WO2016131289A1

WO2016131289A1 - 无线热点安全性检测方法、装置及用户设备

Info

Publication number: WO2016131289A1
Application number: PCT/CN2015/092218
Authority: WO
Inventors: 邵敏茹; 王伟
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-07-28
Filing date: 2015-10-19
Publication date: 2016-08-25
Also published as: CN106385683A

Abstract

本发明提供了一种无线热点安全性检测方法、装置及用户设备。其中，该方法包括：接收至少一个无线热点的广播消息，其中，广播消息包括：第一无线热点的安全性信息；根据安全性信息，确定第一无线热点的安全性。通过本发明，解决了相关技术中无法检测无线热点的安全性的问题，实现了无线热点安全性的检测。

Description

无线热点安全性检测方法、装置及用户设备

技术领域

本发明涉及通信领域，具体而言，涉及一种无线热点安全性检测方法、装置及用户设备。

背景技术

目前，用户在使用移动终端上网时，经常会使用无线保真(Wireless-Fidelity，简称为WIFI)进行网络连接。随着WIFI的日益普遍，现在已经有大量的公共场所提供免费的WIFI供用户使用，大大方便了用户使用。但是由此引发的安全隐患是不容忽视的，例如，一些不法分子在WIFI热点设备上动手脚，通过监听移动终端所有明文流量来偷取用户的口令、小型文本文件(Cookies)，还可以进行流量劫持，危害了接入该热点的移动设备的安全。其中，所谓流量劫持，就是用户发出的请求，收到目标网站回复时，收到的内容被不法热点流入或替换成恶意内容、脚本、进而盗取用户的网站账号权限。

对于用户来说，在使用WIFI进行网络连接时，是默认信任WIFI热点的，即移动终端将所有网络使用请求通过WIFI透传至热点，进而通过热点向互联网发送请求和数据，极有可能在数据传输的过程中暴露隐私信息，存在安全隐患。

现有的技术，在移动终端(又称为客户端、用户设备)接入WIFI热点时，更多的是针对客户端的合法性进行验证，以防止不法的用户接入WIFI热点，对WIFI热点或同无线局域网络(Wireless Local Area Network，简称为WLAN)的其它客户端进行保护。而对于WIFI热点的合法性、安全性却没有进行考虑。

针对相关技术中无法检测无线热点的安全性的问题，目前尚未提出有效的解决方案。

发明内容

本发明提供了一种无线热点安全性检测方法、装置及用户设备，以至少解决相关技术中无法检测无线热点的安全性的问题。

根据本发明实施例的一个方面，提供了一种无线热点安全性检测方法，包括：接收至少一个无线热点的广播消息，其中，所述广播消息包括：第一无线热点的安全性信息；根据所述安全性信息，确定所述第一无线热点的安全性。

可选地，根据所述安全性信息，确定所述第一无线热点的安全性包括：在所述安全性信息指示所述第一无线热点的安全性为非安全的情况下，确定所述第一无线热点的安全性为非安全；和/或在所述安全性信息指示所述第一无线热点的安全性为安全的情况下，确定所述第一无线热点的安全性为安全。

可选地，在确定所述第一无线热点的安全性为非安全之后，所述方法还包括：在尚未请求将用户设备接入所述第一无线热点的情况下，不再执行请求将所述用户设备接入所述第一无线热点的操作；和/或在已请求将用户设备接入所述第一无线热点的情况下，终止执行请求将所述用户设备接入所述第一无线热点的操作。

可选地，在确定所述第一无线热点的安全性为非安全之后，所述方法还包括：启动用户设备的热点广播，并广播所述广播消息。

可选地，在确定所述第一无线热点的安全性为安全之后，所述方法还包括：将用户设备接入所述第一无线热点。

可选地，在将所述用户设备接入所述第一无线热点之前或者之后，所述方法还包括：发送预关联请求至所述第一无线热点，其中，所述预关联请求用于请求所述第一无线热点的身份信息；接收所述第一无线热点响应于所述预关联请求的预关联响应，其中，所述预关联响应中携带有所述第一无线热点的所述身份信息，所述身份信息用于确定所述第一无线热点的安全等级。

可选地，发送所述预关联请求至所述第一无线热点还包括：在发送所述预关联请求时，启动计时器；其中，在发送所述预关联请求至所述第一无线热点之后，所述方法还包括：判断在所述计时器超时后，是否收到所述预关联响应；在所述计时器超时且未收到所述预关联响应的情况下，确定所述第一无线热点的所述安全等级为低安全等级。

可选地，在所述用户设备接入的所述第一无线热点的所述安全等级为所述低安全等级的情况下，所述方法还包括：在所述用户设备的进程发起联网请求的情况下，判断所述第一无线热点的所述安全等级是否低于所述进程所要求的安全等级；在所述安全等级低于所述进程所要求的安全等级的情况下，通过蜂窝网络对所述进程进行联网。

可选地，在将所述用户设备接入所述第一无线热点之后，所述方法还包括：发送所述第一无线热点的安全性评价至服务器。

根据本发明实施例的另一个方面，还提供了一种无线热点安全性检测装置，包括：接收模块，设置为接收至少一个无线热点的广播消息，其中，所述广播消息包括：第一无线热点的安全性信息；确定模块，设置为根据所述安全性信息，确定所述第一无线热点的安全性。

可选地，所述确定模块设置为：在所述安全性信息指示所述第一无线热点的安全性为非安全的情况下，确定所述第一无线热点的安全性为非安全；和/或在所述安全性信息指示所述第一无线热点的安全性为安全的情况下，确定所述第一无线热点的安全性为安全。

可选地，所述装置还包括：处理模块，设置为在确定所述第一无线热点的安全性为非安全之后：在尚未请求将用户设备接入所述第一无线热点的情况下，不再执行请求将所述用户设备接入所述第一无线热点的操作；和/或在已请求将用户设备接入所述第一无线热点的情况下，终止执行请求将所述用户设备接入所述第一无线热点的操作。

可选地，所述装置还包括：广播模块，设置为在确定所述第一无线热点的安全性为非安全之后，启动用户设备的热点广播，并广播所述广播消息。

可选地，所述装置还包括：接入模块，设置为在确定所述第一无线热点的安全性为安全之后，将用户设备接入所述第一无线热点。

可选地，所述装置还包括：预关联请求发送模块，设置为在将所述用户设备接入所述第一无线热点之前或者之后，发送预关联请求至所述第一无线热点，其中，所述预关联请求用于请求所述第一无线热点的身份信息；预关联响应接收模块，设置为接收所述第一无线热点响应于所述预关联请求的预关联响应，其中，所述预关联响应中携带有所述第一无线热点的所述身份信息，所述身份信息用于确定所述第一无线热点的安全等级。

可选地，所述预关联请求发送模块还设置为：在发送所述预关联请求时，启动计时器；其中，所述装置还包括：预关联响应判断模块，设置为在发送所述预关联请求至所述第一无线热点之后，判断在所述计时器超时后，是否收到所述预关联响应；安全等级确定模块，设置为在所述计时器超时且未收到所述预关联响应的情况下，确定所述第一无线热点的所述安全等级为低安全等级。

可选地，所述装置还包括：安全等级判断模块，设置为在所述用户设备接入的所述第一无线热点的所述安全等级为所述低安全等级且所述用户设备的进程发起联网请求的情况下，判断所述第一无线热点的所述安全等级是否低于所述进程所要求的安全等级；联网模块，设置为在所述安全等级低于所述进程所要求的安全等级的情况下，通过蜂窝网络对所述进程进行联网。

可选地，所述装置还包括：安全性评价发送模块，设置为在将所述用户设备接入所述第一无线热点之后，发送所述第一无线热点的安全性评价至服务器。

根据本发明实施例的另一个方面，还提供了一种用户设备，包括：上述的无线热点安全性检测装置。

通过本发明实施例，采用接收至少一个无线热点的广播消息，其中，广播消息包括：第一无线热点的安全性信息；根据安全性信息，确定第一无线热点的安全性的方式，解决了相关技术中无法检测无线热点的安全性的问题，实现了无线热点安全性的检测。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的无线热点安全性检测方法的流程图；

图2是根据本发明实施例的无线热点安全性检测装置的结构示意图；

图3是本发明可选实施例的STA安全接入WIFI热点的方法的流程图；

图4是本发明可选实施例的高危热点预警信息的预警帧结构示意图；

图5是本发明可选实施例的预关联请求信息的帧结构示意图；

图6是本发明可选实施例的预关联响应信息的帧结构示意图；

图7是本发明可选实施例的目标AP的安全属性为中级安全时访问互联网的流程图；

图8是本发明可选实施例的安全接入WIFI热点的装置的结构示意图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

在本实施例中提供了一种无线热点安全性检测方法，图1是根据本发明实施例的无线热点安全性检测方法的流程图，如图1所示，该流程包括如下步骤：

步骤S102，接收至少一个无线热点的广播消息，其中，广播消息包括：第一无线热点的安全性信息；

步骤S104，根据安全性信息，确定第一无线热点的安全性。

通过上述步骤，可以通过至少一个无线热点的广播消息获取无线热点的安全性信息，进而根据该安全性信息确定第一无线热点的安全性，解决了相关技术中无法检测无线热点的安全性的问题，实现了无线热点安全性的检测。

在本发明实施例中的无线热点包括但不限于：基于WIFI的无线热点、基于紫蜂协议(ZigBee)的无线热点、基于蓝牙(BlueTooth)的无线热点。根据基于的协议的不同，热点标识可以有不同的称呼，但是其本质都是作为该无线热点标识信息，用于在网络中唯一标识一个无线热点或者提供该无线热点的设备。

上述的安全性信息，表示该第一无线热点的安全性是否为建议接入的安全等级。例如，安全性信息可以包括两个指示：可安全接入指示、不可安全接入指示；或者分别称为：安全无线热点指示、危险无线热点指示。当然，安全性信息中也可以包括对该无线热点的安全等级分级信息，例如，可以将安全等级分为：高安全等级、低安全等级、不具备安全性三个等级，其中，可以将高安全等级、低安全等级作为可安全接入指示，而将布局安全性的安全等级作为不可安全接入等级。

进行广播消息广播的无线热点可以是固定的热点提供设备所提供的，也可以是其他移动终端提供的。例如，目前的移动终端均具备开启热点、组建无线局域网的功能，通过具有开启热点功能的移动终端则可以开启无线热点并进行广播消息的广播。

上述方法可以应用在用户设备上，本发明实施例中所称的用户设备包括具备无线热点接入功能的固定或者便携式设备。较优的，本发明实施例应用于便携式的用户设备中，例如：智能手机、平板电脑等移动终端。然而，应用在具备无线热点接入功能的台式个人电脑等固定设备上也是可以的，在本发明实施例中并不对此进行限制。在本发明实施例中以用户设备为例进行描述和说明。

可选地，在步骤S104中，在安全性信息指示第一无线热点的安全性为非安全的情况下，确定第一无线热点的安全性为非安全；和/或在安全性信息指示第一无线热点的安全性为安全的情况下，确定第一无线热点的安全性为安全。

可选地，将上述步骤应用在无线热点的接入过程中，则可以在向无线热点发送认证请求之前或者之后，并在完成无线热点的接入之前，进行无线热点安全性的检测。其中，在确定第一无线热点的安全性为非安全，且尚未请求将用户设备接入第一无线热点的情况下，不再执行请求将用户设备接入第一无线热点的操作；可选地，在确定第一无线热点的安全性为非安全，且已请求将用户设备接入第一无线热点的情况下，则也可以终止执行请求将用户设备接入第一无线热点的操作。

其时，可以在用户操作用户设备请求接入第一无线热点时，向用户展示第一无线热点的告警信息，在用户根据该告警信息确认不再接入第一无线热点的情况下，用户设备不向第一无线热点请求接入。较优的，用户设备还可以将第一无线热点的热点标识和安全性信息存储在本地，建立无线热点黑名单，以便在下次接入无线热点之前，可以先到无线热点黑名单中进行匹配，对于匹配到的无线热点可以直接拒绝接入。另外，在用户接收到告警信息后，若用户仍然选择接入该第一无线热点，则可以根据预先配置的安全策略，最终确认是否接入第一无线热点。

可选地，在确定第一无线热点的安全性为非安全之后，用户设备也可以启动用户设备的热点广播，并广播广播消息。用户设备启用热点广播该广播消息时，可以周期性广播，也可以仅广播一次或者数次；较优的，用户设备还可以结合自身的设备状况决定是否进行广播以及广播的周期。例如，用户设备的电量低的情况下，可以选择较长的周期广播，或者不进行广播。

可选地，在广播广播消息时，可以仅广播用户设备能够探测到的无线热点的安全性信息，而对于用户设备探测不到的无线热点可以不进行安全性信息的广播。

可选地，在确定第一无线热点的安全性为安全之后，则可以根据用户的指示，在需要接入无线热点的情况下，将用户设备接入第一无线热点。

可选地，在将用户设备接入第一无线热点之前或者之后，用户设备可以通过蜂窝网络或者第一无线热点，发送预关联请求至第一无线热点，其中，预关联请求用于请求第一无线热点的身份信息；这些身份信息包括热点标识，以及其他用于确认热点身份安全性的信息。例如，无线热点提供者可以向服务器申请认证，认证时可以提供无线热点提供者的真实身份信息作为担保。通过认证后，服务器将向无线热点提供者颁布认证证书，其中，服务器可以根据无线热点提供者的信用等级(例如银行信用等级、违法违规记录)或者资产信息等，生成无线热点提供者的安全等级，并将该安全等级记录在认证证书中。在无线热点接收到预关联请求后，可以将该证书响应给用户设备；接收第一无线热点响应于预关联请求的预关联响应，其中，预关联响应中可以携带有第一无线热点的认证证书或者其他身份信息，使得用户设备可以根据认证证书或者身份信息确定第一无线热点的安全等级。

可选地，在发送预关联请求时，用户设备还可以启动计时器；在发送预关联请求至第一无线热点之后，用户设备判断在计时器超时后，是否收到预关联响应；在计时器超时且未收到预关联响应的情况下，确定第一无线热点的安全等级为低安全等级。此时，用户设备也可以接入第一无线热点，但是将对安全性较高的进程进行保护。

可选地，在用户设备接入的第一无线热点的安全等级为低安全等级的情况下，在用户设备的进程发起联网请求的情况下，用户设备判断第一无线热点的安全等级是否低于进程所要求的安全等级；在安全等级低于进程所要求的安全等级的情况下，用户设备可以切换到蜂窝网络对该进程进行联网，以通过蜂窝网络实现该进程与网络的信息交互。在切换到蜂窝网络时，可以关闭无线热点，然后启用蜂窝网络的数据传输功能。其中的蜂窝网络包括但不限于：基于通用分组无线服务技术(General Packet Radio Service，简称为GPRS)、增强型数据速率全球移动通信***演进技术(Enhanced Date Rate for GSM Evolution，简称为EDGE)、高速分组接入技术(High-Speed Packet Access，简称为HSPA)、高速分组接入技术演进版(HSPA+)、***移动通信技术(4G)的无线数据通信网络，以及后续演进的无线数据通信网络。

可选地，在将用户设备接入第一无线热点之后，用户设备还可以发送第一无线热点的安全性评价至服务器。其中，安全性评价是由用户输入用户设备的。用户输入安全性评价时，可以是主动输入的，例如，用户在使用第一无线热点过程中，或者在使用第一无线热点之后，根据使用体验、用户账户的安全状况，通过调用用户设备提供的一个用户接口，输入安全性评价。用户输入安全性评价也可以是被动的，例如，在用户设备终止第一无线热点的接入时，用户界面向用户提供一个界面，用于用户输入安全性评价。其中，安全性评价可以是文字评论，也可以是一个供服务器参考的安全等级描述。

对于服务器而言，可以根据安全性评价确定或者更新第一无线热点的安全等级；例如，在服务器接收到预定数量/预定比例的第一无线热点的不安全等级的安全性评价时，可以将第一无线热点的安全等级更新为不安全。作为一种辅助手段，服务器还可以通过蜂窝网络向用户设备提供第一无线热点的安全性信息。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

在本实施例中还提供了一种无线热点安全性检测装置，该装置用于实现上述实施例及可选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图2是根据本发明实施例的无线热点安全性检测装置的结构框图，如图2所示，该装置包括：接收模块22和确定模块24，其中，接收模块22，设置为接收至少一个无线热点的广播消息，其中，广播消息包括：第一无线热点的安全性信息；确定模块24，连接至接收模块22，设置为根据安全性信息，判断第一无线热点的安全性。

可选地，确定模块24包括：第一确定单元，设置为在安全性信息指示第一无线热点的安全性为非安全的情况下，确定第一无线热点的安全性为非安全；和/或第二确定单元，设置为在安全性信息指示第一无线热点的安全性为安全的情况下，确定第一无线热点的安全性为安全。

可选地，装置还包括：处理模块，设置为在确定第一无线热点的安全性为非安全之后：在尚未请求将用户设备接入第一无线热点的情况下，不再执行请求将用户设备接入第一无线热点的操作；和/或在已请求将用户设备接入第一无线热点的情况下，终止执行请求将用户设备接入第一无线热点的操作。

可选地，装置还包括：广播模块，连接至第一确定单元，设置为启动用户设备的热点广播，并广播广播消息。

可选地，装置还包括：接入模块，连接至第二确定单元，设置为将用户设备接入第一无线热点。

可选地，装置还包括：预关联请求发送模块，通过第一无线热点提供的连接与第一无线热点连接，设置为发送预关联请求至第一无线热点，其中，预关联请求用于请求第一无线热点的身份信息；预关联响应接收模块，通过第一无线热点提供的连接与第一无线热点连接，设置为接收第一无线热点响应于预关联请求的预关联响应，其中，预关联响应中携带有第一无线热点的身份信息，身份信息用于确定第一无线热点的安全等级。

可选地，预关联请求发送模块还设置为：在发送预关联请求时，启动计时器；其中，装置还包括：预关联响应判断模块，与预关联请求发送模块连接，设置为在发送预关联请求至第一无线热点之后，判断在计时器超时后，是否收到预关联响应；安全等级确定模块，与预关联响应判断模块连接，在计时器超时且未收到预关联响应的情况下，确定第一无线热点的安全等级为低安全等级。

可选地，装置还包括：安全等级判断模块，设置为在用户设备接入的第一无线热点的安全等级为低安全等级的情况下，且在用户设备的进程发起联网请求的情况下，判断第一无线热点的安全等级是否低于进程所要求的安全等级；联网模块，与安全等级判断模块连接，设置为在安全等级低于进程所要求的安全等级的情况下，通过蜂窝网络对进程进行联网。

可选地，装置还包括：安全性评价发送模块，设置为在将用户设备接入第一无线热点之后，发送第一无线热点的安全性评价至服务器。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述模块分别位于多个处理器中。

本发明的实施例还提供了一种用户设备，包括上述的无线热点安全性检测装置，用于实现上述的无线热点安全性检测方法。

本发明的实施例还提供了一种软件，该软件用于执行上述实施例及可选实施方式中描述的技术方案。

本发明的实施例还提供了一种存储介质。在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的程序代码：

S1，接收至少一个无线热点的广播消息，其中，广播消息包括：热点标识、具有热点标识的第一无线热点的安全性信息；

S2，根据安全性信息，判断第一无线热点的安全性。

可选地，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(Read-Only Memory，简称为ROM)、随机存取存储器(Random Access Memory，简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

为了使本发明实施例的描述更加清楚，下面结合可选实施例进行描述和说明。

在相关技术中，尤其是在非法的WIFI热点对客户端进行攻击之前无法对WIFI热点的安全性进行检测，更无法将不法WIFI热点及时共享给其它客户端(在本发明可选实施例中又称为站(Station，简称为STA))。

针对这些不足，以WIFI热点为例，在本发明可选实施例中提出一种安全接入WIFI热点的方法和装置，其中，安全接入WIFI热点的方法，包括如下步骤：

步骤1，客户端接收来自目标WIFI热点(相当于上述第一无线热点)的广播消息以及来自周围其它热点的广播消息；

步骤2，客户端解析广播消息，并提取其中的高危热点预警信息。

需要说明的是，在该步骤之外，客户端还可以通过云端服务器对目标热点的信用等级进行查询，以作为目标接入点(Access Point，简称为AP，即热点)安全性诊断的一个补充来源。

步骤3，客户端根据步骤1查询到的高危热点预警信息，进行判断，如果该目标WIFI热点属于高危热点，转向步骤4；否则转向步骤5。

步骤4，客户端拒绝接入目标WIFI热点，停止认证请求，并启动高危热点广播，通过发送广播信息向附近的其它客户端举报此高危热点。

步骤5，客户端向目标WIFI热点发起认证请求；

步骤6，客户端收到来自目标WIFI热点的认证响应后，向目标WIFI热点发起预关联请求，其中向目标WIFI热点请求关键信息，其中，关键信息是指可以有效代表WIFI热点设备及持有人身份的信息，例如，WIFI热点的移动设备国际身份码(International Mobile Equipment Identity，简称为IMEI)、持有人有效证件号码等；

步骤7，客户端等待来自目标WIFI热点的预关联响应，并启动定时器，如果在定时器超时前收到来自目标WIFI热点的有效预关联响应，转向步骤8；否则转向步骤9。

步骤8，客户端在定时器超时前收到来自目标WIFI热点的有效预关联响应，并提取认证响应信息中的关键信息，保存至本地数据库。并根据此关键信息对此目标WIFI热点的安全属性进行定义，并上传至云端服务器。

步骤9，客户端在定时器超时前未能收到来自目标WIFI热点的有效预关联响应，将此目标WIFI热点安全属性定义为中级安全，转向步骤10。

步骤10，客户端对需要联网的应用程序进行安全级别定义；

步骤11，当客户端发起联网请求时，通过进程判断本次联网请求对应的进程是否属于敏感进程；其中，敏感进程是指对安全性能要求高的进程。

步骤12，对步骤11的应用程序进行判定，当客户端的联网请求来自敏感应用程序，断开与目标WIFI热点的连接，切换至蜂窝移动网络，否则将应用程序的联网请求透传至目标WIFI热点。

步骤13，当客户端结束与目标WIFI热点的连接时，客户端通过显示模块向用户提示对本次连接的安全性进行评价。

步骤14，客户端结合步骤13中用户的安全性评价，对此目标WIFI热点的信用等级进行定义，并上传至云端服务器。

需要说明的是，客户端对目标WIFI热点的安全性评价，是可以由用户主动发起的，即当用户在之后的某时间里发现在连接此目标AP期间本身的安全曾经被侵害，可以主动发起上传目标热点的安全性，以更新之前上传的对目标AP的安全性评价。

相应的，本发明实施例还提供了一种安全接入WIFI热点的装置(以下称为客户端装置)，该客户端装置包括：

收发模块：设置为与服务器、WIFI热点或其它的客户端进行消息发送和接收。

解析模块：设置为解析来自服务器、WIFI热点或其它的客户端消息进行发送和接收。

控制模块：设置为控制本地进程访问网络，根据当前所连接WIFI热点的安全级别，控制部分敏感进程通过WIFI访问网络；或者切换到蜂窝移动网络，控制该敏感进程通过蜂窝移动网络访问互联网。其中，敏感进程是指对安全性能要求高的进程。

显示模块：设置为向用户显示WIFI热点的安全级别；设置为向用户收集相关WIFI热点的安全信息。

通过本发明可选实施例提供的上述方案，能够根据即将接入的WIFI热点的安全级别，智能选择最优的接入和数据传输策略，有效的保护客户端用户的隐私和安全，提高产品的安全性。

下面结合附图对本发明可选实施例进行描述和说明。

图3是本发明可选地实施例中安全接入WIFI热点的方法流程示意图。如图3所示，该方法包括：

步骤S3001，STA接收本机周围的热点发出的信标帧(Beacon)报文以及预警报文，以检测本STA周围可用的AP。

步骤S3002，STA解析步骤S3001中接收到的Beacon报文以及预警报文提取其中的高危热点预警信息，并判定所指的AP是否是目标AP。

图4是本发明可选实施例中高危热点预警信息的预警帧结构，如图4所示，包括：

帧控制(Frame Control)字段：对标准帧的Frame Control字段进行改进，从该字段的Type＝00可以看到，此帧属于管理帧；

标准管理帧中各字段的标准定义：

Frame Control字段中包括：协议版本(Protocol)位、分布式***上行(To DS)位与分布式***下行(From DS)位、更多分段(More Fragment)位、重试(Retry)位、电源管理(Power Management)位、更多数据(More Data)位、保护帧(Protected Frame)位及顺序(Order)位；时长(Duration/ID)字段、地址1(Address1)字段、地址2(Address2)字段、地址3(Address3)字段、顺序控制(Sequence Control)字段地址4(Address4)字段、帧校验序列(FCS)字段。

上述各字段的定义同现有标准，在此不再进行赘述。

在本发明可选实施例中修改了标准管理帧，以实现高危热点预警信息的广播。修改后管理帧包括：

子类型(Sub Type)字段：对标准帧的Sub Type字段进行改进，构成本实施例的特殊帧，设置为广播无线AP本身的连接信息，而收到此无线帧的无线AP也能够对其进行解析。由于标准协议中管理帧的Sub Type值0110～0111与1101～1111未被定义，此处可使用其中的任意一个值，与其它的标准值相区分。可选的，本实施例可以为Sub Type赋值为0110，表明此管理帧是高危预警帧。

帧主体(Frame body)字段：Frame body字段是帧的数据字段，在本可选实施例中将高危AP的身份标识，例如，媒体接入控制(Media Access Control，简称为MAC)地址、服务集标识符(Service Set Identifier，简称为SSID)信息封装在该字段中。

步骤S3003，STA向云端服务器查询目标热点的安全信用等级。

其中，安全信用等级，是根据曾经连接到此AP的STA生成并上传到服务器的数据。可选的，以STA1为例，曾经连接到目标AP并通过此AP连接到互联网，完成使用后，用户通过STA1对目标AP的安全性进行客观评价，认为此目标AP的安全信用等级是某个级别Security_Level_STA1，同时STA1将此安全信用等级上传至云端服务器,如果该STA之前已经上传过该目标AP的安全信用等级，则新上传的安全信用等级覆盖之前的旧安全信用等级。

可选的，安全信用等级可设置为0，1，2，其中0表示此目标AP的安全信用等级为低，1表示此目标AP的安全信用等级为中，2表示此目标AP的安全信用等级为高。

需要说明的是，本步骤中STA向云端服务器查询目标AP的安全信用等级时，是提取标准Beacon帧中的MAC地址，以此为索引向云端服务器请求此MAC代表的设备的安全信用等级。

步骤S3004，STA对目标AP的安全属性进行判断，判定此目标AP是否属于高危AP。当STA判定目标AP不属于高危AP，转向步骤S3101，否则转向步骤S3201。

需要说明的是，此处对AP安全属性进行判定时，输入分别是步骤S3002中的高危预警信息和步骤S3003中的安全信用等级。即一旦步骤S3002中检测到高危预警信息或步骤S3003中查询到目标AP的信用安全等级为低级别，即可判定此目标AP为高危AP，安全属于定义为低级安全。

步骤S3101，STA向目标AP发起认证请求；

步骤S3102，STA收到来自目标AP的认证响应消息；

步骤S3103，STA向目标AP发起预关联请求，并设置定时器(Timer)。

预关联请求是指STA向目标AP请求关于目标AP的关键信息。关键信息是指能够有效识别该目标AP设备或其持有人。例如，该AP设备的IMEI信息或关于该AP持有人的传统意义上的有效证件信息。

图5是本发明可选实施例中预关联请求信息的帧结构，如图5所示，包括：

Frame Control字段：对标准帧的Frame Control字段进行改进，从该字段的Type＝00可以看到，此帧属于管理帧；

标准管理帧中各字段的标准定义：

Frame Control字段中包括：Protocol位、To DS与From DS位、More Fragment位、Retry位、Power Management位、More Data位、Protected Frame位及Order位；Duration/ID字段、Address1字段、Address2字段、Address3字段、Sequence Control字段Address4字段、FCS字段。

上述各字段的定义同现有标准，在此不再进行赘述。

以下为本发明可选实施例中对标准管理帧进行修改的字段，包括：

Sub Type：对标准帧的Sub Type字段进行改进，构成本可选实施例的特殊帧，以完成STA向AP发送预关联请求；

由于标准协议中管理帧的Sub Type值0110～0111与1101～1111未被定义，此处可使用其中的任意一个值，与其它的标准值相区分。可选的，本可选实施例中为Sub Type赋值为0111，表明此管理帧是预关联请求帧。

步骤S3104，STA判断是否在Timer超时前收到了来自目标AP的有效的预关联响应信息。如果STA未在Timer超时前有收到了来自目标AP的有效二次响应信息，转向步骤S3111，否则转向步骤S3121。其中，有效的预关联响应信息是指预关联响应信息中包括了关于目标AP的关键信息。

图6是根据本发明可选实施例的预关联响应信息的帧结构，如图6所示，包括：

标准管理帧中各字段的标准定义：

上述各字段的定义同现有标准，在此不再进行赘述。

Sub Type：对标准帧的Sub Type字段进行改进，构成本可选实施例的特殊帧，设置为广播无线AP本身的连接信息，而收到此无线帧的无线AP也能够对其进行解析；

由于标准协议中管理帧的Sub Type值0110～0111与1101～1111未被定义，此处可使用其中的任意一个值，与其它的标准值相区分。可选的，本可选实施例为Sub Type赋值为0110，表明此管理帧是预关联响应帧。

Frame body字段：Frame body字段是帧的数据字段，本可选实施例中将关键信息封装在此字段中。关键信息是指能够有效识别该目标AP设备或其持有人。例如，该AP设备的IMEI 信息或关于该AP持有人的传统意义上的有效证件信息。

步骤S3111，STA将目标AP的安全属性定义为中级安全。

步骤S3112，转向图7所示的流程。

步骤S3121，STA将目标AP的安全属性定义为高级安全；并将此安全属性上传至云端服务器。

步骤S3122，STA向目标AP发起连接请求，按照现有WIFI技术规定，与目标AP之间完成数据传输。

需要说明的是，上传至云端服务器的数据，也包括STA的MAC地址、IMEI信息。

步骤S3201，STA拒绝接入目标AP，停止发起认证请求。同时STA关闭自身WIFI，并启动本机热点功能。

步骤S3202，STA通过Beacon帧广播高危热点预警信息。需要说明的是，广播高危热点信息可以是周期性的。

图7是本发明可选实施例中安全接入WIFI热点的方法中，目标AP的安全属性为中级安全时，STA通过目标AP访问互联网的方法流程图，如图7所示，包括如下步骤：

步骤S701，当某进程通过STA访问互联网时，STA对此进程的安全敏感度进行判断，判定此进程是否属于安全敏感进程。

其中，安全敏感进程，是指进程所属的应用对安全级别要求较高，例如邮件等应用，或用户临时指定的应用程序，例如用户认为某时间某应用对安全级别要求高，那么此应用对应的进程即属于安全敏感进程。

步骤S702，当步骤S701判定请求互联网访问的进程属于安全敏感进程，转向步骤S711，否则转向步骤S721。

步骤S711，STA将访问互联网的方式从WIFI方式切换为蜂窝网络方式，待此进程访问互联网完成后，恢复为WIFI方式。

步骤S721，STA将请求互联网访问的进程数据透传至目标AP。

图8是本发明可选实施例所提供的安全接入WIFI热点的装置的组成示意图，如图8所示，装置包括：

解析模块801：设置为解析来自服务器、WIFI热点或其它的客户端消息进行发送和接收。

控制模块802：设置为控制本地进程访问网络，根据当前所连接WIFI热点的安全级别，控制部分敏感进程通过WIFI访问网络，切换到蜂窝移动网络，控制该敏感进程通过蜂窝移动网络访问互联网。

显示模块803：设置为向用户显示WIFI热点的安全级别；设置为向用户收集相关WIFI热点的安全信息。

收发模块804：设置为与服务器、WIFI热点或其它的客户端进行消息发送和接收。

综上所述，通过本发明的上述实施例或可选实施例，能够有效的检测客户端即将接入的目标WIFI热点的安全属性，并根据目标AP的安全属性，智能接入该目标热点并通过该WIFI热点访问互联网，同时对于安全级别不够高的WIFI热点，能够保证安全敏感应用安全的访问互联网。另外，当客户端检测到不安全的WIFI热点，也能够及时将此信息共享给周围的其它客户端。较大程度的保护了客户端的网络安全，保护了用户的隐私安全。

工业实用性：通过上述描述可知，本发明可以通过至少一个无线热点的广播消息获取无线热点的安全性信息，进而根据该安全性信息确定第一无线热点的安全性，解决了相关技术中无法检测无线热点的安全性的问题，实现了无线热点安全性的检测。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的可选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种无线热点安全性检测方法，包括：

接收至少一个无线热点的广播消息，其中，所述广播消息包括：第一无线热点的安全性信息；

根据所述安全性信息，确定所述第一无线热点的安全性。
根据权利要求1所述的方法，其中，根据所述安全性信息，确定所述第一无线热点的安全性包括：

在所述安全性信息指示所述第一无线热点的安全性为非安全的情况下，确定所述第一无线热点的安全性为非安全；和/或

在所述安全性信息指示所述第一无线热点的安全性为安全的情况下，确定所述第一无线热点的安全性为安全。
根据权利要求2所述的方法，其中，在确定所述第一无线热点的安全性为非安全之后，所述方法还包括：

在尚未请求将用户设备接入所述第一无线热点的情况下，不再执行请求将所述用户设备接入所述第一无线热点的操作；和/或

在已请求将用户设备接入所述第一无线热点的情况下，终止执行请求将所述用户设备接入所述第一无线热点的操作。
根据权利要求2所述的方法，其中，在确定所述第一无线热点的安全性为非安全之后，所述方法还包括：

启动用户设备的热点广播，并广播所述广播消息。
根据权利要求2至4中任一项所述的方法，其中，在确定所述第一无线热点的安全性为安全之后，所述方法还包括：

将用户设备接入所述第一无线热点。
根据权利要求5所述的方法，其中，在将所述用户设备接入所述第一无线热点之前或者之后，所述方法还包括：

发送预关联请求至所述第一无线热点，其中，所述预关联请求用于请求所述第一无线热点的身份信息；

接收所述第一无线热点响应于所述预关联请求的预关联响应，其中，所述预关联响应中携带有所述第一无线热点的所述身份信息，所述身份信息用于确定所述第一无线热点的安全等级。
根据权利要求6所述的方法，其中，

发送所述预关联请求至所述第一无线热点还包括：在发送所述预关联请求时，启动计时器；

其中，在发送所述预关联请求至所述第一无线热点之后，所述方法还包括：判断在所述计时器超时后，是否收到所述预关联响应；在所述计时器超时且未收到所述预关联响应的情况下，确定所述第一无线热点的所述安全等级为低安全等级。
根据权利要求7所述的方法，其中，在所述用户设备接入的所述第一无线热点的所述安全等级为所述低安全等级的情况下，所述方法还包括：

在所述用户设备的进程发起联网请求的情况下，判断所述第一无线热点的所述安全等级是否低于所述进程所要求的安全等级；

在所述安全等级低于所述进程所要求的安全等级的情况下，通过蜂窝网络对所述进程进行联网。
根据权利要求5所述的方法，其中，在将所述用户设备接入所述第一无线热点之后，所述方法还包括：

发送所述第一无线热点的安全性评价至服务器。
一种无线热点安全性检测装置，包括：

接收模块，设置为接收至少一个无线热点的广播消息，其中，所述广播消息包括：热点标识、具有所述热点标识的第一无线热点的安全性信息；

确定模块，设置为根据所述安全性信息，确定所述第一无线热点的安全性。
根据权利要求10所述的装置，其中，所述确定模块设置为：

在所述安全性信息指示所述第一无线热点的安全性为非安全的情况下，确定所述第一无线热点的安全性为非安全；和/或

在所述安全性信息指示所述第一无线热点的安全性为安全的情况下，确定所述第一无线热点的安全性为安全。
根据权利要求11所述的装置，其中，所述装置还包括：

处理模块，设置为在确定所述第一无线热点的安全性为非安全之后：在尚未请求将用户设备接入所述第一无线热点的情况下，不再执行请求将所述用户设备接入所述第一无线热点的操作；和/或在已请求将用户设备接入所述第一无线热点的情况下，终止执行请求将所述用户设备接入所述第一无线热点的操作。
根据权利要求11所述的装置，其中，所述装置还包括：

广播模块，设置为在确定所述第一无线热点的安全性为非安全之后，启动用户设备的热点广播，并广播所述广播消息。
根据权利要求11至13中任一项所述的装置，其中，所述装置还包括：

接入模块，设置为在确定所述第一无线热点的安全性为安全之后，将用户设备接入所述第一无线热点。
根据权利要求14所述的装置，其中，所述装置还包括：

预关联请求发送模块，设置为在将所述用户设备接入所述第一无线热点之前或者之后，发送预关联请求至所述第一无线热点，其中，所述预关联请求用于请求所述第一无线热点的身份信息；

预关联响应接收模块，设置为接收所述第一无线热点响应于所述预关联请求的预关联响应，其中，所述预关联响应中携带有所述第一无线热点的所述身份信息，所述身份信息用于确定所述第一无线热点的安全等级。
根据权利要求15所述的装置，其中，

所述预关联请求发送模块还设置为：在发送所述预关联请求时，启动计时器；

其中，所述装置还包括：预关联响应判断模块，设置为在发送所述预关联请求至所述第一无线热点之后，判断在所述计时器超时后，是否收到所述预关联响应；安全等级确定模块，设置为在所述计时器超时且未收到所述预关联响应的情况下，确定所述第一无线热点的所述安全等级为低安全等级。
根据权利要求16所述的装置，其中，所述装置还包括：

安全等级判断模块，设置为在所述用户设备接入的所述第一无线热点的所述安全等级为所述低安全等级且所述用户设备的进程发起联网请求的情况下，判断所述第一无线热点的所述安全等级是否低于所述进程所要求的安全等级；

联网模块，设置为在所述安全等级低于所述进程所要求的安全等级的情况下，通过蜂窝网络对所述进程进行联网。
根据权利要求14所述的装置，其中，所述装置还包括：

安全性评价发送模块，设置为在将所述用户设备接入所述第一无线热点之后，发送所述第一无线热点的安全性评价至服务器。
一种用户设备，包括：如权利要求10至18中任一项所述的无线热点安全性检测装置。