专利名称:一种无线局域网中的安全通信方法及设备的制作方法
技术领域:
本发明涉及ー种无线局域网中的安全通信方法及设备。
背景技术:
目前各种无线射频(Radio Frequency, RF)通信应用十分广泛,尤其是2. 4GHz作为全球通用的ISM(Industrial Scientific Medical,エ业科学医学)频段,在无线局域网(WLAN),蓝牙,ZigBee等无线通信方面有着广泛的应用。2. 4G Hz的频段特性具有传输速率高和传输距离较远的优势,但也正因为其通信数据传输距离较远,因此通过2. 4GHz频段传输的数据,很容易在空中被非法截获和利用,从而给通信带来很大的安全隐患。在WLAN中,为了安全一般采用网络密钥控制对WLAN的访问,采用加密技术对通信数据进行保护。比如,在ー个WLAN环境中,采用了加密机制对WLAN通信数据进行了加密处 理,使无线通信达到ー种类似“有线”通信的效果。通常的做法是由网络管理人员生成并为WLAN设置网络密钥,再由网络管理人员帮助用户设置网络密钥或者将网络密钥告知用户后由用户自行设置网络密钥。WLAN目前这种手工设置网络密钥的方式存在以下缺点ー是密钥强度可能不够手工设置的密钥信息往往为了便于记忆而会选择简单有意义的单词或数字,密钥长度往往也不够,使得网络密钥达不到足够的安全強度;ニ是手工设置的网络密钥很容易泄密因为所有用户都知道网络密钥,这样用户可以将网络密钥告诉外部人员,使得外部人员轻而易举地就可以访问内部网络,轻则“蹭网”,重则威胁到内部网络上的信息安全。
发明内容
本发明要解决的主要技术问题是,提供一种无线局域网中的安全通信方法及设备,可以使网络访问接入点设备与客户端设备进行安全通信。为解决上述技术问题,本发明提供一种无线局域网系统的安全通信方法,包括网络访问接入点设备随机生成网络密钥;经第一信道将所述网络密钥发送至移动终端设备中;所述移动终端设备通过第二信道将网络密钥传送到客户端设备中;所述网络访问接入点设备与客户端设备通过使用包括所述网络密钥的会话密钥进行通信。本发明还提出了一种无线局域网系统的安全通信方法,包括移动终端设备随机生成网络密钥;经第一信道将所述网络密钥发送至网络访问接入点设备中;所述移动终端设备通过第二信道将网络密钥传送到客户端设备中;所述网络访问接入点设备与客户端设备通过使用包括所述网络密钥的会话密钥进行通信。
一种无线局域网系统的网络访问接入点设备的安全通信方法,包括与移动终端设备通信,将网络访问接入点设备生成的网络密钥通过第一信道传送给所述移动终端设备或者通过第一信道从所述移动终端设备接收网络密钥;当所述移动终端设备通过第二信道将网络密钥传送给客户端设备之后,通过使用包括所述网络密钥的会话密钥与客户端设备进行通信。一种无线局域网系统的移动终端设备的安全通信方法,包括与网络访问接入点设备通信,将移动終端设备生成的网络密钥通过第一信道传送给所述网络访问接入点设备或者通过第一信道从所述网络访问接入点设备接收网络密钥;与客户端设备通信,通过第二信道将所述网络密钥传送给客户端设备。 一种无线局域网系统的客户端设备的安全通信方法,包括与移动终端设备通信,通过第二信道从所述移动终端设备接收网络密钥;通过使用包括所述网络密钥的会话密钥与网络访问接入点设备进行通信。ー种移动终端设备,包括第一网络密钥传送単元,用于通过第一信道从网络访问接入点设备接收网络密钥;第二网络密钥传送単元,用于通过第二信道向客户端设备发送所述网络密钥。一种移动终端设备,包括网络密钥生成単元,用于生成网络密钥;第一网络密钥传送単元,用于通过第一信道向网络访问接入点设备发送所述网络密钥;第二网络密钥传送単元,用于通过第二信道向客户端设备发送所述网络密钥。ー种网络访问接入点设备,包括网络密钥传送単元,用于通过第一信道从移动終端设备接收网络密钥;通信単元,用于通过使用包括所述网络密钥的会话密钥与客户端设备进行通信。ー种网络访问接入点设备,包括网络密钥生成単元,用于生成网络密钥;网络密钥传送単元,用于通过第一信道向移动终端设备发送所述网络密钥;通信単元,用于通过使用包括所述网络密钥的会话密钥与客户端设备进行通信。一种客户端设备,包括网络密钥传送単元,用于通过第二信道从移动終端设备接收网络密钥;通信単元,用于通过使用包括所述网络密钥的会话密钥与网络访问接入点设备进行通信。本发明的有益效果是通过本发明实施例提出的通信方法和设备,可以从高安全的带外通道发送密钥信息,进而提高通信传输的安全性。
图I为本发明无线局域网通信系统的ー实施例的系统结构框图;图2为本发明无线局域网通信系统的ー实施例中的网络访问接入点设备(AP)的结构框图;图3为本发明无线局域网通信系统的ー实施例中的客户端设备(CP)的结构框图;图4为本发明无线局域网通信系统的ー实施例中的2. 4GHz RFID-SM/SD移动终端(ME)的结构框图;图5为本发明一种无线局域网中的安全通信方法的密钥设置方法的一实施例的流程图;图6为本发明一种无线局域网中的安全通信方法的密钥设置方法的另ー实施例的流程图;图7为本发明一种无线局域网中的安全通信方法的一实施例的流程图。
具体实施例方式下面通过具体实施方式
结合附图对本发明作进ー步详细说明。本发明实施例所述安全的无线局域网(WLAN)通信系统设备和方法,通过在现有WLAN通信设备中增加额外的通信模块,之后使用该通信模块通过安全的带外传输通道传送WLAN关键信息,进而提高通信传输的安全性。所述WLAN关键信息是指对WLAN的访问控制和信息安全来说十分重要的信息,包括帮助阻止未知网络连接的网络密钥(也称WEP密钥或者WPA密钥),进ー步地,还可以包括网络加密的会话初始向量(IV)等重要信息;所述安全的带外传输通道是指WLAN正常数据通信通道之外的传输通道,包括近距离RFID-S頂/SD射频传输通道和/或远程GPRS数据短信传输通道。本发明实施例所述安全的无线局域网通信系统包括网络访问接入点设备(AP)、客户端设备(CP)、以及2. 4GHz RFID-SIM/SD移动终端设备(ME)。所述网络访问接入点设备(AP)至少包括一 AP控制模块,用于管理WLAN通信过程;一 WLAN通信模块,用于传输WLAN数据;一 GPRS通信模块,用于传输IV等数据;一 2. 4GHz RFID-SIM/SD读卡器模块,用于传输密钥等数据。所述客户端设备(CP)至少包括一 WLAN驱动控制模块,用于管理WLAN通信过程;一 WLAN通信模块,用于传输WLAN数据;一 2. 4GHz RFID-SIM/SD读卡器模块,用于传输密钥以及IV等数据。所述2. 4GHz RFID-SM/SD移动终端(ME)至少包括一主控制模块,用于管理ME通信过程;一 GPRS通信模块,用于传输IV等数据;一 2. 4GHz RFID-SIM/SD智能卡,用于传输密钥以及IV等数据。在一次WLAN通信会话中,当CP发起连接请求吋,由网络访问接入点设备AP为本次会话临时生成一随机数并通过所述带外通道传递给WLAN客户端设备CP,即通过AP的GPRS通道将随机数传递到与CP绑定的移动终端ME上,然后通过该ME的RFID-SM/SD通道将随机数传输到CP中。AP与CP之间按照预设的方法使用该随机数,或者直接使用该随机数作为会话密钥,或者以该随机数作为会话加密的初始向量与预先设置的网络密钥一起来生成本次网络连过程的会话密钥,从而在CP和AP之间建立安全的WLAN通信连接。由于所述随机数不在WLAN通信信道上传输,网络密钥也未通过WLAN通信信道传输,从而生成的本次会话密钥是非常安全的,可以利用它来保护WLAN通信传输的安全性。本发明实施例所述RFID-SM/SD移动终端ME可同时作为密钥装置来使用,通过RFID-SM/SD通信通道(近距离刷卡方式)或GPRS通道将网络密钥注入到网络访问接入点设备AP和客户端设备CP (如笔记本电脑、PC等)中,取代目前WLAN中由用户手工输入密钥的方式。所述网络密钥可以由AP生成,也可以由ME生成,不管哪种方式,WLAN上任何用户都无需知道密钥,且密钥的传输通过近距离的RFID-SM/SD通道或GPRS通道进行,从而保证了网络密钥的安全性。本发明实施例所述安全的无线局域网(WLAN)通信系统设备和方法,在常规WLAN通信过程基础上,对网络密钥设置的方式和网络通信建立的过程做了改进。密钥设置过程首先需要将网络访问接入点设备AP、RFID-SIM/SD移动终端ME、以及客户端设备CP(如笔记本电脑、PC等)均设置成密钥设置模式。如果所述网络密钥由网络访问接入点设备AP产生,则在AP产生网络密钥K后,通过R FID-SM/SD移动终端ME先后在AP和CP上近距离刷卡的方式,经M E将密钥K从AP传递到CP中;或者由AP通过GPRS通道将网络密钥K发送到移动终端ME,经ME在CP上通过RFID-SM/SD通道近距离刷卡的方式将密钥K传递到CP中。如果所述网络密钥由RFID-S頂/SD移动终端ME产生,则在ME产生网络密钥K后,通过RFID-S頂/SD移动终端ME分别在AP和CP上近距离刷卡,将密钥K分别从ME置入到AP和CP中。在完成密钥设置后,AP和CP就可建立安全连接和进行正常的安全通信了。用户只要将ME放在CP可刷卡范围之内,即可建立安全的通信连接。具体方法如下会话开始,AP通过GPRS通信模块向与CP绑定的ME发送会话初始向量IV等信息,CP通过近距离的RFID-SIM/SD通道自动读入位于CP近距离位置的ME所接收到的IV等信息。AP和CP分别采用所述IV等信息以及通过前述密钥设置方法预先设置好的网络密钥K等信息生成本次通信的会话密钥;双方采用该会话密钥加密被传输的数据,然后通过WLAN通信通道进行通信直到会话结束。首先对本发明实施例提供的安全的无线局域网通信系统涉及的设备作一介绍。图I为系统结构框图,如图I所示,本发明所述安全的无线局域网通信系统由网络访问接入点设备(AP) 100、客户端设备(CP)(如笔记本电脑、PC等)200、以及2. 4GHz RFID-SIM/SD移动终端设备(ME)300组成。图2为AP的结构框图,如图2所示,所述网络访问接入点设备(AP) 100至少包括一 AP控制模块101,用于管理WLAN通信过程;一 WLAN通信模块102,用于传输WLAN数据;一 2. 4GHz RFID-SIM/SD读卡器模块103,用于传输密钥等数据;一 GPRS通信模块104,用于传输IV等数据。图3为CP的结构框图,如图3所示,所述客户端设备(CP) 200至少包括一 WLAN驱动控制模块201,用于管理WLAN通信过程;一 WLAN通信模块202,用于传输WLAN数据;一 2. 4GHz RFID-SM/SD读卡器模块203,用于传输密钥以及IV等数据。图4为ME的结构框图,如图4所示,所述2. 4GHz RFID-SIM/SD移动终端(ME) 300至少包括ー主控制模块301,用于管理ME通信过程;一 GPRS通信模块302,用于传输IV等数据;一 2. 4GHz RFID-SIM/SD智能卡303,用于传输密钥以及IV等数据。本发明实施例所述安全的无线局域网(WLAN)通信系统设备和方法,在常规WLAN通信过程基础上,对网络密钥设置的方式和网络通信建立的过程做了改进。所述网络密钥设置方法根据密钥产生方法的不同可以分为两种实现方式,分别说明如下图5为本发明一种无线局域网中的安全通信方法的密钥设置方法一实施例的流程图,其中所述网络密钥由网络访问接入点设备AP产生,包括401、网络访问接入点设备AP和密钥装置ME分别切换成密钥设置模式;402、AP随机产生网络密钥K ;根据网络密钥的不同传递方式分别进入方式A (步骤403A和404A),或者进入方式B (步骤 403B 和 404B)。方式A 403A、RFID-SIM/SD移动终端ME在AP上近距离刷卡;
404A、AP通过RFID-SM/SD通道将密钥置入密钥装置ME ;方式B 403B、AP通过GPRS通道向指定ME发送网络密钥K404B、ME通过GPRS通道接收网络密钥K405、使要设置密钥的CP进入密钥设置模式;406、RFID_SM/SD移动终端ME在客户端设备CP (如笔记本电脑、PC等)上近距离刷卡;407、将密钥K读入到CP中;408、完成密钥设置后,AP和CP就可建立安全连接和进行正常的安全通信了。图6为本发明一种无线局域网中的安全通信方法的密钥设置方法的另ー实施例的流程图,其中所述网络密钥由RFID-SM/SD移动终端ME产生,包括501、网络访问接入点设备AP和密钥装置ME分别切换成密钥设置模式;502、ME随机产生网络密钥K ;503、RFID-SIM/SD移动终端ME在AP上近距离刷卡;504、将密钥K读入到AP中;505、客户端设备CP (如笔记本电脑、PC等)进入密钥设置模式;506、RFID-SIM/SD移动终端ME在CP上近距离刷卡;507、将密钥K读入到CP中;508、在完成密钥设置后,AP和CP就可建立安全连接和进行正常的安全通信了。如图7所示本发明ー种无线局域网中的安全通信方法的一实施例的流程示意图,包括601、会话开始,AP收到来自CP的连接请求;602、AP与CP进行正常的通信接入和认证,在通信连接阶段或者建立连接之后双方开始向对方传输数据之前,AP产生会话初始向量IV等信息;603、AP通过其GPRS通信模块向与CP绑定的ME发送会话初始向量IV等信息,所述IV信息中至少应包含AP生成的一随机数;所述会话初始向量IV可在同一通信会话过程中保持不变,但在不同会话过程中互不相同;604、ME通过GPRS通道接收到IV等信息;605、用户刷卡(将ME靠近CP读卡器位置);606、CP通过RFID-S頂/SD通道读取IV等信息;607、AP和CP分别采用所述IV以及通过前述密钥设置方法预先设置好的网络密钥等信息生成本次通信的会话密钥,建立安全的会话连接;
608、采用该会话密钥加密被传输的数据,通过WLAN通信通道进行安全通信;609、通信结束,断开安全连接。特别地,作为本安全通信方法的一种简化实施例,AP和CP可以不通过所述GPRS通道和RFID-S頂/SD通道来传输所述会话初始向量IV,而是直接通过WLAN传输通道传输所述会话初始向量IV,但会话密钥的生成方式不变。此时,在AP中无需配置GPRS通信模块,建立WLAN网络连接时也无需将ME靠近CP刷卡。由于网络密钥是単独通过带外通道传输的,因此,由网络密钥和会话初始向量IV共同生成的会话密钥也是安全的。作为简化的好处,ー是可以降低AP成本、ニ是用户访问网络的方式与传统WLAN完全相同;相应的代价是,攻击者可以获得IV,虽然由于网络密钥是安全的因而由网络密钥和会话初始向量生成的会话密钥也是安全的,但是如果在网络密钥长期不更新的情况下,公开的IV对于会话密钥的安全可能构成一定的潜在安全威胁,采取定期更换网络密钥措施可以在一定程度上弥补此不足。所述简化实施例可以作为从传统WLAN向所述安全WLAN平滑过渡的优选解决方案。 以上以包括了会话初始向量IV和网络密钥的会话密钥进行了说明,实际上,也可以只使用网络密钥作为会话密钥,网络密钥的传输方式可以是本发明实施例提出的带外通道传输的方式,这样就提高了安全性。由上可见,本发明提出了ー种安全的无线局域网通信系统,在通信双方集成了传统WLAN和带外两个传输通道,结合了两个通道各自的优势,即通过从高安全的带外通道发送密钥信息,进而提高通信传输安全性。以上内容是结合具体的实施方式对本发明所作的进ー步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
权利要求
1.一种无线局域网系统的安全通信方法,其特征在于,包括 网络访问接入点设备随机生成网络密钥; 经第一信道将所述网络密钥发送至移动终端设备中; 所述移动终端设备通过第二信道将网络密钥传送到客户端设备中; 所述网络访问接入点设备与客户端设备通过使用包括所述网络密钥的会话密钥进行通信。
2.一种无线局域网系统的安全通信方法,其特征在于,包括 移动终端设备随机生成网络密钥; 经第一信道将所述网络密钥发送至网络访问接入点设备中; 所述移动终端设备通过第二信道将网络密钥传送到客户端设备中; 所述网络访问接入点设备与客户端设备通过使用包括所述网络密钥的会话密钥进行通信。
3.一种无线局域网系统的网络访问接入点设备的安全通信方法,其特征在于,包括 与移动终端设备通信,将网络访问接入点设备生成的网络密钥通过第一信道传 送给所述移动终端设备或者通过第一信道从所述移动终端设备接收网络密钥; 当所述移动终端设备通过第二信道将网络密钥传送给客户端设备之后,通过使用包括所述网络密钥的会话密钥与客户端设备进行通信。
4.一种无线局域网系统的移动终端设备的安全通信方法,其特征在于,包括与网络访问接入点设备通信,将移动終端设备生成的网络密钥通过第一信道传送给所述网络访问接入点设备或者通过第一信道从所述网络访问接入点设备接收网络密钥; 与客户端设备通信,通过第二信道将所述网络密钥传送给客户端设备。
5.一种无线局域网系统的客户端设备的安全通信方法,其特征在于,包括 与移动终端设备通信,通过第二信道从所述移动终端设备接收网络密钥; 通过使用包括所述网络密钥的会话密钥与网络访问接入点设备进行通信。
6.如权利要求I至5任一项所述的安全通信方法,其特征在于 所述第一信道为GPRS信道、RFID-SM/SD信道中的ー种; 所述第二信道为RFID-S頂/SD信道。
7.如权利要求I至5任一项所述的安全通信方法,其特征在于 所述会话密钥包括网络密钥、会话初始向量。
8.—种移动终端设备,其特征在于,包括 第一网络密钥传送単元,用于通过第一信道从网络访问接入点设备接收网络密钥; 第二网络密钥传送単元,用于通过第二信道向客户端设备发送所述网络密钥。
9.一种移动终端设备,其特征在于,包括 网络密钥生成単元,用于生成网络密钥; 第一网络密钥传送単元,用于通过第一信道向网络访问接入点设备发送所述网络密钥; 第二网络密钥传送単元,用于通过第二信道向客户端设备发送所述网络密钥。
10.一种网络访问接入点设备,其特征在于,包括 网络密钥传送単元,用于通过第一信道从移动終端设备接收网络密钥;通信単元,用于通过使用包括所述网络密钥的会话密钥与客户端设备进行通信。
11.一种网络访问接入点设备,其特征在于,包括 网络密钥生成単元,用于生成网络密钥; 网络密钥传送単元,用于通过第一信道向移动终端设备发送所述网络密钥; 通信単元,用于通过使用包括所述网络密钥的会话密钥与客户端设备进行通信。
12.—种客户端设备,其特征在于,包括 网络密钥传送単元,用于通过第二信道从移动終端设备接收网络密钥; 通信単元,用于通过使用包括所述网络密钥的会话密钥与网络访问接入点设备进行通ィ目。
13.如权利要求7至11任一项所述的设备,其特征在于 所述第一信道为GPRS信道、RFID-SIM/SD信道中的ー种; 所述第二信道为RFID-S頂/SD信道。
14.如权利要求7至11任一项所述的设备,其特征在于 所述会话密钥包括网络密钥、会话初始向量。
全文摘要
本发明公开了一种无线局域网中的安全通信方法,包括网络访问接入点设备随机生成网络密钥;经第一信道将所述网络密钥发送至移动终端设备中;所述移动终端设备通过第二信道将网络密钥传送到客户端设备中;所述网络访问接入点设备与客户端设备通过使用包括所述网络密钥的会话密钥进行通信。通过本发明实施例提出的通信方法,可以从高安全的带外通道发送密钥信息,进而提高通信传输的安全性。
文档编号H04W12/02GK102769847SQ201110115319
公开日2012年11月7日 申请日期2011年5月5日 优先权日2011年5月5日
发明者杨贤伟 申请人:国民技术股份有限公司