CN1574737A - 无线网络及无线网络中的通信方法 - Google Patents
无线网络及无线网络中的通信方法 Download PDFInfo
- Publication number
- CN1574737A CN1574737A CNA2004100488539A CN200410048853A CN1574737A CN 1574737 A CN1574737 A CN 1574737A CN A2004100488539 A CNA2004100488539 A CN A2004100488539A CN 200410048853 A CN200410048853 A CN 200410048853A CN 1574737 A CN1574737 A CN 1574737A
- Authority
- CN
- China
- Prior art keywords
- initialization vector
- data
- packet
- node
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Abstract
本发明提出了一种无线网络[30]以及同一网络中的通信方法。更具体地说,提出了用于改善网络[30]中空中传输,实现与有线等效保密(WEP)安全协议的技术。在一个实施例中,在加密数据分组[22]的传输期间,加密分组数据[22]的首部[24]中的初始化向量字段不包括用于对该数据分组[22]加密[20]的对应的初始化向量。此外,初始化向量可构造为在实现对应初始化向量的加密数据分组[22]之前发送的其他数据分组的函数。接收节点[14]利用以前发送的数据分组[22]重建初始化向量。相应地,接收节点[14]可以在没有随数据分组[22]一起收到对该数据分组[22]加密[20]的对应初始化向量的情况下对该数据分组[22]解密[26]。
Description
相关申请的交叉引用
以下共同拥有的申请出于所有目的,通过引用结合到本文中:
Stanley Archer McClellan的题为“无线网络和无线网络中的数据加密/解密方法”的与本申请共同提交的美国专利申请。
技术领域
本发明涉及无线通信,具体地说涉及一种无线网络和同一网络中的通信方法。
背景技术
此部分旨在向读者介绍如下将作说明和/或所要求的可能与本发明的各种实施例相关的各专业方面。相信本讨论有助于向读者提供便于更好地理解本发明不同实施例的背景信息。因此,应理解这些陈述应据此加以理解,而不应视为接纳现有技术。
计算机网络如局域网(LAN)通常包括两个或两个以上的计算机系统或节点,它们链接在一起,以便网络中的每个节点可以与网络中的其他节点通信和共享数据。可以实现的一种LAN技术类型是采用高频无线电波而非有线线路的无线局域网(WLAN),以促进节点之间的通信。有利的是,WLAN中各节点无需物理电缆连接,因此网络可以更为灵活。例如,因为不需要物理电缆敷设以实现节点移动或设置,所以简化了WLAN节点的移动性和可携带性。这在某些节点场所物理布线经常难以进行或不切实际时尤为有利。
WLAN通常根据公认的规范和标准协议来设计,以规定例如差错校验类型、数据压缩、传输参数和接收参数。IEEE 802.11指由电气电子工程师协会(IEEE)为WLAN技术开发的规范族。IEEE 802.11规定了WLAN中节点之间的空中接口协议,以便数据可以在网络中节点之间可靠传输。
可以理解,希望在WLAN上传输受保护的数据和信息。因为LAN可通过其结构的物理特性来保护,所以LAN比WLAN更安全。例如,LAN的一些或所有部分可以位于可免于未授权进入的建筑物内。WLAN无需具有同样的物理约束,因此,更容易遭到篡改,既然网络的所有单元也许不位于安全设施中。此外,因为在WLAN中数据和信息是通过无线电波在空中传输的,这种传输比之于LAN中电缆上的相同传输更易受到拦截。
因此,标准规范和协议通常提供了一种或多种安全协议。例如,包括在IEEE 802.11协议簇中的IEEE 802.11b规范为WLAN提供了一种安全协议,通常将其称为有线等效保密(WEP)。WEP是为WLAN而设计的,用于提供与有线LAN相同的安全等级。WEP协议的一个目标是提供一种用于对无线电波上传输的数据加密的安全机制,以便在这些数据从一个节点传送到另一个节点时使其不受未授权访问(即被未授权用户拦截和解密)。可以理解,加密通常指将数据变换成密码或“密文”,以防止未授权查看数据。为了理解加密的传输信息,接收节点通常使用密钥来将密文转换回可读的明文。不利的是,WEP中实现的加密技术可能不足以充分确保数据安全,这可能在采用WEP安全机制的WLAN中导致对数据传输的某种损害。
发明内容
本发明的实施例可解决以上提出的一个或多个问题。
根据本发明的一个方面,本发明提供了一种包括下列步骤的方法:
在无线网络中的第一节点上生成对应于第一数据分组的第一初始化向量,其中,生成第一初始化向量包括生成作为至少一个在前数据分组的数据的函数的第一初始化向量;以及
利用第一初始化向量对第一数据分组加密。
根据如上所述本发明方法的一个方面,生成第一初始化向量包括利用至少一个在前数据分组的相应数据段。
根据如上所述本发明方法的又一方面,生成第一初始化向量包括将至少一个在前数据分组的每个相应数据段作卷积。
根据如上所述本发明方法的又一方面,所述方法还包括:
将至少一个数据分组发往无线网络中的第二节点;以及
将第一数据分组发往无线网络中的第二节点。
根据如上所述本发明方法的再一方面,所述方法包括:
在第二节点对至少一个在前数据分组解密;
在第二节点根据多个第二数据分组中的每个数据分组的相应数据段重建第一初始化向量;以及
利用第一初始化向量对第一数据分组解密。
根据如上所述本发明方法的另一方面,所述方法包括:发送第一数据分组包括发送包括第二初始化向量的第一数据分组。
根据如上所述本发明方法的又一方面,所述方法包括:发送第一数据分组包括发送第一数据分组,其中未实现第二初始化向量以对第一数据分组加密。
附图说明
本发明的各种有利实施例在结合附图阅读如下详细说明之后将变得显然,附图中:
图1是说明示范无线网络的框图;
图2是实现本发明示范实施例的示范无线网络的框图;以及
图3是实现本发明另一示范实施例的示范无线网络的框图。
具体实施方式
下文将描述本发明的一个或多个特定实施例。为了简洁地说明这些实施例,并未在本说明书中描述实际实施方案中的所有特征。应理解,在开发任何实际实现方案时,与在任何工程或设计项目中一样,必须作众多特定于实现方案的决定,以实现开发者的特定目标,例如遵照系统相关和业务相关的约束,这可能随实现方案不同而不同。此外,应理解,对那些可从此公开内容获益的普通技术人员而言,这种开发工作可能既复杂又耗时,但仍然将是一个例行包括设计、制造和生产的任务计划。
一般而言,根据本发明的实施例描述了用于改善网络中空中传输,实现有线等效保密(WEP)安全协议的技术。根据一个实施例,在发送加密数据分组期间,加密数据分组首部中的标准初始化向量字段不包括用于对数据分组加密的对应初始化向量。此外,初始化向量可构造为可在实现对应初始化向量的加密数据分组之前发送的其他数据分组的函数。接收节点可以利用以前发送的数据分组重建初始化向量。因此,接收节点可以在没有随数据分组一起收到对数据分组加密的对应初始化向量的情况下,对数据分组解密。如下更详细地说明本发明的示范实施例。
现参照附图,具体参照附图1,其中一般性地显示了包括第一节点12和第二节点14的示范网络10。可以理解,网络10可包括无线网络,如无线局域网(WLAN),并可包括任意数量的节点,如节点12和14。每个节点12和14包括一个或多个处理器和一个或多个存储装置,并可以以无线方式发送和接收数据,如通过高频无线电波。
仅仅为了进行说明,可将第一节点12称为发送节点,而将第二节点14称为接收节点。但是,如前所述,每个节点12和14都可以发送和接收数据。如前所述,为了在无线网络10中从节点12向节点14发送数据,通常实现诸如有线等效保密(WEP)协议的安全协议,以对数据加密。可以理解,所述WEP体系结构通常在IEEE 802风格的WLAN网络中实现,如在网络10中实现。本专业的技术人员可以理解,网络10可以用实现不同调制方案和有效比特率的若干不同WEP体系结构,如IEEE 802.11a、IEEE 802.11b、IEEE 802.11g和IEEE 802.11h以及依靠通过高级认证进行的基于端口的访问控制的那些体系结构,如IEEE 802.1x。
为了从节点12向节点14发送信息,通常将信息分成数据分组16,如数据分组A-D。例如,每个数据分组16可包括128比特数据。如前所述,在数据分组16通过空中发往接收节点14之前,网络10采用安全协议如WEP来对发送节点12上的数据分组16加密。因此,网络10中包括的每个节点12和14包括主密钥18,此密钥也称为“共享秘密”、“种子”或“长的加密密钥”。可以理解,主密钥18可包括提供一种对数据分组16加密和解密的机制的表格。例如,就IEEE802.11网络而言,在可以通过网络10发送加密数据之前通常由系统管理员将主密钥18安装在每个节点12和14中。或者,对于IEEE802.1x网络,可以在开始对会话进行认证时,自动安装主密钥18。一般而言,主密钥18使用户能够与具有相同主密钥18的其它用户交换加密数据分组16。因此,对主密钥18的受限分发和访问可有利地提供更好的数据安全性。可以理解,实现用于对数据分组16进行加密和解密的相同主密钥18的所述加密技术可称为“对称加密”。
在数据发送期间,在发送节点12中可使用主密钥18对数据分组16加密,如加密操作20所示。可以理解,加密操作20可包括数据压缩。在加密操作20期间,将数据分组16转换成加密数据分组22。各加密数据分组22的加密数据可以称为“净荷”E-H。可以理解,净荷E-H包括加密的明文。在本示范实施例中,净荷E对应于数据分组A,净荷F对应于数据分组B,净荷G对应于数据分组C,而净荷H对应于数据分组D。每个加密数据分组22还可包括首部24,首部24包括一个或多个字节的未加密的(明文)信息比特,如分组目的地、分组长度和加密信息。
在许多标准WEP实现中,初始化向量a-c可在加密操作20期间嵌入到每个数据分组16的首部24中。因此,每个加密数据分组22可包括对应的初始化向量a-c。初始化向量a-c是不加密的、明文的二进制向量,供对数据分组16加密的初始化输入算法使用。也就是说,对于特定的数据分组16如数据分组A,可以结合主密钥18实现相应的初始化向量“a”,以创建用于对数据分组A加密的特定密钥序列,如下进一步所述。对于IEEE 802.11和IEEE 802.1x实现,每个初始化向量a-c通常包括24比特。一般而言,初始化向量a-c在加密操作20期间用作根据主密钥18提供特定加密密钥的“种子值”。可以随机地或确定地选择每个数据分组16的初始化向量a-c,如下进一步所述。
接收节点14可将每一分组的初始化向量a-c与主密钥18结合用于重建用于对数据分组16加密的特定密钥序列。一旦特定的密钥序列可用,则可以成功地将加密数据分组22解密。用于导出特定数据分组16的特定加密密钥序列的初始化向量a-c在对应加密数据分组22的首部24中以未加密形式发送。
当在接收节点14上收到加密数据分组22时,可通过实现主密钥18并结合每个加密数据分组22的对应初始化向量a-c而将加密数据分组22解密。解密操作通常用标号26标识。可以理解,加密操作26可包括数据压缩。在解密操作26期间,在接收节点14中结合主密钥18实现初始化向量a-c,以重建用于在加密操作20期间对对应的数据分组16加密的特定密钥序列。如前所述,通过实现用于对数据分组16加密的特定密钥序列,可以将加密数据分组22解密。解密操作26产生解密的数据分组28。可以理解,解密的数据分组28对应于原始发送的数据分组16。因此,每个数据分组A-D(数据分组16)具有一个对应的解密的数据分组I-L(解密的数据分组28)。
可以理解,可能存在用主密钥18实现的离散(并因此而有限)数量的初始化向量a-c,以对数据分组16加密(和解密)。例如,对于包括24比特的初始化向量,有224或约16.8百万种可能的唯一组合。在一种示范技术中,可以从初始化向量a-c的列表中以递增顺序选择初始化向量a-c。可以随机地或根据预设值分配对应于第一加密数据分组22的第一初始化向量a-c。可以从例如图1所示的初始化向量a-c的列表中递增地分配为对后续数据分组16加密而实现的每个初始化向量a-c。对于本示范说明,加密数据分组E具有初始化向量“a”,加密数据分组F具有初始化向量“b”以及加密数据分组G具有初始化向量“c”。也就是说,结合主密钥18实现初始化向量“a”来对数据分组A加密,以产生加密数据分组E,依此类推。
因为可用初始化向量a-c的数量有限,初始化向量a-c最终可在发送若干加密数据分组22之后被重用。例如,为了对数据分组D加密,可以实现初始化向量“a”。初始化向量“a”可与主密钥18结合使用,以对数据分组D加密,从而产生加密的净荷H。但是,如前所述,还实现了相同的初始化向量“a”来对数据分组A加密,以产生加密的净荷E。相应地,将实现来对数据分组A加密的相同的密钥序列用于对数据分组D加密。一旦已知主密钥18和初始化向量“a”,如在收到加密的净荷E之后,就可以对加密的净荷H解密。
在对应的加密数据分组22的未加密的首部24中发送包括用于对对应的加密数据分组22解密的部分机制的初始化向量a-c,可能不利地降低了网络10中数据传输的安全性。一旦在网络10中无线结点12和14之间传送足够的初始化向量a-c,则接收方(包括非目的接收方)可最终能够从初始化向量a-c重建主密钥18。可以理解,此情形可最终使用户能够对所有后续加密数据分组22解密,这是因为用户(包括非目的接收方)现在拥有了重建的主密钥18,如下所述。
在基于WEP的网络如网络10中未授权访问加密数据分组22的可能性,在相同的主密钥18和相同的初始化向量a-c用于对不同的数据分组16加密时提高了。WEP加密机制通常包括在特定加密密钥和数据之间的二进制值之间执行的“异或”(XOR)运算,这产生二进制输出值。在此等式中有三个变量:(1)初始化向量a-c;(2)未加密数据分组16;以及(3)加密的净荷E-H。因此,当使用初始化向量a-c时,非目的接收方可以拥有这三个变量中的两个变量(即,明文初始化向量a-c和加密的净荷E-H),并可以部分地根据如下因数中的一个或多个因数推导出第三个变量的大部分:(1)非目的接收方对公共因特网协议(“IP”)分组结构的知识,如首部信息;(2)普通净荷信息的部分或全部知识,如web地址、域名查询等;以及(3)“引发的”响应分组,如在非目的接收方的计算机就意味深长的问题(如“你是谁?“或”你的IP号是什么?”)查询发送节点时。每当在特定的重用初始化向量a-c条件下已知所有三个变量时,主密钥18的一部分就被揭示给了非目的接收方。换言之,在图1所示的实施例中,当在加密过程20中重用初始化向量a-c,以对后续数据分组16加密时,非目的用户可以立即将加密的净荷E-H解密。一旦对特定的初始化向量揭示了有关主密钥18的足够信息,就可以对其他可能的初始化向量a-c重复所述过程,以逐点构建主密钥18。因此,非目的接收方可以构造可能的初始化向量a-c的“表格”,并以并行方式而非顺序方式执行此过程。类似地,存在其他根据迭代算法而非基于表格的攻击方法来顺序地揭示主密钥的小数据段的方法,但对数据传输的可能的最终损害是相同的,本专业的技术人员对此可以理解。
通过在明文首部24中嵌入用于对对应加密数据分组22加密的初始化向量a-c,以在初始化向量a-c和加密数据分组22之间建立明显的联系,这可能是不利的。如上所述,在相同的主密钥18结合相同的初始化向量a-c用于对不同的数据分组16加密时,此缺点可能变得更加明显。大多数IEEE 802.11b风格的WLAN在所有客户节点之间采用静态主密钥18。随着日益增加的传输速率和初始化向量a-c的较短字段(如24比特),可能不利地提高了可在短期内损害加密数据分组22(即,被拦截空中通信的未授权用户解密)的可能性。例如,在大约11兆比特/秒的传输速率上工作的IEEE 802.11b风格的网络可以在少于5秒内重用给定主密钥18的初始化向量a-c。
对于基于IEEE 802.1x的网络,上述缺点可能较不明显,但也可能导致在网络10中数据传输不安全。实现IEEE 802.1x协议的WLAN网络配置为控制WLAN安全的几个方面。例如,与对所有节点预先配置公共主密钥(如在图1中节点12和14中实现的主密钥18)不同,IEEE 802.1x网络在启动(或重新认证)每个会话时“动态地”安装主密钥18。结果,IEEE 802.1x网络上任意时刻在用的主密钥18对每个节点而言可以是唯一的。因此,使用从相同的初始化向量a-c生成的密钥加密的不同数据分组16只可由网络10中的单个节点而非网络10中的所有节点生成。这可以降低因涉及网络10所维护的网络用户数量和唯一性主密钥18数量的因素而使可被损害的加密数据分组22受攻击者窃听(即被未授权用户拦截和解密)的可能性。
但是,即便使用动态WEP,主密钥18在会话持续期间(或直到强制重新进行认证为止)基本上是静态的。由于具有高速空中数据率,在相同会话内重用初始化向量a-c的可能性可能再次成为一个问题。例如,对于实现IEEE 802.1x协议并具有约为54兆比特/秒的空中传输速率以及至少五个节点或用户的网络10,每个实现不同主密钥18的节点可能在产生加密数据分组22并以与在11兆比特/秒IEEE 802-11b网络(如上所述)上共享公共主密钥18的几个节点大致相同的速率重用初始化向量a-c。因此,类似于上述的静态网络,实现动态主密钥18的网络10也可能导致对加密数据分组22的未授权访问。
用于提高WLAN网络中数据传输安全性的另一种技术实现了初始化向量a-c的随机化。也就是说,与递增分配初始化向量a-c(这里为先“a”,然后“b”,然后“c”,等等,如上所述)不同,随机分配初始化向量a-c,使得它们不太可能预测。但是,随机选择的初始化向量a-c只可能在比之于使用通过公共初始条件以确定方式如递增方式选择的初始化向量a-c时,降低初始化向量重用的可能性。因此,虽然比之于递增分配方式使初始化向量a-c随机化可提供更安全的数据传输,但通过拦截较大数据集(即,更多的加密数据分组22和对应的初始化向量a-c),未授权用户可以重建主密钥18。如前所述,主密钥18随后可用于对后续加密数据分组22解密。
因此,具有IEEE 802.11风格体系结构的WLAN中的WEP加密技术,即在每个对应加密数据分组22的首部24中以明文方式传输无论是以随机方式选择的还是以确定方式选择的24比特初始化向量a-c,可用于逐步地揭示有关主密钥18的信息。一旦知道了主密钥18,就可以利用重建的主密钥18和包含在后续加密数据分组22的首部24中的未加密初始化向量a-c对后续加密数据分组22解密。不管初始化向量a-c是以随机方式还是以确定方式选择的,将明文初始化向量a-c作为加密数据分组22的组成部分发送可能削弱在WLAN发送的随机的安全性。此外,随着WLAN空中传输速率增加,每会话使用一个主密钥18(如,IEEE 802.1x协议)可能变得同样容易遭受未授权解密。
根据本发明的实施例,对于IEEE 802.11和IEEE 802.1x风格的无线网络,消除或减少主密钥(动态或静态)的初始化向量的重用可有利地提高空中加密的安全性。此外,用于对特定数据分组加密的初始化向量的传输和加密数据分组的传输不关联也可以提高无线网络中数据传输的安全性。另外,取消用于对特定数据分组加密的未加密初始化向量可以进一步提高了数据传输期间的安全性。
现参照图2,其中显示了用于说明本发明示范实施例的无线网络30的框图。为简洁起见,相同的标号用于表示以前参照图1所述的各单元。如前参照图1的所述,网络30包括节点12和14。为了从节点12向节点14发送数据分组16,用主密钥18对数据分组16加密(加密操作20)。但是,根据本发明的一个示范实施例,用于推导出特定数据分组A-D的特定加密序列的初始化向量(未显示)是利用一个或多个先前数据分组的数据的某种函数来创建的,下面将对此作进一步说明。因为本示范实施例的初始化向量是作为来自发送节点12的数据流的函数来创建的,所以用于对特定数据分组A-D加密的初始化向量不必与对应的加密净荷E-H一起发送以有助于接收节点14上的解密操作。相反,可以由接收节点14在将以前发送的包含用于创建特定初始化向量的数据段的加密数据分组22解密之后合成或重建用于对特定加密净荷E-H加密的初始化向量。因此,加密数据分组22的首部24不包括用于对对应净荷E-H加密的初始化向量。在本示范实施例中,常规WEP系统实现的用于传送对应加密数据分组22的初始化向量的字段可保持为空。
用于创建初始化向量的本示范技术的一个实施例是利用来自一个或多个数据分组A-D的数据段形成初始化向量。例如,对于数据分组A,可以对三个在前数据分组(未显示)中每一个的数据的第一字节采样。在前数据分组的数据段可以级联起来,以形成用于对数据分组A加密的24比特初始化向量。根据此实施例,可以通过合并来自连续数据分组的字节创建初始化向量。
或者,可以对采样的数据段作卷积,以便可通过对来自一个或多个在前数据分组的数据采样,然后通过使用状态机或卷积码对比特作卷积,这样来创建初始化向量。也就是说,可以从几个数据分组的几个字节中采样比特,然后将这些比特混合或作卷积,这样改变这些比特的顺序。可以理解,可以采用状态机或卷积码来得到采样字节,以产生编码串。作为示例,可以对比特进行采样,并通过例如“与非”门合并连续的比特,这样,输出就包括编码串。卷积技术可实现复杂的初始化向量选择方案,从而进一步使初始化向量难于破解。此外,通过使用状态机或卷积码来生成初始化向量,组成采样数据段的比特数量可包括比初始化向量中实现的比特数量(这里是24)少的比特数。可以理解,可以采用卷积码或状态机来产生填满初始化向量的任何剩余比特。
可以理解,扰乱(obfuscating)初始化向量使未授权访问加密数据分组22更加困难。通过实施所述示范技术之一,就可以在一个或多个加密分组22的净荷E-H中传送特定数据分组A-D的初始化向量,所述一个或多个加密分组22是在用对应的初始化向量加密的特定数据分组A-D之前发送的。因此,有利的是,发送节点12上的初始化向量合成过程和接收节点14上的恢复过程可能非常复杂。对于实现基于表格的攻击以成功访问加密数据分组22的未授权用户,该未授权用户将不得不在缺少已知初始化向量的情况下同时成功地将若干分组解密。这就要求未授权用户具有较高计算能力,以及累积分组序列并对它们作相关运算,而不是象对常规技术那样仅是识别一下可破解的事件。
为了实现本示范性扰乱技术,可以实现“预备(ramping up)”期,以使参与节点同步。根据本扰乱技术,“预备期”指接收节点准备好接收数据分组之前的时期。存在若干可实现方法,以为已成功解密分组“预备”好节点存储器。根据一种预备方法,与在常规WEP网络中一样,将若干分组连同对应的初始化向量发往接收节点。一旦接收节点具有用于解密数据的足够的高速缓存,就可以在后续传输中使首部中初始化向量字段为空。此示范技术参照图3进行说明。
进一步参照图3说明用于在无线网络30上传输数据的包括预备期的本技术的一个示范实施例。可以理解,本实施例为进行说明作了简化。在本示范实施例中,包括数据分组A-D的数据流由发送节点12发往接收节点14。实现初始化向量“a”以对数据分组A加密;实现初始化向量“b”以对数据分组B加密;以及实现初始化向量“c”以对数据分组C加密。初始化向量a-c可通过任何常规技术来分配,如上所述。因此,用初始化向量a-c对数据分组A-C加密,而将所得的加密净荷E-G发往接收节点14。每个加密的净荷E-G与嵌入首部24中的对应初始化向量a-c一起发送。加密净荷E-G连同嵌入首部24中的它们的对应初始化向量a-c的传输包括“预备”期。一旦在节点14上收到净荷E-G,就可以利用主密钥18和各相应加密净荷E-G的对应的初始化向量a-c将它们解密。因此,可以通过常规技术将解密数据分组I-K解密。
但是,在发送、接收若干数据分组16并通过常规技术将它们解密之后,就可以实现本示范实施例。在本示范实施例中,在对数据分组A-C加密之前,可以由节点12中的处理器(未显示)对来自每个数据分组A-C的数据的第一字节进行采样。来自数据分组A-C的三个字节中的每个字节可以级联起来以形成数据分组D的初始化向量。数据分组D可以用级联的初始化向量来加密,以生成净荷H。因为数据分组A-C是在发送数据分组D之前加密并发送到接收节点14的,所以接收节点14具有重建用于对数据分组D加密的初始化向量的必要信息。因此,净荷H可以在未嵌入用于对对应的数据分组D加密的初始化向量的情况下就发送。一旦接收节点14将净荷E-G解密,接收节点14中的处理器(未显示)就可重建对应于加密净荷H的初始化向量并将其用于对加密净荷H解密。类似地,在预备期(这里指发送以常规方式加密的数据分组E-G)之后,所有后续数据分组可以如参照数据分组D所述的那样加密并发送,其中,对应的初始化向量是后续数据分组的函数,不在对应数据分组的首部中传送。
此外,本技术可实现“伪”初始化向量来代替省略的初始化向量。已知目前IEEE 802.11和IEEE.802.1x风格的网络规定将初始化向量嵌入到对应数据分组的首部中,因此可以将伪初始化向量嵌入到为标准协议中初始化向量传送而实现的标准字段中。因此,不是让首部中的标准字段保持为空,而是可以在其中插入伪初始化向量,以进一步挫败任何未授权访问企图。
有利的是,所述示范实施例符合IEEE.802.11和IEEE 802.1x风格网络的现有成帧定义(即,不采用而非重新定义目前定义的空中比特字段)。因此,本技术与客户侧网络接口卡(NIC)和网络侧接入点(AP)均后向兼容。此外,只要NIC和AP都支持本技术,则可以可选地和被动地启用本技术。
虽然本发明可以进行各种修改和采取各种备选形式,但本说明书仅在附图中以举例形式示意并详细说明了几个特定实施例。然而,应理解,这并不是为了将本发明局限于所公开的特定形式。确切的说,本发明旨在涵盖如下所附权利要求书所限定的本发明的精神和范围之内的所有修改、等效物和替代物。
Claims (7)
1.一种包括下列步骤的方法:
在无线网络[30]中的第一节点[12]上生成对应于第一数据分组[16]的第一初始化向量,其中,生成所述第一初始化向量包括生成作为至少一个在前数据分组[16]的数据的函数的所述第一初始化向量;以及
利用所述第一初始化向量对所述第一数据分组[16]加密。
2.如权利要求1所述的方法,其特征在于,生成所述第一初始化向量包括利用所述至少一个在前数据分组[16]的相应数据段。
3.如权利要求2所述的方法,其特征在于,生成所述第一初始化向量包括将所述至少一个在前数据分组[16]的每个所述相应数据段作卷积。
4.如权利要求1所述的方法,其特征在于包括:
将所述至少一个数据分组[22]发往所述无线网络[30]中的第二节点[14];以及
将所述第一数据分组[22]发往所述无线网络[30]中的所述第二节点[14]。
5.如权利要求4所述的方法,其特征在于包括:
在所述第二节点[14]对所述至少一个在前数据分组[22]解密[26];
在所述第二节点[14]根据所述多个第二数据分组[28]中的每个数据分组的相应数据段重建所述第一初始化向量;以及
利用所述第一初始化向量对所述第一数据分组[22]解密[26]。
6.如权利要求4所述的方法,其特征在于,发送所述第一数据分组[22]包括发送包括第二初始化向量的所述第一数据分组[22]。
7.如权利要求6所述的方法,其特征在于,发送所述第一数据分组[22]包括发送所述第一数据分组[22],以及其中未实现所述第二初始化向量以对所述第一数据分组[22]加密[20]。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/453957 | 2003-06-04 | ||
| US10/453,957 US20040247126A1 (en) | 2003-06-04 | 2003-06-04 | Wireless network and methods for communicating in a wireless network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1574737A true CN1574737A (zh) | 2005-02-02 |
Family
ID=33159533
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2004100488539A Pending CN1574737A (zh) | 2003-06-04 | 2004-06-04 | 无线网络及无线网络中的通信方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20040247126A1 (zh) |
| EP (1) | EP1484857A2 (zh) |
| CN (1) | CN1574737A (zh) |
| SG (1) | SG120154A1 (zh) |
| TW (1) | TW200503497A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101449578B (zh) * | 2006-05-16 | 2012-05-23 | 京瓷株式会社 | 流发生方法、广播接收装置以及显示方法 |
| CN101478548B (zh) * | 2009-01-22 | 2012-07-04 | 上海交通大学 | 数据传输的加密和完整性校验方法 |
| CN103297809A (zh) * | 2012-02-28 | 2013-09-11 | 华为技术有限公司 | 媒体内容加密解密方法、装置及系统 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1270481C (zh) * | 2003-12-08 | 2006-08-16 | 华为技术有限公司 | 一种无线局域网接入关口及其实现保障网络安全的方法 |
| WO2006096035A1 (en) * | 2005-03-10 | 2006-09-14 | Electronics And Telecommunications Research Institute | Encryption and decryption device in wireless portable internet system, and method thereof |
| US8392560B2 (en) * | 2006-04-28 | 2013-03-05 | Microsoft Corporation | Offering and provisioning secured wireless virtual private network services |
| GB0611128D0 (en) * | 2006-06-06 | 2006-07-19 | Sony Uk Ltd | Encoding and detecting apparatus |
| US8345713B2 (en) * | 2006-10-25 | 2013-01-01 | Verizon Patent And Licensing Inc. | Methods and apparatus for content scrambling in a communications system |
| US8280057B2 (en) * | 2007-09-04 | 2012-10-02 | Honeywell International Inc. | Method and apparatus for providing security in wireless communication networks |
| US8885557B2 (en) * | 2011-02-25 | 2014-11-11 | Qualcomm Incorporated | Dynamic selection among algorithms for generating fillers for security of data communications |
| US8725788B2 (en) | 2011-05-27 | 2014-05-13 | Adobe Systems Incorporated | System and method for decryption of content including partial-block discard |
| US8687809B2 (en) * | 2011-05-27 | 2014-04-01 | Adobe Systems Incorporated | System and method for decryption of content including disconnected encryption chains |
| US8792643B1 (en) | 2012-02-16 | 2014-07-29 | Google Inc. | System and methodology for decrypting encrypted media |
| US9461973B2 (en) | 2014-03-19 | 2016-10-04 | Bluefin Payment Systems, LLC | Systems and methods for decryption as a service |
| US11256798B2 (en) | 2014-03-19 | 2022-02-22 | Bluefin Payment Systems Llc | Systems and methods for decryption as a service |
| JP6239805B2 (ja) * | 2014-03-19 | 2017-11-29 | ブルーフィン ペイメント システムズ エルエルシーBluefin Payment Systems,Llc | 暗号化装置のフィンガープリントを作成するシステム及び方法 |
| US10491569B1 (en) * | 2015-11-10 | 2019-11-26 | Alterednets Cyber Solutions LLC | Secure transfer of independent security domains across shared media |
| US10749692B2 (en) | 2017-05-05 | 2020-08-18 | Honeywell International Inc. | Automated certificate enrollment for devices in industrial control systems or other systems |
| US11711350B2 (en) | 2017-06-02 | 2023-07-25 | Bluefin Payment Systems Llc | Systems and processes for vaultless tokenization and encryption |
| US11070534B2 (en) | 2019-05-13 | 2021-07-20 | Bluefin Payment Systems Llc | Systems and processes for vaultless tokenization and encryption |
| US10311421B2 (en) | 2017-06-02 | 2019-06-04 | Bluefin Payment Systems Llc | Systems and methods for managing a payment terminal via a web browser |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0931388B1 (en) * | 1996-08-29 | 2003-11-05 | Cisco Technology, Inc. | Spatio-temporal processing for communication |
| US7809138B2 (en) * | 1999-03-16 | 2010-10-05 | Intertrust Technologies Corporation | Methods and apparatus for persistent control and protection of content |
| US6201811B1 (en) * | 1998-03-24 | 2001-03-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Transferring Identifier information in a telecommunications system |
| KR20030078453A (ko) * | 2002-03-29 | 2003-10-08 | 주식회사 엘지이아이 | 무선 랜에서의 데이터 암호화/복호화 방법 및 장치 |
| US6931132B2 (en) * | 2002-05-10 | 2005-08-16 | Harris Corporation | Secure wireless local or metropolitan area network and related methods |
| US7274792B2 (en) * | 2002-08-09 | 2007-09-25 | Broadcom Corporation | Methods and apparatus for initialization vector processing |
-
2003
- 2003-06-04 US US10/453,957 patent/US20040247126A1/en not_active Abandoned
-
2004
- 2004-03-22 TW TW093107663A patent/TW200503497A/zh unknown
- 2004-03-26 EP EP04007478A patent/EP1484857A2/en not_active Withdrawn
- 2004-04-16 SG SG200402106A patent/SG120154A1/en unknown
- 2004-06-04 CN CNA2004100488539A patent/CN1574737A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101449578B (zh) * | 2006-05-16 | 2012-05-23 | 京瓷株式会社 | 流发生方法、广播接收装置以及显示方法 |
| CN101478548B (zh) * | 2009-01-22 | 2012-07-04 | 上海交通大学 | 数据传输的加密和完整性校验方法 |
| CN103297809A (zh) * | 2012-02-28 | 2013-09-11 | 华为技术有限公司 | 媒体内容加密解密方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW200503497A (en) | 2005-01-16 |
| US20040247126A1 (en) | 2004-12-09 |
| EP1484857A2 (en) | 2004-12-08 |
| SG120154A1 (en) | 2006-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1574737A (zh) | 无线网络及无线网络中的通信方法 | |
| US7277548B2 (en) | Cryptographic method and computer program product for use in wireless local area networks | |
| US9209969B2 (en) | System and method of per-packet keying | |
| KR102609221B1 (ko) | 카운터 기반의 암호 시스템들에서 개선된 인증형 암호화를 위한 방법들 및 시스템들 | |
| US8462943B2 (en) | Bandwidth efficient method and system for obscuring the existence of encryption in a communications channel | |
| JP2019518397A (ja) | データ変換システムおよび方法 | |
| US20100211787A1 (en) | Chaotic cipher system and method for secure communication | |
| US20070255947A1 (en) | Methods and systems for incremental crypto processing of fragmented packets | |
| CN1455341A (zh) | 远程更改通讯密码的方法 | |
| JP2007140566A (ja) | 効率的なパケット暗号化方法 | |
| CN1534931A (zh) | 一种在无线局域网中生成动态密钥的方法 | |
| US11356248B2 (en) | Stream ciphering | |
| Mishra | Network security protocol for constrained resource devices in Internet of things | |
| Katz | Wpa vs. wpa2: Is wpa2 really an improvement on wpa? | |
| McGregor et al. | Performance impact of data compression on virtual private network transactions | |
| CN110932863A (zh) | 一种基于编码的广义签密方法 | |
| CN109819438A (zh) | 一种基于aes加密的喷泉编码无线数据安全传输方法 | |
| CN1574735A (zh) | 无线网络和在无线网络中用于加密/解密数据的方法 | |
| KR102304831B1 (ko) | 순열그룹 기반의 암호화 기술을 적용한 암호화시스템 및 방법 | |
| Sandeep et al. | A Novel Mechanism for Design and Implementation of Confidentiality in Data for the Internet of Things with DES Technique | |
| Goyal et al. | A Cryptographic Approach for Securing IoT Devices | |
| WO2003049363A1 (en) | System and method for symmetrical cryptography | |
| KR20060091018A (ko) | 무선 랜에서의 ccmp를 이용한 암호화, 복호화 장치 | |
| CN112333204B (zh) | 基于tcp ip协议乱序特征码的5g网络传输保密装置 | |
| KR100798921B1 (ko) | Mac 보안 서비스망에서의 보안 채널 제어 방법 및 이를구현하는 단말 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |