增強無線區域網安全的方法
2023-06-05 20:35:11 1
專利名稱:增強無線區域網安全的方法
技術領域:
本發明涉及一種增強無線區域網安全的方法,尤其涉及一種應用身份卡增強無線區域網安全的方法。
背景技術:
無線區域網(WLAN)是一種數據通信系統,因為它可以通過無線電波發射和接收數據,減少對有線連接的需要,同時混合了數據連接性和用戶移動性的優點,並且部署簡單,所以它作為有線區域網的擴展或替代品被用在大樓或校園內。
與有線區域網使用有線媒體點到點傳送信號不同,無線區域網使用無線媒體(比如無線電波、紅外線等)以廣播的形式來傳輸信號,因此處在無線區域網中同一個無線接入點覆蓋範圍內的無線終端,都能接收到在該覆蓋範圍內的其他無線終端發送的信號,儘管這些信號不是發送給它的。由此可見,如果在無線區域網中不採取一定的安全措施,在無線區域網中傳輸的信息很容易就被不屬於該區域網的無線終端截獲。
為了解決上述的無線區域網的安全問題,生產廠商研究出了許多無線網絡安全方法以保證在無線區域網中通過無線媒體安全地傳送信息。下面以基於網絡協議802.11標準的無線區域網採用的有線對等保密(WEP)方法為例,簡單說明無線網絡安全方法保證在無線區域網中通過無線媒體安全地傳送信息的原理。
有線對等保密(WEP)方法使用相同的加/解密算法以及相同的加密密鑰和解密密鑰通過兩個安全措施來保證網絡信息的安全,即對接入網絡的無線終端進行身份認證和對在無線媒體中傳輸的信息進行加密。
在基於網絡協議802.11標準的無線區域網中,當一個用戶想通過無線終端訪問網絡時,首先對即將接入網絡的無線終端進行身份認證處理,具體步驟如下(a)即將接入網絡的無線終端向無線接入點請求身份認證。
(b)收到身份認證請求後,無線接入點向無線終端返回用於身份認證的明文信息。
(c)收到用於身份認證的明文信息後,無線終端使用有線對等保密(WEP)方法提供的加密算法和加密密鑰對該用於身份認證的明文信息進行加密得到用於身份認證的密文信息,並把該用於身份認證的密文信息發送給無線接入點。
(d)收到無線終端發送的用於身份認證的密文信息後,無線接入點使用有線對等保密(WEP)方法提供的解密算法和解密密鑰對該密文信息進行解密得到用於身份認證的明文信息,並把該解密後的明文信息與先前發送給該無線終端的用於身份認證的明文信息進行比較,如果兩個信息匹配,允許無線終端接入網絡;如果兩個信息不匹配,不允許無線終端接入網絡,並且該無線終端被稱為未經授權的無線終端。
無線終端接入網絡後,用戶就可以經由該無線終端和無線接入點與無線區域網進行數據交互。在數據交互過程中,該無線終端使用有線對等保密(WEP)方法提供的加密算法和加密密鑰對發送給無線接入點的數據進行加密處理,而使用解密算法和解密密鑰對來自無線接入點的經過加密的數據進行解密處理;無線接入點對發送給該無線終端和來自該無線終端的數據也進行相同的處理。
由上述可知,通過對即將接入網絡的無線終端進行身份認證和對在無線媒體中傳輸的數據進行加密,防止了未經授權的無線終端進入網絡或截獲傳輸的數據,提高了網絡的安全能力。當然,也會出現加/解密算法或密鑰被破解而導致未經授權的無線終端進入網絡或截獲傳輸的經過加密的數據的情況,但是隨著對無線網絡安全方法的深入研究,無線網絡安全方法會採用越來越強壯的加/解密算法和加密/解密密鑰,使得破解加/解密算法或密鑰越來越困難。
但是即使這樣,無線區域網還是經常出現由於用戶的原因而導致的安全漏洞,具體表現在兩個方面第一、雖然無線網絡安全方法提供了身份認證機制,但是用戶在無線區域網中並不使用該身份認證機制對接入網絡的無線終端進行身份認證,導致未經授權的無線終端很容易地進入網絡。
第二、由於加/解密算法使用的密鑰通常以明文形式保存在無線終端中,使得用戶很容易不小心把密鑰洩漏出去。
綜上所述,有必要提供一種用於無線區域網的增加網絡安全的方法以防止未經授權的無線終端進入網絡和密鑰被洩露。
發明內容
本發明的目的是提供一種用於增強無線區域網安全的方法。在該方法中,對即將接入無線區域網的無線終端進行強制身份認證以防止未經授權的無線終端進入網絡而導致網絡不安全。
本發明的另一個目的是提供一種用於增強無線區域網安全的方法。在該方法中,把密鑰存儲在獨立於無線終端的身份卡中,增強密鑰的安全性。
按照本發明的一種在無線區域網中由無線終端執行的增強網絡安全的方法,包括步驟讀取存儲在身份卡中的密鑰;根據讀取到的密鑰以及相應的加密算法請求無線接入點進行身份認證處理;如果身份認證成功,接入無線區域網。
按照本發明的一種在無線區域網中由無線接入點執行的增強網絡安全的方法,包括步驟利用與無線終端使用的身份卡中的密鑰相對應的密鑰,根據與無線終端採用的加密算法相對應的解密算法,對無線終端發起的身份認證請求進行認證處理;如果身份認證成功,允許無線終端接入無線區域網。
其中上述的加密解密算法可以採用網絡協議中的算法,也可以採用定製的加密解密算法。
附圖簡述
圖1是根據本發明的使用網絡協議802.11標準加/解密算法的結構方框圖。
圖2是根據本發明的在網絡協議802.11標準中增加定製的加/解密算法的結構方框圖。
發明詳述本發明的基本思想為把密鑰存儲在身份卡中,當用戶想通過無線終端訪問無線區域網時,用戶必須先使用身份卡向無線終端提供密鑰,無線終端根據得到的密鑰請求無線接入點對其進行身份認證處理,如果身份認證成功,無線接入點允許無線終端接入網絡,用戶就可以通過無線終端訪問無線區域網;如果身份認證失敗,無線接入點拒絕無線終端接入網絡,用戶不可以通過無線終端訪問無線區域網。
下面以讀者訪問無線區域網中的電子圖書館為實施例,詳細說明本發明應用身份卡增強無線區域網安全的方法。
當一個讀者想下載無線區域網中電子圖書館的電子圖書時,圖書館管理員給該讀者發放一個存儲有密鑰的身份卡,該讀者把得到的身份卡插入到該無線區域網的一個無線終端的無線網卡中,該無線終端首先通過其無線網卡從身份卡中讀取密鑰,並根據讀取的密鑰請求無線接入點對其進行身份認證。如果身份認證成功,無線接入點允許所述無線終端接入網絡,該讀者就可以通過所述無線終端從電子圖書館下載電子圖書;如果身份認證失敗,無線接入點拒絕所述無線終端接入網絡,該讀者不能通過所述無線終端從電子圖書館下載電子圖書。如果該讀者能夠通過所述無線終端訪問電子圖書館,在電子圖書館訪問結束後,把身份卡從所述無線終端的無線網卡中拔下來歸還給圖書館管理員。
上述的身份卡不僅可以存儲用於無線區域網的密鑰,還可以存儲用於遵循其它標準的系統的密鑰,比如通用分組無線系統(GPRS)的密鑰和第三代通信系統(3G)的密鑰等。因為傾向於把多個標準的密鑰集成在一張卡中,所以本發明的身份卡可以參照用於筆記本電腦的通用分組無線系統客戶識別卡(GPRS SIM)的做法把多個標準的密鑰集成在卡中。
在使用身份卡進行身份認證的過程中,一種情況是只使用網絡協議中的加/解密算法,另外一種情況是同時使用網絡協議中的加/解密算法和定製的加/解密算法。以網絡協議802.11標準為例,可以只使用網絡協議802.11標準的加/解密算法,或者同時使用網絡協議802.11標準的加/解密算法和新增到網絡協議802.11標準中的定製的加/解密算法。下面對這兩種情況進行詳細說明。
一、只使用網絡協議802.11標準的加/解密算法在這種情況中,只使用網絡協議802.11標準的加/解密算法進行身份認證。因為網絡協議802.11標準使用相同的加/解密算法對用於身份認證的信息進行加密和解密,並且在該相同的加/解密算法中加密和解密使用相同的密鑰,所以在這種情況下應對網絡協議802.11標準中的密鑰進行非常嚴格的管理。譬如把用於有線等效協議(WEP)或高級加密標準(AES)的密鑰存儲在身份卡中,然後通過可見的方式把身份卡分發給用戶使用,以此防止密鑰的洩露。
圖1是一種只使用網絡協議802.11標準的加/解密算法和身份卡進行身份認證的結構的方框圖。下面結合圖1描述無線終端請求無線接入點進行身份認證的過程。
當無線終端100請求無線接入點200進行身份認證處理時,在收到來自無線接入點的用於身份認證的明文信息後,在該無線終端100中的直接內存存取控制模塊10獲取該用於身份認證的明文信息並把它送給AES或WEP密碼流生成器20。AES或WEP密碼流生成器20收到該用於身份認證的明文信息後,從身份卡60中獲取加密密鑰,並用該加密密鑰和網絡協議802.11標準的加密算法對該用於身份認證的明文信息進行加密得到用於身份認證的密文信息,然後將該用於身份認證的密文信息發送給幀生成單元30。幀生成單元30收到該用於身份認證的密文信息後,將它與相應的幀頭、循環校驗碼(CRC)一起合成密文的身份認證數據幀,然後將該合成的密文的身份認證數據幀經由物理層控制器接口40和數據接口50發送給無線接入點200。
無線接入點200收到來自無線終端的密文的身份認證數據幀後,經由數據接口50和物理層控制器接口40,將該包含幀頭、循環校驗碼(CRC)和用於身份認證的密文信息的數據幀傳送給AES或WEP密碼流生成器20。AES或WEP密碼流生成器20從收到的密文的身份認證數據幀中取出用於身份認證的密文信息,然後根據預存在密鑰存儲管理單元65中的與無線終端所使用的加密密鑰相對應的解密密鑰,使用網絡協議802.11標準的解密算法對該用於身份認證的密文信息進行解密以得到用於身份認證的明文信息,最後將該用於身份認證的明文信息發送給直接內存存取控制模塊10。直接內存存取控制模塊10將收到的該用於身份認證的明文信息發送給相應處理模塊(圖1中未顯示)以判斷該用於身份認證的明文信息與先前向該無線終端發送的用於身份認證的明文信息是否一致,如果一致,表明無線終端的身份認證成功,無線終端可以接入無線區域網;如果不一致,表明無線終端身份認證失敗,無線終端不能接入無線區域網。
二、同時使用網絡協議802.11標準的加/解密算法和定製的加/解密算法在這種情況中,無線終端使用網絡協議802.11標準的加密算法對用於身份認證的明文信息進行加密後,再使用定製的加密算法進一步加密,這樣即使未經授權的無線終端知道網絡協議802.11標準的加密算法,由於不知道定製的加密算法,因此用戶終端的身份認證是不會成功,從而防止未經授權的無線終端進入無線區域網。
圖2顯示了在網絡協議802.11標準中增加定製加/解密算法的方框圖。如圖所示,在原有無線區域網中增加定製的加/解密模塊80來實現定製的加/解密算法(比如RSA算法、數據加密標準算法(DES)、數字籤名算法(DSA)、信息-摘要算法(MD5)或其它新的算法),並且把該定製的加/解密算法的密鑰保存在身份卡90中。從圖2可以看出,通過身份卡,在不更改無線區域網任何高層協議的情況下,可以很容易地把定製的加/解密算法增加到802.11標準中。
下面基於圖2所示的結構詳細描述無線區域網同時使用網絡協議802.11標準的加/解密算法和定製的加/解密算法進行身份認證的過程。
當無線終端300請求無線接入點400進行身份認證處理時,無線接入點首先向該無線終端發送用於身份認證的明文信息。
當該無線終端收到無線接入點發送的用於身份認證的明文信息後,該無線終端的直接內存存取控制模塊10獲取該用於身份認證的明文信息並把該信息發送給AES或WEP密碼流生成器20。AES或WEP密碼流生成器20得到該用於身份認證的明文信息後,使用網絡協議802.11標準的加密算法以及相應的加密密鑰對其進行加密得到用於身份認證的初步加密信息,並把該用於身份認證的初步加密信息發送給幀生成單元30。幀生成單元30把該用於身份認證的初步加密信息與相應的幀頭、循環校驗碼(CRC)合成初步加密的身份認證數據幀,然後經由物理層控制器接口40和媒體訪問控制層數據接口70發送給定製的加/解密模塊80。定製的加/解密模塊80根據從身份卡90中獲取的加密密鑰,使用定製的加密算法對接收到的該初步加密的身份認證數據幀進一步加密得到密文的身份認證數據幀,並把該密文的身份認證數據幀發送給數據接口50。最後由數據接口50把該密文的身份認證數據幀發送給無線接入點。
當無線接入點經由數據接口50接收到無線終端發送的密文的身份認證數據幀後,把該數據幀發送給定製的加/解密模塊80。定製的加/解密模塊80根據預存在密鑰存儲管理單元95中的與無線終端定製的加密算法所使用的加密密鑰相對應的解密密鑰,使用定製的解密算法對接收到的密文的身份認證數據幀進行解密得到初步解密的身份認證數據幀,並把包含幀頭、循環校驗碼(CRC)和用於身份認證的初步密文信息的該初步解密的身份認證數據幀,經由媒體訪問控制層數據接口70和物理層控制器接口40發送給AES或WEP密碼流生成器20。AES或WEP密碼流生成器20從收到的初步解密的身份認證數據幀中取出用於身份認證的初步密文信息,然後使用網絡協議802.11標準的解密算法以及相應的解密密鑰對該信息進一步解密得到用於身份認證的明文信息,並把該用於身份認證的明文信息發送給直接內存存取控制模塊10。直接內存存取控制模塊10把該用於身份認證的明文信息發送給相應的處理模塊(圖2中未顯示)以判斷該用於身份認證的明文信息與先前向該無線終端發送的用於身份認證的明文信息是否一致,如果一致,表明無線終端的身份認證成功,無線終端可以接入無線區域網;如果不一致,表明無線終端身份認證失敗,無線終端不能接入無線區域網。
有益效果綜上所述,本發明提供的用於增強無線區域網安全的方法,把密鑰存儲在身份卡中,增強密鑰的安全性,同時對即將接入無線區域網的無線終端進行強制身份認證以防止未經授權的無線終端進入網絡而導致網絡不安全。
本領域技術人員應當理解,本發明所公開的用於增強無線區域網安全的方法,可以在不脫離本發明內容的基礎上做出各種改進。因此,本發明的保護範圍應當由所附的權利要求書的內容確定。
權利要求
1.一種在無線區域網中由無線終端執行的增強網絡安全的方法,包括步驟(a)讀取存儲在身份卡中的密鑰;(b)根據讀取到的密鑰以及相應的加密算法請求無線接入點進行身份認證處理;(c)如果身份認證成功,接入無線區域網。
2.如權利要求1所述的方法,其中,步驟(b)進一步包括根據讀取到的密鑰和區域網協議中的加密算法請求無線接入點進行身份認證處理。
3.如權利要求1所述的方法,其中,步驟(b)進一步包括根據讀取到的密鑰和定製的加密算法請求無線接入點進行身份認證處理。
4.如權利要求1所述的方法,其中,步驟(b)進一步包括根據讀取到的密鑰以及區域網協議中的加密算法和定製的加密算法,請求無線接入點進行身份認證處理。
5.一種在無線區域網的無線終端,包括一個信息讀取單元,用於讀取存儲在身份卡中的密鑰;一個身份認證單元,用於根據讀取到的密鑰和相應的加密算法請求無線接入點進行身份認證處理;一個接入網絡單元,用於如果身份認證成功,接入無線區域網。
6.如權利要求5所述的無線終端,其中所述的加密算法是區域網協議中的加密算法。
7.如權利要求5所述的無線終端,其中所述的加密算法是定製的加密算法。
8.如權利要求5所述的無線終端,其中所述的加密算法是區域網協議中的加密算法和定製的加密算法。
9.一種在無線區域網中由無線接入點執行的增強網絡安全的方法,包括步驟利用與無線終端使用的身份卡中密鑰相對應的密鑰,根據與無線終端採用的加密算法相對應的解密算法,對無線終端發起的身份認證請求進行認證處理;如果身份認證成功,允許無線終端接入無線區域網。
10.如權利要求9所述的方法,其中所述的解密算法是區域網協議中的解密算法。
11.如權利要求9所述的方法,其中所述的解密算法是定製的解密算法。
12.如權利要求9所述的無線終端,其中所述的解密算法是區域網協議中的解密算法和定製的解密算法。
13.一種在無線區域網中的無線接入點,包括一個密鑰存儲管理單元,用於存儲有效密鑰;一個身份認證處理單元,用於從該密鑰存儲管理單元中讀取與無線終端使用的身份卡中密鑰相對應的密鑰,利用該對應密鑰,根據與無線終端採用的加密算法相對應的解密算法,對無線終端發起的身份認證請求進行認證處理;一個網絡接入單元,用於當身份認證成功時,允許無線終端接入無線區域網。
14.一種在無線區域網中用於增強網絡安全的方法,包括步驟獲取用於一個無線終端的存有密鑰的身份卡;向一個無線接入點發送接入一個無線區域網的請求;利用該身份卡中的密鑰及用於身份認證的信息,按照該無線終端中的加密算法及該無線接入點中對應的解密算法,進行身份認證;和在身份認證成功後,經由該無線接入點訪問該無線區域網中的資源。
全文摘要
一種在無線區域網中由無線終端執行的增強網絡安全的方法,包括步驟讀取存儲在身份卡中的密鑰;根據讀取到的密鑰以及相應的加密算法請求無線接入點進行身份認證處理;如果身份認證成功,接入無線區域網,該加密算法可以採用網絡協議中的算法,也可以採用定製的加密解密算法,利用該方法,可以對即將接入無線區域網的無線終端進行強制身份認證以防止未經授權的無線終端進入網絡而導致網絡不安全。
文檔編號H04L29/06GK1599338SQ0312491
公開日2005年3月23日 申請日期2003年9月19日 優先權日2003年9月19日
發明者李荔, 吳克毅, 李維, 郭浩廣, 羅志宏 申請人:皇家飛利浦電子股份有限公司