JP4763819B2 - 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法 - Google Patents

無線lanアクセスポイント装置、不正マネジメントフレーム検出方法 Download PDF

Info

Publication number
JP4763819B2
JP4763819B2 JP2009124316A JP2009124316A JP4763819B2 JP 4763819 B2 JP4763819 B2 JP 4763819B2 JP 2009124316 A JP2009124316 A JP 2009124316A JP 2009124316 A JP2009124316 A JP 2009124316A JP 4763819 B2 JP4763819 B2 JP 4763819B2
Authority
JP
Japan
Prior art keywords
frame
access point
received
wireless lan
lan access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009124316A
Other languages
English (en)
Other versions
JP2010273205A (ja
Inventor
大輔 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Buffalo Inc
Original Assignee
Buffalo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Buffalo Inc filed Critical Buffalo Inc
Priority to JP2009124316A priority Critical patent/JP4763819B2/ja
Priority to CN2010101828938A priority patent/CN101895887A/zh
Priority to US12/785,098 priority patent/US20100299725A1/en
Priority to CN201310067969.6A priority patent/CN103813338A/zh
Publication of JP2010273205A publication Critical patent/JP2010273205A/ja
Application granted granted Critical
Publication of JP4763819B2 publication Critical patent/JP4763819B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • H04L1/1607Details of the supervisory signal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Description

本発明は、無線端末との間で無線通信路を介してフレームを用いたデータの送受信を行う無線LANアクセスポイント装置に関する。
近年、IEEE802.11規格に基づく無線LAN機器が広く普及している。かかる無線LAN機器においては、マネジメントフレームと呼ばれるパケットをやり取りすることによって、接続状態などの情報制御を行っている。マネジメントフレームは、暗号化処理・署名処理がなされずにやり取りされるために、無線LANネットワークへの不正アクセスを可能とする大きな要因となっており、従来からセキュリティ面の課題が指摘されていた。
こうした不正アクセスとしては、例えば、第三者が偽装する「なりすまし」が考えられる。具体的には、例えば、不正アクセスを行う第三者の無線LAN端末が、アクセス権限のある正当な無線LAN端末になりすまし、正当なアクセスポイントに対して認証解除フレームを送信すると、当該アクセスポイントが認証を解除する。これに対して、認証解除された正当な無線LAN端末は、再度、認証要求フレームを送信する。当該認証要求フレームを、第三者が用意した不正なアクセスポイントで受信し、接続関係を構築することで、正当な無線LAN端末から情報が漏洩する恐れが生じる。
こうした課題に対して、近年、マネジメントフレームに署名を付加することによってセキュリティを向上させる技術の開発・規格化の検討が進んでいる(IEEE802.11TGw)。しかし、このような規格が普及するまでの間に設計された無線LAN機器には、セキュリティの問題が残ることとなる。また、新旧の機種を混在させて利用することができないため、手持ちの無線LAN機器を全て新調する必要があり、コスト、省資源などの観点から問題があった。
特開2007−089006号公報 特開2008−072402号公報 特開2006−279438号公報
上述の問題の少なくとも一部を考慮し、本発明が解決しようとする課題は、汎用的な方法で、無線LANネットワークへの不正アクセスに対して好適な防御を行うことである。
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
[形態1]無線端末との間で無線通信路を介してフレームの送受信を行う無線LANアクセスポイント装置であって、
前記無線端末との間で前記フレームの送受信を行う通信手段と、
前記通信手段が所定のマネジメントフレームを前記無線端末から受信した際に、該マネジメントフレームに対応する処理を実行する実行手段と、
前記フレームの受信時の受信電波強度を、該フレームを送信した端末の識別情報と対応付けて監視する電波強度監視手段と、
前記電波強度監視手段が監視する受信電波強度のうちの、前記マネジメントフレームを受信した際の、該マネジメントフレームを送信した端末の識別情報と対応付けられた前記受信電波強度の単位時間当たりの変化量が所定の範囲を超えた場合に、該受信したマネジメントフレームを不正フレームであると判断する不正判断手段と
を備えた無線LANアクセスポイント装置。
[適用例1]無線端末との間で無線通信路を介してフレームを用いたデータの送受信を行う無線LANアクセスポイント装置であって、
前記無線端末との間で前記フレームの送受信を行う通信手段と、
前記通信手段が所定のマネジメントフレームを前記無線端末から受信した際に、該マネジメントフレームに対応する処理を実行する実行手段と、
前記通信手段が前記フレームを受信する度に、該フレームに含まれるシーケンス番号を把握するシーケンス監視手段と、
前記シーケンス監視手段が把握するシーケンス番号である第1のシーケンス番号と、前記受信したマネジメントフレームに含まれるシーケンス番号である第2のシーケンス番号とが所定の条件を満たす場合に、該受信したマネジメントフレームを不正フレームであると判断する不正判断手段と
を備えた無線LANアクセスポイント装置。
かかる構成の無線LANアクセスポイント装置は、フレームを受信する度に、該フレームに含まれるシーケンス番号を把握し、マネジメントフレームを無線端末から受信した際に、シーケンス監視手段が把握するシーケンス番号と、マネジメントフレームに含まれるシーケンス番号とに基づいて、不正フレームの判断を行う。したがって、不正なマネジメントフレームを検出して、なりすまし攻撃に対する種々の対策を講じることができる。また、シーケンス番号を用いて、不正フレームの検出を行うので、構成が簡単である。また、シーケンス番号を用いて、無線LANアクセスポイント装置側で不正フレームを検出するので、シーケンス番号を用いてフレームを送信する無線端末であれば、どのような規格の無線端末にも適用でき、汎用性が高く、省資源性、低コスト化に資する。つまり、無線端末側では、特別な構成を必要とせず、普及済みの無線端末にもそのまま適用でき、また、新旧の規格の無線端末が混在する場合にも適用できる。
[適用例2]無線端末との間で無線通信路を介してフレームの送受信を行う無線LANアクセスポイント装置であって、
前記無線端末との間で前記フレームの送受信を行う通信手段と、
前記通信手段が所定のマネジメントフレームを前記無線端末から受信した際に、該マネジメントフレームに対応する処理を実行する実行手段と、
前記通信手段が前記フレームを受信する度に、該フレームに含まれるシーケンス番号を把握するシーケンス監視手段と、
前記フレームの受信時の受信電波強度を、該フレームを送信した端末の識別情報と対応付けて監視する電波強度監視手段と、
前記シーケンス監視手段が把握するシーケンス番号である第1のシーケンス番号と、前記受信したマネジメントフレームに含まれるシーケンス番号である第2のシーケンス番号とが所定の条件を満たす場合、及び/または、前記電波強度監視手段が監視する受信電波強度のうちの、前記マネジメントフレームを受信した際の、該マネジメントフレームを送信した端末の識別情報と対応付けられた前記受信電波強度の所定期間当たりの変化量が所定の範囲を超えた場合に、該受信したマネジメントフレームを不正フレームであると判断する不正判断手段と
を備えた無線LANアクセスポイント装置。
かかる構成の無線LANアクセスポイント装置は、適用例1と同様の効果を奏する。また、異なる視点の2つの手法を用いて、不正フレームの検出を行えるので、不正フレーム検出の確度を高めて、セキュリティを向上することができる。
[適用例3]前記実行手段は、前記不正判断手段が、前記受信したマネジメントフレームを不正フレームであると判断した場合に、該受信したマネジメントフレームに対応する処理の実行を禁止する適用例1または適用例2記載の無線LANアクセスポイント装置。
かかる構成の無線LANアクセスポイント装置は、受信したマネジメントフレームを不正フレームであると判断した場合に、受信したマネジメントフレームに対応する処理の実行を禁止するので、なりすまし攻撃に対して好適に防御することができる。
[適用例4]適用例1ないし適用例3のいずれか記載の無線LANアクセスポイント装置であって、前記実行手段は、前記無線端末が前記無線LANアクセスポイント装置を介して通信を行うための認証処理及び認証解除処理を行う認証手段を含み、前記所定のマネジメントフレームは、前記認証解除処理を要求する認証解除フレームを含む無線LANアクセスポイント装置。
かかる構成の無線LANアクセスポイント装置は、不正な認証解除フレームを検出することができるので、認証解除フレームを用いたなりすまし攻撃に対する種々の対策を講じることができる。
[適用例5]前記所定の条件の少なくとも1つは、把握済みの前記第1のシーケンス番号と、前記第2のシーケンス番号とに重複する番号があることである適用例1ないし適用例4のいずれか記載の無線LANアクセスポイント装置。
シーケンス番号は、フレーム送信単位で連続した数値となるので、ほぼ同一の期間に同じ番号が発生することがないという特徴を有している。かかる構成の無線LANアクセスポイント装置は、シーケンス番号のこのような特徴を活用して、確度の高い不正フレームの検出を行うことができる。
[適用例6]前記所定の条件の少なくとも1つは、把握済みの前記第1のシーケンス番号のうちの前記第2のシーケンス番号に最も近い番号と、該第2のシーケンス番号との差が所定の範囲を超えていることである適用例1ないし適用例5のいずれか記載の無線LANアクセスポイント装置。
シーケンス番号は、フレーム送信単位で連続した数値となるので、フレーム間で無線端末からの到達順序が入れ替わったり、フレームの喪失が生じたりしても、連続して受信するフレームのシーケンス番号が大きく離れた値にはならないという特徴を有している。かかる構成の無線LANアクセスポイント装置は、シーケンス番号のこのような特徴を活用して、確度の高い不正フレームの検出を行うことができる。
[適用例7]前記所定の条件の少なくとも1つは、前記マネジメントフレームを受信してから所定期間の間に、前記第2のシーケンス番号と同一のシーケンス番号を含む他のフレームを前記通信手段が受信したことである適用例1ないし適用例6のいずれか記載の無線LANアクセスポイント装置。
かかる構成の無線LANアクセスポイント装置は、不正フレームを受信した後の所定期間についても、シーケンス番号の重複を判断するので、ほぼ同一の期間に同じ番号が発生することがないシーケンス番号の特徴を活用して、確度の高い不正フレームの検出を行うことができる。
[適用例8]更に、前記不正判断手段が、前記受信したマネジメントフレームを不正フレームであると判断した場合に、該判断結果を前記無線LANアクセスポイント装置のユーザに報知するための報知手段を備えた適用例1ないし適用例7のいずれか記載の無線LANアクセスポイント装置。
かかる構成の無線LANアクセスポイント装置は、不正フレームを受信したことをネットワーク管理者やユーザが知ることができるので、必要に応じて、不正フレームを用いた第三者攻撃に対する新たな対策を検討することができる。
[適用例9]前記報知手段は、前記報知の一手段として、予め登録されたメールアドレスを宛先として、前記判断結果を表すメールを送信する適用例8記載の無線LANアクセスポイント装置。
かかる構成の無線LANアクセスポイント装置は、不正フレームの受信をネットワーク管理者やユーザが容易に知ることができる。
[適用例10]前記報知手段は、前記報知の一手段として、前記判断結果を、前記無線LANアクセスポイント装置の動作履歴として、前記無線LANアクセスポイント装置が備える記憶装置に記録する適用例8または適用例9記載の無線LANアクセスポイント装置。
かかる構成の無線LANアクセスポイント装置は、不正フレームの受信をネットワーク管理者やユーザが容易に知ることができる。
また、本発明は、適用例11または適用例12の不正マネジメントフレーム検出方法としても実現することができる。
[適用例11]無線端末との間で無線通信路を介してフレームを用いたデータの送受信を行う無線LANアクセスポイント装置において、前記無線端末からマネジメントフレームを受信した場合に、不正なマネジメントフレームを検出する不正マネジメントフレーム検出方法であって、前記フレームを受信する度に、該フレームに含まれるシーケンス番号を把握し、把握済みのシーケンス番号と、前記受信したマネジメントフレームに含まれるシーケンス番号とに重複する番号がある場合、または、該把握済みのシーケンス番号のうちの該マネジメントフレームに含まれるシーケンス番号に最も近い番号と、該マネジメントフレームに含まれるシーケンス番号との差が所定の範囲を超えている場合に、該受信したマネジメントフレームを前記不正なマネジメントフレームとして検出する不正マネジメントフレーム検出方法。
[適用例12]無線端末との間で無線通信路を介してフレームを用いたデータの送受信を行う無線LANアクセスポイント装置において、前記無線端末からマネジメントフレームを受信した場合に、不正なマネジメントフレームを検出する不正マネジメントフレーム検出方法であって、前記マネジメントフレームを受信してから所定期間の間に、該受信したマネジメントフレームに含まれるシーケンス番号と同一のシーケンス番号を含む他のフレームを受信した場合に、該受信したマネジメントフレームを前記不正なマネジメントフレームとして検出する不正マネジメントフレーム検出方法。
[適用例13]無線端末との間で無線通信路を介してフレームの送受信を行う無線LANアクセスポイント装置であって、
前記無線端末との間で前記フレームの送受信を行う通信手段と、
前記通信手段が所定のマネジメントフレームを前記無線端末から受信した際に、該マネジメントフレームに対応する処理を実行する実行手段と、
前記フレームの受信時の受信電波強度を、該フレームを送信した端末の識別情報と対応付けて監視する電波強度監視手段と、
前記電波強度監視手段が監視する受信電波強度のうちの、前記マネジメントフレームを受信した際の、該マネジメントフレームを送信した端末の識別情報と対応付けられた前記受信電波強度の所定期間当たりの変化量が所定の範囲を超えた場合に、該受信したマネジメントフレームを不正フレームであると判断する不正判断部と
を備えた無線LANアクセスポイント装置。
かかる構成の無線LANアクセスポイント装置は、無線端末からのフレーム受信時の受信電波強度を監視し、マネジメントフレーム受信時の受信電波強度の所定期間当たりの変化量が所定の範囲を超えた場合に、マネジメントフレームを不正フレームとして判断するので、不正なマネジメントフレームを検出して、なりすまし攻撃に対する種々の対策を講じることができる。また、受信電波強度を用いて、不正フレームの検出を行うので、構成が簡単である。また、受信電波強度を用いて、無線LANアクセスポイント装置側で不正フレームを検出するので、どのような規格の無線端末にも適用でき、汎用性が高く、省資源性、低コスト化に資する。つまり、無線端末側では、特別な構成を必要とせず、普及済みの無線端末にもそのまま適用でき、また、新旧の規格の無線端末が混在する場合にも適用できる。
[適用例14]適用例13記載の無線LANアクセスポイント装置であって、前記実行手段は、前記不正判断部が、前記受信したマネジメントフレームを不正フレームであると判断した場合に、該受信したマネジメントフレームに対応する処理の実行を禁止する無線LANアクセスポイント装置。
かかる構成の無線LANアクセスポイント装置は、受信したマネジメントフレームを不正フレームであると判断した場合に、受信したマネジメントフレームに対応する処理の実行を禁止するので、なりすまし攻撃に対して好適に防御することができる。
[適用例15]適用例13または適用例14記載の無線LANアクセスポイント装置であって、前記実行手段は、前記無線端末が前記無線LANアクセスポイント装置を介して通信を行うための認証処理及び認証解除処理を行う認証手段を含み、前記所定のマネジメントフレームは、前記認証解除処理を要求する認証解除フレームを含む無線LANアクセスポイント装置。
かかる構成の無線LANアクセスポイント装置は、不正な認証解除フレームを検出することができるので、認証解除フレームを用いたなりすまし攻撃に対する種々の対策を講じることができる。
適用例13〜15の無線LANアクセスポイント装置には、適用例8〜10の構成を付加することもできる。こうしても、適用例8〜10と同様の効果を奏する。また、本発明は、上述した無線LANアクセスポイント装置や不正マネジメントフレーム検出方法のほか、不正マネジメントフレーム検出装置、これらのコンピュータプログラム、当該プログラムを記録した記憶媒体等としても実現することができる。
本発明の第1実施例としてのアクセスポイント20を利用した無線LANネットワークWLの構成を示す説明図である。 アクセスポイント20の概略構成を示す説明図である。 アクセスポイント20における不正フレーム検出処理の流れを示すフローチャートである。 不正フレーム検出処理における不正フレームの検出方法を示す説明図である。 第2実施例としてのアクセスポイント20の構成を示す説明図である。 第2実施例としての不正フレーム検出処理の流れを示す説明図である。 不正フレーム検出処理における受信電波強度の監視の状況を概念的に例示する説明図である。 第3実施例としてのアクセスポイント20の概略構成を示す説明図である。 第3実施例としてのアクセスポイント20における不正フレーム検出処理の流れを示すフローチャートである。 第4実施例としてのアクセスポイント20における不正フレーム検出処理の流れを示すフローチャートである。
本発明の実施例について説明する。
A.第1実施例:
A−1.アクセスポイント20の概略構成:
図1は、本発明の第1実施例としてのアクセスポイント20を利用した無線LANネットワークWLの構成を示している。図示するように、無線LANネットワークWLは、アクセスポイント20と、端末STA1,ST2とを備えている。アクセスポイント20は、IEEE802.11規格に準拠した無線LAN用の中継器であり、端末STA1,ST2は、無線通信エリアAR1において、アクセスポイント20を介したインフラストラクチャモードでのMACフレームを用いた無線通信が可能となっている。無線通信エリアAR1は、特定の者のみが進入可能なエリア、本実施例では、事業所の敷地範囲内に設定されている。
本実施例では、端末STA1,STA2は、アクセスポイント20との間での電波の送受信を行なえるようにする無線LAN接続用デバイスとしての無線LANアダプタを備えたパーソナルコンピュータである。無線LANアダプタには、アダプタに固有の識別子であるMACアドレスが付与されている。また、アクセスポイント20には、アクセスポイントを識別するための識別子であるSSID(Service Set Identifier)が付与されている。ここでは、アクセスポイント20のSSIDは、「AAAA」である。
かかる無線LANネットワークWLにおいては、事業所内への不正侵入者による、なりすまし攻撃を受けるおそれが生じる。なりすまし攻撃は、例えば、以下のようにして行われる。まず、不正侵入者が無線通信エリアAR1に不正端末STA13及び不正アクセスポイントAP13を持ち込む。そして、アクセスポイント20から送信されるマネジメントフレームを受信して、アクセスポイント20のSSIDを把握する。IEEE802.11規格では、マネジメントフレームとして、無線通信に必要な基本情報を報知するためのビーコンや、通信を行うための認証を要求する認証フレーム(Authentication Frame)、認証解除を要求する認証解除フレーム(Deauthentication Frame)などが定義されている。
そして、不正侵入者は、端末STA1,ST2が、アクセスポイント20を介して、通信F1,F2によって通信を行っている際に、不正端末STA13を用いて、端末STA1(の無線LANアダプタ)の送信元のMACアドレスを詐称して認証解除フレームを、把握したSSID宛に、すなわち、アクセスポイント20に送信する(通信F13)。すると、アクセスポイント20は、端末STA1の認証を解除し、接続関係を解除する。
接続を解除された端末STA1は、再接続を行うために、アクセスポイント20に認証フレームを送信する。かかる認証フレームを、アクセスポイント20と同一のSSID「AAAA」が設定された不正アクセスポイントAP13で受信すると、端末STA1と不正アクセスポイントAP13とが接続関係を構築し、通信(通信F10)を行うことがあり得る。このような状況が発生すると、端末STA1から不正アクセスポイントAP13を介して、機密情報等の重要な情報が外部に漏洩する恐れが生じる。本実施例のアクセスポイント20は、このような、なりすまし攻撃による情報漏洩を防止するための構成を備えている。以下に、この点について説明する。
アクセスポイント20の概略構成を図2に示す。図示するように、アクセスポイント20は、CPU30、ROM41、RAM42、WANポート45、無線通信インタフェース46、表示LED48を備え、それぞれがバスにより相互に接続されている。
CPU30は、ROM41に記憶されたプログラムをRAM42に展開して実行することで、アクセスポイント20の動作全般を制御する。また、CPU30は、当該プログラムを実行することで、通信部31、認証部32、シーケンス監視部33、シーケンス判断部35、報知部37としても機能する。これらの各機能部の詳細については、後述する。
WANポート45は、インターネットなどの外部ネットワークに接続するためのインタフェースである。表示LED48は、無線LANの接続状態、通信状態等を点灯・点滅等によって表示するLEDである。
無線通信インタフェース46には、電波を送信する送信機61、電波を受信する受信機62が接続されている。この送信機61及び受信機62は、外部への電波の送信や外部からの電波の受信が可能な状態で、アクセスポイント20に内蔵されている。
A−2.不正フレーム検出処理:
上述したアクセスポイント20における不正フレーム検出処理について、図3を用いて説明する。不正フレーム検出処理とは、無線LANネットワークWLへのアクセス権限のない第三者が、上述したなりすまし攻撃を行うために送信した認証解除フレーム(以下、不正フレームともいう)を検知して、なりすまし攻撃に対しての防御を図る処理である。本実施例においては、不正フレーム検出処理は、アクセスポイント20の電源が入れられ、フレームの中継機能が発揮される状態となった際に、端末STA1,STA2からフレームを受信する度に、繰返し実行される。
不正フレーム検出処理が開始されると、CPU30は、シーケンス監視部33の処理として、通信部31の処理として受信機62を介して端末STA1,ST2からフレームを受信する度に、当該フレームに含まれるシーケンス番号をRAM42に記憶して把握する(ステップS110)。かかるシーケンス番号は、フレームの送信元である端末STA1,ST2ごとに、その識別子(ここではMACアドレス)と対応付けて記憶される。シーケンス番号とは、各端末が送信するフレームに付された通し番号であり、IEEE802.11規格においては、MACフレームを構成するシーケンス制御に含まれるデータである。
シーケンス番号を把握すると、CPU30は、無線LANネットワークWLを介して、認証解除フレームの受信であったか否かを判断する(ステップS120)。その結果、認証解除フレームの受信でなければ(ステップS120:NO)、CPU30は、処理を元に戻す。
一方、認証解除フレームの受信であれば(ステップS120:YES)、CPU30は、シーケンス判断部35の判断として、受信した認証解除フレームに含まれるシーケンス番号と、認証解除フレームの送信元の端末に対応する、ステップS110によって把握済み(記憶済み)のシーケンス番号とが所定の条件を満たすか否かを判断する(ステップS130)。本実施例においては、所定の条件とは、以下に示す2つの条件である。CPU30は、RAM42に記憶されたシーケンス番号の履歴(把握済みのシーケンス番号)に基づいて、これらの条件のうちの少なくとも一方を満たせば、上述の所定の条件を満たすと判断する。
第1の条件:受信した認証解除フレームに含まれるシーケンス番号と、ステップS110によって把握済み(記憶済み)のシーケンス番号とに重複する番号があること。
第2の条件:ステップS110によって把握済み(記憶済み)のシーケンス番号のうちの、受信した認証解除フレームに含まれるシーケンス番号に最も近い番号と、受信した認証解除フレームに含まれるシーケンス番号との差分が所定の範囲を超えていること。
なお、本実施例においては、第2の条件における所定の範囲とは、シーケンス番号の差分が値4以内の範囲である。
上述の2つの条件は、受信した認証解除フレームが、無線LANネットワークWLの利用権限のある端末STA1,ST2から送信された正当フレームであるのか、それとも、「なりすまし」によって不正端末STA13から送信された不正フレームであるのかの判断に用いられる。シーケンス番号は、フレームの送信のたびに付されるフレームの通し番号であるから、受信するフレームのシーケンス番号は、基本的には、連続したものとなり、同一期間において同じ番号が複数発生することがない。また、フレーム間で端末からの到達順序が入れ替わったり、フレームの喪失が生じたりすることによって、フレームの受信順にシーケンス番号が連続しないことは生じえるが、その差は大きな値とはならない。上述の2つの条件は、かかるシーケンス番号の特徴を活用して、不正フレームの判断を行うものである。
例えば、図4(a)のケース1に示すように、アクセスポイント20が、端末STA1から連続するシーケンス番号2915,2916,2917,2918のデータフレームDAFを順次受信した直後に、不正端末STA13(MACアドレスは端末STA1と同一)から、シーケンス番号2916の認証解除フレームDEFを受信した場合、端末STA1から受信したデータフレームDAFと、不正端末STA13から受信した認証解除フレームDEFには、重複するシーケンス番号「2916」が含まれることとなる。つまり、上述した第1の条件を満たすこととなる。かかる場合には、アクセスポイント20は、端末STA1からシーケンス番号が連続するデータフレームDAFを既に受信しているのであるから、認証解除フレームDEFが不正フレームであると判断できる。
また、図4()のケース2に示すように、アクセスポイント20が、端末STA1からシーケンス番号2915〜2918のデータフレームDAFを順次受信した直後に、不正端末STA13から、シーケンス番号3000の認証解除フレームDEFを受信した場合、認証解除フレームDEFのシーケンス番号3000に最も近い、把握済みのシーケンス番号は2918である。これらのシーケンス番号の差分は、値82(=3000−2918>4)となる。つまり上述した第2の条件を満たすこととなる。このようなシーケンス番号の大きな差は、フレームの欠落や、受信順序と送信順序とでの入れ替わりによるものとは、現実的には考えにくい。したがって、第2の条件を満たす場合にも、認証解除フレームDEFが不正フレームであると判断することができる。
上記の説明で明らかなように、第2の条件における所定の範囲とは、連続して受信したフレームのシーケンス番号の差分が、フレームの欠落や、送信順序と受信順序との入れ替わりにより生じ得る程度であるか否かを基準とした閾値である。したがって、第2の条件における所定の範囲は、値4以内に限らず、適宜設定すればよい。例えば、値16以内としてもよい。このように、所定の範囲を比較的大きく設定すれば、確実に不正フレームであるフレームのみを検出することができる。また、このようなフレームの欠落や、送信順序と受信順序との入れ替わりを考慮せずに、第2の条件における所定の範囲として、シーケンス番号の差分が値1以内(この場合、シーケンス番号は連続した値となる)としてもよい。こうすれば、より安全側で、不正フレームを検知できるからである。仮に、端末STA1,STA2から送信された正当な認証解除フレームを不正フレームと判断しても、端末STA1,STA2は、認証解除フレームを再送すればよいから、このようにしても大きな問題は生じない。また、第2の条件における所定の範囲は、ネットワーク管理者やユーザの設定によって、可変に設定可能な構成としてもよい。こうすれば、不正フレームに対するセキュリティレベルを、使用状況に応じて所望の程度に変更することができる。
このような判断の結果、シーケンス番号が所定の条件を満たせば(ステップS130:YES)、CPU30は、受信した認証解除フレームを不正フレームであると判断する(ステップS180)。一方、シーケンス番号が所定の条件を満たさなければ(ステップS130:NO)、受信した認証解除フレームが不正フレームであるとは限らない。そこで、CPU30は、以下に説明する別の判断基準を用いて、不正フレームの検出を行う。
具体的には、CPU30は、まず、受信した認証解除フレームに対応する認証解除処理の実行を保留して、所定期間D1の間、待機する(ステップS140)。本実施例においては、所定期間D1とは、認証解除フレームを受信してからの所定の経過時間(例えば3秒)とした。ただし、所定期間D1は、かかる例に限らず、認証解除フレームを受信した端末から所定数のフレームを受信する期間などとしてもよい。かかる場合、3フレーム程度受信する期間を確保することが望ましい。
所定期間D1だけ待機すると、CPU30は、シーケンス判断部35の処理として、受信した認証解除フレームのシーケンス番号と重複するシーケンス番号のフレームを所定期間D1内に、認証解除フレームを送信した端末から受信したか否かを判断する(ステップS150)。その結果、当該フレームを受信した場合には、CPU30は、受信した認証解除フレームを不正フレームであると判断する(ステップS180)。一方、当該フレームを受信しなかった場合には、CPU30は、受信した認証解除フレームを正当フレームであると判断する(ステップS160)。
例えば、図4(b)に示すように、アクセスポイント20が、端末STA1からシーケンス番号2915〜2918のデータフレームDAFを順次受信した直後に、不正端末STA13から、シーケンス番号2919の認証解除フレームDEFを受信した場合、これらのシーケンス番号は連続しているので、認証解除フレームDEFは、正当フレームであるとも思われる。しかし、CPU30は、認証解除フレームDEFの処理の実行を保留し、所定期間D1だけ待機する。そして、図示するように、所定期間D1の間に、シーケンス番号2919のデータフレームDAFを受信すると、CPU30は、認証解除フレームDEFを不正フレームとして判断するのである。なお、所定期間D1の間に、シーケンス番号2919のデータフレームDAFを受信した場合、CPU30は、所定期間D1の経過を待つまでもなく、認証解除フレームDEFを不正フレームとして判断してもよいことは勿論である。
このような処理を行うのは、不正端末STA13は、端末STA1が送信するデータフレームDAFを受信可能であるため、シーケンス番号を端末STA1が送信するデータフレームDAFと連続するように設定して、認証解除フレームDEFを送信することが可能であり、これによって、正当フレームに見せかけ、なりすましを行うことを防止するためである。
以上のようにして、受信した認証解除フレームが正当フレームであると判断すると(ステップS160)、CPU30は、認証部32の処理として、認証解除フレームの送信元の端末に対する認証解除処理を実行し(ステップS170)、処理を元に戻す。一方、受信した認証解除フレームが不正フレームであると判断すると(ステップS180)、CPU30は、報知部37の処理として、不正フレームを受信した旨を、予め登録されたメールアドレス宛に送信することで、アクセスポイント20のネットワーク管理者またはユーザに報知して(ステップS190)、処理を元に戻す。つまり、受信した認証解除フレームが不正フレームであると判断した場合には、CPU30は、認証部32の処理として、認証解除処理の実行を禁止している。
かかる構成のアクセスポイント20は、端末STA1,STA2からフレームを受信する度に、フレームに含まれるシーケンス番号を把握し、認証解除フレームを受信した際に、シーケンス監視手段が把握するシーケンス番号と、認証解除フレームに含まれるシーケンス番号とに基づいて、不正フレームの判断を行う。そして、不正フレームであると判断した場合に、受信した認証解除フレームに対応する認証解除処理の実行を禁止するので、なりすまし攻撃に対して好適に防御することができる。
また、アクセスポイント20は、シーケンス番号を用いて不正フレームの検出を行うので、構成が簡単である。また、アクセスポイント20は、シーケンス番号を用いて、アクセスポイント20側で不正フレームを検出するので、シーケンス番号を用いてフレームを送信する無線端末であれば、どのような規格の無線端末にも適用でき、汎用性が高く、省資源性、低コスト化に資する。つまり、無線端末側では、特に特別な構成を必要とせず、普及済みの無線端末にもそのまま適用でき、また、新旧の規格の無線端末が混在する場合にも適用できる。
また、アクセスポイント20は、不正フレームを検出した際には、メールを送信して報知を行うので、ネットワーク管理者またはユーザは、不正フレームを受信したことを容易に知ることができ、必要に応じて、当該攻撃に対する新たな対策を検討することができる。
B.第2実施例:
本発明の第2実施例としてのアクセスポイント20の構成と、不正フレーム検出処理について説明する。
B−1.アクセスポイント20の構成:
第2実施例としてのアクセスポイント20の構成について、図5を用いて説明する。第2実施例としてのアクセスポイント20のハード構成は、第1実施例のアクセスポイント20と同様である。第1実施例と異なる点は、図5に示すように、CPU30が、シーケンス監視部33、シーケンス判断部35としては機能しない点と、電波強度監視部34、電波強度判定部36としても機能する点である。なお、図5において、第1実施例と同様の構成については、図1と同一の符号を付している。電波強度監視部34及び電波強度判定部36の機能部の詳細については、後述する不正フレーム検出処理の説明において明らかにする。また、CPU30以外の構成については、第1実施例と同様であるため、ここでは、説明を省略する。
B−2.不正フレーム検出処理の処理:
第2実施例としての不正フレーム検出処理について、図6を用いて説明する。なお、以下の説明において、第1実施例の不正検出フレームと同一のステップについては、図3と同一の符号を付して、その説明を簡略化する。図示するように、不正フレーム検出処理が開始されると、CPU30は、電波強度監視部34の処理として、端末STA1,STA2からフレームを受信する度に、その受信電波強度(RSSI:Receive Signal Strength Indication)を、端末の識別子(ここではMACアドレス)と対応付けてRAM42に記憶して、監視する(ステップS210)。
ステップS210での受信電波強度の監視の様子を概念的に図7に示す。図示するように、端末STA1の受信電波強度RT1と、端末STA2の受信電波強度RT1とが、受信時間と対応付けて監視されている。図中のプロットは、フレーム受信時の各々の受信電波強度を示している。
受信電波強度を監視すると、CPU30は、認証解除フレームの受信であったか否かを判断する(ステップS120)。その結果、認証解除フレームの受信でなければ(ステップS120:NO)、CPU30は、処理を元に戻す。一方、認証解除フレームの受信であれば(ステップS120:YES)、CPU30は、電波強度判断部36の処理として、当該受信時における、認証解除フレームの送信元の端末に対応付けられた受信電波強度の傾きを算出する(ステップS220)。この処理については、図7を用いて更に説明する。CPU30は、図示するように、認証解除フレーム受信時の受信電波強度を記憶するたびに、隣り合う受信電波強度データ間を直線補間する。そして、CPU30は、その傾き、すなわち、単位時間ΔTあたりの受信電波強度の変化量ΔRを算出するのである。
受信電波強度の傾きを算出すると、CPU30は、電波強度判断部36の処理として、算出した傾きが所定の範囲内であるか否かを判断する(ステップS230)。その結果、傾きが所定範囲内であれば(ステップS230:YES)、CPU30は、認証解除フレームを正当フレームと判断する(ステップS160)。一方、傾きが所定範囲を超えていれば(ステップS230:NO)、CPU30は、認証解除フレームを不正フレームと判断する(ステップS180)。
受信電波強度の傾きを用いて、このような判断を行えるのは、以下の理由による。例えば、図1に示すように、端末STA1がアクセスポイント20に対して相対的に近い位置に設置され、不正端末STA13がアクセスポイント20に対して相対的に遠い位置に設置されている場合には、端末STA1から送信されるフレームの受信電波強度が、不正端末STA13から送信されるフレームの受信電波強度よりも大きくなることが多い。このような場合、アクセスポイント20と端末STA1との通信の受信電波強度を監視しておけば、不正端末STA13が端末STA1になりすまして送信したフレームをアクセスポイント20が受信すると、図7の時間T1−T2間のように、急激に受信電波強度が弱まることとなる。つまり、受信電波強度の傾きがマイナスの値として急激に大きくなる。
逆に、端末STA1がアクセスポイント20に対して相対的に遠い位置に設置され、不正端末STA13がアクセスポイント20に対して相対的に近い位置に設置されている場合には、不正端末STA13が端末STA1になりすまして送信したフレームをアクセスポイント20が受信すると、受信電波強度の傾きがプラスの値として急激に大きくなる。
本実施例では、このように、端末STA1と不正端末STA13の設置位置の違いに起因する事象を利用して、不正フレームを検出するのである。なお、不正端末STA13は、不正フレームの送信時において、不正フレームの受信電波強度を故意に強めたり、弱めたりすることも考えられるが、そのような場合においても、端末STA1の送信するフレームの受信電波強度との間に所定の差があれば、同様にして、不正フレームを検出することができる。
ここで、端末STA1,STA2のユーザは、無線通信エリアAR1の内部において、端末STA1,STA2での通信途中で、端末STA1,STA2の設置場所を移動させることも考えられる。このような場合にも、受信電波強度の傾きは、比較的大きくなることがある。したがって、このようなユーザの移動による影響との混同を避けるために、ステップS230の判断に用いられる受信電波強度の傾きの閾値は、人の移動によっては生じ得ない程度の傾きで設定することも好適である。
また、複数の無線受信部を備えたアクセスポイント、例えば、MIMO(Multiple Input/Multiple Output)方式のように、複数の無線受信部を持つアクセスポイントにおいては、各無線受信部ごとに独立して受信電波強度を取得してもよい。かかる場合、無線受信部ごとの受信電波強度の傾きを統合的に判断することで、より精度の高い不正フレーム検出を行うことができる。
以上のようにして、受信した認証解除フレームが正当フレームであると判断すると(ステップS160)、CPU30は、認証解除フレームの送信元の端末に対する認証解除処理を実行し(ステップS170)、処理を元に戻す。一方、受信した認証解除フレームが不正フレームであると判断すると(ステップS180)、CPU30は、不正フレームを受信した旨を、予め登録されたメールアドレス宛に送信して、ユーザに報知し(ステップS190)、処理を元に戻す。
かかる構成のアクセスポイント20は、端末STA1,STA2からのフレーム受信時の受信電波強度を監視し、認証解除フレーム受信時の受信電波強度の傾き、つまり、単位時間当たりの変化量が所定の範囲を超えた場合に、認証解除フレームを不正フレームとして判断するので、不正な認証解除フレームを検出して、なりすまし攻撃に対する種々の対策を講じることができる。また、不正フレームであると判断した場合に、受信した認証解除フレームに対応する認証解除処理の実行を禁止するので、なりすまし攻撃に対して好適に防御することができる。
また、アクセスポイント20は、受信電波強度を用いて、不正フレームの検出を行うので、構成が簡単である。また、受信電波強度を用いて、アクセスポイント20側で不正フレームを検出するので、どのような規格の無線端末にも適用でき、汎用性が高く、省資源性、低コスト化に資する。つまり、無線端末側では、特に特別な構成を必要とせず、普及済みの無線端末にもそのまま適用でき、また、新旧の規格の無線端末が混在する場合にも適用できる。
また、アクセスポイント20は、不正フレームを検出した際には、メールを送信して報知を行うので、ユーザは、不正フレームを受信したことを容易に知ることができ、必要に応じて、当該攻撃に対する新たな対策を検討することができる。
C.第3実施例:
本発明の第3実施例としてのアクセスポイント20の構成と、不正フレーム検出処理について説明する。第3実施例としての不正フレーム検出処理は、第1実施例と第2実施例とを組み合わせたものである。
C−1.アクセスポイント20の構成:
第3実施例としてのアクセスポイント20の構成について図8を用いて説明する。第3実施例としてのアクセスポイント20のハード構成は、第1実施例のアクセスポイント20と同様である。第1実施例と異なる点は、図8に示すように、CPU30が、電波強度監視部34、電波強度判断部36としても機能する点である。つまり、第1実施例のCPU30の機能と、第2実施例のCPU30の機能とを併せ持つことである。なお、図8において、第1実施例または第2実施例と同様の構成については、図1または図5と同一の符号を付している。これらの機能部の詳細については、上述の通りであるので、ここでは、説明を省略する。
C−2.不正フレーム検出処理:
第3実施例としてのアクセスポイント20における不正フレーム検出処理について図9を用いて説明する。なお、上述の通り、第3実施例としての不正フレーム検出処理は、第1実施例の処理と第2実施例の処理とを組み合わせたものであるから、各ステップの詳細な説明は、省略する。また、各ステップに付した符号は、上述した同様の内容のステップに対応している。
第3実施例としての不正フレーム検出処理が開始されると、CPU30は、受信したフレームに含まれるシーケンス番号の把握(ステップS110)及び電波強度の監視(ステップS210)を行う。そして、受信したフレームが、認証解除フレームであれば(ステップS120:YES)、CPU30は、上述した第1実施例の方法(図3参照)で、不正フレームの検出を行う(ステップS130〜S150)。
その結果、受信した認証解除フレームが不正フレームであるという判断を行わなければ(ステップS130:NO、かつ、ステップS150:NO)、CPU30は、続けて、上述した第2実施例の方法(図6参照)で、不正フレームの検出を行う(ステップS220,S230)。これらの処理の結果、いずれかの処理において、不正フレームであると判断すると(ステップS130:YES、ステップS150:YES、ステップS230:NOのいずれかを経由したステップS180)、CPU30は、メールを送信して、ユーザに報知する(ステップS190)。
一方、いずれの処理においても、不正フレームであると判断しなければ(ステップS130:NO、ステップS150:NO、ステップS230:YESを経由したステップS160)、受信した認証解除フレームに対応する認証解除処理を実行する(ステップS170)。なお、上述の例では、第1実施例の処理(ステップS130〜S150)、第2実施例の処理(ステップS220,S230)の順に実行する構成としたが、かかる順序は限定するものではなく、上述した順序と逆であってもよい。
かかる構成のアクセスポイント20は、第1実施例の不正フレーム検出処理と、第2実施例の不正フレーム検出処理とを組み合わせた不正フレーム検出処理を行うので、当該2つの処理による上述した効果のいずれも奏することができる。また、異なる視点の2つの手法を用いて、不正フレームの検出を行えるので、不正フレーム検出の確度を高めて、セキュリティを向上することができる。
D.第4実施例:
本発明の第4実施例としての不正フレーム検出処理について説明する。第4実施例としての不正フレーム検出処理は、第3実施例の不正フレーム検出処理において、不正な認証解除フレームを検出することに代えて、不正なBlock ACK解除フレームを検出する点が、第3実施例と異なる。Block ACK解除フレームとは、IEEE802.11規格で規定されるマネジメントフレームの1つであり、Block ACK方式によって通信を行うことの合意の解除を要求するフレーム(DELBA Frame)である。Block ACK方式は、公知の技術であるため、詳しい説明は省略するが、送信側が複数のフレームをまとめたブロックとして送信し、受信側が、そのブロックを受信した確認応答としてACK(ACKnowledgement)を返す通信方式であり、通信の効率化を図ることができる。
第4実施例としての不正フレーム検出処理について図10に示す。図示する不正フレーム検出処理の流れは、上述した第3実施例としての不正フレーム検出処理(図9)と同様であるから、各ステップの詳細な説明は、省略する。また、各ステップに付した符号は、上述した同様の内容のステップに対応している。
第4実施例としての不正フレーム検出処理が開始されると、CPU30は、受信したフレームに含まれるシーケンス番号の把握(ステップS110)及び電波強度の監視(ステップS210)を行う。そして、受信したフレームが、Block ACK解除フレームであれば(ステップS320:YES)、CPU30は、上述した第1実施例の方法(図3参照)で、不正フレームの検出を行う(ステップS130〜S150)。
その結果、受信したBlock ACK解除フレームが不正フレームであるという判断を行わなければ(ステップS130:NO、かつ、ステップS150:NO)、CPU30は、続けて、上述した第2実施例の方法(図6参照)で、不正フレームの検出を行う(ステップS220,S230)。これらの処理の結果、いずれかの処理において、不正フレームであると判断すると(ステップS130:YES、ステップS150:YES、ステップS230:NOのいずれかを経由したステップS180)、CPU30は、メールを送信して、ユーザに報知する(ステップS190)。
一方、いずれの処理においても、不正フレームであると判断しなければ(ステップS130:NO、ステップS150:NO、ステップS230:YESを経由したステップS160)、受信したBlock ACK解除フレームに対応するBlock ACK解除処理を実行する(ステップS370)。
かかる不正フレーム検出処理においては、受信したBlock ACK解除フレームが不正フレームであるか否かを判断し、不正フレームである場合には、Block ACK解除処理を禁止する。したがって、アクセスポイント20と端末STA1,STA2との間で、Block ACKに基づく通信が確立された状況において、不正端末STA13が端末STA1,STA2になりすまし、Block ACK合意を解除して、端末STA1,STA2の通信を阻害させるなりすまし攻撃に対して好適に防御できる。なお、不正なBlock ACK解除フレームを検出する構成は、第1実施例や第2実施例の不正フレーム検出処理にも適用できることは勿論である。
以上の説明から明らかなように、アクセスポイント20が検出する不正なマネジメントフレームは、認証解除フレームに限らず、種々のマネジメントフレームとすることができる。こうした場合、アクセスポイント20は、不正と判断したマネジメントフレームに対応する処理を禁止する構成としてもよい。
上述の実施例の変形例について説明する。
E:変形例:
E−1.変形例1:
上述の実施形態においては、不正フレーム検出処理において、受信したマネジメントフレームを不正フレームと判断した場合(ステップS180)、CPU30が、不正フレームを受信した旨を示すメールを送信してユーザ等に報知する構成(ステップS190)について示したが、かかる場合の報知の形態は、メールの送信に限るものではない。例えば、CPU30は、不正フレームの受信をアクセスポイント20の動作履歴としてRAM42に記録し、ログに残してもよい。あるいは、表示LED48を点灯させたり、アクセスポイント20がディスプレイを備える場合には、当該ディスプレイに表示したりして、ユーザに報知してもよいし、アクセスポイント20がブザーやスピーカなどを備える場合には、音声によってユーザに報知してもよい。
もとより、ユーザ等への報知処理は必須ではなく、CPU30は、報知処理を行わずに、単に、受信したマネジメントフレームに対応する処理を禁止する構成としてもよい。こうしても、なりすまし攻撃に対しての防御効果は奏するからである。さらに、受信したマネジメントフレームに対応する処理を禁止する構成についても必須ではなく、CPU30は、受信したマネジメントフレームに対応する処理を禁止せずに、単に報知処理を行う構成としてもよい。無線LANネットワークWLにおいて、必ずしも機密性のある情報を扱うとは限らないからである。このようにしても、ユーザは、なりすまし攻撃の存在を知ることができるので、機密性のある情報を扱う際には、必要な対策を講じることができる。
E−2.変形例2:
上述の実施形態においては、不正フレーム検出処理において、受信したマネジメントフレームを不正フレームと判断した場合(ステップS180)、CPU30は、受信したマネジメントフレームに対応する処理を禁止する構成としたが、これに加えて、さらに、アクセスポイント20の機能を制限する処理を実行してもよい。こうした処理としては、例えば、所定期間、通信を禁止する処理や電源を切る処理などとすることができる。こうすれば、より確実に、なりすまし攻撃に対して防御を行うことができる。
以上、本発明の実施形態について説明したが、上述した実施形態における本発明の構成要素のうち、独立クレームに記載された要素以外の要素は、付加的な要素であり、適宜省略可能である。また、本発明はこうした実施形態に限られるものではなく、本発明の要旨を脱しない範囲において、種々なる態様で実施できることは勿論である。例えば、本発明は、アクセスポイントとしての構成のほか、不正マネジメントフレーム検出方法のほか、不正マネジメントフレーム検出装置、これらのコンピュータプログラム、当該プログラムを記録した記憶媒体等としても実現することができる。
20…アクセスポイント
30…CPU
31…通信部
32…認証部
33…シーケンス監視部
34…電波強度監視部
35…シーケンス判断部
36…電波強度判断部
37…報知部
41…ROM
42…RAM
45…WANポート
46…無線通信インタフェース
48…表示LED
61…送信機
62…受信機
WL…無線LANネットワーク
STA1,STA2…端末
STA13…不正端末
AP13…不正アクセスポイント
F1,F2,F10,F13…通信
D1…所定期間
AR1…無線通信エリア
RT1,RT2…受信電波強度
DAF…データフレーム
DEF…認証解除フレーム

Claims (11)

  1. 無線端末との間で無線通信路を介してフレームの送受信を行う無線LANアクセスポイント装置であって、
    前記無線端末との間で前記フレームの送受信を行う通信手段と、
    前記通信手段が所定のマネジメントフレームを前記無線端末から受信した際に、該マネジメントフレームに対応する処理を実行する実行手段と
    記フレームの受信時の受信電波強度を、該フレームを送信した端末の識別情報と対応付けて監視する電波強度監視手段と
    記電波強度監視手段が監視する受信電波強度のうちの、前記マネジメントフレームを受信した際の、該マネジメントフレームを送信した端末の識別情報と対応付けられた前記受信電波強度の単位時間当たりの変化量が所定の範囲を超えた場合に、該受信したマネジメントフレームを不正フレームであると判断する不正判断手段と
    を備えた無線LANアクセスポイント装置。
  2. 請求項1記載の無線LANアクセスポイント装置であって、
    更に、前記通信手段が前記フレームを受信する度に、該フレームに含まれるシーケンス番号を把握するシーケンス監視手段を備え、
    前記不正判断手段は、前記受信電波強度の単位時間当たりの変化量が所定の範囲を超えた場合であって、かつ、前記シーケンス監視手段が把握するシーケンス番号である第1のシーケンス番号と、前記受信したマネジメントフレームに含まれるシーケンス番号である第2のシーケンス番号とが所定の条件を満たす場合に限り、該受信したマネジメントフレームを不正フレームであると判断する
    無線LANアクセスポイント装置。
  3. 前記所定の条件の少なくとも1つは、把握済みの前記第1のシーケンス番号と、前記第2のシーケンス番号とに重複する番号があることである請求項記載の無線LANアクセスポイント装置。
  4. 前記所定の条件の少なくとも1つは、把握済みの前記第1のシーケンス番号のうちの前記第2のシーケンス番号に最も近い番号と、該第2のシーケンス番号との差が所定の範囲を超えていることである請求項2または請求項3記載の無線LANアクセスポイント装置。
  5. 前記所定の条件の少なくとも1つは、前記マネジメントフレームを受信してから所定期間の間に、前記第2のシーケンス番号と同一のシーケンス番号を含む他のフレームを前記通信手段が受信したことである請求項ないし請求項のいずれか記載の無線LANアクセスポイント装置。
  6. 前記実行手段は、前記不正判断手段が、前記受信したマネジメントフレームを不正フレームであると判断した場合に、該受信したマネジメントフレームに対応する処理の実行を禁止する請求項1ないし請求項5のいずれか記載の無線LANアクセスポイント装置。
  7. 請求項1ないし請求項のいずれか記載の無線LANアクセスポイント装置であって、
    前記実行手段は、前記無線端末が前記無線LANアクセスポイント装置を介して通信を行うための認証処理及び認証解除処理を行う認証手段を含み、
    前記所定のマネジメントフレームは、前記認証解除処理を要求する認証解除フレームを含む
    無線LANアクセスポイント装置。
  8. 更に、前記不正判断手段が、前記受信したマネジメントフレームを不正フレームであると判断した場合に、該判断結果を前記無線LANアクセスポイント装置のユーザに報知するための報知手段を備えた請求項1ないし請求項7のいずれか記載の無線LANアクセスポイント装置。
  9. 前記報知手段は、前記報知の一手段として、予め登録されたメールアドレスを宛先として、前記判断結果を表すメールを送信する請求項8記載の無線LANアクセスポイント装置。
  10. 前記報知手段は、前記報知の一手段として、前記判断結果を、前記無線LANアクセスポイント装置の動作履歴として、前記無線LANアクセスポイント装置が備える記憶装置に記録する請求項8または請求項9記載の無線LANアクセスポイント装置。
  11. 無線端末との間で無線通信路を介してフレームを用いたデータの送受信を行う無線LANアクセスポイント装置において、前記無線端末からマネジメントフレームを受信した場合に、不正なマネジメントフレームを検出する不正マネジメントフレーム検出方法であって、
    前記フレームの受信時の受信電波強度を、該フレームを送信した端末の識別情報と対応付けて監視し、
    前記監視する受信電波強度のうちの、前記マネジメントフレームを受信した際の、該マネジメントフレームを送信した端末の識別情報と対応付けられた前記受信電波強度の単位時間当たりの変化量が所定の範囲を超えた場合に、該受信したマネジメントフレームを前記不正なマネジメントフレームとして検出する
    不正マネジメントフレーム検出方法。
JP2009124316A 2009-05-22 2009-05-22 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法 Active JP4763819B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2009124316A JP4763819B2 (ja) 2009-05-22 2009-05-22 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法
CN2010101828938A CN101895887A (zh) 2009-05-22 2010-05-21 无线lan接入点装置、非法管理帧检测方法
US12/785,098 US20100299725A1 (en) 2009-05-22 2010-05-21 Wireless lan access point device and unauthorized management frame detection method
CN201310067969.6A CN103813338A (zh) 2009-05-22 2010-05-21 无线lan接入点装置、非法管理帧检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009124316A JP4763819B2 (ja) 2009-05-22 2009-05-22 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2011106757A Division JP5202684B2 (ja) 2011-05-12 2011-05-12 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法

Publications (2)

Publication Number Publication Date
JP2010273205A JP2010273205A (ja) 2010-12-02
JP4763819B2 true JP4763819B2 (ja) 2011-08-31

Family

ID=43104919

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009124316A Active JP4763819B2 (ja) 2009-05-22 2009-05-22 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法

Country Status (3)

Country Link
US (1) US20100299725A1 (ja)
JP (1) JP4763819B2 (ja)
CN (2) CN103813338A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016134913A (ja) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
WO2016116973A1 (ja) * 2015-01-20 2016-07-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8467361B2 (en) 2010-11-04 2013-06-18 At&T Mobility Ii, Llc Intelligent wireless access point notification
CN103209411B (zh) * 2012-01-17 2016-08-24 深圳市共进电子股份有限公司 无线网络防假冒接入的方法和装置
US9351166B2 (en) * 2012-01-25 2016-05-24 Fortinet, Inc. Blocking communication between rogue devices on wireless local access networks (WLANS)
JP5987627B2 (ja) * 2012-10-22 2016-09-07 富士通株式会社 不正アクセス検出方法、ネットワーク監視装置及びプログラム
MY164425A (en) * 2012-11-09 2017-12-15 Mimos Berhad System and method for managing public network
US9380644B2 (en) * 2012-12-21 2016-06-28 Hewlett Packard Enterprise Development Lp Access points to provide event notifications
US9398039B2 (en) * 2013-03-15 2016-07-19 Aruba Networks, Inc. Apparatus, system and method for suppressing erroneous reporting of attacks on a wireless network
US9628993B2 (en) 2013-07-04 2017-04-18 Hewlett Packard Enterprise Development Lp Determining a legitimate access point response
CN104754560B (zh) * 2013-12-30 2018-11-30 华为终端(东莞)有限公司 一种位置隐私保护方法、装置及系统
US10019703B2 (en) 2014-05-13 2018-07-10 Google Llc Verifying a secure connection between a network beacon and a user computing device
US9485243B2 (en) 2014-05-23 2016-11-01 Google Inc. Securing a wireless mesh network via a chain of trust
CN105323760B (zh) * 2014-07-28 2019-01-01 中国移动通信集团公司 一种无线接入点与终端的关联方法、无线接入点及终端
WO2016031384A1 (ja) * 2014-08-27 2016-03-03 日本電気株式会社 通信システム、管理装置、通信装置、方法、およびプログラム
CN105991359A (zh) * 2015-02-06 2016-10-05 中兴通讯股份有限公司 一种检测重复仿真报文的方法及装置
JP6072868B1 (ja) * 2015-09-01 2017-02-01 Necプラットフォームズ株式会社 無線通信装置、無線通信システム、判定方法、及びプログラム
US10057022B2 (en) * 2015-09-28 2018-08-21 Yazaki Corporation Method for controlling access to an in-vehicle wireless network
US10243974B2 (en) 2016-02-19 2019-03-26 Hewlett Packard Enterprise Development Lp Detecting deauthentication and disassociation attack in wireless local area networks
US10084679B2 (en) * 2016-03-22 2018-09-25 Qualcomm Incorporated Standalone network probing using available network connections
CN105635185A (zh) * 2016-03-25 2016-06-01 珠海网博信息科技股份有限公司 一种wifi环境下防止监听的方法和装置
CN106231598A (zh) * 2016-07-28 2016-12-14 北京坤腾畅联科技有限公司 基于帧检测的无线网络攻击免疫方法和终端设备
CN106131845A (zh) * 2016-08-23 2016-11-16 大连网月科技股份有限公司 一种非法无线接入点攻击方法及装置
CN106535175A (zh) * 2016-12-11 2017-03-22 北京坤腾畅联科技有限公司 基于帧序列特征分析的无线网络攻击免疫方法和终端设备
JP6956624B2 (ja) * 2017-03-13 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
CN108924842A (zh) * 2017-03-23 2018-11-30 华为技术有限公司 一种保持关联的方法及无线接入点设备
US11057769B2 (en) * 2018-03-12 2021-07-06 At&T Digital Life, Inc. Detecting unauthorized access to a wireless network
US11057157B2 (en) * 2018-06-29 2021-07-06 Hewlett Packard Enterprise Development Lp Transmission frame counter
WO2021206156A1 (ja) * 2020-04-10 2021-10-14 株式会社スプラインネットワーク 無線ネットワークセキュリティ診断システム、セキュリティ診断サーバ、及びプログラム
EP4171095A4 (en) * 2020-07-13 2023-12-27 Huawei Technologies Co., Ltd. METHOD FOR IMPLEMENTING TERMINAL DEVICE VERIFICATION, APPARATUS, SYSTEM, APPARATUS AND STORAGE MEDIUM
CN115396125A (zh) * 2021-05-07 2022-11-25 中国移动通信集团有限公司 Wifi攻击检测方法及装置、设备、计算机程序

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000184447A (ja) * 1998-12-15 2000-06-30 Nec Corp 移動通信システム及びクローン端末検出方法
US7236460B2 (en) * 2002-03-29 2007-06-26 Airmagnet, Inc. Detecting a counterfeit access point in a wireless local area network
JP2003338814A (ja) * 2002-05-20 2003-11-28 Canon Inc 通信システム、管理サーバおよびその制御方法ならびにプログラム
JP3759137B2 (ja) * 2003-09-30 2006-03-22 日立電子サービス株式会社 無線通信装置およびなりすまし端末検出方法
JP2006174327A (ja) * 2004-12-20 2006-06-29 Toshiba Corp 通信装置、無線通信端末、無線通信システム、無線通信方法
JP4375287B2 (ja) * 2005-06-22 2009-12-02 日本電気株式会社 無線通信認証システム
US7971253B1 (en) * 2006-11-21 2011-06-28 Airtight Networks, Inc. Method and system for detecting address rotation and related events in communication networks
JP2008127887A (ja) * 2006-11-22 2008-06-05 Matsushita Electric Ind Co Ltd 無線通信システム、その制御方法、およびプログラム
EP2351296A4 (en) * 2008-10-31 2015-01-07 Hewlett Packard Development Co METHOD AND DEVICE FOR DETECTING NETWORK IMPACT

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016134913A (ja) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
WO2016116973A1 (ja) * 2015-01-20 2016-07-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム

Also Published As

Publication number Publication date
CN101895887A (zh) 2010-11-24
CN103813338A (zh) 2014-05-21
JP2010273205A (ja) 2010-12-02
US20100299725A1 (en) 2010-11-25

Similar Documents

Publication Publication Date Title
JP4763819B2 (ja) 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法
Bicakci et al. Denial-of-Service attacks and countermeasures in IEEE 802.11 wireless networks
KR100813007B1 (ko) 무선 센서 네트워크 및 보안 관리를 위한 적응형 기법
US8433894B2 (en) Support of physical layer security in wireless local area networks
JP2019526980A (ja) 局を安全かつ迅速にウェイクアップさせるシステムおよび方法
JP7455220B2 (ja) 無線侵入防止システム、これを含む無線ネットワークシステム、及び無線ネットワークシステムの作動方法
Thamilarasu et al. A cross-layer based intrusion detection approach for wireless ad hoc networks
US9143528B2 (en) Method and device for countering fingerprint forgery attacks in a communication system
KR20140022975A (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
WO2008001972A1 (en) Method for proactively preventing wireless attacks and apparatus thereof
KR101476995B1 (ko) 암호 키의 조작­방지 생성 방법 및 시스템
KR20140035600A (ko) 무선 침입방지 동글 장치
Glass et al. Detecting man-in-the-middle and wormhole attacks in wireless mesh networks
JP5202684B2 (ja) 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法
US20210329454A1 (en) Detecting Unauthorized Access to a Wireless Network
KR101725129B1 (ko) 무선랜 취약성 분석 장치
KR102285257B1 (ko) 와이파이 액세스 포인트를 이용한 무선 침입감지 시스템 검출 장치 및 방법
CN102404740B (zh) 针对无线传感器网络确认帧攻击的检测和防护方法
Glass et al. A study of the TKIP cryptographic DoS attack
US10193899B1 (en) Electronic communication impersonation detection
KR20090045339A (ko) 거짓 동기 버스트 검출
Rachedi et al. Impacts and solutions of control packets vulnerabilities with IEEE 802.11 MAC
Zhou et al. Wireless Security Issues in pervasive computing
KR102366574B1 (ko) 무선 침입 방지 방법
KR20100061272A (ko) 유비쿼터스 센서 네트워크에서의 센서 노드 인증 방법

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110325

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110329

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110512

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110607

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110609

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140617

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4763819

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250