JP4229148B2 - 不正アクセスポイント接続阻止方法、アクセスポイント装置及び無線lanシステム - Google Patents

不正アクセスポイント接続阻止方法、アクセスポイント装置及び無線lanシステム Download PDF

Info

Publication number
JP4229148B2
JP4229148B2 JP2006183450A JP2006183450A JP4229148B2 JP 4229148 B2 JP4229148 B2 JP 4229148B2 JP 2006183450 A JP2006183450 A JP 2006183450A JP 2006183450 A JP2006183450 A JP 2006183450A JP 4229148 B2 JP4229148 B2 JP 4229148B2
Authority
JP
Japan
Prior art keywords
access point
point device
unauthorized access
adjacent
unauthorized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006183450A
Other languages
English (en)
Other versions
JP2008016942A (ja
Inventor
義久 中野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2006183450A priority Critical patent/JP4229148B2/ja
Priority to US11/798,855 priority patent/US8295255B2/en
Priority to CN2007101275143A priority patent/CN101102246B/zh
Publication of JP2008016942A publication Critical patent/JP2008016942A/ja
Application granted granted Critical
Publication of JP4229148B2 publication Critical patent/JP4229148B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04KSECRET COMMUNICATION; JAMMING OF COMMUNICATION
    • H04K3/00Jamming of communication; Counter-measures
    • H04K3/20Countermeasures against jamming
    • H04K3/22Countermeasures against jamming including jamming detection and monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04KSECRET COMMUNICATION; JAMMING OF COMMUNICATION
    • H04K3/00Jamming of communication; Counter-measures
    • H04K3/20Countermeasures against jamming
    • H04K3/28Countermeasures against jamming with jamming and anti-jamming mechanisms both included in a same device or system, e.g. wherein anti-jamming includes prevention of undesired self-jamming resulting from jamming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04KSECRET COMMUNICATION; JAMMING OF COMMUNICATION
    • H04K3/00Jamming of communication; Counter-measures
    • H04K3/40Jamming having variable characteristics
    • H04K3/41Jamming having variable characteristics characterized by the control of the jamming activation or deactivation time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04KSECRET COMMUNICATION; JAMMING OF COMMUNICATION
    • H04K3/00Jamming of communication; Counter-measures
    • H04K3/40Jamming having variable characteristics
    • H04K3/45Jamming having variable characteristics characterized by including monitoring of the target or target signal, e.g. in reactive jammers or follower jammers for example by means of an alternation of jamming phases and monitoring phases, called "look-through mode"
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04KSECRET COMMUNICATION; JAMMING OF COMMUNICATION
    • H04K3/00Jamming of communication; Counter-measures
    • H04K3/60Jamming involving special techniques
    • H04K3/65Jamming involving special techniques using deceptive jamming or spoofing, e.g. transmission of false signals for premature triggering of RCIED, for forced connection or disconnection to/from a network or for generation of dummy target signal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04KSECRET COMMUNICATION; JAMMING OF COMMUNICATION
    • H04K3/00Jamming of communication; Counter-measures
    • H04K3/80Jamming or countermeasure characterized by its function
    • H04K3/86Jamming or countermeasure characterized by its function related to preventing deceptive jamming or unauthorized interrogation or access, e.g. WLAN access or RFID reading
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04KSECRET COMMUNICATION; JAMMING OF COMMUNICATION
    • H04K2203/00Jamming of communication; Countermeasures
    • H04K2203/10Jamming or countermeasure used for a particular application
    • H04K2203/18Jamming or countermeasure used for a particular application for wireless local area networks or WLAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は不正アクセスポイント接続阻止方法、アクセスポイント装置及び無線LANシステムに関し、例えば、無線LANネットワークにおいて、自ネットワーク外に接続されている不正なアクセスポイント装置を検知し、その不正アクセスポイント装置に端末が接続することを阻止しようとしたものである。
例えば、企業における無線LANシステムにおいて、無線LAN端末1−1〜1−Nは、図2に示すように、自社ネットワーク2に接続したアクセスポイント装置3−1〜3−Mを中継することにより、ネットワーク接続を行う(例えば、特許文献1の図3参照)。
また、無線LAN端末1−n(nは1〜N)とアクセスポイント装置3−m(mは1〜M)は、無線を用いることにより、通信ケーブルのいらない接続が可能となり、端末移動の自由度が高くなる。
そのため、無線LANシステムは、企業のネットワークインフラとして急速に普及が始まっている。
特開2000−312162号公報
しかし、無線の電波は、無線LANを構築している企業のビルの壁を超えて飛んでいくため、第3者により、データの不正な取得を目的とした、不正アクセスポイント装置を敷地外に設置された場合、そのアクセスポイント装置が不正なものかどうかは、無線LAN端末で検知することは難しい。
このような点に鑑み、本願の出願人は、正規のアクセスポイント装置が、自己の周辺に不正アクセスポイントが存在することを検知する方法を提案した(特願2006−060094号明細書及び図面)。
しかしながら、無線LANシステムでは、ケーブル接続でないため、無線LAN端末1−nがどのアクセスポイント装置につながっているかを、端末自身で知ることは難しく、また、図3に示すように、正規のアクセスポイント装置3−mが周辺に不正なアクセスポイント装置4の存在を検知したとしても、無線LAN端末1−nにそのことを知らせる手段がなく、無線LAN端末1−nが不正なアクセスポイント装置4に接続してしまうことを防止できない。
そのため、無線LAN端末が不正アクセスポイント装置に接続することを未然に防止し得る不正アクセスポイント接続阻止方法、アクセスポイント装置及び無線LANシステムが求められている。
第1の本発明は、無線LAN端末を収容する複数のアクセスポイント装置を有線LANで接続させた無線LANシステムに関し、上記有線LANに接続されていない不正なアクセスポイント装置を検知し、不正なアクセスポイント装置と無線LAN端末との接続を阻止する不正アクセスポイント接続阻止方法であって、(0)少なくとも一部の上記アクセスポイント装置は、不正アクセスポイント検知手段と、妨害タイミング計時手段と、妨害データ作成送信手段とを有し、(1)上記不正アクセスポイント検知手段は、不正なアクセスポイント装置を検知すると共に、その不正なアクセスポイント装置からのビーコンフレームの送信周期情報を得、(2)上記妨害タイミング計時手段は、不正なアクセスポイント装置からのビーコンフレームの送信周期情報に応じて、認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングを計時し、(3)上記妨害データ作成送信手段は、認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングで、妨害データを作成して無線空間に送信すると共に、(4−0)上記不正アクセスポイント検知手段は、隣接アクセスポイント検知部、隣接アクセスポイント記憶部、探索データ送信部、及び、不正アクセスポイント特定部を有し、(4−1)上記隣接アクセスポイント検知部は、当該アクセスポイント装置の周囲の無線空間をモニタし、隣接するアクセスポイント装置の識別情報を得て上記隣接アクセスポイント記憶部に記憶し、(4−2)上記探索データ送信部は、不正アクセスポイント探索データを、上記有線LAN、上記隣接アクセスポイント記憶部に記憶されている隣接する上記アクセスポイント装置との無線回線を、この順、又は、逆順に経由して、当該アクセスポイント装置に戻ってくるように送信すると共に、不正アクセスポイント探索データが戻ってきた経路の隣接する上記アクセスポイント装置について上記隣接アクセスポイント記憶部に正規装置である旨を記憶し、(4−3)上記不正アクセスポイント特定部は、上記隣接アクセスポイント記憶部に、識別情報が記憶されながら、正規装置である旨が記憶されていないアクセスポイント装置を、不正なアクセスポイント装置として認識すると共に、その不正なアクセスポイント装置からのビーコンフレームの送信周期情報を得ることを特徴とする。
第2の本発明は、無線LAN端末を収容すると共に、有線LANを介して他のアクセスポイント装置に接続されているアクセスポイント装置において、(1)不正なアクセスポイント装置を検知すると共に、その不正なアクセスポイント装置からのビーコンフレームの送信周期情報を得る不正アクセスポイント検知手段と、(2)不正なアクセスポイント装置からのビーコンフレームの送信周期情報に応じて、認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングを計時する妨害タイミング計時手段と、(3)認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングで、妨害データを作成して無線空間に送信する妨害データ作成送信手段とを有し、(4)上記不正アクセスポイント検知手段は、(4−1)当該アクセスポイント装置に隣接するアクセスポイント装置の識別情報及び正規装置である旨が記憶し得る隣接アクセスポイント記憶部と、(4−2)当該アクセスポイント装置の周囲の無線空間をモニタし、隣接するアクセスポイント装置の識別情報を得て上記隣接アクセスポイント記憶部に記憶する隣接アクセスポイント検知部と、(4−3)不正アクセスポイント探索データを、上記有線LAN、上記隣接アクセスポイント記憶手段に記憶されている隣接する上記アクセスポイント装置との無線回線を、この順、又は、逆順に経由して、当該アクセスポイント装置に戻ってくるように送信すると共に、不正アクセスポイント探索データが戻ってきた経路の隣接する上記アクセスポイント装置について上記隣接アクセスポイント記憶部に正規装置である旨を記憶する探索データ送信部と、(4−4)上記隣接アクセスポイント記憶部に、識別情報が記憶されながら、正規装置である旨が記憶されていないアクセスポイント装置を、不正なアクセスポイント装置として認識すると共に、その不正なアクセスポイント装置からのビーコンフレームの送信周期情報を得る不正アクセスポイント特定部とを有することを特徴とする。
第3の本発明は、無線LAN端末を収容する複数のアクセスポイント装置を有線LANで接続させた無線LANシステムにおいて、少なくとも一部の上記アクセスポイント装置として、第2の本発明のアクセスポイント装置を適用したことを特徴とする。
本発明によれば、無線LAN端末が不正なアクセスポイント装置に接続することを未然に防止することができる。
(A)実施形態
以下、本発明による不正アクセスポイント接続阻止方法、アクセスポイント装置及び無線LANシステムの一実施形態を、図面を参照しながら詳述する。
(A−1)実施形態の構成
この実施形態に係る無線LANシステムも、その構成要素の配置は、上述した図2に示すものと同様である。
アクセスポイント装置3−mは、自己の管轄エリア内の無線LAN端末1−nとの通信を実行する無線通信部、自社ネットワーク(有線LAN部分)2との通信を実行する有線通信部、これら無線通信部及び有線通信部の信号転送に介在したり信号が制御信号のときに接続制御を実行したりする信号処理部などを有する。
ここで、信号処理部は、CPUなどを中心とした、主として、ソフトウェア処理構成でなっており、この実施形態の場合、アクセスポイント装置3−m(信号処理部)におけるソフトウェアの構成の一部は、図1に示すようなものである。なお、図1は、不正なアクセスポイント装置を検知し、不正アクセスポイント装置と無線LAN端末との接続を防止するという機能に関係する部分を示しており、制御信号の処理機能などの他の機能に係る構成部分は省略している。
図1において、アクセスポイント装置3−mは、無線LANドライバ31、無線データ通信処理部32、不正アクセスポイント検知部33、有線LANドライバ34、隣接アクセスポイントテーブル35、妨害タイマ制御部36及び妨害データ作成部37などを有する。
無線LANドライバ31は、無線LANのプロトコルを制御し、無線のデータ送受信を行うものである。アクセスポイント装置3−mの通信相手は、無線LAN端末1−nであるが、隣接するアクセスポイント装置3−j(jは1〜M、但しmは除く)の送信データも到達し、無線LANドライバ31は、そのような隣接するアクセスポイント装置3−jの送信データも受信することがある。
また、無線LANドライバ31は、無線データ通信処理部32の駆動により、後述する探索データ(探索データを含む制御信号)や、後述する妨害データ(妨害データを含む制御信号)を無線空間(管轄エリア)に送信させることを行う。アクセスポイント装置3−mは、複数の無線LAN端末を収容可能なように、複数の無線チャネルを有しており、探索データを、無線LAN端末との通信に利用されていない空チャネルによって送信する。
無線データ通信処理部32は、無線LANドライバ31が受信したデータを受け取り、その内容の解析を行うものである。
無線データ通信処理部32は、隣接するアクセスポイント装置3−jからのビーコンフレームを受信した場合には、隣接アクセスポイント装置の情報を、隣接アクセスポイントテーブル35に記憶するものである。ここで、記憶する隣接アクセスポイント装置3−jの情報は、隣接アクセスポイント装置の識別情報(例えばBSSID(Basic Service Set Identifier))やビーコン周期(これは不正なアクセスポイント装置についてのみ記憶する)である。
なお、ビーコンフレームの中には、「BSSID」、「ビーコン周期」、「そのアクセスポイント装置に接続するための各種情報(セキュリティ情報、通信速度など)」が含まれている。ビーコンフレームは、無線LAN端末に対して、その近傍にアクセスポイント装置が存在することを通知させるためのものであって、無線LAN端末は、ビーコンフレームの受信によって自己の収容先(接続先)となるアクセスポイント装置の情報を得る。
無線データ通信処理部32は、隣接するアクセスポイント装置3−jから探索データを受信した場合には、隣接アクセスポイントテーブル35のその隣接アクセスポイント装置3−jの情報のステータスを「正規」にするものである。
また、無線データ通信処理部32は、自社ネットワーク(有線LAN部分)2側から与えられた探索データを、無線LANドライバ31によって無線空間に送信させるものである。
さらに、無線データ通信処理部32は、妨害データ作成部37が作成した妨害データを、無線LANドライバ31によって無線空間に送信させるものである。
不正アクセスポイント検知部33は、不正アクセスポイント装置4を探索するため、探索データを、周期的に、有線LAN部分(自社ネットワーク)2に送信させるものである。不正アクセスポイント検知部33は、探索データを送信させた後、所定時間だけ経過したときに、隣接アクセスポイントテーブル35のステータスを確認し、不正なアクセスポイント装置4が存在するか否かを判定するものである。
不正アクセスポイント検知部33は、不正なアクセスポイント装置4の存在を検知したときには、そのことを表す検知データ(例えば、BSSIDなどの特定するデータを含む)を、有線LAN部分(自社ネットワーク)2に接続されている図示しない上位装置に送信し、また、妨害タイマ制御部36に、不正アクセスポイント装置4の識別情報やビーコン周期(直前のビーコン送信タイミングの情報を含む)に引き渡すものである。
また、不正アクセスポイント検知部33は、有線LAN部分(自社ネットワーク)2側から探索データが与えられた場合には、無線データ通信処理部32に引渡し、無線LANドライバ31によって無線空間に送信させるものである。
有線LANドライバ34は、 有線LAN部分(自社ネットワーク)2のプロトコルを制御し、有線LAN部分2とのデータ送受信を行うものである。
隣接アクセスポイントテーブル35は、隣接アクセスポイント装置3−jの情報(装置の識別情報、正規装置フラグ、ビーコン周期)を記憶するためのデータファイルである。隣接アクセスポイントテーブル35に対する書込みは、上述したように、無線データ通信処理部32によってなされる。また、隣接アクセスポイントテーブル35におけるステータスは、不正アクセスポイント検知部33によって参照される。
妨害タイマ制御部36は、隣接アクセスポイントテーブル35から読み込んだ不正アクセスポイント装置4のビーコン周期毎に、妨害データ作成部37に、妨害データの作成を指示するものである。
妨害データ作成部37は、妨害タイマ制御部36からの指示に従って、妨害データを作成して無線データ通信処理部32に与えて、無線空間に送信させるものである。
(A−2)実施形態の動作
次に、実施形態の無線LANシステムの動作を、不正なアクセスポイント装置の検知動作(A−3)、不正なアクセスポイント装置と無線LAN端末との接続阻止動作(A−4)の順に説明する。
(A−3−1)隣接アクセスポイント装置の認識
各アクセスポイント装置3−mは、周辺の無線LANの電波をモニタし、アクセスポイント装置が必ず送信しなければならない、図4に示すような「ビーコン」という無線LANの制御フレームをモニタする。当該アクセスポイント装置3−mに隣接しているアクセスポイント装置3−j、4のビーコンフレームは、一般的には、当該アクセスポイント装置3−mにも到達する。
ビーコンフレームの中には、送信元のBSSIDが挿入されているため、当該アクセスポイント装置3−mの無線データ通信処理部32は、隣接アクセスポイントテーブル35に、受信したビーコンフレームでのBSSIDを、隣接アクセスポイント装置3−j、4の識別情報として格納する。図4の例であれば、当該アクセスポイント装置3−mの隣接アクセスポイントテーブル35には、正規の隣接アクセスポイント装置3−jの識別情報と、不正な隣接アクセスポイント装置4の識別情報とが格納される。
図6は、無線データ通信処理部32の受信時処理を示すフローチャートである。無線データ通信処理部32は、「ビーコン」か否かの判定ステップによって、ビーコンと判定したときに、隣接アクセスポイントテーブル35へのBSSIDの記憶を行う(ステップ100、101)。
(A−3−2)探索データのブロードキャスト
各アクセスポイント装置3−mは、所定周期(例えば30分)ごとの割り込みによって、図5に示す処理を開始し、各アクセスポイント装置3−mの不正アクセスポイント検知部33は、ブロードキャストデータとして「不正アクセスポイント探索データ」を自社ネットワーク(有線LAN部分)2に送信する(ステップ150)。ここで、不正アクセスポイント探索データは、ブロードキャストデータであれば良く、そのフォーマットなどは限定されるものではない。
不正アクセスポイント探索データは、自社ネットワーク(有線LAN部分)2に送信されるので、正規のアクセスポイント装置3−jには到達するが、不正なアクセスポイント装置4には到達しない。不正アクセスポイント探索データは、ブロードキャストデータであるので、正規のアクセスポイント装置3−jは、無線LAN側に中継する必要があると判断して、無線LAN側に不正アクセスポイント探索データを送信する。
その結果、図7に示すように、正規のアクセスポイント装置3−jは、不正アクセスポイント探索データを、自己の管轄エリアに向けて無線送信するが、不正なアクセスポイント装置4は、不正アクセスポイント探索データを送信することはない。
無線データ通信処理部32は、上述したように、図6に示す受信時処理を行う。不正アクセスポイント探索データのブロードキャストを指示したアクセスポイント装置3−mの無線データ通信処理部32は、隣接アクセスポイント装置3−jから、自己が送信元の不正アクセスポイント探索データを無線LAN側から受信したときには、隣接アクセスポイントテーブル35の、今回の探索データの受信に係るBSSID(隣接アクセスポイント装置3−jの識別情報)に対応付けて「正規」のステータスを記憶する(ステップ102、103)。
なお、アクセスポイント装置3−mの無線データ通信処理部32は、ブロードキャストを指示した時点から、所定時間(例えば3分間)内に、自己が送信元の不正アクセスポイント探索データを無線LAN側から受信できたときだけ「正規」のステータスを記憶し、所定時間を超えて、不正アクセスポイント探索データを受信しても、その受信を「受信でない」と見なすようにしても良い。例えば、不正なアクセスポイント装置4が、隣接アクセスポイント装置3−jが無線送信した探索データを受信して、あわてて、探索データを送信しても、その受信を「受信でない」と見なすことができるように所定時間を選定すれば良い。
一方、不正なアクセスポイント装置4は、不正アクセスポイント探索データを無線LAN側に送信することはないので、不正アクセスポイント探索データの送信元のアクセスポイント装置3−mにおける隣接アクセスポイントテーブル35は、不正なアクセスポイント装置4のBSSID(識別情報)に対応付けて、「正規」のステータスを記憶することはない。
(A−3−3)不正アクセスポイント装置の認識
不正アクセスポイント探索データの送信元のアクセスポイント装置3−mの不正アクセスポイント検知部33は、その送信時点から、所定時間(例えば5分)だけ経過したときに、割り込みによって、図8に示す処理を開始し、隣接アクセスポイントテーブル35から、「正規」のステータスが付与されていないBSSID(識別情報)を取得する(ステップ200)。「正規」のステータスが付与されていないBSSID(識別情報)は、不正なアクセスポイント装置4のBSSID(識別情報)であり、これにより、不正なアクセスポイント装置4の存在を検知(認識)することができる。
図8では省略しているが、不正アクセスポイント検知部33は、不正なアクセスポイント装置4の存在を検知すると、上位装置に通知し、上位装置は所定の保護動作や異常報知動作などを行う。例えば、ブザーの鳴動によって監視者に不正なアクセスポイント装置4の存在を報知したり、自動的な社内放送によって、不正なアクセスポイント装置4の存在を報知したりする。その際、不正なアクセスポイント装置4の存在を検知したアクセスポイント装置3−mの位置情報をも含めて放送し、注意場所を教示するようにしても良い。
(A−4)不正アクセスポイント装置との接続防止
アクセスポイント装置3−mの不正アクセスポイント検知部33は、不正なアクセスポイント装置4の存在を検知すると、図9に示すように、その不正なアクセスポイント装置4からのビーコンから、ビーコン周期(次回の送信タイミングを含む)を得て、隣接アクセスポイントテーブル35に登録した後(ステップ300、301)、妨害タイマ制御部36を起動する(ステップ302)。
これにより、妨害タイマ制御部36は、不正アクセスポイント装置4のビーコン周期に合わせて、妨害データ作成部37によって、妨害データ(妨害用のダミーデータ)を作成させて、その妨害データを無線空間に送信させる(ステップ350)。
仮に、図10に示すように、無線LAN端末1−nが不正アクセスポイント装置4のビーコンが届く範囲に存在していたとしても、この無線LAN端末1−nには、不正アクセスポイント装置4のビーコンとアクセスポイント装置3−mから送信された妨害データとが同時に到達し、無線LAN端末1−nは、不正アクセスポイント装置4のビーコンを正しく受信できない。これにより、無線LAN端末1−nが不正アクセスポイント装置4に接続(収容)されることはない。
なお、妨害データ(妨害用ダミーデータ)は、無線LAN端末が受信した不正アクセスポイント装置のビーコンの復調をエラーにできるものであれば良く、フォーマットなどは限定されるものではない。
(A−5)実施形態の効果
以上のように、上記実施形態によれば、不正アクセスポイント装置の存在を認識でき、その不正なアクセスポイント装置と無線LAN端末とが接続することを防止することができる。すなわち、不正なアクセスポイント装置を検知すると、直ちに、無線LAN端末が接続することを防止する状態になり、データの流出を防ぐことができる。
(B)他の実施形態
上記実施形態においては、検知動作を行っているアクセスポイント装置3−mが、不正アクセスポイント探索データをブロードキャストさせるものを示したが、隣接アクセスポイントテーブル35に識別情報が記憶されている隣接アクセスポイント装置からマルチキャストさせるものであっても良く(この場合に上位装置を経由させても良い)、また、隣接アクセスポイントテーブル35に識別情報が記憶されている隣接アクセスポイント装置の1個ずつから、個別に探索データを送信させるようにしても良い(この場合に上位装置を経由させても良い)。後者の場合であれば、隣接アクセスポイント装置3−jに、当該隣接アクセスポイント装置3−mを収容先とする、無線LAN端末と同様な無線送信動作を実行させるようにしても良い。
また、上記実施形態においては、検知動作を行っているアクセスポイント装置3−mが、不正アクセスポイント探索データを自社ネットワーク(有線LAN部分)2に送信し、隣接アクセスポイント装置の無線探索データをモニタすることにより、正規の隣接アクセスポイント装置3−jを認識するものを示したが、この逆のループ経路で探索データを巡回させて、正規の隣接アクセスポイント装置を認識するようにしても良い。例えば、検知動作を行っているアクセスポイント装置3−mは、自己宛の不正アクセスポイント探索データを無線送信し、その無線送信された不正アクセスポイント探索データを受信した正規の隣接アクセスポイント装置3−jが、自社ネットワーク(有線LAN部分)2経由で、不正アクセスポイント探索データをアクセスポイント装置3−mにフィードバックさせることにより(この場合に上位装置を経由させても良い)、正規の隣接アクセスポイント装置を認識するようにしても良い。
さらに、上記実施形態においては、全てのアクセスポイント装置が、不正のアクセスポイント装置の検知機能を有するものを示したが、一部のアクセスポイント装置が、不正のアクセスポイント装置の検知機能を備えるものであっても良い。例えば、建物の外壁に近い位置に設置されているアクセスポイント装置が、不正のアクセスポイント装置の検知機能を備えるようにしても良い。
さらにまた、上記実施形態においては、不正アクセスポイント装置のビーコン周期を、不正と認識した以降に得るものを示したが、探索動作中でテーブルに登録しておき、不正と認識したときに直ちに使用するようにしても良い。
上記実施形態においては説明しなかったが、不正アクセスポイント装置が継続してビーコンを送出しているかを監視し、不正アクセスポイント装置がビーコンの送信を止めたときには、妨害データの送信を終了するようにしても良い。
また、上記実施形態においては、妨害データの送信時も他のデータの送信時と同様な送信電力で送信するものを示したが、他のデータの送信時より送信電力を上げるようにしても良い。また、タイマの計時誤差を考慮し、不正アクセスポイント装置がビーコンを送信すると判定される期間より広い期間、妨害データを送信するようにしても良い。
実施形態のアクセスポイント装置のソフトウェア構成を示す機能ブロック図である。 企業の無線LANシステムの基本的構成を示すブロック図である。 従来の課題の説明図である。 実施形態で利用するビーコンフレームの説明図である。 実施形態の無線データ通信処理部の受信時処理を示すフローチャートである。 実施形態の不正アクセスポイント検知部による不正アクセスポイント探索データの送信動作を示すフローチャートである。 実施形態の正規の隣接アクセスポイント装置だけが不正アクセスポイント探索データを無線送信する様子を示す説明図である。 実施形態の不正アクセスポイント検知部の正規の隣接アクセスポイント装置の認識動作を示すフローチャートである。 実施形態における妨害データを送信するための一連の動作を示すフローチャートである。 実施形態の妨害データと不正アクセスポイント装置からのビーコンとの衝突の様子を示す説明図である。
符号の説明
1−1〜1−N…無線LAN端末、2…自社ネットワーク(有線LAN)、3−1〜3−M…アクセスポイント装置、31…無線LANドライバ、32…無線データ通信処理部、33…不正アクセスポイント検知部、34…有線LANドライバ、35…隣接アクセスポイントテーブル、36…妨害タイマ制御部、37…妨害データ作成部。

Claims (3)

  1. 無線LAN端末を収容する複数のアクセスポイント装置を有線LANで接続させた無線LANシステムに関し、上記有線LANに接続されていない不正なアクセスポイント装置を検知し、不正なアクセスポイント装置と無線LAN端末との接続を阻止する不正アクセスポイント接続阻止方法であって、
    少なくとも一部の上記アクセスポイント装置は、不正アクセスポイント検知手段と、妨害タイミング計時手段と、妨害データ作成送信手段とを有し、
    上記不正アクセスポイント検知手段は、不正なアクセスポイント装置を検知すると共に、その不正なアクセスポイント装置からのビーコンフレームの送信周期情報を得、
    上記妨害タイミング計時手段は、不正なアクセスポイント装置からのビーコンフレームの送信周期情報に応じて、認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングを計時し、
    上記妨害データ作成送信手段は、認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングで、妨害データを作成して無線空間に送信すると共に、
    上記不正アクセスポイント検知手段は、隣接アクセスポイント検知部、隣接アクセスポイント記憶部、探索データ送信部、及び、不正アクセスポイント特定部を有し、
    上記隣接アクセスポイント検知部は、当該アクセスポイント装置の周囲の無線空間をモニタし、隣接するアクセスポイント装置の識別情報を得て上記隣接アクセスポイント記憶部に記憶し、
    上記探索データ送信部は、不正アクセスポイント探索データを、上記有線LAN、上記隣接アクセスポイント記憶部に記憶されている隣接する上記アクセスポイント装置との無線回線を、この順、又は、逆順に経由して、当該アクセスポイント装置に戻ってくるように送信すると共に、不正アクセスポイント探索データが戻ってきた経路の隣接する上記アクセスポイント装置について上記隣接アクセスポイント記憶部に正規装置である旨を記憶し、
    上記不正アクセスポイント特定部は、上記隣接アクセスポイント記憶部に、識別情報が記憶されながら、正規装置である旨が記憶されていないアクセスポイント装置を、不正なアクセスポイント装置として認識すると共に、その不正なアクセスポイント装置からのビーコンフレームの送信周期情報を得る
    ことを特徴とする不正アクセスポイント接続阻止方法。
  2. 無線LAN端末を収容すると共に、有線LANを介して他のアクセスポイント装置に接続されているアクセスポイント装置において、
    不正なアクセスポイント装置を検知すると共に、その不正なアクセスポイント装置からのビーコンフレームの送信周期情報を得る不正アクセスポイント検知手段と、
    不正なアクセスポイント装置からのビーコンフレームの送信周期情報に応じて、認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングを計時する妨害タイミング計時手段と、
    認識された不正なアクセスポイント装置からビーコンフレームが送信されるタイミングで、妨害データを作成して無線空間に送信する妨害データ作成送信手段とを有し、
    上記不正アクセスポイント検知手段は、
    当該アクセスポイント装置に隣接するアクセスポイント装置の識別情報及び正規装置である旨が記憶し得る隣接アクセスポイント記憶部と、
    当該アクセスポイント装置の周囲の無線空間をモニタし、隣接するアクセスポイント装置の識別情報を得て上記隣接アクセスポイント記憶部に記憶する隣接アクセスポイント検知部と、
    不正アクセスポイント探索データを、上記有線LAN、上記隣接アクセスポイント記憶手段に記憶されている隣接する上記アクセスポイント装置との無線回線を、この順、又は、逆順に経由して、当該アクセスポイント装置に戻ってくるように送信すると共に、不正アクセスポイント探索データが戻ってきた経路の隣接する上記アクセスポイント装置について上記隣接アクセスポイント記憶部に正規装置である旨を記憶する探索データ送信部と、
    上記隣接アクセスポイント記憶部に、識別情報が記憶されながら、正規装置である旨が記憶されていないアクセスポイント装置を、不正なアクセスポイント装置として認識すると共に、その不正なアクセスポイント装置からのビーコンフレームの送信周期情報を得る不正アクセスポイント特定部とを有する
    ことを特徴とするアクセスポイント装置。
  3. 無線LAN端末を収容する複数のアクセスポイント装置を有線LANで接続させた無線LANシステムにおいて、
    少なくとも一部の上記アクセスポイント装置として、請求項に記載のアクセスポイント装置を適用したことを特徴とする無線LANシステム。
JP2006183450A 2006-07-03 2006-07-03 不正アクセスポイント接続阻止方法、アクセスポイント装置及び無線lanシステム Active JP4229148B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2006183450A JP4229148B2 (ja) 2006-07-03 2006-07-03 不正アクセスポイント接続阻止方法、アクセスポイント装置及び無線lanシステム
US11/798,855 US8295255B2 (en) 2006-07-03 2007-05-17 Wireless LAN system, access point, and method for preventing connection to a rogue access point
CN2007101275143A CN101102246B (zh) 2006-07-03 2007-06-28 不正当接入点连接阻止方法、接入点装置和无线lan系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006183450A JP4229148B2 (ja) 2006-07-03 2006-07-03 不正アクセスポイント接続阻止方法、アクセスポイント装置及び無線lanシステム

Related Child Applications (2)

Application Number Title Priority Date Filing Date
JP2008216712A Division JP4697278B2 (ja) 2008-08-26 2008-08-26 アクセスポイント装置の検出方法及び制御方法、アクセスポイント検出装置、アクセスポイント装置並びに無線lanシステム
JP2008216711A Division JP4862868B2 (ja) 2008-08-26 2008-08-26 アクセスポイント装置の制御方法、アクセスポイント装置及び無線lanシステム

Publications (2)

Publication Number Publication Date
JP2008016942A JP2008016942A (ja) 2008-01-24
JP4229148B2 true JP4229148B2 (ja) 2009-02-25

Family

ID=38876564

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006183450A Active JP4229148B2 (ja) 2006-07-03 2006-07-03 不正アクセスポイント接続阻止方法、アクセスポイント装置及び無線lanシステム

Country Status (3)

Country Link
US (1) US8295255B2 (ja)
JP (1) JP4229148B2 (ja)
CN (1) CN101102246B (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009022027A (ja) * 2008-08-26 2009-01-29 Oki Electric Ind Co Ltd アクセスポイント装置の制御方法、アクセスポイント装置及び無線lanシステム
US9374711B2 (en) 2011-09-30 2016-06-21 International Business Machines Corporation Monitoring unauthorized access point

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4833779B2 (ja) * 2006-09-13 2011-12-07 株式会社リコー 無線lan機器
US20090003253A1 (en) * 2007-06-29 2009-01-01 Tropos Networks, Inc. Controlling wireless network beacon transmission
CN101515870B (zh) * 2008-02-22 2012-04-25 精品科技股份有限公司 防止资料外流的方法及使用此方法的无线区域网络系统
JP5106304B2 (ja) * 2008-08-01 2012-12-26 株式会社エヌ・ティ・ティ・ドコモ 無線基地局及び移動通信方法
US8176328B2 (en) * 2008-09-17 2012-05-08 Alcatel Lucent Authentication of access points in wireless local area networks
JP5228865B2 (ja) * 2008-12-09 2013-07-03 住友電気工業株式会社 不正装置を検知する装置、不正装置検知システムおよび不正装置の検知方法
CN102804829A (zh) * 2009-06-24 2012-11-28 诺基亚公司 用于避免欺骗接入点的拒绝服务攻击的方法和装置
US20110191827A1 (en) * 2010-01-29 2011-08-04 Rajini Balay Detecting Unauthorized Router Access Points or Rogue APs in the Wired Network
JP5708183B2 (ja) * 2011-04-14 2015-04-30 富士通セミコンダクター株式会社 無線通信装置及び無線通信方法
KR101345943B1 (ko) * 2012-02-29 2013-12-27 주식회사 팬택 Ap 검증을 위한 모바일 디바이스 및 모바일 디바이스의 동작 방법
JP5968652B2 (ja) * 2012-03-15 2016-08-10 株式会社イシダ 電子表示システム
US8929341B2 (en) * 2013-04-06 2015-01-06 Meru Networks Access point for surveillance of anomalous devices
WO2015000158A1 (en) * 2013-07-04 2015-01-08 Hewlett-Packard Development Company, L.P. Determining legitimate access point response
US9661603B2 (en) 2013-08-30 2017-05-23 Qualcomm Incorporated Passive positioning utilizing beacon neighbor reports
US20150082429A1 (en) * 2013-09-17 2015-03-19 Cisco Technology, Inc. Protecting wireless network from rogue access points
US20150139211A1 (en) * 2013-11-19 2015-05-21 Huawei Technologies Co., Ltd. Method, Apparatus, and System for Detecting Rogue Wireless Access Point
US10531545B2 (en) 2014-08-11 2020-01-07 RAB Lighting Inc. Commissioning a configurable user control device for a lighting control system
US10039174B2 (en) 2014-08-11 2018-07-31 RAB Lighting Inc. Systems and methods for acknowledging broadcast messages in a wireless lighting control network
US10085328B2 (en) 2014-08-11 2018-09-25 RAB Lighting Inc. Wireless lighting control systems and methods
US9860067B2 (en) 2015-10-29 2018-01-02 At&T Intellectual Property I, L.P. Cryptographically signing an access point device broadcast message
CN107040930B (zh) * 2017-03-24 2020-12-15 台州市吉吉知识产权运营有限公司 一种防止sta关联非法ap的方法及系统
US10911956B2 (en) * 2017-11-10 2021-02-02 Comcast Cable Communications, Llc Methods and systems to detect rogue hotspots
JP2020108070A (ja) 2018-12-28 2020-07-09 株式会社東芝 通信制御装置および通信制御システム
CN110120948B (zh) * 2019-05-06 2020-12-15 四川英得赛克科技有限公司 基于无线和有线数据流相似性分析的非法外联监测方法
IL268022A (en) * 2019-07-11 2021-01-31 Wintego Systems Ltd Jamming wi-fi communications
JP6856271B1 (ja) * 2019-10-04 2021-04-07 Necプラットフォームズ株式会社 通信システム、通信経路確立方法、および経路確立プログラム
US11463881B2 (en) * 2020-01-27 2022-10-04 Saudi Arabian Oil Company Vehicular integration of enterprise wireless scanning

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000312162A (ja) 1999-04-28 2000-11-07 Nec Kansai Ltd 送受信機
US7002943B2 (en) 2003-12-08 2006-02-21 Airtight Networks, Inc. Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices
CN100502300C (zh) * 2004-08-05 2009-06-17 Ut斯达康通讯有限公司 一种无线局域网内检测非法无线接入点的方法
TWI272795B (en) * 2005-09-09 2007-02-01 Hon Hai Prec Ind Co Ltd Method and system for detecting a rogue access point and device for determing the rogue access point
US7716740B2 (en) * 2005-10-05 2010-05-11 Alcatel Lucent Rogue access point detection in wireless networks
US8374122B2 (en) * 2005-12-21 2013-02-12 Cisco Technology, Inc. System and method for integrated WiFi/WiMax neighbor AP discovery and AP advertisement

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009022027A (ja) * 2008-08-26 2009-01-29 Oki Electric Ind Co Ltd アクセスポイント装置の制御方法、アクセスポイント装置及び無線lanシステム
US9374711B2 (en) 2011-09-30 2016-06-21 International Business Machines Corporation Monitoring unauthorized access point
US9674708B2 (en) 2011-09-30 2017-06-06 International Business Machines Corporation Monitoring unauthorized access point

Also Published As

Publication number Publication date
US20080002651A1 (en) 2008-01-03
JP2008016942A (ja) 2008-01-24
CN101102246B (zh) 2011-11-09
US8295255B2 (en) 2012-10-23
CN101102246A (zh) 2008-01-09

Similar Documents

Publication Publication Date Title
JP4229148B2 (ja) 不正アクセスポイント接続阻止方法、アクセスポイント装置及び無線lanシステム
EP1720292B1 (en) Method and apparatus for grouping mobile nodes in extended wireless LAN
KR101453521B1 (ko) 무선 액세스 포인트 장치 및 비인가 무선 랜 노드 탐지 방법
US7522049B2 (en) Wireless local area network (WLAN) method and system for presence detection and location finding
US7406051B2 (en) Interference measurements in a wireless communications system
EP2037629A1 (en) Communication apparatus, and method and program for controlling switching of connection destinations of wireless communication apparatus by use of communication apparatus
JP4525417B2 (ja) 不正アクセス検出方法および装置
CN101159518A (zh) 通信方法和通信设备
CN1930860B (zh) 基于用户-服务器的无线侵入检测的系统和方法
JP4697278B2 (ja) アクセスポイント装置の検出方法及び制御方法、アクセスポイント検出装置、アクセスポイント装置並びに無線lanシステム
KR101407705B1 (ko) 차량 간 통신 환경에서 효과적인 긴급 메시지 전송을 위한 긴급 메시지 릴레이 장치 및 방법
US7680090B2 (en) System and method for monitoring network traffic
CN103906263A (zh) 连接建立方法、设备及系统
US20060133401A1 (en) Communication apparatus, wireless communication terminal, wireless communication system, and wireless communication method
US9444837B2 (en) Process and devices for selective collision detection
US20050008067A1 (en) Detection apparatus and method
JP4779711B2 (ja) 不正アクセスポイント検知方法、アクセスポイント装置及び無線lanシステム
JP4862868B2 (ja) アクセスポイント装置の制御方法、アクセスポイント装置及び無線lanシステム
JP2005184719A (ja) 監視装置、基地局および無線lanシステム
JP2005064711A (ja) アクセスポイント機器
MXPA02002820A (es) Proceso para asociar un aparato en una red de comunicacion.
Escheikh et al. Opportunistic MAC layer design with stochastic Petri Nets for multimedia ad hoc networks
JP2001024665A (ja) 光無線伝送システム
JP4465604B2 (ja) 異常通報システム
JP7430397B2 (ja) Wipsセンサ、無線通信システム、無線侵入防止方法及び無線侵入防止プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080317

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080708

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080826

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081111

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081124

R150 Certificate of patent or registration of utility model

Ref document number: 4229148

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111212

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111212

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111212

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111212

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121212

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131212

Year of fee payment: 5