使通信終端與無線接入點間保密通信的方法
2023-06-12 20:20:31
專利名稱:使通信終端與無線接入點間保密通信的方法
使通信終端與無線接入點間保密通信的方法
所屬技術領域
本發明涉及通信終端與無線區域網內無線接入點的保密通信方 法,特別涉及利用加密裝置實現通信終端在無線區域網的無線接入和 通信安全的方法。
背景技術:
目前,WLAN ( Wireless Local Area Network,無線區域網)的無線 接入系統通常是由無線網卡、無線接入點(AP, Access Point )、無線 接入網關(AG, Access Server )和無線接入月良務器(AS, Access Server) 等各個部分組成。較為常見的組網方式是通過無線網卡與計算機、 PDA等終端設備相連,取代以上設備中原有的有線網卡,從而實現終 端設備間、終端設備與無線接入點間的無線連接,完成對無線信道的 檢測、選擇、控制和管理,並能實現無線接收的增益控制、發射端的 功率控制等功能。
與有線傳輸相比,無線傳輸的保密性較差,因此需要一些額外的 安全措施來保證無線接入點和各通信終端之間的通信安全,比如用戶 認證、信息加密等。現有的加密方式已經有很多種,通常是在通信系 統的應用層中加入一個專門負責加密、解密的軟體模塊。由於這種加 密方式的加密、解密密鑰以及加密、解密過程中出現的數據都要在本機的內存中出現,因而容易被破譯。另外,由於加密算法的運算量非 常大,所以加、解密過程對系統資源的大量佔有也是無法容忍的。
無線區域網標準IEEE802.11採用有線對等加密(Wired Equivalent Privacy, WEP)技術對信息進行加密。WEP是一種對稱加密技術,即 加密通信雙方使用相同的密鑰進行加解密。在實際應用中,出於安全 性的考慮,不同用戶應該使用不同的密鑰。通常密鑰由網絡管理者分 配,並存儲在通信雙方,即通信終端和無線接入點(AP)上。這種 密鑰管理方法存在^f艮多弊端。首先,在這種密鑰管理方式下,為了支 持用戶的漫遊,每個無線接入點(AP)都應該存儲所有用戶的密鑰, 而每次增加或修改用戶的密鑰,網絡管理者就要在所有的無線接入點 (AP)上增加或修改該用戶的密鑰,使密鑰管理任務相當繁重,而 且無線接入點(AP)的存儲能力也可能達不到要求。另外,由於密 鑰分別存儲在用戶的通信終端和無線接入點中,而存儲在通信終端的 密鑰顯然是不安全的,這為他人竊取密鑰提供了可乘之機。
發明內容
本發明提供一種使通信終端與無線接入點間保密通信的方法,所 要解決的技術問題在於使通信終端不參與通信安全處理,而藉助外置 的加密裝置實現其與無線區域網的無線接入點連接和傳輸數據的加 密、解密處理,從而有效保證通信安全。
本發明關於一種使通信終端與無線接入點間保密通信的方法,其 包括以下步驟(l)在具有無線網卡功能的加密裝置中預置唯一的標識信息及通信密鑰,且在無線接入點中存儲經認證的加密裝置的標識
信息及用於與各標識信息所代表的加密裝置保密通信的密鑰;(2)使 具有無線網卡功能的加密裝置通過通信接口與通信終端連接並獲得 供電,在通信終端上安裝並運行加密裝置的無線網卡專用驅動程序; (3)加密裝置建立與無線接入點的無線信道,加密裝置向無線接入點 發送包含標識信息的認證請求;(4)無線接入點根據認證請求中包含 的標識信息對加密裝置進行認證,如果認證成功,則調取與該標識信 息相對應的密鑰,並向加密裝置發送允許接入通知;(5)加密裝置接 收到允許接入通知後通知通信終端已建立與無線接入點的連接,並使 用通信密鑰對無線接入點傳輸的數據進行加密、解密處理,無線接入 點使用調取的密鑰對由該加密裝置傳輸的數據進行加密、解密處理。 前述的使通信終端與無線接入點間保密通信的方法,所述的加密 裝置中存儲有多個通信密鑰,且加密裝置按無線接入點發送的密鑰調 取指令調取相應的通信密鑰,並利用調取的通信密鑰對與無線接入點 間傳輸的數據進行加密、解密;所述的無線接入點按照標識信息相應 地存儲多個密鑰,且每個密鑰分別與加密裝置中存儲的通信密鑰相同 或構成密鑰對;無線接入點在對加密裝置發送的認證請求認證成功 後,為與加密裝置的保密通信分配密鑰,根據所分配的密鑰生成使加 密裝置可調取相應通信密鑰的密鑰調取指令,將該密鑰調取指令發送 至加密裝置。
前述的使通信終端與無線接入點間保密通信的方法,所述的加密 裝置中預置的通信密鑰與無線接入點中按其標識信息存儲的相應密
7鑰相同或可構成密鑰對。
前述的使通信終端與無線接入點間保密通信的方法,所述的通信 終端將向無線區域網發送的數據通過通信接口輸出至加密裝置,該加
密裝置將該數據加密後通過無線區域網模塊向無線接入點發送;所述
的加密裝置通過無線區域網模塊接收到無線接入點發送的加密數據,
並在對該數據解密後通過通信接口輸出至通信終端。
前述的使通信終端與無線接入點間保密通信的方法,所述的通信
接口是為USB接口、 SATA接口、 ISA接口、 PCI接口、或PCMCIA接。
前述的使通信終端與無線接入點間保密通信的方法,所述的加密 裝置通過通信接口模塊中設置的電源端子與通信終端的電源輸出端 子的電性連接,從而獲得的供電。
前述的使通信終端與無線接入點間保密通信的方法,所述的加密 裝置是為利用數據存儲模塊和程序存儲模塊中存儲的密鑰和加密算 法對通信終端輸入的數據進行加密或解密處理的加密狗,且利用該數 據存儲模塊和程序存儲模塊中存儲的密鑰和加密算法對與無線接入 點間傳輸的數據進行加密或解密處理。
前述的使通信終端與無線接入點間保密通信的方法,所述的加密 狗中還設有分別對數據存儲模塊和程序存儲模塊中存儲的密鑰和加 密算法進行管理的密鑰管理模塊和算法管理才莫塊,加密狗可根據通信 終端發送的指令或無線接入點發送的允許接入通知控制密鑰管理模 塊和算法管理模塊,使加密狗與通信終端間和加密狗與無線接入點間的通信分別使用不同的密鑰和加密算法。
如上所述,本發明使通信終端與無線接入點間保密通信的方法具
有如下有益效果
本發明使通信終端與無線接入點間保密通信的方法是使通信終 端通過與外置的加密裝置的連接實現其與無線接入點間的無線連接, 通信終端與無線區域網間傳輸的數據均通過加密裝置接收和發送,而
避免了4吏加密、解密工作在通信終端完成,由此,既可保障在無線通 信的安全,在數據安全性上也有了顯著的提高,而且藉由加密裝置完 成無線通信的加密和解密工作,大大節省了系統資源。另外,通過連 接加密裝置和安裝驅動程序,使更多的通信終端可以更為便捷地接入 無線區域網中。
本發明的密鑰是分別存儲於無線接入點和加密裝置中的,任何接 入無線區域網的通信終端不需要存儲密鑰,而藉助外置的加密裝置可 保證密鑰的安全,且由於通過加密裝置存儲密鑰,使無線接入點不需 要經常更新可供分配的密鑰,從而較少了維護費用。
本發明利用加密裝置實現通信終端至無線接入點的網絡連接,打 破了傳統的網絡連接方式,使任何通信終端在無線接入點信號範圍內 通過插入的加密裝置實現與無線接入點連接,從而使任何用戶在具有 本發明的加密裝置後按照上述方法實現通信終端與無線區域網的保 密通信。
圖1是本發明的加密裝置的結構框圖。
圖2是本發明使通信終端與無線接入點間保密通信的方法的示 意圖。
具體實施方式
為進一步闡述本發明達成預定目的所採取的技術手段及功效,以 下結合附圖及實施例,詳細說明如下。
請參閱圖1所示,是本發明的加密裝置的結構框圖,該加密裝置 包括
微處理器模塊負責數據運算,通過調用數據存儲模塊與程序存 儲模塊中的數據和程序,進行加密、解密運算,完成對通信中傳遞信 息數據的加密、解密工作,即將準備通過無線區域網模塊發送的數據 進行加密,將通過無線區域網模塊獲取的數據進行解密。
程序存儲模塊與微處理器模塊連接,主要存儲加密、完整性保 護算法和密鑰生成算法,可以以密文的形式存放,在加電後,加載進 密碼運算器中,解密恢復出密文再運行。
數據存儲模塊用來安全保存主密鑰、非對稱加密算法密鑰對, 加電後,主密鑰、密鑰對由數據存儲模塊調入微處理器模塊中參與運 算。
通信接口模塊通過數據線與微處理器模塊連接,用來與需加密 終端(即通信終端)相連接。無線區域網模塊與微處理器模塊連接,用於建立無線區域網與 微處理器的連接,所述的微處理器模塊將加密處理後的數據通過無線 區域網模塊向外發送,並將從無線區域網接收的數據解密後通過通信 接口模塊向需通信終端傳送。
上述通信接口模塊以USB接口模塊為宜,由於USB接口即插即用, 且支持非常高的數據傳輸速率,因此不僅方便使未配備無線網卡的通 信終端可以與無線區域網連接,而且兼具傳輸速度高和通信安全的優 點。
具體而言,上述的無線區域網模塊包括基帶單元和RF單元,所 述的基帶單元對微處理器模塊的數據進行調製/解調;所述的RF單元 將基帶單元的數據處理為高頻信號進行傳送,還接收和處理高頻信 號。上述的微處理器模塊還具有用於存取輸入輸出的數據、及中間計 算結果、與外部存儲器交換的數據和暫存數據的RAM模塊。
出於安全的需要,要經常對密鑰進行更新和管理,並且也有可能 對密碼算法進行更新操作,因此,在微處理器模塊中還包括負責密鑰 的更新和管理的密鑰管理模塊以及負責加密算法的更新和管理的算 法管理模塊。
請參閱附圖2所示,是本發明的使通信終端與無線接入點間保密 通信的方法的流程圖。該使通信終端與無線接入點間保密通信的方法 包括以下步驟
(l)在具有無線網卡功能的加密裝置中預置唯一的標識信息及通信密鑰,且在無線接入點中存儲經認證的加密裝置的標識信息及用於
與各標識信息所代表的加密裝置保密通信的密鑰;
(2) 使具有無線網卡功能的加密裝置通過通信接口與通信終端連 接並獲得供電,在通信終端上安裝並運行加密裝置的無線網卡專用驅 動程序;
(3) 加密裝置建立與無線接入點的無線信道,加密裝置向無線接 入點發送包含標識信息的認證請求;
(4) 無線接入點根據認證請求中包含的標識信息對加密裝置進行 認證,如果認證成功,則調取與該標識信息相對應的密鑰,並向加密 裝置發送允許接入通知,使通信終端得知已建立與無線接入點間的數 據保密通道,即通信終端可經由加密裝置和無線接入點間的數據保密 通道接入無線局:l或網;
(5) 加密裝置使用通信密鑰、無線接入點使用調取的密鑰在無線 信道中對傳輸的悽t據進行加密、解密處理。
上述的加密裝置中存儲有多個通信密鑰,且加密裝置按無線接入 點發送的密鑰調取指令調糾目應的通信密鑰,並利用調取的通信密鑰 對與無線接入點間傳輸的數據進行加密、解密;所述的無線接入點按 照標識信息相應地存儲多個密鑰,且每個密鑰分別與加密裝置中存儲 的通信密鑰相同或構成密鑰對;無線接入點在對加密裝置發送的認i正 請求認證成功後,為與加密裝置的保密通信分配密鑰,才艮據所分配的 密鑰生成使加密裝置可調取相應通信密鑰的密鑰調取指令,將該密鑰 調取指令發送至加密裝置。上述的加密裝置中預置的通信密鑰與無線接入點中按其標識信 息存儲的相應密鑰相同或可構成密鑰對。
在上述步驟(5)中,通信終端將向無線區域網發送的數據通過 通信接口才莫塊輸出至加密裝置,該加密裝置將該數據加密後通過無線 區域網模塊向無線接入點發送;所述的加密裝置通過無線區域網模塊 接收到無線接入點發送的加密數據,並在對該數據解密後通過通信接 口模塊輸出至通信終端。
上述的通信接口模塊是為USB接口模塊、SATA接口模塊、ISA接 口模塊、PCI接口模塊、或PCMCIA接口模塊。加密裝置通過通信接 口模塊中設置的電源端子與通信終端的電源輸出端子的電性連接,從 而獲得的供電。
具體而言,上述的加密裝置是為利用數據存儲^t塊和程序存儲模 塊中存儲的密鑰和加密算法對通信終端輸入的數據進行加密或解密 處理的加密狗,且利用該數據存儲模塊和程序存儲^^塊中存儲的密鑰 和加密算法對與無線接入點間傳輸的數據進行加密或解密處理。加密 狗中還設有分別對數據存儲模塊和程序存儲模塊中存儲的密鑰和加 密算法進行管理的密鑰管理模塊和算法管理模塊,加密狗可根據通信 終端發送的指令或無線接入點發送的允許接入通知控制密鑰管理模 塊和算法管理模塊,使加密狗與通信終端間和加密狗與無線接入點分 別使用不同的密鑰和加密算法。
權利要求
1、一種使通信終端與無線接入點間保密通信的方法,其特徵在於其包括以下步驟(1)在具有無線網卡功能的加密裝置中預置唯一的標識信息及通信密鑰,且在無線接入點中存儲經認證的加密裝置的標識信息及用於與各標識信息所代表的加密裝置保密通信的密鑰;(2)使具有無線網卡功能的加密裝置通過通信接口與通信終端連接並獲得供電,在通信終端上安裝並運行加密裝置的無線網卡專用驅動程序;(3)加密裝置建立與無線接入點的無線信道,加密裝置向無線接入點發送包含標識信息的認證請求;(4)無線接入點根據認證請求中包含的標識信息對加密裝置進行認證,如果認證成功,則調取與該標識信息相對應的密鑰,並向加密裝置發送允許接入通知;(5)加密裝置接收到允許接入通知後通知通信終端已建立與無線接入點的連接,並使用通信密鑰對無線接入點傳輸的數據進行加密、解密處理,無線接入點使用調取的密鑰對由該加密裝置傳輸的數據進行加密、解密處理。
2、 根據權利要求1所述的使通信終端與無線接入點間保密通信 的方法,其特徵在於所述的加密裝置中存儲有多個通信密鑰,且加密 裝置按無線接入點發送的密鑰調取指令調取相應的通信密鑰,並利用 調取的通信密鑰對與無線接入點間傳輸的數據進行加密、解密;所述 的無線接入點按照標識信息相應地存儲多個密鑰,且每個密鑰分別與加密裝置中存儲的通信密鑰相同或構成密鑰對;無線接入點在對加密 裝置發送的認證請求認證成功後,為與加密裝置的保密通信分配密 鑰,根據所分配的密鑰生成使加密裝置可調取相應通信密鑰的密鑰調 取指令,將該密鑰調取指令發送至加密裝置。
3、 根據權利要求1所述的使通信終端與無線接入點間保密通信 的方法,其特徵在於所述的加密裝置中預置的通信密鑰與無線接入點 中按其標識信息存儲的相應密鑰相同或可構成密鑰對。
4、 根據權利要求1所述的使通信終端與無線接入點間保密通信 的方法,其特徵在於所述的通信終端將向無線區域網發送的數據通過 通信接口輸出至加密裝置,該加密裝置將該數據加密後通過無線局域 網模塊向無線接入點發送;所述的加密裝置通過無線區域網模塊接收 到無線接入點發送的加密數據,並在對該數據解密後通過通信接口輸 出至通信終端。
5、 根據權利要求4所述的使通信終端與無線接入點間保密通信 的方法,其特徵在於所述的通信接口是為USB接口、 SATA接口、 ISA 接口、 PCI接口、或PCMCIA接口。
6、 根據權利要求4所述的使通信終端與無線接入點間保密通信 的方法,其特徵在於所述的加密裝置通過通信接口模塊中設置的電源 端子與通信終端的電源輸出端子的電性連接,從而獲得的供電。
7、 根據權利要求1所述的使通信終端與無線接入點間保密通信 的方法,其特徵在於所述的加密裝置是為利用數據存儲模塊和程序存 儲模塊中存儲的密鑰和加密算法對通信終端輸入的數據進行加密或解密處理的加密狗,且利用該數據存儲模塊和程序存儲模塊中存儲的 密鑰和加密算法對與無線接入點間傳輸的數據進行加密或解密處理。
8、根據權利要求7所述的使通信終端與無線接入點間保密通信 的方法,其特徵在於所述的加密狗中還設有分別對數據存儲模塊和程 序存儲模塊中存儲的密鑰和加密算法進行管理的密鑰管理模塊和算 法管理模塊,加密狗可根據通信終端發送的指令或無線接入點發送的 允許接入通知控制密鑰管理模塊和算法管理模塊,使加密狗與通信終 端間和加密狗與無線接入點間的通信分別使用不同的密鑰和加密算 法。
全文摘要
本發明關於一種使通信終端與無線接入點間保密通信的方法,包括以下步驟(1)在加密裝置中預置唯一的標識信息及通信密鑰,且在無線接入點中存儲經認證的加密裝置的標識信息及密鑰;(2)使加密裝置通過通信接口與通信終端連接並獲得供電,在通信終端上安裝並運行專用驅動程序;(3)加密裝置向無線接入點發送包含標識信息的認證請求;(4)無線接入點根據認證請求中包含的標識信息對加密裝置進行認證,如果認證成功,則調取對應的密鑰,並發送允許接入通知;(5)加密裝置接收到允許接入通知後通知通信終端已建立與無線接入點的連接,並使用通信密鑰對傳輸的數據進行加密、解密,無線接入點使用密鑰對由傳輸的數據進行加密、解密處理。
文檔編號H04L9/08GK101431453SQ20071017709
公開日2009年5月13日 申請日期2007年11月9日 優先權日2007年11月9日
發明者鎮 曹 申請人:北京華旗資訊數碼科技有限公司