JP2011244358A - 無線通信装置、接続解除方法、およびプログラム - Google Patents
無線通信装置、接続解除方法、およびプログラム Download PDFInfo
- Publication number
- JP2011244358A JP2011244358A JP2010116816A JP2010116816A JP2011244358A JP 2011244358 A JP2011244358 A JP 2011244358A JP 2010116816 A JP2010116816 A JP 2010116816A JP 2010116816 A JP2010116816 A JP 2010116816A JP 2011244358 A JP2011244358 A JP 2011244358A
- Authority
- JP
- Japan
- Prior art keywords
- communication device
- frame
- wireless communication
- connection release
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
【課題】 仕様を変更せずとも、通信妨害や不正使用を防止することが可能となる。
【解決手段】 接続中の相手通信装置から接続解除フレームを受信する無線通信装置であって、前記相手通信装置から受信した前記接続解除フレームに、該接続解除フレームの受信に先立つ既存の接続シーケンス時において前記相手通信装置に対して送信した接続解除用識別情報が含まれる場合、前記相手通信装置との接続を解除する。
【選択図】 図1
【解決手段】 接続中の相手通信装置から接続解除フレームを受信する無線通信装置であって、前記相手通信装置から受信した前記接続解除フレームに、該接続解除フレームの受信に先立つ既存の接続シーケンス時において前記相手通信装置に対して送信した接続解除用識別情報が含まれる場合、前記相手通信装置との接続を解除する。
【選択図】 図1
Description
本発明は、無線通信装置、接続解除方法、およびプログラムに関する。
近年、ゲーム機や携帯電話などに搭載されるなど、無線LAN(Local Area Network)が広く普及している。無線LANの代表的な動作モードとして、インフラストラクチャモードを挙げることができる。該モードにおいて、端末局(子機)は、所定のアクセスポイント(親機)に帰属することにより、無線通信を行う。尚、無線LANには、端末局同士が直接接続するアドホックモードがあるが、以下では、インフラストラクチャモードを例に挙げて説明する。
図15は、無線LANのアクセスポイントにおける、一般的な、帰属および帰属解除の動作を説明するためのフローチャートである。まず、アクセスポイントは、端末局からアソシエーション要求(Association Request)フレームを受信する(ステップS1)。アソシエーション要求フレームは、端末局がアクセスポイントに対して接続を要求するためのフレームである。アクセスポイントは、送信元MAC(Media Access Control)アドレスを確認し、接続を許可された端末局からのアソシエーション要求フレームであるか否かを確認する(ステップS2)。
許可された端末局からの要求でない場合(ステップS2においてNoの場合)、アクセスポイントは、該要求に対して応答しない(ステップS3)。一方、許可された端末局からの要求である場合(ステップS2においてYesの場合)、アクセスポイントは、アソシエーション応答(Association Response)フレームを、該端末局へ送信する(ステップS4)。アソシエーション応答フレームは、接続を認めることを端末局へ通知するためのフレームである。アクセスポイントは、当該端末局の帰属情報を登録する(ステップS5)。以上の処理により、端末局は、接続状態となる(ステップS6)。
その後、アクセスポイントは、端末局から、ディオーセンティケーション(Deauthentication)フレームを受信する(ステップS7)。ディオーセンティケーションフレームは、帰属解除を要求するためのフレームである。尚、ディオーセンティケーションフレームは、アクセスポイントおよび端末局どちらからでも発行することができる。以下の説明では、端末局から発行する場合を例に挙げる。ディオーセンティケーションフレームを受信したアクセスポイントは、該フレームを送信した端末局の帰属情報をクリアする(ステップS8)。以上の処理により、帰属が解除され、該フレームを送信した端末局は、アクセスポイントに対して非接続状態となる(ステップS9)。
また、関連する技術として、特許文献1は、基地局(アクセスポイント)から端末局へ送信する帰属解除フレームとして、送信レート情報と、フレーム識別子(帰属解除)と、宛先アドレス(端末局)と、送信元アドレス(基地局)と、帰属解除の理由コードと、FCS(フレームチェックシーケンス)とを含む帰属解除フレームについて記載している。
ところが、図15に示す処理フローにおいて、端末局からディオーセンティケーションフレームを受信した場合、アクセスポイントは、該フレームの宛先MACアドレスおよびBSSID(Basic Service Set Identifier)を確認し問題がなければ、その端末局の帰属を無条件で解除する。
ここで、宛先MACアドレスは、アクセスポイントのMACアドレス(より詳細には、MACグローバルアドレス)である。さらに、アクセスポイントを一意に識別するための情報であるBSSIDは、通常、アクセスポイントのMACアドレスが設定される。一方、BSSIDは、アクセスポイントから定期的にブロードキャストされるビーコンフレームに含まれている。
ここで、BSSIDはアクセスポイント自らの存在を周囲に知らしめるというその目的上、暗号化されておらず、無線モニタツールなどを用いれば悪意ある第三者であっても認識することが可能である。BSSIDを認識できるということは、アクセスポイントのMACアドレス(すなわち、例えば、端末局から帰属解除フレームを送信する際の宛先MACアドレス)を認識できることに他ならない。すなわち、悪意ある第三者は、帰属解除に必要な情報である宛先MACアドレスおよびBSSIDの両方を取得することができ、これらの情報に基づき、偽の帰属解除フレームを送信し、本来解除されるべきではない通信を意図的に解除することも可能である。さらに、その後自動的に行われる再接続シーケンスがモニタされ、ESSID(Extended Service Set Identifier)や暗号キーなど接続に必要な情報が盗み出され、なりすましによる不正な使用が行われる懸念もある。すなわち、現状の解除シーケンスでは、無線LANの正常な運用が、悪意ある第三者によって妨害される虞がある。
しかしながら、無条件に帰属を解除する上記仕様は、IEEE(Institute of Electrical and Electronic Engineers)802.11で規定された仕様であるため、これを尊重しなければならないという制約が一方である。また、仕様範囲内で上記問題(意図しない通信の解除およびそれに伴うなりすましによる不正使用)を解決するための解決策も提案されていない。
また、特許文献1の帰属解除フレームを使用したとしても、上記問題を解決するに至らないことは明らかである。
本発明は、仕様を変更せずとも、通信妨害や不正使用を防止することが可能な無線通信装置、接続解除方法、およびプログラムを提供することを目的とする。
本発明の無線通信装置は、接続中の相手通信装置から接続解除フレームを受信する無線通信装置であって、前記相手通信装置から受信した前記接続解除フレームに、該接続解除フレームの受信に先立つ既存の接続シーケンス時において前記相手通信装置に対して送信した接続解除用識別情報が含まれる場合、前記相手通信装置との接続を解除する。
また、本発明の無線通信装置は、接続中の相手通信装置に対して接続解除フレームを送信する無線通信装置であって、前記接続解除フレームの送信に先立つ既存の前記接続シーケンス時において、前記相手通信装置から接続解除用識別情報を受信し、前記相手通信装置に対して接続解除を要求する際、前記接続解除用識別情報を含む接続解除フレームを、前記相手通信装置へ送信する。
また、本発明の接続解除方法は、無線通信装置において、接続中の相手通信装置からの接続解除フレームに基づいて接続の解除を行う接続解除方法であって、該接続解除フレームの受信に先立つ既存の接続シーケンス時において前記相手通信装置に対して接続解除用識別情報を送信し、前記相手通信装置から受信した前記接続解除フレームに、前記接続解除用識別情報が含まれる場合、前記相手通信装置との接続を解除する。
また、本発明の接続解除方法は、接続解除フレームを送信する第1無線通信装置と、前記接続解除フレームに基づいて前記第1無線通信装置との接続を解除する第2無線通信装置とを備える無線通信システムにおける接続解除方法であって、前記接続解除フレームの送信に先立つ既存の接続シーケンス時において、接続解除用識別情報を、前記第2無線通信装置から前記第1無線通信装置へ送信し、前記第2無線通信装置に対して接続解除を要求する際、前記接続解除用識別情報を含む接続解除フレームを、前記第1無線通信装置から前記第2無線通信装置へ送信し、前記第2無線通信装置において、前記第1無線通信装置から受信した前記接続解除フレームに、前記接続解除用識別情報が含まれることが確認された場合、前記第1無線通信装置との接続が解除される。
本発明のプログラムは、無線通信装置において、接続中の相手通信装置からの接続解除フレームに基づいて接続の解除を行うプログラムであって、該接続解除フレームの受信に先立つ既存の接続シーケンス時において前記相手通信装置に対して接続解除用識別情報を送信する処理と、前記相手通信装置から受信した前記接続解除フレームに、前記接続解除用識別情報が含まれる場合、前記相手通信装置との接続を解除する処理とを前記無線通信装置のコンピュータに実行させる。
本発明によれば、仕様を変更せずとも、通信妨害や不正使用を防止することが可能となる。
[第1の実施形態]
図1は、本発明の第1の実施形態に係る無線通信装置10の構成例を示すブロック図である。該無線通信装置10は、接続中の相手通信装置14から接続解除フレームを受信し、該フレームに基づいて接続を解除する。無線通信装置10は、制御部12を備える。制御部12は、相手通信装置14から受信した接続解除フレームに、該接続解除フレームの受信に先立つ既存の接続シーケンス時において相手通信装置14に対して送信した接続解除用識別情報が含まれる場合、相手通信装置14との接続を解除する。換言すれば、制御部12は、接続解除フレームを受信したら無条件に帰属を解除するのではなく、相手通信装置14から受信した接続解除フレームに、接続解除用識別情報が含まれていない場合(含まれているが正当な接続解除用識別情報でない場合も含む)、相手通信装置14との接続を解除しない。
図1は、本発明の第1の実施形態に係る無線通信装置10の構成例を示すブロック図である。該無線通信装置10は、接続中の相手通信装置14から接続解除フレームを受信し、該フレームに基づいて接続を解除する。無線通信装置10は、制御部12を備える。制御部12は、相手通信装置14から受信した接続解除フレームに、該接続解除フレームの受信に先立つ既存の接続シーケンス時において相手通信装置14に対して送信した接続解除用識別情報が含まれる場合、相手通信装置14との接続を解除する。換言すれば、制御部12は、接続解除フレームを受信したら無条件に帰属を解除するのではなく、相手通信装置14から受信した接続解除フレームに、接続解除用識別情報が含まれていない場合(含まれているが正当な接続解除用識別情報でない場合も含む)、相手通信装置14との接続を解除しない。
すなわち、この接続解除用識別情報が詳らかにならない限り、接続を解除することはできない。接続解除用識別情報は、上述したとおり、正式な接続シーケンスを経ないと知りえない情報である。従って、正式な接続シーケンスを経由しない悪意ある第三者がこの接続解除用識別情報を知りうる可能性は全くないかあるいは極めて低い。よって、悪意による接続の解除や、なりすましによる不正使用を防止することが可能となる。しかも、接続解除用識別情報の受け渡しは、既存の接続シーケンスを用いて行われるので、現在の仕様を変更する必要もない。
以上を纏めると、第1の実施形態によれば、仕様を変更せずとも、通信妨害や不正使用を防止することが可能となる。
[第2の実施形態]
図2は、本発明の第2の実施形態に係る無線LAN(Local Area Network)システム20の構成例を示すシステム構成図である。無線LANシステム20は、少なくとも1つのアクセスポイント22と、少なくとも1つの端末局24とを備える。
図2は、本発明の第2の実施形態に係る無線LAN(Local Area Network)システム20の構成例を示すシステム構成図である。無線LANシステム20は、少なくとも1つのアクセスポイント22と、少なくとも1つの端末局24とを備える。
図3は、図2に示すアクセスポイント22の構成例を示すブロック図である。尚、図2に示す端末局24もアクセスポイント22と同一の構成であるものとする。アクセスポイント22(端末局24)は、無線通信部30と、制御部32と、記憶部34と、を少なくとも備える。無線通信部30は、相手通信装置との間で無線LANによる各種情報の送受信を行う。制御部32は、無線通信部30を介して相手通信装置から受信した情報を処理するとともに、所定情報を、無線通信部30を介して相手通信装置へ送信する。記憶部34は、所定の情報を記憶する。記憶部34に記憶された情報は、制御部32によって適宜読み出される。
図4は、アクセスポイント22と端末局24との間における、帰属から帰属解除までの動作例を説明するシーケンス図である。このシーケンスは、IEEE(Institute of Electrical and Electronic Engineers)802.11で規定された仕様であり、仕様改定が正式に行われない限り、そのシーケンスを勝手に変更することはできない。また、当然のことながらこのシーケンスはオープンとなっており、これ自体に特徴はない。
起動直後、アクセスポイント22と端末局24とは非接続状態にある(ステップS10)。アクセスポイント22は、同一チャネルに存在する周辺の無線LAN機器に対して、ビーコン(Beacon)フレームを、所定の周期で繰返しブロードキャストする(ステップS11)。ビーコンフレームには、設定情報、対応機能情報、あるいは状態情報などが含まれている。
一方、端末局24は、ビーコンフレームを受信することで、同一チャネル内のアクセスポイント22の存在を検知する。そして、ユーザによる操作、または設定情報によって定義される接続条件の成立に伴う接続要求が発生した場合(ステップS12)、端末局24は、アクセスポイント22の情報を収集するために、アクセスポイント22に対して、プローブ要求(Probe Request)フレームを送信する(ステップS13)。
プローブ要求フレームを受信したアクセスポイント22は、プローブ要求フレーム内の端末局情報や接続要求内容を確認し、応答しても良いと判断した場合、該端末局24に対して、プローブ応答(Probe Response)フレームを送信する(ステップS14)。
端末局24は、受信したプローブ応答フレーム内の情報を確認し、接続が可能であると判断した場合、アクセスポイント22に対して、オーセンティケーション(Authentication)(要求)フレームを送信する(ステップS15)。
端末局24からオーセンティケーション(要求)フレームを受信したアクセスポイント22は、端末局24に対して、認証許可するか否かのステータスコードを含むオーセンティケーション(応答)フレームを送信する(ステップS16)。
認証許可であるステータスコードを含むオーセンティケーション(応答)フレームを受信した場合、端末局24は、アクセスポイント22に対して、アソシエーション要求(Association Request)フレームを送信する(ステップS17)。アクセスポイント22は、送信元MAC(Media Access Control)アドレスを確認し、接続を許可された端末局24からのアソシエーション要求フレームであるか否かを確認する。許可された端末局24からの要求である場合、アクセスポイント22は、アソシエーション応答(Association Response)フレームを、端末局24へ送信する(ステップS18)。
以上の手順を踏むことで、アクセスポイント22に対する端末局24の帰属が完了し、アクセスポイント22と端末局24とは接続状態となる(ステップS19)。接続状態中、暗号キーの交換、上位レイヤの認証、および、DHCP(Dynamic Host Configuration Protocol)によるIP(Internet Protocol)アドレスの払出などが行われる。
そして、接続状態中、例えば、アクセスポイント22側において、通信状態の悪化や終了指示等に基づく切断要求が発生する(ステップS20)。アクセスポイント22は、端末局24の帰属情報をクリアするとともに、端末局24に対して、ディオーセンティケーション(Deauthentication)フレームを送信する(ステップS21)。これにより端末局24でもアクセスポイント22の帰属情報がクリアされる。以上の手順を経て、アクセスポイント22と端末局24とは非接続状態となる(ステップS22)。その後、アクセスポイント22は、再び、ビーコンフレームを、所定の周期で繰返しブロードキャストする(ステップS23)。尚、以上の説明では、アクセスポイント22からディオーセンティケーションフレームを発行する場合を例に挙げたが、ディオーセンティケーションフレームは、アクセスポイント22および端末局24どちらからでも発行することができる。
以下、図5〜図12を用いて、第2の実施形態の特徴的動作について説明する。先ず、アクセスポイント22と端末局24との間の「帰属動作」について説明し、その次に、両者の間での「帰属解除動作」について説明する。
図5は、第2の実施形態の端末局24側の帰属動作例を説明するためのフローチャートである。まず、端末局24において、ユーザ操作等に基づくアクセスポイント22への接続要求が発生する(ステップS30)。端末局24は、帰属解除判定拡張機能に対応した処理を実行するか否かを判断する(ステップS31)。例えば、端末局24は、帰属解除判定拡張機能に対応させるか否かを規定した設定情報に基づいて上記判断を行うことができる。設定情報は、例えば、記憶部34に記憶される。
帰属解除判定拡張機能に対応した処理を実行すると判断された場合(ステップS31においてYes判定の場合)の処理について説明する。端末局24は、後述するDeauth BSSIDが記載されたVendor Specific IEが付加されたアソシエーション要求フレームを、アクセスポイント22へ送信する(ステップS32)。上記において、BSSIDは、Basic Service Set Identifierの略である。また、IEは、Information Elementの略である。
図6は、Vendor Specific IEが付加されたアソシエーション要求フレームのフォーマット例を示す。本アソシエーション要求フレームと、一般的な(すなわち、帰属解除判定拡張機能に対応していない)アソシエーション要求フレームとの違いは、本アソシエーション要求フレームに、図6において破線で囲ったVendor Specific IEが付加されている点にある。Vendor Specific IEの構成要素は以下の通りである。
Element IDは、IEEE802.11で規定されており、Information Elementの内容が如何なるものであるかを示す。例えば、Information Elementをベンダ特有の情報とする場合、Element IDには、221が設定される。Lengthには、Lengthより後に続く全データの合計サイズ情報が設定される。OUI(Organizationally Unique Identifier)は、ベンダの識別コードであり、IEEEから付与されたベンダ固有の値となっている。OUI Type、OUI Sub Type、Versionは、このVendor Specific IEの用途を識別するために、ベンダで割り当てた値を使用する。
Deauth BSSID(接続解除用識別情報)は、アクセスポイント22が端末局24に対して帰属解除の要求を行う際に、アクセスポイント22から端末局24へ送信されるディオーセンティケーションフレーム(接続解除フレーム)に設定するBSSIDである。端末局24は、このBSSIDを記憶している。端末局24は、このBSSIDと、アクセスポイント22から受信するディオーセンティケーションフレームのBSSIDとが等しいか否かを判定し、等しい場合に限り、接続を解除する。端末局24側での接続解除動作については、後述する。尚、ここでは、Deauth BSSIDの一例として、任意に取り決められた、端末局24のMACローカルアドレス(02:22:22:22:22:22)が設定されている場合を例に挙げる。もちろん、Deauth BSSIDは、上記に限定されるものではない。
図5の説明に戻る。その後、端末局24は、アクセスポイント22からアソシエーション応答フレームを受信する(ステップS33)。このアソシエーション応答フレームの詳細については後述する。端末局24は、当該フレーム内に、帰属解除判定拡張機能に対応していることを示すVendor Specific IEが付加されているか否かを判定する(ステップS34)。Vendor Specific IEが付加されている場合(ステップS34においてYes判定の場合)、端末局24は、アクセスポイント22が帰属解除判定拡張機能に対応していることを示す情報を、自己の記憶部34に、帰属先アクセスポイント情報として登録する(ステップS35)。さらに、その場合、端末局24は、アソシエーション応答フレームに付加されたVendor Specific IEに記載されているDeauth BSSIDを、帰属先アクセスポイント情報として登録する(ステップS35)。一方、Vendor Specific IEが付加されていない場合(ステップS34においてNo判定の場合)、端末局24は、アクセスポイント22が帰属解除判定拡張機能に対応していないことを示す情報を、帰属先アクセスポイント情報として登録する(ステップS36)。
帰属解除判定拡張機能に対応した処理を実行しないと判断された場合(ステップS31においてNo判定の場合)、端末局24は、一般的な(すなわち、帰属解除判定拡張機能に対応していない)端末局の動作を実行する。具体的には、端末局24は、Vendor Specific IEが付加されていないアソシエーション要求フレームを、アクセスポイント22へ送信する(ステップS37)。その後、端末局24は、アクセスポイント22からアソシエーション応答フレームを受信する(ステップS38)。この場合、端末局24は、当該フレームにVendor Specific IEが付加されているか否かの確認は行わず、アクセスポイント22が帰属解除判定拡張機能に対応していない旨を、記憶部34に、帰属先アクセスポイント情報として登録する(ステップS36)。
以上の処理を経て、アクセスポイント22と端末局24とは接続状態となる(ステップS39)。
図7は、第2の実施形態のアクセスポイント22側の帰属動作例を説明するためのフローチャートである。まず、アクセスポイント22は、端末局24からアソシエーション要求フレームを受信する(ステップS40)。アクセスポイント22は、送信元MACアドレスを確認し、接続を許可された端末局24からのアソシエーション要求フレームであるか否かを確認する(ステップS41)。許可された端末局24からの要求でない場合(ステップS41においてNo判定の場合)、アクセスポイント22は、該要求に対して応答しない(ステップS42)。一方、許可された端末局24からの要求である場合(ステップS41においてYes判定の場合)、アクセスポイント22は、当該フレーム内に帰属解除判定を行うためのVendor Specific IEが付加されているか否かの確認を行う(ステップS43)。アソシエーション要求フレームおよびそれに付加されるVendor Specific IEのフォーマットについては、図6に示した通りである。
Vendor Specific IEが付加されている場合(ステップS43においてYes判定の場合)、アクセスポイント22は、端末局24が帰属解除判定拡張機能に対応していることを示す情報を、自己の記憶部34に、帰属端末局情報として登録する(ステップS44)。さらに、その場合、アクセスポイント22は、アソシエーション要求フレームに付加されたVendor Specific IEに記載されているDeauth BSSIDを、帰属端末局情報として登録する(ステップS44)。アクセスポイント22は、自己が帰属解除判定拡張機能に対応したアクセスポイントであることを示すために、端末局24に対して、アソシエーション応答フレームを送信する(ステップS45)。具体的には、アクセスポイント22は、後述するDeauth BSSIDが記載されたVendor Specific IEが付加されたアソシエーション応答フレームを、端末局24へ送信する。以上の処理を経て、アクセスポイント22と端末局24とは接続状態となる(ステップS48)。
図8は、Vendor Specific IEが付加されたアソシエーション応答フレームのフォーマット例を示す。本アソシエーション応答フレームと、一般的な(すなわち、帰属解除判定拡張機能に対応していない)アソシエーション応答フレームとの違いは、本アソシエーション応答フレームに、図8において破線で囲ったVendor Specific IEが付加されている点にある。このVendor Specific IEは、基本的には、図6で説明したアソシエーション要求フレームのVendor Specific IEと同一であるが、Deauth BSSID(接続解除用識別情報)は、アソシエーション要求フレームにおけるDeauth BSSIDとは異なる。アソシエーション応答フレームにおけるDeauth BSSIDは、端末局24がアクセスポイント22に対して帰属解除の要求を行う際に、端末局24からアクセスポイント22へ送信されるディオーセンティケーションフレーム(接続解除フレーム)に設定するBSSIDである。アクセスポイント22は、このBSSIDを記憶している。アクセスポイント22は、このBSSIDと、端末局24から受信するディオーセンティケーションフレームのBSSIDとが等しいか否かを判定し、等しい場合に限り、接続を解除する。アクセスポイント22側での接続解除動作については、後述する。尚、ここでは、Deauth BSSIDの一例として、任意に取り決められた、アクセスポイント22のMACローカルアドレス(02:11:11:11:11:11)が設定されている場合を例に挙げる。もちろん、Deauth BSSIDは、上記に限定されるものではない。
図7の説明に戻る。端末局24から受信したアソシエーション要求フレーム内に、帰属解除判定を行うためのVendor Specific IEが付加されていない場合(ステップS43にてNo判定)の処理について説明する。アクセスポイント22は、端末局24が帰属解除判定拡張機能に対応していないことを示す情報を、自己の記憶部34に、帰属端末局情報として登録する(ステップS46)。そして、アクセスポイント22は、端末局24に対して、Vendor Specific IEが付加されていないアソシエーション応答フレームを送信する(ステップS47)。以上の処理を経て、アクセスポイント22と端末局24とは接続状態となる(ステップS48)。
尚、アソシエーション要求フレームによって端末局24からアクセスポイント22へ送信されるDeauth BSSIDと、アソシエーション応答フレームによってアクセスポイント22から端末局24へ送信されるDeauth BSSIDとを同じ値とすることも可能である。ただし、異なっているほうが、セキュリティ上は好ましい。また、各Deauth BSSIDは、固定値とすることもできるが、例えば乱数発生器等を用いて帰属毎にランダムな値とすることもできる。このようにすることにより、よりセキュリティ性を高めることが可能となる。
以上が、第2の実施形態の特徴的動作のうちの、アクセスポイント22と端末局24との間の「帰属動作」についての説明である。以下、第2の実施形態の特徴的動作のうちの、アクセスポイント22と端末局24との間の「帰属解除動作」について説明する。
図9は、第2の実施形態のアクセスポイント22側での帰属解除動作例を説明するためのフローチャートである。アクセスポイント22は、帰属している端末局24からディオーセンティケーションフレームを受信する(ステップS50)。アクセスポイント22は、自己の記憶部34に登録されている帰属端末局情報を参照し、このディオーセンティケーションフレームが帰属解除判定拡張機能に対応した端末局24からのものであるか否かを判定する(ステップS51)。
帰属解除判定拡張機能に対応した端末局24からのディオーセンティケーションフレームであった場合(ステップS51においてYes判定の場合)の処理について説明する。アクセスポイント22は、当該フレーム内のBSSIDが、アソシエーション応答フレーム(図7のステップS45参照)により端末局24へ通知したDeauth BSSIDと一致しているか否かを確認する(ステップS52)。
BSSIDがDeauth BSSIDと一致している場合(ステップS52においてYes判定の場合)、アクセスポイント22は、この端末局24の帰属情報をクリアする(ステップS53)。これにより、アクセスポイント22と端末局24とは非接続状態となる(ステップS54)。一方、BSSIDがDeauth BSSIDと一致していない場合(ステップS52においてNo判定の場合)、アクセスポイント22は、帰属解除処理を行わず、ディオーセンティケーションフレームを破棄して、端末局24との接続状態を維持する(ステップS55)。
一方、帰属解除判定拡張機能に対応していない端末局24からのディオーセンティケーションフレームであった場合(ステップS51においてNo判定の場合)、アクセスポイント22は、そのディオーセンティケーションフレームを送信した端末局24の帰属情報をクリアする(ステップS53)。これにより、アクセスポイント22と端末局24とが非接続状態となる(ステップS54)。すなわち、ステップS51、S53およびS54の処理により、帰属解除判定拡張機能を搭載していない端末局24からのディオーセンティケーションフレーム(すなわち、一般的なディオーセンティケーションフレーム)も処理することができる。よって、1つのアクセスポイント22で、新旧両方の端末局24に対応することが可能となる。
図10は、第2の実施形態において、端末局24からアクセスポイント22へ送信されるディオーセンティケーションフレームのフォーマット例を示す。本ディオーセンティケーションフレームと、一般的な(すなわち、帰属解除判定拡張機能に対応していない)ディオーセンティケーションフレームとの相違点は、図10において破線で囲まれた部分のBSSIDが異なる点にある。一般的なディオーセンティケーションフレームの場合、このBSSIDには、アクセスポイント22のMACグローバルアドレス(図10においては、00:0D:02:11:11:11)が設定される。このMACアドレスは、背景技術の欄で述べたように、ビーコンフレームをモニタすることにより容易に取得できるため、これを取得した悪意ある第三者によって、本来解除されるべきではない接続が解除されてしまう懸念がある。しかしながら、本実施形態のように帰属解除判定拡張機能を発動した場合、このBSSIDには、アソシエーション要求フレームやアソシエーション応答フレームによって通知されたDeauth BSSIDがセットされる。具体的には、例えば、端末局24からディオーセンティケーションフレームが発行される場合、そのBSSIDには、アソシエーション応答フレームによって通知された、アクセスポイント22のMACローカルアドレス(02:11:11:11:11:11)が設定される。このアドレスは、MACグローバルアドレスのように公知のアドレスではなく、ベンダによって任意に取り決められたアドレスであり、しかも正式な帰属シーケンスを経ないと知りえない情報である。
図11は、第2の実施形態の端末局24側での帰属解除動作例を説明するためのフローチャートである。端末局24は、帰属先のアクセスポイント22からディオーセンティケーションフレームを受信する(ステップS60)。端末局24は、記憶部34に登録されている帰属先アクセスポイント情報を参照し、このディオーセンティケーションフレームが帰属解除判定拡張機能に対応したアクセスポイント22からのものであるか否かを判定する(ステップS61)。
帰属解除判定拡張機能に対応したアクセスポイントからのディオーセンティケーションフレームであった場合(ステップS61においてYes判定の場合)の処理について説明する。端末局24は、当該フレーム内のBSSIDが、アソシエーション要求フレーム(図5のステップS32参照)によりアクセスポイント22へ通知したDeauth BSSIDと一致しているか否かを確認する(ステップS62)。BSSIDがDeauth BSSIDに一致している場合(ステップS62においてYes判定の場合)、端末局24は、帰属先アクセスポイント情報をクリアする(ステップS63)。これにより、アクセスポイント22と端末局24とは非接続状態となる(ステップS64)。一方、BSSIDがDeauth BSSIDに一致していない場合(ステップS62においてNo判定の場合)、端末局24は、帰属解除処理を行わず、ディオーセンティケーションフレームフレームを破棄して、アクセスポイント22との接続状態を維持する(ステップS65)。
帰属解除判定拡張機能に対応していないアクセスポイント22からのディオーセンティケーションフレームであった場合(ステップS61においてNo判定の場合)の処理について説明する。端末局24は、そのディオーセンティケーションフレームを送信したアクセスポイント22の帰属先アクセスポイント情報をクリアする(ステップS63)。これにより、アクセスポイント22と端末局24とが非接続状態となる(ステップS64)。すなわち、ステップS61、S63およびS64の処理により、帰属解除判定拡張機能を搭載していないアクセスポイントからのディオーセンティケーションフレーム(すなわち、一般的なディオーセンティケーションフレーム)も処理することができる。よって、1つの端末局24で、新旧両方のアクセスポイントに対応することが可能となる。
図12は、第2の実施形態において、アクセスポイント22から端末局24へ送信されるディオーセンティケーションフレームのフォーマット例を示す。本ディオーセンティケーションフレームと、一般的な(すなわち、帰属解除判定拡張機能に対応していない)ディオーセンティケーションフレームとの相違点は、図12において破線で囲まれた部分のBSSIDが異なる点にある。一般的なディオーセンティケーションフレームの場合、このBSSIDには、端末局24のMACグローバルアドレス(図12においては、00:0D:02:22:22:22)が設定される。しかしながら、本実施形態のように帰属解除判定拡張機能を発動した場合、このBSSIDには、アソシエーション要求フレームやアソシエーション応答フレームによって通知されたDeauth BSSIDがセットされる。具体的には、例えば、アクセスポイント22からディオーセンティケーションフレームが発行される場合、そのBSSIDには、アソシエーション要求フレームによって通知された、端末局24のMACローカルアドレス(02:22:22:22:22:22)が設定される。このアドレスは、MACグローバルアドレスのように公知のアドレスではなく、ベンダによって任意に取り決められたアドレスであり、しかも正式な帰属シーケンスを経ないと知りえない情報である。
以上説明した第2の実施形態において、相手通信装置から受信した接続解除フレームに、接続シーケンス時において自無線通信装置から相手通信装置へ通知した接続解除用識別情報が含まれていない場合、自無線通信装置は、相手通信装置との接続を解除しない。
すなわち、この接続解除用識別情報が詳らかにならない限り、接続を解除することはできない。接続解除用識別情報は、上述したとおり、正式な接続シーケンスを経ないと知りえない情報である。従って、正式な接続シーケンスを経由しない悪意ある第三者がこの接続解除用識別情報を取得する可能性は全くないかあるいは極めて低い。よって、悪意による接続の解除や、なりすましによる不正使用を防止することが可能となる。しかも、接続解除用識別情報の受け渡しは、既存の接続シーケンスを用いて行われるので、現在の仕様を変更する必要もない。
尚、上記において、接続解除フレームの例として、例えば、ディオーセンティケーションフレームを挙げることができる。接続シーケンスの例として、例えば、アソシエーション要求フレームおよびアソシエーション応答フレームの送受信を挙げることができる。また、接続解除用識別情報の例として、例えば、Deauth BSSIDを挙げることができる。
以上を纏めると、第2の実施形態によれば、仕様を変更せずとも、通信妨害や不正使用を防止することが可能となる。
[第3の実施形態]
第3の実施形態の第2の実施形態に対する違いは、第1に、接続解除用識別情報をBSSIDに替えてパスワードとした点にある。第2に、帰属解除を要求された側の処理およびディオーセンティケーションフレームのフォーマットが異なる点にある。尚、無線LANシステム20の構成(図2)、アクセスポイント22および端末局24の各構成(図3)は、第2の実施形態と同じである。
第3の実施形態の第2の実施形態に対する違いは、第1に、接続解除用識別情報をBSSIDに替えてパスワードとした点にある。第2に、帰属解除を要求された側の処理およびディオーセンティケーションフレームのフォーマットが異なる点にある。尚、無線LANシステム20の構成(図2)、アクセスポイント22および端末局24の各構成(図3)は、第2の実施形態と同じである。
アクセスポイント22と端末局24との間でのパスワード通知手順については、第2の実施形態におけるDeauth BSSIDの通知手順と同じである。具体的には、図5(端末局側の帰属動作例)、図6(アソシエーション要求フレームのフォーマット例)、図7(アクセスポイント側の帰属動作例)および図8(アソシエーション応答フレームのフォーマット例)において、「Deauth BSSID」を「Deauth パスワード」に置き換えればよい。
図13は、第3の実施形態のアクセスポイント22側での帰属解除動作例を説明するためのフローチャートである。アクセスポイント22は、帰属している端末局24からディオーセンティケーションフレームを受信する(ステップS70)。アクセスポイント22は、自己の記憶部34に登録されている帰属端末局情報を参照し、このディオーセンティケーションフレームが帰属解除判定拡張機能に対応した端末局24からのものであるか否かを判定する(ステップS71)。
該機能に対応した端末局24からのディオーセンティケーションフレームであった場合(ステップS71においてYes判定の場合)、アクセスポイント22は、以下の処理を実行する。アクセスポイント22は、当該フレーム内に付加されたVendor Specific IEに記載されたDeauthパスワードが、帰属シーケンス時において、アソシエーション応答フレームにより端末局24へ通知したDeauthパスワードと一致しているか否かを確認する(ステップS72)。
Deauthパスワード同士が一致している場合(ステップS72においてYes判定の場合)、アクセスポイント22は、この端末局24の帰属情報をクリアする(ステップS73)。これにより、アクセスポイント22と端末局24とは非接続状態となる(ステップS74)。一方、Deauthパスワード同士が一致していない場合(ステップS72においてNo判定の場合)、アクセスポイント22は、帰属解除処理を行わず、ディオーセンティケーションフレームを破棄して、端末局24との接続状態を維持する(ステップS75)。
帰属解除判定拡張機能に対応していない端末局24からのディオーセンティケーションフレームであった場合(ステップS71にてNo判定)の処理について説明する。アクセスポイント22は、そのディオーセンティケーションフレームを送信した端末局24の帰属情報をクリアする(ステップS73)。これにより、アクセスポイント22と端末局24とが非接続状態となる(ステップS74)。
図14は、第3の実施形態において、端末局24からアクセスポイント22へ送信されるディオーセンティケーションフレームのフォーマット例を示す。第2の実施形態のディオーセンティケーションフレーム(図10参照)では、BSSIDをDeauth BSSIDとする点を特徴としていた。しかしながら、本フレームのBSSIDには、一般的なディオーセンティケーションフレームと同様、アクセスポイント22のMACグローバルアドレス(図14の場合は、00:0D:02:11:11:11)がそのまま設定される。しかしながら、図10に示すフレームと異なり、本フレームには、Vendor Specific IEが付加されている。そして、Vendor Specific IEには、Deauthパスワードが記載されている。
以上説明した第3の実施形態によれば、BSSIDにアクセスポイント22のMACグローバルアドレスが設定される、一般的なディオーセンティケーションフレームしか受け付けない端末局24が存在した場合であっても、悪意による接続の解除や、なりすましによる不正使用を防止することが可能となる。
尚、以上説明した第3の実施形態において、Deauthパスワードによる解除判断の例として、端末局24からの解除要求に基づいてアクセスポイント22側で解除を判断する場合を例に挙げたが、Deauthパスワードによる解除判断は、アクセスポイント22からの解除要求に基づいて端末局24側で解除を判断する場合にも適用することができる。
また、以上説明した第2および第3の実施形態において、接続解除用識別情報(Deauth BSSIDまたはDeauthパスワード)の通知は、アソシエーション要求フレームおよびアソシエーション応答フレームによる通知に限定されるものではない。接続解除用識別情報は、接続シーケンスに関わる他のフレーム(例えば、ビーコンフレーム、プローブ要求フレーム、プローブ応答フレーム、あるいはオーセンティケーションフレーム)によって通知されてもよい。
また、以上説明した第2および第3の実施形態では、インフラストラクチャモードの無線LANシステムに適用する場合を例に挙げたが、上記各実施形態は、アドホックモードの無線LANシステムにも適用することができる。
また、以上説明した第2および第3の実施形態では、接続解除フレームとしてディオーセンティケーション(Deauthentication)フレームを例に挙げたが、接続解除フレームはこれに限定されず、他の接続解除フレーム、例えば、ディスアソシエーション(Disassociation)フレームとすることもできる。
また、以上説明した第1〜第3の実施形態は、制御プログラムに基づいて図示しないコンピュータ回路(例えば、CPU(Central Processing Unit))によって制御され、動作するようにすることができる。その場合、これらの制御プログラムは、例えば、装置またはシステム内部の記憶媒体(例えば、ROM(Read Only Memory)やハードディスク等)、あるいは、外部の記憶媒体(例えば、リムーバブルメディアやリムーバブルディスク等)に記憶され、上記コンピュータ回路によって読み出され実行される。
10 無線通信装置
12 制御部
14 相手通信装置
20 無線LANシステム
22 アクセスポイント
24 端末局
30 無線通信部
32 制御部
34 記憶部
12 制御部
14 相手通信装置
20 無線LANシステム
22 アクセスポイント
24 端末局
30 無線通信部
32 制御部
34 記憶部
Claims (10)
- 接続中の相手通信装置から接続解除フレームを受信する無線通信装置であって、
前記相手通信装置から受信した前記接続解除フレームに、該接続解除フレームの受信に先立つ既存の接続シーケンス時において前記相手通信装置に対して送信した接続解除用識別情報が含まれる場合、前記相手通信装置との接続を解除することを特徴とする無線通信装置。 - 前記接続解除用識別情報は、ビーコンフレーム、プローブ要求フレーム、プローブ応答フレーム、アソシエーション要求フレーム、アソシエーション応答フレーム、およびオーセンティケーションフレームのうちの少なくとも1つによって、前記相手通信装置へ送信されることを特徴とする請求項1記載の無線通信装置。
- 前記接続解除用識別情報は、前記各フレーム内に設けられたVendor Specific IE(Information Element)領域内に記述されることを特徴とする請求項2記載の無線通信装置。
- 前記接続解除用識別情報は、前記無線通信装置のBSSID(Basic Service Set Identifier)であることを特徴とする請求項1〜3のいずれか1項に記載の無線通信装置。
- 前記BSSIDは、前記無線通信装置のMAC(Media Access Control)ローカルアドレスであることを特徴とする請求項4記載の無線通信装置。
- 前記接続解除用識別情報は、任意に設定されたパスワードであることを特徴とする請求項1〜3のいずれか1項に記載の無線通信装置。
- 接続中の相手通信装置に対して接続解除フレームを送信する無線通信装置であって、
前記接続解除フレームの送信に先立つ既存の前記接続シーケンス時において、前記相手通信装置から接続解除用識別情報を受信し、前記相手通信装置に対して接続解除を要求する際、前記接続解除用識別情報を含む接続解除フレームを、前記相手通信装置へ送信することを特徴とする無線通信装置。 - 無線通信装置において、接続中の相手通信装置からの接続解除フレームに基づいて接続の解除を行う接続解除方法であって、
該接続解除フレームの受信に先立つ既存の接続シーケンス時において前記相手通信装置に対して接続解除用識別情報を送信し、
前記相手通信装置から受信した前記接続解除フレームに、前記接続解除用識別情報が含まれる場合、前記相手通信装置との接続を解除する
ことを特徴とする接続解除方法。 - 接続解除フレームを送信する第1無線通信装置と、前記接続解除フレームに基づいて前記第1無線通信装置との接続を解除する第2無線通信装置とを備える無線通信システムにおける接続解除方法であって、
前記接続解除フレームの送信に先立つ既存の接続シーケンス時において、接続解除用識別情報を、前記第2無線通信装置から前記第1無線通信装置へ送信し、
前記第2無線通信装置に対して接続解除を要求する際、前記接続解除用識別情報を含む接続解除フレームを、前記第1無線通信装置から前記第2無線通信装置へ送信し、
前記第2無線通信装置において、前記第1無線通信装置から受信した前記接続解除フレームに、前記接続解除用識別情報が含まれることが確認された場合、前記第1無線通信装置との接続が解除される
ことを特徴とする接続解除方法。 - 無線通信装置において、接続中の相手通信装置からの接続解除フレームに基づいて接続の解除を行うプログラムであって、
該接続解除フレームの受信に先立つ既存の接続シーケンス時において前記相手通信装置に対して接続解除用識別情報を送信する処理と、
前記相手通信装置から受信した前記接続解除フレームに、前記接続解除用識別情報が含まれる場合、前記相手通信装置との接続を解除する処理と
を前記無線通信装置のコンピュータに実行させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010116816A JP5175898B2 (ja) | 2010-05-21 | 2010-05-21 | 無線通信装置、接続解除方法、およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010116816A JP5175898B2 (ja) | 2010-05-21 | 2010-05-21 | 無線通信装置、接続解除方法、およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011244358A true JP2011244358A (ja) | 2011-12-01 |
| JP5175898B2 JP5175898B2 (ja) | 2013-04-03 |
Family
ID=45410519
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010116816A Active JP5175898B2 (ja) | 2010-05-21 | 2010-05-21 | 無線通信装置、接続解除方法、およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5175898B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014057232A (ja) * | 2012-09-13 | 2014-03-27 | Nec Access Technica Ltd | 無線lan親機のリモート判別方法およびシステム |
| JP2014127729A (ja) * | 2012-12-25 | 2014-07-07 | Hitachi Ltd | ゲートウェイ装置およびペアリング方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004310581A (ja) * | 2003-04-09 | 2004-11-04 | Nec Corp | ネットワーク接続方法およびネットワークシステム |
| JP2009290804A (ja) * | 2008-05-30 | 2009-12-10 | Fujitsu Ltd | 無線通信システム、無線通信装置及びその切断処理方法 |
| JP2010081591A (ja) * | 2008-08-29 | 2010-04-08 | Silex Technology Inc | 無線lanシステムにおけるデータ処理方法およびプログラム |
-
2010
- 2010-05-21 JP JP2010116816A patent/JP5175898B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004310581A (ja) * | 2003-04-09 | 2004-11-04 | Nec Corp | ネットワーク接続方法およびネットワークシステム |
| JP2009290804A (ja) * | 2008-05-30 | 2009-12-10 | Fujitsu Ltd | 無線通信システム、無線通信装置及びその切断処理方法 |
| JP2010081591A (ja) * | 2008-08-29 | 2010-04-08 | Silex Technology Inc | 無線lanシステムにおけるデータ処理方法およびプログラム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014057232A (ja) * | 2012-09-13 | 2014-03-27 | Nec Access Technica Ltd | 無線lan親機のリモート判別方法およびシステム |
| JP2014127729A (ja) * | 2012-12-25 | 2014-07-07 | Hitachi Ltd | ゲートウェイ装置およびペアリング方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5175898B2 (ja) | 2013-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4764108B2 (ja) | 無線端末、管理装置、無線lanの制御方法、無線lanシステム | |
| KR100694219B1 (ko) | 무선 단말에서의 액세스 포인트 데이터 전송 모드 감지장치 및 그 방법 | |
| KR101453521B1 (ko) | 무선 액세스 포인트 장치 및 비인가 무선 랜 노드 탐지 방법 | |
| CN104302015A (zh) | 隐藏ssid的自动适配wi-fi网络连接方法及系统 | |
| EP3111701B1 (en) | Access point initiated neighbor report request | |
| JP6671527B2 (ja) | 端末デバイスが別の端末デバイスを発見するための方法および装置 | |
| US10243974B2 (en) | Detecting deauthentication and disassociation attack in wireless local area networks | |
| JP2010124048A (ja) | 無線端末装置、通信方法、及び通信プログラム | |
| KR20110040025A (ko) | 이동통신 단말기에서 무선랜을 이용한 피어투피어 연결 방법 및 장치 | |
| US9781579B2 (en) | Method and device for realizing terminal WIFI talkback | |
| US20190104422A1 (en) | System and Method for Easy Configuration and Authentication of Network Devices | |
| US9370031B2 (en) | Wireless network setup and configuration distribution system | |
| JP2008048145A (ja) | 通信システム、無線通信装置およびその制御方法 | |
| JP2013026645A (ja) | 無線ネットワークシステム及びその制御方法並びに無線ネットワーク中継装置 | |
| JP2010016834A (ja) | フィルタリング方法 | |
| JP2009290804A (ja) | 無線通信システム、無線通信装置及びその切断処理方法 | |
| CN104144463A (zh) | Wi-Fi网络接入方法和系统 | |
| KR101460766B1 (ko) | 무선 네트워크 시스템에서 클러스터 기능을 이용한 보안설정 시스템 및 그 제어방법 | |
| US20160050567A1 (en) | Wireless Network System, Terminal Management Device, Wireless Relay Device, and Communications Method | |
| CN113950010B (zh) | 一种基于Mesh自动组网开通方法及相关设备 | |
| JP4659864B2 (ja) | 通信システム、認証サーバおよび通信方法 | |
| JP4836537B2 (ja) | 無線基地局装置および無線基地局装置の通信パラメータ設定方法 | |
| JP2010068488A (ja) | 無線lanシステムにおけるハンドオーバ方法およびその方法において使用される装置 | |
| JP2015517747A (ja) | モバイル装置の認証方法、装置及びシステム | |
| JP5175898B2 (ja) | 無線通信装置、接続解除方法、およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120911 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120912 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121112 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121211 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130107 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5175898 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |