JP4697278B2 - Access point device detection method and control method, access point detection device, access point device, and wireless LAN system - Google Patents
Access point device detection method and control method, access point detection device, access point device, and wireless LAN system Download PDFInfo
- Publication number
- JP4697278B2 JP4697278B2 JP2008216712A JP2008216712A JP4697278B2 JP 4697278 B2 JP4697278 B2 JP 4697278B2 JP 2008216712 A JP2008216712 A JP 2008216712A JP 2008216712 A JP2008216712 A JP 2008216712A JP 4697278 B2 JP4697278 B2 JP 4697278B2
- Authority
- JP
- Japan
- Prior art keywords
- access point
- point device
- unauthorized
- wireless
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、アクセスポイント装置の検出方法及び制御方法、アクセスポイント検出装置、アクセスポイント装置並びに無線LANシステムに関し、例えば、無線LANネットワークにおいて、自ネットワーク外に接続されている不正なアクセスポイント装置を検知し、その不正アクセスポイント装置に端末が接続することを阻止しようとしたものである。 The present invention relates to an access point device detection method and control method, an access point detection device, an access point device, and a wireless LAN system. For example, in a wireless LAN network, an unauthorized access point device connected outside the local network is detected. However, it is intended to prevent the terminal from connecting to the unauthorized access point device.
例えば、企業における無線LANシステムにおいて、無線LAN端末1−1〜1−Nは、図2に示すように、自社ネットワーク2に接続したアクセスポイント装置3−1〜3−Mを中継することにより、ネットワーク接続を行う(例えば、特許文献1の図3参照)。 For example, in a wireless LAN system in a company, wireless LAN terminals 1-1 to 1-N relay access point apparatuses 3-1 to 3-M connected to their own network 2 as shown in FIG. Network connection is performed (for example, refer to FIG. 3 of Patent Document 1).
また、無線LAN端末1−n(nは1〜N)とアクセスポイント装置3−m(mは1〜M)は、無線を用いることにより、通信ケーブルのいらない接続が可能となり、端末移動の自由度が高くなる。 The wireless LAN terminal 1-n (n is 1 to N) and the access point device 3-m (m is 1 to M) can be connected without using a communication cable by using wireless, and the terminal can be moved freely. The degree becomes higher.
そのため、無線LANシステムは、企業のネットワークインフラとして急速に普及が始まっている。
しかし、無線の電波は、無線LANを構築している企業のビルの壁を超えて飛んでいくため、第3者により、データの不正な取得を目的とした、不正アクセスポイント装置を敷地外に設置された場合、そのアクセスポイント装置が不正なものかどうかは、無線LAN端末で検知することは難しい。 However, wireless radio waves fly beyond the walls of the companies building wireless LANs, so a third party moves an unauthorized access point device outside the premises for the purpose of illegally acquiring data. When installed, it is difficult for a wireless LAN terminal to detect whether the access point device is illegal.
このような点に鑑み、本願の出願人は、正規のアクセスポイント装置が、自己の周辺に不正アクセスポイントが存在することを検知する方法を提案した(特願2006−060094号明細書及び図面)。 In view of such points, the applicant of the present application has proposed a method in which a legitimate access point device detects that an unauthorized access point exists in the vicinity of itself (Japanese Patent Application No. 2006-060094 and the drawings). .
しかしながら、無線LANシステムでは、ケーブル接続でないため、無線LAN端末1−nがどのアクセスポイント装置につながっているかを、端末自身で知ることは難しく、また、図3に示すように、正規のアクセスポイント装置3−mが周辺に不正なアクセスポイント装置4の存在を検知したとしても、無線LAN端末1−nにそのことを知らせる手段がなく、無線LAN端末1−nが不正なアクセスポイント装置4に接続してしまうことを防止できない。
However, in the wireless LAN system, since it is not a cable connection, it is difficult for the terminal itself to know which access point device the wireless LAN terminal 1-n is connected to. Further, as shown in FIG. Even if the device 3-m detects the presence of an unauthorized
特許文献2には、不正アクセスポイント装置を探知機器により検知し、探知機器により混乱させるためのビーコンフレームを送信し、不正アクセスポイント装置を不安定化並びに非同期化させることという概念が記載されているが、より具体的な検知方法などは提案されていない。 Patent Document 2 describes the concept of detecting an unauthorized access point device by a detection device, transmitting a beacon frame for confusion by the detection device, and destabilizing and desynchronizing the unauthorized access point device. However, no more specific detection method has been proposed.
そのため、不正アクセスポイント装置を検出し、無線LAN端末が不正アクセスポイント装置に接続することを未然に防止し得るアクセスポイント装置の検出方法及び制御方法、アクセスポイント検出装置、アクセスポイント装置並びに無線LANシステムが求められている。 Therefore, an access point device detection method, control method, access point detection device, access point device, and wireless LAN system that can detect an unauthorized access point device and prevent a wireless LAN terminal from connecting to the unauthorized access point device. Is required.
第1の本発明は、有線LANに接続されるアクセスポイント検出装置におけるアクセスポイント装置の検出方法であって、(1)上記アクセスポイント検出装置の周囲の無線空間をモニタし、第1アクセスポイント装置の識別情報を得てアクセスポイント記憶部に記憶するアクセスポイント検出ステップと、(2)アクセスポイント探索データを、上記有線LAN、上記アクセスポイント記憶部に記憶された識別情報の第1アクセスポイント装置との無線回線を、この順、又は、逆順に経由して、上記アクセスポイント検出装置に戻ってくるように送信すると共に、アクセスポイント探索データが戻ってきた経路の第1アクセスポイント装置について上記アクセスポイント記憶部に正規装置である旨を記憶する探索データ通信ステップと、(3)上記アクセスポイント記憶部に識別情報が記憶されながら、正規装置である旨が記憶されていないアクセスポイント装置を、不正なアクセスポイント装置として認識すると共に、その不正なアクセスポイント装置からのビーコンフレームの送信周期情報を得るアクセスポイント特定ステップを有することを特徴とする。 A first aspect of the present invention is a method for detecting an access point device in an access point detection device connected to a wired LAN, wherein (1) a wireless space around the access point detection device is monitored, and the first access point device An access point detection step of obtaining the identification information of the access point storage unit, and (2) a first access point device of the identification information stored in the wired LAN, the access point storage unit, and (2) access point search data; Are transmitted in this order or in reverse order so as to return to the access point detection apparatus, and the access point is searched for the first access point apparatus on the path where the access point search data has returned. A search data communication step of storing in the storage unit that the device is a regular device; ) While identifying information is stored in the access point storage unit, an access point device that is not stored as a legitimate device is recognized as an unauthorized access point device, and a beacon frame from the unauthorized access point device An access point specifying step for obtaining transmission cycle information is provided.
第2の本発明は、無線LAN端末と通信し、有線LANに接続されるアクセスポイント装置におけるアクセスポイント装置の制御方法であって、(1)第1の本発明の記アクセスポイント検出装置におけるアクセスポイント装置の検出方法を適用する妨害アクセスポイント検出ステップと、(2)不正なアクセスポイント装置からのビーコンフレームの送信周期情報に応じて、認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングを計時する妨害タイミング計時ステップと、(3)認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングで、妨害データを作成して無線空間に送信するデータ作成送信ステップとを有することを特徴とする。 A second aspect of the present invention is a method for controlling an access point apparatus in an access point apparatus that communicates with a wireless LAN terminal and is connected to a wired LAN, and (1) an access in the access point detection apparatus according to the first aspect of the present invention. A disturbing access point detection step to which the point device detection method is applied, and (2) a beacon frame is transmitted from the recognized unauthorized access point device according to the transmission period information of the beacon frame from the unauthorized access point device. A jamming timing timing step for timing timing, and (3) a data creation and transmission step for creating jamming data and transmitting it to a radio space at a timing when a beacon frame is transmitted from a recognized unauthorized access point device. It is characterized by.
第3の本発明は、有線LANに接続されるアクセスポイント検出装置において、(1)上記アクセスポイント検出装置の周囲の無線空間をモニタし、第1アクセスポイント装置の識別情報を得てアクセスポイント記憶部に記憶するアクセスポイント検出部と、(2)アクセスポイント探索データを、上記有線LAN、上記アクセスポイント記憶部に記憶される識別情報の第1アクセスポイント装置との無線回線を、この順、又は、逆順に経由して、上記アクセスポイント検出装置に戻ってくるように送信すると共に、アクセスポイント探索データが戻ってきた経路の第1アクセスポイント装置について上記アクセスポイント記憶部に正規装置である旨を記憶する探索データ通信部と、(3)上記アクセスポイント記憶部に識別情報が記憶されながら、正規装置である旨が記憶されていないアクセスポイント装置を、不正なアクセスポイント装置として認識すると共に、その不正なアクセスポイント装置からのビーコンフレームの送信周期情報を得る上記アクセスポイント特定部とを有することを特徴とする。 According to a third aspect of the present invention, in the access point detection apparatus connected to the wired LAN, (1) the wireless space around the access point detection apparatus is monitored, and the identification information of the first access point apparatus is obtained to store the access point. The access point detection unit stored in the unit, and (2) the access point search data in the order of the wireless LAN and the first access point device of the identification information stored in the access point storage unit in this order, or In the reverse order, it is transmitted so as to return to the access point detection device, and the access point storage unit indicates that the first access point device on the route from which the access point search data has returned is a regular device. A search data communication unit to store, and (3) identification information is stored in the access point storage unit. Therefore, the access point identifying unit that recognizes an access point device that is not stored as a legitimate device as an unauthorized access point device and obtains transmission cycle information of a beacon frame from the unauthorized access point device; It is characterized by having.
第4の本発明は、無線LAN端末と通信し、有線LANに接続されるアクセスポイント装置において、(1)第3の本発明の上記アクセスポイント検出装置を適用する妨害アクセスポイント検出部と、(2)不正なアクセスポイント装置からのビーコンフレームの送信周期情報に応じて、認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングを計時する妨害タイミング計時部と、(3)認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングで、妨害データを作成して無線空間に送信するデータ作成送信部とを有することを特徴とする。 According to a fourth aspect of the present invention, in an access point device that communicates with a wireless LAN terminal and is connected to a wired LAN, (1) a disturbing access point detection unit to which the access point detection device according to the third aspect of the present invention is applied; 2) an interference timing timer that measures the timing at which a beacon frame is transmitted from a recognized unauthorized access point device in accordance with transmission period information of the beacon frame from the unauthorized access point device; and (3) recognized And a data creation / transmission unit that creates jamming data and transmits it to a wireless space at a timing when a beacon frame is transmitted from an unauthorized access point device.
第5の本発明は、無線LAN端末と通信する複数のアクセスポイント装置を有線LANで接続させた無線LANシステムにおいて、少なくとも上記複数のアクセスポイント装置の一部として、第4の本発明の上記アクセスポイント装置を適用することを特徴とする。 According to a fifth aspect of the present invention, there is provided a wireless LAN system in which a plurality of access point devices communicating with a wireless LAN terminal are connected by a wired LAN. A point device is applied.
本発明によれば、不正アクセスポイント装置を検出し、無線LAN端末が不正なアクセスポイント装置に接続することを未然に防止することができる。 According to the present invention, it is possible to detect an unauthorized access point device and prevent a wireless LAN terminal from connecting to an unauthorized access point device.
(A)実施形態
以下、本発明によるアクセスポイント装置の検出方法及び制御方法、アクセスポイント検出装置、アクセスポイント装置並びに無線LANシステムの一実施形態を、図面を参照しながら詳述する。
(A) Embodiment Hereinafter, an embodiment of an access point device detection method and control method, an access point detection device, an access point device, and a wireless LAN system according to the present invention will be described in detail with reference to the drawings.
(A−1)実施形態の構成
この実施形態に係る無線LANシステムも、その構成要素の配置は、上述した図2に示すものと同様である。
(A-1) Configuration of Embodiment In the wireless LAN system according to this embodiment, the arrangement of the components is the same as that shown in FIG.
アクセスポイント装置3−mは、自己の管轄エリア内の無線LAN端末1−nとの通信を実行する無線通信部、自社ネットワーク(有線LAN部分)2との通信を実行する有線通信部、これら無線通信部及び有線通信部の信号転送に介在したり信号が制御信号のときに接続制御を実行したりする信号処理部などを有する。 The access point device 3-m includes a wireless communication unit that performs communication with the wireless LAN terminal 1-n in its own area, a wired communication unit that performs communication with the company network (wired LAN portion) 2, and these wireless communication units. It has a signal processing unit that intervenes in signal transfer of the communication unit and the wired communication unit, and executes connection control when the signal is a control signal.
ここで、信号処理部は、CPUなどを中心とした、主として、ソフトウェア処理構成でなっており、この実施形態の場合、アクセスポイント装置3−m(信号処理部)におけるソフトウェアの構成の一部は、図1に示すようなものである。なお、図1は、不正なアクセスポイント装置を検知し、不正アクセスポイント装置と無線LAN端末との接続を防止するという機能に関係する部分を示しており、制御信号の処理機能などの他の機能に係る構成部分は省略している。 Here, the signal processing unit mainly has a software processing configuration centering on a CPU and the like. In this embodiment, a part of the software configuration in the access point device 3-m (signal processing unit) is as follows. As shown in FIG. FIG. 1 shows a portion related to a function of detecting an unauthorized access point device and preventing connection between the unauthorized access point device and the wireless LAN terminal, and other functions such as a control signal processing function. The components related to are omitted.
図1において、アクセスポイント装置3−mは、無線LANドライバ31、無線データ通信処理部32、不正アクセスポイント検知部33、有線LANドライバ34、隣接アクセスポイントテーブル35、妨害タイマ制御部36及び妨害データ作成部37などを有する。
In FIG. 1, the access point device 3-m includes a
無線LANドライバ31は、無線LANのプロトコルを制御し、無線のデータ送受信を行うものである。アクセスポイント装置3−mの通信相手は、無線LAN端末1−nであるが、隣接するアクセスポイント装置3−j(jは1〜M、但しmは除く)の送信データも到達し、無線LANドライバ31は、そのような隣接するアクセスポイント装置3−jの送信データも受信することがある。
The
また、無線LANドライバ31は、無線データ通信処理部32の駆動により、後述する探索データ(探索データを含む制御信号)や、後述する妨害データ(妨害データを含む制御信号)を無線空間(管轄エリア)に送信させることを行う。アクセスポイント装置3−mは、複数の無線LAN端末を収容可能なように、複数の無線チャネルを有しており、探索データを、無線LAN端末との通信に利用されていない空チャネルによって送信する。
Further, the
無線データ通信処理部32は、無線LANドライバ31が受信したデータを受け取り、その内容の解析を行うものである。
The wireless data
無線データ通信処理部32は、隣接するアクセスポイント装置3−jからのビーコンフレームを受信した場合には、隣接アクセスポイント装置の情報を、隣接アクセスポイントテーブル35に記憶するものである。ここで、記憶する隣接アクセスポイント装置3−jの情報は、隣接アクセスポイント装置の識別情報(例えばBSSID(Basic Service Set Identifier))やビーコン周期(これは不正なアクセスポイント装置についてのみ記憶する)である。
When the wireless data
なお、ビーコンフレームの中には、「BSSID」、「ビーコン周期」、「そのアクセスポイント装置に接続するための各種情報(セキュリティ情報、通信速度など)」が含まれている。ビーコンフレームは、無線LAN端末に対して、その近傍にアクセスポイント装置が存在することを通知させるためのものであって、無線LAN端末は、ビーコンフレームの受信によって自己の収容先(接続先)となるアクセスポイント装置の情報を得る。 The beacon frame includes “BSSID”, “beacon cycle”, and “various information (security information, communication speed, etc.) for connecting to the access point device”. The beacon frame is for instructing the wireless LAN terminal that an access point device exists in the vicinity thereof, and the wireless LAN terminal receives its own accommodation destination (connection destination) by receiving the beacon frame. The information of the access point device is obtained.
無線データ通信処理部32は、隣接するアクセスポイント装置3−jから探索データを受信した場合には、隣接アクセスポイントテーブル35のその隣接アクセスポイント装置3−jの情報のステータスを「正規」にするものである。
When the wireless data
また、無線データ通信処理部32は、自社ネットワーク(有線LAN部分)2側から与えられた探索データを、無線LANドライバ31によって無線空間に送信させるものである。
The wireless data
さらに、無線データ通信処理部32は、妨害データ作成部37が作成した妨害データを、無線LANドライバ31によって無線空間に送信させるものである。
Further, the wireless data
不正アクセスポイント検知部33は、不正アクセスポイント装置4を探索するため、探索データを、周期的に、有線LAN部分(自社ネットワーク)2に送信させるものである。不正アクセスポイント検知部33は、探索データを送信させた後、所定時間だけ経過したときに、隣接アクセスポイントテーブル35のステータスを確認し、不正なアクセスポイント装置4が存在するか否かを判定するものである。
The unauthorized access
不正アクセスポイント検知部33は、不正なアクセスポイント装置4の存在を検知したときには、そのことを表す検知データ(例えば、BSSIDなどの特定するデータを含む)を、有線LAN部分(自社ネットワーク)2に接続されている図示しない上位装置に送信し、また、妨害タイマ制御部36に、不正アクセスポイント装置4の識別情報やビーコン周期(直前のビーコン送信タイミングの情報を含む)に引き渡すものである。
When the unauthorized access
また、不正アクセスポイント検知部33は、有線LAN部分(自社ネットワーク)2側から探索データが与えられた場合には、無線データ通信処理部32に引渡し、無線LANドライバ31によって無線空間に送信させるものである。
In addition, the unauthorized access
有線LANドライバ34は、 有線LAN部分(自社ネットワーク)2のプロトコルを制御し、有線LAN部分2とのデータ送受信を行うものである。
The wired
隣接アクセスポイントテーブル35は、隣接アクセスポイント装置3−jの情報(装置の識別情報、正規装置フラグ、ビーコン周期)を記憶するためのデータファイルである。隣接アクセスポイントテーブル35に対する書込みは、上述したように、無線データ通信処理部32によってなされる。また、隣接アクセスポイントテーブル35におけるステータスは、不正アクセスポイント検知部33によって参照される。
The adjacent access point table 35 is a data file for storing information of the adjacent access point device 3-j (device identification information, regular device flag, beacon period). Writing to the adjacent access point table 35 is performed by the wireless data
妨害タイマ制御部36は、隣接アクセスポイントテーブル35から読み込んだ不正アクセスポイント装置4のビーコン周期毎に、妨害データ作成部37に、妨害データの作成を指示するものである。
The jamming
妨害データ作成部37は、妨害タイマ制御部36からの指示に従って、妨害データを作成して無線データ通信処理部32に与えて、無線空間に送信させるものである。
The jamming
(A−2)実施形態の動作
次に、実施形態の無線LANシステムの動作を、不正なアクセスポイント装置の検知動作(A−3)、不正なアクセスポイント装置と無線LAN端末との接続阻止動作(A−4)の順に説明する。
(A-2) Operation of Embodiment Next, the operation of the wireless LAN system of the embodiment is detected by an unauthorized access point device detection operation (A-3), and an unauthorized access point device is connected to a wireless LAN terminal. It demonstrates in order of (A-4).
(A−3−1)隣接アクセスポイント装置の認識
各アクセスポイント装置3−mは、周辺の無線LANの電波をモニタし、アクセスポイント装置が必ず送信しなければならない、図4に示すような「ビーコン」という無線LANの制御フレームをモニタする。当該アクセスポイント装置3−mに隣接しているアクセスポイント装置3−j、4のビーコンフレームは、一般的には、当該アクセスポイント装置3−mにも到達する。
(A-3-1) Recognition of adjacent access point device Each access point device 3-m monitors the radio waves of the surrounding wireless LAN and must be transmitted by the access point device as shown in FIG. A control frame of a wireless LAN called “beacon” is monitored. The beacon frames of the access point devices 3-j and 4 adjacent to the access point device 3-m generally reach the access point device 3-m.
ビーコンフレームの中には、送信元のBSSIDが挿入されているため、当該アクセスポイント装置3−mの無線データ通信処理部32は、隣接アクセスポイントテーブル35に、受信したビーコンフレームでのBSSIDを、隣接アクセスポイント装置3−j、4の識別情報として格納する。図4の例であれば、当該アクセスポイント装置3−mの隣接アクセスポイントテーブル35には、正規の隣接アクセスポイント装置3−jの識別情報と、不正な隣接アクセスポイント装置4の識別情報とが格納される。
Since the BSSID of the transmission source is inserted in the beacon frame, the wireless data
図6は、無線データ通信処理部32の受信時処理を示すフローチャートである。無線データ通信処理部32は、「ビーコン」か否かの判定ステップによって、ビーコンと判定したときに、隣接アクセスポイントテーブル35へのBSSIDの記憶を行う(ステップ100、101)。
FIG. 6 is a flowchart showing the reception process of the wireless data
(A−3−2)探索データのブロードキャスト
各アクセスポイント装置3−mは、所定周期(例えば30分)ごとの割り込みによって、図5に示す処理を開始し、各アクセスポイント装置3−mの不正アクセスポイント検知部33は、ブロードキャストデータとして「不正アクセスポイント探索データ」を自社ネットワーク(有線LAN部分)2に送信する(ステップ150)。ここで、不正アクセスポイント探索データは、ブロードキャストデータであれば良く、そのフォーマットなどは限定されるものではない。
(A-3-2) Broadcast search data Each access point device 3-m starts the process shown in FIG. 5 by interruption every predetermined period (for example, 30 minutes), and each access point device 3-m is illegal. The access
不正アクセスポイント探索データは、自社ネットワーク(有線LAN部分)2に送信されるので、正規のアクセスポイント装置3−jには到達するが、不正なアクセスポイント装置4には到達しない。不正アクセスポイント探索データは、ブロードキャストデータであるので、正規のアクセスポイント装置3−jは、無線LAN側に中継する必要があると判断して、無線LAN側に不正アクセスポイント探索データを送信する。
Since the unauthorized access point search data is transmitted to the company network (wired LAN portion) 2, it reaches the regular access point device 3-j but does not reach the unauthorized
その結果、図7に示すように、正規のアクセスポイント装置3−jは、不正アクセスポイント探索データを、自己の管轄エリアに向けて無線送信するが、不正なアクセスポイント装置4は、不正アクセスポイント探索データを送信することはない。 As a result, as shown in FIG. 7, the legitimate access point device 3-j wirelessly transmits the unauthorized access point search data to its own jurisdiction area. Search data is not sent.
無線データ通信処理部32は、上述したように、図6に示す受信時処理を行う。不正アクセスポイント探索データのブロードキャストを指示したアクセスポイント装置3−mの無線データ通信処理部32は、隣接アクセスポイント装置3−jから、自己が送信元の不正アクセスポイント探索データを無線LAN側から受信したときには、隣接アクセスポイントテーブル35の、今回の探索データの受信に係るBSSID(隣接アクセスポイント装置3−jの識別情報)に対応付けて「正規」のステータスを記憶する(ステップ102、103)。
As described above, the wireless data
なお、アクセスポイント装置3−mの無線データ通信処理部32は、ブロードキャストを指示した時点から、所定時間(例えば3分間)内に、自己が送信元の不正アクセスポイント探索データを無線LAN側から受信できたときだけ「正規」のステータスを記憶し、所定時間を超えて、不正アクセスポイント探索データを受信しても、その受信を「受信でない」と見なすようにしても良い。例えば、不正なアクセスポイント装置4が、隣接アクセスポイント装置3−jが無線送信した探索データを受信して、あわてて、探索データを送信しても、その受信を「受信でない」と見なすことができるように所定時間を選定すれば良い。
The wireless data
一方、不正なアクセスポイント装置4は、不正アクセスポイント探索データを無線LAN側に送信することはないので、不正アクセスポイント探索データの送信元のアクセスポイント装置3−mにおける隣接アクセスポイントテーブル35は、不正なアクセスポイント装置4のBSSID(識別情報)に対応付けて、「正規」のステータスを記憶することはない。
On the other hand, since the unauthorized
(A−3−3)不正アクセスポイント装置の認識
不正アクセスポイント探索データの送信元のアクセスポイント装置3−mの不正アクセスポイント検知部33は、その送信時点から、所定時間(例えば5分)だけ経過したときに、割り込みによって、図8に示す処理を開始し、隣接アクセスポイントテーブル35から、「正規」のステータスが付与されていないBSSID(識別情報)を取得する(ステップ200)。「正規」のステータスが付与されていないBSSID(識別情報)は、不正なアクセスポイント装置4のBSSID(識別情報)であり、これにより、不正なアクセスポイント装置4の存在を検知(認識)することができる。
(A-3-3) Recognition of Unauthorized Access Point Device The unauthorized access
図8では省略しているが、不正アクセスポイント検知部33は、不正なアクセスポイント装置4の存在を検知すると、上位装置に通知し、上位装置は所定の保護動作や異常報知動作などを行う。例えば、ブザーの鳴動によって監視者に不正なアクセスポイント装置4の存在を報知したり、自動的な社内放送によって、不正なアクセスポイント装置4の存在を報知したりする。その際、不正なアクセスポイント装置4の存在を検知したアクセスポイント装置3−mの位置情報をも含めて放送し、注意場所を教示するようにしても良い。
Although omitted in FIG. 8, when the unauthorized access
(A−4)不正アクセスポイント装置との接続防止
アクセスポイント装置3−mの不正アクセスポイント検知部33は、不正なアクセスポイント装置4の存在を検知すると、図9に示すように、その不正なアクセスポイント装置4からのビーコンから、ビーコン周期(次回の送信タイミングを含む)を得て、隣接アクセスポイントテーブル35に登録した後(ステップ300、301)、妨害タイマ制御部36を起動する(ステップ302)。
(A-4) Prevention of connection with unauthorized access point device When the unauthorized access
これにより、妨害タイマ制御部36は、不正アクセスポイント装置4のビーコン周期に合わせて、妨害データ作成部37によって、妨害データ(妨害用のダミーデータ)を作成させて、その妨害データを無線空間に送信させる(ステップ350)。
Thus, the jamming
仮に、図10に示すように、無線LAN端末1−nが不正アクセスポイント装置4のビーコンが届く範囲に存在していたとしても、この無線LAN端末1−nには、不正アクセスポイント装置4のビーコンとアクセスポイント装置3−mから送信された妨害データとが同時に到達し、無線LAN端末1−nは、不正アクセスポイント装置4のビーコンを正しく受信できない。これにより、無線LAN端末1−nが不正アクセスポイント装置4に接続(収容)されることはない。
As shown in FIG. 10, even if the wireless LAN terminal 1-n exists in a range where the beacon of the unauthorized
なお、妨害データ(妨害用ダミーデータ)は、無線LAN端末が受信した不正アクセスポイント装置のビーコンの復調をエラーにできるものであれば良く、フォーマットなどは限定されるものではない。 The jamming data (dummy data for jamming) is not particularly limited as long as it can make the demodulation of the beacon of the unauthorized access point device received by the wireless LAN terminal an error.
(A−5)実施形態の効果
以上のように、上記実施形態によれば、不正アクセスポイント装置の存在を認識でき、その不正なアクセスポイント装置と無線LAN端末とが接続することを防止することができる。すなわち、不正なアクセスポイント装置を検知すると、直ちに、無線LAN端末が接続することを防止する状態になり、データの流出を防ぐことができる。
(A-5) Effect of Embodiment As described above, according to the above-described embodiment, it is possible to recognize the presence of an unauthorized access point device and to prevent the unauthorized access point device from being connected to a wireless LAN terminal. Can do. That is, when an unauthorized access point device is detected, the wireless LAN terminal is immediately prevented from being connected, and data leakage can be prevented.
(B)他の実施形態
上記実施形態においては、検知動作を行っているアクセスポイント装置3−mが、不正アクセスポイント探索データをブロードキャストさせるものを示したが、隣接アクセスポイントテーブル35に識別情報が記憶されている隣接アクセスポイント装置からマルチキャストさせるものであっても良く(この場合に上位装置を経由させても良い)、また、隣接アクセスポイントテーブル35に識別情報が記憶されている隣接アクセスポイント装置の1個ずつから、個別に探索データを送信させるようにしても良い(この場合に上位装置を経由させても良い)。後者の場合であれば、隣接アクセスポイント装置3−jに、当該隣接アクセスポイント装置3−mを収容先とする、無線LAN端末と同様な無線送信動作を実行させるようにしても良い。
(B) Other Embodiments In the above-described embodiment, the access point device 3-m performing the detection operation broadcasts the unauthorized access point search data. However, the identification information is included in the adjacent access point table 35. The access point device may be multicast from the stored adjacent access point device (in this case, it may be routed through the host device), and the adjacent access point device whose identification information is stored in the adjacent access point table 35 Alternatively, the search data may be transmitted individually from each one (in this case, the search data may be routed through a host device). In the latter case, the adjacent access point apparatus 3-j may be caused to execute a wireless transmission operation similar to that of a wireless LAN terminal that accommodates the adjacent access point apparatus 3-m.
また、上記実施形態においては、検知動作を行っているアクセスポイント装置3−mが、不正アクセスポイント探索データを自社ネットワーク(有線LAN部分)2に送信し、隣接アクセスポイント装置の無線探索データをモニタすることにより、正規の隣接アクセスポイント装置3−jを認識するものを示したが、この逆のループ経路で探索データを巡回させて、正規の隣接アクセスポイント装置を認識するようにしても良い。例えば、検知動作を行っているアクセスポイント装置3−mは、自己宛の不正アクセスポイント探索データを無線送信し、その無線送信された不正アクセスポイント探索データを受信した正規の隣接アクセスポイント装置3−jが、自社ネットワーク(有線LAN部分)2経由で、不正アクセスポイント探索データをアクセスポイント装置3−mにフィードバックさせることにより(この場合に上位装置を経由させても良い)、正規の隣接アクセスポイント装置を認識するようにしても良い。 In the above embodiment, the access point device 3-m performing the detection operation transmits the unauthorized access point search data to the company network (wired LAN portion) 2 and monitors the wireless search data of the adjacent access point device. By doing so, the device that recognizes the normal adjacent access point device 3-j has been shown. However, the search data may be circulated through the reverse loop path to recognize the normal adjacent access point device 3-j. For example, the access point device 3-m performing the detection operation wirelessly transmits the unauthorized access point search data addressed to itself and receives the unauthorized access point search data transmitted wirelessly. By allowing j to feed back the unauthorized access point search data to the access point device 3-m via the company's network (wired LAN portion) 2 (in this case, it may be routed through the host device), the legitimate adjacent access point The device may be recognized.
さらに、上記実施形態においては、全てのアクセスポイント装置が、不正のアクセスポイント装置の検知機能を有するものを示したが、一部のアクセスポイント装置が、不正のアクセスポイント装置の検知機能を備えるものであっても良い。例えば、建物の外壁に近い位置に設置されているアクセスポイント装置が、不正のアクセスポイント装置の検知機能を備えるようにしても良い。 Further, in the above embodiment, all the access point devices have been shown to have an unauthorized access point device detection function, but some access point devices have an unauthorized access point device detection function. It may be. For example, an access point device installed at a position close to the outer wall of a building may have a detection function of an unauthorized access point device.
さらにまた、上記実施形態においては、不正アクセスポイント装置のビーコン周期を、不正と認識した以降に得るものを示したが、探索動作中でテーブルに登録しておき、不正と認識したときに直ちに使用するようにしても良い。 Furthermore, in the above embodiment, the beacon period of the unauthorized access point device is shown after being recognized as unauthorized, but it is registered in the table during the search operation and used immediately when it is recognized as unauthorized. You may make it do.
上記実施形態においては説明しなかったが、不正アクセスポイント装置が継続してビーコンを送出しているかを監視し、不正アクセスポイント装置がビーコンの送信を止めたときには、妨害データの送信を終了するようにしても良い。 Although not described in the above embodiment, it is monitored whether the unauthorized access point device continues to transmit beacons, and when the unauthorized access point device stops transmitting beacons, the transmission of jamming data is terminated. Anyway.
また、上記実施形態においては、妨害データの送信時も他のデータの送信時と同様な送信電力で送信するものを示したが、他のデータの送信時より送信電力を上げるようにしても良い。また、タイマの計時誤差を考慮し、不正アクセスポイント装置がビーコンを送信すると判定される期間より広い期間、妨害データを送信するようにしても良い。 In the above-described embodiment, the transmission data is transmitted at the same transmission power as that at the time of transmission of other data, but the transmission power may be increased as compared with the transmission of other data. . Further, in consideration of a timer timing error, the disturbance data may be transmitted for a period longer than the period in which the unauthorized access point device determines to transmit a beacon.
1−1〜1−N…無線LAN端末、2…自社ネットワーク(有線LAN)、3−1〜3−M…アクセスポイント装置、31…無線LANドライバ、32…無線データ通信処理部、33…不正アクセスポイント検知部、34…有線LANドライバ、35…隣接アクセスポイントテーブル、36…妨害タイマ制御部、37…妨害データ作成部。
1-1 to 1-N: wireless LAN terminal, 2 ... own network (wired LAN), 3-1 to 3-M ... access point device, 31 ... wireless LAN driver, 32 ... wireless data communication processing unit, 33 ... illegal Access
Claims (5)
上記アクセスポイント検出装置の周囲の無線空間をモニタし、第1アクセスポイント装置の識別情報を得てアクセスポイント記憶部に記憶するアクセスポイント検出ステップと、
アクセスポイント探索データを、上記有線LAN、上記アクセスポイント記憶部に記憶された識別情報の第1アクセスポイント装置との無線回線を、この順、又は、逆順に経由して、上記アクセスポイント検出装置に戻ってくるように送信すると共に、アクセスポイント探索データが戻ってきた経路の第1アクセスポイント装置について上記アクセスポイント記憶部に正規装置である旨を記憶する探索データ通信ステップと、
上記アクセスポイント記憶部に識別情報が記憶されながら、正規装置である旨が記憶されていないアクセスポイント装置を、不正なアクセスポイント装置として認識すると共に、その不正なアクセスポイント装置からのビーコンフレームの送信周期情報を得るアクセスポイント特定ステップを有する
ことを特徴とするアクセスポイント装置の検出方法。 An access point device detection method in an access point detection device connected to a wired LAN,
An access point detection step of monitoring the wireless space around the access point detection device, obtaining identification information of the first access point device and storing it in the access point storage unit;
The access point search data is transmitted to the access point detection device via the wired LAN and the wireless line with the first access point device of the identification information stored in the access point storage unit in this order or in reverse order. A search data communication step for storing the fact that the access point search data is a legitimate device in the access point storage unit for the first access point device on the route where the access point search data has returned;
While identifying information is stored in the access point storage unit, an access point device that is not stored as a legitimate device is recognized as an unauthorized access point device, and a beacon frame is transmitted from the unauthorized access point device. An access point identifying step for obtaining period information. A method for detecting an access point device.
請求項1に記載の上記アクセスポイント検出装置におけるアクセスポイント装置の検出方法を適用する妨害アクセスポイント検出ステップと、
不正なアクセスポイント装置からのビーコンフレームの送信周期情報に応じて、認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングを計時する妨害タイミング計時ステップと、
認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングで、妨害データを作成して無線空間に送信するデータ作成送信ステップと
を有することを特徴とするアクセスポイント装置の制御方法。 A method for controlling an access point device in an access point device that communicates with a wireless LAN terminal and is connected to a wired LAN,
A disturbing access point detection step of applying the access point device detection method in the access point detection device according to claim 1;
A disturbance timing timing step for timing the timing at which a beacon frame is transmitted from a recognized unauthorized access point device according to the transmission cycle information of the beacon frame from an unauthorized access point device,
A control method for an access point device, comprising: a data creation and transmission step of creating jamming data and transmitting it to a radio space at a timing when a beacon frame is transmitted from a recognized unauthorized access point device.
上記アクセスポイント検出装置の周囲の無線空間をモニタし、第1アクセスポイント装置の識別情報を得てアクセスポイント記憶部に記憶するアクセスポイント検出部と、
アクセスポイント探索データを、上記有線LAN、上記アクセスポイント記憶部に記憶される識別情報の第1アクセスポイント装置との無線回線を、この順、又は、逆順に経由して、上記アクセスポイント検出装置に戻ってくるように送信すると共に、アクセスポイント探索データが戻ってきた経路の第1アクセスポイント装置について上記アクセスポイント記憶部に正規装置である旨を記憶する探索データ通信部と、
上記アクセスポイント記憶部に識別情報が記憶されながら、正規装置である旨が記憶されていないアクセスポイント装置を、不正なアクセスポイント装置として認識すると共に、その不正なアクセスポイント装置からのビーコンフレームの送信周期情報を得る上記アクセスポイント特定部と
を有することを特徴とするアクセスポイント検出装置。 In an access point detection device connected to a wired LAN,
An access point detection unit that monitors the wireless space around the access point detection device, obtains identification information of the first access point device, and stores the identification information in the access point storage unit;
The access point search data is transmitted to the access point detection device via the wired LAN and a wireless line with the first access point device of the identification information stored in the access point storage unit in this order or in reverse order. A search data communication unit that transmits information so as to return, and stores the fact that the access point storage data is a legitimate device in the access point storage unit for the first access point device on the route where the access point search data has returned;
While identifying information is stored in the access point storage unit, an access point device that is not stored as a legitimate device is recognized as an unauthorized access point device, and a beacon frame is transmitted from the unauthorized access point device. An access point detection apparatus comprising: the access point specifying unit for obtaining period information.
請求項3に記載の上記アクセスポイント検出装置を適用する妨害アクセスポイント検出部と、
不正なアクセスポイント装置からのビーコンフレームの送信周期情報に応じて、認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングを計時する妨害タイミング計時部と、
認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングで、妨害データを作成して無線空間に送信するデータ作成送信部と
を有することを特徴とするアクセスポイント装置。 In an access point device that communicates with a wireless LAN terminal and is connected to a wired LAN,
A disturbing access point detection unit to which the access point detection device according to claim 3 is applied;
In accordance with the transmission cycle information of the beacon frame from the unauthorized access point device, an interference timing timing unit that measures the timing at which the recognized beacon frame is transmitted from the unauthorized access point device,
An access point device comprising: a data creation and transmission unit that creates jamming data and transmits it to a wireless space at a timing when a beacon frame is transmitted from a recognized unauthorized access point device.
少なくとも上記複数のアクセスポイント装置の一部として、請求項4に記載の上記アクセスポイント装置を適用することを特徴とする無線LANシステム。 In a wireless LAN system in which a plurality of access point devices communicating with a wireless LAN terminal are connected by a wired LAN,
A wireless LAN system, wherein the access point device according to claim 4 is applied as at least a part of the plurality of access point devices.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008216712A JP4697278B2 (en) | 2008-08-26 | 2008-08-26 | Access point device detection method and control method, access point detection device, access point device, and wireless LAN system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008216712A JP4697278B2 (en) | 2008-08-26 | 2008-08-26 | Access point device detection method and control method, access point detection device, access point device, and wireless LAN system |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006183450A Division JP4229148B2 (en) | 2006-07-03 | 2006-07-03 | Unauthorized access point connection blocking method, access point device, and wireless LAN system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009022028A JP2009022028A (en) | 2009-01-29 |
| JP4697278B2 true JP4697278B2 (en) | 2011-06-08 |
Family
ID=40361186
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008216712A Active JP4697278B2 (en) | 2008-08-26 | 2008-08-26 | Access point device detection method and control method, access point detection device, access point device, and wireless LAN system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4697278B2 (en) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101070615B1 (en) * | 2010-11-22 | 2011-10-07 | 주식회사 정보보호기술 | System and method to detecting wi- fi user's 3d location |
| GB2509454B (en) * | 2011-09-30 | 2014-09-10 | Ibm | Monitoring system, monitoring server, method, and program for nitoring unauthorised access point |
| US10531545B2 (en) | 2014-08-11 | 2020-01-07 | RAB Lighting Inc. | Commissioning a configurable user control device for a lighting control system |
| US10039174B2 (en) | 2014-08-11 | 2018-07-31 | RAB Lighting Inc. | Systems and methods for acknowledging broadcast messages in a wireless lighting control network |
| US10085328B2 (en) | 2014-08-11 | 2018-09-25 | RAB Lighting Inc. | Wireless lighting control systems and methods |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7002943B2 (en) * | 2003-12-08 | 2006-02-21 | Airtight Networks, Inc. | Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices |
-
2008
- 2008-08-26 JP JP2008216712A patent/JP4697278B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009022028A (en) | 2009-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4229148B2 (en) | Unauthorized access point connection blocking method, access point device, and wireless LAN system | |
| JP4697278B2 (en) | Access point device detection method and control method, access point detection device, access point device, and wireless LAN system | |
| US7522049B2 (en) | Wireless local area network (WLAN) method and system for presence detection and location finding | |
| KR101453521B1 (en) | Wireless access point apparatus and method for detecting unauthorized wireless lan node | |
| JP5012799B2 (en) | Communication device, connection destination switching control method and program for wireless communication device by communication device | |
| US20050083962A1 (en) | Interference measurements in a wireless communications system | |
| CA2548419A1 (en) | Methods and apparatus for providing slot reservations for slotted messages in wireless communication networks | |
| JP2006279438A (en) | Illegal access detecting method and device | |
| KR20120134631A (en) | Emergency message relay apparatus and method for effective emergency message transmission in the v2v environment | |
| CN103906263A (en) | Connection establishment method, device and system | |
| US9444837B2 (en) | Process and devices for selective collision detection | |
| JP4779711B2 (en) | Unauthorized access point detection method, access point device, and wireless LAN system | |
| JP2001231078A (en) | Radio packet relay station and radio packet relay method | |
| JP4862868B2 (en) | Access point device control method, access point device, and wireless LAN system | |
| US20170303312A1 (en) | System and methods for detection of hidden nodes in cellular systems on unlicensed bands | |
| JP2016111778A (en) | Method for determining priority order of power transmission system in non-contact charging | |
| JP2008022524A (en) | Radio communication system, base station control device, and method for preventing unauthorized use of radio base station | |
| JP2005064711A (en) | Access point device | |
| JP4465604B2 (en) | Abnormality reporting system | |
| JP2002345031A (en) | Base station device and radio communication system | |
| EP3430840B1 (en) | Distributed wireless intercom audio routing over ethernet with roaming | |
| JP4826829B2 (en) | Network management server, program, network, and power management method | |
| JP2010130028A (en) | Rfid tag communication device and rfid tag communication system | |
| JP7430397B2 (en) | WIPS sensor, wireless communication system, wireless intrusion prevention method and wireless intrusion prevention program | |
| JP2010087725A (en) | Radio communication system, terminal station, radio communication method, program and recording medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110201 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110214 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4697278 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140311 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140311 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |