信息元素;将接 收到的WAPI信息元素转发给一无线访问接入点AP,接收到来自所述AP的验证信息并通知 所述WAPI设备,从而保证所述WAPI设备与所述AP成功建立链路,使得所述WAPI设备能够 将网络数据加密后通过所述网卡设备发送至所述AP,其中,所述验证信息是关于所述WAPI 信息元素与AP匹配成功的信息。优选的,所述接收到来自AP的验证信息并通知所述WAPI设备步骤之后,还包括 对来自所述AP并通过所述网卡设备的加密后的网络数据进行解密。优选的,所述接收到来自所述AP的验证信息并通知所述WAPI设备,之后还包括 与所述AP之间动态协商加密解密密钥。优选的,与所述AP之间动态协商加密解密密钥,之前还包括所述WAPI设备处于 数据绕路模式,不对经过自身的所述网络数据进行加密解密。优选的,与所述AP之间动态协商加密解密密钥,之后还包括所述WAPI设备处于 保密安全模式,对经过自身的所述网络数据进行加密解密。优选的,所述用户环境配置文件至少包括局域网名称SSID和与所述SSID相对应 的安全模式。本发明具有以下有益效果应用本实施例的技术,将计算机与网络之间的数据的 加密解密过程,与无线网卡进行了分层设计,且无线网卡不需要重新设计和改动,使得在实 现WAPI的过程中,不再依赖无线网卡,降低了成本,减少了对国外厂商的依赖。
图1为本发明实施例计算机设备结构示意图;图2为本发明实施例的设备在Vista操作系统中的工作原理示意图;图3为本发明实施例方法流程示意图一;
图4为本发明实施例方法流程示意图二。
具体实施例方式为使本发明的目的、技术特征和实施效果更加清楚,下面将结合附图及具体实施例对本发明的技术方案进行详细描述。本发明提供的实施例中,采用分层结构实现WAPI,即,一网卡设备103 (IHV, Independent Hardware Vendor)实现无线网卡;一无线局域网保密基础结构单元 102 ((WPIjWLAN Privacy Infrastructure)实现独立的WAPI软件包;通过少量附加接口为 计算机提供完整的WAPI功能。本实施例提供了一种计算机设备,如图1所示,包括有网卡设备103,还包括与所 述网卡设备103相独立的WAPI设备100,所述WAPI设备100中包括无线局域网鉴权基础结构单元101,用于在与一无线访问接入点AP建立链路时发 送用户环境配置文件(Profile)和WAPI信息元素;并当收到来自所述AP的验证信息时,与 所述AP成功建立链路;其中,所述验证信息是关于所述WAPI信息元素与所述AP匹配成功 的信息;无线局域网保密基础结构单元102,用于在所述无线局域网鉴权基础结构单元 101与所述AP建立链路之后,使用加密解密密钥对网络数据进行加解密;网卡设备103,包括有接收单元1031,判断单元1032,转发单元1033 ;其中,所述接收单元1031用于接收所述用户环境配置文件和来自所述AP的WAPI配置 fn息;所述判断单元1032用于将所述用户环境配置文件与所述WAPI配置信息进行比 对,当所述用户环境配置文件中的内容包括在所述WAPI配置信息中时,通知所述WAPI设备 100发送所述WAPI信息元素;所述转发单元1033用于将所述WAPI信息元素转发给所述AP,并将来自所述AP的 所述验证信息通知所述WAPI设备100。应用本实施例的技术,将计算机设备与网络之间所传输的网络数据进行加密解密 的功能,与网卡设备103进行了分层设计,且无线网卡不需要重新设计和改动,使得在实现 WAPI的过程中,不再需要与生产网卡设备103的厂商进行协商,减少了对国外厂商的依赖。实施例中,用户环境配置文件至少包括局域网名称(SSID,Service Set Identifier,也可以写为Extended SSID)和与所述SSID相对应的安全模式,以及TOP Key、 使用频段等信息。当网卡设备103判断所述SSID相对应的安全模式属于WAPI的一种安全 方式之后,自身进入一安全卸载模式,等待接收来自WAPI设备100中的一无线局域网鉴权 基础结构单元101的WAPI信息元素,网卡设备103去寻找这样一个无线网络并且进行链路 连接,将所述WAPI信息元素发给无线访问接入点(AP,Access Point);用于接收到来自所 述AP的验证信息,所述验证信息是关于所述WAPI信息元素与AP匹配成功的信息。无线局域网鉴权基础结构单元101中还包括密钥协商单元,用于与AP之间动态 协商加密解密密钥。为完善设备的功能,如图2所示,以通常使用的Vista操作系统为例,计算机设备 中还可以包括
本地自动配置单元(ACM,Auto Configuration Module) 105,可以看作一个协议 栈,通常在Windows Vi sta中使用,用于在数据、请求、指令的传输过程中,封装这些数据、请 求、指令使之符合当前计算机系统的规范。至少将来自无线局域网鉴权基础结构单元101 的所述用户环境配置文件封装为当前的本地计算机系统所支持的格式,直接或者通过一无 线中介驱动单元108发送给网卡设备103。需要说明的是,由于本地自动配置单元105通常 是在Windows Vista中使用,而在包括Windows Vista在内的操作系统中,还应当具有EAP Framework (802. IX Module)、Native 802. IlMedia Specific Module(MSM)等协议所对应 的功能实现单元。无线中介驱动单元108,用于将所述用户环境配置文件和/或所述WAPI信息元素 发送给所述网卡设备103。无线局域网鉴权基础结构单元101将所述WAPI信息元素发送给 一无线中介驱动单元108,所述无线中介驱动单元108将所述WAPI信息元素发送给所述无 线局域网保密基础结构单元102,由所述无线局域网保密基础结构单元102转发给所述网 卡设备103。用户交互单元106,用于实现与用户之间的交互功能,接收用户的输入,并显示相 应的反馈提示信息。网络配置用户界面单元107,由当前计算机所使用的操作系统提供,提供了用户开 发用户交互单元106的界面以及各种功能的应用接口函数(API),并对使用者在用户交互 单元106中的操作所形成的数据进行封装处理。无线局域网保密基础结构单元102还包括第二工作模式转换模块,用于在非安全模式下,处于非工作状态;在安全模式下, 设置所述无线局域网保密基础结构单元102将接收到的网络数据进行加解密。网卡设备103还包括第一工作模式转换模块,用于在正常模式下,通知所述网卡设备103对将要发送 的网络数据进行加密,对接收到的网络数据进行解密;在收到来自无线局域网保密基础结构单元102的用户环境配置文件后,通知所述 网卡设备103处于安全卸载模式;在网卡设备103与AP建立链路连接之后,通知所述网卡设备103处于通过模式 (pass-thru mode),在所述通过模式下,所述网卡设备103不再对网络数据进行加密解密。应用以上实施例所提供的无线局域网安全措施实现设备,以通常使用的Vista操 作系统为例,仍如图2所示,各个单元在一个完整的工作流程中遵循如下流程在用户交互单元106中,按照预定的步骤选择了使用无线局域网络,并确定此时 生成了网络链接请求;该网络链接请求在网络配置用户界面单元107中进行封装处理后被 发送给一本地自动配置单元105 ;本地自动配置单元105通知无线局域网鉴权基础结构单元101开始准备收集本地 计算机的各种配置信息;无线局域网鉴权基础结构单元101生成一用户环境配置文件,发送给本地自动配 置单元105,由本地自动配置单元105处理后发送给一无线中介驱动单元108 ;无线中介驱动单元108进行处理后发送给一无线局域网保密基础结构单元102 ; 由于此时的无线局域网保密基础结构单元102处于一数据绕路模式(Data Bypass Mode),因此直接发送给了一网卡设备103 ;网卡设备103接到所述用户环境配置文件后,获知当前进行的无线局域网链接是 一种WAPI方式的链接,则将自身置于一安全卸载模式(Security OffIoadMode),通知无线 局域网鉴权基础结构单元101准备建立与一 AP之间的链路;无线局域网鉴权基础结构单元101得到通知之后,生成一 WAPI信息元素,发送到 无线中介驱动单元108,由无线中介驱动单元108通过无线局域网保密基础结构单元102转 发给网卡设备103。网卡设备103根据所述WAPI信息元素与所述无线访问接入点之间建立链路,并处 于通过模式(Pass-thu Mode),在Pass-thu Mode下不再对传输的网络数据进行加解密;无线局域网鉴权基础结构单元101完成所述网卡设备的STA端与AP的双向认证, 并动态协商加密解密密钥;无线局域网保密基础结构单元102在无线局域网鉴权基础结构单元101与AP建 立链路之后,在处于工作状态的一安全模式下,使用所述动态协商的加密解密密钥对网络 数据进行加解密。本发明提供的实施例中,提供了一种无线局域网安全措施实现方法,应用于一计 算机中的网卡设备103,如图3所示,包括步骤201.接收到来自一 WAPI设备100的一用户环境配置文件;步骤202.接收到一个WAPI配置信息;步骤203.将所述用户环境配置文件与所述WAPI配置信息进行比对,步骤204.当所述用户环境配置文件中的内容包括在所述WAPI配置信息中时,通 知所述WAPI设备100发送WAPI信息元素;步骤205.将接收到的WAPI信息元素转发给一无线访问接入点AP,步骤206.接收到来自所述AP的验证信息并通知所述WAPI设备100,从而保证所 述WAPI设备100与所述AP成功建立链路,使得所述WAPI设备100能够将网络数据加密后 通过所述网卡设备103发送至所述AP,其中,所述验证信息是关于所述WAPI信息元素与AP 匹配成功的信息。应用本实施例的技术,将计算机设备与网络之间所传输的网络数据进行加密解密 的功能,与网卡设备103进行了分层设计,且无线网卡不需要重新设计和改动,使得在实现 WAPI的过程中,不再需要与生产网卡设备103的厂商进行协商,减少了对国外厂商的依赖。以上实施例以计算机中的网卡设备103为执行主体,揭示了对应的技术方案,以 下将所述WAPI设备100拆分成无线局域网鉴权基础结构单元101和无线局域网保密基础 结构单元102,描述了在一个完整的建立链路并对网络数据进行加密解密的过程中,如图4 所示,各个单元完成自身功能的流程,包括步骤301.用户在计算机上通过操作确认当前想要与一无线局域网建立网络链接 之后;无线局域网鉴权基础结构单元101生成一用户环境配置文件(Profile),发送该用户 环境配置文件到一网卡设备103 ;所述用户环境配置文件设置网卡设备103处于安全卸载 模式。其中,网卡设备103包括对应的接收单元1031,判断单元1032,转发单元1033完成 各自的功能,此处不再赘述。其中,用户的操作和确认行为在不同的计算机环境下,有不同的实现方式,例如在Windows XP和Windows Vista中,可以通过点击无线网络链接的图形化界面并按照预定的 步骤进行。步骤302.将一 WAPI信息元素(IE,Information Element)发送给所述网卡设备 103 ;步骤303.网卡设备103使用所述WAPI信息元素实现与AP之间的链路认证,并进 入通过模式;步骤304.在所述通过模式下,所述无线局域网鉴权基础结构单元101直接与AP 完成WAPI认证与密钥协商;步骤305.无线局域网保密基础结构单元102进入一安全模式,对与AP之间传输 的网络数据进行加解密。应用本实施例的技术,将计算机与网络之间的数据的加密解密过程,与无线网卡 进行了分层设计,且无线网卡不需要重新设计和改动,使得在实现WAPI的过程中,不再依 赖无线网卡,降低了成本,减少了对国外厂商的依赖。发送该用户环境配置文件到一网卡设备103,进一步包括所述网卡设备103使用所述WAPI信息元素实现与AP之间的链路认证,之前还包 括无线局域网鉴权基础结构单元101将所述WAPI信息元素发送给一无线中介驱动 单元108,所述无线中介驱动单元108将所述WAPI信息元素发送给所述无线局域网保密基 础结构单元102,由所述无线局域网保密基础结构单元102转发给所述网卡设备103。网卡设备103进入通过模式,进一步包括所述网卡设备103不对通过的所述网络数据进行检验,并将所述网络数据发送给 AP0对与AP之间传输的网络数据进行加解密,进一步包括所述网络数据由无线局域网保密基础结构单元102加密之后,直接发送到网卡设 备103,由所述网卡设备103直接通过链路连接发送到AP。其中,Profile包括了需要连接无线网络的服务区别号(ESSID,ExtendedService Set Identifier)和TOP Key、使用频段等信息,当网卡设备103加载一个Profile,控制程 序就会让网卡设备103去寻找这样一个无线网络并且进行链路连接。应用本实施例的技术,将计算机与网络之间的数据的加密解密过程,与无线网卡 进行了分层设计,且无线网卡不需要重新设计和改动,使得在实现WAPI的过程中,不再依 赖无线网卡,降低了成本,减少了对国外厂商的依赖。本发明的实施例具有以下有益效果,WAPI的实现与无线网卡内部的实现技术无 关;IHV无须因为WAPI改动自身的软、硬件,只需支持少量附加接口即可实现对WAPI的支 持。IHV自由升级其软、硬件,ISV自由升级其WAPI软件;ISV与IHV无须向对方提供额外 资源;且可以适用于所有的无线网卡。将计算机与网络之间的数据的加密解密过程,与无线网卡进行了分层设计,且无 线网卡不需要重新设计和改动,使得在实现WAPI的过程中,不再依赖无线网卡,降低了成 本,减少了对国外厂商的依赖。应当说明的是,以上实施例仅用以说明本发明的技术方案而非限制,所有的参数取值可以根据实际情况调整,且在该权利保护范围内。本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神范围,其 均应涵盖在本发明的权利要求范围当中。
权利要求
一种计算机设备,包括有网卡设备,其特征在于,还包括与所述网卡设备相独立的WAPI设备,所述WAPI设备中包括无线局域网鉴权基础结构单元,用于在与一无线访问接入点AP建立链路时发送用户环境配置文件和WAPI信息元素;并当收到来自所述AP的验证信息时,与所述AP成功建立链路;其中,所述验证信息是关于所述WAPI信息元素与所述AP匹配成功的信息;无线局域网保密基础结构单元,用于在所述无线局域网鉴权基础结构单元与所述AP建立链路之后,使用加密解密密钥对网络数据进行加解密;网卡设备,包括有接收单元,判断单元,转发单元;其中,所述接收单元用于接收所述用户环境配置文件和来自所述AP的WAPI配置信息;所述判断单元用于将所述用户环境配置文件与所述WAPI配置信息进行比对,当所述用户环境配置文件中的内容包括在所述WAPI配置信息中时,通知所述WAPI设备发送所述WAPI信息元素;所述转发单元用于将所述WAPI信息元素转发给所述AP,并将来自所述AP的所述验证信息通知所述WAPI设备。
2.根据权利要求1所述的设备,其特征在于,还包括用户交互单元,用于接收用户的输入,并显示相应的反馈提示信息; 网络配置用户界面单元,用于根据所述用户的输入,通知所述无线局域网鉴权基础结 构单元生成一所述用户环境配置文件。
3.根据权利要求1所述的设备,其特征在于,所述无线局域网鉴权基础结构单元还包括密钥协商单元,用于与所述AP之间动态协商所述加密解密密钥。
4.根据权利要求1所述的设备,其特征在于,所述网卡设备还包括第一工作模式转换模块,用于在所述网卡设备处于一正常模式下,通知所述网卡设备 对将要发送的所述网络数据进行加密,对接收到的所述网络数据进行解密;当所述用户环境配置文件中的内容包括在所述WAPI配置信息中时,设置所述网卡 设备处于安全卸载模式,其中所述安全卸载模式用于接收到来所述WAPI设备发送的所述 WAPI信息元素;在所述网卡设备与所述无线访问接入点AP建立链路连接之后,设置所述网卡设备处 于一通过模式,在所述通过模式下,所述网卡设备不再对网络数据进行加密解密。
5.根据权利要求1所述的设备,其特征在于,所述无线局域网保密基础结构单元还包括第二工作模式转换模块,用于在一数据绕路模式下,设置所述无线局域网保密基础结 构单元处于非工作状态;在保密安全模式下,设置所述无线局域网保密基础结构单元将接 收到的所述网络数据进行加密解密。
6.一种实现无线局域网安全措施的方法,应用于一计算机中的网卡设备,其特征在于, 包括接收到来自一 WAPI设备的一用户环境配置文件; 接收到一个WAPI配置信息;将所述用户环境配置文件与所述WAPI配置信息进行比对,当所述用户环境配置文件中的内容包括在所述WAPI配置信息中时,通知所述WAPI设 备发送WAPI信息元素;将接收到的WAPI信息元素转发给一无线访问接入点AP,接收到来自所述AP的验证信息并通知所述WAPI设备,从而保证所述WAPI设备与所述 AP成功建立链路,使得所述WAPI设备能够将网络数据加密后通过所述网卡设备发送至所 述AP,其中,所述验证信息是关于所述WAPI信息元素与AP匹配成功的信息。
7.根据权利要求6所述的方法,其特征在于,所述接收到来自AP的验证信息并通知所 述WAPI设备步骤之后,还包括对来自所述AP并通过所述网卡设备的加密后的网络数据进行解密。
8.根据权利要求7所述的方法,其特征在于,所述接收到来自所述AP的验证信息并通 知所述WAPI设备,之后还包括与所述AP之间动态协商加密解密密钥。
9.根据权利要求8所述的方法,其特征在于,与所述AP之间动态协商加密解密密钥,之 前还包括所述WAPI设备处于数据绕路模式,不对经过自身的所述网络数据进行加密解密。
10.根据权利要求8所述的方法,其特征在于,与所述AP之间动态协商加密解密密钥, 之后还包括所述WAPI设备处于保密安全模式,对经过自身的所述网络数据进行加密解密。
11.根据权利要求6所述的方法,其特征在于,所述用户环境配置文件至少包括局域网名称SSID和与所述SSID相对应的安全模式。
全文摘要
本发明提供一种实现无线局域网安全措施的计算机设备和方法,计算机设备包括与网卡设备相独立的一WAPI设备中无线局域网鉴权基础结构单元,用于在与一无线访问接入点AP建立链路时发送用户环境配置文件和WAPI信息元素;与AP成功建立链路;无线局域网保密基础结构单元,用于在无线局域网鉴权基础结构单元与AP建立链路之后,使用加密解密密钥对网络数据进行加解密;网卡设备包括,接收单元用于接收用户环境配置文件和来自AP的WAPI配置信息;通知WAPI设备发送WAPI信息元素;转发单元用于将WAPI信息元素转发给AP。应用本实施例的技术,将计算机对网络数据加密解密的过程,与无线网卡进行了分层设计,使得不再依赖原有的无线网卡,减少了对国外厂商的依赖。
文档编号H04W88/02GK101808317SQ20091007814
公开日2010年8月18日 申请日期2009年2月18日 优先权日2009年2月18日
发明者周超 申请人:联想(北京)有限公司