JP2004032664A - Radio communication system, radio communication apparatus, and radio communication method - Google Patents

Radio communication system, radio communication apparatus, and radio communication method Download PDF

Info

Publication number
JP2004032664A
JP2004032664A JP2002378650A JP2002378650A JP2004032664A JP 2004032664 A JP2004032664 A JP 2004032664A JP 2002378650 A JP2002378650 A JP 2002378650A JP 2002378650 A JP2002378650 A JP 2002378650A JP 2004032664 A JP2004032664 A JP 2004032664A
Authority
JP
Japan
Prior art keywords
wireless communication
security level
terminal
communication device
base station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002378650A
Other languages
Japanese (ja)
Other versions
JP3940670B2 (en
JP2004032664A5 (en
Inventor
Tomoko Adachi
足立 朋子
Kiyoshi Toshimitsu
利光 清
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002378650A priority Critical patent/JP3940670B2/en
Publication of JP2004032664A publication Critical patent/JP2004032664A/en
Publication of JP2004032664A5 publication Critical patent/JP2004032664A5/ja
Application granted granted Critical
Publication of JP3940670B2 publication Critical patent/JP3940670B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a radio communication apparatus which is capable of performing radio communication keeping the minimum security level by encryption predetermined by a communication group. <P>SOLUTION: In a communication system, a 1st radio communication apparatus belonging to the communication group, receives a connection request frame including a notice security level from a 2nd radio communication apparatus outside of the communication group. The 1st radio communication apparatus stores a proprietary reference security level of the radio communication group which is selected from security levels specified depending on a encryption method including non-encryption and its strength. The 1st radio communication apparatus generates a response frame which describes connection rejection to reject the connection to the 2nd radio communication apparatus or connection permission to permit the connection to the 2nd radio communication apparatus, comparing the notice security level and the reference security level, and transmits to the 2nd radio communication apparatus. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
この発明は、無線通信システム及び無線通信装置並びに無線通信方法に係り、特に、複数の無線端末装置及びアクセスポイントから構成される無線通信システムに関する。
【0002】
【従来の技術】
無線LANとして、IEEE802.11(IEEE802.11システムは、IEEE802.11aシステム及びIEEE802.11bシステム等を含むものとする。)に基づく無線LANシステムが非特許文献1で知られている。この無線LANシステムでは、暗号化方式として有線と同様にプライバシーを確保することができるWEP(Wired Equivalent Privacy)という方式が適用されている。従って、IEEE802.11に基づく無線LANのセキュリティレベルには、WEPが適用されるWEPモード及びWEPが適用されない非WEPモードがある。
【0003】
実際のIEEE802.11に従った無線LANの製品においては、WEPという暗号化方式が適用されるWEPモード及び適応されない非WEPモードの何れかでの通信が可能であり、また、WEPが適用されるWEPモードにおいては、暗号化のレベルが異なる64ビット及び128ビットの暗号化モードがあり、いずれかが無線LANにおける各通信或いは各接続リンクに適用されて通信が実現される。ここで、暗号化のレベルが高ければ高いほど、セキュリティレベルが高く、より強く暗号化されていることを意味している。
【0004】
IEEE802.11に従った無線LANの一形態として、1台のアクセスポイント(以下、基地局とも称する。)及びこのアクセスポイントに接続される複数の無線クライアント(以下、端末とも称する。)から構成されるBSS(Basic Service Set)という構成単位があり、複数のBSSが用意されてネットワークが構築されるシステムがある。
【0005】
このBSS間を接続する構造的な要素は、DS(Distribution System)と称せられている。基地局、即ち、アクセスポイントは、このDSに接続する機能を有し、情報は、アクセスポイントを介してBSSとDSとの間を伝達される。従って、端末は、アクセスポイントを介して他のBSSに属する端末とも通信することができる。
【0006】
端末は、BSSに属し、基地局を介して他のBSSに属する端末と通信するためには、基地局との間でオーセンティケーション(authentication)及びアソシエーション(association)手続きが実施される。また、端末が他のアクセスポイントに無線接続し直すときにはリアソシエーション(reassociation)手続きが実行される。
【0007】
IEEE802.11に定まる無線LANでは、交換するフレームの種類として、アクセス制御の為の制御用フレーム(control frame)と、ビーコンをはじめとする管理用フレーム(management frame)と、データ通信用のデータフレーム(data frame)とがある。ここで、オーセンティケーション、アソシエーション及びリアソシエーションの処理には、管理用フレームが使用される。
【0008】
端末がアクセスポイントとの間でデータフレームを送受する場合には、必ずその前にオーセンティケーション及びアソシエーション処理が実行される。
【0009】
IEEE802.11に定まる無線LANでは、端末が暗号化方式であるWEPを使用するか否かを基地局に問い合わせる。即ち、オーセンティケーション要求(authentication request)において、端末が基地局にWEPを使用することを要求し、この要求を受けた基地局は、WEPを使用できる場合には、基地局と端末との間でオーセンティケーションフレームを送受している。このようなオーセンティケーションフレームの送受に基づいてWEPを使用できるようになる。
【0010】
IEEE802.11に定まる無線LANの他の形態として、既存のインフラとは独立に存在するBSSがあり、これをIBSS(Independent Basic Service Set)と称している。IBSSでは、アクセスポイントは、用意されず、IBSSは、端末が直接互いに通信し合う通信形態に相当している。また、IBSSでは、アソシエーション処理は、実行されず、同様に、リアソシエーション処理も実行されない。このIBSSでは、端末間でオーセンティケーション処理を経ていなくてもデータフレームを送受することができる。
【0011】
【非特許文献1】ISO/IEC 8802−11:1999(E) ANSI/IEEE Std 802.11、1999 edition
【0012】
【発明が解決しようとする課題】
このように、従来の無線LANでは、セキュリティ対策の1つとして通信データが暗号化されている。通信に際して暗号化機能(WEP機能)を用いるか否かは、接続要求を発した側、例えば、端末から接続要求を受けた側、例えば、アクセスポイントに要求される。この要求を受けた基地局側では、当該要求に合ったWEP機能の使用が可能であれば、当該要求を受け入れ、当該端末との間でのデータ通信を暗号化している。また、何れのセキュリティレベルで通信を実施するかも接続要求を発した側で主導的に定められる。
【0013】
今後、無線LANには、WEP以外にも、WEPよりセキュリティレベルの高い暗号化方式など、暗号化のレベルが異なる複数種類の暗号化方式が無線LANに採用されると推測される。従って、暗号化方式の種類、暗号化レベルなどに応じてきめ細かなセキュリティレベルの設定が可能となることが要求される。
【0014】
しかし、従来の無線LANでは、BSS毎に、セキュリティ確保のために最低の暗号化レベルが予め定め、それ以上のレベルを有する暗号化での通信しか許容しないシステムを作るということができないばかりか、通信の際に、暗号化方式の種類、暗号化強度などに応じたきめ細やかなセキュリティレベルが設定できない問題点がある。
【0015】
さらに、IBSSではデータフレームを送信する際にオーセンティケーションをする必要がないため、暗号化されないデータフレームを送信してシステム内のセキュリティを確保することができない問題点がある。
【0016】
また、BSS毎に、そのBSSに予め定められたセキュリティレベルを確保することができないと同様に複数のBSS間で通信するDS通信においても、各BSSに定められたセキュリティレベルを確保することはできない問題点がある。
【0017】
この発明は上述した事情に鑑みなされたものであって、その目的は、通信グループで予め定められた暗号化による最低限のセキュリティレベルを確保して無線通信ができる無線通信システム及び無線通信装置並びに無線通信方法を提供するにある。
【0018】
【課題を解決するための手段】
この発明によれば、
通知セキュリティレベルが記述された第1のフィールドを有する第1の送信フレームを通信グループ外の無線通信装置から受信する受信部と、
非暗号化を含む暗号化方法及び暗号化の強さに依存するセキュリティレベルから選定され、前記無線通信グループに割り当てられた基準セキュリティレベルを記憶するメモリ部と、
前記通知セキュリティレベルを前記基準セキュリティレベルと比較して前記無線通信グループ外の無線通信装置との接続拒否或いは接続許可を決定し、決定された接続拒否或いは接続許可が記載される第2のフィールドを有する第2の送信フレームを発生するフレーム発生部と、及び
この第2の送信フレームを前記無線通信グループ外の無線通信装置に向けて送信する送信部と、
を具備することを特徴とする前記無線通信グループに属する無線通信装置が提供される。
【0019】
また、この発明によれば、
無線通信グループに属する第1の無線通信装置及びこの無線通信グループ外の第2の無線通信装置から構成される無線通信システムにおいて、前記第1の無線通信装置は、
通知セキュリティレベルが記述された第1のフィールドを有する第1の送信フレームを前記第2の無線通信装置から受信する受信部と、
非暗号化を含む暗号化方法及び暗号化の強さに依存するセキュリティレベルから選定され、前記無線通信グループに割り当てられた基準セキュリティレベルを記憶する第1のメモリ部と、
前記通知セキュリティレベルを前記基準セキュリティレベルと比較して前記第2の無線通信装置との接続拒否或いは接続許可を決定し、決定された接続拒否或いは接続許可が記載される第2のフィールドを有する第2の送信フレームを発生する第1のフレーム発生部と、及び
この第2の送信フレームを前記第2の無線通信装置に向けて送信する送信部と、
を具備することを特徴とする無線通信システムが提供される。
【0020】
更に、この発明によれば、
通知セキュリティレベルが記述された第1のフィールドを有する第1の送信フレームを通信グループ外から受信し、
非暗号化を含む暗号化方法及び暗号化の強さに依存するセキュリティレベルから選定され、前記無線通信グループに割り当てられた基準セキュリティレベルを記憶し、
前記通知セキュリティレベルを前記基準セキュリティレベルと比較して前記無線通信グループ外の無線通信装置との接続拒否或いは接続許可を決定し、決定された接続拒否或いは接続許可が記載される第2のフィールドを有する第2の送信フレームを発生し、及び
この第2の送信フレームを前記無線通信グループ外の無線通信装置に向けて送信することを特徴とする無線通信方法が提供される。
【0021】
【発明の実施の形態】
以下、図面を参照して、この発明の無線通信システムに係る実施形態について説明する。
【0022】
まず、以下の実施形態における無線LANシステムでは、複数種類の暗号方式が適用可能であり、その暗号方式の種類が区別され、しかも、暗号化レベルをランク付けしたセキュリティレベルが予め定められている。複数種類の暗号化方式の夫々に異なるレベルがあるとすると、そのある種類の暗号化方式における1つの暗号化レベル毎に、暗号化強度の程度に応じてランクが付され、夫々に対し1つのセキュリティレベルが設定される。従って、同一の暗号化強度を有していても、暗号化方式の種類が異なれば、そのセキュリティレベルとして異なるレベルが与えられる。例えば、セキュリティレベルとして、暗号化の強度の低いものから順に、enc.0、enc.1、enc.2、…、enc.(n−1)のようにn個があるものとする。同一強度の暗号化方式が複数種類あっても、その種類毎にランクの異なるセキュリティレベルが設定されるものとする。このように、1つのセキュリティレベルには、1つの種類の暗号化方式が対応し、しかも、同一種類の暗号化方式にあっても暗号化強度の相違により複数のレベルがあるときは、その夫々のレベルに対応しているセキュリティレベルが定められる。
【0023】
さて、現行のIEEE802.11に規定された無線LANシステムにおいては、セキュリティレベルの最低レベルは、暗号化なし、即ち、WEP(Wired Equivalent Privacy)が適応されないレベルが該当する。
【0024】
現行のIEEE802.11に規定に従った無線LAN製品では、WEPが適用される場合にあっても、さらにWEPを64ビット或いは128ビットで構成するというように、2つのレベルがある。そこで、以下の実施形態の例では、複数セキュリティレベルとして、現行のIEE802.11に規定に従う無線LANと同様に、(1)”WEPなし”、(2)”WEPありで64ビットのWEPを利用”、(3)”WEPありで128ビットのWEPを利用”の3つのレベルがある場合を例として説明する。この場合、セキュリティが最も高いのは、(3)”WEPありで128ビットのWEPを利用”であり、これに次いで(4)”WEPありで64ビットのWEPを利用”のセキュリティが高くなっている。即ち、”enc.0”が(1)”WEPなし”に該当し、”enc.1”が(2)”WEPありで64ビットのWEPを利用”に該当し、”enc.2”が(3)”WEPありで128ビットのWEPを利用”に該当するものとする。
【0025】
以下の説明においては、WEPという1つの種類の暗号化方式のみの場合について説明する。しかし、WEP以外の暗号化方式であっても、暗号化方式の種類の相違とセキュリティの強さに応じて複数のレベルを設定することができれば、以下の実施形態の説明と同様にいずれの暗号化方式にあってもこの発明を適用することができる。
【0026】
以下のこの発明の実施形態では、この発明をIEE802.11に規定された無線LANシステムに適用した場合について説明する。特に、この発明の無線通信装置をIEE802.11に規定された無線LANシステムを構成する基地局或いは端末に適用した場合について説明する。
【0027】
(第1の実施形態)
まず、この発明の第1の実施形態に無線通信システムとして、複数の端末、例えば、2つの端末(WL11〜WL12)及びこの端末(WL11〜WL12)が無線接続される基地局AP1が1つのBSS(ベーシックサービスセット)を構成する通信システムを説明する。
【0028】
図1は、第1のBSS(以下、簡単にBSS1と呼ぶ)を模式的に示したものである。BSS1は、アクセスポイントとしての基地局AP1及び基地局AP1に接続される複数の端末、例えば、ここでは、2つの無線端末(以下、端末と呼ぶ)WL11、WL12からなる。
【0029】
尚、図1には、第1のBSS1とは異なる第2のBSS(以下、簡単にBSS2と呼ぶ)に属する基地局AP2と、BSS1及びBSS2にも加入していない端末WL13も示している。
【0030】
BSS1には、そこで許容する最低のセキュリティレベル(enc_low)が設定されている。この実施形態に係る無線通信システムでは、BSS1で許容する最低のセキュリティレベル(enc_low)は、セキュリティレベル”enc.1”であるとしている。図1には、許容する最低のセキュリティレベル(enc_low)がセキュリティレベル”enc.1”である旨をenc_low=enc.1と表している。基地局AP1では、”enc.1”というセキュリティレベル以外にも、セキュリティレベル”enc.1”よりもレベルが高いセキュリティレベル”enc.2”をもサポートしているものとする。従って、BSS1で使用可能な最高のセキュリティレベル(enc_high)は、”enc.2”となる。図1では、最高のセキュリティレベル(enc_high)が”enc.2”である旨をenc_high=enc.2と表している。基地局AP1と、この基地局AP1に接続される端末或いは基地局とは、”enc.1”以上のセキュリティレベルで通信がされることが予め基地局AP1に設定されている。同様に、この基地局AP1を中継して他の装置に通信する為の端末或いは基地局との間は、”enc.1”以上のセキュリティレベルで通信がされることが予め基地局AP1に設定されている。
【0031】
一方、端末WL11の有するセキュリティレベルは、”enc.0”と”enc.1”、端末WL12の有するセキュリティレベルは、”enc.0”と”enc.1”と”enc.2”であるとする。
【0032】
図2は、図1に示された基地局AP1の回路構成のブロックを示している。尚、以下の説明において、基地局AP1と基地局AP2を区別する必要のないとき、或いは、両方に共通する説明の場合には、単に基地局APと称する。
【0033】
図2において、受信部11では、アンテナ20で端末からの送信信号が受信され、復調及び復号を含む処理によって受信信号が生成される。送信部12で、アンテナ20を介して端末へ送信すべき送信信号が生成され、これらの送信信号はアンテナ20に供給される。
【0034】
受信部11からの受信信号は、受信制御部13に入力され、例えば、IEEE802.11システム(以下の説明において、IEEE802.11システムは、IEEE802.11aシステム、IEEE802.11bシステム及び今後策定されるIEEE802.11システムも含むものとする。)に準拠した所定の受信処理などが実施される。この受信制御部13では、基地局がサポートする複数のセキュリティレベルの夫々に対応する復号化処理を実行し、受信信号は、複合化(decrypt)されて複合化データに変換される。この複合化データは、情報処理部15に供給されてビデオ、オーディオ、テキスト及び他のタイプのデータに分けられ、必要な処理が施される。
【0035】
送信制御部14は、情報処理部15から供給されたデータを基に、端末へブロードキャスト、或いは、ユニキャストで送信するためのデータを生成する等の、IEEE802.11に準拠した所定の送信処理などを実施する。この送信制御部14では、基地局がサポートする複数のセキュリティレベルの夫々に対応する暗号化処理を送信すべきデータに施している。送信制御部14で生成されたデータは、送信部12を介して送信信号として端末へ送信される。尚、図2に示されるセキュリティテーブル21については、後に説明する。
【0036】
図3は、図1に示された端末WL11、WL12、WL13の回路構成の一例を概略的にブロックで示している。尚、以下の説明において、端末WL11、WL12、WL13などを区別する必要のないときは、或いは、全ての端末に共通する説明の場合には、単に端末WLと呼ぶ。
【0037】
端末WLは、アンテナ100、アンテナ100を介して受信信号を受信する受信部101、受信部101を制御する受信制御部105,アンテナ100を介して送信信号を送信する送信部107、この送信部107を制御する送信制御部106、送信されるデータを生成し、或いは、受信したデータ処理する、例えば、図示しない表示部に表示させる情報処理部108及びセキュリティテーブル110から構成されている。
【0038】
情報処理部108は、この情報処理部108に接続された有線ネットワーク109からデータを受け、或いは、ユーザの操作により生成されたデータを基に送信データを作成する。この送信データは、その送信データの送信がユーザによって指示されて送信要求が生ずると、この送信要求を受けて送信データを送信部107へ渡す。送信部107では、この送信データが規格で定められたディジタルデータに変換され、例えば、IPパケットをIEEE802.11で規定するMACフレーム(medium access control frame)に変換され、ディジタルデータとしてのMACフレームが所定周波数、例えば、2.4GHzの無線信号に変換されてアンテナ100から電波として発信される。
【0039】
一方、アンテナ100で受信された受信信号は、受信部101でディジタルデータとしてのMACフレームに変換され、このMACフレーム中の情報フィールドから受信データが抽出されて情報処理部108に送られる。この情報処理部108は、受信データをディスプレイに表示する等の処理を行う。尚、情報処理部108は、上記以外にも各種情報処理を行うようになっていても良い。また、セキュリティテーブル110については、後に説明する。
【0040】
IEEE802.11で規定されているMACフレームは、図4に示すように、各種制御情報が納められた最大30バイトのMACヘッダー、最大2312バイトのデータが収まるデータフィールド(フレームボディ)、そしてデータが正しく送られたのかを調べるためのフレーム・チェック・シーケンス(FCS)フィールドで構成されている。MACヘッダーには、MACフレームを制御する情報が格納されているフレームコントロールフィールド、端末がデータを送れるようにようになるまでの待機時間(duration)或いはIEEE802.11においてアソシエーションIDと称せられる端末のIDが記述されているDuration/IDfieldが含まれている。BSSが基地局APを備えていれば、このBSSのIDとして、基地局APのMACアドレスが記述される。また、MACヘッダーには、アドレス1のフィールドからアドレス4のフィールド及びシーケンスコントロールフィールドが用意されている。データフレームがあるアクセスポイントから他のアクセスポイントに送信される場合には、アドレス1〜4は、次のように割り当てられている。即ち、アドレス1のフィールドには、通信システム内の最終的な宛先(Destination Address)のMACアドレスが記述され、アドレス2のフィールドには、通信システム内における送信元(Source Address)のMACアドレスが記述され、アドレス3のフィールドには、当該MACフレームを直接送る送信先のMACアドレスが記述され、アドレス4のフィールドには、当該MACフレームを直接送る送信元のMACアドレスが記述されている。
【0041】
MACフレームのフレームコントロールには、プロトコルのバージョンが記述されているプロトコルバージョンフィールドが設けられ、これに続いてタイプフィールド及びサブタイプフィールドが設けられている。MACフレームには、次の3つのタイプがあり、このタイプがフレームコントロールにおけるタイプフィールド(2ビット)に記述されている。また、そのタイプのサブタイプがさらに詳細にサブタイプフィールド(4ビット)に示される。即ち、タイプとして(1) 管理用フレーム、(2)アクセス制御の為の制御用フレーム、(3)データ通信用のデータフレームがある。(1)管理用フレームには、サブタイプとしてビーコン(Beacon)、オーセンティケーション(Authentication)のフレーム、アソシエーション(Association)のフレーム、アソシエーションリクエストフレーム、アソシエーション応答フレーム等がある。また、(2) 制御用フレームには、サブタイプとしてACK(Acknowledgment)、RTS(Return To Send)、CTS(Clear To Send)等のような制御用フレームがある。サブタイプフィールド(4ビット)には、上記のような特定種類のMACフレーム中のサブタイプがさらに詳細に示されている。
【0042】
尚、フレームコントロールには、To DSフィールド(1ビット)及びFrom DSフィールド(1ビット)が含まれている。これらは、MACフレームがデータフレームであるときに利用されるものであって、それ以外の種類のフレーム、例えば、オーセンティケーション、或いは、アソシエーションのフレームでは、常に「0」が書き込まれていて利用されない。MACフレームがデータフレームであるとき、データの宛先が有線LAN、アクセスポイント或いはDSであれば、1のビットがこのTo DSフィールドに記述され、また、データの送信元が有線LAN、アクセスポイント或いはDSであれば1のビットがこのFrom DSフィールドに記述される。フレームコントロールには、リザーブフィールド(reserved field)、WEPフィールド、オーダーフィールド(order field)のような他フィールドが更に用意されている。ユーザによって情報を未だに特に定めがないリザーブフィールドに書き込みをすることができる。図4に示されるように、フレームのタイプ及びサブタイプ或いはフレームのタイプ及びサブタイプのいずれかに従って幾つかのフィールドはリザーブとされている。この発明の実施形態では、後に説明するように、このリザーブフィールドに、暗号化レベルが記述されても良い。この暗号化レベルは、送信データの属性に応じて定められる。機密性が要求されるコンテンツデータであれば、高い暗号化レベルが定められ、このリザーブフィールドにその暗号化レベルが記述される。このリザーブフィールドの暗号化レベルは、アクセスポイントと端末との間でのハンドシェイクする際に利用されても良い。WEPフィールドには、WEPが利用される場合には、1のビットがセットされる。
【0043】
再び図1を参照してBSS1について説明する。
【0044】
図1に示されるBSS1では、このBSS1に予め定められた最低限のセキュリティレベル(ここでは、”enc.1”)で通信が実行されることが予め定められている。即ち、BSS1を構成する基地局AP1と端末WL11〜WL12の夫々とは、セキュリティレベル”enc.1”、或いは、基地局AP1がサポートしているセキュリティレベルの範囲内で、”enc.1”以上のセキュリティレベルでの通信が実行される。
【0045】
基地局AP1及び端末WL11〜WL12の夫々には、記憶部を備え、この記憶部には、セキュリティテーブルが設けられている。基地局AP1のセキュリティテーブルには、基地局AP1自身がサポートするセキュリティレベル、このセキュリティレベル中でBSS1における最低レベルのセキュリティレベルは何れであるか、また、端末WL11〜WL12の夫々がサポートしているセキュリティレベルはどのようなものかが記憶される。また、好ましくは、各セキュリティレベルの暗号化・復号化に必要な情報であって、暗号鍵、或いは、暗号鍵を生成するためのシード情報など(このような暗号化・復号化に必要な情報をここでは、単に暗号パラメータと称する。)もこのセキュリティテーブルに記憶されることが好ましい。また、端末WL11〜WL12の夫々も、セキュリティテーブルが記憶されている記憶部を備え、BSS1がサポートするセキュリティレベル中の最低レベルのセキュリティレベル、他の端末のサポートしているセキュリティレベル、さらに、各セキュリティレベルに対応する暗号パラメータ等がセキュリティテーブルに記憶されている。
【0046】
図5に示すように、基地局AP1のセキュリティテーブル21には、当該基地局AP1の属するBSS1においてサポートするセキュリティレベル、BSS1に属する全ての端末WL11〜WL12の有するセキュリティレベルが夫々のセキュリティレベルの暗号・複合に必要なデータである暗号パラメータとともに予め登録されている。また、このセキュリティテーブル21には、基地局AP1の属するBSS1における最低レベルのセキュリティレベルとして設定されたセキュリティレベルが識別可能なように登録されている。図5では、セキュリティレベル”enc.1”に対し最低レベルを意味する「○」印が記録されている。
【0047】
暗号化パラメータは、一例として、WEPの場合には、IEEE802.11で規定されている秘密鍵(key1,key2)及びIV(Initialization Vector)等が想定される。尚、以下の説明において、セキュリティレベル及びこのセキュリティレベルに対応する暗号パラメータは、セキュリティ情報と称せられることがある。
【0048】
図6は、BSS1内における端末WL11〜WL12のセキュリティテーブル110の登録内容を示している。図6に示すように、端末側のセキュリティテーブルには、BSS1内の各端末及び基地局AP1の有するセキュリティ情報が予め登録されている。基地局AP1に対応するセキュリティ情報として、図6に示すように、この基地局AP1の属するBSS1に予め設定された最低レベルのセキュリティ情報のみが登録されていても良い。また、端末側のセキュリティテーブル110は、図5に示した基地局側のセキュリティテーブル21と全く同じであっても良い。
【0049】
また、図5及び図6に示したセキュリティテーブルに登録されている基地局AP1及び各端末のセキュリティレベルは、BSS1で予め定められた最低レベル以上のものであれば良い。さらに、各端末に対応するセキュリティ情報については、BSS1内において、実際の通信の際に利用されるセキュリティレベルのみが登録されていても良い。即ち、夫々の端末がアクセスポイントに直接リンクされる場合には、アクセスポイントに関するセキュリティ情報、或いは、端末に直接リンクされる場合には、端末に関するセキュリティ情報であって、BSS内の端末によってサポートされているセキュリティ情報について、夫々の端末は、そのセキュリティテーブルに保持することができる。
【0050】
また、図5及び図6に示したセキュリティテーブルは、BSS1の初期設定時に設定される。初期設定時には、例えば、図5及び図6に示した形式のテーブルが設定画面として表示され、この画面上に、設定事項を入力するようにしても良い。図5及び図6に示されるテーブルにおいては、AP1、WL1,WL2は、夫々基地局AP1、端末WL1,WL2のMACアドレスで特定される。
【0051】
尚、図5及び図6に示すセキュリティテーブルは、初期化の際には、何らの情報も書き込まれていなくとも良い。しかし、アクセスポイントAP1及び端末WL1、WL2が図7を参照して後に説明するように非暗号化モードでリンクされれば、セキュリティ情報を書き込むことができる。即ち、アクセスポイントAP1及び端末WL1、WL2がアクセスポイントAP1及び端末WL1、WL2に関するセキュリティ情報を獲得し、夫々のセキュリティテーブルに書き込み、その後、BSS1がアクセスポイントAP1及び端末WL1、WL2によって設立され、BSS1内での最低のセキュリティレベルが設定されれば良い。
【0052】
図1に示したBSS1では、このBSS1に対し予め設定された最低限のセキュリティレベル”enc.1”以上のセキュリティレベルにて、基地局AP1及び端末WL11〜WL12間で通信が実行される。
【0053】
次に、図1に示したBSS1の基地局AP1に、このBSS1に加入していない端末WL13が接続される場合について、図7に示すフローチャートを参照して説明する。
【0054】
端末WL13は、基地局AP1から送信されるIEEE802.11に規定されているビーコン(Beacon)フレームを受信する。IEEE802.11の規定によれば、ビーコンフレームの受信に続いて、次に、オーセンティケーション(authentication)及びアソシエーション(association)プロトコルが続くが、このオーセンティケーション或いはアソシエーションの為のフレーム中に、基地局AP1に通知する情報として端末WL13のセキュリティレベルが書き込まれる。
【0055】
図7には、一例としてオーセンティケーションのフレームで端末WL13のセキュリティレベルを基地局AP1に通知する場合の手順を示している。この手順において、端末WL13の有するセキュリティレベルは”enc.0”と”enc.1”であると仮定する。
【0056】
図8(a)は、IEEE802.11に規定されている図4に示されるMACフレームとしてのオーセンティケーションのフレームにおけるフレームボディのフォーマットを示している。オーセンティケーションフレームには、共通暗号化キーを利用しないオープンシステム及び共通暗号化キーを利用する共通暗号化キーシステムを区別するオーセンティケーションアルゴリズムが記述される。オーセンティケーションアルゴリズム番号には、例えば、オープンシステムでは、”0”が記述され、共通暗号化キーシステムでは、”1”が記述される。オーセンティケーションアルゴリズム番号0で特定されるオープンシステムでは、図8(b)に示すようにオーセンティケーションの要求フレームとしてATSN(Authentication Transaction Sequence Number)=1及び=2のフレームが用意されている。ATSN=1のオーセンティケーションのフレームは、端末WLから基地局AP1に送られ、そのステータスコードフィールド(Status Code field)は、リザーブとされる。ATSN=2のオーセンティケーションのフレームは、基地局AP1から端末WLに送られ、そのステータスコード(Status Code)には、ステータスとして接続拒否或いは接続許可のコードが記載される。オーセンティケーションアルゴリズム番号0で特定されるオープンシステムでは、オーセンティケーションのフレームは、暗号化されるチャレンジテキストが用意されていない。共通暗号化キーシステムでは、オーセンティケーションの要求フレーム(authentication request)としてATSN(Authentication Transaction Sequence Number)=1〜4のフレームが用意されている。ATSN=1及びATSN=3のオーセンティケーションのフレームは、端末WLから基地局AP1に送られ、そのステータスコードは、リザーブとされる。ATSN=2及びATSN=4のオーセンティケーションのフレームは、基地局AP1から端末WLに送られ、そのステータスコードには、ステータスとして接続拒否或いは接続許可のコードが記載される。共通暗号化システムでは、ATSN=2及び3のオーセンティケーションのフレームには、暗号化用のチャレンジテキストが用意され、ATSN=3のオーセンティケーションのフレームは暗号化されている。これに対して、ATSN=1及び4のオーセンティケーションのフレームには、暗号化用のチャレンジテキストが用意されていない。
【0057】
ATSN=1で特定されるオーセンティケーションのフレームは、接続要求を発する側から送信される。この要求フレームでは、そのステータスコードフィールドは、リザーブとされ現在未使用である。従って、このステータスコードフィールドに、接続要求を発する側のセキュリティレベル”enc.1”或いは”enc.2”を書き込むことができる。以下の実施形態の説明では、Statuscode fieldに、接続要求を発する側のセキュリティレベル”enc.1”或いは”enc.2”が書き込まれているものとする。このATSN=1のオーセンティケーションのフレームには、端末WL13の送信部107で基地局AP1との通信で利用したいセキュリティレベル(例えば、”enc. 1”)を示すデータがそのステータスコードの項に書き込まれ、このATSN=1のオーセンティケーションのフレームが図7のステップS2に示すように、基地局AP1に送信される。尚、このセキュリティレベルは、図4に示したMACフレーム中のいずれかのリザーブフィールドに書き込まれても良い。
【0058】
ATSN=1のオーセンティケーションのフレームを受信した基地局AP1の処理動作について説明する。既に記載したように、基地局AP1から常に発せられているビーコンフレームがステップS1に示すように端末WL13によって検出される。この検出の後に、端末WL13の送信制御部106は、ATSN=1のオーセンティケーションフレームを用意し、セキュリティテーブル110を参照してそのフレームの所定箇所、例えば、フレームボディ中のステータスコードにセキュリティレベル”enc.1”或いは”enc.2”を書き込む。セキュリティレベルが書き込まれたオーセンティケーションフレームは、端末WL13の送信制御部106によって検出したビーコンフレームに対応する基地局AP1を送り先としてアドレス2に指定して、ステップS2に示すように基地局AP1に送信される。基地局AP1は、オーセンティケーションフレームを受信し、基地局AP1の受信制御部13は、受信したATSN=1のオーセンティケーションフレームの所定箇所、例えば、フレームボディ中のステータスコードに書き込まれている端末WL13のセキュリティレベル”enc.1”或いは”enc.2”を取り出し、基地局AP1のセキュリティテーブル21に登録されているBSS1の最低レベルのセキュリティレベル”enc_low”と比較する。ステップS3に示すように端末WL13から通知されたこの端末WL13のセキュリティレベル”enc.1”或いは”enc.2”が、基地局AP1がサポートしているセキュリティレベル”enc.1”或いは”enc.2”であり、しかも、BSS1内における最低レベルのセキュリティレベル”enc_low”以上のときには、端末WL13の接続を許可すると判断する。端末WL13のセキュリティレベルが、基地局AP1がサポートしているセキュリティレベルでない場合、或いは、基地局AP1がサポートしているセキュリティレベルであるが、BSS1における最低レベル”enc_low”のセキュリティレベル未満のときは端末WL13の接続を拒否すると判断する。
【0059】
ステップS3において、基地局AP1が端末WL13の接続を拒否する場合は、IEEE802.11に規定に従い、ATSN=2のオーセンティケーションフレームが送信制御部12によって用意され、そのステータスコードに接続が失敗である旨のコードが書き込まれ、ステップS4に示すように端末WL13にATSN=2のオーセンティケーションフレームが返信される。端末WL13は、ステップS5に示されるように接続を拒否する記述がされたATSN=2のオーセンティケーションフレームの受信がN回目かを判断する。このN回は、端末側のセキュリティテーブル110に書き込まれているセキュリティレベルの数(=N個)に相当している。当初、基地局AP1がサポートしているセキュリティレベルが低いレベルとして端末WL13は、この低いレベルのセキュリティレベルを基地局に通知し、拒否されるとそのセキュリティレベルを上げ、ステップS2に示すように上げられたセキュリティレベルが通知される。端末側のセキュリティテーブル110がサポートしているN個のセキュリティレベルを通知して、ステップS5に示すようにN回に亘ってATSN=2のオーセンティケーションフレームを端末WL13が受信する場合には、基地局AP1から接続を拒否されたと判断して、この段階でステップS15に示すように接続手続きが中断される。
【0060】
一方、端末WL13の接続を許可する場合は、基地局AP1は、端末WL13から通知されたセキュリティレベルに対応する暗号パラメータを端末WL13と共有すべく、ステップS6に示すようにIEEE802.11に規定に従い、チャンレンジテキストを送信するATSN=2のオーセンティケーションフレームを用意し、このオーセンティケーションフレームのステータスコードに、ATSN=1のオーセンティケーションフレームの受信が成功である旨のコードを書き込み、ステップS6に示すように端末WL13に返信する。
【0061】
端末WL13では、ATSN=2のオーセンティケーションフレームを受信すると、基地局AP1と端末WL13との間のセキュリティレベル、例えば、セキュリティレベル”enc.1”が確定される。また、端末WL13は、セキュリティレベルに対応する暗号パラメータとして、ユーザによって予め取得したIVや秘密鍵を用いて、IEEE802.11の規定に従い、チャレンジテキストなどを含むフレームボディを、ステップS7に示すように端末WL13の有するWEP機能を用いて暗号化する。更に、端末WL13は、ATSN=3のオーセンティケーションフレームを用意し、そのフレームボディにATSN=2のオーセンティケーションフレームからチャレンジテキストをコピーする。この端末WL13は、フレームを暗号化してステップS8に示すように基地局AP1に送信する。
【0062】
ATSN=3のオーセンティケーションフレームを受信した基地局AP1では、同じくIEEE802.11に規定に従い、端末WL13とで共有されている基地局AP1が有する秘密鍵で、ステップS9に示すように受信したATSN=3のオーセンティケーションフレームを復号して格納された暗号化チャレンジテキストを取り出すこととなる。この複合化されたチャレンジテキストは、送信されたチャレンジテキストと比較され、ステップS10に示すようにその比較結果を基に暗号化・複合化が検証される。
【0063】
検証結果が「失敗」であれば、同じくIEEE802.11に規定に従い、その旨を通知するATSN=4のオーセンティケーションフレームが用意され、そのステータスコードに、検証結果が「失敗」である旨のコードが書き込まれ、ステップS11に示すようにATSN=4のオーセンティケーションフレームが端末WL13に返信される。検証結果の「失敗」は、暗号化方式が基地局AP1と端末WL13とで相違していることを意味している。従って、ステップS14に示すようにATSN=4のオーセンティケーションフレームがM回以内であることが確認されて端末WL13における暗号化方式が変更されてステップS2に戻され、ステップS2からステップS10が繰り返される。ここで、M回は、端末WL13が用意している暗号化方式の個数に対応し、端末WL13は、M回ATSN=4のオーセンティケーションフレームを受信することができる。このように端末WL13がM回ATSN=4のオーセンティケーションフレームを受けても暗号化方式が一致しない場合には、端末WL13は、基地局AP1との接続が拒否された判断される。従って、端末側では、基地局AP1が提供する暗号化方式を準備していないとして、ステップS15に示すように接続手続きが終了される。
【0064】
一方、ステップS10における検証結果が「成功」であれば、基地局AP1は、ステップS12に示すように同じくIEEE802.11に規定に従い、その旨を通知するATSN=4のオーセンティケーションフレームを端末WL13に送信する。端末WL13では、このフレームを受信すると、ステップS12に示すように次の手順であるIEEE802.11に規定されたアソシエーションを開始する。即ち、端末WL13は、ステップS13に示すようなアソシエーションリクエストフレームを基地局AP1に送り、このリクエストに応答して基地局AP1は、アソシエーションリスポンス端末WL13に返すようなIEEE802.11に規定に従った処理動作が実行される。アソシエーションが正常に終了した後、端末WL13と基地局AP1との間では、データフレームが送受信される。その送受信されるデータフレームは、上記手順によって予め定められた暗号化、例えば、”enc.1=enc.low”のセキュリティレベルに相当する64ビットのWEP機能により暗号化されている。
【0065】
尚、端末WL13及び基地局AP1では、その端末WL13及び基地局AP1間の通信のセキュリティレベル及び暗号パラメータが確定した時点で、互いのセキュリティ情報がそのセキュリティテーブル21,110に登録される。即ち、端末WL13では、図7に示すステップS7で暗号パラメータを取得した後に、基地局AP1のセキュリティ情報がセキュリティテーブル110に登録される。また、基地局AP1では、図7のステップS10で検証が成功した後に、端末WL13のセキュリティ情報がそのセキュリティテーブル21に登録される。即ち、図4に示されるMACフレーム中の端末WL13のアドレスを示す適切なアドレスフィールドを選択することによってこのアドレスとの関係でセキュリティ情報がアクセスポイントAP1のセキュリティテーブル21に登録される。基地局AP1のセキュリティテーブルには、図10に示すように、「接続先」が端末WL13であるセキュリティ情報が新たに登録される。端末WL13のセキュリティテーブルにも、同様にして「接続先」が基地局AP1であるセキュリティ情報が新たに登録される。即ち、図4に示されるMACフレーム中の基地局AP1のアドレス1を示す適切なアドレスフィールドを選択することによってこのアドレスとの関係でセキュリティ情報が端末WL13のセキュリティテーブル110に登録される。この新たに追加された端末WL13におけるセキュリティ情報のセキュリティレベルは、端末WL13が図7のステップS2で要求してきたセキュリティレベルに相当している。
【0066】
また、端末側のセキュリティテーブルに、基地局のセキュリティ情報が登録されていれば、端末は、その基地局の最低レベル以上のセキュリティレベルを予め選択することができ、その結果、ステップS3で、当該基地局から接続を拒絶されることがない。ここで、基地局のセキュリティ情報は、少なくとも当該基地局の属するBSSに予め定められた最低レベル以上のセキュリティレベルを有する。換言すれば、端末が基地局に再接続する際に、基地局に端末自身がサポートしているセキュリティレベルの中から基地局で定められた最低レベル以上のセキュリティレベルを選択して図7におけるステップS2に示すようにこのセキュリティレベルを基地局に通知すれば良い。
【0067】
また、基地局APのセキュリティテーブルに、端末WLに関するセキュリティ情報として少なくとも当該基地局の属するBSSに予め定められた最低レベルenc_low以上のセキュリティレベルのセキュリティ情報が登録されていることが好ましい。この登録において、基地局の属するBSSに関しては、図4に示すMACフレームにおける適切なアドレスフィールドに記載されたアドレスでBSSが特定され、このアドレス及びセキュリティレベルがセキュリティテーブルに記述される。このようなBSSに関する登録があれば、基地局から当該端末へのユニキャスト通信に用いるセキュリティレベルを、当該最低レベル以上で、しかも、当該端末がサポートすることができるセキュリティレベルを予め選択することできる。また、基地局APの属するBSS内の端末WLへのマルチキャスト通信、ブロードキャスト通信におけるセキュリティレベルも、当該最低レベルenc_low以上で、しかも、それを受信すべき全ての端末にてサポートされているセキュリティレベルのものを予め選択することができる。即ち、図7のステップS5に示すように、基地局AP1から接続を拒否されたときには、先に通知したセキュリティレベルとは異なる、好ましくは、より高いレベルのセキュリティレベルを通知して、再度接続の要求することができる。端末WL13が有するセキュリティレベルを1つずつ通知しながら、最大所定回数Mだけ接続要求が可能となる。
【0068】
基地局AP1は、接続要求元の端末WL13に対し、BSS1に予め設定された最低レベルのセキュリティレベルenc_low、或いは、基地局AP1がサポートしている最低レベルenc_low以上のセキュリティレベルの全てを通知するようにしても良い。この通知は、IEEE802.11に規定されているMACフレームの管理用フレーム、制御用フレームのうち現在未使用のフレームを用いて通知するようにしても良い。例えば、管理用フレームでは、サブタイプが「0110」〜「0111」などのフレーム、制御用フレームでは、サブタイプが「0000」〜「1001」などのフレームが相当する。図7に示されるステップS4において、基地局AP1が端末の接続を拒否した場合において、ATSN=2のオーセンティケーションフレームを送信した後に、この未使用のフレームを送信して最低レベルenc_low以上のセキュリティレベルの全てを端末WL13に通知するようにしても良い。また、ステップS4或いはステップS6おいて、ATSN=2のオーセンティケーションフレームを送信する前に未使用のフレームを送信して最低レベルenc_low以上のセキュリティレベルの全てを端末WL13に通知しても良い。更に、オーセンティケーション或いはアソシエーションの処理の間、或いは、データフレームの送受信が開始する前等、適当なときを見計らってアクセスポイントAP1が未使用のフレームを送信して最低レベルenc_low以上のセキュリティレベルの全てを端末WL13に通知するようにしても良い。
【0069】
IEEE802.11に規定されているMACフレームのアソシエーションのフレームには、図9(a)、図9(b)及び図9(c)に示すように、そのフレームボディの「キャパビリティー情報(Capability information)」内に未使用領域としてリザーブフィールドが設けられている。この未使用領域を利用して、基地局AP1は、接続要求元の端末WL13にBSS1の最低レベルのセキュリティレベルenc_low、或いは、基地局AP1がサポートしている当該最低レベルenc_low以上のセキュリティレベルの全てを端末WL13に通知するようにしても良い。
【0070】
このように、上記第1の実施形態では、基地局AP1に、BSS1内に属する端末WL11,Wl12以外のBSS1内に属さない端末WL13が接続しようとする場合、まず、
(1)この端末WL13は、基地局AP1へ、端末WL13自身のセキュリティレベルを通知する。図7に示されるフローでは、この通知は、オーセンティケーションのフレームを利用している。
【0071】
(2)基地局AP1では、この端末WL13から通知されるセキュリティレベルが基地局AP1でサポートしているセキュリティレベルであり、しかも、BSS1に予め定められた最低レベルenc_lowのセキュリティレベル以上であるときには、端末WL13の接続を許可して、接続のための処理動作を続行する。しかし、端末WL13から通知されるセキュリティレベルがBSS1に予め定められた最低レベルのセキュリティレベルに満たないときには、端末WL13の接続を拒否する。
【0072】
(3)端末WL13からの接続を許可する場合には、必要に応じて、暗号化・復号化のための情報、即ち、暗号パラメータを共有するための認識処理が実行される。
【0073】
このように、上記第1の実施形態によれば、BSSといった、無線LANの基本グループ毎に、夫々のグループで予め定められた暗号化による最低限のセキュリティレベルを確保した無線通信が実現される。
【0074】
好ましくは、上記(1)の場合、端末WL13は、端末WL13自身がサポートするセキュリティレベルのうち、最高レベルenc_highのセキュリティレベルを基地局AP1に通知されれば、基地局AP1が端末WL13の接続を拒否する機会が少なくなる。また、最高レベルenc_highのセキュリティレベルを基地局AP1に通知すれば、1回の接続要求で、当該基地局AP1との接続の可否が判断でき、結果として、無駄なトラヒックを削減することができる。
【0075】
また、BSS1内の基地局或いは各端末は、夫々BSS1内の基地局或いは端末と通信する際に利用するBSS1に予め定められた最低レベルenc_low以上のセキュリティレベルのセキュリティ情報をセキュリティテーブルに登録することが好ましい。基地局或いは各端末は、このセキュリティテーブルを参照して、アドレスで特定される所望の端末や基地局に接続要求する際に通知するセキュリティレベルとして接続を拒否されない最低限のセキュリティレベルを予め選択することができる。
【0076】
上記第1の実施形態では、ステップS2において、端末WL13が基地局AP1との通信で利用することを希望する1つのセキュリティレベルのみを基地局AP1に通知しているが、この場合に限られるものではないことは明らかである。端末WL13自身が有する全て、或いは、全てでなくとも複数のセキュリティレベルが端末WL13から基地局AP1に通知されても良い。また、端末WL13がサポートするセキュリティレベルのうち、最高レベルのセキュリティレベルenc_highのみが端末WL13から基地局AP1に通知されても良い。
【0077】
ステップS2において、端末WL13自身が有する全て、或いは、全てでなくとも複数のセキュリティレベルを通知する場合における基地局AP1の処理動作について説明する。
【0078】
図7に示すステップS2において、端末WL13自身が有する複数のセキュリティレベルが基地局に送信される。基地局AP1では、ステップS3では、このセキュリティレベルの中に、BSS1における最低レベルに相当するセキュリティレベルenc_low以上のセキュリティレベルであって、しかも自装置がサポートしているセキュリティレベルが含まれているかを判断する。基地局AP1は、サポートしているセキュリティレベルが含まれているときは、端末WL13の接続を許可すると判断する。また、基地局AP1は、サポートしているセキュリティレベルが含まれていないときは端末WL13の接続を拒否すると判断する。端末WL13の接続を拒否する場合は、ステップS4へ進む。端末WL13の接続を許可するときは、基地局AP1は、次に、端末WL13と基地局AP1とが共にサポートしているセキュリティレベルのうち、BSS1における最低レベルenc_low以上のセキュリティレベルを選択する。基地局AP1は、BSS1における最低レベルenc_low以上のセキュリティレベルが複数存在するときは、その中の1つを選択する。この選択に関しては、その中で最低のもの、或いは最高のもの、その他の各種選択基準があるが、そのいずれであってもその中の1つを選択すれば良い。基地局AP1は、選択した1つのセキュリティレベルを端末WL13との間の通信に用いるセキュリティレベルとする。例えば、端末WL13から通知されたセキュリティレベルが”enc. 0”と”enc. 1”であるとすると、端末WL13の基地局AP1への接続は許可され、端末WL13と基地局AP1との間の通信のセキュリティレベルは”enc. 1”と選択される。
【0079】
この選択されたセキュリティレベルを端末WL13へ通知する必要がある場合には、例えば、図7のステップS6にて、ATSN=2のオーセンティケーションフレームを送信する前などに、前述のIEEE802.11に規定されているMACフレームの管理用フレーム、制御用フレームのうち現在未使用のフレームなどを用いても良い。
【0080】
端末WL13では、選択されたセキュリティレベルの通知を受けて、その後の処理の準備を行うことができる。
【0081】
BSS1内では、BSS1に予め定められた最低レベルenc_low以上のセキュリティレベルであるなら、必ずしも同一のセキュリティレベルで通信する必要はない。
【0082】
また、BSS1内では、接続相手に応じて異なるセキュリティレベルで通信するようにしても良い。即ち、ここでは、基地局AP1は、BSS1に予め定められた最低レベルenc_low以上のセキュリティレベルであるなら、どのセキュリティレベルでどの端末と通信することに関し特に限定はない。基地局AP1が端末毎に異なるセキュリティレベルで通信することにより、無線通信の秘匿性を向上することができる。
【0083】
図7は、BSS1に加入していない端末WL13と基地局AP1との間の接続時の動作として説明したが、上記の説明の端末WL13をBSS1に加入している端末WL11〜WL12の夫々に置き換えても良い。端末WL11〜WL12の夫々が、基地局AP1と接続しようとするときも、図7に示した手順に従えば、図7のステップS2で、その都度異なるセキュリティレベルを通知して、接続の度に、その目的に応じたセキュリティレベルを変更することができる。この場合、各端末のセキュリティテーブルには、BSS1の最低レベルのセキュリティレベルが登録されているので、各端末がサポートするセキュリティレベルのうち、この最低レベル以上のセキュリティレベルが選択されて、それがステップS2で通知される。また、セキュリティレベルを変更しなくとも、その後のオーセンティケーションの際に、暗号パラメータ(WEPの場合、秘密鍵やIVなど)を変更することもできる。
【0084】
同様に、図7の説明の端末から基地局への接続要求の際の手順は、互いに異なるBSSに属する、基地局から基地局へ接続要求の際の手順としても適用可能である。即ち、図7の説明の端末WL13を基地局AP1、基地局AP2をBSS1とは異なる他のBSSに属する基地局、例えば、ここではBSS2の基地局AP2に置き換えることができる。このように、第1の実施形態によれば、基地局間の通信、即ち、DS通信においても、夫々の最低限のセキュリティレベル以上で通信が実現される。
【0085】
BSS1内の端末、例えば、端末WL11が同じBSS1内の他の端末、例えば、端末WL12、と通信する際には、必ず、基地局AP1を介して基地局AP1に接続して通信しても良く、基地局AP1を介さず、端末間で直接通信しても良い。
【0086】
端末WL11〜WL12、基地局AP1が、夫々のセキュリティテーブルに登録されている相手に接続しようとする場合、セキュリティレベル及び暗号パラメータを送受信するためのオーセンティケーションなどを省略しても良い。接続要求を受けた側では、そのフレームの送信元が自身のセキュリティテーブルに登録されているものであれば、そのセキュリティテーブルを参照して、BSS1内で予め定められた最低レベル以上のセキュリティレベルで要求元と通信すれば良い。
【0087】
基地局AP1及び端末WL11〜WL12の夫々のセキュリティテーブルに、接続相手毎に、過去にその間の通信で用いたセキュリティレベルのセキュリティ情報のみが登録されても良い。この登録されているセキュリティ情報は、BSS1における最低レベルenc_low以上のセキュリティレベルに相当する。
【0088】
初期設定時においては、BSS1内の基地局AP1及び端末WL11〜WL12のセキュリティテーブルは、全て同一の内容が記載され、図5に示すような、BSS1を構成する各装置に対し、その夫々がサポートする全てのセキュリティレベルのセキュリティ情報及びBSS1に最低レベルとして設定されたセキュリティレベルとが登録されていても良い。
【0089】
また、BSS1内では、基地局AP1及び端末WL11〜12もBSS1で許容する最低のセキュリティレベルである”enc. 1”はサポートする。従って、端末WL11〜WL12のいずれかがデータフレームなどをBSS1内でマルチキャスト、ブロードキャストするときには、そのフレームのフレームボディは許容する最低のセキュリティレベルで暗号化されるものとする。これにより、BSS1としては、許容する最低のセキュリティレベルを確保できる。
【0090】
また、上記第1の実施形態では、接続要求元のサポートしているセキュリティレベルのチェックと、暗号パラメータを接続要求元と接続要求先とで共有するための認識処理とをIEEE802.11に規定されているオーセンティケーション時にまとめて行っている。しかし、この2つの処理を分けて、前者をIEEE802.11に規定されているアソシエーション時に処理を実行することもできる。また、先にアソシエーションを行なって、次に、オーセンティケーションを行う場合も考えられる。この場合において、上記2つの処理をオーセンティケーション時にまとめて行ってもよいし、アソシエーション時とオーセンティケーション時とに分けて行うようにしても良い。しかし、上記2つの処理を分ける場合、好ましくは、セキュリティレベルのチェックを暗号パラメータを共有するための認識処理に先だって行った方が、セキュリティを確保する上で好ましい。
【0091】
(第2の実施形態)
最低限のセキュリティレベルが予め定められた図1に示されるようなBSS1の基地局が当該BSS1で定められた最低限のセキュリティレベルをブロードキャストする第2の実施に係る通信システムについて説明する。この説明においては、第2の実施形態に係る通信システムにおいて、第1の実施形態と同一の説明については、省略し、その異なる点について図12を参照して説明する。
【0092】
第2の実施形態に係る通信システムにおいては、IEEE802.11に規定されたビーコンフレームに当該BSSの最低限のセキュリティレベルが書き込まれ、このビーコンフレームが送信される
図11は、IEEE802.11に規定されているMACフレームの構造を有するビーコンフレームのフレームボディのフォーマットを示している。このビーコンフレームの「キャパビリティー情報(Capability information)」内には、未使用領域としてリザーブフィールドが設けられている。基地局AP1は、BSS1の最低レベルのセキュリティレベル或いは、基地局AP1がサポートしている当該最低レベル以上のセキュリティレベル全て、或いは全てでなくとも複数のセキュリティレベルをこのリザーブフィールドに書き込み、そのセキュリティレベルを端末WLに通知する。
【0093】
基地局AP1の送信制御部14は、ビーコンフレームにBSS1の最低レベルのセキュリティレベル或いは、基地局AP1がサポートしている当該最低レベル以上のセキュリティレベル全て、或いは、全てでなくとも複数のセキュリティレベルを書き込み、ブロードキャストする。図12のステップS21に示すように、このビーコンフレームを端末が受信する。ビーコンフレームは、BSS1に加入していない端末、例えば、図1に示す端末WL13も受信することができる。
【0094】
端末WL13の受信部101では、ステップS22に示すように受信したビーコンフレームに書き込まれたBSS1の最低レベルのセキュリティレベルを取り出し、ステップS23に示すように端末WL13がサポートしているセキュリティレベルに、BSS1の最低レベル以上のものがあるか否かチェックする。ここで、端末WL13がサポートしている全てのセキュリティレベルは、予め端末WL13のセキュリティテーブルに登録されていても良い。端末WL13のセキュリティレベルに、BSS1の最低レベル以上のものがないときは、基地局AP1との接続は中止してその接続処理を終了する。
【0095】
ここでは、BSS1の最低レベルのセキュリティレベルは”enc.1”であり、端末WL13は、”enc.0”と”enc.1”をサポートしているので、端末WL13は、基地局AP1と接続可能である。端末WL13のセキュリティレベルには、BSS1の最低レベル以上のものがあるので、端末WL13は、この”enc.1”というセキュリティレベルを選択して、基地局AP1への接続要求を開始する。即ち、図7のステップS2へ進み、選択したセキュリティレベルを通知し、以下、第1の実施形態の説明と同様の動作を行う。
【0096】
但し、この場合、端末WL側からは、必ず、最低レベル以上のセキュリティレベルが通知されることが期待できるので、基地局AP1では、図7のステップS3を省略しても良い。また、端末WL13は、ステップS2において、端末WL13自体が有するセキュリティレベルのうち、ビーコンフレームにて通知されたBSS1の最低レベル以上のセキュリティレベルを選択して(このようなセキュリティレベルが複数あるときは、それら全て、或いは、そのうちの所望のいくつか、或いは、そのうちの1つを選択して、例えば、セキュリティレベルが最高のもの、或いは最低のもの、或いは所望のものを選択しても良い。)基地局AP1へ通知すれば良い。
【0097】
このように、最低限のセキュリティレベルが予め定められたBSS1の基地局AP1が、当該BSSの最低限のセキュリティレベルをブロードキャストすることにより、端末WL13は、自身がサポートするセキュリティレベルで接続可能な相手を予め選択してから接続を開始するので、不要なトラヒックを削減することができる。
【0098】
また、端末WL13が基地局AP1に対し、probeの要求フレーム(probe request)を送信し、それに対し基地局AP1がprobeの応答フレーム(probe response)でセキュリティレベルを通知することもできる。
【0099】
(第3の実施形態)
上記第1の実施形態では、IEEE802.11に規定されたオーセンティケーションとアソシエーションとを、この順で実施する場合について説明したが、先にアソシエーションを行ってからオーセンティケーションを実施することも想定される。第3の実施形態では、この場合について、図1に示したBSS1の場合を例にとし、図13に示したフローチャートを参照して説明する。
【0100】
ここでも、第1の実施形態と同様、BSS1の基地局AP1に、BSS1に加入していない端末WL13が接続を要求する場合について説明し、第1の実施形態と異なる部分についてのみ説明する。
【0101】
端末WL13は、ステップS31に示すように基地局AP1から送信されるビーコンフレームを受信し、その後、基地局AP1に接続すべく、ステップS32に示すようにアソシエーションの要求フレームを基地局AP1に送信する。
【0102】
前述したように、IEEE802.11に規定されているMACフレームのアソシエーションのフレームには、図9(a)、図9(b)及び図9(c)に示すように、そのフレームボディの「キャパビリティー情報(Capabilityinformation)」内に未使用領域、即ち、リザーブフィールドが用意されている。端末WL13の送信部107は、このリザーブフィールドに端末WL13のサポートしているセキュリティレベルのうち少なくとも所望の1つをこのリザーブフィールドに書き込み、ステップS32に示すよう基地局AP1に送信する。例えば、ここでは、端末WL13の送信部107では、自身のもつ全てのセキュリティレベル(”enc.0””enc.1”)のうちの1つの”enc.1”を示すデータをリザーブフィールドに書き込み、基地局AP1に送信するものとする。
【0103】
これを受信した基地局AP1の処理動作は、第1の実施形態と同様である。即ち、基地局AP1の受信制御部13は、受信したアソシエーションの要求フレーム(Association Request)に書き込まれている端末WL13のセキュリティレベルを取出し、このセキュリティレベルを基地局AP1のセキュリティテーブル21に登録されているBSS1の最低レベルのセキュリティレベルと比較する。端末WL13から通知された、この端末WL13のセキュリティレベルが基地局AP1のサポートしているセキュリティレベルであり、しかも、BSS1における最低レベルのセキュリティレベル以上のときには、ステップS33に示すように端末WL13の接続を許可すると判断する。また、BSS1の最低レベルのセキュリティレベル未満のときには、ステップS33に示すように端末WL13の接続を拒否すると判断する。即ち、端末WL13の接続を拒否する場合は、例えば、IEEE802.11の規定に従い、ステップS34に示すようにアソシエーションの応答フレーム(Association ResponseのStatus code)に、接続が失敗である旨のコードを書き込んで、端末WL13に返信する。端末WL13は、このフレームを受信することにより、基地局AP1から接続を拒否されたと判断して、この段階で接続手続きを中断する。
【0104】
一方、端末WL13の接続を許可する場合は、端末WL13から通知されたBSS1の最低レベルのセキュリティレベルである”enc. 1”を利用する通信のために、IEEE802.11の規定に従い、アソシエーションの応答フレーム(Association ResposeのStatus code)に、接続が成功である旨のコードを書き込み、ステップS36に示すように端末WL13に返信する。
【0105】
これを受けて、端末WL13では、IEEE802.11の規定に従い、暗号パラメータを端末WL13と基地局AP1との間で共有するための認証処理の為にステップS37に示すようにオーセンティケーションフレームの送信する。オーセンティケーションフレームの送信後のオーセンティケーションの処理は、IEEE802.11の規定に従って実行される。この処理に関しては、IEEE802.11の規定に従うことから、その説明は省略する。
【0106】
尚、この第3の実施形態の場合も、第1の実施形態の場合と同様な効果が期待できるとともに、第1の実施形態で説明したような数々のバリエーションが適用可能であることは云うまでもない。
【0107】
(第4の実施形態)
次に、ある端末が複数の基地局のエリア間を移動しながら通信する場合において、各エリア、即ち、BSS毎のセキュリティレベルを確保する手法について、図1に示した無線LANシステムを例にとり説明する。端末WLが移動される状況、即ち、いわゆるモバイル環境下においても、各基地局の属するBSSに対して夫々に予め定められた最低限のセキュリティレベルを確保するための手法を、この第4の実施形態において説明する。基本的には、上記第1の実施形態で説明したように、各BSSの基地局では、端末からの接続要求を受ける際に、当該端末からセキュリティレベルを通知してもらい、それが自BSSに予め定められた最低限のセキュリティレベル以上である場合のみ、当該端末の接続を許可し、基地局と端末との間で暗号パラメータを共有するための認証処理を実行する点は同じである。
【0108】
例えば、IEEE802.11に規定されている無線LANシステムでは、図1の端末WL13が基地局AP2に接続していたところ、基地局AP1のエリア内に移動してきた場合には、端末WL13と基地局AP1との間ではリアソシエーション(Reassociation)が実行される。そして、このリアソシエーション手続きが正常に終了すると、データフレームが送受信される。
【0109】
この第4の実施形態では、端末WL13から基地局AP1へは、リアソシエーションの要求フレーム(Reassociation Request)中の未使用領域を利用して、端末WL13のセキュリティレベルが通知される。
【0110】
以下、図1に示した無線LANシステムにおいて、端末WL13が基地局AP2のエリアから基地局AP1のエリアに移動し、基地局AP1に対しリアソシエーションが実施される場合について、図15に示すフローチャートを参照して説明する。尚、図15において、図13と同一部分には同一符号を付してその説明を省略し、異なる手続きについて説明する。
【0111】
端末WL13は、ステップS31に示すように基地局AP1から送信されるビーコンフレームを受信した後、基地局AP1に接続すべく、ステップS51に示すようにリアソシエーションの要求フレームを基地局AP1に送信する。
【0112】
IEEE802.11に規定されているMACフレームのリアソシエーションのフレームには、図14(a)〜(c)に示すように、そのフレームボディの「Capability information」内に未使用領域、即ち、リザーブフィールドが用意されている。
【0113】
端末WL13の送信部107は、ステップS51に示すようにこのリザーブフィールドに端末WL13のサポートしているセキュリティレベルのうちの少なくとも所望の1つを書き込み、基地局AP1に送信する。例えば、ここでは、端末WL13の送信部107では、自身のもつ全てのセキュリティレベル(”enc. 0””enc.1”)のうち、”enc.1”を示すデータを書き込み、基地局AP1に送信する。
【0114】
このリアソシエーションのフレームを受信した基地局AP1の処理動作は、図13の説明と同様であるので、図13のステップS33に関する説明を参照されたい。但し、ステップS33にて端末WL13の接続を拒否する場合は、IEEE802.11の規定に従い、リアソシエーション応答フレームのステータスコードに、接続が失敗である旨のコードが書き込まれ、ステップS52に示すように端末WL13に返信される。また、端末WL13の接続を許可する場合は、IEEE802.11の規定に従い、リアソシエーション応答フレームのステータスコードに、接続が成功である旨のコードが書き込まれ、ステップS53に示すように端末WL13に返信される。
【0115】
基地局AP1が端末WL13の接続を許可した場合、基地局AP1と、端末WL13との間で、暗号パラメータが共有されることが必要とされる。そのために、図15のステップS37〜ステップS44に示したように、図13と同様に、IEEE802.11の規定に従い、暗号パラメータを端末WL13と基地局AP1との間で共有するための認証処理、即ち、オーセンティケーションの手続きが執られても良い。
【0116】
また、端末WL13からのリアソシエーションの要求フレームには、端末WL13が現在接続している基地局、即ち、基地局AP2のアドレスが記述されている。このアドレスは、図14(a)〜(c)に示される「現在のAPアドレス(Current AP address)」が相当する。そこで、図15に示したように、オーセンティケーションの手続きが執られず、「現在のAPアドレス(Current AP address)」を基に、基地局AP1は、基地局AP2に接続する。そして、基地局AP1は、基地局AP2のセキュリティテーブルに登録されている端末WL13についてのセキュリティ情報の転送を要求し、そのセキュリティ情報の転送後に、セキュリティ情報をそのセキュリティテーブルに登録するようにしても良い。これにより、基地局AP1と端末WL13との間で、暗号パラメータの共有される。従って、端末WL13がステップS53で示される基地局AP1から接続が許可された後に、端末WL13は、この端末WL13と基地局AP2との間の通信と同様にして、同一のセキュリティレベルで暗号化されたデータフレームを基地局AP1との間で送受信することができる。
【0117】
尚、この第4の実施形態に係る通信システムにおいても、第1の実施形態におけると同様な効果が期待できるとともに、第1の実施形態で説明したような数々のバリエーションが適用可能であることは云うまでもない。
【0118】
(第5の実施形態)
以上、第1〜第4の実施形態に係る通信システムにおいては、端末WL13が基地局AP1との間で、基地局AP1の属するBSS1に予め定められた最低レベル以上のセキュリティレベルにて通信を実現することが可能となる。しかし、端末WL13が基地局AP1と通信すると同時に、端末WL13が基地局AP1以外のBSS1に加入していない端末や他の無線局と通信する場合に、その間の通信のセキュリティレベルがBSS1に予め定められた最低レベルより低ければ、結果として、BSS1の最低レベルのセキュリティレベルが確保されたとは云えない。そこで、この第5の実施形態に係る通信システムにおいては、端末WL13が図16に示すように、ある端末WL14と既に無線接続している場合に、端末WL13が基地局AP1に接続要求したとしても、下記に説明する手続きに従って、BSS1に予め定められた最低レベルのセキュリティを確保することができる。
【0119】
端末WL13は、BSS1に予め定められた最低のセキュリティレベルに満たないセキュリティレベルにて、他の端末や基地局に無線接続されている際には、端末WL13は、BSS1内の基地局或いは端末には接続できないようにすることが基本である。従って、BSS1内の端末や基地局に接続するには、予め、このようなセキュリティレベルの低い無線接続を切断しておくか、或いは、その無線接続のキュリティレベルをBSS1の最低レベル以上に上げることが必要とされる。
【0120】
以下、そのための手順を、第1〜第4の実施形態で説明した共通の手順については説明を省略し、異なる手順について説明する。
【0121】
図16において、図1と同一部分には同一符号を付してその説明を省略する。図16に示した端末WL14のサポートしているセキュリティレベルは”enc. 0”のみであるとする。端末WL13が基地局AP1に接続の要求を開始する際には、端末WL13は、既に端末WL14に無線接続され、その間の通信セキュリティレベルは”enc.0”であると仮定する。
【0122】
このような状態において、端末WL13がBSS1の基地局AP1に接続要求を開始する場合について説明する。
【0123】
まず、第2の実施形態で説明したように、ビーコンフレームにて、BSS1に予め定められた最低のセキュリティレベルが通知される場合について、図17に示したフローチャートを参照して説明する。この場合、端末WL13は、受信したビーコンフレームから基地局AP1に無線接続できる最低のセキュリティレベルが”enc.1”であることを知る。そこで、端末WL13は、図13のステップS32へ進む前に、図17に示す処理動作を実行する。
【0124】
図17のステップS61において、端末WL13のセキュリティレベルに、BSS1で許容される最低レベル”enc.1”以上のセキュリティレベルが用意されているかが確認される。”enc.1”以上のセキュリティレベルが端末WL13に用意されているときには、ステップS62へ進む。このステップS62において、現在端末WL13が無線接続されている端末、即ち、端末WL14と端末WL13との間の通信のセキュリティレベルがBSS1で許容される最低レベル”enc.1”以上であるか否かがチェックされる。端末WL13と端末WL14との間の通信のセキュリティレベルがBSS1で許容される最低レベル”enc.1”以上であれば、ステップS64へ進み、端末WL13と基地局AP1との間の接続手順が開始される。即ち、端末WL13においては、図13のステップS32以降の処理が実行される。一方、端末WL13と端末WL14との間のセキュリティレベルがBSS1で許容される最低レベル(”enc.1”)に満たないときは、ステップS63ヘ進み、端末WL13と端末WL14との間の無線接続が切断されて、ステップS64へ進む。
【0125】
上述したように、端末WL13と端末WL14との間の通信のセキュリティレベルは”enc.0”であるから、ステップS62からステップS63へ進み、端末WL13と端末WL14との間の無線接続が切断される。その後、端末WL13は、IEEE802.11に規定されているディオーセンティケーション(Deauthentication)が終了されてステップS64へ進む。
【0126】
このように、端末WL13は、現在接続している端末WL14との間のセキュリティレベルが接続要求される基地局AP1からブロードキャストされたセキュリティレベルより低いときには、予め端末WL13と端末WL14との無線接続が切断され、端末WL13から基地局AP1に接続要求がされる。従って、BSS1の最低限のセキュリティレベルを保持しながら、端末WL13と基地局AP1との間の無線接続が確実に実行される。
【0127】
尚、ステップS63では、端末WL13と端末WL14との無線接続を一旦切断した後、端末WL13と端末WL14とは、再度BSS1の最低レベル以上のセキュリティレベルで無線接続されても良い。
【0128】
上述した説明では、端末WL13が端末WL14の1つのみと無線接続される場合について説明したが、端末WL13が複数の端末或いは複数の基地局に無線接続されている場合も、上記同様にして、その1つ1つのセキュリティレベルがチェックされる。そのセキュリティレベルがBSS1の最低レベル以上でなければ端末WL13と他の端末との接続が一旦切断され、端末WL13がセキュリティレベルをBSS1の最低レベル以上に設定され、基地局AP1への接続を開始しても良い。
【0129】
尚、上記説明では、端末WL14と無線接続している端末WL13の場合を例にとり説明したが、BSS1とは異なる他のBSS2の基地局AP2の処理動作にも上記一連の手続きを適用することができる。このように、接続要求を発した側及び接続要求を受けた側が共に、端末ではなく基地局であるときには、複数のBSSにおいて夫々最低限のセキュリティレベルの確保されたDS通信が可能となる。接続要求を発した側が基地局であるとき、当該基地局には複数の端末や基地局と無線接続している場合もあり、このような場合も上記同様にして、その1つ1つのセキュリティレベルをチェックして、これから接続しようとするBSSの最低レベル以上のものでなければアクセスポイントが端末WL及び他のアクセスポイントとの接続を一旦切断しても良い。その後、必要に応じて、アクセスポイントがこれから接続しようとするBSSの最低レベル以上のセキュリティレベルを設定して、その後、当該所望の基地局への接続を開始するようにすれば良い。
【0130】
次に、第1、第3、第4の実施形態で説明したように、オーセンティケーション、アソシエーション、リアソシエーションの際に、端末WL13のセキュリティレベルをチェックする場合について、図18に示したフローチャートを参照して説明する。尚、図18に示した処理動作は、図7のステップS3、図13及び図15のステップS33などに対応している。
【0131】
端末WL13のセキュリティレベルをチェックする場合、前述したように、端末WL13は、オーセンティケーションの要求フレーム、或いは、アソシエーションやリアソシエーションの要求フレーム上の未使用領域に、端末WL13のセキュリティレベルを書き込むとともに、次に示す▲1▼から▲2▼のうちの少なくとも1つの項目がその未使用領域或いは他の未使用領域に書き込まれる。
【0132】
▲1▼ 現在端末WL13が無線接続されている端末或いは基地局の有無。
【0133】
▲2▼ 端末WL13と現在無線接続されている端末或いは基地局との間のセキュリティレベル
ここで、端末WL13が複数の端末或いは基地局に無線接続されている場合には、その全てについてのセキュリティレベルが未使用領域に書き込まれる。
【0134】
基地局AP1では、ステップS71に示すようにフレームを受信し、まず、ステップS72に示すように端末WL13のセキュリティレベルをチェックする。端末WL13のセキュリティレベルがBSS1に定められている最低のセキュリティレベルを満たさないときは、ステップS73へ進み、接続が拒否される。即ち、第1、第3、第4の実施形態で説明したように、オーセンティケーション、アソシエーションやリアソシエーションのフレームにて、接続拒否が端末WL13に通知される。
【0135】
一方、端末WL13のセキュリティレベルが基地局AP1のサポートするセキュリティレベルであり、しかもBSS1に定められている最低のセキュリティレベル以上であるときは、次に、ステップS74へ進む。上記▲1▼或いは▲2▼の情報から、端末WL13に現在無線接続している端末や基地局が存在しないと判断したときは、ステップS75へ進み、端末WL13の無線接続が許可される。すなわち、第1、第3、第4の実施形態で説明したように、オーセンティケーション、アソシエーションやリアソシエーションのフレームにて、無線接続の許可が端末WL13に通知されるとともに後続の処理が前述したと同様に実行される。この処理には、図7のステップS6、図13のステップS36、図15のステップS53等が相当する。上記▲1▼或いは▲2▼の情報から、端末WL13に現在無線接続している端末や基地局が存在すると判断したときは、ステップS76へ進む。
【0136】
ステップS76において、ステップS71にて受信した情報に、▲2▼に示した「端末WL13と現在無線接続している端末WL14との間のセキュリティレベル」が含まれているときは、そのセキュリティレベルがチェックされる。端末WL14との間のセキュリティレベルがBSS1に定められている最低のセキュリティレベル以上であるときは、ステップS75へ進み、端末WL13の無線接続が許可される。一方、端末WL14との間のセキュリティレベルがBSS1に定められている最低のセキュリティレベルに満たないとき、或いは、ステップS71で受信した情報に、上記▲2▼に示した情報が含まれていないとき、即ち、端末WL14との間のセキュリティレベルが不明なときは、ステップS77へ進み、端末WL13からの接続要求が拒否される。第1、第3、第4の実施形態で説明したように、オーセンティケーション、アソシエーションやリアソシエーションのフレームにて、この接続要求の拒否は、端末WL13に通知される。
【0137】
尚、ステップS77では、接続要求を拒否する旨を通知するのではなく、端末WL14との無線接続の切断を指示する旨の要求を、オーセンティケーション、アソシエーションやリアソシエーションのフレームにて、同様にして通知するようにしても良い。この場合、端末WL13は端末WL14との無線接続を切断すれば基地局AP1に接続できると直ちに判断することができる。従って、端末WL13は端末WL14との無線接続を切断した後、例えば、IEEE802.11に規定されているディオーセンティケーション(Deauthentication)を終了した後に、再度、基地局AP1に接続要求することができる。
【0138】
また、ステップS77で、接続要求を拒否した後に、IEEE802.11に規定されているMACフレームの管理用フレーム、制御用フレームのうち現在未使用のフレーム、例えば、管理用フレームの場合、サブタイプが「0110」〜「0111」などのフレーム、制御用フレームの場合、サブタイプが「0000」〜「1001」などのフレームを利用して、BSS1で許容される最低のセキュリティレベルを通知するようにしても良い。BSS1で許容される最低のセキュリティレベルの通知がある場合、端末WL14が当該最低のセキュリティレベルをサポートできれば、端末WL13は、そのセキュリティレベルに接続し直した後、再び、基地局AP1に接続要求を行うことができる。
【0139】
また、上記説明では、端末WL13が端末WL14の1つのみと無線接続している場合を例にとり説明している。しかし、複数の端末や基地局と無線接続している場合にあっても、上記と同様にして、端末WL13は、既に接続している端末や基地局の有無、好ましくは、その1つ1つのセキュリティレベルを通知しても良い。端末WL13から既に接続されている無線通信の複数のセキュリティレベルが通知されてきたときには、基地局AP1は、ステップS76において、その夫々についてのセキュリティレベルをチェックすれば良い。
【0140】
上述したように、接続要求を発した側が、既に他の端末や基地局と無線接続している場合であっても、この無線接続のセキュリティレベルが不明なとき、或いは、接続要求を受けた側の最低限のセキュリティレベルに満たないときには、当該接続要求を拒否することにより、接続要求を受けた側の最低限のセキュリティレベルは確保することができる。尚、上記説明は、端末WL14と無線接続している端末WL13の場合を例にとり説明したが、BSS1とは異なる他のBSS2の基地局AP2の処理動作としても適用できる。このように、接続要求を発した側及び接続要求を受けた側が共に、端末ではなく基地局であるときには、複数のBSSにおいて夫々の最低限のセキュリティレベルが確保されたDS通信が可能となる。接続要求を発した側が基地局であるとき、当該基地局には複数の端末や基地局と無線接続している場合もある。このような場合も上記同様にして、接続要求を発した側は、既に接続している端末や基地局の有無、好ましくは、その1つ1つのセキュリティレベルを通知することが好ましい。接続要求を受けた側では、接続要求を発した側から、既に接続されている無線通信の複数のセキュリティレベルが通知されてきたときには、ステップS76において、その夫々についてのセキュリティレベルをチェックすれば良い。
【0141】
(第6の実施形態)
上記第1の実施形態に係る無線システムにおいては、基地局に接続要求する場合について説明したが、端末から端末への接続要求の場合においても同様の手法を適用することができる。ここでは、図19に示すように、BSS1に属する端末WL12に、BSS1には加入していない端末WL15が接続要求する場合を例にとり説明する。端末WL15のサポートできるセキュリティレベルは”enc. 0”のみである。端末WL12は、BSS1に加入しているため、端末WL12が通信する際には、BSS1に予め定められた最低限のセキュリティレベルは確保する必要がある。そのために、端末と基地局との間の図7に示したものと同様の処理動作を、端末WL12と端末WL15との間において実施される。
【0142】
図20は、端末WL15から端末WL12へ接続要求する場合における、端末WL12と端末WL15との間の処理手順を示している。尚、図20において、図7と同一部分には同一符号を付して説明を省略し、以下に異なる点について説明する。
【0143】
図20において、図7に示される基地局での処理動作が端末WL12にける処理動作に対応している。従って、ビーコンフレームの送信するステップS1は、不要とされている。他のステップS2〜ステップS12は図7と同様である。尚、アソシエーションの手順は不要とされる。
【0144】
図20に示すように、端末WL12と端末WL15との間の接続設定の際にも、接続要求を受けた側の端末WL12が接続要求を発した側の端末WL15のセキュリティレベルをチェックしている。ここで、接続要求を発した側の端末のセキュリティレベルが接続要求を受けた側の装置がサポートするセキュリティレベルであり、しかも、接続要求を受けた側の端末の属するBSS1の最低のセキュリティレベル以上であれば、端末WL15の接続が許可される。接続要求を発した側の端末のセキュリティレベルが接続要求を受けた側の装置がサポートするセキュリティレベルでなく、或いは、接続要求を受けた側の端末の属するBSS1の最低のセキュリティレベル以下であれば、端末WL15の接続が拒否される。接続が許可であれば、当該セキュリティレベルに対応する暗号パラメータを共有するための手処理動作が実行される。
【0145】
尚、端末WL12が端末WL13から接続要求を受けたとき、その端末WL12が基地局AP1と無線接続しているか否かにかかわらず、端末WL12は、図20に示したような処理動作を実行する。
【0146】
図19において、端末WL15は、直接データフレームを端末WL12へ送信するモードが適用される場合もある。このモードはアドホック(ad hoc)モードと称せられている。このアドホックモードは、オーセンティケーションを経ずに実行することができる。アドホックモードについて、端末WL12での処理動作について、図21に示すフローチャートを参照して説明する。
【0147】
端末WL12は、ステップS81に示すように端末WL15から、基地局を介さずに直接端末WL12に宛てたデータフレームを受信する)。このようなデータフレームは、例えば、IEEE802.11の規定によれば、図4に示したMACフレームのフレームコントロール中の「To DS」及び「From DS」が共に「0」であることから容易に判断できる。
【0148】
端末WL12の受信部101では、このデータフレームを受信した際には、ステップS82に示すようにその送信元のアドレスに対応するセキュリティ情報が端末WL12のセキュリティテーブル110に登録されているか否かがチェックされる。
【0149】
端末WL15のセキュリティ情報がセキュリティテーブルに登録されているということは、端末WL15は、端末WL12と当該セキュリティテーブルに登録されているBSS1に予め定められた最低レベル以上のセキュリティレベルで、過去に通信したことがあるか、そのようなセキュリティレベルで通信することが予め定められていることを意味している。従って、ステップS83へ進み、端末WL12は、例えば、EEE802.11に規定の、受信したデータフレームに対するACKフレームを端末WL15へ送信し、端末WL15との間のデータの送受信を開始する。
【0150】
一方、ステップS82において、端末WL15のセキュリティ情報がセキュリティテーブルに登録されていないときは、このままでは、端末WL15のセキュリティレベルは不明であるから、端末WL12は端末WL15との間では通信ができない。従って、ステップS84へ進み、上記ACKフレームは送信せずに、当該端末WL15に、オーセンティケーションを要求する旨を通知する。この通知は、IEEE802.11に規定されているMACフレームの管理用フレーム、制御用フレームのうち現在未使用のフレーム、例えば、管理用フレームの場合、サブタイプが「0110」〜「0111」などのフレーム、制御用フレームの場合、サブタイプが「0000」〜「1001」などのフレームを利用して通知するようにしても良い。
【0151】
この通知を受けた端末WL15は、図20に示したステップS2以降の処理動作を開始すれば良い。上述したステップ84において、端末WL12は、ACKフレームを送信し、端末WL15がステップS2の処理を開始し、その後図20に示すステップが実行されても良い。
【0152】
上記第5の実施形態に係る通信手順では、端末WL13が、図16に示すように、ある端末WL14と既に無線接続している場合に、基地局AP1に対し接続要求した際に、基地局AP1のBSS1に予め定められた最低レベルのセキュリティを確保するための手法について説明した。これに対応して、次に、図22に示すように、端末WL15が既にある端末WL16と無線接続しているとき、この端末WL15が端末WL12に接続要求する場合について説明する。
【0153】
ここで、端末WL16のサポートできるセキュリティレベルは”enc. 0”のみである。端末WL12は、BSS1に加入しているため、端末WL12が通信を開始する際には、BSS1に予め定められた最低限のセキュリティレベルは確保する必要がある。そのためには、図18に示したものと同様の処理動作を、端末WL12で実施するようにすれば良い。
【0154】
図23は、端末WL15から端末WL12へ接続要求する場合の、端末WL12と端末WL15との間の処理手順を示している。尚、図23において、図18と同一部分には同一符号を付してその説明を省略し、異なる部分について説明する。即ち、図23において、図18の基地局及び端末WL13における処理動作が夫々端末WL12及び端末WL15における処理動作に対応し、実質的に図18に示す処理手順と同様の同様の処理が実施される。従って、図23を参照する説明に関しては、図18における上記説明中の基地局及び端末WL13が夫々端末WL12及び端末WL15に置き換えれば、特に説明するまでもなく理解可能である。
【0155】
また、図22において、端末WL15がオーセンティケーションを経ずに、直接データフレームを端末WL12へ送信しようとする場合も、端末WL12は、図21のフローチャートの処理動作を実施した後に、図23に示すような処理動作を実施するようにしても良い。好ましくは、端末WL12は、図21のステップS81で、端末WL15から、基地局を介さずに直接端末WL12に宛てたデータフレームを受信した場合には、すぐに、ステップS84へ進み、当該端末WL15に、オーセンティケーションを要求する旨を通知して、必ず、図23に示した処理動作を実施することが、セキュリティを確保する上で望ましい。端末WL15のセキュリティ情報が端末WL12のセキュリティテーブルに登録されていることから、端末WL15が端末WL12以外の端末との無線接続に、端末WL12の属するBSS1の最低限のセキュリティレベル以上で通信するとは限らないからである。
【0156】
尚、上記説明では、端末WL15が端末WL16の1つのみと無線接続している場合を例に説明したが、複数の端末或いは基地局と無線接続している場合も、上記同様にして、端末WL15は、既に接続している端末や基地局の有無、好ましくは、その1つ1つのセキュリティレベルを通知する。端末WL15から既に接続されている無線通信の複数のセキュリティレベルが通知されてきたときには、端末WL12は、ステップS76において、その夫々についてのセキュリティレベルをチェックすれば良い。
【0157】
以上説明したように、上記第6の実施形態によれば、複数の端末間の通信においても、そのうちの1つが、最低限守るべきセキュリティレベルが予め定められているBSS内の端末であるときには、当該セキュリティレベルを確保することができる。
【0158】
(第7の実施形態)
上記第1〜第6の実施形態では、BSSのセキュリティレベルを確保する場合について説明した。同様の手法は、IBSSにおいて、セキュリティレベルを確保する場合にも適用可能である。
【0159】
この第7の実施形態では、図24に示したような構成のIBSS1を例にとり説明する。
【0160】
図24において、IBSS1は、複数の、例えば、3つの端末WL31〜WL33から構成されている。端末WL31は、セキュリティレベル”enc.0”、”enc.1”をサポートし、端末WL32は、セキュリティレベル”enc.0”、”enc.1”、”enc.2”をサポートし、端末WL33は、セキュリティレベル”enc.0”、”enc.1”をサポートするものとする。
【0161】
IEEE802.11の規定によれば、IBSSは、基地局を介さないで、IBSS内の複数の端末間でオーセンティケーションの認証過程を経ずに、直接データフレームを送受信することができる。IBSS1内の各端末がセキュリティテーブルを有し、このセキュリティテーブルにIBSS1を構成する各端末のセキュリティ情報を登録して、IBSS1内で予め定められた最低限のセキュリティレベル以上で通信するようにすれば、IBSS1内の端末間では、その最低限のセキュリティレベルは確保できる。
【0162】
そこで、IBSS1を構成する複数の端末のうちの1つ、例えば、端末WL31に、IBSS1に加入していない、即ち、セキュリティテーブルに登録されていない端末WL34から接続要求を受けたときの処理動作について説明する。
【0163】
この処理動作も、第6の実施形態と同様に、端末WL31は、好ましくは、図21に示したような処理動作を実施して、受信したデータフレームの送信元のセキュリティ情報が自身のセキュリティテーブルに登録されていないときには、当該データフレームの送信元、即ち、端末WL34に対し、オーセンティケーションを要求する旨の通知を送信する。その後、端末WL34から、オーセンティケーションのフレームが送信されると、好ましくは、図23に示すような処理動作が実施される。但し、図23に示される端末WL15は、端末WL34に置き換えられれば良い。即ち、端末WL34は、オーセンティケーションのフレームに、端末WL34のセキュリティレベルを書き込むとともに、上記▲1▼から▲2▼のうちの少なくとも1つを書き込み、端末WL31へ送信する。端末WL31は、このようなオーセンティケーションのフレームを端末WL34から受信して、図23に示した端末WL12と同様な処理動作が実施されれば良い。
【0164】
このようにして、IBSSにおいても、そのIBSSに予め定められた最低限のセキュリティレベルを確保することができる。
【0165】
また、複数の端末間の通信においても、そのうちの1つが、最低限守るべきセキュリティレベルが予め定められているIBSS内の端末であるときには、当該セキュリティレベルを確保することができる。
【0166】
以上の第1〜第7の実施形態で説明したように、基地局、端末といった無線LANを構成する無線通信装置の夫々が、少なくとも1つの(好ましくは複数の)セキュリティレベルをもち、下記の(x1)〜(x8)に示した特徴を備えることにより、例えば、BSSやIBSSといった無線LANの基本グループ、即ち、通信グループ毎に予め定められた暗号化による最低限のセキュリティレベルを確保した無線通信が実現できる。また、複数の無線通信装置間の通信において、当該複数の無線通信装置の少なくとも1つが、最低限守るべきセキュリティレベル、換言すれば、最低レベルのセキュリティレベルが予め定められている通信グループ、例えば、BSSやIBSS内の無線通信装置であるときには、必ず上記最低レベル以上のセキュリティレベルは確保することができる。尚、下記(x1)〜(x8)のうち、特に基地局である場合と明記されていない特徴に関しては、好ましくは基地局も端末も共通にもつべき機能である。
【0167】
(x1)自装置より、他の無線通信装置である第1の無線通信装置に対し接続要求する際、前記第1の無線通信装置に対し、自装置のもつセキュリティレベルのうち該第1の無線通信装置との間の通信で用いるセキュリティレベルである第1のセキュリティレベルを少なくとも1つ通知する。
【0168】
(x2)前記第1の無線通信装置に対し接続要求する際、自装置が前記第1の無線通信装置とは別の他の無線通信装置である第2の無線通信装置と既に接続しているときには、該第2の無線通信装置との間の通信で用いているセキュリティレベルである第2のセキュリティレベルを通知する。
【0169】
(x3)前記第1の無線通信装置が基地局の場合、該第1の無線通信装置に接続可能な最低レベルのセキュリティレベルがブロードキャストされているときは、自装置のもつセキュリティレベルのうち該最低レベル以上のセキュリティレベルを選択して、それを前記第1の無線通信装置に対し接続要求する際に通知する。
【0170】
(x4)前記第1の無線通信装置が基地局の場合、該第1の無線通信装置に接続可能な複数のセキュリティレベルがブロードキャストされているときは、自装置のもつセキュリティレベルのうち、該ブロードキャストされた複数のセキュリティレベルのうちのいずれかに一致するものを選択して、その選択されたセキュリティレベルを前記第1の無線通信装置に対し接続要求する際に通知する。
【0171】
(x5)自装置が、他の無線通信装置である第4の無線通信装置から接続要求を受けたとき、A少なくとも、該第4の無線通信装置から通知された該第4の無線通信装置と自装置との間の通信で用いるセキュリティレベルである第3のセキュリティレベルが自装置のもつセキュリティレベルにあり、しかも自装置の属する通信グループ(即ち、例えば、BSSやIBSS)に予め定められた最低レベル以上であるときには、該第4の無線通信装置の接続を許可し、(b)少なくとも、前記第3のセキュリティレベルが該最低レベルに満たないときには、該第4の無線通信装置との接続を拒否する第3の手段を具備する。
【0172】
(x5´)前記第3の手段は、A前記第3のセキュリティレベルが、自装置の属する通信グループに予め定められた最低レベル以上であるとともに、前記第4の無線通信装置が前記第4の無線通信装置とは別の他の無線通信装置である第5の無線通信装置と既に接続しているときに、当該第5の無線通信装置との間の通信で用いているセキュリティレベルである第4のセキュリティレベルが前記最低レベル以上であるときには、該第4の無線通信装置との接続を許可し、(b)前記第3のセキュリティレベルが前記最低レベル以上に満たないとき、あるいは、前記第4のセキュリティレベルが前記最低レベルに満たないとき、或いは、前記第4の無線通信装置が前記第5の無線通信装置と既に接続しているときに前記第4のセキュリティレベルが不明であるときには、前記第4の無線通信装置との接続を拒否する。
【0173】
(x7)自装置が基地局である場合、自装置の属する通信グループに予め定められた最低レベルのセキュリティレベル或いは、該最低レベル以上の複数のセキュリティレベルをブロードキャストする第4の手段を具備する。
【0174】
(x8)前記第4の無線通信装置から複数のセキュリティレベルが通知されてきたとき、その複数のセキュリティレベルに、自装置の属する通信グループに予め定められた最低レベル以上のものがあれば、そのうちの1つを選択して、それを前記第4の無線通信装置へ通知する第5の手段を具備する。
【0175】
この発明の実施の形態に記載したこの発明の手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピーディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、半導体メモリなどの記録媒体に格納して頒布することもできる。
【0176】
【発明の効果】
以上説明したように、本発明によれば、BSS、IBSSといった、無線LANの基本グループ(通信グループ)毎に、それぞれのグループで予め定められた暗号化による最低限のセキュリティレベルを確保した無線通信が行える。また、複数の無線通信装置間の通信において、当該複数の無線通信装置のうちの少なくとも1つが、最低限守るべきセキュリティレベル(最低レベルのセキュリティレベル)が予め定められている通信グループ(例えば、BSSやIBSS)内の無線無線通信装置であるときには、必ず上記最低レベル以上のセキュリティレベルは確
保することができる。
【図面の簡単な説明】
【図1】この発明の実施形態に係る通信システムを概略的に示す模式図である。
【図2】図1に示す基地局の回路構成の一例を示すブロック図である。
【図3】図1に示す無線端末の回路構成の一例を示すブロック図である。
【図4】図1に示す通信システムにおける基地局及び端末との間で転送されるIEEE802.11に規定されているMACフレームの構造を示す模式図である。
【図5】図1に示される通信システムにおける基地局或いは端末が備えるセキュリティテーブルの一具体例を示すテーブルである。
【図6】図1に示される通信システムにおける基地局或いは端末がセキュリティテーブルの他の具体例を示すテーブルである。
【図7】図1に示される通信システムにおける基地局と端末の処理動作の一例を説明するためのフローチャートである。
【図8】(a)は、図1に示す通信システムにおける基地局及び端末との間で転送されるIEEE802.11に規定されているオーセンティケーションのフレーム構造を示した模式図及び(b)は、(a)に示されるフレームの項目に記述される内容を示すテーブルである。
【図9】(a)〜(c)は、図1に示す通信システムにおける基地局及び端末との間で転送されるIEEE802.11に規定されているアソシエーションリクエストフレーム及びアソシエーションリスポンスフレームの構造を示した模式図である。
【図10】図1に示す通信システムにおける基地局或いは端末が備える更新されたセキュリティテーブルの具体例を示すテーブルである。
【図11】図1に示される通信システムにおける基地局から端末に向けられるIEEE802.11に規定されているビーコンフレームの構造を示す模式図である。
【図12】図1に示される通信システムにおける基地局から端末に基地局が属するBSSに予め定められた最低レベルのセキュリティレベルが通知されて基地局に接続要求する処理手続きを示すフローチャートである。
【図13】図1に示す通信システムにおける基地局及び端末との間で転送されるアソシエーション応答フレームを利用してセキュリティレベルが通知され、このセキュリティレベルがチェックされる処理手続きを示すフローチャートである。
【図14】(a)〜(c)は、図1に示す通信システムにおける基地局及び端末との間で転送されるIEEE802.11に規定されているリアソシエーションリクエストフレーム及びリアソシエーションリスポンスフレームの構造を示した模式図である。
【図15】図1に示す通信システムにおける基地局及び端末との間で転送されるリアソシエーション応答フレームを利用してセキュリティレベルが通知され、このセキュリティレベルがチェックされる処理手続きを示すフローチャートである。
【図16】この発明の他の実施形態に係る通信システムを概略的に示すブロック図である。
【図17】図16に示される通信システムにおいて、他の無線通信装置に接続されている無線通信装置が更に他の無線通信装置に接続要求する際の接続要求を発した側の処理手続きの一例を説明するためのフローチャートである。
【図18】図16に示される通信システムにおいて、他の無線通信装置に接続されている無線通信装置が更に他の無線通信装置に接続要求する際の接続要求を発した側の処理手続きの一例を説明するためのフローチャートである。
【図19】この発明のさらに他の実施形態に係る通信システムを概略的に示すブロック図である。
【図20】図19に示す通信システムにおける端末間で無線接続する為の処理手順を説明するためのフローチャートである。
【図21】図19に示す通信システムにおける端末間で無線接続する際の端末での処理動作の一例を説明するためのフローチャートである。
【図22】この発明のさらに他の実施形態に係る通信システムを概略的に示すブロック図である。
【図23】図22に示す通信システムにおける端末間で無線接続する為の端末での処理動作の他の例を説明するためのフローチャートである。
【図24】この発明のさらに他の実施形態に係る通信システムを概略的に示すブロック図である。
【符号の説明】
AP1、AP2…基地局(無線基地局装置)
WL11〜WL16、WL31〜WL34…端末(無線端末装置)
11…受信機
12…送信機
13…受信制御部
14…送信制御部
20、100…アンテナ
21、110…セキュリティテーブル
101…受信部
107…送信部
108…情報処理部[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a wireless communication system, a wireless communication device, and a wireless communication method, and more particularly, to a wireless communication system including a plurality of wireless terminal devices and access points.
[0002]
[Prior art]
As a wireless LAN, Non-Patent Document 1 discloses a wireless LAN system based on IEEE802.11 (the IEEE802.11 system includes an IEEE802.11a system, an IEEE802.11b system, and the like). In this wireless LAN system, a method called WEP (Wired Equivalent Privacy) which can ensure privacy as in the case of wired communication is applied as an encryption method. Therefore, the security level of the wireless LAN based on IEEE 802.11 includes a WEP mode to which WEP is applied and a non-WEP mode to which WEP is not applied.
[0003]
In an actual wireless LAN product conforming to IEEE 802.11, communication can be performed in one of a WEP mode to which an encryption method called WEP is applied and a non-WEP mode to which no encryption method is applied, and WEP is applied. In the WEP mode, there are 64-bit and 128-bit encryption modes having different encryption levels, and one of them is applied to each communication or each connection link in the wireless LAN to realize communication. Here, the higher the encryption level, the higher the security level, which means that the encryption is stronger.
[0004]
As one form of a wireless LAN in accordance with IEEE 802.11, the wireless LAN is composed of one access point (hereinafter, also referred to as a base station) and a plurality of wireless clients (hereinafter, also referred to as terminals) connected to the access point. There is a system in which a configuration unit called BSS (Basic Service Set) is provided, and a plurality of BSSs are prepared to construct a network.
[0005]
The structural element that connects the BSSs is called a DS (Distribution System). The base station, that is, the access point has a function of connecting to the DS, and information is transmitted between the BSS and the DS via the access point. Therefore, the terminal can communicate with the terminal belonging to another BSS via the access point.
[0006]
A terminal belongs to a BSS, and in order to communicate with a terminal belonging to another BSS through a base station, an authentication procedure and an association procedure are performed with the base station. Also, when the terminal wirelessly reconnects to another access point, a reassociation procedure is executed.
[0007]
In a wireless LAN defined by IEEE 802.11, types of frames to be exchanged include a control frame for access control, a management frame such as a beacon, and a data frame for data communication. (Data frame). Here, a management frame is used for the authentication, association, and reassociation processing.
[0008]
When a terminal transmits / receives a data frame to / from an access point, an authentication and association process is always executed before that.
[0009]
In a wireless LAN defined by IEEE 802.11, a terminal inquires of a base station whether or not to use WEP which is an encryption method. That is, in an authentication request (authentication request), the terminal requests the base station to use WEP, and the base station that has received this request establishes a connection between the base station and the terminal when WEP can be used. Is sending and receiving the authentication frame. WEP can be used based on the transmission and reception of such an authentication frame.
[0010]
As another form of the wireless LAN defined by IEEE 802.11, there is a BSS that exists independently of the existing infrastructure, and this is called an IBSS (Independent Basic Service Set). In the IBSS, an access point is not prepared, and the IBSS corresponds to a communication mode in which terminals directly communicate with each other. In the IBSS, the association process is not executed, and similarly, the reassociation process is not executed. In the IBSS, a data frame can be transmitted and received without performing authentication processing between terminals.
[0011]
[Non-Patent Document 1] ISO / IEC 8802-11: 1999 (E) ANSI / IEEE Std 802.11, 1999 edition
[0012]
[Problems to be solved by the invention]
As described above, in the conventional wireless LAN, communication data is encrypted as one of security measures. Whether to use the encryption function (WEP function) at the time of communication is requested to a side that has issued a connection request, for example, a side that has received a connection request from a terminal, for example, an access point. If the base station receiving this request can use the WEP function that meets the request, the base station accepts the request and encrypts data communication with the terminal. Also, the security level at which communication is performed is determined initiatively on the side that issued the connection request.
[0013]
In the future, it is presumed that a plurality of types of encryption schemes having different encryption levels will be adopted for the wireless LAN, such as an encryption scheme having a higher security level than WEP, in addition to WEP. Therefore, it is required that a detailed security level can be set according to the type of encryption method, encryption level, and the like.
[0014]
However, in the conventional wireless LAN, the minimum encryption level is predetermined for each BSS in order to ensure security, and it is not only possible to create a system that allows only communication with encryption having a higher level, At the time of communication, there is a problem that a detailed security level cannot be set according to the type of encryption method, encryption strength, and the like.
[0015]
Furthermore, since IBSS does not require authentication when transmitting a data frame, there is a problem that security in the system cannot be ensured by transmitting an unencrypted data frame.
[0016]
Further, similarly to the case where the security level predetermined for each BSS cannot be secured for each BSS, the security level defined for each BSS cannot be secured for DS communication in which communication is performed between a plurality of BSSs. There is a problem.
[0017]
The present invention has been made in view of the above circumstances, and has as its object to provide a wireless communication system and a wireless communication device capable of performing wireless communication while ensuring a minimum security level by encryption predetermined by a communication group, and A wireless communication method is provided.
[0018]
[Means for Solving the Problems]
According to the invention,
A receiving unit that receives a first transmission frame having a first field in which a notification security level is described from a wireless communication device outside a communication group;
A memory unit which is selected from an encryption method including non-encryption and a security level depending on the strength of encryption, and stores a reference security level assigned to the wireless communication group;
The notification security level is compared with the reference security level to determine connection rejection or connection permission with a wireless communication device outside the wireless communication group, and a second field in which the determined connection rejection or connection permission is described. A frame generation unit that generates a second transmission frame, and
A transmitting unit that transmits the second transmission frame to a wireless communication device outside the wireless communication group;
A wireless communication device belonging to the wireless communication group is provided.
[0019]
According to the invention,
In a wireless communication system including a first wireless communication device belonging to a wireless communication group and a second wireless communication device outside the wireless communication group, the first wireless communication device includes:
A receiving unit that receives, from the second wireless communication device, a first transmission frame having a first field in which a notification security level is described;
A first memory unit that is selected from an encryption method including non-encryption and a security level that depends on encryption strength, and stores a reference security level assigned to the wireless communication group;
The notification security level is compared with the reference security level to determine connection rejection or connection permission with the second wireless communication device, and a second field having the determined connection rejection or connection permission is described. A first frame generator for generating two transmission frames, and
A transmitting unit that transmits the second transmission frame to the second wireless communication device;
There is provided a wireless communication system comprising:
[0020]
Further, according to the present invention,
Receiving a first transmission frame having a first field in which the notification security level is described from outside the communication group;
Storing a reference security level selected from an encryption method including non-encryption and a security level depending on the strength of encryption, and assigned to the wireless communication group;
The notification security level is compared with the reference security level to determine connection rejection or connection permission with a wireless communication device outside the wireless communication group, and a second field in which the determined connection rejection or connection permission is described. Generating a second transmission frame having:
A wireless communication method is provided wherein the second transmission frame is transmitted to a wireless communication device outside the wireless communication group.
[0021]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, an embodiment according to a wireless communication system of the present invention will be described with reference to the drawings.
[0022]
First, in the wireless LAN system according to the following embodiments, a plurality of types of encryption systems can be applied, the types of the encryption systems are distinguished, and security levels that rank the encryption levels are determined in advance. Assuming that there are different levels in each of a plurality of types of encryption schemes, a rank is assigned according to the degree of encryption strength for each one encryption level in the certain type of encryption scheme, and one rank is assigned to each. The security level is set. Therefore, even if they have the same encryption strength, different types of encryption schemes provide different security levels. For example, as the security level, enc. 0, enc. 1, enc. 2, ..., enc. It is assumed that there are n pieces as in (n-1). Even if there are a plurality of types of encryption schemes having the same strength, security levels having different ranks are set for each type. As described above, one security level corresponds to one type of encryption system, and when there are a plurality of levels due to a difference in encryption strength even in the case of the same type of encryption system, each of them has its own. The security level corresponding to the level is determined.
[0023]
In the current wireless LAN system defined by IEEE 802.11, the minimum security level corresponds to a level without encryption, that is, a level to which WEP (Wired Equivalent Privacy) is not applied.
[0024]
In a wireless LAN product conforming to the current IEEE 802.11 standard, even when WEP is applied, there are two levels such as configuring WEP with 64 bits or 128 bits. Therefore, in the example of the following embodiment, (1) "without WEP" and (2) "64-bit WEP with WEP" are used as a plurality of security levels, similarly to a wireless LAN conforming to the current IEEE 802.11 standard. ", (3) A case where there are three levels of" use WEP of 128 bits with WEP "will be described as an example. In this case, the security with the highest security is (3) "Uses 128-bit WEP with WEP", followed by (4) "Uses 64-bit WEP with WEP". I have. That is, “enc.0” corresponds to (1) “without WEP”, “enc.1” corresponds to (2) “uses 64-bit WEP with WEP”, and “enc.2” corresponds to ( 3) Assume that “128 bit WEP is used with WEP”.
[0025]
In the following description, a case will be described in which only one type of encryption method, WEP, is used. However, even in the case of an encryption method other than WEP, as long as a plurality of levels can be set in accordance with the difference between the types of encryption methods and the strength of security, any encryption method can be used in the same manner as described in the following embodiment. The present invention can be applied to a generalized system.
[0026]
In the following embodiments of the present invention, a case will be described in which the present invention is applied to a wireless LAN system defined by IEEE 802.11. In particular, a case will be described in which the wireless communication apparatus of the present invention is applied to a base station or a terminal constituting a wireless LAN system defined by IEEE 802.11.
[0027]
(1st Embodiment)
First, as a wireless communication system according to the first embodiment of the present invention, a plurality of terminals, for example, two terminals (WL11 to WL12) and a base station AP1 to which the terminals (WL11 to WL12) are wirelessly connected are connected to one BSS. (Basic service set) will be described.
[0028]
FIG. 1 schematically shows a first BSS (hereinafter simply referred to as BSS1). The BSS1 includes a base station AP1 as an access point and a plurality of terminals connected to the base station AP1, for example, here, two wireless terminals (hereinafter, referred to as terminals) WL11 and WL12.
[0029]
FIG. 1 also shows a base station AP2 belonging to a second BSS (hereinafter simply referred to as BSS2) different from the first BSS1, and a terminal WL13 not subscribed to BSS1 and BSS2.
[0030]
In the BSS1, the minimum security level (enc_low) allowed there is set. In the wireless communication system according to this embodiment, the minimum security level (enc_low) allowed in the BSS1 is the security level “enc.1”. FIG. 1 shows that the minimum allowable security level (enc_low) is the security level “enc.1” by enc_low = enc. It is represented as 1. It is assumed that the base station AP1 supports a security level "enc.2" which is higher than the security level "enc.1", in addition to the security level "enc.1". Therefore, the highest security level (enc_high) usable in the BSS1 is “enc.2”. In FIG. 1, it is determined that the highest security level (enc_high) is “enc.2” by enc_high = enc. It is expressed as 2. It is preset in the base station AP1 that communication between the base station AP1 and a terminal or a base station connected to the base station AP1 is performed at a security level of "enc.1" or higher. Similarly, communication with a terminal or a base station for relaying the base station AP1 and communicating with another device is set to the base station AP1 in advance so that communication is performed at a security level of "enc.1" or higher. Have been.
[0031]
On the other hand, the security levels of the terminal WL11 are “enc.0” and “enc.1”, and the security levels of the terminal WL12 are “enc.0”, “enc.1”, and “enc.2”. I do.
[0032]
FIG. 2 shows a block diagram of a circuit configuration of the base station AP1 shown in FIG. In the following description, when it is not necessary to distinguish between the base station AP1 and the base station AP2, or in the case of a description common to both, the base station is simply referred to as a base station AP.
[0033]
In FIG. 2, in reception section 11, a transmission signal from a terminal is received by antenna 20, and a reception signal is generated by processing including demodulation and decoding. The transmission unit 12 generates transmission signals to be transmitted to the terminal via the antenna 20, and these transmission signals are supplied to the antenna 20.
[0034]
A reception signal from the reception unit 11 is input to the reception control unit 13 and, for example, an IEEE802.11 system (in the following description, the IEEE802.11 system is an IEEE802.11a system, an IEEE802.11b system, and an IEEE802 system to be formulated in the future. .11 system) is performed. The reception control unit 13 performs a decoding process corresponding to each of a plurality of security levels supported by the base station, and the received signal is decrypted and converted into decrypted data. The composite data is supplied to the information processing section 15 and divided into video, audio, text, and other types of data, and subjected to necessary processing.
[0035]
The transmission control unit 14 performs a predetermined transmission process compliant with IEEE 802.11, such as generating data for transmission to a terminal by broadcast or unicast based on the data supplied from the information processing unit 15. Is carried out. The transmission control unit 14 applies encryption processing corresponding to each of a plurality of security levels supported by the base station to data to be transmitted. The data generated by the transmission control unit 14 is transmitted to the terminal via the transmission unit 12 as a transmission signal. The security table 21 shown in FIG. 2 will be described later.
[0036]
FIG. 3 schematically illustrates an example of a circuit configuration of the terminals WL11, WL12, and WL13 illustrated in FIG. 1 by blocks. In the following description, when it is not necessary to distinguish the terminals WL11, WL12, WL13, and the like, or in the case of a description common to all terminals, the terminals are simply referred to as terminals WL.
[0037]
The terminal WL includes an antenna 100, a reception unit 101 that receives a reception signal via the antenna 100, a reception control unit 105 for controlling the reception unit 101, a transmission unit 107 for transmitting a transmission signal via the antenna 100, and the transmission unit 107. , A transmission control unit 106 for generating transmitted data or processing received data, for example, an information processing unit 108 for displaying the data on a display unit (not shown) and a security table 110.
[0038]
The information processing unit 108 receives data from the wired network 109 connected to the information processing unit 108 or creates transmission data based on data generated by a user operation. As for the transmission data, when the transmission of the transmission data is instructed by the user and a transmission request is generated, the transmission unit 107 receives the transmission request and transfers the transmission data to the transmission unit 107. The transmission unit 107 converts the transmission data into digital data defined by a standard, for example, converts an IP packet into a MAC frame (medium access control frame) defined by IEEE 802.11, and converts the MAC frame as digital data into a MAC frame. The signal is converted into a radio signal of a predetermined frequency, for example, 2.4 GHz, and transmitted from the antenna 100 as a radio wave.
[0039]
On the other hand, the reception signal received by the antenna 100 is converted into a MAC frame as digital data by the reception unit 101, and the reception data is extracted from the information field in the MAC frame and sent to the information processing unit 108. The information processing unit 108 performs processing such as displaying received data on a display. The information processing unit 108 may perform various types of information other than the above. The security table 110 will be described later.
[0040]
As shown in FIG. 4, a MAC frame defined by IEEE 802.11 has a MAC header of up to 30 bytes containing various control information, a data field (frame body) containing up to 2312 bytes of data, and It is composed of a frame check sequence (FCS) field for checking whether the packet has been transmitted correctly. The MAC header includes a frame control field in which information for controlling the MAC frame is stored, a waiting time (duration) until the terminal can transmit data, or a terminal ID referred to as an association ID in IEEE 802.11. Is described. If the BSS has a base station AP, the MAC address of the base station AP is described as the ID of the BSS. In the MAC header, a field from address 1 to a field from address 4 and a sequence control field are prepared. When a data frame is transmitted from one access point to another access point, addresses 1 to 4 are assigned as follows. That is, the MAC address of the final destination (Destination Address) in the communication system is described in the field of the address 1, and the MAC address of the source (Source Address) in the communication system is described in the field of the address 2. In the field of address 3, the MAC address of the transmission destination to which the MAC frame is directly transmitted is described, and in the field of address 4, the MAC address of the transmission source to which the MAC frame is directly transmitted is described.
[0041]
The frame control of the MAC frame is provided with a protocol version field in which the version of the protocol is described, followed by a type field and a subtype field. There are the following three types of MAC frames, and these types are described in a type field (2 bits) in frame control. The subtype of the type is shown in more detail in the subtype field (4 bits). That is, there are (1) a management frame, (2) a control frame for access control, and (3) a data frame for data communication as types. (1) The management frame includes a beacon (Beacon), an authentication (Authentication) frame, an association (Association) frame, an association request frame, an association response frame, and the like as subtypes. Also, (2) control frames include control frames such as ACK (Acknowledgement), RTS (Return To Send), and CTS (Clear To Send) as subtypes. The subtype field (4 bits) indicates the subtype in the above-described specific type of MAC frame in more detail.
[0042]
The frame control includes a To DS field (1 bit) and a From DS field (1 bit). These are used when the MAC frame is a data frame. For other types of frames, for example, for an authentication or association frame, “0” is always written and used. Not done. When the MAC frame is a data frame, if the data destination is a wired LAN, access point or DS, one bit is described in this To DS field, and the data source is a wired LAN, access point or DS. If so, one bit is described in this From DS field. The frame control further includes other fields such as a reserved field, a WEP field, and an order field. The user can write information in a reserve field that is not yet specified. As shown in FIG. 4, some fields are reserved according to either the frame type and subtype or the frame type and subtype. In the embodiment of the present invention, an encryption level may be described in this reserve field, as described later. This encryption level is determined according to the attribute of the transmission data. If the content data requires confidentiality, a high encryption level is determined, and the reserved field describes the encryption level. The encryption level in the reserved field may be used when handshaking between the access point and the terminal. When WEP is used, one bit is set in the WEP field.
[0043]
The BSS1 will be described with reference to FIG. 1 again.
[0044]
In the BSS1 shown in FIG. 1, it is predetermined that communication is performed at a minimum security level (here, “enc.1”) predetermined for the BSS1. That is, each of the base station AP1 and the terminals WL11 to WL12 configuring the BSS1 has a security level “enc.1” or “enc.1” or higher within the range of the security level supported by the base station AP1. Communication with a security level of is performed.
[0045]
Each of the base station AP1 and the terminals WL11 to WL12 includes a storage unit, and a security table is provided in the storage unit. In the security table of the base station AP1, the security level supported by the base station AP1 itself, which security level of the BSS1 is the lowest among the security levels, and each of the terminals WL11 to WL12 are supported. The security level is stored. Preferably, the information necessary for encryption / decryption at each security level includes an encryption key or seed information for generating the encryption key (information necessary for such encryption / decryption). Is simply referred to as an encryption parameter here.). Each of the terminals WL11 to WL12 also includes a storage unit in which a security table is stored, and the lowest security level among the security levels supported by the BSS1, the security level supported by other terminals, and Encryption parameters and the like corresponding to the security level are stored in the security table.
[0046]
As shown in FIG. 5, in the security table 21 of the base station AP1, the security levels supported by the BSS1 to which the base station AP1 belongs and the security levels of all the terminals WL11 to WL12 belonging to the BSS1 are the encryption levels of the respective security levels. It is registered in advance together with an encryption parameter which is data necessary for compounding. In the security table 21, the security level set as the lowest security level in the BSS1 to which the base station AP1 belongs is registered so as to be identifiable. In FIG. 5, a mark “○” indicating the lowest level is recorded for the security level “enc.1”.
[0047]
For example, in the case of WEP, the encryption parameters are assumed to be a secret key (key1, key2), an IV (Initialization Vector), and the like defined in IEEE802.11. In the following description, a security level and an encryption parameter corresponding to the security level may be referred to as security information.
[0048]
FIG. 6 shows the registered contents of the security table 110 of the terminals WL11 to WL12 in the BSS1. As shown in FIG. 6, the security information of each terminal in the BSS1 and the base station AP1 is registered in the terminal side security table in advance. As security information corresponding to the base station AP1, as shown in FIG. 6, only the lowest-level security information preset in the BSS1 to which the base station AP1 belongs may be registered. The security table 110 on the terminal side may be exactly the same as the security table 21 on the base station side shown in FIG.
[0049]
The security levels of the base station AP1 and each terminal registered in the security tables shown in FIGS. 5 and 6 may be higher than the minimum level predetermined in the BSS1. Furthermore, as for the security information corresponding to each terminal, only the security level used in actual communication may be registered in the BSS1. That is, when each terminal is directly linked to the access point, the security information about the access point, or when each terminal is directly linked to the terminal, the security information about the terminal, which is supported by the terminal in the BSS. Each terminal can hold the security information in the security table.
[0050]
The security tables shown in FIGS. 5 and 6 are set at the time of initial setting of the BSS1. At the time of initial setting, for example, a table in the format shown in FIGS. 5 and 6 is displayed as a setting screen, and setting items may be input on this screen. In the tables shown in FIGS. 5 and 6, AP1, WL1 and WL2 are specified by the MAC addresses of the base station AP1 and the terminals WL1 and WL2, respectively.
[0051]
Note that the security tables shown in FIGS. 5 and 6 need not have any information written at the time of initialization. However, if the access point AP1 and the terminals WL1 and WL2 are linked in the non-encryption mode as described later with reference to FIG. 7, security information can be written. That is, the access point AP1 and the terminals WL1 and WL2 acquire security information on the access point AP1 and the terminals WL1 and WL2 and write them into their respective security tables. Thereafter, the BSS1 is established by the access point AP1 and the terminals WL1 and WL2. It is only necessary to set the lowest security level in the system.
[0052]
In the BSS1 shown in FIG. 1, communication is executed between the base station AP1 and the terminals WL11 to WL12 at a security level equal to or higher than the minimum security level "enc.1" preset for the BSS1.
[0053]
Next, a case where a terminal WL13 that has not joined the BSS1 is connected to the base station AP1 of the BSS1 illustrated in FIG. 1 will be described with reference to a flowchart illustrated in FIG.
[0054]
The terminal WL13 receives a beacon frame specified by IEEE 802.11 transmitted from the base station AP1. According to the IEEE802.11 specification, following the reception of a beacon frame, an authentication and association protocol follows, and the base station is included in the frame for the authentication or association. The security level of the terminal WL13 is written as information to be notified to the station AP1.
[0055]
FIG. 7 shows a procedure for notifying the security level of the terminal WL13 to the base station AP1 in an authentication frame as an example. In this procedure, it is assumed that the security levels of the terminal WL13 are “enc.0” and “enc.1”.
[0056]
FIG. 8A shows the format of the frame body in the authentication frame as the MAC frame shown in FIG. 4 specified in IEEE 802.11. The authentication frame describes an authentication algorithm that distinguishes between an open system that does not use a common encryption key and a common encryption key system that uses a common encryption key. In the authentication algorithm number, for example, “0” is described in the open system, and “1” is described in the common encryption key system. In the open system identified by the authentication algorithm number 0, as shown in FIG. 8 (b), frames of ATSN (Authentication Transaction Sequence Number) = 1 and = 2 are prepared as authentication request frames. The authentication frame of ATSN = 1 is transmitted from the terminal WL to the base station AP1, and its status code field (Status Code field) is reserved. The authentication frame of ATSN = 2 is transmitted from the base station AP1 to the terminal WL, and a status code (Status Code) describes a connection rejection or connection permission code as a status. In the open system specified by the authentication algorithm number 0, the authentication frame does not have a challenge text to be encrypted. In the common encryption key system, frames of ATSN (Authentication Transaction Sequence Number) = 1 to 4 are prepared as an authentication request frame (authentication request). The authentication frame of ATSN = 1 and ATSN = 3 is sent from the terminal WL to the base station AP1, and its status code is reserved. The authentication frame of ATSN = 2 and ATSN = 4 is transmitted from the base station AP1 to the terminal WL, and the status code describes a connection rejection or connection permission code as a status. In the common encryption system, the challenge frame for encryption is prepared in the authentication frame of ATSN = 2 and 3, and the authentication frame of ATSN = 3 is encrypted. On the other hand, authentication frames with ATSN = 1 and 4 have no challenge text for encryption.
[0057]
The authentication frame specified by ATSN = 1 is transmitted from the connection request issuing side. In this request frame, the status code field is reserved and currently unused. Therefore, the security level "enc.1" or "enc.2" of the side issuing the connection request can be written in this status code field. In the following description of the embodiment, it is assumed that the security level “enc.1” or “enc.2” on the side that issues the connection request is written in the statuscode field. In the authentication frame of ATSN = 1, data indicating the security level (for example, “enc. 1”) that the transmitting unit 107 of the terminal WL13 wants to use for communication with the base station AP1 is included in the status code item. The written authentication frame of ATSN = 1 is transmitted to the base station AP1 as shown in step S2 of FIG. This security level may be written in any of the reserve fields in the MAC frame shown in FIG.
[0058]
The processing operation of the base station AP1 that has received the authentication frame of ATSN = 1 will be described. As described above, the beacon frame constantly emitted from the base station AP1 is detected by the terminal WL13 as shown in step S1. After this detection, the transmission control unit 106 of the terminal WL13 prepares an authentication frame of ATSN = 1, and refers to the security table 110 to add a security level to a predetermined portion of the frame, for example, a status code in the frame body. Write "enc.1" or "enc.2". The authentication frame in which the security level is written specifies the base station AP1 corresponding to the beacon frame detected by the transmission control unit 106 of the terminal WL13 at address 2 as a destination, and transmits the authentication frame to the base station AP1 as shown in step S2. Sent. The base station AP1 receives the authentication frame, and the reception control unit 13 of the base station AP1 writes the authentication frame at a predetermined position in the received authentication frame of ATSN = 1, for example, a status code in the frame body. The security level “enc.1” or “enc.2” of the terminal WL13 is extracted and compared with the lowest security level “enc_low” of the BSS1 registered in the security table 21 of the base station AP1. As shown in step S3, the security level “enc.1” or “enc.2” of the terminal WL13 notified from the terminal WL13 is the security level “enc.1” or “enc.1” supported by the base station AP1. 2 "and at least the minimum security level" enc_low "in the BSS1, it is determined that the connection of the terminal WL13 is permitted. When the security level of the terminal WL13 is not the security level supported by the base station AP1, or when the security level is supported by the base station AP1 but is lower than the security level of the minimum level “enc_low” in the BSS1. It is determined that the connection of the terminal WL13 is rejected.
[0059]
When the base station AP1 refuses the connection of the terminal WL13 in step S3, an authentication frame of ATSN = 2 is prepared by the transmission control unit 12 in accordance with the specification of IEEE802.11, and the connection to the status code is unsuccessful. A code to that effect is written, and an authentication frame of ATSN = 2 is returned to terminal WL13 as shown in step S4. The terminal WL13 determines whether or not the authentication frame of ATSN = 2 in which the description of rejecting the connection is described as shown in step S5 is the Nth time. This N times corresponds to the number of security levels (= N) written in the security table 110 on the terminal side. Initially, the terminal WL13 notifies the base station of the low security level as a low security level supported by the base station AP1, and if rejected, raises the security level and raises it as shown in step S2. The notified security level is notified. When the terminal WL13 notifies the N security levels supported by the terminal side security table 110 and the terminal WL13 receives the authentication frame of ATSN = 2 N times as shown in step S5, It is determined that the connection has been rejected by the base station AP1, and at this stage, the connection procedure is interrupted as shown in step S15.
[0060]
On the other hand, when permitting the connection of the terminal WL13, the base station AP1 complies with the IEEE802.11 specification as shown in step S6 in order to share the encryption parameter corresponding to the security level notified from the terminal WL13 with the terminal WL13. Prepares an authentication frame of ATSN = 2 for transmitting the challenge text, and writes a code indicating that the reception of the authentication frame of ATSN = 1 is successful in the status code of the authentication frame, A reply is sent to the terminal WL13 as shown in S6.
[0061]
When the terminal WL13 receives the authentication frame of ATSN = 2, the security level between the base station AP1 and the terminal WL13, for example, the security level “enc.1” is determined. In addition, the terminal WL13 uses the IV and the secret key acquired in advance by the user as cryptographic parameters corresponding to the security level, in accordance with IEEE 802.11 regulations, and transmits a frame body including a challenge text and the like as shown in step S7. The encryption is performed using the WEP function of the terminal WL13. Further, the terminal WL13 prepares an authentication frame of ATSN = 3, and copies the challenge text from the authentication frame of ATSN = 2 into its frame body. The terminal WL13 encrypts the frame and transmits it to the base station AP1 as shown in step S8.
[0062]
The base station AP1 that has received the authentication frame of ATSN = 3 also uses the secret key of the base station AP1 that is shared with the terminal WL13 and that has received the ATSN as shown in step S9 in accordance with the IEEE 802.11 standard. = 3, and retrieves the stored encrypted challenge text. The decrypted challenge text is compared with the transmitted challenge text, and the encryption / decryption is verified based on the comparison result as shown in step S10.
[0063]
If the verification result is "failure", an authentication frame of ATSN = 4 for notifying the same is prepared in accordance with the specification of IEEE 802.11, and the status code indicates that the verification result is "failure". The code is written, and an authentication frame of ATSN = 4 is returned to terminal WL13 as shown in step S11. “Fail” in the verification result means that the encryption method is different between the base station AP1 and the terminal WL13. Therefore, as shown in step S14, it is confirmed that the number of authentication frames of ATSN = 4 is less than M times, the encryption method in the terminal WL13 is changed, the process returns to step S2, and steps S2 to S10 are repeated. It is. Here, M times corresponds to the number of encryption methods prepared by the terminal WL13, and the terminal WL13 can receive an authentication frame of ATSN = 4 M times. In this way, if the encryption methods do not match even if the terminal WL13 receives the authentication frame of ATSN = 4 M times, it is determined that the terminal WL13 has been refused connection with the base station AP1. Therefore, the terminal determines that the encryption method provided by the base station AP1 has not been prepared, and terminates the connection procedure as shown in step S15.
[0064]
On the other hand, if the verification result in step S10 is “success”, the base station AP1 transmits an authentication frame of ATSN = 4 for notifying the same to the terminal WL13 in accordance with the specification of IEEE802.11 as shown in step S12. Send to Upon receiving this frame, the terminal WL13 starts the association defined by IEEE 802.11, which is the next procedure, as shown in step S12. That is, the terminal WL13 sends an association request frame as shown in step S13 to the base station AP1, and in response to this request, the base station AP1 returns a process to the association response terminal WL13 according to the IEEE 802.11 standard. The operation is performed. After the association ends normally, a data frame is transmitted and received between the terminal WL13 and the base station AP1. The transmitted / received data frame is encrypted by a predetermined encryption, for example, a 64-bit WEP function corresponding to a security level of “enc.1 = enc.low”.
[0065]
In addition, in the terminal WL13 and the base station AP1, when the security level and the encryption parameter of the communication between the terminal WL13 and the base station AP1 are determined, the mutual security information is registered in the security tables 21 and 110. That is, in the terminal WL13, the security information of the base station AP1 is registered in the security table 110 after acquiring the encryption parameter in step S7 shown in FIG. Further, in the base station AP1, after the verification is successful in step S10 of FIG. 7, the security information of the terminal WL13 is registered in the security table 21. That is, by selecting an appropriate address field indicating the address of the terminal WL13 in the MAC frame shown in FIG. 4, security information is registered in the security table 21 of the access point AP1 in relation to this address. In the security table of the base station AP1, as shown in FIG. 10, security information whose “connection destination” is the terminal WL13 is newly registered. In the security table of the terminal WL13, security information whose “connection destination” is the base station AP1 is newly registered in the same manner. That is, by selecting an appropriate address field indicating the address 1 of the base station AP1 in the MAC frame shown in FIG. 4, security information is registered in the security table 110 of the terminal WL13 in relation to this address. The security level of the security information in the newly added terminal WL13 corresponds to the security level requested by the terminal WL13 in step S2 of FIG.
[0066]
Further, if the security information of the base station is registered in the security table of the terminal, the terminal can select in advance a security level equal to or higher than the minimum level of the base station, and as a result, in step S3, The connection is not rejected by the base station. Here, the security information of the base station has at least a security level equal to or higher than the minimum level predetermined for the BSS to which the base station belongs. In other words, when the terminal reconnects to the base station, the base station selects a security level equal to or higher than the minimum level determined by the base station from among the security levels supported by the terminal itself, and selects the step shown in FIG. The security level may be notified to the base station as shown in S2.
[0067]
In addition, it is preferable that security information having a security level equal to or higher than a predetermined minimum level enc_low at least in the BSS to which the base station belongs is registered as security information regarding the terminal WL in the security table of the base station AP. In this registration, for the BSS to which the base station belongs, the BSS is specified by the address described in the appropriate address field in the MAC frame shown in FIG. 4, and the address and the security level are described in the security table. If there is such a registration regarding the BSS, the security level used for the unicast communication from the base station to the terminal can be selected in advance at the minimum level or higher and the security level that the terminal can support. . Also, the security level in the multicast communication and the broadcast communication to the terminal WL in the BSS to which the base station AP belongs is not less than the minimum level enc_low and the security level supported by all the terminals that should receive it. Things can be pre-selected. That is, as shown in step S5 in FIG. 7, when the connection is rejected by the base station AP1, a security level different from the previously notified security level, preferably a higher security level, is notified, and the connection is re-established. Can be requested. While notifying the security level of the terminal WL13 one by one, connection requests can be made up to a maximum number of times M.
[0068]
The base station AP1 notifies the connection request source terminal WL13 of the minimum security level enc_low preset in the BSS1 or all of the security levels equal to or higher than the minimum level enc_low supported by the base station AP1. You may do it. This notification may be made using a frame that is currently unused among the management frame and the control frame of the MAC frame specified in IEEE 802.11. For example, the management frame corresponds to a frame having a subtype of “0110” to “0111”, and the control frame corresponds to a frame having a subtype of “0000” to “1001”. In step S4 shown in FIG. 7, when the base station AP1 refuses the connection of the terminal, after transmitting an authentication frame of ATSN = 2, this unused frame is transmitted and security of the minimum level enc_low or more is transmitted. All the levels may be notified to the terminal WL13. Further, in step S4 or step S6, an unused frame may be transmitted before transmitting the authentication frame of ATSN = 2 to notify the terminal WL13 of all the security levels equal to or higher than the minimum level enc_low. Further, the access point AP1 transmits an unused frame at an appropriate time, such as during the processing of the authentication or association, or before the transmission / reception of the data frame is started, so that the access point AP1 transmits the unused frame to the security level higher than the minimum level enc_low. All may be notified to the terminal WL13.
[0069]
As shown in FIGS. 9 (a), 9 (b) and 9 (c), the frame of the association of the MAC frame specified in IEEE 802.11 has the "capability information (Capability)" of the frame body. information), a reserved field is provided as an unused area. Utilizing this unused area, the base station AP1 provides the connection request source terminal WL13 with the minimum security level enc_low of the BSS1 or all of the security levels supported by the base station AP1 that are equal to or higher than the minimum level enc_low. May be notified to the terminal WL13.
[0070]
As described above, in the first embodiment, when a terminal WL13 that does not belong to the BSS1 other than the terminals WL11 and W112 belonging to the BSS1 tries to connect to the base station AP1, first,
(1) The terminal WL13 notifies the base station AP1 of the security level of the terminal WL13 itself. In the flow shown in FIG. 7, this notification uses an authentication frame.
[0071]
(2) In the base station AP1, when the security level notified from the terminal WL13 is a security level supported by the base station AP1, and is equal to or higher than the security level of the minimum level enc_low predetermined in the BSS1. The connection of the terminal WL13 is permitted, and the processing operation for the connection is continued. However, when the security level notified from the terminal WL13 is lower than the minimum security level predetermined for the BSS1, the connection of the terminal WL13 is rejected.
[0072]
(3) When permitting the connection from the terminal WL13, recognition processing for sharing information for encryption / decryption, that is, encryption parameters, is executed as necessary.
[0073]
As described above, according to the first embodiment, for each basic group of the wireless LAN, such as the BSS, the wireless communication that secures the minimum security level by the encryption predetermined in each group is realized. .
[0074]
Preferably, in the case of (1) above, if the terminal WL13 is notified of the highest security level enc_high of the security levels supported by the terminal WL13 itself to the base station AP1, the base station AP1 disconnects the connection of the terminal WL13. Opportunities to refuse are reduced. Further, if the security level of the highest level enc_high is notified to the base station AP1, it is possible to determine whether or not the connection with the base station AP1 can be made by one connection request, and as a result, useless traffic can be reduced.
[0075]
In addition, the base station or each terminal in the BSS1 registers security information of a security level equal to or higher than a predetermined minimum level enc_low in the BSS1 used when communicating with the base station or the terminal in the BSS1, respectively. Is preferred. The base station or each terminal refers to this security table and selects in advance a minimum security level that is not rejected for connection as a security level to be notified when requesting a connection to a desired terminal or base station specified by an address. be able to.
[0076]
In the first embodiment, in step S2, the terminal WL13 notifies the base station AP1 of only one security level desired to be used for communication with the base station AP1, but is limited to this case. Clearly not. The terminal WL13 may notify the base station AP1 of all or a plurality of security levels, if not all, of the terminal WL13. Further, among the security levels supported by the terminal WL13, only the highest security level enc_high may be notified from the terminal WL13 to the base station AP1.
[0077]
The processing operation of the base station AP1 when notifying all or at least a plurality of security levels of the terminal WL13 in step S2 will be described.
[0078]
In step S2 shown in FIG. 7, a plurality of security levels of the terminal WL13 itself are transmitted to the base station. In step S3, the base station AP1 determines in step S3 whether the security level includes a security level equal to or higher than the security level enc_low corresponding to the lowest level in BSS1, and further includes a security level supported by its own device. to decide. If the supported security level is included, the base station AP1 determines that the connection of the terminal WL13 is permitted. When the supported security level is not included, the base station AP1 determines that the connection of the terminal WL13 is rejected. When rejecting the connection of the terminal WL13, the process proceeds to step S4. When permitting the connection of the terminal WL13, the base station AP1 next selects a security level equal to or higher than the minimum level enc_low in the BSS1 from among the security levels supported by both the terminal WL13 and the base station AP1. When there are a plurality of security levels equal to or higher than the minimum level enc_low in the BSS1, the base station AP1 selects one of them. Regarding this selection, there are the lowest, the highest, and other various selection criteria, and any one of them may be selected. The base station AP1 sets one selected security level as a security level used for communication with the terminal WL13. For example, if the security levels notified from the terminal WL13 are “enc. 0” and “enc. 1”, the connection of the terminal WL13 to the base station AP1 is permitted, and the connection between the terminal WL13 and the base station AP1 is established. The communication security level is selected as “enc. 1”.
[0079]
When it is necessary to notify the selected security level to the terminal WL13, for example, before transmitting the authentication frame of ATSN = 2 in step S6 in FIG. A currently unused frame among the prescribed management frame and control frame of the MAC frame may be used.
[0080]
Upon receiving the notification of the selected security level, the terminal WL13 can prepare for the subsequent processing.
[0081]
In the BSS1, if the security level is equal to or higher than the minimum level enc_low predetermined in the BSS1, it is not always necessary to communicate at the same security level.
[0082]
In the BSS1, communication may be performed at different security levels depending on the connection partner. That is, here, as long as the base station AP1 has a security level equal to or higher than the minimum level enc_low predetermined in the BSS1, there is no particular limitation regarding communication with any terminal at any security level. Since the base station AP1 communicates at different security levels for each terminal, confidentiality of wireless communication can be improved.
[0083]
Although FIG. 7 has been described as an operation at the time of connection between the terminal WL13 not subscribed to the BSS1 and the base station AP1, the terminal WL13 described above is replaced with each of the terminals WL11 to WL12 subscribed to the BSS1. May be. Even when each of the terminals WL11 to WL12 tries to connect to the base station AP1, according to the procedure shown in FIG. 7, in step S2 of FIG. 7, a different security level is notified each time, and each time the connection is made, The security level can be changed according to the purpose. In this case, since the minimum security level of BSS1 is registered in the security table of each terminal, a security level equal to or higher than the minimum level is selected from among the security levels supported by each terminal. Notified in S2. Also, without changing the security level, it is also possible to change the encryption parameters (such as a secret key and IV in the case of WEP) at the time of subsequent authentication.
[0084]
Similarly, the procedure at the time of a connection request from a terminal to a base station described in FIG. 7 is applicable as a procedure at the time of a connection request from a base station to a base station belonging to different BSSs. That is, the terminal WL13 described in FIG. 7 can be replaced with the base station AP1, and the base station AP2 can be replaced with a base station belonging to another BSS different from the BSS1, for example, the base station AP2 of the BSS2 here. As described above, according to the first embodiment, even in communication between base stations, that is, DS communication, communication is realized with a minimum security level or higher.
[0085]
When a terminal in the BSS1, for example, the terminal WL11 communicates with another terminal in the same BSS1, for example, the terminal WL12, the terminal may be connected to the base station AP1 via the base station AP1 for communication. Alternatively, the terminals may communicate directly without going through the base station AP1.
[0086]
When the terminals WL11 to WL12 and the base station AP1 try to connect to the other party registered in the respective security tables, the authentication for transmitting and receiving the security level and the encryption parameter may be omitted. On the side that has received the connection request, if the source of the frame is registered in its own security table, the security table is referred to and the security level that is higher than the predetermined minimum level in the BSS1 is referred to. Just communicate with the requester.
[0087]
In the security tables of the base station AP1 and the terminals WL11 to WL12, only the security information of the security level used in the past communication between them may be registered for each connection partner. This registered security information corresponds to a security level equal to or higher than the minimum level enc_low in the BSS1.
[0088]
At the time of the initial setting, the security tables of the base station AP1 and the terminals WL11 to WL12 in the BSS1 all have the same contents, and each of the devices constituting the BSS1 as shown in FIG. The security information of all security levels to be performed and the security level set as the lowest level in BSS1 may be registered.
[0089]
Further, in the BSS1, the base station AP1 and the terminals WL11 to WL12 also support "enc. 1" which is the minimum security level allowed in the BSS1. Therefore, when any one of the terminals WL11 to WL12 multicasts or broadcasts a data frame or the like in the BSS1, the frame body of the frame is encrypted with the lowest allowable security level. As a result, the lowest allowable security level can be secured for the BSS1.
[0090]
In the first embodiment, the checking of the security level supported by the connection request source and the recognition processing for sharing the encryption parameter between the connection request source and the connection request destination are defined in IEEE 802.11. Is done at the time of authentication. However, it is also possible to divide the two processes and execute the former at the time of the association defined by IEEE 802.11. It is also conceivable that the association is performed first, and then the authentication is performed. In this case, the two processes may be performed at the time of authentication, or may be performed separately at the time of association and at the time of authentication. However, when the above two processes are separated, it is preferable to check the security level prior to the recognition process for sharing the encryption parameter, in order to ensure security.
[0091]
(Second embodiment)
A communication system according to the second embodiment in which the base station of the BSS1 in which the minimum security level is predetermined as shown in FIG. 1 broadcasts the minimum security level determined in the BSS1 will be described. In this description, in the communication system according to the second embodiment, the same description as in the first embodiment will be omitted, and different points will be described with reference to FIG.
[0092]
In the communication system according to the second embodiment, the minimum security level of the BSS is written in a beacon frame specified in IEEE 802.11, and the beacon frame is transmitted.
FIG. 11 shows a format of a frame body of a beacon frame having a structure of a MAC frame specified in IEEE 802.11. In the “capability information” of the beacon frame, a reserve field is provided as an unused area. The base station AP1 writes the minimum security level of the BSS1, all the security levels higher than the minimum level supported by the base station AP1, or at least a plurality of security levels in this reserved field, and writes the security level. To the terminal WL.
[0093]
The transmission control unit 14 of the base station AP1 sets the beacon frame to the minimum security level of the BSS1, all the security levels above the minimum level supported by the base station AP1, or a plurality of security levels if not all. Write and broadcast. As shown in step S21 of FIG. 12, the terminal receives this beacon frame. The beacon frame can also be received by a terminal that has not subscribed to the BSS1, for example, the terminal WL13 illustrated in FIG.
[0094]
The receiving unit 101 of the terminal WL13 extracts the lowest security level of the BSS1 written in the received beacon frame as shown in step S22, and sets the security level supported by the terminal WL13 to the BSS1 as shown in step S23. Check if there is more than the minimum level of. Here, all the security levels supported by the terminal WL13 may be registered in the security table of the terminal WL13 in advance. If the security level of the terminal WL13 does not exceed the minimum level of the BSS1, the connection with the base station AP1 is stopped and the connection processing is terminated.
[0095]
Here, the lowest security level of the BSS1 is “enc.1”, and the terminal WL13 supports “enc.0” and “enc.1”. Therefore, the terminal WL13 is connected to the base station AP1. It is possible. Since the security level of the terminal WL13 is higher than the minimum level of the BSS1, the terminal WL13 selects the security level “enc.1” and starts a connection request to the base station AP1. That is, the process proceeds to step S2 in FIG. 7, and the selected security level is notified, and the same operation as that described in the first embodiment is performed.
[0096]
However, in this case, since it is expected that the terminal WL side will always notify the security level equal to or higher than the minimum level, the base station AP1 may omit step S3 in FIG. In step S2, the terminal WL13 selects a security level equal to or higher than the lowest level of the BSS1 notified in the beacon frame from among the security levels of the terminal WL13 itself (when there are a plurality of such security levels, All, or some of them, or one of them may be selected, and for example, the highest or lowest security level or the desired security level may be selected.) What is necessary is just to notify the base station AP1.
[0097]
In this way, the base station AP1 of the BSS1 having the predetermined minimum security level broadcasts the minimum security level of the BSS, so that the terminal WL13 can connect to the terminal that can connect with the security level supported by itself. Is selected beforehand, and the connection is started, so that unnecessary traffic can be reduced.
[0098]
Further, the terminal WL13 can transmit a probe request frame (probe request) to the base station AP1, and the base station AP1 can notify the security level in response to the probe request frame (probe response) to the base station AP1.
[0099]
(Third embodiment)
In the first embodiment, the case where the authentication and the association specified in IEEE 802.11 are performed in this order has been described. However, it is assumed that the association is performed first and then the authentication is performed. Is done. In the third embodiment, this case will be described with reference to the flowchart shown in FIG. 13 taking the case of BSS1 shown in FIG. 1 as an example.
[0100]
Here, as in the first embodiment, the case where the terminal WL13 that has not joined the BSS1 requests a connection to the base station AP1 of the BSS1 will be described, and only the parts different from the first embodiment will be described.
[0101]
The terminal WL13 receives the beacon frame transmitted from the base station AP1 as shown in step S31, and thereafter transmits an association request frame to the base station AP1 as shown in step S32 to connect to the base station AP1. .
[0102]
As described above, as shown in FIGS. 9A, 9B, and 9C, the frame of the association of the MAC frame specified in IEEE 802.11 has the “capacity” of the frame body. An unused area, that is, a reserve field is provided in the “ability information (Capability information)”. The transmitting unit 107 of the terminal WL13 writes at least one of the security levels supported by the terminal WL13 into the reserved field, and transmits the reserved security field to the base station AP1 as shown in step S32. For example, here, the transmitting unit 107 of the terminal WL13 writes data indicating one “enc.1” of all the security levels (“enc.0” “enc.1”) of the terminal WL13 into the reserve field. , To the base station AP1.
[0103]
The processing operation of the base station AP1 receiving this is the same as in the first embodiment. That is, the reception control unit 13 of the base station AP1 extracts the security level of the terminal WL13 written in the received association request frame (Association Request), and registers this security level in the security table 21 of the base station AP1. The security level is compared with the lowest security level of the existing BSS1. If the security level of the terminal WL13 notified from the terminal WL13 is a security level supported by the base station AP1 and is equal to or higher than the minimum security level of the BSS1, the connection of the terminal WL13 is performed as shown in step S33. Is determined to be permitted. If the security level is lower than the minimum security level of BSS1, it is determined that the connection of the terminal WL13 is rejected as shown in step S33. That is, when the connection of the terminal WL13 is rejected, a code indicating that the connection has failed is written in an association response frame (Status code of the Association Response) as shown in step S34, for example, in accordance with IEEE 802.11. Replies to the terminal WL13. The terminal WL13 receives this frame, determines that the connection has been rejected by the base station AP1, and suspends the connection procedure at this stage.
[0104]
On the other hand, when the connection of the terminal WL13 is permitted, the communication of the association using the “enc. 1”, which is the lowest security level of the BSS1 notified from the terminal WL13, is performed in accordance with the rules of IEEE802.11. A code indicating that the connection is successful is written in a frame (Status code of Association Response), and is returned to the terminal WL13 as shown in step S36.
[0105]
In response to this, the terminal WL13 transmits an authentication frame as shown in step S37 for an authentication process for sharing the encryption parameter between the terminal WL13 and the base station AP1 in accordance with IEEE 802.11 regulations. I do. The authentication process after the transmission of the authentication frame is executed in accordance with IEEE 802.11. Since this process complies with the IEEE802.11 standard, a description thereof will be omitted.
[0106]
In the case of the third embodiment, the same effects as those of the first embodiment can be expected, and various variations as described in the first embodiment can be applied. Nor.
[0107]
(Fourth embodiment)
Next, a method for securing a security level for each area, that is, for each BSS when a terminal communicates while moving between areas of a plurality of base stations will be described with reference to the wireless LAN system shown in FIG. 1 as an example. I do. Even in a situation where the terminal WL is moved, that is, in a so-called mobile environment, a technique for ensuring a predetermined minimum security level for each BSS to which each base station belongs is described in the fourth embodiment. This will be described in the form. Basically, as described in the first embodiment, when receiving a connection request from a terminal, the base station of each BSS receives a notification of the security level from the terminal, and the base station sends the security level to the own BSS. Only in the case where the security level is equal to or higher than the predetermined minimum security level, the connection of the terminal is permitted and the authentication process for sharing the encryption parameter between the base station and the terminal is the same.
[0108]
For example, in a wireless LAN system defined by IEEE 802.11, when the terminal WL13 in FIG. 1 is connected to the base station AP2 and moves into the area of the base station AP1, the terminal WL13 and the base station A reassociation is performed with the AP1. When the reassociation procedure ends normally, data frames are transmitted and received.
[0109]
In the fourth embodiment, the security level of the terminal WL13 is notified from the terminal WL13 to the base station AP1 by using an unused area in a reassociation request frame (Reassociation Request).
[0110]
Hereinafter, in the wireless LAN system shown in FIG. 1, the flowchart shown in FIG. 15 will be described for a case where the terminal WL13 moves from the area of the base station AP2 to the area of the base station AP1 and the reassociation is performed with the base station AP1. It will be described with reference to FIG. In FIG. 15, the same parts as those in FIG. 13 are denoted by the same reference numerals, and the description thereof will be omitted. Different procedures will be described.
[0111]
After receiving the beacon frame transmitted from the base station AP1 as shown in step S31, the terminal WL13 transmits a reassociation request frame to the base station AP1 as shown in step S51 to connect to the base station AP1. .
[0112]
As shown in FIGS. 14A to 14C, an unused area, that is, a reserved field in the “Capability information” of the frame body is included in the frame of the association of the MAC frame specified in IEEE 802.11. Is prepared.
[0113]
The transmitting unit 107 of the terminal WL13 writes at least one of the security levels supported by the terminal WL13 into this reserved field, as shown in step S51, and transmits it to the base station AP1. For example, here, the transmitting unit 107 of the terminal WL13 writes data indicating “enc.1” among all the security levels (“enc. 0” and “enc.1”) of the terminal WL13, and writes the data to the base station AP1. Send.
[0114]
The processing operation of the base station AP1 that has received the reassociation frame is the same as that described with reference to FIG. 13, so the description regarding step S33 in FIG. 13 should be referred to. However, if the connection of the terminal WL13 is to be rejected in step S33, a code indicating that the connection has failed is written in the status code of the reassociation response frame in accordance with IEEE 802.11, as shown in step S52. This is returned to the terminal WL13. When the connection of the terminal WL13 is permitted, a code indicating that the connection is successful is written in the status code of the reassociation response frame in accordance with the IEEE802.11 standard, and is returned to the terminal WL13 as shown in step S53. Is done.
[0115]
When the base station AP1 permits the connection of the terminal WL13, it is necessary that the encryption parameters are shared between the base station AP1 and the terminal WL13. For this purpose, as shown in steps S37 to S44 in FIG. 15, similarly to FIG. 13, in accordance with the rules of IEEE 802.11, an authentication process for sharing the encryption parameter between the terminal WL13 and the base station AP1; That is, an authentication procedure may be performed.
[0116]
In the request frame for reassociation from the terminal WL13, the address of the base station to which the terminal WL13 is currently connected, that is, the address of the base station AP2 is described. This address corresponds to the “current AP address (Current AP address)” shown in FIGS. Therefore, as shown in FIG. 15, the authentication procedure is not performed, and the base station AP1 connects to the base station AP2 based on the “current AP address”. Then, the base station AP1 requests transfer of security information for the terminal WL13 registered in the security table of the base station AP2, and after transferring the security information, registers the security information in the security table. good. As a result, the encryption parameters are shared between the base station AP1 and the terminal WL13. Therefore, after the connection of the terminal WL13 is permitted from the base station AP1 shown in step S53, the terminal WL13 is encrypted at the same security level in the same manner as the communication between the terminal WL13 and the base station AP2. The transmitted data frame can be transmitted to and received from the base station AP1.
[0117]
In the communication system according to the fourth embodiment, the same effects as in the first embodiment can be expected, and various variations as described in the first embodiment can be applied. Needless to say.
[0118]
(Fifth embodiment)
As described above, in the communication systems according to the first to fourth embodiments, the terminal WL13 realizes communication with the base station AP1 at a security level equal to or higher than the minimum level predetermined for the BSS1 to which the base station AP1 belongs. It is possible to do. However, when the terminal WL13 communicates with a terminal that has not joined the BSS1 other than the base station AP1 and communicates with another wireless station at the same time as the terminal WL13 communicates with the base station AP1, the security level of the communication between them is predetermined in the BSS1. If the security level is lower than the set minimum level, it cannot be concluded that the security level of the minimum level of the BSS1 is secured as a result. Thus, in the communication system according to the fifth embodiment, as shown in FIG. 16, when the terminal WL13 is already wirelessly connected to a certain terminal WL14, even if the terminal WL13 requests connection to the base station AP1. According to the procedure described below, the minimum level of security predetermined for the BSS1 can be ensured.
[0119]
When the terminal WL13 is wirelessly connected to another terminal or a base station at a security level less than the minimum security level predetermined for the BSS1, the terminal WL13 communicates with the base station or the terminal in the BSS1. Basically, it is impossible to connect. Therefore, in order to connect to a terminal or a base station in the BSS1, a wireless connection having such a low security level must be disconnected in advance, or the security level of the wireless connection must be increased to a minimum level of the BSS1. Is required.
[0120]
Hereinafter, the procedure for that will be omitted for common procedures described in the first to fourth embodiments, and different procedures will be described.
[0121]
In FIG. 16, the same parts as those in FIG. It is assumed that the security level supported by the terminal WL14 shown in FIG. 16 is only “enc.0”. When the terminal WL13 initiates a request for connection to the base station AP1, it is assumed that the terminal WL13 is already wirelessly connected to the terminal WL14 and the communication security level therebetween is “enc.0”.
[0122]
The case where the terminal WL13 starts a connection request to the base station AP1 of the BSS1 in such a state will be described.
[0123]
First, as described in the second embodiment, a case where a predetermined minimum security level is notified to BSS1 in a beacon frame will be described with reference to the flowchart shown in FIG. In this case, the terminal WL13 knows from the received beacon frame that the lowest security level that can be wirelessly connected to the base station AP1 is "enc.1". Therefore, the terminal WL13 executes the processing operation shown in FIG. 17 before proceeding to step S32 in FIG.
[0124]
In step S61 of FIG. 17, it is confirmed whether the security level of the terminal WL13 is higher than the minimum level “enc.1” allowed by the BSS1. When a security level of “enc.1” or higher is prepared for the terminal WL13, the process proceeds to step S62. In this step S62, it is determined whether or not the security level of communication between the terminal WL13 and the terminal WL13, ie, the terminal WL14 and the terminal WL13, is equal to or higher than the minimum level "enc.1" permitted by the BSS1. Is checked. If the security level of the communication between the terminal WL13 and the terminal WL14 is equal to or higher than the minimum level “enc.1” permitted by the BSS1, the process proceeds to step S64, and the connection procedure between the terminal WL13 and the base station AP1 starts. Is done. That is, in the terminal WL13, the processing after step S32 in FIG. 13 is executed. On the other hand, when the security level between the terminal WL13 and the terminal WL14 is less than the minimum level (“enc.1”) permitted by the BSS1, the process proceeds to step S63, where the wireless connection between the terminal WL13 and the terminal WL14 is established. Is disconnected, and the process proceeds to step S64.
[0125]
As described above, since the security level of the communication between the terminal WL13 and the terminal WL14 is “enc.0”, the process proceeds from the step S62 to the step S63, and the wireless connection between the terminal WL13 and the terminal WL14 is disconnected. You. Thereafter, the terminal WL13 terminates the deauthentication (Deauthentication) specified in IEEE 802.11, and proceeds to step S64.
[0126]
As described above, when the security level between the terminal WL13 and the currently connected terminal WL14 is lower than the security level broadcast from the base station AP1 to which the connection is requested, the terminal WL13 establishes the wireless connection between the terminal WL13 and the terminal WL14 in advance. The terminal WL13 is disconnected, and a connection request is sent from the terminal WL13 to the base station AP1. Therefore, the wireless connection between the terminal WL13 and the base station AP1 is reliably performed while maintaining the minimum security level of the BSS1.
[0127]
In step S63, after temporarily disconnecting the wireless connection between the terminal WL13 and the terminal WL14, the terminal WL13 and the terminal WL14 may be wirelessly connected again at a security level equal to or higher than the minimum level of the BSS1.
[0128]
In the above description, the case where the terminal WL13 is wirelessly connected to only one of the terminals WL14 has been described. However, even when the terminal WL13 is wirelessly connected to a plurality of terminals or a plurality of base stations, similarly to the above, Each security level is checked. If the security level is not equal to or higher than the minimum level of BSS1, the connection between terminal WL13 and the other terminal is temporarily disconnected, terminal WL13 is set to a security level equal to or higher than the minimum level of BSS1, and connection to base station AP1 is started. May be.
[0129]
In the above description, the case of the terminal WL13 wirelessly connected to the terminal WL14 has been described as an example. However, the above-described series of procedures may be applied to the processing operation of the base station AP2 of another BSS2 different from the BSS1. it can. As described above, when both the side that has issued the connection request and the side that has received the connection request are not terminals but base stations, DS communication with a minimum security level secured in each of a plurality of BSSs is possible. When the side that has issued the connection request is a base station, the base station may be wirelessly connected to a plurality of terminals or base stations. Is checked, and the access point may temporarily disconnect the connection with the terminal WL and other access points if the BSS is not at least the minimum level of the BSS to be connected. Then, if necessary, the access point may set a security level equal to or higher than the minimum level of the BSS to be connected to, and then start the connection to the desired base station.
[0130]
Next, as described in the first, third, and fourth embodiments, the flowchart shown in FIG. 18 illustrates a case where the security level of the terminal WL13 is checked at the time of authentication, association, and reassociation. It will be described with reference to FIG. The processing operation shown in FIG. 18 corresponds to step S3 in FIG. 7, step S33 in FIGS. 13 and 15, and the like.
[0131]
When checking the security level of the terminal WL13, as described above, the terminal WL13 writes the security level of the terminal WL13 in an unused area on an authentication request frame or an association or reassociation request frame. At least one of the following items (1) and (2) is written in the unused area or another unused area.
[0132]
(1) Whether there is a terminal or a base station to which the terminal WL13 is currently wirelessly connected.
[0133]
(2) Security level between the terminal WL13 and the terminal or base station currently wirelessly connected
Here, when the terminal WL13 is wirelessly connected to a plurality of terminals or base stations, the security levels of all of them are written in the unused area.
[0134]
The base station AP1 receives the frame as shown in step S71, and first checks the security level of the terminal WL13 as shown in step S72. If the security level of the terminal WL13 does not satisfy the minimum security level defined in the BSS1, the process proceeds to step S73, and the connection is rejected. That is, as described in the first, third, and fourth embodiments, the connection rejection is notified to the terminal WL13 in the frame of the authentication, association, or reassociation.
[0135]
On the other hand, when the security level of the terminal WL13 is a security level supported by the base station AP1 and is equal to or higher than the minimum security level defined in the BSS1, the process proceeds to step S74. When it is determined from the above information (1) or (2) that there is no terminal or base station currently wirelessly connected to the terminal WL13, the process proceeds to step S75, and the wireless connection of the terminal WL13 is permitted. That is, as described in the first, third, and fourth embodiments, the permission of the wireless connection is notified to the terminal WL13 in the authentication, association, and reassociation frames, and the subsequent processing is performed as described above. Is executed in the same way as This processing corresponds to step S6 in FIG. 7, step S36 in FIG. 13, step S53 in FIG. 15, and the like. If it is determined from the above information (1) or (2) that there is a terminal or base station currently wirelessly connected to the terminal WL13, the process proceeds to step S76.
[0136]
In step S76, when the information received in step S71 includes the “security level between the terminal WL13 and the terminal WL14 currently wirelessly connected” shown in (2), the security level is Checked. If the security level with the terminal WL14 is equal to or higher than the minimum security level defined in the BSS1, the process proceeds to step S75, and the wireless connection of the terminal WL13 is permitted. On the other hand, when the security level with the terminal WL14 is less than the minimum security level defined in the BSS1, or when the information received in step S71 does not include the information described in (2) above. That is, when the security level with the terminal WL14 is unknown, the process proceeds to step S77, and the connection request from the terminal WL13 is rejected. As described in the first, third, and fourth embodiments, the rejection of the connection request is notified to the terminal WL13 in the frame of the authentication, association, or reassociation.
[0137]
In step S77, instead of notifying that the connection request is rejected, a request for instructing disconnection of the wireless connection with the terminal WL14 is made in the same manner in an authentication, association, or reassociation frame. Notification. In this case, terminal WL13 can immediately determine that connection to base station AP1 can be established by disconnecting wireless connection with terminal WL14. Therefore, after disconnecting the wireless connection with the terminal WL14, for example, after terminating the deauthentication (Deauthentication) defined in IEEE802.11, the terminal WL13 can request the connection to the base station AP1 again. .
[0138]
In addition, after rejecting the connection request in step S77, after the management frame and the control frame of the MAC frame specified in IEEE 802.11 are currently unused frames, for example, in the case of the management frame, the subtype is In the case of a frame such as “0110” to “0111” or a control frame, the minimum security level allowed in the BSS1 is notified using a frame having a subtype such as “0000” to “1001”. Is also good. If there is a notification of the minimum security level allowed in BSS1, if terminal WL14 can support the minimum security level, terminal WL13 reconnects to the security level and then issues a connection request to base station AP1 again. It can be carried out.
[0139]
In the above description, the case where the terminal WL13 is wirelessly connected to only one of the terminals WL14 is described as an example. However, even in the case of wireless connection with a plurality of terminals and base stations, similarly to the above, the terminal WL13 determines whether or not there are already connected terminals and base stations, preferably The security level may be notified. When a plurality of security levels of the already connected wireless communication are notified from the terminal WL13, the base station AP1 may check the security levels of each of them in step S76.
[0140]
As described above, even if the side that issued the connection request is already wirelessly connected to another terminal or base station, if the security level of this wireless connection is unknown, or the side that received the connection request If the minimum security level is not satisfied, the connection request is rejected, so that the minimum security level of the side receiving the connection request can be secured. Although the above description has been made by taking the case of the terminal WL13 wirelessly connected to the terminal WL14 as an example, the present invention can be applied to the processing operation of the base station AP2 of another BSS2 different from the BSS1. As described above, when both the side that has issued the connection request and the side that has received the connection request are not base stations but base stations, DS communication with a minimum security level secured in each of a plurality of BSSs is possible. When the side that has issued the connection request is a base station, the base station may be wirelessly connected to a plurality of terminals or base stations. In such a case as well, it is preferable that the side that has issued the connection request notifies the presence or absence of a terminal or base station that has already been connected, preferably the security level of each terminal. On the side that has received the connection request, when a plurality of security levels of the already connected wireless communication have been notified from the side that has issued the connection request, the security level of each of them may be checked in step S76. .
[0141]
(Sixth embodiment)
In the wireless system according to the first embodiment, the case where a connection request is made to the base station has been described. However, the same method can be applied to a case where a connection request is made from a terminal to a terminal. Here, as shown in FIG. 19, a case will be described as an example where a terminal WL15 not subscribed to BSS1 requests a connection to terminal WL12 belonging to BSS1. The security level that the terminal WL15 can support is only “enc.0”. Since the terminal WL12 has subscribed to the BSS1, when the terminal WL12 communicates, it is necessary to secure a minimum security level predetermined for the BSS1. For this purpose, a processing operation similar to that shown in FIG. 7 between the terminal and the base station is performed between the terminal WL12 and the terminal WL15.
[0142]
FIG. 20 shows a processing procedure between the terminal WL12 and the terminal WL15 when a connection request is made from the terminal WL15 to the terminal WL12. In FIG. 20, the same parts as those in FIG. 7 are denoted by the same reference numerals, description thereof will be omitted, and different points will be described below.
[0143]
20, the processing operation at the base station shown in FIG. 7 corresponds to the processing operation at terminal WL12. Therefore, step S1 of transmitting a beacon frame is unnecessary. Other steps S2 to S12 are the same as those in FIG. Note that the association procedure is not required.
[0144]
As shown in FIG. 20, also at the time of establishing a connection between the terminal WL12 and the terminal WL15, the terminal WL12 on the side receiving the connection request checks the security level of the terminal WL15 on the side issuing the connection request. . Here, the security level of the terminal that has issued the connection request is a security level supported by the device that has received the connection request, and is equal to or higher than the minimum security level of the BSS1 to which the terminal that has received the connection request belongs. If so, the connection of the terminal WL15 is permitted. If the security level of the terminal that has issued the connection request is not the security level supported by the device that has received the connection request, or is lower than the minimum security level of the BSS1 to which the terminal that has received the connection request belongs. , The connection of the terminal WL15 is rejected. If the connection is permitted, a manual processing operation for sharing an encryption parameter corresponding to the security level is performed.
[0145]
When the terminal WL12 receives the connection request from the terminal WL13, the terminal WL12 executes the processing operation as shown in FIG. 20 regardless of whether the terminal WL12 is wirelessly connected to the base station AP1. .
[0146]
In FIG. 19, a mode in which a data frame is directly transmitted to the terminal WL12 may be applied to the terminal WL15. This mode is called an ad hoc mode. This ad hoc mode can be executed without authentication. In the ad hoc mode, a processing operation in terminal WL12 will be described with reference to a flowchart shown in FIG.
[0147]
The terminal WL12 receives the data frame addressed to the terminal WL12 directly from the terminal WL15 without passing through the base station as shown in step S81). Such a data frame can be easily formed because, for example, according to the IEEE 802.11 specification, both “To DS” and “From DS” in the frame control of the MAC frame shown in FIG. 4 are “0”. I can judge.
[0148]
Upon receiving this data frame, the receiving unit 101 of the terminal WL12 checks whether security information corresponding to the source address is registered in the security table 110 of the terminal WL12 as shown in step S82. Is done.
[0149]
The fact that the security information of the terminal WL15 is registered in the security table means that the terminal WL15 has communicated with the terminal WL12 in the past at a security level equal to or higher than the predetermined minimum level between the terminal WL12 and the BSS1 registered in the security table. Or that it is predetermined to communicate at such a security level. Therefore, the process proceeds to step S83, and the terminal WL12 transmits, for example, an ACK frame corresponding to the received data frame specified in EEE 802.11 to the terminal WL15, and starts transmitting and receiving data to and from the terminal WL15.
[0150]
On the other hand, if the security information of the terminal WL15 is not registered in the security table in step S82, the security level of the terminal WL15 is unknown as it is, so that the terminal WL12 cannot communicate with the terminal WL15. Therefore, the process proceeds to step S84, where the terminal WL15 is notified that authentication is requested without transmitting the ACK frame. This notification indicates that the management frame of the MAC frame specified in IEEE 802.11 and the control frame are currently unused frames. For example, in the case of the management frame, the subtype is “0110” to “0111”. In the case of a frame or a control frame, the notification may be made using a frame whose subtype is “0000” to “1001”.
[0151]
The terminal WL15 that has received this notification may start the processing operation after step S2 shown in FIG. In step 84 described above, the terminal WL12 transmits an ACK frame, the terminal WL15 starts the process of step S2, and then the steps illustrated in FIG. 20 may be executed.
[0152]
In the communication procedure according to the fifth embodiment, as shown in FIG. 16, when the terminal WL13 has already been wirelessly connected to a certain terminal WL14 and makes a connection request to the base station AP1, the base station AP1 A method for ensuring a predetermined minimum level of security in BSS1 has been described. In response to this, as shown in FIG. 22, a case will be described where the terminal WL15 requests a connection to the terminal WL12 when the terminal WL15 is already wirelessly connected to the existing terminal WL16.
[0153]
Here, the security level that the terminal WL16 can support is only “enc.0”. Since the terminal WL12 has joined the BSS1, when the terminal WL12 starts communication, it is necessary to secure a minimum security level predetermined for the BSS1. For this purpose, the same processing operation as that shown in FIG. 18 may be performed at the terminal WL12.
[0154]
FIG. 23 shows a processing procedure between the terminal WL12 and the terminal WL15 when a connection request is made from the terminal WL15 to the terminal WL12. In FIG. 23, the same portions as those in FIG. 18 are denoted by the same reference numerals, and the description thereof will be omitted. Only different portions will be described. That is, in FIG. 23, the processing operation in the base station and the terminal WL13 in FIG. 18 corresponds to the processing operation in the terminal WL12 and the terminal WL15, respectively, and substantially the same processing as the processing procedure illustrated in FIG. 18 is performed. . Therefore, the description referring to FIG. 23 can be understood without particular description if the base station and the terminal WL13 in the above description in FIG. 18 are replaced with the terminal WL12 and the terminal WL15, respectively.
[0155]
Also, in FIG. 22, when the terminal WL15 tries to directly transmit a data frame to the terminal WL12 without going through the authentication, the terminal WL12 performs the processing operation of the flowchart in FIG. The following processing operation may be performed. Preferably, when the terminal WL12 receives the data frame addressed to the terminal WL12 directly without passing through the base station from the terminal WL15 in step S81 of FIG. 21, the terminal WL12 immediately proceeds to step S84 and proceeds to step S84. It is desirable to notify the user of the request for authentication and to always execute the processing operation shown in FIG. 23 in order to ensure security. Since the security information of the terminal WL15 is registered in the security table of the terminal WL12, the terminal WL15 does not necessarily communicate with a wireless connection with a terminal other than the terminal WL12 at a minimum security level of the BSS1 to which the terminal WL12 belongs. Because there is no.
[0156]
In the above description, the case where the terminal WL15 is wirelessly connected to only one of the terminals WL16 has been described as an example. However, when the terminal WL15 is wirelessly connected to a plurality of terminals or base stations, the terminal The WL 15 notifies the presence or absence of a terminal or a base station that is already connected, preferably, the security level of each terminal or base station. When a plurality of security levels of wireless communication already connected are notified from the terminal WL15, the terminal WL12 may check the security levels of each of them in step S76.
[0157]
As described above, according to the sixth embodiment, even in communication between a plurality of terminals, when one of the terminals is a terminal in a BSS in which a minimum security level to be protected is predetermined. The security level can be secured.
[0158]
(Seventh embodiment)
In the first to sixth embodiments, the case where the security level of the BSS is secured has been described. A similar technique can be applied to secure a security level in IBSS.
[0159]
In the seventh embodiment, an IBSS1 having a configuration as shown in FIG. 24 will be described as an example.
[0160]
24, the IBSS1 includes a plurality of, for example, three terminals WL31 to WL33. The terminal WL31 supports security levels “enc.0” and “enc.1”, the terminal WL32 supports security levels “enc.0”, “enc.1” and “enc.2”, and the terminal WL33. Supports the security levels “enc.0” and “enc.1”.
[0161]
According to the specification of IEEE 802.11, the IBSS can directly transmit and receive a data frame between a plurality of terminals in the IBSS without going through a base station and without performing an authentication authentication process. If each terminal in the IBSS1 has a security table, security information of each terminal constituting the IBSS1 is registered in the security table, and communication is performed at a minimum security level or more predetermined in the IBSS1. , IBSS1, the minimum security level can be ensured.
[0162]
Therefore, a processing operation when a connection request is received from one of a plurality of terminals constituting the IBSS1, for example, the terminal WL31, which has not subscribed to the IBSS1, that is, is not registered in the security table. explain.
[0163]
In this processing operation, similarly to the sixth embodiment, the terminal WL31 preferably performs the processing operation as shown in FIG. 21 so that the security information of the source of the received data frame is stored in its own security table. If it is not registered, a notification to the effect that an authentication is requested is transmitted to the transmission source of the data frame, that is, the terminal WL34. Thereafter, when the authentication frame is transmitted from the terminal WL34, a processing operation as shown in FIG. 23 is preferably performed. However, the terminal WL15 shown in FIG. 23 may be replaced with the terminal WL34. That is, the terminal WL34 writes the security level of the terminal WL34 in the authentication frame, writes at least one of the above items (1) and (2), and transmits the frame to the terminal WL31. The terminal WL31 may receive the authentication frame from the terminal WL34 and perform the same processing operation as that of the terminal WL12 illustrated in FIG.
[0164]
In this manner, the IBSS can also ensure the minimum security level predetermined for the IBSS.
[0165]
Also, in communication between a plurality of terminals, when one of the terminals is a terminal in the IBSS in which the minimum security level to be protected is predetermined, the security level can be secured.
[0166]
As described in the first to seventh embodiments, each of the wireless communication devices constituting the wireless LAN, such as the base station and the terminal, has at least one (preferably a plurality of) security levels. By providing the features described in x1) to (x8), for example, wireless communication that secures a minimum security level by encryption predetermined for each basic group of a wireless LAN such as BSS or IBSS, that is, for each communication group Can be realized. In communication between a plurality of wireless communication devices, at least one of the plurality of wireless communication devices is a communication group in which a minimum security level to be protected, in other words, a minimum security level is predetermined, for example, When the wireless communication device is in the BSS or IBSS, a security level equal to or higher than the above minimum level can always be ensured. In addition, among the following (x1) to (x8), particularly, a feature that is not specified as a case of a base station is preferably a function that both the base station and the terminal should have in common.
[0167]
(X1) When the own device requests a connection to the first wireless communication device, which is another wireless communication device, the first wireless communication device receives the first wireless communication device among the security levels of the own device. At least one first security level, which is a security level used for communication with the communication device, is notified.
[0168]
(X2) When making a connection request to the first wireless communication device, the own device is already connected to a second wireless communication device that is another wireless communication device different from the first wireless communication device. In some cases, a second security level, which is a security level used in communication with the second wireless communication device, is notified.
[0169]
(X3) When the first wireless communication device is a base station, if the lowest security level connectable to the first wireless communication device is broadcast, the lowest security level of the own device is A security level equal to or higher than the security level is selected, and is notified when a connection request is made to the first wireless communication device.
[0170]
(X4) When the first wireless communication device is a base station, when a plurality of security levels connectable to the first wireless communication device are broadcast, the broadcast level is included in the security levels of the own device. A selected one of the plurality of security levels is selected, and the selected security level is notified when a connection request is made to the first wireless communication device.
[0171]
(X5) When the own device receives a connection request from a fourth wireless communication device, which is another wireless communication device, A at least the fourth wireless communication device notified from the fourth wireless communication device; The third security level, which is the security level used for communication with the own device, is the security level of the own device, and the minimum security level predetermined for the communication group to which the own device belongs (for example, BSS or IBSS). When the security level is equal to or higher than the minimum, the connection with the fourth wireless communication device is permitted. (B) At least when the third security level is less than the minimum level, the connection with the fourth wireless communication device is allowed. There is provided a third means for rejecting.
[0172]
(X5 ′) The third unit is configured such that: A the third security level is equal to or higher than a minimum level predetermined for a communication group to which the own device belongs, and the fourth wireless communication device When already connected to a fifth wireless communication device that is another wireless communication device different from the wireless communication device, the fifth security communication level is a security level used for communication with the fifth wireless communication device. When the security level of the fourth security level is equal to or higher than the minimum level, connection with the fourth wireless communication device is permitted; and (b) when the third security level is lower than the minimum level, or 4 is less than the minimum level, or when the fourth wireless communication device is already connected to the fifth wireless communication device. When is unknown, it rejects the connection between the fourth wireless communication apparatus.
[0173]
(X7) In the case where the own device is a base station, a fourth means for broadcasting a predetermined minimum security level or a plurality of security levels equal to or higher than the minimum level to the communication group to which the own device belongs is provided.
[0174]
(X8) When a plurality of security levels are notified from the fourth wireless communication device, if any of the plurality of security levels is equal to or higher than a predetermined minimum level in a communication group to which the own device belongs, among them, And a fifth means for selecting one of them and notifying the fourth wireless communication apparatus of the selected one.
[0175]
The method of the present invention described in the embodiment of the present invention can be used as a program that can be executed by a computer by recording a program on a magnetic disk (floppy disk, hard disk, or the like), an optical disk (CD-ROM, DVD, or the like), a semiconductor memory, or the like. It can also be stored in a medium and distributed.
[0176]
【The invention's effect】
As described above, according to the present invention, for each basic group (communication group) of a wireless LAN, such as BSS and IBSS, wireless communication that secures a minimum security level by encryption predetermined in each group Can be performed. Further, in communication between a plurality of wireless communication devices, at least one of the plurality of wireless communication devices is a communication group (for example, a BSS) in which a minimum security level to be protected (a minimum security level) is predetermined. And IBSS), the security level above the minimum level must be established.
Can be maintained.
[Brief description of the drawings]
FIG. 1 is a schematic diagram schematically showing a communication system according to an embodiment of the present invention.
FIG. 2 is a block diagram showing an example of a circuit configuration of the base station shown in FIG.
FIG. 3 is a block diagram illustrating an example of a circuit configuration of the wireless terminal illustrated in FIG. 1;
FIG. 4 is a schematic diagram showing a structure of a MAC frame defined in IEEE 802.11 transferred between a base station and a terminal in the communication system shown in FIG. 1;
FIG. 5 is a table showing a specific example of a security table provided in a base station or a terminal in the communication system shown in FIG. 1;
FIG. 6 is a table showing another specific example of a security table in which the base station or the terminal in the communication system shown in FIG. 1 is used.
7 is a flowchart illustrating an example of a processing operation of a base station and a terminal in the communication system illustrated in FIG.
8A is a schematic diagram showing a frame structure of an authentication specified in IEEE 802.11, which is transferred between a base station and a terminal in the communication system shown in FIG. 1, and FIG. 9 is a table showing the contents described in the items of the frame shown in FIG.
FIGS. 9A to 9C show structures of an association request frame and an association response frame defined in IEEE 802.11 transferred between a base station and a terminal in the communication system shown in FIG. 1; FIG.
FIG. 10 is a table showing a specific example of an updated security table provided in a base station or a terminal in the communication system shown in FIG. 1;
11 is a schematic diagram showing a structure of a beacon frame defined in IEEE 802.11 directed from a base station to a terminal in the communication system shown in FIG. 1;
12 is a flowchart showing a processing procedure in which a base station to which a base station belongs is notified of a predetermined minimum security level from a base station to a terminal in the communication system shown in FIG. 1 and a connection request is made to the base station.
13 is a flowchart showing a processing procedure for notifying a security level using an association response frame transferred between a base station and a terminal in the communication system shown in FIG. 1, and checking the security level.
14 (a) to (c) are structures of a reassociation request frame and a reassociation response frame specified in IEEE 802.11 transferred between a base station and a terminal in the communication system shown in FIG. FIG.
15 is a flowchart showing a procedure for notifying a security level using a reassociation response frame transferred between a base station and a terminal in the communication system shown in FIG. 1, and checking the security level; .
FIG. 16 is a block diagram schematically showing a communication system according to another embodiment of the present invention.
17 is an example of a processing procedure on the side that has issued a connection request when a wireless communication device connected to another wireless communication device makes a connection request to another wireless communication device in the communication system shown in FIG. 16; 5 is a flowchart for explaining FIG.
18 is an example of a processing procedure on the side that has issued a connection request when a wireless communication device connected to another wireless communication device makes a connection request to another wireless communication device in the communication system shown in FIG. 16; 6 is a flowchart for explaining FIG.
FIG. 19 is a block diagram schematically showing a communication system according to still another embodiment of the present invention.
20 is a flowchart for explaining a processing procedure for wirelessly connecting terminals in the communication system shown in FIG. 19;
21 is a flowchart illustrating an example of a processing operation in a terminal when a wireless connection is established between terminals in the communication system illustrated in FIG. 19;
FIG. 22 is a block diagram schematically showing a communication system according to still another embodiment of the present invention.
23 is a flowchart for explaining another example of the processing operation in the terminal for wirelessly connecting the terminals in the communication system shown in FIG. 22;
FIG. 24 is a block diagram schematically showing a communication system according to still another embodiment of the present invention.
[Explanation of symbols]
AP1, AP2 ... base station (wireless base station device)
WL11 to WL16, WL31 to WL34 ... terminals (wireless terminal devices)
11 ... Receiver
12 ... Transmitter
13 ... Reception control unit
14: Transmission control unit
20, 100 ... antenna
21, 110 ... security table
101 ... receiving unit
107 ... Transmission unit
108 ... Information processing unit

Claims (25)

通知セキュリティレベルが記述された第1のフィールドを有する第1の送信フレームを通信グループ外の無線通信装置から受信する受信部と、
非暗号化を含む暗号化方法及び暗号化の強さに依存するセキュリティレベルから選定され、前記無線通信グループに割り当てられた基準セキュリティレベルを記憶するメモリ部と、
前記通知セキュリティレベルを前記基準セキュリティレベルと比較して前記無線通信グループ外の無線通信装置との接続拒否或いは接続許可を決定し、決定された接続拒否或いは接続許可が記載される第2のフィールドを有する第2の送信フレームを発生するフレーム発生部と、及び
この第2の送信フレームを前記無線通信グループ外の無線通信装置に向けて送信する送信部と、
を具備することを特徴とする前記無線通信グループに属する無線通信装置。A receiving unit that receives a first transmission frame having a first field in which a notification security level is described from a wireless communication device outside a communication group;
A memory unit which is selected from an encryption method including non-encryption and a security level depending on the strength of encryption, and stores a reference security level assigned to the wireless communication group;
The notification security level is compared with the reference security level to determine connection rejection or connection permission with a wireless communication device outside the wireless communication group, and a second field in which the determined connection rejection or connection permission is described. A frame generation unit that generates a second transmission frame, and a transmission unit that transmits the second transmission frame to a wireless communication device outside the wireless communication group.
A wireless communication device belonging to the wireless communication group. 前記基準セキュリティレベルは、第1、第2及び第3のセキュリティレベルから選定され、前記第1のセキュリティレベルが非暗号化に相当し、前記第2のセキュリティレベルが第1の暗号化における第1の暗号化の強さに相当し、前記第3のセキュリティレベルが前記第1の暗号化における第2の暗号化の強さに相当することを特徴とする請求項1の無線通信装置。The reference security level is selected from first, second, and third security levels, wherein the first security level corresponds to non-encryption, and the second security level corresponds to the first in the first encryption. 2. The wireless communication apparatus according to claim 1, wherein the third security level corresponds to a second encryption strength in the first encryption. 前記フレーム発生部は、前記通知セキュリティレベルが前記基準セキュリティレベルよりも低ければ接続拒否を決定し、前記通知セキュリティレベルが前記基準セキュリティレベルよりも低くなければ接続許可を決定することを特徴とする請求項1の無線通信装置。The frame generation unit determines connection refusal if the notification security level is lower than the reference security level, and determines connection permission if the notification security level is not lower than the reference security level. Item 7. The wireless communication device according to Item 1. 前記接続許可の場合には、前記メモリ部が前記無線通信グループ外の無線通信装置のアドレス及び前記通知セキュリティレベルを保持することを特徴とする請求項1の無線通信装置。2. The wireless communication device according to claim 1, wherein, when the connection is permitted, the memory unit holds an address of the wireless communication device outside the wireless communication group and the notification security level. 前記第2の通信フレームは、前記無線通信グループを特定するアドレスが記述された第3のフィールドを含むことを特徴とする請求項1の無線通信装置。The wireless communication device according to claim 1, wherein the second communication frame includes a third field in which an address specifying the wireless communication group is described. 無線通信グループに属する第1の無線通信装置及びこの無線通信グループ外の第2の無線通信装置から構成される無線通信システムにおいて、前記第1の無線通信装置は、
通知セキュリティレベルが記述された第1のフィールドを有する第1の送信フレームを前記第2の無線通信装置から受信する受信部と、
非暗号化を含む暗号化方法及び暗号化の強さに依存するセキュリティレベルから選定され、前記無線通信グループに割り当てられた基準セキュリティレベルを記憶する第1のメモリ部と、
前記通知セキュリティレベルを前記基準セキュリティレベルと比較して前記第2の無線通信装置との接続拒否或いは接続許可を決定し、決定された接続拒否或いは接続許可が記載される第2のフィールドを有する第2の送信フレームを発生する第1のフレーム発生部と、及び
この第2の送信フレームを前記第2の無線通信装置に向けて送信する送信部と、
を具備することを特徴とする無線通信システム。In a wireless communication system including a first wireless communication device belonging to a wireless communication group and a second wireless communication device outside the wireless communication group, the first wireless communication device includes:
A receiving unit that receives, from the second wireless communication device, a first transmission frame having a first field in which a notification security level is described;
A first memory unit that is selected from an encryption method including non-encryption and a security level that depends on encryption strength, and stores a reference security level assigned to the wireless communication group;
The notification security level is compared with the reference security level to determine connection rejection or connection permission with the second wireless communication device, and a second field including the determined connection rejection or connection permission is described. A first frame generator that generates two transmission frames, and a transmitter that transmits the second transmission frame to the second wireless communication device.
A wireless communication system comprising: 前記基準セキュリティレベルは、第1、第2及び第3のセキュリティレベルから選定され、前記第1のセキュリティレベルが非暗号化に相当し、前記第2のセキュリティレベルが第1の暗号化における第1の暗号化の強さに相当し、前記第3のセキュリティレベルが前記第1の暗号化における第2の暗号化の強さに相当することを特徴とする請求項6の無線通信システム。The reference security level is selected from first, second, and third security levels, wherein the first security level corresponds to non-encryption, and the second security level corresponds to the first in the first encryption. 7. The wireless communication system according to claim 6, wherein the third security level corresponds to the second encryption strength in the first encryption. 前記第1のフレーム発生部は、前記通知セキュリティレベルが前記基準セキュリティレベルよりも低ければ接続拒否を決定し、前記通知セキュリティレベルが前記基準セキュリティレベルよりも低くなければ接続許可を決定することを特徴とする請求項6の無線通信システム。The first frame generator determines connection rejection if the notification security level is lower than the reference security level, and determines connection permission if the notification security level is not lower than the reference security level. The wireless communication system according to claim 6, wherein 前記接続許可の場合には、前記第1のメモリ部が前記第2の無線通信装置のアドレス及び前記通知セキュリティレベルを保持することを特徴とする請求項6の無線通信システム。7. The wireless communication system according to claim 6, wherein when the connection is permitted, the first memory unit holds an address of the second wireless communication device and the notification security level. 前記第2の通信フレームは、前記無線通信グループを特定するアドレスが記述された第3のフィールドを含むことを特徴とする請求項6の無線通信システム。The wireless communication system according to claim 6, wherein the second communication frame includes a third field in which an address specifying the wireless communication group is described. 前記第2の無線通信装置は、前記基準セキュリティレベル及び前記第1の無線通信グループのアドレスを保持する第2のメモリ部を具備することを特徴とする請求項6の無線通信システム。7. The wireless communication system according to claim 6, wherein the second wireless communication device includes a second memory unit that holds the reference security level and an address of the first wireless communication group. 接続拒否が記述される第2のフィールドを有する第2の送信フレームを前記第2の無線通信装置が受信した場合には、前記第2の無線通信装置は、第2の通知セキュリティレベルが記述された第4のフィールドを有する第3の送信フレームを前記第1の無線通信装置に送信することを特徴とする請求項6の無線通信システム。When the second wireless communication device receives a second transmission frame having a second field in which connection rejection is described, the second wireless communication device describes a second notification security level. 7. The wireless communication system according to claim 6, wherein a third transmission frame having the fourth field is transmitted to the first wireless communication device. 前記第1のメモリは、前記第1の無線通信装置でサポートされるセキュリティレベル及び暗号化レベルに関連する暗号化パラメータを保持し、前記基準セキュリティレベルがこのサポートされているセキュリティレベルから選定されることを特徴とする請求項6の無線通信システム。The first memory holds encryption parameters related to a security level and an encryption level supported by the first wireless communication device, and the reference security level is selected from the supported security levels. 7. The wireless communication system according to claim 6, wherein: 接続許可が記述される第2のフィールドを有する第2の送信フレームを前記第2の無線通信装置が受信した場合には、前記第2の無線通信装置は、暗号化データが格納されている第5のフィールドを有する第4の送信フレームを前記第1の無線通信装置に送信し、前記第1の無線通信装置が前記暗号化パラメータを用いて暗号化データを複合化することを特徴とする請求項13の無線通信システム。If the second wireless communication device receives a second transmission frame having a second field in which connection permission is described, the second wireless communication device stores a second transmission frame in which encrypted data is stored. A fourth transmission frame having five fields is transmitted to the first wireless communication device, and the first wireless communication device decrypts the encrypted data using the encryption parameter. Item 14. The wireless communication system according to Item 13. 前記第1の送信フレームは、前記第1の無線通信装置でサポートされている複数の通知セキュリティレベルが記載された第1のフィールドを有し、前記フレーム発生部が前記通知セキュリティレベルの夫々を前記基準セキュリティレベルと比較し、前記通知セキュリティレベルの全てが前記基準セキュリティレベルよりも低ければ接続拒否を決定し、前記通知セキュリティレベルの1つが前記基準セキュリティレベルよりも低くなければ接続許可を決定することを特徴とする請求項13の無線通信システム。The first transmission frame has a first field in which a plurality of notification security levels supported by the first wireless communication device are described, and the frame generation unit sets each of the notification security levels to the Comparing with a reference security level, determining connection rejection if all of the notification security levels are lower than the reference security level; determining connection permission if one of the notification security levels is not lower than the reference security level; The wireless communication system according to claim 13, wherein: 前記通知セキュリティレベルは、前記第2の無線通信装置がサポートする通知セキュリティレベル中の最大のレベルに相当することを特徴とする請求項6の無線通信システム。The wireless communication system according to claim 6, wherein the notification security level corresponds to a maximum one of notification security levels supported by the second wireless communication device. 前記無線通信グループ外の第3の無線通信装置であって前記通知セキュリティレベルで前記第2の無線通信装置と通信している第3の無線通信装置を更に具備することを特徴とする請求項6の無線通信システム。7. The wireless communication device according to claim 6, further comprising a third wireless communication device outside the wireless communication group, the third wireless communication device communicating with the second wireless communication device at the notification security level. Wireless communication system. 前記無線通信グループに属する第3の無線通信装置であって前記基準セキュリティレベルより低くないセキュリティレベルで前記第2の無線通信装置と通信している第3の無線通信装置を更に具備することを特徴とする請求項6の無線通信システム。The wireless communication device further includes a third wireless communication device belonging to the wireless communication group and communicating with the second wireless communication device at a security level not lower than the reference security level. The wireless communication system according to claim 6, wherein 前記第1及び第3の無線通信装置の1つは、アクセスポイントに相当することを特徴とする請求項6の無線通信システム。7. The wireless communication system according to claim 6, wherein one of the first and third wireless communication devices corresponds to an access point. 前記第1及び第3の無線通信装置の1つは、無線端末に相当することを特徴とする請求項6の無線通信システム。7. The wireless communication system according to claim 6, wherein one of the first and third wireless communication devices corresponds to a wireless terminal. 前記第2及び第3の無線通信装置の1つは、無線端末に相当することを特徴とする請求項6の無線通信システム。7. The wireless communication system according to claim 6, wherein one of the second and third wireless communication devices corresponds to a wireless terminal. 前記無線通信グループ外の第3の無線通信装置であって前記通知セキュリティレベルで前記第2の無線通信装置と通信している第3の無線通信装置と、
前記無線通信グループに属する第4の無線通信装置であって前記基準セキュリティレベルより低くないセキュリティレベルで前記第2の無線通信装置と通信している第4の無線通信装置を更に具備することを特徴とする請求項6の無線通信システム。A third wireless communication device outside the wireless communication group and communicating with the second wireless communication device at the notification security level;
A fourth wireless communication device belonging to the wireless communication group, further comprising a fourth wireless communication device communicating with the second wireless communication device at a security level not lower than the reference security level. The wireless communication system according to claim 6, wherein 前記第1の無線通信装置がビーコンフレームを第2の無線通信装置に通知して前記第1の送信フレームの送信を要求し、前記ビーコンフレームは、前記第1の無線通信装置でサポートし、前記基準セキュリティレベルより低くないセキュリティーフレームが記載されたフィールドを有することを特徴とする請求項6の無線通信システム。The first wireless communication device notifies a second wireless communication device of a beacon frame and requests transmission of the first transmission frame, the beacon frame is supported by the first wireless communication device, The wireless communication system according to claim 6, further comprising a field in which a security frame that is not lower than a reference security level is described. 前記第2の無線通信装置は、前記通知セキュリティレベルを含む第2のセキュリティレベルを記憶する第2のメモリ部と、
前記第2のセキュリティレベルを前記基準セキュリティレベルと比較して前記通知セキュリティレベルとして1つのセキュリティレベルを決定して前記第1の送信フレームを発生する第2のフレーム発生部と、及び
及び
この第1の送信フレームを第1の無線通信装置に向けて送信する送信部と、
を更に具備することを特徴とする請求項6の無線通信システム。A second memory unit that stores a second security level including the notification security level;
A second frame generator that compares the second security level with the reference security level, determines one security level as the notification security level, and generates the first transmission frame; and A transmission unit that transmits the transmission frame of the first wireless communication device to the first wireless communication device;
The wireless communication system according to claim 6, further comprising: 通知セキュリティレベルが記述された第1のフィールドを有する第1の送信フレームを通信グループ外から受信し、
非暗号化を含む暗号化方法及び暗号化の強さに依存するセキュリティレベルから選定され、前記無線通信グループに割り当てられた基準セキュリティレベルを記憶し、
前記通知セキュリティレベルを前記基準セキュリティレベルと比較して前記無線通信グループ外の無線通信装置との接続拒否或いは接続許可を決定し、決定された接続拒否或いは接続許可が記載される第2のフィールドを有する第2の送信フレームを発生し、及び
この第2の送信フレームを前記無線通信グループ外の無線通信装置に向けて送信することを特徴とする無線通信方法。Receiving a first transmission frame having a first field in which the notification security level is described from outside the communication group;
Storing a reference security level selected from an encryption method including non-encryption and a security level depending on the strength of encryption, and assigned to the wireless communication group;
The notification security level is compared with the reference security level to determine connection rejection or connection permission with a wireless communication device outside the wireless communication group, and a second field in which the determined connection rejection or connection permission is described. Generating a second transmission frame, and transmitting the second transmission frame to a wireless communication device outside the wireless communication group.
JP2002378650A 2001-12-26 2002-12-26 Wireless communication system, wireless communication apparatus, and wireless communication method Expired - Lifetime JP3940670B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002378650A JP3940670B2 (en) 2001-12-26 2002-12-26 Wireless communication system, wireless communication apparatus, and wireless communication method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2001395475 2001-12-26
JP2002378650A JP3940670B2 (en) 2001-12-26 2002-12-26 Wireless communication system, wireless communication apparatus, and wireless communication method

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2006221964A Division JP4405487B2 (en) 2001-12-26 2006-08-16 Wireless communication device

Publications (3)

Publication Number Publication Date
JP2004032664A true JP2004032664A (en) 2004-01-29
JP2004032664A5 JP2004032664A5 (en) 2006-06-01
JP3940670B2 JP3940670B2 (en) 2007-07-04

Family

ID=31189877

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002378650A Expired - Lifetime JP3940670B2 (en) 2001-12-26 2002-12-26 Wireless communication system, wireless communication apparatus, and wireless communication method

Country Status (1)

Country Link
JP (1) JP3940670B2 (en)

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004274193A (en) * 2003-03-06 2004-09-30 Sony Corp Radio communication system, terminal, processing method therein and program for executing the method by terminal
JP2005311653A (en) * 2004-04-21 2005-11-04 Buffalo Inc Encryption key setting system, access point and encryption key setting method
JP2006075990A (en) * 2004-09-07 2006-03-23 Oki Data Corp Image forming apparatus
JP2006279848A (en) * 2005-03-30 2006-10-12 Brother Ind Ltd Communication apparatus, communication system and program
WO2006134772A1 (en) * 2005-06-13 2006-12-21 Canon Kabushiki Kaisha Communication apparatus and communication parameter configuration method thereof
JP2007074297A (en) * 2005-09-06 2007-03-22 Fujitsu Ltd Method for setting security of wireless communication network, security setting program, wireless communication network system, and client apparatus
JP2007150454A (en) * 2005-11-24 2007-06-14 Mitsubishi Electric Information Systems Corp E-mail data encryption equipment
JP2007535257A (en) * 2004-04-27 2007-11-29 ノキア コーポレイション Method and system for providing security in proximity and ad hoc networks
JP2008539660A (en) * 2005-04-28 2008-11-13 マイクロソフト コーポレーション Walled garden
JP2008312200A (en) * 2007-05-15 2008-12-25 Ntt Docomo Inc Method and apparatus for operating wireless home area network
JP2009080847A (en) * 2008-12-16 2009-04-16 Mitsubishi Electric Information Systems Corp Mail server system
JP2009164971A (en) * 2008-01-08 2009-07-23 Canon Inc Communication apparatus and control method
JP2009529273A (en) * 2006-03-08 2009-08-13 エアバス フランス Method and apparatus for transmission / reception of communication messages between aircraft and ground station, and aircraft equipped with the apparatus
JP2009534697A (en) * 2006-04-18 2009-09-24 エアバス フランス Communication method and apparatus on communication network between aircraft and ground station
JP2010041666A (en) * 2008-08-08 2010-02-18 Canon Inc Communication apparatus, control method of same , and computer program
US7739491B2 (en) 2002-07-05 2010-06-15 Samsung Electronics Co., Ltd. Method using access authorization differentiation in wireless access network and secure roaming method thereof
JP2011512699A (en) * 2007-12-29 2011-04-21 西安西電捷通無線網絡通信有限公司 Authentication access method and authentication access system for wireless multi-hop network
JP4896145B2 (en) * 2005-10-26 2012-03-14 トムソン ライセンシング System and method for distributing satellite services at multiple security levels
JP2015192223A (en) * 2014-03-27 2015-11-02 沖電気工業株式会社 Communication device and communication program
KR101602497B1 (en) 2009-02-13 2016-03-21 삼성전자주식회사 Method for providing mac protocol for data communication security in wireless network communication
JP2016178412A (en) * 2015-03-19 2016-10-06 カシオ計算機株式会社 Wireless communication system, connection mediation device, connection mediation method and program
KR101860515B1 (en) * 2017-12-01 2018-05-23 반병철 Wireless network access control system based on received signal and method for controlling thereof
JP2021175069A (en) * 2020-04-23 2021-11-01 Necプラットフォームズ株式会社 Wireless communication system, wireless communication device, wireless connection method and program

Cited By (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7739491B2 (en) 2002-07-05 2010-06-15 Samsung Electronics Co., Ltd. Method using access authorization differentiation in wireless access network and secure roaming method thereof
US7835725B2 (en) 2003-03-06 2010-11-16 Sony Corporation Wireless communication system, terminal, processing method for use in the terminal, and program for allowing the terminal to execute the method
US7269409B2 (en) 2003-03-06 2007-09-11 Sony Corporation Wireless communication system, terminal, processing method for use in the terminal, and program for allowing the terminal to execute the method
JP2004274193A (en) * 2003-03-06 2004-09-30 Sony Corp Radio communication system, terminal, processing method therein and program for executing the method by terminal
JP2005311653A (en) * 2004-04-21 2005-11-04 Buffalo Inc Encryption key setting system, access point and encryption key setting method
JP4606055B2 (en) * 2004-04-21 2011-01-05 株式会社バッファロー Encryption key setting system, access point, and encryption key setting method
JP2007535257A (en) * 2004-04-27 2007-11-29 ノキア コーポレイション Method and system for providing security in proximity and ad hoc networks
JP2006075990A (en) * 2004-09-07 2006-03-23 Oki Data Corp Image forming apparatus
JP4514566B2 (en) * 2004-09-07 2010-07-28 株式会社沖データ Image forming apparatus
JP2006279848A (en) * 2005-03-30 2006-10-12 Brother Ind Ltd Communication apparatus, communication system and program
JP4622627B2 (en) * 2005-03-30 2011-02-02 ブラザー工業株式会社 COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND PROGRAM
JP2008539660A (en) * 2005-04-28 2008-11-13 マイクロソフト コーポレーション Walled garden
WO2006134772A1 (en) * 2005-06-13 2006-12-21 Canon Kabushiki Kaisha Communication apparatus and communication parameter configuration method thereof
US10015830B2 (en) 2005-06-13 2018-07-03 Canon Kabushiki Kaisha Communication apparatus and communication parameter configuration method thereof
US9544929B2 (en) 2005-06-13 2017-01-10 Canon Kabushiki Kaisha Communication apparatus and communication parameter configuration method thereof
US9301328B2 (en) 2005-06-13 2016-03-29 Canon Kabushiki Kaisha Communication apparatus and communication parameter configuration method thereof
US8638689B2 (en) 2005-06-13 2014-01-28 Canon Kabushiki Kaisha Communication apparatus and communication parameter configuration method thereof
US8374339B2 (en) 2005-09-06 2013-02-12 Fujitsu Limited Security setting method of wireless communication network, wireless communication network system, client device and recording medium
JP2007074297A (en) * 2005-09-06 2007-03-22 Fujitsu Ltd Method for setting security of wireless communication network, security setting program, wireless communication network system, and client apparatus
JP4896145B2 (en) * 2005-10-26 2012-03-14 トムソン ライセンシング System and method for distributing satellite services at multiple security levels
JP2007150454A (en) * 2005-11-24 2007-06-14 Mitsubishi Electric Information Systems Corp E-mail data encryption equipment
JP2009529273A (en) * 2006-03-08 2009-08-13 エアバス フランス Method and apparatus for transmission / reception of communication messages between aircraft and ground station, and aircraft equipped with the apparatus
JP2009534697A (en) * 2006-04-18 2009-09-24 エアバス フランス Communication method and apparatus on communication network between aircraft and ground station
US8856523B2 (en) 2006-04-18 2014-10-07 Airbus Operations Sas Method and device for communication on a communication link between an aircraft and a ground station
JP2008312200A (en) * 2007-05-15 2008-12-25 Ntt Docomo Inc Method and apparatus for operating wireless home area network
JP4620755B2 (en) * 2007-05-15 2011-01-26 株式会社エヌ・ティ・ティ・ドコモ Method and apparatus for operating a wireless home area network
JP2011512699A (en) * 2007-12-29 2011-04-21 西安西電捷通無線網絡通信有限公司 Authentication access method and authentication access system for wireless multi-hop network
JP2009164971A (en) * 2008-01-08 2009-07-23 Canon Inc Communication apparatus and control method
JP2010041666A (en) * 2008-08-08 2010-02-18 Canon Inc Communication apparatus, control method of same , and computer program
JP2009080847A (en) * 2008-12-16 2009-04-16 Mitsubishi Electric Information Systems Corp Mail server system
KR101602497B1 (en) 2009-02-13 2016-03-21 삼성전자주식회사 Method for providing mac protocol for data communication security in wireless network communication
JP2015192223A (en) * 2014-03-27 2015-11-02 沖電気工業株式会社 Communication device and communication program
JP2016178412A (en) * 2015-03-19 2016-10-06 カシオ計算機株式会社 Wireless communication system, connection mediation device, connection mediation method and program
KR101860515B1 (en) * 2017-12-01 2018-05-23 반병철 Wireless network access control system based on received signal and method for controlling thereof
JP2021175069A (en) * 2020-04-23 2021-11-01 Necプラットフォームズ株式会社 Wireless communication system, wireless communication device, wireless connection method and program
JP7244093B2 (en) 2020-04-23 2023-03-22 Necプラットフォームズ株式会社 Wireless communication system, wireless communication device, wireless connection method and program

Also Published As

Publication number Publication date
JP3940670B2 (en) 2007-07-04

Similar Documents

Publication Publication Date Title
JP4405586B2 (en) Wireless communication device
JP3940670B2 (en) Wireless communication system, wireless communication apparatus, and wireless communication method
KR100739781B1 (en) Method and apparatus for transmitting message to each of wireless device groups
JP2023552804A (en) Communication device and communication method for multilink peer-to-peer communication
US11943703B2 (en) Network address policy information received in a pre-associated state
US20090274065A1 (en) Method and apparatus for setting wireless local area network by using button
US20190104422A1 (en) System and Method for Easy Configuration and Authentication of Network Devices
US9370031B2 (en) Wireless network setup and configuration distribution system
US20230239686A1 (en) Secure communication method, apparatus, and system
JP2007028233A (en) Wireless lan system
JP6015315B2 (en) Communication device
JP2004072565A (en) Method, system and device for radio lan communication, radio terminal used in the system, communication control program and recording medium recorded with the program
US20070116290A1 (en) Method of detecting incorrect IEEE 802.11 WEP key information entered in a wireless station
JP4405487B2 (en) Wireless communication device
JP2007028231A (en) Wireless lan system
CN117915313A (en) Seamless roaming privacy enhancement method, terminal and storage medium
CN117956637A (en) Wireless communication device, wireless relay apparatus, and wireless access point
CN116746179A (en) WLAN multilink TDLS key derivation
KR20160054416A (en) Communication method in wireless local access network and wireless apparatus for thr method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040609

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060324

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060526

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060620

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060816

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070320

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070402

R151 Written notification of patent or utility model registration

Ref document number: 3940670

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100406

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110406

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130406

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140406

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term