專利名稱:增強無線局域網(wǎng)安全的方法
技術領域:
本發(fā)明涉及一種增強無線局域網(wǎng)安全的方法�����,尤其涉及一種應用身份卡增強無線局域網(wǎng)安全的方法���。
背景技術:
無線局域網(wǎng)(WLAN)是一種數(shù)據(jù)通信系統(tǒng)�,因為它可以通過無線電波發(fā)射和接收數(shù)據(jù)����,減少對有線連接的需要��,同時混合了數(shù)據(jù)連接性和用戶移動性的優(yōu)點�,并且部署簡單�����,所以它作為有線局域網(wǎng)的擴展或替代品被用在大樓或校園內����。
與有線局域網(wǎng)使用有線媒體點到點傳送信號不同,無線局域網(wǎng)使用無線媒體(比如無線電波�、紅外線等)以廣播的形式來傳輸信號,因此處在無線局域網(wǎng)中同一個無線接入點覆蓋范圍內的無線終端��,都能接收到在該覆蓋范圍內的其他無線終端發(fā)送的信號���,盡管這些信號不是發(fā)送給它的����。由此可見�����,如果在無線局域網(wǎng)中不采取一定的安全措施���,在無線局域網(wǎng)中傳輸?shù)男畔⒑苋菀拙捅徊粚儆谠摼钟蚓W(wǎng)的無線終端截獲����。
為了解決上述的無線局域網(wǎng)的安全問題��,生產廠商研究出了許多無線網(wǎng)絡安全方法以保證在無線局域網(wǎng)中通過無線媒體安全地傳送信息���。下面以基于網(wǎng)絡協(xié)議802.11標準的無線局域網(wǎng)采用的有線對等保密(WEP)方法為例����,簡單說明無線網(wǎng)絡安全方法保證在無線局域網(wǎng)中通過無線媒體安全地傳送信息的原理�����。
有線對等保密(WEP)方法使用相同的加/解密算法以及相同的加密密鑰和解密密鑰通過兩個安全措施來保證網(wǎng)絡信息的安全�,即對接入網(wǎng)絡的無線終端進行身份認證和對在無線媒體中傳輸?shù)男畔⑦M行加密。
在基于網(wǎng)絡協(xié)議802.11標準的無線局域網(wǎng)中�,當一個用戶想通過無線終端訪問網(wǎng)絡時,首先對即將接入網(wǎng)絡的無線終端進行身份認證處理���,具體步驟如下(a)即將接入網(wǎng)絡的無線終端向無線接入點請求身份認證���。
(b)收到身份認證請求后����,無線接入點向無線終端返回用于身份認證的明文信息��。
(c)收到用于身份認證的明文信息后����,無線終端使用有線對等保密(WEP)方法提供的加密算法和加密密鑰對該用于身份認證的明文信息進行加密得到用于身份認證的密文信息,并把該用于身份認證的密文信息發(fā)送給無線接入點���。
(d)收到無線終端發(fā)送的用于身份認證的密文信息后���,無線接入點使用有線對等保密(WEP)方法提供的解密算法和解密密鑰對該密文信息進行解密得到用于身份認證的明文信息,并把該解密后的明文信息與先前發(fā)送給該無線終端的用于身份認證的明文信息進行比較����,如果兩個信息匹配,允許無線終端接入網(wǎng)絡����;如果兩個信息不匹配,不允許無線終端接入網(wǎng)絡�����,并且該無線終端被稱為未經授權的無線終端�����。
無線終端接入網(wǎng)絡后����,用戶就可以經由該無線終端和無線接入點與無線局域網(wǎng)進行數(shù)據(jù)交互。在數(shù)據(jù)交互過程中��,該無線終端使用有線對等保密(WEP)方法提供的加密算法和加密密鑰對發(fā)送給無線接入點的數(shù)據(jù)進行加密處理�����,而使用解密算法和解密密鑰對來自無線接入點的經過加密的數(shù)據(jù)進行解密處理�����;無線接入點對發(fā)送給該無線終端和來自該無線終端的數(shù)據(jù)也進行相同的處理��。
由上述可知�,通過對即將接入網(wǎng)絡的無線終端進行身份認證和對在無線媒體中傳輸?shù)臄?shù)據(jù)進行加密,防止了未經授權的無線終端進入網(wǎng)絡或截獲傳輸?shù)臄?shù)據(jù)�����,提高了網(wǎng)絡的安全能力。當然����,也會出現(xiàn)加/解密算法或密鑰被破解而導致未經授權的無線終端進入網(wǎng)絡或截獲傳輸?shù)慕涍^加密的數(shù)據(jù)的情況,但是隨著對無線網(wǎng)絡安全方法的深入研究�����,無線網(wǎng)絡安全方法會采用越來越強壯的加/解密算法和加密/解密密鑰�����,使得破解加/解密算法或密鑰越來越困難����。
但是即使這樣,無線局域網(wǎng)還是經常出現(xiàn)由于用戶的原因而導致的安全漏洞�����,具體表現(xiàn)在兩個方面第一�����、雖然無線網(wǎng)絡安全方法提供了身份認證機制,但是用戶在無線局域網(wǎng)中并不使用該身份認證機制對接入網(wǎng)絡的無線終端進行身份認證���,導致未經授權的無線終端很容易地進入網(wǎng)絡�。
第二����、由于加/解密算法使用的密鑰通常以明文形式保存在無線終端中��,使得用戶很容易不小心把密鑰泄漏出去�����。
綜上所述��,有必要提供一種用于無線局域網(wǎng)的增加網(wǎng)絡安全的方法以防止未經授權的無線終端進入網(wǎng)絡和密鑰被泄露�。
發(fā)明內容
本發(fā)明的目的是提供一種用于增強無線局域網(wǎng)安全的方法。在該方法中�����,對即將接入無線局域網(wǎng)的無線終端進行強制身份認證以防止未經授權的無線終端進入網(wǎng)絡而導致網(wǎng)絡不安全��。
本發(fā)明的另一個目的是提供一種用于增強無線局域網(wǎng)安全的方法����。在該方法中�,把密鑰存儲在獨立于無線終端的身份卡中�����,增強密鑰的安全性�。
按照本發(fā)明的一種在無線局域網(wǎng)中由無線終端執(zhí)行的增強網(wǎng)絡安全的方法,包括步驟讀取存儲在身份卡中的密鑰���;根據(jù)讀取到的密鑰以及相應的加密算法請求無線接入點進行身份認證處理����;如果身份認證成功�����,接入無線局域網(wǎng)�����。
按照本發(fā)明的一種在無線局域網(wǎng)中由無線接入點執(zhí)行的增強網(wǎng)絡安全的方法����,包括步驟利用與無線終端使用的身份卡中的密鑰相對應的密鑰���,根據(jù)與無線終端采用的加密算法相對應的解密算法,對無線終端發(fā)起的身份認證請求進行認證處理���;如果身份認證成功����,允許無線終端接入無線局域網(wǎng)�����。
其中上述的加密解密算法可以采用網(wǎng)絡協(xié)議中的算法�����,也可以采用定制的加密解密算法��。
附圖簡述
圖1是根據(jù)本發(fā)明的使用網(wǎng)絡協(xié)議802.11標準加/解密算法的結構方框圖���。
圖2是根據(jù)本發(fā)明的在網(wǎng)絡協(xié)議802.11標準中增加定制的加/解密算法的結構方框圖。
發(fā)明詳述本發(fā)明的基本思想為把密鑰存儲在身份卡中���,當用戶想通過無線終端訪問無線局域網(wǎng)時��,用戶必須先使用身份卡向無線終端提供密鑰��,無線終端根據(jù)得到的密鑰請求無線接入點對其進行身份認證處理���,如果身份認證成功�,無線接入點允許無線終端接入網(wǎng)絡�,用戶就可以通過無線終端訪問無線局域網(wǎng);如果身份認證失敗���,無線接入點拒絕無線終端接入網(wǎng)絡����,用戶不可以通過無線終端訪問無線局域網(wǎng)�����。
下面以讀者訪問無線局域網(wǎng)中的電子圖書館為實施例���,詳細說明本發(fā)明應用身份卡增強無線局域網(wǎng)安全的方法�。
當一個讀者想下載無線局域網(wǎng)中電子圖書館的電子圖書時�,圖書館管理員給該讀者發(fā)放一個存儲有密鑰的身份卡,該讀者把得到的身份卡插入到該無線局域網(wǎng)的一個無線終端的無線網(wǎng)卡中,該無線終端首先通過其無線網(wǎng)卡從身份卡中讀取密鑰���,并根據(jù)讀取的密鑰請求無線接入點對其進行身份認證��。如果身份認證成功���,無線接入點允許所述無線終端接入網(wǎng)絡,該讀者就可以通過所述無線終端從電子圖書館下載電子圖書���;如果身份認證失敗�,無線接入點拒絕所述無線終端接入網(wǎng)絡��,該讀者不能通過所述無線終端從電子圖書館下載電子圖書�����。如果該讀者能夠通過所述無線終端訪問電子圖書館�����,在電子圖書館訪問結束后����,把身份卡從所述無線終端的無線網(wǎng)卡中拔下來歸還給圖書館管理員。
上述的身份卡不僅可以存儲用于無線局域網(wǎng)的密鑰�,還可以存儲用于遵循其它標準的系統(tǒng)的密鑰,比如通用分組無線系統(tǒng)(GPRS)的密鑰和第三代通信系統(tǒng)(3G)的密鑰等����。因為傾向于把多個標準的密鑰集成在一張卡中,所以本發(fā)明的身份卡可以參照用于筆記本電腦的通用分組無線系統(tǒng)客戶識別卡(GPRS SIM)的做法把多個標準的密鑰集成在卡中���。
在使用身份卡進行身份認證的過程中�����,一種情況是只使用網(wǎng)絡協(xié)議中的加/解密算法����,另外一種情況是同時使用網(wǎng)絡協(xié)議中的加/解密算法和定制的加/解密算法�。以網(wǎng)絡協(xié)議802.11標準為例,可以只使用網(wǎng)絡協(xié)議802.11標準的加/解密算法�,或者同時使用網(wǎng)絡協(xié)議802.11標準的加/解密算法和新增到網(wǎng)絡協(xié)議802.11標準中的定制的加/解密算法。下面對這兩種情況進行詳細說明�����。
一��、只使用網(wǎng)絡協(xié)議802.11標準的加/解密算法在這種情況中,只使用網(wǎng)絡協(xié)議802.11標準的加/解密算法進行身份認證��。因為網(wǎng)絡協(xié)議802.11標準使用相同的加/解密算法對用于身份認證的信息進行加密和解密���,并且在該相同的加/解密算法中加密和解密使用相同的密鑰���,所以在這種情況下應對網(wǎng)絡協(xié)議802.11標準中的密鑰進行非常嚴格的管理。譬如把用于有線等效協(xié)議(WEP)或高級加密標準(AES)的密鑰存儲在身份卡中��,然后通過可見的方式把身份卡分發(fā)給用戶使用����,以此防止密鑰的泄露。
圖1是一種只使用網(wǎng)絡協(xié)議802.11標準的加/解密算法和身份卡進行身份認證的結構的方框圖��。下面結合圖1描述無線終端請求無線接入點進行身份認證的過程����。
當無線終端100請求無線接入點200進行身份認證處理時,在收到來自無線接入點的用于身份認證的明文信息后��,在該無線終端100中的直接內存存取控制模塊10獲取該用于身份認證的明文信息并把它送給AES或WEP密碼流生成器20�����。AES或WEP密碼流生成器20收到該用于身份認證的明文信息后�,從身份卡60中獲取加密密鑰,并用該加密密鑰和網(wǎng)絡協(xié)議802.11標準的加密算法對該用于身份認證的明文信息進行加密得到用于身份認證的密文信息���,然后將該用于身份認證的密文信息發(fā)送給幀生成單元30�。幀生成單元30收到該用于身份認證的密文信息后�����,將它與相應的幀頭�����、循環(huán)校驗碼(CRC)一起合成密文的身份認證數(shù)據(jù)幀����,然后將該合成的密文的身份認證數(shù)據(jù)幀經由物理層控制器接口40和數(shù)據(jù)接口50發(fā)送給無線接入點200。
無線接入點200收到來自無線終端的密文的身份認證數(shù)據(jù)幀后��,經由數(shù)據(jù)接口50和物理層控制器接口40����,將該包含幀頭、循環(huán)校驗碼(CRC)和用于身份認證的密文信息的數(shù)據(jù)幀傳送給AES或WEP密碼流生成器20�����。AES或WEP密碼流生成器20從收到的密文的身份認證數(shù)據(jù)幀中取出用于身份認證的密文信息,然后根據(jù)預存在密鑰存儲管理單元65中的與無線終端所使用的加密密鑰相對應的解密密鑰��,使用網(wǎng)絡協(xié)議802.11標準的解密算法對該用于身份認證的密文信息進行解密以得到用于身份認證的明文信息����,最后將該用于身份認證的明文信息發(fā)送給直接內存存取控制模塊10。直接內存存取控制模塊10將收到的該用于身份認證的明文信息發(fā)送給相應處理模塊(圖1中未顯示)以判斷該用于身份認證的明文信息與先前向該無線終端發(fā)送的用于身份認證的明文信息是否一致�,如果一致,表明無線終端的身份認證成功����,無線終端可以接入無線局域網(wǎng);如果不一致��,表明無線終端身份認證失敗�,無線終端不能接入無線局域網(wǎng)。
二���、同時使用網(wǎng)絡協(xié)議802.11標準的加/解密算法和定制的加/解密算法在這種情況中��,無線終端使用網(wǎng)絡協(xié)議802.11標準的加密算法對用于身份認證的明文信息進行加密后����,再使用定制的加密算法進一步加密�����,這樣即使未經授權的無線終端知道網(wǎng)絡協(xié)議802.11標準的加密算法�,由于不知道定制的加密算法,因此用戶終端的身份認證是不會成功����,從而防止未經授權的無線終端進入無線局域網(wǎng)。
圖2顯示了在網(wǎng)絡協(xié)議802.11標準中增加定制加/解密算法的方框圖����。如圖所示,在原有無線局域網(wǎng)中增加定制的加/解密模塊80來實現(xiàn)定制的加/解密算法(比如RSA算法���、數(shù)據(jù)加密標準算法(DES)�、數(shù)字簽名算法(DSA)�����、信息-摘要算法(MD5)或其它新的算法)��,并且把該定制的加/解密算法的密鑰保存在身份卡90中��。從圖2可以看出,通過身份卡����,在不更改無線局域網(wǎng)任何高層協(xié)議的情況下,可以很容易地把定制的加/解密算法增加到802.11標準中����。
下面基于圖2所示的結構詳細描述無線局域網(wǎng)同時使用網(wǎng)絡協(xié)議802.11標準的加/解密算法和定制的加/解密算法進行身份認證的過程。
當無線終端300請求無線接入點400進行身份認證處理時�,無線接入點首先向該無線終端發(fā)送用于身份認證的明文信息。
當該無線終端收到無線接入點發(fā)送的用于身份認證的明文信息后��,該無線終端的直接內存存取控制模塊10獲取該用于身份認證的明文信息并把該信息發(fā)送給AES或WEP密碼流生成器20����。AES或WEP密碼流生成器20得到該用于身份認證的明文信息后,使用網(wǎng)絡協(xié)議802.11標準的加密算法以及相應的加密密鑰對其進行加密得到用于身份認證的初步加密信息�,并把該用于身份認證的初步加密信息發(fā)送給幀生成單元30。幀生成單元30把該用于身份認證的初步加密信息與相應的幀頭��、循環(huán)校驗碼(CRC)合成初步加密的身份認證數(shù)據(jù)幀��,然后經由物理層控制器接口40和媒體訪問控制層數(shù)據(jù)接口70發(fā)送給定制的加/解密模塊80���。定制的加/解密模塊80根據(jù)從身份卡90中獲取的加密密鑰��,使用定制的加密算法對接收到的該初步加密的身份認證數(shù)據(jù)幀進一步加密得到密文的身份認證數(shù)據(jù)幀�����,并把該密文的身份認證數(shù)據(jù)幀發(fā)送給數(shù)據(jù)接口50�。最后由數(shù)據(jù)接口50把該密文的身份認證數(shù)據(jù)幀發(fā)送給無線接入點�����。
當無線接入點經由數(shù)據(jù)接口50接收到無線終端發(fā)送的密文的身份認證數(shù)據(jù)幀后�����,把該數(shù)據(jù)幀發(fā)送給定制的加/解密模塊80�。定制的加/解密模塊80根據(jù)預存在密鑰存儲管理單元95中的與無線終端定制的加密算法所使用的加密密鑰相對應的解密密鑰,使用定制的解密算法對接收到的密文的身份認證數(shù)據(jù)幀進行解密得到初步解密的身份認證數(shù)據(jù)幀��,并把包含幀頭���、循環(huán)校驗碼(CRC)和用于身份認證的初步密文信息的該初步解密的身份認證數(shù)據(jù)幀�,經由媒體訪問控制層數(shù)據(jù)接口70和物理層控制器接口40發(fā)送給AES或WEP密碼流生成器20����。AES或WEP密碼流生成器20從收到的初步解密的身份認證數(shù)據(jù)幀中取出用于身份認證的初步密文信息��,然后使用網(wǎng)絡協(xié)議802.11標準的解密算法以及相應的解密密鑰對該信息進一步解密得到用于身份認證的明文信息�,并把該用于身份認證的明文信息發(fā)送給直接內存存取控制模塊10���。直接內存存取控制模塊10把該用于身份認證的明文信息發(fā)送給相應的處理模塊(圖2中未顯示)以判斷該用于身份認證的明文信息與先前向該無線終端發(fā)送的用于身份認證的明文信息是否一致����,如果一致���,表明無線終端的身份認證成功���,無線終端可以接入無線局域網(wǎng);如果不一致�,表明無線終端身份認證失敗,無線終端不能接入無線局域網(wǎng)���。
有益效果綜上所述����,本發(fā)明提供的用于增強無線局域網(wǎng)安全的方法�����,把密鑰存儲在身份卡中,增強密鑰的安全性���,同時對即將接入無線局域網(wǎng)的無線終端進行強制身份認證以防止未經授權的無線終端進入網(wǎng)絡而導致網(wǎng)絡不安全��。
本領域技術人員應當理解��,本發(fā)明所公開的用于增強無線局域網(wǎng)安全的方法,可以在不脫離本發(fā)明內容的基礎上做出各種改進����。因此,本發(fā)明的保護范圍應當由所附的權利要求書的內容確定��。
權利要求
1.一種在無線局域網(wǎng)中由無線終端執(zhí)行的增強網(wǎng)絡安全的方法�,包括步驟(a)讀取存儲在身份卡中的密鑰;(b)根據(jù)讀取到的密鑰以及相應的加密算法請求無線接入點進行身份認證處理���;(c)如果身份認證成功���,接入無線局域網(wǎng)。
2.如權利要求1所述的方法���,其中�����,步驟(b)進一步包括根據(jù)讀取到的密鑰和局域網(wǎng)協(xié)議中的加密算法請求無線接入點進行身份認證處理��。
3.如權利要求1所述的方法����,其中,步驟(b)進一步包括根據(jù)讀取到的密鑰和定制的加密算法請求無線接入點進行身份認證處理���。
4.如權利要求1所述的方法�����,其中�,步驟(b)進一步包括根據(jù)讀取到的密鑰以及局域網(wǎng)協(xié)議中的加密算法和定制的加密算法��,請求無線接入點進行身份認證處理�。
5.一種在無線局域網(wǎng)的無線終端,包括一個信息讀取單元�����,用于讀取存儲在身份卡中的密鑰;一個身份認證單元���,用于根據(jù)讀取到的密鑰和相應的加密算法請求無線接入點進行身份認證處理����;一個接入網(wǎng)絡單元��,用于如果身份認證成功����,接入無線局域網(wǎng)。
6.如權利要求5所述的無線終端���,其中所述的加密算法是局域網(wǎng)協(xié)議中的加密算法。
7.如權利要求5所述的無線終端�,其中所述的加密算法是定制的加密算法。
8.如權利要求5所述的無線終端�����,其中所述的加密算法是局域網(wǎng)協(xié)議中的加密算法和定制的加密算法��。
9.一種在無線局域網(wǎng)中由無線接入點執(zhí)行的增強網(wǎng)絡安全的方法����,包括步驟利用與無線終端使用的身份卡中密鑰相對應的密鑰�,根據(jù)與無線終端采用的加密算法相對應的解密算法���,對無線終端發(fā)起的身份認證請求進行認證處理��;如果身份認證成功���,允許無線終端接入無線局域網(wǎng)。
10.如權利要求9所述的方法���,其中所述的解密算法是局域網(wǎng)協(xié)議中的解密算法�����。
11.如權利要求9所述的方法��,其中所述的解密算法是定制的解密算法��。
12.如權利要求9所述的無線終端����,其中所述的解密算法是局域網(wǎng)協(xié)議中的解密算法和定制的解密算法�����。
13.一種在無線局域網(wǎng)中的無線接入點,包括一個密鑰存儲管理單元�����,用于存儲有效密鑰�����;一個身份認證處理單元�����,用于從該密鑰存儲管理單元中讀取與無線終端使用的身份卡中密鑰相對應的密鑰�,利用該對應密鑰,根據(jù)與無線終端采用的加密算法相對應的解密算法�,對無線終端發(fā)起的身份認證請求進行認證處理�;一個網(wǎng)絡接入單元,用于當身份認證成功時�����,允許無線終端接入無線局域網(wǎng)����。
14.一種在無線局域網(wǎng)中用于增強網(wǎng)絡安全的方法�,包括步驟獲取用于一個無線終端的存有密鑰的身份卡����;向一個無線接入點發(fā)送接入一個無線局域網(wǎng)的請求;利用該身份卡中的密鑰及用于身份認證的信息���,按照該無線終端中的加密算法及該無線接入點中對應的解密算法��,進行身份認證����;和在身份認證成功后�,經由該無線接入點訪問該無線局域網(wǎng)中的資源。
全文摘要
一種在無線局域網(wǎng)中由無線終端執(zhí)行的增強網(wǎng)絡安全的方法�,包括步驟讀取存儲在身份卡中的密鑰;根據(jù)讀取到的密鑰以及相應的加密算法請求無線接入點進行身份認證處理����;如果身份認證成功,接入無線局域網(wǎng)���,該加密算法可以采用網(wǎng)絡協(xié)議中的算法���,也可以采用定制的加密解密算法����,利用該方法�����,可以對即將接入無線局域網(wǎng)的無線終端進行強制身份認證以防止未經授權的無線終端進入網(wǎng)絡而導致網(wǎng)絡不安全�����。
文檔編號H04L29/06GK1599338SQ0312491
公開日2005年3月23日 申請日期2003年9月19日 優(yōu)先權日2003年9月19日
發(fā)明者李荔, 吳克毅, 李維, 郭浩廣, 羅志宏 申請人:皇家飛利浦電子股份有限公司