1313997 九、發明說明: ' 【發明所屬之技術領域】 本發明係關於一種在和無線區域網路(L 〇 c a 1 A r e a Network,LAN ’以下簡稱l AN)實行無線通信之際,可以 遂行提闻女全性設疋之技術。 【先前技術】 以無線LAN作通信,因不受物理性配線之限制的便利 ' 性,近年來已漸普及。但是,由於可作無線之通信,即可 β 用無線方式對網路嚐試作不當的侵入,故指出了必須對該 不當侵入有所防止。於是,即有各種安全性技術之開發。 而在所揭示之各種安全性技術中,在藉由無線通信實行此 種設定之狀況上’最好是在爲了遂行該種設定之無線通信 中亦可確保安全性,而用於確保該種安全性之技術亦爲已 知(例如’特開2 0 0 5 - 1 4 2 9 0 7號公報,請參照)。 如上述’先前雖開發有各種的安全性技術,但在實際 上,要確保完全的安全性仍極困難,故盼望可進一步地確 鲁保比平常更強固的安全性。例如,如上述,在爲了實行安 全性設定之無線通信中’期望確保安全性之狀況上,倘可 完全防止第三者之不當侵入,即可確保更強固的安全性。 【發明內容】 因此,本發明之目的係解決上述之問題,在以無線通 信實施遂行安全性之際,可確保該安全性。 爲了解決上述問題’本發明係在存取點(access p〇int: 中’採用了可完全防止第三者在無線LAN終端機側不當侵 1313997 入之構成。亦即’其構成係在存取點中接受安全性設定處 理之開始指7K ’基於該開始指示方開始安全性設定,而在 形成該開始指示前’如接收了來自無線LAN終端機所傳送 之開始指不資料時’不實行安全性設定處理。在形成該開 始指示前’倘未接收來自無線LAN終端機所送信之開始指 示資料時’則實行安全性處理。 結果’在存取點中未形成安全性設定處理之開始指示 前’僅在未接收來自該無線LAN終端機所傳送之開始指示 資料時’方實行安全性設定處理。亦即’在存取點中,係 在存取點本身所具有的存取點側開始指示接受單元接受開 始指示’且在存取點側無線通信單元正接收由無線LAN終 端機所傳送之開始指示資料之狀況時,遂行安全性設定處 理。 亦即’於存取點及無線LAN終端機中,爲了藉由無線 通信實行安全性設定,存取點側本身係藉由存取點側開始 指示接受單元辨識所有進入安全性設定模式,此外,無線 LAN終端機則爲了辨認安全性設定模式,乃須接收開始指 示資料。因之,該開始指示資料接收單元之構成係用以接 收開始指示資料,並未設有任何限制,僅是單純地遂行開 始指示資料的接收等待處理’隨著該接收而實施安全性設 定處理時’第三者恐將不當侵入。 具體而言’不當侵入之第三者欲對存取點並不知曉存 取點中已形成了安全性設定處理之開始指示。但是,倘第 二者僞裝成無線LAN終端機並恒常性持續傳送不當的開始 -6- 1313997 指示資料時,則在存取點中形成安全性設定處理之開 示時點’基於該不當開始指示資料而開始和第三者之 終端機作安全性設定處理。 因而,在本發明中’於存取點側開始指示接受單 ,在接受該開始指示之前既已接收該開始指示資料時 不實行安全性設定處理。其結果,即使存在有如上述 者把恒常性、不當之開始指示資料進行傳送之狀況, 會基於該不當之開始指示資料而開始安全性設定處理 # 可防止第三者之不當侵入。 又,在存取點中係藉無線通信實行安全性設定。 此種安全性設定處理者,於存取點和無線LAN終端機 線通信中,倘可施行爲了確保安全性之設定當爲最佳 實行各種的處理。例如,按照無線LAN之規約施行存 及無線LAN終端機之無線通信;把用以實行無線通信 全性設定所須的資訊進行收發,存取點及無線LAN終 兩者均基於該資訊而遂行設定;等之構成均可採用。 ^ 因此,爲了施行安全性設定所須之資訊,係含有 :爲了實行各無線LAN終端機之認證的資訊;或爲了 送內容加密化之加密鍵、或利用之加密化方式等,爲 高安全性設定所必須要的一切資訊。當然,作爲加密 式者,可採用 WEP(Wired Equivalent Privacy)、WPA-(TKIP)、WPA-PSK(AES)等各種之方式。又,將該資訊 之際,亦可利用公知之加密化方式把資訊加密化。 再者,亦可和該安全性設定處理同時地實行用以 始指 LAN 元上 ,並 Α-/Τ»--* 弟二 並不 。故 作爲 之無 ,可 取點 之安 端機 例如 令傳 了提 之方 PSK 傳送 遂行 1313997 _ 無線通信設定。亦即’在存取點或無線LAN終端機中,存 在有可利用對應於複數規格之頻帶、藉由複數個頻道而可 資料收發的機器,故把表示用以實行無線通信之頻帶、或 頻道等的資訊互作收發;或是’由一方對他方傳送,使用 共同之頻帶或頻道等方式作設定亦可。 於存取點側無線通信中,倘可和無線LAN終端機以無 線方式實行通信者最佳,可採用各種的構成。例如,可採 _ 用:依照所定的規約收發無線信號之裝置的構成等。於存 Φ 取點側開始接受單元中,係含有:最好是可接受該安全性 設定處理之開始指示,藉按壓按鈕之操作施行開始指示之 構成等,可實行開始指示等之所有的輸入裝置。又,在被 連接至存取點之電腦中,亦可藉該輸入裝置(滑鼠或鍵盤) 遂行開始指示,以上之構成均可採用。 在開始指示資料接受單元中,倘可藉由該存取點側無 線通信單元接收開始指示資料者爲宜。因此,參照該存取 點側無線通信單元即接收到的資料,辨識開始指示資料’ # 因而可取得該內容,例如,可採用:在開始指示資料之封 包標頭(packet header)或在有效負載(Pay load)處附加存置 以表示該資料爲開始指示資料並予以辨識的構成。當然’ 該開始指示資料可採用遵照各種通信規約之形式。又,該 有效負載上可含任意的資料,亦可將該安全性設定處理上 所需的資料或用以施行無線通信之設定上所需的資料在該 有效負載處作收發。 在存取點側安全性設定單元,係要施行該安全性設定 1313997 處理,而在實施該安全性設定處理前,倘司_業寸 於該安全性設定處理作判斷自屬較佳。本^曰月 斷之際,在藉存取點側開始指示接受單元之胃 在無線LAN終端機既已傳送來開始指示資料時 全性設定處理。因此,倘可判別至少藉無線通 封包部(P a c k e t)是否爲開始指不資料,將§亥接收^ 存取點側開始指不接受單兀之開始指示之時門 則爲較佳。 此外’存取點中亦可採用用以提高安全性 爲此構成例,可採用:不使存取點側無線通信 以表示正施行該安全性設定處理之資料(含表 全性設疋處理之狀態的資料)之構成。亦即,在 點中’有採用將用以表示本身係遂行安全性之 或是爲可實行狀態中的各種信號(例如,用以辨 置用的標識(beacon)信號等)予以傳送等之構成 在此種方式之構成中,第三者可藉由監招 intercepting)該各種信號而掌握存取點可進行 之狀態。但是,本發明中,並不自存取點輸出 ,而僅是等待來自該無線LAN終端機之開始指 因此,第三者無法掌握存取點可施行安全性設 態,因而提高了安全性。 又,爲了提高安全性,也可構成爲,在可 道實行無線通信之存取點中,僅利用特定之頻 始指示資料之接收、及在安全性設定處理中實 是否應移行 中,作此判 始指示前’ ’不遂行安 信所接受之 時間點與依 點作比較, 之構成。作 單元輸出用 示可實行安 先前的存取 設定處理、 識自己之位 〇 Ί (monitor ; 安全性設定 該各種信號 丨示資料者。 定處理之狀 藉複數個頻 道進行該開 行通信。依 -9- 1313997 此’僅利用特定頻道時,乍看,似可容易監控通信,但藉 由和本發明之構成相組合時,實際上可確保極高的安全性 〇 更具體而言’於藉由複數個頻道可實施無線通信之通 信系統中,在最初實施通信之際,係實行頻道掃瞄者,例 如’無線L AN終端機如採用在最初之通信之前要遂行頻道 掃瞄之構成時,存取點本身係於使用中之特定的頻道中, ' 非對該頻道掃瞄實行應答不可。此種方式之構成中,在第 • 二者監控存取點之應答時,倘在該應答終了前遂行妨害, 則無線LAN終端機中之頻道掃瞄並未終止,仍繼續掃瞄。 另一方面’倘第三者使用不正當之無線LAN終端機對 存取點之應答進行僞裝,並遂行之後的安全性設定處理時 ,即可完成不正當無線LAN終端機與存取點之無線通信的 設定。但是,如上述以複數個頻道可作通信之構成中,倘 爲藉特定之頻道實行安全性設定之構成時,因不須進行頻 道掃瞄,故可防止上述之不當行爲。 ® 又,在上述實行頻道掃瞄之構成中’一般而言’係依 預先決定之順序施行掃瞄。因此’在第三者既監控被實施 中的頻道掃瞄時,第三者將會把較後順序之頻道作爲起始 頻道而實施頻道掃瞄因而可能暗中搶先了掃瞄’其結果, 係會有存取點響應第三者之掃瞄的情況。在此狀況下’雖 仍有僞裝之可能性。倘依本發明之構成’由於係藉特定頻 道遂行安全性設定,因不須實行頻道掃猫’故可防止上述 僞裝之行爲。 -10- 1313997 本發明中,爲提高在存取點及無線LAN終端機實行安 全性設疋之際的安全性,不僅是在存取點側有提高安全性 之構成,並可在無線LAN終端機側提高安全性。亦即,爲 了要基於該開始指示資料於存取點開始安全性設定處理, 並以無線通信遂行安全性設定,係在開始安全性設定處理 之際由存取點傳送允許開始資料。 在無線LAN終端機側,係藉由接收該允許開始資料而 '開始安全性設定處理,於是,在正接收複數個允許開始之 • 資料時,並不開始作安全性設定處理。因此’即使第三者 僞裝成存取點而傳送了用以無線L AN終端機進行安全性設 疋處理之允許開始資料,也因爲會在無線L AN終端機側造 成中止安全性設定處理,故其僞裝必將失敗’而可提高安 全性。 又’在無線LAN終端機中’亦係和該存取點同樣的以 無線通信施行安全性設定處理。作爲該安全性設定處理者 ,在存取點與無線LAN終端機之無線通信中’倘係施行爲 φ 了確保安全性之設定自屬最佳。可施行上述種種之處理。 當然,在無線LAN終端機中,也可以是在進行安全性設定 處理的同時’執行用以進行無線通信之設定。 於終端機側無線通信單元中,倘係以無線方式和存取 點作通信爲佳,可採用和該存取點側無線通信單元相同的 各種構成。終端機側開始栺示接受單元中,亦和該存取點 側開始指不接受單兀同樣地,以可接受該安全性設定處理 之開始指示爲佳。因此,包含藉按鈕之按壓操作以實行開 始指示之構成等、可遂行開始指示之所有的輸入裝置。當 1313997 然,亦可採用連接於無線LAN終端機之輸入裝置(滑鼠、 ' 鍵盤等)來施行開始指示之各種的構成。 在開始指示資料傳送單元中,倘可藉由該終端機側無 線通信單元傳送開始指示資料者爲佳。因此,乃生成用以 表示開始指示資料之資料而在該終端機側無線通信單元傳 送。例如,將表示開始指示資料之資料附加於開始指示資 料之封包標頭或有效負載處以作爲開始指示資料。當然’ ' 5亥開始指不資料可採用遵照各種通信規約的形式。又’該 • 有效負載可含任意的資料,在該安全性設定處理上,可將 上述安全設定處理所須資料或用以遂行無線通信之設定所 須之資料於該有效負載處作收發。 在允許開始資料接收單元中,倘藉該終端機側無線通 信單元接收存取點所傳送之允許開始資料爲最佳。因此’ 乃參照在該終端機側無線通信單元中所接收之資料’辨識 允許開始資料並取得其內容。例如,可採用:把用以該資 料爲允許開始資料之資料附加於允許開始資料之封包標頭 ^ 或有效負載上、而對此一資料作辨識之構成。當然’該允 許開始資料可採用遵照各種通信規約的型式。又,該有效 負載可含任意的資料,可將該安全性設定處理所須之資料 或將用以實行無線通信所須之資料於該有效負載處作收發 〇 在終端機側安全性設定單元中,施行該安全性設定處 理係在實施該安全性設定處理前,最好是判斷是否移行於 該安全性設定處理。本發明中,作此判斷之際’係判斷允 -12- 1313997 許開始資料之數目,而在接收了複數個允許開始資料(來自 複數個無線LAN終端機所傳送之允許開始資料)的狀況下_ ,最好不施行安全性設定處理。故可判別至少藉無,線通信 所接收的封包(P a c k e t)是否爲允許開始資料並辨識其數目。 當然,爲了判斷允許開始資料是否爲複數個,乃事先 定義用以接收允許開始資料之等待處理用的時間間隔,倘 採用在該時間間隔內判別是否既接收複數個允許開始資料 的構成者爲佳。又’其構成係爲,在經過該時間間隔後, 即使接收到允許開始資料,對該允許開始資料亦不實行安 全性設定處理。 如上述,在本發明中,於存取點與無線LAN終端機兩 者中之一者或兩者中,均可提高安全性以防止第三者之不 正當侵入行爲。此等機器因係以無線通信作安全性設定處 理,故該無線通信中也可提高安全性者爲佳;因此,也可 採用由無線LAN終端機傳送開始指示資料,而連同該開始 指示資料一起將公開鍵傳送,之後再利用公開鍵遂行加密 化之通信的構成。
亦即,在本發明中,爲遂行安全性設定處理,因爲要 傳送開始指示資料,所以有必要在安全性設定前之狀態下 傳送開始指示資料。因此,就該開始指示資料而言,係不 進行加密化而實行送信。但是,在傳送該開始指示資料之 際,傳送公開鍵,之後,接收依公開鍵加密化後之資料’ 以組合秘密鍵作解讀’倘爲該種之構成時,可確保無線LAN -13- 1313997 終端機接受資料之隱匿性’因而可提高安全性。當然,該 存取點側,係基於表示該公開鍵之資料而把該允許開始資 料予以加密化者。 此外,在利用上述公開鍵之構成中’用以表示該公開 鍵之資料,係以在每實行安全性設定處理時設定唯一的公 開鍵。作爲此種構成者,在無線LAN終端機中,倘用:每 當藉該終端機側開始接受單元受理該安全性設定處理的開 始指示時,生成用以表示不同公開鍵之資料並加以傳送之 構成爲佳。 用以生成單元公開鍵之構成係可採用各式各樣,以採 用:在每藉該終端機側開始指示接受單元接受該安全性設 定處理之開始指示時生成亂數,基於此種亂數而生成公開 鍵的構成爲最佳。當然,針對該公開鍵所組合之秘密鍵係 在該公開鍵生成之際生成。倘爲以上之構成時,公開鍵洩 漏於第三者之危險性極小。 又’在藉由該存取點生成允許開始資料,以對無線LAN 終端機進行傳送之構成中,亦可採用連同該允許開始資料 一起生成公開鍵並對無線LAN終端機傳送的構成。亦即, 倘無線終端機接收該公開鍵時,嗣後,可將無線LAN終端 機輸出之資料加密化,因而提高了安全性。 又’把該允許開始資料及表示公開鍵之資料由存取點 對無線LAN終端機傳送之際,可由該無線LAN終端機對 存取點藉由和該開始指示資料同時預先傳送之公開鍵遂行 加e、化。倘依此種加密化,可將來自存取點之允許開始資 -14- 1313997 料或公開鍵加密化,由存取點所傳送之資料洩漏於第三者 ' 之危險性將甚微。 此外,在本發明中,因爲要實行用以進行安全性之設 定的無線通信,故最好是在進行通信之際遂行加密化。具 體而言,在藉由無線LAN終端機之終端機側無線通信單元 對該存取點側要求在安全性設定上所需的資料,基於其應 答而遂行安全性設定之構成中,亦可爲在每當有該要求時 _ ,把對應該要求之應答予以加密化用的公開鍵(應答用公開 • 鍵資料)予以傳送的構成。 此種構成中,因爲可用不同的公開鍵將所有的應答予 以加密化,故資訊洩漏之可能性極小,且第三者對加密予 以解讀之可能性亦極小。當然,也可以是在實行上述要求 之際’利用來自存取點所預先傳送之公開鍵將該要求加密 化。又’亦可爲每當對該要求作應答時,於存取點中生成 不同的公開鍵並將此一公開鍵連同應答一起傳送。 倘依該種構成,因爲可藉不同的公開鍵將所有的要求 ^ 加密化’故資訊洩漏之可能性極小,而且,第三者對加密 予以解碼之可能性亦極小。再者,如上述,藉由公開鍵與 秘密鍵遂行加密化之構成,不僅可提高資訊之隱匿性,並 可確認傳送者是否爲真正的傳送者,因而可使不當侵入之 危險性極小。 此外’爲了提高安全性,在可藉複數個頻道實行無線 通信之無線LAN終端機中,其構成亦可爲:僅利用特定之 頻道進行該開始指示資料之傳送、允許開始資料之接收及 -15- 1313997 在安全性設定處理中之通信等之構成。如此,僅利用特定 ' 之頻道時,乍看之下,或許認爲通信變得易於監控,但藉 由和本發明之構成相組合,實際上係可確保極高的安全性 。具體而言,如上述’在可藉由複數個頻道實行無線通信 之通信系統中,於實施最初的通信之際,因不須施行頻道 掃瞄,故可防止上述不當侵入之行爲。 以上之發明不僅爲裝置,亦可用方法實現,此外,亦 • 可利用程式實現由該裝置所施行之處理。又,本發明之裝 # 置、方法、程式可單獨實施,亦是可在組入於機器內之狀 態下連同其他的裝置、方法、程式一起實施,本發明之思 想並無限制,可含有各種實施方式且可作適當之變更。 此外,可提供記錄本發明之程式的記錄媒體。此種程 式之記錄媒體可爲磁性記錄媒體,亦可爲光磁性記錄媒體 ,今後開發成之記錄媒體亦全作相同考量。再者,如其實 現爲一部分軟體、一部分爲硬體時,亦與本發明之思想無 異,亦可爲把一部分記憶於記錄媒體因應需求而適當讀入 • 之形態。又’並非一定要把全部的機能以單獨的程式實現 ,最好是以複數個程式實現。此一狀況,倘爲使複數個電 腦實現各機能者較佳。 【實施方式】 爲了進一步說明以上所述之本發明的構成與作用,乃 舉示以下之實施例依次加以說明。 A .第1實施例(安全性設定處理系統L Η 1 ) A-1 :安全性設定處理系統LH 1之槪要 -16- 1313997 A-2 :安全性設定處理 ' B ·變形例 A ·第1實施例 A-1 :安全性設定處理系統LH1之槪要: 第1圖爲本發明之第1實施例,係實現安全性 理系統LH1之硬體構成說明圖,第2圖爲存取點之 明圖,第3圖爲無線LAN終端機之構成說明圖。安 - 定處理系統L Η 1含有無線L A N終端機5 0、6 0、7 0 修 點2 0 ’安全性設定處理終了後,兩者係使用共同白. 鍵’一邊確保安全性一邊在無線通信區域AR 1內實 通信。 如第1圖所示,在無線通信區域A R1中,設置 L A N之中繼器的存取點(無線基地台)2 〇。存取點2 0 圖所示,具有C P U 1 1 ;和C P U 1 1以匯流排枏互連接. 1 2 ; R Α Μ 1 3 ;作爲網路介面之W A N淖1 7 ;和有線 接用之L A N埠2 2 ;無線介面1 8 ;顯示控制器1 5 ; φ 入輸出控制器1 6等的構成。 R Ο Μ 1 2中儲存著有關和無線通信區域a R 1內 L A N終端機5 0、6 0、7 0通信或對網際網路I n及伺月 等連接之各種程式與實行該程式所須之資料。第2 一部分’係表示用以實行安全性設定處理之安全性 理部1 2 a、及用以實行無線通信之際所遂行設定之 定處理部1 2 b等。 推按式按鈕1 6a係連接於輸入輸出控制器1 6。转 之按壓部係設置成露出於存取點2〇框體表面之狀菌 設定處 構成說 全性設 及存取 勺 WEP 施無線 有無線 如第2 之ROM LAN連 以及輸 之無線 肢器SV 圖中之 設定處 連接設 ί 鈕 1 6 a 吴。顯示 1313997 控制器1 5上連接有以點亮、熄滅方式表示無線LAN之連 ' 接狀態或通信狀態的各種指示燈1 9。 傳送電波之傳送機2 5及接收電波之接收機2 6、係連 接於無線介面1 8。該傳送機2 5、接收機2 6係以可往外部 傳送電波或接收來自外部之電波的狀態內建於存取點2 0 中。第1圖中,把由傳送機2 5所傳送之電波可到達,且接 收機26可接收來自無線LAN終端機50、60、70之電波的 - 範圍以無線通信區域AR1來表示。又,本實施例中之傳送 φ 機25及接收機26可藉複數個頻道收發電波,故可藉複數 個頻道中之任一個通道實施無線通信。本實施例中,該傳 送機2 5及接收機2 6係構成該存取點側開始指示接受單元 〇 內建有數據機之路由器2 8係藉由纜線連接於WAN埠 17。路由器28係基於後述之無線LAN適配器(adapto〇52 、62、72的各MAC地址來特定無線LAN內之複數個各終 端機5 0、6 0、7 0,俾可區別該等終端機。路由器2 8內之 # 數據機係藉由CATV線路、xDSL線路等之通信線路CL、 提供者(p r 〇 v i d e r) P V之專用線路而連接於網際網路IN。亦 即,路由器2 8係一種作爲把無線LAN連接於網際網路IN 之門路(Gateway)機能。 第1圖所示之無線終端機5 0、6 0、7 0係一種公知之筆 記型電腦,而第3圖係表示構成無線LAN終端機5 0之一 例,可採用和無線LAN終端機60、70中同樣的構成而實 現同樣的機能。無線LAN終端機5 0 ’如第3圖所示,具有 -18- 1313997 CPU 5 1 ;和CPU 5 1間以匯流排相連接之ROM ' ;非揮發性之記憶裝置5 5 (例如,硬碟驅動等); 連接用之LAN埠56;顯示控制器57;輸入1/ 卡片匯流排I/F 59等各部分。 該無線LAN終端機5 〇係把記憶在記憶裝唇 轉送至RAM 54 ’藉CPU 51之運算處理而可實 例中,係儲存有和存取點2 0通信或連接至網陷 - 相關之各種程式,及實行該程式所須之資料。 • 一部分’係表示用以實行安全性設定處理之安 理部5 5 a、及用以在實行無線通信之際作設定 處理部5 5 b等。 無線LAN終端機50所具備之顯示器57a 示控制器57 ’可實施與程式連動之ui等、及 。滑鼠5 8 a、鍵盤5 8 b係連接於輸入I / f 5 8以 入之操作內容。卡片匯流排I / F 5 9連接有無線 52 ’可藉該無線LAN適配器52具備之傳送部 部5 2b而與存取點20進行無線通信。 又,無線LAN適配器52中,傳送部52a万 亦可藉複數個頻道收發電波,可利用複數個頻 道實施無線通信。本實施例中,無線LAN適酉| 成該終端機側無線通信單元。當然,無線L A N 局限僅爲個人電腦’亦可採用例如個人數位且; 等各種携帶式終端機。 A_2.安全性設定處理 33' Ram 5 4 和1有線LAN F 5 8 ;以及 1 5 5之程式 行。本實施 等網路IN所 胃3圖中之 全性設定處 之連接設定 係連接於顯 各種的顯示 取得各該輸 LAN適配器 5 2 a及接收 L接收部5 2 b 道之任一頻 己器5 2係構 終端機並不 理器(PDA) -19- 1313997 依以上構成之無線LAN,終端機5 Ο、60、70係藉由存 ' 取點20進出網際網路IN。本實施例中,係藉上述之WEP 鍵使通信內容加密化。爲此,在本實施例中’無線LAN終 端機50、60、70係在與存取點20作通信之前’事先執行 設定W E P鍵之安全性設定處理。 第4圖及第5圖係該安全性設定處理之流程圖。在該 安全性設定處理中,爲了確保直到設定WEP鍵時之通信的 - 隱匿性,乃遂行前處理,藉此種前處理以排除第三者之不 鲁 當侵入。亦即’ 一旦執fr w e p鍵之設定’則可確保通信之 隱匿性。但是在利用無線通信施行該WEP鍵之設定之際, 該無線通信中的WEP鍵爲未設定時,即無法藉該WEP鍵 確保隱匿性。因此,在本實施例中,乃在存取點20及無線 LAN終端機5 0中施行用以設定WEP鍵之處理的前處理。 在存取點2 0中,圖中未示之無線通信程式爲經常啓動 ,藉該無線通信程式之控制,以在該存取點2 0及該W E P $ 鍵之設定及通信頻道既設定完成無線LAN終端機兩者間進 行無線通信。該無線通信程式可實施依該按鈕1 6 a之壓入 操作的中斷(interrupt)處理,可檢出該按鈕1 6a是否既壓入 (步驟S 1〇〇)。本實施例中,該按鈕16a及步驟S100之處理 係構成上述存取點側開始指示接受單元者。 在同一步驟S100中,檢出了按鈕16a爲壓下時,該無 線通信程式即中斷,同時開始該安全性設定處理部i 2 a之 處理,而該安全性設定處理部1 2 a,首先係將要施行無線 通信時的頻道設定在預先決定之特定頻道上(步驟S〗〇 5 )。 -20- 1313997 接著’安全性設定處理部12a判別是否業已取得開始指示 ' 資料(步驟S11〇)。亦即,在存取點20中,上述之圖中未示 的無線通程式爲經常啓動’乃處於可取得任何的無線通 信封包的狀態。又’在取得任何的無線通信封包時,該資 料即在RAM 1 3上成爲緩衝(buffer)。 因此’在安全性設定處理部12a中,係取得該緩衝之 資料時,以判別是否已經取得了開始指示資料。在該步驟 S 1 1 〇中’當判別爲已取得開始指不資料時,於存取點2 〇 中結束女全性設疋處理部12a之處理’不實行wep之設定 。在此種狀況,存取點2 0係復歸於上述圖中未示之無線通 信程式的處理。本實施例中,該步驟S 1 1 〇之處理係構成在 該開始指示資料受信單元及存取點側安全性設定單元中截 至開始作安全性設定處理的部分。 又,在復於無線通信程式之處理前,係以該指示燈1 9 輸出警告,表示在一定時間內無法實施按鈕16a之壓入操 • 作 '明顯地限制倘未解除警告則無法復歸爲無線通信程式 之處理,以此種構成方式爲較佳。在步驟s 1 1 0中,在判別 爲未取得開始指示資料時’即實行步驟S 1 1 5以下的安全性 設定處理。 另一方面,在無線L A N終端機5 0中,使用者操作滑 鼠5 8 a以藉圖中未示之U 1等而指示安全性設定處理之開始 。在無線LAN終端機5 0中係判別著是否有了該開始指示 (步驟S 2 0 0 ),倘判別爲有了開始指示時,安全性設定處理 -21- 1313997 部55a即開始處理。本實施例中’該步驟S200中之處理係 ' 相當於該終端機側開始指示接受單元。 該安全性設定處理部5 5 a係首先將要施fT無線通信之 際的頻道設定在所預先決定的特定頻道上(步驟S 2 0 5 )。該 無線L A N終端機5 0中之頻道係爲與在該存取點2 0中於步 驟S105設定之頻道共通之頻道。 接著,在無線L AN終端機5 0中’生成用以將資訊加 • 密化之公開鍵ρ κ ,與用以解讀之秘密鍵S K !(步驟S 2 1 〇 )。 • 在本實施例中係產生亂數,基於該亂數而生成公開鍵PK, 及與該公開鍵P κ 1相組合之秘密鍵S K i。因此,該公開鍵 p κ i及該秘密鍵s K !係於每當該步驟S 2 0 0中判別有開始指 示資料時而成爲不同的鍵。在生成公開鍵p K !及秘密鍵s K , 後’即把表示該等鍵之資料記錄在該R A Μ 5 4中。 此外’安全性設定處理部55a係取得該無線Lan適配 器52中用以顯示機能之機能資訊’把表示該公開鍵pi 馨 之資料連同開始指示資料一起傳送(步驟S2 1 5)。亦即,本 實施例中’該開始指示資料係含有表示已有指示之資訊和 s亥機能資訊,以及公開鍵P K i。該開始指示資料例如可由 探測(probe)要求封包構成。在此種場合’在探測要求封包 之有效負載上,倘含有表示已有該開始指示之旗標(fug) 及表示該機能資訊與公開鍵ΡΚι之資料就可以。又’該機 能資訊係包含在無線LAN終端機5〇之無線lan適配器W 中,可使用在無線通信上之頻帶的規格(例如,2.4GHz、 頻帶等)或可使用之頻道的設定等。本實施例中,該 -22- 1313997 步驟S 2 1 5中的處理係相當於該開始指示資料傳送單元》 ' 依以上之步驟Sl〇〇〜S110及步驟S200〜S215,按壓 存取點2〇之按鈕16a,之後,在無線LAN終端機50中, 僅在有了開始指示之狀況時,方可施行安全性設定處理, 故可防止第三者之不當侵入。亦即,在無線L AN終端機5 〇 中’只要未依連接於該無線LAN終端機50之滑鼠58a等 進行開始指示,就不傳送該開始指示資料。因此,要進行 安全性設定之使用者係按壓存取點2 0上之按鈕1 6 a,之後 • 隨即在無線LAN終端機5 0上遵守遂行開始指示之協定時 ,則可判斷在此之前,存取點2 0所要接收之所有的開始指 示資料爲不正當的開始指示資料。 因此,本實施例中之存取點20係於該存取點20所具 有的按鈕1 6 a被按壓前既存在有已接收到之開始指示資料 時,不施行安全性設定處理。因此,即使存在有爲不正當 侵入而頻繁地輸出開始指示資料之第三者時,亦不會造成 在與第三者所具有之無線L A N終端機間實施安全性設定之 ^問題。 又,假設在使用者錯按存取點2 0之按鈕1 6 a前既施行 了無線LAN終端機5 0之開始指示時,安全性設定並不被 執行,即使是此種狀況,亦會返回由存取點2 0中之處理從 最初反覆,如先按壓存取點2 0之按鈕1 6 a,其後可實行安 全性處理。 本實施例中,係藉由如上述利用特定頻道執行與安全 性設定處理相關之無線通信,形成一種對不正當侵入可更 -23- 1313997 ' 強固防範之系統。亦即’於無線LAN中,在無線 - 定或安全性設定前’於遂行探測要求之際,係進 的頻道掃瞄’惟因本實施例中係利用事先決定之 不須施行該種頻道掃瞄’亦不須進行由存取點2 0 掃瞄。結果,如上述第三者即不可能監控存取點 亦不可能捷足先登施作頻道掃瞄,乃可防止僞裝 此外,在本實施例中,存取點2 0係實行開始 ' 之接收,但是即使於步驟S 1 0 0,按鈕已被遂行壓 會送出用以特定自己之丨κ置用之標識(beacon),古女 無法藉由檢知該標識信號而掌握安全性設定已開 。如此,第三者乃無法決定嚐試中斷安全性設定 機,故第三者進行侵入之可能性極小。 由以上之構成’在進行了防止存取點2 0不正 前處理後,在本實施例中,存取點2 0之安全性設 1 2a即遂行等待接收該開始指示資料之處理(步顆 • 直到判別已接收該開始指示資料前,係反復該等 處理(步驟S120)。亦即,安全性設定處理部12a 由該接收機2 6所接收到封包之內容,在該步驟 判別是否爲由無線LAN終端機5 0所傳送之開始 〇 於步驟S 1 2 0中’倘判別爲非來自無線終端彳 信之開始指示資料時,即捨棄該封包並反復步驟 之處理。而如判別爲由無線LAN終端機 通信之設 行一般性 頻道,故 應答頻道 之應答, 之行爲。 指示資料 入,亦不 第三者即 始的狀況 處理之時 當侵入之 定處理部 5 S115) > 待接收之 係判別藉 S2 1 5 中, 1旨示資料 幾5 0所送 S 1 1 5以後 5 G所傳送之開始 1313997 指示資料時,則實行步驟s 1 2 5之後的處理。又’在步驟 S 1 1 5、S 1 2 0中,在經過了預定的時間後’即中止等待接收 處理’或者是能以指示燈1 9作警告顯示。倘依此種處理’ 如來自無線L A N終端機5 0之電波遭受妨害時,即可中止 安全性設定處理。 步驟S 1 25中,係生成令資訊加密化之公開鍵PK2及用 於解讀之秘密鍵 Sκ2。因此,和上述同樣地產生有亂數, 基於該亂數而生成該公開鍵ΡΚ2及與該公開鍵ΡΚ2相組合 之秘密鍵SK2。因此,該公開鍵ΡΚ2及秘密鍵SK2爲按每 次的處理時之特殊鍵者。該等鍵之資料係記錄在該RAM 1 3 中 。 接者’安全性設定處理部12&係生成含有表示該公開 鍵PK2資料之允許開始資料,以公開鍵ρΚι予以加密化而 傳送之(步驟S 1 3 〇)。因此,允許開始資料爲—種表示接受 了該開始指不資料之資訊,對該開始指示資料的應答。因 此’ 1¾開始指不資料作探測要求之狀況中,可藉探測應答 封包構成。在此場合’探測應答封包之有效負載上,最好 曰有表不已承諾了該開始指示之旗標及表示該公開鍵pK2 之資料。X,在帛4圖之中央下部中,表示在允許開始資 料之文子下方的()’係表示有效負載內之公開鍵ρΚ2已用 公開鍵Ρ Κ !加密化。 爲了對應5亥允許開始資料,無線LAN終端機5 〇之安 全性設定處理$ 5 5a係實行允許開始資料2等待接收處理 此日寸’判別疋杏經過了預先決定之時間(步驟S 2 2 〇 )。經 -25- 1313997 過了預定的時間後,即判別是否接收了 2個以上之允許開 始資料(步驟S23 5)。亦即,在步驟S22〇中,於經過預定時 間前,係將藉該接收部52b所接受的資料持續在RAM 54 上緩衝,而在步驟S 225中,判別基於緩衝之資料的標頭 (Header)所傳送之資料究竟爲單一資料或複數資料。單一 或複數之基準,最好是以是否爲由複數個無線LAN終端機 所傳送者爲準基作判別較佳。 因此,在步驟S 2 2 5中,倘判別爲受信了 2個以上之允 許開始資料時’即於不繼續施行安全性設定處理之下結束 處理。結果’可防止第三者之不正當侵入。亦即,因爲第 二者要僞裝成存取點20’所以會在監控到步驟S215傳送 之開始指示資料時’傳送來既藉該公開鍵pK i加密化後之 允許開始資料。 但是,此種狀況,因來自存取點2 0之在該步驟S 1 3 〇 輸出之允許開始資料亦到達無線L A N終端機5 0,故允許開 始資料成爲2個以上。本實施例中,在該狀況上並未執行 藉由步驟S 2 2 5之判別作安全性設定處理。因此,第三者即 難以侵入。步驟S22 5中’倘判別爲未接收2個以上之允許 開始資料時,則因僅接收到來自存取點2 0所傳送之允許開 始資料,故繼續步驟S 2 3 0以後的安全性設定處理。結果’ 可在提高安全性狀態下遂行安全性設定處理。本實施例中 ,該步驟S 2 2 0、S 2 2 5之處理係構成該允許開始資料接收單 元及終端機側安全性設定單元中截至開始作安全性設定處 理的部分。 -26- 1313997 在步驟S 2 2 5中,倘判別爲未接收了 2個以上之允許開 始資料時,則利用該秘密鍵SKi解讀允許開始資料(步驟 S 23 0),解讀後’判別是否爲有意義之適當資料(步驟S23 5 ) 。在同一步驟S23 5中’如判別爲非適當之資料時,即中止 安全性設定處理。亦即,倘未能藉與公開鍵p K 1組合之秘 密鍵SK,所解讀,而成爲非適當的資料(適當的資料係含表 不允許開始之旗標及在預定的格式下所記述之公開鍵pK2) 時,因係意味著所接收之資料並非來自存取點2 0所傳送之 I 資料,所以中止處理。 在步驟S 2 3 5中’如判別爲適當的資料時,即把表示該 公開鍵ΡΚ:2之資料記錄於RAM 54,並生成繼續通信用的公 開鍵PK3及秘密鍵SK3 (步驟S24〇)。故而,安全性設定處 理部5 5 a亦產生亂數,基於此一亂數,乃生成公開鍵p κ 3 及和該公開鍵組合之秘密鍵SK3。因此,該公開鍵Ρκ3及 秘密鍵SK3係成爲每次處理時之獨特鍵。生成公開鍵ρΚ3及 >秘密鍵SK3後’即把表示該等鍵之資料記錄於該raM 54。 此外’女全性設定處理部5 5 a並生成表示含有該公開 鍵P K 3之允許開始資料’藉公開鍵p κ 2加密化而傳送之 (步驟S245 )。亦即,本實施例中,該允許開始資料,係爲 了實行安全性處理而對由存取點2〇將安全性設定上必須 的資訊傳送於無線L A Ν終端機5 〇已事賦予承認的資料者 。此種允許開始資料例如可由認證(Authenticati〇n)要求封 包所構成。此種狀況,認證要求封包之有效負載上最好含 有表示該允許開始之旗標及表示該公開鍵pK3之資料。 -27- 1313997 取點20中,一接收該允許開始資料時’利用該秘密 ^、次解H買允許允卉開始資料(步驟S 1 3 5 ),判別是否爲適 丄貝料(步驟smo)。同—步驟sl4〇中’倘判別爲非(含 /一、允n午開始之旗標及以預定的格式上所記述的公開鍵 〜之資料)適虽貝料時’即非爲由無線L a n終端機5 〇 所傳,之適當資料’即中止安全性設定處理。 ^步I S 1 4 0中’倘判別爲適當的資料時,無線[a n 糸> 端機處乃生成含有設定之WEp鍵及通信時使用之頻道( 取好疋和步驟S105、S205中之特定頻道不同的頻道)的設 疋貝料,因此,乃藉該公開鍵ρ Κ3將設定資料加密化傳送( 步驟S 1 4 5 )。此種設定資料可由認證響應封包構成。此一狀 況’ δ忍證響應封包之有效負載中最好含有表示該WEP鍵及 使用頻道之資料,本實施例中,該步驟s i i 5〜S 1 4 5係相當 於該存取點側安全性設定單元中之安全性設定處理。 又,使用頻道係用以執行無線連接所須的設定資料, 第2圖所示之連接設定處理部1 2 b係於存取點2 0取得未使 用之頻道,將該未使用之頻道分配爲使用頻道而予以特定 者。此時,參照該步驟S 2 1 5所傳送之機能資訊,確認存取 點2 0中使用中之頻帶爲可在無線LAN終端機5 0中使用, 把該使用中之頻帶內未使用的頻道作爲使用頻道。 在無線LAN終端機5 0中,當接收該設定資料時,利 用該秘密鍵SK3解讀設定資料(步驟S2 50)判別是否爲適當 的資料(步驟S 2 5 5 )。同一步驟S 2 5 5中’在判別爲非適當資 料(含有WEP鍵及使用頻道的資料)時,判別爲非來自適當 -28- 1313997 存取點2 0所傳送之資料時,即中止設定處理。 在步驟S2 5 5中,判別爲適當的資料時,無線LAN終 端機50之安全性設定處理部55a乃將WEP鍵記錄於該記 憶裝置5 5,在以下的無線通信中設定成使用該W E P鍵(步 驟S 260)。此外,連接設定處理部55b在以後的無線通信中 、係以在含有該設定資料之使用頻道下遂行通信之方式實 行連接處理(步驟S 2 6 5 )。本實施例中,該步驟S 2 3 0〜S 2 6 0 •相當於該終端機側安全性設定單元。 > 依以上之處理,於存取點20與無線LAN終端機50中 設定共同的WEP鍵,因已設定了實行無線電通信用之頻道 ’故完成第4圖、第5圖所示之處理,存取點2 0即復歸於 未圖示之無線通信程式。因此,在無線LAN終端機5 0中 ’當用以遂行無線通信之應用程式一被執行時’則與存取 點2 0之該圖中未示的無線通信程式協同執彳了無線通信。 如上述,本實施例中,每遂行來自無線LAN終端機50 之要求與對此要求之響應時,係生成不同的公開鍵及秘密 鍵以確保通信之隱匿性。因此,第三者如嚐試解讀該等鍵 之暗號,就算解讀成功,但在解讀結束前因爲須耗費相當 多時間’所以截至解讀成功前,該WEP鍵之設定則已終了 ’故無法解讀WEP鍵,結果,可確保極強固的隱匿性以完 成安全性設定處理(WEP鍵之設定處理)。 B ·變形例 上述實施例爲本發明之一實施例,係爲防止第三者藉 無線通信作不正當侵入之安全性設定實施例,惟不限僅如 -29- 1313997 該實施例,亦可採用其他之各種構成,例如,上述實. ' 之安全性設定處理中,係施行WEP之設定,當然,亦 行爲了其他方式(TKIP、AES、公開鍵加密化等)之加密 設定。 又,本發明亦可適用於除了藉由電波作無線通信 的方式,即,本發明亦可適用於紅外線、光、聲音信 超音波等之通信。當然,無線L AN終端機5 0與存取! ' 間以藍芽作無線通信之狀況亦適用。 ® 此外,上述實施例中,係假設存取點2 0中既設定 鍵,而利用預定的頻帶遂行無線通信,當然,也可以 未設定該等狀態下,於存取點20或無線LAN終端機: 中一方生成WEP鍵,而傳送於另一者進行設定。又, 是可選擇頻帶之任一者,在雙方設定該頻帶及頻道。 此外,於該存取點2 0之步驟S 1 1 5、S 1 2 0中,係 收開始指示資料而移行於次一處理(步驟S 1 2 5 ),在此 φ 可構成爲遂行預定時間之接收等待處理,而在接收到 以上之開始指示資料時,即中止安全性設定處理,依 之構成。在該種構成中,針對藉由妨害來自無線LAN 機5 0所輸出之開始指示資料,生成且傳送不正確的開 示資料而嚐試入侵的第三者而言,係一種對其實施不 侵入之防止措施。 又,上述實施例中,每次進行來自無線LAN終端 之要求及對該要求之響應時即生成不同的公開鍵與秘 施例 可遂 化的 以外 號、 ^ 2 0 WEP 是在 50其 最好 依接 ,亦 2個 以上 終端 始指 正當 機50 密鍵 -30- 1313997 ,可確保通信之隱匿性,然而截至安全性設定處理完成的 時間一般而言甚爲短暫。因此,亦可在每次要求與響應時 不生成公開鍵與秘密鍵’而採用利用相同公開鍵與秘密鍵 之構成。此種構成中’因第三者侵入之可能性非常低,故 仍可實行安全性設定。又,生成該公開鍵與秘密鍵之處理 ’係假定藉亂數作成質數分解型之公開鍵者,當然,亦可 爲其他方式’例如亦可爲作成離散對數型之公開鍵,或可 採用其他種種的構成。 【圖式簡單說明】 第1圖爲實現本發明第1實施例安全性設定處理系統 之硬體構成圖。 第2圖爲表示存取點之構成說明圖。 第3圖爲表示無線LAN終端機之構成說明圖。 第4圖爲安全性設定處理之流程圖。 第5圖爲安全性設定處理之流程圖。
【主要元件符號說明】 11 中 央 處 理 單 元 (CPU) 12 唯 讀 記 憶 體 (ROM) 13 隨 機 存 取 記 億 體(RAM) 15 顯 示 控 制 器 16 輸 入 輸 出 控 制 器 1 6 a 17 按鈕 WAN璋 無線通信介面 -3 1- 18 指示燈 存取點 LAN ί阜 傳送機 接收機 路由器 無線LAN終端機 中央處理單元(CPU) 唯讀記憶體(ROM) 隨機存取記憶體(RAM) 非揮發性之記憶裝置 LAN ί阜 顯示控制器 輸入I/F 卡片匯流排I/F 無線LAN終端機 LAN適配器 無線LAN終端機 LAN適配器 -32-