Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7794446B2 - Wireless LAN access point, communication method and program - Google Patents
[go: Go Back, main page]

JP7794446B2 - Wireless LAN access point, communication method and program - Google Patents

Wireless LAN access point, communication method and program

Info

Publication number
JP7794446B2
JP7794446B2 JP2022136588A JP2022136588A JP7794446B2 JP 7794446 B2 JP7794446 B2 JP 7794446B2 JP 2022136588 A JP2022136588 A JP 2022136588A JP 2022136588 A JP2022136588 A JP 2022136588A JP 7794446 B2 JP7794446 B2 JP 7794446B2
Authority
JP
Japan
Prior art keywords
ssid
wireless lan
authentication
connection
access point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022136588A
Other languages
Japanese (ja)
Other versions
JP2024033160A (en
Inventor
大貴 竹山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC Platforms Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Platforms Ltd filed Critical NEC Platforms Ltd
Priority to JP2022136588A priority Critical patent/JP7794446B2/en
Publication of JP2024033160A publication Critical patent/JP2024033160A/en
Application granted granted Critical
Publication of JP7794446B2 publication Critical patent/JP7794446B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

本開示は無線LANアクセスポイントに関する。 This disclosure relates to wireless LAN access points.

特許文献1には、無線子機の種類に対して予め定めた最適な設定情報に最も近い設定情報を有するSSID(Service Set Identifier)を、無線子機に最適なSSIDであると決定することにより、自動的に無線子機に最適なSSIDを使用させることができる無線アクセスポイント装置が記載されている。 Patent Document 1 describes a wireless access point device that can automatically cause a wireless client to use the optimal SSID (Service Set Identifier) by determining that the SSID with setting information closest to the optimal setting information predetermined for the type of wireless client device is the optimal SSID for the wireless client device.

特開2013-131993号公報JP 2013-131993 A

しかしながら、無線LAN(Local Area Network)アクセスポイントは管理者が無線LANの接続設定やセキュリティ設定をしていたとしても、不正に無線LANアクセスポイントを利用されてしまう問題がある。 However, wireless LAN (Local Area Network) access points have the problem of being used illegally, even if an administrator has configured the wireless LAN connection settings and security settings.

例えば、無線LANアクセスポイント設置時の初期設定のまま運用している場合や、セキュリティの低い暗号化を使用している場合、許可していない第三者に無線LANアクセスポイントのSSIDと暗号化キーを知られてしまい、不正に無線LANアクセスポイントを利用されてしまう。 For example, if a wireless LAN access point is operated with the default settings from the time it was installed, or if low-security encryption is used, an unauthorized third party may learn the wireless LAN access point's SSID and encryption key and use the wireless LAN access point illegally.

また、無線LANアクセスポイントの管理者は許可していない第三者に不正に無線LANアクセスポイントを利用されていても気付かない場合が多く、一度無線LANアクセスポイントに接続されてしまうと不正に利用され続けてしまう可能性がある。 In addition, wireless LAN access point administrators often do not notice when unauthorized third parties are using their wireless LAN access points illegally, and once a third party connects to a wireless LAN access point, there is a risk that it may continue to be used illegally.

本開示の目的は、管理者が許可していない第三者には無線LANアクセスポイントに接続し利用させないために、よりセキュリティの高い接続手段である無線LANアクセスポイント、通信方法及びプログラムを提供することである。 The purpose of this disclosure is to provide a wireless LAN access point, communication method, and program that are more secure connection means to prevent third parties not authorized by the administrator from connecting to and using the wireless LAN access point.

一実施形態の無線LANアクセスポイントは、無線LAN子機の帰属を管理する帰属管理部と、前記無線LAN子機の接続を制御する子機接続制御部と、認証用SSIDを管理する認証用SSID部と、主接続通信用SSIDを管理する主接続通信用SSID部と、を備え、前記子機接続制御部は、前記無線LAN子機からのリクエストに認証用SSIDが含まれている場合、認証を実行し、認証を実行した後に主接続用SSIDで通信を行うように制御し、前記子機接続制御部は、前記無線LAN子機が主接続用SSIDで通信している間、前記認証用SSIDを用いた前記無線LAN子機からのリクエストを拒否する制御を行うようにした。 In one embodiment, the wireless LAN access point includes an attribution management unit that manages attribution of wireless LAN client devices, a client connection control unit that controls the connection of the wireless LAN client devices, an authentication SSID unit that manages an authentication SSID, and a main connection communication SSID unit that manages an SSID for main connection communication. When a request from the wireless LAN client device includes the authentication SSID, the client connection control unit performs authentication and controls communication to be performed using the main connection SSID after authentication is performed. The client connection control unit controls to reject requests from the wireless LAN client device using the authentication SSID while the wireless LAN client device is communicating using the main connection SSID.

一実施形態の通信方法は、無線LAN子機からのリクエストに認証用SSIDが含まれている場合、認証を実行し、認証を実行した後に主接続用SSIDで通信を行うように制御し、前記無線LAN子機が主接続用SSIDで通信している間、前記認証用SSIDを用いた前記無線LAN子機からのリクエストを拒否する制御を行うようにした。 In one embodiment, the communication method performs authentication when a request from a wireless LAN client device includes an authentication SSID, and after the authentication is performed, controls the device to communicate using the primary connection SSID, and while the wireless LAN client device is communicating using the primary connection SSID, controls the device to reject requests from the wireless LAN client device using the authentication SSID.

一実施形態のプログラムは、無線LAN子機からのリクエストに認証用SSIDが含まれている場合、認証を実行し、認証を実行した後に主接続用SSIDで通信を行うように制御するステップと、前記無線LAN子機が主接続用SSIDで通信している間、前記認証用SSIDを用いた前記無線LAN子機からのリクエストを拒否するステップとをコンピュータに実行させるようにした。 In one embodiment, the program causes a computer to perform the following steps: when a request from a wireless LAN client device includes an authentication SSID, perform authentication, and after performing authentication, control communication so that communication is performed using the primary connection SSID; and, while the wireless LAN client device is communicating using the primary connection SSID, reject requests from the wireless LAN client device that use the authentication SSID.

本開示の無線LANアクセスポイント、通信方法及びプログラムによれば、管理者が許可していない第三者には無線LANアクセスポイントに接続し利用させないために、よりセキュリティを高くできる。 The wireless LAN access point, communication method, and program disclosed herein can further enhance security by preventing third parties not authorized by the administrator from connecting to and using the wireless LAN access point.

実施の形態1にかかる無線LANアクセスポイントの構成を示すブロック図である。1 is a block diagram showing a configuration of a wireless LAN access point according to a first embodiment; 実施の形態1にかかる無線LANアクセスポイントの動作の一例を示すシーケンス図である。FIG. 2 is a sequence diagram illustrating an example of an operation of the wireless LAN access point according to the first embodiment. 実施の形態1にかかる無線LANアクセスポイントの動作の一例を示すフローチャートである。4 is a flowchart illustrating an example of an operation of the wireless LAN access point according to the first embodiment; 実施の形態1にかかる無線LANアクセスポイントの動作の一例を示すフローチャートである。4 is a flowchart illustrating an example of an operation of the wireless LAN access point according to the first embodiment;

実施の形態1
以下、図面を参照して本実施の形態について説明する。図1は、実施の形態1にかかる無線LANアクセスポイントの構成を示すブロック図である。図1において、無線LANアクセスポイント101は、帰属管理部102と、子機接続制御部103と、認証用SSID部104と、主接続通信用SSID部105と、ルーター部106を備える。
First Embodiment
The present embodiment will be described below with reference to the drawings. Fig. 1 is a block diagram showing the configuration of a wireless LAN access point according to the first embodiment. In Fig. 1, a wireless LAN access point 101 includes an association management unit 102, a client connection control unit 103, an authentication SSID unit 104, a main connection communication SSID unit 105, and a router unit 106.

帰属管理部102は、認証用SSID104の無線LAN子機107の帰属状態の監視を行う。また、帰属管理部102は、主接続通信用SSID105の無線LAN子機107の帰属状態の監視を行う。さらに、帰属管理部102は、子機接続制御部103に対して無線LAN子機107の帰属状態の通知を行う。 The association management unit 102 monitors the association status of the wireless LAN terminal 107 of the authentication SSID 104. The association management unit 102 also monitors the association status of the wireless LAN terminal 107 of the main connection communication SSID 105. Furthermore, the association management unit 102 notifies the terminal connection control unit 103 of the association status of the wireless LAN terminal 107.

子機接続制御部103は、帰属管理部102から認証用SSID部104に無線LAN子機107が帰属したという通知を受け取った場合、接続拒否リスト141と接続許可リスト151に無線LAN子機107のMACアドレス(Media Access Control address)を登録する。これにより、無線LAN子機107は、認証用SSID部104に接続できなくなり、主接続通信用SSID部105に接続できる状態となる。 When the client connection control unit 103 receives notification from the belonging management unit 102 that the wireless LAN client 107 has belonged to the authentication SSID unit 104, it registers the MAC address (Media Access Control address) of the wireless LAN client 107 in the connection refusal list 141 and the connection permission list 151. As a result, the wireless LAN client 107 can no longer connect to the authentication SSID unit 104, but can connect to the main connection communication SSID unit 105.

また、子機接続制御部103は、帰属管理部102から主接続通信用SSID105から無線LAN子機107の帰属が外れたという通知を受け取った場合、接続拒否リスト141と接続許可リスト151から無線LAN子機107のMACアドレスを削除する。 In addition, when the client connection control unit 103 receives a notification from the association management unit 102 that the wireless LAN client device 107 has been removed from the main connection communication SSID 105, it deletes the MAC address of the wireless LAN client device 107 from the connection refusal list 141 and the connection permission list 151.

認証用SSID部104は、認証用SSIDを管理する。認証用SSIDは、接続拒否リスト141に登録されていない無線LAN子機107が接続できる、ステルス化とANY接続拒否を有効化したSSIDである。SSIDのステルス化とは、自身のSSIDを周囲に知らせるためのビーコン信号の発信を停止する機能である。SSIDのステルス化を有効にすることで、第三者に認証用SSIDが知られる可能性を低減できる。 The authentication SSID unit 104 manages authentication SSIDs. An authentication SSID is an SSID with stealth and ANY connection refusal enabled that can be connected to by wireless LAN devices 107 that are not registered in the connection refusal list 141. SSID stealth is a function that stops the transmission of beacon signals that notify surrounding areas of the device's own SSID. By enabling SSID stealth, the possibility of a third party discovering the authentication SSID can be reduced.

また、ANY接続拒否とは、無線LANアクセスポイントのSSIDを直接指定しなければ無線LAN子機からのProbe Requestに応答しなくなる機能である。ANY接続拒否を有効にすることで、本開示の機能を有する無線LANアクセスポイント101は無線LAN子機107からのProbe Requestに認証用SSID部104のSSID情報が載っていなかった場合、応答しないようにできる。 Also, ANY connection refusal is a function that prevents a response to a probe request from a wireless LAN client device unless the SSID of the wireless LAN access point is directly specified. By enabling ANY connection refusal, a wireless LAN access point 101 having the functions disclosed herein can prevent a response if the probe request from a wireless LAN client device 107 does not contain SSID information from the authentication SSID section 104.

接続拒否リスト141は認証用SSID104に対する特定のMACアドレスを持つ無線LAN子機107の接続をMACアドレスフィルタリングによって拒否するためのリストである。 The connection refusal list 141 is a list used to reject connections from wireless LAN devices 107 with specific MAC addresses to the authentication SSID 104 using MAC address filtering.

主接続通信用SSID部105は、無線LAN子機107が接続できるSSIDを管理する。具体的には、主接続通信用SSID部105は、接続許可リスト151に登録されたMACアドレスを持つ無線LAN子機107が接続できるSSIDを管理する。 The SSID unit for main connection communication 105 manages the SSIDs to which the wireless LAN terminal 107 can connect. Specifically, the SSID unit for main connection communication 105 manages the SSIDs to which the wireless LAN terminal 107 having a MAC address registered in the connection permission list 151 can connect.

接続許可リスト151は、主接続通信用SSID105に対する特定のMACアドレスを持つ無線LAN子機107の接続をMACアドレスフィルタリングによって許可するためのリストである。 The connection permission list 151 is a list used to allow connection of wireless LAN devices 107 with specific MAC addresses to the main connection communication SSID 105 using MAC address filtering.

ルーター部106は、無線LAN子機107からの通信を、異なるネットワークに中継する。また、ルーター部106は、どのルートを通して中継または転送すべきかを判断する。さらにルーター部106は、異なるネットワークから無線LAN子機107への通信を中継する。 The router unit 106 relays communications from the wireless LAN terminal 107 to a different network. The router unit 106 also determines the route through which communications should be relayed or forwarded. The router unit 106 also relays communications from a different network to the wireless LAN terminal 107.

無線LAN子機107は、接続許可リスト151に無線LAN子機107のMACアドレスが登録されているとき、主接続通信用SSID部105のSSIDと暗号化キーを用いて主接続通信用SSIDに帰属し、通信できる。 When the MAC address of the wireless LAN handset 107 is registered in the connection permission list 151, the wireless LAN handset 107 can belong to the main connection communication SSID and communicate using the SSID and encryption key in the main connection communication SSID section 105.

なお、主接続通信用SSID105から無線LAN子機107の帰属が外れた場合、接続拒否リスト141と接続許可リスト151から無線LAN子機107のMACアドレスが削除される。この結果、無線LAN子機107は主接続通信用SSID105には接続できなくなり、認証用SSID104には接続が可能な状態となる。 If the wireless LAN adapter 107 is no longer associated with the main connection communication SSID 105, the MAC address of the wireless LAN adapter 107 is deleted from the connection denial list 141 and the connection permission list 151. As a result, the wireless LAN adapter 107 can no longer connect to the main connection communication SSID 105, but can connect to the authentication SSID 104.

したがって、無線LAN子機107が再び主接続通信用SSID105に接続するためには、認証用SSID104に接続する必要がある。 Therefore, in order for the wireless LAN adapter 107 to reconnect to the main connection communication SSID 105, it must connect to the authentication SSID 104.

以上の構成により管理者の無線LAN端末が不在となった場合は、当該端末のMACアドレスは既に接続許可リスト151から削除されている為、MACアドレスを偽装した不正アクセスを防ぐことができる。 With the above configuration, if the administrator's wireless LAN terminal is absent, the MAC address of that terminal has already been deleted from the connection permission list 151, preventing unauthorized access using a spoofed MAC address.

次に、無線LAN子機107が無線LANアクセスポイントに接続する動作について説明する。図2は、実施の形態1にかかる無線LANアクセスポイントの動作の一例を示すシーケンス図である。図2では、無線LAN子機107がProbe Requestを送信し無線LANアクセスポイントに接続するまでの一般的なシーケンスを示している。 Next, the operation of the wireless LAN terminal 107 to connect to a wireless LAN access point will be described. Figure 2 is a sequence diagram showing an example of the operation of a wireless LAN access point according to the first embodiment. Figure 2 shows a typical sequence from when the wireless LAN terminal 107 sends a Probe Request until it connects to a wireless LAN access point.

まず、ステップS201において、無線LAN子機107は無線LANアクセスポイント101に対しProbe Requestを送信する。 First, in step S201, the wireless LAN terminal 107 sends a probe request to the wireless LAN access point 101.

次に、ステップS202において、無線LANアクセスポイント101はProbe Responseを返す。 Next, in step S202, the wireless LAN access point 101 returns a probe response.

そして、ステップS203その後、無線LAN子機107と無線LANアクセスポイント101は接続設定処理をして接続設定完了となり無線LANアクセスポイント101に帰属できる。 Then, in step S203, the wireless LAN client device 107 and the wireless LAN access point 101 perform connection setup processing, completing the connection setup and allowing the device to belong to the wireless LAN access point 101.

次に、無線LANアクセスポイントの動作について説明する。図3は、実施の形態1にかかる無線LANアクセスポイントの動作の一例を示すフローチャートである。 Next, we will explain the operation of the wireless LAN access point. Figure 3 is a flowchart showing an example of the operation of the wireless LAN access point in embodiment 1.

ステップS301において、無線LANアクセスポイント101は、無線LAN子機107からのProbe Requestを受信するまで、受信を繰り返す。無線LAN子機107からProbe Requestを受信した場合、ステップS302に進む。 In step S301, the wireless LAN access point 101 repeats reception until it receives a Probe Request from the wireless LAN terminal 107. If a Probe Request is received from the wireless LAN terminal 107, the process proceeds to step S302.

ステップS302において、Probe Requestに含まれるSSIDを判断する。無線LAN子機107から受信したProbe Requestに認証用SSID104のSSIDが含まれていない場合、ステップS301に戻る。無線LAN子機107から受信したProbe Requestに認証用SSID104のSSIDが含まれていた場合、ステップS303に進む。 In step S302, the SSID included in the Probe Request is determined. If the Probe Request received from the wireless LAN terminal 107 does not include the SSID of the authentication SSID 104, the process returns to step S301. If the Probe Request received from the wireless LAN terminal 107 includes the SSID of the authentication SSID 104, the process proceeds to step S303.

ステップS303において、無線LANアクセスポイント101は、無線LAN子機107にProbe Responseを返す。そしてステップS304に進む。 In step S303, the wireless LAN access point 101 returns a probe response to the wireless LAN terminal 107. Then, the process proceeds to step S304.

ステップS304において、無線LANアクセスポイント101は、無線LAN子機107のMACアドレスが接続拒否リスト141に登録されているか確認する。無線LAN子機107のMACアドレスが接続拒否リスト141に登録されている場合、ステップS301に戻る。無線LAN子機107のMACアドレスが接続拒否リスト141に登録されていない場合、ステップS305に進む。 In step S304, the wireless LAN access point 101 checks whether the MAC address of the wireless LAN terminal 107 is registered in the connection refusal list 141. If the MAC address of the wireless LAN terminal 107 is registered in the connection refusal list 141, the process returns to step S301. If the MAC address of the wireless LAN terminal 107 is not registered in the connection refusal list 141, the process proceeds to step S305.

ステップS305において、無線LANアクセスポイント101は、無線LAN子機107が認証用SSID104に帰属するための接続設定処理を行う。そしてステップS306に進む。 In step S305, the wireless LAN access point 101 performs connection setup processing to allow the wireless LAN client device 107 to associate with the authentication SSID 104. Then, the process proceeds to step S306.

ステップS306において、無線LAN子機107は、無線LANアクセスポイント101との接続設定処理が完了したか否かを判断する。無線LAN子機107が無線LANアクセスポイント101との接続設定処理が完了した場合、ステップS307に進む。無線LAN子機107は、無線LANアクセスポイント101との接続設定処理が完了していない場合、ステップS301に戻る。 In step S306, the wireless LAN handset 107 determines whether the connection setup process with the wireless LAN access point 101 has been completed. If the wireless LAN handset 107 has completed the connection setup process with the wireless LAN access point 101, the process proceeds to step S307. If the connection setup process with the wireless LAN access point 101 has not been completed, the wireless LAN handset 107 returns to step S301.

ステップS307において、無線LANアクセスポイント101は、無線LAN子機107が認証用SSID104に帰属しているか否か判断する。無線LAN子機107が認証用SSID104に帰属している場合、ステップS308に進む。無線LAN子機107が認証用SSID104に帰属していない場合、ステップS301に戻る。 In step S307, the wireless LAN access point 101 determines whether the wireless LAN terminal 107 belongs to the authentication SSID 104. If the wireless LAN terminal 107 belongs to the authentication SSID 104, the process proceeds to step S308. If the wireless LAN terminal 107 does not belong to the authentication SSID 104, the process returns to step S301.

ステップS308において、帰属管理部102は無線LAN子機107が認証用SSID104に帰属していることを知らせるための通知を子機接続制御部103に出す。子機接続制御部103は、帰属管理部102から通知を受けると、無線LAN子機107のMACアドレスを認証用SSID104の接続拒否リスト141に登録する。無線LAN子機107のMACアドレスを認証用SSID104の接続拒否リスト141に登録するのは、無線LAN子機107が既に認証済みであり、認証用SSID104に接続する必要が無くなるためである。そして、ステップS309に進む。 In step S308, the belonging management unit 102 sends a notification to the client connection control unit 103 to notify that the wireless LAN client device 107 belongs to the authentication SSID 104. Upon receiving the notification from the belonging management unit 102, the client connection control unit 103 registers the MAC address of the wireless LAN client device 107 in the connection refusal list 141 of the authentication SSID 104. The MAC address of the wireless LAN client device 107 is registered in the connection refusal list 141 of the authentication SSID 104 because the wireless LAN client device 107 has already been authenticated and no longer needs to connect to the authentication SSID 104. Then, the process proceeds to step S309.

ステップS309において、子機接続制御部103は帰属管理部102から通知を受けると、無線LAN子機107のMACアドレスを主接続通信用SSID105の接続許可リスト151に登録する。そして一連の処理を終了する。なお、この一連の処理は繰り返し実行しても良い。 In step S309, upon receiving notification from the belonging management unit 102, the client connection control unit 103 registers the MAC address of the wireless LAN client 107 in the connection permission list 151 of the main connection communication SSID 105. This series of processes then ends. Note that this series of processes may be executed repeatedly.

次に無線LAN子機107が無線LANアクセスポイント101との通信を切断する時の動作を説明する。図4は、実施の形態1にかかる無線LANアクセスポイントの動作の一例を示すフローチャートである。 Next, we will explain the operation when the wireless LAN terminal 107 disconnects communication with the wireless LAN access point 101. Figure 4 is a flowchart showing an example of the operation of the wireless LAN access point in embodiment 1.

まず、ステップS401において、帰属管理部102は、無線LAN子機107が主接続通信用SSID105の帰属から外れているか否か判断する。無線LAN子機107が主接続通信用SSID105の帰属から外れている場合、ステップS402に進む。無線LAN子機107が主接続通信用SSID105の帰属から外れていない場合、ステップS401を繰り返す。 First, in step S401, the association management unit 102 determines whether the wireless LAN device 107 has been removed from the association of the main connection communication SSID 105. If the wireless LAN device 107 has been removed from the association of the main connection communication SSID 105, the process proceeds to step S402. If the wireless LAN device 107 has not been removed from the association of the main connection communication SSID 105, step S401 is repeated.

ステップS402において、帰属管理部102は無線LAN子機107が主接続通信用SSID105の帰属から外れていることを知らせるための通知を子機接続制御部103に出す。
子機接続制御部103は、帰属管理部102から通知を受けると、無線LAN子機107のMACアドレスを認証用SSID104の接続拒否リスト141から削除する。そして ステップS403に進む。
In step S402, the association management unit 102 sends a notification to the slave connection control unit 103 to notify that the wireless LAN slave unit 107 has been removed from the association of the SSID 105 for main connection communication.
Upon receiving the notification from the belonging management unit 102, the handset connection control unit 103 deletes the MAC address of the wireless LAN handset 107 from the connection refusal list 141 of the authentication SSID 104. Then, the process proceeds to step S403.

ステップS403において、子機接続制御部103は、帰属管理部102から通知を受けると、無線LAN子機107のMACアドレスを主接続通信用SSID105の接続許可リスト151から削除する。 In step S403, upon receiving notification from the belonging management unit 102, the client connection control unit 103 deletes the MAC address of the wireless LAN client device 107 from the connection permission list 151 of the main connection communication SSID 105.

このように、実施の形態1の無線LANアクセスポイントによれば、無線LANアクセスポイントに認証用SSIDの情報が載ったProbe Requestを送信しないと、無線LAN子機は主接続通信用SSIDに接続することができないため、主接続通信用SSIDの情報を知られたとしても、不正に無線LANアクセスポイントを利用できない。 As such, with the wireless LAN access point of embodiment 1, a wireless LAN client device cannot connect to the main connection communication SSID unless it sends a Probe Request containing information about the authentication SSID to the wireless LAN access point. Therefore, even if the information about the main connection communication SSID is known, the wireless LAN access point cannot be used fraudulently.

また、実施の形態1の無線LANアクセスポイントによれば、主接続通信用SSIDに帰属していた無線LAN子機の帰属が外れた時、再度無線LANアクセスポイントに認証用のSSIDの情報の載ったProbe Requestを送信しないと主接続通信用SSIDに接続できないため、主接続通信用SSIDに対しMACアドレスを偽装した不正なアクセスを防げる。 Furthermore, with the wireless LAN access point of embodiment 1, when a wireless LAN client device that was associated with the main connection communication SSID becomes unassociated, it cannot connect to the main connection communication SSID unless it again sends a Probe Request containing authentication SSID information to the wireless LAN access point, thereby preventing unauthorized access to the main connection communication SSID by spoofing a MAC address.

本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。 This disclosure is not limited to the above-described embodiments and may be modified as appropriate without departing from the spirit of the present disclosure.

例えば、無線LAN子機107が2.4GHzと5GHzのデュアルバンド対応子機である場合、無線LANアクセスポイント101は、認証用SSID104と主接続通信用SSID105を2.4GHzと5GHzの別バンドで運用することもできる。 For example, if the wireless LAN terminal 107 is a terminal that supports dual bands of 2.4 GHz and 5 GHz, the wireless LAN access point 101 can operate the authentication SSID 104 and the main connection communication SSID 105 in separate bands of 2.4 GHz and 5 GHz.

例えば認証用SSID104は2.4GHz、主接続通信用SSID105は5GHzで運用するようにしてもよい。 For example, the authentication SSID 104 may operate at 2.4 GHz, and the main connection communication SSID 105 may operate at 5 GHz.

認証用SSID104と主接続通信用SSID105を2.4GHzと5GHzの別バンドで運用することで、認証用SSID104と主接続通信用SSID105の関連性を察知される可能性を低くすることができる。 By operating the authentication SSID 104 and the main connection communication SSID 105 in separate bands, 2.4 GHz and 5 GHz, it is possible to reduce the likelihood that the relationship between the authentication SSID 104 and the main connection communication SSID 105 will be discovered.

無線LAN子機107がデュアルバンドに対応していた場合、管理者が許可していない第三者は、無線LANアクセスポイント101に不正に接続することがより困難となり、無線LANアクセスポイントを不正に利用される可能性を低くできる。 If the wireless LAN handset 107 supports dual bands, it becomes more difficult for third parties not authorized by the administrator to illegally connect to the wireless LAN access point 101, reducing the possibility of the wireless LAN access point being used illegally.

この様に、無線LANアクセスポイント101は、認証用SSID104と主接続通信用SSID105を2.4GHzと5GHzの別バンドで運用できる。 In this way, the wireless LAN access point 101 can operate the authentication SSID 104 and the main connection communication SSID 105 in separate bands, 2.4 GHz and 5 GHz.

また、様々な処理を行う機能ブロックとして図面に記載される各要素は、ハードウェア的には、CPU、メモリ、その他の回路で構成することができ、ソフトウェア的には、メモリにロードされたプログラムなどによって実現される。したがって、これらの機能ブロックがハードウェアのみ、ソフトウェアのみ、またはそれらの組合せによっていろいろな形で実現できることは当業者には理解されるところであり、いずれかに限定されるものではない。 Furthermore, each element depicted in the drawings as a functional block that performs various processes can be configured in hardware terms using a CPU, memory, and other circuits, and in software terms, can be realized by programs loaded into memory, etc. Therefore, those skilled in the art will understand that these functional blocks can be realized in various forms using hardware alone, software alone, or a combination of both, and are not limited to any one of these.

また、上述したプログラムは、様々なタイプの非一時的なコンピュータ可読媒体を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。 The above-described program can be stored and supplied to a computer using various types of non-transitory computer-readable media. Non-transitory computer-readable media include various types of tangible recording media. Examples of non-transitory computer-readable media include magnetic recording media (e.g., flexible disks, magnetic tapes, hard disk drives), magneto-optical recording media (e.g., magneto-optical disks), CD-ROMs (Read Only Memory), CD-Rs, CD-R/Ws, and semiconductor memories (e.g., mask ROMs, PROMs (Programmable ROMs), EPROMs (Erasable PROMs), flash ROMs, and RAMs (Random Access Memory)). The program may also be supplied to a computer by various types of temporary computer-readable media. Examples of temporary computer-readable media include electrical signals, optical signals, and electromagnetic waves. The temporary computer-readable media can be supplied to a computer via wired communication paths such as electrical wires and optical fibers, or wireless communication paths.

101 アクセスポイント
102 帰属管理部
103 子機接続制御部
104 認証用SSID部
105 主接続通信用SSID部
106 ルーター部
107 子機
141 接続拒否リスト
151 接続許可リスト
101 Access point 102 Belonging management unit 103 Child device connection control unit 104 Authentication SSID unit 105 Main connection communication SSID unit 106 Router unit 107 Child device 141 Connection refusal list 151 Connection permission list

Claims (8)

無線LAN子機の帰属を管理する帰属管理部と、
前記無線LAN子機の接続を制御する子機接続制御部と、
認証用SSIDを管理する認証用SSID部と、
主接続通信用SSIDを管理する主接続通信用SSID部と、を備え、
前記子機接続制御部は、前記無線LAN子機からのリクエストに認証用SSIDが含まれている場合、認証を実行し、認証を実行した後に主接続通信用SSIDで通信を行うように制御し、
前記子機接続制御部は、前記無線LAN子機が主接続通信用SSIDで通信している間、前記認証用SSIDを用いた前記無線LAN子機からのリクエストを拒否する制御を行う、
無線LANアクセスポイントであって、
前記認証用SSIDは、自身のSSIDを周囲に知らせるためのビーコン信号の発信を停止するSSIDのステルス化機能、及び無線LANアクセスポイントのSSIDを直接指定しなければ無線LAN子機からのProbe Requestに応答しなくなるANY接続拒否機能を有効化したSSIDであり、
前記子機接続制御部は、前記認証用SSID部の接続拒否リストに前記無線LAN子機のMACアドレスが登録されている場合、前記認証用SSIDによる認証を実行せずに、前記主接続通信用SSIDで前記無線LAN子機と通信を行う、
無線LANアクセスポイント。
an attribute management unit that manages the attribute of the wireless LAN terminal;
a slave connection control unit that controls the connection of the wireless LAN slave unit;
an authentication SSID unit that manages an authentication SSID;
a main connection communication SSID unit that manages a main connection communication SSID,
the slave connection control unit performs authentication when an authentication SSID is included in the request from the wireless LAN slave unit, and controls communication to be performed using a main connection communication SSID after the authentication is performed;
the slave device connection control unit performs control to reject a request from the wireless LAN slave device using the authentication SSID while the wireless LAN slave device is communicating using the main connection communication SSID;
A wireless LAN access point,
The authentication SSID is an SSID that has enabled an SSID stealth function that stops the transmission of a beacon signal to notify the surrounding area of its own SSID, and an ANY connection refusal function that prevents the SSID from responding to a probe request from a wireless LAN client device unless the SSID of the wireless LAN access point is directly specified ,
When the MAC address of the wireless LAN terminal is registered in the connection refusal list of the authentication SSID unit, the terminal connection control unit communicates with the wireless LAN terminal using the main connection communication SSID without performing authentication using the authentication SSID.
Wireless LAN access point.
前記子機接続制御部は、前記無線LAN子機が主接続用SSIDで無線LANアクセスポイントからの帰属が外れると、前記主接続用SSIDを用いた前記無線LAN子機からのリクエストを拒絶する制御を行う、請求項1に記載の無線LANアクセスポイント。 The wireless LAN access point of claim 1, wherein the client device connection control unit performs control to reject requests from the wireless LAN client device using the primary connection SSID when the wireless LAN client device loses its association with the wireless LAN access point using the primary connection SSID. 前記認証用SSID部は、接続を拒否する通信相手を記憶する前記接続拒否リストを有し、
前記主接続通信用SSID部は、接続を許可する通信相手を記憶する接続許可リストを有する、請求項1に記載の無線LANアクセスポイント。
the authentication SSID unit has the connection refusal list that stores communication partners to be refused connection;
2. The wireless LAN access point according to claim 1, wherein the main connection communication SSID section has a connection permission list that stores communication partners that are permitted to connect.
前記子機接続制御部は、前記無線LAN子機が主接続用SSIDで通信している間、
当該無線LAN子機の前記MACアドレスを前記接続拒否リストと前記接続許可リストに登録する、
請求項3に記載の無線LANアクセスポイント。
The slave device connection control unit, while the wireless LAN slave device is communicating using a main connection SSID,
registering the MAC address of the wireless LAN terminal in the connection refusal list and the connection permission list;
4. The wireless LAN access point according to claim 3.
前記子機接続制御部は、前記無線LAN子機が主接続用SSIDで無線LANアクセスポイントからの帰属が外れると、
当該無線LAN子機の前記MACアドレスを前記接続拒否リストと前記接続許可リストから削除する
請求項3に記載の無線LANアクセスポイント。
When the wireless LAN terminal is released from the wireless LAN access point using the primary connection SSID,
The wireless LAN access point according to claim 3 , wherein the MAC address of the wireless LAN terminal is deleted from the connection refusal list and the connection permission list.
前記認証用SSIDを用いて前記無線LAN子機と通信する周波数バンドと、
前記主接続通信用SSIDを用いて前記無線LAN子機と通信する周波数バンドが異なる請求項1から5のいずれかに記載の無線LANアクセスポイント。
a frequency band for communicating with the wireless LAN terminal using the authentication SSID;
The wireless LAN access point according to claim 1 , wherein the frequency bands used to communicate with the wireless LAN slave devices using the main connection communication SSID are different.
無線LAN子機からのリクエストに認証用SSIDが含まれている場合、認証を実行し、認証を実行した後に主接続通信用SSIDで通信を行うように制御し、
前記無線LAN子機が主接続通信用SSIDで通信している間、前記認証用SSIDを用いた前記無線LAN子機からのリクエストを拒否する制御を行う、
無線LANアクセスポイントの通信方法であって、
前記認証用SSIDは、自身のSSIDを周囲に知らせるためのビーコン信号の発信を停止するSSIDのステルス化機能、及び無線LANアクセスポイントのSSIDを直接指定しなければ無線LAN子機からのProbe Requestに応答しなくなるANY接続拒否機能を有効化したSSIDであり、
前記認証用SSID部の接続拒否リストに前記無線LAN子機のMACアドレスが登録されている場合、前記認証用SSIDによる認証を実行せずに、前記主接続通信用SSIDで前記無線LAN子機と通信を行う、
無線LANアクセスポイントの通信方法。
If the request from the wireless LAN client device includes an authentication SSID, the authentication is performed, and after the authentication is performed, control is performed so that communication is performed using the main connection communication SSID;
performing control to reject a request from the wireless LAN terminal using the authentication SSID while the wireless LAN terminal is communicating using the main connection communication SSID;
A wireless LAN access point communication method, comprising:
The authentication SSID is an SSID that has enabled an SSID stealth function that stops the transmission of a beacon signal to notify the surrounding area of its own SSID, and an ANY connection refusal function that prevents the SSID from responding to a probe request from a wireless LAN client device unless the SSID of the wireless LAN access point is directly specified ,
If the MAC address of the wireless LAN terminal is registered in the connection refusal list of the authentication SSID section, communication with the wireless LAN terminal is performed using the main connection communication SSID without performing authentication using the authentication SSID.
A communication method for a wireless LAN access point.
無線LAN子機からのリクエストに認証用SSIDが含まれている場合、認証を実行し、認証を実行した後に主接続通信用SSIDで通信を行うように制御するステップと
前記無線LAN子機が主接続通信用SSIDで通信している間、前記認証用SSIDを用いた前記無線LAN子機からのリクエストを拒否するステップとをコンピュータに実行させる、
無線LANアクセスポイントのプログラムであって、
前記認証用SSIDは、自身のSSIDを周囲に知らせるためのビーコン信号の発信を停止するSSIDのステルス化機能、及び無線LANアクセスポイントのSSIDを直接指定しなければ無線LAN子機からのProbe Requestに応答しなくなるANY接続拒否機能を有効化したSSIDであり、
前記認証用SSID部の接続拒否リストに前記無線LAN子機のMACアドレスが登録されている場合、前記認証用SSIDによる認証を実行せずに、前記主接続通信用SSIDで前記無線LAN子機と通信を行うステップをコンピュータに実行させる、
無線LANアクセスポイントのプログラム。
a step of performing authentication when a request from a wireless LAN slave device includes an authentication SSID, and controlling communication to be performed using a main connection communication SSID after the authentication is performed; and a step of rejecting a request from the wireless LAN slave device using the authentication SSID while the wireless LAN slave device is communicating using the main connection communication SSID.
A program for a wireless LAN access point,
The authentication SSID is an SSID that has enabled an SSID stealth function that stops the transmission of a beacon signal to notify the surrounding area of its own SSID, and an ANY connection refusal function that prevents the SSID from responding to a probe request from a wireless LAN client device unless the SSID of the wireless LAN access point is directly specified ,
If the MAC address of the wireless LAN terminal is registered in the connection refusal list of the authentication SSID section, the computer executes a step of communicating with the wireless LAN terminal using the main connection communication SSID without performing authentication using the authentication SSID.
Wireless LAN access point program.
JP2022136588A 2022-08-30 2022-08-30 Wireless LAN access point, communication method and program Active JP7794446B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022136588A JP7794446B2 (en) 2022-08-30 2022-08-30 Wireless LAN access point, communication method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022136588A JP7794446B2 (en) 2022-08-30 2022-08-30 Wireless LAN access point, communication method and program

Publications (2)

Publication Number Publication Date
JP2024033160A JP2024033160A (en) 2024-03-13
JP7794446B2 true JP7794446B2 (en) 2026-01-06

Family

ID=90193939

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022136588A Active JP7794446B2 (en) 2022-08-30 2022-08-30 Wireless LAN access point, communication method and program

Country Status (1)

Country Link
JP (1) JP7794446B2 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013106332A (en) 2011-11-17 2013-05-30 I-O Data Device Inc Wireless router, radio communication system and radio communication setting method
JP2022067876A (en) 2020-10-21 2022-05-09 Necプラットフォームズ株式会社 Wireless communication apparatus, wireless communication system, wireless communication method, and wireless communication program

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5725532B2 (en) * 2010-09-24 2015-05-27 日本電気通信システム株式会社 Wireless communication apparatus, wireless communication system, and wireless communication method
JP5853478B2 (en) * 2011-08-04 2016-02-09 株式会社バッファロー Access point device and communication setting providing method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013106332A (en) 2011-11-17 2013-05-30 I-O Data Device Inc Wireless router, radio communication system and radio communication setting method
JP2022067876A (en) 2020-10-21 2022-05-09 Necプラットフォームズ株式会社 Wireless communication apparatus, wireless communication system, wireless communication method, and wireless communication program

Also Published As

Publication number Publication date
JP2024033160A (en) 2024-03-13

Similar Documents

Publication Publication Date Title
US11871223B2 (en) Authentication method and apparatus and device
US9167053B2 (en) Advanced network characterization
US20180192264A1 (en) Open Access Points for Emergency Calls
CN109219965A (en) A communication method and related device
JP2005110112A (en) Method for authenticating radio communication device in communication system, radio communication device, base station and authentication device
KR20140123883A (en) Security and information supporting method and apparatus for using policy control in change of subscription to mobile network operator in mobile telecommunication system environment
EP3305010B1 (en) Method of creating and deleting vwlan dynamically in a fixed access network sharing environment
CN105052177B (en) Wireless network system, terminal management device, wireless relay device and communication method
EP4132113A1 (en) Terminal parameter updating protection method and communication device
CN113543121A (en) A protection method and communication device for updating terminal parameters
JP2016530732A (en) Secure group generation in proximity-based service communication
TW202245511A (en) Methods and user equipment for wireless communications
US11778471B2 (en) Method and system for integrity protection of user plane signaling messages in wireless network
CN114731513A (en) Method for controlling communication access, AP and communication equipment
KR20240144887A (en) Method for UE-Network Relay Security in Proximity-Based Services
CN117998362A (en) Communication method and communication device
JP7481043B2 (en) Wireless communication device, wireless communication system, wireless communication method, and wireless communication program
CN113645621B (en) Secure communication method and device
US20250393009A1 (en) Detecting profile-based wireless mesh node failover in communication networks
JP7794446B2 (en) Wireless LAN access point, communication method and program
WO2022247812A1 (en) Authentication method, communication device, and system
WO2012065405A1 (en) Method and system for judging legal terminal
CN104735749B (en) A kind of method and wireless router, portal platform server accessing network
CN119698800A (en) Access security device and method for wireless communication network
KR100819942B1 (en) Quarantine and Policy-based Access Control Method for Wired and Wireless Networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20241107

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20250107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250310

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20250624

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250917

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20251118

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20251211

R150 Certificate of patent or registration of utility model

Ref document number: 7794446

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150