KR20110020072A - Apparatus and method of wireless network security - Google Patents

Apparatus and method of wireless network security Download PDF

Info

Publication number
KR20110020072A
KR20110020072A KR1020090077776A KR20090077776A KR20110020072A KR 20110020072 A KR20110020072 A KR 20110020072A KR 1020090077776 A KR1020090077776 A KR 1020090077776A KR 20090077776 A KR20090077776 A KR 20090077776A KR 20110020072 A KR20110020072 A KR 20110020072A
Authority
KR
South Korea
Prior art keywords
information
user terminal
unauthorized
authorized
wireless network
Prior art date
Application number
KR1020090077776A
Other languages
Korean (ko)
Other versions
KR101083727B1 (en
Inventor
용환승
한유석
Original Assignee
이화여자대학교 산학협력단
주식회사 에어큐브
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이화여자대학교 산학협력단, 주식회사 에어큐브 filed Critical 이화여자대학교 산학협력단
Priority to KR1020090077776A priority Critical patent/KR101083727B1/en
Publication of KR20110020072A publication Critical patent/KR20110020072A/en
Application granted granted Critical
Publication of KR101083727B1 publication Critical patent/KR101083727B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

PURPOSE: A wireless network security apparatus and a method thereof are provided to embody an integrated monitoring and controlling about an unlicensed AP(Access Point). CONSTITUTION: An AP information extracting unit(212) is connected to a plurality of APs, and extracts information about the APs. An AP comparison unit(213) compares the extracted AP information with an approved AP information. The AP comparison unit extracts the unlicensed AP information. A transmission unit(215) transmits the approved AP information and unlicensed AP information to a user terminal connected to the wireless network.

Description

무선 네트워크 보안 장치 및 그 방법{Apparatus and method of wireless network security}Apparatus and method of wireless network security

본 발명은 보안 장치에 관한 것으로, 특히 무선 네트워크 보안 장치 및 그 방법에 관한 것이다.The present invention relates to a security device, and more particularly, to a wireless network security device and a method thereof.

급속히 확장되고 있는 무선 네트워크, 특히, 무선 랜(Wireless LAN)은 IEEE802.11의 표준에 따라 무선으로 사용자 단말기가 네트워크에 연결되어 데이터 교환이 가능하도록 지원한다. 무선 네트워크 환경은 사용자가 편리하게 이동하면서 네트워크 접속을 통한 데이터 교환이 가능하도록 지원하기 때문에 편리한 반면, 접속 사용자 단말기가 네트워크 장비에 물리적으로 떨어져 있고 전송 데이터 역시 공기중에 노출되므로 악의적인 접근 및 데이터 훼손의 가능성이 유선 네트워크, 특히, 유선 랜(Wired LAN)에 비해 크다고 할 수 있다.Rapidly expanding wireless networks, in particular, wireless LANs, enable the user terminal to connect to the network wirelessly and exchange data according to the IEEE802.11 standard. Wireless network environment is convenient because it enables users to move easily and exchange data through network connection, while access user terminal is physically separated from the network equipment and transmission data is exposed to air, thereby preventing malicious access and data corruption. The possibility is large compared to wired networks, especially wired LANs.

도 1은 종래 기술에 따른 무선 네트워크 시스템에 대한 블록 구성도이다. 도 1을 참조하면, 무선 네트워크(110), AP(120), 사용자 단말기(130), 비인가 AP(140), 불법 단말기(150)가 도시된다. 1 is a block diagram of a wireless network system according to the prior art. Referring to FIG. 1, a wireless network 110, an AP 120, a user terminal 130, an unauthorized AP 140, and an illegal terminal 150 are illustrated.

종래 기술에 따른 무선 랜 환경은 다음과 같은 다양한 유형의 공격에 노출될 수 있는 보안 취약점이 있다. 침투자는 무선 랜 안테나 탑재 차량으로 이동하며 약한 AP(weak AP)(120)를 탐색하거나(War Driving), 걸어 다니며 약한 AP(120)를 탐색(War walking)함으로써, 악의적인 접근이 가능하다. 또한, 침투자는 불법 단말기(150) 등을 이용하여 무선 데이터를 수집하고 WEP key 등을 크랙(crack)하여 무선 네트워크(110)에 침투한다(Sniffing & WEP crack). 또한, 침투자는 정상적으로 인가된 사용자 단말기(130)의 MAC을 알아낸 후 불법 단말기(150)의 MAC으로 위장하여 무선 네트워크(110)에 침투한다(MAC spoofing). 또한, 침투자는 중간 세션을 이용하여 정상적인 사용자 단말기(130)로 위장함으로써 무선 네트워크(110)에 접속한다(Man in the middle & Session High-jacking). 또한, 침투자는 비인가 AP(140)를 설치한 후 접속을 시도하는 사용자 단말기(130)로부터 사용자의 정보를 취득한다. 또한, 침투자는 프레임의 IV및 WEP Key의 취약성을 이용하여 손상된 프레임으로 변경한 프레임을 발생시켜 무선 네트워크(110)에 부하를 준다(IV공격 & Bit-Flipping & DoS). 따라서 무선 네트워크(110) 사용시 상술한 보안 취약점에 대비한 보안 관리 솔루션이 반드시 필요하다. The wireless LAN environment according to the prior art has a security vulnerability that can be exposed to various types of attacks, such as the following. The intruder moves to a vehicle equipped with a WLAN antenna and searches for a weak AP (War AP) 120, or walks and searches for a weak AP 120, thereby allowing malicious access. In addition, the intruder collects wireless data using the illegal terminal 150 or the like, cracks the WEP key, etc. and infiltrates the wireless network 110 (Sniffing & WEP crack). In addition, the intruder finds out the MAC of the normally authorized user terminal 130 and infiltrates the MAC of the illegal terminal 150 to penetrate the wireless network 110 (MAC spoofing). The intruder also connects to the wireless network 110 by disguised as a normal user terminal 130 using an intermediate session (Man in the middle & Session High-jacking). In addition, the intruder obtains the user's information from the user terminal 130 attempting to connect after installing the unauthorized AP 140. In addition, the intruder generates a modified frame into a damaged frame by using a weakness of the IV and the WEP key of the frame, and puts a load on the wireless network 110 (IV attack & Bit-Flipping & DoS). Therefore, when using the wireless network 110, a security management solution for the above-mentioned security vulnerability is necessary.

전술한 배경기술은 발명자가 본 발명의 도출을 위해 보유하고 있었거나, 본 발명의 도출 과정에서 습득한 기술 정보로서, 반드시 본 발명의 출원 전에 일반 공중에게 공개된 공지기술이라 할 수는 없다.The background art described above is technical information possessed by the inventors for the derivation of the present invention or acquired during the derivation process of the present invention, and is not necessarily a publicly known technique disclosed to the general public before the application of the present invention.

본 발명은 비인가 AP에 대한 통합적 감시 및 통제를 구현할 수 있는 무선 네트워크 보안 장치 및 그 방법을 제공하기 위한 것이다. An object of the present invention is to provide a wireless network security device and method for implementing integrated monitoring and control for an unauthorized AP.

또한, 본 발명은 별도의 감시 장비를 설치하지 않고, 무선 네트워크 환경에서 허가된 사용자 단말기를 이용하여 비인가 AP를 검출하고 차단하는 무선 네트워크 보안 장치 및 그 방법을 제공하기 위한 것이다. Another object of the present invention is to provide a wireless network security device and method for detecting and blocking an unauthorized AP using an authorized user terminal in a wireless network environment without installing any separate monitoring equipment.

또한, 본 발명은 별도의 보안 장비 설치 없이 무선 네트워크에 대한 감시 및 제어 체계를 제공하므로 최소의 비용으로 보안 환경이 구축되며, 보호되어야할 실 대상자인 사용자 단말기의 정보를 이용하여 제어되므로 무선 네트워크 취약성의 노출을 최소화 할 수 있는 무선 네트워크 보안 장치 및 그 방법을 제공하기 위한 것이다. In addition, the present invention provides a monitoring and control system for the wireless network without installing a separate security equipment, so a security environment is established at a minimum cost, and is controlled using information of a user terminal that is a real person to be protected. To provide a wireless network security device and method that can minimize the exposure of the.

본 발명이 제시하는 이외의 기술적 과제들은 하기의 설명을 통해 쉽게 이해될 수 있을 것이다.Technical problems other than the present invention will be easily understood through the following description.

본 발명의 일 측면에 따르면, 복수의 AP에 연결되는 무선 네트워크의 보안 장치에 있어서, 미리 인가된 AP에 관한 인가 AP 정보를 저장하는 저장부, 상기 복수의 AP에 접속하여 상기 복수의 AP에 관한 정보를 추출하는 AP 정보 추출부, 상기 추출된 AP 정보를 상기 인가 AP 정보와 비교하여 비인가 AP 정보를 추출하는 AP 정 보 비교부, 상기 인가 AP 정보 및 비인가 AP 정보를 상기 무선 네트워크에 연결된 사용자 단말기로 전송하는 송신부를 포함하되, 상기 사용자 단말기는 수신한 인가 AP 정보 및 비인가 AP 정보를 이용하여 인가 AP에만 접속하는 것을 특징으로 하는 무선 네트워크 보안 장치가 제공된다. According to an aspect of the present invention, a security apparatus for a wireless network connected to a plurality of APs, comprising: a storage unit for storing authorization AP information about an AP previously authorized, and a plurality of APs connected to the plurality of APs An AP information extractor for extracting information, an AP information comparator for extracting unauthorized AP information by comparing the extracted AP information with the authorized AP information, and a user terminal connected to the wireless network with the authorized AP information and the unauthorized AP information; Including a transmitter for transmitting to the wireless terminal, the user terminal is provided with a wireless network security device, characterized in that to access only the authorized AP using the received AP information and unauthorized AP information.

상기 인가 AP 정보 및 상기 비인가 AP 정보는 IP 어드레스 및 설치 위치 정보를 포함할 수 있으며, 상기 AP 정보 추출부는 에스엔엠피(SNMP) 또는 텔넷(TELNET)을 이용하여 상기 복수의 AP에 관한 정보를 추출할 수 있다. The authorized AP information and the unauthorized AP information may include an IP address and installation location information, and the AP information extracting unit may extract information about the plurality of APs using SMP or Telnet. Can be.

또한, 본 실시예는 상기 사용자 단말기로부터 상기 사용자 단말기와 연결되는 탐지 AP 정보를 수신하는 AP 정보 수신부를 더 포함할 수 있다. In addition, the present embodiment may further include an AP information receiver for receiving detection AP information connected to the user terminal from the user terminal.

여기서, 상기 AP 정보 비교부는 수신한 상기 탐지 AP 정보와 상기 인가 AP 정보와 비교하여 상기 비인가 AP 정보를 추출할 수 있으며, 상기 AP 정보 비교부는, 상기 탐지 AP 정보에 포함되며 상기 추출한 AP 정보에 포함되지 않은 AP 정보는 외부 AP 정보로 설정할 수 있다. Here, the AP information comparison unit may extract the unauthorized AP information by comparing the detected AP information with the authorized AP information, and the AP information comparison unit is included in the detection AP information and included in the extracted AP information. The non-AP information may be set as external AP information.

또한, 본 실시예는 상기 탐지 AP 정보를 전송하는 상기 사용자 단말기의 AP 접속을 인증하는 인증 서버를 더 포함할 수 있고, 상기 송신부로부터 상기 비인가 AP 정보를 수신하는 관리자 서버를 더 포함할 수 있다. In addition, the embodiment may further include an authentication server for authenticating the AP connection of the user terminal for transmitting the detection AP information, and may further include an administrator server for receiving the unauthorized AP information from the transmitter.

본 발명의 다른 측면에 따르면, 복수의 AP에 연결되는 무선 네트워크의 보안 방법에 있어서, 미리 인가된 AP에 관한 인가 AP 정보를 저장하는 단계, 상기 복수의 AP에 접속하여 상기 복수의 AP에 관한 정보를 추출하는 단계, 상기 추출된 AP 정보를 상기 인가 AP 정보와 비교하여 비인가 AP 정보를 추출하는 단계, 상기 인가 AP 정보 및 비인가 AP 정보를 상기 무선 네트워크에 연결된 사용자 단말기로 전송하는 단계를 포함하되, 상기 사용자 단말기는 수신한 인가 AP 정보 및 비인가 AP 정보를 이용하여 인가 AP에만 접속하는 것을 특징으로 하는 무선 네트워크 보안 방법이 제공된다. According to another aspect of the present invention, in the security method of a wireless network connected to a plurality of APs, storing authorization AP information about a pre-authorized AP, information about the plurality of APs by accessing the plurality of APs Extracting the unauthorized AP information by comparing the extracted AP information with the authorized AP information, and transmitting the authorized AP information and the unauthorized AP information to a user terminal connected to the wireless network, The user terminal is provided with a wireless network security method characterized in that the access to only the authorized AP using the received AP information and unauthorized AP information.

여기서, 상기 인가 AP 정보 및 상기 비인가 AP 정보는 IP 어드레스 및 설치 위치 정보를 포함할 수 있으며, 상기 복수의 AP에 관한 정보 추출 단계는, 에스엔엠피(SNMP) 또는 텔넷(TELNET)을 이용하여 상기 복수의 AP에 관한 정보를 추출할 수 있다. Here, the authorized AP information and the unauthorized AP information may include an IP address and installation location information, and the information extraction step for the plurality of APs may include the plurality of APs using SNMP or Telnet. Information about the AP may be extracted.

또한, 본 실시예는 상기 사용자 단말기로부터 상기 사용자 단말기와 연결되는 탐지 AP 정보를 수신하는 단계를 더 포함할 수 있으며, 여기서, 상기 비인가 AP 정보 추출 단계는, 수신한 상기 탐지 AP 정보와 상기 인가 AP 정보와 비교하여 상기 비인가 AP 정보를 추출할 수 있다. The present invention may further include receiving detection AP information connected to the user terminal from the user terminal, wherein extracting the unauthorized AP information comprises: receiving the detection AP information and the authorized AP. The unauthorized AP information may be extracted in comparison with the information.

또한, 상기 비인가 AP 정보 추출 단계는, 상기 탐지 AP 정보에 포함되며 상기 추출한 AP 정보에 포함되지 않은 AP 정보는 외부 AP 정보로 설정할 수 있다. In the extracting of the unauthorized AP information, the AP information included in the detection AP information and not included in the extracted AP information may be set as external AP information.

또한, 본 실시예는 상기 탐지 AP 정보를 전송하는 상기 사용자 단말기의 AP 접속을 인증하는 단계를 더 포함할 수 있으며, 상기 비인가 AP 정보를 수신하는 관리자 서버로 전송하는 단계를 더 포함할 수 있다. The present invention may further include authenticating an AP connection of the user terminal transmitting the detection AP information, and may further include transmitting the unauthorized AP information to an administrator server that receives the unauthorized AP information.

전술한 것 외의 다른 측면, 특징, 잇점이 이하의 도면, 특허청구범위 및 발명의 상세한 설명으로부터 명확해질 것이다.Other aspects, features, and advantages other than those described above will become apparent from the following drawings, claims, and detailed description of the invention.

본 발명에 따른 무선 네트워크 보안 장치 및 그 방법은 비인가 AP에 대한 통합적 감시 및 통제를 구현할 수 있고, 별도의 감시 장비를 설치하지 않고, 무선 네트워크 환경에서 허가된 사용자 단말기를 이용하여 비인가 AP를 검출하고 차단하는 효과가 있다. The wireless network security device and method thereof according to the present invention can implement integrated monitoring and control for unauthorized APs, and detect unauthorized APs using authorized user terminals in a wireless network environment without installing separate monitoring equipment. It has the effect of blocking.

또한, 본 발명에 따른 무선 네트워크 보안 장치 및 그 방법은 별도의 추가 보안 장비 설치 없이 무선 네트워크에 대한 감시 및 제어 체계를 제공하므로 최소의 비용으로 보안 환경이 구축되며, 보호되어야할 실 대상자인 사용자 단말기의 정보를 이용하여 제어되므로 무선 네트워크 취약성의 노출을 최소화 할 수 있는 효과가 있다. In addition, the wireless network security device and method according to the present invention provides a monitoring and control system for the wireless network without the installation of additional security equipment, so that a secure environment is established at a minimum cost and is a real user terminal to be protected. Since the information is controlled using the information of, it is effective to minimize the exposure of wireless network vulnerability.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.As the invention allows for various changes and numerous embodiments, particular embodiments will be illustrated in the drawings and described in detail in the written description. However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all changes, equivalents, and substitutes included in the spirit and scope of the present invention.

제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용 된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. Terms including ordinal numbers such as first and second may be used to describe various components, but the components are not limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as the second component, and similarly, the second component may also be referred to as the first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.

본 명세서에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. As used herein, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, action, component, part, or combination thereof described on the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.

또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. In the following description of the present invention with reference to the accompanying drawings, the same components are denoted by the same reference numerals regardless of the reference numerals, and redundant explanations thereof will be omitted. In the following description of the present invention, if it is determined that the detailed description of the related known technology may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.

도 2는 본 발명의 실시예에 따른 무선 네트워크 시스템에 대한 블록 구성도이다. 도 2를 참조하면, 무선 네트워크 보안 장치(210), 인증 서버(220), 무선 네트워크(230), 인가 AP(241), 비인가 AP(242), 외부 AP(243), 제1 사용자 단말 기(251), 제2 사용자 단말기(252)가 도시된다. 2 is a block diagram of a wireless network system according to an embodiment of the present invention. 2, the wireless network security device 210, the authentication server 220, the wireless network 230, an authorized AP 241, an unauthorized AP 242, an external AP 243, and a first user terminal device ( 251, a second user terminal 252 is shown.

본 실시예는 AP(access point) 단에 결합한 별도의 장치를 이용하지 않고, 무선 네트워크(230)에 결합한 무선 네트워크 보안 장치(210)가 비인가 AP(242) 및 외부 AP(243)를 인식하고, 해당 정보를 사용자 단말기 단에 전송함으로써, 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)가 인가 AP(241)에만 접속할 수 있도록 하는 보안 환경을 제시한다. In this embodiment, the wireless network security device 210 coupled to the wireless network 230 recognizes the unauthorized AP 242 and the external AP 243 without using a separate device coupled to the access point (AP). By transmitting the corresponding information to the user terminal, a security environment for allowing the first user terminal 251 and the second user terminal 252 to access only the authorized AP 241 is proposed.

여기서, 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 무선 네트워크(230)에 접속하여 이를 통한 데이터 교환을 수행하고자 하는 사용자의 단말기로 일반적인 형태는 PC이다. 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 무선 네트워크(230)에 접속할 수 있는 장치, 예를 들면, 무선 랜 네트워크 카드가 장착될 수 있다. Here, the first user terminal 251 and the second user terminal 252 is a terminal of a user who wants to connect to the wireless network 230 and perform data exchange therethrough. The general form is a PC. The first user terminal 251 and the second user terminal 252 may be equipped with a device that can access the wireless network 230, for example, a wireless LAN network card.

또한, 본 실시예에서 설명되는 AP는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)를 무선 네트워크(230)로 연결시켜주는 무선 네트워크(230) 장비이다. 일반적으로 AP는 두개의 네트워크 인터페이스(Wireless, Wired)를 가진다. 무선(Wireless) 인터페이스는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)와 통신하고, 유선(Wired) 인터페이스는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)의 데이터를 유선 네트워크에 존재하는 네트워크 장비, 상대편 단말기 등으로 전송시 사용한다. In addition, the AP described in this embodiment is a wireless network 230 equipment for connecting the first user terminal 251 and the second user terminal 252 to the wireless network 230. In general, an AP has two network interfaces (Wireless, Wired). The wireless interface communicates with the first user terminal 251 and the second user terminal 252, and the wired interface wires the data of the first user terminal 251 and the second user terminal 252. It is used for transmission to network equipment and other terminal in network.

무선 네트워크 보안 장치(210)는 무선 네트워크(230)에 결합한다. 본 실시예에 따른 무선 네트워크(230)는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252) 가 무선으로 접근 가능하도록 구현된 네트워크를 의미하며, 예를 들면, LAN, MAN, WAN, WLAN, WPAN, 이동 통신 망 등 다양한 네트워크를 포함할 수 있다. The wireless network security device 210 couples to the wireless network 230. The wireless network 230 according to the present embodiment refers to a network in which the first user terminal 251 and the second user terminal 252 are wirelessly accessible, for example, a LAN, a MAN, a WAN, and a WLAN. It may include various networks such as WPAN, mobile communication network, and the like.

무선 네트워크 보안 장치(210)는 미리 인가된 AP(241)에 관한 인가 AP 정보를 저장한다. 본 실시예에 따른 AP 정보는 IP 어드레스 및 설치 위치 정보를 포함한다. 설치 위치 정보는 네트워크 장비(예를 들면, 라우터, 스위치, 허브 등)의 어느 포트(Port)에 연결되어 있는지에 대한 정보가 될 수 있다. The wireless network security device 210 stores authorized AP information about the AP 241 that is previously authorized. AP information according to the present embodiment includes IP address and installation location information. The installation location information may be information about which port of a network device (for example, a router, a switch, a hub, etc.) is connected.

인가 AP(241)는 관리자에 의해 미리 지정되거나, 실시간으로 관리자에 의해 감시 및 통제됨으로써 지정될 수 있다. 또한, 인가 AP(241)는 무선 네트워크(230) 구축 시 설치된 AP로만 한정하여 지정될 수 있다. 이를 위해 무선 네트워크 보안 장치(210)는 무선 네트워크(230)에 연결된 AP에 접속하여 접속한 AP에 관한 정보를 추출할 수 있다. 무선 네트워크 보안 장치(210)는 추출된 AP 정보를 저장하거나 별도의 관리자 서버로 전송하며, 관리자는 추출된 AP 정보를 참조하여, 인가 여부를 결정할 수 있다. 관리자에 의해 인가된 AP로 인정되는 AP 정보는 상술한 인가 AP 정보와 함께 별도로 저장될 수 있다. Authorization AP 241 may be specified in advance by the administrator, or by being monitored and controlled by the administrator in real time. In addition, the authorized AP 241 may be specified only by the AP installed when the wireless network 230 is established. To this end, the wireless network security device 210 may access the AP connected to the wireless network 230 and extract information about the accessed AP. The wireless network security device 210 may store the extracted AP information or transmit the extracted AP information to a separate manager server, and the administrator may determine whether to be authorized by referring to the extracted AP information. AP information recognized as an AP authorized by an administrator may be separately stored together with the above-described authorized AP information.

무선 네트워크 보안 장치(210)는 또한, 추출된 AP 정보를 미리 저장된 인가 AP 정보와 비교하고, 추출된 AP 정보 중에서 인가 AP 정보에 없는 비인가 AP 정보를 추출한다. 추출된 비인가 AP 정보는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)로 전송되며, 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 수신한 비인가 AP 정보를 참조하여, 탐지된 AP 중 인가된 AP에만 접속한다. The wireless network security device 210 also compares the extracted AP information with pre-stored authorized AP information and extracts unauthorized AP information not included in the authorized AP information from the extracted AP information. The extracted unauthorized AP information is transmitted to the first user terminal 251 and the second user terminal 252, and the first user terminal 251 and the second user terminal 252 are referred to the received unauthorized AP information. Only authorized APs are detected.

비인가 AP(242)는 관리자에게 허가되지 않고 설치된 AP이며, 해당 AP의 IP address 및 설치위치 정보로 구별될 수 있다. 외부 AP(243)는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에서 접속할 수 있도록 탐지되는 AP이지만 내부 네트워크에 접속되어 있지 않아서 해당 AP의 IP 및 설치위치 정보를 확인할 수 없는 AP가 될 수 있다. The unauthorized AP 242 is an AP installed without being authorized by an administrator, and may be distinguished by an IP address and installation location information of the corresponding AP. The external AP 243 is an AP detected to be accessible from the first user terminal 251 and the second user terminal 252, but is not connected to the internal network, and thus an AP that cannot confirm the IP and installation location information of the corresponding AP is connected. Can be.

이를 위해 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에는 무선 네트워크(230)에 인가 AP를 통해서만 접속하기 위한 프로그램이 설치될 수 있다. 즉, 무선 네트워크(230)에 접속하려면 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 접속을 위한 프로그램이 설치된다. 해당 프로그램은 주변에서 탐색된 AP 목록 중에서 사용자가 설정한 SSID를 가진 AP들로 접속하되 일반적으로 가장 접속 성능(신호세기)이 우수한 AP로 접속한다. 이러한 결합(Association) 과정 수행시 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 AP의 BSSID를 받는다. BSSID는 AP의 MAC address를 포함하는 정보이다. 즉, 무선 네트워크 보안 장치(210)는 네트워크 장비들로부터 AP의 정보를 수집하여 위치 정보와 해당 AP의 MAC address(BSSID) 정보를 저장한다. 이후 무선 네트워크 보안 장치(210)는 인가 AP 정보와 비인가/외부 AP 정보로 구분될 수 있는 AP 정보를 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)로 전송한다. 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 수신한 AP 정보를 참조하여, 탐지 AP 정보가 인가 AP의 BSSID가 아닌 경우 결합(Association) 과정을 수행하지 않는다. To this end, the first user terminal 251 and the second user terminal 252 may be installed a program for accessing the wireless network 230 only through the authorized AP. That is, in order to access the wireless network 230, a program for connecting the first user terminal 251 and the second user terminal 252 is installed. The program connects to the APs with the SSID set by the user from the list of APs searched in the vicinity. When performing the association process, the first user terminal 251 and the second user terminal 252 receive the BSSID of the AP. The BSSID is information including the MAC address of the AP. That is, the wireless network security device 210 collects information of an AP from network devices and stores location information and MAC address (BSSID) information of the corresponding AP. Thereafter, the wireless network security device 210 transmits AP information, which may be divided into authorized AP information and unauthorized / external AP information, to the first user terminal 251 and the second user terminal 252. The first user terminal 251 and the second user terminal 252 do not perform an association process with reference to the received AP information when the detection AP information is not the BSSID of the authorized AP.

또한, 무선 네트워크 보안 장치(210)는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)로부터 단말단에서 탐지되는 AP에 대한 정보를 수신할 수 있다. 사 용자 단말기의 탐지 AP 정보는 단말단에서 실제로 탐지되는 AP 정보이다. 무선 네트워크 보안 장치(210)는 탐지 AP 정보와 상술한 인가 AP 정보를 비교하여 비인가 AP 정보 및 외부 AP 정보를 추출할 수 있다. 여기서, 외부 AP(243)의 외부 AP 정보는 탐지 AP 정보에 포함되며 추출한 AP 정보에 포함되지 않은 AP 정보가 될 수 있다. 즉, 무선 네트워크 보안 장치(210)는 특정 라우터, 스위치, 허브별로 AP 정보를 추출 및 인가 AP 정보를 설정할 수 있으며, 이 경우 특정 AP에 연결되는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에 대하여 인가 AP 정보, 외부 AP 정보가 서로 다르게 설정될 수 있다. 따라서 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에 대한 내부 네트워크는 라우터, 스위치, 허브별로 설정될 수 있다.In addition, the wireless network security device 210 may receive information about an AP detected at the terminal from the first user terminal 251 and the second user terminal 252. The detection AP information of the user terminal is the AP information actually detected at the terminal. The wireless network security device 210 may extract the unauthorized AP information and the external AP information by comparing the detection AP information with the aforementioned authorized AP information. Here, the external AP information of the external AP 243 may be AP information included in the detection AP information and not included in the extracted AP information. That is, the wireless network security device 210 may extract AP information for each specific router, switch, and hub and set authorized AP information. In this case, the first user terminal 251 and the second user terminal ( Authorized AP information and external AP information may be set differently with respect to 252). Therefore, the internal networks for the first user terminal 251 and the second user terminal 252 may be set for each router, switch, and hub.

인증 서버(220)는 무선 네트워크(230)에 연결하는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에 대해 접속 여부를 판단해 주는 기능을 수행한다. 인증 서버(220)는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)가 무선(Wireless) 인터페이스를 통해 접속하려고 할 때, 해당 사용자가 허가된 사용자인지 인증한다. 본 실시예에 따른 무선 네트워크 보안 장치(210)는 인증된 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)로부터 상술한 탐지 AP 정보를 수신하므로, 인가 AP 정보를 보다 신뢰성 있게 정할 수 있는 장점이 있다. 도 1을 참조하면, 인증 서버(220)는 무선 네트워크 보안 장치(210)와 물리적으로 서로 다른 유형의 장치로 구현된 경우가 도시되어 있으나, 본 실시예는 이에 한정되지 않으며, 동일한 장치로 구현되거나 소프트웨어적으로 다른 방식으로 구현된 경우를 포함할 수 있다. The authentication server 220 performs a function of determining whether the first user terminal 251 and the second user terminal 252 connected to the wireless network 230 are connected. When the first user terminal 251 and the second user terminal 252 attempt to connect through a wireless interface, the authentication server 220 authenticates whether the user is an authorized user. Since the wireless network security device 210 according to the present embodiment receives the above-described detection AP information from the authenticated first user terminal 251 and the second user terminal 252, the authorized AP information may be more reliably determined. There is an advantage. Referring to FIG. 1, the authentication server 220 is illustrated as being implemented with a device that is physically different from the wireless network security device 210. However, the present embodiment is not limited thereto and may be implemented with the same device. It may include cases implemented in other ways in software.

도 3은 본 발명의 실시예에 따른 무선 네트워크 보안 장치의 블록 구성도이다. 도 3을 참조하면, 무선 네트워크 보안 장치(210)는 저장부(211), AP 정보 추출부(212), AP 정보 비교부(213), AP 정보 수신부(214), 송신부(215)를 포함할 수 있다. 3 is a block diagram of a wireless network security device according to an embodiment of the present invention. Referring to FIG. 3, the wireless network security device 210 may include a storage 211, an AP information extractor 212, an AP information comparator 213, an AP information receiver 214, and a transmitter 215. Can be.

저장부(211)는 미리 인가된 AP에 관한 인가 AP 정보를 저장한다. 또한, 저장부(211)는 상술한 바와 같은 비인가 AP 정보 및 외부 AP 정보를 추가적으로 더 저장할 수 있다. The storage unit 211 stores authorized AP information about an AP previously authorized. In addition, the storage unit 211 may further store the unauthorized AP information and the external AP information as described above.

AP 정보 추출부(212)는 복수의 AP에 접속하여 접속한 복수의 AP에 관한 정보를 추출한다. AP 정보 추출부(212)는 에스엔엠피(SNMP) 또는 텔넷(TELNET)을 이용하여 무선 네트워크(230)에 연결되는 복수의 AP에 접속하고, 접속한 복수의 AP로부터 AP 정보를 추출할 수 있다.The AP information extracting unit 212 extracts information about a plurality of APs connected to the plurality of APs. The AP information extracting unit 212 may access a plurality of APs connected to the wireless network 230 by using SMP or Telnet and extract AP information from the plurality of connected APs.

에스엔엠피는 네트워크 관리에 사용되는 프로토콜이다. 에스엔엠피는 TCP/IP 네트워크에만 한정되지는 않으며, IETF의 RFC에 나타낸 바와 같이 다양한 네트워크에 사용될 수 있다. 또한, 텔넷은 호스트 컴퓨터를 원격지에서 액세스할 수 있도록 해주는 방식으로서, 원격지 컴퓨터를 액세스하기 위한 사용자 명령들과 TCP/IP 기반의 프로토콜로 구성된다. 본 실시예는 이러한 프로토콜을 이용하여 AP 정보를 추출할 수 있다.SNP is a protocol used for network management. SNP is not limited to TCP / IP networks but can be used for various networks as indicated in the IETF's RFC. Telnet also provides remote access to the host computer, consisting of user commands and TCP / IP-based protocols for accessing the remote computer. The present embodiment may extract AP information using such a protocol.

AP 정보 비교부(213)는 추출된 AP 정보를 저장부(211)에 저장된 인가 AP 정보와 비교하여 비인가 AP 정보를 추출한다. 송신부(215)는 인가 AP 정보 및 비인가 AP 정보를 무선 네트워크(230)에 연결된 제1 사용자 단말기(251) 및 제2 사용자 단 말기(252)로 전송한다. 이후, 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 수신한 인가 AP 정보 및 비인가 AP 정보를 이용하여 인가 AP에만 접속한다. The AP information comparing unit 213 extracts unauthorized AP information by comparing the extracted AP information with the authorized AP information stored in the storage unit 211. The transmitter 215 transmits the authorized AP information and the unauthorized AP information to the first user terminal 251 and the second user terminal 252 connected to the wireless network 230. Thereafter, the first user terminal 251 and the second user terminal 252 access only the authorized AP using the received AP information and the unauthorized AP information.

AP 정보 수신부(214)는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)로부터 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)와 연결되어 탐지되는 AP에 관한 탐지 AP 정보를 수신한다. 본 실시예에 따르면, 무선 네트워크 보안 장치(210)는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에서 수집된 AP의 BSSID(무선 인터페이스의 MAC 어드레스 포함) 및 신호세기(RSSI)값을 이용하여 내부 네트워크에서 추출한 AP 정보와 상관분석을 통해 해당 AP가 내부 네트워크의 어느 위치에 접속되어 있는지를 확인하고, 이때 확인되지 않는 AP는 외부 AP로 설정한다. The AP information receiving unit 214 may detect detection AP information regarding an AP detected by being connected to the first user terminal 251 and the second user terminal 252 from the first user terminal 251 and the second user terminal 252. Receive. According to the present embodiment, the wireless network security device 210 includes a BSSID (including a MAC address of a wireless interface) and a signal strength (RSSI) value of an AP collected from the first user terminal 251 and the second user terminal 252. Through the correlation analysis and AP information extracted from the internal network to determine the location of the AP is connected to the internal network, the AP that is not confirmed at this time is set to the external AP.

예를 들면, 무선 네트워크 보안 장치(210)가 내부 네트워크에서 수집된 정보는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에서 탐지된 AP가 내부 네트워크에 물리적으로 연결되어 있는 AP인지를 판단하는데 이용된다. 내부 네트워크의 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에서 탐지되는 모든 AP는 내부 네트워크에 접속가능한 모든 사용자 단말기가 접속할 수 있기 때문에 무선 네트워크(230) 접속에 따라 해당 사용자 단말 및 사용자의 개인 정보가 네트워크상에 노출될 수 있다. 내부 사용자는 의도적으로 회사 내부 정보를 해당 외부 AP에 접속하여 외부로 유출할 수 있다. 외부 AP는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에서 탐지되는 AP중 내부 네트워크를 통해 확인되지 않는 AP입니다. 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에서 탐지하는 것은 무선신호를 탐지 하여 수집된 정보이며, 내부 네트워크를 통해 무선 네트워크 보안 장치(210)에서 확인하는 것은 상술한 바와 같이 네트워크의 에스엔엠피나 텔넷을 통해 내부의 네트워크 장비에서 발견되는 해당 AP의 정보가 될 수 있다. 이 두 방향에서 수집된 정보를 맵핑하여 양쪽 모두에서 발견되는 AP는 인가AP 또는 비인가AP이며, 탐지 AP 정보에만 포함되는 AP는 외부 AP이다. 또한, 만약 무선 네트워크 보안 장치(210)에서만 수집되고 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에서 탐지되지 않는 AP는 음영지역에 설치되어 어떤 단말도 근처에 없는 AP가 될 수 있다. For example, the information collected by the wireless network security device 210 in the internal network may determine whether the APs detected by the first user terminal 251 and the second user terminal 252 are APs that are physically connected to the internal network. It is used to judge. Since all APs detected by the first user terminal 251 and the second user terminal 252 of the internal network can be accessed by all user terminals accessible to the internal network, the corresponding user terminal and the user according to the wireless network 230 connection. 'S personal information may be exposed on the network. Internal users may intentionally leak company internal information to the corresponding external APs. The external AP is an AP not detected through the internal network among the APs detected by the first user terminal 251 and the second user terminal 252. The detection by the first user terminal 251 and the second user terminal 252 is information collected by detecting a radio signal, and the confirmation by the wireless network security device 210 through the internal network is as described above. It may be information of a corresponding AP found in an internal network device through SNP or Telnet. The APs found in both directions by mapping the collected information in these two directions are authorized APs or unauthorized APs, and the APs included only in the detection AP information are external APs. In addition, an AP collected only in the wireless network security device 210 and not detected by the first user terminal 251 and the second user terminal 252 may be installed in a shadowed area and may be an AP having no terminal nearby. .

도 4는 본 발명의 실시예에 따른 무선 네트워크 보안 방법의 흐름도이다. 4 is a flowchart of a wireless network security method according to an embodiment of the present invention.

단계 S410에서, 무선 네트워크 보안 장치(210)는 미리 인가된 AP에 관한 인가 AP 정보를 저장한다. In operation S410, the wireless network security device 210 stores the authorized AP information about the previously authorized AP.

단계 S420에서, 무선 네트워크 보안 장치(210)는 무선 네트워크(230)에 연결된 복수의 AP에 접속하여 접속한 복수의 AP에 관한 정보를 추출한다. In operation S420, the wireless network security device 210 accesses a plurality of APs connected to the wireless network 230 and extracts information about the plurality of connected APs.

단계 S430에서, 무선 네트워크 보안 장치(210)는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)로부터 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)와 연결되어 탐지되는 AP에 관한 탐지 AP 정보를 수신한다. 여기서, 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 상술한 바와 같이 인증 서버(220)에 의해 미리 인증된 단말기들이다. In operation S430, the wireless network security apparatus 210 is connected to the first user terminal 251 and the second user terminal 252 from the first user terminal 251 and the second user terminal 252 to the AP detected. Receive detected AP information. In this case, the first user terminal 251 and the second user terminal 252 are terminals previously authenticated by the authentication server 220 as described above.

단계 S440에서, 무선 네트워크 보안 장치(210)는 추출된 AP 정보 또는 수신한 탐지 AP 정보를 저장된 인가 AP 정보와 비교하여 비인가 AP 정보를 추출한다. In operation S440, the wireless network security apparatus 210 extracts unauthorized AP information by comparing the extracted AP information or the received detection AP information with stored authorized AP information.

단계 S450에서, 무선 네트워크 보안 장치(210)는 인가 AP 정보 및 비인가 AP 정보를 무선 네트워크(230)에 연결된 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)로 전송하며, 이후 단계 S460에서, 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 수신한 인가 AP 정보 및 비인가 AP 정보를 이용하여 인가 AP에만 접속한다. In operation S450, the wireless network security apparatus 210 transmits the authorized AP information and the unauthorized AP information to the first user terminal 251 and the second user terminal 252 connected to the wireless network 230, and then, in step S460. The first user terminal 251 and the second user terminal 252 access only the authorized AP using the received AP information and the unauthorized AP information.

단계 S470에서, 무선 네트워크 보안 장치(210)는 인가 AP 정보와 비인가 AP 정보를 별도의 관리자 서버로 전송할 수 있으며, 관리자 서버는 이러한 AP 정보를 저장 및 출력하여 관리자가 이를 통제할 수 있도록 한다. 예를 들면, 관리자는 비인가 AP 정보를 참조하여, 비인가 AP가 설치된 위치, IP 어드레스를 추출하고, 이를 추적할 수 있다. In operation S470, the wireless network security apparatus 210 may transmit the authorized AP information and the unauthorized AP information to a separate manager server, and the manager server stores and outputs the AP information so that the administrator can control it. For example, the administrator may extract the location and IP address where the unauthorized AP is installed, and track it by referring to the unauthorized AP information.

관리자 서버는 무선 네트워크 보안 장치(210)와 통신 가능한 위치에 결합할 수 있으며, 관리자는 인가되지 않은 새로운 AP가 통보되면 해당 AP의 정보를 확인하여 인가 여부를 결정한다. 통보된 AP가 인가된 AP로 판단되면 인가 AP로 등록하여 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)가 무선 네트워크(230)에 접속할 때 해당 AP를 통하여 접속할 수 있도록 한다. The manager server may be coupled to a location that can communicate with the wireless network security device 210, and when the new AP is notified, the manager checks the information of the AP to determine whether to permit it. If the informed AP is determined to be an authorized AP, the registered AP may be registered as an authorized AP so that the first user terminal 251 and the second user terminal 252 may access the wireless network 230 through the corresponding AP.

상술한 바와 같이 기존의 무선 네트워크(230) 접속을 위한 사용자 단말기가 단순히 사용자의 계정정보를 인증서버(220)로 전송함으로서 해당 무선 네트워크(230)의 접속 절차만을 수행하는 것과 달리, 본 실시예에서는 무선 네트워크 보안 장치(210)에서 제공된 인가 AP 목록으로만 접속을 수행함으로서 비인가/불법 AP에 접속하여 발생할 수 있는 보안 위협에 대응 할 수 있는 장점이 있다. As described above, unlike the conventional user terminal for accessing the wireless network 230, only the user's account information is transmitted to the authentication server 220 to perform only the access procedure of the corresponding wireless network 230. By accessing only to the list of authorized APs provided by the wireless network security device 210, there is an advantage in that it can cope with a security threat that may occur by accessing an unauthorized / illegal AP.

그 외 본 발명의 실시예에 따른 무선 네트워크 보안 장치 및 그 방법에 대한 구체적인 연결 방식, 임베디드 시스템, O/S 등의 공통 플랫폼 기술과 통신 프로토콜, I/O 인터페이스 등 인터페이스 표준화 기술 등에 대한 구체적인 설명은 본 발명이 속하는 기술 분야의 통상의 지식을 가진자에게 자명한 사항이므로 생략하기로 한다.In addition, the wireless network security device according to an embodiment of the present invention and a specific connection method for the connection method, embedded system, common platform technology such as O / S, and the specific description of the interface standardization technology such as communication protocol, I / O interface, etc. Since it is obvious to those skilled in the art, the present invention will be omitted.

해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Those skilled in the art will appreciate that various modifications and changes can be made in the present invention without departing from the spirit and scope of the invention as set forth in the claims below.

도 1은 종래 기술에 따른 무선 네트워크 시스템에 대한 블록 구성도. 1 is a block diagram of a wireless network system according to the prior art.

도 2는 본 발명의 실시예에 따른 무선 네트워크 시스템에 대한 블록 구성도. 2 is a block diagram of a wireless network system according to an embodiment of the present invention.

도 3은 본 발명의 실시예에 따른 무선 네트워크 보안 장치의 블록 구성도. 3 is a block diagram of a wireless network security device according to an embodiment of the present invention.

도 4는 본 발명의 실시예에 따른 무선 네트워크 보안 방법의 흐름도. 4 is a flow chart of a wireless network security method in accordance with an embodiment of the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

210 : 무선 네트워크 보안 장치 220 : 인증 서버210: wireless network security device 220: authentication server

230 : 무선 네트워크 241 : 인가 AP230: wireless network 241: authorized AP

242 : 비인가 AP 243 : 외부 AP242: unauthorized AP 243: external AP

251 : 제1 사용자 단말기 252 : 제2 사용자 단말기251: first user terminal 252: second user terminal

Claims (16)

복수의 AP에 연결되는 무선 네트워크의 보안 장치에 있어서, In the security device of a wireless network connected to a plurality of APs, 미리 인가된 AP에 관한 인가 AP 정보를 저장하는 저장부;A storage unit which stores authorization AP information regarding an AP previously authorized; 상기 복수의 AP에 접속하여 상기 복수의 AP에 관한 정보를 추출하는 AP 정보 추출부;An AP information extracting unit extracting information about the plurality of APs by accessing the plurality of APs; 상기 추출된 AP 정보를 상기 인가 AP 정보와 비교하여 비인가 AP 정보를 추출하는 AP 정보 비교부; 및An AP information comparison unit for extracting unauthorized AP information by comparing the extracted AP information with the authorized AP information; And 상기 인가 AP 정보 및 비인가 AP 정보를 상기 무선 네트워크에 연결된 사용자 단말기로 전송하는 송신부를 포함하되,A transmitter for transmitting the authorized AP information and unauthorized AP information to a user terminal connected to the wireless network, 상기 사용자 단말기는 수신한 인가 AP 정보 및 비인가 AP 정보를 이용하여 인가 AP에만 접속하는 것을 특징으로 하는 무선 네트워크 보안 장치. The user terminal accesses only the authorized AP using the received AP information and unauthorized AP information, characterized in that the wireless network security device. 제1항에 있어서, The method of claim 1, 상기 인가 AP 정보 및 상기 비인가 AP 정보는 IP 어드레스 및 설치 위치 정보를 포함하는 무선 네트워크 보안 장치.The authorized AP information and the unauthorized AP information includes an IP address and installation location information. 제1항에 있어서, The method of claim 1, 상기 AP 정보 추출부는 에스엔엠피(SNMP) 또는 텔넷(TELNET)을 이용하여 상기 복수의 AP에 관한 정보를 추출하는 것을 특징으로 하는 무선 네트워크 보안 장치.The AP information extracting unit extracts information about the plurality of APs by using SMP or Telnet. 제1항에 있어서, The method of claim 1, 상기 사용자 단말기로부터 상기 사용자 단말기와 연결되는 탐지 AP 정보를 수신하는 AP 정보 수신부를 더 포함하는 무선 네트워크 보안 장치.And an AP information receiver configured to receive detection AP information connected to the user terminal from the user terminal. 제4항에 있어서,The method of claim 4, wherein 상기 AP 정보 비교부는 수신한 상기 탐지 AP 정보와 상기 인가 AP 정보와 비교하여 상기 비인가 AP 정보를 추출하는 무선 네트워크 보안 장치.And the AP information comparing unit extracts the unauthorized AP information by comparing the detected AP information with the authorized AP information. 제5항에 있어서, The method of claim 5, 상기 AP 정보 비교부는,The AP information comparison unit, 상기 탐지 AP 정보에 포함되며 상기 추출한 AP 정보에 포함되지 않은 AP 정보는 외부 AP 정보로 설정하는 것을 특징으로 하는 무선 네트워크 보안 장치.The AP information included in the detection AP information and not included in the extracted AP information is set as external AP information. 제4항에 있어서, The method of claim 4, wherein 상기 탐지 AP 정보를 전송하는 상기 사용자 단말기의 AP 접속을 인증하는 인증 서버를 더 포함하는 무선 네트워크 보안 장치. The wireless network security device further comprises an authentication server for authenticating the AP connection of the user terminal for transmitting the detection AP information. 제1항에 있어서, The method of claim 1, 상기 송신부로부터 상기 비인가 AP 정보를 수신하는 관리자 서버를 더 포함하는 무선 네트워크 보안 장치.And a manager server for receiving the unauthorized AP information from the transmitter. 복수의 AP에 연결되는 무선 네트워크의 보안 방법에 있어서, In the security method of a wireless network connected to a plurality of AP, 미리 인가된 AP에 관한 인가 AP 정보를 저장하는 단계;Storing authorized AP information about a pre-authorized AP; 상기 복수의 AP에 접속하여 상기 복수의 AP에 관한 정보를 추출하는 단계;Accessing the plurality of APs and extracting information about the plurality of APs; 상기 추출된 AP 정보를 상기 인가 AP 정보와 비교하여 비인가 AP 정보를 추출하는 단계; 및Extracting unauthorized AP information by comparing the extracted AP information with the authorized AP information; And 상기 인가 AP 정보 및 비인가 AP 정보를 상기 무선 네트워크에 연결된 사용자 단말기로 전송하는 단계를 포함하되,And transmitting the authorized AP information and the unauthorized AP information to a user terminal connected to the wireless network. 상기 사용자 단말기는 수신한 인가 AP 정보 및 비인가 AP 정보를 이용하여 인가 AP에만 접속하는 것을 특징으로 하는 무선 네트워크 보안 방법. The user terminal accesses only to the authorized AP using the received AP information and unauthorized AP information. 제9항에 있어서, 10. The method of claim 9, 상기 인가 AP 정보 및 상기 비인가 AP 정보는 IP 어드레스 및 설치 위치 정보를 포함하는 무선 네트워크 보안 방법.The authorized AP information and the unauthorized AP information includes an IP address and installation location information. 제9항에 있어서, 10. The method of claim 9, 상기 복수의 AP에 관한 정보 추출 단계는,Extracting information about the plurality of APs, 에스엔엠피(SNMP) 또는 텔넷(TELNET)을 이용하여 상기 복수의 AP에 관한 정보를 추출하는 것을 특징으로 하는 무선 네트워크 보안 방법.And extracting information on the plurality of APs by using SMP or Telnet. 제9항에 있어서, 10. The method of claim 9, 상기 사용자 단말기로부터 상기 사용자 단말기와 연결되는 탐지 AP 정보를 수신하는 단계를 더 포함하는 무선 네트워크 보안 방법.Receiving detection AP information connected to the user terminal from the user terminal. 제12항에 있어서,The method of claim 12, 상기 비인가 AP 정보 추출 단계는,The unauthorized AP information extraction step, 수신한 상기 탐지 AP 정보와 상기 인가 AP 정보와 비교하여 상기 비인가 AP 정보를 추출하는 것을 특징으로 하는 무선 네트워크 보안 방법.And extracting the unauthorized AP information by comparing the detected AP information with the authorized AP information. 제13항에 있어서, The method of claim 13, 상기 비인가 AP 정보 추출 단계는,The unauthorized AP information extraction step, 상기 탐지 AP 정보에 포함되며 상기 추출한 AP 정보에 포함되지 않은 AP 정보는 외부 AP 정보로 설정하는 것을 특징으로 하는 무선 네트워크 보안 방법.The AP information included in the detection AP information and not included in the extracted AP information is set as external AP information. 제12항에 있어서, The method of claim 12, 상기 탐지 AP 정보를 전송하는 상기 사용자 단말기의 AP 접속을 인증하는 단계를 더 포함하는 무선 네트워크 보안 방법. And authenticating an AP connection of the user terminal that transmits the detection AP information. 제9항에 있어서, 10. The method of claim 9, 상기 비인가 AP 정보를 수신하는 관리자 서버로 전송하는 단계를 더 포함하는 무선 네트워크 보안 방법.And transmitting the unauthorized AP information to a manager server for receiving the unauthorized AP information.
KR1020090077776A 2009-08-21 2009-08-21 Apparatus and method of wireless network security KR101083727B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090077776A KR101083727B1 (en) 2009-08-21 2009-08-21 Apparatus and method of wireless network security

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090077776A KR101083727B1 (en) 2009-08-21 2009-08-21 Apparatus and method of wireless network security

Publications (2)

Publication Number Publication Date
KR20110020072A true KR20110020072A (en) 2011-03-02
KR101083727B1 KR101083727B1 (en) 2011-11-15

Family

ID=43929472

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090077776A KR101083727B1 (en) 2009-08-21 2009-08-21 Apparatus and method of wireless network security

Country Status (1)

Country Link
KR (1) KR101083727B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101395835B1 (en) * 2012-04-30 2014-05-16 에스케이텔레콤 주식회사 Terminal device and authentication manageent apparatus, control method thereof
KR101410274B1 (en) * 2013-06-11 2014-06-20 국방과학연구소 Method and Apparatus for detecting large-cell unlicensed radio equipment
KR101534476B1 (en) * 2013-10-29 2015-07-07 삼성에스디에스 주식회사 Method and apparatus for detecting unauthorized access point

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7286515B2 (en) * 2003-07-28 2007-10-23 Cisco Technology, Inc. Method, apparatus, and software product for detecting rogue access points in a wireless network

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101395835B1 (en) * 2012-04-30 2014-05-16 에스케이텔레콤 주식회사 Terminal device and authentication manageent apparatus, control method thereof
KR101410274B1 (en) * 2013-06-11 2014-06-20 국방과학연구소 Method and Apparatus for detecting large-cell unlicensed radio equipment
KR101534476B1 (en) * 2013-10-29 2015-07-07 삼성에스디에스 주식회사 Method and apparatus for detecting unauthorized access point

Also Published As

Publication number Publication date
KR101083727B1 (en) 2011-11-15

Similar Documents

Publication Publication Date Title
US7970894B1 (en) Method and system for monitoring of wireless devices in local area computer networks
KR101953547B1 (en) Method and apparatus for controlling management of mobile device by using secure event
US7316031B2 (en) System and method for remotely monitoring wireless networks
US8789191B2 (en) Automated sniffer apparatus and method for monitoring computer systems for unauthorized access
KR101541073B1 (en) Mobile Infringement Protection System based on smart apparatus for Securing Cloud Environments and Method thereof
US7710933B1 (en) Method and system for classification of wireless devices in local area computer networks
US20150040194A1 (en) Monitoring of smart mobile devices in the wireless access networks
US20090016529A1 (en) Method and system for prevention of unauthorized communication over 802.11w and related wireless protocols
EP2023571A1 (en) Method and system for wireless communications characterized by IEEE 802.11W and related protocols
JP2007531398A (en) Wireless LAN intrusion detection method based on protocol anomaly analysis
CN104486765A (en) Wireless intrusion detecting system and detecting method
CN107197456B (en) Detection method and detection device for identifying pseudo AP (access point) based on client
CN104852894A (en) Wireless message monitor detecting method, system and central control server
CN102438028A (en) Method, device and system for preventing fraud of dynamic host configuration protocol (DHCP) server
WO2014080170A1 (en) Intrusion prevention and detection in a wireless network
CN106878992B (en) Wireless network security detection method and system
WO2010027121A1 (en) System and method for preventing wireless lan intrusion
KR101083727B1 (en) Apparatus and method of wireless network security
KR101429179B1 (en) Combination security system for wireless network
KR100874015B1 (en) WLAN intrusion prevention system and method
US20160164889A1 (en) Rogue access point detection
CN111405548B (en) Fishing wifi detection method and device
KR20150041407A (en) Trust Access Point connection Apparatus and Method
US20090213752A1 (en) Detecting Double Attachment Between a Wired Network and At Least One Wireless Network
Huang et al. A whole-process WiFi security perception software system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141107

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181031

Year of fee payment: 8