專利名稱:無線網絡系統中的數據安全的制作方法
技術領域:
本發明涉及無線網絡系統中的數據安全,更具體地,涉及一種針對無線網絡系統中數據安全的設備和方法,通過利用在無線網絡系統中的每一個設置狀態處修改的初始化向量(IV)來加密要發送的數據幀,包括其媒體訪問控制(MAC)報頭和有效載荷,來保護數據。
背景技術:
通常,例如個人計算機(PC)、個人數字助理(PDA)、筆記本計算機等的站與局域網(LAN)相連,并且互相共享各種類型的數據或信息。
LAN系統根據是否允許站移動而被劃分為有線LAN系統和無線LAN(WLAN)系統。
有線LAN系統在其固定位置經由電纜互相連接并且共享信息和資源。電纜的使用對于用戶移動是不便的,并且在移動有線LAN系統中需要技術敷設電纜任務。此外,有線LAN系統的維護消耗很多時間,延緩了任務。
在WLAN系統中,經由無線介質使用射頻或光來執行站之間的通信。隨著新的先進因特網服務和無線通信技術的出現,開發出WLAN系統。WLAN系統的使用急劇增加,因為其能夠建立在建筑物之間和難以建立有線網絡的大規模辦公區或物理分布中心,并且提供便利的維護。
WLAN系統由接入點(AP)和站組成。AP發送射頻,使在其覆蓋區域內的WLAN用戶能夠使用因特網連接和網絡,并且作為蜂窩電話的基站或有線網絡的集線器。對于因特網服務提供商(ISP)提供的高速無線因特網服務,AP位于服務區域內。
需要站具有WLAN卡來執行無線網絡通信。站可以是個人計算機(包括筆記本計算機的PC)和PDA。
近來,廣泛使用的WLAN標準是IEEE 802.11,遵守“Standard forInformation Technology-Telecommunications and informationexchange between systems-Local and metropolitan areanetworks-Specific requirements-Parts?Wireless LAN MediumAccess Control(MAC)and Physical Layer(PHY)Specifications”1999年版本。
在IEEE 802.11標準中,網絡的基本組成塊是基本服務集合(BSS)。IEEE 802.11網絡包括獨立BSS,其中BSS中的站執行基礎建設BSS之間的直接通信,在基礎結構BSS,BSS中的站與在BSS之內或之外的站經由AP進行通信;以及擴展服務電機,通過BSS和BSS之間的連接擴展服務區域。
因為其使用射頻進行通信的特征,WLAN系統具有與安全相關的多個缺點。
首先,未授權的用戶可以容易地訪問網絡資源。物理接近網絡對于訪問有線LAN系統以及使用網絡資源是必需的。例如,為了使用LAN系統,必須進入建立了有線LAN系統的辦公區或建筑物,從而使未授權用戶難以使用網絡資源。然而,在WLAN系統中,訪問網絡資源只需要從用戶站發射的射頻到達AP。射頻穿透墻壁、天花板和底部,并因此實際上允許未授權用戶使用網絡資源而不被發現。因此,這將認證機制引入到WLAN系統,從而只有授權用戶才能使用網絡資源。
在有線LAN系統環境中,因為在確定的介質上傳送數據,未授權用戶幾乎不可能發現從發送站發送到接收站的數據。在WLAN系統環境中,在射頻上傳送數據,因此存在數據被暴露給處于射頻到達位置的未授權用戶的風險。因此,在WLAN系統環境中需要加密數據的機制,以便不暴露給未授權用戶。
為了給WLAN系統提供安全性,支持訪問控制和數據秘密性。通過用戶認證,按照下面的方法執行訪問控制一種方法,其中當訪問請求時,授權用戶和AP具有用于認證的相同共享密鑰;一種方法,其中安裝在授權用戶站上的WLAN卡的MAC地址被直接輸入到AP;以及IEEE 802.11x認證方法,其中用戶使用他或她的認證信息相對于認證服務器執行認證過程。
使用其中使用的密鑰長度是40或104比特的有線對等加密算法,來支持數據的秘密性。
此外,IEEE 802.11i標準規定了基于IEEE 802.1x/1aa的訪問控制、安全會話管理、動態密鑰交換和管理,以及在無線部分中用于提供數據保護的新的對稱密鑰加密算法,以便解決與無線部分中安全相關的IEEE 802.11WLAN系統的缺點。換句話說,IEEE 802.11x/1aa標準規定了用戶認證和密鑰交換的框架,而I EEE 802.11i標準規定了使用IEEE 802.1x/1aa作為用戶認證和密鑰交換的主要框架。此外,IEEE 802.11i定義了作為密鑰交換方案的4路握手方案、交換密鑰的層次以及新無線部分的密碼組。
在安全算法中,密鑰被用于加密/解密數據。如IEEE 802.1x標準所規定,使用預共享密鑰(PSK)方案并且通過認證服務器來告知用于數據加密/解密的密鑰。
存在被告知站和AP的兩種類型密鑰對偶(pair-wise)密鑰,用于區分站和AP;以及群組(group)密鑰,在AP以及位于AP服務區域內的站之間被廣播從而共享。
這樣告知的密鑰或密鑰和IV的組合被用于在站和AP之間或在站和站之間加密或解密數據。IV的使用允許動態數據加密。
只在作為數據發送單元的幀的有效載荷上而不在包含關于站和網絡的信息的MAC報頭部分上,利用在站和AP之間和在站和站之間共享的密鑰或者利用共享密鑰和IV的組合,執行加密。換句話說,不對包含在用于發送數據的幀的MAC報頭部分中的IV進行加密,而是以明文的形式發送。這將包含在IV中的任意信息暴露給AP服務區域內的站,增加了信息攻擊的風險。
為了解決上述問題,甚至嘗試在數據鏈路層之下進行加密。換句話說,通過甚至加密幀的MAC報頭,來努力增加幀的不可視性。這被稱為物理層加密。然而,物理層加密只使用固定的密鑰序列而不是IV。如果位于AP服務器區域內的任意站知道固定密鑰序列,發送的幀易于遭受攻擊,降低了安全的有效性。
發明內容
因此,本發明的目的是提供一種針對無線網絡系統中的數據安全的設備和方法,其能夠在應用物理層加密的同時在每一個設置狀態處通過修改初始化向量(VI)值執行動態加密,從而保護數據不遭受攻擊。
根據本發明的一個方案,提供一種針對無線網絡系統中的數據安全的設備,該設備包括修改器,用于根據加密/解密密鑰信息的修改狀態信息,來修改用于加密要發送到無線網絡的幀的加密/解密密鑰信息;加密器,用于當隨后接收到發送幀的請求時,根據預定加密算法利用修改的加密/解密密鑰信息來加密幀;以及發送器,用于將加密的幀發送到無線網絡。
優選地,修改狀態信息包括關于規定時間的信息或關于已經產生要發送到無線網絡的幀的次數的信息。
優選地,加密/解密密鑰信息包括以下之一關于設置在一個單元和至少一個另一個單元之間共享以保護要發送到無線網絡的幀的群組密鑰的信息;關于設置在每一個單元和所述至少一個另一個單元中的對偶密鑰的信息;關于單元使用隨機數產生函數產生的初始化向量的信息和群組密鑰信息的組合的信息;以及關于初始化向量信息以及設置在每一個單元和所述至少一個另一個單元中的對偶密鑰信息的組合的信息。
優選地,響應加密/解密密鑰信息的修改狀態信息指示修改,修改器用于修改初始化向量信息。
優選地,設備還包括存儲單元,用于存儲加密/解密密鑰信息、初始化向量信息和加密/解密密鑰的修改狀態信息之一。
優選地,初始化向量信息包括以下之一當第一幀被發送到無線網絡時產生的初始化向量信息;以及當加密/解密密鑰的修改狀態信息指示修改時修改的初始化向量信息。
優選地,設備還包括初始化向量產生器,用于產生由隨機數產生函數產生的初始化向量,并且當第一幀被發送到無線網絡時將其轉換為第一幀;以及加密器,用于根據加密算法利用加密/解密密鑰信息來加密幀;以及初始化向量產生器,用于產生當加密/解密密鑰的修改狀態信息指示修改時修改的初始化向量,并且用于將其轉換為幀;以及加密器,用于利用無修改初始化向量信息和加密/解密信息根據加密算法來加密幀。
優選地,加密算法包括優選對等加密(WEP)算法或計數器模式及密碼區塊鏈信息認證碼(CBC MAC)協議(CCMP)算法。
優選地,設備還包括解密器,用于利用加密/解密密鑰信息解密來自無線網絡的接收幀,確定在解密幀中是否包含初始化向量信息,并且將包含在解密幀中的初始化向量信息存儲到存儲單元中。
優選地,在將初始化向量信息存儲到存儲單元中之后,解密器用于利用加密/解密密鑰信息和存儲單元中存儲的初始化向量信息解密來自無線網絡的接收幀,確定在解密幀中是否包含與存儲單元中存儲的初始化向量信息不同的初始化向量信息,并將包含在解密幀中的不同初始化向量信息存儲到存儲單元中。
優選地,在將不同初始化向量信息存儲到存儲單元之后,解密器用于利用加密/解密密鑰信息和不同初始化向量信息解密來自無線網絡的接收幀。
根據本發明的另一個方案,提供一種針對無線網絡系統中的數據安全的設備,該設備包括修改器,用于根據加密/解密密鑰信息的修改狀態信息,修改用于加密要發送到無線網絡的幀的加密/解密密鑰信息;加密器,用于當隨后接收到發送幀的請求時,利用修改的加密/解密密鑰信息、根據預定加密算法選擇性地加密幀的媒體訪問控制(MAC)報頭部分和有效載荷部分;以及發送器,用于將加密的幀發送到無線網絡。
優選地,修改狀態信息包括關于規定時間的信息或關于已經產生要發送到無線網絡的幀的次數的信息。
優選地,加密/解密密鑰信息包括以下之一關于設置在一個單元和至少一個另一個單元之間共享以保護要發送到無線網絡的幀的群組密鑰的信息;關于設置在每一個單元和所述至少一個另一個單元中的對偶密鑰的信息;關于單元使用隨機數產生函數產生的初始化向量的信息和群組密鑰信息的組合的信息;以及關于初始化向量信息和設置在每一個單元和所述至少一個另一個單元中的對偶密鑰信息的組合的信息。
優選地,響應加密/解密密鑰信息的修改狀態信息指示修改,修改器用于修改初始化向量信息。
優選地,設備還包括初始化向量產生器,用于產生由隨機數產生函數產生的初始化向量,并且當第一幀被發送到無線網絡時將所述初始化向量轉換為第一幀;以及加密器,用于根據加密算法、利用加密/解密密鑰信息來選擇性地加密第一幀的MAC報頭部分和有效載荷部分;以及初始化向量產生器,用于產生當加密/解密密鑰的修改狀態信息指示修改時修改的初始化向量,并且用于將其轉換為幀;以及加密器,用于利用無修改初始化向量信息和加密/解密信息、根據加密算法來選擇性地加密幀的MAC報頭部分和有效載荷部分。
優選地,設備還包括解密器,用于利用加密/解密密鑰信息選擇性地解密來自無線網絡的接收幀的MAC報頭部分和有效載荷部分,確定在解密幀中是否包含初始化向量信息,并將包含在解密幀中的初始化向量信息存儲到存儲單元中。
優選地,解密器用于利用加密/解密密鑰信息和存儲單元中存儲的初始化向量信息,選擇性地解密來自無線網絡的接收幀的MAC報頭部分和有效載荷部分,確定在解密幀中是否包含與存儲單元中存儲的初始化向量信息不同的初始化向量信息,并將包含在解密幀中的不同初始化向量信息存儲到存儲單元中。
優選地,在將不同初始化向量信息存儲到存儲單元之后,解密器用于利用加密/解密密鑰信息和不同初始化向量信息,選擇性地解密來自無線網絡的接收幀的MAC報頭部分和有效載荷部分。
根據本發明的又一個方案,提供一種在無線網絡系統的單元中的數據安全方法,該方法包括根據加密/解密密鑰信息的修改狀態信息,修改加密/解密密鑰信息,來加密要發送到無線網絡的幀;以及當隨后接收到發送幀的請求時,利用修改的加密/解密密鑰信息、根據預定加密算法來加密幀,并將加密的幀發送到無線網絡。
優選地,修改狀態信息包括關于規定時間的信息或關于已經產生要發送到無線網絡的幀的次數的信息。
優選地,加密/解密密鑰信息包括以下之一關于設置在一個單元和至少一個另一個單元之間共享以保護要發送到無線網絡的幀的群組密鑰的信息;關于設置在每一個單元和所述至少一個另一個單元中的對偶密鑰的信息;關于單元使用隨機數產生函數產生的初始化向量的信息和群組密鑰信息的組合的信息;以及關于初始化向量信息以及設置在每一個單元和所述至少一個另一個單元中的對偶密鑰信息的組合的信息。
優選地,響應加密/解密密鑰信息的修改狀態信息指示修改,修改初始化向量信息。
優選地,加密幀包括當第一幀被發送到無線網絡時,在第一幀中包括由隨機數產生函數產生的初始化向量,并且利用加密/解密密鑰信息、根據加密算法來加密幀;以及在幀中包括當加密/解密密鑰的修改狀態信息指示修改時修改的初始化向量,并且利用無修改初始化向量信息和加密/解密密鑰信息、根據加密算法來加密幀。
優選地,加密算法包括優選對等加密(WEP)算法或計數器模式CBC MAC協議(CCMP)算法。
優選地,方法還包括利用加密/解密密鑰信息解密來自無線網絡的接收幀,確定在解密幀中是否包含初始化向量信息,并且將包含在解密幀中的初始化向量信息存儲到數據庫中。
優選地,方法還包括在將初始化向量信息存儲到數據庫中之后,利用加密/解密密鑰信息和數據庫中存儲的初始化向量信息解密來自無線網絡的接收幀;確定在解密幀中是否包含與存儲單元中存儲的初始化向量信息不同的初始化向量信息,并將包含在解密幀中的不同初始化向量信息存儲到數據庫中。
優選地,方法還包括在將不同初始化向量信息存儲到數據庫之后,利用加密/解密密鑰信息和不同初始化向量信息解密來自無線網絡的接收幀。
根據本發明的還一個方案,提供一種在無線網絡系統的單元中的數據安全方法,該方法包括根據加密/解密密鑰信息的修改狀態信息,修改用于加密要發送到無線網絡的幀的加密/解密密鑰信息;當隨后接收到發送幀的請求時,利用修改的加密/解密密鑰信息、根據預定加密算法選擇性地加密幀的媒體訪問控制(MAC)報頭部分和有效載荷部分,并將加密的幀發送到無線網絡。
優選地,修改狀態信息包括關于規定時間的信息或關于已經產生要發送到無線網絡的幀的次數的信息。
優選地,加密/解密密鑰信息包括以下之一關于設置在一個單元和至少一個另一個單元之間共享以保護要發送到無線網絡的幀的群組密鑰的信息;關于設置在每一個單元和所述至少一個另一個單元中的對偶密鑰的信息;關于單元使用隨機數產生函數產生的初始化向量的信息和群組密鑰信息的組合的信息;以及關于初始化向量信息以及設置在每一個單元和所述至少一個另一個單元中的對偶密鑰信息的組合的信息。
優選地,響應加密/解密密鑰信息的修改狀態信息指示修改,修改初始化向量信息。
優選地,加密幀包括當第一幀被發送到無線網絡時,在第一幀中包括隨機數產生函數產生的初始化向量,并利用加密/解密密鑰信息、根據加密算法選擇性地加密幀的媒體訪問控制(MAC)報頭部分和有效載荷部分;以及在幀中包括當加密/解密密鑰的修改狀態信息指示修改時修改的初始化向量,并利用無修改初始化向量信息和加密/解密密鑰信息、根據加密算法、選擇性地加密幀的MAC報頭部分和有效載荷部分。
優選地,方法還包括利用加密/解密密鑰信息選擇性地解密來自無線網絡的接收幀的MAC報頭部分和有效載荷部分,確定在解密幀中是否包含初始化向量信息,并將包含在解密幀中的初始化向量信息存儲到數據庫中。
優選地,方法還包括在將初始化向量信息存儲到數據庫中之后,利用加密/解密密鑰信息和在數據庫中存儲的初始化向量信息,選擇性地解密來自無線網絡的接收幀的MAC報頭部分和有效載荷部分;以及確定在解密幀中是否包含與數據庫中存儲的初始化向量信息不同的初始化向量信息,并且將包含在解密幀中的不同初始化向量信息存儲到數據庫中。
優選地,方法還包括在將不同初始化向量信息存儲到數據庫之后,利用加密/解密密鑰信息和不同初始化向量信息,選擇性地解密來自無線網絡的接收幀的MAC報頭部分和有效載荷部分。
結合附圖,通過參考下面詳細的說明,可以更好地理解本發明,并且顯而易見其伴隨的多個優點,附圖中類似的參考符號表示相同或類似的組件,其中圖1是根據本發明的無線網絡系統的實施例的方框圖;圖2是根據本發明實施例的無線網絡系統的數據安全方法的視圖;以及圖3是根據本發明實施例產生的幀的視圖。
具體實施例方式
下文中,結合附圖詳細說明一種根據本發明在無線網絡系統中的數據安全的設備和方法。
圖1是根據本發明的無線網絡系統的實施例的方框圖。
如圖1所示,根據本發明的無線網絡系統是一種WLAN系統,包括一個或多個無線站100和110以及AP150。即,無線站100和110位于組成WLAN系統的AP150的服務區域內。AP150可以與有線網絡相連,來與外部網絡執行通信。
因為無線站100和110具有相同的配置,只結合無線站100的配置進行說明。假設無線站100、無線站110和AP150具有相同的數據加密/解密的設置密鑰。如IEEE 802.11x中所規定,由基于PSK的方案并通過基于認證服務器的設置方法,可以告知數據加密/解密密鑰。數據加密/解密密鑰包括對偶密鑰,用于區分站和AP;以及群組密鑰,在AP以及位于AP服務區域內的無線站之間被廣播從而共享。換句話說,無線站100、無線站110和AP150具有其自身唯一的對偶密鑰和在其之間共享的群組密鑰,設置用于數據加密/解密。假設在無線站100、無線站110和AP150的每一個的控制器中設置密鑰。
AP150的服務區域內的數據發送可以從AP150到各個無線站100和110、從無線站100到無線站110和AP150、或者從無線站110到無線站100和AP150。
下文中,利用AP150的服務區域內的數據發送是從無線站110到AP150的情況中的范例,來說明本發明。
當設置了數據加密/解密密鑰時,無線站100的控制器102通過隨機數產生函數產生IV并將IV存儲到存儲單元102a中。
當接收到發送數據到AP150的請求時,控制器102將數據轉換為有效載荷并將存儲在存儲單元102a中的IV轉換為MAC報頭,來產生幀。控制器102將產生的幀提供給加密/解密處理器104。MAC報頭包括在無線站100中設置的IV,作為無線站100的物理地址的發送MAC地址、以及作為AP150的物理地址的接收MAC地址。當設置了加密/解密密鑰時,在無線站100和110以及AP150中設置每一個唯一IV,并產生分別包括與唯一IV相對應的對偶密鑰信息和與MAC地址相對應的對偶密鑰信息的第一和第二表。在無線站100、無線站110和AP150之間共享這些表。
加密/解密處理器104根據預定加密算法,利用設置密鑰來加密來自控制器102的整個接收幀。利用設置密鑰加密整個幀的加密算法可以是WEP算法或計數器模式CBC MAC協議(CCMP)算法。
下面詳細說明由加密/解密處理器104根據預定加密算法利用設置密鑰執行的整個幀的加密。設置密鑰可以是群組密鑰和/或對偶密鑰。
幀加密包括只利用群組密鑰的加密以及利用群組密鑰和對偶密鑰的加密。
首先,在只利用群組密鑰的加密中,加密/解密處理器104根據預定加密算法、利用設置的群組密鑰來加密整個幀(包括MAC報頭和有效載荷)。
接下來,在利用群組密鑰和對偶密鑰的加密中,加密/解密處理器104利用群組密鑰來加密幀中的MAC報頭部分,并利用對偶密鑰來加密幀中的有效載荷部分,加密對偶密鑰是告知給無線站100的密鑰。
然后,控制器102經由發送器106將加密的幀從加密/解密處理器104發送到AP150。
AP150中的控制器154將發送器152接收到的幀以及設置的加密/解密密鑰提供給加密/解密處理器156。
加密/解密處理器156利用設置的加密/解密密鑰,來解密來自無線站100的接收幀。
更具體地,加密/解密處理器156利用群組密鑰解密來自無線站100的整個接收加密幀。當解密了整個加密幀時,則加密/解密處理器156將解密幀提供給控制器154。控制器154將包含在解密幀中的IV存儲到存儲單元154a中,并處理包含在幀有效載荷中的數據。
當沒有利用設置的群組密鑰解密整個加密幀時,加密/解密處理器156利用群組密鑰解密幀的MAC報頭部分,以便獲得包含在MAC報頭中的MAC地址和IV。相反地,如果在加密幀的報頭中包含IV和告知無線站100的唯一IV,加密/解密處理器156利用群組密鑰來解密幀的MAC報頭部分,以便獲得IV和包含在MAC報頭中的在無線站100中設置的唯一IV。加密/解密處理器156將通過解密幀MAC報頭而獲得的MAC地址和IV或者IV和無線站100的唯一IV提供給控制器154。
控制器154將來自加密/解密處理器156的接收IV存儲到存儲單元154a中,從存儲在存儲單元152a中的第一或第二表中讀出與無線站100的唯一IV或MAC地址相對應的對偶密鑰信息,隨后,將其提供給加密/解密處理器156。MAC地址可以是無線站100的MAC地址或者AP150的MAC地址。優選地,MAC地址是發送MAC地址,即,無線站100的MAC地址。
因此,控制器154從存儲單元154a中讀出與無線站100的唯一相對應的對偶密鑰或與無線站100的MAC地址相對應的對偶密鑰,并將其提供給加密/解密處理器156。
加密/解密處理器156利用來自控制器154的對偶密鑰,解密來自無線站100的接收幀的有效載荷,并將解密的有效載荷提供給控制器154。
控制器154處理與來自加密/解密處理器156的接收解密有效載荷相對應的數據。
如上所述,當數據發送是從無線站100到AP150時,無線站100只利用初始設置的群組密鑰或利用群組密鑰和對偶密鑰,來加密幀,并將加密幀發送到AP150,并且AP150只利用初始設置的群組密鑰或利用群組密鑰和對偶密鑰,來解密來自無線站100的加密幀。
然而,當在加密/解密中繼續使用初始設置的密鑰時,存在暴露他們的風險,需要修改加密/解密密鑰。因此,因為已經利用在幀加密/加密之前產生的IV(即無修改IV)和加密/加密密鑰、根據預定加密/解密算法執行了幀加密/解密,當加密/解密時應該修改IV以避免暴露。
為此,允許用戶設置用于修改加密/解密密鑰的密鑰修改周期。當設置加密/解密密鑰時可以執行設置密鑰修改周期。將這樣設置的密鑰修改周期存儲到無線站100和110以及AP的各個存儲單元中。可以相對應IV修改周期來設置密鑰修改周期。按照要發送幀的時間或次數,設置IV修改周期,然而要注意,根據本發明的情況允許不同地設置IV修改周期。
下面更詳細地說明當密鑰修改周期到達時的無線站100和AP150之間的幀的加密/解密。
無線站100的控制器102確定是否到達密鑰修改周期。當到達密鑰修改周期時,控制器102使用隨機數產生函數產生新的IV(即修改的IV)并將新的IV存儲到存儲單元102a中。
當接收到發送數據到AP150的請求時,控制器102將數據轉換為有效載荷并將存儲在存儲單元102a中的IV轉換為MAC報頭,來產生幀,并將產生的幀提供給加密/解密處理器104。MAC報頭包括無線站的IV、作為無線站的物理地址的發送MAC地址、以及作為AP的物理地址的接收MAC地址。
加密/解密處理器104利用設置的密鑰和無修改IV,根據預定加密算法來解密來自控制器的整個接收幀。利用預定密鑰和無修改IV加密整個幀的加密算法可以是WEP算法或CCMP算法。
下面更詳細地說明由加密/解密處理器104利用設置的密鑰和無修改IV根據預定加密算法執行的整個幀的加密。設置的密鑰可以是群組密鑰和/或對偶密鑰。
幀加密包括只利用群組密鑰和無修改IV的加密,以及利用群組密鑰、對偶密鑰和無修改IV的加密。
首先,在只利用群組密鑰和無修改IV的加密中,加密/解密處理器104利用設置的群組密鑰和無修改IV根據預定的加密算法加密整個幀(包括MAC報頭和有效載荷)。
接下來,在利用群組密鑰、對偶密鑰和無修改IV的加密中,加密/解密處理器104使用下面的方法執行幀加密。
首先,可以利用群組密鑰和無修改IV加密幀的MAC報頭部分,并且利用對偶密鑰和無修改IV加密幀的有效載荷部分。其次,可以利用群組密鑰和無修改IV加密幀的MAC報頭部分,只利用對偶密鑰加密幀的有效載荷部分。第三,可以只利用群組密鑰加密幀的MAC報頭部分,并且利用對偶密鑰和無修改IV加密幀的有效載荷部分。下文中,假設按照第二種方法執行加密/解密處理器104中的幀加密。
然后,控制器102經由發送器106將加密的幀從加密/解密處理器104發送到AP150。
AP150中的控制器154將發送器152接收到的幀和設置的加密/解密密鑰以及無修改IV提供給加密/解密處理器156。
加密/解密處理器156利用加密/解密密鑰和無修改IV解密來自無線站100的接收幀。
更具體地,加密/解密處理器156利用群組密鑰和無修改IV解密來自無線站100的接收加密幀。如果解密了整個加密幀,加密/解密處理器156將解密的幀提供給控制器154。控制器154將包含在解密幀中的修改IV存儲到存儲單元154a中,并處理包含在幀有效載荷中的數據。
當沒有利用設置的群組密鑰和無修改IV解密整個加密幀時,加密/解密處理器156利用群組密鑰和無修改IV加密幀的MAC報頭部分,來獲得MAC地址、修改的IV和包含在MAC報頭中的無線終端100的唯一IV。加密/解密處理器156將通過解密幀MAC報頭而獲得的MAC地址、修改IV和無線終端100的唯一IV提供給控制器154。
控制器154將來自加密/解密處理器156的接收修改IV存儲到存儲單元154a中,從存儲單元152a中讀出與無線站100的唯一IV或MAC地址相對應的對偶密鑰信息,并隨后,將其提供給加密/解密處理器156。MAC地址可以是無線站100的MAC地址或AP150的MAC地址。優選地,MAC地址是發送MAC地址,即無線站100的MAC地址。
因此,控制器154從存儲單元154a中讀出與無線站100的唯一IV相對應的對偶密鑰或與AP150的MAC地址相對應的對偶密鑰,并將其提供給加密/解密處理器156。
加密/解密處理器156利用來自控制器154的對偶密鑰,解密來自無線站100的接收幀的有效載荷,并將解密的幀提供給控制器154。
控制器154處理與來自加密/解密處理器156的接收解密的有效載荷相對應的數據。
上述的加密/解密與幀的MAC報頭和有效載荷相關。加密幀或非加密幀(即在數據鏈路層產生的幀)在無線發送之前在物理層上經歷規程會聚。為此,物理層會聚規程(PLCP)幀被添加到在數據鏈路層產生的幀中。PLCP是MAC和物理媒體相關(PMD)之間的接口,MAC控制訪問在多個無線站之間共享的介質,PMD負責調制、在多個無線站之間的數據發送和接收,包括MODEM和RF階段。
PLCP幀配置具有PLCP前同步碼和PLCP報頭。PLCP前同步碼被用于發送側和接收側的同步并且觸發共同的時序。即,當訓練序列匹配時允許發送側和接收側互相進行通信。
PLCP報頭后面緊接PLCP前同步碼,并且在緊接PLCP幀之后包括幀(MAC幀)的長度信息、關于幀(MAC幀)的轉換速度的信息以及用于避免PLCP報頭錯誤的幀檢查序列。
包含在PLCP前同步碼中的訓練序列是固定的。可以通過改變訓練序列來保護無線發送的數據。
圖2是根據本發明實施例的無線網絡系統的數據安全方法的視圖。
假設無線站是發送側以及AP是接收側。
設置加密/解密信息來為在無線站和AP之間無線發送的數據提供安全(S200)。
加密/解密信息包括密鑰信息,用于數據加密/解密;表,包括在無線站和AP中設置的、與無線站和AP的各個MAC地址相對應的對偶密鑰;以及表,包括在無線站和AP中設置的、與在無線站和AP的每一個中設置的唯一初始化向量(VI)相對應的對偶密鑰。用于數據加密/解密的密鑰包括在無線站和AP之間共享的群組密鑰以及在無線站和AP的每一個中設置的對偶密鑰。如IEEE 802.11x所規定,按照基于PSK方案和基于認證服務器的設置方案,告知該密鑰。
當接收到發送數據的請求時(S202),無線站將數據轉換為有效載荷,并且將無線站的MAC地址、AP的MAC地址、在無線站或AP中設置的唯一IV設置以及通過隨機數產生函數產生的IV包含在MAC報頭中,來產生幀。然后無線站利用設置的密鑰加密產生幀S202(S204)。這在圖3的(i)中示出了。
可以利用群組密鑰和IV完成幀加密,并且可以利用群組密鑰、對偶密鑰和IV完成加密。
首先,可以利用群組密鑰和IV、根據預定加密算法來加密整個幀(包括MAC報頭和有效載荷)。
說明利用群組密鑰、對偶密鑰和IV執行加密的情況。
首先,可以利用群組密鑰和IV加密MAC報頭部分,并利用對偶密鑰和IV加密幀的有效載荷部分。
其次,可以利用群組密鑰和IV加密MAC報頭部分,并且只利用對偶密鑰加密幀的有效載荷部分。
第三,可以只利用群組密鑰加密MAC報頭部分,并且利用對偶密鑰和IV加密幀的有效載荷部分。下文中,假設幀加密使用第二種方法。
無線站將加密的幀發送到AP(S206),并且AP利用設置的群組密鑰解密加密的幀(S208)。這與圖3(i)中所示相對應。
首先,AP利用群組密鑰解密接收的解密的幀。在解密加密幀之后,AP將包含在解密幀中的IV存儲到數據庫中,并處理包含在幀的有效載荷中的數據。另一方面,當沒有利用設置的群組密鑰解密整個加密幀時,AP利用群組密鑰解密幀的MAC報頭部分來獲得MAC地址、IV和無線站的唯一IV。
AP將獲得的IV存儲到自身的數據庫中,并從包括與已經存儲在數據庫中的唯一IV相對應的對偶密鑰信息的格中或者包括與MAC地址相對應的對偶密鑰信息的格中,讀出與無線站的唯一IV相對應的對偶密鑰或與無線站的MAC地址相對應的對偶密鑰。AP利用讀出的對偶密鑰解密來自無線站的接收幀的有效載荷,并處理與解密的有效載荷相對應的數據(S210)。
然后無線站確定是否到達修改設置加密密鑰的修改周期(S212),并當到達修改周期時,根據設置的加密修改信息來修改設置的加密密鑰(S124)。當設置加密/解密信息時執行設置密鑰修改周期,并且可以按照時間或多個發送幀來設置密鑰修改周期。當到達密鑰修改周期時,加密修改信息被用于通過隨機數產生函數產生新的IV(即修改IV),并通過組合無修改IV和設置的密鑰來執行數據加密。
換句話說,在S214中,當發生密鑰修改周期時,根據設置的加密修改信息,設置的加密密鑰被修改為無修改IV和設置密鑰的組合。通過隨機數產生函數產生新的IV(修改IV),并存儲到無線站的數據庫中。
當無線站接收發送數據到AP的請求時(S216),無線站將數據轉換為有效載荷,并將修改的IV、MAC地址和無線站的唯一IV轉換為MAC報頭,來產生幀。無線站利用無修改IV和設置的密鑰、根據預定加密算法來加密幀(S218)。這在圖3的(ii)中示出。MAC報頭包括無線站的唯一IV、是無線站的物理地址的發送MAC地址、是AP的物理地址的接收MAC地址。利用設置的密鑰和無修改IV來加密幀的加密算法可以是WEP算法或CCMP算法。
下面更詳細地說明根據預定加密算法、利用設置的密鑰和無修改IV的幀加密。設置的密鑰可以是群組密鑰和對偶密鑰,或者是對偶密鑰。
幀加密包括只利用群組密鑰和無修改IV的加密,以及利用群組密鑰、對偶密鑰和無修改IV的加密。
首先,在只利用群組密鑰和無修改IV的加密中,加密/解密處理器104利用設置的群組密鑰和無修改IV、根據預定加密算法來加密整個幀(包括MAC報頭和有效載荷)。
接下來,在利用群組密鑰、對偶密鑰和無修改IV的加密中,加密/解密處理器104使用下面的方法執行幀加密。
首先,可以利用群組密鑰和無修改IV加密幀的MAC報頭部分,并且利用對偶密鑰和無修改IV加密幀的有效載荷部分。其次,可以利用群組密鑰和無修改IV加密幀的MAC報頭部分,并且只利用對偶密鑰加密幀的有效載荷。第三,可以只利用群組密鑰加密幀的MAC報頭部分,并且利用對偶密鑰和無修改IV加密幀的有效載荷。下文中,假設按照第二種方法執行無線站中的幀加密。
然后,無線站將加密的幀發送到AP(S220)。
AP利用設置的加密/解密密鑰和存儲在數據庫中的無修改IV來解密來自無線站的接收幀。
具體地,AP利用群組密鑰和無修改IV來解密來自無線站的接收幀(S222)。當解密了整個加密幀時,AP將包含在解密幀中的修改IV存儲到數據庫中,并處理包含在幀的有效載荷中的數據。
另一方面,當沒有利用設置的群組密鑰和修改的IV解密整個加密幀時,AP利用群組密鑰和修改的IV來解密幀的MAC報頭部分,從而獲得MAC地址和包含在MAC報頭中的修改IV以及無線站的唯一IV。
AP將修改IV存儲到數據庫中,并從數據庫中讀出與MAC地址相對應的對偶密鑰信息或與無線站的唯一IV相對應的對偶密鑰信息。MAC地址可以是無線站的MAC地址或者AP的MAC地址。優選地,MAC地址是發送MAC地址,即,無線站的MAC地址。
AP利用從數據庫讀出的、與AP的MAC地址相對應的對偶密鑰或與無線站的唯一IV相對應的對偶密鑰,來解密來自無線站的接收幀的有效載荷,并處理與解密有效載荷相對應的數據(S224)。
盡管結合無線站作為發送側以及AP作為接收側說明本發明的配置和操作,本發明可以應用于AP是發送側以及無線站是接受側的情況。應該注意,發送和接收側不局限于無線站和AP。
此外,盡管關于WLAN作為無線網絡說明了本發明,根據本發明的無線網絡不局限于WLAN。
如上所述,利用根據本發明的無線網絡系統中的數據安全的設備和方法,利用在無線網絡系統中在每一個設置狀態處修改的初始化向量來加密幀,包括其MAC報頭和有效載荷,使無線發送的數據避免被暴露給未授權用戶。
盡管結合其典型實施例說明了本發明,本領域的技術人員可以理解,可以在形式和細節上做出各種修改,而不脫離下面的權利要求所定義的本發明范圍。
本領域的技術人員理解,盡管在上述說明中沒有特別指出,上述設備所引用的單元,例如修改器、加密器、初始化向量產生器等,可以被包含在上述加密/解密處理器和控制器中。
權利要求
1.一種針對無線網絡系統中的數據安全的設備,包括修改器,用于根據加密/解密密鑰信息的修改狀態信息,來修改用于加密要發送到無線網絡的幀的加密/解密密鑰信息;加密器,用于當隨后接收到發送幀的請求時,根據預定加密算法,利用修改的加密/解密密鑰信息來加密幀;以及發送器,用于將加密的幀發送到無線網絡。
2.根據權利要求1所述的設備,其中,修改狀態信息包括關于規定時間的信息,或關于已經產生要發送到無線網絡的幀的次數的信息。
3.根據權利要求1所述的設備,其中,加密/解密密鑰信息包括以下之一關于設置在一個單元和至少一個另一個單元之間共享以保護要發送到無線網絡的幀的群組密鑰的信息;關于設置在每一個單元和所述至少一個另一個單元中的對偶密鑰的信息;關于單元使用隨機數產生函數產生的初始化向量的信息和群組密鑰信息的組合的信息;以及關于初始化向量信息以及設置在每一個單元和所述至少一個另一個單元中的對偶密鑰信息的組合的信息。
4.根據權利要求3所述的設備,其中,響應加密/解密密鑰信息的修改狀態信息指示修改,修改器用于修改初始化向量信息。
5.根據權利要求1所述的設備,還包括存儲單元,用于存儲加密/解密密鑰信息、初始化向量信息和加密/解密密鑰的修改狀態信息之一。
6.根據權利要求5所述的設備,其中,初始化向量信息包括以下之一當第一幀被發送到無線網絡時產生的初始化向量信息;以及當加密/解密密鑰的修改狀態信息指示修改時修改的初始化向量信息。
7.根據權利要求1所述的設備,還包括初始化向量產生器,用于產生由隨機數產生函數產生的初始化向量,并且當第一幀被發送到無線網絡時,將所述初始化向量轉換為第一幀;以及加密器,用于根據加密算法利用加密/解密密鑰信息來加密幀;以及初始化向量產生器,用于產生當加密/解密密鑰的修改狀態信息指示修改時修改的初始化向量,并且用于將其轉換為幀;以及加密器,用于利用無修改初始化向量信息和加密/解密信息根據加密算法來加密幀。
8.根據權利要求1所述的設備,其中,加密算法包括優選對等加密(WEP)算法或計數器模式CBC MAC協議(CCMP)算法。
9.根據權利要求5所述的設備,還包括解密器,用于利用加密/解密密鑰信息解密來自無線網絡的接收幀,確定在解密幀中是否包含初始化向量信息,并且將包含在解密幀中的初始化向量信息存儲到存儲單元中。
10.根據權利要求9所述的設備,其中,在將初始化向量信息存儲到存儲單元中之后,解密器用于利用加密/解密密鑰信息和存儲單元中存儲的初始化向量信息解密來自無線網絡的接收幀,確定在解密幀中是否包含與存儲單元中存儲的初始化向量信息不同的初始化向量信息,并將包含在解密幀中的不同初始化向量信息存儲到存儲單元中。
11.根據權利要求10所述的設備,其中,在將不同初始化向量信息存儲到存儲單元之后,解密器用于利用加密/解密密鑰信息和不同初始化向量信息解密來自無線網絡的接收幀。
12.一種針對無線網絡系統中的數據安全的設備,包括修改器,用于根據加密/解密密鑰信息的修改狀態信息,修改用于加密要發送到無線網絡的幀的加密/解密密鑰信息;加密器,用于當隨后接收到發送幀的請求時,利用修改的加密/解密密鑰信息、根據預定加密算法選擇性地加密幀的媒體訪問控制(MAC)報頭部分和有效載荷部分;以及發送器,用于將加密的幀發送到無線網絡。
13.根據權利要求12所述的設備,其中,修改狀態信息包括關于規定時間的信息或關于已經產生要發送到無線網絡的幀的次數的信息。
14.根據權利要求12所述的設備,其中,加密/解密密鑰信息包括以下之一關于設置在一個單元和至少一個另一個單元之間共享以保護要發送到無線網絡的幀的群組密鑰的信息;關于設置在每一個單元和所述至少一個另一個單元中的對偶密鑰的信息;關于單元使用隨機數產生函數產生的初始化向量的信息和群組密鑰信息的組合的信息;以及關于初始化向量信息以及設置在每一個單元和所述至少一個另一個單元中的對偶密鑰信息的組合的信息。
15.根據權利要求14所述的設備,其中,響應加密/解密密鑰信息的修改狀態信息指示修改,修改器用于修改初始化向量信息。
16.根據權利要求12所述的設備,還包括初始化向量產生器,用于產生由隨機數產生函數產生的初始化向量,并且當第一幀被發送到無線網絡時,將所述初始化向量轉換為第一幀;以及加密器,用于根據加密算法、利用加密/解密密鑰信息來選擇性地加密第一幀的MAC報頭部分和有效載荷部分;以及初始化向量產生器,用于產生當加密/解密密鑰的修改狀態信息指示修改時修改的初始化向量,并且用于將其轉換為幀;以及加密器,用于利用無修改初始化向量信息和加密/解密信息、根據加密算法來選擇性地加密幀的MAC報頭部分和有效載荷部分。
17.根據權利要求12所述的設備,還包括解密器,用于利用加密/解密密鑰信息選擇性地解密來自無線網絡的接收幀的MAC報頭部分和有效載荷部分,確定在解密幀中是否包含初始化向量信息,并將包含在解密幀中的初始化向量信息存儲到存儲單元中。
18.根據權利要求17所述的設備,解密器用于利用加密/解密密鑰信息和存儲單元中的存儲的初始化向量信息,選擇性地解密來自無線網絡的接收幀的MAC報頭部分和有效載荷部分,確定在解密幀中是否包含與存儲單元中存儲的初始化向量信息不同的初始化向量信息,并將包含在解密幀中的不同初始化向量信息存儲到存儲單元中。
19.根據權利要求18所述的設備,其中,在將不同初始化向量信息存儲到存儲單元之后,解密器用于利用加密/解密密鑰信息和不同初始化向量信息,選擇性地解密來自無線網絡的接收幀的MAC報頭部分和有效載荷部分。
20.一種無線網絡系統的單元中的數據安全方法,該方法包括根據加密/解密密鑰信息的修改狀態信息,修改加密/解密密鑰信息,以加密要發送到無線網絡的幀;以及當隨后接收到發送幀的請求時,利用修改的加密/解密密鑰信息、根據預定加密算法來加密幀,并將加密的幀發送到無線網絡。
21.根據權利要求20所述的方法,其中,修改狀態信息包括關于規定時間的信息或關于已經產生要發送到無線網絡的幀的的次數信息。
22.根據權利要求20所述的方法,其中,加密/解密密鑰信息包括以下之一關于設置在一個單元和至少一個另一個單元之間共享以保護要發送到無線網絡的幀的群組密鑰的信息;關于設置在每一個單元和所述至少一個另一個單元中的對偶密鑰的信息;關于單元使用隨機數產生函數產生的初始化向量的信息和群組密鑰信息的組合的信息;以及關于初始化向量信息以及設置在每一個單元和所述至少一個另一個單元中的對偶密鑰信息的組合的信息。
23.根據權利要求22所述的方法,其中,響應加密/解密密鑰信息的修改狀態信息指示修改,修改初始化向量信息。
24.根據權利要求20所述的方法,其中,加密幀包括當第一幀被發送到無線網絡時,在第一幀中包括由隨機數產生函數產生的初始化向量,并且利用加密/解密密鑰信息、根據加密算法來加密幀;以及在幀中包括當加密/解密密鑰的修改狀態信息指示修改時修改的初始化向量,并且利用無修改初始化向量信息和加密/解密密鑰信息、根據加密算法來加密幀。
25.根據權利要求20所述的方法,其中,加密算法包括優選對等加密(WEP)算法或計數器模式CBC MAC協議(CCMP)算法。
26.根據權利要求20所述的方法,還包括利用加密/解密密鑰信息解密來自無線網絡的接收幀,確定在解密幀中是否包含初始化向量信息,并且將包含在解密幀中的初始化向量信息存儲到數據庫中。
27.根據權利要求26所述的方法,還包括在將初始化向量信息存儲到數據庫中之后,利用加密/解密密鑰信息和數據庫中存儲的初始化向量信息解密來自無線網絡的接收幀;以及確定在解密幀中是否包含與存儲單元中存儲的初始化向量信息不同的初始化向量信息,并將包含在解密幀中的不同初始化向量信息存儲到數據庫中。
28.根據權利要求27所述的方法,還包括在將不同初始化向量信息存儲到數據庫之后,利用加密/解密密鑰信息和不同初始化向量信息解密來自無線網絡的接收幀。
29.一種無線網絡系統的單元中的數據安全方法,該方法包括根據加密/解密密鑰信息的修改狀態信息,修改用于加密要發送到無線網絡的幀的加密/解密密鑰信息;當隨后接收到發送幀的請求時,利用修改的加密/解密密鑰信息、根據預定加密算法選擇性地加密幀的媒體訪問控制(MAC)報頭部分和有效載荷部分,并將加密的幀發送到無線網絡。
30.根據權利要求29所述的方法,其中,修改狀態信息包括關于規定時間的信息或關于已經產生要發送到無線網絡的幀的次數的信息。
31.根據權利要求29所述的方法,其中,加密/解密密鑰信息包括以下之一關于設置在一個單元和至少一個另一個單元之間共享以保護要發送到無線網絡的幀的群組密鑰的信息;關于設置在每一個單元和所述至少一個另一個單元中的對偶密鑰的信息;關于單元使用隨機數產生函數產生的初始化向量的信息和群組密鑰信息的組合的信息;以及關于初始化向量信息以及設置在每一個單元和所述至少一個另一個單元中的對偶密鑰信息的組合的信息。
32.根據權利要求31所述的方法,其中,響應加密/解密密鑰信息的修改狀態信息指示修改,修改初始化向量信息。
33.根據權利要求29所述的方法,其中,加密幀包括當第一幀被發送到無線網絡時,在第一幀中包括隨機數產生函數產生的初始化向量,并利用加密/解密密鑰信息、根據加密算法選擇性地加密幀的媒體訪問控制(MAC)報頭部分和有效載荷部分;以及在幀中包括當加密/解密密鑰的修改狀態信息指示修改時修改的初始化向量,并利用無修改初始化向量信息和加密/解密密鑰信息、根據加密算法選擇性地加密幀的MAC報頭部分和有效載荷部分。
34.根據權利要求29所述的方法,還包括利用加密/解密密鑰信息選擇性地解密來自無線網絡的接收幀的MAC報頭部分和有效載荷部分,確定在解密幀中是否包含初始化向量信息,并將包含在解密幀中的初始化向量信息存儲到數據庫中。
35.根據權利要求34所述的方法,還包括在將初始化向量信息存儲到數據庫中之后,利用加密/解密密鑰信息和在數據庫中存儲的初始化向量信息,選擇性地解密來自無線網絡的接收幀的MAC報頭部分和有效載荷部分;以及確定在解密幀中是否包含與數據庫中存儲的初始化向量信息不同的初始化向量信息,并且將包含在解密幀中的不同初始化向量信息存儲到數據庫中。
36.根據權利要求35所述的方法,還包括在將不同初始化向量信息存儲到數據庫之后,利用加密/解密密鑰信息和不同初始化向量信息,選擇性地解密來自無線網絡的接收幀的MAC報頭部分和有效載荷部分。
全文摘要
一種針對無線網絡系統中的數據安全的設備。針對無線網絡系統中的數據保護,利用在無線網絡中在每一個設置狀態處修改的初始化向量來加密幀,包括其媒體訪問控制(MAC)報頭和有效載荷,從而避免無線發送的數據被暴露給未授權用戶。
文檔編號H04L9/00GK1805333SQ200610003620
公開日2006年7月19日 申請日期2006年1月9日 優先權日2005年1月11日
發明者李相國 申請人:三星電子株式會社