無線LAN用アクセスポイント、プログラムおよび記録媒体
【課題】複数台の端末間において信号を中継する機能を有する無線LAN用アクセスポイント(AP)において、そのAPとそれに無線接続されるべき各端末とに共通のセキュリティレベルを有する暗号化方式を選択する技術を改善する。
【解決手段】AP10は、(a)共通のハウジングと、(b)そのハウジング内に収容された複数の論理的または物理的なサブAPであって、それぞれが固有の識別子を有して互いに識別可能であるとともに、それぞれが互いに独立して動作可能であるものとを含む。それらサブAPは複数の通常サブAP1,2,3を有し、各通常サブAPは、その使用中に各通常サブAPが対応可能である少なくとも1つの暗号化方式SecTypeを有する。各通常サブAPは、前記少なくとも1つの暗号化方式が、各通常サブAPごとにセキュリティレベルが最高である暗号化方式の種類が各通常サブAPごとに異なるように、予め割り当てられている。
【解決手段】AP10は、(a)共通のハウジングと、(b)そのハウジング内に収容された複数の論理的または物理的なサブAPであって、それぞれが固有の識別子を有して互いに識別可能であるとともに、それぞれが互いに独立して動作可能であるものとを含む。それらサブAPは複数の通常サブAP1,2,3を有し、各通常サブAPは、その使用中に各通常サブAPが対応可能である少なくとも1つの暗号化方式SecTypeを有する。各通常サブAPは、前記少なくとも1つの暗号化方式が、各通常サブAPごとにセキュリティレベルが最高である暗号化方式の種類が各通常サブAPごとに異なるように、予め割り当てられている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、複数台の端末と共同して無線LAN(Local Area Network)を構築し、前記複数台の端末間において信号を中継する機能を有する無線LAN用アクセスポイントに関し、特に、その無線LAN用アクセスポイントとそれに無線接続されるべき各端末とに共通のセキュリティレベルを有する暗号化方式を選択する技術の改良に関する。
【背景技術】
【0002】
互いに離れて位置する複数台の端末(例えば、パーソナルコンピュータPC、携帯情報端末PDAの如き携帯端末、コンピュータを備えた情報処理装置など)間における無線通信を可能にする技術として無線LAN(Local Area Network)が既に普及している。
【0003】
この無線LANは、複数台の端末(子機)が、それら端末に共通のアクセスポイント(親機)に無線接続されることによって構築され、この無線LANにおいては、アクセスポイントが、複数台の端末間において信号を中継する機能を果たす。
【0004】
一方、この無線LANに参加する各端末のユーザは、同じ無線LANに参加する他の端末との通信をセキュアな環境において行いたいと要望する場合がある。この要望を満たすために、例えば特許文献1および2に開示されているように、無線LANにおいて、アクセスポイントと各端末との間において暗号化通信が行われる。
【特許文献1】特開2005−175524号公報
【特許文献2】特開2005−311653号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
無線LANにおいて、アクセスポイントと各端末との間において暗号化通信を行うためには、その開始に先立ち、それらアクセスポイントと各端末とのそれぞれにつき、それらに共通のセキュリティレベルを有する暗号化方式を設定しなければならない。
【0006】
一方、同じアクセスポイントに参加する複数台の端末が、常に、暗号化のためのプロファイル(各端末が対応可能である複数のセキュリティレベルのうち最高のものを意味する暗号化能力に関する条件を含む。)に関して互いに共通するとは限らない。なぜなら、暗号化能力が低い端末(例えば、ゲーム機)と、暗号化能力が高い端末(例えば、PC)とが、同じアクセスポイントを共有する場合があるからである。
【0007】
同じアクセスポイントに参加しようとする複数台の端末が暗号化能力に関して互いに一致しない場合には、それら端末がそれぞれ最終的に採用することになるセキュリティレベルが、それら端末のうち最低の暗号化能力を有する端末の暗号化能力を表すセキュリティレベルに一律に低下させられてしまう。
【0008】
以上説明した事情を背景にして、本発明は、複数台の端末と共同して無線LANを構築し、前記複数台の端末間において信号を中継する機能を有する無線LAN用アクセスポイントにおいて、その無線LAN用アクセスポイントとそれに無線接続されるべき各端末とに共通のセキュリティレベルを有する暗号化方式を選択する技術を改良することを課題としてなされたものである。
【課題を解決するための手段】
【0009】
本発明によれば、上記課題を解決するために、複数台の端末と共同して無線LANを構築し、前記複数台の端末間において信号を中継する機能を有する無線LAN用アクセスポイントであって、(a)共通のハウジングと、(b)そのハウジング内に収容された複数の論理的または物理的なサブアクセスポイントであって、それぞれが互いに独立して動作可能であるものとを含み、それらサブアクセスポイントは、複数の通常サブアクセスポイントを含み、各通常サブアクセスポイントは、その使用中に各通常サブアクセスポイントが対応可能である少なくとも1つの暗号化方式を有し、各通常サブアクセスポイントには、前記少なくとも1つの暗号化方式が、各通常サブアクセスポイントごとにセキュリティレベルが最高である暗号化方式の種類が各通常サブアクセスポイントごとに異なるように、予め割り当てられているものが提供される。
【0010】
本発明によって下記の各態様が得られる。各態様は、項に区分し、各項には番号を付し、必要に応じて他の項の番号を引用する形式で記載する。これは、本発明が採用し得る技術的特徴の一部およびそれの組合せの理解を容易にするためであり、本発明が採用し得る技術的特徴およびそれの組合せが以下の態様に限定されると解釈すべきではない。すなわち、下記の態様には記載されていないが本明細書には記載されている技術的特徴を本発明の技術的特徴として適宜抽出して採用することは妨げられないと解釈すべきなのである。
【0011】
さらに、各項を他の項の番号を引用する形式で記載することが必ずしも、各項に記載の技術的特徴を他の項に記載の技術的特徴から分離させて独立させることを妨げることを意味するわけではなく、各項に記載の技術的特徴をその性質に応じて適宜独立させることが可能であると解釈すべきである。
【0012】
(1) 複数台の端末と共同して無線LAN(Local Area Network)を構築し、前記複数台の端末間において信号を中継する機能を有する無線LAN用アクセスポイントであって、
複数の論理的または物理的なサブアクセスポイントであって、それぞれが固有の識別子を有して互いに識別可能であるとともに、それぞれが互いに独立して動作可能であるものを含み、
それらサブアクセスポイントは、複数の通常サブアクセスポイントを含み、
各通常サブアクセスポイントは、その使用中に各通常サブアクセスポイントが対応可能である少なくとも1つの暗号化方式を有し、
各通常サブアクセスポイントには、前記少なくとも1つの暗号化方式が、各通常サブアクセスポイントごとにセキュリティレベルが最高である暗号化方式の種類が各通常サブアクセスポイントごとに異なるように、予め割り当てられている
無線LAN用アクセスポイント。
【0013】
この無線LAN用アクセスポイントは、採用可能な暗号化方式の種類に関して互いに独立した複数の通常サブアクセスポイントを有し、それら通常サブアクセスポイントには、それぞれ暗号化能力が互いに異なるように、各通常サブアクセスポイントがその使用中に対応可能である暗号化方式(すなわち、ユーザが各通常サブアクセスポイントを見たときに、各通常サブアクセスポイントが対応可能である暗号化方式であり、各通常サブアクセスポイントが、出荷以前において、潜在的に対応可能である暗号化方式ではない)が予め割り当てられている。
【0014】
したがって、ある端末(例えば、当該無線LAN用アクセスポイントが属する無線LANにこれから参加しようとする新規端末)が最終的に採用することになる暗号化方式を、当該無線LAN用アクセスポイントと共通する暗号化方式として選択しようとする際に、前記複数の通常サブアクセスポイントのうち、その端末の暗号化能力に見合った暗号化能力を有するものを、その端末が無線接続すべき通常サブアクセスポイントとして選択することができる。
【0015】
ユーザが、他の端末についても同様にして通常サブアクセスポイントを選択するようにすれば、暗号化能力が大きく異なる複数台の端末が同じ通常サブアクセスポイントに接続されることが回避される。その結果、複数台の端末を当該無線LAN用アクセスポイントに接続することが必要である場合に、それら端末がそれぞれ最終的に採用することになる暗号化方式のセキュリティレベルが、それら端末のうち暗号化能力が最低であるものの暗号化能力に対応するセキュリティレベルに低下せずに済む。
【0016】
また、ユーザは、暗号化能力が大きく異なる複数台の端末を当該無線LAN用アクセスポイントに接続することが必要である場合には、それら端末を、それぞれの暗号化能力を踏まえて、暗号化能力が互いに異なる複数の通常サブアクセスポイントにそれぞれ割り当てることができる。このようにすれば、各端末の暗号化能力が無駄に犠牲になることなく、複数台の端末を当該無線LAN用アクセスポイント(1台の親機)に接続することが可能となる。
【0017】
各通常サブアクセスポイントが、その使用中に対応可能である暗号化方式の数は、1つでも、複数でもよい。対応可能である暗号化方式の数が1つである場合には、その通常サブアクセスポイントに接続可能な端末の種類が暗号化方式の種類に関して制限されることになる。その反面、通常サブアクセスポイントが最終的に採用することになるセキュリティレベルが、その通常サブアクセスポイントに接続される端末のセキュリティレベルが原因で低下してしまうことが回避される。
【0018】
(2) 各通常サブアクセスポイントごとに、各通常サブアクセスポイントに無線接続されるべき少なくとも1台の端末が最終的に採用することになる暗号化方式のセキュリティレベルを、他の通常サブアクセスポイントに属する他の端末が対応可能である暗号化方式のセキュリティレベルとは無関係に選択するセレクタを含む(1)項に記載の無線LAN用アクセスポイント。
【0019】
この無線LAN用アクセスポイントによれば、ある通常サブアクセスポイントに属する端末が最終的に採用することになる暗号化方式のセキュリティレベルが、その通常サブアクセスポイントに属する他の端末が対応可能なセキュリティレベルには依存するが、他の通常サブアクセスポイントに属する他の端末が対応可能なセキュリティレベルに依存することなく選択される。
【0020】
したがって、この無線LAN用アクセスポイントによれば、各通常サブアクセスポイントに属する端末が最終的に採用することになる暗号化方式のセキュリティレベルが、他の通常サブアクセスポイントに属する他の端末が対応可能なセキュリティレベルが低いことが原因で低下してしまうことが防止される。
【0021】
(3) 前記セレクタは、各通常サブアクセスポイントごとに、各通常サブアクセスポイントが対応可能であるセキュリティレベルと、前記少なくとも1台の端末が対応可能であるセキュリティレベルとに関して、その少なくとも1台の端末と当該無線LAN用アクセスポイントとの間においてネゴシエーションを行い、それにより、各通常サブアクセスポイントごとに、前記少なくとも1台の端末が最終的に採用することになる暗号化方式のセキュリティレベルを選択し、
前記複数のサブアクセスポイントは、さらに、前記ネゴシエーションを行うために前記少なくとも1台の端末との間において暗号鍵を交換する特殊サブアクセスポイントを含み、
その特殊サブアクセスポイントは、前記複数の通常サブアクセスポイントについて共通に使用される(2)項に記載の無線LAN用アクセスポイント。
【0022】
この無線LAN用アクセスポイントは、複数のサブアクセスポイントを、互いに独立して動作可能な状態で有するとともに、それらサブアクセスポイントが、主にデータ通信のための複数の通常サブアクセスポイントに加えて、主に鍵交換用の特殊サブアクセスポイントを有するように構成される。
【0023】
その特殊サブアクセスポイントは、通常サブアクセスポイントから独立して動作可能であるため、無線LANに参加しようとする新規端末と当該無線LAN用アクセスポイントとの間において鍵交換を行うために、いずれの通常サブアクセスポイントも使用せずに済む。したがって、鍵交換のために、いずれの通常サブアクセスポイントによるデータ通信も一時的に途絶せずに済む。
【0024】
(4) 当該無線LAN用アクセスポイントと少なくとも1台の端末との間の接続を確立するために当該無線LAN用アクセスポイントに対してユーザが第1のリクエストを行うことに応答して、前記複数の通常サブアクセスポイントのうち、それに接続可能な端末が存在するものを起動を開始させる一方、存在しないものを停止させる起動・停止手段を含む(1)ないし(3)項のいずれかに記載の無線LAN用アクセスポイント。
【0025】
この無線LAN用アクセスポイントによれば、複数の通常サブアクセスポイントのうち、接続可能な端末が存在しないものが停止させられるため、動作不要の通常サブアクセスポイントが動作させられることに起因する不都合(例えば、当該無線LAN用アクセスポイントに課される無駄な負荷やデータ通信のセキュリティの低下)を回避することが容易となる。
【0026】
(5) 当該無線LAN用アクセスポイントと前記少なくとも1台の端末との間の接続が確立された後に、各通常サブアクセスポイントごとに、その通常サブアクセスポイントにいずれの端末も接続されていないか否かを判定し、前記複数の通常サブアクセスポイントのうち、いずれの端末とも接続されていないものを停止させる停止手段を含む(4)項に記載の無線LAN用アクセスポイント。
【0027】
この無線LAN用アクセスポイントによれば、例えば、ある端末が無線LANに参加した後にその無線LANから脱退したことが原因で、いずれの端末にも接続されていない通常サブアクセスポイントが発生すると、その通常サブアクセスポイントが停止させられる。
【0028】
(6) 当該無線LAN用アクセスポイントと前記少なくとも1台の端末との間の接続が確立された後に、その少なくとも1台の端末とは別の少なくとも1台の端末と当該無線LAN用アクセスポイントとの間の接続を確立するために当該無線LAN用アクセスポイントに対してユーザが第2のリクエストを行うことに応答して、前記複数の通常サブアクセスポイントのうち、ユーザによって指定された一部の通常サブアクセスポイントまたは全部の通常サブアクセスポイントを起動させる起動手段を含む(4)または(5)項に記載の無線LAN用アクセスポイント。
【0029】
この無線LAN用アクセスポイントによれば、例えば、ある端末を無線LANに参加させることが必要である場合に、ユーザは、その端末が接続される可能性を有する通常サブアクセスポイントを起動させて、それら端末と通常サブアクセスポイントとの間における接続を確実に確立することが可能となる。
【0030】
(7) 物理的存在としての1つの物理MAC(Media Access Control)を含み、
その物理MACは、それぞれ互いに異なるセキュリティレベルでの暗号化通信を時分割的に行わせられることにより、複数の仮想MACとして機能させられ、
それら複数の仮想MACは、それぞれ互いに異なる識別子を予め割り当てられ、
前記複数の論理的なサブアクセスポイントは、前記複数の仮想MACをそれぞれ含むように構成される(1)ないし(6)項のいずれかに記載の無線LAN用アクセスポイント。
【0031】
この無線LAN用アクセスポイントによれば、MACを多重化することに伴うハードウエア構成の大規模化および複雑化が招来されずに済む。
【0032】
(8) (2)もしくは(3)項に記載のセレクタ、(4)項に記載の起動・停止手段、(5)項に記載の停止手段または(6)項に記載の起動手段を機能させるためにコンピュータによって実行されるプログラム。
【0033】
本項に係るプログラムは、それの機能を果たすためにコンピュータにより実行される指令の組合せのみならず、各指令に従って処理されるファイルやデータをも含むように解釈することが可能である。
【0034】
また、このプログラムは、それ単独でコンピュータにより実行されることにより、所期の目的を達するものとしたり、他のプログラムと共にコンピュータにより実行されることにより、所期の目的を達するものとすることができる。後者の場合、本項に係るプログラムは、データを主体とするものとすることができる。
【0035】
(9) (8)項に記載のプログラムをコンピュータ読取り可能に記録した記録媒体。
【0036】
この記録媒体は種々な形式を採用可能であり、例えば、フレキシブル・ディスク等の磁気記録媒体、CD、CD−ROM等の光記録媒体、MO等の光磁気記録媒体、ROM等のアンリムーバブル・ストレージ等のいずれかを採用し得る。
【発明を実施するための最良の形態】
【0037】
以下、本発明のさらに具体的な実施の形態のいくつかを図面に基づいて詳細に説明する。
【0038】
図1には、本発明の一実施形態に従う無線LAN用アクセスポイント(以下、「AP」と略称する。)10を有する無線LANシステム12のハードウェア構成が斜視図で示されている。
【0039】
<無線LANの構成>
【0040】
この無線LANシステム12においては、AP10を介して複数台の端末(無線端末)20,22,24が相互に無線接続され、それにより、無線LAN30が構築されている。この無線LAN30は、後述のように、ルータ32を介して、WAN(Wide Area Network)またはグローバルネットワークとしてのインターネット34に接続されている。
【0041】
<APの機能>
【0042】
AP10は、よく知られているように、無線基地局であり、親機とも称される。AP10は、よく知られているように、AP10が属する無線LAN30において各端末20,22,24が他の端末と無線通信するためのアクセス権限をコントロールする機能や、暗号鍵(例えば、WEPキー、TKIPキー、AESキー)を利用した暗号化無線通信のためのセキュリティレベル(暗号化強度)をコントロールする機能を有する。
【0043】
<端末の機能>
【0044】
各端末20,22,24は、同じ無線LAN30に属する他の端末との間において無線通信する機能を有し、同じ無線LAN30に属するAP10との関係においてステーション(各図においては、「STA」と略称する。)または子機と称される。各端末20,22,24は、種々の方式を採用することが可能であり、例えば、パーソナルコンピュータPCとしたり、携帯情報端末PDAとしたり、コンピュータを組み込んだ情報処理装置とすることが可能である。
【0045】
<APのハードウエア構成>
【0046】
図1に示すように、AP10は、ハウジング40を備えている。このハウジング40内に種々のハードウエア部品が収容される。図2には、AP10のハードウエア構成がブロック図で概念的に表されている。図2に示すように、AP10は、コンピュータを主体として構成されている。そのコンピュータは、よく知られているように、CPU50と、ROM52と、RAM54と、ハードディスク等、データを不揮発的に記憶することが可能な記憶装置56とが、バス58によって相互に電気的に接続されることによって構成されている。
【0047】
図2に示すように、AP10は、さらに、各端末20,22,24との無線接続のための無線通信インタフェース60と、WAN(例えば、インターネット34)との接続のためのWANポート62と、図示しない有線LANとの接続のためのLANポート64とを、それぞれがバス58に接続された状態で備えている。
【0048】
無線通信インタフェース60には、電波を送信する送信機66と、電波を受信する受信機68とが接続されている。それら送信機66および受信機68は、外部への電波の送信や外部からの電波の受信が可能な状態で、AP10に内蔵されている。
【0049】
AP10は、さらに、ユーザからの情報の入出力を可能にする入出力コントローラ70と、ユーザへの情報の表示を可能にするディスプレイコントローラ72とを、それぞれがバス58に接続された状態で備えている。
【0050】
入出力コントローラ70には、プッシュ式のワンタッチ登録ボタン80が接続されている。このワンタッチ登録ボタン80は、図3(a)に示すように、AP10のハウジング40の表面において露出した操作部81を有するようにハウジング40に取り付けられている。このワンタッチ登録ボタン80の機能は後述するが、このワンタッチ登録ボタン80の押下げ状態が、入出力コントローラ70を介して、CPU50によって検出可能となっている。図3(a)において、符号82は、送信機66と受信機68とに使用されるアンテナを示す。
【0051】
これに対し、図2に示すように、ディスプレイコントローラ72には、無線LAN30の接続状態や通信状態を点灯・点滅等によって表示する各種の表示ランプ84が接続されている。
【0052】
図1に示すように、AP10のWANポート62には、モデムを内蔵したルータ32がケーブル33を介して接続されている。ルータ32は、各端末20,22,24に予め割り当てられたMACアドレスにより、各端末20,22,24を識別することができる。
【0053】
各端末20,22,24のユーザは、自己の端末をAP10および、ユーザが契約したプロバイダ90を通じてインターネット34に接続し、そのインターネット34上のサーバ92から、所望のウェブコンテンツ等の種々の情報を取得することができる。
【0054】
<MACの仮想的多重化>
【0055】
AP10は、後に詳述するが、無線LAN30上で通信される信号についての複数の暗号化方式であってそれぞれ互いに異なる複数のセキュリティレベルを有するものに対応することが可能であるように設計されている。
【0056】
そのため、AP10においては、CPU50によって実行されるべき、MAC(Media Access Control)実現のためのソフトウエア(プログラム)がROM52に記憶されることにより、図4に概念的にブロック図で表すように、ハードウエア部品としてのMAC100が実現されている。
【0057】
図4に示すように、本実施形態においては、そのMAC100は、物理的には1個しか存在しないがそれぞれ互いに異なる複数のセキュリティレベルでの暗号化通信を時分割的に行うことが可能な複数の仮想的なMAC(図4に示す例においては、仮想的なMACの数は3個であり、以下、「MAC1」,「MAC2」および「MAC3」と称する。)として機能する。それら仮想的なMAC1ないし3は、CPU50により、実質的に並列的に動作させられる。ハウジング40が、それら仮想的なMAC1ないし3に共通に設けられていることはもちろんである。
【0058】
したがって、AP10は、図4に示すように、上述のMAC実現用ソフトウエアの実装により、みかけ上、互いに独立して動作する複数の仮想的なサブアクセスポイント(以下、「サブAP」という。)として動作するように設計されている。すなわち、本実施形態においては、AP10が、各端末20,22,24との実質的な通信を行うために、暗号化方式の種類を差別化することが可能な複数個のサブAPとして仮想的に多重化されているのである。
【0059】
それらサブAPの数(図4に示す例においては、3個であり、以下、「サブAP1」,「サブAP2」および「サブAP3」と称する。)は、上述の仮想的なMAC1ないし3と同数である。
【0060】
さらに、本実施形態においては、後述のように、暗号化方式を各サブAPごとに選択するために必要な情報を取得するために、その選択に先立ち、各端末20,22,24とAP10との間においてセキュリティレベルに関する情報が交換される。
【0061】
そのセキュリティレベル情報を交換するためには、同じ端末から見えるアクセスポイントの数が単一である方が好都合であるため、本実施形態においては、セキュリティレベル情報交換(鍵交換)に専用の1つのサブAPが鍵交換用特殊サブAPZとして追加的に用いられる。この鍵交換用特殊サブAPZは、複数のサブAP1ないし3のための鍵交換手続に共通に使用される。この鍵交換用特殊サブAPZは、図示しない仮想的なMACZによって動作させられる。
【0062】
<暗号化方式の個別的選択>
【0063】
図4に示すように、各サブAPごとに、固有の識別番号であるSSID(Service Set ID)が予め割り当てられている。さらに、各サブAPごとに、各サブAPが採用する暗号化方式の種類(図4においては、「SecType」で表す。)と、各サブAPが採用する暗号鍵の値(図4においては、「SecKey」で表す。)とが関連付けられる。同様に、各端末ごとに、各端末20,22,24が利用すべきサブAPのSSIDと、各端末20,22,24が採用する暗号化方式の種類と、各端末が採用する暗号鍵の値とが関連付けられる。
【0064】
図4に示す一例においては、仮想MAC1を利用するサブAP1が、1台の端末No.1に割り当てられ、仮想MAC2を利用するサブAP2が、1台の端末No.2に割り当てられ、仮想MAC3を利用するサブAP3が、互いに異なるセキュリティレベルを有する2台の端末No.3およびNo.4に割り当てられている。
【0065】
AP10は、後に詳述するが、各サブAPごとに(すなわち、各仮想MACごとに)、各端末20,22,24との無線LAN通信の確立に先立ち、各端末20,22,24が対応可能な暗号化方式に適合するように、各仮想MAC1,2,3が採用する暗号化方式を選択するように設計されている。
【0066】
具体的には、各仮想MAC1,2,3が、選択可能な複数の暗号化方式であってセキュリティレベルが互いに異なるものを有し、最終的に採用される暗号化方式のセキュリティレベルに関して選択的であることを前提にして、AP10は、各サブAPごとに(すなわち、各仮想MACごとに)、前記複数の暗号化方式のうちのいずれかを、各仮想MAC1,2,3に無線接続されようとする端末が対応可能な暗号化方式のセキュリティレベルに応じて選択するように設計されている。
【0067】
それら複数の暗号化方式として、例えば、いずれも規格IEEE802.11において定義されるAESと、TKIPと、WEP128と、WEP64とが使用される。いずれの暗号化方式も、秘密鍵暗号方式(データの暗号化と暗号化されたデータの復号化とに共通する暗号鍵を使用する方式)の暗号化技術である。それら4種類の暗号化方式は、その列記された順序でセキュリティレベルが低下するように定義されている。すなわち、WEP64に近づくほど、送受信されるデータの脆弱性が増加し、逆に、AESに近づくほど、送受信されるデータの機密性が向上するように定義されているのである。
【0068】
本実施形態においては、複数のサブAP1ないし3に、各サブAPごとにセキュリティレベルが最高である暗号化方式の種類がそれらサブAP間において互いに異なるように、対応可能な暗号化方式が予め割り当てられている。
【0069】
一例においては、図5に示すように、サブAP1には、対応可能な暗号化方式としてAES(最高セキュリティレベルの暗号化方式)のみが、サブAP2には、対応可能な暗号化方式としてTKIP(最高セキュリティレベルの暗号化方式)のみが、サブAP3には、暗号化方式としてWEP128およびWEP64の2種類(WEP128が、最高セキュリティレベルの暗号化方式)が、それぞれ予め割り当てられる。
【0070】
このように、図5に示す例においては、サブAP1ないし3に、各サブAPごとにセキュリティレベルが最高である暗号化方式の種類がそれらサブAP1ないし3の間において互いに異なるように、対応可能な暗号化方式が予め割り当てられている。
【0071】
ただし、複数のサブAPに対する暗号化方式の割り当て手法は、これに限定されず、例えば、それらサブAP1ないし3のうちの一部である複数のサブAPに共通に、セキュリティレベルが互いに異なる複数の暗号化方式(例えば、AES,TKIP,WEP128およびWEP64)のセットを、対応可能な暗号化方式として予め割り当てることが可能である。
【0072】
図5に示す例においては、AP10に無線接続されるべき4台の端末が上から下に向かって、暗号化能力が低下する順に並べられ、その順序に従って、暗号化能力が順に低下する3つのサブAPにそれぞれ割り当てられる。この割り当ては、本実施形態においては、ユーザによって行われるが、CPU50が特定のプログラムを実行することによって自動的に行われるようにしてもよい。
【0073】
具体的には、最も高い暗号化能力を有する端末No.1は、最も高い暗号化能力を有するサブAP1に割り当てられ、2番目に高い暗号化能力を有する端末No.2は、2番目に高い暗号化能力を有するサブAP2に割り当てられ、3番目に高い暗号化能力を有する端末No.3および最も低い暗号化能力を有する端末No.4はいずれも、最も低い暗号化能力を有するサブAP3に割り当てられる。
【0074】
図5に示す例においては、端末No.1が最終的に採用することになるセキュリティレベル(図5においては、四角の枠で囲まれている。)は、他の端末No.2ないしNo.4がそれぞれ対応可能なセキュリティレベルとは無関係に決まり、また、端末No.2が最終的に採用することになるセキュリティレベルも、同様に、他の端末No.1、No.3およびNo.4がそれぞれ対応可能なセキュリティレベルとは無関係に決まる。なぜなら、それら端末No.1およびNo.2はいずれも、他の端末と共に、同じサブAPを共有するわけではないからである。
【0075】
これに対し、図5に示すように、端末No.3が最終的に採用することになるセキュリティレベルは、端末No.1およびNo.2がそれぞれ対応可能なセキュリティレベルとは無関係に決まるが、端末No.4が対応可能なセキュリティレベルを考慮して決めなければならない。
【0076】
同様に、端末No.4が最終的に採用することになるセキュリティレベルは、端末No.1およびNo.2がそれぞれ対応可能なセキュリティレベルとは無関係に決まるが、端末No.3が対応可能なセキュリティレベルを考慮して決めなければならない。なぜなら、それら端末No.3およびNo.4は、同じサブAPを共有し、かつ、そのサブAPは、対応可能な暗号化方式を2種類有するからである。
【0077】
各端末20,22,24につき、最終的に採用されることになるセキュリティレベルを決定する手法のいくつかの具体例が日本国の公開公報である特開2005−175524号公報および特開2005−311653号公報に詳細に開示されている。したがって、ここではその手法につき、重複した説明を省略する。それら公報は、引用により、その全体が本明細書に合体させられる。
【0078】
<APのソフトウエア構成>
【0079】
図2に示すROM52には、無線LAN30内の端末20,22,24との通信や、インターネット34との接続に関する各種のプログラムと、そのプログラムの実行に必要なデータとが予め格納されている。
【0080】
具体的には、ROM52に予め格納されているプログラムは、(a)前述のMAC実現用プログラム(図示しない)と、(b)各端末20,22,24との接続を確立するためにCPU50によって実行される接続確立プログラム(図6参照)と、(c)各端末20,22,24に予め割り当てられたMACアドレスを各サブAPごとに登録するためにCPU50によって実行されるMACアドレス登録プログラム(図示しない)とを有する。
【0081】
図6に示す接続確立プログラムは、後に詳述するが、(a)上述のようにして暗号化方式を各サブAPごとに選択するためにCPU50によって実行される暗号化方式選択モジュールと、(b)最終的に採用されることになる暗号鍵を各サブAPごとに設定するためにCPU50によって実行される暗号鍵設定モジュールと、(c)各サブAPの起動・停止を制御するためにCPU50によって実行される起動・停止モジュールとを有する。
【0082】
<端末のハードウエア構成>
【0083】
各端末20,22,24は、図3(c)に示すように、よく知られているように、コンピュータ108を主体として構成されている。そのコンピュータ108は、よく知られているように、CPU110,ROM112およびRAM114がバス116によって互いに接続されて構成されている。各端末20,22,24は、さらに、記憶装置118としてのハードディスクやCD−ROMドライブ等を備えている。
【0084】
各端末20,22,24には、図1および、1台の端末20のみを代表的に示す図3(b)に示すように、AP10との間での電波の送受信を可能にする無線LAN接続用デバイスとして、無線LANアダプタ120,122,124が着脱可能に装着されている。
【0085】
各無線LANアダプタ120,122,124のデバイスドライバが、対応する端末20,22,24にインストールされ、それにより、各端末20,22,24は、装着された無線LANアダプタ120,122,124を認識し、無線LANアダプタ120,122,124を制御することが可能となる。無線LANアダプタ120,122,124にはそれぞれ、固有の識別番号であるMACアドレスが予め割り当てられている。
【0086】
各無線LANアダプタ120,122,124には、図3(b)に示すように、ワンタッチ登録ボタン130,132,134が取り付けられている。各ワンタッチ登録ボタン130,132,134の機能は後述するが、それぞれの押下げ状態が、対応する端末20,22,24のCPU110によって検出可能となっている。
【0087】
<端末のソフトウエア構成>
【0088】
各端末20,22,24のROM112には、無線LAN30の使用に先立って特定のユーティリティプログラムがインストールされる。そのユーティリティプログラムは、(a)対応可能な複数の暗号化方式の中から、最終的に採用されることになる暗号化方式を選択するためにCPU110によって実行される暗号化方式選択モジュールと、(b)最終的に採用されることになる暗号鍵を設定するためにCPU110によって実行される暗号鍵設定モジュールとを有する。
【0089】
次に、図6(a)および(b)にそれぞれ示す2つのフローチャートを参照することにより、AP10と各端末20,22,24との間において接続を確立するためにAP10と各端末20,22,24とにおいてそれぞれ実行される処理を詳細に説明する。
【0090】
図6(a)に示すフローチャートは、各端末20,22,24において実行される接続処理であり、これは、各端末20,22,24のCPU110が前記暗号化方式選択モジュールと前記暗号鍵設定モジュールとを実行する処理に相当する。これに対し、図6(b)に示すフローチャートは、AP10において実行される接続処理であり、これは、AP10のCPU50が前記暗号化方式選択モジュールと前記暗号鍵設定モジュールと前記起動・停止モジュールとを実行する処理に相当する。
【0091】
各端末20,22,24のユーザは、AP10との接続を希望する場合には、その接続に先立ち、AP10のワンタッチ登録ボタン80と、複数個のワンタッチ登録ボタン130,132,134のうち、自己の端末(以下、「対象端末」という。)に装着されている無線LANアダプタ120,122,124に対応するものとを一緒に操作する。
【0092】
図6に示すステップS100において、対象端末のCPU110が、対応するワンタッチ登録ボタン130,132,134のユーザによる操作を検出すると、次に、ステップS101において、ワンタッチ登録モードが開始される。
【0093】
ワンタッチ登録モードが開始されると、対象端末は、対応する無線LANアダプタ120,122,124のMACアドレスを特定し、無線LAN30に参加することを要求するデータに、そのMACアドレスをヘッダ情報として付加してなるパケットを、接続可能にアクセスポイントに向けて送信する。そのMACアドレスを受信したアクセスポイントは、そのMACアドレスを登録する。
【0094】
続いて、ステップS102において、ステップS101の実行終了時から所定時間が経過したか否かが判定される。今回は、所定時間が経過していないと仮定すれば、その判定がNOとなり、ステップS103において、ワンタッチ登録モードに移行したアクセスポイントが探索される。
【0095】
対象端末と通信可能なアクセスポイントが、今回は、AP10のみであると仮定すると、このステップS103においては、結局、AP10がワンタッチ登録モードに移行したか否かが判定されることになる。ただし、本実施形態においては、AP10が仮想的に1つの鍵交換用特殊サブAPZとして機能し、その鍵交換用特殊サブAPZは、特定のビーコンを送出する。
【0096】
その送出されたビーコンを対象端末が受信すると、その対象端末は、ワンタッチ登録モードに移行したアクセスポイント(今回は、AP10(=鍵交換用特殊サブAPZ))が存在すると判定し、ステップS103の判定がYESとなる。このステップS103の判定がNOであると、ステップS102に戻る。ステップS101の実行終了時からの経過時間が前記所定時間を超えないうちにステップS103の判定がYESとなれば、ステップS104に進むが、そうではない場合には、ステップS112に進み、ワンタッチ登録モードが中断される。この場合には、以上で、今回の接続処理が終了する。
【0097】
ステップS104においては、対象端末が、ワンタッチ登録モードに移行したAP10に対して接続を試行する。その後、ステップS105において、その接続の試行回数が所定回数を超えたために再試行を終了させるべきであるか否かが判定される。その試行回数が所定回数を超えた場合には、ステップS105の判定がYESとなり、ステップS102の判定がNOである場合と同様に、ステップS112において、ワンタッチ登録モードが中断される。
【0098】
試行回数が前記所定回数を超えることなく、対象端末が、ワンタッチ登録モードに移行したAP10との接続に成功すると、ステップS105の判定がYESとなり、ステップS106に移行する。
【0099】
このステップS106においては、後に詳述するが、対象端末が、AP10(正確には、鍵交換用特殊サブAPZ)との間において、セキュリティレベルに関する情報を表すパケット同士の交換を行う。すなわち、対象端末が、AP10との間において、暗号化方式の種類すなわち暗号化能力に関するネゴシエーションを行うのである。
【0100】
続いて、ステップS107において、一連のパケット交換処理が完了したか否かが判定され、完了していなければ、ステップS106に戻り、完了したならば、ステップS108に進む。したがって、ステップS106の反復的実行が必要回数行われることにより、一連のパケット交換処理が完了する。
【0101】
ところで、対象端末のユーザは、その対象端末のワンタッチ登録ボタン130,132,134を操作する時期とほぼ同じ時期に、AP10のワンタッチ登録ボタン80を操作するため、そのAP10においても、接続処理が開始される。
【0102】
この際、ユーザは、図示しない操作部を操作することにより、AP10が多重的に仮想化された複数のサブAPのうちのいずれかを対象サブAPとして選択したうえで、ワンタッチ登録ボタン80を操作すると、ユーザは、その対象サブAPに対し、一度に1台の端末20,22または24のみとの接続を要求することができる。
【0103】
したがって、同じ対象サブAPに結果的に複数台の端末20,22,24を接続することが必要である場合には、ユーザがワンタッチ登録ボタン80と、複数台の端末20,22,24のうちユーザによって選択された1台の端末のワンタッチ登録ボタン130との両方を操作するごとに、同じ対象サブAPに1台ずつ、その選択された端末20,22または24が接続されることになる。
【0104】
ただし、ワンタッチ登録ボタン80を操作すると、ユーザは、対象サブAPに対し、一度に複数台の端末20,22,24との接続を要求することができる態様で本発明を実施することが可能である。
【0105】
なお付言するに、本実施形態においては、前述のように、複数のサブAPに、各サブAPごとにセキュリティレベルが最高である暗号化方式の種類がそれらサブAP間において互いに異なるように、対応可能な暗号化方式が予め割り当てられている。したがって、ユーザは、例えば図5に示す例の如き手法に従い、対象端末に適合するセキュリティレベル、すなわち、対象端末の暗号化能力を踏まえて、それらサブAPのうちのいずれかを対象サブAPとして選択することになる。
【0106】
上記接続処理においては、具体的には、まず、ステップS200において、AP10のCPU50が、ユーザによるワンタッチ登録ボタン80の操作を検出すると、次に、ステップS201において、ワンタッチ登録モードが開始される。
【0107】
ワンタッチ登録モードが開始されると、図7に示すように、ステップS601において、鍵交換用特殊サブAPZの動作が開始される。具体的には、鍵交換用特殊サブAPZが有効にされるとともに、鍵交換用特殊サブAPZが前述の特定のビーコンを送出し、さらに、鍵交換用特殊サブAPZが、対象端末から、それのMACアドレスを含むパケットを受信し、その受信したパケットを登録する。
【0108】
続いて、図6(b)に示すステップS202において、ステップS101の実行終了時から所定時間が経過したか否かが判定される。今回は、所定時間が経過していないと仮定すれば、その判定がNOとなり、ステップS203が、ステップS106とほぼ同じ時期に実行される。これに対し、今回は、ステップS101の実行終了時からの経過時間が前記所定時間を経過したと仮定すれば、ステップS202の判定がNOとなり、ステップS208に進み、ワンタッチ登録モードが中断される。この場合には、以上で、今回の接続処理が終了する。
【0109】
ステップS203においては、後に詳述するが、AP10(正確には、鍵交換用特殊サブAPZ)が、対象端末との間において、セキュリティレベルに関する情報を表すパケット同士の交換を行う。すなわち、AP10が、対象端末との間において、AP10が対応可能な暗号化方式の種類すなわち暗号化能力に関するネゴシエーションを行うのである。
【0110】
続いて、ステップS204において、一連のパケット交換処理が完了したか否かが判定され、完了していなければ、ステップS202に戻り、完了したならば、ステップS205に進む。したがって、ステップS203の反復的実行が必要回数行われることにより、一連のパケット交換処理が完了する。
【0111】
以上説明したように、ステップS106およびS203が、対象端末およびAP10(正確には、鍵交換用特殊サブAPZ)においてそれぞれ、互いにほぼ同じ時期に実行されることにより、それら対象端末とAP10との間において、セキュリティレベルに関する情報を表すパケット同士の交換が行われる。
【0112】
<セキュリティレベルに関する情報の交換>
【0113】
ここで、それらステップS106およびS203において、セキュリティレベルに関する情報を対象端末とAP10との間において交換するために実行されるパケット交換処理を時系列的にさらに詳細に説明する。ステップS106の詳細は図8(a)、ステップS203の詳細は図8(b)にそれぞれフローチャートで表されている。
【0114】
サブステップS1
【0115】
まず、対象端末から、AP10に向けて、セキュリティ情報を作成することをAP10に要求するためのリクエストを送出する。
【0116】
サブステップS2
【0117】
次に、AP10から、対象端末に向けて、上記リクエストに対するレスポンスを表すリプライを送出する。このとき、AP10は、最初に、セキュリティ情報の作成リクエストを受領した時点で、各サブAPごとに、その使用中にAP10が対応可能である複数の暗号化方式のすべてにつき、個々に、暗号化方式の種類であるSecTypeと、暗号鍵の値であるSecKeyとを決定する。これにより、セキュリティ情報、すなわち、対応可能な暗号化方式の種類に関する情報が作成される。
【0118】
本実施形態においては、AP10が、前述のように、各端末20,22,24との実質的な通信を行うために、暗号化方式の種類を差別化することが可能な複数のサブAPとして仮想的に多重化されている。すなわち、AP10は、マルチAPモードとして動作可能であるように設計されているのである。
【0119】
サブステップ3
【0120】
続いて、対象端末から、AP10に向けて、その対象端末が対応可能である少なくとも1つの暗号化方式の種類を表すデータを送出する。例えば、対象端末が、図5において端末No.1で示すように、AESと、TKIPと、WEP124と、WEP64とに対応可能である場合には、それら4つの暗号化方式の種類を表すデータをAP10に対して送出する。
【0121】
サブステップ4
【0122】
その後、AP10は、受信したデータに基づき、対象端末が対応可能である暗号化方式を特定し、それを踏まえて、AP10が、各サブAPごとに、対応可能な暗号化方式を絞り込む。
【0123】
具体的には、図5に示すように、今回のサブAPが対応可能である暗号化方式がAESのみであり、かつ、対象端末が、図5において端末No.1で示すように、AESとTKIPとWEP168とWEP64とに対応可能である場合には、対象サブAPと対象端末とが、互いに共通して対応可能である暗号化方式が、AESのみとなる。よって、この場合には、対象端末の都合により、サブ対象サブAPが対応可能である暗号化方式がAESのみに絞り込まれる。
【0124】
また、図5に示すように、今回のサブAPが対応可能である暗号化方式がTKIPとWEP128とWEP64との3種類であり、かつ、対象端末が、図5において端末No.3で示すように、TKIPとWEP168とWEP64とに対応可能である端末と、端末No.4で示すように、WEP128とWEP64とに対応可能である端末とを含む場合には、対象サブAPとそれら2台の対象端末とが、互いに共通して対応可能である暗号化方式が、WEP128とWEP64との2種類となる。よって、この場合には、対象端末の都合により、サブ対象サブAPが対応可能である暗号化方式が、WEP128およびWEP64の2種類に絞り込まれる。
【0125】
以上説明した処理が、対象端末におけるステップS106とAP10におけるステップS203とが実行されることによって行われるセキュリティ情報パケットの交換処理である。このパケット交換処理中は、対象端末とAP10とは、相手側MACアドレスを特定した上で暗号化を行って互いに交信している。
【0126】
一連のパケット交換処理が完了すると、AP10は、図6(b)に示すように、ステップS205において、複数のサブAPのうち、対象端末に接続される予定のもの(以下、「対象サブAP」という。)について、セキュリティレベルに関する情報が設定される。
【0127】
このステップS205においては、図8(b)に詳細に示すように、まず、ステップS401において、AP10(正確には、対象サブAP)が、対象端末から通知された暗号化方式の種類の中からセキュリティレベルが最高であるものを、最終的に採用する暗号化方式の候補である候補暗号化方式として選択する。
【0128】
このステップS401が実行されると、例えば、対象端末から、暗号化方式としてAESとTKIPとWEP128とWEP64とが通知された場合には、セキュリティレベルが最高である暗号化方式は、AESであり、これが、候補暗号化方式として選択される。
【0129】
その後、ステップS402において、対象サブAPは、ステップS401において選択された候補暗号化方式のセキュリティレベルと、現在の最高セキュリティレベルとを互いに比較する。ここで、「現在の最高セキュリティレベル」とは、対象サブAPが対応可能である少なくとも1つの暗号化方式を、上述のようにして、対象端末が対応可能な暗号化方式をもとに絞り込んだ暗号化方式の中でセキュリティレベルが最も高いものを意味する。
【0130】
なお付言するに、対象端末が、対象サブAPが最初にセキュリティ情報パケットの交換処理を行った端末である場合には、その交換処理の時点では、対象サブAPが採用する暗号化方式が、その対象端末から通知された暗号化方式の中のセキュリティレベルが最高のものと一致する。
【0131】
しかし、対象端末が、対象サブAPが最初にセキュリティ情報パケットの交換処理を行った端末ではない場合には、その交換処理の時点では、対象サブAPが採用する暗号化方式が、過去に無線接続された別の端末が対応可能な暗号化方式のもとにセキュリティレベルが低下させられている可能性があるため、対象端末から通知された暗号化方式の中のセキュリティレベルが最高のものと一致するとは限らない。
【0132】
今回は、候補暗号化方式のセキュリティレベルが、現在の最高セキュリティレベルより高いと仮定すると、ステップS402の判定がYESとなり、ステップS403において、対象サブAPが採用する暗号化方式がこれまでと同じものに維持され、その結果、対象サブAPのセキュリティレベルが、現在の最高セキュリティレベルに維持される。
【0133】
これに対して、今回は、候補暗号化方式のセキュリティレベルが、現在の最高セキュリティレベルと一致するかまたはそれより低いと仮定すると、ステップS402の判定がNOとなり、ステップS404において、候補暗号化方式が、対象サブAPが採用する暗号化方式として採用される。
【0134】
なお付言するに、それらステップS402ないしS404の実行内容は、ユーザがセキュリティレベルを設定する際のポリシーの一例を反映するものであるから、これに限定されない。
【0135】
AP10の側におけるセキュリティ情報のパケット交換処理を終了すると、図6に示す。ステップS205において、ステップS203の実行結果が反映されるようにセキュリティ情報が設定される。
【0136】
具体的には、図8に示すステップS403またはS404の実行によって決定された暗号化方式の種類が、(a)対象サブAPと対象端末との間の暗号化通信において最終的に採用することになる暗号化方式の種類であることと、(b)その種類の暗号化方式に対応する対象端末のID(すなわち、ステーションID)と暗号鍵の値とが、その後の無線通信のための暗号化と復号化とに採用される旨の情報が設定される。
【0137】
その後、図6に示すステップS206において、各サブAPごとに、動作の開始または停止が行われる。
【0138】
このステップS206の詳細が、図9にフローチャートで概念的に表されている。このステップS206においては、まず、ステップS501において、サブAP1に接続可能な端末の情報が存在するか否かが判定される。存在する場合には、ステップS502において、サブAP1の動作が開始されるが、存在しない場合には、ステップS503において、サブAP1の動作が停止させられる。
【0139】
いずれの場合にも、その後、ステップS504において、サブAP2に接続可能な端末の情報が存在するか否かが判定される。存在する場合には、ステップS505において、サブAP2の動作が開始されるが、存在しない場合には、ステップS506において、サブAP2の動作が停止させられる。
【0140】
いずれの場合にも、その後、ステップS507において、サブAP3に接続可能な端末の情報が存在するか否かが判定される。存在する場合には、ステップS508において、サブAP3の動作が開始されるが、存在しない場合には、ステップS509において、サブAP3の動作が停止させられる。
【0141】
以上のようにして図6に示すステップS206の実行が終了すると、続いて、ステップS207において、動作中の各サブAPにつき、AP10の動作モードがワンタッチ登録モードから通常の無線交信モードに切り替えられる。ステップS202の判定がYESとなった場合にも、同様に、ステップS208において、ワンタッチ登録モードが終了させられるが、この場合には、パケット通信もセキュリティレベルの登録も完了していない状態でワンタッチ登録モードが終了させられる。
【0142】
これに対し、対象端末の側においては、一連のパケット交換が完了すると、ステップS108において、ステップS107の判定がYESとなった時期からの経過時間が所定時間を超えたか否かが判定される。今回は、所定時間を超えていないと仮定すると、ステップS109において、AP10から受信したセキュリティ情報から、動作中のサブAPであって無線交信モードにあるものが発見されたか否かが判定される。
【0143】
具体的には、まず、対象端末は、アクセス可能なサブAPのSSIDを取得する。この手続は、規格IEEE802.11に規定された通信に関する仕様に従って実行されるものであり、対象端末においては、サブAPから送出された特定のビーコンを受信することにより、現在アクセス可能なサブAPのSSIDを取得することができる。なぜなら、その特定のビーコンに、サブAPのSSIDが埋め込まれているからである。さらに、その取得されたサブAPのSSIDと、先に受信したセキュリティ情報とが互いに比較される。その比較により、サブAPが、対象端末との通信(暗号化および復号化)のために採用する暗号化方式と暗号鍵の値とが特定される。
【0144】
ステップS107の判定がYESとなった時期からの経過時間が前記所定時間を超えないうちに、動作中のサブAPであって無線交信モードにあるものを発見することができなかった場合には、ステップS109の判定がNOとなった後にステップS108がYES
となり、その後、ステップS112において、今回のワンタッチ登録モードが中断される。
【0145】
これに対し、ステップS107の判定がYESとなった時期からの経過時間が前記所定時間を超えないうちに、動作中のサブAPであって無線交信モードにあるものを発見することができた場合には、ステップS108の判定がYESとなる前にステップS109の判定がYESとなり、その結果、ステップS110に進む。
【0146】
このステップS110においては、発見されたサブAPの状態に合わせて、そのサブAPから受信したセキュリティ情報が対象端末内に設定される。その結果、対象端末においては、サブAPから受信したセキュリティ情報に含まれる暗号化方式の種類と暗号鍵の値とが、対象端末において、その後の暗号化と復号化とに利用される。
【0147】
その後、ステップS111において、対象端末が、発見されたサブAPに接続される。対象端末は、続いて、そのサブAPとの接続状態を定期的に監視するために接続監視モードを開始する。
【0148】
対象端末が、AP10との接続状態を定期的に監視する手法のいくつかの具体例が日本国の公開公報である特開2005−175524号公報および特開2005−311653号公報に詳細に開示されている。したがって、ここではその手法につき、重複した説明を省略する。それら公報は、引用により、その全体が本明細書に合体させられる。
【0149】
<初期設定後におけるサブAPの停止>
【0150】
本実施形態においては、AP10が、ワンタッチ登録ボタン80の初回の操作に応答して少なくとも1つの端末20,22,24との接続が確立された後、すなわち、それぞれが採用すべき暗号化方式の種類に関する初回のネゴシエーションの終了後に、各サブAPごとに、各端末20,22,24との接続状態を定期的に監視するように設計されている。AP10は、さらに、その接続監視中、いずれの端末20,22,24とも接続されていないサブAPについては、その動作を停止させるように設計されている。
【0151】
そのために、サブAP停止プログラムがAP10のCPU50によって実行される。そのサブAP停止プログラムは、ROM52に予め格納されている。
【0152】
図10には、そのサブAP停止プログラムがフローチャートで概念的に表されている。このマルチ停止プログラムが起動すると、まず、ステップS601において、サブAP1に少なくとも1つの端末20,22,24が接続中であるか否かが判定される。今回は、サブAP1にいずれの端末20,22,24も接続されていないと仮定すると、ステップS601の判定がNOとなり、ステップS602において、サブAP1の動作が停止させられる。
【0153】
これに対し、今回は、サブAP1に少なくとも1つの端末20,22,24が接続中であると仮定すれば、ステップS601の判定がYESとなり、ステップS602がスキップされた後、ステップS603に移行する。
【0154】
このステップS603においては、サブAP2に少なくとも1つの端末20,22,24が接続中であるか否かが判定される。今回は、サブAP2にいずれの端末20,22,24も接続されていないと仮定すれば、ステップS603の判定がNOとなり、ステップS604において、サブAP2の動作が停止させられる。
【0155】
これに対し、今回は、サブAP2に少なくとも1つの端末20,22,24が接続中であると仮定すれば、ステップS603の判定がYESとなり、ステップS604がスキップされた後、ステップS605に移行する。
【0156】
このステップS605においては、サブAP3に少なくとも1つの端末20,22,24が接続中であるか否かが判定される。今回は、サブAP3にいずれの端末20,22,24も接続されていないと仮定すれば、ステップS605の判定がNOとなり、ステップS606において、サブAP2の動作が停止させられる。
【0157】
これに対し、今回は、サブAP3に少なくとも1つの端末20,22,24が接続中であると仮定すれば、ステップS605の判定がYESとなり、ステップS606がスキップされた後、ステップS607に移行する。
【0158】
このステップS607においては、一定時間が経過するのが待たれる。その後、ステップS601ないしS606の2回目の実行が行われる。それらステップS601ないしS607の実行は、AP10の電源がオフにされるまで、反復され、その結果、各サブAPごとに、各端末20,22,24との接続状態が定期的に監視される。
【0159】
このサブAP停止プログラムが実行されるおかげで、ワンタッチ登録ボタン80の初回の操作に応答してAP10と複数の端末20,22,24との間に接続が確立された後に少なくとも1つの端末20,22,24が無線LAN30から脱退し、かつ、その脱退に伴って動作不要となったサブAPが出現した場合に、そのサブAPが無駄に動作状態に維持されてしまうことが防止される。一方、動作不要となったサブAPを停止させることは、AP10のセキュリティを向上させる観点や、AP10を動作させるためにAP10に課される負荷を低減させる観点から望ましい。
【0160】
<初期設定後におけるサブAPの起動>
【0161】
本実施形態においては、AP10が、ワンタッチ登録ボタン80の初回の操作に応答して少なくとも1つの端末20,22,24との接続が確立された後、すなわち、それぞれが採用すべき暗号化方式の種類に関する初回のネゴシエーションの終了後に、ワンタッチ登録ボタン80がユーザによって再度操作されるごとに、またはワンタッチ登録ボタン80とは別の操作部材がユーザによって操作されるごとに、各操作に応答して、すべてのサブAPの動作を開始するように設計されている。
【0162】
そのために、サブAP開始プログラムがAP10のCPU50によって実行される。そのサブAP開始プログラムは、ROM52に予め格納されている。
【0163】
図11には、そのサブAP開始プログラムがフローチャートで概念的に表されている。このマルチ開始停止プログラムが起動すると、ステップS701において、すべてのサブAP、すなわち、本実施形態においては、サブAP1ないし3の動作が開始される。
【0164】
このサブAP開始プログラムが実行されるおかげで、ワンタッチ登録ボタン80の初回の操作に応答してAP10と少なくとも1つの端末20,22,24との接続が確立された後に別の端末が無線LAN30に加入しようとし、かつ、その加入に伴って動作が必要となったサブAPが出現した場合に、そのサブAPが停止状態に維持されて無線LAN30のリソースの全体を効率よく利用できない事態の発生が防止される。
【0165】
本実施形態においては、複数のサブAPおよび複数の端末20,22,24がそれぞれ採用すべき暗号化方式の種類を決定するための初回のネゴシエーションの終了後に、ワンタッチ登録ボタン80がユーザによって再度操作される(前記(6)項における「第2のリクエスト」の一例)か、またはワンタッチ登録ボタン80とは別の操作部材がユーザによって操作される(前記(6)項における「第2のリクエスト」の別の例)と、サブAP開始プログラムの実行により、すべてのサブAPの動作が開始される。
【0166】
なお付言するに、本実施形態においては、ユーザがAP10に対して上記「第1のリクエスト」および「第2のリクエスト」をそれぞれ行うために、物理的存在としてのワンタッチ登録ボタン80またはそれとは別の操作部材が使用されるが、それらワンタッチ登録ボタン80および別の操作部材は、同じネットワークに接続されたPCの画面上に表示される仮想的なボタンに変更し、そのボタンの操作に応答してそのPCから送信される特定の信号をAP10が受信することに応答して、AP10が、対応する動作を開始するようにしてもよい。すなわち、AP10に特定の動作を行わせるために物理的存在としてのワンタッチ登録ボタン80または別の操作部材を用意することは本発明を実施するために不可欠なことではないのである。
【0167】
その後、それらサブAPと、それらサブAPに現に接続されているかまたはこれから接続されようとしている端末20,22,24との間における暗号化方式の種類を決定するための再度のネゴシエーションが、図6に表されるような手順で行われる。その結果、各サブAPごとに、各端末20,22,24が採用すべき暗号化方式の種類が改めて決定される。すなわち、各サブAPと端末との間における最新の接続状態が反映されるように、そのサブAPに採用される暗号化方式のセキュリティレベルが更新されるのである。
【0168】
以上の説明から明らかなように、本実施形態においては、AP10が、対応可能なセキュリティレベルに関して多重化された複数のサブAPに仮想化されており、しかも、それら複数のサブAPが、それぞれが対応可能なセキュリティレベルの設定に関して互いに独立している。
【0169】
したがって、本実施形態によれば、互いに異なる複数のサブAPにそれぞれ接続される複数の端末が、それぞれが対応可能なセキュリティレベルに関して互いに異なる場合に、あるサブAPに属する端末が最終的に採用することになるセキュリティレベルが、他のサブAPに属する端末が対応可能なセキュリティレベルに依存せずに済む。
【0170】
その結果、例えば、あるサブAPに属する端末が最終的に採用することになるセキュリティレベルを決定する際に、他のサブAPに属する端末が対応可能なセキュリティレベルが低いことが原因で、そのあるサブAPに属する端末が最終的に採用することになるセキュリティレベルが低い側に引っ張られてしまうことが防止される。
【0171】
ところで、従来においては、AP10と各端末とに共通に採用される最適な暗号化方式を選択するためにそれらAP10と各端末との間において暗号鍵交換が行われる際には、データ通信に使用されるAP10のSSIDとは異なるSSIDが使用される。SSIDの切替えが必要なのであり、そのため、暗号鍵交換の実行が原因でデータ通信が一時的に途切れてしまう。
【0172】
これに対し、本実施形態においては、複数のサブAPが、動作上、互いに独立しており、しかも、各端末とのデータ通信のためのサブAPと、各端末との暗号鍵交換のためのサブAPとが互いに分離している。したがって、暗号鍵交換の実行が原因でデータ通信が一時的に途切れてしまう事態の発生が回避される。
【0173】
以上の説明から明らかなように、本実施形態においては、説明の便宜上、サブAP1ないし3がそれぞれ、前記(1)項における「通常サブアクセスポイント」の一例を構成し、AP10の前記コンピュータのうち、図8に示すステップS401ないし404を実行する部分が、前記(2)項における「セレクタ」の一例を構成していると考えることが可能である。
【0174】
さらに、本実施形態においては、説明の便宜上、鍵交換用特殊サブAPZが前記(3)項における「特殊サブアクセスポイント」の一例を構成し、AP10の前記コンピュータのうち、図6に示すステップS206(図9参照)を実行する部分が、前記(4)項における「起動・停止手段」の一例を構成していると考えることが可能である。
【0175】
さらに、本実施形態においては、説明の便宜上、AP10の前記コンピュータのうち、図10に示すサブAP停止プログラムを実行する部分が、前記(5)項における「停止手段」の一例を構成し、AP10の前記コンピュータのうち、図11に示すサブAP開始プログラムを実行する部分が、前記(6)項における「起動手段」の一例を構成していると考えることが可能である。
【0176】
さらに、本実施形態においては、説明の便宜上、MAC100が、前記(7)項における「1つの物理MAC」の一例を構成し、各仮想MAC1,2,3が、同項における「仮想MAC」の一例を構成し、各仮想MAC1,2,3のSSIDが、同項における「識別子」の一例を構成していると考えることが可能である。
【0177】
なお付言するに、本実施形態においては、前記(1)項における「複数のサブアクセスポイント」が、物理的には1つしか存在しないが論理的には複数存在する仮想的なサブAPとして具体化されているが、これに限定されることなく、例えば、ハウジング40内に収容された複数の物理的存在であるサブアクセスポイントとして具体化してもよい。この場合、それら複数の物理的なサブアクセスポイントはそれぞれ、対応する物理的なMACを有するように構成されることになる。
【0178】
以上、本発明の実施の形態のいくつかを図面に基づいて詳細に説明したが、これらは例示であり、前記[発明の開示]の欄に記載の態様を始めとして、当業者の知識に基づいて種々の変形、改良を施した他の形態で本発明を実施することが可能である。
【図面の簡単な説明】
【0179】
【図1】本発明の一実施形態に従う無線LAN用アクセスポイントを用いる無線LANシステムをグローバルネットワークの一例であるインターネットと共に示す斜視図である。
【図2】図1に示す無線LAN用アクセスポイントのハードウエア構成を概念的に表すブロック図である。
【図3】図3(a)は、図1に示す無線LAN用アクセスポイントを示す斜視図であり、図3(b)は、図1に示す複数の端末のうち代表的なものを、それに装着された無線LAN接続用アダプタと共に示す斜視図であり、図3(c)は、図3(b)に示す端末の主体を構成するコンピュータのハードウエア構成を概念的に表すブロック図である。
【図4】図1に示す無線LAN用アクセスポイントが、暗号化方式の種類に関して多重化された複数の仮想的なサブAPとして構成される様子と、それらサブAPに複数の端末が無線接続される様子とを説明するためのブロック図である。
【図5】図4に示す複数のサブAPが、対応可能なセキュリティレベルに関して互いに異なる様子と、各サブAPごとに、それに無線接続される端末が対応可能なセキュリティレベルに応じて、各サブAPが採用するセキュリティレベルが設定される様子とを説明するために表である。
【図6】図6(a)は、図1に示す各端末において実行される接続確立プログラムを概念的に表すフローチャートであり、図6(b)は、図1に示す無線LAN用アクセスポイントにおいて実行される接続確立プログラムを概念的に表すフローチャートである。
【図7】図6におけるステップS201の詳細を概念的に表すフローチャートである。
【図8】図8(a)は、図6におけるステップS106の詳細を概念的に表すフローチャートであり、図8(b)は、図6におけるステップS203の詳細を概念的に表すフローチャートである。
【図9】図6におけるステップS206の詳細を概念的に表すフローチャートである。
【図10】図1に示す無線LAN用アクセスポイントにおいて実行されるサブAP開始プログラムを概念的に表すフローチャートである。
【図11】図1に示す無線LAN用アクセスポイントにおいて実行されるサブAP停止プログラムを概念的に表すフローチャートである。
【技術分野】
【0001】
本発明は、複数台の端末と共同して無線LAN(Local Area Network)を構築し、前記複数台の端末間において信号を中継する機能を有する無線LAN用アクセスポイントに関し、特に、その無線LAN用アクセスポイントとそれに無線接続されるべき各端末とに共通のセキュリティレベルを有する暗号化方式を選択する技術の改良に関する。
【背景技術】
【0002】
互いに離れて位置する複数台の端末(例えば、パーソナルコンピュータPC、携帯情報端末PDAの如き携帯端末、コンピュータを備えた情報処理装置など)間における無線通信を可能にする技術として無線LAN(Local Area Network)が既に普及している。
【0003】
この無線LANは、複数台の端末(子機)が、それら端末に共通のアクセスポイント(親機)に無線接続されることによって構築され、この無線LANにおいては、アクセスポイントが、複数台の端末間において信号を中継する機能を果たす。
【0004】
一方、この無線LANに参加する各端末のユーザは、同じ無線LANに参加する他の端末との通信をセキュアな環境において行いたいと要望する場合がある。この要望を満たすために、例えば特許文献1および2に開示されているように、無線LANにおいて、アクセスポイントと各端末との間において暗号化通信が行われる。
【特許文献1】特開2005−175524号公報
【特許文献2】特開2005−311653号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
無線LANにおいて、アクセスポイントと各端末との間において暗号化通信を行うためには、その開始に先立ち、それらアクセスポイントと各端末とのそれぞれにつき、それらに共通のセキュリティレベルを有する暗号化方式を設定しなければならない。
【0006】
一方、同じアクセスポイントに参加する複数台の端末が、常に、暗号化のためのプロファイル(各端末が対応可能である複数のセキュリティレベルのうち最高のものを意味する暗号化能力に関する条件を含む。)に関して互いに共通するとは限らない。なぜなら、暗号化能力が低い端末(例えば、ゲーム機)と、暗号化能力が高い端末(例えば、PC)とが、同じアクセスポイントを共有する場合があるからである。
【0007】
同じアクセスポイントに参加しようとする複数台の端末が暗号化能力に関して互いに一致しない場合には、それら端末がそれぞれ最終的に採用することになるセキュリティレベルが、それら端末のうち最低の暗号化能力を有する端末の暗号化能力を表すセキュリティレベルに一律に低下させられてしまう。
【0008】
以上説明した事情を背景にして、本発明は、複数台の端末と共同して無線LANを構築し、前記複数台の端末間において信号を中継する機能を有する無線LAN用アクセスポイントにおいて、その無線LAN用アクセスポイントとそれに無線接続されるべき各端末とに共通のセキュリティレベルを有する暗号化方式を選択する技術を改良することを課題としてなされたものである。
【課題を解決するための手段】
【0009】
本発明によれば、上記課題を解決するために、複数台の端末と共同して無線LANを構築し、前記複数台の端末間において信号を中継する機能を有する無線LAN用アクセスポイントであって、(a)共通のハウジングと、(b)そのハウジング内に収容された複数の論理的または物理的なサブアクセスポイントであって、それぞれが互いに独立して動作可能であるものとを含み、それらサブアクセスポイントは、複数の通常サブアクセスポイントを含み、各通常サブアクセスポイントは、その使用中に各通常サブアクセスポイントが対応可能である少なくとも1つの暗号化方式を有し、各通常サブアクセスポイントには、前記少なくとも1つの暗号化方式が、各通常サブアクセスポイントごとにセキュリティレベルが最高である暗号化方式の種類が各通常サブアクセスポイントごとに異なるように、予め割り当てられているものが提供される。
【0010】
本発明によって下記の各態様が得られる。各態様は、項に区分し、各項には番号を付し、必要に応じて他の項の番号を引用する形式で記載する。これは、本発明が採用し得る技術的特徴の一部およびそれの組合せの理解を容易にするためであり、本発明が採用し得る技術的特徴およびそれの組合せが以下の態様に限定されると解釈すべきではない。すなわち、下記の態様には記載されていないが本明細書には記載されている技術的特徴を本発明の技術的特徴として適宜抽出して採用することは妨げられないと解釈すべきなのである。
【0011】
さらに、各項を他の項の番号を引用する形式で記載することが必ずしも、各項に記載の技術的特徴を他の項に記載の技術的特徴から分離させて独立させることを妨げることを意味するわけではなく、各項に記載の技術的特徴をその性質に応じて適宜独立させることが可能であると解釈すべきである。
【0012】
(1) 複数台の端末と共同して無線LAN(Local Area Network)を構築し、前記複数台の端末間において信号を中継する機能を有する無線LAN用アクセスポイントであって、
複数の論理的または物理的なサブアクセスポイントであって、それぞれが固有の識別子を有して互いに識別可能であるとともに、それぞれが互いに独立して動作可能であるものを含み、
それらサブアクセスポイントは、複数の通常サブアクセスポイントを含み、
各通常サブアクセスポイントは、その使用中に各通常サブアクセスポイントが対応可能である少なくとも1つの暗号化方式を有し、
各通常サブアクセスポイントには、前記少なくとも1つの暗号化方式が、各通常サブアクセスポイントごとにセキュリティレベルが最高である暗号化方式の種類が各通常サブアクセスポイントごとに異なるように、予め割り当てられている
無線LAN用アクセスポイント。
【0013】
この無線LAN用アクセスポイントは、採用可能な暗号化方式の種類に関して互いに独立した複数の通常サブアクセスポイントを有し、それら通常サブアクセスポイントには、それぞれ暗号化能力が互いに異なるように、各通常サブアクセスポイントがその使用中に対応可能である暗号化方式(すなわち、ユーザが各通常サブアクセスポイントを見たときに、各通常サブアクセスポイントが対応可能である暗号化方式であり、各通常サブアクセスポイントが、出荷以前において、潜在的に対応可能である暗号化方式ではない)が予め割り当てられている。
【0014】
したがって、ある端末(例えば、当該無線LAN用アクセスポイントが属する無線LANにこれから参加しようとする新規端末)が最終的に採用することになる暗号化方式を、当該無線LAN用アクセスポイントと共通する暗号化方式として選択しようとする際に、前記複数の通常サブアクセスポイントのうち、その端末の暗号化能力に見合った暗号化能力を有するものを、その端末が無線接続すべき通常サブアクセスポイントとして選択することができる。
【0015】
ユーザが、他の端末についても同様にして通常サブアクセスポイントを選択するようにすれば、暗号化能力が大きく異なる複数台の端末が同じ通常サブアクセスポイントに接続されることが回避される。その結果、複数台の端末を当該無線LAN用アクセスポイントに接続することが必要である場合に、それら端末がそれぞれ最終的に採用することになる暗号化方式のセキュリティレベルが、それら端末のうち暗号化能力が最低であるものの暗号化能力に対応するセキュリティレベルに低下せずに済む。
【0016】
また、ユーザは、暗号化能力が大きく異なる複数台の端末を当該無線LAN用アクセスポイントに接続することが必要である場合には、それら端末を、それぞれの暗号化能力を踏まえて、暗号化能力が互いに異なる複数の通常サブアクセスポイントにそれぞれ割り当てることができる。このようにすれば、各端末の暗号化能力が無駄に犠牲になることなく、複数台の端末を当該無線LAN用アクセスポイント(1台の親機)に接続することが可能となる。
【0017】
各通常サブアクセスポイントが、その使用中に対応可能である暗号化方式の数は、1つでも、複数でもよい。対応可能である暗号化方式の数が1つである場合には、その通常サブアクセスポイントに接続可能な端末の種類が暗号化方式の種類に関して制限されることになる。その反面、通常サブアクセスポイントが最終的に採用することになるセキュリティレベルが、その通常サブアクセスポイントに接続される端末のセキュリティレベルが原因で低下してしまうことが回避される。
【0018】
(2) 各通常サブアクセスポイントごとに、各通常サブアクセスポイントに無線接続されるべき少なくとも1台の端末が最終的に採用することになる暗号化方式のセキュリティレベルを、他の通常サブアクセスポイントに属する他の端末が対応可能である暗号化方式のセキュリティレベルとは無関係に選択するセレクタを含む(1)項に記載の無線LAN用アクセスポイント。
【0019】
この無線LAN用アクセスポイントによれば、ある通常サブアクセスポイントに属する端末が最終的に採用することになる暗号化方式のセキュリティレベルが、その通常サブアクセスポイントに属する他の端末が対応可能なセキュリティレベルには依存するが、他の通常サブアクセスポイントに属する他の端末が対応可能なセキュリティレベルに依存することなく選択される。
【0020】
したがって、この無線LAN用アクセスポイントによれば、各通常サブアクセスポイントに属する端末が最終的に採用することになる暗号化方式のセキュリティレベルが、他の通常サブアクセスポイントに属する他の端末が対応可能なセキュリティレベルが低いことが原因で低下してしまうことが防止される。
【0021】
(3) 前記セレクタは、各通常サブアクセスポイントごとに、各通常サブアクセスポイントが対応可能であるセキュリティレベルと、前記少なくとも1台の端末が対応可能であるセキュリティレベルとに関して、その少なくとも1台の端末と当該無線LAN用アクセスポイントとの間においてネゴシエーションを行い、それにより、各通常サブアクセスポイントごとに、前記少なくとも1台の端末が最終的に採用することになる暗号化方式のセキュリティレベルを選択し、
前記複数のサブアクセスポイントは、さらに、前記ネゴシエーションを行うために前記少なくとも1台の端末との間において暗号鍵を交換する特殊サブアクセスポイントを含み、
その特殊サブアクセスポイントは、前記複数の通常サブアクセスポイントについて共通に使用される(2)項に記載の無線LAN用アクセスポイント。
【0022】
この無線LAN用アクセスポイントは、複数のサブアクセスポイントを、互いに独立して動作可能な状態で有するとともに、それらサブアクセスポイントが、主にデータ通信のための複数の通常サブアクセスポイントに加えて、主に鍵交換用の特殊サブアクセスポイントを有するように構成される。
【0023】
その特殊サブアクセスポイントは、通常サブアクセスポイントから独立して動作可能であるため、無線LANに参加しようとする新規端末と当該無線LAN用アクセスポイントとの間において鍵交換を行うために、いずれの通常サブアクセスポイントも使用せずに済む。したがって、鍵交換のために、いずれの通常サブアクセスポイントによるデータ通信も一時的に途絶せずに済む。
【0024】
(4) 当該無線LAN用アクセスポイントと少なくとも1台の端末との間の接続を確立するために当該無線LAN用アクセスポイントに対してユーザが第1のリクエストを行うことに応答して、前記複数の通常サブアクセスポイントのうち、それに接続可能な端末が存在するものを起動を開始させる一方、存在しないものを停止させる起動・停止手段を含む(1)ないし(3)項のいずれかに記載の無線LAN用アクセスポイント。
【0025】
この無線LAN用アクセスポイントによれば、複数の通常サブアクセスポイントのうち、接続可能な端末が存在しないものが停止させられるため、動作不要の通常サブアクセスポイントが動作させられることに起因する不都合(例えば、当該無線LAN用アクセスポイントに課される無駄な負荷やデータ通信のセキュリティの低下)を回避することが容易となる。
【0026】
(5) 当該無線LAN用アクセスポイントと前記少なくとも1台の端末との間の接続が確立された後に、各通常サブアクセスポイントごとに、その通常サブアクセスポイントにいずれの端末も接続されていないか否かを判定し、前記複数の通常サブアクセスポイントのうち、いずれの端末とも接続されていないものを停止させる停止手段を含む(4)項に記載の無線LAN用アクセスポイント。
【0027】
この無線LAN用アクセスポイントによれば、例えば、ある端末が無線LANに参加した後にその無線LANから脱退したことが原因で、いずれの端末にも接続されていない通常サブアクセスポイントが発生すると、その通常サブアクセスポイントが停止させられる。
【0028】
(6) 当該無線LAN用アクセスポイントと前記少なくとも1台の端末との間の接続が確立された後に、その少なくとも1台の端末とは別の少なくとも1台の端末と当該無線LAN用アクセスポイントとの間の接続を確立するために当該無線LAN用アクセスポイントに対してユーザが第2のリクエストを行うことに応答して、前記複数の通常サブアクセスポイントのうち、ユーザによって指定された一部の通常サブアクセスポイントまたは全部の通常サブアクセスポイントを起動させる起動手段を含む(4)または(5)項に記載の無線LAN用アクセスポイント。
【0029】
この無線LAN用アクセスポイントによれば、例えば、ある端末を無線LANに参加させることが必要である場合に、ユーザは、その端末が接続される可能性を有する通常サブアクセスポイントを起動させて、それら端末と通常サブアクセスポイントとの間における接続を確実に確立することが可能となる。
【0030】
(7) 物理的存在としての1つの物理MAC(Media Access Control)を含み、
その物理MACは、それぞれ互いに異なるセキュリティレベルでの暗号化通信を時分割的に行わせられることにより、複数の仮想MACとして機能させられ、
それら複数の仮想MACは、それぞれ互いに異なる識別子を予め割り当てられ、
前記複数の論理的なサブアクセスポイントは、前記複数の仮想MACをそれぞれ含むように構成される(1)ないし(6)項のいずれかに記載の無線LAN用アクセスポイント。
【0031】
この無線LAN用アクセスポイントによれば、MACを多重化することに伴うハードウエア構成の大規模化および複雑化が招来されずに済む。
【0032】
(8) (2)もしくは(3)項に記載のセレクタ、(4)項に記載の起動・停止手段、(5)項に記載の停止手段または(6)項に記載の起動手段を機能させるためにコンピュータによって実行されるプログラム。
【0033】
本項に係るプログラムは、それの機能を果たすためにコンピュータにより実行される指令の組合せのみならず、各指令に従って処理されるファイルやデータをも含むように解釈することが可能である。
【0034】
また、このプログラムは、それ単独でコンピュータにより実行されることにより、所期の目的を達するものとしたり、他のプログラムと共にコンピュータにより実行されることにより、所期の目的を達するものとすることができる。後者の場合、本項に係るプログラムは、データを主体とするものとすることができる。
【0035】
(9) (8)項に記載のプログラムをコンピュータ読取り可能に記録した記録媒体。
【0036】
この記録媒体は種々な形式を採用可能であり、例えば、フレキシブル・ディスク等の磁気記録媒体、CD、CD−ROM等の光記録媒体、MO等の光磁気記録媒体、ROM等のアンリムーバブル・ストレージ等のいずれかを採用し得る。
【発明を実施するための最良の形態】
【0037】
以下、本発明のさらに具体的な実施の形態のいくつかを図面に基づいて詳細に説明する。
【0038】
図1には、本発明の一実施形態に従う無線LAN用アクセスポイント(以下、「AP」と略称する。)10を有する無線LANシステム12のハードウェア構成が斜視図で示されている。
【0039】
<無線LANの構成>
【0040】
この無線LANシステム12においては、AP10を介して複数台の端末(無線端末)20,22,24が相互に無線接続され、それにより、無線LAN30が構築されている。この無線LAN30は、後述のように、ルータ32を介して、WAN(Wide Area Network)またはグローバルネットワークとしてのインターネット34に接続されている。
【0041】
<APの機能>
【0042】
AP10は、よく知られているように、無線基地局であり、親機とも称される。AP10は、よく知られているように、AP10が属する無線LAN30において各端末20,22,24が他の端末と無線通信するためのアクセス権限をコントロールする機能や、暗号鍵(例えば、WEPキー、TKIPキー、AESキー)を利用した暗号化無線通信のためのセキュリティレベル(暗号化強度)をコントロールする機能を有する。
【0043】
<端末の機能>
【0044】
各端末20,22,24は、同じ無線LAN30に属する他の端末との間において無線通信する機能を有し、同じ無線LAN30に属するAP10との関係においてステーション(各図においては、「STA」と略称する。)または子機と称される。各端末20,22,24は、種々の方式を採用することが可能であり、例えば、パーソナルコンピュータPCとしたり、携帯情報端末PDAとしたり、コンピュータを組み込んだ情報処理装置とすることが可能である。
【0045】
<APのハードウエア構成>
【0046】
図1に示すように、AP10は、ハウジング40を備えている。このハウジング40内に種々のハードウエア部品が収容される。図2には、AP10のハードウエア構成がブロック図で概念的に表されている。図2に示すように、AP10は、コンピュータを主体として構成されている。そのコンピュータは、よく知られているように、CPU50と、ROM52と、RAM54と、ハードディスク等、データを不揮発的に記憶することが可能な記憶装置56とが、バス58によって相互に電気的に接続されることによって構成されている。
【0047】
図2に示すように、AP10は、さらに、各端末20,22,24との無線接続のための無線通信インタフェース60と、WAN(例えば、インターネット34)との接続のためのWANポート62と、図示しない有線LANとの接続のためのLANポート64とを、それぞれがバス58に接続された状態で備えている。
【0048】
無線通信インタフェース60には、電波を送信する送信機66と、電波を受信する受信機68とが接続されている。それら送信機66および受信機68は、外部への電波の送信や外部からの電波の受信が可能な状態で、AP10に内蔵されている。
【0049】
AP10は、さらに、ユーザからの情報の入出力を可能にする入出力コントローラ70と、ユーザへの情報の表示を可能にするディスプレイコントローラ72とを、それぞれがバス58に接続された状態で備えている。
【0050】
入出力コントローラ70には、プッシュ式のワンタッチ登録ボタン80が接続されている。このワンタッチ登録ボタン80は、図3(a)に示すように、AP10のハウジング40の表面において露出した操作部81を有するようにハウジング40に取り付けられている。このワンタッチ登録ボタン80の機能は後述するが、このワンタッチ登録ボタン80の押下げ状態が、入出力コントローラ70を介して、CPU50によって検出可能となっている。図3(a)において、符号82は、送信機66と受信機68とに使用されるアンテナを示す。
【0051】
これに対し、図2に示すように、ディスプレイコントローラ72には、無線LAN30の接続状態や通信状態を点灯・点滅等によって表示する各種の表示ランプ84が接続されている。
【0052】
図1に示すように、AP10のWANポート62には、モデムを内蔵したルータ32がケーブル33を介して接続されている。ルータ32は、各端末20,22,24に予め割り当てられたMACアドレスにより、各端末20,22,24を識別することができる。
【0053】
各端末20,22,24のユーザは、自己の端末をAP10および、ユーザが契約したプロバイダ90を通じてインターネット34に接続し、そのインターネット34上のサーバ92から、所望のウェブコンテンツ等の種々の情報を取得することができる。
【0054】
<MACの仮想的多重化>
【0055】
AP10は、後に詳述するが、無線LAN30上で通信される信号についての複数の暗号化方式であってそれぞれ互いに異なる複数のセキュリティレベルを有するものに対応することが可能であるように設計されている。
【0056】
そのため、AP10においては、CPU50によって実行されるべき、MAC(Media Access Control)実現のためのソフトウエア(プログラム)がROM52に記憶されることにより、図4に概念的にブロック図で表すように、ハードウエア部品としてのMAC100が実現されている。
【0057】
図4に示すように、本実施形態においては、そのMAC100は、物理的には1個しか存在しないがそれぞれ互いに異なる複数のセキュリティレベルでの暗号化通信を時分割的に行うことが可能な複数の仮想的なMAC(図4に示す例においては、仮想的なMACの数は3個であり、以下、「MAC1」,「MAC2」および「MAC3」と称する。)として機能する。それら仮想的なMAC1ないし3は、CPU50により、実質的に並列的に動作させられる。ハウジング40が、それら仮想的なMAC1ないし3に共通に設けられていることはもちろんである。
【0058】
したがって、AP10は、図4に示すように、上述のMAC実現用ソフトウエアの実装により、みかけ上、互いに独立して動作する複数の仮想的なサブアクセスポイント(以下、「サブAP」という。)として動作するように設計されている。すなわち、本実施形態においては、AP10が、各端末20,22,24との実質的な通信を行うために、暗号化方式の種類を差別化することが可能な複数個のサブAPとして仮想的に多重化されているのである。
【0059】
それらサブAPの数(図4に示す例においては、3個であり、以下、「サブAP1」,「サブAP2」および「サブAP3」と称する。)は、上述の仮想的なMAC1ないし3と同数である。
【0060】
さらに、本実施形態においては、後述のように、暗号化方式を各サブAPごとに選択するために必要な情報を取得するために、その選択に先立ち、各端末20,22,24とAP10との間においてセキュリティレベルに関する情報が交換される。
【0061】
そのセキュリティレベル情報を交換するためには、同じ端末から見えるアクセスポイントの数が単一である方が好都合であるため、本実施形態においては、セキュリティレベル情報交換(鍵交換)に専用の1つのサブAPが鍵交換用特殊サブAPZとして追加的に用いられる。この鍵交換用特殊サブAPZは、複数のサブAP1ないし3のための鍵交換手続に共通に使用される。この鍵交換用特殊サブAPZは、図示しない仮想的なMACZによって動作させられる。
【0062】
<暗号化方式の個別的選択>
【0063】
図4に示すように、各サブAPごとに、固有の識別番号であるSSID(Service Set ID)が予め割り当てられている。さらに、各サブAPごとに、各サブAPが採用する暗号化方式の種類(図4においては、「SecType」で表す。)と、各サブAPが採用する暗号鍵の値(図4においては、「SecKey」で表す。)とが関連付けられる。同様に、各端末ごとに、各端末20,22,24が利用すべきサブAPのSSIDと、各端末20,22,24が採用する暗号化方式の種類と、各端末が採用する暗号鍵の値とが関連付けられる。
【0064】
図4に示す一例においては、仮想MAC1を利用するサブAP1が、1台の端末No.1に割り当てられ、仮想MAC2を利用するサブAP2が、1台の端末No.2に割り当てられ、仮想MAC3を利用するサブAP3が、互いに異なるセキュリティレベルを有する2台の端末No.3およびNo.4に割り当てられている。
【0065】
AP10は、後に詳述するが、各サブAPごとに(すなわち、各仮想MACごとに)、各端末20,22,24との無線LAN通信の確立に先立ち、各端末20,22,24が対応可能な暗号化方式に適合するように、各仮想MAC1,2,3が採用する暗号化方式を選択するように設計されている。
【0066】
具体的には、各仮想MAC1,2,3が、選択可能な複数の暗号化方式であってセキュリティレベルが互いに異なるものを有し、最終的に採用される暗号化方式のセキュリティレベルに関して選択的であることを前提にして、AP10は、各サブAPごとに(すなわち、各仮想MACごとに)、前記複数の暗号化方式のうちのいずれかを、各仮想MAC1,2,3に無線接続されようとする端末が対応可能な暗号化方式のセキュリティレベルに応じて選択するように設計されている。
【0067】
それら複数の暗号化方式として、例えば、いずれも規格IEEE802.11において定義されるAESと、TKIPと、WEP128と、WEP64とが使用される。いずれの暗号化方式も、秘密鍵暗号方式(データの暗号化と暗号化されたデータの復号化とに共通する暗号鍵を使用する方式)の暗号化技術である。それら4種類の暗号化方式は、その列記された順序でセキュリティレベルが低下するように定義されている。すなわち、WEP64に近づくほど、送受信されるデータの脆弱性が増加し、逆に、AESに近づくほど、送受信されるデータの機密性が向上するように定義されているのである。
【0068】
本実施形態においては、複数のサブAP1ないし3に、各サブAPごとにセキュリティレベルが最高である暗号化方式の種類がそれらサブAP間において互いに異なるように、対応可能な暗号化方式が予め割り当てられている。
【0069】
一例においては、図5に示すように、サブAP1には、対応可能な暗号化方式としてAES(最高セキュリティレベルの暗号化方式)のみが、サブAP2には、対応可能な暗号化方式としてTKIP(最高セキュリティレベルの暗号化方式)のみが、サブAP3には、暗号化方式としてWEP128およびWEP64の2種類(WEP128が、最高セキュリティレベルの暗号化方式)が、それぞれ予め割り当てられる。
【0070】
このように、図5に示す例においては、サブAP1ないし3に、各サブAPごとにセキュリティレベルが最高である暗号化方式の種類がそれらサブAP1ないし3の間において互いに異なるように、対応可能な暗号化方式が予め割り当てられている。
【0071】
ただし、複数のサブAPに対する暗号化方式の割り当て手法は、これに限定されず、例えば、それらサブAP1ないし3のうちの一部である複数のサブAPに共通に、セキュリティレベルが互いに異なる複数の暗号化方式(例えば、AES,TKIP,WEP128およびWEP64)のセットを、対応可能な暗号化方式として予め割り当てることが可能である。
【0072】
図5に示す例においては、AP10に無線接続されるべき4台の端末が上から下に向かって、暗号化能力が低下する順に並べられ、その順序に従って、暗号化能力が順に低下する3つのサブAPにそれぞれ割り当てられる。この割り当ては、本実施形態においては、ユーザによって行われるが、CPU50が特定のプログラムを実行することによって自動的に行われるようにしてもよい。
【0073】
具体的には、最も高い暗号化能力を有する端末No.1は、最も高い暗号化能力を有するサブAP1に割り当てられ、2番目に高い暗号化能力を有する端末No.2は、2番目に高い暗号化能力を有するサブAP2に割り当てられ、3番目に高い暗号化能力を有する端末No.3および最も低い暗号化能力を有する端末No.4はいずれも、最も低い暗号化能力を有するサブAP3に割り当てられる。
【0074】
図5に示す例においては、端末No.1が最終的に採用することになるセキュリティレベル(図5においては、四角の枠で囲まれている。)は、他の端末No.2ないしNo.4がそれぞれ対応可能なセキュリティレベルとは無関係に決まり、また、端末No.2が最終的に採用することになるセキュリティレベルも、同様に、他の端末No.1、No.3およびNo.4がそれぞれ対応可能なセキュリティレベルとは無関係に決まる。なぜなら、それら端末No.1およびNo.2はいずれも、他の端末と共に、同じサブAPを共有するわけではないからである。
【0075】
これに対し、図5に示すように、端末No.3が最終的に採用することになるセキュリティレベルは、端末No.1およびNo.2がそれぞれ対応可能なセキュリティレベルとは無関係に決まるが、端末No.4が対応可能なセキュリティレベルを考慮して決めなければならない。
【0076】
同様に、端末No.4が最終的に採用することになるセキュリティレベルは、端末No.1およびNo.2がそれぞれ対応可能なセキュリティレベルとは無関係に決まるが、端末No.3が対応可能なセキュリティレベルを考慮して決めなければならない。なぜなら、それら端末No.3およびNo.4は、同じサブAPを共有し、かつ、そのサブAPは、対応可能な暗号化方式を2種類有するからである。
【0077】
各端末20,22,24につき、最終的に採用されることになるセキュリティレベルを決定する手法のいくつかの具体例が日本国の公開公報である特開2005−175524号公報および特開2005−311653号公報に詳細に開示されている。したがって、ここではその手法につき、重複した説明を省略する。それら公報は、引用により、その全体が本明細書に合体させられる。
【0078】
<APのソフトウエア構成>
【0079】
図2に示すROM52には、無線LAN30内の端末20,22,24との通信や、インターネット34との接続に関する各種のプログラムと、そのプログラムの実行に必要なデータとが予め格納されている。
【0080】
具体的には、ROM52に予め格納されているプログラムは、(a)前述のMAC実現用プログラム(図示しない)と、(b)各端末20,22,24との接続を確立するためにCPU50によって実行される接続確立プログラム(図6参照)と、(c)各端末20,22,24に予め割り当てられたMACアドレスを各サブAPごとに登録するためにCPU50によって実行されるMACアドレス登録プログラム(図示しない)とを有する。
【0081】
図6に示す接続確立プログラムは、後に詳述するが、(a)上述のようにして暗号化方式を各サブAPごとに選択するためにCPU50によって実行される暗号化方式選択モジュールと、(b)最終的に採用されることになる暗号鍵を各サブAPごとに設定するためにCPU50によって実行される暗号鍵設定モジュールと、(c)各サブAPの起動・停止を制御するためにCPU50によって実行される起動・停止モジュールとを有する。
【0082】
<端末のハードウエア構成>
【0083】
各端末20,22,24は、図3(c)に示すように、よく知られているように、コンピュータ108を主体として構成されている。そのコンピュータ108は、よく知られているように、CPU110,ROM112およびRAM114がバス116によって互いに接続されて構成されている。各端末20,22,24は、さらに、記憶装置118としてのハードディスクやCD−ROMドライブ等を備えている。
【0084】
各端末20,22,24には、図1および、1台の端末20のみを代表的に示す図3(b)に示すように、AP10との間での電波の送受信を可能にする無線LAN接続用デバイスとして、無線LANアダプタ120,122,124が着脱可能に装着されている。
【0085】
各無線LANアダプタ120,122,124のデバイスドライバが、対応する端末20,22,24にインストールされ、それにより、各端末20,22,24は、装着された無線LANアダプタ120,122,124を認識し、無線LANアダプタ120,122,124を制御することが可能となる。無線LANアダプタ120,122,124にはそれぞれ、固有の識別番号であるMACアドレスが予め割り当てられている。
【0086】
各無線LANアダプタ120,122,124には、図3(b)に示すように、ワンタッチ登録ボタン130,132,134が取り付けられている。各ワンタッチ登録ボタン130,132,134の機能は後述するが、それぞれの押下げ状態が、対応する端末20,22,24のCPU110によって検出可能となっている。
【0087】
<端末のソフトウエア構成>
【0088】
各端末20,22,24のROM112には、無線LAN30の使用に先立って特定のユーティリティプログラムがインストールされる。そのユーティリティプログラムは、(a)対応可能な複数の暗号化方式の中から、最終的に採用されることになる暗号化方式を選択するためにCPU110によって実行される暗号化方式選択モジュールと、(b)最終的に採用されることになる暗号鍵を設定するためにCPU110によって実行される暗号鍵設定モジュールとを有する。
【0089】
次に、図6(a)および(b)にそれぞれ示す2つのフローチャートを参照することにより、AP10と各端末20,22,24との間において接続を確立するためにAP10と各端末20,22,24とにおいてそれぞれ実行される処理を詳細に説明する。
【0090】
図6(a)に示すフローチャートは、各端末20,22,24において実行される接続処理であり、これは、各端末20,22,24のCPU110が前記暗号化方式選択モジュールと前記暗号鍵設定モジュールとを実行する処理に相当する。これに対し、図6(b)に示すフローチャートは、AP10において実行される接続処理であり、これは、AP10のCPU50が前記暗号化方式選択モジュールと前記暗号鍵設定モジュールと前記起動・停止モジュールとを実行する処理に相当する。
【0091】
各端末20,22,24のユーザは、AP10との接続を希望する場合には、その接続に先立ち、AP10のワンタッチ登録ボタン80と、複数個のワンタッチ登録ボタン130,132,134のうち、自己の端末(以下、「対象端末」という。)に装着されている無線LANアダプタ120,122,124に対応するものとを一緒に操作する。
【0092】
図6に示すステップS100において、対象端末のCPU110が、対応するワンタッチ登録ボタン130,132,134のユーザによる操作を検出すると、次に、ステップS101において、ワンタッチ登録モードが開始される。
【0093】
ワンタッチ登録モードが開始されると、対象端末は、対応する無線LANアダプタ120,122,124のMACアドレスを特定し、無線LAN30に参加することを要求するデータに、そのMACアドレスをヘッダ情報として付加してなるパケットを、接続可能にアクセスポイントに向けて送信する。そのMACアドレスを受信したアクセスポイントは、そのMACアドレスを登録する。
【0094】
続いて、ステップS102において、ステップS101の実行終了時から所定時間が経過したか否かが判定される。今回は、所定時間が経過していないと仮定すれば、その判定がNOとなり、ステップS103において、ワンタッチ登録モードに移行したアクセスポイントが探索される。
【0095】
対象端末と通信可能なアクセスポイントが、今回は、AP10のみであると仮定すると、このステップS103においては、結局、AP10がワンタッチ登録モードに移行したか否かが判定されることになる。ただし、本実施形態においては、AP10が仮想的に1つの鍵交換用特殊サブAPZとして機能し、その鍵交換用特殊サブAPZは、特定のビーコンを送出する。
【0096】
その送出されたビーコンを対象端末が受信すると、その対象端末は、ワンタッチ登録モードに移行したアクセスポイント(今回は、AP10(=鍵交換用特殊サブAPZ))が存在すると判定し、ステップS103の判定がYESとなる。このステップS103の判定がNOであると、ステップS102に戻る。ステップS101の実行終了時からの経過時間が前記所定時間を超えないうちにステップS103の判定がYESとなれば、ステップS104に進むが、そうではない場合には、ステップS112に進み、ワンタッチ登録モードが中断される。この場合には、以上で、今回の接続処理が終了する。
【0097】
ステップS104においては、対象端末が、ワンタッチ登録モードに移行したAP10に対して接続を試行する。その後、ステップS105において、その接続の試行回数が所定回数を超えたために再試行を終了させるべきであるか否かが判定される。その試行回数が所定回数を超えた場合には、ステップS105の判定がYESとなり、ステップS102の判定がNOである場合と同様に、ステップS112において、ワンタッチ登録モードが中断される。
【0098】
試行回数が前記所定回数を超えることなく、対象端末が、ワンタッチ登録モードに移行したAP10との接続に成功すると、ステップS105の判定がYESとなり、ステップS106に移行する。
【0099】
このステップS106においては、後に詳述するが、対象端末が、AP10(正確には、鍵交換用特殊サブAPZ)との間において、セキュリティレベルに関する情報を表すパケット同士の交換を行う。すなわち、対象端末が、AP10との間において、暗号化方式の種類すなわち暗号化能力に関するネゴシエーションを行うのである。
【0100】
続いて、ステップS107において、一連のパケット交換処理が完了したか否かが判定され、完了していなければ、ステップS106に戻り、完了したならば、ステップS108に進む。したがって、ステップS106の反復的実行が必要回数行われることにより、一連のパケット交換処理が完了する。
【0101】
ところで、対象端末のユーザは、その対象端末のワンタッチ登録ボタン130,132,134を操作する時期とほぼ同じ時期に、AP10のワンタッチ登録ボタン80を操作するため、そのAP10においても、接続処理が開始される。
【0102】
この際、ユーザは、図示しない操作部を操作することにより、AP10が多重的に仮想化された複数のサブAPのうちのいずれかを対象サブAPとして選択したうえで、ワンタッチ登録ボタン80を操作すると、ユーザは、その対象サブAPに対し、一度に1台の端末20,22または24のみとの接続を要求することができる。
【0103】
したがって、同じ対象サブAPに結果的に複数台の端末20,22,24を接続することが必要である場合には、ユーザがワンタッチ登録ボタン80と、複数台の端末20,22,24のうちユーザによって選択された1台の端末のワンタッチ登録ボタン130との両方を操作するごとに、同じ対象サブAPに1台ずつ、その選択された端末20,22または24が接続されることになる。
【0104】
ただし、ワンタッチ登録ボタン80を操作すると、ユーザは、対象サブAPに対し、一度に複数台の端末20,22,24との接続を要求することができる態様で本発明を実施することが可能である。
【0105】
なお付言するに、本実施形態においては、前述のように、複数のサブAPに、各サブAPごとにセキュリティレベルが最高である暗号化方式の種類がそれらサブAP間において互いに異なるように、対応可能な暗号化方式が予め割り当てられている。したがって、ユーザは、例えば図5に示す例の如き手法に従い、対象端末に適合するセキュリティレベル、すなわち、対象端末の暗号化能力を踏まえて、それらサブAPのうちのいずれかを対象サブAPとして選択することになる。
【0106】
上記接続処理においては、具体的には、まず、ステップS200において、AP10のCPU50が、ユーザによるワンタッチ登録ボタン80の操作を検出すると、次に、ステップS201において、ワンタッチ登録モードが開始される。
【0107】
ワンタッチ登録モードが開始されると、図7に示すように、ステップS601において、鍵交換用特殊サブAPZの動作が開始される。具体的には、鍵交換用特殊サブAPZが有効にされるとともに、鍵交換用特殊サブAPZが前述の特定のビーコンを送出し、さらに、鍵交換用特殊サブAPZが、対象端末から、それのMACアドレスを含むパケットを受信し、その受信したパケットを登録する。
【0108】
続いて、図6(b)に示すステップS202において、ステップS101の実行終了時から所定時間が経過したか否かが判定される。今回は、所定時間が経過していないと仮定すれば、その判定がNOとなり、ステップS203が、ステップS106とほぼ同じ時期に実行される。これに対し、今回は、ステップS101の実行終了時からの経過時間が前記所定時間を経過したと仮定すれば、ステップS202の判定がNOとなり、ステップS208に進み、ワンタッチ登録モードが中断される。この場合には、以上で、今回の接続処理が終了する。
【0109】
ステップS203においては、後に詳述するが、AP10(正確には、鍵交換用特殊サブAPZ)が、対象端末との間において、セキュリティレベルに関する情報を表すパケット同士の交換を行う。すなわち、AP10が、対象端末との間において、AP10が対応可能な暗号化方式の種類すなわち暗号化能力に関するネゴシエーションを行うのである。
【0110】
続いて、ステップS204において、一連のパケット交換処理が完了したか否かが判定され、完了していなければ、ステップS202に戻り、完了したならば、ステップS205に進む。したがって、ステップS203の反復的実行が必要回数行われることにより、一連のパケット交換処理が完了する。
【0111】
以上説明したように、ステップS106およびS203が、対象端末およびAP10(正確には、鍵交換用特殊サブAPZ)においてそれぞれ、互いにほぼ同じ時期に実行されることにより、それら対象端末とAP10との間において、セキュリティレベルに関する情報を表すパケット同士の交換が行われる。
【0112】
<セキュリティレベルに関する情報の交換>
【0113】
ここで、それらステップS106およびS203において、セキュリティレベルに関する情報を対象端末とAP10との間において交換するために実行されるパケット交換処理を時系列的にさらに詳細に説明する。ステップS106の詳細は図8(a)、ステップS203の詳細は図8(b)にそれぞれフローチャートで表されている。
【0114】
サブステップS1
【0115】
まず、対象端末から、AP10に向けて、セキュリティ情報を作成することをAP10に要求するためのリクエストを送出する。
【0116】
サブステップS2
【0117】
次に、AP10から、対象端末に向けて、上記リクエストに対するレスポンスを表すリプライを送出する。このとき、AP10は、最初に、セキュリティ情報の作成リクエストを受領した時点で、各サブAPごとに、その使用中にAP10が対応可能である複数の暗号化方式のすべてにつき、個々に、暗号化方式の種類であるSecTypeと、暗号鍵の値であるSecKeyとを決定する。これにより、セキュリティ情報、すなわち、対応可能な暗号化方式の種類に関する情報が作成される。
【0118】
本実施形態においては、AP10が、前述のように、各端末20,22,24との実質的な通信を行うために、暗号化方式の種類を差別化することが可能な複数のサブAPとして仮想的に多重化されている。すなわち、AP10は、マルチAPモードとして動作可能であるように設計されているのである。
【0119】
サブステップ3
【0120】
続いて、対象端末から、AP10に向けて、その対象端末が対応可能である少なくとも1つの暗号化方式の種類を表すデータを送出する。例えば、対象端末が、図5において端末No.1で示すように、AESと、TKIPと、WEP124と、WEP64とに対応可能である場合には、それら4つの暗号化方式の種類を表すデータをAP10に対して送出する。
【0121】
サブステップ4
【0122】
その後、AP10は、受信したデータに基づき、対象端末が対応可能である暗号化方式を特定し、それを踏まえて、AP10が、各サブAPごとに、対応可能な暗号化方式を絞り込む。
【0123】
具体的には、図5に示すように、今回のサブAPが対応可能である暗号化方式がAESのみであり、かつ、対象端末が、図5において端末No.1で示すように、AESとTKIPとWEP168とWEP64とに対応可能である場合には、対象サブAPと対象端末とが、互いに共通して対応可能である暗号化方式が、AESのみとなる。よって、この場合には、対象端末の都合により、サブ対象サブAPが対応可能である暗号化方式がAESのみに絞り込まれる。
【0124】
また、図5に示すように、今回のサブAPが対応可能である暗号化方式がTKIPとWEP128とWEP64との3種類であり、かつ、対象端末が、図5において端末No.3で示すように、TKIPとWEP168とWEP64とに対応可能である端末と、端末No.4で示すように、WEP128とWEP64とに対応可能である端末とを含む場合には、対象サブAPとそれら2台の対象端末とが、互いに共通して対応可能である暗号化方式が、WEP128とWEP64との2種類となる。よって、この場合には、対象端末の都合により、サブ対象サブAPが対応可能である暗号化方式が、WEP128およびWEP64の2種類に絞り込まれる。
【0125】
以上説明した処理が、対象端末におけるステップS106とAP10におけるステップS203とが実行されることによって行われるセキュリティ情報パケットの交換処理である。このパケット交換処理中は、対象端末とAP10とは、相手側MACアドレスを特定した上で暗号化を行って互いに交信している。
【0126】
一連のパケット交換処理が完了すると、AP10は、図6(b)に示すように、ステップS205において、複数のサブAPのうち、対象端末に接続される予定のもの(以下、「対象サブAP」という。)について、セキュリティレベルに関する情報が設定される。
【0127】
このステップS205においては、図8(b)に詳細に示すように、まず、ステップS401において、AP10(正確には、対象サブAP)が、対象端末から通知された暗号化方式の種類の中からセキュリティレベルが最高であるものを、最終的に採用する暗号化方式の候補である候補暗号化方式として選択する。
【0128】
このステップS401が実行されると、例えば、対象端末から、暗号化方式としてAESとTKIPとWEP128とWEP64とが通知された場合には、セキュリティレベルが最高である暗号化方式は、AESであり、これが、候補暗号化方式として選択される。
【0129】
その後、ステップS402において、対象サブAPは、ステップS401において選択された候補暗号化方式のセキュリティレベルと、現在の最高セキュリティレベルとを互いに比較する。ここで、「現在の最高セキュリティレベル」とは、対象サブAPが対応可能である少なくとも1つの暗号化方式を、上述のようにして、対象端末が対応可能な暗号化方式をもとに絞り込んだ暗号化方式の中でセキュリティレベルが最も高いものを意味する。
【0130】
なお付言するに、対象端末が、対象サブAPが最初にセキュリティ情報パケットの交換処理を行った端末である場合には、その交換処理の時点では、対象サブAPが採用する暗号化方式が、その対象端末から通知された暗号化方式の中のセキュリティレベルが最高のものと一致する。
【0131】
しかし、対象端末が、対象サブAPが最初にセキュリティ情報パケットの交換処理を行った端末ではない場合には、その交換処理の時点では、対象サブAPが採用する暗号化方式が、過去に無線接続された別の端末が対応可能な暗号化方式のもとにセキュリティレベルが低下させられている可能性があるため、対象端末から通知された暗号化方式の中のセキュリティレベルが最高のものと一致するとは限らない。
【0132】
今回は、候補暗号化方式のセキュリティレベルが、現在の最高セキュリティレベルより高いと仮定すると、ステップS402の判定がYESとなり、ステップS403において、対象サブAPが採用する暗号化方式がこれまでと同じものに維持され、その結果、対象サブAPのセキュリティレベルが、現在の最高セキュリティレベルに維持される。
【0133】
これに対して、今回は、候補暗号化方式のセキュリティレベルが、現在の最高セキュリティレベルと一致するかまたはそれより低いと仮定すると、ステップS402の判定がNOとなり、ステップS404において、候補暗号化方式が、対象サブAPが採用する暗号化方式として採用される。
【0134】
なお付言するに、それらステップS402ないしS404の実行内容は、ユーザがセキュリティレベルを設定する際のポリシーの一例を反映するものであるから、これに限定されない。
【0135】
AP10の側におけるセキュリティ情報のパケット交換処理を終了すると、図6に示す。ステップS205において、ステップS203の実行結果が反映されるようにセキュリティ情報が設定される。
【0136】
具体的には、図8に示すステップS403またはS404の実行によって決定された暗号化方式の種類が、(a)対象サブAPと対象端末との間の暗号化通信において最終的に採用することになる暗号化方式の種類であることと、(b)その種類の暗号化方式に対応する対象端末のID(すなわち、ステーションID)と暗号鍵の値とが、その後の無線通信のための暗号化と復号化とに採用される旨の情報が設定される。
【0137】
その後、図6に示すステップS206において、各サブAPごとに、動作の開始または停止が行われる。
【0138】
このステップS206の詳細が、図9にフローチャートで概念的に表されている。このステップS206においては、まず、ステップS501において、サブAP1に接続可能な端末の情報が存在するか否かが判定される。存在する場合には、ステップS502において、サブAP1の動作が開始されるが、存在しない場合には、ステップS503において、サブAP1の動作が停止させられる。
【0139】
いずれの場合にも、その後、ステップS504において、サブAP2に接続可能な端末の情報が存在するか否かが判定される。存在する場合には、ステップS505において、サブAP2の動作が開始されるが、存在しない場合には、ステップS506において、サブAP2の動作が停止させられる。
【0140】
いずれの場合にも、その後、ステップS507において、サブAP3に接続可能な端末の情報が存在するか否かが判定される。存在する場合には、ステップS508において、サブAP3の動作が開始されるが、存在しない場合には、ステップS509において、サブAP3の動作が停止させられる。
【0141】
以上のようにして図6に示すステップS206の実行が終了すると、続いて、ステップS207において、動作中の各サブAPにつき、AP10の動作モードがワンタッチ登録モードから通常の無線交信モードに切り替えられる。ステップS202の判定がYESとなった場合にも、同様に、ステップS208において、ワンタッチ登録モードが終了させられるが、この場合には、パケット通信もセキュリティレベルの登録も完了していない状態でワンタッチ登録モードが終了させられる。
【0142】
これに対し、対象端末の側においては、一連のパケット交換が完了すると、ステップS108において、ステップS107の判定がYESとなった時期からの経過時間が所定時間を超えたか否かが判定される。今回は、所定時間を超えていないと仮定すると、ステップS109において、AP10から受信したセキュリティ情報から、動作中のサブAPであって無線交信モードにあるものが発見されたか否かが判定される。
【0143】
具体的には、まず、対象端末は、アクセス可能なサブAPのSSIDを取得する。この手続は、規格IEEE802.11に規定された通信に関する仕様に従って実行されるものであり、対象端末においては、サブAPから送出された特定のビーコンを受信することにより、現在アクセス可能なサブAPのSSIDを取得することができる。なぜなら、その特定のビーコンに、サブAPのSSIDが埋め込まれているからである。さらに、その取得されたサブAPのSSIDと、先に受信したセキュリティ情報とが互いに比較される。その比較により、サブAPが、対象端末との通信(暗号化および復号化)のために採用する暗号化方式と暗号鍵の値とが特定される。
【0144】
ステップS107の判定がYESとなった時期からの経過時間が前記所定時間を超えないうちに、動作中のサブAPであって無線交信モードにあるものを発見することができなかった場合には、ステップS109の判定がNOとなった後にステップS108がYES
となり、その後、ステップS112において、今回のワンタッチ登録モードが中断される。
【0145】
これに対し、ステップS107の判定がYESとなった時期からの経過時間が前記所定時間を超えないうちに、動作中のサブAPであって無線交信モードにあるものを発見することができた場合には、ステップS108の判定がYESとなる前にステップS109の判定がYESとなり、その結果、ステップS110に進む。
【0146】
このステップS110においては、発見されたサブAPの状態に合わせて、そのサブAPから受信したセキュリティ情報が対象端末内に設定される。その結果、対象端末においては、サブAPから受信したセキュリティ情報に含まれる暗号化方式の種類と暗号鍵の値とが、対象端末において、その後の暗号化と復号化とに利用される。
【0147】
その後、ステップS111において、対象端末が、発見されたサブAPに接続される。対象端末は、続いて、そのサブAPとの接続状態を定期的に監視するために接続監視モードを開始する。
【0148】
対象端末が、AP10との接続状態を定期的に監視する手法のいくつかの具体例が日本国の公開公報である特開2005−175524号公報および特開2005−311653号公報に詳細に開示されている。したがって、ここではその手法につき、重複した説明を省略する。それら公報は、引用により、その全体が本明細書に合体させられる。
【0149】
<初期設定後におけるサブAPの停止>
【0150】
本実施形態においては、AP10が、ワンタッチ登録ボタン80の初回の操作に応答して少なくとも1つの端末20,22,24との接続が確立された後、すなわち、それぞれが採用すべき暗号化方式の種類に関する初回のネゴシエーションの終了後に、各サブAPごとに、各端末20,22,24との接続状態を定期的に監視するように設計されている。AP10は、さらに、その接続監視中、いずれの端末20,22,24とも接続されていないサブAPについては、その動作を停止させるように設計されている。
【0151】
そのために、サブAP停止プログラムがAP10のCPU50によって実行される。そのサブAP停止プログラムは、ROM52に予め格納されている。
【0152】
図10には、そのサブAP停止プログラムがフローチャートで概念的に表されている。このマルチ停止プログラムが起動すると、まず、ステップS601において、サブAP1に少なくとも1つの端末20,22,24が接続中であるか否かが判定される。今回は、サブAP1にいずれの端末20,22,24も接続されていないと仮定すると、ステップS601の判定がNOとなり、ステップS602において、サブAP1の動作が停止させられる。
【0153】
これに対し、今回は、サブAP1に少なくとも1つの端末20,22,24が接続中であると仮定すれば、ステップS601の判定がYESとなり、ステップS602がスキップされた後、ステップS603に移行する。
【0154】
このステップS603においては、サブAP2に少なくとも1つの端末20,22,24が接続中であるか否かが判定される。今回は、サブAP2にいずれの端末20,22,24も接続されていないと仮定すれば、ステップS603の判定がNOとなり、ステップS604において、サブAP2の動作が停止させられる。
【0155】
これに対し、今回は、サブAP2に少なくとも1つの端末20,22,24が接続中であると仮定すれば、ステップS603の判定がYESとなり、ステップS604がスキップされた後、ステップS605に移行する。
【0156】
このステップS605においては、サブAP3に少なくとも1つの端末20,22,24が接続中であるか否かが判定される。今回は、サブAP3にいずれの端末20,22,24も接続されていないと仮定すれば、ステップS605の判定がNOとなり、ステップS606において、サブAP2の動作が停止させられる。
【0157】
これに対し、今回は、サブAP3に少なくとも1つの端末20,22,24が接続中であると仮定すれば、ステップS605の判定がYESとなり、ステップS606がスキップされた後、ステップS607に移行する。
【0158】
このステップS607においては、一定時間が経過するのが待たれる。その後、ステップS601ないしS606の2回目の実行が行われる。それらステップS601ないしS607の実行は、AP10の電源がオフにされるまで、反復され、その結果、各サブAPごとに、各端末20,22,24との接続状態が定期的に監視される。
【0159】
このサブAP停止プログラムが実行されるおかげで、ワンタッチ登録ボタン80の初回の操作に応答してAP10と複数の端末20,22,24との間に接続が確立された後に少なくとも1つの端末20,22,24が無線LAN30から脱退し、かつ、その脱退に伴って動作不要となったサブAPが出現した場合に、そのサブAPが無駄に動作状態に維持されてしまうことが防止される。一方、動作不要となったサブAPを停止させることは、AP10のセキュリティを向上させる観点や、AP10を動作させるためにAP10に課される負荷を低減させる観点から望ましい。
【0160】
<初期設定後におけるサブAPの起動>
【0161】
本実施形態においては、AP10が、ワンタッチ登録ボタン80の初回の操作に応答して少なくとも1つの端末20,22,24との接続が確立された後、すなわち、それぞれが採用すべき暗号化方式の種類に関する初回のネゴシエーションの終了後に、ワンタッチ登録ボタン80がユーザによって再度操作されるごとに、またはワンタッチ登録ボタン80とは別の操作部材がユーザによって操作されるごとに、各操作に応答して、すべてのサブAPの動作を開始するように設計されている。
【0162】
そのために、サブAP開始プログラムがAP10のCPU50によって実行される。そのサブAP開始プログラムは、ROM52に予め格納されている。
【0163】
図11には、そのサブAP開始プログラムがフローチャートで概念的に表されている。このマルチ開始停止プログラムが起動すると、ステップS701において、すべてのサブAP、すなわち、本実施形態においては、サブAP1ないし3の動作が開始される。
【0164】
このサブAP開始プログラムが実行されるおかげで、ワンタッチ登録ボタン80の初回の操作に応答してAP10と少なくとも1つの端末20,22,24との接続が確立された後に別の端末が無線LAN30に加入しようとし、かつ、その加入に伴って動作が必要となったサブAPが出現した場合に、そのサブAPが停止状態に維持されて無線LAN30のリソースの全体を効率よく利用できない事態の発生が防止される。
【0165】
本実施形態においては、複数のサブAPおよび複数の端末20,22,24がそれぞれ採用すべき暗号化方式の種類を決定するための初回のネゴシエーションの終了後に、ワンタッチ登録ボタン80がユーザによって再度操作される(前記(6)項における「第2のリクエスト」の一例)か、またはワンタッチ登録ボタン80とは別の操作部材がユーザによって操作される(前記(6)項における「第2のリクエスト」の別の例)と、サブAP開始プログラムの実行により、すべてのサブAPの動作が開始される。
【0166】
なお付言するに、本実施形態においては、ユーザがAP10に対して上記「第1のリクエスト」および「第2のリクエスト」をそれぞれ行うために、物理的存在としてのワンタッチ登録ボタン80またはそれとは別の操作部材が使用されるが、それらワンタッチ登録ボタン80および別の操作部材は、同じネットワークに接続されたPCの画面上に表示される仮想的なボタンに変更し、そのボタンの操作に応答してそのPCから送信される特定の信号をAP10が受信することに応答して、AP10が、対応する動作を開始するようにしてもよい。すなわち、AP10に特定の動作を行わせるために物理的存在としてのワンタッチ登録ボタン80または別の操作部材を用意することは本発明を実施するために不可欠なことではないのである。
【0167】
その後、それらサブAPと、それらサブAPに現に接続されているかまたはこれから接続されようとしている端末20,22,24との間における暗号化方式の種類を決定するための再度のネゴシエーションが、図6に表されるような手順で行われる。その結果、各サブAPごとに、各端末20,22,24が採用すべき暗号化方式の種類が改めて決定される。すなわち、各サブAPと端末との間における最新の接続状態が反映されるように、そのサブAPに採用される暗号化方式のセキュリティレベルが更新されるのである。
【0168】
以上の説明から明らかなように、本実施形態においては、AP10が、対応可能なセキュリティレベルに関して多重化された複数のサブAPに仮想化されており、しかも、それら複数のサブAPが、それぞれが対応可能なセキュリティレベルの設定に関して互いに独立している。
【0169】
したがって、本実施形態によれば、互いに異なる複数のサブAPにそれぞれ接続される複数の端末が、それぞれが対応可能なセキュリティレベルに関して互いに異なる場合に、あるサブAPに属する端末が最終的に採用することになるセキュリティレベルが、他のサブAPに属する端末が対応可能なセキュリティレベルに依存せずに済む。
【0170】
その結果、例えば、あるサブAPに属する端末が最終的に採用することになるセキュリティレベルを決定する際に、他のサブAPに属する端末が対応可能なセキュリティレベルが低いことが原因で、そのあるサブAPに属する端末が最終的に採用することになるセキュリティレベルが低い側に引っ張られてしまうことが防止される。
【0171】
ところで、従来においては、AP10と各端末とに共通に採用される最適な暗号化方式を選択するためにそれらAP10と各端末との間において暗号鍵交換が行われる際には、データ通信に使用されるAP10のSSIDとは異なるSSIDが使用される。SSIDの切替えが必要なのであり、そのため、暗号鍵交換の実行が原因でデータ通信が一時的に途切れてしまう。
【0172】
これに対し、本実施形態においては、複数のサブAPが、動作上、互いに独立しており、しかも、各端末とのデータ通信のためのサブAPと、各端末との暗号鍵交換のためのサブAPとが互いに分離している。したがって、暗号鍵交換の実行が原因でデータ通信が一時的に途切れてしまう事態の発生が回避される。
【0173】
以上の説明から明らかなように、本実施形態においては、説明の便宜上、サブAP1ないし3がそれぞれ、前記(1)項における「通常サブアクセスポイント」の一例を構成し、AP10の前記コンピュータのうち、図8に示すステップS401ないし404を実行する部分が、前記(2)項における「セレクタ」の一例を構成していると考えることが可能である。
【0174】
さらに、本実施形態においては、説明の便宜上、鍵交換用特殊サブAPZが前記(3)項における「特殊サブアクセスポイント」の一例を構成し、AP10の前記コンピュータのうち、図6に示すステップS206(図9参照)を実行する部分が、前記(4)項における「起動・停止手段」の一例を構成していると考えることが可能である。
【0175】
さらに、本実施形態においては、説明の便宜上、AP10の前記コンピュータのうち、図10に示すサブAP停止プログラムを実行する部分が、前記(5)項における「停止手段」の一例を構成し、AP10の前記コンピュータのうち、図11に示すサブAP開始プログラムを実行する部分が、前記(6)項における「起動手段」の一例を構成していると考えることが可能である。
【0176】
さらに、本実施形態においては、説明の便宜上、MAC100が、前記(7)項における「1つの物理MAC」の一例を構成し、各仮想MAC1,2,3が、同項における「仮想MAC」の一例を構成し、各仮想MAC1,2,3のSSIDが、同項における「識別子」の一例を構成していると考えることが可能である。
【0177】
なお付言するに、本実施形態においては、前記(1)項における「複数のサブアクセスポイント」が、物理的には1つしか存在しないが論理的には複数存在する仮想的なサブAPとして具体化されているが、これに限定されることなく、例えば、ハウジング40内に収容された複数の物理的存在であるサブアクセスポイントとして具体化してもよい。この場合、それら複数の物理的なサブアクセスポイントはそれぞれ、対応する物理的なMACを有するように構成されることになる。
【0178】
以上、本発明の実施の形態のいくつかを図面に基づいて詳細に説明したが、これらは例示であり、前記[発明の開示]の欄に記載の態様を始めとして、当業者の知識に基づいて種々の変形、改良を施した他の形態で本発明を実施することが可能である。
【図面の簡単な説明】
【0179】
【図1】本発明の一実施形態に従う無線LAN用アクセスポイントを用いる無線LANシステムをグローバルネットワークの一例であるインターネットと共に示す斜視図である。
【図2】図1に示す無線LAN用アクセスポイントのハードウエア構成を概念的に表すブロック図である。
【図3】図3(a)は、図1に示す無線LAN用アクセスポイントを示す斜視図であり、図3(b)は、図1に示す複数の端末のうち代表的なものを、それに装着された無線LAN接続用アダプタと共に示す斜視図であり、図3(c)は、図3(b)に示す端末の主体を構成するコンピュータのハードウエア構成を概念的に表すブロック図である。
【図4】図1に示す無線LAN用アクセスポイントが、暗号化方式の種類に関して多重化された複数の仮想的なサブAPとして構成される様子と、それらサブAPに複数の端末が無線接続される様子とを説明するためのブロック図である。
【図5】図4に示す複数のサブAPが、対応可能なセキュリティレベルに関して互いに異なる様子と、各サブAPごとに、それに無線接続される端末が対応可能なセキュリティレベルに応じて、各サブAPが採用するセキュリティレベルが設定される様子とを説明するために表である。
【図6】図6(a)は、図1に示す各端末において実行される接続確立プログラムを概念的に表すフローチャートであり、図6(b)は、図1に示す無線LAN用アクセスポイントにおいて実行される接続確立プログラムを概念的に表すフローチャートである。
【図7】図6におけるステップS201の詳細を概念的に表すフローチャートである。
【図8】図8(a)は、図6におけるステップS106の詳細を概念的に表すフローチャートであり、図8(b)は、図6におけるステップS203の詳細を概念的に表すフローチャートである。
【図9】図6におけるステップS206の詳細を概念的に表すフローチャートである。
【図10】図1に示す無線LAN用アクセスポイントにおいて実行されるサブAP開始プログラムを概念的に表すフローチャートである。
【図11】図1に示す無線LAN用アクセスポイントにおいて実行されるサブAP停止プログラムを概念的に表すフローチャートである。
【特許請求の範囲】
【請求項1】
複数台の端末と共同して無線LAN(Local Area Network)を構築し、前記複数台の端末間において信号を中継する機能を有する無線LAN用アクセスポイントであって、
複数の論理的または物理的なサブアクセスポイントであって、それぞれが固有の識別子を有して互いに識別可能であるとともに、それぞれが互いに独立して動作可能であるものを含み、
それらサブアクセスポイントは、複数の通常サブアクセスポイントを含み、
各通常サブアクセスポイントは、その使用中に各通常サブアクセスポイントが対応可能である少なくとも1つの暗号化方式を有し、
各通常サブアクセスポイントには、前記少なくとも1つの暗号化方式が、各通常サブアクセスポイントごとにセキュリティレベルが最高である暗号化方式の種類が各通常サブアクセスポイントごとに異なるように、予め割り当てられている
無線LAN用アクセスポイント。
【請求項2】
各通常サブアクセスポイントごとに、各通常サブアクセスポイントに無線接続されるべき少なくとも1台の端末が最終的に採用することになる暗号化方式のセキュリティレベルを、他の通常サブアクセスポイントに属する他の端末が対応可能である暗号化方式のセキュリティレベルとは無関係に選択するセレクタを含む請求項1に記載の無線LAN用アクセスポイント。
【請求項3】
前記セレクタは、各通常サブアクセスポイントごとに、各通常サブアクセスポイントが対応可能であるセキュリティレベルと、前記少なくとも1台の端末が対応可能であるセキュリティレベルとに関して、その少なくとも1台の端末と当該無線LAN用アクセスポイントとの間においてネゴシエーションを行い、それにより、各通常サブアクセスポイントごとに、前記少なくとも1台の端末が最終的に採用することになる暗号化方式のセキュリティレベルを選択し、
前記複数のサブアクセスポイントは、さらに、前記ネゴシエーションを行うために前記少なくとも1台の端末との間において暗号鍵を交換する特殊サブアクセスポイントを含み、
その特殊サブアクセスポイントは、前記複数の通常サブアクセスポイントについて共通に使用される請求項2に記載の無線LAN用アクセスポイント。
【請求項4】
当該無線LAN用アクセスポイントと少なくとも1台の端末との間の接続を確立するために当該無線LAN用アクセスポイントに対してユーザが第1のリクエストを行うことに応答して、前記複数の通常サブアクセスポイントのうち、それに接続可能な端末が存在するものを起動を開始させる一方、存在しないものを停止させる起動・停止手段を含む請求項1ないし3のいずれかに記載の無線LAN用アクセスポイント。
【請求項5】
当該無線LAN用アクセスポイントと前記少なくとも1台の端末との間の接続が確立された後に、各通常サブアクセスポイントごとに、その通常サブアクセスポイントにいずれの端末も接続されていないか否かを判定し、前記複数の通常サブアクセスポイントのうち、いずれの端末とも接続されていないものを停止させる停止手段を含む請求項4に記載の無線LAN用アクセスポイント。
【請求項6】
当該無線LAN用アクセスポイントと前記少なくとも1台の端末との間の接続が確立された後に、その少なくとも1台の端末とは別の少なくとも1台の端末と当該無線LAN用アクセスポイントとの間の接続を確立するために当該無線LAN用アクセスポイントに対してユーザが第2のリクエストを行うことに応答して、前記複数の通常サブアクセスポイントのうち、ユーザによって指定された一部の通常サブアクセスポイントまたは全部の通常サブアクセスポイントを起動させる起動手段を含む請求項4または5に記載の無線LAN用アクセスポイント。
【請求項7】
物理的存在としての1つの物理MAC(Media Access Control)を含み、
その物理MACは、それぞれ互いに異なるセキュリティレベルでの暗号化通信を時分割的に行わせられることにより、複数の仮想MACとして機能させられ、
それら複数の仮想MACは、それぞれ互いに異なる識別子を予め割り当てられ、
前記複数の論理的なサブアクセスポイントは、前記複数の仮想MACをそれぞれ含むように構成される請求項1ないし6のいずれかに記載の無線LAN用アクセスポイント。
【請求項8】
請求項2もしくは3に記載のセレクタ、請求項4に記載の起動・停止手段、請求項5に記載の停止手段または請求項6に記載の起動手段を機能させるためにコンピュータによって実行されるプログラム。
【請求項9】
請求項8に記載のプログラムをコンピュータ読取り可能に記録した記録媒体。
【請求項1】
複数台の端末と共同して無線LAN(Local Area Network)を構築し、前記複数台の端末間において信号を中継する機能を有する無線LAN用アクセスポイントであって、
複数の論理的または物理的なサブアクセスポイントであって、それぞれが固有の識別子を有して互いに識別可能であるとともに、それぞれが互いに独立して動作可能であるものを含み、
それらサブアクセスポイントは、複数の通常サブアクセスポイントを含み、
各通常サブアクセスポイントは、その使用中に各通常サブアクセスポイントが対応可能である少なくとも1つの暗号化方式を有し、
各通常サブアクセスポイントには、前記少なくとも1つの暗号化方式が、各通常サブアクセスポイントごとにセキュリティレベルが最高である暗号化方式の種類が各通常サブアクセスポイントごとに異なるように、予め割り当てられている
無線LAN用アクセスポイント。
【請求項2】
各通常サブアクセスポイントごとに、各通常サブアクセスポイントに無線接続されるべき少なくとも1台の端末が最終的に採用することになる暗号化方式のセキュリティレベルを、他の通常サブアクセスポイントに属する他の端末が対応可能である暗号化方式のセキュリティレベルとは無関係に選択するセレクタを含む請求項1に記載の無線LAN用アクセスポイント。
【請求項3】
前記セレクタは、各通常サブアクセスポイントごとに、各通常サブアクセスポイントが対応可能であるセキュリティレベルと、前記少なくとも1台の端末が対応可能であるセキュリティレベルとに関して、その少なくとも1台の端末と当該無線LAN用アクセスポイントとの間においてネゴシエーションを行い、それにより、各通常サブアクセスポイントごとに、前記少なくとも1台の端末が最終的に採用することになる暗号化方式のセキュリティレベルを選択し、
前記複数のサブアクセスポイントは、さらに、前記ネゴシエーションを行うために前記少なくとも1台の端末との間において暗号鍵を交換する特殊サブアクセスポイントを含み、
その特殊サブアクセスポイントは、前記複数の通常サブアクセスポイントについて共通に使用される請求項2に記載の無線LAN用アクセスポイント。
【請求項4】
当該無線LAN用アクセスポイントと少なくとも1台の端末との間の接続を確立するために当該無線LAN用アクセスポイントに対してユーザが第1のリクエストを行うことに応答して、前記複数の通常サブアクセスポイントのうち、それに接続可能な端末が存在するものを起動を開始させる一方、存在しないものを停止させる起動・停止手段を含む請求項1ないし3のいずれかに記載の無線LAN用アクセスポイント。
【請求項5】
当該無線LAN用アクセスポイントと前記少なくとも1台の端末との間の接続が確立された後に、各通常サブアクセスポイントごとに、その通常サブアクセスポイントにいずれの端末も接続されていないか否かを判定し、前記複数の通常サブアクセスポイントのうち、いずれの端末とも接続されていないものを停止させる停止手段を含む請求項4に記載の無線LAN用アクセスポイント。
【請求項6】
当該無線LAN用アクセスポイントと前記少なくとも1台の端末との間の接続が確立された後に、その少なくとも1台の端末とは別の少なくとも1台の端末と当該無線LAN用アクセスポイントとの間の接続を確立するために当該無線LAN用アクセスポイントに対してユーザが第2のリクエストを行うことに応答して、前記複数の通常サブアクセスポイントのうち、ユーザによって指定された一部の通常サブアクセスポイントまたは全部の通常サブアクセスポイントを起動させる起動手段を含む請求項4または5に記載の無線LAN用アクセスポイント。
【請求項7】
物理的存在としての1つの物理MAC(Media Access Control)を含み、
その物理MACは、それぞれ互いに異なるセキュリティレベルでの暗号化通信を時分割的に行わせられることにより、複数の仮想MACとして機能させられ、
それら複数の仮想MACは、それぞれ互いに異なる識別子を予め割り当てられ、
前記複数の論理的なサブアクセスポイントは、前記複数の仮想MACをそれぞれ含むように構成される請求項1ないし6のいずれかに記載の無線LAN用アクセスポイント。
【請求項8】
請求項2もしくは3に記載のセレクタ、請求項4に記載の起動・停止手段、請求項5に記載の停止手段または請求項6に記載の起動手段を機能させるためにコンピュータによって実行されるプログラム。
【請求項9】
請求項8に記載のプログラムをコンピュータ読取り可能に記録した記録媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2009−55381(P2009−55381A)
【公開日】平成21年3月12日(2009.3.12)
【国際特許分類】
【出願番号】特願2007−220472(P2007−220472)
【出願日】平成19年8月28日(2007.8.28)
【出願人】(390040187)株式会社バッファロー (378)
【Fターム(参考)】
【公開日】平成21年3月12日(2009.3.12)
【国際特許分類】
【出願日】平成19年8月28日(2007.8.28)
【出願人】(390040187)株式会社バッファロー (378)
【Fターム(参考)】
[ Back to top ]