本發明的實施方式提供了用于無線局域網通信的方法和設備，其中方法之一包括在用戶站建立與無線局域網中的非信任接入點的連接后，利用外部于所述無線局域網的認證網關執行所述用戶站與認證網關之間的認證。該方法還包括響應于通過所述認證，指示數據網關與所述用戶站建立安全連接以便在所述用戶站和所述數據網關之間執行對于所述非信任接入點加密的安全通信。通過本發明的用于無線局域網通信的方法和設備，用戶的敏感數據將不會泄露于非信任的接入點，從而顯著提高通信的安全性水平。

技術領域

本發明的實施方式一般地涉及無線通信。更具體地，本發明的實施方式涉及用于無線局域網(WLAN)通信的方法和設備。

背景技術

例如WIFI網絡的WLAN已經廣泛應用在家庭或者辦公室中，通過該WIFI網絡，臺式計算機、平板計算機以及其他智能移動設備(例如智能手機)可以連接到因特網。盡管WIFI網絡便于連接，但其在服務覆蓋范圍方面暴露出明顯的不足。典型的WIFI信號最多能達到幾百米的距離，并且距離越遠信號越差。當離開家或辦公室時，用戶將不再具有通過其受信任的家庭或辦公室WIFI網絡的寬帶接入。當移動到提供免費WIFI接入的例如餐館和咖啡廳的區域時，大多數的用戶會簡單地將移動設備連接到該WIFI網絡并使用其來接入到因特網。然而，對于這樣的免費WIFI網絡接入來說，存在潛在的安全性問題，具體情況如下。

當前的802.11安全性框架基于假定接入點(AP)是受用戶站(STA)信任的并且該框架主要關注于STA和AP之間的無線信道認證和安全數據通信。在802.11中，對于本地驗證，AP負責用于建立AP和STA之間的用于安全通信的密鑰體系，而對于使用802.1x的認證來說，AP負責在RADIUS服務器和STA之間傳遞包括認證請求/響應和密鑰的消息。無論具體應用場景如何，AP總是知道STA使用的密鑰以便確保其通過無線信道的數據通信。對于家庭WIFI網絡來說，由于用戶通常擁有STA和AP二者，因此可以假定AP總是可信任的。然而，當用戶移動到其他WIFI網絡時，該假定將不再有效，因為STA和其他WIFI網絡中的AP將分別由不同的實體所有。當這些非用戶所有的AP在轉發STA和運營商網絡之間的數據時，有可能截獲或接觸到對于STA來說敏感和私密的數據。因此，出于數據安全性方面的考慮，STA并不能完全信任這些AP(也稱為非信任AP)。為了避免敏感數據泄露，STA可以選擇不接入到這些非信任AP，然而這樣用戶將在離開家庭或辦公室后無法再獲得對外部網部(如因特網)的接入，這顯然不切實際。

另一方面，通信運營商已經并且仍在部署越來越多的AP以提供WIFI接入。盡管運營商的AP對于STA來說是可信任的，但它們的覆蓋范圍無法達到城域級水平。為了部署覆蓋城市范圍的AP，通信運營商將花費大量的財力和物力，這對于大多數運營商來說不是期望的。為此，已經提出與第三方共享WIFI網絡的解決方案。具體地，通信運營商可以與第三方簽訂使用第三方WIFI網絡的協議，從而以相對低的成本開銷來擴展其WIFI服務覆蓋范圍。然而，這也將帶來類似于上面提到的潛在問題，即如何確保這些第三方AP在向STA提供無線接入的同時不會竊取和惡意收集STA的敏感數據。

發明內容

為了緩解或解決上述的至少一些技術問題，本發明的實施方式提供了一種有效機制，使得在通過非信任AP向STA提供無線接入的同時，避免AP收集或獲取STA的敏感數據，由此顯著提高了STA通信的安全水平。

根據本發明的一個實施方式，提供了一種用于WLAN通信的方法，該方法包括在STA建立與WLAN中的非信任AP的連接后，利用外部于所述WLAN的認證網關執行所述STA與認證網關之間的認證。該方法還包括響應于通過所述認證，指示數據網關與所述STA建立安全連接以便在所述STA和所述數據網關之間執行對于所述非信任AP加密的安全通信。