无线通信网安全设置方法、存储介质、网络系统和客户设备

摘要

用于对于一个或多个连接目的地，针对无线通信网络(无线LAN设备2)进行安全设置的方法、存储程序的存储介质、网络系统和客户设备。其为这样的结构：通过使用所赋予的当前加密信息赋予与该所赋予的当前加密信息不同的加密信息，并且对一个或多个所述连接目的(客户设备CLm)赋予随级别递增而不同的加密信息。

说明书

技术领域

本发明涉及一种诸如无线局域网(下文称为LAN)等的无线通信网络的自动化安全设置，更具体地，涉及无线通信网络的安全设置方法、存储安全设置程序的存储介质、无线通信网络系统和客户设备，其中与无线LAN连接的客户设备、接入点设备等的安全设置为自动化的。

背景技术

无线LAN是使用无线电波来发送/接收数据的方法，其中可以绕过诸如墙壁等的障碍物提供无线通信。作为无线LAN的通信方法，存在经由作为中继点的接入点进行通信的模式，和在终端之间不使用接入点来进行通信的模式。与有线LAN不同，可以从外部访问无线LAN，只要射频能达到那里。因此针对无线LAN有必要例如在用于无线通信的客户设备和接入点设备之间设置安全性。通常，要求操作各设备的操作者手工输入用于安全设置的相同加密密钥，这对操作者来说很麻烦。

关于用于无线LAN的安全设置，存在这样的构造：在客户方具有根据接入点设置信息的自动化设置，使得可以免除复杂的设置操作(日本专利申请公开No.2004-127187)。存在这样的构造：接入点向客户终端发送有线等效保密(wired equivalent privacy WEP)密钥，在对传输进行确认后，登记客户终端的媒体访问控制(下文称为MAC)地址，并且客户终端自己设置所发送的WEP密钥(日本专利申请公开No.2004-215232)。存在这样的构造：客户向接入点发送公共密钥和单向杂凑信号(one-wayHash)，接入点将该单向杂凑信号发送给认证服务器，接入点对认证服务器产生的WEP密钥进行加密，客户接收经加密的WEP密钥，并且通过使用私密密钥对其进行解码而获得WEP密钥(日本专利申请公开No.2004-15725)。存在这样的构造：允许在访客标识符(下文称为ID)伴随着客户的对于经由无线LAN与接入点连接的连接请求的情况下，使用访客ID来进行访客ID连接(日本专利申请公开No.2004-40156)。存在这样的构造：终端向接入点发送认证请求，接入点利用认证服务器的认证服务器协议向认证服务器发送MAC地址，认证服务器执行MAC地址的认证，并且发送挑战字符串(challenge text)，接入点按照IEEE 802.11中规定的WEP算法处理与基站进行加密认证(日本专利申请公开No.2001-111544)。存在这样的构造：通信终端经由网络从认证服务器接收认证，而基站经由虚拟LAN传递由通信终端进行的通信，用来从认证服务器接收由各个虚拟LAN产生的安全信息(日本专利申请公开No.2004-312257)。存在这样的构造：在使用客户与接入点之间的低级加密系统建立了通信(无线通信)之后，向客户终端发送必需的认证数据，以使用需要认证处理的高级加密系统建立连接(日本专利申请公开No.2004-72682)。

顺便提及，使得可以从与无线LAN连接的接入点进行连接的针对客户的安全设置需要麻烦的操作。为了能够进行该连接，日本专利申请公开No.2004-72682中公开的构造需要客户进行低级安全设置，而没有低级安全设置。在没有安全设置而使用一步(one-step)安全设置系统的情况下，这种环境中的安全设置信息可能泄漏，这破坏了其安全性。

存在这样的情况：每当改变安全设置时，接入点被停止以改变其安全设置，这种停止导致了对于所连接的其他客户的通信的负面影响，这很不方便。

上述日本专利申请公开No.2004-127187、日本专利申请公开No.2004-215232、日本专利申请公开No.2004-15725、日本专利申请公开No.2004-40156、日本专利申请公开No.2001-111544、日本专利申请公开No.2004-312257、日本专利申请公开No.2004-72682没有公开或教示上述问题，也没有公开或教示上述问题的解决方法。

发明内容

本发明的第一个目的是自动进行要与无线通信连接的设备的安全设置。

本发明的第二个目的是使要与无线通信连接的设备的安全级较高。

本发明的第三个目的是使对特定连接目的地的安全设置可在不打扰其他连接目的地的通信的情况下执行。

为了实现第一个或第二个目的，根据本发明的第一方面，提供了一种用于针对一个或多个连接目的地进行无线通信网络的安全设置的方法，包括以下操作：针对一个或多个所述连接目的地，通过使用所赋予的当前加密信息赋予与该所赋予的当前加密信息不同的加密信息，并且赋予随级别递增而不同的加密信息。

根据以上处理，根据当前的加密信息将其他加密信息赋予随级别递增而更新的加密信息中，使得可以自动地设定多级安全性，从而使通信安全性更高。

为了实现以上第一个或第二个目的，该安全设置方法可包括以下操作：允许与没有被赋予加密信息的一个或多个所述连接目的地进行连接，并且在所述连接目的地是可连接对象的情况下赋予加密信息。

根据以上处理，针对还没有被赋予加密信息的连接目的地赋予较高的连接优先级，在确定了连接目的地是否为可连接对象后赋予加密信息。在赋予加密信息之前，预先设置确定连接目的地是否为正确的连接目的地的处理，选择该连接目的地以赋予加密信息，从而确保了通信安全性。

为了实现以上第三个目的，该安全设置方法可包括以下操作：针对所述连接目的地赋予识别信息，就每个所述识别信息构造虚拟通信网络，并且对于被赋予了所述识别信息的每一个所述连接目的地赋予所述加密信息。

根据以上构造，可以使用多个虚拟通信网络进行同时处理，而在安全设置期间不打断与其他连接目的地的通信等，来设置安全性。

为了实现以上第一个或第二个目的，安全设置方法可以包括以下操作：从被赋予了所述加密信息的所述连接目的地获得识别信息，以及将所述连接目的地辨认为可连接对象。

根据以上构造，获取分配给连接目的地的诸如MAC地址等的认证信息以辨认是否为连接目的地，因此在赋予加密信息之前确保了安全性。

为了实现以上第一个或第二个目的，在安全设置方法中，所述所赋予的随着级别递增而不同的加密信息可以是具有随级别递增的高安全级的加密信息。

根据以上构造，可以通过按照随级别递增的方式将安全级设置为更高来提高通信安全性，只要不同加密信息可接受即可，因此可以使随级别递增而变高的安全级随级别变低。

为了实现以上第一个或第二个目的，根据本发明的第二个方面提供了一种存储介质，其存储有对具有一个或多个连接目的地的无线通信网络进行配置的、由计算机执行的安全设置程序，包括以下步骤：针对一个或多个所述连接目的，通过使用所赋予的当前加密信息赋予与该所赋予的当前加密信息不同的加密信息，并且赋予随级别递增而不同的加密信息。根据存储有安全设置程序的存储介质，可以通过计算机处理使上述安全设置自动化。

为了实现以上第一个或第二个目的，存储有安全设置程序的存储介质可包括以下步骤：允许与没有被赋予加密信息的一个或多个所述连接目的地连接，并且在所述连接目的地是可连接对象的情况下赋予加密信息。根据存储有安全设置程序的存储介质，可以通过计算机处理使上述安全设置自动化。

为了实现以上第一个或第二个目的，存储有安全设置程序的存储介质可包括以下步骤：对于所述连接目的地赋予识别信息，针对每个所述识别信息构造虚拟通信网络，并且对于被赋予了所述识别信息的每一个所述连接目的地赋予所述加密信息。

为了实现第三个目的，根据本发明的第三方面提供了一种无线通信网络系统，其具有与一个或多个连接目的地连接的无线通信设备，其中，通过使用所述无线通信设备所赋予的当前加密信息来赋予与该当前加密信息不同的加密信息，所述无线通信设备对所述连接目的地赋予随级别递增而不同的加密信息。

根据以上构造，根据本发明，将其他加密信息赋予随级别递增而更新的加密信息，使得可以自动地设定无线通信设备的多级安全性，从而使通信安全性更高。

为了实现以上第一个或第二个目的，在无线通信网络系统中，可允许所述无线通信设备与没有被赋予加密信息的一个或多个所述连接目的地连接，并且在所述连接目的地是可连接对象的情况下对所述连接目的地赋予加密信息。

根据以上构造，对于还没有被赋予加密信息的连接目的地赋予较高的连接优先级，在确定了该连接目的地是否可连接后赋予加密信息。在赋予加密信息之前，预先设置确定连接目的地是否为正确的连接目的地的处理，选择该连接目的地以赋予加密信息，从而确保了通信安全性。

为了实现以上第一个或第二个目的，在无线通信网络系统中，所述无线通信设备可包括与一个或多个连接目的地进行无线通信的无线通信部件，允许与没有被赋予加密信息的一个或多个所述连接目的地连接，以及在所述连接目的地是可连接对象的情况下对所述连接目的地赋予加密信息。

为了实现以上第一个或第二个目的，在无线通信网络系统中，所述无线通信系统可对所述连接目的地赋予认证信息，就每个所述认证信息构造虚拟通信网络，并且针对被赋予了所述认证信息的每一个所述连接目的地赋予所述加密信息。

为了实现以上第一个或第二个目的，无线通信网络系统可包括与一个或多个连接目的地进行无线通信的接入点设备。

为了实现以上第一个、第二个或第三个目的，根据本发明第四方面提供了一种无线通信网络系统，其具有与一个或多个连接目的地连接的服务器设备，所述无线通信网络系统包括：与一个或多个连接目的地进行无线通信的接入点设备；以及安装在所述接入点设备与所述服务器设备之间的交换机，该交换机在所述服务器设备与所述连接目的地之间形成虚拟通信网络。

为了实现以上第一个、第二个或第三个目的，根据本发明的第五方面提供了一种经由无线通信网络与服务器设备或接入点设备连接的客户设备，其中通过使用当前加密信息，该客户设备从所述服务器设备或所述接入点设备接收与该当前加密信息不同的加密信息，并且该客户设备被赋予随级别递增而不同的加密信息。

根据以上构造，可以从服务器设备或者接入点设备以随级别递增的方式设置客户设备侧的安全性，从而可消除在客户设备侧的手动设置的麻烦，并且还可以防止设置期间的信息泄漏。

为了实现以上第一个、第二个或第三个目的，在客户设备中，该客户设备可以包括与所述服务器设备或所述接入点设备进行无线通信的无线通信部件，该客户设备被允许与所述服务器设备或所述接入点设备连接，并且在所述服务器设备或所述接入点设备侧辨认出客户设备为可连接对象的情况下对该客户设备赋予加密信息。

为了实现以上第一个、第二个或第三个目的，在客户设备中，可以从所述服务器设备或所述接入点设备对该客户设备赋予识别信息，该客户设备针对各个所述识别信息构造到所述服务器设备或所述接入点设备的虚拟通信网络，并且该客户设备被赋予所述加密信息。

本发明的技术优点和特征如下：

(1)可以使连接目的地的安全设置自动化，以减少设置的麻烦。

(2)即使在安全设置期间也可以防止信息泄漏。

(3)可以在安全设置期间不打扰其他连接目的地的通信等的情况下设置安全性。

本发明的其他目的、特征和优点可以通过参照本发明的附图和实施例而更加明了。

附图说明

图1是示出根据本发明第一实施例的无线LAN设备的框图。

图2是示出服务器设备的结构示例的框图。

图3是示出接入点设备的结构示例的框图。

图4是示出客户设备的结构示例的框图。

图5是示出客户设备、接入点设备和服务器设备的自动化安全设置的顺序步骤的流程图。

图6是示出根据本发明第一实施例的安全设置方法和安全设置程序的流程图。

图7A至图7E是示出自动化的安全设置操作的框图。

图8是示出安全级设置示例的表。

图9是示出根据本发明第二实施例的无线LAN设备的框图。

图10是示出客户设备、接入点设备和服务器设备的自动化安全设置的顺序步骤的流程图。

图11是示出根据本发明第二实施例的安全设置方法和安全设置程序的流程图。

图12A至图12E是示出自动化安全设置操作的框图。

图13是示出安全级设置的其他示例的表。

具体实施方式

[第一实施例]

参照图1说明本发明的第一实施例。图1是示出根据本发明第一实施例的无线LAN设备的概要的框图。

作为无线通信网络或无线通信网络系统，无线LAN设备2例如包括服务器设备4和作为无线通信设备的无线LAN接入点设备(下文简称为AP)6。无线LAN设备2例如包括作为连接目的地的无线通信设备的一个或多个无线LAN客户设备(下文简称为客户)CLm(“m”表示客户编号，诸如m＝1，2…n)。因此将客户表示为CL1、CL2…CLn。在这种情况下，服务器设备4和AP 6与有线LAN 8连接，AP 6和各个客户CL1、CL2…CLn与无线LAN 10连接。服务器设备4是用于通过有线LAN 8和无线LAN 10共享文件、打印机和其他资源的计算机。在这种情况下，服务器设备4具有用于与AP 6连接的有线通信功能。AP 6构成到客户CLm的无线电波中继站，并具有与客户CLm连接的无线通信功能以及与服务器设备4连接的有线通信功能。客户CLm(＝CL1，CL2…CLn)是利用服务器设备4的共享资源的计算机，并具有无线通信功能，以使用无线LAN 10与AP 6连接。在这种情况下，无线LAN 10包括内部通信网络、其他多种通信网络和多个网络。

服务器设备4包括诸如无线通信功能的服务器功能，以与客户CL1，CL2…CLn连接，以及用于发送和接收数据的服务器功能，并且存储有用于管理AP 6的管理工具12。在这种情况下，服务器设备4的服务器功能可以分配在AP 6侧，或者服务器设备4和AP 6可以被构成一体的设备。

管理工具12包括安全设置软件120以提供自动化的安全设置，并且存储有用于识别上述客户CL1、CL2…CLn之一的“n”个媒体访问控制(下文称为MAC)信息(作为用于识别AP 6的连接目的地的客户的识别信息)，将要对于客户CL1、CL2…CLn设置的安全级(SL＝0，1，2，…)(作为安全信息)，以及一组安全设置值(“n”个)。将这些信息存储在服务器设备4的表中。

如果将安全级定义为SL＝0(无安全性)、SL＝1、SL＝2，则安全设置具体例示如下。这里，安全级意味着其随着数值逐级上升。

SL＝0：NoWEP(无安全性)

SL＝1：WEP 48[位]

SL＝2：WEP 64[位]，WEP 128[位]，

       IEEE802.1X，WPA-PSK，WPA…

在以上的SL＝0、1、2中，WEP代表有线等效保密(下文称为WEP)，其是标准加密系统。IEEE 802.1X代表电气和电子工程师学会(下文称为IEEE)802.1X，其是LAN的用户识别标准。WPA-PSK代表WiFi保护访问预共享密钥(WiFi Protected Access Pre-shared Key)，WPA代表WiFi保护访问，而且WPA-PSK和WPA具有用于增强安全性的加密功能。

在以上示例中，针对安全级SL＝2例示了多种安全标准，可以为SL＝2选择任何一个安全标准，或者可以将新的安全级设置为SL＝3，4…。

此外，对客户CL1，CL2…CLn中的每一个分别分配上述MAC信息(MAC地址)，作为用于识别各个客户的识别信息，并且如图4所示在其中存储安全设置软件806，用于与管理工具12的安全设置软件120协作地自动设置安全性。

接下来，参照图2说明服务器设备4的构造示例。图2是示出本发明的服务器设备4的构造示例的框图。在图2中，对与图1中相同的组件附以相同的附图标记。

服务器设备4包括中央处理单元(下文称为CPU)400、存储部件402、有线通信部件404等。存储部件402包括诸如只读存储器(下文称为ROM)、闪速ROM和随机存取存储器(下文称为RAM)的存储介质，其中存储有上述管理工具12。管理工具12中存储有安全设置软件120和其他软件。

有线通信部件404是进行与AP 6的有线通信的部件，并配备有LAN物理层部件(下文称为LAN PHY)410、媒体访问控制(下文称为MAC)控制器部件412、LAN连接器414和其间的指定电缆。对于CPU 400与AP 6之间的数据发送和接收，由LAN PHY 410设置物理地址，而由MAC控制器部件412在有线LAN 8内分配MAC地址。至于指定的标准连接器，例如将RJ-45用于LAN连接器414。

接下来，参照图3说明AP 6的构造示例。图3是示出本发明的接入点设备的构造示例的框图。在图3中，对与图1中相同的组件附以相同的附图标记。

AP 6中包括中央处理单元(下文称为CPU)600、存储部件602、有线通信部件604、无线通信部件606、电源部件608。存储部件602包括诸如闪速只读存储器(下文称为ROM)610和随机存取存储器(下文称为RAM)612的存储介质，并且闪速ROM 610中存储有控制程序等。

有线通信部件604是进行与服务器设备4的有线通信的部件，并且，作为与服务器设备4对应的构造，包括LAN物理层部件(下文称为LANPHY)614、MAC控制器部件616、LAN连接器618和指定电缆等。至于CPU 600与服务器设备4之间的数据发送和接收，由LAN PHY 614设置物理地址，而由MAC控制器部件616在有线LAN 8内设置MAC地址。作为指定的标准连接器，例如将RJ-45用于LAN连接器618。

无线通信部件606是进行与客户CL1，CL2…CLn的无线通信的部件，并包括作为通信控制器的基带处理器620、作为射频(RF)部件的收发器部件622，并设置有功率放大器部件624和天线626。在无线通信部件606中，基带处理器620将数据传递给收发器部件622，数据经过收发器部件622调制，并被功率放大器部件624放大，然后经过天线626作为电磁波对客户CL1，CL2…CLn发送。来自客户CL1，CL2…CLn的电磁波被天线626接收，被收发器部件622解调，被基带处理器620解码，并被传递给CPU 600。

电源部件608提供恒定功率输出；向包括CPU 600等在内的电路结构的各种组件提供该恒定的功率输出。

接下来，参照图4说明各个客户设备CLm(＝CL1，CL2，…CLn)的构造示例。图4是示出本发明的客户设备CLm构造的构造示例的框图。在图4中，对与图1中相同的组件分配相同的附图标记。

客户CLm具有作为数据处理部件的CPU 800、存储部件802、无线通信部件804等。存储部件802由ROM、闪速ROM和RAM等构成，并且其中存储有上述与服务器设备4的管理工具12的安全设置软件120对应的安全设置软件806和其他软件。

无线通信部件804是进行与AP 6的无线通信的部件。无线通信部件804包括作为通信控制器部件的基带处理器808、作为射频(RF)部件的收发器部件810、功率放大器部件812和天线814。基带处理器808将数据传递给收发器部件810，收发器部件810对数据进行调制，并且功率放大器部件812放大数据，从而以电磁频率的方式经由天线814向AP 6发送数据。来自AP 6的电磁频率由天线814接收，由收发器部件810解调，然后由基带处理器808解码并由CPU 800接收。

接下来，参照图5说明自动化的安全设置。图5是示出通过客户设备、接入点设备和服务器设备的顺序处理步骤进行的自动化安全设置的流程图。在图5中，对与图1中相同的组件附以相同的附图标记。该流程图示出了不存在多个业务设置标识符(下文称为SSID)和虚拟LAN(下文称为VLAN)的情况。这里，SSID是识别网络的标识符，VLAN具有用于不受物理网络结构的限制而随意地划分网络的功能。

在自动化安全设置中，服务器设备4指示AP 6进行安全级SL＝0的初始设置(步骤S1)，根据该初始设置(SL＝0)，服务器设备4经由AP 6从客户设备CLm(CL1，CL2…CLn)中的一个接收作为识别信息的客户识别(下文称为ID)信息(步骤S2)。

客户ID信息包括代表每一个客户设备CLm的上述MAC信息等。服务器设备4根据所获悉的客户ID信息确认客户ID(步骤S3)。服务器设备4确定该客户是否记录在服务器设备4的列表中。如果发送客户ID的客户设备CLm为服务器设备4中记录的客户，则允许进行连接，经由AP 6向客户设备CLm赋予连接许可，并传递WEP(48)密钥作为被加密的信息(加密值组)(步骤S4)。对所有客户设备CL1，CL2…CLn执行由虚线包围的步骤S2至步骤S4的操作，因此该操作重复的次数与客户设备的数量“n”一样多。

客户设备CLm根据所发送的WEP(48)密钥执行安全设置(步骤S5)。由所有接收到该WEP(48)密钥的客户设备进行该安全设置。

接着，服务器设备4指示AP 6设置安全级SL＝1。在该流程图中，指示对WEP(48)进行设置(步骤S6)，根据SL＝1的安全设置，服务器设备4经由AP 6从客户CLm接收作为识别信息的客户设备CLm的客户ID信息(步骤S7)。该客户ID信息是上述MAC信息。服务器设备4根据所接收到的客户ID信息再次确认该客户ID，以确认客户是否为服务器设备4的列表中登记的客户(步骤S8)。如果发送客户ID的客户设备CLm是服务器设备4中登记的客户则允许继续连接，服务器设备经由AP6继续给出客户设备CLm的连接许可，并且发送各个客户CLm的证书(certification)作为加密信息(加密值组)(步骤S9)。将对所有客户设备CLm执行的被虚线包围的步骤S7至S9的操作重复与客户设备的数量“n”一样多的次数。

客户设备CLm根据由服务器设备4发送的证书执行安全设置(步骤S10)。由所有从服务器设备4接收到证书的客户设备执行该安全设置。

接着，服务器设备4指示AP 6设置安全级SL＝2。在这种情况下，指示设置IEEE 802.1X(步骤S11)。根据该安全设置(SL＝2)，对所有客户设备CLm执行常规的IEEE 802.1X认证(步骤S12)。

作为这种客户识别和逐级方式的安全设置，经过SL＝0，SL＝1，SL＝2完成安全设置，使得被执行安全设置的客户设备CLm能够进行正常操作(通信)(步骤S13)。

根据本实施例的结构，从服务器设备4经由AP 6对所有客户设备CLm(＝CL1，CL2，…CLn)自动地进行安全设置，此外，对于安全级设置了多个安全级，使得在安全设置的过程中加密值组不会被第三者窃取，从而可以确保通信的安全。

接着，参照图6说明管理工具12中的安全设置软件120的处理内容。图6是示出安全设置方法和安全设置程序的流程图。在图6所示的流程图中，“m”代表客户设备的编号，“n”代表客户数量，SL代表安全级，即，SL＝0：NoWEP，SL＝1：WEP(48[位])，以及SL＝2(IEEE 802.1X)。

通过启动安全设置软件120，将AP 6的安全设置设为SL＝0(：NoWEP)(步骤S21)。将客户设备号“m”选定为m＝1(步骤S22)，从而判断第一客户设备CLm(＝CL1)是否为可连接的客户设备(步骤S23)。该判断步骤确定客户设备是否为MAC地址被登记在服务器设备4中的客户设备。选择允许连接或者不允许连接。

如果不允许连接，则处理跳到步骤S32，如果允许连接，则客户设备CLm尝试与AP 6连接(步骤S24)。判断客户设备CLm的MAC地址是否存在于服务器设备4中的所登记的连接许可的列表中(步骤S25)。如果客户设备CLm被登记在该列表中，则判断客户设备CLm的连接是成功还是失败(步骤S26)。

这里，如果在步骤S25中客户设备CLm不存在于列表中，则客户设备CLm的连接不被许可(步骤S27)，流程进行到步骤S32。如果在步骤S26中客户设备CLm的连接以失败终止，则类似地，连接不被许可(步骤S28)并且处理进行到步骤S32。

如果客户设备CLm的连接成功，则确定安全级(SL)(步骤S29)。如果SL＝0，则当转变为安全级SL＝1时将WEP(48)密钥作为加密信息发送给客户设备CLm(步骤S30)，在客户设备CLm的连接断开之后，进行WEP(48)的设置(步骤S31)。

为了对所有客户设备CLm执行上述步骤，在设置了WEP(48)之后，确定客户设备号“m”是否为m＝n(步骤32)。如果m≠n，则由于还没有对所有客户设备CLm执行这些步骤，所以使当前的客户设备号“m”加1(＝m+1)(步骤S33)，然后处理回到步骤S23以执行从步骤S23至S32的步骤。

如果在客户设备号的判断步骤中(步骤S32)处理到达m＝n，则确定在最后一个客户设备CLn中完成了WEP(48)的设置。然后使安全级SL加1(＝SL+1)(步骤S34)，改变AP 6的安全设置SL(例如变成SL＝1)(步骤S35)，并且流程返回到步骤S22。

如果将客户设备号“m”选为m＝1(步骤S22)，并且如果在确定是否可连接的判断步骤(步骤S23)中不允许客户设备CLm(＝CL1)连接，则流程进行到步骤S32。如果允许连接，则客户设备CLm尝试与AP6连接(步骤S24)，判断客户设备CLm的MAC地址是否存在于服务器设备4中所登记的连接许可的列表中(步骤S25)。如果客户设备CLm存在于该列表中，则判断客户的连接是否成功(步骤S26)。

如果客户设备CLm的连接成功，则判断安全级(SL)(步骤S29)。如果当前的安全级为SL＝1，则将IEEE 802.1X的设定值(证书等)作为加密信息传递给客户设备CLm，以转变成安全级SL＝2(步骤S36)。在客户设备CLm的连接断开后实现IEEE 802.1X的设置(步骤S37)。

在上述步骤之后，确定客户设备号“m”(步骤S32)，使客户设备号“m”加1(＝m+1)(步骤S33)，然后对所有客户设备CLm进行将IEEE802.1X作为加密信息的设置。

当处理到达m＝n时，使安全级SL加1(＝SL+1)(步骤S34)，改变AP 6的安全级SL(例如变成SL＝2)(步骤S35)，并且处理返回到步骤S22。

在步骤S22至S29的处理之后，如果客户设备CLm的安全级为SL＝2，则在最终的连接许可之后，使客户设备CLm能够进行正常的操作(步骤S38)。在判定了客户设备号“m”(步骤S39)并使客户设备号“m”加1(＝m+1)(步骤S40)之后，通过最终的连接许可使所有的客户设备CLm能够进行正常的操作，从而完成所有步骤。

通过上述处理，可以使安全设置自动化，可以以逐级的方式设置多个安全级SL，以达到最终的安全级。加密值组在设置期间被第三者窃取的风险变低。

接着，参照图7A、图7B、图7C、图7D和图7E说明自动化的安全设置操作。图7A、图7B、图7C、图7D和图7E是示出自动化的安全设置操作的框图。在图7A、图7B、图7C、图7D和图7E中，对与图1中相同的组件附以相同的附图标记。

在图7A、图7B、图7C、图7D和图7E中，CLm(m＝1，2…n)代表允许“n”个客户设备CL1，CL2…CLn与AP 6连接。SSID0表示在该自动化设置操作的情况下没有多个SSID和VLAN。

在上述自动化的安全设置中(参照图5和图6)，开始时，允许连接目的地的所有客户设备CLm与AP 6无安全性(无WEP)地连接。具有管理工具12的服务器设备4确认与AP 6连接的客户设备CLm的ID信息(MAC地址等)，并且在确定了允许客户设备CLm连接之后对于要被赋予连接许可的客户设备CLm发送加密值组。在这种情况下，将WEP密钥信息(WEP 48)传递给客户设备CLm。通过使用加密值组，对于客户设备CLm和AP 6进行新的安全设置，以在设备之间进行相互通信。在这种情况下，由于在没有加密(不安全)的情况下发送高级别的安全设置信息(如识别密钥)很危险，因此从较低级别的状态起以逐级的方式提高安全级。

然后，例如为在不安全状态(NoWEP)中被赋予连接许可的客户设备CLm发送WEP 48[位]的WEP密钥信息。在接收到该WEP密钥信息(WEP 48)的客户设备CLm处根据该WEP密钥信息执行WEP 48[位]的安全设置。类似地，通过WEP 48[位]的安全设置使得AP 6侧能够进行通信。

在这种情况下，AP 6立即向利用WEP 48[位]而被设置为可通信状态的客户设备CLm发送下一加密值组，例如，WEP 64[位]的WEP密钥信息。在接收到WEP密钥信息(WEP 64)的客户设备CLm处通过WEP 64[位]进行安全设置。类似地，在AP 6侧，为了进行通信，只需进行WEP 64[位]的安全设置。

按照以上步骤，以逐级的方式提高安全级，以使客户设备CLm达到安全级中的最高级别。在安全设置结束时，只剩下具有最高安全级连接的客户设备CLm能够进行所需的通信。在这种情况下，安全级的最高级别例如是AP 6所保持的安全级的最高级别。

如图7A所示，具有无安全设置(NoWEP)的连接许可的客户设备CLm经由AP 6将MAC信息通知服务器设备4，服务器设备4确认客户设备CLm是否为服务器设备4中所登记的连接许可的列表中的终端。

如图7B所示，如果客户设备CLm被允许连接，则从服务器设备4经由AP 6向客户设备CLm传递WEP密钥信息。客户设备CLm的安全设置软件806(参见图4)接收该WEP密钥信息，用来针对WEP 48[位]改变安全设置。

对所有客户设备CL1，CL2，…CLn进行图7A和7B中的上述处理，并且通过WEP设置使得它们能够进行通信。类似地，在AP 6中进行WEP设置。

如图7C所示，以WEP 48[位]连接的客户设备CLm经由AP 6向服务器设备4发送MAC信息，以存储在服务器设备4中，并且该MAC信息用来再次确认客户设备CLm是否为允许连接的对象。

在这种情况下，如图7D所示，如果客户设备CLm是允许连接的设备，则从服务器设备4经由AP 6为该设备分配IEEE 802.1X的安全设置信息(如证书)。客户设备CLm的安全设置软件806(参见图4)接收IEEE802.1X设置信息，用来将安全设置变为IEEE 802.1X。

对于连接目的地的所有客户设备CLm执行上述将安全级从WEP48[位]变成IEEE 802.1X的设置处理，使得所有客户设备CLm能够以IEEE 802.1X设置进行通信，AP 6也变为IEEE 802.1X安全设置。

虽然图中未示出，但是如果客户设备CLm为允许连接的设备，则服务器设备4可以将WEP 64[位]作为WEP密钥信息经由AP 6提供给客户设备CLm，从而将客户设备CLm的安全设置变成WEP 64[位]。对于允许通过WEP 64[位]连接的客户设备CLm，服务器设备4可以经由AP 6从所连接的客户设备CLm接收MAC信息，从而再次确认所连接的客户设备CLm是否为允许连接的对象。

如图7E所示，通过以IEEE 802.1X进行设置，所有客户设备CLm完成最终安全级别的连接，各个客户设备CLm能够通过无线LAN 10经由AP 6与服务器设备4正式通信。

在上述自动化的安全设置中，可以按照如图8所示的逐级的方式提高安全级(SL)。图8是示出安全设置级别的示例的表。如该表中所示，可以随意地选择安全级的内容，例如，表中的例3示出省略了例1中的SL＝2、3或例2中的SL＝1、3，以设置WPA安全级SL＝2。安全级的总数是随意的。

如上所述，可以从AP 6侧自动地设置客户设备CLm的安全性，而且，以逐级的方式经过多个安全级来设置最终的安全级，从而在安全设置期间加密值组被第三方窃取的风险几率较小，由此提高了通信安全。

[第二实施例]

参照图9说明本发明的第二实施例。图9是示出根据本发明第二实施例的无线LAN设备的概要的框图。在图9中，对与图1中相同的组件附以相同的附图标记。

在根据第二实施例的无线LAN设备2中，使用单个AP 6包括了多个业务设置标识符(下文称为SSID)/虚拟LAN(下文称为VLAN)，对每个SSID都提供安全设置。换言之，对具有单个无线接口的AP 6(即，基带处理器620、收发器部件622和功率放大器部件624(参见图3))设置多个SSID，而且，可以分别设置多个SSID中的每一个的VLAN，用来分别地设置安全性。SSID是由字母数字字符定义的标识符，用于识别网络或者客户设备CL1，CL2，…CLn。通过对作为连接设备的AP 6和客户设备CLm设置相同的SSID，使得能够进行通信。在这种情况下，AP 6设置有与客户设备CL1，CL2，…CLn的数量对应的LAN端口，并且由客户设备CL1，CL2，…CLn经由LAN端口进行访问。此外，VLAN是虚拟通信网络，并具有不受物理网络结构的限制而随意划分网络的功能。更具体地，VLAN具有通过使用与VLAN兼容的交换设备等将客户设备CLm逻辑地划分成多个组的功能。

VLAN交换设备5位于服务器4与AP 6之间，在AP 6中设置有多个SSID/VLAN，并且可以针对每个SSID设置不同的安全设置。VLAN交换设备5是与VLAN兼容的交换集线器，并且具有将客户设备逻辑地划分成多个组的功能。为客户设备CLm和AP 6设置相同的SSID。如上所述，客户设备CLm中存储有安全设置软件806(参见图4)，用来与服务器设备4中的管理工具12的安全设置软件120协同工作。在这种情况下，经由VLAN交换设备5在服务器设备4与AP 6之间构成有线LAN 8，并且VLAN0、VLAN1、VLAN2代表通过VLAN交换设备5的交换而设置的分离的多个有线LAN。

根据上述构造，可以使用单个AP 6构造多个SSID/VLAN。根据本构造，可以在不减少AP 6的通信操作的同时，对各个SSID的每个设置自动地设置安全性。

在根据本发明本实施例的无线LAN设备2(参见图9)中，作为服务器设备4，可以使用具有与图2中所示的服务器设备4相同结构的服务器设备。作为AP 6，可以使用具有与图3中所示的AP 6相同结构的接入点设备，并且作为客户设备CLm，可以使用具有与图4所示的客户设备CLm相同结构的客户设备，从而省略对这些构造示例的说明。

参照图10说明自动化的安全设置。图10是示出自动化的安全设置的顺序步骤的流程图。在图10中，对与图9中相同的组件附以相同的附图标记。

在这种情况下，存在多个SSID和VLAN。在所述自动化的安全设置中，从服务器设备4向AP 6指示SSID0/VLAN0：SL＝0，SSID1/VLAN1：SL＝1和SSID/VLAN2：SL＝2作为初始安全级设置(步骤S41)。根据此初始安全级，服务器设备4经由AP 6从客户设备CLm接收作为标识信息的客户ID信息(SSID0/VLAN0)(步骤S42)。该客户ID信息包括代表客户设备CLm的上述MAC信息等。服务器设备4根据所接收的客户ID信息确认客户ID(步骤S43)，并且确定客户设备是否为服务器设备4中的列表中登记的客户。如果发送客户ID的客户设备CLm为服务器4中登记的客户，则允许连接，经由AP 6向客户设备CLm赋予连接许可，并且经由AP 6发送WEP(48)密钥作为加密信息(加密值组)(步骤S44)。

根据所发送的WEP(48)密钥在客户设备CLm处进行安全设置(步骤S45)。接着，服务器设备4经由AP 6从客户设备CLm接收客户ID信息(SSID1/VLAN1)作为识别信息(步骤S46)。服务器设备4根据接收到的客户ID信息再次对客户ID进行确认(步骤S47)，并且确定客户设备是否为服务器设备4中的列表中登记的客户。如果发送客户ID的客户设备CLm为服务器4中登记的客户则允许继续连接，经由AP 6向客户设备CLm赋予连接许可，并且经由AP 6发送作为加密信息(加密值组)的客户设备CLm的证书(步骤S48)。

根据从服务器设备4发送的证书，在客户设备CLm处进行安全设置(步骤S49)，进行常规IEEE 802.1X识别(SSID2/VLAN2)(步骤S50)。

经过这种以SL＝0，SL＝1和SL＝2的逐级方式的客户识别和安全设置来完成安全设置。于是使得被进行了安全设置的客户设备CLm能够进行正常的操作(通信)(步骤S51)。在这种情况下，针对所有客户设备CLm进行上述步骤S41至S51，用以使得在完成安全设置后所有客户设备CLm都能够进行正常的操作。

根据上述结构，可以从服务器设备4经由AP 6对所有客户设备CLm(＝CL1，CL2…CLn)分别且同时地实施安全设置。而且，可经过多个安全级别设置安全性，因此在安全设置期间加密值组不会被第三方窃取，从而确保了通信安全。在这种情况下，由于在安全设置期间使用了多个SSID而且不打断AP 6的操作，因此可以在不干扰其他客户设备CLm的通信的情况下对客户设备CLm进行自动化的安全设置。

接着，参照图11说明管理工具12中的安全设置软件120的处理。图11是示出安全设置方法和安全设置程序的流程图。

在图11所示的流程图中，“m”代表客户号，“n”代表客户设备的数量，客户设备CLm(CL1，CL2…CLn)可在每个任意定时进行安全设置。SL代表安全级，例如，SL＝0：NoWEP，SL＝1：WEP 48[位]，SL＝2：IEEE802.1X。

在自动化的安全设置中，服务器设备4指示AP 6进行安全级的初始设置，AP 6的安全级例如被设置为：SSID0/VLAN0＝NoWEP(SL＝0)，SSID1/VLAN1＝WEP48[位](SL＝1)，SSID2/VLAN2＝IEEE 802.1X(SL＝2)(步骤S61)。

在以上初始设置之后，判断客户设备CLm是否为可允许连接的客户(步骤S62)，如果不可连接，则操作终止。如果允许连接，则客户设备CLm尝试连接到AP 6(步骤S63)。确定客户CLm的SSIDx的设置值“x”是否为x＝0，x＝1或x＝2中的任何一个。如果x＝0：SSID0{SL＝0(NoWEP)}，则确定客户设备CLm的MAC地址是否存在于服务器设备4中所登记的连接许可的列表中(步骤S65)。如果客户设备CLm登记在列表中，则判断客户设备CLm的连接是否成功(步骤S66)。如果在步骤S65中客户设备CLm不存在于列表中，则不允许客户设备CLm连接，类似地，如果在步骤S66中客户设备CLm的连接失败，则也不允许客户设备CLm连接，操作因此终止。

如果客户设备CLm的连接成功，则将安全级SL＝1的信息(包括SSID1，WEP48位密钥)作为加密信息发送(步骤S67)。在客户设备CLm的连接断开后，进行SL＝1的设置(SSID1和WEP 48设置)(步骤S68)并且流程返回步骤S62。

再次进行是否为允许连接的客户的确定(步骤S62)、连接尝试(步骤S63)、SSIDx的设置值“x”的确定(步骤S64)。如果x＝1：SSID1{SL＝1(WEP 48[位])}，则确定客户CLm的MAC地址是否在服务器设备4中登记的连接许可的列表中(步骤S69)，如果客户设备CLm是列表中登记的客户，则确定客户设备CLm的连接是否成功(步骤S70)。如果在步骤S69中客户设备CLm不存在于列表中，则不允许客户CLm的连接。如果在步骤S70中客户CLm的连接失败，则类似地，不允许连接，并且处理相应地终止。

如果客户CLm的连接成功，则将安全级SL＝2的信息{包括SSID2和IEEE 802.1X设置值(证书等)}作为加密信息发送给客户设备CLm(步骤S71)。在客户设备CLm断开连接之后，进行SL＝2的设置{SSID2，IEEE802.1X设置}(步骤S72)，并且流程返回步骤S62。

再次进行是否为允许连接的客户的判断(步骤S62)、连接尝试(步骤S63)、SSIDx的设置值“x”的确定(步骤S64)。如果x＝2：SSID2{SL＝2(IEEE802.1X)}，则确定客户CLm的MAC地址是否在服务器设备4中登记的连接许可的列表中(步骤S73)，如果客户设备CLm被登记在列表中，则确定客户设备CLm的连接是否成功(步骤S74)。如果在步骤S73中客户设备CLm不存在于列表中，则不允许客户CLm的连接。如果在步骤S74中客户CLm的连接失败，类似地，不允许连接，并且处理相应地终止。

如果客户CLm的连接成功，则作为最终的连接许可的结果，客户设备变得能够进行正常的操作，并且所有处理终止。

接着，参照图12A、图12B、图12C、图12D和图12E说明自动化的安全设置操作。图12A、图12B、图12C、图12D和图12E为示出自动化的安全设置操作的框图。在图12A、图12B、图12C、图12D和图12E中，对与图1中相同的组件分配相同的附图标记。在图12中，客户设备CLm(m＝1，2…n)代表要被允许与AP 6连接的“n”个客户设备CL1，CL2，…CLn。这种自动化的设置操作适合于具有多个SSID和VLAN的结构的情况。图中的SSID0、SSID1和SSID2表示多个SSID。

在AP 6中，可以在一个射频接口中设置多个SSID，分别设置单独的VLAN且分别设置单独的安全设置。对于SSID0设置VLAN0，对于SSID1设置VLAN1，而对于SSID2设置VLAN2(从而对于SSIDx设置VLANx)。

SSID0是允许所有客户设备CLm在没有安全性(NoWEP)的情况下与AP 6连接的设置。SSIDx(x≠0)表示任意的安全设置。

首先，客户设备CLm与AP 6的SSID0连接。由服务器设备4的管理工具12的安全设置软件120对所连接的客户设备CLm的ID号(MAC地址)进行确认，并对于要允许连接的客户设备CLm发送加密值组。

对使用了该加密值组的AP 6准备可选的SSIDx号，客户设备CLm通过使用所发送的加密值组执行安全设置，并且再次与SSIDx连接，使得设备之间能够进行通信。在这种情况下，在没有加密(不安全)的情况下发送高级别的安全设置信息(如识别密钥等)是很危险的，因此从较低的安全级起以逐级的方式提高安全级。

向允许在不安全(NoWEP)状态下进行连接的客户设备CLm发送WEP 48[位]的WEP密钥信息。

客户设备CLm通过接收到的WEP密钥来设置WEP 48[位]的安全性。在AP 6侧，准备已经通过同一WEP 48[位]设置的SSIDy，客户设备CLm再次与AP 6的SSIDy连接，使得能够进行通信。

在这种情况下，在建立了通信之后，立即从AP 6向客户CLm发送诸如WEP 64[位]的WEP密钥信息，客户设备CLm通过接收到的WEP密钥来设置WEP 64[位]的安全性。在AP 6侧，准备已经通过同一WEP64[位]设置的SSIDz，并且客户设备CLm再次与AP 6的SSIDz连接，使得能够进行通信。

通过这种方式，以逐级的方式将安全级增加到对客户设备CLm提供的最高安全级。最后，只有成功地以最高安全级连接的客户设备CLm可以保留，并可以进行目标通信。在这种情况下，最高安全级的上限例如是AP 6的最高安全级。

如图12A所示，在不安全(NoWEP)状态下对AP 6的SSID赋予连接许可。允许连接的客户设备CLm将其MAC信息经由AP 6发送给服务器设备4。确认客户设备CLm是否为服务器设备4中登记的连接许可的列表中的终端，即，连接目的地。

如图12B所示，如果允许客户设备CLm连接，则服务器设备4将WEP密钥信息经由AP 6分配给客户设备CLm。客户设备CLm通过使用安全设置软件806(参照图4)接收WEP密钥信息，以针对WEP 48[位]改变安全设置。

如图12C所示，对于以WEP 48[位]连接的客户CLm，该客户设备CLm与AP 6的SSID1连接。服务器设备4经由AP 6从所连接的客户设备CLm接收MAC信息，以再次确认是否可允许客户设备CLm连接。

在这种情况下，如果客户设备CLm为允许连接的设备，则如图12D所示，服务器设备4经由AP 6为客户设备CLm分配用于IEEE 802.1X的设置信息(如证书等)，客户设备CLm通过安全设置软件806(参见图4)接收IEEE 802.1X设置信息，用来针对IEEE 802.1X改变安全设置。

对作为连接目标的所有客户设备CLm分别执行将安全级从WEP48[位]变成IEEE 802.1X的设置处理，于是使得所有客户设备CLm能够以IEEE 802.1X的设置进行通信，并且AP 6也变成IEEE 802.1X的设置。

虽然图中未示出，但是如果客户设备CLm是允许连接的客户，则服务器设备4将WEP 64[位]作为WEP密钥信息经由AP 6分配给客户设备CLm，并且将安全设置变成WEP 64[位]。对于以WEP 64[位]连接的客户设备CLm，服务器设备4经由AP 6从所连接的客户设备CLm接收MAC信息，用来再次确认客户设备CLm是否为允许连接的目标客户。

如图12E所示，客户设备CLm再次与AP 6的SSID2连接，并且通过作为最终安全级的IEEE 802.1X设置对所有客户设备CLm进行设置，并且完成连接。使得各个客户设备CLm都能够利用无线LAN经由AP 6与服务器设备4进行正常的通信。

图13是示出上述自动化安全设置的安全级(SL)的其他示例的表。将这些设置处理重复“n”次(客户设备CL1，CL2…CLn的数量)以完成安全设置。

通过这种方式，在使用多个SSID的情况下，在进行安全设置处理期间不停止AP 6的运行，从而不打扰其他客户设备CLm的通信，而在客户设备CLm中自动地设置安全性。此外，如上所述，可以从AP 6侧自动地设定客户设备CLm的安全设置，而无需手工设定。而且，可以经过多个安全级将安全级提高到最终的安全级，从而可以降低加密值组在安全设定期间被第三方窃取的风险，从而提高了通信安全性。

此外，不仅可以按照逐级的方式使安全级越来越高，而且可以按照逐级的方式将设定在较高级别的安全级变低。就系统而言，如果认为不再需要证书，则使该过程生效。

对上述实施例的改进示例列举如下：

(1)在以上实施例中，AP 6独立于服务器设备4安装，然而，服务器设备4和AP 6可以集成为一个结构，而且本发明还可应用于不使用AP 6的无线LAN。

(2)AP 6可以是配备有计算机的结构，也可以是具有交换设备的中继器。

根据本发明，实现了无线通信网络与连接目的地的自动化安全设置。可以以逐级的方式设定无线通信网络和要连接的连接目的地的安全级，从而可以在不干扰其他连接目的地的操作的情况下实现针对特定连接目的地的安全设置，并避免遭受第三方的窃取。

虽然以上说明了本发明的最优选实施例，但是本发明并不限于该说明，本领域技术人员可以在权利要求限定的或说明书中公开的本发明的要点的基础上自然地改进或修改本发明，当然这种改进和修改在本发明的范围之内。