CN1581775A - 一种实现无线局域网安全的装置及工作方法 - Google Patents
一种实现无线局域网安全的装置及工作方法 Download PDFInfo
- Publication number
- CN1581775A CN1581775A CN 200410018374 CN200410018374A CN1581775A CN 1581775 A CN1581775 A CN 1581775A CN 200410018374 CN200410018374 CN 200410018374 CN 200410018374 A CN200410018374 A CN 200410018374A CN 1581775 A CN1581775 A CN 1581775A
- Authority
- CN
- China
- Prior art keywords
- module
- wireless lan
- interface
- safety
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种实现无线局域网安全的装置,其以热插拔的方式通过标准接口可拆卸连接于现有无线局域网终端设备外部,包括接口模块,输入接口模块(1)及输出接口模块(5);与接口模块双向连接的带加/解密模块的主处理器(2);与带加/解密模块的主处理器(2)双向连接的时钟/控制模块(3),其提供本装置信息流向的开关和通路;与带加解/密模块的主处理器(2)双向连接的存储模块(4)。本发明实现了现有无线局域网终端设备平滑过渡到强制性国标;实现了现有对所有802.11协议族主芯片的兼容;解决了私钥、证书存放的安全,以及离线分发密钥的安全;解决了国际标准和国标的兼容。
Description
技术领域
本发明涉及一种实现无线局域网安全的装置及工作方法,尤其涉及一种符合强制性国家标准(GB15629.11-2003和GB15629.1102-2003)的实现无线局域网安全的装置及工作方法,其适用于无线局网的所有设备,包括终端、接入点、网桥、路由器、网关等。
背景技术
无线局域网设备的可移动性带来了使用上的方便和较高的用户接入速率。随着用户终端网卡、无线接入点等无线局域网设备价格的下降,预计到2002年底~2003年,中国无线局域网的用户数量将迅速增加,迎来发展的新高潮。无线局域网的终端设备范围将涵盖笔记本电脑、台式机、PDA及打印机等办公设备,而无线网卡将成为笔记本电脑的必备配置,无线局域网网络也将进一步在高价位住宅区、酒店等场合广泛应用。同时,无线局域网在家庭的应用也将越来越普及,企业和家庭用户将成为无线局域网设备的市场。无线局域网正迅速得到广大电信运营商的青睐。
但是由于无线局域网是利用空中信号传送,易被截获,接入实行单向认证,加密算法易被破解,极不安全。为此2003年5月,由中国宽带无线IP标准工作组(China Broadband Wireless IP Standard work group,www.chinabwips.org)起草的无线局域网产品的强制性国家标准(GB15629.11-2003和GB15629.1102-2003)正式颁布。标准特别规定了无线局域网的安全机制WAPI(Wireless Authentication and Privacy Infrastructure),其中,数据传输的加密/解密过程采用国家商用密码管理委员会办公室提供的算法实现,以保障数据传输的安全。2003年11月26日,国家质量监督检验检疫总局和国家标准化管理委员会联合发布公告,宣布上述两个强制性国家标准自2003年12月1日起开始实施。
发明内容
本发明所要解决的技术问题是提供一种可实现无线局域网安全的装置及其工作方法,该装置通过标准接口以热插拔的方式可拆卸连接于现有无线局域网终端设备外部,以保障设备接入及数据传输的安全。
为了解决上述技术问题,本发明提供一种可实现无线局域网安全接入的装置,其包括:
接口模块,其包括输入接口模块及输出接口模块;
与接口模块双向连接的带加/解密模块的主处理器;
与带加/解密模块的主处理器双向连接的时钟/控制模块,其提供本装置信息流向的开关和通路;
与带加解/密模块的主处理器双向连接的存储模块;
其中,所述的所述的带加/解密模块的主处理器,包括:
主处理器本体;以及,固化在主处理器本体内并均通过总线双向连接的密码算法模块、输入输出端口、算法控制模块、片内存储器、装置总控模块;
本发明专利可实现无线局域网安全的装置具有如下特点:
1、本发明在用户设置界面时可根据需要选择安全协议,实现了现有无线局域网终端设备,如笔记本和台式机的平滑过渡到强制性国标,解决了国际标准和国标的兼容,换言之,可实现国际漫游。
2、由于本装置在主机驱动程序中无缝嵌入了新的安全协议(WAPI),实现了现有802.11协议族主芯片的新功能的扩展以达到兼容WAPI国标的目的。
3、解决了国家标准中私钥的安全(私钥不可离开执行载体)、证书存放的安全,以及离线分发密钥的安全。
4、装置配置界面可以用户选定,主机不调用无线局域网安全装置即是现行的802.11协议中安全协议,调用无线局域网安全装置即为802.11X协议中WAPI安全协议。
附图说明
图1是本发明的一种实现无线局域网安全的装置的结构示意图。
图2是图1所示的装置的更具体的结构示意图。
图3是图1所示的带加/解密模块的主处理器的具体结构示意图。
图4是本发明的无线局域网安全的装置所采用的工作方法流程图。
具体实施方式
以下结合附图对本发明作进一步的描述:
本实用新型的实现无线局域网安全的装置包括:
接口模块,其包括输入接口模块1及输出接口模块5;
与接口模块双向连接的带加/解密模块的主处理器2,其是一块专用集成电路,简称SoC(System on a Chip,片上***);
与带加/解密模块的主处理器2双向连接的时钟/控制模块3,其提供本装置信息流向的开关和通路,实现装置内部模块的连接及数据的流向控制;
与带加解/密模块的主处理器2双向连接的存储模块4,由16/32位数据宽度的FLASH,16/32位数据宽度的SDRAM、SDRAM、BOOT ROM组成,其内存放主芯片运行及初始化程序,实现装置软件所需的指令和数据驻留及缓冲。
所述的接口模块可根据需要可选用USB 1.0/2.0接口,或者采用SIM接口,或者采用IEEE1394,或者是IIC,或者是PCMCIA。根据不同接口选用不同的接口芯片。该接口模块可实现和主机接口(包括USB接口,SIM卡接口,1394接口,PCMCIA接口等)的数据传输,其主要负责各协议的实现及对相应的硬件的底层驱动,是各子模块中与硬件直接相关的部分向上提供统一接口及函数调用对硬件的驱动(初始化、配置、中断、缓存管理)。
所述的存储模块4由ROM、FLASH、SDRAM组成,ROM实现初始化,FLASH实现固化应用软件,SDAM实现动态数据缓冲存储体系,结合图2所示:所述的存储模块4内贮留有:
与输入/输出接口模块1、5双向连接的多路控制单元41,该多路控制单元是所有模块的条件控制,对应用***的各模块进行链接控制,同时和主机操作***的模块实现无缝链接和***调用。
与多路控制单元41双向连接的转发与缓冲子***42,其用于数据包检查与分类,以及数据包装填、转发与缓冲。
与多路控制单元41双向连接的证书与密钥库43,其用于存放初始化证书、根据使用者需求在不同场申请来的证书及私钥,供***调用。
与输入/输出接口模块双向连接的操作***抽象层模块44,其是嵌入式操作***和应用层的协议、接口的过渡层。
与所述的操作***抽象层模块44双向连接的嵌入式操作***内核模块45,其是本装置操作***核心模块,负责***初始化,***调用。
与所述的操作***抽象层模块44双向连接的嵌入式操作***设备驱动模块46,其负责和主机操作***的无缝连接以及和抽象层模块的对接、驱动。
由于以上模块均采用现有标准,在此不再赘述。
结合图3所示:所述的带加/解密模块的主处理器2包括:
主处理器本体21;
固化在主处理器本体内的WAPI应用软件,其是拼装IP(IntellectualProperty)的过程,IP是集成电路知识产权模块的简称,它包括5个密码算法模块22,分别为:随机数产生算法模块、对称密码算法模块、椭园曲线加密算法模块、杂凑算法模块、椭园曲线数字签名算法模块,以供***调用;
以及,固化在主处理器本体21内的输入/输出端口23,算法控制模块24,片内存储器25,装置总控模块26;
所述密码算法模块22、输入输出端口23、算法控制模块24、片内存储器25、装置总控模块26均通过总线双向连接,由于上述器件均采用现有标准,在此不再赘述。
所述的带加/解密模块的主处理器2主要功能如下:
实现本装置和主机间数据传输控制及热插拔初始化。
向主机提供WAPI协议所需的加/解密函数的实现
如图4所示:本发明还提供一种上述实现无线局域网安全的装置所采用的工作方法,其包括如下步骤:
1、空中无线数据通过无线模块从网络收到符合WAPI标准的网络报文,由无线模块驱动程序进行处理;
2、主机无线模块驱动程序通过操作***内核调用把WAPI报文传送给本实现无线局域网安全的装置。本安全装置通过装置总控模块中的认证模块以及算法控制模块中的解密模块把满足WAPI国标的报文恢复成主机操作***可认的原始数据;
3、本安全装置通过自身的驱动程序把解密好的报文通过主机操作***内核传送给需要此网络数据的上层网络应用程序(如邮件、IE等等);
4、主机网络应用程序在收到报文后回应未加密的报文给操作***内核模块调用;
5、主机操作***内核模块调用把未加密的报文再发送给本装置安全模块;
6、本安全装置收到此未加密的报文后,做相应的加密处理,使之满足WAPI协议,之后把满足WAPI协议的加密数据报通过主机操作***调用传送给无线模块驱动;
7、无线模块驱动程序通过无线模块硬件把加密好的满足WAPI国标的报文发送到空中。
本发明的无线局域网安全装置首次***主机接口时,可自动枚举并下载软件和接口描述符表;接下为再次枚举,通过下载的信息来定义设备,当设备***时它们立即执行。本发明在***和下载私钥时离线到运行商指定地点授权,而不是网络下载。
Claims (8)
1、一种实现无线局域网安全的装置,其以热插拔的方式通过标准接口可拆卸连接于现有无线局域网终端设备外部,其特征在于,包括
接口模块,其包括输入接口模块(1)及输出接口模块(5);
与接口模块双向连接的带加/解密模块的主处理器(2);
与带加/解密模块的主处理器(2)双向连接的时钟/控制模块(3),其提供本装置信息流向的开关和通路;
与带加解/密模块的主处理器(2)双向连接的存储模块(4);
其中,所述的带加/解密模块的主处理器(2),包括:
主处理器本体(21);以及,固化在主处理器本体内并均通过总线双向连接的密码算法模块(22)、输入/输出端口(23)、算法控制模块(24)、片内存储器(25)、装置总控模块(26);
2、根据权利要求1所述的实现无线局域网安全的装置,其特征在于,所述的接口模块采用USB接口、或者采用SIM接口,或者采用802.11协议族的无线接口,或者采用IEEE1394。
3、根据权利要求1所述的实现无线局域网安全的装置,其特征在于,所述的密码算法模块(22)包括随机数产生算法模块、对称密码算模块、椭园曲线加密算法模块、杂凑算法模块、椭园曲线数字签名算法模块。
4、根据权利要求1所述的实现无线局域网安全的装置,其特征在于,所述的存储模块(4)由16/32位数据宽度的FLASH MEMORY,16/32位数据宽度的SDRAM、BOOT ROM组成。
5、一种权利要求1所述的实现无线局域网安全的装置所采用的工作方法,其特征在于,包括如下步骤:
1)、空中无线数据通过无线模块从网络收到符合WAPI标准的网络报文,由无线模块驱动程序进行处理;
2)、主机无线模块驱动程序通过操作***内核调用把WAPI报文传送给本实现无线局域网安全的装置;
3)本安全装置通过装置总控模块中的认证模块以及算法控制模块中的解密模块把满足WAPI国标的报文恢复成主机操作***可认的原始数据;
4)、本安全装置通过自身的驱动程序把解密好的报文通过主机操作***内核传送给需要此网络数据的上层网络应用程序;
5)、主机网络应用程序在收到报文后回应未加密的报文给操作***内核调用;
6)、主机操作***内核调用把未加密的报文再发送给本装置安全模块;
7)、本安全装置收到此未加密的报文后,做相应的加密处理,使之满足WAPI协议,之后把满足WAPI协议的加密数据报通过主机操作***调用传送给无线模块驱动;
8)、无线模块驱动程序通过无线模块硬件把加密好的满足WAPI国标的报文发送到空中。
6、根据权利要求5所述的实现无线局域网安全的装置所采用的工作方法,其特征在于,所述的安全装置和主机无线模块在不使用时是分离的。
7、根据权利要求5所述的实现无线局域网安全的装置所采用的工作方法,其特征在于,所述的安全装置首次***主机接口时,可自动枚举并下载软件和接口描述符表;接下来,再次枚举,通过下载的信息来定义设备,当设备***时它们立即执行。
8、根据权利要求5所述的实现无线局域网安全的装置所采用的工作方法,其特征在于,***和下载私钥时离线到运行商指定地点授权,而不是网络下载。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410018374 CN1581775A (zh) | 2004-05-14 | 2004-05-14 | 一种实现无线局域网安全的装置及工作方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410018374 CN1581775A (zh) | 2004-05-14 | 2004-05-14 | 一种实现无线局域网安全的装置及工作方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1581775A true CN1581775A (zh) | 2005-02-16 |
Family
ID=34581758
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200410018374 Pending CN1581775A (zh) | 2004-05-14 | 2004-05-14 | 一种实现无线局域网安全的装置及工作方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1581775A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101114906B (zh) * | 2006-07-26 | 2010-08-18 | 北京中电华大电子设计有限责任公司 | 802.11芯片中管理wpi密钥的方法和装置 |
| WO2010127545A1 (zh) * | 2009-05-08 | 2010-11-11 | 中兴通讯股份有限公司 | 一种用户证书的管理及使用方法及移动终端 |
| CN101808317B (zh) * | 2009-02-18 | 2013-07-03 | 联想(北京)有限公司 | 一种实现无线局域网安全措施的计算机设备和方法 |
| CN104869112A (zh) * | 2015-04-23 | 2015-08-26 | 中山弘博企业管理咨询有限公司 | 计算机网络安全控制器 |
-
2004
- 2004-05-14 CN CN 200410018374 patent/CN1581775A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101114906B (zh) * | 2006-07-26 | 2010-08-18 | 北京中电华大电子设计有限责任公司 | 802.11芯片中管理wpi密钥的方法和装置 |
| CN101808317B (zh) * | 2009-02-18 | 2013-07-03 | 联想(北京)有限公司 | 一种实现无线局域网安全措施的计算机设备和方法 |
| WO2010127545A1 (zh) * | 2009-05-08 | 2010-11-11 | 中兴通讯股份有限公司 | 一种用户证书的管理及使用方法及移动终端 |
| CN104869112A (zh) * | 2015-04-23 | 2015-08-26 | 中山弘博企业管理咨询有限公司 | 计算机网络安全控制器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2340928C2 (ru) | Собственная wi-fi архитектура для сетей 802.11 | |
| US20110016309A1 (en) | Cryptographic communication system and gateway device | |
| US8365269B2 (en) | Embedded communication terminal | |
| TWI278209B (en) | Method and system for accelerating the conversion process between encryption schemes | |
| WO2009095424A1 (en) | Connections and dynamic configuration of interfaces for mobile phones and multifunctional devices | |
| EP2063682B1 (en) | Technique for platform-to-platform communication | |
| CN103782649A (zh) | 通过对接***和通用网络设备驱动器的无线lan连接切换 | |
| CN1871819A (zh) | 无线通信终端和连接信息设置方法 | |
| US8654780B2 (en) | System and method of communication protocols in communication systems | |
| US7680110B2 (en) | Communication device, communication system, and communication method | |
| US20080141359A1 (en) | Method for preventing unauthorized connection in network system | |
| CN1277373C (zh) | 网络通信***中用户位置信息的传递方法 | |
| CN101039310A (zh) | 链路共享服务装置以及通信方法 | |
| WO2009083430A1 (en) | Apparatus and method for concurrently accessing multiple wireless networks | |
| CN1523808A (zh) | 接入虚拟专用网(vpn)的数据加密方法 | |
| CN100370776C (zh) | 局域网终端实现多用户接入的***及方法 | |
| WO2009092315A1 (zh) | 一种无线个域网接入方法 | |
| CN1703047A (zh) | 虚拟专用网***、通信终端以及相应的远程访问通信方法 | |
| US7904717B2 (en) | Method, apparatus, and manufacture for decryption of network traffic in a secure session | |
| CN101051967A (zh) | 用户网络中用户设备的通信***及其方法 | |
| WO2010015174A1 (zh) | 一种适合无线个域网的接入方法 | |
| CN1581775A (zh) | 一种实现无线局域网安全的装置及工作方法 | |
| CN212343809U (zh) | 一种边缘型蜂窝物联网专网*** | |
| CN1905496A (zh) | 一种对通信设备进行功能测试的***及方法 | |
| CN1848780A (zh) | 标准自动切换的装置及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |