專利名稱:無線裝置及其密鑰交換方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線通信領(lǐng)域�����,尤其涉及一種無線裝置及其密鑰交換方法�����。
技術(shù)背景在電氣電子工禾呈師學(xué)會(Institute of Electrical and Electronics Engineers, IEEE) 802. ll無線網(wǎng)絡(luò)中����,無線分布系統(tǒng)(Wireless Distributed System, WDS)連線用于 接入點(Access Point, AP)與接入點之間的數(shù)據(jù)傳輸。 一般建立WDS連線的兩個接入點需 要用戶通過兩個接入點的用戶接口 (User Interface, UI)設(shè)定一組相同的有線等效加密( Wired Equivalent Privacy, WEP)密鑰�。此后,這兩個接入點可通過所設(shè)定的WEP密鑰進行 數(shù)據(jù)傳輸�����。然而�,若這兩個接入點僅僅支持一組固定的WEP密鑰��,WDS連線會非常不安全�,故,為了 保障通信安全��,用戶需要頻繁的手動更換兩個接入點的WEP密鑰�����,從而對用戶造成很大的困 擾�。發(fā)明內(nèi)容有鑒于此���,需要提供一種無線裝置,可與另一無線裝置自動且安全的交換密鑰����。 另,還需要提供一種密鑰交換方法����,可用于兩個無線裝置之間自動且安全的交換密鑰。 一種無線裝置�����,用于與至少另一無線裝置自動交換密鑰�����,其包括密鑰請求模塊����、密鑰產(chǎn) 生模塊及密鑰傳遞模塊。密鑰請求模塊用于通過傳送請求密鑰交換幀以請求交換密鑰����。密鑰 產(chǎn)生模塊用于當(dāng)請求交換密鑰成功時產(chǎn)生新密鑰�。密鑰傳遞模塊用于根據(jù)另一無線裝置的公 鑰加密新密鑰����,并通過傳送新密鑰發(fā)送幀以傳遞被加密的新密鑰。一種密鑰交換方法�,包括以下步驟通過第一無線裝置傳送請求密鑰交換幀至第二無線 裝置以請求交換密鑰;通過第二無線裝置傳送同意密鑰交換幀至第一無線裝置以同意交換密 鑰���;通過第一無線裝置產(chǎn)生新密鑰�����;通過第一無線裝置根據(jù)新密鑰及第二無線裝置的公鑰傳 送新密鑰發(fā)送幀至第二無線裝置以傳遞新密鑰;通過第二無線裝置根據(jù)第二無線裝置的私鑰 解讀新密鑰發(fā)送幀而獲取新密鑰����;及通過第二無線裝置傳送新密鑰收到幀至第一無線裝置以 告知新密鑰已收到。上述無線裝置通過密鑰請求模塊���、密鑰產(chǎn)生模塊及密鑰傳遞模塊利用該密鑰交換方法可 自動且安全地與另一無線裝置交換密鑰��。
圖l是本發(fā)明密鑰交換方法一實施環(huán)境圖�。圖2是本發(fā)明密鑰交換方法另一實施環(huán)境圖�����。圖3是本發(fā)明實施方式中管理幀的示意圖。圖4是本發(fā)明實施方式中信息元內(nèi)容的示意圖����。圖5是本發(fā)明實施方式中另一信息元內(nèi)容的示意圖。圖6是本發(fā)明實施方式中第一無線裝置與第二無線裝置的模塊圖����。圖7是本發(fā)明密鑰交換方法一實施方式的流程圖。圖8是圖7中密鑰交換方法的具體流程圖�����。圖9是圖8中節(jié)點A之后的流程圖����。
具體實施方式
參閱圖l��,為本發(fā)明密鑰交換方法一實施環(huán)境圖�。在本實施方式中�,無線通信系統(tǒng)包括 第一接入點IO、第二接入點20��、第一移動站11及第二移動站21����。第一移動站ll與第二移動站 21可為任一接入無線局域網(wǎng)的設(shè)備�����,例如移動電話、攜帶式電腦�����、個人數(shù)字助理( Personal Digital Assistant, PDA)等��。第一移動站11與第一接入點10進行無線通信。第 二移動站21與第二接入點20進行無線通信。在本實施方式中�����,第一接入點10傳送請求密鑰交換(Request-key-change)幀至第二接 入點20以請求交換密鑰���,第二接入點20傳送同意密鑰交換(Agree-key-change)幀至第一接 入點10以同意交換密鑰���。第一接入點10產(chǎn)生新密鑰,并根據(jù)新密鑰與第二接入點20的公鑰傳 送新密鑰發(fā)送(New-key-send)幀至第二接入點20以傳遞新密鑰���。第二接入點20根據(jù)第二接 入點20的私鑰解讀新密鑰發(fā)送幀而獲取新密鑰����,并傳送新密鑰收到(New-key-received)幀 至第一接入點10以告知新密鑰已收到�����。此后�,第一接入點10與第二接入點20可通過新密鑰進 行數(shù)據(jù)傳輸���。從而,第一接入點10與第二接入點20自動且安全的建立WDS連線���。故����,第一移動站11與第二移動站21也可通過第一接入點10與第二接入點20進行無線通信 ,從而擴展了無線網(wǎng)絡(luò)的覆蓋范圍�����,即無線網(wǎng)絡(luò)的覆蓋范圍從第一接入點10或第二接入點 20的覆蓋范圍擴展至第一接入點10與第二接入點20的覆蓋范圍�。參閱圖2,為本發(fā)明無需通過接入點的密鑰交換方法另一實施環(huán)境圖���。在本實施方式中 ,無線通信系統(tǒng)包括第三移動站30及第四移動站40�����。第三移動站30傳送請求密鑰交換幀至第 四移動站40以請求交換密鑰���,第四移動站40傳送同意密鑰交換幀至第三移動站30以同意交換 密鑰��。第三移動站30產(chǎn)生新密鑰��,并根據(jù)新密鑰與第四移動站40的公鑰傳送新密鑰發(fā)送幀至第四移動站40以傳遞新密鑰�����。第四移動站40根據(jù)第四移動站40的私鑰解讀新密鑰發(fā)送幀而獲 取新密鑰����,并傳送新密鑰收到幀至第三移動站30以告知新密鑰已收到。此后���,第三移動站 30與第四移動站40可通過新密鑰進行數(shù)據(jù)傳輸�����。從而,第三移動站30與第四移動站40自動且 安全的建立點對點連線。故�����,第三移動站30與第四移動站40無需通過接入點相互連接��,而直接進行資源共享�����。 參閱圖3�,為本發(fā)明實施方式中管理幀1000的示意圖。在本實施方式中����,管理幀1000為 信標(biāo)幀(Beacon Frame),其包括媒體存取控制(Media Access Control, MAC)表頭( Header) 1100�����、幀主體(Frame Body) 1200及幀檢査序列(Frame Check Sequence, FCS) 1300���。 MAC表頭llOO與電氣電子工程師學(xué)會(Institute of Electrical and Electronics Engineers, IEEE) 802. 11協(xié)議規(guī)定的信標(biāo)幀的MAC表頭的設(shè)定一致��。幀主體1200包括多個信 息元(Information Element, IE) 1210��。每一個信息元1210包括識別碼(Element Identifier, Element ID) 1211�����、長度(Length) 1212及內(nèi)容(Challenge Text) 1213�。在 本實施方式中,當(dāng)一個信息元1210的內(nèi)容1213被設(shè)定為圖4中的信息元內(nèi)容2000,則攜帶此 信息元1210的管理幀1000可成為請求密鑰交換幀�����、同意密鑰交換幀或新密鑰收到幀。當(dāng)一個 信息元1210的內(nèi)容1213被設(shè)定為圖5中的信息元內(nèi)容3000 �,則攜帶此信息元1210的管理幀 1 OOO可成為新密鑰發(fā)送幀��。信息元內(nèi)容2000與信息元內(nèi)容3000將在下文詳述之�����。參閱圖4����,為本發(fā)明實施方式中信息元內(nèi)容2000的示意圖��。在本實施方式中����,信息元內(nèi) 容2000包括信標(biāo)類型(Beacon Type) 2100、確認結(jié)果(Acknowledge Result) 2200、數(shù)字 簽名長度(Digital Signature Length) 2300及數(shù)字簽名(Digital Signature) 2400�。 在其它實施方式中����,信息元內(nèi)容2000也可根據(jù)不同的需求而劃分成不同的字段���。 信標(biāo)類型2100用于指明攜帶此信息元內(nèi)容2000的管理幀1000的類型�。在本實施方式中, 當(dāng)信標(biāo)類型2100被設(shè)定為1���,則表明對應(yīng)的管理幀1000為請求密鑰交換幀�。當(dāng)信標(biāo)類型2100 被設(shè)定為2��,則表明對應(yīng)的管理幀1000為同意密鑰交換幀��。當(dāng)信標(biāo)類型2100被設(shè)定為4�����,則表 明對應(yīng)的管理幀1000為新密鑰收到幀����。在其它實施方式中�,信標(biāo)類型2100的設(shè)定值與管理幀1000的對應(yīng)關(guān)系也可根據(jù)不同的需 求而變化�。確認結(jié)果2200用于表明接受或拒絕�����。在本實施方式中,當(dāng)確認結(jié)果2200被設(shè)定為0��,則 表明接受�����;當(dāng)確認結(jié)果2200被設(shè)定為1�����,則表明拒絕。在本實施例中,當(dāng)管理幀1000為請求 密鑰交換幀��,即信標(biāo)類型2100被設(shè)定為1時�,確認結(jié)果2200無意義�,可以不必設(shè)定�����。當(dāng)管理 幀1000為同意密鑰交換幀����,即信標(biāo)類型2100被設(shè)定為2時�,確認結(jié)果2200可被設(shè)定為0或1��,分別表明接受密鑰交換或拒絕密鑰交換的請求。當(dāng)管理幀iooo為新密鑰收到幀�����,即信標(biāo)類型2100被設(shè)定為4時��,確認結(jié)果2200僅被設(shè)定為0��,表明新密鑰已經(jīng)收到�����。 數(shù)字簽名長度2300用于指明數(shù)字簽名2400的長度��。數(shù)字簽名2400是基于傳送端的私鑰被加密的數(shù)字簽名���。在本實施方式中����,傳送端指傳送 攜帶信息元內(nèi)容2000的管理幀1000的裝置,接收端是指接收攜帶信息元內(nèi)容2000的管理幀 IOOO的裝置。當(dāng)接收端接收管理幀1000后���,可通過傳送端的公鑰對數(shù)字簽名2400進行檢査, 從而確保傳送端與接收端之間的通信安全���。參閱圖5�,為本發(fā)明實施方式中信息元內(nèi)容3000的示意圖���。在本實施方式中��,信息元內(nèi) 容3000包括信標(biāo)類型3100����、密鑰長度(Key Length) 3200����、安全類型(Security Type) 3300��、加密密鑰(Encrypted Key) 3400����、數(shù)字簽名長度3500及數(shù)字簽名3600���。在其它實施方式中����,信息元內(nèi)容3000也可根據(jù)不同的需求而劃分為不同的字段�。信標(biāo)類型3100用于指明攜帶此信息元內(nèi)容3000的管理幀1000的類型。在本實施方式中�, 信標(biāo)類型3100被設(shè)定為3���,表明對應(yīng)的管理幀1000為新密鑰發(fā)送幀��。密鑰長度3200用于指明安全類型3300與加密密鑰3400的長度���。安全類型3300用于指明信息元內(nèi)容3000所載的新密鑰的類型。在本實施方式中���,當(dāng)安全 類型3300被設(shè)定為0���,則表明所載的新密鑰為有線等效加密(Wired Equivalent Privacy, WEP)密鑰;當(dāng)安全類型3300被設(shè)定為1�,則表明所載的新密鑰為WiFi保護訪問-預(yù)共享密鑰 (Wi-Fi Protected Access Pre-shared Key, WPA-PSK);當(dāng)安全類型3300被設(shè)定為2���,則 表明所載的新密鑰為WiFi保護訪問2-預(yù)共享密鑰(Wi-Fi Protected Version 2 Access Pre-shared Key, WPA2-PSK)�。加密密鑰3400用于指明基于接收端的公鑰被加密的新密鑰���。在本實施方式中����,接收端是 指接收攜帶信息元內(nèi)容3000的管理幀1000的裝置��,傳送端指傳送攜帶信息元內(nèi)容300的管理 幀1000的裝置���。傳送端通過接收端的公鑰對新密鑰進行加密,接收端可利用接收端的私鑰對 新密鑰進行解密而獲取新密鑰,從而傳送端安全的將新密鑰傳送至接收端。數(shù)字簽名長度3500用于指明數(shù)字簽名3600的長度。數(shù)字簽名3600是基于傳送端的私鑰被加密的數(shù)字簽名��。在本實施方式中,傳送端指傳送 攜帶信息元內(nèi)容3000的管理幀1000的裝置�,接收端是指接收攜帶信息元內(nèi)容3000的管理幀 IOOO的裝置����。當(dāng)接收端接收管理幀1000后�����,可通過傳送端的公鑰對數(shù)字簽名3600進行檢査, 從而確保傳送端與接收端之間的通信安全��。參閱圖6,為本發(fā)明一實施方式中,第一無線裝置100與第二無線裝置200的模塊圖��。在本實施方式中,第一無線裝置100與第二無線裝置200可分別為圖1中的第一接入點10與第二 接入點20��,也可分別為圖2中的第三移動站30與第四移動站40���。第一無線裝置100包括設(shè)定模塊110����、密鑰交換模塊120及交換判斷模塊130�。第二無線裝 置200包括設(shè)定模塊210�、密鑰交換模塊220及交換判斷模塊230��。其中����,密鑰交換模塊120 ( 220)進一步包括密鑰請求模塊121 (221)、密鑰產(chǎn)生模塊122 (222)及密鑰傳遞模塊123 ( 223)�。在其它實施方式中����,第一無線裝置100也可直接包括設(shè)定模塊110��、密鑰請求模塊121、 密鑰產(chǎn)生模塊122���、密鑰傳遞模塊123及交換判斷模塊130�����。相應(yīng)地��,第二無線裝置200也可直 接包括設(shè)定模塊210�、密鑰請求模塊221�����、密鑰產(chǎn)生模塊222�、密鑰傳遞模塊223及交換判斷模 塊230���。第一無線裝置100的設(shè)定模塊110用于設(shè)定第二無線裝置200的憑證文件�。第二無線裝置 200的設(shè)定模塊210用于設(shè)定第一無線裝置100的憑證文件����。在本實施方式中,第二無線裝置 200的憑證文件包括第二無線裝置200的公鑰�,第一無線裝置100的憑證文件包括第一無線裝 置100的公鑰。第一無線裝置100的設(shè)定模塊110還用于設(shè)定第二無線裝置200的MAC地址����。第二無線裝置 200的設(shè)定模塊21 O還用于設(shè)定第一無線裝置l 00的MAC地址。在本實施方式中����,當(dāng)?shù)谝粺o線裝置100與第二無線裝置200建立WDS連線時�����,第一無線裝 置100的設(shè)定模塊110需要設(shè)定第二無線裝置200的MAC地址�,第二無線裝置200的設(shè)定模塊 210也需要設(shè)定第一無線裝置100的MAC地址。在另一實施方式中�,當(dāng)?shù)谝粺o線裝置100與第二無線裝置200建立點對點連線時,第一無 線裝置100的設(shè)定模塊110不需要設(shè)定第二無線裝置200的MAC地址���,第二無線裝置200的設(shè)定 模塊210也不需要設(shè)定第一無線裝置100的MAC地址�。第一無線裝置100的密鑰交換模塊120用于與第二無線裝置200進行密鑰交換���。第二無線 裝置200的密鑰交換模塊220用于與第一無線裝置100進行密鑰交換。在本實施方式中���,第一無線裝置100主動向第二無線裝置200請求密鑰交換���。密鑰請求模 塊121用于通過傳送請求密鑰交換幀以請求密鑰交換。密鑰請求模塊221用于通過傳送同意密 鑰交換幀以同意密鑰交換����。具體而言���,密鑰請求模塊121根據(jù)第一無線裝置100的私鑰傳送請求密鑰交換幀至第二無 線裝置200。請求密鑰交換幀為攜帶信息元內(nèi)容2000的管理幀1000����。在本實施例中,如圖4所 示��,信息元內(nèi)容2000的信標(biāo)類型2100被設(shè)定為1�,表明請求密鑰交換幀的類型,數(shù)字簽名長度2300是數(shù)位簽名2400的長度��,數(shù)字簽名2400是基于第一無線裝置100的私鑰加密的數(shù)字簽 名。密鑰請求模塊221接收請求密鑰交換幀��,并根據(jù)第一無線裝置100的公鑰檢査請求密鑰交 換幀���。在本實施方式中,密鑰請求模塊221根據(jù)第一無線裝置100的公鑰檢査請求密鑰交換幀 的數(shù)字簽名2400��。然后��,密鑰請求模塊221根據(jù)第二無線裝置200的私鑰傳送同意密鑰交換幀至第一無線裝 置IOO�����。同意密鑰幀為攜帶信息元內(nèi)容2000的管理幀1000。在本實施例中�����,如圖4所示�,信息 元內(nèi)容2000的信標(biāo)類型2100被設(shè)定為2,表明同意密鑰交換幀的類型�����,確認結(jié)果2200被設(shè)定 為0��,表明接受交換密鑰的請求�,數(shù)字簽名長度2300是數(shù)位簽名2400的長度,數(shù)字簽名2400 是基于第二無線裝置200的私鑰被加密的數(shù)字簽名�。密鑰請求模塊121接收同意密鑰交換幀,并根據(jù)第二無線裝置200的公鑰檢査同意密鑰交 換幀��。在本實施方式中�,密鑰請求模塊121根據(jù)第二無線裝置200的公鑰檢査同意密鑰交換幀 的數(shù)字簽名2400�。在其它實施方式中,當(dāng)?shù)诙o線裝置200主動向第一無線裝置100請求密鑰交換時����,密鑰 請求模塊121與密鑰請求模塊221的功能也可調(diào)換��。在本實施方式中���,密鑰產(chǎn)生模塊122用于當(dāng)請求密鑰交換成功時產(chǎn)生新密鑰。在本實施 方式中��,新密鑰為WEP密鑰�,第一無線裝置100根據(jù)IEEE 802. ll協(xié)議產(chǎn)生WEP密鑰。在其它實施方式中�����,新密鑰也可為WPA-PSK或WPA2-PSK密鑰��,第一無線裝置100也可根據(jù) IEEE 802. 11i協(xié)議產(chǎn)生WPA-PSK或WPA2-PSK密鑰��。密鑰傳遞模塊123用于根據(jù)第二無線裝置200的公鑰加密新密鑰��,并通過傳送新密鑰發(fā)送 幀以傳遞被加密的新密鑰��。密鑰傳遞模塊223用于通過傳送新密鑰收到幀以告知新密鑰已收 到�。具體而言,密鑰傳遞模塊123根據(jù)新密鑰�、第二無線裝置200的公鑰及第一無線裝置100 的私鑰傳送新密鑰發(fā)送幀。新密鑰發(fā)送幀為攜帶信息元內(nèi)容3000的管理幀1000。在本實施例 中��,如圖5所示��,信標(biāo)類型3100設(shè)定為3���,表明新密鑰發(fā)送幀的類型�,密鑰長度3200是安全類 型3300與加密密鑰3400的長度��,安全類型3300被設(shè)定為1�,表明新密鑰的類型為WEP密鑰,加 密密鑰3400是基于第二無線裝置200的公鑰加密的新密鑰�����。數(shù)字簽名長度3500是數(shù)位簽名 3600的長度���,數(shù)字簽名3600是基于第一無線裝置100的私鑰被加密的數(shù)字簽名��。密鑰傳遞模塊223接收新密鑰發(fā)送幀�����,并根據(jù)第一無線裝置100的公鑰及第二無線裝置 200的私鑰解讀新密鑰發(fā)送幀而獲取新密鑰。在本實施例中,密鑰傳遞模塊223先根據(jù)第一無線裝置100的公鑰檢査新密鑰發(fā)送幀的數(shù)字簽名3600����,再根據(jù)第二無線裝置200的私鑰解密被 加密的新密鑰,從而獲取新密鑰����。然后,密鑰傳遞模塊223根據(jù)第二無線裝置200的私鑰傳送新密鑰收到幀�。新密鑰收到幀 為攜帶信息元內(nèi)容2000的管理幀1000。在本實施例中�,如圖4所示,信標(biāo)類型2100被設(shè)定為 4�,表明新密鑰收到幀的類型,確認結(jié)果2200被設(shè)定為0����,表明新密鑰已收到,數(shù)字簽名長度 2300是數(shù)位簽名2400的長度����,數(shù)字簽名2400是基于第二無線裝置200的私鑰被加密的數(shù)字簽 名。密鑰傳遞模塊123接收新密鑰收到幀���,并根據(jù)第二無線裝置200的公鑰檢査新密鑰收到幀 ����。在本實施方式中,密鑰傳遞模塊123根據(jù)第二無線裝置200的公鑰檢査數(shù)字簽名2400�。在其它實施方式中,新密鑰也可由第二無線裝置200的密鑰產(chǎn)生模塊222產(chǎn)生�����,密鑰傳遞 模塊123與密鑰傳遞模塊223的功能也可調(diào)換�。此后,第一無線裝置100與第二無線裝置200可通過新密鑰進行數(shù)據(jù)傳輸����。第一無線裝置 100或第二無線裝置200還判斷通信是否中斷。在本實施方式中���,通信中斷可為數(shù)據(jù)傳輸完畢 或網(wǎng)絡(luò)連接斷開��。如果通信未中斷���,則第一無線裝置100或第二無線裝置200還判斷是否需要交換密鑰。 交換判斷模塊130與230皆用于判斷是否需要交換密鑰��。在本實施方式中���,交換判斷模塊130與230可同時判斷��,也可其中之一者判斷是否需要交換密鑰����。由于交換判斷模塊130與230的功能相同�,為了描述簡潔,下文僅描述交換判斷模塊130的功能����。在本實施方式中,交換判斷模塊130根據(jù)預(yù)定的交換頻率來判斷需要交換密鑰����。舉例而言,當(dāng)用戶預(yù)設(shè)的交換頻率為每5分鐘1次�,則每經(jīng)過5分鐘交換判斷模塊124就判斷需要交換密鑰,5分鐘未到則判斷不需要交換密鑰��。在其它實施方式中�,交換判斷模塊124也可根據(jù)用戶的指令來判斷需要交換密鑰。例如�����,當(dāng)用戶發(fā)現(xiàn)出現(xiàn)安全隱患時通過按鈕或其它方式給出交換指令,交換判斷模塊124接收交換指令后判斷需要交換密鑰�。如果需要交換密鑰,則第一無線裝置100繼續(xù)傳送請求密鑰交換幀至第二無線裝置200�。 如果不需要交換密鑰,則第一無線裝置100與第二無線裝置200繼續(xù)進行數(shù)據(jù)傳輸��,直到通信中斷����。參閱圖7,為本發(fā)明密鑰交換方法一實施方式的流程圖���。在步驟S700�,第一無線裝置100傳送請求密鑰交換幀至第二無線裝置200以請求交換密鑰在步驟S702���,第二無線裝置200傳送同意密鑰交換幀至第一無線裝置100以同意交換密鑰 在步驟S704���,第一無線裝置100產(chǎn)生新密鑰。在步驟S706���,第一無線裝置100根據(jù)新密鑰及第二無線裝置200的公鑰傳送新密鑰發(fā)送幀 至第二無線裝置200以傳遞新密鑰����。在步驟S708,第二無線裝置200根據(jù)第二無線裝置200的私鑰解讀新密鑰發(fā)送幀而獲取新 密鑰�。在步驟S710,第二無線裝置200傳送新密鑰收到幀至第一無線裝置100以告知新密鑰已收到��。在步驟S712�,第一無線裝置100與第二無線裝置200通過新密鑰進行數(shù)據(jù)傳輸�。 在步驟S714,第一無線裝置100判斷通信是否中斷�����。 在其它實施方式中�����,也可由第二無線裝置200判斷通信是否中斷���。 如果通信未中斷�����,則在步驟S716�,第一無線裝置100判斷是否需要交換密鑰���。 若不需要交換密鑰�����,則回到步驟S712�����,第一無線裝置100與第二無線裝置200繼續(xù)進行數(shù) 據(jù)傳輸���。若需要交換密鑰���,則第一無線裝置100繼續(xù)傳送請求密鑰交換幀至第二無線裝置200。 參閱圖8��,為圖7中密鑰交換方法的具體流程圖�。在步驟S800,第一無線裝置100與第二無線裝置200分別設(shè)定對方的MAC地址����。在本實施 方式中,第一無線裝置100與第二無線裝置200建立WDS連線�����,故需要分別設(shè)定對方的MAC地址在其它實施方式中,第一無線裝置100與第二無線裝置200也可建立點對點連線�,則不需 要設(shè)定對方的MAC地址。在步驟S802�,第一無線裝置100與第二無線裝置200分別設(shè)定對方的憑證文件。在本實施 方式中����,第二無線裝置200的憑證文件包括第二無線裝置200的公鑰,第一無線裝置100的憑 證文件包括第一無線裝置100的公鑰���。在步驟S804,與圖7的步驟S700相同�,具體而言,第一無線裝置100根據(jù)第一無線裝置的 私鑰傳送請求密鑰交換幀�。在本實施方式中,請求密鑰交換幀為攜帶信息元內(nèi)容2000的管理 幀IOOO�。在本實施例中,如圖4所示����,信標(biāo)類型2100被設(shè)定為1,數(shù)字簽名長度2300是數(shù)位簽 名2400的長度��,數(shù)字簽名2400是基于第一無線裝置100的私鑰加密的數(shù)字簽名。在步驟S806���,第二無線裝置200接收請求密鑰交換幀�����,并根據(jù)第一無線裝置100的公鑰檢査請求密鑰交換幀����。在本實施方式中���,第二無線裝置200根據(jù)第一無線裝置100的公鑰檢査請 求密鑰交換幀的數(shù)字簽名2400���。在步驟S808,與圖7的步驟S702相同��,具體而言��,第二無線裝置200根據(jù)第二無線裝置 200的私鑰傳送同意密鑰交換幀����。在本實施方式中,同意密鑰交換幀為攜帶信息元內(nèi)容2000 的管理幀IOOO�����。在本實施例中,如圖4所示���,信標(biāo)類型2100被設(shè)定為2����,確認結(jié)果2200被設(shè)定 為0����,數(shù)字簽名長度2300是數(shù)位簽名2400的長度,數(shù)字簽名2400是基于第二無線裝置200的私 鑰被加密的數(shù)字簽名��。在步驟S810�,第一無線裝置100接收同意密鑰交換幀���,并根據(jù)第二無線裝置200的公鑰檢 査同意密鑰交換幀����。在本實施方式中�,第一無線裝置100根據(jù)第二無線裝置200的公鑰檢査同 意密鑰交換幀的數(shù)字簽名2400。參閱圖9�,為圖8中節(jié)點A之后的流程圖。在步驟S900,與圖7的步驟S704相同���,第一無線裝置100產(chǎn)生新密鑰����。在本實施方式中��, 新密鑰為WEP密鑰��,第一無線裝置100根據(jù)IEEE 802. ll協(xié)議產(chǎn)生WEP密鑰�。在其它實施方式中,新密鑰也可為WPA-PSK或WPA2-PSK��,第一無線裝置100也可根據(jù)IEEE 802. 11i協(xié)議產(chǎn)生WPA-PSK或WPA2-PSK�����。在步驟S902�,與圖7的步驟S706相同,具體而言���,第一無線裝置100根據(jù)新密鑰����、第二無 線裝置200的公鑰及第一無線裝置100的私鑰傳送新密鑰發(fā)送幀。在本實施方式中��,新密鑰發(fā) 送幀為攜帶信息元內(nèi)容3000的管理幀1000����。在本實施例中,如圖5所示�����,信標(biāo)類型2100被設(shè) 定為3�����,密鑰長度3200是安全類型3300與加密密鑰3400的長度�����,安全類型3300被設(shè)定為0�,加 密密鑰3400是基于第二無線裝置200的公鑰被加密的新密鑰��。數(shù)字簽名長度3500是數(shù)位簽名 3600的長度�,數(shù)字簽名3600是基于第一無線裝置100的私鑰被加密的數(shù)字簽名。在步驟S904����,與圖7的步驟S708相同����,具體而言��,第二無線裝置200接收新密鑰發(fā)送幀�����, 并根據(jù)第一無線裝置100的公鑰及第二無線裝置200的私鑰解讀新密鑰發(fā)送幀而獲取新密鑰��。在步驟S906����,與圖7的步驟S710相同,具體而言����,第二無線裝置200根據(jù)第二無線裝置 200的私鑰傳送新密鑰收到幀。在本實施方式中����,新密鑰收到幀為攜帶信息元內(nèi)容2000的管 理幀IOOO。在本實施例中����,如圖4所示�,信標(biāo)類型2100被設(shè)定為4��,確認結(jié)果2200被設(shè)定為0 �,數(shù)字簽名長度2300是數(shù)位簽名2400的長度,數(shù)字簽名2400是基于第二無線裝置200的私鑰 被加密的數(shù)字簽名�����。在步驟S908�,第一無線裝置100接收新密鑰收到幀,并根據(jù)第二無線裝置200的公鑰檢査 新密鑰收到幀�。在本實施方式中,第一無線裝置100根據(jù)第二無線裝置200的公鑰檢査數(shù)字簽名2400��。在步驟S910���,與圖7的步驟S712相同���,第一無線裝置100與第二無線裝置200通過新密鑰 進行數(shù)據(jù)傳輸。在步驟S912���,與圖7的步驟S714相同���,第一無線裝置100判斷通信是否中斷。 在其它實施方式中���,也可由第二無線裝置200判斷通信是否中斷����。如果通信未中斷�,則在步驟S914,與圖7的步驟S716相同��,第一無線裝置100判斷是否需 要交換密鑰���。在本實施方式中����,第一無線裝置100根據(jù)一定的交換頻率來判斷需要交換密鑰 �����。舉例而言����,當(dāng)交換頻率為每5分鐘1次����,則每經(jīng)過5分鐘交換判斷模塊124就判斷需要交換密 鑰�,5分鐘未到則判斷不需要交換密鑰。在其它實施方式中����,交換判斷模塊124也可根據(jù)用戶的指令來判斷需要交換密鑰。如果需要交換密鑰����,則回到圖8中的步驟S804,第一無線裝置100繼續(xù)傳送一請求密鑰交 換幀至第二無線裝置200����。如果不需要交換密鑰,則回到步驟S910����,第一無線裝置100與第二無線裝置200繼續(xù)進行 數(shù)據(jù)傳輸,直到通信中斷���。在本發(fā)明實施方式中�,第一無線裝置100與第二無線裝置200通過四次握手(4-way Handshake)的流程來交換密鑰,四次握手的流程包括通過收發(fā)請求密鑰交換幀�、同意密鑰 交換幀、新密鑰發(fā)送幀及新密鑰收到幀來交換密鑰����。且����,新密鑰通過公鑰私鑰方式來交換, 即第一無線裝置100根據(jù)第二無線裝置200的公鑰對新密鑰進行加密�,第二無線裝置200根據(jù) 第二無線裝置200的私鑰對被加密的新密鑰進行解密。故����,第一無線裝置100與第二無線裝置 200自動且安全的交換密鑰,進而建立較安全的連線�����。另�,第一無線裝置100與第二無線裝置200之間傳送的請求密鑰交換幀、同意密鑰交換幀 ��、新密鑰發(fā)送幀及新密鑰收到幀都被增加數(shù)字簽名�����,從而保證整個網(wǎng)絡(luò)建立流程的安全可靠此外,第一無線裝置100與第二無線裝置200按照一定的交換頻率交換密鑰����,進一步提高 了第一無線裝置100與第二無線裝置200之間通信的安全性。
權(quán)利要求
1. 一種無線裝置���,用于與至少另一無線裝置自動交換密鑰����,其特征在于�����,所述無線裝置包括密鑰請求模塊�,用于通過傳送請求密鑰交換幀以請求交換密鑰;密鑰產(chǎn)生模塊����,用于當(dāng)請求交換密鑰成功時產(chǎn)生新密鑰;及密鑰傳遞模塊���,用于根據(jù)另一無線裝置的公鑰加密所述新密鑰���,并通過傳送新密鑰發(fā)送幀以傳遞被加密的新密鑰���。
2.如權(quán)利要求l所述的無線裝置,其特征在于����,所述密鑰請求模塊用 于根據(jù)所述無線裝置的私鑰傳送所述請求密鑰交換幀至另一無線裝置����;所述密鑰傳遞模塊用 于根據(jù)另一無線裝置的公鑰及所述無線裝置的私鑰傳送所述新密鑰發(fā)送幀至另一無線裝置。
3.如權(quán)利要求2所述的無線裝置��,其特征在于�,所述請求密鑰交換幀 包括信標(biāo)類型、確認結(jié)果���、數(shù)字簽名長度及數(shù)字簽名����;所述信標(biāo)類型指明所述請求密鑰交換 幀的類型����;所述數(shù)字簽名長度指明所述數(shù)字簽名的長度�����;所述數(shù)字簽名是基于所述無線裝置 的私鑰加密的數(shù)字簽名�。
4.如權(quán)利要求2所述的無線裝置���,其特征在于���,所述新密鑰發(fā)送幀包 括信標(biāo)類型、密鑰長度���、安全類型���、加密密鑰、數(shù)字簽名長度及數(shù)字簽名���;所述信標(biāo)類型指 明所述新密鑰發(fā)送幀的類型�����;所述密鑰長度指明所述安全類型與所述加密密鑰的長度���;所述 安全類型指明所述新密鑰的類型����;所述加密密鑰是基于另一無線裝置的公鑰加密的新密鑰��; 所述數(shù)字簽名長度指明所述數(shù)字簽名的長度�;所述數(shù)字簽名是基于所述無線裝置的私鑰加密 的數(shù)字簽名。
5.如權(quán)利要求2所述的無線裝置����,其特征在于,所述密鑰請求模塊還 用于接收來自于另一無線裝置的請求密鑰交換幀����,并根據(jù)另一無線裝置的公鑰檢査所接收的 請求密鑰交換幀�����;所述密鑰傳遞模塊還用于接收來自于另一無線裝置的新密鑰發(fā)送幀��,并根 據(jù)所述無線裝置的私鑰及另一無線裝置的公鑰解讀所接收的新密鑰發(fā)送幀以獲取新密鑰���。
6.如權(quán)利要求l所述的無線裝置��,其特征在于�����,所述密鑰請求模塊還用于通過傳送同意密鑰交換幀以同意交換密鑰��;所述密鑰傳遞模塊還用于通過傳送新密鑰收 到幀以告知新密鑰已收到�。
7.如權(quán)利要求6所述的無線裝置,其特征在于�����,所述同意密鑰交換幀 包括信標(biāo)類型��、確認結(jié)果�、數(shù)字簽名長度及數(shù)字簽名;所述信標(biāo)類型指明所述同意密鑰交換 幀的類型�;所述確認結(jié)果表明接受交換密鑰的請求;所述數(shù)字簽名長度指明所述數(shù)字簽名的 長度���;所述數(shù)字簽名是基于所述無線裝置的私鑰加密的數(shù)字簽名���。
8.如權(quán)利要求6所述的無線裝置,其特征在于�����,所述新密鑰收到幀包 括信標(biāo)類型、確認結(jié)果����、數(shù)字簽名長度及數(shù)字簽名;所述信標(biāo)類型指明所述新密鑰收到幀的 類型���;所述確認結(jié)果表明新密鑰已收到�����;所述數(shù)字簽名長度指明所述數(shù)字簽名的長度��;所述 數(shù)字簽名是基于所述無線裝置的私鑰加密的數(shù)字簽名��。
9.如權(quán)利要求6所述的無線裝置����,其特征在于���,所述密鑰請求模塊還 用于接收來自于另一無線裝置的同意密鑰交換幀,并根據(jù)另一無線裝置的公鑰檢査所接收的 同意密鑰交換幀���;所述密鑰傳遞模塊還用于接收來自于另一無線裝置的新密鑰收到幀���,并根 據(jù)另一無線裝置的公鑰檢査所接收的新密鑰收到幀�。
10.如權(quán)利要求l所述的無線裝置����,其特征在于,更包括 設(shè)定模塊�,用于設(shè)定另一無線裝置的媒體存取控制地址及憑證文件,所述憑證文件包 括另一無線裝置的公鑰���;及交換判斷模塊���,用于判斷是否需要交換密鑰。
11.一種密鑰交換方法����,用于多個無線裝置之間交換密鑰,其特征在 于�����,所述密鑰交換方法包括以下步驟通過第一無線裝置傳送請求密鑰交換幀至第二無線裝置以請求交換密鑰��;通過所述第二無線裝置傳送同意密鑰交換幀至所述第一無線裝置以同意交換密鑰;通過所述第一無線裝置產(chǎn)生新密鑰����;通過所述第一無線裝置根據(jù)所述新密鑰及所述第二無線裝置的公鑰傳送新密鑰發(fā)送幀 至所述第二無線裝置以傳遞新密鑰;通過所述第二無線裝置根據(jù)所述第二無線裝置的私鑰解讀所述新密鑰發(fā)送幀而獲取所 述新密鑰�;及通過所述第二無線裝置傳送新密鑰收到幀至所述第一無線裝置以告知新密鑰已收到。
12.如權(quán)利要求ll所述的密鑰交換方法���,其特征在于��,更包括以下步驟所述第一無線裝置與所述第二無線裝置通過所述新密鑰進行數(shù)據(jù)傳輸���; 判斷是否需要交換密鑰;及如果需要交換密鑰�,則通過所述第一無線裝置繼續(xù)傳送請求密鑰交換幀至所述第二無 線裝置。
13.如權(quán)利要求ll所述的密鑰交換方法���,其特征在于���,更包括以下步驟通過所述第一無線裝置與所述第二無線裝置分別設(shè)定對方的媒體存取控制地址;及 通過所述第一無線裝置與所述第二無線裝置分別設(shè)定對方的憑證文件����,其中所述第一無線裝置的憑證文件包括所述第一無線裝置的公鑰����,所述第二無線裝置的憑證文件包括所述第二無線裝置的公鑰�。
14.如權(quán)利要求ll所述的密鑰交換方法��,其特征在于�,通過所述第一無線裝置傳送請求密鑰交換幀至所述第二無線裝置包括以下步驟通過所述第一無線裝置根據(jù)所述第一無線裝置的私鑰傳送所述請求密鑰交換幀至所述第二無線裝置;及通過所述第二無線裝置接收所述請求密鑰交換幀���,并根據(jù)所述第一無線裝置的公鑰檢 査所述請求密鑰交換幀����。
15.如權(quán)利要求ll所述的密鑰交換方法�,其特征在于,通過所述第二 無線裝置傳送同意密鑰交換幀至所述第一無線裝置包括以下步驟通過所述第二無線裝置根據(jù)所述第二無線裝置的私鑰傳送所述同意密鑰交換幀至所述 第一無線裝置�����;及通過所述第一無線裝置接收所述同意密鑰交換幀�����,并根據(jù)所述第二無線裝置的公鑰檢 査所述同意密鑰交換幀��。
16.如權(quán)利要求ll所述的密鑰交換方法,其特征在于���,通過所述第一 無線裝置根據(jù)所述新密鑰及所述第二無線裝置的公鑰傳送新密鑰發(fā)送幀至所述第二無線裝置 包括以下步驟通過所述第一無線裝置根據(jù)所述新密鑰���、所述第二無線裝置的公鑰及所述第一無線裝 置的私鑰傳送所述新密鑰發(fā)送幀至所述第二無線裝置。
17.如權(quán)利要求16所述的密鑰交換方法����,其特征在于,所述第二無線 裝置根據(jù)所述第二無線裝置的私鑰解讀所述新密鑰發(fā)送幀而獲取所述新密鑰包括以下步驟 通過所述第二無線裝置接收所述新密鑰發(fā)送幀�����,并根據(jù)所述第一無線裝置的公鑰及所述第二無線裝置的私鑰解讀所述新密鑰發(fā)送幀而獲取所述新密鑰�����。
18.如權(quán)利要求ll所述的密鑰交換方法�����,其特征在于���,通過所述第二 無線裝置傳送新密鑰收到幀至所述第一無線裝置包括以下步驟通過所述第二無線裝置根據(jù)所述第二無線裝置的私鑰傳送所述新密鑰收到幀至所述第 一無線裝置����;及通過所述第一無線裝置接收所述新密鑰收到幀���,并根據(jù)所述第二無線裝置的公鑰檢査 所述新密鑰收到幀����。
全文摘要
一種無線裝置�����,用于與至少另一無線裝置自動交換密鑰�����,其包括密鑰請求模塊�、密鑰產(chǎn)生模塊及密鑰傳遞模塊。密鑰請求模塊用于通過傳送請求密鑰交換幀以請求交換密鑰��。密鑰產(chǎn)生模塊用于當(dāng)請求交換密鑰成功時產(chǎn)生新密鑰�����。密鑰傳遞模塊用于根據(jù)另一無線裝置的公鑰加密新密鑰�����,并通過傳送新密鑰發(fā)送幀以傳遞被加密的新密鑰。本發(fā)明還提供一種密鑰交換方法�����。所述無線裝置通過密鑰請求模塊�、密鑰產(chǎn)生模塊及密鑰傳遞模塊利用該密鑰交換方法可自動且安全地與另一無線裝置交換密鑰。
文檔編號H04L12/28GK101262343SQ20071020024
公開日2008年9月10日 申請日期2007年3月5日 優(yōu)先權(quán)日2007年3月5日
發(fā)明者丁國治, 呂啟明 申請人:鴻富錦精密工業(yè)(深圳)有限公司;鴻海精密工業(yè)股份有限公司