无线LAN转播装置、无线LAN服务的提供方法及其记录媒体.pdf

无线LAN转播装置、无线LAN服务的提供方法及其记录媒体
    【技术领域】

    本发明涉及无线LAN转播装置，无线LAN服务的提供方法及记录提供无线LAN服务程序的媒体。

    背景技术

    作为本发明所涉及的无线LAN系统，有如下的技术为人所知。

    近年，流行连接LAN与WAN，使公司内部的数据共有化的同时，能够适宜地向公司外部的WAN(因特网)接入地提高了便利性的利用。

    一方面，随着无线LAN系统的发展，只要是能够进行通信的区域内，就可以容易地进入网络系统，有时为了顾客利用通过公司内部LAN向外部WAN连接的服务。

    此时，有必要在秘密性高的公司内部LAN限制随便的接入，只在秘密性低的外部WAN容许接入。

    以往，作为这种限制接入的手法，根据MAC地址的接入限制，和利用WEP加密的限制接入手法为人所知。

    前者是通过注册连接于公司内部LAN的机器的WAC地址，按每个MAC地址特别指定接入的可否。后者是通过将指定的字符串作为密钥来注册，根据该密钥加密后进行通信，实质上控制接入的可否。

    在上述的以往无线LAN转播装置中，存在如下的课题。

    根据前者的MAC地址来限制时，即使要容许客户向没有接入限制的外部WAN连接，也有必要按客户所持有的每个机器的MAC地址进行注册，其操作繁杂。

    利用后者的WEP来限制时，必须将秘密性高的密钥告诉给顾客。

    本发明是鉴于上述课题所提出来的技术，其目的在于提供，一面容许简易地向外部WAN的连接，一面能够限制向公司内部LAN的连接的无线LAN转播装置，无线LAN服务的提供方法及记录提供无线LAN服务程序的媒体。

    【发明内容】

    为了达到上述目的，有关权利要求1的发明为，一种无线LAN转播装置，可通过无线信号提供网络服务，并可设定接入限制区域和接入非限制区域的同时，具有利用指定的加密的接入限制机能，其构成为具有：

    判断在接入要求有无上述加密的加密判断手段；

    在此加密判断手段判断为有上述加密时，容许向接入限制区域和接入非限制区域的接入，同时，在上述接入要求判断手段判断为没有上述加密时，只容许向接入非限制区域接入的接入对象限制手段。

    在如上述所构成的有关权利要求1发明的无线LAN转播装置中，作为其前提，可通过无线信号提供网络服务，可设定接入限制区域和接入非限制区域，并且，具有利用指定的加密的接入限制机能。

    而且，加密判断手段判断在接入要求有无上述加密，如在此加密判断手段判断出上述加密的有无，接入对象限制手段就实施以下的处理。即，当判断有加密时，就容许向接入限制区域和接入非限制区域的接入，当判断没有上述加密时，就只容许向接入非限制区域的接入。

    即，没有必要注册MAC地址，用不着告诉加密的密钥等，就可以进行接入限制。

    还有，有关权利要求2的发明构成为，在权利要求1所述的无线LAN转播装置，使上述加密在数据链路层进行。

    在如上述所构成的有关权利要求2的发明，由于加密在数据链路层进行，不牵扯通信控制规程的种类可以判断加密的有无。

    还有，有关权利要求3的发明构成为，在上述权利要求2所述的无线LAN转播装置，上述加密为WEP。

    在如上述所构成的有关权利要求3的发明，作为加密并不采用特殊方式，而是利用WEP。

    还有，有关权利要求4的发明构成为，在上述权利要求1至3的任一项所述的无线LAN转播装置，上述接入限制区域为LAN。

    在如上述所构成的有关权利要求4的发明，对LAN那样小规模的网络领域加以接入限制。

    还有，有关权利要求5的发明构成为，在上述权利要求1至4的任一项所述的无线LAN转播装置，上述接入非限制区域为WAN。

    在如上述所构成的有关权利要求5的发明，对向因特网那样大规模的WAN的接入不加限制。

    如此，根据加密的有无来限制接入处的手法未必只限于有实体的装置上，作为一种方法也起作用是不难理解的。为此，有关权利要求6的发明为，一种无线LAN服务的提供方法，可通过无线信号提供网络服务，并可设定接入限制区域和接入非限制区域的同时，具有利用指定的加密的接入限制机能，其构成为具有：

    判断在接入要求有无上述加密的加密判断过程；

    在此加密判断过程判断为有上述加密时，容许到接入限制区域和接入非限制区域的接入，同时，在上述接入要求判断过程判断为没有上述加密时，只容许向接入非限制区域接入的接入对象限制过程。

    即，未必只限于有实体的装置上，作为一种方法也一定是有效的。

    然而，这种无线LAN转播，有时单独存在，也有时以安装在某种机器里的状态被利用等，作为发明的思想不只限于此，包括各种形态。因此，有时是软件有时是硬件等，可以适宜更改。

    作为实现发明思想的例子，其为无线LAN转播装置的软件时，不能不说在记录相关软件的记录媒体上当然也要存在，也要被利用。

    作为这一例，有关权利要求7的发明为，一种记录提供无线LAN服务程序的媒体，可通过无线信号提供网络服务，并可设定接入限制区域和接入非限制区域的同时，具有利用指定的加密的接入限制机能，其构成为使计算机实现：

    判断在接入要求有无上述加密的加密判断机能；

    在此加密判断机能判断为有上述加密时，容许向接入限制区域和接入非限制区域的接入，同时，在上述接入要求判断机能判断为没有上述加密时，只容许向接入非限制区域接入的接入对象限制机能。

    当然，其记录媒体可以是磁性记录媒体也可以是光磁性记录媒体，对于在今后开发出来的任何记录媒体也可以完全同样地考虑。还有，对于一次复制品，二次复制品等的复制阶段，毫无疑问是完全同等的。

    还有，对于一部分是用软件，一部分是用硬件来实现的情况，在发明的思想上也没有丝毫的不同，也可以是将一部分存储在记录媒体上，根据需要适宜读取的形态。

    发明的效果

    如上述说明，本发明由于只用加密的有无就可以容许向接入限制区域和接入非限制区域进行接入，所以能够提供非常容易地对不特定的人可容许向接入非限制区域进行接入的无线LAN转播装置。

    而且，根据有关权利要求2的发明，通过利用在数据链路层加密，可以不牵扯上位层的通信控制规程提供服务。

    还有，根据有关权利要求3的发明，可以在利用WEP的无线LAN系统中使用。

    还有，根据有关权利要求4的发明，可以容易地限制向LAN的接入。

    还有，根据有关权利要求5的发明，可以容易地提供向WAN的接入。

    还有，根据有关权利要求6的发明，可以提供有同样效果的无线LAN服务的提供方法，根据有关权利要求7的发明，可以提供记录提供无线LAN服务程序的媒体。

    【附图说明】

    图1为表示有关本发明一个实施形态的适用无线LAN转播装置的网络系统的概略构成的图

    图2为表示无线LAN接入点的概略构成的方框图

    图3为表示无线LAN接入点的处理的流程图

    图4为表示无线LAN接入点的处理的另一种例的流程图

    图5为表示无线LAN接入点的处理的变形例的流程图

    图6为表示对应于通用性加密的无线LAN接入点的处理的流程图

    符号的说明

    10    无线LAN接入点

    11    有线LAN接口

    12    路由器部

    13    无线部

    14    CPU

    15    ROM

    16    RAM

    20    公司内部LAN

    21    有线客户

    22、23无线客户

    【具体实施方式】

    以下，结合图面说明本发明的实施形态。

    (实施形态1)

    图1表示涉及本发明一个实施形态的适用无线LAN转播装置的网络系统的概略构成。在本实施形态，公司内部构筑有由无线和有线所构成的公司内部LAN环境的同时，也可以向公司外部的因特网接入。

    在图1，无线LAN接入点10通过电缆连接于公司内部LAN20和因特网(WAN)30。公司内部LAN20除了通过有线电缆与有线客户21相连接外，还通过无线LAN接入点10能与无线客户22相连接。无线LAN接入点10，在构成上无线客户23也可与之连接，但在无线LAN接入点10和无线客户22设有为WEP的共通的[密钥]，备有伴随利用WEP加密的连接环境。相对于此，无线客户23没有设定为WEP的共通的[密钥]。

    即，无线客户22是能够告诉WEP密钥的公司内部人的终端，而无线客户23是只容许利用公司内部的无线设施向公司外部的因特网接入的终端。

    图2以方框图表示无限LAN接入点10的概略构成。

    这种无线LAN接入点10具备，能与有线LAN网络环境连接的有线LAN接口(IF)11，对于外部因特网用光电缆等的有线环境连接的路由器部12，及通过无线媒体与外部的无线终端可以进行网络连接的无线部13，这三种接口，CPU14一边读进写入到ROM15的固件和数据一边适宜在RAM16存储来进行数据的临时记忆，通过该接口，在所连接的网络机器之间进行通信的传播。

    有关这些接口，可以在应用通用性的技术的各种回路实现。还有，无线部13对应于利用WEP的加密数据的传送。

    WEP将5字节(byte)或13比特(bit)的字符串[密钥]变换为16进制数之后，将24比特(bit)的初始化矢量和64比特(bit)或128比特(bit)长的数值用于流密码。

    初始化矢量是随机数串的基本的数值，64比特(bit)或128比特(bit)长的数值为随机数串。将此随机数串和数据的[原文]进行XOR演算的结果用作为[密码文]的流密码发送。在解密时，使用与加密时所用的同样的[密钥]，利用所形成的64比特(bit)或128比特(bit)长的数值对[密码文]再做一次XOR演算，[原文]就作为数据被提取出来。

    在这种WEP，通过在接入点设定[密钥]的同时，把[密钥]只告诉给被容许连接到公司内部LAN等(被限制接入的区域)的用户，只有设定该[密钥]的终端才可向接入限制区域进行连接。

    图3以概略流程图表示无线客户22，23对于本无线LAN接入点要求连接时的处理步骤。

    在步骤100，判断连接要求是针对WAN30的，还是针对公司内部LAN20的。不是针对WAN30而是针对公司内部LAN20的要求时，在步骤S105判断是不是伴随有效的WEP的加密的连接要求。然后，如WEP是有效的，在步骤S110容许向公司内部LAN20的连接，如不是有效的就不容许向公司内部LAN20的连接并省略以后的处理。

    一方面，如果连接要求是针对WAN30的，不管有无WEP的加密，在步骤S115容许向WAN30的连接。

    下面，将对由上述所构成的本实施形态的动作进行说明。

    参照图1，假设现在无线客户22通过无线LAN接入点10要向公司内部LAN20进行连接。于是，因为无线客户22向无线LAN接入点10的连接要求为向公司内部LAN20的连接要求，所以在步骤S100判断为[不是向WAN的连接要求]，在步骤S105判断是不是伴随有效的WEP的连接要求。因为无线客户22是公司内部的终端，设有与无线LAN接入点10同样的[密钥]，判断为伴随有效的WEP的连接要求，在步骤S110允许向公司内部LAN20的连接。

    还有，这个无线客户22通过无线LAN接入点10要向因特网(WAN)30进行连接时，因为本无线客户22向无线LAN接入点10的连接要求为向WAN30的连接要求，所以在步骤S100判断为[是向WAN的连接要求]，就不问WEP的有效性，在步骤S115允许向WAN30的连接。

    一方面，临时进入无线LAN的通信范围内只允许向因特网进行连接的无线客户23的情况，如果通过无线LAN接入点10要向因特网(WAN)30进行连接，因为向无线LAN接入点10的连接要求为向WAN30的连接要求，所以在步骤S100判断为[是向WAN的连接要求]，就不问WEP的有效性，在步骤S115允许向WAN30的连接。

    即，从没有设定WEP的密钥的终端，能够非常容易地向因特网(WAN)30进行连接。

    对于此，无线客户23要向没得到允许接入的公司内部LAN20进行接入时，做如下处理。即，无线客户23通过无线LAN接入点10要向公司内部LAN20进行连接时，因为向无线LAN接入点10的连接要求为向公司内部LAN20的连接要求，在步骤S100就判断为[不是向WAN的连接要求]，在步骤105判断是不是伴随有效的WEP的连接要求。

    由于无线客户23是公司内部的终端，它不知WEP的「密钥」，就判断为没有伴随有效的WEP，在步骤S110不被允许向公司内部LAN20进行连接并结束处理。

    即，向接入限制区域的不伴随WEP似的有效加密情况的接入，明确地被限制。

    (实施形态2)

    如WEP似的加密有各种解密的实现方法，下面对其中的一例进行说明。

    图4表示能够事先判断是否伴随有效的WEP的情况下的处理。

    从无线客户22，23的任何一个的连接要求，都在步骤S200判断是否伴随有效的WEP，如果是从无线客户22的伴随有效的WEP的连接要求，就在步骤S205译解在WEP里被加密的数据。然后，根据译解后的数据在步骤S210实行所要求的连接。这种连接要求不管是向公司内部LAN20的连接要求还是向WAN30的连接要求，都没有关系。

    一方面，如果是从无线客户23的不伴随有效的WEP的连接要求，在步骤S215判断是不是向WAN30的连接要求，如果回答为[是]，就在步骤S210实行所要求的连接。如果是从无线客户22的连接要求的情况，不管是向公司内部LAN20的连接要求，还是向WAN30的连接要求，都被同样地处理，而从无线客户23的连接要求，只有在向WAN30的连接要求的情况，在步骤S210实行所要求的连接。

    然后，在从无线客户23的连接要求不是向WAN30的连接要求的情况，就在步骤S220拒绝连接。

    (实施形态3)

    对伴随WEP的其他的变形例进行说明。图5为表示处理该变形例的流程图。

    在该图，在步骤S300实行用WEP的解密，在步骤S305判断解密的数据是否有效。在此判断中如果判断为有效，就在步骤S310根据解密后的数据实行所要求的连接。这种连接要求，不管是向公司内部LAN20的连接要求还是向WAN30的连接要求，都没有关系。

    一方面，当解密的数据无效时，就在步骤S315判断是不是向WAN30的连接要求，如果是向WAN30的连接要求，就在步骤S320根据解密之前的数据实行连接。还有，解密的数据无效而且也不是向WAN的连接要求的情况，不实行连接要求就结束处理。

    (实施形态4)

    在上述的实施形态，对于用WEP实行加密的情况进行了说明，然而也可以实现用WEP以外的加密。图6表示此一例。

    在该图，在步骤S400判断是否有加密。如果是加密的情况，在步骤S405核对一下密码。然后，在步骤S410判断加密是不是有效，如果有效，在步骤S415实行向被指定的对方处的通信。于是，如上所述从公司内部的终端向无线LAN接入点连接时，因为进行了有效的加密，所以不管是公司内部LAN20还是因特网30，实行向被指定的对方处的通信。

    还有，被加密而无效时，对其来历留有疑问，因而在步骤S420一边拒绝通信一边实行安全警戒等的指定处理。

    一方面，在步骤S100判断为没被加密时，在步骤S425判断通信处是WAN30还是LAN20。此时，前者表示接入非限制区域，后者则表示接入限制区域。然后，如果是接入非限制区域的WAN，就在步骤S430向被指定的对方处实行通信。但是，如果是接入限制区域的LAN，与前述同样在步骤S420一边拒绝通信一边实行安全警戒等的指定处理。

    于是，如果是临时进入无线LAN的通信范围内只允许向因特网进行连接的无线客户23的情况，不伴随加密，只有在通信处为因特网等的接入非限制区域的情况，才实行通信，如果为接入限制区域就拒绝通信。

    这样，如公司内部LAN20对部外的人要限制接入的接入限制区域和如因特网30要对部外的人容许接入的接入非限制区域连接于同一个无线LAN接入点10的情况，并能够利用如WEP似的加密时，如果从部内人的无线客户22有伴随有效的WEP的连接要求，公司内部LAN20和因特网30就都容许连接的同时，对于从部外人的无线客户23的不伴随有效的WEP的连接要求，只容许与因特网30的连接，因而，对于部外的人也用不着个别的设定就可以简单地容许向外部WAN的连接，同时，能够限制向公司内部LAN的连接。