知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024033160
(43)【公開日】2024-03-13
(54)【発明の名称】無線LANアクセスポイント、通信方法及びプログラム
(51)【国際特許分類】
H04W 12/08 20210101AFI20240306BHJP
H04W 12/73 20210101ALI20240306BHJP
【FI】
H04W12/08
H04W12/73
【審査請求】有
【請求項の数】8
【出願形態】OL
(21)【出願番号】P 2022136588
(22)【出願日】2022-08-30
(71)【出願人】
【識別番号】000227205
【氏名又は名称】NECプラットフォームズ株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】竹山 大貴
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067DD11
5K067EE02
5K067EE10
5K067HH22
5K067HH23
(57)【要約】
【課題】管理者が許可していない第三者には無線LANアクセスポイントに接続し利用させないために、よりセキュリティの高い接続手段である無線LANアクセスポイント、通信方法及びプログラムを提供すること。
【解決手段】子機接続制御部107は、無線LAN子機107からのリクエストに認証用SSIDが含まれている場合、認証を実行し、認証を実行した後に主接続用SSIDで通信を行うように制御し、子機接続制御部103は、無線LAN子機107が主接続用SSIDで通信している間、認証用SSIDを用いた無線LAN子機107からのリクエストを拒否する制御を行う。
【選択図】図1
【解決手段】子機接続制御部107は、無線LAN子機107からのリクエストに認証用SSIDが含まれている場合、認証を実行し、認証を実行した後に主接続用SSIDで通信を行うように制御し、子機接続制御部103は、無線LAN子機107が主接続用SSIDで通信している間、認証用SSIDを用いた無線LAN子機107からのリクエストを拒否する制御を行う。
【選択図】図1
【特許請求の範囲】
【請求項1】
無線LAN子機の帰属を管理する帰属管理部と、
前記無線LAN子機の接続を制御する子機接続制御部と、
認証用SSIDを管理する認証用SSID部と、
主接続通信用SSIDを管理する主接続通信用SSID部と、を備え、
前記子機接続制御部は、前記無線LAN子機からのリクエストに認証用SSIDが含まれている場合、認証を実行し、認証を実行した後に主接続用SSIDで通信を行うように制御し、
前記子機接続制御部は、前記無線LAN子機が主接続用SSIDで通信している間、前記認証用SSIDを用いた前記無線LAN子機からのリクエストを拒否する制御を行う、
無線LANアクセスポイント。
前記無線LAN子機の接続を制御する子機接続制御部と、
認証用SSIDを管理する認証用SSID部と、
主接続通信用SSIDを管理する主接続通信用SSID部と、を備え、
前記子機接続制御部は、前記無線LAN子機からのリクエストに認証用SSIDが含まれている場合、認証を実行し、認証を実行した後に主接続用SSIDで通信を行うように制御し、
前記子機接続制御部は、前記無線LAN子機が主接続用SSIDで通信している間、前記認証用SSIDを用いた前記無線LAN子機からのリクエストを拒否する制御を行う、
無線LANアクセスポイント。
【請求項2】
前記子機接続制御部は、前記無線LAN子機が主接続用SSIDで通信断が発生すると、前記主接続用SSIDを用いた前記無線LAN子機からのリクエストを拒絶する制御を行う、請求項1に記載の無線LANアクセスポイント。
【請求項3】
前記認証用SSID部は、接続を拒否する通信相手を記憶する接続拒否リストを有し、
前記主接続通信用SSID部は、接続を許可する通信相手を記憶する接続許可リストを有する、請求項1に記載の無線LANアクセスポイント。
前記主接続通信用SSID部は、接続を許可する通信相手を記憶する接続許可リストを有する、請求項1に記載の無線LANアクセスポイント。
【請求項4】
前記子機接続制御部は、前記無線LAN子機が主接続用SSIDで通信している間、
当該無線LAN子機のMACアドレスを前記接続拒否リストと前記接続許可リストに登録する、
請求項3に記載の無線LANアクセスポイント。
当該無線LAN子機のMACアドレスを前記接続拒否リストと前記接続許可リストに登録する、
請求項3に記載の無線LANアクセスポイント。
【請求項5】
前記子機接続制御部は、前記無線LAN子機が主接続用SSIDで通信断が発生すると、
当該無線LAN子機のMACアドレスを前記接続拒否リストと前記接続許可リストから削除する
請求項3に記載の無線LANアクセスポイント。
当該無線LAN子機のMACアドレスを前記接続拒否リストと前記接続許可リストから削除する
請求項3に記載の無線LANアクセスポイント。
【請求項6】
前記認証用SSIDを用いて前記無線LAN子機と通信する周波数バンドと、
前記主接続通信用SSIDを用いて前記無線LAN子機と通信する周波数バンドが異なる請求項1から5のいずれかに記載の無線LANアクセスポイント。
前記主接続通信用SSIDを用いて前記無線LAN子機と通信する周波数バンドが異なる請求項1から5のいずれかに記載の無線LANアクセスポイント。
【請求項7】
無線LAN子機からのリクエストに認証用SSIDが含まれている場合、認証を実行し、認証を実行した後に主接続用SSIDで通信を行うように制御し、
前記無線LAN子機が主接続用SSIDで通信している間、前記認証用SSIDを用いた前記無線LAN子機からのリクエストを拒否する制御を行う、
無線LANアクセスポイントの通信方法。
前記無線LAN子機が主接続用SSIDで通信している間、前記認証用SSIDを用いた前記無線LAN子機からのリクエストを拒否する制御を行う、
無線LANアクセスポイントの通信方法。
【請求項8】
無線LAN子機からのリクエストに認証用SSIDが含まれている場合、認証を実行し、認証を実行した後に主接続用SSIDで通信を行うように制御するステップと
前記無線LAN子機が主接続用SSIDで通信している間、前記認証用SSIDを用いた前記無線LAN子機からのリクエストを拒否するステップとをコンピュータに実行させる、
無線LANアクセスポイントのプログラム。
前記無線LAN子機が主接続用SSIDで通信している間、前記認証用SSIDを用いた前記無線LAN子機からのリクエストを拒否するステップとをコンピュータに実行させる、
無線LANアクセスポイントのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は無線LANアクセスポイントに関する。
【背景技術】
【0002】
特許文献1には、無線子機の種類に対して予め定めた最適な設定情報に最も近い設定情報を有するSSID(Service Set Identifier)を、無線子機に最適なSSIDであると決定することにより、自動的に無線子機に最適なSSIDを使用させることができる無線アクセスポイント装置が記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2013-131993号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、無線LAN(Local Area Network)アクセスポイントは管理者が無線LANの接続設定やセキュリティ設定をしていたとしても、不正に無線LANアクセスポイントを利用されてしまう問題がある。
【0005】
例えば、無線LANアクセスポイント設置時の初期設定のまま運用している場合や、セキュリティの低い暗号化を使用している場合、許可していない第三者に無線LANアクセスポイントのSSIDと暗号化キーを知られてしまい、不正に無線LANアクセスポイントを利用されてしまう。
【0006】
また、無線LANアクセスポイントの管理者は許可していない第三者に不正に無線LANアクセスポイントを利用されていても気付かない場合が多く、一度無線LANアクセスポイントに接続されてしまうと不正に利用され続けてしまう可能性がある。
【0007】
本開示の目的は、管理者が許可していない第三者には無線LANアクセスポイントに接続し利用させないために、よりセキュリティの高い接続手段である無線LANアクセスポイント、通信方法及びプログラムを提供することである。
【課題を解決するための手段】
【0008】
一実施形態の無線LANアクセスポイントは、無線LAN子機の帰属を管理する帰属管理部と、前記無線LAN子機の接続を制御する子機接続制御部と、認証用SSIDを管理する認証用SSID部と、主接続通信用SSIDを管理する主接続通信用SSID部と、を備え、前記子機接続制御部は、前記無線LAN子機からのリクエストに認証用SSIDが含まれている場合、認証を実行し、認証を実行した後に主接続用SSIDで通信を行うように制御し、前記子機接続制御部は、前記無線LAN子機が主接続用SSIDで通信している間、前記認証用SSIDを用いた前記無線LAN子機からのリクエストを拒否する制御を行うようにした。
【0009】
一実施形態の通信方法は、無線LAN子機からのリクエストに認証用SSIDが含まれている場合、認証を実行し、認証を実行した後に主接続用SSIDで通信を行うように制御し、前記無線LAN子機が主接続用SSIDで通信している間、前記認証用SSIDを用いた前記無線LAN子機からのリクエストを拒否する制御を行うようにした。
【0010】
一実施形態のプログラムは、無線LAN子機からのリクエストに認証用SSIDが含まれている場合、認証を実行し、認証を実行した後に主接続用SSIDで通信を行うように制御するステップと、前記無線LAN子機が主接続用SSIDで通信している間、前記認証用SSIDを用いた前記無線LAN子機からのリクエストを拒否するステップとをコンピュータに実行させるようにした。
【発明の効果】
【0011】
本開示の無線LANアクセスポイント、通信方法及びプログラムによれば、管理者が許可していない第三者には無線LANアクセスポイントに接続し利用させないために、よりセキュリティを高くできる。
【図面の簡単な説明】
【0012】
【図1】実施の形態1にかかる無線LANアクセスポイントの構成を示すブロック図である。
【図2】実施の形態1にかかる無線LANアクセスポイントの動作の一例を示すシーケンス図である。
【図3】実施の形態1にかかる無線LANアクセスポイントの動作の一例を示すフローチャートである。
【図4】実施の形態1にかかる無線LANアクセスポイントの動作の一例を示すフローチャートである。
【発明を実施するための形態】
【0013】
実施の形態1
以下、図面を参照して本実施の形態について説明する。図1は、実施の形態1にかかる無線LANアクセスポイントの構成を示すブロック図である。図1において、無線LANアクセスポイント101は、帰属管理部102と、子機接続制御部103と、認証用SSID部104と、主接続通信用SSID部105と、ルーター部106を備える。
以下、図面を参照して本実施の形態について説明する。図1は、実施の形態1にかかる無線LANアクセスポイントの構成を示すブロック図である。図1において、無線LANアクセスポイント101は、帰属管理部102と、子機接続制御部103と、認証用SSID部104と、主接続通信用SSID部105と、ルーター部106を備える。
【0014】
帰属管理部102は、認証用SSID104の無線LAN子機107の帰属状態の監視を行う。また、帰属管理部102は、主接続通信用SSID105の無線LAN子機107の帰属状態の監視を行う。さらに、帰属管理部102は、子機接続制御部103に対して無線LAN子機107の帰属状態の通知を行う。
【0015】
子機接続制御部103は、帰属管理部102から認証用SSID部104に無線LAN子機107が帰属したという通知を受け取った場合、接続拒否リスト141と接続許可リスト151に無線LAN子機107のMACアドレス(Media Access Control address)を登録する。これにより、無線LAN子機107は、認証用SSID部104に接続できなくなり、主接続通信用SSID部105に接続できる状態となる。
【0016】
また、子機接続制御部103は、帰属管理部102から主接続通信用SSID105から無線LAN子機107の帰属が外れたという通知を受け取った場合、接続拒否リスト141と接続許可リスト151から無線LAN子機107のMACアドレスを削除する。
【0017】
認証用SSID部104は、認証用SSIDを管理する。認証用SSIDは、接続拒否リスト141に登録されていない無線LAN子機107が接続できる、ステルス化とANY接続拒否を有効化したSSIDである。SSIDのステルス化とは、自身のSSIDを周囲に知らせるためのビーコン信号の発信を停止する機能である。SSIDのステルス化を有効にすることで、第三者に認証用SSIDが知られる可能性を低減できる。
【0018】
また、ANY接続拒否とは、無線LANアクセスポイントのSSIDを直接指定しなければ無線LAN子機からのProbe Requestに応答しなくなる機能である。ANY接続拒否を有効にすることで、本開示の機能を有する無線LANアクセスポイント101は無線LAN子機107からのProbe Requestに認証用SSID部104のSSID情報が載っていなかった場合、応答しないようにできる。
【0019】
接続拒否リスト141は認証用SSID104に対する特定のMACアドレスを持つ無線LAN子機107の接続をMACアドレスフィルタリングによって拒否するためのリストである。
【0020】
主接続通信用SSID部105は、無線LAN子機107が接続できるSSIDを管理する。具体的には、主接続通信用SSID部105は、接続許可リスト151に登録されたMACアドレスを持つ無線LAN子機107が接続できるSSIDを管理する。
【0021】
接続許可リスト151は、主接続通信用SSID105に対する特定のMACアドレスを持つ無線LAN子機107の接続をMACアドレスフィルタリングによって許可するためのリストである。
【0022】
ルーター部106は、無線LAN子機107からの通信を、異なるネットワークに中継する。また、ルーター部106は、どのルートを通して中継または転送すべきかを判断する。さらにルーター部106は、異なるネットワークから無線LAN子機107への通信を中継する。
【0023】
無線LAN子機107は、接続許可リスト151に無線LAN子機107のMACアドレスが登録されているとき、主接続通信用SSID部105のSSIDと暗号化キーを用いて主接続通信用SSIDに帰属し、通信できる。
【0024】
なお、主接続通信用SSID105から無線LAN子機107の帰属が外れた場合、接続拒否リスト141と接続許可リスト151から無線LAN子機107のMACアドレスが削除される。この結果、無線LAN子機107は主接続通信用SSID105には接続できなくなり、認証用SSID104には接続が可能な状態となる。
【0025】
したがって、無線LAN子機107が再び主接続通信用SSID105に接続するためには、認証用SSID104に接続する必要がある。
【0026】
以上の構成により管理者の無線LAN端末が不在となった場合は、当該端末のMACアドレスは既に接続許可リスト151から削除されている為、MACアドレスを偽装した不正アクセスを防ぐことができる。
【0027】
次に、無線LAN子機107が無線LANアクセスポイントに接続する動作について説明する。図2は、実施の形態1にかかる無線LANアクセスポイントの動作の一例を示すシーケンス図である。図2では、無線LAN子機107がProbe Requestを送信し無線LANアクセスポイントに接続するまでの一般的なシーケンスを示している。
【0028】
まず、ステップS201において、無線LAN子機107は無線LANアクセスポイント101に対しProbe Requestを送信する。
【0029】
次に、ステップS202において、無線LANアクセスポイント101はProbe Responseを返す。
【0030】
そして、ステップS203その後、無線LAN子機107と無線LANアクセスポイント101は接続設定処理をして接続設定完了となり無線LANアクセスポイント101に帰属できる。
【0031】
次に、無線LANアクセスポイントの動作について説明する。図3は、実施の形態1にかかる無線LANアクセスポイントの動作の一例を示すフローチャートである。
【0032】
ステップS301において、無線LANアクセスポイント101は、無線LAN子機107からのProbe Requestを受信するまで、受信を繰り返す。無線LAN子機107からProbe Requestを受信した場合、ステップS302に進む。
【0033】
ステップS302において、Probe Requestに含まれるSSIDを判断する。無線LAN子機107から受信したProbe Requestに認証用SSID104のSSIDが含まれていない場合、ステップS301に戻る。無線LAN子機107から受信したProbe Requestに認証用SSID104のSSIDが含まれていた場合、ステップS303に進む。
【0034】
ステップS303において、無線LANアクセスポイント101は、無線LAN子機107にProbe Responseを返す。そしてステップS304に進む。
【0035】
ステップS304において、無線LANアクセスポイント101は、無線LAN子機107のMACアドレスが接続拒否リスト141に登録されているか確認する。無線LAN子機107のMACアドレスが接続拒否リスト141に登録されている場合、ステップS301に戻る。無線LAN子機107のMACアドレスが接続拒否リスト141に登録されていない場合、ステップS305に進む。
【0036】
ステップS305において、無線LANアクセスポイント101は、無線LAN子機107が認証用SSID104に帰属するための接続設定処理を行う。そしてステップS306に進む。
【0037】
ステップS306において、無線LAN子機107は、無線LANアクセスポイント101との接続設定処理が完了したか否かを判断する。無線LAN子機107が無線LANアクセスポイント101との接続設定処理が完了した場合、ステップS307に進む。無線LAN子機107は、無線LANアクセスポイント101との接続設定処理が完了していない場合、ステップS301に戻る。
【0038】
ステップS307において、無線LANアクセスポイント101は、無線LAN子機107が認証用SSID104に帰属しているか否か判断する。無線LAN子機107が認証用SSID104に帰属している場合、ステップS308に進む。無線LAN子機107が認証用SSID104に帰属していない場合、ステップS301に戻る。
【0039】
ステップS308において、帰属管理部102は無線LAN子機107が認証用SSID104に帰属していることを知らせるための通知を子機接続制御部103に出す。子機接続制御部103は、帰属管理部102から通知を受けると、無線LAN子機107のMACアドレスを認証用SSID104の接続拒否リスト141に登録する。無線LAN子機107のMACアドレスを認証用SSID104の接続拒否リスト141に登録するのは、無線LAN子機107が既に認証済みであり、認証用SSID104に接続する必要が無くなるためである。そして、ステップS309に進む。
【0040】
ステップS309において、子機接続制御部103は帰属管理部102から通知を受けると、無線LAN子機107のMACアドレスを主接続通信用SSID105の接続許可リスト151に登録する。そして一連の処理を終了する。なお、この一連の処理は繰り返し実行しても良い。
【0041】
次に無線LAN子機107が無線LANアクセスポイント101との通信を切断する時の動作を説明する。図4は、実施の形態1にかかる無線LANアクセスポイントの動作の一例を示すフローチャートである。
【0042】
まず、ステップS401において、帰属管理部102は、無線LAN子機107が主接続通信用SSID105の帰属から外れているか否か判断する。無線LAN子機107が主接続通信用SSID105の帰属から外れている場合、ステップS402に進む。無線LAN子機107が主接続通信用SSID105の帰属から外れていない場合、ステップS401を繰り返す。
【0043】
ステップS402において、帰属管理部102は無線LAN子機107が主接続通信用SSID105の帰属から外れていることを知らせるための通知を子機接続制御部103に出す。
子機接続制御部103は、帰属管理部102から通知を受けると、無線LAN子機107のMACアドレスを認証用SSID104の接続拒否リスト141から削除する。そして ステップS403に進む。
子機接続制御部103は、帰属管理部102から通知を受けると、無線LAN子機107のMACアドレスを認証用SSID104の接続拒否リスト141から削除する。そして ステップS403に進む。
【0044】
ステップS403において、子機接続制御部103は、帰属管理部102から通知を受けると、無線LAN子機107のMACアドレスを主接続通信用SSID105の接続許可リスト151から削除する。
【0045】
このように、実施の形態1の無線LANアクセスポイントによれば、無線LANアクセスポイントに認証用SSIDの情報が載ったProbe Requestを送信しないと、無線LAN子機は主接続通信用SSIDに接続することができないため、主接続通信用SSIDの情報を知られたとしても、不正に無線LANアクセスポイントを利用できない。
【0046】
また、実施の形態1の無線LANアクセスポイントによれば、主接続通信用SSIDに帰属していた無線LAN子機の帰属が外れた時、再度無線LANアクセスポイントに認証用のSSIDの情報の載ったProbe Requestを送信しないと主接続通信用SSIDに接続できないため、主接続通信用SSIDに対しMACアドレスを偽装した不正なアクセスを防げる。
【0047】
本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。
【0048】
例えば、無線LAN子機107が2.4GHzと5GHzのデュアルバンド対応子機である場合、無線LANアクセスポイント101は、認証用SSID104と主接続通信用SSID105を2.4GHzと5GHzの別バンドで運用することもできる。
【0049】
例えば認証用SSID104は2.4GHz、主接続通信用SSID105は5GHzで運用するようにしてもよい。
【0050】
認証用SSID104と主接続通信用SSID105を2.4GHzと5GHzの別バンドで運用することで、認証用SSID104と主接続通信用SSID105の関連性を察知される可能性を低くすることができる。
【0051】
無線LAN子機107がデュアルバンドに対応していた場合、管理者が許可していない第三者は、無線LANアクセスポイント101に不正に接続することがより困難となり、無線LANアクセスポイントを不正に利用される可能性を低くできる。
【0052】
この様に、無線LANアクセスポイント101は、認証用SSID104と主接続通信用SSID105を2.4GHzと5GHzの別バンドで運用できる。
【0053】
また、様々な処理を行う機能ブロックとして図面に記載される各要素は、ハードウェア的には、CPU、メモリ、その他の回路で構成することができ、ソフトウェア的には、メモリにロードされたプログラムなどによって実現される。したがって、これらの機能ブロックがハードウェアのみ、ソフトウェアのみ、またはそれらの組合せによっていろいろな形で実現できることは当業者には理解されるところであり、いずれかに限定されるものではない。
【0054】
また、上述したプログラムは、様々なタイプの非一時的なコンピュータ可読媒体を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
【符号の説明】
【0055】
101 アクセスポイント
102 帰属管理部
103 子機接続制御部
104 認証用SSID部
105 主接続通信用SSID部
106 ルーター部
107 子機
141 接続拒否リスト
151 接続許可リスト
102 帰属管理部
103 子機接続制御部
104 認証用SSID部
105 主接続通信用SSID部
106 ルーター部
107 子機
141 接続拒否リスト
151 接続許可リスト
【図1】
【図2】
【図3】
【図4】