JP4315879B2 - 無線通信装置 - Google Patents

無線通信装置 Download PDF

Info

Publication number
JP4315879B2
JP4315879B2 JP2004258526A JP2004258526A JP4315879B2 JP 4315879 B2 JP4315879 B2 JP 4315879B2 JP 2004258526 A JP2004258526 A JP 2004258526A JP 2004258526 A JP2004258526 A JP 2004258526A JP 4315879 B2 JP4315879 B2 JP 4315879B2
Authority
JP
Japan
Prior art keywords
wireless
packet
mac address
wireless communication
wireless terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004258526A
Other languages
English (en)
Other versions
JP2006074680A (ja
Inventor
典文 吉谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sharp Corp
Original Assignee
Sharp Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sharp Corp filed Critical Sharp Corp
Priority to JP2004258526A priority Critical patent/JP4315879B2/ja
Publication of JP2006074680A publication Critical patent/JP2006074680A/ja
Application granted granted Critical
Publication of JP4315879B2 publication Critical patent/JP4315879B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、無線端末との無線通信を行い無線LANを形成する無線アクセスポイント等の無線通信装置に関する。
昨今、有線のLANケーブルで接続していたものを無線に置き換える無線LAN技術の発達と低価格化が進んできている。IEEE802.11と呼ばれる無線LANの規格ができた当初は、潜在的なニーズがありながらも伝送速度が遅いことや機器が高価であったため、それほど普及しなかった。しかしその後、伝送速度を速くした規格IEEE802.11b、IEEE802.11aやIEEE802.11gの登場、TKIP(Temporal Key Integrity Protocol)、AES(Advanced Encryption Standard)などの強固な無線伝送データの暗号化方式の登場や機器の低価格化等により無線LANは徐々に普及してきている。
また、携帯端末やノート型PC等の無線端末の普及により、外出先等、何時何処でもインターネットサービスを利用したいといったニーズが増えてきている。
これらのことから、街中に無線アクセスポイント(以下、無線APと呼ぶ)を設け、無線APに接続された無線端末にインターネットへの接続を提供するHotSpotサービス等の無線サービスが始まっている。HotSpotサービスを利用する場合、ユーザはノート型PC等の無線端末をHotSpotサービスエリア(無線APから電波の届く範囲)に持っていき、無線APに接続して利用する。一般的に、無線による物理的な接続状況は、無線端末の無線接続ユーティリティにより無線端末の画面上に表示され、ユーザが確認できる。
無線サービスの提供者は、不正な方法で接続する端末に対して無線サービスを提供しないことを必要とする。従来、無線AP等の無線通信装置を用いた接続端末に対する制御方法としては、不正接続端末から受信したパケットが有するIPアドレスに基づいて、不正接続端末から受信したパケットを廃棄することが行われている(例えば、特許文献1参照)。
特開2002−158701号公報
しかし、上記従来の無線通信装置では次のような問題がある。従来の無線通信装置が、不正接続端末から受信したパケットが有するIPアドレスに基づいて、そのパケットを廃棄した後、再度不正端末からパケットを受信すると再度同じ動作を繰り返す。IPアドレスをパケットから取り出し、その中身を確認するという動作が不正接続端末からパケットを受信する度に繰り返されることになり、無線サービスを受けるべきでない端末によって無線通信装置に無用な負荷がかかり、無線通信装置のパフォーマンスも低下してしまう。また、このようなパケットを大量に無線通信装置が受信した場合は、パフォーマンスが著しく低下し、場合によっては無線LANが不安定となり、サービス提供ができなくなることもある。
また、ユーザがIPアドレスの設定を誤った端末で従来の無線通信装置に接続すると、その端末は不正接続端末と判断され、無線サービスが受けられない。しかし、物理的な接続はされているために、端末の画面上では無線接続完了となっており、ユーザが混乱を起こす。
本発明は上記問題点を鑑みてなされたものであり、無線サービスを受けるべきでない無線端末による無用な負荷を抑え、無線サービスの安定化を図ることができる無線通信装置を提供することを目的とする。
上記目的を達成するため、本発明の無線通信装置は、無線端末からのパケットを受信する受信手段を備える無線通信装置において、第一の記憶手段と、所定の条件に基づき無線端末のMACアドレスを前記第一の記憶手段に記憶されたテーブルに登録する登録手段と、前記受信手段が無線端末からパケットを受信すると、該パケット中のMACアドレスと前記第一の記憶手段に記憶されたテーブルに登録されたMACアドレスとを比較し、両者が一致するとき該パケットを廃棄する制御手段とを備え
所定のMACアドレスと該MACアドレスに対応する所定のIPアドレスとが登録されたテーブルを記憶する第二の記憶手段をさらに備え、
前記登録手段は、前記受信手段が受信したパケット中のMACアドレスとIPアドレスとの一方のみが一致するようなMACアドレスとIPアドレスとの組が前記第二の記憶手段に記憶されたテーブルに存在するとき該パケット中のMACアドレスを前記第一の記憶手段に記憶されたテーブルに登録することを特徴とする(以下、第1の構成と呼ぶ)。
このような構成によれば、無線サービスを受けるべきでない無線端末のMACアドレスをテーブルに登録すれば、その無線端末からのパケットは処理の最初の段階で廃棄されるので、無線サービスを受けるべきでない無線端末による無用な負荷を無線通信装置にかけず、安定した無線サービスを提供することができる。
また、本発明の無線通信装置は、第1の構成の無線通信装置において、前記制御手段は、前記パケットを廃棄すると同時に、前記パケットを送信した前記無線端末との接続を切断することを特徴とする(以下、第2の構成と呼ぶ)。
このような構成によれば、無線サービスを受けられないときに無線接続が切断されるため、ユーザは無線端末の画面上で無線接続切断を簡単に確認でき、無線サービスを受けられないときに混乱することもない。
また、本発明の無線通信装置は、第1の構成の無線通信装置において、無線端末との間で接続認証を行う接続認証手段を備える無線通信装置であって、前記登録手段は、前記受信手段が無線端末から接続認証用パケットを受信し、前記接続認証手段が接続認証を行い、該無線端末の接続認証に所定の回数または所定の時間以上失敗したとき、該パケット中のMACアドレスを前記第一の記憶手段に記憶されたテーブルに登録することを特徴とする(以下、第3の構成と呼ぶ)。
このような構成によれば、無線通信の暗号化の鍵の設定等が誤っている無線端末から接続認証要求を受ける度に暗号化の鍵の判定等の接続認証を繰り返すことを防ぎ、無線通信装置の負荷を抑えられる。
また、本発明の無線通信装置は、第1〜第3の構成のいずれかの無線通信装置において、無線端末との間で当該無線通信装置外部の認証サーバまたは当該無線通信装置内部の認証サーバ機能を用いてユーザ認証を行うユーザ認証手段を備える無線通信装置であって、前記登録手段は、前記受信手段が無線端末からユーザ認証用パケットを受信し、前記ユーザ認証手段がユーザ認証を行い、該無線端末のユーザ認証に所定の回数または所定の時間以上失敗したとき、該パケット中のMACアドレスを前記第一の記憶手段に記憶されたテーブルに登録することを特徴とする(以下、第4の構成と呼ぶ)。
このような構成によれば、サービス利用のためのID、パスワード等の入力が誤っている無線端末からユーザ認証要求を受けるたびにユーザ認証を繰り返すことを防ぎ、無線通信装置の負荷を抑えられる。
また、本発明の無線通信装置は、第1〜第4の構成のいずれかの無線通信装置において、所定のIPアドレスが登録されたテーブルを記憶する第三の記憶手段を備え、前記登録手段は、前記受信手段が受信したパケット中のIPアドレスが前記第三の記憶手段に記憶されたテーブル中のIPアドレスと一致するとき該パケット中のMACアドレスを前記第一の記憶手段に記憶されたテーブルに登録することを特徴とする(以下、第5の構成と呼ぶ)。
このような構成によれば、あらかじめ無線LAN全体に悪影響を与えそうなIPアドレスをテーブルに登録しておくことで、故意にまたは誤って前記のIPアドレスが設定された無線端末が無線接続された場合に、その無線端末を無線サービスから排除することができる。
また、本発明の無線通信装置は、第1〜第5の構成のいずれかの無線通信装置において、前記第二の記憶手段に記憶されたテーブルに登録された前記所定のMACアドレスと前記所定のIPアドレスの組は固定的に使用されることを特徴とする(以下、第6の構成と呼ぶ)。
このような構成によれば、特定の無線端末に指定したIPアドレスを割り振って使いたいような状況で、他の無線端末がそのIPアドレスを使用して通信をすることや、特定の無線端末が指定した以外のIPアドレスで通信をすることを防ぐことができる。
また、本発明の無線通信装置は、第1〜第5の構成のいずれかの無線通信装置において、前記第二の記憶手段に記憶されたテーブルに登録された前記所定のIPアドレスは、DHCPによって無線端末に割り当てられたIPアドレスであり、前記第二の記憶手段に記憶されたテーブルに登録された前記所定のMACアドレスは、IPアドレスが割り当てられた無線端末のMACアドレスであることを特徴とする(以下、第7の構成と呼ぶ)。
このような構成によれば、DHCPにより既に使用されているIPアドレスと同一のIPアドレスを後から手動で設定した他の無線端末が無線接続してきて、IPアドレスの競合が起こるような場合にも、後から無線接続しようとしてきた無線端末を無線サービスから排除することができる。
また、本発明の無線通信装置は、第1〜第7の構成のいずれかの無線通信装置において、当該無線通信装置に接続された端末と当該無線通信装置との少なくとも一つの動作異常を引き起こすパケットである第一の不正アクセスパケットと、無線端末から当該無線通信装置に接続された端末への侵入を目的とするパケットである第二の不正アクセスパケットとの少なくとも一つを検出する検出手段を備え、前記登録手段は、前記検出手段が、前記受信手段が受信したパケットが前記第一の不正アクセスパケットまたは前記第二の不正アクセスパケットであることを検出したとき該パケット中のMACアドレスを前記第一の記憶手段に記憶されたテーブルに登録することを特徴とする(以下、第8の構成と呼ぶ)。
このような構成によれば、無線サービスを妨害しようとする無線端末を無線サービスから排除することができ、安定したサービス提供ができる。
また、本発明の無線通信装置は、第1〜第8の構成のいずれかの無線通信装置において、現在時刻を取得する時刻取得手段と、DHCPによってIPアドレスが割り当てられた無線端末のMACアドレスと、該MACアドレスに対応する前記無線端末に前記IPアドレスが割り当てられた時刻とが登録されたテーブルを記憶する第四の記憶手段とを備え、前記登録手段は、現在時刻までの時間が所定の時間を超えている前記第四の記憶手段に記憶されたテーブル中の無線端末にIPアドレスが割り当てられた時刻に対応するMACアドレスを前記第一の記憶手段に記憶されたテーブルに登録することを特徴とする(以下、第9の構成と呼ぶ)。
このような構成によれば、設定時間単位での無線端末へのサービス提供をする場合、サービス利用時間が設定時間を超えた無線端末を無線サービスから排除できる。
また、本発明の無線通信装置は、第1〜第9の構成のいずれかの無線通信装置において、前記登録手段は、無線端末のMACアドレスとともに、登録理由を表す情報を前記第一の記憶手段に記憶されたテーブルに登録することを特徴とする(以下、第10の構成と呼ぶ)。
このような構成によれば、無線端末が無線サービスから排除された理由を表す情報が記録に残るので、無線端末が無線サービスから排除された原因をユーザが追求する時間を削減できる。
また、本発明の無線通信装置は、第1〜第10の構成のいずれかの無線通信装置において、前記登録手段によって前記第一の記憶手段に記憶されたテーブルに登録されたMACアドレスを、登録から所定時間経過後に削除する削除手段を備えることを特徴とする。
このような構成によれば、無線サービスから排除された無線端末でも、排除された理由を取り除けば、所定時間経過後に再び無線サービスを受けることが可能となる。
本発明の無線通信装置によれば、無線サービスを受けるべきでない無線端末による無用な負荷を抑え、無線サービスの安定化を図ることができる。
本発明は、無線通信機能を持ち、パケット通信を行うすべての通信装置に適用できるが、以下では無線機能付きのルータ(以下、無線ルータと呼ぶ)を例として実施形態を説明する。
図1は、無線LANによる無線端末のインターネット接続形態を示す図である。端末14および認証サーバ19はイーサネット(登録商標)ケーブル18で、また無線端末15、16、17はIEEE802.11a、IEEE802.11bやIEEE802.11g等の規格に則した方法で無線の電波により無線ルータ12と接続され、ローカルエリアネットワーク13を形成する。また、無線ルータ12は外部のネットワークであるインターネット11とも接続されており、インターネット11とローカルエリアネットワーク13との間でのデータの受け渡しを行っている。
端末14がインターネット11へのアクセスを行う場合、端末14から送出されるパケットはイーサネット(登録商標)ケーブル18を経由して無線ルータ12のLAN I/Fから無線ルータ12に入る。無線ルータ12は入ってきたパケットをWAN I/Fからインターネット11に送出する。インターネット11から端末14に送出されたパケットは無線ルータ12のWAN I/F、LAN I/Fとイーサネット(登録商標)ケーブル18を経由して端末14に届き、端末14はインターネット11へのアクセスを実現する。
無線端末15がインターネット11へのアクセスを行う場合、無線端末15から送出されるパケットは変調されアンテナから送出される。無線ルータ12では無線端末15からの電波をアンテナで受け取りパケットの形に復調して、WAN I/Fからインターネット11に送出する。インターネット11から無線端末15に送出されたパケットは無線ルータ12のWAN I/Fから無線ルータ12に入る。無線ルータ12では入ってきたパケットを変調してアンテナから送出する。電波を受け取った無線端末15は、復調してパケットの形に戻す。以上の手順で無線端末15はインターネット11へのアクセスを実現する。無線端末16、17も同様の手順でインターネット11へのアクセスを実現する。
認証サーバ19は無線端末15、16、17がサービスを利用するときに最初に行われる個々のユーザの認証で使用される。ユーザはユーザIDとパスワードを用いて、サービス認証をうける。認証サーバ19はセキュリティのため、インターネット11からのアクセスは出来ない。
図2は、本発明の実施の一形態である無線ルータ12の構成を示すブロック図である。無線ルータ12は、無線接続制御装置21、無線部記憶装置22、I/F制御装置23、制御装置24、記憶装置25、アンテナ201、LAN I/F202、WAN I/F203、LED204、初期化スイッチ205、スピーカー206から構成される。無線ルータ12は、アンテナ201で送受信する電波でローカルエリアネットワーク13にある無線端末と接続され、LAN I/F202でローカルエリアネットワーク13にある端末と有線で接続される。また、WAN I/F203でインターネット11等の外部ネットワークと接続される。
無線接続制御装置21は、アンテナ201から入って来た電波信号をパケットに復調してI/F制御装置23に送出し、I/F制御装置23から入って来たパケットを電波信号に変調してアンテナ201から送出することを行う。また、無線接続制御装置21は、無線部記憶装置22を用いて無線端末と無線接続を行う制御も行う。無線部記憶装置22には、無線接続制御装置21が無線接続制御を行うためのMACアドレス情報、暗号化方式や暗号化の鍵等の情報が記憶されている。
I/F制御装置23は、無線接続制御装置21、LAN I/F202、WAN I/F203のそれぞれから入って来るパケットの宛先情報を確認して、無線接続制御装置21、LAN I/F202、WAN I/F203の適当な宛先に送り出す処理を行う。またI/F制御装置23は、無線接続制御装置21やLAN I/F202からWAN I/F203へ送られるパケットや、WAN I/F203から無線接続制御装置21やLAN I/F202へ送られるパケットのヘッダーを変換する処理も行う。
制御装置24は、記憶装置25とあいなって無線接続制御装置21やI/F制御装置23の制御や、LED204やスピーカー206の制御を行う。制御装置24が無線ルータ12の異常状態や不正アクセス等の発生を検知した場合、ユーザに通知するためスピーカー206に対して音声出力やメロディ出力指示を出し、スピーカー206は音声を発する。また、制御装置24は、HTML形式での設定画面表示能力を有しており、アンテナ201、LAN I/F202の先に接続されている各端末のブラウザからHTML方式で作成された設定画面を開き、簡単に無線ルータ12の設定を変更することができる。
LED204は、後述するように制御装置24の制御により各端末からのアクセス状態や無線ルータ12の状態を示す。
初期化スイッチ205は入力を検知すると、制御装置24に入力を通知する。制御装置24は初期化スイッチ205からの通知を受けて無線ルータ12の再起動や登録設定内容を工場出荷状態に戻す等の処理を行う。
図3は、無線ルータ12の正面外観図である。無線ルータ12の正面には各LED204a〜204hが配置されている。無線用LED204aは無線のアクセス状態を表すLEDである。無線端末との接続が切断時は無線用LED204aのLEDは消灯しており、無線端末との接続時は点灯、データ通信を行っているときは点滅動作を行う。電源用LED204bは、電源状態を表しており、電源がONの時に点灯する。LAN1用LED204c〜LAN4用LED204fのLEDはそれぞれLAN1 I/F〜LAN4 I/F(後述)での有線のアクセス状態を示しており、LAN1 I/F〜LAN4 I/Fとその先の端末が接続されているときに点灯し、データ通信を行っているときは点滅動作を行う。WAN用LED204gはWANのアクセス状態を示しており、WAN I/F203とその先のネットワーク機器が接続されているときに点灯し、データ通信を行っているときは点滅動作を行う。
アラーム用LED204hは、無線ルータ12の異常状態を示すLEDで、異常が無いときは消灯している。システム異常や不正アクセス等を検知した場合は、それぞれ異なった時間間隔での点滅動作や、異なった色での点灯または点滅動作を行う。無線ルータ12への電力供給は、家庭用コンセントからACアダプタ302、電源コネクタ301を経由して行われる。
図4は、無線ルータ12の背面外観図である。LAN1 I/F202a〜LAN4 I/F202dやWAN I/F203には、10Base-Tや100Base-Tx規格のイーサネット(登録商標)ケーブル18が接続される。電源端子41には前述した電源コネクタ301が接続される。
以上のような構成の無線ルータ12の動作を図5および図6に沿って以下説明する。
図5のステップS501において、無線端末からのパケットをアンテナ201を介して無線接続制御装置21が受信すると、ステップS502において、無線接続制御装置21がパケット中のMACアドレスを認識し、無線部記憶装置22に記憶されたMACアドレステーブルを用いた判定を行う。MACアドレステーブルは図7(d)に示すように、接続を禁止する無線端末のMACアドレスが登録されており、このMACアドレスに対応させて、MACアドレスの登録時刻および拒否理由フラグ(後述)も併せてMACアドレステーブルに登録される。無線接続制御装置21は受信したパケット中のMACアドレスとMACアドレステーブルのMACアドレスを比較し一致すれば(ステップS502のYES)、ステップS509でパケットを廃棄し、無線端末との接続がされている場合は接続を切断し、接続を拒否する。
ステップS502のMACアドレステーブル判定を通過したパケットが、接続認証用パケットであれば(ステップS503のYES)、図6のステップS601で無線接続制御装置21は接続認証を行う。
図8は、IEEE802.11a/b/gという無線規格における接続処理手順の概略を示す。図8(a)は、IEEE802.11規格の認証手順を含む接続処理手順を示し、図8(b)は、IEEE802.11iというセキュリティ規格で規定されているTKIPやAESでの暗号鍵交換手順を示す。無線通信データの暗号化を行わない場合や、WEPと呼ばれる暗号化方式を使う場合、図8(a)の手順だけが行われる。無線通信データの暗号化にTKIPやAESと呼ばれる方式を使う場合、図8(a)の手順が行われた後続けて、図8(b)の手順が行われる。
図8(a)において、ステップS801で、無線端末15は、近くにある無線ルータ12ら定期的に送信されるビーコンフレームを受け取り、近くにどのような無線ルータが存在するかを知る。無線端末15が無線ルータ12に接続しようとした場合、ステップS802で、無線端末15は無線ルータ12に対して、自身のMACアドレスを付加したフレームであるオープン認証要求を送る。オープン認証要求(接続認証用パケット)を受けた無線ルータ12は、無線端末15のMACアドレス、暗号化の鍵等の情報から接続可否を判定して接続可であれば、ステップ803で、接続可の判定結果を付加したフレームであるオープン認証応答(成功)を無線端末15に送り、接続認証が完了する。次にステップS804で、無線端末15は無線ルータ12への接続要求を無線ルータ12に送る。接続要求を受けた無線ルータ12は、ステップS805で、接続可の結果と、ユニークなIDとを付加したフレームである接続応答(成功)を無線端末15に送る。無線通信データの暗号化を行わない場合や、WEPと呼ばれる暗号化方式を使う場合は、ここで接続確立となる。
WEPでは、無線ルータと無線端末の双方で同じ文字列を暗号化の事前共有鍵として設定し、それを使ってデータの暗号化を行う。しかし、TKIPやAESでは、暗号強度を高めるため、事前共有鍵をそのまま暗号化の鍵として使うのではなく、暗号化に使用する一時的な鍵を図8(b)の手順により作り出し、その鍵を使ってデータの暗号化を行う。図8(a)の手順の後、図8(b)において、ステップS806で、無線ルータ12は乱数(ANonce)生成を行い、ステップS807で、ANonceを付加したフレームである拡張認証要求1を無線端末15に送る。拡張認証要求1を受けた無線端末15は、ステップS808で、乱数(SNonce)生成を行い、ステップS809で、無線ルータ12から送られてきたANonceと自ら生成したSNonceと自らの事前共有鍵とから一時共有鍵(PTK)生成を行う。そしてステップS810で、無線端末15は無線ルータ12にSNonceを付加したフレームである拡張認証応答2を送る。拡張認証応答2を受けた無線ルータ12は、ステップS811で、無線端末15と同様にANonceとSNonceと自らの事前共有鍵から一時共有鍵(PTK)生成を行う。一時共有鍵(PTK)を生成した無線ルータ12は、ステップS812で、拡張認証要求3を無線端末15に送り一時共有鍵(PTK)の生成を通知する。拡張認証要求3を受けた無線端末15はステップS813で、拡張認証応答4を無線ルータ12に送り返し、接続が確立され、以降、一時共有鍵(PTK)を使って暗号通信を行う。
図6において、上記のように無線接続制御装置21が接続認証を行い成功した場合は(ステップS602のYES)、ステップS603で接続完了となる。暗号化の鍵等の設定ミスで接続認証に失敗した場合は(ステップS602のNO)、ステップS604へ進む。
無線接続制御装置21は無線端末が接続認証に失敗した回数や、無線端末が接続認証に失敗した最初の時刻からの経過時間をカウントしている。接続認証に失敗した回数が設定されている回数の場合や、接続認証に失敗した最初の時刻からの経過時間が設定されている時間以上の場合は(ステップS604のYES)、無線接続制御装置21が、パケットに記載されている無線端末のMACアドレスを無線部記憶装置22に記憶されたMACアドレステーブルに登録する(ステップS605)。またこのとき、無線部記憶装置22に記憶された接続拒否理由テーブルを参照して、拒否理由フラグをMACアドレスとともにMACアドレステーブルに登録する。接続拒否理由テーブルは図7(e)に示すように、接続拒否の理由に対応した拒否理由フラグの番号が登録されている。今回の場合であれば、拒否理由フラグは“6”となる。以降、同じ無線端末からのパケットは、図5のステップS502でのMACアドレステーブル判定で廃棄されるので、接続認証ができなくなり、接続不可能となる。これにより、暗号化の鍵の設定誤り等の理由で接続認証に失敗した無線端末が繰り返し再接続処理を行い、そのために無線ルータ12に負荷がかかり、処理が遅くなることを防げる。
無線端末と無線ルータ12との接続後、ユーザはインターネットサービス等のサービスを利用するためにユーザ認証を行い、サービス利用を許可されたユーザであることを証明して初めてサービスを利用できる。図5のステップS503の判定を通過したパケットが、ユーザ認証用パケットであれば(ステップS504のYES)、図6のステップS607で無線ルータ12は認証サーバ19(図1)を用いてユーザ認証を行う。
図9は、無線端末15がサービスを利用する場合に行うユーザ認証処理のシーケンスであり、図9(a)はユーザ認証に成功した場合のシーケンスを、図9(b)はユーザ認証に3回失敗した場合のシーケンスを示す。
図9(a)において、サービスを利用しようとするユーザは無線端末15のブラウザで認証ページを開く操作を行い、ステップS901で無線端末15は、認証ページオープンのパケットを無線ルータ12に送信する。認証ページオープンのパケットを受け取った無線ルータ12は、ステップS902で認証ページ表示データを無線端末15に送信し、無線端末15のブラウザ画面にはユーザID、パスワード入力欄を持った認証ページが表示される。ユーザは認証ページにユーザID、パスワードを入力して、ステップS903で無線ルータ12へユーザID、パスワードを含むパケットを送信する。ユーザID、パスワードを含むパケット(ユーザ認証用パケット)を受け取った無線ルータ12は、ステップS904で、ユーザID、パスワードの情報を認証依頼に組み込んで認証サーバ19に送信する。認証依頼を受け取った認証サーバ19は、サーバ内に持っている認証情報から認証判定を行い、ステップS905で認証応答(成功)を無線ルータ12に送信する。認証応答(成功)を受け取った無線ルータ12は、ステップS906でサービスページ表示データを無線端末15に送信する。サービスページ表示データを受け取った無線端末15は、サービスページを表示し、無線端末15はサービスを利用できるようになる。
図9(b)において、ステップS907からステップS910までの処理は、上記図9(a)でのステップS901からステップS904までの処理と同じである。認証依頼を受けた認証サーバ19は認証判定を行い、認証失敗だった場合、ステップS911で認証応答(失敗1)を無線ルータ12に送信する。認証応答(失敗1)を受け取った無線ルータ12は、ステップS912で接続エラー表示データを無線端末15に送信する。接続エラー表示データを受け取った無線端末15は、ユーザIDとパスワード入力欄を持ったエラー表示画面を表示し、サービスを利用できない。
以降、ステップS913からステップS920までの処理を行い、ユーザ認証に計3回失敗すると、ステップS921で無線端末15のMACアドレスがMACアドレステーブルに登録される。
以上を図6で説明すると、ステップS607で制御装置24がアンテナ201とLAN I/F202を介した無線端末15と認証サーバ19との通信によりユーザ認証を行う。もしユーザ認証に成功した場合は(ステップS608のYES)、ステップS609で無線端末15はサービス利用可能となる。また、もしユーザ認証に失敗した場合は(ステップS608のNO)、ステップS610へ進む。
制御装置24は無線端末がユーザ認証に失敗した回数や、無線端末がユーザ認証に失敗した最初の時刻からの経過時間をカウントしており、ユーザ認証に失敗した回数が設定されている回数(図9(b)の場合は3回を設定回数としている)の場合や、ユーザ認証に失敗した最初の時刻からの経過時間が設定されている時間以上の場合は(ステップS610のYES)、制御装置24が、パケットに記載されている無線端末のMACアドレスを無線部記憶装置22に記憶されたMACアドレステーブルに登録する(ステップS611)。またこのとき、無線部記憶装置22に記憶された接続拒否理由テーブルを参照して、拒否理由フラグをMACアドレスとともにMACアドレステーブルに登録する。次に同じ無線端末から無線ルータ12がパケットを受信すると、図5のステップS502のMACアドレステーブル判定でパケットが廃棄され、接続が切断される。以降、この無線端末は無線ルータ12に接続不可能となる。
なお、以上のユーザ認証では認証サーバ19を用いたが、無線ルータ12が内部に認証サーバ機能を持つ場合は、それを用いてもよい。この認証サーバ機能はセキュリティのためインターネット11からはアクセスできない。
次に図5のステップS504の判定でユーザ認証用パケットでないと判定されたパケットは、ステップS505で制御装置24の処理により、記憶装置25に記憶されたテーブル1を用いた判定が行われる。テーブル1は図7(a)に示すように、サービス提供者が使用を禁止するIPアドレスが登録されている。テーブル1の内容は、無線ルータ12に接続された無線端末や有線端末が表示するHTML等を利用した設定画面から簡単に変更することができる。制御装置24は受信したパケットのIPアドレスとテーブル1のIPアドレスを比較し一致すれば(ステップS505のYES)、ステップS510でパケットを廃棄し、同時にそのパケットに記載されている無線端末のMACアドレスを、接続拒否理由テーブルから参照される拒否理由フラグとともにMACアドレステーブルに登録する。次に同じ無線端末から無線ルータ12がパケットを受信すると、ステップS502のMACアドレステーブル判定でパケットが廃棄され、接続が切断される。以降、この無線端末は無線ルータ12に接続不可能となる。
次にステップS505の判定を通過したパケットは、ステップS506で制御装置24の処理により、記憶装置25に記憶されたテーブル2を用いた判定が行われる。テーブル2は図7(b)に示すように、サービス提供者が固定的に使用したいIPアドレスとMACアドレスの組が登録されている。テーブル2の内容はテーブル1と同様に、無線ルータ12に接続された無線端末や有線端末が表示するHTML等を利用した設定画面から簡単に変更することができる。制御装置24は受信したパケットのIPアドレスとMACアドレスの組と、テーブル2のIPアドレスとMACアドレスの組とを比較し、IPアドレスとMACアドレスとのどちらか一方のみが一致する組がテーブル2に存在する場合(ステップS506のYES)、ステップS510でパケットを廃棄し、同時にそのパケットに記載されている無線端末のMACアドレスを、接続拒否理由テーブルから参照される拒否理由フラグとともにMACアドレステーブルに登録する。次に同じ無線端末から無線ルータ12がパケットを受信すると、ステップS502のMACアドレステーブル判定でパケットが廃棄され、接続が切断される。以降、この無線端末は無線ルータ12に接続不可能となる。
次にステップS506の判定を通過したパケットは、ステップS507で制御装置24の処理により、記憶装置25に記憶されたテーブル3を用いた判定が行われる。テーブル3は図7(c)に示すように、無線ルータ12内部のDHCPサーバ機能または無線ルータ12外部のDHCPサーバにより端末に割り当てられたIPアドレス、IPアドレスが割り当てられた端末のMACアドレス、IPアドレスが割り当てられた時刻およびサービス利用可能時間の組が登録されている。DHCPとは端末にIPアドレスを自動的に割り当てる機能のことであり、公知の技術である。制御装置24は受信したパケットのIPアドレスとMACアドレスの組と、テーブル3のIPアドレスとMACアドレスの組とを比較し、IPアドレスとMACアドレスとのどちらか一方のみが一致する組がテーブル3に存在する場合(ステップS507のYES)、ステップS510でパケットを廃棄し、同時にそのパケットに記載されている無線端末のMACアドレスを、接続拒否理由テーブルから参照される拒否理由フラグとともにMACアドレステーブルに登録する。次に同じ無線端末から無線ルータ12がパケットを受信すると、ステップS502のMACアドレステーブル判定でパケットが廃棄され、接続が切断される。以降、この無線端末は無線ルータ12に接続不可能となる。
次にステップS507の判定を通過したパケットは、ステップS508で制御装置24の処理により、無線ルータ12に接続された端末や無線ルータ12への不正アクセスパケットかどうかの判定が行われる。
不正アクセスパケットとしては、無線ルータ12に接続された端末のオペレーティング・システム(OS)のセキュリティホールを狙ったパケットがある。制御装置24は、無線ルータ12が受信したパケットと、記憶装置25に記憶されたOSの脆弱性をつくパケットのパターン情報(特定のプロトコル、ポート番号へのパケット)とを比較することで不正アクセスパケットであることを検出する。また、記憶装置25に記憶されたRFC(Request for Comment)で決まっているプロトコル規約情報に基づき制御装置24が規約違反をしているパケットを検出することも行う。この場合、制御装置24は同じ無線端末から所定の時間以内に所定数以上このようなパケットが送信されたことを検出すると、これらのパケットを不正アクセスパケットと判断する。
また、他の不正アクセスパケットとしては、無線ルータ12にバッファフローを起こさせるような大量のパケットがある。制御装置24は、同じ無線端末から特定のパケットが所定の時間以内に所定数以上送信されたことを検出すると、これらのパケットを不正アクセスパケットと判断する。
また、他の不正アクセスパケットとしては、侵入できる無線ルータ12に接続された端末を探索するためのパケットがある。端末への侵入者はPing(ICMP)パケットやARPパケットを特定のIPアドレスの範囲に送信して、他に接続されている端末のIPアドレスを調べることが多いため、制御装置24は、同じ無線端末から所定時間以内に所定数以上のIPアドレスへのPing(ICMP)パケットやARPパケットが送信されたことを検出すると、これらのパケットを不正アクセスパケットと判断する。
制御装置24は、以上のように不正アクセスパケットを検出すると(ステップS508のYES)、ステップS510でパケットを廃棄し、同時にそのパケットに記載されている無線端末のMACアドレスを、接続拒否理由テーブルから参照される拒否理由フラグとともにMACアドレステーブルに登録する。次に同じ無線端末から無線ルータ12がパケットを受信すると、ステップS502のMACアドレステーブル判定でパケットが廃棄され、接続が切断される。以降、この無線端末は無線ルータ12に接続不可能となる。
ステップS508の判定を通過したパケットは、その他ルーティング処理がされ、インターネット11へ送出されるか、無線ルータ12に接続された端末へ送出される(ステップS511)。
次に、時間単位でのサービス提供を行うような状況での、無線端末へのサービス提供終了を判定するサービス利用判定処理について図10を用いて説明する。
サービス利用判定処理は、制御装置24が定期的に割り込み処理として起動する。ステップS1001で、制御装置24は記憶装置25に記憶された前述のテーブル3の先頭の無線端末データを参照する。次にステップS1002で、制御装置24は、参照した無線端末データのIPアドレス割振り時刻、サービス利用可能時間および制御装置24内部のタイマ部で取得した現在時刻から、無線端末の利用時間がサービス利用可能時間を超えているかどうかの判定を行う。利用可能時間を超えている場合は(ステップS1002のYES)、ステップS1003で制御装置24は該当データをテーブル3から削除し、無線部記憶装置22に記憶されたMACアドレステーブルにMACアドレス、拒否理由フラグ等を登録する。次にステップS1004で、制御装置24はテーブル3に未参照の無線端末データがあるかの判定を行う。未参照の無線端末データがある場合は(ステップS1004のYES)、ステップS1005で、制御装置24はテーブル3の次の無線端末データを参照して、再びステップS1002の判定処理を行う。未参照の無線端末データがない場合は(ステップS1004のNO)、サービス利用判定処理の割り込みが終了する。以上の処理でMACアドレステーブルに登録されたMACアドレスを持つ無線端末から無線ルータ12がパケットを受信すると、図5のステップS502のMACアドレステーブル判定によりパケットは廃棄され、接続が切断される。以降、この無線端末は無線ルータ12に接続不可能となる。
以上のようにMACアドレステーブルに登録されたMACアドレスを持つ無線端末は接続を拒否されるが、登録から所定の時間経過後、MACアドレステーブルに登録されたMACアドレスは削除される。制御装置24は、定期的にMACアドレステーブルの内容をチェックして、MACアドレステーブルに記載のテーブル登録時刻と、制御装置24内部のタイマ部で取得した無線ルータ12の現在時刻情報から、登録されてから所定時間経過後のデータをMACアドレステーブルから削除する。これにより、例えば誤った設定の無線端末で接続認証に失敗し、その無線端末のMACアドレスがMACアドレステーブルに登録されて無線ルータ12に接続できなくなった場合でも、登録から所定時間経過後、正しい設定がされていれば無線ルータ12に接続することができる。また、MACアドレステーブル中の拒否理由フラグの内容が攻撃パケット送信等である場合は、その拒否理由フラグに対応するMACアドレスは登録から所定時間経過後でも削除しないようにしてもよい。
は、無線LANによる無線端末のインターネット接続形態を示す図である。 は、本発明の実施の一形態である無線ルータの構成を示すブロック図である。 は、本発明の実施の一形態である無線ルータの正面外観図である。 は、本発明の実施の一形態である無線ルータの背面外観図である。 は、本発明の実施の一形態である無線ルータの動作フローを示す図である。 は、本発明の実施の一形態である無線ルータの動作フローを示す図である。 は、本発明の実施の一形態である無線ルータに用いられる各テーブルを示す図である。 は、IEEE802.11a/b/g無線規格における接続処理手順の概略を示す図である。 は、無線端末がサービスを利用する場合に行うユーザ認証処理のシーケンスを示す図である。 は、無線端末へのサービス提供終了を判定するサービス利用判定処理のフローを示す図である。
符号の説明
11 インターネット
12 無線ルータ
13 ローカルエリアネットワーク
14 端末
15、16、17 無線端末
18 イーサネット(登録商標)ケーブル
19 認証サーバ
21 無線接続制御装置
22 無線部記憶装置
23 I/F制御装置
24 制御装置
25 記憶装置
201 アンテナ
202 LAN/IF
202a LAN1 I/F
202b LAN2 I/F
202c LAN3 I/F
202d LAN4 I/F
203 WAN/IF
204 LED
204a 無線用LED
204b 電源用LED
204c LAN1用LED
204d LAN2用LED
204e LAN3用LED
204f LAN4用LED
204g WAN用LED
204h アラーム用LED
205 初期化スイッチ
206 スピーカー
301 電源コネクタ
302 ACアダプタ
41 電源端子

Claims (11)

  1. 無線端末からのパケットを受信する受信手段を備える無線通信装置において、
    第一の記憶手段と、所定の条件に基づき無線端末のMACアドレスを前記第一の記憶手段に記憶されたテーブルに登録する登録手段と、
    前記受信手段が無線端末からパケットを受信すると、該パケット中のMACアドレスと前記第一の記憶手段に記憶されたテーブルに登録されたMACアドレスとを比較し、両者が一致するとき該パケットを廃棄する制御手段とを備え
    所定のMACアドレスと該MACアドレスに対応する所定のIPアドレスとが登録されたテーブルを記憶する第二の記憶手段をさらに備え、
    前記登録手段は、前記受信手段が受信したパケット中のMACアドレスとIPアドレスとの一方のみが一致するようなMACアドレスとIPアドレスとの組が前記第二の記憶手段に記憶されたテーブルに存在するとき該パケット中のMACアドレスを前記第一の記憶手段に記憶されたテーブルに登録することを特徴とする無線通信装置。
  2. 前記制御手段は、前記パケットを廃棄すると同時に、前記パケットを送信した前記無線端末との接続を切断することを特徴とする請求項1に記載の無線通信装置。
  3. 無線端末との間で接続認証を行う接続認証手段を備える無線通信装置であって、
    前記登録手段は、前記受信手段が無線端末から接続認証用パケットを受信し、前記接続認証手段が接続認証を行い、該無線端末の接続認証に所定の回数または所定の時間以上失敗したとき、該パケット中のMACアドレスを前記第一の記憶手段に記憶されたテーブルに登録することを特徴とする請求項1に記載の無線通信装置。
  4. 無線端末との間で当該無線通信装置外部の認証サーバまたは当該無線通信装置内部の認証サーバ機能を用いてユーザ認証を行うユーザ認証手段を備える無線通信装置であって、
    前記登録手段は、前記受信手段が無線端末からユーザ認証用パケットを受信し、前記ユーザ認証手段がユーザ認証を行い、該無線端末のユーザ認証に所定の回数または所定の時間以上失敗したとき、該パケット中のMACアドレスを前記第一の記憶手段に記憶されたテーブルに登録することを特徴とする請求項1〜請求項3のいずれかに記載の無線通信装置。
  5. 所定のIPアドレスが登録されたテーブルを記憶する第三の記憶手段を備え、
    前記登録手段は、前記受信手段が受信したパケット中のIPアドレスが前記第三の記憶手段に記憶されたテーブル中のIPアドレスと一致するとき該パケット中のMACアドレスを前記第一の記憶手段に記憶されたテーブルに登録することを特徴とする請求項1〜請求項4のいずれかに記載の無線通信装置。
  6. 前記第二の記憶手段に記憶されたテーブルに登録された前記所定のMACアドレスと前記所定のIPアドレスの組は固定的に使用されることを特徴とする請求項1〜請求項5のいずれかに記載の無線通信装置。
  7. 前記第二の記憶手段に記憶されたテーブルに登録された前記所定のIPアドレスは、DHCPによって無線端末に割り当てられたIPアドレスであり、前記第二の記憶手段に記憶されたテーブルに登録された前記所定のMACアドレスは、IPアドレスが割り当てられた無線端末のMACアドレスであることを特徴とする請求項1〜請求項5のいずれかに記載の無線通信装置。
  8. 当該無線通信装置に接続された端末と当該無線通信装置との少なくとも一つの動作異常を引き起こすパケットである第一の不正アクセスパケットと、無線端末から当該無線通信装置に接続された端末への侵入を目的とするパケットである第二の不正アクセスパケットとの少なくとも一つを検出する検出手段を備え、
    前記登録手段は、前記検出手段が、前記受信手段が受信したパケットが前記第一の不正アクセスパケットまたは前記第二の不正アクセスパケットであることを検出したとき該パケット中のMACアドレスを前記第一の記憶手段に記憶されたテーブルに登録することを特徴とする請求項1〜請求項7のいずれかに記載の無線通信装置。
  9. 現在時刻を取得する時刻取得手段と、
    DHCPによってIPアドレスが割り当てられた無線端末のMACアドレスと、該MACアドレスに対応する前記無線端末に前記IPアドレスが割り当てられた時刻とが登録されたテーブルを記憶する第四の記憶手段とを備え、
    前記登録手段は、現在時刻までの時間が所定の時間を超えている前記第四の記憶手段に記憶されたテーブル中の無線端末にIPアドレスが割り当てられた時刻に対応するMACアドレスを前記第一の記憶手段に記憶されたテーブルに登録することを特徴とする請求項1〜請求項8のいずれかに記載の無線通信装置。
  10. 前記登録手段は、無線端末のMACアドレスとともに、登録理由を表す情報を前記第一の記憶手段に記憶されたテーブルに登録することを特徴とする請求項1〜請求項9のいずれかに記載の無線通信装置。
  11. 前記登録手段によって前記第一の記憶手段に記憶されたテーブルに登録されたMACアドレスを、登録から所定時間経過後に削除する削除手段を備えることを特徴とする請求項1〜請求項10のいずれかに記載の無線通信装置。
JP2004258526A 2004-09-06 2004-09-06 無線通信装置 Expired - Fee Related JP4315879B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004258526A JP4315879B2 (ja) 2004-09-06 2004-09-06 無線通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004258526A JP4315879B2 (ja) 2004-09-06 2004-09-06 無線通信装置

Publications (2)

Publication Number Publication Date
JP2006074680A JP2006074680A (ja) 2006-03-16
JP4315879B2 true JP4315879B2 (ja) 2009-08-19

Family

ID=36154760

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004258526A Expired - Fee Related JP4315879B2 (ja) 2004-09-06 2004-09-06 無線通信装置

Country Status (1)

Country Link
JP (1) JP4315879B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5334693B2 (ja) * 2009-06-04 2013-11-06 アライドテレシスホールディングス株式会社 ネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器
JP5294348B2 (ja) * 2011-03-01 2013-09-18 Necアクセステクニカ株式会社 ホームゲートウェイ装置、ホームゲートウェイ装置制御方法およびその制御用プログラム
JP5701718B2 (ja) * 2011-08-26 2015-04-15 株式会社Nttドコモ 通信制御装置および移動通信システム
JP5523632B2 (ja) * 2012-06-01 2014-06-18 ファーウェイ デバイス カンパニー リミテッド WiFi通信実施方法、ユーザ機器、及び無線ルータ
US9832804B2 (en) 2014-02-03 2017-11-28 Sony Corporation Device and method for wireless communication
US9913315B2 (en) 2014-10-20 2018-03-06 Xiaomi Inc. Method and device for connection management
CN104333863B (zh) * 2014-10-20 2018-11-30 小米科技有限责任公司 连接管理方法及装置、电子设备
JP6795160B2 (ja) * 2017-05-31 2020-12-02 サイレックス・テクノロジー株式会社 無線基地局

Also Published As

Publication number Publication date
JP2006074680A (ja) 2006-03-16

Similar Documents

Publication Publication Date Title
US7216365B2 (en) Automated sniffer apparatus and method for wireless local area network security
US8789191B2 (en) Automated sniffer apparatus and method for monitoring computer systems for unauthorized access
US7970894B1 (en) Method and system for monitoring of wireless devices in local area computer networks
US20090016529A1 (en) Method and system for prevention of unauthorized communication over 802.11w and related wireless protocols
US8107396B1 (en) Host tracking in a layer 2 IP ethernet network
JP5474098B2 (ja) 無線ホームメッシュネットワークブリッジアダプタ
US7333481B1 (en) Method and system for disrupting undesirable wireless communication of devices in computer networks
US8537716B2 (en) Method and system for synchronizing access points in a wireless network
JP5002149B2 (ja) 通信装置及び通信方法
US8621071B1 (en) Method and apparatus for automatically selecting an access point
WO2006041080A1 (ja) ファイアウォールシステム及びファイアウォール制御方法
US20040229606A1 (en) Wireless apparatus, wireless terminal apparatus, wireless system, method of setting wireless system, computer apparatus, and computer program
JP2010098713A (ja) 無線通信システム、アクセスポイント、コントローラ、ネットワーク管理装置及びアクセスポイントのネットワーク識別子設定方法
Dawood IPv6 security vulnerabilities
US20070011239A1 (en) Remote conference system, presence server apparatus, and remote conference participation terminal apparatus
JP2018524921A (ja) ネットワークアクセス技術インジケーション
JP4315879B2 (ja) 無線通信装置
OConnor Detecting and responding to data link layer attacks
KR101478733B1 (ko) 단말기의 프로파일 정보를 네트워크에 등록하는 시스템
US9226223B2 (en) Network connection system of network electronic device and method allowing a terminal device to access an electronic device connected behind a router without a NAT loopback function
JP2005150794A (ja) コンピュータ装置及びコンピュータプログラム
JP2004072633A (ja) IPv6ノード収容方法およびIPv6ノード収容システム
US20240080667A1 (en) Method and device for securely connecting to a local area network
Helleseth Wi-Fi Security: How to Break and Exploit
JP2005086416A (ja) 秘匿通信システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060912

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070928

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081210

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090106

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090309

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090519

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090519

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120529

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120529

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130529

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140529

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees