专利名称:一种实现无线局域网安全的装置及工作方法
技术领域:
本发明涉及一种实现无线局域网安全的装置及工作方法,尤其涉及一种符合强制性国家标准(GB15629.11-2003和GB15629.1102-2003)的实现无线局域网安全的装置及工作方法,其适用于无线局网的所有设备,包括终端、接入点、网桥、路由器、网关等。
背景技术:
无线局域网设备的可移动性带来了使用上的方便和较高的用户接入速率。随着用户终端网卡、无线接入点等无线局域网设备价格的下降,预计到2002年底~2003年,中国无线局域网的用户数量将迅速增加,迎来发展的新高潮。无线局域网的终端设备范围将涵盖笔记本电脑、台式机、PDA及打印机等办公设备,而无线网卡将成为笔记本电脑的必备配置,无线局域网网络也将进一步在高价位住宅区、酒店等场合广泛应用。同时,无线局域网在家庭的应用也将越来越普及,企业和家庭用户将成为无线局域网设备的市场。无线局域网正迅速得到广大电信运营商的青睐。
但是由于无线局域网是利用空中信号传送,易被截获,接入实行单向认证,加密算法易被破解,极不安全。为此2003年5月,由中国宽带无线IP标准工作组(China Broadband Wireless IP Standard work group,www.chinabwips.org)起草的无线局域网产品的强制性国家标准(GB15629.11-2003和GB15629.1102-2003)正式颁布。标准特别规定了无线局域网的安全机制WAPI(Wireless Authentication and Privacy Infrastructure),其中,数据传输的加密/解密过程采用国家商用密码管理委员会办公室提供的算法实现,以保障数据传输的安全。2003年11月26日,国家质量监督检验检疫总局和国家标准化管理委员会联合发布公告,宣布上述两个强制性国家标准自2003年12月1日起开始实施。
发明内容
本发明所要解决的技术问题是提供一种可实现无线局域网安全的装置及其工作方法,该装置通过标准接口以热插拔的方式可拆卸连接于现有无线局域网终端设备外部,以保障设备接入及数据传输的安全。
为了解决上述技术问题,本发明提供一种可实现无线局域网安全接入的装置,其包括接口模块,其包括输入接口模块及输出接口模块;与接口模块双向连接的带加/解密模块的主处理器;与带加/解密模块的主处理器双向连接的时钟/控制模块,其提供本装置信息流向的开关和通路;与带加解/密模块的主处理器双向连接的存储模块;其中,所述的所述的带加/解密模块的主处理器,包括主处理器本体;以及,固化在主处理器本体内并均通过总线双向连接的密码算法模块、输入输出端口、算法控制模块、片内存储器、装置总控模块;本发明专利可实现无线局域网安全的装置具有如下特点1、本发明在用户设置界面时可根据需要选择安全协议,实现了现有无线局域网终端设备,如笔记本和台式机的平滑过渡到强制性国标,解决了国际标准和国标的兼容,换言之,可实现国际漫游。
2、由于本装置在主机驱动程序中无缝嵌入了新的安全协议(WAPI),实现了现有802.11协议族主芯片的新功能的扩展以达到兼容WAPI国标的目的。
3、解决了国家标准中私钥的安全(私钥不可离开执行载体)、证书存放的安全,以及离线分发密钥的安全。
4、装置配置界面可以用户选定,主机不调用无线局域网安全装置即是现行的802.11协议中安全协议,调用无线局域网安全装置即为802.11X协议中WAPI安全协议。
图1是本发明的一种实现无线局域网安全的装置的结构示意图。
图2是图1所示的装置的更具体的结构示意图。
图3是图1所示的带加/解密模块的主处理器的具体结构示意图。
图4是本发明的无线局域网安全的装置所采用的工作方法流程图。
具体实施例方式
以下结合附图对本发明作进一步的描述本实用新型的实现无线局域网安全的装置包括接口模块,其包括输入接口模块1及输出接口模块5;与接口模块双向连接的带加/解密模块的主处理器2,其是一块专用集成电路,简称SoC(System on a Chip,片上系统);与带加/解密模块的主处理器2双向连接的时钟/控制模块3,其提供本装置信息流向的开关和通路,实现装置内部模块的连接及数据的流向控制;与带加解/密模块的主处理器2双向连接的存储模块4,由16/32位数据宽度的FLASH,16/32位数据宽度的SDRAM、SDRAM、BOOT ROM组成,其内存放主芯片运行及初始化程序,实现装置软件所需的指令和数据驻留及缓冲。
所述的接口模块可根据需要可选用USB 1.0/2.0接口,或者采用SIM接口,或者采用IEEE1394,或者是IIC,或者是PCMCIA。根据不同接口选用不同的接口芯片。该接口模块可实现和主机接口(包括USB接口,SIM卡接口,1394接口,PCMCIA接口等)的数据传输,其主要负责各协议的实现及对相应的硬件的底层驱动,是各子模块中与硬件直接相关的部分向上提供统一接口及函数调用对硬件的驱动(初始化、配置、中断、缓存管理)。
所述的存储模块4由ROM、FLASH、SDRAM组成,ROM实现初始化,FLASH实现固化应用软件,SDAM实现动态数据缓冲存储体系,结合图2所示所述的存储模块4内贮留有与输入/输出接口模块1、5双向连接的多路控制单元41,该多路控制单元是所有模块的条件控制,对应用系统的各模块进行链接控制,同时和主机操作系统的模块实现无缝链接和系统调用。
与多路控制单元41双向连接的转发与缓冲子系统42,其用于数据包检查与分类,以及数据包装填、转发与缓冲。
与多路控制单元41双向连接的证书与密钥库43,其用于存放初始化证书、根据使用者需求在不同场申请来的证书及私钥,供系统调用。
与输入/输出接口模块双向连接的操作系统抽象层模块44,其是嵌入式操作系统和应用层的协议、接口的过渡层。
与所述的操作系统抽象层模块44双向连接的嵌入式操作系统内核模块45,其是本装置操作系统核心模块,负责系统初始化,系统调用。
与所述的操作系统抽象层模块44双向连接的嵌入式操作系统设备驱动模块46,其负责和主机操作系统的无缝连接以及和抽象层模块的对接、驱动。
由于以上模块均采用现有标准,在此不再赘述。
结合图3所示所述的带加/解密模块的主处理器2包括主处理器本体21;固化在主处理器本体内的WAPI应用软件,其是拼装IP(IntellectualProperty)的过程,IP是集成电路知识产权模块的简称,它包括5个密码算法模块22,分别为随机数产生算法模块、对称密码算法模块、椭园曲线加密算法模块、杂凑算法模块、椭园曲线数字签名算法模块,以供系统调用;以及,固化在主处理器本体21内的输入/输出端口23,算法控制模块24,片内存储器25,装置总控模块26;所述密码算法模块22、输入输出端口23、算法控制模块24、片内存储器25、装置总控模块26均通过总线双向连接,由于上述器件均采用现有标准,在此不再赘述。
所述的带加/解密模块的主处理器2主要功能如下 实现本装置和主机间数据传输控制及热插拔初始化。
向主机提供WAPI协议所需的加/解密函数的实现 保存初始证书以及使用者证书以及证书私钥,在使用时提供主机使用。
如图4所示本发明还提供一种上述实现无线局域网安全的装置所采用的工作方法,其包括如下步骤1、空中无线数据通过无线模块从网络收到符合WAPI标准的网络报文,由无线模块驱动程序进行处理;2、主机无线模块驱动程序通过操作系统内核调用把WAPI报文传送给本实现无线局域网安全的装置。本安全装置通过装置总控模块中的认证模块以及算法控制模块中的解密模块把满足WAPI国标的报文恢复成主机操作系统可认的原始数据;3、本安全装置通过自身的驱动程序把解密好的报文通过主机操作系统内核传送给需要此网络数据的上层网络应用程序(如邮件、IE等等);4、主机网络应用程序在收到报文后回应未加密的报文给操作系统内核模块调用;5、主机操作系统内核模块调用把未加密的报文再发送给本装置安全模块;6、本安全装置收到此未加密的报文后,做相应的加密处理,使之满足WAPI协议,之后把满足WAPI协议的加密数据报通过主机操作系统调用传送给无线模块驱动;7、无线模块驱动程序通过无线模块硬件把加密好的满足WAPI国标的报文发送到空中。
本发明的无线局域网安全装置首次插入主机接口时,可自动枚举并下载软件和接口描述符表;接下为再次枚举,通过下载的信息来定义设备,当设备插入时它们立即执行。本发明在办理证书和下载私钥时离线到运行商指定地点授权,而不是网络下载。
权利要求
1.一种实现无线局域网安全的装置,其以热插拔的方式通过标准接口可拆卸连接于现有无线局域网终端设备外部,其特征在于,包括接口模块,其包括输入接口模块(1)及输出接口模块(5);与接口模块双向连接的带加/解密模块的主处理器(2);与带加/解密模块的主处理器(2)双向连接的时钟/控制模块(3),其提供本装置信息流向的开关和通路;与带加解/密模块的主处理器(2)双向连接的存储模块(4);其中,所述的带加/解密模块的主处理器(2),包括主处理器本体(21);以及,固化在主处理器本体内并均通过总线双向连接的密码算法模块(22)、输入/输出端口(23)、算法控制模块(24)、片内存储器(25)、装置总控模块(26);
2.根据权利要求1所述的实现无线局域网安全的装置,其特征在于,所述的接口模块采用USB接口、或者采用SIM接口,或者采用802.11协议族的无线接口,或者采用IEEE1394。
3.根据权利要求1所述的实现无线局域网安全的装置,其特征在于,所述的密码算法模块(22)包括随机数产生算法模块、对称密码算模块、椭园曲线加密算法模块、杂凑算法模块、椭园曲线数字签名算法模块。
4.根据权利要求1所述的实现无线局域网安全的装置,其特征在于,所述的存储模块(4)由16/32位数据宽度的FLASH MEMORY,16/32位数据宽度的SDRAM、BOOT ROM组成。
5.一种权利要求1所述的实现无线局域网安全的装置所采用的工作方法,其特征在于,包括如下步骤1)、空中无线数据通过无线模块从网络收到符合WAPI标准的网络报文,由无线模块驱动程序进行处理;2)、主机无线模块驱动程序通过操作系统内核调用把WAPI报文传送给本实现无线局域网安全的装置;3)本安全装置通过装置总控模块中的认证模块以及算法控制模块中的解密模块把满足WAPI国标的报文恢复成主机操作系统可认的原始数据;4)、本安全装置通过自身的驱动程序把解密好的报文通过主机操作系统内核传送给需要此网络数据的上层网络应用程序;5)、主机网络应用程序在收到报文后回应未加密的报文给操作系统内核调用;6)、主机操作系统内核调用把未加密的报文再发送给本装置安全模块;7)、本安全装置收到此未加密的报文后,做相应的加密处理,使之满足WAPI协议,之后把满足WAPI协议的加密数据报通过主机操作系统调用传送给无线模块驱动;8)、无线模块驱动程序通过无线模块硬件把加密好的满足WAPI国标的报文发送到空中。
6.根据权利要求5所述的实现无线局域网安全的装置所采用的工作方法,其特征在于,所述的安全装置和主机无线模块在不使用时是分离的。
7.根据权利要求5所述的实现无线局域网安全的装置所采用的工作方法,其特征在于,所述的安全装置首次插入主机接口时,可自动枚举并下载软件和接口描述符表;接下来,再次枚举,通过下载的信息来定义设备,当设备插入时它们立即执行。
8.根据权利要求5所述的实现无线局域网安全的装置所采用的工作方法,其特征在于,办理证书和下载私钥时离线到运行商指定地点授权,而不是网络下载。
全文摘要
本发明提供一种实现无线局域网安全的装置,其以热插拔的方式通过标准接口可拆卸连接于现有无线局域网终端设备外部,包括接口模块,输入接口模块(1)及输出接口模块(5);与接口模块双向连接的带加/解密模块的主处理器(2);与带加/解密模块的主处理器(2)双向连接的时钟/控制模块(3),其提供本装置信息流向的开关和通路;与带加解/密模块的主处理器(2)双向连接的存储模块(4)。本发明实现了现有无线局域网终端设备平滑过渡到强制性国标;实现了现有对所有802.11协议族主芯片的兼容;解决了私钥、证书存放的安全,以及离线分发密钥的安全;解决了国际标准和国标的兼容。
文档编号H04L9/28GK1581775SQ20041001837
公开日2005年2月16日 申请日期2004年5月14日 优先权日2004年5月14日
发明者陆庆元, 邓金声, 林肇, 王剑锋, 江津, 陈六光 申请人:上海华曼信息技术有限公司