CN101123538B - 无线局域网通信接口的远程加密监管方法 - Google Patents
无线局域网通信接口的远程加密监管方法 Download PDFInfo
- Publication number
- CN101123538B CN101123538B CN2007101315032A CN200710131503A CN101123538B CN 101123538 B CN101123538 B CN 101123538B CN 2007101315032 A CN2007101315032 A CN 2007101315032A CN 200710131503 A CN200710131503 A CN 200710131503A CN 101123538 B CN101123538 B CN 101123538B
- Authority
- CN
- China
- Prior art keywords
- monitoring equipment
- wireless local
- wlan
- local area
- area network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
无线局域网通信接口的远程加密监管方法涉及一种通信接口的监管方法,具体是一种用于无线局域网通信接口的远程加密监管方法,该远程加密监管方法具体包括以下步骤:1)监控中心向监管设备发送连接请求;2)监管设备回送连接响应;3)监控中心发送指令请求;4)监管设备回送指令响应、活动事件上报、截获数据上传;5)监控中心发送指令请求;6)监管设备回送指令响应;监管设备收到释放通知帧后,释放连接相关的资源,监控过程结束。本发明在不影响无线局域网通信性能的情况下实现覆盖范围内所有接入用户无线网络数据的远程监管,该远程监管业务包括WEB访问、远程登录、电子邮件、实时聊天以及网络电话。
Description
技术领域
本发明涉及一种通信接口的监管方法,具体是一种用于无线局域网通信接口的远程加密监管方法,属于无限局域网网络安全技术领域。
背景技术
无线局域网技术相比有线网络具有安装便捷、使用灵活、经济节约、易于扩展等诸多优点,随着这项技术日趋成熟,它被越来越多的企业和个人使用。然而由于无线网络的开放性,无线局域网接入点的信号通过定向或全向天线发向空中,在其有效的天线覆盖范围之内,具有相同接收频率的用户就可能获取接入点发送的信息,或者通过接入点访问上层网络,这就带来了非法信息截取、或授权信息服务等一系列新的信息安全问题。另外,无线局域网还具有移动性,无线网络的终端因为摆脱了线缆的束缚,可以在一定范围内移动,也可以跨区域切换,所以现有的网络监管***无法实现对无线局域网的管理。网络监管***通过截取,过滤和分析网络数据实现网络监管功能。现有的有线网络设备,蜂窝移动通信等大型网络在核心网络设备上设置监管接口,将监管数据通过接口传输到远程监管中心,从而实现大型网络的监管。
现有的无线局域网监管***通过嗅探器监听无线局域网信道,由于监听范围有限,无法监听所有无线局域网设备的通信,容易形成覆盖的死角;无线网络嗅探器通常采用软件方式开发实现,对网络资源的占有量极大,同时需要管理员携带便携式笔记本在现场进行网络监管,增加了人力成本和管理复杂度,也无法对大规模的无线网络进行监管。
发明内容
技术问题:本发明的目的在于克服现有技术中存在监听盲区、软件式监听以及现场监听的诸多困难,提供一种用于无线局域网通信接口的远程加密监管方法,在不影响无线局域网通信性能的情况下实现覆盖范围内所有接入用户无线网络数据的远程监管,该远程监管业务包括WEB访问、远程登录、电子邮件、实时聊天以及网络电话。
技术方案:本发明提出的无线局域网通信接口的远程加密监管方法采用TCP/IP协议栈,通信采用与平台无关的ASN.1编码和WLAN-X接口协议。监管中心与监管设备之间采用点对多点连接方式的客户端/服务器架构模型,监管设备作为网络客户端主动连接到监管中心,被动接受监管中心指令,并主动上报数据。监管中心作为网络服务器实现对各个监管设备的实时控制。通信接口采用加密保护和超时控制保证数据传输的可靠性和保密性。
本发明的无线局域网通信接口的远程加密监管方法具体包括以下步骤:
1)监控中心向监管设备发送连接请求;监管中心向无线局域网监管设备发送请求帧请求连接,该请求帧包括:监管中心标识,无线局域网监管设备标识,认证参数字段,
2)监管设备回送连接响应;无线局域网监管设备对请求帧进行认证,并交换加密参数,无线局域网监管设备向监管中心发送响应帧响应连接请求;其中所述的认证包括相互独立的MD5摘要算法;所述的加密参数包括:MD5摘要算法得出的密钥Kc;所述的响应帧包括:监管中心标识,无线局域网监管设备标识,执行结果,失败原因和应答字段,其中应答字段是由认证字段和密钥,经MD5算法计算的结果,
3)监控中心发送指令请求;监管中心向无线局域网监管设备发送指令请求帧;其中所述的指令请求帧包括:无线局域网监管设备标识和配置参数,
4)监管设备回送指令响应、活动事件上报、截获数据上传;无线局域网监管设备回送指令回应帧,无线局域网监管设备向监管中心发送被控目标的活动事件上报帧以及截获到的被控目标的数据信息上报帧;其中所述的指令回应帧包括:无线局域网监管设备标识、执行结果和失败原因;所述的被控目标是指无线局域网监管设备有效信号覆盖范围内的的所有无线局域网终端和无线局域网接入点;所述的活动事件上报帧包括:无线局域网监管设备标识,事件序列号,被控目标类型,被控目标标识,事件发生时间和事件内容;所述的数据信息上报帧包括:数据序列号,数据方向,协议类型,被控目标的上行或下行数据,结束标志,
5)监控中心发送指令请求;监管中心向无线局域网监管设备发送释放通知帧;其中所述的释放通知帧包括:监管中心标识,无线局域网监管设备标识,连接释放原因。
6)监管设备回送指令响应;监管设备收到释放通知帧后,监管设备释放相关资源。
7)连接释放,监控过程结束。
所述的监管中心和无线局域网监管设备中设有定时器:当无线局域网监管设备在设定时间内无响应,则以请求失败处理;监管中心在设定周期内扫描接口链路是否有故障;无线局域网监管设备设有定时器,用于定时向监管中心上传活动事件或截获数据。
有益效果:本发明提供了一种无线局域网监管中心同时远程控制多个无线局域网监管设备,实现同时监控多个无线局域网的远程监管方法。监管人员无须在被监管现场实施监管活动,同时监管范围由以往的一个无线局域网扩展成多个无线局域网同时被监管,从而提高了监管效率,扩大了检测范围。无线局域网监管中心与远程无线监管设备采用了加密方式进行传输,保证了***的可靠性与安全性。远程无线局域网监管设备可将被监管的无线局域网所有相关物理参数及通信数据安全传输至监管中心,在不影响无线局域网通信性能的情况下实现覆盖范围内所有接入用户无线WEB访问、远程登录、电子邮件、实时聊天以及网络电话等数据业务的远程监管。
附图说明
下面结合附图和具体实施方式对本发明作进一步的说明。
图1是无线局域网监管接口应用场景图;
图2是无线局域网监管接口通信流程图;
图3是认证过程中认证字段计算图;
图4是认证过程中密钥Kc计算图;
图5是认证过程中应答字段计算图;
图6是认证过程中监管中心到无线局域网监管设备的信息加密流程图;
具体实施方式
以下结合附图对本监管接口的具体实现方法作一个详细说明。
如本发明具体包括以下步骤:
1)监控中心向监管设备发送连接请求:
1.1)监管中心确定使用的SQN组别,并将其同标识监管中心身份的秘密数据Ki和接入密码Password计算产生认证字段;
1.2)产生随机数RAND;
1.3)监管中心向监管设备发送请求帧请求连接,并启动定时器。
2)监管设备认证请求并回送连接响应:
2.1)根据监管中心标识查找对应的Ki和监管中心接入密码;
2.2)根据消息中的SQN组号确定SQN;
2.3)监管设备使用与监管中心相同的方法计算认证字段;
2.4)与连接建立请求消息中的认证字段比较,若相同,则监管中心对监管设备的认证通过,否则为认证失败;
2.5)认证通过后,监管设备根据收到的随机数RAND,按照图4计算Kc,
其中SQN是连接建立请求消息中SQN组别号指定组的第一个SQN号;监管设备按照图5计算应答字段,并将计算得到的应答字段填入连接建立响应消息,在连接建立响应消息中指出连接建立成功,将消息发给监管中心。
无线局域网监管设备对请求进行认证,并交换加密参数,无线局域网监管设备向监管中心发送响应帧响应连接请求;
3)监控中心发送指令请求:监管中心向无线局域网监管设备发送指令请求帧;
4)监管设备回送指令响应、活动事件上报、截获数据上传:无线局域网监管设备回送指令回应帧,无线局域网监管设备向监管中心发送被控目标的活动事件上报帧以及截获到的被控目标的数据信息上报帧;
5)监控中心发送指令请求:监管中心向无线局域网监管设备发送释放通知帧;
6)连接释放,监控过程结束:监管设备收到释放通知帧后,释放连接相关的资源,监控过程结束。
所述的标识监管中心身份的秘密数据Ki是指:长度固定为128比特位的只存储在监管中心和监管设备的唯一表示数字;
所述的接入密码Password是指:长度固定为128比特位的接入口令,存储在监管中心和无线局域网监管设备中,Password需要同时在监管中心和无线局域网监管设备改变才能生效;
所述的序列号SQN是指:长度固定为32比特位的序列号,用于防止重播攻击而在监管中心和监管设备中共同维护。
所述的随机数RAND是指:由监管中心产生并发送给监管设备,用于监管中心和监管设备同时产生加密密钥Kc,监管中心和监管设备不存储RAND,但监管中心需要有随机数产生功能,RAND的长度固定为56比特位;
所述的加密密钥Kc是指:通过Ki、RAND和SQN经信息摘要算法5(MD5)算法计算的结果,用于对监管中心和监管设备之间传送的信息进行加密。
所述的MD5算法是指:一种由互联网工程任务组(IETF)定义的用于确保信息传输完整一致的信息摘要算法(互联网标准:RFC1321),是目前广泛使用的杂凑算法之一。
所述的请求帧包括至少三个字段:监管中心标识,无线局域网监管设备标识,认证参数字段;
所述的认证参数字段包括:
所述的定时器是指:在监管中心和无线局域网监管设备中的定时装置,当监管中心发起连接请求、配置参数请求时,无线局域网监管设备在一定时间内无响应,以请求失败处理;监管中心定时扫描接口链路是否有故障;无线局域网监管设备设有定时器,用于定时向监管中心发送无线网络扫描信息。
所述的认证包括:相互独立的双向身份认证,具体是:
1)监管中心发送连接建立请求之前,需确定使用的SQN组别;根据Ki、监管设备接入密码(Password)和SQN计算认证字段;产生随机数RAND。
2)监管设备收到连接建立请求消息后,根据监管设备标识查找对应的Ki和监管设备接入密码,根据消息中的SQN组号确定SQN;监管中心使用与监管设备相同的方法计算认证字段并与连接建立请求消息中的认证字段比较,若相同,则监管中心对监管设备的认证通过,否则为认证失败。
3)认证通过后,监管中心根据连接建立请求消息中的随机数RAND,按照图4计算Kc,其中SQN是连接建立请求消息中SQN组别号指定组的第一个SQN号;监管中心按照图5计算应答字段,并将计算得到的应答字段填入连接建立响应消息,在连接建立响应消息中指出连接建立成功,将消息发给监管设备。
4)监管设备收到连接建立响应消息后,使用与监管中心相同的方法计算出Kc;使用与监管中心相同的方法计算应答字段,并与连接建立响应消息中的应答字段
比较,如果相同则连接建立成功且监管中心生成了正确的Kc。
在认证过程中,计算认证字段、Kc、应答字段时,MD5算法的输入参数统一采用512Bits长度,由各参数按序首尾串联后尾部用全1填充,形成512Bits长的字节流。例如:计算认证字段时,Ki(128Bits)、Password(128Bits)、SQN(32Bits)首尾串联且Ki在高位字节,尾部填充224Bits的全‘1’;计算Kc时,Ki、RAND和SQN首尾串联,计算应答字段时,Kc、RAND和SQN首尾串联,尾部填充全‘1’。
所述的响应帧包括至少五个字段:监管中心标识,无线局域网监管设备标识,执行结果,失败原因和应答字段,其中应答字段是由认证字段和密钥,经MD5算法计算的结果;
所述的指令请求和指令回应包括:
所述的指令请求帧包括至少两个字段:无线局域网监管设备标识和配置参数;
所述的指令回应帧包括至少三个字段:无线局域网监管设备标识、执行结果和失败原因;
所述的被控目标是指无线局域网监管设备有效信号覆盖范围内的的所有无线局域网终端和无线局域网接入点;
监管中心向无线局域网监管设备发出的配置被控目标请求帧包括至少三个字段:被控目标类型,被控目标标识和配置参数;无线局域网监管设备向监管中心发出的响应帧包括至少四个字段:被控目标类型,被控目标标识、执行响应和失败原因。
所述的活动事件上报帧包括至少六个字段:无线局域网监管设备标识,事件序列号,被控目标类型,被控目标标识,事件发生时间和事件内容;
所述的数据信息上报帧包括至少五个字段:数据序列号,数据方向,协议类型,被控目标的上行或下行数据,结束标志;
所述的释放通知帧包括至少三个字段:监管中心标识,无线局域网监管设备标识,连接释放原因;
图1所示:本无线局域网监管接口的基本应用场景,包括监管中心,无线局域网监管设备,被控目标以及监管中心和监管设备之间的链路连接。监管中心对无线局域网监管设备进行管理,收集无线局域网监管设备上报的事件和通信内容,并对收集到的信息进行处理;无线局域网监管设备,用于对被控目标进行监管,是截获无线局域网内通信数据的物理设备;被控目标是无线局域网监管设备有效无线信号覆盖范围之内的无线局域网终端和无线局域网接入点;监管中心和监管设备之间的链路连接是监管接口的物理基础。图1只显示了一个监管中心对一个监管设备的监管,事实上监管中心和监管设备只要互相通过了认证过程,就可以建立监管接口连接,一个监管中心可以同时对多数个监管设备进行管理。每个无线局域网监管设备可以同时监管多数个被控目标。监管中心可以配置监管设备的工作模式,选择需要被监控的接入点和终端,选择需要监控的应用协议,如http、pop3、voip、qq等。监管设备需要向监管中心发送指令反馈消息以及上报消息,指令反馈消息是监管设备针对监管中心发起的指令请求作出的应答信息,上报消息包括活动事件上报和截获数据上传,活动事件包括各接入点和终端的上线、下线、重连接以及无线网络参数扫描事件,截获数据指监管设备针对被控目标的特定被控应用协议所截获的数据流。
如图2所示:该监管接口从建立到释放的流程,该接口协议建立在底层的tcp/ip已经连接建立好的基础上,且该接口协议的建立释放并不影响其物理连接,该接口协议包括监管中心和监管设备之间传输的指令消息、监管设备向监管中心传输的活动事件、监管设备上传给监管中心的截获数据消息。
该监管接口协议的消息类型包括三种,指令消息、活动事件、数据消息。消息被封装在一个帧结构中被传输。对于连接建立请求和连接建立响应消息,经过ASN.1编码后直接封装在帧的净载荷中,而不被加密;对于其他指令消息、活动事件、数据消息,经过ASN.1编码后得到的码流先被加密,然后再填充到净载荷中被传输。帧结构如下所示:
参数 | 类型 | 描述 |
同步字节 | M | 1个字节,固定填写为0xAA。 |
加密算法 | M | 1个字节,0表示未加密,1表示3DES算法,其他取值用于扩展支持其他加密算法 |
有效数据长度 | M | 2个字节,为ASN.1编码后得到的数据长度。采用网络字节序。 |
参数 | 类型 | 描述 |
数据长度 | M | 2个字节,表示净载荷字段的数据长度。采用网络字节序。 |
数据流 | M | 被传输的数据流,包括指令消息、活动事件、数据消息。有效数据实际被传接口消息的实际内容。 |
该监管接口协议的各种消息是由ASN.1抽象语言描述,经ASN.1编译器编译成C/C++源代码,加上相应的应用程序,共同编译生成目标***。采用ASN.1语言设计可以增强***的安全性,且设计时与蜂窝移动通信***监管接口兼容,方便了和其他标准监控设备进行互联。
下面提供的是消息格式举例。
VERSION | TYPE | COMMAND |
消息包括消息版本号(version)、消息类型(type)、消息内容(command)。消息内容(command)的长度因消息类型而异。消息类型如下所示:
1 | 连接建立请求 |
2 | 连接建立响应 |
3 | 连接释放通知 |
4 | 监管设备信息查询请求 |
5 | 监管设备信息查询响应 |
6 | 监管设备监管参数设定请求 |
7 | 监管设备监管参数设定响应 |
8 | 监管设备监管参数修改请求 |
9 | 监管设备监管参数修改响应 |
10 | 设定监管参数请求 |
1 | 连接建立请求 |
11 | 设定监管参数响应 |
12 | 修改监管参数请求 |
13 | 修改监管参数响应 |
14 | 清除监管参数请求 |
15 | 清除监管参数响应 |
16 | 查询监管参数请求 |
17 | 查询监管参数响应 |
18 | 被控目标活动事件上报 |
19 | 截获数据上传 |
这些命令如前所述,都是由ASN.1语言描述,下面对这些命令进行分类介绍:
1.连接建立请求帧
监管中心标识 | 监管设备标识 | 认证信息 |
连接建立请求帧是用来描述监管中心向某监管设备发起连接建立请求。
监管中心标识和监管设备标识数据类型定义为OCTET STRING(SIZE(1..32))(注:后面帧中的监管中心标识和监管设备标识的数据类型都是这样定义的),认证信息包括三部分内容:SQN序列号数据类型定义为INTEGER(1..4294967295);随机数RAND数据类型定义为OCTET STRING(SIZE(7));由Ki、Password和SQN序列号经MD5算法计算出的认证字段的数据类型定义为OCTET STRING(SIZE(16))。认证与加密的具体内容将会在后面介绍。
2.连接建立响应帧
监管设备标识 | 监管中心标识 | 执行结果 | 连接建立失败原因 | 应答字段 |
连接建立响应帧是用来描述某监管设备向监管中心回复的连接建立响应。只有连接建立响应帧表明接口连接建立成功之后,才能进行其他的基于接口的操作和数据传输。
执行结果指连接建立流程是成功还是失败,它的数据类型定义为ENUMERATED,连接建立失败原因指出连接建立流程失败的原因,它的数据类型定义为ENUMERATED,应答字段是由Kc、RAND、SQN,经MD5算法计算的结果,若认证失败,或其他原因导致连接建立失败,不携带此参数,它的数据类型定义为OCTET STRING(SIZE(16))。
3.连接释放通知帧
监管中心标识 | 监管设备标识 | 连接释放原因 |
连接释放通知帧是用来描述监管中心向某监管设备发起连接释放通知。连接建立释放通知帧后,表明接口连接已释放,不再可以进行其他的基于接口的操作和数据传输。
连接释放原因的数据类型定义为ENUMERATED,给出监管中心发起连接释放的原因,包括正常释放、定时器超时、认证失败等。
4.监管设备信息查询请求帧
监管设备标识 |
监管设备信息查询请求帧是用来描述监管中心向某监管设备发出请求,查询它的监管模式。
5.监管设备信息查询响应帧
监管设备标识 | 执行结果 | 失败原因 | 可支持的监管模式 | 当前工作模式 |
监管设备信息查询响应帧是用来描述某监管设备向监管中心回复其监管模式信息。
执行结果指该请求执行是成功还是失败,它的数据类型定义为ENUMERATED,失败原因指出该请求执行失败的原因,它的数据类型定义为ENUMERATED,(注:后面帧中的执行结果和失败原因的数据类型都是这样定义的,失败原因中定义了除连接建立外所有的操作的失败原因),可支持的监管模式列举了该监管设备支持的监管模式参数,由于有可能可以支持多个监管模式,所以它的数据类型定义为BITSTRING,当前工作模式给出该监管设备当前工作在的监管模式,它的数据类型定义为ENUMERATED。
6.监管设备监管参数设定/修改请求帧
监管设备标识 | 监管模式 |
监管设备信息查询设定/修改帧是用来描述监管中心向某监管设备发出请求,设定/修改它的工作监管模式。
监管模式听设备需要工作在的监管模式,它的数据类型定义为ENUMERATED。
7.监管设备监管参数设定/修改响应帧
监管设备标识 | 执行结果 | 失败原因 |
监管设备监管参数设定/修改响应帧是用来描述某监管设备向监管中心发出回应,告知监管设备监管参数设定/修改请求操作的执行结果,如果失败,给出失败原因。
各字段的数据类型在前文中已经定义。
8.设定/修改监管参数请求帧
目标类型 | 目标标识 | 协议类型 | 网络连接方式 |
设定/修改监管参数请求帧是用来描述监管中心向某监管设备发出请求,设定/修改监管设备无线信号有效覆盖范围内的某被控目标的被监管参数。
目标类型是指被控目标的设备类型,包括无线局域网接入点(ap)、无线局域网终端(sta)和全部(ap和sta),它的数据类型定义为ENUMERATED,目标标识用来唯一确定被控目标,取被控目标的MAC地址,它的数据类型定义为OCTET STRING(SIZE(6)),协议类型是指该被控目标需要被监控的应用协议类型,可以选择多个协议类型,所以它的数据类型定义为BIT STRING,网络连接方式是指选择TCP还是UDP作为连接方式,它的数据类型定义为ENUMERATED,(注:后面帧中的目标类型、目标标识、协议类型、网络连接方式的数据类型都是这样定义的)。
9.设定/修改监管参数响应帧
目标类型 | 目标标识 | 执行结果 | 失败原因 |
设定/修改监管参数响应帧是用来描述某监管设备向监管中心发出回应,告知设定/修改监管参数请求操作的执行结果,如果失败,给出失败原因。
各字段的数据类型在前文中已经定义。
10.清除监管参数请求帧
目标类型 | 目标标识 |
清除监管参数请求帧是用来描述监管中心向某监管设备发出请求,清除某被控目标的被监管参数。
各字段的数据类型在前文中已经定义。
11.清除监管参数响应帧
目标类型 | 目标标识 | 执行结果 | 失败原因 |
清除监管参数响应帧是用来描述某监管设备向监管中心发出回应,告知清除监管参数请求操作的执行结果,如果失败,给出失败原因。
各字段的数据类型在前文中已经定义。
12.查询监管参数请求帧
目标类型 | 目标标识 |
查询监管参数请求帧是用来描述监管中心向某监管设备发出请求,查询某被控目标的被监管参数,主要是被控目标的被监控协议类型。
各字段的数据类型在前文中已经定义。
13.查询监管参数响应帧
目标类型 | 目标标识 | 执行结果 | 失败原因 | 协议类型 | 网络连接方式 |
查询监管参数响应帧是用来描述某监管设备向监管中心发出回应,告知查询监管参数请求操作的执行结果,如果失败,给出失败原因,如果成功,给出查询结果。
各字段的数据类型在前文中已经定义。
14.被控目标活动事件上报帧
监管设备标识 | 事件序列号 | 目标类型 | 目标标识 | 事件发生时间 | 事件内容 |
被控目标活动事件上报帧是用来描述某监管设备向监管中心发送被控目标的活动事件,包括被控目标的上线、下线、重连接以及定时发送无线网络扫描事件。
事件序列号是给每个监管设备的上报消息一个序列号,它的数据类型是INTEGER(0..4294967295),事件发生时间是该帧的发送时间,它的数据类型是OCTET STRING (SIZE(7)),采取反序BCD编码,格式为YYYYMMDDHHMMSS,若最后一个字节的高位无效,以F填充,事件内容包括四种,它的数据类型是CHOICE{被控目标上线,被控目标下线,被控目标重连接,无线网络扫描事件}。
1)被控目标上线
连接接入点的ESSID | 连接接入点的MAC地址 |
连接接入点的ESSID和连接接入点的MAC地址表示,若无线终端被控目标上线则给出它连接的无线接入点的ESSID和该接入点的MAC地址,如果是无线接入点被控目标开机上线,则给出它自身的ESSID和MAC地址,ESSID的数据类型定义为OCTETSTRING(SIZE(1..32)),MAC地址数据类型定义为OCTET STRING(SIZE(6))。
2)被控目标下线
取消连接接入点的ESSID | 取消连接接入点的MAC地址 |
取消连接接入点的ESSID和取消连接接入点的MAC地址表示,若无线终端被控目标下线则给出它连接的无线接入点的ESSID和该接入点的MAC地址,如果是无线接入点被控目标下线,则给出它自身的ESSID和MAC地址,数据类型定义同被控目标上线。
3)被控目标重连接
取消连接的接入点的ESSID | 取消连接的接入点的MAC地址 | 重连接接入点的ESSID | 重连接接入点的MAC地址 |
这四个字段分别表示无线终端被控目标产生切换时,新旧接入点的ESSID和MAC地址,数据类型定义同被控目标上线。
4)无线网络扫描事件
被控目标列表 | 结束标志 |
监管设备定时向监管中心上报的无线网络扫描事件,是将其无线信号有效覆盖范围内的所有被控目标及它们的无线网络参数上报给监管中心。由于这个上报消息是定时发送,所以它还起到心跳消息的作用,如果监管中心一段时间内没有收到监管设备的无线网络扫描上报消息,则发出告警,表示监管设备可能出现异常。被控目标列表的数据类型定义为SEQUENCE(SIZE(1..100)),若干个被控目标的信息以SEQUENCE形式串联起来,每个被控目标的信息包括被控目标的类型、被控目标标识、所在无线局域网的ESSID、传输速率、使用的无线信道、无线信号强度和是否加密等。结束标志表示这次的无线网络扫描上报事件有没有结束,它的数据类型定义为ENUMERATED。
15.截获数据上传帧
监管设备标识 | 目标类型 | 目标标识 | 数据序列号 | 数据方向 | 协议类型 | 数据内容有效负荷 | 结束标志 |
截获数据上传帧描述了,某被控目标被要求监管的应用协议数据被某监管设备截获,由该监管设备发送给监管中心。
数据序列号指出数据内容有效负荷的序列号,监管设备应对每个监管接口的数据内容有效负荷进行分别编号,它的数据类型定义为INTEGER(0..4294967295),数据方向指示数据内容有效负荷是被控目标发送出去(上行)的数据,还是接收到(下行)的数据,它的数据类型定义为ENUMERATED,协议类型指出指出数据内容有效负荷是哪种协议数据,它的数据类型定义为ENUMERATED,数据内容有效负荷是被控目标的上行或下行数据,它的数据类型定义为OCTETSTRING(SIZE(0..3072)),结束标志表示数据内容有效负荷是否已经结束,它的数据类型定义为ENUMERATED。
为了保证通信的安全,防止未授权的监管中心接入监管设备,也防止监管设备向未授权的监管中心上报信息,监管中心与监管设备之间应进行双向身份认证,且监管中心与各监管设备之间的认证相互独立。该监管接口必须具备加密功能。认证和加密使用的秘密数据不得在监管接口上明码传输。
下面举例介绍监管接口的认证和加密。
连接建立是监管中心和监管设备的监管接口上执行的第一个流程,当且仅当建立监管接口连接之后,双方才能执行其他流程,例如被控目标设定、撤消和查询。
建立监管接口连接有两个目的:
a.监管中心和监管设备互相进行身份认证,保证双方的合法性
b.交换监管中心和监管设备使用的加密参数
为实现认证和加密,监管中心和监管设备需要支持以下数据和功能:
1.标识监管中心身份的秘密数据Ki:Ki只存储在监管中心和监管设备中,其它任何实体和设备都无权知道Ki。长度固定为128比特位的Ki被设置后一般不做改动。
2.加密密钥Kc:Kc是Ki、RAND和SQN经MD5算法计算的结果,用于对监管中心和监管设备之间传送的信息进行加密。
3.接入密码Password:监管中心接入监管设备建立接口连接时的接入口令,它存储在监管中心和监管设备中。长度固定为128比特位的Password在需要变更时可以改变,但监管中心和监管设备需要同时变更。
4.序列号SQN:长度固定为32比特位。SQN是为了防止重播攻击而在监管中心和监管设备中共同维护的一个序列号。SQN在监管中心和监管设备进行管理,SQN号不需要在监管接口中传输,SQN在MD5计算时使用网络字节序。
5.随机数RAND:由监管中心产生并发送给监管设备,用于监管中心和监管设备同时产生加密密钥Kc。监管中心和监管设备不存储RAND,但监管中心需要有随机数产生功能。RAND的长度固定为56比特位。
6.监管中心和监管设备需要支持认证和密钥产生算法MD5、加密算法3DES。
监管中心发送连接建立请求之前,需要:1)确定使用的SQN组别;2)根据Ki、监管中心接入密码(Password)和SQN计算认证字段;3)产生随机数RAND。图3是认证字段的计算。监管中心向监管设备发送连接建立请求消息,并启动定时器;
监管设备收到连接建立请求消息后,
2.1)根据监管中心标识查找对应的Ki和监管中心接入密码;
2.2)根据消息中的SQN组号确定SQN;
2.3)监管设备使用与监管中心相同的方法计算认证字段;
2.4)与连接建立请求消息中的认证字段比较,若相同,则监管中心对监管设备的认证通过,否则为认证失败;
2.5)认证通过后,监管设备根据连接建立请求消息中的随机数RAND,按照图4计算Kc,其中SQN是连接建立请求消息中SQN组别号指定组的第一个SQN号;监管设备按照图5计算应答字段,并将计算得到的应答字段填入连接建立响应消息,在连接建立响应消息中指出连接建立成功,将消息发给监管中心。
监管中心收到连接建立响应消息后,
1)使用与监管设备相同的方法计算出Kc;
2)使用与监管设备相同的方法计算应答字段,并与连接建立响应消息中的应答字段比较,如果相同则连接建立成功且监管设备生成了正确的Kc。
计算认证字段、Kc、应答字段时,MD5算法的输入参数统一采用512比特位长度,由各参数按序首尾串联后尾部用全1填充,形成512比特位长的字节流。例如:计算认证字段时,Ki(128比特位)、Password(128比特位)、SQN(32比特位)首尾串联且Ki在高位字节,尾部填充224比特位的全‘1’;计算Kc时,Ki、RAND和SQN首尾串联,计算应答字段时,Kc、RAND和SQN首尾串联,尾部填充全‘1’。
认证是否通过,连接建立响应消息中的“监管中心标识”和“监管设备标识”必须与连接建立请求消息中的“监管中心标识”和“监管设备标识”取值相同;2)连接建立请求、连接建立响应和连接释放通知消息不被加密,其他消息将被加密后传输。
对于连接建立请求和连接建立响应消息,经过ASN.1编码后直接封装在帧的净载荷中,而不能被加密;对于其他指令消息、活动事件、数据消息,经过ASN.1编码后得到的码流先被加密,然后再填充到净载荷中被传输。
如图6所示:监管中心到监管设备的信息被加密和解密的过程,从监管设备到监管中心的信息被加密和解密的过程相同。
监管中心使用相反的过程进行解密。
在认证和加密的过程中,认证算法采用MD5摘要算法;加密密钥Kc使用MD5算法产生;
应答字段使用MD5算法产生;加密/解密采用Kc作为加密密钥,使用3DES算法的ECB模式进行加密和解密。3DES需要使用3个64比特位的子密钥,而MD5产生的Kc为128比特位,因此Bit0~Bit63作为第一和第三子密钥,Bit64~Bit127作为第二个子密钥。
对于本技术领域的一般技术人员来说,在不背离本发明所述方法的精神和权利要求范围的情况下对它进行的各种显而易见的改变都在发明的保护范围之内。
Claims (2)
1.一种无线局域网通信接口的远程加密监管方法,其特征在于该远程加密监管方法具体包括以下步骤:
1)监管中心向无线局域网监管设备发送连接请求:监管中心向无线局域网监管设备发送请求帧请求连接,该请求帧包括:监管中心标识,无线局域网监管设备标识,认证参数字段,
2)无线局域网监管设备回送连接响应:无线局域网监管设备对请求帧进行认证,并交换加密参数,无线局域网监管设备向监管中心发送响应帧响应连接请求;其中所述的认证包括相互独立的双向身份认证;所述的加密参数包括:信息摘要算法5摘要算法得出的密钥Kc;所述的响应帧包括:监管中心标识,无线局域网监管设备标识,执行结果,失败原因和应答字段,其中应答字段是由认证参数字段和密钥Kc,经信息摘要算法5计算的结果,
3)监管中心发送指令请求:监管中心向无线局域网监管设备发送指令请求帧;其中所述的指令请求帧包括:无线局域网监管设备标识和配置参数,
4)无线局域网监管设备回送指令响应、活动事件上报、截获数据上传:无线局域网监管设备回送指令回应帧,无线局域网监管设备向监管中心发送被控目标的活动事件上报帧以及截获到的被控目标的数据信息上报帧;其中所述的指令回应帧包括:无线局域网监管设备标识、执行结果和失败原因;所述的被控目标是指无线局域网监管设备有效信号覆盖范围内的所有无线局域网终端和无线局域网接入点;所述的活动事件上报帧包括:无线局域网监管设备标识,事件序列号,被控目标类型,被控目标标识,事件发生时间和事件内容;所述的数据信息上报帧包括:数据序列号,数据方向,协议类型,被控目标的上行或下行数据,结束标志,
5)监管中心发送指令请求:监管中心向无线局域网监管设备发送释放通知帧;其中所述的释放通知帧包括:监管中心标识,无线局域网监管设备标识,连接释放原因,
6)无线局域网监管设备回送释放通知帧响应;监管设备收到释放通知帧后,释放连接相关的资源,监控过程结束。
2.根据权利要求1所述的无线局域网通信接口的远程加密监管方法,其特征在于所述的监管中心和无线局域网监管设备中设有定时器,当无线局域网监管设备在设定时间内无响应,则以请求失败处理;监管中心在设定周期内扫描接口链路是否有故障;无线局域网监管设备设有定时器,用于定时向监管中心上传活动事件或截获数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101315032A CN101123538B (zh) | 2007-09-11 | 2007-09-11 | 无线局域网通信接口的远程加密监管方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101315032A CN101123538B (zh) | 2007-09-11 | 2007-09-11 | 无线局域网通信接口的远程加密监管方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101123538A CN101123538A (zh) | 2008-02-13 |
CN101123538B true CN101123538B (zh) | 2010-06-02 |
Family
ID=39085724
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007101315032A Expired - Fee Related CN101123538B (zh) | 2007-09-11 | 2007-09-11 | 无线局域网通信接口的远程加密监管方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101123538B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103475533B (zh) * | 2012-06-08 | 2019-02-15 | 中兴通讯股份有限公司 | 监控前端接入方法、装置及*** |
CN102752174B (zh) * | 2012-07-23 | 2015-01-28 | 东南大学 | 一种无线局域网安全性能测试***及方法 |
CN112203117A (zh) * | 2020-09-15 | 2021-01-08 | 西安工程大学 | 基于视频编/解码器的视频溯源和防篡改方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1694451A (zh) * | 2004-10-29 | 2005-11-09 | 北京航空航天大学 | 一种分布式网络***协议 |
CN1787462A (zh) * | 2004-12-09 | 2006-06-14 | Lg电子株式会社 | 无线局域网设备和监控无线局域网状态的方法 |
-
2007
- 2007-09-11 CN CN2007101315032A patent/CN101123538B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1694451A (zh) * | 2004-10-29 | 2005-11-09 | 北京航空航天大学 | 一种分布式网络***协议 |
CN1787462A (zh) * | 2004-12-09 | 2006-06-14 | Lg电子株式会社 | 无线局域网设备和监控无线局域网状态的方法 |
Non-Patent Citations (1)
Title |
---|
蒋雪垠等.802.11无线局域网管理报文的截获技术.计算机应用与软件24 7.2007,24(7),72-73,118. * |
Also Published As
Publication number | Publication date |
---|---|
CN101123538A (zh) | 2008-02-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102130768B (zh) | 一种具有链路层加解密能力的终端设备及其数据处理方法 | |
CN101867530B (zh) | 基于虚拟机的物联网网关***及数据交互方法 | |
CN110753327B (zh) | 一种基于无线自组网和LoRa的终端物联接入*** | |
Kolias et al. | Attacks and countermeasures on 802.16: Analysis and assessment | |
CN102035845B (zh) | 支持链路层保密传输的交换设备及其数据处理方法 | |
CN108882238A (zh) | 一种用于移动自组织网中基于共识算法的轻量级轮转ca认证方法 | |
CN101841413A (zh) | 一种端到端安全连接的建立方法及*** | |
CN101123538B (zh) | 无线局域网通信接口的远程加密监管方法 | |
CN102547693B (zh) | 一种无线传感网分簇安全路由方法 | |
Yu et al. | A secure communication protocol between sensor nodes and sink node in underwater acoustic sensor networks | |
Abraham et al. | An efficient protocol for authentication and initial shared key establishment in clustered wireless sensor networks | |
CN110012099A (zh) | 信息监控***和方法 | |
CN102857918A (zh) | 一种车载通信*** | |
CN114025346B (zh) | 一种移动自设网络间数据安全有效的数据传输方法 | |
CN113765900B (zh) | 协议交互信息输出传输方法、适配器装置及存储介质 | |
Bernardinetti et al. | Disconnection attacks against LoRaWAN 1.0. X ABP devices | |
CN106571937A (zh) | 路由器、移动终端及告警信息发送和接收的方法 | |
CN101841547A (zh) | 一种端到端共享密钥的建立方法及*** | |
CN101883358A (zh) | 保障单收发机时间插槽式分布cr mac协议安全的方法 | |
CN101646170B (zh) | 一种以分离mac模式实现wapi与capwap融合的方法 | |
CN101217532B (zh) | 一种防止网络攻击的数据传输方法及*** | |
CN103401682A (zh) | 加密套件的处理方法及设备 | |
CN101217765A (zh) | 一种用于移动互联网协议分析设备的远程通信方法 | |
CN101834862A (zh) | 一种节点间安全连接建立方法及*** | |
Lee et al. | An enhanced Trust Center based authentication in ZigBee networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100602 Termination date: 20120911 |