KR20140071801A - Appratus of mobile device classification for preventing wireless intrusion - Google Patents

Appratus of mobile device classification for preventing wireless intrusion Download PDF

Info

Publication number
KR20140071801A
KR20140071801A KR1020120139805A KR20120139805A KR20140071801A KR 20140071801 A KR20140071801 A KR 20140071801A KR 1020120139805 A KR1020120139805 A KR 1020120139805A KR 20120139805 A KR20120139805 A KR 20120139805A KR 20140071801 A KR20140071801 A KR 20140071801A
Authority
KR
South Korea
Prior art keywords
wireless
information
wireless device
classification
state
Prior art date
Application number
KR1020120139805A
Other languages
Korean (ko)
Other versions
KR101953562B1 (en
Inventor
권혁찬
김신효
안개일
이석준
정도영
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020120139805A priority Critical patent/KR101953562B1/en
Publication of KR20140071801A publication Critical patent/KR20140071801A/en
Application granted granted Critical
Publication of KR101953562B1 publication Critical patent/KR101953562B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Abstract

The present invention relates to a wireless device classifying apparatus for preventing wireless intrusion. The disclosed wireless device classifying apparatus includes an information collecting unit which collects information about a wireless device from an authentication server and a wireless terminal management server, an information storage unit which stores the collected information about the wireless device, and an information analyzing unit which analyzes the information about the wireless device based on a classification policy stored in a classification storage unit and classifies the wireless device according to an analysis result. Therefore, a wireless intrusion preventing service is efficiently performed by minutely classifying the wireless device.

Description

무선 침해 방지를 위한 무선 디바이스 분류 장치{APPRATUS OF MOBILE DEVICE CLASSIFICATION FOR PREVENTING WIRELESS INTRUSION}[0001] APPARATUS OF MOBILE DEVICE CLASSIFICATION FOR PREVENTING WIRELESS INTRUSION [0002]

본 발명은 무선 침해 방지에 관한 것으로, 더욱 상세하게는 무선 침해 방지를 위한 무선 디바이스 분류 장치에 관한 것이다.
BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention relates to wireless infringement prevention, and more particularly, to a wireless device classification apparatus for preventing wireless infringement.

주지하는 바와 같이, 무선 침해 방지 기술은 무선랜 환경에서 관리도메인 내의 인가되지 않은 액세스포인트(Access Point)를 탐지하여 이에 대한 접속을 제어하며, DoS(Denial of Service) 등의 무선 구간에서의 보안 위협을 탐지 및 차단하는 것이다.As will be known, a wireless intrusion prevention technology detects an unauthorized access point in a management domain in a wireless LAN environment and controls access to the access point, and a security threat in a wireless section such as a denial of service (DoS) As shown in FIG.

이러한 무선 침해 방지 기술은 액세스포인트와 무선 디바이스의 분류에 따라 접속 정책을 보유하여 시행하는 구조를 갖는다.Such a wireless intrusion prevention technique has a structure in which an access policy is held and enforced according to the classification of an access point and a wireless device.

종래 기술에 따르면 무선 디바이스의 경우에는 인증(authorized), 비인증(unauthorized), 이웃(neighbor)으로 분류가 되어 있고, 이 분류에 따라 액세스포인트를 통한 무선망 접속을 제어하고 있다.According to the related art, a wireless device is classified as authorized, unauthorized, and neighbor, and controls access to a wireless network through an access point according to the classification.

그러나, 이러한 종래 기술에 의하면 무선 디바이스의 분류가 세부적이지 않아서 액세스포인트 접속 제어를 효과적으로 수행할 수 없는 문제점이 있었다.
However, according to the related art, there is a problem in that the classification of the wireless device is not detailed and the access point connection control can not be performed effectively.

미국공개특허 20070025313, 공개일자 2007년 02월 01일.U.S. Published patent application 20070025313, published on February 01, 2007.

본 발명의 실시예는 디바이스 관련 정보를 수집하여 이에 근거하여 무선 디바이스를 세부적으로 분류하는 무선 침해 방지를 위한 무선 디바이스 분류 장치를 제공한다.
An embodiment of the present invention provides a wireless device classification apparatus for wireless infringement prevention that collects device-related information and classifies wireless devices in detail based on the information.

본 발명의 일 관점에 따른 무선 침해 방지를 위한 무선 디바이스 분류 장치는, 무선 단말 관리 서버와 인증 서버로부터 무선 디바이스에 대한 관련 정보를 수집하는 정보 수집부와, 상기 정보 수집부가 수집한 상기 무선 디바이스에 대한 관련 정보가 저장되는 정보 저장부와, 상기 분류 저장부에 저장된 분류 정책에 의거하여 상기 무선 디바이스에 대한 관련 정보를 분석하며, 분석 결과에 따라 상기 무선 디바이스를 분류하는 정보 분석부를 포함할 수 있다.
According to an aspect of the present invention, there is provided an apparatus for classifying a wireless device for prevention of wireless infringement, comprising: an information collecting unit for collecting information related to a wireless device from a wireless terminal management server and an authentication server; And an information analyzer for analyzing the information related to the wireless device based on the classification policy stored in the classification storage unit and classifying the wireless device according to the analysis result .

본 발명의 실시 예에 의하면, 무선 디바이스의 분류를 상세화하여 보다 효율적인 무선 침해 방지 서비스가 가능하다. 특히, 무선 침해 방지 시스템이 단독으로 분류할 수 있는 디바이스 정보는 제한되어 있으나 본 발명에서는 인증 서버와 무선 단말 관리 서버로부터 디바이스 정보를 실시간으로 제공받아 이를 디바이스의 분류에 활용하므로, 무선 디바이스를 세부적으로 분류할 수 있다. 이를 통해 잠재적인 위험 가능성이 있는 단말의 관리도메인 무선망 접속을 제어하므로 보다 안전한 무선네트워크 서비스가 가능해 진다.
According to the embodiment of the present invention, more efficient wireless infringement prevention service is possible by classifying wireless devices. In particular, although the device information that can be classified by the wireless intrusion prevention system is limited, in the present invention, since the device information is received from the authentication server and the wireless terminal management server in real time and used for classification of devices, Can be classified. This enables more secure wireless network services because it controls access to the management domain wireless network of potentially dangerous terminals.

도 1은 본 발명의 실시예에 따른 무선 디바이스 분류 장치를 적용할 수 있는 무선망 접속 시스템의 일예를 보인 구성도이다.
도 2는 본 발명의 실시예에 따른 무선 디바이스 분류 장치의 블록 구성도이다.
도 3은 본 발명의 실시예에 따른 무선 디바이스 분류 장치에 의한 무선 디바이스 분류 방법을 설명하기 위한 흐름도이다.
도 4는 본 발명의 실시예에 따른 무선 디바이스 분류 장치에 의한 위험도 분류 과정을 설명하기 위한 예시도이다.
도 5는 본 발명의 실시예에 따라 무선 디바이스의 분류에 따라 위험도 레벨 정책을 설정하기 위한 그래픽 유저 인터페이스의 예시도이다.
도 6은 본 발명의 실시예에 따른 디바이스 위험도 레벨에 따른 액세스 포인트 접속 제어 설정 과정을 설명하기 위한 예시도이다.1 is a block diagram illustrating an example of a wireless network access system to which a wireless device classification apparatus according to an embodiment of the present invention can be applied.
2 is a block diagram of a wireless device classification apparatus according to an embodiment of the present invention.
3 is a flowchart illustrating a method of classifying wireless devices by a wireless device classifier according to an embodiment of the present invention.
4 is an exemplary diagram illustrating a risk classification process performed by a wireless device classification apparatus according to an embodiment of the present invention.
5 is an illustration of a graphical user interface for setting a risk level policy according to a classification of a wireless device in accordance with an embodiment of the present invention.
6 is a diagram illustrating an access point access control setting process according to a device risk level according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention and the manner of achieving them will become apparent with reference to the embodiments described in detail below with reference to the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the concept of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims.

본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The following terms are defined in consideration of the functions in the embodiments of the present invention, which may vary depending on the intention of the user, the intention or the custom of the operator. Therefore, the definition should be based on the contents throughout this specification.

도 1은 본 발명의 실시예에 따른 무선 디바이스 분류 장치를 적용할 수 있는 무선망 접속 시스템의 일예를 보인 구성도이다.1 is a block diagram illustrating an example of a wireless network access system to which a wireless device classification apparatus according to an embodiment of the present invention can be applied.

이에 나타낸 바와 같이 무선망 접속 시스템은, 무선 단말 관리 서버(110), 인증 서버(120), 무선 침해 방지 시스템(130)을 포함하며, 무선 침해 방지 시스템(130)은 무선 침해 방지 센서(131), 무선 침해 방지 서버(132)를 포함한다.As shown, the wireless network access system includes a wireless terminal management server 110, an authentication server 120, and a wireless intrusion prevention system 130. The wireless intrusion prevention system 130 includes a wireless intrusion prevention sensor 131, , And a wireless intrusion prevention server (132).

무선 단말 관리 서버(110)는 전원이 켜진 상태로 있는 무선 단말에 대해 휴대단말무선전송기술, 예컨대, OTA(Over The Air)을 이용하여 언제 어디서나 원격에서 관리한다. 이러한 무선 단말 관리 서버(110)는 무선 단말 펌웨어 자동 업데이트 등을 포함하는 디바이스 관리, 사용등록 및 추적관리, 무선 단말에 대한 등록/승인/회수 기능, 분실/도난시 단말의 잠금(lock)/데이터의 삭제 등을 통한 사용중지 기능, 무선 단말 관리 서버(110)를 통한 소프트웨어 배포, 단말 원격진단 및 AS(After Service) 등을 수행할 수 있다. 이러한 무선 단말 관리 서버(110)에 의해 관리되는 단말에는 MDM 에이전트가 탑재되며, MDM 에이전트와 무선 단말 관리 서버(110)가 통신을 하면서 무선 단말을 관리한다.The wireless terminal management server 110 remotely manages a wireless terminal that is in a power-on state at anytime and anywhere using a mobile terminal wireless transmission technology, for example, OTA (Over The Air). The wireless terminal management server 110 includes device management, use registration and tracking management including automatic update of wireless terminal firmware, registration / authorization / recovery function for wireless terminals, lock / data of terminals in lost / A function of suspending the service through deletion of the software, distribution of software through the wireless terminal management server 110, remote diagnosis of the terminal, and after service (AS). An MDM agent is mounted on a terminal managed by the wireless terminal management server 110, and the wireless terminal is managed while the MDM agent and the wireless terminal management server 110 communicate with each other.

인증 서버(120)는 사용자 및 디바이스 인증을 수행한다. 아이디(ID), 패스워드 기반의 인증, 디바이스 인증서를 통한 인증, 생체정보를 이용한 인증 등 다양한 방식을 이용할 수 있다.The authentication server 120 performs user and device authentication. ID, password-based authentication, authentication using a device certificate, authentication using biometric information, and the like.

무선 침해 방지 시스템(130)은 무선랜 환경에서 관리도메인 내의 인가되지 않은 액세스포인트(access point)(11)를 탐지하여 이에 대한 접속을 제어하며, DoS(Denial of Service) 등의 무선 구간에서의 보안 위협을 탐지 및 차단한다. 이러한 무선 침해 방지 시스템(130)을 구성하는 무선 침해 방지 센서(131)는 무선랜 관리 영역(10)을 대상으로 하여 RF 신호를 수집하여 무선 침해 방지 서버(132)로 전달하고, 무선 침해 방지 서버(132)의 지시에 따라 침입을 차단하기 위해 무선 디바이스(12)에 대한 역공격을 수행한다. 무선 침해 방지 서버(132)는 무선랜 인프라의 보안을 종합적으로 관리한다.
The wireless intrusion prevention system 130 detects an unauthorized access point 11 in a management domain in a wireless LAN environment and controls access to the access point 11, and performs security in a wireless section such as a DoS (Denial of Service) Detect and block threats. The wireless intrusion prevention sensor 131 constituting the wireless intrusion prevention system 130 collects RF signals for the wireless LAN management area 10 and transmits the collected RF signals to the wireless intrusion prevention server 132, And performs a reverse attack against the wireless device 12 to block the intrusion according to the instruction of the wireless device 132. The wireless intrusion prevention server 132 comprehensively manages the security of the WLAN infrastructure.

도 2는 본 발명의 실시예에 따른 무선 디바이스 분류 장치의 블록 구성도이다.2 is a block diagram of a wireless device classification apparatus according to an embodiment of the present invention.

이에 나타낸 바와 같이 무선 디바이스 분류 장치(200)는, 정보 수집부(210), 정보 저장부(220), 분류 저장부(230), 정보 분석부(240)를 포함한다.The wireless device classifying apparatus 200 includes an information collecting unit 210, an information storing unit 220, a classification storing unit 230, and an information analyzing unit 240.

이러한 무선 디바이스 분류 장치(200)는 무선 침해 방지 서버(도 1의 도면부호 132)에 탑재되거나 외부에 별도로 설치되어 연동될 수도 있다.The wireless device classifying apparatus 200 may be mounted on a wireless intrusion prevention server (132 in FIG. 1) or separately installed outside the wireless device classifying apparatus 200.

정보 수집부(210)는 무선 단말 관리 서버(110)와 인증 서버(120)와의 인터페이스를 가지며, 이 인터페이스를 통해 무선 디바이스(12)에 대한 관련한 상세 정보를 수집한다.The information collecting unit 210 has an interface between the wireless terminal management server 110 and the authentication server 120 and collects detailed information related to the wireless device 12 through the interface.

무선 단말 관리 서버(110)로부터 제공되어 정보 수집부(210)에 의해 수집되는 무선 디바이스 관련 정보로는 MDM 서버 관리 단말(MDM 인증을 받아 MDM 에이전트가 탑재된 단말) 정보, 해킹 또는 루팅된 단말 정보, 분실 단말 정보, MDM 에이전트를 강제로 삭제한 단말 정보, 무선랜 서비스를 받으면서 동시에 AP 역할도 하는 단말(테더링, wi-fi hotspot 등) 정보가 있다.The wireless device related information provided from the wireless terminal management server 110 and collected by the information collection unit 210 includes information of an MDM server management terminal (terminal equipped with an MDM agent and loaded with an MDM agent), hacked or routed terminal information , Lost terminal information, terminal information in which the MDM agent is forcibly deleted, and terminal (tethering, wi-fi hotspot, etc.) that also acts as an AP while receiving the wireless LAN service.

인증 서버(120)로부터 제공되어 정보 수집부(210)에 의해 수집되는 무선 디바이스 관련 정보로는 인증 성공 또는 실패 이벤트를 포함하는 인증 정보가 있다.The wireless device related information collected from the information collection unit 210 by the authentication server 120 includes authentication information including an authentication success or failure event.

정보 저장부(220)에는 정보 수집부(210)가 무선 단말 관리 서버(110)와 인증 서버(120)로부터 수집한 무선 디바이스 관련 정보가 저장된다.The information storage unit 220 stores wireless device related information collected by the information collection unit 210 from the wireless terminal management server 110 and the authentication server 120.

분류 저장부(230)에는 무선 디바이스에 대한 분류 정보, 액세스포인트에 대한 분류 정보, 분류 정책, 분류에 따른 접속 정책이 저장된다.The classification storage unit 230 stores classification information for wireless devices, classification information for access points, classification policies, and connection policies according to classification.

정보 분석부(240)는 분류 저장부(230)에 저장된 분류 정책에 의거하여 정보 저장부(220)에 저장된 무선 디바이스 관련 정보를 분석하며, 분석 결과에 따라 무선 디바이스를 분류하여 분류 정보를 분류 저장부(230)에 저장한다. 예컨대, 분류 저장부(230)의 디바이스 분류 테이블에 각 무선 디바이스에 대한 분류 정보를 추가 또는 업데이트 할 수 있다.The information analyzing unit 240 analyzes the wireless device related information stored in the information storage unit 220 based on the classification policy stored in the classification storage unit 230 and classifies the wireless devices according to the analysis result to classify and store the classification information (230). For example, classification information for each wireless device may be added or updated in the device classification table of the classification storage unit 230. [

본 발명의 실시예에 따라 정보 분석부(240)는 무선 디바이스를 총 9종으로 분류할 수 있다. 그 종류와 분류 기준을 살펴보면 다음과 같다.According to an embodiment of the present invention, the information analysis unit 240 may classify the wireless devices into nine types. The types and classification criteria are as follows.

제 1 종 : 제 1 형 인증 디바이스Type 1: Type 1 authentication device

- 인증 서버(120)를 통해 인증 받은 인가된 디바이스An authorized device authenticated through the authentication server 120;

제 2 종 : 제 2 형 인증 디바이스Type 2: Type 2 authentication device

- 시스템 자체적으로 수동(manual)으로 설정한 인가된 디바이스- an authorized device that is set manually by the system itself

제 3 종 : 제 3 형 인증 디바이스Class 3: Type 3 authentication device

- 무선 단말 관리 서버(110)에서 인증을 받아 MDM 에이전트가 탑재된 디바이스- a device that is authenticated by the wireless terminal management server (110) and which is equipped with an MDM agent

제 4 종 : 게스트(guest) 디바이스Class 4: Guest device

- 시스템에서 자체 설정함- Set by the system itself

제 5 종 : 리스키(risky) 디바이스Class 5: Risky Devices

해킹 또는 루팅하거나 MDM 에이전트를 강제 삭제한 디바이스 또는 분실 디바이스, 이 정보는 무선 단말 관리 서버(110)에 의해 제공A device or a lost device that hacked or routed or forcibly deleted the MDM agent, and this information is provided by the wireless terminal management server 110

제 6 종 : 테더링(tethering) 디바이스Class 6: tethering devices

- 액세스 포인트의 역할도 하고 있는 디바이스(테더링, wifi hotspot 등 서비스를 제공하고 있는 디바이스)- Devices that are also serving as access points (devices providing services such as tethering, wifi hotspot, etc.)

제 7 종 : 외부(external) 디바이스Class 7: External devices

- 관리 도메인 외부에 존재하는 디바이스- Devices that exist outside the management domain

제 8 종 : 블랙리스트(black-list) 디바이스Category 8: black-list devices

- 블랙리스트에 존재하는 디바이스(시스템 자체의 블랙 리스트에 존재)- Blacklisted devices (in the system's own blacklist)

제 9 종 : 미분류(uncategorized) 디바이스Class 9: Uncategorized devices

이렇게 총 9종으로 분류하는 것은 정보 분석부(240)가 분류 저장부(230)에 기 저장된 분류 정책에 따라 수행하는 것이기 때문에 분류 저장부(230)에 저장되는 분류 정책이 변경되면 정보 분석부(240)에 의한 분류 결과도 변경된다.Since the information analysis unit 240 performs the classification according to the classification policy pre-stored in the classification storage unit 230, if the classification policy stored in the classification storage unit 230 is changed, the information analysis unit 240) is also changed.

또한, 하나의 종으로만 분류되지 않고 여러 개의 종으로 중복 분류될 수 있다. 예컨대, 제 1 형 인증 디바이스 및 리스키 디바이스로 분류되거나 제 2 형 인증 디바이스, 제 3 형 인증 디바이스 및 테더링 디바이스로 분류될 수 있다.Also, it can be classified as multiple species instead of only one species. For example, it can be classified as a type 1 authentication device and a rescue device, or can be classified into a type 2 authentication device, a type 3 authentication device, and a tethering device.

아울러, 정보 분석부(240)는 액세스 포인트를 총 5종으로 분류할 수 있다. 그 종류와 분류 기준을 살펴보면 다음과 같다.In addition, the information analysis unit 240 can classify the access points into five types. The types and classification criteria are as follows.

제 1 종 : 인증 액세스 포인트Class 1: Authorized Access Point

- 인가된 액세스 포인트- authorized access point

제 2 종 : 로그(rogue) 액세스 포인트Class 2: rogue access point

- 관리 도메인 내에 존재하는 인가되지 않은 액세스 포인트(유선망에 연결된 액세스 포인트)- Unauthorized access points (access points connected to the wired network)

제 3 종 : 테더링/소프트(tethering/soft) 액세스 포인트Class 3: tethering / soft access point

- 관리 공간 내에 설치된 테더링 액세스 포인트와 소프트 액세스 포인트- Tethering access points and soft access points

제 4 종 : 외부 액세스 포인트Class 4: External access point

- 관리 도메인 및 공간 외에 설치된 액세스 포인트- Access points installed outside the admin domain and space

제 5 종 : 미분류 액세스 포인트
Class 5: Unclassified Access Point

도 3은 본 발명의 실시예에 따른 무선 디바이스 분류 장치에 의한 무선 디바이스 분류 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a method of classifying wireless devices by a wireless device classifier according to an embodiment of the present invention.

도 3에서, '+=' 은 상태를 추가한다는 의미이며, '-=' 은 상태를 삭제한다는 의미이다. '+=' (상태추가) 대신에 '=' (상태변경)을 사용하는 것도 가능하며, '-=' (상태삭제) 대신에 '=='(이전 상태로 복귀)을 사용하는 것도 가능하다. 분류 저장부(230)의 분류 정책 설정을 통해 설정 변경이 가능하다.In FIG. 3, '+ =' means to add a state, and '- =' means to delete the state. It is also possible to use '=' (state change) instead of '+ =' (add state), or '==' (return to previous state) instead of '- =' . The setting change can be made through the classification policy setting of the classification storage unit 230. [

본 발명의 실시예에 따른 무선 디바이스 분류 장치(200)에 의한 디바이스 분류 처리는 도메인 또는 물리적인 위치 범위별로 처리할 수 있다. 예를 들어 1동 건물마다 또는 동일 건물의 층마다 액세스 포인트 및 디바이스 분류 정책이 다를 수 있다.The device classifying process by the wireless device classifying apparatus 200 according to the embodiment of the present invention can be performed by domain or physical location range. For example, access point and device classification policies may be different for each building or floor of the same building.

무선 침해 방지 센서(131)가 새로운 디바이스 A를 발견(S301)하면 이를 무선 침해 방지 서버(132)에게 알려준다. 예컨대, 새로운 액세스 포인트가 발견되면 발견된 액세스 포인트의 MAC(Media Access Control) 주소, SSID(Subsystem IDentification) 등의 정보를 무선 침해 방지 서버(132)에게 보고한다.When the wireless intrusion prevention sensor 131 detects a new device A (S301), it notifies the wireless intrusion prevention server 132 thereof. For example, when a new access point is found, information such as MAC (Media Access Control) address and SSID (Subsystem IDentification) of the found access point is reported to the wireless intrusion prevention server 132.

그러면, 무선 침해 방지 서버(132)는 디바이스 A의 상태를 미분류로 우선 설정(S302)한 후에 분류 저장부(230)에 디바이스 A에 대한 분류 정보가 있는지를 검색한다(S303).Then, the wireless infringement prevention server 132 first sets the state of the device A as a non-classification item (S302), and then searches the classification storage unit 230 for classification information about the device A (S303).

분류 저장부(230)에 기 저장된 분류 정보가 있으면 해당 분류로 디바이스 A의 상태를 수정하며, 분류 저장부(230)에 기 저장된 분류 정보가 없으면 스킵(skip) 한다(S304, S305).If the classification information stored in the classification storage unit 230 is already stored, the state of the device A is corrected by the classification. If there is no classification information previously stored in the classification storage unit 230, skip is performed (S304, S305).

이후에는, 단말 상태에 대한 외부 이벤트가 발생할 때까지 기다리며(S306), 외부 이벤트가 발생하면 발생된 외부 이벤트의 종류에 따라 분류 정보를 업데이트 한다(S307).Thereafter, it waits until an external event for the terminal status occurs (S306), and updates the classification information according to the type of the external event generated when the external event occurs (S307).

디바이스 인증 성공 이벤트(from 인증 서버)가 발생한 경우에는 디바이스 A의 상태에 제 1 형 인증 상태를 추가한다(S308).If a device authentication success event (from authentication server) has occurred, the first type authentication state is added to the state of the device A (S308).

MDM 인증 성공 이벤트(from MDM 서버)가 발생한 경우에는 디바이스 A의 상태에 제 3 형 인증 상태를 추가한다(S309).If an MDM authentication success event (from MDM server) has occurred, a type 3 authentication state is added to the state of the device A (S309).

해킹 또는 루팅 단말(from MDM 서버)은 디바이스 A의 상태에 리스키 상태를 추가한다(S310).The hacking or routing terminal (from the MDM server) adds the resuscitation state to the state of the device A (S310).

MDM 에이전트 강제 삭제 또는 분실 단말(from MDM 서버)은 디바이스 A의 상태에 리스키 상태를 추가한다(S311).The MDM agent forcible deletion or lost terminal (from MDM server) adds the state of device A to the state of device A (S311).

액세스 포인트 기능 수행 단말(from MDM 서버)은 디바이스 A의 상태에 테더링 상태를 추가한다(S312).The access point performing terminal (from the MDM server) adds the tethering state to the state of the device A (S312).

수동 인증 단말 등록(from 로컬시스템(무선 침해 방지 서버))은 디바이스 A의 상태에 제 2 형 인증 상태를 추가한다(S313).The manual authentication terminal registration (from the local system (wireless intrusion prevention server)) adds the type 2 authentication state to the state of the device A (S313).

블랙리스트 추가 단말(from 로컬시스템(무선 침해 방지 서버))은 디바이스 A의 상태에 블랙리스트를 추가한다(S314).The black list addition terminal (from the local system (wireless intrusion prevention server)) adds the black list to the state of the device A (S314).

디바이스 인증 실패(from 인증 서버)는 디바이스 A의 상태에서 제 1 형 인증 상태를 삭제한다. 만약, 제 1 형 인증 상태가 없는 경우에는 무시한다(S315).The device authentication failure (from authentication server) deletes the type 1 authentication state from the state of device A. If there is no type 1 authentication state, the process is ignored (S315).

MDM 인증 실패(from MDM서버)는 디바이스 A의 상태에서 제 3 형 인증 상태를 삭제한다. 만약, 제 3 형 인증 상태가 없는 경우에는 무시한다(S316).The MDM authentication failure (from the MDM server) deletes the Type 3 authentication state from the state of device A. If there is no type-3 authentication status, it is ignored (S316).

해킹 또는 루팅에서 정상 복구(from MDM 서버)는 디바이스 A의 상태에서 리스키 상태를 삭제한다. 만약, 리스키 상태가 없는 경우에는 무시한다(S317).A normal recovery from hacking or routing (from the MDM server) removes the resuscitation state from the state of device A. If there is no Risky condition, the process is ignored (S317).

MDM 에이전트 재설치 완료 또는 분실 단말에서 복귀(from MDM 서버)는 디바이스 A의 상태에서 리스키 상태를 삭제한다. 만약, 리스키 상태가 없는 경우에는 무시한다(S318).Upon completion of the MDM agent reinstallation or return from the lost terminal (from the MDM server), it removes the resuscitation state from the state of device A. If there is no Risky condition, the process is ignored (S318).

액세스 포인트 기능 오프(off)(from MDM 서버)는 디바이스 A의 상태에서 테더링 상태를 삭제한다. 만약, 테더링 상태가 없는 경우에는 무시한다(S319).The access point function off (from the MDM server) deletes the tethering state from the state of device A. If there is no tethering state, it is ignored (S319).

수동 인증단말 목록 삭제(from 로컬시스템)는 디바이스 A의 상태에서 제 2 형 인증 상태를 삭제한다. 만약, 제 2 형 인증 상태가 없는 경우에는 무시한다(S320).The manual authentication terminal list deletion (from the local system) deletes the type-2 authentication state from the state of the device A. If there is no type 2 authentication state, it is ignored (S320).

블랙리스트에서 삭제(from 로컬시스템)는 디바이스 A의 상태에서 블랙리스트 상태를 삭제한다. 만약, 블랙리스트 상태가 없는 경우에는 무시한다(S321).The deletion from the blacklist (from the local system) deletes the blacklist state from the state of device A. If there is no black list state, the process is ignored (S321).

단계 S308 내지 S321을 통한 외부 이벤트의 처리 완료 후에는 단계 S306으로 이동하여 다른 외부 이벤트가 발생할 때까지 기다린다.
After completing the processing of the external event through steps S308 to S321, the process proceeds to step S306 and waits until another external event occurs.

도 4는 본 발명의 실시예에 따른 무선 디바이스 분류 장치에 의한 위험도(security level) 분류 과정을 설명하기 위한 예시도이다.FIG. 4 is an exemplary diagram illustrating a process of classifying a security level by a wireless device classification apparatus according to an embodiment of the present invention. Referring to FIG.

본 발명의 실시예에 따라 위험도는 총 5레벨로 분류할 수 있으며, 이러한 위험도 레벨의 수는 분류 저장부(230)에 저장되는 보안 정책에서 설정이 가능하다. 레벨(level) 숫자가 낮을 수로 안전하고 숫자가 높을수록 위험한 것이다. 예컨대, 레벨 1은 매우 안전(very safe)에 해당하며, 레벨 5는 매우 위험(very risky)에 해당한다.
According to the embodiment of the present invention, the risk level can be classified into a total of five levels, and the number of the risk levels can be set in a security policy stored in the classification storage unit 230. The level is safe to be low, and the higher the number, the more dangerous it is. For example, level 1 is very safe and level 5 is very risky.

도 5는 본 발명의 실시예에 따라 무선 디바이스의 분류에 따라 위험도 레벨 정책을 설정하기 위한 그래픽 유저 인터페이스(Graphical User Interface)를 보여준다.FIG. 5 shows a graphical user interface for setting a risk level policy according to a classification of a wireless device according to an embodiment of the present invention.

도 5에 나타낸 예시는, 제 1 형 인증 상태, 리스키 상태 및 테더링 상태까지 3종의 상태 정보를 포함한 단말을 위험도 레벨 2로 정의하는 화면이다. 사용자가 이러한 인터페이스를 이용하여 설정하면 이 정보가 분류 저장부(230)에 저장된다. 위험도 레벨 매핑을 위한 이 실시예는 다양하게 응용하여 사용할 수 있다. 예를 들어 제 1 형 인증 상태인 경우에 다른 상태 정보와는 무관하게 위험도 레벨을 레벨 1로 한다거나, 리스키 디바이스의 경우는 다른 분류와는 무관하게 위험도 레벨을 레벨 5로 한다거나 하는 등으로 응용하여 사용자 인터페이스를 구성할 수 있다.
The example shown in Fig. 5 is a screen for defining a terminal having three kinds of state information up to the first type authentication state, the rescheduling state, and the tethering state as the risk level 2. This information is stored in the classification storage unit 230 when the user sets it using this interface. This embodiment for risk level mapping can be used in various applications. For example, in the case of the Type 1 authentication status, the risk level is set to level 1 irrespective of other status information, and in the case of the resis device, the risk level is set to level 5 irrespective of other classification The user interface can be configured.

도 6은 본 발명의 실시예에 따른 디바이스 위험도 레벨에 따른 액세스 포인트 접속 제어 설정 과정을 설명하기 위한 예시도이다.6 is a diagram illustrating an access point access control setting process according to a device risk level according to an embodiment of the present invention.

접속에 대한 제어 종류는 다음과 같다.The types of control for connection are as follows.

허용(permit): 접속을 허용Permit: allow access

차단(prohibit): 접속을 비허용, 접속을 시도하면 접속을 차단Prohibit: deny connection, attempt to connect, block access

관리자 통보(inform): 접속 정보를 관리자에게 통보Notification of administrator (inform): Notify administrator of connection information

무시(ignore): 무시Ignore: Ignore

도 6에 나타낸 실시예에서는, 위험도 레벨 1에 포함되는 단말에 대해 인증된 액세스 포인트(authorized AP) 접속의 경우에 정책을 허용으로 설정한다.In the embodiment shown in FIG. 6, the policy is set to allow in the case of an authenticated access point (authorized AP) connection to the terminal included in the risk level 1.

위험도 레벨 2에 포함되는 단말의 로그 액세스 포인트(rogue AP) 접속은 차단으로 설정한다.The rogue AP connection of the terminal included in the risk level 2 is set to block.

위험도 레벨 4에 포함되는 단말에 대해 인증된 액세스 포인트 접속의 경우에는 차단으로 설정한다.In the case of an access point connection authenticated to a terminal included in the risk level 4, it is set to block.

위험도 레벨 5에 포함되는 단말의 외부 액세스 포인트(external AP) 접속은 관리자 통보로 설정된다.The terminal's external AP connection at the risk level 5 is set to administrator notification.

이러한 설정은 관리자에 의해 설정되며, 위험도 레벨 대신에 실제 상태 정보를 이용한 정책 설정도 가능하다.These settings are set by the administrator and policy settings can be made using the actual status information instead of the risk level.

예를 들어, 제 2 형 인증 상태 및 테더링 상태의 무선 디바이스에 대해 인증된 액세스 포인트로의 접속은 관리자 통보로 설정할 수 있다.For example, a connection to an authenticated access point for a wireless device in a Type 2 authentication state and a tethering state may be established by an administrator notification.

또한, 이러한 방식의 레벨 대신에 분류 조합과 액세스 포인트와의 접속 정책 설정도 가능하다.
Also, it is possible to set a connection policy between the classification combination and the access point instead of the level of this method.

본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다. Combinations of each step of the flowchart and each block of the block diagrams appended to the present invention may be performed by computer program instructions. These computer program instructions may be loaded into a processor of a general purpose computer, special purpose computer, or other programmable data processing apparatus so that the instructions, which may be executed by a processor of a computer or other programmable data processing apparatus, And means for performing the functions described in each step are created. These computer program instructions may also be stored in a computer usable or computer readable memory capable of directing a computer or other programmable data processing apparatus to implement the functionality in a particular manner so that the computer usable or computer readable memory It is also possible for the instructions stored in the block diagram to produce a manufacturing item containing instruction means for performing the functions described in each block or flowchart of the block diagram. Computer program instructions may also be stored on a computer or other programmable data processing equipment so that a series of operating steps may be performed on a computer or other programmable data processing equipment to create a computer- It is also possible that the instructions that perform the processing equipment provide the steps for executing the functions described in each block of the block diagram and at each step of the flowchart.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.Also, each block or each step may represent a module, segment, or portion of code that includes one or more executable instructions for executing the specified logical function (s). It should also be noted that in some alternative embodiments, the functions mentioned in the blocks or steps may occur out of order. For example, two blocks or steps shown in succession may in fact be performed substantially concurrently, or the blocks or steps may sometimes be performed in reverse order according to the corresponding function.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
The foregoing description is merely illustrative of the technical idea of the present invention and various changes and modifications may be made by those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are intended to illustrate rather than limit the scope of the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas within the scope of equivalents should be construed as falling within the scope of the present invention.

110 : 무선 단말 관리 서버 120 : 인증 서버
130 : 무선 침해 방지 시스템 131 : 무선 침해 방지 센서
132 : 무선 침해 방지 서버
200 : 무선 디바이스 분류 장치 210 : 정보 수집부
220 : 정보 저장부 230 : 분류 저장부
240 : 정보 분석부110: wireless terminal management server 120: authentication server
130: Wireless Infringement Prevention System 131: Wireless Infringement Prevention Sensor
132: Wireless Intrusion Prevention Server
200: Wireless device classifying apparatus 210: Information collecting unit
220: information storage unit 230: classification storage unit
240: Information Analysis Department

Claims (1)

무선 단말 관리 서버와 인증 서버로부터 무선 디바이스에 대한 관련 정보를 수집하는 정보 수집부와,
상기 정보 수집부가 수집한 상기 무선 디바이스에 대한 관련 정보가 저장되는 정보 저장부와,
상기 분류 저장부에 저장된 분류 정책에 의거하여 상기 무선 디바이스에 대한 관련 정보를 분석하며, 분석 결과에 따라 상기 무선 디바이스를 분류하는 정보 분석부를 포함하는 무선 침해 방지를 위한 무선 디바이스 분류 장치.
An information collecting unit for collecting relevant information about the wireless device from the wireless terminal management server and the authentication server;
An information storage unit for storing related information about the wireless device collected by the information collecting unit;
And an information analyzer for analyzing information related to the wireless device based on a classification policy stored in the classification storage unit and classifying the wireless device according to an analysis result.
KR1020120139805A 2012-12-04 2012-12-04 Appratus of mobile device classification for preventing wireless intrusion KR101953562B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120139805A KR101953562B1 (en) 2012-12-04 2012-12-04 Appratus of mobile device classification for preventing wireless intrusion

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120139805A KR101953562B1 (en) 2012-12-04 2012-12-04 Appratus of mobile device classification for preventing wireless intrusion

Publications (2)

Publication Number Publication Date
KR20140071801A true KR20140071801A (en) 2014-06-12
KR101953562B1 KR101953562B1 (en) 2019-03-04

Family

ID=51126022

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120139805A KR101953562B1 (en) 2012-12-04 2012-12-04 Appratus of mobile device classification for preventing wireless intrusion

Country Status (1)

Country Link
KR (1) KR101953562B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160059458A (en) * 2014-10-20 2016-05-26 시아오미 아이엔씨. Method, apparatus and electronic device for connection management
US9913315B2 (en) 2014-10-20 2018-03-06 Xiaomi Inc. Method and device for connection management
KR20230010630A (en) * 2020-04-10 2023-01-19 스플라인 네트워크 인코포레이티드 Wireless network security diagnosis system, security diagnosis server, and program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070025313A1 (en) 2003-12-08 2007-02-01 Airtight Networks, Inc. (F/K/A Wibhu Technologies, Inc.) Method and System for Monitoring a Selected Region of an Airspace Associated with Local Area Networks of computing Devices
KR20110075800A (en) * 2009-12-29 2011-07-06 정재훈 Controlling method of permission of internet connection over router by terminal
KR20120054929A (en) * 2010-11-22 2012-05-31 삼성전자주식회사 Apparatus and method for connecting access point in portable terminal

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070025313A1 (en) 2003-12-08 2007-02-01 Airtight Networks, Inc. (F/K/A Wibhu Technologies, Inc.) Method and System for Monitoring a Selected Region of an Airspace Associated with Local Area Networks of computing Devices
KR20110075800A (en) * 2009-12-29 2011-07-06 정재훈 Controlling method of permission of internet connection over router by terminal
KR20120054929A (en) * 2010-11-22 2012-05-31 삼성전자주식회사 Apparatus and method for connecting access point in portable terminal

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160059458A (en) * 2014-10-20 2016-05-26 시아오미 아이엔씨. Method, apparatus and electronic device for connection management
US9913315B2 (en) 2014-10-20 2018-03-06 Xiaomi Inc. Method and device for connection management
KR20230010630A (en) * 2020-04-10 2023-01-19 스플라인 네트워크 인코포레이티드 Wireless network security diagnosis system, security diagnosis server, and program

Also Published As

Publication number Publication date
KR101953562B1 (en) 2019-03-04

Similar Documents

Publication Publication Date Title
US10305926B2 (en) Application platform security enforcement in cross device and ownership structures
KR101953547B1 (en) Method and apparatus for controlling management of mobile device by using secure event
US11812261B2 (en) System and method for providing a secure VLAN within a wireless network
US11228672B2 (en) Security system for inmate wireless devices
KR101534307B1 (en) Caused by the use of smart device internal confidential data leakage prevention & trace system and method
US20190387408A1 (en) Wireless access node detecting method, wireless network detecting system and server
US11678261B2 (en) Distributed wireless communication access security
US20220086645A1 (en) System and method for rogue device detection
JP2022519433A (en) Zero Trust Wireless Surveillance Systems and Methods for Behavior-Based Monitoring of Radio Frequency Environments
CN103916451A (en) Security center system for intelligent terminal devices on basis of internet of things
KR102474234B1 (en) Analysis method and system of Security Vulnerability of wireless network
KR101953562B1 (en) Appratus of mobile device classification for preventing wireless intrusion
US11934560B2 (en) System and method for processing personal data by application of policies
EP4057570A1 (en) System and method for controlling an iot device from a node in a network infrastructure
EP4057569A1 (en) System and method for configuring iot devices depending on network type
US11632428B2 (en) System and method for configuring IoT devices depending on network type
KR101237376B1 (en) Integrated security control System and Method for Smartphones
Ruebsamen et al. Enhancing mobile device security by security level integration in a cloud proxy
JP2007122228A (en) Network medical inspection system
Philobok et al. The urgency of using centralized access policies in the corporate data transmission network
Alquhayz et al. Security management system for 4G heterogeneous networks
KR101500448B1 (en) Nonnormal access detection method using normal behavior profile
KR20130116475A (en) System for blocking internal network intrusion and method the same
EP4060935A1 (en) System and method for processing personal data by application of policies
US20220294789A1 (en) System and method for controlling an iot device from a node in a network infrastructure

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant