无线通信终端、保护其中数据的方法、程序及记录媒体

摘要

本发明的名称为无线通信终端、保护其中数据的方法、程序及记录媒体，保持在无线通信终端中保存的文件或应用程序的安全性。无线通信终端执行的过程包括以下步骤：基于从无线通信I/F发送的信号检测(S5)用于无线LAN(无线局域网)的接入点；获取(S520)检测到的接入点的SSID(和MAC地址)；基于获取的SSID参考(S530)在硬盘中存储的访问管理数据；以及基于访问管理数据限制(S540)对文件或程序的存取。

说明书

技术领域

本发明涉及一种用于保护在无线通信终端中保存的数据的技术，并且具体地说，涉及一种用于依据可建立无线通信的范围保护数据的技术。

背景技术

笔记本个人计算机、便携式电话、PDA(个人数字助理)或其它无线通信终端具有大容量的存储装置，并且能够保存文档数据、电子表格数据或其它文件、仿真软件、电子支付系统或其它应用程序。另外，随着便携性的改进，无线通信终端可使用的位置并不限于办公室或家中，而包括了可建立无线通信的公共区域，如车站。

为将无线通信终端连接到网络以便使用，应设置允许与网络建立通信的参数。

例如，日本公开特许公报(未审查)2007-143117公开了一个用于简化通信参数的设置而不让用户注意到该通信参数的发明。在设置通信参数中，根据本发明的通信装置基于其自己的网络标识符标识设置无线网络的通信参数。在可标识与通信装置的网络标识符匹配的网络标识符时，为无线网络内的通信装置设置通信参数。如果网络标识符的标识失败，则切换为通信参数的手动设置(参阅摘要)。

日本公开特许公报(未审查)2005-142848公开了一个涉及具有提高的安全性的无线LAN(局域网)系统，降低在鉴定服务器和网络上的负载并且鉴定连接到无线LAN的客户端的发明。根据此发明，接入点3在高速缓冲存储器中存储用于鉴定客户端2的鉴定信息，参考鉴定信息，并且代表鉴定服务器1鉴定已请求接入无线LAN 5的客户端2。因此，可获取其中减少在接入点3与鉴定服务器1之间的安全性信息传输，提高安全性及减轻在鉴定服务器1和网络4上负载的无线LAN系统(参阅摘要)。

另外，日本公开特许公报(未审查)2004-266870公开了一个涉及参数设置系统的发明，其中可自动设置将个人计算机通过无线LAN连接到连接目标网络所需的一组参数。根据此发明，在连接目标网络中提供的接入点发送信标13，信标13包括表示在该一组参数中一个参数的SSID(服务集标识)码。个人计算机20包括通过无线LAN接收信标13和提取SSID码的SSID提取器14、具有该一组参数的网络连接信息文件17、寄存器19及参数检测器；在从SSID提取器14接收的SSID码与网络连接信息文件17中该一组参数中的一个参数匹配时，参数检测器将网络连接信息文件17中该一组参数输出为检测到的参数，并在寄存器19中将该检测到的参数作为设置参数写入(参阅摘要)。

另外，有关无线通信终端的使用，用户可能遗漏无线通信终端，或者无线通信终端可能被偷窃。因此，无线通信终端的安全性也引发了问题。

日本公开特许公报(未审查)2004-304344公开了一个能够在即使计算机终端被偷窃的情况下防止机密数据泄露的发明。根据此发明，计算机终端装置50请求与无线LAN接入点30的连接、传送请求到无线LAN接入点30，通过确定与无线LAN接入点30的连接是否已建立及无线LAN接入点30的已接收MAC(媒体存取控制)地址是否与事先登记的MAC地址匹配来识别安全性区，将在安全性区中要求数据安全性服务的数据登记为登记数据，限制对登记数据的访问，以及在计算机终端装置50被标识为在安全区外时放弃登记数据；并且服务器装置传送无线LAN接入点30的MAC地址以响应请求(参阅摘要)。

根据如上所述的常规技术，可根据无线LAN的接入点(SSID)更改网络的各种类型设置(如代理、DHCP(动态主机配置协议)的有效性/无效性、IP(因特网协议)地址或诸如此类)。另外，根据在日本公开特许公报2004-304344中公开的技术，为保持在无线通信终端中保存的数据安全性，需要提供安全性服务的服务器装置。因此，用于保持安全性的配置变得复杂，并且安全性无法以简单的方式提高。

发明内容

本发明为解决上述问题而形成，并且本发明的一个目的是提供一种无线通信终端，能够保护存储在其中的诸如文件和应用程序等数据。

本发明的另一目的是提供一种用于保护在无线通信终端中存储的诸如文件和应用程序等数据的方法。

本发明的另一目的是提供程序，以实现用于保护在无线通信终端中存储的诸如文件和应用程序等数据的方法。

本发明的另一目的是提供一种记录媒体，存储了程序以实现用于保护在无线通信终端中存储的诸如文件和应用程序等数据的方法。

总之，根据本发明一方面的无线通信终端包括：通信单元，配置为通过无线电传递信号；存储单元，配置为存储文件或程序、用于标识可与无线通信终端通信的多个基站中每个基站的多段标识数据及用于为每个基站控制对文件或程序的访问且与每段标识数据相关联的访问管理数据；显示单元，配置为显示图像；以及控制单元，配置为控制无线通信终端的操作。控制单元配置为基于通信单元接收的信号检测可与无线通信终端通信的基站，并基于与检测到的基站的标识数据相关联的访问管理数据，控制对文件或程序的访问。

优选是访问管理数据包括至少以下任何数据：定义文件名显示许可的数据；定义文件读取许可的数据；定义在文件中写入许可的数据；以及定义程序执行许可的数据。

优选是控制单元配置为感测检测为可与其建立通信的基站的基站更改，并在与新感测的基站相关联的访问管理数据不同于与感测更改前已检测的基站相关联的访问管理数据时，基于与新感测基站相关联的访问管理数据控制对文件或程序的访问。

优选是基于多段访问管理数据的数据保护标准对于每段访问管理数据不同。控制单元配置为在与每个检测到的基站相关联的访问管理数据的保护标准不同时，基于保护标准中更高的访问管理数据控制对文件或程序的访问。

优选是除标识数据外，访问管理数据与用于标识通信网络上节点的数据相关联。

根据本发明另一方面用于保护在无线通信终端中存储的数据的方法包括以下步骤：基于通过无线通信接口接收的信号检测基站；指定与检测到的基站相关联的访问管理数据；以及基于与检测到的基站相关联的访问管理数据，控制对无线通信终端中存储的文件或程序的访问。

根据本发明的另一方面，提供了用于保护在无线通信终端中存储的数据的程序。程序使无线通信终端执行以下步骤：基于通过无线通信接口接收的信号检测基站；指定与检测到的基站相关联的访问管理数据；以及基于与检测到的基站相关联的访问管理数据，控制对无线通信终端中存储的文件或程序的访问。

根据本发明还有的另一方面，提供了一种计算机可读记录媒体，媒体存储了用于保护在无线通信终端中存储的数据的程序。程序使无线通信终端执行以下步骤：基于通过无线通信接口接收的信号检测基站；指定与检测到的基站相关联的访问管理数据；以及基于与检测到的基站相关联的访问管理数据，控制对无线通信终端中存储的文件或程序的访问。

从结合附图时进行的下面本发明的详细说明中，本发明的上述和其它目的、特性、方面和优点将变得更清晰。

附图说明

图1是示出在根据本发明第一实施例的无线通信终端在一个不同通信区域中时在显示器上显示内容的图形。

图2是示出根据本发明第一实施例的无线通信终端100实现的功能配置的框图。

图3是示出起无线通信终端100作用的计算机系统300的硬件配置的框图。

图4是在概念上示出在硬盘350中数据存储的一种方式的图形。

图5是示出起无线通信终端100作用的计算机系统300的CPU

310执行的一系列进程一部分的流程图。

图6是示出根据本发明第二实施例的无线通信终端600实现的功能配置的框图。

图7是示出在无线通信终端600中控制单元610执行的一系列进程一部分的流程图。

具体实施方式

在下文中将参照图形描述本发明的实施例。在下面的描述中，相同的要素指定有相同的标号，并且及标签和功能也完全相同。因此，将不重复其详细说明。

<第一实施例>

参照图1，将描述根据本发明第一实施例的无线通信终端100中文件显示的方式。图1是示出在根据本实施例的无线通信终端100位于一个不同通信区域中时在显示器上显示内容的图形。

无线通信终端100例如由便携式电话、笔记本或膝上型计算机系统、PDA(个人数字助理)、便携式导航终端或其它便携式信息处理终端实现。通信区域例如分类成内联网区域110、私人区域120和公共区域130。

在本实施例中，内联网区域110例如指无线通信终端100的用户工作所在公司中的网络和只允许特定用户通信的其它区域。私人区域120指无线通信终端100的用户的家和只有该用户使用终端的其它区域。公共区域130指无论大众用户可通过无线电通信的区域，如车站、机场或其它商业场所。

在内联网区域110中，无线通信终端100的用户使用该无线通信终端100例如从公司中的网络下载诸如文件或应用程序等数据。例如，应用程序是存储在由公司和其它组织使用的服务器装置中的程序，并且只为已登记用户提供信息处理服务。

在内联网区域110中，无线通信终端100具有所有权限，如对文件或应用程序的访问权限。此处，访问权限包括文件名的显示许可、文件的读取许可、将数据写入文件中的许可、应用程序的执行许可及诸如此类。只要用户在内联网区域110中使用无线终端100，用户便可访问在无线通信终端100中保存的文件，更改文件中的内容或者执行应用程序。

在用户将无线通信终端携带出到家中或其它私人区域120，无线通信终端100便感测与其建立无线通信的基站更改，并且基于感测更改对文件或应用程序的访问权限。例如，在图1中所示的示例中，在无线通信终端100中禁止将数据写入文件中。

另外，一些情况下，用户在出差或诸如此类时带上无线通信终端100。此处，无线通信终端100可能由于被遗漏或偷窃而位于公共区域130中。此处，无线通信终端100感测可与其建立无线通信的基站更改，并且基于感测结果，无线通信终端100在显示器上显示不存在任何内容的指示(例如，诸如“无文件(No File)”等字符)以便保护在无线通信终端100中存储的文件或应用程序。由于有了此类指示，无线通信终端100的捕获器无法识别其中保存的文件或应用程序。因此，阻止了文件查看、应用程序执行或诸如此类，保持了无线通信终端100的安全性。

参照图2，将描述根据本实施例的无线通信终端100的配置。图2是示出由无线通信终端100实现的功能配置的框图。无线通信终端100包括控制单元210、通信单元220、输入单元230、存储单元240及显示单元250。控制单元210包括基站检测单元212、访问控制单元214及显示控制单元216。

控制单元210控制无线通信终端100的操作。通信单元220通过无线电传递信号。输入单元230接受到无线通信终端100的指令输入并根据该输入提供信号到控制单元210。

存储单元240存储从无线通信终端100外部提供的文件、应用程序和其它数据或在无线通信终端100中生成的数据。

显示单元250在控制单元210的控制下显示图像。显示的图像包括基于在存储单元240中存储的文件的图像或根据应用程序执行生成的图像。

优选是控制单元210基于通信单元220接收的信号，检测可与无线通信终端100通信的基站。另外，控制单元210作为访问控制单元214，基于与基站检测单元212检测到的基站标识数据相关联的访问管理数据，控制对文件或应用程序的访问。访问控制例如可在OS(操作系统)级上实现，或者访问控制可进行配置，以便在存储器区域中提供特定的访问控制区域，并且通过特定的应用程序控制访问。

优选是访问管理数据包括至少以下任何数据：用于定义文件名的显示许可的数据；用于定义文件的读取许可的数据；用于定义在文件中数据写入的数据；以及用于定义应用程序的执行许可的数据。

基于来自访问控制单元214的指令，显示控制单元216使显示单元250基于文件或应用程序显示图像。例如，在访问控制单元214将禁止文件名显示的数据提供到显示控制单元216时，显示单元250只基于诸如“无文件”或“无文件和应用程序存在”等事先设置的字符显示图像，而不显示特定的文件名。这种情况下，查看显示单元250的查看者(例如，无线通信终端100用户之外的其它人员)不会认识到特定的文件或应用程序保存在无线通信终端100中的事实。此处，访问控制单元214禁止对硬盘装置和其它存储装置进行数据访问。

另外，在访问控制单元214将允许文件读取的数据提供到显示控制单元216时，显示控制单元216使显示单元250基于在存储单元240中存储的数据显示基于文件或应用程序的图像。另外，此处，在访问控制单元214将禁止写入文件的数据提供到显示控制单元216时，提供到输入单元230的数据或其它输入不为控制单元210所接受，并且在存储单元240中存储的数据得到保护。

另一方面，优选是基于每段访问管理数据的数据保护标准对于每段访问管理数据是不同的。控制单元210检测多个基站。如果与每个检测到的基站相关联的访问管理数据的保护标准不同，则控制单元210基于保护标准更高的访问管理数据控制对文件或应用程序的访问。此处，数据保护标准根据每段访问管理数据中允许的项目数量定义。备选，例如，定义可使得数据保护标准以文件名显示、文件读取和在文件中写入(或应用程序执行)的顺序降低。

在仍有的另一方面，除用于标识基站的数据外，访问管理数据可与用于标识通信网络上节点的数据相关联，如MAC(媒体存取控制)和其它数据。

参照图3，此处将描述根据本实施例的无线通信终端100的特定配置的一种方式。图3是示出起无线通信终端100作用的计算机系统300的硬件配置的框图。计算机系统300包括的主要组件有CPU(中央处理器)310、鼠标320、键盘330、RAM(随机存取存储器)340、硬盘350、光盘驱动器装置360、无线通信I/F(接口)370、监视器380及通信I/F 390。CD-ROM(压缩光盘只读存储器)和其它光盘可附接到光盘驱动器装置360。

CPU 310基于提供到计算机系统300的指令控制计算机系统300的操作。鼠标320和键盘330接受到计算机系统300的指令输入。RAM340以易失性方式存储CPU 310生成的数据或者从计算机系统外部提供的数据。硬盘350以非易失性方式存储CPU 310生成的数据或者从计算机系统300外部提供的数据。闪存或其它记录媒体可用作非易失性存储装置以替代硬盘350。

光盘驱动器装置360接受CD-ROM 362、DVD-R(可刻录数字多功能光盘)和其它记录媒体的附接，并读取在记录媒体中存储的数据。另外，如果记录媒体是可写入数据的媒体，则光盘驱动器装置360也可将数据写入记录媒体。

基于来自CPU 310的指令，无线通信I/F 370通过无线电与在计算机系统300附近的基站通信。无线通信的方式不受特别限制。

监视器380基于RAM 340中存储的数据显示图像。可使用专用的显示存储器。

通信I/F 390接受以太(Ethernet)(商标)电缆和其它通信电缆的连接，并通过电缆建立通信。

计算机系统300中的处理由CPU 310执行的每段硬件和软件实现。此类软件可事先存储在硬盘350中。备选，软件可存储在CD-ROM362或其它记录媒体中，并且作为程序产品分发。备选，软件可提供为能够由连接到所谓因特网的信息提供商下载的程序产品。此类软件由CD-ROM驱动器装置360或其它读取装置从记录媒体读取，或者通过通信I/F 390或无线通信I/F 370下载，并且之后通过RAM 340存储在硬盘350中。软件由CPU 310从硬盘350中读取并以可执行程序的形式存储在RAM 340中。CPU 310执行该程序。

构成图3所示计算机系统300的每个组件是常见的。因此，可以说本发明的最基本部分是存储在RAM 340、硬盘350、CD-ROM 362或其它记录媒体中的软件或可通过因特网或其它网络下载的软件。由于计算机系统300的硬件操作已为人熟知，因此，详细的描述将不重复。

要注意的是，记录媒体并不限于CD-ROM 362，并且可实现为安全携带程序的媒体，如FD(软磁盘)、磁带、盒式磁带、光盘(MO[磁光盘])/MD(微型光盘)/DVD(数字多功能光盘)、IC(集成电路)卡(包括存储器卡)、光学卡及诸如ROM、EPROM(电可擦除ROM)、EERPOM(电可擦除可编程ROM)和闪存ROM等半导体存储器。

另外，本文中的程序并不限于可由CPU 310直接执行的程序，而是可包括源程序格式的程序、压缩程序、加密的程序及诸如此类。

现在将参照图4，描述无线通信终端100的数据结构。图4是在概念上示出在硬盘350中数据存储的一种方式的图形。硬盘350包括用于存储数据的多个区域。

用于标识访问权限组的数据存储在区域410中。用于标识可与无线通信终端100建立无线通信的基站的数据存储在区域420中。数据例如是SSID(服务集标识符)，但其它标识符也可使用。访问管理数据存储在区域432、434和436中。更具体地说，定义文件名的显示许可的数据存储在区域430中。在该数据指示文件名的显示许可的情况下，即使在读取数据时也显示文件名。另一方面，在禁止文件名显示的数据存储在区域430中的情况下，即使指示文件名显示的指令提供到无线通信终端100，也不显示具体的文件名。

定义文件的读取许可的数据存储在存储器区域432中。如果此数据禁止文件读取，则即使文件读取命令提供到无线通信终端100，也不读取文件。

定义在文件中写入许可的数据存储在存储器区域434中。在该数据指示禁止在文件中写入的情况下，提供到输入单元230的用户输入不会反应在文件上。定义应用程序的执行许可的数据存储在区域436中。在该数据允许应用程序执行的情况下，无线通信终端100基于指示执行的外部提供的指令执行应用程序。另一方面，在禁止应用程序执行的数据存储在区域436中的情况下，无线通信终端100继续只基于程序显示图像而不执行该程序。

无线通信终端100的用户在内部保存的数据例如存储在区域440、区域442和区域444中。更具体地说，文档数据(“plan.doc”、“address.doc”)存储在区域440和442中。文档数据用于由无线通信终端100持有的文档编辑程序。用于电子表格的文件存储在区域444中。此文件由所谓的电子表格软件使用。

可由CPU 310执行的程序分别存储在区域450、452、454、456和458中。应用程序存储在区域450中。应用程序例如是用于通过与连接到无线通信终端100的服务器装置(未示出)的通信来实现特定处理的程序。用于实现IP电话的程序存储在区域452中。访问控制程序存储在区域454中。CPU 310根据在区域430、432、434和436中存储的访问管理数据定义的内容执行程序。

用于允许无线通信终端100通过无线电与基站通信的程序存储在区域456中。用于实现无线通信终端100基本操作的操作系统存储在区域458中。

在禁止程序执行的数据结合存储的访问管理数据存储在区域436中的情况下，即使指示程序执行的命令提供到无线通信终端100，CPU310也不基于访问管理数据执行应用程序(区域450)。因此，可防止由于第三方使用应用程序造成的信息泄露。

现在将参照图5，描述根据本实施例的无线通信终端100的控制结构。图5是示出起无线通信终端100作用的计算机系统300的CPU310执行的一系列进程一部分的流程图。

在步骤S510中，基于从无线通信I/F370发送的信号，CPU 310作为基站检测单元212检测用于无线LAN(局域网)的接入点。

在步骤S520中，CPU 310作为获取单元(obtaining unit)213获取检测到的接入点的SSID(和MAC地址)。

在步骤S530中，CPU 310充当访问控制单元214，并且基于获取的SSID参考在硬盘350(区域430、432、434和436)中存储的访问管理数据。CPU 310从获取的SSID指定访问管理数据中的特定内容，并且在RAM 340中暂时受安全保护的区域中写入指示指定结果的数据。

在步骤S540中，CPU 310基于访问管理数据控制对文件或程序的访问，这将如下更具体描述。访问权限组1由CPU 310检测到的接入点的SSID(区域420)指定(区域410)时，获取诸如文件名称显示＝OK，文件读取＝OK，在文件中写入＝OK及应用程序执行＝OK的访问管理数据。此处，无线通信终端100可接受文件名显示、文件的读取和显示、写入数据到显示的文件及应用程序执行中的任何项。另一方面，如果基于检测到的接入点的SSID对应于访问权限组4，则上述访问管理数据对每个项目指示NG。此处，文件名不显示，文件也不可读取，并且写入文件也不允许。另外，应用程序也不可执行。

[无线通信终端100的操作]

下面将描述基于上述结构，根据本实施例的无线通信终端操作。

(用户属于组1的情况)

无线通信终端100的用户在工作时，对应于办公室1、办公室2和办公室3任何办公室的SSID被检测为基站组(图4，访问权限组1)。

在此访问权限组1中，访问管理数据的设置使得文件名显示、文件读取、在文件中写入数据及应用程序执行全部设为“OK”。因此，准许用户显示在无线通信终端中存储的文件名列表，通过打开文件来查看特定文件中的内容以及更改文件中的内容。

另外，在无线通信终端100具有特定应用程序(区域450)中时，用户可执行此类应用程序(区域436)。应用程序例如是在公司或家中电子支付系统中使用的仿真程序。

(用户属于组2的情况)

在用户将无线通信终端100带到家中时，无线通信终端100基于从用户家中安装的无线LAN终端发射的信号，将家检测为SSID(区域420)。此SSID属于访问权限组2(区域410)。在访问权限组2中，文件名的显示(区域430)和文件读取(区域432)设为“OK”。因此，准许无线通信终端100显示保存的文件列表，打开文件和显示内容。

另一方面，在文件中写入(区域434)和应用程序执行(区域436)设为“NG”。因此，不准许用户在打开的文件中写入数据，也不准许执行特定的应用程序。

(用户属于组3的情况)

当出差的用户在无线LAN通信可用的东京车站候车室中使用无线通信终端100时，无线通信终端100例如将东京车站的SSID检测为新SSID(图4区域410，访问权限组＝3)。

对于访问权限组号3，文件名的显示(区域430)设为OK。另一方面，访问管理数据的设置使得文件读取(区域432)、在文件中写入数据(区域434)和程序执行(区域436)设为“NG”。因此，在东京车站，即使用户也只能查看文件列表。因此，即使用户遗漏无线通信终端100或者无线通信终端100被偷窃，在无线通信终端100中保存的文件或应用程序的内容也可防止泄露给第三方。

(用户属于组4的情况)

如果用户(或所有者)之外的第三方带走无线通信终端100，无线通信终端100可检测允许无线LAN通信的SSID。此处，无线通信终端100检测事先指定的基站组(SSID)外的SSID(区域420，访问权限组4)。此处，访问管理数据的设置使得文件名显示、文件读取、在文件中写入和应用程序执行全部设为“NG”。因此，在无线通信终端100不允许显示文件名列表时，第三方无法知道文件，无线通信终端100的安全性因而得以保持。

一方面，如果在检测到访问权限组4中包括的SSID的区域中，无线通信终端100停留的时段超过事先设置的某个时段，则无线通信终端可配置为擦除包含的文件、应用程序或其它数据。无线通信终端100中的数据安全性因而可得到进一步增强。

[实施例的效果]

如上所述，根据本发明第一实施例的无线通信终端100可依据无线通信可用的位置为文件或应用程序提供安全性。总之，无线通信终端100检测用于无线LAN的接入点，并指定对应于接入点的SSID。在无线通信终端100事先具有用于可指定的SSID的访问管理数据时，无线通信终端100参考对应于检测到的接入点的SSID的访问管理数据。无线通信终端100基于访问管理数据限制文件名的显示、文件读取、在文件中写入和应用程序执行的许可。

这样，可依据无线通信终端100目前所处的位置控制对文件或应用程序的访问。

另外，即使由于偷窃或遗漏的原因，原用户(或所有者)外的第三方可使用无线通信终端100，但依据使用位置的安全性也得以保持，因此，无线通信终端100中的数据得到保护。

另一方面，访问控制可进行配置，使得在Linux中登录用户名或组名被更改。另外，访问控制并不限于在宽广的无线LAN环境(如公司、机场或展览现场的整层区域)中使用SSID的示例，而是访问控制可进行配置，以便采用用于在狭窄区域(如家中的无线LAN)中接入无线通信系统的访问ID。

另外，不但SSID，而且在用于IP电话的SIP(会话启动协议)服务器中有关登记(无线通信终端100的地址登记)成功/失败的信息可用作用于访问控制的信息。安全性级别因而可进一步增强。例如，配置可使得如果在无线通信终端100位于尽管允许文件读取的区域中时无线通信终端100检测到由于未经授权使用而造成的登记失败，则访问管理数据设置更改为禁止文件读取。

<第二实施例>

在下文中将描述本发明的第二实施例。根据本实施例的无线通信终端不同于上述第一实施例中功能是感测可与其建立无线通信的基站更改并依据感测结果更改访问控制的无线通信终端。根据本实施例的无线通信终端600通过使用类似于根据第一实施例的无线通信终端100的硬件配置实现。因此，将不重复硬件配置的详细描述。

参照图6，将描述根据本实施例的无线通信终端600的配置。图6是示出由无线通信终端600实现的功能配置的框图。除图2中所示的配置外，无线通信终端600还包括基站更改感测单元218。无线通信终端600包括控制单元610而不是控制单元210。

基站更改感测单元218感测检测为可与其建立无线通信的基站的基站更改。例如，基站更改感测单元218按顺序(sequentially)参考获取单元213获取的SSID历史，并定期监视该SSID的更改。监视的间隔可设为预定的某个时段，或者它可响应到输入单元230、通信单元220或诸如此类的输入而设置。

如果与新感测的基站相关联的访问管理数据不同于与感测更改前已检测到的基站相关联的访问管理数据，则控制单元610基于与新感测的基站相关联的访问管理数据控制对文件或应用程序的访问。例如，在感测到从已允许文件读取的基站更改到禁止文件名显示的基站时，控制单元610关闭已显示的文件，并且文件名不再显示。

参照图7，将描述根据本实施例的无线通信终端600的控制结构。图7是示出控制单元610执行的一系列进程一部分的流程图。一方面，这些进程由充当无线通信终端600的计算机系统300的CPU 310实现。

在步骤S710中，控制单元610基于从通信单元220发送的信号，检测用于无线LAN的多个接入点。虽然检测的计时例如根据信号接收的顺序，但另一方面，配置可使得检测到事先登记的接入点(即，其访问管理数据已设置的接入点)并随后识别未登记的接入点。此处，访问管理数据可设置用于新识别的接入点。

在步骤S720中，控制单元610从通信单元220发送的信号获取每个检测到的接入点的SSID和MAC地址。

在步骤730中，控制单元610基于每个SSID(图4)参考访问管理数据。

在步骤S740中，控制单元610基于每段访问管理数据得出安全性级别。例如，控制单元610在构成访问管理数据的四个项目(参见图4)中统计数据内容指示NG的项目数量。此处，NG的最大数量，即四，指示禁止所有类型的访问，安全性级别最高。另一方面，如果访问管理数据中的所有内容指示OK，则OK计数为0，并且安全性级别为0。此处，无线通信终端600可基于值最高的安全性级别，控制对诸如文件、应用程序或诸如此类等数据的访问。

在步骤S750中，控制单元610通过相互比较为相应SSID计算得出的安全性级别，确定安全性级别更高的访问权限组。

在步骤S760中，控制单元610基于与访问权限组相关联的访问管理数据，控制对文件或应用程序的访问。

如上所述，根据在本发明第二实施例中的无线通信终端600，检测用于无线通信的多个接入点，并且指定每个接入点的SSID。无线通信终端600得出用于每个SSID的安全性级别的值。

无线通信终端600根据在计算得出的值中与值最高SSID相关联的访问管理数据，控制对存储的文件或应用程序的访问。因此，即使无线通信终端600检测到多个SSID，也可防止安全性级别降低。

备选，不通过统计在访问管理数据中OK或NG的数量而确定安全性级别为高或低，另一方面，可基于已为访问管理数据中项目本身设置的优先级最高的项目相关联的SSID设置，控制对文件或应用程序的访问。

备选，另一方面，可在无线通信终端600中保存事先为重置安全性而登记的随机密钥输入模式，以便无线通信终端600的经授权用户访问文件或应用程序。因此，即使在访问受限的区域中，经授权的用户可通过将密钥输入模式输入无线通信终端600中而暂时撤消访问限制。

虽然本发明已详细描述和示出，但可清楚地理解它只是作为说明和示例，不可视为限制，本发明的范围根据所附权利要求书解释。