可在不同無線區域網中實現保密通信的方法
2023-06-12 20:22:51
專利名稱:可在不同無線區域網中實現保密通信的方法
可在不同無線區域網中實現保密通信的方法
所屬技術領域
本發明涉及通信終端與無線區域網內無線接入點的保密通信方 法,特別涉及一種利用加密裝置實現通信終端可以在不同無線區域網 中的無線接入和安全通信的方法。
背景技術:
目前,WLAN ( Wireless Local Area Network,無線區域網)的無線 4妻入系統通常是由無線網卡、無線4妄入點(AP, Access Point )、無線 接入網關(AG, Access Server )和無線接入伺服器(AS, Access Server) 等各個部分組成。較為常見的組網方式是通過無線網卡與計算機、 PDA等終端設備相連,取代以上設備中原有的有線網卡,從而實現終 端設備間、終端設備與無線接入點間的無線連接,完成對無線信道的 檢測、選擇、控制和管理,並能實現無線接收的增益控制、發射端的 功率控制等功能。
與有線傳輸相比,無線傳輸的保密性較差,因此需要一些額外的 安全措施來保證無線接入點和各通信終端之間的通信安全,比如用戶 認證、信息加密等。現有的加密方式已經有很多種,總起來包括軟體 加密和硬體加密。軟體加密是在通信系統的應用層中加入一個專門負 責加密、解密的軟體4莫塊。由於這種加密方式的加密、解密密鑰以及加密、解密過程中出現的數據都要在本機的內存中出現,因而容易被 破譯。另外,由於加密算法的運算量非常大,所以加、解密過程對系 統資源的大量佔有也是無法容忍的。硬體加密就是將加密密碼算法和 密鑰存儲到專用的硬體中去,該專用硬體通過通信接口與通信終端連 接,加密、解密過程是首先將數據通過通信接口傳輸至專用硬體,再 由硬體中的微處理器來完成加密、解密。上述硬體加密雖然從根本上 克服了上述軟體加密的缺點,但是如果所有待加密、解密處理的數據 和所有處理後的數據均需通過通信接口在通信終端和專用硬體間傳 輸,則通信接口的傳輸速度將會影響通信終端在無線區域網中的傳輸 速度,同時頻繁在通信終端與專用硬體間的數據傳輸也會佔用大量的 系統資源。
無線區域網標準IEEE802.11採用有線對等加密(Wired Equivalent Privacy , WEP )技術對信息進行加密。WEP是一種對稱加密技術,即 加密通信雙方使用相同的密鑰進行加解密。在實際應用中,出於安全 性的考慮,不同用戶應該使用不同的密鑰。通常密鑰由網絡管理者分 配,並存儲在通信雙方,即通信終端和無線接入點(AP)上。這種 密鑰管理方法存在很多弊端。首先,在這種密鑰管理方式下,為了支 持用戶的漫遊,每個無線接入點(AP)都應該存儲所有用戶的密鑰, 而每次增加或修改用戶的密鑰,網絡管理者就要在所有的無線接入點 (AP)上增加或修改該用戶的密鑰,使密鑰管理任務相當繁重,而 且無線接入點(AP)的存儲能力也可能達不到要求。另外,由於密 鑰分別存儲在用戶的通信終端和無線接入點中,而存儲在通信終端的
6密鑰顯然是不安全的,這為他人竊取密鑰提供了可乘之機。
發明內容
本發明提供一種可在不同無線區域網中實現保密通信的方法,所 要解決的技術問題在於使通信終端不參與通信安全處理,而藉助外置 的加密裝置可實現其與不同無線區域網的連接和傳輸數據的加密、解 密處理,從而有效保證通信安全。
本發明關於一種可在不同無線區域網中實現保密通信的方法,設
置有多個無線接入點(AP),且各無線接入點分屬於多個不同的密鑰 管理伺服器,所述方法包括以下步驟(l)在具有無線網卡功能的加 密裝置中預置唯一地的標識信息和密鑰管理信息表,該密鑰管理信息 表存儲有各密鑰管理伺服器中的全部密鑰,並可按密鑰分配信息調取 相應的密鑰;(2)使具有無線網卡功能的加密裝置與通信終端連接並 獲得供電,在通信終端上安裝並運行加密裝置的無線網卡專用驅動程 序;(3)利用加密裝置的無線網卡功能建立與無線接入點的無線信道, 加密裝置向無線接入點發送包含標識信息的認證請求;(4)無線接入 點根據認證請求中包含的標識信息對加密裝置進行認證,如果認證成 功,則密鑰管理伺服器生成密鑰分配信息,按照該密鑰分配信息調取 對應的密鑰,將該調取的密鑰向無線接入點發送,並使該生成的密鑰 分配信息經無線接入點發送至加密裝置;(5)無線接入點直接從認證 裝置處接收密鑰,加密裝置接收密鑰分配信息,並利用該密鑰分配信 息在密鑰管理信息表中調取相應的密鑰;(6)無線接入點與加密裝置分別使用所獲取的密鑰對在無線信道中傳輸的數據進行加密、解密處 理。
前述的可在不同無線區域網中實現保密通信的方法,在每個所述
的無線接入點中設置不同的業務組信息;所述的密鑰管理伺服器中設 置有存儲密鑰的密鑰資料庫,且在密鑰管理信息表中存儲與各密鑰管 理伺服器相同的密鑰資料庫及各無線接入點的業務組信息,並將業務 組信息按照無線接入點所屬的密鑰管理伺服器建立與密鑰資料庫對 應關係;加密裝置通過與無線接入點建立的無線信道獲知所連接的無 線接入點的業務組信息,並使加密裝置在與該業務組信息對應的密鑰 資料庫中查找與密鑰分配信息對應的密鑰。
前述的可在不同無線區域網中實現保密通信的方法,所述的業務 組信息是為該無線接入點的業務組標識符。
前述的可在不同無線區域網中實現保密通信的方法,在加密裝置 向無線接入點的認^t成功後,無線接入點向加密裝置發送該無線接入 點的業務組信息。
前述的可在不同無線區域網中實現保密通信的方法,所述的通信 終端將向無線區域網發送的數據通過通信接口模塊輸出至加密裝置, 該加密裝置將該數據加密後通過無線區域網模塊向無線接入點發送; 所述的加密裝置通過無線區域網模塊接收到無線接入點發送的加密 數據,並在對該數據解密後通過通信接口模塊輸出至通信終端。
前述的可在不同無線區域網中實現保密通信的方法,所述的通信 接口模塊是為USB接口模塊、SATA接口模塊、ISA接口模塊、PCI接口模塊、或PCMCIA接口模塊。
前述的可在不同無線區域網中實現保密通信的方法,所述的加密 裝置通過通信接口模塊中設置的電源端子與通信終端的電源輸出端 子的電性連接,從而獲得的供電。
如上所述,本發明可在不同無線區域網中實現保密通信的方法具 有如下有益效果
本發明可在不同無線區域網中實現保密通信的方法是通過外置 的加密裝置與通信終端的連接實現通信終端與無線接入點間的無線 連接,通信終端與無線區域網間傳輸的數據均通過加密裝置接收和發 送,而避免了使加密、解密工作在通信終端完成,由此,既可保障在 無線通信的安全,在數據安全性上也有了顯著的提高,而且藉由加密 裝置完成無線通信的加密和解密工作,大大節省了系統資源。更為重 要的是,通過連接加密裝置和安裝驅動程序,使更多的通信終端可以 更為便捷地接入無線區域網中。
本發明的通信方法不需要由無線接入點向通信終端的密鑰分發 過程,而是通過密鑰管理伺服器分配密鑰,再將分配的密鑰發送給無 線接入點,將密鑰分配信息發送給力口密裝置,由加密裝置調取相應的 密鑰,利用加密裝置對所存儲信息的保密功能,使加密密鑰、密鑰生 成算法的安全得到了有效的保障,從而可保證了通信安全。
本發明利用加密裝置對數據的保密存儲功能,將多個無線區域網 的密鑰管理伺服器中存儲的密鑰保密存儲於其中,因此,通信終端用 戶可以在大於密鑰管理伺服器覆蓋範圍內跨區漫遊,另外,由於無線接入點無需管理用戶信息,簡化了無線接入點的結構從而降低了成 本。
圖l是本發明的加密裝置的結構框圖。
圖2是本發明可在不同無線區域網中實現保密通信的方法的示 意圖。
具體實施方式
為進一步闡述本發明達成預定目的所採取的技術手段及功效,以 下結合附圖及實施例,詳細說明如下。
請參閱圖l所示,是本發明的加密裝置的結構框圖,該加密裝置 包括
微處理器模塊負責數據運算,通過調用數據存儲模塊與程序存 儲模塊中的數據和程序,進行加密、解密運算,完成對通信中傳遞信 息數據的加密、解密工作,即將準備通過無線區域網模塊發送的數據 進行加密,將通過無線區域網模塊獲取的數據進行解密。
程序存儲模塊與微處理器模塊連接,主要存儲加密、完整性保 護算法,可以以密文的形式存放,在加電後,加載進密碼運算器中, 解密恢復出密文再運行。
數據存儲模塊用來安全保存多個密鑰管理伺服器中的所有主密 鑰、非對稱加密算法密鑰對,在加電後按照密鑰分配信息將相應的主密鑰、密鑰對由數據存儲模塊調入微處理器模塊中參與運算。
通信接口模塊通過數據線與微處理器模塊連接,用來與需加密 終端(即通信終端)相連接。
無線區域網模塊與微處理器模塊連接,用於建立無線區域網與 微處理器的連接,所述的微處理器模塊將加密處理後的數據通過無線 區域網模塊向外發送,並將從無線區域網接收的數據解密後通過通信 接口模塊向需通信終端傳送。
上述通信接口模塊以USB接口模塊為宜,由於USB接口即插即用, 且支持非常高的數據傳輸速率,因此不僅方便使未配備無線網卡的通 信終端可以與無線區域網連接,而且兼具傳輸速度高和通信安全的優 點。
具體而言,上述的無線區域網模塊包括基帶單元和RF單元,所 述的基帶單元對微處理器模塊的數據進行調製/解調;所述的RF單元
將基帶單元的數據處理為高頻信號進行傳送,還接收和處理高頻信 號。上述的微處理器模塊還具有用於存取輸入輸出的數據、及中間計 算結果、與外部存儲器交換的數據和暫存數據的RAM模塊。
出於安全的需要,要可能對密鑰進行更新和管理,並且也有可能 對密碼算法進行更新操作,因此,在微處理器模塊中還包括負責密鑰 的更新和管理的密鑰管理模塊和負責加密算法的更新和管理的算法 管理模塊。
請參閱附圖2所示,是本發明的可在不同無線區域網中實現保密通信的方法的流程圖。每個無線區域網設置有一個無線接入點(AP), 每個無線接入點屬於一個密鑰管理伺服器管理,多個無線接入點分屬 於多個不同的密鑰管理伺服器管理。本發明可在不同無線區域網中實 現保密通信的方法包括以下步驟
(1) 在具有無線網卡功能的加密裝置中預置唯一地的標識信息和 密鑰管理信息表,該密鑰管理信息表存儲有各密鑰管理伺服器中的全 部密鑰,並可按密鑰分配信息調取相應的密鑰;
(2) 使具有無線網卡功能的加密裝置與通信終端連接並獲得供 電,在通信終端上安裝並運行加密裝置的無線網卡專用驅動程序;
(3) 加密裝置的無線網卡功能建立與無線接入點的無線信道,加 密裝置向無線接入點發送包含標識信息的認證請求;
(4) 無線接入點根據認證請求中包含的標識信息對加密裝置進行 認證,如果認證成功,則密鑰管理伺服器生成密鑰分配信息,按照該 密鑰分配信息調取對應的密鑰,將該調取的密鑰向無線接入點發送, 並使該生成的密鑰分配信息經無線接入點發送至加密裝置;
(5) 無線接入點直接從認證裝置處接收密鑰,加密裝置接收密鑰 分配信息,並利用該密鑰分配信息在密鑰管理信息表中調取相應的密 鑰;
(6) 無線接入點與加密裝置分別使用所獲取的密鑰對在無線信道 中傳輸的數據進行加密、解密處理。
在上述步驟中,每個無線接入點中應設置不同、可代表其身份的 業務組信息;密鑰管理伺服器中設置有存儲密鑰的密鑰資料庫,且在
12密鑰管理信息表中存儲與各密鑰管理伺服器相同的密鑰資料庫及各 無線接入點的業務組信息,並將業務組信息按照無線接入點所屬的密
鑰管理伺服器建立與密鑰資料庫對應關係;加密裝置通過與無線接入 點建立的無線信道獲知所連接的無線接入點的業務組信息,並使加密 裝置在與該業務組信息對應的密鑰資料庫中查找與密鑰分配信息對 應的密鑰。上述的業務組信息是為該無線接入點的業務組標識符。
無線接入點可以在加密裝置向無線接入點的認證成功後,向加密 裝置發送該無線接入點的業務組信息。
具體而言,在上述步驟(6)中,通信終端將向無線區域網發送 的數據通過通信接口模塊輸出至加密裝置,該加密裝置將該數據加密 後通過無線區域網模塊向無線接入點發送;所述的加密裝置通過無線 區域網模塊接收到無線接入點發送的加密數據,並在對該數據解密後 通過通信接口模塊輸出至通信終端。
上述的通信接口模塊是為USB接口模塊、SATA接口模塊、ISA接 口模塊、PCI接口模塊、或PCMCIA接口模塊。加密裝置通過通信接 口模塊中設置的電源端子與通信終端的電源輸出端子的電性連接,從 而獲得的供電。
權利要求
1、一種可在不同無線區域網中實現保密通信的方法,設置有多個無線接入點(AP),且各無線接入點分屬於多個不同的密鑰管理伺服器,其特徵在於所述方法包括以下步驟(1)在具有無線網卡功能的加密裝置中預置唯一地的標識信息和密鑰管理信息表,該密鑰管理信息表存儲有各密鑰管理伺服器中的全部密鑰,並可按密鑰分配信息調取相應的密鑰;(2)使具有無線網卡功能的加密裝置與通信終端連接並獲得供電,在通信終端上安裝並運行加密裝置的無線網卡專用驅動程序;(3)利用加密裝置的無線網卡功能建立與無線接入點的無線信道,加密裝置向無線接入點發送包含標識信息的認證請求;(4)無線接入點根據認證請求中包含的標識信息對加密裝置進行認證,如果認證成功,則密鑰管理伺服器生成密鑰分配信息,按照該密鑰分配信息調取對應的密鑰,將該調取的密鑰向無線接入點發送,並使該生成的密鑰分配信息經無線接入點發送至加密裝置;(5)無線接入點直接從認證裝置處接收密鑰,加密裝置接收密鑰分配信息,並利用該密鑰分配信息在密鑰管理信息表中調取相應的密鑰;(6)無線接入點與加密裝置分別使用所獲取的密鑰對在無線信道中傳輸的數據進行加密、解密處理。
2、 根據權利要求1所述的可在不同無線區域網中實現保密通信 的方法,其特徵在於在每個所述的無線接入點中設置不同的業務組信 息;所述的密鑰管理伺服器中設置有存儲密鑰的密鑰資料庫,且在密鑰管理信息表中存儲與各密鑰管理伺服器相同的密鑰資料庫及各無 線接入點的業務組信息,並將業務組信息按照無線接入點所屬的密鑰管理伺服器建立與密鑰資料庫對應關係;加密裝置通過與無線接入點 建立的無線信道獲知所連接的無線接入點的業務組信息,並使加密裝 置在與該業務組信息對應的密鑰資料庫中查找與密鑰分配信息對應 的密鑰。
3、 根據權利要求2所述的可在不同無線區域網中實現保密通信 的方法,其特徵在於所述的業務組信息是為該無線接入點的業務組標 識符。
4、 根據權利要求2所述的可在不同無線區域網中實現保密通信 的方法,其特徵在於在加密裝置向無線接入點的認證成功後,無線接 入點向加密裝置發送該無線接入點的業務組信息。
5、 根據權利要求1所述的可在不同無線區域網中實現保密通信 的方法,其特徵在於所述的通信終端將向無線區域網發送的數據通過 通信接口模塊輸出至加密裝置,該加密裝置將該數據加密後通過無線 區域網模塊向無線接入點發送;所述的加密裝置通過無線區域網模塊 接收到無線接入點發送的加密數據,並在對該數據解密後通過通信接 口模塊輸出至通信終端。
6、 根據權利要求5所述的可在不同無線區域網中實現保密通信 的方法,其特徵在於所述的通信接口模塊是為USB接口模塊、SATA 接口模塊、ISA接口模塊、PCI接口模塊、或PCMCIA接口模塊。
7、 根據權利要求5所述的可在不同無線區域網中實現保密通信的方法,其特徵在於所述的加密裝置通過通信接口模塊中設置的電源 端子與通信終端的電源輸出端子的電性連接,從而獲得的供電。
全文摘要
本發明關於一種可在不同無線區域網中實現保密通信的方法,包括(1)在加密裝置中預置標識信息和密鑰管理信息表,密鑰管理信息表存儲有各密鑰管理伺服器中的全部密鑰,並可按密鑰分配信息調取相應的密鑰;(2)在通信終端上安裝並運行專用驅動程序;(3)加密裝置向無線接入點發送認證請求;(4)無線接入點根據認證請求中包含的標識信息進行認證,如認證成功,則生成密鑰分配信息,調取對應的密鑰,將該調取的密鑰向無線接入點發送,並使密鑰分配信息發送至加密裝置;(5)加密裝置接收密鑰分配信息,並利用該密鑰分配信息調取相應的密鑰;(6)無線接入點與加密裝置分別使用所獲取的密鑰對在無線信道中傳輸的數據進行加密、解密處理。
文檔編號H04L9/28GK101431409SQ20071017710
公開日2009年5月13日 申請日期2007年11月9日 優先權日2007年11月9日
發明者鎮 曹 申請人:北京華旗資訊數碼科技有限公司