专利名称:可实现无线局域网的保密通信的方法
可实现无线局域网的保密通信的方法
所属技术领域
本发明涉及通信终端与无线局域网内无线接入点的保密通信方 法,特别涉及利用加密装置实现通信终端在无线局域网的无线接入和 通信安全的方法。
背景技术:
目前,WLAN ( Wireless Local Area Network,无线局域网)的无线 接入系统通常是由无线网卡、无线接入点(AP, Access Point )、无线 接入网关(AG, Access Server )和无线接入服务器(AS, Access Server) 等各个部分组成。较为常见的组网方式是通过无线网卡与计算机、 PDA等终端设备相连,取代以上设备中原有的有线网卡,从而实现终 端设备间、终端设备与无线接入点间的无线连接,完成对无线信道的 检测、选择、控制和管理,并能实现无线接收的增益控制、发射端的 功率控制等功能。
与有线传输相比,无线传输的保密性较差,因此需要一些额外的 安全措施来保证无线接入点和各通信终端之间的通信安全,比如用户 认证、信息加密等。现有的加密方式已经有很多种,总起来包括软件 加密和硬件加密。软件加密是在通信系统的应用层中加入一个专门负 责加密、解密的软件模块。由于这种加密方式的加密、解密密钥以及加密、解密过程中出现的数据都要在本机的内存中出现,因而容易被 破译。另外,由于加密算法的运算量非常大,所以加、解密过程对系 统资源的大量占有也是无法容忍的。硬件加密就是将加密密码算法和 密钥存储到专用的硬件中去,该专用硬件通过通信接口与通信终端连 接,加密、解密过程是首先将数据通过通信接口传输至专用硬件,再 由^5更件中的《殷处理器来完成加密、解密。上述^_件加密虽然乂人才艮本上 克服了上述软件加密的缺点,但是如果所有待加密、解密处理的数据 和所有处理后的凄t据均需通过通信接口在通信终端和专用硬件间传 输,则通信接口的传输速度将会影响通信终端在无线局域网中的传输 速度,同时频繁在通信终端与专用硬件间的数据传输也会占用大量的 系统资源。
无线局域网标准IEEE802.11采用有线对等加密(Wired Equivalent Privacy, WEP)技术对信息进行加密。WEP是一种对称加密技术,即 加密通信双方使用相同的密钥进行加解密。在实际应用中,出于安全 性的考虑,不同用户应该使用不同的密钥。通常密钥由网络管理者分 配,并存储在通信双方,即通信终端和无线接入点(AP)上。这种 密钥管理方法存在很多弊端。首先,在这种密钥管理方式下,为了支 持用户的漫游,每个无线接入点(AP)都应该存储所有用户的密钥, 而每次增加或修改用户的密钥,网络管理者就要在所有的无线接入点 (AP)上增加或修改该用户的密钥,使密钥管理任务相当繁重,而 且无线接入点(AP)的存储能力也可能达不到要求。另外,由于密 钥分别存储在用户的通信终端和无线接入点中,而存储在通信终端的密钥显然是不安全的,这为他人窃取密钥提供了可乘之机。
发明内容
本发明提供一种可实现无线局域网的保密通信的方法,所要解决 的技术问题在于使通信终端不参与通信安全处理,而借助外置的加密 装置实现其与无线局域网的连接和传输数据的加密、解密处理,从而 有效保证通信安全。
本发明关于一种可实现无线局域网的保密通信的方法,所述的无
线局域网包括有一无线接入点(AP)及通信终端,该无线接入点与外 部网络连接,所述方法包括以下步骤(l)在具有无线网卡功能的加 密装置中预置唯一 的标识信息,且在认证装置中存储有经认证的加密 装置的标识信息,并在认证装置中建立存储有各标识信息及特征信息 对应关系的信息表,使接入点与认证装置连接;(2)使具有无线网卡 功能的加密装置与通信终端连接并获得供电,在通信终端上安装并运 行加密装置的无线网卡专用驱动程序;(3)加密装置建立与无线接入 点的无线信道,加密装置再通过无线接入点向认证装置发送包含标识 信息的认证请求;(4)认证装置根据认证请求中包含的标识信息对加 密装置进行认证,如果认证成功,则认证装置在信息表中调取与该标 识信息相对应的特征信息,向无线接入点发送认证装置根据密钥生成 算法从该特征信息生成的第一密钥,并将包含特征信息的允许接入通 知经无线接入点发送至加密装置;(5)无线接入点直接从认证装置处 接收第一密钥,加密装置通过无线接入点接收允许接入通知并得到特征信息,根据同一密钥生成算法从该特征信息生成第一密钥;(6)无 线接入点与加密装置在无线信道中通过第一密钥对传输的数据进行 加密、解密处理。
前述的可实现无线局域网的保密通信的方法,在所述的认证装置 和加密装置中分别存储第二密钥或密钥对;在步骤(4)中,所述的 认证装置将特征信息以第二密钥或密钥对中的公钥进行加密,使允许 接入通知中包含的特征信息是已用第二密钥或密钥对中的公钥加密 后的信息;在步骤(5)中,所述的加密装置接收到允许接入通知后, 将加密的特征信息利用第二密钥或密钥对中的私钥进行解密,并根据 同一密钥生成算法从解密后得到的特征信息生成第一密钥。
前述的可实现无线局域网的保密通信的方法,所述的认证装置为 设置于外部网络的认证服务器。
前述的可实现无线局域网的保密通信的方法,所述的认证装置为 将外部网络与无线接入点连接起来的无线网关。
前述的可实现无线局域网的保密通信的方法,所述的通信终端将 向无线局域网发送的数据通过通信接口模块输出至加密装置,该加密 装置将该数据加密后通过无线局域网模块向无线接入点发送;所述的 加密装置通过无线局域网模块接收到无线接入点发送的加密数据,并 在对该数据解密后通过通信接口模块输出至通信终端。
前述的可实现无线局域网的保密通信的方法,所述的通信接口模 块是为USB接口模块、SATA接口模块、ISA接口模块、PCI接口模块、 或PCMCIA接口模块。前述的可实现无线局域网的保密通信的方法,所述的加密装置通 过通信接口模块中设置的电源端子与通信终端的电源输出端子的电 性连接,从而获得的供电。
前述的可实现无线局域网的保密通信的方法,所述的加密装置是 为利用数据存储模块和程序存储模块中存储的密钥和加密算法对通 信终端输入的数据进行加密或解密处理的加密狗,且利用该数据存储 模块和程序存储模块中存储的密钥和加密算法对与无线接入点间传 输的数据进行加密或解密处理。
前述的可实现无线局域网的保密通信的方法,所述的加密狗中还 设有分别对数据存储模块和程序存储模块中存储的密钥和加密算法 进行管理的密钥管理模块和算法管理模块,加密狗可根据通信终端发 送的指令或无线接入点发送的允许接入通知控制密钥管理模块和算 法管理模块,使加密狗与通信终端间和加密狗与无线接入点间的通信 分别使用不同的密钥和加密算法。
如上所述,本发明可实现无线局域网的保密通信的方法具有如下
有益效果
本发明可实现无线局域网的保密通信的方法是通过外置的加密 装置与通信终端的连接实现通信终端与无线接入点间的无线连接,通 信终端与无线局域网间传输的数据均通过加密装置接收和发送,而避
免了使加密、解密工作在通信终端完成,由此,既可保障在无线通信 的安全,在数据安全性上也有了显著的提高,而且借由加密装置完成 无线通信的加密和解密工作,大大节省了系统资源。更为重要的是,通过连接加密装置和安装驱动程序,使更多的通信终端可以更为便捷 地接入无线局域网中。
本发明的密钥分发是通过认证装置进行管理的,认证装置通过密 钥生成算法从特征信息生成密钥,向无线接入点和加密装置分别提供 密钥和特征信息,利用加密装置中内置的与认证装置相同的密钥生成 算法得到密钥,从而可实现密钥在分发过程中的保密,而且利用加密 装置对所存储信息的保密功能,使加密密钥、密钥生成算法的安全得 到了有效的保障。
本发明利用i/^正装置对密钥分发进行管理,因此,通信终端用户 可以在大于密钥管理服务器覆盖范围内跨区漫游,另外,由于无线接 入点无需管理用户信息,简化了无线接入点的结构从而降低了成本。
图l是本发明的加密装置的结构框图。
图2是本发明可实现无线局域网的保密通信的方法的示意图。
具体实施方式
为进一步阐述本发明达成预定目的所采取的技术手段及功效,以 下结合附图及实施例,详细说明如下。
请参阅图1所示,是本发明的加密装置的结构框图,该加密装置 包括
微处理器模块负责数据运算,通过调用数据存储模块与程序存储模块中的数据和程序,进行加密、解密运算,完成对通信中传递信 息数据的加密、解密工作,即将准备通过无线局域网模块发送的数据 进行加密,将通过无线局域网模块获取的数据进行解密。另外,微处 理器模块可利用密钥生成算法从特征信息生成密钥。
程序存储模块与微处理器模块连接,主要存储加密、完整性保 护算法和密钥生成算法,可以以密文的形式存;^文,在加电后,加载进 密码运算器中,解密恢复出密文再运行。
数据存储^f莫块用来安全保存主密钥、非对称加密算法密钥对, 加电后,主密钥、密钥对由数据存储模块调入微处理器模块中参与运 算。
通信接口模块通过数据线与微处理器模块连接,用来与需加密 终端(即通信终端)相连接。
无线局域网模块与微处理器模块连接,用于建立无线局域网与 微处理器的连接,所述的微处理器模块将加密处理后的数据通过无线 局域网模块向外发送,并将从无线局域网接收的数据解密后通过通信 接口模块向需通信终端传送。
上述通信接口模块以USB接口模块为宜,由于USB接口即插即用, 且支持非常高的数据传输速率,因此不仅方便使未配备无线网卡的通 信终端可以与无线局域网连接,而且兼具传输速度高和通信安全的优 点。
具体而言,上述的无线局域网模块包括基带单元和RF单元,所 述的基带单元对微处理器模块的数据进行调制/解调;所述的RF单元将基带单元的数据处理为高频信号进行传送,还接收和处理高频信 号。上述的微处理器模块还具有用于存取输入输出的数据、及中间计
算结果、与外部存储器交换的数据和暂存数据的RAM模块。
出于安全的需要,要经常对密钥进行更新和管理,并且也有可能 对密码算法进行更新操作,因此,在微处理器模块中还包括负责密钥 的更新和管理的密钥管理模块和负责加密算法的更新和管理的算法 管理模块。
请参阅附图2所示,是本发明的可实现无线局域网的保密通信的 方法的流程图。该无线局域网主要包括无线接入点(AP)、通信终端、 网关等,该通信终端经由无线接入点和网关与有线骨干网连接,本发 明可实现无线局域网的保密通信的方法包括以下步骤
(1) 在上述具有无线网卡功能的加密装置中预置唯一的标识信 息,且在认证装置中存储有各认可接入的加密装置的标识信息,并在 认证装置中建立将各标识信息与特征信息对应的信息表,使无线接入 点与认证装置连接;
(2) 使具有无线网卡功能的加密装置通过通信接口与通信终端连 接并获得供电,在通信终端上安装并运行加密装置的无线网卡专用驱 动程序;
(3) 加密装置利用无线网卡功能建立与无线接入点的无线信道, 加密装置再通过无线接入点向认证装置发送包含标识信息的认证请 求;(4) 认证装置根据认证请求中包含的标识信息对加密装置进行认 证,如果认证失败,则经无线接入点发送拒绝接入消息;如果认i正成 功,则认证装置在信息表中调取与该标识信息相对应的特征信息,向 无线接入点发送认证装置根据密钥生成算法从该特征信息生成的第 一密钥,并将包含特征信息的允许接入通知经无线接入点发送至加密 装置;
(5) 无线接入点直接从认证装置处接收第一密钥,加密装置通过 无线接入点接收允许接入通知并得到特征信息,根据与认证装置相同 的密钥生成算法从该特征信息生成第一密钥,且由加密装置通知通信 终端已建立与无线接入点间的数据保密通道,即通信终端可经由加密 装置和无线接入点间的数据保密通道接入无线局域网;
(6) 无线接入点与加密装置在无线信道中通过第一密钥对传输的 数据进行加密、解密处理。
上述认证装置通过无线接入点向加密装置发送的特征信息可由 认证装置进行加密,在加密装置接到后进行解密,其具体步骤如下
在认证装置和加密装置中分别存储第二密钥或密钥对;
在步骤(4)中,所述的认证装置将特征信息以第二密钥或密钥 对中的公钥进行加密,使允许接入通知中包含的特征信息是已用第二 密钥或密钥对中的公钥加密后的信息;
在步骤(5)中,所述的加密装置接收到允许接入通知后,将加 密的特征信息利用第二密钥或密钥对中的私钥进行解密,并根据同一 密钥生成算法从解密后得到的特征信息生成第一密钥。上述认证装置是为设置于外部网络的认证服务器或者是为将外 部网络与无线接入点连接起来的无线网关,也可以是实现通信终端的
网间漫游管理的无线接入服务器(AS, Access Server )。
具体而言,在上述步骤(6)中,通信终端将向无线局域网发送 的数据通过通信接口模块输出至加密装置,该加密装置将该数据加密 后通过无线局域网模块向无线接入点发送;所述的加密装置通过无线 局域网模块接收到无线接入点发送的加密数据,并在对该数据解密后 通过通信接口模块输出至通信终端。
上述的通信接口模块是为USB接口模块、SATA接口模块、ISA接 口模块、PCI接口模块、或PCMCIA接口模块。加密装置通过通信接 口模块中设置的电源端子与通信终端的电源输出端子的电性连接,从 而获得的供电。
具体而言,上述的加密装置是为利用数据存储4莫块和程序存储模 块中存储的密钥和加密算法对通信终端输入的数据进行加密或解密 处理的加密狗,且利用该数据存储模块和程序存储模块中存储的密钥 和加密算法对与无线接入点间传输的数据进行加密或解密处理。加密 狗中还设有分别对数据存储模块和程序存储模块中存储的密钥和加 密算法进行管理的密钥管理模块和算法管理模块,加密狗可根据通信 终端发送的指令或无线接入点发送的允许接入通知控制密钥管理模 块和算法管理模块,使加密狗与通信终端间和加密狗与无线接入点间 的通信分别使用不同的密钥和加密算法。
1权利要求
1、一种可实现无线局域网的保密通信的方法,所述的无线局域网包括有一无线接入点(AP)及通信终端,该无线接入点与外部网络连接,其特征在于所述方法包括以下步骤(1)在具有无线网卡功能的加密装置中预置唯一的标识信息,且在认证装置中存储有经认证的加密装置的标识信息,并在认证装置中建立存储有各标识信息及特征信息对应关系的信息表,使接入点与认证装置连接;(2)使具有无线网卡功能的加密装置与通信终端连接并获得供电,在通信终端上安装并运行加密装置的无线网卡专用驱动程序;(3)加密装置建立与无线接入点的无线信道,加密装置再通过无线接入点向认证装置发送包含标识信息的认证请求;(4)认证装置根据认证请求中包含的标识信息对加密装置进行认证,如果认证成功,则认证装置在信息表中调取与该标识信息相对应的特征信息,向无线接入点发送认证装置根据密钥生成算法从该特征信息生成的第一密钥,并将包含特征信息的允许接入通知经无线接入点发送至加密装置;(5)无线接入点直接从认证装置处接收第一密钥,加密装置通过无线接入点接收允许接入通知并得到特征信息,根据同一密钥生成算法从该特征信息生成第一密钥;(6)无线接入点与加密装置在无线信道中通过第一密钥对传输的数据进行加密、解密处理。
2、 根据权利要求1所述的可实现无线局域网的保密通信的方法,其特征在于在所述的认证装置和加密装置中分别存储第二密钥或密钥对;在步骤(4)中,所述的认证装置将特征信息以第二密钥或密钥 对中的公钥进行加密,使允许接入通知中包含的特征信息是已用第二 密钥或密钥对中的公钥加密后的信息;在步骤(5)中,所述的加密装置接收到允许接入通知后,将加 密的特征信息利用第二密钥或密钥对中的私钥进行解密,并根据同一 密钥生成算法从解密后得到的特征信息生成第一密钥。
3、 根据权利要求1所述的可实现无线局域网的保密通信的方法, 其特征在于所述的认证装置为设置于外部网络的认证服务器。
4、 根据权利要求1所述的可实现无线局域网的保密通信的方法, 其特征在于所述的认证装置为将外部网络与无线接入点连接起来的 无线网关。
5、 根据权利要求1所述的可实现无线局域网的保密通信的方法, 其特征在于所述的通信终端将向无线局域网发送的数据通过通信接 口模块输出至加密装置,该加密装置将该数据加密后通过无线局域网 模块向无线接入点发送;所述的加密装置通过无线局域网模块接收到 无线接入点发送的加密数据,并在对该数据解密后通过通信接口模块 输出至通信终端。
6、 根据权利要求5所述的可实现无线局域网的保密通信的方法, 其特征在于所述的通信接口模块是为USB接口模块、SATA接口模块、 ISA接口模块、PCI接口模块、或PCMCIA接口模块。
7、 根据权利要求5所述的可实现无线局域网的保密通信的方法, 其特征在于所述的加密装置通过通信接口模块中设置的电源端子与 通信终端的电源输出端子的电性连接,从而获得的供电。
8、 根据权利要求1所述的可实现无线局域网的保密通信的方法, 其特征在于所述的加密装置是为利用数据存储模块和程序存储模块 中存储的密钥和加密算法对通信终端输入的数据进行加密或解密处 理的加密狗,且利用该数据存储模块和程序存储模块中存储的密钥和 加密算法对与无线接入点间传输的数据进行加密或解密处理。
9、 根据权利要求8所述的可实现无线局域网的保密通信的方法, 其特征在于所述的加密狗中还设有分别对数据存储模块和程序存储 模块中存储的密钥和加密算法进行管理的密钥管理模块和算法管理 模块,加密狗可根据通信终端发送的指令或无线接入点发送的允许接 入通知控制密钥管理模块和算法管理模块,使加密狗与通信终端间和 加密狗与无线接入点间的通信分别使用不同的密钥和加密算法。
全文摘要
本发明关于一种可实现无线局域网的保密通信的方法,包括(1)在加密装置中预置标识信息,且在认证装置中存储有标识信息,并在认证装置中建立各标识信息及特征信息对应关系的信息表,使接入点与认证装置连接;(2)安装并运行专用驱动程序;(3)加密装置向认证装置发送认证请求;(4)认证装置根据认证请求中包含的标识信息进行认证,如果认证成功,则调取对应的特征信息,向无线接入点发送认证装置根据密钥生成算法从该特征信息生成的第一密钥,并发送至加密装置;(5)加密装置通过无线接入点得到特征信息,根据同一密钥生成算法从该特征信息生成第一密钥;(6)无线接入点与加密装置在无线信道中通过第一密钥对传输的数据加密、解密。
文档编号H04L9/32GK101431455SQ200710177099
公开日2009年5月13日 申请日期2007年11月9日 优先权日2007年11月9日
发明者镇 曹 申请人:北京华旗资讯数码科技有限公司