無線通信装置及び無線通信方法
【課題】通信情報が悪意ある者によって解読されることを抑制する。
【解決手段】無線通信装置10は、互いに異なる識別情報を有し、それぞれアクセスポイントとして機能する複数の無線通信部11−1〜11−nを有し、無線通信部11−1〜11−nの少なくとも1つは、自身を送信先とした偽の通信情報の送信を繰り返すことで、正規のアクセスポイントの通信情報を隠すことができ、正規のアクセスポイントの通信情報が悪意のある者に解析され難くすることができる。
【解決手段】無線通信装置10は、互いに異なる識別情報を有し、それぞれアクセスポイントとして機能する複数の無線通信部11−1〜11−nを有し、無線通信部11−1〜11−nの少なくとも1つは、自身を送信先とした偽の通信情報の送信を繰り返すことで、正規のアクセスポイントの通信情報を隠すことができ、正規のアクセスポイントの通信情報が悪意のある者に解析され難くすることができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線通信装置及び無線通信方法に関する。
【背景技術】
【0002】
無線LAN(Local Area Network)通信において、悪意あるものにより通信内容を解析されると、個人情報が盗まれたり、無線LANルータのアクセスポイントを悪事のために無断に利用されることがある。
【0003】
その対応として、従来では、無線LANルータのアクセスポイントの隠蔽機能(アクセスポイントが識別情報であるESSID(Extended Service Set Identifier)を送信しない機能)を用い、さらに、認証の際には、暗号を施すことが行われている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2008−21075号公報
【特許文献2】特開2007−235662号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、無線通信において、通信情報は、電波が届く範囲内であれば簡単に受信することができ、暗号対応の認証データは時間があれば解析可能である。認証に利用しているパスワードが解読された場合、そのパスワードを利用して無線通信装置へ自由にアクセスされてしまい、悪事のために利用されてしまう問題があった。
【課題を解決するための手段】
【0006】
発明の一観点によれば、互いに異なる識別情報を有し、それぞれアクセスポイントとして機能する複数の無線通信部を有し、前記複数の無線通信部の少なくとも1つは、自身を送信先とした偽の通信情報の送信を繰り返す無線通信装置が提供される。
【発明の効果】
【0007】
開示の無線通信装置及び無線通信方法によれば、通信情報が悪意ある者によって解析されることを抑制できる。
【図面の簡単な説明】
【0008】
【図1】第1の実施の形態の無線通信装置の一例を示す図である。
【図2】無線通信装置の動作例を説明する図である。
【図3】第2の実施の形態の無線通信装置のハードウェア例を示す図である。
【図4】本実施の形態の無線通信装置による無線通信の一例を示す通信シーケンス図である。
【図5】偽のデータフレームの一例を示す図である。
【図6】通信を傍受した非正規ユーザの端末装置からの不正アクセス発生時の無線通信装置の処理の例を示す通信シーケンス図である。
【発明を実施するための形態】
【0009】
以下、本発明の実施の形態を、図面を参照しつつ説明する。
(第1の実施の形態)
図1は、第1の実施の形態の無線通信装置の一例を示す図である。
【0010】
無線通信装置10は、複数の無線通信部11−1,11−2,…,11−n、記憶部12、判定部13を有している。
無線通信部11−1〜11−nは、それぞれ、無線通信のアクセスポイントとして機能し、互いに異なる識別情報(ESSID)を有している。無線通信部11−1〜11−nのうち、少なくとも1つは、自身を送信先として偽の通信情報を繰り返し送信する偽のアクセスポイントとして機能する。
【0011】
なお、図1の例では、無線通信部11−1は、たとえば、図示しない有線通信用の通信部を介して、インターネット、WAN(Wide Area Network)またはLAN(Local Area Network)などのネットワーク20に接続されている。
【0012】
記憶部12は、偽のアクセスポイントが送信する偽の通信情報の少なくとも一部を記憶する。
判定部13は、偽のアクセスポイントが受信するデータと、記憶部12に記憶されている偽の通信情報とを比較し、不正アクセスが発生しているか否かを判定する。
【0013】
図2は、無線通信装置の動作例を説明する図である。
図2では、無線通信装置10と端末装置30,40との無線通信の様子が示されている。なお、端末装置30,40は、デスクトップまたはノート型のPC(パーソナルコンピュータ)であってもよいし、携帯型移動端末装置でもよい。また、コンピュータに限らず、スマートフォンなどの携帯電話であってもよい。
【0014】
以下の説明において、無線通信部11−1は、端末装置30との間で、ESSIDやパスワードを用いて認証などを行い、通信情報のやり取りを行う正規のアクセスポイントとして機能するものとする。
【0015】
また、他の無線通信部11−2〜11−nは、自身を送信先として、記憶部12に記憶されている偽の通信情報の送信を繰り返す、偽のアクセスポイントとして機能するものとする。
【0016】
偽の通信情報は、端末装置30のユーザが予め設定したデータであってもよいし、記憶部12が端末装置30と無線通信部11−1間で通信していたものを自動的に取得したデータであってもよい。また、偽の通信情報は、無線通信部11−1が、ネットワーク20上のあるウェブサイトのページの情報を定期的に取得したものであってもよい。
【0017】
偽の通信情報は、繰り返し送信されるので、端末装置30と無線通信部11−1で送受信される通信情報より多くなる。そのため、正規のアクセスポイントの通信情報が多数の偽の暗号化データに紛れて、分かりにくくなっている。
【0018】
これによって、非正規ユーザの端末装置40が、無線通信部11−1〜11−nが送受信する通信情報または偽の通信情報を傍受した場合、端末装置40は、偽の通信情報を多く取得して、これらに対する復号を試みる可能性が高くなる。
【0019】
たとえば、端末装置40が、無線通信部11−nが送信している偽の通信情報を傍受した場合の動作について説明する。
端末装置40のユーザは、自身、または他の端末装置などを用いて、取得した偽の通信情報の解読を試みる。認証用のパスワードや無線通信部11−nのESSIDを解読した場合、端末装置40は、そのパスワードを用いて、正規のユーザの端末装置30になり済まして、偽の通信情報とは異なる自身で作成した通信情報を無線通信部11−nに送信する。
【0020】
無線通信部11−nは、端末装置40から受信した通信情報を判定部13に送る。この通信情報は、記憶部12に格納されている偽の通信情報と異なることから、判定部13は、不正アクセスが発生したと判定する。
【0021】
判定部13によって不正アクセスが発生したと判定された場合、無線通信部11−1〜11−nの少なくとも1つ、たとえば、無線通信部11−1は、正規のユーザの端末装置30に対して、不正アクセスが発生したことを示す警告を送信する。
【0022】
これにより、正規のユーザは、無線通信装置10に対する不正なアクセスが行われていることを知ることができる。
なお、判定部13は、無線通信部11−2〜11−nが偽の通信情報を自身に対して送信していない期間に、端末装置40からアクセスがあった場合に、不正アクセスが発生したと判定するようにしてもよい。
【0023】
以上のように、第1の実施の形態の無線通信装置10によれば、無線通信部11−1〜11−nの少なくとも1つが、自身を送信先とした偽の通信情報の送信を繰り返すことで、正規のアクセスポイントの通信情報を隠すことができる。これにより、正規のアクセスポイントの認証用のパスワードなどの通信情報が悪意のある者に解読されることを防ぐことができる。
【0024】
また、判定部13が記憶部12に記憶された偽の通信情報と、偽のアクセスポイントとなる無線通信装置11−2〜11−nで受信したデータとを比較判定を行うことで、悪意のある者の端末装置40からのアクセスを検出できる。そして、無線通信部11−1〜11−nの少なくとも1つが、端末装置30に通知することで、正規のユーザは、無線通信装置10に対する不正アクセスがあったことを認識できる。
【0025】
(第2の実施の形態)
図3は、第2の実施の形態の無線通信装置のハードウェア例を示す図である。
無線通信装置50は、たとえば、無線LANルータであり、CPU(Central Processing Unit)51、ROM(Read Only Memory)52、RAM(Random Access Memory)53、無線通信部54−1,54−2、通信部55、警告部56を有している。これらはバス57により接続されている。
【0026】
CPU51は、ROM52に格納されているプログラムや、各種データに応じて無線通信装置50の各部を制御し、図1に示した判定部13などの処理を行う。
ROM52は、CPU51が実行する基本的なプログラムやデータを格納する。
【0027】
RAM53は、CPU51が実行途中のプログラムや演算途中のデータのほか、前述した偽の通信情報などを格納する。
無線通信部54−1は、受信部54a−1、送信部54b−1を有し、図示しないアンテナを介して、自身に対して偽の通信情報を繰り返し送信する偽のアクセスポイントAP1として機能する。無線通信部54−2は、受信部54a−2、送信部54b−2を有し、正規ユーザの端末装置70と、図示しないアンテナを介して、無線通信を行う正規のアクセスポイントAP2として機能する。
【0028】
無線通信部54−1,54−2は、別々の搬送波周波数で無線通信を行い、ESSID及び認証用のパスワードは互いに異なっている。
通信部55は、インターネットなどのネットワーク60と接続し、情報の送受信を行う。たとえば、通信部55は、CPU51の制御のもと、無線通信部54−2で受信した情報をネットワーク60に送信したり、ネットワーク60からの情報を受信して無線通信部54−2側に伝える。なお、CPU51は、通信部55と偽のアクセスポイントAP1との間の信号のやり取りを禁止する。たとえば、CPU51は、ROM52に格納するドライバなどに無線通信部54−1と通信部55との間の信号のやり取りを禁止することを設定する。
【0029】
警告部56は、非正規ユーザの端末装置71からのアクセスがあった場合に、警告を発する。警告は、たとえば、光であってもよいし、ブザー音などの音であってもよい。
以下、無線通信装置50による無線通信方法を説明する。
【0030】
図4は、本実施の形態の無線通信装置による無線通信の一例を示す通信シーケンス図である。
図4では、正規ユーザの端末装置70と、無線通信装置50のアクセスポイントAP1,AP2と、ネットワーク60との間の通信の様子が示されている。なお、正規ユーザの端末装置70とアクセスポイントAP2との間の認証については図示を省略している。
【0031】
アクセスポイントAP1は、正規のアクセスポイントAP2での接続シーケンスを模擬した偽の接続シーケンスを、自身で行う。偽の通信情報は、接続シーケンスに基づいた情報であり、アクセスポイントAP1の送信部54b−1から、自身のアクセスポイントAP1の受信部54a−1に繰り返し送信される。
【0032】
正規の接続シーケンスに基づいた偽の通信情報を送信することで、悪意のある者に、その情報が本物の通信情報であると認識させることができる。
図4に示す例では、アクセスポイントAP1は、まず、接続したいアクセスポイントのESSIDをブロードキャストするプローブリクエストを、自身に対して行う(処理T1)。
【0033】
そして、アクセスポイントAP1は、プローブリクエストに対して、自身の通信速度などを通知するプローブレスポンスを、自身に対して行う(処理T2)。
その後、アクセスポイントAP1は、WEP(Wired Equivalent Privacy)などの所定の暗号認証方式による認証の依頼(処理T3)と、その応答(Ack)(処理T4)を自身に対して行う。さらに、アクセスポイントAP1は、認証が成功したことの通知(処理T5)と、その応答(処理T6)を自身に対して行う。
【0034】
認証が終了すると、アクセスポイントAP1は、接続要求(処理T7)とその応答(処理T8)を自身に対して行う。
その後、アクセスポイントAP1は、たとえば、RAM53に記憶されている通信情報の1つである、暗号化された偽のデータフレームを自身に対して送信する(処理T9)。
【0035】
図5は、偽のデータフレームの一例を示す図である。偽のデータフレームの例として、図5(A)では、HTTP(HyperText Transfer Protocol)リクエストデータ、図5(B)では、HTTPレスポンスデータの例が示されている。
【0036】
HTTPリクエストデータは、たとえば、正規ユーザの端末装置70から送信された、インターネット上のウェブサーバへのページ取得要求に関するデータである。HTTPのリクエストメソッド(図5(A)の例では“GET”)、HTTPのバージョン、User−Agentで示されているブラウザの種類とそのバージョン、アクセスしたいページのアドレスなどが含まれている。
【0037】
HTTPレスポンスデータは、HTTPリクエストに対する、インターネット上のウェブサーバからの応答データである。指定されたHTTPのバージョンに対応しているかの情報、送信日付などのデータが記載されたヘッダ情報と、ウェブページの内容が含まれる。
【0038】
たとえば、CPU51は、無線通信部54−2または通信部55から上記のようなデータフレームを取得してRAM53に記憶しておく。図5(B)のようなHTTPレスポンスデータが、偽のデータフレームとしてRAM53から読み出される際、たとえば、CPU51は、日付の部分を、無線通信部54−1が偽の通信情報として送信する送信日時に書き換える。これにより、悪意ある者に、偽の通信情報であることが気付かれないようにする。
【0039】
なお、偽のデータフレームの内容としては、これに限定されず、TCP/IP(Transmission Control Protocol/Internet Protocol)プロトコルの内容などとしてもよい。
アクセスポイントAP1は、以上のような偽の接続シーケンス(処理T1〜T9)を繰り返し行う。
【0040】
一方、正規ユーザの端末装置70から、プローブリクエストがあった場合、図示を省略しているが、アクセスポイントAP2と端末装置70間で接続シーケンスが行われる。認証や接続が成功すると、アクセスポイントAP2は、正規ユーザの端末装置70からの暗号化されているデータフレームの転送を開始する(処理T10)。
【0041】
そして、アクセスポイントAP2は、受信したデータフレームを復号して、たとえば、有線でインターネットなどのネットワーク60上の端末装置(たとえば、ウェブサーバ)に転送する(処理T11)。なお、データフレームに対する暗号化方式と、認証時の暗号化方式は異なっていてもよい。
【0042】
上記のような処理により、非正規ユーザが正規ユーザの端末装置70と無線通信装置50間の無線通信の傍受を試みる場合、アクセスポイントAP2よりも、アクセスポイントAP1から送信される偽の通信情報が多く傍受されることになる。
【0043】
偽の通信情報を傍受した非正規ユーザは、偽の通信情報から認証用のパスワードを解読し、たとえば、端末装置71を用いて、アクセスポイントAP1に対する接続を試みる。
図6は、通信を傍受した非正規ユーザの端末装置からの不正アクセス発生時の無線通信装置の処理の例を示す通信シーケンス図である。
【0044】
非正規ユーザの端末装置71は、傍受したESSIDを用いて、アクセスポイントAP1に対してプローブリクエストを行う(処理T20)。アクセスポイントAP1は、端末装置71に対してプローブレスポンスを行う(処理T21)。
【0045】
そして、端末装置71は、解読した認証用のパスワードを用いて、アクセスポイントAP1に対して認証の依頼を行い(処理T22)、アクセスポイントAP1は、これに対して応答を返す(処理T23)。
【0046】
アクセスポイントAP1は、認証用のパスワードが正しければ、端末装置71に対して、認証が成功したことの通知を行う(処理T24)。端末装置71は、この通知に対して応答を返す(処理T25)。
【0047】
認証が成功すると、端末装置71は、アクセスポイントA1に対して、接続要求を行う(処理T26)。アクセスポイントAP1は、端末装置71に対して応答を返し(処理T27)、接続を許可する旨の接続レスポンスを端末装置71に通知する(処理T28)。端末装置71は、接続レスポンスに対する応答を、アクセスポイントAP1に返し(処理T29)、偽データフレーム以外の暗号化されたデータフレームの転送を開始する(処理T30)。
【0048】
無線通信装置50のCPU51は、RAM53に格納されている偽のデータフレームと、アクセスポイントAP1が受信したデータフレームとを比較して不正アクセスが発生したか判定する。偽のデータフレームと、アクセスポイントAP1が受信したデータフレームが異なる場合、CPU51は、たとえば、アクセスポイントAP1に、正規ユーザの端末装置70に対して警告を通知させる(処理T31)。
【0049】
なお、CPU51は、アクセスポイントAP2に、正規ユーザの端末装置70に対して警告を通知させるようにしてもよい。また、CPU51は、警告部56に警告を発生させるようにしてもよい。
【0050】
以上のような処理によれば、アクセスポイントAP1が、自身を送信先とした偽の通信情報の送信を繰り返すことで、正規のアクセスポイントAP2の通信情報を隠すことができる。これにより、正規のアクセスポイントAP2の認証用のパスワードなどの通信情報が悪意のある者に解読されることを防ぐことができる。
【0051】
また、RAM53に記憶された偽の通信情報と、アクセスポイントAP1で受信したデータとを比較判定を行うことで、非正規ユーザの端末装置71からのアクセスを検出できる。そして、アクセスポイントAP1,AP2の少なくとも1つが、端末装置70に警告を通知することで、正規のユーザは、無線通信装置50に対する不正アクセスがあったことを認識できる。
【0052】
以上、実施の形態に基づき、本発明の無線通信装置及び無線通信方法の一観点について説明してきたが、これらは一例にすぎず、上記の記載に限定されるものではない。
たとえば、正規のアクセスポイントAP1についても、正規のユーザの端末装置70と無線通信していないときには、偽の通信情報を、自身を送信先として繰り返し送信するようにしてもよい。
【符号の説明】
【0053】
10 無線通信装置
11−1〜11−n 無線通信部
12 記憶部
13 判定部
20 ネットワーク
【技術分野】
【0001】
本発明は、無線通信装置及び無線通信方法に関する。
【背景技術】
【0002】
無線LAN(Local Area Network)通信において、悪意あるものにより通信内容を解析されると、個人情報が盗まれたり、無線LANルータのアクセスポイントを悪事のために無断に利用されることがある。
【0003】
その対応として、従来では、無線LANルータのアクセスポイントの隠蔽機能(アクセスポイントが識別情報であるESSID(Extended Service Set Identifier)を送信しない機能)を用い、さらに、認証の際には、暗号を施すことが行われている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2008−21075号公報
【特許文献2】特開2007−235662号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、無線通信において、通信情報は、電波が届く範囲内であれば簡単に受信することができ、暗号対応の認証データは時間があれば解析可能である。認証に利用しているパスワードが解読された場合、そのパスワードを利用して無線通信装置へ自由にアクセスされてしまい、悪事のために利用されてしまう問題があった。
【課題を解決するための手段】
【0006】
発明の一観点によれば、互いに異なる識別情報を有し、それぞれアクセスポイントとして機能する複数の無線通信部を有し、前記複数の無線通信部の少なくとも1つは、自身を送信先とした偽の通信情報の送信を繰り返す無線通信装置が提供される。
【発明の効果】
【0007】
開示の無線通信装置及び無線通信方法によれば、通信情報が悪意ある者によって解析されることを抑制できる。
【図面の簡単な説明】
【0008】
【図1】第1の実施の形態の無線通信装置の一例を示す図である。
【図2】無線通信装置の動作例を説明する図である。
【図3】第2の実施の形態の無線通信装置のハードウェア例を示す図である。
【図4】本実施の形態の無線通信装置による無線通信の一例を示す通信シーケンス図である。
【図5】偽のデータフレームの一例を示す図である。
【図6】通信を傍受した非正規ユーザの端末装置からの不正アクセス発生時の無線通信装置の処理の例を示す通信シーケンス図である。
【発明を実施するための形態】
【0009】
以下、本発明の実施の形態を、図面を参照しつつ説明する。
(第1の実施の形態)
図1は、第1の実施の形態の無線通信装置の一例を示す図である。
【0010】
無線通信装置10は、複数の無線通信部11−1,11−2,…,11−n、記憶部12、判定部13を有している。
無線通信部11−1〜11−nは、それぞれ、無線通信のアクセスポイントとして機能し、互いに異なる識別情報(ESSID)を有している。無線通信部11−1〜11−nのうち、少なくとも1つは、自身を送信先として偽の通信情報を繰り返し送信する偽のアクセスポイントとして機能する。
【0011】
なお、図1の例では、無線通信部11−1は、たとえば、図示しない有線通信用の通信部を介して、インターネット、WAN(Wide Area Network)またはLAN(Local Area Network)などのネットワーク20に接続されている。
【0012】
記憶部12は、偽のアクセスポイントが送信する偽の通信情報の少なくとも一部を記憶する。
判定部13は、偽のアクセスポイントが受信するデータと、記憶部12に記憶されている偽の通信情報とを比較し、不正アクセスが発生しているか否かを判定する。
【0013】
図2は、無線通信装置の動作例を説明する図である。
図2では、無線通信装置10と端末装置30,40との無線通信の様子が示されている。なお、端末装置30,40は、デスクトップまたはノート型のPC(パーソナルコンピュータ)であってもよいし、携帯型移動端末装置でもよい。また、コンピュータに限らず、スマートフォンなどの携帯電話であってもよい。
【0014】
以下の説明において、無線通信部11−1は、端末装置30との間で、ESSIDやパスワードを用いて認証などを行い、通信情報のやり取りを行う正規のアクセスポイントとして機能するものとする。
【0015】
また、他の無線通信部11−2〜11−nは、自身を送信先として、記憶部12に記憶されている偽の通信情報の送信を繰り返す、偽のアクセスポイントとして機能するものとする。
【0016】
偽の通信情報は、端末装置30のユーザが予め設定したデータであってもよいし、記憶部12が端末装置30と無線通信部11−1間で通信していたものを自動的に取得したデータであってもよい。また、偽の通信情報は、無線通信部11−1が、ネットワーク20上のあるウェブサイトのページの情報を定期的に取得したものであってもよい。
【0017】
偽の通信情報は、繰り返し送信されるので、端末装置30と無線通信部11−1で送受信される通信情報より多くなる。そのため、正規のアクセスポイントの通信情報が多数の偽の暗号化データに紛れて、分かりにくくなっている。
【0018】
これによって、非正規ユーザの端末装置40が、無線通信部11−1〜11−nが送受信する通信情報または偽の通信情報を傍受した場合、端末装置40は、偽の通信情報を多く取得して、これらに対する復号を試みる可能性が高くなる。
【0019】
たとえば、端末装置40が、無線通信部11−nが送信している偽の通信情報を傍受した場合の動作について説明する。
端末装置40のユーザは、自身、または他の端末装置などを用いて、取得した偽の通信情報の解読を試みる。認証用のパスワードや無線通信部11−nのESSIDを解読した場合、端末装置40は、そのパスワードを用いて、正規のユーザの端末装置30になり済まして、偽の通信情報とは異なる自身で作成した通信情報を無線通信部11−nに送信する。
【0020】
無線通信部11−nは、端末装置40から受信した通信情報を判定部13に送る。この通信情報は、記憶部12に格納されている偽の通信情報と異なることから、判定部13は、不正アクセスが発生したと判定する。
【0021】
判定部13によって不正アクセスが発生したと判定された場合、無線通信部11−1〜11−nの少なくとも1つ、たとえば、無線通信部11−1は、正規のユーザの端末装置30に対して、不正アクセスが発生したことを示す警告を送信する。
【0022】
これにより、正規のユーザは、無線通信装置10に対する不正なアクセスが行われていることを知ることができる。
なお、判定部13は、無線通信部11−2〜11−nが偽の通信情報を自身に対して送信していない期間に、端末装置40からアクセスがあった場合に、不正アクセスが発生したと判定するようにしてもよい。
【0023】
以上のように、第1の実施の形態の無線通信装置10によれば、無線通信部11−1〜11−nの少なくとも1つが、自身を送信先とした偽の通信情報の送信を繰り返すことで、正規のアクセスポイントの通信情報を隠すことができる。これにより、正規のアクセスポイントの認証用のパスワードなどの通信情報が悪意のある者に解読されることを防ぐことができる。
【0024】
また、判定部13が記憶部12に記憶された偽の通信情報と、偽のアクセスポイントとなる無線通信装置11−2〜11−nで受信したデータとを比較判定を行うことで、悪意のある者の端末装置40からのアクセスを検出できる。そして、無線通信部11−1〜11−nの少なくとも1つが、端末装置30に通知することで、正規のユーザは、無線通信装置10に対する不正アクセスがあったことを認識できる。
【0025】
(第2の実施の形態)
図3は、第2の実施の形態の無線通信装置のハードウェア例を示す図である。
無線通信装置50は、たとえば、無線LANルータであり、CPU(Central Processing Unit)51、ROM(Read Only Memory)52、RAM(Random Access Memory)53、無線通信部54−1,54−2、通信部55、警告部56を有している。これらはバス57により接続されている。
【0026】
CPU51は、ROM52に格納されているプログラムや、各種データに応じて無線通信装置50の各部を制御し、図1に示した判定部13などの処理を行う。
ROM52は、CPU51が実行する基本的なプログラムやデータを格納する。
【0027】
RAM53は、CPU51が実行途中のプログラムや演算途中のデータのほか、前述した偽の通信情報などを格納する。
無線通信部54−1は、受信部54a−1、送信部54b−1を有し、図示しないアンテナを介して、自身に対して偽の通信情報を繰り返し送信する偽のアクセスポイントAP1として機能する。無線通信部54−2は、受信部54a−2、送信部54b−2を有し、正規ユーザの端末装置70と、図示しないアンテナを介して、無線通信を行う正規のアクセスポイントAP2として機能する。
【0028】
無線通信部54−1,54−2は、別々の搬送波周波数で無線通信を行い、ESSID及び認証用のパスワードは互いに異なっている。
通信部55は、インターネットなどのネットワーク60と接続し、情報の送受信を行う。たとえば、通信部55は、CPU51の制御のもと、無線通信部54−2で受信した情報をネットワーク60に送信したり、ネットワーク60からの情報を受信して無線通信部54−2側に伝える。なお、CPU51は、通信部55と偽のアクセスポイントAP1との間の信号のやり取りを禁止する。たとえば、CPU51は、ROM52に格納するドライバなどに無線通信部54−1と通信部55との間の信号のやり取りを禁止することを設定する。
【0029】
警告部56は、非正規ユーザの端末装置71からのアクセスがあった場合に、警告を発する。警告は、たとえば、光であってもよいし、ブザー音などの音であってもよい。
以下、無線通信装置50による無線通信方法を説明する。
【0030】
図4は、本実施の形態の無線通信装置による無線通信の一例を示す通信シーケンス図である。
図4では、正規ユーザの端末装置70と、無線通信装置50のアクセスポイントAP1,AP2と、ネットワーク60との間の通信の様子が示されている。なお、正規ユーザの端末装置70とアクセスポイントAP2との間の認証については図示を省略している。
【0031】
アクセスポイントAP1は、正規のアクセスポイントAP2での接続シーケンスを模擬した偽の接続シーケンスを、自身で行う。偽の通信情報は、接続シーケンスに基づいた情報であり、アクセスポイントAP1の送信部54b−1から、自身のアクセスポイントAP1の受信部54a−1に繰り返し送信される。
【0032】
正規の接続シーケンスに基づいた偽の通信情報を送信することで、悪意のある者に、その情報が本物の通信情報であると認識させることができる。
図4に示す例では、アクセスポイントAP1は、まず、接続したいアクセスポイントのESSIDをブロードキャストするプローブリクエストを、自身に対して行う(処理T1)。
【0033】
そして、アクセスポイントAP1は、プローブリクエストに対して、自身の通信速度などを通知するプローブレスポンスを、自身に対して行う(処理T2)。
その後、アクセスポイントAP1は、WEP(Wired Equivalent Privacy)などの所定の暗号認証方式による認証の依頼(処理T3)と、その応答(Ack)(処理T4)を自身に対して行う。さらに、アクセスポイントAP1は、認証が成功したことの通知(処理T5)と、その応答(処理T6)を自身に対して行う。
【0034】
認証が終了すると、アクセスポイントAP1は、接続要求(処理T7)とその応答(処理T8)を自身に対して行う。
その後、アクセスポイントAP1は、たとえば、RAM53に記憶されている通信情報の1つである、暗号化された偽のデータフレームを自身に対して送信する(処理T9)。
【0035】
図5は、偽のデータフレームの一例を示す図である。偽のデータフレームの例として、図5(A)では、HTTP(HyperText Transfer Protocol)リクエストデータ、図5(B)では、HTTPレスポンスデータの例が示されている。
【0036】
HTTPリクエストデータは、たとえば、正規ユーザの端末装置70から送信された、インターネット上のウェブサーバへのページ取得要求に関するデータである。HTTPのリクエストメソッド(図5(A)の例では“GET”)、HTTPのバージョン、User−Agentで示されているブラウザの種類とそのバージョン、アクセスしたいページのアドレスなどが含まれている。
【0037】
HTTPレスポンスデータは、HTTPリクエストに対する、インターネット上のウェブサーバからの応答データである。指定されたHTTPのバージョンに対応しているかの情報、送信日付などのデータが記載されたヘッダ情報と、ウェブページの内容が含まれる。
【0038】
たとえば、CPU51は、無線通信部54−2または通信部55から上記のようなデータフレームを取得してRAM53に記憶しておく。図5(B)のようなHTTPレスポンスデータが、偽のデータフレームとしてRAM53から読み出される際、たとえば、CPU51は、日付の部分を、無線通信部54−1が偽の通信情報として送信する送信日時に書き換える。これにより、悪意ある者に、偽の通信情報であることが気付かれないようにする。
【0039】
なお、偽のデータフレームの内容としては、これに限定されず、TCP/IP(Transmission Control Protocol/Internet Protocol)プロトコルの内容などとしてもよい。
アクセスポイントAP1は、以上のような偽の接続シーケンス(処理T1〜T9)を繰り返し行う。
【0040】
一方、正規ユーザの端末装置70から、プローブリクエストがあった場合、図示を省略しているが、アクセスポイントAP2と端末装置70間で接続シーケンスが行われる。認証や接続が成功すると、アクセスポイントAP2は、正規ユーザの端末装置70からの暗号化されているデータフレームの転送を開始する(処理T10)。
【0041】
そして、アクセスポイントAP2は、受信したデータフレームを復号して、たとえば、有線でインターネットなどのネットワーク60上の端末装置(たとえば、ウェブサーバ)に転送する(処理T11)。なお、データフレームに対する暗号化方式と、認証時の暗号化方式は異なっていてもよい。
【0042】
上記のような処理により、非正規ユーザが正規ユーザの端末装置70と無線通信装置50間の無線通信の傍受を試みる場合、アクセスポイントAP2よりも、アクセスポイントAP1から送信される偽の通信情報が多く傍受されることになる。
【0043】
偽の通信情報を傍受した非正規ユーザは、偽の通信情報から認証用のパスワードを解読し、たとえば、端末装置71を用いて、アクセスポイントAP1に対する接続を試みる。
図6は、通信を傍受した非正規ユーザの端末装置からの不正アクセス発生時の無線通信装置の処理の例を示す通信シーケンス図である。
【0044】
非正規ユーザの端末装置71は、傍受したESSIDを用いて、アクセスポイントAP1に対してプローブリクエストを行う(処理T20)。アクセスポイントAP1は、端末装置71に対してプローブレスポンスを行う(処理T21)。
【0045】
そして、端末装置71は、解読した認証用のパスワードを用いて、アクセスポイントAP1に対して認証の依頼を行い(処理T22)、アクセスポイントAP1は、これに対して応答を返す(処理T23)。
【0046】
アクセスポイントAP1は、認証用のパスワードが正しければ、端末装置71に対して、認証が成功したことの通知を行う(処理T24)。端末装置71は、この通知に対して応答を返す(処理T25)。
【0047】
認証が成功すると、端末装置71は、アクセスポイントA1に対して、接続要求を行う(処理T26)。アクセスポイントAP1は、端末装置71に対して応答を返し(処理T27)、接続を許可する旨の接続レスポンスを端末装置71に通知する(処理T28)。端末装置71は、接続レスポンスに対する応答を、アクセスポイントAP1に返し(処理T29)、偽データフレーム以外の暗号化されたデータフレームの転送を開始する(処理T30)。
【0048】
無線通信装置50のCPU51は、RAM53に格納されている偽のデータフレームと、アクセスポイントAP1が受信したデータフレームとを比較して不正アクセスが発生したか判定する。偽のデータフレームと、アクセスポイントAP1が受信したデータフレームが異なる場合、CPU51は、たとえば、アクセスポイントAP1に、正規ユーザの端末装置70に対して警告を通知させる(処理T31)。
【0049】
なお、CPU51は、アクセスポイントAP2に、正規ユーザの端末装置70に対して警告を通知させるようにしてもよい。また、CPU51は、警告部56に警告を発生させるようにしてもよい。
【0050】
以上のような処理によれば、アクセスポイントAP1が、自身を送信先とした偽の通信情報の送信を繰り返すことで、正規のアクセスポイントAP2の通信情報を隠すことができる。これにより、正規のアクセスポイントAP2の認証用のパスワードなどの通信情報が悪意のある者に解読されることを防ぐことができる。
【0051】
また、RAM53に記憶された偽の通信情報と、アクセスポイントAP1で受信したデータとを比較判定を行うことで、非正規ユーザの端末装置71からのアクセスを検出できる。そして、アクセスポイントAP1,AP2の少なくとも1つが、端末装置70に警告を通知することで、正規のユーザは、無線通信装置50に対する不正アクセスがあったことを認識できる。
【0052】
以上、実施の形態に基づき、本発明の無線通信装置及び無線通信方法の一観点について説明してきたが、これらは一例にすぎず、上記の記載に限定されるものではない。
たとえば、正規のアクセスポイントAP1についても、正規のユーザの端末装置70と無線通信していないときには、偽の通信情報を、自身を送信先として繰り返し送信するようにしてもよい。
【符号の説明】
【0053】
10 無線通信装置
11−1〜11−n 無線通信部
12 記憶部
13 判定部
20 ネットワーク
【特許請求の範囲】
【請求項1】
互いに異なる識別情報を有し、それぞれアクセスポイントとして機能する複数の無線通信部を有し、
前記複数の無線通信部の少なくとも1つは、自身を送信先とした偽の通信情報の送信を繰り返すことを特徴とする無線通信装置。
【請求項2】
前記偽の通信情報を記憶する記憶部と、
前記偽の通信情報を送信する無線通信部が受信するデータと前記記憶部に記憶されている前記偽の通信情報とを比較し、不正アクセスが発生しているか否かを判定する判定部と、
を有することを特徴とする請求項1に記載の無線通信装置。
【請求項3】
前記偽の通信情報は、アクセスポイントと接続先の端末装置が行う接続シーケンスに基づいた情報であることを特徴とする請求項1または2に記載の無線通信装置。
【請求項4】
前記判定部で不正アクセスが発生していると判定された場合、前記複数の無線通信部の少なくとも1つが、正規のユーザの端末装置に対して、警告を通知することを特徴とする請求項2または3に記載の無線通信装置。
【請求項5】
前記判定部で不正アクセスが発生していると判定された場合に、警告を発する警告部を有することを特徴とする請求項2乃至4の何れか一項に記載の無線通信装置。
【請求項6】
無線通信装置に含まれ、互いに異なる識別情報を有し、それぞれアクセスポイントとして機能する複数の無線通信部の少なくとも1つが、自身を送信先とした偽の通信情報の送信を繰り返すことを特徴とする無線通信方法。
【請求項1】
互いに異なる識別情報を有し、それぞれアクセスポイントとして機能する複数の無線通信部を有し、
前記複数の無線通信部の少なくとも1つは、自身を送信先とした偽の通信情報の送信を繰り返すことを特徴とする無線通信装置。
【請求項2】
前記偽の通信情報を記憶する記憶部と、
前記偽の通信情報を送信する無線通信部が受信するデータと前記記憶部に記憶されている前記偽の通信情報とを比較し、不正アクセスが発生しているか否かを判定する判定部と、
を有することを特徴とする請求項1に記載の無線通信装置。
【請求項3】
前記偽の通信情報は、アクセスポイントと接続先の端末装置が行う接続シーケンスに基づいた情報であることを特徴とする請求項1または2に記載の無線通信装置。
【請求項4】
前記判定部で不正アクセスが発生していると判定された場合、前記複数の無線通信部の少なくとも1つが、正規のユーザの端末装置に対して、警告を通知することを特徴とする請求項2または3に記載の無線通信装置。
【請求項5】
前記判定部で不正アクセスが発生していると判定された場合に、警告を発する警告部を有することを特徴とする請求項2乃至4の何れか一項に記載の無線通信装置。
【請求項6】
無線通信装置に含まれ、互いに異なる識別情報を有し、それぞれアクセスポイントとして機能する複数の無線通信部の少なくとも1つが、自身を送信先とした偽の通信情報の送信を繰り返すことを特徴とする無線通信方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−222761(P2012−222761A)
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【出願番号】特願2011−89695(P2011−89695)
【出願日】平成23年4月14日(2011.4.14)
【出願人】(308014341)富士通セミコンダクター株式会社 (2,507)
【Fターム(参考)】
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【出願日】平成23年4月14日(2011.4.14)
【出願人】(308014341)富士通セミコンダクター株式会社 (2,507)
【Fターム(参考)】
[ Back to top ]