CN103916849A - 用于无线局域网通信的方法和设备 - Google Patents
用于无线局域网通信的方法和设备 Download PDFInfo
- Publication number
- CN103916849A CN103916849A CN201210592485.9A CN201210592485A CN103916849A CN 103916849 A CN103916849 A CN 103916849A CN 201210592485 A CN201210592485 A CN 201210592485A CN 103916849 A CN103916849 A CN 103916849A
- Authority
- CN
- China
- Prior art keywords
- gateway
- subscriber station
- data
- authentication
- sta
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的实施方式提供了用于无线局域网通信的方法和设备,其中方法之一包括在用户站建立与无线局域网中的非信任接入点的连接后,利用外部于所述无线局域网的认证网关执行所述用户站与认证网关之间的认证。该方法还包括响应于通过所述认证,指示数据网关与所述用户站建立安全连接以便在所述用户站和所述数据网关之间执行对于所述非信任接入点加密的安全通信。通过本发明的用于无线局域网通信的方法和设备,用户的敏感数据将不会泄露于非信任的接入点,从而显著提高通信的安全性水平。
Description
技术领域
本发明的实施方式一般地涉及无线通信。更具体地,本发明的实施方式涉及用于无线局域网(WLAN)通信的方法和设备。
背景技术
例如WIFI网络的WLAN已经广泛应用在家庭或者办公室中,通过该WIFI网络,台式计算机、平板计算机以及其他智能移动设备(例如智能手机)可以连接到因特网。尽管WIFI网络便于连接,但其在服务覆盖范围方面暴露出明显的不足。典型的WIFI信号最多能达到几百米的距离,并且距离越远信号越差。当离开家或办公室时,用户将不再具有通过其受信任的家庭或办公室WIFI网络的宽带接入。当移动到提供免费WIFI接入的例如餐馆和咖啡厅的区域时,大多数的用户会简单地将移动设备连接到该WIFI网络并使用其来接入到因特网。然而,对于这样的免费WIFI网络接入来说,存在潜在的安全性问题,具体情况如下。
当前的802.11安全性框架基于假定接入点(AP)是受用户站(STA)信任的并且该框架主要关注于STA和AP之间的无线信道认证和安全数据通信。在802.11中,对于本地验证,AP负责用于建立AP和STA之间的用于安全通信的密钥体系,而对于使用802.1x的认证来说,AP负责在RADIUS服务器和STA之间传递包括认证请求/响应和密钥的消息。无论具体应用场景如何,AP总是知道STA使用的密钥以便确保其通过无线信道的数据通信。对于家庭WIFI网络来说,由于用户通常拥有STA和AP二者,因此可以假定AP总是可信任的。然而,当用户移动到其他WIFI网络时,该假定将不再有效,因为STA和其他WIFI网络中的AP将分别由不同的实体所有。当这些非用户所有的AP在转发STA和运营商网络之间的数据时,有可能截获或接触到对于STA来说敏感和私密的数据。因此,出于数据安全性方面的考虑,STA并不能完全信任这些AP(也称为非信任AP)。为了避免敏感数据泄露,STA可以选择不接入到这些非信任AP,然而这样用户将在离开家庭或办公室后无法再获得对外部网部(如因特网)的接入,这显然不切实际。
另一方面,通信运营商已经并且仍在部署越来越多的AP以提供WIFI接入。尽管运营商的AP对于STA来说是可信任的,但它们的覆盖范围无法达到城域级水平。为了部署覆盖城市范围的AP,通信运营商将花费大量的财力和物力,这对于大多数运营商来说不是期望的。为此,已经提出与第三方共享WIFI网络的解决方案。具体地,通信运营商可以与第三方签订使用第三方WIFI网络的协议,从而以相对低的成本开销来扩展其WIFI服务覆盖范围。然而,这也将带来类似于上面提到的潜在问题,即如何确保这些第三方AP在向STA提供无线接入的同时不会窃取和恶意收集STA的敏感数据。
发明内容
为了缓解或解决上述的至少一些技术问题,本发明的实施方式提供了一种有效机制,使得在通过非信任AP向STA提供无线接入的同时,避免AP收集或获取STA的敏感数据,由此显著提高了STA通信的安全水平。
根据本发明的一个实施方式,提供了一种用于WLAN通信的方法,该方法包括在STA建立与WLAN中的非信任AP的连接后,利用外部于所述WLAN的认证网关执行所述STA与认证网关之间的认证。该方法还包括响应于通过所述认证,指示数据网关与所述STA建立安全连接以便在所述STA和所述数据网关之间执行对于所述非信任AP加密的安全通信。
根据本发明的另一个实施方式,提供了一种用于WLAN通信的方法,该方法包括从外部于WLAN的认证网关接收与STA建立安全连接的指示,其中所述STA在建立与所述WLAN中的非信任AP的连接后,通过所述认证网关的认证,并且所述安全连接支持在所述STA和所述数据网关之间执行对于所述非信任AP加密的安全通信。该方法还包括基于所述指示与所述STA执行对于所述非信任AP加密的安全通信。
根据本发明的一个实施方式,提供了一种用于WLAN通信的设备,该设备包括认证单元,配置用于在STA建立与WLAN中的非信任AP的连接后,利用外部于所述WLAN的认证网关执行所述STA与认证网关之间的认证。该设备还包括指示单元,配置用于响应于通过所述认证,指示数据网关与所述STA建立安全连接以便在所述STA和所述数据网关之间执行对于所述非信任AP加密的安全通信。
根据本发明的另一个实施方式,提供了一种用于WLAN通信的设备,该设备包括接收单元,配置用于从外部于WLAN的认证网关接收与STA建立安全连接的指示,其中所述STA在建立与所述WLAN中的非信任AP的连接后,通过所述认证网关的认证,并且所述安全连接支持在所述STA和所述数据网关之间执行对于所述非信任AP加密的安全通信。该设备还包括执行单元,配置用于基于所述指示与所述STA执行对于所述非信任AP加密的安全通信。
利用本发明的实施方式,通过引入认证网关和数据网关,并且在STA和数据网关之间建立对于非信任AP加密的安全通信,无线用户的敏感数据将不会泄露于非信任AP,从而提高了用户在非信任WIFI网络上通信的安全性水平。
附图说明
根据下面结合附图的示例性实施方式的详细描述,本发明的上述和其他目的、特征和优势将变得明显,在附图中:
图1示意性示出根据本发明一个实施方式的用于WLAN通信的方法的流程图;
图2示意性示出根据本发明另一个实施方式的用于WLAN通信的方法的流程图;
图3是示意性示出根据本发明一个实施方式的STA分别通过信任AP和非信任AP进行通信的网络架构图;
图4是示意性示出根据本发明一个实施方式的通过非信任AP进行加密通信的信号流示图;
图5是示意性示出根据本发明一个实施方式的用于WLAN通信的设备的框图;以及
图6是示意性示出根据本发明另一个实施方式的用于WLAN通信的设备的框图。
具体实施方式
本发明的实施方式通过引入认证网关和数据网关,并且借助于认证网关对STA的认证以及STA与数据网关建立的安全连接,实现当STA通过非信任AP接入外部网络(例如因特网)时,其敏感数据不会泄露于该非信任AP,从而提高了通信的保密性和安全性。在一个实施方式中,认证网关是逻辑实体并且与所述数据网关位于相同的物理位置或在物理位置上远离于所述数据网关。在另一个实施方式中,存在多个潜在的数据网关,并且可以通过协商由认证网关选择潜在的数据网关之一来作为与STA建立安全连接的数据网关。
下面将结合附图来详细描述本发明的具体实施方式。
图1示意性示出根据本发明一个实施方式的用于WLAN通信的方法100的流程图,该方法100可以由认证网关来执行。如图1中所示,在步骤S101中,方法100在STA建立与WLAN中的非信任AP的连接后,利用外部于所述WLAN的认证网关执行所述STA与认证网关之间的认证。
尽管在图中未示出,在一个实施方式中,方法100进一步包括在STA建立与所述非信任AP的连接前,向STA分配认证密钥,以用于与所述认证网关之间的认证。在一个实现中,该认证密钥可以由运营商预先分配给STA和认证网关。在另一个实现中,该认证密钥可以由认证网关预先生成、维护并且递送给STA以用于未来的认证。在认证过程中,本发明实施方式的认证网关可以起到类似于RADIUS服务器的认证功能,从而使得STA能够执行通过第三方AP(即非信任AP)的安全接入。
在另一个实施方式中,在所述STA与认证网关的认证期间,所述非信任AP仅支持转发所述STA与所述认证网关之间的数据而无法对该数据进行解密。换句话说,根据本发明的实施方式,在认证期间对STA和认证网关之间的数据进行加密,从而初始就可以避免非信任AP截取STA的敏感数据。在又一个实施方式中,所述认证网关是逻辑实体并且可以与数据网关(下面将描述到)位于相同的物理位置或在物理位置上远离于数据网关。
接着,在步骤S102中,方法100响应于通过所述认证,指示数据网关与所述STA建立安全连接以便在所述STA和所述数据网关之间执行对于所述非信任AP加密的安全通信。在一个实施方式中,方法100进一步包括在指示所述数据网关前,根据预定的至少一个准则从多个潜在数据网关中选择所述数据网关。这里,预定的准则可以涉及与STA的物理距离远近、数据网关的业务优化程度以及负载均衡情况等方面。
上文描述了方法100及其在多个实施方式中的扩展。通过方法100及其扩展,可以在STA接入到非信任AP时,对其到外部网络的数据进行有效的加密,从而可以实现安全的数据通信,避免由于接入到非信任AP而带来的潜在网络安全风险。
图2示意性示出根据本发明另一个实施方式的用于WLAN通信的方法200的流程图,该方法200可以由数据网关来执行。如图2中所示,在步骤S201中,方法200从外部于WLAN的认证网关接收与STA建立安全连接的指示,其中所述STA在建立与所述WLAN中的非信任AP的连接后,通过所述认证网关的认证,并且所述安全连接支持在所述STA和所述数据网关之间执行对于所述非信任AP加密的安全通信。
尽管未示出,在一个实施方式中,在接收所述指示前,所述数据网关与所述认证网关协商以确定是否被选择作为STA的数据网关,其中所述认证网关根据预定的至少一个准则从多个潜在数据网关中选择所述数据网关。与方法100的描述相同,这里的预定的准则可以涉及与STA的物理距离、数据网关的业务优化以及负载均衡等各方面情况。
在步骤S202中,方法200基于所述指示与所述STA执行对于所述非信任AP加密的安全通信。在一个实施方式中,在所述STA与所述数据网关之间的安全通信期间,所述非信任AP仅支持转发所述STA与所述数据网关之间的数据而无法对所述数据解密。为此,在一个实现中,本发明的AP可以支持家庭模式和直通模式两种模式。在家庭模式中,该AP即被认为是STA可信任的AP,例如用户安装在自己家中的AP,而在直通模式中,该AP即被认为是非信任AP,其仅支持对接入的STA的加密数据的转发操作,而无法对该数据进行解密。
通过方法200及其如上所述的多个实施方式中的扩展,STA的数据,特别是例如用户名、密码或账号之类的敏感数据将通过STA和数据网关之间的安全连接来加密传输。对于该加密传输,非信任AP将无法实施解密操作,从而无法获取敏感数据。由此,本发明的实施方式实现了对STA数据的保护,提高了网络的安全水平。
图3是示意性示出根据本发明一个实施方式的STA分别通过信任AP和非信任AP进行通信的网络架构图。如图3中所示,STA 1(其例如可以是示出的笔记本电脑或ipad)可以通过与家庭AP(如AP 1)之间的无线连接来接入到因特网。例如,该STA 1经由图3上部示出的AP 1、调制解调器、接入节点、路由器等网络设备连接到因特网,并最终连接到web服务器3.3.3.3,此处的3.3.3.3或稍后提到的1.1.1.1和2.2.2.2都是网络设备的示例性IP地址。根据本发明的实施方式,由于此时STA 1是经由受信任的家庭AP 1连接到外部网络的,因此可以称STA 1和AP 1当前都处于家庭模式中,并且STA 1可以采用现有使用的认证和关联方式来无线接入到AP 1。由于家庭AP 1是可信任AP,因此从STA 1经由AP 1到服务器3.3.3.3的数据通信并不涉及认证网关1.1.1.1的操作,并且可以通过现有的通信机制和协议逐跳到达web服务器3.3.3.3。
根据本发明的实施方式,STA 1在家庭模式中会发现其将连接到它的家庭AP 1,因此STA 1可以指示AP 1也运行在家庭模式中。此后,STA 1可以从认证网关1.1.1.1获取对称密钥,例如图3中认证网关处示出的与STA 1相关的一列密钥{K1,K2,K3},从而在未来能够获得通过WLAN中的非信任AP的安全接入。可选地,该对称密钥可以是单个的密钥,并且密钥可以由通信运营商来预先提供。
接下来,假设STA 1离开其家庭AP(或办公室AP)并且前进到非信任AP 2(具有示例性IP地址202.112.12.22)提供WIFI覆盖的WLAN中。此时,STA 1将试图通过非信任AP 2来访问web服务器3.3.3.3,根据本发明实施方式的相关处理流程描述如下。
首先,STA 1会发现AP 2并且检测到它正在接入到该非信任AP2。响应于此,STA 1将使其自身由在可信任AP下的家庭模式转换成漫游模式。在接入到AP 2的过程期间,STA 1会与AP 2相互认证,从而获得无线信道接入和IP分配,例如其将分配有IP地址192.168.2.10,并且STA 1将请求或指示AP 2运行在直通模式。
根据本发明的实施方式,上述的直通模式可以作为新的模式来添加到AP固件中。在该直通模式中,非信任AP可以使用例如SAE(Simultaneous Authentication of Equals)的现有机制来认证STA以便进行无线信道接入。接着,该非信任AP可以简单地将来自于STA的所有数据分组向IP报头中的目的地地址转发,也即向本发明实施方式的认证网关和数据网关转发。为此,非信任AP可以通过其信标帧中的“扩展能力”域向STA通告其支持直通模式并且接着STA可以通过关联请求帧来请求该非信任AP运行在直通模式下。在当前的802.11中,“扩展能力”域中从第49位开始的位并没有被使用。因此,可以将第49位定义为支持直通模式。当在信标帧中设置了该位时,意味着AP可以支持用于安全因特网接入的直通模式。否则,该AP将不支持直接模式,从而无法向STA提供安全接入。对于STA,当在关联帧中设置该位时,意味着STA期望AP运行在直通模式中,示例性的设置如下表示出。
表:能力域
回到图3,当AP 2进入到直通模式后,STA 1基于预先与认证网关1.1.1.1共享的密钥、使用RADIUS来与认证网关1.1.1.1认证其自身,例如使用密钥K1。另一方面,认证网关1.1.1.1通过迭代地使用其与STA 1的共享密钥K1来认证STA 1的身份。在使用K1成功认证后,认证网关1.1.1.1可以通过控制消息或信令来通知其他的数据网关,以便协商确定适合于STA1的最终数据网关。这里假设图3中的数据网关2.2.2.2是距离STA 1的当前AP(即非信任AP 2)最近的数据网关,并且因此用于安全因特网接入的隧道开销可以被最小化。鉴于此,认证网关1.1.1.1可以选择数据网关2.2.2.2作为最终数据网关。附加地或可选地,当拟选择的数据网关2.2.2.2由于在业务负载、均衡、优化或与STA 1的距离等方面原因而不适合作为最终的数据网关时,认证网关可以在多个潜在的数据网关(未示出)中重新选择最适宜的数据网关来充当STA 1的最终数据网关。
在选择了数据网关2.2.2.2后,认证网关1.1.1.1将数据网关2.2.2.2的IP地址包括在其向STA 1发送的“接入允许”答复中,这可以通过使用RADIUS中的少数未分配号如17或21之一来实现。例如,该新属性可以如下定义。
同时,认证网关1.1.1.1可以产生用于STA 1的初始隧道密钥,例如K2’,并且将其通过控制消息安全地发送给数据网关2.2.2.2,这里假定在认证网关和数据网关之间已经存在安全的通信信道。在具体实现中,这里提到的数据网关选择、通知以及密钥交换可以使用通过IP的应用层特别协议来完成。
随后,认证网关1.1.1.1也将该初始隧道密钥K2’发送给STA 1,从而数据网关2.2.2.2和STA 1可以使用该密钥来建立安全隧道。当STA 1接收到来自于认证网关1.1.1.1的接入允许答复时,其使用从认证网关1.1.1.1接收到的初始隧道密钥K2’来发起隧道建立。在隧道建立期间,数据网关2.2.2.2可以维护STA的IP地址以及隧道会话密钥的列表,如数据网关2.2.2.2处所示意性示出的,从而数据网关2.2.2.2可以基于隧道数据的源IP地址、通过查找列表来找到相应的隧道会话密钥,以对数据执行相应的加密和解密。另外,数据网关2.2.2.2也可以周期性地产生并且更新隧道会话密钥。
例如,隧道(或数据)会话密钥K将用于STA 1和数据网关2.2.2.2之间隧道的加密。该隧道可以通过源地址和目的地地址来标识。如果在AP 2中不运行网络地址转换(NAT),则STA 1的源地址是唯一的并且连同远端的数据网关的地址2.2.2.2,可以唯一地确定一条专用隧道。当在AP 2中使用NAT,则STA 1的IPv4地址192.168.2.10必须被转换成外部地址。对于网络地址端口转换(NAPT),UDP隧道中的IP的附加UDP报头给出NAT端口信息以用于地址转换。例如,UDP端口40(当前未分配)可以将IP分组封装在用于STA 1的UDP隧道中。接着,所有来自于STA 1的IP分组将添加源地址为192.168.2.10、目的地地址为2.2.2.2.的IP报头,以及具有端口号为40的UDP报头。AP 2中的NAT可以将192.168.2.10:40转换成外部地址和端口:202.112.12.22:1234。该地址和端口,连同地址2.2.2.2,将用于标识STA 1和数据网关2.2.2.2之间的隧道。
当STA 1期望访问web服务器3.3.3.3时,其IP分组将具有源地址192.168.2.10和目的地地址3.3.3.3。该IP分组将以会话密钥K来加密,并且针对隧道添加具有源地址为192.168.2.10、UDP端口为40和目的地地址为2.2.2.2的另一IP和UDP报头。当接收到该IP分组时,AP 2仅能识别外部的IP报头(对于IP-in-UDP隧道来说),将源地址转换成202.112.12.22:1234,并且将其转发到数据网关2.2.2.2。一旦数据网关2.2.2.2.接收到该分组,其将该分组识别为来自于源IP地址的IP-in-UPD隧道分组,移除外部IP和UPD隧道报头,使用密钥K对分组数据解密,并且接着相应地将源IP地址转换成外部地址,并且将分组数据转发到其最终的目的地web服务器3.3.3.3。
对于从web服务器3.3.3.3向IP地址202.112.12.22:1234返回的数据分组来说,数据网关2.2.2.2将这些分组封装在IP-in-UDP隧道中,并且将它们发送回STA 1。非信任AP 2将IP地址202.112.12.22:1234转换回内部地址192.168.2.10:40并且将这些分组递送回STA 1。接着,STA 1识别这些隧道分组来自于UDP端口40,找到数据会话密钥K、使用该会话密钥K来对数据分组进行解密,并且将解密后的这些IP分组递送到相应的高层。
上文结合图3描述了根据本发明的实施方式,STA分别在家庭模式中接入到处于家庭模式中的可信任AP 1以及在漫游模式中接入到处于直通模式中的非信任AP 2的无线接入场景。可以看出,通过设置认证网关和数据网关,并且令非信任AP处于直通模式,本发明的实施方式确保了STA在接入到非信任AP时,仍可以享受安全、保密的通信,杜绝了私密敏感数据的外泄。
图4是示意性示出根据本发明一个实施方式的通过非信任AP进行加密通信的信号流示图。从图4中可以看出,其具体绘出了图3中STA 1处于漫游模式下通过非信任AP 2访问web服务器3.3.3.3的信号交互流程图。
如图4所示,在步骤S401,STA 1可以执行模式选择、信道认证和关联,来无线连接到非信任AP 2。如前所述,模式选择可以涉及STA 1确定自己处于漫游模式,而请求AP 2进入到直通模式。在与AP 2建立无线连接后,STA 1可以通过加密的信道连接到认证网关1.1.1.1.,并且使用其与认证网关1.1.1.1共享的密钥来完成彼此的认证。接着,在步骤S403处,认证网关1.1.1.1可以根据至少一个预定的准则来从多个潜在的数据网关选择一个数据网关(例如数据网关2.2.2.2)作为最终数据网关,并且向其发送用于初始隧道建立的密钥。如前所述,这里的准则可以涉及与AP 2或STA 1距离的远近、数据网关当前的业务负载和优化情况等。在选择了数据网关2.2.2.2后,认证网关1.1.1.1可以在步骤S404中将用于隧道建立的初始密钥(如前述的密钥K1’)以及通过前述在RADIUS中新定义的属性将数据网关的IP地址2.2.2.2发送给STA 1。在步骤S405处,基于获得的初始密钥,以及后续可能衍生的各种密钥,在STA 1和数据网关2.2.2.2之间建立安全隧道连接,从而在步骤S406执行对于AP 2加密的数据通信。基于上述处理流程,STA 1的数据对于AP 2来说是加密的,而处于直通模式下的AP 2也仅在STA 1和数据网关2.2.2.2之间执行数据的转发而无法对数据执行解密处理,从而无法窃取到潜在的敏感数据。
上面结合图4描述了STA在漫游模式下如何通过非信任AP进入安全的外部网络连接,可以理解的是这里的描述仅仅是对前面结合图3所做描述的总结和补充。为了简明的目的,此处省略了各个网络实体间交互中的一些细节,而这些细节可以参见结合图3的具体描述。
图5是示意性示出根据本发明一个实施方式的用于WLAN通信的设备500的框图。该设备500包括认证单元501和指示单元502。在设备500中,认证单元501配置用于在STA建立与WLAN中的非信任AP的连接后,利用外部于所述WLAN的认证网关执行所述STA与认证网关之间的认证(即执行方法100中的步骤S101),指示单元502配置用于响应于通过所述认证,指示数据网关与所述STA建立安全连接以便在所述STA和所述数据网关之间执行对于所述非信任AP加密的安全通信(即执行方法100中的步骤S102)。可以看出,通过执行设备500可以实现图1的方法100。进一步,该设备500可以实现为根据本发明实施方式的认证网关或包括在认证网关中。
图6是示意性示出根据本发明另一个实施方式的用于WLAN通信的设备600的框图。该设备600包括接收单元601和执行单元602。在设备600中,接收单元601配置用于从外部于WLAN的认证网关接收与STA建立安全连接的指示,其中所述STA在建立与所述WLAN中的非信任AP的连接后,通过所述认证网关的认证,并且所述安全连接支持在所述STA和所述数据网关之间执行对于所述非信任AP加密的安全通信(即执行方法200中的步骤S201),执行单元602配置用于基于所述指示与所述STA执行对于所述非信任AP加密的安全通信(即执行方法200中的步骤S202)。可以看出,通过执行设备600可以实现图2中示出的方法200。进一步,该设备600可以实现为根据本发明实施方式的数据网关或包括在数据网关中。
综上,结合附图对本发明的各个实施方式进行了详细的描述。本领域技术人员可以理解本发明的实施方式可以通过硬件、软件、固件、模块或者其结合来实现,也可以在供任何合适数据处理系统使用的信号承载介质上所设置的计算机程序产品中体现本发明。这种信号承载介质可以是传输介质或用于机器可读信息的可记录介质,包括磁介质、光介质或其他合适介质。可记录介质的示例包括:硬盘驱动器中的磁盘或软盘、用于光驱的光盘、磁带,以及本领域技术人员所能想到的其他介质。本领域技术人员应该认识到,具有合适编程装置的任何通信终端都将能够执行如程序产品中体现的本发明方法的步骤。
应当注意,为了使本发明更容易理解,上面的描述省略了对于本领域的技术人员来说是公知的、并且对于本发明的实现可能是必需的更具体的一些技术细节。
尽管已经公开了本发明的特定实施方式,但本领域技术人员将理解可针对特定的实施方式做出改变而不会偏离本发明的精神和范围。因此,本发明不限于特定的实施方式,并且所附权利要求包含本发明范围内的任何和所有这样的应用、修改和实施方式。
Claims (16)
1.一种用于无线局域网通信的方法,包括:
在用户站建立与无线局域网中的非信任接入点的连接后,利用外部于所述无线局域网的认证网关执行所述用户站与认证网关之间的认证;以及
响应于通过所述认证,指示数据网关与所述用户站建立安全连接以便在所述用户站和所述数据网关之间执行对于所述非信任接入点加密的安全通信。
2.根据权利要求1所述的方法,其中所述认证网关是逻辑实体并且与所述数据网关位于相同的物理位置或在物理位置上远离于所述数据网关。
3.根据权利要求1所述的方法,进一步包括:
在所述用户站建立与所述非信任接入点的连接前,向所述用户站分配认证密钥,以用于与所述认证网关之间的认证。
4.根据权利要求1所述的方法,进一步包括:
在指示所述数据网关前,根据预定的至少一个准则从多个潜在数据网关中选择所述数据网关。
5.根据权利要求1所述的方法,其中在所述用户站与所述认证网关之间的认证期间,所述非信任接入点仅支持转发所述用户站与所述认证网关之间的数据而无法对所述数据解密。
6.一种用于无线局域网通信的方法,包括:
从外部于无线局域网的认证网关接收与用户站建立安全连接的指示,其中所述用户站在建立与所述无线局域网中的非信任接入点的连接后,通过所述认证网关的认证,并且所述安全连接支持在所述用户站和所述数据网关之间执行对于所述非信任接入点加密的安全通信;
基于所述指示与所述用户站执行对于所述非信任接入点加密的安全通信。
7.根据权利要求6所述的方法,进一步包括:
在接收所述指示前,所述数据网关与所述认证网关协商以确定是否被选择作为所述数据网关,其中所述认证网关根据预定的至少一个准则从多个潜在数据网关中选择所述数据网关。
8.根据权利要求6所述的方法,其中在所述用户站与所述数据网关之间的安全通信期间,所述非信任接入点仅支持转发所述用户站与所述数据网关之间的数据而无法对所述数据解密。
9.一种用于无线局域网通信的设备,包括:
认证单元,配置用于在用户站建立与无线局域网中的非信任接入点的连接后,利用外部于所述无线局域网的认证网关执行所述用户站与认证网关之间的认证;以及
指示单元,配置用于响应于通过所述认证,指示数据网关与所述用户站建立安全连接以便在所述用户站和所述数据网关之间执行对于所述非信任接入点加密的安全通信。
10.根据权利要求9所述的设备,其中所述认证网关是逻辑实体并且与所述数据网关位于相同的物理位置或在物理位置上远离于所述数据网关。
11.根据权利要求9所述的设备,进一步包括:
分配单元,配置用于在所述用户站建立与所述非信任接入点的连接前,向所述用户站分配认证密钥,以用于与所述认证网关之间的认证。
12.根据权利要求9所述的设备,进一步包括:
选择单元,配置用于在指示所述数据网关前,根据预定的至少一个准则从多个潜在数据网关中选择所述数据网关。
13.根据权利要求9所述的设备,其中在所述用户站与所述认证网关之间的认证期间,所述非信任接入点仅支持转发所述用户站与所述认证网关之间的数据而无法对所述数据解密。
14.一种用于无线局域网通信的设备,包括:
接收单元,配置用于从外部于无线局域网的认证网关接收与用户站建立安全连接的指示,其中所述用户站在建立与所述无线局域网中的非信任接入点的连接后,通过所述认证网关的认证,并且所述安全连接支持在所述用户站和所述数据网关之间执行对于所述非信任接入点加密的安全通信;
执行单元,配置用于基于所述指示与所述用户站执行对于所述非信任接入点加密的安全通信。
15.根据权利要求14所述的设备,进一步包括:
协商单元,配置用于在接收所述指示前,利用所述数据网关与所述认证网关协商以确定是否被选择作为所述数据网关,其中所述认证网关根据预定的至少一个准则从多个潜在数据网关中选择所述数据网关。
16.根据权利要求14所述的设备,其中在所述用户站与所述数据网关之间的安全通信期间,所述非信任接入点仅支持转发所述用户站与所述数据网关之间的数据而无法对所述数据解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210592485.9A CN103916849B (zh) | 2012-12-31 | 2012-12-31 | 用于无线局域网通信的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210592485.9A CN103916849B (zh) | 2012-12-31 | 2012-12-31 | 用于无线局域网通信的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103916849A true CN103916849A (zh) | 2014-07-09 |
| CN103916849B CN103916849B (zh) | 2018-08-24 |
Family
ID=51042164
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210592485.9A Active CN103916849B (zh) | 2012-12-31 | 2012-12-31 | 用于无线局域网通信的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103916849B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105338524A (zh) * | 2014-07-28 | 2016-02-17 | 阿里巴巴集团控股有限公司 | 一种信息传输方法及装置 |
| CN105743657A (zh) * | 2016-04-07 | 2016-07-06 | 福州市鼓楼区智成商标事务所有限公司 | 一种避免热点冒用的方法 |
| CN107637160A (zh) * | 2015-05-18 | 2018-01-26 | 英特尔Ip公司 | 漫游场景中优选hplmn的epdg选择的设备、系统和方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005022821A1 (en) * | 2003-08-27 | 2005-03-10 | Nokia Corporation | Providing credentials |
| CN1658552A (zh) * | 2004-02-17 | 2005-08-24 | 华为技术有限公司 | 媒体流安全传输的实现方法 |
| CN101026599A (zh) * | 2007-01-19 | 2007-08-29 | 深圳市深信服电子科技有限公司 | 基于网关、网桥防范网络钓鱼网站的方法 |
| CN101351019A (zh) * | 2007-07-20 | 2009-01-21 | 华为技术有限公司 | 接入网关、终端及建立数据连接的方法和系统 |
| CN101656956A (zh) * | 2008-08-22 | 2010-02-24 | 华为技术有限公司 | 一种接入3gpp网络的方法、系统和网关 |
-
2012
- 2012-12-31 CN CN201210592485.9A patent/CN103916849B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005022821A1 (en) * | 2003-08-27 | 2005-03-10 | Nokia Corporation | Providing credentials |
| CN1658552A (zh) * | 2004-02-17 | 2005-08-24 | 华为技术有限公司 | 媒体流安全传输的实现方法 |
| CN101026599A (zh) * | 2007-01-19 | 2007-08-29 | 深圳市深信服电子科技有限公司 | 基于网关、网桥防范网络钓鱼网站的方法 |
| CN101351019A (zh) * | 2007-07-20 | 2009-01-21 | 华为技术有限公司 | 接入网关、终端及建立数据连接的方法和系统 |
| CN101656956A (zh) * | 2008-08-22 | 2010-02-24 | 华为技术有限公司 | 一种接入3gpp网络的方法、系统和网关 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105338524A (zh) * | 2014-07-28 | 2016-02-17 | 阿里巴巴集团控股有限公司 | 一种信息传输方法及装置 |
| CN107637160A (zh) * | 2015-05-18 | 2018-01-26 | 英特尔Ip公司 | 漫游场景中优选hplmn的epdg选择的设备、系统和方法 |
| CN107637160B (zh) * | 2015-05-18 | 2021-07-16 | 英特尔公司 | 漫游场景中优选hplmn的epdg选择的设备、系统和方法 |
| CN105743657A (zh) * | 2016-04-07 | 2016-07-06 | 福州市鼓楼区智成商标事务所有限公司 | 一种避免热点冒用的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103916849B (zh) | 2018-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11178125B2 (en) | Wireless network connection method, wireless access point, server, and system | |
| Arbaugh et al. | Your 80211 wireless network has no clothes | |
| US8893246B2 (en) | Method and system for authenticating a point of access | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| US7441043B1 (en) | System and method to support networking functions for mobile hosts that access multiple networks | |
| EP3410758B1 (en) | Wireless network connecting method and apparatus, and storage medium | |
| US7174564B1 (en) | Secure wireless local area network | |
| CN107005534B (zh) | 一种安全连接建立的方法和装置 | |
| JP5587512B2 (ja) | モバイル機器と静的宛先アドレスとの間のデータ伝送を可能にするための方法および装置 | |
| US20100106966A1 (en) | Method and System for Registering and Verifying the Identity of Wireless Networks and Devices | |
| CN105554747A (zh) | 无线网络连接方法、装置及系统 | |
| CN101616410A (zh) | 一种蜂窝移动通信网络的接入方法和系统 | |
| WO2013118096A1 (en) | Method, apparatus and computer program for facilitating secure d2d discovery information | |
| CN103139768A (zh) | 融合无线网络中的认证方法以及认证装置 | |
| CN111182546B (zh) | 接入无线网络的方法、设备及系统 | |
| CN104837136B (zh) | 无线接入认证方法和装置 | |
| US8982861B2 (en) | Mobile access controller for fixed mobile convergence of data service over an enterprise WLAN | |
| Cao et al. | Social Wi-Fi: Hotspot sharing with online friends | |
| CN103916849A (zh) | 用于无线局域网通信的方法和设备 | |
| Nguyen et al. | An SDN-based connectivity control system for Wi-Fi devices | |
| WO2008148348A1 (fr) | Procédé de communication, système et station de base domestique | |
| US20230308868A1 (en) | Method, devices and system for performing key management | |
| JP5947763B2 (ja) | 通信システム、通信方法、および、通信プログラム | |
| CN103078834A (zh) | 一种安全连接的方法、系统及网元 | |
| KR101431010B1 (ko) | 하드웨어 인증 모듈을 이용한 액세스 포인트 인증 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 201206 Shanghai, Pudong Jinqiao Ning Bridge Road, No. 388, No. Applicant after: Shanghai NOKIA Baer Limited by Share Ltd Address before: 201206 Shanghai, Pudong Jinqiao Ning Bridge Road, No. 388, No. Applicant before: Shanghai Alcatel-Lucent Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |