無線通信装置
【課題】通信グループで予め定められた暗号化による最低限のセキュリティレベルを確保して無線通信が可能な無線通信装置を提供する。
【解決手段】無線通信装置は、第1通信グループに属する第1無線通信装置から、第1通信グループに属する無線通信装置との通信に使用可能な1つ以上の暗号化方式を示す第1セキュリティ情報を含むビーコンフレーム又はプローブ応答フレームを受信する受信手段11と、第1セキュリティ情報に含まれる暗号化方式のうちの少なくとも1つを示す第2セキュリティ情報を含み、第1無線通信装置へ接続を要求するための第1接続要求フレームを、第1無線通信装置へ送信し、第1無線通信装置から接続を許可するための接続応答フレームを受信した後に、第2セキュリティ情報が示す暗号化方式によって暗号化されたフレームボディを有するデータフレームを送信する送信手段12とを備える。
【解決手段】無線通信装置は、第1通信グループに属する第1無線通信装置から、第1通信グループに属する無線通信装置との通信に使用可能な1つ以上の暗号化方式を示す第1セキュリティ情報を含むビーコンフレーム又はプローブ応答フレームを受信する受信手段11と、第1セキュリティ情報に含まれる暗号化方式のうちの少なくとも1つを示す第2セキュリティ情報を含み、第1無線通信装置へ接続を要求するための第1接続要求フレームを、第1無線通信装置へ送信し、第1無線通信装置から接続を許可するための接続応答フレームを受信した後に、第2セキュリティ情報が示す暗号化方式によって暗号化されたフレームボディを有するデータフレームを送信する送信手段12とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、無線通信システム及び無線通信装置並びに無線通信方法に係り、特に、複数の無線端末装置及びアクセスポイントから構成される無線通信システムに関する。
【背景技術】
【0002】
無線LANとして、IEEE802.11(IEEE802.11システムは、IEEE802.11aシステム及びIEEE802.11bシステム等を含むものとする。)に基づく無線LANシステムが非特許文献1で知られている。この無線LANシステムでは、暗号化方式として有線と同様にプライバシーを確保することができるWEP(Wired Equivalent Privacy)という方式が適用されている。従って、IEEE802.11に基づく無線LANのセキュリティレベルには、WEPが適用されるWEPモード及びWEPが適用されない非WEPモードがある。
【0003】
実際のIEEE802.11に従った無線LANの製品においては、WEPという暗号化方式が適用されるWEPモード及び適応されない非WEPモードの何れかでの通信が可能であり、また、WEPが適用されるWEPモードにおいては、暗号化のレベルが異なる64ビット及び128ビットの暗号化モードがあり、いずれかが無線LANにおける各通信或いは各接続リンクに適用されて通信が実現される。ここで、暗号化のレベルが高ければ高いほど、セキュリティレベルが高く、より強く暗号化されていることを意味している。
【0004】
IEEE802.11に従った無線LANの一形態として、1台のアクセスポイント(以下、基地局とも称する。)及びこのアクセスポイントに接続される複数の無線クライアント(以下、端末とも称する。)から構成されるBSS(Basic Service Set)という構成単位があり、複数のBSSが用意されてネットワークが構築されるシステムがある。
【0005】
このBSS間を接続する構造的な要素は、DS(Distribution System)と称せられている。基地局、即ち、アクセスポイントは、このDSに接続する機能を有し、情報は、アクセスポイントを介してBSSとDSとの間を伝達される。従って、端末は、アクセスポイントを介して他のBSSに属する端末とも通信することができる。
【0006】
端末は、BSSに属し、基地局を介して他のBSSに属する端末と通信するためには、基地局との間でオーセンティケーション(authentication)及びアソシエーション(association)手続きが実施される。また、端末が他のアクセスポイントに無線接続し直すときにはリアソシエーション(reassociation)手続きが実行される。
【0007】
IEEE802.11に定まる無線LANでは、交換するフレームの種類として、アクセス制御の為の制御用フレーム(control frame)と、ビーコンをはじめとする管理用フレーム(management frame)と、データ通信用のデータフレーム(data frame)とがある。ここで、オーセンティケーション、アソシエーション及びリアソシエーションの処理には、管理用フレームが使用される。
【0008】
端末がアクセスポイントとの間でデータフレームを送受する場合には、必ずその前にオーセンティケーション及びアソシエーション処理が実行される。
【0009】
IEEE802.11に定まる無線LANでは、端末が暗号化方式であるWEPを使用するか否かを基地局に問い合わせる。即ち、オーセンティケーション要求(authentication request)において、端末が基地局にWEPを使用することを要求し、この要求を受けた基地局は、WEPを使用できる場合には、基地局と端末との間でオーセンティケーションフレームを送受している。このようなオーセンティケーションフレームの送受に基づいてWEPを使用できるようになる。
【0010】
IEEE802.11に定まる無線LANの他の形態として、既存のインフラとは独立に存在するBSSがあり、これをIBSS(Independent Basic Service Set)と称している。IBSSでは、アクセスポイントは、用意されず、IBSSは、端末が直接互いに通信し合う通信形態に相当している。また、IBSSでは、アソシエーション処理は、実行されず、同様に、リアソシエーション処理も実行されない。このIBSSでは、端末間でオーセンティケーション処理を経ていなくてもデータフレームを送受することができる。
【先行技術文献】
【非特許文献】
【0011】
【非特許文献1】ISO/IEC 8802−11:1999(E) ANSI/IEEE Std 802.11、1999 edition
【発明の概要】
【発明が解決しようとする課題】
【0012】
このように、従来の無線LANでは、セキュリティ対策の1つとして通信データが暗号化されている。通信に際して暗号化機能(WEP機能)を用いるか否かは、接続要求を発した側、例えば、端末から接続要求を受けた側、例えば、アクセスポイントに要求される。この要求を受けた基地局側では、当該要求に合ったWEP機能の使用が可能であれば、当該要求を受け入れ、当該端末との間でのデータ通信を暗号化している。また、何れのセキュリティレベルで通信を実施するかも接続要求を発した側で主導的に定められる。
【0013】
今後、無線LANには、WEP以外にも、WEPよりセキュリティレベルの高い暗号化方式など、暗号化のレベルが異なる複数種類の暗号化方式が無線LANに採用されると推測される。従って、暗号化方式の種類、暗号化レベルなどに応じてきめ細かなセキュリティレベルの設定が可能となることが要求される。
【0014】
しかし、従来の無線LANでは、BSS毎に、セキュリティ確保のために最低の暗号化レベルが予め定め、それ以上のレベルを有する暗号化での通信しか許容しないシステムを作るということができないばかりか、通信の際に、暗号化方式の種類、暗号化強度などに応じたきめ細やかなセキュリティレベルが設定できない問題点がある。
【0015】
さらに、IBSSではデータフレームを送信する際にオーセンティケーションをする必要がないため、暗号化されないデータフレームを送信してシステム内のセキュリティを確保することができない問題点がある。
【0016】
また、BSS毎に、そのBSSに予め定められたセキュリティレベルを確保することができないと同様に複数のBSS間で通信するDS通信においても、各BSSに定められたセキュリティレベルを確保することはできない問題点がある。
【0017】
この発明は上述した事情に鑑みなされたものであって、その目的は、通信グループで予め定められた暗号化による最低限のセキュリティレベルを確保して無線通信ができる無線通信システム及び無線通信装置並びに無線通信方法を提供するにある。
【課題を解決するための手段】
【0018】
この発明によれば、第1通信グループに属する第1無線通信装置と通信するための無線通信装置であって、前記第1無線通信装置から、前記第1通信グループに属する無線通信装置との通信に使用可能な1つ以上の暗号化方式を示す第1セキュリティ情報を含むビーコンフレーム又はプローブ応答フレームを受信する受信手段と、前記第1セキュリティ情報に含まれる暗号化方式のうちの少なくとも1つを示す第2セキュリティ情報を含み、前記第1無線通信装置へ接続を要求するための第1接続要求フレームを、前記第1無線通信装置へ送信し、前記第1無線通信装置から接続を許可するための接続応答フレームを受信した後に、前記第2セキュリティ情報が示す暗号化方式によって暗号化されたフレームボディを有するデータフレームを送信する送信手段とを備え、前記第1接続要求フレームは、フレームコントロールフィールドと、フレームボディとを有し、前記フレームボディは、前記第2セキュリティ情報を有し、前記フレームコントロールフィールドは、タイプフィールドと、保護フィールドとを有し、前記タイプフィールドは、前記第1接続要求フレームの種別が、管理フレームであることを示す情報を有し、前記保護フィールドは、前記フレームボディが暗号化された情報を含むかどうかを示す情報を有することを特徴とする無線通信装置が提供される。
【発明の効果】
【0019】
以上説明したように、本発明によれば、BSS、IBSSといった、無線LANの基本グループ(通信グループ)毎に、それぞれのグループで予め定められた暗号化による最低限のセキュリティレベルを確保した無線通信が行える。また、複数の無線通信装置間の通信において、当該複数の無線通信装置のうちの少なくとも1つが、最低限守るべきセキュリティレベル(最低レベルのセキュリティレベル)が予め定められている通信グループ(例えば、BSSやIBSS)内の無線通信装置であるときには、必ず上記最低レベル以上のセキュリティレベルは確保することができる。
【図面の簡単な説明】
【0020】
【図1】この発明の実施形態に係る通信システムを概略的に示す模式図である。
【図2】図1に示す基地局の回路構成の一例を示すブロック図である。
【図3】図1に示す無線端末の回路構成の一例を示すブロック図である。
【図4】図1に示す通信システムにおける基地局及び端末との間で転送されるIEEE802.11に規定されているMACフレームの構造を示す模式図である。
【図5】図1に示される通信システムにおける基地局或いは端末が備えるセキュリティテーブルの一具体例を示すテーブルである。
【図6】図1に示される通信システムにおける基地局或いは端末がセキュリティテーブルの他の具体例を示すテーブルである。
【図7】図1に示される通信システムにおける基地局と端末の処理動作の一例を説明するためのフローチャートである。
【図8】(a)は、図1に示す通信システムにおける基地局及び端末との間で転送されるIEEE802.11に規定されているオーセンティケーションのフレーム構造を示した模式図及び(b)は、(a)に示されるフレームの項目に記述される内容を示すテーブルである。
【図9】(a)〜(c)は、図1に示す通信システムにおける基地局及び端末との間で転送されるIEEE802.11に規定されているアソシエーションリクエストフレーム及びアソシエーションリスポンスフレームの構造を示した模式図である。
【図10】図1に示す通信システムにおける基地局或いは端末が備える更新されたセキュリティテーブルの具体例を示すテーブルである。
【図11】図1に示される通信システムにおける基地局から端末に向けられるIEEE802.11に規定されているビーコンフレームの構造を示す模式図である。
【図12】図1に示される通信システムにおける基地局から端末に基地局が属するBSSに予め定められた最低レベルのセキュリティレベルが通知されて基地局に接続要求する処理手続きを示すフローチャートである。
【図13】図1に示す通信システムにおける基地局及び端末との間で転送されるアソシエーション応答フレームを利用してセキュリティレベルが通知され、このセキュリティレベルがチェックされる処理手続きを示すフローチャートである。
【図14】(a)〜(c)は、図1に示す通信システムにおける基地局及び端末との間で転送されるIEEE802.11に規定されているリアソシエーションリクエストフレーム及びリアソシエーションリスポンスフレームの構造を示した模式図である。
【図15】図1に示す通信システムにおける基地局及び端末との間で転送されるリアソシエーション応答フレームを利用してセキュリティレベルが通知され、このセキュリティレベルがチェックされる処理手続きを示すフローチャートである。
【図16】この発明の他の実施形態に係る通信システムを概略的に示すブロック図である。
【図17】図16に示される通信システムにおいて、他の無線通信装置に接続されている無線通信装置が更に他の無線通信装置に接続要求する際の接続要求を発した側の処理手続きの一例を説明するためのフローチャートである。
【図18】図16に示される通信システムにおいて、他の無線通信装置に接続されている無線通信装置が更に他の無線通信装置に接続要求する際の接続要求を発した側の処理手続きの一例を説明するためのフローチャートである。
【図19】この発明のさらに他の実施形態に係る通信システムを概略的に示すブロック図である。
【図20】図19に示す通信システムにおける端末間で無線接続する為の処理手順を説明するためのフローチャートである。
【図21】図19に示す通信システムにおける端末間で無線接続する際の端末での処理動作の一例を説明するためのフローチャートである。
【図22】この発明のさらに他の実施形態に係る通信システムを概略的に示すブロック図である。
【図23】図22に示す通信システムにおける端末間で無線接続する為の端末での処理動作の他の例を説明するためのフローチャートである。
【図24】この発明のさらに他の実施形態に係る通信システムを概略的に示すブロック図である。
【発明を実施するための形態】
【0021】
以下、図面を参照して、この発明の無線通信システムに係る実施形態について説明する。
まず、以下の実施形態における無線LANシステムでは、複数種類の暗号方式が適用可能であり、その暗号方式の種類が区別され、しかも、暗号化レベルをランク付けしたセキュリティレベルが予め定められている。複数種類の暗号化方式の夫々に異なるレベルがあるとすると、そのある種類の暗号化方式における1つの暗号化レベル毎に、暗号化強度の程度に応じてランクが付され、夫々に対し1つのセキュリティレベルが設定される。従って、同一の暗号化強度を有していても、暗号化方式の種類が異なれば、そのセキュリティレベルとして異なるレベルが与えられる。例えば、セキュリティレベルとして、暗号化の強度の低いものから順に、enc.0、enc.1、enc.2、…、enc.(n−1)のようにn個があるものとする。同一強度の暗号化方式が複数種類あっても、その種類毎にランクの異なるセキュリティレベルが設定されるものとする。このように、1つのセキュリティレベルには、1つの種類の暗号化方式が対応し、しかも、同一種類の暗号化方式にあっても暗号化強度の相違により複数のレベルがあるときは、その夫々のレベルに対応しているセキュリティレベルが定められる。
【0022】
さて、現行のIEEE802.11に規定された無線LANシステムにおいては、セキュリティレベルの最低レベルは、暗号化なし、即ち、WEP(Wired Equivalent Privacy)が適応されないレベルが該当する。
【0023】
現行のIEEE802.11に規定に従った無線LAN製品では、WEPが適用される場合にあっても、さらにWEPを64ビット或いは128ビットで構成するというように、2つのレベルがある。そこで、以下の実施形態の例では、複数セキュリティレベルとして、現行のIEE802.11に規定に従う無線LANと同様に、(1)”WEPなし”、(2)”WEPありで64ビットのWEPを利用”、(3)”WEPありで128ビットのWEPを利用”の3つのレベルがある場合を例として説明する。この場合、セキュリティが最も高いのは、(3)”WEPありで128ビットのWEPを利用”であり、これに次いで(4)”WEPありで64ビットのWEPを利用”のセキュリティが高くなっている。即ち、”enc.0”が(1)”WEPなし”に該当し、”enc.1”が(2)”WEPありで64ビットのWEPを利用”に該当し、”enc.2”が(3)”WEPありで128ビットのWEPを利用”に該当するものとする。
【0024】
以下の説明においては、WEPという1つの種類の暗号化方式のみの場合について説明する。しかし、WEP以外の暗号化方式であっても、暗号化方式の種類の相違とセキュリティの強さに応じて複数のレベルを設定することができれば、以下の実施形態の説明と同様にいずれの暗号化方式にあってもこの発明を適用することができる。
【0025】
以下のこの発明の実施形態では、この発明をIEE802.11に規定された無線LANシステムに適用した場合について説明する。特に、この発明の無線通信装置をIEE802.11に規定された無線LANシステムを構成する基地局或いは端末に適用した場合について説明する。
【0026】
(第1の実施形態)
まず、この発明の第1の実施形態に無線通信システムとして、複数の端末、例えば、2つの端末(WL11〜WL12)及びこの端末(WL11〜WL12)が無線接続される基地局AP1が1つのBSS(ベーシックサービスセット)を構成する通信システムを説明する。
【0027】
図1は、第1のBSS(以下、簡単にBSS1と呼ぶ)を模式的に示したものである。BSS1は、アクセスポイントとしての基地局AP1及び基地局AP1に接続される複数の端末、例えば、ここでは、2つの無線端末(以下、端末と呼ぶ)WL11、WL12からなる。
【0028】
尚、図1には、第1のBSS1とは異なる第2のBSS(以下、簡単にBSS2と呼ぶ)に属する基地局AP2と、BSS1及びBSS2にも加入していない端末WL13も示している。
【0029】
BSS1には、そこで許容する最低のセキュリティレベル(enc_low)が設定されている。この実施形態に係る無線通信システムでは、BSS1で許容する最低のセキュリティレベル(enc_low)は、セキュリティレベル”enc.1”であるとしている。図1には、許容する最低のセキュリティレベル(enc_low)がセキュリティレベル”enc.1”である旨をenc_low=enc.1と表している。基地局AP1では、”enc.1”というセキュリティレベル以外にも、セキュリティレベル”enc.1”よりもレベルが高いセキュリティレベル”enc.2”をもサポートしているものとする。従って、BSS1で使用可能な最高のセキュリティレベル(enc_high)は、”enc.2”となる。図1では、最高のセキュリティレベル(enc_high)が”enc.2”である旨をenc_high=enc.2と表している。基地局AP1と、この基地局AP1に接続される端末或いは基地局とは、”enc.1”以上のセキュリティレベルで通信がされることが予め基地局AP1に設定されている。同様に、この基地局AP1を中継して他の装置に通信する為の端末或いは基地局との間は、”enc.1”以上のセキュリティレベルで通信がされることが予め基地局AP1に設定されている。
【0030】
一方、端末WL11の有するセキュリティレベルは、”enc.0”と”enc.1”、端末WL12の有するセキュリティレベルは、”enc.0”と”enc.1”と”enc.2”であるとする。
【0031】
図2は、図1に示された基地局AP1の回路構成のブロックを示している。尚、以下の説明において、基地局AP1と基地局AP2を区別する必要のないとき、或いは、両方に共通する説明の場合には、単に基地局APと称する。
【0032】
図2において、受信部11では、アンテナ20で端末からの送信信号が受信され、復調及び復号を含む処理によって受信信号が生成される。送信部12で、アンテナ20を介して端末へ送信すべき送信信号が生成され、これらの送信信号はアンテナ20に供給される。
【0033】
受信部11からの受信信号は、受信制御部13に入力され、例えば、IEEE802.11システム(以下の説明において、IEEE802.11システムは、IEEE802.11aシステム、IEEE802.11bシステム及び今後策定されるIEEE802.11システムも含むものとする。)に準拠した所定の受信処理などが実施される。この受信制御部13では、基地局がサポートする複数のセキュリティレベルの夫々に対応する復号化処理を実行し、受信信号は、複合化(decrypt)されて複合化データに変換される。この複合化データは、情報処理部15に供給されてビデオ、オーディオ、テキスト及び他のタイプのデータに分けられ、必要な処理が施される。
【0034】
送信制御部14は、情報処理部15から供給されたデータを基に、端末へブロードキャスト、或いは、ユニキャストで送信するためのデータを生成する等の、IEEE802.11に準拠した所定の送信処理などを実施する。この送信制御部14では、基地局がサポートする複数のセキュリティレベルの夫々に対応する暗号化処理を送信すべきデータに施している。送信制御部14で生成されたデータは、送信部12を介して送信信号として端末へ送信される。尚、図2に示されるセキュリティテーブル21については、後に説明する。
【0035】
図3は、図1に示された端末WL11、WL12、WL13の回路構成の一例を概略的にブロックで示している。尚、以下の説明において、端末WL11、WL12、WL13などを区別する必要のないときは、或いは、全ての端末に共通する説明の場合には、単に端末WLと呼ぶ。
【0036】
端末WLは、アンテナ100、アンテナ100を介して受信信号を受信する受信部101、受信部101を制御する受信制御部105,アンテナ100を介して送信信号を送信する送信部107、この送信部107を制御する送信制御部106、送信されるデータを生成し、或いは、受信したデータ処理する、例えば、図示しない表示部に表示させる情報処理部108及びセキュリティテーブル110から構成されている。
【0037】
情報処理部108は、この情報処理部108に接続された有線ネットワーク109からデータを受け、或いは、ユーザの操作により生成されたデータを基に送信データを作成する。この送信データは、その送信データの送信がユーザによって指示されて送信要求が生ずると、この送信要求を受けて送信データを送信部107へ渡す。送信部107では、この送信データが規格で定められたディジタルデータに変換され、例えば、IPパケットをIEEE802.11で規定するMACフレーム(medium access control frame)に変換され、ディジタルデータとしてのMACフレームが所定周波数、例えば、2.4GHzの無線信号に変換されてアンテナ100から電波として発信される。
【0038】
一方、アンテナ100で受信された受信信号は、受信部101でディジタルデータとしてのMACフレームに変換され、このMACフレーム中の情報フィールドから受信データが抽出されて情報処理部108に送られる。この情報処理部108は、受信データをディスプレイに表示する等の処理を行う。尚、情報処理部108は、上記以外にも各種情報処理を行うようになっていても良い。また、セキュリティテーブル110については、後に説明する。
【0039】
IEEE802.11で規定されているMACフレームは、図4に示すように、各種制御情報が納められた最大30バイトのMACヘッダー、最大2312バイトのデータが収まるデータフィールド(フレームボディ)、そしてデータが正しく送られたのかを調べるためのフレーム・チェック・シーケンス(FCS)フィールドで構成されている。MACヘッダーには、MACフレームを制御する情報が格納されているフレームコントロールフィールド、端末がデータを送れるようになるまでの待機時間(duration)或いはIEEE802.11においてアソシエーションIDと称せられる端末のIDが記述されているDuration/IDfieldが含まれている。BSSが基地局APを備えていれば、このBSSのIDとして、基地局APのMACアドレスが記述される。また、MACヘッダーには、アドレス1のフィールドからアドレス4のフィールド及びシーケンスコントロールフィールドが用意されている。データフレームがあるアクセスポイントから他のアクセスポイントに送信される場合には、アドレス1〜4は、次のように割り当てられている。即ち、アドレス1のフィールドには、通信システム内の最終的な宛先(Destination Address)のMACアドレスが記述され、アドレス2のフィールドには、通信システム内における送信元(Source Address)のMACアドレスが記述され、アドレス3のフィールドには、当該MACフレームを直接送る送信先のMACアドレスが記述され、アドレス4のフィールドには、当該MACフレームを直接送る送信元のMACアドレスが記述されている。
【0040】
MACフレームのフレームコントロールには、プロトコルのバージョンが記述されているプロトコルバージョンフィールドが設けられ、これに続いてタイプフィールド及びサブタイプフィールドが設けられている。MACフレームには、次の3つのタイプがあり、このタイプがフレームコントロールにおけるタイプフィールド(2ビット)に記述されている。また、そのタイプのサブタイプがさらに詳細にサブタイプフィールド(4ビット)に示される。即ち、タイプとして(1) 管理用フレーム、(2)アクセス制御の為の制御用フレーム、(3)データ通信用のデータフレームがある。(1)管理用フレームには、サブタイプとしてビーコン(Beacon)、オーセンティケーション(Authentication)のフレーム、アソシエーション(Association)のフレーム、アソシエーションリクエストフレーム、アソシエーション応答フレーム等がある。また、(2) 制御用フレームには、サブタイプとしてACK(Acknowledgment)、RTS(Return To Send)、CTS(Clear To Send)等のような制御用フレームがある。サブタイプフィールド(4ビット)には、上記のような特定種類のMACフレーム中のサブタイプがさらに詳細に示されている。
【0041】
尚、フレームコントロールには、To DSフィールド(1ビット)及びFrom DSフィールド(1ビット)が含まれている。これらは、MACフレームがデータフレームであるときに利用されるものであって、それ以外の種類のフレーム、例えば、オーセンティケーション、或いは、アソシエーションのフレームでは、常に「0」が書き込まれていて利用されない。MACフレームがデータフレームであるとき、データの宛先が有線LAN、アクセスポイント或いはDSであれば、1のビットがこのTo DSフィールドに記述され、また、データの送信元が有線LAN、アクセスポイント或いはDSであれば1のビットがこのFrom DSフィールドに記述される。フレームコントロールには、リザーブフィールド(reserved field)、WEPフィールド、オーダーフィールド(order field)のような他フィールドが更に用意されている。ユーザによって情報を未だに特に定めがないリザーブフィールドに書き込みをすることができる。図4に示されるように、フレームのタイプ及びサブタイプ或いはフレームのタイプ及びサブタイプのいずれかに従って幾つかのフィールドはリザーブとされている。この発明の実施形態では、後に説明するように、このリザーブフィールドに、暗号化レベルが記述されても良い。この暗号化レベルは、送信データの属性に応じて定められる。機密性が要求されるコンテンツデータであれば、高い暗号化レベルが定められ、このリザーブフィールドにその暗号化レベルが記述される。このリザーブフィールドの暗号化レベルは、アクセスポイントと端末との間でのハンドシェイクする際に利用されても良い。WEPフィールドには、WEPが利用される場合には、1のビットがセットされる。
【0042】
再び図1を参照してBSS1について説明する。
【0043】
図1に示されるBSS1では、このBSS1に予め定められた最低限のセキュリティレベル(ここでは、”enc.1”)で通信が実行されることが予め定められている。即ち、BSS1を構成する基地局AP1と端末WL11〜WL12の夫々とは、セキュリティレベル”enc.1”、或いは、基地局AP1がサポートしているセキュリティレベルの範囲内で、”enc.1”以上のセキュリティレベルでの通信が実行される。
【0044】
基地局AP1及び端末WL11〜WL12の夫々には、記憶部を備え、この記憶部には、セキュリティテーブルが設けられている。基地局AP1のセキュリティテーブルには、基地局AP1自身がサポートするセキュリティレベル、このセキュリティレベル中でBSS1における最低レベルのセキュリティレベルは何れであるか、また、端末WL11〜WL12の夫々がサポートしているセキュリティレベルはどのようなものかが記憶される。また、好ましくは、各セキュリティレベルの暗号化・復号化に必要な情報であって、暗号鍵、或いは、暗号鍵を生成するためのシード情報など(このような暗号化・復号化に必要な情報をここでは、単に暗号パラメータと称する。)もこのセキュリティテーブルに記憶されることが好ましい。また、端末WL11〜WL12の夫々も、セキュリティテーブルが記憶されている記憶部を備え、BSS1がサポートするセキュリティレベル中の最低レベルのセキュリティレベル、他の端末のサポートしているセキュリティレベル、さらに、各セキュリティレベルに対応する暗号パラメータ等がセキュリティテーブルに記憶されている。
【0045】
図5に示すように、基地局AP1のセキュリティテーブル21には、当該基地局AP1の属するBSS1においてサポートするセキュリティレベル、BSS1に属する全ての端末WL11〜WL12の有するセキュリティレベルが夫々のセキュリティレベルの暗号・複合に必要なデータである暗号パラメータとともに予め登録されている。また、このセキュリティテーブル21には、基地局AP1の属するBSS1における最低レベルのセキュリティレベルとして設定されたセキュリティレベルが識別可能なように登録されている。図5では、セキュリティレベル”enc.1”に対し最低レベルを意味する「○」印が記録されている。
【0046】
暗号化パラメータは、一例として、WEPの場合には、IEEE802.11で規定されている秘密鍵(key1,key2)及びIV(Initialization Vector)等が想定される。尚、以下の説明において、セキュリティレベル及びこのセキュリティレベルに対応する暗号パラメータは、セキュリティ情報と称せられることがある。
【0047】
図6は、BSS1内における端末WL11〜WL12のセキュリティテーブル110の登録内容を示している。図6に示すように、端末側のセキュリティテーブルには、BSS1内の各端末及び基地局AP1の有するセキュリティ情報が予め登録されている。基地局AP1に対応するセキュリティ情報として、図6に示すように、この基地局AP1の属するBSS1に予め設定された最低レベルのセキュリティ情報のみが登録されていても良い。また、端末側のセキュリティテーブル110は、図5に示した基地局側のセキュリティテーブル21と全く同じであっても良い。
【0048】
また、図5及び図6に示したセキュリティテーブルに登録されている基地局AP1及び各端末のセキュリティレベルは、BSS1で予め定められた最低レベル以上のものであれば良い。さらに、各端末に対応するセキュリティ情報については、BSS1内において、実際の通信の際に利用されるセキュリティレベルのみが登録されていても良い。即ち、夫々の端末がアクセスポイントに直接リンクされる場合には、アクセスポイントに関するセキュリティ情報、或いは、端末に直接リンクされる場合には、端末に関するセキュリティ情報であって、BSS内の端末によってサポートされているセキュリティ情報について、夫々の端末は、そのセキュリティテーブルに保持することができる。
【0049】
また、図5及び図6に示したセキュリティテーブルは、BSS1の初期設定時に設定される。初期設定時には、例えば、図5及び図6に示した形式のテーブルが設定画面として表示され、この画面上に、設定事項を入力するようにしても良い。図5及び図6に示されるテーブルにおいては、AP1、WL1,WL2は、夫々基地局AP1、端末WL1,WL2のMACアドレスで特定される。
【0050】
尚、図5及び図6に示すセキュリティテーブルは、初期化の際には、何らの情報も書き込まれていなくとも良い。しかし、アクセスポイントAP1及び端末WL1、WL2が図7を参照して後に説明するように非暗号化モードでリンクされれば、セキュリティ情報を書き込むことができる。即ち、アクセスポイントAP1及び端末WL1、WL2がアクセスポイントAP1及び端末WL1、WL2に関するセキュリティ情報を獲得し、夫々のセキュリティテーブルに書き込み、その後、BSS1がアクセスポイントAP1及び端末WL1、WL2によって設立され、BSS1内での最低のセキュリティレベルが設定されれば良い。
【0051】
図1に示したBSS1では、このBSS1に対し予め設定された最低限のセキュリティレベル”enc.1”以上のセキュリティレベルにて、基地局AP1及び端末WL11〜WL12間で通信が実行される。
【0052】
次に、図1に示したBSS1の基地局AP1に、このBSS1に加入していない端末WL13が接続される場合について、図7に示すフローチャートを参照して説明する。
【0053】
端末WL13は、基地局AP1から送信されるIEEE802.11に規定されているビーコン(Beacon)フレームを受信する。IEEE802.11の規定によれば、ビーコンフレームの受信に続いて、次に、オーセンティケーション(authentication)及びアソシエーション(association)プロトコルが続くが、このオーセンティケーション或いはアソシエーションの為のフレーム中に、基地局AP1に通知する情報として端末WL13のセキュリティレベルが書き込まれる。
【0054】
図7には、一例としてオーセンティケーションのフレームで端末WL13のセキュリティレベルを基地局AP1に通知する場合の手順を示している。この手順において、端末WL13の有するセキュリティレベルは”enc.0”と”enc.1”であると仮定する。
【0055】
図8(a)は、IEEE802.11に規定されている図4に示されるMACフレームとしてのオーセンティケーションのフレームにおけるフレームボディのフォーマットを示している。オーセンティケーションフレームには、共通暗号化キーを利用しないオープンシステム及び共通暗号化キーを利用する共通暗号化キーシステムを区別するオーセンティケーションアルゴリズムが記述される。オーセンティケーションアルゴリズム番号には、例えば、オープンシステムでは、”0”が記述され、共通暗号化キーシステムでは、”1”が記述される。オーセンティケーションアルゴリズム番号0で特定されるオープンシステムでは、図8(b)に示すようにオーセンティケーションの要求フレームとしてATSN(Authentication Transaction Sequence Number)=1及び=2のフレームが用意されている。ATSN=1のオーセンティケーションのフレームは、端末WLから基地局AP1に送られ、そのステータスコードフィールド(Status Code field)は、リザーブとされる。ATSN=2のオーセンティケーションのフレームは、基地局AP1から端末WLに送られ、そのステータスコード(Status Code)には、ステータスとして接続拒否或いは接続許可のコードが記載される。オーセンティケーションアルゴリズム番号0で特定されるオープンシステムでは、オーセンティケーションのフレームは、暗号化されるチャレンジテキストが用意されていない。共通暗号化キーシステムでは、オーセンティケーションの要求フレーム(authentication request)としてATSN(Authentication Transaction Sequence Number)=1〜4のフレームが用意されている。ATSN=1及びATSN=3のオーセンティケーションのフレームは、端末WLから基地局AP1に送られ、そのステータスコードは、リザーブとされる。ATSN=2及びATSN=4のオーセンティケーションのフレームは、基地局AP1から端末WLに送られ、そのステータスコードには、ステータスとして接続拒否或いは接続許可のコードが記載される。共通暗号化システムでは、ATSN=2及び3のオーセンティケーションのフレームには、暗号化用のチャレンジテキストが用意され、ATSN=3のオーセンティケーションのフレームは暗号化されている。これに対して、ATSN=1及び4のオーセンティケーションのフレームには、暗号化用のチャレンジテキストが用意されていない。
【0056】
ATSN=1で特定されるオーセンティケーションのフレームは、接続要求を発する側から送信される。この要求フレームでは、そのステータスコードフィールドは、リザーブとされ現在未使用である。従って、このステータスコードフィールドに、接続要求を発する側のセキュリティレベル”enc.1”或いは”enc.2”を書き込むことができる。以下の実施形態の説明では、Statuscode fieldに、接続要求を発する側のセキュリティレベル”enc.1”或いは”enc.2”が書き込まれているものとする。このATSN=1のオーセンティケーションのフレームには、端末WL13の送信部107で基地局AP1との通信で利用したいセキュリティレベル(例えば、”enc. 1”)を示すデータがそのステータスコードの項に書き込まれ、このATSN=1のオーセンティケーションのフレームが図7のステップS2に示すように、基地局AP1に送信される。尚、このセキュリティレベルは、図4に示したMACフレーム中のいずれかのリザーブフィールドに書き込まれても良い。
【0057】
ATSN=1のオーセンティケーションのフレームを受信した基地局AP1の処理動作について説明する。既に記載したように、基地局AP1から常に発せられているビーコンフレームがステップS1に示すように端末WL13によって検出される。この検出の後に、端末WL13の送信制御部106は、ATSN=1のオーセンティケーションフレームを用意し、セキュリティテーブル110を参照してそのフレームの所定箇所、例えば、フレームボディ中のステータスコードにセキュリティレベル”enc.1”或いは”enc.2”を書き込む。セキュリティレベルが書き込まれたオーセンティケーションフレームは、端末WL13の送信制御部106によって検出したビーコンフレームに対応する基地局AP1を送り先としてアドレス2に指定して、ステップS2に示すように基地局AP1に送信される。基地局AP1は、オーセンティケーションフレームを受信し、基地局AP1の受信制御部13は、受信したATSN=1のオーセンティケーションフレームの所定箇所、例えば、フレームボディ中のステータスコードに書き込まれている端末WL13のセキュリティレベル”enc.1”或いは”enc.2”を取り出し、基地局AP1のセキュリティテーブル21に登録されているBSS1の最低レベルのセキュリティレベル”enc_low”と比較する。ステップS3に示すように端末WL13から通知されたこの端末WL13のセキュリティレベル”enc.1”或いは”enc.2”が、基地局AP1がサポートしているセキュリティレベル”enc.1”或いは”enc.2”であり、しかも、BSS1内における最低レベルのセキュリティレベル”enc_low”以上のときには、端末WL13の接続を許可すると判断する。端末WL13のセキュリティレベルが、基地局AP1がサポートしているセキュリティレベルでない場合、或いは、基地局AP1がサポートしているセキュリティレベルであるが、BSS1における最低レベル”enc_low”のセキュリティレベル未満のときは端末WL13の接続を拒否すると判断する。
【0058】
ステップS3において、基地局AP1が端末WL13の接続を拒否する場合は、IEEE802.11に規定に従い、ATSN=2のオーセンティケーションフレームが送信制御部12によって用意され、そのステータスコードに接続が失敗である旨のコードが書き込まれ、ステップS4に示すように端末WL13にATSN=2のオーセンティケーションフレームが返信される。端末WL13は、ステップS5に示されるように接続を拒否する記述がされたATSN=2のオーセンティケーションフレームの受信がN回目かを判断する。このN回は、端末側のセキュリティテーブル110に書き込まれているセキュリティレベルの数(=N個)に相当している。当初、基地局AP1がサポートしているセキュリティレベルが低いレベルとして端末WL13は、この低いレベルのセキュリティレベルを基地局に通知し、拒否されるとそのセキュリティレベルを上げ、ステップS2に示すように上げられたセキュリティレベルが通知される。端末側のセキュリティテーブル110がサポートしているN個のセキュリティレベルを通知して、ステップS5に示すようにN回に亘ってATSN=2のオーセンティケーションフレームを端末WL13が受信する場合には、基地局AP1から接続を拒否されたと判断して、この段階でステップS15に示すように接続手続きが中断される。
【0059】
一方、端末WL13の接続を許可する場合は、基地局AP1は、端末WL13から通知されたセキュリティレベルに対応する暗号パラメータを端末WL13と共有すべく、ステップS6に示すようにIEEE802.11に規定に従い、チャンレンジテキストを送信するATSN=2のオーセンティケーションフレームを用意し、このオーセンティケーションフレームのステータスコードに、ATSN=1のオーセンティケーションフレームの受信が成功である旨のコードを書き込み、ステップS6に示すように端末WL13に返信する。
【0060】
端末WL13では、ATSN=2のオーセンティケーションフレームを受信すると、基地局AP1と端末WL13との間のセキュリティレベル、例えば、セキュリティレベル”enc.1”が確定される。また、端末WL13は、セキュリティレベルに対応する暗号パラメータとして、ユーザによって予め取得したIVや秘密鍵を用いて、IEEE802.11の規定に従い、チャレンジテキストなどを含むフレームボディを、ステップS7に示すように端末WL13の有するWEP機能を用いて暗号化する。更に、端末WL13は、ATSN=3のオーセンティケーションフレームを用意し、そのフレームボディにATSN=2のオーセンティケーションフレームからチャレンジテキストをコピーする。この端末WL13は、フレームを暗号化してステップS8に示すように基地局AP1に送信する。
【0061】
ATSN=3のオーセンティケーションフレームを受信した基地局AP1では、同じくIEEE802.11に規定に従い、端末WL13とで共有されている基地局AP1が有する秘密鍵で、ステップS9に示すように受信したATSN=3のオーセンティケーションフレームを復号して格納された暗号化チャレンジテキストを取り出すこととなる。この複合化されたチャレンジテキストは、送信されたチャレンジテキストと比較され、ステップS10に示すようにその比較結果を基に暗号化・複合化が検証される。
【0062】
検証結果が「失敗」であれば、同じくIEEE802.11に規定に従い、その旨を通知するATSN=4のオーセンティケーションフレームが用意され、そのステータスコードに、検証結果が「失敗」である旨のコードが書き込まれ、ステップS11に示すようにATSN=4のオーセンティケーションフレームが端末WL13に返信される。検証結果の「失敗」は、暗号化方式が基地局AP1と端末WL13とで相違していることを意味している。従って、ステップS14に示すようにATSN=4のオーセンティケーションフレームがM回以内であることが確認されて端末WL13における暗号化方式が変更されてステップS2に戻され、ステップS2からステップS10が繰り返される。ここで、M回は、端末WL13が用意している暗号化方式の個数に対応し、端末WL13は、M回ATSN=4のオーセンティケーションフレームを受信することができる。このように端末WL13がM回ATSN=4のオーセンティケーションフレームを受けても暗号化方式が一致しない場合には、端末WL13は、基地局AP1との接続が拒否された判断される。従って、端末側では、基地局AP1が提供する暗号化方式を準備していないとして、ステップS15に示すように接続手続きが終了される。
【0063】
一方、ステップS10における検証結果が「成功」であれば、基地局AP1は、ステップS12に示すように同じくIEEE802.11に規定に従い、その旨を通知するATSN=4のオーセンティケーションフレームを端末WL13に送信する。端末WL13では、このフレームを受信すると、ステップS12に示すように次の手順であるIEEE802.11に規定されたアソシエーションを開始する。即ち、端末WL13は、ステップS13に示すようなアソシエーションリクエストフレームを基地局AP1に送り、このリクエストに応答して基地局AP1は、アソシエーションリスポンス端末WL13に返すようなIEEE802.11に規定に従った処理動作が実行される。アソシエーションが正常に終了した後、端末WL13と基地局AP1との間では、データフレームが送受信される。その送受信されるデータフレームは、上記手順によって予め定められた暗号化、例えば、”enc.1=enc.low”のセキュリティレベルに相当する64ビットのWEP機能により暗号化されている。
【0064】
尚、端末WL13及び基地局AP1では、その端末WL13及び基地局AP1間の通信のセキュリティレベル及び暗号パラメータが確定した時点で、互いのセキュリティ情報がそのセキュリティテーブル21,110に登録される。即ち、端末WL13では、図7に示すステップS7で暗号パラメータを取得した後に、基地局AP1のセキュリティ情報がセキュリティテーブル110に登録される。また、基地局AP1では、図7のステップS10で検証が成功した後に、端末WL13のセキュリティ情報がそのセキュリティテーブル21に登録される。即ち、図4に示されるMACフレーム中の端末WL13のアドレスを示す適切なアドレスフィールドを選択することによってこのアドレスとの関係でセキュリティ情報がアクセスポイントAP1のセキュリティテーブル21に登録される。基地局AP1のセキュリティテーブルには、図10に示すように、「接続先」が端末WL13であるセキュリティ情報が新たに登録される。端末WL13のセキュリティテーブルにも、同様にして「接続先」が基地局AP1であるセキュリティ情報が新たに登録される。即ち、図4に示されるMACフレーム中の基地局AP1のアドレス1を示す適切なアドレスフィールドを選択することによってこのアドレスとの関係でセキュリティ情報が端末WL13のセキュリティテーブル110に登録される。この新たに追加された端末WL13におけるセキュリティ情報のセキュリティレベルは、端末WL13が図7のステップS2で要求してきたセキュリティレベルに相当している。
【0065】
また、端末側のセキュリティテーブルに、基地局のセキュリティ情報が登録されていれば、端末は、その基地局の最低レベル以上のセキュリティレベルを予め選択することができ、その結果、ステップS3で、当該基地局から接続を拒絶されることがない。ここで、基地局のセキュリティ情報は、少なくとも当該基地局の属するBSSに予め定められた最低レベル以上のセキュリティレベルを有する。換言すれば、端末が基地局に再接続する際に、基地局に端末自身がサポートしているセキュリティレベルの中から基地局で定められた最低レベル以上のセキュリティレベルを選択して図7におけるステップS2に示すようにこのセキュリティレベルを基地局に通知すれば良い。
【0066】
また、基地局APのセキュリティテーブルに、端末WLに関するセキュリティ情報として少なくとも当該基地局の属するBSSに予め定められた最低レベルenc_low以上のセキュリティレベルのセキュリティ情報が登録されていることが好ましい。この登録において、基地局の属するBSSに関しては、図4に示すMACフレームにおける適切なアドレスフィールドに記載されたアドレスでBSSが特定され、このアドレス及びセキュリティレベルがセキュリティテーブルに記述される。このようなBSSに関する登録があれば、基地局から当該端末へのユニキャスト通信に用いるセキュリティレベルを、当該最低レベル以上で、しかも、当該端末がサポートすることができるセキュリティレベルを予め選択することできる。また、基地局APの属するBSS内の端末WLへのマルチキャスト通信、ブロードキャスト通信におけるセキュリティレベルも、当該最低レベルenc_low以上で、しかも、それを受信すべき全ての端末にてサポートされているセキュリティレベルのものを予め選択することができる。即ち、図7のステップS5に示すように、基地局AP1から接続を拒否されたときには、先に通知したセキュリティレベルとは異なる、好ましくは、より高いレベルのセキュリティレベルを通知して、再度接続の要求することができる。端末WL13が有するセキュリティレベルを1つずつ通知しながら、最大所定回数Mだけ接続要求が可能となる。
【0067】
基地局AP1は、接続要求元の端末WL13に対し、BSS1に予め設定された最低レベルのセキュリティレベルenc_low、或いは、基地局AP1がサポートしている最低レベルenc_low以上のセキュリティレベルの全てを通知するようにしても良い。この通知は、IEEE802.11に規定されているMACフレームの管理用フレーム、制御用フレームのうち現在未使用のフレームを用いて通知するようにしても良い。例えば、管理用フレームでは、サブタイプが「0110」〜「0111」などのフレーム、制御用フレームでは、サブタイプが「0000」〜「1001」などのフレームが相当する。図7に示されるステップS4において、基地局AP1が端末の接続を拒否した場合において、ATSN=2のオーセンティケーションフレームを送信した後に、この未使用のフレームを送信して最低レベルenc_low以上のセキュリティレベルの全てを端末WL13に通知するようにしても良い。また、ステップS4或いはステップS6おいて、ATSN=2のオーセンティケーションフレームを送信する前に未使用のフレームを送信して最低レベルenc_low以上のセキュリティレベルの全てを端末WL13に通知しても良い。更に、オーセンティケーション或いはアソシエーションの処理の間、或いは、データフレームの送受信が開始する前等、適当なときを見計らってアクセスポイントAP1が未使用のフレームを送信して最低レベルenc_low以上のセキュリティレベルの全てを端末WL13に通知するようにしても良い。
【0068】
IEEE802.11に規定されているMACフレームのアソシエーションのフレームには、図9(a)、図9(b)及び図9(c)に示すように、そのフレームボディの「キャパビリティー情報(Capability information)」内に未使用領域としてリザーブフィールドが設けられている。この未使用領域を利用して、基地局AP1は、接続要求元の端末WL13にBSS1の最低レベルのセキュリティレベルenc_low、或いは、基地局AP1がサポートしている当該最低レベルenc_low以上のセキュリティレベルの全てを端末WL13に通知するようにしても良い。
【0069】
このように、上記第1の実施形態では、基地局AP1に、BSS1内に属する端末WL11,Wl12以外のBSS1内に属さない端末WL13が接続しようとする場合、まず、
(1)この端末WL13は、基地局AP1へ、端末WL13自身のセキュリティレベルを通知する。図7に示されるフローでは、この通知は、オーセンティケーションのフレームを利用している。
【0070】
(2)基地局AP1では、この端末WL13から通知されるセキュリティレベルが基地局AP1でサポートしているセキュリティレベルであり、しかも、BSS1に予め定められた最低レベルenc_lowのセキュリティレベル以上であるときには、端末WL13の接続を許可して、接続のための処理動作を続行する。しかし、端末WL13から通知されるセキュリティレベルがBSS1に予め定められた最低レベルのセキュリティレベルに満たないときには、端末WL13の接続を拒否する。
【0071】
(3)端末WL13からの接続を許可する場合には、必要に応じて、暗号化・復号化のための情報、即ち、暗号パラメータを共有するための認識処理が実行される。
【0072】
このように、上記第1の実施形態によれば、BSSといった、無線LANの基本グループ毎に、夫々のグループで予め定められた暗号化による最低限のセキュリティレベルを確保した無線通信が実現される。
【0073】
好ましくは、上記(1)の場合、端末WL13は、端末WL13自身がサポートするセキュリティレベルのうち、最高レベルenc_highのセキュリティレベルを基地局AP1に通知されれば、基地局AP1が端末WL13の接続を拒否する機会が少なくなる。また、最高レベルenc_highのセキュリティレベルを基地局AP1に通知すれば、1回の接続要求で、当該基地局AP1との接続の可否が判断でき、結果として、無駄なトラヒックを削減することができる。
【0074】
また、BSS1内の基地局或いは各端末は、夫々BSS1内の基地局或いは端末と通信する際に利用するBSS1に予め定められた最低レベルenc_low以上のセキュリティレベルのセキュリティ情報をセキュリティテーブルに登録することが好ましい。基地局或いは各端末は、このセキュリティテーブルを参照して、アドレスで特定される所望の端末や基地局に接続要求する際に通知するセキュリティレベルとして接続を拒否されない最低限のセキュリティレベルを予め選択することができる。
【0075】
上記第1の実施形態では、ステップS2において、端末WL13が基地局AP1との通信で利用することを希望する1つのセキュリティレベルのみを基地局AP1に通知しているが、この場合に限られるものではないことは明らかである。端末WL13自身が有する全て、或いは、全てでなくとも複数のセキュリティレベルが端末WL13から基地局AP1に通知されても良い。また、端末WL13がサポートするセキュリティレベルのうち、最高レベルのセキュリティレベルenc_highのみが端末WL13から基地局AP1に通知されても良い。
【0076】
ステップS2において、端末WL13自身が有する全て、或いは、全てでなくとも複数のセキュリティレベルを通知する場合における基地局AP1の処理動作について説明する。
【0077】
図7に示すステップS2において、端末WL13自身が有する複数のセキュリティレベルが基地局に送信される。基地局AP1では、ステップS3では、このセキュリティレベルの中に、BSS1における最低レベルに相当するセキュリティレベルenc_low以上のセキュリティレベルであって、しかも自装置がサポートしているセキュリティレベルが含まれているかを判断する。基地局AP1は、サポートしているセキュリティレベルが含まれているときは、端末WL13の接続を許可すると判断する。また、基地局AP1は、サポートしているセキュリティレベルが含まれていないときは端末WL13の接続を拒否すると判断する。端末WL13の接続を拒否する場合は、ステップS4へ進む。端末WL13の接続を許可するときは、基地局AP1は、次に、端末WL13と基地局AP1とが共にサポートしているセキュリティレベルのうち、BSS1における最低レベルenc_low以上のセキュリティレベルを選択する。基地局AP1は、BSS1における最低レベルenc_low以上のセキュリティレベルが複数存在するときは、その中の1つを選択する。この選択に関しては、その中で最低のもの、或いは最高のもの、その他の各種選択基準があるが、そのいずれであってもその中の1つを選択すれば良い。基地局AP1は、選択した1つのセキュリティレベルを端末WL13との間の通信に用いるセキュリティレベルとする。例えば、端末WL13から通知されたセキュリティレベルが”enc. 0”と”enc. 1”であるとすると、端末WL13の基地局AP1への接続は許可され、端末WL13と基地局AP1との間の通信のセキュリティレベルは”enc. 1”と選択される。
【0078】
この選択されたセキュリティレベルを端末WL13へ通知する必要がある場合には、例えば、図7のステップS6にて、ATSN=2のオーセンティケーションフレームを送信する前などに、前述のIEEE802.11に規定されているMACフレームの管理用フレーム、制御用フレームのうち現在未使用のフレームなどを用いても良い。
【0079】
端末WL13では、選択されたセキュリティレベルの通知を受けて、その後の処理の準備を行うことができる。
【0080】
BSS1内では、BSS1に予め定められた最低レベルenc_low以上のセキュリティレベルであるなら、必ずしも同一のセキュリティレベルで通信する必要はない。
【0081】
また、BSS1内では、接続相手に応じて異なるセキュリティレベルで通信するようにしても良い。即ち、ここでは、基地局AP1は、BSS1に予め定められた最低レベルenc_low以上のセキュリティレベルであるなら、どのセキュリティレベルでどの端末と通信することに関し特に限定はない。基地局AP1が端末毎に異なるセキュリティレベルで通信することにより、無線通信の秘匿性を向上することができる。
【0082】
図7は、BSS1に加入していない端末WL13と基地局AP1との間の接続時の動作として説明したが、上記の説明の端末WL13をBSS1に加入している端末WL11〜WL12の夫々に置き換えても良い。端末WL11〜WL12の夫々が、基地局AP1と接続しようとするときも、図7に示した手順に従えば、図7のステップS2で、その都度異なるセキュリティレベルを通知して、接続の度に、その目的に応じたセキュリティレベルを変更することができる。この場合、各端末のセキュリティテーブルには、BSS1の最低レベルのセキュリティレベルが登録されているので、各端末がサポートするセキュリティレベルのうち、この最低レベル以上のセキュリティレベルが選択されて、それがステップS2で通知される。また、セキュリティレベルを変更しなくとも、その後のオーセンティケーションの際に、暗号パラメータ(WEPの場合、秘密鍵やIVなど)を変更することもできる。
【0083】
同様に、図7の説明の端末から基地局への接続要求の際の手順は、互いに異なるBSSに属する、基地局から基地局へ接続要求の際の手順としても適用可能である。即ち、図7の説明の端末WL13を基地局AP1、基地局AP2をBSS1とは異なる他のBSSに属する基地局、例えば、ここではBSS2の基地局AP2に置き換えることができる。このように、第1の実施形態によれば、基地局間の通信、即ち、DS通信においても、夫々の最低限のセキュリティレベル以上で通信が実現される。
【0084】
BSS1内の端末、例えば、端末WL11が同じBSS1内の他の端末、例えば、端末WL12、と通信する際には、必ず、基地局AP1を介して基地局AP1に接続して通信しても良く、基地局AP1を介さず、端末間で直接通信しても良い。
【0085】
端末WL11〜WL12、基地局AP1が、夫々のセキュリティテーブルに登録されている相手に接続しようとする場合、セキュリティレベル及び暗号パラメータを送受信するためのオーセンティケーションなどを省略しても良い。接続要求を受けた側では、そのフレームの送信元が自身のセキュリティテーブルに登録されているものであれば、そのセキュリティテーブルを参照して、BSS1内で予め定められた最低レベル以上のセキュリティレベルで要求元と通信すれば良い。
【0086】
基地局AP1及び端末WL11〜WL12の夫々のセキュリティテーブルに、接続相手毎に、過去にその間の通信で用いたセキュリティレベルのセキュリティ情報のみが登録されても良い。この登録されているセキュリティ情報は、BSS1における最低レベルenc_low以上のセキュリティレベルに相当する。
【0087】
初期設定時においては、BSS1内の基地局AP1及び端末WL11〜WL12のセキュリティテーブルは、全て同一の内容が記載され、図5に示すような、BSS1を構成する各装置に対し、その夫々がサポートする全てのセキュリティレベルのセキュリティ情報及びBSS1に最低レベルとして設定されたセキュリティレベルとが登録されていても良い。
【0088】
また、BSS1内では、基地局AP1及び端末WL11〜12もBSS1で許容する最低のセキュリティレベルである”enc. 1”はサポートする。従って、端末WL11〜WL12のいずれかがデータフレームなどをBSS1内でマルチキャスト、ブロードキャストするときには、そのフレームのフレームボディは許容する最低のセキュリティレベルで暗号化されるものとする。これにより、BSS1としては、許容する最低のセキュリティレベルを確保できる。
【0089】
また、上記第1の実施形態では、接続要求元のサポートしているセキュリティレベルのチェックと、暗号パラメータを接続要求元と接続要求先とで共有するための認識処理とをIEEE802.11に規定されているオーセンティケーション時にまとめて行っている。しかし、この2つの処理を分けて、前者をIEEE802.11に規定されているアソシエーション時に処理を実行することもできる。また、先にアソシエーションを行なって、次に、オーセンティケーションを行う場合も考えられる。この場合において、上記2つの処理をオーセンティケーション時にまとめて行ってもよいし、アソシエーション時とオーセンティケーション時とに分けて行うようにしても良い。しかし、上記2つの処理を分ける場合、好ましくは、セキュリティレベルのチェックを暗号パラメータを共有するための認識処理に先だって行った方が、セキュリティを確保する上で好ましい。
【0090】
(第2の実施形態)
最低限のセキュリティレベルが予め定められた図1に示されるようなBSS1の基地局が当該BSS1で定められた最低限のセキュリティレベルをブロードキャストする第2の実施に係る通信システムについて説明する。この説明においては、第2の実施形態に係る通信システムにおいて、第1の実施形態と同一の説明については、省略し、その異なる点について図12を参照して説明する。
【0091】
第2の実施形態に係る通信システムにおいては、IEEE802.11に規定されたビーコンフレームに当該BSSの最低限のセキュリティレベルが書き込まれ、このビーコンフレームが送信される
図11は、IEEE802.11に規定されているMACフレームの構造を有するビーコンフレームのフレームボディのフォーマットを示している。このビーコンフレームの「キャパビリティー情報(Capability information)」内には、未使用領域としてリザーブフィールドが設けられている。基地局AP1は、BSS1の最低レベルのセキュリティレベル或いは、基地局AP1がサポートしている当該最低レベル以上のセキュリティレベル全て、或いは全てでなくとも複数のセキュリティレベルをこのリザーブフィールドに書き込み、そのセキュリティレベルを端末WLに通知する。
【0092】
基地局AP1の送信制御部14は、ビーコンフレームにBSS1の最低レベルのセキュリティレベル或いは、基地局AP1がサポートしている当該最低レベル以上のセキュリティレベル全て、或いは、全てでなくとも複数のセキュリティレベルを書き込み、ブロードキャストする。図12のステップS21に示すように、このビーコンフレームを端末が受信する。ビーコンフレームは、BSS1に加入していない端末、例えば、図1に示す端末WL13も受信することができる。
【0093】
端末WL13の受信部101では、ステップS22に示すように受信したビーコンフレームに書き込まれたBSS1の最低レベルのセキュリティレベルを取り出し、ステップS23に示すように端末WL13がサポートしているセキュリティレベルに、BSS1の最低レベル以上のものがあるか否かチェックする。ここで、端末WL13がサポートしている全てのセキュリティレベルは、予め端末WL13のセキュリティテーブルに登録されていても良い。端末WL13のセキュリティレベルに、BSS1の最低レベル以上のものがないときは、基地局AP1との接続は中止してその接続処理を終了する。
【0094】
ここでは、BSS1の最低レベルのセキュリティレベルは”enc.1”であり、端末WL13は、”enc.0”と”enc.1”をサポートしているので、端末WL13は、基地局AP1と接続可能である。端末WL13のセキュリティレベルには、BSS1の最低レベル以上のものがあるので、端末WL13は、この”enc.1”というセキュリティレベルを選択して、基地局AP1への接続要求を開始する。即ち、図7のステップS2へ進み、選択したセキュリティレベルを通知し、以下、第1の実施形態の説明と同様の動作を行う。
【0095】
但し、この場合、端末WL側からは、必ず、最低レベル以上のセキュリティレベルが通知されることが期待できるので、基地局AP1では、図7のステップS3を省略しても良い。また、端末WL13は、ステップS2において、端末WL13自体が有するセキュリティレベルのうち、ビーコンフレームにて通知されたBSS1の最低レベル以上のセキュリティレベルを選択して(このようなセキュリティレベルが複数あるときは、それら全て、或いは、そのうちの所望のいくつか、或いは、そのうちの1つを選択して、例えば、セキュリティレベルが最高のもの、或いは最低のもの、或いは所望のものを選択しても良い。)基地局AP1へ通知すれば良い。
【0096】
このように、最低限のセキュリティレベルが予め定められたBSS1の基地局AP1が、当該BSSの最低限のセキュリティレベルをブロードキャストすることにより、端末WL13は、自身がサポートするセキュリティレベルで接続可能な相手を予め選択してから接続を開始するので、不要なトラヒックを削減することができる。
【0097】
また、端末WL13が基地局AP1に対し、プローブの要求フレーム(probe request)を送信し、それに対し基地局AP1がプローブの応答フレーム(probe response)でセキュリティレベルを通知することもできる。
【0098】
(第3の実施形態)
上記第1の実施形態では、IEEE802.11に規定されたオーセンティケーションとアソシエーションとを、この順で実施する場合について説明したが、先にアソシエーションを行ってからオーセンティケーションを実施することも想定される。第3の実施形態では、この場合について、図1に示したBSS1の場合を例にとし、図13に示したフローチャートを参照して説明する。
【0099】
ここでも、第1の実施形態と同様、BSS1の基地局AP1に、BSS1に加入していない端末WL13が接続を要求する場合について説明し、第1の実施形態と異なる部分についてのみ説明する。
【0100】
端末WL13は、ステップS31に示すように基地局AP1から送信されるビーコンフレームを受信し、その後、基地局AP1に接続すべく、ステップS32に示すようにアソシエーションの要求フレームを基地局AP1に送信する。
【0101】
前述したように、IEEE802.11に規定されているMACフレームのアソシエーションのフレームには、図9(a)、図9(b)及び図9(c)に示すように、そのフレームボディの「キャパビリティー情報(Capabilityinformation)」内に未使用領域、即ち、リザーブフィールドが用意されている。端末WL13の送信部107は、このリザーブフィールドに端末WL13のサポートしているセキュリティレベルのうち少なくとも所望の1つをこのリザーブフィールドに書き込み、ステップS32に示すよう基地局AP1に送信する。例えば、ここでは、端末WL13の送信部107では、自身のもつ全てのセキュリティレベル(”enc.0””enc.1”)のうちの1つの”enc.1”を示すデータをリザーブフィールドに書き込み、基地局AP1に送信するものとする。
【0102】
これを受信した基地局AP1の処理動作は、第1の実施形態と同様である。即ち、基地局AP1の受信制御部13は、受信したアソシエーションの要求フレーム(Association Request)に書き込まれている端末WL13のセキュリティレベルを取出し、このセキュリティレベルを基地局AP1のセキュリティテーブル21に登録されているBSS1の最低レベルのセキュリティレベルと比較する。端末WL13から通知された、この端末WL13のセキュリティレベルが基地局AP1のサポートしているセキュリティレベルであり、しかも、BSS1における最低レベルのセキュリティレベル以上のときには、ステップS33に示すように端末WL13の接続を許可すると判断する。また、BSS1の最低レベルのセキュリティレベル未満のときには、ステップS33に示すように端末WL13の接続を拒否すると判断する。即ち、端末WL13の接続を拒否する場合は、例えば、IEEE802.11の規定に従い、ステップS34に示すようにアソシエーションの応答フレーム(Association ResponseのStatus code)に、接続が失敗である旨のコードを書き込んで、端末WL13に返信する。端末WL13は、このフレームを受信することにより、基地局AP1から接続を拒否されたと判断して、この段階で接続手続きを中断する。
【0103】
一方、端末WL13の接続を許可する場合は、端末WL13から通知されたBSS1の最低レベルのセキュリティレベルである”enc. 1”を利用する通信のために、IEEE802.11の規定に従い、アソシエーションの応答フレーム(Association ResposeのStatus code)に、接続が成功である旨のコードを書き込み、ステップS36に示すように端末WL13に返信する。
【0104】
これを受けて、端末WL13では、IEEE802.11の規定に従い、暗号パラメータを端末WL13と基地局AP1との間で共有するための認証処理の為にステップS37に示すようにオーセンティケーションフレームを送信する。オーセンティケーションフレームの送信後のオーセンティケーションの処理は、IEEE802.11の規定に従って実行される。この処理に関しては、IEEE802.11の規定に従うことから、その説明は省略する。
【0105】
尚、この第3の実施形態の場合も、第1の実施形態の場合と同様な効果が期待できるとともに、第1の実施形態で説明したような数々のバリエーションが適用可能であることは云うまでもない。
【0106】
(第4の実施形態)
次に、ある端末が複数の基地局のエリア間を移動しながら通信する場合において、各エリア、即ち、BSS毎のセキュリティレベルを確保する手法について、図1に示した無線LANシステムを例にとり説明する。端末WLが移動される状況、即ち、いわゆるモバイル環境下においても、各基地局の属するBSSに対して夫々に予め定められた最低限のセキュリティレベルを確保するための手法を、この第4の実施形態において説明する。基本的には、上記第1の実施形態で説明したように、各BSSの基地局では、端末からの接続要求を受ける際に、当該端末からセキュリティレベルを通知してもらい、それが自BSSに予め定められた最低限のセキュリティレベル以上である場合のみ、当該端末の接続を許可し、基地局と端末との間で暗号パラメータを共有するための認証処理を実行する点は同じである。
【0107】
例えば、IEEE802.11に規定されている無線LANシステムでは、図1の端末WL13が基地局AP2に接続していたところ、基地局AP1のエリア内に移動してきた場合には、端末WL13と基地局AP1との間ではリアソシエーション(Reassociation)が実行される。そして、このリアソシエーション手続きが正常に終了すると、データフレームが送受信される。
【0108】
この第4の実施形態では、端末WL13から基地局AP1へは、リアソシエーションの要求フレーム(Reassociation Request)中の未使用領域を利用して、端末WL13のセキュリティレベルが通知される。
【0109】
以下、図1に示した無線LANシステムにおいて、端末WL13が基地局AP2のエリアから基地局AP1のエリアに移動し、基地局AP1に対しリアソシエーションが実施される場合について、図15に示すフローチャートを参照して説明する。尚、図15において、図13と同一部分には同一符号を付してその説明を省略し、異なる手続きについて説明する。
【0110】
端末WL13は、ステップS31に示すように基地局AP1から送信されるビーコンフレームを受信した後、基地局AP1に接続すべく、ステップS51に示すようにリアソシエーションの要求フレームを基地局AP1に送信する。
【0111】
IEEE802.11に規定されているMACフレームのリアソシエーションのフレームには、図14(a)〜(c)に示すように、そのフレームボディの「Capability information」内に未使用領域、即ち、リザーブフィールドが用意されている。
【0112】
端末WL13の送信部107は、ステップS51に示すようにこのリザーブフィールドに端末WL13のサポートしているセキュリティレベルのうちの少なくとも所望の1つを書き込み、基地局AP1に送信する。例えば、ここでは、端末WL13の送信部107では、自身のもつ全てのセキュリティレベル(”enc. 0””enc.1”)のうち、”enc.1”を示すデータを書き込み、基地局AP1に送信する。
【0113】
このリアソシエーションのフレームを受信した基地局AP1の処理動作は、図13の説明と同様であるので、図13のステップS33に関する説明を参照されたい。但し、ステップS33にて端末WL13の接続を拒否する場合は、IEEE802.11の規定に従い、リアソシエーション応答フレームのステータスコードに、接続が失敗である旨のコードが書き込まれ、ステップS52に示すように端末WL13に返信される。また、端末WL13の接続を許可する場合は、IEEE802.11の規定に従い、リアソシエーション応答フレームのステータスコードに、接続が成功である旨のコードが書き込まれ、ステップS53に示すように端末WL13に返信される。
【0114】
基地局AP1が端末WL13の接続を許可した場合、基地局AP1と、端末WL13との間で、暗号パラメータが共有されることが必要とされる。そのために、図15のステップS37〜ステップS44に示したように、図13と同様に、IEEE802.11の規定に従い、暗号パラメータを端末WL13と基地局AP1との間で共有するための認証処理、即ち、オーセンティケーションの手続きが執られても良い。
【0115】
また、端末WL13からのリアソシエーションの要求フレームには、端末WL13が現在接続している基地局、即ち、基地局AP2のアドレスが記述されている。このアドレスは、図14(a)〜(c)に示される「現在のAPアドレス(Current AP address)」が相当する。そこで、図15に示したように、オーセンティケーションの手続きが執られず、「現在のAPアドレス(Current AP address)」を基に、基地局AP1は、基地局AP2に接続する。そして、基地局AP1は、基地局AP2のセキュリティテーブルに登録されている端末WL13についてのセキュリティ情報の転送を要求し、そのセキュリティ情報の転送後に、セキュリティ情報をそのセキュリティテーブルに登録するようにしても良い。これにより、基地局AP1と端末WL13との間で、暗号パラメータが共有される。従って、端末WL13がステップS53で示される基地局AP1から接続が許可された後に、端末WL13は、この端末WL13と基地局AP2との間の通信と同様にして、同一のセキュリティレベルで暗号化されたデータフレームを基地局AP1との間で送受信することができる。
【0116】
尚、この第4の実施形態に係る通信システムにおいても、第1の実施形態におけると同様な効果が期待できるとともに、第1の実施形態で説明したような数々のバリエーションが適用可能であることは云うまでもない。
【0117】
(第5の実施形態)
以上、第1〜第4の実施形態に係る通信システムにおいては、端末WL13が基地局AP1との間で、基地局AP1の属するBSS1に予め定められた最低レベル以上のセキュリティレベルにて通信を実現することが可能となる。しかし、端末WL13が基地局AP1と通信すると同時に、端末WL13が基地局AP1以外のBSS1に加入していない端末や他の無線局と通信する場合に、その間の通信のセキュリティレベルがBSS1に予め定められた最低レベルより低ければ、結果として、BSS1の最低レベルのセキュリティレベルが確保されたとは云えない。そこで、この第5の実施形態に係る通信システムにおいては、端末WL13が図16に示すように、ある端末WL14と既に無線接続している場合に、端末WL13が基地局AP1に接続要求したとしても、下記に説明する手続きに従って、BSS1に予め定められた最低レベルのセキュリティを確保することができる。
【0118】
端末WL13は、BSS1に予め定められた最低のセキュリティレベルに満たないセキュリティレベルにて、他の端末や基地局に無線接続されている際には、端末WL13は、BSS1内の基地局或いは端末には接続できないようにすることが基本である。従って、BSS1内の端末や基地局に接続するには、予め、このようなセキュリティレベルの低い無線接続を切断しておくか、或いは、その無線接続のキュリティレベルをBSS1の最低レベル以上に上げることが必要とされる。
【0119】
以下、そのための手順を、第1〜第4の実施形態で説明した共通の手順については説明を省略し、異なる手順について説明する。
【0120】
図16において、図1と同一部分には同一符号を付してその説明を省略する。図16に示した端末WL14のサポートしているセキュリティレベルは”enc. 0”のみであるとする。端末WL13が基地局AP1に接続の要求を開始する際には、端末WL13は、既に端末WL14に無線接続され、その間の通信セキュリティレベルは”enc.0”であると仮定する。
【0121】
このような状態において、端末WL13がBSS1の基地局AP1に接続要求を開始する場合について説明する。
【0122】
まず、第2の実施形態で説明したように、ビーコンフレームにて、BSS1に予め定められた最低のセキュリティレベルが通知される場合について、図17に示したフローチャートを参照して説明する。この場合、端末WL13は、受信したビーコンフレームから基地局AP1に無線接続できる最低のセキュリティレベルが”enc.1”であることを知る。そこで、端末WL13は、図13のステップS32へ進む前に、図17に示す処理動作を実行する。
【0123】
図17のステップS61において、端末WL13のセキュリティレベルに、BSS1で許容される最低レベル”enc.1”以上のセキュリティレベルが用意されているかが確認される。”enc.1”以上のセキュリティレベルが端末WL13に用意されているときには、ステップS62へ進む。このステップS62において、現在端末WL13が無線接続されている端末、即ち、端末WL14と端末WL13との間の通信のセキュリティレベルがBSS1で許容される最低レベル”enc.1”以上であるか否かがチェックされる。端末WL13と端末WL14との間の通信のセキュリティレベルがBSS1で許容される最低レベル”enc.1”以上であれば、ステップS64へ進み、端末WL13と基地局AP1との間の接続手順が開始される。即ち、端末WL13においては、図13のステップS32以降の処理が実行される。一方、端末WL13と端末WL14との間のセキュリティレベルがBSS1で許容される最低レベル(”enc.1”)に満たないときは、ステップS63へ進み、端末WL13と端末WL14との間の無線接続が切断されて、ステップS64へ進む。
【0124】
上述したように、端末WL13と端末WL14との間の通信のセキュリティレベルは”enc.0”であるから、ステップS62からステップS63へ進み、端末WL13と端末WL14との間の無線接続が切断される。その後、端末WL13は、IEEE802.11に規定されているディオーセンティケーション(Deauthentication)が終了されてステップS64へ進む。
【0125】
このように、端末WL13は、現在接続している端末WL14との間のセキュリティレベルが接続要求される基地局AP1からブロードキャストされたセキュリティレベルより低いときには、予め端末WL13と端末WL14との無線接続が切断され、端末WL13から基地局AP1に接続要求がされる。従って、BSS1の最低限のセキュリティレベルを保持しながら、端末WL13と基地局AP1との間の無線接続が確実に実行される。
【0126】
尚、ステップS63では、端末WL13と端末WL14との無線接続を一旦切断した後、端末WL13と端末WL14とは、再度BSS1の最低レベル以上のセキュリティレベルで無線接続されても良い。
【0127】
上述した説明では、端末WL13が端末WL14の1つのみと無線接続される場合について説明したが、端末WL13が複数の端末或いは複数の基地局に無線接続されている場合も、上記同様にして、その1つ1つのセキュリティレベルがチェックされる。そのセキュリティレベルがBSS1の最低レベル以上でなければ端末WL13と他の端末との接続が一旦切断され、端末WL13がセキュリティレベルをBSS1の最低レベル以上に設定され、基地局AP1への接続を開始しても良い。
【0128】
尚、上記説明では、端末WL14と無線接続している端末WL13の場合を例にとり説明したが、BSS1とは異なる他のBSS2の基地局AP2の処理動作にも上記一連の手続きを適用することができる。このように、接続要求を発した側及び接続要求を受けた側が共に、端末ではなく基地局であるときには、複数のBSSにおいて夫々最低限のセキュリティレベルの確保されたDS通信が可能となる。接続要求を発した側が基地局であるとき、当該基地局には複数の端末や基地局と無線接続している場合もあり、このような場合も上記同様にして、その1つ1つのセキュリティレベルをチェックして、これから接続しようとするBSSの最低レベル以上のものでなければアクセスポイントが端末WL及び他のアクセスポイントとの接続を一旦切断しても良い。その後、必要に応じて、アクセスポイントがこれから接続しようとするBSSの最低レベル以上のセキュリティレベルを設定して、その後、当該所望の基地局への接続を開始するようにすれば良い。
【0129】
次に、第1、第3、第4の実施形態で説明したように、オーセンティケーション、アソシエーション、リアソシエーションの際に、端末WL13のセキュリティレベルをチェックする場合について、図18に示したフローチャートを参照して説明する。尚、図18に示した処理動作は、図7のステップS3、図13及び図15のステップS33などに対応している。
【0130】
端末WL13のセキュリティレベルをチェックする場合、前述したように、端末WL13は、オーセンティケーションの要求フレーム、或いは、アソシエーションやリアソシエーションの要求フレーム上の未使用領域に、端末WL13のセキュリティレベルを書き込むとともに、次に示す(1)から(2)のうちの少なくとも1つの項目がその未使用領域或いは他の未使用領域に書き込まれる。
【0131】
(1) 現在端末WL13が無線接続されている端末或いは基地局の有無。
【0132】
(2) 端末WL13と現在無線接続されている端末或いは基地局との間のセキュリティレベル
ここで、端末WL13が複数の端末或いは基地局に無線接続されている場合には、その全てについてのセキュリティレベルが未使用領域に書き込まれる。
【0133】
基地局AP1では、ステップS71に示すようにフレームを受信し、まず、ステップS72に示すように端末WL13のセキュリティレベルをチェックする。端末WL13のセキュリティレベルがBSS1に定められている最低のセキュリティレベルを満たさないときは、ステップS73へ進み、接続が拒否される。即ち、第1、第3、第4の実施形態で説明したように、オーセンティケーション、アソシエーションやリアソシエーションのフレームにて、接続拒否が端末WL13に通知される。
【0134】
一方、端末WL13のセキュリティレベルが基地局AP1のサポートするセキュリティレベルであり、しかもBSS1に定められている最低のセキュリティレベル以上であるときは、次に、ステップS74へ進む。上記(1)或いは(2)の情報から、端末WL13に現在無線接続している端末や基地局が存在しないと判断したときは、ステップS75へ進み、端末WL13の無線接続が許可される。すなわち、第1、第3、第4の実施形態で説明したように、オーセンティケーション、アソシエーションやリアソシエーションのフレームにて、無線接続の許可が端末WL13に通知されるとともに後続の処理が前述したと同様に実行される。この処理には、図7のステップS6、図13のステップS36、図15のステップS53等が相当する。上記(1)或いは(2)の情報から、端末WL13に現在無線接続している端末や基地局が存在すると判断したときは、ステップS76へ進む。
【0135】
ステップS76において、ステップS71にて受信した情報に、(2)に示した「端末WL13と現在無線接続している端末WL14との間のセキュリティレベル」が含まれているときは、そのセキュリティレベルがチェックされる。端末WL14との間のセキュリティレベルがBSS1に定められている最低のセキュリティレベル以上であるときは、ステップS75へ進み、端末WL13の無線接続が許可される。一方、端末WL14との間のセキュリティレベルがBSS1に定められている最低のセキュリティレベルに満たないとき、或いは、ステップS71で受信した情報に、上記(2)に示した情報が含まれていないとき、即ち、端末WL14との間のセキュリティレベルが不明なときは、ステップS77へ進み、端末WL13からの接続要求が拒否される。第1、第3、第4の実施形態で説明したように、オーセンティケーション、アソシエーションやリアソシエーションのフレームにて、この接続要求の拒否は、端末WL13に通知される。
【0136】
尚、ステップS77では、接続要求を拒否する旨を通知するのではなく、端末WL14との無線接続の切断を指示する旨の要求を、オーセンティケーション、アソシエーションやリアソシエーションのフレームにて、同様にして通知するようにしても良い。この場合、端末WL13は端末WL14との無線接続を切断すれば基地局AP1に接続できると直ちに判断することができる。従って、端末WL13は端末WL14との無線接続を切断した後、例えば、IEEE802.11に規定されているディオーセンティケーション(Deauthentication)を終了した後に、再度、基地局AP1に接続要求することができる。
【0137】
また、ステップS77で、接続要求を拒否した後に、IEEE802.11に規定されているMACフレームの管理用フレーム、制御用フレームのうち現在未使用のフレーム、例えば、管理用フレームの場合、サブタイプが「0110」〜「0111」などのフレーム、制御用フレームの場合、サブタイプが「0000」〜「1001」などのフレームを利用して、BSS1で許容される最低のセキュリティレベルを通知するようにしても良い。BSS1で許容される最低のセキュリティレベルの通知がある場合、端末WL14が当該最低のセキュリティレベルをサポートできれば、端末WL13は、そのセキュリティレベルに接続し直した後、再び、基地局AP1に接続要求を行うことができる。
【0138】
また、上記説明では、端末WL13が端末WL14の1つのみと無線接続している場合を例にとり説明している。しかし、複数の端末や基地局と無線接続している場合にあっても、上記と同様にして、端末WL13は、既に接続している端末や基地局の有無、好ましくは、その1つ1つのセキュリティレベルを通知しても良い。端末WL13から既に接続されている無線通信の複数のセキュリティレベルが通知されてきたときには、基地局AP1は、ステップS76において、その夫々についてのセキュリティレベルをチェックすれば良い。
【0139】
上述したように、接続要求を発した側が、既に他の端末や基地局と無線接続している場合であっても、この無線接続のセキュリティレベルが不明なとき、或いは、接続要求を受けた側の最低限のセキュリティレベルに満たないときには、当該接続要求を拒否することにより、接続要求を受けた側の最低限のセキュリティレベルは確保することができる。尚、上記説明は、端末WL14と無線接続している端末WL13の場合を例にとり説明したが、BSS1とは異なる他のBSS2の基地局AP2の処理動作としても適用できる。このように、接続要求を発した側及び接続要求を受けた側が共に、端末ではなく基地局であるときには、複数のBSSにおいて夫々の最低限のセキュリティレベルが確保されたDS通信が可能となる。接続要求を発した側が基地局であるとき、当該基地局には複数の端末や基地局と無線接続している場合もある。このような場合も上記同様にして、接続要求を発した側は、既に接続している端末や基地局の有無、好ましくは、その1つ1つのセキュリティレベルを通知することが好ましい。接続要求を受けた側では、接続要求を発した側から、既に接続されている無線通信の複数のセキュリティレベルが通知されてきたときには、ステップS76において、その夫々についてのセキュリティレベルをチェックすれば良い。
【0140】
(第6の実施形態)
上記第1の実施形態に係る無線システムにおいては、基地局に接続要求する場合について説明したが、端末から端末への接続要求の場合においても同様の手法を適用することができる。ここでは、図19に示すように、BSS1に属する端末WL12に、BSS1には加入していない端末WL15が接続要求する場合を例にとり説明する。端末WL15のサポートできるセキュリティレベルは”enc. 0”のみである。端末WL12は、BSS1に加入しているため、端末WL12が通信する際には、BSS1に予め定められた最低限のセキュリティレベルは確保する必要がある。そのために、端末と基地局との間の図7に示したものと同様の処理動作を、端末WL12と端末WL15との間において実施される。
【0141】
図20は、端末WL15から端末WL12へ接続要求する場合における、端末WL12と端末WL15との間の処理手順を示している。尚、図20において、図7と同一部分には同一符号を付して説明を省略し、以下に異なる点について説明する。
【0142】
図20において、図7に示される基地局での処理動作が端末WL12にける処理動作に対応している。従って、ビーコンフレームの送信するステップS1は、不要とされている。他のステップS2〜ステップS12は図7と同様である。尚、アソシエーションの手順は不要とされる。
【0143】
図20に示すように、端末WL12と端末WL15との間の接続設定の際にも、接続要求を受けた側の端末WL12が接続要求を発した側の端末WL15のセキュリティレベルをチェックしている。ここで、接続要求を発した側の端末のセキュリティレベルが接続要求を受けた側の装置がサポートするセキュリティレベルであり、しかも、接続要求を受けた側の端末の属するBSS1の最低のセキュリティレベル以上であれば、端末WL15の接続が許可される。接続要求を発した側の端末のセキュリティレベルが接続要求を受けた側の装置がサポートするセキュリティレベルでなく、或いは、接続要求を受けた側の端末の属するBSS1の最低のセキュリティレベル以下であれば、端末WL15の接続が拒否される。接続が許可であれば、当該セキュリティレベルに対応する暗号パラメータを共有するための手処理動作が実行される。
【0144】
尚、端末WL12が端末WL13から接続要求を受けたとき、その端末WL12が基地局AP1と無線接続しているか否かにかかわらず、端末WL12は、図20に示したような処理動作を実行する。
【0145】
図19において、端末WL15は、直接データフレームを端末WL12へ送信するモードが適用される場合もある。このモードはアドホック(ad hoc)モードと称せられている。このアドホックモードは、オーセンティケーションを経ずに実行することができる。アドホックモードについて、端末WL12での処理動作について、図21に示すフローチャートを参照して説明する。
【0146】
端末WL12は、ステップS81に示すように端末WL15から、基地局を介さずに直接端末WL12に宛てたデータフレームを受信する)。このようなデータフレームは、例えば、IEEE802.11の規定によれば、図4に示したMACフレームのフレームコントロール中の「To DS」及び「From DS」が共に「0」であることから容易に判断できる。
【0147】
端末WL12の受信部101では、このデータフレームを受信した際には、ステップS82に示すようにその送信元のアドレスに対応するセキュリティ情報が端末WL12のセキュリティテーブル110に登録されているか否かがチェックされる。
【0148】
端末WL15のセキュリティ情報がセキュリティテーブルに登録されているということは、端末WL15は、端末WL12と当該セキュリティテーブルに登録されているBSS1に予め定められた最低レベル以上のセキュリティレベルで、過去に通信したことがあるか、そのようなセキュリティレベルで通信することが予め定められていることを意味している。従って、ステップS83へ進み、端末WL12は、例えば、EEE802.11に規定の、受信したデータフレームに対するACKフレームを端末WL15へ送信し、端末WL15との間のデータの送受信を開始する。
【0149】
一方、ステップS82において、端末WL15のセキュリティ情報がセキュリティテーブルに登録されていないときは、このままでは、端末WL15のセキュリティレベルは不明であるから、端末WL12は端末WL15との間では通信ができない。従って、ステップS84へ進み、上記ACKフレームは送信せずに、当該端末WL15に、オーセンティケーションを要求する旨を通知する。この通知は、IEEE802.11に規定されているMACフレームの管理用フレーム、制御用フレームのうち現在未使用のフレーム、例えば、管理用フレームの場合、サブタイプが「0110」〜「0111」などのフレーム、制御用フレームの場合、サブタイプが「0000」〜「1001」などのフレームを利用して通知するようにしても良い。
【0150】
この通知を受けた端末WL15は、図20に示したステップS2以降の処理動作を開始すれば良い。上述したステップ84において、端末WL12は、ACKフレームを送信し、端末WL15がステップS2の処理を開始し、その後図20に示すステップが実行されても良い。
【0151】
上記第5の実施形態に係る通信手順では、端末WL13が、図16に示すように、ある端末WL14と既に無線接続している場合に、基地局AP1に対し接続要求した際に、基地局AP1のBSS1に予め定められた最低レベルのセキュリティを確保するための手法について説明した。これに対応して、次に、図22に示すように、端末WL15が既にある端末WL16と無線接続しているとき、この端末WL15が端末WL12に接続要求する場合について説明する。
【0152】
ここで、端末WL16のサポートできるセキュリティレベルは”enc. 0”のみである。端末WL12は、BSS1に加入しているため、端末WL12が通信を開始する際には、BSS1に予め定められた最低限のセキュリティレベルは確保する必要がある。そのためには、図18に示したものと同様の処理動作を、端末WL12で実施するようにすれば良い。
【0153】
図23は、端末WL15から端末WL12へ接続要求する場合の、端末WL12と端末WL15との間の処理手順を示している。尚、図23において、図18と同一部分には同一符号を付してその説明を省略し、異なる部分について説明する。即ち、図23において、図18の基地局及び端末WL13における処理動作が夫々端末WL12及び端末WL15における処理動作に対応し、実質的に図18に示す処理手順と同様の処理が実施される。従って、図23を参照する説明に関しては、図18における上記説明中の基地局及び端末WL13が夫々端末WL12及び端末WL15に置き換えれば、特に説明するまでもなく理解可能である。
【0154】
また、図22において、端末WL15がオーセンティケーションを経ずに、直接データフレームを端末WL12へ送信しようとする場合も、端末WL12は、図21のフローチャートの処理動作を実施した後に、図23に示すような処理動作を実施するようにしても良い。好ましくは、端末WL12は、図21のステップS81で、端末WL15から、基地局を介さずに直接端末WL12に宛てたデータフレームを受信した場合には、すぐに、ステップS84へ進み、当該端末WL15に、オーセンティケーションを要求する旨を通知して、必ず、図23に示した処理動作を実施することが、セキュリティを確保する上で望ましい。端末WL15のセキュリティ情報が端末WL12のセキュリティテーブルに登録されていることから、端末WL15が端末WL12以外の端末との無線接続に、端末WL12の属するBSS1の最低限のセキュリティレベル以上で通信するとは限らないからである。
【0155】
尚、上記説明では、端末WL15が端末WL16の1つのみと無線接続している場合を例に説明したが、複数の端末或いは基地局と無線接続している場合も、上記同様にして、端末WL15は、既に接続している端末や基地局の有無、好ましくは、その1つ1つのセキュリティレベルを通知する。端末WL15から既に接続されている無線通信の複数のセキュリティレベルが通知されてきたときには、端末WL12は、ステップS76において、その夫々についてのセキュリティレベルをチェックすれば良い。
【0156】
以上説明したように、上記第6の実施形態によれば、複数の端末間の通信においても、そのうちの1つが、最低限守るべきセキュリティレベルが予め定められているBSS内の端末であるときには、当該セキュリティレベルを確保することができる。
【0157】
(第7の実施形態)
上記第1〜第6の実施形態では、BSSのセキュリティレベルを確保する場合について説明した。同様の手法は、IBSSにおいて、セキュリティレベルを確保する場合にも適用可能である。
【0158】
この第7の実施形態では、図24に示したような構成のIBSS1を例にとり説明する。
【0159】
図24において、IBSS1は、複数の、例えば、3つの端末WL31〜WL33から構成されている。端末WL31は、セキュリティレベル”enc.0”、”enc.1”をサポートし、端末WL32は、セキュリティレベル”enc.0”、”enc.1”、”enc.2”をサポートし、端末WL33は、セキュリティレベル”enc.0”、”enc.1”をサポートするものとする。
【0160】
IEEE802.11の規定によれば、IBSSは、基地局を介さないで、IBSS内の複数の端末間でオーセンティケーションの認証過程を経ずに、直接データフレームを送受信することができる。IBSS1内の各端末がセキュリティテーブルを有し、このセキュリティテーブルにIBSS1を構成する各端末のセキュリティ情報を登録して、IBSS1内で予め定められた最低限のセキュリティレベル以上で通信するようにすれば、IBSS1内の端末間では、その最低限のセキュリティレベルは確保できる。
【0161】
そこで、IBSS1を構成する複数の端末のうちの1つ、例えば、端末WL31に、IBSS1に加入していない、即ち、セキュリティテーブルに登録されていない端末WL34から接続要求を受けたときの処理動作について説明する。
【0162】
この処理動作も、第6の実施形態と同様に、端末WL31は、好ましくは、図21に示したような処理動作を実施して、受信したデータフレームの送信元のセキュリティ情報が自身のセキュリティテーブルに登録されていないときには、当該データフレームの送信元、即ち、端末WL34に対し、オーセンティケーションを要求する旨の通知を送信する。その後、端末WL34から、オーセンティケーションのフレームが送信されると、好ましくは、図23に示すような処理動作が実施される。但し、図23に示される端末WL15は、端末WL34に置き換えられれば良い。即ち、端末WL34は、オーセンティケーションのフレームに、端末WL34のセキュリティレベルを書き込むとともに、上記(1)から(2)のうちの少なくとも1つを書き込み、端末WL31へ送信する。端末WL31は、このようなオーセンティケーションのフレームを端末WL34から受信して、図23に示した端末WL12と同様な処理動作が実施されれば良い。
【0163】
このようにして、IBSSにおいても、そのIBSSに予め定められた最低限のセキュリティレベルを確保することができる。
【0164】
また、複数の端末間の通信においても、そのうちの1つが、最低限守るべきセキュリティレベルが予め定められているIBSS内の端末であるときには、当該セキュリティレベルを確保することができる。
【0165】
以上の第1〜第7の実施形態で説明したように、基地局、端末といった無線LANを構成する無線通信装置の夫々が、少なくとも1つの(好ましくは複数の)セキュリティレベルをもち、下記の(x1)〜(x8)に示した特徴を備えることにより、例えば、BSSやIBSSといった無線LANの基本グループ、即ち、通信グループ毎に予め定められた暗号化による最低限のセキュリティレベルを確保した無線通信が実現できる。また、複数の無線通信装置間の通信において、当該複数の無線通信装置の少なくとも1つが、最低限守るべきセキュリティレベル、換言すれば、最低レベルのセキュリティレベルが予め定められている通信グループ、例えば、BSSやIBSS内の無線通信装置であるときには、必ず上記最低レベル以上のセキュリティレベルは確保することができる。尚、下記(x1)〜(x8)のうち、特に基地局である場合と明記されていない特徴に関しては、好ましくは基地局も端末も共通にもつべき機能である。
【0166】
(x1)自装置より、他の無線通信装置である第1の無線通信装置に対し接続要求する際、前記第1の無線通信装置に対し、自装置のもつセキュリティレベルのうち該第1の無線通信装置との間の通信で用いるセキュリティレベルである第1のセキュリティレベルを少なくとも1つ通知する。
【0167】
(x2)前記第1の無線通信装置に対し接続要求する際、自装置が前記第1の無線通信装置とは別の他の無線通信装置である第2の無線通信装置と既に接続しているときには、該第2の無線通信装置との間の通信で用いているセキュリティレベルである第2のセキュリティレベルを通知する。
【0168】
(x3)前記第1の無線通信装置が基地局の場合、該第1の無線通信装置に接続可能な最低レベルのセキュリティレベルがブロードキャストされているときは、自装置のもつセキュリティレベルのうち該最低レベル以上のセキュリティレベルを選択して、それを前記第1の無線通信装置に対し接続要求する際に通知する。
【0169】
(x4)前記第1の無線通信装置が基地局の場合、該第1の無線通信装置に接続可能な複数のセキュリティレベルがブロードキャストされているときは、自装置のもつセキュリティレベルのうち、該ブロードキャストされた複数のセキュリティレベルのうちのいずれかに一致するものを選択して、その選択されたセキュリティレベルを前記第1の無線通信装置に対し接続要求する際に通知する。
【0170】
(x5)自装置が、他の無線通信装置である第4の無線通信装置から接続要求を受けたとき、(a)少なくとも、該第4の無線通信装置から通知された該第4の無線通信装置と自装置との間の通信で用いるセキュリティレベルである第3のセキュリティレベルが自装置のもつセキュリティレベルにあり、しかも自装置の属する通信グループ(即ち、例えば、BSSやIBSS)に予め定められた最低レベル以上であるときには、該第4の無線通信装置の接続を許可し、(b)少なくとも、前記第3のセキュリティレベルが該最低レベルに満たないときには、該第4の無線通信装置との接続を拒否する第3の手段を具備する。
【0171】
(x5´)前記第3の手段は、(a)前記第3のセキュリティレベルが、自装置の属する通信グループに予め定められた最低レベル以上であるとともに、前記第4の無線通信装置が前記第4の無線通信装置とは別の他の無線通信装置である第5の無線通信装置と既に接続しているときに、当該第5の無線通信装置との間の通信で用いているセキュリティレベルである第4のセキュリティレベルが前記最低レベル以上であるときには、該第4の無線通信装置との接続を許可し、(b)前記第3のセキュリティレベルが前記最低レベル以上に満たないとき、あるいは、前記第4のセキュリティレベルが前記最低レベルに満たないとき、或いは、前記第4の無線通信装置が前記第5の無線通信装置と既に接続しているときに前記第4のセキュリティレベルが不明であるときには、前記第4の無線通信装置との接続を拒否する。
【0172】
(x7)自装置が基地局である場合、自装置の属する通信グループに予め定められた最低レベルのセキュリティレベル或いは、該最低レベル以上の複数のセキュリティレベルをブロードキャストする第4の手段を具備する。
【0173】
(x8)前記第4の無線通信装置から複数のセキュリティレベルが通知されてきたとき、その複数のセキュリティレベルに、自装置の属する通信グループに予め定められた最低レベル以上のものがあれば、そのうちの1つを選択して、それを前記第4の無線通信装置へ通知する第5の手段を具備する。
【0174】
この発明の実施の形態に記載したこの発明の手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、半導体メモリなどの記録媒体に格納して頒布することもできる。
【符号の説明】
【0175】
AP1、AP2…基地局(無線基地局装置)
WL11〜WL16、WL31〜WL34…端末(無線端末装置)
11…受信機
12…送信機
13…受信制御部
14…送信制御部
20、100…アンテナ
21、110…セキュリティテーブル
101…受信部
107…送信部
108…情報処理部
【技術分野】
【0001】
この発明は、無線通信システム及び無線通信装置並びに無線通信方法に係り、特に、複数の無線端末装置及びアクセスポイントから構成される無線通信システムに関する。
【背景技術】
【0002】
無線LANとして、IEEE802.11(IEEE802.11システムは、IEEE802.11aシステム及びIEEE802.11bシステム等を含むものとする。)に基づく無線LANシステムが非特許文献1で知られている。この無線LANシステムでは、暗号化方式として有線と同様にプライバシーを確保することができるWEP(Wired Equivalent Privacy)という方式が適用されている。従って、IEEE802.11に基づく無線LANのセキュリティレベルには、WEPが適用されるWEPモード及びWEPが適用されない非WEPモードがある。
【0003】
実際のIEEE802.11に従った無線LANの製品においては、WEPという暗号化方式が適用されるWEPモード及び適応されない非WEPモードの何れかでの通信が可能であり、また、WEPが適用されるWEPモードにおいては、暗号化のレベルが異なる64ビット及び128ビットの暗号化モードがあり、いずれかが無線LANにおける各通信或いは各接続リンクに適用されて通信が実現される。ここで、暗号化のレベルが高ければ高いほど、セキュリティレベルが高く、より強く暗号化されていることを意味している。
【0004】
IEEE802.11に従った無線LANの一形態として、1台のアクセスポイント(以下、基地局とも称する。)及びこのアクセスポイントに接続される複数の無線クライアント(以下、端末とも称する。)から構成されるBSS(Basic Service Set)という構成単位があり、複数のBSSが用意されてネットワークが構築されるシステムがある。
【0005】
このBSS間を接続する構造的な要素は、DS(Distribution System)と称せられている。基地局、即ち、アクセスポイントは、このDSに接続する機能を有し、情報は、アクセスポイントを介してBSSとDSとの間を伝達される。従って、端末は、アクセスポイントを介して他のBSSに属する端末とも通信することができる。
【0006】
端末は、BSSに属し、基地局を介して他のBSSに属する端末と通信するためには、基地局との間でオーセンティケーション(authentication)及びアソシエーション(association)手続きが実施される。また、端末が他のアクセスポイントに無線接続し直すときにはリアソシエーション(reassociation)手続きが実行される。
【0007】
IEEE802.11に定まる無線LANでは、交換するフレームの種類として、アクセス制御の為の制御用フレーム(control frame)と、ビーコンをはじめとする管理用フレーム(management frame)と、データ通信用のデータフレーム(data frame)とがある。ここで、オーセンティケーション、アソシエーション及びリアソシエーションの処理には、管理用フレームが使用される。
【0008】
端末がアクセスポイントとの間でデータフレームを送受する場合には、必ずその前にオーセンティケーション及びアソシエーション処理が実行される。
【0009】
IEEE802.11に定まる無線LANでは、端末が暗号化方式であるWEPを使用するか否かを基地局に問い合わせる。即ち、オーセンティケーション要求(authentication request)において、端末が基地局にWEPを使用することを要求し、この要求を受けた基地局は、WEPを使用できる場合には、基地局と端末との間でオーセンティケーションフレームを送受している。このようなオーセンティケーションフレームの送受に基づいてWEPを使用できるようになる。
【0010】
IEEE802.11に定まる無線LANの他の形態として、既存のインフラとは独立に存在するBSSがあり、これをIBSS(Independent Basic Service Set)と称している。IBSSでは、アクセスポイントは、用意されず、IBSSは、端末が直接互いに通信し合う通信形態に相当している。また、IBSSでは、アソシエーション処理は、実行されず、同様に、リアソシエーション処理も実行されない。このIBSSでは、端末間でオーセンティケーション処理を経ていなくてもデータフレームを送受することができる。
【先行技術文献】
【非特許文献】
【0011】
【非特許文献1】ISO/IEC 8802−11:1999(E) ANSI/IEEE Std 802.11、1999 edition
【発明の概要】
【発明が解決しようとする課題】
【0012】
このように、従来の無線LANでは、セキュリティ対策の1つとして通信データが暗号化されている。通信に際して暗号化機能(WEP機能)を用いるか否かは、接続要求を発した側、例えば、端末から接続要求を受けた側、例えば、アクセスポイントに要求される。この要求を受けた基地局側では、当該要求に合ったWEP機能の使用が可能であれば、当該要求を受け入れ、当該端末との間でのデータ通信を暗号化している。また、何れのセキュリティレベルで通信を実施するかも接続要求を発した側で主導的に定められる。
【0013】
今後、無線LANには、WEP以外にも、WEPよりセキュリティレベルの高い暗号化方式など、暗号化のレベルが異なる複数種類の暗号化方式が無線LANに採用されると推測される。従って、暗号化方式の種類、暗号化レベルなどに応じてきめ細かなセキュリティレベルの設定が可能となることが要求される。
【0014】
しかし、従来の無線LANでは、BSS毎に、セキュリティ確保のために最低の暗号化レベルが予め定め、それ以上のレベルを有する暗号化での通信しか許容しないシステムを作るということができないばかりか、通信の際に、暗号化方式の種類、暗号化強度などに応じたきめ細やかなセキュリティレベルが設定できない問題点がある。
【0015】
さらに、IBSSではデータフレームを送信する際にオーセンティケーションをする必要がないため、暗号化されないデータフレームを送信してシステム内のセキュリティを確保することができない問題点がある。
【0016】
また、BSS毎に、そのBSSに予め定められたセキュリティレベルを確保することができないと同様に複数のBSS間で通信するDS通信においても、各BSSに定められたセキュリティレベルを確保することはできない問題点がある。
【0017】
この発明は上述した事情に鑑みなされたものであって、その目的は、通信グループで予め定められた暗号化による最低限のセキュリティレベルを確保して無線通信ができる無線通信システム及び無線通信装置並びに無線通信方法を提供するにある。
【課題を解決するための手段】
【0018】
この発明によれば、第1通信グループに属する第1無線通信装置と通信するための無線通信装置であって、前記第1無線通信装置から、前記第1通信グループに属する無線通信装置との通信に使用可能な1つ以上の暗号化方式を示す第1セキュリティ情報を含むビーコンフレーム又はプローブ応答フレームを受信する受信手段と、前記第1セキュリティ情報に含まれる暗号化方式のうちの少なくとも1つを示す第2セキュリティ情報を含み、前記第1無線通信装置へ接続を要求するための第1接続要求フレームを、前記第1無線通信装置へ送信し、前記第1無線通信装置から接続を許可するための接続応答フレームを受信した後に、前記第2セキュリティ情報が示す暗号化方式によって暗号化されたフレームボディを有するデータフレームを送信する送信手段とを備え、前記第1接続要求フレームは、フレームコントロールフィールドと、フレームボディとを有し、前記フレームボディは、前記第2セキュリティ情報を有し、前記フレームコントロールフィールドは、タイプフィールドと、保護フィールドとを有し、前記タイプフィールドは、前記第1接続要求フレームの種別が、管理フレームであることを示す情報を有し、前記保護フィールドは、前記フレームボディが暗号化された情報を含むかどうかを示す情報を有することを特徴とする無線通信装置が提供される。
【発明の効果】
【0019】
以上説明したように、本発明によれば、BSS、IBSSといった、無線LANの基本グループ(通信グループ)毎に、それぞれのグループで予め定められた暗号化による最低限のセキュリティレベルを確保した無線通信が行える。また、複数の無線通信装置間の通信において、当該複数の無線通信装置のうちの少なくとも1つが、最低限守るべきセキュリティレベル(最低レベルのセキュリティレベル)が予め定められている通信グループ(例えば、BSSやIBSS)内の無線通信装置であるときには、必ず上記最低レベル以上のセキュリティレベルは確保することができる。
【図面の簡単な説明】
【0020】
【図1】この発明の実施形態に係る通信システムを概略的に示す模式図である。
【図2】図1に示す基地局の回路構成の一例を示すブロック図である。
【図3】図1に示す無線端末の回路構成の一例を示すブロック図である。
【図4】図1に示す通信システムにおける基地局及び端末との間で転送されるIEEE802.11に規定されているMACフレームの構造を示す模式図である。
【図5】図1に示される通信システムにおける基地局或いは端末が備えるセキュリティテーブルの一具体例を示すテーブルである。
【図6】図1に示される通信システムにおける基地局或いは端末がセキュリティテーブルの他の具体例を示すテーブルである。
【図7】図1に示される通信システムにおける基地局と端末の処理動作の一例を説明するためのフローチャートである。
【図8】(a)は、図1に示す通信システムにおける基地局及び端末との間で転送されるIEEE802.11に規定されているオーセンティケーションのフレーム構造を示した模式図及び(b)は、(a)に示されるフレームの項目に記述される内容を示すテーブルである。
【図9】(a)〜(c)は、図1に示す通信システムにおける基地局及び端末との間で転送されるIEEE802.11に規定されているアソシエーションリクエストフレーム及びアソシエーションリスポンスフレームの構造を示した模式図である。
【図10】図1に示す通信システムにおける基地局或いは端末が備える更新されたセキュリティテーブルの具体例を示すテーブルである。
【図11】図1に示される通信システムにおける基地局から端末に向けられるIEEE802.11に規定されているビーコンフレームの構造を示す模式図である。
【図12】図1に示される通信システムにおける基地局から端末に基地局が属するBSSに予め定められた最低レベルのセキュリティレベルが通知されて基地局に接続要求する処理手続きを示すフローチャートである。
【図13】図1に示す通信システムにおける基地局及び端末との間で転送されるアソシエーション応答フレームを利用してセキュリティレベルが通知され、このセキュリティレベルがチェックされる処理手続きを示すフローチャートである。
【図14】(a)〜(c)は、図1に示す通信システムにおける基地局及び端末との間で転送されるIEEE802.11に規定されているリアソシエーションリクエストフレーム及びリアソシエーションリスポンスフレームの構造を示した模式図である。
【図15】図1に示す通信システムにおける基地局及び端末との間で転送されるリアソシエーション応答フレームを利用してセキュリティレベルが通知され、このセキュリティレベルがチェックされる処理手続きを示すフローチャートである。
【図16】この発明の他の実施形態に係る通信システムを概略的に示すブロック図である。
【図17】図16に示される通信システムにおいて、他の無線通信装置に接続されている無線通信装置が更に他の無線通信装置に接続要求する際の接続要求を発した側の処理手続きの一例を説明するためのフローチャートである。
【図18】図16に示される通信システムにおいて、他の無線通信装置に接続されている無線通信装置が更に他の無線通信装置に接続要求する際の接続要求を発した側の処理手続きの一例を説明するためのフローチャートである。
【図19】この発明のさらに他の実施形態に係る通信システムを概略的に示すブロック図である。
【図20】図19に示す通信システムにおける端末間で無線接続する為の処理手順を説明するためのフローチャートである。
【図21】図19に示す通信システムにおける端末間で無線接続する際の端末での処理動作の一例を説明するためのフローチャートである。
【図22】この発明のさらに他の実施形態に係る通信システムを概略的に示すブロック図である。
【図23】図22に示す通信システムにおける端末間で無線接続する為の端末での処理動作の他の例を説明するためのフローチャートである。
【図24】この発明のさらに他の実施形態に係る通信システムを概略的に示すブロック図である。
【発明を実施するための形態】
【0021】
以下、図面を参照して、この発明の無線通信システムに係る実施形態について説明する。
まず、以下の実施形態における無線LANシステムでは、複数種類の暗号方式が適用可能であり、その暗号方式の種類が区別され、しかも、暗号化レベルをランク付けしたセキュリティレベルが予め定められている。複数種類の暗号化方式の夫々に異なるレベルがあるとすると、そのある種類の暗号化方式における1つの暗号化レベル毎に、暗号化強度の程度に応じてランクが付され、夫々に対し1つのセキュリティレベルが設定される。従って、同一の暗号化強度を有していても、暗号化方式の種類が異なれば、そのセキュリティレベルとして異なるレベルが与えられる。例えば、セキュリティレベルとして、暗号化の強度の低いものから順に、enc.0、enc.1、enc.2、…、enc.(n−1)のようにn個があるものとする。同一強度の暗号化方式が複数種類あっても、その種類毎にランクの異なるセキュリティレベルが設定されるものとする。このように、1つのセキュリティレベルには、1つの種類の暗号化方式が対応し、しかも、同一種類の暗号化方式にあっても暗号化強度の相違により複数のレベルがあるときは、その夫々のレベルに対応しているセキュリティレベルが定められる。
【0022】
さて、現行のIEEE802.11に規定された無線LANシステムにおいては、セキュリティレベルの最低レベルは、暗号化なし、即ち、WEP(Wired Equivalent Privacy)が適応されないレベルが該当する。
【0023】
現行のIEEE802.11に規定に従った無線LAN製品では、WEPが適用される場合にあっても、さらにWEPを64ビット或いは128ビットで構成するというように、2つのレベルがある。そこで、以下の実施形態の例では、複数セキュリティレベルとして、現行のIEE802.11に規定に従う無線LANと同様に、(1)”WEPなし”、(2)”WEPありで64ビットのWEPを利用”、(3)”WEPありで128ビットのWEPを利用”の3つのレベルがある場合を例として説明する。この場合、セキュリティが最も高いのは、(3)”WEPありで128ビットのWEPを利用”であり、これに次いで(4)”WEPありで64ビットのWEPを利用”のセキュリティが高くなっている。即ち、”enc.0”が(1)”WEPなし”に該当し、”enc.1”が(2)”WEPありで64ビットのWEPを利用”に該当し、”enc.2”が(3)”WEPありで128ビットのWEPを利用”に該当するものとする。
【0024】
以下の説明においては、WEPという1つの種類の暗号化方式のみの場合について説明する。しかし、WEP以外の暗号化方式であっても、暗号化方式の種類の相違とセキュリティの強さに応じて複数のレベルを設定することができれば、以下の実施形態の説明と同様にいずれの暗号化方式にあってもこの発明を適用することができる。
【0025】
以下のこの発明の実施形態では、この発明をIEE802.11に規定された無線LANシステムに適用した場合について説明する。特に、この発明の無線通信装置をIEE802.11に規定された無線LANシステムを構成する基地局或いは端末に適用した場合について説明する。
【0026】
(第1の実施形態)
まず、この発明の第1の実施形態に無線通信システムとして、複数の端末、例えば、2つの端末(WL11〜WL12)及びこの端末(WL11〜WL12)が無線接続される基地局AP1が1つのBSS(ベーシックサービスセット)を構成する通信システムを説明する。
【0027】
図1は、第1のBSS(以下、簡単にBSS1と呼ぶ)を模式的に示したものである。BSS1は、アクセスポイントとしての基地局AP1及び基地局AP1に接続される複数の端末、例えば、ここでは、2つの無線端末(以下、端末と呼ぶ)WL11、WL12からなる。
【0028】
尚、図1には、第1のBSS1とは異なる第2のBSS(以下、簡単にBSS2と呼ぶ)に属する基地局AP2と、BSS1及びBSS2にも加入していない端末WL13も示している。
【0029】
BSS1には、そこで許容する最低のセキュリティレベル(enc_low)が設定されている。この実施形態に係る無線通信システムでは、BSS1で許容する最低のセキュリティレベル(enc_low)は、セキュリティレベル”enc.1”であるとしている。図1には、許容する最低のセキュリティレベル(enc_low)がセキュリティレベル”enc.1”である旨をenc_low=enc.1と表している。基地局AP1では、”enc.1”というセキュリティレベル以外にも、セキュリティレベル”enc.1”よりもレベルが高いセキュリティレベル”enc.2”をもサポートしているものとする。従って、BSS1で使用可能な最高のセキュリティレベル(enc_high)は、”enc.2”となる。図1では、最高のセキュリティレベル(enc_high)が”enc.2”である旨をenc_high=enc.2と表している。基地局AP1と、この基地局AP1に接続される端末或いは基地局とは、”enc.1”以上のセキュリティレベルで通信がされることが予め基地局AP1に設定されている。同様に、この基地局AP1を中継して他の装置に通信する為の端末或いは基地局との間は、”enc.1”以上のセキュリティレベルで通信がされることが予め基地局AP1に設定されている。
【0030】
一方、端末WL11の有するセキュリティレベルは、”enc.0”と”enc.1”、端末WL12の有するセキュリティレベルは、”enc.0”と”enc.1”と”enc.2”であるとする。
【0031】
図2は、図1に示された基地局AP1の回路構成のブロックを示している。尚、以下の説明において、基地局AP1と基地局AP2を区別する必要のないとき、或いは、両方に共通する説明の場合には、単に基地局APと称する。
【0032】
図2において、受信部11では、アンテナ20で端末からの送信信号が受信され、復調及び復号を含む処理によって受信信号が生成される。送信部12で、アンテナ20を介して端末へ送信すべき送信信号が生成され、これらの送信信号はアンテナ20に供給される。
【0033】
受信部11からの受信信号は、受信制御部13に入力され、例えば、IEEE802.11システム(以下の説明において、IEEE802.11システムは、IEEE802.11aシステム、IEEE802.11bシステム及び今後策定されるIEEE802.11システムも含むものとする。)に準拠した所定の受信処理などが実施される。この受信制御部13では、基地局がサポートする複数のセキュリティレベルの夫々に対応する復号化処理を実行し、受信信号は、複合化(decrypt)されて複合化データに変換される。この複合化データは、情報処理部15に供給されてビデオ、オーディオ、テキスト及び他のタイプのデータに分けられ、必要な処理が施される。
【0034】
送信制御部14は、情報処理部15から供給されたデータを基に、端末へブロードキャスト、或いは、ユニキャストで送信するためのデータを生成する等の、IEEE802.11に準拠した所定の送信処理などを実施する。この送信制御部14では、基地局がサポートする複数のセキュリティレベルの夫々に対応する暗号化処理を送信すべきデータに施している。送信制御部14で生成されたデータは、送信部12を介して送信信号として端末へ送信される。尚、図2に示されるセキュリティテーブル21については、後に説明する。
【0035】
図3は、図1に示された端末WL11、WL12、WL13の回路構成の一例を概略的にブロックで示している。尚、以下の説明において、端末WL11、WL12、WL13などを区別する必要のないときは、或いは、全ての端末に共通する説明の場合には、単に端末WLと呼ぶ。
【0036】
端末WLは、アンテナ100、アンテナ100を介して受信信号を受信する受信部101、受信部101を制御する受信制御部105,アンテナ100を介して送信信号を送信する送信部107、この送信部107を制御する送信制御部106、送信されるデータを生成し、或いは、受信したデータ処理する、例えば、図示しない表示部に表示させる情報処理部108及びセキュリティテーブル110から構成されている。
【0037】
情報処理部108は、この情報処理部108に接続された有線ネットワーク109からデータを受け、或いは、ユーザの操作により生成されたデータを基に送信データを作成する。この送信データは、その送信データの送信がユーザによって指示されて送信要求が生ずると、この送信要求を受けて送信データを送信部107へ渡す。送信部107では、この送信データが規格で定められたディジタルデータに変換され、例えば、IPパケットをIEEE802.11で規定するMACフレーム(medium access control frame)に変換され、ディジタルデータとしてのMACフレームが所定周波数、例えば、2.4GHzの無線信号に変換されてアンテナ100から電波として発信される。
【0038】
一方、アンテナ100で受信された受信信号は、受信部101でディジタルデータとしてのMACフレームに変換され、このMACフレーム中の情報フィールドから受信データが抽出されて情報処理部108に送られる。この情報処理部108は、受信データをディスプレイに表示する等の処理を行う。尚、情報処理部108は、上記以外にも各種情報処理を行うようになっていても良い。また、セキュリティテーブル110については、後に説明する。
【0039】
IEEE802.11で規定されているMACフレームは、図4に示すように、各種制御情報が納められた最大30バイトのMACヘッダー、最大2312バイトのデータが収まるデータフィールド(フレームボディ)、そしてデータが正しく送られたのかを調べるためのフレーム・チェック・シーケンス(FCS)フィールドで構成されている。MACヘッダーには、MACフレームを制御する情報が格納されているフレームコントロールフィールド、端末がデータを送れるようになるまでの待機時間(duration)或いはIEEE802.11においてアソシエーションIDと称せられる端末のIDが記述されているDuration/IDfieldが含まれている。BSSが基地局APを備えていれば、このBSSのIDとして、基地局APのMACアドレスが記述される。また、MACヘッダーには、アドレス1のフィールドからアドレス4のフィールド及びシーケンスコントロールフィールドが用意されている。データフレームがあるアクセスポイントから他のアクセスポイントに送信される場合には、アドレス1〜4は、次のように割り当てられている。即ち、アドレス1のフィールドには、通信システム内の最終的な宛先(Destination Address)のMACアドレスが記述され、アドレス2のフィールドには、通信システム内における送信元(Source Address)のMACアドレスが記述され、アドレス3のフィールドには、当該MACフレームを直接送る送信先のMACアドレスが記述され、アドレス4のフィールドには、当該MACフレームを直接送る送信元のMACアドレスが記述されている。
【0040】
MACフレームのフレームコントロールには、プロトコルのバージョンが記述されているプロトコルバージョンフィールドが設けられ、これに続いてタイプフィールド及びサブタイプフィールドが設けられている。MACフレームには、次の3つのタイプがあり、このタイプがフレームコントロールにおけるタイプフィールド(2ビット)に記述されている。また、そのタイプのサブタイプがさらに詳細にサブタイプフィールド(4ビット)に示される。即ち、タイプとして(1) 管理用フレーム、(2)アクセス制御の為の制御用フレーム、(3)データ通信用のデータフレームがある。(1)管理用フレームには、サブタイプとしてビーコン(Beacon)、オーセンティケーション(Authentication)のフレーム、アソシエーション(Association)のフレーム、アソシエーションリクエストフレーム、アソシエーション応答フレーム等がある。また、(2) 制御用フレームには、サブタイプとしてACK(Acknowledgment)、RTS(Return To Send)、CTS(Clear To Send)等のような制御用フレームがある。サブタイプフィールド(4ビット)には、上記のような特定種類のMACフレーム中のサブタイプがさらに詳細に示されている。
【0041】
尚、フレームコントロールには、To DSフィールド(1ビット)及びFrom DSフィールド(1ビット)が含まれている。これらは、MACフレームがデータフレームであるときに利用されるものであって、それ以外の種類のフレーム、例えば、オーセンティケーション、或いは、アソシエーションのフレームでは、常に「0」が書き込まれていて利用されない。MACフレームがデータフレームであるとき、データの宛先が有線LAN、アクセスポイント或いはDSであれば、1のビットがこのTo DSフィールドに記述され、また、データの送信元が有線LAN、アクセスポイント或いはDSであれば1のビットがこのFrom DSフィールドに記述される。フレームコントロールには、リザーブフィールド(reserved field)、WEPフィールド、オーダーフィールド(order field)のような他フィールドが更に用意されている。ユーザによって情報を未だに特に定めがないリザーブフィールドに書き込みをすることができる。図4に示されるように、フレームのタイプ及びサブタイプ或いはフレームのタイプ及びサブタイプのいずれかに従って幾つかのフィールドはリザーブとされている。この発明の実施形態では、後に説明するように、このリザーブフィールドに、暗号化レベルが記述されても良い。この暗号化レベルは、送信データの属性に応じて定められる。機密性が要求されるコンテンツデータであれば、高い暗号化レベルが定められ、このリザーブフィールドにその暗号化レベルが記述される。このリザーブフィールドの暗号化レベルは、アクセスポイントと端末との間でのハンドシェイクする際に利用されても良い。WEPフィールドには、WEPが利用される場合には、1のビットがセットされる。
【0042】
再び図1を参照してBSS1について説明する。
【0043】
図1に示されるBSS1では、このBSS1に予め定められた最低限のセキュリティレベル(ここでは、”enc.1”)で通信が実行されることが予め定められている。即ち、BSS1を構成する基地局AP1と端末WL11〜WL12の夫々とは、セキュリティレベル”enc.1”、或いは、基地局AP1がサポートしているセキュリティレベルの範囲内で、”enc.1”以上のセキュリティレベルでの通信が実行される。
【0044】
基地局AP1及び端末WL11〜WL12の夫々には、記憶部を備え、この記憶部には、セキュリティテーブルが設けられている。基地局AP1のセキュリティテーブルには、基地局AP1自身がサポートするセキュリティレベル、このセキュリティレベル中でBSS1における最低レベルのセキュリティレベルは何れであるか、また、端末WL11〜WL12の夫々がサポートしているセキュリティレベルはどのようなものかが記憶される。また、好ましくは、各セキュリティレベルの暗号化・復号化に必要な情報であって、暗号鍵、或いは、暗号鍵を生成するためのシード情報など(このような暗号化・復号化に必要な情報をここでは、単に暗号パラメータと称する。)もこのセキュリティテーブルに記憶されることが好ましい。また、端末WL11〜WL12の夫々も、セキュリティテーブルが記憶されている記憶部を備え、BSS1がサポートするセキュリティレベル中の最低レベルのセキュリティレベル、他の端末のサポートしているセキュリティレベル、さらに、各セキュリティレベルに対応する暗号パラメータ等がセキュリティテーブルに記憶されている。
【0045】
図5に示すように、基地局AP1のセキュリティテーブル21には、当該基地局AP1の属するBSS1においてサポートするセキュリティレベル、BSS1に属する全ての端末WL11〜WL12の有するセキュリティレベルが夫々のセキュリティレベルの暗号・複合に必要なデータである暗号パラメータとともに予め登録されている。また、このセキュリティテーブル21には、基地局AP1の属するBSS1における最低レベルのセキュリティレベルとして設定されたセキュリティレベルが識別可能なように登録されている。図5では、セキュリティレベル”enc.1”に対し最低レベルを意味する「○」印が記録されている。
【0046】
暗号化パラメータは、一例として、WEPの場合には、IEEE802.11で規定されている秘密鍵(key1,key2)及びIV(Initialization Vector)等が想定される。尚、以下の説明において、セキュリティレベル及びこのセキュリティレベルに対応する暗号パラメータは、セキュリティ情報と称せられることがある。
【0047】
図6は、BSS1内における端末WL11〜WL12のセキュリティテーブル110の登録内容を示している。図6に示すように、端末側のセキュリティテーブルには、BSS1内の各端末及び基地局AP1の有するセキュリティ情報が予め登録されている。基地局AP1に対応するセキュリティ情報として、図6に示すように、この基地局AP1の属するBSS1に予め設定された最低レベルのセキュリティ情報のみが登録されていても良い。また、端末側のセキュリティテーブル110は、図5に示した基地局側のセキュリティテーブル21と全く同じであっても良い。
【0048】
また、図5及び図6に示したセキュリティテーブルに登録されている基地局AP1及び各端末のセキュリティレベルは、BSS1で予め定められた最低レベル以上のものであれば良い。さらに、各端末に対応するセキュリティ情報については、BSS1内において、実際の通信の際に利用されるセキュリティレベルのみが登録されていても良い。即ち、夫々の端末がアクセスポイントに直接リンクされる場合には、アクセスポイントに関するセキュリティ情報、或いは、端末に直接リンクされる場合には、端末に関するセキュリティ情報であって、BSS内の端末によってサポートされているセキュリティ情報について、夫々の端末は、そのセキュリティテーブルに保持することができる。
【0049】
また、図5及び図6に示したセキュリティテーブルは、BSS1の初期設定時に設定される。初期設定時には、例えば、図5及び図6に示した形式のテーブルが設定画面として表示され、この画面上に、設定事項を入力するようにしても良い。図5及び図6に示されるテーブルにおいては、AP1、WL1,WL2は、夫々基地局AP1、端末WL1,WL2のMACアドレスで特定される。
【0050】
尚、図5及び図6に示すセキュリティテーブルは、初期化の際には、何らの情報も書き込まれていなくとも良い。しかし、アクセスポイントAP1及び端末WL1、WL2が図7を参照して後に説明するように非暗号化モードでリンクされれば、セキュリティ情報を書き込むことができる。即ち、アクセスポイントAP1及び端末WL1、WL2がアクセスポイントAP1及び端末WL1、WL2に関するセキュリティ情報を獲得し、夫々のセキュリティテーブルに書き込み、その後、BSS1がアクセスポイントAP1及び端末WL1、WL2によって設立され、BSS1内での最低のセキュリティレベルが設定されれば良い。
【0051】
図1に示したBSS1では、このBSS1に対し予め設定された最低限のセキュリティレベル”enc.1”以上のセキュリティレベルにて、基地局AP1及び端末WL11〜WL12間で通信が実行される。
【0052】
次に、図1に示したBSS1の基地局AP1に、このBSS1に加入していない端末WL13が接続される場合について、図7に示すフローチャートを参照して説明する。
【0053】
端末WL13は、基地局AP1から送信されるIEEE802.11に規定されているビーコン(Beacon)フレームを受信する。IEEE802.11の規定によれば、ビーコンフレームの受信に続いて、次に、オーセンティケーション(authentication)及びアソシエーション(association)プロトコルが続くが、このオーセンティケーション或いはアソシエーションの為のフレーム中に、基地局AP1に通知する情報として端末WL13のセキュリティレベルが書き込まれる。
【0054】
図7には、一例としてオーセンティケーションのフレームで端末WL13のセキュリティレベルを基地局AP1に通知する場合の手順を示している。この手順において、端末WL13の有するセキュリティレベルは”enc.0”と”enc.1”であると仮定する。
【0055】
図8(a)は、IEEE802.11に規定されている図4に示されるMACフレームとしてのオーセンティケーションのフレームにおけるフレームボディのフォーマットを示している。オーセンティケーションフレームには、共通暗号化キーを利用しないオープンシステム及び共通暗号化キーを利用する共通暗号化キーシステムを区別するオーセンティケーションアルゴリズムが記述される。オーセンティケーションアルゴリズム番号には、例えば、オープンシステムでは、”0”が記述され、共通暗号化キーシステムでは、”1”が記述される。オーセンティケーションアルゴリズム番号0で特定されるオープンシステムでは、図8(b)に示すようにオーセンティケーションの要求フレームとしてATSN(Authentication Transaction Sequence Number)=1及び=2のフレームが用意されている。ATSN=1のオーセンティケーションのフレームは、端末WLから基地局AP1に送られ、そのステータスコードフィールド(Status Code field)は、リザーブとされる。ATSN=2のオーセンティケーションのフレームは、基地局AP1から端末WLに送られ、そのステータスコード(Status Code)には、ステータスとして接続拒否或いは接続許可のコードが記載される。オーセンティケーションアルゴリズム番号0で特定されるオープンシステムでは、オーセンティケーションのフレームは、暗号化されるチャレンジテキストが用意されていない。共通暗号化キーシステムでは、オーセンティケーションの要求フレーム(authentication request)としてATSN(Authentication Transaction Sequence Number)=1〜4のフレームが用意されている。ATSN=1及びATSN=3のオーセンティケーションのフレームは、端末WLから基地局AP1に送られ、そのステータスコードは、リザーブとされる。ATSN=2及びATSN=4のオーセンティケーションのフレームは、基地局AP1から端末WLに送られ、そのステータスコードには、ステータスとして接続拒否或いは接続許可のコードが記載される。共通暗号化システムでは、ATSN=2及び3のオーセンティケーションのフレームには、暗号化用のチャレンジテキストが用意され、ATSN=3のオーセンティケーションのフレームは暗号化されている。これに対して、ATSN=1及び4のオーセンティケーションのフレームには、暗号化用のチャレンジテキストが用意されていない。
【0056】
ATSN=1で特定されるオーセンティケーションのフレームは、接続要求を発する側から送信される。この要求フレームでは、そのステータスコードフィールドは、リザーブとされ現在未使用である。従って、このステータスコードフィールドに、接続要求を発する側のセキュリティレベル”enc.1”或いは”enc.2”を書き込むことができる。以下の実施形態の説明では、Statuscode fieldに、接続要求を発する側のセキュリティレベル”enc.1”或いは”enc.2”が書き込まれているものとする。このATSN=1のオーセンティケーションのフレームには、端末WL13の送信部107で基地局AP1との通信で利用したいセキュリティレベル(例えば、”enc. 1”)を示すデータがそのステータスコードの項に書き込まれ、このATSN=1のオーセンティケーションのフレームが図7のステップS2に示すように、基地局AP1に送信される。尚、このセキュリティレベルは、図4に示したMACフレーム中のいずれかのリザーブフィールドに書き込まれても良い。
【0057】
ATSN=1のオーセンティケーションのフレームを受信した基地局AP1の処理動作について説明する。既に記載したように、基地局AP1から常に発せられているビーコンフレームがステップS1に示すように端末WL13によって検出される。この検出の後に、端末WL13の送信制御部106は、ATSN=1のオーセンティケーションフレームを用意し、セキュリティテーブル110を参照してそのフレームの所定箇所、例えば、フレームボディ中のステータスコードにセキュリティレベル”enc.1”或いは”enc.2”を書き込む。セキュリティレベルが書き込まれたオーセンティケーションフレームは、端末WL13の送信制御部106によって検出したビーコンフレームに対応する基地局AP1を送り先としてアドレス2に指定して、ステップS2に示すように基地局AP1に送信される。基地局AP1は、オーセンティケーションフレームを受信し、基地局AP1の受信制御部13は、受信したATSN=1のオーセンティケーションフレームの所定箇所、例えば、フレームボディ中のステータスコードに書き込まれている端末WL13のセキュリティレベル”enc.1”或いは”enc.2”を取り出し、基地局AP1のセキュリティテーブル21に登録されているBSS1の最低レベルのセキュリティレベル”enc_low”と比較する。ステップS3に示すように端末WL13から通知されたこの端末WL13のセキュリティレベル”enc.1”或いは”enc.2”が、基地局AP1がサポートしているセキュリティレベル”enc.1”或いは”enc.2”であり、しかも、BSS1内における最低レベルのセキュリティレベル”enc_low”以上のときには、端末WL13の接続を許可すると判断する。端末WL13のセキュリティレベルが、基地局AP1がサポートしているセキュリティレベルでない場合、或いは、基地局AP1がサポートしているセキュリティレベルであるが、BSS1における最低レベル”enc_low”のセキュリティレベル未満のときは端末WL13の接続を拒否すると判断する。
【0058】
ステップS3において、基地局AP1が端末WL13の接続を拒否する場合は、IEEE802.11に規定に従い、ATSN=2のオーセンティケーションフレームが送信制御部12によって用意され、そのステータスコードに接続が失敗である旨のコードが書き込まれ、ステップS4に示すように端末WL13にATSN=2のオーセンティケーションフレームが返信される。端末WL13は、ステップS5に示されるように接続を拒否する記述がされたATSN=2のオーセンティケーションフレームの受信がN回目かを判断する。このN回は、端末側のセキュリティテーブル110に書き込まれているセキュリティレベルの数(=N個)に相当している。当初、基地局AP1がサポートしているセキュリティレベルが低いレベルとして端末WL13は、この低いレベルのセキュリティレベルを基地局に通知し、拒否されるとそのセキュリティレベルを上げ、ステップS2に示すように上げられたセキュリティレベルが通知される。端末側のセキュリティテーブル110がサポートしているN個のセキュリティレベルを通知して、ステップS5に示すようにN回に亘ってATSN=2のオーセンティケーションフレームを端末WL13が受信する場合には、基地局AP1から接続を拒否されたと判断して、この段階でステップS15に示すように接続手続きが中断される。
【0059】
一方、端末WL13の接続を許可する場合は、基地局AP1は、端末WL13から通知されたセキュリティレベルに対応する暗号パラメータを端末WL13と共有すべく、ステップS6に示すようにIEEE802.11に規定に従い、チャンレンジテキストを送信するATSN=2のオーセンティケーションフレームを用意し、このオーセンティケーションフレームのステータスコードに、ATSN=1のオーセンティケーションフレームの受信が成功である旨のコードを書き込み、ステップS6に示すように端末WL13に返信する。
【0060】
端末WL13では、ATSN=2のオーセンティケーションフレームを受信すると、基地局AP1と端末WL13との間のセキュリティレベル、例えば、セキュリティレベル”enc.1”が確定される。また、端末WL13は、セキュリティレベルに対応する暗号パラメータとして、ユーザによって予め取得したIVや秘密鍵を用いて、IEEE802.11の規定に従い、チャレンジテキストなどを含むフレームボディを、ステップS7に示すように端末WL13の有するWEP機能を用いて暗号化する。更に、端末WL13は、ATSN=3のオーセンティケーションフレームを用意し、そのフレームボディにATSN=2のオーセンティケーションフレームからチャレンジテキストをコピーする。この端末WL13は、フレームを暗号化してステップS8に示すように基地局AP1に送信する。
【0061】
ATSN=3のオーセンティケーションフレームを受信した基地局AP1では、同じくIEEE802.11に規定に従い、端末WL13とで共有されている基地局AP1が有する秘密鍵で、ステップS9に示すように受信したATSN=3のオーセンティケーションフレームを復号して格納された暗号化チャレンジテキストを取り出すこととなる。この複合化されたチャレンジテキストは、送信されたチャレンジテキストと比較され、ステップS10に示すようにその比較結果を基に暗号化・複合化が検証される。
【0062】
検証結果が「失敗」であれば、同じくIEEE802.11に規定に従い、その旨を通知するATSN=4のオーセンティケーションフレームが用意され、そのステータスコードに、検証結果が「失敗」である旨のコードが書き込まれ、ステップS11に示すようにATSN=4のオーセンティケーションフレームが端末WL13に返信される。検証結果の「失敗」は、暗号化方式が基地局AP1と端末WL13とで相違していることを意味している。従って、ステップS14に示すようにATSN=4のオーセンティケーションフレームがM回以内であることが確認されて端末WL13における暗号化方式が変更されてステップS2に戻され、ステップS2からステップS10が繰り返される。ここで、M回は、端末WL13が用意している暗号化方式の個数に対応し、端末WL13は、M回ATSN=4のオーセンティケーションフレームを受信することができる。このように端末WL13がM回ATSN=4のオーセンティケーションフレームを受けても暗号化方式が一致しない場合には、端末WL13は、基地局AP1との接続が拒否された判断される。従って、端末側では、基地局AP1が提供する暗号化方式を準備していないとして、ステップS15に示すように接続手続きが終了される。
【0063】
一方、ステップS10における検証結果が「成功」であれば、基地局AP1は、ステップS12に示すように同じくIEEE802.11に規定に従い、その旨を通知するATSN=4のオーセンティケーションフレームを端末WL13に送信する。端末WL13では、このフレームを受信すると、ステップS12に示すように次の手順であるIEEE802.11に規定されたアソシエーションを開始する。即ち、端末WL13は、ステップS13に示すようなアソシエーションリクエストフレームを基地局AP1に送り、このリクエストに応答して基地局AP1は、アソシエーションリスポンス端末WL13に返すようなIEEE802.11に規定に従った処理動作が実行される。アソシエーションが正常に終了した後、端末WL13と基地局AP1との間では、データフレームが送受信される。その送受信されるデータフレームは、上記手順によって予め定められた暗号化、例えば、”enc.1=enc.low”のセキュリティレベルに相当する64ビットのWEP機能により暗号化されている。
【0064】
尚、端末WL13及び基地局AP1では、その端末WL13及び基地局AP1間の通信のセキュリティレベル及び暗号パラメータが確定した時点で、互いのセキュリティ情報がそのセキュリティテーブル21,110に登録される。即ち、端末WL13では、図7に示すステップS7で暗号パラメータを取得した後に、基地局AP1のセキュリティ情報がセキュリティテーブル110に登録される。また、基地局AP1では、図7のステップS10で検証が成功した後に、端末WL13のセキュリティ情報がそのセキュリティテーブル21に登録される。即ち、図4に示されるMACフレーム中の端末WL13のアドレスを示す適切なアドレスフィールドを選択することによってこのアドレスとの関係でセキュリティ情報がアクセスポイントAP1のセキュリティテーブル21に登録される。基地局AP1のセキュリティテーブルには、図10に示すように、「接続先」が端末WL13であるセキュリティ情報が新たに登録される。端末WL13のセキュリティテーブルにも、同様にして「接続先」が基地局AP1であるセキュリティ情報が新たに登録される。即ち、図4に示されるMACフレーム中の基地局AP1のアドレス1を示す適切なアドレスフィールドを選択することによってこのアドレスとの関係でセキュリティ情報が端末WL13のセキュリティテーブル110に登録される。この新たに追加された端末WL13におけるセキュリティ情報のセキュリティレベルは、端末WL13が図7のステップS2で要求してきたセキュリティレベルに相当している。
【0065】
また、端末側のセキュリティテーブルに、基地局のセキュリティ情報が登録されていれば、端末は、その基地局の最低レベル以上のセキュリティレベルを予め選択することができ、その結果、ステップS3で、当該基地局から接続を拒絶されることがない。ここで、基地局のセキュリティ情報は、少なくとも当該基地局の属するBSSに予め定められた最低レベル以上のセキュリティレベルを有する。換言すれば、端末が基地局に再接続する際に、基地局に端末自身がサポートしているセキュリティレベルの中から基地局で定められた最低レベル以上のセキュリティレベルを選択して図7におけるステップS2に示すようにこのセキュリティレベルを基地局に通知すれば良い。
【0066】
また、基地局APのセキュリティテーブルに、端末WLに関するセキュリティ情報として少なくとも当該基地局の属するBSSに予め定められた最低レベルenc_low以上のセキュリティレベルのセキュリティ情報が登録されていることが好ましい。この登録において、基地局の属するBSSに関しては、図4に示すMACフレームにおける適切なアドレスフィールドに記載されたアドレスでBSSが特定され、このアドレス及びセキュリティレベルがセキュリティテーブルに記述される。このようなBSSに関する登録があれば、基地局から当該端末へのユニキャスト通信に用いるセキュリティレベルを、当該最低レベル以上で、しかも、当該端末がサポートすることができるセキュリティレベルを予め選択することできる。また、基地局APの属するBSS内の端末WLへのマルチキャスト通信、ブロードキャスト通信におけるセキュリティレベルも、当該最低レベルenc_low以上で、しかも、それを受信すべき全ての端末にてサポートされているセキュリティレベルのものを予め選択することができる。即ち、図7のステップS5に示すように、基地局AP1から接続を拒否されたときには、先に通知したセキュリティレベルとは異なる、好ましくは、より高いレベルのセキュリティレベルを通知して、再度接続の要求することができる。端末WL13が有するセキュリティレベルを1つずつ通知しながら、最大所定回数Mだけ接続要求が可能となる。
【0067】
基地局AP1は、接続要求元の端末WL13に対し、BSS1に予め設定された最低レベルのセキュリティレベルenc_low、或いは、基地局AP1がサポートしている最低レベルenc_low以上のセキュリティレベルの全てを通知するようにしても良い。この通知は、IEEE802.11に規定されているMACフレームの管理用フレーム、制御用フレームのうち現在未使用のフレームを用いて通知するようにしても良い。例えば、管理用フレームでは、サブタイプが「0110」〜「0111」などのフレーム、制御用フレームでは、サブタイプが「0000」〜「1001」などのフレームが相当する。図7に示されるステップS4において、基地局AP1が端末の接続を拒否した場合において、ATSN=2のオーセンティケーションフレームを送信した後に、この未使用のフレームを送信して最低レベルenc_low以上のセキュリティレベルの全てを端末WL13に通知するようにしても良い。また、ステップS4或いはステップS6おいて、ATSN=2のオーセンティケーションフレームを送信する前に未使用のフレームを送信して最低レベルenc_low以上のセキュリティレベルの全てを端末WL13に通知しても良い。更に、オーセンティケーション或いはアソシエーションの処理の間、或いは、データフレームの送受信が開始する前等、適当なときを見計らってアクセスポイントAP1が未使用のフレームを送信して最低レベルenc_low以上のセキュリティレベルの全てを端末WL13に通知するようにしても良い。
【0068】
IEEE802.11に規定されているMACフレームのアソシエーションのフレームには、図9(a)、図9(b)及び図9(c)に示すように、そのフレームボディの「キャパビリティー情報(Capability information)」内に未使用領域としてリザーブフィールドが設けられている。この未使用領域を利用して、基地局AP1は、接続要求元の端末WL13にBSS1の最低レベルのセキュリティレベルenc_low、或いは、基地局AP1がサポートしている当該最低レベルenc_low以上のセキュリティレベルの全てを端末WL13に通知するようにしても良い。
【0069】
このように、上記第1の実施形態では、基地局AP1に、BSS1内に属する端末WL11,Wl12以外のBSS1内に属さない端末WL13が接続しようとする場合、まず、
(1)この端末WL13は、基地局AP1へ、端末WL13自身のセキュリティレベルを通知する。図7に示されるフローでは、この通知は、オーセンティケーションのフレームを利用している。
【0070】
(2)基地局AP1では、この端末WL13から通知されるセキュリティレベルが基地局AP1でサポートしているセキュリティレベルであり、しかも、BSS1に予め定められた最低レベルenc_lowのセキュリティレベル以上であるときには、端末WL13の接続を許可して、接続のための処理動作を続行する。しかし、端末WL13から通知されるセキュリティレベルがBSS1に予め定められた最低レベルのセキュリティレベルに満たないときには、端末WL13の接続を拒否する。
【0071】
(3)端末WL13からの接続を許可する場合には、必要に応じて、暗号化・復号化のための情報、即ち、暗号パラメータを共有するための認識処理が実行される。
【0072】
このように、上記第1の実施形態によれば、BSSといった、無線LANの基本グループ毎に、夫々のグループで予め定められた暗号化による最低限のセキュリティレベルを確保した無線通信が実現される。
【0073】
好ましくは、上記(1)の場合、端末WL13は、端末WL13自身がサポートするセキュリティレベルのうち、最高レベルenc_highのセキュリティレベルを基地局AP1に通知されれば、基地局AP1が端末WL13の接続を拒否する機会が少なくなる。また、最高レベルenc_highのセキュリティレベルを基地局AP1に通知すれば、1回の接続要求で、当該基地局AP1との接続の可否が判断でき、結果として、無駄なトラヒックを削減することができる。
【0074】
また、BSS1内の基地局或いは各端末は、夫々BSS1内の基地局或いは端末と通信する際に利用するBSS1に予め定められた最低レベルenc_low以上のセキュリティレベルのセキュリティ情報をセキュリティテーブルに登録することが好ましい。基地局或いは各端末は、このセキュリティテーブルを参照して、アドレスで特定される所望の端末や基地局に接続要求する際に通知するセキュリティレベルとして接続を拒否されない最低限のセキュリティレベルを予め選択することができる。
【0075】
上記第1の実施形態では、ステップS2において、端末WL13が基地局AP1との通信で利用することを希望する1つのセキュリティレベルのみを基地局AP1に通知しているが、この場合に限られるものではないことは明らかである。端末WL13自身が有する全て、或いは、全てでなくとも複数のセキュリティレベルが端末WL13から基地局AP1に通知されても良い。また、端末WL13がサポートするセキュリティレベルのうち、最高レベルのセキュリティレベルenc_highのみが端末WL13から基地局AP1に通知されても良い。
【0076】
ステップS2において、端末WL13自身が有する全て、或いは、全てでなくとも複数のセキュリティレベルを通知する場合における基地局AP1の処理動作について説明する。
【0077】
図7に示すステップS2において、端末WL13自身が有する複数のセキュリティレベルが基地局に送信される。基地局AP1では、ステップS3では、このセキュリティレベルの中に、BSS1における最低レベルに相当するセキュリティレベルenc_low以上のセキュリティレベルであって、しかも自装置がサポートしているセキュリティレベルが含まれているかを判断する。基地局AP1は、サポートしているセキュリティレベルが含まれているときは、端末WL13の接続を許可すると判断する。また、基地局AP1は、サポートしているセキュリティレベルが含まれていないときは端末WL13の接続を拒否すると判断する。端末WL13の接続を拒否する場合は、ステップS4へ進む。端末WL13の接続を許可するときは、基地局AP1は、次に、端末WL13と基地局AP1とが共にサポートしているセキュリティレベルのうち、BSS1における最低レベルenc_low以上のセキュリティレベルを選択する。基地局AP1は、BSS1における最低レベルenc_low以上のセキュリティレベルが複数存在するときは、その中の1つを選択する。この選択に関しては、その中で最低のもの、或いは最高のもの、その他の各種選択基準があるが、そのいずれであってもその中の1つを選択すれば良い。基地局AP1は、選択した1つのセキュリティレベルを端末WL13との間の通信に用いるセキュリティレベルとする。例えば、端末WL13から通知されたセキュリティレベルが”enc. 0”と”enc. 1”であるとすると、端末WL13の基地局AP1への接続は許可され、端末WL13と基地局AP1との間の通信のセキュリティレベルは”enc. 1”と選択される。
【0078】
この選択されたセキュリティレベルを端末WL13へ通知する必要がある場合には、例えば、図7のステップS6にて、ATSN=2のオーセンティケーションフレームを送信する前などに、前述のIEEE802.11に規定されているMACフレームの管理用フレーム、制御用フレームのうち現在未使用のフレームなどを用いても良い。
【0079】
端末WL13では、選択されたセキュリティレベルの通知を受けて、その後の処理の準備を行うことができる。
【0080】
BSS1内では、BSS1に予め定められた最低レベルenc_low以上のセキュリティレベルであるなら、必ずしも同一のセキュリティレベルで通信する必要はない。
【0081】
また、BSS1内では、接続相手に応じて異なるセキュリティレベルで通信するようにしても良い。即ち、ここでは、基地局AP1は、BSS1に予め定められた最低レベルenc_low以上のセキュリティレベルであるなら、どのセキュリティレベルでどの端末と通信することに関し特に限定はない。基地局AP1が端末毎に異なるセキュリティレベルで通信することにより、無線通信の秘匿性を向上することができる。
【0082】
図7は、BSS1に加入していない端末WL13と基地局AP1との間の接続時の動作として説明したが、上記の説明の端末WL13をBSS1に加入している端末WL11〜WL12の夫々に置き換えても良い。端末WL11〜WL12の夫々が、基地局AP1と接続しようとするときも、図7に示した手順に従えば、図7のステップS2で、その都度異なるセキュリティレベルを通知して、接続の度に、その目的に応じたセキュリティレベルを変更することができる。この場合、各端末のセキュリティテーブルには、BSS1の最低レベルのセキュリティレベルが登録されているので、各端末がサポートするセキュリティレベルのうち、この最低レベル以上のセキュリティレベルが選択されて、それがステップS2で通知される。また、セキュリティレベルを変更しなくとも、その後のオーセンティケーションの際に、暗号パラメータ(WEPの場合、秘密鍵やIVなど)を変更することもできる。
【0083】
同様に、図7の説明の端末から基地局への接続要求の際の手順は、互いに異なるBSSに属する、基地局から基地局へ接続要求の際の手順としても適用可能である。即ち、図7の説明の端末WL13を基地局AP1、基地局AP2をBSS1とは異なる他のBSSに属する基地局、例えば、ここではBSS2の基地局AP2に置き換えることができる。このように、第1の実施形態によれば、基地局間の通信、即ち、DS通信においても、夫々の最低限のセキュリティレベル以上で通信が実現される。
【0084】
BSS1内の端末、例えば、端末WL11が同じBSS1内の他の端末、例えば、端末WL12、と通信する際には、必ず、基地局AP1を介して基地局AP1に接続して通信しても良く、基地局AP1を介さず、端末間で直接通信しても良い。
【0085】
端末WL11〜WL12、基地局AP1が、夫々のセキュリティテーブルに登録されている相手に接続しようとする場合、セキュリティレベル及び暗号パラメータを送受信するためのオーセンティケーションなどを省略しても良い。接続要求を受けた側では、そのフレームの送信元が自身のセキュリティテーブルに登録されているものであれば、そのセキュリティテーブルを参照して、BSS1内で予め定められた最低レベル以上のセキュリティレベルで要求元と通信すれば良い。
【0086】
基地局AP1及び端末WL11〜WL12の夫々のセキュリティテーブルに、接続相手毎に、過去にその間の通信で用いたセキュリティレベルのセキュリティ情報のみが登録されても良い。この登録されているセキュリティ情報は、BSS1における最低レベルenc_low以上のセキュリティレベルに相当する。
【0087】
初期設定時においては、BSS1内の基地局AP1及び端末WL11〜WL12のセキュリティテーブルは、全て同一の内容が記載され、図5に示すような、BSS1を構成する各装置に対し、その夫々がサポートする全てのセキュリティレベルのセキュリティ情報及びBSS1に最低レベルとして設定されたセキュリティレベルとが登録されていても良い。
【0088】
また、BSS1内では、基地局AP1及び端末WL11〜12もBSS1で許容する最低のセキュリティレベルである”enc. 1”はサポートする。従って、端末WL11〜WL12のいずれかがデータフレームなどをBSS1内でマルチキャスト、ブロードキャストするときには、そのフレームのフレームボディは許容する最低のセキュリティレベルで暗号化されるものとする。これにより、BSS1としては、許容する最低のセキュリティレベルを確保できる。
【0089】
また、上記第1の実施形態では、接続要求元のサポートしているセキュリティレベルのチェックと、暗号パラメータを接続要求元と接続要求先とで共有するための認識処理とをIEEE802.11に規定されているオーセンティケーション時にまとめて行っている。しかし、この2つの処理を分けて、前者をIEEE802.11に規定されているアソシエーション時に処理を実行することもできる。また、先にアソシエーションを行なって、次に、オーセンティケーションを行う場合も考えられる。この場合において、上記2つの処理をオーセンティケーション時にまとめて行ってもよいし、アソシエーション時とオーセンティケーション時とに分けて行うようにしても良い。しかし、上記2つの処理を分ける場合、好ましくは、セキュリティレベルのチェックを暗号パラメータを共有するための認識処理に先だって行った方が、セキュリティを確保する上で好ましい。
【0090】
(第2の実施形態)
最低限のセキュリティレベルが予め定められた図1に示されるようなBSS1の基地局が当該BSS1で定められた最低限のセキュリティレベルをブロードキャストする第2の実施に係る通信システムについて説明する。この説明においては、第2の実施形態に係る通信システムにおいて、第1の実施形態と同一の説明については、省略し、その異なる点について図12を参照して説明する。
【0091】
第2の実施形態に係る通信システムにおいては、IEEE802.11に規定されたビーコンフレームに当該BSSの最低限のセキュリティレベルが書き込まれ、このビーコンフレームが送信される
図11は、IEEE802.11に規定されているMACフレームの構造を有するビーコンフレームのフレームボディのフォーマットを示している。このビーコンフレームの「キャパビリティー情報(Capability information)」内には、未使用領域としてリザーブフィールドが設けられている。基地局AP1は、BSS1の最低レベルのセキュリティレベル或いは、基地局AP1がサポートしている当該最低レベル以上のセキュリティレベル全て、或いは全てでなくとも複数のセキュリティレベルをこのリザーブフィールドに書き込み、そのセキュリティレベルを端末WLに通知する。
【0092】
基地局AP1の送信制御部14は、ビーコンフレームにBSS1の最低レベルのセキュリティレベル或いは、基地局AP1がサポートしている当該最低レベル以上のセキュリティレベル全て、或いは、全てでなくとも複数のセキュリティレベルを書き込み、ブロードキャストする。図12のステップS21に示すように、このビーコンフレームを端末が受信する。ビーコンフレームは、BSS1に加入していない端末、例えば、図1に示す端末WL13も受信することができる。
【0093】
端末WL13の受信部101では、ステップS22に示すように受信したビーコンフレームに書き込まれたBSS1の最低レベルのセキュリティレベルを取り出し、ステップS23に示すように端末WL13がサポートしているセキュリティレベルに、BSS1の最低レベル以上のものがあるか否かチェックする。ここで、端末WL13がサポートしている全てのセキュリティレベルは、予め端末WL13のセキュリティテーブルに登録されていても良い。端末WL13のセキュリティレベルに、BSS1の最低レベル以上のものがないときは、基地局AP1との接続は中止してその接続処理を終了する。
【0094】
ここでは、BSS1の最低レベルのセキュリティレベルは”enc.1”であり、端末WL13は、”enc.0”と”enc.1”をサポートしているので、端末WL13は、基地局AP1と接続可能である。端末WL13のセキュリティレベルには、BSS1の最低レベル以上のものがあるので、端末WL13は、この”enc.1”というセキュリティレベルを選択して、基地局AP1への接続要求を開始する。即ち、図7のステップS2へ進み、選択したセキュリティレベルを通知し、以下、第1の実施形態の説明と同様の動作を行う。
【0095】
但し、この場合、端末WL側からは、必ず、最低レベル以上のセキュリティレベルが通知されることが期待できるので、基地局AP1では、図7のステップS3を省略しても良い。また、端末WL13は、ステップS2において、端末WL13自体が有するセキュリティレベルのうち、ビーコンフレームにて通知されたBSS1の最低レベル以上のセキュリティレベルを選択して(このようなセキュリティレベルが複数あるときは、それら全て、或いは、そのうちの所望のいくつか、或いは、そのうちの1つを選択して、例えば、セキュリティレベルが最高のもの、或いは最低のもの、或いは所望のものを選択しても良い。)基地局AP1へ通知すれば良い。
【0096】
このように、最低限のセキュリティレベルが予め定められたBSS1の基地局AP1が、当該BSSの最低限のセキュリティレベルをブロードキャストすることにより、端末WL13は、自身がサポートするセキュリティレベルで接続可能な相手を予め選択してから接続を開始するので、不要なトラヒックを削減することができる。
【0097】
また、端末WL13が基地局AP1に対し、プローブの要求フレーム(probe request)を送信し、それに対し基地局AP1がプローブの応答フレーム(probe response)でセキュリティレベルを通知することもできる。
【0098】
(第3の実施形態)
上記第1の実施形態では、IEEE802.11に規定されたオーセンティケーションとアソシエーションとを、この順で実施する場合について説明したが、先にアソシエーションを行ってからオーセンティケーションを実施することも想定される。第3の実施形態では、この場合について、図1に示したBSS1の場合を例にとし、図13に示したフローチャートを参照して説明する。
【0099】
ここでも、第1の実施形態と同様、BSS1の基地局AP1に、BSS1に加入していない端末WL13が接続を要求する場合について説明し、第1の実施形態と異なる部分についてのみ説明する。
【0100】
端末WL13は、ステップS31に示すように基地局AP1から送信されるビーコンフレームを受信し、その後、基地局AP1に接続すべく、ステップS32に示すようにアソシエーションの要求フレームを基地局AP1に送信する。
【0101】
前述したように、IEEE802.11に規定されているMACフレームのアソシエーションのフレームには、図9(a)、図9(b)及び図9(c)に示すように、そのフレームボディの「キャパビリティー情報(Capabilityinformation)」内に未使用領域、即ち、リザーブフィールドが用意されている。端末WL13の送信部107は、このリザーブフィールドに端末WL13のサポートしているセキュリティレベルのうち少なくとも所望の1つをこのリザーブフィールドに書き込み、ステップS32に示すよう基地局AP1に送信する。例えば、ここでは、端末WL13の送信部107では、自身のもつ全てのセキュリティレベル(”enc.0””enc.1”)のうちの1つの”enc.1”を示すデータをリザーブフィールドに書き込み、基地局AP1に送信するものとする。
【0102】
これを受信した基地局AP1の処理動作は、第1の実施形態と同様である。即ち、基地局AP1の受信制御部13は、受信したアソシエーションの要求フレーム(Association Request)に書き込まれている端末WL13のセキュリティレベルを取出し、このセキュリティレベルを基地局AP1のセキュリティテーブル21に登録されているBSS1の最低レベルのセキュリティレベルと比較する。端末WL13から通知された、この端末WL13のセキュリティレベルが基地局AP1のサポートしているセキュリティレベルであり、しかも、BSS1における最低レベルのセキュリティレベル以上のときには、ステップS33に示すように端末WL13の接続を許可すると判断する。また、BSS1の最低レベルのセキュリティレベル未満のときには、ステップS33に示すように端末WL13の接続を拒否すると判断する。即ち、端末WL13の接続を拒否する場合は、例えば、IEEE802.11の規定に従い、ステップS34に示すようにアソシエーションの応答フレーム(Association ResponseのStatus code)に、接続が失敗である旨のコードを書き込んで、端末WL13に返信する。端末WL13は、このフレームを受信することにより、基地局AP1から接続を拒否されたと判断して、この段階で接続手続きを中断する。
【0103】
一方、端末WL13の接続を許可する場合は、端末WL13から通知されたBSS1の最低レベルのセキュリティレベルである”enc. 1”を利用する通信のために、IEEE802.11の規定に従い、アソシエーションの応答フレーム(Association ResposeのStatus code)に、接続が成功である旨のコードを書き込み、ステップS36に示すように端末WL13に返信する。
【0104】
これを受けて、端末WL13では、IEEE802.11の規定に従い、暗号パラメータを端末WL13と基地局AP1との間で共有するための認証処理の為にステップS37に示すようにオーセンティケーションフレームを送信する。オーセンティケーションフレームの送信後のオーセンティケーションの処理は、IEEE802.11の規定に従って実行される。この処理に関しては、IEEE802.11の規定に従うことから、その説明は省略する。
【0105】
尚、この第3の実施形態の場合も、第1の実施形態の場合と同様な効果が期待できるとともに、第1の実施形態で説明したような数々のバリエーションが適用可能であることは云うまでもない。
【0106】
(第4の実施形態)
次に、ある端末が複数の基地局のエリア間を移動しながら通信する場合において、各エリア、即ち、BSS毎のセキュリティレベルを確保する手法について、図1に示した無線LANシステムを例にとり説明する。端末WLが移動される状況、即ち、いわゆるモバイル環境下においても、各基地局の属するBSSに対して夫々に予め定められた最低限のセキュリティレベルを確保するための手法を、この第4の実施形態において説明する。基本的には、上記第1の実施形態で説明したように、各BSSの基地局では、端末からの接続要求を受ける際に、当該端末からセキュリティレベルを通知してもらい、それが自BSSに予め定められた最低限のセキュリティレベル以上である場合のみ、当該端末の接続を許可し、基地局と端末との間で暗号パラメータを共有するための認証処理を実行する点は同じである。
【0107】
例えば、IEEE802.11に規定されている無線LANシステムでは、図1の端末WL13が基地局AP2に接続していたところ、基地局AP1のエリア内に移動してきた場合には、端末WL13と基地局AP1との間ではリアソシエーション(Reassociation)が実行される。そして、このリアソシエーション手続きが正常に終了すると、データフレームが送受信される。
【0108】
この第4の実施形態では、端末WL13から基地局AP1へは、リアソシエーションの要求フレーム(Reassociation Request)中の未使用領域を利用して、端末WL13のセキュリティレベルが通知される。
【0109】
以下、図1に示した無線LANシステムにおいて、端末WL13が基地局AP2のエリアから基地局AP1のエリアに移動し、基地局AP1に対しリアソシエーションが実施される場合について、図15に示すフローチャートを参照して説明する。尚、図15において、図13と同一部分には同一符号を付してその説明を省略し、異なる手続きについて説明する。
【0110】
端末WL13は、ステップS31に示すように基地局AP1から送信されるビーコンフレームを受信した後、基地局AP1に接続すべく、ステップS51に示すようにリアソシエーションの要求フレームを基地局AP1に送信する。
【0111】
IEEE802.11に規定されているMACフレームのリアソシエーションのフレームには、図14(a)〜(c)に示すように、そのフレームボディの「Capability information」内に未使用領域、即ち、リザーブフィールドが用意されている。
【0112】
端末WL13の送信部107は、ステップS51に示すようにこのリザーブフィールドに端末WL13のサポートしているセキュリティレベルのうちの少なくとも所望の1つを書き込み、基地局AP1に送信する。例えば、ここでは、端末WL13の送信部107では、自身のもつ全てのセキュリティレベル(”enc. 0””enc.1”)のうち、”enc.1”を示すデータを書き込み、基地局AP1に送信する。
【0113】
このリアソシエーションのフレームを受信した基地局AP1の処理動作は、図13の説明と同様であるので、図13のステップS33に関する説明を参照されたい。但し、ステップS33にて端末WL13の接続を拒否する場合は、IEEE802.11の規定に従い、リアソシエーション応答フレームのステータスコードに、接続が失敗である旨のコードが書き込まれ、ステップS52に示すように端末WL13に返信される。また、端末WL13の接続を許可する場合は、IEEE802.11の規定に従い、リアソシエーション応答フレームのステータスコードに、接続が成功である旨のコードが書き込まれ、ステップS53に示すように端末WL13に返信される。
【0114】
基地局AP1が端末WL13の接続を許可した場合、基地局AP1と、端末WL13との間で、暗号パラメータが共有されることが必要とされる。そのために、図15のステップS37〜ステップS44に示したように、図13と同様に、IEEE802.11の規定に従い、暗号パラメータを端末WL13と基地局AP1との間で共有するための認証処理、即ち、オーセンティケーションの手続きが執られても良い。
【0115】
また、端末WL13からのリアソシエーションの要求フレームには、端末WL13が現在接続している基地局、即ち、基地局AP2のアドレスが記述されている。このアドレスは、図14(a)〜(c)に示される「現在のAPアドレス(Current AP address)」が相当する。そこで、図15に示したように、オーセンティケーションの手続きが執られず、「現在のAPアドレス(Current AP address)」を基に、基地局AP1は、基地局AP2に接続する。そして、基地局AP1は、基地局AP2のセキュリティテーブルに登録されている端末WL13についてのセキュリティ情報の転送を要求し、そのセキュリティ情報の転送後に、セキュリティ情報をそのセキュリティテーブルに登録するようにしても良い。これにより、基地局AP1と端末WL13との間で、暗号パラメータが共有される。従って、端末WL13がステップS53で示される基地局AP1から接続が許可された後に、端末WL13は、この端末WL13と基地局AP2との間の通信と同様にして、同一のセキュリティレベルで暗号化されたデータフレームを基地局AP1との間で送受信することができる。
【0116】
尚、この第4の実施形態に係る通信システムにおいても、第1の実施形態におけると同様な効果が期待できるとともに、第1の実施形態で説明したような数々のバリエーションが適用可能であることは云うまでもない。
【0117】
(第5の実施形態)
以上、第1〜第4の実施形態に係る通信システムにおいては、端末WL13が基地局AP1との間で、基地局AP1の属するBSS1に予め定められた最低レベル以上のセキュリティレベルにて通信を実現することが可能となる。しかし、端末WL13が基地局AP1と通信すると同時に、端末WL13が基地局AP1以外のBSS1に加入していない端末や他の無線局と通信する場合に、その間の通信のセキュリティレベルがBSS1に予め定められた最低レベルより低ければ、結果として、BSS1の最低レベルのセキュリティレベルが確保されたとは云えない。そこで、この第5の実施形態に係る通信システムにおいては、端末WL13が図16に示すように、ある端末WL14と既に無線接続している場合に、端末WL13が基地局AP1に接続要求したとしても、下記に説明する手続きに従って、BSS1に予め定められた最低レベルのセキュリティを確保することができる。
【0118】
端末WL13は、BSS1に予め定められた最低のセキュリティレベルに満たないセキュリティレベルにて、他の端末や基地局に無線接続されている際には、端末WL13は、BSS1内の基地局或いは端末には接続できないようにすることが基本である。従って、BSS1内の端末や基地局に接続するには、予め、このようなセキュリティレベルの低い無線接続を切断しておくか、或いは、その無線接続のキュリティレベルをBSS1の最低レベル以上に上げることが必要とされる。
【0119】
以下、そのための手順を、第1〜第4の実施形態で説明した共通の手順については説明を省略し、異なる手順について説明する。
【0120】
図16において、図1と同一部分には同一符号を付してその説明を省略する。図16に示した端末WL14のサポートしているセキュリティレベルは”enc. 0”のみであるとする。端末WL13が基地局AP1に接続の要求を開始する際には、端末WL13は、既に端末WL14に無線接続され、その間の通信セキュリティレベルは”enc.0”であると仮定する。
【0121】
このような状態において、端末WL13がBSS1の基地局AP1に接続要求を開始する場合について説明する。
【0122】
まず、第2の実施形態で説明したように、ビーコンフレームにて、BSS1に予め定められた最低のセキュリティレベルが通知される場合について、図17に示したフローチャートを参照して説明する。この場合、端末WL13は、受信したビーコンフレームから基地局AP1に無線接続できる最低のセキュリティレベルが”enc.1”であることを知る。そこで、端末WL13は、図13のステップS32へ進む前に、図17に示す処理動作を実行する。
【0123】
図17のステップS61において、端末WL13のセキュリティレベルに、BSS1で許容される最低レベル”enc.1”以上のセキュリティレベルが用意されているかが確認される。”enc.1”以上のセキュリティレベルが端末WL13に用意されているときには、ステップS62へ進む。このステップS62において、現在端末WL13が無線接続されている端末、即ち、端末WL14と端末WL13との間の通信のセキュリティレベルがBSS1で許容される最低レベル”enc.1”以上であるか否かがチェックされる。端末WL13と端末WL14との間の通信のセキュリティレベルがBSS1で許容される最低レベル”enc.1”以上であれば、ステップS64へ進み、端末WL13と基地局AP1との間の接続手順が開始される。即ち、端末WL13においては、図13のステップS32以降の処理が実行される。一方、端末WL13と端末WL14との間のセキュリティレベルがBSS1で許容される最低レベル(”enc.1”)に満たないときは、ステップS63へ進み、端末WL13と端末WL14との間の無線接続が切断されて、ステップS64へ進む。
【0124】
上述したように、端末WL13と端末WL14との間の通信のセキュリティレベルは”enc.0”であるから、ステップS62からステップS63へ進み、端末WL13と端末WL14との間の無線接続が切断される。その後、端末WL13は、IEEE802.11に規定されているディオーセンティケーション(Deauthentication)が終了されてステップS64へ進む。
【0125】
このように、端末WL13は、現在接続している端末WL14との間のセキュリティレベルが接続要求される基地局AP1からブロードキャストされたセキュリティレベルより低いときには、予め端末WL13と端末WL14との無線接続が切断され、端末WL13から基地局AP1に接続要求がされる。従って、BSS1の最低限のセキュリティレベルを保持しながら、端末WL13と基地局AP1との間の無線接続が確実に実行される。
【0126】
尚、ステップS63では、端末WL13と端末WL14との無線接続を一旦切断した後、端末WL13と端末WL14とは、再度BSS1の最低レベル以上のセキュリティレベルで無線接続されても良い。
【0127】
上述した説明では、端末WL13が端末WL14の1つのみと無線接続される場合について説明したが、端末WL13が複数の端末或いは複数の基地局に無線接続されている場合も、上記同様にして、その1つ1つのセキュリティレベルがチェックされる。そのセキュリティレベルがBSS1の最低レベル以上でなければ端末WL13と他の端末との接続が一旦切断され、端末WL13がセキュリティレベルをBSS1の最低レベル以上に設定され、基地局AP1への接続を開始しても良い。
【0128】
尚、上記説明では、端末WL14と無線接続している端末WL13の場合を例にとり説明したが、BSS1とは異なる他のBSS2の基地局AP2の処理動作にも上記一連の手続きを適用することができる。このように、接続要求を発した側及び接続要求を受けた側が共に、端末ではなく基地局であるときには、複数のBSSにおいて夫々最低限のセキュリティレベルの確保されたDS通信が可能となる。接続要求を発した側が基地局であるとき、当該基地局には複数の端末や基地局と無線接続している場合もあり、このような場合も上記同様にして、その1つ1つのセキュリティレベルをチェックして、これから接続しようとするBSSの最低レベル以上のものでなければアクセスポイントが端末WL及び他のアクセスポイントとの接続を一旦切断しても良い。その後、必要に応じて、アクセスポイントがこれから接続しようとするBSSの最低レベル以上のセキュリティレベルを設定して、その後、当該所望の基地局への接続を開始するようにすれば良い。
【0129】
次に、第1、第3、第4の実施形態で説明したように、オーセンティケーション、アソシエーション、リアソシエーションの際に、端末WL13のセキュリティレベルをチェックする場合について、図18に示したフローチャートを参照して説明する。尚、図18に示した処理動作は、図7のステップS3、図13及び図15のステップS33などに対応している。
【0130】
端末WL13のセキュリティレベルをチェックする場合、前述したように、端末WL13は、オーセンティケーションの要求フレーム、或いは、アソシエーションやリアソシエーションの要求フレーム上の未使用領域に、端末WL13のセキュリティレベルを書き込むとともに、次に示す(1)から(2)のうちの少なくとも1つの項目がその未使用領域或いは他の未使用領域に書き込まれる。
【0131】
(1) 現在端末WL13が無線接続されている端末或いは基地局の有無。
【0132】
(2) 端末WL13と現在無線接続されている端末或いは基地局との間のセキュリティレベル
ここで、端末WL13が複数の端末或いは基地局に無線接続されている場合には、その全てについてのセキュリティレベルが未使用領域に書き込まれる。
【0133】
基地局AP1では、ステップS71に示すようにフレームを受信し、まず、ステップS72に示すように端末WL13のセキュリティレベルをチェックする。端末WL13のセキュリティレベルがBSS1に定められている最低のセキュリティレベルを満たさないときは、ステップS73へ進み、接続が拒否される。即ち、第1、第3、第4の実施形態で説明したように、オーセンティケーション、アソシエーションやリアソシエーションのフレームにて、接続拒否が端末WL13に通知される。
【0134】
一方、端末WL13のセキュリティレベルが基地局AP1のサポートするセキュリティレベルであり、しかもBSS1に定められている最低のセキュリティレベル以上であるときは、次に、ステップS74へ進む。上記(1)或いは(2)の情報から、端末WL13に現在無線接続している端末や基地局が存在しないと判断したときは、ステップS75へ進み、端末WL13の無線接続が許可される。すなわち、第1、第3、第4の実施形態で説明したように、オーセンティケーション、アソシエーションやリアソシエーションのフレームにて、無線接続の許可が端末WL13に通知されるとともに後続の処理が前述したと同様に実行される。この処理には、図7のステップS6、図13のステップS36、図15のステップS53等が相当する。上記(1)或いは(2)の情報から、端末WL13に現在無線接続している端末や基地局が存在すると判断したときは、ステップS76へ進む。
【0135】
ステップS76において、ステップS71にて受信した情報に、(2)に示した「端末WL13と現在無線接続している端末WL14との間のセキュリティレベル」が含まれているときは、そのセキュリティレベルがチェックされる。端末WL14との間のセキュリティレベルがBSS1に定められている最低のセキュリティレベル以上であるときは、ステップS75へ進み、端末WL13の無線接続が許可される。一方、端末WL14との間のセキュリティレベルがBSS1に定められている最低のセキュリティレベルに満たないとき、或いは、ステップS71で受信した情報に、上記(2)に示した情報が含まれていないとき、即ち、端末WL14との間のセキュリティレベルが不明なときは、ステップS77へ進み、端末WL13からの接続要求が拒否される。第1、第3、第4の実施形態で説明したように、オーセンティケーション、アソシエーションやリアソシエーションのフレームにて、この接続要求の拒否は、端末WL13に通知される。
【0136】
尚、ステップS77では、接続要求を拒否する旨を通知するのではなく、端末WL14との無線接続の切断を指示する旨の要求を、オーセンティケーション、アソシエーションやリアソシエーションのフレームにて、同様にして通知するようにしても良い。この場合、端末WL13は端末WL14との無線接続を切断すれば基地局AP1に接続できると直ちに判断することができる。従って、端末WL13は端末WL14との無線接続を切断した後、例えば、IEEE802.11に規定されているディオーセンティケーション(Deauthentication)を終了した後に、再度、基地局AP1に接続要求することができる。
【0137】
また、ステップS77で、接続要求を拒否した後に、IEEE802.11に規定されているMACフレームの管理用フレーム、制御用フレームのうち現在未使用のフレーム、例えば、管理用フレームの場合、サブタイプが「0110」〜「0111」などのフレーム、制御用フレームの場合、サブタイプが「0000」〜「1001」などのフレームを利用して、BSS1で許容される最低のセキュリティレベルを通知するようにしても良い。BSS1で許容される最低のセキュリティレベルの通知がある場合、端末WL14が当該最低のセキュリティレベルをサポートできれば、端末WL13は、そのセキュリティレベルに接続し直した後、再び、基地局AP1に接続要求を行うことができる。
【0138】
また、上記説明では、端末WL13が端末WL14の1つのみと無線接続している場合を例にとり説明している。しかし、複数の端末や基地局と無線接続している場合にあっても、上記と同様にして、端末WL13は、既に接続している端末や基地局の有無、好ましくは、その1つ1つのセキュリティレベルを通知しても良い。端末WL13から既に接続されている無線通信の複数のセキュリティレベルが通知されてきたときには、基地局AP1は、ステップS76において、その夫々についてのセキュリティレベルをチェックすれば良い。
【0139】
上述したように、接続要求を発した側が、既に他の端末や基地局と無線接続している場合であっても、この無線接続のセキュリティレベルが不明なとき、或いは、接続要求を受けた側の最低限のセキュリティレベルに満たないときには、当該接続要求を拒否することにより、接続要求を受けた側の最低限のセキュリティレベルは確保することができる。尚、上記説明は、端末WL14と無線接続している端末WL13の場合を例にとり説明したが、BSS1とは異なる他のBSS2の基地局AP2の処理動作としても適用できる。このように、接続要求を発した側及び接続要求を受けた側が共に、端末ではなく基地局であるときには、複数のBSSにおいて夫々の最低限のセキュリティレベルが確保されたDS通信が可能となる。接続要求を発した側が基地局であるとき、当該基地局には複数の端末や基地局と無線接続している場合もある。このような場合も上記同様にして、接続要求を発した側は、既に接続している端末や基地局の有無、好ましくは、その1つ1つのセキュリティレベルを通知することが好ましい。接続要求を受けた側では、接続要求を発した側から、既に接続されている無線通信の複数のセキュリティレベルが通知されてきたときには、ステップS76において、その夫々についてのセキュリティレベルをチェックすれば良い。
【0140】
(第6の実施形態)
上記第1の実施形態に係る無線システムにおいては、基地局に接続要求する場合について説明したが、端末から端末への接続要求の場合においても同様の手法を適用することができる。ここでは、図19に示すように、BSS1に属する端末WL12に、BSS1には加入していない端末WL15が接続要求する場合を例にとり説明する。端末WL15のサポートできるセキュリティレベルは”enc. 0”のみである。端末WL12は、BSS1に加入しているため、端末WL12が通信する際には、BSS1に予め定められた最低限のセキュリティレベルは確保する必要がある。そのために、端末と基地局との間の図7に示したものと同様の処理動作を、端末WL12と端末WL15との間において実施される。
【0141】
図20は、端末WL15から端末WL12へ接続要求する場合における、端末WL12と端末WL15との間の処理手順を示している。尚、図20において、図7と同一部分には同一符号を付して説明を省略し、以下に異なる点について説明する。
【0142】
図20において、図7に示される基地局での処理動作が端末WL12にける処理動作に対応している。従って、ビーコンフレームの送信するステップS1は、不要とされている。他のステップS2〜ステップS12は図7と同様である。尚、アソシエーションの手順は不要とされる。
【0143】
図20に示すように、端末WL12と端末WL15との間の接続設定の際にも、接続要求を受けた側の端末WL12が接続要求を発した側の端末WL15のセキュリティレベルをチェックしている。ここで、接続要求を発した側の端末のセキュリティレベルが接続要求を受けた側の装置がサポートするセキュリティレベルであり、しかも、接続要求を受けた側の端末の属するBSS1の最低のセキュリティレベル以上であれば、端末WL15の接続が許可される。接続要求を発した側の端末のセキュリティレベルが接続要求を受けた側の装置がサポートするセキュリティレベルでなく、或いは、接続要求を受けた側の端末の属するBSS1の最低のセキュリティレベル以下であれば、端末WL15の接続が拒否される。接続が許可であれば、当該セキュリティレベルに対応する暗号パラメータを共有するための手処理動作が実行される。
【0144】
尚、端末WL12が端末WL13から接続要求を受けたとき、その端末WL12が基地局AP1と無線接続しているか否かにかかわらず、端末WL12は、図20に示したような処理動作を実行する。
【0145】
図19において、端末WL15は、直接データフレームを端末WL12へ送信するモードが適用される場合もある。このモードはアドホック(ad hoc)モードと称せられている。このアドホックモードは、オーセンティケーションを経ずに実行することができる。アドホックモードについて、端末WL12での処理動作について、図21に示すフローチャートを参照して説明する。
【0146】
端末WL12は、ステップS81に示すように端末WL15から、基地局を介さずに直接端末WL12に宛てたデータフレームを受信する)。このようなデータフレームは、例えば、IEEE802.11の規定によれば、図4に示したMACフレームのフレームコントロール中の「To DS」及び「From DS」が共に「0」であることから容易に判断できる。
【0147】
端末WL12の受信部101では、このデータフレームを受信した際には、ステップS82に示すようにその送信元のアドレスに対応するセキュリティ情報が端末WL12のセキュリティテーブル110に登録されているか否かがチェックされる。
【0148】
端末WL15のセキュリティ情報がセキュリティテーブルに登録されているということは、端末WL15は、端末WL12と当該セキュリティテーブルに登録されているBSS1に予め定められた最低レベル以上のセキュリティレベルで、過去に通信したことがあるか、そのようなセキュリティレベルで通信することが予め定められていることを意味している。従って、ステップS83へ進み、端末WL12は、例えば、EEE802.11に規定の、受信したデータフレームに対するACKフレームを端末WL15へ送信し、端末WL15との間のデータの送受信を開始する。
【0149】
一方、ステップS82において、端末WL15のセキュリティ情報がセキュリティテーブルに登録されていないときは、このままでは、端末WL15のセキュリティレベルは不明であるから、端末WL12は端末WL15との間では通信ができない。従って、ステップS84へ進み、上記ACKフレームは送信せずに、当該端末WL15に、オーセンティケーションを要求する旨を通知する。この通知は、IEEE802.11に規定されているMACフレームの管理用フレーム、制御用フレームのうち現在未使用のフレーム、例えば、管理用フレームの場合、サブタイプが「0110」〜「0111」などのフレーム、制御用フレームの場合、サブタイプが「0000」〜「1001」などのフレームを利用して通知するようにしても良い。
【0150】
この通知を受けた端末WL15は、図20に示したステップS2以降の処理動作を開始すれば良い。上述したステップ84において、端末WL12は、ACKフレームを送信し、端末WL15がステップS2の処理を開始し、その後図20に示すステップが実行されても良い。
【0151】
上記第5の実施形態に係る通信手順では、端末WL13が、図16に示すように、ある端末WL14と既に無線接続している場合に、基地局AP1に対し接続要求した際に、基地局AP1のBSS1に予め定められた最低レベルのセキュリティを確保するための手法について説明した。これに対応して、次に、図22に示すように、端末WL15が既にある端末WL16と無線接続しているとき、この端末WL15が端末WL12に接続要求する場合について説明する。
【0152】
ここで、端末WL16のサポートできるセキュリティレベルは”enc. 0”のみである。端末WL12は、BSS1に加入しているため、端末WL12が通信を開始する際には、BSS1に予め定められた最低限のセキュリティレベルは確保する必要がある。そのためには、図18に示したものと同様の処理動作を、端末WL12で実施するようにすれば良い。
【0153】
図23は、端末WL15から端末WL12へ接続要求する場合の、端末WL12と端末WL15との間の処理手順を示している。尚、図23において、図18と同一部分には同一符号を付してその説明を省略し、異なる部分について説明する。即ち、図23において、図18の基地局及び端末WL13における処理動作が夫々端末WL12及び端末WL15における処理動作に対応し、実質的に図18に示す処理手順と同様の処理が実施される。従って、図23を参照する説明に関しては、図18における上記説明中の基地局及び端末WL13が夫々端末WL12及び端末WL15に置き換えれば、特に説明するまでもなく理解可能である。
【0154】
また、図22において、端末WL15がオーセンティケーションを経ずに、直接データフレームを端末WL12へ送信しようとする場合も、端末WL12は、図21のフローチャートの処理動作を実施した後に、図23に示すような処理動作を実施するようにしても良い。好ましくは、端末WL12は、図21のステップS81で、端末WL15から、基地局を介さずに直接端末WL12に宛てたデータフレームを受信した場合には、すぐに、ステップS84へ進み、当該端末WL15に、オーセンティケーションを要求する旨を通知して、必ず、図23に示した処理動作を実施することが、セキュリティを確保する上で望ましい。端末WL15のセキュリティ情報が端末WL12のセキュリティテーブルに登録されていることから、端末WL15が端末WL12以外の端末との無線接続に、端末WL12の属するBSS1の最低限のセキュリティレベル以上で通信するとは限らないからである。
【0155】
尚、上記説明では、端末WL15が端末WL16の1つのみと無線接続している場合を例に説明したが、複数の端末或いは基地局と無線接続している場合も、上記同様にして、端末WL15は、既に接続している端末や基地局の有無、好ましくは、その1つ1つのセキュリティレベルを通知する。端末WL15から既に接続されている無線通信の複数のセキュリティレベルが通知されてきたときには、端末WL12は、ステップS76において、その夫々についてのセキュリティレベルをチェックすれば良い。
【0156】
以上説明したように、上記第6の実施形態によれば、複数の端末間の通信においても、そのうちの1つが、最低限守るべきセキュリティレベルが予め定められているBSS内の端末であるときには、当該セキュリティレベルを確保することができる。
【0157】
(第7の実施形態)
上記第1〜第6の実施形態では、BSSのセキュリティレベルを確保する場合について説明した。同様の手法は、IBSSにおいて、セキュリティレベルを確保する場合にも適用可能である。
【0158】
この第7の実施形態では、図24に示したような構成のIBSS1を例にとり説明する。
【0159】
図24において、IBSS1は、複数の、例えば、3つの端末WL31〜WL33から構成されている。端末WL31は、セキュリティレベル”enc.0”、”enc.1”をサポートし、端末WL32は、セキュリティレベル”enc.0”、”enc.1”、”enc.2”をサポートし、端末WL33は、セキュリティレベル”enc.0”、”enc.1”をサポートするものとする。
【0160】
IEEE802.11の規定によれば、IBSSは、基地局を介さないで、IBSS内の複数の端末間でオーセンティケーションの認証過程を経ずに、直接データフレームを送受信することができる。IBSS1内の各端末がセキュリティテーブルを有し、このセキュリティテーブルにIBSS1を構成する各端末のセキュリティ情報を登録して、IBSS1内で予め定められた最低限のセキュリティレベル以上で通信するようにすれば、IBSS1内の端末間では、その最低限のセキュリティレベルは確保できる。
【0161】
そこで、IBSS1を構成する複数の端末のうちの1つ、例えば、端末WL31に、IBSS1に加入していない、即ち、セキュリティテーブルに登録されていない端末WL34から接続要求を受けたときの処理動作について説明する。
【0162】
この処理動作も、第6の実施形態と同様に、端末WL31は、好ましくは、図21に示したような処理動作を実施して、受信したデータフレームの送信元のセキュリティ情報が自身のセキュリティテーブルに登録されていないときには、当該データフレームの送信元、即ち、端末WL34に対し、オーセンティケーションを要求する旨の通知を送信する。その後、端末WL34から、オーセンティケーションのフレームが送信されると、好ましくは、図23に示すような処理動作が実施される。但し、図23に示される端末WL15は、端末WL34に置き換えられれば良い。即ち、端末WL34は、オーセンティケーションのフレームに、端末WL34のセキュリティレベルを書き込むとともに、上記(1)から(2)のうちの少なくとも1つを書き込み、端末WL31へ送信する。端末WL31は、このようなオーセンティケーションのフレームを端末WL34から受信して、図23に示した端末WL12と同様な処理動作が実施されれば良い。
【0163】
このようにして、IBSSにおいても、そのIBSSに予め定められた最低限のセキュリティレベルを確保することができる。
【0164】
また、複数の端末間の通信においても、そのうちの1つが、最低限守るべきセキュリティレベルが予め定められているIBSS内の端末であるときには、当該セキュリティレベルを確保することができる。
【0165】
以上の第1〜第7の実施形態で説明したように、基地局、端末といった無線LANを構成する無線通信装置の夫々が、少なくとも1つの(好ましくは複数の)セキュリティレベルをもち、下記の(x1)〜(x8)に示した特徴を備えることにより、例えば、BSSやIBSSといった無線LANの基本グループ、即ち、通信グループ毎に予め定められた暗号化による最低限のセキュリティレベルを確保した無線通信が実現できる。また、複数の無線通信装置間の通信において、当該複数の無線通信装置の少なくとも1つが、最低限守るべきセキュリティレベル、換言すれば、最低レベルのセキュリティレベルが予め定められている通信グループ、例えば、BSSやIBSS内の無線通信装置であるときには、必ず上記最低レベル以上のセキュリティレベルは確保することができる。尚、下記(x1)〜(x8)のうち、特に基地局である場合と明記されていない特徴に関しては、好ましくは基地局も端末も共通にもつべき機能である。
【0166】
(x1)自装置より、他の無線通信装置である第1の無線通信装置に対し接続要求する際、前記第1の無線通信装置に対し、自装置のもつセキュリティレベルのうち該第1の無線通信装置との間の通信で用いるセキュリティレベルである第1のセキュリティレベルを少なくとも1つ通知する。
【0167】
(x2)前記第1の無線通信装置に対し接続要求する際、自装置が前記第1の無線通信装置とは別の他の無線通信装置である第2の無線通信装置と既に接続しているときには、該第2の無線通信装置との間の通信で用いているセキュリティレベルである第2のセキュリティレベルを通知する。
【0168】
(x3)前記第1の無線通信装置が基地局の場合、該第1の無線通信装置に接続可能な最低レベルのセキュリティレベルがブロードキャストされているときは、自装置のもつセキュリティレベルのうち該最低レベル以上のセキュリティレベルを選択して、それを前記第1の無線通信装置に対し接続要求する際に通知する。
【0169】
(x4)前記第1の無線通信装置が基地局の場合、該第1の無線通信装置に接続可能な複数のセキュリティレベルがブロードキャストされているときは、自装置のもつセキュリティレベルのうち、該ブロードキャストされた複数のセキュリティレベルのうちのいずれかに一致するものを選択して、その選択されたセキュリティレベルを前記第1の無線通信装置に対し接続要求する際に通知する。
【0170】
(x5)自装置が、他の無線通信装置である第4の無線通信装置から接続要求を受けたとき、(a)少なくとも、該第4の無線通信装置から通知された該第4の無線通信装置と自装置との間の通信で用いるセキュリティレベルである第3のセキュリティレベルが自装置のもつセキュリティレベルにあり、しかも自装置の属する通信グループ(即ち、例えば、BSSやIBSS)に予め定められた最低レベル以上であるときには、該第4の無線通信装置の接続を許可し、(b)少なくとも、前記第3のセキュリティレベルが該最低レベルに満たないときには、該第4の無線通信装置との接続を拒否する第3の手段を具備する。
【0171】
(x5´)前記第3の手段は、(a)前記第3のセキュリティレベルが、自装置の属する通信グループに予め定められた最低レベル以上であるとともに、前記第4の無線通信装置が前記第4の無線通信装置とは別の他の無線通信装置である第5の無線通信装置と既に接続しているときに、当該第5の無線通信装置との間の通信で用いているセキュリティレベルである第4のセキュリティレベルが前記最低レベル以上であるときには、該第4の無線通信装置との接続を許可し、(b)前記第3のセキュリティレベルが前記最低レベル以上に満たないとき、あるいは、前記第4のセキュリティレベルが前記最低レベルに満たないとき、或いは、前記第4の無線通信装置が前記第5の無線通信装置と既に接続しているときに前記第4のセキュリティレベルが不明であるときには、前記第4の無線通信装置との接続を拒否する。
【0172】
(x7)自装置が基地局である場合、自装置の属する通信グループに予め定められた最低レベルのセキュリティレベル或いは、該最低レベル以上の複数のセキュリティレベルをブロードキャストする第4の手段を具備する。
【0173】
(x8)前記第4の無線通信装置から複数のセキュリティレベルが通知されてきたとき、その複数のセキュリティレベルに、自装置の属する通信グループに予め定められた最低レベル以上のものがあれば、そのうちの1つを選択して、それを前記第4の無線通信装置へ通知する第5の手段を具備する。
【0174】
この発明の実施の形態に記載したこの発明の手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、半導体メモリなどの記録媒体に格納して頒布することもできる。
【符号の説明】
【0175】
AP1、AP2…基地局(無線基地局装置)
WL11〜WL16、WL31〜WL34…端末(無線端末装置)
11…受信機
12…送信機
13…受信制御部
14…送信制御部
20、100…アンテナ
21、110…セキュリティテーブル
101…受信部
107…送信部
108…情報処理部
【特許請求の範囲】
【請求項1】
第1通信グループに属する第1無線通信装置と通信するための無線通信装置であって、
前記第1無線通信装置から、前記第1通信グループに属する無線通信装置との通信に使用可能な1つ以上の暗号化方式を示す第1セキュリティ情報を含むビーコンフレーム又はプローブ応答フレームを受信する受信手段と、
前記第1セキュリティ情報に含まれる暗号化方式のうちの少なくとも1つを示す第2セキュリティ情報を含み、前記第1無線通信装置へ接続を要求するための第1接続要求フレームを、前記第1無線通信装置へ送信し、
前記第1無線通信装置から接続を許可するための接続応答フレームを受信した後に、前記第2セキュリティ情報が示す暗号化方式によって暗号化されたフレームボディを有するデータフレームを送信する送信手段とを備え、
前記第1接続要求フレームは、フレームコントロールフィールドと、フレームボディとを有し、
前記フレームボディは、前記第2セキュリティ情報を有し、
前記フレームコントロールフィールドは、タイプフィールドと、保護フィールドとを有し、
前記タイプフィールドは、前記第1接続要求フレームの種別が、管理フレームであることを示す情報を有し、
前記保護フィールドは、前記フレームボディが暗号化された情報を含むかどうかを示す情報を有することを特徴とする無線通信装置。
【請求項2】
前記第1セキュリティ情報が示す暗号化方式を、前記無線通信装置がサポートしていない場合、前記第1無線通信装置との接続を行わないことを特徴とする請求項1に記載の無線通信装置。
【請求項3】
前記第1セキュリティ情報が示す暗号化方式を、前記無線通信装置がサポートしていない場合、前記送信手段は、前記第1接続要求フレームを送信しないことを特徴とする請求項1又は請求項2に記載の無線通信装置。
【請求項4】
前記第1セキュリティ情報又は前記第2セキュリティ情報が示す暗号化方式は、暗号化を行わない方式を含むことを特徴とする請求項1乃至請求項3のいずれか1項に記載の無線通信装置。
【請求項5】
前記第1セキュリティ情報又は前記第2セキュリティ情報が示す暗号化方式は、第1暗号化アルゴリズムであって第1暗号強度を有する第1暗号化方式、または前記第1暗号化アルゴリズムであって前記第1暗号強度とは異なる第2暗号強度を有する第2暗号化方式の少なくとも一方を含むことを特徴とする請求項1乃至請求項4のいずれか1項に記載の無線通信装置。
【請求項6】
前記第2セキュリティ情報が示す暗号化方式は、前記無線通信装置がサポートする1つ以上の暗号化方式の中で、最も暗号強度が高い方式であることを特徴とする請求項1乃至請求項5のいずれか1項に記載の無線通信装置。
【請求項7】
前記接続応答フレームは、前記第1通信グループを示すアドレスを含むことを特徴とする請求項1乃至請求項6のいずれか1項に記載の無線通信装置。
【請求項8】
アンテナをさらに備え、
前記受信手段は、前記アンテナを用いて、前記ビーコンフレーム又は前記プローブ応答フレームを受信し、
前記送信手段は、前記アンテナを用いて、前記第1接続要求フレーム及び前記データフレームを送信することを特徴とする請求項1乃至請求項7のいずれか1項に記載の無線通信装置。
【請求項9】
第1通信グループに属する第1無線通信装置と通信するための無線通信装置の通信方法であって、
前記第1無線通信装置から、前記第1通信グループに属する無線通信装置との通信に使用可能な1つ以上の暗号化方式を示す第1セキュリティ情報を含むビーコンフレーム又はプローブ応答フレームを受信し、
前記第1セキュリティ情報に含まれる暗号化方式のうちの少なくとも1つを示す第2セキュリティ情報を含み、前記第1無線通信装置へ接続を要求するための第1接続要求フレームを、前記第1無線通信装置へ送信し、
前記第1無線通信装置から接続を許可するためのフレームを受信した後に、前記第2セキュリティ情報が示す暗号化方式によって暗号化されたフレームボディを有するデータフレームを送信するものであって、
前記第1接続要求フレームは、フレームコントロールフィールドと、フレームボディとを有し、
前記フレームボディは、前記第2セキュリティ情報を有し、
前記フレームコントロールフィールドは、タイプフィールドと、保護フィールドとを有し、
前記タイプフィールドは、前記第1接続要求フレームの種別が、管理フレームであることを示す情報を有し、
前記保護フィールドは、前記フレームボディが暗号化された情報を含むかどうかを示す情報を有することを特徴とする無線通信装置の通信方法。
【請求項1】
第1通信グループに属する第1無線通信装置と通信するための無線通信装置であって、
前記第1無線通信装置から、前記第1通信グループに属する無線通信装置との通信に使用可能な1つ以上の暗号化方式を示す第1セキュリティ情報を含むビーコンフレーム又はプローブ応答フレームを受信する受信手段と、
前記第1セキュリティ情報に含まれる暗号化方式のうちの少なくとも1つを示す第2セキュリティ情報を含み、前記第1無線通信装置へ接続を要求するための第1接続要求フレームを、前記第1無線通信装置へ送信し、
前記第1無線通信装置から接続を許可するための接続応答フレームを受信した後に、前記第2セキュリティ情報が示す暗号化方式によって暗号化されたフレームボディを有するデータフレームを送信する送信手段とを備え、
前記第1接続要求フレームは、フレームコントロールフィールドと、フレームボディとを有し、
前記フレームボディは、前記第2セキュリティ情報を有し、
前記フレームコントロールフィールドは、タイプフィールドと、保護フィールドとを有し、
前記タイプフィールドは、前記第1接続要求フレームの種別が、管理フレームであることを示す情報を有し、
前記保護フィールドは、前記フレームボディが暗号化された情報を含むかどうかを示す情報を有することを特徴とする無線通信装置。
【請求項2】
前記第1セキュリティ情報が示す暗号化方式を、前記無線通信装置がサポートしていない場合、前記第1無線通信装置との接続を行わないことを特徴とする請求項1に記載の無線通信装置。
【請求項3】
前記第1セキュリティ情報が示す暗号化方式を、前記無線通信装置がサポートしていない場合、前記送信手段は、前記第1接続要求フレームを送信しないことを特徴とする請求項1又は請求項2に記載の無線通信装置。
【請求項4】
前記第1セキュリティ情報又は前記第2セキュリティ情報が示す暗号化方式は、暗号化を行わない方式を含むことを特徴とする請求項1乃至請求項3のいずれか1項に記載の無線通信装置。
【請求項5】
前記第1セキュリティ情報又は前記第2セキュリティ情報が示す暗号化方式は、第1暗号化アルゴリズムであって第1暗号強度を有する第1暗号化方式、または前記第1暗号化アルゴリズムであって前記第1暗号強度とは異なる第2暗号強度を有する第2暗号化方式の少なくとも一方を含むことを特徴とする請求項1乃至請求項4のいずれか1項に記載の無線通信装置。
【請求項6】
前記第2セキュリティ情報が示す暗号化方式は、前記無線通信装置がサポートする1つ以上の暗号化方式の中で、最も暗号強度が高い方式であることを特徴とする請求項1乃至請求項5のいずれか1項に記載の無線通信装置。
【請求項7】
前記接続応答フレームは、前記第1通信グループを示すアドレスを含むことを特徴とする請求項1乃至請求項6のいずれか1項に記載の無線通信装置。
【請求項8】
アンテナをさらに備え、
前記受信手段は、前記アンテナを用いて、前記ビーコンフレーム又は前記プローブ応答フレームを受信し、
前記送信手段は、前記アンテナを用いて、前記第1接続要求フレーム及び前記データフレームを送信することを特徴とする請求項1乃至請求項7のいずれか1項に記載の無線通信装置。
【請求項9】
第1通信グループに属する第1無線通信装置と通信するための無線通信装置の通信方法であって、
前記第1無線通信装置から、前記第1通信グループに属する無線通信装置との通信に使用可能な1つ以上の暗号化方式を示す第1セキュリティ情報を含むビーコンフレーム又はプローブ応答フレームを受信し、
前記第1セキュリティ情報に含まれる暗号化方式のうちの少なくとも1つを示す第2セキュリティ情報を含み、前記第1無線通信装置へ接続を要求するための第1接続要求フレームを、前記第1無線通信装置へ送信し、
前記第1無線通信装置から接続を許可するためのフレームを受信した後に、前記第2セキュリティ情報が示す暗号化方式によって暗号化されたフレームボディを有するデータフレームを送信するものであって、
前記第1接続要求フレームは、フレームコントロールフィールドと、フレームボディとを有し、
前記フレームボディは、前記第2セキュリティ情報を有し、
前記フレームコントロールフィールドは、タイプフィールドと、保護フィールドとを有し、
前記タイプフィールドは、前記第1接続要求フレームの種別が、管理フレームであることを示す情報を有し、
前記保護フィールドは、前記フレームボディが暗号化された情報を含むかどうかを示す情報を有することを特徴とする無線通信装置の通信方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【公開番号】特開2009−303238(P2009−303238A)
【公開日】平成21年12月24日(2009.12.24)
【国際特許分類】
【出願番号】特願2009−206276(P2009−206276)
【出願日】平成21年9月7日(2009.9.7)
【分割の表示】特願2006−221964(P2006−221964)の分割
【原出願日】平成14年12月26日(2002.12.26)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成21年12月24日(2009.12.24)
【国際特許分類】
【出願日】平成21年9月7日(2009.9.7)
【分割の表示】特願2006−221964(P2006−221964)の分割
【原出願日】平成14年12月26日(2002.12.26)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]