应用于无线网络安全的CCMP和WAPI硬件双横设计

admin管理员组

文章数量:1539350

2024年4月7日发(作者：)

设计　【ｌ】国集成电路　

Ｃｈｉｎａ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ　

应用于无线网络安全的　

ＣＣＭ　Ｐ和ＷＡＰＩ硬件双模设计　

赵彦光，梅张雄　

（北京中电华大电子设计有限责任公司，北京，１００１０２）　

摘要：介绍了无线局域网中两种加密标准８０２．１１ｉ和ＷＡＰＩ，对其中的数据加密和数据完整性算法进行　

了详细的分析。８０２．１１ｉ采用ＡＥＳ加密算法实现数据加密和数据完整性校验，ＷＡＰＩ采用ＳＭＳ４加密算法　

实现数据加密和数据完整性校验。结合二者的共同点，对ＡＥＳ和ＳＭＳ４外围电路进行了复用，同时，在实　

现数据加密和数据完整性校验时，分别对ＡＥＳ和ＳＭＳ４进行了分时串行复用。本设计采用了一个ＡＥＳ加　

密核，一个ＳＭＳ４加密核，实现了８Ｏ２．１１　ｉ和ＷＡＰＩ的数据加密和完整性校验，减小了电路规模，同时也降　

低了吞吐率，但该吞吐率完全满足低成本的ＩＥＥＥ　８０２．１ｌａｂｇ应用场景。　

关键词：８０２．１１ｉ；ＷＡＰＩ；ＡＥＳ；ＳＭＳ４；ＩＥＥＥ　８０２．１ｌａｂｇ；数据加密；数据完整性校验　

１　引言　

用了ＳＭＳ４算法翻。两个协议为了成为国际标准，进　

行了长时间的争论，目前ＩＥＥＥ　８０２．１ｌｉ已经成为国　

无线局域网标准ＩＥＥＥ　８０２．１ｌ从１９９９年成为　

际标准，ＷＡＰＩ还在为国际标准化努力。但在国内，　

国际标准后，其安全性引起了安全加密界的关注。由　

这两个标准已经成为事实标准，作为无线局域网芯　

于其中的ＷＥＰ（Ｗｉｒｅｄ　Ｅｑｕｉｖａｌｅｎｔ　Ｐｒｉｖａｃｙ）算法内在　

片供应商，如果所开发的产品只支持其中一种安全　

的缺陷，使得无限局域网安全通信出现了很多致命　

协议，其在市场上的推广势必受到限制。例如，国内　

的漏洞【”。在２００１年底，因特网上已经可以得到相　

手机生产商办理带无线局域网功能的手机入网许可　

应的工具，只用很短的时间就能攻破ＷＥＰ。鉴于　

证，国家强制要求支持ＷＡＰＩ，这个规定限制了很多　

ＷＥＰ的安全缺陷，ＩＥＥＥ标准组织提出了ＩＥＥＥ　

只支持ＩＥＥＥ　８０２．１　ｌｉ协议的手机在国内上市。因此，　

８０２．１ｌｉ安全协议，我们国家也提出了具有自主知识　

无线局域网芯片中同时支持８０２．１１ｉ和ＷＡＰＩ两种　

产权的ＷＡＰＩ安全协议。在ＭＡＣ（Ｍｅｄｉｕｍ　Ａｃｃｅｓｓ　

安全协议已经成为业界芯片开发的必然趋势。　

Ｃｏｎｔｒｏｌ，媒体接入控制）层的数据通信中，ＩＥＥＥ　

ＩＥＥＥ　８０２．１ｌｉ和ＷＡＰＩ涉及到了无限局域网的　

８０２．１ｌｉ的核心算法采用了ＡＥＳ算法［２１，而ＷＡＰＩ　

上层认证、密钥协商以及ＭＡＣ层的数据加密和完　

（ｗｉｒｅｌｅｓｓ　ｌｏｃａｌ　ａｒｅａ　ｎｅｔｗｏｒｋ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ａｎｄ　ｐｒｉｖａｃｙ　

整性校验，在芯片开发时，只有ＭＡＣ层的数据加密　

ｉｎｆｒａｓｔｒｕｃｔｕｒｅ，无线局域网鉴别与保密基础结构）采　

和完整性校验适合硬件实现。　

本文通过分析上述两种安全协议的特点，对其　

ｈｔｔｐ：ｌｌｗｗｗ．ｃｉｃｍａｇ．ｃｏｍ　

巾国集成电路　

Ｃｈｉｎａ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ　

设计　

中的数据加密和完整性校验进行了硬件设计，实现　

上述三个层次的内容，只有无线局域网层的内　

了同时支持ＩＥＥＥ　８０２．１　ｌｉ和ｗＡＰＩ的硬件电路。通　

过对ＩＥＥＥ　８０２．１　ｌｉ的数据加密和完整性校验进行了　

分时串行运算，省掉一个ＡＥＳ加密核。同理，ＷＡＰＩ　

也省掉一个ＳＭＳ４加密核的成本。进一步，结合两种　

加密协议的共同点，复用了二者的外围电路，尽可能　

容适合硬件实现，其中的认证层和接人控制都由上　

层软件实现比较合适。本文主要关注无线局域网安　

全体系中可以硬件实现的部分。　

ＩＥＥＥ　８０２．１ｌｉ中关于无线局域网层的算法为　

ＣＣＭＰ（Ｃｏｕｎｔｅｒ　ｍｏｄｅ　ｗｉｔｈ　Ｃｉｐｈｅｒ－ｂｌｏｃｋ　ｃｈａｉｎｉｎｇ　ｗｉｔｈ　

地降低了芯片面积。　

Ｍｅｓｓａｇｅ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｃｏｄｅ　Ｐｒｏｔｏｃｏ１），主要是指数据　

加密采用ＣＴＲ（计数器，Ｃｏｕｎｔｅｒｍｏｄｅ）模式，完整性　

、●●●●Ｌ●●●Ｊ　１●●●Ｉ●●●Ｊ　

２无线局域网安全算法介绍　

无线局域网的安全体系从上到下，可以分为三　

个层次：认证层、接人控制层、无线局域网层［４１，如图　

１所示。　

Ｐ’　’　’　。。　。‘‘　‘　‘●‘‘‘。　’　’’’　’’’’　。‘‘　●－－＿＿●●＿－－－－＿＿。●＿　

校验采用ＣＢＣ（密码分组链接，Ｃｉｐｈｅｒ—ｂｌｏｃｋ　

ｃｈａｉｎｉｎｇ）模式。　

鲥髓　

ＷＡＰＩ中关于无线局域网层的算法为ＷＰＩ（无　

线局域网保密基础结构，ＷＬＡＮ　ｐｒｉｖａｃｙ　

ｉｎｆｒａｓｔｒｕｃｔｕｒｅ），其数据加密采用ＯＦＢ（输出反馈，　

ｔ　ｌ　认鼍　

卜　

ｏｕｔｐｕｔ　ｆｅｅｄｂａｃｋ）模式，完整性校验采用ＣＢＣ（密码　

分组链接，Ｃｉｐｈｅｒ—ｂｌｏｃｋ　ｃｈａｉｎｉｎｇ）模式。　

曩ｆＩ蕞奠　

２．１　ＣＣＭＰ算法介绍　

ＣＣＭＰ主要的工作就是对８０２．１　１的帧进行加密　

．

．Ｉ．｜陆　ｌ　接＾控一　

和解密，以及对帧数据的完整性进行校验。如图２所　

示为ＣＣＭＰ的数据封装形式，其中ＭＩＣ（消息完整　

－＊１烈明－一ｌ　■■姗　

●簟　●‘勒ｆ＝＾）　

性校验码，ｍｅｓｓａｇｅ　ｉｎｔｅｇｒｉｔｙ　ｃｏｄｅ）是采用ＣＢＣ运算，　

对ＭＡＣ头（ＭＡＣ　ｈｅａｄｅｒ）和安全头（ＣＣＭＰ　ｈｅａｄｅｒ）　

图１无线局域网安全体系分层　

关键信息，帧体ＰＤＵ信息进行压缩的结果。ＣＣＭＰ　

采用ＣＴＲ模式对帧体和ＭＩＣ进行加密即可得到采　

用ＣＣＭＰ封装后的帧。　

图３是ＣＢＣ运算，即把当前的输入和上次的输　

出异或后送入ＡＥＳ加密模块，如此不断循环，直至　

认证层主要进行完成对申请者的身份认证，接　

受合法身份的申请者，拒绝非法接人的申请者。　

接人控制层是中间管理层，它防止数据流向敌　

方或者防止敌方信息进入，只　

ｃ　

有申请者认证通过之后，才能　

由敌人变为朋友，才能进行数　

Ｊ　ｏｕｒｊ　Ｊ　｝舶ｆ嚣Ｊ　Ｍ　ｊＯ制ＯＳ　～￣ａｒｐ　ＰＤＵ　

Ｅｎｃｒｙｐｔｅｄ（ｎｏｔｅ）

ＭＩＣ　

．　

据通信。　

无线局域网层是工作层，　

也即ＭＡＣ层的工作，这一层　

ＩＶＩＫｅｙｌＤ　

４ｏｃｔｅｔｓ　

／　

．　

ＥｘｔｅｎｄｅｄＩＶ　

４　ｏｃｔｅｔｓ　

０ａｔａ　

’　０　ｏｃｔｅｔｓ　

嘲Ｃ　ｌ　

８ｏｃｔｅｔｓｌ　

负责处理原始的通信信息、通　

告性能和接收请求加入网络　

ＰＮ０　ＰＮ１　

＼　

＼＼　

、

的申请，一旦安全内容建立，　

这一层还负责加密和解密。　

Ｒｓｖｄ　Ｒｓｖｄ　Ｒｓｖ　Ｅｘｔ　Ｋｅｙ　

ｌｖＩＤ　

ｂ０　ｂ３　ｂ４　ｂ５　ｂ６　ｂ７　

ＰＮ２　Ｐ№　ＰＮ４　ＰＮ５　

图２　ＣＣＭＰ的封装形式　

ｈｔｔｐ：／／ｗｗｗ．ｃｉｃｍａｇ．ｃｏｍ　

设计　

由固集成电路　

Ｃｈｉｎａ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ　

ｃｃｍｐ—ａａｄｌ，ｃｃｍｐ

＿

ａａｄ２为ＣＣＭＰ进行ＣＢＣ运算时的　

３无线局域网安全算法实现　

从上述描述可以看出ＣＣＭＰ和ＷＰＩ的完整性　

ＭＡＣ

＿

ＩＶ，ＡＡＤ１，ＡＡＤ２。ｃｃｍ为ＣＣＭＰ进行ＣＴＲ加　

密运算时的输入ＣＴＲ计数器。　

图１４为控制状态机ｃｃｍｐ＿ｗｐｉ＿ｆｓｉｎ。状态机根　

校验都采用了ＣＢＣ运算，数据加密分别采用了ＣＴＲ　

据加解密协议，控制数据流动完成ＣＣＭＰ或者ＷＰＩ

和ＯＦＢ模式。为了缩小面积，提取二者的共同点，复　

运算。如果是ＣＣＭＰ运算，则状态机进入ＣＣＭＰ运　

用相同的数据通路和加密核，从而得出下面的设计。　

图１２给出了数据通路和控制电路的相互关系。其　

中数据流只通过ｃｃｍｐ＿ｗｐｉ—ｄｐａｔｈ模块，而　

ｃｃｍｐ＿ｗｐｉ

ｆｓｉｎ模块对数据通路模块进行流程控制。　

＿

算流程。如果是ＷＰＩ运算，则状态机进入ＷＰＩ运算　

流程。　

图１５是ＣＣＭＰ和ＷＰＩ的运算流程。结合图　

１３～１５，以ＣＣＭＰ运算为例，说明本电路的工作原　

理。当加密开始后，数据通路中公用通路以及ＣＣＭＰ　

独有数据通路要参与运算。在开始的初始化运算中，　

由状态机控制，ｃｃｍｐ—ｃｂｃ＿ｉｖ、ｃｃｍｐ—ａａｄｌ、ｃｃｍｐ—ａａｄ２　

分别一次进出数据通路，结合ＡＥＳ算法核、以及　

ＡＥＳ的输出（ｃｂｃ—ｏｕｔ）一同参与ＣＢＣ运算。在该运　

算结束后，开始有规律的数据加密（图１５中的　

ｌｔｈｋｅｙ、２ｎｄｋｅｙ等等）和完整性校验运算（图１５中　

ＭＰＤＵ１、ＭＰＤＵ２等）。每次运算都是数据加密运算　

先进行，然后再进行完整性校验运算。数据加密运算　

图１２　ｃｃｍｐ＿ｗｐｉ模块内部结构　

时，ｃｃｍ、ＡＥＳ加密核、ＡＥＳ的输出（ｃｃｍ—ｏｆｂ—ｏｕｔ），明　

详细的数据通路ｃｃｍｐ＿ｗｐｉ＿ｄｐａｔｈ如图１３所　

示，ＣＣＭＰ和ＷＰＩ的数据通路进行了复用，由于　

文ｄａｔ＿ｉ参与运算，当密钥流生成时，其结果会输出　

到ｃｃｍ—ｏｆｆ）一ｏｕｔ，该结果与明文ｄａｔ＿ｉ（在进行密钥流　

生成的过程中，并行从存储空间读取）进行异或运　ＣＣＭＰ完整性校验和数据加密采用都采用了ＡＥＳ，　

为了复用ＡＥＳ核，节约面积，ＣＢＣ和ＣＴＲ运算采用　

了串行交替运算，同理，ＷＰＩ也节约　

了一个ＳＭＳ４的面积。图中的ＡＥＳ　

算，即可得到加密后的数据ｄａｔ＿ｏ，然后根据状态机　

加密核和ＳＭＳ４加密核为整个加密　

运算的核心，ｃｃｍ　ｏｒｂ　ｒｅｇ用来锁存　

ＣＴＲ运算或者ＯＦＢ运算的中间结　

果，ｃｂｃ　ｒｅｇ用来锁存ＣＢＣ运算的中　

间结果。Ｃｏｍｐａｒｅ模块在解密时，用　

来比较ＭＩＣ是否正确。Ｔ模块在解　

密时，把解密得到的数据经过大小　

段转换后送入ＣＢＣ运算模块进行　

校

＿

验运

＿

算。　图中的　

ｗｐｉ

ａａｄ１～ｗｐｉ

ａａｄ３为ＷＰＩ的完整　

性数据校验分段，ｃｃｍｐ　ｃｂｃ—ｉｖ，　

图１３　ＣＣＭＰ和ＷＰＩ数据通路　

ｈｔｔｐ：Ｉｌｗｗｗ．ｃｉｃｍａｇ．ｃｏｍ　

巾国集成电路　

Ｃｈｉｎａ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ　

设计　

的解密数据ｄａｔ＿ｏ，且最后一包数据不足１２８　ｂｉｔ时，　

无效位要补０。同时在最后加密出的ＭＩＣ要和从　

ｄａｔ

ｉ通路读取到的ＭＩＣ进行比较，如果不相等，则　

—

ｍｉｃ　ｎｏｔ

ｅｑｕ给出高电平，表示整个帧完整性校验错　

＿

误。　

ＷＰＩ运算和ＣＣＭＰ运算流程类似，其差别如下：　

１、在初始化运算时，如果参与运算的帧存在ｑｏｓ域，　

则需要多进行一次初始化运算，其输入为ｗｐｉ＿ａａｄ３，　

否则和ＣＣＭＰ相同，只进行３次初始化运算（对应　

输入为ｗｐｉ—ｃｂｃ—ｉｖ、ｗｐｉ＿ａａｄｌ、ｗｐｉ—ａａｄ２）；２、密钥流　

生成采用ＯＦＢ模式，其初始输人为参与运算的帧头　

中的ＰＮ（Ｐａｃｋａｇｅ　Ｎｕｍｂｅｒ），后续的运算中，每次的　

输入都为前一次的输出。３、ＯＦＢ（ｋｅｙ２）运算和ＣＢＣ　

图１４　ＣＣＭＰ和ＷＰＩ控制状态机　

（ｋｅｙ１）运算的密钥不同，在两种运算切换时需要做　

相应的切换动作。　

的命令把这个数据写到对应的存储空间（和完整性　

校验运算并行执行）。当完成一次数据加密后，接着　

会进行完整性校验运算，该运算是把上次初始化运　

ＡＥＳ需要４０个时钟周期完成１２８　ｂｉｔ数据加密　

（为了缩减面积，ＡＥＳ［５１也经过串行运算，复用了　

ｓｂｏｘ），ＳＭＳ４需要３２个时钟周期完成１２８　ｂｉｔ数据　

吐率为６４　Ｍｂｐｓ，ＷＰＩ的吞吐率为８０　Ｍｂｐｓ。采用　

ＳＭＩＣ　０．１８　ｍ的工艺对该电路进行综合，其规模为　

３．５万门。　

算或者ＣＢＣ运算的结果ｃｂｃ＿ｏｕｔ与明文ｄａｔ＿ｉ异或　

存器中。当最后一包数据被加密后，也即最后一包　

数据对应的完整性校验运算完成后，需要额外进行　

一

运算后输入ＡＥＳ，当运算完成后，锁存到ｃｂｃ　ｒｅｇ寄　

加密，因此电路在４０　ＭＨｚ频率下工作，ＣＣＭＰ的吞　

次密钥流生成运算（ＣＣＭ运算），生成加密完整　

性校验结果（锁存在ｃｂｃ　ｒｅｇ中）的密钥（锁存在　

ｃｃｍ　ｏｒｂ　ｒｅｇ中），最后一次完整性校验结果和密钥异　

或运算即得到最终的ＭＩＣ，在状态机控制下，写回到　

相应的存储设备中。　

４无线局域网安全算法并行实现方式　

如图１６所示，为ＣＣＭＰ或者ＷＰＩ的并行运算　

方式，和图１５不同之处在于，ＣＢＣ运算和ＣＴＲ（或　

者ＯＦＢ）运算并行进行，比串行的运算速度提高一　

倍。其具体工作原理此处不再赘述。　

＿时ｃ．ＩＩ，　ＭＤ１　＾＾Ｄ２　埘训ｌ　啪ｏｔ¨　ｌ硼∞嗡　

ｔｄｍＤ血’　ｍ叫ＩＩ２　ｍ嘲Ｎ　

ｍＯ由１　呻ｄ　盯　

ＮＰＤＵ（１）　Ⅱ　ｕ（）　（ｎ）　

１。Ｉ嵋ｙ　．Ｊ【ｅｙ　ｉ　妒Ｉ唧ｌ　ｍ缸｛【日　ｌ　

／　

ＭＰ　（１）『　

ｌ　ｌ　

７　

ＤＬ（ｎ）ｌ　

图１５　ＣＣＭＰ和ＷＰｌ运算流程　

１‘　ｋｅｙ　ｋｅｙ　

ｆ　

ｎｔｈ　ｋｅｒ　

’　『　

ＨＩＣ　ｋｅｙ　

ＣＣＭＰ的解密流程和加密类似，只是在进行完　

整性校验时，参与运算的数据是经过ＡＥＳ的数据　

ｃｃｍ

—

，　

、　、　

ｋ　

ｒ萧Ｌｅ］　…～　

ＩＩｆ＇叫（ｎ）Ｊ　Ｕ（１）ｉ　ＭＰＤＧ（）ｆ　

ｏｒｂ

—

ｏｕｔ和ｄａｔ＿ｉ异或运算（数据解密）后得到　

图１６　ＣＣＭＰ和ＷＰＩ运算流程　

已设计　

为了支持并行运算，给出图１７和图ｌ８关于　

ＣＣＭＰ和ＷＰＩ的数据通路。相比图１３，可以看出　

ＣＣＭＰ采用了两个ＡＥＳ，ＷＰＩ也采用了２个ＳＭＳ４，　

２００４［ＳＪ　

【ｌ】国集成电路　

Ｃｈｉｎａ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ　

『３］ＧＢ　１５６２９．１　１／１　１０２—２００３实施指南［Ｓ］　

ｆ４１马建峰，吴振强．无线局域网安全体系结构［Ｍ】．　

北京：高等教育出版社，２００８　

［５］（美）Ｗｉｌｌｉａｍ　Ｓｔａｌｌｉｎｇｓ著．密码编码学与网络安　

建明等译．北京：电子工业出版社，２００４　

同时二者都有独立的外围电路。　

此结构中，ＡＥＳ需要１０个时钟周期完成１２８　

Ｍ】．刘玉珍，王丽娜，傅　

ｂｉｔ数据加密，ＳＭＳ４需要３２个时钟周期完成１２８　ｂｉｔ　

全一原理与实践（第三版）［

数据加密，因此电路在４０　ＭＨｚ频率下工作，ＣＣＭＰ　

的吞吐率为５１２　Ｍｂｐｓ，　

ＷＰＩ的吞吐率为１６０　

Ｍｂｐｓ。采用ＳＭＩＣ　０．１８　ｍ　

的工艺对该电路进行综　

合，其规模为８．１万门。　

５　结束语　

本文实现了低成本的　

无线局域网双模加密电　

路。通过数据通路的复用，　

数据完整性校验和数据加　

密交替串行运行，最终只　

采用了一个ＡＥＳ加密核，　

一

图１　７　ＣＣＭＰ数据通路　

个ＳＭＳ４加密核实现了　

双模加密电路。通过面积　

优化，本电路面积比并行　

运算的电路面积少了４．６　

万门，但其吞吐率仍然可　

以满足ＩＥＥＥ　８０２．１　ｌａｂｇ这　

种低速率应用场景。固　

参考文献　

［１】（英）乔恩・爱德华，　

（美）威廉・阿尔保著．无　

线局域网安全实务一　

ＷＰＡ与８０２．１ｌｉ［Ｍ］．周正　

等译．北京：人民邮电出版　

社，２００６　

【ｗｐｉ＿ｃｂｃ＿ａａｄ１—８ｎ。　

ｗｐｉｃｂｃｅａｄ２ｅｎ．ｗｐｉｃｂｃ

ａａｄ３－ｏｎ　

＿一—＿

［２］ＩＥＥＥ　Ｓｔｄ　８０２．１　ｌｉＴＭ一　

图１８　ＷＰｌ数据通路　

ｈｔｔｐ：／／ｗｗｗ．ｃｉｃｍａｇ．ｃｏｍ　

本文标签： 运算加密局域网进行无线