JP7481043B2 - Wireless communication device, wireless communication system, wireless communication method, and wireless communication program - Google Patents
Wireless communication device, wireless communication system, wireless communication method, and wireless communication program Download PDFInfo
- Publication number
- JP7481043B2 JP7481043B2 JP2023017223A JP2023017223A JP7481043B2 JP 7481043 B2 JP7481043 B2 JP 7481043B2 JP 2023017223 A JP2023017223 A JP 2023017223A JP 2023017223 A JP2023017223 A JP 2023017223A JP 7481043 B2 JP7481043 B2 JP 7481043B2
- Authority
- JP
- Japan
- Prior art keywords
- bss
- connection
- unconnected
- wireless communication
- sta2
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 148
- 238000000034 method Methods 0.000 title claims description 94
- 230000008569 process Effects 0.000 claims description 41
- 230000004044 response Effects 0.000 claims description 26
- OVGWMUWIRHGGJP-WVDJAODQSA-N (z)-7-[(1s,3r,4r,5s)-3-[(e,3r)-3-hydroxyoct-1-enyl]-6-thiabicyclo[3.1.1]heptan-4-yl]hept-5-enoic acid Chemical compound OC(=O)CCC\C=C/C[C@@H]1[C@@H](/C=C/[C@H](O)CCCCC)C[C@@H]2S[C@H]1C2 OVGWMUWIRHGGJP-WVDJAODQSA-N 0.000 description 82
- 101000988961 Escherichia coli Heat-stable enterotoxin A2 Proteins 0.000 description 82
- 238000010586 diagram Methods 0.000 description 42
- 230000006870 function Effects 0.000 description 15
- 230000015654 memory Effects 0.000 description 7
- 230000008859 change Effects 0.000 description 5
- OVGWMUWIRHGGJP-WTODYLRWSA-N (z)-7-[(1r,3s,4s,5r)-3-[(e,3r)-3-hydroxyoct-1-enyl]-6-thiabicyclo[3.1.1]heptan-4-yl]hept-5-enoic acid Chemical compound OC(=O)CCC\C=C/C[C@H]1[C@H](/C=C/[C@H](O)CCCCC)C[C@H]2S[C@@H]1C2 OVGWMUWIRHGGJP-WTODYLRWSA-N 0.000 description 4
- 101100366889 Caenorhabditis elegans sta-2 gene Proteins 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 4
- 238000001914 filtration Methods 0.000 description 3
- 238000003825 pressing Methods 0.000 description 3
- 101100521334 Mus musculus Prom1 gene Proteins 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000010079 rubber tapping Methods 0.000 description 2
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
本開示は無線通信装置、無線通信システム、無線通信方法および無線通信プログラムに関し、特に複数のBSS(Basic Service Set)を用いて無線子機との間で通信を行う無線通信装置、無線通信システム、無線通信方法および無線通信プログラムに関する。 The present disclosure relates to a wireless communication device, a wireless communication system, a wireless communication method, and a wireless communication program, and in particular to a wireless communication device, a wireless communication system, a wireless communication method, and a wireless communication program that communicate with wireless slave devices using multiple BSSs (Basic Service Sets).
近年、無線LAN(Local Area Network)は、多くの家庭で使用されるまで広く一般に普及している。以前は情報機器に関してある程度知識を持ったユーザが無線LAN装置を導入し、その無線LAN装置を利用していたが、無線LANが広く一般に普及するにつれて、ITスキルの低いユーザも自宅に無線LAN環境を構築するようになってきている。したがって無線LAN装置、例えばアクセスポイント装置(AP: Access Point)は、一般家庭向けに、誰にでも簡単に無線LAN環境を構築することが求められている。ここで無線LAN環境を構築するとは、APに対して動作設定を、無線子機(STA: Station)に対してネットワーク設定を行うことで、STAをAPのネットワークに帰属させて通信可能な状態にすることである。 In recent years, wireless LANs (Local Area Networks) have become so widespread that they are used in many homes. In the past, users with some knowledge of information devices would install and use wireless LAN devices, but as wireless LANs have become more widespread, even users with low IT skills have begun to set up wireless LAN environments at home. Therefore, wireless LAN devices, such as access point devices (APs), are required to be designed for general households so that anyone can easily set up a wireless LAN environment. Here, setting up a wireless LAN environment means setting up the operation of the AP and the network of the wireless client device (STA) so that the STA can belong to the AP's network and be able to communicate.
また、無線LAN装置は、高いセキュリティレベルを確保することも求められている。無線LANは電波を媒体とした無線通信ネットワークであるため、どの端末が無線LANに接続されているのかが目に見えない。したがって意図しない悪意を持ったSTAがAPのネットワークに帰属していたとしても、気づかれにくい。また電波は一定の範囲に届くため、APのネットワークに帰属していなくても電波の受信は可能である。したがって悪意を持ったユーザが正規ユーザの通信内容を傍受することも比較的容易となる。そこで多くのAPは、パスワードを用いて帰属させる端末を認証し、通信内容を暗号化することで、かかる攻撃を防いでいる。このようなセキュリティ向上のための接続認証処理は、当然ながら実施されることが望ましい。 Wireless LAN devices are also required to ensure a high level of security. Because a wireless LAN is a wireless communication network that uses radio waves as a medium, it is not visible which terminals are connected to the wireless LAN. Therefore, even if an unintentionally malicious STA is associated with the AP's network, it is difficult to be noticed. Also, because radio waves reach a certain range, it is possible to receive radio waves even if the STA is not associated with the AP's network. Therefore, it is relatively easy for a malicious user to intercept the contents of communications from a legitimate user. Therefore, many APs prevent such attacks by authenticating the terminals that are associated with them using passwords and encrypting the communications. Naturally, it is desirable to carry out connection authentication processing to improve security in this way.
ここで、多くの無線LAN装置は、接続認証処理のための設定情報が出荷前に設定されている。例えばSSID(Service Set Identifier)、およびパスワードは、ユーザがSTAをAPのネットワークに帰属させるために必要な設定情報であるが、APの装置本体に設けられるステッカー等に記載されている場合が多い。したがってユーザが新規にAPを導入したとき、特別にAPの設定情報を変更しなくてもSTAにAPのSSID、およびパスワードを入力するだけで、セキュアな無線LAN環境の構築が可能となる。しかしながら、この方法はユーザビリティの観点およびセキュリティの観点で課題が存在する。このためこれらの課題を解決するために様々な方法が提案されている。 In many wireless LAN devices, the setting information for connection authentication processing is set before shipping. For example, the SSID (Service Set Identifier) and password are setting information required for the user to associate the STA with the AP's network, and are often written on a sticker or the like attached to the AP's device body. Therefore, when a user introduces a new AP, a secure wireless LAN environment can be created simply by inputting the AP's SSID and password into the STA without having to change the AP's setting information. However, this method has problems in terms of usability and security. For this reason, various methods have been proposed to solve these problems.
例えば特許文献1には、アクセスポイント装置に設けられた設定ボタンを押下されたことに応じてクライアント装置に対して接続情報を転送し、無線のネットワークシステムへの参加の設定処理を実行する方法が開示されている。
また特許文献2には、STAがまず電波到達度の狭いネットワークのBSSに参加してパラメータを受信し、該パラメータを用いて、参加するBSSを高セキュリティレベルのBSSに切り替える方法が開示されている。
For example,
Furthermore, Patent Document 2 discloses a method in which a STA first joins a BSS in a network with poor radio coverage, receives parameters, and then uses the parameters to switch the BSS it joins to a BSS with a high security level.
しかし上述の特許文献1に記載の方法では、ネットワークシステムへの参加時にAPのボタンを押すという動作は、ユーザにとって必ずしも直感的ではないという問題がある。また初期の接続情報のまま運用し続けることは、依然としてセキュリティ上のリスクがあるという問題もある。
However, the method described in
また上述の特許文献2に記載の方法では、電波到達度の狭いBSSに参加したSTAは、高セキュリティレベルのBSSに必ず参加できることとなり、セキュリティレベルが十分でないという問題がある。 In addition, in the method described in Patent Document 2 above, an STA that has joined a BSS with a narrow radio wave coverage area will always be able to join a BSS with a high security level, which poses the problem of an insufficient security level.
本開示の目的は、上述した課題に鑑み、ユーザの負担を抑えつつ、セキュリティレベルの高い無線ネットワークを運用できる無線通信装置、無線通信システム、無線通信方法および無線通信プログラムを提供することにある。 In view of the above-mentioned problems, the objective of the present disclosure is to provide a wireless communication device, a wireless communication system, a wireless communication method, and a wireless communication program that can operate a wireless network with a high level of security while minimizing the burden on users.
本開示の一態様にかかる無線通信装置は、複数のBSS(Basic Service Set)を用いて無線子機との間で通信を行う。前記無線通信装置は、第1帰属処理部と、問合せ部と、第2帰属処理部とを備える。前記第1帰属処理部は、接続認証が未完了の無線子機である未接続子機が接続を要求したことに応じて、前記未接続子機を第1BSSに帰属させる。前記問合せ部は、第2BSSに帰属しかつ接続認証が完了した無線子機である接続済子機に対して、前記第2BSSを介して要求元の前記未接続子機の接続可否を問い合わせる。前記第2帰属処理部は、前記接続済子機が前記接続を許可した場合、要求元の前記未接続子機の帰属先を前記第1BSSから前記第2BSSに変更して接続認証を完了する。 A wireless communication device according to one aspect of the present disclosure communicates with wireless slave devices using multiple BSSs (Basic Service Sets). The wireless communication device includes a first attribution processing unit, an inquiry unit, and a second attribution processing unit. In response to a connection request from an unconnected slave device, which is a wireless slave device for which connection authentication has not been completed, the first attribution processing unit causes the unconnected slave device to be attributable to a first BSS. The inquiry unit inquires of a connected slave device, which is a wireless slave device that is attributable to a second BSS and for which connection authentication has been completed, via the second BSS whether the requesting unconnected slave device can be connected. When the connected slave device permits the connection, the second attribution processing unit changes the attribution destination of the requesting unconnected slave device from the first BSS to the second BSS, and completes the connection authentication.
本開示の一態様にかかる無線通信システムは、複数の無線子機と、複数のBSSを用いて前記無線子機との間で無線通信を行う無線通信装置とを備える。前記無線通信装置は、第1帰属処理部と、問合せ部と、第2帰属処理部とを備える。前記第1帰属処理部は、接続認証が未完了の無線子機である未接続子機が接続を要求したことに応じて、前記未接続子機を第1BSSに帰属させる。前記問合せ部は、第2BSSに帰属しかつ接続認証が完了した無線子機である接続済子機に対して、前記第2BSSを介して要求元の前記未接続子機の接続可否を問い合わせる。前記第2帰属処理部は、前記接続済子機が前記接続を許可した場合、要求元の前記未接続子機の帰属先を前記第1BSSから前記第2BSSに変更して接続認証を完了する。 A wireless communication system according to one aspect of the present disclosure includes a plurality of wireless slave devices and a wireless communication device that performs wireless communication between the wireless slave devices using a plurality of BSSs. The wireless communication device includes a first attribution processing unit, an inquiry unit, and a second attribution processing unit. In response to a connection request from an unconnected slave device, which is a wireless slave device for which connection authentication has not been completed, the first attribution processing unit causes the unconnected slave device to be attributable to a first BSS. The inquiry unit inquires of a connected slave device, which is a wireless slave device that is attributable to a second BSS and for which connection authentication has been completed, via the second BSS whether the requesting unconnected slave device can be connected. When the connected slave device permits the connection, the second attribution processing unit changes the attribution destination of the requesting unconnected slave device from the first BSS to the second BSS, and completes the connection authentication.
本開示の一態様にかかる無線通信方法は、複数のBSSを用いて無線子機との間で無線通信を行う無線通信装置の無線通信方法である。前記無線通信方法は、第1帰属処理段階と、問合せ段階と、第2帰属処理段階とを備える。前記第1帰属処理段階は、接続認証が未完了の無線子機である未接続子機が接続を要求したことに応じて、前記未接続子機を第1BSSに帰属させる段階である。前記問合せ段階は、第2BSSに帰属しかつ接続認証が完了した無線子機である接続済子機に対して、前記第2BSSを介して要求元の前記未接続子機の接続可否を問い合わせる段階である。前記第2帰属処理段階は、前記接続済子機が前記接続を許可した場合、要求元の前記未接続子機の帰属先を前記第1BSSから前記第2BSSに変更して接続認証を完了する段階である。 A wireless communication method according to one aspect of the present disclosure is a wireless communication method for a wireless communication device that performs wireless communication with a wireless slave using multiple BSSs. The wireless communication method includes a first attribution process step, an inquiry process step, and a second attribution process step. The first attribution process step is a step of attributing the unconnected slave to a first BSS in response to a connection request from an unconnected slave that is a wireless slave for which connection authentication has not been completed. The inquiry process step is a step of inquiring, via the second BSS, a connected slave that is a wireless slave that is attributable to a second BSS and for which connection authentication has been completed, as to whether the unconnected slave that is the request source can connect. The second attribution process step is a step of changing the attribution destination of the unconnected slave that is the request source from the first BSS to the second BSS and completing connection authentication, if the connected slave permits the connection.
本開示の一態様にかかる無線通信プログラムは、複数のBSSを用いて無線子機との間で無線通信を行う無線通信装置に実行させるための無線通信プログラムである。前記無線通信プログラムは、第1帰属処理と、問合せ処理と、第2帰属処理とを前記無線通信装置に実行させる。前記第1帰属処理は、接続認証が未完了の無線子機である未接続子機が接続を要求したことに応じて、前記未接続子機を第1BSSに帰属させる処理である。前記問合せ処理は、第2BSSに帰属しかつ接続認証が完了した無線子機である接続済子機に対して、前記第2BSSを介して要求元の前記未接続子機の接続可否を問い合わせる処理である。前記第2帰属処理は、前記接続済子機が前記接続を許可した場合、要求元の前記未接続子機の帰属先を前記第1BSSから前記第2BSSに変更して接続認証を完了する処理である。 A wireless communication program according to one aspect of the present disclosure is a wireless communication program to be executed by a wireless communication device that performs wireless communication with a wireless slave device using multiple BSSs. The wireless communication program causes the wireless communication device to execute a first attribution process, an inquiry process, and a second attribution process. The first attribution process is a process of attributing an unconnected slave device, which is a wireless slave device for which connection authentication has not been completed, to a first BSS in response to a connection request from the unconnected slave device. The inquiry process is a process of inquiring, via the second BSS, of a connected slave device, which is a wireless slave device that is attributable to a second BSS and for which connection authentication has been completed, as to whether the unconnected slave device that is the request source can connect. The second attribution process is a process of changing the attribution destination of the unconnected slave device that is the request source from the first BSS to the second BSS and completing connection authentication when the connected slave device permits the connection.
本開示による第1の効果は、無線通信装置が、接続済の無線子機が許可した無線子機のみを、初期の設定情報により帰属する第1BSSとは異なる第2BSSに帰属させることで、セキュリティレベルの高い無線ネットワークを運用できる点にある。 The first effect of the present disclosure is that a wireless communication device can operate a wireless network with a high level of security by associating only wireless slave devices that are permitted by connected wireless slave devices with a second BSS that is different from the first BSS to which the wireless slave devices belong based on the initial setting information.
本開示による第2の効果は、2台目以降の無線子機を無線通信装置に接続認証させる場合に、接続済の無線子機が接続可否を送信するだけで、対象の無線子機をセキュリティレベルの高い第2BSSに帰属させることができる点にある。 The second effect of the present disclosure is that when a second or subsequent wireless slave device is authenticated for connection to a wireless communication device, the target wireless slave device can be assigned to a second BSS with a higher security level simply by the connected wireless slave device transmitting a connection permission/denial.
このように本開示により、ユーザの負担を抑えつつ、セキュリティレベルの高い無線ネットワークを運用できる無線通信装置、無線通信システム、無線通信方法および無線通信プログラムを提供できる。 In this way, the present disclosure can provide a wireless communication device, a wireless communication system, a wireless communication method, and a wireless communication program that can operate a wireless network with a high level of security while minimizing the burden on users.
以下、実施形態を通じて本開示を説明するが、特許請求の範囲にかかる発明を以下の実施形態に限定するものではない。また、実施形態で説明する構成の全てが課題を解決するための手段として必須であるとは限らない。説明の明確化のため、以下の記載および図面は、適宜、省略、および簡略化がなされている。なお、各図面において、同一の要素には同一の符号が付されている。 The present disclosure will be described below through embodiments, but the invention according to the claims is not limited to the following embodiments. Furthermore, not all of the configurations described in the embodiments are necessarily essential as means for solving the problems. For clarity of explanation, the following description and drawings have been omitted and simplified as appropriate. Note that the same reference numerals are used for the same elements in each drawing.
<実施形態の課題>
ここで、本実施形態が解決しようとする課題について改めて説明する。
近年無線LAN(Local Area Network)は広く一般家庭にも普及したため、IT機器に不慣れなユーザも自宅に無線LAN環境を構築することが多くなった。そして、IT機器に不慣れなユーザの多くは、AP(Access Point)を購入した場合、無線子機(STA: Station)側にSSID(Service Set IDentifier)およびパスワードを入力するだけでAPのネットワークを利用できるものと認識している。確かに、多くのAPではSSIDおよびパスワードといった設定情報が出荷前に定められており、それらの設定情報がAP本体に貼られているステッカーなどに記載されている。したがってユーザは、そのステッカーの情報をSTAの設定画面上で入力すると、STAはAPに帰属して通信可能となる。しかし、初期の設定情報のまま運用し続けることはセキュリティ上リスクが高い。初期状態のSSIDおよびパスワードは、多くの場合はAPのMAC(Media Access Control)アドレスやシリアルナンバーといった、装置ごとに異なって割り当てられる値を用いて、製品ごとに異なる計算式で算出されたものである。しかし一度クラッカーによりその算出方法が解析されると、悪意を持った攻撃者がパスワードを算出できるようになる。つまりAPのユーザは、初期の設定情報のままAPを運用していると、悪意を持った攻撃者の攻撃を受けるリスクが高まる。したがって、SSIDおよびパスワードはユーザによって変更されることが求められる。しかしながら、IT機器に不慣れなユーザはAPの設定情報を変更する必要性を認識していないため、設定情報を変更せずにセキュリティリスクが高い状態のままAPを運用しているケースが多いのが実情である。
<Problems of the embodiment>
Here, the problem that the present embodiment is intended to solve will be explained again.
In recent years, wireless LANs (Local Area Networks) have become widespread in ordinary homes, and even users who are unfamiliar with IT devices often set up wireless LAN environments at home. Many users who are unfamiliar with IT devices believe that when they purchase an AP (Access Point), they can use the AP's network simply by inputting an SSID (Service Set Identifier) and password on the wireless client (STA: Station) side. Indeed, in many APs, setting information such as the SSID and password is determined before shipping, and the setting information is written on a sticker attached to the AP body. Therefore, when a user inputs the information on the sticker on the setting screen of the STA, the STA becomes associated with the AP and can communicate. However, continuing to operate with the initial setting information is a high security risk. In many cases, the initial SSID and password are calculated using a different formula for each product using values that are assigned differently to each device, such as the AP's MAC (Media Access Control) address and serial number. However, once the calculation method is analyzed by a cracker, a malicious attacker can calculate the password. In other words, if an AP user operates the AP with the initial setting information, the risk of being attacked by a malicious attacker increases. Therefore, the SSID and password are required to be changed by the user. However, since users who are not familiar with IT devices do not recognize the need to change the setting information of the AP, the reality is that there are many cases where the AP is operated in a state with high security risk without changing the setting information.
そもそも家庭で無線LAN環境を構築する場合、セキュリティリスクを軽減するために、家庭内のAP管理者(例えば、親)が許可したSTAのみが帰属できるべきである。一般に販売されているAPは、パスワードがあればBSS(Basic Service Set)への接続認証できてしまうため、悪意を持った攻撃者がパスワードを入手した場合に不正アクセスされるというリスクがある。そこで、MACアドレスにより帰属させるSTAをフィルタリングする機能が搭載されたAPが開発されている。この機能は、予めAPにMACアドレスのリストを登録し、帰属を試みたSTAのMACアドレスが該リストに存在する場合のみ接続を許可したり(ホワイトリスト方式)、または該リストに存在する場合のみ接続を禁止する機能(ブラックリスト方式)である。ホワイトリスト方式を用いれば管理者が許可したSTAのみを帰属させることができるが、許可するSTAのMACアドレスをあらかじめAPに登録しておくことは、IT機器に不慣れなユーザにとっては非常に困難である。 When constructing a wireless LAN environment at home, only STAs authorized by the home AP administrator (e.g., a parent) should be able to connect to the AP in order to reduce security risks. APs available on the market can authenticate connection to a BSS (Basic Service Set) if a password is entered, so there is a risk that a malicious attacker may gain unauthorized access if he obtains the password. Therefore, APs equipped with a function for filtering STAs to be connected by MAC address have been developed. This function registers a list of MAC addresses in the AP in advance, and allows connection only if the MAC address of the STA attempting to connect is included in the list (whitelist method), or prohibits connection only if the MAC address is included in the list (blacklist method). Using the whitelist method, only STAs authorized by the administrator can be connected, but it is very difficult for users who are not familiar with IT equipment to register the MAC addresses of permitted STAs in the AP in advance.
また、仮にユーザがパスワードを変更する意思を持ったとしても、一般的にパスワードはAP上のウェブインタフェースを用いて変更するため、IT機器に不慣れなユーザにとって設定情報を変更することは依然として困難である。加えて、変更により新規に設定するパスワードは容易に推測されるものを避ける必要があり、ある程度の文字数でかつ複雑なものにすべきである。しかし、そのようなパスワードをユーザが暗記するのは困難であり、またパスワードをメモ書きしておくことはかえってセキュリティ上問題となる。つまり、ユーザにセキュアなパスワードへの変更を要求することは、ユーザフレンドリーとは言えない。 Even if a user is willing to change their password, passwords are generally changed using a web interface on the AP, so it remains difficult for users who are unfamiliar with IT devices to change configuration information. In addition, the new password must not be easily guessed and should be complex and contain a certain number of characters. However, it is difficult for users to memorize such a password, and writing it down can actually be a security problem. In other words, requesting users to change their password to a secure one is not user-friendly.
また、IT機器に不慣れなユーザにとっては、STAをAPに帰属させる場合に、STAにパスワードを入力することも手間がかかる。これに対しては、WPS(Wi-Fi Protected Setup)のプッシュボタン方式のように、ユーザがAPおよびSTAの物理的あるいは論理的なボタンを押すことにより、APのBSSの設定情報を簡単にSTAに転送して帰属可能とさせる技術が提案されている。しかし、APおよびSTAのボタンを押すという動作は、ユーザにとって直感的ではない。特にSTAがスマートフォンの場合には、機種ごとに異なる手順でWPSのボタンを表示させる必要があることも加わって、WPSのプッシュボタン方式のような機能は採用されないことが多い。一方、初期設定のプロファイル情報を示すQRコード(登録商標)が印字された書類がAPとセットで販売されているケースがある。この場合は、ユーザはパスワードを手動で入力することなくSTAをAPに帰属させることができる。しかしながら、ユーザは、しばしば、セットアップ後にQRコードが印字された書類を梱包箱と共に処分したり、紛失してしまう。したがってユーザは、新たにSTAを帰属させようとした場合、結局はAPに貼られたステッカーを見ながら手動でパスワードを入力する事になる。なおAPは、セットアップ後に部屋の隅に設置されることが多いため、そもそもステッカーを目視することが物理的に困難である。このように、特にセットアップ後に新規にSTAを帰属させるには非常に手間がかかるという課題がある。 For users who are not familiar with IT devices, it is also troublesome to input a password into the STA when associating the STA with the AP. In response to this, a technology has been proposed in which the user presses a physical or logical button on the AP and STA, such as the push button method of WPS (Wi-Fi Protected Setup), to easily transfer the setting information of the AP's BSS to the STA and enable associating. However, the action of pressing the buttons on the AP and STA is not intuitive for users. In particular, when the STA is a smartphone, it is necessary to display the WPS button in a different procedure for each model, and functions such as the push button method of WPS are often not adopted. On the other hand, there are cases where a document on which a QR code (registered trademark) showing the initial profile information is printed is sold together with the AP. In this case, the user can associate the STA with the AP without manually entering a password. However, users often dispose of or lose the document on which the QR code is printed together with the packaging box after setup. Therefore, when a user tries to associate a new STA, he or she ends up manually entering the password while looking at the sticker attached to the AP. Furthermore, since APs are often installed in the corners of rooms after setup, it is physically difficult to see the sticker in the first place. As such, there is an issue that it is extremely time-consuming to attribute new STAs, especially after setup.
以上のように、現状の無線LAN装置には、セキュリティ面およびユーザビリティ面での課題が存在する。本開示は、このような課題を解決するためになされたものであり、以下に実施形態を説明する。 As described above, current wireless LAN devices have problems in terms of security and usability. This disclosure has been made to solve these problems, and an embodiment will be described below.
<実施形態1>
図1~2を用いて、本開示の実施形態1について説明する。図1は、実施形態1にかかる無線通信装置10の機能構成を示すブロック図である。無線通信装置10は、複数のBSSを用いて無線子機(以下、STAと呼ぶ)との間で通信を行うコンピュータ装置である。本実施形態1では、複数のBSSは、第1BSSおよび第2BSSを含む。ここで、接続認証が未完了の無線子機を未接続子機または未接続STAと呼び、接続認証が完了した無線子機を接続済子機または接続済STAと呼ぶ。本実施形態1では、未接続STAは、第2BSSに帰属することで、接続認証が完了し、接続済STAとなる。
<
A first embodiment of the present disclosure will be described with reference to FIGS. 1 and 2. FIG. 1 is a block diagram showing a functional configuration of a
無線通信装置10は、第1帰属処理部14と、問合せ部16と、第2帰属処理部15とを備える。
The
第1帰属処理部14は、未接続STAが接続を要求したことに応じて、未接続STAを第1BSSに帰属させる。
The first
問合せ部16は、第2BSSに帰属する接続済STAに対して、第2BSSを介して要求元の未接続STAの接続可否を問い合わせる。
The
第2帰属処理部15は、接続済STAが接続を許可した場合、要求元の未接続STAの帰属先を第1BSSから第2BSSに変更して接続認証を完了する。
If the connected STA permits the connection, the second belonging processing
このように実施形態1にかかる無線通信装置10は、接続済STAが許可した未接続STAのみを第2BSSに帰属させる。したがって攻撃者の未接続STAが初期の設定情報(SSIDおよびパスワード)を用いて第1BSSに帰属できたとしても、第2BSSはセキュリティレベルが高い状態に維持される。また実施形態1にかかる無線通信装置10を用いれば、接続済STAは接続可否を送信するという容易な手順だけで、未接続STAを第2BSSに帰属させることができる。以上のように、無線通信装置10は、ユーザの負担を抑えつつ、セキュリティレベルの高い無線ネットワークを運用できる。
In this way, the
図2は、実施形態1にかかる無線通信装置10のハードウェア構成を示すブロック図である。
Figure 2 is a block diagram showing the hardware configuration of the
無線通信装置10は、主要なハードウェア構成として、プロセッサ100と、ROM101(Read Only Memory)と、RAM102(Random Access Memory)と、インターフェース部103(IF;Interface)とを有する。プロセッサ100、ROM101、RAM102およびインターフェース部103は、データバスなどを介して相互に接続されている。
The
プロセッサ100は、制御処理および演算処理等を行う演算装置としての機能を有する。プロセッサ100は、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、FPGA(Field-Programmable Gate Array)、DSP(Digital Signal Processor)またはASIC(Application Specific Integrated Circuit)並びにこれらの組み合わせであってよい。ROM101は、プロセッサ100によって実行される制御プログラムおよび演算プログラム等を記憶するための機能を有する。RAM102は、処理データ等を一時的に記憶するための機能を有する。インターフェース部103は、有線または無線を介して外部と信号の入出力を行う。また、インターフェース部103は、ユーザによるデータの入力の操作を受け付け、ユーザに対して情報を表示する。本実施形態1では、インターフェース部103は、アンテナを有し、STAと無線通信を行う。またインターフェース部103は、無線または有線で外部装置と通信する。
The
<実施形態2>
次に、図3~18を用いて、本開示の実施形態2について説明する。
図3は、実施形態2にかかる無線通信装置が適用されることができる無線通信システムの構成図である。本図に示す無線通信システム1は、STAを外部ネットワーク4にアクセスさせ、STAと外部ネットワーク4上の外部装置との間の通信を可能にするコンピュータシステムである。外部ネットワーク4は、例えばインターネットである。無線通信システム1は、複数のSTA2-1,2-2,2-3と、無線通信装置の一例としてAP10aとを備える。以下では、STA2-1,2-2,2-3を区別しない場合、単にSTA2と呼ぶ。なおSTA2の数は、3に限らず、2であってもよいし、4以上であってもよい。
<Embodiment 2>
Next, a second embodiment of the present disclosure will be described with reference to FIGS.
3 is a configuration diagram of a wireless communication system to which a wireless communication device according to the second embodiment can be applied. The
STA2は、携帯電話、スマートフォン、タブレット端末、パーソナルコンピュータ(PC)またはその他の無線通信端末である。STA2は、EntryBSS5またはOpBSS6を介して、AP10aと無線通信する。 STA2 is a mobile phone, a smartphone, a tablet terminal, a personal computer (PC), or other wireless communication terminal. STA2 wirelessly communicates with AP10a via EntryBSS5 or OpBSS6.
ここでOpBSS6は、STA2がAP10aを介して外部ネットワーク4へアクセスするために用いられるBSSであり、いわゆる通常運用用のBSSである。OpBSS6は基本的には一般のAPで構築されるBSSと同様であるが、ホワイトリスト方式でMACアドレスをフィルタリングする機能を有する点、およびパスワードを用いた認証および暗号化通信を行う点で相違する。OpBSS6は、セットアップ時のSTA2の接続認証処理(つまり、AP10aにとって初回の接続認証処理)において新規で構築される。OpBSS6は、実施形態1の第2BSSに対応する。
Here, OpBSS6 is a BSS used by STA2 to access
またEntryBSS5は、STA2がOpBSS6に帰属するにあたり、先だって帰属するBSSである。したがってユーザにとっては、EntryBSS5は、AP10aによる接続認証処理を開始するための入り口として認識される。EntryBSS5は基本的には一般のAPで構築されるBSSと同様であるが、EntryBSS5を介した通信は、STA2とAP10a本体との通信のみに制限される点、およびブラックリスト方式でMACアドレスをフィルタリングする機能を有する点で相違する。EntryBSS5は、初期状態で(つまり、初回の接続認証処理より以前に)すでに構築されている。EntryBSS5は、実施形態1の第1BSSに対応する。
EntryBSS5 is also the BSS to which STA2 first belongs before belonging to OpBSS6. Therefore, the user recognizes EntryBSS5 as the entry point for starting the connection authentication process by AP10a. EntryBSS5 is basically the same as a BSS established by a general AP, but differs in that communication via EntryBSS5 is limited only to communication between STA2 and AP10a itself, and that it has a function for filtering MAC addresses using a blacklist method. EntryBSS5 is already established in the initial state (i.e., before the first connection authentication process). EntryBSS5 corresponds to the first BSS in
つまりSTA2は、接続認証処理のためにEntryBSS5を介してAP10aと通信し、接続認証処理が完了した後は、OpBSS6を介して外部ネットワーク4にアクセスする。
In other words, STA2 communicates with AP10a via EntryBSS5 for connection authentication processing, and after the connection authentication processing is completed, it accesses the
AP10aは、EntryBSS5を用いてSTA2について接続認証処理を行い、接続認証処理が完了したSTA2についてのみ、OpBSS6を用いて該STA2と外部ネットワーク4上の外部装置との通信を中継するコンピュータ装置である。AP10aは、第1通信部11と、第2通信部12と、記憶部13とを有する。
AP10a is a computer device that performs connection authentication processing for STA2 using EntryBSS5, and relays communication between STA2 and an external device on
第1通信部11は、EntryBSS5を用いてSTA2と通信する。第1通信部11は、第1帰属処理部14を含む。
The
第1帰属処理部14は、未接続STA2が接続を要求したことに応じて、未接続STA2をEntryBSS5に帰属させる(帰属処理)。このとき第1帰属処理部14は、後述するEntryBSS5のブラックリスト18を用いて、要求元の未接続STA2をEntryBSS5に帰属させるか否かを判定する。なお、接続の要求は、OpBSS6への帰属の要求と同じ意味で用いられる。また第1帰属処理部14は、要求元の未接続STA2の接続が許可された場合、要求元の未接続STA2のEntryBSS5への帰属を解除する(帰属解除処理)。一方第1帰属処理部14は、要求元の未接続STA2の接続が許可されなかった場合、該未接続STA2をEntryBSS5のブラックリスト18に登録する。
In response to a connection request from the unconnected STA2, the first belonging processing
第2通信部12は、OpBSS6を用いてSTA2と通信し、またSTA2と外部ネットワーク4との間の通信を中継する。第2通信部12は、問合せ部16と、第2帰属処理部15と、中継処理部17とを含む。
The
問合せ部16は、OpBSS6に接続され、接続済STA2に対して、OpBSS6を介して要求元の未接続STA2の接続可否を問い合わせ、接続済STA2から問い合わせに対する回答を受信する。
The
第2帰属処理部15は、未接続STA2の接続を許可する回答を接続済STA2から受信した場合、該未接続STA2をOpBSS6に帰属させる(帰属処理)。このとき第2帰属処理部15は、接続を許可された未接続STA2をOpBSS6のホワイトリスト19に登録する。これにより、第2帰属処理部15は、該未接続STA2についての接続認証処理を完了する。
When the second belonging processing
なお本実施形態2では、第2帰属処理部15は、接続済STA2がない初期状態に未接続STA2が接続を要求したことに応じて(つまり、初回の接続認証処理において)、該未接続STA2が指定した識別情報に基づいてOpBSS6を構築する。一例として、識別情報は、構築するOpBSS6のネットワーク名であるが、これに限らない。識別情報は、無線通信システム1内のSTA2のユーザが記憶しやすい簡便なものであってよい。OpBSS6を構築するにあたっては、SSIDと、接続認証に用いるパスワードとを設定する必要がある。このうちSSIDは、指定された識別情報(ネットワーク名)に基づいて生成された値であってよい。一方、パスワードは、パスワード強度を考慮してランダムに生成された文字列であってよい。
In the second embodiment, the second
そして第2帰属処理部15は、該未接続STA2をEntryBSS5からOpBSS6に帰属させて、初回の接続認証処理を完了する。一方、問合せ部16は、2回目以降の接続認証処理においてOpBSS6構築時に指定された識別情報を要求元の未接続STA2から受信した場合にのみ、接続済STA2に対して接続可否を問い合わせる。これにより、未接続STA2のユーザにとっては、接続要求時に接続済STA2が指定した識別情報を送信するだけで接続認証が完了するため、接続認証の手順が容易になる。また構築されたOpBSS6は、指定された識別情報に基づいて生成された新しい設定情報を有する。つまり外部ネットワーク4にアクセスするために必要なAP10aの設定情報が初期状態から変更された状態で運用されるため、セキュリティレベルが向上する。
Then, the second
中継処理部17は、外部ネットワーク4に接続され、STA2がOpBSS6のホワイトリスト19に登録されている場合、STA2と外部ネットワーク4上の外部装置との間の通信を中継する(中継処理)。
The
記憶部13は、接続認証処理および中継処理に必要な情報を記憶する記憶媒体である。記憶部13は、EntryBSS5のブラックリスト18と、OpBSS6のホワイトリスト19とを記憶する。
The
EntryBSS5のブラックリスト18は、接続が拒否されたSTA2の識別情報(例えばMACアドレス)のリストである。AP10aは、EntryBSS5についてはブラックリスト方式をとり、一度接続が拒否された未接続STA2を、再度EntryBSS5に帰属させることを拒否する。したがって接続を要求する度に接続済STA2に接続可否を問い合わせるといった煩わしさを回避し、また意図的に何度も接続済STA2に問い合わせるといった攻撃を防ぐ。なお、初期出荷時は、EntryBSS5のブラックリスト18は空であってよい。
The
OpBSS6のホワイトリスト19は、接続が許可されたSTA2の識別情報(例えばMACアドレス)のリストである。AP10aは、OpBSS6についてはホワイトリスト方式をとる。したがって万が一攻撃者がOpBSS6の設定情報を入手できた場合でも、AP10aは、ホワイトリスト19を用いて攻撃者の接続を拒否できる。またAP10aは、ホワイトリスト19からSTA2を除外することで、STA2は外部ネットワーク4へアクセスできなくなるため、後発的に接続を制限したい場合等に対応できる。
The
以下では接続認証処理が発生するパターンを、3種類に分けて説明する。すなわち、AP10aが初めてSTA2を接続認証する第1パターン、AP10aが2回目以降にSTA2を接続認証し、かつ接続を許可する第2パターン、そしてAP10aが2回目以降にSTA2を接続認証し、かつ接続を拒否する第3パターンに分けられる。なお、以下では無線LANの処理として一般的な内容についての説明は省略する。
Below, there are three patterns in which the connection authentication process occurs. That is, there is a first pattern in which the
まず第1パターンの接続認証処理について説明する。
図4は、実施形態2にかかる無線通信システム1の初回の接続認証処理のシーケンス図である。本図において網掛けの部分は、STA2が、対応するBSSに帰属中であることを意味する。
First, the first pattern of connection authentication processing will be described.
4 is a sequence diagram of the initial connection authentication process of the
まずSTA2-1は、AP10aの第1通信部11に対してEntryBSS5への帰属を要求する(ステップS10)。つまりSTA2-1は、AP10aに接続を要求する。
First, STA2-1 requests the
第1通信部11の第1帰属処理部14は、STA2-1について帰属処理を行う(ステップS11)。これによりSTA2-1は、EntryBSS5に帰属する。なお帰属処理には、公知の技術が用いられてよい。またEntryBSS5は、初期状態でopen認証(認証なし)に設定されていてもよいし、PSK(Pre-Shared Key)認証に設定されていてもよい。後者の場合は、第1帰属処理部14は、WPS(Wi-Fi Protected Setup)を用いて帰属処理を行ってよい。
The first belonging processing
次に、STA2-1のユーザは、これから構築するOpBSS6のネットワーク名を決定し、ネットワーク名をSTA2-1の入力部(不図示)に入力する(ステップS12)。例えばSTA2-1がスマートフォンである場合、STA2-1は、ネットワーク名の入力を促す画面を表示させ、入力を受け付けてよい。しかし入力方法はこれに限らない。そしてSTA2-1は、ネットワーク名の入力を受け付けたことに応じて、ネットワーク名を第1通信部11の第1帰属処理部14に送信する(ステップS13)。
Next, the user of STA2-1 decides on a network name for the
ネットワーク名を受信したAP10aは、ネットワーク名に基づいてOpBSS6を構築する(ステップS14)。具体的には第1通信部11の第1帰属処理部14が、受信したネットワーク名を第2通信部12の第2帰属処理部15に通知し、第2帰属処理部15が、OpBSS6を構築するが、構築方法はこれに限らない。次に第2通信部12の第2帰属処理部15は、OpBSS6のホワイトリスト19を生成し、ホワイトリスト19にSTA2-1のMACアドレスを登録する(ステップS15)。なお、STA2-1のMACアドレスは一般的な無線LAN通信のパケットに記載されているので、AP10aは、STA2-1から明示的に通知を受けずとも本ステップまでにSTA2-1のMACアドレスの情報を取得できる。
The
次に第1通信部11の第1帰属処理部14は、STA2-1に対してOpBSS6の設定情報、すなわちOpBSS6のSSID、暗号化方式およびパスワードを、EntryBSS5を介して送信する(ステップS16)。そして、第1通信部11の第1帰属処理部14は、STA2-1のEntryBSS5への帰属を解除し(ステップS17)、その後ネットワーク名に基づいてEntryBSS5の設定情報を変更する(ステップS18)。具体的には、第1帰属処理部14は、SSIDを、ネットワーク名を利用して生成した値に変更し、認証方式をopen認証(認証なし)に変更する。これによりEntryBSS5の設定情報が必ず初期状態から変更されることとなる他、open認証によりユーザビリティが向上する。
Then, the first
他方、STA2-1は、ステップS16において受信したOpBSS6の設定情報を第2通信部12に送信する。第2通信部12の第2帰属処理部15は、OpBSS6のホワイトリスト19を用いて帰属処理を行うことで、STA2-1をOpBSS6に帰属させることができる(ステップS19)。
On the other hand, STA2-1 transmits the setting information of OpBSS6 received in step S16 to the
図5は、実施形態2にかかる無線通信システム1の2回目以降の接続認証処理のシーケンス図である。図5は、第2パターンの接続認証処理を示す。なお図5では、図4に示す初回の接続認証処理が完了した後の処理を示しているため、EntryBSS5およびOpBSS6は、いずれも構築され、正常に動作しており、STA2-1は接続済STAである。本図においては、STA2-2は、未接続STAである。
Figure 5 is a sequence diagram of the second and subsequent connection authentication processes of the
まずSTA2-2がAP10aの第1通信部11に対してEntryBSS5への帰属を要求する(ステップS20)。つまりSTA2-2は、AP10aに接続を要求する。このときSTA2-2は、指定されたネットワーク名の情報をあわせて送信する。
First, STA2-2 requests the
第1通信部11の第1帰属処理部14は、EntryBSS5のブラックリスト18を用いて、STA2-2について帰属処理を行う(ステップS21)。ここで、EntryBSS5はopen認証であり、STA2-2はブラックリスト18に登録されていないため、EntryBSS5への帰属処理は簡単な処理となる。これによりSTA2-2は、EntryBSS5に帰属する。
The first belonging processing
第2通信部12の問合せ部16は、STA2-2がEntryBSS5に帰属したことに応じて、OpBSS6を経由して、OpBSS6に帰属するSTA2-1に対し、新たなSTA2-2が接続を要求、つまりOpBSS6への帰属を要求していることを通知する(ステップS22)。本通知は、問合せと呼ぶこともできる。
In response to STA2-2 becoming associated with EntryBSS5, the
STA2-1は、問合せを受信したことに応じて、問合せ内容を表示し、ユーザに対してSTA2-2の接続を許可するか拒否するかの判断を促す。例えばSTA2-1がスマートフォンである場合、表示部にメッセージと共に選択肢を示すボタンを表示し、ユーザに選択を促してよい。しかし問合せの表示方法やユーザの入力方法については、これに限らない。そしてSTA2-1は、問合せを受けてSTA2-2の接続を許可するか拒否するかを回答する。本例では、STA2-1のユーザはSTA2-2の接続を許可することを入力し(ステップS23)、STA2-1は接続許可の情報を第2通信部12の問合せ部16に送信する(ステップS24)。
In response to receiving the inquiry, STA2-1 displays the contents of the inquiry and prompts the user to decide whether to allow or deny the connection of STA2-2. For example, if STA2-1 is a smartphone, a button showing options may be displayed on the display unit along with a message to prompt the user to make a selection. However, the method of displaying the inquiry and the method of input by the user are not limited to this. Then, in response to the inquiry, STA2-1 responds by deciding whether to allow or deny the connection of STA2-2. In this example, the user of STA2-1 inputs that he/she wants to allow the connection of STA2-2 (step S23), and STA2-1 transmits the connection permission information to the
第2通信部12の問合せ部16は、STA2-1から接続許可の情報を受信したことに応じて、第2帰属処理部15および第1通信部11の第1帰属処理部14にその旨を通知する。
In response to receiving connection permission information from STA2-1, the
そして第2通信部12の第1帰属処理部14は、OpBSS6のホワイトリスト19にSTA2-2のMACアドレスを登録し、ホワイトリスト19を更新する(ステップS25)。
Then, the first belonging processing
また第1通信部11の第1帰属処理部14は、EntryBSS5を経由してSTA2-2にOpBSS6の設定情報を送信し(ステップS26)、STA2-2のEntryBSS5への帰属を解除する(ステップS27)。
The first
斯くしてSTA2-2はOpBSS6の設定情報を取得できたため、該設定情報を用いてOpBSS6に帰属することができる(ステップS28)。 In this way, STA2-2 is able to obtain the configuration information for OpBSS6, and can then use that configuration information to belong to OpBSS6 (step S28).
図6は、実施形態2にかかる無線通信システム1の2回目以降の接続認証処理のシーケンス図である。図6は、第3パターンの接続認証処理、接続済STAであるSTA2-1のユーザが、未接続STAであるSTA2-2の接続を拒否した場合の動作が示されている。なお図6に示すステップS20~22は、図5に示すステップS20~22と同様であるため、説明を省略する。
Fig. 6 is a sequence diagram of the second and subsequent connection authentication processes of the
STA2-1のユーザは、STA2-1が問合せの内容を表示したことに応じて、STA2-2の接続を拒否することを入力し(ステップS30)、接続拒否の情報を第2通信部12の問合せ部16に送信する(ステップS31)。
In response to the content of the inquiry displayed by STA2-1, the user of STA2-1 inputs a refusal to connect to STA2-2 (step S30) and transmits the connection refusal information to the
第2通信部12の問合せ部16は、STA2-1から接続拒否の情報を受信したことに応じて、第2帰属処理部15および第1通信部11の第1帰属処理部14にその旨を通知する。
In response to receiving connection refusal information from STA2-1, the
第1通信部11の第1帰属処理部14は、EntryBSS5のブラックリスト18にSTA2-2のMACアドレスを登録してブラックリスト18を更新する(ステップS32)。そして第1通信部11の第1帰属処理部14は、STA2-2のEntryBSS5への帰属を解除する(ステップS33)。
The first belonging processing
なおSTA2-2は、OpBSS6の設定情報を取得していないため、OpBSS6へ帰属することはできない。またSTA2-2は、EntryBSS5はopen認証であるため再度帰属を試みることはできるが(ステップS34)、STA2-2がブラックリスト18に登録されているため、EntryBSS5に帰属することもできない(ステップS35)。
Since STA2-2 has not acquired the setting information of OpBSS6, it cannot belong to OpBSS6. Furthermore, since EntryBSS5 uses open authentication, STA2-2 can try to belong again (step S34), but since STA2-2 is registered on the
以下では、実施形態2の実施例として、第1~3の例について説明する。 Below, examples 1 to 3 are described as examples of embodiment 2.
図7は、実施形態2の第1~3の例にかかる無線通信システムの概略構成図である。第1~3の例は、ある家庭のA宅で新規にAP10aを導入した場合の例である。図7に示すように、A宅内には、STA2の一例として、家庭の構成員である親および子が使用するスマートフォン(以下、スマホと呼ぶことがある)200,201と、A宅にゲストとして訪れた友人が使用するスマホ202とが存在する。A宅内では、AP10aの電波は到達するものとする。なおA宅外ではあるが、AP10aの電波が到達する領域に、攻撃者が使用するPC203が存在している。親のスマホ200、子のスマホ201、友人のスマホ202および攻撃者のPC203のMACアドレスは、それぞれ「AA:AA:AA:AA:AA:AA」、「BB:BB:BB:BB:BB:BB」、「CC:CC:CC:CC:CC:CC」、「XX:XX:XX:XX:XX:XX」であるとする。
Figure 7 is a schematic diagram of a wireless communication system according to the first to third examples of the second embodiment. The first to third examples are examples in which an
まず、親のスマホ200が接続認証し、続いて子のスマホ201が接続認証する第1の例について説明する。第1の例においては、まず初期状態のAP10aは、親のスマホ200について接続認証処理を開始する。
First, we will explain the first example in which the
図8は、実施形態2の第1の例にかかるAP10aの内部状態I_1を示す図である。図8に示す通り、初期状態ではEntryBSS5が起動している。EntryBSS5のSSIDは「DEF_SSID」、暗号化方式は「WPA3 OWE」、認証方式は「open」であり、パスワードはなく、ステルス機能は無効となっている。またEntryBSS5のブラックリスト18には何も登録されていない。そしてOpBSS6は起動していない。
Figure 8 is a diagram showing the internal state I_1 of
なお、WPA3 OWEは、open認証でありながら暗号化通信を行う規格である。したがってEntryBSS5とSTA2との間の通信内容は、傍受されない。またステルス機能は、AP10aが常時送信するbeaconパケットにSSIDの情報を載せないようにする機能であり、これを有効にすると、STA2に表示されるSTA2周囲のAPの一覧にSSIDの情報が表示されなくなる。 Note that WPA3 OWE is a standard that encrypts communication while using open authentication. Therefore, the content of communication between EntryBSS5 and STA2 cannot be intercepted. The stealth function prevents SSID information from being included in the beacon packets that AP10a constantly sends. When this function is enabled, SSID information is no longer displayed in the list of APs around STA2 that is displayed on STA2.
以下では、第1の例における親のスマホ200の接続認証処理について、図4を参照しながら図9~11を用いて説明する。図9は、実施形態2の第1の例にかかる親のスマートフォン200の表示の一例を示す図である。また図10~11は、実施形態2の第1の例にかかるAP10aの内部状態I_2,I_3を示す図である。
The connection authentication process of the parent's
本処理において、親のスマホ200は、図4に示したSTA2-1に対応する。まず、親のスマホ200はEntryBSS5に帰属する(図4のステップS10~11)。ここでEntryBSS5はopen認証である。したがって、例えばスマホ200のユーザである親は、スマホ200の画面上で「DEF_SSID」が表示された領域をタップするだけで、煩わしいパスワードの入力を行わずに、スマホ200をEntryBSS5に帰属させることができる。
In this process, the parent's
親のスマホ200は、EntryBSS5に帰属したことに応じて、図9に示す画面を表示し、ユーザにネットワーク名の入力を促す。例えばユーザは、ネットワーク名として「A-home」と入力する。ユーザがネットワーク名を入力すると、親のスマホ200はその情報をAP10aに送信する(図4のステップS12~13)。
When the
ネットワーク名を受信したAP10aは、図10に示すように、OpBSS6を構築する(OpBSS Status:UP)。すなわち、AP10aはOpBSS6について、以下の設定を行う。まずAP10aは、OpBSS6のSSIDを「A-home(op)」に設定する。ここでAP10aは、OpBSS6のSSIDとして、ユーザが入力したネットワーク名をそのまま使用しないことが好ましい。なぜならネットワーク名は、その後EntryBSS5のSSIDに使用されるためである。またOpBSS6の暗号化方式は強固な方式であることが好ましい。本例では、OpBSS6の暗号化方式としてWPA3-Personalが使用される。そしてOpBSS6の認証方式は、パスワードを必要とする方式を設定する。本例では、OpBSS6の認証方式としてSAE(Simultaneous Authentication of Equals)が使用される。パスワードについては十分強度なランダム文字列を自動で生成して設定することが好ましい。本例では、説明を簡単にするために簡単な文字列となっているが、実際には認証方式で許容される最長の文字列にすることが好ましい。なお、OpBSS6のステルス機能は有効とすることが好ましい。これにより端末上ではOpBSS6のSSIDが隠され、EntryBSS5のSSIDのみが表示されるため、ユーザの混乱を防ぐことができる。
After receiving the network name,
そしてAP10aは、OpBSS6のホワイトリスト19に親のスマホ200のMACアドレスである「AA:AA:AA:AA:AA:AA」を登録し、OpBSS6を起動する(図4のステップS14~15)。AP10aはOpBSS6の構築が完了すると、親のスマホ200に対してOpBSS6への帰属時に必要となる設定情報、すなわちSSID、暗号化方式、認証方式、パスワードの情報を送信する(図4のステップS16)。また、OpBSS6の情報が正常に送信されたことに応じて、AP10aは親のスマホ200をEntryBSS5から帰属解除する(図4のステップS17)。
Then,
そしてAP10aは、EntryBSS5の設定情報を、図11に示す設定情報に変更する(図4のステップS18)。例えばAP10aは、SSIDを「A-home」、暗号化方式を「WPA3 OWE」、認証方式を「open」とし、パスワードは引き続き「なし」とし、ステルス機能も引き続き無効とする。このようにして、EntryBSS5は、ユーザが入力したネットワーク名をSSIDとして持つことができる。なお設定情報が変更されたEntryBSS5は、2台目以降のSTA2が接続認証する場合にその接続認証処理の入り口として用いられる。なおOpBSS6の設定情報を受信した親のスマホ200は、内部にOpBSS6のプロファイルが作成され、またOpBSS6のホワイトリスト19にも登録されるため、ユーザの操作なしでOpBSS6に帰属される(図4のステップS19)。
Then,
次に、第1の例における子のスマホ201の接続認証処理について、図5を参照しながら図12~13を用いて説明する。図12は、実施形態2の第1の例にかかる親のスマートフォン200の表示の一例を示す図である。図13は、実施形態2の第1の例にかかるAP10aの内部状態I_4を示す図である。
Next, the connection authentication process of the child's
本処理において、親のスマホ200および子のスマホ201は、図5に示したSTA2-1およびSTA2-2にそれぞれ対応する。まず子のスマホ201は、EntryBSS5に帰属する(図5のステップS20~21)。なおEntryBSS5の各種設定情報は、前述した図11に示す通りである。したがって例えば、親から子にネットワーク名さえ伝えてあれば、子はスマホ201の画面上に現れる周囲のAP一覧の中から、ネットワーク名である「A-home」が表示された領域をタップするだけで、スマホ201をEntryBSS5に帰属させることができる。
In this process,
子のスマホ201がEntryBSS5に帰属すると、AP10aはOpBSS6を介して、親のスマホ200へ、新たな未接続STA2である(すなわち子のスマホ201)がOpBSS6への帰属を要求していることを通知し、これにより問合せをする(図5のステップS22)。そして親のスマホ200は、画面上で図12に示すメッセージを表示し、許可するか否かの判断をユーザに促す。親は、新規にOpBSS6への帰属を要求する端末が、子のスマホ201であることを認識し、これを許可する。許可するボタンがタップされると、親のスマホ200はAP10aに対して許可されたことを送信する(図5のステップS23~24)。そしてAP10aは、図13に示すように、OpBSS6のホワイトリスト19に子のスマホ201のMACアドレスを追加する(図5のステップS25)。そしてAP10aは、子のスマホ201に対してOpBSS6の設定情報を送信し、子のスマホ201のEntryBSS5への帰属を解除する(図5のステップS26~27)。以上により子のスマホ201の内部にOpBSS6のプロファイルが作成され、子のスマホ201はユーザの操作なしでOpBSS6へ帰属する(図5のステップS28)。
When the
ところで、電波は壁を貫通するため、A宅外のSTA2もAP10aとの通信を試みることが可能である。ここで、A宅外にいる攻撃者がPC203を用いて不正にA宅のネットワークにアクセスを試みる第2の例について、図14~15を用いて説明する。 However, since radio waves can penetrate walls, STA2 outside A's house can also attempt to communicate with AP10a. Here, we will use Figures 14 and 15 to explain a second example in which an attacker outside A's house uses PC203 to illegally attempt to access A's network.
図14は、実施形態2の第2の例にかかる無線通信システム1の2回目以降の接続認証処理のシーケンス図である。図15は、実施形態2の第2の例にかかるAP10aの内部状態I_5を示す図である。
Figure 14 is a sequence diagram of the second and subsequent connection authentication processes of the
まず前述の子のスマホ201の接続認証処理と同様に、攻撃者のPC203はEntryBSS5に帰属する(ステップS40~41)。なおEntryBSS5は、AP10aおよびSTA2の2者間の通信のみに制限されるBSSであるため、攻撃者のPC203がEntryBSS5に帰属したとしてもA宅のネットワークには影響はない。
First, similar to the connection authentication process for the child's
続いて、AP10aは、接続済STA2、すなわち親のスマホ200および子のスマホ201に問合せをする(ステップS42)。
Next, AP10a queries the connected STA2, i.e., the
そして親のスマホ200および子のスマホ201のそれぞれに、図12と同様の画面が表示される。ここで、親が意図しない端末の帰属要求であると判断し、許可しないボタンをタップしたとする(ステップS43)。これにより親のスマホ200は、AP10aに対して、接続を拒否したことを送信する(ステップS44)。
Then, a screen similar to that shown in FIG. 12 is displayed on each of the parent's
そしてAP10aは、図15に示すように、EntryBSS5のブラックリスト18に攻撃者のPC203のMACアドレスを追加する(ステップS45)。そして攻撃者のPC203のEntryBSS5への帰属を解除する(ステップS46)。これにより攻撃者のPC203は、OpBSS6の設定情報が得られないため、OpBSS6に帰属できない。また、攻撃者のPC203が再度EntryBSS5に接続認証を試みたとしても(ステップS47)、ブラックリスト18に登録されているため、EntryBSS5へ帰属することさえできない(ステップS48)。さらに、攻撃者が何らかの手段でOpBSS6の設定情報を入手できたとしても、攻撃者のPC203がOpBSS6のホワイトリスト19に登録されていないため、依然としてOpBSS6へ帰属することができない(ステップS49~50)。
Then, as shown in FIG. 15,
最後に、A宅にゲストとして訪れた友人のスマホ202が接続認証する場合の第3の例について、図16~18を用いて説明する。本例では、友人のスマホ202は、一度子から接続許可を受けてOpBSS6に帰属するが、その後に親が接続を拒否することでOpBSS6に帰属できなくなるという場合を想定する。
Finally, a third example of connection authentication for a friend's
図16は、実施形態2の第3の例にかかる無線通信システム1の2回目以降の接続認証処理のシーケンス図である。図17~18は、実施形態2の第3の例にかかるAP10aの内部状態I_6,I_7を示す図である。
Figure 16 is a sequence diagram of the second and subsequent connection authentication processes of the
まず、友人のスマホ202が子によって許可され、OpBSS6に帰属するまでの動作(ステップS60~68)は、第1の例で子のスマホ201が親に許可されてOpBSS6に帰属される場合(図5のステップS20~28)と同様である。ただしステップS62に示す問合せは、接続済みである親のスマホ200および子のスマホ201に送られている。そしてステップS63~64においてまず子のみが接続を許可し、親は拒否も許可もしていない。このように、いずれかの接続済STA2が接続を許可すれば、要求元の未接続STA2はOpBSS6に帰属可能となる。図17には、ステップS68の時点でのAP10aの内部状態I_6が示されており、OpBSS6のホワイトリスト19には友人のスマホ202のMACアドレスが登録されている。
First, the operation (steps S60 to S68) until the friend's
友人のスマホ202は一度OpBSS6に帰属したが、その後に親が問合せに気づき、接続を拒否したとする(ステップS69~70)。ここで、たとえ対象となるSTA2(すなわち、友人のスマホ202)が他の接続済STA2によって接続を許可されていたとしても、いずれかの接続済STA2が接続を拒否すれば、接続の拒否が優先されてよい。この場合、AP10aの第2通信部12の第2帰属処理部15は、OpBSS6のホワイトリスト19に登録されている友人のスマホ202のMACアドレスを削除する(ステップS71)。そしてAP10aの第1通信部11の第1帰属処理部14は、EntryBSS5のブラックリスト18に友人のスマホ202のMACアドレスを追加する(ステップS72)。図18には、ステップS72の時点でのAP10aの内部状態I_7が示されている。そしてAP10aの第2通信部12の第2帰属処理部15は、友人のスマホ202のOpBSS6への帰属を解除する(ステップS73)。これにより友人のスマホ202は、A宅のネットワークから切り離され、以降接続することはできない。
Suppose that the friend's
このように実施形態2にかかる無線通信システム1によれば、未接続STA2は、接続済STA2の許可がない限り、OpBSS6に帰属することができない。またAP10aが用いるBSSの設定情報は、初期状態から変更された状態で運用され、しかも複雑で強固なパスワードを含むため、セキュリティレベルが向上する。なおこのパスワードは、STA2のユーザが新たに作成しなくても、自動で生成されるため、STA2のユーザはパスワードを意識しなくてよい。
As described above, according to the
そして無線通信システム1によれば、2台目以降のSTA2の接続認証をする場合には、そのSTA2のユーザは、認証なしのEntryBSS5を端末上で選択するだけでよい。そして接続済STA2のユーザは、AP10aから自動的に届く通知(問合せ)に対して許可の回答をするだけでよい。したがって無線通信システム1は、ユーザフレンドリーなシステムであるといえる。
And according to the
<実施形態3>
次に図19~21を用いて、本開示の実施形態3について説明する。実施形態3は、APが、一時的な利用者のSTA2を外部ネットワーク4へアクセスさせるために第3BSS(GuestBSS7)を用いることに特徴を有する。GuestBSS7は、OpBSS6と類似する位置づけのBSSである。ただしOpBSS6は家庭内LANの他の端末へのアクセスを可能とするのに対し、GuestBSS7は他の端末へのアクセスが禁止され、インターネットへのアクセスのみが許可されるという特徴を有してよい。来客者用に無線LANを提供したいが家庭内LANの他の端末へのアクセスは拒否したいような場合にGuestBSS7が使用されてよい。
<Embodiment 3>
Next, a third embodiment of the present disclosure will be described with reference to Figures 19 to 21. The third embodiment is characterized in that the AP uses a third BSS (GuestBSS7) to allow the STA2 of a temporary user to access the
図19は、実施形態3にかかる無線通信システム1bの構成図である。無線通信システム1bは、無線通信システム1と基本的に同様の構成および機能を有するが、AP10aに代えてAP10bを備える点で相違する。
Figure 19 is a configuration diagram of a wireless communication system 1b according to embodiment 3. Wireless communication system 1b has basically the same configuration and functions as
AP10bは、第2通信部12に代えて第2通信部12bと、第3通信部20と、記憶部13に代えて記憶部13bとをさらに有する点でAP10aと相違する。
第2通信部12bは、問合せ部16に代えて問合せ部16bを含む点で第2通信部12と相違する。
The
問合せ部16bは、OpBSS6に接続され、OpBSS6に帰属する接続済STA2に対して、OpBSS6を介して要求元の未接続STA2の接続可否を問い合わせる。一方、問合せ部16は、GuestBSS7に帰属する接続済STA2に対して接続可否を問い合わせない。GuestBSS7に帰属する接続済STA2に対しては、接続可否の決定権限を与えないことで、セキュリティをより向上させることができる。
The
第3通信部20は、GuestBSS7を用いてSTA2と通信し、またSTA2と外部ネットワーク4との間の通信を中継する。第3通信部20は、第3帰属処理部21と、中継処理部22とを含む。
The
第3帰属処理部21は、問合せ部16の接続可否の問合せに対して接続済STA2が要求元の未接続STA2のGuestBSS7への接続を許可した場合、要求元の未接続STA2の帰属先をEntryBSS5からGuestBSS7に変更して接続認証を完了する。そして要求元の未接続STA2は、GuestBSS7に帰属する接続済STA2となる。
When the connected STA2 allows the requesting unconnected STA2 to connect to GuestBSS7 in response to an inquiry from the
中継処理部22は、外部ネットワーク4に接続され、STA2がGuestBSS7のホワイトリスト23に登録されている場合、STA2と外部ネットワーク4上の外部装置との間の通信を中継する(中継処理)。
The
記憶部13bは、EntryBSS5のブラックリスト18およびOpBSS6のホワイトリスト19に加え、GuestBSS7のホワイトリスト23を記憶する。
The
次に図20~21を用いて、GuestBSS7が追加された無線通信システム1bの2回目以降の接続認証処理について説明する。 Next, the second and subsequent connection authentication processes for wireless communication system 1b to which GuestBSS7 has been added will be described with reference to Figures 20 and 21.
図20は、実施形態3にかかる無線通信システム1bの2回目以降の接続認証処理のシーケンス図である。図21は、実施形態3にかかる親のスマートフォン200の表示の一例を示す図である。なお便宜上、親のスマホ200は既にOpBSS6に帰属済みで、先に友人のスマホ202をGuestBSS7に帰属させ、その後子のスマホ201をOpBSS6に帰属させる例を説明する。
Fig. 20 is a sequence diagram of the second or subsequent connection authentication process of the wireless communication system 1b according to the third embodiment. Fig. 21 is a diagram showing an example of the display of the
まず、友人のスマホ202はEntryBSS5に帰属する(ステップS80~81)。
次にAP10bの第2通信部12bの問合せ部16bは、OpBSS6に帰属する接続済STA(この場合、親のスマホ200)にのみ接続可否について問合せをする(ステップS82)。これは、GuestBSS7は一時的な利用者向けのBSSであり、一時的な利用者が新規のSTA2の接続可否を判断することは不適であるからである。
First, the friend's
Next, the
そして親のスマホ200には、図21に示す画面が表示される。本画面では、接続を許可するか否かの選択肢に加え、ゲストとして接続を許可するという選択肢が表示され、ユーザに対して3つの選択肢の中から選択を促す。本例において、親は友人のスマホ202をゲストとして許可する(ステップS84~85)。第3通信部20の第3帰属処理部21は、問合せ部16が親のスマホ200からゲストとしての接続許可の情報を受信したことに応じて、GuestBSS7のホワイトリスト23に友人のスマホ202のMACアドレスを追加する(ステップS86)。そして第1通信部11の第1帰属処理部14は、EntryBSS5を介してGuestBSS7の設定情報を友人のスマホ202に送信する(ステップS87)。ステップS88~89に示す処理は、実施形態2の第3の例においてOpBSS6に帰属する場合(図16のステップS67~68)と同様であるため、説明を省略する。
Then, the parent's
これで友人のスマホ202はGuestBSS7に帰属できた。次に子のスマホ201をOpBSS6に帰属させるために、無線通信システム1bは、ステップS90~98に示す処理を行う。ステップS90~98に示す処理は、実施形態2の図5のステップS20~28の処理と同様である。注意すべきは、先ほどと同様に新規STA(この場合、子のスマホ201)の帰属要求を示す通知(問合せ)は、OpBSS6に帰属する接続済STAに対してのみ行われる点である。すなわち、通知は親のスマホ200に対してのみに行われ、GuestBSS7に帰属している友人のスマホ202に対しては行われない。
Now, the friend's
以上のように、通知の送信先、すなわち問合せ先と、問合せに対してユーザが選択する選択肢とを工夫することで、AP10bは、OpBSS6に相当する運用用BSSを複数動作させることが可能となる。 As described above, by adjusting the notification destination, i.e., the inquiry destination, and the options the user can select in response to the inquiry, AP10b can operate multiple operational BSSs equivalent to OpBSS6.
上述の実施形態では、本開示をハードウェアの構成として説明したが、本開示は、これに限定されるものではない。本開示は、無線通信方法にかかる各種処理を、プロセッサにコンピュータプログラム、例えば無線通信プログラムを実行させることにより実現することも可能である。 In the above embodiment, the present disclosure has been described as a hardware configuration, but the present disclosure is not limited to this. The present disclosure can also be realized by having a processor execute a computer program, for example a wireless communication program, to perform various processes related to the wireless communication method.
上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。 In the above example, the program can be stored and supplied to the computer using various types of non-transitory computer readable media. The non-transitory computer readable media includes various types of tangible storage media. Examples of the non-transitory computer readable media include magnetic recording media (e.g., flexible disks, magnetic tapes, hard disk drives), magneto-optical recording media (e.g., magneto-optical disks), CD-ROMs (Read Only Memory), CD-Rs, CD-R/Ws, and semiconductor memories (e.g., mask ROMs, PROMs (Programmable ROMs), EPROMs (Erasable PROMs), flash ROMs, and RAMs (Random Access Memory)). The program may also be supplied to the computer by various types of transitory computer readable media. Examples of the transitory computer readable media include electrical signals, optical signals, and electromagnetic waves. The transitory computer readable media can supply the program to the computer via wired communication paths such as electric wires and optical fibers, or wireless communication paths.
上述の実施形態ではコンピュータは、パーソナルコンピュータやワードプロセッサ等を含むコンピュータシステムで構成される。しかしこれに限らず、コンピュータは、LAN(ローカル・エリア・ネットワーク)のサーバ、コンピュータ(パソコン)通信のホスト、インターネット上に接続されたコンピュータシステム等によって構成されることも可能である。また、ネットワーク上の各機器に機能分散させ、ネットワーク全体でコンピュータを構成することも可能である。 In the above-described embodiment, the computer is configured as a computer system including a personal computer, a word processor, etc. However, the computer is not limited to this, and can also be configured as a server of a LAN (local area network), a host for computer (personal computer) communication, a computer system connected to the Internet, etc. It is also possible to distribute functions to each device on the network and configure a computer as a whole network.
なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。 The present invention is not limited to the above embodiment, and can be modified as appropriate without departing from the spirit and scope of the invention.
1,1b 無線通信システム
2 無線子機(STA)
4 外部ネットワーク
5 EntryBSS
6 OpBSS
7 GuestBSS
10 無線通信装置(アクセスポイント装置、AP)
10a,10b AP
11 第1通信部
12,12b 第2通信部
13,13b 記憶部
14 第1帰属処理部
15 第2帰属処理部
16,16b 問合せ部
17 中継処理部
18 EntryBSSのブラックリスト
19 OpBSSのホワイトリスト
20 第3通信部
21 第3帰属処理部
22 中継処理部
23 GuestBSSのホワイトリスト
100 プロセッサ
101 ROM
102 RAM
103 インターフェース部(IF)
200 親のスマートフォン(スマホ)
201 子のスマートフォン(スマホ)
202 友人のスマートフォン(スマホ)
203 攻撃者のPC
1, 1b Wireless communication system 2 Wireless slave station (STA)
4
6. OpBSS
7 GuestBSS
10 Wireless communication device (access point device, AP)
10a, 10b AP
REFERENCE SIGNS
102 RAM
103 Interface unit (IF)
200 Parent's smartphone
201 Child's smartphone
202 Friend's smartphone
203 Attacker's PC
Claims (4)
接続認証が未完了の無線子機である未接続子機が接続を要求したことに応じて、前記未接続子機を第1BSSに帰属させる第1帰属処理部と、
第2BSSに帰属しかつ接続認証が完了した無線子機である第1接続済子機と第2接続済子機とに対して、前記第2BSSを介して要求元の前記未接続子機の接続可否を問い合わせる問合せ部と、
前記第1接続済子機が前記接続を許可した場合、要求元の前記未接続子機の帰属先を前記第1BSSから前記第2BSSに変更して接続認証を完了し、接続認証を完了した後に前記第2接続済子機が前記接続を拒否した場合、要求元の前記未接続子機の前記第2BSSへの帰属を解除する第2帰属処理部と、を備える
無線通信装置。 A wireless communication device that communicates with wireless slave devices using multiple BSSs (Basic Service Sets),
a first association processing unit that, in response to a connection request from an unconnected slave device that is a wireless slave device for which connection authentication has not been completed, causes the unconnected slave device to associate with a first BSS;
an inquiry unit that inquires of a first connected slave device and a second connected slave device, which are wireless slave devices belonging to a second BSS and for which connection authentication has been completed, whether or not the unconnected slave device that is a request source can be connected via the second BSS;
a second association processing unit that, if the first connected child device permits the connection, changes the association destination of the unconnected child device that originated the connection from the first BSS to the second BSS to complete connection authentication, and, if the second connected child device rejects the connection after completion of connection authentication, cancels the association of the unconnected child device that originated the connection to the second BSS.
接続認証が未完了の無線子機である未接続子機が接続を要求したことに応じて、前記未接続子機を第1BSSに帰属させる第1帰属処理部と、
第2BSSに帰属しかつ接続認証が完了した無線子機である第1接続済子機と第2接続済子機とに対して、前記第2BSSを介して要求元の前記未接続子機の接続可否を問い合わせる問合せ部と、
前記第1接続済子機が前記接続を許可した場合、要求元の前記未接続子機の帰属先を前記第1BSSから前記第2BSSに変更して接続認証を完了し、接続認証を完了した後に前記第2接続済子機が前記接続を拒否した場合、要求元の前記未接続子機の前記第2BSSへの帰属を解除する第2帰属処理部と、を備える
無線通信システム。 A wireless communication device that communicates with wireless slave devices using multiple BSSs (Basic Service Sets),
a first association processing unit that, in response to a connection request from an unconnected slave device that is a wireless slave device for which connection authentication has not been completed, causes the unconnected slave device to associate with a first BSS;
an inquiry unit that inquires of a first connected slave device and a second connected slave device, which are wireless slave devices belonging to a second BSS and for which connection authentication has been completed, about whether or not the unconnected slave device that is a request source can be connected via the second BSS;
a second association processing unit that, if the first connected handset permits the connection, changes the association destination of the unconnected handset that originated the connection from the first BSS to the second BSS to complete connection authentication, and, if the second connected handset rejects the connection after completion of connection authentication, cancels the association of the unconnected handset that originated the connection to the second BSS.
接続認証が未完了の無線子機である未接続子機が接続を要求したことに応じて、前記未接続子機を第1BSSに帰属させ、
第2BSSに帰属しかつ接続認証が完了した無線子機である第1接続済子機と第2接続済子機とに対して、前記第2BSSを介して要求元の前記未接続子機の接続可否を問い合わせ、
前記第1接続済子機が前記接続を許可した場合、要求元の前記未接続子機の帰属先を前記第1BSSから前記第2BSSに変更して接続認証を完了し、接続認証を完了した後に前記第2接続済子機が前記接続を拒否した場合、要求元の前記未接続子機の前記第2BSSへの帰属を解除する
無線通信方法。 A wireless communication method for a wireless communication device that communicates with a wireless slave device using a plurality of BSSs (Basic Service Sets), comprising:
In response to a connection request from an unconnected wireless terminal for which connection authentication has not been completed, the unconnected wireless terminal is caused to belong to a first BSS;
inquiring, via the second BSS, of a first connected slave device and a second connected slave device which belong to a second BSS and have completed connection authentication, as to whether or not the unconnected slave device which is the request source can be connected;
When the first connected handset permits the connection, the requesting unconnected handset changes its destination from the first BSS to the second BSS to complete connection authentication, and when the second connected handset rejects the connection after completing the connection authentication, the requesting unconnected handset cancels its destination from the second BSS.
接続認証が未完了の無線子機である未接続子機が接続を要求したことに応じて、前記未接続子機を第1BSSに帰属させ、
第2BSSに帰属しかつ接続認証が完了した無線子機である第1接続済子機と第2接続済子機とに対して、前記第2BSSを介して要求元の前記未接続子機の接続可否を問い合わせ、
前記第1接続済子機が前記接続を許可した場合、要求元の前記未接続子機の帰属先を前記第1BSSから前記第2BSSに変更して接続認証を完了し、接続認証を完了した後に前記第2接続済子機が前記接続を拒否した場合、要求元の前記未接続子機の前記第2BSSへの帰属を解除する処理を
前記無線通信装置に実行させるための無線通信プログラム。 A wireless communication program to be executed by a wireless communication device that communicates with a wireless slave device using a plurality of BSSs (Basic Service Sets),
In response to a connection request from an unconnected wireless terminal for which connection authentication has not been completed, the unconnected wireless terminal is caused to belong to a first BSS;
inquiring, via the second BSS, of a first connected slave device and a second connected slave device which belong to a second BSS and have completed connection authentication, as to whether or not the unconnected slave device which is the request source can be connected;
A wireless communication program for causing the wireless communication device to execute a process of changing the destination of the requesting unconnected handset from the first BSS to the second BSS to complete connection authentication if the first connected handset permits the connection, and releasing the requesting unconnected handset from belonging to the second BSS if the second connected handset rejects the connection after completing the connection authentication.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2023017223A JP7481043B2 (en) | 2020-10-21 | 2023-02-08 | Wireless communication device, wireless communication system, wireless communication method, and wireless communication program |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020176727A JP7231251B2 (en) | 2020-10-21 | 2020-10-21 | Wireless communication device, wireless communication system, wireless communication method and wireless communication program |
JP2023017223A JP7481043B2 (en) | 2020-10-21 | 2023-02-08 | Wireless communication device, wireless communication system, wireless communication method, and wireless communication program |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020176727A Division JP7231251B2 (en) | 2020-10-21 | 2020-10-21 | Wireless communication device, wireless communication system, wireless communication method and wireless communication program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023054826A JP2023054826A (en) | 2023-04-14 |
JP7481043B2 true JP7481043B2 (en) | 2024-05-10 |
Family
ID=81456077
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020176727A Active JP7231251B2 (en) | 2020-10-21 | 2020-10-21 | Wireless communication device, wireless communication system, wireless communication method and wireless communication program |
JP2023017223A Active JP7481043B2 (en) | 2020-10-21 | 2023-02-08 | Wireless communication device, wireless communication system, wireless communication method, and wireless communication program |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020176727A Active JP7231251B2 (en) | 2020-10-21 | 2020-10-21 | Wireless communication device, wireless communication system, wireless communication method and wireless communication program |
Country Status (1)
Country | Link |
---|---|
JP (2) | JP7231251B2 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006186941A (en) | 2004-12-28 | 2006-07-13 | Toshiba Corp | Wireless communication apparatus and wireless communication system |
US20150350911A1 (en) | 2014-05-30 | 2015-12-03 | Apple Inc. | System and Method for Temporarily Joining a WiFi Network |
JP2016092433A (en) | 2014-10-29 | 2016-05-23 | Necプラットフォームズ株式会社 | Access point device, connection information configuration program, and connection information configuration method |
-
2020
- 2020-10-21 JP JP2020176727A patent/JP7231251B2/en active Active
-
2023
- 2023-02-08 JP JP2023017223A patent/JP7481043B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006186941A (en) | 2004-12-28 | 2006-07-13 | Toshiba Corp | Wireless communication apparatus and wireless communication system |
US20150350911A1 (en) | 2014-05-30 | 2015-12-03 | Apple Inc. | System and Method for Temporarily Joining a WiFi Network |
JP2016092433A (en) | 2014-10-29 | 2016-05-23 | Necプラットフォームズ株式会社 | Access point device, connection information configuration program, and connection information configuration method |
Also Published As
Publication number | Publication date |
---|---|
JP2023054826A (en) | 2023-04-14 |
JP7231251B2 (en) | 2023-03-01 |
JP2022067876A (en) | 2022-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3585422B2 (en) | Access point device and authentication processing method thereof | |
JP4613969B2 (en) | Communication apparatus and communication method | |
JP5281128B2 (en) | WI-FI access method, access point, and WI-FI access system | |
JP5005674B2 (en) | Wireless local area network administration | |
JP6599341B2 (en) | Method, device and system for dynamic network access management | |
EP2053887B1 (en) | Legacy support for wi-fi protected setup | |
JP4506856B2 (en) | Communication apparatus and communication method | |
EP2988534A2 (en) | Method of configuring wireless connection via near field communication function and image forming apparatus for performing the method | |
US20070226778A1 (en) | Bluetooth theft protection | |
JP2009212732A5 (en) | ||
US20170238183A1 (en) | Mac address-bound wlan password | |
JP2010213334A (en) | Communication device, communicating method and communication system | |
US20170238236A1 (en) | Mac address-bound wlan password | |
US11494132B2 (en) | Communication device | |
JP2007116509A (en) | Communication terminal, program, communication system, and method for outputting security information | |
JP2006197063A (en) | Wireless lan system | |
EP2741465B1 (en) | Method and device for managing secure communications in dynamic network environments | |
JP4987006B2 (en) | Method and apparatus for deferring access to a service | |
JP2005354136A (en) | Communication terminal, connection management server and communication system | |
JP7481043B2 (en) | Wireless communication device, wireless communication system, wireless communication method, and wireless communication program | |
KR20070096488A (en) | Automatic authentication method between bluetooth devices | |
JP6115328B2 (en) | Communication device | |
JP7311780B2 (en) | router, control program, terminal device, communication system | |
JP6517641B2 (en) | Wireless communication device, method, system and program | |
JP2013106332A (en) | Wireless router, radio communication system and radio communication setting method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230208 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240326 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240418 |