无线通信装置、无线通信系统、及无线通信方法.pdf

无线通信装置、无线通信系统、及无线通信方法
    【技术领域】

    本发明涉及一种无线通信装置、无线通信系统、及无线通信方法，特别是涉及由多个无线终端装置和接入点构成的无线通信系统。

    背景技术

    作为无线LAN，已知有基于IEEE802.11(IEEE802.11系统包含IEEE802.11a系统和IEEE802.11b系统)的无线LAN系统(ISO/IEC8802-11：1999(E)ANSI/IEEE Std 802.11，1999出版)。在该无线系统中，作为加密方式，适用了与有线一样可确保机密的WEP(有线等效机密)的方式。因此，在基于IEEE802.11的无线LAN的安全级中，具有适用WEP的状态(模式)和不适用WEP的状态(模式)。

    在实际的依据IEEE802.11的无线LAN产品中，可进行适用WEP这样的加密方式的WEP模式和不适应的非WEP模式中的任一种通信，另外，在适用了WEP的WEP模式中，存在加密的级别不同的64位和128位的加密模式，将其中的任一个适用于无线LAN实现通信。在这里，加密地级别越高，则安全级越高，意味着进行了更强的加密。

    作为依据IEEE802.11的无线LAN的一形式，具有由1台的接入点(以下也称基站(access point))和连接到该接入点的多个无线客户(以下也称终端)构成的基本业务单位(BSS)这样的构成单位，具有准备多个BSS构筑网络的系统。

    连接该BSS间的构造单元被称为分布系统(DS)。基站具有与该DS连接的功能，信息通过接入点在BSS与DS之间传递。因此，终端也可通过接入点与属于其它BSS的终端通信。

    终端属于BSS，为了通过基站与属于其它BSS的终端通信，在与基站之间实施鉴别和相联手续。另外，当终端重新与其它接入点连接时实施再联手续。

    在由IEEE802.11规定的无线LAN中，作为交换的帧的种类，具有用于接入控制的控制用帧、以信标为代表的管理用帧、及数据通信用的数据帧。在这里，鉴别、相联、及再联的处理使用管理用帧。

    在终端与接入点之间发收数据帧的场合，必定在其之前实施鉴别和相联处理。

    在由IEEE802.11规定的无线LAN中，终端向基站询问是否使用作为加密方式的WEP。即，在鉴别请求中，终端向基站要求使用WEP，接收了该要求的基站在可使用WEP的场合，在基站与终端之间发收鉴别帧。根据这样的鉴别帧的发收可使用WEP。

    作为由IEEE802.11规定的无线LAN的其它形式，具有单独存在的BSS，将其称为IBSS(独立基本业务单位)。在IBSS中，不准备接入点，IBSS相当于终端直接相互通信的通信形式。另外，在IBSS中，不实施相联处理，同样，也不实施再联处理。在该IBSS中，终端间不经过鉴别处理也进行数据帧的发收。

    这样，在现有的无线LAN中，作为一种安全对策，将通信数据加密。通信时是否使用加密功能(WEP功能)，由发出连接要求的一侧例如终端向接收连接要求的一侧例如接入点要求。在接收了该要求的基站侧，如可使用满足该要求的WEP功能，则接受该要求，将与该终端之间的数据通信加密。另外，按何种安全级实施通信也以发出连接要求的一侧为主导地确定。

    可以推测，今后除了WEP以外，比WEP安全级更高的加密方式等、加密的级别不同的多种加密方式将在无线LAN中采用。因此，要求可相应于加密方式的种类、加密级别等设定极为细致的安全级。

    然而，在过去的无线LAN中，对各BSS，为了确保安全性，预先规定最低的加密级别，不仅不能制作仅容许具有这以上的级别的加密的通信的系统，而且，存在通信时不能设定与加密方式的种类、加密强度等对应的极为细致的安全级的问题。

    另外，由于在IBSS发送数据帧时不需要鉴别，所以，存在发送未加密的数据帧而不能确保系统内的安全性的问题。

    另外，如不能对于各BSS确保预先设定于该BSS的安全级，则同样存在进行多个BSS间的通信的DS通信也不能确保在各BSS设定的安全级的问题。

    发明的公开

    本发明的目的在于提供一种对于每个无线LAN的基本组可确保对各组预先设定的由加密实现的最低限度的安全级地进行无线通信的无线通信装置、无线通信系统、及无线通信方法。

    按照本发明，提供一种无线通信装置，该无线通信装置属于接收从其它无线通信装置发送的第1发送帧的第1无线通信组；其中，第1发送帧包含描述了某一安全级的字段，该无线通信装置包括存储装置、安全级确定装置、第2发送帧生成装置、及发送部；该存储装置存储与非加密相当的第1安全级和分别根据加密方式和其加密强度确定的第2和第3安全级；该安全级确定装置将从上述第1-第3安全级中选择出的1个作为固有的基准安全级确定到第1无线通信组；该第2发送帧生成装置比较上述发送帧中的上述1个安全级和上述基准安全级，决定当上述1个安全级比上述基准安全级低时拒绝与第1无线通信装置的连接的连接拒绝和当上述1个安全级不低于上述基准安全级时许可与第1无线通信装置的连接的连接许可，生成描述了上述连接拒绝和连接许可的第2发送帧；该发送部向上述第1无线通信装置发送上述第2发送帧。

    另外，按照本发明，无线通信系统包括属于第1无线通信组的无线通信装置和第2无线通信装置；该属于第1无线通信组的无线通信装置包括第1存储装置和第1发送帧生成发送装置；该第1存储装置从该无线通信装置支持的与非加密相当的第1安全级和分别根据加密方式和其加密强度确定的第2和第3安全级中选择出的1个作为固有的基准安全级设定到第1无线通信组，存储该基准安全级和第1-3安全级；该第1发送帧生成发送装置生成具有写入了上述基准安全级和第1-3安全级的字段的第1发送帧并发送；第2无线通信装置包括接收部、第2存储装置、第2发送帧生成装置、发送部；该接收部接收上述第1发送帧；该第2存储装置存储该无线通信装置支持的第1安全级和分别根据加密方式和其加密强度确定的固有安全级；该第2发送帧生成装置分别比较上述第1发送帧中的1和固有的安全级与上述基准安全级，决定当固有的安全级比上述基准安全级低时拒绝与第1无线通信装置的连接的连接拒绝和当第4安全级不低于上述基准安全级时许可与第1无线通信装置的连接的连接许可，生成包含描述了固有安全级的字段和记载了上述连接拒绝和连接许可中的一方的字段的第2发送帧；该发送部向上述第1无线通信装置发送上述第2发送帧。

    另外，按照本发明，无线通信系统包括属于第1无线通信组的无线通信装置，该属于第1无线通信组的无线通信装置包括第1存储装置和第1发送帧生成发送装置；该第1存储装置从该无线通信装置支持的与非加密相当的第1安全级和分别根据加密方式和其加密强度确定的第2和第3安全级中选择出的1个作为固有的基准安全级确定到第1无线通信组，存储该基准安全级和第1-3安全级；该第1发送帧生成发送装置生成具有写入了上述基准安全级的字段的第1发送帧并发送。

    另外，按照本发明，无线通信方法包括以下程序：从第1发送侧接收包含描述了某一安全级的字段的第1发送帧；从与非加密相当的第1安全级和分别根据加密方式和其加密强度确定的第2和第3安全级中选择出的1个作为固有的基准安全级确定到第1无线通信组并保持；比较上述发送帧中的上述1个安全级与上述基准安全级，决定当上述1个安全级比上述基准安全级低时拒绝与第1无线通信装置的连接的连接拒绝和当上述1个安全级不低于上述基准安全级时许可与第1无线通信装置的连接的连接许可，生成描述了上述连接拒绝和连接许可中的一方的第2发送帧；向上述第1发送侧回复上述第2发送帧。

    附图的简单说明

    图1为示意地示出本发明实施形式的通信系统的框图。

    图2为示出图1所示基站的电路构成的一例的框图。

    图3为示出图1所示无线终端的电路构成的一例的框图。

    图4为示出图1所示通信系统的基站和终端台之间传送的由IEEE802.11规定的MAC帧的构造的示意图。

    图5为示出图1所示通信系统的基站或终端具有的安全表的一具体例的表。

    图6为示出图1所示通信系统的基站或终端具有的安全表的另一具体例的表。

    图7为示出用于说明图1所示通信系统的基站和终端的处理动作的一例的流程图。

    图8A为示出图1所示通信系统的基站和终端台之间传送的由IEEE802.11规定的鉴别帧构造的示意图。

    图8B为示出描述于图8A的帧的项目的内容的表。

    图9A和9B为示出图1所示通信系统的基站和终端台之间传送的由IEEE802.11规定的相联请求帧和相联响应帧的构造的示意图。

    图10为示出图1所示通信系统的基站或终端具有的更新了的安全表的具体例的表。

    图11为示出从图1所示通信系统的基站通往终端的由IEEE802.11规定的信标帧构造的示意图。

    图12为示出从图1所示通信系统的基站向终端通知预先设定到基站属于的BSS的最低级别的安全级、向基站要求连接的处理手续的流程图。

    图13为示出利用图1所示通信系统的基站和终端之间传送的相联响应帧通知安全级、检查该安全级的处理手续的流程图。

    图14A和图14B为示出图1所示通信系统的基站和终端台之间传送的由IEEE802.11规定的再联请求帧和再联响应帧的构造的示意图。

    图15为示出利用图1所示通信系统的基站和终端之间传送的再联响应帧通知安全级、检查该安全级的处理手续的流程图。

    图16为示意地示出本发明的另一实施形式的通信系统的框图。

    图17为用于说明在图16所示通信系统中连接到另一无线通信装置的无线通信装置发出要求进一步连接到另一无线通信装置时的连接要求的一侧的处理手续的一例的流程图。

    图18为用于说明在图16所示通信系统中连接到另一无线通信装置的无线通信装置发出要求进一步连接到另一无线通信装置时的连接要求的一侧的处理手续的一例的流程图。

    图19为示意地示出本发明再另一实施形式的通信系统的框图。

    图20为用于说明图19所示通信系统的终端间进行无线连接的处理顺序的流程图。

    图21为用于说明图19所示通信系统的终端间进行无线连接时终端的处理动作的一例的流程图。

    图22为示意地示出本发明再另一实施形式的通信系统的框图。

    图23为用于说明图22所示通信系统的终端间进行无线连接的终端的处理动作的另一例的流程图。

    图24为示意地示出本发明再另一实施形式的通信系统的框图。

    实施发明的最佳形式

    下面参照附图说明本发明的无线通信系统的实施形式。

    首先，在以下实施形式的无线LAN系统中，可适用多种加密方式，其加密方式的种类得到区别，而且，预先设定对加密级别进行了规定的安全级。当存在对多种加密方式分别不同的级别时，对其某一种类的加密方式的1个加密级别，相应于加密强度的程度设置级别，分别设定1个安全级。因此，即使具有相同的加密强度，如加密方式的种类不同，则作为其安全级提供不同的级别。例如，作为安全级，从加密强度低的一侧起依次如enc.0、enc.1、enc.2、…enc.(n-1)那样具有n个。同一强度的加密方式即使具有多个，也按其种类设定级别不同的安全级。这样，在1个安全级中，有1个种类的加密方式对应，而且，即使是同一种类的加密方式，当根据加密强度的不同存在不同的级别时，规定与各级别对应的安全级。

    在由现行的IEEE802.11规定的无线LAN系统中，安全级的最低级别与不加密相当，即与不适应WEP(有线等效机密)的级别相当。

    在现行的由IEEE802.11规定的无线LAN产品中，即使在适用WEP的场合，也由64位或128位构成WEP那样地具有2个级别。因此，在以下的说明中，作为多个安全级，与由现行的IEEE802.11规定的无线LAN同样，也以(1)“具有WEP”、(2)“没有WEP”、(3)“具有WEP，利用64位的WEP”、(4)“具有WEP，利用128位的WEP”这样3个级别的场合为例进行说明。在该场合，安全性最高的场合为(4)“具有WEP，利用128位的WEP”，而(3)“具有WEP，利用64位的WEP”具有仅次于它的较高安全性。即“enc.0”与(2)“没有WEP”相当，“enc.1”与(3)“具有WEP，利用64位的WEP”相当，“enc.2”与(4)“具有WEP，利用128位的WEP”相当。

    在以下的说明中，仅说明WEP这样的1种加密方式的场合。然而，即使是WEP以外的加密方式，如可相应于加密方式的种类的不同和安全的强度设定多个级别，则可与以下实施形式的说明同样地在任何加密方式中适用本发明。

    在以下的本发明的实施形式中，说明将本发明适用到由IEEE802.11规定的无线LAN系统的场合。特别说明将本发明的的无线通信装置适用于构成由IEEE802.11规定的无线LAN系统的基站或终端的场合。

    (第1实施形式)

    首先，在本发明的第1实施形式中，作为无线通信系统，说明由多个终端例如2个终端(WL11-WL12)和与该终端(WL11-WL12)无线连接的基站AP1构成1个BSS(基本业务单位)的通信系统。

    图1示意地示出第1BSS(以下简称BSS1)。BSS1由作为接入点的基站AP1和与基站AP1连接的多个终端构成，该多个终端例如在这里为2个无线终端(以下称终端)WL11、WL12。

    图1还示出属于与第1BSS1不同的第2BSS(以下简称BSS2)的基站AP2和未加入到BSS1和BSS2的终端WL13。

    在BSS1设定在那里容许的最低安全级(enc_low)。在该实施例的无线通信系统中，BSS1容许的最低安全级(enc_low)为安全级“enc.1”。在图1中，enc_low＝enc.1表示容许的最低的安全级(enc_low)为安全级“enc.1”。在基站AP1中，除了“enc.1”这样的安全级外，还支持比安全级“enc.1”级别更高的安全级“enc.2”。因此，在BSS1中可使用的最高安全级(enc_high)成为“enc.2”。在图1中，enc_high＝enc.2表示最高安全级(enc_high)为“enc.2”。基站AP1和连接到该基站AP1的终端或基站按“enc.1”以上的安全级通信这一信息预先设定到基站AP1。同样，将在与用于中继该基站AP1地与其它装置通信的终端或基站之间按“enc.1”以上的安全级通信这一点预先设定到基站AP1。

    另一方面，终端WL11具有的安全级为“enc.0”和“enc.1”，终端WL12具有的安全级为“enc.0”、“enc.1”、“enc.2”。

    图2示出图1所示基站AP1的电路构成的框图。在以下说明中，当需要区别基站AP1与基站AP2时或在进行对双方相同的说明时，简单地称基站AP。

    如图2所示，在接收部11由天线20接收来自终端的发送信号，由包含解调和解码的处理生成接收信号。在发送部12，生成应通过天线20向向终端发送的发送信号，这些发送信号供给天线20。

    来自接收部11的接收信号输入到接收控制部13，实施例依据IEEE802.11系统(在以下说明中，IEEE802.11系统包含IEEE802.11a系统和IEEE802.11b系统)的规定的接收处理等。在该接收控制部13，实施与基站支持的多个安全级分别对应的解码处理，接收信号解密后，变换成解密数据。该解密数据供给信息处理部15，分成视频、音频、文本等数据，实施必要的处理。

    发送控制部14根据从信息处理部15供给的数据，实施生成用于向终端按广播或单播发送的数据等依据IEEE802.11的规定的发送处理等。在该发送控制部14，对应于发送的数据实施与基站支持的多个安全级对应的加密处理。由发送控制部14生成的数据通过发送部12作为发送信号发送到终端。图2所示安全表21将在后面说明。

    图3由框图示意地示出图1所示终端WL11、WL12、WL13的电路构成的一例。在以下的说明中，当不需要区别终端WL11、WL12、WL13等时或在进行对所有终端相同的说明的场合，简称为终端WL。

    终端WL包括天线100、通过天线100接收信号的接收部101、控制接收部101的接收控制部105、通过天线100发送信号的发送部107、控制该发送部107的发送控制部106、生成发送的数据或处理接收的数据的例如显示于图中未示出的显示部的信息处理部108、及安全表110。

    信息处理部108从与该信息处理部108连接的有线网络109接收数据，或根据由使用者的操作生成的数据制作发送数据。该发送数据在用户指示该发送数据的发送而产生发送要求时，接收该发送要求，将发送数据转移到发送部107。在发送部107，将该发送数据变换成按规格确定的数字数据，例如将IP分组变换成按IEEE802.11规定的MAC帧(媒体访问控制帧)，作为数字数据的MAC帧变换成规定频率例如2.4GHz的无线信号，从天线100作为电波发送。

    另一方面，由天线100接收到的接收信号由接收部101变换成作为数字数据的MAC帧，从该MAC帧中的信息字段取出接收数据，送到信息处理部108。该信息处理部108进行将接收数据显示到显示器的处理等。信息处理部108也可进行上述以外的各种各种信息处理。另外，安全表110在后面说明。

    由IEEE802.11规定的MAC帧如图4所示那样由存放了各种控制信息的最大30字节的MAC标题、存放了最大2312字节数据的数据字段(帧正文)、及用于调查是否正确地传送了数据的帧检验系列(FCS)字段构成。MAC标题包含存放对MAC帧进行控制的信息的帧控制字段、终端发送数据之前的等候(指令时间)、及描述了BSS的ID的等候时间/ID字段。如BSS具有基站AP，则作为该BSS的ID描述基站AP的MAC地址。另外，在MAC标题准备有从地址1的字段到地址4的字段和顺序控制字段。在地址1的字段描述了通信系统内的最终的目的地址的MAC地址，在地址2的字段描述了通信系统内的源地址的MAC地址，在地址3的字段描述直接发送该MAC帧的发送目的地的MAC地址，在地址4的字段描述了直接发送该MAC帧的源地址的MAC地址。

    在MAC帧的帧控制中，设置了描述有协议版本的协议版本字段，接在其后设置类型字段和子类型字段。在MAC帧具有以下3个类型，该类型描述于帧控制的类型字段(2位)。另外，该类型的子类型更详细地表示于子类型字段。即，作为类型具有(1)管理用帧、(2)访问控制用的控制用帧、(3)数据通信用的数据帧。在(1)管理用帧中作为子类型具有信标、鉴别帧或相联帧。另外，在(2)控制用帧中作为子类型具有ACK(确认)、RTS(Return To Send)、或CTS(Cear To Send)那样的控制用帧。在子类型字段(4位)中更详细地示出上述那样的特定种类的MAC帧中的子类型。

    在帧控制中，包含有To DS字段(1位)和From DS字段(1位)。它们在MAC帧为数据帧时利用，在此外的种类的帧例如鉴别或相联的帧中，时常写入“0”，未利用。当MAC帧为数据帧时，如数据的目的地址为有线LAN，则1位描述到该From DS字段。在帧控制中准备保留字段、WEP字段、指令字段。保留字段用于用户的写入，但在本发明的实施例，如后面说明的那样，也可在该保留字段描述加密级。该加密级相应于发送数据的属性决定。如为要求机密性的内容数据，则确定高加密级，在该保留字段描述该加密级。该保留字段的加密级也可在接入点与终端之间的信号交换时利用。在WEP字段，当利用WEP的场合，描述1位。

    再次参照图1说明BSS1。

    在图1所示BSS1中，预先确定按预先确定到该BSS1的最低限的安全级(在这里为“enc.1”)实施通信。即，构成BSS1的基站AP1和终端WL11-WL12分别在安全级“enc.1”或基站AP1支持的安全级的范围内实施“ enc.1”以上的安全级的通信。

    在基站AP1和终端WL11-WL12分别设置存储部，在该存储部设置安全表。在基站AP1的安全表中存储有基站AP1自身支持的安全表、在该安全表上BSS1中最低级别的安全级为哪一个、终端WL11和WL12分别支持的安全级为哪一个。另外，最好在该安全表中还存储作为各安全级的加密·解密所需要的信息的密钥或生成密钥用的种子值信息等(这样的加密·解密所需要的信息在这里简单地称为加密参数)。另外，终端WL11-WL12也分别具有存储安全表的存储部，BSS1支持的安全级中的最低级别的安全级、其它终端支持的安全级、及与各安全级对应的加密参数等存储于安全表。

    如图5所示，在基站AP1的安全表21中，预先与作为各安全表的加密·解密所需要的数据的加密参数一起登录由该基站AP1属于的BSS1支持的安全级、属于BSS1的所有终端WL11-WL12具有的安全级。另外，在该安全表21可识别地登录作为基站AP1属于的BSS1中的最低级的安全级设定的安全级。在图5中，记录有相对安全级“enc.1”意指最低级别的“○”标记。

    加密参数作为一例在WEP的场合可设想有由IEEE802.11规定的密钥(key1，key2)和IV(初始化矢量)等。在以下说明中，安全级和与该安全级对应的加密参数有时称为安全信息。

    图6示出BSS1内的终端WL11-WL12的安全表110的登录内容。如图6所示，在终端侧的安全表中预先登录有BSS1内的各终端和基站AP1具有的安全信息。作为与基站AP1对应的安全信息，如图6所示那样，也可仅登录该基站AP1属于的BSS1中预先设定的最低级别的安全信息。另外，终端的安全表110也可与图5所示基站侧的安全表21安全相同。

    另外，登录于图5和图6所示安全表的基站AP1和各终端的安全级只要在预定的BSS1的最低级别以上即可。另外，对于与各终端对应的安全信息，也可在BSS1内仅登录实际通信时利用的安全级。

    另外，图5和图6所示安全表在BSS1的初期设定时设定。初期设定时，例如图5、图6所示形式的表也可作为设定画面显示，在该画面上输入设定事项。在图5和图6所示表中，AP1、WL1、WL2分别由基站AP1、终端WL1、WL2的MAC地址确定。

    在图1所示BSS1中，按相对该BSS1预先设定的最低限的安全级“enc.1”以上的安全级在基站AP1和终端WL11-WL12间实施通信。

    下面，参照图7所示流程图说明在图1所示BSS1的基站AP1连接未加入到该BSS1的终端WL13的场合。

    终端WL13接收从基站AP1发送的由IEEE802.11规定的信标帧。按照IEEE802.11的规定，在接收信标帧后，进行鉴别和相联协议，在用于该鉴别或相联的帧中，作为通知基站AP1的信息写入终端WL13的安全级。

    在图7中作为一例示出由鉴别帧将终端WL13的安全级通知基站AP1的场合的顺序。在该顺序中，假定终端WL13具有的安全级为“enc.0”、“enc.1”。

    图8A示出由IEEE802.11规定的的图4所示的作为MAC帧的鉴别帧的帧正文格式。在鉴别帧中描述有用于区别不利用通用密钥的开放系统和利用通用密钥的通用密钥系统的鉴别算法。在鉴别算法编号中例如对于开放系统描述“0”，对通用密钥系统描述“1”。在由鉴别算法编号0确定的开放系统中，如图8B所那样，作为鉴别请求帧(鉴别请求)准备鉴别业务序号(ATSN)＝1和＝2的帧。ATSN＝1的鉴别帧从终端WL送到基站AP1，其状态码字段被保留。ATSN＝2的鉴别帧从基站AP1送到终端WL，在其状态码作为状态记载了连接拒绝或连接许可的码。在由鉴别算法编号0确定的开放系统中，鉴别帧未准备加密的询问文本。在通用密钥系统中，作为鉴别请求帧(鉴别请求)准备鉴别业务序号(ATSN)＝1-4的帧。ATSN＝1或3的鉴别帧从终端WL送到基站AP1，其状态码被保留。ATSN＝2或4的鉴别帧从基站AP1送到终端WL，在其状态码作为状态记载有连接拒绝或连接许可的码。在通用加密系统中，在ATSN＝2和3的鉴别帧中准备有加密的询问文本，在ATSN＝1和4的鉴别帧中未准备加密的询问文本。

    由ATSN＝1确定的鉴别帧从发送连接要求一侧发送。在该要求帧中，其状态码字段被保留，现在未使用。因此，在该状态码字段可写入发出连接要求的一侧的安全级“enc.1”或“enc.2”。在以下的实施的说明中，写入发出连接要求的一侧的安全级“enc.1”或“enc.2”。在该ATSN＝1的鉴别帧，将示出在终端WL13的发送部107用于与基站AP1的通信的安全级(例如“enc.1”)的数据写入其状态码的项，该ATSN＝1的鉴别帧如图7的步骤S2的示那样，发送到基站AP1。该安全级也可写入到图4所示MAC帧的保留字段。

    下面说明接收了ATSN＝1的鉴别帧的基站AP1的处理动作。如已经记载的那样，从基站AP1时常发出的信标如步骤S1所示那样由终端WL13检测。响应该检测，终端WL13的发送控制部106准备ATSN＝1的鉴别帧，参照安全表110将安全级“enc.1”或“enc.2”写入到该帧的规定部位例如帧正文中的状态码。写入安全级的鉴别帧将与由终端WL13的发送控制部106检测出的信标帧对应的基站AP1作为目的地址指定到地址2，如步骤S2所示那样发送到基站AP1。基站AP1接收鉴别帧，基站AP1的接收控制部13将写入到接收的ATSN＝1的鉴别帧的规定部位例如帧正文中的状态码的终端WL13的安全级“enc.1”或“enc.1”取出，与登录到基站AP1的安全表21的BSS1的最低级别的安全级“enc_low”比较。如步骤S3所示那样，当从终端WL13通知的该终端WL13的安全级“enc.1”或“enc.1”为基站AP1支持的安全级“enc.1”或“enc.1”而且在BSS1内的最低级别的安全级“enc_low”以上时，判断许可终端WL13的连接。终端WL13的安全级不为基站AP1支持的安全级的场合或为基站AP1支持的安全级但不到BSS1的最低级别“enc_low”的安全级时，判断为拒绝终端WL13的连接。

    在步骤S3中，当基站AP1拒绝终端WL13的连接时，根据IEEE802.11的规定，ATSN＝2的鉴别帧由发送控制部12准备，向其状态码写入表明连接失败这一状态的码，如步骤S4所示那样向终端WL13回复ATSN＝2的鉴别帧。终端WL13如步骤S5所示那样判断描述了拒绝连接这一信息的ATSN＝2的鉴别帧的接收是否为第N次。该N次相当于写入到终端侧的安全表110的安全级数(＝N个)。当初，基站AP1支持的安全级为较低的级别，终端WL13将该较低级别的安全级通知基站，当被拒绝时，提高其安全级，如步骤S2所示那样通知提高了的安全级。通知终端侧的安全表110支持的N个安全级，如步骤S5所示那样，当终端WL13经过N次接收ATSN＝2的鉴别帧时，判断被基站AP1拒绝连接，在该阶段如步骤S15所示那样中断连接手续。

    另一方面，在许可终端WL13的连接的场合，基站AP1为了与终端WL13共有与从终端WL13通知的安全级对应的加密参数，如步骤S6所示那样根据IEEE802.11的规定，准备发送询问文本的ATSN＝2的鉴别帧，在该鉴别帧的状态码写入表明连接成功的状态的码，如步骤S6所示那样向终端WL13回复。

    在终端WL13中，当接收ATSN＝2的鉴别帧时，确定基站AP1与终端WL13间的安全级例如安全级“enc.1”。另外，终端WL13作为与安全级对应的加密参数，使用由用户预先获得的IV和密钥，根据IEEE802.11的规定，如步骤S7所示那样使用终端WL13具有的WEP功能将包含询问文本等的帧正文加密。另外，终端WL13准备ATSN＝3的鉴别帧，在该帧正文中存储加密了的询问文本，如步骤S8所那样发送到基站AP1。

    在接收了ATSN＝3的鉴别帧的基站AP1中，同样根据IEEE802.11的规定，由与终端WL13共有的基站AP1具有的密钥如步骤S9所示那样对接收的ATSN＝3的鉴别帧中存储的加密询问文本解密。该解密后的询问文本与发送的询问文本比较，如步骤S10所示那样根据其比较结果验证加密·解密。

    如验证结果为“失败”，同样根据IEEE802.11的规定，准备通知该状态的ATSN＝4的鉴别帧，将表明验证结果“失败”这一状态的码写入到其状态码中，如步骤S11所示那样，将ATSN＝4的鉴别帧回复到终端WL13。验证结果的“失败”意味着加密方式在基站AP1与终端WL13不同。因此，如步骤S14所示那样，确认ATSN＝4的鉴别帧在M次以内，改变终端WL13的加密方式，返回到步骤S2，反复进行步骤S2-步骤S10。在这里，M次对应终端WL13准备的加密方式的个数，终端WL13可接收M次ATSN＝4的鉴别帧。这样，终端WL13即使接收M次ATSN＝4的鉴别帧，在加密方式不一致的场合，终端WL13被判断拒绝与基站AP1的连接。因此，在终端侧，未准备基站AP1提供的加密方式，如步骤S15所示那样结束连接手续。

    另一方面，如步骤S10的验证结果为“成功”，则基站AP1如步骤S12所示那样那样同样地根据IEEE802.11的规定，将通知该状态的ATSN＝4的鉴别帧发送到终端WL13。在终端WL13，当接收该帧时，如步骤S12所示那样，开始作为以下顺序的由IEEE802.11规定的相联。即，终端WL13将步骤S13所示那样的相联请求帧送到基站AP1，响应该请求，基站AP1实施返回到相联响应终端WL13的那样的根据IEEE802.11的处理动作。相联正常结束后，在终端WL13与基站AP1之间，进行数据帧的发收。该发收的数据帧由64位的WEP功能加密。

    在终端WL13和基站AP1中，在确定其终端WL13和基站AP1间的通信安全级和加密参数时，将相互的安全信息登录到其安全表21、110。即，在终端WL13中，由图7所示步骤S7获得加密参数后，将基站AP1的安全信息登录到安全表110。另外，在基站AP1中，由图7的步骤S10验证成功后，将终端WL13的安全信息登录到安全表21。即，图4所示MAC帧的地址2示出终端WL13，按与该地址2的关系将安全信息登录到该安全表21。在基站AP1的安全表如图10所示那样重新登录“连接目标”为终端WL13的安全信息。在终端WL13的安全表也同样地重新登录“连接目标”为基站AP1的安全信息。即，图4所示MAC帧的地址2示出基站AP1，按与该地址2的关系将安全信息登录到终端WL13的安全表110。该新追加的终端WL13的安全信息的安全级与终端WL13在图7的步骤S2中要求的安全级相当。

    另外，如在终端侧的安全表中登录基站的安全信息，则终端可预先选择该基站的最低级以上的安全级，结果，在步骤S33中，不会从该基站拒绝连接。在这里，基站的安全信息至少具有预先设定到该基站属于的BSS的最低级别以上的安全级。换言之，当终端再次连接到基站时，对于基站，可从终端自身支持的安全级中选择由基站确定的最低级别以上的安全级，如图7中的步骤S2所示那样将该安全级通知基站。

    另外，最好在基站AP的安全表中作为与终端WL相关的安全信息至少登录该基站属于的BSS中预先确定的最低级enc_low以上的安全级的安全信息。在该登录中，关于基站属于的BSS，由图4所示MAC帧中的地址1确定BSS，该地址和安全级描述于安全表中。如具有与这样的BSS相关的登录，则从基站到该终端的单播通信所用的安全级可预先选择在该最低级别以上而且可由该终端支持的安全级。另外，向基站AP属于的BSS内的终端WL的多播通信、广播通信中的安全级也可预先选择在该最低级别enc_low以上而且由应对其进行接收的所有终端支持的安全级。即，如图7的步骤S5所示，当由基站AP1拒绝连接时，通知与先前通知的安全级不同的最好为更高级别的安全级，再次要求连接。可在一个一个通知终端WL13具有的安全级的同时进行最大规定次数M的连接要求。

    基站AP1也可相对作为连接要求源的终端WL13通知在BSS1中预设定的最低级别的安全级enc_low或基站AP1支持的最低级别以上的安全级。该通知也可使用由IEEE802.11规定的MAC帧的管理用帧、控制用帧中现在未使用的帧进行通知。例如，在管理用帧中，与子类型为“0110”-“0111”等的帧相当，在控制用帧中，与子类型为“0000”-“1001”等的帧相当。在图7所示步骤S4中，当基站AP1拒绝终端的连接时，也可在发送ATSN＝2的鉴别帧后发送该未使用的帧，通知所有最低级别enc_low以上的安全级。另外，在步骤S4或步骤S6中，也可在发送ATSN＝2的鉴别帧之前发送未使用的帧，通知所有最低级别enc_low以上的安全级。另外，也可在鉴别或相联的处理期间或数据帧的发送开始之前等适当的时刻发送未使用的帧，通知所有最低级别enc_low以上的安全级。

    在由IEEE802.11规定的MAC帧的相联帧，如图9A和9B所示那样，在该帧正文的“能力信息”内作为未使用区域设置保留区域。也可利用该未使用区域，由基站AP1向作为连接要求源的终端WL13通知BSS1的最低级别的安全级enc_low或基站AP1支持的该最低级别enc_low以上的所有安全级。

    这样，在上述第1实施形式中，当要将属于BSS1内的终端WL11、WL12以外的不属于BSS1内的终端WL13连接到基站AP1的场合，首先

    (1)该终端WL13向基站AP1通知终端WL13自身的安全级。在图7所示流程中，该通知利用鉴别帧。

    (2)在基站AP1中，从该终端WL13通知的安全级为由基站AP1支持的安全级，而且，当为预先设定到BSS1的最低级别enc_low的安全级以上时，许可WL13的连接，持续进行用于连接的处理动作。然而，当从终端WL13通知的安全级不到预先设定到BSS1的最低级别的安全级时，拒绝终端WL13的连接。

    (3)在许可来自终端WL13的连接的场合，根据需要，实施用于共有加密·解密的信息即加密参数的识别处理。

    这样，按照上述第1实施形式，对于BSS这样的无线LAN的基本组，实施确保对各组预先确定的加密最低限的安全级的无线通信。

    在上述(1)的场合，如终端WL13将终端WL13自身支持的安全级中的最高级别enc_high的安全级通知基站AP1，则基站AP1拒绝终端WL13的连接的机会变少。另外，如将最高级别enc_high的安全级通知基站AP1，则由1次的连接要求可判断是否能够与该基站AP1连接，这样，可减少无用的通信量。

    另外，BSS1内的基站或各终端最好在安全表登录分别设定到在与BSS1内的基站或终端通信时利用的BSS1中的最低级别enc_low以上的安全级的安全信息。基站或各终端可参照该安全表作为要求与由地址确定的所期望的终端或基站连接时通知的安全级预先选择连接不被拒绝的最低限的安全级。

    在上述第1实施形式中，在步骤S2中，终端WL13仅将希望在与基站AP1的通信中利用的1个安全级通知基站AP1，但很明显不限于该场合。终端WL13自身具有的全部或虽然不全部但为多个的安全级也可从终端WL13通知基站AP1。另外，也可仅将终端WL13支持的安全级中的最高级别的安全级enc_high从终端WL13通知基站AP1。

    下面说明在步骤S2中通知终端WL13自身具有的全部或虽然不是全部但至少为多个的安全级的场合的基站AP1的处理动作。

    在图7所示步骤S2中，将终端WL13自身具有的多个安全级发送到基站。在基站AP1中，由步骤S3判断在该安全级中是否包含与BSS1中的最低级别相当的安全级enc_low以上并由自身装置支持的安全级。基站AP1在包含支持的安全级时判断许可终端WL13的连接。另外，基站AP1在不包含支持的安全级时，判断终端WL13的连接被拒绝。在拒绝终端WL13的连接的场合，前进到步骤S4。当许可终端WL13的连接时，基站AP1接下来选择终端WL13和基站AP1都支持的安全级中的BSS1中的最低级别enc_low以上的安全级。当BSS1中的最低级别enc_low以上的安全级存在多个时，基站AP1选择其中的1个。关于该选择，具有其中最低、或最高、或其它各种选择基准，但可也可选择其中的任一个。基站AP1为将选择的1个安全级用于与终端WL13之间的通信的安全级。例如，当从终端WL13通知的安全级为“enc.0”和“enc.1”时，许可终端WL13向基站AP1的连接，终端WL13与基站AP1之间的通信安全级选择“enc.1”。

    在需要将该选择的安全级通知终端WL13的场合，也可在例如由图7的步骤S6发送ATSN＝2的鉴别帧之前等，使用上述的由IEEE802.11规定的MAC帧的管理用帧、控制用帧中的现在未使用的帧等。

    在终端WL13中，可接收选择的安全级的通知，进行此后的准备。

    在BSS1内，如为预先设定到BSS1的最低级别enc_low以上的安全级，则不一定非要在相同的安全级下通信。

    另外，在BSS1内，也可与连接对方台相应地按不同的安全级通信。即，在这里，如为预先设定到BSS1的最低级别enc_low以上的安全级，则对于基站AP1按哪个安全级与哪个终端通信不特别限定。通过按各终端不同的安全级使基站AP1通信，可提高无线通信的秘密性。

    图7说明了未加入到BSS1的终端WL13与基站AP1之间的连接时的动作，但也可将上述说明的终端WL13分别置换成加入到BBS1的终端WL11-WL12。终端WL11-WL12分别要与基站AP1连接时，如根据图7所示顺序，则由图7的步骤S2通知当时不同的安全级，连接时，可改变与其目的对应的安全级。在该场合，在各终端的安全表登录BSS1的最低级别的安全级，所以，选择各终端支持的安全级中的该最低级别以上的安全级，在步骤S2通知是安全级。另外，即使不改变安全级，此后的鉴别时，也可改变加密参数(WEP的场合为密钥和IV等)。

    同样，图7说明的从终端到基站的连接要求时的顺序也可用作从属于相互不同的BSS的基站向基站要求连接时的顺序。即，可将图7说明的终端WL13置换成基站AP1，将基站AP2置换成属于与BSS1不同的其它BSS的基站例如在这里为BSS2的基站AP2。这样，按照第1实施形式，在基站间的通信即DS通信中也可在各最低限的安全级以上实现通信。

    当BSS1内的终端例如终端WL11与相同BSS1内的另一终端例如终端WL12通信时可必须通过基站AP1连接到基站AP1进行通信，也可不通过基站AP1在终端间直接通信。

    终端WL11-WL12、基站AP1在要与登录于各安全表的对方台进行连接的场合，也可省略用于发收安全级和加密参数的鉴别等。在接收连接要求的一侧，如该帧的发送源登录于自身的安全表，则可参照该安全表按在BSS1内预先确定的最低级以上的安全级与要求源通信。

    在基站AP1和终端WL11-WL12的各安全表也可对各连接对方台仅登录过去在其间通信时使用的安全级的安全信息。该登录的安全信息与BSS1的最低级enc_low以上的安全级相当。

    在初期设定时，BSS1内的基站AP1和终端WL11-WL12的安全表也可记载完全相同的内容，对于图5所示那样的构成BSS1的各装置，登录其分别支持的全部安全级的安全信息和在BSS1中作为最低级别设定的安全级。

    另外，在BSS1内，基站AP1和终端WL11-12也支持在BSS1中容许的最低安全级即“enc.1”。因此，当终端WL11-WL12中的任一个在BSS1内多播、广播数据帧等时，该帧的帧正文按容许的最低安全级加密。这样，作为BSS1，可确保容许的最低的安全级。

    另外，在上述第1实施形式中，当在进行由IEEE802.11规定的鉴别时一并进行连接要求源支持的安全级的检验和为了由连接要求源和连接要求目标共有加密参数的识别处理，然而，也可将该2个处理分开，在由IEEE802.11规定的相联时对前者实施处理。另外，也可考虑先进行相联然后进行鉴别的场合。在该场合中，可在鉴别时集中进行上述2个处理，也可分开到在相联时和鉴别时进行。然而，在上述分开2个处理的场合，在共有加密参数的识别处理之前进行安全级的检验对确保安全有利。

    (第2实施形式)

    下面说明预先确定了最低限的安全级的图1所示那样的BSS1的基站广播在该BSS1中确定的最低限安全级的第2实施形式的通信系统。在该说明中，对于第2实施例的通信系统，省略与第1实施形式相同的说明，参照图12说明其不同点。

    在第2实施例的通信系统中，在由IEEE802.11规定的信标帧写入该BSS的最低限的安全级，发送该信标帧。

    图11示出具有由IEEE802.11规定的MAC帧的构造的信标帧的帧正文的格式。在该信标帧的“能力信息”内设置保留区域作为未使用区域。基站AP1在该保留区域中写入BSS1的最低级别的安全级或基站AP1支持的该最低级别以上的全部安全级或不为全部也为多个的安全级，并通知该安全级。

    基站AP1的发送控制部14在信标帧中写入BSS1的最低级别的安全级或基站AP1支持的该最低级别以上的全部安全级或不为全部也为多个的安全级，并进行广播。如图12的步骤S21所示那样，由终端接收该信标。信标也可由未加入到BSS1的终端例如图1所示终端WL13接收。

    在终端WL13的接收部101中，取出在由步骤S22所示那样接收的信标中写入的BSS1的最低级别的安全级，检验在如步骤S23所示那样由终端WL13支持的安全级是否存在BSS1的最低级别以上的安全级。在这里，终端WL13支持的所有安全级也可预先登录到终端WL13的安全表中。当在终端WL13的安全级中没有BSS1的最低级别以上的安全级时，拒绝与基站AP1的连接，结束其连接处理。

    在这里，BSS1的最低级别的安全级为“enc.1”，终端WL13支持“enc.0”和“enc.1”，所以，终端WL13可与基站AP1连接。在终端WL13的安全级存在BSS1的最低级别以上的安全级，所以，终端WL13选择该“enc.1”这样的安全级，开始向基站AP1的连接要求。即，前进到图7的步骤S2，通知选择的安全级，以下，进行与第1实施形式的说明同样的动作。

    但是，在该场合，由于从终端WL侧一定可通知最低级别以上的安全级，所以，在基站AP1中，也可省略图7的步骤S3。另外，终端WL13在步骤S2中选择终端WL13自身具有的安全级中的、由信标帧通知的BSS1的最低级别以上的安全级(这样的安全级具有多个时，选择全部或其中所期望的几个或其中的1个，例如安全级也可选择最高、或最低、或期望的安全级，在步骤S2通知到基站AP1。

    这样，预先设定了最低限的安全级的BSS1的基站AP1通过广播该BSS的最低限的安全级，从而使终端WL13预先选择可按自身支持的安全级连接的对方台开始连接，所以，可减少不需要的通信量。

    另外，终端WL13相对基站AP1发送探测要求帧(探测请求)，对此，基站AP1也可由探测的响应帧(探测响应)通知安全级。

    (第3实施形式)

    在上述第1实施形式中，说明了按该顺序实施由IEEE802.11规定的鉴别和相联的场合，但也可设想先进行相联后实施鉴别的场合。在第3实施形式中，对于该场合，以图1所示BSS1的场合为例参照图13所示流程图进行说明。

    在这里，也与第1实施形式同样，说明未加入到BSS1的终端WL13要求连接到BSS1的基站AP1的场合，并且仅说明与第1实施形式不同的部分。

    终端WL13如步骤S31所示那样接收从基站AP1发送的信标帧，此后，为了连接到基站AP1，如步骤S32所示那样将相联要求帧发送到基站AP1。

    如上述那样，在由IEEE802.11规定的MAC帧的相联帧如图9A和9B所示那样，在其帧正文的“能力信息”内准备有未使用区域即保留区域。终端WL13的发送部107在该保留区域中写入终端WL13支持的安全级中的至少所期望的1个，如步骤S32所示那样发送到基站AP1。例如，在这里，在终端WL13的发送部107中，写入表示自身具有的全部安全级(“enc.0”“enc.1”)中的1个“enc.1”的数据，发送到基站AP1。

    对其进行接收的基站AP1的处理动作与第1实施形式同样。即，基站AP1的接收控制部13将写入到接收的相联的要求帧(相联请求)的终端WL13的安全级取出，将该安全级与登录到基站AP1的安全表21的BSS1的最低级的安全级比较。从终端WL13通知的该终端WL13的安全级为基站AP1支持的安全级，而且，当在BSS1的最低级别的安全级以上时，如步骤S33所示那样判断许可终端WL13的连接。另外，当不到BSS1的最低级别的安全级以上时，如步骤S22所示那样判断拒绝终端WL13的连接。即，在拒绝终端WL13的连接的场合，例如根据IEEE802.11的规定，如步骤S34所示那样在相联的响应帧(相联响应的状态码)写入表示连接失败这一状态的码，回复到终端WL13。终端WL13通过接收该帧，判断被基站AP1拒绝连接，从而在该阶段中断连接手续。

    另一方面，在许可终端WL13的连接的场合，为了利用从终端WL13通知的BSS1的最低级别的安全级即“enc.1”进行通信，根据IEEE802.11的规定，在相联的响应帧(相联响应的状态码)写入表明连接成功这一状态的码，如步骤S36所示那样向终端WL13回复。

    将其接收后，在终端WL13中，根据IEEE802.11的规定，为了进行在终端WL13与基站AP1之间共有加密参数的认证处理，如步骤S37所示那样发送鉴别帧。鉴别帧的发送后的鉴别的处理根据IEEE802.11的规定实施。关于该处理，由于根据IEEE802.11的规定实施，所以，省略其说明。

    在该第3实施形式的场合，也可获得与第1实施形式的场合同样的效果，同时，当然可适用在第1实施形式中说明的那样的多种变形。

    (第4实施形式)

    下面，以图1所示无线LAN系统为例说明当某一终端在多个基站的区域间移动着通信时确保各区域即各BSS的安全级的手法。在该第4实施形式中说明在终端WL移动的状况即所谓移动环境下也能确保对于各基站属于的BSS分别预先设定的最低限的安全级的手法。基本上如上述第1实施形式说明的那样，在各BSS的基站中，当从终端接收连接要求时，要求该终端通知安全级，仅在安全级为在自身BSS预先设定的最低限的安全级以上的场合许可该终端的连接，在实施用于在基站与终端之间共有加密参数的认证处理这一点相同。

    在由IEEE802.11规定的无线LAN系统中，当图1的终端WL13连接到基站AP2时，在移动到基站AP1的区域内的场合，在终端WL13与基站AP1之间实施再联。当该再联手续正常地结束时，发收数据帧。

    在该第4实施形式中，从终端WL13向基站AP1利用再联的要求帧(再联请求)中未使用区域，通知终端WL13的安全级。

    下面，参照图15所示流程图说明在图1所示无线LAN系统中使终端WL13从基站AP2区域移动到基站AP1的区域、相对基站AP1实施再联的场合。在图15中，对与图13相同的部分采用相同符号，省略其说明，仅说明不同的手续。

    终端WL13如步骤S31所示那样接收从基站AP1发送的信标帧后，为了连接到基站AP1，如步骤S51所示那样将再联的要求帧发送到基站AP1。

    在由IEEE802.11规定的MAC帧的再联帧中，如图14所示那样，在其帧正文的“能力信息”中准备未使用区域即保留区域。

    终端WL13的发送部107如步骤S51所示那样在该保留区域写入终端WL13支持的安全级中的至少所期望的1个，发送到基站AP1。例如，在终端WL13的发送部107中，写入自身具有的全部安全级(“enc.0”“enc.1”)中的“enc.1”的数据，发送到基站AP1。

    接收该再联帧的基站AP1的处理动作由于与图13的说明同样，所以，希望参照图13的步骤S33相关的说明。但是，在由步骤S33拒绝终端WL13的连接的场合，根据IEEE802.11的规定，在再联帧的状态码中写入表明连接失败这一状态的码，如步骤S52所示那样回复到终端WL13。另外，在许可终端WL13的连接的场合，根据IEEE802.11的规定，在相联响应帧的状态码中写入表明连接成功这一状态的码，如步骤S53所示那样回复到终端WL13。

    在基站AP1许可终端WL13的连接的场合，需要在基站AP1与终端WL13之间共有加密参数。为此，也可如图15的步骤S37-步骤S44所示那样，与图13一样，根据IEEE802.11的规定，进行用于在终端WL13与基站AP1之间共有加密参数的认证处理即鉴别手续。

    另外，在来自终端WL13的再联要求帧中，描述有终端WL13现在连接的基站即基站AP2的地址。该地址相当于图14所示“目前AP地址”。因此，如图15所示那样，不实施鉴别的手续，根据“目前AP地址”，基站AP1连接到基站AP2。基站AP1要求关于登录于基站AP2的安全表的终端WL13的安全信息的传送，在传送该安全信息后，也可将安全信息登录到该安全表。这样，在基站AP1与终端WL13之间共有加密参数。因此，在终端WL13被从步骤S53所示的基站AP1许可连接后，终端WL13可如在该终端WL13与基站AP2之间的通信同样地在与基站AP1之间进行以相同安全级加密的数据帧的发收。

    在该第4实施形式的通信系统中，也可获得与第1实施形式同样的效果，同时，当然可适用在第1实施形式中说明的那样的多种变形。

    (第5实施形式)

    以上，在第1-第4实施形式的通信系统中，终端WL13可在与基站AP1之间按预先设定于基站AP1属于的BSS1中的最低级别以上的安全级实现通信。然而，当在终端WL13与基站AP1进行通信的同时终端WL13与基站AP1以外的未加入到BSS1的终端或其它无线台进行通信时，如其间的通信的安全级比预先设定于BSS1的最低级别低，则不能说确保了BSS1的最低级别的安全级。因此，在该第5实施形式的通信系统中，终端WL13如图16所示那样，在已经与某一终端WL14进行无线连接的场合，即使终端WL13要求连接到基站AP1，也可根据以下说明的手续，确保预先设定于BSS1的最低级别的安全。

    终端WL13按不满足预先设定于BSS1的最低安全级的安全级与其它终端或基站进行无线连接时，终端WL13不能连接BSS1内的基站或终端，这是基本原则。因此，为了连接到BSS1内的终端或基站，需要预先切断这样的安全级低的无线连接，或将该无线连接的安全级提高到BSS1的最低级别以上。

    下面，对于相应的顺序，省略与在第1-第4实施形式中相同顺序的说明，说明不同的顺序。

    在图16中，对与图1相同的部分采用相同符号，省略其说明。图16所示终端WL14支持的安全级仅为“enc.0”。终端WL13开始连接到基站AP1的要求时，终端WL13已经无线连接到终端WL14，假定此期间的通信安全级为“enc.0”。

    下面说明在这样的状态下终端WL13开始向BSS1的基站AP1的连接要求的场合。

    首先，如第2实施形式说明的那样，参照图17所示流程图说明由信标通知预先设定到BSS1的最低安全级的场合。在该场合，终端WL13从接收的信标得知可无线连接到基站AP1的最低安全级为“enc.1”。因此，终端WL13在前进到图13的步骤S32之前，实施图17所示处理动作。

    在图17的步骤S61中，确认是否在终端WL13的安全级中准备了在BSS1中容许的最低级别“enc.1”以上的安全级。当在终端WL13准备了“enc.1”以上的安全级时，前进到步骤S62。在该步骤S62中，检验现在终端WL13进行无线连接的终端即终端WL14与终端WL13之间的通信的安全级是否在由BSS1容许的最低级别“enc.1”以上。如终端WL13与发送控制部14间的通信安全级在由BSS1容许的最低级别“enc.1”以上，则前进到步骤S64，开始终端WL13与基站AP1之间的连接顺序。即，在终端WL13中，实施图13的步骤S32以后的处理。另一方面，当终端WL13与终端WL14之间的安全级不满足由BSS1容许的最低级别(“enc.1”)时，前进到步骤S63，切断终端WL13与终端WL14之间的无线连接，前进到步骤S64。

    如上述那样，由于终端WL13与终端WL14间的通信的安全级为“enc.0”，所以，从步骤S62前进到步骤S63，切断终端WL13与终端WL14间的无线连接。此后，终端WL13结束由IEEE802.11规定的解鉴别(Deauthentication)，前进到步骤S64。

    这样，对于终端WL13，当现在连接的终端WL14间的安全级比从被要求连接的基站AP1广播的安全级低时，预先切断终端WL13与终端WL14的无线连接，要求从终端WL13向基站AP1连接。因此，在保持BSS1的最低限的安全级的状态下确实地实施终端WL13与基站AP1之间的无线连接。

    在步骤S63中，一旦切断终端WL13与终端WL14的无线连接后，终端WL13与终端WL14也可再次按BSS1的最低级别以上的安全级进行无线连接。

    在上述说明中，说明了终端WL13仅与终端WL14这样1个进行无线连接的场合，但在终端WL13无线连接到多个终端或多个基站的场合，也与上述一样对其安全级1个1个地检验。如其安全级不在BSS1的最低级别以上，则也可一时切断终端WL13的连接，终端WL13按BSS1的最低级别以上的安全级再次连接，开始向基站AP1的连接。

    在上述说明中，以与终端WL14进行无线连接的终端WL13的场合为例进行了说明，但在与BSS1不同的其它BSS2的基站AP2的处理动作中也可适用上述一连串的手续。这样，当发出连接要求的一侧和接收连接要求的一侧都不为终端而是为基站时，可在多个BSS中进行分别确保了最低极限的安全级的DS通信。当发出连接要求的一侧为基站时，也有在该基站无线连接多个终端或基站的场合，在这样的场合，也可与上述同样地1个1个检验安全级，如不在将要连接的BSS的最低级别以上，则一时切断后，根据需要按将要连接的BSS的最低级别以上的安全级重新连接，此后，开始向该所期望的基站的连接。

    下面，如在第1、第3、第4实施形式中说明的那样，参照图18所示流程图说明鉴别、相联、再联时检验终端WL13的安全级的场合。图18所示处理动作与图7的步骤S3、图13和图15的步骤S33等对应。

    在检验终端WL13的安全级的场合，如上述那样，终端WL13在鉴别的要求帧或相联、再联的要求帧上的未使用区域写入终端WL13的安全级，同时，写入以下所示①-②中的至少1个项目。

    ①现在终端WL13进行无线连接的终端或基站的有无。

    ②终端WL13与现在进行无线连接的终端或基站之间的安全级。

    在这里，当终端WL13与多个终端或基站进行无线连接地场合，将与其全部相关的安全级写入到未使用区域。

    在基站AP1中，如步骤S71所示那样接收帧，首先，如步骤S72所示那样检验终端WL13的安全级。当终端WL13的安全级不满足设定于BSS1的最低安全级时，前进到步骤S73，拒绝连接。即，如在第1、第3、第4实施形式中说明的那样，由鉴别、相联、或再联的帧向终端WL13通知连接拒绝。

    另一方面，终端WL13的安全级为基站AP1支持的安全级，当为由BSS1设定的最低安全级以上时，前进到步骤S74。当根据上述①或②的信息判断不存在现在与终端WL13进行无线连接的终端和基站时，前进到步骤S75，许可终端WL13的无线连接。即，如在第1、第3、第4实施形式中说明的那样，由鉴别、相联、或再联帧将无线连接的许可通知终端WL13，同时，与上述同样地实施后续的处理。在该处理中，与图7的步骤S6、图13的步骤S36、图15的步骤S53等相当。根据上述①或②的信息，判断存在现在与终端WL13进行无线连接的终端或基站时，前进到步骤S76。

    在该步骤S76中，当在由步骤S71接收的信息中包含由②的示的“终端WL13与现在进行无线连接的终端WL14之间的安全级”时，检验其安全级。当与终端WL14间的安全级在设定于BSS1的最低安全级以上时，前进到步骤S75，许可终端WL13的无线连接。另一方面，当与终端WL14间的安全级不满足设定于BSS1的最低级别时或在由步骤S71接收的信息中不包含上述示于②的信息时，即与终端WL14间的安全级不明时，前进到步骤S77，拒绝从终端WL13的连接要求。如第1、第3、第4实施形式说明的那样，由鉴别、相联、或再联的帧将该连接要求的拒绝通知终端WL13。

    在步骤S77中，也可不通知拒绝连接要求这一状态，而是由鉴别、相联、或再联的帧同样地通知指示与终端WL14的无线连接的切断这样的要求。在该场合，如终端WL13切断与终端WL14的无线连接，则可立即判断可与基站AP1连接。因此，终端WL13切断与终端WL14的无线连接后，例如结束由IEEE802.11规定的解鉴别后，可再次和基站AP1要求连接。

    另外，在步骤S77中，拒绝连接要求后，利用在由IEEE802.11规定的MAC帧管理用帧、控制用帧中的现在未使用的帧，例如管理用帧的场合，子类型为“0110”-“0111”等的帧，控制用帧的场合，子类型为“0000”-“1001”等的帧，通知由BSS1所容许的最低级别。在具有由BSS1容许的最低级别的通知的场合，如终端WL14支持该最低的安全级，则终端WL13按该安全级重新连接后，可再次向基站AP1要求连接。

    另外，在上述说明中，以终端WL13仅与终端WL14这样1个进行无线连接的场合为例进行了说明。然而，即使在与多个终端或基站进行无线连接的场合，也可与上述同样，由终端WL13通知有无已经进行连接的终端或基站，最好1个1个地通知其安全级别。当从终端WL13通知已连接的无线通信的多个安全级时，基站AP1可在步骤S76中检验各安全级。

    如上述那样，即使在发出连接要求侧已经与其它终端或基站进行无线连接的场合，当该无线连接的安全级不明时，或不满足接收到连接要求的一侧的最低限的安全级时，通过拒绝该连接要求，可确保接收连接要求的一侧的最低限的安全级。上述说明以与终端WL14进行了无线连接的终端WL13的场合为例进行了说明，但也可适用到与BSS1不同的另一BSS2的基站AP2的处理动作。这样，发出连接要求的一侧和接收连接要求的一侧都不为终端而是为基站时，可在多个BSS进行分别确保最低限的安全级的DS通信。发出连接要求的一侧为基站时，有时在该基站与多个终端或基站进行无线连接。这样的场合也与上述同样，最好发出连接要求的一侧通知有无已经连接的终端或基站最好还通知其各安全级。在接收连接要求的一侧，当从发出连接要求的一侧通知已经连接的无线通信的多个安全级时，在步骤S76中，可检验各安全级。

    (第6实施形式)

    在上述第1实施形式的无线系统中，说明了要求连接到基站的场合，但在从终端要求连接到终端的场合也可适用同样的手法。在这里，如图19所示那样，以向属于BSS1的终端WL12要求连接未加入到BSS1的终端WL15的场合为例进行说明。终端WL15可支持的安全级仅为“enc.0”。终端WL12由于加入到BSS1，所以，当终端WL12通信时，需要确保在BSS1中预先确定的最低限的安全级。为此，在终端WL12与终端WL15之间实施终端与基站之间的图7所示的场合同样的处理动作。

    图20示出从终端WL15向终端WL12要求连接的场合的终端WL12与终端WL15之间的处理顺序。在图20中，对与图7相同的部分采用相同符号，省略说明，以下说明不同点。

    在图20中，图7所示基站的处理动作与终端WL12的处理动作对应。因此，不需要信标发送的步骤S1。其它的步骤S2-步骤S12与图7同样。不需要相联的顺序。

    如图20所示，在终端WL12与终端WL15之间进行连接时，也由接收到连接要求的一侧的终端WL12检验发出连接要求一侧的终端WL15的安全级。在这里，发出连接要求一侧的终端安全级为接收到连接要求的一侧的装置支持的安全级，而且，如在接收到连接要求的一侧的终端属于的BSS1的最低安全级以上，则许可终端WL15的连接。如发出连接要求一侧的终端的安全级不为接收连接要求一侧的装置支持的安全级或在接收到连接要求一侧的终端属于的BSS1的最低安全级以下，则拒绝终端WL15的连接。如许可连接，则实施用于共有与该安全级对应的加密参数的手处理动作。

    当终端WL12从终端WL13接收连接要求时，不论其终端WL12是否与基站AP1进行无线连接，终端WL12都实施图20所示那样的处理动作。

    在图19中，终端WL15可能适用不经过鉴别而直接将数据帧发送到终端WL12的模式即ad hoc模式。对于这样的模式，参照图21所示流程图说明在终端WL12的处理动作。

    终端WL12如步骤S81所示那样，从终端WL15不通过基站直接接收向终端WL12发送的数据帧。这样的数据帧例如按照IEEE802.11的规定，为图4所示MAC帧的帧控制控制中的“To DS”及“FromDS”都为“ 0”，所以可容易地判断。

    在终端WL12的接收部101中，当接收该数据帧时，如步骤S82所示那样，检验与该发送源的地址对应的安全信息是否登录到终端WL12的安全表110。

    终端WL15的安全信息登录到安全表，意味着终端WL15与终端WL12按预先设定子登录到该安全表的BSS1的最低级别以上的安全级在过去进行过通信，或预定按那样的安全级通信。因此，前进到步骤S83，终端WL12例如向终端WL15发送由IEEE802.11规定的相对接收到的数据帧的ACK帧，开始与终端WL15之前的数据发收。

    另一方面，在步骤S82中，当终端WL15的安全级信息未登录到安全级时，在该状态下，终端WL15的安全表不明，所以，终端WL12不能在与终端WL15之间进行通信。因此，前进到步骤S84，上述ACK帧不发送，向该终端WL15通知要求鉴别的意图。该通知也可利用由IEEE802.11规定的MAC帧管理用帧、控制用帧中的现在未使用的帧，例如管理用帧的场合，子类型为“0110”-“0111”等的帧，控制用帧的场合，子类型为“0000”-“1001”等的帧。

    接收到该通知的终端WL15开始图20所示步骤S2以后的处理动作即可。

    在上述第5实施形式的通信顺序中，终端WL13如图16所示那样在已经与某一终端WL14进行无线连接的场合，说明了当相对基站AP1要求连接时确保预先设定到基站AP1的BSS1的最低级别的安全级的手法。与此对应，下面说明如图22所示那样当终端WL15已经与某一终端WL16进行无线连接时该终端WL15要求与终端WL12连接的场合。

    在这里，终端WL16可支持的安全级仅为“enc.0”。终端WL12由于加入到BSS1，所以，当终端WL12开始通信时，需要确保在BSS1中预先确定的最低限的安全级。为此，也可由终端WL12实施与图18所示的场合同样的处理动作。

    图23示出从终端WL15向终端WL12要求连接的场合的终端WL12与终端WL15之间的处理顺序。在图23中，对与图18相同的部分采用相同符号，省略说明，以下说明不同的点。即，在图23中，图18的基站和终端WL13的处理动作分别对应于终端WL12和终端WL15的处理动作，实施实质上与图18所示处理顺序同样的处理。因此，关于参照图23的说明，如将图18的上述说明中的基站和终端WL13分别置换为终端WL12和终端WL15，则不用进行特别的说明也可理解。

    另外，在图22中，即使为终端WL15不经过鉴别直接将数据帧发送到终端WL12的模式，即ad hoc模式，终端WL12也可在实施了图12的流程图的处理动作后，实施图23所示那样的处理动作。当终端WL12按图21的步骤S81从终端WL15不通过基站直接接收以终端WL12为地址的数据帧时，最好立即前进到步骤S84，向该终端WL15通知要求鉴别的意图，一定实施图23所示处理动作对确保安全很有利。终端WL15的安全信息由于登录到终端WL12的安全表，所以，在终端WL15与终端WL12以外的终端的无线连接中不限于在终端WL12属于的BSS1的最低限的安全级以上进行通信。

    在上述说明中，以终端WL15仅与终端WL16的1个进行无线连接的场合为例进行了说明，但在与多个终端或基站进行无线连接的场合也与上述同样，终端WL15通知有无已经进行连接的终端或基站，最好1个1个地通知该安全级别。当从终端WL15通知已连接的无线通信的多个安全级时，终端WL12可在步骤S76中检验各安全级。

    如以上说明的那样，按照上述第6实施形式，即使在多个终端间的通信中，其中的1个为预先确定最低应遵守的安全级的BSS内的终端时，可确保该安全级。

    (第7实施形式)

    在上述第1-第6实施形式中，说明了确保BSS的安全级的场合。同样的手法也可适用于在IBSS中确保安全的场合。

    在该第7实施形式中，以图24所示那样的构成的IBSSI为例进行说明。

    在图24中，IBSS1由多个例如3个终端WL31-WL33构成。终端WL31支持安全级“enc.0”、“enc.1”，终端WL32支持安全级“enc.0”、“enc.1”、“enc.2”，终端WL33支持安全级“enc.0”、“enc.1”。

    按照IEEE802.11的规定，IBSS不通过基站，在IBSS内的多个终端间不经过鉴别的认证过程，直接发收数据帧。IBSS1内的各终端具有安全表，在该安全表中登录构成IBSS1的各终端的安全信息，如在IBSS1内预定的最低限的安全级以上通信，则在IBSS1内的终端间可确保该最低限的安全级。

    因此，说明从未加入到IDBSS1的即未登录到安全表的终端WL34向构成IBSS1的多个终端中的1个例如终端WL31要求连接时的处理动作。

    该处理动作与第6实施形式同样，终端WL31最好实施图21所示那样的处理动作，当接收到的数据帧的发送源的安全信息未登录到自身的安全表时，向该数据帧的发送源即终端WL34发送要求鉴别的通知。此后，当从终端WL34发送鉴别帧时，最好实施图23所示那样的处理动作。但是图23所示终端WL15可置换到终端WL34。即，终端WL34将终端WL34的安全级写入到鉴别帧，同时，写入上述①-②中的至少1个，发送到终端WL31。终端WL31可从终端WL34接收这样的鉴别帧，实施与图23所示终端WL12同样的处理动作。

    这样，在IBSS中，也可确保预先设定到该IBSS的最低限的安全级。

    另外，在多个终端间的通信中，其中的1个为预先设定了最低限应遵守的安全级的IBSS内的终端时，可确保该安全级。

    如在以上第1-第7实施形式说明的那样，基站、终端这样的构成无线LAN的无线通信装置分别具有至少1个(最好多个)安全级，具有以下(x1)-(x8)所示特征，从而可实现确保了例如BSS或IBSS这样的无线LAN的基本组即对各通信组预先设定的加密的最低限的安全级的无线通信。另外，在多个无线通信装置间的通信中，该多个无线通信装置的至少1个为预先设定了最低限应遵守的安全级换言之最低级别的安全级的通信组例如BSS或IBSS内的无线通信装置时，必须确保上述最低级以上的安全级。关于下述(x1)-(x8)中特别是未明记为基站的场合的特征，最好为对基站和终端都同样具有的功能。

    (x1)从自身装置向作为其它无线通信装置的第1无线通信装置要求连接时，向上述第1无线通信装置至少通知1个自身装置具有的安全级中的作为与该第1无线通信装置之间的通信使用的安全级即第1安全级。

    (x2)当向上述第1无线通信装置要求连接时，如自身装置已经与作为上述第1无线通信装置之外的另一无线通信装置的第2无线通信装置连接，则通知作为在与该第2无线通信装置之间通信所用的安全级的第2安全级。

    (x3)在上述第1无线通信装置为基站的场合，广播可与该第1无线通信装置连接的最低级别的安全级时，选择自身装置具有的安全级中的该最低级别以上的安全级，在向上述第1无线通信装置要求连接时通知该安全级。

    (x4)在上述第1无线通信装置为基站的场合，当广播可与该第1无线通信装置连接的多个安全级时，选择自身装置具有的安全级中的与该广播的多个安全级别中的任一个一致的安全级，在向上述第1无线通信装置要求连接时通知该选择的安全级。

    (x5)具有第3装置，在该具有第3装置中，当自身装置从作为其它无线通信装置的第4无线通信装置接收连接要求时，A至少作为在从该第4无线通信装置通知的该第4无线通信装置与自身装置之间的通信中使用的安全级的第3安全级处于自身装置具有的安全级，而且当在预先设定于自身装置属于的通信组(即例如BSS或IBSS)的最低级别以上时，许可该第4无线通信装置的连接，(b)至少上述第3安全级不到该最低级别时，拒绝与该第4无线通信装置的连接。

    (x5′)上述第3装置当A上述第3安全级在预先设定于自身装置属于的通信组(即例如BSS或IBSS)的最低级别以上并且上述第4无线通信装置已经与作为上述第4无线通信装置之外的其它无线通信装置的第5无线通信装置连接时，如在与该第5无线通信装置之间的通信中使用的安全级的第4安全级为上述最低级别以上时，则许可与该第4无线通信装置的连接，(b)当上述第3安全级不到上述最低级别以上时或上述第4安全级不到上述最低级别时，或上述第4无线通信装置已经与上述第5无线通信装置连接时，或上述第4安全级不明时，拒绝与上述第4无线通信装置的连接。

    (x7)在自身装置为基站的场合，具有广播预先设定于自身装置属于的通信组的最低级别的安全级或该最低级别以上的多个安全级的第4装置。

    (x8)具有第5装置，该第5装置当从上述第4无线通信装置通知多个安全级时，如在该多个安全级中存在预先设定于自身装置属于的通信组的最低级别以上的安全级，则选择其中的1个，将其通知到上述第4无线通信装置。

    记载于本发明的实施形式的本发明的手法也可作为能够在计算机中执行的程序，存储到磁盘(软盘、硬盘等)、光盘(CD-ROM、DVD等)、半导体存储器等存储媒体中颁布。

    其它优点和变形对本领域的技术人员是显而易见的。因此，在其更宽范围的本发明不限于这里示出和说明的具体细节和代表性的实施例。因此，在不脱离由后附的权利要求和其等效内容限定的总发明概念的精神或范围的前提下可进行多种变形。