DE112012003770B4 - Überwachungssystem, Überwachungsserver, Verfahren und Programm zum Überwachen eines unberechtigten Zugriffspunktes - Google Patents

Überwachungssystem, Überwachungsserver, Verfahren und Programm zum Überwachen eines unberechtigten Zugriffspunktes Download PDF

Info

Publication number
DE112012003770B4
DE112012003770B4 DE112012003770.7T DE112012003770T DE112012003770B4 DE 112012003770 B4 DE112012003770 B4 DE 112012003770B4 DE 112012003770 T DE112012003770 T DE 112012003770T DE 112012003770 B4 DE112012003770 B4 DE 112012003770B4
Authority
DE
Germany
Prior art keywords
access point
terminal
pseudo
unauthorized access
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE112012003770.7T
Other languages
English (en)
Other versions
DE112012003770T5 (de
Inventor
c/oIBM Tokyo Lab.IBM Japan Ltd Hamada Shinkichi
c/oIBM Tokyo Lab. IBM Japan Ltd Murakami Yukihiro
c/o IBM Tokyo Lab. IBM Japan Ltd. Fujiwara Yayoi
c/oIBM Tokyo Lab. IBM Japan Ltd Nishimura Yasutaka
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE112012003770T5 publication Critical patent/DE112012003770T5/de
Application granted granted Critical
Publication of DE112012003770B4 publication Critical patent/DE112012003770B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Überwachungssystem, aufweisend:einen Überwachungsserver, der einen unberechtigten Zugriffspunkt überwacht; undeine Vielzahl von mit dem Überwachungsserver über eine Netzwerk verbundene Terminals; wobeijedes der Terminals aufweist:eine Funkwelleninformations-Beschaffungseinheit, die Funkwelleninformationen aus durch einen Zugriffspunkt übertragenen Funkwellen beschafft;eine Funkwelleninformations-Übertragungseinheit, welche die Funkwelleninformationen an den Überwachungsserver überträgt; undeine Funkwellen-Übertragungseinheit, die Funkwellen gemäß einer Anweisung vom Überwachungsserver überträgt, und wobeider Überwachungsserver aufweist:eine Terminalinformations-Registrierungseinheit, die Terminalinformationen in einer Datenbank registriert, wobei die Terminalinformationen die von den Terminals empfangenen Funkwelleninformationen enthalten;eine Erkennungseinheit für unberechtigte Zugriffspunkte, die einen unberechtigten Zugriffspunkt unter Verwendung der Terminalinformationen erkennt;eine Pseudo-Zugriffspunkt-Angabeeinheit, die ein Terminal unter Verwendung einer Intensität von durch den unberechtigten Zugriffspunkt übertragenen Funkwellen als einen Pseudo-Zugriffspunkt angibt;eine Funkwellenübertragungs-Anweisungseinheit, die das als einen Pseudo-Zugriffspunkt angegebene Terminal anweist, Funkwellen zu übertragen; undeine Datenverkehrs-Überwachungseinheit, die Datenverkehr auf dem Netzwerk überwacht, wobeidie Pseudo-Zugriffspunkt-Angabeeinheit als einen Pseudo-Zugriffspunkt ein Terminal angibt, das vom unberechtigten Zugriffspunkt Funkwellen mit einer Intensität empfangen hat, die nicht geringer ist als eine zuvor festgelegte Intensität, und das keinen Datenverkehr auf dem Netzwerk erzeugt hat.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft eine Technologie zum Überwachen eines Zugriffspunktes und insbesondere ein Überwachungssystem, einen Überwachungsserver, ein Verfahren und ein Programm zum Überwachen eines unberechtigten Zugriffspunktes und Blockieren von durch den unberechtigten Zugriffspunkt durchgeführter kabelloser Datenübertragung.
  • Bisheriger Stand der Technik
  • In jüngster Zeit hat ein Verbinden unter Verwendung eines Smartphones oder die Verwendung eines mobilen Routers eine einfache Beschaffung eines Zugriffspunktes ermöglicht, der ein Mittel zum Installieren einer kabellosen Basisstation in einer Firmeneinrichtung oder Ähnlichem darstellt. Eine unberechtigte Verbindung eines solchen Zugriffspunktes mit einem Firmennetzwerk oder Ähnlichem kann zu ernsten Problemen wie beispielsweise der Offenlegung vertraulicher Informationen wie beispielsweise persönlicher Informationen führen. Aus diesem Grund wurden Technologien zum Blockieren von durch einen unberechtigten Zugriffspunkt ausgeführter kabelloser Datenübertragung vorgeschlagen.
  • Die JP 4 229 148 B2 offenbart ein Verfahren zum Erkennen einer Vorrichtung eines unberechtigten Zugriffspunktes, der nicht mit einem kabelgebundenen LAN verbunden ist, und zum Verhindern des Zugreifens auf ein kabelloses LAN-Terminal durch den unberechtigten Zugriffspunkt. Bei diesem Verfahren erkennt eine räumlich feststehende vorhandene Zugriffspunkt-Vorrichtung einen unberechtigten Zugriffspunkt, erzeugt Blockierdaten zu dem Zeitpunkt, an dem der unberechtigte Zugriffspunkt ein Beacon-Frame überträgt, und überträgt die Blockierdaten in den Funkraum.
  • Die US 2003 / 0 117 985 A1 offenbart ein Verfahren, gemäß dem in einem Netzwerksicherheitssystem Clients nach benachbarten Zugangspunkten suchen, um drahtlose Verbindungen zu einem LAN herzustellen. Als Ergebnis der Suche sendet jeder der Clients eine Liste der gefundenen Zugangspunkte an einen Controller. Der Controller erkennt nicht registrierte Zugangspunkte, indem er eine Liste von zuvor registrierten Zugangspunkten mit den von den Clients übermittelten Listen vergleicht.
  • Die US 7 971 251 B2 offenbart ein Verfahren zur verteilten Überwachung eines drahtlosen Netzwerks mit einer Vielzahl von drahtlosen Client-Geräten in Kommunikation mit dem drahtlosen Netzwerk, umfassend die folgenden Schritte: Anweisen eines oder mehrerer einer Vielzahl von drahtlosen Client-Geräten in Kommunikation mit einem drahtlosen Netzwerk, das drahtlose Netzwerk zu überwachen und Daten zu sammeln, die dem drahtlosen Verkehr auf dem drahtlosen Netzwerk in einem vorbestimmten Frequenzbereich entsprechen, und die Daten zur Analyse zu speichern; Empfangen der gesammelten Daten von der Vielzahl von drahtlosen Client-Geräten auf einem oder mehreren Servern, wobei die Server so konfiguriert sind, dass sie die gesammelten Daten akkumulieren; Speichern der empfangenen Daten zur Analyse; und Analysieren der gespeicherten Daten, die von der Vielzahl von drahtlosen Client-Geräten empfangen wurden, um den Verkehr zu identifizieren, der einer anomalen drahtlosen Aktivität entspricht.
  • Die US 7 336 670 B1 offenbart Verfahren, Vorrichtungen und Systeme zur Erleichterung der Lokalisierung oder Eindämmung von fehlerhaften oder nicht autorisierten Zugangspunkten in drahtlosen Computernetzumgebungen. Ein erster Typ zur Eindämmung von fehlerhaften Zugangspunkten umfasst die Identifizierung der physischen Verbindung des fehlerhaften Zugangspunkts mit der drahtgebundenen Netzwerkinfrastruktur und ermöglicht somit die Deaktivierung dieser physischen Verbindung, um den fehlerhaften Zugangspunkt einzudämmen. Andere Verfahren zur Eindämmung von fehlerhaften Zugangspunkten beinhalten drahtlose Techniken, um die Wirkung von fehlerhaften Zugangspunkten einzudämmen. Zudem werden Verfahren, Vorrichtungen und Systeme zur Verfügung gestellt, die die Standortbestimmung von fehlerhaften Zugangspunkten im Netzwerk erleichtern, um zu ermitteln, ob eine oder mehrere Methodologien zur Eindämmung fehlerhafter Zugangspunkte angewendet werden sollten.
  • Kurzdarstellung der Erfindung
  • Technisches Problem
  • Wenn jedoch auf einem einzigen Netzwerk mehrere Zugriffspunktvorrichtungen vorhanden sind, sind diese Zugriffspunktvorrichtungen allgemein so installiert, dass sie räumlich voneinander getrennt sind. Das in
    der JP 4 229 148 B2 offenbarte Verfahren erlaubt es nur einer vorhandenen Zugriffspunktvorrichtung, die einen unberechtigten Zugriffspunkt erkannt hat, Daten zum Blockieren von durch den unberechtigten Zugriffspunkt durchgeführtem kabellosem Datenaustausch zu übertragen. Dadurch wird in unvorteilhafter Weise ein wirksames Blockieren einer durch den unberechtigten Zugriffspunkt durchgeführten kabellosen Datenübertragung verhindert.
  • Die Erfindung wurde gemacht, um das vorgenannte Problem zu lösen. Dementsprechend ist es eine Aufgabe der Erfindung, ein Überwachungssystem, einen Überwachungsserver, ein Verfahren und ein Programm bereitzustellen, die eine durch den Zugriffspunkt durchgeführte kabellose Datenübertragung wirksam blockieren, wenn ein unberechtigter Zugriffspunkt installiert ist.
  • Lösung des Problems
  • Die vorliegende Erfindung stellt ein Überwachungssystem bereit, das einen Überwachungsserver zum Überwachen eines unberechtigten Zugriffspunktes und mehrere Terminals enthält, die über ein Netzwerk mit dem Server verbunden sind. Die Terminals beschaffen Funkwelleninformationen aus durch einen Zugriffspunkt übertragenen Funkwellen und übertragen die Funkwelleninformationen an den Überwachungsserver. Der Überwachungsserver erkennt einen unberechtigten Zugriffspunkt unter Verwendung von Terminalinformationen, zu denen die von den Terminals empfangenen Funkwelleninformationen zählen, gibt unter Verwendung der Intensität von durch den unberechtigten Zugriffspunkt übertragenen Funkwellen ein Terminal als einen Pseudo-Zugriffspunkt an und weist das Terminal an, Funkwellen zu übertragen. Das Terminal überträgt die Funkwellen gemäß den Anweisungen vom Überwachungsserver.
  • Gemäß der vorliegenden Erfindung können ein Überwachungsserver, ein Verfahren und ein Programm bereitgestellt werden, die einen unberechtigten Zugriffspunkt unter Verwendung von Terminalinformationen erkennen, zu denen Funkwelleninformationen zählen, die von Terminals empfangen werden, die über ein Netzwerk mit dem Überwachungsserver verbunden sind, ein Terminal als einen Pseudo-Zugriffspunkt unter Verwendung der Intensität von durch den unberechtigten Zugriffspunkt übertragenen Funkwellen angeben und das Terminal als einen Pseudo-Zugriffspunkt anweisen, Funkwellen zu übertragen.
  • Vorteilhafte Wirkungen der Erfindung
  • Da die vorliegende Erfindung die vorgenannte Konfiguration verwendet, wird ein Terminal, das einem Zugriffspunkt benachbart ist, der auf eine unberechtigte Weise installiert ist, als ein Pseudo-Zugriffspunkt angegeben. Als ein Ergebnis kann eine durch den unberechtigten Zugriffspunkt durchgeführte Datenübertragung wirksam blockiert werden.
  • Kurze Beschreibung der Zeichnungen
    • 1 zeigt eine Zeichnung, die ein Überwachungssystem zum Überwachen eines unberechtigten kabellosen LAN-Zugriffspunktes gemäß einer Ausführungsform der vorliegenden Erfindung zeigt.
    • 2 zeigt ein Schaubild, das entsprechende funktionale Konfigurationen eines Überwachungsservers und eines Terminals zeigt, die in dem in 1 gezeigten Überwachungssystem enthalten sind.
    • 3 zeigt ein Schaubild, das ein Beispiel der Datentabellen von durch den in 1 gezeigten Überwachungsserver und die in 1 gezeigten Terminals gespeicherten Datenbanken zeigt.
    • 4 zeigt einen Ablaufplan, der ein Beispiel für einen durch die Terminals durchgeführten Prozess gemäß der in 1 gezeigten Ausführungsform zeigt.
    • 5 zeigt einen Ablaufplan, der ein Beispiel für einen durch den Überwachungsserver durchgeführten Prozess gemäß der in 1 gezeigten Ausführungsform zeigt.
    • 6 zeigt einen Ablaufplan, der ein Beispiel für den Prozess des in 5 gezeigten Schrittes S503 zeigt.
    • 7 zeigt einen Ablaufplan, der ein weiteres Beispiel für den Prozess des in 5 gezeigten Schrittes S503 zeigt.
    • 8 zeigt einen Ablaufplan, der noch ein weiteres Beispiel für den Prozess des in 5 gezeigten Schrittes S503 zeigt.
  • Beschreibung einer Ausführungsform
  • Die vorliegende Erfindung wird mittels einer Ausführungsform beschrieben, ist jedoch nicht darauf beschränkt. 1 zeigt eine Zeichnung, die ein Überwachungssystem zum Überwachen eines unberechtigten Zugriffspunktes eines kabellosen lokalen Netzwerks (local area network (LAN)) gemäß einer Ausführungsform der vorliegenden Erfindung zeigt. Unter Bezugnahme auf 1 wird nun ein Überwachungssystem 100 beschrieben.
  • Das Überwachungssystem 100 enthält einen Überwachungsserver 110, Hubs 112a und 112b, einen Zugriffspunkt 114 und Terminals 120a, 120b, 120c und 120d. Diese Vorrichtungen sind mit einem Netzwerk 130 verbunden, das durch ein LAN aufgebaut ist.
  • Bei dem Überwachungsserver 110 handelt es sich um eine Servervorrichtung zum Überwachen eines unberechtigten kabellosen LAN-Zugriffspunktes. Der Überwachungsserver 110 sammelt über das Netzwerk 130 Funkwelleninformationen von den Terminals 120a bis 120d und überwacht, ob ein unberechtigter kabelloser LAN-Zugriffspunkt installiert ist.
  • Der Überwachungsserver 110 führt ein in einer Programmiersprache, wie beispielsweise Assembler, C, C++, Java®, JavaScript®, PERL, PHP, RUBY und PYTHON, geschriebenes Programm gemäß der vorliegenden Erfindung unter der Steuerung eines Betriebssystems (BS), wie beispielsweise der Windows®-Reihe, wozu Windows® 7, Windows Vista®, Windows XP® und Windows200X Server® zählen, Mac OS®, UNIXO und LINUXO aus.
  • Der Überwachungsserver 110 enthält einen RAM zum Bereitstellen von Ausführungsraum zum Ausführen des Programms gemäß der vorliegenden Erfindung, ein Festplattenlaufwerk (hard disk drive (HDD)) zum kontinuierlichen Speichern von Programmen, Daten oder Ähnlichem und Datenspeichereinheiten wie beispielsweise Flash-Speicher. Er realisiert durch Ausführen des Programms gemäß der vorliegenden Erfindung selbst Funktionseinheiten gemäß der vorliegenden Erfindung (später beschrieben). Die Funktionseinheiten gemäß der vorliegenden Erfindung können durch das vorgenannte durch Vorrichtungen ausführbare, in einer Programmiersprache geschriebene Programm oder Ähnliches realisiert werden. Das Programm gemäß der vorliegenden Erfindung kann in einem Format übertragen werden, das durch unterschiedliche Informationsverarbeitungsvorrichtungen über ein Netzwerk lesbar ist.
  • Bei den Terminals 120a, 120b, 120c und 120d handelt es sich um Informationsverarbeitungsvorrichtungen mit einer kabellosen Datenübertragungsfunktion. Die Terminals 120a, 120b, 120c und 120d stellen dem Überwachungsserver 110 über das Netzwerk 130 Funkwelleninformationen bereit und übertragen zudem vielfältige Typen von Funkwellen gemäß einer Anweisung vom Überwachungsserver 110. In dem in 1 gezeigten Beispiel sind die Terminals 120a und 120b über die Hubs 112a und 112b mit dem Netzwerk 130 verbunden und tauschen mit dem Überwachungsserver 110 über Kabel Daten aus. Obwohl es sich bei den in 1 gezeigten Terminals 120a, 120b, 120c und 120d um Notebook-PCs handelt, kann es sich bei ihnen um Informationsverarbeitungsvorrichtungen wie beispielsweise vielfältige Typen von Computern handeln, wozu Arbeitsplatz-PCs und Tablet-PCs und mobile Datenterminals zählen, wozu in anderen Ausführungsformen Smartphones, Mobiltelefone und PDFs zählen.
  • Die Terminals 120a, 120b, 120c und 120d führen ein in einer Programmiersprache, wie beispielsweise Assembler, C, C++, Java®, JavaScript®, PERL, PHP, RUBY und PYTHON, geschriebenes Programm gemäß der vorliegenden Erfindung unter der Steuerung eines BS, wie beispielsweise der Windows®-Reihe, wozu Windows® 7, Windows Vista®, Windows XP® und Windows200X Server® zählen, Mac OS®, UNIX®, LINUX®, Android®, Google Chrome OS, TRON und ITRON aus.
  • Die Terminals 120a, 120b, 120c und 120d enthalten jeweils einen RAM zum Bereitstellen von Ausführungsraum zum Ausführen des Programms gemäß der vorliegenden Erfindung, ein Festplattenlaufwerk (hard disk drive (HDD)) zum kontinuierlichen Speichern von Programmen, Daten und Ähnlichem und Datenspeichereinheiten wie beispielsweise Flash-Speicher. Sie realisieren durch Ausführen des Programms gemäß der vorliegenden Erfindung selbst Funktionseinheiten gemäß der vorliegenden Erfindung (später beschrieben). Die Funktionen gemäß der vorliegenden Erfindung können durch das vorgenannte durch Vorrichtungen ausführbare in einer Programmiersprache geschriebene Programm oder Ähnliches durchgeführt werden. Das Programm gemäß der vorliegenden Erfindung kann über das Netzwerk in einem Format übertragen werden, das durch andere Informationsverarbeitungsvorrichtungen lesbar ist.
  • Bei dem Zugriffspunkt 114 handelt es sich um eine Router-Vorrichtung mit einer kabellosen Datenübertragungsfunktion, wie beispielsweise einen mobilen Router, und er ist mit dem Netzwerk 130 verbunden. In dieser Ausführungsform handelt es sich bei dem Zugriffspunkt 114 um einen berechtigten Zugriffspunkt, der zum Zugreifen auf das Überwachungssystem 100 berechtigt ist. Die Terminals 120a, 120b, 120c und 120d tauschen miteinander über den Zugriffspunkt 114 kabellos Daten aus.
  • Das in 1 gezeigte Überwachungssystem enthält zudem einen Zugriffspunkt 140. Bei dem Zugriffspunkt 140 handelt es sich um einen unberechtigten Zugriffspunkt, der nicht zum Zugreifen auf das Überwachungssystem 100 berechtigt, jedoch über den Hub 112b mit dem Netzwerk 130 verbunden ist.
  • 2 zeigt die entsprechenden Funktionskonfigurationen des Überwachungsservers 110 und des Terminals 120a, die in dem in 1 gezeigten Überwachungssystem 100 enthalten sind. Unter Bezugnahme auf 2 werden nun die Funktionskonfigurationen des Überwachungsservers 110 und des Terminals 120a beschrieben. Es ist zu beachten, dass die Funktionskonfigurationen der Terminals 120a, 120b, 120c und 120d denen des Terminals 120a entsprechen und daher nicht beschrieben werden.
  • Der Überwachungsserver 110 enthält eine Zugriffspunkt (ZP)-Überwachungseinheit 200, eine Terminalinformations-Datenbank (DB) 212, eine Adressbereichsinformations-Datenbank 214 eine Informationsdatenbank berechtigter Zugriffspunkte 216 und eine Pseudo-Zugriffspunkt-Informations-Datenbank 218.
  • Die Zugriffspunkt-Überwachungseinheit 200 stellt ein Funktionsmittel zum Überwachen eines unberechtigten Zugriffspunktes dar. Sie enthält eine Terminalinformations-Registrierungseinheit 202, eine Erkennungseinheit für unberechtigte Zugriffspunkte 204, eine Pseudo-Zugriffspunkt-Angabeeinheit 206, eine Funkwellenübertragungs-Anweisungseinheit 208 und eine Pseudo-Zugriffspunkt-Informationsaktualisierungseinheit 210.
  • Die Terminalinformations-Registrierungseinheit 202 stellt ein Funktionsmittel zum Registrieren von Terminalinformationen dar, wozu von den Terminals 120a, 120b, 120c und 120d empfangene Funkwelleninformationen in der Terminalinformations-Datenbank 212 zählen. Bei Empfangen von Funkwelleninformationen von diesen Terminals über das Netzwerk 130 leitet die Terminalinformations-Registrierungseinheit 202 Terminalinformationen ab, wozu die Funkwelleninformationen zählen, und registriert die Terminalinformationen in der Terminalinformations-Datenbank 212. Die Terminalinformations-Datenbank 212 wird später unter Bezugnahme auf 3 detailliert beschrieben.
  • Die Erkennungseinheit für unberechtigte Zugriffspunkte 204 stellt ein Funktionsmittel zum Erkennen eines unberechtigten Zugriffspunktes dar. Die Erkennungseinheit für unberechtigte Zugriffspunkte 204 verwendet in der Informationsdatenbank berechtigter Zugriffspunkte 216 registrierte Informationen über unberechtigte Zugriffspunkte und in der Terminalinformations-Datenbank 212 registrierte Terminalinformationen, um zu erkennen, ob ein unberechtigter Zugriffspunkt vorhanden ist. Die Informationsdatenbank berechtigter Zugriffspunkte 216 wird später unter Bezugnahme auf 3 detailliert beschrieben.
  • Die Pseudo-Zugriffspunkt-Angabeeinheit 206 stellt ein Funktionsmittel zum Angeben eines Terminals als einen Pseudo-Zugriffspunkt dar, um kabellose Datenübertragung zu blockieren, die durch einen unberechtigten Zugriffspunkt durchgeführt wird (hierin nachstehend als „Pseudo-Zugriffspunkt“ bezeichnet). Die Pseudo-Zugriffspunkt-Angabeeinheit 206 schlägt in der Terminalinformations-Datenbank 212 nach, um ein Terminal zu ermitteln, das zum Blockieren von durch einen unberechtigten Zugriffspunkt durchgeführter kabelloser Datenübertragung geeignet ist und das dem unberechtigten Zugriffspunkt benachbart ist, und gibt das Terminal als einen Pseudo-Zugriffspunkt an.
  • Die Pseudo-Zugriffspunkt-Angabeeinheit 206 schlägt in der Terminalinformations-Datenbank 212 nach und teilt dem Administrator des Überwachungssystems 100 Informationen (Terminalname, MAC-Adresse, Positionsinformationen usw.) zum Identifizieren des als ein Pseudo-Zugriffspunkt angegebenen Terminals mit, indem zum Beispiel die Informationen auf der Anzeigevorrichtung des Überwachungsservers 110 angezeigt werden. Alternativ dazu kann die Pseudo-Zugriffspunkt-Angabeeinheit 206 den Administrator durch Übermitteln der Informationen an eine zuvor festgelegte eMail-Adresse benachrichtigen.
  • Die Funkwellenübertragungs-Anweisungseinheit 208 stellt ein Funktionsmittel zum Übermitteln einer Funkwellenübertragungs-Anweisung an das durch die Pseudo-Zugriffspunkt-Angabeeinheit 206 angegebene Terminal bereit. Die Funkwellenübertragungs-Anweisungseinheit 208 überträgt die Funkwellenübertragungs-Anweisung an das als ein Pseudo-Zugriffspunkt angegebene Terminal, um das Terminal zu veranlassen, Funkwellen zu übertragen.
  • Die Pseudo-Zugriffspunkt-Informationsaktualisierungseinheit 210 stellt ein Funktionsmittel für das Registrieren von Informationen zum Identifizieren des Terminals, das als ein Pseudo-Zugriffspunkt angegeben ist und an das die Funkwellenübertragungs-Anweisungseinheit 208 die Funkwellenübertragungs-Anweisung sowie Informationen zur Position des Terminal enthaltende Pseudo-Zugriffspunkt-Informationen übermittelt hat, in der Pseudo-Zugriffspunkt-Informations-Datenbank 218 dar. Die Pseudo-Zugriffspunkt-Informations-Datenbank 218 wird später unter Bezugnahme auf 3 detailliert beschrieben.
  • Das Terminal 120a enthält einen Softwareagenten 220, eine Steuereinheit für Adapter für kabelloses LAN 228, einen Adapter für kabelloses LAN 230 und eine Funkwelleninformations-Datenbank 232.
  • Bei dem Softwareagenten 220 handelt es sich um ein Programm, das auf dem Terminal 120a installierbar ist, und er enthält eine Funkwelleninformations-Beschaffungseinheit 222, eine Funkwelleninformations-Übertragungseinheit 224 und eine Funkwellen-Übertragungseinheit 226. Der Softwareagent 220 kann als ein Programm realisiert sein, das immer startet, wenn das Terminal 120a startet, oder es kann als ein Programm realisiert sein, das einer Startanweisung vom Benutzer zufolge startet.
  • Die Funkwelleninformations-Beschaffungseinheit 222 stellt ein Funktionsmittel zum Beschaffen von durch die Steuereinheit für Adapter für kabelloses LAN 228 erkannten Funkwelleninformationen dar. Die Funkwelleninformations-Beschaffungseinheit 222 beschafft über die Steuereinheit für Adapter für kabelloses LAN 228 periodisch Funkwelleninformationen vom Adapter für kabelloses LAN 230 und registriert die Funkwelleninformationen in der Funkwelleninformations-Datenbank 232. Die Funkwelleninformations-Datenbank 232 wird später unter Bezugnahme auf 3 detailliert beschrieben.
  • Die Funkwelleninformations-Übertragungseinheit 224 stellt ein Funktionsmittel zum Übertragen von Funkwelleninformationen an den Überwachungsserver 110 dar. Die Funkwelleninformations-Übertragungseinheit 224 beschafft periodisch Funkwelleninformationen von der Funkwelleninformations-Datenbank 232 und überträgt die Funkwelleninformationen an den Überwachungsserver 110.
  • Die Funkwellen-Übertragungseinheit 226 stellt ein Funktionsmittel dar, um den Adapter für kabelloses LAN 230 zu veranlassen, Funkwellen zum Blockieren von durch einen unberechtigten Zugriffspunkt durchgeführter kabelloser Datenübertragung zu übertragen. Bei Empfangen einer Funkwellenübertragungs-Anweisung vom Überwachungsserver 110 schlägt die Funkwellen-Übertragungseinheit 226 in der Funkwelleninformations-Datenbank 232 registrierte Funkwelleninformationen nach, ermittelt zum Blockieren von durch einen unberechtigten Zugriffspunkt durchgeführter kabelloser Datenübertragung geeignete Funkwellen und veranlasst den Adapter für kabelloses LAN 230, die Funkwellen über die Steuereinheit für Adapter für kabelloses LAN 228 zu übertragen. Die Funkwellen-Übertragungseinheit 226 überträgt zudem Funkwellen, die Informationen zum Identifizieren der Terminals 120a, 120b, 120c und 120d sowie Protokollinformationen enthalten. Die Funkwellen-Übertragungseinheit 226 schlägt periodisch in der Funkwelleninformations-Datenbank 232 nach und veranlasst den Adapter für kabelloses LAN 230, Funkwellen zu übertragen, bis die Funkwelleninformationen von dem unberechtigten Zugriffspunkt verschwinden.
  • Wenn zum Beispiel ein unberechtigter Zugriffspunkt IEEE802.11 b/g als ein Datenübertragungsprotokoll für kabelloses LAN verwendet, kann die Funkwellen-Übertragungseinheit 226 in der Funkwelleninformations-Datenbank 232 registrierte Funkwelleninformationen nachschlagen, einen durch den Zugriffspunkt verwendeten Kanal identifizieren und den Adapter für kabelloses LAN 230 veranlassen, Funkwellen im selben Frequenzband wie demjenigen zu übertragen, das dem Kanal zugewiesen ist.
  • Wenn sich ein durch einen unberechtigten Zugriffspunkt verwendeter Kanal mit der Zeit ändert, kann die Funkwellen-Übertragungseinheit 226 in der Funkwelleninformations-Datenbank 232 registrierte Funkwelleninformationen nachschlagen, den durch den unberechtigten Zugriffspunkt verwendeten geänderten Kanal identifizieren und den Adapter für kabelloses LAN 230 veranlassen, Funkwellen im selben Frequenzband wie demjenigen zu übertragen, das dem Kanal zugewiesen ist.
  • Weiterhin kann die Funkwellen-Übertragungseinheit 226 in der Funkwelleninformations-Datenbank 232 registrierte Funkwelleninformationen nachschlagen, den durch einen unberechtigten Zugriffspunkt verwendeten Kanal identifizieren und den Adapter für kabelloses LAN 230 veranlassen, Funkwellen im selben Frequenzband wie dem allen Kanälen von IEEE802.11 b/g einschließlich des Kanals zugewiesenen zu übertragen.
  • In einer weiteren Ausführungsform kann die Funkwellen-Übertragungseinheit 226 durch einen unberechtigten Zugriffspunkt durchgeführte kabellose Datenübertragung blockieren, indem ein DoS(denial of service)-Angriff gegen den unberechtigten Zugriffspunkt geführt wird, indem kontinuierlich Zugriffsanfragen an den unberechtigten Zugriffspunkt übertragen werden.
  • Wenn ein durch einen unberechtigten Zugriffspunkt übertragenes Paket verschlüsselt ist, kann die Funkwellen-Übertragungseinheit 226 durch den unberechtigten Zugriffspunkt durchgeführte kabellose Datenübertragung blockieren, indem das Paket entschlüsselt und ein Pseudo-Paket an den unberechtigten Zugriffspunkt übertragen wird. In diesem Fall kann die Funkwellen-Übertragungseinheit 226 Informationen zum entschlüsselten Paket in der Form eines Protokolls, Aufzeichnungen (journal) oder Ähnlichem führen.
  • Die Steuereinheit für Adapter für kabelloses LAN 228 stellt ein Funktionsmittel zum Steuern des Adapters für kabelloses LAN 230 dar. Die Steuereinheit für Adapter für kabelloses LAN 228 steuert den Adapter für kabelloses LAN 230 gemäß einer Anweisung vom Programm höherer Ordnung, dem Softwareagenten 220. Die Steuereinheit für Adapter für kabelloses LAN 228 stellt zudem Informationen zu durch den Adapter für kabelloses LAN 230 erkannten Funkwellen gemäß einer Anweisung vom Softwareagenten 220 bereit.
  • Bei dem Adapter für kabelloses LAN 230 handelt es sich um eine Vorrichtung, die eine Antenne enthält, die in der Lage ist, Funkwellen zu übertragen und zu empfangen, und die kabellose LAN-Datenübertragung durchführt. Der Adapter für kabelloses LAN 230 erkennt durch einen Zugriffspunkt in der Umgebung übertragene Funkwellen, führt eine A/D-Umwandlung der Funkwellen durch und überträgt die sich ergebenden Funkwellen an die Steuereinheit für Adapter für kabelloses LAN 228. Der Adapter für kabelloses LAN 230 überträgt auch Funkwellen in einem angegebenen Frequenzband oder überträgt ein bestimmtes Paket unter der Steuerung der Steuereinheit für Adapter für kabelloses LAN 228.
  • 3 zeigt ein Schaubild, das ein Beispiel für die Datentabellen von Datenbanken zeigt, die durch den Überwachungsserver 110 und die Terminals 120a, 120b, 120c und 120d gespeichert werden. Unter Bezugnahme auf 3 werden nun diese Datentabellen beschrieben.
  • Bei einer IP-Adressbereichs-Informationstabelle 310 handelt es sich um die durch den Überwachungsserver 110 gespeicherte Datentabelle der Adressbereichsinformations-Datenbank 214. Ein IP-Adressbereich 312 und Positionsinformationen 314 sind in einer zugeordneten Weise in der IP-Adressbereichs-Informationstabelle 310 gespeichert. Diese Informationen werden durch den Administrator des Überwachungssystems 100 zuvor festgelegt.
  • Bei dem IP-Adressbereich 312 handelt es sich um den Bereich von IP-Adressen, der den Terminals 120a, 120b, 120c und 120d zugewiesen ist. Wenn in dieser Ausführungsform der Benutzer die Terminals 120a, 120b, 120c und 120d mit dem Netzwerk 130 verbindet, weist ein im Überwachungssystem 100 enthaltener DHCP(dynamic host configuration protocol)-Server diesen Terminals IP-Adressen im IP-Adressbereich 312 zu.
  • Wenn in einer weiteren Ausführungsform der Benutzer die Terminals120a, 120b, 120c und 120d mit dem Netzwerk 130 verbindet, kann der Benutzer IP-Adressen im IP-Adressbereich 312 manuell angeben.
  • Bei den Positionsinformationen 314 handelt es sich um Informationen, welche die Positionen angeben, an denen die Terminals 120a, 120b, 120c und 120d mit den zugewiesenen IP-Adressen mit dem Netzwerk 130 verbunden sind. Die Positionsinformationen 314 können zu jedem der durch den IP-Adressbereich 312 angezeigten IP-Adressbereiche festgelegt werden.
  • In einem in 3 gezeigten Beispiel sind „192.168.1.0/24“ und „192.168.2.0/24“ als Beispiele für den IP-Adressbereich registriert und „Tokyo/Bldg.1/16F/East“ sowie „Tokyo/Bldg.1/16F/West“ im Hinblick auf diese IP-Adressbereiche in einer zugeordneten Weise registriert. Das bedeutet, die IP-Adressbereichs-Informationstabelle 310 zeigt, dass sich ein Terminal, dem eine IP-Adresse im IP-Adressbereich „192.168.1.0/24“ zugewiesen ist, am Standort „Tokyo/Bldg.1/16F/East“ (Tokio/Geb.1/16F/Ost) befindet, und dass sich ein Terminal, dem eine IP-Adresse im IP-Adressbereich „192.168.2.0/24“ zugewiesen ist, am Standort „Tokyo/Bldg.1/16F/West“ (Tokio/Geb.1/16F/West) befindet.
  • Bei der Informationstabelle berechtigter Zugriffspunkte 320 handelt es sich um die durch den Überwachungsserver 110 gespeicherte Datentabelle der Informationsdatenbank berechtigter Zugriffspunkte 216. Ein Terminalname und Terminal-Identifikationsinformationen 322 und Pseudo-Zugriffspunkt-Identifikationsinformationen 324 sind in einer zugeordneten Weise in der Informationstabelle berechtigter Zugriffspunkte 320 registriert. Diese Informationen werden durch den Administrator des Überwachungssystems 100 zuvor festgelegt.
  • Bei dem Terminalnamen und den Terminal-Identifikationsinformationen 322 handelt es sich um den Namen eines Terminals das als ein Pseudo-Zugriffspunkt angegeben werden kann, und um Informationen zum Identifizieren des Terminals. Bei einem Terminalnamen handelt es sich um einen beliebigen Namen, der durch den Administrator festgelegt werden kann. Bei Terminal-Identifikationsinformationen handelt es sich um Informationen, durch die ein Terminal eindeutig identifiziert werden kann. In dieser Ausführungsform wird ein für eine durch ein Terminal verwendete Ethernet®-Karte eindeutiger Name, eine MAC(media access control)-Adresse, als Terminal-Identifikationsinformationen verwendet.
  • Bei den Pseudo-Zugriffspunkt-Identifikationsinformationen 324 handelt es sich um Informationen zum Identifizieren eines Pseudo-Zugriffspunktes im Überwachungssystem 100. Wenn die Terminals 120a, 120b, 120c und 120d als Pseudo-Zugriffspunkte angegeben sind, handelt es sich bei den Pseudo-Zugriffspunkt-Identifikationsinformationen 324 um Informationen zum Identifizieren der Terminals 120a, 120b, 120c und 120d, die als Pseudo-Zugriffspunkte dienen. In dieser Ausführungsform wird eine Service-Satz-Kennung (service set identifier (SSID)), für welche beliebige alphanumerische Zeichen festgelegt werden können, als Informationen zum Identifizieren eines Pseudo-Zugriffspunktes verwendet.
  • Bei einer Funkwelleninformations-Tabelle 330 handelt es sich um die durch die Terminals 120a, 120b, 120c und 120c gespeicherte Datentabelle der Funkwelleninformations-Datenbank 232. Die Terminal-Identifikationsinformationen 332, die aus durch die Terminals 120a, 120b, 120c und 120d erkannten Funkwellen abgeleitete Funkintensität 334 sowie Protokollinformationen 336 werden in einer zugeordnete Weise in der Funkwelleninformations-Tabelle 330 gespeichert.
  • Bei den Terminal-Identifikationsinformationen 332 handelt es sich um Terminal-Identifikationsinformationen, die aus Funkwellen abgeleitet sind, die durch den berechtigten Zugriffspunkt 114, wie beispielsweise eine Router-Vorrichtung mit einer kabellosen Datenübertragungsfunktion, durch die Terminals 120a, 120b, 120c und 120d, sowie durch den unberechtigten Zugriffspunkt 140 übertragen werden. In dieser Ausführungsform werden die MAC-Adressen dieser Zugriffspunkte als Terminal-Identifikationsinformationen 332 verwendet.
  • Bei der Funkintensität 334 handelt sich um die Intensität von durch einen Zugriffspunkt übertragenen Funkwellen, und sie stellt das Verhältnis tatsächlicher Funkintensität relativ zur maximalen Funkintensität dar, welche die Terminals 120a, 120b, 120c und 120d erfassen können. Obwohl die Funkintensität in dieser Ausführungsform durch eine Prozentzahl dargestellt ist, kann sie in anderen Ausführungsformen durch andere numerische Werte (z.B. 0 ≤ Funkintensität ≤1, usw.) dargestellt werden.
  • Bei den Protokollinformationen 336 handelt es sich um Informationen über ein durch einen Zugriffspunkt verwendetes Datenübertragungsprotokoll. Die Protokollinformationen 336 enthalten Informationen zum Identifizieren eines Zugriffspunktes und Informationen, die den Typ eines durch den Zugriffspunkt verwendeten Datenübertragungsprotokolls angeben. Ein in 3 gezeigtes Beispiel zeigt, dass eine SSID als Information zum Identifizieren eines Zugriffspunktes verwendet wird und dass ein Zugriffspunkt, für den „IBM3“ als eine SSID festgelegt ist, einen Kanal „1“ des Datenübertragungsprotokolls „IEEE802.11 g“ verwendet. Dieses Beispiel zeigt zudem, dass ein Zugriffspunkt, für den „BAD“ als eine SSID festgelegt ist, den Kanal „6“ des Datenübertragungsprotokolls „IEEE802.11g“ verwendet.
  • Bei einer Terminalinformationstabelle 340 handelt es sich um die durch den Überwachungsserver 110 gespeicherte Datentabelle der Terminalinformations-Datenbank 212. Der Überwachungsserver 110 leitet Terminalinformationen durch Nachschlagen in der Adressbereichsinformations-Datenbank 214 und der Informationsdatenbank berechtigter Zugriffspunkte 216 und unter Verwendung von Funkwelleninformationen ab, die von den Terminals 120a, 120b, 120c und 120d empfangen wurden. Derartige Terminalinformationen sind in der Terminalinformations-Tabelle 340 registriert. Der Terminalname und die Terminal-Identifikationsinformationen 342, Positionsinformationen 344, Funkwelleninformationen 346 und eine Funkwelleninformations-Messzeit 348 sind in einer zugeordneten Weise in der Terminalinformations-Tabelle 340 registriert.
  • Bei dem Terminalnamen und den Terminal-Identifikationsinformationen 342 handelt es sich um den Namen eines Terminals, das Funkwelleninformationen übertragen hat, und um Informationen zum Identifizieren des Terminals. Die Informationen zum Identifizieren des Terminals werden den Funkwelleninformationen als Metadaten hinzugefügt. Beim Terminalnamen handelt es sich um einen Terminalnamen, der den Informationen zum Identifizieren des Terminals entspricht, und der Überwachungsserver 110 ermittelt ihn durch Nachschlagen in der Informationsdatenbank berechtigter Zugriffspunkte 216.
  • Bei den Positionsinformationen 344 handelt es sich um Informationen, welche die Positionen angeben, an denen das durch den Terminalnamen und die Terminal-Identifikationsinformationen 342 angegebene Terminal mit dem Netzwerk 130 verbunden ist. Der Überwachungsserver 110 ermittelt die Positionsinformationen 344 durch Nachschlagen in der Adressbereichsinformations-Datenbank 214 und Verwenden der IP-Adresse des Terminals, welche die Metadaten der Funkwelleninformationen.
  • Bei den Funkwelleninformationen 346 handelt es sich um Funkwelleninformationen, die durch ein Terminal übertragen werden, das durch den Terminalnamen und die Terminal-Identifikationsinformationen 342 angegeben wird. Terminal-Identifikationsinformationen eines Zugriffspunktes, der Funkwellen übertragen hat, die durch das Terminal erkannt wurden, das die Funkwelleninformationen, Funkintensität und Protokollinformationen übertragen hat, sind in den Funkwelleninformationen 346 registriert. Bei der Funkwelleninformations-Messzeit 348 handelt es sich um die Zeit, zu welcher der Überwachungsserver 110 die Funkwelleninformationen empfängt.
  • Bei der Pseudo-Zugriffspunkt-Informations-Tabelle 350 handelt es sich um die Datentabelle der durch den Überwachungsserver 110 gespeicherten Pseudo-Zugriffspunkt-Informations-Datenbank 218. Ein Terminalname und Terminal-Identifikationsinformationen 352 eines als Pseudo-Zugriffspunkt angegebenen Terminals sowie Positionsinformationen 354 des Terminals sind in einer zugeordneten Weise in der Pseudo-Zugriffspunkt-Informations-Tabelle 350 registriert.
  • 4 zeigt einen Ablaufplan, der ein Beispiel für einen durch das Terminal durchgeführten Prozess gemäß der in 1 gezeigten Ausführungsform zeigt. Unter Bezugnahme auf 4 wird ein durch das Terminal 120a durchgeführter Prozess beschrieben.
  • Der Prozess von 4 startet in Schritt S400. In Schritt S401 ermittelt die Funkwelleninformations-Beschaffungseinheit 222 des Softwareagenten 220 des Terminals 120a, ob sie Funkwellen von einem benachbarten Zugriffspunkt erkannt hat. Wenn sie keine Funkwellen erkannt hat (NEIN), wiederholt sie den Prozess von Schritt S401. Wenn sie hingegen Funkwellen erkannt hat (JA), fährt sie mit Schritt S402 fort.
  • In Schritt S402 speichert die Funkwelleninformations-Beschaffungseinheit 222 in den erkannten Funkwellen enthaltene Funkwelleninformationen in der Funkwelleninformations-Datenbank 232. In Schritt S403 überträgt die Funkwelleninformations-Übertragungseinheit 224 die in der Funkwelleninformations-Datenbank 232 gespeicherten Funkwelleninformationen an den Überwachungsserver 110.
  • In Schritt S404 ermittelt der Softwareagent 220, ob die Standby-Zeit abgelaufen ist. Wenn die Standby-Zeit nicht abgelaufen ist (NEIN), wiederholt er den Prozess von Schritt S404. Wenn die Standby-Zeit hingegen abgelaufen ist (JA), kehrt er zu Schritt S401 zurück und führt den vorgenannten Prozess erneut durch. In dieser Ausführungsform kann eine beliebige Zeit als Standby-Zeit festgelegt werden.
  • 5 zeigt einen Ablaufplan, der ein Beispiel für einen durch den Überwachungsserver durchgeführten Prozesses gemäß der in 1 gezeigten Ausführungsform zeigt. Unter Bezugnahme auf 5 wird der durch den Überwachungsserver 110 durchgeführte Prozess beschrieben.
  • Der Prozess von 5 startet in Schritt S500, in dem der Überwachungsserver 110 Funkwelleninformationen von den Terminals 120a, 120b, 120c und 120d empfängt. In Schritt S501 schlägt die Terminalinformations-Registrierungseinheit 202 der Zugriffspunkt-Überwachungseinheit 200 in der Adressbereichsinformations-Datenbank 214 und der Informationsdatenbank berechtigter Zugriffspunkte 216 nach, leitet unter Verwendung der empfangenen Funkwelleninformationen und Metadaten davon Terminalinformationen ab und registriert die Terminalinformationen in der Terminalinformations-Datenbank 212.
  • In Schritt S502 schlägt die Erkennungseinheit für unberechtigte Zugriffspunkte 204 in der Terminalinformations-Datenbank 212 und der Informationsdatenbank berechtigter Zugriffspunkte 216 nach und ermittelt, ob in der Terminalinformations-Datenbank 212 registrierte Funkwelleninformationen Informationen zum Identifizieren eines unberechtigten Zugriffspunktes enthalten. Somit ermittelt sie, ob ein unberechtigter Zugriffspunkt vorhanden ist. Wenn kein unberechtigter Zugriffspunkt vorhanden ist (NEIN), wird der Prozess mit Schritt S505 fortgesetzt und endet. Wenn hingegen ein unberechtigter Zugriffspunkt vorhanden ist (JA), wird der Prozess mit Schritt S503 fortgesetzt.
  • In Schritt S503 gibt die Pseudo-Zugriffspunkt-Angabeeinheit 206 ein Terminal als einen Pseudo-Zugriffspunkt an. In Schritt S504 überträgt die Funkwellenübertragungs-Anweisungseinheit 208 eine Funkwellenübertragungs-Anweisung an das in Schritt S503 als ein Pseudo-Zugriffspunkt angegebene Terminal. Der Prozess endet in Schritt S505.
  • 6 zeigt einen Ablaufplan, der ein Beispiel für den Prozess des in 5 gezeigten Schrittes S503 zeigt.
  • Der in 6 gezeigte Prozess startet in Schritt S600. In Schritt S601 schlägt die Pseudo-Zugriffspunkt-Angabeeinheit 206 in der Terminalinformations-Datenbank 212 nach und sortiert Terminalinformationen in absteigender Reihenfolge der Funkintensität eines unberechtigten Zugriffspunktes. In Schritt S602 gibt die Pseudo-Zugriffspunkt-Angabeeinheit 206 als einen Pseudo-Zugriffspunkt ein Terminal an, das vom unberechtigten Zugriffspunkt Funkwellen mit einer Intensität empfangen hat, die nicht geringer ist als eine zuvor festgelegte Funkintensität. Der Prozess endet dann in Schritt S603. In dieser Ausführungsform kann als zuvor festgelegte Funkintensität jede beliebige Stärke der Funkintensität festgelegt werden, die zum Blockieren von durch einen unberechtigten Zugriffspunkt durchgeführter kabelloser Datenübertragung geeignet ist
  • 7 zeigt einen Ablaufplan, der ein weiteres Beispiel für den Prozess des in 5 gezeigten Schrittes S503 zeigt.
  • Der in 7 gezeigte Prozess startet in Schritt S700. In Schritt S701 schlägt die Pseudo-Zugriffspunkt-Angabeeinheit 206 in der Terminalinformations-Datenbank 212 nach und sortiert Terminalinformationen in absteigender Reihenfolge der Funkintensität eines unberechtigten Zugriffspunktes. In Schritt S702 gibt die Pseudo-Zugriffspunkt-Angabeeinheit 206 als einen Pseudo-Zugriffspunkt ein Terminal an, das vom unberechtigten Zugriffspunkt Funkwellen mit der höchsten Intensität empfangen hat. Der Prozess endet dann in Schritt S703.
  • 8 zeigt einen Ablaufplan, der noch ein weiteres Beispiel für den Prozess des in 5 gezeigten Schrittes S503 zeigt. In diesem Beispiel enthält der Überwachungsserver 110 eine Datenverkehrs-Überwachungseinheit zum Überwachen von Datenverkehr auf dem Netzwerk 130 und beschafft Datenverkehrsinformationen, wozu die Menge an durch die Terminals 120a, 120b, 120c und 120d erzeugtem Datenverkehr und Informationen zum Identifizieren der Terminals zählen.
  • Der in 8 gezeigte Prozess startet in Schritt S800. In Schritt S801 schlägt die Pseudo-Zugriffspunkt-Angabeeinheit 206 in der Terminalinformations-Datenbank 212 nach und sortiert Terminalinformationen in absteigender Reihenfolge der Funkintensität eines unberechtigten Zugriffspunktes. In Schritt S802 überwacht die Datenverkehrs-Überwachungseinheit Datenverkehr auf dem Netzwerk 130 und beschafft Datenverkehrsinformationen. In Schritt S803 gibt die Pseudo-Zugriffspunkt-Angabeeinheit 206 ein Terminal an, gibt als einen Pseudo-Zugriffspunkt ein Terminal an, das vom unberechtigten Zugriffspunkt Funkwellen mit einer Intensität empfangen hat, die nicht geringer ist als eine zuvor festgelegte Funkintensität, und das keinen Datenverkehr auf dem Netzwerk erzeugt hat. Der Prozess endet dann in Schritt S804. In dieser Ausführungsform kann als zuvor festgelegte Funkintensität jede beliebige Stärke der Funkintensität festgelegt werden, die zum Blockieren von durch einen unberechtigten Zugriffspunkt durchgeführter kabelloser Datenübertragung geeignet ist
  • In diesem Beispiel wird ein Terminal, das keinen Datenverkehr auf dem Netzwerk 130 erzeugt hat, selektiv als ein Pseudo-Zugriffspunkt angegeben. Somit wird verhindert, dass ein Terminal, das nicht per Kabel mit dem Netzwerk verbunden ist, aber kabellose LAN-Datenübertragung durchführt, als ein Pseudo-Zugriffspunkt angegeben wird. Als ein Ergebnis kann die durch einen unberechtigten Zugriffspunkt durchgeführte kabellose Datenübertragung blockiert werden, ohne die durch das Terminal durchgeführte kabellose Datenübertragung zu blockieren.
  • Obwohl die Ausführungsform beschrieben wurde, ist die vorliegende Erfindung nicht darauf beschränkt. Änderungen, zu denen auch ein Ändern oder Entfernen irgendwelcher Funktionsmittel der Ausführungsform und Hinzufügen eines weiteren Funktionsmittels zählen, können daran vorgenommen werden, ohne vom für den Fachmann vorstellbaren Umfang abzuweichen. Jede Ausführungsform fällt unter den Umfang der vorliegenden Erfindung, so lange die Ausführungsform Funktionen und Vorteile der Erfindung besitzt.
  • Liste der Bezugszeichen
    • 100
    Überwachungssystem
    110
    Überwachungsserver
    112a, 112b
    Hub
    114
    Zugriffspunkt
    120a, 120b, 120c, 120d
    Terminal
    130
    Netzwerk
    140
    Zugriffspunkt

Claims (8)

  1. Überwachungssystem, aufweisend: einen Überwachungsserver, der einen unberechtigten Zugriffspunkt überwacht; und eine Vielzahl von mit dem Überwachungsserver über eine Netzwerk verbundene Terminals; wobei jedes der Terminals aufweist: eine Funkwelleninformations-Beschaffungseinheit, die Funkwelleninformationen aus durch einen Zugriffspunkt übertragenen Funkwellen beschafft; eine Funkwelleninformations-Übertragungseinheit, welche die Funkwelleninformationen an den Überwachungsserver überträgt; und eine Funkwellen-Übertragungseinheit, die Funkwellen gemäß einer Anweisung vom Überwachungsserver überträgt, und wobei der Überwachungsserver aufweist: eine Terminalinformations-Registrierungseinheit, die Terminalinformationen in einer Datenbank registriert, wobei die Terminalinformationen die von den Terminals empfangenen Funkwelleninformationen enthalten; eine Erkennungseinheit für unberechtigte Zugriffspunkte, die einen unberechtigten Zugriffspunkt unter Verwendung der Terminalinformationen erkennt; eine Pseudo-Zugriffspunkt-Angabeeinheit, die ein Terminal unter Verwendung einer Intensität von durch den unberechtigten Zugriffspunkt übertragenen Funkwellen als einen Pseudo-Zugriffspunkt angibt; eine Funkwellenübertragungs-Anweisungseinheit, die das als einen Pseudo-Zugriffspunkt angegebene Terminal anweist, Funkwellen zu übertragen; und eine Datenverkehrs-Überwachungseinheit, die Datenverkehr auf dem Netzwerk überwacht, wobei die Pseudo-Zugriffspunkt-Angabeeinheit als einen Pseudo-Zugriffspunkt ein Terminal angibt, das vom unberechtigten Zugriffspunkt Funkwellen mit einer Intensität empfangen hat, die nicht geringer ist als eine zuvor festgelegte Intensität, und das keinen Datenverkehr auf dem Netzwerk erzeugt hat.
  2. Überwachungssystem nach Anspruch 1, wobei die Pseudo-Zugriffspunkt-Angabeeinheit als einen Pseudo-Zugriffspunkt ein Terminal angibt, das Funkwellen mit der höchsten Intensität vom unberechtigten Zugriffspunkt empfangen hat.
  3. Überwachungsserver zum Überwachen eines unberechtigten Zugriffspunktes, aufweisend: eine Terminalinformations-Registrierungseinheit, die Terminalinformationen in einer Datenbank registriert, wobei die Terminalinformationen von einer Vielzahl von Terminals empfangene Funkwelleninformationen enthalten, wobei die Terminals mit dem Überwachungsserver über ein Netzwerk verbunden sind; eine Erkennungseinheit für unberechtigte Zugriffspunkte, die einen unberechtigten Zugriffspunkt unter Verwendung der Terminalinformationen erkennt; eine Pseudo-Zugriffspunkt-Angabeeinheit, die ein Terminal unter Verwendung einer Intensität von durch den unberechtigten Zugriffspunkt übertragenen Funkwellen als einen Pseudo-Zugriffspunkt angibt; eine Funkwellenübertragungs-Anweisungseinheit, die das als einen Pseudo-Zugriffspunkt angegebene Terminal anweist, Funkwellen zu übertragen; und eine Datenverkehrs-Überwachungseinheit, die Datenverkehr auf dem Netzwerk überwacht, wobei die Pseudo-Zugriffspunkt-Angabeeinheit als einen Pseudo-Zugriffspunkt ein Terminal angibt, das vom unberechtigten Zugriffspunkt Funkwellen mit einer Intensität empfangen hat, die nicht geringer ist als eine zuvor festgelegte Intensität, und das keinen Datenverkehr auf dem Netzwerk erzeugt hat.
  4. Überwachungsserver nach Anspruch 3, wobei die Pseudo-Zugriffspunkt-Angabeeinheit als einen Pseudo-Zugriffspunkt ein Terminal angibt, das vom unberechtigten Zugriffspunkt Funkwellen mit der höchsten Intensität empfangen hat.
  5. Durch einen Überwachungsserver zum Überwachen eines unberechtigten Zugriffspunktes durchgeführtes Verfahren, wobei das Verfahren die Schritte aufweist eines: Registrierens von Terminalinformationen in einer Datenbank, wobei die Terminalinformationen von einer Vielzahl von Terminals empfangene Funkwelleninformationen enthalten, und die Terminals über ein Netzwerk mit dem Überwachungsserver verbunden sind; Erkennens eines unberechtigten Zugriffspunktes unter Verwendung der Terminalinformationen; Angebens eines Terminals als einen Pseudo-Zugriffspunkt unter Verwendung einer Intensität von durch den unberechtigten Zugriffspunkt übertragenen Funkwellen; Anweisens des als einen Pseudo-Zugriffspunkt angegebenen Terminals, Funkwellen zu übertragen; und Überwachens von Datenverkehr auf dem Netzwerk, wobei der Schritt des Angebens eines Terminals als einen Pseudo-Zugriffspunkt den Schritt aufweist eines Angebens eines Terminals als einen Pseudo-Zugriffspunkt, das vom unberechtigten Zugriffspunkt Funkwellen mit einer Intensität empfangen hat, die nicht geringer ist als eine zuvor festgelegte Intensität, und das keinen Datenverkehr auf dem Netzwerk erzeugt hat.
  6. Verfahren nach Anspruch 5, wobei der Schritt des Angebens eines Terminals als einen Pseudo-Zugriffspunkt den Schritt aufweist eines Angebens eines Terminals als einen Pseudo-Zugriffspunkt, das vom unberechtigten Zugriffspunkt Funkwellen mit der höchsten Intensität empfangen hat.
  7. Durch eine Vorrichtung ausführbares Programm, um einen Überwachungsserver zum Überwachen eines unberechtigten Zugriffspunktes zu veranlassen, ein Verfahren durchzuführen, das die Schritte aufweist eines: Registrierens von Terminalinformationen in einer Datenbank, wobei die Terminalinformationen von einer Vielzahl von Terminals empfangene Funkwelleninformationen enthalten, und die Terminals über ein Netzwerk mit dem Überwachungsserver verbunden sind; Erkennens eines unberechtigten Zugriffspunktes unter Verwendung der Terminalinformationen; Angebens eines Terminals als einen Pseudo-Zugriffspunkt unter Verwendung einer Intensität von durch den unberechtigten Zugriffspunkt übertragenen Funkwellen; und Anweisens des als einen Pseudo-Zugriffspunkt angegebenen Terminals, Funkwellen zu übertragen; und Überwachens von Datenverkehr auf dem Netzwerk, wobei der Schritt des Angebens eines Terminals als einen Pseudo-Zugriffspunkt den Schritt aufweist eines Angebens eines Terminals als einen Pseudo-Zugriffspunkt, das vom unberechtigten Zugriffspunkt Funkwellen mit einer Intensität empfangen hat, die nicht geringer ist als eine zuvor festgelegte Intensität, und das keinen Datenverkehr auf dem Netzwerk erzeugt hat.
  8. Überwachungsserver zum Überwachen eines unberechtigten Zugriffspunktes, aufweisend: eine Terminalinformations-Registrierungseinheit, die Terminalinformationen in einer Datenbank registriert, wobei die Terminalinformationen von einem Terminal empfangene Funkwelleninformationen enthalten; eine Erkennungseinheit für unberechtigte Zugriffspunkte, die einen unberechtigten Zugriffspunkt unter Verwendung der Terminalinformationen erkennt; eine Pseudo-Zugriffspunkt-Angabeeinheit, die ein Terminal unter Verwendung einer Intensität von durch den unberechtigten Zugriffspunkt übertragenen Funkwellen als einen Pseudo-Zugriffspunkt angibt; eine Funkwellenübertragungs-Anweisungseinheit, die das als einen Pseudo-Zugriffspunkt angegebene Terminal anweist, Funkwellen zu übertragen; und eine Datenverkehrs-Überwachungseinheit, die Datenverkehr auf einem Netzwerk überwacht, wobei die Pseudo-Zugriffspunkt-Angabeeinheit ein Terminal als einen Pseudo-Zugriffspunkt angibt, das vom unberechtigten Zugriffspunkt Funkwellen mit einer Intensität empfangen hat, die nicht geringer ist als eine zuvor festgelegte Intensität, und das keinen Datenverkehr auf dem Netzwerk erzeugt hat.
DE112012003770.7T 2011-09-30 2012-07-06 Überwachungssystem, Überwachungsserver, Verfahren und Programm zum Überwachen eines unberechtigten Zugriffspunktes Active DE112012003770B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2011215996 2011-09-30
JP2011-215996 2011-09-30
PCT/JP2012/067300 WO2013046849A1 (ja) 2011-09-30 2012-07-06 不正なアクセスポイントを監視する監視システム、監視サーバ、方法およびプログラム

Publications (2)

Publication Number Publication Date
DE112012003770T5 DE112012003770T5 (de) 2014-06-18
DE112012003770B4 true DE112012003770B4 (de) 2023-11-09

Family

ID=47994907

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112012003770.7T Active DE112012003770B4 (de) 2011-09-30 2012-07-06 Überwachungssystem, Überwachungsserver, Verfahren und Programm zum Überwachen eines unberechtigten Zugriffspunktes

Country Status (6)

Country Link
US (2) US9374711B2 (de)
JP (1) JP5576568B2 (de)
CN (1) CN103843380B (de)
DE (1) DE112012003770B4 (de)
GB (1) GB2509454B (de)
WO (1) WO2013046849A1 (de)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2509454B (en) 2011-09-30 2014-09-10 Ibm Monitoring system, monitoring server, method, and program for nitoring unauthorised access point
US9237028B1 (en) * 2012-08-14 2016-01-12 Sprint Spectrum L.P. Method and apparatus for generating a tethering alert based on a threshold similarity between incoming data and outgoing data
US10085328B2 (en) 2014-08-11 2018-09-25 RAB Lighting Inc. Wireless lighting control systems and methods
US10531545B2 (en) 2014-08-11 2020-01-07 RAB Lighting Inc. Commissioning a configurable user control device for a lighting control system
US10039174B2 (en) 2014-08-11 2018-07-31 RAB Lighting Inc. Systems and methods for acknowledging broadcast messages in a wireless lighting control network
CN104349325B (zh) * 2014-11-07 2018-09-28 工业和信息化部通信计量中心 用于监测伪无线接入点ap的方法及装置
WO2016138658A1 (zh) * 2015-03-05 2016-09-09 华为技术有限公司 伪接入方法,伪接入直连调度方法,站点以及接入点
US10057022B2 (en) * 2015-09-28 2018-08-21 Yazaki Corporation Method for controlling access to an in-vehicle wireless network
CN107404723B (zh) * 2016-05-20 2020-08-21 北京小米移动软件有限公司 一种接入基站的方法和装置
CN106412915A (zh) * 2016-10-31 2017-02-15 宇龙计算机通信科技(深圳)有限公司 伪无线接入点识别方法及系统
US10123165B1 (en) * 2017-09-19 2018-11-06 International Business Machines Corporation Eliminating false positives of neighboring zones
WO2023157141A1 (ja) * 2022-02-16 2023-08-24 日本電気株式会社 電波情報出力装置、電波情報出力方法、電波情報出力システムおよび記録媒体

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030117985A1 (en) 2001-12-26 2003-06-26 International Business Machines Corporation Network security system, computer, access point recognizing method, access point checking method, program, storage medium, and wireless lan device
US7336670B1 (en) 2003-06-30 2008-02-26 Airespace, Inc. Discovery of rogue access point location in wireless network environments
US7971251B2 (en) 2006-03-17 2011-06-28 Airdefense, Inc. Systems and methods for wireless security using distributed collaboration of wireless clients

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100466852C (zh) 2003-02-13 2009-03-04 埃卡豪股份有限公司 用于无线网络的定位应用
JP3951986B2 (ja) * 2003-08-27 2007-08-01 ブラザー工業株式会社 無線ステーション
US7002943B2 (en) 2003-12-08 2006-02-21 Airtight Networks, Inc. Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices
WO2005081460A1 (ja) * 2004-02-19 2005-09-01 Nec Corporation 不正無線局検出システム、それに用いる装置及びその方法
US7370362B2 (en) * 2005-03-03 2008-05-06 Cisco Technology, Inc. Method and apparatus for locating rogue access point switch ports in a wireless network
JP4525417B2 (ja) * 2005-03-29 2010-08-18 サクサ株式会社 不正アクセス検出方法および装置
JP4733488B2 (ja) 2005-09-26 2011-07-27 マイクロソフト コーポレーション 無線ネットワーク内で接続を断たれたクライアントおよび不正なアクセスポイントを協調して見つけ出す方法
US7716740B2 (en) * 2005-10-05 2010-05-11 Alcatel Lucent Rogue access point detection in wireless networks
JP2007174287A (ja) 2005-12-22 2007-07-05 Nec Corp 無線パケット通信システム、無線パケット基地局、無線パケット端末及び不正通信の排除方法
JP4229148B2 (ja) 2006-07-03 2009-02-25 沖電気工業株式会社 不正アクセスポイント接続阻止方法、アクセスポイント装置及び無線lanシステム
US8782745B2 (en) * 2006-08-25 2014-07-15 Qwest Communications International Inc. Detection of unauthorized wireless access points
JP4717898B2 (ja) 2008-01-24 2011-07-06 株式会社エヌ・ティ・ティ・ドコモ 無線基地局装置および無線基地局装置網編入方法
JP4862868B2 (ja) 2008-08-26 2012-01-25 沖電気工業株式会社 アクセスポイント装置の制御方法、アクセスポイント装置及び無線lanシステム
JP4697278B2 (ja) 2008-08-26 2011-06-08 沖電気工業株式会社 アクセスポイント装置の検出方法及び制御方法、アクセスポイント検出装置、アクセスポイント装置並びに無線lanシステム
JP2010263310A (ja) 2009-04-30 2010-11-18 Lac Co Ltd 無線通信装置、無線通信監視システム、無線通信方法、及びプログラム
JP5178690B2 (ja) * 2009-10-30 2013-04-10 株式会社東芝 通信システム、当該システムの携帯端末、および当該システムのセンタ
CN102158869B (zh) * 2011-03-07 2015-08-05 电信科学技术研究院 一种设备内共存干扰协调的处理方法和设备
GB2509454B (en) 2011-09-30 2014-09-10 Ibm Monitoring system, monitoring server, method, and program for nitoring unauthorised access point

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030117985A1 (en) 2001-12-26 2003-06-26 International Business Machines Corporation Network security system, computer, access point recognizing method, access point checking method, program, storage medium, and wireless lan device
US7336670B1 (en) 2003-06-30 2008-02-26 Airespace, Inc. Discovery of rogue access point location in wireless network environments
US7971251B2 (en) 2006-03-17 2011-06-28 Airdefense, Inc. Systems and methods for wireless security using distributed collaboration of wireless clients

Also Published As

Publication number Publication date
CN103843380A (zh) 2014-06-04
GB2509454B (en) 2014-09-10
US20140304783A1 (en) 2014-10-09
GB201406704D0 (en) 2014-05-28
JPWO2013046849A1 (ja) 2015-03-26
GB2509454A (en) 2014-07-02
US20160302073A1 (en) 2016-10-13
DE112012003770T5 (de) 2014-06-18
JP5576568B2 (ja) 2014-08-20
US9674708B2 (en) 2017-06-06
CN103843380B (zh) 2018-03-09
WO2013046849A1 (ja) 2013-04-04
US9374711B2 (en) 2016-06-21

Similar Documents

Publication Publication Date Title
DE112012003770B4 (de) Überwachungssystem, Überwachungsserver, Verfahren und Programm zum Überwachen eines unberechtigten Zugriffspunktes
DE112013007452B3 (de) Verfahren und Vorrichtung zum Ermitteln von Geräten und Anwendungsnutzern
DE102021127243A1 (de) Auswahl von Profilen für virtuelle private Netze
DE102017010314A1 (de) Abruf von bandbreitenabfrageberichten
CN102750750A (zh) 一种基于Wi-Fi的打卡方法及其系统
DE112017002832T5 (de) Klientgerät und Verfahren zur Analyse einer vorbestimmten Gruppe von Parmetern, die der Funkkopplung mit einem WLAN zugeordnet sind
DE102020131483A1 (de) Vorrichtung und Verfahren für einen 160+160/320-MHz-EHT-Betrieb in einem Funknetzwerk
DE202007019129U1 (de) Mobilfunkendgerät mit Filtereinrichtung und Netzwerkelement zur Konfiguration der Filtereinrichtung
DE102015109576B4 (de) Verfahren zum automatischen Auswählen eines rechtmässigen Kommunikationskanals, der von mobilen Elektronikgeräten verwendet wird, und mobile Elektronikgeräte, die dieses verwenden.
DE60208810T2 (de) Dynamische rekonfiguration einer verschlüsselung beim feststellen von eindringen
DE112019003732T5 (de) System, verfahren und vorrichtung zum überwachen von drahtlosen kommunikationen
DE102021209124A1 (de) Systeme und verfahren zum datenschutz einer multilink-vorrichtung
DE102011087838B4 (de) Kommunikationsvorrichtung, Steuerverfahren für eine Kommunikationsvorrichtung und Speichermedium
DE112013005031B4 (de) Zuordnung von Mobilstationen an geschützte Zugriffspunkte
DE112013000764T5 (de) Band-Steering für Mehrband-Funkclients
DE102016124179A1 (de) Verfahren und Vorrichtung zur drahtlosen Kommunikation
DE102021123163A1 (de) Mehrbenutzer-rts und cts-frames für eine subkanal-selektive sendestation
DE102021126867A1 (de) Räumliche Wiederverwendung für Verkehr mit hoher Priorität
DE112017007615T5 (de) Partition eines Funks in Ketten zum Scannen von Kanälen
DE102020113348A1 (de) Dynamische uplink-ressourcen-einheitsplanung für ul-ofdma in 802.11ax-netzwerken
EP3420745B1 (de) System zum monitoring, überwachung, leistungsanalyse und/oder störungssuche in wlans
DE102020203031B3 (de) Vorrichtung und Verfahren zur Steuerung des Zugriffs auf ein Elektrogerät
DE102020118054A1 (de) Identitätverschleierung für eine drahtlose station
DE102023206539A1 (de) Identifikator der station opt-in
DE102020131555A1 (de) System und Verfahren zur Lokalisierung eines Telefoniegerät-Benutzers

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R084 Declaration of willingness to licence