封闭WI-FI热点网络的方法、接入点设备及站设备技术

本文公开了用于创建封闭无线保真(Wi

【技术实现步骤摘要】
【国外来华专利技术】封闭WI
‑
FI热点网络的方法、接入点设备及站设备


[0001]本公开总体上涉及保护Wi
‑
Fi热点网络，更具体地但非排他地，涉及用于创建封闭Wi
‑
Fi热点网络的方法和接入点(AP)设备，以及用于连接到封闭Wi
‑
Fi热点网络的方法和站设备。

技术介绍

[0002]近年来，无线局域网(WLAN)的部署已经显著增加以满足对无线互联网接入的增长的需求。IEEE 802.11标准(商业上称为Wi
‑
Fi)制定了WLAN的架构，并指定了用于实现WLAN的一组介质访问控制(MAC)和物理层(PHY)协议。尽管受欢迎，但是安全性仍然是与Wi
‑
Fi网络相关联的主要问题之一。每年在Wi
‑
Fi系统中发现新的漏洞，并且定期对其进行修补。
[0003]通常，接入点(AP)设备创建Wi
‑
Fi热点网络，其中一个或多个站设备连接到该Wi
‑
Fi热点网络以利用互联网接入。为了与Wi
‑
Fi热点网络连接，一个或多个站设备从AP设备发送的信标帧中检索AP设备的连接信息，诸如服务集标识符(SSID)、支持的速率和安全类型。然而，由于在信标帧中以明文传输连接信息，上述Wi
‑
Fi热点网络容易受到入侵者的安全攻击。为了克服这一点，已经在AP设备中引入了隐藏SSID(也称为隐藏网络)特征，由此从信标帧中移除SSID。然而，隐藏SSID特征限于信标帧，并且不从也以明文发送的其他管理帧(诸如探测帧和关联帧)中移除SSID。此外，隐藏SSID特征不保护存在于一个或多个管理帧中的附加有用信息，诸如AP能力信息、支持的安全方案、位图信息。由于缺乏保护，入侵者容易利用窃听工具提取连接信息，并执行各种攻击，诸如暴力攻击、拒绝服务(DoS)攻击和邪恶双胞胎攻击。因此，隐藏SSID特征不能提供对抗上述入侵者攻击的安全性。
[0004]图1a示出了入侵者105在不安全的Wi
‑
Fi热点网络中窃听的示例。
[0005]如图1a所示，连接到互联网109的合法AP设备101分别与诸如膝上型计算机1031和智能电话1032的站设备103以明文1131、1132传送管理帧。由于管理帧1131、1132以明文发送，入侵者105使用信息破解工具容易地获得合法AP设备101的连接信息，诸如SSID和安全类型。此外，入侵者105建立欺诈AP设备107，其具有与合法AP设备101的SSID和安全类型相同的SSID和安全类型。入侵者105还对合法AP设备101执行DoS攻击，这导致合法AP设备101离线。此后，站设备1031、1032自动连接到欺诈AP设备107。这里，由于欺诈AP设备107的连接信息与合法AP设备101的连接信息相同，因此站设备1031、1032不能将欺诈AP设备107与合法AP设备101区分开。一旦连接到欺诈性AP设备107，站设备1031、1032就被引导到不安全的web门户，入侵者105通过该门户窃取用户或用户凭证的敏感信息，并误用它们，这对用户造成显著的损失和不便。
[0006]图1b示出了传统站设备的用户界面(UI)的示例，其示出了不安全的Wi
‑
Fi热点网络名称和相应的视觉图标。
[0007]如图1a所示，传统的站设备是膝上型计算机1031。膝上型计算机1031在五个合法AP设备(图中未示出)的热点范围内，分别具有SSID
′
ABC
′
、
′
Z45
′
、
′
PQR 1
′
、
′
MN92
′
和
′
XY3
′
。例如，入侵者105利用SSID
′
ABC
′
来设置欺诈AP设备107，该SSID
′
ABC
′
与五个合法AP设备之一
的SSID相同。当膝上型计算机1031执行Wi
‑
Fi扫描以发现其附近的无线网络时，表示与AP设备相关联的Wi
‑
Fi热点网络的六个视觉图标1151、1152、1153、1154、1155、1156(统称为视觉图标115)显示在膝上型计算机1031的UI 1111上，如图1b所示。这里，第一视觉图标1151和第四视觉图标1154是相同的，并且具有相同的SSID，即
″
ABC
″
。结果，与合法AP设备相关联的视觉图标的识别变得困难。
[0008]本
技术介绍
部分中公开的信息不应仅因为它在
技术介绍
部分中阐述而被假设为承认或任何形式的建议，即该信息形成本领域技术人员已知的现有技术。
技术介绍
部分可以描述本公开的方面或实施例。

技术实现思路

[0009]本公开公开了一种用于创建封闭无线保真(Wi
‑
Fi)热点网络的方法。该方法包括由接入点(AP)设备接收用于创建封闭Wi
‑
Fi热点网络的第一输入。在接收到第一输入时，该方法包括由AP设备通过带内通信介质或带外通信介质向一个或多个站设备发送加密密钥。这里，一个或多个站设备存在于与AP设备相关联的预定义区域内。在发送加密密钥时，该方法包括由AP设备通过与一个或多个站设备以密文传送一个或多个管理帧来创建封闭Wi
‑
Fi热点网络。
[0010]此外，本公开公开了一种用于创建封闭Wi
‑
Fi热点网络的AP设备。所述AP设备包括处理器和通信地耦合到所述处理器的存储器。处理器接收用于创建封闭Wi
‑
Fi热点网络的第一输入。在接收到第一输入时，处理器通过带内通信介质或带外通信介质向一个或多个站设备发送加密密钥。这里，一个或多个站设备存在于与AP设备相关联的预定义区域内。在发送加密密钥时，处理器通过与一个或多个站设备以密文传送一个或多个管理帧来创建封闭Wi
‑
Fi热点网络。
[0011]另外，本公开公开了一种用于连接到封闭Wi
‑
Fi热点网络的方法。该方法包括由站设备通过带内通信介质或带外通信介质从AP设备接收加密密钥。这里，站设备存在于与AP设备相关联的预定义区域内。在接收到加密密钥时，该方法包括由站设备通过封闭Wi
‑
Fi热点网络从AP设备接收以密文的一个或多个管理帧。此外，该方法包括由站设备向AP设备发送用于连接到封闭Wi
‑
Fi热点网络的连接请求。
[0012]此外，本公开公开了一种用于连接到封闭Wi
‑
Fi热点网络的站设备。所述站设备包括：处理器；以及通信地耦合到所述处理器的存储器。处理器通过带内通信介质或带外通信介质从接入点(AP)设备接收加密密钥。站设备存在于与AP设备相关联的预定义区域内。处理器在接收到加密密钥时通过封闭W本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于创建封闭Wi
‑
Fi热点网络的方法，所述方法包括：由接入点(AP)设备接收用于创建所述封闭Wi
‑
Fi热点网络的第一输入；响应于接收到所述第一输入，由所述AP设备通过带内通信介质或带外通信介质向一个或多个站设备发送加密密钥，其中，所述一个或多个站设备存在于与所述AP设备相关联的预定义区域内；以及由所述AP设备通过与所述一个或多个站设备传送包括密文的一个或多个管理帧来创建所述封闭Wi
‑
Fi热点网络。2.根据权利要求1所述的方法，还包括执行以下之一：响应于接收到所述第一输入，由所述AP设备提取存储在所述AP设备中配置的存储器中的所述加密密钥。响应于接收到用于改变网络标识的第二输入，由所述AP设备利用随机密钥生成器生成随机数，其中，所生成的随机数被设置为所述加密密钥。3.根据权利要求1所述的方法，其中，由所述AP设备通过所述带内通信介质向所述一个或多个站设备发送所述加密密钥包括：通过Wi
‑
Fi网络在与基于握手的认证相关联的多个消息中的一个消息中向所述一个或多个站设备发送所述加密密钥。4.根据权利要求4所述的方法，其中，在与基于握手的认证相关联的多个消息中的一个消息中发送所述加密密钥包括：由所述AP设备通过所述Wi
‑
Fi网络向所述一个或多个站设备发送包括ANonce的第一消息；响应于发送所述第一消息，由所述AP设备通过所述Wi
‑
Fi网络从所述一个或多个站设备接收包括SNonce和消息完整性校验(MIC)值的第二消息；由所述AP设备通过所述Wi
‑
Fi网络向所述一个或多个站设备发送包括组临时密钥(GTK)、完整性组临时密钥(IGTK)和所述加密密钥的第三消息，其中，所述GTK、所述IGTK和所述加密密钥中的每一个是利用根据成对临时密钥(PTK)生成的密钥加密密钥(KEK)来加密的；以及由所述AP设备通过所述Wi
‑
Fi网络从所述一个或多个站设备接收第四消息，所述第四消息包括指示成功安装所述GTK、所述IGTK和所述加密密钥的确认。5.根据权利要求1所述的方法，其中，由所述AP设备通过所述带外通信介质向所述一个或多个站设备发送所述加密密钥包括：认证通过短程无线网络或蜂窝网络连接到所述AP设备的所述一个或多个站设备；与经认证的一或多个站设备中的每一者建立安全无线信道；以及通过所述安全无线信道向所述经认证的一或多个站设备中的每一者发送所述加密密钥。6.根据权利要求1所述的方法，还包括：由所述AP设备确定所述一个或多个站设备中的每一者的距离；以及基于所确定的距离来确定所述一个或多个站设备中的每一者是否存在于与所述AP设备相关联的所述预定义区域内。7.根据权利要求1所述的方法，其中，与所述一个或多个站设备传送包括所述密文的所
述一个或多个管理帧包括：由所述AP设备利用所述加密密钥对所述一个或多个管理帧的一个或多个信息元素进行加密；以及由所述AP设备向所述一个或多个站设备广播所述一个或多个管理帧，其中，...

【专利技术属性】
技术研发人员：K，
申请(专利权)人：三星电子株式会社，
类型：发明
国别省市：