專利名稱:一種無線局域網(wǎng)卡芯片密鑰管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線局域網(wǎng)通信安全領(lǐng)域�����,由于無線局域網(wǎng)采用電磁波作為通信介 質(zhì)�����,從而設(shè)備間通信內(nèi)容很容易被第三方截獲����。因此要求無線局域網(wǎng)設(shè)備在進行通信時要 采用雙方認(rèn)可得加密方式對明文數(shù)據(jù)進行加密。
背景技術(shù):
一般將基礎(chǔ)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入點稱為AP (Access Point)�����,與AP相連接進行數(shù)據(jù) 通信或在自組網(wǎng)中進行通信的設(shè)備稱為STA(Station)����。在無線局域網(wǎng)設(shè)備通信過程中,為 了防止第三方截獲通信內(nèi)容���,一般情況下無線局域網(wǎng)絡(luò)設(shè)備工作時通常采用對信息加密的 方式進行設(shè)備間數(shù)據(jù)的傳輸��。這就要求無線局域網(wǎng)卡芯片必須具備通信密鑰的管理能力�����。 特別基礎(chǔ)網(wǎng)絡(luò)中的AP或是自組網(wǎng)絡(luò)中的STA都需要維護該網(wǎng)絡(luò)中所有與本地設(shè)備進行加 密數(shù)據(jù)通信的所有無線網(wǎng)絡(luò)設(shè)備密鑰信息���。因此通信密鑰的管理和查找方法將直接影響無 線局域網(wǎng)的整體通信性能和設(shè)備成本。
發(fā)明內(nèi)容
本發(fā)明提出一種無線局域網(wǎng)卡芯片密鑰管理方法���,該方法可以將TOP�����、TKIP�����、CCMP�、 WAPI四種加密方法密鑰進行統(tǒng)一管理,并且可以達到對多邏輯網(wǎng)絡(luò)����、單播、組播和廣播密鑰 的全部支持����,并可以支持網(wǎng)絡(luò)中不同加密方式設(shè)備在同一邏輯網(wǎng)絡(luò)或不同邏輯間進行加密 數(shù)據(jù)通信。以達到對通信密鑰規(guī)范管理并快速��、準(zhǔn)確獲得通信密鑰�,降低無線局域網(wǎng)卡芯片 成本的目的。本發(fā)明具體方案由密鑰的存儲管理方案和為密鑰查找獲取方案兩部分組成��。在無線局域網(wǎng)設(shè)備無法及時獲得密鑰時���,設(shè)備將無法及時對通信數(shù)據(jù)進行加密和 解密�����,進而降低網(wǎng)絡(luò)通信性能�����,因此將無線局域網(wǎng)設(shè)備通信所需密鑰存放在無線網(wǎng)絡(luò)設(shè)備 芯片上并采用快速查找的方式可以提高無線網(wǎng)絡(luò)通信效率���。密鑰的存儲管理方案特征在 于無線局域網(wǎng)設(shè)備通信所需密鑰在無線局域網(wǎng)芯片上存放,并與芯片的數(shù)據(jù)接收緩存�����、數(shù) 據(jù)發(fā)送緩存采用同一塊物理內(nèi)存實現(xiàn)�����。在密鑰管理方面�����,將密鑰相關(guān)信息化分為單播/組 播密鑰管理區(qū)和廣播/WEP密鑰管理區(qū)兩部分��,其中�����,單播/組播密鑰管理區(qū)由MAC地址區(qū)、 單播/組播加密信息區(qū)和單播/組播密鑰區(qū)三部分構(gòu)成�。對于廣播/WEP密鑰管理區(qū)而言, 由于802. 11協(xié)議規(guī)定廣播地址為固定數(shù)值��,由6個字節(jié)的十六進制數(shù)F組成�,因此不需要 存放廣播地址。由廣播加密信息區(qū)和廣播密鑰區(qū)兩部分實現(xiàn)對廣播密鑰的管理功能�,其中 廣播加密信息區(qū)由寄存器實現(xiàn),廣播/WEP密鑰區(qū)用來存放廣播密鑰或WEP加密方式密鑰�����。密鑰查找獲取方案特征在于在加密時使用直接獲取密鑰的方式獲得發(fā)送數(shù)據(jù)所 需的單播��、組播和廣播加密信息與密鑰��。在解密時使用多有效地址遍歷查找的方式進行接 收數(shù)據(jù)的單播與組播加密信息與密鑰獲取�。在基礎(chǔ)網(wǎng)絡(luò)工作模式下,使用直接方式進行廣 播加密信息與廣播密鑰獲?����?�;在自組網(wǎng)工作模式下,使用多有效地址遍歷查找的方式獲取 廣播加密信息與廣播密鑰�。
圖1是密鑰表的整體分配圖。圖2是基礎(chǔ)網(wǎng)絡(luò)AP與STA單播/組播密鑰表����。圖3是自組網(wǎng)絡(luò)STA單播/組播密鑰表。圖4是基礎(chǔ)網(wǎng)絡(luò)與自組網(wǎng)絡(luò)STA廣播/WEP密鑰表����。圖5是基礎(chǔ)網(wǎng)絡(luò)AP廣播/WEP密鑰表�����。圖6是廣播加密信息區(qū)結(jié)構(gòu)��。圖7是密鑰位圖��。
具體實施例方式以下結(jié)合附圖�,具體說明本發(fā)明。本發(fā)明提出一種無線局域網(wǎng)卡芯片密鑰管理方法�,該方法可以將TOP、TKIP���、CCMP���、 WAPI四種加密方法密鑰進行統(tǒng)一管理�����,并且可以達到對多邏輯網(wǎng)絡(luò)���、單播、組播和廣播密鑰 的全部支持����,并可以支持網(wǎng)絡(luò)中不同加密方式設(shè)備在同一邏輯網(wǎng)絡(luò)或不同邏輯間進行加密 數(shù)據(jù)通信。以達到對通信密鑰規(guī)范管理并快速�����、準(zhǔn)確獲得通信密鑰����,降低無線局域網(wǎng)卡芯片 成本,從而提高無限局域網(wǎng)設(shè)備的普及應(yīng)用�。本發(fā)明提出一種無線局域網(wǎng)卡芯片密鑰存儲管理方法,將無線局域網(wǎng)設(shè)備通信所 需密鑰在無線局域網(wǎng)芯片上存放���,并與芯片的數(shù)據(jù)接收緩存�、數(shù)據(jù)發(fā)送緩存采用同一塊物 理內(nèi)存實現(xiàn)。將數(shù)據(jù)接收緩存��、數(shù)據(jù)發(fā)送緩存和密鑰緩存采用同一塊RAM進行物理實現(xiàn)可 以降低芯片的實現(xiàn)面積���,最終表現(xiàn)為降低芯片成本����,該RAM端口寬度為32比特���。如圖1所 示,為整個密鑰表的分配情況���,可以看出密鑰表是放在一塊連續(xù)的緩存中�,將密鑰相關(guān)信息 化分為單播/組播密鑰管理區(qū)和廣播/WEP密鑰管理區(qū)兩部分�����。其中���,單播/組播密鑰管理 區(qū)由MAC地址區(qū)���、單播/組播加密信息區(qū)和單播/組播密鑰區(qū)三部分構(gòu)成��。廣播/WEP密 鑰管理區(qū)由廣播加密信息區(qū)和廣播密鑰區(qū)兩部分實現(xiàn)對廣播密鑰的管理功能��,其中廣播加 密信息區(qū)由寄存器實現(xiàn)���,如圖6所示。MAC地址區(qū)用來存放與本地設(shè)備進行通信的所有站 點���、網(wǎng)絡(luò)接入點和本地設(shè)備所在組的組播地址���。單播/組播加密信息區(qū)用來存放單播或組 播加密相關(guān)信息,包括與本地設(shè)備進行加密通信設(shè)備所在邏輯網(wǎng)絡(luò)標(biāo)識(SSID)�、密鑰標(biāo)識 (KeylD)、密鑰長度(KeyLen)和加密類型(EncType)��,每一個表項使用一個字節(jié)表示����。單播 /組播密鑰區(qū)存放與本地設(shè)備進行通信的所有站點、網(wǎng)絡(luò)接入點和本地設(shè)備所在組對應(yīng)的 單播或多播密鑰����。下面以當(dāng)?shù)卦O(shè)備工作在基礎(chǔ)網(wǎng)絡(luò)模式時,支持總和為32個單播/組播設(shè) 備的加密網(wǎng)絡(luò)�����;在自組網(wǎng)模式時,支持總和為16個單播和廣播網(wǎng)絡(luò)的加密網(wǎng)絡(luò)為例說明本 發(fā)明的實施方式����。但是采用本發(fā)明并不局限于只能支持上述的基礎(chǔ)網(wǎng)絡(luò)和自組網(wǎng)模式下接 入站點數(shù)量。對于發(fā)送而言�����,主機端驅(qū)動程序把使用廣播密鑰或單播密鑰標(biāo)識和對應(yīng)的密鑰索 引值���,以及加密類型��、密鑰長度信息組織在發(fā)送描述符中��,與待發(fā)送數(shù)據(jù)一同下發(fā)到無線網(wǎng) 卡芯片。無線網(wǎng)卡芯片會根據(jù)上述信息獲得相應(yīng)密鑰進行加密�����。對于接收而言�,無線網(wǎng)卡芯片首先會判斷出接收到的是單播、組播幀還是廣播幀���。 無線網(wǎng)卡芯片使用多有效地址遍歷查找的方式進行接收數(shù)據(jù)的單播與組播加密信息與密 鑰獲取����。在基礎(chǔ)網(wǎng)絡(luò)工作模式下,使用直接方式進行廣播加密信息與廣播密鑰獲?���。辉谧越M網(wǎng)工作模式下��,使用多有效地址遍歷查找的方式獲取廣播加密信息與廣播密鑰��。在查找密鑰過程中��,需要使用接收到的發(fā)送方站點MAC地址或組播地址作為索引 項��,密鑰表MAC地址區(qū)保存的地址做為被索引項進行索引��,最終得到密鑰進行解密��。索引 算法使用多有效地址遍歷查找算法���,該算法是遍歷算法的一種改進��,要求在MAC地址區(qū)存 放被索引對象�����,也就是與本地設(shè)備進行通信的所有站點�����、網(wǎng)絡(luò)接接入點和本地設(shè)備所在組 的MAC地址或組播地址�。如圖2所示,在密鑰表物理緩存中以四個MAC地址或組播地址作 為一組按照地址從低到高縱向存放�����。例如第一組地址中����,站點0的MAC地址STA0的最低字 節(jié)會保存在密鑰緩存第一個字的最低字節(jié),STA0的第二低字節(jié)保存在密鑰緩存第二個字的 最低字節(jié)��,依此類推STA0的最高字節(jié)保存在密鑰緩存第六個字的最低字節(jié)�����;MAC地址或組 播地址同組中的STA3最低字節(jié)會保存在密鑰緩存第一個字的最高字節(jié)�����,STA3的最高字節(jié) 保存在密鑰緩存第六個字的最高字節(jié)��,每組四個MAC地址或組播地址共占六個字的密鑰緩 存�����。第二組四個MAC地址或組播地址會存放在第一組后連續(xù)的六個字�����,以此類推�。密鑰位圖由32比特寄存器實現(xiàn),結(jié)構(gòu)如圖7所示���。密鑰位圖寄存器的最低比特用 來標(biāo)識MAC地址區(qū)第一組地址STA0位置是否保存了有效地址��,最高比特用來標(biāo)識MAC地址 區(qū)第八組地址STA31位置是否保存了有效地址�����。在進行索引時無線網(wǎng)卡芯片會按照密鑰位 圖指示進行索引����,首先無線網(wǎng)卡芯片會從密鑰緩存中讀出密鑰位圖標(biāo)識有效的MAC地址組 最低字,這個字中的四個字節(jié)一定保存的是四個MAC地址或組播地址的最低字節(jié)����。無線網(wǎng) 卡芯片把從密鑰表得到的這四個字節(jié)分別與接收到的發(fā)送方MAC地址或組播地址最低字 節(jié)進行比較,如果比較結(jié)果有相同的部分則需要讀取接下來的一個字與收到的站點地址或 組播地址第二低字節(jié)進行比較����,如果MAC地址區(qū)最低字節(jié)相同,本次比較結(jié)果還相同就會 繼續(xù)進行上面的過程��,如果直到將地址所有字節(jié)都比較結(jié)束時MAC地址區(qū)有和接收到站點 MAC地址或組播地址完全相同的地址�,則該地址在MAC地址區(qū)的編號就是本次索引得到的 索引結(jié)果。例如����,如果STA0與本次索引使用的接收到的MAC地址或組播地址完全相同,索 引結(jié)果為0 ;STA16與本次索引使用的接收到的MAC地址或組播地址完全相同����,索引結(jié)果為 16。如果在索引過程中出現(xiàn)了不能匹配的情況時說明該組MAC地址與接收到的MAC地址或 組播地址不同�,無線網(wǎng)卡芯片繼續(xù)根據(jù)密鑰位圖指示讀取MAC地址區(qū)接下來有效部分,最 終完成索引�。索引值表示的是對應(yīng)站點或組加密信息在單播/組播加密信息區(qū)保存的位置 和對應(yīng)密鑰在密鑰區(qū)保存的位置。例如�����,在索引結(jié)果為15時����,無論在基礎(chǔ)網(wǎng)絡(luò)中單播/組 播加密信息區(qū)還是自組網(wǎng)絡(luò)中單播/組播/廣播加密信息保存在對應(yīng)加密信息區(qū)第四個字 最高字節(jié),TKIP����、CCMP和WAPI密鑰保存在單播/組播密鑰區(qū)第121至第128個字區(qū)間內(nèi)。如果是單播幀�,則無線網(wǎng)卡芯片會根據(jù)發(fā)送方MAC地址先查詢單播/組播密鑰表 的MAC地址區(qū),使用接收到的發(fā)送方站點MAC地址進行索引���,得到解密的密鑰索引值���;如果 是組播幀,則無線網(wǎng)卡芯片會根據(jù)接收到的組播地址先在單播/組播密鑰表的MAC地址區(qū) 進行索引�����,得到解密的密鑰索引值�����。之后無線網(wǎng)卡芯片根據(jù)得到的索引值得到加密信息和 對應(yīng)密鑰,進行解密工作��。如圖2所示�����,在基礎(chǔ)網(wǎng)絡(luò)模式下����,本地設(shè)備作為AP使用時,從圖中可以看出��,密鑰 表中共可以存儲32個地址(包括單播和組播地址)����,MAC地址按照cam結(jié)構(gòu)設(shè)計,對應(yīng)的 密鑰也有32個(包括單播和組播密鑰)����,為了滿足TKIP、CCMP和WAPI加密需要每個密鑰 存儲區(qū)都設(shè)置為8個字大小���,單播/組播加密信息區(qū)中按照地址索引結(jié)果對應(yīng)存放了每個
5MAC地址或組地址對應(yīng)的加解密信息����。這些信息是與本地?zé)o線網(wǎng)絡(luò)設(shè)備進行加密數(shù)據(jù)通信 的所有其他無線網(wǎng)絡(luò)設(shè)備加解密信息,包括EncType域�����、KeyLen域��、KeylD域和SSID域�����,其 中EncType域為兩比特可以表示W(wǎng)EP����、TKIP�、CCMP和WAPI四種加密類型。在EncType域表 示為WEP加密方式時��,KeyLen域有效����,其中KeyLen為1比特用來表示為WEP128加密方式還 是TOP64加密方式。KeylD域表示密鑰ID�����。在EncType域表示為WEP加密方式時,SSID域 有效��,該域3比特位寬�,數(shù)值在0至4之間。該域數(shù)值是TOP密鑰索引值�,表示在TOP加密時 WEP密鑰在廣播/WEP密鑰表存放位置。在需要解密時��,無線網(wǎng)卡芯片會根據(jù)接收到的幀中 發(fā)送站點MAC地址域或組播地址域進行索引���,找到相關(guān)的解密信息區(qū)�����,如果該信息區(qū)指示 加密方式為WEP加密��,則無線網(wǎng)卡芯片會根據(jù)SSID域的指示得知是哪個SSID網(wǎng)絡(luò)使用TOP 加密方式����,從而在廣播密鑰表與該SSID對應(yīng)區(qū)域得到TOP密鑰�。例如,在SSID域數(shù)值為1 時�,接收到數(shù)據(jù)WEP密鑰存放在廣播/WEP密鑰表的第17至32個字區(qū)間內(nèi)。在做為基礎(chǔ)網(wǎng) 絡(luò)模式下�,本地設(shè)備作為STA使用時���,密鑰表的基本組織結(jié)構(gòu)和AP的一樣,其中每一項的具 體含義也可以參照AP密鑰表的����。此處只說明其與AP不同的地方。不同點在于���,MAC地址 中只保存AP的MAC地址,另外31個地址用來存放組播地址���。由于在加密信息區(qū)有EncType 域表示與本地?zé)o線網(wǎng)絡(luò)設(shè)備相通信的其他無線網(wǎng)絡(luò)設(shè)備加密方式�,各個無線網(wǎng)絡(luò)設(shè)備的密 鑰分別存放���,因此使密鑰管理不依賴加密方法���,從而可以做到支持WEP、TKIP����、CCMP和WAPI 加密的無線網(wǎng)絡(luò)設(shè)備都可以與本地設(shè)備進行加密數(shù)據(jù)交互。特別是本地設(shè)備在作為AP使 用時��,可以支持上述四種加密的無線網(wǎng)絡(luò)設(shè)備與本地AP相連接,從而支持TOP�、TKIP、CCMP�����、 WAPI四種不同加密方式設(shè)備與本地AP相連進行加密數(shù)據(jù)相互通信��。圖5是基礎(chǔ)網(wǎng)絡(luò)模式下��,本地設(shè)備作為AP使用時廣播/WEP密鑰表�,共支持5個 邏輯網(wǎng)絡(luò)(5個SSID網(wǎng)絡(luò)),即支持5個廣播密鑰����,從而支持多邏輯網(wǎng)絡(luò)加密。廣播密鑰區(qū) 直接存儲的即為密鑰�,共有5個地址區(qū)可以存儲廣播密鑰,即可以存儲5個SSID的廣播密 鑰����,其中每個密鑰區(qū)分為4個存儲區(qū),每個存儲區(qū)大小為128比特��。在WEP加密方式時�,單 /組/廣播密鑰都放在廣播密鑰區(qū)�,每個邏輯網(wǎng)絡(luò)最多有4套TOP密鑰��,每套TOP密鑰最大 為 128bit��。圖4是基礎(chǔ)網(wǎng)絡(luò)或自組網(wǎng)絡(luò)模式下��,本地設(shè)備作為STA使用時廣播/WEP密鑰表����。 在本地設(shè)備作為STA使用時只有一個廣播密鑰,默認(rèn)存放在SSID0位置�����。在基礎(chǔ)網(wǎng)絡(luò)工作模 式下�,本地?zé)o線局域網(wǎng)設(shè)備接收到廣播幀時���,根據(jù)圖6所示的廣播加密信息�����,直接從SSID0 位置讀取密鑰���。其中廣播加密信息由KeyLen域和EncType域組成��。其中���,EncType域為兩 比特可以表示接收到廣播幀為WEP、TKIP�、CCMP和WAPI四種加密類型。在EncType域表示 為WEP加密方式時��,KeyLen域有效��,其中KeyLen為1比特用來表示接收到廣播幀為WEP128 加密方式還是WEP64加密方式��。在自組網(wǎng)絡(luò)工作模式下�����,本地?zé)o線局域網(wǎng)接收到廣播幀時����, 需要根據(jù)這個廣播幀的發(fā)送方MAC地址進行地址索引,最終得到對應(yīng)加密信息和廣播密鑰 存放位置���。圖3是自組網(wǎng)絡(luò)模式下�,本地設(shè)備做為STA工作時,單播/組播密鑰表���。自組網(wǎng)絡(luò) 模式下�����,密鑰表中���,MAC地址只有16個,密鑰有32個��。組播密鑰會和廣播密鑰相同�����,并且存 放在同一個區(qū)域��。在密鑰區(qū)前16個為單播密鑰��,后16個為組播/廣播密鑰���。需要指出的 是,在接收過程中��,使用的是圖3所示的密鑰區(qū)前16個密鑰進行單播幀解密,使用后16個 密鑰進行組播/廣播解密���。密鑰的獲取方法是���,本地?zé)o線網(wǎng)絡(luò)設(shè)備接收到的幀無論單播還是廣播幀,都使用該幀發(fā)送方MAC地址進行索引���,組播幀使用組播地址進行索引得到索引 結(jié)果���,進而得到加密信息和密鑰。 以上公開的僅為本發(fā)明的幾個具體實施例�����,但本發(fā)明的保護范圍并不局限于此�����, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落在本發(fā)明的保護范圍內(nèi)�����。
權(quán)利要求
一種無線局域網(wǎng)卡芯片密鑰管理裝置���,其特征在于�����,該裝置由MAC地址區(qū)���,單播/組播/廣播加密信息區(qū)����,單播/組播密鑰區(qū)��,廣播/WEP密鑰區(qū)����,密鑰位圖組成;其中所述MAC地址區(qū)存放與本地設(shè)備進行通信的所有站點�、網(wǎng)絡(luò)接入點和本地設(shè)備所在組的組播地址;所述單播/組播加密信息區(qū)存放單播或組播加密相關(guān)信息����,在基礎(chǔ)網(wǎng)絡(luò)工作模式下單播/組播密鑰區(qū)存放與本地設(shè)備進行通信的所有站點、網(wǎng)絡(luò)接接入點和本地設(shè)備所在組對應(yīng)的單播或多播密鑰��;所述單播/組播密鑰區(qū)存放與本地設(shè)備進行通信的所有站點�、網(wǎng)絡(luò)接入點和本地設(shè)備所在組對應(yīng)的單播或多播密鑰;所述廣播/WEP密鑰區(qū)存放廣播密鑰或WEP加密方式密鑰�;所述密鑰位圖標(biāo)識MAC地址區(qū)是否保存了有效地址。
2.如權(quán)利要求1所述的無線局域網(wǎng)卡芯片密鑰管理裝置��,其特征在于包含以下步驟(1)對于發(fā)送而言�,無線網(wǎng)卡芯片根據(jù)主機端告知加密信息和索引值直接在密鑰區(qū)獲 得相應(yīng)密鑰進行加密;(2)接收時密鑰查找使用接收到的發(fā)送方站點MAC地址或組播地址作為索引項進行索引�。
3.一種無線局域網(wǎng)卡芯片密鑰管理裝置,其特征在于����,該方法將加密密鑰進行統(tǒng)一管 理,并且達到對多邏輯網(wǎng)絡(luò)����、單播、組播和廣播密鑰的全部支持�,并可以支持網(wǎng)絡(luò)中不同加 密方式設(shè)備在同一邏輯網(wǎng)絡(luò)或不同邏輯間進行加密數(shù)據(jù)相互通信。
4.如權(quán)利要求1所述的無線局域網(wǎng)卡芯片密鑰管理裝置�,其特征在于,在自組網(wǎng)絡(luò)工 作模式下�,與本地設(shè)備進行通信的所有站點組播與廣播密鑰相同并存放在同一個區(qū)域,本 地設(shè)備發(fā)送使用的廣播密鑰以及WEP密鑰存放在廣播/WEP密鑰區(qū)���。
全文摘要
本發(fā)明提供一種無線局域網(wǎng)卡芯片密鑰管理方法����。無線局域網(wǎng)絡(luò)采用電磁波方式進行通信的工作特點對網(wǎng)絡(luò)的信息安全提出了挑戰(zhàn)。因此�,一般情況下無線局域網(wǎng)絡(luò)設(shè)備工作時通常采用對信息加密的方式進行設(shè)備間數(shù)據(jù)的傳輸。這就要求無線局域網(wǎng)卡芯片必須具備通信密鑰的管理能力���。本發(fā)明提出一種無線局域網(wǎng)卡芯片密鑰管理方法�����,以達到對通信密鑰規(guī)范管理并快速����、準(zhǔn)確獲得通信密鑰目的���。
文檔編號H04W12/04GK101959188SQ200910088799
公開日2011年1月26日 申請日期2009年7月16日 優(yōu)先權(quán)日2009年7月16日
發(fā)明者劉鵬, 趙彥光 申請人:北京中電華大電子設(shè)計有限責(zé)任公司