專利名稱:一種實現(xiàn)無線局域網(wǎng)安全措施的計算機設備和方法
技術(shù)領域:
本發(fā)明涉及網(wǎng)絡鑒權(quán)技術(shù)�,特別是指一種實現(xiàn)無線局域網(wǎng)安全措施的計算機設備和方法。
背景技術(shù):
無線局域網(wǎng)鑒權(quán)與保密基礎結(jié)構(gòu)(WAPI���,WLAN Authentication and PrivacyInfrastructure)是中國無線局域網(wǎng)國家標準GB15629. 11中提出的應用無線通信 技術(shù)(WLAN����,Wireless Local Area Network)安全解決方案�。WAPI采用國家密碼管理委員 會辦公室批準的公開密鑰體制的橢圓曲線密碼算法(ECC)和秘密密鑰體制的分組密碼算 法(SMS4),實現(xiàn)了設備的身份鑒權(quán)�、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加 密保護��。在現(xiàn)有的實現(xiàn)方案中�,基于公鑰密碼體系的證書機制,如果進行實現(xiàn)移動終端 (MT)與無線接入點(AP)間雙向鑒權(quán)����;通常是由無線網(wǎng)卡所集成的WAPI功能實現(xiàn),S卩�,硬件 廠商自己或者與其他廠商合作在無線網(wǎng)卡中實現(xiàn)了 WAPI�。發(fā)明人在實現(xiàn)本發(fā)明的過程中�,發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題WAPI不能與 硬件相分離,限制了專注于WAPI技術(shù)的開發(fā)人員對WAPI技術(shù)的發(fā)展����,而且,由于WAPI是集 成在硬件網(wǎng)卡上的���,導致在對WAPI功能進行后續(xù)升級的過程中需要得到其他企業(yè)的許可�。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種實現(xiàn)無線局域網(wǎng)安全措施的計算機設備和方法�,用于在 實現(xiàn)WAPI技術(shù)過程中,擺脫對國外企業(yè)的依賴��,實現(xiàn)對WAPI技術(shù)的升級�����。為了解決上述問題�����,一方面����,本發(fā)明提供了一種計算機設備,包括有網(wǎng)卡設備���,還 包括與所述網(wǎng)卡設備相獨立的WAPI設備���,所述WAPI設備中包括無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu) 單元,用于在與一無線訪問接入點AP建立鏈路時發(fā)送用戶環(huán)境配置文件和WAPI信息元素����; 并當收到來自所述AP的驗證信息時,與所述AP成功建立鏈路�;其中,所述驗證信息是關(guān)于 所述WAPI信息元素與所述AP匹配成功的信息�;無線局域網(wǎng)保密基礎結(jié)構(gòu)單元,用于在所述 無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元與所述AP建立鏈路之后����,使用加密解密密鑰對網(wǎng)絡數(shù)據(jù)進 行加解密;網(wǎng)卡設備����,包括有接收單元,判斷單元��,轉(zhuǎn)發(fā)單元;其中����,所述接收單元用于接收 所述用戶環(huán)境配置文件和來自所述AP的WAPI配置信息;所述判斷單元用于將所述用戶環(huán) 境配置文件與所述WAPI配置信息進行比對���,當所述用戶環(huán)境配置文件中的內(nèi)容包括在所 述WAPI配置信息中時�����,通知所述WAPI設備發(fā)送所述WAPI信息元素�����;所述轉(zhuǎn)發(fā)單元用于將 所述WAPI信息元素轉(zhuǎn)發(fā)給所述AP����,并將來自所述AP的所述驗證信息通知所述WAPI設備���。優(yōu)選的,還包括用戶交互單元�����,用于接收用戶的輸入,并顯示相應的反饋提示信 息�;網(wǎng)絡配置用戶界面單元,用于根據(jù)所述用戶的輸入�,通知所述無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu) 單元生成一所述用戶環(huán)境配置文件。優(yōu)選的���,所述無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元還包括密鑰協(xié)商單元����,用于與所述AP之間動態(tài)協(xié)商所述加密解密密鑰�。優(yōu)選的,所述網(wǎng)卡設備還包括第一工作模式轉(zhuǎn)換模塊�,用于在所述網(wǎng)卡設備處于 一正常模式下,通知所述網(wǎng)卡設備對將要發(fā)送的所述網(wǎng)絡數(shù)據(jù)進行加密����,對接收到的所述 網(wǎng)絡數(shù)據(jù)進行解密;當所述用戶環(huán)境配置文件中的內(nèi)容包括在所述WAPI配置信息中時����,設置所述網(wǎng) 卡設備處于安全卸載模式,其中所述安全卸載模式用于接收到來所述WAPI設備發(fā)送的所 述WAPI信息元素�����;在所述網(wǎng)卡設備與所述無線訪問接入點AP建立鏈路連接之后,設置所述網(wǎng)卡設 備處于一通過模式�����,在所述通過模式下���,所述網(wǎng)卡設備不再對網(wǎng)絡數(shù)據(jù)進行加密解密�。優(yōu)選的�����,所述無線局域網(wǎng)保密基礎結(jié)構(gòu)單元還包括第二工作模式轉(zhuǎn)換模塊���,用 于在一數(shù)據(jù)繞路模式下���,設置所述無線局域網(wǎng)保密基礎結(jié)構(gòu)單元處于非工作狀態(tài);在保密 安全模式下�,設置所述無線局域網(wǎng)保密基礎結(jié)構(gòu)單元將接收到的所述網(wǎng)絡數(shù)據(jù)進行加密解
r t [ ο另一方面,本發(fā)明提供了一種實現(xiàn)無線局域網(wǎng)安全措施的方法�����,應用于一計算機 中的網(wǎng)卡設備����,包括接收到來自一 WAPI設備的一用戶環(huán)境配置文件;接收到一個WAPI配 置信息���;將所述用戶環(huán)境配置文件與所述WAPI配置信息進行比對�,當所述用戶環(huán)境配置文 件中的內(nèi)容包括在所述WAPI配置信息中時��,通知所述WAPI設備發(fā)送WAPI信息元素�����;將接 收到的WAPI信息元素轉(zhuǎn)發(fā)給一無線訪問接入點AP���,接收到來自所述AP的驗證信息并通知 所述WAPI設備����,從而保證所述WAPI設備與所述AP成功建立鏈路��,使得所述WAPI設備能夠 將網(wǎng)絡數(shù)據(jù)加密后通過所述網(wǎng)卡設備發(fā)送至所述AP���,其中����,所述驗證信息是關(guān)于所述WAPI 信息元素與AP匹配成功的信息。優(yōu)選的����,所述接收到來自AP的驗證信息并通知所述WAPI設備步驟之后,還包括 對來自所述AP并通過所述網(wǎng)卡設備的加密后的網(wǎng)絡數(shù)據(jù)進行解密����。優(yōu)選的,所述接收到來自所述AP的驗證信息并通知所述WAPI設備���,之后還包括 與所述AP之間動態(tài)協(xié)商加密解密密鑰���。優(yōu)選的,與所述AP之間動態(tài)協(xié)商加密解密密鑰�����,之前還包括所述WAPI設備處于 數(shù)據(jù)繞路模式���,不對經(jīng)過自身的所述網(wǎng)絡數(shù)據(jù)進行加密解密����。優(yōu)選的��,與所述AP之間動態(tài)協(xié)商加密解密密鑰,之后還包括所述WAPI設備處于 保密安全模式�����,對經(jīng)過自身的所述網(wǎng)絡數(shù)據(jù)進行加密解密���。優(yōu)選的,所述用戶環(huán)境配置文件至少包括局域網(wǎng)名稱SSID和與所述SSID相對應 的安全模式���。本發(fā)明具有以下有益效果應用本實施例的技術(shù)��,將計算機與網(wǎng)絡之間的數(shù)據(jù)的 加密解密過程���,與無線網(wǎng)卡進行了分層設計,且無線網(wǎng)卡不需要重新設計和改動�,使得在實 現(xiàn)WAPI的過程中,不再依賴無線網(wǎng)卡���,降低了成本�����,減少了對國外廠商的依賴����。
圖1為本發(fā)明實施例計算機設備結(jié)構(gòu)示意圖;圖2為本發(fā)明實施例的設備在Vista操作系統(tǒng)中的工作原理示意圖����;圖3為本發(fā)明實施例方法流程示意圖一;
圖4為本發(fā)明實施例方法流程示意圖二�。
具體實施例方式為使本發(fā)明的目的、技術(shù)特征和實施效果更加清楚�����,下面將結(jié)合附圖及具體實施例對本發(fā)明的技術(shù)方案進行詳細描述�。本發(fā)明提供的實施例中,采用分層結(jié)構(gòu)實現(xiàn)WAPI�����,即��,一網(wǎng)卡設備103 (IHV�, Independent Hardware Vendor)實現(xiàn)無線網(wǎng)卡;一無線局域網(wǎng)保密基礎結(jié)構(gòu)單元 102 ((WPIjWLAN Privacy Infrastructure)實現(xiàn)獨立的WAPI軟件包����;通過少量附加接口為 計算機提供完整的WAPI功能����。本實施例提供了一種計算機設備���,如圖1所示�,包括有網(wǎng)卡設備103��,還包括與所 述網(wǎng)卡設備103相獨立的WAPI設備100����,所述WAPI設備100中包括無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元101�����,用于在與一無線訪問接入點AP建立鏈路時發(fā) 送用戶環(huán)境配置文件(Profile)和WAPI信息元素���;并當收到來自所述AP的驗證信息時����,與 所述AP成功建立鏈路�;其中,所述驗證信息是關(guān)于所述WAPI信息元素與所述AP匹配成功 的信息�����;無線局域網(wǎng)保密基礎結(jié)構(gòu)單元102,用于在所述無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元 101與所述AP建立鏈路之后���,使用加密解密密鑰對網(wǎng)絡數(shù)據(jù)進行加解密��;網(wǎng)卡設備103����,包括有接收單元1031����,判斷單元1032,轉(zhuǎn)發(fā)單元1033 �����;其中�,所述接收單元1031用于接收所述用戶環(huán)境配置文件和來自所述AP的WAPI配置 fn息;所述判斷單元1032用于將所述用戶環(huán)境配置文件與所述WAPI配置信息進行比 對�����,當所述用戶環(huán)境配置文件中的內(nèi)容包括在所述WAPI配置信息中時,通知所述WAPI設備 100發(fā)送所述WAPI信息元素���;所述轉(zhuǎn)發(fā)單元1033用于將所述WAPI信息元素轉(zhuǎn)發(fā)給所述AP���,并將來自所述AP的 所述驗證信息通知所述WAPI設備100。應用本實施例的技術(shù)���,將計算機設備與網(wǎng)絡之間所傳輸?shù)木W(wǎng)絡數(shù)據(jù)進行加密解密 的功能�,與網(wǎng)卡設備103進行了分層設計��,且無線網(wǎng)卡不需要重新設計和改動����,使得在實現(xiàn) WAPI的過程中��,不再需要與生產(chǎn)網(wǎng)卡設備103的廠商進行協(xié)商��,減少了對國外廠商的依賴�。實施例中,用戶環(huán)境配置文件至少包括局域網(wǎng)名稱(SSID����,Service Set Identifier,也可以寫為Extended SSID)和與所述SSID相對應的安全模式,以及TOP Key���、 使用頻段等信息����。當網(wǎng)卡設備103判斷所述SSID相對應的安全模式屬于WAPI的一種安全 方式之后�,自身進入一安全卸載模式,等待接收來自WAPI設備100中的一無線局域網(wǎng)鑒權(quán) 基礎結(jié)構(gòu)單元101的WAPI信息元素���,網(wǎng)卡設備103去尋找這樣一個無線網(wǎng)絡并且進行鏈路 連接����,將所述WAPI信息元素發(fā)給無線訪問接入點(AP���,Access Point)��;用于接收到來自所 述AP的驗證信息��,所述驗證信息是關(guān)于所述WAPI信息元素與AP匹配成功的信息���。無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元101中還包括密鑰協(xié)商單元,用于與AP之間動態(tài) 協(xié)商加密解密密鑰�����。為完善設備的功能,如圖2所示���,以通常使用的Vista操作系統(tǒng)為例�����,計算機設備 中還可以包括
本地自動配置單元(ACM����,Auto Configuration Module) 105�,可以看作一個協(xié)議 棧,通常在Windows Vi sta中使用�����,用于在數(shù)據(jù)����、請求��、指令的傳輸過程中���,封裝這些數(shù)據(jù)���、請 求�����、指令使之符合當前計算機系統(tǒng)的規(guī)范���。至少將來自無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元101 的所述用戶環(huán)境配置文件封裝為當前的本地計算機系統(tǒng)所支持的格式,直接或者通過一無 線中介驅(qū)動單元108發(fā)送給網(wǎng)卡設備103�。需要說明的是,由于本地自動配置單元105通常 是在Windows Vista中使用����,而在包括Windows Vista在內(nèi)的操作系統(tǒng)中,還應當具有EAP Framework (802. IX Module)����、Native 802. IlMedia Specific Module(MSM)等協(xié)議所對應 的功能實現(xiàn)單元。無線中介驅(qū)動單元108�,用于將所述用戶環(huán)境配置文件和/或所述WAPI信息元素 發(fā)送給所述網(wǎng)卡設備103。無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元101將所述WAPI信息元素發(fā)送給 一無線中介驅(qū)動單元108�,所述無線中介驅(qū)動單元108將所述WAPI信息元素發(fā)送給所述無 線局域網(wǎng)保密基礎結(jié)構(gòu)單元102,由所述無線局域網(wǎng)保密基礎結(jié)構(gòu)單元102轉(zhuǎn)發(fā)給所述網(wǎng) 卡設備103��。用戶交互單元106,用于實現(xiàn)與用戶之間的交互功能�����,接收用戶的輸入��,并顯示相 應的反饋提示信息���。網(wǎng)絡配置用戶界面單元107��,由當前計算機所使用的操作系統(tǒng)提供�,提供了用戶開 發(fā)用戶交互單元106的界面以及各種功能的應用接口函數(shù)(API)���,并對使用者在用戶交互 單元106中的操作所形成的數(shù)據(jù)進行封裝處理���。無線局域網(wǎng)保密基礎結(jié)構(gòu)單元102還包括第二工作模式轉(zhuǎn)換模塊,用于在非安全模式下���,處于非工作狀態(tài);在安全模式下�, 設置所述無線局域網(wǎng)保密基礎結(jié)構(gòu)單元102將接收到的網(wǎng)絡數(shù)據(jù)進行加解密。網(wǎng)卡設備103還包括第一工作模式轉(zhuǎn)換模塊���,用于在正常模式下��,通知所述網(wǎng)卡設備103對將要發(fā)送 的網(wǎng)絡數(shù)據(jù)進行加密����,對接收到的網(wǎng)絡數(shù)據(jù)進行解密;在收到來自無線局域網(wǎng)保密基礎結(jié)構(gòu)單元102的用戶環(huán)境配置文件后��,通知所述 網(wǎng)卡設備103處于安全卸載模式��;在網(wǎng)卡設備103與AP建立鏈路連接之后���,通知所述網(wǎng)卡設備103處于通過模式 (pass-thru mode)�,在所述通過模式下����,所述網(wǎng)卡設備103不再對網(wǎng)絡數(shù)據(jù)進行加密解密。應用以上實施例所提供的無線局域網(wǎng)安全措施實現(xiàn)設備����,以通常使用的Vista操 作系統(tǒng)為例,仍如圖2所示����,各個單元在一個完整的工作流程中遵循如下流程在用戶交互單元106中�����,按照預定的步驟選擇了使用無線局域網(wǎng)絡���,并確定此時 生成了網(wǎng)絡鏈接請求;該網(wǎng)絡鏈接請求在網(wǎng)絡配置用戶界面單元107中進行封裝處理后被 發(fā)送給一本地自動配置單元105 ���;本地自動配置單元105通知無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元101開始準備收集本地 計算機的各種配置信息�����;無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元101生成一用戶環(huán)境配置文件�����,發(fā)送給本地自動配 置單元105����,由本地自動配置單元105處理后發(fā)送給一無線中介驅(qū)動單元108 ��;無線中介驅(qū)動單元108進行處理后發(fā)送給一無線局域網(wǎng)保密基礎結(jié)構(gòu)單元102 ���; 由于此時的無線局域網(wǎng)保密基礎結(jié)構(gòu)單元102處于一數(shù)據(jù)繞路模式(Data Bypass Mode),因此直接發(fā)送給了一網(wǎng)卡設備103 �����;網(wǎng)卡設備103接到所述用戶環(huán)境配置文件后����,獲知當前進行的無線局域網(wǎng)鏈接是 一種WAPI方式的鏈接�,則將自身置于一安全卸載模式(Security OffIoadMode),通知無線 局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元101準備建立與一 AP之間的鏈路���;無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元101得到通知之后���,生成一 WAPI信息元素,發(fā)送到 無線中介驅(qū)動單元108�,由無線中介驅(qū)動單元108通過無線局域網(wǎng)保密基礎結(jié)構(gòu)單元102轉(zhuǎn) 發(fā)給網(wǎng)卡設備103。網(wǎng)卡設備103根據(jù)所述WAPI信息元素與所述無線訪問接入點之間建立鏈路����,并處 于通過模式(Pass-thu Mode),在Pass-thu Mode下不再對傳輸?shù)木W(wǎng)絡數(shù)據(jù)進行加解密�����;無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元101完成所述網(wǎng)卡設備的STA端與AP的雙向認證�����, 并動態(tài)協(xié)商加密解密密鑰;無線局域網(wǎng)保密基礎結(jié)構(gòu)單元102在無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元101與AP建 立鏈路之后��,在處于工作狀態(tài)的一安全模式下�����,使用所述動態(tài)協(xié)商的加密解密密鑰對網(wǎng)絡 數(shù)據(jù)進行加解密�����。本發(fā)明提供的實施例中����,提供了一種無線局域網(wǎng)安全措施實現(xiàn)方法,應用于一計 算機中的網(wǎng)卡設備103����,如圖3所示,包括步驟201.接收到來自一 WAPI設備100的一用戶環(huán)境配置文件�;步驟202.接收到一個WAPI配置信息;步驟203.將所述用戶環(huán)境配置文件與所述WAPI配置信息進行比對���,步驟204.當所述用戶環(huán)境配置文件中的內(nèi)容包括在所述WAPI配置信息中時��,通 知所述WAPI設備100發(fā)送WAPI信息元素��;步驟205.將接收到的WAPI信息元素轉(zhuǎn)發(fā)給一無線訪問接入點AP��,步驟206.接收到來自所述AP的驗證信息并通知所述WAPI設備100�,從而保證所 述WAPI設備100與所述AP成功建立鏈路��,使得所述WAPI設備100能夠?qū)⒕W(wǎng)絡數(shù)據(jù)加密后 通過所述網(wǎng)卡設備103發(fā)送至所述AP�,其中,所述驗證信息是關(guān)于所述WAPI信息元素與AP 匹配成功的信息����。應用本實施例的技術(shù),將計算機設備與網(wǎng)絡之間所傳輸?shù)木W(wǎng)絡數(shù)據(jù)進行加密解密 的功能�����,與網(wǎng)卡設備103進行了分層設計���,且無線網(wǎng)卡不需要重新設計和改動�����,使得在實現(xiàn) WAPI的過程中�,不再需要與生產(chǎn)網(wǎng)卡設備103的廠商進行協(xié)商,減少了對國外廠商的依賴���。以上實施例以計算機中的網(wǎng)卡設備103為執(zhí)行主體�,揭示了對應的技術(shù)方案�����,以 下將所述WAPI設備100拆分成無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元101和無線局域網(wǎng)保密基礎 結(jié)構(gòu)單元102�����,描述了在一個完整的建立鏈路并對網(wǎng)絡數(shù)據(jù)進行加密解密的過程中����,如圖4 所示,各個單元完成自身功能的流程����,包括步驟301.用戶在計算機上通過操作確認當前想要與一無線局域網(wǎng)建立網(wǎng)絡鏈接 之后;無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元101生成一用戶環(huán)境配置文件(Profile)���,發(fā)送該用戶 環(huán)境配置文件到一網(wǎng)卡設備103 �;所述用戶環(huán)境配置文件設置網(wǎng)卡設備103處于安全卸載 模式。其中�,網(wǎng)卡設備103包括對應的接收單元1031,判斷單元1032����,轉(zhuǎn)發(fā)單元1033完成 各自的功能,此處不再贅述����。其中���,用戶的操作和確認行為在不同的計算機環(huán)境下��,有不同的實現(xiàn)方式�����,例如在Windows XP和Windows Vista中���,可以通過點擊無線網(wǎng)絡鏈接的圖形化界面并按照預定的 步驟進行。步驟302.將一 WAPI信息元素(IE�,Information Element)發(fā)送給所述網(wǎng)卡設備 103 ;步驟303.網(wǎng)卡設備103使用所述WAPI信息元素實現(xiàn)與AP之間的鏈路認證��,并進 入通過模式;步驟304.在所述通過模式下��,所述無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元101直接與AP 完成WAPI認證與密鑰協(xié)商���;步驟305.無線局域網(wǎng)保密基礎結(jié)構(gòu)單元102進入一安全模式��,對與AP之間傳輸 的網(wǎng)絡數(shù)據(jù)進行加解密���。應用本實施例的技術(shù),將計算機與網(wǎng)絡之間的數(shù)據(jù)的加密解密過程����,與無線網(wǎng)卡 進行了分層設計,且無線網(wǎng)卡不需要重新設計和改動�����,使得在實現(xiàn)WAPI的過程中�����,不再依 賴無線網(wǎng)卡�����,降低了成本,減少了對國外廠商的依賴����。發(fā)送該用戶環(huán)境配置文件到一網(wǎng)卡設備103,進一步包括所述網(wǎng)卡設備103使用所述WAPI信息元素實現(xiàn)與AP之間的鏈路認證��,之前還包 括無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元101將所述WAPI信息元素發(fā)送給一無線中介驅(qū)動 單元108��,所述無線中介驅(qū)動單元108將所述WAPI信息元素發(fā)送給所述無線局域網(wǎng)保密基 礎結(jié)構(gòu)單元102����,由所述無線局域網(wǎng)保密基礎結(jié)構(gòu)單元102轉(zhuǎn)發(fā)給所述網(wǎng)卡設備103。網(wǎng)卡設備103進入通過模式�,進一步包括所述網(wǎng)卡設備103不對通過的所述網(wǎng)絡數(shù)據(jù)進行檢驗����,并將所述網(wǎng)絡數(shù)據(jù)發(fā)送給 AP0對與AP之間傳輸?shù)木W(wǎng)絡數(shù)據(jù)進行加解密,進一步包括所述網(wǎng)絡數(shù)據(jù)由無線局域網(wǎng)保密基礎結(jié)構(gòu)單元102加密之后��,直接發(fā)送到網(wǎng)卡設 備103���,由所述網(wǎng)卡設備103直接通過鏈路連接發(fā)送到AP����。其中,Profile包括了需要連接無線網(wǎng)絡的服務區(qū)別號(ESSID�,ExtendedService Set Identifier)和TOP Key、使用頻段等信息���,當網(wǎng)卡設備103加載一個Profile�����,控制程 序就會讓網(wǎng)卡設備103去尋找這樣一個無線網(wǎng)絡并且進行鏈路連接���。應用本實施例的技術(shù),將計算機與網(wǎng)絡之間的數(shù)據(jù)的加密解密過程��,與無線網(wǎng)卡 進行了分層設計�����,且無線網(wǎng)卡不需要重新設計和改動��,使得在實現(xiàn)WAPI的過程中�,不再依 賴無線網(wǎng)卡,降低了成本���,減少了對國外廠商的依賴���。本發(fā)明的實施例具有以下有益效果�,WAPI的實現(xiàn)與無線網(wǎng)卡內(nèi)部的實現(xiàn)技術(shù)無 關(guān)�;IHV無須因為WAPI改動自身的軟、硬件�����,只需支持少量附加接口即可實現(xiàn)對WAPI的支 持�。IHV自由升級其軟、硬件�,ISV自由升級其WAPI軟件;ISV與IHV無須向?qū)Ψ教峁╊~外 資源����;且可以適用于所有的無線網(wǎng)卡。將計算機與網(wǎng)絡之間的數(shù)據(jù)的加密解密過程��,與無線網(wǎng)卡進行了分層設計�����,且無 線網(wǎng)卡不需要重新設計和改動��,使得在實現(xiàn)WAPI的過程中��,不再依賴無線網(wǎng)卡��,降低了成 本����,減少了對國外廠商的依賴。應當說明的是����,以上實施例僅用以說明本發(fā)明的技術(shù)方案而非限制,所有的參數(shù)取值可以根據(jù)實際情況調(diào)整�����,且在該權(quán)利保護范圍內(nèi)�����。本領域的普通技術(shù)人員應當理解����,可以對本發(fā)明的技術(shù)方案進行修改或者等同替換,而不脫離本發(fā)明技術(shù)方案的精神范圍��,其 均應涵蓋在本發(fā)明的權(quán)利要求范圍當中。
權(quán)利要求
一種計算機設備�,包括有網(wǎng)卡設備,其特征在于�,還包括與所述網(wǎng)卡設備相獨立的WAPI設備,所述WAPI設備中包括無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元�,用于在與一無線訪問接入點AP建立鏈路時發(fā)送用戶環(huán)境配置文件和WAPI信息元素;并當收到來自所述AP的驗證信息時�,與所述AP成功建立鏈路;其中�,所述驗證信息是關(guān)于所述WAPI信息元素與所述AP匹配成功的信息;無線局域網(wǎng)保密基礎結(jié)構(gòu)單元��,用于在所述無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元與所述AP建立鏈路之后��,使用加密解密密鑰對網(wǎng)絡數(shù)據(jù)進行加解密���;網(wǎng)卡設備�,包括有接收單元��,判斷單元��,轉(zhuǎn)發(fā)單元����;其中���,所述接收單元用于接收所述用戶環(huán)境配置文件和來自所述AP的WAPI配置信息���;所述判斷單元用于將所述用戶環(huán)境配置文件與所述WAPI配置信息進行比對����,當所述用戶環(huán)境配置文件中的內(nèi)容包括在所述WAPI配置信息中時���,通知所述WAPI設備發(fā)送所述WAPI信息元素���;所述轉(zhuǎn)發(fā)單元用于將所述WAPI信息元素轉(zhuǎn)發(fā)給所述AP,并將來自所述AP的所述驗證信息通知所述WAPI設備�。
2.根據(jù)權(quán)利要求1所述的設備,其特征在于�����,還包括用戶交互單元��,用于接收用戶的輸入�,并顯示相應的反饋提示信息; 網(wǎng)絡配置用戶界面單元��,用于根據(jù)所述用戶的輸入,通知所述無線局域網(wǎng)鑒權(quán)基礎結(jié) 構(gòu)單元生成一所述用戶環(huán)境配置文件�����。
3.根據(jù)權(quán)利要求1所述的設備��,其特征在于����,所述無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元還包括密鑰協(xié)商單元,用于與所述AP之間動態(tài)協(xié)商所述加密解密密鑰���。
4.根據(jù)權(quán)利要求1所述的設備����,其特征在于��,所述網(wǎng)卡設備還包括第一工作模式轉(zhuǎn)換模塊���,用于在所述網(wǎng)卡設備處于一正常模式下�����,通知所述網(wǎng)卡設備 對將要發(fā)送的所述網(wǎng)絡數(shù)據(jù)進行加密�,對接收到的所述網(wǎng)絡數(shù)據(jù)進行解密;當所述用戶環(huán)境配置文件中的內(nèi)容包括在所述WAPI配置信息中時��,設置所述網(wǎng)卡 設備處于安全卸載模式��,其中所述安全卸載模式用于接收到來所述WAPI設備發(fā)送的所述 WAPI信息元素�����;在所述網(wǎng)卡設備與所述無線訪問接入點AP建立鏈路連接之后�����,設置所述網(wǎng)卡設備處 于一通過模式�,在所述通過模式下�����,所述網(wǎng)卡設備不再對網(wǎng)絡數(shù)據(jù)進行加密解密�����。
5.根據(jù)權(quán)利要求1所述的設備��,其特征在于���,所述無線局域網(wǎng)保密基礎結(jié)構(gòu)單元還包括第二工作模式轉(zhuǎn)換模塊�,用于在一數(shù)據(jù)繞路模式下,設置所述無線局域網(wǎng)保密基礎結(jié) 構(gòu)單元處于非工作狀態(tài)�;在保密安全模式下,設置所述無線局域網(wǎng)保密基礎結(jié)構(gòu)單元將接 收到的所述網(wǎng)絡數(shù)據(jù)進行加密解密����。
6.一種實現(xiàn)無線局域網(wǎng)安全措施的方法,應用于一計算機中的網(wǎng)卡設備��,其特征在于���, 包括接收到來自一 WAPI設備的一用戶環(huán)境配置文件����; 接收到一個WAPI配置信息�����;將所述用戶環(huán)境配置文件與所述WAPI配置信息進行比對�,當所述用戶環(huán)境配置文件中的內(nèi)容包括在所述WAPI配置信息中時,通知所述WAPI設 備發(fā)送WAPI信息元素�;將接收到的WAPI信息元素轉(zhuǎn)發(fā)給一無線訪問接入點AP,接收到來自所述AP的驗證信息并通知所述WAPI設備�����,從而保證所述WAPI設備與所述 AP成功建立鏈路,使得所述WAPI設備能夠?qū)⒕W(wǎng)絡數(shù)據(jù)加密后通過所述網(wǎng)卡設備發(fā)送至所 述AP�,其中,所述驗證信息是關(guān)于所述WAPI信息元素與AP匹配成功的信息�����。
7.根據(jù)權(quán)利要求6所述的方法�,其特征在于��,所述接收到來自AP的驗證信息并通知所 述WAPI設備步驟之后�����,還包括對來自所述AP并通過所述網(wǎng)卡設備的加密后的網(wǎng)絡數(shù)據(jù)進行解密��。
8.根據(jù)權(quán)利要求7所述的方法����,其特征在于,所述接收到來自所述AP的驗證信息并通 知所述WAPI設備���,之后還包括與所述AP之間動態(tài)協(xié)商加密解密密鑰�。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于����,與所述AP之間動態(tài)協(xié)商加密解密密鑰,之 前還包括所述WAPI設備處于數(shù)據(jù)繞路模式��,不對經(jīng)過自身的所述網(wǎng)絡數(shù)據(jù)進行加密解密����。
10.根據(jù)權(quán)利要求8所述的方法,其特征在于���,與所述AP之間動態(tài)協(xié)商加密解密密鑰����, 之后還包括所述WAPI設備處于保密安全模式����,對經(jīng)過自身的所述網(wǎng)絡數(shù)據(jù)進行加密解密。
11.根據(jù)權(quán)利要求6所述的方法��,其特征在于���,所述用戶環(huán)境配置文件至少包括局域網(wǎng)名稱SSID和與所述SSID相對應的安全模式����。
全文摘要
本發(fā)明提供一種實現(xiàn)無線局域網(wǎng)安全措施的計算機設備和方法,計算機設備包括與網(wǎng)卡設備相獨立的一WAPI設備中無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元��,用于在與一無線訪問接入點AP建立鏈路時發(fā)送用戶環(huán)境配置文件和WAPI信息元素���;與AP成功建立鏈路����;無線局域網(wǎng)保密基礎結(jié)構(gòu)單元���,用于在無線局域網(wǎng)鑒權(quán)基礎結(jié)構(gòu)單元與AP建立鏈路之后,使用加密解密密鑰對網(wǎng)絡數(shù)據(jù)進行加解密�����;網(wǎng)卡設備包括����,接收單元用于接收用戶環(huán)境配置文件和來自AP的WAPI配置信息;通知WAPI設備發(fā)送WAPI信息元素�����;轉(zhuǎn)發(fā)單元用于將WAPI信息元素轉(zhuǎn)發(fā)給AP。應用本實施例的技術(shù)�,將計算機對網(wǎng)絡數(shù)據(jù)加密解密的過程,與無線網(wǎng)卡進行了分層設計�,使得不再依賴原有的無線網(wǎng)卡,減少了對國外廠商的依賴�����。
文檔編號H04W88/02GK101808317SQ20091007814
公開日2010年8月18日 申請日期2009年2月18日 優(yōu)先權(quán)日2009年2月18日
發(fā)明者周超 申請人:聯(lián)想(北京)有限公司