JP7473972B2 - アクセスポイント、通信システム、および、通信方法 - Google Patents

アクセスポイント、通信システム、および、通信方法 Download PDF

Info

Publication number
JP7473972B2
JP7473972B2 JP2021118923A JP2021118923A JP7473972B2 JP 7473972 B2 JP7473972 B2 JP 7473972B2 JP 2021118923 A JP2021118923 A JP 2021118923A JP 2021118923 A JP2021118923 A JP 2021118923A JP 7473972 B2 JP7473972 B2 JP 7473972B2
Authority
JP
Japan
Prior art keywords
access point
channel
terminal
connection
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021118923A
Other languages
English (en)
Other versions
JP2023014770A (ja
Inventor
和輝 辻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Silex Technology Inc
Original Assignee
Silex Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Silex Technology Inc filed Critical Silex Technology Inc
Priority to JP2021118923A priority Critical patent/JP7473972B2/ja
Publication of JP2023014770A publication Critical patent/JP2023014770A/ja
Application granted granted Critical
Publication of JP7473972B2 publication Critical patent/JP7473972B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

本発明は、アクセスポイント、通信システム、および、通信方法に関する。
近年、オフィスまたは工場等で、Wi-Fi(登録商標)を使用した無線技術が活用されている。Wi-Fiを使用した無線技術を用いた社内ネットワーク等への接続において、アクセスポイント(AP)の鍵情報を知る者、または、総当たり攻撃を仕掛ける第三者に、アクセスポイントに不正に接続されるおそれがある。特許文献1には、社内ネットワーク等への不正接続を防ぐために、WIPS(Wireless Intrusion Prevention System)センサを用いて、アクセスポイントへの接続が許可されていない端末が、アクセスポイントに接続することを妨害する技術が開示されている。
特許文献1に開示される技術では、正規アクセスポイントと偽装アクセスポイントとの2種類のアクセスポイントを用意し、偽装アクセスポイントが、正規アクセスポイントが行う通信を模した通信を行うことで、正規アクセスポイントに不正に接続しようとした不正端末に偽装アクセスポイントの通信の内容を傍受させ、正規アクセスポイントの通信の内容を傍受させにくくする。
特開2012-222761号公報
しかしながら、上記従来技術では、不正端末が正規アクセスポイントに接続を試みた場合に、正規アクセスポイントへの接続を妨害できるとは限らないという課題がある。また、上記従来技術は、正規アクセスポイントに対して不正なパケットを送信する攻撃、または、パケットキャプチャによる盗聴に対しては、防御することができない。
そこで、本発明は、適切でない端末によるアクセスポイントへの接続を抑制することができるアクセスポイント等を提供する。
本発明の一態様に係るアクセスポイントは、第2チャネルを使用して無線通信する第2アクセスポイントとともに用いられる第1アクセスポイントであるアクセスポイントであって、前記第2チャネルと異なる第1チャネルでの無線通信を行う通信部と、前記第1アクセスポイントに対しての接続を許可される端末のリストである接続許可リストを記憶する記憶部と、前記接続許可リストに含まれない端末である非正規端末が、前記第1チャネルにおいて前記第1アクセスポイントに対する接続を要求した場合に、前記非正規端末が無線通信に使用するチャネルを、前記第2チャネルに切り替えるように指示する情報である第1接続切替情報を、前記通信部から前記非正規端末に送信させる第1制御をする制御部と、を備える。
これによれば、本発明の一態様に係るアクセスポイントは、アクセスポイントに対する接続を許可されていない端末が、アクセスポイントに対して接続を試みた場合に、アクセスポイントに対する接続を回避し、端末が別のアクセスポイントに接続するように誘導することができる。よって、本発明の一態様に係るアクセスポイントは、適切でない端末によるアクセスポイントへの接続を抑制することができる。
また、前記制御部は、無線通信を確立するためのフレームに、前記第1接続切替情報を含めて、送信させる。
これによれば、本発明の一態様に係るアクセスポイントは、アクセスポイントに対する接続を許可されていない端末がアクセスポイントに対して接続を試みた場合に、アクセスポイントを切り替えるために、無線通信を確立するための既存の通信フレームを用いることで、アクセスポイントに対する接続を回避し、端末が別のアクセスポイントに接続するように誘導することができる。よって、本発明の一態様に係るアクセスポイントは、効率的に、適切でない端末によるアクセスポイントへの接続を抑制することができる。
また、前記制御部は、前記接続許可リストと、前記第1アクセスポイントが通信を行うチャネルの情報とを含む設定情報を第2アクセスポイントに送信する。
これによれば、本発明の一態様に係るアクセスポイントは、別のアクセスポイントを、自アクセスポイントと区別することのできないものとして動作させることができる。よって、本発明の一態様に係るアクセスポイントは、より効果的に、適切でない端末によるアクセスポイントへの接続を抑制することができる。
また、前記制御部は、前記設定情報を、前記非正規端末による前記接続の要求より前に前記第2アクセスポイントに送信する。
これによれば、本発明の一態様に係るアクセスポイントは、不正な端末がアクセスポイントに接続を試みる前に、当該アクセスポイントと区別することのできない別のアクセスポイントを動作させることができる。よって、本発明の一態様に係るアクセスポイントは、より効果的に、適切でない端末によるアクセスポイントへの接続を抑制することができる。
また、前記設定情報は、さらに、前記第1アクセスポイントが用いる通信プロトコルを示す情報を含む。
これによれば、本発明の一態様に係るアクセスポイントは、別のアクセスポイントを、当該アクセスポイントと同一の通信プロトコルを用いて通信させて、自アクセスポイントと区別することのできないものとして動作させることができる。よって、本発明の一態様に係るアクセスポイントは、より確実に、適切でない端末によるアクセスポイントへの接続を抑制することができる。
また、さらに、第1ネットワークに接続する接続部を備え、前記第1ネットワーク上の機器と、前記通信部が無線通信を行っている端末との通信を中継する。
これによれば、本発明の一態様に係るアクセスポイントは、通信を中継する機器として動作することができる。
また、前記通信部は、前記第1アクセスポイントに接続している端末が無線通信に使用するチャネルを前記第2チャネルに切り替えるように指示する情報である第2接続切替情報を送信し、前記制御部は、所定の条件であると判断した場合に前記第1制御を停止し、かつ、前記接続許可リストに含まれる正規端末が、前記第1チャネルにおいて前記第1アクセスポイントに対する接続を要求した場合に、前記正規端末が無線通信に使用するチャネルを、前記第2チャネルに切り替えるように指示する情報である第2接続切替情報を、前記通信部から前記正規端末に送信させる第2制御を開始する。
これによれば、本発明の一態様に係るアクセスポイントは、別のアクセスポイントと役割を入れ替えることができる。よって、本発明の一態様に係るアクセスポイントは、より確実に適切でない端末によるアクセスポイントへの接続による攻撃の被害を抑制することができる。
また、前記所定の条件は、所定の切替時刻の到来である。
これによれば、本発明の一態様に係るアクセスポイントは、タイマの値に応じて、別のアクセスポイントと役割を入れ替えることができる。よって、本発明の一態様に係るアクセスポイントは、効率的に適切でない端末によるアクセスポイントへの接続を抑制することができる。
また、前記所定の条件は、通信に用いるチャネルにおける占有率が所定量以上になる状態である。
これによれば、本発明の一態様に係るアクセスポイントは、通信の混雑具合に応じて、別のアクセスポイントと役割を入れ替えることができる。よって、本発明の一態様に係るアクセスポイントは、より適切なタイミングで、適切でない端末によるアクセスポイントへの接続を抑制し、かつ通信の正常化に寄与することができる。
また、本発明の一態様に係るアクセスポイントは、第1チャネルを使用して無線通信する第1アクセスポイントとともに用いられる第2アクセスポイントであるアクセスポイントであって、前記第1チャネルと異なる第2チャネルでの無線通信を行う通信部と、前記第1アクセスポイントに対しての接続を許可される端末のリストである接続許可リストを記憶する記憶部と、前記接続許可リストに含まれる端末である正規端末が、前記第2チャネルにおいて前記第2アクセスポイントに対する接続を要求した場合に、前記正規端末が無線通信に使用するチャネルを、前記第1チャネルに切り替えるように指示する情報である第3接続切替情報を、前記通信部から前記正規端末に送信させる第3制御をする制御部と、を備える。
これによれば、本発明の一態様に係るアクセスポイントは、正規のアクセスポイントに対する接続を許可されている端末が、自アクセスポイントに対して接続を試みた場合に、アクセスポイントに対する接続を回避し、正規の端末が正規のアクセスポイントに接続するように誘導することができる。
また、前記通信部は、前記第2チャネルにおいて、前記接続許可リストに含まれない端末である非正規端末と無線通信を行い、前記無線通信では、前記非正規端末に、正常な通信データを疑似したダミーデータを送信する。
これによれば、本発明の一態様に係るアクセスポイントは、アクセスポイントに接続した不正な端末に対して、正規のアクセスポイントと通信しているように見せかけることができる。よって、本発明の一態様に係るアクセスポイントは、より確実に適切でない端末によるアクセスポイントへの接続を抑制することができる。
また、本発明の一態様に係る通信システムは、請求項1~9のいずれか1項に記載のアクセスポイントと、請求項10または11に記載のアクセスポイントとを備える。
これによれば、本発明の一態様に係る通信システムは、正規のアクセスポイントに対する接続を許可されていない端末が、正規のアクセスポイントに対して接続を試みた場合に、正規のアクセスポイントに対する接続を回避し、端末が別のアクセスポイントに接続するように誘導することができる。よって、本発明の一態様に係るアクセスポイントは、適切でない端末による正規のアクセスポイントへの接続を抑制することができる。
また、本発明の一態様に係る通信方法は、第2チャネルを使用して無線通信する第2アクセスポイントとともに用いられる第1アクセスポイントが行う通信方法であって、前記第2チャネルと異なる第1チャネルでの無線通信を行う通信ステップと、記憶部に記憶された、前記第1アクセスポイントに対しての接続を許可される端末のリストである接続許可リストに含まれない端末である非正規端末が、前記第1チャネルにおいて前記第1アクセスポイントに対する接続を要求した場合に、前記非正規端末が無線通信に使用するチャネルを、前記第2チャネルに切り替えるように指示する情報である第1接続切替情報を、通信部から前記非正規端末に送信させる第1制御をする制御ステップと、を含む。
これによれば、本発明の一態様に係る通信方法は、アクセスポイントに対する接続を許可されていない端末が、アクセスポイントに対して接続を試みた場合に、アクセスポイントに対する接続を回避し、端末が別のアクセスポイントに接続するように誘導することができる。よって、本発明の一態様に係るアクセスポイントは、適切でない端末によるアクセスポイントへの接続を抑制することができる。
また、本発明の一態様に係る通信方法は、第1チャネルを使用して無線通信する第1アクセスポイントとともに用いられる第2アクセスポイントが行う通信方法であって、前記第1チャネルと異なる第2チャネルでの無線通信を行う通信ステップと、記憶部に記憶された、前記第1アクセスポイントに対しての接続を許可される端末のリストである接続許可リストに含まれる端末である正規端末が、前記第2チャネルにおいて前記第2アクセスポイントに対する接続を要求した場合に、前記正規端末が無線通信に使用するチャネルを、前記第1チャネルに切り替えるように指示する情報である第3接続切替情報を、通信部から前記正規端末に送信させる第3制御をする制御ステップと、を含む。
これによれば、本発明の一態様に係る通信方法は、正規のアクセスポイントに対する接続を許可されている端末が、アクセスポイントに対して接続を試みた場合に、アクセスポイントに対する接続を回避し、端末が正規のアクセスポイントに接続するように誘導することができる。よって、本発明の一態様に係る通信方法は、適切な端末によるアクセスポイントへの接続を抑制し、適切な端末を正規のアクセスポイントに誘導することができる。
なお、本発明は、装置として実現できるだけでなく、その装置を構成する処理手段をステップとする方法として実現したり、それらステップをコンピュータに実行させるプログラムとして実現したり、そのプログラムを記録したコンピュータ読み取り可能なCD-ROMなどの記録媒体として実現したり、そのプログラムを示す情報、データ又は信号として実現したりすることもできる。そして、それらプログラム、情報、データおよび信号は、インターネット等の通信ネットワークを介して配信してもよい。
本発明の一態様に係るアクセスポイント等は、適切でない端末によるアクセスポイントへの接続を抑制することができる。
図1は、実施の形態における通信システムのブロック図である。 図2は、実施の形態における通信システムの概要を示す図である。 図3Aは、実施の形態における通信システムの、非正規端末が第1アクセスポイントに接続を試みた場合の動作例を示すシーケンス図である。 図3Bは、実施の形態における通信システムの、非正規端末が第1アクセスポイントに接続を試みた場合の動作例を示すシーケンス図である。 図4は、実施の形態における第1アクセスポイントの、非正規端末が第1アクセスポイントに接続を試みた場合の動作例を示すフローチャートである。 図5は、接続許可リストの例を示す図である。 図6Aは、実施の形態における通信システムの、正規端末が第2アクセスポイントに接続を試みた場合の動作例を示すシーケンス図である。 図6Bは、実施の形態における通信システムの、正規端末が第2アクセスポイントに接続を試みた場合の動作例を示すシーケンス図である。 図7は、実施の形態における第2アクセスポイントの、正規端末が第2アクセスポイントに接続を試みた場合の動作例を示すフローチャートである。 図8Aは、実施の形態における通信システムの、第1アクセスポイントと第2アクセスポイントとが役割を入れ替えるときの動作例を示すシーケンス図である。 図8Bは、実施の形態における通信システムの、第1アクセスポイントと第2アクセスポイントとが役割を入れ替えるときの動作例を示すシーケンス図である。
以下、実施の形態について、図面を参照しながら具体的に説明する。
以下で説明する実施の形態は、いずれも本発明の好ましい一具体例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置および接続形態、ステップ、ステップの順序などは、一例であり、本発明を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、本発明の最上位概念を示す独立請求項に記載されていない構成要素については、より好ましい形態を構成する任意の構成要素として説明される。なお、同一の構成要素には同一の符号を付し、説明を省略する場合がある。
(実施の形態)
本実施の形態において、適切でない端末によるアクセスポイントへの接続を抑制することができるアクセスポイント等について説明する。
[通信システムの概要]
図1は、実施の形態における通信システム1のブロック図である。
通信システム1は、第1アクセスポイント10と、第2アクセスポイント20とを備える。第1アクセスポイント10は、接続部11、通信部12、記憶部13、および、制御部14を備える。第2アクセスポイント20は、接続部21、通信部22、記憶部23、および、制御部24を備える。
接続部11は、第1ネットワークNに接続する。接続部11は、CPU(Central Processing Unit)とメモリと通信インターフェースとで実現される。接続部11は、第1ネットワークNに関する情報を記憶し、TCP(Transmission Control Protocol)、または、IP(Internet Protocol)といったプロトコルを用いて、第1ネットワークNに対する接続を確立する。接続部11は、Ethernet(登録商標)、IPまたはRS-232C(シリアル通信)などの通信プロトコル、または、独自規格の通信プロトコルで通信可能であってもよい。また、接続部11は、接続部21と有線または無線で接続を確立してもよい。
接続部21は、CPUとメモリと通信インターフェースとで実現される。接続部21は、第2ネットワークM(図示しない)に関する情報を記憶し、TCP、または、IPといったプロトコルを用いて、第2ネットワークMに対する接続を確立してもよい。なお、接続部21は、第2ネットワークMに接続していなくてもよい。接続部21は、Ethernet(登録商標)、IPまたはRS-232C(シリアル通信)などの通信プロトコル、または、独自規格の通信プロトコルで通信可能であってもよい。また、接続部21は、接続部11と有線または無線で接続を確立してもよい。
通信部12は、第1チャネルでの無線通信を行う。ここで、第1チャネルは、第1アクセスポイント10が正規端末30と無線通信を行うチャネルであり、第2アクセスポイント20が非正規端末40と無線通信を行う第2チャネルとは異なるチャネルである。また、正規端末30とは、第1アクセスポイント10または第1ネットワークNに対しての接続を許可される端末である。通信部12は、通信回路で実現される。通信部12は、Wi-Fi(登録商標)などの通信プロトコル、又は、独自規格の通信プロトコルで通信可能な通信回路である。
通信部22は、非正規端末40と第2チャネルでの無線通信を行う。ここで、非正規端末40とは、第1アクセスポイント10に対しての接続を許可されない端末である。通信部22は、通信回路で実現される。通信部22は、Wi-Fi(登録商標)などの通信プロトコル、又は、独自規格の通信プロトコルで通信可能な通信回路である。
記憶部13および記憶部23は、メモリで実現される。記憶部13および記憶部23は、接続許可リストを記憶する。ここで、接続許可リストとは、第1アクセスポイント10に対しての接続を許可される端末である正規端末30のリストである。正規端末30は、複数あってもよい。
制御部14は、図3Aおよび図3Bを用いて説明する形態では、非正規端末40が、第1アクセスポイント10に対する接続を要求した場合に、非正規端末40が使用するチャネルを、第2チャネルに切り替えるように指示する情報である第1接続切替情報を、非正規端末40に対して送信する(第1制御)。また、制御部14は、図8Aを用いて後述する形態においては、第1アクセスポイント10に接続している正規端末30に対して、無線通信に使用するチャネルを第1チャネルから第2チャネルに切り替えるように指示する第2接続切替情報を送信する(第2制御)。第1接続切替情報および第2切替情報は例えば、CSA(Channel Switch Announcement)であってもよいし、独自に定められた、通信チャネルを切り替えるように指示する通信フレームであってもよい。制御部14は、CPUとメモリとで実現される。制御部14は、第1接続切替情報を、非正規端末40に対して、通信部12に送信させてもよく、また、第2接続切替情報を、正規端末30に対して、通信部12に送信させてもよい。
また、制御部24は、図6Aおよび図6Bを用いて説明する形態において正規端末30が、第2アクセスポイント20に対する接続を要求した場合に、正規端末30が使用するチャネルを、第1チャネルに切り替えるように指示する情報である第3接続切替情報を、正規端末30に対して送信する(第3制御)。また、制御部24は、図8Aを用いて後述する形態においては、第2アクセスポイント20に接続している非正規端末40に対して、無線通信に使用するチャネルを第2チャネルから第1チャネルに切り替えるように指示する第4接続切替情報を送信する(第4制御)。第3接続切替情報および第4接続切替情報は例えば、CSAであってもよいし、独自に定められた、通信チャネルを切り替えるように指示する通信フレームであってもよい。制御部24は、CPUと、メモリとで実現される。制御部24は、第3接続切替情報を、正規端末30に対して、通信部22に送信させてもよく、また、第4接続切替情報を、非正規端末40に対して、通信部22に送信させてもよい。
図2は、実施の形態における通信システム1の概要を示す図である。
まず、第1アクセスポイント(第1AP)10は、第1チャネルにおいて、正規端末30と無線通信を行う。そして、第1アクセスポイント10は、第2アクセスポイント(第2AP)20と有線で接続される。例えば、第1アクセスポイント10の接続部11が、第2アクセスポイント20の接続部21と有線で接続されていてもよい。
第1アクセスポイント10の制御部14は、接続部11による接続部21との接続を介して、第2アクセスポイント20の制御部24に、接続許可リスト、および、正規端末30との無線通信に使用される通信プロトコルに関する情報等を送信する。当該送信は、第1アクセスポイント10が動作を開始する前であり、端末がアクセスポイントに接続を試みる前に行われるのが好ましい。また、第1アクセスポイント10の接続部11は、第1ネットワークNと接続し、第1アクセスポイント10と接続した正規端末30は、第1アクセスポイント10を介して、第1ネットワークNに接続する。同様に、第2アクセスポイント20の接続部21は、第2ネットワークMと接続し、第2アクセスポイント20と接続した非正規端末40は、第2アクセスポイント20を介して、第2ネットワークMに接続する。
例えば、第1アクセスポイント10と第2アクセスポイント20とは、それぞれが行う無線通信のエリアがほぼ同一となるような近さで設置される。また、第1アクセスポイント10と第2アクセスポイント20とは、1つの装置内に設置されてもよい。この場合、第1アクセスポイント10と第2アクセスポイント20とは、同一の装置内に搭載された複数の通信モジュールによって実現される。または、第1アクセスポイント10と第2アクセスポイント20とは、別体として実現され、数cm~1mほど離れて設置されてもよい。
そして、第2アクセスポイント20は、第1チャネルとは異なる第2チャネルにおいて、非正規端末40と無線通信する。ここで、正規端末30および非正規端末40は、それぞれ複数あってもよい。
また、第2アクセスポイント20は、1つに限られず、複数備えられていてもよい。第2アクセスポイント20が複数備えられている場合、複数の第2アクセスポイント20のそれぞれは、第1チャネルと異なるチャネルであって、互いに異なるチャネルで、非正規端末40と無線通信を行う。
これにより、第1アクセスポイント10が正規端末30と無線通信を行うチャネル上において、非正規端末40が第1アクセスポイント10に対して繰り返し接続を試行し続けた場合の当該チャネルにおける不要な通信負荷の増加を防止するとともに、正規端末30が無線通信に使用するチャネルを非正規端末40から隠蔽することができる。
[非正規端末が第1アクセスポイントに接続を試みた場合の動作]
次に、非正規端末40が、接続することが許可されていない第1アクセスポイント10に接続を試みた場合の、通信システム1の動作について説明する。図3Aおよび図3Bは、非正規端末40が第1アクセスポイント10に接続を試みた場合の、実施の形態における通信システム1の動作例を示すシーケンス図である。
まず、図3Aに示すように、第1アクセスポイント10が、第1チャネルで動作を開始する(ステップS10)。通信部12は、Wi-Fi(登録商標)などの通信プロトコル、又は、独自規格の通信プロトコルで通信を行う。ここで、第1アクセスポイント10は第1チャネルのみを無線通信に使用し、第2チャネルは使用しない。
次に、第1アクセスポイント10の制御部14は、第2アクセスポイント20に設定情報を送信する(ステップS11)。ここで、設定情報とは、第1アクセスポイント10と同一の通信プロトコルを用いるアクセスポイントとして動作をするための情報である。設定情報は、接続許可リストと、第1アクセスポイントが通信を行うチャネルの情報とを含む。
次に、第2アクセスポイント20が、第2チャネルで動作を開始する(ステップS13)。通信部22は、Wi-Fi(登録商標)などの通信プロトコル、又は、独自規格の通信プロトコルで通信を行う。ここで、第2アクセスポイント20は第2チャネルのみを無線通信に使用し、第1チャネルは使用しない。
次に、第1アクセスポイント10の制御部14は、ビーコンを送信する(ステップS14)。第1アクセスポイント10の制御部14は、ビーコンをブロードキャスト送信してもよい。ここで、ビーコンは、正規端末30および非正規端末40に、第1アクセスポイント10の存在を知らせる情報であってもよい。
続いて、非正規端末40は、スキャンを開始する(ステップS15)。非正規端末40は、非正規端末40の付近に存在するアクセスポイントからのビーコンを受信するための、スキャン動作(信号検知動作)を開始する。このとき、非正規端末40は、第1チャネルでスキャン動作のための通信を開始する。
次に、非正規端末40は、ビーコンを受信する(ステップS16)。非正規端末40は、スキャン動作によって、第1アクセスポイント10の制御部14が送信したビーコンを受信する。ここで、ビーコンには、第1アクセスポイント10と無線通信を行うための情報が含まれていてもよい。
続いて、非正規端末40は、第1アクセスポイント10に対して、プローブリクエストを送信する(ステップS17)。以下、非正規端末40は、ビーコンに含まれる第1アクセスポイント10と無線通信を行うための情報に基づいて、第1アクセスポイント10に対して信号を送信してもよい。
そして、第1アクセスポイント10の通信部12は、プローブリクエストを受信する(ステップS18)。第1アクセスポイント10の通信部12は、プローブリクエストを受信し、記憶部13に格納されている接続許可リストを参照してプローブリクエストを送信してきた端末が非正規端末であると判断する。このとき、第1アクセスポイント10の通信部12は、非正規端末40と無線通信を行うための情報を取得してもよい。
次に、第1アクセスポイント10の制御部14は、通信部12に、非正規端末40に対して、第1接続切替情報を含むプローブレスポンスを送信させる(ステップS19)(第1制御)。
続いて、非正規端末40は、第1接続切替情報を含むプローブレスポンスを受信する(ステップS20)。非正規端末40は、第1アクセスポイント10の制御部14が送信した第1接続切替情報を含むプローブレスポンスを受信する。
次に、非正規端末40は、無線通信を行うチャネルを第2チャネルに切り替える(ステップS21)。非正規端末40は、無線通信を行うチャネルを第1チャネルから第2チャネルに切り替える。
次に、第2アクセスポイント20の制御部24は、通信部22にビーコンを送信させる(ステップS22)。第2アクセスポイントの制御部24は、第2チャネルにおいて、通信部22に、無線通信によって、ビーコンを送信させる。ここで、ビーコンは、ブロードキャスト送信されてもよい。
続いて、非正規端末40は、ビーコンを受信する(ステップS23)。非正規端末40は、第2アクセスポイント20の通信部22から送信されたビーコンを、第2チャネルでの無線通信によって受信する。ここで、ビーコンには、第2アクセスポイント20と無線通信を行うための情報が含まれていてもよい。
次に、非正規端末40は、第2アクセスポイント20に対して、プローブリクエストを送信する(ステップS24)。以下、非正規端末40は、ビーコンに含まれる第2アクセスポイント20と無線通信を行うための情報に基づいて、第2アクセスポイント20に対して信号を送信してもよい。
そして、第2アクセスポイント20の通信部22は、プローブリクエストを受信する(ステップS25)。第2アクセスポイント20の通信部22は、非正規端末40が送信したプローブリクエストを受信する。このとき、第2アクセスポイント20の通信部22は、非正規端末40と無線通信を行うための情報を取得してもよい。
次に、第2アクセスポイント20の制御部24は、通信部22に、非正規端末40に対して、プローブレスポンスを送信させる(ステップS26)。
続いて、非正規端末40は、このプローブレスポンスを受信する(ステップS27)。
次に、非正規端末40は、第2アクセスポイント20に対して、オーセンティケーションを送信する(ステップS28)。
続いて、第2アクセスポイント20の通信部22は、非正規端末40が送信したオーセンティケーションを受信する(ステップS29)。このとき、第2アクセスポイント20の制御部24が、オーセンティケーションを受信したか否かの判断を行ってもよい。
次に、第2アクセスポイント20の制御部24は、通信部22に、非正規端末40に対して、オーセンティケーションを送信させる(ステップS30)。
続いて、非正規端末40は、このオーセンティケーションを受信する(ステップS31)。
次に、図3Bに示されるように、非正規端末40は、第2アクセスポイント20に対して、アソシエーションリクエストを送信する(ステップS32)。
続いて、第2アクセスポイント20の通信部22は、非正規端末40が送信したアソシエーションリクエストを受信する(ステップS33)。このとき、第2アクセスポイント20の制御部24が、アソシエーションリクエストを受信したか否かの判断を行ってもよい。
次に、第2アクセスポイント20の制御部24は、通信部22に、非正規端末40に対して、アソシエーションレスポンスを送信させる(ステップS35)。
続いて、非正規端末40は、このアソシエーションレスポンスを受信する(ステップS36)。
次に、非正規端末40は、第2アクセスポイント20に対して、鍵交換を行う(ステップS37)。非正規端末40は、第2アクセスポイント20に対して、鍵を送信する。このとき、非正規端末40は、第2アクセスポイント20と、4ウェイハンドシェイクによって、鍵交換を行ってもよい。
続いて、第2アクセスポイント20の制御部24は、通信部22に、鍵交換を行わせる(ステップS38)。第2アクセスポイント20の通信部22は、非正規端末40が送信した鍵および鍵交換に関する情報を受信する。このとき、第2アクセスポイント20の制御部24が、鍵および鍵交換に関する情報を受信したか否かの判断を行ってもよい。
以後、非正規端末40は、第2アクセスポイント20との接続を維持する。
第2アクセスポイント20は、非正規端末40との接続を維持している間、第1ネットワークN上のサーバに格納されたデータを模したダミーデータを、非正規端末40に送信してもよい。
[第1アクセスポイントの動作]
次に、第1アクセスポイント10の具体的な動作について説明する。図4は、非正規端末が第1アクセスポイント10に接続を試みた場合の、実施の形態における第1アクセスポイント10の動作例を示すフローチャートである。図4は、図3Aおよび図3Bのうち、第1アクセスポイント10の処理を抽出した図である。
まず、通信部12は、第1チャネルで通信を行う(ステップS41)。通信部12は、制御部14からの指示を受けて、第1チャネルにおいて、無線通信を開始する。このとき、接続部11が、第1のネットワークNに接続してもよい。接続部11は、第1のネットワークNと有線で接続していてもよい。また、接続部11は、第2アクセスポイント20の接続部21と有線で接続していてもよい。
次に、記憶部13は、接続許可リストを記憶する(ステップS42)。制御部14は、接続部11を介して第1のネットワークN上にある装置から接続許可リストを取得してもよいし、通信部12を介して、無線通信によって、通信システム1の外部の機器から接続許可リストを取得してもよい。図5は、接続許可リストの例を示す図である。例えば、接続許可リストは、第1アクセスポイント10に対しての接続を許可される端末(接続許可端末ID)のMAC(Media Access Control)アドレスのリスト、いわゆるホワイトリストである。記憶部13は、接続許可リストの代わりに、接続が許可されない端末のリスト、いわゆるブラックリストを記憶してもよい。なお、接続許可リストの接続許可端末IDは、端末を固有に識別できる識別子であればよい。
再び、図4を参照する。続いて、制御部14は、端末から接続要求を受信する(ステップS43)。
そして、制御部14は、接続許可リストを参照する(ステップS44)。
次に、制御部14は、接続要求を送信した端末が非正規端末か否かを判断する(ステップS45)。
制御部14が、接続要求を送信した端末が非正規端末であると判断した場合は(ステップS45でYes)、第1接続切替情報を送信する(ステップS46)。制御部14は、非正規端末40に通信を行うチャネルを第1チャネルから第2チャネルに切り替えるように指示する第1接続切替情報を、非正規端末40に対して送信する。なお、記憶部13がブラックリストを記憶している場合には、制御部14は、ブラックリストに含まれる端末である非正規端末40に対して、第1接続切替情報を送信する。
一方、制御部14は、接続要求を送信した端末が正規端末であると判断した場合は(ステップS45でNo)、認証接続プロセスを実行する(ステップS47)。つまり、制御部14は、第1接続切替情報を発信することなく、そのまま第1チャネルでの認証接続プロセス(オーセンティケーション、アソシエーション、および、鍵交換処理)に移行する。
[正規端末が第2アクセスポイントに接続を試みた場合の動作]
次に、正規端末30が、第2アクセスポイント20に接続を試みた場合の、通信システム1の動作例について説明する。図6Aおよび図6Bは、正規端末30が第2アクセスポイント20に接続を試みた場合の、実施の形態における通信システム1の動作例を示すシーケンス図である。
まず、図6Aに示されるように、第1アクセスポイント10が、第1チャネルで動作を開始する(ステップS100)。通信部12は、Wi-Fi(登録商標)などの通信プロトコル、又は、独自規格の通信プロトコルで通信を行う。
次に、第1アクセスポイント10の制御部14は、第2アクセスポイント20に設定情報を送信する(ステップS101)。設定情報は、接続許可リストと、第1アクセスポイント10が通信を行うチャネルの情報とを含む。
そして、第2アクセスポイント20が、第2チャネルで動作を開始する(ステップS103)。
次に、第2アクセスポイント20の制御部24は、ビーコンを送信する(ステップS104)。第2アクセスポイント20の制御部24は、ビーコンをブロードキャスト送信してもよい。ここで、ビーコンは、正規端末30および非正規端末40に、第2アクセスポイント20の存在を知らせる情報であってもよい。
続いて、正規端末30は、スキャンを開始する(ステップS105)。正規端末30は、正規端末30の付近に存在するアクセスポイントからのビーコンを受信するための、スキャン動作(信号検知動作)を開始する。このとき、正規端末30は、第2チャネルでスキャン動作のための通信を開始する。
次に、正規端末30は、ビーコンを受信する(ステップS106)。正規端末30は、スキャン動作によって、第2アクセスポイント20の制御部24が送信したビーコンを受信する。ここで、ビーコンには、第2アクセスポイント20と無線通信を行うための情報が含まれていてもよい。
続いて、正規端末30は、第2アクセスポイント20に対して、プローブリクエストを送信する(ステップS107)。以下、正規端末30は、ビーコンに含まれる第2アクセスポイント20と無線通信を行うための情報に基づいて、第2アクセスポイント20に対して信号を送信してもよい。
そして、第2アクセスポイント20の通信部22は、プローブリクエストを受信する(ステップS108)。第2アクセスポイント20の通信部22は、正規端末30が送信したプローブリクエストを受信し、記憶部13に格納されている接続許可リストを参照してプローブリクエストを送信してきた端末が正規端末であると判断する。このとき、第2アクセスポイント20の通信部22は、正規端末30と無線通信を行うための情報を取得してもよい。
次に、第2アクセスポイント20の制御部24は、通信部22に、正規端末30に対して、使用チャネルを第2チャネルから第1チャネルに切り替える第3接続切替情報を含むプローブレスポンスを送信させる(ステップS109)(第3制御)。
続いて、正規端末30は、第3接続切替情報を含むプローブレスポンスを受信する(ステップS110)。正規端末30は、第2アクセスポイント20の制御部24が送信した第3接続切替情報を含むプローブレスポンスを受信する。
次に、正規端末30は、無線通信を行うチャネルを第2チャネルから第1チャネルに切り替える(ステップS111)。
次に、第1アクセスポイント10の制御部14は、第1チャネルにおいて、通信部12にビーコンを送信させる(ステップS112)。ビーコンは、ブロードキャスト送信されてもよい。
続いて、正規端末30は、ビーコンを受信する(ステップS113)。正規端末30は、第1アクセスポイント10の通信部12から送信されたビーコンを、第1チャネルでの無線通信によって、受信する。ここで、ビーコンには、第1アクセスポイント10と無線通信を行うための情報が含まれていてもよい。
次に、正規端末30は、第1アクセスポイント10に対して、プローブリクエストを送信する(ステップS114)。以下、正規端末30は、ビーコンに含まれる第1アクセスポイント10と無線通信を行うための情報に基づいて、第1アクセスポイント10に対して信号を送信してもよい。
そして、第1アクセスポイント10の通信部12は、このプローブリクエストを受信する(ステップS115)。このとき、第1アクセスポイント10の通信部12は、正規端末30と無線通信を行うための情報を取得してもよい。
次に、第1アクセスポイント10の制御部14は、通信部12に、正規端末30に対して、プローブレスポンスを送信させる(ステップS116)。
続いて、正規端末30は、第1アクセスポイント10の制御部14が通信部12に送信させたプローブレスポンスを受信する(ステップS117)。
次に、正規端末30は、第1アクセスポイント10に対して、オーセンティケーションを送信する(ステップS118)。
続いて、第1アクセスポイント10の通信部12は、このオーセンティケーションを受信する(ステップS119)。このとき、第1アクセスポイント10の制御部14が、オーセンティケーションを受信したか否かの判断を行ってもよい。
次に、図6Bに示されるように、第1アクセスポイント10の制御部14は、通信部12に、正規端末30に対して、オーセンティケーションを送信させる(ステップS120)。
続いて、正規端末30は、このオーセンティケーションを受信する(ステップS121)。
次に、正規端末30は、第1アクセスポイント10に対して、アソシエーションリクエストを送信する(ステップS122)。
続いて、第1アクセスポイント10の通信部12は、このアソシエーションリクエストを受信する(ステップS123)。このとき、第1アクセスポイント10の制御部14が、アソシエーションリクエストを受信したか否かの判断を行ってもよい。
次に、第1アクセスポイント10の制御部14は、通信部12に、正規端末30に対して、アソシエーションレスポンスを送信させる(ステップS124)。
続いて、正規端末30は、第1アクセスポイント10の制御部14が通信部12に送信させたアソシエーションレスポンスを受信する(ステップS125)。
次に、正規端末30は、第1アクセスポイント10に対して、鍵交換を行う(ステップS126)。正規端末30は、第1アクセスポイント10に対して、鍵を送信する。このとき、正規端末30は、第1アクセスポイント10と、4ウェイハンドシェイクによって、鍵交換を行ってもよい。
続いて、第1アクセスポイント10の制御部14は、通信部12に、鍵交換を行わせる(ステップS127)。第1アクセスポイント10の通信部12は、正規端末30が送信した鍵および鍵交換に関する情報を受信する。このとき、第1アクセスポイント10の制御部14が、鍵および鍵交換に関する情報を受信したか否かの判断を行ってもよい。
以後、正規端末30は、第1アクセスポイント10との接続を維持する。
[第2アクセスポイントの動作]
次に、図6Aおよ図6Bに示した態様における第2アクセスポイント20の動作についてまとめて説明する。図7は、正規端末30が第2アクセスポイント20に接続を試みた場合の、実施の形態における第2アクセスポイント20の動作例を示すフローチャートである。図7は、図6Aおよび図6Bのうち、第2アクセスポイント20の処理を抽出した図である。
まず、通信部22は、第2チャネルで通信を行う(ステップS130)。通信部22は、制御部24からの指示を受けて、第2チャネルにおいて、無線通信を開始する。このとき、接続部21が、第2のネットワークに接続してもよい。接続部21は、第2のネットワークと有線で接続していてもよい。また、接続部21は、第1アクセスポイント10の接続部11と有線で接続していてもよい。
次に、記憶部23は、接続許可リストを記憶する(ステップS131)。なお、記憶部23は、接続許可リストの代わりに、接続が許可されない端末のリスト、いわゆるブラックリストを記憶してもよい。制御部24は、接続部21を介して第2ネットワーク上にある装置から接続許可リストを取得してもよいし、通信部22を介して、無線通信によって、通信システム1の外部の機器から接続許可リストを取得してもよい。
続いて、制御部24は、端末から接続要求を受信する(ステップS132)。
そして、制御部24は、接続許可リストを参照する(ステップS133)。
次に、制御部24は、接続要求を送信した端末が正規端末か否かを判断する(ステップS134)。
制御部24が、接続要求を送信した端末が正規端末であると判断した場合(ステップS134でYes)、制御部24は、第3接続切替情報を送信する(ステップS135)。なお、記憶部23がブラックリストを記憶している場合には、制御部24は、ブラックリストに含まれない端末である正規端末30に対して、第3接続切替情報を送信する。
一方、制御部24は、接続要求を送信した端末が非正規端末であると判断した場合(ステップS134でNo)、認証接続プロセスを実行する(ステップS136)。つまり、制御部24は、第3接続切替情報を発信することなく、そのまま第2チャネルでの認証接続プロセス(オーセンティケーション、アソシエーション、および鍵交換処理)に移行する。
[第1アクセスポイントと第2アクセスポイントとの入れ替え]
次に、第1アクセスポイント10と第2アクセスポイント20との役割を入れ替える処理について説明する。図8Aおよび図8Bは、第1アクセスポイント10と第2アクセスポイント20とが役割を入れ替えるときの、実施の形態における通信システム1の動作を示すシーケンス図である。
最初に、図8Aを参照しながら、第1アクセスポイント10が第2アクセスポイント20と設定情報を共有したのち、タイマをスタートさせ、このタイマがタイムアウトした以降の、通信システム1の動作について説明する。制御部14は、所定の切替時刻が到来したか否かを判断し、制御部14が所定の切替時刻が到来したと判断した場合、第1制御を停止し、第2制御を動作させる。
まず、第1アクセスポイント10の制御部14は、通信部12に対し、第2アクセスポイントに向けて、役割入れ替え指示を送信させる(ステップS200)。ここで、役割入れ替え指示とは、第2アクセスポイント20に、第3制御を停止した上で、非正規端末に対し第4制御を開始するように指示する情報である。
続いて、第2アクセスポイント20の通信部22は、第1アクセスポイント10の通信部12が送信した役割入れ替え指示を受信する(ステップS201)。なおこれ以降、第1アクセスポイント10は、これから接続を試みようとする正規端末(図示しない)に対しては、第2接続切替情報を含むプローブレスポンスを送信する(第2制御)。また、第2アクセスポイント20は、これから接続を試みようとする非正規端末(図示しない)に対しては、第4接続切替情報を含むプローブレスポンスを送信する(第4制御)。
次に、第1アクセスポイント10は、第2接続切替情報を含むビーコンを送信する(ステップS202)(第2制御)。
続いて、正規端末30は、ビーコンを受信し、当該ビーコンに含まれる第2接続切替情報を取得する(ステップS203)。
次に、正規端末30は、無線通信を行うチャネルを切り替える(ステップS204)。具体的には、正規端末30は、無線通信を行うチャネルを第1チャネルから第2チャネルに切り替える。
これと並行して、第2アクセスポイント20は、第4接続切替情報を含むビーコンを送信する(ステップS205)(第4制御)。
そして、非正規端末40は、ビーコンを受信する(ステップS206)。
続いて、非正規端末40は、無線通信を行うチャネルを切り替える(ステップS207)。具体的には、非正規端末40は、無線通信を行うチャネルを第2チャネルから第1チャネルに切り替える。
次に、第1アクセスポイント10は、第2アクセスポイント20と役割を入れ替える(ステップS208)。すなわち、第1アクセスポイント10は、第1チャネルにおいて、非正規端末40と無線通信を行うこととなる。また、第1アクセスポイント10は、正規端末が接続を試みてきた場合、第2制御を行う。
続いて、第2アクセスポイント20は、第1アクセスポイント10と役割を入れ替える(ステップS209)。すなわち、第2アクセスポイント20は、第2チャネルにおいて、正規端末30と無線通信を行うと共に、第1ネットワークNとの通信を可能にすることとなる。また、第2アクセスポイント20は、非正規端末が接続を試みてきた場合、第4制御を行う。なお、ステップS209とステップS208の順序は問わず、同時並行的に行われてもよい。
次に、第2アクセスポイント20は、正規端末30と接続を確立する(ステップS210)。第2アクセスポイント20は、第2チャネルにおいて、正規端末30と無線接続を開始する。
そして、正規端末30は、第2アクセスポイント20と接続を確立する(ステップS211)。ステップS210と同時に、正規端末30は、第2チャネルにおいて、第2アクセスポイント20と無線接続を開始する。
一方、第1アクセスポイント10は、非正規端末40と接続を確立する(ステップS212)。第1アクセスポイント10は、第1チャネルにおいて、非正規端末40と無線接続を開始する。
そして、非正規端末40は、第1アクセスポイント10と接続を確立する(ステップS213)。ステップS212と同時に、非正規端末40は、第1チャネルにおいて、第1アクセスポイント10と無線接続を開始する。
次に、第2アクセスポイント20は、再びタイマをセットする(ステップS214)。
これにより、第1アクセスポイント10は、所定のタイミングで第2アクセスポイント20と無線通信を行うチャネルを入れ替えることで、無線通信を行っているチャネルを攻撃者に特定されにくくなる。よって、図8Aを用いて説明する形態では、第2アクセスポイント20は、許可されていない端末が第2アクセスポイント20に接続することを抑止できるとともに、第三者によって大量にパケットを送り付けられる攻撃等を回避しやすくなる。
続いて、図8Bについて説明する。図8Bでは、図8Aに示される処理が終了し、第2アクセスポイントが第2チャネルで正規端末と、第1アクセスポイントが第1チャネルで非正規端末とそれぞれ接続している状態において、第2チャネルの占有率が所定量以上に増大したときの、通信システム1の動作例を図示している。なお、チャネルの占有率とは、そのチャネルにおいて、一定レベル以上の電力(例えばノイズ等、第2チャネルにおける通信以外の要因によるチャネルの占有が含まれていてもよい。)が存在している時間の割合を指す。制御部24は、第2チャネルにおける占有率が所定量以上か否かを判断し、制御部24が第2チャネルにおける占有率が所定量以上であると判断した場合、第4制御を停止し、第3制御を開始する。
第2アクセスポイント20は、タイマを解除する(ステップS215)。このタイマは、再び第1アクセスポイントと第2アクセスポイントの役割を入れ替える時刻を制御部24が判断するために、ステップS214でセットされたタイマであるが、第2チャネルの占有率が増大していることを条件として役割を切り替えようとしており、かかる状況下では、もはやタイマは一旦解除されるべきだからである。
続いて、第2アクセスポイント20は、第1アクセスポイント10に役割入れ替え指示を送信する(ステップS216)。
次に、第2アクセスポイント20は、第3接続切替情報を含むビーコン送信する(ステップS217)(第3制御)。
そして、第1アクセスポイント10は、役割入れ替え指示を受信する(ステップS218)。
続いて、正規端末30は、第3接続切替情報が含まれたビーコンを受信する(ステップS219)。
次に、正規端末30は、無線通信を行うチャネルを切り替える(ステップS220)。正規端末30は、無線通信を行うチャネルを第2チャネルから第1チャネルに切り替える。
続いて、第1アクセスポイント10は、第1接続切替情報を含むビーコンを送信する(ステップS221)(第1制御)。
そして、非正規端末40は、第1接続切替情報が含まれたビーコンを受信する(ステップS222)。
続いて、非正規端末40は、無線通信を行うチャネルを第1チャネルから第2チャネルに切り替える(ステップS223)。
次に、第2アクセスポイント20は、第1アクセスポイント10と役割を入れ替える(ステップS224)。第2アクセスポイント20は、第2チャネルにおいて、非正規端末40と無線通信を行う。また、第2アクセスポイント20は、第4制御を停止した上で、第3制御を行う。
続いて、第1アクセスポイント10は、第2アクセスポイント20と役割を入れ替える(ステップS225)。第1アクセスポイント10は、第1チャネルにおいて、正規端末30と無線通信を行うと共に、第1ネットワークNとの通信を可能にすることとなる。また、第1アクセスポイント10は、第2制御を停止した上で、第1制御を行う。なお、ステップS225はステップS224の前に行われてもよい。
次に、第1アクセスポイント10は、正規端末30と接続を確立する(ステップS226)。第1アクセスポイント10は、第1チャネルにおいて、正規端末30と無線接続を開始する。
そして、正規端末30は、第1アクセスポイント10と接続を確立する(ステップS227)。ステップS226と同時に、正規端末30は、第1チャネルにおいて、第1アクセスポイント10と無線接続を開始する。
次に、第2アクセスポイント20は、非正規端末40と接続を確立する(ステップS228)。第2アクセスポイント20は、第2チャネルにおいて、非正規端末40と無線接続を開始する。
そして、非正規端末40は、第2アクセスポイント20と接続を確立する(ステップS229)。ステップS227と同時に、非正規端末40は、第2チャネルにおいて、第2アクセスポイント20と無線接続を開始する。
次に、第1アクセスポイント10は、タイマをセットする(ステップS230)。
これにより、正規端末30が無線通信を行っているチャネルの混雑状況に応じて、無線通信を行うチャネルを入れ替えることで、正規の通信が行われるチャネルの状態を最適に保つことができるとともに、第三者によって大量にパケットを送りつけられる攻撃等を回避しやすくなる。
(効果)
本発明の一態様に係る第1アクセスポイント10は、第1アクセスポイント10に対する接続を許可されていない非正規端末40が、第1アクセスポイント10に対して接続を試みた場合に、第1アクセスポイント10に対する接続を回避し、非正規端末40が第2アクセスポイント20に接続するように誘導することができる。よって、本発明の一態様に係る第1アクセスポイント10は、適切でない端末による第1アクセスポイント10への接続を抑制することができる。
また、本発明の一態様に係る第1アクセスポイント10は、第1アクセスポイント10に対する接続を許可されていない非正規端末40が第1アクセスポイント10に対して接続を試みた場合に、アクセスポイントを切り替えるために、無線通信を確立するための既存の通信フレームを用いることで、第1アクセスポイント10に対する接続を回避し、非正規端末40が別のアクセスポイントに接続するように誘導することができる。よって、本発明の一態様に係る第1アクセスポイント10は、効率的に、適切でない端末による第1アクセスポイント10への接続を抑制することができる。
また、本発明の一態様に係る第1アクセスポイント10は、第2アクセスポイントを、非正規端末40が第1アクセスポイント10と区別することのできないものとして動作させることができる。よって、本発明の一態様に係る第1アクセスポイント10は、より効果的に、非正規端末40による第1アクセスポイント10への接続を抑制することができる。
また、本発明の一態様に係る第1アクセスポイント10は、非正規端末40が第1アクセスポイント10に接続を試みる前に、第1アクセスポイント10と区別することのできない第2アクセスポイント20を動作させることができる。よって、本発明の一態様に係る第1アクセスポイント10は、より効果的に、適切でない端末による第1アクセスポイント10への接続を抑制することができる。
また、本発明の一態様に係る第1アクセスポイント10は、第1アクセスポイント10と同一の通信プロトコルを用いて通信する第2アクセスポイント20を動作させることができる。よって、第1アクセスポイント10は、不正な端末が第1アクセスポイント10に接続を試みる前に、第2アクセスポイントを、第1アクセスポイント10と区別することのできないものとして動作させることができる。よって、本発明の一態様に係る第1アクセスポイント10は、より確実に、適切でない端末による第1アクセスポイント10への接続を抑制することができる。
また、本発明の一態様に係る第1アクセスポイント10は、通信を中継する機器として動作することができる。よって、本発明の一態様に係る第1アクセスポイント10は、より効果的に、適切でない端末による第1アクセスポイント10への接続を抑制することができる。
また、本発明の一態様に係る第1アクセスポイント10は、第2アクセスポイント20と役割を入れ替えることができる。よって、本発明の一態様に係る第1アクセスポイント10は、非正規端末40からの攻撃の被害を抑制することができる。また、本発明の一態様に係る第1アクセスポイント10は、より確実に非正規端末40による第1アクセスポイント10への接続を抑制することができる。
また、本発明の一態様に係る第1アクセスポイント10は、タイマの値に応じて、別のアクセスポイントと役割を入れ替えることができる。よって、本発明の一態様に係る第1アクセスポイント10は、効率的に非正規端末40による第1アクセスポイント10への接続を抑制することができる。
また、本発明の一態様に係る第1アクセスポイント10は、チャネルの混雑具合に応じて、第2アクセスポイント20と役割を入れ替えることができる。よって、本発明の一態様に係る第1アクセスポイント10は、より適切なタイミングで、非正規端末40による第1アクセスポイント10への接続を抑制し、かつ通信の正常化に寄与することができる。
また、本発明の一態様に係る第2アクセスポイント20は、第1アクセスポイント10に対する接続を許可されている正規端末30が、第2アクセスポイント20に対して接続を試みた場合に、第2アクセスポイント20に対する接続を回避し、正規端末30が第1アクセスポイント10に接続するように誘導することができる。
また、本発明の一態様に係る第2アクセスポイント20は、第2アクセスポイント20に接続した非正規端末40に対して、第1アクセスポイント10と通信しているように見せかけることができる。よって、本発明の一態様に係る第2アクセスポイント20は、より確実に非正規端末40による第1アクセスポイント10への接続を抑制することができる。
また、本発明の一態様に係る通信システムは、第1アクセスポイント10に対する接続を許可されていない非正規端末40が、第1アクセスポイント10に対して接続を試みた場合に、第1アクセスポイント10に対する接続を回避し、非正規端末40が第2アクセスポイント20に接続するように誘導することができる。よって、本発明の一態様に係る第1アクセスポイント10は、非正規端末40による第1アクセスポイント10への接続を抑制することができる。
また、本発明の一態様に係る通信方法は、第1アクセスポイント10に対する接続を許可されていない非正規端末40が、第1アクセスポイント10に対して接続を試みた場合に、第1アクセスポイント10に対する接続を回避し、非正規端末40が第2アクセスポイント20に接続するように誘導することができる。よって、本発明の一態様に係る第1アクセスポイント10は、非正規端末40による第1アクセスポイント10への接続を抑制することができる。
また、本発明の一態様に係る通信方法は、第1アクセスポイント10に対する接続を許可されている正規端末30が、第2アクセスポイント20に対して接続を試みた場合に、第2アクセスポイント20に対する接続を回避し、正規端末30が第1アクセスポイント10に接続するように誘導することができる。よって、本発明の一態様に係る通信方法は、正規端末30による第2アクセスポイント20への接続を抑制し、正規端末30を第1アクセスポイント10に誘導することができる。
以上、本発明の第1アクセスポイント10等について、実施の形態に基づいて説明したが、本発明は、この実施の形態に限定されるものではない。本発明の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、本発明の範囲内に含まれる。
本発明は、社内ネットワーク等の限定された端末に接続を許可することでセキュリティ性を確保するネットワークにおける通信に適用されうる。
1 通信システム
10 第1アクセスポイント
11 接続部
12 通信部
13 記憶部
14 制御部
20 第2アクセスポイント
21 接続部
22 通信部
23 記憶部
24 制御部
30 正規端末
40 非正規端末
N 第1ネットワーク

Claims (14)

  1. 第2チャネルを使用して無線通信する第2アクセスポイントとともに用いられる第1アクセスポイントであるアクセスポイントであって、
    前記第2チャネルと異なる第1チャネルでの無線通信を行う通信部と、
    前記第1アクセスポイントに対しての接続を許可される端末のリストである接続許可リストを記憶する記憶部と、
    前記接続許可リストに含まれない端末である非正規端末が、前記第1チャネルにおいて前記第1アクセスポイントに対する接続を要求した場合に、前記非正規端末が無線通信に使用するチャネルを、前記第2チャネルに切り替えるように指示する情報である第1接続切替情報を、前記通信部から前記非正規端末に送信させる第1制御をする制御部と、を備える、
    アクセスポイント。
  2. 前記制御部は、無線通信を確立するためのフレームに、前記第1接続切替情報を含めて、送信させる、
    請求項1に記載のアクセスポイント。
  3. 前記制御部は、
    前記接続許可リストと、前記第1アクセスポイントが通信を行うチャネルの情報とを含む設定情報を前記第2アクセスポイントに送信する、
    請求項1または2に記載のアクセスポイント。
  4. 前記制御部は、前記設定情報を、前記非正規端末による前記接続の要求より前に前記第2アクセスポイントに送信する、
    請求項3に記載のアクセスポイント。
  5. 前記設定情報は、さらに、前記第1アクセスポイントが用いる通信プロトコルを示す情報を含む、
    請求項3または4に記載のアクセスポイント。
  6. さらに、
    第1ネットワークに接続する接続部を備え、
    前記第1ネットワーク上の機器と、前記通信部が無線通信を行っている端末との通信を中継する、
    請求項1~5のいずれか1項に記載のアクセスポイント。
  7. 前記通信部は、前記第1アクセスポイントに接続している端末が無線通信に使用するチャネルを前記第2チャネルに切り替えるように指示する情報である第2接続切替情報を送信し、
    前記制御部は、
    所定の条件であると判断した場合に前記第1制御を停止し、かつ、
    前記接続許可リストに含まれる正規端末が、前記第1チャネルにおいて前記第1アクセスポイントに対する接続を要求した場合に、前記正規端末が無線通信に使用するチャネルを、前記第2チャネルに切り替えるように指示する情報である第2接続切替情報を、前記通信部から前記正規端末に送信させる第2制御を開始する、
    請求項1~6のいずれか1項に記載のアクセスポイント。
  8. 前記所定の条件は、所定の切替時刻の到来である
    請求項7に記載のアクセスポイント。
  9. 前記所定の条件は、通信に用いるチャネルにおける占有率が所定量以上になる状態である、
    請求項7に記載のアクセスポイント。
  10. 第1チャネルを使用して無線通信する第1アクセスポイントとともに用いられる第2アクセスポイントであるアクセスポイントであって
    前記第1アクセスポイントに対しての接続を許可される端末のリストである接続許可リストを記憶する記憶部と、
    前記第1チャネルと異なる第2チャネルにおいて、前記接続許可リストに含まれない端末である非正規端末と無線通信を行う通信部と、
    前記接続許可リストに含まれる端末である正規端末が、前記第2チャネルにおいて前記第2アクセスポイントに対する接続を要求した場合に、前記正規端末が無線通信に使用するチャネルを、前記第1チャネルに切り替えるように指示する情報である第3接続切替情報を、前記通信部から前記正規端末に送信させる第3制御をする制御部と、を備える、
    アクセスポイント。
  11. 前記無線通信では、前記非正規端末に、正常な通信データを疑似したダミーデータを送信する、
    請求項10に記載のアクセスポイント。
  12. 請求項1~9のいずれか1項に記載のアクセスポイントと、請求項10または11に記載のアクセスポイントとを備える、
    通信システム。
  13. 第2チャネルを使用して無線通信する第2アクセスポイントとともに用いられる第1アクセスポイントが行う通信方法であって、
    前記第2チャネルと異なる第1チャネルでの無線通信を行う通信ステップと、
    記憶部に記憶された、前記第1アクセスポイントに対しての接続を許可される端末のリストである接続許可リストに含まれない端末である非正規端末が、前記第1チャネルにおいて前記第1アクセスポイントに対する接続を要求した場合に、前記非正規端末が無線通信に使用するチャネルを、前記第2チャネルに切り替えるように指示する情報である第1接続切替情報を、通信部から前記非正規端末に送信させる第1制御をする制御ステップと、を含む、
    通信方法。
  14. 第1チャネルを使用して無線通信する第1アクセスポイントとともに用いられる第2アクセスポイントが行う通信方法であって、
    記憶部に記憶された、前記第1アクセスポイントに対しての接続を許可される端末のリストである接続許可リストに含まれない端末である非正規端末と、前記第1チャネルと異なる第2チャネルでの無線通信を行う通信ステップと、
    前記接続許可リストに含まれる端末である正規端末が、前記第2チャネルにおいて前記第2アクセスポイントに対する接続を要求した場合に、前記正規端末が無線通信に使用するチャネルを、前記第1チャネルに切り替えるように指示する情報である第3接続切替情報を、通信部から前記正規端末に送信させる第3制御をする制御ステップと、を含む、
    通信方法。
JP2021118923A 2021-07-19 2021-07-19 アクセスポイント、通信システム、および、通信方法 Active JP7473972B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021118923A JP7473972B2 (ja) 2021-07-19 2021-07-19 アクセスポイント、通信システム、および、通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021118923A JP7473972B2 (ja) 2021-07-19 2021-07-19 アクセスポイント、通信システム、および、通信方法

Publications (2)

Publication Number Publication Date
JP2023014770A JP2023014770A (ja) 2023-01-31
JP7473972B2 true JP7473972B2 (ja) 2024-04-24

Family

ID=85130468

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021118923A Active JP7473972B2 (ja) 2021-07-19 2021-07-19 アクセスポイント、通信システム、および、通信方法

Country Status (1)

Country Link
JP (1) JP7473972B2 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012222761A (ja) 2011-04-14 2012-11-12 Fujitsu Semiconductor Ltd 無線通信装置及び無線通信方法
JP2015088782A (ja) 2013-10-28 2015-05-07 サイレックス・テクノロジー株式会社 無線通信システム、無線通信システムの制御方法、プログラム、及び無線基地局装置
WO2019167132A1 (ja) 2018-02-27 2019-09-06 Necプラットフォームズ株式会社 無線通信装置、無線lanルータ、不正アクセス防止方法、及び無線通信システム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012222761A (ja) 2011-04-14 2012-11-12 Fujitsu Semiconductor Ltd 無線通信装置及び無線通信方法
JP2015088782A (ja) 2013-10-28 2015-05-07 サイレックス・テクノロジー株式会社 無線通信システム、無線通信システムの制御方法、プログラム、及び無線基地局装置
WO2019167132A1 (ja) 2018-02-27 2019-09-06 Necプラットフォームズ株式会社 無線通信装置、無線lanルータ、不正アクセス防止方法、及び無線通信システム

Also Published As

Publication number Publication date
JP2023014770A (ja) 2023-01-31

Similar Documents

Publication Publication Date Title
JP4764108B2 (ja) 無線端末、管理装置、無線lanの制御方法、無線lanシステム
JP3824274B2 (ja) 不正接続検知システム及び不正接続検知方法
KR101262405B1 (ko) 인증되지 않은 이동 액세스 네트워크 또는 일반적인 액세스 네트워크에서 보안을 제공하는 방법, 시스템 및 장치
US7536723B1 (en) Automated method and system for monitoring local area computer networks for unauthorized wireless access
US20090235077A1 (en) Network infrastructure validation of network management frames
EP2234453A1 (en) Wireless communication terminal and wireless communication method
JP2002359623A (ja) 無線通信設定方法、通信端末、アクセスポイント端末、記録媒体およびプログラム
CN101632283A (zh) 移动接入终端安全功能
WO2004023730A2 (en) System and method for remotely monitoring wirless networks
WO2006026099A2 (en) An automated sniffer apparatus and method for wireless local area network security
JP2023517107A (ja) 無線侵入防止システム、これを含む無線ネットワークシステム、及び無線ネットワークシステムの作動方法
CN101595694B (zh) 用于无线网络的入侵预防系统
WO2014114099A1 (zh) 无线局域网防范非法接入点的方法及系统
EP2826304B1 (en) Method and system for preventing the propagation of ad -hoc networks
JP7079994B1 (ja) Wipsセンサ及びwipsセンサを用いた不正無線端末の侵入遮断方法
US8145131B2 (en) Wireless ad hoc network security
KR20060088409A (ko) 근거리 무선통신단말의 네트워크 접근방법 및 그네트워크시스템
JP2008158903A (ja) 認証システム、および主端末
KR100778558B1 (ko) 단말 장치와 동작중인 이동 무선 네트워크 간의 접속을 셋업하기 위한 방법 및 상기 방법에 사용되는 이동 무선 네트워크 및 단말 장치
CN100428721C (zh) 无线局域网中链路连接的切断方法及接入点装置
JP3865317B2 (ja) 無線lan端末の無線lanへの参加制御方法および無線lan基地局装置並びに無線lan端末装置
JP7473972B2 (ja) アクセスポイント、通信システム、および、通信方法
CN111669753A (zh) 一种wlan网络连接方法及电子设备
EP4106376A1 (en) A method and system for authenticating a base station
KR101940722B1 (ko) 개방형 와이파이 존에서 사용자 단말기를 위한 통신 보안 제공 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231124

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20231124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240307

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240402

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240405

R150 Certificate of patent or registration of utility model

Ref document number: 7473972

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150