JP2010263310A - Wireless communication apparatus, wireless communication monitoring system, wireless communication method, and program - Google Patents
Wireless communication apparatus, wireless communication monitoring system, wireless communication method, and program Download PDFInfo
- Publication number
- JP2010263310A JP2010263310A JP2009111061A JP2009111061A JP2010263310A JP 2010263310 A JP2010263310 A JP 2010263310A JP 2009111061 A JP2009111061 A JP 2009111061A JP 2009111061 A JP2009111061 A JP 2009111061A JP 2010263310 A JP2010263310 A JP 2010263310A
- Authority
- JP
- Japan
- Prior art keywords
- access point
- wireless communication
- information
- specific access
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、無線通信を行う際に利用するアクセスポイントの情報を予め設定しておくことによりそのアクセスポイントに自動的に接続して無線通信を行う無線通信装置、この無線通信装置による無線通信を監視する無線通信監視システム、この無線通信装置における無線通信方法及びプログラムに関する。 The present invention provides a wireless communication apparatus that automatically connects to an access point to perform wireless communication by setting information on an access point to be used when performing wireless communication in advance, and performs wireless communication by the wireless communication apparatus. The present invention relates to a wireless communication monitoring system to be monitored, a wireless communication method and program in the wireless communication apparatus.
無線LAN(Local Area Network)デバイスを搭載するシステムの殆どには、利用する無線LANアクセスポイント(以下、単に「アクセスポイント」という)の情報を予め登録しておくことで、接続可能エリアにいれば自動的にオンライン状態にする自動接続機能が実装されている。ここで、アクセスポイントの情報とは、例えば、ESS−ID(Extended Service Set Identifier)、暗号方式、パスワードである。
通常のセキュリティ設定が施されたアクセスポイントであれば、暗号方式とパスワードが一致しなければ接続を許可しないが、暗号方式とパスワードは必須の設定項目ではないので、自由に接続を許可する目的でこれらの項目を設定しないアクセスポイントを設置することができる。また、暗号方式とパスワードが一致しなくても情報を受け取るだけで接続を許可するようにアクセスポイントを設置することもできる。
更に、現在普及する公衆無線LANサービスの中には、DHCP(Dynamic Host Configuration Protocol)環境にあり、かつ、アクセスポイントの情報が利用者間で共有されているものがある。このように共有されるアクセスポイントの情報は地域が異なっても同じものが用いられるため、利用者端末には、上記の自動接続機能を用いて、簡易にアクセスポイントに接続できる設定がなされていることも多い。こうしたことから、悪意あるアクセスポイントが、正常な公衆無線LANサービスのアクセスポイントを容易に装える状況になっている。
このような悪意あるアクセスポイントが存在した場合、自動接続機能が実装されたシステムはオンライン状態になる。つまり、信頼できないネットワークに勝手に接続してしまう虞がある。特に、攻撃者が管理するアクセスポイントに接続してしまった場合、通信データの盗聴や不正サイトへの誘導等、様々な攻撃を受ける可能性がある。
In most systems equipped with a wireless LAN (Local Area Network) device, information on a wireless LAN access point to be used (hereinafter simply referred to as “access point”) is registered in advance, so that it can be in a connectable area. An automatic connection function that automatically puts the system online is implemented. Here, the access point information includes, for example, an ESS-ID (Extended Service Set Identifier), an encryption method, and a password.
For access points with normal security settings, connection is not permitted unless the encryption method and password match, but the encryption method and password are not mandatory setting items. An access point that does not set these items can be installed. It is also possible to install an access point so as to permit connection only by receiving information even if the encryption method and password do not match.
Furthermore, some public wireless LAN services that are currently popular are in a DHCP (Dynamic Host Configuration Protocol) environment and access point information is shared among users. Since the same information is used for shared access points in different regions in this way, the user terminal is set up so that it can be easily connected to the access point using the automatic connection function described above. There are many things. For this reason, a malicious access point can easily be disguised as a normal public wireless LAN service access point.
When such a malicious access point exists, the system in which the automatic connection function is implemented is brought online. In other words, there is a risk of connecting to an unreliable network. In particular, when an attacker connects to an access point managed by an attacker, there is a possibility of various attacks such as wiretapping of communication data or guidance to an unauthorized site.
そこで、従来、パケットの盗聴を目的とした偽アクセスポイントが設置された場合でも、その不正なアクセスポイントを見抜いて接続を避ける無線LAN機器があった(例えば、特許文献1参照)。この特許文献1の技術では、正常なアクセスポイントへの接続履歴を記憶装置が保持し、無線LAN接続の指示があった場合、周囲のアクセスポイントが発するビーコンの識別情報と記憶装置内の接続履歴とを比較し、同一識別情報を持つアクセスポイントがあったり接続履歴にないアクセスポイントがあったりすると、更にビーコンの電波強度及び/又は暗号化状態を調べ、不正なアクセスポイントとして接続を避けるようにしている。 Therefore, conventionally, even when a fake access point for the purpose of eavesdropping a packet is installed, there is a wireless LAN device that detects an unauthorized access point and avoids connection (for example, see Patent Document 1). In the technique of Patent Document 1, a storage device holds a connection history to a normal access point, and when there is a wireless LAN connection instruction, identification information of a beacon issued by a surrounding access point and a connection history in the storage device If there is an access point with the same identification information or an access point that is not in the connection history, further check the beacon signal strength and / or encryption status to avoid connection as an unauthorized access point. ing.
このように、不正なアクセスポイントへの接続を回避する技術は、従来から存在した。
しかしながら、特許文献1の技術は、不正なアクセスポイントへの接続を回避するだけで、不正なアクセスポイントとの間の通信のログを記録しているわけではない。従って、信頼できるかどうか不明のアクセスポイントに関して、例えば証拠保全を目的とした監視活動を行うことができないという問題点があった。
As described above, there has been a technique for avoiding connection to an unauthorized access point.
However, the technique of Patent Document 1 merely avoids connection to an unauthorized access point, and does not record a log of communication with the unauthorized access point. Therefore, there is a problem that it is impossible to perform monitoring activities for the purpose of, for example, preservation of evidence regarding an access point whose reliability is unknown.
本発明の目的は、信頼できるかどうか不明のアクセスポイントとの間の無線通信を監視することにある。 An object of the present invention is to monitor wireless communication with an access point whose reliability is unknown.
かかる目的のもと、本発明は、無線通信を行う際に利用するアクセスポイントの情報を予め設定しておくことによりアクセスポイントに自動的に接続する自動接続機能を有する無線通信装置において、自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、特定のアクセスポイントから特定のアクセスポイントを識別するための識別情報を受信する受信手段と、受信手段により受信した識別情報に基づいて特定のアクセスポイントの信頼性が第1の基準を満たすと判定された場合に、特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録する登録手段と、受信手段により受信した識別情報に基づいて特定のアクセスポイントの信頼性が第2の基準を満たすと判定された場合に、特定のアクセスポイントを介した通信のログを記録する記録手段とを備えた無線通信装置を提供する。 For this purpose, the present invention provides an automatic connection in a wireless communication apparatus having an automatic connection function for automatically connecting to an access point by setting in advance information on the access point used when performing wireless communication. Receiving means for receiving identification information for identifying a specific access point from a specific access point when the information indicating that the specific access point connected by the function is a reliable access point is not registered; Registration means for registering information indicating that the specific access point is a reliable access point when the reliability of the specific access point satisfies the first criterion based on the identification information received by the means; The reliability of the specific access point is determined based on the identification information received by the receiving means. If it is determined to satisfy the standards, to provide a radio communication apparatus having a recording means for recording a log of communication through the specific access point.
ここで、この装置は、受信手段により受信した識別情報に基づいて特定のアクセスポイントの信頼性が第3の基準を満たすと判定された場合に、特定のアクセスポイントとの接続を遮断する遮断手段を更に備えた、ものであってよい。
また、受信手段により受信した識別情報に基づいて特定のアクセスポイントの信頼性が第4の基準を満たすと判定された場合に、特定のアクセスポイントとの接続を継続するに当たって警告を行う警告手段を更に備えた、ものであってよい。
Here, the apparatus is a blocking unit that blocks a connection with a specific access point when it is determined that the reliability of the specific access point satisfies the third standard based on the identification information received by the receiving unit. It may be provided further.
A warning means for giving a warning when continuing the connection with the specific access point when it is determined that the reliability of the specific access point satisfies the fourth standard based on the identification information received by the receiving means; Further, it may be provided.
更に、この装置において、受信手段は、特定のアクセスポイントが設置された位置を示す位置情報を含む識別情報を受信する、ものであってよい。
更にまた、この装置は、特定のアクセスポイント以外で通信可能な他のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されている場合に、受信手段により受信した識別情報を他のアクセスポイントを介して情報処理装置に送信する送信手段を更に備え、特定のアクセスポイントの信頼性が第1の基準又は第2の基準を満たすとの判定は、送信手段により送信された識別情報に基づいて、情報処理装置によりなされる、ものであってよい。
Further, in this apparatus, the receiving means may receive identification information including position information indicating a position where a specific access point is installed.
Furthermore, this apparatus uses the identification information received by the receiving means when the other access point that can communicate with other than the specific access point is registered as a reliable access point. Further comprising a transmission means for transmitting to the information processing apparatus via the information processing apparatus, wherein the determination that the reliability of the specific access point satisfies the first criterion or the second criterion is based on the identification information transmitted by the transmission means It may be made by an information processing device.
更に、この装置は、記録手段により記録されたログを情報処理装置に送信する送信手段を更に備えた、ものであってよい。
その場合、送信手段は、特定のアクセスポイント以外で通信可能な他のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されている場合に、記録手段により記録されたログを他のアクセスポイントを介して情報処理装置に送信する、ものであってよい。
Furthermore, this apparatus may further include a transmission unit that transmits the log recorded by the recording unit to the information processing apparatus.
In that case, when information indicating that another access point that can communicate with other than the specific access point is a reliable access point is registered, the transmission unit displays the log recorded by the recording unit as another access point. It may be transmitted to the information processing apparatus via.
また、本発明は、無線通信を行う際に利用するアクセスポイントの情報を予め設定しておくことによりアクセスポイントに自動的に接続する自動接続機能を有する無線通信装置と、無線通信装置による無線通信を監視する監視装置とを備え、無線通信装置は、自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、特定のアクセスポイントから特定のアクセスポイントを識別するための識別情報を受信する第1の受信手段と、第1の受信手段により受信した識別情報を監視装置に送信する第1の送信手段と、特定のアクセスポイントの信頼性が第1の基準を満たす旨の判定結果が監視装置から送信された場合に、特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録する登録手段と、特定のアクセスポイントの信頼性が第2の基準を満たす旨の判定結果が監視装置から送信された場合に、特定のアクセスポイントを介した通信のログを記録する記録手段とを備え、監視装置は、第1の送信手段により送信された識別情報を受信する第2の受信手段と、第2の受信手段により受信した識別情報に基づいて、特定のアクセスポイントの信頼性が第1の基準又は第2の基準を満たすかどうかを判定する判定手段と、判定手段による判定結果を無線通信装置に送信する第2の送信手段とを備えた無線通信監視システムも提供する。 In addition, the present invention provides a wireless communication apparatus having an automatic connection function for automatically connecting to an access point by setting information on an access point used when performing wireless communication in advance, and wireless communication by the wireless communication apparatus A wireless communication device that monitors a specific access point from a specific access point when information indicating that the specific access point connected by the automatic connection function is a reliable access point is not registered. The first receiving means for receiving the identification information for identifying the point, the first transmitting means for transmitting the identification information received by the first receiving means to the monitoring device, and the reliability of the specific access point is An access point that a specific access point can trust when a determination result indicating that the first criterion is satisfied is transmitted from the monitoring device And a log of communication through a specific access point when a determination result indicating that the reliability of the specific access point satisfies the second standard is transmitted from the monitoring device. Recording means for recording the information, and the monitoring device has a second receiving means for receiving the identification information transmitted by the first transmitting means and a specific information based on the identification information received by the second receiving means. Wireless communication monitoring comprising: determination means for determining whether the reliability of the access point satisfies the first standard or the second standard; and second transmission means for transmitting a determination result by the determination means to the wireless communication device A system is also provided.
更に、本発明は、無線通信を行う際に利用するアクセスポイントの情報を予め設定しておくことによりアクセスポイントに自動的に接続する自動接続機能を有する無線通信装置において、自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、特定のアクセスポイントから特定のアクセスポイントを識別するための識別情報を受信するステップと、受信した識別情報に基づいて特定のアクセスポイントの信頼性が第1の基準を満たすと判定された場合に、特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録するステップと、受信した識別情報に基づいて特定のアクセスポイントの信頼性が第2の基準を満たすと判定された場合に、特定のアクセスポイントを介した通信のログを記録するステップとを含む無線通信方法も提供する。 Furthermore, the present invention provides a wireless communication apparatus having an automatic connection function for automatically connecting to an access point by setting in advance information on the access point to be used when performing wireless communication. A step of receiving identification information for identifying a specific access point from a specific access point when information indicating that the specific access point is a trusted access point is not registered, and based on the received identification information If it is determined that the reliability of the specific access point satisfies the first criterion, the step of registering information that the specific access point is a reliable access point and the identification based on the received identification information If the access point reliability is determined to satisfy the second criterion, Wireless communication method comprising the step of recording a log of communication through the Seth points are also provided.
更にまた、本発明は、無線通信を行う際に利用するアクセスポイントの情報を予め設定しておくことによりアクセスポイントに自動的に接続する自動接続機能を有する無線通信装置に、自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、特定のアクセスポイントから特定のアクセスポイントを識別するための識別情報を受信する機能と、受信した識別情報に基づいて特定のアクセスポイントの信頼性が第1の基準を満たすと判定された場合に、特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録する機能と、受信した識別情報に基づいて特定のアクセスポイントの信頼性が第2の基準を満たすと判定された場合に、特定のアクセスポイントを介した通信のログを記録する機能とを実現させるためのプログラムも提供する。 Furthermore, the present invention connects to a wireless communication apparatus having an automatic connection function that automatically connects to an access point by setting in advance information on the access point to be used when performing wireless communication. If the information indicating that the specified access point is a trusted access point is not registered, the function for receiving the identification information for identifying the specific access point from the specific access point and the received identification information Based on the received identification information and the function of registering information that the specific access point is a reliable access point when it is determined that the reliability of the specific access point satisfies the first criterion When it is determined that the reliability of a specific access point satisfies the second criterion, the specific access point Program for realizing a function of recording the communication log via the door is also provided.
本発明によれば、信頼できるかどうか不明のアクセスポイントとの間の無線通信を監視することができる。 According to the present invention, it is possible to monitor wireless communication with an access point whose reliability is unknown.
以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。
まず、本実施の形態が適用されるコンピュータシステムについて説明する。
図1は、このようなコンピュータシステムの全体構成例を示した図である。
図示するように、このコンピュータシステムは、無線LAN端末10と、サーバ20と、アクセスポイント75a,75bとを含む。そして、アクセスポイント75a,75bは、それぞれ、移動体通信網70a,70bに接続され、移動体通信網70a,70bは、インターネット80を介して、サーバ20に接続されている。
Embodiments of the present invention will be described below in detail with reference to the accompanying drawings.
First, a computer system to which this embodiment is applied will be described.
FIG. 1 is a diagram showing an example of the overall configuration of such a computer system.
As shown in the figure, this computer system includes a wireless LAN terminal 10, a server 20, and access points 75a and 75b. The access points 75a and 75b are connected to the mobile communication networks 70a and 70b, respectively. The mobile communication networks 70a and 70b are connected to the server 20 via the Internet 80.
無線LAN端末10は、ユーザが使用する端末装置であり、アクセスポイント75a,75bを介してデータを送受信するために、IEEE802.11a/b/g/n等に準拠した無線LANインターフェイスを有する。例えば、ノート型のパーソナルコンピュータ、PDA(Personal Digital Assistants)、その他のコンピュータ装置にて実現される。尚、図では、無線LAN端末10を1台しか示していないが、2台以上の無線LAN端末10を含んでもよい。本実施の形態では、無線通信装置の一例として、無線LAN端末10を設けている。 The wireless LAN terminal 10 is a terminal device used by a user, and has a wireless LAN interface compliant with IEEE802.11a / b / g / n or the like in order to transmit and receive data via the access points 75a and 75b. For example, it is realized by a notebook personal computer, PDA (Personal Digital Assistants), or other computer devices. In the figure, only one wireless LAN terminal 10 is shown, but two or more wireless LAN terminals 10 may be included. In the present embodiment, a wireless LAN terminal 10 is provided as an example of a wireless communication device.
サーバ20は、管理者の設定に応じて、無線LAN端末10をアクセスポイント75a,75bに接続させるか等を示すポリシー情報を管理し、無線LAN端末10から送られた情報とポリシー情報とに基づいて、無線LAN端末10に適用するルールを決定する。その際、無線LAN端末10側では設定を変更できない構成にし、サーバ20側で管理者が強制的にルールを適用する仕組みにする。また、無線LAN端末10に適用するルールが、ログの記録に決定された場合には、無線LAN端末10からログの転送を受け、ログの解析(監視)も行う。例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。本実施の形態では、情報処理装置又は監視装置の一例として、サーバ20を設けている。 The server 20 manages policy information indicating whether to connect the wireless LAN terminal 10 to the access points 75a and 75b according to the setting of the administrator, and is based on the information sent from the wireless LAN terminal 10 and the policy information. Thus, a rule to be applied to the wireless LAN terminal 10 is determined. At this time, the wireless LAN terminal 10 is configured such that the setting cannot be changed, and the server 20 is configured so that the administrator forcibly applies the rules. In addition, when the rule to be applied to the wireless LAN terminal 10 is determined to record a log, the log is transferred from the wireless LAN terminal 10 and the log is analyzed (monitored). For example, it is realized by a personal computer, a workstation, or other computer devices. In the present embodiment, a server 20 is provided as an example of an information processing device or a monitoring device.
アクセスポイント75a,75bは、無線LAN端末10からインターネット80への接続を可能とする無線LAN機器で、無線LAN端末10が有する無線LANインターフェイスと同じ無線インターフェイスを有する。尚、図では、アクセスポイント75a,75bを示したが、これらを区別する必要がない場合は、アクセスポイント75と称することもある。また、図には、2台のアクセスポイント75しか示していないが、3台以上のアクセスポイント75を設けてもよい。
移動体通信網70a,70bは、無線LAN端末10をインターネット80に接続するための通信網である。尚、図では、移動体通信網70a,70bを示したが、これらを区別する必要がない場合は、移動体通信網70と称することもある。また、図には、2つの移動体通信網70しか示していないが、3つ以上の移動体通信網70を設けてもよい。
インターネット80は、TCP/IPを用いて構築された世界的なコンピュータネットワーク(The Internet)である。
The access points 75a and 75b are wireless LAN devices that enable connection from the wireless LAN terminal 10 to the Internet 80, and have the same wireless interface as the wireless LAN interface that the wireless LAN terminal 10 has. Although the access points 75a and 75b are shown in the drawing, they may be referred to as access points 75 when it is not necessary to distinguish them. Although only two access points 75 are shown in the figure, three or more access points 75 may be provided.
The mobile communication networks 70 a and 70 b are communication networks for connecting the wireless LAN terminal 10 to the Internet 80. Although the mobile communication networks 70a and 70b are shown in the figure, they may be referred to as the mobile communication network 70 when it is not necessary to distinguish them. In the figure, only two mobile communication networks 70 are shown, but three or more mobile communication networks 70 may be provided.
The Internet 80 is a worldwide computer network (The Internet) constructed using TCP / IP.
ところで、無線LAN端末10に信頼できるアクセスポイントのESS−ID名を登録することによりアクセスポイントに自動接続する設定を行うと、同じESS−ID名を持つ信頼できないアクセスポイントにも勝手に接続してしまう場合がある。
例えば、移動体通信網70aを信頼できない通信網、移動体通信網70bを信頼できる通信網とし、アクセスポイント75a,75bのESS−ID名は何れも「AP」であるとする。また、無線LAN端末10には、移動体通信網70bのWi−Fi電波が届くエリア内でアクセスポイント75bに自動的に接続するように、ESS−ID名「AP」が登録されているとする。このような状況で、無線LAN端末10が移動体通信網70aのWi−Fi電波が届くエリアに入ったとする。ここで、アクセスポイント75aが、パスワード認証の成功/失敗に関わらず、接続要求が来たら全て許可する構成になっているとすると、無線LAN端末10はアクセスポイント75aに自動接続してしまう。そして、移動体通信網70aが不正なネットワークであれば、接続完了後、無線LAN端末10に対し、攻撃(マルウェア感染活動や盗聴行為等)が行われることになる。
By the way, when setting to automatically connect to the access point by registering the ESS-ID name of the reliable access point in the wireless LAN terminal 10, it connects to the unreliable access point having the same ESS-ID name without permission. May end up.
For example, it is assumed that the mobile communication network 70a is an unreliable communication network, the mobile communication network 70b is a reliable communication network, and the ESS-ID names of the access points 75a and 75b are both “AP”. Further, it is assumed that the ESS-ID name “AP” is registered in the wireless LAN terminal 10 so as to automatically connect to the access point 75b within an area where the Wi-Fi radio wave of the mobile communication network 70b reaches. . In such a situation, it is assumed that the wireless LAN terminal 10 enters an area where the Wi-Fi radio wave reaches the mobile communication network 70a. Here, if the access point 75a is configured to permit all connection requests regardless of the success / failure of password authentication, the wireless LAN terminal 10 automatically connects to the access point 75a. If the mobile communication network 70a is an unauthorized network, an attack (such as malware infection activity or wiretapping) is performed on the wireless LAN terminal 10 after the connection is completed.
そこで、本実施の形態では、無線LAN端末10とサーバ20とが協働して、信頼できないアクセスポイント75との間の通信を監視できるようにした。
まず、無線LAN端末10の機能構成について説明する。
図2は、無線LAN端末10の機能構成例を示したブロック図である。
図示するように、無線LAN端末10は、通信制御部11と、信頼済アクセスポイント管理部(以下、「信頼済AP管理部」という)12と、信頼済アクセスポイント情報記憶部(以下、「信頼済AP情報記憶部」という)13とを備える。また、ルール情報解析部14と、ルール情報生成部15と、ルール適用部16と、表示制御部17と、ログ管理部18とを備える。
Therefore, in the present embodiment, the wireless LAN terminal 10 and the server 20 cooperate to monitor communication with the unreliable access point 75.
First, the functional configuration of the wireless LAN terminal 10 will be described.
FIG. 2 is a block diagram illustrating a functional configuration example of the wireless LAN terminal 10.
As illustrated, the wireless LAN terminal 10 includes a
通信制御部11は、無線LAN端末10とアクセスポイント75との間の通信を制御する。即ち、アクセスポイント75に関する情報(以下、「接続先情報」という)のアクセスポイント75からの受信、無線LAN端末10に関する情報(以下、「端末情報」という)及び接続先情報のサーバ20への送信、端末情報及び接続先情報に基づいて生成されたルール情報のサーバ20からの受信を制御する。尚、接続先情報については、後述する。また、端末情報は、無線LAN端末10を識別する情報であり、例えば、MACアドレスを用いることができる。本実施の形態では、特定のアクセスポイントを識別するための識別情報の一例として、接続先情報を用いており、識別情報を受信する受信手段又は第1の受信手段の一例として、通信制御部11を設けている。また、識別情報又はログを情報処理装置に送信する送信手段の一例として、更には、識別情報を監視装置に送信する送信手段又は第1の送信手段の一例として、通信制御部11を設けている。更に、特定のアクセスポイントとの接続を遮断する遮断手段の一例として、通信制御部11を設けている。
The
信頼済AP管理部12は、信頼済AP情報記憶部13に記憶された情報に基づいてアクセスポイント75が信頼済であるかどうかを判定したり、新規のアクセスポイント75が信頼できることが判明した場合にこのアクセスポイント75が信頼済である旨の情報を信頼済AP情報記憶部13に記憶したりする。本実施の形態では、信頼できるアクセスポイントである旨の情報を登録する登録手段の一例として、信頼済AP管理部12を設けている。
信頼済AP情報記憶部13は、信頼済のアクセスポイント75に関する情報(信頼済アクセスポイント情報)を記憶する。
The trusted
The trusted AP
ルール情報解析部14は、サーバ20から受信したルール情報又は無線LAN端末10で生成したルール情報を解析してアクション及び監視方法を決定する。
ルール情報生成部15は、サーバ20に端末情報及び接続先情報を送信してルール情報を生成してもらえない環境にいる場合に、無線LAN端末10側で保持する情報に基づいてルール情報を生成する。
ルール適用部16は、ルール情報解析部14が決定したアクションを実行したり、ルール情報解析部14が決定した監視方法を設定したりする。
表示制御部17は、ルール適用部16がアクションして警告を実行する場合に、警告表示を行うように表示機構を制御する。本実施の形態では、警告を行う警告手段の一例として、表示制御部17を設けている。
ログ管理部18は、ルール適用部16がアクションとしてロギングを実行する場合に、通信制御部11から通信ログ(トラフィックログ)を採取して記録する。本実施の形態では、通信のログを記録する記録手段の一例として、ログ管理部18を設けている。
The rule
The rule
The
The
The
ここで、信頼済AP情報記憶部13に記憶された信頼済アクセスポイント情報について説明する。
図3は、信頼済アクセスポイント情報の具体例を示した図である。
図示するように、信頼済アクセスポイント情報は、ESS−ID(Extended Service Set Identifier)、通信方式、暗号方式、MACアドレス、論理アドレス情報を対応付けたものとなっている。
Here, the trusted access point information stored in the trusted AP
FIG. 3 is a diagram showing a specific example of trusted access point information.
As shown in the figure, the trusted access point information is associated with ESS-ID (Extended Service Set Identifier), communication method, encryption method, MAC address, and logical address information.
このうち、ESS−IDは、IEEE802.11シリーズの無線LANにおけるネットワークの識別子である。
通信方式は、IEEE802.11シリーズにおける規格名を示しており、IEEE802.11a、IEEE802.11b、IEEE802.11g、IEEE802.11n等が設定される。
暗号方式は、無線LANにおける暗号化方式の規格名を示しており、「WEP(Wired Equivalent Privacy)」、「WPA(Wi-Fi Protected Access)」、「WPA2(Wi-Fi Protected Access 2)」、「なし」等が設定される。
論理アドレス情報は、DHCP(Dynamic Host Configuration Protocol)環境下でアクセスポイント75に割り当てられたIPアドレス、このIPアドレスの一部であるネットワークアドレス、移動体通信網70とインターネット80とを結ぶゲートウェイのIPアドレス、移動体通信網70でアドレス解決に用いられるDNSサーバのIPアドレス等を含む。
Among these, the ESS-ID is an identifier of a network in the IEEE802.11 series wireless LAN.
The communication system indicates a standard name in the IEEE 802.11 series, and IEEE 802.11a, IEEE 802.11b, IEEE 802.11g, IEEE 802.11n, and the like are set.
The encryption method indicates the standard name of the encryption method in the wireless LAN, and includes “WEP (Wired Equivalent Privacy)”, “WPA (Wi-Fi Protected Access)”, “WPA2 (Wi-Fi Protected Access 2)”, “None” or the like is set.
The logical address information includes an IP address assigned to the access point 75 in a DHCP (Dynamic Host Configuration Protocol) environment, a network address that is a part of the IP address, and an IP address of a gateway that connects the mobile communication network 70 and the Internet 80. Address, the IP address of the DNS server used for address resolution in the mobile communication network 70, and the like.
尚、この信頼済アクセスポイント情報のうちESS−ID以外の情報は、ハッシュ化して記憶しておいてもよい。つまり、信頼済アクセスポイント情報を、ESS−IDとハッシュ値の組み合わせで保持しておいてもよい。 Of the trusted access point information, information other than the ESS-ID may be hashed and stored. That is, the trusted access point information may be held as a combination of an ESS-ID and a hash value.
次に、サーバ20の機能構成について説明する。
図4は、サーバ20の機能構成例を示したブロック図である。
図示するように、サーバ20は、受信部21と、ルール情報生成部22と、アクション定義記憶部23と、送信部24とを備える。
Next, the functional configuration of the server 20 will be described.
FIG. 4 is a block diagram illustrating a functional configuration example of the server 20.
As illustrated, the server 20 includes a
受信部21は、無線LAN端末10から端末情報及び接続先情報を受信する。本実施の形態では、識別情報を受信する第2の受信手段の一例として、受信部21を設けている。
ルール情報生成部22は、無線LAN端末10とアクセスポイント75との通信に関して適用するルールに関する情報(ルール情報)を生成する。ルール情報は、無線LAN端末10のグループ(以下、「端末グループ」という)の単位で作成できるようにする。また、ルール情報は、無線LAN端末10が実行すべきアクションを指定する。ここで、アクションには、遮断、警告、ロギング、許可の何れかが設定される。更に、アクションとしてロギングが指定された場合、ルール情報は、無線LAN端末10における通信の監視方法も指定する。本実施の形態では、特定のアクセスポイントの信頼性が第1の基準又は第2の基準を満たすかどうかを判定する判定手段の一例として、ルール情報生成部22を設けている。
アクション定義記憶部23は、ルール情報が指定するアクションをルール情報生成部22が決定する際に参照するアクション定義を記憶する。
送信部24は、ルール情報生成部22が生成したルール情報を無線LAN端末10に送信する。本実施の形態では、判定結果を送信する第2の送信手段の一例として、送信部24を設けている。
The receiving
The rule
The action
The
ここで、アクション定義記憶部23に記憶されたアクション定義について説明する。
図5は、アクション定義の具体例を示した図である。
図示するように、アクション定義は、端末グループと環境レベルの組み合わせに対して、無線LAN端末10に実行させるアクションを定義したものとなっている。
ここで、端末グループは、無線LAN端末10のグループである。図では、端末グループとして、「A」、「B」、「C」の3つを示しているが、どのような端末グループを設けるか、幾つの端末グループを設けるか等は、サーバ20の管理者が自由に設定できる。
また、環境レベルは、移動体通信網70がどの程度信頼できる環境であるかを示す指標である。「高」が最も信頼できる環境であり、「低」が最も信頼できない環境であることを示している。
Here, the action definition memorize | stored in the action definition memory |
FIG. 5 is a diagram showing a specific example of action definition.
As shown in the figure, the action definition defines an action to be executed by the wireless LAN terminal 10 for a combination of a terminal group and an environment level.
Here, the terminal group is a group of wireless LAN terminals 10. In the figure, “A”, “B”, and “C” are shown as terminal groups, but what kind of terminal group is provided, how many terminal groups are provided, etc. are managed by the server 20. The person can set it freely.
The environment level is an index indicating how reliable the mobile communication network 70 is. “High” indicates the most reliable environment, and “Low” indicates the least reliable environment.
次いで、本実施の形態の動作について説明する。
上述したように、本実施の形態は、無線LAN端末10とサーバ20とによって実行される。
そこで、まず、無線LAN端末10の動作について説明する。尚、この動作に先立ち、無線LAN端末10には、接続環境の切り替わりを検知するためのIPアドレスの監視や、接続先環境及び信頼済環境のデータのサーバ20への転送を行うエージェントをインストールしておくものとする。
Next, the operation of the present embodiment will be described.
As described above, the present embodiment is executed by the wireless LAN terminal 10 and the server 20.
First, the operation of the wireless LAN terminal 10 will be described. Prior to this operation, the wireless LAN terminal 10 is installed with an agent that monitors the IP address for detecting the switching of the connection environment and transfers the data of the connection destination environment and the trusted environment to the server 20. Shall be kept.
図6は、無線LAN端末10の動作例を示したフローチャートである。
無線LAN端末10では、まず、通信制御部11が、アクセスポイント75aに接続し、通信を開始する(ステップ101)。尚、このとき、通信制御部11は、アクセスポイント75aのESS−ID、通信方式、暗号方式、MACアドレスを取得し、信頼済AP管理部12に受け渡す。
次に、信頼済AP管理部12が、ステップ101で渡されたESS−ID、通信方式、暗号方式、MACアドレスを用いて、アクセスポイント75aが信頼できるものと判断済(信頼済)であるかどうかを判定する(ステップ102)。具体的には、ステップ101で渡されたESS−ID、通信方式、暗号方式、MACアドレスの組み合わせが、図3に示した信頼済アクセスポイント情報に含まれるかどうかを調べる。
FIG. 6 is a flowchart showing an operation example of the wireless LAN terminal 10.
In the wireless LAN terminal 10, first, the
Next, whether or not the trusted
その結果、アクセスポイント75aが信頼済でないと判定された場合、通信制御部11は、アクセスポイント75aが信頼できるものかどうかを判断するために、図3で説明した論理アドレス情報を取得する(ステップ103)。尚、この論理アドレス情報は、既存技術を用いて取得可能である。
一方、アクセスポイント75aが信頼済であると判定された場合であっても、実際には信頼済ではないこともある。例えば、MACアドレスが偽装され、それが信頼済のアクセスポイント75のMACアドレスと一致しているような場合である。ステップ102では、ESS−ID、通信方式、暗号方式、MACアドレスしかチェックしていないため、このような場合、信頼済AP管理部12は、信頼済でないにも関わらず、信頼済と判定してしまう。そこで、信頼済であるかどうかをより厳密に判断するため、通信制御部11は、論理アドレス情報を取得し、信頼済AP管理部12に受け渡す(ステップ104)。そして、信頼済AP管理部12が、この論理アドレス情報を用いて、アクセスポイント75aが信頼済であるかどうかを判定する(ステップ105)。具体的には、ステップ104で渡された論理アドレス情報が、図3に示した信頼済アクセスポイント情報に含まれるかどうかを調べる。
As a result, when it is determined that the access point 75a is not trusted, the
On the other hand, even if it is determined that the access point 75a is trusted, it may not actually be trusted. For example, the MAC address is forged and it matches the MAC address of the trusted access point 75. In step 102, only the ESS-ID, the communication method, the encryption method, and the MAC address are checked. In such a case, the trusted
そして、ステップ102で「No」と判定された場合、又は、ステップ105で「No」と判定された場合、アクセスポイント75aは、新規のものであり、信頼できるかどうか分からない。従って、ステップ101及びステップ103、又は、ステップ101及びステップ104で取得した接続先情報を用いて、アクセスポイント75aが信頼できるものかどうかを分析する処理が行われる。
但し、ここでの処理は、無線LAN端末10の近くに信頼済のアクセスポイント75bがあるかどうかによって異なる。そこで、まず、通信制御部11は、近くに信頼済のアクセスポイント75bがあるかどうかを判定する(ステップ106)。
If “No” is determined in step 102 or “No” is determined in step 105, it is not known whether the access point 75 a is new and reliable. Accordingly, processing for analyzing whether or not the access point 75a is reliable is performed using the connection destination information acquired in step 101 and step 103 or step 101 and step 104.
However, the processing here differs depending on whether or not there is a trusted access point 75 b near the wireless LAN terminal 10. Therefore, first, the
その結果、近くに信頼済のアクセスポイント75bがあったとすると、アクセスポイント75aが信頼できるかどうかをサーバ20に問い合わせることにより判断する。即ち、まず、通信制御部11は、図示しないメモリに記憶された端末情報と自身が受信した接続先情報とを、信頼済のアクセスポイント75b及び移動体通信網70bを介してサーバ20に送信し、応答待ちの状態にする(ステップ107)。その後、図7を参照して後述するように、サーバ20では、無線LAN端末10に適用するルールを示すルール情報が生成され、これが無線LAN端末10に送信されてくるので、無線LAN端末10では、通信制御部11が、このルール情報を受信する(ステップ108)。
As a result, if there is a trusted access point 75b nearby, it is determined by inquiring the server 20 whether the access point 75a is reliable. That is, first, the
一方、近くに信頼済のアクセスポイント75bがなかったとすると、安全にサーバ20に情報を送信することができないので、アクセスポイント75aが信頼できるかどうかを、サーバ20に問い合わせることなく、ローカルで判断する。つまり、ルール情報生成部15が、サーバ20内のルール情報生成部22と同様の処理を行うことにより、アクションと監視方法とを指定するルール情報を生成する(ステップ109)。但し、無線LAN端末10にはサーバ20ほど大量のデータを記憶できないこと、無線LAN端末10内のデータとサーバ20内のデータを常に同期させることはできないことから、ルール情報生成部15におけるルール情報の生成は、サーバ20内のルール情報生成部22におけるルール情報の生成と比べると、簡易的な処理となる。
On the other hand, if there is no trusted access point 75b nearby, information cannot be transmitted to the server 20 safely, so whether or not the access point 75a can be trusted is determined locally without inquiring the server 20. . That is, the rule
その後、ルール情報解析部14は、ステップ108で受信したルール情報、又は、ステップ109で生成したルール情報を解析して、アクション及び監視方法を特定し、これらをルール適用部16に渡す(ステップ110)。
ここで、アクションには、遮断、警告、ロギング、許可がある。そこで、ルール適用部16は、アクションが許可であるかどうかを判定する(ステップ111)。
After that, the rule
Here, actions include blocking, warning, logging, and permission. Therefore, the
その結果、アクションが許可でなければ、つまり、遮断、警告、ロギングの何れかであれば、ルール適用部16は、該当する処理を行う(ステップ112)。具体的には、アクションが遮断であれば、ルール適用部16は、通信制御部11に対して、アクセスポイント75aとの接続を遮断するように指示し、通信制御部11はこれに応じて接続を遮断する。また、アクションが警告であれば、ルール適用部16は、表示制御部17に対して、警告の表示を制御するように指示し、表示制御部17はこれに応じて警告の表示を制御し、これに対して接続の遮断/継続の指示が入力されると、その指示に応じた処理を行う。更に、アクションがロギングであれば、ルール適用部16は、ログ管理部18に対して、通信ログを記録するように指示し、ログ管理部18はこれに応じて通信ログを記録する。
As a result, if the action is not permitted, that is, if the action is any one of blocking, warning, and logging, the
次に、ルール適用部16は、ステップ112で通信ログを記録した場合には、ログ管理部18に対して、ステップ110で特定された監視方法を設定する(ステップ113)。ここで、監視方法には、ログ転送方法、ログ解析方法、ログ監視方法等があるが、以下では、このうち、ログ転送方法を例にとって説明する。このログ転送方法としては、「リアルタイムにログを転送」、「信頼済環境接続時にログを転送」、「特定環境接続時にログを転送」等の何れかが設定される。例えば、「リアルタイムにログを転送」が設定されていれば、ログ管理部18は、信頼済のアクセスポイント75b及び移動体通信網70bを介してリアルタイムで通信ログをサーバ20に転送する。但し、信頼済のアクセスポイント75bを介して通信可能でない場合、通信ログは転送しない。「信頼済環境接続時にログを転送」が設定されていれば、ログ管理部18は、信頼済のアクセスポイント75bを介して通信可能になった時点で通信ログをサーバ20に転送する。「特定環境接続時にログを転送」が設定されていれば、ログ管理部18は、特定のアクセスポイント75を介して通信可能になった時点で通信ログをサーバ20に転送する。このようにして通信ログの転送を受けると、サーバ20は、通信ログの解析を開始し、不正アクセスの検知を実行したり、利用状況の確認のための情報を生成したりする。
Next, when the communication log is recorded in step 112, the
一方、ステップ111でアクションが許可であれば、通信制御部11は、受信した接続先情報を信頼済AP管理部12に受け渡し、信頼済AP管理部12が、受け渡された接続先情報を信頼済AP情報記憶部13に記憶する(ステップ114)。
On the other hand, if the action is permitted in step 111, the
ところで、前述したステップ105で「Yes」の場合、アクセスポイント75aが信頼済である可能性は極めて高い。従って、この場合は、接続状態を維持し、遮断、警告、ロギングは行わない。但し、先にサーバ20から受信したルール情報に「信頼済環境接続時にログを転送」というログ転送方法が指定されていれば、無線LAN端末10は、蓄積した通信ログをこの時点でサーバ20に転送することになる。フローチャートでは、このときの処理を示している。即ち、ログ管理部18は、先の通信で採取した通信ログを通信制御部11に受け渡し、通信制御部11が、通信ログをアクセスポイント75a及び移動体通信網70aを介してサーバ20に転送する(ステップ115)。
By the way, in the case of “Yes” in Step 105 described above, there is a very high possibility that the access point 75a is trusted. Therefore, in this case, the connection state is maintained, and blocking, warning, and logging are not performed. However, if the log transfer method “transfer log when connected to trusted environment” is specified in the rule information received from the server 20 first, the wireless LAN terminal 10 sends the accumulated communication log to the server 20 at this time. Will be transferred. The flowchart shows the processing at this time. That is, the
次に、サーバ20の動作について説明する。
図7は、サーバ20の動作例を示したフローチャートである。
サーバ20では、まず、受信部21が、無線LAN端末10から端末情報と接続先情報とを受信し、ルール情報生成部22に受け渡す(ステップ201)。
Next, the operation of the server 20 will be described.
FIG. 7 is a flowchart illustrating an operation example of the server 20.
In the server 20, first, the receiving
すると、ルール情報生成部22は、まず、ステップ201で渡された端末情報に基づいて、端末グループを特定する(ステップ202)。例えば、無線LAN端末10の識別情報と、無線LAN端末10が属する端末グループの識別情報との対応が登録されていれば、端末情報として渡された識別情報に対応する端末グループを特定する。
また、ルール情報生成部22は、ステップ201で渡された接続先情報に基づいて、環境レベルを判定する(ステップ203)。例えば、信頼できるアクセスポイントの接続先情報を管理者が予め登録しておき、受け渡された接続先情報と、この管理者が登録した接続先情報とがどの程度一致しているかに応じて、環境レベルを判定する。
Then, the rule
Further, the rule
更に、ルール情報生成部22は、ステップ202で特定した端末グループとステップ203で判定した環境レベルの組み合わせに基づいて、無線LAN端末10が行うべきアクションを決定する(ステップ204)。具体的には、アクション定義記憶部23を参照し、ステップ202で特定した端末グループに対応し、かつ、ステップ203で判定した環境レベルに対応するセルに定義されたアクションを取り出す。
また、ルール情報生成部22は、ステップ204で決定されたアクションに紐付けられた監視方法を抽出する(ステップ205)。ここで、監視方法は、アクションが「ロギング」である場合に、採取したログを用いて如何なる監視を行うかを管理者が設定したものである。監視方法には、ログ転送方法、ログ解析方法、ログ監視方法等があるが、このうち、ログ転送方法としては、「リアルタイムにログを転送」、「信頼済環境接続時にログを転送」、「特定環境接続時にログを転送」等が用意される。
その後、ルール情報生成部22は、ステップ204で決定したアクションと、ステップ205で抽出した監視方法とを示すルール情報を生成し、送信部24に受け渡す(ステップ206)。
Further, the rule
In addition, the rule
Thereafter, the rule
そして、送信部24が、受け渡されたルール情報を無線LAN端末10に送信する(ステップ207)。
以上により、本実施の形態の動作は終了する。
Then, the
Thus, the operation of the present embodiment ends.
ところで、本実施の形態では、信頼できるアクセスポイント75が近くにあれば、新規のアクセスポイント75が信頼できるかどうかをサーバ20に問い合わせて判定してもらっていた。しかしながら、信頼できるアクセスポイント75が近くにあるかどうかに関わらず、最初から無線LAN端末10で同様の判定を行うようにしてもよい。つまり、図6において、ステップ106の判断を行わず、無条件にステップ109に進んでもよい。
また、本実施の形態では、接続先情報として、ESS−ID、通信方式、暗号方式、アクセスポイントのIPアドレス、ネットワークアドレス、ゲートウェイのIPアドレス、DNSサーバのIPアドレスを例示したが、これらの情報はあくまで一例である。例えば、アクセスポイント75が設置された場所の物理的な位置を示す位置情報を接続先情報に含めてもよい。但し、このように保持する情報の種類を増やした場合、高セキュリティにはなるが、利便性は低下する。従って、用途に応じて保持する情報の種類は選択できるようにしておくことが望ましい。
By the way, in this embodiment, if there is a reliable access point 75 nearby, the server 20 is inquired to determine whether the new access point 75 is reliable. However, the wireless LAN terminal 10 may make the same determination from the beginning regardless of whether or not the reliable access point 75 is nearby. That is, in FIG. 6, the determination in step 106 may not be performed and the process may proceed unconditionally to step 109.
In this embodiment, the connection destination information is exemplified by ESS-ID, communication method, encryption method, access point IP address, network address, gateway IP address, DNS server IP address. Is just an example. For example, position information indicating the physical position of the place where the access point 75 is installed may be included in the connection destination information. However, when the types of information to be held are increased in this way, the security is improved, but the convenience is reduced. Therefore, it is desirable that the type of information to be held can be selected according to the application.
以上述べたように、本実施の形態では、信頼できるかどうか不明のアクセスポイント75が信頼できないと判定された場合に、そのアクセスポイント75との通信のログを記録するようにした。これにより、信頼できるかどうか不明のアクセスポイントとの間の無線通信を監視することができるようになった。
また、無線LAN端末10で用いるデータ(アクセスポイント75の状況とその環境レベル)をサーバ20に集約した。これにより、複数の無線LAN端末10がそのデータを共有できるようになった。
As described above, in this embodiment, when it is determined that an access point 75 that is unknown whether it is reliable or not can be trusted, a log of communication with the access point 75 is recorded. This makes it possible to monitor wireless communication with an access point whose reliability is unknown.
In addition, data used in the wireless LAN terminal 10 (the state of the access point 75 and its environment level) is collected in the server 20. As a result, a plurality of wireless LAN terminals 10 can share the data.
最後に、本実施の形態における無線LAN端末10及びサーバ20のハードウェア構成について説明する。図8は、このようなコンピュータのハードウェア構成の一例を示した図である。図示するように、コンピュータは、演算手段であるCPU(Central Processing Unit)90aと、M/B(マザーボード)チップセット90bを介してCPU90aに接続されたメインメモリ90cと、同じくM/Bチップセット90bを介してCPU90aに接続された表示機構90dとを備える。また、M/Bチップセット90bには、ブリッジ回路90eを介して、ネットワークインターフェイス90fと、磁気ディスク装置(HDD)90gと、音声機構90hと、キーボード/マウス90iと、フレキシブルディスクドライブ90jとが接続されている。
Finally, the hardware configuration of the wireless LAN terminal 10 and the server 20 in the present embodiment will be described. FIG. 8 is a diagram showing an example of the hardware configuration of such a computer. As shown in the figure, the computer includes a CPU (Central Processing Unit) 90a which is a calculation means, a
尚、図8において、各構成要素は、バスを介して接続される。例えば、CPU90aとM/Bチップセット90bの間や、M/Bチップセット90bとメインメモリ90cの間は、CPUバスを介して接続される。また、M/Bチップセット90bと表示機構90dとの間は、AGP(Accelerated Graphics Port)を介して接続されてもよいが、表示機構90dがPCI Express対応のビデオカードを含む場合、M/Bチップセット90bとこのビデオカードの間は、PCI Express(PCIe)バスを介して接続される。また、ブリッジ回路90eと接続する場合、ネットワークインターフェイス90fについては、例えば、PCI Expressを用いることができる。また、磁気ディスク装置90gについては、例えば、シリアルATA(AT Attachment)、パラレル転送のATA、PCI(Peripheral Components Interconnect)を用いることができる。更に、キーボード/マウス90i、及び、フレキシブルディスクドライブ90jについては、USB(Universal Serial Bus)を用いることができる。
In FIG. 8, each component is connected via a bus. For example, the
10…無線LAN端末、11…通信制御部、12…信頼済AP管理部、13…信頼済AP情報記憶部、14…ルール情報解析部、15…ルール情報生成部、16…ルール適用部、17…表示制御部、18…ログ管理部、20…サーバ、21…受信部、22…ルール情報生成部、23…アクション定義記憶部、24…送信部 DESCRIPTION OF SYMBOLS 10 ... Wireless LAN terminal, 11 ... Communication control part, 12 ... Trusted AP management part, 13 ... Trusted AP information storage part, 14 ... Rule information analysis part, 15 ... Rule information generation part, 16 ... Rule application part, 17 ... Display control unit, 18 ... Log management unit, 20 ... Server, 21 ... Reception unit, 22 ... Rule information generation unit, 23 ... Action definition storage unit, 24 ... Transmission unit
Claims (8)
前記自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、当該特定のアクセスポイントから当該特定のアクセスポイントを識別するための識別情報を受信する受信手段と、
前記受信手段により受信した前記識別情報に基づいて前記特定のアクセスポイントの信頼性が第1の基準を満たすと判定された場合に、当該特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録する登録手段と、
前記受信手段により受信した前記識別情報に基づいて前記特定のアクセスポイントの信頼性が第2の基準を満たすと判定された場合に、当該特定のアクセスポイントを介した通信のログを記録する記録手段と
を備えたことを特徴とする無線通信装置。 In a wireless communication apparatus having an automatic connection function for automatically connecting to an access point by setting in advance information on the access point used when performing wireless communication,
When information indicating that the specific access point connected by the automatic connection function is a reliable access point is not registered, identification information for identifying the specific access point is received from the specific access point Receiving means;
When it is determined that the reliability of the specific access point satisfies the first criterion based on the identification information received by the receiving unit, information indicating that the specific access point is a reliable access point Registration means to register;
Recording means for recording a log of communication through the specific access point when it is determined that the reliability of the specific access point satisfies the second standard based on the identification information received by the receiving means And a wireless communication apparatus.
前記特定のアクセスポイントの信頼性が前記第1の基準又は前記第2の基準を満たすとの判定は、前記送信手段により送信された前記識別情報に基づいて、前記情報処理装置によりなされることを特徴とする請求項1に記載の無線通信装置。 When information indicating that another access point that can communicate with other than the specific access point is a trusted access point is registered, the identification information received by the receiving unit is transmitted via the other access point. A transmission means for transmitting to the information processing apparatus;
The determination that the reliability of the specific access point satisfies the first criterion or the second criterion is made by the information processing device based on the identification information transmitted by the transmitting unit. The wireless communication apparatus according to claim 1, wherein:
前記無線通信装置による無線通信を監視する監視装置と
を備え、
前記無線通信装置は、
前記自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、当該特定のアクセスポイントから当該特定のアクセスポイントを識別するための識別情報を受信する第1の受信手段と、
前記第1の受信手段により受信した前記識別情報を前記監視装置に送信する第1の送信手段と、
前記特定のアクセスポイントの信頼性が第1の基準を満たす旨の判定結果が前記監視装置から送信された場合に、当該特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録する登録手段と、
前記特定のアクセスポイントの信頼性が第2の基準を満たす旨の判定結果が前記監視装置から送信された場合に、当該特定のアクセスポイントを介した通信のログを記録する記録手段と
を備え、
前記監視装置は、
前記第1の送信手段により送信された前記識別情報を受信する第2の受信手段と、
前記第2の受信手段により受信した前記識別情報に基づいて、前記特定のアクセスポイントの信頼性が前記第1の基準又は前記第2の基準を満たすかどうかを判定する判定手段と、
前記判定手段による判定結果を前記無線通信装置に送信する第2の送信手段と
を備えたことを特徴とする無線通信監視システム。 A wireless communication device having an automatic connection function for automatically connecting to the access point by setting in advance information of the access point used when performing wireless communication;
A monitoring device for monitoring wireless communication by the wireless communication device,
The wireless communication device
When information indicating that the specific access point connected by the automatic connection function is a reliable access point is not registered, identification information for identifying the specific access point is received from the specific access point First receiving means;
First transmission means for transmitting the identification information received by the first reception means to the monitoring device;
Registration means for registering information that the specific access point is a reliable access point when a determination result that the reliability of the specific access point satisfies the first standard is transmitted from the monitoring device When,
A recording unit that records a log of communication through the specific access point when a determination result that the reliability of the specific access point satisfies a second criterion is transmitted from the monitoring device;
The monitoring device
Second receiving means for receiving the identification information transmitted by the first transmitting means;
Determination means for determining whether reliability of the specific access point satisfies the first criterion or the second criterion based on the identification information received by the second receiving unit;
A wireless communication monitoring system comprising: a second transmission unit configured to transmit a determination result by the determination unit to the wireless communication device.
前記自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、当該特定のアクセスポイントから当該特定のアクセスポイントを識別するための識別情報を受信するステップと、
受信した前記識別情報に基づいて前記特定のアクセスポイントの信頼性が第1の基準を満たすと判定された場合に、当該特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録するステップと、
受信した前記識別情報に基づいて前記特定のアクセスポイントの信頼性が第2の基準を満たすと判定された場合に、当該特定のアクセスポイントを介した通信のログを記録するステップと
を含むことを特徴とする無線通信方法。 In a wireless communication apparatus having an automatic connection function for automatically connecting to an access point by setting in advance information on the access point used when performing wireless communication,
When information indicating that the specific access point connected by the automatic connection function is a reliable access point is not registered, identification information for identifying the specific access point is received from the specific access point Steps,
Registering information indicating that the specific access point is a reliable access point when it is determined that the reliability of the specific access point satisfies the first criterion based on the received identification information; ,
Recording a log of communication through the specific access point when it is determined that the reliability of the specific access point satisfies the second standard based on the received identification information. A wireless communication method.
前記自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、当該特定のアクセスポイントから当該特定のアクセスポイントを識別するための識別情報を受信する機能と、
受信した前記識別情報に基づいて前記特定のアクセスポイントの信頼性が第1の基準を満たすと判定された場合に、当該特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録する機能と、
受信した前記識別情報に基づいて前記特定のアクセスポイントの信頼性が第2の基準を満たすと判定された場合に、当該特定のアクセスポイントを介した通信のログを記録する機能と
を実現させるためのプログラム。 A wireless communication device having an automatic connection function for automatically connecting to an access point by setting in advance information of the access point used when performing wireless communication.
When information indicating that the specific access point connected by the automatic connection function is a reliable access point is not registered, identification information for identifying the specific access point is received from the specific access point Function and
A function of registering information indicating that the specific access point is a reliable access point when it is determined that the reliability of the specific access point satisfies the first criterion based on the received identification information; ,
To realize a function of recording a log of communication through a specific access point when it is determined that the reliability of the specific access point satisfies the second standard based on the received identification information Program.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009111061A JP2010263310A (en) | 2009-04-30 | 2009-04-30 | Wireless communication apparatus, wireless communication monitoring system, wireless communication method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009111061A JP2010263310A (en) | 2009-04-30 | 2009-04-30 | Wireless communication apparatus, wireless communication monitoring system, wireless communication method, and program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010263310A true JP2010263310A (en) | 2010-11-18 |
Family
ID=43361070
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009111061A Pending JP2010263310A (en) | 2009-04-30 | 2009-04-30 | Wireless communication apparatus, wireless communication monitoring system, wireless communication method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2010263310A (en) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013242872A (en) * | 2012-05-21 | 2013-12-05 | Rsupport Co Ltd | Remote network connection method and remote network connection system |
| JP2015521399A (en) * | 2012-05-15 | 2015-07-27 | コーニック グローリー カンパニー リミテッド | Intelligent wireless intrusion prevention system and sensor using cloud sensor network |
| JP2015226267A (en) * | 2014-05-29 | 2015-12-14 | 西日本電信電話株式会社 | Access point certification system, communication device, access point, access point certification method, and computer program |
| JP2016506212A (en) * | 2013-01-27 | 2016-02-25 | エルジー エレクトロニクス インコーポレイティド | Method and apparatus for registering access points in a wireless communication system |
| US9374711B2 (en) | 2011-09-30 | 2016-06-21 | International Business Machines Corporation | Monitoring unauthorized access point |
| JP2016143416A (en) * | 2015-01-30 | 2016-08-08 | パナソニックIpマネジメント株式会社 | Information processing method |
| CN107404723A (en) * | 2016-05-20 | 2017-11-28 | 北京小米移动软件有限公司 | A kind of method and apparatus of access base station |
| JP2018527794A (en) * | 2015-07-23 | 2018-09-20 | クアルコム,インコーポレイテッド | Rogue access point profiling |
| JP2020057916A (en) * | 2018-10-01 | 2020-04-09 | 株式会社東芝 | Wireless network system and wireless network monitoring method |
-
2009
- 2009-04-30 JP JP2009111061A patent/JP2010263310A/en active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9374711B2 (en) | 2011-09-30 | 2016-06-21 | International Business Machines Corporation | Monitoring unauthorized access point |
| US9674708B2 (en) | 2011-09-30 | 2017-06-06 | International Business Machines Corporation | Monitoring unauthorized access point |
| JP2015521399A (en) * | 2012-05-15 | 2015-07-27 | コーニック グローリー カンパニー リミテッド | Intelligent wireless intrusion prevention system and sensor using cloud sensor network |
| JP2013242872A (en) * | 2012-05-21 | 2013-12-05 | Rsupport Co Ltd | Remote network connection method and remote network connection system |
| JP2016506212A (en) * | 2013-01-27 | 2016-02-25 | エルジー エレクトロニクス インコーポレイティド | Method and apparatus for registering access points in a wireless communication system |
| JP2015226267A (en) * | 2014-05-29 | 2015-12-14 | 西日本電信電話株式会社 | Access point certification system, communication device, access point, access point certification method, and computer program |
| JP2016143416A (en) * | 2015-01-30 | 2016-08-08 | パナソニックIpマネジメント株式会社 | Information processing method |
| JP2018527794A (en) * | 2015-07-23 | 2018-09-20 | クアルコム,インコーポレイテッド | Rogue access point profiling |
| CN107404723A (en) * | 2016-05-20 | 2017-11-28 | 北京小米移动软件有限公司 | A kind of method and apparatus of access base station |
| JP2018518066A (en) * | 2016-05-20 | 2018-07-05 | 北京小米移動軟件有限公司Beijing Xiaomi Mobile Software Co.,Ltd. | Base station access method, apparatus, program, and recording medium |
| US10313936B2 (en) | 2016-05-20 | 2019-06-04 | Beijing Xiaomi Mobile Software Co., Ltd. | Method and apparatus for accessing base station |
| CN107404723B (en) * | 2016-05-20 | 2020-08-21 | 北京小米移动软件有限公司 | Method and device for accessing base station |
| JP2020057916A (en) * | 2018-10-01 | 2020-04-09 | 株式会社東芝 | Wireless network system and wireless network monitoring method |
| JP7273476B2 (en) | 2018-10-01 | 2023-05-15 | 株式会社東芝 | Wireless network system and wireless network monitoring method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103023867B (en) | Portable secure device and method for dynamically configuration network security setting | |
| JP2010263310A (en) | Wireless communication apparatus, wireless communication monitoring system, wireless communication method, and program | |
| US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
| US8997201B2 (en) | Integrity monitoring to detect changes at network device for use in secure network access | |
| CN103069774B (en) | Access the service notified safely | |
| US9730075B1 (en) | Systems and methods for detecting illegitimate devices on wireless networks | |
| US20130174239A1 (en) | Reinforced authentication system and method using context information at the time of access to mobile cloud service | |
| US20090077631A1 (en) | Allowing a device access to a network in a trusted network connect environment | |
| CN110611723A (en) | A method and device for scheduling service resources | |
| JPWO2009087702A1 (en) | Virtual machine execution program, user authentication program, and information processing apparatus | |
| US8191143B1 (en) | Anti-pharming in wireless computer networks at pre-IP state | |
| RU2592387C2 (en) | Method and system searching wireless access points approved by device | |
| US11336621B2 (en) | WiFiwall | |
| US9245118B2 (en) | Methods for identifying key logging activities with a portable device and devices thereof | |
| JP2022519433A (en) | Zero Trust Wireless Surveillance Systems and Methods for Behavior-Based Monitoring of Radio Frequency Environments | |
| US11811817B2 (en) | SSL proxy whitelisting | |
| Jain et al. | ETGuard: detecting D2D attacks using wireless evil twins | |
| JP2008276457A (en) | Network protection program, network protection device, and network protection method | |
| CN106878992A (en) | Wireless network security detection method and system | |
| Ishtiaq et al. | DHCP DoS and starvation attacks on SDN controllers and their mitigation: HU Ishtiaq et al. | |
| US9100429B2 (en) | Apparatus for analyzing vulnerability of wireless local area network | |
| US20160164889A1 (en) | Rogue access point detection | |
| JP2003258795A (en) | Computer aggregate operation method, its execution system, and its processing program | |
| KR102508418B1 (en) | Method and system for providing in-house security management solution | |
| Hsu et al. | A passive user‐side solution for evil twin access point detection at public hotspots |