KR101198329B1 - Wireless network security system of client foundation and method thereof - Google Patents

Wireless network security system of client foundation and method thereof Download PDF

Info

Publication number
KR101198329B1
KR101198329B1 KR1020110076093A KR20110076093A KR101198329B1 KR 101198329 B1 KR101198329 B1 KR 101198329B1 KR 1020110076093 A KR1020110076093 A KR 1020110076093A KR 20110076093 A KR20110076093 A KR 20110076093A KR 101198329 B1 KR101198329 B1 KR 101198329B1
Authority
KR
South Korea
Prior art keywords
wireless
unauthorized
network
list
client
Prior art date
Application number
KR1020110076093A
Other languages
Korean (ko)
Inventor
백종경
박재표
Original Assignee
킹스정보통신(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 킹스정보통신(주) filed Critical 킹스정보통신(주)
Priority to KR1020110076093A priority Critical patent/KR101198329B1/en
Application granted granted Critical
Publication of KR101198329B1 publication Critical patent/KR101198329B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Tourism & Hospitality (AREA)
  • General Health & Medical Sciences (AREA)
  • Economics (AREA)
  • Health & Medical Sciences (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

PURPOSE: A wireless network security system based on a client and method thereof are provided to promote security by controlling network packets for unauthorized wireless AP(Access Point) by dividing a wireless AP into the authorized AP and the unauthorized AP. CONSTITUTION: A security server(200) transmits unauthorized policy information and authorized wireless AP list according to the request of a client terminal(100-1~100-n). One or more client terminals receive the authorized wireless AP list and the unauthorized policy information from the security server. When an external wireless AP is the unauthorized wires AP, the client terminals acquire network card information connected to the requested wireless AP. The client terminals the MAC(Media Access Control) address of the acquired network card information and the unauthorized policy information to an NDIS(Network Driver Interface Specification) medium driver. [Reference numerals] (10) Communication network; (20) External communication network; (AA) External network; (BB) Unauthorized AP; (CC) Inner network; (DD) Authorized AP; (EE) Unauthorized Wibro AP; (FF) Allowance; (GG,HH) Block

Description

클라이언트 기반의 무선 네트워크 보안 시스템 및 그 방법{WIRELESS NETWORK SECURITY SYSTEM OF CLIENT FOUNDATION AND METHOD THEREOF}Client-based wireless network security system and its method {WIRELESS NETWORK SECURITY SYSTEM OF CLIENT FOUNDATION AND METHOD THEREOF}

본 발명은 클라이언트 기반의 무선 네트워크 보안 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 클라이언트 단말에서의 외부 무선 AP의 인증을 통해 인가/비인가 무선 AP를 구분하고, 비인가 무선 AP에 대한 네트워크 패킷을 제어하여 보안성을 높일 수 있을 뿐만 아니라 일부 아이피(IP), 포트(PORT)를 사용할 수 있도록 함으로써 가용성을 보다 높일 수 있도록 한 클라이언트 기반의 무선 네트워크 보안 시스템 및 그 방법에 관한 것이다.
The present invention relates to a client-based wireless network security system and method thereof, and more particularly, to distinguish an authorized / unauthorized wireless AP through authentication of an external wireless AP at a client terminal and to control a network packet for an unauthorized wireless AP. The present invention relates to a client-based wireless network security system and method for improving availability by enabling not only IP but also some IPs and ports.

최근에는, 스마트폰, Wibro(Wireless Broadband Internet), HSDPA(High Speed Downlink Packet Access) 등의 무선 기술이 널리 보급화 되고 발전되어 왔다. 원활한 이동성, 확장성이 있는 네트워크 구축 및 유선 랜처럼 고속 전송을 지원하는 무선 네트워크 구조로 변화하였다. 하지만 무선 AP(Access Point)에 대한 보안문제는 지속적으로 대두되고 있다.In recent years, wireless technologies such as smart phones, Wibro (Wireless Broadband Internet), and HSDPA (High Speed Downlink Packet Access) have been widely spread and developed. It has changed into a wireless network structure that supports high-speed transmission such as smooth mobility, scalable network construction, and wired LAN. However, security problems for wireless access point (AP) continue to emerge.

IEEE 802.11b의 WEP(Wired Equivalent Privacy) 방식을 표준으로 채택하였지만, WEP 설계자체에 오류가 있었고, 이를 보완하기 위해 IEEE 802.11i가 국제 WLAN(Wireless Local Area Network) 보안 표준으로 제정되었다.Although the WEP (Wired Equivalent Privacy) method of IEEE 802.11b was adopted as a standard, there was an error in the WEP design itself, and IEEE 802.11i was established as an international wireless local area network (WLAN) security standard to compensate for this.

이로 인해 무선 통신간의 보안문제는 어느 정도 해결이 되었지만 무선 단말기의 취약점을 이용한 공격들이 점차 늘어나고 있으며, 무선 AP의 이동성, 확장성을 이용하여 내부정보를 외부로 유출하는 사례도 발생하였다. 무선 AP에 대한 공격 및 외부 무선 AP에 대해 서버 기반의 제어 방식, 무선 센서를 이용한 방식, 클라이언트에서의 제어 방식 등이 제안되었다. 하지만 외부망에 대해 보안이 취약하고 제어방법에 대해 가용성이 떨어지는 문제점이 있다.As a result, security problems between wireless communication have been solved to some extent, but attacks using vulnerabilities of wireless terminals are gradually increasing, and there are cases in which internal information is leaked to the outside by using mobility and scalability of wireless AP. Attacks on wireless APs, server-based control schemes for external wireless APs, wireless sensor schemes, and client-control schemes have been proposed. However, there is a problem in that the security of the external network is weak and the availability of the control method is inferior.

한편, 무선 AP 보안에 있어서, 무선 AP 통신 표준인 IEEE 802.11b에서는 인증과 비밀성을 제공하고, 각각의 구조는 SSID(SErvice Set IDentifier), WEP으로 이루어진다. 상기 SSID는 무선 AP 네트워크 이름이고 변경이 가능하다. 사용자는 SSID로 접속을 요청을 하면 무선 AP에서의 인증이 이루어진다. 하지만, SSID로의 접근 및 인증은 누구나 접속이 가능하여 보안에 취약하다.On the other hand, in wireless AP security, IEEE 802.11b, a wireless AP communication standard, provides authentication and confidentiality, and each structure includes an SSID (SErvice Set IDentifier) and a WEP. The SSID is a wireless AP network name and can be changed. When the user requests a connection by SSID, authentication is performed at the wireless AP. However, access and authentication to SSID is vulnerable to security as anyone can access.

상기 WEP은 IEEE 802.11b에서 사용자와 무선 AP간 데이터 통신의 보안성을 높이기 위해 통신 패킷을 스트림(Stream) 암호화를 한다. 패킷(Packet) 암/복호화 시 동일키와 알고리즘을 사용하는 대칭형 구조이다.The WEP stream-encodes communication packets in order to increase the security of data communication between the user and the wireless AP in IEEE 802.11b. It is a symmetric structure that uses the same key and algorithm for packet encryption / decryption.

이러한 IEEE 802.11b 표준에서는 2가지 인증 방식을 제공하는데, 개방 인증 방식과 공유키 인증 방식이다. 기본 방식인 개방 인증 방식은 전체 인증 과정이 평문으로 이루어지는 방식으로, 단말기는 WEP 키를 가지고 있지 않아도 AP로의 연결이 가능하다.The IEEE 802.11b standard provides two authentication methods, an open authentication method and a shared key authentication method. The open authentication method, which is a basic method, is a method in which the entire authentication process is made in plain text, and the terminal can connect to the AP without having a WEP key.

상기 공유키 인증 방식은 무선 AP에 인증 시도 패킷을 단말기에게 전송하고, 단말기는 WEP 키로 암호화하여 무선 AP로 전송한다. 데이터 기밀성은 WEP을 이용해 제공된다. WEP 알고리즘에서 단말기와 무선 AP는 40비트(bit)의 암호키를 공유하며, 무선 AP는 단말을 인증하기 위해 랜덤 챌린지(Random Challenge)를 보낸다, 단말은 40비트의 암호키와 24비트의 IV(Initialization Vector)를 결합하고, RC4 PRNG(Pseudo Random Number Generator) 암호화 알고리즘을 사용하여 난수 키 스트림을 생성하고, 평문을 암호화하여 전송한다(비특허문헌 1 참조).The shared key authentication method transmits an authentication challenge packet to the wireless AP to the terminal, and the terminal encrypts the WEP key to the wireless AP. Data confidentiality is provided using WEP. In the WEP algorithm, the terminal and the wireless AP share a 40-bit encryption key, and the wireless AP sends a random challenge to authenticate the terminal. The terminal has a 40-bit encryption key and a 24-bit IV ( Initialization Vector) is combined, a random key stream is generated using the RC4 Pseudo Random Number Generator (PRNG) encryption algorithm, and plain text is encrypted and transmitted (see Non-Patent Document 1).

한편, 수신된 패킷은 무선 AP에서 복호화하여 단말기를 인증한다. 사용자가 무선 AP에 접속 시 기존에 설정된 WEP 키와 접속 요청된 WEP 키를 비교하여 올바른 WEP 키를 소유한 사용자만이 네트워크에 접속하도록 허용한다. SSID 접속방식에 비해 인증 및 보안성에서 높다(비특허문헌 2 참조).Meanwhile, the received packet is decrypted by the wireless AP to authenticate the terminal. When the user accesses the wireless AP, the user can compare the previously set WEP key with the WEP key that is requested to access, and allow only the user with the correct WEP key to access the network. It is higher in authentication and security compared to the SSID access method (see Non-Patent Document 2).

하지만, 악의적인 사용자에 의해 가상의 무선 AP를 생성하여 내부 인가자가 접속 요청이 들어와 인증을 요청하게 되면 WEP 키가 노출된다. 이런 경우 악의적인 사용자는 가로챈 WEP 키를 가지고 내부 무선 AP에 접근하여 내부망에 대해 공격이 가능해진다.However, the WEP key is exposed when a virtual wireless AP is created by a malicious user and an internal authorized user enters a connection request and requests authentication. In this case, a malicious user can access the internal wireless AP with an intercepted WEP key and attack the internal network.

한편, 무선 AP 보안 취약점 중에서 로그(Rogue) AP에 의한 취약점에 대해 살펴보면, 로그(Rogue) AP는 내부망에 연결되어 있으나 보안 인증이 되지 않는 무선 AP를 말한다. 로그(Rougue) AP는 방화벽이나 VPN 구조를 우회함으로써 유선 인프라의 보안까지 위험에 빠뜨릴 수 있다. 정보를 누출시키려는 의도로 그 기업의 무선 환경을 엿보고 있는 해커들에게 기업의 네트워크를 노출시킬 수 있다.On the other hand, when looking at the weakness caused by the rogue AP among the wireless AP security vulnerabilities, the rogue AP is a wireless AP that is connected to the internal network but does not have security authentication. Rogue APs can endanger the security of a wired infrastructure by bypassing firewall or VPN structures. It can expose a company's network to hackers who are peeping into the company's wireless environment with the intention of leaking information.

그리고, 프로빙 스테이션(Probing Station)은 과거 접속했던 SSID 정보를 담은 프로빙(Probing) 신호를 보낸다. 악의적인 사용자나 외부 무선 AP에 접속될 수 있는 노트북 등의 디바이스(Device)를 말한다. 악의적 사용자를 내부 유선 네트워크로 연결시킬 수 있는 기능이 있어 보안에 취약하다.The probing station transmits a probing signal containing the SSID information previously accessed. A device such as a laptop that can be connected to a malicious user or an external wireless AP. The ability to connect a malicious user to an internal wired network is vulnerable to security.

애드-훅(Ad-Hoc) 네트워크는 AP가 없이 흩어져 있는 무선으로 통신이 가능한 노드들끼리 서로 통신을 하는 자율적인 구조의 네트워크이다. 이 네트워크 구조는 중간에서 제어하는 노드가 없으므로 각 노드들은 자신의 가지 수가 있는 정보를 최대한 활용하여 네트워크에서 통신해야 하고 먼 거리의 노드와의 통신에는 다른 노드들을 경유하여 통신한다. 이에 따라, 애드-훅(Ad-Hoc) 네트워크 통신은 네트워크 보안의 중대한 위험을 야기한다. 피어 투 피어(Peer to Peer) 통신인 애드-훅(Ad-Hoc) 네트워크가 활성화 된 노트북은 손쉬운 해킹대상이 될 수 있으며 잠재적으로 내부 무선 네트워크의 연결을 노리는 악의적 침입자에게 좋은 통로가 된다.An Ad-Hoc network is an autonomous network in which nodes that communicate wirelessly without an AP communicate with each other. Since this network structure does not have nodes in the middle, each node must communicate in the network by making the most of its own information, and communicate with other nodes through a long distance to communicate with a long distance node. Accordingly, Ad-Hoc network communication poses a significant risk of network security. Laptops with Ad-Hoc networks, peer-to-peer communications, can be easily hacked and potentially a good way for malicious intruders looking to connect to internal wireless networks.

한편, 외부 무선 AP는 내부의 네트워크의 사용을 위한 무선 AP가 아니라 이웃하는 사무실이나 가정에서 사용하는 무선 AP를 말한다. 이 무선 AP들이 자체적으로 위협이 되지는 않으나 언제든지 내부망에 무선 AP와 결합될 수 있는 보안 취약점이 있다. 내부의 PC(Personal Computer)가 이런 무선 AP에 접속하게 된다면 내부 네트워크와 다른 회사 네트워크와의 연결 역할을 하게 된다.The external wireless AP refers to a wireless AP used in a neighboring office or home, not a wireless AP for use of an internal network. Although these wireless APs are not a threat by themselves, there are security vulnerabilities that can be combined with wireless APs in the internal network at any time. When an internal PC (personal computer) accesses such a wireless AP, it serves as a connection between the internal network and other corporate networks.

따라서, 이웃하는 무선 AP들에 대한 구분을 미리 해 놓지 않을 경우에는 관리자가 정확한 해커 탐지를 하는 데 어려움을 줄 수 있다. 또한, 이웃하는 무선 AP들의 관리를 무시할 경우에는 내부 스테이션들이 이블-트윈(Evil-twin) 등을 이용한 피싱(Phishing) 공격 등을 방지하는데 큰 어려움을 줄 수 있다.Therefore, if the classification for neighboring wireless APs is not made in advance, it may be difficult for the administrator to accurately detect hackers. In addition, when ignoring management of neighboring wireless APs, internal stations may have a great difficulty in preventing phishing attacks using Evil-twin and the like.

이러한 무선 AP 보안 취약점을 해결하기 위하여 무선 AP 제어 방안들이 제안되었다. 그 중 서버(Server) 기반으로 무선 AP를 제어하는 방안은 NAC(Network Access Control) 레벨에 인증서버를 두어 패킷을 모니터링(Monitoring)하여 외부로 나가는 패킷(Packet)이 무선 패킷인지 검사를 하고, 무선 패킷을 경우 인증 여부를 확인하고 제어한다.In order to solve the wireless AP security vulnerability, wireless AP control methods have been proposed. Among them, the method of controlling the wireless AP based on the server is to put an authentication server at the network access control (NAC) level to monitor the packet and check whether the packet is outgoing to the outside, If the packet is checked for authentication and control.

하지만, 내부 무선 AP에서만 제어가 가능하며 외부망인 무선 AP는 제어하지 못하며, 내부 인가자가 외부로 노트북을 반출하여 무선 AP로 자료를 전송할 경우 제어를 할 수 없다. 패킷을 모니터링을 하기 위한 별도의 장비가 필요하므로 클라이언트 기반 제어에 비해 비용이 높다.However, it can be controlled only from the internal wireless AP and cannot control the wireless AP, which is the external network, and cannot be controlled when the internal licenser exports the data to the wireless AP by exporting the notebook to the outside. It requires more equipment to monitor packets, which is more expensive than client-based control.

한편, 장치를 이용하여 제어하는 방안은 제어할 공간에 무선 AP를 제어할 수 있는 센서를 두어 제어한다. 한 센서당 최대 500개의 AP가 제어가 가능하며 20여 개의 무선위협을 동시 다중 방어가 가능하다. 센서는 제어정보를 수집하여 서버로 보낸다.Meanwhile, the method of controlling by using the device is controlled by placing a sensor that can control the wireless AP in the space to be controlled. Up to 500 APs can be controlled per sensor, and multiple defenses against 20 radio threats can be performed simultaneously. The sensor collects the control information and sends it to the server.

센서가 구역 별로 설치되게 때문에 문제 발생 시 위치추적이 용이하다. 하지만 센서의 범위 밖으로 벗어나거나 내부 인가자가 외부로 노트북을 반출하여 자료를 전송할 경우 제어를 할 수 없어 보안에 취약하다. 제어 범위를 넓히기 위해 센서를 추가하기 때문에 비용이 많이 든다.Since sensors are installed in each zone, it is easy to track the location when a problem occurs. However, it is vulnerable to security because it can't control when it is out of the sensor's scope or when the internal licensor sends data out of the notebook. It is expensive because additional sensors are added to extend the control range.

이와 같이 공간의 제약성 및 비용을 보완하기 위해 클라이언트 기반으로 무선 AP를 제어하는 방안이 제안되고 있다. 즉, 클라이언트에서 무선 AP로 접속을 시도할 경우 접속하는 무선 AP의 MAC(Media Access Control) 주소(Address)를 수집하여 인가된 무선 AP인지 판별하여 제어한다.As such, a method of controlling a wireless AP based on a client has been proposed to compensate for space constraints and costs. That is, when a client attempts to connect to a wireless AP, it collects a Media Access Control (MAC) address of the accessing AP and determines whether it is an authorized AP.

하지만, 무선 AP에 대해 허용/차단만을 할 수 있기 때문에 가용성이 떨어진다. 비인가된 무선 AP라도 보안에 위배되지 않은 범위 내에서 가용성을 높여주는 방안이 필요하다. 또한, 클라이언트 기반이기 때문에 예컨대, 악성코드, 해킹 툴, 리버싱 툴에 의하여 보안 프로그램의 공격이 가능하기 때문에 보안이 취약하다.However, availability is reduced because only wireless APs can be allowed / blocked. Even unauthorized wireless APs need a way to increase their availability without compromising security. In addition, since the client is based, for example, malicious code, hacking tools, and reversing tools can be used to attack security programs.

전술한 바와 같이, 종래 서버 기반의 인증방식에서는 외부망일 경우의 보안 문제와 비용 문제가 발생하였으며, 클라이언트 기반 인증방식에서는 가용성이 낮은 문제점이 있다.
As described above, the conventional server-based authentication method has a security problem and a cost problem when the external network, the client-based authentication method has a low availability.

(비특허문헌 1) J. H. Lee, et al., "Implementation of a Secure Wireless LAN System using AP Authentication and Dynamic Key Exchange", Korea Information Processing Society, Vol. 11-C No.4 pp. 497-508, August, 2004.(Non-Patent Document 1) J. H. Lee, et al., "Implementation of a Secure Wireless LAN System using AP Authentication and Dynamic Key Exchange", Korea Information Processing Society, Vol. 11-C No. 4 pp. 497-508, August, 2004. (비특허문헌 2) ANSI/IEEE Std 802.11 "Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) Specification", September, 1999.(Non-Patent Document 2) ANSI / IEEE Std 802.11 "Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specification", September, 1999.

본 발명은 전술한 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 클라이언트 단말에서의 외부 무선 AP의 인증을 통해 인가/비인가 무선 AP를 구분하고, 비인가 무선 AP에 대한 네트워크 패킷을 제어하여 보안성을 높일 수 있을 뿐만 아니라 일부 아이피(IP), 포트(PORT)를 사용할 수 있도록 함으로써 가용성을 보다 높일 수 있도록 한 클라이언트 기반의 무선 네트워크 보안 시스템 및 그 방법을 제공하는데 있다.
The present invention has been made to solve the above-described problem, an object of the present invention is to distinguish the authorized / unauthorized wireless AP through the authentication of the external wireless AP in the client terminal, security by controlling the network packet for the unauthorized wireless AP In addition, the present invention provides a client-based wireless network security system and method for improving availability by enabling some IPs and ports to be used.

전술한 목적을 달성하기 위하여 본 발명의 제1 측면은, 통신망을 통해 연결된 클라이언트 단말의 요청에 따라 기 인가된 무선 AP(Access Point) 목록 및 비인가 정책정보를 전송하는 보안서버; 및 커널 영역에 구비되어 비인가 정책정보에 따라 네트워크 디바이스를 통해 송/수신되는 네트워크 패킷을 선택적으로 제어하는 NDIS 매개 드라이버(NDIS intermediate driver)를 구비하고, 상기 보안서버로부터 기 인가된 무선 AP 목록 및 비인가 정책정보를 제공받아 외부의 통신망을 통해 접속 요청된 외부 무선 AP에 대해 인가/비인가 여부를 판단하여 외부 무선 AP가 비인가 무선 AP일 경우, 상기 접속 요청된 무선 AP에 연결된 네트워크 카드정보를 획득한 후, 상기 획득된 네트워크 카드정보의 MAC(Media Access Control) 주소와 함께 상기 비인가 정책정보를 상기 NDIS 매개 드라이버로 전송하는 적어도 하나의 클라이언트 단말을 포함하는 클라이언트 기반의 무선 네트워크 보안 시스템을 제공하는 것이다.In order to achieve the above object, a first aspect of the present invention, a security server for transmitting a wireless access point (AP) list and unauthorized policy information that is authorized according to a request of a client terminal connected through a communication network; And an NDIS intermediate driver, which is provided in the kernel area and selectively controls a network packet transmitted / received through a network device according to unauthorized policy information, and includes a list of unauthorized wireless APs and unauthorized access from the security server. After receiving the policy information and determining whether the external wireless AP is requested to be accessed through an external communication network, whether or not the external wireless AP is an unauthorized wireless AP, after acquiring network card information connected to the requested wireless AP, And at least one client terminal for transmitting the unauthorized policy information to the NDIS-mediated driver together with the obtained MAC (Media Access Control) address of the network card information.

여기서, 상기 보안서버는, 기 인가된 무선 AP 목록 및 비인가 정책정보를 별도의 데이터베이스(DB)에 저장함이 바람직하다.Here, the security server, preferably stored in a separate database (DB) the wireless AP list and unauthorized policy information.

바람직하게, 상기 보안서버는, 별도의 웹 서버를 통해 상기 기 인가된 무선 AP 목록 및 비인가 정책정보를 등록, 수정 및 설정할 수 있도록 외부의 단말에 웹서비스를 제공할 수 있다.Preferably, the security server may provide a web service to an external terminal to register, modify, and set the authorized wireless AP list and unauthorized policy information through a separate web server.

바람직하게, 상기 보안서버는, 클라이언트 단말별로 접속 요청된 외부 무선 AP 접속 목록 및 접속 로그 정보를 데이터베이스(DB)화하여 저장 및 관리할 수 있다.Preferably, the security server may be stored in the database (DB) to store and manage the external wireless AP access list and access log information requested for each client terminal.

바람직하게, 상기 보안서버에 등록된 무선 AP 목록은 기 인가된 각 무선 AP의 MAC 주소 리스트와 SSID(Service Set IDentifier) 정보로 이루어질 수 있다.Preferably, the wireless AP list registered in the security server may include a MAC address list and SSID (Service Set IDentifier) information of each wireless AP.

바람직하게, 상기 클라이언트 단말은, 상기 보안서버로 무선 AP 목록 요청메시지를 주기적으로 전송하고, 상기 보안서버로부터 기 인가된 무선 AP 목록 및 비인가 정책정보를 주기적으로 제공받아 별도의 메모리에 저장할 수 있다.Preferably, the client terminal may periodically transmit a wireless AP list request message to the security server, and periodically receive the wireless AP list and unauthorized policy information from the security server and store them in a separate memory.

바람직하게, 상기 비인가 정책정보는, 웹페이지 접속(PORT)만을 허용하는 제1 비인가 정책, 기 설정된 IP 대역폭만을 허용하는 제2 비인가 정책, 상기 제1 및 제2 비인가 정책을 모두 허용하는 제3 비인가 정책 중 적어도 어느 하나의 비인가 정책으로 이루어질 수 있다.
Preferably, the unauthorized policy information includes a first unauthorized policy allowing only a web page access (PORT), a second unauthorized policy allowing only a predetermined IP bandwidth, and a third unauthorized license allowing both the first and second unauthorized policies. At least one of the policies may be an unauthorized policy.

본 발명의 제2 측면은, 적어도 하나의 클라이언트 단말과 통신망을 통해 서로 연결된 보안서버로 이루어진 시스템을 이용하여 무선 네트워크를 보안하기 위한 방법으로서, (a) 상기 클라이언트 단말을 통해 상기 보안서버로 무선 AP(Access Point) 목록 요청메시지를 주기적으로 전송한 후, 상기 보안서버로부터 기 인가된 무선 AP 목록 및 비인가 정책정보를 주기적으로 제공받아 별도의 메모리에 저장하는 단계; (b) 상기 클라이언트 단말을 통해 외부 무선 AP의 접속을 주기적으로 감시하여 외부 무선 AP의 접속 요청이 감지되면, 연결된 외부 무선 AP의 MAC(Media Access Control) 주소를 획득하는 단계; (c) 상기 단계(a)에서의 기 인가된 무선 AP 목록과 상기 단계(b)에서 획득된 외부 무선 AP의 MAC 주소를 비교하여 상기 접속 요청된 외부 무선 AP에 대해 인가/비인가 여부를 판단하는 단계; (d) 상기 단계(c)의 판단 결과, 상기 접속 요청된 외부 무선 AP가 비인가 무선 AP일 경우, 상기 접속 요청된 무선 AP에 연결된 네트워크 카드정보를 획득하는 단계; (e) 상기 클라이언트 단말을 통해 상기 단계(d)에서 획득된 네트워크 카드정보의 MAC 주소와 함께 상기 단계(a)에서의 비인가 정책정보를 상기 클라이언트 단말의 커널 영역에 구비된 NDIS 매개 드라이버(NDIS intermediate driver)로 전송하는 단계; 및 (f) 상기 클라이언트 단말의 NDIS 매개 드라이버를 통해 상기 단계(e)에서 전송된 비인가 정책정보에 따라 네트워크 디바이스를 통해 송/수신되는 네트워크 패킷을 선택적으로 제어하는 단계를 포함하는 클라이언트 기반의 무선 네트워크 보안 방법을 제공하는 것이다.A second aspect of the present invention is a method for securing a wireless network using a system comprising at least one client terminal and a security server connected to each other via a communication network, the method comprising: (a) a wireless AP to the security server through the client terminal; (Access Point) periodically transmitting a list request message, and periodically receiving the wireless AP list and unauthorized policy information from the security server and storing them in a separate memory; (b) periodically monitoring the connection of the external wireless AP through the client terminal to obtain a MAC (Media Access Control) address of the connected external wireless AP when a connection request of the external wireless AP is detected; (c) comparing the list of pre-authorized wireless APs in step (a) with the MAC addresses of the external wireless APs obtained in step (b) to determine whether to permit / disable the requested external wireless AP; step; (d) acquiring network card information connected to the requested wireless AP when the requested external wireless AP is an unauthorized wireless AP as a result of the step (c); (e) NDIS intermediate driver (NDIS intermediate) provided in the kernel area of the client terminal with the unauthorized policy information in the step (a) together with the MAC address of the network card information obtained in the step (d) through the client terminal; driver); And (f) selectively controlling a network packet transmitted / received through a network device according to the unauthorized policy information transmitted in step (e) through an NDIS mediated driver of the client terminal. To provide a security method.

여기서, 상기 단계(a) 이전에, 상기 보안서버를 통해 기 인가된 무선 AP 목록 및 비인가 정책정보를 별도의 데이터베이스(DB)에 저장하는 단계를 더 포함함이 바람직하다.Here, before the step (a), it is preferable to further include the step of storing the wireless AP list and unauthorized policy information previously authorized through the security server in a separate database (DB).

바람직하게, 별도의 웹 서버를 통해 상기 데이터베이스(DB)에 저장된 기 인가된 무선 AP 목록 및 비인가 정책정보를 등록, 수정 및 설정할 수 있도록 외부의 단말에 웹서비스를 제공하는 단계를 더 포함할 수 있다.Preferably, the method may further include providing a web service to an external terminal so as to register, modify, and set an authorized wireless AP list and unauthorized policy information stored in the database through a separate web server. .

바람직하게, 상기 단계(b) 이후에, 상기 보안서버를 통해 클라이언트 단말별로 접속 요청된 외부 무선 AP 접속 목록 및 접속 로그 정보를 데이터베이스(DB)화하여 저장 및 관리하는 단계를 더 포함할 수 있다.Preferably, after step (b), the method may further include storing and managing an external wireless AP access list and access log information requested for each client terminal through the security server as a database (DB).

바람직하게, 상기 단계(a)에서, 상기 보안서버에 등록된 무선 AP 목록은 기 인가된 각 무선 AP의 MAC 주소 리스트와 SSID(Service Set IDentifier) 정보로 이루어질 수 있다.Preferably, in step (a), the wireless AP list registered in the security server may be composed of a MAC address list and SSID (Service Set IDentifier) information of each wireless AP.

바람직하게, 상기 단계(a)에서, 상기 보안서버에 등록된 비인가 정책정보는, 웹페이지 접속(PORT)만을 허용하는 제1 비인가 정책, 기 설정된 IP 대역폭만을 허용하는 제2 비인가 정책, 상기 제1 및 제2 비인가 정책을 모두 허용하는 제3 비인가 정책 중 적어도 어느 하나의 비인가 정책으로 이루어질 수 있다.
Preferably, in the step (a), the unauthorized policy information registered in the security server may include a first unauthorized policy allowing only a web page access (PORT), a second unauthorized policy allowing only a predetermined IP bandwidth, and the first unauthorized policy. And a third unauthorized policy allowing both of the second unauthorized policy.

이상에서 설명한 바와 같은 본 발명의 클라이언트 기반의 무선 네트워크 보안 시스템 및 그 방법에 따르면, 클라이언트 단말에서의 외부 무선 AP의 인증을 통해 인가/비인가 무선 AP를 구분하고, 비인가 무선 AP에 대한 네트워크 패킷을 제어하여 보안성을 높일 수 있을 뿐만 아니라 일부 아이피(IP), 포트(PORT)를 사용할 수 있도록 함으로써 가용성을 보다 높일 수 있는 이점이 있다.According to the client-based wireless network security system and method according to the present invention as described above, the authorized / unauthorized wireless AP is distinguished through authentication of the external wireless AP in the client terminal, and the network packet for the unauthorized wireless AP is controlled. In addition to improving security, some IPs and ports can be used to increase availability.

또한, 본 발명에 따르면, 무선 AP 접속 시 MAC 주소(Address) 기반으로 인증을 하며, 무선 네트워크 카드를 찾아 NDIS 매개 드라이버로 전송하여 아이피(IP), 포트(PORT)의 범위를 연산하여 네트워크 패킷에 대해 제어함으로써, 기존의 서버기반 인증의 보안문제와 비용문제를 효과적으로 해결할 수 있으며, 클라이언트 기반 인증의 가용성이 유연하고 확장성을 높일 수 있는 이점이 있다.
In addition, according to the present invention, authentication based on MAC address when accessing the wireless AP, and finds the wireless network card and transmits it to the NDIS-mediated driver to calculate the IP (IP), the range of the port (PORT) to the network packet By controlling the control, it is possible to effectively solve the security and cost problems of the existing server-based authentication, there is an advantage that the availability of the client-based authentication can be flexible and scalable.

도 1은 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 시스템을 설명하기 위한 전체적인 개념 구성도이다.
도 2는 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 시스템을 설명하기 위한 구체적인 블록 구성도이다.
도 3은 본 발명의 일 실시예에 적용된 NDIS 매개 드라이버를 구체적으로 설명하기 위한 블록 구성도이다.
도 4는 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 설명하기 위한 전체적인 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법 중에서 연결된 외부 무선 AP의 MAC 주소 정보 획득을 구체적으로 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법 중에서 연결된 외부 무선 AP 네트워크 카드 정보 획득을 구체적으로 설명하기 위한 도면이다.
도 7은 본 발명의 일 실시예에 적용된 비인가 정책을 설명하기 위한 도표이다.
도 8은 본 발명의 일 실시예에 적용된 NDIS 매개 드라이버의 비인가 정책에 의한 패킷 제어를 설명하기 위한 흐름도이다.
도 9는 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 구현하기 위한 실제 실험 환경을 나타낸 도표이다.
도 10은 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 구현하기 위한 실제 시험 환경에서 비인가 정책의 설정을 설명하기 위한 도면이다.
도 11은 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 구현하기 위한 실제 시험 환경에서 무선 AP 등록 요청을 설명하기 위한 도면이다.
도 12는 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 구현하기 위한 실제 시험 환경에서 서버에서의 무선 AP 등록을 설명하기 위한 도면이다.
도 13은 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 구현하기 위한 실제 시험 환경에 대한 결과에서 인가된 무선 AP에 접속한 로그를 나타낸 도면이다.
도 14는 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 구현하기 위한 실제 시험 환경에 대한 결과에서 비인가된 무선 AP에 접속한 로그를 나타낸 도면이다.
도 15 및 도 16은 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 구현하기 위한 실제 시험 환경에 대한 성능 평가를 설명하기 위한 도표이다.
1 is an overall conceptual diagram illustrating a client-based wireless network security system according to an embodiment of the present invention.
2 is a detailed block diagram illustrating a client-based wireless network security system according to an embodiment of the present invention.
3 is a block diagram illustrating in detail the NDIS mediated driver applied to an embodiment of the present invention.
4 is a flowchart illustrating a client-based wireless network security method according to an embodiment of the present invention.
FIG. 5 is a diagram for specifically describing MAC address information acquisition of a connected external wireless AP in a client-based wireless network security method according to an embodiment of the present invention.
FIG. 6 is a diagram for describing in detail acquiring of connected external wireless AP network card information in a client-based wireless network security method according to an embodiment of the present invention.
7 is a diagram illustrating an unauthorized policy applied to an embodiment of the present invention.
8 is a flowchart illustrating packet control by an unauthorized policy of an NDIS mediated driver applied to an embodiment of the present invention.
9 is a diagram illustrating an actual experimental environment for implementing a client-based wireless network security method according to an embodiment of the present invention.
FIG. 10 is a diagram illustrating setting of an unauthorized policy in an actual test environment for implementing a client-based wireless network security method according to an embodiment of the present invention.
11 is a diagram illustrating a wireless AP registration request in an actual test environment for implementing a client-based wireless network security method according to an embodiment of the present invention.
12 is a diagram illustrating wireless AP registration in a server in an actual test environment for implementing a client-based wireless network security method according to an embodiment of the present invention.
FIG. 13 is a diagram illustrating a log access to an authorized wireless AP in a result of an actual test environment for implementing a client-based wireless network security method according to an embodiment of the present invention.
14 is a diagram illustrating a log of access to an unauthorized wireless AP in a result of an actual test environment for implementing a client-based wireless network security method according to an embodiment of the present invention.
15 and 16 are diagrams for explaining a performance evaluation of an actual test environment for implementing a client-based wireless network security method according to an embodiment of the present invention.

이하, 첨부 도면을 참조하여 본 발명의 실시예를 상세하게 설명한다. 그러나, 다음에 예시하는 본 발명의 실시예는 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 다음에 상술하는 실시예에 한정되는 것은 아니다. 본 발명의 실시예는 당업계에서 통상의 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위하여 제공되어지는 것이다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. However, the following embodiments of the present invention may be modified into various other forms, and the scope of the present invention is not limited to the embodiments described below. The embodiments of the present invention are provided to enable those skilled in the art to more fully understand the present invention.

먼저, 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 시스템에서 무선 AP 인증(Authentication)은 기 인가된 무선 AP만을 접속 허용해주고 비인가된 불법 무선 AP는 차단하거나 제어하는 방식이다. 즉, 사내의 IP 대역폭이 아닌 다른 대역폭을 사용하여 내부의 정보를 외부로 유출을 할 경우 대역폭이 다르기 때문에 모니터링(Monitoring)이 되지 않아 이를 방지하기 위함이다.
First, in a client-based wireless network security system according to an embodiment of the present invention, wireless AP authentication (Authentication) is a method of allowing access to only authorized wireless AP and blocking or controlling unauthorized illegal wireless AP. In other words, if the internal information is leaked to the outside by using a bandwidth other than the internal IP bandwidth, the monitoring is not performed because the bandwidth is different.

도 1은 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 시스템을 설명하기 위한 전체적인 개념 구성도이고, 도 2는 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 시스템을 설명하기 위한 구체적인 블록 구성도이며, 도 3은 본 발명의 일 실시예에 적용된 NDIS 매개 드라이버를 구체적으로 설명하기 위한 블록 구성도이다.1 is a conceptual diagram illustrating a client-based wireless network security system according to an embodiment of the present invention, and FIG. 2 is a diagram illustrating a client-based wireless network security system according to an embodiment of the present invention. FIG. 3 is a block diagram illustrating in detail an NDIS mediated driver applied to an embodiment of the present invention.

도 1 내지 도 3을 참조하면, 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 시스템은, 크게 적어도 하나의 클라이언트 단말(100-1 내지 100-n)과, 유/무선의 통신망(10)을 통해 연결된 보안서버(200) 등을 포함하여 이루어진다.1 to 3, a client-based wireless network security system according to an embodiment of the present invention includes at least one client terminal 100-1 to 100-n and a wired / wireless communication network 10. It is made, including a security server 200 connected through.

여기서, 유/무선의 통신망(10)은 사내망 즉, 내부망(Inner Network)으로서, 예컨대, 동축케이블, 광섬유 또는 무선으로 연결된 근거리 통신망(Local Area Network, LAN), VAN(Virtual Area Network) 등의 유선 통신망뿐만 아니라 WLAN(Wireless Local Area Network) 등의 무선 통신망을 포함할 수 있으며, TCP/IP를 이용한 인터넷 정보망, 패킷 교환망(PSTN), 통합 서비스 디지털망(ISDN), 광대역 종합 정보통신망(B-ISDN)과 같은 원거리 통신망(WAN)이 될 수도 있으며, 케이블 TV망, 인터넷 연결을 가능하게 하는 위성망, 무선 인터넷망, 이동통신사의 인터넷망 등을 포함할 수도 있다. 이러한 내부망을 이용한 데이터의 전송은 TCP/IP 방식에 의한 전송, X.25 방식에 의한 전송 및 직렬 통신(Serial Communication) 방식에 의한 전송 등이 이용될 수 있다.Here, the wired / wireless communication network 10 is an internal network, that is, an inner network, for example, a local area network (LAN), a virtual area network (VAN), or the like, which is connected by coaxial cable, optical fiber, or wirelessly. It can include wireless communication networks such as Wireless Local Area Network (WLAN) as well as Internet Information Network, Packet Switched Network (PSTN), Integrated Service Digital Network (ISDN), and Broadband Integrated Information Network (B). It may be a local area network (WAN), such as ISDN), and may include a cable TV network, a satellite network that enables Internet connection, a wireless Internet network, and a mobile carrier's Internet network. The transmission of data using the internal network may include transmission by TCP / IP, transmission by X.25, and transmission by serial communication.

그리고, 각 클라이언트 단말(100-1 내지 100-n)은 비인가 정책정보에 따라 네트워크 디바이스(Network Device)(130)를 통해 송/수신되는 네트워크 패킷(Packet)을 선택적으로 제어하는 NDIS 매개 드라이버(NDIS intermediate driver)(115)를 구비하고 있다.Each client terminal (100-1 to 100-n) is NDIS-mediated driver (NDIS) to selectively control the network packet (Packet) transmitted / received through the network device (130) in accordance with unauthorized policy information intermediate driver 115).

또한, 각 클라이언트 단말(100-1 내지 100-n)은 보안서버(200)로부터 기 인가된 무선 AP(Access Point) 목록 및 비인가 정책정보를 제공받아 외부의 통신망(20)을 통해 접속 요청된 외부 무선 AP에 대해 인가/비인가 여부를 판단하여 접속 요청된 외부 무선 AP가 상기 기 인가된 무선 AP 목록에 존재하지 않는 비인가 무선 AP일 경우, 상기 접속 요청된 무선 AP에 연결된 네트워크 카드정보를 획득한 후, 상기 획득된 네트워크 카드정보의 MAC(Media Access Control) 주소와 함께 상기 비인가 정책정보를 NDIS 매개 드라이버(115)로 전송하는 기능을 수행한다.In addition, each client terminal (100-1 to 100-n) receives a wireless AP (Access Point) list and unauthorized policy information from the security server 200, the external is requested to access through the external communication network 20 After determining whether the wireless AP is authorized / disabled, if the requested external wireless AP is an unauthorized wireless AP that does not exist in the list of authorized wireless APs, after acquiring network card information connected to the requested wireless AP, And transmits the unauthorized policy information to the NDIS-mediated driver 115 together with the MAC (Media Access Control) address of the obtained network card information.

이때, 외부의 통신망(20)은 외부망(External Network)으로서, 예컨대, 인터넷(Internet) 또는 무선랜(WiFi) 망으로 이루어짐이 바람직하며, 상기 무선랜(WiFi) 망은 복수의 무선랜 AP에 의하여 각각 형성되는 무선랜 존(zone)내에서 각 클라이언트 단말(100-1 내지 100-n)에 무선 인터넷 서비스를 제공하기 위한 공지의 무선 데이터 통신망이다.At this time, the external communication network 20 is an external network (external network), for example, it is preferably made of the Internet (Internet) or a wireless LAN (WiFi) network, the wireless LAN (WiFi) network is a plurality of wireless LAN AP It is a well-known wireless data communication network for providing a wireless Internet service to each client terminal (100-1 to 100-n) in a wireless LAN zone formed by each.

이때, 상기 인터넷은 TCP/IP 프로토콜 및 그 상위계층에 존재하는 여러 서비스 즉, HTTP(Hyper Text Transfer Protocol), Telnet, FTP(File Transfer Protocol), DNS(Domain Name System), SMTP(Simple Mail Transfer Protocol), SNMP(Simple Network Management Protocol), NFS(Network File Service), NIS(Network Information Service) 등을 제공하는 전 세계적인 개방형 컴퓨터 네트워크 구조를 의미한다. 한편, 상기 인터넷은 유선 또는 무선 인터넷일 수도 있고, 이외에도 유선 공중망, 무선 이동 통신망, 또는 휴대 인터넷 등과 통합된 코어망 일 수도 있다.In this case, the Internet is a TCP / IP protocol and a number of services existing in the upper layer, that is, Hyper Text Transfer Protocol (HTTP), Telnet, File Transfer Protocol (FTP), Domain Name System (DNS), Simple Mail Transfer Protocol (SMTP). It is a global open computer network architecture that provides Simple Network Management Protocol (SNMP), Network File Service (NFS), Network Information Service (NIS). The Internet may be a wired or wireless internet, or may be a core network integrated with a wired public network, a wireless mobile communication network, or a portable internet.

이러한 각 클라이언트 단말(100-1 내지 100-n)은 예컨대, 데스크탑 PC(Personal Computer) , 노트북 PC 등 개인용 컴퓨터인 것이 일반적이지만, 이에 한정되는 것은 아니며 유/무선의 통신망(10)을 통하여 보안서버(200)에 접속하여 양방향성 송/수신 서비스를 이용할 수 있는 모든 종류의 유/무선 통신 장치일 수 있다.Each of the client terminals 100-1 to 100-n is, for example, a personal computer such as a desktop PC or a notebook PC, but is not limited thereto. The security server is provided through a wired / wireless communication network 10. Any type of wired / wireless communication device capable of accessing the 200 and using a bidirectional transmission / reception service may be used.

예를 들어, 각 클라이언트 단말(100-1 내지 100-n)은 무선 인터넷 또는 휴대 인터넷을 통하여 통신하는 셀룰러폰(Cellular phone), 피씨에스폰(PCS phone: Personal Communications Services phone), 동기식/비동기식 IMT-2000(International Mobile Telecommunication-2000) 등 이동 단말을 포함하고, 이외에도 팜 PC(Palm Personal Computer), 개인용 디지털 보조기(PDA: Personal Digital Assistant), 스마트폰(Smart phone), 왑폰(WAP phone: Wireless application protocol phone), 모바일 게임기(mobile play-station) 등 정보제공서버(300)에 접속하기 위한 사용자 인터페이스를 갖는 모든 유/무선 가전/통신 장치를 포괄적으로 의미할 수 있다.For example, each client terminal 100-1 to 100-n may be a cellular phone, a PCS phone (PCS phone), a synchronous / asynchronous IMT that communicates via a wireless Internet or a portable Internet. Including a mobile terminal such as -2000 (International Mobile Telecommunication-2000), in addition to a Palm Personal Computer (PDA), Personal Digital Assistant (PDA), Smart Phone, WAP phone (WAP phone) All wired / wireless home appliances / communication devices having a user interface for accessing the information providing server 300, such as a protocol phone and a mobile play-station, may be comprehensively referred to.

또한, 각 클라이언트 단말(100-1 내지 100-n)은 통상의 운영체제(Operating System, OS)를 통해 구동되는 바, 마이크로소프트사에서 제공하는 운영체제 예컨대, 윈도우즈(Windows)는 크게, 커널 레벨(Kernel Level, 110)(또는 커널 영역)과 유저 레벨(User Level, 120)(또는 유저 영역)로 나누어지는데, 커널 레벨(110)에서는 운영체제 커널과 각종 디바이스 드라이버가 구동되고, 유저 레벨(120)에서는 주로 어플리케이션(Application)이 구동된다. 그리고, 커널 레벨(110)에서 동작을 하는 프로그램들은 디바이스 드라이버의 형태로 존재한다. 한편, 네트워크 통신 시 패킷의 흐름은 유저 레벨(120), 커널 레벌(110)의 TDI 레이어(Layer), NDIS 레이어(Layer), 및 네트워크 디바이스(130) 순으로 전송하게 된다.In addition, each of the client terminals 100-1 to 100-n is driven through a general operating system (OS). An operating system provided by Microsoft, for example, Windows is largely kernel level (Kernel). Level, 110 (or kernel area) and user level (User Level, 120) (or user area), the operating system kernel and various device drivers are driven at the kernel level 110, mainly at the user level (120) Application is started. In addition, programs operating at the kernel level 110 exist in the form of device drivers. In the meantime, the packet flow is transmitted in the order of the user level 120, the TDI layer of the kernel level 110, the NDIS layer, and the network device 130.

여기서, 커널 레벨(110)의 구조를 보다 구체적으로 살펴보면, 도 2에 도시된 바와 같이, 크게 윈도우즈 소켓(Socket)의 커널 부분인 AFD(afd.sys)(미도시), NDIS(Network Driver Interface Specification) 및 TDI(Transport Driver Interface) 등으로 구성되어 있다.Herein, the structure of the kernel level 110 will be described in more detail. As shown in FIG. 2, AFD (afd.sys) (not shown), NDIS (Network Driver Interface Specification), which is largely a kernel part of a Windows socket, is illustrated. ) And TDI (Transport Driver Interface).

이때, 커널 레벨(110)에서 최상위 계층에 존재하는 afd.sys는 윈도우즈 소켓에서 유저 레벨(120)의 최하위 계층의 DLL(Dynamic Link Library)인 msafd.dll과 통신을 하고, 아래 계층의 TDI와 인터페이스를 이루게 된다.At this time, afd.sys in the top layer at the kernel level 110 communicates with msafd.dll, which is a DLL (Dynamic Link Library) in the lowest layer of the user level 120, in the Windows socket, and interfaces with TDI in the lower layer. Will be achieved.

그리고, 상기 TDI는 프로토콜 스택(Stack)의 상위에 존재하는 커널 레벨 인터페이스를 정의한다. 상기 NDIS는 NIC 디바이스 드라이버(Network Interface Card Device Driver)들을 위하여 표준 인터페이스를 제공한다. 즉, 상기 NDIS는 네트워크 인터페이스 카드(Network Interface Card, NIC) 전용의 드라이버 규격으로서, 마이크로소프트사의 윈도즈 NT 등에 사용되고 있는 네트워크 카드/드라이버와 네트워크층 통신 규약을 분리하는 인터페이스 규격이다.In addition, the TDI defines a kernel level interface existing on a protocol stack. The NDIS provides a standard interface for NIC device drivers (Network Interface Card Device Drivers). In other words, the NDIS is a driver standard dedicated to a network interface card (NIC), and is an interface standard that separates a network card / driver used from Microsoft's Windows NT or the like and a network layer communication protocol.

또한, 네트워크 디바이스(130)는 계층적 네트워크 아키텍처(Layered Network Architecture)를 포함하는 네트워크 스택(Network Stack)을 통해 패킷을 송/수신함으로써 데이터를 교환한다.In addition, the network device 130 exchanges data by transmitting / receiving packets through a network stack including a layered network architecture.

특히, 상기 TDI와 상기 NDIS 사이에는 TCP, IP, RaWIP 및 UDP 디바이스 등을 비롯하여 비인가 정책정보에 따라 네트워크 디바이스(Network Device)(130)를 통해 송/수신되는 네트워크 패킷(Packet)을 선택적으로 제어하는 NDIS 매개 드라이버(NDIS intermediate driver)(115) 등이 구비되어 있다.In particular, between the TDI and the NDIS selectively control network packets transmitted / received through the network device 130 according to unauthorized policy information, including TCP, IP, RaWIP and UDP devices. An NDIS intermediate driver 115 and the like are provided.

여기서, NDIS 매개 드라이버(115)는 도 3에 도시된 바와 같이, 예컨대, NDIS 버전 4.0에 포함되어진 컴포넌트이며, 전송 드라이버와 NDIS NIC(Network Interface Card) 미니포트(Miniport) 사이에 위치한다. NIC 드라이버에게는 전송 드라이버처럼 보이는 반면에 전송 드라이버에게는 NDIS 미니포트로서 나타난다. NDIS 매개 레이어(Intermediate Layer)는 전송 드라이버나 어떤 새로운 타입의 미디어에 연결하려고 할 때 유용하며, 전송 드라이버와 새 미디어를 관리하는 NIC 미니포트 사이에 필요한 변환과 전송을 수행한다.Here, as shown in FIG. 3, the NDIS mediated driver 115 is a component included in, for example, NDIS version 4.0, and is located between a transport driver and an NDIS network interface card (NIC) miniport. It appears to the NIC driver as a transport driver, while to the transport driver it appears as an NDIS miniport driver. The NDIS Intermediate Layer is useful when you want to connect to a transport driver or any new type of media, and performs the necessary translations and transfers between the transport driver and the NIC miniport that manages the new media.

즉, NDIS 매개 드라이버(115)는 보통 그것의 상위 에지(edge)에서 MiniportXxx 함수를, 하위 에지(edge)에서는 프로토콜(Protocol) 함수를 보낸다. 또 한 가지의 경우는 일반적이지는 않지만, NDIS 매개 드라이버(115)는 상위 에지(edge)에서 MiniportXxx함수를, 하위 에지(edge)에서는 non-NDIS 드라이버를 기본이 되게 개별적인 인터페이스(Private Interface)를 보낼 수 있다.That is, the NDIS mediated driver 115 usually sends a MiniportXxx function at its upper edge and a Protocol function at its lower edge. In another case, although not common, the NDIS-mediated driver 115 can send a private interface to the MiniedgeXxx function at the upper edge and a non-NDIS driver at the lower edge. Can be.

또한, 하나의 NDIS 매개 드라이버(115)는 전형적으로 하나 이상의 NDIS NOC드라이버와 상위 에지(edge)에서 TDI(Transfer Driver Interface)를 지원하는 트랜스포트 드라이버 아래에 레이어(Layer) 된다. 이론상으로 NDIS 매개 드라이버(115)는 또 하나의 NDIS 매개 드라이버(115) 바로 위나 바로 아래에 레이어(Layer)가 될 수 없다.In addition, one NDIS mediated driver 115 is typically layered below one or more NDIS NOC drivers and a transport driver supporting a TDI (Transfer Driver Interface) at the upper edge. In theory, the NDIS mediated driver 115 may not be a layer directly above or just under another NDIS mediated driver 115.

그리고, 각 클라이언트 단말(100-1 내지 100-n)의 유저 레벨(120)에는 유/무선의 통신망(10)을 통해 보안서버(200)와 연결하여 데이터 송/수신을 제어함과 아울러 외부 무선 AP를 인증(Authentication)하기 위한 통신제어모듈(125)이 구비되는 바, 이러한 통신제어모듈(125)에서는 보안서버(200)로부터 기 인가된 무선 AP 목록 및 비인가 정책정보를 제공받아 외부의 통신망(20)을 통해 접속 요청된 외부 무선 AP에 대해 인가/비인가 여부를 판단하여 접속 요청된 외부 무선 AP가 기 인가된 무선 AP 목록에 존재하지 않는 비인가 무선 AP일 경우, 상기 접속 요청된 무선 AP에 연결된 네트워크 카드정보(예컨대, 네트워크 카드의 MAC 주소)를 획득한 후, 상기 획득된 네트워크 카드정보의 MAC(Media Access Control) 주소와 함께 상기 비인가 정책정보를 NDIS 매개 드라이버(115)로 전송하는 기능을 수행한다.In addition, the user level 120 of each client terminal 100-1 to 100-n is connected to the security server 200 through a wired / wireless communication network 10 to control data transmission / reception and external wireless. A communication control module 125 for authenticating an AP is provided. The communication control module 125 receives an approved wireless AP list and unauthorized policy information from the security server 200 to receive an external communication network ( 20) If it is determined whether or not the external wireless AP is requested to access through the wireless access AP is an unauthorized wireless AP that does not exist in the list of authorized wireless AP, the connected wireless AP is connected to the requested wireless AP After acquiring the network card information (eg, the MAC address of the network card), the device for transmitting the unauthorized policy information to the NDIS mediated driver 115 together with the MAC (Media Access Control) address of the acquired network card information. To be carried out.

또한, 각 클라이언트 단말(100-1 내지 100-n)의 유저 레벨(120)에 구비된 통신제어모듈(125)은, 보안서버(200)로 무선 AP 목록 요청메시지를 주기적으로 전송하고, 보안서버(200)로부터 기 인가된 무선 AP 목록 및 비인가 정책정보를 주기적으로 제공받아 별도의 메모리(Memory)(미도시)에 저장함이 바람직하다.In addition, the communication control module 125 provided at the user level 120 of each client terminal 100-1 to 100-n periodically transmits a wireless AP list request message to the security server 200. It is preferable to periodically receive a list of pre-authorized wireless APs and unauthorized policy information from the 200 and store them in a separate memory (not shown).

그리고, 보안서버(200)는 유/무선의 통신망(10)을 통해 연결된 클라이언트 단말(100-1 내지 100-n)의 요청에 따라 기 인가된 무선 AP(Access Point) 목록 및 비인가 정책정보를 전송하는 기능을 수행한다. 이때, 보안서버(200)에 등록된 무선 AP 목록은 기 인가된 각 무선 AP의 MAC 주소 리스트(List)와 SSID(Service Set IDentifier) 정보 등으로 이루어짐이 바람직하다.The security server 200 transmits a list of authorized wireless APs and unauthorized policy information according to a request of the client terminals 100-1 to 100-n connected through the wired / wireless communication network 10. It performs the function. At this time, the wireless AP list registered in the security server 200 is preferably made of a MAC address list (List) and SSID (Service Set IDentifier) information of each authorized wireless AP.

이러한 보안서버(200)는 기 인가된 무선 AP 목록 및 비인가 정책정보를 별도의 데이터베이스(DB)에 저장함이 바람직하며, 별도의 웹 서버(Web Server)(미도시)를 통해 상기 기 인가된 무선 AP 목록 및 비인가 정책정보를 등록, 수정 및 설정할 수 있도록 외부의 단말(예컨대, 관리자 또는 클라이언트 단말 등)에 웹서비스를 제공할 수 있다.The security server 200 preferably stores a list of authorized wireless APs and unauthorized policy information in a separate database, and the authorized wireless AP through a separate web server (not shown). The web service may be provided to an external terminal (eg, an administrator or a client terminal) to register, modify, and set the list and unauthorized policy information.

또한, 보안서버(200)는 클라이언트 단말별로 접속 요청된 외부 무선 AP 접속 목록 및 접속 로그 정보를 데이터베이스(DB)화하여 저장 및 관리할 수도 있다.In addition, the security server 200 may store and manage an external wireless AP access list and access log information requested for each client terminal as a database (DB).

한편, 상기 비인가 정책정보는, 웹페이지 접속(PORT)만을 허용하는 제1 비인가 정책과, 기 설정된 IP 대역폭만을 허용하는 제2 비인가 정책과, 상기 제1 및 제2 비인가 정책을 모두 허용하는 제3 비인가 정책 중 적어도 어느 하나의 비인가 정책으로 이루어짐이 바람직하다.
The unauthorized policy information may include a first unauthorized policy allowing only webpage access, a second unauthorized policy allowing only a predetermined IP bandwidth, and a third allowing both the first and second unauthorized policies. Preferably, at least one of the unauthorized policies consists of unauthorized policies.

도 4는 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 설명하기 위한 전체적인 흐름도이고, 도 5는 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법 중에서 연결된 외부 무선 AP의 MAC 주소 정보 획득을 구체적으로 설명하기 위한 도면이며, 도 6은 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법 중에서 연결된 외부 무선 AP 네트워크 카드 정보 획득을 구체적으로 설명하기 위한 도면이며, 도 7은 본 발명의 일 실시예에 적용된 비인가 정책을 설명하기 위한 도표이며, 도 8은 본 발명의 일 실시예에 적용된 NDIS 매개 드라이버의 비인가 정책에 의한 패킷 제어를 설명하기 위한 흐름도로서, 별다른 설명이 없는 한 클라이언트 단말(100-1 내지 100-n)이 주체가 되어 수행함을 밝혀둔다.4 is a flowchart illustrating a client-based wireless network security method according to an embodiment of the present invention, Figure 5 is a connection of the external wireless AP in the client-based wireless network security method according to an embodiment of the present invention FIG. 6 is a diagram for describing MAC address information acquisition in detail. FIG. 6 is a diagram for specifically describing connection of external wireless AP network card information obtained from a client-based wireless network security method according to an embodiment of the present invention. 7 is a diagram illustrating an unauthorized policy applied to an embodiment of the present invention, and FIG. 8 is a flowchart illustrating packet control by an unauthorized policy of an NDIS mediated driver applied to an embodiment of the present invention. As long as there is no client terminal (100-1 to 100-n) is to be performed as a subject.

도 1 내지 도 8을 참조하면, 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법은, 먼저, 보안서버(200)를 통해 기 인가된 무선 AP(Access Point) 목록 및 비인가 정책정보를 별도의 데이터베이스(DB)에 저장한다(S100). 1 to 8, in a client-based wireless network security method according to an embodiment of the present invention, a list of previously authorized wireless access point (AP) and unauthorized policy information through a security server 200 is first provided. Store in a separate database (S100).

이때, 상기 단계S100에서, 보안서버(200)에 등록된 비인가 정책정보는, 웹페이지 접속(PORT)만을 허용하는 제1 비인가 정책과, 기 설정된 IP 대역폭만을 허용하는 제2 비인가 정책과, 상기 제1 및 제2 비인가 정책을 모두 허용하는 제3 비인가 정책 중 적어도 어느 하나의 비인가 정책으로 이루어짐이 바람직하다.In this case, in step S100, the unauthorized policy information registered in the security server 200 may include: a first unauthorized policy allowing only a web page access (PORT); a second unauthorized policy allowing only a predetermined IP bandwidth; At least one of the third unauthorized policy allowing both the first and the second unauthorized policy is preferably an unauthorized policy.

한편, 별도의 웹 서버(Web Server)를 통해 상기 데이터베이스(DB)에 저장된 기 인가된 무선 AP 목록 및 비인가 정책정보를 등록, 수정 및 설정할 수 있도록 외부의 단말에 웹서비스를 제공할 수도 있다.Meanwhile, a web service may be provided to an external terminal so as to register, modify, and set an authorized wireless AP list and unauthorized policy information stored in the database through a separate web server.

이후에, 클라이언트 단말(100-1 내지 100-n)을 통해 보안서버(200)로 무선 AP 목록 요청메시지를 주기적으로 전송한 후, 보안서버(200)로부터 기 인가된 무선 AP 목록 및 비인가 정책정보를 주기적으로 제공받아 별도의 메모리(Memory)에 저장한다(S110).Thereafter, after periodically transmitting a wireless AP list request message to the security server 200 through the client terminals 100-1 to 100-n, the wireless AP list and unauthorized policy information authorized from the security server 200 are periodically transmitted. It is periodically received and stored in a separate memory (S110).

이때, 상기 단계S110에서, 보안서버(200)에 등록된 무선 AP 목록은 기 인가된 각 무선 AP의 MAC 주소 리스트와 SSID(Service Set IDentifier) 정보 등으로 이루어짐이 바람직하다.At this time, in step S110, the wireless AP list registered in the security server 200 is preferably made of the MAC address list and SSID (Service Set IDentifier) information of each wireless AP.

그런 다음, 클라이언트 단말(100-1 내지 100-n)을 통해 외부 무선 AP의 접속을 주기적으로 감시하여 외부 무선 AP의 접속 요청이 감지되면, 연결된 외부 무선 AP의 MAC(Media Access Control) 주소(Address)를 획득한다(S120).Then, when the connection request of the external wireless AP is detected by periodically monitoring the connection of the external wireless AP through the client terminals 100-1 to 100-n, a MAC (Media Access Control) address of the connected external wireless AP is provided. ) Is obtained (S120).

즉, 클라이언트 단말(100-1 내지 100-n)의 통신제어모듈(125)에서는 외부 무선 AP의 접속을 감시하고 있다가 외부 무선 AP의 접속 요청이 감지되면, 네트워크 카드를 조사하여 접속된 무선 네트워크 카드를 찾는다. 그리고, 해당 무선 네트워크 카드에게 MAC 주소 정보를 요청하여 연결된 외부 무선 AP의 MAC 주소를 획득한다(도 5 참조).That is, when the communication control module 125 of the client terminals 100-1 to 100-n monitors the connection of the external wireless AP and detects an access request of the external wireless AP, the wireless network connected to the network card is examined by checking the network card. Find the card. Then, the MAC address information is requested to the corresponding wireless network card to obtain the MAC address of the connected external wireless AP (see FIG. 5).

한편, 통신제어모듈(125)에서는 일정시간(예컨대, 약 3초 내지 8초 정도) 주기로 접속된 무선 랜을 검사한 후, 운영체제에 콜백 함수(Callback Function)를 등록(WlanRegisterNotification)하여 무선 랜이 접속되면 운영체제에서 등록된 콜백 함수를 호출하여 줌으로써 외부 무선 AP 접속 요청을 감지할 수 있다.On the other hand, the communication control module 125 checks the connected WLAN for a predetermined time period (for example, about 3 seconds to 8 seconds), and then registers a callback function to the operating system (WlanRegisterNotification) to access the WLAN. If a callback function registered in the operating system is called, the external wireless AP connection request can be detected.

추가적으로, 상기 단계S120 이후에, 보안서버(200)를 통해 클라이언트 단말별로 접속 요청된 외부 무선 AP 접속 목록 및 접속 로그 정보를 데이터베이스(DB)화하여 저장 및 관리하는 단계를 더 포함할 수 있다.In addition, after step S120, the method may further include storing and managing an external wireless AP access list and access log information requested for each client terminal through the security server 200 as a database (DB).

이후에, 클라이언트 단말(100-1 내지 100-n)의 통신제어모듈(125)에서는 상기 단계S110에서의 기 인가된 무선 AP 목록과 상기 단계S120에서 획득된 외부 무선 AP의 MAC 주소를 비교하여 상기 접속 요청된 외부 무선 AP에 대해 인가/비인가 여부를 판단한다(S130).Thereafter, the communication control module 125 of the client terminals 100-1 to 100-n compares the MAC address of the external wireless AP obtained in step S120 with the list of authorized wireless APs in step S110. It is determined whether the access is requested or not for the external wireless AP (S130).

한편, 상기 단계S130에서의 판단 결과, 상기 접속 요청된 외부 무선 AP가 인가 무선 AP일 경우, 접속 허용을 수행하는 반면에, 상기 접속 요청된 외부 무선 AP가 비인가 무선 AP일 경우 즉, 기 인가된 무선 AP 목록에 상기 접속 요청된 외부 무선 AP의 MAC 주소가 없을 경우, 상기 접속 요청된 외부 무선 AP에 연결된 네트워크 카드정보(예컨대, 네트워크 카드의 MAC 주소)를 획득한다(S140).Meanwhile, as a result of the determination in step S130, when the access request external wireless AP is an authorized wireless AP, the access is allowed, while the access request external wireless AP is an unlicensed wireless AP, that is, the previously authorized If there is no MAC address of the external wireless AP requested to access in the wireless AP list, network card information (eg, MAC address of the network card) connected to the external wireless AP requested to obtain the access is obtained (S140).

즉, 클라이언트 단말(100-1 내지 100-n)의 통신제어모듈(125)에서는 기 인가된 무선 AP 목록을 이용하여 상기 접속 요청된 외부 무선 AP가 인가된 무선 AP인지 판단을 하게 된다. 만약, 비인가된 무선 AP일 경우 연결되어 있는 네트워크 카드를 찾아 네트워크 장치명을 획득하게 되면 이 네트워크 장치명을 이용하여 네트워크 카드의 MAC 주소(Address)를 획득할 수 있다.That is, the communication control module 125 of the client terminals 100-1 to 100-n determines whether the requested external wireless AP is an authorized wireless AP by using a list of authorized wireless APs. In the case of an unauthorized wireless AP, if a network device name is obtained by searching for a connected network card, a MAC address of the network card can be obtained using the network device name.

다음으로, 클라이언트 단말(100-1 내지 100-n)의 통신제어모듈(125)을 통해 상기 단계S140에서 획득된 네트워크 카드정보의 MAC 주소와 함께 상기 단계S110에서의 비인가 정책정보를 클라이언트 단말(100-1 내지 100-n)의 커널 레벨(110)에 구비된 NDIS 매개 드라이버(115)로 전송한다(S150).Next, through the communication control module 125 of the client terminals (100-1 to 100-n) with the MAC address of the network card information obtained in the step S140 and the unauthorized policy information in the step S110 client terminal 100 In step S150, the NDIS-mediated driver 115 included in the kernel level 110 of -1 to 100-n is provided.

이후에, 클라이언트 단말(100-1 내지 100-n)의 NDIS 매개 드라이버(115)를 통해 상기 단계S150에서 전송된 비인가 정책정보에 따라 네트워크 디바이스(130)를 통해 송/수신되는 네트워크 패킷을 선택적으로 제어한다(S160).Thereafter, the network packet selectively transmitted / received through the network device 130 according to the unauthorized policy information transmitted in step S150 through the NDIS mediated driver 115 of the client terminals 100-1 to 100-n is selectively selected. Control (S160).

이때, 클라이언트 단말(100-1 내지 100-n)의 NDIS 매개 드라이버(115)에 적용되는 비인가 정책(Policy)은 정책 값에 따라 동작하며, 그 정책 값은 도 7에 도시된 바와 같이, 총 2개의 섹션으로 이루어진다.At this time, the unauthorized policy applied to the NDIS mediated driver 115 of the client terminals 100-1 to 100-n operates according to the policy value, and the policy values are 2 in total, as shown in FIG. 7. It consists of four sections.

즉, CERTIFICATION 섹션은 인증에 관한 섹션이고, CFG 섹션은 설정에 관한 섹션이다. 카운트(Count)는 인가된 무선 AP의 갯수를 의미하며, 그 갯수만큼 인가된 무선 AP를 인증할 수 있다. 인증 방식은 모드(mode) 키에 의해 정해지는데, MAC 기반 인증을 할 경우에는 CERTIFICATION 섹션의 mac%키의 값을 참고하여 인증이 이루어지며, SSID 기반 인증인 경우에는 ssid%키의 값을 참조하게 된다. logpath 키는 무선 AP의 접속 정보를 저장하는 경로를 의미하며, 저장된 로그는 보안서버(200)로 보낸다.That is, the CERTIFICATION section is about authentication, and the CFG section is about configuration. The count means the number of authorized wireless APs, and the number of authorized wireless APs can be authenticated. The authentication method is determined by the mode key.In case of MAC-based authentication, authentication is performed by referring to the mac% key value in the CERTIFICATION section.In case of SSID-based authentication, the ssid% key value is referred to. do. The logpath key means a path for storing access information of the wireless AP, and the stored log is sent to the security server 200.

또한, NDIS 매개 드라이버(115)의 패킷 제어 정책에 있어서, 비인가된 무선 AP를 제어하는 범위는 각 정책의 아이피(IP)와 포트(PORT)의 범위를 OR, AND 연산한 결과 값을 범위로 한다. 비인가된 무선 AP을 무조건 차단하는 경우 가용성이 낮아지기 때문에 조건적으로 일부는 허용을 하여 가용성을 높이고 보안성은 그대로 유지할 수 있도록 비인가 정책을 정한다.In addition, in the packet control policy of the NDIS mediated driver 115, the range for controlling the unauthorized wireless AP is a value obtained by ORing and ANDing the range of IP and port of each policy. . Since unavailability of unauthorized wireless APs is reduced, the availability is lowered. Therefore, some policies allow unauthorized access to increase availability and maintain security.

그리고, 패킷 제어 정책의 연산에 관한 예를 구체적으로 살펴보면, "|192.168.1.225-192.168.1.225|21-21|&|0.0.0.0-255.255.255.255|80-80|"의 경우, 비인가된 무선 AP를 내부망의 FTP서버(192.168.1.224, 21번 PORT)와 인터넷 사용(80번 PORT)을 할 수 있도록 하였다. 연산의 처음에는 허용할 IP 범위가 들어가며 두 번째에는 PORT 범위가 들어간다. 세 번째로는 다음 조건이 있는지 여부를 결정하고, 다음 결정이 있을 경우 AND 연산을 하여 제어 범위를 정한다. 첫 번째 IP 범위와 두 번째 PORT 범위는 OR 연산하여 제어 범위를 정한다.For example, in the case of "| 192.168.1.225-192.168.1.225 | 21-21 | & | 0.0.0.0-255.255.255.255 | 80-80 |", an example of operation of the packet control policy will be described in detail. The AP was able to use the FTP server (port 192.168.1.224, port 21) and the Internet (port 80) on the internal network. At the beginning of the operation is the IP range to allow, and the second is the PORT range. Thirdly, it determines whether there is the following condition, and if there is the next decision, it performs AND operation to determine the control range. The first IP range and the second PORT range are ORed together to determine the control range.

한편, 비인가된 외부 무선 AP를 이용하여 네트워크 통신을 할 경우 비인가 정책에 의해 제어하는 프로세스는, 도 8에 도시된 바와 같이, 패킷 전송 시 NDIS 매개 드라이버(115)에서 패킷을 감지하고 아이피(IP)와 포트(PORT) 정보를 스캔(scan)하여 정책에 위반되는 경우에는 차단을 하고 아닌 경우에는 허용을 하여 가용성을 높여준다.
Meanwhile, in the case of network communication using an unauthorized external wireless AP, the process of controlling by an unauthorized policy, as illustrated in FIG. 8, detects a packet in the NDIS mediated driver 115 and transmits an IP when the packet is transmitted. It scans and port information to block if it violates the policy and to allow it if it does not, to increase availability.

이하에는 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 구현하기 위한 실제 시험 예에 대하여 상세하게 설명하기로 한다.Hereinafter, an actual test example for implementing a client-based wireless network security method according to an embodiment of the present invention will be described in detail.

도 9는 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 구현하기 위한 실제 시험 환경을 나타낸 도표이다.9 is a diagram illustrating an actual test environment for implementing a client-based wireless network security method according to an embodiment of the present invention.

도 9를 참조하면, 시험 환경(Test Environment)은 무선 AP 기기 외에 와이브로(Wibro)와 테더링(Tethering) 기술을 이용하여 무선 AP 단말기로 전환되는 스마트폰(Smart Phone)을 제어 범위로 추가하였다.Referring to FIG. 9, in addition to the wireless AP device, the test environment added a smart phone that is converted into a wireless AP terminal using Wibro and tethering technology as a control range.

그리고, 서버(Server)측에서 기 인가된 무선 AP 목록을 구성하기 위한 일 예로서, 클라이언트(Client)에서 무선 AP 인증 요청된 목록 및 접속 로그를 보여주고, 요청된 무선 AP에 대해 인가를 해주기 위해 웹(JSP)을 구성하였다. 인가된 무선 AP는 파일 및 DB(MS-SQL 2008)에 저장하며, 저장된 정보는 클라이언트(Client)로 전송된다.In addition, as an example for configuring a wireless AP list authorized on the server side, a client may display a wireless AP authentication request list and an access log, and grant authorization to the requested wireless AP. Web (JSP) was constructed. The authorized wireless AP is stored in a file and a DB (MS-SQL 2008), and the stored information is transmitted to the client.

클라이언트(Client)에서는 무선 AP 인증 과정 구현을 하기 위해 C/C++언어를 사용하였고, 비인가 무선 AP를 제어하기 위해 ASEM/Kernel C 언어가 사용되었다.Client used C / C ++ language to implement wireless AP authentication process, and ASEM / Kernel C language was used to control unauthorized wireless AP.

접속 단말기는 각기 다른 두 개 무선 랜 카드와 무선 AP 단말기로 전환할 수 있는 스마트폰과 와이브로(Wibro) 단말기를 사용하였다.The access terminal uses a smartphone and a Wibro terminal that can be switched to two different WLAN cards and a wireless AP terminal.

도 10은 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 구현하기 위한 실제 시험 환경에서 비인가 정책의 설정을 설명하기 위한 도면이고, 도 11은 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 구현하기 위한 실제 시험 환경에서 무선 AP 등록 요청을 설명하기 위한 도면이며, 도 12는 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 구현하기 위한 실제 시험 환경에서 서버에서의 무선 AP 등록을 설명하기 위한 도면이다.FIG. 10 is a diagram illustrating setting of an unauthorized policy in an actual test environment for implementing a client-based wireless network security method according to an embodiment of the present invention, and FIG. 11 is a client-based method according to an embodiment of the present invention. FIG. 12 is a diagram illustrating a wireless AP registration request in an actual test environment for implementing a wireless network security method of FIG. 12 is a diagram illustrating a wireless AP registration request in an actual test environment for implementing a client-based wireless network security method according to an embodiment of the present invention. It is a figure for demonstrating wireless AP registration in a server.

도 11 내지 도 12를 참조하면, 먼저, 서버(Server)에 데이터베이스(DB) 및 웹 서버를 구축하고, 비인가 정책 즉, 비인가 무선 AP 제어 정책을 설정한다. 그리고, 용도, 설명, 아이피(IP) 범위, 포트(PORT) 범위, 사용 시간대, 사용 요일을 설정하면 정책이 반영된다.11 to 12, first, a database DB and a web server are constructed in a server, and an unauthorized policy, that is, an unauthorized wireless AP control policy is set. The policy is reflected when the usage, description, IP range, PORT range, time zone, and day of the week are set.

테스트 클라이언트 PC 주변에 무선 AP를 설정하되, 인가와 비인가로 나누어야 하기 때문에 2대 이상 설정한다. 정책 수립이 완료된 경우 클라이언트용 SW-Client를 설치한다. 무선랜 인증 등록 및 비인가 무선 AP에 대한 시나리오는 아래와 같다.Set up wireless APs around the test client PCs, but at least two because they must be split between authorized and unauthorized. If policy establishment is completed, install SW-Client for client. The scenario for WLAN authentication registration and unauthorized wireless AP is as follows.

먼저, 클라이언트에 무선 랜 카드 1개 이상 설치한 후, 도 11에 도시된 바와 같이, 인가 할 무선 AP를 서버(Server)에 요청한다. 그런 다음, 무선 AP 검색 버튼 클릭을 하게 되면 무선 랜 카드를 통해 접속 가능한 목록 및 시그널을 가져온다. 목록에 있는 무선 랜을 선택 후 등록 버튼을 클릭하면 서버로 요청된다.First, at least one wireless LAN card is installed in the client, and as shown in FIG. 11, the server requests a wireless AP to be authorized. Then, clicking the wireless AP search button brings up a list and signals that can be accessed through the WLAN card. If you select a wireless LAN from the list and click the register button, it is requested to the server.

이후에, 서버로 요청된 무선 AP는 도 12에 도시된 바와 같이, 서버(Server)의 웹페이지에서 확인 가능하다. 관리자가 부적절한 무선 AP라 판단한 경우 삭제 버튼을 클릭하여 인증 요청을 받아들이지 않으며, 인가 할 경우는 사용 부분에 체크하고 정책을 반영한다.Thereafter, the wireless AP requested to the server can be checked on the web page of the server (Server) as shown in FIG. If the administrator determines that it is an inappropriate wireless AP, it will not accept the authentication request by clicking the delete button, and if it is authorized, check the use part and reflect the policy.

다음으로, 클라이언트에서는 무선 AP에 접속을 시도하고 비인가된 무선 AP는 정책에 의해 제어된다. 차단된 무선 AP는 정상적인 무선 AP일 경우 인증 요청을 하여 사용하며, 제어 정책을 수정하여 다른 아이피(IP), 포트(PORT)로 사용하게 유도할 수 있다.Next, the client attempts to connect to the wireless AP and the unauthorized wireless AP is controlled by the policy. If the blocked wireless AP is a normal wireless AP, the authentication request is used. The blocked AP may be modified to control IP and be used as another IP or port.

도 13은 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 구현하기 위한 실제 시험 환경에 대한 결과에서 인가된 무선 AP에 접속한 로그를 나타낸 도면이며, 도 14는 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 구현하기 위한 실제 시험 환경에 대한 결과에서 비인가된 무선 AP에 접속한 로그를 나타낸 도면이다.FIG. 13 is a diagram illustrating a log access to an authorized wireless AP in a result of an actual test environment for implementing a client-based wireless network security method according to an embodiment of the present invention, and FIG. 14 is an embodiment of the present invention. In the result of the actual test environment for implementing the client-based wireless network security method according to the example, the log showing the access to the unauthorized wireless AP.

도 13 및 도 14를 참조하면, 인가된 무선 AP와 비인가된 무선 AP에 접속하여 제어가 되는지 확인하여 보았다. AW-Client 모듈이 동작이 되면서 운영체제의 버전 및 인가된 무선 AP의 목록을 가져온다. 무선 AP가 접속이 되었다면, 무선 네트워크카드를 수집한 후 연결된 무선 AP을 찾아 인증과정을 거치게 된다. 만약, 무선 AP가 접속된 경우, 인가된 목록과 비교하여 없는 경우에 비인가된 무선 AP로 판단하고 차단하며, 사용자에게 알림창으로 알려준다.Referring to FIGS. 13 and 14, it is checked whether the control is performed by accessing an authorized wireless AP and an unlicensed wireless AP. As the AW-Client module operates, it gets a list of operating system versions and authorized wireless APs. If the wireless AP is connected, it collects the wireless network card and finds the connected wireless AP and performs the authentication process. If the wireless AP is connected, the wireless AP is determined to be an unauthorized wireless AP when not compared with the authorized list, and blocked, and the user is notified by a notification window.

도 15 및 도 16은 본 발명의 일 실시예에 따른 클라이언트 기반의 무선 네트워크 보안 방법을 구현하기 위한 실제 시험 환경에 대한 성능 평가를 설명하기 위한 도표이다.15 and 16 are diagrams for explaining a performance evaluation of an actual test environment for implementing a client-based wireless network security method according to an embodiment of the present invention.

도 15 및 도 16을 참조하면, 알려진 무선 AP에 대해 제어방안은 서버에서는 주파수 방해 장비를 이용하여 해당 주파수 대역을 차단하는 방법과 NAC 레벨에서 보안서버를 두어 제어하는 방안이 있다. 클라이언트에서는 사용자 PC에 프로그램이 설치되어 무선 AP에 대해 제어하는 방안이다.Referring to FIG. 15 and FIG. 16, a control method for a known wireless AP includes a method of blocking a corresponding frequency band by using a frequency interference device in a server, and a method of controlling a security server at a NAC level. In the client, a program is installed in the user's PC to control the wireless AP.

종래의 서버에서 보안하는 방법과 본 발명의 제안모델을 이용하여 제어하는 방안을 도 15에서 비교하였다. 주파수 기반은 주파수 방해 전파 범위까지이고, NAC 기반은 내부망의 범위이기 때문에 범위를 벗어나기 위해 사용자가 노트북을 가지고 범위 밖으로 벗어나는 경우 제어를 할 수 없다. 하지만, 본 발명의 제안모델은 클라이언트에서 제어하기 때문에 외부로 나가게 되더라도 제어를 할 수 있다. 그렇게 때문에 외부로 나갔을 경우 주파수, NAC 기반은 외부망에 대한 보안이 취약하다.The method of controlling in the conventional server and the method of controlling using the proposed model of the present invention are compared in FIG. 15. Because the frequency base is up to the frequency jammer range, and the NAC base is the range of the internal network, it is impossible to control when the user goes out of range with a laptop to get out of range. However, since the proposed model of the present invention is controlled by the client, it can be controlled even if it goes out. Therefore, when it goes outside, the frequency and NAC base is vulnerable to external network security.

종래의 주파수와 NAC 기반은 범위를 한정하고 있기 때문에 확장성이 낮으며, 장비를 설치해야 해서 비용에 대한 부분이 발생하지만, 본 발명의 제안모델은 프로그램에서 제어하기 때문에 장비에 대한 비용이 없다.Conventional frequency and NAC base has a low scalability because of the limited range, and there is a part in cost because the equipment must be installed, but the proposed model of the present invention is no cost for the equipment because it is controlled by the program.

도 16에 도시된 바와 같이, 종래의 서버 기반에서 제어하는 방안은 외부에 있을 경우 취약성이 발생하기 때문에 클라이언트에서 제어하는 방안을 선택하였다. 종래의 클라이언트에서 제어하는 방안과 본 발명의 제안모델을 도 16에서 비교하였다. 즉, 종래의 클라이언트 기반과 본 발명의 제안모델 간에 기밀성은 높으나, 가용성, 확장성, 프로그램 보안성부분에서 많은 차이가 보였다.As shown in FIG. 16, the conventional server-based control method selects a method controlled by the client because a vulnerability occurs when it is outside. The scheme of controlling the conventional client and the proposed model of the present invention are compared in FIG. 16. That is, although the confidentiality is high between the conventional client base and the proposed model of the present invention, there are many differences in availability, scalability, and program security.

종래의 클라이언트 기반은 차단, 허용하여 제어하는 비인가 AP에 대한 보안 강도가 높으나, 패킷을 하나하나에 대해 제어하지 못한다. 하지만, 본 발명의 제안모델은 관리자의 설정에 따라 보안의 강도는 그대로 유지하면서 인터넷이나, FTP 등을 사용하고, 사용된 로그는 서버로 저장하여 모니터링을 할 수 있다.Conventional client bases have high security for unauthorized APs that block, allow, and control, but cannot control packets one by one. However, the proposed model of the present invention can use the Internet, FTP, etc. while maintaining the strength of security as set by the administrator, and the used log can be stored and monitored by the server.

확장성 또한 종래의 클라이언트 기반은 차단만 하기 때문에 그 이상의 확장을 할 수 없으나, 본 발명의 제안모델은 메일, 메신저, 웹 하드 등의 추가 기능 확장에 유연하도록 구성되어 있다.Extensibility In addition, since the conventional client base only blocks, further expansion is not possible, but the proposed model of the present invention is configured to be flexible to expand additional functions such as mail, messenger, and web hard.

그리고, 본 발명의 제안모델은 인증만을 유저 레벨(User Level)에서 하고, 제어를 커널 레벨(Kernel Level)에서 하기 때문에 악성코드, 디버그 툴(tool)에 의해 공격을 받지 않는다.In addition, the proposed model of the present invention is not attacked by a malicious code or a debug tool because only authentication is performed at the user level and control is performed at the kernel level.

또한, 본 발명의 제안모델은 종래의 주파수, NAC 기반보다는 장소에 대한 제약성이 없고, 확장성이 높으며, 자료가 외부망에서도 보안할 수 있고, 비용이 저렴한 부분을 알 수 있었다. 또한, 종래의 클라이언트 기반 모델보다는 가용성이 높고, 확장성이 높으며, 프로그램의 보안성이 높은 것을 알 수 있다.In addition, the proposed model of the present invention has no restriction on location, high scalability, and data can be secured in an external network and low cost than conventional frequency and NAC. In addition, it can be seen that availability, scalability, and program security are higher than those of the conventional client-based model.

전술한 바와 같이, 무선 AP의 인증에 있어 기존 방안들은 제한적인 범위에 대한 보안 취약점과 가용성이 낮은 단점들이 있다. 이에 본 발명에서는 서버기반 인증의 보안 취약점인 외부망 범위 외에도 인증할 수 있도록 클라이언트 기반의 제안모델을 제안하였다. 또한, 비인가 무선 AP에 대해 허용/차단 방식이 아닌 커널 레벨(Kernel Level)의 네트워크 드라이버 즉, NDIS 매개 드라이버(NDIS intermediate driver)를 설치하여 패킷을 제어하여 가용성을 높여주었다.As described above, existing methods for authentication of wireless APs have security weaknesses and limited availability for a limited range. Therefore, the present invention proposed a client-based proposal model to authenticate in addition to the external network range that is a security vulnerability of server-based authentication. In addition, the kernel level network driver (NDIS intermediate driver), which is not a permit / block method, is installed for an unauthorized wireless AP, thereby improving packet availability.

또한, 본 발명의 제안모델은 패킷제어 연산식에 따라 여러 가지의 비인가 정책을 가질 수 있으며, 사용자마다 별도의 정책이 관리될 수 있어 확장성이 높은 이점이 있다.
In addition, the proposed model of the present invention may have various unauthorized policies according to a packet control equation, and a separate policy may be managed for each user, thereby providing high scalability.

전술한 본 발명에 따른 클라이언트 기반의 무선 네트워크 보안 시스템 및 그 방법에 대한 바람직한 실시예에 대하여 설명하였지만, 본 발명은 이에 한정되는 것이 아니고 특허청구범위와 발명의 상세한 설명 및 첨부한 도면의 범위 안에서 여러 가지로 변형하여 실시하는 것이 가능하고 이 또한 본 발명에 속한다.
Although a preferred embodiment of the client-based wireless network security system and method thereof according to the present invention has been described above, the present invention is not limited thereto, but is not limited to the claims and the detailed description of the invention and the scope of the accompanying drawings. It is possible to carry out the transformation by the branch and this also belongs to this invention.

100-1 내지 100-n : 클라이언트 단말,
200 : 보안서버
100-1 to 100-n: a client terminal,
200: security server

Claims (13)

통신망을 통해 연결된 클라이언트 단말의 요청에 따라 기 인가된 무선 AP(Access Point) 목록 및 비인가 정책정보를 전송하는 보안서버; 및
커널 영역에 구비되어 비인가 정책정보에 따라 네트워크 디바이스를 통해 송/수신되는 네트워크 패킷을 선택적으로 제어하는 NDIS 매개 드라이버(NDIS intermediate driver)를 구비하고, 상기 보안서버로부터 기 인가된 무선 AP 목록 및 비인가 정책정보를 제공받아 외부의 통신망을 통해 접속 요청된 외부 무선 AP에 대해 인가/비인가 여부를 판단하여 외부 무선 AP가 비인가 무선 AP일 경우, 상기 접속 요청된 무선 AP에 연결된 네트워크 카드정보를 획득한 후, 상기 획득된 네트워크 카드정보의 MAC(Media Access Control) 주소와 함께 상기 비인가 정책정보를 상기 NDIS 매개 드라이버로 전송하는 적어도 하나의 클라이언트 단말을 포함하는 클라이언트 기반의 무선 네트워크 보안 시스템.
A security server transmitting a wireless AP list and unauthorized policy information according to a request of a client terminal connected through a communication network; And
NDIS intermediate driver (NDIS intermediate driver) provided in the kernel area to selectively control the network packet transmitted and received through the network device according to the unauthorized policy information, and the wireless AP list and unauthorized policy authorized from the security server If the external wireless AP is an unauthorized wireless AP by determining whether the external wireless AP requested to be connected through an external communication network is received or not, and obtaining the network card information connected to the requested wireless AP, And at least one client terminal for transmitting the unauthorized policy information to the NDIS-mediated driver together with the media access control (MAC) address of the acquired network card information.
제1 항에 있어서,
상기 보안서버는, 기 인가된 무선 AP 목록 및 비인가 정책정보를 별도의 데이터베이스(DB)에 저장하는 것을 특징으로 하는 클라이언트 기반의 무선 네트워크 보안 시스템.
The method according to claim 1,
The security server, the client-based wireless network security system, characterized in that for storing a list of authorized wireless AP and unauthorized policy information in a separate database (DB).
제1 항에 있어서,
상기 보안서버는, 별도의 웹 서버를 통해 상기 기 인가된 무선 AP 목록 및 비인가 정책정보를 등록, 수정 및 설정할 수 있도록 외부의 단말에 웹서비스를 제공하는 것을 특징으로 하는 클라이언트 기반의 무선 네트워크 보안 시스템.
The method according to claim 1,
The security server is a client-based wireless network security system, characterized in that to provide a web service to the external terminal to register, modify and set the authorized wireless AP list and unauthorized policy information through a separate web server .
제1 항에 있어서,
상기 보안서버는, 클라이언트 단말별로 접속 요청된 외부 무선 AP 접속 목록 및 접속 로그 정보를 데이터베이스(DB)화하여 저장 및 관리하는 것을 특징으로 하는 클라이언트 기반의 무선 네트워크 보안 시스템.
The method according to claim 1,
The security server is a client-based wireless network security system, characterized in that for storing and managing the database (DB) of the external wireless AP access list and access log information requested for each client terminal.
제1 항에 있어서,
상기 보안서버에 등록된 무선 AP 목록은 기 인가된 각 무선 AP의 MAC 주소 리스트와 SSID(Service Set IDentifier) 정보로 이루어진 것을 특징으로 하는 클라이언트 기반의 무선 네트워크 보안 시스템.
The method according to claim 1,
The wireless AP list registered in the security server is a client-based wireless network security system, characterized in that consisting of the MAC address list and SSID (Service Set IDentifier) information of each authorized wireless AP.
제1 항에 있어서,
상기 클라이언트 단말은, 상기 보안서버로 무선 AP 목록 요청메시지를 주기적으로 전송하고, 상기 보안서버로부터 기 인가된 무선 AP 목록 및 비인가 정책정보를 주기적으로 제공받아 별도의 메모리에 저장하는 것을 특징으로 하는 클라이언트 기반의 무선 네트워크 보안 시스템.
The method according to claim 1,
The client terminal periodically transmits a wireless AP list request message to the security server, and periodically receives a wireless AP list and unauthorized policy information from the security server and stores the received wireless AP list in a separate memory. Based wireless network security system.
제1 항에 있어서,
상기 비인가 정책정보는, 웹페이지 접속(PORT)만을 허용하는 제1 비인가 정책, 기 설정된 IP 대역폭만을 허용하는 제2 비인가 정책, 상기 제1 및 제2 비인가 정책을 모두 허용하는 제3 비인가 정책 중 적어도 어느 하나의 비인가 정책으로 이루어진 것을 특징으로 하는 클라이언트 기반의 무선 네트워크 보안 시스템.
The method according to claim 1,
The unauthorized policy information may include at least one of a first unauthorized policy allowing only a web page access (PORT), a second unauthorized policy allowing only a predetermined IP bandwidth, and a third unauthorized policy allowing both the first and second unauthorized policies. Client-based wireless network security system, characterized in that any one of the unauthorized policy.
적어도 하나의 클라이언트 단말과 통신망을 통해 서로 연결된 보안서버로 이루어진 시스템을 이용하여 무선 네트워크를 보안하기 위한 방법으로서,
(a) 상기 클라이언트 단말을 통해 상기 보안서버로 무선 AP(Access Point) 목록 요청메시지를 주기적으로 전송한 후, 상기 보안서버로부터 기 인가된 무선 AP 목록 및 비인가 정책정보를 주기적으로 제공받아 별도의 메모리에 저장하는 단계;
(b) 상기 클라이언트 단말을 통해 외부 무선 AP의 접속을 주기적으로 감시하여 외부 무선 AP의 접속 요청이 감지되면, 연결된 외부 무선 AP의 MAC(Media Access Control) 주소를 획득하는 단계;
(c) 상기 단계(a)에서의 기 인가된 무선 AP 목록과 상기 단계(b)에서 획득된 외부 무선 AP의 MAC 주소를 비교하여 상기 접속 요청된 외부 무선 AP에 대해 인가/비인가 여부를 판단하는 단계;
(d) 상기 단계(c)의 판단 결과, 상기 접속 요청된 외부 무선 AP가 비인가 무선 AP일 경우, 상기 접속 요청된 무선 AP에 연결된 네트워크 카드정보를 획득하는 단계;
(e) 상기 클라이언트 단말을 통해 상기 단계(d)에서 획득된 네트워크 카드정보의 MAC 주소와 함께 상기 단계(a)에서의 비인가 정책정보를 상기 클라이언트 단말의 커널 영역에 구비된 NDIS 매개 드라이버(NDIS intermediate driver)로 전송하는 단계; 및
(f) 상기 클라이언트 단말의 NDIS 매개 드라이버를 통해 상기 단계(e)에서 전송된 비인가 정책정보에 따라 네트워크 디바이스를 통해 송/수신되는 네트워크 패킷을 선택적으로 제어하는 단계를 포함하는 클라이언트 기반의 무선 네트워크 보안 방법.
A method for securing a wireless network using a system consisting of at least one client terminal and a security server connected to each other through a communication network,
(a) periodically transmitting a wireless access point list request message to the security server through the client terminal, and periodically receiving a list of authorized wireless APs and unauthorized policy information from the security server, and using a separate memory Storing in;
(b) periodically monitoring the connection of the external wireless AP through the client terminal to obtain a MAC (Media Access Control) address of the connected external wireless AP when a connection request of the external wireless AP is detected;
(c) comparing the list of pre-authorized wireless APs in step (a) with the MAC addresses of the external wireless APs obtained in step (b) to determine whether to permit / disable the requested external wireless AP; step;
(d) acquiring network card information connected to the requested wireless AP when the requested external wireless AP is an unauthorized wireless AP as a result of the step (c);
(e) NDIS intermediate driver (NDIS intermediate) provided in the kernel area of the client terminal with the unauthorized policy information in the step (a) together with the MAC address of the network card information obtained in the step (d) through the client terminal; driver); And
(f) selectively controlling a network packet transmitted / received through a network device according to the unauthorized policy information transmitted in step (e) through an NDIS mediated driver of the client terminal. Way.
제8 항에 있어서,
상기 단계(a) 이전에, 상기 보안서버를 통해 기 인가된 무선 AP 목록 및 비인가 정책정보를 별도의 데이터베이스(DB)에 저장하는 단계를 더 포함하는 것을 특징으로 하는 클라이언트 기반의 무선 네트워크 보안 방법.
The method of claim 8,
Before the step (a), further comprising the step of storing the wireless AP list and unauthorized policy information authorized through the security server in a separate database (DB).
제9 항에 있어서,
별도의 웹 서버를 통해 상기 데이터베이스(DB)에 저장된 기 인가된 무선 AP 목록 및 비인가 정책정보를 등록, 수정 및 설정할 수 있도록 외부의 단말에 웹서비스를 제공하는 단계를 더 포함하는 것을 특징으로 하는 클라이언트 기반의 무선 네트워크 보안 방법.
10. The method of claim 9,
And providing a web service to an external terminal to register, modify, and set an authorized wireless AP list and unauthorized policy information stored in the database through a separate web server. Based wireless network security method.
제8 항에 있어서,
상기 단계(b) 이후에, 상기 보안서버를 통해 클라이언트 단말별로 접속 요청된 외부 무선 AP 접속 목록 및 접속 로그 정보를 데이터베이스(DB)화하여 저장 및 관리하는 단계를 더 포함하는 것을 특징으로 하는 클라이언트 기반의 무선 네트워크 보안 방법.
The method of claim 8,
After the step (b), further comprising the step of storing and managing the database (DB) of the external wireless AP access list and access log information requested for each client terminal through the security server (DB) Wireless network security method.
제8 항에 있어서,
상기 단계(a)에서, 상기 보안서버에 등록된 무선 AP 목록은 기 인가된 각 무선 AP의 MAC 주소 리스트와 SSID(Service Set IDentifier) 정보로 이루어진 것을 특징으로 하는 클라이언트 기반의 무선 네트워크 보안 방법.
The method of claim 8,
In the step (a), the wireless AP list registered in the security server is a client-based wireless network security method, characterized in that consisting of the MAC address list and each SSID (Service Set IDentifier) information of each wireless AP.
제8 항에 있어서,
상기 단계(a)에서, 상기 보안서버에 등록된 비인가 정책정보는, 웹페이지 접속(PORT)만을 허용하는 제1 비인가 정책, 기 설정된 IP 대역폭만을 허용하는 제2 비인가 정책, 상기 제1 및 제2 비인가 정책을 모두 허용하는 제3 비인가 정책 중 적어도 어느 하나의 비인가 정책으로 이루어진 것을 특징으로 하는 클라이언트 기반의 무선 네트워크 보안 방법.
The method of claim 8,
In the step (a), the unauthorized policy information registered in the security server may include: a first unauthorized policy allowing only a web page access (PORT), a second unauthorized policy allowing only a predetermined IP bandwidth, and the first and second A client-based wireless network security method comprising at least one unauthorized policy of a third unauthorized policy allowing all unauthorized policies.
KR1020110076093A 2011-07-29 2011-07-29 Wireless network security system of client foundation and method thereof KR101198329B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110076093A KR101198329B1 (en) 2011-07-29 2011-07-29 Wireless network security system of client foundation and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110076093A KR101198329B1 (en) 2011-07-29 2011-07-29 Wireless network security system of client foundation and method thereof

Publications (1)

Publication Number Publication Date
KR101198329B1 true KR101198329B1 (en) 2012-11-08

Family

ID=47564086

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110076093A KR101198329B1 (en) 2011-07-29 2011-07-29 Wireless network security system of client foundation and method thereof

Country Status (1)

Country Link
KR (1) KR101198329B1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101343872B1 (en) * 2013-03-26 2013-12-20 (주)넷맨 Method of control and the detection for unauthorized wireless ap(access point) connected
KR101410274B1 (en) * 2013-06-11 2014-06-20 국방과학연구소 Method and Apparatus for detecting large-cell unlicensed radio equipment
WO2015148340A1 (en) * 2014-03-25 2015-10-01 Sylvester Richard S Local advertisement via mobile device
WO2016047843A1 (en) * 2014-09-24 2016-03-31 주식회사 코닉글로리 Wireless security apparatus and method
KR101625437B1 (en) * 2015-12-07 2016-05-30 국방과학연구소 Method and System for analyzing wireless device using unlicensed wireless signal detection standard
KR20180088499A (en) * 2014-08-08 2018-08-03 알리바바 그룹 홀딩 리미티드 Information pushing method, server, sharer client and third-party client
KR20190044435A (en) * 2017-10-20 2019-04-30 주식회사 인텐트시큐어 System and method for detecting abnormal permission security

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007006320A (en) 2005-06-27 2007-01-11 Nakayo Telecommun Inc Radio lan system and communication method
JP2008526069A (en) 2004-12-22 2008-07-17 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Distributed picocell mobility

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008526069A (en) 2004-12-22 2008-07-17 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Distributed picocell mobility
JP2007006320A (en) 2005-06-27 2007-01-11 Nakayo Telecommun Inc Radio lan system and communication method

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101343872B1 (en) * 2013-03-26 2013-12-20 (주)넷맨 Method of control and the detection for unauthorized wireless ap(access point) connected
KR101410274B1 (en) * 2013-06-11 2014-06-20 국방과학연구소 Method and Apparatus for detecting large-cell unlicensed radio equipment
WO2015148340A1 (en) * 2014-03-25 2015-10-01 Sylvester Richard S Local advertisement via mobile device
KR20180088499A (en) * 2014-08-08 2018-08-03 알리바바 그룹 홀딩 리미티드 Information pushing method, server, sharer client and third-party client
KR102051244B1 (en) * 2014-08-08 2019-12-02 알리바바 그룹 홀딩 리미티드 Information pushing method, server, sharer client and third-party client
US11063934B2 (en) 2014-08-08 2021-07-13 Advanced New Technologies Co., Ltd. Information pushing method, server, sharer client and third-party client
WO2016047843A1 (en) * 2014-09-24 2016-03-31 주식회사 코닉글로리 Wireless security apparatus and method
KR101625437B1 (en) * 2015-12-07 2016-05-30 국방과학연구소 Method and System for analyzing wireless device using unlicensed wireless signal detection standard
KR20190044435A (en) * 2017-10-20 2019-04-30 주식회사 인텐트시큐어 System and method for detecting abnormal permission security
KR102039502B1 (en) * 2017-10-20 2019-11-04 주식회사 인텐트 시큐어 System and method for detecting abnormal permission security

Similar Documents

Publication Publication Date Title
Karygiannis et al. Wireless Network Security:.
KR101198329B1 (en) Wireless network security system of client foundation and method thereof
Welch et al. Wireless security threat taxonomy
KR20070015389A (en) Secure authentication and network management system for wireless lan applications
Jang et al. Catch me if you can: Rogue access point detection using intentional channel interference
Dorobantu et al. Security threats in IoT
Sobh Wi-Fi networks security and accessing control
Jain et al. ETGuard: Detecting D2D attacks using wireless evil twins
Scarfone et al. Guide to securing legacy IEEE 802.11 wireless networks
Budhrani et al. Wireless Local Area Networks: Threats and Their Discovery Using WLANs Scanning Tools
Gonçalves A flexible framework for rogue access point detection
Sheikh Hacking Wireless Networks
Hasan et al. Protecting Regular and Social Network Users in a Wireless Network by Detecting Rogue Access Point: Limitations and Countermeasures
Ozhelvaci et al. Security for Handover and D2D Communication in 5G HetNets
Vilius et al. A Critical Analysis of the Efficiencies of Emerging Wireless Security Standards Against Network Attacks
Bhagat A Secure Wi-Fi Mesh Network for Smart Homes
Emeto et al. Security Vulnerabilities of Wlan Protocols: A Review
Alabady et al. ENHANCING WIRELESS NETWORK SECURITY VIA ETHICAL HACKING: STRATEGIES AND BEST PRACTICES.
Chakraborty et al. An Extensive Review of Wireless Local Area Network Security Standards
Du et al. Risks and Risk Control of Wi-Fi Network Systems
Liang et al. The practical risk assessment for enterprise Wireless Local Area Network
Dhingra et al. Legislation Vulnerabilities, Threats and Counter Measures in Wireless Network Security
Curran et al. Exposing the wired equivalent privacy protocol weaknesses in wireless networks
Kumar et al. Contemporary Exploration of Wireless Network Security issues & Design Challenges for an Enterprise Network
Samani When networks collide

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160801

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190801

Year of fee payment: 8