JP4779711B2 - Unauthorized access point detection method, access point device, and wireless LAN system - Google Patents
Unauthorized access point detection method, access point device, and wireless LAN system Download PDFInfo
- Publication number
- JP4779711B2 JP4779711B2 JP2006060094A JP2006060094A JP4779711B2 JP 4779711 B2 JP4779711 B2 JP 4779711B2 JP 2006060094 A JP2006060094 A JP 2006060094A JP 2006060094 A JP2006060094 A JP 2006060094A JP 4779711 B2 JP4779711 B2 JP 4779711B2
- Authority
- JP
- Japan
- Prior art keywords
- access point
- adjacent
- point device
- unauthorized
- wireless
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 19
- 230000005540 biological transmission Effects 0.000 claims description 16
- 230000006854 communication Effects 0.000 description 28
- 238000004891 communication Methods 0.000 description 27
- 238000012545 processing Methods 0.000 description 22
- 238000000034 method Methods 0.000 description 4
- 230000011664 signaling Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は不正アクセスポイント検知方法、アクセスポイント装置及び無線LANシステムに関し、例えば、無線LANネットワークにおいて、自ネットワーク外に接続されている不正なアクセスポイント装置を検知しようとしたものである。 The present invention relates to an unauthorized access point detection method, an access point apparatus, and a wireless LAN system. For example, an attempt is made to detect an unauthorized access point apparatus connected outside the own network in a wireless LAN network.
例えば、企業における無線LANシステムにおいて、無線LAN端末1−1〜1−Nは、図2に示すように、自社ネットワーク2に接続したアクセスポイント装置3−1〜3−Mを中継することにより、ネットワーク接続を行う(例えば、特許文献1の図3参照)。また、無線LAN端末1−n(nは1〜N)とアクセスポイント装置3−m(mは1〜M)は、無線を用いることにより、通信ケーブルのいらない接続が可能となり、端末移動の自由度が高くなる。 For example, in a wireless LAN system in a company, wireless LAN terminals 1-1 to 1-N relay access point apparatuses 3-1 to 3-M connected to their own network 2 as shown in FIG. Network connection is performed (for example, refer to FIG. 3 of Patent Document 1). The wireless LAN terminal 1-n (n is 1 to N) and the access point device 3-m (m is 1 to M) can be connected without using a communication cable by using wireless, and the terminal can be moved freely. The degree becomes higher.
そのため、無線LANシステムは、企業のネットワークインフラとして急速に普及が始まっている。
しかし、無線LANシステムでは、ケーブル接続でないため、無線LAN端末1−nがどのアクセスポイント装置3−mにつながっているかを、端末自身で知ることは難しい。また、無線の電波は、企業のビルの壁を超えて飛んでいくため、第3者が、データの不正取得を目的とし、不正アクセスポイント装置4を敷地外に設置しても、その発見は難しい。 However, in the wireless LAN system, since it is not a cable connection, it is difficult for the terminal itself to know which access point device 3-m the wireless LAN terminal 1-n is connected to. In addition, since wireless radio waves fly beyond the walls of corporate buildings, even if a third party installs the unauthorized access point device 4 outside the premises for the purpose of unauthorized data acquisition, difficult.
そのため、不正アクセスポイント装置の存在を検知し得る不正アクセスポイント検知方法、アクセスポイント装置及び無線LANシステムが求められている。 Therefore, there is a need for an unauthorized access point detection method, an access point apparatus, and a wireless LAN system that can detect the presence of an unauthorized access point device.
第1の本発明は、無線LAN端末を収容する複数のアクセスポイント装置を有線LANで接続させた無線LANシステムに関し、上記有線LANに接続されていない不正なアクセスポイント装置を検知する不正アクセスポイント検知方法であって、(0)少なくとも一部の上記アクセスポイント装置は、隣接アクセスポイント検知手段と、隣接アクセスポイント記憶手段と、探索データ送信手段と、不正アクセスポイント特定手段とを有し、(1)上記隣接アクセスポイント検知手段は、当該アクセスポイント装置の周囲の無線空間をモニタし、隣接するアクセスポイント装置の識別情報を得て上記隣接アクセスポイント記憶手段に記憶し、(2)上記探索データ送信手段は、不正アクセスポイント探索データを、上記有線LAN、上記隣接アクセスポイント記憶手段に記憶されている隣接する上記アクセスポイント装置との無線回線を、この順、又は、逆順に経由して、当該アクセスポイント装置に戻ってくるように送信すると共に、不正アクセスポイント探索データが戻ってきた経路の隣接する上記アクセスポイント装置について上記隣接アクセスポイント記憶手段に正規装置である旨を記憶し、(3)上記不正アクセスポイント特定手段は、上記隣接アクセスポイント記憶手段に、識別情報が記憶されながら、正規装置である旨が記憶されていないアクセスポイント装置を、不正なアクセスポイント装置として認識することを特徴とする。 The first aspect of the present invention relates to a wireless LAN system in which a plurality of access point devices accommodating wireless LAN terminals are connected by a wired LAN, and unauthorized access point detection for detecting unauthorized access point devices not connected to the wired LAN. (0) At least some of the access point devices include an adjacent access point detection unit, an adjacent access point storage unit, a search data transmission unit, and an unauthorized access point specifying unit. The adjacent access point detection means monitors the wireless space around the access point apparatus, obtains identification information of the adjacent access point apparatus, stores it in the adjacent access point storage means, and (2) transmits the search data. The means includes the unauthorized access point search data, the wired LAN, the adjacent A wireless link with the adjacent access point device stored in the access point storage means is transmitted so as to return to the access point device via this order or in reverse order, and an unauthorized access point search is performed. The neighboring access point storage means stores information indicating that it is a legitimate device for the access point apparatus adjacent to the route where the data has returned, and (3) the unauthorized access point specifying means identifies the neighboring access point storage means. While the information is stored, an access point device that is not stored as a legitimate device is recognized as an unauthorized access point device.
第2の本発明は、無線LAN端末を収容すると共に、有線LANを介して他のアクセスポイント装置に接続されているアクセスポイント装置において、(1)当該アクセスポイント装置に隣接するアクセスポイント装置の識別情報及び正規装置である旨が記憶し得る隣接アクセスポイント記憶手段と、(2)当該アクセスポイント装置の周囲の無線空間をモニタし、隣接するアクセスポイント装置の識別情報を得て上記隣接アクセスポイント記憶手段に記憶する隣接アクセスポイント検知手段と、(3)不正アクセスポイント探索データを、上記有線LAN、上記隣接アクセスポイント記憶手段に記憶されている隣接する上記アクセスポイント装置との無線回線を、この順、又は、逆順に経由して、当該アクセスポイント装置に戻ってくるように送信すると共に、不正アクセスポイント探索データが戻ってきた経路の隣接する上記アクセスポイント装置について上記隣接アクセスポイント記憶手段に正規装置である旨を記憶する探索データ送信手段と、(4)上記隣接アクセスポイント記憶手段に、識別情報が記憶されながら、正規装置である旨が記憶されていないアクセスポイント装置を、不正なアクセスポイント装置として認識する不正アクセスポイント特定手段とを有することを特徴とする。 According to a second aspect of the present invention, in an access point device that accommodates a wireless LAN terminal and is connected to another access point device via a wired LAN, (1) identification of an access point device adjacent to the access point device Neighboring access point storage means capable of storing information and the fact that it is a legitimate device, and (2) monitoring the wireless space around the access point device and obtaining identification information of the neighboring access point device to store the neighboring access point A wireless link between the adjacent access point detection means stored in the means and (3) the unauthorized access point search data for the wired LAN and the adjacent access point device stored in the adjacent access point storage means in this order. Or return to the access point device via reverse order Search data transmitting means for storing the fact that the access point device adjacent to the path on which the rogue access point search data has returned is stored in the adjacent access point storage means, and (4) the adjacent access. The point storage means includes unauthorized access point specifying means for recognizing as an unauthorized access point apparatus an access point apparatus that stores identification information but is not stored as a legitimate apparatus.
第3の本発明は、無線LAN端末を収容する複数のアクセスポイント装置を有線LANで接続させた無線LANシステムにおいて、少なくとも一部の上記アクセスポイント装置として、第2の本発明のアクセスポイント装置を適用したことを特徴とする。 According to a third aspect of the present invention, in a wireless LAN system in which a plurality of access point devices accommodating wireless LAN terminals are connected by a wired LAN, the access point device according to the second aspect of the present invention is used as at least a part of the access point devices. It is characterized by having applied.
本発明によれば、有線LANに接続されていない不正なアクセスポイント装置の存在を検知することができる。 According to the present invention, it is possible to detect the presence of an unauthorized access point device that is not connected to a wired LAN.
(A)実施形態
以下、本発明による不正アクセスポイント検知方法及びアクセスポイント装置の一実施形態を、図面を参照しながら説明する。
(A) Embodiment Hereinafter, an embodiment of an unauthorized access point detection method and an access point apparatus according to the present invention will be described with reference to the drawings.
(A−1)実施形態の構成
この実施形態に係る無線LANシステムも、その構成要素の配置は、上述した図2に示すものと同様である。
(A-1) Configuration of Embodiment In the wireless LAN system according to this embodiment, the arrangement of the components is the same as that shown in FIG.
アクセスポイント装置3−mは、自己の管轄エリア内の無線LAN端末1−nとの通信を実行する無線通信部、自社ネットワーク(有線LAN部分)2との通信を実行する有線通信部、これら無線通信部及び有線通信部の信号転送に介在したり信号がシグナリング信号のときに接続制御を実行したりする信号処理部などを有する。 The access point device 3-m includes a wireless communication unit that performs communication with the wireless LAN terminal 1-n in its own area, a wired communication unit that performs communication with the company network (wired LAN portion) 2, and these wireless communication units. A signal processing unit that intervenes in signal transfer between the communication unit and the wired communication unit, or that executes connection control when the signal is a signaling signal.
ここで、信号処理部は、CPUなどを中心とした、主として、ソフトウェア処理構成でなっており、この実施形態の場合、アクセスポイント装置3−m(信号処理部)におけるソフトウェアの構成の一部は、図1に示すようなものである。なお、図1は、不正なアクセスポイント装置を検知するという機能に関係する部分を示しており、シグナリング信号の処理機能などの他の機能に係る構成部分は省略している。 Here, the signal processing unit mainly has a software processing configuration centering on a CPU and the like. In this embodiment, a part of the software configuration in the access point device 3-m (signal processing unit) is as follows. As shown in FIG. FIG. 1 shows a portion related to a function of detecting an unauthorized access point device, and omits components related to other functions such as a signaling signal processing function.
図1において、アクセスポイント装置3−mは、無線LANドライバ31、無線データ通信処理部32、不正アクセスポイント探索部33、有線LANドライバ34及び隣接アクセスポイントテーブル35などを有する。
In FIG. 1, the access point device 3-m includes a
無線LANドライバ31は、無線LANのプロトコルを制御し、無線のデータ送受信を行うものである。アクセスポイント装置3−mの通信相手は、無線LAN端末1−nであるが、隣接するアクセスポイント装置3−j(jは1〜M、但しmは除く)の送信データも到達し、無線LANドライバ31は、そのような隣接するアクセスポイント装置3−j(jは1〜M、但しmは除く)の送信データも受信することがある。
The
また、無線LANドライバ31は、無線データ通信処理部32の駆動により、探索データ(探索データを含むシグナリング信号)を無線空間(管轄エリア)に送信させることを行う。アクセスポイント装置3−mは、複数の無線LAN端末を収容可能なように、複数の無線チャネルを有しており、探索データを、無線LAN端末との通信に利用されていない空チャネルによって送信する。
The
無線データ通信処理部32は、無線LANドライバ31が受信したデータを受け取り、その内容の解析を行うものである。
The wireless data
無線データ通信処理部32は、隣接するアクセスポイント装置3−jからのビーコンフレームを受信した場合には、隣接アクセスポイント装置の情報を、隣接アクセスポイントテーブル35に記憶するものである。ここで、記憶する隣接アクセスポイント装置3−jの情報は、隣接アクセスポイント装置の識別情報(例えばBSSID(Basic Service Set Identifier))である。
When the wireless data
無線データ通信処理部32は、隣接するアクセスポイント装置3−jから探索データを受信した場合には、隣接アクセスポイントテーブル35のその隣接アクセスポイント装置3−jの情報のステータスを「正規」にするものである。
When the wireless data
また、無線データ通信処理部32は、自社ネットワーク(有線LAN部分)2側から与えられた探索データを、無線LANドライバ31によって無線空間に送信させるものである。
The wireless data
不正アクセスポイント探索部33は、不正アクセスポイント装置4を探索するため、探索データを、周期的に、有線LAN部分(自社ネットワーク)2に送信させるものである。不正アクセスポイント探索部33は、探索データを送信させた後、所定時間だけ経過したときに、隣接アクセスポイントテーブル35のステータスを確認し、不正なアクセスポイント装置4が存在するか否かを判定するものであり、不正なアクセスポイント装置4の存在を検知したときには、そのことを表す検知データ(例えば、BSSIDなどの特定するデータを含む)を、有線LAN部分(自社ネットワーク)2に接続されている図示しない上位装置に送信するものである。 The unauthorized access point search unit 33 periodically transmits search data to the wired LAN portion (in-house network) 2 in order to search for the unauthorized access point device 4. The unauthorized access point search unit 33 confirms the status of the adjacent access point table 35 when a predetermined time has elapsed after transmitting the search data, and determines whether or not the unauthorized access point device 4 exists. When the presence of an unauthorized access point device 4 is detected, detection data (for example, including data to be specified such as BSSID) indicating that is connected to the wired LAN portion (in-house network) 2 The data is transmitted to a host device (not shown).
また、不正アクセスポイント探索部33は、有線LAN部分(自社ネットワーク)2側から探索データが与えられた場合には、無線データ通信処理部32に引渡し、無線LANドライバ31によって無線空間に送信させるものである。
In addition, the unauthorized access point search unit 33 is handed over to the wireless data
有線LANドライバ34は、 有線LAN部分(自社ネットワーク)2のプロトコルを制御し、有線LAN部分2とのデータ送受信を行うものである。
The wired
隣接アクセスポイントテーブル35は、隣接アクセスポイント装置3−jの情報(装置の識別情報及び正規装置フラグ)を記憶するためのデータファイルである。隣接アクセスポイントテーブル35に対する書込みは、上述したように、無線データ通信処理部32によってなされる。また、隣接アクセスポイントテーブル35におけるステータスは、不正アクセスポイント探索部33によって参照される。
The adjacent access point table 35 is a data file for storing information (device identification information and regular device flag) of the adjacent access point device 3-j. Writing to the adjacent access point table 35 is performed by the wireless data
(A−2)実施形態の動作
次に、実施形態の無線LANシステムの動作、特に、不正なアクセスポイント装置の検知のための動作を説明する。
(A-2) Operation of Embodiment Next, an operation of the wireless LAN system of the embodiment, particularly an operation for detecting an unauthorized access point device will be described.
(A−2−1)隣接アクセスポイント装置の認識
各アクセスポイント装置3−mは、周辺の無線LANの電波をモニタし、アクセスポイント装置が必ず送信しなければならない、図3に示すような「ビーコン」という無線LANの制御フレームをモニタする。当該アクセスポイント装置3−mに隣接しているアクセスポイント装置3−j、4のビーコンフレームは、一般的には、当該アクセスポイント装置3−mにも到達する。
(A-2-1) Recognition of adjacent access point apparatus Each access point apparatus 3-m monitors the radio waves of the surrounding wireless LAN, and the access point apparatus must always transmit, as shown in FIG. A control frame of a wireless LAN called “beacon” is monitored. The beacon frames of the access point devices 3-j and 4 adjacent to the access point device 3-m generally reach the access point device 3-m.
ビーコンフレームの中には、送信元のBSSIDが挿入されているため、当該アクセスポイント装置3−mの無線データ通信処理部32は、隣接アクセスポイントテーブル35に、受信したビーコンフレームでのBSSIDを、隣接アクセスポイント装置3−j、4の識別情報として格納する。図3の例であれば、当該アクセスポイント装置3−mの隣接アクセスポイントテーブル35には、正規の隣接アクセスポイント装置3−jの識別情報と、不正な隣接アクセスポイント装置4の識別情報とが格納される。
Since the BSSID of the transmission source is inserted in the beacon frame, the wireless data
図4は、無線データ通信処理部32の受信時処理を示すフローチャートである。無線データ通信処理部32は、「ビーコン」か否かの判定ステップによって、ビーコンと判定したときに、隣接アクセスポイントテーブル35へのBSSIDの記憶を行う(ステップ100、101)。
FIG. 4 is a flowchart showing the reception process of the wireless data
(A−2−2)探索データのブロードキャスト
各アクセスポイント装置3−mは、所定周期(例えば30分)ごとの割り込みによって、図5に示す処理を開始し、各アクセスポイント装置3−mの不正アクセスポイント探索部33は、ブロードキャストデータとして「不正アクセスポイント探索データ」を自社ネットワーク(有線LAN部分)2に送信する(ステップ150)。ここで、不正アクセスポイント探索データは、ブロードキャストデータであれば良く、そのフォーマットなどは限定されるものではない。
(A-2-2) Broadcast search data Each access point device 3-m starts the process shown in FIG. 5 by interruption every predetermined period (for example, 30 minutes), and each access point device 3-m is illegal. The access point search unit 33 transmits “illegal access point search data” as broadcast data to the company network (wired LAN portion) 2 (step 150). Here, the unauthorized access point search data may be broadcast data, and the format thereof is not limited.
不正アクセスポイント探索データは、自社ネットワーク(有線LAN部分)2に送信されるので、正規のアクセスポイント装置3−jには到達するが、不正なアクセスポイント装置4には到達しない。不正アクセスポイント探索データは、ブロードキャストデータであるので、正規のアクセスポイント装置3−jは、無線LAN側に中継する必要があると判断して、無線LAN側に不正アクセスポイント探索データを送信する。 Since the unauthorized access point search data is transmitted to the company network (wired LAN portion) 2, it reaches the regular access point device 3-j but does not reach the unauthorized access point device 4. Since the unauthorized access point search data is broadcast data, the legitimate access point apparatus 3-j determines that it is necessary to relay to the wireless LAN side, and transmits the unauthorized access point search data to the wireless LAN side.
その結果、図6に示すように、正規のアクセスポイント装置3−jは、不正アクセスポイント探索データを、自己の管轄エリアに向けて無線送信するが、不正なアクセスポイント装置4は、不正アクセスポイント探索データを送信することはない。 As a result, as shown in FIG. 6, the legitimate access point device 3-j wirelessly transmits the unauthorized access point search data to its own jurisdiction area. Search data is not sent.
無線データ通信処理部32は、上述したように、図4に示す受信時処理を行う。不正アクセスポイント探索データのブロードキャストを指示したアクセスポイント装置3−mの無線データ通信処理部32は、隣接アクセスポイント装置3−jから、自己が送信元の不正アクセスポイント探索データを無線LAN側から受信したときには、隣接アクセスポイントテーブル35の、今回の探索データの受信に係るBSSID(隣接アクセスポイント装置3−jの識別情報)に対応付けて「正規」のステータスを記憶する(ステップ102、103)。
As described above, the wireless data
なお、アクセスポイント装置3−mの無線データ通信処理部32は、ブロードキャストを指示した時点から、所定時間(例えば3分間)内に、自己が送信元の不正アクセスポイント探索データを無線LAN側から受信できたときだけ「正規」のステータスを記憶し、所定時間を超えて、不正アクセスポイント探索データを受信しても、その受信を「受信でない」と見なすようにしても良い。例えば、不正なアクセスポイント装置4が、隣接アクセスポイント装置3−jが無線送信した探索データを受信して、あわてて、探索データを送信しても、その受信を「受信でない」と見なすことができるように所定時間を選定すれば良い。
The wireless data
一方、不正なアクセスポイント装置4は、不正アクセスポイント探索データを無線LAN側に送信することはないので、不正アクセスポイント探索データの送信元のアクセスポイント装置3−mにおける隣接アクセスポイントテーブル35は、不正なアクセスポイント装置4のBSSID(識別情報)に対応付けて、「正規」のステータスを記憶することはない。 On the other hand, since the unauthorized access point device 4 does not transmit the unauthorized access point search data to the wireless LAN side, the adjacent access point table 35 in the access point device 3-m that is the transmission source of the unauthorized access point search data is A “normal” status is not stored in association with the BSSID (identification information) of the unauthorized access point device 4.
(A−2−3)不正アクセスポイント装置の認識
不正アクセスポイント探索データの送信元のアクセスポイント装置3−mの不正アクセスポイント探索部33は、その送信時点から、所定時間(例えば5分)だけ経過したときに、割り込みによって、図7に示す処理を開始し、隣接アクセスポイントテーブル35から、「正規」のステータスが付与されていないBSSID(識別情報)を取得する(ステップ200)。「正規」のステータスが付与されていないBSSID(識別情報)は、不正なアクセスポイント装置4のBSSID(識別情報)であり、これにより、不正なアクセスポイント装置4の存在を検知(認識)することができる。
(A-2-3) Recognition of Unauthorized Access Point Device The unauthorized access point search unit 33 of the access point device 3-m that is the transmission source of the unauthorized access point search data is a predetermined time (for example, 5 minutes) from the transmission time point. When the time has elapsed, the process shown in FIG. 7 is started by interruption, and the BSSID (identification information) to which the “regular” status is not given is acquired from the adjacent access point table 35 (step 200). The BSSID (identification information) to which the status of “regular” is not given is the BSSID (identification information) of the unauthorized access point device 4, thereby detecting (recognizing) the presence of the unauthorized access point device 4. Can do.
図7では省略しているが、不正アクセスポイント探索部33は、不正なアクセスポイント装置4の存在を検知すると、上位装置に通知し、上位装置は所定の保護動作や異常報知動作などを行う。例えば、ブザーの鳴動によって監視者に不正なアクセスポイント装置4の存在を報知したり、自動的な社内放送によって、不正なアクセスポイント装置4の存在を報知したりする。その際、不正なアクセスポイント装置4の存在を検知したアクセスポイント装置3−mの位置情報をも含めて放送し、注意場所を教示するようにしても良い。 Although omitted in FIG. 7, when the unauthorized access point search unit 33 detects the presence of the unauthorized access point device 4, it notifies the host device, and the host device performs a predetermined protection operation, an abnormality notification operation, and the like. For example, the presence of an unauthorized access point device 4 is notified to a monitor by the sound of a buzzer, or the presence of an unauthorized access point device 4 is notified by automatic in-house broadcasting. At that time, the location information of the access point device 3-m that has detected the presence of the unauthorized access point device 4 may be broadcasted to teach the attention location.
(A−3)実施形態の効果
上記実施形態によれば、自社ネットワーク2の周辺エリアに設置された、第3者による不正なアクセスポイント装置を検知することができる。その結果、データの盗聴が発生する前に、管理者は適切な処置をとることができる。
(A-3) Effect of Embodiment According to the above-described embodiment, it is possible to detect an unauthorized access point device installed by a third party in the peripheral area of the company network 2. As a result, the administrator can take appropriate measures before data eavesdropping occurs.
(B)他の実施形態
上記実施形態においては、検知動作を行っているアクセスポイント装置3−mが、不正アクセスポイント探索データをブロードキャストさせるものを示したが、隣接アクセスポイントテーブル35に識別情報が記憶されている隣接アクセスポイント装置からマルチキャストさせるものであっても良く(この場合に上位装置を経由させても良い)、また、隣接アクセスポイントテーブル35に識別情報が記憶されている隣接アクセスポイント装置の1個ずつから、個別に探索データを送信させるようにしても良い(この場合に上位装置を経由させても良い)。後者の場合であれば、隣接アクセスポイント装置3−jに、当該隣接アクセスポイント装置3−mを収容先とする、無線LAN端末と同様な無線送信動作を実行させるようにしても良い。
(B) Other Embodiments In the above-described embodiment, the access point device 3-m performing the detection operation broadcasts the unauthorized access point search data. However, the identification information is included in the adjacent access point table 35. The access point device may be multicast from the stored adjacent access point device (in this case, it may be routed through the host device), and the adjacent access point device whose identification information is stored in the adjacent access point table 35 Alternatively, the search data may be transmitted individually from each one (in this case, the search data may be routed through a host device). In the latter case, the adjacent access point apparatus 3-j may be caused to execute a wireless transmission operation similar to that of a wireless LAN terminal that accommodates the adjacent access point apparatus 3-m.
また、上記実施形態においては、検知動作を行っているアクセスポイント装置3−mが、不正アクセスポイント探索データを自社ネットワーク(有線LAN部分)2に送信し、隣接アクセスポイント装置の無線探索データをモニタすることにより、正規の隣接アクセスポイント装置3−jを認識するものを示したが、この逆のループ経路で探索データを巡回させて、正規の隣接アクセスポイント装置を認識するようにしても良い。例えば、検知動作を行っているアクセスポイント装置3−mは、自己宛の不正アクセスポイント探索データを無線送信し、その無線送信された不正アクセスポイント探索データを受信した正規の隣接アクセスポイント装置3−jが、自社ネットワーク(有線LAN部分)2経由で、不正アクセスポイント探索データをアクセスポイント装置3−mにフィードバックさせることにより(この場合に上位装置を経由させても良い)、正規の隣接アクセスポイント装置を認識するようにしても良い。 In the above embodiment, the access point device 3-m performing the detection operation transmits the unauthorized access point search data to the company network (wired LAN portion) 2 and monitors the wireless search data of the adjacent access point device. By doing so, the device that recognizes the normal adjacent access point device 3-j has been shown. However, the search data may be circulated through the reverse loop path to recognize the normal adjacent access point device 3-j. For example, the access point device 3-m performing the detection operation wirelessly transmits the unauthorized access point search data addressed to itself and receives the unauthorized access point search data transmitted wirelessly. By allowing j to feed back the unauthorized access point search data to the access point device 3-m via the company's network (wired LAN portion) 2 (in this case, it may be routed through the host device), the legitimate adjacent access point The device may be recognized.
さらに、上記実施形態においては、全てのアクセスポイント装置が、不正のアクセスポイント装置の検知機能を有するものを示したが、一部のアクセスポイント装置が、不正のアクセスポイント装置の検知機能を備えるものであっても良い。例えば、建物の外壁に近い位置に設置されているアクセスポイント装置が、不正のアクセスポイント装置の検知機能を備えるようにしても良い。 Further, in the above embodiment, all the access point devices have been shown to have an unauthorized access point device detection function, but some access point devices have an unauthorized access point device detection function. It may be. For example, an access point device installed at a position close to the outer wall of a building may have a detection function of an unauthorized access point device.
1−1〜1−N…無線LAN端末、2…自社ネットワーク(有線LAN)、3−1〜3−M…アクセスポイント装置、31…無線LANドライバ、32…無線データ通信処理部、33…不正アクセスポイント探索部、34…有線LANドライバ、35…隣接アクセスポイントテーブル。
1-1 to 1-N: wireless LAN terminal, 2 ... own network (wired LAN), 3-1 to 3-M ... access point device, 31 ... wireless LAN driver, 32 ... wireless data communication processing unit, 33 ... illegal Access
Claims (3)
少なくとも一部の上記アクセスポイント装置は、隣接アクセスポイント検知手段と、隣接アクセスポイント記憶手段と、探索データ送信手段と、不正アクセスポイント特定手段とを有し、
上記隣接アクセスポイント検知手段は、当該アクセスポイント装置の周囲の無線空間をモニタし、隣接するアクセスポイント装置の識別情報を得て上記隣接アクセスポイント記憶手段に記憶し、
上記探索データ送信手段は、不正アクセスポイント探索データを、上記有線LAN、上記隣接アクセスポイント記憶手段に記憶されている隣接する上記アクセスポイント装置との無線回線を、この順、又は、逆順に経由して、当該アクセスポイント装置に戻ってくるように送信すると共に、不正アクセスポイント探索データが戻ってきた経路の隣接する上記アクセスポイント装置について上記隣接アクセスポイント記憶手段に正規装置である旨を記憶し、
上記不正アクセスポイント特定手段は、上記隣接アクセスポイント記憶手段に、識別情報が記憶されながら、正規装置である旨が記憶されていないアクセスポイント装置を、不正なアクセスポイント装置として認識する
ことを特徴とする不正アクセスポイント検知方法。 In connection with a wireless LAN system in which a plurality of access point devices accommodating wireless LAN terminals are connected by a wired LAN, an unauthorized access point detection method for detecting an unauthorized access point device not connected to the wired LAN,
At least some of the access point devices include adjacent access point detection means, adjacent access point storage means, search data transmission means, and unauthorized access point identification means,
The adjacent access point detection means monitors the wireless space around the access point apparatus, obtains identification information of the adjacent access point apparatus and stores it in the adjacent access point storage means,
The search data transmission means passes the unauthorized access point search data through the wired LAN and the wireless line with the adjacent access point device stored in the adjacent access point storage means in this order or in reverse order. And sending back to the access point device, and storing the fact that the unauthorized access point search data is a legitimate device in the adjacent access point storage means for the access point device adjacent to the route returned,
The unauthorized access point specifying means recognizes, as an unauthorized access point apparatus, an access point apparatus in which identification information is stored in the adjacent access point storage means but is not stored as a legitimate apparatus. To detect unauthorized access points.
当該アクセスポイント装置に隣接するアクセスポイント装置の識別情報及び正規装置である旨が記憶し得る隣接アクセスポイント記憶手段と、
当該アクセスポイント装置の周囲の無線空間をモニタし、隣接するアクセスポイント装置の識別情報を得て上記隣接アクセスポイント記憶手段に記憶する隣接アクセスポイント検知手段と、
不正アクセスポイント探索データを、上記有線LAN、上記隣接アクセスポイント記憶手段に記憶されている隣接する上記アクセスポイント装置との無線回線を、この順、又は、逆順に経由して、当該アクセスポイント装置に戻ってくるように送信すると共に、不正アクセスポイント探索データが戻ってきた経路の隣接する上記アクセスポイント装置について上記隣接アクセスポイント記憶手段に正規装置である旨を記憶する探索データ送信手段と、
上記隣接アクセスポイント記憶手段に、識別情報が記憶されながら、正規装置である旨が記憶されていないアクセスポイント装置を、不正なアクセスポイント装置として認識する不正アクセスポイント特定手段と
を有することを特徴とするアクセスポイント装置。 In an access point device that accommodates a wireless LAN terminal and is connected to another access point device via a wired LAN,
Neighboring access point storage means capable of storing the identification information of the access point device adjacent to the access point device and the fact that it is a regular device;
An adjacent access point detection unit that monitors a wireless space around the access point device, obtains identification information of the adjacent access point device, and stores the identification information in the adjacent access point storage unit;
The unauthorized access point search data is transmitted to the access point device via the wired LAN and the wireless line with the adjacent access point device stored in the adjacent access point storage means in this order or in reverse order. Search data transmission means for transmitting information so as to return, and storing the fact that the adjacent access point storage means is a legitimate apparatus for the access point apparatus adjacent to the path on which the rogue access point search data has returned,
The adjacent access point storage means includes unauthorized access point specifying means for recognizing as an unauthorized access point apparatus an access point apparatus that stores identification information but is not stored as a legitimate apparatus. Access point device.
少なくとも一部の上記アクセスポイント装置として、請求項2に記載のアクセスポイント装置を適用したことを特徴とする無線LANシステム。
In a wireless LAN system in which a plurality of access point devices accommodating wireless LAN terminals are connected by a wired LAN,
A wireless LAN system, wherein the access point device according to claim 2 is applied as at least some of the access point devices.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006060094A JP4779711B2 (en) | 2006-03-06 | 2006-03-06 | Unauthorized access point detection method, access point device, and wireless LAN system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006060094A JP4779711B2 (en) | 2006-03-06 | 2006-03-06 | Unauthorized access point detection method, access point device, and wireless LAN system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007243345A JP2007243345A (en) | 2007-09-20 |
| JP4779711B2 true JP4779711B2 (en) | 2011-09-28 |
Family
ID=38588466
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006060094A Active JP4779711B2 (en) | 2006-03-06 | 2006-03-06 | Unauthorized access point detection method, access point device, and wireless LAN system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4779711B2 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2684474C1 (en) * | 2015-10-15 | 2019-04-09 | Телефонактиеболагет Лм Эрикссон (Пабл) | Access point supporting at least two virtual networks, and method accomplished by means of access point for data exchanging with wireless device |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011155521A (en) * | 2010-01-27 | 2011-08-11 | Kyocera Corp | Method for authentication of mobile station device and base station apparatus |
| KR101453521B1 (en) * | 2011-05-20 | 2014-10-24 | 주식회사 케이티 | Wireless access point apparatus and method for detecting unauthorized wireless lan node |
-
2006
- 2006-03-06 JP JP2006060094A patent/JP4779711B2/en active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2684474C1 (en) * | 2015-10-15 | 2019-04-09 | Телефонактиеболагет Лм Эрикссон (Пабл) | Access point supporting at least two virtual networks, and method accomplished by means of access point for data exchanging with wireless device |
| US11019483B2 (en) | 2015-10-15 | 2021-05-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Access point supporting at least two virtual networks and method performed thereby for communicating with wireless device |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007243345A (en) | 2007-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4229148B2 (en) | Unauthorized access point connection blocking method, access point device, and wireless LAN system | |
| JP5185081B2 (en) | Wireless terminal device, communication method, and communication program | |
| US9351180B2 (en) | Communication system, wireless communication apparatus and state information receiving apparatus | |
| CN101594695B (en) | Wireless communication system, wireless communication apparatus, method for disconnection process thereof, and storage medium | |
| US10637718B2 (en) | Systems and methods for cooperative network management | |
| CN102833720B (en) | Roaming system and method for selecting access point by wireless access control device | |
| EP2037629A1 (en) | Communication apparatus, and method and program for controlling switching of connection destinations of wireless communication apparatus by use of communication apparatus | |
| JP4697278B2 (en) | Access point device detection method and control method, access point detection device, access point device, and wireless LAN system | |
| CN105282773A (en) | WiFi device configuration method and system | |
| CN103906263A (en) | Connection establishment method, device and system | |
| US8126998B2 (en) | Information processing apparatus and method of controlling thereof | |
| JP4779711B2 (en) | Unauthorized access point detection method, access point device, and wireless LAN system | |
| US20070049201A1 (en) | Wireless LAN system having priority data transmission function | |
| JP4862868B2 (en) | Access point device control method, access point device, and wireless LAN system | |
| JP2006352660A (en) | Wireless lan system, communication status detection method and communication status detection program thereof | |
| JP2005184719A (en) | Monitoring device, base station, and wireless LAN system | |
| JP4407214B2 (en) | Wireless LAN system | |
| CN101834739A (en) | Repeater network management system, and repeater network management communication method and device | |
| JP2002345031A (en) | Base station apparatus and wireless communication system | |
| JP6512037B2 (en) | Wireless communication device, method and program | |
| JP2020182043A (en) | Radio quality management device, radio quality management method, and program | |
| JP2005064711A (en) | Access point equipment | |
| JP7356186B1 (en) | Access points, investigation log acquisition method, and investigation log acquisition program | |
| JP4465604B2 (en) | Abnormality reporting system | |
| JP4119354B2 (en) | Mobile radio communication system, mobile radio terminal apparatus and base station apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081121 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110526 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110607 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110620 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140715 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4779711 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |