WO2005081460A1

WO2005081460A1 - 不正無線局検出システム、それに用いる装置及びその方法

Info

Publication number: WO2005081460A1
Application number: PCT/JP2005/002494
Authority: WO
Inventors: Takayuki Nyu
Original assignee: Nec Corporation
Priority date: 2004-02-19
Filing date: 2005-02-17
Publication date: 2005-09-01
Also published as: JPWO2005081460A1; CN1930822A; EP1720290A1; KR20060132701A; US20070165571A1

Abstract

　管理対象の無線局３００，４００は、複数の周波数チャネルにわたり無線空間を検索し、空間を伝搬しているフレームから固有ＩＤであるＢＳＳ識別子とフレーム送信元識別子とを取得する。運用管理装置１００はこれら取得されたＢＳＳ識別子とフレーム送信元識別子を得て、登録されたＢＳＳ識別子と比較し不正無線局５００を検出すると共に、その種別や製造元をも判定する。更に、運用管理装置１００は、この不正無線局の存在を管理対象無線局すなわち正規基地局３００、正規端末４００、スイッチ装置６００などへ通知し、不正無線局５００からのフレーム破棄や通信切断などを指示して、不正無線局との通信不能の対策を可能とする。

Description

明細書

不正無線局検出システム、それに用いる装置及びその方法

技術分野

[0001] 本発明は不正無線局検出システム及びそれに用いる運用管理装置、無線基地局、無線通信端末並びにその方法に関し、特に無線 LANシステムを利用する環境において出現する無線局の監視及び該無線局からの情報漏洩の防止方法に関するものである。

背景技術

[0002] 無線 LANシステムにおいて、不正アクセスポイント (AP)の検出に関しては、特許文献 1において、ネットワークセキュリティシステム、コンピュータ装置、アクセスポイントの認識処理方法、アクセスポイントのチェック方法、プログラム、記憶媒体及び無線 LAN用デバイスに関する技術が開示されている。

[0003] 開示された発明の説明の前に、識別子として使用されている SSIDについて説明する。無線 LAN (IEEE802.il)では、互いに通信する端末、基地局のグループを基本サービスセット（Basic Service Set )と呼び、そのグループの識別子を BSSIDと呼ぶ。基地局と端末が通信するモードでは基地局の物理アドレス（MAC (Media Access Control)アドレス）が使用される。端末同士が通信するモード（アドホックモード)では端末が割り振る任意の値 (各端末で割り振るため厳密には一意性は保証されな、）である。また、 1つ以上の BSSから構成されるグループ (無線 LANシステム）を拡張サービスセット（ESS)と呼び、このグループの識別子を SSIDと呼ぶ。

[0004] 開示された発明においては、図 1の無線 LANシステムにおいて、正規 (管理対象）無線 LANクライアントがスキャン処理を実行することにより、周囲のアクセスポイント（以下 AP)のパケットから無線 LANの識別子（SSID: Service Set ID)を抽出し、 SSID 力も構成される AP検出リストを作成する。次に、予め登録された AP許可リストと比較して、登録されていない SSIDが存在した場合には、不正な APが存在すると判断され、不正 APが存在する位置を通知することにより、その不正な APを撤去することが可能になる。また、不正 APを検出した場合にルータを操作して不正 APとのデータの送受信を禁止する。

特許文献 1 :特開 2003— 198571号公報

発明の開示

発明が解決しょうとする課題

[0005] し力しながら、開示されて、る発明には以下の課題がある。第一の課題は、不正 A Pの識別子として一意ではな、無線 LANシステムの識別子を用いて、ることである。具体的には、無線 LANシステムの識別子（SSID:Service Set ID )は、無線 LANシステム構築時に設定される識別子であり、ユーザが容易に変更可能な値であるため

、 SSIDを登録済み SSIDと詐称する不正な APは検出できないという問題がある。

[0006] また、前述の通り、無線 LAN基地局（AP)に対して、同一の無線 LANシステムの識別子（SSID)が割当可能であるため、 SSIDを用いて不正 APの探査を行うと、不正な APの数が単一である力複数であるかを識別することができず、撤去作業を行う管理者が探査 ·撤去する不正 APの数を判断できなヽとヽぅ問題がある。

[0007] 第二の課題は、無線 LANシステムの識別子（SSID)のみで不正 APを検出して!/ヽることである。具体的には、無線 LANシステムの識別子（SSID)を出力する機器は、インフラストラクチャモードで動作する無線 LAN基地局 (AP)、アドホックモードで動作する無線 LANクライアントがあるが、開示された発明では、これらを区別していな V、ため無線 LAN基地局（AP)と無線 LANクライアントの両方を不正無線局の候補として探査する必要があり、探査効率が悪、と、う問題がある。

[0008] 第三の課題は、 SSIDの秘匿機能を備えた無線 LAN機器が巿場に存在するため、不正な基地局 (AP)がその機能を利用して、る場合にそれを検出できな、ことである。第四の課題は、不正な基地局 (AP)とのデータの送受信を禁止する具体的な記載がないことである。

[0009] 本発明は上記課題を解決するためになされたものであって、不正無線局の存在を検出 ·通知し、該不正無線局力の情報漏洩を防止することによるセキュリティの向上と、当該セキュリティ管理作業の効率化とを実現する不正無線局検出システム及びそれに用いる運用管理装置、無線基地局、無線通信端末並びにその方法を提供することである。課題を解決するための手段

[0010] 上記課題を解決する第 1の発明は、固有識別子を有する管理対象無線基地局を含む無線通信システムであって、無線フレームに含まれる前記固有識別子に基づいて不正無線局の有無を検出する不正無線局検出手段を含むことを特徴とする。

[0011] 上記課題を解決する第 2の発明は、上記第 1の発明において、前記不正無線局検出手段は、前記固有識別子と予め登録されている固有識別子とを比較する比較手段と、この比較結果に基づ!、て前記不正無線局の判定をなす手段とを有することを特徴とする。

[0012] 上記課題を解決する第 3の発明は、上記第 1又は第 2の発明において、前記固有識別子は、互いに通信する無線通信端末、無線基地局のグループを基本サービスセットとしたとき、この基本サービスセット識別のための識別子 (BSS識別子)であることを特徴とする。

[0013] 上記課題を解決する第 4の発明は、上記第 3の発明において、前記不正無線局検出手段は、前記 BSS識別子から前記不正無線局の種別を判定する手段を更に有することを特徴とする。

[0014] 上記課題を解決する第 5の発明は、上記第 3又は第 4の発明において、前記不正無線局検出手段は、前記 BSS識別子から前記不正無線局の製造元を判定する手段を、更に有することを特徴とする。

[0015] 上記課題を解決する第 6の発明は、上記第 1から第 5のいずれかの発明において、システムによって管理され、無線フレームを取得して前記固有識別子を得る手段を有する管理対象無線基地局を含み、前記不正無線局検出手段は、前記管理対象無線基地局から前記固有識別子を得る手段を更に有することを特徴とする。

[0016] 上記課題を解決する第 7の発明は、上記第 1から第 5のいずれかの発明において、システムによって管理され、無線フレームを取得して前記固有識別子を得る手段を有する管理対象無線通信端末を含み、前記不正無線局検出手段は、前記管理対象無線通信端末から前記固有識別子を得る手段を更に有することを特徴とする。

[0017] 上記課題を解決する第 8の発明は、上記第 1から第 6のいずれかの発明において、前記不正無線局検出手段は、前記不正無線局に接続された管理対象無線通信端末に対して前記不正無線局の利用を禁止する旨の通知をなす手段を、更に有することを特徴とする。

[0018] 上記課題を解決する第 9の発明は、上記第 1から第 6のいずれかの発明において、スィッチ装置を更に含み、前記不正無線局検出手段は、前記不正無線局に接続された不正無線通信端末のアドレスを検出して、前記スィッチ装置に対して前記アドレスを通知する手段を更に有し、前記スィッチ装置は、前記アドレスを含む無線フレームの廃棄をなす手段を有することを特徴とする。

[0019] 上記課題を解決する第 10の発明は、上記第 1から第 6のいずれかの発明において、前記不正無線局検出手段は、前記管理対象無線基地局に対して前記不正無線通信端末を通知し、また前記管理対象無線基地局に接続された管理対象無線通信端末に対して前記不正無線局を通知する手段を更に有することを特徴とする。

[0020] 上記課題を解決する第 11の発明は、上記第 1から第 6のいずれかの発明において、前記不正無線局検出手段は、前記管理対象無線基地局に接続された不正無線通信端末の通信を不能とするよう制御する手段を更に有することを特徴とする。

[0021] 上記課題を解決する第 12の発明は、上記第 1から第 6のいずれかの発明において、前記不正無線局検出手段は、前記不正無線局の周囲の管理対象無線基地局に対して、前記無線フレーム力取得された前記不正無線局のサービスセット識別のための識別子 (SS識別子)を通知する手段を更に有し、前記 SS識別子の通知を受けた管理対象無線基地局は、前記 SS識別子と同一の値を使用して接続した無線通信端末からの無線フレームを受信した場合、この無線フレームを破棄する手段を有することを特徴とする。

[0022] 上記課題を解決する第 13の発明は、固有識別子を有する管理対象無線基地局を含む無線通信システムにおける運用管理装置であって、無線フレームに含まれる固有識別子に基づいて不正無線局の有無を検出する不正無線局検出手段を含むことを特徴とする。

[0023] 上記課題を解決する第 14の発明は、上記第 13の発明において、前記不正無線局検出手段は、前記固有識別子と予め登録されている固有識別子とを比較する比較手段と、この比較結果に基づ、て前記不正無線局の判定をなす手段とを有することを特徴とする。

[0024] 上記課題を解決する第 15の発明は、上記第 13又は第 14の発明において、前記固有識別子は、互いに通信する無線通信端末、無線基地局のグループを基本サービスセットとしたとき、この基本サービスセット識別のための識別子 (BSS識別子)であることを特徴とする。

[0025] 上記課題を解決する第 16の発明は、上記第 15の発明において、前記 BSS識別子から前記不正無線局の種別を判定する手段を更に含むことを特徴とする。

[0026] 上記課題を解決する第 17の発明は、上記第 15又は第 16の発明において、前記 B SS識別子から前記不正無線局の製造元を判定する手段を更に含むことを特徴とする。

[0027] 上記課題を解決する第 18の発明は、上記第 13から第 17のいずれかの発明において、システムによって管理され無線フレームを取得して前記固有識別子を得るようにした管理対象無線基地局力前記固有識別子を得る手段を更に含むことを特徴とする。

[0028] 上記課題を解決する第 19の発明は、上記第 13から第 17のいずれかの発明において、システムによって管理され無線フレームを取得して前記固有識別子を得るようにした管理対象無線通信端末から前記固有識別子を得る手段を更に含むことを特徴とする。

[0029] 上記課題を解決する第 20の発明は、上記第 13から第 18のいずれかの発明において、前記不正無線局に接続された管理対象無線通信端末に対して前記不正無線局の利用を禁止する旨の通知をなす手段を更に含むことを特徴とする。

[0030] 上記課題を解決する第 21の発明は、上記第 13から第 18のいずれかの発明において、前記不正無線局に接続された不正無線通信端末のアドレスを検出して、前記スィッチ装置に対して前記アドレスを通知する手段を更に含むことを特徴とする。

[0031] 上記課題を解決する第 22の発明は、上記第 13から第 18のいずれかの発明において、前記管理対象無線基地局に対して前記不正無線通信端末を通知し、また前記管理対象無線基地局に接続された管理対象無線通信端末に対して前記不正無線局を通知する手段を更に含むことを特徴とする。 [0032] 上記課題を解決する第 23の発明は、上記第 13から第 18のいずれかの発明において、前記管理対象無線基地局に接続された不正無線通信端末の通信を不能とするよう制御する手段を更に含むことを特徴とする。

[0033] 上記課題を解決する第 24の発明は、上記第 13から第 18のいずれかの発明において、前記不正無線局の周囲の管理対象無線基地局に対して、前記無線フレーム力取得された前記不正無線局のサービスセット識別のための識別子 (SS識別子）を通知する手段を、更に含むことを特徴とする。

[0034] 上記課題を解決する第 25の発明は、固有識別子を有する管理対象無線基地局と、システムを運用管理する運用管理装置とを含む無線通信システムにおける無線基地局であって、無線フレームから前記固有識別子を取得する手段と、前記固有識別子を、不正無線局の有無検出のために前記運用管理装置へ通知する手段とを含むことを特徴とする。

[0035] 上記課題を解決する第 26の発明は、上記第 25の発明において、前記運用管理装置から不正無線通信端末の通知を受けて、前記不正無線通信端末の通信を不能とする手段を更に含むことを特徴とする。

[0036] 上記課題を解決する第 27の発明は、上記第 25又は第 26の発明において、前記運用管理装置力前記不正無線局のサービスセット識別のための識別子 (SS識別子)の通知を受け、前記 SS識別子と同一の値を使用して接続した無線通信端末からの無線フレームを受信した場合、この無線フレームを破棄する手段を更に含むことを特徴とする。

[0037] 上記課題を解決する第 28の発明は、固有識別子を有する管理対象無線基地局と、システムを運用管理する運用管理装置とを含む無線通信システムにおける無線通信端末であって、無線フレームから前記固有識別子を取得する手段と、前記固有識別子を、不正無線局の有無検出のために前記運用管理装置へ通知する手段とを含むことを特徴とする。

[0038] 上記課題を解決する第 29の発明は、上記第 28の発明において、前記運用管理装置から通知された前記不正無線局の利用を禁止する手段を更に含むことを特徴とする。 [0039] 上記課題を解決する第 30の発明は、固有識別子を有する管理対象無線基地局を含む無線通信システムにおける不正無線局検出方法であって、無線フレームに含まれる固有識別子に基づいて不正無線局の有無を検出するステップを含むことを特徴とする。

[0040] 上記課題を解決する第 31の発明は、固有識別子を有する管理対象無線基地局と、システムを運用管理する運用管理装置とを含む無線通信システムにおける無線基地局の動作制御方法であって、無線フレーム力前記固有識別子を取得するステツプと、前記固有識別子を、不正無線局の有無検出のために前記運用管理装置へ通知するステップとを含むことを特徴とする。

[0041] 上記課題を解決する第 32の発明は、固有識別子を有する管理対象無線基地局と、システムを運用管理する運用管理装置とを含む無線通信システムにおける無線通信端末の動作制御方法であって、無線フレーム力前記固有識別子を取得するステップと、前記固有識別子を、不正無線局の有無検出のために前記運用管理装置へ通知するステップとを含むことを特徴とする。

[0042] 上記課題を解決する第 33の発明は、固有識別子を有する管理対象無線基地局を含む無線通信システムにおける不正無線局検出方法をコンピュータに実行させるためのプログラムであって、無線フレームに含まれる固有識別子に基づいて不正無線局の有無を検出する処理を含むことを特徴とする。

[0043] 上記課題を解決する第 34の発明は、固有識別子を有する管理対象無線基地局と、システムを運用管理する運用管理装置とを含む無線通信システムにおける無線基地局の動作制御方法をコンピュータに実行させるためのプログラムであって、無線フレーム力前記固有識別子を取得する処理と、前記固有識別子を、不正無線局の有無検出のために前記運用管理装置へ通知する処理とを含むことを特徴とする。

[0044] 上記課題を解決する第 35の発明は、固有識別子を有する管理対象無線基地局と、システムを運用管理する運用管理装置とを含む無線通信システムにおける無線通信端末の動作制御方法をコンピュータに実行させるためのプログラムであって、無線フレームから前記固有識別子を取得する処理と、前記固有識別子を、不正無線局の有無検出のために前記運用管理装置へ通知する処理とを含むことを特徴とする。 [0045] 本発明の作用を述べる。管理対象の無線局が、複数の周波数チャネルにわたり無線空間を検索し、空間を伝搬しているフレーム力も各基地局に固有の IDである BSS 識別子とフレーム送信元識別子とを取得し、運用管理装置はこれら取得された BSS 識別子と管理対象の基地局として登録された基地局の BSS識別子とを比較することで、不正無線局を検出する。また、取得されたフレーム送信元識別子を用いてその種別や製造元をも判定する。更に、運用管理装置は、この不正無線局の存在を管理対象 (正規)無線基地局、管理対象端末、スィッチ装置などへ通知し、不正無線局からのフレーム破棄や通信切断などを指示して、不正無線局との通信不能の対策を可能とする。

発明の効果

[0046] 本発明の監視システムによれば、不正無線局が無線空間に送出するフレームから、各無線局の固有の識別子である BSS識別子を取得し、この BSS識別子に基づいて不正無線局を特定しているので、不正ユーザ等による詐称等を許さず、不正な基地局を検出することが可能となる。また、 BSS識別子の一部から該不正無線局の製造元を示す組織名を判定し、該組織名を判定しているので、不正無線局を絞り込んで力探査することが可能になる。

[0047] また、不正無線局に接続している端末のフレーム送信元識別子を取得し、該フレーム送信元識別子を有線 LANスィッチに設定し、該有線 LANスィッチを経由するフレームの送信元識別子が一致した場合にはフレームを破棄することにより不正無線局に接続している端末と有線網内のノードとの通信を阻害することが可能になる。図面の簡単な説明

[0048] [図 1]本発明が適用される無線 LAN監視システムである。

[図 2]実施例 1, 2の無線 LAN監視システムの各構成要素の機能ブロックである。

[図 3]実施例 1, 2の無線 LAN監視システムの処理フローである。

[図 4]実施例 1, 2の無線 LAN監視システムの処理フローにおける運用管理装置の処理フローである。

[図 5]実施例 1, 2の無線 LAN監視システムの処理フローにおける運用管理装置の処理フローである。 [図 6]管理対象 AP、不正 APと端末の接続'設置を示す例である。

[図 7]管理対象 APと SWの設置位置を示す例である。

[図 8]運用管理装置が保持する各種情報リストの例である。

[図 9]管理対象 APと SWの設置位置と不正 APの近傍を示す例である。

[図 10]実施例 3の無線 LAN監視システムの処理フローである。

[図 11]実施例 3の無線 LAN監視システムの各構成要素の機能ブロックである。

[図 12]実施例 3の無線 LAN監視システムの処理フローにおける運用管理装置の処理フローである。

[図 13]実施例 3の無線 LAN監視システムの処理フローにおける運用管理装置の処理フローである。

[図 14]実施例 3の運用管理装置が保持する各種情報リストの例である。

[図 15]実施例 4の無線 LAN監視システムの各構成要素の機能ブロックである。

[図 16]実施例 4の運用管理装置に保持されるカンパ-一 IDリストの例である。

[図 17]実施例 5の無線 LAN監視システムの処理フローである。

[図 18]実施例 5の無線 LAN監視システムの各構成要素の機能ブロックである。

[図 19]実施例 5の運用管理装置に保持される受信可能 BSS識別子リスト Bの例である。

[図 20]実施例 5の無線 LAN監視システムの処理フローにおける運用管理装置の処理フローである。

[図 21]実施例 5の無線 LAN監視システムの処理フローにおける運用管理装置の処理フローである。符号の説明

100 無線 LAN運用管理装置

101 管理対象 APリスト (BSS識別子）

102 受信可能 BSS識別子リスト

103 不正 APリスト

104 不正 ad- hocリスト

105 不正 AP利用端末リスト 106 管理対象 APリスト (AP識別子）

107 管理対象端末リスト (端末識別子）

108 演算処理部

109 AP設置位置リスト

110 SW設置位置リスト

111 送受信部

112 不正 AP検出端末リスト

113 監視処理実行部

114 フレーム送信元識別子リスト

115 不正 AP検出 APリスト

116 カンパニー IDリスト

200 表示装置

201 表示部

202 送受信部

300 管理対象無線 LANアクセスポイント

301 有線送受信部

302 BSS識別子格納部

303 不正無線局リスト

304 無線送受信部

305 フレーム送信元識別子リスト

306 受信可能 BSS識別子リスト

307 検索処理実行部

308 フィルタリング識別子格納部

309 不正無線局 SSID格納部

400 管理対象無線 LANクライアント端末

401 無線送受信部

402 検索処理実行部

403 受信可能 BSS識別子リスト 404 フレーム送信元識別子リスト

405 メッセージ受信 ·表示部

406 所属 BSS識別子格納部

407 受信可能 BSS識別子リスト

500 不正無線局

501 アドホック網を構成する無線 LANクライアント端末

502 アドホック網を構成する無線 LANクライアント端末

503 不正無線 LANアクセスポイント (インフラモード）

504 不正無線 LAN端末 (アドホックモード）

600 有線 LANスィッチ

601 送受信部

602 演算処理部

603 フィルタリング識別子格納部

発明を実施するための最良の形態

[0050] 次に、本発明の実施の形態について図面を参照して詳細に説明する。図 1は本発明が適用される無線 LAN監視システムの構成を示す図である。無線 LANの運用管理を行う運用管理装置 100、運用管理情報を表示する表示装置 200、管理対象の A P300 (アクセスポイントであり、無線基地局）、管理対象の無線通信端末 (以下、単に端末と称す) 400、 APと有線網を接続するスィッチ（SW) 600、管理対象外の不正無線局 500から構成される。不正無線局 500は、管理対象クライアント端末同士 501 , 502が接続されたアドホック網、インフラストラクチャモードで動作する管理対象外の AP503 (以降不正 APと称す）、アドホックモードで動作する有線網に接続された端末 504の!、ずれか、あるいは組み合わせで存在する。

[0051] 図 2は無線 LAN監視システムの各構成要素の本発明に関連する機能ブロックを示した図である。運用管理装置 100は、管理対象 APの個々の無線インタフェースを識別するための情報を格納する管理対象 APリスト (BSS識別子） 101、管理対象外端末から取得した受信可能 BSS識別子を格納する受信可能 BSS識別子リスト B102、不正 APの情報を格納する不正 APリスト 103、不正 ad-hocの情報を格納する不正 ad-hocリスト 104、不正 APを利用してヽる端末の情報を格納する不正 AP利用端末リスト 105、不正 APを検出した端末の情報を格納する不正 AP検出端末リスト 112、管理対象 APを識別するための情報を格納する管理対象 APリスト (AP識別子） 106、管理対象端末を識別するための情報を格納する管理対象端末リスト (端末識別子） 1 07、演算処理を行う演算処理部 108、 APの設置位置情報を格納する AP設置位置リスト 109、 SWの設置位置情報を格納する SW設置位置リスト 110、他の構成要素と通信する送受信部 111、監視の制御を行う監視処理実行部 113、端末力ゝらのフレーム送信元識別子情報を格納するフレーム送信元識別子リスト B114から構成される。

[0052] 表示装置 200は、運用管理情報を表示する表示部 201と他の構成要素と通信する送受信部 202から構成される。 AP300は有線側の他の構成要素と通信する有線送受信部 301、該 AP300に割り当てられた BSS識別子を格納する BSS識別子格納部 302、不正無線局の情報を格納する不正無線局リスト 303、無線側の他の構成要素と通信する無線送受信部 304から構成される。

[0053] 管理対象クライアント端末 400は APと通信する無線送受信部 401、管理対象クライアント端末の周囲に存在する無線 LANを検索する検索処理実行部 402、検索結果の BSS識別子情報を格納する受信可能 BSS識別子リスト A403、検索結果のフレーム送信元識別子を格納するフレーム送信元識別子リスト 404、他の構成要素から通知されるメッセージを受信 ·表示するメッセージ受信 ·表示部 405、該クライアント端末が所属する APの BSS識別子を格納する所属 BSS識別子格納部 406、接続先から除外するための識別子リストが格納される不正無線局リスト 407から構成される。

[0054] SW600は他の構成要素と通信する送受信部 601、演算処理を行う演算処理部 60 2、パケットフィルタリングを行う際にフィルタリング対象を識別するための識別子を格納するフィルタイリング識別子格納部 603から構成される。

[0055] 図 3は本発明が適用される無線 LAN監視システムの処理フローを示した図である。

管理対象端末による情報取得処理と運用管理装置による情報に基づく監視，制御処理の 2つの独立した処理に分けられる。運用管理装置からの指示で管理対象端末が動作する連携処理も可能であるが、以下では独立した処理として説明する。また、図 4、図 5は処理フロー中の運用管理装置内の動作を示した図である。図 6は管理対象 AP (三角印）と不正 AP (星印）と端末 (方形印）とが混在する場合の例である。端末と管理対象 APあるいは不正 APとの間に引かれた線は、端末と AP間の接続関係を表している。図 7 (a)は、管理対象 APと SWの物理的配置を表した図であり、領域を複数のブロック（B4—1— B4— 24)に分けて示している例、（b)、（c)がそれぞれ SW、A Pの設置位置をブロック単位で示した図である。

[0056] 管理対象クライアント端末の検索処理実行部 402は、定期的に無線送受信部 401 を通じて、周囲の無線環境の情報取得を起動する。情報取得はその時点で管理対象クライアント端末が使用して、る周波数チャネルだけでなぐ他のチャネルに対しても行う。管理対象 APや不正無線局は管理用やデータのフレームを送信（図 3の 701 )しており、管理対象クライアント端末はこれらフレームを取得し、フレーム力も取得した BSS識別子は受信可能 BSS識別子リスト A403に格納する。フレーム力も取得した BSS識別子とそのフレーム送信元装置の識別子とそのフレームが端末から APへのフレームか、 AP力端末へのフレームかを識別する情報をフレーム送信元識別子ジス卜 404に格糸内する。

[0057] 運用管理装置は、管理対象 APの BSS識別子の取得（図 3の 702、図 4の 801 (この 801の詳細説明は実施例の項で後述)）を行う。なお、図 3では、管理対象 APを正規 APとして示しており、他の図でも同様とする。監視処理実行部 113は、管理対象 A Pリスト (AP識別子） 106 (図 8 (a) )に記載された APに対して BSS識別子を要求する。 APは BSS識別子格納部 302の情報を運用管理装置に応答し、運用管理装置は取得した情報を管理対象 APリスト (BSS識別子） 101に格納する。なお、管理対象 A Pリスト (BSS識別子）は予め作成して運用管理装置が保持していても良い。

[0058] 次に受信可能 BSS識別子の取得（図 3の 703、図 4の 802 (この 802の詳細説明は実施例の項で後述)）を行う。監視処理実行部 113は、管理対象端末リスト (端末識別子） 107に記載された端末に対して受信可能 BSS識別子を要求する。管理対象端末は受信可能 BSS識別子リスト A403の情報と所属 BSS識別子格納部 406の情報を運用管理装置に応答し、運用管理装置は取得した情報を受信可能 BSS識別子リスト B102 (図 8 (b) )に格納する。

[0059] 監視処理実行部 113は、不正 APリスト、不正 Ad-hocリスト、不正 AP検出端末リストを作成する（図 4の 803 (この 803の詳細説明は実施例の項で後述) )。管理対象 AP リスト（BSS識別子） 101の BSS識別子と受信可能 BSS識別子リスト B102の BSS識別子を比較し、管理対象 APリスト (BSS識別子） 101に存在しない BSS識別子を抽出する。 BSS識別子に含まれる BSS種別が APの場合には、不正 APリスト 103 (図 8

(c) )に受信可能 BSS識別子および不正 APを検出した端末の所属する APの BSS 識別子を、それぞれ不正 AP BSS識別子および検出 BSS識別子として格納する。また、該不正 APを検出した管理対象端末の情報を不正 AP検出端末リスト 112 (図 8

(d) )に格納する。 BSS種別がアドホックの場合には、不正 Ad-hocリスト 104に受信可能 BSS識別子および不正 Ad-hocを検出した管理対象端末の所属する APの BSS 識別子を格納する。以上の処理により、不正 AP、不正 Ad-hocが検出できる。

[0060] 次に、以下では、上記手法によって検出された不正 AP、不正 Ad-hocの情報を利用して、これら不正 AP等と接続する端末を検出し、更に検出された端末が管理対象の端末力否かを判定し、不正なものを切り離す処理につき説明する。

[0061] 監視処理実行部 113は、不正 APを検出した管理対象端末が所属する管理対象 A Pに不正 APリスト 103に記載された情報を通知する（図 3の 704、図 5の 901)。通知を受けた管理対象 APは不正無線局リスト 303に情報を格納し、定期的あるいは外部力の指示により不正無線局の情報を接続している管理対象クライアント端末に通知する（図 3の 705)。通知を受けた管理対象端末は、メッセージ受信'表示部 405に不正無線局の情報を表示し、ユーザに対して不正無線局が存在することを通知するとともに、不正無線局リスト 407に不正無線局の情報を格納する。管理対象端末は以後の接続の際に登録された不正無線局リストの無線局 (基地局または端末）には接続しないようにする。

[0062] 次にフレーム送信元識別子の取得（図 3の 706、図 5の 902 (この 902の詳細は実施例の項で後述)）を行う。監視処理実行部 113は、不正 AP検出端末リスト 112 (図 8の（d) )に記載された管理対象端末に対して、端末力 APに流れているフレームの送信元識別子 (不正 APを利用してヽる端末の識別子：以下では不正利用端末識別子)を要求する。管理対象端末はフレーム送信元識別子リスト 404から所望の情報を取得して運用管理装置に応答する。運用管理装置は取得した情報をフレーム送信元識別子リスト Bl 14 (図 8の（e) )に格納する。

[0063] フレーム送信元識別子リスト B114 (図 8の（e) )の不正 AP BSS識別子と不正 APリスト（図 8の (c) )力も不正 APを検出した管理対象端末の所属する BSS識別子を取得し、 AP設置位置リスト 109 (図 7の（c) )と管理対象 APリスト (BSS識別子） 101から不正利用端末識別子と該不正利用端末を検出した管理対象端末が所属する管理対象 APの位置の関係を不正 AP利用端末リスト 105 (図 8の (f) )に格納する。更に、管理対象端末リスト 107から不正利用端末識別子が管理対象端末の識別子か否かを特定し、不正 AP利用端末リスト 105 (図 8の (f) )に格納する。なお、図 8の（f)では、 R-STA-2が管理対象の端末であるとしている。

[0064] 監視処理実行部 113は、不正 AP利用端末に対する対策を行う（図 5の 903 (この 9 03の詳細は実施例の項で後述)）。不正 AP利用端末が管理対象の場合に、連続検出回数が N回未満 (Nは自然数)であれば該不正 AP利用端末に対して、不正 AP利用禁止のメッセージを通知（図 3の 707)する。不正 AP利用端末が管理対象の場合で、かつ連続検出回数が N回以上の場合、あるいは管理対象外の場合は不正 AP利用端末の近傍の SWを検索し、該 SWに対して不正 AP利用端末の識別子を通知（図 3の 708)する。

[0065] 近傍の SWの検索は、例えば、不正 AP利用端末リスト（図 8の (f) )の位置情報から B4-2と B4-21を取得し、図 7 (a)においてその位置周辺のブロック（B4-1— 3、 B4-7 一 9、 B4-14一 16、 B4-20— 22)を近傍とし、その中（図 9のハッチ部分）に設置された SW1, 2, 4, 8, 10, 11力 S通知の対象とする。

[0066] 不正 AP利用禁止のメッセージを受けた管理対象端末のメッセージ受信 ·表示部 40 5は運用管理装置力ものメッセージを表示する。また、不正 AP利用端末の識別子を受けた SWは、フィルタリング識別子格納部 603にその識別子を格納し、以降、送受信部 601を経由するフレームの送信元識別子と比較し、フィルタリング識別子格納部 603に格納された値と一致した場合には、そのフレームを破棄する。

[0067] 表示装置 200は、周期的に運用管理装置の不正 APリスト 103、不正 ad-hocリスト 1 04、不正 AP利用端末リスト 105を取得（図 3の 709)し、表示部 201に不正無線局の情報を表示する。不正無線局の表示は、 BSS種別毎に分類し、それぞれの種別の下に BSS識別子を表示する。 APの場合には、 BSS識別子の下に更に階層化して不正 APを利用している端末の識別子を記載する。その際に、該端末が監視対象か否かを識別する記号 (〇 X )を付記する（図 2)。

実施例 1

[0068] 次に、前述した最良の実施の形態を、更に具体的に実施例として説明する。この実施例 1は、不正無線局の検出を端末が行う例である。無線 LAN監視システム及び各構成要素の構成は前述の通りである。図 3は本発明が適用される無線 LAN監視システムの処理フローを示した図である。管理対象端末による情報取得処理と運用管理装置による情報に基づく監視 ·制御処理の 2つの独立した処理に分けられる。運用管理装置からの指示で管理対象端末が動作する連携処理も可能であるが、以下では独立した処理として説明する。

[0069] また、図 4、図 5は処理フロー中の運用管理装置内の動作を示した図である。図 6は管理対象 APと不正 APと端末が混在する場合の例である。図 7 (a)は、管理対象 AP と SWの物理的配置を表した図であり、領域を複数のブロック（B4-1— B4-24 )に分けて示している例、（b)、（c)がそれぞれ SW、 APの設置位置をブロック単位で示した図である。

[0070] 管理対象クライアント端末の検索処理実行部 402は、定期的に無線送受信部 401 を通じて、周囲の無線環境の情報取得を起動する。情報取得はその時点で管理対象クライアント端末が使用して、る周波数チャネルだけでなぐ他のチャネルに対しても行う。管理対象 APや不正無線局はビーコンフレームやプローブフレーム、データフレームを送信（図 3の 701)しており、管理対象クライアント端末はこれらフレームを取得し、フレームから取得した BSSIDを受信可能 BSS識別子リスト A403に格納する。フレームから取得した BSSIDとフレーム送信元装置の MACアドレスとそのフレームが端末から APへのフレーム力 APから端末へのフレームかを識別する" To DS " ( DS : Distribution Systemすなわち網を意味する）領域と" From DS "領域をフレーム送信元識別子リスト 404に格納する。

[0071] 運用管理装置は、まず管理対象 APの BSSIDの取得（図 3の 702、図 4の 801)を行う。監視処理実行部 113は、管理対象 APリスト (AP識別子） 106に記載された管理対象 APの IPアドレスに対して BSSIDを要求する（図 4の 8011)。管理対象 APは BSS識別子格納部 302に格納された BSSIDを運用管理装置に応答し、運用管理装置は取得した BSSIDを管理対象 APリスト (BSS識別子） 101に格納する（図 4の 8 012)。なお、管理対象 APリスト (BSS識別子）は予め作成して運用管理装置が保持していても良い。

[0072] 次に受信可能 BSSIDの取得（図 3の 703、図 4の 802)を行う。監視処理実行部 11 3は、管理対象端末リスト (端末識別子） 107に記載された管理対象端末に対して受信可能な BSSIDを要求する。管理対象端末は受信可能 BSS識別子リスト A403の B SSIDと所属 BSS識別子格納部 406の BSSIDを運用管理装置に応答し（図 4の 802 1)、運用管理装置は取得した 2つの BSSIDを受信可能 BSS識別子リスト B102に格納する（図 4の 8022)。

[0073] 監視処理実行部 113は、不正 APリスト、不正 Ad-hocリスト、不正 AP検出端末リストを作成する（図 4の 803)。管理対象 APリスト（BSS識別子） 101の BSSIDと受信可能 BSS識別子リスト B102に記載の受信可能 BSSIDを比較し（図 4の 8031)、管理対象 APリスト（BSS識別子） 101に存在しな!ヽ BSSIDを抽出する（図 4の 8032)。

[0074] この BSSIDに含まれる" universal/local，，ビット（IEEE802規格）が 0の場合には（図 4の 8033の" AP")、不正 APリスト 103に不正 APの BSSIDと、不正 APを検出した管理対象端末の所属する APの BSSIDを格納する（図 4の 8034, 8035)。 " universal/local'，ビットが 1の場合には（図 4の 8033の" adhoc")、不正 Ad- hocリスト 1 04に受信可能 BSSIDと不正 Ad-hocを検出した管理対象端末の所属する APの BS SIDを格納する（図 4の 8036)。

[0075] 以上の処理により、不正 APの検出が行われることになる。こうして検出された不正 APからの情報漏洩防止の処理が必要になる力この場合、次の 4つのケースが考えられ、これ等各ケース毎に、情報漏洩防止対策が相違してくるので、実施例 2として、これ等各ケースについて、以下に説明する。

実施例 2

[0076] 上記の 4つのケースとは、（1)管理対象 APに管理対象端末が接続されているケース、（2)不正 APに管理対象端末が接続されているケース、（3)不正 APに不正端末が接続されて、るケース、（4)管理対象 APに不正端末が接続されて、るケースである。まず、（1)のケースについての情報漏洩防止処理について述べる。

[0077] 監視処理実行部 113は、不正 APを検出した管理対象端末が所属する APに不正 APリスト 103に記載された不正 APの BSSIDを通知する（図 3の 704、図 5の 901、 9 011)。通知を受けた管理対象 APは不正無線局リスト 303に不正 APの BSSIDを格納し、定期的あるいは外部からの指示により、接続している管理対象クライアント端末に不正 APの BSSIDを通知する（図 3の 705)。通知を受けた端末は、メッセージ受信 •表示部 405に不正 APの BSSIDを表示し、ユーザに対して不正 APが存在することを通知するとともに、不正無線局リスト 407に不正 APの BSSIDを格納する。管理対象端末は以後の接続の際に登録された不正無線局リストの無線局には接続しないようにする。

[0078] 次にフレーム送信元識別子の取得（図 3の 706、図 5の 902)を行う。監視処理実行部 113は、不正 AP検出端末リスト 112 (図 8の (d) )に記載された管理対象端末に対して、端末から APに流れているフレームの送信元 MACアドレス（不正 APを利用して V、る端末の MACアドレス：以下では不正利用端末 MACアドレス）を要求する。管理対象端末はフレーム送信元識別子リスト 404から" To DS，，領域の値が 1のフレームの送信元 MACアドレスを取得して運用管理装置に応答する。

[0079] 運用管理装置は取得した MACアドレスをフレーム送信元識別子リスト B114に格納する（図 5の 9021)。フレーム送信元識別子リスト B114 (図 8の（e) )の不正 AP B SSIDと不正 APリスト（図 8の（c) )力も不正 APを検出した管理対象端末の所属する BSSIDを取得し、 AP設置位置リスト 109 (図 7の（c) )と管理対象 APリスト（BSS識別子） 101から不正利用端末 MACアドレスと該不正利用端末を検出した管理対象端末が所属する APの位置の関係を不正 AP利用端末リスト 105 (図 8の (f) )に格納する（図 5の 9022)。更に、管理対象端末リスト 107から不正利用端末 MACアドレスが管理対象端末の MACアドレス力否かを特定し（図 5の 9023)、不正 AP利用端末リスト 105 (図 8の（f) )に格納する（図 5の 9024)。なお、図 8の（f)では、 R- STA- 2が管理対象の端末であるとして、る。

[0080] 次に、 (2)のケースである不正 APに管理対象端末が接続されて、る場合、及び（3 )のケースである不正 APに不正端末が接続されて、る場合の情報漏洩防止処理について述べる。監視処理実行部 113は、不正 AP利用端末に対する対策を行う（図 5 の 903)。不正 AP利用端末が管理対象の場合に（図 5の 9031で" Yes "： (2)のケースの場合）、連続検出回数が N回未満であれば該不正 AP利用端末に対して、不正 AP利用禁止のメッセージを通知する（図 3の 707、図 5の 9032, 9033)。不正 AP利用端末が管理対象の場合で、連続検出回数が N回以上の場合、あるいは管理対象外の場合は（（3)のケースの場合）、不正 AP利用端末の近傍の SWを検索し（図 5の 9034)、該 SWに対して不正 AP利用端末の MACアドレスを通知（図 3の 708)する（図 5の 9035)。

[0081] 近傍の SWの検索は、例えば、不正 AP利用端末リスト（図 8の (f) )の位置情報から B4-2と B4-21を取得し、図 7 (a)において、その位置周辺のブロック（B4-1— 3、 B4-7 一 9、 B4-14一 16、 B4-20— 22)を近傍とし、その中（図 9のメッシュ部分）に設置された SW1, 2, 4, 8, 10, 11力 S通知の対象とする。

[0082] 不正 AP利用禁止のメッセージを受けた管理対象端末のメッセージ受信 ·表示部 40 5は運用管理装置力のメッセージを表示する。また、不正 AP利用端末の MACアドレスを受けた SWは、フィルタリング識別子格納部 603にその MACアドレスを格納し、以降、送受信部 601を経由するフレームの送信元 MACアドレスと比較し、フィルタリング識別子格納部 603に格納された値と一致した場合にはそのフレームを破棄する。

[0083] 表示装置 200は、周期的に運用管理装置の不正 APリスト 103、不正 ad-hocリスト 1 04、不正 AP利用端末リスト 105を取得（図 3の 709)し、表示部 201に不正無線局の BSSIDを表示する。不正無線局の表示は、 BSS種別毎に分類し、それぞれの種別の下に BSSIDを表示する。 APの場合には、 BSSIDの下に更に階層化して不正 AP を利用している端末の MACアドレスを記載する。その際に、該端末が監視対象か否かを識別する記号 (〇 X )を付記する（図 2)。

[0084] (4)のケースである管理対象 APに不正端末が接続されて、る場合にっ、て述べる。データパケットヘッダには、送信元アドレスが挿入されており、管理対象 APの BSSI Dはわかって!/、るので、管理対象 APに接続されて!、る端末の MACアドレスが分かる。よって、この MACアドレスを、運用管理装置に登録されている端末のアドレスと比較することにより、不正端末力否かが特定可能である。そこで、管理対象 APに接続されている不正端末に対しては、通信を不可能とする処置をとることで、情報漏洩が可能となる。そのための例として、先述した様に、 SWにおいてフィルタリングをかけてフレーム破棄を行う方法や、管理対象 APに対して回線の切断指示をなす方法や、この AP自身でフィルタリングを行ってフレーム破棄をなす方法などがある。

[0085] なお、上記の管理対象 APの判定は、固有識別子である BSSIDを利用することにより判定ができるものであり、詐称が容易な SSIDでは、不正 APや端末の特定ができず、よって、上記の各（1)一 (4)にそれぞれ対応する情報漏洩防止対策は困難となり、上記の特許文献 1における SSIDを用いる方式は、実用的ではない。

[0086] 先の実施例 1では、不正無線局の情報として BSSIDのみを取得して、表示装置に表示、管理対象 APへ通知したが、 BSSIDにあわせて SSIDも取得し、表示、通知しても良い。また、管理対象端末への不正無線局の BSSIDの通知は、管理対象 APを経由して行われるとして説明したが、運用管理装置力管理対象端末に直接通知しても良い。

[0087] 更に、実施例 1では検出結果を表示装置に表示したが、検出結果を表示装置に表示するのではなぐ予め定められた通信手段を利用して、管理者に通知してもよい。通信手段には、例えば、電話や電子メールなどが考えられる。また、実施例 1では、不正無線局の検出、検出した結果の通知、検出した結果に基づく制御の全てを行うように記載した力例えば、不正無線局の検出のみ、というように一部の処理のみを実行するシステムでもよい。更に利用者の設定により、一部または全部の処理を選択的に実行できる機能を備えても良い。

実施例 3

[0088] 実施例 1では、不正無線局の検出を管理対象端末が行っていたが、不正無線局の検出を管理対象 APが行うことも考えられる。図 10は本実施例の処理フローを示す図である。実施例 1の処理フローとの違いは、受信可能 BSS識別子の取得（図 10の 71 0)とフレーム送信元識別子の取得（図 10の 711)が運用管理装置と管理対象 APの間で行われてヽる点である。 [0089] 図 11は無線 LAN監視システムの各構成要素の実施例 3に関連する機能ブロックを示す図である。実施例 1の機能ブロックとの違いは、実施例 1では管理対象端末に存在した検索処理実行部 402、受信可能 BSS識別子リスト Aとフレーム送信元識別子リスト 404が不要になり、管理対象 APに検索処理実行部 307、受信可能 BSS識別子リスト A306とフレーム送信元識別子リスト 305が存在する点、及び運用管理装置に不正 AP検出端末リスト 112が不要になり、不正 AP検出 APリスト 115が存在する^;である。

[0090] 図 12、図 13は処理フロー中の運用管理装置の動作を示す図でり、図 4、図 5と同等部分は同一符号にて示している。実施例 1との違いは、図 12の 804、 803と、図 13 の 905である。図 12の 804は、管理対象 APリストに記載の管理対象 APの全 IPアドレスに対して、受信可能 BSSIDと該 APの BSSIDを要求し（図 12の 8041)、取得した BSSIDを受信可能 BSS識別子リスト B102に出力する（図 12の 8042)。

[0091] 図 12の 803は、受信可能 BSS識別子リスト Bの BSSIDと管理対象 APリスト（BSS 識別子）と比較を行、（図 12の 8032)、管理対象に含まれて!/、な、BSSIDでかつ、 BSS種別が APと判定された場合には（図 12の 8033)、不正 APに該 BSSIDを書き出し（図 12の 8034)、更に不正 AP検出 APリストに不正 APを検出した管理対象 AP の BSSIDを書き出す（図 12の 8037)。図 14は受信可能 BSS識別子リスト B及び不正 AP検出 APリストの例である。

[0092] 図 13は本実施例における情報漏洩防止処理の動作を示すものであり、図 5と同等であるが、相違部分を説明する。運用管理装置は管理対象 APに不正 APの BSSID を通知する（図 13の 904)。そして、この AP力もフレーム送信元識別子を取得し（図 1 3の 9051)、当該 APの BSSIDと AP設置位置リストから、 APの位置を取得する（図 1 3の 9052)。次に、フレーム送信元識別子と管理対象端末リストのエントリを比較して、不正 APを利用している端末が登録済みかどうかを判定し（図 13の 9053)、不正 A P利用端末リストにフレーム送信元識別子と検出した APの位置と登録済み力否かを書き出す（図 13の 9054)。処理 903は図 5のそれと同一である。

実施例 4

[0093] 次に、不正 APの表示に BSSIDだけでなぐカンパニー名を付記する実施例について説明する。先の実施例 1では、不正 APの表示に BSSIDを使用していた力一般に人が識別し辛ヽ BSSIDにカ卩えて、識別しやすヽ該不正 APの製造元の組織名を付記することも考えられる。図 15は無線 LAN監視システムの各構成要素の実施例 4に関連する機能ブロックを示す図である。実施例 1との機能ブロックの違いは、運用管理装置にカンパ-一 IDリスト 116が追加されている点である。カンパ-一 IDリストの例を図 16に示す。カンパ-一 IDは 3バイトの 16進で表現される値であり、組織名は製造元を表す文字列である。

[0094] 表示装置 200は、運用管理装置から不正 APリスト、不正 ad-hocリストに加えて、力ンパニー IDリストを取得する。 BSSIDの先頭から 3バイトはカンパ-一 IDであるため、取得した不正 APリストの BSSIDの先頭 3バイトに一致するエントリをカンパ-一 ID リストから検索する。不正 APを表示する際に検索して得たベンダー名を BSSIDの後に付記する。

[0095] 具体的には、図 15で表示されている不正 APの BSSIDは、 01:23:45:67:89:ab、

00:11:22:33:44:55、 00:66:77:88:99:aaであり、各先頭の 3バイトのカンパ-一 IDは 01:23:45、 00:11:22、 00:66:77である。各カンパ-一 IDをキーにして図 16から各不正 APの製造元はそれぞれ compnayl、 company2、 company3であることを半 U定し、表示部に組織名を表示する。なお、 BSSIDと組織名との対応は表示装置内で行うように説明したが、運用管理装置側で行っても良い。

実施例 5

[0096] 次に、不正 APが出現した場合、不正 APを検出した周囲の管理対象 APに不正 AP と同じ SSIDを設定する実施例について述べる。すなわち、先の実施例 1では、不正 APに接続する端末の MACアドレスを検出して、その MACアドレスを SWに設定することにより、 SWで不正 APに接続した端末からのフレームを破棄するようにしていた力不正 APに接続しょうとする管理対象外端末を管理対象 APに接続させて、その管理対象外端末からのフレームを管理対象 APで破棄することも考えられる。

[0097] 図 17は実施例 5の処理フローを示す図である。実施例 1の処理フローとの違いは、運用管理装置と管理対象端末の間で行われるフレーム送信元識別子の取得 706、運用管理装置と不正 APに接続した管理対象端末との間で行われる不正無線局利用禁止のメッセージ通知 707、運用管理装置と SWの間で行われる不正利用端末識別子の通知 708が削除され、運用管理装置と管理対象 APの間で行われる不正無線局 SSID713通知が追加されたことである。

[0098] 図 18は無線 LAN監視システムの各構成要素の実施例 4に関連する機能ブロックを示す図である。実施例 1との機能ブロックの違いは、管理対象端末のフレーム送信元識別子リストが不要な点、管理対象端末の受信可能 BSS識別子リスト A403には、受信可能 BSSIDに加えて、該 BSSIDを持つ不正無線局の SSIDも格納される点、同様に運用管理装置の受信可能 BSS識別子リスト Bに不正無線局の SSIDが格納（図 19)される点、管理対象 APに不正無線局の SSIDを格納する不正無線局 SSID 格納部 309、不正無線局 SSID格納部に格納された SSIDを使用して接続している管理対象外端末の MACアドレスを格納するフィルタリング識別子格納部 308が追カロされた点である。

[0099] 図 20、図 21は処理フロー中の運用管理装置の動作を示す図であり、図 20において、図 4と同等部分は同一符号にて示している。実施例 1との違いは、図 20の 805と、図 21の 906の処理が追カロ'変更されている点、図 5の 902、 903が削除されている点である。図 20の 805では、運用管理装置は管理対象端末力も受信可能 BSSIDに加えて SSIDを取得し（図 20の 8051)、受信可能 BSS識別子リスト Bに格納している (図 20の 8052)。図 21の 906では、運用管理装置は、不正 APを検出した管理対象端末が所属する管理対象 APに対して、その管理対象 APに接続する端末が検出した不正 APの SSIDを通知する（図 20の 9061, 9062)。

[0100] 無線 LANを利用しょうとする端末は、一般に周囲を検索して受信可能な SSIDを取得し、その中で所望の SSIDの無線 LANに接続を試みる。そのため、不正 APを使用した有線網への不正侵入は、不正 APを設置し、その不正 APに接続して有線網に侵入する t 、う手順になる。

[0101] 本実施例では、運用管理装置が管理対象端末力も不正 APの SSIDを取得（図 17 の 712)し、取得した不正 APの SSIDを管理対象 APに設定（図 17の 713、図 21の 9 062)する。管理対象 APは該 SSIDをビーコンに載せて送信するため、 BSSIDは異なるが同一の SSIDを持った APが複数存在する環境が構築され、不正 APに接続しようとする端末が不正 APに接続できる頻度は低くなる。管理対象 APに接続される場合もあり、その場合には該端末と有線網との通信は遮断されることになる。

[0102] 以上述べたように、本発明によれば、固有の BSS識別子を不正無線局の判定に使用することにより、 SS識別子を詐称したアクセスポイントや SS識別子を隠蔽するァクセスポイントも不正無線局として検出 ·表示することが可能となる。また、不正無線局の表示を種別毎に行うことによって、探査する対象の絞込みが行え、不正無線局の探査'撤去作業が改善される。更に、不正 APに接続した端末の識別子を取得し、該識別子をキーにしてアクセスポイントあるいは有線 LANスィッチによりフレームを破棄することにより、不正 APを経由して有線網にアクセスされ情報が漏洩されることを防止できセキュリティが向上する。

[0103] 上述した各動作フローは、予め記録媒体にプログラムとして動作手順を格納しておき、これをコンピュータにより読み取って実行させるようにすることができるものである。

Claims

請求の範囲

[1] 固有識別子を有する管理対象無線基地局を含む無線通信システムであって、無線フレームに含まれる前記固有識別子に基づいて不正無線局の有無を検出する不正無線局検出手段を含むことを特徴とする無線通信システム。

[2] 前記不正無線局検出手段は、前記固有識別子と予め登録されている固有識別子とを比較する比較手段と、この比較結果に基づ、て前記不正無線局の判定をなす手段とを有することを特徴とする請求項 1に記載の無線通信システム。

[3] 前記固有識別子は、互いに通信する無線通信端末、無線基地局のグループを基本サービスセットとしたとき、この基本サービスセット識別のための識別子 (BSS識別子)であることを特徴とする請求項 1に記載の無線通信システム。

[4] 前記不正無線局検出手段は、前記 BSS識別子から前記不正無線局の種別を判定する手段を更に有することを特徴とする請求項 3に記載の無線通信システム。

[5] 前記不正無線局検出手段は、前記 BSS識別子から前記不正無線局の製造元を判定する手段を、更に有することを特徴とする請求項 3に記載の無線通信システム。

[6] システムによって管理され、無線フレームを取得して前記固有識別子を得る手段を有する管理対象無線基地局を含み、

前記不正無線局検出手段は、前記管理対象無線基地局から前記固有識別子を得る手段を、更に有することを特徴とする請求項 1に記載の無線通信システム。

[7] システムによって管理され、無線フレームを取得して前記固有識別子を得る手段を有する管理対象無線通信端末を含み、

前記不正無線局検出手段は、前記管理対象無線通信端末から前記固有識別子を得る手段を、更に有することを特徴とする請求項 1に記載の無線通信システム。

[8] 前記不正無線局検出手段は、前記不正無線局に接続された管理対象無線通信端末に対して前記不正無線局の利用を禁止する旨の通知をなす手段を更に有することを特徴とする請求項 1に記載の無線通信システム。

[9] スィッチ装置を更に含み、

前記不正無線局検出手段は、前記不正無線局に接続された不正無線通信端末のアドレスを検出して、前記スィッチ装置に対して前記アドレスを通知する手段を、更に有し、

前記スィッチ装置は、前記アドレスを含む無線フレームの廃棄をなす手段を有することを特徴とする請求項 1に記載の無線通信システム。

[10] 前記不正無線局検出手段は、前記管理対象無線基地局に対して前記不正無線通信端末を通知し、また前記管理対象無線基地局に接続された管理対象無線通信端末に対して前記不正無線局を通知する手段を更に有することを特徴とする請求項 1 に記載の無線通信システム。

[11] 前記不正無線局検出手段は、前記管理対象無線基地局に接続された不正無線通信端末の通信を不能とするよう制御する手段を更に有することを特徴とする請求項 1 に記載の無線通信システム。

[12] 前記不正無線局検出手段は、前記不正無線局の周囲の管理対象無線基地局に対して、前記無線フレーム力取得された前記不正無線局のサービスセット識別のための識別子 (SS識別子)を通知する手段を、更に有し、

前記 SS識別子の通知を受けた管理対象無線基地局は、前記 SS識別子と同一の値を使用して接続した無線通信端末からの無線フレームを受信した場合、この無線フレームを破棄する手段を有することを特徴とする請求項 1に記載の無線通信システム。

[13] 固有識別子を有する管理対象無線基地局を含む無線通信システムにおける運用管理装置であって、

無線フレームに含まれる固有識別子に基づいて不正無線局の有無を検出する不正無線局検出手段を含むことを特徴とする運用管理装置。

[14] 前記不正無線局検出手段は、前記固有識別子と予め登録されている固有識別子とを比較する比較手段と、この比較結果に基づ、て前記不正無線局の判定をなす手段とを有することを特徴とする請求項 13に記載の運用管理装置。

[15] 前記固有識別子は、互いに通信する無線通信端末、無線基地局のグループを基本サービスセットとしたとき、この基本サービスセット識別のための識別子 (BSS識別子)であることを特徴とする請求項 13に記載の運用管理装置。

[16] 前記 BSS識別子から前記不正無線局の種別を判定する手段を更に含むことを特徴とする請求項 15に記載の運用管理装置。

[17] 前記 BSS識別子から前記不正無線局の製造元を判定する手段を更に含むことを特徴とする請求項 15に記載の運用管理装置。

[18] システムによって管理され無線フレームを取得して前記固有識別子を得るようにした管理対象無線基地局力前記固有識別子を得る手段を更に含むことを特徴とする請求項 13に記載の運用管理装置。

[19] システムによって管理され無線フレームを取得して前記固有識別子を得るようにした管理対象無線通信端末から前記固有識別子を得る手段を更に含むことを特徴とする請求項 13に記載の運用管理装置。

[20] 前記不正無線局に接続された管理対象無線通信端末に対して前記不正無線局の利用を禁止する旨の通知をなす手段を更に含むことを特徴とする請求項 13に記載の運用管理装置。

[21] 前記不正無線局に接続された不正無線通信端末のアドレスを検出して、前記スィツチ装置に対して前記アドレスを通知する手段を更に含むことを特徴とする請求項 1 3に記載の運用管理装置。

[22] 前記管理対象無線基地局に対して前記不正無線通信端末を通知し、また前記管理対象無線基地局に接続された管理対象無線通信端末に対して前記不正無線局を通知する手段を更に含むことを特徴とする請求項 13に記載の運用管理装置。

[23] 前記管理対象無線基地局に接続された不正無線通信端末の通信を不能とするよう制御する手段を更に含むことを特徴とする請求項 13に記載の運用管理装置。

[24] 前記不正無線局の周囲の管理対象無線基地局に対して、前記無線フレームから取得された前記不正無線局のサービスセット識別のための識別子 (SS識別子)を通知する手段を、更に含むことを特徴とする請求項 13に記載の運用管理装置。

[25] 固有識別子を有する管理対象無線基地局と、システムを運用管理する運用管理装置とを含む無線通信システムにおける無線基地局であって、

無線フレームから前記固有識別子を取得する手段と、

前記固有識別子を、不正無線局の有無検出のために前記運用管理装置へ通知する手段とを含むことを特徴とする無線基地局。

[26] 前記運用管理装置から不正無線通信端末の通知を受けて、前記不正無線通信端末の通信を不能とする手段を更に含むことを特徴とする請求項 25に記載の無線基地局。

[27] 前記運用管理装置力前記不正無線局のサービスセット識別のための識別子 (SS 識別子)の通知を受け、前記 SS識別子と同一の値を使用して接続した無線通信端末からの無線フレームを受信した場合、この無線フレームを破棄する手段を更に含むことを特徴とする請求項 25に記載の無線基地局。

[28] 固有識別子を有する管理対象無線基地局と、システムを運用管理する運用管理装置とを含む無線通信システムにおける無線通信端末であって、

無線フレームから前記固有識別子を取得する手段と、

前記固有識別子を、不正無線局の有無検出のために前記運用管理装置へ通知する手段と

を含むことを特徴とする無線通信端末。

[29] 前記運用管理装置から通知された前記不正無線局の利用を禁止する手段を更に含むことを特徴とする請求項 28に記載の無線通信端末。

[30] 固有識別子を有する管理対象無線基地局を含む無線通信システムにおける不正無線局検出方法であって、

無線フレームに含まれる固有識別子に基づいて不正無線局の有無を検出するステップを含むことを特徴とする不正無線局検出方法。

[31] 固有識別子を有する管理対象無線基地局と、システムを運用管理する運用管理装置とを含む無線通信システムにおける無線基地局の動作制御方法であって、無線フレーム力前記固有識別子を取得するステップと、

前記固有識別子を、不正無線局の有無検出のために前記運用管理装置へ通知するステップと

を含むことを特徴とする動作制御方法。

[32] 固有識別子を有する管理対象無線基地局と、システムを運用管理する運用管理装置とを含む無線通信システムにおける無線通信端末の動作制御方法であって、無線フレーム力前記固有識別子を取得するステップと、

を含むことを特徴とする動作制御方法。

[33] 固有識別子を有する管理対象無線基地局を含む無線通信システムにおける不正無線局検出方法をコンピュータに実行させるためのプログラムであって、

無線フレームに含まれる固有識別子に基づいて不正無線局の有無を検出する処理を含むことを特徴とするプログラム。

[34] 固有識別子を有する管理対象無線基地局と、システムを運用管理する運用管理装置とを含む無線通信システムにおける無線基地局の動作制御方法をコンピュータに実行させるためのプログラムであって、

無線フレーム力前記固有識別子を取得する処理と、

前記固有識別子を、不正無線局の有無検出のために前記運用管理装置へ通知する処理と

を含むことを特徴とするプログラム。

[35] 固有識別子を有する管理対象無線基地局と、システムを運用管理する運用管理装置とを含む無線通信システムにおける無線通信端末の動作制御方法をコンピュータに実行させるためのプログラムであって、

無線フレーム力前記固有識別子を取得する処理と、前記固有識別子を、不正無線局の有無検出のために前記運用管理装置へ通知する処理とを含むことを特徴とするプログラム。