无线网络的安全机制自动设定方法及装置
技术领域
本发明涉及一种无线网络的安全机制自动设定方法及装置,特别是涉及一种在第一次使用无线网络基站联机时或新增无线网络新用户站时,可自动设定无线网络的安全机制的方法,以及应用此方法的装置。
背景技术
由于计算机及网络的普及,使得利用计算机通过因特网(Internet)传输数据已变成人们日常生活的一部份,尤其目前无线网络技术突飞猛进,使得新式的计算机上大都附设有无线网卡(Wireless LAN Card),形成一无线用户站(STA,Station),可与一基站(Access Point,AP)进行无线连接,通过该基站即可与局域网(LAN)内的计算机联机,或连上因特网。因为此种类型的无线网络在硬件装设方面并不困难,而且可以避免以往利用网线及Hub上网所造成的杂乱线路,因此使用无线上网逐渐成为一种趋势。
然而使用相同无线网卡的用户站计算机,不需要经过实体的连接就可以进入私人的局域网中,或通过他人的无线基站联机至因特网,如此一来无线局域网的安全性问题就面临严格的考验。
因此,在使用者第一次使用网络前,必需进行基站与用户站之间的安全性设定,让外人无法进入私人的网络中。然而,现今一般的安全性组态设定并不人性化,一般的使用者很难去设定正确的组态,而且只要有任何的设定错误,即会造成无法使用的窘境。
举例而言,当一个使用者要安装用户站时,他必须执行以下的步骤:
1.输入所欲连接的基站的SSID(Service Set Identifier,服务组别标识符)。使用者可利用无线局域网卡的基站搜寻工具(Site Survey Tool)来搜寻想要的基站,但会搜寻到许多具有相同工厂设定(Factory Default)SSID的基站,然后使用者必须一个一个尝试这些基站或者利用其它方法取得想要连接的无线基站的MAC(Media Access Control,媒体存取控制)地址。
2.选择基站的安全模式。在Windows XP的环境下,此安全模式可为OpenSystem、Shared Key、WPA、以及WPA-PSK其中之一。
3.选择加密引擎。可为WEP(Wired Equivalent Privacy,有线对等保密机制)或TKIP(Temporal Key Integrity Protocol,动态密钥完整性协议)等。
4.提供密钥。
5.确认密钥。
如此,上述的步骤不仅繁琐,而且对于非从事信息相关工作的使用者而言,很难快速且正确地完成上述的设定。而且,若在该无线网络中增加新用户站时,也需要设定该新用户站与该基站间的安全机制,才能正确传递数据。而若是在网络中更换或增加新的基站时,新基站与每一部用户站也需要重新设定安全机制,如此会造成设定上的困扰以及浪费庞大的人力与时间。
此外,为了让使用者可以顺利地将新的用户站与基站连接,安全设定往往被隐藏。如此一来,若使用者忘记或不知如何变更原来的设定,则容易造成安全上的漏洞。
本案发明人为解决上述现有无线网络基站与无线网络用户站间安全机制设定上所具有的不便与缺失,提出一种新的用户站与基站间安全机制设定的方法或装置,可自动设定安全机制,让使用者不必再为网络安全的设定而烦恼。
发明内容
本发明提出一种无线网络的安全机制自动设定方法及装置,其在基站与用户站上设置一硬件的安全设定键,或是软件上设计一安全设定键,使用者只需按压该安全设定键,即可自动完成基站与用户站间的安全机制设定。亦可将基站与用户站设定成不须使用者执行安全设定,只要一连接便开始主动设定安全机制,直到设定好为止。
本发明提出一种自动设定无线网络的安全机制的方法,包括:一通常步骤,使一用户站以及一基站根据此步骤执行彼此之间的通信协议;一安全设定步骤,包括一定义步骤以及一连接步骤,定义步骤使基站定义多个参数,而连接步骤使该用户站根据这些参数连接至基站并设定无线网络安全相关设定且使基站周期性地传送UDP封包。而安全设定步骤执行完后,用户站以及基站再度执行通常步骤。
此方法可还包括一启动步骤,用以停止该通常步骤并启动该安全设定步骤。而此启动步骤可为基站硬件启动、基站软件启动、基站智能型启动、用户站人工启动或是用户站自动启动。
而上述的参数可为一SSID参数、一认证参数,以及一WEP参数。SSID参数包括信ORI_SSID以及ZERO_CFG。认证参数的值为Shared Secret。WEP参数大小为64位,且WEP参数的最后5个数元组为基站MAC地址,且此5个数元组作为密钥使用。
在连接步骤中,数据使用DES(Data Encryption Standard,数据加密算法)加密并包括值为0的IV及64位密钥,其中密钥的值为随机数演算一USER_KEY参数以及一AP_MAC所产生。UDP封包包括一值为255.255.255.255的MAC首部以及值为预定的ZFG_PORT的UDP首部。UDP封包数据包括版本、密钥,密钥索引以及持续时间。
本发明的另一形态为一种自动设定无线网络的安全机制的装置,包括:一基站,具有一定义模块;一用户站,具有一连接模块;其中,基站与用户站执行一通常步骤,以建立基站与用户站之间的通信协议;然后基站与用户站执行一安全设定步骤,也就是:利用定义模块定义多个参数;接着利用连接模块根据这些参数连接至基站并设定无线网络相关设定以及基站周期性地传送UDP封包。
此装置可还包括一启动装置,用以停止该通常步骤并启动该安全设定步骤。而此启动步骤可为基站硬件启动装置、基站软件启动装置、基站智能型启动装置、用户站人工启动装置或是用户站自动启动装置。
而上述的参数可为一SSID参数、一认证参数,以及一WEP参数。SSID参数包括值ORI_SSID以及ZERO_CFG。认证参数的值为Shared Secret。WEP参数大小为64位,且该WEP参数的最后5个数元组为基站MAC地址,且此5个数元组作为密钥使用。
在连接步骤中,数据使用DES加密并包括值为0的IV及64位密钥,其中密钥的值为随机数演算一USER_KEY参数以及一AP_MAC所产生。UDP封包包括一值为255.255.255.255的MAC首部以及值为预定的ZFG_PORT的UDP首部。UDP封包数据包括版本、密钥,密钥索引以及持续时间。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
附图说明
图1为示出了根据本发明的无线网络的安全机制自动设定方法的较佳实施例的流程图;
图2为一表格,示出了根据本发明的安全机制自动方法的定义步骤的参数;
图3A为一表格,示出了根据本发明的安全机制自动方法的连接步骤的加密相关参数;
图3B为一表格,示出了根据本发明的安全机制自动方法的连接步骤的UDP封包首部;
图4示出了根据本发明的安全机制自动方法的连接步骤的UDP封包的数据结构;以及
图5示出了本发明的无线网络的安全机制自动设定装置的较佳实施例。
其中,附图标记如下:
501-基站
502-定义模块
503-用户站
504-连接模块
505-开关
506-启动装置
507-用户站自动启动装置
具体实施方式
请参照图1所示,根据本发明的实施例的用户站与基站之间的动作步骤可分为通常步骤101以及安全机制设定步骤102、而安全机制设定步骤102又包括了定义步骤103以及连接步骤104。
在通常步骤101中,基站与用户站之间会不断地执行协议以产生两者之间的连接,这些操作及技术为现有技术且为本领域技术人员所知晓,故在此不再赘述。而借由用户站或基站启动后,基站与用户站会停止通常步骤101而启动安全机制设定步骤102,接着开始定义步骤103,在定义步骤103中基站会设定参数以供用户站搜寻,且用户站会根据这些参数过滤基站并列出可选择的基站列表。这些参数为一SSID参数、一认证参数,以及一WEP参数。而这些参数的数值请参照图2所示,SSID参数包括值ORI_SSID以及_ZERO_CFG,注明参数的值为Shared Secret,而WEP参数大小为64位,且WEP参数5的密钥为基站MAC地址的最后5个数元组。其中ORI_SSID表示进入自动WPA模式前的初始SSID,若新SSID超过限制的话,将会被截短,而_ZERO_CFG为基站所用的预定串行,用以在自动WPA模式中区别此基站。
接着,进入连接步骤104,在此步骤中用户站接收定义步骤103所产生的信息并连接至基站以开始接收无线网络设定,且在连接步骤104中,用户站也周期性地传送UDP(User Datagram Protocol)封包,在连接步骤104完成后,也表示完成了安全机制设定步骤102。在安全机制设定步骤102执行完后,便回到通常步骤101,继续执行基站与用户站间的通常连接程序。
请参照图3A、图3B以及图4,其示出了连接步骤104的各种数据的形态。如图3A所示,在连接步骤104中,数据使用DES,与加密相关的参数包括值为0的IV及64位密钥,其中此密钥的值为随机数演算一USER_KEY参数以及一AP_MAC所产生,USER_KEY参数表示预定或是使用者所指定的密钥,而AP_MAC表示AP的MAC地址。而如图3B所示,UDP封包包括一值为255.255.255.255的目的地址(即MAC首部)以及值为预定的ZFG_PORT的目的端口数目(即UDP首部)。
图4示出了UDP封包的其中一种形态。如图所示,版本(version)数据占了一数字符,在此例中的值为1。密钥占了64位,其说明了使用在特定安全性模式下的密钥的值。密钥索引(key index)占了一数字符,其说明了使用在WEP-64和WEP-128模式中的初始化TX密钥。当安全性区域所指示的模式并非为WEP-64或是WEP-128时,用户站便不须考虑此部份的内容。持续时间(duration)数据占了一位,代表基站停留在连接状态的时间(以秒为单位)。举例而言,若持续时间为60则表示基站将在60秒后回到通常动作。
此外,安全性(security)数据占一数字符,其可允许的值及代表的含义分别为:
0:无
1:64位WEP
2:128位WEP
3:WPA-PSA
4:其它
而上述的安全机制设定步骤的启动可借由以下的形态产生:基站的硬件启动、基站的软件启动、基站的智能型启动、用户站的人工启动以及用户站的自动启动。各种启动的定义将于下面详述。
基站的硬件启动在基站上设置如按钮或开关等装置,并借由按下此类型装置的方式启动安全机制设定步骤,经由此启动方式的安全机制设定步骤将使用预先存储的USER_KEY,而此预先存储的USER_KEY在上述连接步骤3中被使用。基站的软件启动指如使用如UI(User Interface)等的启动方式,通过此种方式启动时,使用者可提供USER_KEY,而此USER_KEY可被存储以供使用。
若使用者没有提供新的USER_KEY,则使用如上所述的预先存储的USER_KEY,而此预先存储的USER_KEY在上述连接步骤3中被使用。基站的智能型启动指基站会保持一份可使用用户站的列表,若这些用户站其中之一因为错误的安全机制设定而被基站拒绝,则基站会自动启动安全机制设定步骤。
用户站的人工启动指使用者利用UI人工启动安全机制设定步骤并提供USER_KEY。同上,若使用者没有提供新的USER_KEY,则使用预先存储的USER_KEY,而此预先存储的USER_KEY在上述连接步骤3中被使用。
用户站的自动启动指当WLAN连接在PROTECT_TIME断开时,安全机制设定步骤会自动启动。用户站会在SCAN_TIME扫瞄无线信道(wireless channel),并寻找是否有原始SSID的基站,否则便寻找是否有执行安全机制设定步骤中的基站。若用户站没有找到适当的基站,则会在每个SCAN_INTERVAL_TIME重新开始扫瞄的操作。
须注意的是,本发明不一定要经由上述启动方式来启动,也可以通过其它本领域技术人员所知晓的方式来启动。甚至可以省略此启动步骤,例如设定成在开启基站和用户站后,系统在执行完通常步骤之后直接启动安全机制设定步骤,如此便不须任何的启动步骤。而且,各参数的数值型态以及数据形式并不一定要如图2至图4所示,只要是在本领域技术人员所知道的范畴内,可以使基站和用户站之间完成安全设定的参数或数据型态,皆在本发明的范围内。
本发明也提供了另一实施形态,如图5所示,为一种自动设定无线网络的安全机制的装置。此装置包括:一基站501,具有一定义模块502;一用户站503,具有一连接模块504。基站501和用户站503以无线通信的方式建立连接。
其中,基站501与用户站503先执行一通常步骤,以建立基站501与用户站503之间的通信协议,然后基站501与用户站503执行一安全设定步骤,也就是:利用定义模块502定义多个参数;接着连接模块504根据这些参数连接至基站501并设定无线网络安全相关设定以及基站501周期性地传送UDP封包。而相关的参数以及数据形态已于前述中说明,故不再赘述。
因此,本发明可设计成基站501与用户站503在执行完一通常步骤后直接执行安全设定步骤,或是利用一启动装置使基站501与用户站503停止执行通常步骤并执行安全设定步骤。而启动装置可为:基站硬件启动装置,如开关505;基站软件启动装置,如UI(未示出);基站智能型启动装置,如启动装置506;用户站人工启动装置,如UI(未示出)以及用户站自动启动装置507。各种启动装置的作用方式已在前述中说明,故在此不再赘述。须注意的是,各启动装置的设置位置不一定如图5的示意图所示,可随意作变动,例如做成外接方式的装置。
使用上述的本发明的方法与装置,除了可让使用者轻易地设定安全机制之外,还具有下述的优点:可简化用户站上的安全机制设定的步骤,可轻易地传送相联的用户站的安全机制设定,以及增加基站的默认值的安全等级。证明本案提出的自动设定无线网络的安全机制的方法与装置为相当新颖且具有相当多优点的发明。
本发明确能借上述所公开的技术,提供一种迥然不同于现有技术的设计,堪能提高整体的使用价值。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。