JP4833779B2 - 無線lan機器 - Google Patents
無線lan機器 Download PDFInfo
- Publication number
- JP4833779B2 JP4833779B2 JP2006248730A JP2006248730A JP4833779B2 JP 4833779 B2 JP4833779 B2 JP 4833779B2 JP 2006248730 A JP2006248730 A JP 2006248730A JP 2006248730 A JP2006248730 A JP 2006248730A JP 4833779 B2 JP4833779 B2 JP 4833779B2
- Authority
- JP
- Japan
- Prior art keywords
- access point
- connection
- wireless lan
- ssid
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、無線通信機器の中でも特に無線LAN機器に関する。
アクセスポイントが接続される機器を厳密に制限することでセキュリティを強化した場合、機器側からの不正な接続を防ぐことができる。しかし、セキュリティ強度を下げたアクセスポイントが存在した場合、そのアクセスポイントが不正であっても機器が、セキュリティ強度が低いまま接続してしまい、盗聴の危険性があった。
従来の無線通信機器としては、例えば、特許文献1に開示された従来技術がある。
これは、監視装置、基地局及び無線LANシステムに関する発明であり、要約すると、次のようになる。
機器は、アクセスポイントの情報(暗号化のある/なし等)を保持した表を具備している。この表は、アクセスポイントが送信する情報をもとに作成する。過去に作成した表と現在作成した表を比較することによって、不正なアクセスポイントを検出する。過去に作成した表には存在していないにもかかわらず現在作成した表に存在しているアクセスポイントがある場合には、機器はそのアクセスポイントを不正とみなす。
これは、監視装置、基地局及び無線LANシステムに関する発明であり、要約すると、次のようになる。
機器は、アクセスポイントの情報(暗号化のある/なし等)を保持した表を具備している。この表は、アクセスポイントが送信する情報をもとに作成する。過去に作成した表と現在作成した表を比較することによって、不正なアクセスポイントを検出する。過去に作成した表には存在していないにもかかわらず現在作成した表に存在しているアクセスポイントがある場合には、機器はそのアクセスポイントを不正とみなす。
また、他の従来技術としては、例えば、特許文献2に開示された従来技術もある。
これは、無線通信接続管理サーバに関する発明であり、要約すると、次のようになる。
機器が無線LAN通信を行うために登録情報を入力し、その登録情報をもとに機器がアクセスポイントへの無線通信接続を許可するかどうかを判断する。
特開2005−184719号公報
特開2004―264976号公報
これは、無線通信接続管理サーバに関する発明であり、要約すると、次のようになる。
機器が無線LAN通信を行うために登録情報を入力し、その登録情報をもとに機器がアクセスポイントへの無線通信接続を許可するかどうかを判断する。
しかしながら、上記の従来技術は、以下の問題点を含んでいる。
特許文献1に開示された従来技術の問題点を述べる。
過去に作成した表には存在していないにもかかわらず現在作成した表に存在しているアクセスポイントがある場合には、機器はそのアクセスポイントを不正とみなしているが、その条件だけでは、アクセスポイントを不正であると判断することは難しい。たとえば、機器が過去に表を作成した時点に、たまたまそのアクセスポイントの電波状態が悪かった場合が考えられる。そのような場合には、たとえアクセスポイントが正常なものであっても、機器によって不正とみなされてしまう危険性がある。
過去に作成した表には存在していないにもかかわらず現在作成した表に存在しているアクセスポイントがある場合には、機器はそのアクセスポイントを不正とみなしているが、その条件だけでは、アクセスポイントを不正であると判断することは難しい。たとえば、機器が過去に表を作成した時点に、たまたまそのアクセスポイントの電波状態が悪かった場合が考えられる。そのような場合には、たとえアクセスポイントが正常なものであっても、機器によって不正とみなされてしまう危険性がある。
特許文献2に開示された従来技術の問題点を述べる。
無線LANへアクセスするために、サーバを構築する必要がある。また、無線LANへアクセスするために、ユーザが登録情報を機器に入力する必要がある。
無線LANへアクセスするために、サーバを構築する必要がある。また、無線LANへアクセスするために、ユーザが登録情報を機器に入力する必要がある。
したがって、本発明は、上記従来技術の問題点に鑑み、次の2点によって、以下の目的を達成することを課題として設定する。
第1は、接続履歴として、アクセスポイントに固有な情報を機器内に書き込み、それを参照することで、不正なアクセスポイントへの接続を防止することである。そして第2は、アクセスポイントに固有の情報を参照することで、不正なアクセスポイントへのローミングを防止することである。機器が、アクセスポイントに固有な情報を保持することによって、アクセスポイントが不正であるかどうかを正確に判断する。
第1は、接続履歴として、アクセスポイントに固有な情報を機器内に書き込み、それを参照することで、不正なアクセスポイントへの接続を防止することである。そして第2は、アクセスポイントに固有の情報を参照することで、不正なアクセスポイントへのローミングを防止することである。機器が、アクセスポイントに固有な情報を保持することによって、アクセスポイントが不正であるかどうかを正確に判断する。
そして本発明は、上記従来技術の問題点に鑑みてなされたものであって、パケットの盗聴を目的とした偽アクセスポイントを設置された場合でも、その不正なアクセスポイントを見抜いて接続を避ける無線LAN機器を提供することを目的とする。
上記目的を達成するための請求項1記載の発明は、アクセスポイントの発する信号を受信する受信手段と、該受信手段が複数のアクセスポイントの発する信号を受信して、各々の前記信号から識別情報を抽出して同一の識別情報を持つアクセスポイントが少なくとも2つ以上見つかり、その中の1つのアクセスポイントに機器が接続しようとする場合、前記アクセスポイントが所定の条件に合致するならば、前記アクセスポイントに対して少なくとも自動的に無線LAN接続をしないよう通常の接続を抑制する接続抑制手段と、を有することを特徴とする無線LAN機器である。
請求項2記載の発明は、請求項1記載の無線LAN機器において、アクセスポイントへの接続履歴を保持する接続履歴保持手段を有し、前記接続履歴は、アクセスポイントの識別情報を含むことを特徴とする。
請求項3記載の発明は、請求項2記載の無線LAN機器において、前記接続抑制手段は、前記接続履歴保持手段が保持しない識別情報が示すアクセスポイントに機器が接続しようとするとき、前記アクセスポイントに対して通常の接続を抑制することを特徴とする。
請求項4記載の発明は、請求項1から3のいずれか1項記載の無線LAN機器において、前記接続抑制手段は、通常の接続を抑制する場合、操作者に警告を発し、接続しようとするアクセスポイントを正常とみなすか否かを操作者に確認することを特徴とする。
請求項5記載の発明は、請求項1から4のいずれか1項記載の無線LAN機器において、前記所定の条件は、前記アクセスポイントの暗号化状態が操作者の設定する基準を下回ること、前記アクセスポイントの電波強度が操作者の設定する閾値を下回ること、の2条件の少なくとも1つを満たすことであることを特徴とする。
請求項6記載の発明は、請求項5記載の無線LAN機器において、前記接続抑制手段の利用を操作者が任意に設定可能な設定手段を有し、該設定手段は、前記暗号化状態の基準、前記電波強度の閾値、の少なくとも1つを操作者が設定可能であることを特徴とする。
本発明によれば、パケットの盗聴を目的とした偽アクセスポイントを設置された場合でも、その不正なアクセスポイントを見抜いて接続を避ける無線LAN機器を提供することができる。
以下、本発明に係る最良の実施形態について図面を参照して説明する。なお、本発明は以下の実施形態に限定されるものではなく要旨を逸脱しない範囲において種々の変形が可能である。
また、以下で用いられる略語の意味は次の通りである。
SSID(Service Set Identifier)は、無線LANネットワークを識別するために使用される、アクセスポイントの識別子である。機器を無線LANに接続したい場合、接続したいアクセスポイントのSSIDを機器に入力する必要がある。アクセスポイントのSSIDと機器のSSIDとが一致しないと、無線LAN接続は不可能である。
BSSID(Base SSID)は、SSIDと同様に、無線LANネットワークを識別するために使用される。その実態は、アクセスポイントのMACアドレスである。
SSID(Service Set Identifier)は、無線LANネットワークを識別するために使用される、アクセスポイントの識別子である。機器を無線LANに接続したい場合、接続したいアクセスポイントのSSIDを機器に入力する必要がある。アクセスポイントのSSIDと機器のSSIDとが一致しないと、無線LAN接続は不可能である。
BSSID(Base SSID)は、SSIDと同様に、無線LANネットワークを識別するために使用される。その実態は、アクセスポイントのMACアドレスである。
図1は、本実施形態に係る無線LAN機器のハードウェア構成を示す図である。
この無線LAN機器は、CPU1、不揮発性メモリ2、記憶装置3、オペレーションパネル4、無線LANインターフェース5を有する構成である。
図1において、CPU1は機器全体の制御と、その制御を受けて論理演算などの演算を行う機能を持つ。
この無線LAN機器は、CPU1、不揮発性メモリ2、記憶装置3、オペレーションパネル4、無線LANインターフェース5を有する構成である。
図1において、CPU1は機器全体の制御と、その制御を受けて論理演算などの演算を行う機能を持つ。
不揮発性メモリ2は、電源を切っても記憶が失われない記憶装置であり、現在接続しているアクセスポイントのBSSID及びスキャン内容(SSID・チャンネル・BSSID)を格納する。何度も書き込み、読み出しができて、アクセス速度が高速な記憶装置であれば好ましく、半導体ディスクなどが好適である。
記憶装置3は、電源を切っても記憶が失われない補助記憶装置であり、正常なアクセスポイントに接続したことを記録するログを格納する。ログを保存することが特に望まれるため、アクセス速度が極端に高速である必要はなく、不揮発性メモリ2より大容量であれば好ましく、磁気ディスクなどが好適である。
記憶装置3は、電源を切っても記憶が失われない補助記憶装置であり、正常なアクセスポイントに接続したことを記録するログを格納する。ログを保存することが特に望まれるため、アクセス速度が極端に高速である必要はなく、不揮発性メモリ2より大容量であれば好ましく、磁気ディスクなどが好適である。
オペレーションパネル4は、機器のユーザインターフェースである。このユーザインターフェースは、機器とユーザ(操作者)間の入出力機能を実現するものであればよく、1つのデバイスで入出力機能を担う構成でなくても本実施形態の一変形である。表示部の具体例として、スピーカやオペレーションパネル等がある。入力部の具体例として、テンキーやスタイラスペンによる入力等がある。しかしながら、特に、オペレーションパネルが、表示画面を用いてユーザが入力できるという点から望ましい。
無線LANインターフェース5は、機器の無線LAN機能を実装するハードウェアである。
無線LANインターフェース5は、機器の無線LAN機能を実装するハードウェアである。
図2は、本実施形態に係る無線通信機器のソフトウェア構成を示す図である。
無線LAN接続モジュール12は、アクセスポイントに接続する責務を持つ。
不正アクセスポイント判定モジュール13は、接続しようとしているアクセスポイント及びローミング先のアクセスポイントが不正であるかどうかを判定する責務を持つ。
無線LAN接続モジュール12は、アクセスポイントに接続する責務を持つ。
不正アクセスポイント判定モジュール13は、接続しようとしているアクセスポイント及びローミング先のアクセスポイントが不正であるかどうかを判定する責務を持つ。
無線LANドライバ11は、アクセスポイントが送信したパケットを受信し、不正アクセスポイント判定モジュール13にそのパケットを引き渡す責務を持つ。
無線LAN接続モジュール12及び不正アクセスポイント判定モジュール13は、無線LANドライバ11の上位アプリケーションとして存在する。
無線LAN接続モジュール12及び不正アクセスポイント判定モジュール13は、無線LANドライバ11の上位アプリケーションとして存在する。
図3に、スキャン結果から不正なアクセスポイントを検出するフローチャートを示す。
このフローチャートは、図2に示した不正アクセスポイント判定モジュール13によって実行される。
このフローチャートは、図2に示した不正アクセスポイント判定モジュール13によって実行される。
図3において、ステップS301では、機器が、現在機器が接続可能なアクセスポイントが送信するビーコン及び802.11MACヘッダを受信する。
ステップS302では、機器が、ステップS301にて受信したビーコンから、SSID/チャンネルを取得し、不揮発性メモリ2の中に格納する。
ステップS303では、機器が、ステップS301にて受信したビーコンを送信したアクセスポイントの電波強度を計測する。
ステップS304では、機器が、ステップS301にて受信したビーコンから、アクセスポイントのWEP暗号化の有効/無効を検知する。
ステップS302では、機器が、ステップS301にて受信したビーコンから、SSID/チャンネルを取得し、不揮発性メモリ2の中に格納する。
ステップS303では、機器が、ステップS301にて受信したビーコンを送信したアクセスポイントの電波強度を計測する。
ステップS304では、機器が、ステップS301にて受信したビーコンから、アクセスポイントのWEP暗号化の有効/無効を検知する。
ステップS305では、機器が、ステップS301にて受信した802.11MACヘッダから、BSSIDを取得し、不揮発性メモリ2の中に格納する。
ステップS306では、機器が、オペレーションパネル4上にSSID・チャンネルの組を出力する。
ステップS307では、機器が、ステップS306にて得られた複数のSSID・チャンネルの組から、SSID・チャンネルが同一のものがあるかを判定する。
ステップS308は、ステップS307にて判定した結果、SSID・チャンネルが同一のものが存在するか否かを調べる分岐である。存在しない(No)ならば、そのまま終了。存在する(Yes)ならば、ステップS309へ。
ステップS306では、機器が、オペレーションパネル4上にSSID・チャンネルの組を出力する。
ステップS307では、機器が、ステップS306にて得られた複数のSSID・チャンネルの組から、SSID・チャンネルが同一のものがあるかを判定する。
ステップS308は、ステップS307にて判定した結果、SSID・チャンネルが同一のものが存在するか否かを調べる分岐である。存在しない(No)ならば、そのまま終了。存在する(Yes)ならば、ステップS309へ。
ステップS309では、ステップS303とステップS304にて得られたアクセスポイントの電波強度及びアクセスポイントのWEP暗号化状態を確認する。
ステップS310は、ステップS309にて確認した結果、電波強度が閾値以下であり、かつ、WEP暗号化状態が無効状態であるか否かを調べる分岐である。この条件を満たせば(Yes)、ステップS311へ。満たさないならば(No)、そのまま終了。
ステップS310は、ステップS309にて確認した結果、電波強度が閾値以下であり、かつ、WEP暗号化状態が無効状態であるか否かを調べる分岐である。この条件を満たせば(Yes)、ステップS311へ。満たさないならば(No)、そのまま終了。
ステップS311では、SSID・チャンネルが同一のアクセスポイントが複数あり、なおかつそのうちの少なくとも一つが電波強度が設定された閾値以下かつWEP暗号化が無効にされている旨、又は、不正と思われるアクセスポイントが発見された旨を、オペレーションパネル4を用いて、通知する。
さらに図3のフローチャートについての説明を加える。
機器は、アクセスポイントが送信する802.11MACヘッダ及びビーコンを取得することによりスキャンする。そのスキャン結果からアクセスポイントのSSID・チャンネルの組を生成する。SSID・チャンネルの組については、図4・5にて説明する。この組から、SSID・チャンネルが同一のものが存在することを判定する。
また、この例では、スキャン対象となっているアクセスポイントの電波状況及びWEP暗号化の有効/無効を検知している(ステップS303及びステップS304)。
機器は、アクセスポイントが送信する802.11MACヘッダ及びビーコンを取得することによりスキャンする。そのスキャン結果からアクセスポイントのSSID・チャンネルの組を生成する。SSID・チャンネルの組については、図4・5にて説明する。この組から、SSID・チャンネルが同一のものが存在することを判定する。
また、この例では、スキャン対象となっているアクセスポイントの電波状況及びWEP暗号化の有効/無効を検知している(ステップS303及びステップS304)。
社内無線LANネットワークにおいては、同一フロアに同一のネットワークを割り当てるために、同一のSSID・チャンネルを持つアクセスポイントを複数設置することがある。この状況下では、同一フロアにある複数のアクセスポイントは正常であるにもかかわらず不正とみなされてしまう。不正なアクセスポイントは他のフロアに設置されている可能性がある。
このような場合を想定し、不正なアクセスポイントを見分ける材料として電波強度を挙げた。当然、不正なアクセスポイントは他のアクセスポイントよりも電波強度が低いため、電波強度が低いことが判定の条件となりうる。電波強度の判定には閾値を設けているが、この値はユーザが指定できる(図15)。
また、WEPの暗号化が無効であるアクセスポイントはそれ自体が不正である可能性がある。機器が、WEP暗号化なしで容易に不正なネットワークに接続してしまうおそれがある。そのため、WEPの暗号化が無効であるかの確認も、アクセスポイントが不正であるかの判定には必要である。
図15は、不正アクセスポイント検出機能に関する設定画面の例である。
機器は、この画面をオペレーションパネル4に出力する。
この画面において設定する項目は2つである(他に暗号化状態の検出の有効/無効を設定する項目を増やしてもよい)。
機器は、この画面をオペレーションパネル4に出力する。
この画面において設定する項目は2つである(他に暗号化状態の検出の有効/無効を設定する項目を増やしてもよい)。
第一に、本実施形態にて示す、不正アクセスポイントの検出を行う機能の有効/無効を設定する。ユーザは、オペレーションパネル上から、有効/無効のどちらかを選択する。
第二に、電波強度の閾値である。図3にて示したフローチャートを実行するにあたって必要な設定であり、ユーザは、オペレーションパネル上から、電波強度の閾値を設定する。
第二に、電波強度の閾値である。図3にて示したフローチャートを実行するにあたって必要な設定であり、ユーザは、オペレーションパネル上から、電波強度の閾値を設定する。
図4・5は、本実施形態におけるスキャン内容の一例を示した図である。
図4は、不正なアクセスポイントが含まれていないスキャン内容を示す。
図5は、不正なアクセスポイントが含まれているスキャン内容を示す。
不揮発性メモリ2内にて、SSID・チャンネルの組が格納されている。ここでは、理解しやすいように、アクセスポイントごとに行分けして、SSID・チャンネルの組を括弧でくくることで表現する。例えば、SSIDが”SSID_1”であり、チャンネルが1チャンネルである場合、これらの組を(SSID_1,1)と表現する。
図4は、不正なアクセスポイントが含まれていないスキャン内容を示す。
図5は、不正なアクセスポイントが含まれているスキャン内容を示す。
不揮発性メモリ2内にて、SSID・チャンネルの組が格納されている。ここでは、理解しやすいように、アクセスポイントごとに行分けして、SSID・チャンネルの組を括弧でくくることで表現する。例えば、SSIDが”SSID_1”であり、チャンネルが1チャンネルである場合、これらの組を(SSID_1,1)と表現する。
図4の場合、スキャン結果として、5個のアクセスポイントが見つかったことを意味する。この場合、SSID・チャンネルが同じであるような組が存在しないため、図3の処理によって不正なアクセスポイントは検出されない。
図5の場合、スキャン結果として、5個のアクセスポイントが見つかったことを意味する。この場合、SSID・チャンネルが同じであるような組が存在するため、図3の処理によって不正なアクセスポイントが検出される。
図6に、不正なアクセスポイントを発見した場合の出力例を示す。
不正なアクセスポイントを発見した旨を、オペレーションパネルに出力する。
不正なアクセスポイントを発見した旨を、オペレーションパネルに出力する。
また、本実施形態に係る無線LAN機器は、図3に示した動作による、不正なアクセスポイントへの接続回避方法の他に、アクセスログ(アクセスポイントへの接続履歴)を参照することによって、不正なアクセスポイントの存在を見抜く判断材料の一つにする。以下に、図7から図12を参照して、その機能について説明する。
図7に、機器が、正常なアクセスポイントに接続したという記録を、記憶装置3に書き込むフローチャートを示す。
このフローチャートは、図2に示した不正アクセスポイント判定モジュール13によって実行される。図7において、機器が、正常なアクセスポイントに接続した後に、記録を記憶装置3内にあるログに書き込む。
このフローチャートは、図2に示した不正アクセスポイント判定モジュール13によって実行される。図7において、機器が、正常なアクセスポイントに接続した後に、記録を記憶装置3内にあるログに書き込む。
具体的には、ステップS701では、機器が、正常なアクセスポイントへの接続を完了する。
ステップS702では、機器が、アクセスポイントに接続した年月日と時間、接続したSSID、アクセスポイントのMACアドレス、接続したチャンネルを機器内部に書き込み、保存する。
ステップS702では、機器が、アクセスポイントに接続した年月日と時間、接続したSSID、アクセスポイントのMACアドレス、接続したチャンネルを機器内部に書き込み、保存する。
図8に、上記のログの具体例を示す。
一行一行が、正常なアクセスポイントに接続したという記録を示す。
これらの記録が、テキストファイルとして記憶装置内に保存されている。
ログに記録される内容としては、アクセスポイントに接続した年月日と時間、接続したSSID、アクセスポイントのMACアドレス、接続したチャンネルがある。
一行一行が、正常なアクセスポイントに接続したという記録を示す。
これらの記録が、テキストファイルとして記憶装置内に保存されている。
ログに記録される内容としては、アクセスポイントに接続した年月日と時間、接続したSSID、アクセスポイントのMACアドレス、接続したチャンネルがある。
図9に、接続するSSIDの選択画面を示す。
機器が、図3によって得られたスキャン結果から、SSID・チャンネルを記したボタンをオペレーションパネル4に、見つかったアクセスポイント分出力する。ユーザは、これらのボタンの中から1つを押下することによって、接続するSSIDを選択する。見つかったアクセスポイントが多数の場合は、「前のページ」・「次のページ」ボタンを押下することにより、接続したいSSIDを選択する。
機器が、図3によって得られたスキャン結果から、SSID・チャンネルを記したボタンをオペレーションパネル4に、見つかったアクセスポイント分出力する。ユーザは、これらのボタンの中から1つを押下することによって、接続するSSIDを選択する。見つかったアクセスポイントが多数の場合は、「前のページ」・「次のページ」ボタンを押下することにより、接続したいSSIDを選択する。
図9において、この場合は、スキャンの結果、2個のアクセスポイントが見つかっており、それぞれ、「SSIDがSSID_1であり、1チャンネルで接続しているアクセスポイント」・「SSIDがSSID_2であり、6チャンネルで接続しているアクセスポイント」が存在している。
また、本実施形態に係る無線LAN機器は、ユーザが指定したSSIDを持つアクセスポイントに接続する機能と、さらにSSIDをユーザが指定する場合でもそのアクセスポイントが不正か否かを判定知る機能と、を有する。
図10に、ユーザが指定したSSIDを持つアクセスポイントが不正か否かを判定するフローチャートを示す。
このフローチャートは、図2に示した不正アクセスポイント判定モジュール13によって実行される。
図10に、ユーザが指定したSSIDを持つアクセスポイントが不正か否かを判定するフローチャートを示す。
このフローチャートは、図2に示した不正アクセスポイント判定モジュール13によって実行される。
機器が、指定されたアクセスポイントに対してアソシエーションを行うために、アクセスポイントに対してProbe Requestを送信し、その後に、アクセスポイントは機器に対してProbe Responseを送信する。機器が、このProbe Responseに含まれる802.11MACヘッダからBSSIDを取得し、それをもとにアクセスポイントが不正かを判断する。アクセスポイントが不正であった場合には、アクセスポイントへの接続を中止し、ユーザに対して接続を中止した旨を通知する。
より詳細には、図10において、ステップS1001では、ユーザが機器に対して接続開始要求を行ったことを、機器が、検知する。
ステップS1002では、機器が、ユーザが指定したSSIDを持つアクセスポイントに対して、Probe Requestを送信する。
ステップS1003では、機器が、上記のアクセスポイントが送信したProbe Responseに含まれる802.11MACヘッダを取得する。
ステップS1004では、機器が、上記ステップS1003の802.11MACヘッダから、BSSIDを取得する。
ステップS1002では、機器が、ユーザが指定したSSIDを持つアクセスポイントに対して、Probe Requestを送信する。
ステップS1003では、機器が、上記のアクセスポイントが送信したProbe Responseに含まれる802.11MACヘッダを取得する。
ステップS1004では、機器が、上記ステップS1003の802.11MACヘッダから、BSSIDを取得する。
ステップS1005では、機器が、上記のアクセスポイントが正常か否かを判断する。この処理の詳細については、図12を参照してさらに詳しく後述する。
ステップS1006は、ステップS1005にて判断した結果、アクセスポイントが不正か否かを調べる分岐である。不正でないなら(No)、そのまま終了。不正である(Yes)ならば、ステップS1007へ。
ステップS1006は、ステップS1005にて判断した結果、アクセスポイントが不正か否かを調べる分岐である。不正でないなら(No)、そのまま終了。不正である(Yes)ならば、ステップS1007へ。
ステップS1007では、接続を抑制する機能が働き、少なくとも自動的に接続することは避ける。すなわち、機器が、上記アクセスポイントへの接続を中止する。
ステップS1008では、機器が、上記アクセスポイントが不正なアクセスポイントであり、そこへの接続を中止した旨を、オペレーションパネル4を用いてユーザに通知する。
ステップS1008では、機器が、上記アクセスポイントが不正なアクセスポイントであり、そこへの接続を中止した旨を、オペレーションパネル4を用いてユーザに通知する。
図11に、接続を中止した場合の出力例を示す。
機器は、アクセスポイントが不正であり、上記アクセスポイントへの接続を中止した旨を、オペレーションパネル4に出力する。
機器は、アクセスポイントが不正であり、上記アクセスポイントへの接続を中止した旨を、オペレーションパネル4に出力する。
図12に、接続しようとするアクセスポイントが不正か否かをログから判定するフローチャートを示す。
このフローチャートは、図2に示した不正アクセスポイント判定モジュール13によって実行される。
また、この処理は、図10のステップS1005の詳細処理に対応する。
このフローチャートは、図2に示した不正アクセスポイント判定モジュール13によって実行される。
また、この処理は、図10のステップS1005の詳細処理に対応する。
判定する材料は、SSID・BSSIDである。機器が、ログ中にある全ての記録に記述されているSSID・BSSIDと、ユーザが指定したSSID及び接続相手となるアクセスポイントから取得したBSSIDとを比較する。SSIDの一致かつBSSIDの一致をもって、アクセスポイントが正常であるとみなす。
なお、ログに記録が1件も存在しない場合も存在する。その場合には、図14に示す警告が出力される。この警告画面において、現在接続しようとしているアクセスポイントを正常であるとみなして接続を許可するような設定にユーザがした場合には、機器が、そのアクセスポイントとの接続を開始する。
なお、ログに記録が1件も存在しない場合も存在する。その場合には、図14に示す警告が出力される。この警告画面において、現在接続しようとしているアクセスポイントを正常であるとみなして接続を許可するような設定にユーザがした場合には、機器が、そのアクセスポイントとの接続を開始する。
より詳細には、図12において、ステップS1201は、記憶装置3に記録されたログに記録が1件も存在するかしないかを調べる分岐である。「はい」すなわち存在しない場合、ステップS1206へ進む。「いいえ」すなわち存在する場合、ステップS1202へ進む。
ステップS1202では、機器が、記憶装置3に記録されたログから、一行のログを取得する。
ステップS1202では、機器が、記憶装置3に記録されたログから、一行のログを取得する。
ステップS1203では、ログ中のSSID及びBSSIDと、ユーザが指定したSSID及び接続相手となるアクセスポイントから取得したBSSIDと、を比較する。
ステップS1204は、ステップS1203にて、SSIDが一致かつBSSIDが一致したか否かを調べる分岐である。両条件を満たした場合(Yes)は、ステップS1209へ。どちらか一方でも満たさない場合(No)は、ステップS1205へ。
ステップS1204は、ステップS1203にて、SSIDが一致かつBSSIDが一致したか否かを調べる分岐である。両条件を満たした場合(Yes)は、ステップS1209へ。どちらか一方でも満たさない場合(No)は、ステップS1205へ。
ステップS1205は、さらにログに次の行があるか否かを調べる分岐である。ある場合(Yes)は、ステップS1202へ戻り、次の行がなくなるまで繰り返す。ない場合(No)は、ステップS1208へ。
ステップS1206では、機器が、オペレーションパネル4に警告を発し、現在接続しようとしているアクセスポイントを正常とみなすか否かをユーザに確認する。
ステップS1207は、ステップS1206で行われた確認の結果が、OKか否かを調べる分岐である。OKならば(Yes)、ステップS1209へ。OKでないならば(No)、ステップS1208へ。
ステップS1207は、ステップS1206で行われた確認の結果が、OKか否かを調べる分岐である。OKならば(Yes)、ステップS1209へ。OKでないならば(No)、ステップS1208へ。
ステップS1208とステップS1209は、ユーザが指定したSSIDを持つアクセスポイントを、不正であるとみなすか、正常であるとみなすか、上記のステップS1201からステップS1207の手順の中で最終的に判定されるステップである。ステップS1208へ来た場合は、そのアクセスポイントは不正とみなされ、ステップS1209へ来た場合は、そのアクセスポイントは正常であるとみなされる。
また、本実施形態に係る無線LAN機器は、ローミングアクセス機能と、この機能を使う際に不正なアクセスポイントが設置されているか否かを見抜く機能と、を有している。以下に、図13を参照してその機能について説明する。
図13に、別のアクセスポイントにローミングするかどうかを判断するフローチャートを示す。
このフローチャートは、図2に示した不正アクセスポイント判定モジュール13によって実行される。
このフローチャートは、図2に示した不正アクセスポイント判定モジュール13によって実行される。
機器が、とあるアクセスポイントとの接続中に移動することによって他のアクセスポイントのビーコンを検出した場合、ビーコンに含まれる802.11MACヘッダからBSSIDを取得する。機器が保持しているBSSIDと802.11MACヘッダ内のBSSIDが一致しているかを確認し、一致している場合にローミングし、一致していない場合にローミングしない。
より詳細には、図13において、ステップS1301では、機器が、正常なあるアクセスポイントへの接続が一度完了した場合に、そのアクセスポイントのBSSIDを保持する。
ステップS1302では、機器が正常なあるアクセスポイントと無線LAN通信をしている間に移動することで、他のアクセスポイントが送信するビーコンを受信する。
ステップS1303では、機器が、上記ステップS1302にて受信したビーコンに含まれている802MACヘッダからBSSIDを取得する。
ステップS1302では、機器が正常なあるアクセスポイントと無線LAN通信をしている間に移動することで、他のアクセスポイントが送信するビーコンを受信する。
ステップS1303では、機器が、上記ステップS1302にて受信したビーコンに含まれている802MACヘッダからBSSIDを取得する。
ステップS1304では、機器が保持しているBSSIDと、802.11MACヘッダ内のBSSIDが一致しているかを確認する。
ステップS1305は、ステップS1304にて確認した結果、BSSIDが一致しているか否かを調べる分岐である。一致している場合(Yes)、ステップS1307へ。一致していない場合(No)、ステップS1306へ。
ステップS1306では、機器の、通常の接続を抑制する機能が働き、ローミングをしない処理をする。
ステップS1307では、ローミング先のアクセスポイントは安全とみなされ、ローミングが行われる。
ステップS1305は、ステップS1304にて確認した結果、BSSIDが一致しているか否かを調べる分岐である。一致している場合(Yes)、ステップS1307へ。一致していない場合(No)、ステップS1306へ。
ステップS1306では、機器の、通常の接続を抑制する機能が働き、ローミングをしない処理をする。
ステップS1307では、ローミング先のアクセスポイントは安全とみなされ、ローミングが行われる。
図14に、アクセスポイントを正常とみなすか否かの確認例を示す。
この確認画面の一例は、現在接続しようとしているアクセスポイントを正常とみなすかを確認する内容の表示をオペレーションパネル4に出力する。
この確認画面の一例は、現在接続しようとしているアクセスポイントを正常とみなすかを確認する内容の表示をオペレーションパネル4に出力する。
ユーザが、「はい」を選択し、接続を許可すると、機器は、現在接続しようとしているアクセスポイントを正常とみなす。対して、「いいえ」を選択し、接続を許可しないと、機器は、現在接続しようとしているアクセスポイントを不正とみなす。この場合は、ユーザが明示的にアクセスポイントを不正とみなしたことになる。
以上のように、上述した本実施形態によれば、アクセスポイントからのビーコンに含まれるアクセスポイントの識別情報に同一のものがあった場合は電波強度の状態及び/又は暗号化状態を調べてユーザが設定した基準以下のものには少なくとも自動的に接続しないよう通常の接続を抑制するので、ユーザが不正なアクセスポイントへの接続を行おうとすることを防止できる。また、自動的に接続しないようにすることに加え、不正なアクセスポイントを検知した旨をユーザに通知するので、ユーザが不正なアクセスポイントへの接続を行おうとすることを防止できる。
また、上記実施形態によれば、正常なアクセスポイントへの接続記録を機器内部に書き込んでいるので、不正なアクセスポイントを検出するための判断材料を獲得することができる。
また、上記実施形態によれば、機器内部でこれから接続しようとしているアクセスポイントが不正であるか否かを判断しているので、ユーザが不正なアクセスポイントへの接続を開始した場合であっても、不正なアクセスポイントに接続しようとすることをすることを防ぐことができる。
また、上記実施形態によれば、一度正常なアクセスポイントに接続した場合に、そのアクセスポイントの情報を保持しているので、一回接続した後に異常なアクセスポイントにローミングすることを防ぐことができる。
また、本発明は、以下のように実施することもできる。
〈1〉上記実施形態に係る無線LAN機器において、不正なアクセスポイントを判定する基準を変化させる。
〈2〉上記実施形態に係る無線LAN機器において、不正なアクセスポイントが存在すると判定された場合の機器の振る舞いを変化させる。
〈1〉上記実施形態に係る無線LAN機器において、不正なアクセスポイントを判定する基準を変化させる。
〈2〉上記実施形態に係る無線LAN機器において、不正なアクセスポイントが存在すると判定された場合の機器の振る舞いを変化させる。
具体的に、〈1〉は、上記実施形態では暗号化状態の基準がWEP暗号化の有効/無効のみであったが、暗号解読されやすいとされるWEPが有効であることのみならず、さらに暗号強度の強い方式(AES:高度暗号標準など)で通信を暗号化していることを判定基準にするとしてもよい。
〈2〉は、上記実施形態では、ユーザに不正なアクセスポイントが存在する旨を知らせてユーザの入力を待つよう記述したが、これに留まらず、言うまでもなく自動接続は危険なのでしない。また、ユーザが逐一指示を出さなくても、機器が自動的に接続を禁止する、としてもよい。
上記いずれの態様も、本発明の要旨を逸脱しない範囲における種々の変形に該当する。
〈2〉は、上記実施形態では、ユーザに不正なアクセスポイントが存在する旨を知らせてユーザの入力を待つよう記述したが、これに留まらず、言うまでもなく自動接続は危険なのでしない。また、ユーザが逐一指示を出さなくても、機器が自動的に接続を禁止する、としてもよい。
上記いずれの態様も、本発明の要旨を逸脱しない範囲における種々の変形に該当する。
1 CPU
2 不揮発性メモリ
3 記憶装置
4 オペレーションパネル
5 無線LANインターフェース
11 無線LANドライバ
12 無線LANモジュール
13 不正アクセスポイント判定モジュール
2 不揮発性メモリ
3 記憶装置
4 オペレーションパネル
5 無線LANインターフェース
11 無線LANドライバ
12 無線LANモジュール
13 不正アクセスポイント判定モジュール
Claims (6)
- アクセスポイントの発する信号を受信する受信手段と、
該受信手段が複数のアクセスポイントの発する信号を受信して、各々の前記信号から識別情報を抽出して同一の識別情報を持つアクセスポイントが少なくとも2つ以上見つかり、その中の1つのアクセスポイントに機器が接続しようとする場合、前記アクセスポイントが所定の条件に合致するならば、前記アクセスポイントに対して少なくとも自動的に無線LAN接続をしないよう通常の接続を抑制する接続抑制手段と、
を有することを特徴とする無線LAN機器。 - アクセスポイントへの接続履歴を保持する接続履歴保持手段を有し、
前記接続履歴は、アクセスポイントの識別情報を含むことを特徴とする請求項1記載の無線LAN機器。 - 前記接続抑制手段は、前記接続履歴保持手段が保持しない識別情報が示すアクセスポイントに機器が接続しようとするとき、前記アクセスポイントに対して通常の接続を抑制することを特徴とする請求項2記載の無線LAN機器。
- 前記接続抑制手段は、通常の接続を抑制する場合、操作者に警告を発し、接続しようとするアクセスポイントを正常とみなすか否かを操作者に確認することを特徴とする請求項1から3のいずれか1項記載の無線LAN機器。
- 前記所定の条件は、前記アクセスポイントの暗号化状態が操作者の設定する基準を下回ること、前記アクセスポイントの電波強度が操作者の設定する閾値を下回ること、の2条件の少なくとも1つを満たすことであることを特徴とする請求項1から4のいずれか1項記載の無線LAN機器。
- 前記接続抑制手段の利用を操作者が任意に設定可能な設定手段を有し、
該設定手段は、前記暗号化状態の基準、前記電波強度の閾値、の少なくとも1つを操作者が設定可能であることを特徴とする請求項5記載の無線LAN機器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006248730A JP4833779B2 (ja) | 2006-09-13 | 2006-09-13 | 無線lan機器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006248730A JP4833779B2 (ja) | 2006-09-13 | 2006-09-13 | 無線lan機器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008072402A JP2008072402A (ja) | 2008-03-27 |
| JP4833779B2 true JP4833779B2 (ja) | 2011-12-07 |
Family
ID=39293600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006248730A Expired - Fee Related JP4833779B2 (ja) | 2006-09-13 | 2006-09-13 | 無線lan機器 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4833779B2 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5195374B2 (ja) * | 2008-12-09 | 2013-05-08 | 住友電気工業株式会社 | 不正装置検知システム、路側通信装置および不正装置の検知方法 |
| JP2011109217A (ja) * | 2009-11-13 | 2011-06-02 | Panasonic Corp | 無線プロジェクタ装置および無線lanアダプタ |
| US8608318B2 (en) | 2009-11-13 | 2013-12-17 | Panasonic Corporation | Wireless projector apparatus and wireless LAN adapter |
| KR101258471B1 (ko) * | 2010-08-06 | 2013-04-26 | 주식회사 더존정보보호서비스 | 위치 정보에 기반한 무선인터넷 접속 제어 시스템 및 방법 |
| WO2012091528A2 (ko) * | 2010-12-30 | 2012-07-05 | (주)노르마 | 신뢰도 있는 ap를 선택할 수 있는 단말기 및 방법 |
| JP5608692B2 (ja) | 2011-02-17 | 2014-10-15 | パナソニック株式会社 | ネットワーク接続装置および方法 |
| JP2016025598A (ja) * | 2014-07-23 | 2016-02-08 | 船井電機株式会社 | 無線信号送受信装置及び無線信号送受信制御方法 |
| JP6712781B2 (ja) * | 2015-01-30 | 2020-06-24 | パナソニックIpマネジメント株式会社 | 情報処理方法 |
| JP2017011382A (ja) * | 2015-06-17 | 2017-01-12 | キヤノン株式会社 | 通信装置、制御方法、および、プログラム |
| CN107135548B (zh) | 2016-02-26 | 2020-10-30 | 新华三技术有限公司 | 一种更新bssid和连接网络的方法和装置 |
| JP6690326B2 (ja) | 2016-03-14 | 2020-04-28 | 富士通株式会社 | 無線通信プログラム、方法及び装置 |
| JP6688191B2 (ja) * | 2016-08-17 | 2020-04-28 | 日本電信電話株式会社 | 管理外の無線送信局の検出装置、検出方法および検出プログラム |
| CN109922498B (zh) * | 2019-04-29 | 2023-12-05 | 四川英得赛克科技有限公司 | 一种采用单无线热点监测技术的无线热点监测装置及其方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3792154B2 (ja) * | 2001-12-26 | 2006-07-05 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワークセキュリティシステム、コンピュータ装置、アクセスポイントの認識処理方法、アクセスポイントのチェック方法、プログラムおよび記憶媒体 |
| US7236460B2 (en) * | 2002-03-29 | 2007-06-26 | Airmagnet, Inc. | Detecting a counterfeit access point in a wireless local area network |
| JP4251620B2 (ja) * | 2003-04-23 | 2009-04-08 | キヤノン株式会社 | 通信装置及び通信装置の接続方法 |
| JP4229148B2 (ja) * | 2006-07-03 | 2009-02-25 | 沖電気工業株式会社 | 不正アクセスポイント接続阻止方法、アクセスポイント装置及び無線lanシステム |
-
2006
- 2006-09-13 JP JP2006248730A patent/JP4833779B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008072402A (ja) | 2008-03-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4833779B2 (ja) | 無線lan機器 | |
| US7899439B2 (en) | Wireless communication management system which prevents communication when security function is non-operative | |
| CA2822802C (en) | Method and apparatus for protecting content in a wi-fi direct communication scheme | |
| KR100701495B1 (ko) | 암호키 설정시스템, 액세스 포인트 및 암호키 설정방법 | |
| EP1589703B1 (en) | System and method for accessing a wireless network | |
| CN105101158B (zh) | Profile切换方法、信号强度检测方法及设备 | |
| JP5664273B2 (ja) | 無線通信装置、プログラム、および無線通信システム | |
| JP5067866B2 (ja) | 通信装置及び制御方法 | |
| US20170142767A1 (en) | Image forming system, image forming apparatus, and recording medium | |
| US20070115858A1 (en) | Communication apparatus and communication method | |
| KR20040028638A (ko) | 무선 통신 시스템, 무선 통신 제어 장치 및 무선 통신제어 방법, 기억 매체, 및 컴퓨터 프로그램 | |
| JP7079994B1 (ja) | Wipsセンサ及びwipsセンサを用いた不正無線端末の侵入遮断方法 | |
| JP5211968B2 (ja) | アクセスポイント、無線接続方法および無線通信システム | |
| JP5053517B2 (ja) | 通信装置及びその制御方法 | |
| CN106792715A (zh) | 非法无线ap检测方法及装置 | |
| JP5175865B2 (ja) | Ganにおける最適化されたpsドメインのための方法、装置、ノードおよび製品 | |
| JP5903870B2 (ja) | アクセス制御システム、および無線携帯端末 | |
| JP2006100957A (ja) | 無線通信システム、アクセスポイント装置、プログラム | |
| JP2007184762A (ja) | 無線通信システムの通信方法及び無線通信装置 | |
| JP2008193207A (ja) | 無線lanシステムおよびハンドオーバ方法 | |
| KR101553827B1 (ko) | 불법 ap 탐지 및 차단 시스템 | |
| KR100745237B1 (ko) | Umts 에서의 보안 방법 및 그 장치 | |
| US20180337903A1 (en) | Wireless lan access point and encryption key sharing method | |
| KR20150068232A (ko) | 불법 ap 탐지 및 차단 시스템 및 방법 | |
| JP7219116B2 (ja) | サーバ装置、情報処理方法及び情報処理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090608 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110824 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110913 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110922 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4833779 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140930 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |