专利名称:利用多算法实现无线局域网的保密通信方法
利用多算法实现无线局域网的保密通信方法
所属技术领域
本发明涉及通信终端与无线局域网内无线接入点的保密通信方 法,特别涉及一种利用加密装置在获取通信密钥过程中和在无线局域 网内安全通信中采用不同加密算法的保密通信方法。
背景技术:
目前,WLAN ( Wireless Local Area Network,无线局域网)的无线 接入系统通常是由无线网卡、无线接入点(AP, Access Point )、无线 接入网关(AG, Access Server )和无线接入服务器(AS, Access Server) 等各个部分组成。较为常见的组网方式是通过无线网卡与计算机、
PDA等终端设备相连,取代以上设备中原有的有线网卡,从而实现终 端设备间、终端设备与无线接入点间的无线连接,完成对无线信道的 检测、选择、控制和管理,并能实现无线接收的增益控制、发射端的 功率控制等功能。
与有线传输相比,无线传输的保密性较差,因此需要一些额外的 安全措施来保证无线接入点和各通信终端之间的通信安全,比如用户 认证、信息加密等。现有的加密方式已经有很多种,总起来包括软件 加密和硬件加密。软件加密是在通信系统的应用层中加入一个专门负 责加密、解密的软件模块。由于这种加密方式的加密、解密密钥以及加密、解密过程中出现的数据都要在本机的内存中出现,因而容易被 石皮译。另外,由于加密算法的运算量非常大,所以加、解密过程对系 统资源的大量占有也是无法容忍的。
无线局域网标准IEEE802.11采用有线对等加密(Wired Equivalent Privacy, WEP)技术对信息进行加密。WEP是一种对称加密技术,即 加密通信双方使用相同的密钥进行加解密。在实际应用中,出于安全 性的考虑,不同用户应该使用不同的密钥。通常密钥由网络管理者分 配,并存储在通信双方,即通信终端和无线接入点(AP)上。这种 密钥管理方法存在很多弊端。首先,在这种密钥管理方式下,为了支 持用户的漫游,每个无线接入点(AP)都应该存储所有用户的密钥, 而每次增加或修改用户的密钥,网络管理者就要在所有的无线接入点 (AP)上增加或修改该用户的密钥,使密钥管理任务相当繁重,而 且无线接入点(AP)的存储能力也可能达不到要求。另外,由于密 钥分别存储在用户的通信终端和无线接入点中,而存储在通信终端的 密钥显然是不安全的,这为他人窃取密钥提供了可乘之机。为此,人 们期望能有 一种不在通信终端中存储通信密钥而实现的保密通信方 式。
发明内容
本发明提供一种利用多算法实现无线局域网的保密通信方法,所 要解决的技术问题在于使通信终端不参与通信安全处理,而借助外置 的加密装置实现获取通信密钥及与无线局域网数据传输,并使加密装置使用不同的加密算法完成获取通信密钥和与无线接入点间的保密 通信。
本发明关于一种利用多算法实现无线局域网的保密通信方法,所
述的无线局域网包括有一无线接入点UP)及通信终端,该无线接入 点与外部网络连接,所述方法包括以下步骤(l)在具有无线网卡功 能的加密装置中预置唯一的标识信息,在加密装置中存储用于对传输 数据进行加密、解密处理的第 一加密算法和作为第 一加密算法密钥的 特征信息,还存储有专用于与无线接入点间保密通信的第二加密算 法;(2)在认证装置中存储所有经认证的加密装置的标识信息和可分 配的多个通信密钥,并在认证装置中存储用于对通信密钥加密的第一 加密算法和作为加密密钥的特征信息;(3)在无线接入点中存储用于 与通信终端保密通信的第二加密算法,并使无线接入点与认证装置连 接;(4)使具有无线网卡功能的加密装置与通信终端连接并获得供电, 在通信终端上安装并运行加密装置的无线网卡专用驱动程序;(5)加 密装置的无线网卡功能建立与无线接入点的无线信道,加密装置再通 过无线接入点向认证装置发送包含标识信息的认证请求;(6)认证装 置根据认证请求中包含的标识信息对加密装置进行认证,如果认证成 功,则认证装置分配该无线接入点与通信终端间的通信密钥,并将通 信密钥采用第一加密算法以特征信息进行加密,将未加密的通信密钥 发送至无线接入点,将加密后的通信密钥经无线接入点发送至加密装 置;(7)加密装置利用所存储的第 一加密算法和特征信息对加密数据 进行解密,从而获得通信密钥,并使加密装置的加密算法由第一加密算法切换为第二加密算法,使用通信密钥作为加密密钥替换特征信
息;(8)无线接入点与加密装置在无线信道中以所获取的通信密钥采 用第二加密算法对传输的凝:据进行加密、解密处理。
前述的利用多算法实现无线局域网的保密通信方法,所述的加密
装置的算法管理模块和密钥管理模块分别控制加密装置所使用的加
密算法和密钥的调用和管理,使加密装置在获得供电后调取第一加密
算法和作为第 一加密算法密钥的特征信息对数据进行加密、解密处
理,在获得允许与无线接入点间进行保密通信的信息后,将所使用加
密算法和密钥切换为第二加密算法和作为第二加密算法密钥的通信
密钥,在与建立保密通信的无线接入点断开连接后,将所使用的加密
算法和密钥切换为第一加密算法和作为第一加密算法密钥的特征信 台
前述的利用多算法实现无线局域网的保密通信方法,所述的认证 装置对加密装置认证成功后,通过无线接入点向加密装置发送允许接 入通知,加密装置接收到该允许接入通知后通知通信终端,如通信终 端反馈允许与无线接入点间进行保密通信的信息,则加密装置控制算 法管理模块和密钥管理模块将所使用的第 一加密算法和作为第 一加 密算法密钥的特征信息切换为第二加密算法和作为第二加密算法密 钥的通信密钥。
前述的利用多算法实现无线局域网的保密通信方法,所述的认证 装置对加密装置认证成功后,生成允许接入通知,并将该允许接入通 知和通信密钥一同加密,加密后的接入通知和通信密钥一同通过无线接入点向加密装置发送,加密装置采用第 一加密算法以特征信息为密 钥对其进行解密,在解密得到通信密钥和允许接入通知后,加密装置 以该允许接入通知作为允许与无线接入点间进行保密通信的信息,控 制算法管理模块和密钥管理模块将所使用的第 一加密算法和作为第 一加密算法密钥的特征信息切换为第二加密算法和作为第二加密算 法密钥的通信密钥。
前述的利用多算法实现无线局域网的保密通信方法,所述的认证 装置为设置于外部网络的认证服务器。
前述的利用多算法实现无线局域网的保密通信方法,所述的认证 装置为将外部网络与无线接入点连接起来的无线网关。
前述的利用多算法实现无线局域网的保密通信方法,所述的通信 终端将向无线局域网发送的数据通过通信接口模块输出至加密装置,
该加密装置将该数据加密后通过无线局域网模块向无线接入点发送; 所述的加密装置通过无线局域网模块接收到无线接入点发送的加密 数据,并在对该数据解密后通过通信接口模块输出至通信终端。
前述的利用多算法实现无线局域网的保密通信方法,所述的通信 接口模块是为USB接口模块、SATA接口模块、ISA接口模块、PCI接 口模块、或PCMCIA接口模块。
前述的利用多算法实现无线局域网的保密通信方法,所述的加密 装置通过通信接口模块中设置的电源端子与通信终端的电源输出端 子的电性连接,从而获得的供电。
如上所述,本发明利用多算法实现无线局域网的保密通信方法具有如下有益效果
本发明利用多算法实现无线局域网的保密通信方法是通过外置 的加密装置与通信终端的连接实现通信终端与无线接入点间的无线 连接,通信终端与无线局域网间传输的数据均通过加密装置接收和发 送,而避免了使加密、解密工作在通信终端完成,由此,既可保障在 无线通信的安全,在数据安全性上也有了显著的提高,而且借由加密 装置完成无线通信的加密和解密工作,大大节省了系统资源。更为重 要的是,通过连接加密装置和安装驱动程序,使更多的通信终端可以 更为便捷地接入无线局域网中。
本发明的密钥分发是通过认证装置进行管理的,认证装置分配密 钥,再将加密后的通信密钥传输给加密装置,加密装置利用内置的第 一加密算法和特征信息对通信密钥解密,从而可实现密钥在分发过程 中的保密,而且使加密装置不需要存储任何密钥即可与无线接入点进 行保密通信,因此,实现了加密装置与任何连接有认证装置的无线接 入点间的保密通信,通信终端用户可以在大于密钥管理服务器覆盖范 围内跨区漫游。
图l是本发明的加密装置的结构框图。
图2是本发明利用多算法实现无线局域网的保密通信方法的示 意图。
具体实施方式
为进一步阐述本发明达成预定目的所采取的技术手段及功效,以 下结合附图及实施例,详细说明如下。
请参阅图l所示,是本发明的加密装置的结构框图,该加密装置
包括
微处理器才莫块负责数据运算,通过调用数据存储模块与程序存 储模块中的数据和程序,进行加密、解密运算,完成对通信中传递信 息数据的加密、解密工作,即将准备通过无线局域网模块发送的数据 进行加密,将通过无线局域网模块获取的数据进行解密。
程序存储模块与微处理器模块连接,主要存储有两种以上的加 密算法、完整性保护算法,可以以密文的形式存放,在加电后,加载 进密码运算器中,解密恢复出密文再运行。
数据存储i^莫块用来安全保存主密钥、非对称加密算法密钥对, 加电后,主密钥、密钥对由数据存储模块调入微处理器模块中参与运 算。
通信接口模块通过数据线与微处理器模块连接,用来与需加密 终端(即通信终端)相连接。
无线局域网模块与微处理器模块连接,用于建立无线局域网与 微处理器的连接,所述的微处理器模块将加密处理后的数据通过无线 局域网模块向外发送,并将从无线局域网接收的数据解密后通过通信 接口模块向需通信终端传送。
出于安全的需要,要经常对通信密钥进行更新和管理,并且有必要对加密算法进行管理,因此,在微处理器模块中还包括负责密钥的 更新和管理的密钥管理模块和负责加密算法的更新和管理的算法管
理模块。密钥管理^jt块在微处理器模块的控制下调用不同的加密算法
并切换所使用的加密算法;密钥管理模块在微处理器模块的控制加密 装置所使用的加密密钥。
上述通信接口模块以USB接口模块为宜,由于USB接口即插即用, 且支持非常高的数据传输速率,因此不仅方便使未配备无线网卡的通 信终端可以与无线局域网连接,而且兼具传输速度高和通信安全的优 点。
具体而言,上述的无线局域网模块包括基带单元和RF单元,所 述的基带单元对微处理器模块的数据进行调制/解调;所述的RF单元 将基带单元的数据处理为高频信号进行传送,还接收和处理高频信 号。上述的微处理器模块还具有用于存取输入输出的数据、及中间计 算结果、与外部存储器交换的数据和暂存数据的RAM模块。
请参阅附图2所示,是本发明的利用多算法实现无线局域网的保 密通信方法的流程图。该无线局域网主要包括有一无线接入点(AP)、 通信终端、网关等,该无线接入点(AP)与外部网络连接,上述利用 多算法实现无线局域网的保密通信方法包括以下步骤
(l)在具有无线网卡功能的加密装置中预置唯一的标识信息,在
加密装置中存储用于对传输数据进行加密、解密处理的第 一加密算法 和作为第一加密算法密钥的特征信息,还存储有专用于与无线接入点间保密通信的第二加密算法;
(2) 在认证装置中存储所有经认证的加密装置的标识信息和可分 配的多个通信密钥,并在认证装置中存储用于对通信密钥加密的第一 加密算法和作为加密密钥的特征信息;
(3) 在无线接入点中存储用于与通信终端保密通信的第二加密算 法,并使无线接入点与认证装置连接;
(4) 使具有无线网卡功能的加密装置与通信终端连接并获得供 电,在通信终端上安装并运行加密装置的无线网卡专用驱动程序;
(5) 加密装置的无线网卡功能建立与无线接入点的无线信道,加 密装置再通过无线接入点向认证装置发送包含标识信息的认证请求;
(6) 认证装置根据认证请求中包含的标识信息对加密装置进行认 证,如果认证成功,则认证装置分配该无线接入点与通信终端间的通 信密钥,并将通信密钥采用第一加密算法以特征信息进行加密,将未 加密的通信密钥发送至无线接入点,将加密后的通信密钥经无线接入 点发送至加密装置;
(7) 加密装置利用所存储的第一加密算法和特征信息对加密数据
进行解密,从而获得通信密钥,并使加密装置的加密算法由第一加密
算法切换为第二加密算法,使用通信密钥作为加密密钥替换特征信 自
(8) 无线接入点与加密装置在无线信道中以所获取的通信密钥采 用第二加密算法对传输的数据进行加密、解密处理。
上述的加密装置的算法管理模块和密钥管理模块分别控制加密装置所使用的加密算法和密钥的调用和管理,使加密装置在获得供电 后调取第 一加密算法和作为第 一加密算法密钥的特征信息对数据进
行加密、解密处理,在获得允许与无线接入点间进行保密通信的信息 后,将所使用加密算法和密钥切换为第二加密算法和作为第二加密算 法密钥的通信密钥,在与建立保密通信的无线接入点断开连接后,将 所使用的加密算法和密钥切换为第一加密算法和作为第一加密算法 密钥的特征信息。
具体而言,上述允许与无线接入点间进行保密通信的信息可以加 密装置获得通信密钥后由通信终端处反馈得到的信息。上述的认证装 置对加密装置认证成功后,通过无线接入点向加密装置发送允许接入 通知,加密装置接收到该允许接入通知后通知通信终端,如通信终端 反馈允许与无线接入点间进行保密通信的信息,则加密装置控制算法 管理模块和密钥管理模块将所使用的第 一加密算法和作为第 一加密 算法密钥的特征信息切换为第二加密算法和作为第二加密算法密钥 的通信密钥。
上述允许与无线接入点间进行保密通信的信息也可以是无线接 入点向加密装置发送的允许接入通知。上述的认证装置对加密装置认 证成功后,生成允许接入通知,并将该允许接入通知和通信密钥一同 加密,加密后的接入通知和通信密钥一同通过无线接入点向加密装置 发送,加密装置采用第一加密算法以特征信息为密钥对其进行解密, 在解密得到通信密钥和允许接入通知后,加密装置以该允许接入通知 作为允许与无线接入点间进行保密通信的信息,控制算法管理模块和密钥管理模块将所使用的第 一加密算法和作为第 一加密算法密钥的 特征信息切换为第二加密算法和作为第二加密算法密钥的通信密钥。 上述认证装置是为设置于外部网络的认证服务器或者是为将外 部网络与无线接入点连接起来的无线网关,也可以是实现通信终端的
网间漫游管理的无线接入服务器(AS, Access Server )。
在上述步骤(6)中,通信终端将向无线局域网发送的数据通过 通信接口模块输出至加密装置,该加密装置将该数据加密后通过无线 局域网模块向无线接入点发送;所述的加密装置通过无线局域网模块 接收到无线接入点发送的加密数据,并在对该数据解密后通过通信接 口模块输出至通信终端。
上述的通信接口模块是为USB接口模块、SATA接口模块、ISA接 口模块、PCI接口模块、或PCMCIA接口模块。加密装置通过通信接 口模块中设置的电源端子与通信终端的电源输出端子的电性连接,从 而获得的供电。
权利要求
1、一种利用多算法实现无线局域网的保密通信方法,所述的无线局域网包括有一无线接入点(AP)及通信终端,该无线接入点与外部网络连接,其特征在于所述方法包括以下步骤(1)在具有无线网卡功能的加密装置中预置唯一的标识信息,在加密装置中存储用于对传输数据进行加密、解密处理的第一加密算法和作为第一加密算法密钥的特征信息,还存储有专用于与无线接入点间保密通信的第二加密算法;(2)在认证装置中存储所有经认证的加密装置的标识信息和可分配的多个通信密钥,并在认证装置中存储用于对通信密钥加密的第一加密算法和作为加密密钥的特征信息;(3)在无线接入点中存储用于与通信终端保密通信的第二加密算法,并使无线接入点与认证装置连接;(4)使具有无线网卡功能的加密装置与通信终端连接并获得供电,在通信终端上安装并运行加密装置的无线网卡专用驱动程序;(5)加密装置的无线网卡功能建立与无线接入点的无线信道,加密装置再通过无线接入点向认证装置发送包含标识信息的认证请求;(6)认证装置根据认证请求中包含的标识信息对加密装置进行认证,如果认证成功,则认证装置分配该无线接入点与通信终端间的通信密钥,并将通信密钥采用第一加密算法以特征信息进行加密,将未加密的通信密钥发送至无线接入点,将加密后的通信密钥经无线接入点发送至加密装置;(7)加密装置利用所存储的第一加密算法和特征信息对加密数据进行解密,从而获得通信密钥,并使加密装置的加密算法由第一加密算法切换为第二加密算法,使用通信密钥作为加密密钥替换特征信息;(8)无线接入点与加密装置在无线信道中以所获取的通信密钥采用第二加密算法对传输的数据进行加密、解密处理。
2、 根据权利要求1所述的利用多算法实现无线局域网的保密通 信方法,其特征在于所述的加密装置的算法管理模块和密钥管理模块 分别控制加密装置所使用的加密算法和密钥的调用和管理,使加密装 置在获得供电后调取第一加密算法和作为第一加密算法密钥的特征 信息对数据进行加密、解密处理,在获得允许与无线接入点间进行保 密通信的信息后,将所使用加密算法和密钥切换为第二加密算法和作 为第二加密算法密钥的通信密钥,在与建立保密通信的无线接入点断开连接后,将所使用的加密算法和密钥切换为第一加密算法和作为第 一加密算法密钥的特征信息。
3、 根据权利要求2所述的利用多算法实现无线局域网的保密通 信方法,其特征在于所述的认证装置对加密装置认证成功后,通过无 线接入点向加密装置发送允许接入通知,加密装置"l妄收到该允许接入 通知后通知通信终端,如通信终端反馈允许与无线接入点间进行保密 通信的信息,则加密装置控制算法管理模块和密钥管理模块将所使用 的第 一加密算法和作为第 一加密算法密钥的特征信息切换为第二加 密算法和作为第二加密算法密钥的通信密钥。
4、 根据权利要求2所述的利用多算法实现无线局域网的保密通信方法,其特征在于所述的认证装置对加密装置认证成功后,生成允 许接入通知,并将该允许接入通知和通信密钥一同加密,加密后的接 入通知和通信密钥一同通过无线接入点向加密装置发送,加密装置采 用第一加密算法以特征信息为密钥对其进行解密,在解密得到通信密 钥和允许接入通知后,加密装置以该允许接入通知作为允许与无线接 入点间进行保密通信的信息,控制算法管理模块和密钥管理模块将所 使用的第 一加密算法和作为第 一加密算法密钥的特征信息切换为第 二加密算法和作为第二加密算法密钥的通信密钥。
5、 根据权利要求1所述的利用多算法实现无线局域网的保密通 信方法,其特征在于所述的认证装置为设置于外部网络的认证服务 器。
6、 根据权利要求1所述的利用多算法实现无线局域网的保密通 信方法,其特征在于所述的认证装置为将外部网络与无线接入点连接 起来的无线网关。
7、 根据权利要求1所述的利用多算法实现无线局域网的保密通 信方法,其特征在于所述的通信终端将向无线局域网发送的数据通过 通信接口模块输出至加密装置,该加密装置将该数据加密后通过无线 局域网模块向无线接入点发送;所述的加密装置通过无线局域网模块 接收到无线接入点发送的加密数据,并在对该数据解密后通过通信接 口模块输出至通信终端。
8、 根据权利要求7所述的利用多算法实现无线局域网的保密通 信方法,其特征在于所述的通信接口模块是为USB接口模块、SATA接口模块、ISA接口模块、PCI接口模块、或PCMCIA接口模块。
9、根据权利要求7所述的利用多算法实现无线局域网的保密通 信方法,其特征在于所述的加密装置通过通信接口模块中设置的电源 端子与通信终端的电源输出端子的电性连接,从而获得的供电。
全文摘要
一种利用多算法实现无线局域网的保密通信方法,包括(1)在加密装置中预置标识信息,存储第一加密算法和特征信息及专用于保密通信的第二加密算法;(2)在认证装置中存储所有标识信息和多个通信密钥;(3)在无线接入点中存储第二加密算法;(4)安装并运行专用驱动程序;(5)加密装置向认证装置发送认证请求;(6)认证装置根据认证请求中包含的标识信息认证,认证成功则分配通信密钥,并将其采用第一加密算法以特征信息加密,未加密的通信密钥发送至无线接入点,加密后的通信密钥发送至加密装置;(7)加密装置对加密数据进行解密,使用其作为加密密钥;(8)无线接入点与加密装置以所通信密钥采用第二加密算法进行加密、解密处理。
文档编号H04L9/08GK101431752SQ20071017710
公开日2009年5月13日 申请日期2007年11月9日 优先权日2007年11月9日
发明者镇 曹 申请人:北京华旗资讯数码科技有限公司