KR102627393B1 - Method and apparatus for preventing wireless intrusion - Google Patents

Method and apparatus for preventing wireless intrusion Download PDF

Info

Publication number
KR102627393B1
KR102627393B1 KR1020230074191A KR20230074191A KR102627393B1 KR 102627393 B1 KR102627393 B1 KR 102627393B1 KR 1020230074191 A KR1020230074191 A KR 1020230074191A KR 20230074191 A KR20230074191 A KR 20230074191A KR 102627393 B1 KR102627393 B1 KR 102627393B1
Authority
KR
South Korea
Prior art keywords
wireless terminal
wireless
action frame
frame
terminal
Prior art date
Application number
KR1020230074191A
Other languages
Korean (ko)
Inventor
박은정
Original Assignee
주식회사 코닉글로리
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 코닉글로리 filed Critical 주식회사 코닉글로리
Priority to KR1020230074191A priority Critical patent/KR102627393B1/en
Application granted granted Critical
Publication of KR102627393B1 publication Critical patent/KR102627393B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 명세서는 무선 침입 차단 방법 및 장치에 관한 것이다. 일 실시예에 따른 무선 침입 차단 방법은, AP(Access Point)와 연결된 무선 단말이 차단 대상 단말인지 확인하는 단계, 상기 무선 단말이 차단 대상 단말인 것으로 확인되면, 상기 무선 단말의 채널 전환을 위한 채널 전환 알림 정보를 포함하는 페이크 액션 프레임(fake action frame)을 생성하는 단계 및 상기 무선 단말에 상기 페이크 액션 프레임을 송신하는 단계를 포함할 수 있다. 실시예들에 따르면 PMF 기술 적용 여부와는 관계없이 보안 정책을 위반한 차단 대상 무선 단말의 무선 네트워크 접속을 효율적으로 차단할 수 있는 장점이 있다.This specification relates to a method and device for blocking wireless intrusion. A wireless intrusion blocking method according to an embodiment includes the steps of checking whether a wireless terminal connected to an AP (Access Point) is a terminal to be blocked, and if the wireless terminal is confirmed to be a terminal to be blocked, a channel for channel switching of the wireless terminal. It may include generating a fake action frame including transition notification information and transmitting the fake action frame to the wireless terminal. According to embodiments, there is an advantage of efficiently blocking wireless network access of wireless terminals that violate security policies, regardless of whether PMF technology is applied.

Description

무선 침입 차단 방법 및 장치{METHOD AND APPARATUS FOR PREVENTING WIRELESS INTRUSION}Method and device for blocking wireless intrusion {METHOD AND APPARATUS FOR PREVENTING WIRELESS INTRUSION}

본 명세서는 무선 침입 차단 방법 및 장치에 관한 것으로, 보다 상세하게는 차단 대상인 무선 단말이 무선 네트워크에 침입하였을 때 무선 단말과 무선 네트워크 간의 연결을 해제하는 방법 및 장치에 관한 것이다.This specification relates to a method and device for blocking wireless intrusion, and more specifically, to a method and device for disconnecting a wireless terminal from a wireless network when a wireless terminal subject to blocking intrudes into a wireless network.

통신 기술의 발달로 인하여 무선랜(wireless LAN) 기술이 널리 보급되고 있다. 무선랜은 무선 신호 전달 방식을 이용하여 두 대 이상의 장치를 연결하는 무선 데이터 통신 기술이다. 사용자는 무선랜 기술을 통해서 근거리 지역에서 이동하면서도 지속적으로 네트워크에 접근할 수 있다.Due to the development of communication technology, wireless LAN technology is becoming widely available. Wireless LAN is a wireless data communication technology that connects two or more devices using a wireless signal transmission method. Through wireless LAN technology, users can continuously access the network while moving in a short distance.

무선랜 환경에서 무선 단말은 AP(Access Point, 액세스 포인트)와의 통신 연결를 통해서 무선 네트워크에 손쉽게 접속할 수 있다. 그런데 최근에는 악의적인 의도를 가진 무선 단말이 무선 네트워크에 접속하는 사례가 증가하면서 무선 네트워크의 보안 기술 또한 발전하고 있다.In a wireless LAN environment, a wireless terminal can easily access the wireless network through a communication connection with an AP (Access Point). However, recently, as the number of wireless devices with malicious intent accessing wireless networks increases, wireless network security technology is also developing.

대표적인 무선 네트워크 보안 기술로 WIPS(Wireless Intrusion Prevention System)를 들 수 있다. WIPS 센서는 AP와 무선 단말 간에 전송되는 패킷을 탐지하고, 미리 정의된 보안 정책 위반 여부를 판단하여 불법적인 또는 악의적인 목적을 갖는 차단 대상 무선 단말의 접속을 차단할 수 있다. 예컨대 차단 대상 무선 단말이 발견되면, WIPS 센서는 인증 해제 프레임(Deauthentication Frame)이나 연결 해제 프레임(Disassociation Frame)을 차단 대상 무선 단말이나 AP에 송신함으로써 차단 대상 무선 단말의 접속을 해제시킬 수 있다.A representative wireless network security technology is WIPS (Wireless Intrusion Prevention System). The WIPS sensor detects packets transmitted between the AP and wireless terminals, determines whether predefined security policies are violated, and can block access of wireless terminals with illegal or malicious purposes. For example, when a wireless terminal to be blocked is discovered, the WIPS sensor can disconnect the wireless terminal to be blocked by transmitting a deauthentication frame or a disassociation frame to the wireless terminal or AP to be blocked.

한편, 최근 발표된 WIFI6(IEEE 802.11ax)의 WPA3 암호화 환경에서는 IEEE 802.11w 에 근간하는 PMF(Protected Managed Frame) 기능이 적용된다. PMF 기능이 적용되면 무선 단말과 AP가 주고 받는 데이터가 암호화되어 보호되므로, 인증 해제 프레임(Deauthentication Frame)이나 연결 해제 프레임(Disassociation Frame)을 이용한 WIPS 센서의 무선 침입 차단이 어려워지는 문제가 있다.Meanwhile, in the recently announced WPA3 encryption environment of WIFI6 (IEEE 802.11ax), the PMF (Protected Managed Frame) function based on IEEE 802.11w is applied. When the PMF function is applied, the data exchanged between the wireless terminal and the AP is encrypted and protected, so it becomes difficult to block wireless intrusion of the WIPS sensor using a deauthentication frame or disassociation frame.

본 명세서의 목적은 PMF 기능 적용 여부와는 관계없이 보안 정책을 위반한 차단 대상 무선 단말의 무선 네트워크 접속을 효율적으로 차단할 수 있는 무선 침입 차단 방법 및 장치를 제공하는 것이다.The purpose of this specification is to provide a wireless intrusion blocking method and device that can efficiently block wireless network access of wireless terminals that violate security policies, regardless of whether the PMF function is applied.

본 명세서의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 본 명세서의 다른 목적 및 장점들은 이하에서 기술되는 본 명세서의 실시예에 의해 보다 분명하게 이해될 것이다. 또한, 본 명세서의 목적 및 장점들은 청구범위에 기재된 구성요소들 및 그 조합에 의해 실현될 수 있다.The purpose of the present specification is not limited to the purposes mentioned above, and other purposes and advantages of the present specification that are not mentioned will be more clearly understood by the examples of the present specification described below. Additionally, the objects and advantages of the present specification can be realized by the components and combinations thereof described in the claims.

일 실시예에 따른 무선 침입 차단 방법은, AP(Access Point)와 연결된 무선 단말이 차단 대상 단말인지 확인하는 단계, 상기 무선 단말이 차단 대상 단말인 것으로 확인되면, 상기 무선 단말의 채널 전환을 위한 채널 전환 알림 정보를 포함하는 페이크 액션 프레임(fake action frame)을 생성하는 단계 및 상기 무선 단말에 상기 페이크 액션 프레임을 송신하는 단계를 포함할 수 있다.A wireless intrusion blocking method according to an embodiment includes the steps of checking whether a wireless terminal connected to an AP (Access Point) is a terminal to be blocked, and if the wireless terminal is confirmed to be a terminal to be blocked, a channel for channel switching of the wireless terminal. It may include generating a fake action frame including transition notification information and transmitting the fake action frame to the wireless terminal.

일 실시예에 따른 무선 침입 차단 장치는, AP와 연결된 무선 단말이 차단 대상 단말인지 확인하는 제어부, 페이크 액션 프레임(fake action frame)을 생성하는 프레임 생성부 및 데이터를 송신하거나 수신하는 통신부를 포함할 수 있다. 일 실시예에서, 상기 제어부는 상기 무선 단말이 차단 대상 단말인 것으로 확인되면, 상기 프레임 생성부가 상기 무선 단말의 채널 전환을 위한 채널 전환 알림 정보를 포함하는 상기 페이크 액션 프레임을 생성하도록 제어하고, 상기 통신부가 상기 무선 단말에 상기 페이크 액션 프레임을 송신하도록 제어할 수 있다.The wireless intrusion blocking device according to one embodiment may include a control unit that checks whether the wireless terminal connected to the AP is a terminal to be blocked, a frame generator that generates a fake action frame, and a communication unit that transmits or receives data. You can. In one embodiment, when the control unit determines that the wireless terminal is a blocking target terminal, the frame generator controls the fake action frame to generate the fake action frame including channel change notification information for channel change of the wireless terminal, The communication unit may control transmission of the fake action frame to the wireless terminal.

실시예들에 따르면 PMF 기술 적용 여부와는 관계없이 보안 정책을 위반한 차단 대상 무선 단말의 무선 네트워크 접속을 효율적으로 차단할 수 있는 장점이 있다.According to embodiments, there is an advantage of efficiently blocking wireless network access of wireless terminals that violate security policies, regardless of whether PMF technology is applied.

도 1은 일 실시예에 따른 무선 침입 차단 장치, 무선 단말 및 AP를 포함하는 네트워크 구성을 나타낸다.
도 2는 일 실시예에 따른 무선 단말과 AP 간의 연결 수립 과정을 나타내는 흐름도이다.
도 3은 일 실시예에서 AP와 연결 수립된 무선 단말이 차단 대상 단말인 경우 무선 침입 차단 장치가 AP와 무선 단말의 연결을 해제시키는 과정을 나타내는 흐름도이다.
도 4는 일 실시예에서 무선 침입 차단 장치가 생성하는 액션 프레임의 구조를 나타낸다.
도 5는 일 실시예에서 무선 침입 차단 장치가 생성하는 액션 프레임의 카테고리 필드의 필드값에 따른 액션 프레임의 카테고리를 나타낸다.
도 6은 일 실시예에서 무선 침입 차단 장치가 생성하는 퍼블릭 액션 프레임의 액션 필드의 필드값에 따른 퍼블릭 액션 프레임의 종류를 나타낸다.
도 7은 일 실시예에서 무선 침입 차단 장치가 생성하는 퍼블릭 액션 프레임에 포함되는 채널 전환 알림 필드의 구조를 나타낸다.Figure 1 shows a network configuration including a wireless intrusion prevention device, a wireless terminal, and an AP according to an embodiment.
Figure 2 is a flowchart showing a connection establishment process between a wireless terminal and an AP according to an embodiment.
Figure 3 is a flowchart showing a process in which a wireless intrusion prevention device disconnects the AP and the wireless terminal when the wireless terminal established a connection with the AP is a terminal to be blocked in one embodiment.
Figure 4 shows the structure of an action frame generated by a wireless intrusion prevention device in one embodiment.
Figure 5 shows the category of the action frame according to the field value of the category field of the action frame generated by the wireless intrusion prevention device in one embodiment.
Figure 6 shows types of public action frames according to field values of the action field of the public action frame generated by the wireless intrusion prevention device in one embodiment.
Figure 7 shows the structure of a channel change notification field included in a public action frame generated by a wireless intrusion prevention device in one embodiment.

전술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술되며, 이에 따라 본 명세서가 속하는 기술분야에서 통상의 지식을 가진 자가 본 명세서의 실시예들을 용이하게 실시할 수 있을 것이다. 본 명세서를 설명함에 있어서 본 명세서와 관련된 공지 기술에 대한 구체적인 설명이 본 명세서의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 상세한 설명을 생략한다. 이하, 첨부된 도면을 참조하여 본 명세서의 바람직한 실시예를 상세히 설명하기로 한다. 도면에서 동일한 참조부호는 동일 또는 유사한 구성요소를 가리킨다.The above-mentioned objectives, features and advantages will be described in detail later with reference to the attached drawings, and thus, those skilled in the art will be able to easily implement the embodiments of the present specification. In describing the present specification, if it is determined that a detailed description of known technology related to the present specification may unnecessarily obscure the gist of the present specification, the detailed description will be omitted. Hereinafter, preferred embodiments of the present specification will be described in detail with reference to the attached drawings. In the drawings, identical reference numerals indicate identical or similar components.

도 1은 일 실시예에 따른 무선 침입 차단 장치, 무선 단말 및 AP를 포함하는 네트워크 구성을 나타낸다.Figure 1 shows a network configuration including a wireless intrusion prevention device, a wireless terminal, and an AP according to an embodiment.

도 1을 참조하면, 일 실시예에 따른 무선 네트워크는 무선 침입 차단 장치(1), WIPS 서버(2), AP(Access Point)(3), 무선 단말(4)을 포함할 수 있다. 도 1에는 설명의 편의를 위해 1개의 무선 단말(4)만이 도시되었으나, 다른 실시예에서 무선 네트워크는 다수의 무선 단말을 포함할 수 있다.Referring to FIG. 1, a wireless network according to an embodiment may include a wireless intrusion prevention device (1), a WIPS server (2), an Access Point (AP) (3), and a wireless terminal (4). In FIG. 1, only one wireless terminal 4 is shown for convenience of explanation, but in other embodiments, the wireless network may include multiple wireless terminals.

AP(3)는 자신에게 결합된(associated) 단말들을 위하여 무선 매체를 경유하여 분배시스템에 대한 접속을 제공하는 장치이다. AP는 PCP(Personal BSS Coordination Point)를 포함하는 개념으로 사용되며, 광의적으로는 집중 제어기, 기지국(Base Station, BS), 노드-B, BTS(Base Transceiver System), 또는 사이트 제어기 등의 개념을 모두 포함할 수 있다. 본 명세서에서 AP는 베이스 무선 통신 단말로도 지칭될 수 있으며, 베이스 무선 통신 단말은 광의의 의미로는 AP, 베이스 스테이션(base station), eNB(eNodeB) 및 트랜스미션 포인트(TP)를 모두 포함하는 용어로 사용될 수 있다. 뿐만 아니라, 베이스 무선 통신 단말은 복수의 무선 통신 단말과의 통신에서 통신 매개체(medium) 자원을 할당하고, 스케줄링(scheduling)을 수행하는 다양한 형태의 무선 통신 단말을 포함할 수 있다.AP 3 is a device that provides access to the distribution system via wireless media for terminals associated with it. AP is used as a concept that includes PCP (Personal BSS Coordination Point), and in a broad sense, it refers to concepts such as centralized controller, base station (BS), Node-B, BTS (Base Transceiver System), or site controller. All can be included. In this specification, the AP may also be referred to as a base wireless communication terminal, and the base wireless communication terminal is a term that includes all of the AP, base station, eNodeB (eNB), and transmission point (TP) in a broad sense. It can be used as In addition, the base wireless communication terminal may include various types of wireless communication terminals that allocate communication medium resources and perform scheduling in communication with a plurality of wireless communication terminals.

무선 단말(Station)(4)은 무선 통신을 통해서 AP(3)에 무선으로 접속할 수 있는 장치이다. 무선 단말(4)의 예시로는 무선랜 장치가 구비된 데스크탑 또는 노트북, 스마트폰, 태블릿 등을 들 수 있으나 무선 단말(4)의 종류가 이에 한정되는 것은 아니다. 무선 단말(4)은 IEEE 802.11 표준의 규정을 따르는 매체 접속 제어(Medium Access Control, MAC)와 무선 매체에 대한 물리층(Physical Layer) 인터페이스를 포함하는 임의의 장치로서, 광의로는 비 액세스 포인트(nonAP) 스테이션뿐만 아니라 액세스 포인트(AP)를 모두 포함할 수 있다. 본 명세서에서 '단말'은 non-AP 스테이션을 가리키나, 실시예에 따라 non-AP 스테이션 및 AP 모두 가리키는 용어로 사용될 수도 있다.The wireless terminal (station) 4 is a device that can wirelessly connect to the AP (3) through wireless communication. Examples of the wireless terminal 4 include a desktop or laptop equipped with a wireless LAN device, a smartphone, and a tablet, but the type of the wireless terminal 4 is not limited thereto. The wireless terminal 4 is any device that includes Medium Access Control (MAC) and a physical layer interface to the wireless medium that complies with the provisions of the IEEE 802.11 standard. In the broad sense, it is a non-access point (nonAP). ) It can include both stations as well as access points (APs). In this specification, 'terminal' refers to a non-AP station, but depending on the embodiment, it may be used to refer to both a non-AP station and an AP.

무선 단말(4)은 프로세서(Processor)와 송수신부(transmit/receive unit)를 포함하고, 실시예에 따라 유저 인터페이스부와 디스플레이 유닛 등을 더 포함할 수 있다. 프로세서는 무선 네트워크를 통해 전송할 프레임을 생성하거나 또는 무선 네트워크를 통해 수신된 프레임을 처리하며, 그 밖에 스테이션을 제어하기 위한 다양한 처리를 수행할 수 있다. 그리고 송수신부는 상기 프로세서와 기능적으로 연결되어 있으며 스테이션을 위하여 무선 네트워크를 통해 프레임을 송수신한다. 무선 단말(4)은 무선 네트워크를 통해 AP(3)와 프레임을 주고받을 수 있다.The wireless terminal 4 includes a processor and a transmit/receive unit, and may further include a user interface unit and a display unit, depending on the embodiment. The processor may generate frames to be transmitted over a wireless network, process frames received over a wireless network, and perform various other processes to control the station. And the transmitting and receiving unit is functionally connected to the processor and transmits and receives frames for the station through a wireless network. The wireless terminal 4 can exchange frames with the AP 3 through a wireless network.

일 실시예에 따른 무선 침입 차단 장치(1)는 AP(3)와 무선 단말(4) 사이에서 전송되는 데이터 패킷을 검출 또는 수집할 수 있다. 데이터 패킷(data packet)은 통신망을 통하여 하나의 장치에서 다른 장치로 블록으로 송신되는 정보의 단위를 의미할 수 있다. 일 실시예에서, 데이터 패킷은 서비스 세트 식별자(SSID), 지원 속도, 타임스탬프, 표지 간격, 채널 정보 등과 같은 다양한 엘리먼트 필드들을 포함할 수 있다. 일 실시예에서, 무선 침입 차단 장치(1)는 WIPS 센서로도 지칭될 수 있다. The wireless intrusion prevention device 1 according to an embodiment can detect or collect data packets transmitted between the AP 3 and the wireless terminal 4. A data packet may refer to a unit of information transmitted as a block from one device to another device through a communication network. In one embodiment, a data packet may include various element fields such as service set identifier (SSID), supported rate, timestamp, beacon interval, channel information, etc. In one embodiment, the wireless intrusion prevention device 1 may also be referred to as a WIPS sensor.

무선 침입 차단 장치(1)는 수집된 데이터 패킷을 기초로 무선 단말(4)이 차단 대상 단말인지 여부를 확인할 수 있다. 본 명세서에서 '차단 대상 단말'은 미리 정해진 차단 대상 목록에 포함되는 단말 또는 미리 정해진 차단 정책을 위반하는 단말로 정의될 수 있다. 무선 단말(4)이 차단 대상 단말인 것으로 확인되면, 무선 침입 차단 장치(1)는 무선 단말(4)과 AP(3) 간의 연결을 해제시킬 수 있다. The wireless intrusion blocking device 1 can check whether the wireless terminal 4 is a terminal to be blocked based on the collected data packets. In this specification, a 'blocking target terminal' may be defined as a terminal included in a predetermined blocking target list or a terminal that violates a predetermined blocking policy. If it is confirmed that the wireless terminal 4 is a terminal subject to blocking, the wireless intrusion prevention device 1 may release the connection between the wireless terminal 4 and the AP 3.

WIPS 서버(2)는 무선 침입 차단 장치(1)에 차단 대상 목록 또는 차단 정책을 전송할 수 있다. 실시예에 따라서 WIPS 서버(2)는 무선 침입 차단 장치(1)가 수집한 데이터 패킷을 수신하고, 수신된 데이터 패킷에 기초하여 무선 단말(4)이 차단 대상 단말인지 여부를 판단할 수 있다. WIPS 서버(2)는 무선 단말(4)이 차단 대상 단말인지 여부에 대한 판단 결과를 무선 침입 차단 장치(1)에 제공할 수 있다.The WIPS server (2) may transmit a list of blocked targets or a blocking policy to the wireless intrusion prevention device (1). Depending on the embodiment, the WIPS server 2 may receive data packets collected by the wireless intrusion prevention device 1 and determine whether the wireless terminal 4 is a terminal to be blocked based on the received data packets. The WIPS server 2 may provide the wireless intrusion prevention device 1 with a determination result as to whether the wireless terminal 4 is a terminal subject to blocking.

다른 실시예에서, 무선 침입 차단 장치(1)는 WIPS 서버(2)가 제공한 차단 대상 목록 또는 차단 정책을 기초로 무선 단말(4)이 차단 대상 단말인지 여부를 스스로 판단할 수도 있다. In another embodiment, the wireless intrusion blocking device 1 may independently determine whether the wireless terminal 4 is a terminal to be blocked based on a blocking target list or blocking policy provided by the WIPS server 2.

일 실시예에 따른 무선 침입 차단 장치(1)는 통신부(10), 프레임 생성부(11), 제어부(12)를 포함할 수 있다.The wireless intrusion prevention device 1 according to an embodiment may include a communication unit 10, a frame generation unit 11, and a control unit 12.

통신부(10)는 다른 장치에 데이터 패킷을 송신하거나 다른 장치가 송신하는 데이터 패킷을 수신할 수 있다.The communication unit 10 may transmit a data packet to another device or receive a data packet transmitted by another device.

프레임 생성부(11)는 제어부(12)의 명령에 따라서 다른 장치에 송신될 데이터 프레임을 생성할 수 있다. 일 실시예에서, 프레임 생성부(11)는 페이크 액션 프레임을 생성할 수 있다.The frame generator 11 may generate a data frame to be transmitted to another device according to a command from the controller 12. In one embodiment, the frame generator 11 may generate a fake action frame.

제어부(12)는 통신부(10)를 통해서 수신되는 데이터 패킷을 기초로 AP(3)와 연결된 무선 단말(4)이 차단 대상 단말인지 확인할 수 있다. 일 실시예에서, 제어부(12)는 통신부(10)를 통해서 수신되는 데이터 패킷을 WIPS 서버(2)에 송신하고, WIPS 서버(2)로부터 무선 단말(4)이 차단 대상 단말인지 여부에 대한 판단 결과를 수신함으로써 무선 단말(4)이 차단 대상 단말인지 확인할 수 있다. 다른 실시예에서, 제어부(12)는 WIPS 서버(2)가 제공한 차단 대상 목록 또는 차단 정책을 기초로 무선 단말(4)이 차단 대상 단말인지 여부를 판단할 수 있다.The control unit 12 can check whether the wireless terminal 4 connected to the AP 3 is a terminal subject to blocking based on the data packet received through the communication unit 10. In one embodiment, the control unit 12 transmits a data packet received through the communication unit 10 to the WIPS server 2, and determines whether the wireless terminal 4 is a terminal to be blocked from the WIPS server 2. By receiving the result, it can be confirmed whether the wireless terminal 4 is a terminal subject to blocking. In another embodiment, the control unit 12 may determine whether the wireless terminal 4 is a terminal to be blocked based on a blocking target list or blocking policy provided by the WIPS server 2.

일 실시예에서, 제어부(12)는 통신부(10)를 통해 수집된 각 데이터 패킷을 분석하여 AP(3) 및 무선 단말(4)에 관한 정보를 획득할 수 있다. 예컨대, 제어부(12)에서 획득하는 AP(3)의 정보는 AP(3)가 지속적으로 브로드캐스팅(Broadcasting)하는 비콘 프레임에 포함되는 AP(3)의 BSSID(basic service set ID), SSID(service set ID), 채널(Channel) 정보, PMF 사용 여부, 암호화 정보, MAC(medium access control) 주소 등을 포함할 수 있다. 또한 제어부(12)에서 획득하는 무선 단말(4)의 정보는 무선 단말(4)의 BSSID, MAC(medium access control) 주소, 연결된 AP(3)의 SSID, 연결된 AP(3)의 BSSID, 연결된 AP(3)와 통신을 수행하고 있는 채널 정보 등을 포함할 수 있다.In one embodiment, the control unit 12 may obtain information about the AP 3 and the wireless terminal 4 by analyzing each data packet collected through the communication unit 10. For example, the information on the AP 3 acquired from the control unit 12 includes the basic service set ID (BSSID) and service ID (SSID) of the AP 3 included in the beacon frame that the AP 3 continuously broadcasts. set ID), channel information, whether PMF is used, encryption information, MAC (medium access control) address, etc. In addition, the information on the wireless terminal 4 acquired by the control unit 12 includes the BSSID of the wireless terminal 4, the medium access control (MAC) address, the SSID of the connected AP 3, the BSSID of the connected AP 3, and the connected AP. It may include channel information performing communication with (3).

제어부(12)는 획득된 데이터 패킷 또는 데이터 패킷을 통해서 획득된 AP(3)나 무선 단말(4)에 관한 정보를 WIPS 서버(2)에 전송할 수 있다.The control unit 12 may transmit the acquired data packet or information about the AP 3 or the wireless terminal 4 obtained through the data packet to the WIPS server 2.

일 실시예에서, AP(3)와 연결된 무선 단말(4)이 차단 대상 단말인 것으로 확인되면, 제어부(12)는 프레임 생성부(11)에 페이크 액션 프레임을 생성할 것을 요청할 수 있다. In one embodiment, if it is confirmed that the wireless terminal 4 connected to the AP 3 is a blocking target terminal, the control unit 12 may request the frame generator 11 to generate a fake action frame.

프레임 생성부(11)는 제어부(12)의 요청에 따라서 페이크 액션 프레임을 생성할 수 있다. 일 실시예에서, 페이크 액션 프레임은 무선 단말(4)의 채널 전환(channel switch) 또는 채널 변경을 유도하기 위한 채널 전환 알림 정보를 포함할 수 있다. The frame generator 11 may generate a fake action frame according to a request from the control unit 12. In one embodiment, the fake action frame may include channel switch notification information to induce a channel switch or channel change of the wireless terminal 4.

프레임 생성부(11)가 페이크 액션 프레임을 생성하면, 제어부(12)는 생성된 페이크 액션 프레임을 차단 대상 단말인 무선 단말(4)에 송신할 것을 통신부(12)에 요청할 수 있다. 이에 따라서 통신부(12)는 페이크 액션 프레임을 무선 단말(4)에 송신할 수 있다.When the frame generation unit 11 generates a fake action frame, the control unit 12 may request the communication unit 12 to transmit the generated fake action frame to the wireless terminal 4, which is the terminal to be blocked. Accordingly, the communication unit 12 can transmit a fake action frame to the wireless terminal 4.

일 실시예에서, 프레임 생성부(11)가 생성하는 페이크 액션 프레임은 PMF(Protected Managed Frame) 기능에 기초하여 암호화되지 않은 프레임일 수 있다.In one embodiment, the fake action frame generated by the frame generator 11 may be an unencrypted frame based on the Protected Managed Frame (PMF) function.

일 실시예에서, 프레임 생성부(11)가 생성하는 페이크 액션 프레임은 IEEE 802.11 표준에 정의된 퍼블릭 액션 프레임(public action frame)일 수 있다.In one embodiment, the fake action frame generated by the frame generator 11 may be a public action frame defined in the IEEE 802.11 standard.

일 실시예에서, 프레임 생성부(11)가 생성하는 페이크 액션 프레임에 포함되는 채널 전환 알림 정보는 퍼블릭 액션 프레임에 포함되는 확장된 채널 전환 알림 필드(Extended Channel Switch Announcement field)에 의해서 정의될 수 있다.In one embodiment, the channel switch notification information included in the fake action frame generated by the frame generator 11 may be defined by the extended channel switch announcement field included in the public action frame. .

일 실시예에서, 프레임 생성부(11)는 확장된 채널 전환 알림 필드에 포함된 신규 동작 클래스 필드(New Operating Class field)의 필드값 및 신규 채널 넘버 필드(New Channel Number field)의 필드값 중 적어도 하나를 변경하여 페이크 액션 프레임을 생성할 수 있다.In one embodiment, the frame generator 11 may generate at least one of the field value of the New Operating Class field and the field value of the New Channel Number field included in the extended channel change notification field. You can create a fake action frame by changing one.

일 실시예에서, 프레임 생성부(11)가 생성하는 페이크 액션 프레임의 송신지 주소는 AP(3)의 주소로 설정될 수 있다. 일 실시예에서, 프레임 생성부(11)가 생성하는 페이크 액션 프레임의 수신지 주소는 무선 단말(4)의 주소로 설정될 수 있다.In one embodiment, the transmission address of the fake action frame generated by the frame generator 11 may be set to the address of the AP 3. In one embodiment, the destination address of the fake action frame generated by the frame generator 11 may be set to the address of the wireless terminal 4.

이하에서는 무선 단말(4)이 차단 대상 단말일 때, 일 실시예에 따른 무선 침입 차단 장치(1)가 무선 단말(4)과 AP(3) 간의 통신 연결을 해제하는 예시적인 실시예가 기술된다.Below, an exemplary embodiment in which the wireless intrusion prevention device 1 according to an embodiment releases the communication connection between the wireless terminal 4 and the AP 3 when the wireless terminal 4 is a terminal subject to blocking is described.

도 2는 일 실시예에 따른 무선 단말과 AP 간의 연결 수립 과정을 나타내는 흐름도이다.Figure 2 is a flowchart showing a connection establishment process between a wireless terminal and an AP according to an embodiment.

도 2를 참조하면, AP(3)는 비콘 프레임을 송신한다(S101). 단계(S101)에서 AP(3)는 비콘 프레임의 수신자 또는 목적지가 특정되지 않도록 수신자 주소(receiver address) 또는 목적지 주소(destination address)를 설정할 수 있다. (예컨대, "ff:ff:ff:ff:ff:ff"로 설정) 즉, 단계(S101)에서 AP(3)는 브로드캐스팅 방식으로 비콘 프레임을 송신할 수 있다. 비콘 프레임은 AP(3)의 BSSID(basic service set ID), SSID(service set ID), 채널(Channel) 정보, PMF 사용 여부, 암호화 정보, MAC(medium access control) 주소 등을 포함할 수 있다. Referring to FIG. 2, AP 3 transmits a beacon frame (S101). In step S101, the AP 3 may set the receiver address or destination address so that the receiver or destination of the beacon frame is not specified. (For example, set to “ff:ff:ff:ff:ff:ff”) That is, in step S101, the AP 3 may transmit a beacon frame by broadcasting. The beacon frame may include the AP 3's basic service set ID (BSSID), service set ID (SSID), channel information, whether PMF is used, encryption information, medium access control (MAC) address, etc.

AP(3)가 송신한 비콘 프레임을 수신한 무선 단말(4)은 AP(3)에 프로브 요청 프레임(Probe Request Frame)을 송신한다(S102). The wireless terminal 4, which has received the beacon frame transmitted by the AP 3, transmits a probe request frame to the AP 3 (S102).

프로브 요청 프레임을 수신한 AP(3)는 무선 단말(4)에 프로브 응답 프레임(Probe Response Frame)을 송신한다(S103). 이 때 프로브 응답 프레임의 수신자 주소 또는 목적지 주소는 무선 단말(4)의 주소로 특정될 수 있다. 즉, 프로브 응답 프레임은 유니캐스팅(Unicasting) 방식으로 무선 단말(4)에 전송될 수 있다.The AP 3, which has received the probe request frame, transmits a probe response frame to the wireless terminal 4 (S103). At this time, the recipient address or destination address of the probe response frame may be specified as the address of the wireless terminal 4. That is, the probe response frame can be transmitted to the wireless terminal 4 in a unicasting manner.

프로브 응답 프레임을 수신한 무선 단말(4)은 AP(3)에 인증 요청 프레임(Authentication Request Frame)을 송신한다(S104).The wireless terminal 4, which has received the probe response frame, transmits an authentication request frame to the AP 3 (S104).

인증 요청 프레임을 수신한 AP(3)는 무선 단말(4)에 인증 응답 프레임(Authentication Response Frame)을 송신한다(S105). 무선 단말(4)이 인증 응답 프레임을 수신하면 AP(3)와 무선 단말(4) 간의 인증 절차가 수행된다.The AP 3, which has received the authentication request frame, transmits an authentication response frame to the wireless terminal 4 (S105). When the wireless terminal 4 receives the authentication response frame, an authentication procedure is performed between the AP 3 and the wireless terminal 4.

인증 응답 프레임을 수신하고 인증 절차를 완료한 무선 단말(4)은 AP(3)에 연결 요청 프레임(Association Request Frame)을 송신한다(S106).The wireless terminal 4, which has received the authentication response frame and completed the authentication process, transmits an Association Request Frame to the AP 3 (S106).

인증 요청 프레임을 수신한 AP(3)는 무선 단말(4)에 연결 응답 프레임(Association Response Frame)을 송신한다(S107). 무선 단말(4)이 연결 응답 프레임을 수신하면, 비콘 프레임이나 프로브 응답 프레임에 포함된 정보들을 기초로 AP(3)와 무선 단말(4) 간의 연결(Association) 과정이 수행될 수 있다.The AP 3, which has received the authentication request frame, transmits an Association Response Frame to the wireless terminal 4 (S107). When the wireless terminal 4 receives the connection response frame, an association process between the AP 3 and the wireless terminal 4 may be performed based on the information included in the beacon frame or probe response frame.

무선 단말(4)이 연결 응답 프레임을 수신하여 AP(3)와 연결이 완료되면, AP(3)와 무선 단말(4) 간의 암호화 키 교환이 수행된다(S108). 암호화 키 교환 방식의 예시로는 4웨이 핸드셰이크(4-Way Handshake)를 들 수 있으나, 암호화 키 교환 방식이 이에 한정되는 것은 아니다.When the wireless terminal 4 receives the connection response frame and completes the connection with the AP 3, encryption key exchange is performed between the AP 3 and the wireless terminal 4 (S108). An example of an encryption key exchange method is 4-Way Handshake, but the encryption key exchange method is not limited to this.

암호화 키 교환 단계(S108)가 완료되면 AP(3)와 무선 단말(4) 간의 연결이 수립(Establish)되어 암호화(예컨대, PMF)를 이용한 AP(3)와 무선 단말(4) 간의 통신이 가능해진다.When the encryption key exchange step (S108) is completed, the connection between the AP (3) and the wireless terminal (4) is established, enabling communication between the AP (3) and the wireless terminal (4) using encryption (e.g., PMF). It becomes.

도 3은 일 실시예에서 AP와 연결 수립된 무선 단말이 차단 대상 단말인 경우 무선 침입 차단 장치가 AP와 무선 단말의 연결을 해제시키는 과정을 나타내는 흐름도이다.Figure 3 is a flowchart showing a process in which a wireless intrusion prevention device disconnects the AP and the wireless terminal when the wireless terminal established a connection with the AP is a terminal to be blocked in one embodiment.

도 3을 참조하면, AP(3)와 무선 단말(4) 간의 연결 수립이 수행될 수 있다(S201). 연결 수립 단계(S201)는 도 2에 도시된 단계(S101) 내지 단계(S108)을 포함할 수 있다. 그러나 실시예에 따라서는 다른 과정을 통해서 AP(3)와 무선 단말(4) 간의 연결 수립이 수행될 수도 있다.Referring to FIG. 3, connection establishment between the AP 3 and the wireless terminal 4 may be performed (S201). The connection establishment step (S201) may include steps (S101) to (S108) shown in FIG. 2. However, depending on the embodiment, connection establishment between the AP 3 and the wireless terminal 4 may be performed through another process.

AP(3)와 무선 단말(4) 간의 연결 수립이 수행되는 동안, 무선 침입 방지 장치(1)의 제어부(12)는 통신부(10)를 통해서 AP(3)와 무선 단말(4)이 주고받는 데이터 패킷을 수집할 수 있다(S202). 제어부(12)는 AP(3)와 무선 단말(4) 간의 연결 수립이 완료된 이후에도 AP(3)와 무선 단말(4)이 주고받는 데이터 패킷을 수집할 수 있다.While connection establishment between the AP (3) and the wireless terminal (4) is being performed, the control unit (12) of the wireless intrusion prevention device (1) transmits and receives information between the AP (3) and the wireless terminal (4) through the communication unit (10). Data packets can be collected (S202). The control unit 12 can collect data packets exchanged between the AP 3 and the wireless terminal 4 even after the connection establishment between the AP 3 and the wireless terminal 4 is completed.

무선 침입 방지 장치(1)의 제어부(12)는 수집된 데이터 패킷에 포함된 정보를 이용하여 무선 단말(4)이 차단 대상 단말인지 여부를 확인할 수 있다(S203). 일 실시예에서, 제어부(12)는 수집된 데이터 패킷 및/또는 수집된 데이터 패킷에 포함된 정보를 WIPS 서버(2)에 전송하여 무선 단말(4)이 차단 대상 단말인지 여부에 대한 확인을 WIPS 서버(2)에 요청하고 확인 결과를 WIPS 서버(2)로부터 수신할 수 있다. 다른 실시예에서, 제어부(12)는 수집된 데이터 패킷 및/또는 수집된 데이터 패킷에 포함된 정보를 기초로 무선 단말(4)이 차단 대상 단말인지 여부를 스스로 판별할 수도 있다.The control unit 12 of the wireless intrusion prevention device 1 can check whether the wireless terminal 4 is a terminal to be blocked using the information included in the collected data packet (S203). In one embodiment, the control unit 12 transmits the collected data packets and/or the information contained in the collected data packets to the WIPS server 2 to confirm whether the wireless terminal 4 is a terminal subject to blocking. You can make a request to the server (2) and receive the confirmation result from the WIPS server (2). In another embodiment, the control unit 12 may independently determine whether the wireless terminal 4 is a blocking target terminal based on the collected data packets and/or information included in the collected data packets.

단계(S203)에서 무선 단말(4)이 차단 대상 단말인 것으로 확인되면, 제어부(12)는 프레임 생성부(11)에 페이크 액션 프레임을 생성할 것을 요청한다. If it is confirmed in step S203 that the wireless terminal 4 is a terminal to be blocked, the control unit 12 requests the frame generating unit 11 to generate a fake action frame.

프레임 생성부(11)는 제어부(12)가 수집한 데이터 패킷 및/또는 수집된 데이터 패킷에 포함된 정보를 참조하여 페이크 액션 프레임을 생성할 수 있다(S204). The frame generator 11 may generate a fake action frame by referring to the data packets collected by the control unit 12 and/or the information included in the collected data packets (S204).

도 4는 일 실시예에서 무선 침입 차단 장치가 생성하는 액션 프레임의 구조를 나타낸다. Figure 4 shows the structure of an action frame generated by a wireless intrusion prevention device in one embodiment.

IEEE 802.11 표준에 따르면 액션 프레임은 AP(3)와 무선 단말(4) 간에 송수신되는 관리 프레임(Management Frame) 중 하나이다. 액션 프레임은 네트워크 내에서 특정 액션을 트리거하기 위하여 사용될 수 있다.According to the IEEE 802.11 standard, the action frame is one of the management frames transmitted and received between the AP (3) and the wireless terminal (4). Action frames can be used to trigger specific actions within the network.

도 4에는 프레임 생성부(11)가 생성하는 액션 프레임의 구조가 도시된다. 액션 프레임은 헤더(header) 필드, 카테고리(Category) 필드(F1), 액션 상세(Action details) 필드(F2, F3), FCS 필드를 포함할 수 있다. 액션 상세 필드는 액션(Action) 필드(F2) 및 엘리먼트(Elements) 필드(F3)를 포함할 수 있다.Figure 4 shows the structure of an action frame generated by the frame generator 11. The action frame may include a header field, a category field (F1), an action details field (F2, F3), and an FCS field. The action detail field may include an Action field (F2) and an Elements field (F3).

헤더 필드는 프레임의 종류(제어, 관리, 데이터)를 나타내는 프레임 컨트롤(Frame Control) 필드, 통신을 위한 대기 시간을 나타내는 듀레이션(Duration) 필드, 액션 프레임의 수신지 주소를 나타내는 수신지 주소(DA, Destination Address) 필드, 액션 프레임의 송신지 주소를 나타내는 송신지 주소(SA, Source Address) 필드, 기본 서비스 영역(Basic Service Set)의 ID를 나타내는 BSS ID 필드, 프레임별 순서 및 조각화와 관련된 필드인 시퀀스 제어(Seq-ctl, Sequence Control) 필드를 포함할 수 있다. The header field is a Frame Control field indicating the type of frame (control, management, data), a Duration field indicating the waiting time for communication, and a destination address (DA) indicating the destination address of the action frame. Destination Address field, Source Address (SA) field indicating the transmission address of the action frame, BSS ID field indicating the ID of the basic service set, and Sequence, a field related to the order and fragmentation of each frame. A control (Seq-ctl, Sequence Control) field may be included.

카테고리 필드(F1)는 프레임의 카테고리를 나타내는 필드이다. 도 5는 일 실시예에서 무선 침입 차단 장치가 생성하는 액션 프레임의 카테고리 필드의 필드값에 따른 액션 프레임의 카테고리를 나타낸다. The category field (F1) is a field indicating the category of the frame. Figure 5 shows the category of the action frame according to the field value of the category field of the action frame generated by the wireless intrusion prevention device in one embodiment.

도 5에 도시된 테이블에서 Code는 액션 프레임의 카테고리 필드의 필드값을 나타내고, Meaning은 카테고리 필드의 필드값에 대응되는 액션 프레임의 카테고리를 나타낸다. 또한 도 5에서 Robust는 각각의 카테고리에 해당하는 액션 프레임이 PMF 기능에 의해서 보호되는지 여부를 나타낸다. Robust 항목이 'Yes'이면 해당 액션 프레임은 PMF 기능에 의해서 암호화되어 보호된다는 것을 의미하고, Robust 항목이 'No'이면 해당 액션 프레임은 PMF 기능에 의해서 보호되지 않는다는 것을 의미한다.In the table shown in FIG. 5, Code represents the field value of the category field of the action frame, and Meaning represents the category of the action frame corresponding to the field value of the category field. Additionally, in Figure 5, Robust indicates whether the action frame corresponding to each category is protected by the PMF function. If the Robust item is 'Yes', it means that the action frame is encrypted and protected by the PMF function. If the Robust item is 'No', it means that the action frame is not protected by the PMF function.

도 5에 도시된 바와 같이 액션 프레임 중에서 Code가 4인 액션 프레임, 즉 퍼블릭(Public) 액션 프레임은 PMF 기능에 의해서 보호되지 않는다. 따라서 프레임 생성부(11)는 제어부(12)의 요청에 따라서 카테고리 필드(F1)의 필드값이 4인 퍼블릭 액션 프레임을 생성할 수 있다. As shown in Figure 5, among action frames, the action frame with Code 4, that is, the public action frame, is not protected by the PMF function. Accordingly, the frame generator 11 may generate a public action frame in which the field value of the category field (F1) is 4 in accordance with the request of the control unit 12.

이렇게 생성된 퍼블릭 액션 프레임은 PMF 기능에 의한 보호 대상이 아니다. 따라서 무선 침입 방지 장치(1)가 퍼블릭 액션 프레임을 무선 단말(4)에 송신하면 무선 단말(4)은 PMF 기능의 적용 여부와는 관계없이 퍼블릭 액션 프레임을 수신하고 퍼블릭 액션 프레임에 포함된 정보에 따라서 채널 전환을 수행할 수 있다.Public action frames created in this way are not subject to protection by the PMF function. Therefore, when the wireless intrusion prevention device 1 transmits a public action frame to the wireless terminal 4, the wireless terminal 4 receives the public action frame regardless of whether the PMF function is applied and uses the information included in the public action frame. Therefore, channel switching can be performed.

도 6은 일 실시예에서 무선 침입 차단 장치가 생성하는 퍼블릭 액션 프레임의 액션 필드의 필드값에 따른 퍼블릭 액션 프레임의 종류를 나타낸다. Figure 6 shows types of public action frames according to field values of the action field of the public action frame generated by the wireless intrusion prevention device in one embodiment.

도 6에서 Public Action field value는 도 4에 도시된 액션 필드(F2)에 기록되는 필드값을 나타낸다. 또한 도 6에서 Description은 액션 필드(F2)의 필드값에 따라서 퍼블릭 액션 프레임에 포함되는 정보의 종류를 나타내며, 이에 따라서 엘리먼트(Elements) 필드(F3)에 포함되는 정보의 종류가 결정된다.In FIG. 6, Public Action field value represents a field value recorded in the action field (F2) shown in FIG. 4. Additionally, in FIG. 6, Description indicates the type of information included in the public action frame according to the field value of the action field (F2), and the type of information included in the Elements field (F3) is determined accordingly.

일 실시예에서, 프레임 생성부(11)는 퍼블릭 액션 프레임의 액션 필드(F2)의 필드값을 4로 설정할 수 있다. 이에 따라서 프레임 생성부(11)가 생성하는 퍼블릭 액션 프레임에는 확장된 채널 전환 알림 필드(Extended Channel Switch Announcement field)가 포함될 수 있다. 일 실시예에서, 확장된 채널 전환 알림 필드는 무선 단말(4)의 채널 전환을 위해 필요한 정보, 즉 채널 전환 알림 정보로서 사용될 수 있다. 채널 전환 알림 필드는 도 4에 도시된 엘리먼트 필드(F3)에 포함될 수 있다.In one embodiment, the frame generator 11 may set the field value of the action field (F2) of the public action frame to 4. Accordingly, the public action frame generated by the frame generator 11 may include an extended channel switch announcement field. In one embodiment, the extended channel change notification field can be used as information necessary for channel change of the wireless terminal 4, that is, channel change notification information. The channel change notification field may be included in the element field (F3) shown in FIG. 4.

도 7은 일 실시예에서 무선 침입 차단 장치가 생성하는 퍼블릭 액션 프레임에 포함되는 채널 전환 알림 필드의 구조를 나타낸다.Figure 7 shows the structure of a channel change notification field included in a public action frame generated by a wireless intrusion prevention device in one embodiment.

도 7을 참조하면, 채널 전환 알림 필드는 채널 전환 모드(Channel Switch Mode) 필드, 신규 동작 클래스(New Operating Class) 필드, 신규 채널 넘버(New Channel Number) 필드, 채널 전환 카운트(Channel Switch Count) 필드, 메시 채널 전환 파라미터 엘리먼트(Mesh Channel Switch Parameters element) 필드를 포함할 수 있다.Referring to FIG. 7, the channel switch notification field includes a Channel Switch Mode field, a New Operating Class field, a New Channel Number field, and a Channel Switch Count field. , may include a Mesh Channel Switch Parameters element field.

채널 전환 모드 필드는 채널 전환이 수행될 때까지 지켜져야 하는 데이터 송수신 과정에 대한 제한사항을 나타낸다. 신규 동작 클래스 필드는 무선 단말(4)이 변경해야 하는 새로운 동작 클래스를 정의한다. 각각의 동작 클래스는 서로 다른 채널의 시작 주파수, 채널 주파수 간격, 채널 세트, 동작 제한 사항을 나타낸다. 신규 채널 넘버 필드는 무선 단말(4)이 전환해야 하는 새로운 채널의 식별자 또는 번호를 나타낸다. 채널 전환 카운트 필드는 채널 전환이 수행되어야 하는 타이밍을 정의한다. 메시 채널 전환 파라미터 엘리먼트 필드는 메시 스테이션이 MBSS(Mesh Basic Service Set) 채널 전환을 수행할 때에만 사용되는 필드이다.The channel switching mode field indicates restrictions on the data transmission and reception process that must be observed until channel switching is performed. The new operating class field defines a new operating class to which the wireless terminal 4 must change. Each operating class represents a different channel starting frequency, channel frequency spacing, channel set, and operating restrictions. The new channel number field indicates the identifier or number of the new channel to which the wireless terminal 4 must switch. The channel switching count field defines the timing at which channel switching should be performed. The mesh channel switching parameter element field is a field that is used only when the mesh station performs MBSS (Mesh Basic Service Set) channel switching.

일 실시예에서, 프레임 생성부(11)는 제어부(12)가 수집한 데이터 패킷 및/또는 수집된 데이터 패킷에 포함된 정보를 참조하여 무선 단말(4)이 AP(3)와의 통신을 수행하기 위하여 사용하고 있는 현재 채널의 동작 클래스 및 식별자 중 적어도 하나를 확인하고, 현재 채널의 동작 클래스 또는 식별자와 다른 동작 클래스 및 식별자 중 적어도 하나를 채널 전환 모드 필드에 포함된 신규 동작 클래스 필드 및 신규 채널 넘버 필드 중 적어도 하나에 기록함으로써 퍼블릭 액션 프레임의 구조를 갖는 페이크 액션 프레임을 생성할 수 있다.In one embodiment, the frame generator 11 allows the wireless terminal 4 to perform communication with the AP 3 by referring to the data packets collected by the control unit 12 and/or the information included in the collected data packets. For this purpose, check at least one of the operation class and identifier of the current channel being used, and at least one of the operation class and identifier that is different from the operation class or identifier of the current channel in the new operation class field and new channel number included in the channel switching mode field. A fake action frame having the structure of a public action frame can be created by recording in at least one of the fields.

다시 도 3을 참조하면, 프레임 생성부(11)는 도 4 내지 도 7을 참조하여 설명된 퍼블릭 액션 프레임의 구조를 갖는 페이크 액션 프레임을 생성할 수 있다(S204). 단계(S204)에서 프레임 생성부(11)가 생성하는 페이크 액션 프레임에는 무선 단말(4)이 AP(3)와의 통신에 사용하는 현재 채널과는 다른 채널로의 전환을 위하여 전술한 바와 같이 신규 동작 클래스 필드 및 신규 채널 넘버 필드 중 적어도 하나를 변경한 채널 전환 알림 필드가 채널 전환 알림 정보로서 포함될 수 있다. Referring again to FIG. 3, the frame generator 11 may generate a fake action frame having the structure of the public action frame described with reference to FIGS. 4 to 7 (S204). The fake action frame generated by the frame generator 11 in step S204 includes a new operation as described above in order to switch to a channel different from the current channel used by the wireless terminal 4 for communication with the AP 3. A channel change notification field in which at least one of the class field and the new channel number field is changed may be included as channel change notification information.

또한 프레임 생성부(11)가 생성하는 페이크 액션 프레임의 송신지 주소는 상기 AP의 주소로 설정되고, 수신지 주소는 상기 무선 단말의 주소로 설정될 수 있다. 이에 따라서 정상적인 무선 단말들을 제외하고 오직 차단 대상 단말인 무선 단말(4)에 대해서만 후술하는 통신 해제 절차가 적용될 수 있다.Additionally, the transmission address of the fake action frame generated by the frame generator 11 may be set to the address of the AP, and the destination address may be set to the address of the wireless terminal. Accordingly, the communication release procedure described later can be applied only to the wireless terminal 4 that is the terminal to be blocked, excluding normal wireless terminals.

제어부(12)는 통신부(10)에 페이크 액션 프레임의 송신을 요청할 수 있다. 이에 따라서 통신부(10)는 페이크 액션 프레임을 무선 단말(4)에 송신할 수 있다(S205).The control unit 12 may request the communication unit 10 to transmit a fake action frame. Accordingly, the communication unit 10 can transmit a fake action frame to the wireless terminal 4 (S205).

무선 침임 방지 장치(1)가 송신한 페이크 액션 프레임은 PMF 기능에 의해서 보호되지 않는 퍼블릭 액션 프레임일 수 있다. 따라서 페이크 액션 프레임을 수신한 무선 단말(4)은 페이크 액션 프레임에 포함된 채널 전환 알림 정보(예컨대, 채널 전환 알림 필드)를 참조하여 페이크 액션 프레임에 의해서 지정된 새로운 채널로의 전환을 수행한다(S206).The fake action frame transmitted by the wireless intrusion prevention device 1 may be a public action frame that is not protected by the PMF function. Therefore, the wireless terminal 4 receiving the fake action frame refers to the channel change notification information (e.g., channel change notification field) included in the fake action frame and performs a change to a new channel specified by the fake action frame (S206) ).

무선 단말(4)이 채널 전환을 수행하면 AP(3)와의 데이터 송수신이 불가능해진다. 이에 따라서 AP(3)는 무선 단말(4)에 질의 메시지를 송신할 수 있다(S207). 질의 메시지의 예시로서 SA 쿼리(SA Query)를 들 수 있으나 질의 메시지의 종류가 이에 한정되는 것은 아니다. When the wireless terminal 4 performs channel switching, data transmission and reception with the AP 3 becomes impossible. Accordingly, the AP 3 can transmit a query message to the wireless terminal 4 (S207). An example of a query message is SA Query, but the type of query message is not limited to this.

AP(3)가 질의 메시지를 송신하더라도 무선 단말(4)은 채널 전환을 완료한 상태이므로 AP(3)의 질의 메시지에 대한 응답 메시지를 송신하지 않는다. 무선 단말(4)로부터 질의 메시지에 대한 응답 메시지를 수신하지 못하면, AP(3)는 무선 단말(4)과의 통신 연결을 해제한다(S208). 이에 따라서 차단 대상 단말인 무선 단말(4)과 AP(3)와의 통신 연결이 종료된다.Even if the AP 3 transmits an inquiry message, the wireless terminal 4 does not transmit a response message to the inquiry message of the AP 3 because the channel switch has been completed. If a response message to the query message is not received from the wireless terminal 4, the AP 3 releases the communication connection with the wireless terminal 4 (S208). Accordingly, the communication connection between the wireless terminal 4, which is the terminal to be blocked, and the AP 3 is terminated.

전술한 실시예에 따른 무선 침입 방지 장치(1)가 수행하는 무선 침입 방지 방법에 의하면, PMF 적용 대상이 아닌 퍼블릭 액션 프레임을 페이크 액션 프레임으로 사용하여 무선 단말(4)에 대한 통신 연결 해제가 수행된다. 따라서 AP(3)와 차단 대상 단말인 무선 단말(4)이 PMF 기능을 이용하여 통신을 수행하고 있는 상태에서도 무선 단말(4)과 AP(3) 간의 연결을 해제시킬 수 있는 장점이 있다. 물론 전술한 실시예에 따른 무선 침입 방지 장치(1)가 수행하는 무선 침입 방지 방법은 AP(3)와 차단 대상 단말인 무선 단말(4)이 PMF 기능을 이용하지 않고 통신을 수행하고 있는 상태에서도 적용 가능하다.According to the wireless intrusion prevention method performed by the wireless intrusion prevention device 1 according to the above-described embodiment, communication connection to the wireless terminal 4 is disconnected by using a public action frame that is not subject to PMF as a fake action frame. do. Therefore, there is an advantage that the connection between the wireless terminal 4 and the AP 3 can be disconnected even when the AP 3 and the wireless terminal 4, which is the terminal to be blocked, are communicating using the PMF function. Of course, the wireless intrusion prevention method performed by the wireless intrusion prevention device 1 according to the above-described embodiment is effective even when the AP 3 and the wireless terminal 4, which is the terminal to be blocked, are communicating without using the PMF function. Applicable.

또한 전술한 실시예에 따르면 차단 대상 단말로 인지된 무선 단말(4)의 연결을 해제시키는 과정에서 AP(3)에게 별도의 데이터 패킷이 전송되지 않으며, AP(3)에게 별도의 데이터 패킷 전송이 요구되지 않는다. 따라서 AP(3)의 부하 증가나 리소스 소모 없이 차단 대상 단말로 인지된 무선 단말(4)과 AP(3) 간의 효율적인 연결 해제가 가능한 장점이 있다.In addition, according to the above-described embodiment, in the process of disconnecting the wireless terminal 4 recognized as a blocking target terminal, no separate data packet is transmitted to the AP 3, and no separate data packet is transmitted to the AP 3. Not required. Therefore, there is an advantage in that it is possible to efficiently disconnect the connection between the AP (3) and the wireless terminal (4), which is recognized as a blocking target terminal, without increasing the load or consuming resources of the AP (3).

이상과 같이 본 명세서에 대해서 예시한 도면을 참조로 하여 설명하였으나, 본 명세서에 개시된 실시예와 도면에 의해 본 명세서가 한정되는 것은 아니며, 통상의 기술자에 의해 다양한 변형이 이루어질 수 있을 것이다. 아울러 앞서 본 명세서의 실시예를 설명하면서 본 명세서의 구성에 따른 효과를 명시적으로 기재하여 설명하지 않았을지라도, 해당 구성에 의해 예측 가능한 효과 또한 인정되어야 한다.As described above, the present specification has been described with reference to the illustrative drawings, but the present specification is not limited to the embodiments and drawings disclosed herein, and various modifications may be made by those skilled in the art. In addition, even if the effects of the configuration of the present specification were not explicitly described and explained in the above description of the embodiments of the present specification, the predictable effects of the configuration should also be recognized.

Claims (12)

AP(Access Point)와 연결된 무선 단말이 차단 대상 단말인지 확인하는 단계;
상기 무선 단말이 차단 대상 단말인 것으로 확인되면, 상기 무선 단말의 채널 전환을 위한 채널 전환 알림 정보를 포함하는 페이크 액션 프레임(fake action frame)을 생성하는 단계; 및
상기 무선 단말에 상기 페이크 액션 프레임을 송신하는 단계를 포함하고,
상기 페이크 액션 프레임을 생성하는 단계는
상기 AP와 상기 무선 단말 사이에서 전송되는 데이터 패킷 또는 상기 데이터 패킷에 포함된 정보를 참조하여, 상기 무선 단말이 상기 AP와의 통신을 수행하기 위하여 사용하고 있는 현재 채널과는 다른 채널에 관한 정보를 상기 채널 전환 알림 정보로 생성하는 단계를 포함하고,
상기 페이크 액션 프레임은 PMF(Protected Managed Frame) 기능에 기초하여 암호화되지 않은 퍼블릭 액션 프레임(public action frame)인
무선 침입 차단 방법.
Confirming whether a wireless terminal connected to an AP (Access Point) is a terminal subject to blocking;
If it is confirmed that the wireless terminal is a blocking target terminal, generating a fake action frame including channel change notification information for channel change of the wireless terminal; and
Transmitting the fake action frame to the wireless terminal,
The step of generating the fake action frame is
With reference to the data packet transmitted between the AP and the wireless terminal or the information included in the data packet, information about a channel different from the current channel that the wireless terminal is using to communicate with the AP is provided. Including the step of generating channel change notification information,
The fake action frame is an unencrypted public action frame based on the Protected Managed Frame (PMF) function.
How to block wireless intrusion.
 삭제delete 삭제delete 제1항에 있어서,
상기 채널 전환 알림 정보는
상기 퍼블릭 액션 프레임에 포함되는 확장된 채널 전환 알림 필드(Extended Channel Switch Announcement field)에 의해서 정의되는
무선 침입 차단 방법.
According to paragraph 1,
The channel change notification information is
Defined by the extended channel switch announcement field included in the public action frame
How to block wireless intrusion.
 제4항에 있어서,
상기 페이크 액션 프레임을 생성하는 단계는
상기 확장된 채널 전환 알림 필드에 포함된 신규 동작 클래스 필드(New Operating Class field)의 필드값 및 신규 채널 넘버 필드(New Channel Number field)의 필드값 중 적어도 하나를 변경하는 단계를 포함하는
무선 침입 차단 방법.
According to clause 4,
The step of generating the fake action frame is
Comprising the step of changing at least one of the field value of the New Operating Class field and the field value of the New Channel Number field included in the extended channel change notification field.
How to block wireless intrusion.
 제1항에 있어서,
상기 페이크 액션 프레임의 송신지 주소는 상기 AP의 주소로 설정되고, 상기 페이크 액션 프레임의 수신지 주소는 상기 무선 단말의 주소로 설정되는
무선 침입 차단 방법.
According to paragraph 1,
The transmission address of the fake action frame is set to the address of the AP, and the destination address of the fake action frame is set to the address of the wireless terminal.
How to block wireless intrusion.
 AP와 연결된 무선 단말이 차단 대상 단말인지 확인하는 제어부;
페이크 액션 프레임(fake action frame)을 생성하는 프레임 생성부; 및
데이터를 송신하거나 수신하는 통신부를 포함하고,
상기 제어부는
상기 무선 단말이 차단 대상 단말인 것으로 확인되면, 상기 프레임 생성부가 상기 무선 단말의 채널 전환을 위한 채널 전환 알림 정보를 포함하는 상기 페이크 액션 프레임을 생성하도록 제어하고, 상기 통신부가 상기 무선 단말에 상기 페이크 액션 프레임을 송신하도록 제어하고,
상기 프레임 생성부는
상기 AP와 상기 무선 단말 사이에서 전송되는 데이터 패킷 또는 상기 데이터 패킷에 포함된 정보를 참조하여, 상기 무선 단말이 상기 AP와의 통신을 수행하기 위하여 사용하고 있는 현재 채널과는 다른 채널에 관한 정보를 상기 채널 전환 알림 정보로 생성하고,
상기 페이크 액션 프레임은 PMF(Protected Managed Frame) 기능에 기초하여 암호화되지 않은 퍼블릭 액션 프레임(public action frame)인
무선 침입 차단 장치.
A control unit that checks whether the wireless terminal connected to the AP is a terminal to be blocked;
A frame generator that generates a fake action frame; and
It includes a communication unit that transmits or receives data,
The control unit
When it is confirmed that the wireless terminal is a blocking target terminal, the frame generating unit controls the fake action frame to generate the fake action frame including channel change notification information for channel switching of the wireless terminal, and the communication unit sends the fake action frame to the wireless terminal. Controls transmission of action frames,
The frame generator
With reference to the data packet transmitted between the AP and the wireless terminal or the information included in the data packet, information about a channel different from the current channel that the wireless terminal is using to communicate with the AP is provided. Created with channel change notification information,
The fake action frame is an unencrypted public action frame based on the Protected Managed Frame (PMF) function.
Wireless intrusion prevention device.
 삭제delete 삭제delete 제7항에 있어서,
상기 채널 전환 알림 정보는
상기 퍼블릭 액션 프레임에 포함되는 확장된 채널 전환 알림 필드(Extended Channel Switch Announcement field)에 의해서 정의되는
무선 침입 차단 장치.
In clause 7,
The channel change notification information is
Defined by the extended channel switch announcement field included in the public action frame
Wireless intrusion prevention device.
 제10항에 있어서,
상기 프레임 생성부는
상기 확장된 채널 전환 알림 필드에 포함된 신규 동작 클래스 필드(New Operating Class field)의 필드값 및 신규 채널 넘버 필드(New Channel Number field)의 필드값 중 적어도 하나를 변경하여 상기 페이크 액션 프레임을 생성하는
무선 침입 차단 장치.
According to clause 10,
The frame generator
Generating the fake action frame by changing at least one of the field value of the New Operating Class field and the field value of the New Channel Number field included in the extended channel change notification field.
Wireless intrusion prevention device.
 제7항에 있어서,
상기 페이크 액션 프레임의 송신지 주소는 상기 AP의 주소로 설정되고, 상기 페이크 액션 프레임의 수신지 주소는 상기 무선 단말의 주소로 설정되는
무선 침입 차단 장치.
In clause 7,
The transmission address of the fake action frame is set to the address of the AP, and the destination address of the fake action frame is set to the address of the wireless terminal.
Wireless intrusion prevention device.
KR1020230074191A 2023-06-09 2023-06-09 Method and apparatus for preventing wireless intrusion KR102627393B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230074191A KR102627393B1 (en) 2023-06-09 2023-06-09 Method and apparatus for preventing wireless intrusion

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020230074191A KR102627393B1 (en) 2023-06-09 2023-06-09 Method and apparatus for preventing wireless intrusion

Publications (1)

Publication Number Publication Date
KR102627393B1 true KR102627393B1 (en) 2024-01-19

Family

ID=89717502

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230074191A KR102627393B1 (en) 2023-06-09 2023-06-09 Method and apparatus for preventing wireless intrusion

Country Status (1)

Country Link
KR (1) KR102627393B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019110493A (en) * 2017-12-20 2019-07-04 ソニー株式会社 Information processing device, information processing method, information processing system, and program
KR102102835B1 (en) * 2019-03-26 2020-04-22 시큐어레터 주식회사 Wips sensor
KR102323712B1 (en) * 2021-06-17 2021-11-10 주식회사 네오리진 Wips sensor and method for preventing an intrusion of an illegal wireless terminal using wips sensor

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019110493A (en) * 2017-12-20 2019-07-04 ソニー株式会社 Information processing device, information processing method, information processing system, and program
KR102102835B1 (en) * 2019-03-26 2020-04-22 시큐어레터 주식회사 Wips sensor
KR102323712B1 (en) * 2021-06-17 2021-11-10 주식회사 네오리진 Wips sensor and method for preventing an intrusion of an illegal wireless terminal using wips sensor

Similar Documents

Publication Publication Date Title
EP2979401B1 (en) System and method for indicating a service set identifier
TWI336197B (en) Systems and methods for negotiating security parameters for protecting management frames in wireless networks
EP3082354B1 (en) Location privacy protection methods and devices
KR100694219B1 (en) Apparatus and method detecting data transmission mode of access point in wireless terminal
JP2019512942A (en) Authentication mechanism for 5G technology
KR102157661B1 (en) Wireless intrusion prevention system, wireless network system, and operating method for wireless network system
US9794119B2 (en) Method and system for preventing the propagation of ad-hoc networks
WO2009008627A2 (en) A method of establishing fast security association for handover between heterogeneous radio access networks
WO2014114099A1 (en) Method and system for preventing rogue access points in wireless local area network
KR20160010612A (en) Method of device discovery for device-to-device communication in a telecommunication network, user equipment device and computer program product
JP7079994B1 (en) Intrusion blocking method for unauthorized wireless terminals using WIPS sensor and WIPS sensor
US11871223B2 (en) Authentication method and apparatus and device
US8145131B2 (en) Wireless ad hoc network security
WO2016177106A1 (en) Dedicated core network selection method and device
KR20160055176A (en) Systems and methods for fast initial link setup security optimizations for psk and sae security modes
US11206576B2 (en) Rapidly disseminated operational information for WLAN management
WO2017171835A1 (en) Key management for fast transitions
KR102627393B1 (en) Method and apparatus for preventing wireless intrusion
US20220408253A1 (en) Method and System for Authenticating a Base Station
KR102596544B1 (en) Method and apparatus for preventing wireless intrusion
JP2008048212A (en) Radio communication system, radio base station device, radio terminal device, radio communication method, and program
KR101434750B1 (en) Geography-based pre-authentication for wlan data offloading in umts-wlan networks
JP5175898B2 (en) Wireless communication apparatus, connection release method, and program
Sheriff et al. ENABLING AUTOMATED PEER-TO-PEER COLLABORATION BETWEEN AR/VR-ENABLED WI-FI CLIENTS FOR REMOTE WORKERS
WO2024069597A1 (en) Suspicious behavior reporting

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant