CN101959188A - 一种无线局域网卡芯片密钥管理方法 - Google Patents
一种无线局域网卡芯片密钥管理方法 Download PDFInfo
- Publication number
- CN101959188A CN101959188A CN2009100887993A CN200910088799A CN101959188A CN 101959188 A CN101959188 A CN 101959188A CN 2009100887993 A CN2009100887993 A CN 2009100887993A CN 200910088799 A CN200910088799 A CN 200910088799A CN 101959188 A CN101959188 A CN 101959188A
- Authority
- CN
- China
- Prior art keywords
- key
- multicast
- district
- network
- wlan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种无线局域网卡芯片密钥管理方法。无线局域网络采用电磁波方式进行通信的工作特点对网络的信息安全提出了挑战。因此,一般情况下无线局域网络设备工作时通常采用对信息加密的方式进行设备间数据的传输。这就要求无线局域网卡芯片必须具备通信密钥的管理能力。本发明提出一种无线局域网卡芯片密钥管理方法,以达到对通信密钥规范管理并快速、准确获得通信密钥目的。
Description
技术领域
本发明涉及无线局域网通信安全领域,由于无线局域网采用电磁波作为通信介质,从而设备间通信内容很容易被第三方截获。因此要求无线局域网设备在进行通信时要采用双方认可得加密方式对明文数据进行加密。
背景技术
一般将基础网络中的网络接入点称为AP(Access Point),与AP相连接进行数据通信或在自组网中进行通信的设备称为STA(Station)。在无线局域网设备通信过程中,为了防止第三方截获通信内容,一般情况下无线局域网络设备工作时通常采用对信息加密的方式进行设备间数据的传输。这就要求无线局域网卡芯片必须具备通信密钥的管理能力。特别基础网络中的AP或是自组网络中的STA都需要维护该网络中所有与本地设备进行加密数据通信的所有无线网络设备密钥信息。因此通信密钥的管理和查找方法将直接影响无线局域网的整体通信性能和设备成本。
发明内容
本发明提出一种无线局域网卡芯片密钥管理方法,该方法可以将WEP、TKIP、CCMP、WAPI四种加密方法密钥进行统一管理,并且可以达到对多逻辑网络、单播、组播和广播密钥的全部支持,并可以支持网络中不同加密方式设备在同一逻辑网络或不同逻辑间进行加密数据通信。以达到对通信密钥规范管理并快速、准确获得通信密钥,降低无线局域网卡芯片成本的目的。本发明具体方案由密钥的存储管理方案和为密钥查找获取方案两部分组成。
在无线局域网设备无法及时获得密钥时,设备将无法及时对通信数据进行加密和解密,进而降低网络通信性能,因此将无线局域网设备通信所需密钥存放在无线网络设备芯片上并采用快速查找的方式可以提高无线网络通信效率。密钥的存储管理方案特征在于:无线局域网设备通信所需密钥在无线局域网芯片上存放,并与芯片的数据接收缓存、数据发送缓存采用同一块物理内存实现。在密钥管理方面,将密钥相关信息化分为单播/组播密钥管理区和广播/WEP密钥管理区两部分,其中,单播/组播密钥管理区由MAC地址区、单播/组播加密信息区和单播/组播密钥区三部分构成。对于广播/WEP密钥管理区而言,由于802.11协议规定广播地址为固定数值,由6个字节的十六进制数F组成,因此不需要存放广播地址。由广播加密信息区和广播密钥区两部分实现对广播密钥的管理功能,其中广播加密信息区由寄存器实现,广播/WEP密钥区用来存放广播密钥或WEP加密方式密钥。
密钥查找获取方案特征在于:在加密时使用直接获取密钥的方式获得发送数据所需的单播、组播和广播加密信息与密钥。在解密时使用多有效地址遍历查找的方式进行接收数据的单播与组播加密信息与密钥获取。在基础网络工作模式下,使用直接方式进行广播加密信息与广播密钥获取;在自组网工作模式下,使用多有效地址遍历查找的方式获取广播加密信息与广播密钥。
附图说明
图1是密钥表的整体分配图。
图2是基础网络AP与STA单播/组播密钥表。
图3是自组网络STA单播/组播密钥表。
图4是基础网络与自组网络STA广播/WEP密钥表。
图5是基础网络AP广播/WEP密钥表。
图6是广播加密信息区结构。
图7是密钥位图。
具体实施方式
以下结合附图,具体说明本发明。
本发明提出一种无线局域网卡芯片密钥管理方法,该方法可以将WEP、TKIP、CCMP、WAPI四种加密方法密钥进行统一管理,并且可以达到对多逻辑网络、单播、组播和广播密钥的全部支持,并可以支持网络中不同加密方式设备在同一逻辑网络或不同逻辑间进行加密数据通信。以达到对通信密钥规范管理并快速、准确获得通信密钥,降低无线局域网卡芯片成本,从而提高无限局域网设备的普及应用。
本发明提出一种无线局域网卡芯片密钥存储管理方法,将无线局域网设备通信所需密钥在无线局域网芯片上存放,并与芯片的数据接收缓存、数据发送缓存采用同一块物理内存实现。将数据接收缓存、数据发送缓存和密钥缓存采用同一块RAM进行物理实现可以降低芯片的实现面积,最终表现为降低芯片成本,该RAM端口宽度为32比特。如图1所示,为整个密钥表的分配情况,可以看出密钥表是放在一块连续的缓存中,将密钥相关信息化分为单播/组播密钥管理区和广播/WEP密钥管理区两部分。其中,单播/组播密钥管理区由MAC地址区、单播/组播加密信息区和单播/组播密钥区三部分构成。广播/WEP密钥管理区由广播加密信息区和广播密钥区两部分实现对广播密钥的管理功能,其中广播加密信息区由寄存器实现,如图6所示。MAC地址区用来存放与本地设备进行通信的所有站点、网络接入点和本地设备所在组的组播地址。单播/组播加密信息区用来存放单播或组播加密相关信息,包括与本地设备进行加密通信设备所在逻辑网络标识(SSID)、密钥标识(KeyID)、密钥长度(KeyLen)和加密类型(EncType),每一个表项使用一个字节表示。单播/组播密钥区存放与本地设备进行通信的所有站点、网络接入点和本地设备所在组对应的单播或多播密钥。下面以当地设备工作在基础网络模式时,支持总和为32个单播/组播设备的加密网络;在自组网模式时,支持总和为16个单播和广播网络的加密网络为例说明本发明的实施方式。但是采用本发明并不局限于只能支持上述的基础网络和自组网模式下接入站点数量。
对于发送而言,主机端驱动程序把使用广播密钥或单播密钥标识和对应的密钥索引值,以及加密类型、密钥长度信息组织在发送描述符中,与待发送数据一同下发到无线网卡芯片。无线网卡芯片会根据上述信息获得相应密钥进行加密。
对于接收而言,无线网卡芯片首先会判断出接收到的是单播、组播帧还是广播帧。无线网卡芯片使用多有效地址遍历查找的方式进行接收数据的单播与组播加密信息与密钥获取。在基础网络工作模式下,使用直接方式进行广播加密信息与广播密钥获取;在自组网工作模式下,使用多有效地址遍历查找的方式获取广播加密信息与广播密钥。
在查找密钥过程中,需要使用接收到的发送方站点MAC地址或组播地址作为索引项,密钥表MAC地址区保存的地址做为被索引项进行索引,最终得到密钥进行解密。索引算法使用多有效地址遍历查找算法,该算法是遍历算法的一种改进,要求在MAC地址区存放被索引对象,也就是与本地设备进行通信的所有站点、网络接接入点和本地设备所在组的MAC地址或组播地址。如图2所示,在密钥表物理缓存中以四个MAC地址或组播地址作为一组按照地址从低到高纵向存放。例如第一组地址中,站点0的MAC地址STAO的最低字节会保存在密钥缓存第一个字的最低字节,STA0的第二低字节保存在密钥缓存第二个字的最低字节,依此类推STAO的最高字节保存在密钥缓存第六个字的最低字节;MAC地址或组播地址同组中的STA3最低字节会保存在密钥缓存第一个字的最高字节,STA3的最高字节保存在密钥缓存第六个字的最高字节,每组四个MAC地址或组播地址共占六个字的密钥缓存。第二组四个MAC地址或组播地址会存放在第一组后连续的六个字,以此类推。
密钥位图由32比特寄存器实现,结构如图7所示。密钥位图寄存器的最低比特用来标识MAC地址区第一组地址STAO位置是否保存了有效地址,最高比特用来标识MAC地址区第八组地址STA31位置是否保存了有效地址。在进行索引时无线网卡芯片会按照密钥位图指示进行索引,首先无线网卡芯片会从密钥缓存中读出密钥位图标识有效的MAC地址组最低字,这个字中的四个字节一定保存的是四个MAC地址或组播地址的最低字节。无线网卡芯片把从密钥表得到的这四个字节分别与接收到的发送方MAC地址或组播地址最低字节进行比较,如果比较结果有相同的部分则需要读取接下来的一个字与收到的站点地址或组播地址第二低字节进行比较,如果MAC地址区最低字节相同,本次比较结果还相同就会继续进行上面的过程,如果直到将地址所有字节都比较结束时MAC地址区有和接收到站点MAC地址或组播地址完全相同的地址,则该地址在MAC地址区的编号就是本次索引得到的索引结果。例如,如果STA0与本次索引使用的接收到的MAC地址或组播地址完全相同,索引结果为0;STA16与本次索引使用的接收到的MAC地址或组播地址完全相同,索引结果为16。如果在索引过程中出现了不能匹配的情况时说明该组MAC地址与接收到的MAC地址或组播地址不同,无线网卡芯片继续根据密钥位图指示读取MAC地址区接下来有效部分,最终完成索引。索引值表示的是对应站点或组加密信息在单播/组播加密信息区保存的位置和对应密钥在密钥区保存的位置。例如,在索引结果为15时,无论在基础网络中单播/组播加密信息区还是自组网络中单播/组播/广播加密信息保存在对应加密信息区第四个字最高字节,TKIP、CCMP和WAPI密钥保存在单播/组播密钥区第121至第128个字区间内。
如果是单播帧,则无线网卡芯片会根据发送方MAC地址先查询单播/组播密钥表的MAC地址区,使用接收到的发送方站点MAC地址进行索引,得到解密的密钥索引值;如果是组播帧,则无线网卡芯片会根据接收到的组播地址先在单播/组播密钥表的MAC地址区进行索引,得到解密的密钥索引值。之后无线网卡芯片根据得到的索引值得到加密信息和对应密钥,进行解密工作。
如图2所示,在基础网络模式下,本地设备作为AP使用时,从图中可以看出,密钥表中共可以存储32个地址(包括单播和组播地址),MAC地址按照cam结构设计,对应的密钥也有32个(包括单播和组播密钥),为了满足TKIP、CCMP和WAPI加密需要每个密钥存储区都设置为8个字大小,单播/组播加密信息区中按照地址索引结果对应存放了每个MAC地址或组地址对应的加解密信息。这些信息是与本地无线网络设备进行加密数据通信的所有其他无线网络设备加解密信息,包括EncType域、KeyLen域、KeyID域和SSID域,其中EncType域为两比特可以表示WEP、TKIP、CCMP和WAPI四种加密类型。在EncType域表示为WEP加密方式时,KeyLen域有效,其中KeyLen为1比特用来表示为WEP128加密方式还是WEP64加密方式。KeyID域表示密钥ID。在EncType域表示为WEP加密方式时,SSID域有效,该域3比特位宽,数值在0至4之间。该域数值是WEP密钥索引值,表示在WEP加密时WEP密钥在广播/WEP密钥表存放位置。在需要解密时,无线网卡芯片会根据接收到的帧中发送站点MAC地址域或组播地址域进行索引,找到相关的解密信息区,如果该信息区指示加密方式为WEP加密,则无线网卡芯片会根据SSID域的指示得知是哪个SSID网络使用WEP加密方式,从而在广播密钥表与该SSID对应区域得到WEP密钥。例如,在SSID域数值为1时,接收到数据WEP密钥存放在广播/WEP密钥表的第17至32个字区间内。在做为基础网络模式下,本地设备作为STA使用时,密钥表的基本组织结构和AP的一样,其中每一项的具体含义也可以参照AP密钥表的。此处只说明其与AP不同的地方。不同点在于,MAC地址中只保存AP的MAC地址,另外31个地址用来存放组播地址。由于在加密信息区有EncType域表示与本地无线网络设备相通信的其他无线网络设备加密方式,各个无线网络设备的密钥分别存放,因此使密钥管理不依赖加密方法,从而可以做到支持WEP、TKIP、CCMP和WAPI加密的无线网络设备都可以与本地设备进行加密数据交互。特别是本地设备在作为AP使用时,可以支持上述四种加密的无线网络设备与本地AP相连接,从而支持WEP、TKIP、CCMP、WAPI四种不同加密方式设备与本地AP相连进行加密数据相互通信。
图5是基础网络模式下,本地设备作为AP使用时广播/WEP密钥表,共支持5个逻辑网络(5个SSID网络),即支持5个广播密钥,从而支持多逻辑网络加密。广播密钥区直接存储的即为密钥,共有5个地址区可以存储广播密钥,即可以存储5个SSID的广播密钥,其中每个密钥区分为4个存储区,每个存储区大小为128比特。在WEP加密方式时,单/组/广播密钥都放在广播密钥区,每个逻辑网络最多有4套WEP密钥,每套WEP密钥最大为128bit。
图4是基础网络或自组网络模式下,本地设备作为STA使用时广播/WEP密钥表。在本地设备作为STA使用时只有一个广播密钥,默认存放在SSID0位置。在基础网络工作模式下,本地无线局域网设备接收到广播帧时,根据图6所示的广播加密信息,直接从SSID0位置读取密钥。其中广播加密信息由KeyLen域和EncType域组成。其中,EncType域为两比特可以表示接收到广播帧为WEP、TKIP、CCMP和WAPI四种加密类型。在EncType域表示为WEP加密方式时,KeyLen域有效,其中KeyLen为1比特用来表示接收到广播帧为WEP128加密方式还是WEP64加密方式。在自组网络工作模式下,本地无线局域网接收到广播帧时,需要根据这个广播帧的发送方MAC地址进行地址索引,最终得到对应加密信息和广播密钥存放位置。
图3是自组网络模式下,本地设备做为STA工作时,单播/组播密钥表。自组网络模式下,密钥表中,MAC地址只有16个,密钥有32个。组播密钥会和广播密钥相同,并且存放在同一个区域。在密钥区前16个为单播密钥,后16个为组播/广播密钥。需要指出的是,在接收过程中,使用的是图3所示的密钥区前16个密钥进行单播帧解密,使用后16个密钥进行组播/广播解密。密钥的获取方法是,本地无线网络设备接收到的帧无论单播还是广播帧,都使用该帧发送方MAC地址进行索引,组播帧使用组播地址进行索引得到索引结果,进而得到加密信息和密钥。
以上公开的仅为本发明的几个具体实施例,但本发明的保护范围并不局限于此,任何本领域的技术人员能思之的变化都应落在本发明的保护范围内。
Claims (4)
1.一种无线局域网卡芯片密钥管理装置,其特征在于,该装置由MAC地址区,单播/组播/广播加密信息区,单播/组播密钥区,广播/WEP密钥区,密钥位图组成;其中:
所述MAC地址区存放与本地设备进行通信的所有站点、网络接入点和本地设备所在组的组播地址;
所述单播/组播加密信息区存放单播或组播加密相关信息,在基础网络工作模式下单播/组播密钥区存放与本地设备进行通信的所有站点、网络接接入点和本地设备所在组对应的单播或多播密钥;
所述单播/组播密钥区存放与本地设备进行通信的所有站点、网络接入点和本地设备所在组对应的单播或多播密钥;
所述广播/WEP密钥区存放广播密钥或WEP加密方式密钥;
所述密钥位图标识MAC地址区是否保存了有效地址。
2.如权利要求1所述的无线局域网卡芯片密钥管理装置,其特征在于包含以下步骤:
(1)对于发送而言,无线网卡芯片根据主机端告知加密信息和索引值直接在密钥区获得相应密钥进行加密;
(2)接收时密钥查找使用接收到的发送方站点MAC地址或组播地址作为索引项进行索引。
3.一种无线局域网卡芯片密钥管理装置,其特征在于,该方法将加密密钥进行统一管理,并且达到对多逻辑网络、单播、组播和广播密钥的全部支持,并可以支持网络中不同加密方式设备在同一逻辑网络或不同逻辑间进行加密数据相互通信。
4.如权利要求1所述的无线局域网卡芯片密钥管理装置,其特征在于,在自组网络工作模式下,与本地设备进行通信的所有站点组播与广播密钥相同并存放在同一个区域,本地设备发送使用的广播密钥以及WEP密钥存放在广播/WEP密钥区。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100887993A CN101959188B (zh) | 2009-07-16 | 2009-07-16 | 一种无线局域网卡芯片密钥管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100887993A CN101959188B (zh) | 2009-07-16 | 2009-07-16 | 一种无线局域网卡芯片密钥管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101959188A true CN101959188A (zh) | 2011-01-26 |
| CN101959188B CN101959188B (zh) | 2012-11-14 |
Family
ID=43486223
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100887993A Active CN101959188B (zh) | 2009-07-16 | 2009-07-16 | 一种无线局域网卡芯片密钥管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101959188B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105120456A (zh) * | 2015-09-08 | 2015-12-02 | 南京创维信息技术研究院有限公司 | 一种智能设备快速接入无线网络的方法及其系统 |
| CN108282551A (zh) * | 2018-03-07 | 2018-07-13 | 成都众网行科技有限公司 | 报文识别处理方法、装置、监听设备及可读存储介质 |
| CN112866999A (zh) * | 2019-11-12 | 2021-05-28 | 深圳长城开发科技股份有限公司 | 一种LoRa通讯方法、系统、终端、服务器及可读存储介质 |
| CN113613245A (zh) * | 2021-08-19 | 2021-11-05 | 支付宝(杭州)信息技术有限公司 | 管理通信信道的方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050021864A1 (en) * | 2003-01-21 | 2005-01-27 | Itay Sherman | 4X design for wireless local area network throughput enhancement |
| CN1747383A (zh) * | 2004-09-08 | 2006-03-15 | 华为技术有限公司 | 一种选择加密/完整性算法的方法 |
| CN101431409A (zh) * | 2007-11-09 | 2009-05-13 | 北京华旗资讯数码科技有限公司 | 可在不同无线局域网中实现保密通信的方法 |
-
2009
- 2009-07-16 CN CN2009100887993A patent/CN101959188B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050021864A1 (en) * | 2003-01-21 | 2005-01-27 | Itay Sherman | 4X design for wireless local area network throughput enhancement |
| CN1747383A (zh) * | 2004-09-08 | 2006-03-15 | 华为技术有限公司 | 一种选择加密/完整性算法的方法 |
| CN101431409A (zh) * | 2007-11-09 | 2009-05-13 | 北京华旗资讯数码科技有限公司 | 可在不同无线局域网中实现保密通信的方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105120456A (zh) * | 2015-09-08 | 2015-12-02 | 南京创维信息技术研究院有限公司 | 一种智能设备快速接入无线网络的方法及其系统 |
| CN108282551A (zh) * | 2018-03-07 | 2018-07-13 | 成都众网行科技有限公司 | 报文识别处理方法、装置、监听设备及可读存储介质 |
| CN108282551B (zh) * | 2018-03-07 | 2021-04-09 | 成都众网行科技有限公司 | 报文识别处理方法、装置、监听设备及可读存储介质 |
| CN112866999A (zh) * | 2019-11-12 | 2021-05-28 | 深圳长城开发科技股份有限公司 | 一种LoRa通讯方法、系统、终端、服务器及可读存储介质 |
| CN112866999B (zh) * | 2019-11-12 | 2023-04-18 | 深圳长城开发科技股份有限公司 | 一种LoRa通讯方法、系统、终端、服务器及可读存储介质 |
| CN113613245A (zh) * | 2021-08-19 | 2021-11-05 | 支付宝(杭州)信息技术有限公司 | 管理通信信道的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101959188B (zh) | 2012-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112449376A (zh) | 用于增强的高吞吐量(ehT)站的系统和方法 | |
| EP1972125B1 (en) | Apparatus and method for protection of management frames | |
| Grabovica et al. | Provided security measures of enabling technologies in Internet of Things (IoT): A survey | |
| US20160135041A1 (en) | Wi-fi privacy in a wireless station using media access control address randomization | |
| CN104754567A (zh) | 向分组的无线装置发送消息的方法和设备 | |
| CN103188766B (zh) | 一种统一配置无线接入点的方法及接入控制器 | |
| CN108366362A (zh) | Mesh网络及其mesh设备安全配网方法 | |
| CN102104870A (zh) | 用于高吞吐量无线通信的在减少分组丢失情况下进行密钥重置的无线设备和方法 | |
| CN102223231B (zh) | M2m终端认证系统及认证方法 | |
| US20050108527A1 (en) | Method and apparatus to provide secured link | |
| CN105554062A (zh) | 一种文件传输方法、相关设备和系统 | |
| CN103533539A (zh) | 虚拟sim卡参数管理方法及装置 | |
| CN101959188B (zh) | 一种无线局域网卡芯片密钥管理方法 | |
| US20230089319A1 (en) | Address randomization schemes | |
| CN101242264A (zh) | 数据传输方法、装置和系统及移动终端 | |
| CN101114906B (zh) | 802.11芯片中管理wpi密钥的方法和装置 | |
| US11665544B2 (en) | Multicast containment in a multiple pre-shared key (PSK) wireless local area network (WLAN) | |
| CN1902855B (zh) | 配置发射机和接收机来加密与解密数据的方法和装置 | |
| CN102761830A (zh) | 多播密钥更新、发送方法、接入点设备、终端设备和系统 | |
| CN101282518B (zh) | 一种手机设备开机时保护用户隐私的方法及智能卡 | |
| CN101588576A (zh) | 一种无线通信系统中保护终端私密性的方法及系统 | |
| JP6499315B2 (ja) | 移動通信システム及び通信網 | |
| CN101034979B (zh) | 一种用户身份的保护方法 | |
| CN101192918B (zh) | 一种广播网络中处理加密流的方法及系统 | |
| CN101277184B (zh) | 一种与3gpp协议兼容的消息结构及其进行通讯的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP02 | Change in the address of a patent holder |
Address after: 102209 Beijing, Beiqijia, the future of science and technology in the south area of China electronic network security and information technology industry base C building, Patentee after: Beijing CEC Huada Electronic Design Co., Ltd. Address before: 100102 Beijing City, Chaoyang District Lize two Road No. 2, Wangjing science and Technology Park A block five layer Patentee before: Beijing CEC Huada Electronic Design Co., Ltd. |