封闭WI-FI热点网络的方法、接入点设备及站设备与流程

本公开总体上涉及保护wi-fi热点网络，更具体地但非排他地，涉及用于创建封闭wi-fi热点网络的方法和接入点(ap)设备，以及用于连接到封闭wi-fi热点网络的方法和站设备。

背景技术：

1、近年来，无线局域网(wlan)的部署已经显著增加以满足对无线互联网接入的增长的需求。ieee 802.11标准(商业上称为wi-fi)制定了wlan的架构，并指定了用于实现wlan的一组介质访问控制(mac)和物理层(phy)协议。尽管受欢迎，但是安全性仍然是与wi-fi网络相关联的主要问题之一。每年在wi-fi系统中发现新的漏洞，并且定期对其进行修补。

2、通常，接入点(ap)设备创建wi-fi热点网络，其中一个或多个站设备连接到该wi-fi热点网络以利用互联网接入。为了与wi-fi热点网络连接，一个或多个站设备从ap设备发送的信标帧中检索ap设备的连接信息，诸如服务集标识符(ssid)、支持的速率和安全类型。然而，由于在信标帧中以明文传输连接信息，上述wi-fi热点网络容易受到入侵者的安全攻击。为了克服这一点，已经在ap设备中引入了隐藏ssid(也称为隐藏网络)特征，由此从信标帧中移除ssid。然而，隐藏ssid特征限于信标帧，并且不从也以明文发送的其他管理帧(诸如探测帧和关联帧)中移除ssid。此外，隐藏ssid特征不保护存在于一个或多个管理帧中的附加有用信息，诸如ap能力信息、支持的安全方案、位图信息。由于缺乏保护，入侵者容易利用窃听工具提取连接信息，并执行各种攻击，诸如暴力攻击、拒绝服务(dos)攻击和邪恶双胞胎攻击。因此，隐藏ssid特征不能提供对抗上述入侵者攻击的安全性。

3、图1a示出了入侵者105在不安全的wi-fi热点网络中窃听的示例。

4、如图1a所示，连接到互联网109的合法ap设备101分别与诸如膝上型计算机1031和智能电话1032的站设备103以明文1131、1132传送管理帧。由于管理帧1131、1132以明文发送，入侵者105使用信息破解工具容易地获得合法ap设备101的连接信息，诸如ssid和安全类型。此外，入侵者105建立欺诈ap设备107，其具有与合法ap设备101的ssid和安全类型相同的ssid和安全类型。入侵者105还对合法ap设备101执行dos攻击，这导致合法ap设备101离线。此后，站设备1031、1032自动连接到欺诈ap设备107。这里，由于欺诈ap设备107的连接信息与合法ap设备101的连接信息相同，因此站设备1031、1032不能将欺诈ap设备107与合法ap设备101区分开。一旦连接到欺诈性ap设备107，站设备1031、1032就被引导到不安全的web门户，入侵者105通过该门户窃取用户或用户凭证的敏感信息，并误用它们，这对用户造成显著的损失和不便。

5、图1b示出了传统站设备的用户界面(ui)的示例，其示出了不安全的wi-fi热点网络名称和相应的视觉图标。

6、如图1a所示，传统的站设备是膝上型计算机1031。膝上型计算机1031在五个合法ap设备(图中未示出)的热点范围内，分别具有ssid′abc′、′z45′、′pqr 1′、′mn92′和′xy3′。例如，入侵者105利用ssid′abc′来设置欺诈ap设备107，该ssid′abc′与五个合法ap设备之一的ssid相同。当膝上型计算机1031执行wi-fi扫描以发现其附近的无线网络时，表示与ap设备相关联的wi-fi热点网络的六个视觉图标1151、1152、1153、1154、1155、1156(统称为视觉图标115)显示在膝上型计算机1031的ui 1111上，如图1b所示。这里，第一视觉图标1151和第四视觉图标1154是相同的，并且具有相同的ssid，即″abc″。结果，与合法ap设备相关联的视觉图标的识别变得困难。

7、本背景技术部分中公开的信息不应仅因为它在背景技术部分中阐述而被假设为承认或任何形式的建议，即该信息形成本领域技术人员已知的现有技术。背景技术部分可以描述本公开的方面或实施例。

技术实现思路

1、本公开公开了一种用于创建封闭无线保真(wi-fi)热点网络的方法。该方法包括由接入点(ap)设备接收用于创建封闭wi-fi热点网络的第一输入。在接收到第一输入时，该方法包括由ap设备通过带内通信介质或带外通信介质向一个或多个站设备发送加密密钥。这里，一个或多个站设备存在于与ap设备相关联的预定义区域内。在发送加密密钥时，该方法包括由ap设备通过与一个或多个站设备以密文传送一个或多个管理帧来创建封闭wi-fi热点网络。

2、此外，本公开公开了一种用于创建封闭wi-fi热点网络的ap设备。所述ap设备包括处理器和通信地耦合到所述处理器的存储器。处理器接收用于创建封闭wi-fi热点网络的第一输入。在接收到第一输入时，处理器通过带内通信介质或带外通信介质向一个或多个站设备发送加密密钥。这里，一个或多个站设备存在于与ap设备相关联的预定义区域内。在发送加密密钥时，处理器通过与一个或多个站设备以密文传送一个或多个管理帧来创建封闭wi-fi热点网络。

3、另外，本公开公开了一种用于连接到封闭wi-fi热点网络的方法。该方法包括由站设备通过带内通信介质或带外通信介质从ap设备接收加密密钥。这里，站设备存在于与ap设备相关联的预定义区域内。在接收到加密密钥时，该方法包括由站设备通过封闭wi-fi热点网络从ap设备接收以密文的一个或多个管理帧。此外，该方法包括由站设备向ap设备发送用于连接到封闭wi-fi热点网络的连接请求。

4、此外，本公开公开了一种用于连接到封闭wi-fi热点网络的站设备。所述站设备包括：处理器；以及通信地耦合到所述处理器的存储器。处理器通过带内通信介质或带外通信介质从接入点(ap)设备接收加密密钥。站设备存在于与ap设备相关联的预定义区域内。处理器在接收到加密密钥时通过封闭wi-fi热点网络从ap设备接收一个或更多个管理帧。此外，处理器向ap设备发送用于连接到封闭wi-fi热点网络的连接请求。

5、前述
技术实现要素：
仅是说明性的，并不旨在以任何方式进行限制。除了上述说明性方面、实施例和特征之外，通过参考附图和以下详细描述，其他方面、实施例和特征将变得清楚。

技术特征：

1.一种用于创建封闭wi-fi热点网络的方法，所述方法包括：

2.根据权利要求1所述的方法，还包括执行以下之一：

3.根据权利要求1所述的方法，其中，由所述ap设备通过所述带内通信介质向所述一个或多个站设备发送所述加密密钥包括：

4.根据权利要求4所述的方法，其中，在与基于握手的认证相关联的多个消息中的一个消息中发送所述加密密钥包括：

5.根据权利要求1所述的方法，其中，由所述ap设备通过所述带外通信介质向所述一个或多个站设备发送所述加密密钥包括：

6.根据权利要求1所述的方法，还包括：

7.根据权利要求1所述的方法，其中，与所述一个或多个站设备传送包括所述密文的所述一个或多个管理帧包括：

8.根据权利要求1所述的方法，其中，所述一个或多个管理帧是信标帧、探测帧或关联帧。

9.根据权利要求7所述的方法，其中，所述一个或多个信息元素包括能力信息、服务集标识符(ssid)信息、支持速率信息、扩展支持速率信息、鲁棒安全网络(rsn)信息和基本服务集(bss)负载信息。

10.一种用于连接到封闭wi-fi热点网络的站设备，所述站设备包括：

11.根据权利要求10所述的站设备，其中，所述至少一个处理器还被配置为通过以下发送所述连接请求：

12.根据权利要求10所述的站设备，其中，所述至少一个处理器还被配置为通过以下通过所述带内通信介质从所述ap设备接收所述加密密钥：

13.根据权利要求12所述的站设备，其中，所述至少一个处理器还被配置为：通过以下在与所述基于握手的认证相关联的多个消息中的一个消息中接收所述加密密钥：

14.根据权利要求10所述的站设备，其中，所述至少一个处理器还被配置为通过以下通过所述带外通信介质从所述ap设备接收所述加密密钥：

15.根据权利要求10所述的站设备，其中，所述至少一个处理器还被配置为响应于接收到所述一个或多个管理帧而向所述ap设备发送连接请求。

技术总结
本文公开了用于创建封闭无线保真(Wi‑Fi)热点网络的方法、接入点(AP)设备，以及用于连接到封闭Wi‑Fi热点网络的方法、站设备。AP设备接收用于创建封闭Wi‑Fi热点网络的第一输入，通过带内通信介质或带外通信介质向存在于预定义区域内的站设备发送加密密钥，并且通过与站设备以密文传送管理帧来创建封闭Wi‑Fi热点网络。站设备从AP设备接收加密密钥和管理帧；以及向AP设备发送用于连接到封闭Wi‑Fi热点网络的连接请求。以密文传送管理帧提供了对抗与Wi‑Fi热点网络相关联的攻击的改进的安全性。

技术研发人员：K·穆鲁格桑,K·K·桑加多莱,S·斯里拉姆,R·芒德拉,M·K·萨胡
受保护的技术使用者：三星电子株式会社
技术研发日：
技术公布日：2024/1/16