[发明专利]可实现无线局域网的保密通信的方法

说明书

【所属技术领域】

本发明涉及通信终端与无线局域网内无线接入点的保密通信方法，特别涉及利用加密装置实现通信终端在无线局域网的无线接入和通信安全的方法。

【背景技术】

目前，WLAN(Wireless Local Area Network，无线局域网)的无线接入系统通常是由无线网卡、无线接入点(AP，Access Point)、无线接入网关(AG，Access Server)和无线接入服务器(AS，Access Server)等各个部分组成。较为常见的组网方式是通过无线网卡与计算机、PDA等终端设备相连，取代以上设备中原有的有线网卡，从而实现终端设备间、终端设备与无线接入点间的无线连接，完成对无线信道的检测、选择、控制和管理，并能实现无线接收的增益控制、发射端的功率控制等功能。

与有线传输相比，无线传输的保密性较差，因此需要一些额外的安全措施来保证无线接入点和各通信终端之间的通信安全，比如用户认证、信息加密等。现有的加密方式已经有很多种，总起来包括软件加密和硬件加密。软件加密是在通信系统的应用层中加入一个专门负责加密、解密的软件模块。由于这种加密方式的加密、解密密钥以及加密、解密过程中出现的数据都要在本机的内存中出现，因而容易被破译。另外，由于加密算法的运算量非常大，所以加、解密过程对系统资源的大量占有也是无法容忍的。硬件加密就是将加密密码算法和密钥存储到专用的硬件中去，该专用硬件通过通信接口与通信终端连接，加密、解密过程是首先将数据通过通信接口传输至专用硬件，再由硬件中的微处理器来完成加密、解密。上述硬件加密虽然从根本上克服了上述软件加密的缺点，但是如果所有待加密、解密处理的数据和所有处理后的数据均需通过通信接口在通信终端和专用硬件间传输，则通信接口的传输速度将会影响通信终端在无线局域网中的传输速度，同时频繁在通信终端与专用硬件间的数据传输也会占用大量的系统资源。

无线局域网标准IEEE802.11采用有线对等加密(Wired EquivalentPrivacy，WEP)技术对信息进行加密。WEP是一种对称加密技术，即加密通信双方使用相同的密钥进行加解密。在实际应用中，出于安全性的考虑，不同用户应该使用不同的密钥。通常密钥由网络管理者分配，并存储在通信双方，即通信终端和无线接入点(AP)上。这种密钥管理方法存在很多弊端。首先，在这种密钥管理方式下，为了支持用户的漫游，每个无线接入点(AP)都应该存储所有用户的密钥，而每次增加或修改用户的密钥，网络管理者就要在所有的无线接入点(AP)上增加或修改该用户的密钥，使密钥管理任务相当繁重，而且无线接入点(AP)的存储能力也可能达不到要求。另外，由于密钥分别存储在用户的通信终端和无线接入点中，而存储在通信终端的密钥显然是不安全的，这为他人窃取密钥提供了可乘之机。

【发明内容】

本发明提供一种可实现无线局域网的保密通信的方法，所要解决的技术问题在于使通信终端不参与通信安全处理，而借助外置的加密装置实现其与无线局域网的连接和传输数据的加密、解密处理，从而有效保证通信安全。

本发明关于一种可实现无线局域网的保密通信的方法，所述的无线局域网包括有一无线接入点(AP)及通信终端，该无线接入点与外部网络连接，所述方法包括以下步骤：(1)在具有无线网卡功能的加密装置中预置唯一的标识信息，且在认证装置中存储有经认证的加密装置的标识信息，并在认证装置中建立存储有各标识信息及特征信息对应关系的信息表，使接入点与认证装置连接；(2)使具有无线网卡功能的加密装置与通信终端连接并获得供电，在通信终端上安装并运行加密装置的无线网卡专用驱动程序；(3)加密装置建立与无线接入点的无线信道，加密装置再通过无线接入点向认证装置发送包含标识信息的认证请求；(4)认证装置根据认证请求中包含的标识信息对加密装置进行认证，如果认证成功，则认证装置在信息表中调取与该标识信息相对应的特征信息，向无线接入点发送认证装置根据密钥生成算法从该特征信息生成的第一密钥，并将包含特征信息的允许接入通知经无线接入点发送至加密装置；(5)无线接入点直接从认证装置处接收第一密钥，加密装置通过无线接入点接收允许接入通知并得到特征信息，根据同一密钥生成算法从该特征信息生成第一密钥；(6)无线接入点与加密装置在无线信道中通过第一密钥对传输的数据进行加密、解密处理。