无线LAN接入点装置、非法管理帧检测方法制造方法及图纸

本发明专利技术提供一种以通用的方法适当地防御对无线LAN网络的非法访问的无线LAN接入点装置、非法管理帧检测方法。接入点(20)在每次从终端(STA1、STA2)接收到帧时存储序列号。然后，在接收到认证解除帧时，在满足以下条件中的任一个条件的情况下，将接收到的认证解除帧判断为非法帧，禁止认证解除处理，所述条件为：1)在接收到的认证解除帧的序列号与已存储的序列号中存在重复的编号；2)已存储的序列号中的与接收到的认证解除帧所包含的序列号最接近的编号和接收到的认证解除帧所包含的序列号之差超过规定范围；3)在接收到认证解除帧之后，在规定期间D1内接收到序列号与认证解除帧的序列号重复的帧。

【技术实现步骤摘要】
本申请是申请日为2010年5月21日、申请号为201010182893.8、专利技术名称为“无线LAN接入点装置、非法管理帧检测方法”的申请的分案申请。 
本专利技术涉及一种通过无线通信路径与无线终端之间进行使用了帧的数据的发送接收的无线LAN接入点装置。 
技术介绍
近年来，基于IEEE802.11标准的无线LAN设备得到广泛普及。在上述无线LAN设备中，通过交换被称为管理帧的包来对连接状态等信息进行信息控制。不对管理帧进行加密处理/签名处理就进行交换，因此成为能够对无线LAN网络进行非法访问的较大原因，在以往就被指出了安全方面的问题。 作为这种非法访问，例如想到由第三方进行伪装的“欺骗(spoofing)”。具体地说，例如当进行非法访问的第三方的无线LAN终端冒充具有访问权限的合法无线LAN终端对合法接入点发送认证解除帧时，该接入点解除认证。与此相对地，认证被解除的合法无线LAN终端再次发送认证请求帧。由第三方所准备的非法接入点接收该认证请求帧来构建连接关系，由此有可能从合法无线LAN终端泄漏信息。 对于这种问题，近年来通过对管理帧附加签名来提高安全性的技术的开发/标准化研究有所进展(IEEE802.11TGw)。但是，在普及这种标准之前的期间内设计出的无线LAN设备仍然残留有安全问题。另外，由于无法将新旧机种混合利用，因此需要 将现有的无线LAN设备全部更新，从成本、节省资源等观点来看存在问题。 专利文献1：日本特开2007-089006号公报 专利文献2：日本特开2008-072402号公报 专利文献3：日本特开2006-279438号公报 
技术实现思路
专利技术要解决的问题考虑到上述问题的至少一部分，本专利技术要解决的问题是以通用的方法来适当地防御对无线LAN网络的非法访问。 用于解决问题的方案本专利技术是为了解决上述问题的至少一部分而完成的，能够实现为以下的方式或应用例。 [应用例1]一种无线LAN接入点装置，通过无线通信路径与无线终端之间进行使用了帧的数据的发送接收，该无线LAN接入点装置具备：通信单元，其与上述无线终端之间进行上述帧的发送接收；执行单元，其在上述通信单元从上述无线终端接收到规定的管理帧时，执行与该管理帧对应的处理；序列监视单元，其在每次上述通信单元接收到上述帧时，掌握该帧所包含的序列号；以及非法判断单元，其在第一序列号和第二序列号满足规定条件的情况下，将接收到的该管理帧判断为非法帧其中，上述第一序列号是上述序列监视单元所掌握的序列号，上述第二序列号是接收到的上述管理帧所包含的序列号。 这种结构的无线LAN接入点装置在每次接收到帧时，掌握该帧所包含的序列号，在从无线终端接收到管理帧时，根据序列监视单元所掌握的序列号和管理帧所包含的序列号来进行非法帧的判断。因而，能够检测到非法管理帧，从而对欺骗攻击 采取各种对策。另外，使用序列号进行非法帧的检测，因此结构较为简单。另外，由于使用序列号来在无线LAN接入点装置侧检测非法帧，因此只要是使用序列号发送帧的无线终端，对于任何标准的无线终端都能够应用，通用性较高，从而有助于节省资源、降低成本。即，在无线终端侧不需要特别的结构，对于已普及的无线终端也能够直接应用，另外，在新旧标准的无线终端混合存在的情况下也能够应用。 [应用例2]一种无线LAN接入点装置，通过无线通信路径与无线终端之间进行帧的发送接收，该无线LAN接入点装置具备：通信单元，其与上述无线终端之间进行上述帧的发送接收；执行单元，其在上述通信单元从上述无线终端接收到规定的管理帧时，执行与该管理帧对应的处理；序列监视单元，其在每次上述通信单元接收到上述帧时，掌握该帧所包含的序列号；电波强度监视单元，其与发送上述帧的上述无线终端的识别信息相对应地监视接收到该帧时的接收电波强度；以及非法判断单元，其在第一序列号和第二序列号满足规定条件且上述接收电波强度的每规定期间的变化量超过了规定范围的情况下，将接收到的上述管理帧判断为非法帧，其中，上述第一序列号是上述序列监视单元所掌握的序列号，上述第二序列号是接收到的上述管理帧所包含的序列号，上述接收电波强度与发送上述管理帧的上述无线终端的识别信息相对应，是上述电波强度监视单元所监视的接收电波强度中的接收到上述管理帧时的接收电波强度。 这种结构的无线LAN接入点装置起到与应用例1同样的效果。另外，能够使用不同角度的两个方法来检测非法帧，因此能够提高非法帧检测的准确度，从而提高安全性。 [应用例3]根据应用例1或2所记载的无线LAN接入点装置， 在上述非法判断单元将接收到的上述管理帧判断为非法帧的情况下，上述执行单元禁止执行与接收到的该管理帧对应的处理。 这种结构的无线LAN接入点装置在将接收到的管理帧判断为非法帧的情况下，禁止执行与接收到的管理帧对应的处理，因此能够适当地防御欺骗攻击。 [应用例4]根据应用例1～3中的任一项所记载的无线LAN接入点装置，上述执行单元包括进行认证处理和认证解除处理的认证单元，该认证处理用于使上述无线终端能够通过上述无线LAN接入点装置进行通信，上述规定的管理帧包含请求上述认证解除处理的认证解除帧。 这种结构的无线LAN接入点装置能够检测到非法认证解除帧，因此能够对使用了认证解除帧的欺骗攻击采取各种对策。 [应用例5]根据应用例1～4中的任一项所记载的无线LAN接入点装置，上述规定条件中的至少一个条件是在已掌握的上述第一序列号和上述第二序列号中存在重复的编号。 序列号是以帧为发送单位而连续的数值，因此具有在大致相同的期间内不会产生相同的编号的特征。这种结构的无线LAN接入点装置活用序列号的这种特征，能够进行准确度高的非法帧的检测。 [应用例6]根据应用例1～5中的任一项所记载的无线LAN接入点装置，上述规定条件中的至少一个条件是已掌握的上述第一序列号中的与上述第二序列号最接近的编号和该第二序列号之差超过了规定范围。 序列号是以帧为发送单位而连续的数值，因此具有如下的特征：即使帧与帧之间从无线终端的到达顺序调换或产生了帧的丢失，连续接收的帧的序列号也不会变为相差很大的值。这种结构的无线LAN接入点装置活用序列号的这种特征，能够进 行准确度高的非法帧的检测。 [应用例7]根据应用例1～6中的任一项所记载的无线LAN接入点装置，上述规定条件中的至少一个条件是在接收到上述管理帧之后规定期间之内，上述通信单元接收到包含与上述第二序列号相同的序列号的其它帧。 这种结构的无线LAN接入点装置在接收到非法帧之后的规定期间内也判断序列号是否重复，因此活用了在大致相同的期间内不会产生相同编号的序列号的特征，能够进行准确度高的非法帧的检测。 [应用例8]根据应用例1～7中的任一项所记载的无线LAN接入点装置，还具备通知单元，该通知单元用于在上述非法判断单元将接收到的上述管理帧判断为非法帧的情况下，将该判断的结果通知给上述无线LAN接入点装置的用户。 这种结构的无线LAN接入点装置能够使网络管理者、用户获知接收到了非法帧本文档来自技高网...

【技术保护点】
一种无线LAN接入点装置，通过无线通信路径与无线终端之间进行使用了帧的数据的发送接收，该无线LAN接入点装置具备：通信单元，其与上述无线终端之间进行上述帧的发送接收；执行单元，其在上述通信单元从上述无线终端接收到规定的管理帧时，执行与该管理帧对应的处理；序列监视单元，其在每次上述通信单元接收到上述帧时，掌握该帧所包含的序列号；以及非法判断单元，其在第一序列号和第二序列号满足规定条件的情况下，将接收到的上述管理帧判断为非法帧，其中，上述第一序列号是在接收到该管理帧之前上述序列监视单元已掌握的序列号，上述第二序列号是接收到的上述管理帧所包含的序列号，其中，上述规定条件中的至少一个条件是已掌握的上述第一序列号中的与上述第二序列号最接近的编号和该第二序列号之差的绝对值超过了大于值1的规定范围。

【技术特征摘要】
2009.05.22 JP 2009-1243161.一种无线LAN接入点装置，通过无线通信路径与无线终
端之间进行使用了帧的数据的发送接收，该无线LAN接入点装
置具备：
通信单元，其与上述无线终端之间进行上述帧的发送接收；
执行单元，其在上述通信单元从上述无线终端接收到规定
的管理帧时，执行与该管理帧对应的处理；
序列监视单元，其在每次上述通信单元接收到上述帧时，
掌握该帧所包含的序列号；以及
非法判断单元，其在第一序列号和第二序列号满足规定条
件的情况下，将接收到的上述管理帧判断为非法帧，其中，上
述第一序列号是在接收到该管理帧之前上述序列监视单元已掌
握的序列号，上述第二序列号是接收到的上述管理帧所包含的
序列号，
其中，上述规定条件中的至少一个条件是已掌握的上述第
一序列号中的与上述第二序列号最接近的编号和该第二序列号
之差的绝对值超过了大于值1的规定范围。
2.根据权利要求1所述的无线LAN接入点装置，其特征在
于，
上述规定条件中的至少一个条件是在已掌握的上述第一序
列号与上述第二序列号中存在重复的编号。
3.根据权利要求1或2所述的无线LAN接入点装置，其特征
在于，
即使上述第一序列号和上述第二序列号不满足规定条件，
如果上述通信单元在接收到上述管理帧之后的规定期间之内接
收到包含与上述第二序列号相同的序列号的其它帧，上述非法
判断单元也将接收到的该管理帧判断为非法帧。
4.一种无线LAN接入点装置，通过无线通信路径与无线终

\t端之间进行使用了帧的数据的发送接收，该无线LAN接入点装
置具备：
通信单元，其与上述无线终端之间进行上述帧的发送接收；
执行单元，其在上述通信单元从上述无线终端接收到规定
的管理帧时，执行与该管理帧对应的处理；
序列监视单元，其在每次上述通信单元接收到上述帧时，
掌握该帧所包含的序列号；以及
非法判断单元，其在第一序列号和第二序列号存在重复的
编号的情况下，将接收到的上述管理帧判断为非法帧，其中，
上述第一序列号是在接收到该管理帧之前上述序列监视单元已
掌握的序列号，上述第二序列号是接收到的上述管理帧所包含
的序列号，
其中，即使上述第一序列号和上述第二序列号不存在重复
的编号，如果上述通信单元在接收到上述管理帧之后的规定期
间之内接收到包含与上述第二序列号相同的序列号的其它帧，
上述非法判断单元也将接收到的该管理帧判断为非法帧。
5.根据权利要求4所述的无线LAN接入点装置，其特征在
于，
在上述非法判...

【专利技术属性】
技术研发人员：山田大辅，
申请(专利权)人：巴法络股份有限公司，
类型：发明
国别省市：日本;JP