CN113938882B

CN113938882B - 一种无线局域网通信系统的加解密方法及装置

Info

Publication number: CN113938882B
Application number: CN202111134405.0A
Authority: CN
Inventors: 徐松良
Original assignee: Beijing Nufront Mobile Multimedia Technology Co Ltd
Current assignee: Beijing Nufront Mobile Multimedia Technology Co Ltd
Filing date: 2021-09-27
Publication date: 2024-06-21
Anticipated expiration: 2041-09-27

Abstract

本发明提供了一种无线局域网通信系统的加解密方法及装置，包括：接收来自MAC层的数据流，根据不同的帧类型提取需要加密的帧体部分，按照指定的算法和模式对MAC帧体部分进行加密运算，输出帧体加密后的MAC帧并通过物理层发送；接收物理层的数据，对帧体加密后的MAC帧进行解密，将解密后的MAC帧通过直接存储器访问的方式写到内存中。本发明提供的加解密方法不需要额外的数据搬移，能有效节约系统资源，降低系统时延。

Description

一种无线局域网通信系统的加解密方法及装置

技术领域

本发明属于无线局域网通信技术领域，尤其涉及一种无线局域网通信系统的加解密方法及装置。

背景技术

加解密在硬件系统中通常是作为独立的功能单元实现,作为硬件加速器来使用，即当需要对数据进行加解密时，图1a、1b为现有技术中加解密流程图，软件发起加密及解密操作，硬件加解密模块通过直接存储器访问DMA(Direct memory access)的方式读取明文或密文，加解密完成后将密文、明文通过DMA方式写回，软件收到加解密完成中断后，即可再次发起加解密操作。

这种方式不关心系统具体的功能，只要提供数据接口，就可以简单移植到任意系统中，但缺点是每一次加密、解密操作都需要软件发起参与(中断)，且每一次操作都会引入数据搬移，即先从内存读取全部数据作为加解密输入，加解密完成后再把全部输出数据写回内存。系统传输速率越快，需要加解密的数据量越多，当数据块大小固定时，意味着中断次数以及额外的内存搬移次数也越多。过多的中断以及频繁的数据搬移会消耗大量系统资源，影响系统执行效率，尤其是超高速无线局域网通信系统(Enhanced Ultra HighThroughput)EUHT这种高吞吐、低延时的系统需求现有技术中的加解密方式难以满足。

发明内容

有鉴于此，本发明针对超高速无线局域网通信系统，提供一种新的加解密硬件实现方法，加密、解密过程不直接操作内存数据，而是处理来自EUHT MAC层的数据流：加密时，对MAC帧体进行识别并加密，然后将帧体加密后的MAC帧直接通过物理层发送出去；解密时MAC将接收到的帧数据进行解密，然后将解密后的数据通过DMA写到内存中，整个加密、解密过程随数据发送、接收过程完成，不再需要软件组织每组数据的加解密，也不需要增加额外的数据搬移，只需要一次DMA操作即可完成整个加解密过程。

一种无线局域网通信系统的加解密方法，包括：

接收来自MAC层的数据流，提取出MAC帧中的帧体部分进行加密处理，输出帧体加密后的MAC帧并通过物理层发送；

接收物理层的数据，对帧体加密后的MAC帧进行解密，将解密后的MAC帧通过直接存储器访问的方式写到内存中。

识别MAC帧头获取帧类型及帧结构信息，根据不同的帧类型提取需要加密的帧体部分，按照指定的算法和指定的模式对MAC帧帧体部分进行加密运算，生成加密帧体；

根据不同的帧类型读取加密帧体并进行帧组合：将加密帧体、MAC帧头、帧校验序列进行帧组合，生成加密后的MAC帧并通过物理层发送。

所述根据不同的帧类型提取需要加密的帧体部分，包括：

所述帧类型包括：数据帧、有序号的管理控制帧、无序号的管理控制帧；

对于数据帧以及有序号的管理控制帧，读取6字节的MAC帧头，通过12比特帧长字段读取需要加密的帧体部分；

对于无序号的管理控制帧，通过子类型确定管理控制帧格式，读取帧头内容，确定帧体长度，按照帧体长度读取待加密的MAC帧体。

所述根据不同的帧类型读取加密帧体并进行帧组合，包括：

对于数据帧以及有序号的管理控制帧，读取6字节的MAC帧头，通过12比特帧长字段读取需要加密的帧体部分；所述6字节的MAC帧头包括2字节帧控制字段和帧控制字段后的4个字节；

对于无序号的管理控制帧，通过子类型确定具体的管理控制帧格式读取帧头内容，确定帧体长度，然后按照帧体长度读取已加密的MAC帧体。

一种无线局域网通信系统的加密装置，包括：

帧解析模块，接收来自MAC层的数据流，提取出MAC帧中的帧体部分；

加密模块，将帧解析模块提取出的帧体部分进行加密处理，输出帧体加密后的MAC帧；

发送模块，将帧体加密后的MAC帧通过物理层发送。

所述帧解析模块识别MAC帧头获取帧类型及帧结构信息，根据不同的帧类型提取需要加密的帧体部分：

所述加密模块包括：

加密控制单元，控制加密运算单元按照指定的算法和模式MAC帧体部分进行加密运算；

加密运算单元，根据加密控制单元的指示对帧解析模块提取出的MAC帧体进行加密运算，生成加密后的MAC帧体；

帧组合单元，根据不同的帧类型读取加密帧体并进行帧组合：将加密帧体、MAC帧头、帧校验序列进行帧组合，生成加密后的MAC帧。

所述帧组合单元根据不同的帧类型读取加密帧体并进行帧组合，包括：

一种无线局域网通信系统的解密装置，包括：

识别单元，用于识别MAC帧头获取帧类型及帧结构信息，根据不同的帧类型识别并已加密MAC帧体：如果是数据帧或是有序号的管理控制帧，就读取帧控制字段后面的4个字节，连同帧控制字段的2字节组成6字节的MAC头，然后通过12比特帧长字段读取经过加解密后的帧体；如果是无序号的管理控制帧，先通过子类型确定具体的管理控制帧格式读取帧头内容，并确定帧体长度，然后按照帧体长度读取加密的MAC帧体；

解密运算单元，对帧体加密后的MAC帧体进行解密，生成解密后的MAC帧。

本发明提供技术方案，在保留通用性即保留支持硬件加速模式的同时，针对EUHT高吞吐/低延时的系统特性，提供了一种新的加解密硬件实现结构，软件只需提前配置工作模式，加解密工作过程中不再需要软件参与，不用中断，不需要额外的数据搬移，能有效节约系统资源；同时加密、解密在EUHT数据传输过程中自动由硬件完成，软件无需再对待发送数据或已接收数据进行加解密，能有效降低系统延时，确保满足EUHT高吞吐低延时的系统特性。

本发明达到的有益技术效果：

1.加解密模块直接作用在EUHT MAC层数据流中，不需要频繁中断来通知软件，也不需要额外的内存数据读写操作，能够有效节约系统资源；

2.加密、解密在EUHT发送/接收过程中由硬件完成，软件无需对待发送数据/已接收数据进行加解密，能够有效降低系统延时；

3.保留硬件加速模式的通用性，允许通过DMA读取内存数据，并将加解密结果写入内存。

为了上述以及相关的目的，一个或多个实施例包括后面将详细说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明某些示例性方面，并且其指示的仅仅是各个实施例的原则可以利用的各种方式中的一些方式。其它的益处和新颖性特征将随着下面的详细说明结合附图考虑而变得明显，所公开的实施例是要包括所有这些方面以及它们的等同。

附图说明

图1a是现有技术中通过直接访问存储器的方式加解密流程图；

图1b是现有技术中通过直接访问存储器的方式加解密并传输数据的方法流程图；

图2是本发明实施例一提供的无线局域网通信系统的加解密方法步骤图；

图3是本发明实施例一提供的无线局域网通信系统的加解密方法流程图；

图4a-4e是本发明实施例一提供的EUHT系统中不同类型帧结构示意图；

图5a-5b是本发明实施例一提供的提取MAC帧体示意图；

图6是本发明实施例一提供的数据发送、接收过程的数据流示意图；

图7是本发明实施例二提供的无线局域网通信系统的加密装置架构图。

具体实施方式

以下描述和附图充分地示出本发明的具体实施方案，以使本领域的技术人员能够实践它们。其他实施方案可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求，否则单独的组件和功能是可选的，并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本发明的实施方案的范围包括权利要求书的整个范围，以及权利要求书的所有可获得的等同物。在本文中，本发明的这些实施方案可以被单独地或总地用术语“发明”来表示，这仅仅是为了方便，并且如果事实上公开了超过一个的发明，不是要自动地限制该应用的范围为任何单个发明或发明构思。

现有技术中的加解密方法，在EUHT系统中如果作为硬件加速器来使用，则每加解密一个数据块，就需要软件发起一次加解密操作，系统会增加一次DMA读取和一次DMA写入操作，这样，一个数据块的发送/接收各需要3次DMA操作才能完成，系统资源消耗增加较大，效率比较低。

本发明提供的加解密方法及装置，发送数据时，EUHT系统的媒体接入控制层MAC通过直接存储器访问DMA的方式从内存取得待发送数据后，将待发送数据打包成EUHT帧格式，然后通过物理层PHY发送出去。接收数据时，接收来自PHY的数据，再通过DMA接口写回到内存，加入加解密之前只需要一次DMA操作。

实施例一

本发明提供的一种无线局域网通信系统的加解密方法，如图2所示，包括：

S1.接收来自MAC层的数据流，提取出MAC帧中的帧体部分进行加密处理，输出帧体加密后的MAC帧并通过物理层发送；流程图如图3所示；

具体的，包括以下步骤：

S11.识别MAC帧头获取帧类型及帧结构信息，根据不同的帧类型提取需要加密的帧体部分；

MAC层的帧包括数据帧和管理控制帧，数据帧格式如图4a,包括6字节MAC头，0-4095字节的可变长度帧体，4字节帧校验序列FCS；管理控制帧包括有序列号管理控制帧和无序列号管理控制帧，其中，有序号管理控制帧的通用格式如图4b所示，包括6字节MAC头，0-4095字节的可变长度帧体，4字节帧校验序列FCS；

无序号管理控制帧的格式比较复杂，通用帧格式如图4c所示，包含2字节帧控制字段，帧体，以及4字节帧校验序列FCS；部分无序号管理控制的帧格式较特殊，比如独立资源请求帧格式如图4d所示；

上述MAC帧类型虽然帧格式不太一致，但有个共同点，即每个MAC帧开始都是16比特的帧控制字段，格式如图4e所示；其中，帧类型字段占其中1比特，为1表示是数据帧，为0表示是管理控制帧。子类型字段占5比特，用来区分不通类型的数据帧/管理控制帧；通过帧类型和子类型这6个比特，可以区分MAC帧的具体类型，即区分每个MAC帧的帧结构；

对于数据帧以及有序号的管理控制帧，读取6字节的MAC帧头，通过12比特帧长字段读取需要加密的帧体部分，如图5a所示灰色部分即为待加密帧体；

对于无序号的管理控制帧，通过子类型确定管理控制帧格式，读取帧头内容，确定帧体长度，按照帧体长度读取待加密的MAC帧体；通过具体的管理控制帧格式来提取得到需要加解密的字段内容，例如图4d所示的独立资源请求帧，通过4比特长的FID个数这个字段的值，来得到总的需要加解密的帧体长度，因为每个FID对应的需要加解密的内容是2个字节，若FID个数是8，那么知道帧体部分是从MAC第5个字节开始的长度是16字节的一段内容,如图5b所示灰色部分即为待加密帧体。

S12.按照指定的算法和指定的模式对MAC帧帧体部分进行加密运算，生成加密帧体；

预设算法包括高级加密标准AES(Advanced Encryption Standard)、分组密码国密标准SM4、祖冲之算法ZUC等常用加密算法，加密模式信息包含密码块链接CBC(CipherBlock Chaining)/一种带有完整性保护功能的加密模式GCM(Galois Counter Mode)/一种带有完整性保护功能的加密模式CCM(CTR with CBC-MAC Protocol)等加解密模式信息。软件通过用户配置接口，预先配置密钥/加密算法/加密模式等信息配置到加解密控制单元，通过加解密控制单元来控制加解密模块按照指定的算法和指定的模式(比如指定用SM4算法GCM模式)来加密、解密MAC帧体。

S13.根据不同的帧类型读取加密帧体并进行帧组合：将加密帧体、MAC帧头、帧校验序列进行帧组合，生成加密后的MAC帧并通过物理层发送。

根据不同的帧类型读取已加密帧体，与未加密的MAC帧其他部分进行组合，得到加密后的MAC帧，同样，根据上述步骤S12中的帧类型读取已加密帧体，具体如下：

读取MAC头的前2个字节的帧控制字段，通过帧控制字段中的帧类型和子类型获取MAC帧格式；

如果是数据帧或是有序号的管理控制帧，就读取帧控制字段后面的4个字节，连同帧控制字段的2字节组成6字节的MAC头，然后通过12比特帧长字段读取经过加解密后的帧体；

如果是无序号的管理控制帧，先通过子类型确定具体的管理控制帧格式读取帧头内容，并确定帧体长度，然后按照帧体长度读取加密的输出帧体。MAC头加上帧体，再加上FCS后就恢复成完整的MAC帧结构。

S2.接收物理层的数据，对帧体加密后的MAC帧进行解密，将解密后的MAC帧通过直接存储器访问的方式写到内存中；数据发送、接收过程的数据流如图6所示；

S21.识别MAC帧头获取帧类型及帧结构信息，根据不同的帧类型识别并已加密MAC帧体；

如果是无序号的管理控制帧，先通过子类型确定具体的管理控制帧格式读取帧头内容，并确定帧体长度，然后按照帧体长度读取加密的MAC帧体。

S22.对帧体加密后的MAC帧进行解密；

需要说明的是，本发明中的加解密算法是指对称加密算法，即信息的发送方和接收方用同一个密钥去加密和解密数据。对称加密算法的优势是加密、解密速度快，适合于对大数据量进行加解密，需要在加密通信前先协商分配好密钥，密钥中包含加密算法及模式信息；

发送端和接收端密钥的协商需要通过安全密钥服务器，或者基站通过安全途径实现；

接收端按照预先协商的加密算法及加密模式对帧体加密后的MAC帧体进行解密，将解密帧体、MAC帧头、帧校验序列进行帧组合，生成解密后的MAC帧，将解密后的MAC帧通过直接存储器访问的方式写到内存中。

实施例二

本实施例提供了一种无线局域网通信系统的加密装置200，如图7所示，包括：

帧解析模块210，接收来自MAC层的数据流，提取出MAC帧中的帧体部分，将待加密帧体内容送给加密运算单元222进行加密处理，将不需要加密的其他部分(MAC帧头、帧校验序列)发送至帧组合单元223；

所述帧解析模块210识别MAC帧头获取帧类型及帧结构信息，根据不同的帧类型提取需要加密的帧体部分：

每个MAC帧开始都是16比特的帧控制字段，格式如图4e所示；其中，帧类型字段占其中1比特，为1表示是数据帧，为0表示是管理控制帧。子类型字段占5比特，用来区分不通类型的数据帧/管理控制帧；通过帧类型和子类型这6个比特，可以区分MAC帧的具体类型，即区分每个MAC帧的帧结构；

加密模块220，将帧解析模块提取出的帧体部分进行加密处理，输出帧体加密后的MAC帧，包括：

加密控制单元221，控制加密运算单元按照指定的算法和模式MAC帧体部分进行加密运算；

软件通过用户配置接口，把密钥/加密算法/加密模式等信息预先配置到加密控制单元221，通过加密控制单元来控制加密运算单元222按照指定的算法和指定的模式(比如指定用SM4算法GCM模式)来加密/解密MAC帧。

加密运算单元222，根据加密控制单元的指示对帧解析模块210提取出的MAC帧体进行加密运算，生成加密后的MAC帧体；

其中加密运算单元222包括预先存储AES/SM4/ZUC等常用加解密算法的加密算法单元222a,和存储有CBC/GCC/CCM等加解密模式信息的加密模式单元222b；

帧组合单元223，根据不同的帧类型读取加密帧体并进行帧组合：将加密帧体、MAC帧头、帧校验序列进行帧组合，生成加密后的MAC帧。

具体的，加密运算单元222将加密输出结果送给帧组合单元223，通过帧组合单元223恢复成加密后的MAC帧，并发送给EUHT MAC层做后续处理；

帧组合单元223首先读取MAC头的前2个字节的帧控制字段，通过帧控制字段中的帧类型和子类型获取MAC帧格式，如果是数据帧或是有序号的管理控制帧，就读取帧控制字段后面的4个字节，连同帧控制字段的2字节组成6字节的MAC头，然后通过12比特帧长字段读取经过加解密后的帧体。如果是无序号的管理控制帧，先通过子类型确定具体的管理控制帧格式读取帧头内容，并确定帧体长度，然后按照帧体长度读取加解密的输出帧体。MAC头加上帧体，再加上FCS后就恢复成完整的MAC帧结构了

发送模块230，将帧体加密后的MAC帧通过物理层发送；

接收物理层的数据，对帧体加密后的MAC帧进行解密，将解密后的MAC帧通过直接存储器访问的方式写到内存中；数据发送、接收过程的数据流如图6所示；

本实施例还提供了一种无线局域网通信系统的解密装置300，包括：

识别单元310，用于识别MAC帧头获取帧类型及帧结构信息，根据不同的帧类型识别并已加密MAC帧体；

解密运算单元320，对帧体加密后的MAC帧进行解密，生成解密后的MAC帧。

本发明中的加解密算法是指对称加密算法，即信息的发送方和接收方用同一个密钥去加密和解密数据。对称加密算法的优势是加密、解密速度快，适合于对大数据量进行加解密，需要在加密通信前先协商分配好密钥，密钥中包含加密算法及模式信息；

根据所述公开的实施例，可以使得本领域技术人员能够实现或者使用本发明。对于本领域技术人员来说，这些实施例的各种修改是显而易见的，并且这里定义的总体原理也可以在不脱离本发明的范围和主旨的基础上应用于其他实施例。以上所述的实施例仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种无线局域网通信系统的加密方法，包括接收来自MAC层的数据流，识别MAC帧头以获取帧类型和帧结构信息，其特征在于，对于无序号的管理控制帧，所述加密方法还包括：

通过子类型以确定管理控制帧格式，读取帧头内容，通过独立资源请求帧提取需要加密的字段内容，通过FID个数字段的值，得到总的需要加密的帧体长度，通过分组密码国密标准SM4和密码块链接对MAC帧帧体部分进行加密运算；

读取MAC帧头的帧控制字段，通过帧控制字段的帧类型和子类型以获取MAC帧格式，通过子类型确定管理控制帧格式以读取帧头内容，确定帧体长度，按照帧体长度读取加密的输出帧体，将MAC帧头加上帧体以及FCS后恢复成MAC帧结构，并通过物理层发送。