无线网络系统中的数据安全的制作方法

专利名称：无线网络系统中的数据安全的制作方法
技术领域：
本发明涉及无线网络系统中的数据安全，更具体地，涉及一种针对无线网络系统中数据安全的设备和方法，通过利用在无线网络系统中的每一个设置状态处修改的初始化向量(IV)来加密要发送的数据帧，包括其媒体访问控制(MAC)报头和有效载荷，来保护数据。
背景技术：
通常，例如个人计算机(PC)、个人数字助理(PDA)、笔记本计算机等的站与局域网(LAN)相连，并且互相共享各种类型的数据或信息。
LAN系统根据是否允许站移动而被划分为有线LAN系统和无线LAN(WLAN)系统。
有线LAN系统在其固定位置经由电缆互相连接并且共享信息和资源。电缆的使用对于用户移动是不便的，并且在移动有线LAN系统中需要技术敷设电缆任务。此外，有线LAN系统的维护消耗很多时间，延缓了任务。
在WLAN系统中，经由无线介质使用射频或光来执行站之间的通信。随着新的先进因特网服务和无线通信技术的出现，开发出WLAN系统。WLAN系统的使用急剧增加，因为其能够建立在建筑物之间和难以建立有线网络的大规模办公区或物理分布中心，并且提供便利的维护。
WLAN系统由接入点(AP)和站组成。AP发送射频，使在其覆盖区域内的WLAN用户能够使用因特网连接和网络，并且作为蜂窝电话的基站或有线网络的集线器。对于因特网服务提供商(ISP)提供的高速无线因特网服务，AP位于服务区域内。
需要站具有WLAN卡来执行无线网络通信。站可以是个人计算机(包括笔记本计算机的PC)和PDA。
近来，广泛使用的WLAN标准是IEEE 802.11，遵守“Standard forInformation Technology-Telecommunications and informationexchange between systems-Local and metropolitan areanetworks-Specific requirements-Parts？Wireless LAN MediumAccess Control(MAC)and Physical Layer(PHY)Specifications”1999年版本。
在IEEE 802.11标准中，网络的基本组成块是基本服务集合(BSS)。IEEE 802.11网络包括独立BSS，其中BSS中的站执行基础建设BSS之间的直接通信，在基础结构BSS，BSS中的站与在BSS之内或之外的站经由AP进行通信；以及扩展服务电机，通过BSS和BSS之间的连接扩展服务区域。
因为其使用射频进行通信的特征，WLAN系统具有与安全相关的多个缺点。
首先，未授权的用户可以容易地访问网络资源。物理接近网络对于访问有线LAN系统以及使用网络资源是必需的。例如，为了使用LAN系统，必须进入建立了有线LAN系统的办公区或建筑物，从而使未授权用户难以使用网络资源。然而，在WLAN系统中，访问网络资源只需要从用户站发射的射频到达AP。射频穿透墙壁、天花板和底部，并因此实际上允许未授权用户使用网络资源而不被发现。因此，这将认证机制引入到WLAN系统，从而只有授权用户才能使用网络资源。
在有线LAN系统环境中，因为在确定的介质上传送数据，未授权用户几乎不可能发现从发送站发送到接收站的数据。在WLAN系统环境中，在射频上传送数据，因此存在数据被暴露给处于射频到达位置的未授权用户的风险。因此，在WLAN系统环境中需要加密数据的机制，以便不暴露给未授权用户。
为了给WLAN系统提供安全性，支持访问控制和数据秘密性。通过用户认证，按照下面的方法执行访问控制一种方法，其中当访问请求时，授权用户和AP具有用于认证的相同共享密钥；一种方法，其中安装在授权用户站上的WLAN卡的MAC地址被直接输入到AP；以及IEEE 802.11x认证方法，其中用户使用他或她的认证信息相对于认证服务器执行认证过程。
使用其中使用的密钥长度是40或104比特的有线对等加密算法，来支持数据的秘密性。
此外，IEEE 802.11i标准规定了基于IEEE 802.1x/1aa的访问控制、安全会话管理、动态密钥交换和管理，以及在无线部分中用于提供数据保护的新的对称密钥加密算法，以便解决与无线部分中安全相关的IEEE 802.11WLAN系统的缺点。换句话说，IEEE 802.11x/1aa标准规定了用户认证和密钥交换的框架，而I EEE 802.11i标准规定了使用IEEE 802.1x/1aa作为用户认证和密钥交换的主要框架。此外，IEEE 802.11i定义了作为密钥交换方案的4路握手方案、交换密钥的层次以及新无线部分的密码组。
在安全算法中，密钥被用于加密/解密数据。如IEEE 802.1x标准所规定，使用预共享密钥(PSK)方案并且通过认证服务器来告知用于数据加密/解密的密钥。
存在被告知站和AP的两种类型密钥对偶(pair-wise)密钥，用于区分站和AP；以及群组(group)密钥，在AP以及位于AP服务区域内的站之间被广播从而共享。
这样告知的密钥或密钥和IV的组合被用于在站和AP之间或在站和站之间加密或解密数据。IV的使用允许动态数据加密。
只在作为数据发送单元的帧的有效载荷上而不在包含关于站和网络的信息的MAC报头部分上，利用在站和AP之间和在站和站之间共享的密钥或者利用共享密钥和IV的组合，执行加密。换句话说，不对包含在用于发送数据的帧的MAC报头部分中的IV进行加密，而是以明文的形式发送。这将包含在IV中的任意信息暴露给AP服务区域内的站，增加了信息攻击的风险。
为了解决上述问题，甚至尝试在数据链路层之下进行加密。换句话说，通过甚至加密帧的MAC报头，来努力增加帧的不可视性。这被称为物理层加密。然而，物理层加密只使用固定的密钥序列而不是IV。如果位于AP服务器区域内的任意站知道固定密钥序列，发送的帧易于遭受攻击，降低了安全的有效性。

发明内容
因此，本发明的目的是提供一种针对无线网络系统中的数据安全的设备和方法，其能够在应用物理层加密的同时在每一个设置状态处通过修改初始化向量(VI)值执行动态加密，从而保护数据不遭受攻击。
根据本发明的一个方案，提供一种针对无线网络系统中的数据安全的设备，该设备包括修改器，用于根据加密/解密密钥信息的修改状态信息，来修改用于加密要发送到无线网络的帧的加密/解密密钥信息；加密器，用于当随后接收到发送帧的请求时，根据预定加密算法利用修改的加密/解密密钥信息来加密帧；以及发送器，用于将加密的帧发送到无线网络。
优选地，修改状态信息包括关于规定时间的信息或关于已经产生要发送到无线网络的帧的次数的信息。
优选地，加密/解密密钥信息包括以下之一关于设置在一个单元和至少一个另一个单元之间共享以保护要发送到无线网络的帧的群组密钥的信息；关于设置在每一个单元和所述至少一个另一个单元中的对偶密钥的信息；关于单元使用随机数产生函数产生的初始化向量的信息和群组密钥信息的组合的信息；以及关于初始化向量信息以及设置在每一个单元和所述至少一个另一个单元中的对偶密钥信息的组合的信息。
优选地，响应加密/解密密钥信息的修改状态信息指示修改，修改器用于修改初始化向量信息。
优选地，设备还包括存储单元，用于存储加密/解密密钥信息、初始化向量信息和加密/解密密钥的修改状态信息之一。
优选地，初始化向量信息包括以下之一当第一帧被发送到无线网络时产生的初始化向量信息；以及当加密/解密密钥的修改状态信息指示修改时修改的初始化向量信息。
优选地，设备还包括初始化向量产生器，用于产生由随机数产生函数产生的初始化向量，并且当第一帧被发送到无线网络时将其转换为第一帧；以及加密器，用于根据加密算法利用加密/解密密钥信息来加密帧；以及初始化向量产生器，用于产生当加密/解密密钥的修改状态信息指示修改时修改的初始化向量，并且用于将其转换为帧；以及加密器，用于利用无修改初始化向量信息和加密/解密信息根据加密算法来加密帧。
优选地，加密算法包括优选对等加密(WEP)算法或计数器模式及密码区块链信息认证码(CBC MAC)协议(CCMP)算法。
优选地，设备还包括解密器，用于利用加密/解密密钥信息解密来自无线网络的接收帧，确定在解密帧中是否包含初始化向量信息，并且将包含在解密帧中的初始化向量信息存储到存储单元中。
优选地，在将初始化向量信息存储到存储单元中之后，解密器用于利用加密/解密密钥信息和存储单元中存储的初始化向量信息解密来自无线网络的接收帧，确定在解密帧中是否包含与存储单元中存储的初始化向量信息不同的初始化向量信息，并将包含在解密帧中的不同初始化向量信息存储到存储单元中。
优选地，在将不同初始化向量信息存储到存储单元之后，解密器用于利用加密/解密密钥信息和不同初始化向量信息解密来自无线网络的接收帧。
根据本发明的另一个方案，提供一种针对无线网络系统中的数据安全的设备，该设备包括修改器，用于根据加密/解密密钥信息的修改状态信息，修改用于加密要发送到无线网络的帧的加密/解密密钥信息；加密器，用于当随后接收到发送帧的请求时，利用修改的加密/解密密钥信息、根据预定加密算法选择性地加密帧的媒体访问控制(MAC)报头部分和有效载荷部分；以及发送器，用于将加密的帧发送到无线网络。
优选地，修改状态信息包括关于规定时间的信息或关于已经产生要发送到无线网络的帧的次数的信息。
优选地，加密/解密密钥信息包括以下之一关于设置在一个单元和至少一个另一个单元之间共享以保护要发送到无线网络的帧的群组密钥的信息；关于设置在每一个单元和所述至少一个另一个单元中的对偶密钥的信息；关于单元使用随机数产生函数产生的初始化向量的信息和群组密钥信息的组合的信息；以及关于初始化向量信息和设置在每一个单元和所述至少一个另一个单元中的对偶密钥信息的组合的信息。
优选地，响应加密/解密密钥信息的修改状态信息指示修改，修改器用于修改初始化向量信息。
优选地，设备还包括初始化向量产生器，用于产生由随机数产生函数产生的初始化向量，并且当第一帧被发送到无线网络时将所述初始化向量转换为第一帧；以及加密器，用于根据加密算法、利用加密/解密密钥信息来选择性地加密第一帧的MAC报头部分和有效载荷部分；以及初始化向量产生器，用于产生当加密/解密密钥的修改状态信息指示修改时修改的初始化向量，并且用于将其转换为帧；以及加密器，用于利用无修改初始化向量信息和加密/解密信息、根据加密算法来选择性地加密帧的MAC报头部分和有效载荷部分。
优选地，设备还包括解密器，用于利用加密/解密密钥信息选择性地解密来自无线网络的接收帧的MAC报头部分和有效载荷部分，确定在解密帧中是否包含初始化向量信息，并将包含在解密帧中的初始化向量信息存储到存储单元中。
优选地，解密器用于利用加密/解密密钥信息和存储单元中存储的初始化向量信息，选择性地解密来自无线网络的接收帧的MAC报头部分和有效载荷部分，确定在解密帧中是否包含与存储单元中存储的初始化向量信息不同的初始化向量信息，并将包含在解密帧中的不同初始化向量信息存储到存储单元中。
优选地，在将不同初始化向量信息存储到存储单元之后，解密器用于利用加密/解密密钥信息和不同初始化向量信息，选择性地解密来自无线网络的接收帧的MAC报头部分和有效载荷部分。
根据本发明的又一个方案，提供一种在无线网络系统的单元中的数据安全方法，该方法包括根据加密/解密密钥信息的修改状态信息，修改加密/解密密钥信息，来加密要发送到无线网络的帧；以及当随后接收到发送帧的请求时，利用修改的加密/解密密钥信息、根据预定加密算法来加密帧，并将加密的帧发送到无线网络。
优选地，修改状态信息包括关于规定时间的信息或关于已经产生要发送到无线网络的帧的次数的信息。
优选地，加密/解密密钥信息包括以下之一关于设置在一个单元和至少一个另一个单元之间共享以保护要发送到无线网络的帧的群组密钥的信息；关于设置在每一个单元和所述至少一个另一个单元中的对偶密钥的信息；关于单元使用随机数产生函数产生的初始化向量的信息和群组密钥信息的组合的信息；以及关于初始化向量信息以及设置在每一个单元和所述至少一个另一个单元中的对偶密钥信息的组合的信息。
优选地，响应加密/解密密钥信息的修改状态信息指示修改，修改初始化向量信息。
优选地，加密帧包括当第一帧被发送到无线网络时，在第一帧中包括由随机数产生函数产生的初始化向量，并且利用加密/解密密钥信息、根据加密算法来加密帧；以及在帧中包括当加密/解密密钥的修改状态信息指示修改时修改的初始化向量，并且利用无修改初始化向量信息和加密/解密密钥信息、根据加密算法来加密帧。
优选地，加密算法包括优选对等加密(WEP)算法或计数器模式CBC MAC协议(CCMP)算法。
优选地，方法还包括利用加密/解密密钥信息解密来自无线网络的接收帧，确定在解密帧中是否包含初始化向量信息，并且将包含在解密帧中的初始化向量信息存储到数据库中。
优选地，方法还包括在将初始化向量信息存储到数据库中之后，利用加密/解密密钥信息和数据库中存储的初始化向量信息解密来自无线网络的接收帧；确定在解密帧中是否包含与存储单元中存储的初始化向量信息不同的初始化向量信息，并将包含在解密帧中的不同初始化向量信息存储到数据库中。
优选地，方法还包括在将不同初始化向量信息存储到数据库之后，利用加密/解密密钥信息和不同初始化向量信息解密来自无线网络的接收帧。
根据本发明的还一个方案，提供一种在无线网络系统的单元中的数据安全方法，该方法包括根据加密/解密密钥信息的修改状态信息，修改用于加密要发送到无线网络的帧的加密/解密密钥信息；当随后接收到发送帧的请求时，利用修改的加密/解密密钥信息、根据预定加密算法选择性地加密帧的媒体访问控制(MAC)报头部分和有效载荷部分，并将加密的帧发送到无线网络。
优选地，修改状态信息包括关于规定时间的信息或关于已经产生要发送到无线网络的帧的次数的信息。
优选地，加密/解密密钥信息包括以下之一关于设置在一个单元和至少一个另一个单元之间共享以保护要发送到无线网络的帧的群组密钥的信息；关于设置在每一个单元和所述至少一个另一个单元中的对偶密钥的信息；关于单元使用随机数产生函数产生的初始化向量的信息和群组密钥信息的组合的信息；以及关于初始化向量信息以及设置在每一个单元和所述至少一个另一个单元中的对偶密钥信息的组合的信息。
优选地，响应加密/解密密钥信息的修改状态信息指示修改，修改初始化向量信息。
优选地，加密帧包括当第一帧被发送到无线网络时，在第一帧中包括随机数产生函数产生的初始化向量，并利用加密/解密密钥信息、根据加密算法选择性地加密帧的媒体访问控制(MAC)报头部分和有效载荷部分；以及在帧中包括当加密/解密密钥的修改状态信息指示修改时修改的初始化向量，并利用无修改初始化向量信息和加密/解密密钥信息、根据加密算法、选择性地加密帧的MAC报头部分和有效载荷部分。
优选地，方法还包括利用加密/解密密钥信息选择性地解密来自无线网络的接收帧的MAC报头部分和有效载荷部分，确定在解密帧中是否包含初始化向量信息，并将包含在解密帧中的初始化向量信息存储到数据库中。
优选地，方法还包括在将初始化向量信息存储到数据库中之后，利用加密/解密密钥信息和在数据库中存储的初始化向量信息，选择性地解密来自无线网络的接收帧的MAC报头部分和有效载荷部分；以及确定在解密帧中是否包含与数据库中存储的初始化向量信息不同的初始化向量信息，并且将包含在解密帧中的不同初始化向量信息存储到数据库中。
优选地，方法还包括在将不同初始化向量信息存储到数据库之后，利用加密/解密密钥信息和不同初始化向量信息，选择性地解密来自无线网络的接收帧的MAC报头部分和有效载荷部分。


结合附图，通过参考下面详细的说明，可以更好地理解本发明，并且显而易见其伴随的多个优点，附图中类似的参考符号表示相同或类似的组件，其中图1是根据本发明的无线网络系统的实施例的方框图；图2是根据本发明实施例的无线网络系统的数据安全方法的视图；以及图3是根据本发明实施例产生的帧的视图。
具体实施例方式
下文中，结合附图详细说明一种根据本发明在无线网络系统中的数据安全的设备和方法。
图1是根据本发明的无线网络系统的实施例的方框图。
如图1所示，根据本发明的无线网络系统是一种WLAN系统，包括一个或多个无线站100和110以及AP150。即，无线站100和110位于组成WLAN系统的AP150的服务区域内。AP150可以与有线网络相连，来与外部网络执行通信。
因为无线站100和110具有相同的配置，只结合无线站100的配置进行说明。假设无线站100、无线站110和AP150具有相同的数据加密/解密的设置密钥。如IEEE 802.11x中所规定，由基于PSK的方案并通过基于认证服务器的设置方法，可以告知数据加密/解密密钥。数据加密/解密密钥包括对偶密钥，用于区分站和AP；以及群组密钥，在AP以及位于AP服务区域内的无线站之间被广播从而共享。换句话说，无线站100、无线站110和AP150具有其自身唯一的对偶密钥和在其之间共享的群组密钥，设置用于数据加密/解密。假设在无线站100、无线站110和AP150的每一个的控制器中设置密钥。
AP150的服务区域内的数据发送可以从AP150到各个无线站100和110、从无线站100到无线站110和AP150、或者从无线站110到无线站100和AP150。
下文中，利用AP150的服务区域内的数据发送是从无线站110到AP150的情况中的范例，来说明本发明。
当设置了数据加密/解密密钥时，无线站100的控制器102通过随机数产生函数产生IV并将IV存储到存储单元102a中。
当接收到发送数据到AP150的请求时，控制器102将数据转换为有效载荷并将存储在存储单元102a中的IV转换为MAC报头，来产生帧。控制器102将产生的帧提供给加密/解密处理器104。MAC报头包括在无线站100中设置的IV，作为无线站100的物理地址的发送MAC地址、以及作为AP150的物理地址的接收MAC地址。当设置了加密/解密密钥时，在无线站100和110以及AP150中设置每一个唯一IV，并产生分别包括与唯一IV相对应的对偶密钥信息和与MAC地址相对应的对偶密钥信息的第一和第二表。在无线站100、无线站110和AP150之间共享这些表。
加密/解密处理器104根据预定加密算法，利用设置密钥来加密来自控制器102的整个接收帧。利用设置密钥加密整个帧的加密算法可以是WEP算法或计数器模式CBC MAC协议(CCMP)算法。
下面详细说明由加密/解密处理器104根据预定加密算法利用设置密钥执行的整个帧的加密。设置密钥可以是群组密钥和/或对偶密钥。
帧加密包括只利用群组密钥的加密以及利用群组密钥和对偶密钥的加密。
首先，在只利用群组密钥的加密中，加密/解密处理器104根据预定加密算法、利用设置的群组密钥来加密整个帧(包括MAC报头和有效载荷)。
接下来，在利用群组密钥和对偶密钥的加密中，加密/解密处理器104利用群组密钥来加密帧中的MAC报头部分，并利用对偶密钥来加密帧中的有效载荷部分，加密对偶密钥是告知给无线站100的密钥。
然后，控制器102经由发送器106将加密的帧从加密/解密处理器104发送到AP150。
AP150中的控制器154将发送器152接收到的帧以及设置的加密/解密密钥提供给加密/解密处理器156。
加密/解密处理器156利用设置的加密/解密密钥，来解密来自无线站100的接收帧。
更具体地，加密/解密处理器156利用群组密钥解密来自无线站100的整个接收加密帧。当解密了整个加密帧时，则加密/解密处理器156将解密帧提供给控制器154。控制器154将包含在解密帧中的IV存储到存储单元154a中，并处理包含在帧有效载荷中的数据。
当没有利用设置的群组密钥解密整个加密帧时，加密/解密处理器156利用群组密钥解密帧的MAC报头部分，以便获得包含在MAC报头中的MAC地址和IV。相反地，如果在加密帧的报头中包含IV和告知无线站100的唯一IV，加密/解密处理器156利用群组密钥来解密帧的MAC报头部分，以便获得IV和包含在MAC报头中的在无线站100中设置的唯一IV。加密/解密处理器156将通过解密帧MAC报头而获得的MAC地址和IV或者IV和无线站100的唯一IV提供给控制器154。
控制器154将来自加密/解密处理器156的接收IV存储到存储单元154a中，从存储在存储单元152a中的第一或第二表中读出与无线站100的唯一IV或MAC地址相对应的对偶密钥信息，随后，将其提供给加密/解密处理器156。MAC地址可以是无线站100的MAC地址或者AP150的MAC地址。优选地，MAC地址是发送MAC地址，即，无线站100的MAC地址。
因此，控制器154从存储单元154a中读出与无线站100的唯一相对应的对偶密钥或与无线站100的MAC地址相对应的对偶密钥，并将其提供给加密/解密处理器156。
加密/解密处理器156利用来自控制器154的对偶密钥，解密来自无线站100的接收帧的有效载荷，并将解密的有效载荷提供给控制器154。
控制器154处理与来自加密/解密处理器156的接收解密有效载荷相对应的数据。
如上所述，当数据发送是从无线站100到AP150时，无线站100只利用初始设置的群组密钥或利用群组密钥和对偶密钥，来加密帧，并将加密帧发送到AP150，并且AP150只利用初始设置的群组密钥或利用群组密钥和对偶密钥，来解密来自无线站100的加密帧。
然而，当在加密/解密中继续使用初始设置的密钥时，存在暴露他们的风险，需要修改加密/解密密钥。因此，因为已经利用在帧加密/加密之前产生的IV(即无修改IV)和加密/加密密钥、根据预定加密/解密算法执行了帧加密/解密，当加密/解密时应该修改IV以避免暴露。
为此，允许用户设置用于修改加密/解密密钥的密钥修改周期。当设置加密/解密密钥时可以执行设置密钥修改周期。将这样设置的密钥修改周期存储到无线站100和110以及AP的各个存储单元中。可以相对应IV修改周期来设置密钥修改周期。按照要发送帧的时间或次数，设置IV修改周期，然而要注意，根据本发明的情况允许不同地设置IV修改周期。
下面更详细地说明当密钥修改周期到达时的无线站100和AP150之间的帧的加密/解密。
无线站100的控制器102确定是否到达密钥修改周期。当到达密钥修改周期时，控制器102使用随机数产生函数产生新的IV(即修改的IV)并将新的IV存储到存储单元102a中。
当接收到发送数据到AP150的请求时，控制器102将数据转换为有效载荷并将存储在存储单元102a中的IV转换为MAC报头，来产生帧，并将产生的帧提供给加密/解密处理器104。MAC报头包括无线站的IV、作为无线站的物理地址的发送MAC地址、以及作为AP的物理地址的接收MAC地址。
加密/解密处理器104利用设置的密钥和无修改IV，根据预定加密算法来解密来自控制器的整个接收帧。利用预定密钥和无修改IV加密整个帧的加密算法可以是WEP算法或CCMP算法。
下面更详细地说明由加密/解密处理器104利用设置的密钥和无修改IV根据预定加密算法执行的整个帧的加密。设置的密钥可以是群组密钥和/或对偶密钥。
帧加密包括只利用群组密钥和无修改IV的加密，以及利用群组密钥、对偶密钥和无修改IV的加密。
首先，在只利用群组密钥和无修改IV的加密中，加密/解密处理器104利用设置的群组密钥和无修改IV根据预定的加密算法加密整个帧(包括MAC报头和有效载荷)。
接下来，在利用群组密钥、对偶密钥和无修改IV的加密中，加密/解密处理器104使用下面的方法执行帧加密。
首先，可以利用群组密钥和无修改IV加密帧的MAC报头部分，并且利用对偶密钥和无修改IV加密帧的有效载荷部分。其次，可以利用群组密钥和无修改IV加密帧的MAC报头部分，只利用对偶密钥加密帧的有效载荷部分。第三，可以只利用群组密钥加密帧的MAC报头部分，并且利用对偶密钥和无修改IV加密帧的有效载荷部分。下文中，假设按照第二种方法执行加密/解密处理器104中的帧加密。
然后，控制器102经由发送器106将加密的帧从加密/解密处理器104发送到AP150。
AP150中的控制器154将发送器152接收到的帧和设置的加密/解密密钥以及无修改IV提供给加密/解密处理器156。
加密/解密处理器156利用加密/解密密钥和无修改IV解密来自无线站100的接收帧。
更具体地，加密/解密处理器156利用群组密钥和无修改IV解密来自无线站100的接收加密帧。如果解密了整个加密帧，加密/解密处理器156将解密的帧提供给控制器154。控制器154将包含在解密帧中的修改IV存储到存储单元154a中，并处理包含在帧有效载荷中的数据。
当没有利用设置的群组密钥和无修改IV解密整个加密帧时，加密/解密处理器156利用群组密钥和无修改IV加密帧的MAC报头部分，来获得MAC地址、修改的IV和包含在MAC报头中的无线终端100的唯一IV。加密/解密处理器156将通过解密帧MAC报头而获得的MAC地址、修改IV和无线终端100的唯一IV提供给控制器154。
控制器154将来自加密/解密处理器156的接收修改IV存储到存储单元154a中，从存储单元152a中读出与无线站100的唯一IV或MAC地址相对应的对偶密钥信息，并随后，将其提供给加密/解密处理器156。MAC地址可以是无线站100的MAC地址或AP150的MAC地址。优选地，MAC地址是发送MAC地址，即无线站100的MAC地址。
因此，控制器154从存储单元154a中读出与无线站100的唯一IV相对应的对偶密钥或与AP150的MAC地址相对应的对偶密钥，并将其提供给加密/解密处理器156。
加密/解密处理器156利用来自控制器154的对偶密钥，解密来自无线站100的接收帧的有效载荷，并将解密的帧提供给控制器154。
控制器154处理与来自加密/解密处理器156的接收解密的有效载荷相对应的数据。
上述的加密/解密与帧的MAC报头和有效载荷相关。加密帧或非加密帧(即在数据链路层产生的帧)在无线发送之前在物理层上经历规程会聚。为此，物理层会聚规程(PLCP)帧被添加到在数据链路层产生的帧中。PLCP是MAC和物理媒体相关(PMD)之间的接口，MAC控制访问在多个无线站之间共享的介质，PMD负责调制、在多个无线站之间的数据发送和接收，包括MODEM和RF阶段。
PLCP帧配置具有PLCP前同步码和PLCP报头。PLCP前同步码被用于发送侧和接收侧的同步并且触发共同的时序。即，当训练序列匹配时允许发送侧和接收侧互相进行通信。
PLCP报头后面紧接PLCP前同步码，并且在紧接PLCP帧之后包括帧(MAC帧)的长度信息、关于帧(MAC帧)的转换速度的信息以及用于避免PLCP报头错误的帧检查序列。
包含在PLCP前同步码中的训练序列是固定的。可以通过改变训练序列来保护无线发送的数据。
图2是根据本发明实施例的无线网络系统的数据安全方法的视图。
假设无线站是发送侧以及AP是接收侧。
设置加密/解密信息来为在无线站和AP之间无线发送的数据提供安全(S200)。
加密/解密信息包括密钥信息，用于数据加密/解密；表，包括在无线站和AP中设置的、与无线站和AP的各个MAC地址相对应的对偶密钥；以及表，包括在无线站和AP中设置的、与在无线站和AP的每一个中设置的唯一初始化向量(VI)相对应的对偶密钥。用于数据加密/解密的密钥包括在无线站和AP之间共享的群组密钥以及在无线站和AP的每一个中设置的对偶密钥。如IEEE 802.11x所规定，按照基于PSK方案和基于认证服务器的设置方案，告知该密钥。
当接收到发送数据的请求时(S202)，无线站将数据转换为有效载荷，并且将无线站的MAC地址、AP的MAC地址、在无线站或AP中设置的唯一IV设置以及通过随机数产生函数产生的IV包含在MAC报头中，来产生帧。然后无线站利用设置的密钥加密产生帧S202(S204)。这在图3的(i)中示出了。
可以利用群组密钥和IV完成帧加密，并且可以利用群组密钥、对偶密钥和IV完成加密。
首先，可以利用群组密钥和IV、根据预定加密算法来加密整个帧(包括MAC报头和有效载荷)。
说明利用群组密钥、对偶密钥和IV执行加密的情况。
首先，可以利用群组密钥和IV加密MAC报头部分，并利用对偶密钥和IV加密帧的有效载荷部分。
其次，可以利用群组密钥和IV加密MAC报头部分，并且只利用对偶密钥加密帧的有效载荷部分。
第三，可以只利用群组密钥加密MAC报头部分，并且利用对偶密钥和IV加密帧的有效载荷部分。下文中，假设帧加密使用第二种方法。
无线站将加密的帧发送到AP(S206)，并且AP利用设置的群组密钥解密加密的帧(S208)。这与图3(i)中所示相对应。
首先，AP利用群组密钥解密接收的解密的帧。在解密加密帧之后，AP将包含在解密帧中的IV存储到数据库中，并处理包含在帧的有效载荷中的数据。另一方面，当没有利用设置的群组密钥解密整个加密帧时，AP利用群组密钥解密帧的MAC报头部分来获得MAC地址、IV和无线站的唯一IV。
AP将获得的IV存储到自身的数据库中，并从包括与已经存储在数据库中的唯一IV相对应的对偶密钥信息的格中或者包括与MAC地址相对应的对偶密钥信息的格中，读出与无线站的唯一IV相对应的对偶密钥或与无线站的MAC地址相对应的对偶密钥。AP利用读出的对偶密钥解密来自无线站的接收帧的有效载荷，并处理与解密的有效载荷相对应的数据(S210)。
然后无线站确定是否到达修改设置加密密钥的修改周期(S212)，并当到达修改周期时，根据设置的加密修改信息来修改设置的加密密钥(S124)。当设置加密/解密信息时执行设置密钥修改周期，并且可以按照时间或多个发送帧来设置密钥修改周期。当到达密钥修改周期时，加密修改信息被用于通过随机数产生函数产生新的IV(即修改IV)，并通过组合无修改IV和设置的密钥来执行数据加密。
换句话说，在S214中，当发生密钥修改周期时，根据设置的加密修改信息，设置的加密密钥被修改为无修改IV和设置密钥的组合。通过随机数产生函数产生新的IV(修改IV)，并存储到无线站的数据库中。
当无线站接收发送数据到AP的请求时(S216)，无线站将数据转换为有效载荷，并将修改的IV、MAC地址和无线站的唯一IV转换为MAC报头，来产生帧。无线站利用无修改IV和设置的密钥、根据预定加密算法来加密帧(S218)。这在图3的(ii)中示出。MAC报头包括无线站的唯一IV、是无线站的物理地址的发送MAC地址、是AP的物理地址的接收MAC地址。利用设置的密钥和无修改IV来加密帧的加密算法可以是WEP算法或CCMP算法。
下面更详细地说明根据预定加密算法、利用设置的密钥和无修改IV的帧加密。设置的密钥可以是群组密钥和对偶密钥，或者是对偶密钥。
帧加密包括只利用群组密钥和无修改IV的加密，以及利用群组密钥、对偶密钥和无修改IV的加密。
首先，在只利用群组密钥和无修改IV的加密中，加密/解密处理器104利用设置的群组密钥和无修改IV、根据预定加密算法来加密整个帧(包括MAC报头和有效载荷)。
接下来，在利用群组密钥、对偶密钥和无修改IV的加密中，加密/解密处理器104使用下面的方法执行帧加密。
首先，可以利用群组密钥和无修改IV加密帧的MAC报头部分，并且利用对偶密钥和无修改IV加密帧的有效载荷部分。其次，可以利用群组密钥和无修改IV加密帧的MAC报头部分，并且只利用对偶密钥加密帧的有效载荷。第三，可以只利用群组密钥加密帧的MAC报头部分，并且利用对偶密钥和无修改IV加密帧的有效载荷。下文中，假设按照第二种方法执行无线站中的帧加密。
然后，无线站将加密的帧发送到AP(S220)。
AP利用设置的加密/解密密钥和存储在数据库中的无修改IV来解密来自无线站的接收帧。
具体地，AP利用群组密钥和无修改IV来解密来自无线站的接收帧(S222)。当解密了整个加密帧时，AP将包含在解密帧中的修改IV存储到数据库中，并处理包含在帧的有效载荷中的数据。
另一方面，当没有利用设置的群组密钥和修改的IV解密整个加密帧时，AP利用群组密钥和修改的IV来解密帧的MAC报头部分，从而获得MAC地址和包含在MAC报头中的修改IV以及无线站的唯一IV。
AP将修改IV存储到数据库中，并从数据库中读出与MAC地址相对应的对偶密钥信息或与无线站的唯一IV相对应的对偶密钥信息。MAC地址可以是无线站的MAC地址或者AP的MAC地址。优选地，MAC地址是发送MAC地址，即，无线站的MAC地址。
AP利用从数据库读出的、与AP的MAC地址相对应的对偶密钥或与无线站的唯一IV相对应的对偶密钥，来解密来自无线站的接收帧的有效载荷，并处理与解密有效载荷相对应的数据(S224)。
尽管结合无线站作为发送侧以及AP作为接收侧说明本发明的配置和操作，本发明可以应用于AP是发送侧以及无线站是接受侧的情况。应该注意，发送和接收侧不局限于无线站和AP。
此外，尽管关于WLAN作为无线网络说明了本发明，根据本发明的无线网络不局限于WLAN。
如上所述，利用根据本发明的无线网络系统中的数据安全的设备和方法，利用在无线网络系统中在每一个设置状态处修改的初始化向量来加密帧，包括其MAC报头和有效载荷，使无线发送的数据避免被暴露给未授权用户。
尽管结合其典型实施例说明了本发明，本领域的技术人员可以理解，可以在形式和细节上做出各种修改，而不脱离下面的权利要求所定义的本发明范围。
本领域的技术人员理解，尽管在上述说明中没有特别指出，上述设备所引用的单元，例如修改器、加密器、初始化向量产生器等，可以被包含在上述加密/解密处理器和控制器中。
权利要求
1.一种针对无线网络系统中的数据安全的设备，包括修改器，用于根据加密/解密密钥信息的修改状态信息，来修改用于加密要发送到无线网络的帧的加密/解密密钥信息；加密器，用于当随后接收到发送帧的请求时，根据预定加密算法，利用修改的加密/解密密钥信息来加密帧；以及发送器，用于将加密的帧发送到无线网络。
2.根据权利要求1所述的设备，其中，修改状态信息包括关于规定时间的信息，或关于已经产生要发送到无线网络的帧的次数的信息。
3.根据权利要求1所述的设备，其中，加密/解密密钥信息包括以下之一关于设置在一个单元和至少一个另一个单元之间共享以保护要发送到无线网络的帧的群组密钥的信息；关于设置在每一个单元和所述至少一个另一个单元中的对偶密钥的信息；关于单元使用随机数产生函数产生的初始化向量的信息和群组密钥信息的组合的信息；以及关于初始化向量信息以及设置在每一个单元和所述至少一个另一个单元中的对偶密钥信息的组合的信息。
4.根据权利要求3所述的设备，其中，响应加密/解密密钥信息的修改状态信息指示修改，修改器用于修改初始化向量信息。
5.根据权利要求1所述的设备，还包括存储单元，用于存储加密/解密密钥信息、初始化向量信息和加密/解密密钥的修改状态信息之一。
6.根据权利要求5所述的设备，其中，初始化向量信息包括以下之一当第一帧被发送到无线网络时产生的初始化向量信息；以及当加密/解密密钥的修改状态信息指示修改时修改的初始化向量信息。
7.根据权利要求1所述的设备，还包括初始化向量产生器，用于产生由随机数产生函数产生的初始化向量，并且当第一帧被发送到无线网络时，将所述初始化向量转换为第一帧；以及加密器，用于根据加密算法利用加密/解密密钥信息来加密帧；以及初始化向量产生器，用于产生当加密/解密密钥的修改状态信息指示修改时修改的初始化向量，并且用于将其转换为帧；以及加密器，用于利用无修改初始化向量信息和加密/解密信息根据加密算法来加密帧。
8.根据权利要求1所述的设备，其中，加密算法包括优选对等加密(WEP)算法或计数器模式CBC MAC协议(CCMP)算法。
9.根据权利要求5所述的设备，还包括解密器，用于利用加密/解密密钥信息解密来自无线网络的接收帧，确定在解密帧中是否包含初始化向量信息，并且将包含在解密帧中的初始化向量信息存储到存储单元中。
10.根据权利要求9所述的设备，其中，在将初始化向量信息存储到存储单元中之后，解密器用于利用加密/解密密钥信息和存储单元中存储的初始化向量信息解密来自无线网络的接收帧，确定在解密帧中是否包含与存储单元中存储的初始化向量信息不同的初始化向量信息，并将包含在解密帧中的不同初始化向量信息存储到存储单元中。
11.根据权利要求10所述的设备，其中，在将不同初始化向量信息存储到存储单元之后，解密器用于利用加密/解密密钥信息和不同初始化向量信息解密来自无线网络的接收帧。
12.一种针对无线网络系统中的数据安全的设备，包括修改器，用于根据加密/解密密钥信息的修改状态信息，修改用于加密要发送到无线网络的帧的加密/解密密钥信息；加密器，用于当随后接收到发送帧的请求时，利用修改的加密/解密密钥信息、根据预定加密算法选择性地加密帧的媒体访问控制(MAC)报头部分和有效载荷部分；以及发送器，用于将加密的帧发送到无线网络。
13.根据权利要求12所述的设备，其中，修改状态信息包括关于规定时间的信息或关于已经产生要发送到无线网络的帧的次数的信息。
14.根据权利要求12所述的设备，其中，加密/解密密钥信息包括以下之一关于设置在一个单元和至少一个另一个单元之间共享以保护要发送到无线网络的帧的群组密钥的信息；关于设置在每一个单元和所述至少一个另一个单元中的对偶密钥的信息；关于单元使用随机数产生函数产生的初始化向量的信息和群组密钥信息的组合的信息；以及关于初始化向量信息以及设置在每一个单元和所述至少一个另一个单元中的对偶密钥信息的组合的信息。
15.根据权利要求14所述的设备，其中，响应加密/解密密钥信息的修改状态信息指示修改，修改器用于修改初始化向量信息。
16.根据权利要求12所述的设备，还包括初始化向量产生器，用于产生由随机数产生函数产生的初始化向量，并且当第一帧被发送到无线网络时，将所述初始化向量转换为第一帧；以及加密器，用于根据加密算法、利用加密/解密密钥信息来选择性地加密第一帧的MAC报头部分和有效载荷部分；以及初始化向量产生器，用于产生当加密/解密密钥的修改状态信息指示修改时修改的初始化向量，并且用于将其转换为帧；以及加密器，用于利用无修改初始化向量信息和加密/解密信息、根据加密算法来选择性地加密帧的MAC报头部分和有效载荷部分。
17.根据权利要求12所述的设备，还包括解密器，用于利用加密/解密密钥信息选择性地解密来自无线网络的接收帧的MAC报头部分和有效载荷部分，确定在解密帧中是否包含初始化向量信息，并将包含在解密帧中的初始化向量信息存储到存储单元中。
18.根据权利要求17所述的设备，解密器用于利用加密/解密密钥信息和存储单元中的存储的初始化向量信息，选择性地解密来自无线网络的接收帧的MAC报头部分和有效载荷部分，确定在解密帧中是否包含与存储单元中存储的初始化向量信息不同的初始化向量信息，并将包含在解密帧中的不同初始化向量信息存储到存储单元中。
19.根据权利要求18所述的设备，其中，在将不同初始化向量信息存储到存储单元之后，解密器用于利用加密/解密密钥信息和不同初始化向量信息，选择性地解密来自无线网络的接收帧的MAC报头部分和有效载荷部分。
20.一种无线网络系统的单元中的数据安全方法，该方法包括根据加密/解密密钥信息的修改状态信息，修改加密/解密密钥信息，以加密要发送到无线网络的帧；以及当随后接收到发送帧的请求时，利用修改的加密/解密密钥信息、根据预定加密算法来加密帧，并将加密的帧发送到无线网络。
21.根据权利要求20所述的方法，其中，修改状态信息包括关于规定时间的信息或关于已经产生要发送到无线网络的帧的的次数信息。
22.根据权利要求20所述的方法，其中，加密/解密密钥信息包括以下之一关于设置在一个单元和至少一个另一个单元之间共享以保护要发送到无线网络的帧的群组密钥的信息；关于设置在每一个单元和所述至少一个另一个单元中的对偶密钥的信息；关于单元使用随机数产生函数产生的初始化向量的信息和群组密钥信息的组合的信息；以及关于初始化向量信息以及设置在每一个单元和所述至少一个另一个单元中的对偶密钥信息的组合的信息。
23.根据权利要求22所述的方法，其中，响应加密/解密密钥信息的修改状态信息指示修改，修改初始化向量信息。
24.根据权利要求20所述的方法，其中，加密帧包括当第一帧被发送到无线网络时，在第一帧中包括由随机数产生函数产生的初始化向量，并且利用加密/解密密钥信息、根据加密算法来加密帧；以及在帧中包括当加密/解密密钥的修改状态信息指示修改时修改的初始化向量，并且利用无修改初始化向量信息和加密/解密密钥信息、根据加密算法来加密帧。
25.根据权利要求20所述的方法，其中，加密算法包括优选对等加密(WEP)算法或计数器模式CBC MAC协议(CCMP)算法。
26.根据权利要求20所述的方法，还包括利用加密/解密密钥信息解密来自无线网络的接收帧，确定在解密帧中是否包含初始化向量信息，并且将包含在解密帧中的初始化向量信息存储到数据库中。
27.根据权利要求26所述的方法，还包括在将初始化向量信息存储到数据库中之后，利用加密/解密密钥信息和数据库中存储的初始化向量信息解密来自无线网络的接收帧；以及确定在解密帧中是否包含与存储单元中存储的初始化向量信息不同的初始化向量信息，并将包含在解密帧中的不同初始化向量信息存储到数据库中。
28.根据权利要求27所述的方法，还包括在将不同初始化向量信息存储到数据库之后，利用加密/解密密钥信息和不同初始化向量信息解密来自无线网络的接收帧。
29.一种无线网络系统的单元中的数据安全方法，该方法包括根据加密/解密密钥信息的修改状态信息，修改用于加密要发送到无线网络的帧的加密/解密密钥信息；当随后接收到发送帧的请求时，利用修改的加密/解密密钥信息、根据预定加密算法选择性地加密帧的媒体访问控制(MAC)报头部分和有效载荷部分，并将加密的帧发送到无线网络。
30.根据权利要求29所述的方法，其中，修改状态信息包括关于规定时间的信息或关于已经产生要发送到无线网络的帧的次数的信息。
31.根据权利要求29所述的方法，其中，加密/解密密钥信息包括以下之一关于设置在一个单元和至少一个另一个单元之间共享以保护要发送到无线网络的帧的群组密钥的信息；关于设置在每一个单元和所述至少一个另一个单元中的对偶密钥的信息；关于单元使用随机数产生函数产生的初始化向量的信息和群组密钥信息的组合的信息；以及关于初始化向量信息以及设置在每一个单元和所述至少一个另一个单元中的对偶密钥信息的组合的信息。
32.根据权利要求31所述的方法，其中，响应加密/解密密钥信息的修改状态信息指示修改，修改初始化向量信息。
33.根据权利要求29所述的方法，其中，加密帧包括当第一帧被发送到无线网络时，在第一帧中包括随机数产生函数产生的初始化向量，并利用加密/解密密钥信息、根据加密算法选择性地加密帧的媒体访问控制(MAC)报头部分和有效载荷部分；以及在帧中包括当加密/解密密钥的修改状态信息指示修改时修改的初始化向量，并利用无修改初始化向量信息和加密/解密密钥信息、根据加密算法选择性地加密帧的MAC报头部分和有效载荷部分。
34.根据权利要求29所述的方法，还包括利用加密/解密密钥信息选择性地解密来自无线网络的接收帧的MAC报头部分和有效载荷部分，确定在解密帧中是否包含初始化向量信息，并将包含在解密帧中的初始化向量信息存储到数据库中。
35.根据权利要求34所述的方法，还包括在将初始化向量信息存储到数据库中之后，利用加密/解密密钥信息和在数据库中存储的初始化向量信息，选择性地解密来自无线网络的接收帧的MAC报头部分和有效载荷部分；以及确定在解密帧中是否包含与数据库中存储的初始化向量信息不同的初始化向量信息，并且将包含在解密帧中的不同初始化向量信息存储到数据库中。
36.根据权利要求35所述的方法，还包括在将不同初始化向量信息存储到数据库之后，利用加密/解密密钥信息和不同初始化向量信息，选择性地解密来自无线网络的接收帧的MAC报头部分和有效载荷部分。
全文摘要
一种针对无线网络系统中的数据安全的设备。针对无线网络系统中的数据保护，利用在无线网络中在每一个设置状态处修改的初始化向量来加密帧，包括其媒体访问控制(MAC)报头和有效载荷，从而避免无线发送的数据被暴露给未授权用户。
文档编号H04L9/00GK1805333SQ200610003620
公开日2006年7月19日 申请日期2006年1月9日 优先权日2005年1月11日
发明者李相国 申请人:三星电子株式会社