专利名称:一种完成无线局域网安全通信的硬件加密方法
技术领域:
本发明涉及无线局域网领域安全通信的硬件加密实现方法,尤其是指一种完成无线局域网安全通信的硬件加密方法。
技术背景在无线局域网中,通信安全是一个非常重要的问题。802. 11协议中给出的wep加密算法并没有真正的解决无线局域网的安全问题,因此出现了后续的关于安全方面的协议wapi 和802. Ili0 wapi安全协议中关于据数据加密和完整性校验的算法为wpi,802. Ili中关于数据加密和完整性校验的算法为tkip (在w印基础上的升级版本)和ccmp。
目前大部分无线局域网设备都采用了一种安全协议标准,即只支持wapi或者只支持802. lli。这种现状使得无限局域网设备的广泛应用受到了限制,即采用不同安全协议标准的无限局域网设备之间不能相互通信。因此设计一个同时支持多种安全协议标准的无限局域网设备,实现双模化,是非常必要的
发明内容
本发明提供了一种完成无线局域网安全通信的硬件加密方法,以期实现无线局域网设备的双模化,提高其通用性。
本发明的具体方案分为两个部分一个为实现多种加密算法硬件共存的整体结构,另一个为硬件实现的加密算法内部处理并行化的方法。
针对当前的多种加密算法,本发明在算法硬件内部实现时采用了相同的并行处理方法,各种加密算法硬件通过一个buffer_C0ntr0l模块实现与buffer的数据交互。其中的buffer为本地主机发送数据的缓存,以及本地无线局域网设备接收数据的缓存,在本地数据通过无线局域网设备发送出去之前,需要多种加密方式中的一种对其进行加密,回写到buffer,然后发送出去,在接收到的数据上传到本地主机之前,buffer中接收到的数据需要采用相应的加密算法对其进行解密,回写到buffer,然后上传到本地主机。当加密启动信号有效后,根据加密类型,相应的加密算法模块开始运算,根据需要,加密算法模块主动要求读取buffer中的数据进行加密,然后主动写回,其每次读写可以完成128bit数据的加密,当所有的数据加密完成后,给出加密后的MIC (Message Integrity Code)值。解密和加密相同,执行同样的操作。
为了实现快速运算,且内部结构统一,多种加密算法模块内部都采用了并行处理的计算方法,即数据的加密和MIC的计算并行进行,在数据加密盒MIC计算的同时,还对 buffer进行写数据和读数据操作,即从buffer中读些数据和加密算法运算也是并行的,当所有的数据加密完成后,数据的MIC同时输出。这样的并行处理尽可能地加快了加密的速度,使加密模块工作在较低频率下也能满足电路整体性能要求。
本发明可以使无线局域网设备在wapi和802. 111安全网络中兼容,实现很好的通用性,同时可以实现快速的加密,有利于实现高性能的无线局域网设备。
图1是四种加密算法共存的电路结构框图。
图2是加密算法内部实现数据加密和完整性校验图。
具体实施方式
以下结合附图,具体说明本发明。为了更好的说明本发明的意图,本发明的具体实施方式
以安全协议wapi和802. Ili为例。wapi安全协议中关于据数据加密和完整性校验的算法为wpi,802. 11协议中关于数据加密和完整性校验的算法为w印加密算法,802. Ili 中关于数据加密和完整性校验的算法为tkip (在w印基础上的升级版本)和ccmp。
本发明提供一种完成无线局域网安全通信的硬件加密方法,以期实现无线局域网设备的双模化,提高其通用性。本发明包括多种加密算法实现共存的结构和加密算法内部并行运算的方法。
图1为四种加密算法硬件实现共存的结构框图。其中虚线框表示缓存数据的 buffer,由于tkip是w印的升级版本,二者硬件实现的加密算法相同,因此可以复用一个模块,wpi和ccmp加密算法分别有一模块,buffer_Control模块负责加密模块与buffer之间的数据交互过程,其它3个加密模块彼此独立,完成wpi、w印、tkip和ccmp加密算法。
本地主机在发送数据时,开始向buffer写入需要发送的数据,同时启动加密,四种加密模块根据加密类型启动加密(同时只能有一种加密启动),然后相应的加密模块开始要求buffer_Control模块从buffer中读取数据data in,当相应加密模块加密完读取到的数据后要求buffer_COntrol向buffer中写回数据data_0ut,然后继续读,写,直至所有数据处理完为止,在上述过程中,加密模块所处的无线局域网设备同时已经在发送数据,即从主机向buffer写入数据,加密、发送是并行执行的。当本地无线局域网设备接收数据时,把接收到的数据存入buffer,在接收的同时启动解密,相应的解密模块开始工作,从buffer 中读取数据,解密,然后把数据回写到buffer中,当解密完成后,把buffer中的数据送给主机。
图2为加密算法内部实现数据加密和完整性校验图。该图中采用的是ccmp加密的算法,其中CBC (Cipher Block Chain)-行指的是ccmp中计算MIC的算法,CCM(Counter Mode-CBC MAC)指的是ccmp中计算密钥流的算法,这两种算法的核心加密算法都是AES (Advanced Encryption Standard), read frame 指的是 ccmp 模块发出的读数据命令,该命令为脉冲信号,write frame指的是ccmp模块发出的写数据命令,其中虚线框中的read MPDU (1)—read MPDU (η)为 ccmp 模块需要读入的 MPDU 的一个片断,write MPDU(I)... write MPDU (η)虚线框为ccmp模块加密完读入的MPDU片断后需要写回的数据,encrypted MIC为加密完成后生成的被加密后的MIC,A、B、C、D四条虚线表示每一轮计算完成的时刻。 进一步说明,该图是ccmp算法实现的示意图,当ccmp接收到加密信号后,首先启动CBC运算,其中的MAC_IV,AADl, AAD2为发送帧的帧头参数,这三个参数分别是三轮CBC运算的输入,当CBC运算输入AAD2时,开始读帧体MPDU的数据片断MPDU (1),同时启动CCM计算加密MPDU (1)所需要的密钥,到达时刻A时,密钥已经准备好,直接和取到的MPDU (1)异或即可得到密文,同时回写加密后的MPDU (1),然后继续读取下一个MPDU片断,同时以刚取回的MPDU (1)为输入,启动CBC运算,CCM也继续准备下一个加密密钥,如此循环,直至写回最后一个MPDU片断为止,最后CBC以最后取回的MPDU片断为输入计算MIC,同时CCM准备加密MIC的密钥,到时刻D,即可得到加密的MIC,此时,整帧的数据的加密已经完成。解密过程和加密相同,唯一不同的是送给CBC输入的MPDU片断必须先经过CCM生成的密钥解密。Wpi. tkip/w印硬件实现的加密方法和ccmp的相同,只是根据算法,参数不同而已。
本发明公开的无线局域网多种加密算法共存的方法可以使无线局域网设备在 wapi和802. 111安全网络中兼容,实现很好的通用性,同时可以实现快速的加密,有利于实现高性能的无线局域网设备。
以上公开的仅为本发明的几个具体实施例,但本发明的保护范围并不局限于此, 任何本领域的技术人员能思之的变化都应落在本发明的保护范围内。
权利要求
1. 一种完成无线局域网安全通信的硬件加密方法,其特征在于实现多种加密算法在硬件中共存,各个加密算法采用相同的结构,每个加密模块内部实现了数据加密和完整性校验两个步骤,且数据加密和完整性校验采用并行处理的方式,采用所述多种加密算法共存方法的无限局域网设备可以实现在不同加密模式下的切换,实现采用不同安全协议标准的无限局域网设备之间的相互通信,提高设备的通用性。
全文摘要
本发明提供一种完成无线局域网安全通信的硬件加密方法。 在无线局域网中,通信安全非常重要。 目前,实现无线局域网安全通信的加密算法有多种,如wpi(wapi协议)、tkip.ccmp(802.111协议)等。 在具体应用中,还没有同时实现多种硬件加密的无线局域网设备,这在特定的场合会限制无线局域网设备的通用性。 本发明结合多种加密算法的特点,采用相同的结构实现了多种加密算法在硬件中的共存。 每种加密算法的数据加密和完整性校验都采用了并行处理,提高了运算速度. 采用本发明的无限局域网设备可以实现在不同加密模式下的切换,提高设备的通用性。
文档编号H04W84/12GK102480723SQ20101055449
公开日2012年5月30日 申请日期2010年11月23日 优先权日2010年11月23日
发明者栾晓健 申请人:大连兆阳软件科技有限公司