CN101262343B - 无线装置及其密钥交换方法 - Google Patents
无线装置及其密钥交换方法 Download PDFInfo
- Publication number
- CN101262343B CN101262343B CN2007102002478A CN200710200247A CN101262343B CN 101262343 B CN101262343 B CN 101262343B CN 2007102002478 A CN2007102002478 A CN 2007102002478A CN 200710200247 A CN200710200247 A CN 200710200247A CN 101262343 B CN101262343 B CN 101262343B
- Authority
- CN
- China
- Prior art keywords
- wireless device
- key
- frame
- digital signature
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
一种无线装置,用于与至少另一无线装置自动交换密钥,其包括密钥请求模块、密钥产生模块及密钥传递模块。密钥请求模块用于通过传送请求密钥交换帧以请求交换密钥。密钥产生模块用于当请求交换密钥成功时产生新密钥。密钥传递模块用于根据另一无线装置的公钥加密新密钥,并通过传送新密钥发送帧以传递被加密的新密钥。本发明还提供一种密钥交换方法。所述无线装置通过密钥请求模块、密钥产生模块及密钥传递模块利用该密钥交换方法可自动且安全地与另一无线装置交换密钥。
Description
技术领域
本发明涉及无线通信领域,尤其涉及一种无线装置及其密钥交换方法。
背景技术
在电气电子工程师学会(Institute of Electrical and Electronics Engineers,IEEE)802.11无线网络中,无线分布系统(Wireless Distributed System,WDS)连线用于接入点(Access Point,AP)与接入点之间的数据传输。一般建立WDS连线的两个接入点需要用户通过两个接入点的用户接口(User Interface,UI)设定一组相同的有线等效加密(Wired Equivalent Privacy,WEP)密钥。此后,这两个接入点可通过所设定的WEP密钥进行数据传输。
然而,若这两个接入点仅仅支持一组固定的WEP密钥,WDS连线会非常不安全,故,为了保障通信安全,用户需要频繁的手动更换两个接入点的WEP密钥,从而对用户造成很大的困扰。
发明内容
有鉴于此,需要提供一种无线装置,可与另一无线装置自动且安全的交换密钥。
另,还需要提供一种密钥交换方法,可用于两个无线装置之间自动且安全的交换密钥。
一种无线装置,用于与至少另一无线装置自动交换密钥,其包括密钥请求模块、密钥产生模块及密钥传递模块。密钥请求模块用于通过传送请求密钥交换帧以请求交换密钥。密钥产生模块用于当请求交换密钥成功时产生新密钥。密钥传递模块用于根据另一无线装置的公钥加密新密钥,并通过传送新密钥发送帧以传递被加密的新密钥。
一种密钥交换方法,包括以下步骤:通过第一无线装置传送请求密钥交换帧至第二无线装置以请求交换密钥;通过第二无线装置传送同意密钥交换帧至第一无线装置以同意交换密钥;通过第一无线装置产生新密钥;通过第一无线装置根据新密钥及第二无线装置的公钥传送新密钥发送帧至第二无线装置以传递新密钥;通过第二无线装置根据第二无线装置的私钥解读新密钥发送帧而获取新密钥;及通过第二无线装置传送新密钥收到帧至第一无线装置以告知新密钥已收到。
上述无线装置通过密钥请求模块、密钥产生模块及密钥传递模块利用该密钥交换方法可自动且安全地与另一无线装置交换密钥。
附图说明
图1是本发明密钥交换方法一实施环境图。
图2是本发明密钥交换方法另一实施环境图。
图3是本发明实施方式中管理帧的示意图。
图4是本发明实施方式中信息元内容的示意图。
图5是本发明实施方式中另一信息元内容的示意图。
图6是本发明实施方式中第一无线装置与第二无线装置的模块图。
图7是本发明密钥交换方法一实施方式的流程图。
图8是图7中密钥交换方法的具体流程图。
图9是图8中节点A之后的流程图。
具体实施方式
参阅图1,为本发明密钥交换方法一实施环境图。在本实施方式中,无线通信系统包括第一接入点10、第二接入点20、第一移动站11及第二移动站21。第一移动站11与第二移动站21可为任一接入无线局域网的设备,例如:移动电话、携带式电脑、个人数字助理(Personal Digital Assistant,PDA)等。第一移动站11与第一接入点10进行无线通信。第二移动站21与第二接入点20进行无线通信。
在本实施方式中,第一接入点10传送请求密钥交换(Request-key-change)帧至第二接入点20以请求交换密钥,第二接入点20传送同意密钥交换(Agree-key-change)帧至第一接入点10以同意交换密钥。第一接入点10产生新密钥,并根据新密钥与第二接入点20的公钥传送新密钥发送(New-key-send)帧至第二接入点20以传递新密钥。第二接入点20根据第二接入点20的私钥解读新密钥发送帧而获取新密钥,并传送新密钥收到(New-key-received)帧至第一接入点10以告知新密钥已收到。此后,第一接入点10与第二接入点20可通过新密钥进行数据传输。从而,第一接入点10与第二接入点20自动且安全的建立WDS连线。
故,第一移动站11与第二移动站21也可通过第一接入点10与第二接入点20进行无线通信,从而扩展了无线网络的覆盖范围,即无线网络的覆盖范围从第一接入点10或第二接入点20的覆盖范围扩展至第一接入点10与第二接入点20的覆盖范围。
参阅图2,为本发明无需通过接入点的密钥交换方法另一实施环境图。在本实施方式中,无线通信系统包括第三移动站30及第四移动站40。第三移动站30传送请求密钥交换帧至第四移动站40以请求交换密钥,第四移动站40传送同意密钥交换帧至第三移动站30以同意交换密钥。第三移动站30产生新密钥,并根据新密钥与第四移动站40的公钥传送新密钥发送帧至第四移动站40以传递新密钥。第四移动站40根据第四移动站40的私钥解读新密钥发送帧而获取新密钥,并传送新密钥收到帧至第三移动站30以告知新密钥已收到。此后,第三移动站30与第四移动站40可通过新密钥进行数据传输。从而,第三移动站30与第四移动站40自动且安全的建立点对点连线。
故,第三移动站30与第四移动站40无需通过接入点相互连接,而直接进行资源共享。
参阅图3,为本发明实施方式中管理帧1000的示意图。在本实施方式中,管理帧1000为信标帧(Beacon Frame),其包括媒体存取控制(Media Access Control,MAC)表头(Header)1100、帧主体(Frame Body)1200及帧检查序列(Frame Check Sequence,FCS)1300。MAC表头1100与电气电子工程师学会(Institute of Electrical and ElectronicsEngineers,IEEE)802.11协议规定的信标帧的MAC表头的设定一致。帧主体1200包括多个信息元(Information Element,IE)1210。每一个信息元1210包括识别码(ElementIdentifier,Element ID)1211、长度(Length)1212及内容(Challenge Text)1213。在本实施方式中,当一个信息元1210的内容1213被设定为图4中的信息元内容2000,则携带此信息元1210的管理帧1000可成为请求密钥交换帧、同意密钥交换帧或新密钥收到帧。当一个信息元1210的内容1213被设定为图5中的信息元内容3000,则携带此信息元1210的管理帧1000可成为新密钥发送帧。信息元内容2000与信息元内容3000将在下文详述之。
参阅图4,为本发明实施方式中信息元内容2000的示意图。在本实施方式中,信息元内容2000包括信标类型(Beacon Type)2100、确认结果(Acknowledge Result)2200、数字签名长度(Digital Signature Length)2300及数字签名(Digital Signature)2400。
在其它实施方式中,信息元内容2000也可根据不同的需求而划分成不同的字段。
信标类型2100用于指明携带此信息元内容2000的管理帧1000的类型。在本实施方式中,当信标类型2100被设定为1,则表明对应的管理帧1000为请求密钥交换帧。当信标类型2100被设定为2,则表明对应的管理帧1000为同意密钥交换帧。当信标类型2100被设定为4,则表明对应的管理帧1000为新密钥收到帧。
在其它实施方式中,信标类型2100的设定值与管理帧1000的对应关系也可根据不同的需求而变化。
确认结果2200用于表明接受或拒绝。在本实施方式中,当确认结果2200被设定为0,则表明接受;当确认结果2200被设定为1,则表明拒绝。在本实施例中,当管理帧1000为请求密钥交换帧,即信标类型2100被设定为1时,确认结果2200无意义,可以不必设定。当管理帧1000为同意密钥交换帧,即信标类型2100被设定为2时,确认结果2200可被设定为0或1,分别表明接受密钥交换或拒绝密钥交换的请求。当管理帧1000为新密钥收到帧,即信标类型2100被设定为4时,确认结果2200仅被设定为0,表明新密钥已经收到。
数字签名长度2300用于指明数字签名2400的长度。
数字签名2400是基于传送端的私钥被加密的数字签名。在本实施方式中,传送端指传送携带信息元内容2000的管理帧1000的装置,接收端是指接收携带信息元内容2000的管理帧1000的装置。当接收端接收管理帧1000后,可通过传送端的公钥对数字签名2400进行检查,从而确保传送端与接收端之间的通信安全。
参阅图5,为本发明实施方式中信息元内容3000的示意图。在本实施方式中,信息元内容3000包括信标类型3100、密钥长度(Key Length)3200、安全类型(Security Type)3300、加密密钥(Encrypted Key)3400、数字签名长度3500及数字签名3600。
在其它实施方式中,信息元内容3000也可根据不同的需求而划分为不同的字段。
信标类型3100用于指明携带此信息元内容3000的管理帧1000的类型。在本实施方式中,信标类型3100被设定为3,表明对应的管理帧1000为新密钥发送帧。
密钥长度3200用于指明安全类型3300与加密密钥3400的长度。
安全类型3300用于指明信息元内容3000所载的新密钥的类型。在本实施方式中,当安全类型3300被设定为0,则表明所载的新密钥为有线等效加密(Wired Equivalent Privacy,WEP)密钥;当安全类型3300被设定为1,则表明所载的新密钥为WiFi保护访问预共享密钥(Wi-Fi Protected Access Pre-shared Key,WPA-PSK);当安全类型3300被设定为2,则表明所载的新密钥为WiFi保护访问2预共享密钥(Wi-Fi Protected Version 2 AccessPre-shared Key,WPA2-PSK)。
加密密钥3400用于指明基于接收端的公钥被加密的新密钥。在本实施方式中,接收端是指接收携带信息元内容3000的管理帧1000的装置,传送端指传送携带信息元内容300的管理帧1000的装置。传送端通过接收端的公钥对新密钥进行加密,接收端可利用接收端的私钥对新密钥进行解密而获取新密钥,从而传送端安全的将新密钥传送至接收端。
数字签名长度3500用于指明数字签名3600的长度。
数字签名3600是基于传送端的私钥被加密的数字签名。在本实施方式中,传送端指传送携带信息元内容3000的管理帧1000的装置,接收端是指接收携带信息元内容3000的管理帧1000的装置。当接收端接收管理帧1000后,可通过传送端的公钥对数字签名3600进行检查,从而确保传送端与接收端之间的通信安全。
参阅图6,为本发明一实施方式中,第一无线装置100与第二无线装置200的模块图。在本实施方式中,第一无线装置100与第二无线装置200可分别为图1中的第一接入点10与第二接入点20,也可分别为图2中的第三移动站30与第四移动站40。
第一无线装置100包括设定模块110、密钥交换模块120及交换判断模块130。第二无线装置200包括设定模块210、密钥交换模块220及交换判断模块230。其中,密钥交换模块120(220)进一步包括密钥请求模块121(221)、密钥产生模块122(222)及密钥传递模块123(223)。
在其它实施方式中,第一无线装置100也可直接包括设定模块110、密钥请求模块121、密钥产生模块122、密钥传递模块123及交换判断模块130。相应地,第二无线装置200也可直接包括设定模块210、密钥请求模块221、密钥产生模块222、密钥传递模块223及交换判断模块230。
第一无线装置100的设定模块110用于设定第二无线装置200的凭证文件。第二无线装置200的设定模块210用于设定第一无线装置100的凭证文件。在本实施方式中,第二无线装置200的凭证文件包括第二无线装置200的公钥,第一无线装置100的凭证文件包括第一无线装置100的公钥。
第一无线装置100的设定模块110还用于设定第二无线装置200的MAC地址。第二无线装置200的设定模块210还用于设定第一无线装置100的MAC地址。
在本实施方式中,当第一无线装置100与第二无线装置200建立WDS连线时,第一无线装置100的设定模块110需要设定第二无线装置200的MAC地址,第二无线装置200的设定模块210也需要设定第一无线装置100的MAC地址。
在另一实施方式中,当第一无线装置100与第二无线装置200建立点对点连线时,第一无线装置100的设定模块110不需要设定第二无线装置200的MAC地址,第二无线装置200的设定模块210也不需要设定第一无线装置100的MAC地址。
第一无线装置100的密钥交换模块120用于与第二无线装置200进行密钥交换。第二无线装置200的密钥交换模块220用于与第一无线装置100进行密钥交换。
在本实施方式中,第一无线装置100主动向第二无线装置200请求密钥交换。密钥请求模块121用于通过传送请求密钥交换帧以请求密钥交换。密钥请求模块221用于通过传送同意密钥交换帧以同意密钥交换。
具体而言,密钥请求模块121根据第一无线装置100的私钥传送请求密钥交换帧至第二无线装置200。请求密钥交换帧为携带信息元内容2000的管理帧1000。在本实施例中,如图4所示,信息元内容2000的信标类型2100被设定为1,表明请求密钥交换帧的类型,数字签名长度2300是数位签名2400的长度,数字签名2400是基于第一无线装置100的私钥加密的数字签名。
密钥请求模块221接收请求密钥交换帧,并根据第一无线装置100的公钥检查请求密钥交换帧。在本实施方式中,密钥请求模块221根据第一无线装置100的公钥检查请求密钥交换帧的数字签名2400。
然后,密钥请求模块221根据第二无线装置200的私钥传送同意密钥交换帧至第一无线装置100。同意密钥帧为携带信息元内容2000的管理帧1000。在本实施例中,如图4所示,信息元内容2000的信标类型2100被设定为2,表明同意密钥交换帧的类型,确认结果2200被设定为0,表明接受交换密钥的请求,数字签名长度2300是数位签名2400的长度,数字签名2400是基于第二无线装置200的私钥被加密的数字签名。
密钥请求模块121接收同意密钥交换帧,并根据第二无线装置200的公钥检查同意密钥交换帧。在本实施方式中,密钥请求模块121根据第二无线装置200的公钥检查同意密钥交换帧的数字签名2400。
在其它实施方式中,当第二无线装置200主动向第一无线装置100请求密钥交换时,密钥请求模块121与密钥请求模块221的功能也可调换。
在本实施方式中,密钥产生模块122用于当请求密钥交换成功时产生新密钥。在本实施方式中,新密钥为WEP密钥,第一无线装置100根据IEEE 802.11协议产生WEP密钥。
在其它实施方式中,新密钥也可为WPA-PSK或WPA2-PSK密钥,第一无线装置100也可根据IEEE 802.11i协议产生WPA-PSK或WPA2-PSK密钥。
密钥传递模块123用于根据第二无线装置200的公钥加密新密钥,并通过传送新密钥发送帧以传递被加密的新密钥。密钥传递模块223用于通过传送新密钥收到帧以告知新密钥已收到。
具体而言,密钥传递模块123根据新密钥、第二无线装置200的公钥及第一无线装置100的私钥传送新密钥发送帧。新密钥发送帧为携带信息元内容3000的管理帧1000。在本实施例中,如图5所示,信标类型3100设定为3,表明新密钥发送帧的类型,密钥长度3200是安全类型3300与加密密钥3400的长度,安全类型3300被设定为1,表明新密钥的类型为WEP密钥,加密密钥3400是基于第二无线装置200的公钥加密的新密钥。数字签名长度3500是数位签名3600的长度,数字签名3600是基于第一无线装置100的私钥被加密的数字签名。
密钥传递模块223接收新密钥发送帧,并根据第一无线装置100的公钥及第二无线装置200的私钥解读新密钥发送帧而获取新密钥。在本实施例中,密钥传递模块223先根据第一无线装置100的公钥检查新密钥发送帧的数字签名3600,再根据第二无线装置200的私钥解密被加密的新密钥,从而获取新密钥。
然后,密钥传递模块223根据第二无线装置200的私钥传送新密钥收到帧。新密钥收到帧为携带信息元内容2000的管理帧1000。在本实施例中,如图4所示,信标类型2100被设定为4,表明新密钥收到帧的类型,确认结果2200被设定为0,表明新密钥已收到,数字签名长度2300是数位签名2400的长度,数字签名2400是基于第二无线装置200的私钥被加密的数字签名。
密钥传递模块123接收新密钥收到帧,并根据第二无线装置200的公钥检查新密钥收到帧。在本实施方式中,密钥传递模块123根据第二无线装置200的公钥检查数字签名2400。
在其它实施方式中,新密钥也可由第二无线装置200的密钥产生模块222产生,密钥传递模块123与密钥传递模块223的功能也可调换。
此后,第一无线装置100与第二无线装置200可通过新密钥进行数据传输。第一无线装置100或第二无线装置200还判断通信是否中断。在本实施方式中,通信中断可为数据传输完毕或网络连接断开。
如果通信未中断,则第一无线装置100或第二无线装置200还判断是否需要交换密钥。
交换判断模块130与230皆用于判断是否需要交换密钥。在本实施方式中,交换判断模块130与230可同时判断,也可其中之一者判断是否需要交换密钥。由于交换判断模块130与230的功能相同,为了描述简洁,下文仅描述交换判断模块130的功能。
在本实施方式中,交换判断模块130根据预定的交换频率来判断需要交换密钥。举例而言,当用户预设的交换频率为每5分钟1次,则每经过5分钟交换判断模块124就判断需要交换密钥,5分钟未到则判断不需要交换密钥。
在其它实施方式中,交换判断模块124也可根据用户的指令来判断需要交换密钥。例如,当用户发现出现安全隐患时通过按钮或其它方式给出交换指令,交换判断模块124接收交换指令后判断需要交换密钥。
如果需要交换密钥,则第一无线装置100继续传送请求密钥交换帧至第二无线装置200。
如果不需要交换密钥,则第一无线装置100与第二无线装置200继续进行数据传输,直到通信中断。
参阅图7,为本发明密钥交换方法一实施方式的流程图。
在步骤S700,第一无线装置100传送请求密钥交换帧至第二无线装置200以请求交换密钥。
在步骤S702,第二无线装置200传送同意密钥交换帧至第一无线装置100以同意交换密钥。
在步骤S704,第一无线装置100产生新密钥。
在步骤S706,第一无线装置100根据新密钥及第二无线装置200的公钥传送新密钥发送帧至第二无线装置200以传递新密钥。
在步骤S708,第二无线装置200根据第二无线装置200的私钥解读新密钥发送帧而获取新密钥。
在步骤S710,第二无线装置200传送新密钥收到帧至第一无线装置100以告知新密钥已收到。
在步骤S712,第一无线装置100与第二无线装置200通过新密钥进行数据传输。
在步骤S714,第一无线装置100判断通信是否中断。
在其它实施方式中,也可由第二无线装置200判断通信是否中断。
如果通信未中断,则在步骤S716,第一无线装置100判断是否需要交换密钥。
若不需要交换密钥,则回到步骤S712,第一无线装置100与第二无线装置200继续进行数据传输。
若需要交换密钥,则第一无线装置100继续传送请求密钥交换帧至第二无线装置200。
参阅图8,为图7中密钥交换方法的具体流程图。
在步骤S800,第一无线装置100与第二无线装置200分别设定对方的MAC地址。在本实施方式中,第一无线装置100与第二无线装置200建立WDS连线,故需要分别设定对方的MAC地址。
在其它实施方式中,第一无线装置100与第二无线装置200也可建立点对点连线,则不需要设定对方的MAC地址。
在步骤S802,第一无线装置100与第二无线装置200分别设定对方的凭证文件。在本实施方式中,第二无线装置200的凭证文件包括第二无线装置200的公钥,第一无线装置100的凭证文件包括第一无线装置100的公钥。
在步骤S804,与图7的步骤S700相同,具体而言,第一无线装置100根据第一无线装置的私钥传送请求密钥交换帧。在本实施方式中,请求密钥交换帧为携带信息元内容2000的管理帧1000。在本实施例中,如图4所示,信标类型2100被设定为1,数字签名长度2300是数位签名2400的长度,数字签名2400是基于第一无线装置100的私钥加密的数字签名。
在步骤S806,第二无线装置200接收请求密钥交换帧,并根据第一无线装置100的公钥检查请求密钥交换帧。在本实施方式中,第二无线装置200根据第一无线装置100的公钥检查请求密钥交换帧的数字签名2400。
在步骤S808,与图7的步骤S702相同,具体而言,第二无线装置200根据第二无线装置200的私钥传送同意密钥交换帧。在本实施方式中,同意密钥交换帧为携带信息元内容2000的管理帧1000。在本实施例中,如图4所示,信标类型2100被设定为2,确认结果2200被设定为0,数字签名长度2300是数位签名2400的长度,数字签名2400是基于第二无线装置200的私钥被加密的数字签名。
在步骤S810,第一无线装置100接收同意密钥交换帧,并根据第二无线装置200的公钥检查同意密钥交换帧。在本实施方式中,第一无线装置100根据第二无线装置200的公钥检查同意密钥交换帧的数字签名2400。
参阅图9,为图8中节点A之后的流程图。
在步骤S900,与图7的步骤S704相同,第一无线装置100产生新密钥。在本实施方式中,新密钥为WEP密钥,第一无线装置100根据IEEE 802.11协议产生WEP密钥。
在其它实施方式中,新密钥也可为WPA-PSK或WPA2-PSK,第一无线装置100也可根据IEEE802.11i协议产生WPA-PSK或WPA2-PSK。
在步骤S902,与图7的步骤S706相同,具体而言,第一无线装置100根据新密钥、第二无线装置200的公钥及第一无线装置100的私钥传送新密钥发送帧。在本实施方式中,新密钥发送帧为携带信息元内容3000的管理帧1000。在本实施例中,如图5所示,信标类型2100被设定为3,密钥长度3200是安全类型3300与加密密钥3400的长度,安全类型3300被设定为0,加密密钥3400是基于第二无线装置200的公钥被加密的新密钥。数字签名长度3500是数位签名3600的长度,数字签名3600是基于第一无线装置100的私钥被加密的数字签名。
在步骤S904,与图7的步骤S708相同,具体而言,第二无线装置200接收新密钥发送帧,并根据第一无线装置100的公钥及第二无线装置200的私钥解读新密钥发送帧而获取新密钥。
在步骤S906,与图7的步骤S710相同,具体而言,第二无线装置200根据第二无线装置200的私钥传送新密钥收到帧。在本实施方式中,新密钥收到帧为携带信息元内容2000的管理帧1000。在本实施例中,如图4所示,信标类型2100被设定为4,确认结果2200被设定为0,数字签名长度2300是数位签名2400的长度,数字签名2400是基于第二无线装置200的私钥被加密的数字签名。
在步骤S908,第一无线装置100接收新密钥收到帧,并根据第二无线装置200的公钥检查新密钥收到帧。在本实施方式中,第一无线装置100根据第二无线装置200的公钥检查数字签名2400。
在步骤S910,与图7的步骤S712相同,第一无线装置100与第二无线装置200通过新密钥进行数据传输。
在步骤S912,与图7的步骤S714相同,第一无线装置100判断通信是否中断。
在其它实施方式中,也可由第二无线装置200判断通信是否中断。
如果通信未中断,则在步骤S914,与图7的步骤S716相同,第一无线装置100判断是否需要交换密钥。在本实施方式中,第一无线装置100根据一定的交换频率来判断需要交换密钥。举例而言,当交换频率为每5分钟1次,则每经过5分钟交换判断模块124就判断需要交换密钥,5分钟未到则判断不需要交换密钥。
在其它实施方式中,交换判断模块124也可根据用户的指令来判断需要交换密钥。
如果需要交换密钥,则回到图8中的步骤S804,第一无线装置100继续传送一请求密钥交换帧至第二无线装置200。
如果不需要交换密钥,则回到步骤S910,第一无线装置100与第二无线装置200继续进行数据传输,直到通信中断。
在本发明实施方式中,第一无线装置100与第二无线装置200通过四次握手(4-wayHandshake)的流程来交换密钥,四次握手的流程包括通过收发请求密钥交换帧、同意密钥交换帧、新密钥发送帧及新密钥收到帧来交换密钥。且,新密钥通过公钥私钥方式来交换,即第一无线装置100根据第二无线装置200的公钥对新密钥进行加密,第二无线装置200根据第二无线装置200的私钥对被加密的新密钥进行解密。故,第一无线装置100与第二无线装置200自动且安全的交换密钥,进而建立较安全的连线。
另,第一无线装置100与第二无线装置200之间传送的请求密钥交换帧、同意密钥交换帧、新密钥发送帧及新密钥收到帧都被增加数字签名,从而保证整个网络建立流程的安全可靠。
此外,第一无线装置100与第二无线装置200按照一定的交换频率交换密钥,进一步提高了第一无线装置100与第二无线装置200之间通信的安全性。
Claims (16)
1.一种无线装置,用于与至少另一无线装置自动交换密钥,其特征在于,所述无线装置包括:
密钥请求模块,用于通过传送请求密钥交换帧以请求交换密钥;
密钥产生模块,用于当请求交换密钥成功时产生新密钥;及
密钥传递模块,用于根据另一无线装置的公钥加密所述新密钥,并根据另一无线装置的公钥及所述无线装置的私钥传送新密钥发送帧至另一无线装置以传递被加密的新密钥。
2.如权利要求1所述的无线装置,其特征在于,所述密钥请求模块用于根据所述无线装置的私钥传送所述请求密钥交换帧至另一无线装置。
3.如权利要求2所述的无线装置,其特征在于,所述请求密钥交换帧包括信标类型、确认结果、数字签名长度及数字签名;所述信标类型指明所述请求密钥交换帧的类型;所述数字签名长度指明所述数字签名的长度;所述数字签名是基于所述无线装置的私钥加密的数字签名。
4.如权利要求1所述的无线装置,其特征在于,所述新密钥发送帧包括信标类型、密钥长度、安全类型、加密密钥、数字签名长度及数字签名;所述信标类型指明所述新密钥发送帧的类型;所述密钥长度指明所述安全类型与所述加密密钥的长度;所述安全类型指明所述新密钥的类型;所述加密密钥是基于另一无线装置的公钥加密的新密钥;所述数字签名长度指明所述数字签名的长度;所述数字签名是基于所述无线装置的私钥加密的数字签名。
5.如权利要求2所述的无线装置,其特征在于,所述密钥请求模块还用于接收来自于另一无线装置的请求密钥交换帧,并根据另一无线装置的公钥检查所接收的请求密钥交换帧;所述密钥传递模块还用于接收来自于另一无线装置的新密钥发送帧,并根据所述无线装置的私钥及另一无线装置的公钥解读所接收的新密钥发送帧以获取新密钥。
6.如权利要求1所述的无线装置,其特征在于,所述密钥请求模块还用于通过传送同意密钥交换帧以同意交换密钥;所述密钥传递模块还用于通过传送新密钥收到帧以告知新密钥已收到。
7.如权利要求6所述的无线装置,其特征在于,所述同意密钥交换帧包括信标类型、确认结果、数字签名长度及数字签名;所述信标类型指明所述同意密钥交换帧的类型;所述确认结果表明接受交换密钥的请求;所述数字签名长度指明所述数字签名的长度;所述数字签名是基于所述无线装置的私钥加密的数字签名。
8.如权利要求6所述的无线装置,其特征在于,所述新密钥收到帧包括信标类型、确认结果、数字签名长度及数字签名;所述信标类型指明所述新密钥收到帧的类型;所述确认结果表明新密钥已收到;所述数字签名长度指明所述数字签名的长度;所述数字签名是基于所述无线装置的私钥加密的数字签名。
9.如权利要求6所述的无线装置,其特征在于,所述密钥请求模块还用于接收来自于另一无线装置的同意密钥交换帧,并根据另一无线装置的公钥检查所接收的同意密钥交换帧;所述密钥传递模块还用于接收来自于另一无线装置的新密钥收到帧,并根据另一无线装置的公钥检查所接收的新密钥收到帧。
10.如权利要求1所述的无线装置,其特征在于,更包括:
设定模块,用于设定另一无线装置的媒体存取控制地址及凭证文件,所述凭证文件包括另一无线装置的公钥;及
交换判断模块,用于判断是否需要交换密钥。
11.一种密钥交换方法,用于多个无线装置之间交换密钥,其特征在于,所述密钥交换方法包括以下步骤:
通过第一无线装置传送请求密钥交换帧至第二无线装置以请求交换密钥;
通过所述第二无线装置传送同意密钥交换帧至所述第一无线装置以同意交换密钥;
通过所述第一无线装置产生新密钥;
通过所述第一无线装置根据所述新密钥、所述第二无线装置的公钥及所述第一无线装置的私钥传送新密钥发送帧至所述第二无线装置以传递新密钥;
通过所述第二无线装置接收所述新密钥发送帧,并根据所述第一无线装置的公钥及所述第二无线装置的私钥解读所述新密钥发送帧而获取所述新密钥;及
通过所述第二无线装置传送新密钥收到帧至所述第一无线装置以告知新密钥已收到。
12.如权利要求11所述的密钥交换方法,其特征在于,更包括以下步骤:
所述第一无线装置与所述第二无线装置通过所述新密钥进行数据传输;
判断是否需要交换密钥;及
如果需要交换密钥,则通过所述第一无线装置继续传送请求密钥交换帧至所述第二无线装置。
13.如权利要求11所述的密钥交换方法,其特征在于,更包括以下步骤:
通过所述第一无线装置与所述第二无线装置分别设定对方的媒体存取控制地址;及
通过所述第一无线装置与所述第二无线装置分别设定对方的凭证文件,其中所述第一无线装置的凭证文件包括所述第一无线装置的公钥,所述第二无线装置的凭证文件包括所述第二无线装置的公钥。
14.如权利要求11所述的密钥交换方法,其特征在于,通过所述第一无线装置传送请求密钥交换帧至所述第二无线装置包括以下步骤:
通过所述第一无线装置根据所述第一无线装置的私钥传送所述请求密钥交换帧至所述第二无线装置;及
通过所述第二无线装置接收所述请求密钥交换帧,并根据所述第一无线装置的公钥检查所述请求密钥交换帧。
15.如权利要求11所述的密钥交换方法,其特征在于,通过所述第二无线装置传送同意密钥交换帧至所述第一无线装置包括以下步骤:
通过所述第二无线装置根据所述第二无线装置的私钥传送所述同意密钥交换帧至所述第一无线装置;及
通过所述第一无线装置接收所述同意密钥交换帧,并根据所述第二无线装置的公钥检查所述同意密钥交换帧。
16.如权利要求11所述的密钥交换方法,其特征在于,通过所述第二无线装置传送新密钥收到帧至所述第一无线装置包括以下步骤:
通过所述第二无线装置根据所述第二无线装置的私钥传送所述新密钥收到帧至所述第一无线装置;及
通过所述第一无线装置接收所述新密钥收到帧,并根据所述第二无线装置的公钥检查所述新密钥收到帧。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007102002478A CN101262343B (zh) | 2007-03-05 | 2007-03-05 | 无线装置及其密钥交换方法 |
| US11/762,788 US20080219452A1 (en) | 2007-03-05 | 2007-06-14 | Wireless device and key exchange method thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007102002478A CN101262343B (zh) | 2007-03-05 | 2007-03-05 | 无线装置及其密钥交换方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101262343A CN101262343A (zh) | 2008-09-10 |
| CN101262343B true CN101262343B (zh) | 2010-09-29 |
Family
ID=39741632
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007102002478A Active CN101262343B (zh) | 2007-03-05 | 2007-03-05 | 无线装置及其密钥交换方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20080219452A1 (zh) |
| CN (1) | CN101262343B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8694787B2 (en) * | 2007-08-07 | 2014-04-08 | Christophe Niglio | Apparatus and method for securing digital data with a security token |
| US9230286B2 (en) * | 2008-03-14 | 2016-01-05 | Industrial Technology Research Institute | Methods and systems for associating users through network societies |
| CA2748272A1 (en) * | 2008-12-24 | 2010-07-01 | Bce Inc. | System for end user premise event notification |
| CN101729249B (zh) * | 2009-12-21 | 2011-11-30 | 西安西电捷通无线网络通信股份有限公司 | 用户终端之间安全连接的建立方法及系统 |
| JP2011139238A (ja) * | 2009-12-28 | 2011-07-14 | Seiko Epson Corp | 無線通信装置、無線通信方法、及び無線通信プログラム |
| TWI517696B (zh) * | 2012-05-28 | 2016-01-11 | 正文科技股份有限公司 | 呈現器與控制器與其管理方法 |
| CN103582053B (zh) * | 2012-07-23 | 2016-09-14 | 华为终端有限公司 | 一种信道切换方法、装置和系统 |
| CN103812644B (zh) * | 2012-11-09 | 2017-04-26 | 华为终端有限公司 | 一种信息配置方法、设备及系统 |
| KR20150121491A (ko) * | 2014-04-21 | 2015-10-29 | 삼성전자주식회사 | 전자 장치의 비콘 제어 방법 및 장치 |
| CN106533659A (zh) * | 2015-09-14 | 2017-03-22 | 北京中质信维科技有限公司 | 一种密钥更新方法和系统 |
| CN106789092A (zh) * | 2017-02-28 | 2017-05-31 | 河源弘稼农业科技有限公司 | 密钥传输方法、密钥传输装置、服务器和通信设备 |
| US10880279B2 (en) | 2018-11-02 | 2020-12-29 | Sony Corporation | Virtual broadcast of unicast data stream in secured wireless local area network |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1905436A (zh) * | 2005-07-28 | 2007-01-31 | 北京航空航天大学 | 保证数据交换安全的方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6314468B1 (en) * | 1998-09-03 | 2001-11-06 | Mci Worldcom, Inc. | System and method for managing transmission of electronic data between trading partners |
| US7596223B1 (en) * | 2000-09-12 | 2009-09-29 | Apple Inc. | User control of a secure wireless computer network |
| CN1555643A (zh) * | 2001-07-16 | 2004-12-15 | ��Ѷ�о�����˾ | 用于在移动通信设备上支持多证书授权的系统和方法 |
| US6965674B2 (en) * | 2002-05-21 | 2005-11-15 | Wavelink Corporation | System and method for providing WLAN security through synchronized update and rotation of WEP keys |
| US7099476B2 (en) * | 2002-06-04 | 2006-08-29 | Inventec Appliances Corp. | Method for updating a network ciphering key |
| CN100556209C (zh) * | 2003-02-03 | 2009-10-28 | 索尼株式会社 | 无线自组织通信系统、终端设备和相关方法 |
| JP4554968B2 (ja) * | 2004-03-26 | 2010-09-29 | 株式会社日立製作所 | アドホックネットワークにおける無線通信端末装置 |
| US8589687B2 (en) * | 2004-08-18 | 2013-11-19 | Broadcom Corporation | Architecture for supporting secure communication network setup in a wireless local area network (WLAN) |
| US20060126847A1 (en) * | 2004-11-12 | 2006-06-15 | Jin-Meng Ho | System and method for establishing secure communications between devices in distributed wireless networks |
-
2007
- 2007-03-05 CN CN2007102002478A patent/CN101262343B/zh active Active
- 2007-06-14 US US11/762,788 patent/US20080219452A1/en not_active Abandoned
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1905436A (zh) * | 2005-07-28 | 2007-01-31 | 北京航空航天大学 | 保证数据交换安全的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080219452A1 (en) | 2008-09-11 |
| CN101262343A (zh) | 2008-09-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101262343B (zh) | 无线装置及其密钥交换方法 | |
| CN107231627B (zh) | 一种蓝牙网络及配网方法 | |
| CN101262670B (zh) | 移动装置、通信系统及连线建立方法 | |
| KR100694219B1 (ko) | 무선 단말에서의 액세스 포인트 데이터 전송 모드 감지장치 및 그 방법 | |
| EP1628445B1 (en) | A wireless communication system and a communication control method for effecting a wireless LAN communication | |
| CN101534505B (zh) | 通信装置和通信方法 | |
| US8428263B2 (en) | Wireless LAN device, wireless LAN system, and communication method for relaying packet | |
| US10263960B2 (en) | Wireless communication system and wireless communication method | |
| KR20190049774A (ko) | 통신 장치, 통신 장치의 제어 방법 및 프로그램 | |
| US20070190973A1 (en) | Base station, wireless communication systems, base station control programs and base station control methods | |
| CN102869014A (zh) | 终端和数据通信方法 | |
| CN101347029A (zh) | 用于建立独立于承载且安全的连接的系统和方法 | |
| CN110519760B (zh) | 网络接入方法、装置、设备及存储介质 | |
| US20140380443A1 (en) | Network connection in a wireless communication device | |
| CN104540126A (zh) | 多个wi-fi设备自动接入指定接入点ap的方法及系统 | |
| CN110366175B (zh) | 安全协商方法、终端设备和网络设备 | |
| CN101945371B (zh) | 通信设备及其控制方法 | |
| CN115484595A (zh) | 一种公私网业务的隔离方法、装置及系统 | |
| KR100679016B1 (ko) | 무선 네트워크에서 보안 정보를 설정하는 장치, 시스템 및그 방법 | |
| WO2020054478A1 (ja) | 通信装置、通信装置の制御方法およびプログラム | |
| CN108882233B (zh) | 一种imsi的加密方法、核心网和用户终端 | |
| CN103945379B (zh) | 一种在接入网中实现接入认证和数据通信的方法 | |
| US20150280925A1 (en) | Radio transmission apparatus and radio transmission system | |
| CN117981371A (zh) | 一种通信方法、装置及系统 | |
| CN107770769B (zh) | 一种加密方法、网络侧设备及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180226 Address after: The Guangxi Zhuang Autonomous Region Nanning hi tech Zone headquarters Road No. 18, China ASEAN enterprise headquarters base three 5# workshop Patentee after: NANNING FUGUI PRECISION INDUSTRIAL CO., LTD. Address before: 518109 Guangdong city of Shenzhen province Baoan District Longhua Town Industrial Zone tabulaeformis tenth East Ring Road No. 2 two Co-patentee before: Hon Hai Precision Industry Co., Ltd. Patentee before: Hongfujin Precise Industry (Shenzhen) Co., Ltd. |