无线LAN接入点装置、非法管理帧检测方法 |
|||||||
| 申请号 | CN201310067969.6 | 申请日 | 2010-05-21 | 公开(公告)号 | CN103813338A | 公开(公告)日 | 2014-05-21 |
| 申请人 | 巴法络股份有限公司; | 发明人 | 山田大辅; | ||||
| 摘要 | 本 发明 提供一种以通用的方法适当地防御对无线LAN网络的非法 访问 的无线LAN接入点装置、非法管理 帧 检测方法。接入点(20)在每次从终端(STA1、STA2)接收到帧时存储序列号。然后,在接收到认证解除帧时,在满足以下条件中的任一个条件的情况下,将接收到的认证解除帧判断为非法帧,禁止认证解除处理,所述条件为:1)在接收到的认证解除帧的序列号与已存储的序列号中存在重复的编号;2)已存储的序列号中的与接收到的认证解除帧所包含的序列号最接近的编号和接收到的认证解除帧所包含的序列号之差超过规定范围;3)在接收到认证解除帧之后,在规定期间D1内接收到序列号与认证解除帧的序列号重复的帧。 | ||||||
| 权利要求 | 1.一种无线LAN接入点装置,通过无线通信路径与无线终端之间进行使用了帧的数据的发送接收,该无线LAN接入点装置具备: |
||||||
| 说明书全文 | 无线LAN 接入点装置、非法管理帧检测方法技术领域[0002] 本发明涉及一种通过无线通信路径与无线终端之间进行使用了帧的数据的发送接收的无线LAN接入点装置。 背景技术[0003] 近年来,基于IEEE802.11标准的无线LAN设备得到广泛普及。在上述无线LAN设备中,通过交换被称为管理帧的包来对连接状态等信息进行信息控制。不对管理帧进行加密处理/签名处理就进行交换,因此成为能够对无线LAN网络进行非法访问的较大原因,在以往就被指出了安全方面的问题。 [0004] 作为这种非法访问,例如想到由第三方进行伪装的“欺骗(spoofing)”。具体地说,例如当进行非法访问的第三方的无线LAN终端冒充具有访问权限的合法无线LAN终端对合法接入点发送认证解除帧时,该接入点解除认证。与此相对地,认证被解除的合法无线LAN终端再次发送认证请求帧。由第三方所准备的非法接入点接收该认证请求帧来构建连接关系,由此有可能从合法无线LAN终端泄漏信息。 [0005] 对于这种问题,近年来通过对管理帧附加签名来提高安全性的技术的开发/标准化研究有所进展(IEEE802.11TGw)。但是,在普及这种标准之前的期间内设计出的无线LAN设备仍然残留有安全问题。另外,由于无法将新旧机种混合利用,因此需要 将现有的无线LAN设备全部更新,从成本、节省资源等观点来看存在问题。 [0007] 专利文献2:日本特开2008-072402号公报 [0008] 专利文献3:日本特开2006-279438号公报 发明内容[0009] 发明要解决的问题 [0010] 考虑到上述问题的至少一部分,本发明要解决的问题是以通用的方法来适当地防御对无线LAN网络的非法访问。 [0011] 用于解决问题的方案 [0012] 本发明是为了解决上述问题的至少一部分而完成的,能够实现为以下的方式或应用例。 [0013] [应用例1]一种无线LAN接入点装置,通过无线通信路径与无线终端之间进行使用了帧的数据的发送接收,该无线LAN接入点装置具备:通信单元,其与上述无线终端之间进行上述帧的发送接收;执行单元,其在上述通信单元从上述无线终端接收到规定的管理帧时,执行与该管理帧对应的处理;序列监视单元,其在每次上述通信单元接收到上述帧时,掌握该帧所包含的序列号;以及非法判断单元,其在第一序列号和第二序列号满足规定条件的情况下,将接收到的该管理帧判断为非法帧其中,上述第一序列号是上述序列监视单元所掌握的序列号,上述第二序列号是接收到的上述管理帧所包含的序列号。 [0014] 这种结构的无线LAN接入点装置在每次接收到帧时,掌握该帧所包含的序列号,在从无线终端接收到管理帧时,根据序列监视单元所掌握的序列号和管理帧所包含的序列号来进行非法帧的判断。因而,能够检测到非法管理帧,从而对欺骗攻击 采取各种对策。另外,使用序列号进行非法帧的检测,因此结构较为简单。另外,由于使用序列号来在无线LAN接入点装置侧检测非法帧,因此只要是使用序列号发送帧的无线终端,对于任何标准的无线终端都能够应用,通用性较高,从而有助于节省资源、降低成本。即,在无线终端侧不需要特别的结构,对于已普及的无线终端也能够直接应用,另外,在新旧标准的无线终端混合存在的情况下也能够应用。 [0015] [应用例2]一种无线LAN接入点装置,通过无线通信路径与无线终端之间进行帧的发送接收,该无线LAN接入点装置具备:通信单元,其与上述无线终端之间进行上述帧的发送接收;执行单元,其在上述通信单元从上述无线终端接收到规定的管理帧时,执行与该管理帧对应的处理;序列监视单元,其在每次上述通信单元接收到上述帧时,掌握该帧所包含的序列号;电波强度监视单元,其与发送上述帧的上述无线终端的识别信息相对应地监视接收到该帧时的接收电波强度;以及非法判断单元,其在第一序列号和第二序列号满足规定条件且上述接收电波强度的每规定期间的变化量超过了规定范围的情况下,将接收到的上述管理帧判断为非法帧,其中,上述第一序列号是上述序列监视单元所掌握的序列号,上述第二序列号是接收到的上述管理帧所包含的序列号,上述接收电波强度与发送上述管理帧的上述无线终端的识别信息相对应,是上述电波强度监视单元所监视的接收电波强度中的接收到上述管理帧时的接收电波强度。 [0016] 这种结构的无线LAN接入点装置起到与应用例1同样的效果。另外,能够使用不同角度的两个方法来检测非法帧,因此能够提高非法帧检测的准确度,从而提高安全性。 [0017] [应用例3]根据应用例1或2所记载的无线LAN接入点装置, 在上述非法判断单元将接收到的上述管理帧判断为非法帧的情况下,上述执行单元禁止执行与接收到的该管理帧对应的处理。 [0018] 这种结构的无线LAN接入点装置在将接收到的管理帧判断为非法帧的情况下,禁止执行与接收到的管理帧对应的处理,因此能够适当地防御欺骗攻击。 [0019] [应用例4]根据应用例1~3中的任一项所记载的无线LAN接入点装置,上述执行单元包括进行认证处理和认证解除处理的认证单元,该认证处理用于使上述无线终端能够通过上述无线LAN接入点装置进行通信,上述规定的管理帧包含请求上述认证解除处理的认证解除帧。 [0020] 这种结构的无线LAN接入点装置能够检测到非法认证解除帧,因此能够对使用了认证解除帧的欺骗攻击采取各种对策。 [0021] [应用例5]根据应用例1~4中的任一项所记载的无线LAN接入点装置,上述规定条件中的至少一个条件是在已掌握的上述第一序列号和上述第二序列号中存在重复的编号。 [0022] 序列号是以帧为发送单位而连续的数值,因此具有在大致相同的期间内不会产生相同的编号的特征。这种结构的无线LAN接入点装置活用序列号的这种特征,能够进行准确度高的非法帧的检测。 [0023] [应用例6]根据应用例1~5中的任一项所记载的无线LAN接入点装置,上述规定条件中的至少一个条件是已掌握的上述第一序列号中的与上述第二序列号最接近的编号和该第二序列号之差超过了规定范围。 [0024] 序列号是以帧为发送单位而连续的数值,因此具有如下的特征:即使帧与帧之间从无线终端的到达顺序调换或产生了帧的丢失,连续接收的帧的序列号也不会变为相差很大的值。这种结构的无线LAN接入点装置活用序列号的这种特征,能够进 行准确度高的非法帧的检测。 [0025] [应用例7]根据应用例1~6中的任一项所记载的无线LAN接入点装置,上述规定条件中的至少一个条件是在接收到上述管理帧之后规定期间之内,上述通信单元接收到包含与上述第二序列号相同的序列号的其它帧。 [0026] 这种结构的无线LAN接入点装置在接收到非法帧之后的规定期间内也判断序列号是否重复,因此活用了在大致相同的期间内不会产生相同编号的序列号的特征,能够进行准确度高的非法帧的检测。 [0027] [应用例8]根据应用例1~7中的任一项所记载的无线LAN接入点装置,还具备通知单元,该通知单元用于在上述非法判断单元将接收到的上述管理帧判断为非法帧的情况下,将该判断的结果通知给上述无线LAN接入点装置的用户。 [0028] 这种结构的无线LAN接入点装置能够使网络管理者、用户获知接收到了非法帧,因此能够根据需要研究对于使用了非法帧的第三方攻击的新对策。 [0029] [应用例9]根据应用例8所记载的无线LAN接入点装置,作为上述通知的一个方法,上述通知单元以预先登记的邮件地址为目的地发送表示上述判断的结果的邮件。 [0030] 这种结构的无线LAN接入点装置能够使网络管理者、用户容易地获知接收到了非法帧。 [0031] [应用例10]根据应用例8或9所记载的无线LAN接入点装置,作为上述通知的一个方法,上述通知单元在上述无线LAN接入点装置所具备的存储装置中记录上述判断的结果作为上述无线LAN接入点装置的动作历史记录。 [0032] 这种结构的无线LAN接入点装置能够使网络管理者、用户容易地获知接收到了非法帧。 [0033] 另外,本发明也能够实现为应用例11或应用例12的非法管理帧检测方法。 [0034] [应用例11]一种非法管理帧检测方法,用于在通过无线通信路径与无线终端之间进行使用了帧的数据的发送接收的无线LAN接入点装置在从上述无线终端接收到管理帧的情况下检测非法管理帧,该非法管理帧检测方法具有如下步骤:在每次接收到上述帧时,掌握该帧所包含的序列号;以及在已掌握的序列号和接收到的上述管理帧所包含的序列号中存在重复的编号的情况下,或者在该已掌握的序列号中的与该管理帧所包含的序列号最接近的编号和该管理帧所包含的序列号之差超过了规定范围的情况下,将接收到的该管理帧检测为上述非法管理帧。 [0035] [应用例12]一种非法管理帧检测方法,用于在通过无线通信路径与无线终端之间进行使用了帧的数据的发送接收的无线LAN接入点装置在从上述无线终端接收到管理帧的情况下检测非法管理帧,该非法管理帧检测方法具有如下步骤:在接收到上述管理帧之后规定期间之内接收到包含与接收到的该管理帧所包含的序列号相同的序列号的其它帧的情况下,将接收到的该管理帧检测为上述非法管理帧。 [0036] [应用例13]一种无线LAN接入点装置,通过无线通信路径与无线终端之间进行帧的发送接收,该无线LAN接入点装置具备:通信单元,其与上述无线终端之间进行上述帧的发送接收;执行单元,其在上述通信单元从上述无线终端接收到规定的管理帧时,执行与该管理帧对应的处理;电波强度监视单元,其与发送上述帧的上述无线终端的识别信息相对应地监视接收到该帧时的接收电波强度;以及非法判断单元,其在上述接收电波强度的每规定期间的变化量超过了规定范围的情况下,将所接收到的上述管理帧判断为非法帧,其中,上述接收电波强度 与发送上述管理帧的无线终端的识别信息相对应,是上述电波强度监视单元所监视的接收电波强度中的接收到上述管理帧时的接收电波强度。 [0037] 这种结构的无线LAN接入点装置对接收到来自无线终端的帧时的接收电波强度进行监视,在接收到管理帧时的接收电波强度的每规定期间的变化量超过了规定范围的情况下,将管理帧判断为非法帧,因此能够检测到非法管理帧,从而对欺骗攻击采取各种对策。另外,使用接收电波强度进行非法帧的检测,因此结构较为简单。另外,由于使用接收电波强度来在无线LAN接入点装置侧检测非法帧,因此对于任何标准的无线终端都能够应用,通用性较高,有助于节省资源、降低成本。即,在无线终端侧不需要特别的结构,对于已普及的无线终端也能够直接应用,另外,在新旧标准的无线终端混合存在的情况下也能够应用。 [0038] [应用例14]根据应用例13所记载的无线LAN接入点装置,在上述非法判断单元将接收到的上述管理帧判断为非法帧的情况下,上述执行单元禁止执行与接收到的该管理帧对应的处理。 [0039] 这种结构的无线LAN接入点装置在将接收到的管理帧判断为非法帧的情况下,禁止执行与接收到的管理帧对应的处理,因此能够适当地防御欺骗攻击。 [0040] [应用例15]根据应用例13或14所记载的无线LAN接入点装置,上述执行单元包括进行认证处理和认证解除处理的认证单元,该认证处理用于使上述无线终端能够通过上述无线LAN接入点装置进行通信,上述规定的管理帧包含请求上述认证解除处理的认证解除帧。 [0041] 这种结构的无线LAN接入点装置能够检测到非法认证解除帧,因此能够对使用了认证解除帧的欺骗攻击采取各种对策。 [0042] 也能够将应用例8~10的结构附加到应用例13~15的无线LAN接入点装置中。这样也起到与应用例8~10同样的效果。另外,本发明除了实现为上述无线LAN接入点装置、非法管理帧检测方法以外,还能够实现为非法管理帧检测装置、它们的计算机程序、记录有该程序的存储介质等。 附图说明 [0043] 图1是表示利用了作为本发明的第一实施例的接入点20的无线LAN网络WL的结构的说明图。 [0044] 图2是表示接入点20的概要结构的说明图。 [0045] 图3是表示接入点20中的非法帧检测处理的流程的流程图。 [0046] 图4是表示非法帧检测处理中的非法帧检测方法的说明图。 [0047] 图5是表示作为第二实施例的接入点20的结构的说明图。 [0048] 图6是表示作为第二实施例的非法帧检测处理的流程的说明图。 [0049] 图7是概念性地例示非法帧检测处理中的接收电波强度的监视状况的说明图。 [0050] 图8是表示作为第三实施例的接入点20的概要结构的说明图。 [0051] 图9是表示作为第三实施例的接入点20中的非法帧检测处理的流程的流程图。 [0052] 图10是表示作为第四实施例的接入点20中的非法帧检测处理的流程的流程图。 [0053] 附图标记说明 [0054] 20:接入点;30:CPU;31:通信部;32:认证部;33:序列监视部;34:电波强度监视部;35:序列判断部;36:电波强度判断部;37:通知部;41:ROM;42:RAM;45:WAN 端口;46:无线通信接口;48:显示LED;61:发送机;62:接收机;WL:无线LAN网络;STA1、STA2:终端; STA13:非法终端;AP13:非法接入点;F1、F2、F10、F13:通信;D1:规定期间;AR1:无线通信区域;RT1、RT2:接收电波强度;DAF:数据帧;DEF:认证解除帧。 具体实施方式[0055] 说明本发明的实施例。 [0056] A.第一实施例 [0057] A-1.接入点20的概要结构 [0058] 图1示出利用了作为本发明的第一实施例的接入点20的无线LAN网络WL的结构。如图示,无线LAN网络WL具备接入点20以及终端STA1、STA2。接入点20是遵照IEEE802.11标准的无线LAN用的中继器,终端STA1、STA2在无线通信区域AR1内,能够通过接入点20在基础结构模式下使用MAC帧进行无线通信。无线通信区域AR1是仅特定者能够进入的区域,在本实施例中被设定于事业所的占地范围内。 [0059] 在本实施例中,终端STA1、STA2是具备无线LAN适配器的个人计算机,该无线LAN适配器是能够与接入点20之间进行电波的发送接收的无线LAN连接用设备。对无线LAN适配器附加有MAC地址,该MAC地址是适配器所固有的标识符。另外,对接入点20附加有SSID(Service Set Identifier:服务集标识符),该SSID是用于识别接入点的标识符。在此,接入点20的SSID是“AAAA”。 [0060] 在上述无线LAN网络WL中,可能会受到由非法入侵到事业所内的非法入侵者进行的欺骗攻击。例如如下这样进行欺骗攻击。首先,非法入侵者将非法终端STA13以及非法接入点 AP13带入到无线通信区域AR1。然后,该非法入侵者接收从接入点20发送的管理帧来掌握接入点20的SSID。在IEEE802.11标准中,用于通知无线通信所需的基本信息的信标、请求用于进行通信的认证的认证帧(Authentication Frame)、请求解除认证的认证解除帧(Deauthentication Frame)等被定义为管理帧。 [0061] 然后,非法入侵者在终端STA1、STA2通过接入点20以通信F1、F2进行通信时,使用非法终端STA13来冒充作为发送源的终端STA1(的无线LAN适配器)的MAC地址,将认证解除帧发送到所掌握的SSID、即接入点20(通信F13)。这样,接入点20解除终端STA1的认证,从而解除连接关系。 [0062] 连接被解除的终端STA1为了重新进行连接,向接入点20发送认证帧。当SSID被设定为与接入点20相同的“AAAA”的非法接入点AP13接收到上述认证帧时,终端STA1与非法接入点AP13构建连接关系,从而能够进行通信(通信F10)。当发生这种状况时,可能会从终端STA1通过非法接入点AP13向外部泄漏机密信息等重要的信息。本实施例的接入点20具备用于防止这种由欺骗攻击导致的信息泄漏的结构。以下对这一点进行说明。 [0063] 图2中示出接入点20的概要结构。如图示,接入点20具备CPU30、ROM41、RAM42、WAN端口45、无线通信接口46以及显示LED48,它们通过总线相互连接。 [0064] CPU30通过将ROM41所存储的程序在RAM42中展开并执行来控制接入点20的整体动作。另外,CPU30通过执行有关程序,还能够作为通信部31、认证部32、序列监视部33、序列判断部35以及通知部37而发挥功能。在后面详细说明这些各功能部。 [0065] WAN端口45是用于与因特网等外部网络进行连接的接口。 显示LED48是通过点亮/闪烁等来显示无线LAN的连接状态、通信状态等的LED。 [0066] 无线通信接口46上连接有发送电波的发送机61以及接收电波的接收机62。该发送机61和接收机62以能够向外部发送电波或接收来自外部的电波的状态内置于接入点20。 [0067] A-2.非法帧检测处理 [0068] 使用图3来说明上述接入点20中的非法帧检测处理。非法帧检测处理是如下处理:检测没有对无线LAN网络WL的访问权限的第三方为了进行上述欺骗攻击而发送的认证解除帧(以下也称为“非法帧”)来实现对欺骗攻击的防御。在本实施例中,在接入点20的电源被接通而成为发挥帧的中继功能的状态时,在每次从终端STA1、STA2接收到帧时重复执行非法帧检测处理。 [0069] 当开始非法帧检测处理时,作为CPU30的序列监视部33的处理,在作为通信部31的处理而每次通过接收机62从终端STA1、STA2接收到帧时,将该帧所包含的序列号存储在RAM42中来进行掌握(步骤S110)。按作为帧发送源的每个终端STA1、STA2,将上述序列号与每个终端的标识符(在此为MAC地址)相对应地进行存储。序列号是指附加给各终端所发送的帧的连续编号,在IEEE802.11标准中是构成MAC帧的序列控制所包含的数据。 [0070] 当掌握序列号时,CPU30判断是否通过无线LAN网络WL接收到认证解除帧(步骤S120)。如果其结果是没有接收到认证解除帧(步骤S120:“否”),则CPU30返回处理。 [0071] 另一方面,如果接收到认证解除帧(步骤S120:“是”),则作为CPU30的序列判断部35的判断,判断接收到的认证解除帧所包含的序列号和通过步骤S110已掌握(已存储)的序列号是否满足规定条件(步骤S130),通过步骤S110已掌握的序列号与作 为认证解除帧的发送源的终端对应。在本实施例中,规定条件是指以下所示的两个条件。根据RAM42所存储的序列号的历史记录(已掌握的序列号),如果满足这些条件中的至少一个,则CPU30判断为满足上述的规定条件。 [0072] 第一条件:在接收到的认证解除帧所包含的序列号与通过步骤S110已掌握(已存储)的序列号中存在重复的编号。 [0073] 第二条件:通过步骤S110已掌握(已存储)的序列号中的与接收到的认证解除帧所包含的序列号最接近的编号和接收到的认证解除帧所包含的序列号之差超过了规定范围。 [0074] 此外,在本实施例中,第二条件中的规定范围是指序列号之差为值4以内的范围。 [0075] 上述两个条件用于判断接收到的认证解除帧是从具有无线LAN网络WL的利用权限的终端STA1、STA2发送的合法帧、还是通过“冒充”而从非法终端STA13发送的非法帧。序列号是每次发送帧时所附加的帧的连续编号,因此所接收的帧的序列号基本上是连续的,在同一期间内不会产生多个相同的编号。另外,虽然有可能由于帧与帧之间从终端到达的顺序调换或产生帧的丢失而导致在帧的接收顺序上产生序列号不连续,但是其差不会为较大的值。上述两个条件是活用上述序列号的特征来判断非法帧的条件。 [0076] 例如,如图4的(a)的CASE1所示,在接入点20从终端STA1依次接收到连续的序列号为2915、2916、2917、2918的数据帧DAF之后从非法终端STA13(MAC地址与终端STA1相同)接收到序列号为2916的认证解除帧DEF的情况下,在从终端STA1接收到的数据帧DAF和从非法终端STA13接收到的认证解除帧DEF中包含重复的序列号“2916”。即,满足上述的第一条件。在这种情况下,接入点20已经从终端STA1接收到了序列号连续的数 据帧DAF,因此能够判断为认证解除帧DEF是非法帧。 [0077] 另外,如图4的(a)的CASE2所示,在接入点20从终端STA1依次接收到序列号为2915~2918的数据帧DAF之后从非法终端STA13接收到序列号为3000的认证解除帧DEF的情况下,与认证解除帧DEF的序列号3000最接近的已掌握的序列号为2918。这两个序列号之差为值82(=3000-2918>4)。即,满足上述的第二条件。在现实中这种序列号的较大差很难认为是由于帧的缺失、在接收顺序和发送顺序中调换而产生的差。因而,在满足第二条件的情况下也能够判断为认证解除帧DEF是非法帧。 [0078] 通过上述说明明确可知,第二条件中的规定范围是指以连续接收到的帧的序列号之差是否处于由于帧的缺失、在发送顺序和接收顺序中调换而能够产生的程度为基准的阈值。因而,第二条件中的规定范围不限于值4以内,只要适当设定即可。例如,也可以设为值16以内。这样,如果将规定范围设定得比较大,则仅能够检测到确实是非法帧的帧。另外,也可以不考虑这种帧的缺失、在发送顺序和接收顺序中的调换,而将序列号之差设为值1以内(在这种情况下,序列号为连续的值)来作为第二条件中的规定范围。这样是因为能够更安全地检测非法帧。即使将从终端STA1、STA2发送的合法的认证解除帧判断为非法帧,终端STA1、STA2只要重新发送认证解除帧即可,因此即使这样也不会产生大问题。另外,也可以构成为通过网络管理者、用户的设定能够改变第二条件中的规定范围的设定。这样,能够根据使用状况将对于非法帧的安全水平变更为所期望的程度。 [0079] 如果这种判断的结果是序列号满足规定条件(步骤S130:“是”),则CPU30将接收到的认证解除帧判断为非法帧(步骤S180)。另一方面,如果序列号不满足规定条件(步骤S130: “否”),则所接收到的认证解除帧不一定是非法帧。因此,CPU30使用以下说明的其它判断基准来进行非法帧的检测。 [0080] 具体地说,CPU30首先将与接收到的认证解除帧对应的认证解除处理的执行挂起,在规定期间D1期间内待机(步骤S140)。在本实施例中,规定期间D1是指接收到认证解除帧之后的规定的经过时间(例如3秒)。但是,规定期间D1不限于上述例,也可以设为从发送了认证解除帧的终端接收规定数量的帧的期间等。在这种情况下,期望确保接收3帧左右的期间。 [0081] 当待机规定期间D1时,作为CPU30的序列判断部35的处理,判断在规定期间D1内是否从发送了认证解除帧的终端接收到序列号与接收到的认证解除帧的序列号重复的帧(步骤S150)。在其结果是接收到该帧的情况下,CPU30将接收到的认证解除帧判断为非法帧(步骤S180)。另一方面,在没有接收到该帧的情况下,CPU30将接收到的认证解除帧判断为合法帧(步骤S160)。 [0082] 例如,如图4的(b)所示,在接入点20从终端STA1依次接收到序列号为2915~2918的数据帧DAF之后从非法终端STA13接收到序列号为2919的认证解除帧DEF的情况下,由于这些序列号连续,因此认证解除帧DEF也被认为是合法帧。但是,CPU30将认证解除帧DEF的处理的执行挂起,待机规定期间D1。然后,如图示,当在规定期间D1期间内接收到序列号为2919的数据帧DAF时,CPU30将认证解除帧DEF判断为非法帧。此外,在规定期间D1期间内接收到序列号为2919的数据帧DAF的情况下,CPU30当然也可以不用等到经过规定时间D1就将认证解除帧DEF判断为非法帧。 [0083] 进行这种处理是为了防止如下情况:非法终端STA13可能接收到由终端STA1发送的数据帧DAF,因此能够将序列号设定 为与终端STA1所发送的数据帧DAF连续来发送认证解除帧DEF,由此冒充合法帧来进行欺骗。 [0084] 如上所述,当判断为接收到的认证解除帧是合法帧时(步骤S160),作为CPU30的认证部32的处理,对作为认证解除帧的发送源的终端执行认证解除处理(步骤S170),返回处理。另一方面,当判断为接收到的认证解除帧是非法帧时(步骤S180),作为CPU30的通知部37的处理,通过将表示接收到非法帧的意思发送到预先登记的邮件地址,来向接入点20的网络管理者或用户进行通知(步骤S190),返回处理。即,在判断为接收到的认证解除帧是非法帧的情况下,作为CPU30的认证部32的处理,禁止执行认证解除处理。 [0085] 这种结构的接入点20在每次从终端STA1、STA2接收到帧时掌握帧所包含的序列号,在接收到认证解除帧时,根据序列监视单元所掌握的序列号以及认证解除帧所包含的序列号来进行非法帧的判断。然后,在判断为是非法帧的情况下,禁止执行与接收到的认证解除帧对应的认证解除处理,因此能够适当地防御欺骗攻击。 [0086] 另外,接入点20使用序列号来进行非法帧的检测,因此结构较为简单。另外,接入点20使用序列号来在接入点20侧检侧非法帧,因此只要是使用序列号发送帧的无线终端,对于任何标准的无线终端都能够应用,通用性较高,从而有助于节省资源、降低成本。即,在无线终端侧不特别需要特别的结构,对于已普及的无线终端也能够直接应用,另外,在新旧标准的无线终端混合存在的情况下也能够应用。 [0087] 另外,接入点20在检测到非法帧时发送邮件来进行通知,因此网络管理者或用户能够容易地获知接收到了非法帧,从而能够根据需要研究对于该攻击的新对策。 [0088] B.第二实施例 [0089] 对作为本发明的第二实施例的接入点20的结构和非法帧检测处理进行说明。 [0090] B-1.接入点20的结构 [0091] 使用图5来说明作为第二实施例的接入点20的结构。作为第二实施例的接入点20的硬件结构与第一实施例的接入点20相同。与第一实施例的不同点在于,如图5所示,CPU30不作为序列监视部33和序列判断部35而发挥功能,以及还作为电波强度监视部34和电波强度判断部36而发挥功能。此外,在图5中,对于与第一实施例相同的结构附加与图1相同的附图标记。在后述的非法帧检测处理的说明中详细说明电波强度监视部34以及电波强度判断部36的功能部。另外,对于CPU30以外的结构,由于与第一实施例相同,因此在此省略说明。 [0092] B-2.非法帧检测处理的处理 [0093] 使用图6来说明作为第二实施例的非法帧检测处理。此外,在以下的说明中,对与第一实施例的非法帧检测相同的步骤附加与图3相同的附图标记,简化其说明。如图示,当开始非法帧检测处理时,作为CPU30的电波强度监视部34的处理,在每次从终端STA1、STA2接收到帧时,将其接收电波强度(RSSI:Receive Signal Strength Indication)与终端的标识符(在此为MAC地址)相对应地存储在RAM42中来进行监视(步骤S210)。 [0094] 图7中概念性地示出步骤S210中的接收电波强度的监视情形。如图示,与接收时间相对应地监视终端STA1的接收电波强度RT1和终端STA2的接收电波强度RT2。图中的标绘点表示接收到帧时的各接收电波强度。 [0095] 当对接收电波强度进行监视时,CPU30判断是否接收到认证解除帧(步骤S120)。如果其结果是没有接收到认证解除帧(步 骤S120:“否”),则CPU30返回处理。另一方面,如果接收到认证解除帧(步骤S120:“是”),则作为CPU30的电波强度判断部36的处理,算出该接收时的与作为认证解除帧的发送源的终端相对应的接收电波强度的斜率(步骤S220)。使用图7来进一步说明该处理。如图示,CPU30在每次存储接收到认证解除帧时的接收电波强度时,在相邻的接收电波强度数据之间进行线性插值。然后,CPU30算出其斜率、即每单位时间ΔT的接收电波强度的变化量ΔR。 [0096] 当算出接收电波强度的斜率时,作为CPU30的电波强度判断部36的处理,判断所算出的斜率是否处于规定范围内(步骤S230)。如果其结果是斜率处于规定范围内(步骤S230:“是”),则CPU30将认证解除帧判断为合法帧(步骤S160)。另一方面,如果斜率超过规定范围(步骤S230:“否”),则CPU30将认证解除帧判断为非法帧(步骤S180)。 [0097] 能够使用接收电波强度的斜率来进行这种判断的理由如下。例如,如图1所示,在终端STA1被设置于距接入点20相对较近的位置、非法终端STA13被设置于距接入点20相对较远的位置的情况下,从终端STA1发送的帧的接收电波强度多数情况下大于从非法终端STA13发送的帧的接收电波强度。在这种情况下,如果对接入点20与终端STA1之间的通信的接收电波强度进行监视,则当接入点20接收到非法终端STA13冒充终端STA1而发送的帧时,如图7的时间T1-T2之间那样,接收电波强度会急剧减弱。即,接收电波强度的斜率作为负值而急剧增大。 [0098] 反之,在终端STA1被设置于距接入点20相对较远的位置、非法终端STA13被设置于距接入点20相对较近的位置的情况下,当接入点20接收到非法终端STA13冒充终端STA1而发送的帧时,接收电波强度的斜率作为正值而急剧增大。 [0099] 在本实施例中,这样利用由于终端STA1和非法终端STA13的设置位置不同而引起的现象来检测非法帧。此外,也考虑到在非法终端STA13发送非法帧时故意增强或减弱非法帧的接收电波强度的情况,但是在这种情况下,只要其与终端STA1所发送的帧的接收电波强度之间存在规定的差,也同样地能够检测非法帧。 [0100] 在此,也考虑到终端STA1、STA2的用户在终端STA1、STA2的通信过程中在无线通信区域AR1的内部移动终端STA1、STA2的设置位置的情况。在这种情况下,接收电波强度的斜率有时也会变得比较大。因而,为了避免与这种用户移动的影响混淆,也可以以人移动而无法产生的程度的斜率来设定步骤S230的判断所使用的接收电波强度的斜率的阈值。 [0101] 另外,在具备多个无线接收部的接入点、例如如MIMO(Multiple Input/Multiple Output:多输入多输出)方式那样具有多个无线接收部的接入点中,也可以按各无线接收部独立地获取接收电波强度。在这种情况下,通过综合判断每个无线接收部的接收电波强度的斜率,能够进行精确度更高的非法帧的检测。 [0102] 如上所述,当判断为接收到的认证解除帧是合法帧时(步骤S160),CPU30对作为认证解除帧的发送源的终端执行认证解除处理(步骤S170),返回处理。另一方面,当判断为接收到的认证解除帧是非法帧时(步骤S180),CPU30将表示接收到非法帧的意思发送到预先登记的邮件地址,来向用户进行通知(步骤S190),返回处理。 [0103] 这种结构的接入点20对接收来自终端STA1、STA2的帧时的接收电波强度进行监视,在接收到认证解除帧时的接收电波强度的斜率、即每规定期间的变化量超过了规定范围的情况下, 将认证解除帧判断为非法帧,因此能够检测出非法的认证解除帧,从而对欺骗攻击采取各种对策。另外,在判断为是非法帧的情况下禁止执行与所接收到的认证解除帧对应的认证解除处理,因此能够适当地防御欺骗攻击。 [0104] 另外,接入点20使用接收电波强度来进行非法帧的检测,因此结构较为简单。另外,使用接收电波强度来在接入点20侧检测非法帧,因此对于任何标准的无线终端都能够应用,通用性较高,从而有助于节省资源、降低成本。即,在无线终端侧不特别需要特别的结构,对于已普及的无线终端也能够直接应用,另外,在新旧标准的无线终端混合存在的情况下也能够应用。 [0105] 另外,接入点20在检测到非法帧时发送邮件进行通知,因此用户能够容易地获知接收到了非法帧,从而能够根据需要研究对该攻击的新对策。 [0106] C.第三实施例 [0107] 对作为本发明的第三实施例的接入点20的结构和非法帧检测处理进行说明。作为第三实施例的非法帧检测处理是第一实施例与第二实施例的组合。 [0108] C-1.接入点20的结构 [0109] 使用图8来说明作为第三实施例的接入点20的结构。作为第三实施例的接入点20的硬件结构与第一实施例的接入点20相同。与第一实施例的不同点在于,如图8所示,CPU30还作为电波强度监视部34和电波强度判断部36而发挥功能。即,兼备第一实施例的CPU30的功能和第二实施例的CPU30的功能。此外,在图8中,对与第一实施例或第二实施例相同的结构附加与图2或图5相同的附图标记。这些功能部的详细如上所述,因此在此省略说明。 [0110] C-2.非法帧检测处理 [0111] 使用图9来说明作为第三实施例的接入点20中的非法帧检测处理。此外,如上所述,作为第三实施例的非法帧检测处理是第一实施例的处理与第二实施例的处理的组合,因此省略各步骤的详细说明。另外,附加于各步骤的标记与上述的内容相同的步骤相对应。 [0112] 当开始作为第三实施例的非法帧检测处理时,CPU30掌握接收到的帧所包含的序列号(步骤S110)并对电波强度进行监视(步骤S210)。然后,如果所接收到的帧是认证解除帧(步骤S120:“是”),则CPU30以上述第一实施例的方法(参照图3)来进行非法帧的检测(步骤S130~S150)。 [0113] 如果其结果是没有作出接收到的认证解除帧是非法帧这种判断(步骤S130:“否”且步骤S150:“否”),则CPU30接着以上述的第二实施例的方法(参照图6)来进行非法帧的检测(步骤S220、S230)。当这些处理的结果是在任一个处理中判断为是非法帧时(经过步骤S130:“是”、步骤S150:“是”、步骤S230:“否”中的任一个而来到步骤S180),CPU30发送邮件来向用户进行通知(步骤S190)。 [0114] 另一方面,如果在任一个处理中都没有判断为是非法帧(经过步骤S130:“否”、步骤S150:“否”、步骤S230:“是”而来到步骤S160),则执行与接收到的认证解除帧对应的认证解除处理(步骤S170)。此外,在上述例中,构成为按照第一实施例的处理(步骤S130~S150)、第二实施例的处理(步骤S220、S230)的顺序来执行处理,但是不限定于这种顺序,也可以与上述的顺序相反。 [0115] 这种结构的接入点20进行将第一实施例的非法帧检测处理与第二实施例的非法帧检测处理组合而得到的非法帧检测处 理,因此能够起到上述两个处理产生的上述效果。另外,能够使用不同角度的两种方法来进行非法帧的检测,因此能够提高非法帧检测的准确度,提高安全性。 [0116] D.第四实施例 [0117] 对作为本发明的第四实施例的非法帧检测处理进行说明。作为第四实施例的非法帧检测处理与第三实施例的不同点在于:在第三实施例的非法帧检测处理中,检测非法的块确认(Bl ock ACK)解除帧来代替检测非法的认证解除帧。Block ACK解除帧是IEEE802.11标准所规定的管理帧之一,是请求解除通过Block ACK方式来进行通信的协定的帧(DELBA Frame)。由于Block ACK方式是公知的技术,因此省略详细的说明,ACK方式是发送侧集合多个帧作为块进行发送、接收侧回复ACK(A CKnowledgement:确认)作为接收到该块的确认响应的通信方式,能够实现通信的高效化。 [0118] 图10中示出作为第四实施例的非法帧检测处理。图示的非法帧检测处理的流程与作为上述第三实施例的非法帧检测处理(图9)相同,因此省略各步骤的详细说明。另外,附加于各步骤的标记与上述的内容相同的步骤相对应。 [0119] 当开始作为第四实施例的非法帧检测处理时,CPU30掌握接收到的帧所包含的序列号(步骤S110)并对电波强度进行监视(步骤S210)。然后,如果所接收到的帧是Block ACK解除帧(步骤S320:“是”),则CPU30以上述第一实施例的方法(参照图3)来进行非法帧的检测(步骤S130~S150)。 [0120] 如果其结果是没有作出所接收到的Block ACK解除帧是非法帧这种判断(步骤S130:“否”且步骤S150:“否”),则CPU30接着以上述第二实施例的方法(参照图6)来进行非法帧的检测(步骤S220、S230)。当这些处理的结果是在任一个处理中判断 为是非法帧时(经过步骤S130:“是”、步骤S150:“是”、步骤S230:“否”中的任一个而来到步骤S180),CPU30发送邮件来向用户进行通知(步骤S190)。 [0121] 另一方面,如果在任一个处理中都没有判断为是非法帧(经过步骤S130:“否”、步骤S150:“否”、步骤S230:“是”而来到步骤S160),则执行与接收到的Block ACK解除帧对应的Block ACK解除处理(步骤S370)。 [0122] 在这种非法帧检测处理中,判断接收到的Block ACK解除帧是否是非法帧,在是非法帧的情况下,禁止Block ACK解除处理。因而,在接入点20与终端STA1、STA2之间已确立基于Block ACK的通信的状况下,能够对非法终端STA13冒充终端STA1、STA2解除Block ACK协定来阻碍终端STA1、STA2的通信的欺骗攻击适当地进行防御。此外,检测非法的Block ACK解除帧的结构当然也能够应用于第一实施例、第二实施例的非法帧检测处理。 [0123] 从以上的说明明确可知,接入点20所检测的非法管理帧不限于认证解除帧,而能够设为各种管理帧。在这种情况下,接入点20也可以构成为禁止与被判断为非法的管理帧对应的处理。 [0124] 对上述实施例的变形例进行说明。 [0125] E.变形例 [0126] E-1.变形例1 [0127] 在上述实施方式中示出了如下结构:在非法帧检测处理中将接收到的管理帧判断为非法帧的情况下(步骤S180),CPU30发送表示接收到非法帧的意思的邮件来向用户等进行通知(步骤S190),但是这种情况下的通知方式并不限于发送邮件。例如,CPU30也可以在RAM42中记录接收到非法帧来作为接入点20 的动作历史记录,保留在日志中。或者,也可以点亮显示LED48、或在接入点20具备显示器的情况下在该显示器上进行显示,来向用户进行通知,在接入点20具备蜂鸣器、扬声器等的情况下,也可以利用声音来向用户进行通知。 [0128] 当然,向用户等进行通知的通知处理并非必须,CPU30也可以构成为不进行通知处理而仅禁止与接收到的管理帧对应的处理。因为这样也起到对欺骗攻击的防御效果。并且,禁止与接收到的管理帧对应的处理的结构也并非必须,CPU30也可以构成为不禁止与接收到的管理帧对应的处理而仅进行通知处理。这是因为在无线LAN网络WL中,并不一定是对具有机密性的信息进行处理。即使这样,由于用户能够获知欺骗攻击的存在,因此在对具有机密性的信息进行处理时,也能够采取必要的对策。 [0129] E-2.变形例2 [0130] 在上述实施方式中构成为如下结构:在非法帧检测处理中将接收到的管理帧判断为非法帧的情况下(步骤S180),CPU30禁止与接收到的管理帧对应的处理,但是除此以外,还可以执行限制接入点20的功能的处理。作为这种处理,例如能够设为在规定期间内禁止通信的处理、在规定期间内切断电源的处理等。这样,能够更可靠地防御欺骗攻击。 [0131] 以上对本发明的实施方式进行了说明,但是上述实施方式中的本发明的结构要素中的除独立权利要求所记载的要素以外的要素是附加要素,能够适当省略。另外,本发明当然不限于这种实施方式,在不脱离本发明的要旨的范围内能够以各种方式来实施。例如,本发明除了以作为接入点的结构、非法管理帧检测方法来实现以外,也能够以非法管理帧检测装置、它们的计算机程序、记录有该计算机程序的存储介质等来实现。 |
||||||
QQ群二维码
意见反馈
意见反馈