用于无线局域网通信的方法和设备的制作方法
【专利摘要】本发明的实施方式提供了用于无线局域网通信的方法和设备,其中方法之一包括在用户站建立与无线局域网中的非信任接入点的连接后,利用外部于所述无线局域网的认证网关执行所述用户站与认证网关之间的认证。该方法还包括响应于通过所述认证,指示数据网关与所述用户站建立安全连接以便在所述用户站和所述数据网关之间执行对于所述非信任接入点加密的安全通信。通过本发明的用于无线局域网通信的方法和设备,用户的敏感数据将不会泄露于非信任的接入点,从而显著提高通信的安全性水平。
【专利说明】用于无线局域网通信的方法和设备
【技术领域】
[0001]本发明的实施方式一般地涉及无线通信。更具体地,本发明的实施方式涉及用于无线局域网(WLAN)通信的方法和设备。
【背景技术】
[0002]例如WIFI网络的WLAN已经广泛应用在家庭或者办公室中,通过该WIFI网络,台式计算机、平板计算机以及其他智能移动设备(例如智能手机)可以连接到因特网。尽管WIFI网络便于连接,但其在服务覆盖范围方面暴露出明显的不足。典型的WIFI信号最多能达到几百米的距离,并且距离越远信号越差。当离开家或办公室时,用户将不再具有通过其受信任的家庭或办公室WIFI网络的宽带接入。当移动到提供免费WIFI接入的例如餐馆和咖啡厅的区域时,大多数的用户会简单地将移动设备连接到该WIFI网络并使用其来接入到因特网。然而,对于这样的免费WIFI网络接入来说,存在潜在的安全性问题,具体情况如下。
[0003]当前的802.11安全性框架基于假定接入点(AP)是受用户站(STA)信任的并且该框架主要关注于STA和AP之间的无线信道认证和安全数据通信。在802.11中,对于本地验证,AP负责用于建立AP和STA之间的用于安全通信的密钥体系,而对于使用802.1x的认证来说,AP负责在RADIUS服务器和STA之间传递包括认证请求/响应和密钥的消息。无论具体应用场景如何,AP总是知道STA使用的密钥以便确保其通过无线信道的数据通信。对于家庭WIFI网络来说,由于用户通常拥有STA和AP 二者,因此可以假定AP总是可信任的。然而,当用户移动到其他WIFI网络时,该假定将不再有效,因为STA和其他WIFI网络中的AP将分别由不同的实体所有。当这些非用户所有的AP在转发STA和运营商网络之间的数据时,有可能截获或接触到对于STA来说敏感和私密的数据。因此,出于数据安全性方面的考虑,STA并不能完全信任这些AP (也称为非信任AP)。为了避免敏感数据泄露,STA可以选择不接入到这些非信任AP,然而这样用户将在离开家庭或办公室后无法再获得对外部网部(如因特网)的接入,这显然不切实际。
[0004]另一方面,通信运营商已经并且仍在部署越来越多的AP以提供WIFI接入。尽管运营商的AP对于STA来说是可信任的,但它们的覆盖范围无法达到城域级水平。为了部署覆盖城市范围的AP,通信运营商将花费大量的财力和物力,这对于大多数运营商来说不是期望的。为此,已经提出与第三方共享WIFI网络的解决方案。具体地,通信运营商可以与第三方签订使用第三方WIFI网络的协议,从而以相对低的成本开销来扩展其WIFI服务覆盖范围。然而,这也将带来类似于上面提到的潜在问题,即如何确保这些第三方AP在向STA提供无线接入的同时不会窃取和恶意收集STA的敏感数据。
【发明内容】
[0005]为了缓解或解决上述的至少一些技术问题,本发明的实施方式提供了一种有效机制,使得在通过非信任AP向STA提供无线接入的同时,避免AP收集或获取STA的敏感数据,由此显著提高了 STA通信的安全水平。
[0006]根据本发明的一个实施方式,提供了一种用于WLAN通信的方法,该方法包括在STA建立与WLAN中的非信任AP的连接后,利用外部于所述WLAN的认证网关执行所述STA与认证网关之间的认证。该方法还包括响应于通过所述认证,指示数据网关与所述STA建立安全连接以便在所述STA和所述数据网关之间执行对于所述非信任AP加密的安全通信。
[0007]根据本发明的另一个实施方式,提供了一种用于WLAN通信的方法,该方法包括从外部于WLAN的认证网关接收与STA建立安全连接的指示,其中所述STA在建立与所述WLAN中的非信任AP的连接后,通过所述认证网关的认证,并且所述安全连接支持在所述STA和所述数据网关之间执行对于所述非信任AP加密的安全通信。该方法还包括基于所述指示与所述STA执行对于所述非信任AP加密的安全通信。
[0008]根据本发明的一个实施方式,提供了一种用于WLAN通信的设备,该设备包括认证单元,配置用于在STA建立与WLAN中的非信任AP的连接后,利用外部于所述WLAN的认证网关执行所述STA与认证网关之间的认证。该设备还包括指示单元,配置用于响应于通过所述认证,指示数据网关与所述STA建立安全连接以便在所述STA和所述数据网关之间执行对于所述非信任AP加密的安全通信。
[0009]根据本发明的另一个实施方式,提供了一种用于WLAN通信的设备,该设备包括接收单元,配置用于从外部于WLAN的认证网关接收与STA建立安全连接的指示,其中所述STA在建立与所述WLAN中的非信任AP的连接后,通过所述认证网关的认证,并且所述安全连接支持在所述STA和所述数据网关之间执行对于所述非信任AP加密的安全通信。该设备还包括执行单元,配置用于基于所述指示与所述STA执行对于所述非信任AP加密的安全通信。
[0010]利用本发明的实施方式,通过引入认证网关和数据网关,并且在STA和数据网关之间建立对于非信任AP加密的安全通信,无线用户的敏感数据将不会泄露于非信任AP,从而提高了用户在非信任WIFI网络上通信的安全性水平。
【专利附图】
【附图说明】
[0011]根据下面结合附图的示例性实施方式的详细描述,本发明的上述和其他目的、特征和优势将变得明显,在附图中:
[0012]图1示意性示出根据本发明一个实施方式的用于WLAN通信的方法的流程图;
[0013]图2示意性示出根据本发明另一个实施方式的用于WLAN通信的方法的流程图;
[0014]图3是示意性示出根据本发明一个实施方式的STA分别通过信任AP和非信任AP进行通信的网络架构图;
[0015]图4是示意性示出根据本发明一个实施方式的通过非信任AP进行加密通信的信号流不图;
[0016]图5是示意性示出根据本发明一个实施方式的用于WLAN通信的设备的框图;以及
[0017]图6是示意性示出根据本发明另一个实施方式的用于WLAN通信的设备的框图。
【具体实施方式】
[0018]本发明的实施方式通过引入认证网关和数据网关,并且借助于认证网关对STA的认证以及STA与数据网关建立的安全连接,实现当STA通过非信任AP接入外部网络(例如因特网)时,其敏感数据不会泄露于该非信任AP,从而提高了通信的保密性和安全性。在一个实施方式中,认证网关是逻辑实体并且与所述数据网关位于相同的物理位置或在物理位置上远离于所述数据网关。在另一个实施方式中,存在多个潜在的数据网关,并且可以通过协商由认证网关选择潜在的数据网关之一来作为与STA建立安全连接的数据网关。
[0019]下面将结合附图来详细描述本发明的【具体实施方式】。
[0020]图1示意性示出根据本发明一个实施方式的用于WLAN通信的方法100的流程图,该方法100可以由认证网关来执行。如图1中所示,在步骤SlOl中,方法100在STA建立与WLAN中的非信任AP的连接后,利用外部于所述WLAN的认证网关执行所述STA与认证网关之间的认证。
[0021 ] 尽管在图中未示出,在一个实施方式中,方法100进一步包括在STA建立与所述非信任AP的连接前,向STA分配认证密钥,以用于与所述认证网关之间的认证。在一个实现中,该认证密钥可以由运营商预先分配给STA和认证网关。在另一个实现中,该认证密钥可以由认证网关预先生成、维护并且递送给STA以用于未来的认证。在认证过程中,本发明实施方式的认证网关可以起到类似于RADIUS服务器的认证功能,从而使得STA能够执行通过第三方AP (即非信任AP)的安全接入。
[0022]在另一个实施方式中,在所述STA与认证网关的认证期间,所述非信任AP仅支持转发所述STA与所述认证网关之间的数据而无法对该数据进行解密。换句话说,根据本发明的实施方式,在认证期间对STA和认证网关之间的数据进行加密,从而初始就可以避免非信任AP截取STA的敏感数据。在又一个实施方式中,所述认证网关是逻辑实体并且可以与数据网关(下面将描述到)位于相同的物理位置或在物理位置上远离于数据网关。
[0023]接着,在步骤S102中,方法100响应于通过所述认证,指示数据网关与所述STA建立安全连接以便在所述STA和所述数据网关之间执行对于所述非信任AP加密的安全通信。在一个实施方式中,方法100进一步包括在指示所述数据网关前,根据预定的至少一个准则从多个潜在数据网关中选择所述数据网关。这里,预定的准则可以涉及与STA的物理距离远近、数据网关的业务优化程度以及负载均衡情况等方面。
[0024]上文描述了方法100及其在多个实施方式中的扩展。通过方法100及其扩展,可以在STA接入到非信任AP时,对其到外部网络的数据进行有效的加密,从而可以实现安全的数据通信,避免由于接入到非信任AP而带来的潜在网络安全风险。
[0025]图2示意性示出根据本发明另一个实施方式的用于WLAN通信的方法200的流程图,该方法200可以由数据网关来执行。如图2中所示,在步骤S201中,方法200从外部于WLAN的认证网关接收与STA建立安全连接的指示,其中所述STA在建立与所述WLAN中的非信任AP的连接后,通过所述认证网关的认证,并且所述安全连接支持在所述STA和所述数据网关之间执行对于所述非信任AP加密的安全通信。
[0026]尽管未示出,在一个实施方式中,在接收所述指示前,所述数据网关与所述认证网关协商以确定是否被选择作为STA的数据网关,其中所述认证网关根据预定的至少一个准则从多个潜在数据网关中选择所述数据网关。与方法100的描述相同,这里的预定的准则可以涉及与STA的物理距离、数据网关的业务优化以及负载均衡等各方面情况。
[0027]在步骤S202中,方法200基于所述指示与所述STA执行对于所述非信任AP加密的安全通信。在一个实施方式中,在所述STA与所述数据网关之间的安全通信期间,所述非信任AP仅支持转发所述STA与所述数据网关之间的数据而无法对所述数据解密。为此,在一个实现中,本发明的AP可以支持家庭模式和直通模式两种模式。在家庭模式中,该AP即被认为是STA可信任的AP,例如用户安装在自己家中的AP,而在直通模式中,该AP即被认为是非信任AP,其仅支持对接入的STA的加密数据的转发操作,而无法对该数据进行解密。
[0028]通过方法200及其如上所述的多个实施方式中的扩展,STA的数据,特别是例如用户名、密码或账号之类的敏感数据将通过STA和数据网关之间的安全连接来加密传输。对于该加密传输,非信任AP将无法实施解密操作,从而无法获取敏感数据。由此,本发明的实施方式实现了对STA数据的保护,提高了网络的安全水平。
[0029]图3是示意性示出根据本发明一个实施方式的STA分别通过信任AP和非信任AP进行通信的网络架构图。如图3中所示,STA I (其例如可以是示出的笔记本电脑或ipad)可以通过与家庭AP(如AP I)之间的无线连接来接入到因特网。例如,该STA I经由图3上部示出的AP 1、调制解调器、接入节点、路由器等网络设备连接到因特网,并最终连接到web服务器3.3.3.3,此处的3.3.3.3或稍后提到的1.1.1.1和2.2.2.2都是网络设备的示例性IP地址。根据本发明的实施方式,由于此时STA I是经由受信任的家庭AP I连接到外部网络的,因此可以称STA I和AP I当前都处于家庭模式中,并且STA I可以采用现有使用的认证和关联方式来无线接入到AP I。由于家庭AP I是可信任AP,因此从STA I经由AP I到服务器3.3.3.3的数据通信并不涉及认证网关1.1.1.1的操作,并且可以通过现有的通信机制和协议逐跳到达web服务器3.3.3.3。
[0030]根据本发明的实施方式,STA I在家庭模式中会发现其将连接到它的家庭AP 1,因此STA I可以指示AP I也运行在家庭模式中。此后,STA I可以从认证网关1.1.1.1获取对称密钥,例如图3中认证网关处示出的与STA I相关的一列密钥{Kl,K2,K3},从而在未来能够获得通过WLAN中的非信任AP的安全接入。可选地,该对称密钥可以是单个的密钥,并且密钥可以由通信运营商来预先提供。
[0031]接下来,假设STA I离开其家庭AP(或办公室AP)并且前进到非信任AP 2 (具有示例性IP地址202.112.12.22)提供WIFI覆盖的WLAN中。此时,STA I将试图通过非信任AP 2来访问web服务器3.3.3.3,根据本发明实施方式的相关处理流程描述如下。
[0032]首先,STA I会发现AP 2并且检测到它正在接入到该非信任AP2。响应于此,STAI将使其自身由在可信任AP下的家庭模式转换成漫游模式。在接入到AP 2的过程期间,STA I会与AP 2相互认证,从而获得无线信道接入和IP分配,例如其将分配有IP地址192.168.2.10,并且STA I将请求或指示AP 2运行在直通模式。
[0033]根据本发明的实施方式,上述的直通模式可以作为新的模式来添加到AP固件中。在该直通模式中,非信任AP可以使用例如SAE(Simultaneous Authentication of Equals)的现有机制来认证STA以便进行无线信道接入。接着,该非信任AP可以简单地将来自于STA的所有数据分组向IP报头中的目的地地址转发,也即向本发明实施方式的认证网关和数据网关转发。为此,非信任AP可以通过其信标帧中的“扩展能力”域向STA通告其支持直通模式并且接着STA可以通过关联请求帧来请求该非信任AP运行在直通模式下。在当前的802.11中,“扩展能力”域中从第49位开始的位并没有被使用。因此,可以将第49位定义为支持直通模式。当在信标帧中设置了该位时,意味着AP可以支持用于安全因特网接入的直通模式。否则,该AP将不支持直接模式,从而无法向STA提供安全接入。对于STA,当在关联帧中设置该位时,意味着STA期望AP运行在直通模式中,示例性的设置如下表示出。
[0034] 表:能力域
【权利要求】
1.一种用于无线局域网通信的方法,包括: 在用户站建立与无线局域网中的非信任接入点的连接后,利用外部于所述无线局域网的认证网关执行所述用户站与认证网关之间的认证;以及 响应于通过所述认证,指示数据网关与所述用户站建立安全连接以便在所述用户站和所述数据网关之间执行对于所述非信任接入点加密的安全通信。
2.根据权利要求1所述的方法,其中所述认证网关是逻辑实体并且与所述数据网关位于相同的物理位置或在物理位置上远离于所述数据网关。
3.根据权利要求1所述的方法,进一步包括: 在所述用户站建立与所述非信任接入点的连接前,向所述用户站分配认证密钥,以用于与所述认证网关之间的认证。
4.根据权利要求1所述的方法,进一步包括: 在指示所述数据网关前,根据预定的至少一个准则从多个潜在数据网关中选择所述数据网关。
5.根据权利要求1所述的方法,其中在所述用户站与所述认证网关之间的认证期间,所述非信任接入点仅支持转发所述用户站与所述认证网关之间的数据而无法对所述数据解密。
6.一种用于无线局域网通信的方法,包括: 从外部于无线局域网的认证网关接收与用户站建立安全连接的指示,其中所述用户站在建立与所述无线局域网中的非信任接入点的连接后,通过所述认证网关的认证,并且所述安全连接支持在所述用户站和所述数据网关之间执行对于所述非信任接入点加密的安全通信; 基于所述指示与所述用户站执行对于所述非信任接入点加密的安全通信。
7.根据权利要求6所述的方法,进一步包括: 在接收所述指示前,所述数据网关与所述认证网关协商以确定是否被选择作为所述数据网关,其中所述认证网关根据预定的至少一个准则从多个潜在数据网关中选择所述数据网关。
8.根据权利要求6所述的方法,其中在所述用户站与所述数据网关之间的安全通信期间,所述非信任接入点仅支持转发所述用户站与所述数据网关之间的数据而无法对所述数据解密。
9.一种用于无线局域网通信的设备,包括: 认证单元,配置用于在用户站建立与无线局域网中的非信任接入点的连接后,利用外部于所述无线局域网的认证网关执行所述用户站与认证网关之间的认证;以及 指示单元,配置用于响应于通过所述认证,指示数据网关与所述用户站建立安全连接以便在所述用户站和所述数据网关之间执行对于所述非信任接入点加密的安全通信。
10.根据权利要求9所述的设备,其中所述认证网关是逻辑实体并且与所述数据网关位于相同的物理位置或在物理位置上远离于所述数据网关。
11.根据权利要求9所述的设备,进一步包括: 分配单元,配置用于在所述用户站建立与所述非信任接入点的连接前,向所述用户站分配认证密钥,以用于与所述认证网关之间的认证。
12.根据权利要求9所述的设备,进一步包括: 选择单元,配置用于在指示所述数据网关前,根据预定的至少一个准则从多个潜在数据网关中选择所述数据网关。
13.根据权利要求9所述的设备,其中在所述用户站与所述认证网关之间的认证期间,所述非信任接入点仅支持转发所述用户站与所述认证网关之间的数据而无法对所述数据解密。
14.一种用于无线局域网通信的设备,包括: 接收单元,配置用于从外部于无线局域网的认证网关接收与用户站建立安全连接的指示,其中所述用户站在建立与所述无线局域网中的非信任接入点的连接后,通过所述认证网关的认证,并且所述安全连接支持在所述用户站和所述数据网关之间执行对于所述非信任接入点加密的安全通信; 执行单元,配置用于基于所述指示与所述用户站执行对于所述非信任接入点加密的安全通信。
15.根据权利要求14所述的设备,进一步包括: 协商单元,配置用于在接收所述指示前,利用所述数据网关与所述认证网关协商以确定是否被选择作为所述数据网关,其中所述认证网关根据预定的至少一个准则从多个潜在数据网关中选择所述数据网关。
16.根据权利要求14所述的设备,其中在所述用户站与所述数据网关之间的安全通信期间,所述非信任接入点仅支持转发所述用户站与所述数据网关之间的数据而无法对所述数据解密。
【文档编号】H04W12/06GK103916849SQ201210592485
【公开日】2014年7月9日 申请日期:2012年12月31日 优先权日:2012年12月31日
【发明者】凌辉, 温海波, 梁铮 申请人:上海贝尔股份有限公司