安全性设定处理系统的制作方法

专利名称：安全性设定处理系统的制作方法
技术领域：
本发明，涉及在无线LAN终端和访问点进行无线通信时，实施提高安全性的设定的技术。
背景技术：
基于无线LAN的通信，因不受物理布线中的制约而简便，因此近年正普及起来。可是，因为能够实施无线的通信，对网络的非法侵入等的企图也能够无线地实施，从而逐渐认识到防止该非法侵入的必要性。因此，一直以来，不断开发各种的安全性技术。对于安全性技术而言，提出有各种技术，而在通过无线通信来进行该设定的情况下，优选在用以进行该设定的无线通信中也确保安全性，并且公知有用于确保这种安全性的技术(例如，参照特开2005-142907号公报)。
虽然如上所述，一直以来不断开发各种安全性技术，但是实际上确保完全的安全性很困难，总希望进一步地确保更强固的安全性。例如，如上述那样，若能够在用于进行安全性设定的无线通信中也确保安全性时，防止第三者的冒充，则能够确保更强固的安全性。

发明内容
因此，本发明的目的为解决上述课题，并确保在进行安全性设定时所实施的无线通信的安全性。
为解决上述课题，本发明在访问点中，采用用于防止第三者冒充无线LAN终端的结构。也就是说，在访问点中受理安全性设定处理的开始指示并基于该开始指示来开始安全性设定处理的结构中，在该开始指示被作出以前接收到从无线LAN终端所发送的开始指示数据时不进行安全性设定处理。在该开始指示被作出以前没有接收到从无线LAN终端所发送的开始指示数据时，进行安全性设定处理。
其结果，只有在访问点中在作出安全性设定处理的开始指示以前没有接收到由所述无线LAN终端所发送的开始指示数据的情况下，进行安全性设定处理。也就是说，在访问点中，在由访问点自身所具备的访问点侧开始指示受理单元受理开始指示，并且在访问点侧无线通信单元中接收到了从无线LAN终端所发送的开始指示数据的情况下，进行安全性设定处理。
也就是说，为了在访问点和无线LAN终端中通过无线通信进行安全性设定，有必要由访问点侧开始指示受理单元识别出自身将要进入安全性设定模式，再接收开始指示数据以识别出无线LAN终端是安全性设定模式。因此，虽然构成为在开始指示数据接收单元中接收开始指示数据，然而，若这里不设任何限制而只是进行开始指示数据的接收等待处理，并根据其接收来实施安全性设定处理，则会有被第三者非法侵入的可能。
具体来说，试图对访问点进行非法侵入的第三者，不可能知道在访问点中作出安全性设定处理的开始指示这一情况。然而，若第三者冒充无线LAN终端，并连续不断地发送非法的开始指示数据，则在访问点中作出安全性设定处理的开始指示的时刻，会基于该非法的开始指示数据与第三者的无线LAN终端开始安全性设定处理。
因此，在本发明中，在访问点侧开始指示受理单元中受理所述开始指示前已经接收到上述开始指示数据时，不进行安全性设定处理。其结果，即使如上述那样存在不断地发送非法的开始指示数据的第三者，也不会基于该非法的开始指示数据而开始安全性设定处理。因此，能够防止这种第三者的非法侵入。
另外，在访问点中通过无线通信进行安全性设定处理。作为此安全性设定处理，只要是能够实施用于确保访问点和无线LAN终端之间的无线通信中的安全性的设定即可，能够实施各种处理。例如可以采用如下结构，按照无线LAN的标准在访问点和无线LAN终端间进行无线通信，并发送接收无线通信的安全性设定中所必要的信息，由访问点和无线LAN终端双方根据该信息来进行设定。
这里，作为进行安全性设定时所必要的信息，例如包括，用于进行各无线LAN终端的认证的信息、用于加密发送内容的加密密钥和所采用的加密方式等用于提高安全性的设定中所必要的所有信息。当然，作为加密的方式，可以采用WEP(Wired Equivalent Privacy)、WPA-PSK(TKIP)、WPA-PSK(AES)等各种方式。另外，在发送接收该信息时，也可以利用公知的加密方式来加密数据。
此外，可以与该安全性设定处理同时地实施用于进行无线通信的设定。也就是说，在访问点和无线LAN终端中，存在能够利用对应于多个规范的频带、或能够通过多条信道发送接收数据的机器。因此，可以设定为互相发送接收表示用于进行无线通信的频带和信道等的信息、或者从一方向另一方进行发送并使用共同的频带和信道。
在访问点侧无线通信单元中，只要能够与无线LAN终端进行基于无线的通信即可，可以采用各种结构。例如，可以采用如下结构，即使用遵循给定的规约来发送接收无线信号的设备。在访问点侧开始指示受理单元中，只要能够受理上述安全性设定处理的开始指示即可，包括通过按钮的按下操作来进行开始指示的结构等、能够进行开始指示的所有输入装置。另外，在连接在访问点上的计算机中，也可以通过其输入装置(鼠标或键盘等)来进行开始指示，能够采用各种结构。
在开始指示数据接收单元中，只要能够通过上述访问点侧无线通信单元接收开始指示数据即可。因此，只要能够参照由上述访问点侧无线通信单元所接收到的数据，识别出是开始指示数据这一情况并取得其内容即可。例如，可以采用在开始指示数据的信息包信头和净荷中附加表示该数据是开始指示数据这一情况的数据，并对此进行识别的结构。当然，该开始指示数据可以采用符合各种通信规约的形式。另外，可以在其净荷中包含任意的数据，也可以通过该净荷发送接收上述安全性设定处理中所必要的数据、或进行无线通信的设定中所必要的数据。
虽然在访问点侧安全性设定单元中，进行上述安全性设定处理，但是只要能够在实施该安全性设定处理前，判断是否要移行至该安全性设定处理即可。在本发明中，只要在该判断时在由访问点侧开始指示受理单元中的开始指示以前在从无线LAN终端发送来开始指示数据时，不进行安全性设定处理即可。因此，只要至少能够判别通过无线通信接收到的信息包是否为开始指示数据，并将其接收时刻与访问点侧开始指示受理单元中的开始指示的时刻进行比较即可。
此外，可以采用旨在提高访问点中的安全性的结构。作为用于此目的结构例，可以采用不将表示正在进行上述安全性设定处理的数据(包括表示处于能够进行安全性设定处理的状态这一情况的数据)输出给访问点侧无线通信单元的结构。也就是说，在以往的访问点中，有时采用对用于表示自身正在进行安全性的设定处理、或者处于能够进行的状态的各种信号(例如用于使自己的位置被识别的信标信号等)进行发送的结构。
在这种结构中，第三者能够通过从旁接收上述各种信号来掌握访问点处于能够进行安全性设定的状态的这一情况。然而，在本发明中，不从访问点输出上述各种信号，仅等待来自上述无线LAN终端的开始指示数据。因此，第三者不能够掌握访问点处于可以进行安全性设定的状态的这一情况，提高了安全性。
此外，为了提高安全性，可在能够利用多条信道实施无线通信的访问点中，仅利用特定的信道来进行所述开始指示数据的接收和安全性设定处理中的通信。这样，若仅利用特定的信道，表面上看来通信容易被从旁接收，但是通过与本发明中的结构相组合，实际上能够确保极高的安全性。
更具体来说，在能够通过多条信道实施无线通信的通信系统中，在首次实施通信时要进行信道扫描。例如，若采用无线LAN终端在首次通信之前进行信道扫描的结构，则访问点必须在自身正在使用的特定信道中，作出对该信道扫描的应答。在这种结构中，若第三者从旁接收访问点的应答并在该应答结束前进行干扰，则无线LAN终端中的信道扫描不会结束，会继续扫描。
另一方面，若第三者使用非法的无线LAN终端对访问点的应答进行冒充，并进行其后的安全性设定处理，则能够在非法的无线LAN终端和访问点之间进行无线通信的设定。然而，如果构成为如上述那样，在可用多条信道通信的结构中反而利用特定的信道进行安全性设定，由于没有必要进行信道扫描，因此能够防止上述这种冒充行为。
另外，在如上述那样进行信道扫描的结构中，通常根据预先确定的顺序进行扫描。因此，由于在第三者从旁接收到正在实施信道扫描这一情况时，第三者可通过将顺序更靠后的信道作为开始信道来实施信道扫描从而捷足先登，其结果是，访问点会对第三者的扫描作出应答。在这种情况下依然存在冒充的可能性，而如果象本发明那样，构成为通过特定的信道来进行安全性设定，则由于没有必要进行信道扫描，因此能够防止上述的冒充行为。
在本发明中，为了提高进行访问点和无线LAN终端间的安全性设定时的安全性，不仅像上述那样在访问点中采用提高安全性的结构，还可以由无线LAN终端侧提高安全性。也就是说，为了基于上述开始指示数据来由访问点开始安全性设定处理并通过无线通信进行安全性设定，在开始安全性设定处理时从访问点发送开始承诺数据。
虽然，无线LAN终端通过接收该开始承诺数据来开始安全性设定处理，但是这里，在接收到多个开始承诺数据时，不开始安全性设定处理。因此，即使第三者冒充成访问点来要进行与无线LAN终端的安全性设定处理，并发送开始承诺数据，也会因无线LAN终端侧中止了安全性设定处理而冒充失败，能够提高安全性。
另外，在无线LAN终端中，也与上述访问点同样地通过无线通信来进行安全性设定处理。作为该安全性设定处理，只要能够进行旨在确保访问点和无线LAN终端间的无线通信中的安全性的设定即可，如上所述能够进行各种处理。当然，在无线LAN终端中，也可与安全性设定处理同时进行用于实施无线通信的设定。
在终端侧无线通信单元中，只要能够与访问点进行无线的通信即可，可以采用与上述访问点侧无线通信单元相同的各种结构。在终端侧开始指示受理单元中，也与上述访问点侧开始指示受理单元相同，只要能够受理上述安全性设定处理的开始指示即可。因此，包括通过按钮的按下操作来进行开始指示的结构等、能够进行开始指示的所有输入装置。当然，可通过连接于无线LAN终端的输入装置(鼠标或键盘等)来进行开始指示，可以采用各种结构。
在开始指示数据发送单元中，只要能够通过上述终端侧无线通信单元发送开始指示数据即可。因此，只要能够生成表示是开始指示数据这一情况的数据，并通过上述终端侧无线通信单元发送即可。例如，可以采用在开始指示数据的信息包信头和净荷中附加表示该数据是开始指示数据这一情况的数据来形成开始指示数据即可。当然，该开始指示数据可以采用符合各种通信规约的形式。另外，可以在该净荷中包含任意的数据，也可以通过该净荷发送接收上述安全性设定处理所必要的数据或用于进行无线通信的设定所必要的数据。
在开始承诺数据接收单元中，只要能够通过上述终端侧无线通信单元接收访问点所发送的开始承诺数据即可。因此，只要能够参照由上述终端侧无线通信单元所接收到的数据，识别出是开始承诺数据并取得其内容即可。例如，可以采用如下结构，即在开始承诺数据的信息包信头和净荷中附加表示该数据是开始承诺数据这一情况的数据，并此其进行识别。当然，该开始承诺数据可以采用符合各种通信规约的形式。另外，可以在该净荷中包含任意的数据，也可以通过该净荷发送接收上述安全性设定处理所必要的数据或用于进行无线通信的设定所必要的数据。
虽然在终端侧安全性设定单元中，进行上述安全性设定处理，但是只要能够在实施该安全性设定处理前，判断是否要移行至该安全性设定处理即可。在本发明中，只要在该判断时判断开始承诺数据的个数，并在接收到多个开始承诺数据(从多个无线LAN终端发送的开始承诺数据)的情况下，不进行安全性设定处理即可。因此，只要至少能够判别通过无线通信接收到的信息包是否为开始承诺数据，并识别出其数目即可。
当然，为了判断开始承诺数据是否为多个，可以采用如下结构，即预先定义实施用于接收开始承诺数据的等待处理的时间间隔，并判断在该时间间隔内是否接收到多个开始承诺数据。另外构成为，即使在该时间间隔经过之后接收到开始承诺数据，也不对该开始承诺数据进行安全性设定处理。
如上所述，在本发明中，通过在访问点和无线LAN终端的其中之一或双方中防止第三者的非法冒充，来提高安全性。由于这些机器，通过无线通信来进行安全性设定处理，因此优选在该无线通信中也提高安全性。因此，也可以采用以下结构，即当从无线LAN终端发送开始指示数据时，将公开密钥与该开始指示数据一起发送，以后，在利用该公开密钥实施的加密下进行通信。
也就是说，在本发明中，由于为了进行安全性设定处理而发送开始指示数据，因此有必要以安全性设定前的状态发送开始指示数据。因此，对于该开始指示数据而言，不加密地进行发送。但是若采用如下结构，即在发送该开始指示数据时发送公开密钥，之后，接收被该公开密钥加密的数据，并通过成组的秘密密钥来进行解读，则能够确保由无线LAN终端所接收的数据的机密性，并能够提高安全性。当然，此时上述访问点，基于表示该公开密钥的数据来将所述开始承诺数据加密。
此外，优选在利用上述那样的公开密钥的结构中，表示该公开密钥的数据，优选为，在每次进行安全性设定处理时为唯一的公开密钥。作为达到此目的的结构，在无线LAN终端中，可以采用如下结构，即在每次通过上述终端侧开始指示受理单元受理上述安全性设定处理的开始指示时，生成并发送表示不同的公开密钥的数据。
用于生成唯一的公开密钥的结构可以采用各种结构，优选采用如下结构，即在每次通过上述终端侧开始指示受理单元受理上述安全性设定处理的开始指示时生成随机数，并基于该随机数作成公开密钥。当然，与该公开密钥成组的秘密密钥，在生成该公开密钥时生成。通过以上的结构，能够显著地降低公开密钥泄露给第三者的危险性。
此外，在通过上述访问点生成开始承诺数据并发送到无线LAN终端的结构中，也可以采用将公开密钥与该开始承诺数据一起生成并发送到无线LAN终端的结构。也就是说，若无线LAN终端接收到该公开密钥，则此后，能够将从无线LAN终端输出的数据加密，并能够提高安全性。
此外，在将表示该开始承诺数据和公开密钥的数据从访问点发送到无线LAN终端时，用被与上述开始指示数据一起预先从该无线LAN终端对访问点发送的公开密钥进行加密。通过此加密，能够将从访问点输出的开始承诺数据和公开密钥加密，并能够显著地降低从访问点发送的数据泄露给第三者的危险性。
此外，由于在本发明中，为了进行安全性设定要进行无线通信，因此优选在该通信时也进行该加密。作为该具体例，可以采用如下结构，即在通过无线LAN终端的终端侧无线通信单元对上述访问点请求安全性设定所必要的数据，并基于其应答来进行安全性设定的结构中，在每次该请求时，发送用于将对该请求的应答加密的公开密钥(应答用公开密钥数据)。
在该结构中，由于能够通过不同的公开密钥将所有的应答加密，因此能够显著地降低信息泄露的可能性，并且能够显著地降低第三者解读密码的可能性。当然，在进行上述请求时，也可以利用从访问点预先发送的公开密钥来加密该请求。另外，在每次对该请求进行应答时，在访问点中生成不同的公开密钥，并将此公开密钥与应答一起发送。
通过这种结构，由于能够利用不同的公开密钥将所有的请求加密，因此能够显著地降低信息泄露的可能性，并且能够显著降低第三者解读密码的可能性。另外，如上所述，在通过公开密钥和秘密密钥进行加密的结构中，不仅能提高信息的机密性，而且还能够确认发送者是否是真正的发送者。因此，还能够将冒充的危险性显著地降低。
另外，为了提高安全性，可以构成为，在能够利用多条信道执行无线通信的无线LAN终端中，仅利用特定的信道来进行上述开始指示数据的发送、开始承诺数据的接收、以及安全性设定处理中的通信。这样，若仅利用特定的信道，表面上看起来容易从旁接收通信，但是通过与本发明中的结构组合，实际上能够确保极高的安全性。具体来说，如上所述，在能够通过多条信道实施无线通信的通信系统中，由于在首次实施通信时不需要进行信道扫描，因此能够防止上述那样的冒充行为。
以上的发明，不仅通过装置，还可以通过方法实现，能够通过实施上述装置所实施的处理的程序来实现。另外，存在本发明所涉及的装置、方法、程序被单独实施的情况，也存在以与某种机器相组合的状态被与其他装置、方法、程序一起实施的情况等等，作为发明的思想不限于此，包含各种方式，并可以适当变更。
此外，也可以作为记录本发明的程序的记录介质来提供。该程序的记录介质，可以是磁记录介质也可以是光磁记录介质，在今后开发的任何记录介质中均可作完全相同的考虑。此外，在一部分是软件、一部分由硬件实现的情况下，在发明的思想中也并非完全不同，可为将一部分记录于记录介质并根据需要适当读入的方式。另外，未必是由单独的程序实现所有的功能，可由多个程序来实现。此时，可在多个计算机中实现各个功能。


图1是表示实现作为本发明的第一实施例的安全性设定处理系统LH1的硬件的结构的说明图。
图2是表示访问点的结构的说明图。
图3是表示无线LAN终端的结构的说明图。
图4是安全性设定处理的流程图。
图5是安全性设定处理的流程图。
具体实施例方式
为了使以上所说明的本发明的结构和作用更加明了，下面按照以下的顺序说明本发明的实施方式。
A.第一实施例(安全性设定处理系统LH1)A-1安全性设定处理系统LH1的概要A-2安全性设定处理B.变形例A.第一实施例A-1安全性设定处理系统LH1的概要图1是表示实现作为本发明的第一实施例的安全性设定处理系统LH1的硬件的结构的说明图，图2是表示访问点的结构的说明图，图3是表示无线LAN终端的结构的说明图。安全性设定处理系统LH1，含有无线LAN终端50、60、70以及访问点20，在完成安全性设定处理后，对两者使用共通的WEP密钥，在确保安全性的同时在无线通信区域AR1内实施无线通信。
如图1所示，无线通信区域AR1中，设置有作为无线LAN用的中继器的访问点(无线基站)20。如图2所示，访问点20具备CPU11；与该CPU11通过总线相互连接的ROM12、RAM13；作为网络接口的WAN端口17；与有线LAN连接用的LAN端口22；无线通信接口18；显示器控制器15；以及，输入输出控制器16等各个部分。
在ROM12中，存储有涉及与无线通信区域AR1内的无线LAN终端50、60、70进行的通信以及往互联网IN和服务器SV进行的连接的各种程序以及执行该程序所需要的数据。在图2中，作为其一部分，表示用以执行安全性设定处理的安全性设定处理部12a；以及，用以执行实施无线通信时的设定的连接设定处理部12b。
按压式的按钮16a连接在输入输出控制器16上。按钮16a，被设置为其按压部露出于访问点20的机箱表面的状态。显示器控制器15上，连接有通过点亮·熄灭等来表示无线LAN的连接状态和通信状态的各种显示灯19。
无线通信接口18上，连接有发送电波的发送机25以及接收电波的接收机26。该发送机25和接收机26，被以能够向外部发送电波和从外部接收电波的状态内置于访问点20内。在图1中，将从发送机25发送的电波所到达、且接收机26所接收的来自无线LAN终端50、60、70的电波的范围，作为无线通信区域AR1表示。此外，本实施例中的发送机25和接收机26，可以通过多个信道收发电波，无线通信可以通过多个信道中的其中之一实施。在本实施例中，上述发送机25和接收机26构成所述访问点侧开始指示受理单元。
内置调制解调器的路由器28，通过缆线连接在WAN端口17上。路由器28，能够基于后述的无线LAN适配器52、62、72的各个MAC地址，确定无线LAN内的多个各个终端50、60、70，并区分他们。路由器28内的调制解调器，通过CATV线路、xDSL线路等通信线路CL、以及网络提供商PV的专用线路，连接在互联网IN上。也就是说，路由器28，作为将无线LAN连接在互联网IN上的网关而发挥作用。
图1所示的无线LAN终端50、60、70，是公知的笔记本型个人计算机，虽然在图3中作为一例表示了无线LAN终端50的结构，但是在无线LAN终端60、70中，也可以采用同样的结构，实现同样的功能。无线LAN终端50，如图3所示的那样，具备CPU51、通过总线与该CPU51相互连接的ROM53、RAM54、不易失性的存储装置55(例如硬盘驱动器等)、与有线LAN连接用的LAN端口56、显示器控制器57、输入I/F58、卡总线I/F59等各个部件。
该无线LAN终端50，能够将存储于存储装置55的程序转送给RAM54，并通过CPU51的运算处理来执行。在本实施例中，存储有涉及与访问点20进行的通信和往互联网IN进行的连接的各种程序以及执行该程序所需要的数据。在图3中，作为其一部分，表示用以执行安全性设定处理的安全性设定处理部55a、用于执行实施无线通信时的设定的连接设定处理部55b。
无线LAN终端50所具备的显示器57a，连接在显示器控制器57上，能够实施与程序联动的UI等的各种显示。在输入I/F58上，连接有鼠标58a和键盘58b，能够取得各自的输入操作内容。在卡总线I/F59上，连接有无线LAN适配器52，并能够通过该无线LAN适配器52所具备的发送部52a、接收部52b，与访问点20进行无线通信。
另外，在无线LAN适配器52中，发送部52a和接收部52b也能够通过多个信道发送接收电波，无线通信被通过多个信道中的任何一个实施。在本实施例中，无线LAN适配器52构成上述终端侧无线通信单元。当然，作为无线LAN终端，不限于个人计算机，也可以采用携带信息无线LAN终端(Personal Digital Assistant个人数字助理)等各种终端。
A-2.安全性设定处理通过以上的结构，无线LAN终端50、60、70通过访问点20而访问互联网IN，而在本实施例中，如上述那样通过WEP密钥来对通信内容进行加密。为此，在本实施例中，在无线LAN终端50、60、70与访问点20进行通信之前，实施设定WEP密钥的安全性设定处理。
图4和图5是该安全性设定处理的流程图。在该安全性设定处理中，为了确保到设定WEP密钥为止的通信的机密性，进行前处理，通过该前处理来排除第三者的非法侵入。也就是说，虽然一旦实施了基于WEP密钥的设定则能确保通信的机密性，但是在通过无线通信进行该WEP密钥的设定时，该无线通信中的WEP密钥为未设定状态，不能通过该WEP密钥确保机密性。因此，在本实施例中，在访问点20和无线LAN终端50中实施用于对WEP密钥进行设定的处理的前处理。
在访问点20中，图中未示出的无线通信程序恒常起动，并通过该无线通信程序的控制，进行该访问点20与上述WEP密钥的设定和通信信道设定完成后的无线LAN终端的无线通信。该无线通信程序，能够实施基于上述按钮16a的按压操作的中断处理，检测该按钮16a是否被按压(步骤S100)。在本实施例中，该按钮16a和步骤S100的处理构成上述访问点侧开始指示受理单元。
在该步骤S100中检测到按钮16a被按下时，上述无线通信程序被中断，并且开始由上述安全性设定处理部12a实施的处理，该安全性设定处理部12a，首先，将进行无线通信时的信道设定为预先确定的特定的信道(步骤S105)。接下来，安全性设定处理部12a，判别是否已经取得了开始指示数据(步骤S110)。也就是说，在访问点20中，如上述那样图中未示出的无线通信程序恒常起动，并处于能够取得某些无线通信包的状态。另外，在取得某些无线通信包时，其数据被缓存于上述RAM13中。
因此，在安全性设定处理部12a中，取得该被缓存的数据，并判别是否已经取得开始指示数据。在该步骤S110中，判别为已经取得开始指示数据时，在访问点20中结束安全性设定处理部12a的处理，且不进行WEP密钥的设定。此时，访问点20返回到上述未图示的无线通信程序的处理。在本实施例中，该步骤S110的处理在上述开始指示数据接收单元以及访问点侧安全性设定单元中，构成到开始安全性设定处理为止的部分。
另外，这里优选构成为，在返回到无线通信程序的处理前由上述显示灯19输出警告，在一定时间内不能实施基于上述按钮16a的按压操作，或只要明示的警告不解除就不返回至上述无线通信程序的处理。在步骤S110中，没有判别为已经取得了开始指示数据时，执行步骤S115以后的安全性设定处理。
另一方面，在无线LAN终端50中，用户操作鼠标58a等，并通过图中未示出的UI等指示安全性设定处理的开始。在无线LAN终端50中判别该开始指示是否被作出(步骤S200)，在判别为开始指示已被作出时，开始由安全性设定处理部55a实现的处理。在本实施例中，该步骤S200中的处理相当于上述终端侧开始指示受理单元。
该安全性设定处理部55a，首先，将进行无线通信时的信道设定为预先确定的特定的信道(步骤S205)。该无线LAN终端50中的信道，是与上述访问点20中由步骤S105设定的信道共用的信道。
接下来，无线LAN终端50中，生成用于将信息加密的公开密钥PK1以及用于解读的秘密密钥SK1(步骤S210)。在本实施例中，产生随机数，并基于该随机数生成公开密钥PK1以及与该公开密钥PK1成对的秘密密钥SK1。从而，该公开密钥PK1和秘密密钥SK1，在每次上述步骤S200中判别为开始指示被作出时为不同的密钥。若生成了公开密钥PK1和秘密密钥SK1，将表示它们的数据记录于上述RAM54中。
进而，安全性设定处理部55a取得表示上述无线LAN适配器52中的功能的功能信息，并将开始指示数据连同表示上述公开密钥PK1的数据一起发送(步骤S215)。也就是说，在本实施例中，该开始指示数据，包含表示上述开始指示已被作出的信息和上述功能信息以及公开密钥PK1。该开始指示数据，例如可由探察请求包构成。此时，探察请求包的净荷中，也可以包含表示上述开始指示被作出的标志以及表示上述功能信息和公开密钥PK1的数据。另外，该功能信息，包含在无线LAN终端50的无线LAN适配器52中、可用于无线通信的频带的标准(例如，2.4GHz带、5GHz带等)和可使用的信道的设定等。在本实施例中，上述步骤S215中的处理相当于上述开始指示数据发送单元。
通过以上的步骤S100～S110以及步骤S200～S215，能够只在按下访问点20的按钮16a，且之后在无线LAN终端50中开始指示被作出的情况下，进行安全性设定处理，能够防止第三者的非法侵入。也就是说，在无线LAN终端50中，只要不通过连接于该无线LAN终端50的鼠标58a等实施开始指示，就不发送上述开始指示数据。从而，若遵守如下约定，即实施安全性设定的用户在访问点20按下按钮16a、并立即由无线LAN终端50实施开始指示，则能够将此前访问点20所接收的所有的开始指示数据判别为非法的开始指示数据。
因此，本实施例中的访问点20，在存在该访问点20所具备的按钮16a被按下以前接收到的开始指示数据时，不进行安全性设定处理。因此，即使存在为了非法侵入而频繁输出开始指示数据的第三者，也不会与该第三者所具有的无线LAN终端之间实施安全性设定。
另外，假如用户误在按下访问点20的按钮16a前实施无线LAN终端50的开始指示，虽然这时不执行安全性设定处理，但在这种情况下，若在访问点20中的处理重复至一开始、并较早地按下访问点20的按钮16a，则随后能够执行安全性设定处理。
在本实施例中，通过如上述那样利用特定信道来执行与安全性设定处理相关的无线通信，对于非法侵入而言成为更强固的系统。也就是说，在无线LAN中，虽然在无线通信的设定和安全性设定之前实施探察请求时通常进行信道扫描，但是由于在本实施方式中利用预先确定的信道，因此没有必要进行该信道扫描，也没有必要从访问点20实施对信道扫描的应答。其结果，第三者不可能如上述那样从旁接收访问点的应答、或先行进行信道扫描，能够防止冒充行为。
此外，虽然在本实施例中，访问点20进行开始指示数据的接收，但是，即使在上述步骤S100实施了按钮的按下，也不发送用于确定自己的位置的信标(beacon)信号。从而，第三者不能通过检测该信标信号来掌握安全性设定已开始这一情况。因此，对于第三者而言，无法决定尝试中断安全性设定处理的时刻，能够将第三者实施侵入的可能性降低得极小。
通过以上的结构，在实施了防止对访问点20的非法侵入的前处理之后，在本实施例中，访问点20的安全性设定处理部12a进行上述开始指示数据的接收等待处理(步骤S115)，并重复该接收等待处理直到判别为接收到该开始指示数据为止(步骤S120)。也就是说，安全性设定处理部12a，判别通过上述接收机26接收到的包的内容，并判别是否为在上述步骤S215从无线LAN终端50发送的开始指示数据。
若在步骤S120中，未判别为是从无线LAN终端50发送的开始指示数据，则放弃该包并重复步骤S115以后的处理。在判别为是从无线LAN终端50发送的开始指示数据时，进行步骤S125以后的处理。另外，在步骤S115、S120中，在经过了给定的时间后中止接收等待处理，或者可由显示灯19显示警告。通过该处理，可以在来自无线LAN终端50的电波被干扰的情况下，中止安全性设定处理。
在步骤S125中，生产用于加密信息的公开密钥PK2以及用于解读的秘密密钥SK2。这里，也与上述同样，产生随机数，并基于该随机数生成公开密钥PK2以及与该公开密钥PK2成组的秘密密钥SK2。从而，该公开密钥PK2和秘密密钥SK2，在每次处理中为唯一的密钥。这些数据记录于上述RAM13中。
接下来，安全性设定处理部12a，生成包含表示上述公开密钥PK2的数据的开始承诺数据，并通过公开密钥PK1加密后进行发送(步骤S130)。这里，开始承诺数据是表示受理上述开始指示数据这一情况的信息，是对上述开始指示数据的应答。因此，在上述开始指示数据是探察请求的情况下，可由探察应答包构成。此时，探察应答包的净荷中可包含表示承诺上述开始指示这一情况的标志、以及表示上述公开密钥PK2的数据。另外，在图4的中央下部，在开始承诺数据的文字的下部所示出的()，表示净荷内的公开密钥PK2被公开密钥PK1加密着(以下同)。
为了对应该开始承诺数据，无线LAN终端50的安全性设定处理部55a，进行开始承诺数据的接收等待处理。此时，判别是否经过了预先确定的给定时间(步骤S220)，经过可给定时间后，判别是否接收到2以上的开始承诺数据(步骤S225)。也就是说，在步骤S220中，在经过给定时间之前，不断地将由所述接收部52b所接收的数据缓存于RAM54中，在步骤S225中，基于被缓存的数据的信头来判别所发送的数据是单一的数据还是多个数据。是单一或是多个的基准，可以以是否是从多个无线LAN终端发送等为基准来进行判别。
然后，在步骤S225中，在判别为接收到2以上的开始承诺数据时，不继续安全性设定处理，结束处理。其结果，能够防止第三者的非法侵入。也就是说，考虑在第三者为了冒充为访问点20，从旁接收由上述步骤S215发送的开始指示数据时，会将通过上述公开密钥PK1进行了加密的开始承诺数据发送出去。
但是，在这种情况下，由于从访问点20由上述步骤S130输出的开始承诺数据也到达了无线LAN终端50，因此开始承诺数据为2以上。在本实施例中，在该状况中通过步骤S225的判别不执行安全性设定处理。因此，上述第三者的冒充失败。由于在步骤S225没有判别为接收到2以上的开始承诺数据时，仅接收到从访问点20发送的开始承诺数据，因此在步骤S230以后继续安全性设定处理。其结果，能够在提高了安全性的状态下进行安全性设定处理。在本实施例中，上述步骤S220、S225的处理，构成所述开始承诺数据接收单元、以及在终端侧安全性设定单元中到开始安全性设定处理为止的部分。
在步骤S225中没有判别为接收到2以上的开始承诺数据时，利用上述秘密密钥SK1解读开始承诺数据(步骤S230)，并在解读后判别是否成为有意义的适当的数据(步骤S235)。在该步骤S235中没有判别为成为适当的数据的情况下，中止安全性设定处理。也就是说，不能通过与公开密钥PK1成组的秘密密钥SK1解读，在不为适当的数据(包含表示开始承诺的标志以及按给定格式描述的公开密钥PK2)的情况下，由于意味着接收到的数据不是从访问点20发送的数据，因此中止处理。
在由上述步骤S235判别出为适当的数据时，将表示上述公开密钥PK2的数据记录于RAM54中，并且为了继续通信再生成公开密钥PK3和秘密密钥SK3(步骤S240)。这里，安全性设定处理部55a，也产生随机数，并基于该随机数，生成公开密钥PK3以及与该公开密钥PK3成组的秘密密钥SK3。因此，该公开密钥PK3和秘密密钥SK3，在每次处理均为唯一的密钥。若生成公开密钥PK3和秘密密钥SK3，则将表示它们的数据记录于上述RAM54中。
接着，安全性设定处理部55a生成包含表示上述公开密钥PK3的数据的开始承认数据，并由公开密钥PK2加密后进行发送(步骤S245)。也就是说，在本实施例中，该开始承认数据，是用于对如下情况给予承认的数据，即为了进行安全性设定处理从访问点20向无线LAN终端50发送安全性设定所必要的信息这一情况。该开始承认数据，例如可由认证(Authentication)请求包构成。此时，可以令认证请求包的净荷中，包含表示上述开始承认的标志以及表示上述公开密钥PK3的数据。
若在访问点20中接收到该开始承认数据，则利用上述秘密密钥SK2来解读开始承认数据(步骤S135)，并判别是否是适当的数据(步骤S140)。在该步骤S140中，没有判别为是适当数据(包含表示开始承认的标志以及用给定格式描述的公开密钥PK3的数据)的情况下，视为不是从适当的无线LAN终端50发送的数据，中止安全性设定处理。
在被上述步骤S140判别为是适当的数据时，生成包含无线LAN终端中应设定的WEP密钥以及通信中使用的信道(优选为与上述步骤S105、S205中的特定信道不同的信道)的设定数据。然后，通过公开密钥PK3将该设定数据加密后进行发送(步骤S145)。该设定数据，例如可由认证(Authentication)应答包构成。此时，可令认证应答包的净荷中，包含表示上述WEP密钥和使用信道的数据。本实施例中，上述步骤S115～S145相当于上述访问点侧安全性设定单元中的安全性设定处理。
另外，使用信道是无线连接中必要的设定数据，图2所示的连接设定处理部12b，在访问点20中取得未使用的信道，并通过将该未使用的信道分配为使用信道来进行指定。此时，参照由上述步骤S215发送的功能信息，确认访问点20正在使用的频带能够被无线LAN终端50使用，并将该正在使用的频带中的未使用的信道设为使用信道。
无线LAN终端50中接收到该设定数据后，利用上述秘密密钥SK3来解读设定数据(步骤S250)，并判别是否是适当数据(步骤S255)。在该步骤S255没有判别为是适当数据(包含WEP密钥和使用信道的数据)的情况下，视为不是从适当的访问点20发送的数据，中止安全性设定处理。
在由上述步骤S255判别为是适当的数据时，无线LAN终端50的安全性设定处理部55a，将WEP密钥存储于上述存储装置55，并设定为在以后的无线通信中使用该WEP密钥(步骤S260)。此外，连接设定处理部55b，以在以后的无线通信中利用上述设定数据中包含的使用信道来进行通信的方式，进行连接设定处理(步骤S265)。在本实施例中，上述步骤S230～S260相当于上述终端侧安全性设定单元。
由于通过以上的处理，在访问点20和无线LAN终端50中设定通用的WEP密钥，并设定了用于执行无线通信的信道，因此结束图4、5所示的处理，访问点20返回到上述未图示的无线通信程序中。因此，在无线LAN终端50中执行实施无线通信的应用程序后，与访问点20的上述未图示的无线通信程序协作来实施无线通信。
如以上所述那样，在本实施例中，通过在每次进行来自无线LAN终端50的请求以及对该请求的应答时生成不同的公开密钥和秘密密钥，来确保通信的机密性。因此，由于即使第三者尝试解读这些密钥中的密码，并解读成功，在解读过程中也要花费相当的时间，因此在解读成功前上述WEP密钥的设定已经结束，WEP密钥不会被解读。其结果，能够在确保极强的机密性的同时，完成安全性设定处理(WEP密钥的设定处理)。
B.变形例上述实施例，是本发明的一个实施例，只要能够在防止第三者的非法侵入的同时通过无线通信实施安全性设定，也可以采用其他各种结构。例如，虽然在上述实施例中，在安全性设定处理中进行WEP密钥的设定，但当然，也可以进行用于实施其他方式(TKIP、AES、公开密钥密码等)的加密的设定。
另外，可将本发明应用于基于电波的无线通信以外的其他方式中，可将本发明应用于红外线、光、声音信号、超声波等的通信中。当然，在通过蓝牙(商标)进行无线LAN终端50和访问点20之间的无线通信的情况下也同样。
此外，虽然在上述实施例中，假定在访问点20中已经设定了WEP密钥，并且设定为利用给定的频带进行无线通信，但是当然，可以在这些未被设定的情况下，由访问点20或者无线LAN终端50的一方生成WEP密钥，并发送给另一方来进行设定。另外，也可以选择可选频带的其中之一，并由双方设定其频带和信道。
此外，虽然在上述访问点20的步骤S115、S120中，通过接收开始指示数据来移行到下面的处理(步骤S125)中，但是这里也可以构成为，实施给定时间的接收等待处理，并在接收到2以上的开始指示数据时，中止安全性设定处理。在该结构中，对于通过干扰从无线LAN终端50输出的开始指示数据，并且生成、发送非法的开始指示数据，来试图冒充的第三者，也能够实施非法侵入的防止措施。
另外，虽然在上述的实施方式中，通过在每次进行来自无线LAN终端50的请求以及对该请求进行应答时生成不同的公开密钥和秘密密钥，来确保通信的机密性，但是到安全性设定处理结束为止的时间一般极短。因此，也可以采用以下结构，在每次请求和应答时不生成不同的公开密钥和秘密密钥，而利用相同的公开密钥和秘密密钥。在这种结构中，也能够在将第三者侵入的可能性降得非常低的同时，进行安全性设定处理。另外，虽然作为用于生成上述公开密钥和秘密密钥的处理，假定的是通过随机数来生成素因数分解型的公开密钥，但当然，也可以生成其他方式、例如离散对数型的公开密钥，可以采用各种结构。
权利要求
1.一种访问点，通过无线通信，实施与无线LAN终端进行无线通信时的安全性设定处理，其特征在于，具备访问点侧无线通信单元，其与所述无线LAN终端进行无线通信；访问点侧开始指示受理单元，其受理所述安全性设定处理的开始指示；开始指示数据接收单元，其用所述访问点侧无线通信单元，接收表示所述安全性设定处理的开始的开始指示数据；以及，访问点侧安全性设定单元，其在所述访问点侧开始指示受理单元中受理所述开始指示之前接收到所述开始指示数据时，不进行所述安全性设定处理，在所述访问点侧开始指示受理单元中受理所述开始指示之前没有接收到所述开始指示数据时，进行所述安全性设定处理。
2.根据权利要求1所述的访问点，其特征在于，所述访问点，在进行所述安全性设定处理时，不用所述访问点侧无线通信单元输出表示正在进行安全性设定处理的数据。
3.根据权利要求1所述的访问点，其特征在于，所述访问点侧无线通信单元，能够通过多个信道进行无线通信，所述开始指示数据接收单元以及访问点侧安全性设定单元，仅利用预先确定的特定的信道来与所述无线LAN终端进行通信。
4.一种无线LAN终端，通过无线通信，实施与访问点进行无线通信时的安全性设定处理，其特征在于，具备终端侧无线通信单元，其与所述访问点进行无线通信；终端侧开始指示受理单元，其受理所述安全性设定处理的开始指示；开始指示数据发送单元，其在受理所述开始指示后，向所述终端侧无线通信单元发送表示所述安全性设定处理的开始的开始指示数据；开始承诺数据接收单元，其用所述终端侧无线通信单元接收开始承诺数据，所述开始承诺数据是通过基于该开始指示数据开始的安全性设定处理而从所述访问点发送的数据，表示所述安全性设定处理的开始承诺；以及，终端侧安全性设定单元，其在通过该开始承诺数据接收单元接收到多个开始承诺数据时不进行所述安全性设定处理，在通过所述开始承诺数据接收单元接收到单个的开始承诺数据时进行所述安全性设定处理。
5.根据权利要求4所述的无线LAN终端，其特征在于，所述开始指示数据发送单元，将表示公开密钥的数据与所述开始指示数据一起发送，所述开始承诺数据通过所述公开密钥而被加密，所述终端侧安全性设定单元通过与所述公开密钥成组的秘密密钥解读所述开始承诺数据。
6.根据权利要求4所述的无线LAN终端，其特征在于，所述开始指示数据发送单元，在每次由所述终端侧开始指示受理单元受理所述安全性设定处理的开始指示时，生成并发送表示不同的公开密钥的数据。
7.根据权利要求5所述的无线LAN终端，其特征在于，所述开始承诺数据，包含表示由所述访问点生成的公开密钥的数据，并由与所述开始指示数据一起发送的公开密钥加密。
8.根据权利要求4所述的无线LAN终端，其特征在于，在所述终端侧安全性设定单元中，通过所述终端侧无线通信单元向所述访问点请求安全性设定中所必要的数据，并基于其应答进行安全性设定，在每次进行所述请求时，发送表示用于对其应答进行加密的不同的公开密钥的应答用公开密钥数据，并通过与该应答用公开密钥数据成组的秘密密钥解读所述应答。
9.根据权利要求4所述的无线LAN终端，其特征在于，所述终端侧无线通信单元，可以通过多个信道实施无线通信，所述开始指示数据发送单元、开始承诺数据接收单元、以及终端侧安全性设定单元，仅利用预先确定的特定的信道与所述访问点进行通信。
10.一种安全性设定方法，是通过无线通信实施与无线LAN终端进行无线通信时的安全性设定处理的访问点的安全性设定方法，其特征在于，包括访问点侧开始指示受理工序，其受理所述安全性设定处理的开始指示；开始指示数据接收工序，其通过无线通信，接收表示所述安全性设定处理的开始的开始指示数据；以及，访问点侧安全性设定工序，其在所述访问点侧开始指示受理工序中受理所述开始指示之前接收到所述开始指示数据时，不进行所述安全性设定处理，在所述访问点侧开始指示受理工序中受理所述开始指示之前没有接收到所述开始指示数据时，进行所述安全性设定处理。
11.一种安全性设定方法，是通过无线通信实施与访问点进行无线通信时的安全性设定处理的无线LAN终端的安全性设定方法，其特征在于，包括终端侧开始指示受理工序，其受理所述安全性设定处理的开始指示；开始指示数据发送工序，其在受理所述开始指示后，通过无线通信发送表示所述安全性设定处理的开始的开始指示数据；开始承诺数据接收工序，其通过无线通信接收开始承诺数据，所述开始承诺数据是通过基于该开始指示数据开始的安全性设定处理而从所述访问点发送的数据，表示所述安全性设定处理的开始承诺；以及，终端侧安全性设定工序，其在通过该开始承诺数据接收工序接收到多个开始承诺数据时不进行所述安全性设定处理，在通过所述开始承诺数据接收工序接收到单个的开始承诺数据时进行所述安全性设定处理。
12.一种记录访问点的控制程序的介质，所述访问点通过无线通信，实施与无线LAN终端进行无线通信时的安全性设定处理，其特征在于，所述访问点，具备与所述无线LAN终端进行无线通信的访问点侧无线通信单元，所述控制程序，使计算机实现如下功能访问点侧开始指示受理功能，其受理所述安全性设定处理的开始指示；开始指示数据接收功能，其用所述访问点侧无线通信单元，接收表示所述安全性设定处理的开始的开始指示数据；以及，访问点侧安全性设定功能，其在所述访问点侧开始指示受理功能中受理所述开始指示之前接收到所述开始指示数据时，不进行所述安全性设定处理，在所述访问点侧开始指示受理功能中受理所述开始指示之前没有接收到所述开始指示数据时，进行所述安全性设定处理。
13.一种记录无线LAN终端的控制程序的介质，所述无线LAN终端，通过无线通信实施与访问点进行无线通信时的安全性设定处理，其特征在于，所述无线LAN终端，具备与所述访问点进行无线通信的终端侧无线通信单元；所述控制程序，具备如下功能终端侧开始指示受理功能，其受理所述安全性设定处理的开始指示；开始指示数据发送功能，其在受理所述开始指示后，向所述终端侧无线通信单元发送表示所述安全性设定处理的开始的开始指示数据；开始承诺数据接收功能，其用所述终端侧无线通信单元接收开始承诺数据，所述开始承诺数据是通过基于该开始指示数据开始的安全性设定处理而从所述访问点发送的数据，表示所述安全性设定处理的开始承诺；以及，终端侧安全性设定功能，其在通过该开始承诺数据接收功能接收到多个开始承诺数据时不进行所述安全性设定处理，在通过所述开始承诺数据接收功能接收到单个的开始承诺数据时进行所述安全性设定处理。
14.一种安全性设定处理系统，通过无线通信，实施与无线LAN终端进行无线通信时的安全性设定处理，其特征在于，所述访问点，具备访问点侧无线通信单元，其与所述无线LAN终端进行无线通信；访问点侧开始指示受理单元，其受理所述安全性设定处理的开始指示；开始指示数据接收单元，其用所述访问点侧无线通信单元，接收表示所述安全性设定处理的开始的开始指示数据；以及，访问点侧安全性设定单元，其在所述访问点侧开始指示受理单元中受理所述开始指示之前接收到所述开始指示数据时，不进行所述安全性设定处理，在所述访问点侧开始指示受理单元中受理所述开始指示之前没有接收到所述开始指示数据时，用所述访问点侧无线通信单元发送表示安全性设定处理的开始承诺的开始承诺数据来进行所述安全设定处理，所述无线LAN终端，具备终端侧无线通信单元，其与所述访问点进行无线通信；终端侧开始指示受理单元，其受理所述安全性设定处理的开始指示；开始指示数据发送单元，其在受理所述开始指示后，向所述终端侧无线通信单元发送所述开始指示数据；开始承诺数据接收单元，其用所述终端侧无线通信单元接收所述开始承诺数据；以及，终端侧安全性设定单元，其在通过该开始承诺数据接收单元接收到多个开始承诺数据时不进行所述安全性设定处理，在通过所述开始承诺数据接收单元接收到单个的开始承诺数据时进行所述安全性设定处理。
全文摘要
本发明提供一种访问点，在用于进行安全性设定的无线通信中，为了防止第三者的冒充，将与无线LAN终端进行无线通信时的安全性设定处理通过无线通信实施的该访问点中，受理上述安全性设定处理的开始指示，并通过无线通信接收表示上述安全性设定处理的开始的开始指示数据，在受理上述开始指示前接收到上述开始指示数据时不进行上述安全性设定处理，在受理上述开始指示前没有接收到上述开始指示数据时，进行上述安全性设定处理。
文档编号H04L29/06GK1893381SQ20061007360
公开日2007年1月10日 申请日期2006年4月13日 优先权日2005年6月28日
发明者石彻白敬 申请人:巴比禄股份有限公司