專利名稱:無線通信裝置、無線通信系統(tǒng)���、及無線通信方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種無線通信裝置�、無線通信系統(tǒng)���、及無線通信方法�����,特別是涉及由多個無線終端裝置和接入點構(gòu)成的無線通信系統(tǒng)���。
背景技術(shù):
作為無線LAN����,已知有基于IEEE802.11(IEEE802.11系統(tǒng)包含IEEE802.11a系統(tǒng)和IEEE802.11b系統(tǒng))的無線LAN系統(tǒng)(ISO/IEC8802-111999(E)ANSI/IEEE Std 802.11����,1999出版)。在該無線系統(tǒng)中��,作為加密方式��,適用了與有線一樣可確保機密的WEP(有線等效機密)的方式���。因此,在基于IEEE802.11的無線LAN的安全級中�,具有適用WEP的狀態(tài)(模式)和不適用WEP的狀態(tài)(模式)。
在實際的依據(jù)IEEE802.11的無線LAN產(chǎn)品中�,可進行適用WEP這樣的加密方式的WEP模式和不適應(yīng)的非WEP模式中的任一種通信,另外�,在適用了WEP的WEP模式中,存在加密的級別不同的64位和128位的加密模式��,將其中的任一個適用于無線LAN實現(xiàn)通信���。在這里��,加密的級別越高��,則安全級越高���,意味著進行了更強的加密�����。
作為依據(jù)IEEE802.11的無線LAN的一形式����,具有由1臺的接入點(以下也稱基站(access point))和連接到該接入點的多個無線客戶(以下也稱終端)構(gòu)成的基本業(yè)務(wù)單位(BSS)這樣的構(gòu)成單位�,具有準備多個BSS構(gòu)筑網(wǎng)絡(luò)的系統(tǒng)。
連接該BSS間的構(gòu)造單元被稱為分布系統(tǒng)(DS)����。基站具有與該DS連接的功能��,信息通過接入點在BSS與DS之間傳遞�。因此,終端也可通過接入點與屬于其它BSS的終端通信�����。
終端屬于BSS,為了通過基站與屬于其它BSS的終端通信�,在與基站之間實施鑒別和相聯(lián)手續(xù)。另外���,當終端重新與其它接入點連接時實施再聯(lián)手續(xù)�。
在由IEEE802.11規(guī)定的無線LAN中�����,作為交換的幀的種類�,具有用于接入控制的控制用幀、以信標為代表的管理用幀����、及數(shù)據(jù)通信用的數(shù)據(jù)幀�����。在這里�����,鑒別��、相聯(lián)、及再聯(lián)的處理使用管理用幀���。
在終端與接入點之間發(fā)收數(shù)據(jù)幀的場合��,必定在其之前實施鑒別和相聯(lián)處理��。
在由IEEE802.11規(guī)定的無線LAN中�����,終端向基站詢問是否使用作為加密方式的WEP�。即���,在鑒別請求中��,終端向基站要求使用WEP����,接收了該要求的基站在可使用WEP的場合�,在基站與終端之間發(fā)收鑒別幀。根據(jù)這樣的鑒別幀的發(fā)收可使用WEP���。
作為由IEEE802.11規(guī)定的無線LAN的其它形式����,具有單獨存在的BSS,將其稱為IBSS(獨立基本業(yè)務(wù)單位)���。在IBSS中�,不準備接入點�,IBSS相當于終端直接相互通信的通信形式。另外���,在IBSS中�,不實施相聯(lián)處理���,同樣���,也不實施再聯(lián)處理�����。在該IBSS中��,終端間不經(jīng)過鑒別處理也進行數(shù)據(jù)幀的發(fā)收����。
這樣����,在現(xiàn)有的無線LAN中�,作為一種安全對策,將通信數(shù)據(jù)加密���。通信時是否使用加密功能(WEP功能)���,由發(fā)出連接要求的一側(cè)例如終端向接收連接要求的一側(cè)例如接入點要求。在接收了該要求的基站側(cè)�����,如可使用滿足該要求的WEP功能���,則接受該要求���,將與該終端之間的數(shù)據(jù)通信加密。另外��,按何種安全級實施通信也以發(fā)出連接要求的一側(cè)為主導(dǎo)地確定。
可以推測�,今后除了WEP以外,比WEP安全級更高的加密方式等�����、加密的級別不同的多種加密方式將在無線LAN中采用���。因此���,要求可相應(yīng)于加密方式的種類、加密級別等設(shè)定極為細致的安全級��。
然而�����,在過去的無線LAN中���,對各BSS����,為了確保安全性�����,預(yù)先規(guī)定最低的加密級別���,不僅不能制作僅容許具有這以上的級別的加密的通信的系統(tǒng)��,而且���,存在通信時不能設(shè)定與加密方式的種類、加密強度等對應(yīng)的極為細致的安全級的問題���。
另外�����,由于在IBSS發(fā)送數(shù)據(jù)幀時不需要鑒別�����,所以��,存在發(fā)送未加密的數(shù)據(jù)幀而不能確保系統(tǒng)內(nèi)的安全性的問題�����。
另外��,如不能對于各BSS確保預(yù)先設(shè)定于該BSS的安全級�,則同樣存在進行多個BSS間的通信的DS通信也不能確保在各BSS設(shè)定的安全級的問題。
發(fā)明的公開本發(fā)明的目的在于提供一種對于每個無線LAN的基本組可確保對各組預(yù)先設(shè)定的由加密實現(xiàn)的最低限度的安全級地進行無線通信的無線通信裝置�、無線通信系統(tǒng)、及無線通信方法����。
按照本發(fā)明,提供一種無線通信裝置���,該無線通信裝置屬于接收從其它無線通信裝置發(fā)送的第1發(fā)送幀的第1無線通信組���;其中,第1發(fā)送幀包含描述了某一安全級的字段���,該無線通信裝置包括存儲裝置����、安全級確定裝置�����、第2發(fā)送幀生成裝置、及發(fā)送部��;該存儲裝置存儲與非加密相當?shù)牡?安全級和分別根據(jù)加密方式和其加密強度確定的第2和第3安全級�;該安全級確定裝置將從上述第1-第3安全級中選擇出的1個作為固有的基準安全級確定到第1無線通信組����;該第2發(fā)送幀生成裝置比較上述發(fā)送幀中的上述1個安全級和上述基準安全級,決定當上述1個安全級比上述基準安全級低時拒絕與第1無線通信裝置的連接的連接拒絕和當上述1個安全級不低于上述基準安全級時許可與第1無線通信裝置的連接的連接許可���,生成描述了上述連接拒絕和連接許可的第2發(fā)送幀�����;該發(fā)送部向上述第1無線通信裝置發(fā)送上述第2發(fā)送幀����。
另外�����,按照本發(fā)明�����,無線通信系統(tǒng)包括屬于第1無線通信組的無線通信裝置和第2無線通信裝置;該屬于第1無線通信組的無線通信裝置包括第1存儲裝置和第1發(fā)送幀生成發(fā)送裝置����;該第1存儲裝置從該無線通信裝置支持的與非加密相當?shù)牡?安全級和分別根據(jù)加密方式和其加密強度確定的第2和第3安全級中選擇出的1個作為固有的基準安全級設(shè)定到第1無線通信組,存儲該基準安全級和第1-3安全級�����;該第1發(fā)送幀生成發(fā)送裝置生成具有寫入了上述基準安全級和第1-3安全級的字段的第1發(fā)送幀并發(fā)送���;第2無線通信裝置包括接收部���、第2存儲裝置、第2發(fā)送幀生成裝置��、發(fā)送部����;該接收部接收上述第1發(fā)送幀;該第2存儲裝置存儲該無線通信裝置支持的第1安全級和分別根據(jù)加密方式和其加密強度確定的固有安全級��;該第2發(fā)送幀生成裝置分別比較上述第1發(fā)送幀中的1和固有的安全級與上述基準安全級�,決定當固有的安全級比上述基準安全級低時拒絕與第1無線通信裝置的連接的連接拒絕和當?shù)?安全級不低于上述基準安全級時許可與第1無線通信裝置的連接的連接許可,生成包含描述了固有安全級的字段和記載了上述連接拒絕和連接許可中的一方的字段的第2發(fā)送幀����;該發(fā)送部向上述第1無線通信裝置發(fā)送上述第2發(fā)送幀���。
另外,按照本發(fā)明�����,無線通信系統(tǒng)包括屬于第1無線通信組的無線通信裝置�����,該屬于第1無線通信組的無線通信裝置包括第1存儲裝置和第1發(fā)送幀生成發(fā)送裝置��;該第1存儲裝置從該無線通信裝置支持的與非加密相當?shù)牡?安全級和分別根據(jù)加密方式和其加密強度確定的第2和第3安全級中選擇出的1個作為固有的基準安全級確定到第1無線通信組����,存儲該基準安全級和第1-3安全級�;該第1發(fā)送幀生成發(fā)送裝置生成具有寫入了上述基準安全級的字段的第1發(fā)送幀并發(fā)送。
另外��,按照本發(fā)明��,無線通信方法包括以下程序從第1發(fā)送側(cè)接收包含描述了某一安全級的字段的第1發(fā)送幀�;從與非加密相當?shù)牡?安全級和分別根據(jù)加密方式和其加密強度確定的第2和第3安全級中選擇出的1個作為固有的基準安全級確定到第1無線通信組并保持���;比較上述發(fā)送幀中的上述1個安全級與上述基準安全級,決定當上述1個安全級比上述基準安全級低時拒絕與第1無線通信裝置的連接的連接拒絕和當上述1個安全級不低于上述基準安全級時許可與第1無線通信裝置的連接的連接許可�����,生成描述了上述連接拒絕和連接許可中的一方的第2發(fā)送幀����;向上述第1發(fā)送側(cè)回復(fù)上述第2發(fā)送幀。
附圖的簡單說明圖1為示意地示出本發(fā)明實施形式的通信系統(tǒng)的框圖����。
圖2為示出圖1所示基站的電路構(gòu)成的一例的框圖。
圖3為示出圖1所示無線終端的電路構(gòu)成的一例的框圖���。
圖4為示出圖1所示通信系統(tǒng)的基站和終端臺之間傳送的由IEEE802.11規(guī)定的MAC幀的構(gòu)造的示意圖�。
圖5為示出圖1所示通信系統(tǒng)的基站或終端具有的安全表的一具體例的表�。
圖6為示出圖1所示通信系統(tǒng)的基站或終端具有的安全表的另一具體例的表。
圖7為示出用于說明圖1所示通信系統(tǒng)的基站和終端的處理動作的一例的流程圖�����。
圖8A為示出圖1所示通信系統(tǒng)的基站和終端臺之間傳送的由IEEE802.11規(guī)定的鑒別幀構(gòu)造的示意圖��。
圖8B為示出描述于圖8A的幀的項目的內(nèi)容的表。
圖9A和9B為示出圖1所示通信系統(tǒng)的基站和終端臺之間傳送的由IEEE802.11規(guī)定的相聯(lián)請求幀和相聯(lián)響應(yīng)幀的構(gòu)造的示意圖����。
圖10為示出圖1所示通信系統(tǒng)的基站或終端具有的更新了的安全表的具體例的表。
圖11為示出從圖1所示通信系統(tǒng)的基站通往終端的由IEEE802.11規(guī)定的信標幀構(gòu)造的示意圖���。
圖12為示出從圖1所示通信系統(tǒng)的基站向終端通知預(yù)先設(shè)定到基站屬于的BSS的最低級別的安全級�����、向基站要求連接的處理手續(xù)的流程圖。
圖13為示出利用圖1所示通信系統(tǒng)的基站和終端之間傳送的相聯(lián)響應(yīng)幀通知安全級����、檢查該安全級的處理手續(xù)的流程圖。
圖14A和圖14B為示出圖1所示通信系統(tǒng)的基站和終端臺之間傳送的由IEEE802.11規(guī)定的再聯(lián)請求幀和再聯(lián)響應(yīng)幀的構(gòu)造的示意圖���。
圖15為示出利用圖1所示通信系統(tǒng)的基站和終端之間傳送的再聯(lián)響應(yīng)幀通知安全級���、檢查該安全級的處理手續(xù)的流程圖。
圖16為示意地示出本發(fā)明的另一實施形式的通信系統(tǒng)的框圖��。
圖17為用于說明在圖16所示通信系統(tǒng)中連接到另一無線通信裝置的無線通信裝置發(fā)出要求進一步連接到另一無線通信裝置時的連接要求的一側(cè)的處理手續(xù)的一例的流程圖�����。
圖18為用于說明在圖16所示通信系統(tǒng)中連接到另一無線通信裝置的無線通信裝置發(fā)出要求進一步連接到另一無線通信裝置時的連接要求的一側(cè)的處理手續(xù)的一例的流程圖。
圖19為示意地示出本發(fā)明再另一實施形式的通信系統(tǒng)的框圖�。
圖20為用于說明圖19所示通信系統(tǒng)的終端間進行無線連接的處理順序的流程圖。
圖21為用于說明圖19所示通信系統(tǒng)的終端間進行無線連接時終端的處理動作的一例的流程圖����。
圖22為示意地示出本發(fā)明再另一實施形式的通信系統(tǒng)的框圖。
圖23為用于說明圖22所示通信系統(tǒng)的終端間進行無線連接的終端的處理動作的另一例的流程圖�。
圖24為示意地示出本發(fā)明再另一實施形式的通信系統(tǒng)的框圖。
實施發(fā)明的最佳形式下面參照
本發(fā)明的無線通信系統(tǒng)的實施形式���。
首先�,在以下實施形式的無線LAN系統(tǒng)中�,可適用多種加密方式,其加密方式的種類得到區(qū)別�����,而且�����,預(yù)先設(shè)定對加密級別進行了規(guī)定的安全級。當存在對多種加密方式分別不同的級別時�����,對其某一種類的加密方式的1個加密級別����,相應(yīng)于加密強度的程度設(shè)置級別,分別設(shè)定1個安全級����。因此,即使具有相同的加密強度�����,如加密方式的種類不同���,則作為其安全級提供不同的級別。例如�����,作為安全級����,從加密強度低的一側(cè)起依次如enc.0��、enc.1����、enc.2��、…enc.(n-1)那樣具有n個�����。同一強度的加密方式即使具有多個��,也按其種類設(shè)定級別不同的安全級���。這樣��,在1個安全級中�����,有1個種類的加密方式對應(yīng)��,而且�����,即使是同一種類的加密方式���,當根據(jù)加密強度的不同存在不同的級別時��,規(guī)定與各級別對應(yīng)的安全級�。
在由現(xiàn)行的IEEE802.11規(guī)定的無線LAN系統(tǒng)中����,安全級的最低級別與不加密相當,即與不適應(yīng)WEP(有線等效機密)的級別相當�����。
在現(xiàn)行的由IEEE802.11規(guī)定的無線LAN產(chǎn)品中���,即使在適用WEP的場合��,也由64位或128位構(gòu)成WEP那樣地具有2個級別。因此�,在以下的說明中,作為多個安全級�,與由現(xiàn)行的IEEE802.11規(guī)定的無線LAN同樣,也以(1)“具有WEP”、(2)“沒有WEP”�、(3)“具有WEP,利用64位的WEP”�、(4)“具有WEP,利用128位的WEP”這樣3個級別的場合為例進行說明�。在該場合,安全性最高的場合為(4)“具有WEP���,利用128位的WEP”�,而(3)“具有WEP���,利用64位的WEP”具有僅次于它的較高安全性����。即“enc.0”與(2)“沒有WEP”相當�����,“enc.1”與(3)“具有WEP���,利用64位的WEP”相當�,“enc.2”與(4)“具有WEP���,利用128位的WEP”相當��。
在以下的說明中���,僅說明WEP這樣的1種加密方式的場合���。然而,即使是WEP以外的加密方式��,如可相應(yīng)于加密方式的種類的不同和安全的強度設(shè)定多個級別����,則可與以下實施形式的說明同樣地在任何加密方式中適用本發(fā)明。
在以下的本發(fā)明的實施形式中�,說明將本發(fā)明適用到由IEEE802.11規(guī)定的無線LAN系統(tǒng)的場合。特別說明將本發(fā)明的的無線通信裝置適用于構(gòu)成由IEEE802.11規(guī)定的無線LAN系統(tǒng)的基站或終端的場合�����。
(第1實施形式)首先��,在本發(fā)明的第1實施形式中�,作為無線通信系統(tǒng)�����,說明由多個終端例如2個終端(WL11-WL12)和與該終端(WL11-WL12)無線連接的基站AP1構(gòu)成1個BSS(基本業(yè)務(wù)單位)的通信系統(tǒng)。
圖1示意地示出第1BSS(以下簡稱BSS1)�����。BSS1由作為接入點的基站AP1和與基站AP1連接的多個終端構(gòu)成��,該多個終端例如在這里為2個無線終端(以下稱終端)WL11���、WL12�。
圖1還示出屬于與第1BSS1不同的第2BSS(以下簡稱BSS2)的基站AP2和未加入到BSS1和BSS2的終端WL13���。
在BSS1設(shè)定在那里容許的最低安全級(enc_low)�����。在該實施例的無線通信系統(tǒng)中����,BSS1容許的最低安全級(enc_low)為安全級“enc.1”�����。在圖1中,enc_low=enc.1表示容許的最低的安全級(enc_low)為安全級“enc.1”����。在基站AP1中,除了“enc.1”這樣的安全級外�,還支持比安全級“enc.1”級別更高的安全級“enc.2”。因此�,在BSS1中可使用的最高安全級(enc_high)成為“enc.2”。在圖1中�,enc_high=enc.2表示最高安全級(enc_high)為“enc.2”?;続P1和連接到該基站AP1的終端或基站按“enc.1”以上的安全級通信這一信息預(yù)先設(shè)定到基站AP1。同樣��,將在與用于中繼該基站AP1地與其它裝置通信的終端或基站之間按“enc.1”以上的安全級通信這一點預(yù)先設(shè)定到基站AP1�。
另一方面,終端WL11具有的安全級為“enc.0”和“enc.1”����,終端WL12具有的安全級為“enc.0”、“enc.1”���、“enc.2”�。
圖2示出圖1所示基站AP1的電路構(gòu)成的框圖�。在以下說明中�����,當需要區(qū)別基站AP1與基站AP2時或在進行對雙方相同的說明時,簡單地稱基站AP��。
如圖2所示�,在接收部11由天線20接收來自終端的發(fā)送信號,由包含解調(diào)和解碼的處理生成接收信號��。在發(fā)送部12���,生成應(yīng)通過天線20向向終端發(fā)送的發(fā)送信號��,這些發(fā)送信號供給天線20����。
來自接收部11的接收信號輸入到接收控制部13��,實施例依據(jù)IEEE802.11系統(tǒng)(在以下說明中����,IEEE802.11系統(tǒng)包含IEEE802.11a系統(tǒng)和IEEE802.11b系統(tǒng))的規(guī)定的接收處理等。在該接收控制部13���,實施與基站支持的多個安全級分別對應(yīng)的解碼處理�����,接收信號解密后����,變換成解密數(shù)據(jù)。該解密數(shù)據(jù)供給信息處理部15��,分成視頻��、音頻�、文本等數(shù)據(jù),實施必要的處理�。
發(fā)送控制部14根據(jù)從信息處理部15供給的數(shù)據(jù),實施生成用于向終端按廣播或單播發(fā)送的數(shù)據(jù)等依據(jù)IEEE802.11的規(guī)定的發(fā)送處理等�����。在該發(fā)送控制部14�����,對應(yīng)于發(fā)送的數(shù)據(jù)實施與基站支持的多個安全級對應(yīng)的加密處理。由發(fā)送控制部14生成的數(shù)據(jù)通過發(fā)送部12作為發(fā)送信號發(fā)送到終端���。圖2所示安全表21將在后面說明�����。
圖3由框圖示意地示出圖1所示終端WL11����、WL12��、WL13的電路構(gòu)成的一例�����。在以下的說明中�����,當不需要區(qū)別終端WL11�、WL12���、WL13等時或在進行對所有終端相同的說明的場合���,簡稱為終端WL�。
終端WL包括天線100��、通過天線100接收信號的接收部101��、控制接收部101的接收控制部105��、通過天線100發(fā)送信號的發(fā)送部107�����、控制該發(fā)送部107的發(fā)送控制部106�、生成發(fā)送的數(shù)據(jù)或處理接收的數(shù)據(jù)的例如顯示于圖中未示出的顯示部的信息處理部108、及安全表110�。
信息處理部108從與該信息處理部108連接的有線網(wǎng)絡(luò)109接收數(shù)據(jù),或根據(jù)由使用者的操作生成的數(shù)據(jù)制作發(fā)送數(shù)據(jù)�����。該發(fā)送數(shù)據(jù)在用戶指示該發(fā)送數(shù)據(jù)的發(fā)送而產(chǎn)生發(fā)送要求時���,接收該發(fā)送要求�,將發(fā)送數(shù)據(jù)轉(zhuǎn)移到發(fā)送部107�����。在發(fā)送部107,將該發(fā)送數(shù)據(jù)變換成按規(guī)格確定的數(shù)字數(shù)據(jù)�����,例如將IP分組變換成按IEEE802.11規(guī)定的MAC幀(媒體訪問控制幀)���,作為數(shù)字數(shù)據(jù)的MAC幀變換成規(guī)定頻率例如2.4GHz的無線信號�����,從天線100作為電波發(fā)送。
另一方面�,由天線100接收到的接收信號由接收部101變換成作為數(shù)字數(shù)據(jù)的MAC幀,從該MAC幀中的信息字段取出接收數(shù)據(jù)��,送到信息處理部108��。該信息處理部108進行將接收數(shù)據(jù)顯示到顯示器的處理等����。信息處理部108也可進行上述以外的各種各種信息處理。另外��,安全表110在后面說明。
由IEEE802.11規(guī)定的MAC幀如圖4所示那樣由存放了各種控制信息的最大30字節(jié)的MAC標題���、存放了最大2312字節(jié)數(shù)據(jù)的數(shù)據(jù)字段(幀正文)���、及用于調(diào)查是否正確地傳送了數(shù)據(jù)的幀檢驗系列(FCS)字段構(gòu)成。MAC標題包含存放對MAC幀進行控制的信息的幀控制字段��、終端發(fā)送數(shù)據(jù)之前的等候(指令時間)�����、及描述了BSS的ID的等候時間/ID字段��。如BSS具有基站AP��,則作為該BSS的ID描述基站AP的MAC地址���。另外����,在MAC標題準備有從地址1的字段到地址4的字段和順序控制字段��。在地址1的字段描述了通信系統(tǒng)內(nèi)的最終的目的地址的MAC地址��,在地址2的字段描述了通信系統(tǒng)內(nèi)的源地址的MAC地址,在地址3的字段描述直接發(fā)送該MAC幀的發(fā)送目的地的MAC地址�,在地址4的字段描述了直接發(fā)送該MAC幀的源地址的MAC地址。
在MAC幀的幀控制中���,設(shè)置了描述有協(xié)議版本的協(xié)議版本字段����,接在其后設(shè)置類型字段和子類型字段�。在MAC幀具有以下3個類型,該類型描述于幀控制的類型字段(2位)�����。另外����,該類型的子類型更詳細地表示于子類型字段���。即��,作為類型具有(1)管理用幀���、(2)訪問控制用的控制用幀��、(3)數(shù)據(jù)通信用的數(shù)據(jù)幀��。在(1)管理用幀中作為子類型具有信標�����、鑒別幀或相聯(lián)幀���。另外,在(2)控制用幀中作為子類型具有ACK(確認)����、RTS(Return To Send)、或CTS(Cear To Send)那樣的控制用幀�。在子類型字段(4位)中更詳細地示出上述那樣的特定種類的MAC幀中的子類型。
在幀控制中�����,包含有To DS字段(1位)和From DS字段(1位)�。它們在MAC幀為數(shù)據(jù)幀時利用,在此外的種類的幀例如鑒別或相聯(lián)的幀中����,時常寫入“0”��,未利用����。當MAC幀為數(shù)據(jù)幀時�����,如數(shù)據(jù)的目的地址為有線LAN����,則1位描述到該From DS字段。在幀控制中準備保留字段����、WEP字段、指令字段�����。保留字段用于用戶的寫入�����,但在本發(fā)明的實施例��,如后面說明的那樣����,也可在該保留字段描述加密級。該加密級相應(yīng)于發(fā)送數(shù)據(jù)的屬性決定�。如為要求機密性的內(nèi)容數(shù)據(jù),則確定高加密級���,在該保留字段描述該加密級��。該保留字段的加密級也可在接入點與終端之間的信號交換時利用����。在WEP字段��,當利用WEP的場合��,描述1位�����。
再次參照圖1說明BSS1��。
在圖1所示BSS1中,預(yù)先確定按預(yù)先確定到該BSS1的最低限的安全級(在這里為“enc.1”)實施通信���。即����,構(gòu)成BSS1的基站AP1和終端WL11-WL12分別在安全級“enc.1”或基站AP1支持的安全級的范圍內(nèi)實施“ enc.1”以上的安全級的通信�。
在基站AP1和終端WL11-WL12分別設(shè)置存儲部,在該存儲部設(shè)置安全表�。在基站AP1的安全表中存儲有基站AP1自身支持的安全表、在該安全表上BSS1中最低級別的安全級為哪一個��、終端WL11和WL12分別支持的安全級為哪一個����。另外,最好在該安全表中還存儲作為各安全級的加密·解密所需要的信息的密鑰或生成密鑰用的種子值信息等(這樣的加密·解密所需要的信息在這里簡單地稱為加密參數(shù))��。另外��,終端WL11-WL12也分別具有存儲安全表的存儲部��,BSS1支持的安全級中的最低級別的安全級����、其它終端支持的安全級、及與各安全級對應(yīng)的加密參數(shù)等存儲于安全表�����。
如圖5所示��,在基站AP1的安全表21中���,預(yù)先與作為各安全表的加密·解密所需要的數(shù)據(jù)的加密參數(shù)一起登錄由該基站AP1屬于的BSS1支持的安全級��、屬于BSS1的所有終端WL11-WL12具有的安全級�。另外��,在該安全表21可識別地登錄作為基站AP1屬于的BSS1中的最低級的安全級設(shè)定的安全級����。在圖5中,記錄有相對安全級“enc.1”意指最低級別的“○”標記�。
加密參數(shù)作為一例在WEP的場合可設(shè)想有由IEEE802.11規(guī)定的密鑰(key1,key2)和IV(初始化矢量)等���。在以下說明中��,安全級和與該安全級對應(yīng)的加密參數(shù)有時稱為安全信息���。
圖6示出BSS1內(nèi)的終端WL11-WL12的安全表110的登錄內(nèi)容�。如圖6所示����,在終端側(cè)的安全表中預(yù)先登錄有BSS1內(nèi)的各終端和基站AP1具有的安全信息。作為與基站AP1對應(yīng)的安全信息�����,如圖6所示那樣���,也可僅登錄該基站AP1屬于的BSS1中預(yù)先設(shè)定的最低級別的安全信息�����。另外����,終端的安全表110也可與圖5所示基站側(cè)的安全表21安全相同�����。
另外�,登錄于圖5和圖6所示安全表的基站AP1和各終端的安全級只要在預(yù)定的BSS1的最低級別以上即可��。另外��,對于與各終端對應(yīng)的安全信息��,也可在BSS1內(nèi)僅登錄實際通信時利用的安全級。
另外�����,圖5和圖6所示安全表在BSS1的初期設(shè)定時設(shè)定����。初期設(shè)定時,例如圖5����、圖6所示形式的表也可作為設(shè)定畫面顯示,在該畫面上輸入設(shè)定事項���。在圖5和圖6所示表中����,AP1�、WL1���、WL2分別由基站AP1、終端WL1�、WL2的MAC地址確定。
在圖1所示BSS1中�,按相對該BSS1預(yù)先設(shè)定的最低限的安全級“enc.1”以上的安全級在基站AP1和終端WL11-WL12間實施通信。
下面�,參照圖7所示流程圖說明在圖1所示BSS1的基站AP1連接未加入到該BSS1的終端WL13的場合。
終端WL13接收從基站AP1發(fā)送的由IEEE802.11規(guī)定的信標幀����。按照IEEE802.11的規(guī)定,在接收信標幀后�,進行鑒別和相聯(lián)協(xié)議,在用于該鑒別或相聯(lián)的幀中�����,作為通知基站AP1的信息寫入終端WL13的安全級��。
在圖7中作為一例示出由鑒別幀將終端WL13的安全級通知基站AP1的場合的順序�。在該順序中,假定終端WL13具有的安全級為“enc.0”�����、“enc.1”。
圖8A示出由IEEE802.11規(guī)定的的圖4所示的作為MAC幀的鑒別幀的幀正文格式�����。在鑒別幀中描述有用于區(qū)別不利用通用密鑰的開放系統(tǒng)和利用通用密鑰的通用密鑰系統(tǒng)的鑒別算法�����。在鑒別算法編號中例如對于開放系統(tǒng)描述“0”��,對通用密鑰系統(tǒng)描述“1”�。在由鑒別算法編號0確定的開放系統(tǒng)中��,如圖8B所那樣�����,作為鑒別請求幀(鑒別請求)準備鑒別業(yè)務(wù)序號(ATSN)=1和=2的幀�����。ATSN=1的鑒別幀從終端WL送到基站AP1���,其狀態(tài)碼字段被保留����。ATSN=2的鑒別幀從基站AP1送到終端WL,在其狀態(tài)碼作為狀態(tài)記載了連接拒絕或連接許可的碼���。在由鑒別算法編號0確定的開放系統(tǒng)中����,鑒別幀未準備加密的詢問文本�。在通用密鑰系統(tǒng)中,作為鑒別請求幀(鑒別請求)準備鑒別業(yè)務(wù)序號(ATSN)=1-4的幀�����。ATSN=1或3的鑒別幀從終端WL送到基站AP1��,其狀態(tài)碼被保留����。ATSN=2或4的鑒別幀從基站AP1送到終端WL,在其狀態(tài)碼作為狀態(tài)記載有連接拒絕或連接許可的碼�����。在通用加密系統(tǒng)中�,在ATSN=2和3的鑒別幀中準備有加密的詢問文本����,在ATSN=1和4的鑒別幀中未準備加密的詢問文本�。
由ATSN=1確定的鑒別幀從發(fā)送連接要求一側(cè)發(fā)送。在該要求幀中��,其狀態(tài)碼字段被保留�,現(xiàn)在未使用。因此���,在該狀態(tài)碼字段可寫入發(fā)出連接要求的一側(cè)的安全級“enc.1”或“enc.2”����。在以下的實施的說明中,寫入發(fā)出連接要求的一側(cè)的安全級“enc.1”或“enc.2”�。在該ATSN=1的鑒別幀,將示出在終端WL13的發(fā)送部107用于與基站AP1的通信的安全級(例如“enc.1”)的數(shù)據(jù)寫入其狀態(tài)碼的項��,該ATSN=1的鑒別幀如圖7的步驟S2的示那樣���,發(fā)送到基站AP1。該安全級也可寫入到圖4所示MAC幀的保留字段���。
下面說明接收了ATSN=1的鑒別幀的基站AP1的處理動作���。如已經(jīng)記載的那樣,從基站AP1時常發(fā)出的信標如步驟S1所示那樣由終端WL13檢測���。響應(yīng)該檢測����,終端WL13的發(fā)送控制部106準備ATSN=1的鑒別幀���,參照安全表110將安全級“enc.1”或“enc.2”寫入到該幀的規(guī)定部位例如幀正文中的狀態(tài)碼�����。寫入安全級的鑒別幀將與由終端WL13的發(fā)送控制部106檢測出的信標幀對應(yīng)的基站AP1作為目的地址指定到地址2���,如步驟S2所示那樣發(fā)送到基站AP1��?�;続P1接收鑒別幀���,基站AP1的接收控制部13將寫入到接收的ATSN=1的鑒別幀的規(guī)定部位例如幀正文中的狀態(tài)碼的終端WL13的安全級“enc.1”或“enc.1”取出�,與登錄到基站AP1的安全表21的BSS1的最低級別的安全級“enc_low”比較。如步驟S3所示那樣�����,當從終端WL13通知的該終端WL13的安全級“enc.1”或“enc.1”為基站AP1支持的安全級“enc.1”或“enc.1”而且在BSS1內(nèi)的最低級別的安全級“enc_low”以上時,判斷許可終端WL13的連接����。終端WL13的安全級不為基站AP1支持的安全級的場合或為基站AP1支持的安全級但不到BSS1的最低級別“enc_low”的安全級時,判斷為拒絕終端WL13的連接��。
在步驟S3中��,當基站AP1拒絕終端WL13的連接時�,根據(jù)IEEE802.11的規(guī)定�����,ATSN=2的鑒別幀由發(fā)送控制部12準備���,向其狀態(tài)碼寫入表明連接失敗這一狀態(tài)的碼�,如步驟S4所示那樣向終端WL13回復(fù)ATSN=2的鑒別幀���。終端WL13如步驟S5所示那樣判斷描述了拒絕連接這一信息的ATSN=2的鑒別幀的接收是否為第N次�����。該N次相當于寫入到終端側(cè)的安全表110的安全級數(shù)(=N個)��。當初��,基站AP1支持的安全級為較低的級別����,終端WL13將該較低級別的安全級通知基站,當被拒絕時��,提高其安全級����,如步驟S2所示那樣通知提高了的安全級。通知終端側(cè)的安全表110支持的N個安全級��,如步驟S5所示那樣���,當終端WL13經(jīng)過N次接收ATSN=2的鑒別幀時,判斷被基站AP1拒絕連接��,在該階段如步驟S15所示那樣中斷連接手續(xù)。
另一方面�,在許可終端WL13的連接的場合,基站AP1為了與終端WL13共有與從終端WL13通知的安全級對應(yīng)的加密參數(shù)���,如步驟S6所示那樣根據(jù)IEEE802.11的規(guī)定���,準備發(fā)送詢問文本的ATSN=2的鑒別幀,在該鑒別幀的狀態(tài)碼寫入表明連接成功的狀態(tài)的碼���,如步驟S6所示那樣向終端WL13回復(fù)��。
在終端WL13中�,當接收ATSN=2的鑒別幀時����,確定基站AP1與終端WL13間的安全級例如安全級“enc.1”。另外�����,終端WL13作為與安全級對應(yīng)的加密參數(shù)��,使用由用戶預(yù)先獲得的IV和密鑰�����,根據(jù)IEEE802.11的規(guī)定,如步驟S7所示那樣使用終端WL13具有的WEP功能將包含詢問文本等的幀正文加密����。另外,終端WL13準備ATSN=3的鑒別幀����,在該幀正文中存儲加密了的詢問文本,如步驟S8所那樣發(fā)送到基站AP1�。
在接收了ATSN=3的鑒別幀的基站AP1中,同樣根據(jù)IEEE802.11的規(guī)定����,由與終端WL13共有的基站AP1具有的密鑰如步驟S9所示那樣對接收的ATSN=3的鑒別幀中存儲的加密詢問文本解密。該解密后的詢問文本與發(fā)送的詢問文本比較����,如步驟S10所示那樣根據(jù)其比較結(jié)果驗證加密·解密。
如驗證結(jié)果為“失敗”�����,同樣根據(jù)IEEE802.11的規(guī)定���,準備通知該狀態(tài)的ATSN=4的鑒別幀���,將表明驗證結(jié)果“失敗”這一狀態(tài)的碼寫入到其狀態(tài)碼中,如步驟S11所示那樣����,將ATSN=4的鑒別幀回復(fù)到終端WL13。驗證結(jié)果的“失敗”意味著加密方式在基站AP1與終端WL13不同����。因此,如步驟S14所示那樣��,確認ATSN=4的鑒別幀在M次以內(nèi)��,改變終端WL13的加密方式��,返回到步驟S2�����,反復(fù)進行步驟S2-步驟S10��。在這里�,M次對應(yīng)終端WL13準備的加密方式的個數(shù)����,終端WL13可接收M次ATSN=4的鑒別幀����。這樣,終端WL13即使接收M次ATSN=4的鑒別幀���,在加密方式不一致的場合��,終端WL13被判斷拒絕與基站AP1的連接�。因此���,在終端側(cè)��,未準備基站AP1提供的加密方式���,如步驟S15所示那樣結(jié)束連接手續(xù)。
另一方面����,如步驟S10的驗證結(jié)果為“成功”,則基站AP1如步驟S12所示那樣那樣同樣地根據(jù)IEEE802.11的規(guī)定�,將通知該狀態(tài)的ATSN=4的鑒別幀發(fā)送到終端WL13����。在終端WL13�,當接收該幀時,如步驟S12所示那樣��,開始作為以下順序的由IEEE802.11規(guī)定的相聯(lián)�。即�����,終端WL13將步驟S13所示那樣的相聯(lián)請求幀送到基站AP1���,響應(yīng)該請求����,基站AP1實施返回到相聯(lián)響應(yīng)終端WL13的那樣的根據(jù)IEEE802.11的處理動作����。相聯(lián)正常結(jié)束后,在終端WL13與基站AP1之間�,進行數(shù)據(jù)幀的發(fā)收。該發(fā)收的數(shù)據(jù)幀由64位的WEP功能加密����。
在終端WL13和基站AP1中�,在確定其終端WL13和基站AP1間的通信安全級和加密參數(shù)時�,將相互的安全信息登錄到其安全表21、110��。即����,在終端WL13中,由圖7所示步驟S7獲得加密參數(shù)后�,將基站AP1的安全信息登錄到安全表110。另外�����,在基站AP1中�,由圖7的步驟S10驗證成功后,將終端WL13的安全信息登錄到安全表21�。即,圖4所示MAC幀的地址2示出終端WL13�����,按與該地址2的關(guān)系將安全信息登錄到該安全表21。在基站AP1的安全表如圖10所示那樣重新登錄“連接目標”為終端WL13的安全信息����。在終端WL13的安全表也同樣地重新登錄“連接目標”為基站AP1的安全信息。即��,圖4所示MAC幀的地址2示出基站AP1����,按與該地址2的關(guān)系將安全信息登錄到終端WL13的安全表110。該新追加的終端WL13的安全信息的安全級與終端WL13在圖7的步驟S2中要求的安全級相當���。
另外,如在終端側(cè)的安全表中登錄基站的安全信息�����,則終端可預(yù)先選擇該基站的最低級以上的安全級����,結(jié)果,在步驟S33中���,不會從該基站拒絕連接����。在這里,基站的安全信息至少具有預(yù)先設(shè)定到該基站屬于的BSS的最低級別以上的安全級��。換言之����,當終端再次連接到基站時�,對于基站,可從終端自身支持的安全級中選擇由基站確定的最低級別以上的安全級����,如圖7中的步驟S2所示那樣將該安全級通知基站���。
另外,最好在基站AP的安全表中作為與終端WL相關(guān)的安全信息至少登錄該基站屬于的BSS中預(yù)先確定的最低級enc_low以上的安全級的安全信息����。在該登錄中,關(guān)于基站屬于的BSS����,由圖4所示MAC幀中的地址1確定BSS,該地址和安全級描述于安全表中�。如具有與這樣的BSS相關(guān)的登錄����,則從基站到該終端的單播通信所用的安全級可預(yù)先選擇在該最低級別以上而且可由該終端支持的安全級���。另外�,向基站AP屬于的BSS內(nèi)的終端WL的多播通信���、廣播通信中的安全級也可預(yù)先選擇在該最低級別enc_low以上而且由應(yīng)對其進行接收的所有終端支持的安全級�。即�����,如圖7的步驟S5所示�����,當由基站AP1拒絕連接時��,通知與先前通知的安全級不同的最好為更高級別的安全級�����,再次要求連接�����?����?稍谝粋€一個通知終端WL13具有的安全級的同時進行最大規(guī)定次數(shù)M的連接要求�。
基站AP1也可相對作為連接要求源的終端WL13通知在BSS1中預(yù)設(shè)定的最低級別的安全級enc_low或基站AP1支持的最低級別以上的安全級。該通知也可使用由IEEE802.11規(guī)定的MAC幀的管理用幀���、控制用幀中現(xiàn)在未使用的幀進行通知����。例如����,在管理用幀中,與子類型為“0110”-“0111”等的幀相當�����,在控制用幀中����,與子類型為“0000”-“1001”等的幀相當���。在圖7所示步驟S4中,當基站AP1拒絕終端的連接時�,也可在發(fā)送ATSN=2的鑒別幀后發(fā)送該未使用的幀,通知所有最低級別enc_low以上的安全級�。另外,在步驟S4或步驟S6中���,也可在發(fā)送ATSN=2的鑒別幀之前發(fā)送未使用的幀���,通知所有最低級別enc_low以上的安全級。另外�,也可在鑒別或相聯(lián)的處理期間或數(shù)據(jù)幀的發(fā)送開始之前等適當?shù)臅r刻發(fā)送未使用的幀,通知所有最低級別enc_low以上的安全級��。
在由IEEE802.11規(guī)定的MAC幀的相聯(lián)幀����,如圖9A和9B所示那樣�����,在該幀正文的“能力信息”內(nèi)作為未使用區(qū)域設(shè)置保留區(qū)域����。也可利用該未使用區(qū)域�,由基站AP1向作為連接要求源的終端WL13通知BSS1的最低級別的安全級enc_low或基站AP1支持的該最低級別enc_low以上的所有安全級���。
這樣����,在上述第1實施形式中��,當要將屬于BSS1內(nèi)的終端WL11�����、WL12以外的不屬于BSS1內(nèi)的終端WL13連接到基站AP1的場合����,首先(1)該終端WL13向基站AP1通知終端WL13自身的安全級。在圖7所示流程中�����,該通知利用鑒別幀�。
(2)在基站AP1中,從該終端WL13通知的安全級為由基站AP1支持的安全級����,而且�����,當為預(yù)先設(shè)定到BSS1的最低級別enc_low的安全級以上時���,許可WL13的連接,持續(xù)進行用于連接的處理動作��。然而�����,當從終端WL13通知的安全級不到預(yù)先設(shè)定到BSS1的最低級別的安全級時��,拒絕終端WL13的連接����。
(3)在許可來自終端WL13的連接的場合,根據(jù)需要�,實施用于共有加密·解密的信息即加密參數(shù)的識別處理。
這樣�����,按照上述第1實施形式�����,對于BSS這樣的無線LAN的基本組�,實施確保對各組預(yù)先確定的加密最低限的安全級的無線通信。
在上述(1)的場合�,如終端WL13將終端WL13自身支持的安全級中的最高級別enc_high的安全級通知基站AP1,則基站AP1拒絕終端WL13的連接的機會變少���。另外��,如將最高級別enc_high的安全級通知基站AP1�,則由1次的連接要求可判斷是否能夠與該基站AP1連接����,這樣,可減少無用的通信量���。
另外���,BSS1內(nèi)的基站或各終端最好在安全表登錄分別設(shè)定到在與BSS1內(nèi)的基站或終端通信時利用的BSS1中的最低級別enc_low以上的安全級的安全信息?��;净蚋鹘K端可參照該安全表作為要求與由地址確定的所期望的終端或基站連接時通知的安全級預(yù)先選擇連接不被拒絕的最低限的安全級����。
在上述第1實施形式中,在步驟S2中��,終端WL13僅將希望在與基站AP1的通信中利用的1個安全級通知基站AP1���,但很明顯不限于該場合���。終端WL13自身具有的全部或雖然不全部但為多個的安全級也可從終端WL13通知基站AP1。另外�,也可僅將終端WL13支持的安全級中的最高級別的安全級enc_high從終端WL13通知基站AP1。
下面說明在步驟S2中通知終端WL13自身具有的全部或雖然不是全部但至少為多個的安全級的場合的基站AP1的處理動作��。
在圖7所示步驟S2中���,將終端WL13自身具有的多個安全級發(fā)送到基站�。在基站AP1中����,由步驟S3判斷在該安全級中是否包含與BSS1中的最低級別相當?shù)陌踩塭nc_low以上并由自身裝置支持的安全級。基站AP1在包含支持的安全級時判斷許可終端WL13的連接�。另外,基站AP1在不包含支持的安全級時����,判斷終端WL13的連接被拒絕�����。在拒絕終端WL13的連接的場合����,前進到步驟S4。當許可終端WL13的連接時�,基站AP1接下來選擇終端WL13和基站AP1都支持的安全級中的BSS1中的最低級別enc_low以上的安全級。當BSS1中的最低級別enc_low以上的安全級存在多個時���,基站AP1選擇其中的1個��。關(guān)于該選擇��,具有其中最低���、或最高、或其它各種選擇基準,但可也可選擇其中的任一個���?�;続P1為將選擇的1個安全級用于與終端WL13之間的通信的安全級���。例如,當從終端WL13通知的安全級為“enc.0”和“enc.1”時��,許可終端WL13向基站AP1的連接����,終端WL13與基站AP1之間的通信安全級選擇“enc.1”。
在需要將該選擇的安全級通知終端WL13的場合�,也可在例如由圖7的步驟S6發(fā)送ATSN=2的鑒別幀之前等,使用上述的由IEEE802.11規(guī)定的MAC幀的管理用幀����、控制用幀中的現(xiàn)在未使用的幀等。
在終端WL13中����,可接收選擇的安全級的通知,進行此后的準備����。
在BSS1內(nèi)����,如為預(yù)先設(shè)定到BSS1的最低級別enc_low以上的安全級�����,則不一定非要在相同的安全級下通信����。
另外��,在BSS1內(nèi)�����,也可與連接對方臺相應(yīng)地按不同的安全級通信�。即,在這里�,如為預(yù)先設(shè)定到BSS1的最低級別enc_low以上的安全級,則對于基站AP1按哪個安全級與哪個終端通信不特別限定�。通過按各終端不同的安全級使基站AP1通信,可提高無線通信的秘密性����。
圖7說明了未加入到BSS1的終端WL13與基站AP1之間的連接時的動作��,但也可將上述說明的終端WL13分別置換成加入到BBS1的終端WL11-WL12�。終端WL11-WL12分別要與基站AP1連接時�,如根據(jù)圖7所示順序,則由圖7的步驟S2通知當時不同的安全級���,連接時�����,可改變與其目的對應(yīng)的安全級���。在該場合,在各終端的安全表登錄BSS1的最低級別的安全級��,所以���,選擇各終端支持的安全級中的該最低級別以上的安全級�����,在步驟S2通知是安全級�。另外,即使不改變安全級�,此后的鑒別時,也可改變加密參數(shù)(WEP的場合為密鑰和IV等)���。
同樣�����,圖7說明的從終端到基站的連接要求時的順序也可用作從屬于相互不同的BSS的基站向基站要求連接時的順序��。即���,可將圖7說明的終端WL13置換成基站AP1�,將基站AP2置換成屬于與BSS1不同的其它BSS的基站例如在這里為BSS2的基站AP2。這樣�����,按照第1實施形式�����,在基站間的通信即DS通信中也可在各最低限的安全級以上實現(xiàn)通信�����。
當BSS1內(nèi)的終端例如終端WL11與相同BSS1內(nèi)的另一終端例如終端WL12通信時可必須通過基站AP1連接到基站AP1進行通信,也可不通過基站AP1在終端間直接通信��。
終端WL11-WL12��、基站AP1在要與登錄于各安全表的對方臺進行連接的場合�����,也可省略用于發(fā)收安全級和加密參數(shù)的鑒別等�。在接收連接要求的一側(cè),如該幀的發(fā)送源登錄于自身的安全表�,則可參照該安全表按在BSS1內(nèi)預(yù)先確定的最低級以上的安全級與要求源通信。
在基站AP1和終端WL11-WL12的各安全表也可對各連接對方臺僅登錄過去在其間通信時使用的安全級的安全信息���。該登錄的安全信息與BSS1的最低級enc_low以上的安全級相當��。
在初期設(shè)定時����,BSS1內(nèi)的基站AP1和終端WL11-WL12的安全表也可記載完全相同的內(nèi)容��,對于圖5所示那樣的構(gòu)成BSS1的各裝置���,登錄其分別支持的全部安全級的安全信息和在BSS1中作為最低級別設(shè)定的安全級�。
另外,在BSS1內(nèi)���,基站AP1和終端WL11-12也支持在BSS1中容許的最低安全級即“enc.1”����。因此���,當終端WL11-WL12中的任一個在BSS1內(nèi)多播��、廣播數(shù)據(jù)幀等時��,該幀的幀正文按容許的最低安全級加密��。這樣,作為BSS1����,可確保容許的最低的安全級。
另外��,在上述第1實施形式中�,當在進行由IEEE802.11規(guī)定的鑒別時一并進行連接要求源支持的安全級的檢驗和為了由連接要求源和連接要求目標共有加密參數(shù)的識別處理���,然而,也可將該2個處理分開����,在由IEEE802.11規(guī)定的相聯(lián)時對前者實施處理。另外��,也可考慮先進行相聯(lián)然后進行鑒別的場合���。在該場合中����,可在鑒別時集中進行上述2個處理���,也可分開到在相聯(lián)時和鑒別時進行�����。然而��,在上述分開2個處理的場合����,在共有加密參數(shù)的識別處理之前進行安全級的檢驗對確保安全有利。
(第2實施形式)下面說明預(yù)先確定了最低限的安全級的圖1所示那樣的BSS1的基站廣播在該BSS1中確定的最低限安全級的第2實施形式的通信系統(tǒng)�����。在該說明中���,對于第2實施例的通信系統(tǒng)�����,省略與第1實施形式相同的說明����,參照圖12說明其不同點�。
在第2實施例的通信系統(tǒng)中,在由IEEE802.11規(guī)定的信標幀寫入該BSS的最低限的安全級�,發(fā)送該信標幀。
圖11示出具有由IEEE802.11規(guī)定的MAC幀的構(gòu)造的信標幀的幀正文的格式����。在該信標幀的“能力信息”內(nèi)設(shè)置保留區(qū)域作為未使用區(qū)域����?����;続P1在該保留區(qū)域中寫入BSS1的最低級別的安全級或基站AP1支持的該最低級別以上的全部安全級或不為全部也為多個的安全級��,并通知該安全級�����。
基站AP1的發(fā)送控制部14在信標幀中寫入BSS1的最低級別的安全級或基站AP1支持的該最低級別以上的全部安全級或不為全部也為多個的安全級��,并進行廣播���。如圖12的步驟S21所示那樣,由終端接收該信標�。信標也可由未加入到BSS1的終端例如圖1所示終端WL13接收。
在終端WL13的接收部101中���,取出在由步驟S22所示那樣接收的信標中寫入的BSS1的最低級別的安全級�,檢驗在如步驟S23所示那樣由終端WL13支持的安全級是否存在BSS1的最低級別以上的安全級��。在這里����,終端WL13支持的所有安全級也可預(yù)先登錄到終端WL13的安全表中�����。當在終端WL13的安全級中沒有BSS1的最低級別以上的安全級時��,拒絕與基站AP1的連接�,結(jié)束其連接處理�。
在這里,BSS1的最低級別的安全級為“enc.1”��,終端WL13支持“enc.0”和“enc.1”�����,所以��,終端WL13可與基站AP1連接����。在終端WL13的安全級存在BSS1的最低級別以上的安全級,所以�,終端WL13選擇該“enc.1”這樣的安全級,開始向基站AP1的連接要求�。即��,前進到圖7的步驟S2,通知選擇的安全級�����,以下��,進行與第1實施形式的說明同樣的動作����。
但是,在該場合�����,由于從終端WL側(cè)一定可通知最低級別以上的安全級����,所以,在基站AP1中����,也可省略圖7的步驟S3。另外�,終端WL13在步驟S2中選擇終端WL13自身具有的安全級中的����、由信標幀通知的BSS1的最低級別以上的安全級(這樣的安全級具有多個時�,選擇全部或其中所期望的幾個或其中的1個,例如安全級也可選擇最高����、或最低、或期望的安全級����,在步驟S2通知到基站AP1。
這樣�,預(yù)先設(shè)定了最低限的安全級的BSS1的基站AP1通過廣播該BSS的最低限的安全級,從而使終端WL13預(yù)先選擇可按自身支持的安全級連接的對方臺開始連接�,所以,可減少不需要的通信量����。
另外,終端WL13相對基站AP1發(fā)送探測要求幀(探測請求)���,對此�����,基站AP1也可由探測的響應(yīng)幀(探測響應(yīng))通知安全級���。
(第3實施形式)在上述第1實施形式中��,說明了按該順序?qū)嵤┯蒊EEE802.11規(guī)定的鑒別和相聯(lián)的場合,但也可設(shè)想先進行相聯(lián)后實施鑒別的場合�。在第3實施形式中,對于該場合�����,以圖1所示BSS1的場合為例參照圖13所示流程圖進行說明�。
在這里,也與第1實施形式同樣����,說明未加入到BSS1的終端WL13要求連接到BSS1的基站AP1的場合���,并且僅說明與第1實施形式不同的部分���。
終端WL13如步驟S31所示那樣接收從基站AP1發(fā)送的信標幀�����,此后,為了連接到基站AP1���,如步驟S32所示那樣將相聯(lián)要求幀發(fā)送到基站AP1�。
如上述那樣�����,在由IEEE802.11規(guī)定的MAC幀的相聯(lián)幀如圖9A和9B所示那樣�����,在其幀正文的“能力信息”內(nèi)準備有未使用區(qū)域即保留區(qū)域���。終端WL13的發(fā)送部107在該保留區(qū)域中寫入終端WL13支持的安全級中的至少所期望的1個��,如步驟S32所示那樣發(fā)送到基站AP1����。例如,在這里���,在終端WL13的發(fā)送部107中��,寫入表示自身具有的全部安全級(“enc.0”“enc.1”)中的1個“enc.1”的數(shù)據(jù)�,發(fā)送到基站AP1�。
對其進行接收的基站AP1的處理動作與第1實施形式同樣��。即����,基站AP1的接收控制部13將寫入到接收的相聯(lián)的要求幀(相聯(lián)請求)的終端WL13的安全級取出,將該安全級與登錄到基站AP1的安全表21的BSS1的最低級的安全級比較�。從終端WL13通知的該終端WL13的安全級為基站AP1支持的安全級,而且�����,當在BSS1的最低級別的安全級以上時����,如步驟S33所示那樣判斷許可終端WL13的連接����。另外�����,當不到BSS1的最低級別的安全級以上時��,如步驟S22所示那樣判斷拒絕終端WL13的連接��。即�,在拒絕終端WL13的連接的場合,例如根據(jù)IEEE802.11的規(guī)定�,如步驟S34所示那樣在相聯(lián)的響應(yīng)幀(相聯(lián)響應(yīng)的狀態(tài)碼)寫入表示連接失敗這一狀態(tài)的碼,回復(fù)到終端WL13���。終端WL13通過接收該幀��,判斷被基站AP1拒絕連接��,從而在該階段中斷連接手續(xù)����。
另一方面,在許可終端WL13的連接的場合��,為了利用從終端WL13通知的BSS1的最低級別的安全級即“enc.1”進行通信���,根據(jù)IEEE802.11的規(guī)定����,在相聯(lián)的響應(yīng)幀(相聯(lián)響應(yīng)的狀態(tài)碼)寫入表明連接成功這一狀態(tài)的碼��,如步驟S36所示那樣向終端WL13回復(fù)��。
將其接收后����,在終端WL13中���,根據(jù)IEEE802.11的規(guī)定���,為了進行在終端WL13與基站AP1之間共有加密參數(shù)的認證處理,如步驟S37所示那樣發(fā)送鑒別幀��。鑒別幀的發(fā)送后的鑒別的處理根據(jù)IEEE802.11的規(guī)定實施���。關(guān)于該處理��,由于根據(jù)IEEE802.11的規(guī)定實施����,所以,省略其說明����。
在該第3實施形式的場合,也可獲得與第1實施形式的場合同樣的效果��,同時��,當然可適用在第1實施形式中說明的那樣的多種變形��。
(第4實施形式)下面���,以圖1所示無線LAN系統(tǒng)為例說明當某一終端在多個基站的區(qū)域間移動著通信時確保各區(qū)域即各BSS的安全級的手法���。在該第4實施形式中說明在終端WL移動的狀況即所謂移動環(huán)境下也能確保對于各基站屬于的BSS分別預(yù)先設(shè)定的最低限的安全級的手法?���;旧先缟鲜龅?實施形式說明的那樣,在各BSS的基站中,當從終端接收連接要求時�,要求該終端通知安全級,僅在安全級為在自身BSS預(yù)先設(shè)定的最低限的安全級以上的場合許可該終端的連接�,在實施用于在基站與終端之間共有加密參數(shù)的認證處理這一點相同。
在由IEEE802.11規(guī)定的無線LAN系統(tǒng)中����,當圖1的終端WL13連接到基站AP2時,在移動到基站AP1的區(qū)域內(nèi)的場合�,在終端WL13與基站AP1之間實施再聯(lián)。當該再聯(lián)手續(xù)正常地結(jié)束時��,發(fā)收數(shù)據(jù)幀��。
在該第4實施形式中����,從終端WL13向基站AP1利用再聯(lián)的要求幀(再聯(lián)請求)中未使用區(qū)域,通知終端WL13的安全級���。
下面,參照圖15所示流程圖說明在圖1所示無線LAN系統(tǒng)中使終端WL13從基站AP2區(qū)域移動到基站AP1的區(qū)域��、相對基站AP1實施再聯(lián)的場合�。在圖15中,對與圖13相同的部分采用相同符號,省略其說明�����,僅說明不同的手續(xù)���。
終端WL13如步驟S31所示那樣接收從基站AP1發(fā)送的信標幀后�,為了連接到基站AP1�,如步驟S51所示那樣將再聯(lián)的要求幀發(fā)送到基站AP1。
在由IEEE802.11規(guī)定的MAC幀的再聯(lián)幀中��,如圖14所示那樣�,在其幀正文的“能力信息”中準備未使用區(qū)域即保留區(qū)域。
終端WL13的發(fā)送部107如步驟S51所示那樣在該保留區(qū)域?qū)懭虢K端WL13支持的安全級中的至少所期望的1個�����,發(fā)送到基站AP1�。例如,在終端WL13的發(fā)送部107中����,寫入自身具有的全部安全級(“enc.0”“enc.1”)中的“enc.1”的數(shù)據(jù),發(fā)送到基站AP1���。
接收該再聯(lián)幀的基站AP1的處理動作由于與圖13的說明同樣����,所以,希望參照圖13的步驟S33相關(guān)的說明�����。但是��,在由步驟S33拒絕終端WL13的連接的場合����,根據(jù)IEEE802.11的規(guī)定,在再聯(lián)幀的狀態(tài)碼中寫入表明連接失敗這一狀態(tài)的碼�����,如步驟S52所示那樣回復(fù)到終端WL13�����。另外�����,在許可終端WL13的連接的場合�,根據(jù)IEEE802.11的規(guī)定,在相聯(lián)響應(yīng)幀的狀態(tài)碼中寫入表明連接成功這一狀態(tài)的碼�,如步驟S53所示那樣回復(fù)到終端WL13。
在基站AP1許可終端WL13的連接的場合��,需要在基站AP1與終端WL13之間共有加密參數(shù)����。為此,也可如圖15的步驟S37-步驟S44所示那樣�,與圖13一樣,根據(jù)IEEE802.11的規(guī)定���,進行用于在終端WL13與基站AP1之間共有加密參數(shù)的認證處理即鑒別手續(xù)�。
另外�����,在來自終端WL13的再聯(lián)要求幀中���,描述有終端WL13現(xiàn)在連接的基站即基站AP2的地址�。該地址相當于圖14所示“目前AP地址”�。因此��,如圖15所示那樣��,不實施鑒別的手續(xù)����,根據(jù)“目前AP地址”�,基站AP1連接到基站AP2?����;続P1要求關(guān)于登錄于基站AP2的安全表的終端WL13的安全信息的傳送�����,在傳送該安全信息后���,也可將安全信息登錄到該安全表����。這樣����,在基站AP1與終端WL13之間共有加密參數(shù)��。因此,在終端WL13被從步驟S53所示的基站AP1許可連接后���,終端WL13可如在該終端WL13與基站AP2之間的通信同樣地在與基站AP1之間進行以相同安全級加密的數(shù)據(jù)幀的發(fā)收�����。
在該第4實施形式的通信系統(tǒng)中���,也可獲得與第1實施形式同樣的效果,同時��,當然可適用在第1實施形式中說明的那樣的多種變形���。
(第5實施形式)以上����,在第1-第4實施形式的通信系統(tǒng)中����,終端WL13可在與基站AP1之間按預(yù)先設(shè)定于基站AP1屬于的BSS1中的最低級別以上的安全級實現(xiàn)通信。然而�����,當在終端WL13與基站AP1進行通信的同時終端WL13與基站AP1以外的未加入到BSS1的終端或其它無線臺進行通信時,如其間的通信的安全級比預(yù)先設(shè)定于BSS1的最低級別低����,則不能說確保了BSS1的最低級別的安全級。因此�,在該第5實施形式的通信系統(tǒng)中,終端WL13如圖16所示那樣�,在已經(jīng)與某一終端WL14進行無線連接的場合,即使終端WL13要求連接到基站AP1�,也可根據(jù)以下說明的手續(xù),確保預(yù)先設(shè)定于BSS1的最低級別的安全���。
終端WL13按不滿足預(yù)先設(shè)定于BSS1的最低安全級的安全級與其它終端或基站進行無線連接時���,終端WL13不能連接BSS1內(nèi)的基站或終端,這是基本原則��。因此���,為了連接到BSS1內(nèi)的終端或基站����,需要預(yù)先切斷這樣的安全級低的無線連接,或?qū)⒃摕o線連接的安全級提高到BSS1的最低級別以上�����。
下面����,對于相應(yīng)的順序���,省略與在第1-第4實施形式中相同順序的說明��,說明不同的順序�����。
在圖16中���,對與圖1相同的部分采用相同符號,省略其說明��。圖16所示終端WL14支持的安全級僅為“enc.0”���。終端WL13開始連接到基站AP1的要求時���,終端WL13已經(jīng)無線連接到終端WL14����,假定此期間的通信安全級為“enc.0”���。
下面說明在這樣的狀態(tài)下終端WL13開始向BSS1的基站AP1的連接要求的場合����。
首先�,如第2實施形式說明的那樣,參照圖17所示流程圖說明由信標通知預(yù)先設(shè)定到BSS1的最低安全級的場合��。在該場合����,終端WL13從接收的信標得知可無線連接到基站AP1的最低安全級為“enc.1”。因此�,終端WL13在前進到圖13的步驟S32之前,實施圖17所示處理動作��。
在圖17的步驟S61中��,確認是否在終端WL13的安全級中準備了在BSS1中容許的最低級別“enc.1”以上的安全級。當在終端WL13準備了“enc.1”以上的安全級時�,前進到步驟S62。在該步驟S62中��,檢驗現(xiàn)在終端WL13進行無線連接的終端即終端WL14與終端WL13之間的通信的安全級是否在由BSS1容許的最低級別“enc.1”以上�����。如終端WL13與發(fā)送控制部14間的通信安全級在由BSS1容許的最低級別“enc.1”以上����,則前進到步驟S64���,開始終端WL13與基站AP1之間的連接順序����。即�����,在終端WL13中��,實施圖13的步驟S32以后的處理�����。另一方面,當終端WL13與終端WL14之間的安全級不滿足由BSS1容許的最低級別(“enc.1”)時��,前進到步驟S63�����,切斷終端WL13與終端WL14之間的無線連接�,前進到步驟S64。
如上述那樣����,由于終端WL13與終端WL14間的通信的安全級為“enc.0”,所以����,從步驟S62前進到步驟S63,切斷終端WL13與終端WL14間的無線連接�。此后,終端WL13結(jié)束由IEEE802.11規(guī)定的解鑒別(Deauthentication)��,前進到步驟S64�。
這樣,對于終端WL13�����,當現(xiàn)在連接的終端WL14間的安全級比從被要求連接的基站AP1廣播的安全級低時,預(yù)先切斷終端WL13與終端WL14的無線連接����,要求從終端WL13向基站AP1連接。因此���,在保持BSS1的最低限的安全級的狀態(tài)下確實地實施終端WL13與基站AP1之間的無線連接����。
在步驟S63中����,一旦切斷終端WL13與終端WL14的無線連接后��,終端WL13與終端WL14也可再次按BSS1的最低級別以上的安全級進行無線連接�����。
在上述說明中�����,說明了終端WL13僅與終端WL14這樣1個進行無線連接的場合,但在終端WL13無線連接到多個終端或多個基站的場合��,也與上述一樣對其安全級1個1個地檢驗���。如其安全級不在BSS1的最低級別以上����,則也可一時切斷終端WL13的連接����,終端WL13按BSS1的最低級別以上的安全級再次連接,開始向基站AP1的連接��。
在上述說明中�����,以與終端WL14進行無線連接的終端WL13的場合為例進行了說明�����,但在與BSS1不同的其它BSS2的基站AP2的處理動作中也可適用上述一連串的手續(xù)��。這樣��,當發(fā)出連接要求的一側(cè)和接收連接要求的一側(cè)都不為終端而是為基站時,可在多個BSS中進行分別確保了最低極限的安全級的DS通信���。當發(fā)出連接要求的一側(cè)為基站時����,也有在該基站無線連接多個終端或基站的場合���,在這樣的場合���,也可與上述同樣地1個1個檢驗安全級,如不在將要連接的BSS的最低級別以上�����,則一時切斷后�����,根據(jù)需要按將要連接的BSS的最低級別以上的安全級重新連接��,此后���,開始向該所期望的基站的連接�����。
下面�����,如在第1�����、第3�����、第4實施形式中說明的那樣��,參照圖18所示流程圖說明鑒別���、相聯(lián)、再聯(lián)時檢驗終端WL13的安全級的場合��。圖18所示處理動作與圖7的步驟S3�、圖13和圖15的步驟S33等對應(yīng)。
在檢驗終端WL13的安全級的場合,如上述那樣����,終端WL13在鑒別的要求幀或相聯(lián)、再聯(lián)的要求幀上的未使用區(qū)域?qū)懭虢K端WL13的安全級��,同時�,寫入以下所示①-②中的至少1個項目。
①現(xiàn)在終端WL13進行無線連接的終端或基站的有無���。
②終端WL13與現(xiàn)在進行無線連接的終端或基站之間的安全級�����。
在這里�����,當終端WL13與多個終端或基站進行無線連接地場合����,將與其全部相關(guān)的安全級寫入到未使用區(qū)域�����。
在基站AP1中��,如步驟S71所示那樣接收幀���,首先�,如步驟S72所示那樣檢驗終端WL13的安全級��。當終端WL13的安全級不滿足設(shè)定于BSS1的最低安全級時�����,前進到步驟S73����,拒絕連接。即����,如在第1、第3��、第4實施形式中說明的那樣���,由鑒別���、相聯(lián)���、或再聯(lián)的幀向終端WL13通知連接拒絕。
另一方面�,終端WL13的安全級為基站AP1支持的安全級,當為由BSS1設(shè)定的最低安全級以上時�,前進到步驟S74。當根據(jù)上述①或②的信息判斷不存在現(xiàn)在與終端WL13進行無線連接的終端和基站時�����,前進到步驟S75�,許可終端WL13的無線連接。即����,如在第1、第3��、第4實施形式中說明的那樣�����,由鑒別�、相聯(lián)��、或再聯(lián)幀將無線連接的許可通知終端WL13��,同時,與上述同樣地實施后續(xù)的處理����。在該處理中,與圖7的步驟S6����、圖13的步驟S36、圖15的步驟S53等相當�����。根據(jù)上述①或②的信息����,判斷存在現(xiàn)在與終端WL13進行無線連接的終端或基站時,前進到步驟S76����。
在該步驟S76中,當在由步驟S71接收的信息中包含由②的示的“終端WL13與現(xiàn)在進行無線連接的終端WL14之間的安全級”時��,檢驗其安全級。當與終端WL14間的安全級在設(shè)定于BSS1的最低安全級以上時��,前進到步驟S75����,許可終端WL13的無線連接。另一方面�����,當與終端WL14間的安全級不滿足設(shè)定于BSS1的最低級別時或在由步驟S71接收的信息中不包含上述示于②的信息時��,即與終端WL14間的安全級不明時����,前進到步驟S77,拒絕從終端WL13的連接要求����。如第1、第3�����、第4實施形式說明的那樣�,由鑒別��、相聯(lián)�、或再聯(lián)的幀將該連接要求的拒絕通知終端WL13���。
在步驟S77中��,也可不通知拒絕連接要求這一狀態(tài),而是由鑒別����、相聯(lián)、或再聯(lián)的幀同樣地通知指示與終端WL14的無線連接的切斷這樣的要求�����。在該場合�,如終端WL13切斷與終端WL14的無線連接,則可立即判斷可與基站AP1連接��。因此�����,終端WL13切斷與終端WL14的無線連接后����,例如結(jié)束由IEEE802.11規(guī)定的解鑒別后����,可再次和基站AP1要求連接���。
另外�,在步驟S77中�,拒絕連接要求后,利用在由IEEE802.11規(guī)定的MAC幀管理用幀���、控制用幀中的現(xiàn)在未使用的幀����,例如管理用幀的場合����,子類型為“0110”-“0111”等的幀,控制用幀的場合����,子類型為“0000”-“1001”等的幀,通知由BSS1所容許的最低級別����。在具有由BSS1容許的最低級別的通知的場合����,如終端WL14支持該最低的安全級��,則終端WL13按該安全級重新連接后����,可再次向基站AP1要求連接。
另外�,在上述說明中�����,以終端WL13僅與終端WL14這樣1個進行無線連接的場合為例進行了說明����。然而,即使在與多個終端或基站進行無線連接的場合���,也可與上述同樣���,由終端WL13通知有無已經(jīng)進行連接的終端或基站���,最好1個1個地通知其安全級別。當從終端WL13通知已連接的無線通信的多個安全級時���,基站AP1可在步驟S76中檢驗各安全級��。
如上述那樣���,即使在發(fā)出連接要求側(cè)已經(jīng)與其它終端或基站進行無線連接的場合,當該無線連接的安全級不明時����,或不滿足接收到連接要求的一側(cè)的最低限的安全級時,通過拒絕該連接要求�,可確保接收連接要求的一側(cè)的最低限的安全級。上述說明以與終端WL14進行了無線連接的終端WL13的場合為例進行了說明��,但也可適用到與BSS1不同的另一BSS2的基站AP2的處理動作�����。這樣��,發(fā)出連接要求的一側(cè)和接收連接要求的一側(cè)都不為終端而是為基站時,可在多個BSS進行分別確保最低限的安全級的DS通信����。發(fā)出連接要求的一側(cè)為基站時,有時在該基站與多個終端或基站進行無線連接���。這樣的場合也與上述同樣���,最好發(fā)出連接要求的一側(cè)通知有無已經(jīng)連接的終端或基站最好還通知其各安全級。在接收連接要求的一側(cè)����,當從發(fā)出連接要求的一側(cè)通知已經(jīng)連接的無線通信的多個安全級時,在步驟S76中����,可檢驗各安全級�����。
(第6實施形式)在上述第1實施形式的無線系統(tǒng)中����,說明了要求連接到基站的場合,但在從終端要求連接到終端的場合也可適用同樣的手法。在這里�����,如圖19所示那樣��,以向?qū)儆贐SS1的終端WL12要求連接未加入到BSS1的終端WL15的場合為例進行說明�����。終端WL15可支持的安全級僅為“enc.0”�����。終端WL12由于加入到BSS1��,所以�,當終端WL12通信時,需要確保在BSS1中預(yù)先確定的最低限的安全級��。為此�,在終端WL12與終端WL15之間實施終端與基站之間的圖7所示的場合同樣的處理動作。
圖20示出從終端WL15向終端WL12要求連接的場合的終端WL12與終端WL15之間的處理順序�����。在圖20中,對與圖7相同的部分采用相同符號�����,省略說明��,以下說明不同點��。
在圖20中���,圖7所示基站的處理動作與終端WL12的處理動作對應(yīng)����。因此�����,不需要信標發(fā)送的步驟S1��。其它的步驟S2-步驟S12與圖7同樣�����。不需要相聯(lián)的順序���。
如圖20所示�����,在終端WL12與終端WL15之間進行連接時�����,也由接收到連接要求的一側(cè)的終端WL12檢驗發(fā)出連接要求一側(cè)的終端WL15的安全級�����。在這里�����,發(fā)出連接要求一側(cè)的終端安全級為接收到連接要求的一側(cè)的裝置支持的安全級�����,而且���,如在接收到連接要求的一側(cè)的終端屬于的BSS1的最低安全級以上,則許可終端WL15的連接�。如發(fā)出連接要求一側(cè)的終端的安全級不為接收連接要求一側(cè)的裝置支持的安全級或在接收到連接要求一側(cè)的終端屬于的BSS1的最低安全級以下��,則拒絕終端WL15的連接�。如許可連接����,則實施用于共有與該安全級對應(yīng)的加密參數(shù)的手處理動作。
當終端WL12從終端WL13接收連接要求時����,不論其終端WL12是否與基站AP1進行無線連接,終端WL12都實施圖20所示那樣的處理動作�����。
在圖19中�����,終端WL15可能適用不經(jīng)過鑒別而直接將數(shù)據(jù)幀發(fā)送到終端WL12的模式即ad hoc模式����。對于這樣的模式,參照圖21所示流程圖說明在終端WL12的處理動作�。
終端WL12如步驟S81所示那樣,從終端WL15不通過基站直接接收向終端WL12發(fā)送的數(shù)據(jù)幀���。這樣的數(shù)據(jù)幀例如按照IEEE802.11的規(guī)定��,為圖4所示MAC幀的幀控制控制中的“To DS”及“FromDS”都為“ 0”����,所以可容易地判斷���。
在終端WL12的接收部101中����,當接收該數(shù)據(jù)幀時�,如步驟S82所示那樣�����,檢驗與該發(fā)送源的地址對應(yīng)的安全信息是否登錄到終端WL12的安全表110。
終端WL15的安全信息登錄到安全表�,意味著終端WL15與終端WL12按預(yù)先設(shè)定子登錄到該安全表的BSS1的最低級別以上的安全級在過去進行過通信����,或預(yù)定按那樣的安全級通信�。因此����,前進到步驟S83�����,終端WL12例如向終端WL15發(fā)送由IEEE802.11規(guī)定的相對接收到的數(shù)據(jù)幀的ACK幀��,開始與終端WL15之前的數(shù)據(jù)發(fā)收。
另一方面���,在步驟S82中,當終端WL15的安全級信息未登錄到安全級時�����,在該狀態(tài)下�����,終端WL15的安全表不明����,所以�,終端WL12不能在與終端WL15之間進行通信。因此����,前進到步驟S84����,上述ACK幀不發(fā)送�,向該終端WL15通知要求鑒別的意圖�。該通知也可利用由IEEE802.11規(guī)定的MAC幀管理用幀�、控制用幀中的現(xiàn)在未使用的幀����,例如管理用幀的場合�����,子類型為“0110”-“0111”等的幀����,控制用幀的場合���,子類型為“0000”-“1001”等的幀��。
接收到該通知的終端WL15開始圖20所示步驟S2以后的處理動作即可����。
在上述第5實施形式的通信順序中�,終端WL13如圖16所示那樣在已經(jīng)與某一終端WL14進行無線連接的場合��,說明了當相對基站AP1要求連接時確保預(yù)先設(shè)定到基站AP1的BSS1的最低級別的安全級的手法����。與此對應(yīng),下面說明如圖22所示那樣當終端WL15已經(jīng)與某一終端WL16進行無線連接時該終端WL15要求與終端WL12連接的場合�。
在這里���,終端WL16可支持的安全級僅為“enc.0”�。終端WL12由于加入到BSS1��,所以���,當終端WL12開始通信時,需要確保在BSS1中預(yù)先確定的最低限的安全級�。為此�,也可由終端WL12實施與圖18所示的場合同樣的處理動作�。
圖23示出從終端WL15向終端WL12要求連接的場合的終端WL12與終端WL15之間的處理順序。在圖23中,對與圖18相同的部分采用相同符號��,省略說明��,以下說明不同的點�。即,在圖23中����,圖18的基站和終端WL13的處理動作分別對應(yīng)于終端WL12和終端WL15的處理動作,實施實質(zhì)上與圖18所示處理順序同樣的處理�。因此�,關(guān)于參照圖23的說明,如將圖18的上述說明中的基站和終端WL13分別置換為終端WL12和終端WL15�����,則不用進行特別的說明也可理解。
另外���,在圖22中���,即使為終端WL15不經(jīng)過鑒別直接將數(shù)據(jù)幀發(fā)送到終端WL12的模式�����,即ad hoc模式,終端WL12也可在實施了圖12的流程圖的處理動作后���,實施圖23所示那樣的處理動作�����。當終端WL12按圖21的步驟S81從終端WL15不通過基站直接接收以終端WL12為地址的數(shù)據(jù)幀時�����,最好立即前進到步驟S84����,向該終端WL15通知要求鑒別的意圖�,一定實施圖23所示處理動作對確保安全很有利。終端WL15的安全信息由于登錄到終端WL12的安全表����,所以��,在終端WL15與終端WL12以外的終端的無線連接中不限于在終端WL12屬于的BSS1的最低限的安全級以上進行通信。
在上述說明中�,以終端WL15僅與終端WL16的1個進行無線連接的場合為例進行了說明�,但在與多個終端或基站進行無線連接的場合也與上述同樣����,終端WL15通知有無已經(jīng)進行連接的終端或基站�����,最好1個1個地通知該安全級別���。當從終端WL15通知已連接的無線通信的多個安全級時,終端WL12可在步驟S76中檢驗各安全級���。
如以上說明的那樣�,按照上述第6實施形式�����,即使在多個終端間的通信中,其中的1個為預(yù)先確定最低應(yīng)遵守的安全級的BSS內(nèi)的終端時����,可確保該安全級����。
(第7實施形式)在上述第1-第6實施形式中,說明了確保BSS的安全級的場合�。同樣的手法也可適用于在IBSS中確保安全的場合。
在該第7實施形式中�����,以圖24所示那樣的構(gòu)成的IBSSI為例進行說明�。
在圖24中,IBSS1由多個例如3個終端WL31-WL33構(gòu)成���。終端WL31支持安全級“enc.0”�、“enc.1”��,終端WL32支持安全級“enc.0”�����、“enc.1”���、“enc.2”�,終端WL33支持安全級“enc.0”、“enc.1”����。
按照IEEE802.11的規(guī)定��,IBSS不通過基站��,在IBSS內(nèi)的多個終端間不經(jīng)過鑒別的認證過程���,直接發(fā)收數(shù)據(jù)幀。IBSS1內(nèi)的各終端具有安全表����,在該安全表中登錄構(gòu)成IBSS1的各終端的安全信息,如在IBSS1內(nèi)預(yù)定的最低限的安全級以上通信�����,則在IBSS1內(nèi)的終端間可確保該最低限的安全級��。
因此���,說明從未加入到IDBSS1的即未登錄到安全表的終端WL34向構(gòu)成IBSS1的多個終端中的1個例如終端WL31要求連接時的處理動作��。
該處理動作與第6實施形式同樣,終端WL31最好實施圖21所示那樣的處理動作���,當接收到的數(shù)據(jù)幀的發(fā)送源的安全信息未登錄到自身的安全表時�����,向該數(shù)據(jù)幀的發(fā)送源即終端WL34發(fā)送要求鑒別的通知���。此后����,當從終端WL34發(fā)送鑒別幀時���,最好實施圖23所示那樣的處理動作����。但是圖23所示終端WL15可置換到終端WL34��。即��,終端WL34將終端WL34的安全級寫入到鑒別幀���,同時���,寫入上述①-②中的至少1個��,發(fā)送到終端WL31�����。終端WL31可從終端WL34接收這樣的鑒別幀����,實施與圖23所示終端WL12同樣的處理動作�。
這樣,在IBSS中�����,也可確保預(yù)先設(shè)定到該IBSS的最低限的安全級�。
另外,在多個終端間的通信中����,其中的1個為預(yù)先設(shè)定了最低限應(yīng)遵守的安全級的IBSS內(nèi)的終端時,可確保該安全級����。
如在以上第1-第7實施形式說明的那樣,基站、終端這樣的構(gòu)成無線LAN的無線通信裝置分別具有至少1個(最好多個)安全級�,具有以下(x1)-(x8)所示特征,從而可實現(xiàn)確保了例如BSS或IBSS這樣的無線LAN的基本組即對各通信組預(yù)先設(shè)定的加密的最低限的安全級的無線通信�。另外�����,在多個無線通信裝置間的通信中�����,該多個無線通信裝置的至少1個為預(yù)先設(shè)定了最低限應(yīng)遵守的安全級換言之最低級別的安全級的通信組例如BSS或IBSS內(nèi)的無線通信裝置時����,必須確保上述最低級以上的安全級。關(guān)于下述(x1)-(x8)中特別是未明記為基站的場合的特征�����,最好為對基站和終端都同樣具有的功能����。
(x1)從自身裝置向作為其它無線通信裝置的第1無線通信裝置要求連接時,向上述第1無線通信裝置至少通知1個自身裝置具有的安全級中的作為與該第1無線通信裝置之間的通信使用的安全級即第1安全級��。
(x2)當向上述第1無線通信裝置要求連接時,如自身裝置已經(jīng)與作為上述第1無線通信裝置之外的另一無線通信裝置的第2無線通信裝置連接����,則通知作為在與該第2無線通信裝置之間通信所用的安全級的第2安全級。
(x3)在上述第1無線通信裝置為基站的場合��,廣播可與該第1無線通信裝置連接的最低級別的安全級時����,選擇自身裝置具有的安全級中的該最低級別以上的安全級,在向上述第1無線通信裝置要求連接時通知該安全級��。
(x4)在上述第1無線通信裝置為基站的場合��,當廣播可與該第1無線通信裝置連接的多個安全級時���,選擇自身裝置具有的安全級中的與該廣播的多個安全級別中的任一個一致的安全級�,在向上述第1無線通信裝置要求連接時通知該選擇的安全級�。
(x5)具有第3裝置,在該具有第3裝置中���,當自身裝置從作為其它無線通信裝置的第4無線通信裝置接收連接要求時�,A至少作為在從該第4無線通信裝置通知的該第4無線通信裝置與自身裝置之間的通信中使用的安全級的第3安全級處于自身裝置具有的安全級�,而且當在預(yù)先設(shè)定于自身裝置屬于的通信組(即例如BSS或IBSS)的最低級別以上時�,許可該第4無線通信裝置的連接�,(b)至少上述第3安全級不到該最低級別時,拒絕與該第4無線通信裝置的連接���。
(x5′)上述第3裝置當A上述第3安全級在預(yù)先設(shè)定于自身裝置屬于的通信組(即例如BSS或IBSS)的最低級別以上并且上述第4無線通信裝置已經(jīng)與作為上述第4無線通信裝置之外的其它無線通信裝置的第5無線通信裝置連接時�,如在與該第5無線通信裝置之間的通信中使用的安全級的第4安全級為上述最低級別以上時���,則許可與該第4無線通信裝置的連接,(b)當上述第3安全級不到上述最低級別以上時或上述第4安全級不到上述最低級別時�����,或上述第4無線通信裝置已經(jīng)與上述第5無線通信裝置連接時�����,或上述第4安全級不明時��,拒絕與上述第4無線通信裝置的連接���。
(x7)在自身裝置為基站的場合���,具有廣播預(yù)先設(shè)定于自身裝置屬于的通信組的最低級別的安全級或該最低級別以上的多個安全級的第4裝置�����。
(x8)具有第5裝置����,該第5裝置當從上述第4無線通信裝置通知多個安全級時��,如在該多個安全級中存在預(yù)先設(shè)定于自身裝置屬于的通信組的最低級別以上的安全級�����,則選擇其中的1個����,將其通知到上述第4無線通信裝置。
記載于本發(fā)明的實施形式的本發(fā)明的手法也可作為能夠在計算機中執(zhí)行的程序��,存儲到磁盤(軟盤�、硬盤等)、光盤(CD-ROM�、DVD等)、半導(dǎo)體存儲器等存儲媒體中頒布����。
其它優(yōu)點和變形對本領(lǐng)域的技術(shù)人員是顯而易見的�。因此�����,在其更寬范圍的本發(fā)明不限于這里示出和說明的具體細節(jié)和代表性的實施例��。因此�,在不脫離由后附的權(quán)利要求和其等效內(nèi)容限定的總發(fā)明概念的精神或范圍的前提下可進行多種變形。
權(quán)利要求
1.一種無線通信裝置����,它屬于接收從其它無線通信裝置發(fā)送的第1發(fā)送幀的第1無線通信組��;其中�,第1發(fā)送幀包含描述了某一安全級的字段,該無線通信裝置包括存儲裝置����、安全級確定裝置、第2發(fā)送幀生成裝置���、及發(fā)送部���;該存儲裝置存儲與非加密相當?shù)牡?安全級和分別根據(jù)加密方式和其加密強度確定的第2和第3安全級����;該安全級確定裝置將從上述第1-第3安全級中選擇出的1個作為固有的基準安全級確定到第1無線通信組��;該第2發(fā)送幀生成裝置比較上述發(fā)送幀中的上述1個安全級和上述基準安全級�,決定當上述1個安全級比上述基準安全級低時拒絕與第1無線通信裝置的連接的連接拒絕和當上述1個安全級不低于上述基準安全級時許可與第1無線通信裝置的連接的連接許可,生成描述了上述連接拒絕和連接許可的第2發(fā)送幀��;該發(fā)送部向上述第1無線通信裝置發(fā)送上述第2發(fā)送幀���。
2.根據(jù)權(quán)利要求1所述的無線通信裝置���,其中,上述其它無線通信裝置屬于第1無線通信組�,該其它無線裝置包含存儲上述基準安全級和該無線裝置支持的第1和第2安全級的裝置和在上述字段描述從該第1和第2安全級選擇的1個的裝置;上述無線通信裝置中的存儲裝置存儲用于確定上述第1無線組的地址和上述基準安全級����,并與確定上述裝置的地址一起存儲上述其它無線通信裝置支持的第1和第2安全級。
3.根據(jù)權(quán)利要求1所述的無線通信裝置�,其中,上述其它無線通信裝置屬于第1無線通信組外�����,該其它無線裝置包含存儲上述基準安全級和該無線裝置支持的第1和第2安全級的裝置和在上述字段描述從該第1和第2安全級選擇1個的裝置;上述無線通信裝置中的存儲裝置存儲用于確定上述第1無線組的地址和上述基準安全級�����,并與確定上述裝置的地址一起存儲上述其它無線通信裝置支持的第1和第2安全級����。
4.根據(jù)權(quán)利要求1所述的無線通信裝置,其中����,上述第1發(fā)送幀還包含描述了其它無線通信裝置的地址的字段。
5.根據(jù)權(quán)利要求1所述的無線通信裝置��,其中�����,上述存儲裝置存儲與第2和第3安全級對應(yīng)的關(guān)于加密的參數(shù)�����。
6.根據(jù)權(quán)利要求1所述的無線通信裝置�����,其中�����,當其它無線通信裝置接收包含拒絕連接的字段的第2發(fā)送幀時����,將記載了其它安全級的字段的第3發(fā)送幀發(fā)送到上述無線通信裝置。
7.根據(jù)權(quán)利要求5所述的無線通信裝置�����,其中���,其它無線通信裝置接收包含連接許可的字段的第2發(fā)送幀時����,將包含存儲了加密的數(shù)據(jù)的字段的第3發(fā)送幀發(fā)送到上述無線通信裝置�����;上述無線裝置接收了第3發(fā)送幀�����,按與加密相關(guān)的參數(shù)的一個將加密數(shù)據(jù)解密。
8.根據(jù)權(quán)利要求1所述的無線通信裝置��,其中��,其它通信裝置將包含記載了該裝置支持的多個安全級的字段的第2發(fā)送幀發(fā)送到無線通信裝置�����;在無線通信裝置中����,該比較裝置分別比較多個安全級與上述基準安全級,確定上述基準安全級以上的1個安全級����,由第2發(fā)送幀將該1個安全級通知其它無線通信裝置。
9.根據(jù)權(quán)利要求1所述的無線通信裝置�,其中,其它無線通信裝置向無線通信裝置發(fā)送包含該裝置支持的多個安全級的最高1個的字段的第1發(fā)送幀�,在無線通信裝置中�,由該比較裝置比較最高的1個安全級與上述基準安全級。
10.一種無線通信系統(tǒng)����,它包括屬于第1無線通信組的無線通信裝置和第2無線通信裝置��;該屬于第1無線通信組的無線通信裝置包括第1存儲裝置和第1發(fā)送幀生成發(fā)送裝置�����;該第1存儲裝置從該無線通信裝置支持的與非加密相當?shù)牡?安全級和分別根據(jù)加密方式和其加密強度確定的第2和第3安全級中選擇出的1個作為固有的基準安全級設(shè)定到第1無線通信組�,存儲該基準安全級和第1-3安全級��;該第1發(fā)送幀生成發(fā)送裝置生成具有寫入了上述基準安全級和第1-3安全級的字段的第1發(fā)送幀并發(fā)送�����,第2無線通信裝置包括接收部�����、第2存儲裝置��、第2發(fā)送幀生成裝置�����、發(fā)送部���;該接收部接收上述第1發(fā)送幀���;該第2存儲裝置存儲該無線通信裝置支持的第1安全級和分別根據(jù)加密方式和其加密強度確定的固有安全級�����;該第2發(fā)送幀生成裝置分別比較上述第1發(fā)送幀中的1和固有的安全級與上述基準安全級�����,決定當固有的安全級比上述基準安全級低時拒絕與第1無線通信裝置的連接的連接拒絕和當?shù)?安全級不低于上述基準安全級時許可與第1無線通信裝置的連接的連接許可���,生成包含描述了固有安全級的字段和記載了上述連接拒絕和連接許可中的一方的字段的第2發(fā)送幀;該發(fā)送部向上述第1無線通信裝置發(fā)送上述第2發(fā)送幀���。
11.根據(jù)權(quán)利要求10所述的無線通信系統(tǒng)����,其中���,上述第2無線通信裝置屬于第1無線通信組�����;該第2存儲裝置存儲上述基準安全級��;上述第1存儲裝置存儲確定上述第1無線組的地址和上述準備安全級����;還與確定上述第2無線通信裝置的地址一起存儲上述第2無線通信裝置支持的第1和固有的安全級��。
12.根據(jù)權(quán)利要求10所述的無線通信系統(tǒng)�,其中,上述第2無線通信裝置屬于第1無線通信組外��;該第2存儲裝置存儲上述基準安全級�����;上述第1存儲裝置存儲用于確定上述第1無線組的地址和上述基準安全級�;還與確定上述第2無線通信裝置的地址一起存儲上述第2無線通信裝置支持的第1和固有的安全級。
13.根據(jù)權(quán)利要求10所述的無線通信系統(tǒng)�,其中,上述第1發(fā)送幀還包含描述了其第1無線通信裝置的地址的字段����。
14.根據(jù)權(quán)利要求10所述的無線通信系統(tǒng),其中�,上述第1存儲裝置存儲與第2和第3安全級對應(yīng)的加密的相關(guān)參數(shù)��。
15.根據(jù)權(quán)利要求10所述的無線通信系統(tǒng)���,其中,第1無線通信裝置接收包含連接許可的字段的第2發(fā)送幀時����,將包含存放加密的數(shù)據(jù)的字段的第3發(fā)送幀發(fā)送到上述第1無線通信裝置;上述第2無線通信裝置接收第3發(fā)送幀��,用與加密相關(guān)的1個參數(shù)將加密數(shù)據(jù)解密�。
16.一種無線通信系統(tǒng),它包括屬于第1無線通信組的無線通信裝置和第2無線通信裝置����;該屬于第1無線通信組的無線通信裝置包括第1存儲裝置和第1發(fā)送幀生成發(fā)送裝置;該第1存儲裝置從該無線通信裝置支持的與非加密相當?shù)牡?安全級和分別根據(jù)加密方式和其加密強度確定的第2和第3安全級中選擇出的1個作為固有的基準安全級確定到第1無線通信組��,存儲該基準安全級和第1-3安全級����;該第1發(fā)送幀生成發(fā)送裝置生成具有寫入了上述基準安全級的字段的第1發(fā)送幀并發(fā)送,為第2和第3無線通信裝置����,相互按第1安全級和固有安全級中的一方維持通信狀態(tài)�����,第2無線通信裝置包括接收部、第2發(fā)送幀生成裝置�����、發(fā)送部���;該接收部接收上述第1發(fā)送幀����;該第2發(fā)送幀生成裝置比較上述第1發(fā)送幀中的1和固有的安全級的一方與上述基準安全級�����,決定當該一方安全級比上述基準安全級低時拒絕與第1無線通信裝置的連接的連接拒絕和當一方的安全級不低于上述基準安全級時許可與第1無線通信裝置的連接的連接許可�,生成包含描述了一方安全級的字段和記載了上述連接拒絕和連接許可中的一方的字段的第2發(fā)送幀;該發(fā)送部向上述第1無線通信裝置發(fā)送上述第2發(fā)送幀��。
17.根據(jù)權(quán)利要求16所述的無線通信系統(tǒng)���,其中���,上述第1無線通信裝置廣播上述基準的安全級����。
18.根據(jù)權(quán)利要求16所述的無線通信系統(tǒng)��,其中�,上述第1發(fā)送幀還包含描述了該第1無線通信裝置的地址的字段。
19.根據(jù)權(quán)利要求16所述的無線通信系統(tǒng)��,其中����,上述第1存儲裝置存儲與第2和第3安全級對應(yīng)的加密的相關(guān)參數(shù)。
20.根據(jù)權(quán)利要求16所述的無線通信系統(tǒng)�����,其中���,第1無線通信裝置接收包含連接許可的字段的第2發(fā)送幀時�����,將包含存儲了加密數(shù)據(jù)的字段的第3發(fā)送幀向上述第1無線通信裝置發(fā)送����;上述第2無線裝置接收第3發(fā)送幀,按與加密相關(guān)的參數(shù)s的1個將加密數(shù)據(jù)解密�。
21.一種無線通信方法,包括以下程序從第1發(fā)送側(cè)接收包含描述了某一安全級的字段的第1發(fā)送幀��;從與非加密相當?shù)牡?安全級和分別根據(jù)加密方式和其加密強度確定的第2和第3安全級中選擇出的1個作為固有的基準安全級確定到第1無線通信組并保持��;比較上述發(fā)送幀中的上述1個安全級與上述基準安全級���,決定當上述1個安全級比上述基準安全級低時拒絕與第1無線通信裝置的連接的連接拒絕和當上述1個安全級不低于上述基準安全級時許可與第1無線通信裝置的連接的連接許可,生成描述了上述連接拒絕和連接許可中的一方的第2發(fā)送幀����;向上述第1發(fā)送側(cè)回復(fù)上述第2發(fā)送幀。
全文摘要
一種通信系統(tǒng)�����,包含第1和第2通信組��,該第1和第2通信組由分別具有至少1個安全級的多個無線通信裝置構(gòu)成����;其中��,屬于第1通信組的第1無線通信裝置從屬于第2通信組的第2無線通信裝置接收連接要求時��,從該第2無線通信裝置通知的第1安全級與第1無線通信裝置具有的安全級一致�,而且�����,如在預(yù)先設(shè)定于第1通信組的最低安全級別的安全級以上����,則許可第2無線通信裝置的連接,如第1安全級不到該最低級別時�,拒絕與第2無線通信裝置的連接。
文檔編號H04L12/56GK1430342SQ02159339
公開日2003年7月16日 申請日期2002年12月26日 優(yōu)先權(quán)日2001年12月26日
發(fā)明者足立朋子, 利光清 申請人:株式會社東芝