JP5546418B2 - Full stealth mode wireless LAN apparatus and connection method - Google Patents
Full stealth mode wireless LAN apparatus and connection method Download PDFInfo
- Publication number
- JP5546418B2 JP5546418B2 JP2010242143A JP2010242143A JP5546418B2 JP 5546418 B2 JP5546418 B2 JP 5546418B2 JP 2010242143 A JP2010242143 A JP 2010242143A JP 2010242143 A JP2010242143 A JP 2010242143A JP 5546418 B2 JP5546418 B2 JP 5546418B2
- Authority
- JP
- Japan
- Prior art keywords
- hash information
- time stamp
- wireless lan
- essid
- creating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
本発明は、完全ステルスモードを実現する無線LAN(IEEE 802.11シリーズ)装置および接続方法に関する。無線LANは、IEEE802.11シリーズとして標準化されている。シリーズの中にはIEEE802.11a/b/g/nなどが含まれるが、これらの違いは使用する周波数帯や変調方式の違いであり、その結果として伝送速度が異なる(非特許文献1)。 The present invention relates to a wireless LAN (IEEE 802.11 series) device that realizes a complete stealth mode and a connection method. The wireless LAN is standardized as the IEEE 802.11 series. The series includes IEEE802.11a / b / g / n, etc., but these differences are differences in the frequency band and modulation method used, resulting in different transmission rates (Non-Patent Document 1).
無線LANにはESSIDと呼ばれる識別子があり、無線LANクライアントが無線LANアクセスポイントに接続する際にはこの識別子を頼りに、所望のネットワークに接続する。無線LANアクセスポイントはビーコンと呼ばれる定期的にブロードキャストされる信号に載せてESSIDを広告する。これを無線LANクライアントが受信することで、無線LANアクセスポイント(およびその背後に構成されているネットワーク)の存在を認識できる。 The wireless LAN has an identifier called ESSID. When a wireless LAN client connects to a wireless LAN access point, the identifier is used to connect to a desired network. The wireless LAN access point advertises the ESSID on a periodically broadcast signal called a beacon. By receiving this, the wireless LAN client can recognize the presence of the wireless LAN access point (and the network configured behind it).
しかし一方で、無線LANアクセスポイントの存在を不特定多数に広告することは、悪意のある様々な攻撃を受ける可能性を高めることとなる。このような問題を防ぐためにステルスモードと呼ばれる仕組みが提供されている。これは、無線LANアクセスポイントのビーコンにESSIDを載せないという仕組みである。従って、無線LANクライアントは、所望の無線LANアクセスポイント(ステルスモードを用いている場合)の存在を認識することができないため、無線LANクライアントに登録されたESSIDすべてに対して接続を試みる。 However, on the other hand, advertising the existence of the wireless LAN access point to an unspecified number increases the possibility of various malicious attacks. In order to prevent such a problem, a mechanism called a stealth mode is provided. This is a mechanism in which the ESSID is not placed on the beacon of the wireless LAN access point. Accordingly, since the wireless LAN client cannot recognize the presence of a desired wireless LAN access point (when using the stealth mode), the wireless LAN client tries to connect to all ESSIDs registered in the wireless LAN client.
しかしながら、上記のステルスモードでは、無線LANクライアントは、Probe requestメッセージに所望のESSIDを載せて送ることで、そのESSIDを持つ付近の無線LANアクセスポイントを検索する。もしProbe requestに記述されたESSIDを持つ無線LANアクセスポイントがいれば、その無線LANアクセスポイントは、Probe requestメッセージを応答し、その無線LANクライアントに存在を通知する(その他接続に必要な情報を通知する)。その後無線LANクライアントは無線LANアクセスポイントへの接続手続きに入る。 However, in the above stealth mode, the wireless LAN client searches for a nearby wireless LAN access point having the ESSID by sending a desired ESSID in a Probe request message. If there is a wireless LAN access point having the ESSID described in the probe request, the wireless LAN access point responds with a probe request message and notifies the wireless LAN client of its existence (notifies other information necessary for connection). To do). Thereafter, the wireless LAN client enters a procedure for connecting to the wireless LAN access point.
ここで問題となるのは、無線LANクライアントはProbe requestメッセージにESSIDを平文で格納しているという点である。従って、第三者が無線フレームをモニタしているときにこのProbe requestが送信されれば、結局ESSIDの存在は第三者に容易に知られてしまう。さらに、無線LANクライアントは、自分に登録されているすべてのESSIDについて、それぞれProbe requestメッセージを送出してしまうため、必要以上の情報を第三者にさらしてしまう結果となる。 The problem here is that the wireless LAN client stores the ESSID in plaintext in the Probe request message. Therefore, if this probe request is transmitted while a third party is monitoring a radio frame, the presence of the ESSID is easily known to the third party. Furthermore, since the wireless LAN client sends out a probe request message for each of the ESSIDs registered in itself, it results in exposing more information than necessary to a third party.
したがって、本発明は、ESSIDが第三者に知られてしまうことをほぼ完全に防ぐ仕組み(完全ステルスモード)を有する無線LAN装置および接続方法を提供することを目的とする。 Therefore, an object of the present invention is to provide a wireless LAN device and a connection method having a mechanism (complete stealth mode) that almost completely prevents an ESSID from being known to a third party.
上記目的を実現するため本発明による無線LAN装置は、相手無線LAN装置のESSIDとタイムスタンプから生成されたハッシュ情報を含むフレームを相手無線LAN装置から受信し、該フレームからハッシュ情報とタイムスタンプを抽出するタイムスタンプ・ハッシュ情報抽出手段と、抽出したタイムスタンプと自無線LAN装置内のESSIDからハッシュ情報を作成するハッシュ情報作成手段と、作成したハッシュ情報と抽出したハッシュ情報を比較することにより、相手無線LAN装置のESSIDの確認を行うハッシュ情報比較手段とを備える。 To achieve the above object, the wireless LAN device according to the present invention receives a frame including hash information generated from the ESSID and time stamp of the partner wireless LAN device from the partner wireless LAN device, and receives the hash information and time stamp from the frame. By comparing the extracted hash information with the extracted time stamp / hash information extracting means, the hash information generating means for generating hash information from the extracted time stamp and the ESSID in the own wireless LAN device, Hash information comparing means for confirming the ESSID of the counterpart wireless LAN device.
上記目的を実現するため本発明による無線LAN装置は、アクセスポイント内のESSIDとタイムスタンプからハッシュ情報を作成するハッシュ情報作成手段と、該ハッシュ情報とタイムスタンプからSSIDを作成し、該SSIDを含むフレームを送信するSSID作成手段とを備えるアクセスポイントと、受信したフレームのSSIDからハッシュ情報とタイムスタンプを抽出するタイムスタンプ・ハッシュ情報抽出手段と、抽出したタイムスタンプと無線LANクライアント内のESSIDからハッシュ情報を作成するハッシュ情報作成手段と、作成したハッシュ情報と抽出したハッシュ情報とを比較することにより、アクセスポイントのESSIDの確認を行うハッシュ情報比較手段とを備える無線LANクライアントとを備える。 In order to achieve the above object, a wireless LAN device according to the present invention includes hash information creation means for creating hash information from an ESSID and a time stamp in an access point, creates an SSID from the hash information and the time stamp, and includes the SSID An access point comprising an SSID creation means for transmitting a frame, a time stamp / hash information extraction means for extracting hash information and a time stamp from the SSID of the received frame, and a hash from the extracted time stamp and the ESSID in the wireless LAN client A wireless LAN client comprising hash information creating means for creating information and hash information comparing means for confirming the ESSID of the access point by comparing the created hash information with the extracted hash information
上記目的を実現するため本発明による無線LAN装置は、無線LANクライアント内のESSIDとタイムスタンプからハッシュ情報を作成するハッシュ情報作成手段と、該ハッシュ情報とタイムスタンプからSSIDを作成し、該SSIDを含むフレームを送信するSSID作成手段と、受信したフレームのSSIDからハッシュ情報とタイムスタンプを抽出するタイムスタンプ・ハッシュ情報抽出手段と、抽出したタイムスタンプと無線LANクライアント内のESSIDからハッシュ情報を作成するハッシュ情報作成手段と、作成したハッシュ情報と抽出したハッシュ情報とを比較することにより、アクセスポイントのESSIDの確認を行うハッシュ情報比較手段とを備える無線LANクライアントと、受信したフレームのSSIDからハッシュ情報とタイムスタンプを抽出するタイムスタンプ・ハッシュ情報抽出手段と、抽出したタイムスタンプとアクセスポイント内のESSIDからハッシュ情報を作成するハッシュ情報作成手段と、作成したハッシュ情報と抽出したハッシュ情報とを比較することにより、無線LANクライアントのESSIDの確認を行うハッシュ情報比較手段とを備えるアクセスポイントとを備える。 To achieve the above object, a wireless LAN device according to the present invention creates hash information creation means for creating hash information from an ESSID and a time stamp in a wireless LAN client, creates an SSID from the hash information and the time stamp, and stores the SSID. SSID creation means for transmitting the included frame, time stamp / hash information extraction means for extracting hash information and time stamp from the SSID of the received frame, and creation of hash information from the extracted time stamp and ESSID in the wireless LAN client A wireless LAN client comprising hash information creating means, hash information comparing means for confirming the ESSID of the access point by comparing the created hash information and the extracted hash information, and the SSID of the received frame Time stamp / hash information extracting means for extracting hash information and time stamp, hash information creating means for creating hash information from the extracted time stamp and ESSID in the access point, the created hash information, and the extracted hash information And an access point comprising hash information comparison means for confirming the ESSID of the wireless LAN client.
また、前記無線LAN装置は、共通の暗号鍵を備え、前記ハッシュ情報作成手段は、前記ESSID、前記タイムスタンプおよび前記暗号鍵からハッシュ情報を作成することも好ましい。 The wireless LAN device preferably includes a common encryption key, and the hash information creation means creates hash information from the ESSID, the time stamp, and the encryption key.
また、前記ハッシュ情報作成手段は、前記タイムスタンプの代わりに、乱数または疑似乱数を用いて、ハッシュ情報を作成し、前記タイムスタンプ・ハッシュ情報抽出手段は、ハッシュ情報と乱数または疑似乱数を抽出することも好ましい。 The hash information creating means creates hash information using a random number or a pseudo random number instead of the time stamp, and the time stamp / hash information extracting means extracts the hash information and the random number or pseudo random number. It is also preferable.
上記目的を実現するため本発明による無線LAN接続方法は、相手無線LAN装置のESSIDとタイムスタンプから生成されたハッシュ情報を含むフレームを相手無線LAN装置から受信し、該フレームからハッシュ情報とタイムスタンプを抽出するステップと、
抽出したタイムスタンプと自無線LAN装置内のESSIDからハッシュ情報を作成するステップと、
作成したハッシュ情報と抽出したハッシュ情報を比較することにより、相手無線LAN装置のESSIDの確認を行うステップと、
を含む。
In order to achieve the above object, a wireless LAN connection method according to the present invention receives a frame including hash information generated from an ESSID of a counterpart wireless LAN device and a time stamp from the counterpart wireless LAN device, and uses the hash information and time stamp from the frame. Extracting the
Creating hash information from the extracted time stamp and the ESSID in the own wireless LAN device;
Checking the ESSID of the partner wireless LAN device by comparing the created hash information with the extracted hash information;
including.
本発明の無線LAN装置および方法を使用することにより、ESSIDの具体的な文字列を知らないクライアントには、無線LANでやり取りされるあらゆる情報を見てもそれを知られることがない。 By using the wireless LAN apparatus and method of the present invention, a client who does not know the specific character string of the ESSID is not aware of any information exchanged by the wireless LAN.
本発明を実施するための最良の実施形態について、以下では図面を用いて詳細に説明する。図1は、本発明の無線LANの概要を示す。通常の無線LANの仕組みと同様に、無線LANアクセスポイント1(以下、AP)と無線LANクライアント2(以下、クライアント)から構成される。AP1はその背後にネットワークが存在している。 The best mode for carrying out the present invention will be described in detail below with reference to the drawings. FIG. 1 shows an outline of a wireless LAN according to the present invention. Like a normal wireless LAN mechanism, the wireless LAN access point 1 (hereinafter referred to as AP) and a wireless LAN client 2 (hereinafter referred to as client) are included. AP1 has a network behind it.
AP1は、本発明の完全ステルスモード、従来方法のステルスモード、および従来方法のステルスなしを選択できるものとする。以下では、本発明による完全ステルスモードを用いる場合のみについて説明する。 AP1 can select the full stealth mode of the present invention, the stealth mode of the conventional method, and no stealth of the conventional method. Only the case of using the complete stealth mode according to the present invention will be described below.
図2は、本発明の第1の実施形態のAPとクライアントのブロック図を示す。図2aはAP1のブロック図を示し、図2bはクライアント2のブロック図を示す。本実施形態の完全ステルスモードは、パッシブスキャン方式で動作する。パッシブスキャン方式とは、APから広告されたビーコンを受信することで、接続先APを認識し、接続手順を開始する方法である。
FIG. 2 is a block diagram of the AP and the client according to the first embodiment of this invention. FIG. 2 a shows a block diagram of
AP1は、ESSIDリスト11、タイムスタンプ作成部12、ハッシュ情報作成部13、SSID作成部14を備えている。クライアント2は、ESSIDリスト21、ハッシュ情報作成部22、ハッシュ情報比較部23、タイムスタンプ・ハッシュ情報抽出部24を備えている。
The AP 1 includes an
ESSIDリスト11は、AP1が有するESSIDリストであり、タイムスタンプ作成部12は現在時刻からタイムスタンプを生成する。ハッシュ情報作成部13はESSIDとタイムスタンプからハッシュ情報を作成し、SSID作成部14はハッシュ情報からSSIDを作成する。
The
また、ESSIDリスト21は、クライアント2が有するESSIDリストである。タイムスタンプ・ハッシュ情報抽出部24は受信したビーコンフレームからタイムスタンプとハッシュ情報を抽出する。ハッシュ情報作成部22は、ESSIDと抽出されたタイムスタンプからハッシュ情報を作成する。ハッシュ情報比較部23は抽出されたハッシュ情報と作成されたハッシュ情報を比較する。
The
図3は、本発明の第1の実施形態のシーケンスを示す。
(1)APはビーコンフレームを送信する。このビーコンフレームは、従来のステルスモードと異なり、完全ステルスモードではビーコンフレームの中のSSIDフィールドに次のような情報を格納する(SSIDは事実上ESSIDと同じものであるがIEEE802.11ではSSIDフィールドとして定義されている。)。
・タイムスタンプ(ビット長はあらかじめ決まっているものとする)
・ハッシュ情報
FIG. 3 shows a sequence of the first embodiment of the present invention.
(1) The AP transmits a beacon frame. Unlike the conventional stealth mode, this beacon frame stores the following information in the SSID field in the beacon frame in the full stealth mode (the SSID is practically the same as the ESSID, but in IEEE 802.11, the SSID field) Defined as :).
-Time stamp (assuming the bit length is predetermined)
・ Hash information
ここで、タイムスタンプとはAPが持つ時計が示す現在時刻である。ハッシュ情報は、MD5やSHA−1のようなハッシュ関数(これを関数hとする)を用いて次のように算出されたビット列である。
ハッシュ情報=h(ESSID+タイムスタンプ)
Here, the time stamp is the current time indicated by the clock of the AP. The hash information is a bit string calculated as follows using a hash function such as MD5 or SHA-1 (this function is called h).
Hash information = h (ESSID + time stamp)
なお、関数hの中の”+”記号は、ビット列を結合することを表している。つまりESSID(通常文字列)のビット列と現在時刻を表すビット列を結合した値に対するハッシュ値をSSIDとして広告する。なお、関数hによって得られたハッシュ値(例えばSHA−1なら160ビットになる)を適当な長さに切り取って(先頭からnビットなど)、それをハッシュ情報としても良い。
(2)クライアントはビーコンフレームを受信する。
クライアントはビーコンを受け取ると、SSIDフィールドからタイムスタンプとハッシュ情報を抜き出す。
(3)クライアントはESSIDを検出する。
クライアントが持つESSIDリストから1つずつESSIDの文字列を取り出し、受信したタイムスタンプと該ESSIDから
x=h(ESSID+タイムスタンプ)
でビット列xを計算する。もし、xがビーコンのSSIDフィールド内のハッシュ情報と同じ値になれば、そのビーコンはそのESSIDのAPから送られたものであるとわかる。
(4)クライアントはAPに接続手順を開始する。
上記の一致したESSIDを用いて、クライアントは接続手順を開始する。接続手順は従来方式と同様で、Authentication requestの交換、Association Request/Responseの交換などにより行う。
Note that the “+” symbol in the function h indicates that bit strings are combined. That is, a hash value for a value obtained by combining a bit string of ESSID (normal character string) and a bit string representing the current time is advertised as an SSID. Note that the hash value obtained by the function h (for example, 160 bits in the case of SHA-1) may be cut out to an appropriate length (eg, n bits from the head) and used as hash information.
(2) The client receives a beacon frame.
When the client receives the beacon, it extracts the time stamp and hash information from the SSID field.
(3) The client detects the ESSID.
Take out the ESSID character string one by one from the ESSID list held by the client, and x = h (ESSID + time stamp) from the received time stamp and the ESSID
To calculate the bit string x. If x has the same value as the hash information in the SSID field of the beacon, the beacon is known to have been sent from the AP of that ESSID.
(4) The client starts a connection procedure with the AP.
Using the matched ESSID, the client initiates the connection procedure. The connection procedure is the same as the conventional method, and is performed by exchanging Authentication requests, exchanging Association Requests / Responses, etc.
図4は、本発明の第2の実施形態のAPとクライアントのブロック図を示す。図4aはAP1のブロック図を示し、図4bはクライアント2のブロック図を示す。本実施形態の完全ステルスモードは、アクティブスキャン方式で動作する。アクティブスキャン方式とは、クライアントから能動的にAPを検索(スキャン)し、APからその存在を通知してもらい、そこから接続手順を開始する方法である。
FIG. 4 shows a block diagram of an AP and a client according to the second embodiment of this invention. FIG. 4 a shows a block diagram of
AP1は、ESSIDリスト11、ハッシュ情報作成部13、タイムスタンプ・ハッシュ情報抽出部15、ハッシュ情報比較部16を備えている。クライアント2は、ESSIDリスト21、ハッシュ情報作成部22、ハッシュ情報比較部23、タイムスタンプ・ハッシュ情報抽出部24、タイムスタンプ作成部25、ハッシュ情報作成部26、SSID作成部27を備えている。なお、AP1が、ハッシュ情報を計算する場合には、実施形態1の場合と同様にタイムスタンプ作成部12、SSID作成部14をさらに含むことができる(ここでは図示していない)。
The
ESSIDリスト11は、AP1が有するESSIDリストである。タイムスタンプ・ハッシュ情報抽出部15は受信したProbe requestからタイムスタンプとハッシュ情報を抽出する。ハッシュ情報作成部13は、ESSIDと抽出されたタイムスタンプからハッシュ情報を作成する。ハッシュ情報比較部16は抽出されたハッシュ情報と作成されたハッシュ情報を比較する。
The
また、ESSIDリスト21は、クライアント2が有するESSIDリストである。タイムスタンプ・ハッシュ情報抽出部24は受信したProbe responseからタイムスタンプとハッシュ情報を抽出する。ハッシュ情報作成部22は、ESSIDと抽出されたタイムスタンプからハッシュ情報を作成する。ハッシュ情報比較部23は抽出されたハッシュ情報と作成されたハッシュ情報を比較する。タイムスタンプ作成部25は現在時刻からタイムスタンプを生成する。ハッシュ情報作成部26はESSIDとタイムスタンプからハッシュ情報を作成し、SSID作成部27はハッシュ情報からSSIDを作成する。
The
図5は、本発明の第2の実施形態のシーケンスを示す。
(1)クライアントはProbe requestメッセージをブロードキャストする。
このProbe requestメッセージのSSIDフィールドには、上記のビーコンフレームと同様にタイムスタンプとハッシュ情報を格納する。ハッシュ情報の算出の仕方はビーコンフレームの場合と同様である。その際タイムスタンプは、クライアント自身が持つ時計から得られた時刻である。なお、クライアントはESSIDのリストを持っているので、リスト内のESSIDそれぞれに対してProbe requestを送る(従来手法と同じ)。
(2)APは、Probe requestを受信する。
Probe requestを受け取ったAPは、その中のSSIDフィールドからタイムスタンプとハッシュ情報を抜き出す。
(3)APはESSIDを検出する
APは、受信したタイムスタンプとAP自身にセットされたESSIDから、
x=h(ESSID+タイムスタンプ)
でビット列xを計算し、Probe requestに入っていたハッシュ情報と同一であるかをチェックする。同一でない場合はそのメッセージは破棄する。
(4)APはProbe responseを送信元クライアントに返答する。
ハッシュ情報が同一の場合、APはProbe responseを送信元クライアントに返答する。Probe responseのSSIDフィールドには、requestの時と同じ内容を格納してもよいし、新たにAP自身の現在時刻を用いてハッシュ情報を再計算しても良い。その場合タイムスタンプも現在時刻に書き換える。
(5)クライアントはProbe responseを受信する。
Probe responseを受信したクライアントは、SSIDフィールドからタイムスタンプとハッシュ情報を抜き出す。
(6)クライアントはESSIDを検出する。
パッシブスキャン方式と同様に、SSIDフィールドのチェック(上述と同じハッシュ値の同一性確認)を行い、クライアントのリストに登録されているESSIDを検出する。
(7)クライアントはAPに接続手順を開始する。
パッシブスキャン方式と同様に、接続手順を開始する。
FIG. 5 shows a sequence of the second embodiment of the present invention.
(1) The client broadcasts a Probe request message.
A time stamp and hash information are stored in the SSID field of this Probe request message, as in the above-described beacon frame. The method of calculating the hash information is the same as in the case of the beacon frame. In this case, the time stamp is a time obtained from a clock held by the client itself. Since the client has a list of ESSIDs, a probe request is sent to each ESSID in the list (same as the conventional method).
(2) The AP receives a probe request.
The AP that has received the probe request extracts the time stamp and hash information from the SSID field therein.
(3) The AP detects the ESSID. The AP uses the received time stamp and the ESSID set in the AP itself.
x = h (ESSID + time stamp)
To calculate the bit string x and check whether it is the same as the hash information contained in the probe request. If they are not identical, the message is discarded.
(4) The AP returns a probe response to the transmission source client.
When the hash information is the same, the AP returns a Probe response to the transmission source client. In the SSID field of Probe response, the same content as that at the time of request may be stored, or hash information may be newly recalculated using the current time of the AP itself. In that case, the time stamp is also rewritten to the current time.
(5) The client receives a probe response.
The client that has received the probe response extracts the time stamp and hash information from the SSID field.
(6) The client detects the ESSID.
Similar to the passive scan method, the SSID field is checked (identity confirmation of the same hash value as described above), and the ESSID registered in the client list is detected.
(7) The client starts a connection procedure with the AP.
Similar to the passive scan method, the connection procedure is started.
次に、フレームフォーマットの詳細を示す。IEEE802.11ではSSIDフィールドをはじめ無線LANを利用するために必要な様々な情報が格納される各フィールドは図6のように定義されている。Element IDはフィールドがどの情報を格納しているかを示す1バイト長の情報であり、その種別は図7の通りである。Lengthは、実際の情報(Information)の長さ(バイト単位)を表す。 Next, details of the frame format are shown. In IEEE 802.11, each field storing various information necessary for using the wireless LAN including the SSID field is defined as shown in FIG. Element ID is 1-byte information indicating which information is stored in the field, and its type is as shown in FIG. Length represents the actual length of information (in bytes).
本発明では、Element IDに51以降の予約番号を使い、完全ステルスモードであることを示すようにする。仮にここでは100を使うものとする。完全ステルスモードを用いる場合のSSIDのフィールドフォーマットは図8のようになる。Lengthは、タイムスタンプとハッシュ情報をあわせたバイト長を表す。なお、先にも述べたとおり、タイムスタンプの長さ(通常8バイトが使われることが多い)およびハッシュ情報の長さ(ハッシュ関数から得られたビット列の先頭nビット)は、事前にすべてのAP、クライアントの共通知識として決まっているものとする。 In the present invention, a reservation number after 51 is used for the Element ID to indicate the complete stealth mode. Here, it is assumed that 100 is used. The field format of the SSID when using the full stealth mode is as shown in FIG. Length represents the byte length combining the time stamp and hash information. As mentioned above, the length of the time stamp (usually 8 bytes are often used) and the length of the hash information (the first n bits of the bit string obtained from the hash function) It is assumed that it is decided as common knowledge of AP and client.
次に本発明の第1の実施形態および第2の実施形態の拡張を示す。これまでの説明では、ESSIDとタイムスタンプを用いてハッシュ関数の計算を行い、ハッシュ情報を構成した。セキュリティをより向上する方法として、ハッシュ関数の計算を次のように行う方法もある。この場合、APおよびクライアントは共通の暗号鍵を備えている。
ハッシュ情報=h(ESSID+h(暗号鍵+タイムスタンプ)+タイムスタンプ)
Next, an extension of the first embodiment and the second embodiment of the present invention will be described. In the description so far, the hash function is calculated using the ESSID and the time stamp, and the hash information is configured. As a method for further improving the security, there is a method of calculating a hash function as follows. In this case, the AP and the client have a common encryption key.
Hash information = h (ESSID + h (encryption key + time stamp) + time stamp)
これは、ハッシュを計算する時に、さらにもう一つの情報を付け加えて計算することを表しており、付け加える情報は暗号鍵(WEPキーやAESキーなど)とタイムスタンプを結合したものについてのハッシュ値である。このようにすることによって、万一偶然にもESSIDが第三者にばれてしまった場合でも、さらに暗号鍵まで知られない限りは、APの存在を隠すことが可能になる。なお、上の式の二つのタイムスタンプはともにSSIDフィールドに格納されるおなじタイムスタンプのビット列である。また、h(暗号鍵+タイムスタンプ)によって計算されたハッシュ値に関しては、SSIDフィールドに載せるハッシュ情報のようにnバイトに切り取らなくても良い。また、切り取っても良いが、この場合は全員が同じ処理をしなければならない。 This means that when calculating a hash, it is calculated by adding another information, and the added information is a hash value for a combination of an encryption key (such as a WEP key or an AES key) and a time stamp. is there. By doing so, even if the ESSID is accidentally distributed to a third party, the existence of the AP can be hidden unless the encryption key is further known. The two time stamps in the above formula are both the same time stamp bit string stored in the SSID field. Further, the hash value calculated by h (encryption key + time stamp) does not have to be cut into n bytes like the hash information placed in the SSID field. In addition, in this case, everyone must perform the same processing.
APおよびクライアントで行うSSIDフィールドのチェックには、ESSIDに加えてそれに対応する暗号鍵を用いてチェックを行う。 The SSID field check performed by the AP and the client is performed using an encryption key corresponding to the ESSID in addition to the ESSID.
なお、以上の実施形態ではハッシュ情報の算出にタイムスタンプを用いているが、乱数または疑似乱数を用いて、ハッシュ情報を
ハッシュ情報=h(ESSID+(疑似)乱数)
ハッシュ情報=h(ESSID+h(暗号鍵+(疑似)乱数)+(疑似)乱数)
で計算することもできる。この場合、APまたはクライアントは、タイムスタンプ作成部の代わりに乱数生成器または疑似乱数生成器を備える。また、この形態の場合、タイムスタンプ・ハッシュ情報抽出部は、ハッシュ情報と乱数または疑似乱数を抽出する。
In the above embodiment, the time stamp is used to calculate the hash information, but the hash information is expressed as hash information = h (ESSID + (pseudo) random number) using a random number or a pseudo-random number.
Hash information = h (ESSID + h (encryption key + (pseudo) random number) + (pseudo) random number)
It can also be calculated with In this case, the AP or client includes a random number generator or a pseudo-random number generator instead of the time stamp generating unit. In the case of this form, the time stamp / hash information extraction unit extracts hash information and a random number or a pseudo-random number.
また、以上述べた実施形態は全て本発明を例示的に示すものであって限定的に示すものではなく、本発明は他の種々の変形態様および変更態様で実施することができる。従って本発明の範囲は特許請求の範囲およびその均等範囲によってのみ規定されるものである。 Moreover, all the embodiments described above are illustrative of the present invention and are not intended to limit the present invention, and the present invention can be implemented in other various modifications and changes. Therefore, the scope of the present invention is defined only by the claims and their equivalents.
1 無線LANアクセスポイント(AP)
11 ESSIDリスト
12 タイムスタンプ作成部
13 ハッシュ情報作成部
14 SSID作成部
15 タイムスタンプ・ハッシュ情報抽出部
16 ハッシュ情報比較部
2 無線LANクライアント(クライアント)
21 ESSIDリスト
22 ハッシュ情報作成部
23 ハッシュ情報比較部
24 タイムスタンプ・ハッシュ情報抽出部
25 タイムスタンプ作成部
26 ハッシュ情報作成部
27 SSID作成部
1 Wireless LAN access point (AP)
11
21
Claims (6)
抽出したタイムスタンプと自無線LAN装置内のESSIDからハッシュ情報を作成するハッシュ情報作成手段と、
作成したハッシュ情報と抽出したハッシュ情報を比較することにより、相手無線LAN装置のESSIDの確認を行うハッシュ情報比較手段と、
を備えることを特徴とする無線LAN装置。 Time stamp / hash information extraction means for receiving a frame including hash information generated from the ESSID and time stamp of the partner wireless LAN device from the partner wireless LAN device, and extracting the hash information and time stamp from the frame;
Hash information creating means for creating hash information from the extracted time stamp and the ESSID in the own wireless LAN device;
Hash information comparison means for confirming the ESSID of the counterpart wireless LAN device by comparing the created hash information and the extracted hash information;
A wireless LAN device comprising:
該ハッシュ情報とタイムスタンプからSSIDを作成し、該SSIDを含むフレームを送信するSSID作成手段と、
を備えるアクセスポイントと、
受信したフレームのSSIDからハッシュ情報とタイムスタンプを抽出するタイムスタンプ・ハッシュ情報抽出手段と、
抽出したタイムスタンプと無線LANクライアント内のESSIDからハッシュ情報を作成するハッシュ情報作成手段と、
作成したハッシュ情報と抽出したハッシュ情報とを比較することにより、アクセスポイントのESSIDの確認を行うハッシュ情報比較手段と、
を備える無線LANクライアントと、
を備えることを特徴とする無線LAN装置。 Hash information creating means for creating hash information from the ESSID and time stamp in the access point;
SSID creation means for creating an SSID from the hash information and a time stamp and transmitting a frame including the SSID;
An access point comprising:
Time stamp / hash information extracting means for extracting hash information and time stamp from the SSID of the received frame;
Hash information creating means for creating hash information from the extracted time stamp and the ESSID in the wireless LAN client;
Hash information comparison means for confirming the ESSID of the access point by comparing the created hash information and the extracted hash information;
A wireless LAN client comprising:
A wireless LAN device comprising:
該ハッシュ情報とタイムスタンプからSSIDを作成し、該SSIDを含むフレームを送信するSSID作成手段と、
受信したフレームのSSIDからハッシュ情報とタイムスタンプを抽出するタイムスタンプ・ハッシュ情報抽出手段と、
抽出したタイムスタンプと無線LANクライアント内のESSIDからハッシュ情報を作成するハッシュ情報作成手段と、
作成したハッシュ情報と抽出したハッシュ情報とを比較することにより、アクセスポイントのESSIDの確認を行うハッシュ情報比較手段と、
を備える無線LANクライアントと、
受信したフレームのSSIDからハッシュ情報とタイムスタンプを抽出するタイムスタンプ・ハッシュ情報抽出手段と、
抽出したタイムスタンプとアクセスポイント内のESSIDからハッシュ情報を作成するハッシュ情報作成手段と、
作成したハッシュ情報と抽出したハッシュ情報とを比較することにより、無線LANクライアントのESSIDの確認を行うハッシュ情報比較手段と、
を備えるアクセスポイントと、
を備えることを特徴とする無線LAN装置。 Hash information creating means for creating hash information from the ESSID and time stamp in the wireless LAN client;
SSID creation means for creating an SSID from the hash information and a time stamp and transmitting a frame including the SSID;
Time stamp / hash information extracting means for extracting hash information and time stamp from the SSID of the received frame;
Hash information creating means for creating hash information from the extracted time stamp and the ESSID in the wireless LAN client;
Hash information comparison means for confirming the ESSID of the access point by comparing the created hash information and the extracted hash information;
A wireless LAN client comprising:
Time stamp / hash information extracting means for extracting hash information and time stamp from the SSID of the received frame;
Hash information creating means for creating hash information from the extracted time stamp and the ESSID in the access point;
Hash information comparison means for confirming the ESSID of the wireless LAN client by comparing the created hash information and the extracted hash information;
An access point comprising:
A wireless LAN device comprising:
前記タイムスタンプ・ハッシュ情報抽出手段は、ハッシュ情報と乱数または疑似乱数を抽出することを特徴とする請求項1から4のいずれか1項に記載の無線LAN装置。 The hash information creating means creates hash information using a random number or a pseudo-random number instead of the time stamp,
5. The wireless LAN device according to claim 1, wherein the time stamp / hash information extraction unit extracts hash information and a random number or a pseudo-random number. 6.
抽出したタイムスタンプと自無線LAN装置内のESSIDからハッシュ情報を作成するステップと、
作成したハッシュ情報と抽出したハッシュ情報を比較することにより、相手無線LAN装置のESSIDの確認を行うステップと、
を含むことを特徴とする無線LAN接続方法。 Receiving a frame including hash information generated from the ESSID of the partner wireless LAN device and the time stamp from the partner wireless LAN device, and extracting the hash information and the time stamp from the frame;
Creating hash information from the extracted time stamp and the ESSID in the own wireless LAN device;
Checking the ESSID of the partner wireless LAN device by comparing the created hash information with the extracted hash information;
A wireless LAN connection method comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010242143A JP5546418B2 (en) | 2010-10-28 | 2010-10-28 | Full stealth mode wireless LAN apparatus and connection method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010242143A JP5546418B2 (en) | 2010-10-28 | 2010-10-28 | Full stealth mode wireless LAN apparatus and connection method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012095191A JP2012095191A (en) | 2012-05-17 |
| JP5546418B2 true JP5546418B2 (en) | 2014-07-09 |
Family
ID=46388036
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010242143A Expired - Fee Related JP5546418B2 (en) | 2010-10-28 | 2010-10-28 | Full stealth mode wireless LAN apparatus and connection method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5546418B2 (en) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130136380A (en) | 2012-06-04 | 2013-12-12 | 주식회사 케이티 | Method for scanning access point |
| WO2013183881A1 (en) * | 2012-06-04 | 2013-12-12 | 주식회사 케이티 | Method of scanning access point |
| KR102000587B1 (en) * | 2013-07-15 | 2019-07-16 | 삼성전자주식회사 | Method and apparatus for discovering central nodes in a wireless communication system |
| WO2015053698A1 (en) * | 2013-10-07 | 2015-04-16 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and arrangements for device discovery |
| US9521537B2 (en) | 2013-10-07 | 2016-12-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and arrangements for device discovery |
| US10178092B2 (en) * | 2013-11-18 | 2019-01-08 | Qualcomm Incorporated | Methods and apparatus for private service identifiers in neighborhood aware networks |
| JP6570355B2 (en) * | 2015-07-21 | 2019-09-04 | キヤノン株式会社 | COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM |
| JP6532333B2 (en) | 2015-07-21 | 2019-06-19 | キヤノン株式会社 | Communication device, communication method and program |
| JP6426581B2 (en) * | 2015-10-16 | 2018-11-21 | 日本電信電話株式会社 | Radio system, base station apparatus, terminal apparatus and identification information notification method |
| US9949301B2 (en) * | 2016-01-20 | 2018-04-17 | Palo Alto Research Center Incorporated | Methods for fast, secure and privacy-friendly internet connection discovery in wireless networks |
| JP2020120235A (en) * | 2019-01-23 | 2020-08-06 | ソニー株式会社 | Information processing apparatus, information processing method and information processing program |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4104524B2 (en) * | 2003-10-06 | 2008-06-18 | サクサ株式会社 | Registration method in wireless LAN system |
| JP4543657B2 (en) * | 2003-10-31 | 2010-09-15 | ソニー株式会社 | Information processing apparatus and method, and program |
| JP4552559B2 (en) * | 2004-08-12 | 2010-09-29 | Kddi株式会社 | Communication device, setting program, and connection method in ad hoc mode of wireless LAN |
| JP4699145B2 (en) * | 2005-09-06 | 2011-06-08 | Kddi株式会社 | Network authentication system, authentication device, wireless terminal, and computer program |
| JP2007184762A (en) * | 2006-01-06 | 2007-07-19 | Canon Inc | COMMUNICATION METHOD AND RADIO COMMUNICATION DEVICE FOR RADIO COMMUNICATION SYSTEM |
| JP4891106B2 (en) * | 2007-02-01 | 2012-03-07 | Necインフロンティア株式会社 | Wireless LAN system and handover method |
| JP4506999B2 (en) * | 2007-07-30 | 2010-07-21 | Necインフロンティア株式会社 | Wireless LAN system |
| JP4836035B2 (en) * | 2007-08-30 | 2011-12-14 | Necインフロンティア株式会社 | DATA COMMUNICATION SYSTEM, DATA COMMUNICATION CONTROL METHOD, AND MODEM DEVICE |
| BRPI0822609A2 (en) * | 2008-04-30 | 2015-06-23 | Nortel Networks Ltd | Support announcement for a plurality of service networks via a wireless access point |
-
2010
- 2010-10-28 JP JP2010242143A patent/JP5546418B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012095191A (en) | 2012-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5546418B2 (en) | Full stealth mode wireless LAN apparatus and connection method | |
| JP6262308B2 (en) | System and method for performing link setup and authentication | |
| CN105379190B (en) | The system and method for being used to indicate service set identifier | |
| US11729617B2 (en) | Communication apparatus, communication method, and storage medium | |
| JP5490898B2 (en) | Method and apparatus for deriving, communicating and / or verifying ownership of an expression | |
| US9843575B2 (en) | Wireless network authentication method and wireless network authentication apparatus | |
| EP1972125B1 (en) | Apparatus and method for protection of management frames | |
| CN103096301B (en) | Method for verifying wireless local area network access point and station for the same | |
| TWI474677B (en) | Advertisement and distribution of notifications in a wireless local area network (wlan) | |
| US8458279B2 (en) | Advertisement and distribution of notifications using extensible authentication protocol (EAP) methods | |
| TWI465139B (en) | Incorporation of a notification in a network name | |
| CN105430640B (en) | A kind of SMS encryption authentication method, terminal and system | |
| CN101512537A (en) | Method and system for secure processing of authentication key material in an Ad Hoc Wireless Network | |
| TW201210371A (en) | Advertisement and distribution of notifications in a wireless local area network (WLAN) | |
| KR20160058491A (en) | Method and apparatus for providing services based on identifier of user device | |
| KR20130066927A (en) | Apparatus and method for identifying wireless network provider in wireless communication system | |
| US11019037B2 (en) | Security improvements in a wireless data exchange protocol | |
| JP6570355B2 (en) | COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM | |
| JP4759373B2 (en) | COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMPUTER PROGRAM | |
| US10985915B2 (en) | Encrypting data in a pre-associated state | |
| EP3213485B1 (en) | PSEUDONYMOUS PROXIMITY LOCATION SYSTEM AND METHOD | |
| JP6426581B2 (en) | Radio system, base station apparatus, terminal apparatus and identification information notification method | |
| IL254758B2 (en) | Method, equipment and computer program product for code encryption | |
| JP2019016841A (en) | Base station device, communication system, and communication method | |
| TWI418177B (en) | Random network security routing method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130408 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20130520 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130521 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130823 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140423 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140507 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140513 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5546418 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |