CN1973513A - 通信设备、无线网络、程序及存储介质 - Google Patents
通信设备、无线网络、程序及存储介质 Download PDFInfo
- Publication number
- CN1973513A CN1973513A CNA2005800206361A CN200580020636A CN1973513A CN 1973513 A CN1973513 A CN 1973513A CN A2005800206361 A CNA2005800206361 A CN A2005800206361A CN 200580020636 A CN200580020636 A CN 200580020636A CN 1973513 A CN1973513 A CN 1973513A
- Authority
- CN
- China
- Prior art keywords
- communication equipment
- wireless network
- identification information
- communication
- registered
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种通信设备、无线网络、程序及存储介质。本发明提供了一种使得构成无线网络的通信设备能够容易地登记和更新标识信息,从而确保通信设备和无线网络的安全,以及检测疑为非法访问无线网络的通信设备并且通知该通信设备的用户的技术。通信终端(20b)检测并报告构成无线LAN(1)的连网设备,并且如果通过操作单元(204)的操作允许与所报告的连网设备进行通信,则将该连网设备的MAC地址登记在允许表(206a)中。通信终端(20b)允许与构成无线LAN(1)的其MAC地址已登记在允许表(206a)中的连网设备进行通信,并禁止与构成无线LAN(1)的其MAC地址未登记在允许表(206a)中的连网设备进行通信。
Description
技术领域
本发明涉及确保通信设备和无线网络的安全的技术。
背景技术
近些年,无线LAN(局域网)不仅在办公使用中而且在家庭使用中普及起来。这部分地归功于无线LAN的以下优点:对于诸如计算机或打印机的设备而言,无需为了进行操作而通过通信缆线连接。然而,在无线LAN中,由于对数据进行无线交换,所以与缆线连接的LAN相比,黑客可以相对容易地获得对于网络的未授权访问并同时保持不被检测到。例如,对于无线LAN的未授权访问会涉及利用隐藏其身份的通信设备来侵入无线LAN从而窃取存储在设备中的或在与该无线LAN相连的设备之间交换的数据,或通过所侵入的无线LAN来访问另一通信网络。
为解决无线LAN系统中的上述安全问题,JP2003-046533公开了一种网络系统,其中当交换集线器接收到通信请求时,该交换集线器在认证服务器处进行关于通信设备的MAC地址的查询(inquiry)。该认证服务器中登记有允许通过网络进行通信的所有通信终端的MAC地址。如果发出通信请求的通信设备的MAC地址已登记在所述认证服务器中,则交换集线器将该MAC地址和端口号登记在MAC地址表中,并将来自所述通信设备的该通信请求和后续帧传送至路由器。另一方面,如果该通信设备的MAC地址未登记在服务器中,则交换集线器将该MAC地址登记在MAC地址过滤器中,并丢弃来自该通信设备的通信请求和后续帧。
另外,JP2003-110570公开了一种CATV系统,其中无线缆线(wireless cable)调制解调器对无线终端与中心设备之间的通信进行中继。无线缆线调制解调器中登记有允许使用该无线缆线调制解调器的无线终端的MAC地址,并且拒绝来自其MAC地址未被登记的无线终端的访问。另外,JP2003-309569公开了一种DHCP服务器,其确定请求分配IP地址的客户机终端的MAC地址是否已登记在DHCP服务器的MAC地址管理表中,如果该MAC地址未被登记,则拒绝向该客户机终端分配IP地址,从而防止了未授权访问。
在以上引用中所公开的技术中,预先登记了允许进行通信的网络设备的MAC地址,并且只允许预先登记了其MAC地址的设备通过无线LAN进行通信。因此,必须预先存储允许进行通信的所有网络设备的MAC地址,这会比较麻烦。另外,在公共无线LAN中,因为存在所服务的通信终端的大量流通量(turnover),所以每次向公共无线LAN中添加新设备时,操作人员都需要在添加新MAC地址时对所登记MAC地址的数据表进行更新,这种操作会比较麻烦。如果忽略所述登记和更新操作,就会妨碍与无线LAN相连的设备之间的平稳通信。
本发明是鉴于上述问题而提出的,并且提供了一种使得构成无线网络的通信设备能够容易地登记和更新标识信息,从而确保通信设备和无线网络的安全,以及对疑为非法访问无线网络的通信设备进行检测并通知通信设备的用户的技术。
发明内容
为解决这些问题,本发明提供了一种通信设备,该通信设备包括:检测装置,用于检测构成无线网络的通信设备;报告装置,用于报告与所述检测装置检测到的通信设备有关的信息;操作装置;登记装置,如果通过所述操作装置的操作允许与所述报告装置报告的通信设备进行通信,则该登记装置用于将该通信设备的标识信息登记在存储器中;监控装置,用于监控无线网络并对构成该无线网络的其标识信息未登记在所述存储器中的通信设备进行检测;警告装置,其除了报告与所述监控装置检测到的通信设备有关的信息之外,还针对可疑的未授权访问发出警告;更新装置,如果通过所述操作装置的操作允许与所述警告装置所报告的通信设备进行通信,则该更新装置将与该通信设备有关的标识信息另外登记在所述存储器中;以及通信控制装置,用于允许与构成无线网络的其标识信息已登记在所述存储器中的通信设备进行通信,并且用于禁止与构成无线网络的其标识信息未登记在所述存储器中的通信设备进行通信。
本发明还提供了一种用于使计算机执行以下步骤的程序:第一步骤,检测构成无线网络的通信设备;第二步骤,报告在第一步骤中检测到的通信设备的信息;第三步骤,如果通过操作装置的操作允许与在第二步骤中报告的通信设备进行通信,则将该通信设备的标识信息登记在存储器中;第四步骤,监控所述无线网络并且对构成该无线网络的其标识信息未登记在所述存储器中的通信设备进行检测;第五步骤,除了报告与在第四步骤中检测到的通信设备有关的信息之外,还针对可疑的未授权访问发出警告;第六步骤,如果通过操作装置的操作允许与在第五步骤中报告的通信设备进行通信,则将该通信设备的标识信息另外登记在所述存储器中;以及第七步骤,允许与构成所述无线网络的其标识信息已登记在所述存储器中的通信设备进行通信,并禁止与构成所述无线网络的其标识信息未登记在所述存储器中的通信设备进行通信。本发明还提供了一种记录有该程序的计算机可读存储介质。
根据本实施例,通信终端(计算机)检测并报告构成无线网络的连网设备,并且如果允许与所报告的连网设备进行通信,则将该连网设备的MAC地址登记在存储器中。另外,该通信终端监控无线网络,检测其MAC地址未登记在所述存储器中的未知连网设备,并针对可疑的未授权访问发出警告。如果允许与检测到的连网设备进行通信,则该通信终端将该连网设备的MAC地址另外登记在所述存储器中。另外,该通信终端允许与构成所述无线网络的其MAC地址已登记在所述存储器中的连网设备进行通信,并且禁止与构成所述无线网络的其MAC地址未登记在所述存储器中的连网设备进行通信。
本发明还提供了一种通信设备,该通信设备包括:检测装置,用于检测构成无线网络的通信设备;报告装置,用于报告与所述检测装置检测到的通信设备有关的信息;操作装置;登记装置,如果通过所述操作装置的操作允许或者不允许与所述报告装置报告的通信设备进行通信,则当允许通信时将该通信设备的标识信息登记在第一表中,而当不允许通信时将该通信设备的标识信息登记在第二表中;监控装置,用于监控所述无线网络,并检测构成所述无线网络的其标识信息既未登记在所述第一表中也未登记在所述第二表中的通信设备;警告装置,除了报告与所述监控装置检测到的通信设备有关的信息之外,还针对可疑的未授权访问发出警告;更新装置,如果通过所述操作装置的操作允许或者不允许与所述警告装置报告的通信设备进行通信,则当允许通信时将该通信设备的标识信息另外登记在第一表中,而当不允许通信时将该通信设备的标识信息另外登记在第二表中;以及通信控制装置,用于允许与构成所述无线网络的其标识信息已登记在所述第一表中的通信设备进行通信,并用于禁止与构成所述无线网络的其标识信息已登记在所述第二表中的通信设备或构成所述无线网络的其标识信息既未登记在所述第一表中也未登记在所述第二表中的通信设备进行通信。
该程序可被配置为使计算机执行以下步骤:第一步骤,检测构成无线网络的通信设备;第二步骤,报告与在第一步骤中检测到的通信设备有关的信息;第三步骤,如果通过操作装置的操作允许或不允许与在第二步骤中报告的通信设备进行通信,则当允许通信时将该通信设备的标识信息登记在第一表中,而当不允许通信时将该通信设备的标识信息登记在第二表中;第四步骤,监控无线网络,并对构成所述无线网络的其标识信息既未登记在所述第一表中也未登记在所述第二表中的通信设备;第五步骤,除了报告与在第四步骤中检测到的通信设备有关的信息之外,还针对可疑的未授权访问发出警告;第六步骤,如果通过操作装置的操作允许或不允许与在第五步骤中报告的通信设备进行通信,则当允许通信时将该通信设备的标识信息另外登记在第一表中,而当不允许通信时将该通信设备的标识信息另外登记在第二表中;以及第七步骤,允许与构成所述无线网络的其标识信息已登记在所述第一表中的通信设备进行通信,并禁止与构成所述无线网络的其标识信息已登记在所述第二表中的通信设备或构成所述无线网络的其标识信息既未登记在所述第一表中也未登记在所述第二表中的通信设备进行通信。
本发明还提供了一种包括接入点和多个通信设备的无线网络,其中,所述多个通信设备中的任意一个都包括:检测装置,用于检测构成所述无线网络的通信设备;报告装置,用于报告所述检测装置检测到的通信设备的信息;操作装置;第一登记装置,如果通过所述操作装置的操作允许与所述报告装置报告的通信设备进行通信,则该第一登记装置用于将该通信设备的标识信息登记在第一存储器中;监控装置,用于监控所述无线网络,并对构成所述无线网络的其标识信息未登记在所述第一存储器中的通信设备进行检测;警告装置,除了报告与所述监控设备检测到的通信设备有关的信息之外,还针对可疑的未授权访问发出警告;更新装置,如果通过所述操作装置的操作允许与所述警告装置报告的通信设备进行通信,则该更新装置用于将该通信设备的标识信息另外登记在所述第一存储器中;以及通知装置,用于将以下通信设备的标识信息通知给所述接入点,通过所述操作装置的操作不允许与该通信设备进行通信,所述接入点包括:中继装置,用于对构成所述无线网络的所述多个通信设备之间的通信进行中继;第二登记装置,用于将所述通知装置通知的标识信息登记在第二存储器中;以及禁止装置,用于禁止与其标识信息已登记在所述第二存储器中的通信设备进行通信。
所述无线网络可被构造为包括接入点和多个通信设备,其中,所述多个通信设备中的任意一个都包括:检测装置,用于检测构成所述无线网络的通信设备;报告装置,用于报告与所述检测装置检测到的通信设备有关的信息;操作装置;登记装置,如果通过所述操作装置的操作允许或不允许与所述报告装置报告的通信设备进行通信,则该登记装置在允许通信时将该通信设备的标识信息登记在第一表中,而在不允许通信时将该通信设备的标识信息登记在第二表中;监控装置,用于监控所述无线网络,并对构成所述无线网络的其标识信息既未登记在所述第一表中也未登记在所述第二表中的通信设备进行检测;警告装置,其除了报告与所述监控装置检测到的通信设备有关的信息之外,还针对可疑的未授权访问警告;更新装置,如果通过所述操作装置的操作允许或不允许与所述警告装置报告的通信设备进行通信,则该更新装置在允许通信时将该通信设备的标识信息另外登记在第一表中,而在不允许通信时将该通信设备的标识信息另外登记在第二表中;以及通信控制装置,用于允许与构成所述无线网络的其标识信息已登记在所述第一表中的通信设备进行通信,并禁止与构成所述无线网络的其标识信息已登记在所述第二表中的通信设备或构成所述无线网络的其标识信息既未登记在所述第一表中也未登记在所述第二表中的通信设备进行通信,所述接入点包括:中继装置,用于对构成所述无线网络的所述多个通信设备之间的通信进行中继;第二登记装置,用于将所述通知装置所通知的标识信息登记在第三表中;以及禁止装置,用于禁止与其标识信息已登记在所述第三表中的通信设备进行通信。
根据本发明,构成无线网络的通信设备可以容易地登记和更新标识信息,从而确保了该通信设备和该无线网络的安全。另外,可以检测疑为非法访问无线网络的通信设备并向用户通知该通信设备。
附图说明
图1示出了根据本发明实施例的无线LAN 1的结构。
图2是表示根据该实施例的通信终端20b的结构的框图。
图3示出了根据该实施例的允许表206a和拒绝表206b的各自数据结构。
图4是表示根据该实施例的在通信终端20b中执行的初始设置处理的操作的流程图。
图5示出了根据该实施例的初始设置处理中的第一画面的示例。
图6示出了根据该实施例的初始设置处理中的第二画面的示例。
图7是表示根据该实施例的在通信终端20b中执行的监控处理的操作的流程图。
图8示出了根据该实施例的监控处理中的画面的示例。
图9是表示根据该实施例的在通信终端20b中执行的通信控制处理的操作的流程图。
具体实施方式
下面将参照附图来描述本发明的优选实施例。
[A-1.实施例的结构]
图1示出了根据本实施例的无线LAN 1的结构。图中所示的无线LAN是针对家庭使用的。接入点(以下称为“AP”)10与位于AP 10所覆盖的无线区域内的连网设备(“连网设备”是指当前连接到网络的设备),例如通信终端20a和20b、打印机30以及扫描仪40,无线地传送数据。AP10还充当拨号路由器。AP 10在从通信终端20b接收到连接至互联网的请求的情况下,通过公共网络来访问互联网服务提供商,并将通信终端20b连接到互联网,以对通信进行中继。通信终端20a和20b是插有LAN卡的个人计算机。打印机30和扫描仪40具有与AP 10进行无线通信并且作为通信终端20a和20b与其交换数据的功能。
图2是表示通信终端20b的硬件结构的框图。CPU 201读取并执行存储在ROM 202或HD(硬盘)206中的程序,从而对通信终端20b的组件进行控制。ROM 202存储有用于控制通信终端20b的程序。RAM 203用作CPU 201的工作区。插入到通信终端20b的扩展槽中的无线LAN卡50控制与AP 10的无线通信。操作单元204由键盘、定点装置等构成。显示单元205由液晶显示板和用于对该液晶显示板的显示进行控制的驱动电路构成。通信终端20b还具有时钟功能。
HD 206中安装有安全管理程序(应用软件)。该程序用于稍后说明的初始设置处理(见图4)、监控处理(见图7)和通信控制处理(见图9)。HD 206存储有允许表206a和拒绝表206b。允许表206a中登记有以下网络设备的MAC地址,这些网络设备是除了允许用户与构成无线LAN 1的其他网络设备(例如通信终端20a、打印机30和扫描仪40)进行通信以外还允许用户与通信终端20b进行通信的设备。拒绝表206b中登记有以下网络设备的MAC地址,这些网络设备是拒绝用户与通信终端20b进行通信的装置。
图3(a)示出了允许表206a的数据结构。如图所示,注释(remark)栏中输入有允许进行通信的网络设备的计算机名、IP地址和登记日期。在无线LAN 1中,为网络设备动态地分配IP地址。因此,登记在允许表206a中的IP地址是在通信终端20b获得网络设备的MAC地址的情况下已分配的IP地址。类似的是,登记在允许表206a中的计算机名也是在通信终端20b获得网络设备的MAC地址的情况下已分配的计算机名。
图3(b)示出了拒绝表206b的数据结构。如图所示,拒绝表206b的注释栏中输入有拒绝进行通信的网络设备的计算机名、IP地址和登记日期。
[A-2.实施例的操作]
图4是示出在通信终端20b中执行的初始设置处理的操作的流程图。该初始设置处理是在用户完成安全管理程序到HD 206中的安装时由CPU201执行的。可以通过无线LAN 1从互联网上的服务器将安全管理程序下载到通信终端20b,并安装到HD 206中。另外,可以按照诸如CD-ROM的存储介质的形式发布安全管理程序,并且通过利用诸如CD-ROM驱动器的读取器从存储介质中读取而安装在HD 206中。另外,可以将安全管理程序预先安装在HD 206中。在这种情况下,当首次启动安全管理程序时,执行初始设置处理。
当初始设置处理开始时,通信终端20b在显示单元205的液晶显示板(以下称为“液晶屏”)上显示与设置有关的主菜单。当用户利用操作单元204的定点装置在菜单中选择了未授权访问警告功能时,通信终端20b显示如图5所示的菜单画面。如图所示,未授权访问警告功能是这样一种功能,即,监控对无线LAN 1的未授权访问、检测未确认为用户可接受的未知连网设备,并警告用户存在该连网设备。
当用户通过在图5的“监控功能的设置”复选框上打勾来使能未授权访问警告功能时(步骤S101:是),随后通信终端20b设定对无线LAN1进行监控的周期(步骤S102)。具体来讲,当用户从图5的周期选择菜单中选择了期望的监控周期时,通信终端20b将所选的监控周期(在图5所示的示例中为五分钟)存储在HD 206中。在周期选择菜单中登记有多个监控周期,这些周期例如是三分钟、五分钟、十五分钟、三十分钟、六十分钟等。除了从周期选择菜单中选择以外,还可以用键盘直接输入监控周期。
当用户利用定点装置点击“检测连网设备”项的“开始检测”按钮时(步骤S103:是),通信终端20b对当前连接到无线LAN 1的设备进行检测(步骤S104)。具体来讲,通信终端20b通过无线LAN卡50来访问AP 10,向位于AP 10的无线区域内的所有网络设备广播消息,并且基于是否存在对于该广播消息的答复消息来对连接到无线LAN 1的所有设备进行检测。
答复消息包含作出答复的连网设备的MAC地址、计算机名和IP地址。因此,在步骤S104中,当检测到与无线LAN 1相连的设备时,获得了被检测到的设备的MAC地址。
通信终端20b可以通过在AP 10处进行连网设备的查询来识别这些连网设备。
随后,通信终端20b将步骤S104中检测到的连网设备的信息显示在液晶屏上,如图6所示(步骤S105)。在图6的示例中,除了通信终端20b和AP 10之外,名为“ken-segawa”和“tomoko-segawa”的两台计算机也连接到无线LAN 1。根据图中所示消息,通信终端20b的用户确定所显示的连网设备是否为可疑的连网设备,如果该连网设备是可接受的,则用户点击“确认”按钮。另一方面,如果这些连网设备中包括可疑的连网设备,则用户选择该可疑的连网设备并点击“拒绝通信”按钮。
如果点击了“确认”按钮,即确认所显示的连网设备为可接受的(步骤S106:是),则通信终端20b将步骤S104中所获得的连网设备的MAC地址、计算机名和IP地址登记在允许表206a中(步骤S108)。通信终端20b还将时间和登记日期登记在允许表206a中。例如,如果图6的名为“ken-segawa”和“tomoko-segawa”的两台计算机被用户确认为是可接受的,则将这两台计算机的MAC地址、计算机名和IP地址登记在允许表206a中。
另一方面,如果在图6的菜单画面上选择了可疑的连网设备并且点击了“拒绝通信”按钮(步骤S107:是),则通信终端20b将所选的连网设备(即,被用户确定为非法访问的连网设备)的MAC地址、计算机名和IP地址登记在拒绝表206b中(步骤S109)。通信终端20b还将时间和登记日期登记在拒绝表206b中。
当完成了对所有显示的连网设备的登记时(步骤S110:是),通信终端20b终止初始设置处理。
该初始设置处理不仅可以在安装了安全管理程序之后立即执行或者在首次启动安全管理程序时执行,而且可以根据用户的指令在任意给定时刻执行。在这种情况下,用户可以在任意给定时刻改变使能/禁能设置和未授权访问监控功能的监控周期。
图7是示出在通信终端20b中执行的监控处理的操作的流程图。该监控处理是在通信终端20b连接到无线LAN 1并处于上述初始设置处理中设置的监控周期内时由CPU 201执行的。
如图所示,通信终端20b首先检测当前连接到LAN 1的设备,并且获得检测到的设备的MAC地址(步骤S201)。由于该步骤S201与上述步骤S104类似,所以将省略详细的说明。移动通信20b将步骤S201中所获得的MAC地址与允许表206b进行对照(步骤S202),由此确定该MAC地址是否已被登记(步骤S203)。如果所有MAC地址都已被登记(步骤S203:是),则通信终端20b确定疑为未授权访问的设备当前未连接到无线LAN 1,并且终止监控处理。
另一方面,如果步骤S201中所获得的MAC地址包括未登记在允许表206a中的MAC地址(步骤S203:否),则通信终端20b显示如图8所示的警告画面(步骤S204)。在图8所示的示例中,除了被用户已预先确认为可接受的四个网络设备(名为“ken-segawa”和“tomoko-segawa”的计算机、打印机和扫描仪)之外,未被用户确认的网络设备(MAC地址“4F:3A:32:19”)也连接到无线LAN 1。
连网设备(MAC地址“4F:3A:32:19”)不一定是非法访问的网络设备,因为它可能是用户已增加到无线LAN 1中的可接受的网络设备。因此,通信终端20b的用户根据图8所示的消息来确定该连网设备是否为可疑的连网设备。如果该连网设备是可接受的,则用户点击“确认”按钮,而如果反之,则用户点击“拒绝通信”按钮。
如果点击了“确认”按钮,即该连网设备被确认为可接受(步骤S205:是),则通信终端20b将该连网设备的MAC地址、计算机名和IP地址另外登记在允许表206a中(步骤S207)。另一方面,如果点击了“拒绝通信”按钮,即,该连网设备被确认为非法访问(步骤S206:是),则通信终端20b将该连网设备的MAC地址、计算机名和IP地址另外登记在拒绝表206b中(步骤S208)。在这两种情况下,都另外登记了登记日期。
当完成了所显示的连网设备的所有必要信息的登记时(步骤S209:是),通信终端终止监控处理。
当用户从无线LAN 1中移除迄今一直使用的连网设备时或者当用户删除错误地登记在允许表206a或拒绝表206b中的信息时,使用图8的菜单画面上的“从列表中删除”按钮。
在监控处理中,当检测到其MAC地址既未登记在允许表206a中也未登记在拒绝表206b中的连网设备时,通信终端20b可以仅显示警告消息。利用该配置,当检测到仍需用户确认的未知连网设备时,仅显示警告消息。
图9是示出在通信终端20b中执行的通信控制处理的操作的流程图。该通信控制处理是在通信终端20b开始与无线LAN 1上的另一连网设备通信时由CPU 201执行的。
如图所示,首先,通信终端20b识别通信终端20b将与其进行通信的连网设备的MAC地址(步骤S301)。当识别了MAC地址时,通信终端20b将该MAC地址与拒绝表206b进行对照(步骤S302),由此确定该MAC地址是否已登记在拒绝表206b中(步骤S303)。结果,如果该MAC地址已被登记(步骤S303:是),则通信终端20b显示警告消息,该警告消息表示该连网设备是由用户设置为拒绝进行通信的可疑连网设备(步骤S304),并且阻止与该连网设备进行通信(步骤S305)。
另一方面,如果步骤S301中所识别的MAC地址未登记在拒绝表206b中(步骤S303:否),则通信终端20b将该MAC地址与允许表206a进行对照(步骤S306),由此确定该MAC地址是否已登记在允许表206a中(步骤S307)。结果,如果该MAC地址已登记在允许表206a中(步骤S307:是),则通信终端20b开始与该连网设备进行通信(步骤5308)。
如果该MAC地址未登记在允许表206a中(步骤S307:否),这意味着该连网设备是其MAC地址既未登记在拒绝表206b中也未登记在允许表206a中的未知连网设备,则通信终端20b转到上述监控处理,显示与该连网设备有关的警告,并将其MAC地址另外登记在允许表206a或拒绝表206b中。
如上所述,根据本实施例,通信终端20b检测并报告构成无线LAN 1的连网设备,并且如果允许通过操作单元204的操作与所报告的连网设备进行通信,则将该连网设备的MAC地址登记在允许表206a中。另外,通信终端20b监控无线LAN 1,检测其MAC地址未登记在允许表206a中的未知连网设备,并警告可疑的未授权访问。如果允许与检测到的连网设备进行通信,则通信终端20b将该连网设备的MAC地址另外登记在允许表206a中。另外,通信终端20b允许与构成无线LAN 1的其MAC地址已登记在允许表206a中的连网设备进行通信,并禁止与构成无线LAN 1的其MAC地址未登记在允许表206a中的连网设备进行通信。
如上所述,由于未被用户确认为可接受的连网设备被报告至用户,所以通过每次对所报告的连网设备进行登记操作,实现了对阻止未授权访问所必需的MAC地址的登记和更新操作。因此,即使是不具备无线LAN技术知识的用户也能容易地登记和更新MAC地址。另外,可以避免用户因健忘而没有执行MAC地址的登记和更新操作。
根据上述配置,除了防止对通信终端20b的未授权访问(例如为窃取存储在连网设备中的数据而侵入无线LAN)之外,还可以充分实现对允许表206a中的MAC地址的登记和更新。另外,对无线LAN 1上的疑为非法访问的连网设备进行检测,并将与该连网设备有关的警告消息发送给用户。
[B.变型]
(1)在上述实施例中,其MAC地址登记在拒绝表206b中的连网设备也可以登记在AP 10中。具体来讲,在步骤S109和S208之后,通信终端20b将其MAC地址已登记在拒绝表206b中的连网设备通知给AP 10,并且AP 10将所接收的MAC地址登记在其通信拒绝表中。从此时起,AP 10禁止与其MAC地址已登记在通信拒绝表中的通信终端进行通信。
利用该配置,不仅可以防止对通信终端20b的未授权访问,而且可以防止对无线LAN 1的未授权访问(例如窃取无线LAN 1上交换的数据或通过所侵入的无线LAN 1来访问另一通信网络),从而确保了无线LAN 1的安全。通信拒绝表可以存储于设置在AP 10外部的存储设备中。
(2)在上述实施例中,当检测到其MAC地址未登记在允许表206a中的连网设备时,通信终端20b可被构造为,如果检测到的连网设备在无线LAN 1上持续通信长于预定的时间段,则警告用户有可疑的未授权访问。具体来讲,当检测到其MAC地址未登记在允许表206a中的连网设备时,通信终端20b对该连网设备在无线LAN 1上持续通信的时间段进行测量。如果测量出的时间段超过了预定的时间段(例如,五分钟),则通信终端20b向用户报告该连网设备是疑为非法访问的连网设备。该配置对于其中存在所服务的通信终端的大量流通量的无线LAN有优势,因为如图8所示,每次在新的通信终端连接到公共无线LAN时都显示警告消息是很烦琐的。
在上述实施例中,除了在屏幕上显示以外,还可以通过语音消息来报告疑为非法访问的连网设备的警告。作为另选方案,可以将与疑为非法访问的连网设备有关的信息打印在纸张上并输出。
(3)在上述实施例中,除了MAC地址之外,还可以使用通信终端20b分配给各个连网设备的标识码作为连网设备的标识信息。
在上述实施例中,除了规则的间隔以外,还可以在通信终端20b开始与AP 10进行通信时执行监控处理(参见图7)。
在上述实施例中,可以将允许表206a和拒绝表206b存储在通信终端20b外部的存储设备中。
(4)在上述实施例中,除了插有无线LAN卡50的个人计算机以外,通信终端20a和20b还可以是具有无线通信功能的PDA。
在上述实施例中,除了家用以外,无线LAN 1还可用于办公或应用于公共无线LAN。
Claims (7)
1、一种通信设备,该通信设备包括:
检测装置,用于检测构成无线网络的通信设备;
报告装置,用于报告与所述检测装置检测到的通信设备有关的信息;
操作装置;
登记装置,如果通过所述操作装置的操作允许与所述报告装置报告的通信设备进行通信,则该登记装置用于将该通信设备的标识信息登记在存储器中;
监控装置,用于监控所述无线网络并对构成所述无线网络的其标识信息未登记在所述存储器中的通信设备进行检测;
警告装置,其除了报告与所述监控装置检测到的通信设备有关的信息之外,还针对可疑的未授权访问发出警告;
更新装置,如果通过所述操作装置的操作允许与所述警告装置所报告的通信设备进行通信,则该更新装置将与该通信设备有关的标识信息另外登记在所述存储器中;以及
通信控制装置,用于允许与构成所述无线网络的其标识信息已登记在所述存储器中的通信设备进行通信,并且用于禁止与构成所述无线网络的其标识信息未登记在所述存储器中的通信设备进行通信。
2、根据权利要求1所述的通信设备,该通信设备还包括设置装置,其用于设置所述无线网络的监控周期,其中所述监控装置在所述设置装置所设置的监控周期内监控所述无线网络,并对构成所述无线网络的其标识信息未登记在所述存储器中的所述通信设备进行检测。
3、根据权利要求1所述的通信设备,该通信设备还包括时间测量装置,如果所述监控装置检测到了其标识信息未登记在所述存储器中的通信设备,则该时间测量装置用于对所述通信设备在所述无线网络中持续无线通信的时间段进行测量,其中如果所述时间测量装置测量出的时间段超过了预定的时间段,则除了报告与所述监控装置检测到的通信设备有关的信息之外,所述警告装置还针对可疑的未授权访问发出警告。
4、一种通信设备,该通信设备包括:
检测装置,用于检测构成无线网络的通信设备;
报告装置,用于报告与所述检测装置检测到的通信设备有关的信息;
操作装置;
登记装置,如果通过所述操作装置的操作允许或者不允许与所述报告装置报告的通信设备进行通信,则当允许通信时将该通信设备的标识信息登记在第一表中,而当不允许通信时将该通信设备的标识信息登记在第二表中;
监控装置,用于监控所述无线网络,并检测构成所述无线网络的其标识信息既未登记在所述第一表中也未登记在所述第二表中的通信设备;
警告装置,其除了报告与所述监控装置检测到的通信设备有关的信息之外,还针对可疑的未授权访问发出警告;
更新装置,如果通过所述操作装置的操作允许或者不允许与所述警告装置报告的通信设备进行通信,则该更新装置在允许通信时将该通信设备的标识信息另外登记在第一表中,而在不允许通信时将该通信设备的标识信息另外登记在第二表中;以及
通信控制装置,用于允许与构成所述无线网络的其标识信息已登记在所述第一表中的通信设备进行通信,并用于禁止与构成所述无线网络的其标识信息已登记在所述第二表中的通信设备或构成所述无线网络的其标识信息既未登记在所述第一表中也未登记在所述第二表中的通信设备进行通信。
5、一种包括接入点和多个通信设备的无线网络,其中:
所述多个通信设备中的任意一个都包括:
检测装置,用于检测构成所述无线网络的通信设备;
报告装置,用于报告所述检测装置检测到的通信设备的信息;
操作装置;
第一登记装置,如果通过所述操作装置的操作允许与所述报告
装置报告的通信设备进行通信,则该第一登记装置用于将该通信设备的标识信息登记在第一存储器中;
监控装置,用于监控所述无线网络,并对构成所述无线网络的其标识信息未登记在所述第一存储器中的通信设备进行检测;
警告装置,其除了报告与所述监控设备检测到的通信设备有关的信息之外,还针对可疑的未授权访问发出警告;
更新装置,如果通过所述操作装置的操作允许与所述警告装置报告的通信设备进行通信,则该更新装置用于将该通信设备的标识信息另外登记在所述第一存储器中;以及
通知装置,用于将以下通信设备的标识信息通知给所述接入点,通过所述操作装置的操作不允许与该通信设备进行通信,
所述接入点包括:
中继装置,用于对构成所述无线网络的所述多个通信设备之间的通信进行中继;
第二登记装置,用于将所述通知装置通知的标识信息登记在第二存储器中;以及
禁止装置,用于禁止与其标识信息已登记在所述第二存储器中的通信设备进行通信。
6、一种程序,该程序使计算机执行以下步骤:
第一步骤,检测构成无线网络的通信设备;
第二步骤,报告在第一步骤中检测到的通信设备的信息;
第三步骤,如果通过操作装置的操作允许与在第二步骤中报告的通信设备进行通信,则将该通信设备的标识信息登记在存储器中;
第四步骤,监控所述无线网络并且对构成所述无线网络的其标识信息未登记在所述存储器中的通信设备进行检测;
第五步骤,除了报告与在第四步骤中检测到的通信设备有关的信息之外,还针对可疑的未授权访问发出警告;
第六步骤,如果允许通过所述操作装置的操作与在第五步骤中报告的通信设备进行通信,则将该通信设备的标识信息另外登记在所述存储器中;以及
第七步骤,允许与构成所述无线网络的其标识信息已登记在所述存储器中的通信设备进行通信,并禁止与构成所述无线网络的其标识信息未登记在所述存储器中的通信设备进行通信。
7、一种记录有根据权利要求6所述的程序的计算机可读存储介质。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP182955/2004 | 2004-06-21 | ||
| JP2004182955A JP2006005879A (ja) | 2004-06-21 | 2004-06-21 | 通信装置、無線ネットワーク、プログラムおよび記録媒体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1973513A true CN1973513A (zh) | 2007-05-30 |
Family
ID=35510453
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005800206361A Pending CN1973513A (zh) | 2004-06-21 | 2005-06-17 | 通信设备、无线网络、程序及存储介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20080009266A1 (zh) |
| JP (1) | JP2006005879A (zh) |
| CN (1) | CN1973513A (zh) |
| WO (1) | WO2005125151A2 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102293028A (zh) * | 2009-01-30 | 2011-12-21 | 日本电气株式会社 | 无线通信网络 |
| CN103634270A (zh) * | 2012-08-21 | 2014-03-12 | 中国电信股份有限公司 | 识别接入点合法性的方法、系统与接入点鉴别服务器 |
| JP2019047239A (ja) * | 2017-08-31 | 2019-03-22 | セコム株式会社 | パケットフィルタリング装置 |
| CN112291786A (zh) * | 2020-11-11 | 2021-01-29 | 深圳市友华通信技术有限公司 | 无线访问接入点控制方法、计算机装置和存储介质 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100584587B1 (ko) * | 2003-12-03 | 2006-05-30 | 삼성전자주식회사 | 네트워크 스캐너 및 네트워크 스캔 시스템 구성 및 유지방법 |
| DE102005060601A1 (de) * | 2005-12-17 | 2007-06-21 | Dr. Johannes Heidenhain Gmbh | Verfahren zur Inbetriebnahme einer numerischen Steuerung für Werkzeug- oder Produktionsmaschinen |
| JP4781125B2 (ja) * | 2006-02-17 | 2011-09-28 | キヤノン株式会社 | 情報処理システム、情報処理装置、及び周辺装置 |
| JP2007274365A (ja) * | 2006-03-31 | 2007-10-18 | Kyocera Mita Corp | 通信装置 |
| WO2007138663A1 (ja) * | 2006-05-26 | 2007-12-06 | Fujitsu Limited | ネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置 |
| JP4785654B2 (ja) * | 2006-07-10 | 2011-10-05 | 株式会社Into | 通信システム、アドレス解決方法、通信プログラム及び記録媒体 |
| JP4953736B2 (ja) * | 2006-09-06 | 2012-06-13 | パナソニック株式会社 | 無線通信システム |
| JP2009038643A (ja) * | 2007-08-02 | 2009-02-19 | Advance Multimedia Internet Technology Inc | 無線ネットワークのための同定方法 |
| US8191143B1 (en) * | 2007-11-13 | 2012-05-29 | Trend Micro Incorporated | Anti-pharming in wireless computer networks at pre-IP state |
| EP2086198A1 (de) * | 2008-02-04 | 2009-08-05 | Siemens Aktiengesellschaft | Verfahren zum Betrieb eines elektrischen Gerätes oder Netzwerks, Computerprogramm zur Implementierung des Verfahrens und zur Ausführung des Verfahrens vorgesehenes Gerät |
| US20170300453A1 (en) * | 2009-06-12 | 2017-10-19 | Google Inc. | System and method of providing notification of suspicious access attempts |
| KR101647147B1 (ko) * | 2009-11-19 | 2016-08-10 | 삼성전자주식회사 | 듀얼 모뎀을 가지는 이동통신 장치 및 그를 이용한 통신 방법 |
| JP2011172030A (ja) * | 2010-02-18 | 2011-09-01 | Pc Depot Corp | セキュリティシステム、管理サーバ、及びプログラム |
| CN101883180A (zh) * | 2010-05-11 | 2010-11-10 | 中兴通讯股份有限公司 | 屏蔽移动终端访问无线网络信息的方法、移动终端和系统 |
| JP5473152B2 (ja) * | 2011-04-08 | 2014-04-16 | 東芝テック株式会社 | 証明書管理機能を有する情報処理装置及び証明書管理プログラム |
| JP5974758B2 (ja) * | 2012-09-14 | 2016-08-23 | 株式会社バッファロー | ネットワーク管理システム、管理装置、無線lanアクセスポイント、複数の無線lanステーションを管理する方法、プログラム、記録媒体 |
| US9386004B2 (en) * | 2013-10-23 | 2016-07-05 | Qualcomm Incorporated | Peer based authentication |
| JP6246142B2 (ja) * | 2015-01-14 | 2017-12-13 | キヤノン株式会社 | 情報処理装置、情報処理方法及びプログラム |
| JP6176271B2 (ja) * | 2015-02-24 | 2017-08-09 | コニカミノルタ株式会社 | 通信仲介システム、通信仲介装置、通信仲介方法及び通信仲介プログラム |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003046533A (ja) * | 2001-08-02 | 2003-02-14 | Nec Commun Syst Ltd | ネットワークシステム、その認証方法及びそのプログラム |
| US20030232598A1 (en) * | 2002-06-13 | 2003-12-18 | Daniel Aljadeff | Method and apparatus for intrusion management in a wireless network using physical location determination |
| US7068999B2 (en) * | 2002-08-02 | 2006-06-27 | Symbol Technologies, Inc. | System and method for detection of a rogue wireless access point in a wireless communication network |
| US7124197B2 (en) * | 2002-09-11 | 2006-10-17 | Mirage Networks, Inc. | Security apparatus and method for local area networks |
| US20040235453A1 (en) * | 2003-05-23 | 2004-11-25 | Chia-Hung Chen | Access point incorporating a function of monitoring illegal wireless communications |
-
2004
- 2004-06-21 JP JP2004182955A patent/JP2006005879A/ja active Pending
-
2005
- 2005-06-17 WO PCT/JP2005/011574 patent/WO2005125151A2/en active Application Filing
- 2005-06-17 CN CNA2005800206361A patent/CN1973513A/zh active Pending
- 2005-06-17 US US11/629,851 patent/US20080009266A1/en not_active Abandoned
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102293028A (zh) * | 2009-01-30 | 2011-12-21 | 日本电气株式会社 | 无线通信网络 |
| US8694628B2 (en) | 2009-01-30 | 2014-04-08 | Nec Corporation | Wireless communication system |
| CN102293028B (zh) * | 2009-01-30 | 2015-01-07 | 日本电气株式会社 | 无线通信网络 |
| CN103634270A (zh) * | 2012-08-21 | 2014-03-12 | 中国电信股份有限公司 | 识别接入点合法性的方法、系统与接入点鉴别服务器 |
| CN103634270B (zh) * | 2012-08-21 | 2017-06-16 | 中国电信股份有限公司 | 识别接入点合法性的方法、系统与接入点鉴别服务器 |
| JP2019047239A (ja) * | 2017-08-31 | 2019-03-22 | セコム株式会社 | パケットフィルタリング装置 |
| CN112291786A (zh) * | 2020-11-11 | 2021-01-29 | 深圳市友华通信技术有限公司 | 无线访问接入点控制方法、计算机装置和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006005879A (ja) | 2006-01-05 |
| US20080009266A1 (en) | 2008-01-10 |
| WO2005125151A3 (en) | 2006-03-30 |
| WO2005125151A2 (en) | 2005-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1973513A (zh) | 通信设备、无线网络、程序及存储介质 | |
| EP2068525B1 (en) | Method and system for providing wireless vulnerability management for local area computer networks | |
| US8180328B2 (en) | Wireless manager and method for configuring and securing wireless access to a network | |
| CN105745869B (zh) | 用于区域性网络/家庭网络的安全网关 | |
| US9092969B2 (en) | Method and system for invoking a security function of a device based on proximity to another device | |
| CN1791255B (zh) | 移动电话政策管理 | |
| US9262630B2 (en) | System, method, and computer program product for isolating a device associated with at least potential data leakage activity, based on user support | |
| US20100102951A1 (en) | Sharing of a Neighboring Wireless Network | |
| CN107005570A (zh) | 用于网络端点的安全保护及远程管理的用户接口 | |
| US8656464B2 (en) | Communication controller and network system utilizing the same | |
| US20140204727A1 (en) | Redundant control of self-configuring wireless network | |
| CN104081714A (zh) | 网络调解多装置共享认证 | |
| US20110225642A1 (en) | Configuration of computer and communication systems responsive to physical presence of a user at a site | |
| KR20150122637A (ko) | 모바일 디바이스 관리 및 보안 분야에서 근거리 무선 통신의 활용 및 응용 | |
| CN101175004A (zh) | 接入点及存取客户端间无线连结与更新的方法 | |
| US20130097317A1 (en) | Method and apparatus for remote trust management for machine to machine communications in a network | |
| CN101631313B (zh) | 用于管理电信网络和相关设备的方法 | |
| CN105657711A (zh) | 一种网络连接方法及电子设备 | |
| CN107644163B (zh) | 一种多用户下通知消息提醒的方法及装置 | |
| US10235525B2 (en) | Application providing server, application setting terminal, application providing system, method of providing application, and program for application providing server | |
| JP2005115716A (ja) | 遠隔操作システム | |
| JP2006092040A (ja) | サービス提供システムおよび方法 | |
| Fitton et al. | Experiences managing and maintaining a collection of interactive office door displays | |
| JP3665011B2 (ja) | コールセンターシステム及びオペレータ端末の機能キーへの機能割当制御方法 | |
| JP2002216275A (ja) | 監視システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20070530 |