[发明专利]无线LAN接入点装置、非法管理帧检测方法

说明书

技术领域

本发明涉及一种通过无线通信路径与无线终端之间进行使用了帧的数据的发送接收的无线LAN接入点装置。

背景技术

近年来，基于IEEE802.11标准的无线LAN设备得到广泛普及。在上述无线LAN设备中，通过交换被称为管理帧的包来对连接状态等信息进行信息控制。不对管理帧进行加密处理/签名处理就进行交换，因此成为能够对无线LAN网络进行非法访问的较大原因，在以往就被指出了安全方面的问题。

作为这种非法访问，例如想到由第三方进行伪装的“欺骗(spoofing)”。具体地说，例如当进行非法访问的第三方的无线LAN终端冒充具有访问权限的合法无线LAN终端对合法接入点发送认证解除帧时，该接入点解除认证。与此相对地，认证被解除的合法无线LAN终端再次发送认证请求帧。由第三方所准备的非法接入点接收该认证请求帧来构建连接关系，由此有可能从合法无线LAN终端泄漏信息。

对于这种问题，近年来通过对管理帧附加签名来提高安全性的技术的开发/标准化研究有所进展(IEEE802.11TGw)。但是，在普及这种标准之前的期间内设计出的无线LAN设备仍然残留有安全问题。另外，由于无法将新旧机种混合利用，因此需要将现有的无线LAN设备全部更新，从成本、节省资源等观点来看存在问题。

专利文献1：日本特开2007-089006号公报

专利文献2：日本特开2008-072402号公报

专利文献3：日本特开2006-279438号公报

发明内容

发明要解决的问题

考虑到上述问题的至少一部分，本发明要解决的问题是以通用的方法来适当地防御对无线LAN网络的非法访问。

用于解决问题的方案

本发明是为了解决上述问题的至少一部分而完成的，能够实现为以下的方式或应用例。

[应用例1]一种无线LAN接入点装置，通过无线通信路径与无线终端之间进行使用了帧的数据的发送接收，该无线LAN接入点装置具备：通信单元，其与上述无线终端之间进行上述帧的发送接收；执行单元，其在上述通信单元从上述无线终端接收到规定的管理帧时，执行与该管理帧对应的处理；序列监视单元，其在每次上述通信单元接收到上述帧时，掌握该帧所包含的序列号；以及非法判断单元，其在第一序列号和第二序列号满足规定条件的情况下，将接收到的该管理帧判断为非法帧其中，上述第一序列号是上述序列监视单元所掌握的序列号，上述第二序列号是接收到的上述管理帧所包含的序列号。

这种结构的无线LAN接入点装置在每次接收到帧时，掌握该帧所包含的序列号，在从无线终端接收到管理帧时，根据序列监视单元所掌握的序列号和管理帧所包含的序列号来进行非法帧的判断。因而，能够检测到非法管理帧，从而对欺骗攻击采取各种对策。另外，使用序列号进行非法帧的检测，因此结构较为简单。另外，由于使用序列号来在无线LAN接入点装置侧检测非法帧，因此只要是使用序列号发送帧的无线终端，对于任何标准的无线终端都能够应用，通用性较高，从而有助于节省资源、降低成本。即，在无线终端侧不需要特别的结构，对于已普及的无线终端也能够直接应用，另外，在新旧标准的无线终端混合存在的情况下也能够应用。

[应用例2]一种无线LAN接入点装置，通过无线通信路径与无线终端之间进行帧的发送接收，该无线LAN接入点装置具备：通信单元，其与上述无线终端之间进行上述帧的发送接收；执行单元，其在上述通信单元从上述无线终端接收到规定的管理帧时，执行与该管理帧对应的处理；序列监视单元，其在每次上述通信单元接收到上述帧时，掌握该帧所包含的序列号；电波强度监视单元，其与发送上述帧的上述无线终端的识别信息相对应地监视接收到该帧时的接收电波强度；以及非法判断单元，其在第一序列号和第二序列号满足规定条件且上述接收电波强度的每规定期间的变化量超过了规定范围的情况下，将接收到的上述管理帧判断为非法帧，其中，上述第一序列号是上述序列监视单元所掌握的序列号，上述第二序列号是接收到的上述管理帧所包含的序列号，上述接收电波强度与发送上述管理帧的上述无线终端的识别信息相对应，是上述电波强度监视单元所监视的接收电波强度中的接收到上述管理帧时的接收电波强度。

这种结构的无线LAN接入点装置起到与应用例1同样的效果。另外，能够使用不同角度的两个方法来检测非法帧，因此能够提高非法帧检测的准确度，从而提高安全性。