KR20240040940A - 무선 보안 장치 및 방법 - Google Patents
무선 보안 장치 및 방법 Download PDFInfo
- Publication number
- KR20240040940A KR20240040940A KR1020220119876A KR20220119876A KR20240040940A KR 20240040940 A KR20240040940 A KR 20240040940A KR 1020220119876 A KR1020220119876 A KR 1020220119876A KR 20220119876 A KR20220119876 A KR 20220119876A KR 20240040940 A KR20240040940 A KR 20240040940A
- Authority
- KR
- South Korea
- Prior art keywords
- terminal
- connection
- unique information
- requesting
- access
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 230000000903 blocking effect Effects 0.000 claims abstract description 53
- 230000002265 prevention Effects 0.000 claims abstract description 33
- 238000013507 mapping Methods 0.000 claims description 10
- 230000003213 activating effect Effects 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000013478 data encryption standard Methods 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
일 실시예에 따른 무선 보안 장치 및 방법이 개시된다. 일 실시예에 따른 무선 보안 장치는 침입 방지 센서로부터 Wi-Fi AP(Access Point; 액세스 포인트)의 고유 정보와 상기 Wi-Fi AP에 접속을 요청하는 단말의 고유 정보를 수신하는 수신부; 상기 Wi-Fi AP의 고유 정보 및 상기 단말의 고유 정보에 기초하여 상기 단말의 인가 여부를 판단하는 판단부; 상기 단말이 비인가 단말로 판단되는 경우, 상기 비인가 단말의 상기 Wi-Fi AP로의 접속을 차단하는 차단부; 및 상기 단말이 인가 단말로 판단되는 경우, 상기 인가 단말과의 통신 시 사용할 보안 터널을 생성하는 암호화부를 포함한다.
Description
개시되는 실시예들은 무선 보안 기술과 관련된다.
무선 통신의 발전에 따라 무선 보안 침입 또한 다양하고 지능적으로 변모한다. 이에, 무선 보안의 중요성은 강조되지 않을 수 없다. 그럼에도 불구하고, Wi-Fi AP(Access Point; 액세스 포인트)는 이동통신망 보다 상대적으로 보안이 취약하여 비인가 단말에 무선 구간 침입을 쉽게 허용하는 문제가 있다.
구체적으로, 단말이 5G Access 망을 통해 접속할 경우, 이동통신망은 국제 규격에 기반하여 신뢰성 높은 보안 관리가 가능하다. 그러나, 단말이 Wi-Fi AP를 통해 접속할 경우, 특히, 패스워드를 요구하지 않을 경우에는, 사전 승인되지 않은 단말들에 의한 데이터 유출이 우려된다.
이러한 문제점을 고려하면, Wi-Fi AP를 통해 접속을 요청하는 비인가 단말들의 무선 구간 침입을 방지하고, 무선 구간을 암호화하여 Wi-Fi AP의 보안 수준을 이동통신망 수준의 보안 수준으로 향상시킬 필요가 있다.
다만, 무선 구간 침입 방지 기능과 무선 구간 암호화 기능이 서로 다른 장비에 구축되어 독립적으로 동작할 경우, 암호화 기능은 비인가 단말의 접속을 승인한 이후에 실행될 수 있다. 즉, 무선 구간 암호화 기능이 선결적으로 수행되는 경우, 비인가 단말의 접속을 완전하게 차단할 수 없다는 허점이 존재한다.
개시되는 실시예들은 무선 보안 장치 및 방법을 제공하기 위한 것이다.
일 실시예에 따른 무선 보안 장치는 침입 방지 센서로부터 Wi-Fi AP(Access Point; 액세스 포인트)의 고유 정보와 상기 Wi-Fi AP에 접속을 요청하는 단말의 고유 정보를 수신하는 수신부; 상기 Wi-Fi AP의 고유 정보 및 상기 접속을 요청하는 단말의 고유 정보에 기초하여 상기 단말의 인가 여부를 판단하는 판단부; 상기 접속을 요청하는 단말이 비인가 단말로 판단되는 경우, 상기 비인가 단말의 상기 Wi-Fi AP로의 접속을 차단하는 차단부; 및 상기 접속을 요청하는 단말이 인가 단말로 판단되는 경우, 상기 인가 단말과의 통신 시 사용할 보안 터널을 생성하는 암호화부를 포함한다.
상기 암호화부는, 상기 차단부가 상기 비인가 단말의 접속을 차단한 이후 상기 보안 터널을 생성할 수 있다.
상기 Wi-Fi AP의 고유 정보는, 상기 Wi-Fi AP의 MAC 주소, 일련 번호 및 하드웨어 정보 중 적어도 하나를 포함하고, 상기 접속을 요청하는 단말의 고유 정보는, 상기 단말의 MAC 주소, 일련 번호 및 하드웨어 정보 중 적어도 하나를 포함할 수 있다.
상기 판단부는, 상기 Wi-Fi AP의 고유 정보와 상기 접속을 요청하는 단말의 고유 정보를 매핑하여 생성된 하나의 쌍을 기 인가된 Wi-Fi AP의 고유 정보와 기 인가된 단말의 고유 정보를 매핑하여 생성된 기 저장된 하나 이상의 쌍들과 비교하여 상기 접속을 요청하는 단말의 인가 여부를 판단할 수 있다.
상기 차단부는, 상기 접속을 요청하는 단말이 비인가 단말로 판단되는 경우, 상기 침입 방지 센서가 상기 비인가 단말의 MAC 주소로 위장하여 상기 비인가 단말 대신 상기 Wi-Fi AP와 연결되도록 상기 침입 방지 센서에 접속 차단 요청 신호를 전송하여 상기 비인가 단말의 상기 Wi-Fi AP로의 접속을 차단할 수 있다.
상기 접속을 요청하는 단말이 상기 Wi-Fi AP로의 접속을 요청하는 경우, 상기 차단부를 활성화시키고, 상기 접속을 요청하는 단말이 상기 Wi-Fi AP로의 접속 요청을 중단하는 경우, 상기 차단부를 비활성화시키고, 상기 Wi-Fi AP가 Untrusted non-3GPP Access인 경우, 상기 암호화부를 활성화시키고, 상기 Wi-Fi AP가 Trusted non-3GPP Access인 경우, 상기 암호화부를 비활성화시키는 스위치부를 더 포함할 수 있다.
일 실시예에 따른 무선 보안 방법은 침입 방지 센서를 포함하는 무선 보안 장치에 의해 수행되는 방법으로서, 상기 침입 방지 센서로부터 Wi-Fi AP의 고유 정보와 상기 Wi-Fi AP에 접속을 요청하는 단말의 고유 정보를 수신하는 단계; 상기 Wi-Fi AP의 고유 정보 및 상기 접속을 요청하는 단말의 고유 정보에 기초하여 상기 접속을 요청하는 단말의 인가 여부를 판단하는 단계; 상기 접속을 요청하는 단말이 비인가 단말로 판단되는 경우, 상기 비인가 단말의 상기 Wi-Fi AP로의 접속을 차단하는 단계; 및 상기 접속을 요청하는 단말이 인가 단말로 판단되는 경우, 상기 인가 단말과의 통신 시 사용할 보안 터널을 생성하는 단계를 포함한다.
상기 보안 터널을 생성하는 단계는, 상기 접속을 차단하는 단계 이후 보안 터널을 생성할 수 있다.
상기 Wi-Fi AP의 고유 정보는, 상기 Wi-Fi AP의 MAC 주소, 일련 번호 및 하드웨어 정보 중 적어도 하나를 포함하고, 상기 접속을 요청하는 단말의 고유 정보는, 상기 단말의 MAC 주소, 일련 번호 및 하드웨어 정보 중 적어도 하나를 포함할 수 있다.
상기 접속을 요청하는 단말의 인가 여부를 판단하는 단계는, 상기 Wi-Fi AP의 고유 정보와 상기 접속을 요청하는 단말의 고유 정보를 매핑하여 하나의 쌍을 생성하는 단계; 및 상기 하나의 쌍을 기 인가된 Wi-Fi AP의 고유 정보와 기 인가된 단말의 고유 정보를 매핑하여 생성된 기 저장된 하나 이상의 쌍들과 비교하여 상기 접속을 요청하는 단말의 인가 여부를 판단하는 단계를 포함할 수 있다.
상기 접속을 차단하는 단계는, 상기 접속을 요청하는 단말이 비인가 단말로 판단되는 경우, 상기 침입 방지 센서가 상기 비인가 단말의 MAC 주소로 위장하여 상기 비인가 단말 대신 상기 Wi-Fi AP와 연결되도록 상기 침입 방지 센서에 접속 차단 요청 신호를 전송하여 상기 비인가 단말의 상기 Wi-Fi AP로의 접속을 차단하는 단계를 포함할 수 있다.
상기 접속을 요청하는 단말이 상기 Wi-Fi AP로의 접속을 요청하는 경우, 상기 접속을 차단하는 단계를 활성화시키고, 상기 접속을 요청하는 단말이 상기 Wi-Fi AP로의 접속 요청을 중단하는 경우, 상기 접속을 차단하는 단계를 비활성화시키고, 상기 Wi-Fi AP가 Untrusted non-3GPP Access인 경우, 상기 보안 터널을 생성하는 단계를 활성화시키고, 상기 Wi-Fi AP가 Trusted non-3GPP Access인 경우, 상기 보안 터널을 생성하는 단계를 비활성화시키는 단계를 더 포함할 수 있다.
개시되는 실시예들은 우선적으로 무선 구간 침입 방지 기능을 실행하고, 이후 무선 구간 암호화 기능을 실행하는 고정된 순서를 통해 Wi-Fi AP의 보안 기능을 향상시킬 수 있다.
개시되는 실시예들은 무선 구간 침입 방지 기능과 무선 구간 암호화 기능을 하나의 장비에 통합 구축하여 개별 사용 대비 단순한 구성으로 향상된 무선 보안 기능을 제공할 수 있다.
도 1은 일 실시예에 따른 무선 보안 장치를 설명하기 위한 블록도
도 2는 추가적인 실시예에 따른 무선 보안 장치를 설명하기 위한 블록도
도 3은 일 실시예에 따른 무선 보안 방법을 설명하기 위한 흐름도
도 4는 추가적인 실시예에 따른 무선 보안 방법을 설명하기 위한 흐름도
도 5는 추가적인 실시예에 따른 무선 보안 방법을 설명하기 위한 흐름도
도 6은 추가적인 실시예에 따른 무선 보안 방법을 설명하기 위한 흐름도
도 2는 추가적인 실시예에 따른 무선 보안 장치를 설명하기 위한 블록도
도 3은 일 실시예에 따른 무선 보안 방법을 설명하기 위한 흐름도
도 4는 추가적인 실시예에 따른 무선 보안 방법을 설명하기 위한 흐름도
도 5는 추가적인 실시예에 따른 무선 보안 방법을 설명하기 위한 흐름도
도 6은 추가적인 실시예에 따른 무선 보안 방법을 설명하기 위한 흐름도
본 명세서에서 사용되는 용어는 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어를 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 관례 또는 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 명세서의 설명 부분에서 그 의미를 기재할 것이다. 따라서 본 명세서에서 사용되는 용어는, 단순한 용어의 명칭이 아닌 그 용어가 가지는 실질적인 의미와 본 명세서의 전반에 걸친 내용을 토대로 해석되어야 함을 밝혀두고자 한다.
본 출원에서 사용한 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "구비하다", "가지다" 등의 용어는 명세서에 기재된 구성요소 또는 이들의 조합이 존재하는 것을 표현하려는 것이지, 다른 구성요소 또는 특징이 존재 또는 부가될 가능성을 미리 배제하는 것은 아니다.
또한, 본 명세서에 기술된 실시예는 전적으로 하드웨어이거나, 부분적으로 하드웨어이고 부분적으로 소프트웨어이거나, 또는 전적으로 소프트웨어인 측면을 가질 수 있다. 본 명세서에서 "부(unit)" 또는 "장치(device)" 등은 하드웨어, 하드웨어와 소프트웨어의 조합, 또는 소프트웨어 등 컴퓨터 관련 엔티티(entity)를 지칭한다.
이하 첨부 도면들 및 첨부 도면들에 기재된 내용들을 참조하여 실시예를 상세하게 설명하지만, 청구하고자 하는 범위는 실시예들에 의해 제한되거나 한정되지 아니한다.
도 1은 일 실시예에 따른 무선 보안 장치(100)를 설명하기 위한 블록도이다.
도 1을 참조하면, 무선 보안 장치(100)는 수신부(110), 판단부(120), 차단부(130) 및 암호화부(140)를 포함한다.
수신부(110), 판단부(120), 차단부(130) 및 암호화부(140)는 물리적으로 구분된 하나 이상의 장치를 이용하여 구현되거나, 하나 이상의 프로세서 또는 하나 이상의 프로세서 및 소프트웨어의 결합에 의해 구현될 수 있으며, 도시된 예와 달리 구체적 동작에 있어 명확히 구분되지 않을 수 있다.
수신부(110)는 침입 방지 센서로부터 Wi-Fi AP의 고유 정보와 Wi-Fi AP에 접속을 요청하는 단말의 고유 정보를 수신한다.
여기서, 침입 방지 센서란 네트워크로 연결되어 무선 장치(예: Wi-Fi AP, 접속 단말) 사이에 송수신되는 정보를 모니터링하고, 모니터링 된 정보를 무선 장치에 전송하여 무선 장치를 제어하는 장치일 수 있다.
침입 방지 센서는 주로 Wi-Fi AP와 Wi-Fi AP에 접속을 요청하는 단말 간의 정보를 대상으로 모니터링을 수행하고, 수신 또는 전송한 요청에 따라 단말의 Wi-Fi AP로의 접속을 차단하거나 허가함으로써, 무선 네트워크의 보안을 강화할 수 있다.
수신부(110)는 침입 방지 센서로부터 Wi-Fi AP와 Wi-Fi AP에 접속을 요청하는 단말 사이의 통신 패킷을 수신할 수 있다. 수신부(110)는 침입 방지 센서로부터 Wi-Fi AP와 Wi-Fi AP에 접속을 요청하는 단말 사이의 무선 트래픽 모니터링 정보를 수신할 수 있다. 수신부(110)는 Wi-Fi AP와 Wi-Fi AP에 접속을 요청하는 단말 사이의 통신 패킷에 포함된 Wi-Fi AP의 고유 정보와 Wi-Fi AP에 접속을 요청하는 단말의 고유 정보를 수신할 수 있다.
여기서, Wi-Fi AP의 고유 정보는, Wi-Fi AP의 MAC 주소, 일련 번호 및 하드웨어 정보 중 적어도 하나를 포함할 수 있다. Wi-Fi AP에 접속을 요청하는 단말의 고유 정보는, 단말의 MAC 주소, 일련 번호 및 하드웨어 정보 중 적어도 하나를 포함할 수 있다.
한편, 상술한 고유 정보는 예시적인 것에 불과하므로 상술한 예시 외에도 Wi-Fi AP와 단말을 식별할 수 있는 정보라면 이에 포함되는 것이고, 반드시 상술한 사항에 한정되는 것은 아니다.
판단부(120)는 Wi-Fi AP의 고유 정보 및 단말의 고유 정보에 기초하여 단말의 인가 여부를 판단한다.
판단부(120)는, Wi-Fi AP의 고유 정보와 Wi-Fi AP에 접속을 요청하는 단말의 고유 정보를 매핑하여 하나의 쌍을 생성하고, 생성된 하나의 쌍을 기 인가된 Wi-Fi AP의 고유 정보와 기 인가된 단말의 고유 정보를 매핑하여 생성된 하나 이상의 기 저장된 쌍들과 비교하여 단말의 인가 여부를 판단한다.
구체적으로, 판단부(120)는 Wi-Fi AP의 고유 정보와 Wi-Fi AP에 접속을 요청하는 단말의 고유 정보를 매핑하여 생성된 하나의 쌍이 기 인가된 Wi-Fi AP의 고유 정보와 기 인가된 단말의 고유 정보를 매핑하여 생성된 하나 이상의 기 저장된 쌍들 중 적어도 하나와 일치하는 경우, Wi-Fi AP에 접속을 요청하는 단말을 인가 단말로 판단할 수 있다. 반면, 판단부(120)는 Wi-Fi AP의 고유 정보와 Wi-Fi AP에 접속을 요청하는 단말의 고유 정보를 매핑하여 생성된 하나의 쌍이 기 인가된 Wi-Fi AP의 고유 정보와 기 인가된 단말의 고유 정보를 매핑하여 생성된 하나 이상의 기 저장된 쌍들 모두와 일치하지 않는 경우, Wi-Fi AP에 접속을 요청하는 단말을 비인가 단말로 판단할 수 있다.
차단부(130)는 단말이 비인가 단말로 판단되는 경우, 비인가 단말의 Wi-Fi AP로의 접속을 차단한다.
차단부(130)는 단말이 비인가 단말로 판단되는 경우, 침입 방지 센서에 접속 차단 요청 신호를 전송하여 비인가 단말의 Wi-Fi AP로의 접속을 차단할 수 있다.
구체적으로, 차단부(130)는 침입 방지 센서가 비인가 단말의 MAC 주소로 위장하여 비인가 단말 대신 Wi-Fi AP와 연결되도록 침입 방지 센서에 접속 차단 요청 신호를 전송하여 비인가 단말의 Wi-Fi AP로의 접속을 차단할 수 있다. 이때, Wi-Fi AP가 침입 방지 센서와 연결되어 비인가 단말과의 연결을 차단하면, 침입 방지 센서는 Wi-Fi AP에 접속 해제 요청 신호를 전송하여 Wi-Fi AP와의 접속을 해제할 수 있다.
암호화부(140)는 단말이 인가 단말로 판단되는 경우, 인가 단말과의 통신 시 사용할 보안 터널을 생성한다.
구체적으로, 암호화부(140)는 서로 다른 복수의 인가 단말들 각각에 대응하는 보안 터널을 생성할 수 있다. 예컨대, 암호화부(140)가 제1 인가 단말과의 통신에 사용할 제1 보안 터널을 생성하고, 제2 인가 단말과의 통신에 사용할 제2 보안 터널을 생성할 수 있다.
암호화부(140)는 단말이 인가 단말로 판단되는 경우, 차단부(130)에 인가 단말 확인 메시지를 전송한 후 보안 터널을 생성할 수 있다. 즉, 암호화부(140)는 차단부(130)에 인가 단말 메시지를 선결적으로 전송한 후 보안 터널을 생성하여 비인가 단말의 침입을 미연에 방지할 수 있게 한다.
암호화부(140)는 단말 및 복수의 5G 코어망들과 인증 요청 및 인증 응답을 주고 받음으로써 보안 터널을 생성할 수 있다.
구체적으로, 암호화부(140)는 암호화된 터널링 프로토콜, 예를 들어, IKE(Internet Key Exchange; 인터넷 표준 키 암호 프로토콜)을 이용하여 보안 연관(Security Association, SA)을 수립할 수 있다. 암호화부(140)는, 단말로부터 수신된 인증 방법, 암호화 알고리즘, 키 교환 등과 관련된 제1 IKE 요청을 수신하면, 이에 대한 응답을 수행한다. 암호화부(140)는 응답에 기초하여 송신된 단말의 제2 IKE 요청과 함께 IKE 메시지를 수신한다.
여기서, 암호화 알고리즘은 예를 들어, DES(Data Encryption Standard; 데이터 암호화 표준), 3DES(Triple Data Encryption Standard; 트리플 데이터 암호화 표준) 및 AES(Advanced Encryption Standard; 고급 암호화 표준)를 포함할 수 있다. 이때, 암호화부(140)는 데이터 통신 속도 및 데이터 보안을 고려하여 암호화 알고리즘의 종류를 선택할 수 있다. 예컨대, 데이터 통신 속도가 기 설정된 속도 이상으로 요구되는 경우, 암호화부(140)는 상대적으로 연산이 단순한 것으로 분류된 그룹에 속한 암호화 알고리즘을 선택할 수 있다. 반면, 데이터 보안을 위해 강도 높은 암호화 알고리즘이 선택될 필요가 있는 경우, 암호화부(140)는 연산이 상대적으로 복잡한 암호화 알고리즘을 선택할 수 있다.
암호화부(140)는 IKE 메시지를 AMF(Access and Mobility Management Function; 접근 및 이동성 관리) 노드에 전송한다. 이때, AMF 노드는 AUSF(Authentication Server Function; 인증 서버 기능) 노드에 단말 인증을 요청한다. AUSF 노드는 단말 인증 요청을 수신하면, UDM(Unified Data Management; 통합 데이터 관리) 노드에 인증 정보를 요청하고, UDM 노드로부터 인증 정보를 수신한다. 이후, AUSF 노드는 단말의 진위에 대한 인증을 수행하고, 인증 여부에 대한 결과를 AMF 노드에 전송한다. AMF 노드는 AUSF 노드의 인증 응답을 수신하여 단말에 NAS 보안 셋업을 요청한다. 단말은 AMF 노드의 NAS 보안 셋업 요청에 응답하여 AMF 노드에 NAS 보안 셋업 완료 메시지를 전송한다. 이때, AMF 노드가 인증 성공 메시지를 각각 암호화부(140)와 단말에 송신하면, 암호화부(140)는 단말과의 통신 시 데이터 보안을 위한 보안 터널을 생성할 수 있다.
도 2는 추가적인 실시예에 따른 무선 보안 장치(200)를 설명하기 위한 블록도이다.
도 2를 참조하면, 추가적인 실시예에 따른 무선 보안 장치(200)는 스위치부(210)를 더 포함한다.
한편, 도 2의 추가적인 실시예에 따른 무선 보안 장치(200)의 수신부(110), 판단부(120), 차단부(130) 및 암호화부(140)는 도 1에 도시된 구성과 동일한 것으로, 중복적인 설명은 생략하도록 한다.
스위치부(210)는 차단부(130)와 암호화부(140)를 활성화시키거나 비활성화시킬 수 있다. 즉, 스위치부(210)는 차단부(130)와 암호화부(140)의 기능을 조합적으로 활성화시킬 수 있다. 예컨대, 스위치부(210)는 차단부(130)와 암호화부(140)를 모두 활성화 시키거나, 하나만을 선택적으로 활성화시키거나, 모두 비활성화할 수 있다.
구체적으로, 스위치부(210)는 단말이 Wi-Fi AP로의 접속을 요청하는 경우, 차단부(130)를 활성화시킬 수 있다. 스위치부(210)는 단말이 Wi-Fi AP로의 접속을 요청하지 않는 경우, 차단부(130)를 비활성시킬 수 있다. 스위치부(210)는 Wi-Fi AP가 Untrusted non-3GPP Access인 경우, 암호화부(140)를 활성화시킬 수 있다. 스위치부(210)는 Wi-Fi AP가 Trusted non-3GPP Access인 경우, 암호화부(140)를 비활성화시킬 수 있다.
경우에 따라서, 스위치부(210)는 인가 단말에 대한 Wi-Fi AP로의 접속 차단 오류를 불식시키기 위해 단말이 Wi-Fi AP로의 접속을 요청하는 경우에도 차단부(130)를 비활성화시킬 수 있다.
이에 따라, 스위치부(210)는 조건에 따라 무선 구간 차단 기능 및 무선 구간 암호화 기능 중 적어도 하나를 선택적으로 실행함으로써, 불필요한 리소스의 낭비를 줄일 수 있다.
한편, 스위치부(210)가 차단부(130)와 암호화부(140)를 ON/OFF 시키는 조건은 전술한 바와 같이 설명하였으나, 이는 예시적인 것으로, 반드시 이에 한정되는 것은 아니고, 당업자에게 자명하게 이해되는 범위 내에서 변경될 수 있는 것으로 이해되어야 한다.
도 3은 일 실시예에 따른 무선 보안 방법을 설명하기 위한 흐름도이다.
도 3에 도시된 방법은 도 1의 무선 보안 장치(100)에 의해 수행될 수 있다. 도 3을 참조하면, 우선, 무선 보안 장치(100)는 침입 방지 센서로부터 Wi-Fi AP의 고유 정보와 Wi-Fi AP에 접속을 요청하는 단말의 고유 정보를 수신(310)한다.
이후, 무선 보안 장치(100)는 Wi-Fi AP의 고유 정보 및 단말의 고유 정보에 기초하여 단말의 인가 여부를 판단(320)한다.
이후, 무선 보안 장치(100)가 단말을 비인가 단말로 판단하는 경우, 무선 보안 장치(100)는 Wi-Fi AP로의 단말의 접속을 차단(330)한다.
반면, 무선 보안 장치(100)가 단말을 인가 단말로 판단하는 경우, 무선 보안 장치(100)는 단말과의 통신 시 사용할 보안 터널을 생성(340)한다.
도 4는 추가적인 실시예에 따른 무선 보안 방법을 설명하기 위한 흐름도이다.
도 4에 도시된 방법은 도 1의 무선 보안 장치(100)에 의해 수행될 수 있다.
도 4를 참조하면, 우선, 무선 보안 장치(100)는 침입 방지 센서로부터 Wi-Fi AP의 고유 정보와 Wi-Fi AP에 접속을 요청하는 단말의 고유 정보를 수신(410)한다.
이후, 무선 보안 장치(100)는 Wi-Fi AP의 고유 정보 및 단말의 고유 정보에 기초하여 단말의 인가 여부를 판단(420)한다.
이후, 무선 보안 장치(100)가 단말을 비인가 단말로 판단하는 경우, 무선 보안 장치(100)는 Wi-Fi AP로의 단말의 접속을 차단(430)한다.
반면, 무선 보안 장치(100)가 단말을 인가 단말로 판단하는 경우, 무선 보안 장치(100)는 단말과의 통신 시 사용할 보안 터널을 생성(440)한다.
한편, 도 4에서 무선 보안 장치(100)는 반드시 단계 440 이전에 단계 430을 선결적으로 수행하는 것으로 의도된다.
도 5는 추가적인 실시예에 따른 무선 보안 방법을 설명하기 위한 흐름도이다.
도 5에 도시된 방법은 도 2의 무선 보안 장치(200)에 의해 수행될 수 있다.
도 5를 참조하면, 우선, 무선 보안 장치(200)는 침입 방지 센서로부터 Wi-Fi AP의 고유 정보와 Wi-Fi AP에 접속을 요청하는 단말의 고유 정보를 수신(510)한다.
이후, 무선 보안 장치(200)는 Wi-Fi AP의 고유 정보 및 단말의 고유 정보에 기초하여 단말의 인가 여부를 판단(520)한다.
이후, 무선 보안 장치(200)가 단말을 비인가 단말로 판단하면, 무선 보안 장치(200)는 단말의 Wi-Fi AP로의 접속 요청을 판단(530)한다.
단말이 Wi-Fi AP로의 접속을 요청하는 경우, 무선 보안 장치(200)는 단말의 Wi-Fi AP로의 접속 차단 기능을 활성화(531)시키고, 단말이 Wi-Fi AP로의 접속을 요청하지 않는 경우, 무선 보안 장치(200)는 단말의 Wi-Fi AP로의 접속 차단 기능을 비활성화(532) 시킨다.
단말의 Wi-Fi AP로의 접속 차단 기능이 활성화(531)되는 경우, 무선 보안 장치(200)는 단말의 Wi-Fi AP로의 접속을 차단(533)한다. 반면, 단말의 접속을 차단하는 기능이 비활성화된 경우, 무선 보안 장치(200)는 단말의 Wi-Fi AP로의 접속을 차단하지 않는다.
반면, 무선 보안 장치(200)가 단말을 인가 단말로 판단하면, 무선 보안 장치(200)는 Wi-Fi AP가 Untrusted non-3GPP Access인지 여부를 판단(540)한다.
Wi-Fi AP가 Untrusted non-3GPP Access인 경우, 무선 보안 장치(200)는 상기 보안 터널을 생성하는 기능을 활성화(541)시키고, Wi-Fi AP가 Trusted non-3GPP Access인 경우, 보안 터널을 생성하는 기능을 비활성화(542)시킨다.
보안 터널을 생성하는 기능이 활성화(541)되는 경우, 무선 보안 장치(200)는 보안 터널을 생성(543)한다. 반면, 보안 터널을 생성하는 기능이 비활성화되는 경우, 무선 보안 장치(200)는 보안 터널을 생성하지 않는다.
한편, 도 5는 도면에 제시된 흐름도를 참조하여 순서대로 설명되었으나, 이는 설명의 편의를 위한 예시적인 것에 불과한 것으로, 일련의 흐름도는 서술한 순서에 한정되는 것은 아니다. 구체적으로, 도 5의 일부 블록들은 도시되고 기술된 것과 상이한 순서 또는 동시에 일어날 수도 있는 것으로 해석되어야 한다.
도 6은 추가적인 실시예에 따른 무선 보안 방법을 설명하기 위한 흐름도이다.
도 6에 도시된 방법은 도 2의 무선 보안 장치(200)에 의해 수행될 수 있다.
도 6를 참조하면, 우선, 무선 보안 장치(200)는 침입 방지 센서로부터 Wi-Fi AP의 고유 정보와 Wi-Fi AP에 접속을 요청하는 단말의 고유 정보를 수신(610)한다.
이후, 무선 보안 장치(200)는 Wi-Fi AP의 고유 정보 및 단말의 고유 정보에 기초하여 단말의 인가 여부를 판단(620)한다.
이후, 무선 보안 장치(200)가 단말을 비인가 단말로 판단하면, 무선 보안 장치(200)는 단말의 Wi-Fi AP로의 접속 요청을 판단(630)한다.
단말이 Wi-Fi AP로의 접속을 요청하는 경우, 무선 보안 장치(200)는 단말의 Wi-Fi AP로의 접속 차단 기능을 활성화(631)시키고, 단말이 Wi-Fi AP로의 접속을 요청하지 않는 경우, 무선 보안 장치(200)는 단말의 Wi-Fi AP로의 접속 차단 기능을 비활성화(632) 시킨다.
단말의 Wi-Fi AP로의 접속 차단 기능이 활성화(631)되는 경우, 무선 보안 장치(200)는 단말의 Wi-Fi AP로의 접속을 차단(633)한다. 반면, 단말의 접속을 차단하는 기능이 비활성화된 경우, 무선 보안 장치(200)는 단말의 Wi-Fi AP로의 접속을 차단하지 않는다.
이후, Wi-Fi AP가 Untrusted non-3GPP Access인 경우, 무선 보안 장치(200)는 상기 보안 터널을 생성하는 기능을 활성화(641)시키고, Wi-Fi AP가 Trusted non-3GPP Access인 경우, 보안 터널을 생성하는 기능을 비활성화(642)시킨다.
보안 터널을 생성하는 기능이 활성화(641)되는 경우, 무선 보안 장치(200)는 보안 터널을 생성(643)한다. 반면, 보안 터널을 생성하는 기능이 비활성화되는 경우, 무선 보안 장치(200)는 보안 터널을 생성하지 않는다.
한편, 무선 보안 장치(200)는 단계 640 내지 643 단계 이전에 반드시 단계 630 내지 633을 선결적으로 실행해야 하는 것으로 의도된다.
도 3 내지 도 6의 흐름도는 설명의 편의를 위해 블록도의 순서에 따라 설명되었다. 순서에 대한 별도의 언급이 없는 한, 그 순서는 예시적인 것으로서, 도 3 내지 도 6의 흐름도는 동일한 또는 유사한 결과를 달성하는 다양한 다른 분기, 흐름 경로, 및 블록의 순서들이 구현을 설명할 수 있는 것으로 의도된다. 또한, 본 명세서에서 기술되는 방법의 구현을 위하여 도시된 모든 블록들이 요구되지 않을 수도 있다.
이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: 무선 보안 장치
110: 수신부
120: 판단부
130: 차단부
140: 암호화부
200: 무선 보안 장치
210: 스위치부
110: 수신부
120: 판단부
130: 차단부
140: 암호화부
200: 무선 보안 장치
210: 스위치부
Claims (12)
- 침입 방지 센서로부터 Wi-Fi AP(Access Point; 액세스 포인트)의 고유 정보와 상기 Wi-Fi AP에 접속을 요청하는 단말의 고유 정보를 수신하는 수신부;
상기 Wi-Fi AP의 고유 정보 및 상기 접속을 요청하는 단말의 고유 정보에 기초하여 상기 단말의 인가 여부를 판단하는 판단부;
상기 접속을 요청하는 단말이 비인가 단말로 판단되는 경우, 상기 비인가 단말의 상기 Wi-Fi AP로의 접속을 차단하는 차단부; 및
상기 접속을 요청하는 단말이 인가 단말로 판단되는 경우, 상기 인가 단말과의 통신 시 사용할 보안 터널을 생성하는 암호화부를 포함하는, 무선 보안 장치.
- 제1항에 있어서,
상기 암호화부는, 상기 차단부가 상기 비인가 단말의 접속을 차단한 이후 상기 보안 터널을 생성하는, 무선 보안 장치.
- 제1항에 있어서,
상기 Wi-Fi AP의 고유 정보는, 상기 Wi-Fi AP의 MAC 주소, 일련 번호 및 하드웨어 정보 중 적어도 하나를 포함하고,
상기 접속을 요청하는 단말의 고유 정보는, 상기 단말의 MAC 주소, 일련 번호 및 하드웨어 정보 중 적어도 하나를 포함하는, 무선 보안 장치.
- 제1항에 있어서,
상기 판단부는, 상기 Wi-Fi AP의 고유 정보와 상기 접속을 요청하는 단말의 고유 정보를 매핑하여 생성된 하나의 쌍을 기 인가된 Wi-Fi AP의 고유 정보와 기 인가된 단말의 고유 정보를 매핑하여 생성된 기 저장된 하나 이상의 쌍들과 비교하여 상기 접속을 요청하는 단말의 인가 여부를 판단하는, 무선 보안 장치.
- 제1항에 있어서,
상기 차단부는,
상기 접속을 요청하는 단말이 비인가 단말로 판단되는 경우, 상기 침입 방지 센서가 상기 비인가 단말의 MAC 주소로 위장하여 상기 비인가 단말 대신 상기 Wi-Fi AP와 연결되도록 상기 침입 방지 센서에 접속 차단 요청 신호를 전송하여 상기 비인가 단말의 상기 Wi-Fi AP로의 접속을 차단하는, 무선 보안 장치.
- 제1항에 있어서,
상기 접속을 요청하는 단말이 상기 Wi-Fi AP로의 접속을 요청하는 경우, 상기 차단부를 활성화시키고, 상기 접속을 요청하는 단말이 상기 Wi-Fi AP로의 접속 요청을 중단하는 경우, 상기 차단부를 비활성화시키고, 상기 Wi-Fi AP가 Untrusted non-3GPP Access인 경우, 상기 암호화부를 활성화시키고, 상기 Wi-Fi AP가 Trusted non-3GPP Access인 경우, 상기 암호화부를 비활성화시키는 스위치부를 더 포함하는, 무선 보안 장치.
- 침입 방지 센서를 포함하는 무선 보안 장치에 의해 수행되는 방법으로서,
상기 침입 방지 센서로부터 Wi-Fi AP의 고유 정보와 상기 Wi-Fi AP에 접속을 요청하는 단말의 고유 정보를 수신하는 단계;
상기 Wi-Fi AP의 고유 정보 및 상기 접속을 요청하는 단말의 고유 정보에 기초하여 상기 접속을 요청하는 단말의 인가 여부를 판단하는 단계;
상기 접속을 요청하는 단말이 비인가 단말로 판단되는 경우, 상기 비인가 단말의 상기 Wi-Fi AP로의 접속을 차단하는 단계; 및
상기 접속을 요청하는 단말이 인가 단말로 판단되는 경우, 상기 인가 단말과의 통신 시 사용할 보안 터널을 생성하는 단계를 포함하는, 무선 보안 방법.
- 제7항에 있어서,
상기 보안 터널을 생성하는 단계는, 상기 접속을 차단하는 단계 이후 보안 터널을 생성하는, 무선 보안 방법.
- 제7항에 있어서,
상기 Wi-Fi AP의 고유 정보는, 상기 Wi-Fi AP의 MAC 주소, 일련 번호 및 하드웨어 정보 중 적어도 하나를 포함하고,
상기 접속을 요청하는 단말의 고유 정보는, 상기 단말의 MAC 주소, 일련 번호 및 하드웨어 정보 중 적어도 하나를 포함하는, 무선 보안 방법.
- 제8항에 있어서,
상기 접속을 요청하는 단말의 인가 여부를 판단하는 단계는, 상기 Wi-Fi AP의 고유 정보와 상기 접속을 요청하는 단말의 고유 정보를 매핑하여 하나의 쌍을 생성하는 단계; 및
상기 하나의 쌍을 기 인가된 Wi-Fi AP의 고유 정보와 기 인가된 단말의 고유 정보를 매핑하여 생성된 기 저장된 하나 이상의 쌍들과 비교하여 상기 접속을 요청하는 단말의 인가 여부를 판단하는 단계를 포함하는, 무선 보안 방법.
- 제8항에 있어서,
상기 접속을 차단하는 단계는,
상기 접속을 요청하는 단말이 비인가 단말로 판단되는 경우, 상기 침입 방지 센서가 상기 비인가 단말의 MAC 주소로 위장하여 상기 비인가 단말 대신 상기 Wi-Fi AP와 연결되도록 상기 침입 방지 센서에 접속 차단 요청 신호를 전송하여 상기 비인가 단말의 상기 Wi-Fi AP로의 접속을 차단하는 단계를 포함하는, 무선 보안 방법.
- 제8항에 있어서,
상기 접속을 요청하는 단말이 상기 Wi-Fi AP로의 접속을 요청하는 경우, 상기 접속을 차단하는 단계를 활성화시키고, 상기 접속을 요청하는 단말이 상기 Wi-Fi AP로의 접속 요청을 중단하는 경우, 상기 접속을 차단하는 단계를 비활성화시키고, 상기 Wi-Fi AP가 Untrusted non-3GPP Access인 경우, 상기 보안 터널을 생성하는 단계를 활성화시키고, 상기 Wi-Fi AP가 Trusted non-3GPP Access인 경우, 상기 보안 터널을 생성하는 단계를 비활성화시키는 단계를 더 포함하는, 무선 보안 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220119876A KR20240040940A (ko) | 2022-09-22 | 2022-09-22 | 무선 보안 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220119876A KR20240040940A (ko) | 2022-09-22 | 2022-09-22 | 무선 보안 장치 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20240040940A true KR20240040940A (ko) | 2024-03-29 |
Family
ID=90483876
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220119876A KR20240040940A (ko) | 2022-09-22 | 2022-09-22 | 무선 보안 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20240040940A (ko) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102425604B1 (ko) | 2019-12-10 | 2022-07-27 | 한국전자통신연구원 | 무선 통신 시스템에서의 보안 통신 방법 및 장치 |
-
2022
- 2022-09-22 KR KR1020220119876A patent/KR20240040940A/ko not_active Application Discontinuation
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102425604B1 (ko) | 2019-12-10 | 2022-07-27 | 한국전자통신연구원 | 무선 통신 시스템에서의 보안 통신 방법 및 장치 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112260995B (zh) | 接入认证方法、装置及服务器 | |
| US8959334B2 (en) | Secure network architecture | |
| US11102226B2 (en) | Dynamic security method and system based on multi-fusion linkage response | |
| JP4071966B2 (ja) | 無線ネットワーククライアントに対し認証されたアクセスを提供する有線ネットワークとその方法 | |
| JP5607655B2 (ja) | 非暗号化ネットワーク動作解決策 | |
| KR101143847B1 (ko) | 네트워크 보안장치 및 그 방법 | |
| Oniga et al. | Analysis, design and implementation of secure LoRaWAN sensor networks | |
| US20050111466A1 (en) | Method and apparatus for content based authentication for network access | |
| US20050213768A1 (en) | Shared cryptographic key in networks with an embedded agent | |
| EP3461097A1 (en) | Encrypted content detection method and apparatus | |
| CN114338019B (zh) | 基于量子密钥分发的网络通信方法、系统、装置及存储介质 | |
| CN109101811B (zh) | 一种基于SSH隧道的可控Oracle会话的运维与审计方法 | |
| KR101896449B1 (ko) | 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템 | |
| US20090028335A1 (en) | System and method for secure access control in a wireless network | |
| KR20100044199A (ko) | 트러스트 센터 링크 키를 초기화하는 네트워크 및 방법 | |
| KR20080108806A (ko) | 무선랜 침입 방지 시스템 및 방법 | |
| KR20240040940A (ko) | 무선 보안 장치 및 방법 | |
| Pavia et al. | The evolution and future perspective of security in mobile communications networks | |
| CN114189370A (zh) | 一种访问方法及装置 | |
| EP2095598B1 (en) | Secure network architecture | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| KR20170084778A (ko) | 인증된 릴레이 서버를 통한 서버 보호 시스템 및 방법 | |
| EP1976219A1 (en) | Secure network architecture | |
| KR20200098181A (ko) | 통합보안네트워크카드에의한네트워크보안시스템 | |
| KR102663891B1 (ko) | 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal |