JP2010263310A - 無線通信装置、無線通信監視システム、無線通信方法、及びプログラム - Google Patents
無線通信装置、無線通信監視システム、無線通信方法、及びプログラム Download PDFInfo
- Publication number
- JP2010263310A JP2010263310A JP2009111061A JP2009111061A JP2010263310A JP 2010263310 A JP2010263310 A JP 2010263310A JP 2009111061 A JP2009111061 A JP 2009111061A JP 2009111061 A JP2009111061 A JP 2009111061A JP 2010263310 A JP2010263310 A JP 2010263310A
- Authority
- JP
- Japan
- Prior art keywords
- access point
- wireless communication
- information
- specific access
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】信頼できるかどうか不明のアクセスポイントとの間の無線通信を監視する。
【解決手段】無線LAN端末10では、信頼済AP管理部12が、接続したアクセスポイントが信頼済として登録されているか判定し、登録されていなければ、通信制御部11が、アクセスポイントから受信した接続先情報をサーバに送信して、アクセスポイントとの接続に関するアクション及び監視方法を指定するルール情報を受信し、ルール情報解析部14が、ルール情報を解析し、ルール適用部16が、解析結果に基づいて、ルール情報が指定するアクション(通信制御部11による接続の遮断、表示制御部17による警告の表示制御、ログ管理部18による通信ログの記録、信頼済AP管理部12による信頼済である旨の登録)を実行し、アクションが通信ログの記録であれば、ルール情報が指定する監視方法をログ管理部18に設定する。
【選択図】図2
【解決手段】無線LAN端末10では、信頼済AP管理部12が、接続したアクセスポイントが信頼済として登録されているか判定し、登録されていなければ、通信制御部11が、アクセスポイントから受信した接続先情報をサーバに送信して、アクセスポイントとの接続に関するアクション及び監視方法を指定するルール情報を受信し、ルール情報解析部14が、ルール情報を解析し、ルール適用部16が、解析結果に基づいて、ルール情報が指定するアクション(通信制御部11による接続の遮断、表示制御部17による警告の表示制御、ログ管理部18による通信ログの記録、信頼済AP管理部12による信頼済である旨の登録)を実行し、アクションが通信ログの記録であれば、ルール情報が指定する監視方法をログ管理部18に設定する。
【選択図】図2
Description
本発明は、無線通信を行う際に利用するアクセスポイントの情報を予め設定しておくことによりそのアクセスポイントに自動的に接続して無線通信を行う無線通信装置、この無線通信装置による無線通信を監視する無線通信監視システム、この無線通信装置における無線通信方法及びプログラムに関する。
無線LAN(Local Area Network)デバイスを搭載するシステムの殆どには、利用する無線LANアクセスポイント(以下、単に「アクセスポイント」という)の情報を予め登録しておくことで、接続可能エリアにいれば自動的にオンライン状態にする自動接続機能が実装されている。ここで、アクセスポイントの情報とは、例えば、ESS−ID(Extended Service Set Identifier)、暗号方式、パスワードである。
通常のセキュリティ設定が施されたアクセスポイントであれば、暗号方式とパスワードが一致しなければ接続を許可しないが、暗号方式とパスワードは必須の設定項目ではないので、自由に接続を許可する目的でこれらの項目を設定しないアクセスポイントを設置することができる。また、暗号方式とパスワードが一致しなくても情報を受け取るだけで接続を許可するようにアクセスポイントを設置することもできる。
更に、現在普及する公衆無線LANサービスの中には、DHCP(Dynamic Host Configuration Protocol)環境にあり、かつ、アクセスポイントの情報が利用者間で共有されているものがある。このように共有されるアクセスポイントの情報は地域が異なっても同じものが用いられるため、利用者端末には、上記の自動接続機能を用いて、簡易にアクセスポイントに接続できる設定がなされていることも多い。こうしたことから、悪意あるアクセスポイントが、正常な公衆無線LANサービスのアクセスポイントを容易に装える状況になっている。
このような悪意あるアクセスポイントが存在した場合、自動接続機能が実装されたシステムはオンライン状態になる。つまり、信頼できないネットワークに勝手に接続してしまう虞がある。特に、攻撃者が管理するアクセスポイントに接続してしまった場合、通信データの盗聴や不正サイトへの誘導等、様々な攻撃を受ける可能性がある。
通常のセキュリティ設定が施されたアクセスポイントであれば、暗号方式とパスワードが一致しなければ接続を許可しないが、暗号方式とパスワードは必須の設定項目ではないので、自由に接続を許可する目的でこれらの項目を設定しないアクセスポイントを設置することができる。また、暗号方式とパスワードが一致しなくても情報を受け取るだけで接続を許可するようにアクセスポイントを設置することもできる。
更に、現在普及する公衆無線LANサービスの中には、DHCP(Dynamic Host Configuration Protocol)環境にあり、かつ、アクセスポイントの情報が利用者間で共有されているものがある。このように共有されるアクセスポイントの情報は地域が異なっても同じものが用いられるため、利用者端末には、上記の自動接続機能を用いて、簡易にアクセスポイントに接続できる設定がなされていることも多い。こうしたことから、悪意あるアクセスポイントが、正常な公衆無線LANサービスのアクセスポイントを容易に装える状況になっている。
このような悪意あるアクセスポイントが存在した場合、自動接続機能が実装されたシステムはオンライン状態になる。つまり、信頼できないネットワークに勝手に接続してしまう虞がある。特に、攻撃者が管理するアクセスポイントに接続してしまった場合、通信データの盗聴や不正サイトへの誘導等、様々な攻撃を受ける可能性がある。
そこで、従来、パケットの盗聴を目的とした偽アクセスポイントが設置された場合でも、その不正なアクセスポイントを見抜いて接続を避ける無線LAN機器があった(例えば、特許文献1参照)。この特許文献1の技術では、正常なアクセスポイントへの接続履歴を記憶装置が保持し、無線LAN接続の指示があった場合、周囲のアクセスポイントが発するビーコンの識別情報と記憶装置内の接続履歴とを比較し、同一識別情報を持つアクセスポイントがあったり接続履歴にないアクセスポイントがあったりすると、更にビーコンの電波強度及び/又は暗号化状態を調べ、不正なアクセスポイントとして接続を避けるようにしている。
このように、不正なアクセスポイントへの接続を回避する技術は、従来から存在した。
しかしながら、特許文献1の技術は、不正なアクセスポイントへの接続を回避するだけで、不正なアクセスポイントとの間の通信のログを記録しているわけではない。従って、信頼できるかどうか不明のアクセスポイントに関して、例えば証拠保全を目的とした監視活動を行うことができないという問題点があった。
しかしながら、特許文献1の技術は、不正なアクセスポイントへの接続を回避するだけで、不正なアクセスポイントとの間の通信のログを記録しているわけではない。従って、信頼できるかどうか不明のアクセスポイントに関して、例えば証拠保全を目的とした監視活動を行うことができないという問題点があった。
本発明の目的は、信頼できるかどうか不明のアクセスポイントとの間の無線通信を監視することにある。
かかる目的のもと、本発明は、無線通信を行う際に利用するアクセスポイントの情報を予め設定しておくことによりアクセスポイントに自動的に接続する自動接続機能を有する無線通信装置において、自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、特定のアクセスポイントから特定のアクセスポイントを識別するための識別情報を受信する受信手段と、受信手段により受信した識別情報に基づいて特定のアクセスポイントの信頼性が第1の基準を満たすと判定された場合に、特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録する登録手段と、受信手段により受信した識別情報に基づいて特定のアクセスポイントの信頼性が第2の基準を満たすと判定された場合に、特定のアクセスポイントを介した通信のログを記録する記録手段とを備えた無線通信装置を提供する。
ここで、この装置は、受信手段により受信した識別情報に基づいて特定のアクセスポイントの信頼性が第3の基準を満たすと判定された場合に、特定のアクセスポイントとの接続を遮断する遮断手段を更に備えた、ものであってよい。
また、受信手段により受信した識別情報に基づいて特定のアクセスポイントの信頼性が第4の基準を満たすと判定された場合に、特定のアクセスポイントとの接続を継続するに当たって警告を行う警告手段を更に備えた、ものであってよい。
また、受信手段により受信した識別情報に基づいて特定のアクセスポイントの信頼性が第4の基準を満たすと判定された場合に、特定のアクセスポイントとの接続を継続するに当たって警告を行う警告手段を更に備えた、ものであってよい。
更に、この装置において、受信手段は、特定のアクセスポイントが設置された位置を示す位置情報を含む識別情報を受信する、ものであってよい。
更にまた、この装置は、特定のアクセスポイント以外で通信可能な他のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されている場合に、受信手段により受信した識別情報を他のアクセスポイントを介して情報処理装置に送信する送信手段を更に備え、特定のアクセスポイントの信頼性が第1の基準又は第2の基準を満たすとの判定は、送信手段により送信された識別情報に基づいて、情報処理装置によりなされる、ものであってよい。
更にまた、この装置は、特定のアクセスポイント以外で通信可能な他のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されている場合に、受信手段により受信した識別情報を他のアクセスポイントを介して情報処理装置に送信する送信手段を更に備え、特定のアクセスポイントの信頼性が第1の基準又は第2の基準を満たすとの判定は、送信手段により送信された識別情報に基づいて、情報処理装置によりなされる、ものであってよい。
更に、この装置は、記録手段により記録されたログを情報処理装置に送信する送信手段を更に備えた、ものであってよい。
その場合、送信手段は、特定のアクセスポイント以外で通信可能な他のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されている場合に、記録手段により記録されたログを他のアクセスポイントを介して情報処理装置に送信する、ものであってよい。
その場合、送信手段は、特定のアクセスポイント以外で通信可能な他のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されている場合に、記録手段により記録されたログを他のアクセスポイントを介して情報処理装置に送信する、ものであってよい。
また、本発明は、無線通信を行う際に利用するアクセスポイントの情報を予め設定しておくことによりアクセスポイントに自動的に接続する自動接続機能を有する無線通信装置と、無線通信装置による無線通信を監視する監視装置とを備え、無線通信装置は、自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、特定のアクセスポイントから特定のアクセスポイントを識別するための識別情報を受信する第1の受信手段と、第1の受信手段により受信した識別情報を監視装置に送信する第1の送信手段と、特定のアクセスポイントの信頼性が第1の基準を満たす旨の判定結果が監視装置から送信された場合に、特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録する登録手段と、特定のアクセスポイントの信頼性が第2の基準を満たす旨の判定結果が監視装置から送信された場合に、特定のアクセスポイントを介した通信のログを記録する記録手段とを備え、監視装置は、第1の送信手段により送信された識別情報を受信する第2の受信手段と、第2の受信手段により受信した識別情報に基づいて、特定のアクセスポイントの信頼性が第1の基準又は第2の基準を満たすかどうかを判定する判定手段と、判定手段による判定結果を無線通信装置に送信する第2の送信手段とを備えた無線通信監視システムも提供する。
更に、本発明は、無線通信を行う際に利用するアクセスポイントの情報を予め設定しておくことによりアクセスポイントに自動的に接続する自動接続機能を有する無線通信装置において、自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、特定のアクセスポイントから特定のアクセスポイントを識別するための識別情報を受信するステップと、受信した識別情報に基づいて特定のアクセスポイントの信頼性が第1の基準を満たすと判定された場合に、特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録するステップと、受信した識別情報に基づいて特定のアクセスポイントの信頼性が第2の基準を満たすと判定された場合に、特定のアクセスポイントを介した通信のログを記録するステップとを含む無線通信方法も提供する。
更にまた、本発明は、無線通信を行う際に利用するアクセスポイントの情報を予め設定しておくことによりアクセスポイントに自動的に接続する自動接続機能を有する無線通信装置に、自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、特定のアクセスポイントから特定のアクセスポイントを識別するための識別情報を受信する機能と、受信した識別情報に基づいて特定のアクセスポイントの信頼性が第1の基準を満たすと判定された場合に、特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録する機能と、受信した識別情報に基づいて特定のアクセスポイントの信頼性が第2の基準を満たすと判定された場合に、特定のアクセスポイントを介した通信のログを記録する機能とを実現させるためのプログラムも提供する。
本発明によれば、信頼できるかどうか不明のアクセスポイントとの間の無線通信を監視することができる。
以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。
まず、本実施の形態が適用されるコンピュータシステムについて説明する。
図1は、このようなコンピュータシステムの全体構成例を示した図である。
図示するように、このコンピュータシステムは、無線LAN端末10と、サーバ20と、アクセスポイント75a,75bとを含む。そして、アクセスポイント75a,75bは、それぞれ、移動体通信網70a,70bに接続され、移動体通信網70a,70bは、インターネット80を介して、サーバ20に接続されている。
まず、本実施の形態が適用されるコンピュータシステムについて説明する。
図1は、このようなコンピュータシステムの全体構成例を示した図である。
図示するように、このコンピュータシステムは、無線LAN端末10と、サーバ20と、アクセスポイント75a,75bとを含む。そして、アクセスポイント75a,75bは、それぞれ、移動体通信網70a,70bに接続され、移動体通信網70a,70bは、インターネット80を介して、サーバ20に接続されている。
無線LAN端末10は、ユーザが使用する端末装置であり、アクセスポイント75a,75bを介してデータを送受信するために、IEEE802.11a/b/g/n等に準拠した無線LANインターフェイスを有する。例えば、ノート型のパーソナルコンピュータ、PDA(Personal Digital Assistants)、その他のコンピュータ装置にて実現される。尚、図では、無線LAN端末10を1台しか示していないが、2台以上の無線LAN端末10を含んでもよい。本実施の形態では、無線通信装置の一例として、無線LAN端末10を設けている。
サーバ20は、管理者の設定に応じて、無線LAN端末10をアクセスポイント75a,75bに接続させるか等を示すポリシー情報を管理し、無線LAN端末10から送られた情報とポリシー情報とに基づいて、無線LAN端末10に適用するルールを決定する。その際、無線LAN端末10側では設定を変更できない構成にし、サーバ20側で管理者が強制的にルールを適用する仕組みにする。また、無線LAN端末10に適用するルールが、ログの記録に決定された場合には、無線LAN端末10からログの転送を受け、ログの解析(監視)も行う。例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。本実施の形態では、情報処理装置又は監視装置の一例として、サーバ20を設けている。
アクセスポイント75a,75bは、無線LAN端末10からインターネット80への接続を可能とする無線LAN機器で、無線LAN端末10が有する無線LANインターフェイスと同じ無線インターフェイスを有する。尚、図では、アクセスポイント75a,75bを示したが、これらを区別する必要がない場合は、アクセスポイント75と称することもある。また、図には、2台のアクセスポイント75しか示していないが、3台以上のアクセスポイント75を設けてもよい。
移動体通信網70a,70bは、無線LAN端末10をインターネット80に接続するための通信網である。尚、図では、移動体通信網70a,70bを示したが、これらを区別する必要がない場合は、移動体通信網70と称することもある。また、図には、2つの移動体通信網70しか示していないが、3つ以上の移動体通信網70を設けてもよい。
インターネット80は、TCP/IPを用いて構築された世界的なコンピュータネットワーク(The Internet)である。
移動体通信網70a,70bは、無線LAN端末10をインターネット80に接続するための通信網である。尚、図では、移動体通信網70a,70bを示したが、これらを区別する必要がない場合は、移動体通信網70と称することもある。また、図には、2つの移動体通信網70しか示していないが、3つ以上の移動体通信網70を設けてもよい。
インターネット80は、TCP/IPを用いて構築された世界的なコンピュータネットワーク(The Internet)である。
ところで、無線LAN端末10に信頼できるアクセスポイントのESS−ID名を登録することによりアクセスポイントに自動接続する設定を行うと、同じESS−ID名を持つ信頼できないアクセスポイントにも勝手に接続してしまう場合がある。
例えば、移動体通信網70aを信頼できない通信網、移動体通信網70bを信頼できる通信網とし、アクセスポイント75a,75bのESS−ID名は何れも「AP」であるとする。また、無線LAN端末10には、移動体通信網70bのWi−Fi電波が届くエリア内でアクセスポイント75bに自動的に接続するように、ESS−ID名「AP」が登録されているとする。このような状況で、無線LAN端末10が移動体通信網70aのWi−Fi電波が届くエリアに入ったとする。ここで、アクセスポイント75aが、パスワード認証の成功/失敗に関わらず、接続要求が来たら全て許可する構成になっているとすると、無線LAN端末10はアクセスポイント75aに自動接続してしまう。そして、移動体通信網70aが不正なネットワークであれば、接続完了後、無線LAN端末10に対し、攻撃(マルウェア感染活動や盗聴行為等)が行われることになる。
例えば、移動体通信網70aを信頼できない通信網、移動体通信網70bを信頼できる通信網とし、アクセスポイント75a,75bのESS−ID名は何れも「AP」であるとする。また、無線LAN端末10には、移動体通信網70bのWi−Fi電波が届くエリア内でアクセスポイント75bに自動的に接続するように、ESS−ID名「AP」が登録されているとする。このような状況で、無線LAN端末10が移動体通信網70aのWi−Fi電波が届くエリアに入ったとする。ここで、アクセスポイント75aが、パスワード認証の成功/失敗に関わらず、接続要求が来たら全て許可する構成になっているとすると、無線LAN端末10はアクセスポイント75aに自動接続してしまう。そして、移動体通信網70aが不正なネットワークであれば、接続完了後、無線LAN端末10に対し、攻撃(マルウェア感染活動や盗聴行為等)が行われることになる。
そこで、本実施の形態では、無線LAN端末10とサーバ20とが協働して、信頼できないアクセスポイント75との間の通信を監視できるようにした。
まず、無線LAN端末10の機能構成について説明する。
図2は、無線LAN端末10の機能構成例を示したブロック図である。
図示するように、無線LAN端末10は、通信制御部11と、信頼済アクセスポイント管理部(以下、「信頼済AP管理部」という)12と、信頼済アクセスポイント情報記憶部(以下、「信頼済AP情報記憶部」という)13とを備える。また、ルール情報解析部14と、ルール情報生成部15と、ルール適用部16と、表示制御部17と、ログ管理部18とを備える。
まず、無線LAN端末10の機能構成について説明する。
図2は、無線LAN端末10の機能構成例を示したブロック図である。
図示するように、無線LAN端末10は、通信制御部11と、信頼済アクセスポイント管理部(以下、「信頼済AP管理部」という)12と、信頼済アクセスポイント情報記憶部(以下、「信頼済AP情報記憶部」という)13とを備える。また、ルール情報解析部14と、ルール情報生成部15と、ルール適用部16と、表示制御部17と、ログ管理部18とを備える。
通信制御部11は、無線LAN端末10とアクセスポイント75との間の通信を制御する。即ち、アクセスポイント75に関する情報(以下、「接続先情報」という)のアクセスポイント75からの受信、無線LAN端末10に関する情報(以下、「端末情報」という)及び接続先情報のサーバ20への送信、端末情報及び接続先情報に基づいて生成されたルール情報のサーバ20からの受信を制御する。尚、接続先情報については、後述する。また、端末情報は、無線LAN端末10を識別する情報であり、例えば、MACアドレスを用いることができる。本実施の形態では、特定のアクセスポイントを識別するための識別情報の一例として、接続先情報を用いており、識別情報を受信する受信手段又は第1の受信手段の一例として、通信制御部11を設けている。また、識別情報又はログを情報処理装置に送信する送信手段の一例として、更には、識別情報を監視装置に送信する送信手段又は第1の送信手段の一例として、通信制御部11を設けている。更に、特定のアクセスポイントとの接続を遮断する遮断手段の一例として、通信制御部11を設けている。
信頼済AP管理部12は、信頼済AP情報記憶部13に記憶された情報に基づいてアクセスポイント75が信頼済であるかどうかを判定したり、新規のアクセスポイント75が信頼できることが判明した場合にこのアクセスポイント75が信頼済である旨の情報を信頼済AP情報記憶部13に記憶したりする。本実施の形態では、信頼できるアクセスポイントである旨の情報を登録する登録手段の一例として、信頼済AP管理部12を設けている。
信頼済AP情報記憶部13は、信頼済のアクセスポイント75に関する情報(信頼済アクセスポイント情報)を記憶する。
信頼済AP情報記憶部13は、信頼済のアクセスポイント75に関する情報(信頼済アクセスポイント情報)を記憶する。
ルール情報解析部14は、サーバ20から受信したルール情報又は無線LAN端末10で生成したルール情報を解析してアクション及び監視方法を決定する。
ルール情報生成部15は、サーバ20に端末情報及び接続先情報を送信してルール情報を生成してもらえない環境にいる場合に、無線LAN端末10側で保持する情報に基づいてルール情報を生成する。
ルール適用部16は、ルール情報解析部14が決定したアクションを実行したり、ルール情報解析部14が決定した監視方法を設定したりする。
表示制御部17は、ルール適用部16がアクションして警告を実行する場合に、警告表示を行うように表示機構を制御する。本実施の形態では、警告を行う警告手段の一例として、表示制御部17を設けている。
ログ管理部18は、ルール適用部16がアクションとしてロギングを実行する場合に、通信制御部11から通信ログ(トラフィックログ)を採取して記録する。本実施の形態では、通信のログを記録する記録手段の一例として、ログ管理部18を設けている。
ルール情報生成部15は、サーバ20に端末情報及び接続先情報を送信してルール情報を生成してもらえない環境にいる場合に、無線LAN端末10側で保持する情報に基づいてルール情報を生成する。
ルール適用部16は、ルール情報解析部14が決定したアクションを実行したり、ルール情報解析部14が決定した監視方法を設定したりする。
表示制御部17は、ルール適用部16がアクションして警告を実行する場合に、警告表示を行うように表示機構を制御する。本実施の形態では、警告を行う警告手段の一例として、表示制御部17を設けている。
ログ管理部18は、ルール適用部16がアクションとしてロギングを実行する場合に、通信制御部11から通信ログ(トラフィックログ)を採取して記録する。本実施の形態では、通信のログを記録する記録手段の一例として、ログ管理部18を設けている。
ここで、信頼済AP情報記憶部13に記憶された信頼済アクセスポイント情報について説明する。
図3は、信頼済アクセスポイント情報の具体例を示した図である。
図示するように、信頼済アクセスポイント情報は、ESS−ID(Extended Service Set Identifier)、通信方式、暗号方式、MACアドレス、論理アドレス情報を対応付けたものとなっている。
図3は、信頼済アクセスポイント情報の具体例を示した図である。
図示するように、信頼済アクセスポイント情報は、ESS−ID(Extended Service Set Identifier)、通信方式、暗号方式、MACアドレス、論理アドレス情報を対応付けたものとなっている。
このうち、ESS−IDは、IEEE802.11シリーズの無線LANにおけるネットワークの識別子である。
通信方式は、IEEE802.11シリーズにおける規格名を示しており、IEEE802.11a、IEEE802.11b、IEEE802.11g、IEEE802.11n等が設定される。
暗号方式は、無線LANにおける暗号化方式の規格名を示しており、「WEP(Wired Equivalent Privacy)」、「WPA(Wi-Fi Protected Access)」、「WPA2(Wi-Fi Protected Access 2)」、「なし」等が設定される。
論理アドレス情報は、DHCP(Dynamic Host Configuration Protocol)環境下でアクセスポイント75に割り当てられたIPアドレス、このIPアドレスの一部であるネットワークアドレス、移動体通信網70とインターネット80とを結ぶゲートウェイのIPアドレス、移動体通信網70でアドレス解決に用いられるDNSサーバのIPアドレス等を含む。
通信方式は、IEEE802.11シリーズにおける規格名を示しており、IEEE802.11a、IEEE802.11b、IEEE802.11g、IEEE802.11n等が設定される。
暗号方式は、無線LANにおける暗号化方式の規格名を示しており、「WEP(Wired Equivalent Privacy)」、「WPA(Wi-Fi Protected Access)」、「WPA2(Wi-Fi Protected Access 2)」、「なし」等が設定される。
論理アドレス情報は、DHCP(Dynamic Host Configuration Protocol)環境下でアクセスポイント75に割り当てられたIPアドレス、このIPアドレスの一部であるネットワークアドレス、移動体通信網70とインターネット80とを結ぶゲートウェイのIPアドレス、移動体通信網70でアドレス解決に用いられるDNSサーバのIPアドレス等を含む。
尚、この信頼済アクセスポイント情報のうちESS−ID以外の情報は、ハッシュ化して記憶しておいてもよい。つまり、信頼済アクセスポイント情報を、ESS−IDとハッシュ値の組み合わせで保持しておいてもよい。
次に、サーバ20の機能構成について説明する。
図4は、サーバ20の機能構成例を示したブロック図である。
図示するように、サーバ20は、受信部21と、ルール情報生成部22と、アクション定義記憶部23と、送信部24とを備える。
図4は、サーバ20の機能構成例を示したブロック図である。
図示するように、サーバ20は、受信部21と、ルール情報生成部22と、アクション定義記憶部23と、送信部24とを備える。
受信部21は、無線LAN端末10から端末情報及び接続先情報を受信する。本実施の形態では、識別情報を受信する第2の受信手段の一例として、受信部21を設けている。
ルール情報生成部22は、無線LAN端末10とアクセスポイント75との通信に関して適用するルールに関する情報(ルール情報)を生成する。ルール情報は、無線LAN端末10のグループ(以下、「端末グループ」という)の単位で作成できるようにする。また、ルール情報は、無線LAN端末10が実行すべきアクションを指定する。ここで、アクションには、遮断、警告、ロギング、許可の何れかが設定される。更に、アクションとしてロギングが指定された場合、ルール情報は、無線LAN端末10における通信の監視方法も指定する。本実施の形態では、特定のアクセスポイントの信頼性が第1の基準又は第2の基準を満たすかどうかを判定する判定手段の一例として、ルール情報生成部22を設けている。
アクション定義記憶部23は、ルール情報が指定するアクションをルール情報生成部22が決定する際に参照するアクション定義を記憶する。
送信部24は、ルール情報生成部22が生成したルール情報を無線LAN端末10に送信する。本実施の形態では、判定結果を送信する第2の送信手段の一例として、送信部24を設けている。
ルール情報生成部22は、無線LAN端末10とアクセスポイント75との通信に関して適用するルールに関する情報(ルール情報)を生成する。ルール情報は、無線LAN端末10のグループ(以下、「端末グループ」という)の単位で作成できるようにする。また、ルール情報は、無線LAN端末10が実行すべきアクションを指定する。ここで、アクションには、遮断、警告、ロギング、許可の何れかが設定される。更に、アクションとしてロギングが指定された場合、ルール情報は、無線LAN端末10における通信の監視方法も指定する。本実施の形態では、特定のアクセスポイントの信頼性が第1の基準又は第2の基準を満たすかどうかを判定する判定手段の一例として、ルール情報生成部22を設けている。
アクション定義記憶部23は、ルール情報が指定するアクションをルール情報生成部22が決定する際に参照するアクション定義を記憶する。
送信部24は、ルール情報生成部22が生成したルール情報を無線LAN端末10に送信する。本実施の形態では、判定結果を送信する第2の送信手段の一例として、送信部24を設けている。
ここで、アクション定義記憶部23に記憶されたアクション定義について説明する。
図5は、アクション定義の具体例を示した図である。
図示するように、アクション定義は、端末グループと環境レベルの組み合わせに対して、無線LAN端末10に実行させるアクションを定義したものとなっている。
ここで、端末グループは、無線LAN端末10のグループである。図では、端末グループとして、「A」、「B」、「C」の3つを示しているが、どのような端末グループを設けるか、幾つの端末グループを設けるか等は、サーバ20の管理者が自由に設定できる。
また、環境レベルは、移動体通信網70がどの程度信頼できる環境であるかを示す指標である。「高」が最も信頼できる環境であり、「低」が最も信頼できない環境であることを示している。
図5は、アクション定義の具体例を示した図である。
図示するように、アクション定義は、端末グループと環境レベルの組み合わせに対して、無線LAN端末10に実行させるアクションを定義したものとなっている。
ここで、端末グループは、無線LAN端末10のグループである。図では、端末グループとして、「A」、「B」、「C」の3つを示しているが、どのような端末グループを設けるか、幾つの端末グループを設けるか等は、サーバ20の管理者が自由に設定できる。
また、環境レベルは、移動体通信網70がどの程度信頼できる環境であるかを示す指標である。「高」が最も信頼できる環境であり、「低」が最も信頼できない環境であることを示している。
次いで、本実施の形態の動作について説明する。
上述したように、本実施の形態は、無線LAN端末10とサーバ20とによって実行される。
そこで、まず、無線LAN端末10の動作について説明する。尚、この動作に先立ち、無線LAN端末10には、接続環境の切り替わりを検知するためのIPアドレスの監視や、接続先環境及び信頼済環境のデータのサーバ20への転送を行うエージェントをインストールしておくものとする。
上述したように、本実施の形態は、無線LAN端末10とサーバ20とによって実行される。
そこで、まず、無線LAN端末10の動作について説明する。尚、この動作に先立ち、無線LAN端末10には、接続環境の切り替わりを検知するためのIPアドレスの監視や、接続先環境及び信頼済環境のデータのサーバ20への転送を行うエージェントをインストールしておくものとする。
図6は、無線LAN端末10の動作例を示したフローチャートである。
無線LAN端末10では、まず、通信制御部11が、アクセスポイント75aに接続し、通信を開始する(ステップ101)。尚、このとき、通信制御部11は、アクセスポイント75aのESS−ID、通信方式、暗号方式、MACアドレスを取得し、信頼済AP管理部12に受け渡す。
次に、信頼済AP管理部12が、ステップ101で渡されたESS−ID、通信方式、暗号方式、MACアドレスを用いて、アクセスポイント75aが信頼できるものと判断済(信頼済)であるかどうかを判定する(ステップ102)。具体的には、ステップ101で渡されたESS−ID、通信方式、暗号方式、MACアドレスの組み合わせが、図3に示した信頼済アクセスポイント情報に含まれるかどうかを調べる。
無線LAN端末10では、まず、通信制御部11が、アクセスポイント75aに接続し、通信を開始する(ステップ101)。尚、このとき、通信制御部11は、アクセスポイント75aのESS−ID、通信方式、暗号方式、MACアドレスを取得し、信頼済AP管理部12に受け渡す。
次に、信頼済AP管理部12が、ステップ101で渡されたESS−ID、通信方式、暗号方式、MACアドレスを用いて、アクセスポイント75aが信頼できるものと判断済(信頼済)であるかどうかを判定する(ステップ102)。具体的には、ステップ101で渡されたESS−ID、通信方式、暗号方式、MACアドレスの組み合わせが、図3に示した信頼済アクセスポイント情報に含まれるかどうかを調べる。
その結果、アクセスポイント75aが信頼済でないと判定された場合、通信制御部11は、アクセスポイント75aが信頼できるものかどうかを判断するために、図3で説明した論理アドレス情報を取得する(ステップ103)。尚、この論理アドレス情報は、既存技術を用いて取得可能である。
一方、アクセスポイント75aが信頼済であると判定された場合であっても、実際には信頼済ではないこともある。例えば、MACアドレスが偽装され、それが信頼済のアクセスポイント75のMACアドレスと一致しているような場合である。ステップ102では、ESS−ID、通信方式、暗号方式、MACアドレスしかチェックしていないため、このような場合、信頼済AP管理部12は、信頼済でないにも関わらず、信頼済と判定してしまう。そこで、信頼済であるかどうかをより厳密に判断するため、通信制御部11は、論理アドレス情報を取得し、信頼済AP管理部12に受け渡す(ステップ104)。そして、信頼済AP管理部12が、この論理アドレス情報を用いて、アクセスポイント75aが信頼済であるかどうかを判定する(ステップ105)。具体的には、ステップ104で渡された論理アドレス情報が、図3に示した信頼済アクセスポイント情報に含まれるかどうかを調べる。
一方、アクセスポイント75aが信頼済であると判定された場合であっても、実際には信頼済ではないこともある。例えば、MACアドレスが偽装され、それが信頼済のアクセスポイント75のMACアドレスと一致しているような場合である。ステップ102では、ESS−ID、通信方式、暗号方式、MACアドレスしかチェックしていないため、このような場合、信頼済AP管理部12は、信頼済でないにも関わらず、信頼済と判定してしまう。そこで、信頼済であるかどうかをより厳密に判断するため、通信制御部11は、論理アドレス情報を取得し、信頼済AP管理部12に受け渡す(ステップ104)。そして、信頼済AP管理部12が、この論理アドレス情報を用いて、アクセスポイント75aが信頼済であるかどうかを判定する(ステップ105)。具体的には、ステップ104で渡された論理アドレス情報が、図3に示した信頼済アクセスポイント情報に含まれるかどうかを調べる。
そして、ステップ102で「No」と判定された場合、又は、ステップ105で「No」と判定された場合、アクセスポイント75aは、新規のものであり、信頼できるかどうか分からない。従って、ステップ101及びステップ103、又は、ステップ101及びステップ104で取得した接続先情報を用いて、アクセスポイント75aが信頼できるものかどうかを分析する処理が行われる。
但し、ここでの処理は、無線LAN端末10の近くに信頼済のアクセスポイント75bがあるかどうかによって異なる。そこで、まず、通信制御部11は、近くに信頼済のアクセスポイント75bがあるかどうかを判定する(ステップ106)。
但し、ここでの処理は、無線LAN端末10の近くに信頼済のアクセスポイント75bがあるかどうかによって異なる。そこで、まず、通信制御部11は、近くに信頼済のアクセスポイント75bがあるかどうかを判定する(ステップ106)。
その結果、近くに信頼済のアクセスポイント75bがあったとすると、アクセスポイント75aが信頼できるかどうかをサーバ20に問い合わせることにより判断する。即ち、まず、通信制御部11は、図示しないメモリに記憶された端末情報と自身が受信した接続先情報とを、信頼済のアクセスポイント75b及び移動体通信網70bを介してサーバ20に送信し、応答待ちの状態にする(ステップ107)。その後、図7を参照して後述するように、サーバ20では、無線LAN端末10に適用するルールを示すルール情報が生成され、これが無線LAN端末10に送信されてくるので、無線LAN端末10では、通信制御部11が、このルール情報を受信する(ステップ108)。
一方、近くに信頼済のアクセスポイント75bがなかったとすると、安全にサーバ20に情報を送信することができないので、アクセスポイント75aが信頼できるかどうかを、サーバ20に問い合わせることなく、ローカルで判断する。つまり、ルール情報生成部15が、サーバ20内のルール情報生成部22と同様の処理を行うことにより、アクションと監視方法とを指定するルール情報を生成する(ステップ109)。但し、無線LAN端末10にはサーバ20ほど大量のデータを記憶できないこと、無線LAN端末10内のデータとサーバ20内のデータを常に同期させることはできないことから、ルール情報生成部15におけるルール情報の生成は、サーバ20内のルール情報生成部22におけるルール情報の生成と比べると、簡易的な処理となる。
その後、ルール情報解析部14は、ステップ108で受信したルール情報、又は、ステップ109で生成したルール情報を解析して、アクション及び監視方法を特定し、これらをルール適用部16に渡す(ステップ110)。
ここで、アクションには、遮断、警告、ロギング、許可がある。そこで、ルール適用部16は、アクションが許可であるかどうかを判定する(ステップ111)。
ここで、アクションには、遮断、警告、ロギング、許可がある。そこで、ルール適用部16は、アクションが許可であるかどうかを判定する(ステップ111)。
その結果、アクションが許可でなければ、つまり、遮断、警告、ロギングの何れかであれば、ルール適用部16は、該当する処理を行う(ステップ112)。具体的には、アクションが遮断であれば、ルール適用部16は、通信制御部11に対して、アクセスポイント75aとの接続を遮断するように指示し、通信制御部11はこれに応じて接続を遮断する。また、アクションが警告であれば、ルール適用部16は、表示制御部17に対して、警告の表示を制御するように指示し、表示制御部17はこれに応じて警告の表示を制御し、これに対して接続の遮断/継続の指示が入力されると、その指示に応じた処理を行う。更に、アクションがロギングであれば、ルール適用部16は、ログ管理部18に対して、通信ログを記録するように指示し、ログ管理部18はこれに応じて通信ログを記録する。
次に、ルール適用部16は、ステップ112で通信ログを記録した場合には、ログ管理部18に対して、ステップ110で特定された監視方法を設定する(ステップ113)。ここで、監視方法には、ログ転送方法、ログ解析方法、ログ監視方法等があるが、以下では、このうち、ログ転送方法を例にとって説明する。このログ転送方法としては、「リアルタイムにログを転送」、「信頼済環境接続時にログを転送」、「特定環境接続時にログを転送」等の何れかが設定される。例えば、「リアルタイムにログを転送」が設定されていれば、ログ管理部18は、信頼済のアクセスポイント75b及び移動体通信網70bを介してリアルタイムで通信ログをサーバ20に転送する。但し、信頼済のアクセスポイント75bを介して通信可能でない場合、通信ログは転送しない。「信頼済環境接続時にログを転送」が設定されていれば、ログ管理部18は、信頼済のアクセスポイント75bを介して通信可能になった時点で通信ログをサーバ20に転送する。「特定環境接続時にログを転送」が設定されていれば、ログ管理部18は、特定のアクセスポイント75を介して通信可能になった時点で通信ログをサーバ20に転送する。このようにして通信ログの転送を受けると、サーバ20は、通信ログの解析を開始し、不正アクセスの検知を実行したり、利用状況の確認のための情報を生成したりする。
一方、ステップ111でアクションが許可であれば、通信制御部11は、受信した接続先情報を信頼済AP管理部12に受け渡し、信頼済AP管理部12が、受け渡された接続先情報を信頼済AP情報記憶部13に記憶する(ステップ114)。
ところで、前述したステップ105で「Yes」の場合、アクセスポイント75aが信頼済である可能性は極めて高い。従って、この場合は、接続状態を維持し、遮断、警告、ロギングは行わない。但し、先にサーバ20から受信したルール情報に「信頼済環境接続時にログを転送」というログ転送方法が指定されていれば、無線LAN端末10は、蓄積した通信ログをこの時点でサーバ20に転送することになる。フローチャートでは、このときの処理を示している。即ち、ログ管理部18は、先の通信で採取した通信ログを通信制御部11に受け渡し、通信制御部11が、通信ログをアクセスポイント75a及び移動体通信網70aを介してサーバ20に転送する(ステップ115)。
次に、サーバ20の動作について説明する。
図7は、サーバ20の動作例を示したフローチャートである。
サーバ20では、まず、受信部21が、無線LAN端末10から端末情報と接続先情報とを受信し、ルール情報生成部22に受け渡す(ステップ201)。
図7は、サーバ20の動作例を示したフローチャートである。
サーバ20では、まず、受信部21が、無線LAN端末10から端末情報と接続先情報とを受信し、ルール情報生成部22に受け渡す(ステップ201)。
すると、ルール情報生成部22は、まず、ステップ201で渡された端末情報に基づいて、端末グループを特定する(ステップ202)。例えば、無線LAN端末10の識別情報と、無線LAN端末10が属する端末グループの識別情報との対応が登録されていれば、端末情報として渡された識別情報に対応する端末グループを特定する。
また、ルール情報生成部22は、ステップ201で渡された接続先情報に基づいて、環境レベルを判定する(ステップ203)。例えば、信頼できるアクセスポイントの接続先情報を管理者が予め登録しておき、受け渡された接続先情報と、この管理者が登録した接続先情報とがどの程度一致しているかに応じて、環境レベルを判定する。
また、ルール情報生成部22は、ステップ201で渡された接続先情報に基づいて、環境レベルを判定する(ステップ203)。例えば、信頼できるアクセスポイントの接続先情報を管理者が予め登録しておき、受け渡された接続先情報と、この管理者が登録した接続先情報とがどの程度一致しているかに応じて、環境レベルを判定する。
更に、ルール情報生成部22は、ステップ202で特定した端末グループとステップ203で判定した環境レベルの組み合わせに基づいて、無線LAN端末10が行うべきアクションを決定する(ステップ204)。具体的には、アクション定義記憶部23を参照し、ステップ202で特定した端末グループに対応し、かつ、ステップ203で判定した環境レベルに対応するセルに定義されたアクションを取り出す。
また、ルール情報生成部22は、ステップ204で決定されたアクションに紐付けられた監視方法を抽出する(ステップ205)。ここで、監視方法は、アクションが「ロギング」である場合に、採取したログを用いて如何なる監視を行うかを管理者が設定したものである。監視方法には、ログ転送方法、ログ解析方法、ログ監視方法等があるが、このうち、ログ転送方法としては、「リアルタイムにログを転送」、「信頼済環境接続時にログを転送」、「特定環境接続時にログを転送」等が用意される。
その後、ルール情報生成部22は、ステップ204で決定したアクションと、ステップ205で抽出した監視方法とを示すルール情報を生成し、送信部24に受け渡す(ステップ206)。
また、ルール情報生成部22は、ステップ204で決定されたアクションに紐付けられた監視方法を抽出する(ステップ205)。ここで、監視方法は、アクションが「ロギング」である場合に、採取したログを用いて如何なる監視を行うかを管理者が設定したものである。監視方法には、ログ転送方法、ログ解析方法、ログ監視方法等があるが、このうち、ログ転送方法としては、「リアルタイムにログを転送」、「信頼済環境接続時にログを転送」、「特定環境接続時にログを転送」等が用意される。
その後、ルール情報生成部22は、ステップ204で決定したアクションと、ステップ205で抽出した監視方法とを示すルール情報を生成し、送信部24に受け渡す(ステップ206)。
そして、送信部24が、受け渡されたルール情報を無線LAN端末10に送信する(ステップ207)。
以上により、本実施の形態の動作は終了する。
以上により、本実施の形態の動作は終了する。
ところで、本実施の形態では、信頼できるアクセスポイント75が近くにあれば、新規のアクセスポイント75が信頼できるかどうかをサーバ20に問い合わせて判定してもらっていた。しかしながら、信頼できるアクセスポイント75が近くにあるかどうかに関わらず、最初から無線LAN端末10で同様の判定を行うようにしてもよい。つまり、図6において、ステップ106の判断を行わず、無条件にステップ109に進んでもよい。
また、本実施の形態では、接続先情報として、ESS−ID、通信方式、暗号方式、アクセスポイントのIPアドレス、ネットワークアドレス、ゲートウェイのIPアドレス、DNSサーバのIPアドレスを例示したが、これらの情報はあくまで一例である。例えば、アクセスポイント75が設置された場所の物理的な位置を示す位置情報を接続先情報に含めてもよい。但し、このように保持する情報の種類を増やした場合、高セキュリティにはなるが、利便性は低下する。従って、用途に応じて保持する情報の種類は選択できるようにしておくことが望ましい。
また、本実施の形態では、接続先情報として、ESS−ID、通信方式、暗号方式、アクセスポイントのIPアドレス、ネットワークアドレス、ゲートウェイのIPアドレス、DNSサーバのIPアドレスを例示したが、これらの情報はあくまで一例である。例えば、アクセスポイント75が設置された場所の物理的な位置を示す位置情報を接続先情報に含めてもよい。但し、このように保持する情報の種類を増やした場合、高セキュリティにはなるが、利便性は低下する。従って、用途に応じて保持する情報の種類は選択できるようにしておくことが望ましい。
以上述べたように、本実施の形態では、信頼できるかどうか不明のアクセスポイント75が信頼できないと判定された場合に、そのアクセスポイント75との通信のログを記録するようにした。これにより、信頼できるかどうか不明のアクセスポイントとの間の無線通信を監視することができるようになった。
また、無線LAN端末10で用いるデータ(アクセスポイント75の状況とその環境レベル)をサーバ20に集約した。これにより、複数の無線LAN端末10がそのデータを共有できるようになった。
また、無線LAN端末10で用いるデータ(アクセスポイント75の状況とその環境レベル)をサーバ20に集約した。これにより、複数の無線LAN端末10がそのデータを共有できるようになった。
最後に、本実施の形態における無線LAN端末10及びサーバ20のハードウェア構成について説明する。図8は、このようなコンピュータのハードウェア構成の一例を示した図である。図示するように、コンピュータは、演算手段であるCPU(Central Processing Unit)90aと、M/B(マザーボード)チップセット90bを介してCPU90aに接続されたメインメモリ90cと、同じくM/Bチップセット90bを介してCPU90aに接続された表示機構90dとを備える。また、M/Bチップセット90bには、ブリッジ回路90eを介して、ネットワークインターフェイス90fと、磁気ディスク装置(HDD)90gと、音声機構90hと、キーボード/マウス90iと、フレキシブルディスクドライブ90jとが接続されている。
尚、図8において、各構成要素は、バスを介して接続される。例えば、CPU90aとM/Bチップセット90bの間や、M/Bチップセット90bとメインメモリ90cの間は、CPUバスを介して接続される。また、M/Bチップセット90bと表示機構90dとの間は、AGP(Accelerated Graphics Port)を介して接続されてもよいが、表示機構90dがPCI Express対応のビデオカードを含む場合、M/Bチップセット90bとこのビデオカードの間は、PCI Express(PCIe)バスを介して接続される。また、ブリッジ回路90eと接続する場合、ネットワークインターフェイス90fについては、例えば、PCI Expressを用いることができる。また、磁気ディスク装置90gについては、例えば、シリアルATA(AT Attachment)、パラレル転送のATA、PCI(Peripheral Components Interconnect)を用いることができる。更に、キーボード/マウス90i、及び、フレキシブルディスクドライブ90jについては、USB(Universal Serial Bus)を用いることができる。
10…無線LAN端末、11…通信制御部、12…信頼済AP管理部、13…信頼済AP情報記憶部、14…ルール情報解析部、15…ルール情報生成部、16…ルール適用部、17…表示制御部、18…ログ管理部、20…サーバ、21…受信部、22…ルール情報生成部、23…アクション定義記憶部、24…送信部
Claims (8)
- 無線通信を行う際に利用するアクセスポイントの情報を予め設定しておくことにより当該アクセスポイントに自動的に接続する自動接続機能を有する無線通信装置において、
前記自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、当該特定のアクセスポイントから当該特定のアクセスポイントを識別するための識別情報を受信する受信手段と、
前記受信手段により受信した前記識別情報に基づいて前記特定のアクセスポイントの信頼性が第1の基準を満たすと判定された場合に、当該特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録する登録手段と、
前記受信手段により受信した前記識別情報に基づいて前記特定のアクセスポイントの信頼性が第2の基準を満たすと判定された場合に、当該特定のアクセスポイントを介した通信のログを記録する記録手段と
を備えたことを特徴とする無線通信装置。 - 前記受信手段は、前記特定のアクセスポイントが設置された位置を示す位置情報を含む前記識別情報を受信することを特徴とする請求項1に記載の無線通信装置。
- 前記特定のアクセスポイント以外で通信可能な他のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されている場合に、前記受信手段により受信した前記識別情報を当該他のアクセスポイントを介して情報処理装置に送信する送信手段を更に備え、
前記特定のアクセスポイントの信頼性が前記第1の基準又は前記第2の基準を満たすとの判定は、前記送信手段により送信された前記識別情報に基づいて、前記情報処理装置によりなされることを特徴とする請求項1に記載の無線通信装置。 - 前記記録手段により記録された前記ログを情報処理装置に送信する送信手段を更に備えたことを特徴とする請求項1に記載の無線通信装置。
- 前記送信手段は、前記特定のアクセスポイント以外で通信可能な他のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されている場合に、前記記録手段により記録された前記ログを当該他のアクセスポイントを介して前記情報処理装置に送信することを特徴とする請求項4に記載の無線通信装置。
- 無線通信を行う際に利用するアクセスポイントの情報を予め設定しておくことにより当該アクセスポイントに自動的に接続する自動接続機能を有する無線通信装置と、
前記無線通信装置による無線通信を監視する監視装置と
を備え、
前記無線通信装置は、
前記自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、当該特定のアクセスポイントから当該特定のアクセスポイントを識別するための識別情報を受信する第1の受信手段と、
前記第1の受信手段により受信した前記識別情報を前記監視装置に送信する第1の送信手段と、
前記特定のアクセスポイントの信頼性が第1の基準を満たす旨の判定結果が前記監視装置から送信された場合に、当該特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録する登録手段と、
前記特定のアクセスポイントの信頼性が第2の基準を満たす旨の判定結果が前記監視装置から送信された場合に、当該特定のアクセスポイントを介した通信のログを記録する記録手段と
を備え、
前記監視装置は、
前記第1の送信手段により送信された前記識別情報を受信する第2の受信手段と、
前記第2の受信手段により受信した前記識別情報に基づいて、前記特定のアクセスポイントの信頼性が前記第1の基準又は前記第2の基準を満たすかどうかを判定する判定手段と、
前記判定手段による判定結果を前記無線通信装置に送信する第2の送信手段と
を備えたことを特徴とする無線通信監視システム。 - 無線通信を行う際に利用するアクセスポイントの情報を予め設定しておくことにより当該アクセスポイントに自動的に接続する自動接続機能を有する無線通信装置において、
前記自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、当該特定のアクセスポイントから当該特定のアクセスポイントを識別するための識別情報を受信するステップと、
受信した前記識別情報に基づいて前記特定のアクセスポイントの信頼性が第1の基準を満たすと判定された場合に、当該特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録するステップと、
受信した前記識別情報に基づいて前記特定のアクセスポイントの信頼性が第2の基準を満たすと判定された場合に、当該特定のアクセスポイントを介した通信のログを記録するステップと
を含むことを特徴とする無線通信方法。 - 無線通信を行う際に利用するアクセスポイントの情報を予め設定しておくことにより当該アクセスポイントに自動的に接続する自動接続機能を有する無線通信装置に、
前記自動接続機能によって接続した特定のアクセスポイントが信頼できるアクセスポイントである旨の情報が登録されていない場合に、当該特定のアクセスポイントから当該特定のアクセスポイントを識別するための識別情報を受信する機能と、
受信した前記識別情報に基づいて前記特定のアクセスポイントの信頼性が第1の基準を満たすと判定された場合に、当該特定のアクセスポイントが信頼できるアクセスポイントである旨の情報を登録する機能と、
受信した前記識別情報に基づいて前記特定のアクセスポイントの信頼性が第2の基準を満たすと判定された場合に、当該特定のアクセスポイントを介した通信のログを記録する機能と
を実現させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009111061A JP2010263310A (ja) | 2009-04-30 | 2009-04-30 | 無線通信装置、無線通信監視システム、無線通信方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009111061A JP2010263310A (ja) | 2009-04-30 | 2009-04-30 | 無線通信装置、無線通信監視システム、無線通信方法、及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010263310A true JP2010263310A (ja) | 2010-11-18 |
Family
ID=43361070
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009111061A Pending JP2010263310A (ja) | 2009-04-30 | 2009-04-30 | 無線通信装置、無線通信監視システム、無線通信方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2010263310A (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013242872A (ja) * | 2012-05-21 | 2013-12-05 | Rsupport Co Ltd | リモートネットワーク接続方法、及びリモートネットワーク接続システム |
| JP2015521399A (ja) * | 2012-05-15 | 2015-07-27 | コーニック グローリー カンパニー リミテッド | クラウドセンサネットワークを用いた知能形無線侵入防止システム及びセンサ |
| JP2015226267A (ja) * | 2014-05-29 | 2015-12-14 | 西日本電信電話株式会社 | アクセスポイント証明システム、通信装置、アクセスポイント、アクセスポイント証明方法及びコンピュータプログラム |
| JP2016506212A (ja) * | 2013-01-27 | 2016-02-25 | エルジー エレクトロニクス インコーポレイティド | 無線通信システムにおけるアクセスポイントを登録する方法及び装置 |
| US9374711B2 (en) | 2011-09-30 | 2016-06-21 | International Business Machines Corporation | Monitoring unauthorized access point |
| JP2016143416A (ja) * | 2015-01-30 | 2016-08-08 | パナソニックIpマネジメント株式会社 | 情報処理方法 |
| CN107404723A (zh) * | 2016-05-20 | 2017-11-28 | 北京小米移动软件有限公司 | 一种接入基站的方法和装置 |
| JP2018527794A (ja) * | 2015-07-23 | 2018-09-20 | クアルコム,インコーポレイテッド | 不正アクセスポイントのプロファイリング |
| JP2020057916A (ja) * | 2018-10-01 | 2020-04-09 | 株式会社東芝 | 無線ネットワークシステムおよび無線ネットワーク監視方法 |
-
2009
- 2009-04-30 JP JP2009111061A patent/JP2010263310A/ja active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9374711B2 (en) | 2011-09-30 | 2016-06-21 | International Business Machines Corporation | Monitoring unauthorized access point |
| US9674708B2 (en) | 2011-09-30 | 2017-06-06 | International Business Machines Corporation | Monitoring unauthorized access point |
| JP2015521399A (ja) * | 2012-05-15 | 2015-07-27 | コーニック グローリー カンパニー リミテッド | クラウドセンサネットワークを用いた知能形無線侵入防止システム及びセンサ |
| JP2013242872A (ja) * | 2012-05-21 | 2013-12-05 | Rsupport Co Ltd | リモートネットワーク接続方法、及びリモートネットワーク接続システム |
| JP2016506212A (ja) * | 2013-01-27 | 2016-02-25 | エルジー エレクトロニクス インコーポレイティド | 無線通信システムにおけるアクセスポイントを登録する方法及び装置 |
| JP2015226267A (ja) * | 2014-05-29 | 2015-12-14 | 西日本電信電話株式会社 | アクセスポイント証明システム、通信装置、アクセスポイント、アクセスポイント証明方法及びコンピュータプログラム |
| JP2016143416A (ja) * | 2015-01-30 | 2016-08-08 | パナソニックIpマネジメント株式会社 | 情報処理方法 |
| JP2018527794A (ja) * | 2015-07-23 | 2018-09-20 | クアルコム,インコーポレイテッド | 不正アクセスポイントのプロファイリング |
| CN107404723A (zh) * | 2016-05-20 | 2017-11-28 | 北京小米移动软件有限公司 | 一种接入基站的方法和装置 |
| JP2018518066A (ja) * | 2016-05-20 | 2018-07-05 | 北京小米移動軟件有限公司Beijing Xiaomi Mobile Software Co.,Ltd. | 基地局アクセス方法、装置、プログラム及び記録媒体 |
| US10313936B2 (en) | 2016-05-20 | 2019-06-04 | Beijing Xiaomi Mobile Software Co., Ltd. | Method and apparatus for accessing base station |
| CN107404723B (zh) * | 2016-05-20 | 2020-08-21 | 北京小米移动软件有限公司 | 一种接入基站的方法和装置 |
| JP2020057916A (ja) * | 2018-10-01 | 2020-04-09 | 株式会社東芝 | 無線ネットワークシステムおよび無線ネットワーク監視方法 |
| JP7273476B2 (ja) | 2018-10-01 | 2023-05-15 | 株式会社東芝 | 無線ネットワークシステムおよび無線ネットワーク監視方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103023867B (zh) | 用于动态配置网络安全设置的便携式安全设备和方法 | |
| JP2010263310A (ja) | 無線通信装置、無線通信監視システム、無線通信方法、及びプログラム | |
| US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
| US8997201B2 (en) | Integrity monitoring to detect changes at network device for use in secure network access | |
| CN103069774B (zh) | 安全地接入所通知的服务 | |
| US9730075B1 (en) | Systems and methods for detecting illegitimate devices on wireless networks | |
| US20130174239A1 (en) | Reinforced authentication system and method using context information at the time of access to mobile cloud service | |
| US20090077631A1 (en) | Allowing a device access to a network in a trusted network connect environment | |
| CN110611723A (zh) | 一种服务资源的调度方法及装置 | |
| JPWO2009087702A1 (ja) | 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置 | |
| US8191143B1 (en) | Anti-pharming in wireless computer networks at pre-IP state | |
| RU2592387C2 (ru) | Способ и система определения доверенных беспроводных точек доступа устройством | |
| US11336621B2 (en) | WiFiwall | |
| US9245118B2 (en) | Methods for identifying key logging activities with a portable device and devices thereof | |
| JP2022519433A (ja) | 無線周波数環境の挙動ベースの監視のためのゼロ・トラスト・ワイヤレス監視システム及び方法 | |
| US11811817B2 (en) | SSL proxy whitelisting | |
| Jain et al. | ETGuard: detecting D2D attacks using wireless evil twins | |
| JP2008276457A (ja) | ネットワーク保護プログラム、ネットワーク保護装置およびネットワーク保護方法 | |
| CN106878992A (zh) | 无线网络安全检测方法和系统 | |
| Ishtiaq et al. | DHCP DoS and starvation attacks on SDN controllers and their mitigation: HU Ishtiaq et al. | |
| US9100429B2 (en) | Apparatus for analyzing vulnerability of wireless local area network | |
| US20160164889A1 (en) | Rogue access point detection | |
| JP2003258795A (ja) | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム | |
| KR102508418B1 (ko) | 사내 보안 관리 솔루션을 제공하는 방법 및 그 시스템 | |
| Hsu et al. | A passive user‐side solution for evil twin access point detection at public hotspots |