KR101953562B1 - Appratus of mobile device classification for preventing wireless intrusion - Google Patents
Appratus of mobile device classification for preventing wireless intrusion Download PDFInfo
- Publication number
- KR101953562B1 KR101953562B1 KR1020120139805A KR20120139805A KR101953562B1 KR 101953562 B1 KR101953562 B1 KR 101953562B1 KR 1020120139805 A KR1020120139805 A KR 1020120139805A KR 20120139805 A KR20120139805 A KR 20120139805A KR 101953562 B1 KR101953562 B1 KR 101953562B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- wireless
- classification
- wireless device
- access point
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
- H04W8/24—Transfer of terminal data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
본 발명은 무선 침해 방지를 위한 무선 디바이스 분류 장치에 관한 것이다. 개시된 무선 디바이스 분류 장치는 무선 단말 관리 서버와 인증 서버로부터 무선 디바이스에 대한 관련 정보를 수집하는 정보 수집부와, 수집한 무선 디바이스에 대한 관련 정보가 저장되는 정보 저장부와, 분류 저장부에 저장된 분류 정책에 의거하여 무선 디바이스에 대한 관련 정보를 분석하며, 분석 결과에 따라 무선 디바이스를 분류하는 정보 분석부를 포함한다. 따라서, 무선 디바이스의 분류를 상세화하여 보다 효율적인 무선 침해 방지 서비스가 가능한 이점이 있다.The present invention relates to a wireless device classification apparatus for prevention of wireless infringement. The wireless device classifying apparatus includes an information collecting unit that collects information related to a wireless device from a wireless terminal management server and an authentication server, an information storing unit that stores related information about the wireless device, Analyzing relevant information for the wireless device based on the policy, and classifying the wireless device according to the analysis result. Accordingly, there is an advantage in that the classification of the wireless device can be detailed to enable more efficient wireless infringement prevention service.
Description
본 발명은 무선 침해 방지에 관한 것으로, 더욱 상세하게는 무선 침해 방지를 위한 무선 디바이스 분류 장치에 관한 것이다.
BACKGROUND OF THE
주지하는 바와 같이, 무선 침해 방지 기술은 무선랜 환경에서 관리도메인 내의 인가되지 않은 액세스포인트(Access Point)를 탐지하여 이에 대한 접속을 제어하며, DoS(Denial of Service) 등의 무선 구간에서의 보안 위협을 탐지 및 차단하는 것이다.As will be known, a wireless intrusion prevention technology detects an unauthorized access point in a management domain in a wireless LAN environment and controls access to the access point, and a security threat in a wireless section such as a denial of service (DoS) As shown in FIG.
이러한 무선 침해 방지 기술은 액세스포인트와 무선 디바이스의 분류에 따라 접속 정책을 보유하여 시행하는 구조를 갖는다.Such a wireless intrusion prevention technique has a structure in which an access policy is held and enforced according to the classification of an access point and a wireless device.
종래 기술에 따르면 무선 디바이스의 경우에는 인증(authorized), 비인증(unauthorized), 이웃(neighbor)으로 분류가 되어 있고, 이 분류에 따라 액세스포인트를 통한 무선망 접속을 제어하고 있다.According to the related art, a wireless device is classified as authorized, unauthorized, and neighbor, and controls access to a wireless network through an access point according to the classification.
그러나, 이러한 종래 기술에 의하면 무선 디바이스의 분류가 세부적이지 않아서 액세스포인트 접속 제어를 효과적으로 수행할 수 없는 문제점이 있었다.
However, according to the related art, there is a problem in that the classification of the wireless device is not detailed and the access point connection control can not be performed effectively.
본 발명의 실시예는 디바이스 관련 정보를 수집하여 이에 근거하여 무선 디바이스를 세부적으로 분류하는 무선 침해 방지를 위한 무선 디바이스 분류 장치를 제공한다.
An embodiment of the present invention provides a wireless device classification apparatus for wireless infringement prevention that collects device-related information and classifies wireless devices in detail based on the information.
본 발명의 일 관점에 따른 무선 침해 방지를 위한 무선 디바이스 분류 장치는, 무선 단말 관리 서버와 인증 서버로부터 무선 디바이스에 대한 관련 정보를 수집하는 정보 수집부와, 상기 정보 수집부가 수집한 상기 무선 디바이스에 대한 관련 정보가 저장되는 정보 저장부와, 상기 분류 저장부에 저장된 분류 정책에 의거하여 상기 무선 디바이스에 대한 관련 정보를 분석하며, 분석 결과에 따라 상기 무선 디바이스를 분류하는 정보 분석부를 포함할 수 있다.
According to an aspect of the present invention, there is provided an apparatus for classifying a wireless device for prevention of wireless infringement, comprising: an information collecting unit for collecting information related to a wireless device from a wireless terminal management server and an authentication server; And an information analyzer for analyzing the information related to the wireless device based on the classification policy stored in the classification storage unit and classifying the wireless device according to the analysis result .
본 발명의 실시 예에 의하면, 무선 디바이스의 분류를 상세화하여 보다 효율적인 무선 침해 방지 서비스가 가능하다. 특히, 무선 침해 방지 시스템이 단독으로 분류할 수 있는 디바이스 정보는 제한되어 있으나 본 발명에서는 인증 서버와 무선 단말 관리 서버로부터 디바이스 정보를 실시간으로 제공받아 이를 디바이스의 분류에 활용하므로, 무선 디바이스를 세부적으로 분류할 수 있다. 이를 통해 잠재적인 위험 가능성이 있는 단말의 관리도메인 무선망 접속을 제어하므로 보다 안전한 무선네트워크 서비스가 가능해 진다.
According to the embodiment of the present invention, more efficient wireless infringement prevention service is possible by classifying wireless devices. In particular, although the device information that can be classified by the wireless intrusion prevention system is limited, in the present invention, since the device information is received from the authentication server and the wireless terminal management server in real time and used for classification of devices, Can be classified. This enables more secure wireless network services because it controls access to the management domain wireless network of potentially dangerous terminals.
도 1은 본 발명의 실시예에 따른 무선 디바이스 분류 장치를 적용할 수 있는 무선망 접속 시스템의 일예를 보인 구성도이다.
도 2는 본 발명의 실시예에 따른 무선 디바이스 분류 장치의 블록 구성도이다.
도 3은 본 발명의 실시예에 따른 무선 디바이스 분류 장치에 의한 무선 디바이스 분류 방법을 설명하기 위한 흐름도이다.
도 4는 본 발명의 실시예에 따른 무선 디바이스 분류 장치에 의한 위험도 분류 과정을 설명하기 위한 예시도이다.
도 5는 본 발명의 실시예에 따라 무선 디바이스의 분류에 따라 위험도 레벨 정책을 설정하기 위한 그래픽 유저 인터페이스의 예시도이다.
도 6은 본 발명의 실시예에 따른 디바이스 위험도 레벨에 따른 액세스 포인트 접속 제어 설정 과정을 설명하기 위한 예시도이다.1 is a block diagram illustrating an example of a wireless network access system to which a wireless device classification apparatus according to an embodiment of the present invention can be applied.
2 is a block diagram of a wireless device classification apparatus according to an embodiment of the present invention.
3 is a flowchart illustrating a method of classifying wireless devices by a wireless device classifier according to an embodiment of the present invention.
4 is an exemplary diagram illustrating a risk classification process performed by a wireless device classification apparatus according to an embodiment of the present invention.
5 is an illustration of a graphical user interface for setting a risk level policy according to a classification of a wireless device in accordance with an embodiment of the present invention.
6 is a diagram illustrating an access point access control setting process according to a device risk level according to an embodiment of the present invention.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention and the manner of achieving them will become apparent with reference to the embodiments described in detail below with reference to the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the concept of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims.
본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The following terms are defined in consideration of the functions in the embodiments of the present invention, which may vary depending on the intention of the user, the intention or the custom of the operator. Therefore, the definition should be based on the contents throughout this specification.
도 1은 본 발명의 실시예에 따른 무선 디바이스 분류 장치를 적용할 수 있는 무선망 접속 시스템의 일예를 보인 구성도이다.1 is a block diagram illustrating an example of a wireless network access system to which a wireless device classification apparatus according to an embodiment of the present invention can be applied.
이에 나타낸 바와 같이 무선망 접속 시스템은, 무선 단말 관리 서버(110), 인증 서버(120), 무선 침해 방지 시스템(130)을 포함하며, 무선 침해 방지 시스템(130)은 무선 침해 방지 센서(131), 무선 침해 방지 서버(132)를 포함한다.As shown, the wireless network access system includes a wireless
무선 단말 관리 서버(110)는 전원이 켜진 상태로 있는 무선 단말에 대해 휴대단말무선전송기술, 예컨대, OTA(Over The Air)을 이용하여 언제 어디서나 원격에서 관리한다. 이러한 무선 단말 관리 서버(110)는 무선 단말 펌웨어 자동 업데이트 등을 포함하는 디바이스 관리, 사용등록 및 추적관리, 무선 단말에 대한 등록/승인/회수 기능, 분실/도난시 단말의 잠금(lock)/데이터의 삭제 등을 통한 사용중지 기능, 무선 단말 관리 서버(110)를 통한 소프트웨어 배포, 단말 원격진단 및 AS(After Service) 등을 수행할 수 있다. 이러한 무선 단말 관리 서버(110)에 의해 관리되는 단말에는 MDM 에이전트가 탑재되며, MDM 에이전트와 무선 단말 관리 서버(110)가 통신을 하면서 무선 단말을 관리한다.The wireless
인증 서버(120)는 사용자 및 디바이스 인증을 수행한다. 아이디(ID), 패스워드 기반의 인증, 디바이스 인증서를 통한 인증, 생체정보를 이용한 인증 등 다양한 방식을 이용할 수 있다.The
무선 침해 방지 시스템(130)은 무선랜 환경에서 관리도메인 내의 인가되지 않은 액세스포인트(access point)(11)를 탐지하여 이에 대한 접속을 제어하며, DoS(Denial of Service) 등의 무선 구간에서의 보안 위협을 탐지 및 차단한다. 이러한 무선 침해 방지 시스템(130)을 구성하는 무선 침해 방지 센서(131)는 무선랜 관리 영역(10)을 대상으로 하여 RF 신호를 수집하여 무선 침해 방지 서버(132)로 전달하고, 무선 침해 방지 서버(132)의 지시에 따라 침입을 차단하기 위해 무선 디바이스(12)에 대한 역공격을 수행한다. 무선 침해 방지 서버(132)는 무선랜 인프라의 보안을 종합적으로 관리한다.
The wireless
도 2는 본 발명의 실시예에 따른 무선 디바이스 분류 장치의 블록 구성도이다.2 is a block diagram of a wireless device classification apparatus according to an embodiment of the present invention.
이에 나타낸 바와 같이 무선 디바이스 분류 장치(200)는, 정보 수집부(210), 정보 저장부(220), 분류 저장부(230), 정보 분석부(240)를 포함한다.The wireless
이러한 무선 디바이스 분류 장치(200)는 무선 침해 방지 서버(도 1의 도면부호 132)에 탑재되거나 외부에 별도로 설치되어 연동될 수도 있다.The wireless
정보 수집부(210)는 무선 단말 관리 서버(110)와 인증 서버(120)와의 인터페이스를 가지며, 이 인터페이스를 통해 무선 디바이스(12)에 대한 관련한 상세 정보를 수집한다.The
무선 단말 관리 서버(110)로부터 제공되어 정보 수집부(210)에 의해 수집되는 무선 디바이스 관련 정보로는 MDM 서버 관리 단말(MDM 인증을 받아 MDM 에이전트가 탑재된 단말) 정보, 해킹 또는 루팅된 단말 정보, 분실 단말 정보, MDM 에이전트를 강제로 삭제한 단말 정보, 무선랜 서비스를 받으면서 동시에 AP 역할도 하는 단말(테더링, wi-fi hotspot 등) 정보가 있다.The wireless device related information provided from the wireless
인증 서버(120)로부터 제공되어 정보 수집부(210)에 의해 수집되는 무선 디바이스 관련 정보로는 인증 성공 또는 실패 이벤트를 포함하는 인증 정보가 있다.The wireless device related information collected from the
정보 저장부(220)에는 정보 수집부(210)가 무선 단말 관리 서버(110)와 인증 서버(120)로부터 수집한 무선 디바이스 관련 정보가 저장된다.The
분류 저장부(230)에는 무선 디바이스에 대한 분류 정보, 액세스포인트에 대한 분류 정보, 분류 정책, 분류에 따른 접속 정책이 저장된다.The
정보 분석부(240)는 분류 저장부(230)에 저장된 분류 정책에 의거하여 정보 저장부(220)에 저장된 무선 디바이스 관련 정보를 분석하며, 분석 결과에 따라 무선 디바이스를 분류하여 분류 정보를 분류 저장부(230)에 저장한다. 예컨대, 분류 저장부(230)의 디바이스 분류 테이블에 각 무선 디바이스에 대한 분류 정보를 추가 또는 업데이트 할 수 있다.The
본 발명의 실시예에 따라 정보 분석부(240)는 무선 디바이스를 총 9종으로 분류할 수 있다. 그 종류와 분류 기준을 살펴보면 다음과 같다.According to an embodiment of the present invention, the
제 1 종 : 제 1 형 인증 디바이스Type 1:
- 인증 서버(120)를 통해 인증 받은 인가된 디바이스An authorized device authenticated through the
제 2 종 : 제 2 형 인증 디바이스Type 2:
- 시스템 자체적으로 수동(manual)으로 설정한 인가된 디바이스- an authorized device that is set manually by the system itself
제 3 종 : 제 3 형 인증 디바이스Class 3:
- 무선 단말 관리 서버(110)에서 인증을 받아 MDM 에이전트가 탑재된 디바이스- a device that is authenticated by the wireless terminal management server (110) and which is equipped with an MDM agent
제 4 종 : 게스트(guest) 디바이스Class 4: Guest device
- 시스템에서 자체 설정함- Set by the system itself
제 5 종 : 리스키(risky) 디바이스Class 5: Risky Devices
해킹 또는 루팅하거나 MDM 에이전트를 강제 삭제한 디바이스 또는 분실 디바이스, 이 정보는 무선 단말 관리 서버(110)에 의해 제공A device or a lost device that hacked or routed or forcibly deleted the MDM agent, and this information is provided by the wireless
제 6 종 : 테더링(tethering) 디바이스Class 6: tethering devices
- 액세스 포인트의 역할도 하고 있는 디바이스(테더링, wifi hotspot 등 서비스를 제공하고 있는 디바이스)- Devices that are also serving as access points (devices providing services such as tethering, wifi hotspot, etc.)
제 7 종 : 외부(external) 디바이스Class 7: External devices
- 관리 도메인 외부에 존재하는 디바이스- Devices that exist outside the management domain
제 8 종 : 블랙리스트(black-list) 디바이스Category 8: black-list devices
- 블랙리스트에 존재하는 디바이스(시스템 자체의 블랙 리스트에 존재)- Blacklisted devices (in the system's own blacklist)
제 9 종 : 미분류(uncategorized) 디바이스Class 9: Uncategorized devices
이렇게 총 9종으로 분류하는 것은 정보 분석부(240)가 분류 저장부(230)에 기 저장된 분류 정책에 따라 수행하는 것이기 때문에 분류 저장부(230)에 저장되는 분류 정책이 변경되면 정보 분석부(240)에 의한 분류 결과도 변경된다.Since the
또한, 하나의 종으로만 분류되지 않고 여러 개의 종으로 중복 분류될 수 있다. 예컨대, 제 1 형 인증 디바이스 및 리스키 디바이스로 분류되거나 제 2 형 인증 디바이스, 제 3 형 인증 디바이스 및 테더링 디바이스로 분류될 수 있다.Also, it can be classified as multiple species instead of only one species. For example, it can be classified as a
아울러, 정보 분석부(240)는 액세스 포인트를 총 5종으로 분류할 수 있다. 그 종류와 분류 기준을 살펴보면 다음과 같다.In addition, the
제 1 종 : 인증 액세스 포인트Class 1: Authorized Access Point
- 인가된 액세스 포인트- authorized access point
제 2 종 : 로그(rogue) 액세스 포인트Class 2: rogue access point
- 관리 도메인 내에 존재하는 인가되지 않은 액세스 포인트(유선망에 연결된 액세스 포인트)- Unauthorized access points (access points connected to the wired network)
제 3 종 : 테더링/소프트(tethering/soft) 액세스 포인트Class 3: tethering / soft access point
- 관리 공간 내에 설치된 테더링 액세스 포인트와 소프트 액세스 포인트- Tethering access points and soft access points
제 4 종 : 외부 액세스 포인트Class 4: External access point
- 관리 도메인 및 공간 외에 설치된 액세스 포인트- Access points installed outside the admin domain and space
제 5 종 : 미분류 액세스 포인트
Class 5: Unclassified Access Point
도 3은 본 발명의 실시예에 따른 무선 디바이스 분류 장치에 의한 무선 디바이스 분류 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a method of classifying wireless devices by a wireless device classifier according to an embodiment of the present invention.
도 3에서, '+=' 은 상태를 추가한다는 의미이며, '-=' 은 상태를 삭제한다는 의미이다. '+=' (상태추가) 대신에 '=' (상태변경)을 사용하는 것도 가능하며, '-=' (상태삭제) 대신에 '=='(이전 상태로 복귀)을 사용하는 것도 가능하다. 분류 저장부(230)의 분류 정책 설정을 통해 설정 변경이 가능하다.In FIG. 3, '+ =' means to add a state, and '- =' means to delete the state. It is also possible to use '=' (state change) instead of '+ =' (add state), or '==' (return to previous state) instead of '- =' . The setting change can be made through the classification policy setting of the
본 발명의 실시예에 따른 무선 디바이스 분류 장치(200)에 의한 디바이스 분류 처리는 도메인 또는 물리적인 위치 범위별로 처리할 수 있다. 예를 들어 1동 건물마다 또는 동일 건물의 층마다 액세스 포인트 및 디바이스 분류 정책이 다를 수 있다.The device classifying process by the wireless
무선 침해 방지 센서(131)가 새로운 디바이스 A를 발견(S301)하면 이를 무선 침해 방지 서버(132)에게 알려준다. 예컨대, 새로운 액세스 포인트가 발견되면 발견된 액세스 포인트의 MAC(Media Access Control) 주소, SSID(Subsystem IDentification) 등의 정보를 무선 침해 방지 서버(132)에게 보고한다.When the wireless
그러면, 무선 침해 방지 서버(132)는 디바이스 A의 상태를 미분류로 우선 설정(S302)한 후에 분류 저장부(230)에 디바이스 A에 대한 분류 정보가 있는지를 검색한다(S303).Then, the wireless
분류 저장부(230)에 기 저장된 분류 정보가 있으면 해당 분류로 디바이스 A의 상태를 수정하며, 분류 저장부(230)에 기 저장된 분류 정보가 없으면 스킵(skip) 한다(S304, S305).If the classification information stored in the
이후에는, 단말 상태에 대한 외부 이벤트가 발생할 때까지 기다리며(S306), 외부 이벤트가 발생하면 발생된 외부 이벤트의 종류에 따라 분류 정보를 업데이트 한다(S307).Thereafter, it waits until an external event for the terminal status occurs (S306), and updates the classification information according to the type of the external event generated when the external event occurs (S307).
디바이스 인증 성공 이벤트(from 인증 서버)가 발생한 경우에는 디바이스 A의 상태에 제 1 형 인증 상태를 추가한다(S308).If a device authentication success event (from authentication server) has occurred, the first type authentication state is added to the state of the device A (S308).
MDM 인증 성공 이벤트(from MDM 서버)가 발생한 경우에는 디바이스 A의 상태에 제 3 형 인증 상태를 추가한다(S309).If an MDM authentication success event (from MDM server) has occurred, a
해킹 또는 루팅 단말(from MDM 서버)은 디바이스 A의 상태에 리스키 상태를 추가한다(S310).The hacking or routing terminal (from the MDM server) adds the resuscitation state to the state of the device A (S310).
MDM 에이전트 강제 삭제 또는 분실 단말(from MDM 서버)은 디바이스 A의 상태에 리스키 상태를 추가한다(S311).The MDM agent forcible deletion or lost terminal (from MDM server) adds the state of device A to the state of device A (S311).
액세스 포인트 기능 수행 단말(from MDM 서버)은 디바이스 A의 상태에 테더링 상태를 추가한다(S312).The access point performing terminal (from the MDM server) adds the tethering state to the state of the device A (S312).
수동 인증 단말 등록(from 로컬시스템(무선 침해 방지 서버))은 디바이스 A의 상태에 제 2 형 인증 상태를 추가한다(S313).The manual authentication terminal registration (from the local system (wireless intrusion prevention server)) adds the
블랙리스트 추가 단말(from 로컬시스템(무선 침해 방지 서버))은 디바이스 A의 상태에 블랙리스트를 추가한다(S314).The black list addition terminal (from the local system (wireless intrusion prevention server)) adds the black list to the state of the device A (S314).
디바이스 인증 실패(from 인증 서버)는 디바이스 A의 상태에서 제 1 형 인증 상태를 삭제한다. 만약, 제 1 형 인증 상태가 없는 경우에는 무시한다(S315).The device authentication failure (from authentication server) deletes the
MDM 인증 실패(from MDM서버)는 디바이스 A의 상태에서 제 3 형 인증 상태를 삭제한다. 만약, 제 3 형 인증 상태가 없는 경우에는 무시한다(S316).The MDM authentication failure (from the MDM server) deletes the
해킹 또는 루팅에서 정상 복구(from MDM 서버)는 디바이스 A의 상태에서 리스키 상태를 삭제한다. 만약, 리스키 상태가 없는 경우에는 무시한다(S317).A normal recovery from hacking or routing (from the MDM server) removes the resuscitation state from the state of device A. If there is no Risky condition, the process is ignored (S317).
MDM 에이전트 재설치 완료 또는 분실 단말에서 복귀(from MDM 서버)는 디바이스 A의 상태에서 리스키 상태를 삭제한다. 만약, 리스키 상태가 없는 경우에는 무시한다(S318).Upon completion of the MDM agent reinstallation or return from the lost terminal (from the MDM server), it removes the resuscitation state from the state of device A. If there is no Risky condition, the process is ignored (S318).
액세스 포인트 기능 오프(off)(from MDM 서버)는 디바이스 A의 상태에서 테더링 상태를 삭제한다. 만약, 테더링 상태가 없는 경우에는 무시한다(S319).The access point function off (from the MDM server) deletes the tethering state from the state of device A. If there is no tethering state, it is ignored (S319).
수동 인증단말 목록 삭제(from 로컬시스템)는 디바이스 A의 상태에서 제 2 형 인증 상태를 삭제한다. 만약, 제 2 형 인증 상태가 없는 경우에는 무시한다(S320).The manual authentication terminal list deletion (from the local system) deletes the type-2 authentication state from the state of the device A. If there is no
블랙리스트에서 삭제(from 로컬시스템)는 디바이스 A의 상태에서 블랙리스트 상태를 삭제한다. 만약, 블랙리스트 상태가 없는 경우에는 무시한다(S321).The deletion from the blacklist (from the local system) deletes the blacklist state from the state of device A. If there is no black list state, the process is ignored (S321).
단계 S308 내지 S321을 통한 외부 이벤트의 처리 완료 후에는 단계 S306으로 이동하여 다른 외부 이벤트가 발생할 때까지 기다린다.
After completing the processing of the external event through steps S308 to S321, the process proceeds to step S306 and waits until another external event occurs.
도 4는 본 발명의 실시예에 따른 무선 디바이스 분류 장치에 의한 위험도(security level) 분류 과정을 설명하기 위한 예시도이다.FIG. 4 is an exemplary diagram illustrating a process of classifying a security level by a wireless device classification apparatus according to an embodiment of the present invention. Referring to FIG.
본 발명의 실시예에 따라 위험도는 총 5레벨로 분류할 수 있으며, 이러한 위험도 레벨의 수는 분류 저장부(230)에 저장되는 보안 정책에서 설정이 가능하다. 레벨(level) 숫자가 낮을 수로 안전하고 숫자가 높을수록 위험한 것이다. 예컨대, 레벨 1은 매우 안전(very safe)에 해당하며, 레벨 5는 매우 위험(very risky)에 해당한다.
According to the embodiment of the present invention, the risk level can be classified into a total of five levels, and the number of the risk levels can be set in a security policy stored in the
도 5는 본 발명의 실시예에 따라 무선 디바이스의 분류에 따라 위험도 레벨 정책을 설정하기 위한 그래픽 유저 인터페이스(Graphical User Interface)를 보여준다.FIG. 5 shows a graphical user interface for setting a risk level policy according to a classification of a wireless device according to an embodiment of the present invention.
도 5에 나타낸 예시는, 제 1 형 인증 상태, 리스키 상태 및 테더링 상태까지 3종의 상태 정보를 포함한 단말을 위험도 레벨 2로 정의하는 화면이다. 사용자가 이러한 인터페이스를 이용하여 설정하면 이 정보가 분류 저장부(230)에 저장된다. 위험도 레벨 매핑을 위한 이 실시예는 다양하게 응용하여 사용할 수 있다. 예를 들어 제 1 형 인증 상태인 경우에 다른 상태 정보와는 무관하게 위험도 레벨을 레벨 1로 한다거나, 리스키 디바이스의 경우는 다른 분류와는 무관하게 위험도 레벨을 레벨 5로 한다거나 하는 등으로 응용하여 사용자 인터페이스를 구성할 수 있다.
The example shown in Fig. 5 is a screen for defining a terminal having three kinds of state information up to the first type authentication state, the rescheduling state, and the tethering state as the
도 6은 본 발명의 실시예에 따른 디바이스 위험도 레벨에 따른 액세스 포인트 접속 제어 설정 과정을 설명하기 위한 예시도이다.6 is a diagram illustrating an access point access control setting process according to a device risk level according to an embodiment of the present invention.
접속에 대한 제어 종류는 다음과 같다.The types of control for connection are as follows.
허용(permit): 접속을 허용Permit: allow access
차단(prohibit): 접속을 비허용, 접속을 시도하면 접속을 차단Prohibit: deny connection, attempt to connect, block access
관리자 통보(inform): 접속 정보를 관리자에게 통보Notification of administrator (inform): Notify administrator of connection information
무시(ignore): 무시Ignore: Ignore
도 6에 나타낸 실시예에서는, 위험도 레벨 1에 포함되는 단말에 대해 인증된 액세스 포인트(authorized AP) 접속의 경우에 정책을 허용으로 설정한다.In the embodiment shown in FIG. 6, the policy is set to allow in the case of an authenticated access point (authorized AP) connection to the terminal included in the
위험도 레벨 2에 포함되는 단말의 로그 액세스 포인트(rogue AP) 접속은 차단으로 설정한다.The rogue AP connection of the terminal included in the
위험도 레벨 4에 포함되는 단말에 대해 인증된 액세스 포인트 접속의 경우에는 차단으로 설정한다.In the case of an access point connection authenticated to a terminal included in the
위험도 레벨 5에 포함되는 단말의 외부 액세스 포인트(external AP) 접속은 관리자 통보로 설정된다.The terminal's external AP connection at the
이러한 설정은 관리자에 의해 설정되며, 위험도 레벨 대신에 실제 상태 정보를 이용한 정책 설정도 가능하다.These settings are set by the administrator and policy settings can be made using the actual status information instead of the risk level.
예를 들어, 제 2 형 인증 상태 및 테더링 상태의 무선 디바이스에 대해 인증된 액세스 포인트로의 접속은 관리자 통보로 설정할 수 있다.For example, a connection to an authenticated access point for a wireless device in a
또한, 이러한 방식의 레벨 대신에 분류 조합과 액세스 포인트와의 접속 정책 설정도 가능하다.
Also, it is possible to set a connection policy between the classification combination and the access point instead of the level of this method.
본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다. Combinations of each step of the flowchart and each block of the block diagrams appended to the present invention may be performed by computer program instructions. These computer program instructions may be loaded into a processor of a general purpose computer, special purpose computer, or other programmable data processing apparatus so that the instructions, which may be executed by a processor of a computer or other programmable data processing apparatus, And means for performing the functions described in each step are created. These computer program instructions may also be stored in a computer usable or computer readable memory capable of directing a computer or other programmable data processing apparatus to implement the functionality in a particular manner so that the computer usable or computer readable memory It is also possible for the instructions stored in the block diagram to produce a manufacturing item containing instruction means for performing the functions described in each block or flowchart of the block diagram. Computer program instructions may also be stored on a computer or other programmable data processing equipment so that a series of operating steps may be performed on a computer or other programmable data processing equipment to create a computer- It is also possible that the instructions that perform the processing equipment provide the steps for executing the functions described in each block of the block diagram and at each step of the flowchart.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.Also, each block or each step may represent a module, segment, or portion of code that includes one or more executable instructions for executing the specified logical function (s). It should also be noted that in some alternative embodiments, the functions mentioned in the blocks or steps may occur out of order. For example, two blocks or steps shown in succession may in fact be performed substantially concurrently, or the blocks or steps may sometimes be performed in reverse order according to the corresponding function.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
The foregoing description is merely illustrative of the technical idea of the present invention, and various changes and modifications may be made by those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are intended to illustrate rather than limit the scope of the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas falling within the scope of the same shall be construed as falling within the scope of the present invention.
110 : 무선 단말 관리 서버 120 : 인증 서버
130 : 무선 침해 방지 시스템 131 : 무선 침해 방지 센서
132 : 무선 침해 방지 서버
200 : 무선 디바이스 분류 장치 210 : 정보 수집부
220 : 정보 저장부 230 : 분류 저장부
240 : 정보 분석부110: wireless terminal management server 120: authentication server
130: Wireless Infringement Prevention System 131: Wireless Infringement Prevention Sensor
132: Wireless Intrusion Prevention Server
200: Wireless device classifying apparatus 210: Information collecting unit
220: information storage unit 230: classification storage unit
240: Information Analysis Department
Claims (10)
상기 정보 수집부가 수집한 상기 무선 디바이스에 대한 관련 정보가 저장되는 정보 저장부와,
기 저장된 분류 정책에 의거하여 상기 무선 디바이스에 대한 관련 정보를 분석하며, 분석 결과에 따라 상기 무선 디바이스를 분류하고, 무선랜 관리 영역의 무선 침해 방지 센서로부터 새로운 디바이스의 발견을 보고받으면, 상기 새로운 디바이스에 상응하는 분류 정보가 저장되어 있는지 여부를 판단하여 상기 새로운 디바이스의 초기 상태를 수정하고, 상기 새로운 디바이스에 상응하는 외부 이벤트의 종류를 기반으로 상기 새로운 디바이스의 상기 분류 정보를 업데이트하는 정보 분석부를 포함하는 무선 침해 방지를 위한 무선 디바이스 분류 장치.An information collecting unit for collecting relevant information about the wireless device from the wireless terminal management server and the authentication server;
An information storage unit for storing related information about the wireless device collected by the information collecting unit;
The wireless device classifies the wireless device according to the analysis result and reports the discovery of the new device to the wireless intrusion prevention sensor of the wireless LAN management area, Includes an information analysis unit for determining whether or not classification information corresponding to the new device is stored and correcting the initial state of the new device and updating the classification information of the new device based on the type of the external event corresponding to the new device A wireless device classification apparatus for preventing wireless infringement.
상기 정보 수집부는,
상기 무선 단말 관리 서버로부터, MDM 서버 관리 단말 정보, 해킹/루팅된 단말 정보, 분실 단말 정보, MDM 에이전트 강제 삭제 단말 정보 및 AP 역할 수행 단말 정보 중 적어도 어느 하나를 포함하는 상기 무선 디바이스에 대한 관련 정보를 수집하고, 상기 인증 서버로부터 인증 결과 정보를 수집하는 것을 특징으로 하는 무선 침해 방지를 위한 무선 디바이스 분류 장치.The method according to claim 1,
The information collecting unit,
Related information about the wireless device including at least one of MDM server management terminal information, hacked / routed terminal information, lost terminal information, MDM agent enforcement terminal information, and AP role enforcement terminal information from the wireless terminal management server Collects authentication result information from the authentication server, and collects authentication result information from the authentication server.
상기 정보 분석부는,
수집된 상기 관련 정보를 기반으로, 상기 무선 디바이스를 인증 디바이스, 게스트 디바이스, 리스키 디바이스, 테더링 디바이스, 외부 디바이스, 블랙리스트 디바이스 및 미분류 디바이스 중 하나 이상의 조합으로 분류하는 것을 특징으로 하는 무선 침해 방지를 위한 무선 디바이스 분류 장치.3. The method of claim 2,
The information analyzing unit,
And classifying the wireless device into a combination of at least one of an authentication device, a guest device, a rescue device, a tethering device, an external device, a blacklist device, and an unclassified device based on the collected related information. The wireless device classifier.
상기 정보 분석부는,
상기 분류 정책을 기반으로, 상기 무선 디바이스가 접속하는 액세스 포인트를 인증 액세스 포인트, 로그 액세스 포인트, 테더링/소프트 액세스 포인트, 외부 액세스 포인트 및 미분류 액세스 포인트 중 하나 이상의 조합으로 분류하는 것을 특징으로 하는 무선 침해 방지를 위한 무선 디바이스 분류 장치.The method of claim 3,
The information analyzing unit,
And classifying the access point to which the wireless device connects based on the classification policy into at least one of an authentication access point, a log access point, a tethering / soft access point, an external access point, and an unclassified access point. A wireless device classification apparatus for preventing infringement.
상기 무선 디바이스의 분류 정보, 상기 액세스 포인트의 분류 정보, 상기 분류 정책 및 분류에 따른 접속 정책 중 적어도 어느 하나를 저장하는 분류 저장부를 더 포함하는 것을 특징으로 하는 무선 침해 방지를 위한 무선 디바이스 분류 장치.5. The method of claim 4,
Further comprising a classification storage unit for storing at least one of classification information of the wireless device, classification information of the access point, and a connection policy according to the classification policy and classification.
상기 정보 분석부는,
분류된 상기 무선 디바이스의 분류 정보를 기반으로 상기 무선 디바이스의 위험도 레벨을 설정하고, 설정된 상기 위험도 레벨을 기반으로 상기 무선 디바이스의 액세스 포인트 접속을 제어하는 것을 특징으로 하는 무선 침해 방지를 위한 무선 디바이스 분류 장치.The method according to claim 1,
The information analyzing unit,
Wherein the wireless device is configured to set a risk level of the wireless device based on the classified wireless device classification information and to control access to the access point of the wireless device based on the set risk level. Device.
사용자로부터 하나 이상의 상기 분류 정보에 따른 상기 위험도 레벨을 입력받는 사용자 인터페이스를 더 포함하는 것을 특징으로 하는 무선 침해 방지를 위한 무선 디바이스 분류 장치.8. The method of claim 7,
Further comprising a user interface for receiving the risk level according to one or more of the classification information from a user.
상기 정보 분석부는,
상기 무선 디바이스의 상기 액세스 포인트에 대한 접속을 허용하거나, 차단하거나, 관리자에게 통보하거나, 무시하는 상기 제어를 수행하는 것을 특징으로 하는 무선 침해 방지를 위한 무선 디바이스 분류 장치.8. The method of claim 7,
The information analyzing unit,
Wherein the control unit performs the control to allow, block, notify, or ignore the connection to the access point of the wireless device.
무선랜 관리 영역의 무선 침해 방지 센서로부터 새로운 디바이스의 발견 정보를 수신하는 단계,
상기 새로운 디바이스에 상응하는 분류 정보가 기 저장되어 있는지 여부를 판단하는 단계,
상기 새로운 디바이스에 상응하는 상기 분류 정보가 기 저장되어 있는 경우, 기 저장된 상기 분류 정보로 상기 새로운 디바이스의 상태를 수정하는 단계, 그리고
상기 새로운 디바이스에 상응하는 외부 이벤트 발생 시, 상기 외부 이벤트의 종류에 상응하도록 상기 새로운 디바이스의 분류 정보를 업데이트하는 단계를 포함하는 것을 특징으로 하는 무선 디바이스 분류 방법.
A wireless device classification method performed by a wireless device classification apparatus for prevention of wireless infringement,
A step of receiving discovery information of a new device from a wireless intrusion prevention sensor in a wireless LAN management area,
Determining whether classification information corresponding to the new device is stored in advance,
If the classification information corresponding to the new device is stored in advance, modifying the state of the new device with the previously stored classification information, and
And when the external event corresponding to the new device is generated, updating the classification information of the new device to correspond to the type of the external event.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120139805A KR101953562B1 (en) | 2012-12-04 | 2012-12-04 | Appratus of mobile device classification for preventing wireless intrusion |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120139805A KR101953562B1 (en) | 2012-12-04 | 2012-12-04 | Appratus of mobile device classification for preventing wireless intrusion |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20140071801A KR20140071801A (en) | 2014-06-12 |
KR101953562B1 true KR101953562B1 (en) | 2019-03-04 |
Family
ID=51126022
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120139805A KR101953562B1 (en) | 2012-12-04 | 2012-12-04 | Appratus of mobile device classification for preventing wireless intrusion |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101953562B1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104333863B (en) * | 2014-10-20 | 2018-11-30 | 小米科技有限责任公司 | Connection management method and device, electronic equipment |
US9913315B2 (en) | 2014-10-20 | 2018-03-06 | Xiaomi Inc. | Method and device for connection management |
WO2021206156A1 (en) * | 2020-04-10 | 2021-10-14 | 株式会社スプラインネットワーク | Wireless network security diagnosing system, security diagnosing server, and program |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7002943B2 (en) | 2003-12-08 | 2006-02-21 | Airtight Networks, Inc. | Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices |
KR101052984B1 (en) * | 2009-12-29 | 2011-07-29 | 정재훈 | How to control the permissibility of internet access through a router |
KR101730357B1 (en) * | 2010-11-22 | 2017-04-27 | 삼성전자주식회사 | Apparatus and method for connecting access point in portable terminal |
-
2012
- 2012-12-04 KR KR1020120139805A patent/KR101953562B1/en active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
KR20140071801A (en) | 2014-06-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10305926B2 (en) | Application platform security enforcement in cross device and ownership structures | |
KR101953547B1 (en) | Method and apparatus for controlling management of mobile device by using secure event | |
US10542020B2 (en) | Home network intrusion detection and prevention system and method | |
US20070005987A1 (en) | Wireless detection and/or containment of compromised electronic devices in multiple power states | |
US11228672B2 (en) | Security system for inmate wireless devices | |
US11812261B2 (en) | System and method for providing a secure VLAN within a wireless network | |
US20190387408A1 (en) | Wireless access node detecting method, wireless network detecting system and server | |
US11934560B2 (en) | System and method for processing personal data by application of policies | |
US11678261B2 (en) | Distributed wireless communication access security | |
KR102474234B1 (en) | Analysis method and system of Security Vulnerability of wireless network | |
KR101953562B1 (en) | Appratus of mobile device classification for preventing wireless intrusion | |
EP4057569A1 (en) | System and method for configuring iot devices depending on network type | |
US11632428B2 (en) | System and method for configuring IoT devices depending on network type | |
EP4057570A1 (en) | System and method for controlling an iot device from a node in a network infrastructure | |
KR101237376B1 (en) | Integrated security control System and Method for Smartphones | |
US20220294789A1 (en) | System and method for controlling an iot device from a node in a network infrastructure | |
Ruebsamen et al. | Enhancing mobile device security by security level integration in a cloud proxy | |
JP2007122228A (en) | Network medical inspection system | |
KR101335293B1 (en) | System for blocking internal network intrusion and method the same | |
Alquhayz et al. | Security management system for 4G heterogeneous networks | |
RU2772072C1 (en) | METHOD FOR USING A MODEL OF THE IoT APPARATUS TO DETECT ANOMALIES IN THE OPERATION OF THE APPARATUS | |
KR101500448B1 (en) | Nonnormal access detection method using normal behavior profile | |
EP4060935A1 (en) | System and method for processing personal data by application of policies | |
JP2024523378A (en) | Method and apparatus for detecting and blocking rogue devices on wired/wireless networks | |
KR20150119519A (en) | Apparatus and Method for Controlling Permission for an Application Using Reputation Information |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |