專利名稱:一種實現(xiàn)無線局域網安全的裝置及工作方法
技術領域:
本發(fā)明涉及一種實現(xiàn)無線局域網安全的裝置及工作方法�,尤其涉及一種符合強制性國家標準(GB15629.11-2003和GB15629.1102-2003)的實現(xiàn)無線局域網安全的裝置及工作方法��,其適用于無線局網的所有設備����,包括終端、接入點�����、網橋���、路由器��、網關等�����。
背景技術:
無線局域網設備的可移動性帶來了使用上的方便和較高的用戶接入速率�。隨著用戶終端網卡、無線接入點等無線局域網設備價格的下降�,預計到2002年底~2003年,中國無線局域網的用戶數(shù)量將迅速增加�����,迎來發(fā)展的新高潮���。無線局域網的終端設備范圍將涵蓋筆記本電腦�、臺式機�、PDA及打印機等辦公設備,而無線網卡將成為筆記本電腦的必備配置����,無線局域網網絡也將進一步在高價位住宅區(qū)、酒店等場合廣泛應用��。同時��,無線局域網在家庭的應用也將越來越普及,企業(yè)和家庭用戶將成為無線局域網設備的市場�����。無線局域網正迅速得到廣大電信運營商的青睞����。
但是由于無線局域網是利用空中信號傳送����,易被截獲,接入實行單向認證���,加密算法易被破解����,極不安全����。為此2003年5月,由中國寬帶無線IP標準工作組(China Broadband Wireless IP Standard work group���,www.chinabwips.org)起草的無線局域網產品的強制性國家標準(GB15629.11-2003和GB15629.1102-2003)正式頒布����。標準特別規(guī)定了無線局域網的安全機制WAPI(Wireless Authentication and Privacy Infrastructure),其中��,數(shù)據(jù)傳輸?shù)募用?解密過程采用國家商用密碼管理委員會辦公室提供的算法實現(xiàn)�,以保障數(shù)據(jù)傳輸?shù)陌踩?003年11月26日,國家質量監(jiān)督檢驗檢疫總局和國家標準化管理委員會聯(lián)合發(fā)布公告�����,宣布上述兩個強制性國家標準自2003年12月1日起開始實施�����。
發(fā)明內容
本發(fā)明所要解決的技術問題是提供一種可實現(xiàn)無線局域網安全的裝置及其工作方法�����,該裝置通過標準接口以熱插拔的方式可拆卸連接于現(xiàn)有無線局域網終端設備外部����,以保障設備接入及數(shù)據(jù)傳輸?shù)陌踩?br>
為了解決上述技術問題,本發(fā)明提供一種可實現(xiàn)無線局域網安全接入的裝置�,其包括接口模塊,其包括輸入接口模塊及輸出接口模塊�;與接口模塊雙向連接的帶加/解密模塊的主處理器����;與帶加/解密模塊的主處理器雙向連接的時鐘/控制模塊����,其提供本裝置信息流向的開關和通路;與帶加解/密模塊的主處理器雙向連接的存儲模塊�;其中,所述的所述的帶加/解密模塊的主處理器��,包括主處理器本體����;以及�����,固化在主處理器本體內并均通過總線雙向連接的密碼算法模塊���、輸入輸出端口�、算法控制模塊����、片內存儲器���、裝置總控模塊;本發(fā)明專利可實現(xiàn)無線局域網安全的裝置具有如下特點1��、本發(fā)明在用戶設置界面時可根據(jù)需要選擇安全協(xié)議�����,實現(xiàn)了現(xiàn)有無線局域網終端設備�����,如筆記本和臺式機的平滑過渡到強制性國標����,解決了國際標準和國標的兼容,換言之�����,可實現(xiàn)國際漫游��。
2���、由于本裝置在主機驅動程序中無縫嵌入了新的安全協(xié)議(WAPI)�����,實現(xiàn)了現(xiàn)有802.11協(xié)議族主芯片的新功能的擴展以達到兼容WAPI國標的目的����。
3、解決了國家標準中私鑰的安全(私鑰不可離開執(zhí)行載體)���、證書存放的安全����,以及離線分發(fā)密鑰的安全����。
4�、裝置配置界面可以用戶選定,主機不調用無線局域網安全裝置即是現(xiàn)行的802.11協(xié)議中安全協(xié)議��,調用無線局域網安全裝置即為802.11X協(xié)議中WAPI安全協(xié)議����。
圖1是本發(fā)明的一種實現(xiàn)無線局域網安全的裝置的結構示意圖。
圖2是圖1所示的裝置的更具體的結構示意圖���。
圖3是圖1所示的帶加/解密模塊的主處理器的具體結構示意圖���。
圖4是本發(fā)明的無線局域網安全的裝置所采用的工作方法流程圖����。
具體實施例方式
以下結合附圖對本發(fā)明作進一步的描述本實用新型的實現(xiàn)無線局域網安全的裝置包括接口模塊���,其包括輸入接口模塊1及輸出接口模塊5��;與接口模塊雙向連接的帶加/解密模塊的主處理器2�,其是一塊專用集成電路����,簡稱SoC(System on a Chip,片上系統(tǒng))����;與帶加/解密模塊的主處理器2雙向連接的時鐘/控制模塊3,其提供本裝置信息流向的開關和通路�����,實現(xiàn)裝置內部模塊的連接及數(shù)據(jù)的流向控制���;與帶加解/密模塊的主處理器2雙向連接的存儲模塊4�����,由16/32位數(shù)據(jù)寬度的FLASH�����,16/32位數(shù)據(jù)寬度的SDRAM�、SDRAM、BOOT ROM組成�����,其內存放主芯片運行及初始化程序�,實現(xiàn)裝置軟件所需的指令和數(shù)據(jù)駐留及緩沖。
所述的接口模塊可根據(jù)需要可選用USB 1.0/2.0接口��,或者采用SIM接口����,或者采用IEEE1394�,或者是IIC,或者是PCMCIA�����。根據(jù)不同接口選用不同的接口芯片。該接口模塊可實現(xiàn)和主機接口(包括USB接口����,SIM卡接口,1394接口�,PCMCIA接口等)的數(shù)據(jù)傳輸,其主要負責各協(xié)議的實現(xiàn)及對相應的硬件的底層驅動�����,是各子模塊中與硬件直接相關的部分向上提供統(tǒng)一接口及函數(shù)調用對硬件的驅動(初始化��、配置���、中斷����、緩存管理)�����。
所述的存儲模塊4由ROM、FLASH���、SDRAM組成��,ROM實現(xiàn)初始化�����,F(xiàn)LASH實現(xiàn)固化應用軟件�,SDAM實現(xiàn)動態(tài)數(shù)據(jù)緩沖存儲體系��,結合圖2所示所述的存儲模塊4內貯留有與輸入/輸出接口模塊1����、5雙向連接的多路控制單元41,該多路控制單元是所有模塊的條件控制���,對應用系統(tǒng)的各模塊進行鏈接控制����,同時和主機操作系統(tǒng)的模塊實現(xiàn)無縫鏈接和系統(tǒng)調用��。
與多路控制單元41雙向連接的轉發(fā)與緩沖子系統(tǒng)42����,其用于數(shù)據(jù)包檢查與分類,以及數(shù)據(jù)包裝填�����、轉發(fā)與緩沖���。
與多路控制單元41雙向連接的證書與密鑰庫43�����,其用于存放初始化證書����、根據(jù)使用者需求在不同場申請來的證書及私鑰��,供系統(tǒng)調用���。
與輸入/輸出接口模塊雙向連接的操作系統(tǒng)抽象層模塊44���,其是嵌入式操作系統(tǒng)和應用層的協(xié)議、接口的過渡層�����。
與所述的操作系統(tǒng)抽象層模塊44雙向連接的嵌入式操作系統(tǒng)內核模塊45,其是本裝置操作系統(tǒng)核心模塊����,負責系統(tǒng)初始化,系統(tǒng)調用����。
與所述的操作系統(tǒng)抽象層模塊44雙向連接的嵌入式操作系統(tǒng)設備驅動模塊46,其負責和主機操作系統(tǒng)的無縫連接以及和抽象層模塊的對接�����、驅動�。
由于以上模塊均采用現(xiàn)有標準,在此不再贅述����。
結合圖3所示所述的帶加/解密模塊的主處理器2包括主處理器本體21;固化在主處理器本體內的WAPI應用軟件�,其是拼裝IP(IntellectualProperty)的過程,IP是集成電路知識產權模塊的簡稱��,它包括5個密碼算法模塊22����,分別為隨機數(shù)產生算法模塊���、對稱密碼算法模塊���、橢園曲線加密算法模塊�、雜湊算法模塊�����、橢園曲線數(shù)字簽名算法模塊�����,以供系統(tǒng)調用�;以及,固化在主處理器本體21內的輸入/輸出端口23����,算法控制模塊24,片內存儲器25�,裝置總控模塊26;所述密碼算法模塊22�����、輸入輸出端口23、算法控制模塊24����、片內存儲器25、裝置總控模塊26均通過總線雙向連接���,由于上述器件均采用現(xiàn)有標準���,在此不再贅述。
所述的帶加/解密模塊的主處理器2主要功能如下 實現(xiàn)本裝置和主機間數(shù)據(jù)傳輸控制及熱插拔初始化��。
向主機提供WAPI協(xié)議所需的加/解密函數(shù)的實現(xiàn) 保存初始證書以及使用者證書以及證書私鑰����,在使用時提供主機使用。
如圖4所示本發(fā)明還提供一種上述實現(xiàn)無線局域網安全的裝置所采用的工作方法����,其包括如下步驟1、空中無線數(shù)據(jù)通過無線模塊從網絡收到符合WAPI標準的網絡報文�,由無線模塊驅動程序進行處理;2����、主機無線模塊驅動程序通過操作系統(tǒng)內核調用把WAPI報文傳送給本實現(xiàn)無線局域網安全的裝置�����。本安全裝置通過裝置總控模塊中的認證模塊以及算法控制模塊中的解密模塊把滿足WAPI國標的報文恢復成主機操作系統(tǒng)可認的原始數(shù)據(jù)���;3���、本安全裝置通過自身的驅動程序把解密好的報文通過主機操作系統(tǒng)內核傳送給需要此網絡數(shù)據(jù)的上層網絡應用程序(如郵件���、IE等等);4�、主機網絡應用程序在收到報文后回應未加密的報文給操作系統(tǒng)內核模塊調用;5���、主機操作系統(tǒng)內核模塊調用把未加密的報文再發(fā)送給本裝置安全模塊�����;6��、本安全裝置收到此未加密的報文后���,做相應的加密處理��,使之滿足WAPI協(xié)議�,之后把滿足WAPI協(xié)議的加密數(shù)據(jù)報通過主機操作系統(tǒng)調用傳送給無線模塊驅動����;7、無線模塊驅動程序通過無線模塊硬件把加密好的滿足WAPI國標的報文發(fā)送到空中�。
本發(fā)明的無線局域網安全裝置首次插入主機接口時,可自動枚舉并下載軟件和接口描述符表����;接下為再次枚舉,通過下載的信息來定義設備����,當設備插入時它們立即執(zhí)行。本發(fā)明在辦理證書和下載私鑰時離線到運行商指定地點授權�,而不是網絡下載。
權利要求
1.一種實現(xiàn)無線局域網安全的裝置����,其以熱插拔的方式通過標準接口可拆卸連接于現(xiàn)有無線局域網終端設備外部,其特征在于�,包括接口模塊�,其包括輸入接口模塊(1)及輸出接口模塊(5)�����;與接口模塊雙向連接的帶加/解密模塊的主處理器(2)�;與帶加/解密模塊的主處理器(2)雙向連接的時鐘/控制模塊(3),其提供本裝置信息流向的開關和通路���;與帶加解/密模塊的主處理器(2)雙向連接的存儲模塊(4)�����;其中,所述的帶加/解密模塊的主處理器(2)�,包括主處理器本體(21);以及����,固化在主處理器本體內并均通過總線雙向連接的密碼算法模塊(22)、輸入/輸出端口(23)�����、算法控制模塊(24)�、片內存儲器(25)�、裝置總控模塊(26)���;
2.根據(jù)權利要求1所述的實現(xiàn)無線局域網安全的裝置��,其特征在于����,所述的接口模塊采用USB接口���、或者采用SIM接口����,或者采用802.11協(xié)議族的無線接口����,或者采用IEEE1394。
3.根據(jù)權利要求1所述的實現(xiàn)無線局域網安全的裝置��,其特征在于�����,所述的密碼算法模塊(22)包括隨機數(shù)產生算法模塊、對稱密碼算模塊�����、橢園曲線加密算法模塊�、雜湊算法模塊、橢園曲線數(shù)字簽名算法模塊����。
4.根據(jù)權利要求1所述的實現(xiàn)無線局域網安全的裝置,其特征在于��,所述的存儲模塊(4)由16/32位數(shù)據(jù)寬度的FLASH MEMORY��,16/32位數(shù)據(jù)寬度的SDRAM�����、BOOT ROM組成�����。
5.一種權利要求1所述的實現(xiàn)無線局域網安全的裝置所采用的工作方法��,其特征在于��,包括如下步驟1)����、空中無線數(shù)據(jù)通過無線模塊從網絡收到符合WAPI標準的網絡報文,由無線模塊驅動程序進行處理�����;2)���、主機無線模塊驅動程序通過操作系統(tǒng)內核調用把WAPI報文傳送給本實現(xiàn)無線局域網安全的裝置�����;3)本安全裝置通過裝置總控模塊中的認證模塊以及算法控制模塊中的解密模塊把滿足WAPI國標的報文恢復成主機操作系統(tǒng)可認的原始數(shù)據(jù)�;4)�����、本安全裝置通過自身的驅動程序把解密好的報文通過主機操作系統(tǒng)內核傳送給需要此網絡數(shù)據(jù)的上層網絡應用程序�;5)、主機網絡應用程序在收到報文后回應未加密的報文給操作系統(tǒng)內核調用���;6)���、主機操作系統(tǒng)內核調用把未加密的報文再發(fā)送給本裝置安全模塊��;7)�、本安全裝置收到此未加密的報文后����,做相應的加密處理,使之滿足WAPI協(xié)議���,之后把滿足WAPI協(xié)議的加密數(shù)據(jù)報通過主機操作系統(tǒng)調用傳送給無線模塊驅動���;8)、無線模塊驅動程序通過無線模塊硬件把加密好的滿足WAPI國標的報文發(fā)送到空中��。
6.根據(jù)權利要求5所述的實現(xiàn)無線局域網安全的裝置所采用的工作方法����,其特征在于,所述的安全裝置和主機無線模塊在不使用時是分離的�����。
7.根據(jù)權利要求5所述的實現(xiàn)無線局域網安全的裝置所采用的工作方法���,其特征在于����,所述的安全裝置首次插入主機接口時�,可自動枚舉并下載軟件和接口描述符表;接下來��,再次枚舉����,通過下載的信息來定義設備,當設備插入時它們立即執(zhí)行�����。
8.根據(jù)權利要求5所述的實現(xiàn)無線局域網安全的裝置所采用的工作方法��,其特征在于���,辦理證書和下載私鑰時離線到運行商指定地點授權���,而不是網絡下載。
全文摘要
本發(fā)明提供一種實現(xiàn)無線局域網安全的裝置����,其以熱插拔的方式通過標準接口可拆卸連接于現(xiàn)有無線局域網終端設備外部����,包括接口模塊�,輸入接口模塊(1)及輸出接口模塊(5);與接口模塊雙向連接的帶加/解密模塊的主處理器(2)�;與帶加/解密模塊的主處理器(2)雙向連接的時鐘/控制模塊(3),其提供本裝置信息流向的開關和通路��;與帶加解/密模塊的主處理器(2)雙向連接的存儲模塊(4)�����。本發(fā)明實現(xiàn)了現(xiàn)有無線局域網終端設備平滑過渡到強制性國標�����;實現(xiàn)了現(xiàn)有對所有802.11協(xié)議族主芯片的兼容����;解決了私鑰、證書存放的安全�,以及離線分發(fā)密鑰的安全;解決了國際標準和國標的兼容�����。
文檔編號H04L9/28GK1581775SQ20041001837
公開日2005年2月16日 申請日期2004年5月14日 優(yōu)先權日2004年5月14日
發(fā)明者陸慶元, 鄧金聲, 林肇, 王劍鋒, 江津, 陳六光 申請人:上海華曼信息技術有限公司