專利名稱:通信設備、無線網絡、程序及存儲介質的制作方法
技術領域:
本發明涉及確保通信設備和無線網絡的安全的技術。
背景技術:
近些年,無線LAN(局域網)不僅在辦公使用中而且在家庭使用中普及起來。這部分地歸功于無線LAN的以下優點對于諸如計算機或打印機的設備而言,無需為了進行操作而通過通信纜線連接。然而,在無線LAN中,由于對數據進行無線交換,所以與纜線連接的LAN相比,黑客可以相對容易地獲得對于網絡的未授權訪問并同時保持不被檢測到。例如,對于無線LAN的未授權訪問會涉及利用隱藏其身份的通信設備來侵入無線LAN從而竊取存儲在設備中的或在與該無線LAN相連的設備之間交換的數據,或通過所侵入的無線LAN來訪問另一通信網絡。
為解決無線LAN系統中的上述安全問題,JP2003-046533公開了一種網絡系統,其中當交換集線器接收到通信請求時,該交換集線器在認證服務器處進行關于通信設備的MAC地址的查詢(inquiry)。該認證服務器中登記有允許通過網絡進行通信的所有通信終端的MAC地址。如果發出通信請求的通信設備的MAC地址已登記在所述認證服務器中,則交換集線器將該MAC地址和端口號登記在MAC地址表中,并將來自所述通信設備的該通信請求和后續幀傳送至路由器。另一方面,如果該通信設備的MAC地址未登記在服務器中,則交換集線器將該MAC地址登記在MAC地址過濾器中,并丟棄來自該通信設備的通信請求和后續幀。
另外,JP2003-110570公開了一種CATV系統,其中無線纜線(wireless cable)調制解調器對無線終端與中心設備之間的通信進行中繼。無線纜線調制解調器中登記有允許使用該無線纜線調制解調器的無線終端的MAC地址,并且拒絕來自其MAC地址未被登記的無線終端的訪問。另外,JP2003-309569公開了一種DHCP服務器,其確定請求分配IP地址的客戶機終端的MAC地址是否已登記在DHCP服務器的MAC地址管理表中,如果該MAC地址未被登記,則拒絕向該客戶機終端分配IP地址,從而防止了未授權訪問。
在以上引用中所公開的技術中,預先登記了允許進行通信的網絡設備的MAC地址,并且只允許預先登記了其MAC地址的設備通過無線LAN進行通信。因此,必須預先存儲允許進行通信的所有網絡設備的MAC地址,這會比較麻煩。另外,在公共無線LAN中,因為存在所服務的通信終端的大量流通量(turnover),所以每次向公共無線LAN中添加新設備時,操作人員都需要在添加新MAC地址時對所登記MAC地址的數據表進行更新,這種操作會比較麻煩。如果忽略所述登記和更新操作,就會妨礙與無線LAN相連的設備之間的平穩通信。
本發明是鑒于上述問題而提出的,并且提供了一種使得構成無線網絡的通信設備能夠容易地登記和更新標識信息,從而確保通信設備和無線網絡的安全,以及對疑為非法訪問無線網絡的通信設備進行檢測并通知通信設備的用戶的技術。
發明內容
為解決這些問題,本發明提供了一種通信設備,該通信設備包括檢測裝置,用于檢測構成無線網絡的通信設備;報告裝置,用于報告與所述檢測裝置檢測到的通信設備有關的信息;操作裝置;登記裝置,如果通過所述操作裝置的操作允許與所述報告裝置報告的通信設備進行通信,則該登記裝置用于將該通信設備的標識信息登記在存儲器中;監控裝置,用于監控無線網絡并對構成該無線網絡的其標識信息未登記在所述存儲器中的通信設備進行檢測;警告裝置,其除了報告與所述監控裝置檢測到的通信設備有關的信息之外,還針對可疑的未授權訪問發出警告;更新裝置,如果通過所述操作裝置的操作允許與所述警告裝置所報告的通信設備進行通信,則該更新裝置將與該通信設備有關的標識信息另外登記在所述存儲器中;以及通信控制裝置,用于允許與構成無線網絡的其標識信息已登記在所述存儲器中的通信設備進行通信,并且用于禁止與構成無線網絡的其標識信息未登記在所述存儲器中的通信設備進行通信。
本發明還提供了一種用于使計算機執行以下步驟的程序第一步驟,檢測構成無線網絡的通信設備;第二步驟,報告在第一步驟中檢測到的通信設備的信息;第三步驟,如果通過操作裝置的操作允許與在第二步驟中報告的通信設備進行通信,則將該通信設備的標識信息登記在存儲器中;第四步驟,監控所述無線網絡并且對構成該無線網絡的其標識信息未登記在所述存儲器中的通信設備進行檢測;第五步驟,除了報告與在第四步驟中檢測到的通信設備有關的信息之外,還針對可疑的未授權訪問發出警告;第六步驟,如果通過操作裝置的操作允許與在第五步驟中報告的通信設備進行通信,則將該通信設備的標識信息另外登記在所述存儲器中;以及第七步驟,允許與構成所述無線網絡的其標識信息已登記在所述存儲器中的通信設備進行通信,并禁止與構成所述無線網絡的其標識信息未登記在所述存儲器中的通信設備進行通信。本發明還提供了一種記錄有該程序的計算機可讀存儲介質。
根據本實施例,通信終端(計算機)檢測并報告構成無線網絡的連網設備,并且如果允許與所報告的連網設備進行通信,則將該連網設備的MAC地址登記在存儲器中。另外,該通信終端監控無線網絡,檢測其MAC地址未登記在所述存儲器中的未知連網設備,并針對可疑的未授權訪問發出警告。如果允許與檢測到的連網設備進行通信,則該通信終端將該連網設備的MAC地址另外登記在所述存儲器中。另外,該通信終端允許與構成所述無線網絡的其MAC地址已登記在所述存儲器中的連網設備進行通信,并且禁止與構成所述無線網絡的其MAC地址未登記在所述存儲器中的連網設備進行通信。
本發明還提供了一種通信設備,該通信設備包括檢測裝置,用于檢測構成無線網絡的通信設備;報告裝置,用于報告與所述檢測裝置檢測到的通信設備有關的信息;操作裝置;登記裝置,如果通過所述操作裝置的操作允許或者不允許與所述報告裝置報告的通信設備進行通信,則當允許通信時將該通信設備的標識信息登記在第一表中,而當不允許通信時將該通信設備的標識信息登記在第二表中;監控裝置,用于監控所述無線網絡,并檢測構成所述無線網絡的其標識信息既未登記在所述第一表中也未登記在所述第二表中的通信設備;警告裝置,除了報告與所述監控裝置檢測到的通信設備有關的信息之外,還針對可疑的未授權訪問發出警告;更新裝置,如果通過所述操作裝置的操作允許或者不允許與所述警告裝置報告的通信設備進行通信,則當允許通信時將該通信設備的標識信息另外登記在第一表中,而當不允許通信時將該通信設備的標識信息另外登記在第二表中;以及通信控制裝置,用于允許與構成所述無線網絡的其標識信息已登記在所述第一表中的通信設備進行通信,并用于禁止與構成所述無線網絡的其標識信息已登記在所述第二表中的通信設備或構成所述無線網絡的其標識信息既未登記在所述第一表中也未登記在所述第二表中的通信設備進行通信。
該程序可被配置為使計算機執行以下步驟第一步驟,檢測構成無線網絡的通信設備;第二步驟,報告與在第一步驟中檢測到的通信設備有關的信息;第三步驟,如果通過操作裝置的操作允許或不允許與在第二步驟中報告的通信設備進行通信,則當允許通信時將該通信設備的標識信息登記在第一表中,而當不允許通信時將該通信設備的標識信息登記在第二表中;第四步驟,監控無線網絡,并對構成所述無線網絡的其標識信息既未登記在所述第一表中也未登記在所述第二表中的通信設備;第五步驟,除了報告與在第四步驟中檢測到的通信設備有關的信息之外,還針對可疑的未授權訪問發出警告;第六步驟,如果通過操作裝置的操作允許或不允許與在第五步驟中報告的通信設備進行通信,則當允許通信時將該通信設備的標識信息另外登記在第一表中,而當不允許通信時將該通信設備的標識信息另外登記在第二表中;以及第七步驟,允許與構成所述無線網絡的其標識信息已登記在所述第一表中的通信設備進行通信,并禁止與構成所述無線網絡的其標識信息已登記在所述第二表中的通信設備或構成所述無線網絡的其標識信息既未登記在所述第一表中也未登記在所述第二表中的通信設備進行通信。
本發明還提供了一種包括接入點和多個通信設備的無線網絡,其中,所述多個通信設備中的任意一個都包括檢測裝置,用于檢測構成所述無線網絡的通信設備;報告裝置,用于報告所述檢測裝置檢測到的通信設備的信息;操作裝置;第一登記裝置,如果通過所述操作裝置的操作允許與所述報告裝置報告的通信設備進行通信,則該第一登記裝置用于將該通信設備的標識信息登記在第一存儲器中;監控裝置,用于監控所述無線網絡,并對構成所述無線網絡的其標識信息未登記在所述第一存儲器中的通信設備進行檢測;警告裝置,除了報告與所述監控設備檢測到的通信設備有關的信息之外,還針對可疑的未授權訪問發出警告;更新裝置,如果通過所述操作裝置的操作允許與所述警告裝置報告的通信設備進行通信,則該更新裝置用于將該通信設備的標識信息另外登記在所述第一存儲器中;以及通知裝置,用于將以下通信設備的標識信息通知給所述接入點,通過所述操作裝置的操作不允許與該通信設備進行通信,所述接入點包括中繼裝置,用于對構成所述無線網絡的所述多個通信設備之間的通信進行中繼;第二登記裝置,用于將所述通知裝置通知的標識信息登記在第二存儲器中;以及禁止裝置,用于禁止與其標識信息已登記在所述第二存儲器中的通信設備進行通信。
所述無線網絡可被構造為包括接入點和多個通信設備,其中,所述多個通信設備中的任意一個都包括檢測裝置,用于檢測構成所述無線網絡的通信設備;報告裝置,用于報告與所述檢測裝置檢測到的通信設備有關的信息;操作裝置;登記裝置,如果通過所述操作裝置的操作允許或不允許與所述報告裝置報告的通信設備進行通信,則該登記裝置在允許通信時將該通信設備的標識信息登記在第一表中,而在不允許通信時將該通信設備的標識信息登記在第二表中;監控裝置,用于監控所述無線網絡,并對構成所述無線網絡的其標識信息既未登記在所述第一表中也未登記在所述第二表中的通信設備進行檢測;警告裝置,其除了報告與所述監控裝置檢測到的通信設備有關的信息之外,還針對可疑的未授權訪問警告;更新裝置,如果通過所述操作裝置的操作允許或不允許與所述警告裝置報告的通信設備進行通信,則該更新裝置在允許通信時將該通信設備的標識信息另外登記在第一表中,而在不允許通信時將該通信設備的標識信息另外登記在第二表中;以及通信控制裝置,用于允許與構成所述無線網絡的其標識信息已登記在所述第一表中的通信設備進行通信,并禁止與構成所述無線網絡的其標識信息已登記在所述第二表中的通信設備或構成所述無線網絡的其標識信息既未登記在所述第一表中也未登記在所述第二表中的通信設備進行通信,所述接入點包括中繼裝置,用于對構成所述無線網絡的所述多個通信設備之間的通信進行中繼;第二登記裝置,用于將所述通知裝置所通知的標識信息登記在第三表中;以及禁止裝置,用于禁止與其標識信息已登記在所述第三表中的通信設備進行通信。
根據本發明,構成無線網絡的通信設備可以容易地登記和更新標識信息,從而確保了該通信設備和該無線網絡的安全。另外,可以檢測疑為非法訪問無線網絡的通信設備并向用戶通知該通信設備。
圖1示出了根據本發明實施例的無線LAN 1的結構。
圖2是表示根據該實施例的通信終端20b的結構的框圖。
圖3示出了根據該實施例的允許表206a和拒絕表206b的各自數據結構。
圖4是表示根據該實施例的在通信終端20b中執行的初始設置處理的操作的流程圖。
圖5示出了根據該實施例的初始設置處理中的第一畫面的示例。
圖6示出了根據該實施例的初始設置處理中的第二畫面的示例。
圖7是表示根據該實施例的在通信終端20b中執行的監控處理的操作的流程圖。
圖8示出了根據該實施例的監控處理中的畫面的示例。
圖9是表示根據該實施例的在通信終端20b中執行的通信控制處理的操作的流程圖。
具體實施例方式
下面將參照附圖來描述本發明的優選實施例。
圖1示出了根據本實施例的無線LAN 1的結構。圖中所示的無線LAN是針對家庭使用的。接入點(以下稱為“AP”)10與位于AP 10所覆蓋的無線區域內的連網設備(“連網設備”是指當前連接到網絡的設備),例如通信終端20a和20b、打印機30以及掃描儀40,無線地傳送數據。AP10還充當撥號路由器。AP 10在從通信終端20b接收到連接至互聯網的請求的情況下,通過公共網絡來訪問互聯網服務提供商,并將通信終端20b連接到互聯網,以對通信進行中繼。通信終端20a和20b是插有LAN卡的個人計算機。打印機30和掃描儀40具有與AP 10進行無線通信并且作為通信終端20a和20b與其交換數據的功能。
圖2是表示通信終端20b的硬件結構的框圖。CPU 201讀取并執行存儲在ROM 202或HD(硬盤)206中的程序,從而對通信終端20b的組件進行控制。ROM 202存儲有用于控制通信終端20b的程序。RAM 203用作CPU 201的工作區。插入到通信終端20b的擴展槽中的無線LAN卡50控制與AP 10的無線通信。操作單元204由鍵盤、定點裝置等構成。顯示單元205由液晶顯示板和用于對該液晶顯示板的顯示進行控制的驅動電路構成。通信終端20b還具有時鐘功能。
HD 206中安裝有安全管理程序(應用軟件)。該程序用于稍后說明的初始設置處理(見圖4)、監控處理(見圖7)和通信控制處理(見圖9)。HD 206存儲有允許表206a和拒絕表206b。允許表206a中登記有以下網絡設備的MAC地址,這些網絡設備是除了允許用戶與構成無線LAN 1的其他網絡設備(例如通信終端20a、打印機30和掃描儀40)進行通信以外還允許用戶與通信終端20b進行通信的設備。拒絕表206b中登記有以下網絡設備的MAC地址,這些網絡設備是拒絕用戶與通信終端20b進行通信的裝置。
圖3(a)示出了允許表206a的數據結構。如圖所示,注釋(remark)欄中輸入有允許進行通信的網絡設備的計算機名、IP地址和登記日期。在無線LAN 1中,為網絡設備動態地分配IP地址。因此,登記在允許表206a中的IP地址是在通信終端20b獲得網絡設備的MAC地址的情況下已分配的IP地址。類似的是,登記在允許表206a中的計算機名也是在通信終端20b獲得網絡設備的MAC地址的情況下已分配的計算機名。
圖3(b)示出了拒絕表206b的數據結構。如圖所示,拒絕表206b的注釋欄中輸入有拒絕進行通信的網絡設備的計算機名、IP地址和登記日期。
圖4是示出在通信終端20b中執行的初始設置處理的操作的流程圖。該初始設置處理是在用戶完成安全管理程序到HD 206中的安裝時由CPU201執行的。可以通過無線LAN 1從互聯網上的服務器將安全管理程序下載到通信終端20b,并安裝到HD 206中。另外,可以按照諸如CD-ROM的存儲介質的形式發布安全管理程序,并且通過利用諸如CD-ROM驅動器的讀取器從存儲介質中讀取而安裝在HD 206中。另外,可以將安全管理程序預先安裝在HD 206中。在這種情況下,當首次啟動安全管理程序時,執行初始設置處理。
當初始設置處理開始時,通信終端20b在顯示單元205的液晶顯示板(以下稱為“液晶屏”)上顯示與設置有關的主菜單。當用戶利用操作單元204的定點裝置在菜單中選擇了未授權訪問警告功能時,通信終端20b顯示如圖5所示的菜單畫面。如圖所示,未授權訪問警告功能是這樣一種功能,即,監控對無線LAN 1的未授權訪問、檢測未確認為用戶可接受的未知連網設備,并警告用戶存在該連網設備。
當用戶通過在圖5的“監控功能的設置”復選框上打勾來使能未授權訪問警告功能時(步驟S101是),隨后通信終端20b設定對無線LAN1進行監控的周期(步驟S102)。具體來講,當用戶從圖5的周期選擇菜單中選擇了期望的監控周期時,通信終端20b將所選的監控周期(在圖5所示的示例中為五分鐘)存儲在HD 206中。在周期選擇菜單中登記有多個監控周期,這些周期例如是三分鐘、五分鐘、十五分鐘、三十分鐘、六十分鐘等。除了從周期選擇菜單中選擇以外,還可以用鍵盤直接輸入監控周期。
當用戶利用定點裝置點擊“檢測連網設備”項的“開始檢測”按鈕時(步驟S103是),通信終端20b對當前連接到無線LAN 1的設備進行檢測(步驟S104)。具體來講,通信終端20b通過無線LAN卡50來訪問AP 10,向位于AP 10的無線區域內的所有網絡設備廣播消息,并且基于是否存在對于該廣播消息的答復消息來對連接到無線LAN 1的所有設備進行檢測。
答復消息包含作出答復的連網設備的MAC地址、計算機名和IP地址。因此,在步驟S104中,當檢測到與無線LAN 1相連的設備時,獲得了被檢測到的設備的MAC地址。
通信終端20b可以通過在AP 10處進行連網設備的查詢來識別這些連網設備。
隨后,通信終端20b將步驟S104中檢測到的連網設備的信息顯示在液晶屏上,如圖6所示(步驟S105)。在圖6的示例中,除了通信終端20b和AP 10之外,名為“ken-segawa”和“tomoko-segawa”的兩臺計算機也連接到無線LAN 1。根據圖中所示消息,通信終端20b的用戶確定所顯示的連網設備是否為可疑的連網設備,如果該連網設備是可接受的,則用戶點擊“確認”按鈕。另一方面,如果這些連網設備中包括可疑的連網設備,則用戶選擇該可疑的連網設備并點擊“拒絕通信”按鈕。
如果點擊了“確認”按鈕,即確認所顯示的連網設備為可接受的(步驟S106是),則通信終端20b將步驟S104中所獲得的連網設備的MAC地址、計算機名和IP地址登記在允許表206a中(步驟S108)。通信終端20b還將時間和登記日期登記在允許表206a中。例如,如果圖6的名為“ken-segawa”和“tomoko-segawa”的兩臺計算機被用戶確認為是可接受的,則將這兩臺計算機的MAC地址、計算機名和IP地址登記在允許表206a中。
另一方面,如果在圖6的菜單畫面上選擇了可疑的連網設備并且點擊了“拒絕通信”按鈕(步驟S107是),則通信終端20b將所選的連網設備(即,被用戶確定為非法訪問的連網設備)的MAC地址、計算機名和IP地址登記在拒絕表206b中(步驟S109)。通信終端20b還將時間和登記日期登記在拒絕表206b中。
當完成了對所有顯示的連網設備的登記時(步驟S110是),通信終端20b終止初始設置處理。
該初始設置處理不僅可以在安裝了安全管理程序之后立即執行或者在首次啟動安全管理程序時執行,而且可以根據用戶的指令在任意給定時刻執行。在這種情況下,用戶可以在任意給定時刻改變使能/禁能設置和未授權訪問監控功能的監控周期。
圖7是示出在通信終端20b中執行的監控處理的操作的流程圖。該監控處理是在通信終端20b連接到無線LAN 1并處于上述初始設置處理中設置的監控周期內時由CPU 201執行的。
如圖所示,通信終端20b首先檢測當前連接到LAN 1的設備,并且獲得檢測到的設備的MAC地址(步驟S201)。由于該步驟S201與上述步驟S104類似,所以將省略詳細的說明。移動通信20b將步驟S201中所獲得的MAC地址與允許表206b進行對照(步驟S202),由此確定該MAC地址是否已被登記(步驟S203)。如果所有MAC地址都已被登記(步驟S203是),則通信終端20b確定疑為未授權訪問的設備當前未連接到無線LAN 1,并且終止監控處理。
另一方面,如果步驟S201中所獲得的MAC地址包括未登記在允許表206a中的MAC地址(步驟S203否),則通信終端20b顯示如圖8所示的警告畫面(步驟S204)。在圖8所示的示例中,除了被用戶已預先確認為可接受的四個網絡設備(名為“ken-segawa”和“tomoko-segawa”的計算機、打印機和掃描儀)之外,未被用戶確認的網絡設備(MAC地址“4F:3A:32:19”)也連接到無線LAN 1。
連網設備(MAC地址“4F:3A:32:19”)不一定是非法訪問的網絡設備,因為它可能是用戶已增加到無線LAN 1中的可接受的網絡設備。因此,通信終端20b的用戶根據圖8所示的消息來確定該連網設備是否為可疑的連網設備。如果該連網設備是可接受的,則用戶點擊“確認”按鈕,而如果反之,則用戶點擊“拒絕通信”按鈕。
如果點擊了“確認”按鈕,即該連網設備被確認為可接受(步驟S205是),則通信終端20b將該連網設備的MAC地址、計算機名和IP地址另外登記在允許表206a中(步驟S207)。另一方面,如果點擊了“拒絕通信”按鈕,即,該連網設備被確認為非法訪問(步驟S206是),則通信終端20b將該連網設備的MAC地址、計算機名和IP地址另外登記在拒絕表206b中(步驟S208)。在這兩種情況下,都另外登記了登記日期。
當完成了所顯示的連網設備的所有必要信息的登記時(步驟S209是),通信終端終止監控處理。
當用戶從無線LAN 1中移除迄今一直使用的連網設備時或者當用戶刪除錯誤地登記在允許表206a或拒絕表206b中的信息時,使用圖8的菜單畫面上的“從列表中刪除”按鈕。
在監控處理中,當檢測到其MAC地址既未登記在允許表206a中也未登記在拒絕表206b中的連網設備時,通信終端20b可以僅顯示警告消息。利用該配置,當檢測到仍需用戶確認的未知連網設備時,僅顯示警告消息。
圖9是示出在通信終端20b中執行的通信控制處理的操作的流程圖。該通信控制處理是在通信終端20b開始與無線LAN 1上的另一連網設備通信時由CPU 201執行的。
如圖所示,首先,通信終端20b識別通信終端20b將與其進行通信的連網設備的MAC地址(步驟S301)。當識別了MAC地址時,通信終端20b將該MAC地址與拒絕表206b進行對照(步驟S302),由此確定該MAC地址是否已登記在拒絕表206b中(步驟S303)。結果,如果該MAC地址已被登記(步驟S303是),則通信終端20b顯示警告消息,該警告消息表示該連網設備是由用戶設置為拒絕進行通信的可疑連網設備(步驟S304),并且阻止與該連網設備進行通信(步驟S305)。
另一方面,如果步驟S301中所識別的MAC地址未登記在拒絕表206b中(步驟S303否),則通信終端20b將該MAC地址與允許表206a進行對照(步驟S306),由此確定該MAC地址是否已登記在允許表206a中(步驟S307)。結果,如果該MAC地址已登記在允許表206a中(步驟S307是),則通信終端20b開始與該連網設備進行通信(步驟5308)。
如果該MAC地址未登記在允許表206a中(步驟S307否),這意味著該連網設備是其MAC地址既未登記在拒絕表206b中也未登記在允許表206a中的未知連網設備,則通信終端20b轉到上述監控處理,顯示與該連網設備有關的警告,并將其MAC地址另外登記在允許表206a或拒絕表206b中。
如上所述,根據本實施例,通信終端20b檢測并報告構成無線LAN 1的連網設備,并且如果允許通過操作單元204的操作與所報告的連網設備進行通信,則將該連網設備的MAC地址登記在允許表206a中。另外,通信終端20b監控無線LAN 1,檢測其MAC地址未登記在允許表206a中的未知連網設備,并警告可疑的未授權訪問。如果允許與檢測到的連網設備進行通信,則通信終端20b將該連網設備的MAC地址另外登記在允許表206a中。另外,通信終端20b允許與構成無線LAN 1的其MAC地址已登記在允許表206a中的連網設備進行通信,并禁止與構成無線LAN 1的其MAC地址未登記在允許表206a中的連網設備進行通信。
如上所述,由于未被用戶確認為可接受的連網設備被報告至用戶,所以通過每次對所報告的連網設備進行登記操作,實現了對阻止未授權訪問所必需的MAC地址的登記和更新操作。因此,即使是不具備無線LAN技術知識的用戶也能容易地登記和更新MAC地址。另外,可以避免用戶因健忘而沒有執行MAC地址的登記和更新操作。
根據上述配置,除了防止對通信終端20b的未授權訪問(例如為竊取存儲在連網設備中的數據而侵入無線LAN)之外,還可以充分實現對允許表206a中的MAC地址的登記和更新。另外,對無線LAN 1上的疑為非法訪問的連網設備進行檢測,并將與該連網設備有關的警告消息發送給用戶。
(1)在上述實施例中,其MAC地址登記在拒絕表206b中的連網設備也可以登記在AP 10中。具體來講,在步驟S109和S208之后,通信終端20b將其MAC地址已登記在拒絕表206b中的連網設備通知給AP 10,并且AP 10將所接收的MAC地址登記在其通信拒絕表中。從此時起,AP 10禁止與其MAC地址已登記在通信拒絕表中的通信終端進行通信。
利用該配置,不僅可以防止對通信終端20b的未授權訪問,而且可以防止對無線LAN 1的未授權訪問(例如竊取無線LAN 1上交換的數據或通過所侵入的無線LAN 1來訪問另一通信網絡),從而確保了無線LAN 1的安全。通信拒絕表可以存儲于設置在AP 10外部的存儲設備中。
(2)在上述實施例中,當檢測到其MAC地址未登記在允許表206a中的連網設備時,通信終端20b可被構造為,如果檢測到的連網設備在無線LAN 1上持續通信長于預定的時間段,則警告用戶有可疑的未授權訪問。具體來講,當檢測到其MAC地址未登記在允許表206a中的連網設備時,通信終端20b對該連網設備在無線LAN 1上持續通信的時間段進行測量。如果測量出的時間段超過了預定的時間段(例如,五分鐘),則通信終端20b向用戶報告該連網設備是疑為非法訪問的連網設備。該配置對于其中存在所服務的通信終端的大量流通量的無線LAN有優勢,因為如圖8所示,每次在新的通信終端連接到公共無線LAN時都顯示警告消息是很煩瑣的。
在上述實施例中,除了在屏幕上顯示以外,還可以通過語音消息來報告疑為非法訪問的連網設備的警告。作為另選方案,可以將與疑為非法訪問的連網設備有關的信息打印在紙張上并輸出。
(3)在上述實施例中,除了MAC地址之外,還可以使用通信終端20b分配給各個連網設備的標識碼作為連網設備的標識信息。
在上述實施例中,除了規則的間隔以外,還可以在通信終端20b開始與AP 10進行通信時執行監控處理(參見圖7)。
在上述實施例中,可以將允許表206a和拒絕表206b存儲在通信終端20b外部的存儲設備中。
(4)在上述實施例中,除了插有無線LAN卡50的個人計算機以外,通信終端20a和20b還可以是具有無線通信功能的PDA。
在上述實施例中,除了家用以外,無線LAN 1還可用于辦公或應用于公共無線LAN。
權利要求
1.一種通信設備,該通信設備包括檢測裝置,用于檢測構成無線網絡的通信設備;報告裝置,用于報告與所述檢測裝置檢測到的通信設備有關的信息;操作裝置;登記裝置,如果通過所述操作裝置的操作允許與所述報告裝置報告的通信設備進行通信,則該登記裝置用于將該通信設備的標識信息登記在存儲器中;監控裝置,用于監控所述無線網絡并對構成所述無線網絡的其標識信息未登記在所述存儲器中的通信設備進行檢測;警告裝置,其除了報告與所述監控裝置檢測到的通信設備有關的信息之外,還針對可疑的未授權訪問發出警告;更新裝置,如果通過所述操作裝置的操作允許與所述警告裝置所報告的通信設備進行通信,則該更新裝置將與該通信設備有關的標識信息另外登記在所述存儲器中;以及通信控制裝置,用于允許與構成所述無線網絡的其標識信息已登記在所述存儲器中的通信設備進行通信,并且用于禁止與構成所述無線網絡的其標識信息未登記在所述存儲器中的通信設備進行通信。
2.根據權利要求1所述的通信設備,該通信設備還包括設置裝置,其用于設置所述無線網絡的監控周期,其中所述監控裝置在所述設置裝置所設置的監控周期內監控所述無線網絡,并對構成所述無線網絡的其標識信息未登記在所述存儲器中的所述通信設備進行檢測。
3.根據權利要求1所述的通信設備,該通信設備還包括時間測量裝置,如果所述監控裝置檢測到了其標識信息未登記在所述存儲器中的通信設備,則該時間測量裝置用于對所述通信設備在所述無線網絡中持續無線通信的時間段進行測量,其中如果所述時間測量裝置測量出的時間段超過了預定的時間段,則除了報告與所述監控裝置檢測到的通信設備有關的信息之外,所述警告裝置還針對可疑的未授權訪問發出警告。
4.一種通信設備,該通信設備包括檢測裝置,用于檢測構成無線網絡的通信設備;報告裝置,用于報告與所述檢測裝置檢測到的通信設備有關的信息;操作裝置;登記裝置,如果通過所述操作裝置的操作允許或者不允許與所述報告裝置報告的通信設備進行通信,則當允許通信時將該通信設備的標識信息登記在第一表中,而當不允許通信時將該通信設備的標識信息登記在第二表中;監控裝置,用于監控所述無線網絡,并檢測構成所述無線網絡的其標識信息既未登記在所述第一表中也未登記在所述第二表中的通信設備;警告裝置,其除了報告與所述監控裝置檢測到的通信設備有關的信息之外,還針對可疑的未授權訪問發出警告;更新裝置,如果通過所述操作裝置的操作允許或者不允許與所述警告裝置報告的通信設備進行通信,則該更新裝置在允許通信時將該通信設備的標識信息另外登記在第一表中,而在不允許通信時將該通信設備的標識信息另外登記在第二表中;以及通信控制裝置,用于允許與構成所述無線網絡的其標識信息已登記在所述第一表中的通信設備進行通信,并用于禁止與構成所述無線網絡的其標識信息已登記在所述第二表中的通信設備或構成所述無線網絡的其標識信息既未登記在所述第一表中也未登記在所述第二表中的通信設備進行通信。
5.一種包括接入點和多個通信設備的無線網絡,其中所述多個通信設備中的任意一個都包括檢測裝置,用于檢測構成所述無線網絡的通信設備;報告裝置,用于報告所述檢測裝置檢測到的通信設備的信息;操作裝置;第一登記裝置,如果通過所述操作裝置的操作允許與所述報告裝置報告的通信設備進行通信,則該第一登記裝置用于將該通信設備的標識信息登記在第一存儲器中;監控裝置,用于監控所述無線網絡,并對構成所述無線網絡的其標識信息未登記在所述第一存儲器中的通信設備進行檢測;警告裝置,其除了報告與所述監控設備檢測到的通信設備有關的信息之外,還針對可疑的未授權訪問發出警告;更新裝置,如果通過所述操作裝置的操作允許與所述警告裝置報告的通信設備進行通信,則該更新裝置用于將該通信設備的標識信息另外登記在所述第一存儲器中;以及通知裝置,用于將以下通信設備的標識信息通知給所述接入點,通過所述操作裝置的操作不允許與該通信設備進行通信,所述接入點包括中繼裝置,用于對構成所述無線網絡的所述多個通信設備之間的通信進行中繼;第二登記裝置,用于將所述通知裝置通知的標識信息登記在第二存儲器中;以及禁止裝置,用于禁止與其標識信息已登記在所述第二存儲器中的通信設備進行通信。
6.一種程序,該程序使計算機執行以下步驟第一步驟,檢測構成無線網絡的通信設備;第二步驟,報告在第一步驟中檢測到的通信設備的信息;第三步驟,如果通過操作裝置的操作允許與在第二步驟中報告的通信設備進行通信,則將該通信設備的標識信息登記在存儲器中;第四步驟,監控所述無線網絡并且對構成所述無線網絡的其標識信息未登記在所述存儲器中的通信設備進行檢測;第五步驟,除了報告與在第四步驟中檢測到的通信設備有關的信息之外,還針對可疑的未授權訪問發出警告;第六步驟,如果允許通過所述操作裝置的操作與在第五步驟中報告的通信設備進行通信,則將該通信設備的標識信息另外登記在所述存儲器中;以及第七步驟,允許與構成所述無線網絡的其標識信息已登記在所述存儲器中的通信設備進行通信,并禁止與構成所述無線網絡的其標識信息未登記在所述存儲器中的通信設備進行通信。
7.一種記錄有根據權利要求6所述的程序的計算機可讀存儲介質。
全文摘要
本發明公開了一種通信設備、無線網絡、程序及存儲介質。本發明提供了一種使得構成無線網絡的通信設備能夠容易地登記和更新標識信息,從而確保通信設備和無線網絡的安全,以及檢測疑為非法訪問無線網絡的通信設備并且通知該通信設備的用戶的技術。通信終端(20b)檢測并報告構成無線LAN(1)的連網設備,并且如果通過操作單元(204)的操作允許與所報告的連網設備進行通信,則將該連網設備的MAC地址登記在允許表(206a)中。通信終端(20b)允許與構成無線LAN(1)的其MAC地址已登記在允許表(206a)中的連網設備進行通信,并禁止與構成無線LAN(1)的其MAC地址未登記在允許表(206a)中的連網設備進行通信。
文檔編號H04L29/06GK1973513SQ20058002063
公開日2007年5月30日 申請日期2005年6月17日 優先權日2004年6月21日
發明者山崎裕二, 鳥飼博史, 近藤賢志, 福本正樹, 富田守 申請人:趨勢科技股份有限公司