专利名称:802.11芯片中wapi、ccmp共存的方法和装置的制作方法
技术领域:
本发明涉及无线网络通信领域,尤其涉及一种在802.11芯片中>¥八 1、 CCMP共存的方法 和装置。 背聚技术
我国在2003年5月松提出了无线局域网国家标准GB15629.11,这是我国在这一领域惟一获 得批准的协议。标准中包含了全新的WAPI ( WLAN Authentication and Privacy Infrastructure)安全机制,这种安全机制由WAI (札AN Authentication Infrastructure) 和WPI (WLAN Privacy Infrastructure)两部分组成,WAI和WPI分别实现对用户身份的鉴别 和对传输的数据加密。
WAI采用公开密钥密码体制,利用证书来对WLAN系统中的STA和AP进行互相身份认证。在 STA和AP的身份都鉴别成功之后,双方将会进行密钥协商,并依据协商出的密钥进行WPI过程。 WPI采用SMS4对称密码鲜法实现对MAC层MPDU进行的加、解密操作。
WAPI安全机制能够从根本上提升WLAN的安全性,使得WLAN的安全性达到C2级别。
与此同时,在无线局域网标准化中起主导作用的正EE 802.11工作组制订被称为正EE 802.1 li的新一代安全标准。
正££802.111规定使用802.11认证和密钥管理方式,在数据加密方面,定义了TKIP (Temporal Key Integrity Protocol)机制、CCMP (Counter-Mode/CBC-MAC Protocol)机制和 可选的WRAP (Wireless Robust Authenticated Protocol)机制。
其中TKIP采用RC4作为核心加密算法,是针对原WEP加密机制的一个补丁,原来支持WEP 加密的设备可以通过棘件升级来实现TKIP。由于TKIP是为了兼容原WEP设备而设计的,其机 制无法从根本上提升安全性。
CCMP机制则是基于AES (Advanced Encryption Standard)加密算法和CCM (Counter-Mode/CBC-MAC)认证方式的全新安全机制,AES对硬件要求比较高,因此CCMP 无法通过在现有设备的基础上进行升级实现。CCMP机制是实现RSN的强制性要求,能够保 证WLAN达到C2级安全。
目前正££已经投寧通过了802.111作为国际标准。这标志着大量支持lli的设备的上市,由 于lli中TKIP是为了兼容原WEP设备而设计的,其安全性无法达到较髙级别,所以新的设备将
主要支持CCMP机制;同时随着原WEP设备的淘汰,最终实现lli的WLAN网络的安全机制将 统一到CCMP机制。
虽然WAPI和CCMP安全结构都能够保证WLAN达到C2级安全标准,理论上混合使用不会 造成WLAN安全性的下降。但是由于标准不同,就存在设备的兼容性问题在一个以WAPI 为安全结构的网络中,使用CCMP安全结构的设备无法加入。这样在一个部署基础结构的热 点环境时,如果需要同时支持WAPI和CCMP,那么就需要部署两套系统,造成资源浪费。
针对该问题,本发明提供了一种解决方法和装置,使得能够在同一个基础结构的BSS网络 内,使用WAPI安全结构的设备和使用CCMP安全结构的设备共存,并通过配置可以实现WAPI 设备和CCMP设备的互通或隔离。
发明内容
为了解决在一个基础结构的BSS网络内WAPI/CCMP设备无法共存的问题,本发明提供了一 种实现共存的方法和装置。
请参阅图l,该图描述了本发明中实现WAPI、 CCMP共存的各部分模块。
在片外内存中包含一个单播密钥表和一个组播密钥表,所述片外内存中的单播密钥表, 由N项组成,每项包括两套WAPI/CCMP的单播加密密钥,单播完整性校验密钥和单播PN 码,每项和节点索引寄存器组中的一项对应;
所述片外内存中的组播密钥表,由N项组成,每项包括两套WAPI/CCMP组播加密密钥, 组播完整性校验密钥和组播PN码,每项也和节点索引寄存器组中的一项对应;
所述WAPI/CCM^共存控制模块,由节点索引寄存器组,安全结构配置寄存器,SSID安 全结构适配寄存器,安全结构控制逻辑模块共同组成。其中所述的802.11芯片中节点索引 寄存器组,由N项组成,每项都包括通信端STA的MAC地址位,和当前安全结构位,该结 构位指示该STA当前使用了 WAPI安全结构还是CCMP安全结构。
所述安全结构配鹭寄存器,可以配置为WAPI结构,CCMP结构或者是WAPI/CCMP共 存结构,记为WAPIj:CMP;
所述SSID安全结抅适配寄存器,包括一个有效位,用来指示该SSID是否有效;还包括 一个安全结构指示位,用来指示该SSID使用安全结构寄存器中的哪种安全结构;通过配置该 SSID安全结构配置寄存器,我们可以实现如下几种安全模型
一个基础结构网络中使用一个SSID,使用WAPI安全结构;
一个基础结构网络中使用一个SSID,使用CCMP安全结构;
一个基础结构网络中使用一个SSID,同时使用WAPI和CCMP两种安全结构;
一个基础结构网络中使用两个或者更多个SSID,每个SSID使用WAPI或者CCMP或者 WAPI_CCMP其中一种安全结构。
通过对SSID安全结构适配寄存器的配置,就可以在一个基础结构BSS网络内,通过区 分SSID在逻辑层次上划分出几个网络,而且每个逻辑网络都使用不同的安全结构,这样通过 配置就实现了 WAPI/CCMP设备的隔离;或者在一个SSID的网络内同时使用WAPI和CCMP, 这样就实现了 WAPI和CCMP设备的互通。
所述安全结构控制逻辑模块,用于组织上述各部分,根据SSID发送带有相适安全参数的 BEACON帧和探询响应帧,根据通信端STA的MAC地址选择相应的加密和解密模块。
所述芯片中实现WAPI/CCMP共存的装置,通过如下方法实现使用WAPI安全结构的设 备和使用CCMP安全結构的设备共存,并通过配置可以实现WAPI设备和CCMP设备的百.通 或隔离。该方法包括如下步骤
1) 设备在进入工作状态前,设置安全结构配置寄存器,可以设置为WAPI结构,CCMP 结构或者是WAPI_CCMP共存结构;设置每组SSID对应的SSID安全结构适配寄存 器,设置其为是否有效,如果有效的化,设置其使用的安全结构
2) 设备工作后,硬件装置使用轮换策略等概率发送使用不同SSID的BEACON和探询 响应。当发送带有某个SSID的BEACON或者探询响应时,同时査看该SSID对应的 安全结构指示位,通过该位来选择在BEACON或者探询响应帧中包含WAPI参数, CCMP参数或者是同时包含WAPI参数和CCMP参数。
3) 接收到BEACQN帧、探询响应帧的终端设备根据自己的情况选择支持哪种安全结构, 然后发送开发整权的链路验证帧,然后发送关联请求帧,因为在关联请求帧中会包含 WAPI信息元素或者是CCMP的RSN信息元素,WAPI信息元素使用了的ID是68, CCMPRSN的信息元素ID是48。硬件装置收到该关联请求后,根据ID就可以判断 出该终端设备鼙求使用的安全结构,然后根据STA的MAC地址得到索引节点,然后 将该安全结构设置索引节点上的安全结构位上。
4) 当该基础结构&SS内的STA进行数据通信时,本装置根据该STA的MAC地址,得 到索引节点,根据该索引节点从密钥表中搬移密钥和PN;同时根据该索引节点中的 安全结构位,捧到该STA当前使用的安全结构,然后启动相应的加密和解密模块。 被启动的加密和解密模块根据搬移来的密钥和PN对数据进行加密和解密。
由上述描述可知,在本发明中,能够通过配置相关寄存器,实现在同一个基础结构的BSS 内,使用WAPI安全结构和CCMP安全结构的设备的共存;同时,也可以通过区分SSID,在逻 辑层次上实现这些设备的互通或者隔离。这样就可以只部署一个系统,就实现了对WAPI/CCMP 设备的同时支持,有效减少了系统的重复建设,减少资源浪费和建设成本。
图1为实现本发明的装置结构示意图
图2为单播密钥表和组播密钥的组成结构示意图
图3为节点索引寄存器组中表项的结构示意图
具体卖施方案
请参阅图1,该图蹄述了一个实现WAPI设备和CCMP设备共存功能的硬件系统。
该系统包括一个片外内存硬件和一个802.11 MAC硬件。在片外内存硬件中,包括一个单 播密钥表和一个组播密钥表,该密钥表能够无区别的存储WAPI或者是CCMP的密钥、PN。
单播密钥表和组播密钥表都分为N项,请参阅图2,该图描述了单播密钥表的结构和组播 密钥表中表项的结构。:每项都存储存储了一个加解密密钥, 一个完整性校验密钥和一个PN。 每项都和节点索引寄存器组中一个对应。
在802.11 ^硬件中的WAPI/CCMP共存控制模块内,包含一个节点索引寄存器组, 一个 安全结构配置寄存器, 一个SSID安全结构适配寄存器,和一个安全结构控制逻辑模块。
802.11芯片中节点索引寄存器组,请参阅图3,该图描述了节点索引寄存器组的结构。 该寄存器组由N项组成,每项都包括通信端STA的MAC地址位(1 ),和当前安全结构位(2), 该结构位指示该STA当前使用了 WAPI安全结构还是CCMP安全结构。
802.11MAC硬件模块中,SSID安全结构适配寄存器,该寄存器包括一个有效位,用来指 示该SSID是否有效;还包括一个安全结构指示位,用来指示该SSID使用安全结构寄存器中 的哪种安全结构。
802.11MAC硬件模岭中,安全结构控制逻辑模块,该模块实现根据SSID发送带有相适安 全参数的BEACON帧和探询响应帧,实现根据通信端STA的MAC地址选择相应的加密和 解密模块。
芯片中实现WAPIfCCMP共存的装置,通过如下方法实现使用WAPI安全结构的设备和 使用CCMP安全结构的设备共存,并通过配置可以实现WAPI设备和CCMP设备的互通或隔 离。该方法包括如下步骤
1) 设备在进入工作状态前,设置安全结构配置寄存器,可以设置为WAPI结构,CCMP 结构或者是\WAPI_CCMP共存结构;设置每组SSID对应的SSID安全结构适配寄存 器,设置其为是否有效,如果有效的化,设置其使用的安全结构。
2) 设备工作后,硬件装置使用轮换策略等概率发送使用不同SSID的BEACON和探询 响应。当发送带有某个SSID的BEACON或者探询响应时,同时査看该SSID对应的 安全结构指示位,通过该位来选择在BEACON或者探询响应帧中包含WAPI参数, CCMP参数或皆是同时包含WAPI参数和CCMP参数。
3) 接收到BEACON帧、探询响应帧的终端设备根据自己的情况选择支持哪种安全结构, 然后发送开发鉴权的链路验证帧,然后发送关联请求帧,因为在关联请求帧中会包含 WAPI信息元素或者是CCMP的RSN信息元素,WAPI信息元素使用了的ID是68, CCMPRSN的信息元素ID是48。硬件装置收到该关联请求后,根据ID就可以判断 出该终端设备要求使用的安全结构,然后根据STA的MAC地址得到索引节点,然后 将该安全结构设置索引节点上的安全结构位上。
4) 当该基础结构BSS内的STA进行数据通信时,本装置根据该STA的MAC地址,得 到索引节点,根据该索引节点从密钥表中搬移密钥和PN;同时根据该索引节点中的 安全结构位,得到该STA当前使用的安全结构,然后启动相应的加密和解密模块。 被启动的加密和解密模块根据搬移来的密钥和PN对数据进行加密和解密。
权利要求
1、一种在802.11芯片中实现WAPI/CCMP共存的方法和装置,涉及的部件包括一个片外内存,内存中包含一个单播密钥表和一个组播密钥表,该单播或组播密钥表都能够无区别的存储WAPI或者是CCMP密钥,一个802.11的MAC硬件模块,其特征在于在此MAC硬件模块中还包含一个WAPI/CCMP共存控制模块。
2、 如权利要求1所述的802.11芯片中WAPI/CCMP共存控制模块,其特征在于包括 一个节点索引寄存器组, 一个安全结构配置寄存器, 一个SSID安全结构适配寄存器,和一个 安全结构控制逻辑模块;所述节点索引寄存器组,由N项组成,每项都包括通信端STA的MAC地址位,和当前 安全结构位,该结构位指示该STA当前使用了 WAPI安全结构还是CCMP安全结构。所述安全结构配置寄存器,可以配置为WAPI结构,CCMP结构或者是WAPI/CCMP共 存结构,记为WAPI一CCMP;所述SSID安全结构适配寄存器,包括一个有效位,用来指示该SSED是否有效;还包括 一个安全结构指示位,用来指示该SSID使用安全结构寄存器中的哪种安全结构;所述安全结构控制逻辑模块,用于组织上述各部分,根据SSID发送带有相适安全参数的 BEACON帧和探询响应帧,根据通信端STA的MAC地址选择相应的加密和解密模块
3、 根据权利要求l所述的芯片中实现WAPI/CCMP共存的方法,用于在上述各组成部件 之间建立联系,在同一个基础结构的BSS网络内,实现使用WAPI安全结构的设备和使用 CCMP安全结构的设备共存,并通过配置可以实现WAPI设备和CCMP设备的互通或隔离, 其特征在于包括如下步骤1) 设备在进入工作状态前,设置安全结构配置寄存器,可以设置为WAPI结构,CCMP 结构或者是WAPI_CCMP共存结构;设置每组SSID对应的SSID安全结构适配寄存 器,设置其为是否有效,如果有效的化,设置其使用的安全结构;2) 设备工作后,硬件装置使用轮换策略等概率发送使用不同SSID的BEACON和探询 响应。当发送带有某个SSID的BEACON或者探询响应时,同时查看该SSID对应的 安全结构指示位,通过该位来选择在BEACON或者探询响应帧中包含WAPI参数, CCMP参数或者是同时包含WAPI参数和CCMP参数;3) 接收到BEACON帧、探询响应帧的终端设备根据自己的情况选择支持哪种安全结构, 然后发送开发鉴权的链路验证帧,然后发送关联请求帧,因为在关联请求帧中会包含 WAPI信息元素或者是CCMP的RSN信息元素,WAPI信息元素使用了的ID是68, CCMPRSN的信息元素ID是48。硬件装置收到该关联请求后,根据ID就可以判断 出该终端设备要求使用的安全结构,然后根据STA的MAC地址得到索引节点,然后将该安全结构设置索引节点上的安全结构位上4)当该基础结构iBSS内的STA进行数据通信时,本装置根据该STA的MAC地址,得 到索引节点,根据该索引节点从密钥表中搬移密钥和PN;同时根据该索引节点中的 安全结构位,得到该STA当前使用的安全结构,然后启动相应的加密和解密模块。 被启动的加密和解密模块根据搬移来的密钥和PN对数据进行加密和解密。
全文摘要
本发明提供一种在802.11MAC硬件中,实现WAPI、CCMP安全结构共存的方法和装置。由于WAPI和CCMP安全结构都能够从根本上保证WLAN达到C2级安全标准,理论上混合使用不会造成WLAN安全性的下降。但是由于标准的不同,就存在设备的兼容性问题在一个以WAPI为安全结构的网络中,使用CCMP安全结构的设备无法加入。这样在一个部署基础结构的热点环境,如果需要同时支持WAPI和CCMP,那么就需要部署两套系统,造成资源浪费。针对该问题,本发明提供了一种解决方法和硬件装置,使得能够在同一个基础结构的BSS网络内,使用WAPI安全结构的设备和使用CCMP安全结构的设备共存,并通过配置硬件可以实现WAPI设备和CCMP设备的互通或隔离。
文档编号H04L9/14GK101192923SQ20061014423
公开日2008年6月4日 申请日期2006年11月30日 优先权日2006年11月30日
发明者天 兰, 薛丛建 申请人:北京中电华大电子设计有限责任公司