專利名稱:無線網(wǎng)絡(luò)和在無線網(wǎng)絡(luò)中用于加密/解密數(shù)據(jù)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種無線網(wǎng)絡(luò)和在一種無線網(wǎng)絡(luò)中對數(shù)據(jù)進行加密/解碼的方法。更具體而言,背景技術(shù)下列共同擁有的申請在此引入完全是作為參考之用Stanley Archer McClellan提出的與本申請同時提交的題為“Wireless Network and Mehtods for Communicationin a WirelessNetwork(無線網(wǎng)絡(luò)和用于在無線網(wǎng)絡(luò)中的通信方法)”序號為___的美國專利申請。
這一節(jié)打算向讀者介紹與下面將要描述和/或要求專利保護的本發(fā)明的各個實施例相關(guān)技術(shù)領(lǐng)域的各個方面。該討論被認為是有助于給讀者提供便于更好地理解本發(fā)明的各種實施例的背景信息。因此,應(yīng)當(dāng)理解為這些陳述應(yīng)該根據(jù)這個方面進行閱讀,而不應(yīng)視為是對現(xiàn)有技術(shù)的承認。
諸如局域網(wǎng)(LAN)之類的計算機網(wǎng)絡(luò)通常包括兩個或者更多計算機系統(tǒng)或者節(jié)點,它們連接在一起以便網(wǎng)絡(luò)中的每個節(jié)點都能夠與網(wǎng)絡(luò)中的其它節(jié)點通信并分享數(shù)據(jù)。能夠?qū)崿F(xiàn)的一類LAN技術(shù)是無線局域網(wǎng)(WLAN),它使用高頻無線電波而不是有線來幫助節(jié)點間的通信。有利地,對于WLAN中的每個節(jié)點沒有物理電纜連接的情況下,網(wǎng)絡(luò)可以更加靈活。例如,因為沒有物理電纜連接以包括節(jié)點的運動或放置,所以WLAN節(jié)點的移動性和可移植性就被簡化了。這個優(yōu)點在特定節(jié)點站點的物理連線可能經(jīng)常是困難或者不實際的情況下尤其有利。
WLAN通常根據(jù)普遍認可的規(guī)范和標(biāo)準協(xié)議來設(shè)計以便規(guī)定例如檢錯、數(shù)據(jù)壓縮、傳輸參數(shù)和接收參數(shù)的類型。IEEE802.11涉及由電子和電氣工程師協(xié)會(IEEE)開發(fā)的用于WLAN技術(shù)的一系列規(guī)范。IEEE802.11規(guī)定在WLAN中節(jié)點間的空中接口協(xié)議以便數(shù)據(jù)可以在網(wǎng)絡(luò)中的節(jié)點之間被可靠地傳輸。
可以理解,希望在WLAN上傳輸安全的數(shù)據(jù)和信息。因為LAN可能被它們結(jié)構(gòu)的物理性保護,所以LAN可能比WLAN更安全。例如,LAN的一些或者所有部分可以位于被保護使不受未經(jīng)授權(quán)的訪問的建筑物中。WLAN不需要有相同的物理約束,并且,因為網(wǎng)絡(luò)的所有項目可能不都位于一個安全設(shè)施中,所以更容易受攻擊而遭到竄改。此外,因為在WLAN中數(shù)據(jù)和信息經(jīng)由無線電波在空中被傳輸,因此與在LAN中的電纜上的相同傳輸相比,這種傳輸對于攔截更加敏感。
因此,標(biāo)準規(guī)范和協(xié)議通常提供了一個或者多個安全協(xié)議。例如包含在IEEE802.11系列中的IEEE802.11b規(guī)范為WLAN提供了一個安全協(xié)議,通常稱為有線等效保密(WEP)。WEP被設(shè)計用于WLAN以便提供與有線LAN的安全性相同水平的安全性。WEP協(xié)議的一個目的是為無線電波上加密數(shù)據(jù)提供安全性以便當(dāng)它從一個節(jié)點被發(fā)送到另一個節(jié)點時免于遭受未授權(quán)的訪問(也就是未授權(quán)用戶的截聽和解密)??梢岳斫?,加密通常指將數(shù)據(jù)翻譯為保密的代碼或者“密文”以防止數(shù)據(jù)被未授權(quán)觀看。為了閱讀加密的傳輸,接收節(jié)點通常使用密鑰將密文翻譯回到可讀的明文。不利的是,在WEP中實現(xiàn)的加密技術(shù)還不充分到足以保護數(shù)據(jù),這可能導(dǎo)致?lián)p害在由WEP保護的WLAN中傳輸?shù)臄?shù)據(jù)。
發(fā)明內(nèi)容
本發(fā)明提供一種方法,該方法包括在無線網(wǎng)絡(luò)中的第一節(jié)點產(chǎn)生相應(yīng)于第一主密鑰的第一入口點,其中,產(chǎn)生所述第一入口點包括產(chǎn)生作為至少一個第一數(shù)據(jù)分組的函數(shù)的第一入口點;和使用所述第一主密鑰來加密一個隨后的數(shù)據(jù)分組。
本發(fā)明的實施例可以解決上面闡述的一個或多個問題。
在閱讀了下面詳細的描述和參考附圖后,本發(fā)明各個實施例的優(yōu)點將變得更加清楚,其中圖1是說明示范無線網(wǎng)絡(luò)的方框圖;圖2是實現(xiàn)本發(fā)明示范實施例的示范無線網(wǎng)絡(luò)的方框圖;圖3是實現(xiàn)本發(fā)明另一個示范實施例的示范無線網(wǎng)絡(luò)的方框圖;圖4是實現(xiàn)本發(fā)明又一個示范實施例的示范無線網(wǎng)絡(luò)的方框圖。
具體實施例方式
下面將要描述本發(fā)明的一個或者多個具體實施例。為了努力提供這些實施例的簡要說明,在說明書中沒有描述實際實現(xiàn)的所有特征。應(yīng)當(dāng)理解,在這種實際實現(xiàn)的開發(fā)中,如在任何工程或者設(shè)計項目中,必須作出許多實現(xiàn)特定的決定從而實現(xiàn)開發(fā)者的具體目標(biāo),例如服從系統(tǒng)相關(guān)和商業(yè)相關(guān)的約束,它們可以從一個實現(xiàn)變化為另一個。此外,應(yīng)當(dāng)理解,對于受益于這個公開文本的普通技術(shù)人員來說,這樣的開發(fā)工作可能是復(fù)雜并且消耗時間的,但是仍然是設(shè)計、制造和加工的例行任務(wù)。
一般而言,根據(jù)本發(fā)明的實施例,描述了用于改進在實現(xiàn)有線等效保密(WEP)安全協(xié)議的網(wǎng)絡(luò)中的空中傳輸?shù)募夹g(shù)。根據(jù)一個實施例,在傳送加密數(shù)據(jù)分組期間,在加密的數(shù)據(jù)分組首部中的標(biāo)準初始化向量域中不包括用于加密數(shù)據(jù)分組的對應(yīng)初始化向量。此外,初始化向量可能被構(gòu)造為可以在實現(xiàn)相應(yīng)初始化向量的加密數(shù)據(jù)分組之前被發(fā)送的其它數(shù)據(jù)分組的函數(shù)。接收節(jié)點可以使用先前傳輸?shù)臄?shù)據(jù)分組來重構(gòu)該初始化向量。因此,在沒有連同被用初始化向量加密的相應(yīng)數(shù)據(jù)分組一起接收初始化向量的情況下,接收節(jié)點能夠解密數(shù)據(jù)分組。相似地,利用先前數(shù)據(jù)分組的段來加密隨后的數(shù)據(jù)分組的技術(shù)也可以被用于動態(tài)改變用于加密隨后數(shù)據(jù)分組的主密鑰18。本發(fā)明的示范實施例的更詳細的描述將在下面進行描述。
現(xiàn)在轉(zhuǎn)向附圖,最開始參考圖1,包含第一節(jié)點12和第二節(jié)點14的示范網(wǎng)絡(luò)10被一般性地示出??梢岳斫?,網(wǎng)絡(luò)10可以包括諸如無線局域網(wǎng)(WLAN)之類的無線網(wǎng)絡(luò),也可以包括諸如節(jié)點12和14之類的任何數(shù)目的節(jié)點。每個節(jié)點12和14包括一個或者多個處理器以及一個或者多個存儲器設(shè)備,并且能夠例如通過使用高頻無線電波來無線地發(fā)送和接收數(shù)據(jù)。
僅僅為了說明的目的,第一節(jié)點12可以被稱為發(fā)送節(jié)點,第二節(jié)點14可以被稱為接收節(jié)點。然而,如前面所描述的,節(jié)點12和14中的每一個都能夠發(fā)送和接收數(shù)據(jù)。如前面描述的,為了在無線網(wǎng)絡(luò)10中把數(shù)據(jù)從節(jié)點12發(fā)送到節(jié)點14,通常實現(xiàn)諸如無線等效保密(WEP)之類的安全協(xié)議以便加密數(shù)據(jù)??梢岳斫?,當(dāng)前描述的WEP體系結(jié)構(gòu)通常在IEEE802類型的WLAN網(wǎng)絡(luò)中實現(xiàn),例如網(wǎng)絡(luò)10。網(wǎng)絡(luò)10可以用多個實現(xiàn)不同調(diào)制方案和高效比特率的不同WEP體系結(jié)構(gòu)(例如,IEEE802.11a,IEEE802.11b,IEEE802.11g,IEEE802.11h)中的任何一個以及那些依賴于通過高層驗證的基于端口的接入?yún)f(xié)議的體系結(jié)構(gòu)(例如,IEEE802.1x)來配置,這是本領(lǐng)域普通技術(shù)人員可以理解的。
為了從節(jié)點12向節(jié)點14發(fā)送信息,該信息通常被劃分為數(shù)據(jù)分組16。例如數(shù)據(jù)分組A-D。數(shù)據(jù)分組16中的每一個可以包括例如128比特的數(shù)據(jù)。如前面所描述的,網(wǎng)絡(luò)10有諸如WEP之類的安全協(xié)議以便在數(shù)據(jù)分組16在空中被發(fā)送到接收節(jié)點14之前在發(fā)送節(jié)點12加密該數(shù)據(jù)分組16。因此,包含在網(wǎng)絡(luò)10中的節(jié)點12和14中的每一個都包含主密鑰18,在這里它也可以被稱為“共享機密(shared secret)”、“種子”或者“長加密密鑰”。正如可以理解的,主密鑰18可以包含一個提供用于加密和解密數(shù)據(jù)分組16的機制的表。對于IEEE802.11網(wǎng)絡(luò),例如在安全數(shù)據(jù)在網(wǎng)絡(luò)10上被發(fā)送之前,主密鑰18通常由系統(tǒng)管理員安裝在節(jié)點12和14的每一個中??商鎿Q地,對于IEEE802.1x網(wǎng)絡(luò),主密鑰18可以在驗證會話開始時被自動安裝。一般而言,主密鑰18使用戶能夠與具有相同主密鑰18的其它用戶交換加密數(shù)據(jù)分組16。因此,對主密鑰18的有限分配和訪問可以有利地提供更好的數(shù)據(jù)安全性。正如可以理解的,當(dāng)前描述的實現(xiàn)了相同的主密鑰18以便加密和解密數(shù)據(jù)分組16的加密技術(shù)可以被稱為“對稱加密”。
在數(shù)據(jù)發(fā)送期間,數(shù)據(jù)分組16在發(fā)送節(jié)點12中可以用主密鑰18被加密,如加密操作20所示。正如可以理解的,加密操作20可以包括數(shù)據(jù)壓縮。在加密操作20期間,數(shù)據(jù)分組16被轉(zhuǎn)換為加密的數(shù)據(jù)分組22。對應(yīng)各個加密的數(shù)據(jù)分組22的加密數(shù)據(jù)在這里可以被稱為“有效負載”E-H。正如可以被理解的,有效負載E-H包括加密的密文。在當(dāng)前的示范實施例中,有效負載E相應(yīng)于數(shù)據(jù)分組A,有效負載F相應(yīng)于數(shù)據(jù)分組B,有效負載G相應(yīng)于數(shù)據(jù)分組C,以及有效負載H相應(yīng)于數(shù)據(jù)分組D。每個加密的數(shù)據(jù)分組22也可以包括首部24,該首部包括一個或者多個比特的、沒有加密的(明文)信息,例如分組目的地、分組大小和加密信息等。
在很多標(biāo)準WEP實現(xiàn)中,在加密操作20期間,初始化向量a-c可以被嵌入到數(shù)據(jù)分組16中每一個的首部24中。因此,加密的數(shù)據(jù)分組22中的每一個可以包括相應(yīng)的初始化向量a-c。初始化向量a-c是非保密的、明文的、二進制向量,被初始化輸入算法用來對數(shù)據(jù)分組16進行加密。也就是說,對于特定的數(shù)據(jù)分組16,例如數(shù)據(jù)分組A,相應(yīng)的初始化向量“a”可以與主密鑰18一道被實現(xiàn)以便建立特定的密鑰序列來加密數(shù)據(jù)分組A,正如下面進一步描述的。對于IEEE802.11和IEEE802.1x實現(xiàn),每個初始化向量a-c典型地包括24個比特。一般而言,初始化向量a-c被用作“種子值”以便在加密操作20期間從主密鑰18中提出(render)特定加密密鑰。如下面將要描述的,用于每個數(shù)據(jù)分組16的初始化向量a-c可以被隨機或者確定性地選擇。
每個分組的初始化向量a-c和主密鑰18一道可以被接收節(jié)點14用來重構(gòu)用于加密數(shù)據(jù)分組16的特定密鑰序列。一旦特定密鑰序列可獲得時,加密的數(shù)據(jù)分組22就可以被成功地解密。用于為特定數(shù)據(jù)分組16導(dǎo)出特定加密密鑰序列的初始化向量在相應(yīng)加密數(shù)據(jù)分組22的首部24中以沒有加密的形式被發(fā)送。
當(dāng)加密的數(shù)據(jù)分組22在接收節(jié)點14中被接收時,加密的數(shù)據(jù)分組22可以通過對每個加密的數(shù)據(jù)分組22一道實現(xiàn)主密鑰18和相應(yīng)的初始化向量a-c來得以解密。解密操作用參考數(shù)字26泛指。正如可以理解的,解密操作26可以包括數(shù)據(jù)解壓縮。在解密操作26期間,在接收節(jié)點14中初始化向量a-c和主密鑰18一起被實現(xiàn)以便重新構(gòu)造在加密操作20期間用于加密相應(yīng)數(shù)據(jù)分組16的特定密鑰系列。如前面所描述的,通過實現(xiàn)用于加密數(shù)據(jù)分組16的特定密鑰序列,加密的數(shù)據(jù)分組22可以被解密。解密操作26產(chǎn)生解密的數(shù)據(jù)分組28。正如可以理解的,解密的數(shù)據(jù)分組28相應(yīng)于原始發(fā)送的數(shù)據(jù)分組16。因此,數(shù)據(jù)分組A-D(數(shù)據(jù)分組16)中的每一個有相應(yīng)的解密的數(shù)據(jù)分組I-L(解密的數(shù)據(jù)分組28)。
正如可以理解的,可以有和主密鑰18一起被實現(xiàn)的離散(因此是有限的)數(shù)目的初始化向量a-c,用于加密(和解密)數(shù)據(jù)分組16。例如對于包括24個比特的初始化向量,有224或者大約16.8兆個的、可能的唯一組合。在示范技術(shù)中,初始化向量a-c可以從初始化向量a-c列表中被遞增地選擇。相應(yīng)于第一加密的數(shù)據(jù)分組22的第一初始化向量a-c的賦值可以被隨機賦值或者根據(jù)預(yù)先設(shè)定值賦值。實現(xiàn)用來對隨后的數(shù)據(jù)分組16進行加密的每個初始化向量a-c可以從初始化向量a-c的列表中遞增地賦值,例如,如圖1所示的。對于當(dāng)前的示范性描述,加密的數(shù)據(jù)分組E有初始化向量“a”、加密的數(shù)據(jù)分組F有初始化向量“b”、加密的數(shù)據(jù)分組G有初始化向量“c”。也就是說,初始化向量“a”和主密鑰18一道被實現(xiàn)以便加密數(shù)據(jù)分組A,從而產(chǎn)生加密的數(shù)據(jù)分組E,依此類推。
因為可獲得的初始化向量a-c的數(shù)目有限,所以在很多加密的數(shù)據(jù)分組22被發(fā)送之后,初始化向量a-c最終可能被重復(fù)使用。例如,為了加密數(shù)據(jù)分組D,初始化向量“a”可能被實現(xiàn)。初始化向量“a”可以和主密鑰18一起被使用來加密數(shù)據(jù)分組D從而產(chǎn)生加密的有效負載H。然而,如前面所描述的,相同的初始化向量“a”也曾被實現(xiàn)來加密數(shù)據(jù)分組A從而產(chǎn)生加密的有效負載E。因此,實現(xiàn)用來加密數(shù)據(jù)分組A的相同密鑰序列被用于加密數(shù)據(jù)分組D。一旦主密鑰18和初始化向量“a”被知道,例如在接收到加密的有效負載E之后,加密的有效負載H可以被解密。
在相應(yīng)的加密的數(shù)據(jù)分組22的未加密首部24中傳送初始化向量a-c可能不利地降低網(wǎng)絡(luò)10中數(shù)據(jù)傳輸?shù)陌踩?,其中向量a-c包括用于對相應(yīng)于向量a-c的加密數(shù)據(jù)分組22進行解密的機制的一部分。一旦足夠的初始化向量a-c在網(wǎng)絡(luò)10中的無線節(jié)點12和14之間被傳送,接收方(包括非期望的的接收方)最終可能可以從初始化向量a-c重新構(gòu)造主密鑰18。正如可以理解的,這個情景最終可能導(dǎo)致用戶有能力解密所有隨后的加密的數(shù)據(jù)分組22,因為用戶(包括非期望的的接收方)現(xiàn)在有重新構(gòu)造的主密鑰18,正如下面所描述的。
當(dāng)相同的主密鑰18和相同的初始化向量a-c被用于加密不同的數(shù)據(jù)分組16時,對基于WEP的網(wǎng)絡(luò)(例如網(wǎng)絡(luò)10)中的加密數(shù)據(jù)分組22的未授權(quán)訪問的似然率增高了。WEP加密機制通常包括特定加密密鑰和數(shù)據(jù)的二進制值之間的異或操作(XOR),這產(chǎn)生了二進制輸出值。在這個方程中有3個變量(1)初始化向量a-c;(2)未加密的數(shù)據(jù)分組16;和(3)加密的有效負載E-H。結(jié)果,當(dāng)初始化向量a-c被重用時,非期望的接收方可能有3個變量中的兩個(也就是,明文初始化向量a-c和加密的有效負載E-H),并可能部分地基于基于下面因素中的一個或者多個推論出第三個的大部分(也就是未加密的數(shù)據(jù)分組16)(1)非期望的接收方對公共因特網(wǎng)協(xié)議(“IP”)分組結(jié)構(gòu)的知識,例如首部信息;(2)諸如web地址、域名查詢等等之類的公共有效負載信息的部分或者全部知識;和(3)“激勵的”響應(yīng)分組,例如當(dāng)非期望的接收方的計算機向發(fā)送節(jié)點查詢一個帶負載的問題(例如“你是誰?”或者“你的IP號是多少?”)。每次當(dāng)對于特定的重用初始化向量a-c,所有的3個變量被獲知時,主密鑰18的一部分被泄漏給非期望的接收方。換句話說,在圖1的實施例中,當(dāng)初始化向量a-c在加密過程20中被重用以便加密后繼數(shù)據(jù)分組16時,非期望的用戶可以立即對加密的有效負載E-H解密。一旦對于初始化向量,關(guān)于主密鑰18的足夠信息被泄漏時,對于其它可能的初始化向量a-c,該過程可以被重復(fù)以便一部分一部分地構(gòu)建主密鑰18。因此,非期望的接收方可以構(gòu)建一張可能的初始化向量a-c的“表”并以并行的方式而不是以順序的方式來執(zhí)行這個過程。相似地,存在根據(jù)遞歸算法而不是根據(jù)基于表的攻擊來順序地泄漏主密鑰的小段的其它方案,但是對數(shù)據(jù)傳輸來說,產(chǎn)生的損害潛能(compromise potential)是相同的,這些是本領(lǐng)域的普通技術(shù)人員可以理解的。
通過在明文首部24中嵌入用于加密相應(yīng)的加密數(shù)據(jù)分組22的初始化向量a-c來在初始化向量a-c和加密的數(shù)據(jù)分組22之間建立顯而易見的關(guān)聯(lián)可能是不利的。如上面所描述的,在相同的主密鑰18和相同的初始化向量a-c一起被用來加密不同的數(shù)據(jù)分組16的時候,這個缺點就變得更加明顯。多數(shù)IEEE802.11b類型的WLAN在所有的客戶節(jié)點之間使用靜態(tài)主密鑰18。由于不斷增加的傳輸速率和初始化向量a-c相對較短的域(例如24個比特),加密的數(shù)據(jù)分組22在一個短時間段上可能被損害(也就是,被截聽空中通信的未授權(quán)用戶解密)的似然性可能不利地增加。例如,對于給定的主密鑰18,在大約11Mbps的傳輸速率上操作的IEEE802.11b類型網(wǎng)絡(luò)可能在少于5秒的時間內(nèi)重用初始化向量a-c。
對于基于IEEE802.1x的網(wǎng)絡(luò),上面描述的缺點可能較為不明顯,但是也可能導(dǎo)致在網(wǎng)絡(luò)10中不可靠的數(shù)據(jù)傳輸。實現(xiàn)IEEE802.1x協(xié)議的WLAN網(wǎng)絡(luò)被配置為控制WLAN安全性的幾個方面,包括空中加密等。例如,對所有的節(jié)點,替代具有公共的、預(yù)先配置的主密鑰(例如在圖1的節(jié)點12和14中實現(xiàn)的主密鑰18等),IEEE802.1x網(wǎng)絡(luò)在每個會話的開始(或重驗證)時“動態(tài)地”安裝主密鑰18。作為結(jié)果,在IEEE802.1x網(wǎng)絡(luò)上任何時間使用的主密鑰18可能對于每個節(jié)點都是唯一的。因此,使用從相同初始化向量a-c產(chǎn)生的密鑰加密的不同數(shù)據(jù)分組16只能由網(wǎng)絡(luò)10中單個節(jié)點產(chǎn)生而不是由網(wǎng)絡(luò)10中所有的節(jié)點產(chǎn)生。這可能把攻擊者偷聽(也就是,未授權(quán)用戶的截聽和解密)會危及到的(compromisable)加密數(shù)據(jù)分組22的似然性減小一個因數(shù),該因數(shù)與網(wǎng)絡(luò)用戶的數(shù)目和網(wǎng)絡(luò)1維護著的唯一主密鑰18的數(shù)目相關(guān)。
然而,即使用動態(tài)的WEP,主密鑰18在會話持續(xù)期間基本上也是靜態(tài)的(或者直到強制進行重新驗證為止)。如果使用快速的空中數(shù)據(jù)速率,初始化向量a-c在相同會話中重用的似然性可能再次成為問題。例如,對于實現(xiàn)IEEE802.1x協(xié)議并且具有大約54Mbps的空中傳輸速率和至少五個節(jié)點或者用戶的網(wǎng)絡(luò)10,每個實現(xiàn)不同主密鑰18的節(jié)點可以產(chǎn)生加密的數(shù)據(jù)分組22和侵入在11Mbps IEEE802-11b網(wǎng)絡(luò)(上面描述的)中共享公共主密鑰18的幾個節(jié)點大概相同的速率上重用的初始化向量a-c。因此,與上面描述的靜態(tài)網(wǎng)絡(luò)相似,實現(xiàn)動態(tài)主密鑰18的網(wǎng)絡(luò)10也可能導(dǎo)致對加密數(shù)據(jù)分組22的未授權(quán)訪問。
用于在WLAN網(wǎng)絡(luò)中提高數(shù)據(jù)傳輸安全性的另一種技術(shù)實現(xiàn)初始化向量a-c的隨機化。也就是說,不是遞增地賦值初始化向量a-c(這里,先“a”,然后“b”,再“c”等等,如上面所描述的),初始化向量a-c是被隨機賦值的,使它們不怎么可以預(yù)測。然而,當(dāng)與使用遞增之類的公共初始條件以確定性模式選擇的初始化向量a-c的應(yīng)用相比較時,隨機選擇的初始化向量a-c僅僅可能減少初始化向量重用的似然性。因此,雖然當(dāng)與遞增的賦值相比時,初始化向量a-c的隨機化可以提供更安全的數(shù)據(jù)傳輸,但是通過截聽較大的數(shù)據(jù)集(也就是,更多的加密數(shù)據(jù)分組22和相應(yīng)的初始化向量a-c),未授權(quán)用戶可以重新創(chuàng)建主密鑰18。如前面所描述的,主密鑰18然后可以被用于對隨后加密的數(shù)據(jù)分組22進行解密。
因此,在具有IEEE802.11類型結(jié)構(gòu)的WLAN中WEP加密技術(shù)、在每個相應(yīng)的加密的數(shù)據(jù)分組22的首部24中的24比特初始化向量a-c的明文傳輸,可以被用于逐步地泄漏關(guān)于主密鑰18的信息。一旦主密鑰18被獲知,隨后的加密的數(shù)據(jù)分組22就可以使用重新創(chuàng)建的主密鑰18和隨后加密的數(shù)據(jù)分組22的首部24中包含的未加密的初始化向量a-c來解密。無論初始化向量a-c是以隨機方式還是以確定方式選擇的,作為加密的數(shù)據(jù)分組22一部分的明文初始化向量a-c的傳輸還是可以破壞在WLAN中正發(fā)送著的數(shù)據(jù)的安全性。另外,隨著WLAN空中速度的增加,每個會話主密鑰18的使用(例如IEEE802.1x協(xié)議)可以變得和未授權(quán)解密一樣易受攻擊。
根據(jù)本發(fā)明的實施例,為主密鑰(靜態(tài)或者動態(tài))消除或者減少初始化向量的重用可以有利地為IEEE802.11和IEEE802.1x類型無線網(wǎng)絡(luò)提高空中加密的安全性。進一步,去除用于加密特定數(shù)據(jù)分組的初始化向量的傳輸和加密的數(shù)據(jù)分組的傳輸之間的關(guān)聯(lián)也可以提高無線網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩?。再進一步,消除用于加密一個特定數(shù)據(jù)分組的未加密的初始化向量可以進一步提高在數(shù)據(jù)傳輸期間的安全性。
現(xiàn)在參考圖2,該示了描述本發(fā)明示范實施例的無線網(wǎng)絡(luò)30的方框圖。為了簡化起見,使用相同的參考數(shù)字來描述前面參考圖1描述的元件。如前面參考圖1所描述的,網(wǎng)絡(luò)30包括節(jié)點12和14。為了從節(jié)點12向節(jié)點14傳輸數(shù)據(jù)分組16,數(shù)據(jù)分組16使用主密鑰18來加密(加密操作20)。然而,根據(jù)本發(fā)明的一個示范實施例,用于為特定數(shù)據(jù)分組A-D導(dǎo)出特定加密序列的初始化向量(沒有示出)通過使用來自于一個或者多個先前數(shù)據(jù)分組中的數(shù)據(jù)的某個函數(shù)來建立,如下面將要進一步描述的。因為當(dāng)前示范實施例的初始化向量作為來自于發(fā)送節(jié)點12的數(shù)據(jù)流的函數(shù)被建立,所以用于加密一個特定數(shù)據(jù)分組A-D的初始化向量不必與相應(yīng)的加密的有效負載E-H一起傳送以便于在接收節(jié)點14解密。反之,在先前發(fā)送的、包含用于建立特定初始化向量的數(shù)據(jù)段的加密數(shù)據(jù)分組22被解密之后,用于加密特定的加密有效負載E-H的初始化向量可以由接收節(jié)點14制作或者重構(gòu)。因此,加密的數(shù)據(jù)分組2 2的首部24不包括用于加密相應(yīng)有效負載E-H的初始化向量。在當(dāng)前的示范實施例中,由傳統(tǒng)WEP系統(tǒng)實現(xiàn)來為相應(yīng)加密的數(shù)據(jù)分組22發(fā)送初始化向量的域可以保持為空。
當(dāng)前的用于建立初始化向量的示范技術(shù)的一個實施例是使用來自于一個或者多個數(shù)據(jù)分組A-D的段來形成初始化向量。例如,對于數(shù)據(jù)分組A,可以采樣來自于三個在前的數(shù)據(jù)分組(沒有示出)中每一個的數(shù)據(jù)的第一字節(jié)。來自于在前的數(shù)據(jù)分組的數(shù)據(jù)段可以被并置從而形成用于加密數(shù)據(jù)分組A的24比特初始化向量。根據(jù)本實施例,初始化向量可以通過組合來自于連續(xù)數(shù)據(jù)分組的字節(jié)來被構(gòu)造。
可替換地,可以對采樣的段進行卷積,以致通過從一個或者多個在前的數(shù)據(jù)分組采樣數(shù)據(jù),然后通過使用狀態(tài)機或者卷積碼對比特進行卷積,來建立初始化向量。也就是說,比特可以被從來自幾個數(shù)據(jù)分組中的幾個字節(jié)采樣出來,并且這些比特可以被混合或者被卷積,以便比特的順序被改變。如可以理解的,狀態(tài)機或者卷積碼可以實現(xiàn)被采樣的比特以便產(chǎn)生編碼的串。通過示例的方式,比特可以被采樣并且連續(xù)的比特可以是通過與非門NAND(例如)來加以組合,因此輸出包括編碼的串。卷積技術(shù)可以提供復(fù)雜的初始化向量選擇方案,從而進一步混淆初始化向量。此外,通過使用狀態(tài)機或者卷積碼來產(chǎn)生初始化向量,組成被采樣的段的比特數(shù)目可以包括少于在初始化向量中實現(xiàn)的比特數(shù)目(在這里是24)。如可以理解的,卷積碼或者狀態(tài)機可以被實現(xiàn)以便制造任何剩下的比特以便填充初始化向量。
如可以理解的,混淆初始化向量使對加密的數(shù)據(jù)分組22的未授權(quán)訪問更加困難。通過實現(xiàn)當(dāng)前示范技術(shù)中的一種,用于特定數(shù)據(jù)分組A-D的初始化向量在一個或者多個加密的分組22的有效負載E-H中被發(fā)送,所述的加密分組22在使用相應(yīng)的初始化向量被加密的特定數(shù)據(jù)分組A-D之前被發(fā)送。因此,在發(fā)送節(jié)點12進行的初始化向量的合成過程和在接收節(jié)點14進行的復(fù)原過程可能有利地是復(fù)雜的。對于實現(xiàn)基于表的攻擊以便成功訪問加密的數(shù)據(jù)分組22的未授權(quán)用戶,未授權(quán)用戶在不知道初始化向量的情況下同時還不得到不要成功地解密幾個分組。這需要未授權(quán)用戶的相當(dāng)多的計算能力以及分組序列的積累和相關(guān)而不是如使用傳統(tǒng)技術(shù)那樣指示識別會危及到的事件。
為了實現(xiàn)當(dāng)前的示范混淆技術(shù),“斜上(ramping up)”階段可以被實現(xiàn)以便同步參與節(jié)點?!靶鄙稀彪A段是指在接收節(jié)點準備根據(jù)當(dāng)前混淆技術(shù)接收數(shù)據(jù)分組之前的時間段。對于“斜上”成功解密的分組的接收節(jié)點的存儲器,有多個方案可以實現(xiàn)。根據(jù)斜上的一個方案,多個分組和相應(yīng)的初始化向量一起被發(fā)送到接收節(jié)點,正如在傳統(tǒng)WEP網(wǎng)絡(luò)中一樣。一旦接收節(jié)點具有解密的數(shù)據(jù)的足夠的高速緩存,在隨后的傳輸中,位于首部中的初始化向量域可以被保持為空。這個示范技術(shù)將參考圖3進行描述。
用于在無線網(wǎng)絡(luò)30上傳輸數(shù)據(jù)(包括斜上階段)的當(dāng)前技術(shù)的一個示范實施例可以參考圖3進一步地說明。如可以理解的,為了說明的目的,當(dāng)前實施例被簡化。在當(dāng)前的示范實施例中,包括數(shù)據(jù)分組A-D的數(shù)據(jù)流從發(fā)送節(jié)點12被發(fā)送到接收節(jié)點14。初始化向量“a”被實現(xiàn)以便加密數(shù)據(jù)分組A;初始化向量“b”被用于加密數(shù)據(jù)分組B;初始化向量“c”被用于加密數(shù)據(jù)分組C。初始化向量a-c可以通過上面所描述的任何傳統(tǒng)技術(shù)來賦值。因此,數(shù)據(jù)分組A-C使用初始化向量a-c來加密,并且所得到的加密有效負載E-G被發(fā)送到接收節(jié)點14。加密的有效負載E-G中的每一個和嵌入到首部24中的相應(yīng)初始化節(jié)點a-c一起被發(fā)送。加密的有效負載E-G一起和它們相應(yīng)的嵌入到首部24中的初始化向量的傳輸包括“斜上”階段。一旦有效負載E-G在節(jié)點14被接收到,它們可以使用主密鑰18和用于每個相應(yīng)加密的有效負載E-G的相應(yīng)初始化向量a-c來解密。因此,解密的數(shù)據(jù)分組I-K可以通過傳統(tǒng)技術(shù)來解密。
然而,在多個數(shù)據(jù)分組16通過傳統(tǒng)技術(shù)被發(fā)送、接收和解密之后,可以實現(xiàn)當(dāng)前的示范實施例。在當(dāng)前的示范實施例中,在數(shù)據(jù)分組A-C被加密之前,來自于每個數(shù)據(jù)分組A-C的數(shù)據(jù)的第一字節(jié)可以由節(jié)點12中的處理器(沒有示出)來采樣。來自于數(shù)據(jù)分組A-C的三個字節(jié)中的每一個可以被并置以便形成數(shù)據(jù)分組D的初始化向量。數(shù)據(jù)分組D可以使用并置的初始化向量來加密以便產(chǎn)生有效負載H。因為在發(fā)送數(shù)據(jù)分組D之前加密了數(shù)據(jù)分組A-C并將它發(fā)送到接收節(jié)點14,接收節(jié)點14具有重新構(gòu)造用于加密數(shù)據(jù)分組D的初始化向量所需的信息。因此,有效負載H可以在沒有嵌入用于加密相應(yīng)的數(shù)據(jù)分組D的初始化向量的情況下被發(fā)送。一旦接收節(jié)點14解密了有效負載E-G,接收節(jié)點14中的處理器(沒有示出)可以重構(gòu)相應(yīng)于加密的有效負載H的初始化向量并用它來解密加密的有效負載H。相似地,在斜上階段(這里,傳統(tǒng)地加密的數(shù)據(jù)分組E-G的傳輸)之后,所有后繼數(shù)據(jù)分組可以如參考數(shù)據(jù)分組D所描述的一樣被加密和發(fā)送,其中相應(yīng)的初始化向量是隨后數(shù)據(jù)分組的函數(shù)并且不是在相應(yīng)數(shù)據(jù)分組的首部中發(fā)送。
此外,當(dāng)前技術(shù)可以實現(xiàn)“假目標(biāo)(decoy)”初始化向量來代替略去的初始化向量。如果知道當(dāng)前IEEE802.11和IEEE802.1x類型網(wǎng)絡(luò)被定義為將初始化向量嵌入到相應(yīng)數(shù)據(jù)分組的首部中,假目標(biāo)初始化向量可以被嵌入到加密的數(shù)據(jù)分組的首部中的標(biāo)準域中,該標(biāo)準域在準協(xié)議是為傳輸初始化向量而實現(xiàn)的。因此,不是讓首部欄中的標(biāo)準域為空,而是可以把假目標(biāo)初始化向量插入以便進一步阻止任何未授權(quán)訪問的企圖。
有利地,這里所描述的示范實施例與IEEE802.11以及IEEE802.1x類型網(wǎng)絡(luò)的現(xiàn)有成幀定義(也就是,不使用當(dāng)前定義的空中比特域而是重新定義)是相兼容的。結(jié)果,當(dāng)前技術(shù)與客戶端網(wǎng)絡(luò)接口卡(NIC)和網(wǎng)絡(luò)端接入點(AP)都是向后兼容的。此外,每當(dāng)NIC和AP都支持該技術(shù),當(dāng)前技術(shù)都可以被選擇性地和被動地啟動。
使用先前數(shù)據(jù)分組的段來加密后繼數(shù)據(jù)分組的技術(shù)也可以被用于動態(tài)改變用于加密后繼數(shù)據(jù)分組的主密鑰18。如參考圖2和圖3所描述的,不是使用來自于一個或者多個數(shù)據(jù)分組的數(shù)據(jù)段來為后繼數(shù)據(jù)分組定義和混淆初始化向量,或者除了使用上述之外,該數(shù)據(jù)段可以被用于定義對多個主密鑰18中一個的選擇,可以用于加密數(shù)據(jù)分組,如下面將要進一步描述的。有利地,對于每個數(shù)據(jù)分組,當(dāng)前描述的技術(shù)允許IEEE802.11和IEEE802.1x類型的WEP主密鑰18以可配置的方式動態(tài)地改變。如下面參考圖4更詳細地描述的,當(dāng)前描述的實施例實現(xiàn)來自于先前發(fā)送的數(shù)據(jù)分組中一個或者多個的數(shù)據(jù)段以便選擇特定主密鑰,該密鑰用于加密隨后的數(shù)據(jù)分組。因為主密鑰可以作為數(shù)據(jù)流的函數(shù)被選擇,用于加密特定分組的主密鑰可以以每個分組為基礎(chǔ)被動態(tài)和不可預(yù)知地改變??梢岳斫?,主密鑰隨機的重用密鑰(re-keying)(也就是從一組主密鑰中選擇一個主密鑰)可以有利地減少非期望的接收者可能能夠?qū)芈牭臄?shù)據(jù)分組進行解密的似然性。
參考圖4,描述了上述隨機密鑰重用技術(shù)的無線網(wǎng)絡(luò)32被圖示出來。為了簡化起見,使用相同的附圖標(biāo)記來描述前面參考圖1-3所描述的元件。因此,網(wǎng)絡(luò)32包括節(jié)點12和14。為了從節(jié)點12向節(jié)點14發(fā)送數(shù)據(jù)分組16,數(shù)據(jù)分組16被加密以便產(chǎn)生相應(yīng)的加密數(shù)據(jù)分組22,如加密操作20所說明的。然而,和在每個節(jié)點12和14的上僅僅包括單一的主密鑰18(無論靜態(tài)或者動態(tài),每個會話)的先前描述的網(wǎng)絡(luò)(圖1-3)不同,網(wǎng)絡(luò)32包括多個主密鑰18A-18D。該多個主密鑰18A-18D可以被總稱為主密鑰18A-18D的星座34。因此,星座34指在諸如節(jié)點12和節(jié)點14之類的節(jié)點中所有可獲得的主密鑰18A-18D的集合。
如先前參考主密鑰18所描述的,星座34的主密鑰18A-18D中的每一個可以包括一個表,該表提供用于加密和解密數(shù)據(jù)分組16的機制。對于IEEE802.11網(wǎng)絡(luò),主密鑰18A-18D的星座34通常由系統(tǒng)管理員安裝在每個節(jié)點12和節(jié)點14中,例如在安全的數(shù)據(jù)可以在網(wǎng)絡(luò)32上發(fā)送之前加以安裝??商鎿Q地,對于IEEE802.1x網(wǎng)絡(luò),主密鑰18A-18D的星座34在驗證過的會話的開始時或者在重新驗證會話時被自動安裝。主密鑰18A-18D的星座34可以被加索引以便特定的主密鑰18A-18D可以參考相應(yīng)的索引入口點被實現(xiàn),如下面將要進一步描述的。
在加密操作20期間(以及再次在解密操作26期間),主密鑰18A-18D被實現(xiàn)以便易于安全數(shù)據(jù)的傳輸。因為有多個主密鑰18A-18D,特定主密鑰可以被選擇用于加密特定數(shù)據(jù)分組。為了說明的目的,例如,主密鑰18A可以被選擇用于加密數(shù)據(jù)分組A,主密鑰18B可以被選擇用于加密數(shù)據(jù)分組B,主密鑰18C可以被選擇用于加密數(shù)據(jù)分組C,以及主密鑰18D可以被選擇用于加密數(shù)據(jù)分組D。如前所述,與特定數(shù)據(jù)分組A-D的加密相關(guān)聯(lián)的每個加密操作20包括選擇一個相關(guān)聯(lián)的初始化向量,該向量被用作種子值以便從相應(yīng)的主密鑰18A-18D提出特定加密密鑰。
在當(dāng)前的示范實施例中,對用于加密特定數(shù)據(jù)分組A-D的特定主密鑰18A-18D的選擇可以被選作先前發(fā)送的數(shù)據(jù)分組的函數(shù)。換句話說,來自于一個或者多個后繼數(shù)據(jù)分組16的一個或者多個數(shù)據(jù)段可以被實現(xiàn)以便導(dǎo)出相應(yīng)于主密鑰18A-18D中一個特定主密鑰的索引的入口點,如下面將要進一步描述的。如這里所用的,“入口點”在星座34中是指相應(yīng)于主密鑰18A-18D中的一個特定的主密鑰在索引中的唯一位置或者地址。因為特定主密鑰18A-18D被實現(xiàn)以便在發(fā)送節(jié)點12加密特定數(shù)據(jù)分組A-D,接收節(jié)點14可能被提供入口點信息以便選擇用于加密數(shù)據(jù)分組A-D的特定主密鑰18A-18D從而解密加密的數(shù)據(jù)分組22。如參考圖2和3所描述的,初始化向量a-c的選擇可以基于來自于一個或者多個先前發(fā)送的數(shù)據(jù)分組的數(shù)據(jù)段。相似地,特定主密鑰18A-18D的選擇可以取決于來自先前發(fā)送的數(shù)據(jù)分組的數(shù)據(jù)。因此,在圖4所示的示范實施例中,取代使用數(shù)據(jù)段來形成初始化向量a-c或者除了使用上述之外,該數(shù)據(jù)段可以被用來形成星座34中相應(yīng)于主密鑰18A-18D中的特定一個的入口點。
如前面所述,如同使用混淆初始化向量a-c一樣,索引入口點操作的表征可以由狀態(tài)轉(zhuǎn)換機制來控制(例如,卷積碼)并可以被制成任意復(fù)雜。為了說明的目的,在當(dāng)前的示范實施例有四個主密鑰18A-18D。主密鑰18A-18D中的每一個都分別有相應(yīng)的入口點“00”、“01”、”10”和“11”。在一個實施例中,四個未加密數(shù)據(jù)分組16的第一比特可以被采樣和求和。基于采樣的和,可以獲得相應(yīng)于星座34入口點中一個的二進制數(shù)(和因此可獲得主密鑰18A-18D中的特定一個)。然后,相應(yīng)于入口點的主密鑰18A-18D被用于加密將要發(fā)送的下一個數(shù)據(jù)分組16,所述的入口點從四個后繼未加密的數(shù)據(jù)分組16的第一比特的求和中獲得。一旦接收節(jié)點14接收到包含用于產(chǎn)生入口點的比特的數(shù)據(jù)分組,并因此選擇主密鑰18A-18D來加密后繼數(shù)據(jù)分組,接收節(jié)點14就可以使用來自于前面數(shù)據(jù)分組的信息來確定用于加密后繼數(shù)據(jù)分組的特定主密鑰18A-18D,并且后繼數(shù)據(jù)分組通過使用相同的主密鑰18A-18D可以被成功地解密。
如可以理解的,可以使用更復(fù)雜的方案以便來自于在前的數(shù)據(jù)分組的數(shù)據(jù)比特被實現(xiàn)從而驅(qū)動卷積碼或者一個或多個狀態(tài)機來產(chǎn)生作為代碼輸出或者狀態(tài)的函數(shù)的入口點。例如,卷積碼可以通過諸如NAND門之類的邏輯門來組合所選擇的比特,從而例如導(dǎo)出入口點。通過實現(xiàn)狀態(tài)機和/或卷積碼,入口點選擇可以更復(fù)雜并且因此難以由非期望的的接收方導(dǎo)出。無論如何,用于加密數(shù)據(jù)分組16的比特域的配置以及數(shù)據(jù)操作的表征(例如卷積碼發(fā)生器)可以通過使用小的基于標(biāo)準的、WLAN幀重定義在會話的開始被動態(tài)地交換,如本領(lǐng)域普通技術(shù)人員可以理解的。
如同混淆技術(shù)一樣,斜上階段可以在隨機密鑰重用技術(shù)中實現(xiàn)以便同步參與節(jié)點。在這里,斜上階段指在接收節(jié)點準備根據(jù)當(dāng)前的隨機密鑰重用技術(shù)接收數(shù)據(jù)分組之前的時間段和/或發(fā)送的分組數(shù)目。如前面描述的,有很多可以實現(xiàn)用于斜上接收節(jié)點的、成功解密分組的存儲器的方案。根據(jù)一個斜上方案,使用一個初始的主密鑰來加密多個分組,如在傳統(tǒng)WEP網(wǎng)絡(luò)中一樣。分組被發(fā)送到接收節(jié)點并使用相同的初始主密鑰來解密。一旦接收節(jié)點有解密的數(shù)據(jù)的足夠的高速緩存,接收節(jié)點就可以使用在數(shù)據(jù)分組中接收的解密的數(shù)據(jù)來成功地確定哪些主密鑰被用于加密使用先前描述的隨機密鑰重用技術(shù)加密的隨后數(shù)據(jù)分組。如可以理解的,隨機密鑰重用的斜上階段可以根據(jù)參考圖3描述的技術(shù)來實現(xiàn)。
雖然參考圖2和圖3描述的初始化向量混淆技術(shù)和參考圖4描述的隨機密鑰重用技術(shù)可以獨立地實現(xiàn),但是這兩個技術(shù)也可以相互結(jié)合實現(xiàn)以便為無線傳輸提供更高的安全性。在一個示范實施例中,使用相同或者不同的組合技術(shù)可以實現(xiàn)相同的數(shù)據(jù)段以便產(chǎn)生初始化向量和入口點來加密隨后的數(shù)據(jù)分組。可替換地,來自于相同或者不同數(shù)據(jù)分組的不同數(shù)據(jù)段可以被用于產(chǎn)生初始化向量和入口點。如可以理解的,圖4的示范實施例說明了具有如圖2所示的混淆初始化向量的加密的數(shù)據(jù)分組22(也就是,不包括相應(yīng)的初始化向量的首部24)。如可以理解的,先前描述的技術(shù)中的每一個都和IEEE802.11和802.11x WEP標(biāo)準相兼容并且可以在支持這種技術(shù)的網(wǎng)絡(luò)節(jié)點上作為可選、被動的“高安全模式”被實現(xiàn)。
雖然本發(fā)明可能易受各種修改和可替換形式的影響,但是特定實施例通過附圖中的例子被示出并且在這里進行了詳細描述。然而,應(yīng)當(dāng)理解,本發(fā)明不打算被限定為所公開的特定形式。相反,本發(fā)明應(yīng)該覆蓋所有落入本發(fā)明的精神和范圍之內(nèi)的修改、等價物和可替換物,本發(fā)明的精神和范圍由隨后所附的權(quán)利要求來定義。
權(quán)利要求
1.一種方法,包括在無線網(wǎng)絡(luò)(32)中的第一節(jié)點(12)產(chǎn)生相應(yīng)于第一主密鑰(34)的第一入口點,其中,產(chǎn)生所述第一入口點包括產(chǎn)生作為至少一個第一數(shù)據(jù)分組(16)的函數(shù)的第一入口點;和使用所述第一主密鑰(34)來加密(20)一個隨后的數(shù)據(jù)分組(16)。
2.如權(quán)利要求1所述的方法,其特征在于,產(chǎn)生所述第一入口點包括使用來自于所述至少一個第一數(shù)據(jù)分組(16)中的每一個數(shù)據(jù)分組的相應(yīng)數(shù)據(jù)段。
3.如權(quán)利要求2所述的方法,其特征在于,產(chǎn)生所述入口點包括對來自于所述至少一個第一數(shù)據(jù)分組(16)的相應(yīng)數(shù)據(jù)段中的每一個數(shù)據(jù)段進行卷積。
4.如權(quán)利要求1所述的方法,包括把所述至少一個第一數(shù)據(jù)分組(22)發(fā)送到無線網(wǎng)絡(luò)(32)中的第二節(jié)點(14);和在發(fā)送所述至少一個第一數(shù)據(jù)分組(22)之后,把隨后的數(shù)據(jù)分組(22)發(fā)送到無線網(wǎng)絡(luò)(32)中的第二節(jié)點(14)。
5.如權(quán)利要求4所述的方法,包括在第二節(jié)點(14)解密(26)所述至少一個第一數(shù)據(jù)分組(22);在第二節(jié)點(14)從相應(yīng)的數(shù)據(jù)段重新構(gòu)造第一入口點,所述相應(yīng)的數(shù)據(jù)段來自于至少一個第一數(shù)據(jù)分組(28)中的每一個;和使用相應(yīng)于所述第一入口點的第一主密鑰(34)來解密(26)所述隨后的數(shù)據(jù)分組(22)。
全文摘要
實現(xiàn)一部分數(shù)據(jù)流來加密20在無線網(wǎng)絡(luò)32中發(fā)送的數(shù)據(jù)分組16。更具體地,來自于一個或者多個數(shù)據(jù)分組16的數(shù)據(jù)段可以被用于動態(tài)地改變用于加密20數(shù)據(jù)分組的主密鑰34。發(fā)送和接收節(jié)點12,14中的每一個包括主密鑰星座34,該星座可以被實現(xiàn)以加密20數(shù)據(jù)分組16。從一個或者多個數(shù)據(jù)分組16中選擇的數(shù)據(jù)段可以被用于定義對用于加密20后繼的數(shù)據(jù)分組16的主密鑰34之一的選擇,所述數(shù)據(jù)分組從發(fā)送節(jié)點12被發(fā)送到接收節(jié)點14。因為主密鑰34可以作為所述數(shù)據(jù)流的函數(shù)被選擇,用于加密20特定分組16的主密鑰34可以逐個分組動態(tài)地改變。
文檔編號H04L12/28GK1574735SQ20041004527
公開日2005年2月2日 申請日期2004年6月4日 優(yōu)先權(quán)日2003年6月4日
發(fā)明者S·A·麥克萊倫 申請人:惠普開發(fā)有限公司