KR102596544B1 - Method and apparatus for preventing wireless intrusion - Google Patents

Method and apparatus for preventing wireless intrusion Download PDF

Info

Publication number
KR102596544B1
KR102596544B1 KR1020230050117A KR20230050117A KR102596544B1 KR 102596544 B1 KR102596544 B1 KR 102596544B1 KR 1020230050117 A KR1020230050117 A KR 1020230050117A KR 20230050117 A KR20230050117 A KR 20230050117A KR 102596544 B1 KR102596544 B1 KR 102596544B1
Authority
KR
South Korea
Prior art keywords
wireless terminal
wireless
frame
fake
beacon frame
Prior art date
Application number
KR1020230050117A
Other languages
Korean (ko)
Inventor
김범진
Original Assignee
주식회사 코닉글로리
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 코닉글로리 filed Critical 주식회사 코닉글로리
Priority to KR1020230050117A priority Critical patent/KR102596544B1/en
Application granted granted Critical
Publication of KR102596544B1 publication Critical patent/KR102596544B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

본 명세서는 무선 침입 차단 방법 및 장치에 관한 것으로, 보다 상세하게는 차단 대상인 무선 단말이 무선 네트워크에 침입하였을 때 무선 단말과 무선 네트워크 간의 연결을 해제하는 방법 및 장치에 관한 것이다. 일 실시예에 따른 무선 침입 차단 방법은, AP(Access Point)와 연결된 무선 단말이 차단 대상 단말인지 확인하는 단계, 상기 무선 단말이 차단 대상 단말인 것으로 확인되면, 상기 무선 단말에 페이크 비콘 프레임을 송신하는 단계 및 상기 무선 단말이 상기 AP에 상기 페이크 비콘 프레임에 대한 확인을 위한 프로브 요청 프레임을 송신한 것으로 확인되면, 상기 무선 단말에 페이크 프로브 응답 프레임을 송신하는 단계를 포함할 수 있다.This specification relates to a method and device for blocking wireless intrusion, and more specifically, to a method and device for disconnecting a wireless terminal from a wireless network when a wireless terminal subject to blocking intrudes into a wireless network. A wireless intrusion blocking method according to an embodiment includes the steps of checking whether a wireless terminal connected to an AP (Access Point) is a terminal to be blocked, and if the wireless terminal is confirmed to be a terminal to be blocked, transmitting a fake beacon frame to the wireless terminal. and, if it is confirmed that the wireless terminal has transmitted a probe request frame for confirmation of the fake beacon frame to the AP, transmitting a fake probe response frame to the wireless terminal.

Description

무선 침입 차단 방법 및 장치{METHOD AND APPARATUS FOR PREVENTING WIRELESS INTRUSION}Method and device for blocking wireless intrusion {METHOD AND APPARATUS FOR PREVENTING WIRELESS INTRUSION}

본 명세서는 무선 침입 차단 방법 및 장치에 관한 것으로, 보다 상세하게는 차단 대상인 무선 단말이 무선 네트워크에 침입하였을 때 무선 단말과 무선 네트워크 간의 연결을 해제하는 방법 및 장치에 관한 것이다.This specification relates to a method and device for blocking wireless intrusion, and more specifically, to a method and device for disconnecting a wireless terminal from a wireless network when a wireless terminal subject to blocking intrudes into a wireless network.

통신 기술의 발달로 인하여 무선랜(wireless LAN) 기술이 널리 보급되고 있다. 무선랜은 무선 신호 전달 방식을 이용하여 두 대 이상의 장치를 연결하는 무선 데이터 통신 기술이다. 사용자는 무선랜 기술을 통해서 근거리 지역에서 이동하면서도 지속적으로 네트워크에 접근할 수 있다.Due to the development of communication technology, wireless LAN technology is becoming widely available. Wireless LAN is a wireless data communication technology that connects two or more devices using a wireless signal transmission method. Through wireless LAN technology, users can continuously access the network while moving in a short distance.

무선랜 환경에서 무선 단말은 AP(Access Point, 액세스 포인트)와의 통신 연결를 통해서 무선 네트워크에 손쉽게 접속할 수 있다. 그런데 최근에는 악의적인 의도를 가진 무선 단말이 무선 네트워크에 접속하는 사례가 증가하면서 무선 네트워크의 보안 기술 또한 발전하고 있다.In a wireless LAN environment, a wireless terminal can easily access the wireless network through a communication connection with an AP (Access Point). However, recently, as the number of wireless devices with malicious intent accessing wireless networks increases, wireless network security technology is also developing.

대표적인 무선 네트워크 보안 기술로 WIPS(Wireless Intrusion Prevention System)를 들 수 있다. WIPS 센서는 AP와 무선 단말 간에 전송되는 패킷을 탐지하고, 미리 정의된 보안 정책 위반 여부를 판단하여 불법적인 또는 악의적인 목적을 갖는 차단 대상 무선 단말의 접속을 차단할 수 있다. 예컨대 차단 대상 무선 단말이 발견되면, WIPS 센서는 인증 해제 프레임(Deauthentication Frame)이나 연결 해제 프레임(Disassociation Frame)을 차단 대상 무선 단말이나 AP에 송신함으로써 차단 대상 무선 단말의 접속을 해제시킬 수 있다.A representative wireless network security technology is WIPS (Wireless Intrusion Prevention System). The WIPS sensor detects packets transmitted between the AP and wireless terminals, determines whether predefined security policies are violated, and can block access of wireless terminals with illegal or malicious purposes. For example, when a wireless terminal to be blocked is discovered, the WIPS sensor can disconnect the wireless terminal to be blocked by transmitting a deauthentication frame or a disassociation frame to the wireless terminal or AP to be blocked.

한편, 최근 발표된 WIFI6(IEEE 802.11ax)의 WPA3 암호화 환경에서는 IEEE 802.11w 에 근간하는 PMF(Protected Managed Frame) 기술이 적용된다. PMF 기술이 적용되면 무선 단말과 AP가 주고 받는 데이터가 암호화 등의 기술로 보호되므로, 인증 해제 프레임(Deauthentication Frame)이나 연결 해제 프레임(Disassociation Frame)을 이용한 WIPS 센서의 무선 침입 차단이 어려워지는 문제가 있다.Meanwhile, in the recently announced WPA3 encryption environment of WIFI6 (IEEE 802.11ax), PMF (Protected Managed Frame) technology based on IEEE 802.11w is applied. When PMF technology is applied, the data exchanged between the wireless terminal and the AP is protected by encryption and other technologies, making it difficult to block wireless intrusions from WIPS sensors using deauthentication frames or disassociation frames. there is.

본 명세서의 목적은 PMF 기술 적용 여부와는 관계없이 보안 정책을 위반한 차단 대상 무선 단말의 무선 네트워크 접속을 효율적으로 차단할 수 있는 무선 침입 차단 방법 및 장치를 제공하는 것이다.The purpose of this specification is to provide a wireless intrusion blocking method and device that can efficiently block wireless network access of wireless terminals that violate security policies, regardless of whether PMF technology is applied.

본 명세서의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 본 명세서의 다른 목적 및 장점들은 이하에서 기술되는 본 명세서의 실시예에 의해 보다 분명하게 이해될 것이다. 또한, 본 명세서의 목적 및 장점들은 청구범위에 기재된 구성요소들 및 그 조합에 의해 실현될 수 있다.The purpose of the present specification is not limited to the purposes mentioned above, and other purposes and advantages of the present specification that are not mentioned will be more clearly understood by the examples of the present specification described below. Additionally, the objects and advantages of the present specification can be realized by the components and combinations thereof described in the claims.

일 실시예에 따른 무선 침입 차단 방법은, AP(Access Point)와 연결된 무선 단말이 차단 대상 단말인지 확인하는 단계, 상기 무선 단말이 차단 대상 단말인 것으로 확인되면, 상기 무선 단말에 페이크 비콘 프레임을 송신하는 단계 및 상기 무선 단말이 상기 AP에 상기 페이크 비콘 프레임에 대한 확인을 위한 프로브 요청 프레임을 송신한 것으로 확인되면, 상기 무선 단말에 페이크 프로브 응답 프레임을 송신하는 단계를 포함할 수 있다.A wireless intrusion blocking method according to an embodiment includes the steps of checking whether a wireless terminal connected to an AP (Access Point) is a terminal to be blocked, and if the wireless terminal is confirmed to be a terminal to be blocked, transmitting a fake beacon frame to the wireless terminal. and, if it is confirmed that the wireless terminal has transmitted a probe request frame for confirmation of the fake beacon frame to the AP, transmitting a fake probe response frame to the wireless terminal.

일 실시예에 따른 무선 침입 차단 장치는, AP와 연결된 무선 단말이 차단 대상 단말인지 확인하는 제어부, 페이크 비콘 프레임 또는 페이크 프로브 응답 프레임을 생성하는 프레임 생성부 및 데이터를 송신하거나 수신하는 통신부를 포함할 수 있다. 일 실시예에서, 상기 제어부는 상기 무선 단말이 차단 대상 단말인 것으로 확인되면 상기 통신부가 상기 무선 단말에 페이크 비콘 프레임을 송신하도록 제어하고, 상기 무선 단말이 상기 AP에 상기 페이크 비콘 프레임에 대한 확인을 위한 프로브 요청 프레임을 송신한 것으로 확인되면 상기 통신부가 상기 무선 단말에 페이크 프로브 응답 프레임을 송신하도록 제어할 수 있다.The wireless intrusion blocking device according to one embodiment may include a control unit that checks whether the wireless terminal connected to the AP is a terminal to be blocked, a frame generator that generates a fake beacon frame or a fake probe response frame, and a communication unit that transmits or receives data. You can. In one embodiment, the control unit controls the communication unit to transmit a fake beacon frame to the wireless terminal when it is confirmed that the wireless terminal is a blocking target terminal, and the wireless terminal confirms the fake beacon frame to the AP. If it is confirmed that a probe request frame has been transmitted, the communication unit can control to transmit a fake probe response frame to the wireless terminal.

실시예들에 따르면 PMF 기술 적용 여부와는 관계없이 보안 정책을 위반한 차단 대상 무선 단말의 무선 네트워크 접속을 효율적으로 차단할 수 있는 장점이 있다.According to embodiments, there is an advantage of efficiently blocking wireless network access of wireless terminals that violate security policies, regardless of whether PMF technology is applied.

도 1은 일 실시예에 따른 무선 침입 차단 장치, 무선 단말 및 AP를 포함하는 네트워크 구성을 나타낸다.
도 2는 일 실시예에 따른 무선 단말과 AP 간의 연결 수립 과정을 나타내는 흐름도이다.
도 3은 일 실시예에서 AP와 연결 수립된 무선 단말이 차단 대상 단말인 경우 무선 침입 차단 장치가 AP와 무선 단말의 연결을 해제시키는 과정을 나타내는 흐름도이다.
도 4는 일 실시예에서 무선 단말에 송신되는 비콘 프레임의 예시를 나타낸다.Figure 1 shows a network configuration including a wireless intrusion prevention device, a wireless terminal, and an AP according to an embodiment.
Figure 2 is a flowchart showing a connection establishment process between a wireless terminal and an AP according to an embodiment.
Figure 3 is a flowchart showing a process in which a wireless intrusion prevention device disconnects the AP and the wireless terminal when the wireless terminal established a connection with the AP is a terminal to be blocked in one embodiment.
Figure 4 shows an example of a beacon frame transmitted to a wireless terminal in one embodiment.

전술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술되며, 이에 따라 본 명세서가 속하는 기술분야에서 통상의 지식을 가진 자가 본 명세서의 실시예들을 용이하게 실시할 수 있을 것이다. 본 명세서를 설명함에 있어서 본 명세서와 관련된 공지 기술에 대한 구체적인 설명이 본 명세서의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 상세한 설명을 생략한다. 이하, 첨부된 도면을 참조하여 본 명세서의 바람직한 실시예를 상세히 설명하기로 한다. 도면에서 동일한 참조부호는 동일 또는 유사한 구성요소를 가리킨다.The above-mentioned objectives, features and advantages will be described in detail later with reference to the attached drawings, and thus, those skilled in the art will be able to easily implement the embodiments of the present specification. In describing the present specification, if it is determined that a detailed description of known technology related to the present specification may unnecessarily obscure the gist of the present specification, the detailed description will be omitted. Hereinafter, preferred embodiments of the present specification will be described in detail with reference to the attached drawings. In the drawings, identical reference numerals indicate identical or similar components.

도 1은 일 실시예에 따른 무선 침입 차단 장치, 무선 단말 및 AP를 포함하는 네트워크 구성을 나타낸다.Figure 1 shows a network configuration including a wireless intrusion prevention device, a wireless terminal, and an AP according to an embodiment.

도 1을 참조하면, 일 실시예에 따른 무선 네트워크는 무선 침입 차단 장치(1), WIPS 서버(2), AP(Access Point)(3), 무선 단말(4)을 포함할 수 있다. 도 1에는 설명의 편의를 위해 1개의 무선 단말(4)만이 도시되었으나, 다른 실시예에서 무선 네트워크는 다수의 무선 단말을 포함할 수 있다.Referring to FIG. 1, a wireless network according to an embodiment may include a wireless intrusion prevention device (1), a WIPS server (2), an Access Point (AP) (3), and a wireless terminal (4). In FIG. 1, only one wireless terminal 4 is shown for convenience of explanation, but in other embodiments, the wireless network may include multiple wireless terminals.

AP(3)는 자신에게 결합된(associated) 단말들을 위하여 무선 매체를 경유하여 분배시스템에 대한 접속을 제공하는 장치이다. AP는 PCP(Personal BSS Coordination Point)를 포함하는 개념으로 사용되며, 광의적으로는 집중 제어기, 기지국(Base Station, BS), 노드-B, BTS(Base Transceiver System), 또는 사이트 제어기 등의 개념을 모두 포함할 수 있다. 본 명세서에서 AP는 베이스 무선 통신 단말로도 지칭될 수 있으며, 베이스 무선 통신 단말은 광의의 의미로는 AP, 베이스 스테이션(base station), eNB(eNodeB) 및 트랜스미션 포인트(TP)를 모두 포함하는 용어로 사용될 수 있다. 뿐만 아니라, 베이스 무선 통신 단말은 복수의 무선 통신 단말과의 통신에서 통신 매개체(medium) 자원을 할당하고, 스케줄링(scheduling)을 수행하는 다양한 형태의 무선 통신 단말을 포함할 수 있다.AP 3 is a device that provides access to the distribution system via wireless media for terminals associated with it. AP is used as a concept that includes PCP (Personal BSS Coordination Point), and in a broad sense, it refers to concepts such as centralized controller, base station (BS), Node-B, BTS (Base Transceiver System), or site controller. All can be included. In this specification, the AP may also be referred to as a base wireless communication terminal, and the base wireless communication terminal is a term that includes all of the AP, base station, eNodeB (eNB), and transmission point (TP) in a broad sense. It can be used as In addition, the base wireless communication terminal may include various types of wireless communication terminals that allocate communication medium resources and perform scheduling in communication with a plurality of wireless communication terminals.

무선 단말(Station)(4)은 무선 통신을 통해서 AP(3)에 무선으로 접속할 수 있는 장치이다. 무선 단말(4)의 예시로는 무선랜 장치가 구비된 데스크탑 또는 노트북, 스마트폰, 태블릿 등을 들 수 있으나 무선 단말(4)의 종류가 이에 한정되는 것은 아니다. 무선 단말(4)은 IEEE 802.11 표준의 규정을 따르는 매체 접속 제어(Medium Access Control, MAC)와 무선 매체에 대한 물리층(Physical Layer) 인터페이스를 포함하는 임의의 장치로서, 광의로는 비 액세스 포인트(nonAP) 스테이션뿐만 아니라 액세스 포인트(AP)를 모두 포함할 수 있다. 본 명세서에서 '단말'은 non-AP 스테이션을 가리키나, 실시예에 따라 non-AP 스테이션 및 AP 모두 가리키는 용어로 사용될 수도 있다.The wireless terminal (station) 4 is a device that can wirelessly connect to the AP (3) through wireless communication. Examples of the wireless terminal 4 include a desktop or laptop equipped with a wireless LAN device, a smartphone, and a tablet, but the type of the wireless terminal 4 is not limited thereto. The wireless terminal 4 is any device that includes Medium Access Control (MAC) and a physical layer interface to the wireless medium that complies with the provisions of the IEEE 802.11 standard. In the broad sense, it is a non-access point (nonAP). ) It can include both stations as well as access points (APs). In this specification, 'terminal' refers to a non-AP station, but depending on the embodiment, it may be used to refer to both a non-AP station and an AP.

무선 단말(4)은 프로세서(Processor)와 송수신부(transmit/receive unit)를 포함하고, 실시예에 따라 유저 인터페이스부와 디스플레이 유닛 등을 더 포함할 수 있다. 프로세서는 무선 네트워크를 통해 전송할 프레임을 생성하거나 또는 무선 네트워크를 통해 수신된 프레임을 처리하며, 그 밖에 스테이션을 제어하기 위한 다양한 처리를 수행할 수 있다. 그리고 송수신부는 상기 프로세서와 기능적으로 연결되어 있으며 스테이션을 위하여 무선 네트워크를 통해 프레임을 송수신한다. 무선 단말(4)은 무선 네트워크를 통해 AP(3)와 프레임을 주고받을 수 있다.The wireless terminal 4 includes a processor and a transmit/receive unit, and may further include a user interface unit and a display unit, depending on the embodiment. The processor may generate frames to be transmitted over a wireless network, process frames received over a wireless network, and perform various other processes to control the station. And the transmitting and receiving unit is functionally connected to the processor and transmits and receives frames for the station through a wireless network. The wireless terminal 4 can exchange frames with the AP 3 through a wireless network.

일 실시예에 따른 무선 침입 차단 장치(1)는 AP(3)와 무선 단말(4) 사이에서 전송되는 데이터 패킷을 검출 또는 수집할 수 있다. 데이터 패킷(data packet)은 통신망을 통하여 하나의 장치에서 다른 장치로 블록으로 송신되는 정보의 단위를 의미할 수 있다. 일 실시예에서, 데이터 패킷은 서비스 세트 식별자(SSID), 지원 속도, 타임스탬프, 표지 간격, 채널 정보 등과 같은 다양한 엘리먼트 필드들을 포함할 수 있다. 무선 침입 차단 장치(1)는 WIPS 센서로도 지칭될 수 있다. The wireless intrusion prevention device 1 according to an embodiment can detect or collect data packets transmitted between the AP 3 and the wireless terminal 4. A data packet may refer to a unit of information transmitted as a block from one device to another device through a communication network. In one embodiment, a data packet may include various element fields such as service set identifier (SSID), supported rate, timestamp, beacon interval, channel information, etc. The wireless intrusion prevention device 1 may also be referred to as a WIPS sensor.

무선 침입 차단 장치(1)는 수집된 데이터 패킷을 기초로 무선 단말(4)이 차단 대상 단말인지 여부를 확인할 수 있다. 본 명세서에서 '차단 대상 단말'은 미리 정해진 차단 대상 목록에 포함되는 단말 또는 미리 정해진 차단 정책을 위반하는 단말로 정의될 수 있다. 무선 단말(4)이 차단 대상 단말인 것으로 확인되면, 무선 침입 차단 장치(1)는 무선 단말(4)과 AP(3) 간의 연결을 해제시킬 수 있다. The wireless intrusion blocking device 1 can check whether the wireless terminal 4 is a terminal to be blocked based on the collected data packets. In this specification, a 'blocking target terminal' may be defined as a terminal included in a predetermined blocking target list or a terminal that violates a predetermined blocking policy. If it is confirmed that the wireless terminal 4 is a terminal subject to blocking, the wireless intrusion prevention device 1 may release the connection between the wireless terminal 4 and the AP 3.

WIPS 서버(2)는 무선 침입 차단 장치(1)에 차단 대상 목록 또는 차단 정책을 전송할 수 있다. 실시예에 따라서 WIPS 서버(2)는 무선 침입 차단 장치(1)가 수집한 데이터 패킷을 수신하고, 수신된 데이터 패킷에 기초하여 무선 단말(4)이 차단 대상 단말인지 여부를 판단할 수 있다. WIPS 서버(2)는 무선 단말(4)이 차단 대상 단말인지 여부에 대한 판단 결과를 무선 침입 차단 장치(1)에 제공할 수 있다.The WIPS server (2) may transmit a list of blocked targets or a blocking policy to the wireless intrusion prevention device (1). Depending on the embodiment, the WIPS server 2 may receive data packets collected by the wireless intrusion prevention device 1 and determine whether the wireless terminal 4 is a terminal to be blocked based on the received data packets. The WIPS server 2 may provide the wireless intrusion prevention device 1 with a determination result as to whether the wireless terminal 4 is a terminal subject to blocking.

다른 실시예에서, 무선 침입 차단 장치(1)는 WIPS 서버(2)가 제공한 차단 대상 목록 또는 차단 정책을 기초로 무선 단말(4)이 차단 대상 단말인지 여부를 스스로 판단할 수도 있다. In another embodiment, the wireless intrusion blocking device 1 may independently determine whether the wireless terminal 4 is a terminal to be blocked based on a blocking target list or blocking policy provided by the WIPS server 2.

일 실시예에 따른 무선 침입 차단 장치(1)는 통신부(10), 프레임 생성부(11), 제어부(12)를 포함할 수 있다.The wireless intrusion prevention device 1 according to an embodiment may include a communication unit 10, a frame generation unit 11, and a control unit 12.

통신부(10)는 다른 장치에 데이터 패킷을 송신하거나 다른 장치가 송신하는 데이터 패킷을 수신할 수 있다.The communication unit 10 may transmit a data packet to another device or receive a data packet transmitted by another device.

프레임 생성부(11)는 제어부(12)의 명령에 따라서 다른 장치에 송신될 데이터 프레임을 생성할 수 있다. 일 실시예에서, 프레임 생성부(11)는 페이크 비콘 프레임 또는 페이크 프로브 응답 프레임을 생성할 수 있다.The frame generator 11 may generate a data frame to be transmitted to another device according to a command from the controller 12. In one embodiment, the frame generator 11 may generate a fake beacon frame or a fake probe response frame.

제어부(12)는 통신부(10)를 통해서 수신되는 데이터 패킷을 기초로 AP(3)와 연결된 무선 단말(4)이 차단 대상 단말인지 확인할 수 있다. 일 실시예에서, 제어부(12)는 통신부(10)를 통해서 수신되는 데이터 패킷을 WIPS 서버(2)에 송신하고, WIPS 서버(2)로부터 무선 단말(4)이 차단 대상 단말인지 여부에 대한 판단 결과를 수신함으로써 무선 단말(4)이 차단 대상 단말인지 확인할 수 있다. 다른 실시예에서, 제어부(12)는 WIPS 서버(2)가 제공한 차단 대상 목록 또는 차단 정책을 기초로 무선 단말(4)이 차단 대상 단말인지 여부를 판단할 수 있다.The control unit 12 can check whether the wireless terminal 4 connected to the AP 3 is a terminal subject to blocking based on the data packet received through the communication unit 10. In one embodiment, the control unit 12 transmits a data packet received through the communication unit 10 to the WIPS server 2, and determines whether the wireless terminal 4 is a terminal to be blocked from the WIPS server 2. By receiving the result, it can be confirmed whether the wireless terminal 4 is a terminal subject to blocking. In another embodiment, the control unit 12 may determine whether the wireless terminal 4 is a terminal to be blocked based on a blocking target list or blocking policy provided by the WIPS server 2.

일 실시예에서, 제어부(12)는 통신부(10)를 통해 수집된 각 데이터 패킷을 분석하여 AP(3) 및 무선 단말(4)에 관한 정보를 획득할 수 있다. 예컨대, 제어부(12)에서 획득하는 AP(3)의 정보는 AP(3)가 지속적으로 브로드캐스팅(Broadcasting)하는 비콘 프레임에 포함되는 AP(3)의 BSSID(basic service set ID), SSID(service set ID), 채널(Channel) 정보, PMF 사용 여부, 암호화 정보, MAC(medium access control) 주소 등을 포함할 수 있다. 또한 제어부(12)에서 획득하는 무선 단말(4)의 정보는 무선 단말(4)의 BSSID, MAC(medium access control) 주소, 연결된 AP(3)의 SSID, 연결된 AP(3)의 BSSID 등을 포함할 수 있다.In one embodiment, the control unit 12 may obtain information about the AP 3 and the wireless terminal 4 by analyzing each data packet collected through the communication unit 10. For example, the information on the AP 3 acquired from the control unit 12 includes the basic service set ID (BSSID) and service ID (SSID) of the AP 3 included in the beacon frame that the AP 3 continuously broadcasts. set ID), channel information, whether PMF is used, encryption information, MAC (medium access control) address, etc. In addition, the information on the wireless terminal 4 acquired by the control unit 12 includes the BSSID of the wireless terminal 4, MAC (medium access control) address, SSID of the connected AP 3, BSSID of the connected AP 3, etc. can do.

제어부(12)는 획득된 데이터 패킷 또는 데이터 패킷을 통해서 획득된 AP(3)나 무선 단말(4)에 관한 정보를 WIPS 서버(2)에 전송할 수 있다.The control unit 12 may transmit the acquired data packet or information about the AP 3 or the wireless terminal 4 obtained through the data packet to the WIPS server 2.

일 실시예에서, 제어부(12)는 무선 단말(4)과 AP(3) 간의 통신 연결이 해제된 이후 통신부(10)가 무선 단말(4)에 페이크 비콘 프레임을 송신하도록 제어할 수 있다.In one embodiment, the control unit 12 may control the communication unit 10 to transmit a fake beacon frame to the wireless terminal 4 after the communication connection between the wireless terminal 4 and the AP 3 is released.

일 실시예에서, 페이크 비콘 프레임은 AP(3)가 무선 단말(4)에 전송하는 비콘 프레임에 포함되는 일부 정보를 변형하여 생성될 수 있다.In one embodiment, the fake beacon frame may be generated by modifying some information included in the beacon frame transmitted from the AP 3 to the wireless terminal 4.

일 실시예에서, 페이크 비콘 프레임은 AP(3)가 무선 단말(4)에 전송하는 비콘 프레임에 포함되는 능력 정보(Capability Information) 필드를 변형하여 생성될 수 있다.In one embodiment, the fake beacon frame may be generated by modifying the Capability Information field included in the beacon frame transmitted from the AP 3 to the wireless terminal 4.

일 실시예에서, 페이크 비콘 프레임은 무선 단말(4)에 전송하는 비콘 프레임에 포함되는 능력 정보(Capability Information) 필드 중 프라이버시(Privacy) 필드 및 QoS 필드 중 적어도 하나의 필드값을 변형하여 생성될 수 있다.In one embodiment, the fake beacon frame may be generated by modifying the field value of at least one of the Privacy field and the QoS field among the Capability Information fields included in the beacon frame transmitted to the wireless terminal 4. there is.

일 실시예에서, AP(3)가 프로브 요청 프레임에 대한 프레임 응답 프레임을 무선 단말(4)에 송신하기 전에, 페이크 프로브 응답 프레임이 무선 단말(4)에 먼저 송신될 수 있다.In one embodiment, a fake probe response frame may be first transmitted to the wireless terminal 4 before the AP 3 transmits a frame response frame for the probe request frame to the wireless terminal 4.

일 실시예에서, 무선 단말(4) 및 AP(3)는 PMF 기능을 이용하여 통신을 수행할 수 있다.In one embodiment, the wireless terminal 4 and the AP 3 may perform communication using the PMF function.

이하에서는 무선 단말(4)이 차단 대상 단말일 때, 일 실시예에 따른 무선 침입 차단 장치(1)가 무선 단말(4)과 AP(3) 간의 통신 연결을 해제하는 예시적인 실시예가 기술된다.Below, an exemplary embodiment in which the wireless intrusion prevention device 1 according to an embodiment releases the communication connection between the wireless terminal 4 and the AP 3 when the wireless terminal 4 is a terminal subject to blocking is described.

도 2는 일 실시예에 따른 무선 단말과 AP 간의 연결 수립 과정을 나타내는 흐름도이다.Figure 2 is a flowchart showing a connection establishment process between a wireless terminal and an AP according to an embodiment.

도 2를 참조하면, AP(3)는 비콘 프레임을 송신한다(S101). 단계(S101)에서 AP(3)는 비콘 프레임의 수신자 또는 목적지가 특정되지 않도록 수신자 주소(receiver address) 또는 목적지 주소(destination address)를 설정할 수 있다. (예컨대, "ff:ff:ff:ff:ff:ff"로 설정) 즉, 단계(S101)에서 AP(3)는 브로드캐스팅 방식으로 비콘 프레임을 송신할 수 있다. 비콘 프레임은 AP(3)의 BSSID(basic service set ID), SSID(service set ID), 채널(Channel) 정보, PMF 사용 여부, 암호화 정보, MAC(medium access control) 주소 등을 포함할 수 있다. Referring to FIG. 2, AP 3 transmits a beacon frame (S101). In step S101, the AP 3 may set the receiver address or destination address so that the receiver or destination of the beacon frame is not specified. (For example, set to “ff:ff:ff:ff:ff:ff”) That is, in step S101, the AP 3 may transmit a beacon frame by broadcasting. The beacon frame may include the AP 3's basic service set ID (BSSID), service set ID (SSID), channel information, whether PMF is used, encryption information, medium access control (MAC) address, etc.

AP(3)가 송신한 비콘 프레임을 수신한 무선 단말(4)은 AP(3)에 프로브 요청 프레임(Probe Request Frame)을 송신한다(S102). The wireless terminal 4, which has received the beacon frame transmitted by the AP 3, transmits a probe request frame to the AP 3 (S102).

프로브 요청 프레임을 수신한 AP(3)는 무선 단말(4)에 프로브 응답 프레임(Probe Response Frame)을 송신한다(S103). 이 때 프로브 응답 프레임의 수신자 주소 또는 목적지 주소는 무선 단말(4)의 주소로 특정될 수 있다. 즉, 프로브 응답 프레임은 유니캐스팅(Unicasting) 방식으로 무선 단말(4)에 전송될 수 있다.The AP 3, which has received the probe request frame, transmits a probe response frame to the wireless terminal 4 (S103). At this time, the recipient address or destination address of the probe response frame may be specified as the address of the wireless terminal 4. That is, the probe response frame can be transmitted to the wireless terminal 4 in a unicasting manner.

프로브 응답 프레임을 수신한 무선 단말(4)은 AP(3)에 인증 요청 프레임(Authentication Request Frame)을 송신한다(S104).The wireless terminal 4, which has received the probe response frame, transmits an authentication request frame to the AP 3 (S104).

인증 요청 프레임을 수신한 AP(3)는 무선 단말(4)에 인증 응답 프레임(Authentication Response Frame)을 송신한다(S105). 무선 단말(4)이 인증 응답 프레임을 수신하면 AP(3)와 무선 단말(4) 간의 인증 절차가 수행된다.The AP 3, which has received the authentication request frame, transmits an authentication response frame to the wireless terminal 4 (S105). When the wireless terminal 4 receives the authentication response frame, an authentication procedure is performed between the AP 3 and the wireless terminal 4.

인증 응답 프레임을 수신하고 인증 절차를 완료한 무선 단말(4)은 AP(3)에 연결 요청 프레임(Association Request Frame)을 송신한다(S106).The wireless terminal 4, which has received the authentication response frame and completed the authentication process, transmits an Association Request Frame to the AP 3 (S106).

인증 요청 프레임을 수신한 AP(3)는 무선 단말(4)에 연결 응답 프레임(Association Response Frame)을 송신한다(S107). 무선 단말(4)이 연결 응답 프레임을 수신하면, 비콘 프레임이나 프로브 응답 프레임에 포함된 정보들을 기초로 AP(3)와 무선 단말(4) 간의 연결(Association) 과정이 수행될 수 있다.The AP 3, which has received the authentication request frame, transmits an Association Response Frame to the wireless terminal 4 (S107). When the wireless terminal 4 receives the connection response frame, an association process between the AP 3 and the wireless terminal 4 may be performed based on the information included in the beacon frame or probe response frame.

무선 단말(4)이 연결 응답 프레임을 수신하여 AP(3)와 연결이 완료되면, AP(3)와 무선 단말(4) 간의 암호화 키 교환이 수행된다(S108). 암호화 키 교환 방식의 예시로는 4웨이 핸드셰이크(4-Way Handshake)를 들 수 있으나, 암호화 키 교환 방식이 이에 한정되는 것은 아니다.When the wireless terminal 4 receives the connection response frame and completes the connection with the AP 3, encryption key exchange is performed between the AP 3 and the wireless terminal 4 (S108). An example of an encryption key exchange method is 4-Way Handshake, but the encryption key exchange method is not limited to this.

암호화 키 교환 단계(S108)가 완료되면 AP(3)와 무선 단말(4) 간의 연결이 수립(Establish)되어 암호화(예컨대, PMF)를 이용한 AP(3)와 무선 단말(4) 간의 통신이 가능해진다.When the encryption key exchange step (S108) is completed, the connection between the AP (3) and the wireless terminal (4) is established, enabling communication between the AP (3) and the wireless terminal (4) using encryption (e.g., PMF). It becomes.

도 3은 일 실시예에서 AP와 연결 수립된 무선 단말이 차단 대상 단말인 경우 무선 침입 차단 장치가 AP와 무선 단말의 연결을 해제시키는 과정을 나타내는 흐름도이다.Figure 3 is a flowchart showing a process in which a wireless intrusion prevention device disconnects the AP and the wireless terminal when the wireless terminal established a connection with the AP is a terminal to be blocked in one embodiment.

도 3을 참조하면, AP(3)와 무선 단말(4) 간의 연결 수립이 수행될 수 있다(S201). 연결 수립 단계(S201)는 도 2에 도시된 단계(S101) 내지 단계(S108)을 포함할 수 있다. 그러나 실시예에 따라서는 다른 과정을 통해서 AP(3)와 무선 단말(4) 간의 연결 수립이 수행될 수도 있다.Referring to FIG. 3, connection establishment between the AP 3 and the wireless terminal 4 may be performed (S201). The connection establishment step (S201) may include steps (S101) to (S108) shown in FIG. 2. However, depending on the embodiment, connection establishment between the AP 3 and the wireless terminal 4 may be performed through another process.

AP(3)와 무선 단말(4) 간의 연결 수립이 수행되는 동안, 무선 침입 방지 장치(1)의 제어부(12)는 통신부(10)를 통해서 AP(3)와 무선 단말(4)이 주고받는 데이터 패킷을 수집할 수 있다(S202). 제어부(12)는 AP(3)와 무선 단말(4) 간의 연결 수립이 완료된 이후에도 AP(3)와 무선 단말(4)이 주고받는 데이터 패킷을 수집할 수 있다.While connection establishment between the AP (3) and the wireless terminal (4) is being performed, the control unit (12) of the wireless intrusion prevention device (1) transmits and receives information between the AP (3) and the wireless terminal (4) through the communication unit (10). Data packets can be collected (S202). The control unit 12 can collect data packets exchanged between the AP 3 and the wireless terminal 4 even after the connection establishment between the AP 3 and the wireless terminal 4 is completed.

무선 침입 방지 장치(1)의 제어부(12)는 수집된 데이터 패킷에 포함된 정보를 이용하여 무선 단말(4)이 차단 대상 단말인지 여부를 확인할 수 있다(S203). 일 실시예에서, 제어부(12)는 수집된 데이터 패킷 및/또는 수집된 데이터 패킷에 포함된 정보를 WIPS 서버(2)에 전송하여 무선 단말(4)이 차단 대상 단말인지 여부에 대한 확인을 WIPS 서버(2)에 요청하고 확인 결과를 WIPS 서버(2)로부터 수신할 수 있다. 다른 실시예에서, 제어부(12)는 수집된 데이터 패킷 및/또는 수집된 데이터 패킷에 포함된 정보를 기초로 무선 단말(4)이 차단 대상 단말인지 여부를 스스로 판별할 수도 있다.The control unit 12 of the wireless intrusion prevention device 1 can check whether the wireless terminal 4 is a terminal to be blocked using the information included in the collected data packet (S203). In one embodiment, the control unit 12 transmits the collected data packets and/or the information contained in the collected data packets to the WIPS server 2 to confirm whether the wireless terminal 4 is a terminal subject to blocking. You can make a request to the server (2) and receive the confirmation result from the WIPS server (2). In another embodiment, the control unit 12 may independently determine whether the wireless terminal 4 is a blocking target terminal based on the collected data packets and/or information included in the collected data packets.

단계(S203)에서 무선 단말(4)이 차단 대상 단말인 것으로 확인되면, 제어부(12)는 프레임 생성부(11)에 페이크 비콘 프레임을 생성하도록 요청한다. 프레임 생성부(11)는 데이터 패킷 수집 단계(S202)에서 수집된 AP(3)의 비콘 프레임을 기초로 페이크 비콘 프레임을 생성할 수 있다. If it is confirmed in step S203 that the wireless terminal 4 is a terminal to be blocked, the control unit 12 requests the frame generating unit 11 to generate a fake beacon frame. The frame generator 11 may generate a fake beacon frame based on the beacon frame of the AP 3 collected in the data packet collection step (S202).

일 실시예에서, 프레임 생성부(11)는 AP(3)가 무선 단말(4)에 전송하는 비콘 프레임에 포함되는 능력 정보(Capability Information) 필드를 변형하여 페이크 비콘 프레임을 생성할 수 있다. 보다 구체적으로, 프레임 생성부(11)는 AP(3)가 무선 단말(4)에 전송하는 비콘 프레임에 포함되는 능력 정보 필드 중 프라이버시(Privacy) 필드 및 QoS 필드 중 적어도 하나의 필드값을 변형하여 페이크 비콘 프레임을 생성할 수 있다.In one embodiment, the frame generator 11 may generate a fake beacon frame by modifying the Capability Information field included in the beacon frame transmitted from the AP 3 to the wireless terminal 4. More specifically, the frame generator 11 modifies the field value of at least one of the Privacy field and the QoS field among the capability information fields included in the beacon frame transmitted from the AP 3 to the wireless terminal 4. You can create a fake beacon frame.

도 4는 일 실시예에서 무선 단말에 송신되는 비콘 프레임의 예시를 나타낸다.Figure 4 shows an example of a beacon frame transmitted to a wireless terminal in one embodiment.

도 4에 도시된 바와 같이, AP(3)가 무선 단말(4)에 전송하는 비콘 프레임은 능력 정보(Capability Information) 필드를 포함한다. 또한 능력 정보 필드에는 프라이버시(Privacy) 필드(401) 및 QoS 필드(501)가 각각 포함된다.As shown in FIG. 4, the beacon frame transmitted from the AP 3 to the wireless terminal 4 includes a Capability Information field. Additionally, the capability information field includes a privacy field 401 and a QoS field 501, respectively.

일 실시예에서, 프레임 생성부(11)는 도 4에 도시된 바와 같은 비콘 프레임에 포함된 프라이버시 필드(401)의 필드값을 변경함으로써 페이크 비콘 프레임을 생성할 수 있다.In one embodiment, the frame generator 11 may generate a fake beacon frame by changing the field value of the privacy field 401 included in the beacon frame as shown in FIG. 4.

예를 들어 데이터 패킷 수집 단계(S202)에서 수집된 비콘 프레임에 포함된 프라이버시 필드(401)의 필드값이 0인 경우, 프레임 생성부(11)는 프라이버시 필드(401)의 필드값을 1로 변경하여 페이크 비콘 프레임을 생성할 수 있다. 이 때, 프레임 생성부(11)는 프라이버시 필드(401)와 연관된 정보와 관련된 필드(예컨대, RSN 정보 필드(402)) 및 필드값을 생성하여 페이크 비콘 프레임에 포함시킬 수 있다.For example, if the field value of the privacy field 401 included in the beacon frame collected in the data packet collection step (S202) is 0, the frame generator 11 changes the field value of the privacy field 401 to 1. You can create a fake beacon frame. At this time, the frame generator 11 may generate a field (eg, RSN information field 402) and field value related to information associated with the privacy field 401 and include them in the fake beacon frame.

다른 예로, 데이터 패킷 수집 단계(S202)에서 수집된 비콘 프레임에 포함된 프라이버시 필드(401)의 필드값이 1인 경우, 프레임 생성부(11)는 프라이버시 필드(401)의 필드값을 0으로 변경하여 페이크 비콘 프레임을 생성할 수 있다. 이 때, 프레임 생성부(11)는 프라이버시 필드(401)와 연관된 정보와 관련된 필드(예컨대, RSN 정보 필드(402)) 및 필드값을 페이크 비콘 프레임에서 제외시킬 수 있다.As another example, if the field value of the privacy field 401 included in the beacon frame collected in the data packet collection step (S202) is 1, the frame generator 11 changes the field value of the privacy field 401 to 0. You can create a fake beacon frame. At this time, the frame generator 11 may exclude fields (eg, RSN information field 402) and field values related to information related to the privacy field 401 from the fake beacon frame.

다른 실시예에서, 프레임 생성부(11)는 도 4에 도시된 바와 같은 비콘 프레임에 포함된 QoS 필드(501)의 필드값을 변경함으로써 페이크 비콘 프레임을 생성할 수 있다.In another embodiment, the frame generator 11 may generate a fake beacon frame by changing the field value of the QoS field 501 included in the beacon frame as shown in FIG. 4.

예를 들어 데이터 패킷 수집 단계(S202)에서 수집된 비콘 프레임에 포함된 QoS 필드(501)의 필드값이 0인 경우, 프레임 생성부(11)는 QoS 필드(501)의 필드값을 1로 변경하여 페이크 비콘 프레임을 생성할 수 있다. 이 때, 프레임 생성부(11)는 QoS 필드(501)와 연관된 정보와 관련된 필드 및 필드값을 생성하여 페이크 비콘 프레임에 포함시킬 수 있다.For example, if the field value of the QoS field 501 included in the beacon frame collected in the data packet collection step (S202) is 0, the frame generator 11 changes the field value of the QoS field 501 to 1. You can create a fake beacon frame. At this time, the frame generator 11 may generate fields and field values related to information related to the QoS field 501 and include them in the fake beacon frame.

다른 예로, 데이터 패킷 수집 단계(S202)에서 수집된 비콘 프레임에 포함된 QoS 필드(501)의 필드값이 1인 경우, 프레임 생성부(11)는 QoS 필드(501)의 필드값을 0으로 변경하여 페이크 비콘 프레임을 생성할 수 있다. 이 때, 프레임 생성부(11)는 QoS 필드(501)와 연관된 정보와 관련된 필드 및 필드값을 페이크 비콘 프레임에서 제외시킬 수 있다.As another example, if the field value of the QoS field 501 included in the beacon frame collected in the data packet collection step (S202) is 1, the frame generator 11 changes the field value of the QoS field 501 to 0. You can create a fake beacon frame. At this time, the frame generator 11 may exclude fields and field values related to information related to the QoS field 501 from the fake beacon frame.

또 다른 실시예에서, 프레임 생성부(11)는 AP(3)가 무선 단말(4)에 전송하는 비콘 프레임에 포함된 프라이버시 필드(401)의 필드값 및 QoS 필드(501)의 필드값을 모두 변경하여 페이크 비콘 프레임을 생성할 수 있다.In another embodiment, the frame generating unit 11 combines both the field values of the privacy field 401 and the field values of the QoS field 501 included in the beacon frame transmitted from the AP 3 to the wireless terminal 4. You can create a fake beacon frame by changing it.

프레임 생성부(11)는 전술한 과정을 통해서 생성된 페이크 비콘 프레임의 수신자 주소 또는 목적지 주소를 무선 단말(4)의 주소로 특정할 수 있다. 이에 따라서 프레임 생성부(11)가 생성한 페이크 비콘 프레임은 유니캐스팅 방식으로 무선 단말(4)에 전송될 수 있다. 실시예에 따라서는 페이크 비콘 프레임이 브로드캐스팅 방식으로 무선 단말(4)에 전송될 수도 있다.The frame generator 11 may specify the recipient address or destination address of the fake beacon frame generated through the above-described process as the address of the wireless terminal 4. Accordingly, the fake beacon frame generated by the frame generator 11 can be transmitted to the wireless terminal 4 by unicasting. Depending on the embodiment, the fake beacon frame may be transmitted to the wireless terminal 4 by broadcasting.

다시 도 3을 참조하면, 제어부(12)는 프레임 생성부(11)에 의해서 생성되는 페이크 비콘 프레임이 통신부(10)를 통해서 무선 단말(4)에 송신되도록 제어할 수 있다(S204). Referring again to FIG. 3, the control unit 12 can control the fake beacon frame generated by the frame generating unit 11 to be transmitted to the wireless terminal 4 through the communication unit 10 (S204).

기존에 AP(3)가 송신한 비콘 프레임과 페이크 비콘 프레임에 포함된 정보가 서로 상이하므로, 무선 단말(4)은 변경된 정보의 확인을 위해서 AP(3)에 프로브 요청 프레임을 송신할 수 있다(S205). Since the information included in the beacon frame previously transmitted by the AP 3 and the fake beacon frame are different from each other, the wireless terminal 4 may transmit a probe request frame to the AP 3 to confirm the changed information ( S205).

이처럼 페이크 비콘 프레임을 무선 단말(4)에 전송함으로써 무선 침입 방지 장치(1)는 무선 단말(4)로 하여금 프로브 요청 프레임을 송신하도록 유도할 수 있다. 발명자들이 수행한 테스트 결과에 의하면, AP(3)가 송신한 비콘 프레임에 포함된 다수의 정보 중 프라이버시 필드(401)의 필드값 및 QoS 필드(501)의 필드값 중 적어도 하나의 필드값이 변경된 페이크 비콘 프레임을 수신할 때, 무선 단말(4)이 AP(3)에 프로브 요청 프레임을 송신하는 것이 확인되었다.By transmitting a fake beacon frame to the wireless terminal 4 in this way, the wireless intrusion prevention device 1 can induce the wireless terminal 4 to transmit a probe request frame. According to the test results performed by the inventors, among the plurality of information included in the beacon frame transmitted by the AP 3, at least one field value among the field value of the privacy field 401 and the field value of the QoS field 501 was changed. It was confirmed that the wireless terminal 4 transmits a probe request frame to the AP 3 when receiving the fake beacon frame.

또한 발명자들이 수행한 테스트 결과에 의하면, 무선 단말(4) 및 AP(3)가 PMF 기술을 이용하여 통신을 수행하더라도, 무선 단말(4)이 전술한 바와 같이 생성된 페이크 비콘 프레임을 수신하면 무선 단말(4)이 AP(3)에 프로브 요청 프레임을 송신하는 것이 확인되었다.In addition, according to test results performed by the inventors, even if the wireless terminal 4 and the AP 3 perform communication using the PMF technology, if the wireless terminal 4 receives the fake beacon frame generated as described above, the wireless terminal 4 It was confirmed that the terminal 4 transmits a probe request frame to the AP 3.

무선 단말(4)이 AP(3)에 프로브 요청 프레임을 송신하면, 무선 침입 방지 장치(1)의 제어부(12)는 프로브 요청 프레임에 대응되는 페이크 프로브 응답 프레임이 통신부(10)를 통해서 무선 단말(4)에 송신되도록 제어할 수 있다(S206). 페이크 프로브 응답 프레임은 프레임 생성부(11)에 의해서 생성될 수 있다. 또한 페이크 프로브 응답 프레임은 페이크 비콘 프레임에 포함된 정보(예컨대, 변경된 프라이버시 필드(401)의 필드값 또는 변경된 QoS 필드(501)의 필드값)를 포함할 수 있다.When the wireless terminal 4 transmits a probe request frame to the AP 3, the control unit 12 of the wireless intrusion prevention device 1 sends a fake probe response frame corresponding to the probe request frame to the wireless terminal through the communication unit 10. It can be controlled to be transmitted to (4) (S206). The fake probe response frame may be generated by the frame generator 11. Additionally, the fake probe response frame may include information included in the fake beacon frame (eg, a changed field value of the privacy field 401 or a changed field value of the QoS field 501).

일 실시예에서, 제어부(12)는 AP(3)가 프로브 요청 프레임에 대한 프로브 응답 프레임을 무선 단말(4)에 송신하기 이전에 페이크 프로브 응답 프레임이 먼저 무선 단말(4)에 송신되도록 제어할 수 있다. 일 실시예에서, 제어부(12)는 단계(S204)에서 페이크 비콘 프레임이 송신된 시점으로부터 미리 정해진 기준 시간이 경과한 이후 페이크 프로브 응답 프레임을 송신할 수 있다. 이 때 미리 정해진 기준 시간은 AP(3)가 프로브 요청 프레임을 수신한 시점부터 프로브 응답 프레임을 무선 단말(4)에 송신하기까지 걸리는 시간보다 짧게 설정될 수 있다.In one embodiment, the control unit 12 may control the fake probe response frame to be first transmitted to the wireless terminal 4 before the AP 3 transmits the probe response frame for the probe request frame to the wireless terminal 4. You can. In one embodiment, the control unit 12 may transmit the fake probe response frame after a predetermined reference time has elapsed from the time the fake beacon frame was transmitted in step S204. At this time, the predetermined reference time may be set shorter than the time it takes from when the AP 3 receives the probe request frame to transmitting the probe response frame to the wireless terminal 4.

페이크 프로브 응답 프레임을 수신한 무선 단말(4)은 페이크 비콘 프레임과 페이크 프로브 응답 프레임에 포함된 정보가 일치하는 것을 확인하고, AP(3)와 수립된 연결을 해제한다(S207). 이에 따라서 차단 대상 단말인 무선 단말(4)과 AP(3) 간의 통신 연결이 해제될 수 있다.The wireless terminal 4, which has received the fake probe response frame, confirms that the information included in the fake beacon frame and the fake probe response frame matches, and releases the established connection with the AP 3 (S207). Accordingly, the communication connection between the wireless terminal 4, which is the terminal to be blocked, and the AP 3 may be released.

무선 단말(4)과 AP(3) 간의 연결이 해제된 이후, 제어부(12)는 앞서 송신되었던 페이크 비콘 프레임을 다시 무선 단말(4)에 송신할 수 있다(S208). 이 때 페이크 비콘 프레임은 브로드캐스팅 방식 또는 유니캐스팅 방식으로 무선 단말(4)에 송신될 수 있다. 일 실시예에서, 제어부(12)는 미리 정해진 송신주기에 따라서 주기적으로 무선 단말(4)에 페이크 비콘 프레임을 송신할 수 있다.After the connection between the wireless terminal 4 and the AP 3 is released, the control unit 12 can transmit the previously transmitted fake beacon frame to the wireless terminal 4 again (S208). At this time, the fake beacon frame may be transmitted to the wireless terminal 4 by broadcasting or unicasting. In one embodiment, the control unit 12 may periodically transmit a fake beacon frame to the wireless terminal 4 according to a predetermined transmission cycle.

무선 단말(4)은 수신된 페이크 비콘 프레임을 기초로 AP(3)와 연결을 시도할 수 있다(S209). 그러나 AP(3)는 페이크 비콘 프레임에 포함된 정보를 이용하여 무선 단말(4)과 연결될 수 없으므로, 무선 단말(4)과 AP(3) 간의 연결은 실패할 수 있다(S210). 이와 같은 실시예에 따르면 차단 대상 단말로 인지된 무선 단말(4)과 AP(3) 간의 연결이 해제된 이후 무선 단말(4)의 연결 재시도를 지속적으로 무력화시킬 수 있다.The wireless terminal 4 may attempt to connect with the AP 3 based on the received fake beacon frame (S209). However, since the AP 3 cannot connect to the wireless terminal 4 using the information included in the fake beacon frame, the connection between the wireless terminal 4 and the AP 3 may fail (S210). According to this embodiment, after the connection between the wireless terminal 4, which is recognized as a terminal to be blocked, and the AP 3 is released, connection retries of the wireless terminal 4 can be continuously disabled.

전술한 실시예에 따른 무선 침입 방지 장치(1)가 수행하는 무선 침입 방지 방법에 의하면, AP(3)와 차단 대상 단말인 무선 단말(4)이 PMF 기술을 이용하여 통신을 수행하고 있는 상태에서도 무선 단말(4)과 AP(3) 간의 연결을 해제시킬 수 있는 장점이 있다. 물론 전술한 실시예에 따른 무선 침입 방지 장치(1)가 수행하는 무선 침입 방지 방법은 AP(3)와 차단 대상 단말인 무선 단말(4)이 PMF 기술을 이용하지 않고 통신을 수행하고 있는 상태에서도 적용 가능한다.According to the wireless intrusion prevention method performed by the wireless intrusion prevention device 1 according to the above-described embodiment, even in a state where the AP 3 and the wireless terminal 4, which is the terminal to be blocked, are communicating using PMF technology, There is an advantage in that the connection between the wireless terminal 4 and the AP 3 can be disconnected. Of course, the wireless intrusion prevention method performed by the wireless intrusion prevention device 1 according to the above-described embodiment is effective even when the AP 3 and the wireless terminal 4, which is the terminal to be blocked, are communicating without using PMF technology. Applicable.

또한 전술한 실시예에 따르면 차단 대상 단말로 인지된 무선 단말(4)과 AP(3) 간의 연결이 해제된 이후 무선 단말(4)의 연결 재시도를 지속적으로 무력화시킬 수 있다.In addition, according to the above-described embodiment, after the connection between the wireless terminal 4, which is recognized as a terminal to be blocked, and the AP 3 is released, the connection retry of the wireless terminal 4 can be continuously disabled.

또한 전술한 실시예에 따르면 차단 대상 단말로 인지된 무선 단말(4)의 연결을 해제시키는 과정에서 AP(3)에게 별도의 데이터 패킷이 전송되거나 AP(3)에게 별도의 데이터 패킷 전송이 요구되지 않는다. 따라서 AP(3)의 부하 증가나 리소스 소모 없이 차단 대상 단말로 인지된 무선 단말(4)과 AP(3) 간의 효율적인 연결 해제가 가능한 장점이 있다.In addition, according to the above-described embodiment, in the process of disconnecting the wireless terminal 4 recognized as a blocking target terminal, a separate data packet is not transmitted to the AP 3 or a separate data packet is not required to be transmitted from the AP 3. No. Therefore, there is an advantage in that it is possible to efficiently disconnect the connection between the AP (3) and the wireless terminal (4), which is recognized as a blocking target terminal, without increasing the load or consuming resources of the AP (3).

이상과 같이 본 명세서에 대해서 예시한 도면을 참조로 하여 설명하였으나, 본 명세서에 개시된 실시예와 도면에 의해 본 명세서가 한정되는 것은 아니며, 통상의 기술자에 의해 다양한 변형이 이루어질 수 있을 것이다. 아울러 앞서 본 명세서의 실시예를 설명하면서 본 명세서의 구성에 따른 효과를 명시적으로 기재하여 설명하지 않았을지라도, 해당 구성에 의해 예측 가능한 효과 또한 인정되어야 한다.As described above, the present specification has been described with reference to the illustrative drawings, but the present specification is not limited to the embodiments and drawings disclosed herein, and various modifications may be made by those skilled in the art. In addition, even if the effects of the configuration of the present specification were not explicitly described and explained in the above description of the embodiments of the present specification, the predictable effects of the configuration should also be recognized.

Claims (14)

AP(Access Point)와 연결된 무선 단말이 차단 대상 단말인지 확인하는 단계;
상기 무선 단말이 차단 대상 단말인 것으로 확인되면, 상기 무선 단말에 페이크 비콘 프레임을 송신하는 단계; 및
상기 무선 단말이 상기 AP에 상기 페이크 비콘 프레임에 대한 확인을 위한 프로브 요청 프레임을 송신한 것으로 확인되면, 상기 무선 단말에 페이크 프로브 응답 프레임을 송신하는 단계를 포함하고,
상기 페이크 비콘 프레임은 상기 AP가 상기 무선 단말에 전송하는 비콘 프레임에 포함되는 능력 정보(Capability Information) 필드를 변형하여 생성되는
무선 침입 차단 방법.
Confirming whether a wireless terminal connected to an AP (Access Point) is a terminal subject to blocking;
If it is confirmed that the wireless terminal is a blocking target terminal, transmitting a fake beacon frame to the wireless terminal; and
When it is confirmed that the wireless terminal has transmitted a probe request frame for confirmation of the fake beacon frame to the AP, transmitting a fake probe response frame to the wireless terminal,
The fake beacon frame is generated by modifying the Capability Information field included in the beacon frame transmitted by the AP to the wireless terminal.
How to block wireless intrusion.
 제1항에 있어서,
상기 무선 단말과 상기 AP 간의 통신 연결이 해제된 이후 상기 무선 단말에 상기 페이크 비콘 프레임을 송신하는 단계를 더 포함하는
무선 침입 차단 방법.
According to paragraph 1,
Further comprising transmitting the fake beacon frame to the wireless terminal after the communication connection between the wireless terminal and the AP is released.
How to block wireless intrusion.
 제1항에 있어서,
상기 페이크 비콘 프레임은 상기 AP가 상기 무선 단말에 전송하는 비콘 프레임에 포함되는 일부 정보를 변형하여 생성되는
무선 침입 차단 방법.
According to paragraph 1,
The fake beacon frame is generated by modifying some information included in the beacon frame transmitted by the AP to the wireless terminal.
How to block wireless intrusion.
 삭제delete 제1항에 있어서,
상기 페이크 비콘 프레임은 상기 무선 단말에 전송하는 비콘 프레임에 포함되는 능력 정보(Capability Information) 필드 중 프라이버시(Privacy) 필드 및 QoS 필드 중 적어도 하나의 필드값을 변형하여 생성되는
무선 침입 차단 방법.
According to paragraph 1,
The fake beacon frame is generated by modifying the field value of at least one of the Privacy field and the QoS field among the Capability Information fields included in the beacon frame transmitted to the wireless terminal.
How to block wireless intrusion.
 제1항에 있어서,
상기 AP가 상기 프로브 요청 프레임에 대한 프레임 응답 프레임을 상기 무선 단말에 송신하기 전에, 상기 페이크 프로브 응답 프레임이 상기 무선 단말에 먼저 송신되는
무선 침입 차단 방법.
According to paragraph 1,
Before the AP transmits a frame response frame for the probe request frame to the wireless terminal, the fake probe response frame is first transmitted to the wireless terminal.
How to block wireless intrusion.
 제1항에 있어서,
상기 무선 단말 및 상기 AP는 PMF(Protected Management Frame) 기능을 이용하여 통신을 수행하는
무선 침입 차단 방법.
According to paragraph 1,
The wireless terminal and the AP perform communication using the PMF (Protected Management Frame) function.
How to block wireless intrusion.
 AP와 연결된 무선 단말이 차단 대상 단말인지 확인하는 제어부;
페이크 비콘 프레임 또는 페이크 프로브 응답 프레임을 생성하는 프레임 생성부; 및
데이터를 송신하거나 수신하는 통신부를 포함하고,
상기 제어부는
상기 무선 단말이 차단 대상 단말인 것으로 확인되면 상기 통신부가 상기 무선 단말에 페이크 비콘 프레임을 송신하도록 제어하고, 상기 무선 단말이 상기 AP에 상기 페이크 비콘 프레임에 대한 확인을 위한 프로브 요청 프레임을 송신한 것으로 확인되면 상기 통신부가 상기 무선 단말에 페이크 프로브 응답 프레임을 송신하도록 제어하고,
상기 페이크 비콘 프레임은 상기 AP가 상기 무선 단말에 전송하는 비콘 프레임에 포함되는 능력 정보(Capability Information) 필드를 변형하여 생성되는
무선 침입 차단 장치.
A control unit that checks whether the wireless terminal connected to the AP is a terminal to be blocked;
A frame generator that generates a fake beacon frame or a fake probe response frame; and
It includes a communication unit that transmits or receives data,
The control unit
When it is confirmed that the wireless terminal is a terminal subject to blocking, the communication unit controls the wireless terminal to transmit a fake beacon frame, and the wireless terminal transmits a probe request frame to the AP to confirm the fake beacon frame. If confirmed, the communication unit controls to transmit a fake probe response frame to the wireless terminal,
The fake beacon frame is generated by modifying the Capability Information field included in the beacon frame transmitted by the AP to the wireless terminal.
Wireless intrusion prevention device.
 제8항에 있어서,
상기 제어부는
상기 무선 단말과 상기 AP 간의 통신 연결이 해제된 이후 상기 통신부가 상기 무선 단말에 상기 페이크 비콘 프레임을 송신하도록 제어하는
무선 침입 차단 장치.
According to clause 8,
The control unit
After the communication connection between the wireless terminal and the AP is released, the communication unit controls to transmit the fake beacon frame to the wireless terminal.
Wireless intrusion prevention device.
 제8항에 있어서,
상기 페이크 비콘 프레임은 상기 AP가 상기 무선 단말에 전송하는 비콘 프레임에 포함되는 일부 정보를 변형하여 생성되는
무선 침입 차단 장치.
According to clause 8,
The fake beacon frame is generated by modifying some information included in the beacon frame transmitted by the AP to the wireless terminal.
Wireless intrusion prevention device.
 삭제delete 제8항에 있어서,
상기 페이크 비콘 프레임은 상기 무선 단말에 전송하는 비콘 프레임에 포함되는 능력 정보(Capability Information) 필드 중 프라이버시(Privacy) 필드 및 QoS 필드 중 적어도 하나의 필드값을 변형하여 생성되는
무선 침입 차단 장치.
According to clause 8,
The fake beacon frame is generated by modifying the field value of at least one of the Privacy field and the QoS field among the Capability Information fields included in the beacon frame transmitted to the wireless terminal.
Wireless intrusion prevention device.
 제8항에 있어서,
상기 AP가 상기 프로브 요청 프레임에 대한 프레임 응답 프레임을 상기 무선 단말에 송신하기 전에, 상기 페이크 프로브 응답 프레임이 상기 무선 단말에 먼저 송신되는
무선 침입 차단 장치.
According to clause 8,
Before the AP transmits a frame response frame for the probe request frame to the wireless terminal, the fake probe response frame is first transmitted to the wireless terminal.
Wireless intrusion prevention device.
 제8항에 있어서,
상기 무선 단말 및 상기 AP는 PMF 기능을 이용하여 통신을 수행하는
무선 침입 차단 장치.
According to clause 8,
The wireless terminal and the AP perform communication using the PMF function.
Wireless intrusion prevention device.
KR1020230050117A 2023-04-17 2023-04-17 Method and apparatus for preventing wireless intrusion KR102596544B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230050117A KR102596544B1 (en) 2023-04-17 2023-04-17 Method and apparatus for preventing wireless intrusion

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020230050117A KR102596544B1 (en) 2023-04-17 2023-04-17 Method and apparatus for preventing wireless intrusion

Publications (1)

Publication Number Publication Date
KR102596544B1 true KR102596544B1 (en) 2023-10-31

Family

ID=88543089

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230050117A KR102596544B1 (en) 2023-04-17 2023-04-17 Method and apparatus for preventing wireless intrusion

Country Status (1)

Country Link
KR (1) KR102596544B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014127831A (en) * 2012-12-26 2014-07-07 Toshiba Corp Electronic apparatus, radio communication device, and communication control method
KR20170062301A (en) * 2015-11-27 2017-06-07 삼성전자주식회사 Method and apparatus for preventing connection in wireless intrusion prevention system
KR102102835B1 (en) * 2019-03-26 2020-04-22 시큐어레터 주식회사 Wips sensor
KR102323712B1 (en) * 2021-06-17 2021-11-10 주식회사 네오리진 Wips sensor and method for preventing an intrusion of an illegal wireless terminal using wips sensor

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014127831A (en) * 2012-12-26 2014-07-07 Toshiba Corp Electronic apparatus, radio communication device, and communication control method
KR20170062301A (en) * 2015-11-27 2017-06-07 삼성전자주식회사 Method and apparatus for preventing connection in wireless intrusion prevention system
KR102102835B1 (en) * 2019-03-26 2020-04-22 시큐어레터 주식회사 Wips sensor
KR102323712B1 (en) * 2021-06-17 2021-11-10 주식회사 네오리진 Wips sensor and method for preventing an intrusion of an illegal wireless terminal using wips sensor

Similar Documents

Publication Publication Date Title
KR102147446B1 (en) Systems, methods, and apparatus for authentication during fast initial link setup
KR102157661B1 (en) Wireless intrusion prevention system, wireless network system, and operating method for wireless network system
KR20180119651A (en) Authentication mechanisms for 5G technologies
US20170324754A1 (en) Secure group creation in proximity based service communication
KR20160010612A (en) Method of device discovery for device-to-device communication in a telecommunication network, user equipment device and computer program product
US11871223B2 (en) Authentication method and apparatus and device
US9794119B2 (en) Method and system for preventing the propagation of ad-hoc networks
US20120170559A1 (en) Method and system for out-of-band delivery of wireless network credentials
KR101865027B1 (en) Method for installing a femtocell access point
KR20160013151A (en) Secure system and method of making secure communication
JP7079994B1 (en) Intrusion blocking method for unauthorized wireless terminals using WIPS sensor and WIPS sensor
WO2016177106A1 (en) Dedicated core network selection method and device
KR20160055176A (en) Systems and methods for fast initial link setup security optimizations for psk and sae security modes
KR102359801B1 (en) Wireless intrusion prevention system and operating method thereof
KR101435423B1 (en) A wireless telecommunications network, and a method of authenticating a message
KR102596544B1 (en) Method and apparatus for preventing wireless intrusion
WO2023011630A1 (en) Authorization verification method and apparatus
KR102359805B1 (en) Sensing device, wireless intrusion prevention system including sensing device and operation method thereof
US20220408253A1 (en) Method and System for Authenticating a Base Station
KR102627393B1 (en) Method and apparatus for preventing wireless intrusion
WO2014194742A1 (en) Selection method for air interface security algorithm in wireless communication system and mme
JP2008048212A (en) Radio communication system, radio base station device, radio terminal device, radio communication method, and program
KR101434750B1 (en) Geography-based pre-authentication for wlan data offloading in umts-wlan networks
CN108282775A (en) Dynamic Additional Verification method towards mobile ad hoc network and system
KR100654441B1 (en) Method and apparatus for controlling wireless network access

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant