CN117044256A - 封闭wi-fi热点网络的方法、接入点设备及站设备 - Google Patents
封闭wi-fi热点网络的方法、接入点设备及站设备 Download PDFInfo
- Publication number
- CN117044256A CN117044256A CN202280022992.0A CN202280022992A CN117044256A CN 117044256 A CN117044256 A CN 117044256A CN 202280022992 A CN202280022992 A CN 202280022992A CN 117044256 A CN117044256 A CN 117044256A
- Authority
- CN
- China
- Prior art keywords
- encryption key
- network
- station
- over
- station devices
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 72
- 238000004891 communication Methods 0.000 claims abstract description 56
- 230000015654 memory Effects 0.000 claims description 39
- 230000004044 response Effects 0.000 claims description 27
- 239000000523 sample Substances 0.000 claims description 15
- 230000001413 cellular effect Effects 0.000 claims description 13
- 238000009434 installation Methods 0.000 claims description 5
- 230000008859 change Effects 0.000 claims description 2
- 238000012790 confirmation Methods 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 82
- 230000005540 biological transmission Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 13
- 230000000007 visual effect Effects 0.000 description 13
- 238000012545 processing Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 238000000605 extraction Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 4
- 230000001052 transient effect Effects 0.000 description 4
- 101000666896 Homo sapiens V-type immunoglobulin domain-containing suppressor of T-cell activation Proteins 0.000 description 2
- 102100038282 V-type immunoglobulin domain-containing suppressor of T-cell activation Human genes 0.000 description 2
- IJJVMEJXYNJXOJ-UHFFFAOYSA-N fluquinconazole Chemical compound C=1C=C(Cl)C=C(Cl)C=1N1C(=O)C2=CC(F)=CC=C2N=C1N1C=NC=N1 IJJVMEJXYNJXOJ-UHFFFAOYSA-N 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012913 prioritisation Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
- H04W12/64—Location-dependent; Proximity-dependent using geofenced areas
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本文公开了用于创建封闭无线保真(Wi‑Fi)热点网络的方法、接入点(AP)设备,以及用于连接到封闭Wi‑Fi热点网络的方法、站设备。AP设备接收用于创建封闭Wi‑Fi热点网络的第一输入,通过带内通信介质或带外通信介质向存在于预定义区域内的站设备发送加密密钥,并且通过与站设备以密文传送管理帧来创建封闭Wi‑Fi热点网络。站设备从AP设备接收加密密钥和管理帧;以及向AP设备发送用于连接到封闭Wi‑Fi热点网络的连接请求。以密文传送管理帧提供了对抗与Wi‑Fi热点网络相关联的攻击的改进的安全性。
Description
技术领域
本公开总体上涉及保护Wi-Fi热点网络,更具体地但非排他地,涉及用于创建封闭Wi-Fi热点网络的方法和接入点(AP)设备,以及用于连接到封闭Wi-Fi热点网络的方法和站设备。
背景技术
近年来,无线局域网(WLAN)的部署已经显著增加以满足对无线互联网接入的增长的需求。IEEE 802.11标准(商业上称为Wi-Fi)制定了WLAN的架构,并指定了用于实现WLAN的一组介质访问控制(MAC)和物理层(PHY)协议。尽管受欢迎,但是安全性仍然是与Wi-Fi网络相关联的主要问题之一。每年在Wi-Fi系统中发现新的漏洞,并且定期对其进行修补。
通常,接入点(AP)设备创建Wi-Fi热点网络,其中一个或多个站设备连接到该Wi-Fi热点网络以利用互联网接入。为了与Wi-Fi热点网络连接,一个或多个站设备从AP设备发送的信标帧中检索AP设备的连接信息,诸如服务集标识符(SSID)、支持的速率和安全类型。然而,由于在信标帧中以明文传输连接信息,上述Wi-Fi热点网络容易受到入侵者的安全攻击。为了克服这一点,已经在AP设备中引入了隐藏SSID(也称为隐藏网络)特征,由此从信标帧中移除SSID。然而,隐藏SSID特征限于信标帧,并且不从也以明文发送的其他管理帧(诸如探测帧和关联帧)中移除SSID。此外,隐藏SSID特征不保护存在于一个或多个管理帧中的附加有用信息,诸如AP能力信息、支持的安全方案、位图信息。由于缺乏保护,入侵者容易利用窃听工具提取连接信息,并执行各种攻击,诸如暴力攻击、拒绝服务(DoS)攻击和邪恶双胞胎攻击。因此,隐藏SSID特征不能提供对抗上述入侵者攻击的安全性。
图1a示出了入侵者105在不安全的Wi-Fi热点网络中窃听的示例。
如图1a所示,连接到互联网109的合法AP设备101分别与诸如膝上型计算机1031和智能电话1032的站设备103以明文1131、1132传送管理帧。由于管理帧1131、1132以明文发送,入侵者105使用信息破解工具容易地获得合法AP设备101的连接信息,诸如SSID和安全类型。此外,入侵者105建立欺诈AP设备107,其具有与合法AP设备101的SSID和安全类型相同的SSID和安全类型。入侵者105还对合法AP设备101执行DoS攻击,这导致合法AP设备101离线。此后,站设备1031、1032自动连接到欺诈AP设备107。这里,由于欺诈AP设备107的连接信息与合法AP设备101的连接信息相同,因此站设备1031、1032不能将欺诈AP设备107与合法AP设备101区分开。一旦连接到欺诈性AP设备107,站设备1031、1032就被引导到不安全的web门户,入侵者105通过该门户窃取用户或用户凭证的敏感信息,并误用它们,这对用户造成显著的损失和不便。
图1b示出了传统站设备的用户界面(UI)的示例,其示出了不安全的Wi-Fi热点网络名称和相应的视觉图标。
如图1a所示,传统的站设备是膝上型计算机1031。膝上型计算机1031在五个合法AP设备(图中未示出)的热点范围内,分别具有SSID′ABC′、′Z45′、′PQR 1′、′MN92′和′XY3′。例如,入侵者105利用SSID′ABC′来设置欺诈AP设备107,该SSID′ABC′与五个合法AP设备之一的SSID相同。当膝上型计算机1031执行Wi-Fi扫描以发现其附近的无线网络时,表示与AP设备相关联的Wi-Fi热点网络的六个视觉图标1151、1152、1153、1154、1155、1156(统称为视觉图标115)显示在膝上型计算机1031的UI 1111上,如图1b所示。这里,第一视觉图标1151和第四视觉图标1154是相同的,并且具有相同的SSID,即″ABC″。结果,与合法AP设备相关联的视觉图标的识别变得困难。
本背景技术部分中公开的信息不应仅因为它在背景技术部分中阐述而被假设为承认或任何形式的建议,即该信息形成本领域技术人员已知的现有技术。背景技术部分可以描述本公开的方面或实施例。
发明内容
本公开公开了一种用于创建封闭无线保真(Wi-Fi)热点网络的方法。该方法包括由接入点(AP)设备接收用于创建封闭Wi-Fi热点网络的第一输入。在接收到第一输入时,该方法包括由AP设备通过带内通信介质或带外通信介质向一个或多个站设备发送加密密钥。这里,一个或多个站设备存在于与AP设备相关联的预定义区域内。在发送加密密钥时,该方法包括由AP设备通过与一个或多个站设备以密文传送一个或多个管理帧来创建封闭Wi-Fi热点网络。
此外,本公开公开了一种用于创建封闭Wi-Fi热点网络的AP设备。所述AP设备包括处理器和通信地耦合到所述处理器的存储器。处理器接收用于创建封闭Wi-Fi热点网络的第一输入。在接收到第一输入时,处理器通过带内通信介质或带外通信介质向一个或多个站设备发送加密密钥。这里,一个或多个站设备存在于与AP设备相关联的预定义区域内。在发送加密密钥时,处理器通过与一个或多个站设备以密文传送一个或多个管理帧来创建封闭Wi-Fi热点网络。
另外,本公开公开了一种用于连接到封闭Wi-Fi热点网络的方法。该方法包括由站设备通过带内通信介质或带外通信介质从AP设备接收加密密钥。这里,站设备存在于与AP设备相关联的预定义区域内。在接收到加密密钥时,该方法包括由站设备通过封闭Wi-Fi热点网络从AP设备接收以密文的一个或多个管理帧。此外,该方法包括由站设备向AP设备发送用于连接到封闭Wi-Fi热点网络的连接请求。
此外,本公开公开了一种用于连接到封闭Wi-Fi热点网络的站设备。所述站设备包括:处理器;以及通信地耦合到所述处理器的存储器。处理器通过带内通信介质或带外通信介质从接入点(AP)设备接收加密密钥。站设备存在于与AP设备相关联的预定义区域内。处理器在接收到加密密钥时通过封闭Wi-Fi热点网络从AP设备接收一个或更多个管理帧。此外,处理器向AP设备发送用于连接到封闭Wi-Fi热点网络的连接请求。
前述发明内容仅是说明性的,并不旨在以任何方式进行限制。除了上述说明性方面、实施例和特征之外,通过参考附图和以下详细描述,其他方面、实施例和特征将变得清楚。
附图说明
并入本公开中并构成本公开的一部分的附图示出了示例性实施例,并且与说明书一起解释了所公开的原理。在附图中,附图标记的最左边的数字标识该附图标记首次出现的附图。在所有附图中使用相同的附图标记来表示相同的特征和部件。现在仅通过示例并关于附图描述根据本公开的实施例的系统和/或方法的一些实施例,其中:
图1a示出在不安全的Wi-Fi热点网络中被入侵者窃听的示例。
图1b示出传统站设备的用户界面(UI)的示例,其示出了不安全的Wi-Fi热点网络名称和相应的视觉图标。
图2a示出根据本公开一些实施例的用于创建封闭无线保真(Wi-Fi)热点网络的架构。
图2b示出根据本公开一些实施例的站设备的示例性用户界面(UI),其示出了指示封闭Wi-Fi热点网络的封闭视觉图标。
图3a示出根据本公开一些实施例的接入点(AP)设备的框图。
图3b示出根据本公开一些实施例的用于通过带内通信介质向站设备发送加密密钥的序列流程图。
图3c示出根据本公开一些实施例的用于通过带外通信介质向站设备发送加密密钥的序列流程图。
图3d示出根据本公开一些实施例的示例性信标帧。
图3e示出根据本公开一些实施例的最佳管理帧。
图4示出根据本公开内容一些实施例的站设备的框图。
图5示出图示根据本公开一些实施例的用于创建封闭Wi-Fi热点网络的方法的流程图。
图6示出图示根据本公开一些实施例的用于连接到封闭Wi-Fi热点网络的方法的流程图。
图7示出用于实现与本公开一致的实施例的示例性计算设备的框图。
本领域技术人员应当理解,本文中的任何流程图和时序图表示体现本公开的原理的说明性设备的概念视图。类似地,应当理解,任何流程图表、流程图、状态转换图、伪代码等表示可基本上在计算机可读介质中表示并由计算机或处理器执行的各种过程,无论这样的计算机或处理器是否被明确示出。
具体实施方式
在本文档中,词语″示例性″在本文中用于表示″用作示例、实例或说明″。本文中描述为″示例性″的本公开的任何实施例或实施方式不必被解释为比其他实施例优选或有利。
虽然本公开易于进行各种修改和替代形式,但是已经通过附图中的示例示出了其具体实施例,并且将在下面详细描述。然而,应当理解,并不旨在将本公开限制于所公开的特定形式,而是相反,本公开将覆盖落入本公开范围内的所有修改、等同物和替代方案。
术语“包括″、″正包括″、“包含″、“正包含″、“具有″、″正具有″、″含有″、″正含有″、″携带″、″正携带″或其任何其它变体旨在涵盖非排他性包含,使得包括一系列组件或步骤的设置、设备或方法不仅包括那些组件或步骤,而且可以包括未明确列出的或这种设置或设备或方法固有的其它组件或步骤。换句话说,在没有更多约束的情况下,系统或装置中跟在″包括...″之后的一个或多个元件不排除系统或方法中存在其它元件或附加元件。
本公开的实施例可涉及用于封闭Wi-Fi热点网络的方法、接入点(AP)设备和站设备。在本公开中,通过以密文而不是明文与站设备传送一个或多个管理帧来创建封闭Wi-Fi热点网络。具体地,在AP设备处生成基于随机数的加密密钥,并在传送一个或多个管理帧前,通过带内通信介质或带外通信介质将基于随机数的加密密钥发送到站设备。这里,在带内密钥共享和带外密钥共享期间被认证的站设备利用加密密钥对接收到的一个或多个管理帧进行解密,并提取用于连接到封闭Wi-Fi热点网络的AP设备的连接信息。
一个或多个管理帧中的连接信息的加密防止入侵者窃听和随后的安全攻击,诸如暴力攻击、拒绝服务(DoS)攻击和邪恶双胞胎攻击。使用探测请求和响应的主动扫描以及被动扫描不揭示关于网络的任何有用信息,对于其,入侵者无法确定弱链路或创建离线字典攻击。由于管理帧的加密和解密在AP设备和经认证的站设备处都被启用,所以从站设备发送的未被AP设备认证的冗余探测请求不被AP设备响应。这提高了信道利用率和通信吞吐量。此外,由于加密密钥对于每个Wi-Fi热点网络是唯一的,因此设备站基于加密密钥容易地将欺诈性AP设备与合法AP设备区分开。
图2a示出根据本公开一些实施例用于创建封闭Wi-Fi热点网络的架构。
如图2a所示,架构200可包括接入点(AP)设备101、与AP设备101相关联的用户203和一个或多个站设备1031、1032、1033、......、103N(统称为一个或多个站设备103)。AP设备101可具有蜂窝能力,并且可将蜂窝业务拴系到Wi-Fi业务以用于向一个或多个站设备103提供互联网接入。AP设备101可具有无线局域网(LAN)接口(或者称为热点接口)。AP设备101可经由无线局域网(LAN)接口连接到网关设备或蜂窝基站。网关设备可是Wi-Fi路由器。蜂窝基站可是但不限于5G基站(gNB)、4G基站(eNB)、3G基站或2G基站。此外,AP设备101可经由热点接口与一个或多个站设备103通信。
作为示例,AP设备101可以是智能电话。一个或多个站设备103可以包括但不限于膝上型计算机、台式计算机、个人数字助理(PDA)、平板计算机、智能电话、智能手表、智能电视、智能扬声器和物联网(IoT)设备。一个或多个站设备103中的每一个可以具有用于连接到AP设备101的Wi-Fi接口。一个或多个站设备103中的每一个的Wi-Fi接口可以与AP设备101的热点接口通信地耦合。
在实施例中,AP设备101可从与AP设备101相关联的用户203接收用于创建封闭Wi-Fi热点网络201的第一输入。这里,用户203可在提供第一输入前启用AP设备101的热点接口。AP设备101可从与AP设备101相关联的另一设备(未示出)接收用于创建封闭Wi-Fi热点网络201的第一输入。此外,当满足预定要求时,第一输入可由AP设备101本身生成。在接收到第一输入时,AP设备101可提取存储在AP设备101中配置的存储器中的加密密钥205。替代地,AP设备101可从用户203或另一设备(未示出)接收用于改变网络标识的第二输入。此外,当满足预定要求时,第二输入可由AP设备本身生成。在接收到第二输入时,AP设备101可利用随机密钥生成器来生成随机数。AP设备101可以将生成的随机数设置为加密密钥205。
在实施例中,AP设备101可以在接收到第一输入时通过带内通信介质或带外通信介质将加密密钥205发送到一个或多个站设备103。一个或多个站设备103可以存在于与AP设备101相关联的预定义区域内。具体地,AP设备101可以利用例如三角测量定位方法、三边测量定位方法或基于测距的定位方法来确定一个或多个站设备103中的每一个的距离。基于所确定的距离,AP设备101可以确定一个或多个站设备103是否存在于与AP设备101相关联的预定义区域内。此后,AP设备101可以将加密密钥205发送到存在于预定义区域内的一个或多个站设备103。
为了通过带内通信介质将加密密钥205发送到一个或多个站设备103,AP设备101可通过Wi-Fi网络在与基于4次握手的认证相关联的多个消息之一中将加密密钥205发送到一个或多个站设备103。这里,AP设备101可通过Wi-Fi网络向一个或多个站设备103中的每一个发送包括ANonce的第一消息。响应于发送第一消息,AP设备101可通过Wi-Fi网络从一个或多个站设备103中的每一个接收包括SNonce和消息完整性校验(MIC)值的第二消息。此外,AP设备101可以通过Wi-Fi网络向-个或多个站设备103中的每一个发送包括组临时密钥(GTK)、完整性组临时密钥(IGTK)和加密密钥205的第三消息。GTK、IGTK和加密密钥205中的每一个可利用从成对临时密钥(PTK)生成的密钥加密密钥(KEK)来加密。AP设备101可通过将伪随机函数应用于预存储的成对主密钥(PMK)、ANonce、SNonce、AP设备101的介质访问控制(MAC)地址和一个或多个站设备103中的每一个的介质访问控制(MAC)地址来生成PTK。在一些实施例中,AP设备101可通过将伪随机函数应用于从预存储的成对主密钥(PMK)、ANonce、SNonce、AP设备101的介质访问控制(MAC)地址、一个或多个站设备103的介质访问控制(MAC)地址及其组合的组中选择的至少一个来生成PTK。在发送第三消息时,AP设备101可通过Wi-Fi网络从一个或多个站设备103中的每一个接收第四消息,该第四消息包括指示GTK、IGTK和加密密钥205的成功安装的确认。
为了通过带外通信介质将加密密钥205发送到一个或多个站设备103,AP设备101可以通过短距离无线网络或蜂窝网络认证一个或多个站设备103。此外,AP设备101可以与经认证的一个或多个站设备103中的每一个建立安全无线信道。AP设备101可以通过安全无线信道将加密密钥205发送到经认证的一个或多个站设备103中的每一个。作为示例,AP设备101可以通过蓝牙、蓝牙低功耗(BLE)、Wi-Fi感知、QR码扫描和短消息服务(SMS)来发送加密密钥205。
在实施例中,AP设备101可以通过在发送加密密钥205时分别与一个或多个站设备1031、1032、1033、...、103N传送密文的一个或多个管理帧2071、2072、2073、...、207N中的(统称为一个或多个管理帧207)来创建封闭Wi-Fi热点网络201。一个或多个管理帧207中的每一个管理帧可以是信标帧、探测帧或关联帧。具体地,AP设备101可以利用加密密钥205对一个或多个管理帧207的一个或多个信息元素(IE)进行加密。该一个或多个IE可包括能力信息、服务集标识符(SSID)信息、支持速率信息、扩展支持速率信息、稳健安全网络(RSN)信息、基本服务集(BSS)负载信息、以及甚高吞吐量(VHT)能力信息。此外,AP设备101可以将密文的一个或多个管理帧207广播到一个或多个站设备103。一个或多个管理帧207中的每一个可以包括管理帧加密(MFE)IE和一个或多个加密的IE。
在一种实施例中,AP设备101可响应于广播一个或多个管理帧207,从一个或多个站设备103中至少一个站设备接收连接请求。至少一个站设备可以通过利用加密密钥205对一个或多个管理帧207的一个或多个加密的IE进行解密来生成连接请求。AP设备101可基于从至少一个站设备接收的连接请求来创建封闭Wi-Fi热点网络201。作为示例,AP设备101可从至少一个站设备接收探测请求和关联请求。作为响应,AP设备101可向至少一个站设备发送探测响应和关联响应以用于创建封闭Wi-Fi热点网络201。
在实施例中,存在于与AP设备101相关联的预定义区域内的站设备可以通过带内通信介质或带外通信介质从接入点(AP)设备接收加密密钥205。此外,站设备可以通过封闭Wi-Fi热点网络201从AP设备101接收一个或多个管理帧207。此后,站设备可以使用接收到的加密密钥205对接收到的一个或多个管理帧207中的一个或多个加密的IE进行解密,并且可以提取AP设备101的连接信息。这里,站设备可以在接收到的一个或多个管理帧207中检测MFE IE,并且可以优先化在多个AP设备(图中未示出)当中的AP设备101以用于发送连接请求。此外,站设备可以基于提取的连接信息和站设备的介质访问控制(MAC)地址来生成连接请求。站设备可以将所生成的连接请求发送到AP设备101以用于连接到封闭Wi-Fi热点网络201。
如图2a所示,入侵者105(也称为攻击者)不能执行窃听并从由AP设备101发送或广播的一个或多个管理帧207中提取连接信息。因为携带AP设备101的连接信息的一个或多个IE是用加密密钥205加密的。此外,在没有加密密钥205的情况下,入侵者105可能无法解密一个或多个管理帧207。将图2a与图1a进行比较,观察到由AP设备101创建的封闭Wi-Fi热点网络201可以提供由于以密文而不是明文与一个或多个站设备103传送一个或多个管理帧207而导致的对抗暴力攻击、拒绝服务(DoS)攻击和邪恶双胞胎攻击的改进的安全性,。
作为示例,与智能电话相关联的用户203可以启用智能电话上的热点接口。例如,用户203可以在智能电话的触摸屏上提供触摸输入,用于启用封闭Wi-Fi特征。智能电话可以确定膝上型计算机在10米距离内。因此,智能电话可以经由蓝牙向膝上型计算机发送128位加密密钥205。此外,智能电话可以将密文的信标帧发送到膝上型计算机。膝上型计算机可以在信标帧中接收MFE,并且可以使智能电话优先于其它AP设备。此外,膝上型计算机可以利用128位加密密钥205来解密信标帧,并且可以提取连接信息,诸如SSID和支持的速率。智能电话的SSID可以是″ABC″,并且支持的速率可以是2.4GHz和5GHz。利用连接信息,膝上型计算机可以向智能电话发送探测请求和关联请求以连接到封闭Wi-Fi热点网络201。
图2b示出根据本公开一些实施例的站设备的示例性用户界面(UI),其示出指示封闭Wi-Fi热点网络的封闭视觉图标。
将图2b与图1b进行比较,观察到封闭的视觉图标209连同其他视觉图标1152、1153、1154、1155、1156可以显示在膝上型计算机1031的UI 1111上。封闭视觉图标209可以表示由合法AP设备101创建的封闭Wi-Fi热点网络201。这里,即使入侵者105创建具有与合法AP设备101相同的SSID′ABC′和安全类型的欺诈性AP设备107,由于封闭视觉图标209,封闭Wi-Fi热点网络201也可以容易地与其他Wi-Fi热点网络区分开,如图2b所示。
即使当入侵者105生成与封闭Wi-Fi热点网络201的邪恶双胞胎或欺诈性AP设备(图中未示出)时,加密密钥也可能与合法AP设备101的加密密钥205不同。基于加密密钥之间的这种差异,站设备可以在发现阶段将入侵者的欺诈性AP设备与合法AP设备101区分开。
图3a示出根据本公开一些实施例的AP设备的框图。
在一些实现中,AP设备1O1可以包括I/O接口301、处理器303、至少一个收发器天线305和存储器307。这里,I/O接口301可以是热点接口(替代地称为AP接口或无线LAN接口,swlan0),并且可以与一个或多个站设备103通信地耦合。特别地,I/O接口301可以被配置为从与AP设备1O1相关联的用户203接收一个或多个输入。I/O接口301还可以被配置为向存在于与AP设备101相关联的预定义区域内的一个或多个站设备103发送加密密钥205。I/O接口301可以被配置为从一个或多个站设备103中的至少一个站设备接收连接请求。这里,I/O接口301可以与至少一个收发器天线305相关联,以用于执行与一个或多个站设备103的通信。
此外,处理器303可以经由I/O接口301从与AP设备101相关联的用户203接收用于创建封闭Wi-Fi热点网络201的第一输入。处理器303可以通过带内通信介质或带外通信介质向一个或多个站设备103发送加密密钥205。此外,处理器303可以通过与一个或多个站设备103传送密文的一个或多个管理帧207来创建封闭Wi-Fi热点网络201。另外,处理器303可以从一个或多个站设备103中的至少一个站设备接收连接请求以用于提供互联网接入。此外,处理器303可以通过封闭Wi-Fi热点网络201提供对至少一个站设备的互联网接入。
在AP设备101中,存储器307可以存储通过I/O接口301、处理器303和模块311接收的数据309。在一实施例中,数据309可以包括距离数据3091、加密密钥数据3092、站设备数据3093、管理帧数据3094、认证数据3095和其他数据3096。距离数据3091可以包括一个或多个站设备103距AP设备101的距离。加密密钥数据3092可以包括要发送到一个或多个站设备103的加密密钥205。站设备数据3093可以包括一个或多个站设备103的介质访问控制(MAC)地址。管理帧数据3094可以包括与信标帧、探测帧和关联帧相关联的数据。认证数据3095可以包括与基于4次握手的认证相关联的数据。其他数据3096可以存储数据,包括由处理器303生成的临时数据和临时文件以及用于执行AP设备101的各种功能的模块311。
在一些实施例中,存储在存储器307中的数据309可以由AP设备101的模块处理。在示例中,模块311可以通信地耦合到AP设备101中配置的处理器303。模块311可以存在于如图3a所示的存储器307外部,并且被实现为单独的硬件。如本文所使用的,术语模块311可以指专用集成电路(ASIC)、电子电路、执行一个或多个软件或固件程序的处理器(共享、专用或组)和存储器、组合逻辑电路和/或提供所描述的功能的其他合适的组件。
在一些实施例中,模块311可以包括例如接收模块313、确定模块315、提取模块317、随机密钥生成器319、密钥发送模块321、带内认证模块323、带外认证模块325、网络创建模块327、加密模块329和其他模块331。
其他模块331可以用于执行AP设备101的各种各种功能。应当理解,前述模块311可以表示为单个模块或不同模块的组合。此外,本领域普通技术人员将理解,在实施方式中,一个或多个模块311可以存储在存储器307中,而不限制本公开的范围。当配置有本公开中定义的功能时,所述模块311将产生新颖的硬件。
在一实施例中,接收模块313可以通过I/O接口301从用户203接收用于创建封闭Wi-Fi热点网络201的第一输入。接收模块313可以在接收到第一输入时触发提取模块317以用于进一步操作。此外,接收模块313可以通过I/O接口301从用户203接收用于改变网络标识的第二输入。接收模块313可以在接收到第二输入时触发随机密钥生成器319以用于进一步操作。此外,接收模块313可通过I/O接口301从一个或多个站设备103中的至少一个站设备接收连接请求。接收模块313可以将连接请求发送到网络创建模块327以用于进一步处理。
在一实施例中,确定模块315可以利用例如三角测量定位方法、三边测量定位方法或基于测距的定位方法来确定一个或多个站设备103中的每一个的距离。基于所确定的距离,确定模块315可以确定一个或多个站设备103中的每一个是否存在于与AP设备101相关联的预定义区域(也称为连接区域)内。确定模块315可以将与预定义区域内存在的一个或多个站设备103相关联的信息发送到密钥发送模块321以用于进一步处理。
在一实施例中,提取模块317可以在从用户203接收到第一输入时提取存储在AP设备101中配置的存储器307中的加密密钥205。特别地,提取模块317可以由接收模块313触发。此外,提取模块317可以从存储器307提取预存储的加密密钥205并发送到密钥发送模块321以用于进一步处理。
在一实施例中,随机密钥生成器319可以在从用户203接收到用于改变网络标识的第二输入时生成随机数。特别地,随机密钥生成器319可以在接收到第二输入时由接收模块313触发。作为示例,第二输入可以与SSID的改变相关联。此外,随机密钥生成器319可以生成随机数,并且可以将随机数设置为加密密钥205。此外,随机密钥生成器319可以将生成的随机数存储在存储器307中作为加密密钥数据3092以供提取模块317使用。
在一实施例中,密钥发送模块321可以在接收到第一输入时通过带内通信介质或带外通信介质将加密密钥205发送到一个或多个站设备103。特别地,密钥发送模块321可以从提取模块317接收密钥。此外,密钥发送模块321可以从确定模块315接收与预定义区域内存在的一个或多个站设备103相关联的信息。此后,密钥发送模块321可以通过带内通信介质(本文称为带内密钥共享)或带外通信介质(本文称为带外密钥共享)将加密密钥205发送到一个或多个站设备103。此外,密钥发送模块321可以将加密密钥205发送到网络创建模块327以用于进一步处理。
密钥发送模块321可以包括带内认证模块323和带外认证模块325。带内认证模块323可以通过Wi-Fi网络在与基于4次握手的认证相关联的多个消息中的一个消息中向一个或多个站设备103发送加密密钥205以执行带内密钥共享。带内认证模块323可以从存储器307的认证数据3095中提取预先共享的成对主密钥(PMK)。此外,带内认证模块323可以生成ANonce,其是随机数。如图3b所示,在3231处,带内认证模块323可以通过Wi-Fi网络向在认证过程中的站设备103发送包括ANonce的第一消息(M1)。在接收到第一消息(M1)时,站设备103可以生成SNonce,其是随机数。站设备103还可以提取预共享PMK。此外,站设备103可以通过将伪随机函数应用于提取的PMK、接收的Anonce、生成的SNonce、站设备103的MAC地址和AP设备101的MAC地址来生成成对临时密钥(PTK)。此外,站设备103可以将生成的SNonce发送到AP设备101。
此外,在图3b所示的3233处,响应于发送第一消息(M1),带内认证模块323可以通过Wi-Fi网络从站设备103接收包括SNonce和消息完整性校验(MIC)值的第二消息(M2)。基于MIC,带内认证模块323可以确定第二消息(M2)在传输中没有被改变。MIC可以防止入侵者的比特翻转攻击。在接收到SNonce时,带内认证模块323可以通过将伪随机函数应用于提取的PMK、生成的Anonce、接收的SNonce、站设备103的MAC地址和AP设备101的MAC地址来本地生成PTK。PTK可以用于加密站设备103和AP设备101之间的所有单播业务。PTK在站设备103和AP设备101之间可以是唯一的。此外,带内认证模块323可以提取组主密钥(GMK),并且可以基于提取的GMK生成组临时密钥(GTK)和完整性组临时密钥(IGTK)。带内认证模块323还可以生成密钥加密密钥(KEK)。在图3b所示的3235处,带内认证模块323可以通过Wi-Fi网络向站设备103发送利用KEK加密的包括GTK、IGTK和加密密钥205的第三消息(M3)。由于使用KEK进行加密,可以确保在传输第三消息(M3)期间的安全性。在接收到第三消息(M3)时,站设备103可以安装GTK、IGTK和加密密钥205。在图3b所示的3237处,带内认证模块323可以通过Wi-Fi网络从站设备103接收第四消息(M4),第四消息(M4)包括指示GTK、IGTK和加密密钥205的成功安装的确认。
此外,带外认证模块325可执行如图3c所示的带外密钥共享。在3251处,带外认证模块325可利用例如蓝牙低能量(BLE)协议或Wi-Fi感知协议来发现在AP设备101的近距离处的站设备103。在3253处,带外认证模块325可认证通过短距离无线网络或蜂窝网络连接到AP设备101的站设备103。短距离无线网络可包括但不限于蓝牙和Wi-Fi。此外,带外认证模块325可与经认证的站设备103建立安全无线信道。在3255处,带外认证模块325可以通过安全无线信道将加密密钥205连同SSID和安全信息一起发送到经认证的站设备103。在3257处,站设备103可利用从AP设备101发送的密文的一个或多个管理帧207和加密密钥205连接到封闭Wi-Fi网络。
在一实施例中,网络创建模块327可以通过在发送加密密钥205时与一个或多个站设备103传送密文的一个或多个管理帧207来创建封闭Wi-Fi热点网络201。具体地,网络创建模块327可以从密钥发送模块321接收加密密钥205。网络创建模块327可以包括加密模块329。在接收到加密密钥205时,加密模块329可以利用加密密钥205对一个或多个管理帧207的一个或多个信息元素(IE)进行加密。在加密一个或多个信息元素(IE)时,网络创建模块327可以通过至少一个收发器天线305以密文而不是明文中发送或广播一个或多个管理帧207。
该一个或多个IE可包括能力信息、服务集标识符(SSID)信息、支持速率信息、扩展支持速率信息、稳健安全网络(RSN)信息、以及基本服务集(B S S)负载信息。作为示例,加密模块329可以利用128位高级加密标准(AES)密码块链接(CBC)模式对称密码来执行一个或多个管理帧207的加密和解密。此外,网络创建模块327可以创建包括时间戳、信标间隔、管理帧元素(MFE)IE、一个或多个加密IE和管理MIC元素(MME)的密文的一个或多个管理帧207,如图3d所示。时间戳、信标间隔、MFE IE和MME可以保持未加密以降低计算复杂度。MFEIE可以包括元素ID、长度信息、密码套件信息、重放保护信息和48位MFE分组号,如图3d所示。一个或多个管理帧207中的MFE IE可以指示支持基于加密的封闭Wi-Fi热点网络201方案,使得一个或多个站设备103可以在接收到密文的一个或多个管理帧207时优先化在多个AP设备中的AP设备101以提高安全性。
在替换实施例中,加密模块329可将该一个或多个IE分类成多个第一IE和多个第二IE,并且可利用加密密钥205仅加密该多个第一IE。多个第一IE可包括处于连接阶段或未连接到封闭Wi-Fi热点网络201的第一类型的站设备所需的一个或多个IE。多个第二IE可包括已经连接到封闭Wi-Fi热点网络201的第二类型的站设备所需的一个或多个IE。对一个或多个IE中的多个第一IE的这种选择性加密可以减少额外的开销。特别地,连接的站设备可在每个预定义时间(例如~102ms)处理信标帧。在这种情况下,加密所有管理元件可能产生额外的开销。为减少这种情况,加密模块329可利用加密密钥205选择性地加密多个第一IE,并且可保持多个第二IE不加密,如图3e所示。
作为示例,该多个第一IE可包括但不限于能力信息、SSID、支持速率信息、扩展支持速率信息、RSN信息和BSS负载信息。能力信息可包括指示所请求或所通告的可选能力的多个子字段。能力信息还可包括但不限于分别用于建立符合IEEE 802.11ac的网络、符合IEEE 802.11ax的网络和符合IEEE 802.11be的网络的操作的VHT能力信息、HE能力信息和EHT能力信息。
SSID可以表示网络名称或网络标识。支持速率信息可以包括AP设备101支持的数据速率。扩展支持速率信息可以包括在支持速率信息中未携带的一个或多个支持速率。可能仅在存在多于8个支持速率的情况下才需要。RSN信息可以用于指示站的认证密码、加密密码和其它RSN能力。BSS负载信息可以仅在支持服务质量(QoS)时使用。这可以包括站计数、信道利用率、可用准入容量。
作为示例,该多个第二IE可包括但不限于业务指示映射(TIM)、信道切换信息和安静信息。TIM可以包括关于一个或多个站设备103中的每一个的缓冲的业务的信息。信道切换信息可以与IEEE 802.11h相关。当检测到雷达冲击时,一个或多个站设备103可以离开受影响的信道。AP设备101可以向小区通告下一个信道,使得连接的站设备可以移动到新信道。安静信息可以与IEEE 802.11h相关,其中AP设备101可以请求安静时间,在该安静时间期间,可以禁止来自一个或多个站设备的传输以测试信道是否存在雷达。
图4示出了根据本公开的一些实施例的站设备的框图。
在一些实现方式中,站设备可包括I/O接口401、处理器403、至少一个收发机天线405和存储器407。这里,I/O接口401可以是Wi-Fi接口,并且可与多个AP设备通信地耦合。这里,站设备可以表示图2a中所示的一个或多个站设备103中的一个。I/O接口401可被配置为从多个AP设备接收多个信标帧。这里,多个AP设备中的每个可以具有预定义区域(替代地称为连接区域或热点范围),在该预定义区域内站设备可以存在。此外,I/O接口401可被配置为从多个AP设备中的AP设备101接收加密密钥205和密文的一个或多个管理帧207。此外,I/O接口401可被配置为向多个AP设备中的AP设备101发送连接请求。这里,I/O接口401可以与至少一个收发器天线405相关联,用于执行与多个AP设备中的AP设备101的通信。
在站设备中,处理器403可从多个AP设备接收多个信标帧。处理器403还可以通过至少一个收发器天线405从多个AP设备中的AP设备101接收加密密钥205和密文的一个或多个管理帧207。此外,处理器403可以在接收到加密密钥205和密文的一个或多个管理帧207时,对多个AP设备中的AP设备101进行优先级排序。处理器403可以生成并向优先化AP设备101发送用于连接到封闭Wi-Fi热点网络201的连接请求。为了执行前述方法和功能,处理器403可以利用站设备的各种模块411和存储器407。
在站设备中,存储器407可以存储通过I/O接口401、处理器403和模块411接收的数据409。在一个实施例中,数据409可以包括加密密钥数据4091、AP设备数据4092、管理帧数据4093、认证数据4094、解密数据4095和其他数据4096。加密密钥数据4091可以包括从AP设备101接收的加密密钥205。AP设备数据4092可以包括多个AP设备的多个介质访问控制(MAC)地址。管理帧数据4093可以包括从多个AP设备接收的多个信标帧、从AP设备101接收的探测响应帧、关联响应帧。认证数据4094可以包括在基于4次握手的认证期间从AP设备101接收的数据。解密数据4095可以包括通过利用加密密钥205执行解密而从密文的一个或多个管理帧207检索的数据。其它数据4096可以存储数据,包括由处理器403生成的临时数据和临时文件,以及用于执行站设备的各种功能的模块411。
在一些实施例中,存储在存储器407中的数据409可以由站设备的模块411处理。在示例中,模块411可以通信地耦合到配置在站设备中的处理器403。模块411可以存在于如图4所示的存储器407外部,并且被实现为单独的硬件。如本文所使用的,术语模块411可以指专用集成电路(ASIC)、电子电路、执行一个或多个软件或固件程序的处理器(共享、专用或组)和存储器、组合逻辑电路和/或提供所描述的功能的其他合适的组件。
在一些实施例中,模块411可以包括例如接收模块413、提取模块415、请求生成模块419、发送模块423和其他模块425。其它模块425可以用于执行站设备的各种其它功能。应当理解,前述模块411可以表示为单个模块或不同模块的组合。此外,本领域普通技术人员将理解,在一实施例中,一个或多个模块411可以存储在存储器407中,而不限制本公开的范围。当配置有本公开中定义的功能时,所述模块411将产生新颖的硬件。
在一实施例中,接收模块413可以通过I/O接口401从多个AP设备中的AP设备101接收加密密钥205和一个或多个管理帧207。接收模块413可以通过带内通信介质或带外通信介质从AP设备101接收加密密钥205。此外,接收模块413可以从AP设备101接收密文的一个或多个管理帧207。一个或多个管理帧207可以是但不限于信标帧、探测帧或关联帧。此外,探测帧和关联帧可以分别包括探测响应和关联响应。此外,接收模块413可以将加密密钥205和一个或多个管理帧207发送到提取模块415以用于进一步处理。另外,接收模块413可以从除AP设备101之外的多个AP设备接收明文形式的多个信标帧。接收模块413还可以将多个信标帧发送到请求生成模块419以用于进一步处理。
在实施例中,提取模块415可以从密文的一个或多个管理帧207中提取AP设备101的连接信息。提取模块415可以包括解密模块417。具体地,提取模块415可从接收模块413接收加密密钥205和密文的一个或多个管理帧207。此后,解密模块417可以使用接收到的加密密钥205来解密接收到的一个或多个管理帧207的一个或多个加密的IE。在解密时,提取模块415可从解密的一个或多个IE中提取AP设备1O1的连接信息。提取模块415可将提取的连接信息发送到请求生成模块419以用于进一步处理。
在实施例中,请求生成模块419可以基于所提取的AP设备101的连接信息和站设备的介质访问控制(MAC)地址来生成连接请求。请求生成模块419可以包括优先级排序模块421。优先级模块421可以在用于连接到封闭Wi-Fi热点网络201的多个AP设备中对AP设备101进行优先级排序。优先级排序模块421可以基于加密密钥205和所提取的AP设备101的连接信息来对AP设备101进行优先级排序。此后,请求生成模块419可以利用所提取的连接信息(例如,优先化的AP设备101的SSID、支持速率信息和能力信息)来生成连接请求。作为示例,连接请求可以是用于与优先化AP设备101进行关联的关联请求。此外,请求生成模块419可以将连接请求发送到发送模块423以用于进一步处理。
在实施例中,发送模块423可以将生成的连接请求发送到AP设备101。发送模块423可以从请求生成模块419接收连接请求。此外,发送模块423可以利用收发器天线405向优先化AP设备101发送连接请求,以连接到封闭Wi-Fi热点网络201。
图5示出了图示根据本公开的一些实施例的用于创建封闭Wi-Fi热点网络的方法的流程图。
如图5所示,方法500包括示出用于创建封闭Wi-Fi热点网络201的方法的一个或多个框。描述方法500的顺序不旨在被解释为限制,并且可以以任何顺序组合任何数量的所描述的方法框以实现该方法。另外,在不脱离本文描述的主题的范围的情况下,可以从方法中删除各个框。此外,该方法可以以任何合适的硬件、软件、固件或其组合来实现。
在框501,该方法可包括由AP设备101从与AP设备101相关联的用户203接收用于创建封闭Wi-Fi热点网络201的第一输入。在从用户203接收到第一输入时,可提取存储在AP设备101中配置的存储器中的加密密钥205。在从用户203接收到用于改变网络标识的第二输入的情况下,可利用随机密钥生成器生成随机数。所生成的随机数可被设置为加密密钥205。
在框503处,该方法可以包括由AP设备101在接收到第一输入时通过带内通信介质(也称为带内密钥共享)或带外通信介质(也称为带外密钥共享)向一个或多个站设备103发送加密密钥205。一个或多个站设备103可以存在于与AP设备101相关联的预定义区域内。具体地,可以利用例如三角测量定位方法、三边测量定位方法或基于测距的定位方法来确定一个或多个站设备103中的每一个的距离。基于所确定的距离,可以确定一个或多个站设备103中的每一个是否存在于与AP设备101相关联的预定义区域内。
为了执行带内密钥共享,加密密钥205可以在与基于4次握手的认证相关联的多个消息中的一个中通过Wi-Fi网络发送到一个或多个站设备103。具体地,包括ANonce的第一消息可以通过Wi-Fi网络从AP设备101发送到一个或多个站设备103中的每一个。响应于发送第一消息,可以在AP设备101处通过Wi-Fi网络从一个或多个站设备103接收包括SNonce的第二消息。此外,包括组瞬时密钥(GTK)、完整性组瞬时密钥(IGTK)和加密密钥205的第三消息可以通过Wi-Fi网络从AP设备101发送到一个或多个站设备103。这里,GTK、IGTK和加密密钥205中的每一个可以利用从成对临时密钥(PTK)生成的密钥加密密钥(KEK)来加密。PTK可以由AP设备101通过将伪随机函数应用于预存储的成对主密钥(PMK)、ANonce、SNonce、AP设备101的介质访问控制(MAC)地址以及一个或多个站设备103中的每一个的介质访问控制(MAC)地址来生成。此后,响应于发送第三消息,可以在AP设备101处通过Wi-Fi网络从一个或多个站设备103接收包括指示GTK、IGTK和加密密钥205的成功安装的确认的第四消息。
为了执行带外密钥共享,可以通过短程无线网络和蜂窝网络中的一个来认证连接到AP设备101的一个或多个站设备103。此外,可与经认证的一个或多个站设备103中的每一个建立安全无线信道。此后,可以通过安全无线信道将加密密钥205发送到经认证的一个或多个站设备103中的每一个。
在框505处,该方法可包括由AP设备101通过在发送加密密钥205时与一个或多个站设备103以密文传送一个或多个管理帧207来创建封闭Wi-Fi热点网络201。一个或多个管理帧207中的每一个可以是信标帧、探测帧和关联帧中的一个。特别地,可以利用加密密钥205来加密一个或多个管理帧207的一个或多个信息元素(IE)。该一个或多个IE可包括能力信息、服务集标识符(S SID)信息、支持速率信息、扩展支持速率信息、稳健安全网络(RSN)信息、基本服务集(BSS)负载信息、以及甚高吞吐量(VHT)能力信息。在加密时,可以将一个或多个管理帧207发送或广播到一个或多个站设备103。一个或多个管理帧207中的每一个可以包括管理帧加密(MFE)IE和一个或多个加密的IE。
响应于发送或广播一个或多个管理帧207,AP设备101可以从一个或多个站设备103中至少一个站设备接收连接请求。至少一个站设备可以通过利用加密密钥205对一个或多个管理帧207的一个或多个加密的IE进行解密来生成连接请求。基于来自至少一个站设备的接收的连接请求,可以创建封闭Wi-Fi热点网络201。此外,可以通过封闭Wi-Fi热点网络201向至少一个站设备提供互联网接入。这里,AP设备101可以连接到网关设备或蜂窝基站以用于提供互联网接入。
图6示出了图示根据本公开的一些实施例的用于连接到封闭Wi-Fi热点网络的方法的流程图。
如图6所示,方法600包括示出用于连接到封闭Wi-Fi热点网络201的方法的一个或多个框。描述方法600的顺序不旨在被解释为限制,并且可以以任何顺序组合任何数量的所描述的方法框以实现该方法。另外,在不脱离本文描述的主题的范围的情况下,可以从方法中删除各个框。此外,该方法可以以任何合适的硬件、软件、固件或其组合来实现。
在框601处,该方法可以包括由站设备通过带内通信介质或带外通信介质从接入点(AP)设备接收加密密钥205。站设备可以存在于与AP设备101相关联的预定义区域内。
在框603,该方法可包括在接收到加密密钥205时,由站设备通过封闭Wi-Fi热点网络201从AP设备101接收密文的一个或多个管理帧207。
在框605处,该方法可以包括由站设备向AP设备101发送用于连接到封闭Wi-Fi热点网络201的连接请求。具体地,可以通过使用接收到的加密密钥205对接收到的一个或多个管理帧207的一个或多个加密IE进行解密来提取AP设备101的连接信息。此外,可以基于提取的连接信息和站设备的MAC地址来生成连接请求。生成的连接请求可以被发送到AP设备101。
计算设备
图7示出了用于实现与本公开一致的实施例的示例性计算设备700的框图。在实施例中,计算设备700可以是用于创建封闭Wi-Fi热点网络的AP设备。计算设备700可以包括中央处理单元(″CPU″或“处理器″)702。处理器702可以包括用于执行程序组件的至少一个数据处理器,所述程序组件用于执行用户或系统生成的业务过程。处理器702可以包括专用处理单元,诸如集成系统(总线)控制器、存储器管理控制单元、浮点单元、图形处理单元、数字信号处理单元等。
处理器702可以被设置为经由I/O接口701与一个或多个输入/输出(I/O)设备(711和712)通信。I/O接口701可以采用通信协议/方法,诸如但不限于音频、模拟、数字、立体声、IEEE-1394、串行总线、通用串行总线(USB)、红外、PS/2、BNC、同轴、组件、复合、数字视频接口(DVI)、高清多媒体接口(HDMI)、射频(RF)天线、S视频、视频图形阵列(VGA)、IEEE 802.n/b/g/n/x、蓝牙、蜂窝(例如,码分多址(CDMA)、高速分组接入(HSPA+)、全球移动通信系统(GSM)、长期演进(LTE)等)等。使用I/O接口701,计算设备700可以与一个或多个I/O设备711和712通信。
在一些实施例中,处理器702可以被设置为经由网络接口703与无线通信网络通信。网络接口703可以与无线通信网络通信。网络接口703可以采用连接协议,包括但不限于直接连接、以太网(例如,双绞线10/100/1000BaseT)、传输控制协议/互联网协议(TCP/IP)、令牌环、IEEE 802.11a/b/g/n/x等。
无线通信网络可以被实现为组织内的若干类型的网络中的一种,诸如内联网或局域网(LAN)等。无线通信网络可以是专用网络或共享网络,其表示使用各种协议(例如,超文本传输协议(HTTP)、传输控制协议/互联网协议(TCP/IP)、无线应用协议(WAP)等)来彼此通信的几种类型的网络的关联。此外,通信网络可以包括各种网络设备,包括路由器、网桥、服务器、计算设备、存储设备等。
在一些实施例中,处理器702可以被设置为经由存储接口704与存储器705(例如,如图7所示的RAM 713、ROM 714等)通信。存储接口704可以连接到存储器705,存储器705包括但不限于存储器驱动器、可移动磁盘驱动器等,其采用诸如串行高级技术附件(SATA)、集成驱动电子器件(IDE)、IEEE-1394、通用串行总线(USB)、光纤通道、小型计算机系统接口(SCSI)等的连接协议。存储器驱动器还可以包括鼓、磁盘驱动器、磁光驱动器、光驱动器、独立盘冗余阵列(RAID)、固态存储器设备、固态驱动器等。
存储器705可以存储程序或数据库组件的集合,包括但不限于用户/应用706、操作系统707、web浏览器708、邮件客户端715、邮件服务器716、web服务器717等。在一些实施例中,计算设备700可以存储用户/应用数据706,诸如本公开中描述的数据、变量、记录等。这样的数据库可以被实现为容错的、关系的、可扩展的、安全的数据库,诸如OracleR或SybaseR。
操作系统707可促进计算设备700的资源管理和操作。操作系统的示例包括但不限于APPLE MACINTOSHR OS X、UNIXR、类UNIX系统分发(例如,BERKELEY SOFTWAREDISTRIBUTIONTM(BSD)、FREEBSDTM、NETBSDTM、OPENBSDTM等)、LINUX DISTRIBUTIONSTM(例如,RED HATTM、UBUNTUTM、KUBUNTUTM等)、IBMTM OS/2、MICROSOFTTMWINDOWSTM(XPTM、VISTATM/7/8、10等)、APPLER IOSTM、GOOGLERANDROIDTM、BLACKBERRYR OS等。用户界面可通过文本或图形设施来促进程序组件的显示、执行、交互、操纵或操作。例如,用户界面可在可操作地连接到计算设备700的显示系统上提供计算机交互界面元素,诸如光标、图标、复选框、菜单、窗口、小部件等。可采用图形用户界面,包括但不限于APPLE MACINTOSHR操作系统、IBMTM OS/2、MICROSOFTTMWINDOWSTM(XPTM、VISTATM/7/8、10等)、UnixR X-Windows、web界面库(例如,AJAXTM、DHTMLTM、ADOBE FLASHTM、JAVASCRIPTTM、JAVATM等)等。
此外,一个或多个计算机可读存储介质可以用于实现与本公开一致的实施例中。计算机可读存储介质是指其上可以存储处理器可读的信息或数据的任何类型的物理存储器。因此,计算机可读存储介质可以存储用于由一个或多个处理器执行的指令,包括用于使处理器执行与本文描述的实施例一致的步骤或阶段的指令。术语″计算机可读介质″应当被理解为包括有形项目并且排除载波和瞬态信号,即非暂态的。示例包括随机存取存储器(RAM)、只读存储器(ROM)、易失性存储器、非易失性存储器、硬盘驱动器、光盘(CD)ROM、数字视频光盘(DVD)、闪存驱动器、磁盘和任何其他已知的物理存储介质。
在一实施例中,用于创建封闭无线保真(Wi-Fi)热点网络的接入点(AP)设备可以包括处理器303和通信地耦合到处理器303的存储器307,其中存储器307存储处理器可执行指令,可执行指令在执行时使处理器303接收用于创建封闭Wi-Fi热点网络201的第一输入,响应于接收到第一输入,通过带内通信介质或带外通信介质将加密密钥205发送到一个或多个站设备103,其中一个或多个站设备103存在于与AP设备101相关联的预定义区域内,以及通过与一个或多个站设备103传送密文的一个或多个管理帧207来创建封闭Wi-Fi热点网络201。
在一实施例中,处理器303可以响应于接收到第一输入而从存储器307提取加密密钥205。
在一实施例中,处理器303可以响应于接收到用于改变网络标识的第二输入而利用随机密钥生成器319生成随机数,其中,所生成的随机数被设置为加密密钥205。
在一实施例中,处理器303可以被配置为通过Wi-Fi网络在与基于4次握手的认证相关联的多个消息之一中将加密密钥205发送到一个或多个站设备103。
在一实施例中,处理器303可以被配置为通过Wi-Fi网络向一个或多个站设备103中的每一个发送包括ANonce的第一消息,响应于发送第一消息,通过Wi-Fi网络从一个或多个站设备103中的每一个接收包括SNonce和消息完整性校验(MIC)值的第二消息,通过Wi-Fi网络向一个或多个站设备103中的每一个发送包括组临时密钥(GTK)、完整性组临时密钥(IGTK)和加密密钥205的第三消息,其中GTK、IGTK和加密密钥205中的每一个用从成对临时密钥(PTK)生成的密钥加密密钥(KEK)加密,以及通过Wi-Fi网络从一个或多个站设备103中的每一个接收包括指示GTK、IGTK和加密密钥205的成功安装的确认的第四消息。
在一实施例中,处理器303可以被配置为通过将伪随机函数应用于从预存储的成对主密钥(PMK)、ANonce、SNonce、AP设备101的介质访问控制(MAC)地址、一个或多个站设备103中的每一个的介质访问控制(MAC)地址及其组合的组中选择的至少一个来生成PTK。
在一实施例中,处理器303可以被配置为认证通过短距离无线网络或蜂窝网络连接到AP设备101的一个或多个站设备103,以与认证的一个或多个站设备103中的每一个建立安全无线信道,并通过安全无线信道将加密密钥205发送到认证的一个或多个站设备103中的每一个。
在一实施例中,处理器303可以被配置为确定一个或多个站设备103中的每一个的距离,并且基于所确定的距离来确定一个或多个站设备103中的每一个是否存在于与AP设备101相关联的预定义区域内。
在一实施例中,处理器303可以被配置为利用加密密钥205对一个或多个管理帧207的一个或多个信息元素(IE)加密,并将一个或多个管理帧207广播到一个或多个站设备103,其中,一个或多个管理帧207中的每一个包括管理帧加密(MFE)IE和一个或多个加密的IE。
在一实施例中,处理器303可以被配置为响应于广播的一个或多个管理帧207,从在一个或多个站设备103中的至少一个站设备接收连接请求,其中,至少一个站设备通过利用加密密钥205解密一个或多个管理帧207的一个或多个加密IE来生成连接请求。
在一实施例中,处理器303可以被配置为基于从至少一个站设备接收的连接请求来创建封闭Wi-Fi热点网络201。
在一实施例中,处理器303可以被配置为通过封闭Wi-Fi热点网络201向至少一个站设备提供互联网接入,其中AP设备101连接到网关设备或蜂窝基站以用于提供互联网接入。
在一实施例中,一个或多个管理帧207可以是信标帧、探测帧或关联帧。
在一实施例中,该一个或多个IE可包括能力信息、服务集标识符(SSID)信息、支持速率信息、扩展支持速率信息、稳健安全网络(RSN)信息、基本服务集(BSS)负载信息、以及甚高吞吐量(VHT)能力信息。
在实施例中,用于连接到封闭无线保真(Wi-Fi)热点网络的站设备103可以包括处理器403和通信地耦合到处理器403的存储器407,其中存储器407存储处理器可执行指令,该可执行指令在执行时使处理器403通过带内通信介质或带外通信介质从接入点(AP)设备接收加密密钥205,其中站设备103存在于与AP设备101相关联的预定义区域内,在接收到加密密钥205时通过封闭Wi-Fi热点网络201从AP设备101接收一个或多个管理帧207,以及响应于接收到一个或多个管理帧,向AP设备101发送用于连接到封闭Wi-Fi热点网络201的连接请求。
在一实施例中,处理器403可以被配置为通过使用接收到的加密密钥205解密接收到的一个或多个管理帧207的一个或多个加密的IE来提取AP设备101的连接信息,基于提取出的连接信息和站设备103的介质访问控制(MAC)地址生成连接请求,并将生成的连接请求发送到AP设备101。
本文示出了本公开的实施例的优点。
在一实施例中,本公开提供一种用于创建封闭无线保真(Wi-Fi)热点网络的方法和接入点(AP)设备。
在一实施例中,本公开提供通过带内通信介质或带外通信介质向一个或多个站设备安全传输加密密钥。这防止未被设备AP授权或注册的入侵者获得加密密钥。
在一实施例中,本公开使得能够以密文而不是明文与一个或多个站设备传送一个或多个管理帧。
在一实施例中,本公开提高了对抗与Wi-Fi热点网络相关联的一个或多个攻击(诸如暴力攻击、拒绝服务(DoS)攻击和入侵者的邪恶双胞胎攻击)的安全性。在一个或多个管理帧中对设备AP的连接信息的加密以及加密密钥的缺乏防止入侵者执行窃听及随后的与Wi-Fi热点网络相关联的一个或多个攻击。
在一实施例中,本公开减少了管理帧开销。
在一实施例中,本公开提供一种用于基于加密密钥将欺诈AP设备与合法AP设备区分开以避免安全攻击的方法。
在一实施例中,本公开提供一种用于连接到封闭Wi-Fi热点网络的方法和站设备。
在一实施例中,本公开提供一种用于在多个AP设备之间对以密文发送加密密钥和一个或多个管理帧的AP设备进行优先化以提高安全性的方法。
除非另有明确说明,否则术语“一个实施例″、“实施例″、“多个实施例″、″所述实施例″、″所述多个实施例″、“一个或多个实施例″、“一些实施方案″和″一实施例″意指″本公开的一个或多个(但不是全部)实施例″。
除非另有明确说明,否则术语“包含″、“包括″、″具有″及其变体意指″包含但不限于″。除非另有明确说明,否则列举的项目列表并不意味着任何或所有项目是相互排斥的。
除非另有明确说明,否则术语″一″、“一个″和“该″意指“一个或多个″。
前面作为一系列项目的短语″......中的至少一个″,其中术语″和″或″或″用于分开任何项目,允许包括任何一个项目中的至少一个,和/或项目的任何组合中的至少一个,和/或每个项目中的至少一个的含义。例如,短语“A、B、C和C中的至少一个″或″A、B或C中的至少一个″中的每一个是指仅A、仅B或仅C;A、B、C的任何组合;和/或A、B和C中的每一个中的至少一个。
对具有彼此通信的若干组件的实施例的描述并不意味着需要所有这样的组件。相反,描述了各种可选组件以说明本公开的各种可能的实施例。
当本文描述单个设备或制品时,将清楚的是,可以使用多于一个的设备/制品(无论它们是否协作)来代替单个设备/制品。类似地,在本文描述多于一个的设备或制品(无论它们是否协作)的情况下,清楚的是,可以使用单个设备/制品来代替多于一个的设备或制品,或者可以使用不同数量的设备/制品来代替所示数量的设备或程序。设备的功能和/或特征可以替代地由未明确描述为具有这样的功能/特征的一个或多个其他设备来体现。因此,本公开的其他实施例不需要包括设备本身。
最后,说明书中使用的语言主要是出于可读性和指导目的而选择的,并且可能没有被选择来描绘或限制本发明的主题。因此,旨在本公开的范围不受该详细描述的限制,而是受基于此的申请发布的任何权利要求的限制。因此,本公开实施例旨在说明而非限制在所附权利要求中阐述的本公开的范围。
虽然本文已经公开了各种方面和实施例,但是其他方面和实施例对于本领域技术人员而言将是显而易见的。本文公开的各个方面和实施例是为了说明的目的,而不是限制性的,其中真正的范围和精神由所附权利要求指示。
Claims (15)
1.一种用于创建封闭Wi-Fi热点网络的方法,所述方法包括:
由接入点(AP)设备接收用于创建所述封闭Wi-Fi热点网络的第一输入;
响应于接收到所述第一输入,由所述AP设备通过带内通信介质或带外通信介质向一个或多个站设备发送加密密钥,其中,所述一个或多个站设备存在于与所述AP设备相关联的预定义区域内;以及
由所述AP设备通过与所述一个或多个站设备传送包括密文的一个或多个管理帧来创建所述封闭Wi-Fi热点网络。
2.根据权利要求1所述的方法,还包括执行以下之一:
响应于接收到所述第一输入,由所述AP设备提取存储在所述AP设备中配置的存储器中的所述加密密钥。
响应于接收到用于改变网络标识的第二输入,由所述AP设备利用随机密钥生成器生成随机数,其中,所生成的随机数被设置为所述加密密钥。
3.根据权利要求1所述的方法,其中,由所述AP设备通过所述带内通信介质向所述一个或多个站设备发送所述加密密钥包括:
通过Wi-Fi网络在与基于握手的认证相关联的多个消息中的一个消息中向所述一个或多个站设备发送所述加密密钥。
4.根据权利要求4所述的方法,其中,在与基于握手的认证相关联的多个消息中的一个消息中发送所述加密密钥包括:
由所述AP设备通过所述Wi-Fi网络向所述一个或多个站设备发送包括ANonce的第一消息;
响应于发送所述第一消息,由所述AP设备通过所述Wi-Fi网络从所述一个或多个站设备接收包括SNonce和消息完整性校验(MIC)值的第二消息;
由所述AP设备通过所述Wi-Fi网络向所述一个或多个站设备发送包括组临时密钥(GTK)、完整性组临时密钥(IGTK)和所述加密密钥的第三消息,其中,所述GTK、所述IGTK和所述加密密钥中的每一个是利用根据成对临时密钥(PTK)生成的密钥加密密钥(KEK)来加密的;以及
由所述AP设备通过所述Wi-Fi网络从所述一个或多个站设备接收第四消息,所述第四消息包括指示成功安装所述GTK、所述IGTK和所述加密密钥的确认。
5.根据权利要求1所述的方法,其中,由所述AP设备通过所述带外通信介质向所述一个或多个站设备发送所述加密密钥包括:
认证通过短程无线网络或蜂窝网络连接到所述AP设备的所述一个或多个站设备;
与经认证的一或多个站设备中的每一者建立安全无线信道;以及
通过所述安全无线信道向所述经认证的一或多个站设备中的每一者发送所述加密密钥。
6.根据权利要求1所述的方法,还包括:
由所述AP设备确定所述一个或多个站设备中的每一者的距离;以及
基于所确定的距离来确定所述一个或多个站设备中的每一者是否存在于与所述AP设备相关联的所述预定义区域内。
7.根据权利要求1所述的方法,其中,与所述一个或多个站设备传送包括所述密文的所述一个或多个管理帧包括:
由所述AP设备利用所述加密密钥对所述一个或多个管理帧的一个或多个信息元素进行加密;以及
由所述AP设备向所述一个或多个站设备广播所述一个或多个管理帧,其中,所述一个或多个管理帧中的每一者包括管理帧加密信息元素和所述一个或多个加密的信息元素。
8.根据权利要求1所述的方法,其中,所述一个或多个管理帧是信标帧、探测帧或关联帧。
9.根据权利要求7所述的方法,其中,所述一个或多个信息元素包括能力信息、服务集标识符(SSID)信息、支持速率信息、扩展支持速率信息、鲁棒安全网络(RSN)信息和基本服务集(BSS)负载信息。
10.一种用于连接到封闭Wi-Fi热点网络的站设备,所述站设备包括:
至少一个处理器,被配置为:
通过带内通信介质或带外通信介质从接入点(AP)设备接收加密密钥,其中,所述站设备存在于与所述AP设备相关联的预定义区域内;
通过所述封闭Wi-Fi热点网络从所述AP设备接收包括密文的一个或多个管理帧;以及
响应于接收到所述一个或多个管理帧,向所述AP设备发送用于连接到所述封闭Wi-Fi热点网络的连接请求。
11.根据权利要求10所述的站设备,其中,所述至少一个处理器还被配置为通过以下发送所述连接请求:
通过使用接收的加密密钥解密接收的一个或多个管理帧的一个或多个加密的信息元素来提取所述AP设备的连接信息;
基于所提取的连接信息和所述站设备的媒体访问控制(MAC)地址来生成所述连接请求;以及
向所述AP设备发送所生成的连接请求。
12.根据权利要求10所述的站设备,其中,所述至少一个处理器还被配置为通过以下通过所述带内通信介质从所述AP设备接收所述加密密钥:
通过Wi-Fi网络在与所述AP设备的基于握手的认证相关联的多个消息中的一个消息中接收所述加密密钥。
13.根据权利要求12所述的站设备,其中,所述至少一个处理器还被配置为:通过以下在与所述基于握手的认证相关联的多个消息中的一个消息中接收所述加密密钥:
通过所述Wi-Fi网络从所述AP设备接收包括ANonce的第一消息;
响应于接收到所述第一消息,通过所述Wi-Fi网络向所述AP设备发送包括SNonce和消息完整性校验(MIC)值的第二消息;
通过所述Wi-Fi网络从所述AP设备接收包括组临时密钥(GTK)、完整性组临时密钥(IGTK)和所述加密密钥的第三消息,其中,所述GTK、所述IGTK和所述加密密钥中的每一者是利用根据成对临时密钥(PTK)生成的密钥加密密钥(KEK)来加密的;以及
通过所述Wi-Fi网络向所述AP设备发送第四消息,所述第四消息包括指示成功安装所述GTK、所述IGTK和所述加密密钥的确认。
14.根据权利要求10所述的站设备,其中,所述至少一个处理器还被配置为通过以下通过所述带外通信介质从所述AP设备接收所述加密密钥:
通过短程无线网络或蜂窝网络与所述AP设备执行认证;
与所述AP设备建立安全无线信道;以及
通过所述安全无线信道从所述AP设备接收所述加密密钥。
15.根据权利要求10所述的站设备,其中,所述至少一个处理器还被配置为响应于接收到所述一个或多个管理帧而向所述AP设备发送连接请求。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN202141015646 | 2021-04-01 | ||
| IN202141015646 | 2021-04-01 | ||
| PCT/KR2022/004381 WO2022211436A1 (en) | 2021-04-01 | 2022-03-29 | Methods, access point device and station device for closed wi-fi hotspot network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117044256A true CN117044256A (zh) | 2023-11-10 |
Family
ID=83450848
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280022992.0A Pending CN117044256A (zh) | 2021-04-01 | 2022-03-29 | 封闭wi-fi热点网络的方法、接入点设备及站设备 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20220322081A1 (zh) |
| EP (1) | EP4211913A4 (zh) |
| CN (1) | CN117044256A (zh) |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2250837T3 (es) * | 2002-10-18 | 2006-04-16 | Buffalo Inc. | Metodo y sistema para establecer una clave cifrada, punto de acceso y sistema de establecimiento de un codigo de auntenticacion. |
| US7277547B1 (en) * | 2002-10-23 | 2007-10-02 | Sprint Spectrum L.P. | Method for automated security configuration in a wireless network |
| JP4804983B2 (ja) * | 2006-03-29 | 2011-11-02 | 富士通株式会社 | 無線端末、認証装置、及び、プログラム |
| US7831236B2 (en) * | 2006-07-07 | 2010-11-09 | Research In Motion Limited | Secure provisioning methods and apparatus for mobile communication devices operating in wireless local area networks (WLANS) |
| US9655012B2 (en) * | 2012-12-21 | 2017-05-16 | Qualcomm Incorporated | Deriving a WLAN security context from a WWAN security context |
| US10972196B1 (en) * | 2017-07-24 | 2021-04-06 | Nxp Usa, Inc. | Trigger frame for ranging |
| US11277744B2 (en) * | 2017-08-23 | 2022-03-15 | Huawei Technologies Co., Ltd. | Wi-Fi hotspot connection method and terminal |
| SG10201805402YA (en) * | 2018-06-22 | 2020-01-30 | Panasonic Ip Corp America | Communication apparatus and communication method for low power event monitoring |
| CN109151818B (zh) * | 2018-08-07 | 2021-08-17 | 西安易朴通讯技术有限公司 | 一种终端验证方法、ap设备、终端及系统 |
| US11297496B2 (en) * | 2018-08-31 | 2022-04-05 | Hewlett Packard Enterprise Development Lp | Encryption and decryption of management frames |
| US10985978B2 (en) * | 2018-11-08 | 2021-04-20 | Arris Enterprises Llc | System and method for first time automatic on-boarding of Wi-Fi access point |
| US11616784B2 (en) * | 2019-07-11 | 2023-03-28 | Kyndryl, Inc. | Personal-public service set identifiers connection implemented by a WAP |
-
2022
- 2022-03-29 CN CN202280022992.0A patent/CN117044256A/zh active Pending
- 2022-03-29 EP EP22781555.2A patent/EP4211913A4/en active Pending
- 2022-05-27 US US17/804,536 patent/US20220322081A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4211913A1 (en) | 2023-07-19 |
| EP4211913A4 (en) | 2024-03-06 |
| US20220322081A1 (en) | 2022-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8327143B2 (en) | Techniques to provide access point authentication for wireless network | |
| EP3460503B1 (en) | Secure wireless ranging | |
| EP1538780B1 (en) | Automatic detection of wireless network type | |
| US9843575B2 (en) | Wireless network authentication method and wireless network authentication apparatus | |
| TWI388180B (zh) | 通信系統中之金鑰產生 | |
| US20140337950A1 (en) | Method and Apparatus for Secure Communications in a Wireless Network | |
| WO2018137351A1 (zh) | 一种网络密钥处理的方法、相关设备及系统 | |
| US11863985B2 (en) | Method and apparatus for detecting and handling evil twin access points | |
| US20230344626A1 (en) | Network connection management method and apparatus, readable medium, program product, and electronic device | |
| CN101009552A (zh) | 向分组的无线装置发送消息的方法和设备 | |
| WO2006138688A1 (en) | Methods and apparatus for providing integrity protection for management and control traffic of wireless communication networks | |
| JP2014527379A (ja) | 共有エフェメラル・キー・データのセットを用いるエクスチェンジを符号化するためのシステム及び方法 | |
| EP3811583B1 (en) | Secure systems and methods for resolving audio device identity using remote application | |
| WO2016003311A1 (en) | Device bootstrap to wireless network | |
| Kumar et al. | Security analysis and implementation of a simple method for prevention and detection against Evil Twin attack in IEEE 802.11 wireless LAN | |
| US20050226175A1 (en) | Device, system and method for configuration of wireless access point | |
| US20170272405A1 (en) | Security Improvements in a Wireless Data Exchange Protocol | |
| JP6621146B2 (ja) | 通信装置、通信端末、通信システム、通信制御方法および通信制御プログラム | |
| US20220322081A1 (en) | Methods, access point device and station device for closed wi-fi hotspot network | |
| CN117501653A (zh) | 操作无线网络的装置、系统和方法 | |
| WO2021134344A1 (zh) | 一种控制通信接入的方法、ap及通信设备 | |
| WO2018210288A1 (zh) | 一种下发数据的方法及设备 | |
| Chen et al. | Enhanced WPA2/PSK for preventing authentication cracking | |
| CN116506850B (zh) | 网络接入方法、装置、无线站点、目标服务器和存储介质 | |
| CN111246412B (zh) | 定位信息的发送、定位信息的发送方的验证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |