JP5239123B2 - 無線lanシステム - Google Patents
無線lanシステム Download PDFInfo
- Publication number
- JP5239123B2 JP5239123B2 JP2006070860A JP2006070860A JP5239123B2 JP 5239123 B2 JP5239123 B2 JP 5239123B2 JP 2006070860 A JP2006070860 A JP 2006070860A JP 2006070860 A JP2006070860 A JP 2006070860A JP 5239123 B2 JP5239123 B2 JP 5239123B2
- Authority
- JP
- Japan
- Prior art keywords
- wireless terminal
- terminal device
- network identifier
- access point
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、特に無線LANシステム、無線アクセスポイント、無線端末装置、及び無線アクセスポイントのネットワーク識別子通知方法に関する。
通常、無線LANシステムにおいて無線端末装置がアクセスポイント(以下、APと略記する)へ接続する方法は、IEEE802.11に準拠したシステムではまず無線端末装置がSSID:ANYのプローブリクエスト信号であるAP検索信号を発信し、周辺のAPのリストを作成する。そしてそのAPのリストの中から接続したいAPを選択し、接続を行うという方法であった。
ここで、SSIDとは無線LANの標準規格群であるIEEE 802.11シリーズの無線LANにおけるAPの識別子を指す。無線LANは電波を使って通信するため、有線LANと異なり複数のAPと交信可能になる「混信」状態が生じる可能性があるため、無線LANのAPと各無線端末にはSSIDを設定することで、SSIDが一致する端末としか通信しないようにすることができる。そして、SSID:ANYのプローブリクエスト信号とは、どのAPにも接続できる「ANY」という特殊なSSIDを用いて接続を要求する信号である。このAP検索信号を無線端末が送信することで、この無線端末と通信可能なAPからはそのAPに設定されたSSIDが通知される。そこで、この通知されたSSIDを用いて無線端末とAPとの通信を確立することができる。
ここで、SSIDとは無線LANの標準規格群であるIEEE 802.11シリーズの無線LANにおけるAPの識別子を指す。無線LANは電波を使って通信するため、有線LANと異なり複数のAPと交信可能になる「混信」状態が生じる可能性があるため、無線LANのAPと各無線端末にはSSIDを設定することで、SSIDが一致する端末としか通信しないようにすることができる。そして、SSID:ANYのプローブリクエスト信号とは、どのAPにも接続できる「ANY」という特殊なSSIDを用いて接続を要求する信号である。このAP検索信号を無線端末が送信することで、この無線端末と通信可能なAPからはそのAPに設定されたSSIDが通知される。そこで、この通知されたSSIDを用いて無線端末とAPとの通信を確立することができる。
しかし、上記のようなAPへの接続方法では、APの電波有効範囲にあるどの無線端末からもAPのSSIDが判明してしまうため、第3者の無線端末からもAPに通信可能となってしまうという通信セキュリティ面での問題があった。そのため、セキュリティに配慮して、SSIDが「ANY」設定の無線端末からの接続を拒否する機能をもったAPであるステルスモードのAPが登場している。
このステルスモードのAPへ接続するためには、ステルスモードのAPの電波有効範囲内で、無線端末装置にステルスモードのAPのSSIDをセットするか、無線端末装置に設定情報をセットした後、ステルスモードのAPの電波有効範囲へ移動する必要がある。しかしステルスモードのAPはAP検索信号に応答しないため、ステルスモードのAPの場所がわからない場合にAPの電波有効範囲を探すのは非常に困難であるという問題点があった。このような問題点に対して、例えば特許文献1や特許文献2のような発明が提案されている。
特開2004−343448号公報
特開2005−184314号公報
しかし、セキュリティ面の問題として、無線通信パケットの中のフレームは暗号化されていないため、正規の無線端末装置とステルスモードのAPとのやり取りのパケットをキャプチャソフトなど用いてモニタすれば、ステルスモードのAPのSSIDを盗み見ることができるという脆弱性がある、という問題点が依然としてあった。
本発明は、このような状況に鑑みてなされたものであり、上記問題点を解決する無線LANシステム、無線アクセスポイント、無線端末装置、及び無線アクセスポイントのネットワーク識別子通知方法を提供することを目的とする。
本発明は上記課題を解決すべく、以下に掲げる構成とした。
請求項1記載の発明の要旨は、無線端末装置と、
該無線端末装置から送信されるアクセスポイント検索信号を受信し、前記無線端末装置のMACアドレスが格納されたデータベースを参照し、該データベースに登録されている前記無線端末装置に対してネットワーク識別子通知信号を送信する無線アクセスポイントとを具備し、
前記ネットワーク識別子通知信号は、ネットワーク識別子格納領域が暗号化されていることを特徴とする無線LANシステムに存する。
請求項2記載の発明の要旨は、前記暗号化は、前記データベース及び前記無線端末装置に格納された共通鍵を用いた共通鍵暗号方式の暗号化であることを特徴とする請求項1に記載の無線LANシステムに存する。
請求項3記載の発明の要旨は、前記ネットワーク識別子通知信号は、該ネットワーク識別子通知信号が暗号化されていることを前記無線端末装置が判定する暗号化判定領域と、暗号化されたネットワーク識別子を格納したネットワーク識別子格納領域とから構成されることを特徴とする請求項1又は2に記載の無線LANシステムに存する。
請求項4記載の発明の要旨は、前記ネットワーク識別子格納領域の暗号化の判断方法は、前記ネットワーク識別子通知信号の先頭の1バイトを参照して0x00であれば暗号化されていると判断することを特徴とする請求項3に記載の無線LANシステムに存する。
請求項5記載の発明の要旨は、無線端末装置から送信されるアクセスポイント検索信号を受信し、
前記無線端末装置が登録されたデータベースを参照し、該データベースに登録されている前記無線端末装置に対してネットワーク識別子通知信号を送信する無線アクセスポイントであって、
前記ネットワーク識別子通知信号は、ネットワーク識別子格納領域が暗号化されていることを特徴とする無線アクセスポイントに存する。
請求項6記載の発明の要旨は、前記暗号化は、前記データベース及び前記無線端末装置に格納された共通鍵を用いた共通鍵方式の暗号化であることを特徴とする請求項5に記載の無線アクセスポイントに存する。
請求項7記載の発明の要旨は、前記ネットワーク識別子通知信号は、該ネットワーク識別子通知信号が暗号化されていることを前記無線端末装置が判定する暗号化判定領域と、暗号化されたネットワーク識別子を格納したネットワーク識別子格納領域とから構成されることを特徴とする請求項5又は6に記載の無線アクセスポイントに存する。
請求項8記載の発明の要旨は、前記ネットワーク識別子格納領域の暗号化の判断方法は、前記ネットワーク識別子通知信号の先頭の1バイトを参照して0x00であれば暗号化されていると判断することを特徴とする請求項7に記載の無線アクセスポイントに存する。
請求項9記載の発明の要旨は、アクセスポイント検索信号を送信し、無線アクセスポイントからのネットワーク識別子通知信号を受信する無線端末装置であって、
前記ネットワーク識別子通知信号に含まれるネットワーク識別子が暗号化されており、暗号化されたネットワーク識別子を復号化する復号化手段を具備していることを特徴とする無線端末装置に存する。
請求項10記載の発明の要旨は、前記暗号化は、前記無線アクセスポイントが参照するデータベース及び前記復号化手段に格納された共通鍵を用いた共通鍵暗号方式の暗号化であることを特徴とする請求項9に記載の無線端末装置に存する。
請求項11記載の発明の要旨は、前記ネットワーク識別子通知信号は、該ネットワーク識別子通知信号が暗号化されていることを前記無線端末装置が判定する暗号化判定領域と、前記暗号化されたネットワーク識別子を格納したネットワーク識別子格納領域とから構成されることを特徴とする請求項9又は10に記載の無線端末装置に存する。
請求項12記載の発明の要旨は、前記ネットワーク識別子格納領域の暗号化の判断方法は、前記ネットワーク識別子通知信号の先頭の1バイトを参照して0x00であれば暗号化されていると判断することを特徴とする請求項11に記載の無線端末装置に存する。
請求項13記載の発明の要旨は、無線端末装置からのアクセスポイント検索信号に対して、ネットワーク識別子通知信号を送信する無線アクセスポイントのネットワーク識別子通知方法であって、
無線アクセスポイントがデータベースを参照し登録されている無線端末装置を照合する照合ステップと、
前記無線端末装置に対応して前記データベースに格納されている共通鍵によってネットワーク識別子を暗号化する暗号化ステップと、
暗号化されたネットワーク識別子に暗号化判定領域を付加して前記登録されている無線端末装置に前記ネットワーク識別子通知信号を送信する暗号化ネットワーク識別子送信ステップと
を具備することを特徴とする無線アクセスポイントのネットワーク識別子通知方法に存する。
請求項14記載の発明の要旨は、前記暗号化は、前記無線アクセスポイントが参照するデータベース及び前記無線端末装置に格納された共通鍵を用いた共通鍵暗号方式の暗号化であることを特徴とする請求項13に記載の無線アクセスポイントのネットワーク識別子通知方法に存する。
請求項15記載の発明の要旨は、前記ネットワーク識別子通知信号を復号化する復号化ステップを有することを特徴とする請求項13又は14に記載の無線アクセスポイントのネットワーク識別子通知方法に存する。
請求項16記載の発明の要旨は、前記ネットワーク識別子通知信号の先頭の1バイトを参照して0x00であれば暗号化されていると判断するネットワーク識別子格納領域暗号化判断ステップを有することを特徴とする請求項13乃至15のいずれかに記載の無線アクセスポイントのネットワーク識別子通知方法に存する。
請求項17記載の発明の要旨は、請求項13乃至16のいずれかに記載の無線アクセスポイントのネットワーク識別子通知方法を実行可能なプログラムに存する。
請求項1記載の発明の要旨は、無線端末装置と、
該無線端末装置から送信されるアクセスポイント検索信号を受信し、前記無線端末装置のMACアドレスが格納されたデータベースを参照し、該データベースに登録されている前記無線端末装置に対してネットワーク識別子通知信号を送信する無線アクセスポイントとを具備し、
前記ネットワーク識別子通知信号は、ネットワーク識別子格納領域が暗号化されていることを特徴とする無線LANシステムに存する。
請求項2記載の発明の要旨は、前記暗号化は、前記データベース及び前記無線端末装置に格納された共通鍵を用いた共通鍵暗号方式の暗号化であることを特徴とする請求項1に記載の無線LANシステムに存する。
請求項3記載の発明の要旨は、前記ネットワーク識別子通知信号は、該ネットワーク識別子通知信号が暗号化されていることを前記無線端末装置が判定する暗号化判定領域と、暗号化されたネットワーク識別子を格納したネットワーク識別子格納領域とから構成されることを特徴とする請求項1又は2に記載の無線LANシステムに存する。
請求項4記載の発明の要旨は、前記ネットワーク識別子格納領域の暗号化の判断方法は、前記ネットワーク識別子通知信号の先頭の1バイトを参照して0x00であれば暗号化されていると判断することを特徴とする請求項3に記載の無線LANシステムに存する。
請求項5記載の発明の要旨は、無線端末装置から送信されるアクセスポイント検索信号を受信し、
前記無線端末装置が登録されたデータベースを参照し、該データベースに登録されている前記無線端末装置に対してネットワーク識別子通知信号を送信する無線アクセスポイントであって、
前記ネットワーク識別子通知信号は、ネットワーク識別子格納領域が暗号化されていることを特徴とする無線アクセスポイントに存する。
請求項6記載の発明の要旨は、前記暗号化は、前記データベース及び前記無線端末装置に格納された共通鍵を用いた共通鍵方式の暗号化であることを特徴とする請求項5に記載の無線アクセスポイントに存する。
請求項7記載の発明の要旨は、前記ネットワーク識別子通知信号は、該ネットワーク識別子通知信号が暗号化されていることを前記無線端末装置が判定する暗号化判定領域と、暗号化されたネットワーク識別子を格納したネットワーク識別子格納領域とから構成されることを特徴とする請求項5又は6に記載の無線アクセスポイントに存する。
請求項8記載の発明の要旨は、前記ネットワーク識別子格納領域の暗号化の判断方法は、前記ネットワーク識別子通知信号の先頭の1バイトを参照して0x00であれば暗号化されていると判断することを特徴とする請求項7に記載の無線アクセスポイントに存する。
請求項9記載の発明の要旨は、アクセスポイント検索信号を送信し、無線アクセスポイントからのネットワーク識別子通知信号を受信する無線端末装置であって、
前記ネットワーク識別子通知信号に含まれるネットワーク識別子が暗号化されており、暗号化されたネットワーク識別子を復号化する復号化手段を具備していることを特徴とする無線端末装置に存する。
請求項10記載の発明の要旨は、前記暗号化は、前記無線アクセスポイントが参照するデータベース及び前記復号化手段に格納された共通鍵を用いた共通鍵暗号方式の暗号化であることを特徴とする請求項9に記載の無線端末装置に存する。
請求項11記載の発明の要旨は、前記ネットワーク識別子通知信号は、該ネットワーク識別子通知信号が暗号化されていることを前記無線端末装置が判定する暗号化判定領域と、前記暗号化されたネットワーク識別子を格納したネットワーク識別子格納領域とから構成されることを特徴とする請求項9又は10に記載の無線端末装置に存する。
請求項12記載の発明の要旨は、前記ネットワーク識別子格納領域の暗号化の判断方法は、前記ネットワーク識別子通知信号の先頭の1バイトを参照して0x00であれば暗号化されていると判断することを特徴とする請求項11に記載の無線端末装置に存する。
請求項13記載の発明の要旨は、無線端末装置からのアクセスポイント検索信号に対して、ネットワーク識別子通知信号を送信する無線アクセスポイントのネットワーク識別子通知方法であって、
無線アクセスポイントがデータベースを参照し登録されている無線端末装置を照合する照合ステップと、
前記無線端末装置に対応して前記データベースに格納されている共通鍵によってネットワーク識別子を暗号化する暗号化ステップと、
暗号化されたネットワーク識別子に暗号化判定領域を付加して前記登録されている無線端末装置に前記ネットワーク識別子通知信号を送信する暗号化ネットワーク識別子送信ステップと
を具備することを特徴とする無線アクセスポイントのネットワーク識別子通知方法に存する。
請求項14記載の発明の要旨は、前記暗号化は、前記無線アクセスポイントが参照するデータベース及び前記無線端末装置に格納された共通鍵を用いた共通鍵暗号方式の暗号化であることを特徴とする請求項13に記載の無線アクセスポイントのネットワーク識別子通知方法に存する。
請求項15記載の発明の要旨は、前記ネットワーク識別子通知信号を復号化する復号化ステップを有することを特徴とする請求項13又は14に記載の無線アクセスポイントのネットワーク識別子通知方法に存する。
請求項16記載の発明の要旨は、前記ネットワーク識別子通知信号の先頭の1バイトを参照して0x00であれば暗号化されていると判断するネットワーク識別子格納領域暗号化判断ステップを有することを特徴とする請求項13乃至15のいずれかに記載の無線アクセスポイントのネットワーク識別子通知方法に存する。
請求項17記載の発明の要旨は、請求項13乃至16のいずれかに記載の無線アクセスポイントのネットワーク識別子通知方法を実行可能なプログラムに存する。
本発明の無線LANシステムにおいては、データベースに登録されている無線端末からはステルスモードのAPを通常のAPと同様にAP検索信号を用いて検索、発見できる。そして、APから送信される無線通信パケットの中のネットワーク識別子が暗号化されているため、キャプチャソフトなどを用いてモニタしても正規の無線端末以外の第3者の無線端末はAPのネットワーク識別子を知ることができない。従って無線通信のセキュリティを高めることができるという顕著な効果を奏する。
<第1の実施形態>
本発明の第1の実施形態について、図面を参照しつつ詳細に説明する。
図1は本実施形態の無線LANシステムの構成図である。本実施形態の無線LANシステムは、無線アクセスポイント101(以下、AP101と略記する)と、このAP101と接続されAP101が参照可能であるデータベース103と、無線端末装置102とを備えて構成される。ここで、AP101とデータベース103との接続は、インターネットや専用線といったネットワークを通じて接続されていても良く、またデータベース103が記憶媒体としてAP101に直接具備されていても良い。また、無線端末装置102は後述する暗号化されたネットワーク識別子通知信号を復号化する復号化手段を具備している。この復号化手段はプログラムとして無線端末装置102に実装されていれば良い。またここでの「ネットワーク識別子」とは、例えば本実施形態のIEEE802.11に準拠したシステムにおいては、上述したSSIDのことを示すが、このネットワーク識別子とはSSIDに限定されることはなく、通信相手を特定する識別子で、お互いにこの識別子が一致できないと通信ができないという性質を持つ識別子であれば、SSID以外の識別子であっても良い。
本発明の第1の実施形態について、図面を参照しつつ詳細に説明する。
図1は本実施形態の無線LANシステムの構成図である。本実施形態の無線LANシステムは、無線アクセスポイント101(以下、AP101と略記する)と、このAP101と接続されAP101が参照可能であるデータベース103と、無線端末装置102とを備えて構成される。ここで、AP101とデータベース103との接続は、インターネットや専用線といったネットワークを通じて接続されていても良く、またデータベース103が記憶媒体としてAP101に直接具備されていても良い。また、無線端末装置102は後述する暗号化されたネットワーク識別子通知信号を復号化する復号化手段を具備している。この復号化手段はプログラムとして無線端末装置102に実装されていれば良い。またここでの「ネットワーク識別子」とは、例えば本実施形態のIEEE802.11に準拠したシステムにおいては、上述したSSIDのことを示すが、このネットワーク識別子とはSSIDに限定されることはなく、通信相手を特定する識別子で、お互いにこの識別子が一致できないと通信ができないという性質を持つ識別子であれば、SSID以外の識別子であっても良い。
このAP101は、上述したステルスモード機能を具備し、特定の無線端末装置102に対してSSIDを通知する機能を具備する。また無線端末装置102にSSIDを通知する際に、AP101のSSIDを暗号化して送信する機能を具備する。
また無線端末装置102は、無線通信機能を具備し、AP検索信号を発信する機能を具備する。そしてAP101からの応答信号に対しSSIDが暗号化されているか判定する機能を具備し、SSIDが暗号化されている場合には復号化手段105を用いて復号する機能を具備する。ここでの応答信号とは、AP101からのプローブレスポンス信号のことを指す。
またDB103は、AP101のSSIDの通知を許可する無線端末装置102の登録情報と、その無線端末装置102に対応した暗号化に必要な鍵を対応付けて格納してある。この登録情報と暗号化に必要な鍵については、後に詳述する。
次に本実施形態の無線LANシステムの動作について、図2を参照しつつ説明する。まず、AP101はSSIDの通知を許可する無線端末装置のMACアドレスを格納してあるDB103と接続する。このMACアドレスとは、LAN機器に実装されているEthernet(登録商標)カードに固有のID番号のことである。ここで、データベースに登録されている無線端末装置102の登録情報とはこのMACアドレスに限定されることはなく、AP101が接続を許可する無線端末装置102を一義的に特定できるID情報であれば、どのようなものであっても良い。ステルスモードのAP101はDB103に登録してある無線端末装置102からのAP検索信号に対しては、SSIDを暗号化して通知する。それによって、DB103に登録されている無線端末装置102はステルスモードのAP101を通常のAPと同じようにAP検索信号を用いて検索、発見できるようになる。
このDB103には、無線端末装置102のMACアドレスと、AP101のSSIDを暗号化するための鍵となる情報を無線端末装置102と対応付けて格納しておく。このSSIDを暗号化するための鍵となる情報は、暗号強度の点から共通鍵暗号方式の共通鍵であることが好ましいが、SSIDをセキュリティ的に安全に暗号・復号化することができる情報であれば、他の暗号方式の鍵であっても良い。そして、AP101が無線端末装置102にSSIDを通知する際に、DB103に格納してある共通鍵104を用いて暗号化することで、データベース103に登録されていない第3者の無線端末装置102によるSSIDの傍受を防ぐことができる。このSSID共通鍵104は、32バイトの文字列であるSSID格納領域を共通鍵暗号方式で暗号・復号する共通鍵であり、無線端末装置102毎に異なるSSID共通鍵が保持されていて、各無線端末装置102と対応付けてAP101の共通鍵がデータベース103に記憶されている。
次に、AP101の構成について図3を参照しつつ詳述する。まずAP101は、送受信部201、MACアドレス抽出部202、DB通信部203、SSID暗号化部204、及び制御部205を具備して構成される。この送受信部201は、無線端末装置102からのAP検索信号を受信し、SSIDの通知を許可する無線端末装置102に対して応答信号を送信する機能を有する。またMACアドレス抽出部202は、無線端末装置102からのAP検索信号内にある送信元無線端末装置102のMACアドレスを抽出し、一時的に保存する機能を有する。またDB通信部203は、MACアドレス抽出部202で抽出された無線端末装置102のMACアドレスがDB103に存在するか否かを検索し、検索結果を通知する機能を有する。この検索結果において、DB103にMACアドレスが存在した場合には、DB103からそのMACアドレスを有する無線端末装置102に対応したSSID共通鍵104を抽出する機能も有している。またSSID暗号化部204は、DB103から抽出したSSID共通鍵104を用いて、通知するSSIDを暗号化し、暗号化したSSIDをSSID格納領域に格納する機能を有する。ここでのSSID格納領域とは、IEEE802.11で定義された32バイト長のSSIDを格納する領域であり、AP101と無線端末装置102間での接続処理の中で送受信される制御データの1つを指す。そして制御部205は、上記の各機能を制御する機能を有する。これら各構成部は、マイクロプロセッサ、メモリ、記憶媒体等といったハードウェアと、これに実装されたプログラムとによって構成される。
次に、無線端末装置102の構成について図4を参照しつつ詳述する。まず無線端末装置102は、送受信部301、SSID共通鍵格納部302、SSID格納領域抽出部303、暗号化SSID判定部304、SSID復号化部305、制御部306を具備して構成される。この送受信部301は、AP検索信号を発信し、AP101からの応答信号を受信する機能を有する。またSSID共通鍵格納部302は、無線端末装置102固有のSSID共通鍵104を保持する機能を有する。またSSID格納領域抽出部303は、AP101からの応答信号からSSID格納領域を抽出し、一時的に保存する機能を有する。また暗号化SSID判定部304は、AP101からの応答信号の内のSSID格納領域を抽出し、SSIDが暗号化されているか否かを判断する機能を有する。またSSID復号化部305は、SSID共通鍵格納部302に格納してあるSSID共通鍵を用いて、暗号化されたSSIDを復号する機能を有する。そして制御部306は上記の各機能を制御する機能を有する。これら各構成部は、マイクロプロセッサ、メモリ、記憶媒体等といったハードウェアと、これに実装されたプログラムとによって構成される。
次に、本実施形態の無線LANシステムの動作フローの詳細について、図2及び図5を参照しつつ説明する。前提条件として、DB103に無線端末装置102のMACアドレスと無線端末装置102が保持しているSSID共通鍵104とが格納されている状態であるとする。まず無線端末装置102がAP検索信号をブロードキャストで発信する。ここで「ブロードキャストで発信する」とは、ネットワーク内で不特定多数の相手に向かってデータを送信することを指す。するとAP101はAP検索信号を受信し、このAP検索信号から送信元MACアドレスを抽出する。そしてAP101は抽出したMACアドレスがDB103に存在するか否かを検索し、これが存在していた場合、MACアドレスに対応したSSID共通暗号化鍵104をデータベース103から抽出する。そしてAP101はデータベース103に登録されていた無線端末装置102に対して通知するSSIDをSSID共通鍵104で暗号化し、応答信号のSSID格納領域に保存する。そしてAP101は応答信号を無線端末装置102に対してユニキャストで送信する。ここで「ユニキャストで送信する」とは、ネットワーク内で単一のアドレスを指定して特定の相手にデータを送信することであり、ここではデータベース103に照会し登録されていた無線端末装置102を特定してこれにデータを送信することを指す。無線端末装置102は応答信号を受信し、この応答信号からSSID格納領域を抽出する。そして無線端末装置102は抽出したSSID格納領域が暗号化されていると判断したら、無線端末装置102内に格納されているSSID共通鍵104を用いて復号しSSIDを取得する。その後、取得したSSIDを用いてAP101との間で無線通信を開始する。
さらにAP101のAP検索信号を受信した後から応答信号を送信するまでの詳細な動作を図3及び図6を用いて説明する。まずAP101においては、送受信部201が無線端末装置102からのAP検索信号を受信する(S501)。次に、受信したAP検索信号から、MACアドレス抽出部202が送信元の無線端末装置102のMACアドレスを抽出する(S502)次に、DB通信部203は抽出したMACアドレスがDB103に存在するか否かを検索する(照合ステップ)。抽出したMACアドレスがDB103に存在していた場合は、データベース103からのSSID共通鍵取得に進み(S504)、DB103に抽出したMACアドレスが存在していない場合はそのまま終了となる。ここでデータベース103からのSSID共通鍵取得に進んだ場合は、DB通信部203がAP検索信号から抽出したMACアドレスと対応しているSSID共通鍵104をDB103から抽出する(S504)。次にSSID暗号化部204は無線端末装置102に通知するSSIDを、DB103から抽出したSSID共通鍵104で暗号化し(暗号化ステップ)、応答信号のSSID格納領域に暗号化SSIDとして保存する(S505)。そして送受信部201は応答信号を無線端末装置102へユニキャストで送信する(S506、暗号化SSID送信ステップ)。
また無線端末装置102の応答信号受信後からSSIDの抽出、復号化までの詳細な動作
を図4及び図7を用いて説明する。まず無線端末装置102においては、送受信部301がAP101からの応答信号を受信する(S601)。次に受信した応答信号から、SSID格納領域抽出部303がSSID格納領域を抽出する(S602)。次に暗号化SSID判定部304は、抽出したSSID格納領域にある文字列が暗号化されているかを判定し(S603)、暗号化されている場合はSSID格納領域の復号(S604)へ、暗号化されていない場合はSSID格納領域の文字列をSSIDのみなし終了とする。この暗号化されているか否かの判定については、後に詳述する。ここでSSID格納領域の復号へ進んだ場合には、SSID復号部305は暗号化されたSSID格納領域をSSID共通鍵格納部302に格納されている鍵104を用いて復号し、AP101のSSIDを取得する(S604、復号化ステップ)。
を図4及び図7を用いて説明する。まず無線端末装置102においては、送受信部301がAP101からの応答信号を受信する(S601)。次に受信した応答信号から、SSID格納領域抽出部303がSSID格納領域を抽出する(S602)。次に暗号化SSID判定部304は、抽出したSSID格納領域にある文字列が暗号化されているかを判定し(S603)、暗号化されている場合はSSID格納領域の復号(S604)へ、暗号化されていない場合はSSID格納領域の文字列をSSIDのみなし終了とする。この暗号化されているか否かの判定については、後に詳述する。ここでSSID格納領域の復号へ進んだ場合には、SSID復号部305は暗号化されたSSID格納領域をSSID共通鍵格納部302に格納されている鍵104を用いて復号し、AP101のSSIDを取得する(S604、復号化ステップ)。
次にSSID格納領域を暗号化した場合の通知方法、暗号化されているか否かの判断方法を、図8及び図9を用いて詳細に説明する。
暗号化していない通常のSSID格納領域は、図8に示す様に32バイトのSSID格納領域の先頭からSSID文字列が格納され、最後に0x00が入る事で文字列の終端と判断している。
そこでSSID格納領域を暗号化した場合の通知方法は、図9で示すように32バイトのSSID格納領域の先頭1バイトに0x00を格納する。そしてその後31バイトに暗号化したSSIDを格納する。
SSID格納領域が暗号化されているか否かの判断方法は、先頭の1バイトを見て0x00であれば暗号化してあると判断し、その後ろ31バイトはSSID共通鍵104を用いて復号する。先頭1バイトが0x00以外の場合は非暗号化と判断し、そのままSSIDを抽出する(SSID格納領域暗号化判断ステップ)。
暗号化していない通常のSSID格納領域は、図8に示す様に32バイトのSSID格納領域の先頭からSSID文字列が格納され、最後に0x00が入る事で文字列の終端と判断している。
そこでSSID格納領域を暗号化した場合の通知方法は、図9で示すように32バイトのSSID格納領域の先頭1バイトに0x00を格納する。そしてその後31バイトに暗号化したSSIDを格納する。
SSID格納領域が暗号化されているか否かの判断方法は、先頭の1バイトを見て0x00であれば暗号化してあると判断し、その後ろ31バイトはSSID共通鍵104を用いて復号する。先頭1バイトが0x00以外の場合は非暗号化と判断し、そのままSSIDを抽出する(SSID格納領域暗号化判断ステップ)。
<第2の実施形態>
次に本発明の第2の実施形態について説明する。AP101、無線端末装置102、データベース103の構成については第1の実施形態と同じである。またSSID格納領域の暗号化方法についても第1の実施形態と同じである。本実施形態が第1の実施形態と異なる点は、AP101と無線端末装置102に持たせる共通暗号鍵104を、無線端末装置102毎の固有な鍵ではなく全て共通の鍵を用いる点である。従ってAP101はすべての無線端末装置102からのAP検索信号に対して、SSIDをSSID共通鍵104で暗号化し通知する。この通知を受け取った無線端末装置102がSSID共通鍵104を保持している場合は取得したSSID格納領域を復号できるが、SSID共通鍵104を保持していない無線端末装置102は取得したSSID格納領域を破棄するように構成される。このような構成にすることによって、本実施形態においては個々の無線端末装置102に対して共通鍵を記憶しておく必要が無いため、データベース103に保持するデータ量を少なくできるという顕著な効果を奏する。
次に本発明の第2の実施形態について説明する。AP101、無線端末装置102、データベース103の構成については第1の実施形態と同じである。またSSID格納領域の暗号化方法についても第1の実施形態と同じである。本実施形態が第1の実施形態と異なる点は、AP101と無線端末装置102に持たせる共通暗号鍵104を、無線端末装置102毎の固有な鍵ではなく全て共通の鍵を用いる点である。従ってAP101はすべての無線端末装置102からのAP検索信号に対して、SSIDをSSID共通鍵104で暗号化し通知する。この通知を受け取った無線端末装置102がSSID共通鍵104を保持している場合は取得したSSID格納領域を復号できるが、SSID共通鍵104を保持していない無線端末装置102は取得したSSID格納領域を破棄するように構成される。このような構成にすることによって、本実施形態においては個々の無線端末装置102に対して共通鍵を記憶しておく必要が無いため、データベース103に保持するデータ量を少なくできるという顕著な効果を奏する。
なお、本発明の無線LANシステム、無線アクセスポイント、無線端末装置、及び無線アクセスポイントのSSID通知方法は、上記の各実施形態に限定されることはなく、当業者の想到し得る技術範囲内において適宜改良、変形、変更することが可能である。
本発明の無線LANシステムにおいては、DBに登録されている無線端末装置はステルスモードのAPを通常のAPと同じようにAP検索信号を用いて検索、発見できるようになるため、無線LAN通信を開始する際の設定が容易になり、利用者の利便性を大きく向上することができる。かつ、SSIDの通知の際にSSIDを暗号化するため、SSIDの傍受を防ぐ事ができ、ステレスモードのセキュリティが向上するため利用者のネットワークのセキュリティ保持に大きく寄与することができる。
また本発明の無線LANシステムにおいては、暗号化する部分はSSID格納領域のみで無線通信のフレームは変更していないため、実装は容易であり、現在稼働している無線LANシステムに広く容易に導入することが可能である。この現在稼働している無線LANシステムへの導入容易性についてはさらに、本発明においてはSSID格納領域の暗号化判定をする機能(アプリケーション)が無い無線端末装置が暗号化されたSSID格納領域を取得した場合、図9が示すように暗号化されたSSID格納領域の先頭1バイトは0x00なので、暗号判定する機能が無い無線端末装置では先頭の0x00を終端文字と認識するためSSID格納領域に何も入っていないと認識する。そのため、SSID格納領域の暗号化判定をする機能(アプリケーション)が無い無線端末装置が暗号化されたSSID格納領域を取得した場合でも動作不具合を起こさないため、本発明の現有システムへの導入が容易であることが挙げられる。
101 無線アクセスポイント
102 無線端末装置
103 データベース
104 共通暗号鍵
105 復号化手段
201 送受信部(無線アクセスポイント)
202 MACアドレス抽出部(無線アクセスポイント)
203 データベース通信部(無線アクセスポイント)
204 SSID暗号化部(無線アクセスポイント)
205 制御部(無線アクセスポイント)
301 送受信部(無線端末装置)
302 SSID共通暗号鍵格納部(無線端末装置)
303 SSID格納領域抽出部(無線端末装置)
304 暗号化SSID判定部(無線端末装置)
305 SSID復号部(無線端末装置)
306 制御部(無線端末装置)
102 無線端末装置
103 データベース
104 共通暗号鍵
105 復号化手段
201 送受信部(無線アクセスポイント)
202 MACアドレス抽出部(無線アクセスポイント)
203 データベース通信部(無線アクセスポイント)
204 SSID暗号化部(無線アクセスポイント)
205 制御部(無線アクセスポイント)
301 送受信部(無線端末装置)
302 SSID共通暗号鍵格納部(無線端末装置)
303 SSID格納領域抽出部(無線端末装置)
304 暗号化SSID判定部(無線端末装置)
305 SSID復号部(無線端末装置)
306 制御部(無線端末装置)
Claims (13)
- 無線端末装置と、
該無線端末装置から送信されるアクセスポイント検索信号であって送信元の該無線端末装置のMACアドレスを含むアクセスポイント検索信号を受信し、接続を許可する無線端末装置に関して前記無線端末装置を一意に識別するMACアドレスと前記無線端末装置毎に異なる共通鍵とが対応付けられて登録されたデータベースを参照して、受信した前記アクセスポイント検索信号に含まれるMACアドレスが該データベースに登録されている場合に、該データベースに登録されているMACアドレスに対応する無線端末装置に対してネットワーク識別子通知信号を送信する無線アクセスポイントとを具備し、
前記ネットワーク識別子通知信号は、前記データベース及び前記無線端末装置に格納された前記無線端末装置毎に異なる共通鍵であって、前記アクセスポイント検索信号に含まれるMACアドレスに対応する共通鍵として前記データベースから抽出される共通鍵を用いた共通鍵暗号方式により、ネットワーク識別子格納領域が暗号化されていることを特徴とする無線LANシステム。 - 前記ネットワーク識別子通知信号は、該ネットワーク識別子通知信号が暗号化されていることを前記無線端末装置が判定する暗号化判定領域と、暗号化されたネットワーク識別子を格納したネットワーク識別子格納領域とから構成されることを特徴とする請求項1に記載の無線LANシステム。
- 前記ネットワーク識別子格納領域の暗号化の判断方法は、前記ネットワーク識別子通知信号の先頭の1バイトを参照して0x00であれば暗号化されていると判断することを特徴とする請求項2に記載の無線LANシステム。
- 無線端末装置から送信されるアクセスポイント検索信号であって送信元の該無線端末装置のMACアドレスを含むアクセスポイント検索信号を受信し、
接続を許可する無線端末装置に関して前記無線端末装置を一意に識別するMACアドレスと前記無線端末装置毎に異なる共通鍵とが対応付けられて登録されたデータベースを参照して、受信した前記アクセスポイント検索信号に含まれるMACアドレスが該データベースに登録されている場合に、該データベースに登録されているMACアドレスに対応する前記無線端末装置に対してネットワーク識別子通知信号を送信する無線アクセスポイントであって、
前記ネットワーク識別子通知信号は、前記データベース及び前記無線端末装置に格納された前記無線端末装置毎に異なる共通鍵であって、前記アクセスポイント検索信号に含まれるMACアドレスに対応する共通鍵として前記データベースから抽出される共通鍵を用いた共通鍵暗号方式により、ネットワーク識別子格納領域が暗号化されていることを特徴とする無線アクセスポイント。 - 前記ネットワーク識別子通知信号は、該ネットワーク識別子通知信号が暗号化されていることを前記無線端末装置が判定する暗号化判定領域と、暗号化されたネットワーク識別子を格納したネットワーク識別子格納領域とから構成されることを特徴とする請求項4に記載の無線アクセスポイント。
- 前記ネットワーク識別子格納領域の暗号化の判断方法は、前記ネットワーク識別子通知信号の先頭の1バイトを参照して0x00であれば暗号化されていると判断することを特徴とする請求項5に記載の無線アクセスポイント。
- 送信元である自装置のMACアドレスを含むアクセスポイント検索信号を送信する手段と、
接続を許可する無線端末装置に関して前記無線端末装置を一意に識別するMACアドレスと前記無線端末装置毎に異なる共通鍵とが対応付けられて登録されたデータベースを参照して、受信した前記アクセスポイント検索信号に含まれるMACアドレスが該データベースに登録されている場合に、該データベースに登録されているMACアドレスに対応する前記無線端末装置に対してネットワーク識別子通知信号を送信する無線アクセスポイントから、前記ネットワーク識別子通知信号を受信する手段と、を有する無線端末装置であって、
前記ネットワーク識別子通知信号に含まれるネットワーク識別子が暗号化されており、暗号化されたネットワーク識別子を復号化する復号化手段を具備し、
前記暗号化は、前記無線アクセスポイントが参照するデータベース及び前記復号化手段に格納された前記無線端末装置毎に異なる共通鍵であって、前記アクセスポイント検索信号に含まれるMACアドレスに対応する共通鍵として前記データベースから抽出される共通鍵を用いた共通鍵暗号方式の暗号化であることを特徴とする無線端末装置。 - 前記ネットワーク識別子通知信号は、該ネットワーク識別子通知信号が暗号化されていることを前記無線端末装置が判定する暗号化判定領域と、前記暗号化されたネットワーク識別子を格納したネットワーク識別子格納領域とから構成されることを特徴とする請求項7に記載の無線端末装置。
- 前記ネットワーク識別子格納領域の暗号化の判断方法は、前記ネットワーク識別子通知信号の先頭の1バイトを参照して0x00であれば暗号化されていると判断することを特徴とする請求項8に記載の無線端末装置。
- 無線端末装置から送信されるアクセスポイント検索信号であって送信元の該無線端末装置のMACアドレスを含むアクセスポイント検索信号に対して、ネットワーク識別子通知信号を送信する無線アクセスポイントのネットワーク識別子通知方法であって、
無線アクセスポイントは、接続を許可する無線端末装置に関して前記無線端末装置を一意に識別するMACアドレスと前記無線端末装置毎に異なる共通鍵とが対応付けられて登録されたデータベースを参照して、受信した前記アクセスポイント検索信号に含まれるMACアドレスが該データベースに登録されている場合に、登録されているMACアドレスに対応する無線端末装置を照合する照合ステップと、
前記無線端末装置に対応して前記データベースに格納されている共通鍵よってネットワーク識別子を暗号化する暗号化ステップと、
暗号化されたネットワーク識別子に暗号化判定領域を付加して前記登録されている無線端末装置に前記ネットワーク識別子通知信号を送信する暗号化ネットワーク識別子送信ステップとを具備し、
前記暗号化は、前記無線アクセスポイントが参照するデータベース及び前記無線端末装置に格納された前記無線端末装置毎に異なる共通鍵であって、前記アクセスポイント検索信号に含まれるMACアドレスに対応する共通鍵として前記データベースから抽出される共通鍵を用いた共通鍵暗号方式の暗号化である
ことを特徴とする無線アクセスポイントのネットワーク識別子通知方法。 - 前記ネットワーク識別子通知信号を復号化する復号化ステップを有することを特徴とする請求項10に記載の無線アクセスポイントのネットワーク識別子通知方法。
- 前記ネットワーク識別子通知信号の先頭の1バイトを参照して0x00であれば暗号化されていると判断するネットワーク識別子格納領域暗号化判断ステップを有することを特徴とする請求項10又は請求項11に記載の無線アクセスポイントのネットワーク識別子通知方法。
- 請求項10乃至12のいずれかに記載の無線アクセスポイントのネットワーク識別子通知方法を実行可能なプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006070860A JP5239123B2 (ja) | 2006-03-15 | 2006-03-15 | 無線lanシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006070860A JP5239123B2 (ja) | 2006-03-15 | 2006-03-15 | 無線lanシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007251500A JP2007251500A (ja) | 2007-09-27 |
| JP5239123B2 true JP5239123B2 (ja) | 2013-07-17 |
Family
ID=38595347
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006070860A Expired - Fee Related JP5239123B2 (ja) | 2006-03-15 | 2006-03-15 | 無線lanシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5239123B2 (ja) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101549007B1 (ko) * | 2008-10-23 | 2015-09-01 | 엘지전자 주식회사 | 안전한 csg 식별자 송수신방법 |
| JP2012054743A (ja) * | 2010-09-01 | 2012-03-15 | Kddi Corp | 無線lan設定システム、方法およびプログラム |
| JP2012060523A (ja) * | 2010-09-10 | 2012-03-22 | Hitachi Ltd | 無線lanアクセスポイント |
| US8938196B2 (en) | 2011-05-18 | 2015-01-20 | Radius Networks Inc. | System and method for delivering content to a wireless station |
| JP2013222991A (ja) | 2012-04-12 | 2013-10-28 | Ricoh Co Ltd | 無線通信システム、無線通信方法及び無線端末装置 |
| JP6121195B2 (ja) | 2013-02-27 | 2017-04-26 | 国立大学法人 東京大学 | 無線通信システム、無線機、及びプログラム |
| JP6368099B2 (ja) * | 2014-02-05 | 2018-08-01 | 西日本電信電話株式会社 | 中継装置、優先接続制御方法及びコンピュータプログラム |
| JP6056885B2 (ja) * | 2015-02-06 | 2017-01-11 | 株式会社リコー | 無線通信システム、無線通信方法及び第1の通信装置 |
| KR101767998B1 (ko) * | 2016-02-05 | 2017-08-30 | 주식회사 이노피아테크 | 무선 근거리 통신망을 구성하는 시스템 및 방법 |
| JP7347458B2 (ja) * | 2021-02-26 | 2023-09-20 | セイコーエプソン株式会社 | 無線通信制御方法、表示装置及び無線通信システム |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3563714B2 (ja) * | 2001-08-08 | 2004-09-08 | 株式会社東芝 | ネットワーク間接続装置 |
| JP2003174441A (ja) * | 2001-12-05 | 2003-06-20 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ暗号化方法,コンテンツ復号化方法,コンテンツ暗号化装置およびコンテンツ復号化装置 |
| JP2004295091A (ja) * | 2003-03-07 | 2004-10-21 | Matsushita Electric Ind Co Ltd | 暗号化装置、逆暗号化装置およびデータ再生装置 |
| JP3695538B2 (ja) * | 2003-06-04 | 2005-09-14 | 日本電気株式会社 | ネットワークサービス接続方法/プログラム/記録媒体/システム、アクセスポイント、無線利用者端末 |
| JP4218463B2 (ja) * | 2003-08-11 | 2009-02-04 | ソニー株式会社 | 無線通信装置並びに無線通信システム |
| JP4357339B2 (ja) * | 2004-04-07 | 2009-11-04 | 株式会社バッファロー | 無線通信システム、アクセスポイントおよび無線通信方法 |
| TW200614783A (en) * | 2004-07-20 | 2006-05-01 | Ibm | Communication apparatus, communication system, communication method, communication service method, program, and recording medium |
| JP4340600B2 (ja) * | 2004-08-05 | 2009-10-07 | 株式会社日立製作所 | 作業情報管理システム、携帯通信端末及び作業情報管理方法 |
-
2006
- 2006-03-15 JP JP2006070860A patent/JP5239123B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007251500A (ja) | 2007-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5239123B2 (ja) | 無線lanシステム | |
| US8126145B1 (en) | Enhanced association for access points | |
| US9392453B2 (en) | Authentication | |
| US7877805B1 (en) | Apparatus, method and computer program product for detection of a security breach in a network | |
| US8494164B2 (en) | Method for connecting wireless communications, wireless communications terminal and wireless communications system | |
| US20050226423A1 (en) | Method for distributes the encrypted key in wireless lan | |
| CN113271579A (zh) | 蓝牙设备控制方法、客户端、计算机设备和可读存储介质 | |
| US7966016B2 (en) | Communication apparatus and communication method | |
| US20060062391A1 (en) | Method and apparatus for managing communication security in wireless network | |
| US20080109654A1 (en) | System and method for RFID transfer of MAC, keys | |
| US20060262932A1 (en) | Systems and methods for negotiating security parameters for protecting management frames in wireless networks | |
| CN111726801B (zh) | 一种网络安全控制方法 | |
| JP4405309B2 (ja) | アクセスポイント、無線lan接続方法、無線lan接続プログラムを記録した媒体および無線lanシステム | |
| US20230224701A1 (en) | Network connection method, terminal, device to be connected to network, and storage medium | |
| JP2007506329A (ja) | Wlanセキュリティを向上させる方法 | |
| US20080137553A1 (en) | Method of automatic certification and secure configuration of a wlan system and transmission device thereof | |
| US11019037B2 (en) | Security improvements in a wireless data exchange protocol | |
| US7151765B2 (en) | Packets filtering method in a wireless network system | |
| US10985915B2 (en) | Encrypting data in a pre-associated state | |
| JPH06318939A (ja) | 暗号通信システム | |
| JP2009033585A (ja) | 無線lan端末接続方法およびその方法を用いた無線lanシステム | |
| KR101457455B1 (ko) | 클라우드 네트워크 환경에서의 데이터 보안 장치 및 방법 | |
| US9526000B1 (en) | Secure wireless network setup using multicast packets | |
| CN117834212A (zh) | 一种安全网关及通信系统 | |
| CN113747430B (zh) | 一种接入网络的方法、终端设备和ap |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090212 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110826 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110927 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20111110 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111121 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120214 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120413 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120821 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121016 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130305 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130318 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160412 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |