無線LAN接続システム、無線LAN接続方法およびアクセスポイント
【課題】ネットワークにアクセスポイントを追加する作業が煩雑であった。
【解決手段】 ネットワークに追加しようとするアクセスポイント(子機)の電源ボタンを押下げると同子機はセキュリティ設定要求モードを開始するとともに、同子機からの要求に基づいて、無線LANの中継器として機能しているアクセスポイント(親機)が、セキュリティ設定モードに移行し、同親機は自動的にアクセスポイント間無線通信のためのセキュリティ情報を設定し、上記子機は親機が設定したセキュリティ情報を検知して自己も同じセキュリティ設定を行う。そのため、従来のように各アクセスポイント毎に手入力でセキュリティの設定を行なっていた場合と比較すると、アクセスポイント間無線通信のためのセキュリティ設定が飛躍的に容易となる。
【解決手段】 ネットワークに追加しようとするアクセスポイント(子機)の電源ボタンを押下げると同子機はセキュリティ設定要求モードを開始するとともに、同子機からの要求に基づいて、無線LANの中継器として機能しているアクセスポイント(親機)が、セキュリティ設定モードに移行し、同親機は自動的にアクセスポイント間無線通信のためのセキュリティ情報を設定し、上記子機は親機が設定したセキュリティ情報を検知して自己も同じセキュリティ設定を行う。そのため、従来のように各アクセスポイント毎に手入力でセキュリティの設定を行なっていた場合と比較すると、アクセスポイント間無線通信のためのセキュリティ設定が飛躍的に容易となる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線LAN接続システム、無線LAN接続方法およびアクセスポイントに関する。
【背景技術】
【0002】
従来より、無線LAN用の中継器であるアクセスポイントを介しての無線通信ネットワークを構築する場合に、複数のアクセスポイントを用いることでネットワーク範囲を拡大する手法が採られていた。この場合、各アクセスポイント間での無線通信(アクセスポイント間無線通信)を行なうことで、いずれかのアクセスポイントの無線通信範囲に属するクライアント端末に対して上記ネットワークに接続することを可能としていた。
【発明の開示】
【発明が解決しようとする課題】
【0003】
上記のようにアクセスポイント間にてネットワークを構築する場合には、同ネットワークへの不正侵入や通信データの第三者への漏洩などを防ぐため、同ネットワークのセキュリティを確保する必要がある。
しかし、従来のアクセスポイント間無線通信のためのセキュリティ設定においては、ネットワークに参加する各アクセスポイントの機器毎に、接続先となる機器の情報の入力など所定のセキュリティ設定を手入力にて行なっており、非常に煩雑であった。また、所定の機器間で一度設定したセキュリティ設定を変更する場合も機器毎の入力操作が必要であるため、アクセスポイント数を増やしてネットワーク範囲を拡大する場合等に最適なセキュリティ設定を行なうことは、一般のユーザにとって煩雑かつ困難であった。
【0004】
本発明は、上記課題にかんがみてなされたもので、ネットワークを構成するアクセスポイントの変化に柔軟に対応して最適なセキュリティ環境を容易に設定可能な無線LAN接続システム、無線LAN接続方法およびアクセスポイントを提供することを目的とする。
【課題を解決するための手段】
【0005】
上記目的を達成するために請求項1にかかる発明は、無線LAN用の中継器としての機能を発揮可能な複数のアクセスポイント間で無線通信を行なうに際して、所定のセキュリティが確保された同無線通信のネットワークを設定する無線LAN接続システムであって、第一のアクセスポイントは、第二のアクセスポイントを検知する接続先アクセスポイント検知手段と、上記検知した第二のアクセスポイントに対して同第一のアクセスポイントが対応可能な無線通信データを暗号化する際に用いる暗号化方式を無線で伝える接続要求側方式伝達手段と、上記第二のアクセスポイントが採用した暗号化方式を検知し、同検知した暗号化方式を選択する接続要求側方式選択手段とを備え、上記第二のアクセスポイントは、上記第一のアクセスポイントと共通して対応可能な暗号化方式の中から、所定の判断基準に従って所定の暗号化方式を選択して採用する被接続要求側方式選択手段を備える構成としてある。
【0006】
上記のように構成した請求項1の発明においては、無線LAN用の中継器としての機能を発揮可能な複数のアクセスポイント間で無線通信を行なうに際して、所定のセキュリティが確保された同無線通信のネットワークを設定する。
ここで、第一のアクセスポイントは、接続先アクセスポイント検知手段によって、所定の第二のアクセスポイントを検知する。第二のアクセスポイントとしては、例えば、既に無線LAN用の中継器として機能しているアクセスポイントが想定される。次に、接続要求側方式伝達手段によって、上記検知した第二のアクセスポイントに対して同第一のアクセスポイントが対応可能な無線通信データを暗号化する際に用いる暗号化方式を無線で伝える。一方、第二のアクセスポイントは、上記暗号化方式の通知を受け、被接続要求側方式選択手段によって、第一のアクセスポイントと共通して対応可能な暗号化方式の中から、所定の判断基準に従って所定の暗号化方式を選択して採用する。すなわち、第二のアクセスポイントは、同採用した暗号化方式によって、無線通信データの通信に先立っての暗号化を行なうことになる。
【0007】
第一のアクセスポイントの側では、第二のアクセスポイントが被接続要求側方式選択手段によって採用した暗号化方式を検知し、同検知した暗号化方式を選択する。その結果、第一、第二のアクセスポイントにおいて共通の暗号化方式が採用される。以後、第一、第二のアクセスポイントは、基本的に上記採用した暗号化方式において利用する暗号鍵を用いてアクセスポイント間無線通信を行う。さらにネットワークに参加するアクセスポイントが追加される場合には、上述した第一、第二のアクセスポイントのいずれか一方が再度第二のアクセスポイントの役割を果たし、追加される機体が新たな第一のアクセスポイントとなってセキュリティの設定が行われる。
このように本発明によれば、アクセスポイント間無線通信に参加しようとするアクセスポイント(第一のアクセスポイント)側の検知動作をきっかけとして、第二のアクセスポイントとの間でセキュリティ設定が自動的に行われるため、無線LANの通信範囲を容易に変化させることができる。
【0008】
請求項2の発明は、請求項1に記載の無線LAN接続システムにおいて、上記接続先アクセスポイント検知手段は、周囲のアクセスポイントが送信するビーコン信号を受信するとともに、受信したビーコン信号のうち電波強度が最も強いビーコン信号を送信するアクセスポイントを上記第二のアクセスポイントと特定する構成としてある。
第一のアクセスポイントが周囲のアクセスポイントが送信するビーコン信号を受信した場合、基本的には、同ビーコン信号の電波強度が強いほど同ビーコン信号の送信元となっているアクセスポイントは近くに存在すると判断できる。したがって、接続先アクセスポイント検知手段は、受信したビーコン信号のうち電波強度が最も強いビーコン信号を送信するアクセスポイントを上記第二のアクセスポイントと特定すれば、周囲に接続可能なアクセスポイントが複数ある場合でも、接続に適した最も近傍のアクセスポイントを自動的に検知することができる。その結果、無線LANの通信範囲を容易に拡大することができる。
【0009】
ここで、上記第二のアクセスポイントは、無線通信範囲に存在する無線LAN用装置に対して所定の検知用信号を送信する検知用信号送信手段を有し、上記接続先アクセスポイント検知手段は、同検知用信号を受信した場合に、同検知用信号を送信するアクセスポイントを上記第二のアクセスポイントと特定するとしてもよい。
上記構成においては、検知用信号送信手段は、送信先を指定することなく、第二のアクセスポイントの無線通信範囲に存在する各無線LAN用装置に対して所定の検知用信号を送信する。そして、第一のアクセスポイントが同検知用信号を受信した場合、接続先アクセスポイント検知手段は、同検知用信号を送信するアクセスポイントを上記第二のアクセスポイントと特定する。つまり、第一のアクセスポイントの接続先とすべきアクセスポイントの側から所定の検知用信号を周囲に送信することとすれば、同第一のアクセスポイントは同信号を検知することで、特定のアクセスポイントに対して確実に接続できる。
【0010】
請求項4にかかる発明は、請求項1〜請求項3のいずれかに記載の無線LAN接続システムにおいて、上記被接続要求側方式選択手段は、少なくとも第一および第二のアクセスポイントを含む無線通信を行なうアクセスポイント間で共通して対応可能な方式であって最もセキュリティレベルの高い暗号化方式を選択する構成としてある。
【0011】
上記のように構成した請求項4の発明においては、上記被接続要求側方式選択手段は、少なくとも第一および第二のアクセスポイントを含む無線通信を行なうアクセスポイント間で共通して対応可能な方式であって最もセキュリティレベルの高い暗号化方式を選択する。つまり、第二のアクセスポイントは、第一のアクセスポイントから対応可能な暗号化方式を通知された場合には、採用する暗号化方式の見直しを行ない、ネットワークに参加するアクセスポイントにおいて共通して採用しうる暗号化方式のうち最高のセキュリティレベルの方式を採用する。そのため、各アクセスポイントにネットワークへの参加を許容しつつも同ネットワークの安全性を常に高いレベルに維持することができる。このような暗号化方式の選択の方針は、請求項1の所定の判断基準に該当するが、同判断基準は固定的である必要はなく、判断基準を複数用意しておき、いずれかを選択可能な構成としてもよい。
【0012】
請求項5にかかる発明は、請求項1〜請求項4のいずれかに記載の無線LAN接続システムにおいて、上記第二のアクセスポイントは、上記第一のアクセスポイントと共通して対応可能な暗号化方式の夫々において利用する暗号鍵を決定するとともに、同共通の暗号化方式と同暗号化方式の夫々において利用する暗号鍵とを第一のアクセスポイントに無線で伝える暗号鍵伝達手段を有し、上記第一のアクセスポイントは、上記伝えられた暗号化方式毎の暗号鍵を所定の記憶領域に保存する接続要求側暗号鍵保存手段を有する構成としてある。
【0013】
上記のように構成した請求項5の発明においては、暗号鍵伝達手段は、第一のアクセスポイントと第二のアクセスポイントとが共通して対応可能な暗号化方式の夫々において利用する暗号鍵を決定するとともに、同共通の暗号化方式と同暗号鍵とを第一のアクセスポイントに無線で伝える。また、接続要求側暗号鍵保存手段は、上記伝えられた暗号化方式ごとの暗号鍵を所定の記憶領域に保存する。つまり、第一のアクセスポイントは、第二のアクセスポイントとの間で共通して採用可能な暗号化方式と各方式において利用する暗号鍵を取得する。また、予め上記共通の暗号化方式と暗号鍵とを第一のアクセスポイント側に伝えておくことにより、後に暗号化方式が変更されることになっても、暗号鍵を通知し直す必要はなくなる。これにより、通知の煩雑さを解消し、また、同時に暗号鍵の通知に伴うセキュリティの低下を防止することが可能となる。
【0014】
上記暗号鍵伝達手段は、上記共通の暗号化方式と同共通の暗号化方式の夫々において利用する暗号鍵とを第一のアクセスポイントに無線で伝える処理を、第一のアクセスポイントの接続要求側方式伝達手段によって暗号化方式を伝えられた際に一度だけ行うとしてもよい。つまり、第二のアクセスポイントから端末に対して、上記伝える処理を一度だけ行なっておけば、後に暗号化方式が変更になっても、暗号鍵を再度通知し直す必要はなくなる。これにより、暗号化方式及び暗号鍵の通知の煩雑さを大幅に解消し、また、同時に暗号鍵の通知に伴うセキュリティの低下を極力防止することが可能となる。
【0015】
請求項7の発明は、請求項5または請求項6のいずれかに記載の無線LAN接続システムにおいて、上記暗号鍵伝達手段は、第二のアクセスポイントが対応可能な暗号化方式の夫々に異なったステーションIDを特定し、上記共通の暗号化方式の夫々ごとに上記特定したステーションIDを上記暗号鍵とともに第一のアクセスポイントに無線で伝え、上記接続要求側方式選択手段は、第二のアクセスポイントからステーションIDを取得し、予め上記接続要求側暗号鍵保存手段によって保存しておいたステーションIDと一致するものがあるときに同ステーションIDに対応した暗号化方式と暗号鍵とを採用する構成としてある。
【0016】
上記のように構成した請求項7の発明においては、暗号鍵伝達手段が、第二のアクセスポイントが対応可能な暗号化方式の夫々に異なったステーションIDを特定するとともに、上記共通の暗号化方式の夫々ごとに上記特定したステーションIDを上記暗号鍵とともに第一のアクセスポイントに無線で伝える。また、第二のアクセスポイントの被接続要求側方式選択手段は、上記所定の判断基準に従って選択したアクセスポイント間で用いる暗号化方式に対応したステーションIDを採用する。
【0017】
一方、接続要求側方式選択手段は、第二のアクセスポイントからステーションIDを取得し、予め第二のアクセスポイントから伝えられ接続要求側暗号鍵保存手段によって保存しておいたステーションIDと一致するものがないか判断する。一致するものがあるときは、第二のアクセスポイントが同ステーションIDに対応した暗号化方式と暗号鍵を採用していると判断できるので、第一のアクセスポイントにおいても同暗号化方式と暗号鍵を採用する。このように、第一、第二のアクセスポイント間で敢えて暗号化方式の特定のための通知を行う必要が無くなるので手続の煩雑さを解消しつつセキュリティの低下を防止できる。
【0018】
無線で暗号鍵などを伝える際のセキュリティの低下を防止する好適な一例として、請求項8にかかる発明は、上記第一のアクセスポイントと第二のアクセスポイントとの間の無線通信範囲を通常の通信範囲よりも狭める通信範囲限定手段を有し、上記暗号鍵伝達手段は、上記通信範囲限定手段により無線通信範囲が狭められたとき、無線通信範囲内に存在する上記第一のアクセスポイントに対して、上記暗号鍵の内容を表わす暗号鍵データを無線で送信する構成としてある。
上記構成においては、通信範囲限定手段によって第一のアクセスポイントと第二のアクセスポイントとの間の無線通信範囲が通常の通信範囲よりも狭められ、上記暗号鍵伝達手段は、同無線通信範囲が狭められたときに、無線通信範囲内に存在する上記第一のアクセスポイントに対して暗号鍵データを無線で送信する。この結果、暗号鍵データは第二のアクセスポイントを中心とした狭い通信範囲でやり取りされるので、暗号鍵データが乗った無線の傍受がしにくくなり、暗号鍵データの漏洩が防止される。よって、アクセスポイント間無線通信を実現するためのセキュリティ設定を、暗号鍵データの漏洩を防止して安全に行なうことができる。
【0019】
アクセスポイント間無線通信を実現するためのセキュリティ設定は、暗号化方式および暗号鍵の設定に限られない。そこで、請求項9の発明は、上記第二のアクセスポイントは、第一のアクセスポイントとの通信を介して取得した同第一のアクセスポイントの固有の識別情報を、上記無線通信のネットワークを構築している他のアクセスポイントに対して通知するとともに、自己および同他のアクセスポイントの夫々の固有の識別情報を第一のアクセスポイントに通知する構成としてある。
上記構成においては、第二のアクセスポイントは、第一のアクセスポイントとの通信を介して取得した同第一のアクセスポイントの固有の識別情報を、上記無線通信のネットワークを構築している他のアクセスポイントに対して通知する。また、第二のアクセスポイントは、自己および同他のアクセスポイントの夫々固有の識別情報を第一のアクセスポイントに通知する。よって、アクセスポイント間無線通信を行なおうとする各機器は自動的に、他の機器の識別情報を得ることができる。その結果、同識別情報を無線通信時の認証とし、接続を許容する機器を限定することができる。
【0020】
上述の無線LAN接続システムは、そのシステムの実行手順としても発明を把握できる。そこで、請求項10の発明は、無線LAN用の中継器としての機能を発揮可能な複数のアクセスポイント間で無線通信を行なうに際して、所定のセキュリティが確保された同無線通信のネットワークを設定する無線LAN接続方法であって、第一のアクセスポイントは、第二のアクセスポイントを検知し、上記検知した第二のアクセスポイントに対して同第一のアクセスポイントが対応可能な無線通信データを暗号化する際に用いる暗号化方式を無線で伝え、上記第二のアクセスポイントは、第一のアクセスポイントと共通して対応可能な暗号化方式の中から所定の判断基準に従って所定の暗号化方式を選択して採用し、上記第一のアクセスポイントは、第二のアクセスポイントが採用した暗号化方式を検知し、同検知した暗号化方式を選択する構成としてある。
【0021】
さらに、本発明のかかる技術的思想は、アクセスポイント自体の発明としても把握できる。そこで、請求項11の発明は、無線LAN用の中継器としての機能を発揮可能なアクセスポイントであって、自己以外のアクセスポイントに対して所定の接続要求を行なうことを指示された場合に他のアクセスポイントを検知する接続先アクセスポイント検知手段と、同検知した他のアクセスポイントに対して自己が対応可能な無線通信データを暗号化する際に用いる暗号化方式を無線で伝える接続要求側方式伝達手段と、同検知した他のアクセスポイントが採用した暗号化方式を検知し同検知した暗号化方式を採用する接続要求側方式選択手段とを備え、さらに、自己以外のアクセスポイントから所定の接続要求を受けた場合に、同要求を行なったアクセスポイントが無線で伝えてきた同要求を行なったアクセスポイントが対応可能な暗号化方式であって、かつ自己が対応可能な暗号化方式の中から、所定の判断基準に従って所定の暗号化方式を選択して採用する被接続要求側方式選択手段を備える構成としてある。つまり、請求項11にかかるアクセスポイントは、自己の状況に応じて、上述の第一のアクセスポイントとしての働きと第二のアクセスポイントとしての働きとを両方実行可能である。
【0022】
むろん、請求項1に従属する請求項2〜請求項9にかかる発明と同様の態様を適用して、請求項10,11の各発明に従属する発明を夫々捉えることも可能である。
また、第一のアクセスポイント、第二のアクセスポイントを夫々に単独の発明として捉えることも可能である。
【発明の効果】
【0023】
以上説明したように、本発明によれば、アクセスポイント間無線通信を行なう際のセキュリティ設定を、ネットワークに追加されるアクセスポイント側からの要求に基づいて、同要求を受けたアクセスポイントが自動的に行なうため、所定のセキュリティが確保された状態の、複数のアクセスポイントによる無線通信ネットワークを容易かつ安全に設定することができる。
【発明を実施するための最良の形態】
【0024】
下記の順序に従って本願発明の実施形態について説明する。
1.無線LANにおけるセキュリティ設定を実現するための概略構成
2.セキュリティ設定の説明
3.他の実施例
【0025】
1.無線LANにおけるセキュリティ設定を実現するための概略構成
図1は本願にかかる無線LANを実現するためのハードウェア構成例を示している。
同図においては、無線LAN用の中継器であるアクセスポイント(無線基地局)20〜40の夫々を中心として、無線通信エリアAR1〜AR3が形成されている。各アクセスポイント20〜40は、一以上の他のアクセスポイントの無線通信エリアに属しており、各エリアAR1〜AR3は、一以上の他の無線通信エリアと重なっているものとする。つまり本実施形態においては、所定の無線通信エリアをカバーするアクセスポイントを複数台用い、各アクセスポイントにおいて一以上の他のアクセスポイントと無線通信を実行可能とすることで、無線LANのエリアを拡大している。
【0026】
アクセスポイントの構成について説明する。
図2は、アクセスポイント20の構成を示しているが、アクセスポイント30,40の構成も基本的には同図と同様である。ただし、本実施形態においては、各アクセスポイントのうち自己のWANポートを介して外部のインターネットINに接続しているのはアクセスポイント20のみとする。
アクセスポイント20は、CPU11と、このCPU11とバスにより相互に接続されたROM12,RAM13,ハードディスク等の不揮発的な記憶装置14,ネットワークインタフェースとしてのWANポート17,有線LANとの接続用のLANポート22,無線通信インタフェース18,ディスプレイコントローラ15,入出力コントローラ16等の各部を備える。
【0027】
ROM12には、無線通信エリアAR1内の無線LAN用装置(アクセスポイント、無線LANアダプタなど)とのセキュリティ設定や通信やインターネットINへの接続に関する各種のプログラムと各種プログラムの実行に必要なデータが格納されている。入出力コントローラ16にはプッシュ式の電源ボタン21が接続されている。電源ボタン21は、その押圧部がアクセスポイント20の筐体表面に露出した状態で設けられている。ディスプレイコントローラ15には、無線LANの接続状態や通信状態を点灯・点滅等によって表示する各種の表示ランプ19が接続されている。
【0028】
無線通信インタフェース18には、電波を送信する送信機25、電波を受信する受信機26が接続されている。この送信機25、受信機26は、外部への電波の送信や外部からの電波の受信が可能な状態で、アクセスポイント20に内蔵されている。図1では、送信機25の出力や受信機26の受信感度を標準設定値とした場合に、送信機25から送信された電波が届き、かつ、受信機26が無線LAN用装置からの電波を受け取れる範囲を、無線通信エリアAR1として表わしている。こうしたアクセスポイント20の設置により、無線通信エリアAR1内を通常の通信範囲とした無線LANが組まれる。
【0029】
なお、ROM12には、送信機25の出力の標準設定値を一時的に変更する処理の内容が記述された出力値変更プログラムや受信機26の受信感度の標準設定値を一時的に変更する処理の内容が記述された受信感度値変更プログラムが予め格納されている。この設定値を変更する処理は、具体的には、標準設定値を1/n(nは予め定められた定数)倍する演算処理によって実現される。CPU11は、この出力値変更プログラム,受信感度値変更プログラムを実行することにより、変更後の出力値や受信感度値を、無線通信インタフェース18を介して送信機25,受信機26に出力する。これにより、送信機25から送信される電波の出力や受信機26における電波の受信感度が変更される。
【0030】
図1に示すように、アクセスポイント20のWANポート17には、モデムを内蔵したルータ28がケーブルを介して接続されている。ルータ28は、各無線LAN用装置に固有の識別情報として夫々に付与したMAC(Media Access Control)アドレスに基づいて、無線LAN内の各機器を特定し、これらを区別することができる。ルータ28内のモデムは、CATV回線,xDSL回線等のブロードバンドな通信回線CL、プロバイダPVの専用回線を介してインターネットINに接続されている。即ち、ルータ28は、無線LANをインターネットINに接続するゲートウェイとして機能する。
【0031】
端末50,60は、周知のノート型のパーソナルコンピュータであり、CPU,ROM,RAM等からなる制御装置をはじめ、記憶装置としてのハードディスクやCD−ROMドライブ等を備える。勿論、携帯情報端末(Personal Digital Assistant)等の他の端末であっても差し支えない。端末50,60には、アクセスポイントとの間での電波の送受信を行なえるようにする無線LAN接続用デバイスとして、無線LANアダプタ52,62が装着されている。この無線LANアダプタ52,62のデバイスドライバが各端末に組み込まれることにより、端末50,60は、装着された無線LANアダプタ52,62を認識し、無線LANアダプタ52,62を制御することが可能となる。
【0032】
無線通信エリアAR1〜AR3内に入った端末50,60は、装着された無線LANアダプタ52,62とアクセスポイント20〜40のいずれか(基本的には、最も近くに配置されているアクセスポイント)との間で電波が送受信されることにより、アクセスポイントとの通信を無線で行なう。その結果、端末50と端末60のように、夫々に別のアクセスポイント20,30の無線通信エリアAR1,AR2に属している端末間においても、アクセスポイント20,30間での無線通信を介して、互いにインフラストラクチャモードによる無線通信を行なうことができる。また、端末60のように、インターネットINに直接に接続するアクセスポイント20の無線通信エリアAR1に属していない端末であっても、アクセスポイント20,30間での無線通信を介することで、インターネットINに接続することができる。さらに、端末が無線通信エリアAR1内の障害物Bによってアクセスポイント20からの電波が届かない死角エリアAR1aにある場合でも、同端末はアクセスポイント30に接続することでネットワークに参加できる。
【0033】
このように、アクセスポイントを複数台用いて無線LANのエリアを拡大するためには、アクセスポイント間無線通信を行なうことになる。そして、当該アクセスポイント間無線通信を行なう際には、通信上のセキュリティを充分に確保する必要がある。そこで、本実施形態においては、以下のように、新たなアクセスポイントの加入に伴うアクセスポイント間無線通信におけるセキュリティ設定を行なうこととした。
以下では、アクセスポイント間無線通信のためのセキュリティ設定を要求される側のアクセスポイントを親機(特許請求の範囲における第二のアクセスポイントに対応)と言い、同セキュリティ設定を要求する側のアクセスポイントを子機(特許請求の範囲における第一のアクセスポイントに対応)と言うものとする。ただし、アクセスポイント20〜40は、状況によって親機にも子機にもなり得るものであり、いずれのアクセスポイントも、後述の、セキュリティ設定要求モードにおける処理や、セキュリティ設定モードにおける処理や、接続監視処理などを実現するためのプログラムを具備しているものとする。
【0034】
2.セキュリティ設定の説明
本実施形態における、アクセスポイント間でのセキュリティ設定とは、無線通信を行なおうとする各アクセスポイント間で互いのMACアドレスを登録し、かつ、各アクセスポイント間において共通の暗号鍵を設定することを言うものとする。この結果、各アクセスポイントは、他のアクセスポイントからアクセスがあった場合は同他のアクセスポイントのMACアドレスを登録している場合のみ、そのアクセスを許容してアクセスポイント間無線通信を行う。また、契約やサービス等の種々の内容を有するデータ(以下、内容付きデータという)を電波に乗せて送信する側のアクセスポイントは、送信に先立って、上記設定した暗号鍵を用いて内容付きデータを暗号化し、暗号化後のデータを受信側のアクセスポイントに送信する。受信側は、受信した暗号化データを上記設定した暗号鍵を用いて復号化することで、上記内容付きデータを取得する。
【0035】
ここで上記暗号鍵としてはWEPキーを用いることができる。WEPキーは、IEEE802.11で使用される、秘密鍵暗号方式(データの暗号化と暗号化されたデータの復号化の双方で同じ暗号鍵を使用する方式)の暗号化技術である。暗号鍵として64ビットのWEPキーを用いる方式(WEP64)または128ビットのWEPキーを用いる方式(WEP128)がある。かかるWEPキーを用いた暗号化により、無線通信エリア内において内容付きデータを乗せた電波が傍受された場合に同データの解析がしにくくなり、通信内容の第三者への漏洩が防止される。また、かかるWEPキーを用いる暗号化方式以外にも、よりセキュリティレベルの高い、TKIP(Temporal Key Integrity Protocol)や、AES(Advanced Encryption Standard)といった暗号化方式を用いてもよい。これら、WEP64、WEP128、TKIP、AESは、後者に従うにつれてセキュリティレベルが高くなる。
【0036】
図3および図4は、アクセスポイント30(子機30)を新たに無線LANの中継器としてネットワークに追加する際に、アクセスポイント20(親機20)と子機30との側で夫々に行なうセキュリティ設定のための処理内容をフローチャートにより示している。ルーチンA1は、子機30のCPUが実行する処理を示し、ルーチンB1は、親機20のCPUが実行する処理を示している。なお、アクセスポイント20は既にインターネットINに接続しているとともに、無線LANの中継器として機能している状態であるとする。
【0037】
先ず、ステップS310(以下、ステップの記載を省略)において、子機30の電源ボタンを押下げることにより、子機30は、セキュリティ設定要求モードを開始する(S312)。セキュリティ設定要求モードを開始させる場合は、予め、同子機30をセキュリティ設定を要求する相手となる親機20の近傍に配置しておく。子機30においては、電源ボタンの押し下げ状態はインターフェイスを介してソフトウェアにて判別可能となっており、同電源ボタンの押し下げを検知すると、他のアクセスポイントに対して接続要求を行なうことを指示されたものと判断し、S312以下の処理を開始する。このとき、子機30において、使用する暗号化方式など何らかのセキュリティ情報が既に設定されている場合には、セキュリティ設定値の初期化を併せて行なうとしてもよい。
【0038】
S316では、子機30は、セキュリティ設定を要求する相手となる親機を検知する。当該検知は、子機30の周囲のアクセスポイントから発信されるビーコン信号を受信することで行なう。例えば、受信したビーコン信号のうち電波の強度が最も強いビーコン信号の送信元のアクセスポイントを親機として特定する。ビーコン信号の電波強度が強いほど、同ビーコン信号の発信元となったアクセスポイントはより近くに存在するとも考えられるため、ビーコン信号の電波強度を指標とすれば、周囲に無線LANの中継器として機能するアクセスポイントが複数ある場合でも、最も近くに位置するアクセスポイントを自動的に親機として選択できる。本実施形態では、アクセスポイント20の近傍に子機30を配置しているので、子機30はアクセスポイント20を自動的に親機として検知する。親機の検知はS314の処理により所定時間内に限定され、所定時間を経過したときはS336に移行してセキュリティ設定要求モードの実行を終了する。
【0039】
一方、所定時間内に親機20を検知した場合は、子機30は、アクセスポイント間無線通信に使用するチャンネル(通信周波数f)を決定する(S318)。アクセスポイント間無線通信は、全てのアクセスポイントが同じチャンネルを使用する必要があるためである。例えば子機30は、無線通信に用いる周波数帯を順次検索していき使用可能なチャンネルを一つ選択し、同選択したチャンネルを以降のアクセスポイント間無線通信に使用するチャンネルとして決定する。あるいは、親機20が既に他のアクセスポイントとの間で無線通信を行なっている場合には、親機20に対して同無線通信に使用しているチャンネルを問い合わせ、同問い合わせたチャンネルをアクセスポイント間無線通信に使用するチャンネルと決定してもよい。
【0040】
S320では、子機30は上記検知した親機20に対して接続を試みる。具体的には、無線LANに中継器として加入する旨を表すデータに同子機30のMACアドレスをヘッダ情報として付加した接続要求パケットを親機20に対して送信する。
親機20の側では、上記接続要求パケットを受信することで(S410)、無線LANに加入しようとするアクセスポイント30からセキュリティの設定処理を要求されたことを認識するので、通常の無線交信モードからセキュリティ設定モードに移行する(S412)。また、親機20は上記移行とともに、受信した接続要求パケットのヘッダ情報から子機30のMACアドレスを読取り、読取ったMACアドレスをRAM13のバッファ領域に一時的に記憶する。
S414では、親機20は、セキュリティ設定モードに移行した旨を表すデータに同親機20のMACアドレスをヘッダ情報として付加した設定モード移行完了パケットを子機30に対して送信する。
【0041】
ここで親機20は、S412でセキュリティ設定モードに移行する際に、併せて送信機25の電波の送信可能範囲を狭める処理を行ってもよい。
図7は、出力値が変更された後の送信機25における電波の送信可能範囲を、セキュリティ通信エリアMR1として示している。同セキュリティ通信エリアMR1は、既述した出力値変更プログラムの実行によって標準設定値が一時的に低減された場合に、送信機25による電波の送信が可能となる範囲である。親機20は、S410において子機30からのパケットを受信した後、出力値変更プログラムを実行して、送信機25の出力値を標準設定値の1/nに低減する処理を行なう。これにより、無線通信エリアAR1内に入っている機器であっても、セキュリティ通信エリアMR1内に入っていない場合には、アクセスポイント20から送信される設定モード移行完了パケット等の各種情報を取得できなくなる。さらに、後述するセキュリティ情報パケットの交換処理を行う間も、親機20の通信範囲を狭い範囲としておくことで、暗号鍵の内容を表すデータを乗せた電波が傍受される可能性を低くすることができる。なお、通信エリアを狭める処理を行う場合には、子機30を上記エリアMR1内に入るように予め配置した上で、同子機30の電源ボタンを押下げする必要がある。
【0042】
S322で親機20から設定モード移行完了パケットを受信した子機30は、受信したパケットのヘッダ情報から親機30のMACアドレスを読取り、RAM等に一時的に記憶する。そして、S324において、親機20とのセキュリティ情報パケットの交換処理を実行する。つまり、子機30は、S320で行なった接続要求パケット送信の反応として親機20から設定モード移行完了パケットの送信を受けた場合に、セキュリティ情報パケットの交換処理を実行する。ただし、S320での、親機20への接続の試み回数が不要に多くなることを防止するために、同試み回数に制限を与え、所定回数の試みによっても、親機20からの設定モード移行完了パケットの送信を得られない場合は、リトライオーバーとしてS336に移行してセキュリティ設定要求モードを終了するとしてもよい。
【0043】
一方、親機20は、設定モード移行完了パケットの送信後、S418において、子機30の処理に対応してセキュリティ情報を作成しつつセキュリティ情報パケットの交換処理を実行する。
セキュリティ情報パケットの交換処理を図4のS350,S450以下に示している。
【0044】
パケットの交換処理の具体的内容は次のとおりである。
サブ1.子機30から、親機20に対して、セキュリティ情報の作成リクエストを送出する。
サブ2.親機20から、子機30に対して、リクエストの要求を表すリプライを送出する。なお、親機20は、初めてセキュリティ情報の作成リクエストを受領した時点で、当該親機20が対応している暗号化方式毎に、ESSID(ステーションIDの一種)と、暗号鍵の値を決定する。ここで、アクセスポイント20が暗号化方式として、WEP64と、WEP128と、TKIPと、AESとを採用可能であるとする。この場合の例として、暗号化方式WEP64に対して「ESSID1」と「DATA1」を設定し、暗号化方式WEP128に対して「ESSID2」と「DATA2」を設定し、暗号化方式TKIPに対して「ESSID3」と「DATA3」を設定し、暗号化方式AESに対して「ESSID4」と「DATA4」を設定する。「ESSID1」〜「ESSID4]は乱数などに基づいてランダムに決定したステーションIDであり、「DATA1」〜「DATA4」は各暗号方式に対応しつつランダムに決定した値となっている。
【0045】
サブ3.子機30から、親機20に対して、子機30で対応する暗号化方式を示すデータを送出する。ここで、アクセスポイント30は暗号化方式として、WEP64と、WEP128と、TKIPとを採用可能であるとする。この場合、子機30は当該三つの暗号化方式をデータに表して送出する。
【0046】
サブ4.親機20は、受信したデータに基づいて子機30が対応可能な暗号化方式を検知できるので、同暗号化方式により自己の対応可能な暗号化方式を絞り込む。具体的には、子機30の場合は、WEP64とWEP128とTKIPとに絞り込む。そして、これらの暗号化方式毎に、親機20から、子機30に対して、既に決めておいたESSIDと暗号鍵の値を示すデータを送出する。具体的には、暗号化方式WEP64に対応させた「ESSID1」と「DATA1」と、暗号化方式WEP128に対応させた「ESSID2」と「DATA2」と、暗号化方式TKIPに対応させた「ESSID3」と「DATA3」とを送出する。
このようにして、親機20から、同親機20と自己とで共通して対応可能な各暗号化方式に対応するESSIDと暗号鍵の値を表わすデータとを受信した子機30は、かかるデータを所定の記憶領域に保存する。
【0047】
以上が、子機30におけるS350と親機20におけるS450でのセキュリティ情報パケットの交換処理である。かかるパケット交換処理は、一組の親機と子機との間では一度行えば十分である。すなわち、以降は、親機20と子機30との間では、暗号化方式や暗号鍵自体を表わすデータをやり取りする必要が無くなり、後述するように、子機30は親機20が発信するビーコン信号に基づいて、採用すべき暗号化方式を特定することができる。なお、上記パケット交換処理は相手側MACアドレスを特定した上で暗号化を行って通信している。具体的には、子機30の側で暗号化のための種(InitID)を生成して上記リクエストとともに送信しており、以後、このInitIDに基づくVPN関数を用いた暗号化と復号化とを親機20と子機30の双方で実施して通信を行なう。
【0048】
セキュリティ情報パケットの交換処理後、親機20の側では、S452において、子機30から通知された暗号化方式の中からセキュリティレベルの最高のものを選択する。子機30からは、暗号化方式としてWEP64とWEP128とTKIPとが通知され、セキュリティレベルが最も高いのはTKIPであり、これを一応の候補(今回の最高レベル)として選択する。S454では、親機20は、S452で選択した候補と、現在の最高レベルとを比較する。現在の最高レベルとは、アクセスポイント20が既にアクセスポイント間無線通信を行なっている他のアクセスポイントと共通して対応する暗号化方式の中のセキュリティレベルが最も高いものという意味である。
【0049】
初めて子機としてのアクセスポイント30とセキュリティ情報パケットの交換処理を行った時点では、同子機から通知された暗号化方式で絞り込んだ各方式の中のセキュリティレベルが最高のものが現在の最高レベルとなる。よって、この場合、現在の最高レベルと今回の最高レベルとは一致する。しかし、以降、子機を追加設定する際には、過去に登録した子機が対応可能な暗号化方式で絞り込まれたものとなっていくので、必ずしも今回の最高レベルと現在の最高レベルとは一致することにはならない。
【0050】
このS454の判断に対応し、YES(現在の最高レベルよりも高い)のときには、現在の最高レベルを維持し、NO(現在の最高レベルよりも低いか、等しい)のときには、今回の最高レベルであるS452で選択した暗号化方式を採用する。従って、子機30とのパケット交換の結果では、上述したように「等しい」の判断となり、S458にて「今回の最高レベルを採用」となるから、親機20が採用する暗号化方式はTKIPとなる。
以上の分岐は、ユーザーが選択したセキュリティポリシー(特許請求の範囲に言う、所定の判断基準に対応)を表している。ここで、セキュリティポリシーとは、親機で対応可能な暗号化方式と子機で対応可能な暗号化方式とを対比したときに、いずれの暗号化方式を採用するかを特定する指針を意味している。
【0051】
先の分岐の例では、新たに加わった子機が対応可能なセキュリティレベルの最高のものがそれまでのセキュリティレベルよりも高くないものであるとき、「セキュリティレベルを下げても、同子機がアクセスポイント間無線通信に参加できるようにする」というセキュリティポリシー(以下、ポリシー1という)を示している。言い換えれば、アクセスポイント間無線通信に参加する全てのアクセスポイントに共通する暗号化方式のうち最高レのセキュリティレベルを選択するということになる。なお、等しいと判断されたときも処理上は「高くない」場合の処理を実行するが、結果的にはS456での「現在の最高レベルを採用」と同じことになる。
【0052】
これに対して、最低のセキュリティレベルを決めておき、そのセキュリティレベル以下にはしないというセキュリティポリシー(以下、ポリシー2という)とすることもできる。この場合、S452の後で、「最低のセキュリティレベルよりも高いか等しい?」という判断のを加え、YESの場合にS452以下へ進み、NOの場合にS456へ進むようにすればよい。
【0053】
また、特別な用途を考えた場合に新たな子機のセキュリティの最高レベルまでセキュリティレベルを上げるというセキュリティポリシー(以下、ポリシー3という)とするのであれば、S456にて「現在の最高レベルを採用」する処理に代えて「今回の最高レベルを採用する」処理を実行すれば良い。
このように、アクセスポイントの追加にあたり、所定のセキュリティポリシーに基づいて暗号化方式が選択されるので、アクセスポイント間無線通信に際して採用する暗号化方式および暗号鍵の設定の煩雑さが解消される。また、セキュリティポリシーを上記のように複数用意する場合は、アクセスポイントの筺体上にハードウェアスイッチを設けておき、最初の親機となるアクセスポイントに対するスイッチ操作でセキュリティポリシーを選択できるようにしておけばよい。その結果、常にユーザーが選択するセキュリティポリシーを反映させて、暗号化方式を選択することができる。
【0054】
以上で親機20の側におけるセキュリティ情報のパケット交換処理を終了する。
図3に戻ると、親機20はS420にてパケット交換が完了したか判断し、パケット交換が完了する前にS416にて所定時間が経過したと判断された場合を除き、S422にて、上記決定したセキュリティ情報を設定する。すなわち、S456,S458にて採用することとなった暗号化方式を選択し、同暗号化方式に対応しているステーションIDと暗号鍵の値を、以後のアクセスポイント間無線通信において通信データの暗号化と復号化に採用することを決定する。また、S422では、子機30のMACアドレスの登録も行う。すなわち、アクセスポイント20は、子機30のMACアドレスを、RAM13から記憶装置14の管理領域に登録する処理を行う。
【0055】
S424において、アクセスポイント20はセキュリティ設定モードを終えて通常の無線交信モードに切り替え、無線LANの中継器として機能する状態に復帰する。ここで、上述の送信機25の電波の送信可能範囲を狭める処理を行っていた場合には、無線交信モードへの切り替えとともに、既述した出力値変更プログラムを実行して、送信機25の出力値を標準設定値に戻す処理を行なう。送信機25の出力値を標準設定値に戻した後は、送信機25が電波を送信できる範囲が通常の範囲(無線通信エリアAR1)となり、子機30等は、無線通信エリアAR1内に入っていれば、アクセスポイント20と無線通信することができる。
また、パケット交換中に所定時間が経過してしまったときもセキュリティ設定モードを終了し、無線交信モードに切り替える。この場合、アクセスポイント20は、無線LANの中継器として機能する状態に復帰することになるが、アクセスポイント30とのアクセスポイント間無線通信は行なわず、ネットワークの拡大はされない。
【0056】
このようにアクセスポイント20は採用した暗号化方式を子機30に通知することはしない。
一方、子機30の側では、セキュリティ情報パケット交換の完了後、S330にて、アクセスポイント20から受信して保存したセキュリティ情報から無線交信モードのアクセスポイント20を探索する。上述したように、アクセスポイント20から受信したセキュリティ情報というのは、暗号化方式WEP64に対応させた「ESSID1」と「DATA1」と、暗号化方式WEP128に対応させた「ESSID2」と「DATA2」と、暗号化方式TKIPに対応させた「ESSID3」と「DATA3」である。
【0057】
まず、子機30は、親機20のステーションIDを取得する。この手続はIEEE802.11の通信規格に基づいて実行されるものであり、子機30においては親機20からのビーコン信号を受信して親機20のステーションIDが取得できる。上述したようにアクセスポイント20は暗号化方式としてTKIPを採用したので、そのステーションIDは「ESSID3」である。従って、子機30はアクセスポイント20からのビーコンに基づいてそのステーションIDが「ESSID3」であることを取得し、先に受信して所定の記憶領域に保存したセキュリティ情報と対比する。対比結果として、ステーションIDが「ESSID3」であることは暗号化方式としてTKIPであることを特定するものであり、さらに暗号鍵として「DATA3」を使用することによって暗号化と復号化が実現できることを検知できる。
【0058】
S332では発見した親機20の状態に合わせて親機20から受信したセキュリティ情報を設定する。すなわち、発見したステーションIDに対応する暗号化方式(この場合、TKIP)と暗号鍵(DATA3)を、今後のアクセスポイント間無線通信における通信データの暗号化と復号化に利用することになる。また、同S322では併せて、親機20のMACアドレスを、RAMからHDなどの所定の記憶装置の管理領域に登録する処理を行う。S334では、子機30はセキュリティ設定要求モードを終えて通常の無線交信モードを開始する。その結果、アクセスポイント30も無線LANの中継器として新たにネットワークに参加することになり、アクセスポイント20との間で無線通信を行うことで、無線LANのエリアを拡大せしめる。なお、S330にてアクセスポイント20を所定時間内に探索できなかったときには、S328の判断を経て暗号化方式などを特定することなくS336に進み、セキュリティ設定要求モードを中断する。
【0059】
このように、親機20と子機30との間で互いのMACアドレスの登録と共通の暗号鍵の取得によるセキュリティ設定を行なうことで、以降の通常の無線交信モードにおいて、親機20と子機30とは所定のセキュリティ環境下で互いにアクセスポイント間無線通信を行なうことが可能となる。また、子機30が無線LANの中継器として追加されたため、親機20と子機30とのいずれかの無線通信エリアAR1,2内に存在する端末は、無線LANに接続することが可能となる。なお、アクセスポイント間無線通信は、S318で特定したチャンネルを使用し、アクセスポイントがさらに追加された場合も、全てのアクセスポイントがアクセスポイント間無線通信に同チャンネルを使用するものとする。
【0060】
次に、無線LANのエリアをさらに拡大すべく、上記のようにアクセスポイント30が追加設定された状態で、アクセスポイント20を親機として、さらにアクセスポイント40(子機40)を追加設定する場合について説明する。この場合、基本的には、子機40は図3に示したルーチンA1の処理を行い、親機20はルーチンB1の処理を再度行うことになる。
図5は図3に示す親機20側の処理のなかで子機40からのセキュリティ設定要求に対応して処理内容が変化するステップを特に示したものである。
【0061】
子機40を追加設定するにあたり、子機40と親機20とがそれぞれS350,S450にてパケットの交換処理を行う。ここでは、子機40が対応する暗号化方式はWEP64とWEP128であると仮定して説明を行なう。
サブ1.子機40から、アクセスポイント20に対して、セキュリティ情報の作成リクエストを送出する。
サブ2.アクセスポイント20から、子機40に対して、リクエストの要求を表すリプライを送出する。なお、アクセスポイント20は、既に子機30からのリクエスト受信時に上述した暗号化方式毎のステーションIDと暗号鍵とを決定している。
サブ3.子機40から、アクセスポイント20に対して、子機40で対応する暗号化方式を示すデータを送出する。この場合、子機40はWEP64と、WEP128とに対応しており、これら二つの暗号化方式をデータに表して送出する。
【0062】
サブ4.アクセスポイント20は、受信したデータに基づいて子機40が対応可能な暗号化方式を検知し、同暗号化方式により自己の対応可能な暗号化方式を絞り込む。具体的には、子機40の場合は、WEP64とWEP128に絞り込まれる。そして、これらの暗号化方式毎に、アクセスポイント20から、子機40に対して、暗号化方式WEP64に対応させた「ESSID1」と「DATA1」と、暗号化方式WEP128に対応させた「ESSID2」と「DATA2」とを送出する。
【0063】
すなわち、子機40は、子機30の場合と異なり、パケットの交換処理の結果、暗号化方式WEP64に対応させた「ESSID1」と「DATA1」と、暗号化方式WEP128に対応させた「ESSID2」と「DATA2」だけを受信し、所定の記憶領域に保存することになる。
アクセスポイント20は、子機40が対応している暗号方式がWEP64とWEP128だけであることを検知し、S452にてその中での最高の暗号化(セキュリティ)レベルのWEP128を選択して今回の最高レベルとし、S454にて現在採用している最高レベルのものと比較する。上述したように現在の最高レベルのものはTKIPであるから、S454の判断では現在の最高レベルよりも低いと判断され、S458にて今回の最高レベルであるWEP128を採用することになる。
【0064】
この結果、親機20はS422において、暗号化方式WEP128を採用し、さらにステーションIDは「ESSID2」に変化させ、暗号鍵も「DATA2」とする。そして、S424にて無線交信モードに切り替える。
子機40は、上述した子機30の場合と同様に、アクセスポイント20のビーコンからステーションIDを取得し、受信したセキュリティ情報に基づいて一致するステーションIDの暗号化方式と暗号鍵を採用し(S330,332)、S334にて無線交信モードに移行する。
【0065】
ここで、子機40の追加によってアクセスポイント間無線通信で採用する暗号化方式が変更となった場合、それまで親機20との間で暗号化方式TKIPを採用していた上記子機30は親機20との通信を維持できなくなってしまう。そこで、本実施形態では、一度親機との間でセキュリティ設定を行い通常の無線交信モードを開始している子機においては、以下のように、アクセスポイント間無線通信で採用する暗号化方式の変更に対して自動的に追従できるようにしている。
【0066】
図6は、子機30側における無線交信モード中の接続監視処理を示している。なお、図中の波線部分は他の処理が存在することを前提に関連の深い処理だけを示しているに過ぎない。
子機30は、S324にてセキュリティ情報パケット交換の処理を実施し、S334にて無線交信モードに移行した状態で、S360〜S366の接続監視処理を実行する。すなわち、S360では予め決定しておいた接続監視間隔が経過していないか判断し、経過したと判断したらS362にて親機20との接続状態が維持されているか否かを判断する。言い換えれば、一定時間間隔ごとに親機20との接続が維持されているかを判断することになる。維持されていれば再度S360に戻るので、接続中は一定時間毎に同じ処理を繰り返すことになる。
【0067】
一方、アクセスポイント20との接続が維持されていない場合は、S364にて、受信したアクセスポイント20のビーコン信号からアクセスポイント20のステーションIDを取得し、同ステーションIDと、先にアクセスポイント20から受信しているセキュリティ情報のステーションIDとを対比する。そして、一致するものがあればアクセスポイント20はステーションIDを変化させて暗号化方式を変更しつつ無線交信モードとなっていることを検知することができる。つまり、子機40の追加設定によって親機20のステーションIDが「ESSID2」に変化したので、「ESSID3」をステーションIDとしていた接続状態は維持されていない。この結果、子機30は、S364にて受信できるアクセスポイント20のビーコンからアクセスポイント20のステーションIDが「ESSID2」に変化したことを検知する。そして、同ステーションIDによって、暗号化方式としてWEP128が採用されるとともに暗号鍵は「DATA2」であることを検知し、これらの情報を設定する(S366)。
【0068】
また、無線LANのエリアを拡大するという意味では、親機の役割を果たすのはアクセスポイント20に限られない。例えば、アクセスポイント20に対してセキュリティ設定の要求を行なうことで無線LANの中継器として追加設定されたアクセスポイント30を親機として、アクセスポイント40を追加設定することも考えられる。
この場合、図1とは異なり、アクセスポイント30の近傍に子機としてのアクセスポイント40を置き、同アクセスポイント40の電源ボタンを押下げしてセキュリティ設定要求モードを開始させる。一方、アクセスポイント30は、子機40からの働きかけに応じて、無線交信モードからセキュリティ設定モードへと移行する。すなわち、アクセスポイント30が、図3におけるルーチンB1および図4における親機20の側に対応する処理を実行し、子機40が、図3のルーチンA1および図4の子機30の側に対応する処理を実行することになる。当該処理において、上述の図3,4の説明と相違する点について述べると次のようになる。
【0069】
S350,450のセキュリティ情報パケットの交換処理において、アクセスポイント30が子機40に対して送出する、自己と子機40とで共通して対応可能な暗号化方式毎のステーションIDと暗号鍵を表すデータは、より上位の親機であるアクセスポイント20とのパケット交換の際に送信を受けて取得したものである。すなわち、より上位の親機が存在する場合は、上位の親機が生成した各暗号化方式毎のステーションIDと暗号鍵とを子機に配布する。ただし、アクセスポイント20〜40夫々の対応可能な暗号化方式の違いによっては、アクセスポイント30は、子機40とで共通して対応可能な暗号化方式の全てについてはアクセスポイント20からステーションIDと暗号鍵を表すデータとを受け取っていない場合もある。かかる場合は、アクセスポイント30は、子機40と共通して対応可能な暗号化方式のうち、アクセスポイント20からステーションIDと暗号鍵を表すデータとを受け取っている方式について、子機40にステーションIDと暗号鍵を表すデータとを送出する。
【0070】
また、アクセスポイント30がS454で選択する現在の最高レベルとは、自己と上位の親機であるアクセスポイント20とが共通して対応可能な暗号化方式の中の最高のセキュリティレベルの方式を指す。
かかる処理の結果、アクセスポイント30は、アクセスポイント20〜40で共通して対応可能な暗号化方式を一つ選択し、以後、無線交信モードにおいて同暗号化方式に対応するステーションIDと暗号鍵とを採用することになる。子機40の側においては、アクセスポイント30のビーコンからステーションIDを取得し、アクセスポイント30から受信したセキュリティ情報に基づいて一致するステーションIDの暗号化方式と暗号鍵を採用し(S330,332)、S334にて無線交信モードに移行することになる。さらに、アクセスポイント20の側では、上述の接続監視処理を実行することで、アクセスポイント30,40間の処理によって採用する暗号化方式が変更になった場合でも、同変更に追従することができる。
【0071】
このように、本発明によれば、ネットワークに追加しようとするアクセスポイントの電源ボタンを押下げると、同子機からの要求に基づいて、無線LANの中継器として機能している親機としてのアクセスポイントが自動的にアクセスポイント間無線通信のためのセキュリティ情報を設定し、上記子機は親機が設定したセキュリティ情報を検知して自己も同じセキュリティ設定を行う。そのため、従来のように各アクセスポイント毎に手入力でセキュリティの設定を行なっていた場合と比較すると、アクセスポイント間無線通信のためのセキュリティ設定が飛躍的に容易となる。
特に、アクセスポイントが追加される度に各アクセスポイントに対して手入力でセキュリティ設定を行なうことは煩雑極まりなく、また一般のユーザにとっては困難な作業であった。しかし本願は、追加対象となるアクセスポイントの電源ボタンを押すだけで、ネットワークに参加する各アクセスポイントで採用可能なセキュリティ環境に自動的に更新、設定されるため、無線LANのエリアの拡大が非常に容易である。
【0072】
また、ある子機からの要求に応じてセキュリティ設定処理を行った親機は、同子機とは別に、既にアクセスポイント間無線通信のネットワークを互いに構築しているアクセスポイントが存在する場合には、同子機に対して当該別のアクセスポイントのMACアドレスにかかるデータを自動的に送信するとしてもよい。当該送信を行なうタイミングは種々考えられるが、無線交信モードに切替えた後に行なえば、親機は上記MACアドレスにかかるデータを暗号化して子機に送信できるため、同データの漏洩が防がれる。また、同親機は、上記セキュリティ設定を行なった子機のMACアドレスにかかるデータを、上記別のアクセスポイントに対して送信する処理も併せて行うとしてもよい。当該処理を実行すれば、アクセスポイント間無線通信を行なう各アクセスポイントにおいて互いの識別情報であるMACアドレスを登録できる。そのため、従来のように、アクセスポイント間無線通信を行なう相手の識別情報を、アクセスポイントが追加されるたびに各アクセスポイント毎に手入力で登録するという必要が無くなり、セキュリティ設定の容易性およびネットワークの拡大の容易性が飛躍的に上がる。
【0073】
さらに、本実施形態においては、親機としてのアクセスポイントは子機に対して、採用した暗号化方式を特に通知することはせず、子機は親機の発信するステーションIDだけから暗号化方式と暗号鍵を特定できる。従って、アクセスポイントの追加に伴って暗号化方式を変化するときにも全アクセスポイントに暗号化方式を通知する必要がなくなり、セキュリティ上のメリットがある。
【0074】
3.他の実施例
図8は、アクセスポイント30(子機30)を新たに無線LANの中継器としてネットワークに追加する際に、アクセスポイント20(親機20)と子機30との側で夫々に行なうセキュリティ設定のための処理内容であって、図3とは別の例を示している。ルーチンA2は、子機30のCPUが実行する処理を示し、ルーチンB2は、親機20のCPUが実行する処理を示している。なお、図3と処理内容が変わらないステップについては、図3と同じステップ番号で表示している。
当該他の実施例においては、各アクセスポイントには、上記電源ボタンとは別に、所定のセキュリティ設定開始用ボタンが筐体表面に露出した状態で設けられているものとする。
【0075】
ここでは、図3と異なる部分について説明する。
図8においては、子機30の側で電源ボタンを押下げるとともに(S310)、親機20の側でも、上記セキュリティ設定開始用ボタンを押下げる(S402)。親機20は、セキュリティ設定開始用ボタンの押し下げをインターフェイスを介してソフトウェアにて判別可能となっており、同押し下げを検知すると、セキュリティ設定モードへ移行する(S404)。つまり同図では、親機20は他のアクセスポイントからの要求を受けてセキュリティ設定モードに移行するのではなく、セキュリティ設定開始用ボタンの押下げをトリガーとして自らセキュリティ設定モードを開始する。セキュリティ設定モードへ移行した際に、上述したように送信機25の出力範囲を狭める処理を併せて行ってもよい。
【0076】
S408では、親機20は、セキュリティ設定モードに移行した旨を表す特定の検知用信号を送信する処理を行う。かかる検知用信号は、アクセスポイント間無線通信に使用するチャンネルとして予め定めておいたチャンネルで送信する。あるいは、親機20が既に他のアクセスポイントとアクセスポイント間無線通信を行なっていた場合は、同無線通信に使用しているチャンネルで上記検知用信号を送信する。親機20は、上記検知用信号を無線通信エリアAR1(あるいは、セキュリティ通信エリアMR1)内に存在する全ての無線LAN用装置に対して、つまり、送信先を特定することなく送信(ブロードキャスト送信)する。
【0077】
子機30の側では、セキュリティ設定要求モードの開始後、S550において親機を検知する。具体的には、親機20が送信した上記検知用信号を受信することで、セキュリティ設定モードに移行している親機20の存在を検知する。このように、本実施例では、ユーザが親機として選択してセキュリティ設定開始用ボタンを押下げしたアクセスポイントから、上記検知用信号を送信させるとともに、子機の側では同検知用信号を受信した場合に同信号の送信元を親機として特定する。そのため、子機はユーザが親機として選択したアクセスポイントに対して確実にアクセスすることができ、ユーザが選択したものとは別のアクセスポイントを親機としてアクセスすることが防がれる。
S552では、子機30は、アクセスポイント間無線通信に使用するチャンネルを決定する。上記検知用信号自体がアクセスポイント間無線通信に使用するチャンネルによって送信されているため、同検知用信号の通信周波数に従って、同チャンネルを決定する。
【0078】
このようにして親機30を検知したら、子機30は親機20に対して、無線LANに中継器として加入する旨を表すデータに同子機30のMACアドレスをヘッダ情報として付加した接続要求パケットを送信し、接続を試みる(S320)。S554においては、かかる接続の試み回数が不要に多くなることを防止するため、所定回数を超えていればリトライオーバーとしてステップS336に移行してセキュリティ設定要求モードの実行を終了する。子機30は、リトライオーバーとなることなくアクセスポイント20に接続できると、アクセスポイント20とセキュリティ情報パケットの交換処理を実施する。一方、既にセキュリティ設定モードに移行している親機20の側では、上記接続要求パケットを受信することで(S410)、無線LANに加入しようとするアクセスポイント30を特定できる。このとき親機20は、受信した接続要求パケットのヘッダ情報から子機30のMACアドレスを取得し、同MACアドレスをRAM13のバッファ領域に一時的に記憶する。
【0079】
以降、子機30は図3と同様にS324以下の処理を、親機20はS418以下の処理を実行することで、セキュリティ情報パケットの交換を行い、共通のセキュリティ情報を設定することになる。その結果、無線交信モードに移行し無線LANの中継器として機能するアクセスポイント20,30は、所定のセキュリティ環境下、上記決定したチャンネルを使用して、アクセスポイント間通信を行なうことができる。
【図面の簡単な説明】
【0080】
【図1】本発明の無線LANにおけるセキュリティ設定を実現するためのハードウェア構成例を示す説明図である。
【図2】アクセスポイントの構成を示す説明図である。
【図3】セキュリティ設定の手順を示すフローチャートである。
【図4】パケット交換の処理と暗号化方式の決定手順を示すフローチャートである。
【図5】アクセスポイントの追加の処理を示すフローチャートである。
【図6】接続監視処理の手順を示すフローチャートである。
【図7】出力値が変更された後の送信機における電波の送信可能範囲を示す説明図である。
【図8】他の実施例における、セキュリティ設定の手順を示すフローチャートである。
【符号の説明】
【0081】
11…CPU
12…ROM
13…RAM
14…記憶装置
15…ディスプレイコントローラ
16…入出力コントローラ
17…WANポート
18…無線通信インタフェース
20,30,40…アクセスポイント
21…電源ボタン
22…LANポート
25…送信機
26…受信機
28…ルータ
50,60…端末
52,62…無線LANアダプタ
AR1,AR2,AR3…無線通信エリア
MR1…セキュリティ通信エリア
【技術分野】
【0001】
本発明は、無線LAN接続システム、無線LAN接続方法およびアクセスポイントに関する。
【背景技術】
【0002】
従来より、無線LAN用の中継器であるアクセスポイントを介しての無線通信ネットワークを構築する場合に、複数のアクセスポイントを用いることでネットワーク範囲を拡大する手法が採られていた。この場合、各アクセスポイント間での無線通信(アクセスポイント間無線通信)を行なうことで、いずれかのアクセスポイントの無線通信範囲に属するクライアント端末に対して上記ネットワークに接続することを可能としていた。
【発明の開示】
【発明が解決しようとする課題】
【0003】
上記のようにアクセスポイント間にてネットワークを構築する場合には、同ネットワークへの不正侵入や通信データの第三者への漏洩などを防ぐため、同ネットワークのセキュリティを確保する必要がある。
しかし、従来のアクセスポイント間無線通信のためのセキュリティ設定においては、ネットワークに参加する各アクセスポイントの機器毎に、接続先となる機器の情報の入力など所定のセキュリティ設定を手入力にて行なっており、非常に煩雑であった。また、所定の機器間で一度設定したセキュリティ設定を変更する場合も機器毎の入力操作が必要であるため、アクセスポイント数を増やしてネットワーク範囲を拡大する場合等に最適なセキュリティ設定を行なうことは、一般のユーザにとって煩雑かつ困難であった。
【0004】
本発明は、上記課題にかんがみてなされたもので、ネットワークを構成するアクセスポイントの変化に柔軟に対応して最適なセキュリティ環境を容易に設定可能な無線LAN接続システム、無線LAN接続方法およびアクセスポイントを提供することを目的とする。
【課題を解決するための手段】
【0005】
上記目的を達成するために請求項1にかかる発明は、無線LAN用の中継器としての機能を発揮可能な複数のアクセスポイント間で無線通信を行なうに際して、所定のセキュリティが確保された同無線通信のネットワークを設定する無線LAN接続システムであって、第一のアクセスポイントは、第二のアクセスポイントを検知する接続先アクセスポイント検知手段と、上記検知した第二のアクセスポイントに対して同第一のアクセスポイントが対応可能な無線通信データを暗号化する際に用いる暗号化方式を無線で伝える接続要求側方式伝達手段と、上記第二のアクセスポイントが採用した暗号化方式を検知し、同検知した暗号化方式を選択する接続要求側方式選択手段とを備え、上記第二のアクセスポイントは、上記第一のアクセスポイントと共通して対応可能な暗号化方式の中から、所定の判断基準に従って所定の暗号化方式を選択して採用する被接続要求側方式選択手段を備える構成としてある。
【0006】
上記のように構成した請求項1の発明においては、無線LAN用の中継器としての機能を発揮可能な複数のアクセスポイント間で無線通信を行なうに際して、所定のセキュリティが確保された同無線通信のネットワークを設定する。
ここで、第一のアクセスポイントは、接続先アクセスポイント検知手段によって、所定の第二のアクセスポイントを検知する。第二のアクセスポイントとしては、例えば、既に無線LAN用の中継器として機能しているアクセスポイントが想定される。次に、接続要求側方式伝達手段によって、上記検知した第二のアクセスポイントに対して同第一のアクセスポイントが対応可能な無線通信データを暗号化する際に用いる暗号化方式を無線で伝える。一方、第二のアクセスポイントは、上記暗号化方式の通知を受け、被接続要求側方式選択手段によって、第一のアクセスポイントと共通して対応可能な暗号化方式の中から、所定の判断基準に従って所定の暗号化方式を選択して採用する。すなわち、第二のアクセスポイントは、同採用した暗号化方式によって、無線通信データの通信に先立っての暗号化を行なうことになる。
【0007】
第一のアクセスポイントの側では、第二のアクセスポイントが被接続要求側方式選択手段によって採用した暗号化方式を検知し、同検知した暗号化方式を選択する。その結果、第一、第二のアクセスポイントにおいて共通の暗号化方式が採用される。以後、第一、第二のアクセスポイントは、基本的に上記採用した暗号化方式において利用する暗号鍵を用いてアクセスポイント間無線通信を行う。さらにネットワークに参加するアクセスポイントが追加される場合には、上述した第一、第二のアクセスポイントのいずれか一方が再度第二のアクセスポイントの役割を果たし、追加される機体が新たな第一のアクセスポイントとなってセキュリティの設定が行われる。
このように本発明によれば、アクセスポイント間無線通信に参加しようとするアクセスポイント(第一のアクセスポイント)側の検知動作をきっかけとして、第二のアクセスポイントとの間でセキュリティ設定が自動的に行われるため、無線LANの通信範囲を容易に変化させることができる。
【0008】
請求項2の発明は、請求項1に記載の無線LAN接続システムにおいて、上記接続先アクセスポイント検知手段は、周囲のアクセスポイントが送信するビーコン信号を受信するとともに、受信したビーコン信号のうち電波強度が最も強いビーコン信号を送信するアクセスポイントを上記第二のアクセスポイントと特定する構成としてある。
第一のアクセスポイントが周囲のアクセスポイントが送信するビーコン信号を受信した場合、基本的には、同ビーコン信号の電波強度が強いほど同ビーコン信号の送信元となっているアクセスポイントは近くに存在すると判断できる。したがって、接続先アクセスポイント検知手段は、受信したビーコン信号のうち電波強度が最も強いビーコン信号を送信するアクセスポイントを上記第二のアクセスポイントと特定すれば、周囲に接続可能なアクセスポイントが複数ある場合でも、接続に適した最も近傍のアクセスポイントを自動的に検知することができる。その結果、無線LANの通信範囲を容易に拡大することができる。
【0009】
ここで、上記第二のアクセスポイントは、無線通信範囲に存在する無線LAN用装置に対して所定の検知用信号を送信する検知用信号送信手段を有し、上記接続先アクセスポイント検知手段は、同検知用信号を受信した場合に、同検知用信号を送信するアクセスポイントを上記第二のアクセスポイントと特定するとしてもよい。
上記構成においては、検知用信号送信手段は、送信先を指定することなく、第二のアクセスポイントの無線通信範囲に存在する各無線LAN用装置に対して所定の検知用信号を送信する。そして、第一のアクセスポイントが同検知用信号を受信した場合、接続先アクセスポイント検知手段は、同検知用信号を送信するアクセスポイントを上記第二のアクセスポイントと特定する。つまり、第一のアクセスポイントの接続先とすべきアクセスポイントの側から所定の検知用信号を周囲に送信することとすれば、同第一のアクセスポイントは同信号を検知することで、特定のアクセスポイントに対して確実に接続できる。
【0010】
請求項4にかかる発明は、請求項1〜請求項3のいずれかに記載の無線LAN接続システムにおいて、上記被接続要求側方式選択手段は、少なくとも第一および第二のアクセスポイントを含む無線通信を行なうアクセスポイント間で共通して対応可能な方式であって最もセキュリティレベルの高い暗号化方式を選択する構成としてある。
【0011】
上記のように構成した請求項4の発明においては、上記被接続要求側方式選択手段は、少なくとも第一および第二のアクセスポイントを含む無線通信を行なうアクセスポイント間で共通して対応可能な方式であって最もセキュリティレベルの高い暗号化方式を選択する。つまり、第二のアクセスポイントは、第一のアクセスポイントから対応可能な暗号化方式を通知された場合には、採用する暗号化方式の見直しを行ない、ネットワークに参加するアクセスポイントにおいて共通して採用しうる暗号化方式のうち最高のセキュリティレベルの方式を採用する。そのため、各アクセスポイントにネットワークへの参加を許容しつつも同ネットワークの安全性を常に高いレベルに維持することができる。このような暗号化方式の選択の方針は、請求項1の所定の判断基準に該当するが、同判断基準は固定的である必要はなく、判断基準を複数用意しておき、いずれかを選択可能な構成としてもよい。
【0012】
請求項5にかかる発明は、請求項1〜請求項4のいずれかに記載の無線LAN接続システムにおいて、上記第二のアクセスポイントは、上記第一のアクセスポイントと共通して対応可能な暗号化方式の夫々において利用する暗号鍵を決定するとともに、同共通の暗号化方式と同暗号化方式の夫々において利用する暗号鍵とを第一のアクセスポイントに無線で伝える暗号鍵伝達手段を有し、上記第一のアクセスポイントは、上記伝えられた暗号化方式毎の暗号鍵を所定の記憶領域に保存する接続要求側暗号鍵保存手段を有する構成としてある。
【0013】
上記のように構成した請求項5の発明においては、暗号鍵伝達手段は、第一のアクセスポイントと第二のアクセスポイントとが共通して対応可能な暗号化方式の夫々において利用する暗号鍵を決定するとともに、同共通の暗号化方式と同暗号鍵とを第一のアクセスポイントに無線で伝える。また、接続要求側暗号鍵保存手段は、上記伝えられた暗号化方式ごとの暗号鍵を所定の記憶領域に保存する。つまり、第一のアクセスポイントは、第二のアクセスポイントとの間で共通して採用可能な暗号化方式と各方式において利用する暗号鍵を取得する。また、予め上記共通の暗号化方式と暗号鍵とを第一のアクセスポイント側に伝えておくことにより、後に暗号化方式が変更されることになっても、暗号鍵を通知し直す必要はなくなる。これにより、通知の煩雑さを解消し、また、同時に暗号鍵の通知に伴うセキュリティの低下を防止することが可能となる。
【0014】
上記暗号鍵伝達手段は、上記共通の暗号化方式と同共通の暗号化方式の夫々において利用する暗号鍵とを第一のアクセスポイントに無線で伝える処理を、第一のアクセスポイントの接続要求側方式伝達手段によって暗号化方式を伝えられた際に一度だけ行うとしてもよい。つまり、第二のアクセスポイントから端末に対して、上記伝える処理を一度だけ行なっておけば、後に暗号化方式が変更になっても、暗号鍵を再度通知し直す必要はなくなる。これにより、暗号化方式及び暗号鍵の通知の煩雑さを大幅に解消し、また、同時に暗号鍵の通知に伴うセキュリティの低下を極力防止することが可能となる。
【0015】
請求項7の発明は、請求項5または請求項6のいずれかに記載の無線LAN接続システムにおいて、上記暗号鍵伝達手段は、第二のアクセスポイントが対応可能な暗号化方式の夫々に異なったステーションIDを特定し、上記共通の暗号化方式の夫々ごとに上記特定したステーションIDを上記暗号鍵とともに第一のアクセスポイントに無線で伝え、上記接続要求側方式選択手段は、第二のアクセスポイントからステーションIDを取得し、予め上記接続要求側暗号鍵保存手段によって保存しておいたステーションIDと一致するものがあるときに同ステーションIDに対応した暗号化方式と暗号鍵とを採用する構成としてある。
【0016】
上記のように構成した請求項7の発明においては、暗号鍵伝達手段が、第二のアクセスポイントが対応可能な暗号化方式の夫々に異なったステーションIDを特定するとともに、上記共通の暗号化方式の夫々ごとに上記特定したステーションIDを上記暗号鍵とともに第一のアクセスポイントに無線で伝える。また、第二のアクセスポイントの被接続要求側方式選択手段は、上記所定の判断基準に従って選択したアクセスポイント間で用いる暗号化方式に対応したステーションIDを採用する。
【0017】
一方、接続要求側方式選択手段は、第二のアクセスポイントからステーションIDを取得し、予め第二のアクセスポイントから伝えられ接続要求側暗号鍵保存手段によって保存しておいたステーションIDと一致するものがないか判断する。一致するものがあるときは、第二のアクセスポイントが同ステーションIDに対応した暗号化方式と暗号鍵を採用していると判断できるので、第一のアクセスポイントにおいても同暗号化方式と暗号鍵を採用する。このように、第一、第二のアクセスポイント間で敢えて暗号化方式の特定のための通知を行う必要が無くなるので手続の煩雑さを解消しつつセキュリティの低下を防止できる。
【0018】
無線で暗号鍵などを伝える際のセキュリティの低下を防止する好適な一例として、請求項8にかかる発明は、上記第一のアクセスポイントと第二のアクセスポイントとの間の無線通信範囲を通常の通信範囲よりも狭める通信範囲限定手段を有し、上記暗号鍵伝達手段は、上記通信範囲限定手段により無線通信範囲が狭められたとき、無線通信範囲内に存在する上記第一のアクセスポイントに対して、上記暗号鍵の内容を表わす暗号鍵データを無線で送信する構成としてある。
上記構成においては、通信範囲限定手段によって第一のアクセスポイントと第二のアクセスポイントとの間の無線通信範囲が通常の通信範囲よりも狭められ、上記暗号鍵伝達手段は、同無線通信範囲が狭められたときに、無線通信範囲内に存在する上記第一のアクセスポイントに対して暗号鍵データを無線で送信する。この結果、暗号鍵データは第二のアクセスポイントを中心とした狭い通信範囲でやり取りされるので、暗号鍵データが乗った無線の傍受がしにくくなり、暗号鍵データの漏洩が防止される。よって、アクセスポイント間無線通信を実現するためのセキュリティ設定を、暗号鍵データの漏洩を防止して安全に行なうことができる。
【0019】
アクセスポイント間無線通信を実現するためのセキュリティ設定は、暗号化方式および暗号鍵の設定に限られない。そこで、請求項9の発明は、上記第二のアクセスポイントは、第一のアクセスポイントとの通信を介して取得した同第一のアクセスポイントの固有の識別情報を、上記無線通信のネットワークを構築している他のアクセスポイントに対して通知するとともに、自己および同他のアクセスポイントの夫々の固有の識別情報を第一のアクセスポイントに通知する構成としてある。
上記構成においては、第二のアクセスポイントは、第一のアクセスポイントとの通信を介して取得した同第一のアクセスポイントの固有の識別情報を、上記無線通信のネットワークを構築している他のアクセスポイントに対して通知する。また、第二のアクセスポイントは、自己および同他のアクセスポイントの夫々固有の識別情報を第一のアクセスポイントに通知する。よって、アクセスポイント間無線通信を行なおうとする各機器は自動的に、他の機器の識別情報を得ることができる。その結果、同識別情報を無線通信時の認証とし、接続を許容する機器を限定することができる。
【0020】
上述の無線LAN接続システムは、そのシステムの実行手順としても発明を把握できる。そこで、請求項10の発明は、無線LAN用の中継器としての機能を発揮可能な複数のアクセスポイント間で無線通信を行なうに際して、所定のセキュリティが確保された同無線通信のネットワークを設定する無線LAN接続方法であって、第一のアクセスポイントは、第二のアクセスポイントを検知し、上記検知した第二のアクセスポイントに対して同第一のアクセスポイントが対応可能な無線通信データを暗号化する際に用いる暗号化方式を無線で伝え、上記第二のアクセスポイントは、第一のアクセスポイントと共通して対応可能な暗号化方式の中から所定の判断基準に従って所定の暗号化方式を選択して採用し、上記第一のアクセスポイントは、第二のアクセスポイントが採用した暗号化方式を検知し、同検知した暗号化方式を選択する構成としてある。
【0021】
さらに、本発明のかかる技術的思想は、アクセスポイント自体の発明としても把握できる。そこで、請求項11の発明は、無線LAN用の中継器としての機能を発揮可能なアクセスポイントであって、自己以外のアクセスポイントに対して所定の接続要求を行なうことを指示された場合に他のアクセスポイントを検知する接続先アクセスポイント検知手段と、同検知した他のアクセスポイントに対して自己が対応可能な無線通信データを暗号化する際に用いる暗号化方式を無線で伝える接続要求側方式伝達手段と、同検知した他のアクセスポイントが採用した暗号化方式を検知し同検知した暗号化方式を採用する接続要求側方式選択手段とを備え、さらに、自己以外のアクセスポイントから所定の接続要求を受けた場合に、同要求を行なったアクセスポイントが無線で伝えてきた同要求を行なったアクセスポイントが対応可能な暗号化方式であって、かつ自己が対応可能な暗号化方式の中から、所定の判断基準に従って所定の暗号化方式を選択して採用する被接続要求側方式選択手段を備える構成としてある。つまり、請求項11にかかるアクセスポイントは、自己の状況に応じて、上述の第一のアクセスポイントとしての働きと第二のアクセスポイントとしての働きとを両方実行可能である。
【0022】
むろん、請求項1に従属する請求項2〜請求項9にかかる発明と同様の態様を適用して、請求項10,11の各発明に従属する発明を夫々捉えることも可能である。
また、第一のアクセスポイント、第二のアクセスポイントを夫々に単独の発明として捉えることも可能である。
【発明の効果】
【0023】
以上説明したように、本発明によれば、アクセスポイント間無線通信を行なう際のセキュリティ設定を、ネットワークに追加されるアクセスポイント側からの要求に基づいて、同要求を受けたアクセスポイントが自動的に行なうため、所定のセキュリティが確保された状態の、複数のアクセスポイントによる無線通信ネットワークを容易かつ安全に設定することができる。
【発明を実施するための最良の形態】
【0024】
下記の順序に従って本願発明の実施形態について説明する。
1.無線LANにおけるセキュリティ設定を実現するための概略構成
2.セキュリティ設定の説明
3.他の実施例
【0025】
1.無線LANにおけるセキュリティ設定を実現するための概略構成
図1は本願にかかる無線LANを実現するためのハードウェア構成例を示している。
同図においては、無線LAN用の中継器であるアクセスポイント(無線基地局)20〜40の夫々を中心として、無線通信エリアAR1〜AR3が形成されている。各アクセスポイント20〜40は、一以上の他のアクセスポイントの無線通信エリアに属しており、各エリアAR1〜AR3は、一以上の他の無線通信エリアと重なっているものとする。つまり本実施形態においては、所定の無線通信エリアをカバーするアクセスポイントを複数台用い、各アクセスポイントにおいて一以上の他のアクセスポイントと無線通信を実行可能とすることで、無線LANのエリアを拡大している。
【0026】
アクセスポイントの構成について説明する。
図2は、アクセスポイント20の構成を示しているが、アクセスポイント30,40の構成も基本的には同図と同様である。ただし、本実施形態においては、各アクセスポイントのうち自己のWANポートを介して外部のインターネットINに接続しているのはアクセスポイント20のみとする。
アクセスポイント20は、CPU11と、このCPU11とバスにより相互に接続されたROM12,RAM13,ハードディスク等の不揮発的な記憶装置14,ネットワークインタフェースとしてのWANポート17,有線LANとの接続用のLANポート22,無線通信インタフェース18,ディスプレイコントローラ15,入出力コントローラ16等の各部を備える。
【0027】
ROM12には、無線通信エリアAR1内の無線LAN用装置(アクセスポイント、無線LANアダプタなど)とのセキュリティ設定や通信やインターネットINへの接続に関する各種のプログラムと各種プログラムの実行に必要なデータが格納されている。入出力コントローラ16にはプッシュ式の電源ボタン21が接続されている。電源ボタン21は、その押圧部がアクセスポイント20の筐体表面に露出した状態で設けられている。ディスプレイコントローラ15には、無線LANの接続状態や通信状態を点灯・点滅等によって表示する各種の表示ランプ19が接続されている。
【0028】
無線通信インタフェース18には、電波を送信する送信機25、電波を受信する受信機26が接続されている。この送信機25、受信機26は、外部への電波の送信や外部からの電波の受信が可能な状態で、アクセスポイント20に内蔵されている。図1では、送信機25の出力や受信機26の受信感度を標準設定値とした場合に、送信機25から送信された電波が届き、かつ、受信機26が無線LAN用装置からの電波を受け取れる範囲を、無線通信エリアAR1として表わしている。こうしたアクセスポイント20の設置により、無線通信エリアAR1内を通常の通信範囲とした無線LANが組まれる。
【0029】
なお、ROM12には、送信機25の出力の標準設定値を一時的に変更する処理の内容が記述された出力値変更プログラムや受信機26の受信感度の標準設定値を一時的に変更する処理の内容が記述された受信感度値変更プログラムが予め格納されている。この設定値を変更する処理は、具体的には、標準設定値を1/n(nは予め定められた定数)倍する演算処理によって実現される。CPU11は、この出力値変更プログラム,受信感度値変更プログラムを実行することにより、変更後の出力値や受信感度値を、無線通信インタフェース18を介して送信機25,受信機26に出力する。これにより、送信機25から送信される電波の出力や受信機26における電波の受信感度が変更される。
【0030】
図1に示すように、アクセスポイント20のWANポート17には、モデムを内蔵したルータ28がケーブルを介して接続されている。ルータ28は、各無線LAN用装置に固有の識別情報として夫々に付与したMAC(Media Access Control)アドレスに基づいて、無線LAN内の各機器を特定し、これらを区別することができる。ルータ28内のモデムは、CATV回線,xDSL回線等のブロードバンドな通信回線CL、プロバイダPVの専用回線を介してインターネットINに接続されている。即ち、ルータ28は、無線LANをインターネットINに接続するゲートウェイとして機能する。
【0031】
端末50,60は、周知のノート型のパーソナルコンピュータであり、CPU,ROM,RAM等からなる制御装置をはじめ、記憶装置としてのハードディスクやCD−ROMドライブ等を備える。勿論、携帯情報端末(Personal Digital Assistant)等の他の端末であっても差し支えない。端末50,60には、アクセスポイントとの間での電波の送受信を行なえるようにする無線LAN接続用デバイスとして、無線LANアダプタ52,62が装着されている。この無線LANアダプタ52,62のデバイスドライバが各端末に組み込まれることにより、端末50,60は、装着された無線LANアダプタ52,62を認識し、無線LANアダプタ52,62を制御することが可能となる。
【0032】
無線通信エリアAR1〜AR3内に入った端末50,60は、装着された無線LANアダプタ52,62とアクセスポイント20〜40のいずれか(基本的には、最も近くに配置されているアクセスポイント)との間で電波が送受信されることにより、アクセスポイントとの通信を無線で行なう。その結果、端末50と端末60のように、夫々に別のアクセスポイント20,30の無線通信エリアAR1,AR2に属している端末間においても、アクセスポイント20,30間での無線通信を介して、互いにインフラストラクチャモードによる無線通信を行なうことができる。また、端末60のように、インターネットINに直接に接続するアクセスポイント20の無線通信エリアAR1に属していない端末であっても、アクセスポイント20,30間での無線通信を介することで、インターネットINに接続することができる。さらに、端末が無線通信エリアAR1内の障害物Bによってアクセスポイント20からの電波が届かない死角エリアAR1aにある場合でも、同端末はアクセスポイント30に接続することでネットワークに参加できる。
【0033】
このように、アクセスポイントを複数台用いて無線LANのエリアを拡大するためには、アクセスポイント間無線通信を行なうことになる。そして、当該アクセスポイント間無線通信を行なう際には、通信上のセキュリティを充分に確保する必要がある。そこで、本実施形態においては、以下のように、新たなアクセスポイントの加入に伴うアクセスポイント間無線通信におけるセキュリティ設定を行なうこととした。
以下では、アクセスポイント間無線通信のためのセキュリティ設定を要求される側のアクセスポイントを親機(特許請求の範囲における第二のアクセスポイントに対応)と言い、同セキュリティ設定を要求する側のアクセスポイントを子機(特許請求の範囲における第一のアクセスポイントに対応)と言うものとする。ただし、アクセスポイント20〜40は、状況によって親機にも子機にもなり得るものであり、いずれのアクセスポイントも、後述の、セキュリティ設定要求モードにおける処理や、セキュリティ設定モードにおける処理や、接続監視処理などを実現するためのプログラムを具備しているものとする。
【0034】
2.セキュリティ設定の説明
本実施形態における、アクセスポイント間でのセキュリティ設定とは、無線通信を行なおうとする各アクセスポイント間で互いのMACアドレスを登録し、かつ、各アクセスポイント間において共通の暗号鍵を設定することを言うものとする。この結果、各アクセスポイントは、他のアクセスポイントからアクセスがあった場合は同他のアクセスポイントのMACアドレスを登録している場合のみ、そのアクセスを許容してアクセスポイント間無線通信を行う。また、契約やサービス等の種々の内容を有するデータ(以下、内容付きデータという)を電波に乗せて送信する側のアクセスポイントは、送信に先立って、上記設定した暗号鍵を用いて内容付きデータを暗号化し、暗号化後のデータを受信側のアクセスポイントに送信する。受信側は、受信した暗号化データを上記設定した暗号鍵を用いて復号化することで、上記内容付きデータを取得する。
【0035】
ここで上記暗号鍵としてはWEPキーを用いることができる。WEPキーは、IEEE802.11で使用される、秘密鍵暗号方式(データの暗号化と暗号化されたデータの復号化の双方で同じ暗号鍵を使用する方式)の暗号化技術である。暗号鍵として64ビットのWEPキーを用いる方式(WEP64)または128ビットのWEPキーを用いる方式(WEP128)がある。かかるWEPキーを用いた暗号化により、無線通信エリア内において内容付きデータを乗せた電波が傍受された場合に同データの解析がしにくくなり、通信内容の第三者への漏洩が防止される。また、かかるWEPキーを用いる暗号化方式以外にも、よりセキュリティレベルの高い、TKIP(Temporal Key Integrity Protocol)や、AES(Advanced Encryption Standard)といった暗号化方式を用いてもよい。これら、WEP64、WEP128、TKIP、AESは、後者に従うにつれてセキュリティレベルが高くなる。
【0036】
図3および図4は、アクセスポイント30(子機30)を新たに無線LANの中継器としてネットワークに追加する際に、アクセスポイント20(親機20)と子機30との側で夫々に行なうセキュリティ設定のための処理内容をフローチャートにより示している。ルーチンA1は、子機30のCPUが実行する処理を示し、ルーチンB1は、親機20のCPUが実行する処理を示している。なお、アクセスポイント20は既にインターネットINに接続しているとともに、無線LANの中継器として機能している状態であるとする。
【0037】
先ず、ステップS310(以下、ステップの記載を省略)において、子機30の電源ボタンを押下げることにより、子機30は、セキュリティ設定要求モードを開始する(S312)。セキュリティ設定要求モードを開始させる場合は、予め、同子機30をセキュリティ設定を要求する相手となる親機20の近傍に配置しておく。子機30においては、電源ボタンの押し下げ状態はインターフェイスを介してソフトウェアにて判別可能となっており、同電源ボタンの押し下げを検知すると、他のアクセスポイントに対して接続要求を行なうことを指示されたものと判断し、S312以下の処理を開始する。このとき、子機30において、使用する暗号化方式など何らかのセキュリティ情報が既に設定されている場合には、セキュリティ設定値の初期化を併せて行なうとしてもよい。
【0038】
S316では、子機30は、セキュリティ設定を要求する相手となる親機を検知する。当該検知は、子機30の周囲のアクセスポイントから発信されるビーコン信号を受信することで行なう。例えば、受信したビーコン信号のうち電波の強度が最も強いビーコン信号の送信元のアクセスポイントを親機として特定する。ビーコン信号の電波強度が強いほど、同ビーコン信号の発信元となったアクセスポイントはより近くに存在するとも考えられるため、ビーコン信号の電波強度を指標とすれば、周囲に無線LANの中継器として機能するアクセスポイントが複数ある場合でも、最も近くに位置するアクセスポイントを自動的に親機として選択できる。本実施形態では、アクセスポイント20の近傍に子機30を配置しているので、子機30はアクセスポイント20を自動的に親機として検知する。親機の検知はS314の処理により所定時間内に限定され、所定時間を経過したときはS336に移行してセキュリティ設定要求モードの実行を終了する。
【0039】
一方、所定時間内に親機20を検知した場合は、子機30は、アクセスポイント間無線通信に使用するチャンネル(通信周波数f)を決定する(S318)。アクセスポイント間無線通信は、全てのアクセスポイントが同じチャンネルを使用する必要があるためである。例えば子機30は、無線通信に用いる周波数帯を順次検索していき使用可能なチャンネルを一つ選択し、同選択したチャンネルを以降のアクセスポイント間無線通信に使用するチャンネルとして決定する。あるいは、親機20が既に他のアクセスポイントとの間で無線通信を行なっている場合には、親機20に対して同無線通信に使用しているチャンネルを問い合わせ、同問い合わせたチャンネルをアクセスポイント間無線通信に使用するチャンネルと決定してもよい。
【0040】
S320では、子機30は上記検知した親機20に対して接続を試みる。具体的には、無線LANに中継器として加入する旨を表すデータに同子機30のMACアドレスをヘッダ情報として付加した接続要求パケットを親機20に対して送信する。
親機20の側では、上記接続要求パケットを受信することで(S410)、無線LANに加入しようとするアクセスポイント30からセキュリティの設定処理を要求されたことを認識するので、通常の無線交信モードからセキュリティ設定モードに移行する(S412)。また、親機20は上記移行とともに、受信した接続要求パケットのヘッダ情報から子機30のMACアドレスを読取り、読取ったMACアドレスをRAM13のバッファ領域に一時的に記憶する。
S414では、親機20は、セキュリティ設定モードに移行した旨を表すデータに同親機20のMACアドレスをヘッダ情報として付加した設定モード移行完了パケットを子機30に対して送信する。
【0041】
ここで親機20は、S412でセキュリティ設定モードに移行する際に、併せて送信機25の電波の送信可能範囲を狭める処理を行ってもよい。
図7は、出力値が変更された後の送信機25における電波の送信可能範囲を、セキュリティ通信エリアMR1として示している。同セキュリティ通信エリアMR1は、既述した出力値変更プログラムの実行によって標準設定値が一時的に低減された場合に、送信機25による電波の送信が可能となる範囲である。親機20は、S410において子機30からのパケットを受信した後、出力値変更プログラムを実行して、送信機25の出力値を標準設定値の1/nに低減する処理を行なう。これにより、無線通信エリアAR1内に入っている機器であっても、セキュリティ通信エリアMR1内に入っていない場合には、アクセスポイント20から送信される設定モード移行完了パケット等の各種情報を取得できなくなる。さらに、後述するセキュリティ情報パケットの交換処理を行う間も、親機20の通信範囲を狭い範囲としておくことで、暗号鍵の内容を表すデータを乗せた電波が傍受される可能性を低くすることができる。なお、通信エリアを狭める処理を行う場合には、子機30を上記エリアMR1内に入るように予め配置した上で、同子機30の電源ボタンを押下げする必要がある。
【0042】
S322で親機20から設定モード移行完了パケットを受信した子機30は、受信したパケットのヘッダ情報から親機30のMACアドレスを読取り、RAM等に一時的に記憶する。そして、S324において、親機20とのセキュリティ情報パケットの交換処理を実行する。つまり、子機30は、S320で行なった接続要求パケット送信の反応として親機20から設定モード移行完了パケットの送信を受けた場合に、セキュリティ情報パケットの交換処理を実行する。ただし、S320での、親機20への接続の試み回数が不要に多くなることを防止するために、同試み回数に制限を与え、所定回数の試みによっても、親機20からの設定モード移行完了パケットの送信を得られない場合は、リトライオーバーとしてS336に移行してセキュリティ設定要求モードを終了するとしてもよい。
【0043】
一方、親機20は、設定モード移行完了パケットの送信後、S418において、子機30の処理に対応してセキュリティ情報を作成しつつセキュリティ情報パケットの交換処理を実行する。
セキュリティ情報パケットの交換処理を図4のS350,S450以下に示している。
【0044】
パケットの交換処理の具体的内容は次のとおりである。
サブ1.子機30から、親機20に対して、セキュリティ情報の作成リクエストを送出する。
サブ2.親機20から、子機30に対して、リクエストの要求を表すリプライを送出する。なお、親機20は、初めてセキュリティ情報の作成リクエストを受領した時点で、当該親機20が対応している暗号化方式毎に、ESSID(ステーションIDの一種)と、暗号鍵の値を決定する。ここで、アクセスポイント20が暗号化方式として、WEP64と、WEP128と、TKIPと、AESとを採用可能であるとする。この場合の例として、暗号化方式WEP64に対して「ESSID1」と「DATA1」を設定し、暗号化方式WEP128に対して「ESSID2」と「DATA2」を設定し、暗号化方式TKIPに対して「ESSID3」と「DATA3」を設定し、暗号化方式AESに対して「ESSID4」と「DATA4」を設定する。「ESSID1」〜「ESSID4]は乱数などに基づいてランダムに決定したステーションIDであり、「DATA1」〜「DATA4」は各暗号方式に対応しつつランダムに決定した値となっている。
【0045】
サブ3.子機30から、親機20に対して、子機30で対応する暗号化方式を示すデータを送出する。ここで、アクセスポイント30は暗号化方式として、WEP64と、WEP128と、TKIPとを採用可能であるとする。この場合、子機30は当該三つの暗号化方式をデータに表して送出する。
【0046】
サブ4.親機20は、受信したデータに基づいて子機30が対応可能な暗号化方式を検知できるので、同暗号化方式により自己の対応可能な暗号化方式を絞り込む。具体的には、子機30の場合は、WEP64とWEP128とTKIPとに絞り込む。そして、これらの暗号化方式毎に、親機20から、子機30に対して、既に決めておいたESSIDと暗号鍵の値を示すデータを送出する。具体的には、暗号化方式WEP64に対応させた「ESSID1」と「DATA1」と、暗号化方式WEP128に対応させた「ESSID2」と「DATA2」と、暗号化方式TKIPに対応させた「ESSID3」と「DATA3」とを送出する。
このようにして、親機20から、同親機20と自己とで共通して対応可能な各暗号化方式に対応するESSIDと暗号鍵の値を表わすデータとを受信した子機30は、かかるデータを所定の記憶領域に保存する。
【0047】
以上が、子機30におけるS350と親機20におけるS450でのセキュリティ情報パケットの交換処理である。かかるパケット交換処理は、一組の親機と子機との間では一度行えば十分である。すなわち、以降は、親機20と子機30との間では、暗号化方式や暗号鍵自体を表わすデータをやり取りする必要が無くなり、後述するように、子機30は親機20が発信するビーコン信号に基づいて、採用すべき暗号化方式を特定することができる。なお、上記パケット交換処理は相手側MACアドレスを特定した上で暗号化を行って通信している。具体的には、子機30の側で暗号化のための種(InitID)を生成して上記リクエストとともに送信しており、以後、このInitIDに基づくVPN関数を用いた暗号化と復号化とを親機20と子機30の双方で実施して通信を行なう。
【0048】
セキュリティ情報パケットの交換処理後、親機20の側では、S452において、子機30から通知された暗号化方式の中からセキュリティレベルの最高のものを選択する。子機30からは、暗号化方式としてWEP64とWEP128とTKIPとが通知され、セキュリティレベルが最も高いのはTKIPであり、これを一応の候補(今回の最高レベル)として選択する。S454では、親機20は、S452で選択した候補と、現在の最高レベルとを比較する。現在の最高レベルとは、アクセスポイント20が既にアクセスポイント間無線通信を行なっている他のアクセスポイントと共通して対応する暗号化方式の中のセキュリティレベルが最も高いものという意味である。
【0049】
初めて子機としてのアクセスポイント30とセキュリティ情報パケットの交換処理を行った時点では、同子機から通知された暗号化方式で絞り込んだ各方式の中のセキュリティレベルが最高のものが現在の最高レベルとなる。よって、この場合、現在の最高レベルと今回の最高レベルとは一致する。しかし、以降、子機を追加設定する際には、過去に登録した子機が対応可能な暗号化方式で絞り込まれたものとなっていくので、必ずしも今回の最高レベルと現在の最高レベルとは一致することにはならない。
【0050】
このS454の判断に対応し、YES(現在の最高レベルよりも高い)のときには、現在の最高レベルを維持し、NO(現在の最高レベルよりも低いか、等しい)のときには、今回の最高レベルであるS452で選択した暗号化方式を採用する。従って、子機30とのパケット交換の結果では、上述したように「等しい」の判断となり、S458にて「今回の最高レベルを採用」となるから、親機20が採用する暗号化方式はTKIPとなる。
以上の分岐は、ユーザーが選択したセキュリティポリシー(特許請求の範囲に言う、所定の判断基準に対応)を表している。ここで、セキュリティポリシーとは、親機で対応可能な暗号化方式と子機で対応可能な暗号化方式とを対比したときに、いずれの暗号化方式を採用するかを特定する指針を意味している。
【0051】
先の分岐の例では、新たに加わった子機が対応可能なセキュリティレベルの最高のものがそれまでのセキュリティレベルよりも高くないものであるとき、「セキュリティレベルを下げても、同子機がアクセスポイント間無線通信に参加できるようにする」というセキュリティポリシー(以下、ポリシー1という)を示している。言い換えれば、アクセスポイント間無線通信に参加する全てのアクセスポイントに共通する暗号化方式のうち最高レのセキュリティレベルを選択するということになる。なお、等しいと判断されたときも処理上は「高くない」場合の処理を実行するが、結果的にはS456での「現在の最高レベルを採用」と同じことになる。
【0052】
これに対して、最低のセキュリティレベルを決めておき、そのセキュリティレベル以下にはしないというセキュリティポリシー(以下、ポリシー2という)とすることもできる。この場合、S452の後で、「最低のセキュリティレベルよりも高いか等しい?」という判断のを加え、YESの場合にS452以下へ進み、NOの場合にS456へ進むようにすればよい。
【0053】
また、特別な用途を考えた場合に新たな子機のセキュリティの最高レベルまでセキュリティレベルを上げるというセキュリティポリシー(以下、ポリシー3という)とするのであれば、S456にて「現在の最高レベルを採用」する処理に代えて「今回の最高レベルを採用する」処理を実行すれば良い。
このように、アクセスポイントの追加にあたり、所定のセキュリティポリシーに基づいて暗号化方式が選択されるので、アクセスポイント間無線通信に際して採用する暗号化方式および暗号鍵の設定の煩雑さが解消される。また、セキュリティポリシーを上記のように複数用意する場合は、アクセスポイントの筺体上にハードウェアスイッチを設けておき、最初の親機となるアクセスポイントに対するスイッチ操作でセキュリティポリシーを選択できるようにしておけばよい。その結果、常にユーザーが選択するセキュリティポリシーを反映させて、暗号化方式を選択することができる。
【0054】
以上で親機20の側におけるセキュリティ情報のパケット交換処理を終了する。
図3に戻ると、親機20はS420にてパケット交換が完了したか判断し、パケット交換が完了する前にS416にて所定時間が経過したと判断された場合を除き、S422にて、上記決定したセキュリティ情報を設定する。すなわち、S456,S458にて採用することとなった暗号化方式を選択し、同暗号化方式に対応しているステーションIDと暗号鍵の値を、以後のアクセスポイント間無線通信において通信データの暗号化と復号化に採用することを決定する。また、S422では、子機30のMACアドレスの登録も行う。すなわち、アクセスポイント20は、子機30のMACアドレスを、RAM13から記憶装置14の管理領域に登録する処理を行う。
【0055】
S424において、アクセスポイント20はセキュリティ設定モードを終えて通常の無線交信モードに切り替え、無線LANの中継器として機能する状態に復帰する。ここで、上述の送信機25の電波の送信可能範囲を狭める処理を行っていた場合には、無線交信モードへの切り替えとともに、既述した出力値変更プログラムを実行して、送信機25の出力値を標準設定値に戻す処理を行なう。送信機25の出力値を標準設定値に戻した後は、送信機25が電波を送信できる範囲が通常の範囲(無線通信エリアAR1)となり、子機30等は、無線通信エリアAR1内に入っていれば、アクセスポイント20と無線通信することができる。
また、パケット交換中に所定時間が経過してしまったときもセキュリティ設定モードを終了し、無線交信モードに切り替える。この場合、アクセスポイント20は、無線LANの中継器として機能する状態に復帰することになるが、アクセスポイント30とのアクセスポイント間無線通信は行なわず、ネットワークの拡大はされない。
【0056】
このようにアクセスポイント20は採用した暗号化方式を子機30に通知することはしない。
一方、子機30の側では、セキュリティ情報パケット交換の完了後、S330にて、アクセスポイント20から受信して保存したセキュリティ情報から無線交信モードのアクセスポイント20を探索する。上述したように、アクセスポイント20から受信したセキュリティ情報というのは、暗号化方式WEP64に対応させた「ESSID1」と「DATA1」と、暗号化方式WEP128に対応させた「ESSID2」と「DATA2」と、暗号化方式TKIPに対応させた「ESSID3」と「DATA3」である。
【0057】
まず、子機30は、親機20のステーションIDを取得する。この手続はIEEE802.11の通信規格に基づいて実行されるものであり、子機30においては親機20からのビーコン信号を受信して親機20のステーションIDが取得できる。上述したようにアクセスポイント20は暗号化方式としてTKIPを採用したので、そのステーションIDは「ESSID3」である。従って、子機30はアクセスポイント20からのビーコンに基づいてそのステーションIDが「ESSID3」であることを取得し、先に受信して所定の記憶領域に保存したセキュリティ情報と対比する。対比結果として、ステーションIDが「ESSID3」であることは暗号化方式としてTKIPであることを特定するものであり、さらに暗号鍵として「DATA3」を使用することによって暗号化と復号化が実現できることを検知できる。
【0058】
S332では発見した親機20の状態に合わせて親機20から受信したセキュリティ情報を設定する。すなわち、発見したステーションIDに対応する暗号化方式(この場合、TKIP)と暗号鍵(DATA3)を、今後のアクセスポイント間無線通信における通信データの暗号化と復号化に利用することになる。また、同S322では併せて、親機20のMACアドレスを、RAMからHDなどの所定の記憶装置の管理領域に登録する処理を行う。S334では、子機30はセキュリティ設定要求モードを終えて通常の無線交信モードを開始する。その結果、アクセスポイント30も無線LANの中継器として新たにネットワークに参加することになり、アクセスポイント20との間で無線通信を行うことで、無線LANのエリアを拡大せしめる。なお、S330にてアクセスポイント20を所定時間内に探索できなかったときには、S328の判断を経て暗号化方式などを特定することなくS336に進み、セキュリティ設定要求モードを中断する。
【0059】
このように、親機20と子機30との間で互いのMACアドレスの登録と共通の暗号鍵の取得によるセキュリティ設定を行なうことで、以降の通常の無線交信モードにおいて、親機20と子機30とは所定のセキュリティ環境下で互いにアクセスポイント間無線通信を行なうことが可能となる。また、子機30が無線LANの中継器として追加されたため、親機20と子機30とのいずれかの無線通信エリアAR1,2内に存在する端末は、無線LANに接続することが可能となる。なお、アクセスポイント間無線通信は、S318で特定したチャンネルを使用し、アクセスポイントがさらに追加された場合も、全てのアクセスポイントがアクセスポイント間無線通信に同チャンネルを使用するものとする。
【0060】
次に、無線LANのエリアをさらに拡大すべく、上記のようにアクセスポイント30が追加設定された状態で、アクセスポイント20を親機として、さらにアクセスポイント40(子機40)を追加設定する場合について説明する。この場合、基本的には、子機40は図3に示したルーチンA1の処理を行い、親機20はルーチンB1の処理を再度行うことになる。
図5は図3に示す親機20側の処理のなかで子機40からのセキュリティ設定要求に対応して処理内容が変化するステップを特に示したものである。
【0061】
子機40を追加設定するにあたり、子機40と親機20とがそれぞれS350,S450にてパケットの交換処理を行う。ここでは、子機40が対応する暗号化方式はWEP64とWEP128であると仮定して説明を行なう。
サブ1.子機40から、アクセスポイント20に対して、セキュリティ情報の作成リクエストを送出する。
サブ2.アクセスポイント20から、子機40に対して、リクエストの要求を表すリプライを送出する。なお、アクセスポイント20は、既に子機30からのリクエスト受信時に上述した暗号化方式毎のステーションIDと暗号鍵とを決定している。
サブ3.子機40から、アクセスポイント20に対して、子機40で対応する暗号化方式を示すデータを送出する。この場合、子機40はWEP64と、WEP128とに対応しており、これら二つの暗号化方式をデータに表して送出する。
【0062】
サブ4.アクセスポイント20は、受信したデータに基づいて子機40が対応可能な暗号化方式を検知し、同暗号化方式により自己の対応可能な暗号化方式を絞り込む。具体的には、子機40の場合は、WEP64とWEP128に絞り込まれる。そして、これらの暗号化方式毎に、アクセスポイント20から、子機40に対して、暗号化方式WEP64に対応させた「ESSID1」と「DATA1」と、暗号化方式WEP128に対応させた「ESSID2」と「DATA2」とを送出する。
【0063】
すなわち、子機40は、子機30の場合と異なり、パケットの交換処理の結果、暗号化方式WEP64に対応させた「ESSID1」と「DATA1」と、暗号化方式WEP128に対応させた「ESSID2」と「DATA2」だけを受信し、所定の記憶領域に保存することになる。
アクセスポイント20は、子機40が対応している暗号方式がWEP64とWEP128だけであることを検知し、S452にてその中での最高の暗号化(セキュリティ)レベルのWEP128を選択して今回の最高レベルとし、S454にて現在採用している最高レベルのものと比較する。上述したように現在の最高レベルのものはTKIPであるから、S454の判断では現在の最高レベルよりも低いと判断され、S458にて今回の最高レベルであるWEP128を採用することになる。
【0064】
この結果、親機20はS422において、暗号化方式WEP128を採用し、さらにステーションIDは「ESSID2」に変化させ、暗号鍵も「DATA2」とする。そして、S424にて無線交信モードに切り替える。
子機40は、上述した子機30の場合と同様に、アクセスポイント20のビーコンからステーションIDを取得し、受信したセキュリティ情報に基づいて一致するステーションIDの暗号化方式と暗号鍵を採用し(S330,332)、S334にて無線交信モードに移行する。
【0065】
ここで、子機40の追加によってアクセスポイント間無線通信で採用する暗号化方式が変更となった場合、それまで親機20との間で暗号化方式TKIPを採用していた上記子機30は親機20との通信を維持できなくなってしまう。そこで、本実施形態では、一度親機との間でセキュリティ設定を行い通常の無線交信モードを開始している子機においては、以下のように、アクセスポイント間無線通信で採用する暗号化方式の変更に対して自動的に追従できるようにしている。
【0066】
図6は、子機30側における無線交信モード中の接続監視処理を示している。なお、図中の波線部分は他の処理が存在することを前提に関連の深い処理だけを示しているに過ぎない。
子機30は、S324にてセキュリティ情報パケット交換の処理を実施し、S334にて無線交信モードに移行した状態で、S360〜S366の接続監視処理を実行する。すなわち、S360では予め決定しておいた接続監視間隔が経過していないか判断し、経過したと判断したらS362にて親機20との接続状態が維持されているか否かを判断する。言い換えれば、一定時間間隔ごとに親機20との接続が維持されているかを判断することになる。維持されていれば再度S360に戻るので、接続中は一定時間毎に同じ処理を繰り返すことになる。
【0067】
一方、アクセスポイント20との接続が維持されていない場合は、S364にて、受信したアクセスポイント20のビーコン信号からアクセスポイント20のステーションIDを取得し、同ステーションIDと、先にアクセスポイント20から受信しているセキュリティ情報のステーションIDとを対比する。そして、一致するものがあればアクセスポイント20はステーションIDを変化させて暗号化方式を変更しつつ無線交信モードとなっていることを検知することができる。つまり、子機40の追加設定によって親機20のステーションIDが「ESSID2」に変化したので、「ESSID3」をステーションIDとしていた接続状態は維持されていない。この結果、子機30は、S364にて受信できるアクセスポイント20のビーコンからアクセスポイント20のステーションIDが「ESSID2」に変化したことを検知する。そして、同ステーションIDによって、暗号化方式としてWEP128が採用されるとともに暗号鍵は「DATA2」であることを検知し、これらの情報を設定する(S366)。
【0068】
また、無線LANのエリアを拡大するという意味では、親機の役割を果たすのはアクセスポイント20に限られない。例えば、アクセスポイント20に対してセキュリティ設定の要求を行なうことで無線LANの中継器として追加設定されたアクセスポイント30を親機として、アクセスポイント40を追加設定することも考えられる。
この場合、図1とは異なり、アクセスポイント30の近傍に子機としてのアクセスポイント40を置き、同アクセスポイント40の電源ボタンを押下げしてセキュリティ設定要求モードを開始させる。一方、アクセスポイント30は、子機40からの働きかけに応じて、無線交信モードからセキュリティ設定モードへと移行する。すなわち、アクセスポイント30が、図3におけるルーチンB1および図4における親機20の側に対応する処理を実行し、子機40が、図3のルーチンA1および図4の子機30の側に対応する処理を実行することになる。当該処理において、上述の図3,4の説明と相違する点について述べると次のようになる。
【0069】
S350,450のセキュリティ情報パケットの交換処理において、アクセスポイント30が子機40に対して送出する、自己と子機40とで共通して対応可能な暗号化方式毎のステーションIDと暗号鍵を表すデータは、より上位の親機であるアクセスポイント20とのパケット交換の際に送信を受けて取得したものである。すなわち、より上位の親機が存在する場合は、上位の親機が生成した各暗号化方式毎のステーションIDと暗号鍵とを子機に配布する。ただし、アクセスポイント20〜40夫々の対応可能な暗号化方式の違いによっては、アクセスポイント30は、子機40とで共通して対応可能な暗号化方式の全てについてはアクセスポイント20からステーションIDと暗号鍵を表すデータとを受け取っていない場合もある。かかる場合は、アクセスポイント30は、子機40と共通して対応可能な暗号化方式のうち、アクセスポイント20からステーションIDと暗号鍵を表すデータとを受け取っている方式について、子機40にステーションIDと暗号鍵を表すデータとを送出する。
【0070】
また、アクセスポイント30がS454で選択する現在の最高レベルとは、自己と上位の親機であるアクセスポイント20とが共通して対応可能な暗号化方式の中の最高のセキュリティレベルの方式を指す。
かかる処理の結果、アクセスポイント30は、アクセスポイント20〜40で共通して対応可能な暗号化方式を一つ選択し、以後、無線交信モードにおいて同暗号化方式に対応するステーションIDと暗号鍵とを採用することになる。子機40の側においては、アクセスポイント30のビーコンからステーションIDを取得し、アクセスポイント30から受信したセキュリティ情報に基づいて一致するステーションIDの暗号化方式と暗号鍵を採用し(S330,332)、S334にて無線交信モードに移行することになる。さらに、アクセスポイント20の側では、上述の接続監視処理を実行することで、アクセスポイント30,40間の処理によって採用する暗号化方式が変更になった場合でも、同変更に追従することができる。
【0071】
このように、本発明によれば、ネットワークに追加しようとするアクセスポイントの電源ボタンを押下げると、同子機からの要求に基づいて、無線LANの中継器として機能している親機としてのアクセスポイントが自動的にアクセスポイント間無線通信のためのセキュリティ情報を設定し、上記子機は親機が設定したセキュリティ情報を検知して自己も同じセキュリティ設定を行う。そのため、従来のように各アクセスポイント毎に手入力でセキュリティの設定を行なっていた場合と比較すると、アクセスポイント間無線通信のためのセキュリティ設定が飛躍的に容易となる。
特に、アクセスポイントが追加される度に各アクセスポイントに対して手入力でセキュリティ設定を行なうことは煩雑極まりなく、また一般のユーザにとっては困難な作業であった。しかし本願は、追加対象となるアクセスポイントの電源ボタンを押すだけで、ネットワークに参加する各アクセスポイントで採用可能なセキュリティ環境に自動的に更新、設定されるため、無線LANのエリアの拡大が非常に容易である。
【0072】
また、ある子機からの要求に応じてセキュリティ設定処理を行った親機は、同子機とは別に、既にアクセスポイント間無線通信のネットワークを互いに構築しているアクセスポイントが存在する場合には、同子機に対して当該別のアクセスポイントのMACアドレスにかかるデータを自動的に送信するとしてもよい。当該送信を行なうタイミングは種々考えられるが、無線交信モードに切替えた後に行なえば、親機は上記MACアドレスにかかるデータを暗号化して子機に送信できるため、同データの漏洩が防がれる。また、同親機は、上記セキュリティ設定を行なった子機のMACアドレスにかかるデータを、上記別のアクセスポイントに対して送信する処理も併せて行うとしてもよい。当該処理を実行すれば、アクセスポイント間無線通信を行なう各アクセスポイントにおいて互いの識別情報であるMACアドレスを登録できる。そのため、従来のように、アクセスポイント間無線通信を行なう相手の識別情報を、アクセスポイントが追加されるたびに各アクセスポイント毎に手入力で登録するという必要が無くなり、セキュリティ設定の容易性およびネットワークの拡大の容易性が飛躍的に上がる。
【0073】
さらに、本実施形態においては、親機としてのアクセスポイントは子機に対して、採用した暗号化方式を特に通知することはせず、子機は親機の発信するステーションIDだけから暗号化方式と暗号鍵を特定できる。従って、アクセスポイントの追加に伴って暗号化方式を変化するときにも全アクセスポイントに暗号化方式を通知する必要がなくなり、セキュリティ上のメリットがある。
【0074】
3.他の実施例
図8は、アクセスポイント30(子機30)を新たに無線LANの中継器としてネットワークに追加する際に、アクセスポイント20(親機20)と子機30との側で夫々に行なうセキュリティ設定のための処理内容であって、図3とは別の例を示している。ルーチンA2は、子機30のCPUが実行する処理を示し、ルーチンB2は、親機20のCPUが実行する処理を示している。なお、図3と処理内容が変わらないステップについては、図3と同じステップ番号で表示している。
当該他の実施例においては、各アクセスポイントには、上記電源ボタンとは別に、所定のセキュリティ設定開始用ボタンが筐体表面に露出した状態で設けられているものとする。
【0075】
ここでは、図3と異なる部分について説明する。
図8においては、子機30の側で電源ボタンを押下げるとともに(S310)、親機20の側でも、上記セキュリティ設定開始用ボタンを押下げる(S402)。親機20は、セキュリティ設定開始用ボタンの押し下げをインターフェイスを介してソフトウェアにて判別可能となっており、同押し下げを検知すると、セキュリティ設定モードへ移行する(S404)。つまり同図では、親機20は他のアクセスポイントからの要求を受けてセキュリティ設定モードに移行するのではなく、セキュリティ設定開始用ボタンの押下げをトリガーとして自らセキュリティ設定モードを開始する。セキュリティ設定モードへ移行した際に、上述したように送信機25の出力範囲を狭める処理を併せて行ってもよい。
【0076】
S408では、親機20は、セキュリティ設定モードに移行した旨を表す特定の検知用信号を送信する処理を行う。かかる検知用信号は、アクセスポイント間無線通信に使用するチャンネルとして予め定めておいたチャンネルで送信する。あるいは、親機20が既に他のアクセスポイントとアクセスポイント間無線通信を行なっていた場合は、同無線通信に使用しているチャンネルで上記検知用信号を送信する。親機20は、上記検知用信号を無線通信エリアAR1(あるいは、セキュリティ通信エリアMR1)内に存在する全ての無線LAN用装置に対して、つまり、送信先を特定することなく送信(ブロードキャスト送信)する。
【0077】
子機30の側では、セキュリティ設定要求モードの開始後、S550において親機を検知する。具体的には、親機20が送信した上記検知用信号を受信することで、セキュリティ設定モードに移行している親機20の存在を検知する。このように、本実施例では、ユーザが親機として選択してセキュリティ設定開始用ボタンを押下げしたアクセスポイントから、上記検知用信号を送信させるとともに、子機の側では同検知用信号を受信した場合に同信号の送信元を親機として特定する。そのため、子機はユーザが親機として選択したアクセスポイントに対して確実にアクセスすることができ、ユーザが選択したものとは別のアクセスポイントを親機としてアクセスすることが防がれる。
S552では、子機30は、アクセスポイント間無線通信に使用するチャンネルを決定する。上記検知用信号自体がアクセスポイント間無線通信に使用するチャンネルによって送信されているため、同検知用信号の通信周波数に従って、同チャンネルを決定する。
【0078】
このようにして親機30を検知したら、子機30は親機20に対して、無線LANに中継器として加入する旨を表すデータに同子機30のMACアドレスをヘッダ情報として付加した接続要求パケットを送信し、接続を試みる(S320)。S554においては、かかる接続の試み回数が不要に多くなることを防止するため、所定回数を超えていればリトライオーバーとしてステップS336に移行してセキュリティ設定要求モードの実行を終了する。子機30は、リトライオーバーとなることなくアクセスポイント20に接続できると、アクセスポイント20とセキュリティ情報パケットの交換処理を実施する。一方、既にセキュリティ設定モードに移行している親機20の側では、上記接続要求パケットを受信することで(S410)、無線LANに加入しようとするアクセスポイント30を特定できる。このとき親機20は、受信した接続要求パケットのヘッダ情報から子機30のMACアドレスを取得し、同MACアドレスをRAM13のバッファ領域に一時的に記憶する。
【0079】
以降、子機30は図3と同様にS324以下の処理を、親機20はS418以下の処理を実行することで、セキュリティ情報パケットの交換を行い、共通のセキュリティ情報を設定することになる。その結果、無線交信モードに移行し無線LANの中継器として機能するアクセスポイント20,30は、所定のセキュリティ環境下、上記決定したチャンネルを使用して、アクセスポイント間通信を行なうことができる。
【図面の簡単な説明】
【0080】
【図1】本発明の無線LANにおけるセキュリティ設定を実現するためのハードウェア構成例を示す説明図である。
【図2】アクセスポイントの構成を示す説明図である。
【図3】セキュリティ設定の手順を示すフローチャートである。
【図4】パケット交換の処理と暗号化方式の決定手順を示すフローチャートである。
【図5】アクセスポイントの追加の処理を示すフローチャートである。
【図6】接続監視処理の手順を示すフローチャートである。
【図7】出力値が変更された後の送信機における電波の送信可能範囲を示す説明図である。
【図8】他の実施例における、セキュリティ設定の手順を示すフローチャートである。
【符号の説明】
【0081】
11…CPU
12…ROM
13…RAM
14…記憶装置
15…ディスプレイコントローラ
16…入出力コントローラ
17…WANポート
18…無線通信インタフェース
20,30,40…アクセスポイント
21…電源ボタン
22…LANポート
25…送信機
26…受信機
28…ルータ
50,60…端末
52,62…無線LANアダプタ
AR1,AR2,AR3…無線通信エリア
MR1…セキュリティ通信エリア
【特許請求の範囲】
【請求項1】
無線LAN用の中継器としての機能を発揮可能な複数のアクセスポイント間で無線通信を行なうに際して、所定のセキュリティが確保された同無線通信のネットワークを設定する無線LAN接続システムであって、
第一のアクセスポイントは、第二のアクセスポイントを検知する接続先アクセスポイント検知手段と、上記検知した第二のアクセスポイントに対して同第一のアクセスポイントが対応可能な無線通信データを暗号化する際に用いる暗号化方式を無線で伝える接続要求側方式伝達手段と、上記第二のアクセスポイントが採用した暗号化方式を検知し、同検知した暗号化方式を選択する接続要求側方式選択手段とを備え、
上記第二のアクセスポイントは、上記第一のアクセスポイントと共通して対応可能な暗号化方式の中から、所定の判断基準に従って所定の暗号化方式を選択して採用する被接続要求側方式選択手段を備えることを特徴とする無線LAN接続システム。
【請求項2】
上記接続先アクセスポイント検知手段は、周囲のアクセスポイントが送信するビーコン信号を受信するとともに、受信したビーコン信号のうち電波強度が最も強いビーコン信号を送信するアクセスポイントを上記第二のアクセスポイントと特定することを特徴とする請求項1に記載の無線LAN接続システム。
【請求項3】
上記第二のアクセスポイントは、無線通信範囲に存在する無線LAN用装置に対して所定の検知用信号を送信する検知用信号送信手段を有し、
上記接続先アクセスポイント検知手段は、同検知用信号を受信した場合に、同検知用信号を送信するアクセスポイントを上記第二のアクセスポイントと特定することを特徴とする請求項1に記載の無線LAN接続システム。
【請求項4】
上記被接続要求側方式選択手段は、少なくとも第一および第二のアクセスポイントを含む無線通信を行なうアクセスポイント間で共通して対応可能な方式であって最もセキュリティレベルの高い暗号化方式を選択することを特徴とする請求項1〜請求項3のいずれかに記載の無線LAN接続システム。
【請求項5】
上記第二のアクセスポイントは、上記第一のアクセスポイントと共通して対応可能な暗号化方式の夫々において利用する暗号鍵を決定するとともに、同共通の暗号化方式と同暗号化方式の夫々において利用する暗号鍵とを第一のアクセスポイントに無線で伝える暗号鍵伝達手段を有し、
上記第一のアクセスポイントは、上記伝えられた暗号化方式毎の暗号鍵を所定の記憶領域に保存する接続要求側暗号鍵保存手段を有することを特徴とする請求項1〜請求項4のいずれかに記載の無線LAN接続システム。
【請求項6】
上記暗号鍵伝達手段は、上記共通の暗号化方式と同共通の暗号化方式の夫々において利用する暗号鍵とを第一のアクセスポイントに無線で伝える処理を、上記接続要求側方式伝達手段によって暗号化方式を伝えられた際に一度だけ行うことを特徴とする請求項5に記載の無線LAN接続システム。
【請求項7】
上記暗号鍵伝達手段は、第二のアクセスポイントが対応可能な暗号化方式の夫々に異なったステーションIDを特定し、上記共通の暗号化方式の夫々ごとに上記特定したステーションIDを上記暗号鍵とともに第一のアクセスポイントに無線で伝え、
上記接続要求側方式選択手段は、第二のアクセスポイントからステーションIDを取得し、予め上記接続要求側暗号鍵保存手段によって保存しておいたステーションIDと一致するものがあるときに同ステーションIDに対応した暗号化方式と暗号鍵とを採用することを特徴とする請求項5または請求項6のいずれかに記載の無線LAN接続システム。
【請求項8】
上記第一のアクセスポイントと第二のアクセスポイントとの間の無線通信範囲を通常の通信範囲よりも狭める通信範囲限定手段を有し、
上記暗号鍵伝達手段は、上記通信範囲限定手段により無線通信範囲が狭められたとき、無線通信範囲内に存在する上記第一のアクセスポイントに対して、上記暗号鍵の内容を表わす暗号鍵データを無線で送信することを特徴とする請求項5〜請求項7のいずれかに記載の無線LAN接続システム。
【請求項9】
上記第二のアクセスポイントは、第一のアクセスポイントとの通信を介して取得した同第一のアクセスポイントの固有の識別情報を、上記無線通信のネットワークを構築している他のアクセスポイントに対して通知するとともに、自己および同他のアクセスポイントの夫々の固有の識別情報を第一のアクセスポイントに通知することを特徴とする請求項1〜請求項8のいずれかに記載の無線LAN接続システム。
【請求項10】
無線LAN用の中継器としての機能を発揮可能な複数のアクセスポイント間で無線通信を行なうに際して、所定のセキュリティが確保された同無線通信のネットワークを設定する無線LAN接続方法であって、
第一のアクセスポイントは、第二のアクセスポイントを検知し、上記検知した第二のアクセスポイントに対して同第一のアクセスポイントが対応可能な無線通信データを暗号化する際に用いる暗号化方式を無線で伝え、
上記第二のアクセスポイントは、第一のアクセスポイントと共通して対応可能な暗号化方式の中から所定の判断基準に従って所定の暗号化方式を選択して採用し、
上記第一のアクセスポイントは、第二のアクセスポイントが採用した暗号化方式を検知し、同検知した暗号化方式を選択することを特徴とする無線LAN接続方法。
【請求項11】
無線LAN用の中継器としての機能を発揮可能なアクセスポイントであって、
自己以外のアクセスポイントに対して所定の接続要求を行なうことを指示された場合に他のアクセスポイントを検知する接続先アクセスポイント検知手段と、同検知した他のアクセスポイントに対して自己が対応可能な無線通信データを暗号化する際に用いる暗号化方式を無線で伝える接続要求側方式伝達手段と、同検知した他のアクセスポイントが採用した暗号化方式を検知し同検知した暗号化方式を採用する接続要求側方式選択手段とを備え、
さらに、自己以外のアクセスポイントから所定の接続要求を受けた場合に、同要求を行なったアクセスポイントが無線で伝えてきた同要求を行なったアクセスポイントが対応可能な暗号化方式であって、かつ自己が対応可能な暗号化方式の中から、所定の判断基準に従って所定の暗号化方式を選択して採用する被接続要求側方式選択手段を備えることを特徴とするアクセスポイント。
【請求項1】
無線LAN用の中継器としての機能を発揮可能な複数のアクセスポイント間で無線通信を行なうに際して、所定のセキュリティが確保された同無線通信のネットワークを設定する無線LAN接続システムであって、
第一のアクセスポイントは、第二のアクセスポイントを検知する接続先アクセスポイント検知手段と、上記検知した第二のアクセスポイントに対して同第一のアクセスポイントが対応可能な無線通信データを暗号化する際に用いる暗号化方式を無線で伝える接続要求側方式伝達手段と、上記第二のアクセスポイントが採用した暗号化方式を検知し、同検知した暗号化方式を選択する接続要求側方式選択手段とを備え、
上記第二のアクセスポイントは、上記第一のアクセスポイントと共通して対応可能な暗号化方式の中から、所定の判断基準に従って所定の暗号化方式を選択して採用する被接続要求側方式選択手段を備えることを特徴とする無線LAN接続システム。
【請求項2】
上記接続先アクセスポイント検知手段は、周囲のアクセスポイントが送信するビーコン信号を受信するとともに、受信したビーコン信号のうち電波強度が最も強いビーコン信号を送信するアクセスポイントを上記第二のアクセスポイントと特定することを特徴とする請求項1に記載の無線LAN接続システム。
【請求項3】
上記第二のアクセスポイントは、無線通信範囲に存在する無線LAN用装置に対して所定の検知用信号を送信する検知用信号送信手段を有し、
上記接続先アクセスポイント検知手段は、同検知用信号を受信した場合に、同検知用信号を送信するアクセスポイントを上記第二のアクセスポイントと特定することを特徴とする請求項1に記載の無線LAN接続システム。
【請求項4】
上記被接続要求側方式選択手段は、少なくとも第一および第二のアクセスポイントを含む無線通信を行なうアクセスポイント間で共通して対応可能な方式であって最もセキュリティレベルの高い暗号化方式を選択することを特徴とする請求項1〜請求項3のいずれかに記載の無線LAN接続システム。
【請求項5】
上記第二のアクセスポイントは、上記第一のアクセスポイントと共通して対応可能な暗号化方式の夫々において利用する暗号鍵を決定するとともに、同共通の暗号化方式と同暗号化方式の夫々において利用する暗号鍵とを第一のアクセスポイントに無線で伝える暗号鍵伝達手段を有し、
上記第一のアクセスポイントは、上記伝えられた暗号化方式毎の暗号鍵を所定の記憶領域に保存する接続要求側暗号鍵保存手段を有することを特徴とする請求項1〜請求項4のいずれかに記載の無線LAN接続システム。
【請求項6】
上記暗号鍵伝達手段は、上記共通の暗号化方式と同共通の暗号化方式の夫々において利用する暗号鍵とを第一のアクセスポイントに無線で伝える処理を、上記接続要求側方式伝達手段によって暗号化方式を伝えられた際に一度だけ行うことを特徴とする請求項5に記載の無線LAN接続システム。
【請求項7】
上記暗号鍵伝達手段は、第二のアクセスポイントが対応可能な暗号化方式の夫々に異なったステーションIDを特定し、上記共通の暗号化方式の夫々ごとに上記特定したステーションIDを上記暗号鍵とともに第一のアクセスポイントに無線で伝え、
上記接続要求側方式選択手段は、第二のアクセスポイントからステーションIDを取得し、予め上記接続要求側暗号鍵保存手段によって保存しておいたステーションIDと一致するものがあるときに同ステーションIDに対応した暗号化方式と暗号鍵とを採用することを特徴とする請求項5または請求項6のいずれかに記載の無線LAN接続システム。
【請求項8】
上記第一のアクセスポイントと第二のアクセスポイントとの間の無線通信範囲を通常の通信範囲よりも狭める通信範囲限定手段を有し、
上記暗号鍵伝達手段は、上記通信範囲限定手段により無線通信範囲が狭められたとき、無線通信範囲内に存在する上記第一のアクセスポイントに対して、上記暗号鍵の内容を表わす暗号鍵データを無線で送信することを特徴とする請求項5〜請求項7のいずれかに記載の無線LAN接続システム。
【請求項9】
上記第二のアクセスポイントは、第一のアクセスポイントとの通信を介して取得した同第一のアクセスポイントの固有の識別情報を、上記無線通信のネットワークを構築している他のアクセスポイントに対して通知するとともに、自己および同他のアクセスポイントの夫々の固有の識別情報を第一のアクセスポイントに通知することを特徴とする請求項1〜請求項8のいずれかに記載の無線LAN接続システム。
【請求項10】
無線LAN用の中継器としての機能を発揮可能な複数のアクセスポイント間で無線通信を行なうに際して、所定のセキュリティが確保された同無線通信のネットワークを設定する無線LAN接続方法であって、
第一のアクセスポイントは、第二のアクセスポイントを検知し、上記検知した第二のアクセスポイントに対して同第一のアクセスポイントが対応可能な無線通信データを暗号化する際に用いる暗号化方式を無線で伝え、
上記第二のアクセスポイントは、第一のアクセスポイントと共通して対応可能な暗号化方式の中から所定の判断基準に従って所定の暗号化方式を選択して採用し、
上記第一のアクセスポイントは、第二のアクセスポイントが採用した暗号化方式を検知し、同検知した暗号化方式を選択することを特徴とする無線LAN接続方法。
【請求項11】
無線LAN用の中継器としての機能を発揮可能なアクセスポイントであって、
自己以外のアクセスポイントに対して所定の接続要求を行なうことを指示された場合に他のアクセスポイントを検知する接続先アクセスポイント検知手段と、同検知した他のアクセスポイントに対して自己が対応可能な無線通信データを暗号化する際に用いる暗号化方式を無線で伝える接続要求側方式伝達手段と、同検知した他のアクセスポイントが採用した暗号化方式を検知し同検知した暗号化方式を採用する接続要求側方式選択手段とを備え、
さらに、自己以外のアクセスポイントから所定の接続要求を受けた場合に、同要求を行なったアクセスポイントが無線で伝えてきた同要求を行なったアクセスポイントが対応可能な暗号化方式であって、かつ自己が対応可能な暗号化方式の中から、所定の判断基準に従って所定の暗号化方式を選択して採用する被接続要求側方式選択手段を備えることを特徴とするアクセスポイント。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2006−50372(P2006−50372A)
【公開日】平成18年2月16日(2006.2.16)
【国際特許分類】
【出願番号】特願2004−230271(P2004−230271)
【出願日】平成16年8月6日(2004.8.6)
【出願人】(390040187)株式会社バッファロー (378)
【Fターム(参考)】
【公開日】平成18年2月16日(2006.2.16)
【国際特許分類】
【出願日】平成16年8月6日(2004.8.6)
【出願人】(390040187)株式会社バッファロー (378)
【Fターム(参考)】
[ Back to top ]