WO2023017952A1

WO2023017952A1 - 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법

Info

Publication number: WO2023017952A1
Application number: PCT/KR2022/005381
Authority: WO
Inventors: 함성윤; 손민기
Original assignee: 주식회사 시큐아이
Priority date: 2021-08-10
Filing date: 2022-04-13
Publication date: 2023-02-16
Also published as: JP2024532793A; CN117837185A; KR102359805B1

Abstract

본 기술은 전자 장치에 관한 것으로, 본 기술에 따른 액세스 포인트와 단말의 연결을 모니터링하는 센싱 장치는 상기 단말과 상기 액세스 포인트간의 연결을 차단하기 위한 무선 통신 메시지를 생성하는데 사용되는 블록 템플릿을 저장하는 템플릿 저장부 및 상기 단말과 상기 액세스 포인트가 송수신하는 메시지를 획득하고, 상기 메시지를 기초로 분석한 결과, 상기 단말이 서버로부터 제공 받은 차단 대상 목록에 포함된 단말이면, 상기 블록 템플릿에 상기 액세스 포인트의 주소, 상기 단말의 주소 및 상기 단말과 상기 액세스 포인트가 통신하는 채널을 변경할 것을 요구하는 채널 변경 요청 명령을 삽입한 블록 메시지를 상기 단말에 송신하는 센싱 제어부를 포함하되, 상기 블록 템플릿은 상기 단말과 상기 액세스 포인트간의 연결에 이용되는 인증 방식 및 암호 방식을 포함하고, 상기 블록 메시지는 상기 블록 메시지를 송신하는 상기 센싱 장치에 관한 정보 및 차단 이유에 관한 정보를 포함한다.

Description

센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법

본 발명은 전자 장치에 관한 것으로, 보다 구체적으로는 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법에 관한 것이다.

인터넷의 급속한 발전과 보급으로 네트워크 환경은 점점 거대해지고 있으며, 인터넷의 간편하고 편리한 네트워크 접속과 제공하고 있는 다양한 서비스로 인하여 그 형태가 복잡해지고 있다. 그러나 인터넷 상에서의 바이러스, 해킹, 시스템 침입, 시스템 관리자 권한 획득, 침입사실 은닉, 서비스 거부공격 등과 같은 다양한 형태의 네트워크 공격으로 인해 인터넷은 항상 해킹의 위험에 노출되어 인터넷에 대한 침해가 증가하고 있고, 공공기관과 사회기반시설 및 금융 기관은 피해 규모가 점점 증가하며 그 영향력이 크다. 이러한 인터넷 보안문제를 해결하기 위해 바이러스 백신, 방화벽, 통합 보안 관리, 침입탐지시스템 등의 네트워크 보안 기술의 필요성이 대두되고 있다.

무선 인터넷 통신을 위한 무선 네트워크 시스템은 무선랜 액세스 포인트(Wireless LAN Access Point, AP)와 무선랜 단말을 포함한다.

최근에는 유선과 무선을 이용한 통합형 네트워크 시스템이 널리 개발되고 적용되고 있다. 유선으로 접근하는 유해 트래픽을 안정적으로 차단하는 것도 어렵지만, 무선으로 접근하는 유해 트래픽을 안정적으로 차단하는 것은 더 어렵다. 이를 해결하기 위해 무선 침입 방지 시스템(Wireless Intrusion Prevention System, WIPS)이 개발되고 있는 상황이다. WIPS는 무선 구간 모니터링을 통해 불법(rouge) AP/단말, 비인가 AP/단말 또는 DoS (Denial of Service) 공격 등의 무선 침입을 탐지 및 차단하는 시스템이다.

본 발명의 실시 예는 단말의 접속을 차단하는 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법을 제공한다.

본 발명의 실시 예에 따른 액세스 포인트와 단말의 연결을 모니터링하는 센싱 장치는 상기 단말과 상기 액세스 포인트간의 연결을 차단하기 위한 무선 통신 메시지를 생성하는데 사용되는 블록 템플릿을 저장하는 템플릿 저장부 및 상기 단말과 상기 액세스 포인트가 송수신하는 메시지를 획득하고, 상기 메시지를 기초로 분석한 결과 상기 단말이 서버로부터 제공 받은 차단 대상 목록에 포함된 단말이면, 상기 블록 템플릿에 상기 액세스 포인트의 주소, 상기 단말의 주소 및 상기 단말과 상기 액세스 포인트가 통신하는 채널을 변경할 것을 요구하는 채널 변경 요청 명령을 삽입한 블록 메시지를 상기 단말에 송신하는 센싱 제어부를 포함하되, 상기 블록 템플릿은 상기 단말과 상기 액세스 포인트간의 연결에 이용되는 인증 방식 및 암호 방식을 포함하고, 상기 블록 메시지는 상기 블록 메시지를 송신하는 상기 센싱 장치에 관한 정보 및 차단 이유에 관한 정보를 포함한다.

본 발명의 실시 예에 따른 액세스 포인트와 단말의 연결을 모니터링하는 센싱 장치의 동작 방법은, 상기 단말과 상기 액세스 포인트간의 연결을 차단하기 위한 무선 통신 메시지를 생성하는데 사용되는 블록 템플릿을 저장하는 단계, 상기 단말이 상기 액세스 포인트에 송신하는 메시지를 획득하고, 상기 메시지를 기초로 상기 단말이 서버로부터 제공 받은 차단 대상 목록에 포함된 단말인지 여부를 판단하는 단계 및 상기 블록 템플릿에 상기 액세스 포인트의 주소, 상기 단말과 상기 액세스 포인트가 통신하는 채널을 변경할 것을 요구하는 채널 변경 요청 명령을 삽입한 블록 메시지를 상기 단말에 송신하는 단계를 포함하되, 상기 블록 템플릿은 상기 단말과 상기 액세스 포인트간의 연결에 이용되는 인증 방식 및 암호 방식을 포함하고, 상기 블록 메시지는 상기 블록 메시지를 송신하는 상기 센싱 장치에 관한 정보 및 차단 이유에 관한 정보를 포함한다.

본 발명의 실시 예에 따른 액세스 포인트와 복수의 단말들의 연결을 모니터링하는 센싱 장치는 상기 복수의 단말들과 상기 액세스 포인트간의 연결을 차단하기 위한 무선 통신 메시지를 생성하는데 사용되는 블록 템플릿을 저장하는 템플릿 저장부 및 상기 복수의 단말들과 상기 액세스 포인트가 송수신하는 메시지를 획득하고, 상기 메시지를 분석한 결과, 상기 액세스 포인트가 서버로부터 제공 받은 차단 대상 목록에 포함된 액세스 포인트이면, 상기 블록 템플릿에 상기 액세스 포인트의 주소, 상기 복수의 단말들 각각의 주소 및 상기 단말과 상기 액세스 포인트가 통신하는 채널을 변경할 것을 요구하는 채널 변경 요청 명령을 삽입한 블록 메시지들을 상기 복수의 단말들에 송신하는 센싱 제어부를 포함하되, 상기 블록 템플릿은 상기 단말과 상기 액세스 포인트간의 연결에 이용되는 인증 방식 및 암호 방식을 포함하고, 상기 블록 메시지는 상기 블록 메시지를 송신하는 상기 센싱 장치에 관한 정보 및 차단 이유에 관한 정보를 포함한다.

본 기술에 따라 제공되는 단말의 접속을 차단하는 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법은, 첫 째, 블록 메시지 생성을 위해 IEEE 802.11w가 적용된 네트워크 인지 여부를 분석하거나, 그에 따른 세션 리스트를 별도로 관리하거나, 세션 리스트에 따라 별도의 차단 방법을 적용할 필요가 없으므로 불필요한 분석 시간을 줄여 블록 메시지 생성 시간을 단축할 수 있다.

둘 째, 본 발명은 블록 메시지 생성 과정에서 블록 메시지 생성을 위한 최소 정보만을 사전에 정의한 블록 템플릿을 적용함으로써 불필요한 AP 메시지를 복제하는 시간을 단축하고, 생성된 블록 메시지의 크기도 복제한 AP의 메시지에 비해 줄어들며, 삽입되는 채널 변경 요청도 주파수 대역에 상관없이 동일한 정보를 사용하게 되어 주파수 대역을 판단하는 시간도 단축할 수 있어 결과적으로 차단 성능을 향상할 수 있다.

셋 째, 본 발명은 차단 대상 단말에게만 블록 메시지를 송신하므로, AP에 접속한 정상적인 단말에 영향없이 블록 메시지를 송신할 단말만 차단할 수 있다. 또한, 차단 대상인 단말이 다수의 단말들인 경우 블록 메시지들을 차단할 모든 단말에 개별 전송함으로써 AP에 접속하고자 하는 모든 단말을 차단할 수 있는 효과도 얻을 수 있다.

넷 째, 본 발명은 블록 메시지 전송 시 블록 메시지 송신 주체 및 차단 사유 등의 내용을 포함할 수 있어 무선 차단에 대한 분쟁 발생 시 근거 자료로 활용할 수 있다.

다섯 째, 본 발명은 무선 표준에 기반한 기술 구현으로 기존에 사용되어온 주파수 대역(2.4Ghz, 5Ghz)에 추가하여 새로운 6Ghz 대역에서도 블록 메시지를 통해 동일한 차단 효과를 얻을 수 있다.

도 1은 WIPS가 AP와 단말간 연결을 차단하는 일반적인 동작을 설명하기 위한 도면이다.

도 2는 일반 무선 네트워크 및 소정 보안 기술이 적용된 무선 네트워크에서 종래 센싱 장치의 세션 판단 및 분류 절차를 설명하기 위한 순서도이다.

도 3은 일반 무선 네트워크 및 소정 보안 기술이 적용된 무선 네트워크에서 종래 센싱 장치의 차단 절차를 설명하기 위한 순서도이다.

도 4는 본 발명의 실시 예에 따른 WIPS를 설명하기 위한 도면이다.

도 5는 본 발명의 일 실시 예에 따른 WIPS의 동작을 설명하기 위한 도면이다.

도 6은 본 발명의 일 실시 예에 따른 단말 및 AP간의 연결을 센싱 장치가 차단하는 동작을 설명하기 위한 도면이다.

도 7은 본 발명의 일 실시 예에 따른 개선된 센싱 장치의 차단 절차를 설명하기 위한 순서도이다.

본 명세서 또는 출원에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 내지 기능적 설명들은 단지 본 발명의 개념에 따른 실시 예를 설명하기 위한 목적으로 예시된 것으로, 본 발명의 개념에 따른 실시 예들은 다양한 형태로 실시될 수 있으며 본 명세서 또는 출원에 설명된 실시 예들에 한정되는 것으로 해석되어서는 아니 된다.

이하에서 설명하는 무선 침입 방지 시스템(Wireless Intrusion Prevention System, 이하 WIPS)은 무선 구간 모니터링을 통해 불법(rouge) AP(Access Point)/단말, 비인가 AP(Access Point)/단말 또는 DoS(Denial of Service) 공격 등의 무선 침입을 탐지 및 차단하는 시스템이다.

본 명세서에서 기술하는 일반 무선 네트워크는 IEEE 802.11기술이 적용되는 무선 네트워크를 지칭할 수 있고, 소정 보안 기술이 적용된 무선 네트워크는 IEEE 802.11w 기술이 적용된 무선 네트워크를 지칭할 수 있다. IEEE 802.11w는 관리 프레임의 보안성을 향상시킨 IEEE 802.11의 수정 기술이다. 그러나, 이에 한정되는 것은 아니고, 본 발명의 실시 예는 다양한 보안 기술이 적용된 일반 무선 네트워크와 소정 보안 기술이 적용된 무선 네트워크에 공통적으로 적용될 수 있음은 물론이다.

액세스 포인트(Access Point, 이하 AP)는 자신에게 결합된(associated) 단말들을 위하여 무선 매체를 경유하여 분배시스템에 대한 접속을 제공하는 개체이다. AP는 PCP(Personal BSS Coordination Point)를 포함하는 개념으로 사용되며, 광의적으로는 집중 제어기, 기지국(Base Station, BS), 노드-B, BTS(Base Transceiver System), 또는 사이트 제어기 등의 개념을 모두 포함할 수 있다. 본 발명에서 AP는 베이스 무선 통신 단말로도 지칭될 수 있으며, 베이스 무선 통신 단말은 광의의 의미로는 AP, 베이스 스테이션(base station), eNB(eNodeB) 및 트랜스미션 포인트(TP)를 모두 포함하는 용어로 사용될 수 있다. 뿐만 아니라, 베이스 무선 통신 단말은 복수의 무선 통신 단말과의 통신에서 통신 매개체(medium) 자원을 할당하고, 스케줄링(scheduling)을 수행하는 다양한 형태의 무선 통신 단말을 포함할 수 있다.

단말(Station)은 IEEE 802.11 표준의 규정을 따르는 매체 접속 제어(Medium Access Control, MAC)와 무선 매체에 대한 물리층(Physical Layer) 인터페이스를 포함하는 임의의 디바이스로서, 광의로는 비 액세스 포인트(non-AP) 스테이션뿐만 아니라 액세스 포인트(AP)를 모두 포함할 수 있다. 본 명세서에서 ‘단말’은 non-AP 스테이션을 가리키나, 실시 예에 따라 non-AP 스테이션 및 AP 모두 가리키는 용어로 사용될 수도 있다. 무선 통신을 위한 스테이션은 프로세서(Processor)와 송수신부(transmit/receive unit)를 포함하고, 실시 예에 따라 유저 인터페이스부와 디스플레이 유닛 등을 더 포함할 수 있다. 프로세서는 무선 네트워크를 통해 전송할 메시지를 생성하거나 또는 상기 무선 네트워크를 통해 수신된 메시지를 처리하며, 그 밖에 스테이션을 제어하기 위한 다양한 처리를 수행할 수 있다. 그리고, 송수신부는 상기 프로세서와 기능적으로 연결되어 있으며 스테이션을 위하여 무선 네트워크를 통해 메시지를 송수신한다. 단말은 무선 네트워크를 통해 AP와 메시지를 송수신할 수 있다.

본 발명의 실시 예에 따른 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법은 AP와 단말간의 연결 과정에서 어떤 주파수 대역(2.4Ghz/5Ghz/6Ghz)을 사용하는지, IEEE 802.11w(PMF, Protected Management Frame)가 적용된 무선 네트워크인지, 어떤 인증 방식과 암호화 방식을 적용하는지, 네트워크 접속 전인지 후인지 여부를 구분하지 않고, AP와 단말간의 연결을 차단하는 기술을 제공할 수 있다.

도 1을 참조하면, WIPS(10)는 센싱 장치(100) 및 서버(200)를 포함할 수 있다.

센싱 장치(100)는 AP(20)와 단말(30)간 연결을 모니터링할 수 있다. 실시 예에서, 센싱 장치(100)는 무선 프레임을 수신할 수 있다. 예를 들어, 센싱 장치(100)는 단말(30)과 AP(20)가 연결하고자 송수신하는 메시지를 획득할 수 있다. 센싱 장치(100)는 단말(30)과 AP(20)로부터 획득한 메시지를 기초로 단말 또는 AP가 서버(200)로부터 제공 받은 차단 대상 목록에 포함된 단말(30) 또는 AP(20)인지 여부를 판단할 수 있다. 이후, 센싱 장치(100)는 차단 메시지를 무선 네트워크 상에 송신하여 단말(30)과 AP(20)간의 연결을 차단할 수 있다.

도 2를 참조하면, 단계 S201에서, 종래의 센싱 장치는 무선 프레임을 수신할 수 있다. 예를 들어, 종래의 센싱 장치는 단말과 AP가 송수신하는 메시지를 획득할 수 있다.

단계 S203에서, 종래의 센싱 장치는 단말과 AP가 송수신하는 메시지를 획득하여 새로운 단말인지 여부를 판단할 수 있다. 종래의 센싱 장치는 단말과 AP가 송수신하는 메시지를 분석한 결과 새로운 단말인 경우, 단계 S205가 수행될 수 있다. 이와 달리 단말과 AP가 송수신하는 메시지를 분석한 결과 새로운 단말이 아닌 경우, 단계 S201이 다시 수행될 수 있다.

단계 S205에서, 종래의 센싱 장치는 새로운 단말과 AP가 송수신하는 메시지를 분석하여 802.11w 기술이 적용된 연결인지 여부를 판단할 수 있다.

단계 S207에서, 종래의 센싱 장치는 새로운 단말과 AP가 송수신하는 메시지가 802.11w 기술이 적용된 연결인 경우 소정 보안 기술이 적용된 무선 네트워크로 분류하여, 단계 S209에서, 세션 리스트에 추가할 수 있다. 이와 달리, 새로운 단말과 AP가 송수신하는 메시지를 분석하여 802.11w 기술이 적용된 연결이 아닌 경우, 일반 무선 네트워크 연결로 분류하여 단계 S209에서, 세션 리스트에 별도로 추가할 수 있다.

단계 S209에서, 종래의 센싱 장치는 단말과 AP가 송수신하는 메시지를 분석한 세션 정보를 802.11w 연결인지 여부에 따라 구분하여 세션 리스트에 추가할 수 있다.

도 2를 통해 상술된 바와 같이, 종래의 센싱 장치는 단말과 AP가 송수신하는 메시지가 IEEE 802.11w 연결인지 여부에 따라 세션 리스트를 별도로 분류하는 절차를 진행하였다.

도 3을 참조하면, 단계 S301 및 S303에서 종래의 센싱 장치는 단말과 AP가 송수신하는 메시지를 분석하여 단말 또는 AP가 차단 대상인지 여부를 판단할 수 있다. 종래의 센싱 장치는 단말과 AP가 송수신하는 메시지를 분석한 결과 단말 또는 AP가 차단 대상인 경우, 단계 S305가 진행될 수 있다. 이와 달리, 단말 또는 AP가 차단 대상이 아닌 경우, 단계 S301이 다시 수행될 수 있다.

단계 S305에서, 종래의 센싱 장치는 단말과 AP가 송수신하는 메시지를 분석하여 802.11w 연결인지 여부를 판단할 수 있다. 단말과 AP가 송수신하는 메시지가 802.11w 연결인 경우 소정 보안 기술이 적용된 무선 네트워크로 판단하여 단계 S307이 진행될 수 있다. 이와 달리, 단말과 AP가 송수신하는 메시지가 802.11w 연결이 아닌 경우 일반 무선 네트워크로 판단하여 단계 S315가 진행될 수 있다.

단계 S307에서, 종래의 센싱 장치는 단말과 AP가 송수신하는 메시지가 802.11w 연결인 경우 AP가 송신하는 무선 통신 메시지를 복제할 수 있다.

단계 S315에서, 종래의 센싱 장치는 단말과 AP가 송수신하는 메시지가 802.11w 연결이 아닌 경우 페이크 비인증 메시지를 송신할 수 있다.

단계 S309에서, 종래의 센싱 장치는 단말과 AP가 송수신하는 메시지의 주파수 대역이 2.4Ghz인지 여부를 판단할 수 있다. 단말과 AP가 송수신하는 메시지의 주파수 대역이 2.4Ghz인 경우 단계 S311이 진행될 수 있다. 이와 달리, 단말과 AP가 송수신하는 메시지의 주파수 대역이 2.4Ghz가 아닌 5Ghz인 경우 단계 S317이 진행될 수 있다.

단계 S311에서, 종래의 센싱 장치는 복제한 AP의 무선 통신 메시지의 주파수 대역이 2.4Ghz인 경우 복제한 AP의 무선 통신 메시지에 채널 변경 요청 명령(CSA)을 삽입한 페이크 메시지를 생성할 수 있다.

채널 변경 요청 명령은 단말과 AP가 연결 또는 통신하는 채널을 변경할 것을 요구하는 명령일 수 있다.

단계 S317에서, 종래의 센싱 장치는 복제한 AP 무선 통신 메시지의 주파수 대역이 2.4Ghz가 아닌 5Ghz인 경우 복제한 AP의 무선 통신 메시지에 채널 변경 요청 명령(CSA)뿐만 아니라 확장된 채널 변경 요청 명령(확장 CSA)를 추가적으로 삽입한 페이크 메시지를 생성할 수 있다.

단계 S313에서, 종래의 센싱 장치는 생성된 페이크 메시지를 송신할 수 있다.

도 3을 통해 상술된 바와 같이, 종래의 센싱 장치는 단말과 AP간의 연결을 차단하기 위해 단말과 AP가 송수신하는 메시지가 802.11w 연결인지 여부에 따라 페이크 비인증 메시지 또는 복제한 AP의 무선 통신 메시지에 채널 변경 요청 명령(CSA)을 삽입한 페이크 메시지를 생성하여 무선 네트워크 상에 송신하였다. 또한, 종래의 센싱 장치는 복제한 AP의 무선 통신 메시지의 주파수 대역이 2.4Ghz인지 5Ghz인지 여부에 따라 대역 별로 다른 채널 변경 요청 명령을 페이크 메시지에 삽입하였다.

즉, 종래의 센싱 장치는 단말이 송신하는 메시지가 802.11w 연결인지 여부를 판단하는 절차, 복제한 AP의 무선 통신 메시지의 주파수 대역이 2.4Ghz인지 여부를 판단하는 절차 및 주파수 대역 별로 서로 다른 채널 변경 요청 명령을 생성하는 절차가 별도로 필요하였다.

도 4는 본 발명의 일 실시 예에 따른 WIPS를 설명하기 위한 도면이다.

도 4를 참조하면, WIPS(10)는 센싱 장치(100) 및 서버(200)를 포함할 수 있다. 실시 예에서 센싱 장치(100)는 단말 및 AP간 송수신하는 메시지를 모니터링하고, 모니터링한 메시지를 기반으로 이를 전송한 단말 또는 AP의 MAC 주소, 보안 설정 내용, 프레임 출현 빈도, 전송 속도, 데이터 양, SSID, IEEE 802.11 a/b/g/n/ac/ax, 채널, RSSI 등의 정보를 가공할 수 있다. 그리고, 센싱 장치(100)는 가공된 정보를 서버(200)로 전송할 수 있다.

서버(200)는 가공된 정보를 DB(database)화된 서명(signature) 정보와 비교하여 해당 단말 또는 AP의 비인가 여부 및 이상 동작 여부를 판단할 수 있다. 이때, 서명 정보는 메시지 헤더 정보 또는 메시지 발생 빈도 등의 정보를 포함할 수 있다.

서버(200)는 탐지된 AP의 비인가 여부를 판단할 수 있다. 서버(200)는 BSSID, MAC 주소 등, DB에 저장된 기타 정보를 기반으로 AP가 인가 AP로 사전에 분류되지 않은 경우 비인가 AP로 판단할 수 있다. 비인가 단말도 이와 유사한 방법으로 판단할 수 있다.

서버(200)는 해당 AP가 비인가 AP로 판단될 경우, 차단 정책에 의한 자동 차단을 실시하거나 알람을 발생시켜 관리자에 의해 수동 차단을 실시하게 할 수 있다. 차단 결정에 따라 서버(200)는 센서 장치(100)에게 차단 대상 목록 또는 차단 정책 정보를 전송할 수 있다.

센서 장치(100)는 차단 대상 목록 및 차단 정책에 기반한 판단에 의해 차단해야 할 AP와 단말을 선택하게 되고, 차단을 실시할 수 있다.

실시 예에서, 차단 대상 목록 및 차단 정책에 기반한 센싱 장치(100)의 차단은 특정 AP와 특정 단말간의 연결 차단을 포함할 수 있다. 센싱 장치(100)는 비인가 AP에 인가 단말이 연결되었을 경우 또는 인가 AP에 비인가 단말이 연결되었을 경우 연결을 차단할 수 있다. 예를 들어, 센싱 장치(100)는 비인가 AP의 BSSID가 탐지되면 인가 단말의 비인가 AP에 대한 연결을 차단할 수 있다. 다른 예로, 센싱 장치(100)는 비인가 단말의 MAC이 탐지되면 비인가 단말의 인가 AP에 대한 연결을 차단할 수 있다.

실시 예에서, 센싱 장치(100)는 템플릿 저장부(110) 및 센싱 제어부(120)를 포함할 수 있다.

템플릿 저장부(110)는 단말과 액세스 포인트간의 연결을 차단하기 위한 무선 통신 메시지를 생성하는데 사용되는 블록 템플릿을 저장할 수 있다.

예를 들어, 블록 템플릿은 단말과 AP간의 통신 방식에 포함된 인증 방식, 암호 방식, 주파수 대역 등이 단말마다 또는 AP마다 차이가 있어도, 단말과 AP간의 연결을 차단하기 위한 무선 통신 메시지를 생성하는데 사용되는 템플릿일 수 있다. 다른 예로, 블록 템플릿은 일반 무선 네트워크 또는 소정 보안 기술이 적용된 무선 네트워크인지 여부에 상관없이 단말과 AP간의 연결을 차단하기 위한 무선 통신 메시지를 생성하는데 사용되는 템플릿일 수 있다.

예를 들어, 블록 템플릿은 Support rate, DSP, TIM 및 RSN 등을 포함할 수 있다.

종래의 센싱 장치는 소정 보안 기술이 적용된 무선 네트워크에서 차단 대상인 AP가 송신하는 무선 통신 메시지를 복제하여 주파수 대역에 따라 채널 변경 요청 명령(CSA) 또는 확장된 채널 변경 요청 명령(Extended CSA)을 삽입한 페이크 메시지를 생성한 다음, 무선 네트워크상에 페이크 메시지를 송신하였다. 그러나 본 발명의 실시 예에서는, 단말이 AP가 송신하는 무선 통신 메시지로 판단할 수 있도록, 차단을 위한 무선 통신 메시지 생성에 필요한 항목만을 템플릿 저장부(110)에 미리 저장함으로써 무선 통신 메시지를 복제하는 방식에 비해 무선 통신 메시지의 생성 시간이 단축될 수 있고 무선 통신 메시지의 크기도 줄어들 수 있다.

센싱 제어부(120)는 AP와 단말간 연결을 모니터링하고, 단말이 AP와 송수신하는 메시지를 기초로 블록 메시지를 생성하여 단말에 송신할 수 있다.

실시 예에서, 센싱 제어부(120)는 블록 메시지 생성부(121) 및 통신 모듈(122)을 포함할 수 있다.

블록 메시지 생성부(121)는 통신 모듈(122)이 획득한 단말과 AP가 송수신하는 메시지를 분석할 수 있다. 블록 메시지 생성부(121)는 메시지를 송신할 단말의 정보를 추가/갱신할 수 있다. 블록 메시지 생성부(121)는 메시지를 송신할 단말이 서버(200)가 제공하는 차단 대상 목록에 해당하는지 여부를 판단할 수 있다. 블록 메시지 생성부(121)는 메시지를 송신할 단말이 차단 대상 목록에 해당하는 경우 블록 메시지를 생성할 수 있다.

블록 메시지 생성부(121)는 템플릿 저장부(110)로부터 블록 템플릿을 제공받아 블록 메시지를 생성할 수 있다. 실시 예에서, 블록 메시지 생성부(121)는 단말이 연결하고자 하는 AP가 비인가 AP인 경우, 블록 템플릿을 이용하여 블록 메시지를 생성할 수 있다.. 예를 들어, 블록 메시지 생성부(121)는 블록 템플릿에 보내는 주소를 비인가 AP의 BSSID로, 받는 주소를 비인가 AP에 연결하고자 하는 단말의 MAC으로 하여 채널 변경 요청 명령 및 기타 필요 정보를 삽입하여 블록 메시지를 생성할 수 있다. 채널 변경 요청 명령은 단말과 AP가 연결 또는 통신하는 채널을 변경할 것을 요구하는 명령일 수 있다. 실시 예에서, 채널 변경 요청 명령은 단말이 변경할 채널 값을 포함할 수 있다. 실시 예에서, 블록 메시지 생성부(121)는 블록 메시지를 송신하는 주체 또는 차단 이유를 나타내는 차단 메시지를 더 포함하는 블록 메시지를 생성할 수 있다.

다른 실시 예에서, 블록 메시지 생성부(121)는 복수의 단말들이 연결하고자 하는 AP가 비인가 AP인 경우, 블록 템플릿에 보내는 주소를 비인가 AP의 BSSID로, 받는 주소를 비인가 AP에 연결하고자 하는 복수의 단말들 각각의 MAC으로 하여 채널 변경 요청 명령 및 기타 필요 정보를 삽입하여 블록 메시지들을 생성할 수 있다. 이후, 블록 메시지 생성부(121)는 생성된 블록 메시지들을 통신 모듈(122)을 통해 비인가 AP에 접속하고자 하는 복수의 단말들에 개별적으로 송신할 수 있다.

실시 예에서, 블록 메시지 생성부(121)는 생성된 블록 메시지를 통신 모듈(122)을 통해 인가 단말에 송신함으로써 인가 단말과 비인가 AP간의 연결을 차단할 수 있다. 구체적으로, 인가 단말은 블록 메시지에 삽입된 채널 변경 요청 명령에 의해 변경할 채널을 통해 비인가 AP와의 연결을 시도하게 될 수 있다. 실시 예에서, 채널 변경 요청 명령에 포함된 변경할 채널 값은 단말이 접속하려는 비인가 AP가 실제로 사용하는 채널 값과 다른 채널 값이다. 예를 들어, 변경할 채널 값은 무작위로 생성된 채널 값일 수 있다. 즉, 블록 메시지에 삽입된 변경할 채널 값은 인가 단말이 접속하려는 비인가 AP가 송신하는 메시지가 사용하는 채널 값이 아니므로, 인가 단말은 비인가 AP와의 연결이 차단될 수 있다.

실시 예에서, 채널 변경 요청 명령은 단말 및 AP가 송수신하는 주파수 대역에 상관 없이 동일한 채널 변경 요청 명령을 생성하여 블록 메시지에 삽입할 수 있다. 구체적으로, 채널 변경 요청 명령에 포함된 변경할 채널 값은 랜덤으로 채널 값을 정할 수 있으므로, 2.4Ghz, 5Ghz 및 6Ghz의 주파수 대역에서 동일한 채널 변경 요청 명령을 생성할 수 있다. 이에 따라, AP가 송신하는 무선 통신 메시지의 주파수 대역을 판단할 시간이 필요 없고, 채널 변경 요청 명령을 생성하는 시간이 단축됨에 따라, 단말 및 AP간 연결을 차단하는 시간이 단축될 수 있다.

다른 실시 예에서, 블록 메시지 생성부(121)는 비인가 단말이 인가 AP에 연결하고자 하는 경우도 위와 동일한 방법으로 블록 템플릿을 기초로 블록 메시지를 생성하여 비인가 단말에 송신함으로써 비인가 단말과 인가 AP간의 연결을 차단할 수 있다.

실시 예에서, 블록 메시지 생성부(121)는 통신 모듈(122)을 통해 블록 메시지를 단말에 송신하여 단말과 AP간 연결을 차단하고, 차단 이벤트를 생성할 수 있다. 블록 메시지 생성부(121)는 생성된 차단 이벤트를 서버(200)로 전달할 수 있다.

통신 모듈(122)은 AP와 단말이 송수신하는 메시지를 획득할 수 있다. 실시 예에서, 통신 모듈(122)은 AP와 단말의 통신과정에서 획득한 메시지를 블록 메시지 생성부(121)에 제공할 수 있다.

통신 모듈(122)은 AP와 단말의 통신과정에서 획득한 메시지를 분석하여 서버(200)로부터 제공 받은 차단 대상 목록에 해당하는 경우, 블록 메시지 생성부(121)로부터 생성된 블록 메시지를 제공받아 단말에 송신할 수 있다.

본 발명은, 블록 메시지의 받는 주소를 단말의 MAC으로 설정함으로써, 차단하고자 하는 단말을 개별적으로 차단할 수 있다. 구체적으로, 인가 단말이 비인가 AP에 연결하려는 경우 또는 비인가 단말이 인가 AP에 연결하려는 경우 모두 차단할 단말에만 블록 메시지를 송신함으로써 개별적으로 차단이 가능할 수 있다. 이에 따라, 비인가 AP 또는 인가 AP에 연결하고자 하는 정상적인 단말의 연결에는 아무런 영향을 미치지 않을 수 있다.

종래의 센싱 장치는 AP와 단말의 연결이 이루어진 무선 네트워크 환경이 일반 무선 네트워크인지 또는 소정 보안 기술이 적용된 무선 네트워크인지 여부를 구분하였다. 그리고 종래의 센싱장치는 일반 무선 네트워크 환경에서는 페이크 비인증 메시지를 통해 AP와 단말의 연결을 차단하고, 소정 보안 기술이 적용된 무선 네트워크 환경에서는 차단할 AP의 무선 메시지를 복제하여 페이크 메시지를 생성하고, 생성한 페이크 페이지를 사용하여 AP와 단말의 연결을 차단하였다. 특히, 소정 보안 기술이 적용된 무선 네트워크 환경에서 사용되는 페이크 메시지의 경우, AP의 무선 통신 메시지(일반적으로 비콘으로 통용된다)를 복제하여 채널 변경 요청만 수정하여 사용하였다. 이때, 복제한 AP의 무선 통신 메시지에서 기본 수신지 주소는 브로드 캐스트 값이기 때문에 복제 대상이였던 AP에 연결하고자 하는 모든 단말에 페이크 메시지가 전송되어 모든 단말의 연결이 차단되었다.(일반적으로 'AP 차단'으로 통용된다)

예를 들어, 비인가 AP의 BSSID가 탐지되면 AP에 접속하는 모든 단말을 차단하는 AP 차단은 비인가 AP에 연결된 정상적인 단말의 연결도 차단하게 될 수 있다. 즉, 비인가 AP가 공공 서비스로 사용되는 AP인 경우, 비인가 AP에 대한 인가 단말의 AP 차단을 수행하게 되면, 비인가 AP에 정상적으로 연결하고 있는 단말의 연결도 방해하게 될 수 있다. 또한, 인가 AP에 비인가 단말이 연결을 시도하는 경우 AP 차단을 수행하게 되면, 인가 AP에 정상적으로 연결된 인가 단말들도 모두 차단되는 문제가 발생할 수 있다.

따라서, 본 발명은 차단하고자 하는 단말에만 블록 메시지를 송신함으로써 AP 차단으로 인해 발생하는 문제점을 개선할 수 있으며, 비인가 AP에 연결하려는 복수의 단말들에 대해 블록 메시지들을 개별 전송함으로써 AP 차단과 같은 효과를 얻을 수 있다.

도 5를 참조하면, WIPS(10)는 센싱 장치(100) 및 서버(200)를 포함할 수 있다.

실시 예에서, 센싱 장치(100)는 템플릿 저장부(110), 블록 메시지 생성부(121) 및 통신 모듈(122)을 포함할 수 있다.

단계 S501에서, 통신 모듈(122)은 무선 프레임을 수신할 수 있다. 예를 들어, 통신 모듈(122)은 단말과 AP가 송수신하는 메시지를 획득할 수 있다.

단계 S503에서, 통신 모듈(122)은 블록 메시지 생성부(121)에 AP와 단말의 통신과정에서 획득한 메시지 분석을 호출할 수 있다.

단계 S505에서, 템플릿 저장부(110)는 블록 템플릿을 블록 메시지 생성부(121)에 제공할 수 있다. 실시 예에서, 템플릿 저장부(110)는 단말과 AP간의 연결을 차단하기 위한 무선 통신 메시지를 생성하는데 사용되는 블록 템플릿을 블록 메시지 생성부(121)에 제공할 수 있다.

단계 S507에서, 서버(200)는 차단 대상 목록을 블록 메시지 생성부(121)에 제공할 수 있다. 실시 예에서, 차단 대상 목록은 비인가 AP, 비인가 단말, 인가 AP 및 인가 단말에 대한 목록을 포함할 수 있다.

단계 S509에서, 블록 메시지 생성부(121)는 통신 모듈(122)이 AP와 단말의 통신과정에서 획득한 메시지를 분석하여, 메시지를 송신할 단말의 정보를 추가하거나 갱신할 수 있다.

단계 S511에서, 블록 메시지 생성부(121)는 AP와 단말의 통신과정에서 획득한 메시지에 포함된 정보를 분석하여 차단 대상인 AP 또는 단말인지 여부를 서버(200)로부터 제공 받은 차단 대상 목록과 비교하여 판단할 수 있다.

단계 S513에서, 블록 메시지 생성부(121)는 단말의 메시지가 차단 목록 대상에 포함된 단말인 경우, 블록 템플릿에 단말이 접속하려는 AP의 BSSID, 단말의 MAC 및 채널 변경 요청 명령을 삽입한 블록 메시지를 생성할 수 있다. 실시 예에서, 블록 메시지 생성부(121)는 블록 메시지를 송신하는 주체 또는 차단 이유를 나타내는 차단 메시지를 더 포함하는 블록 메시지를 생성할 수 있다.

단계 S515에서, 블록 메시지 생성부(121)는 생성된 블록 메시지를 통신 모듈(122)에 제공할 수 있다.

단계 S517에서, 통신 모듈(122)은 블록 메시지를 단말에 송신할 수 있다.

단계 S519에서, 블록 메시지 생성부(121)는 단말과 AP간의 연결을 차단하고, 차단 이벤트 정보를 서버(200)에 전송할 수 있다.

도 6을 참조하면, 단계 S601은, 단말(30)과 AP(20)의 연결 과정일 수 있다. 실시 예에서, AP(20)는 비인가 AP일 수 있고, 단말(30)은 인가 단말일 수 있다. 다른 실시 예에서, AP(20)는 인가 AP일 수 있고, 단말(30)은 비인가 단말일 수 있다.

단계 S603에서, 센싱 장치(100)는 무선 프레임을 수신할 수 있다. 예를 들어, 센싱 장치(100)는 단말(30)과 AP(20)의 연결 과정에서 단말(30)과 AP(20)가 송수신하는 메시지를 획득할 수 있다. 센싱 장치(100)는 단말(30)과 AP(20)의 통신과정에서 획득한 메시지에 포함된 정보를 분석하여 서버(200)로부터 제공 받은 차단 대상 목록에 해당하는지 여부를 판단할 수 있다.

단계 S605에서, 센싱 장치(100)는 단말(30)과 AP(20)의 통신과정에서 획득한 메시지에 포함된 정보를 분석한 결과, AP 또는 단말이 서버(200)로부터 제공된 차단 대상 목록에 해당하는 경우, 블록 템플릿에 AP(20)의 BSSID, 단말(30)의 MAC, 채널 변경 요청 명령 및 기타 필요 정보가 삽입된 블록 메시지를 생성하여 단말(30)에 송신할 수 있다.

단계 S607에서, 단말(30)은 블록 메시지를 수신 받아 변경된 채널 값을 통해 AP(20)와의 연결을 시도하게 되면서 AP(20)와의 연결이 차단될 수 있다.

도 7을 참조하면, 단계 S701에서, 센싱 장치(100)는 무선 프레임을 수신할 수 있다. 예를 들어, 센싱 장치(100)는 단말과 AP의 통신과정에서 송수신하는 메시지를 획득할 수 있다.

단계 S703에서, 센싱 장치(100)는 단말과 AP의 통신과정에서 획득한 메시지를 분석하여 차단 대상인지 여부를 판단할 수 있다. 실시 예에서, 센싱 장치(100)는 단말과 AP의 통신과정에서 획득한 메시지가 서버(200)로부터 제공 받은 차단 대상 목록에 해당하는지 여부를 판단할 수 있다. 센싱 장치(100)는 단말과 AP의 통신과정에서 획득한 메시지에 포함된 정보를 분석한 결과, AP 또는 단말이 차단 대상 목록에 해당하는 경우 단계 S705가 진행될 수 있다. 이와 달리, 센싱 장치(100)는 단말과 AP의 통신과정에서 획득한 메시지에 포함된 정보를 분석한 결과 AP 또는 단말이 차단 대상 목록에 해당하지 않는 경우, 단계가 종료될 수 있다.

단계 S705에서, 단말과 AP의 통신과정에서 획득한 메시지에 포함된 정보를 분석한 결과 AP 또는 단말이 차단 대상 목록인 경우, 센싱 장치(100)는 블록 템플릿에 단말이 접속하려는 AP의 BSSID, 단말의 MAC, 채널 변경 요청 명령(CSA) 및 기타 필요 정보를 삽입한 블록 메시지를 생성할 수 있다.

단계 S707에서, 센싱 장치(100)는 생성된 블록 메시지를 단말에 송신할 수 있다.

도 7에 도시된 센싱 장치(100)는 도 3에 도시된 종래 센싱 장치의 차단 절차와 비교할 때 단말 및 AP간의 연결이 802.11w인지 여부에 관계 없이 동일하게 블록 메시지를 생성함으로써 802.11w인지 여부를 판단하는데 소모되는 시간을 줄일 수 있다. 또한, AP의 무선 통신 메시지를 모두 복제하는 대신 단말 및 AP간의 연결을 차단하는데 사용되는 항목들로만 구성된 블록 템플릿을 센싱 장치(100)에 저장하고 있음으로써 AP의 무선 통신 메시지를 복제하는 시간을 줄일 수 있다. 그리고, 센싱 장치(100)는 채널 변경 요청 명령에 포함된 변경할 채널 값을 AP가 송신하는 무선 통신 메시지에 포함된 채널 값을 제외한 랜덤 채널 값을 생성하므로, 종래의 센싱 장치에 비해 AP가 송신하는 무선 통신 메시지의 주파수 대역을 판단하는 시간 및 주파수 대역별로 채널 변경 요청 명령을 달리 생성하는 시간이 단축될 수 있다.

Claims

액세스 포인트와 단말의 연결을 모니터링하는 센싱 장치에 있어서,

상기 단말과 상기 액세스 포인트간의 연결을 차단하기 위한 무선 통신 메시지를 생성하는데 사용되는 블록 템플릿을 저장하는 템플릿 저장부; 및

상기 단말과 상기 액세스 포인트가 송수신하는 메시지를 획득하고, 상기 메시지를 기초로 분석한 결과, 상기 단말이 서버로부터 제공 받은 차단 대상 목록에 포함된 단말이면, 상기 블록 템플릿에 상기 액세스 포인트의 주소, 상기 단말의 주소 및 상기 단말과 상기 액세스 포인트가 통신하는 채널을 변경할 것을 요구하는 채널 변경 요청 명령을 삽입한 블록 메시지를 상기 단말에 송신하는 센싱 제어부;를 포함하되,

상기 블록 템플릿은 상기 단말과 상기 액세스 포인트간의 연결에 이용되는 인증 방식 및 암호 방식을 포함하고,

상기 블록 메시지는 상기 블록 메시지를 송신하는 상기 센싱 장치에 관한 정보 및 차단 이유에 관한 정보를 포함하는 센싱 장치.
제 1항에 있어서, 상기 채널 변경 요청 명령은,

변경할 채널 값을 포함하고, 상기 변경할 채널 값은, 상기 액세스 포인트가 사용하는 채널 값과 다른 채널 값인 센싱 장치.
제 2항에 있어서, 상기 변경할 채널 값은,

무작위로 생성된 채널 값인 센싱 장치.
액세스 포인트와 단말의 연결을 모니터링하는 센싱 장치의 동작 방법에 있어서,

상기 단말과 상기 액세스 포인트간의 연결을 차단하기 위한 무선 통신 메시지를 생성하는데 사용되는 블록 템플릿을 저장하는 단계;

상기 단말이 상기 액세스 포인트에 송신하는 메시지를 획득하고, 상기 메시지를 기초로 상기 단말이 서버로부터 제공 받은 차단 대상 목록에 포함된 단말인지 여부를 판단하는 단계; 및

상기 블록 템플릿에 상기 액세스 포인트의 주소, 상기 단말과 상기 액세스 포인트가 통신하는 채널을 변경할 것을 요구하는 채널 변경 요청 명령을 삽입한 블록 메시지를 상기 단말에 송신하는 단계;를 포함하되,

상기 블록 템플릿은 상기 단말과 상기 액세스 포인트간의 연결에 이용되는 인증 방식 및 암호 방식을 포함하고,

상기 블록 메시지는 상기 블록 메시지를 송신하는 상기 센싱 장치에 관한 정보 및 차단 이유에 관한 정보를 포함하는 센싱 장치의 동작 방법.
제 4항에 있어서, 상기 채널 변경 요청 명령은,

변경할 채널 값을 포함하고, 상기 변경할 채널 값은, 상기 액세스 포인트가 사용하는 채널 값과 다른 채널 값인 센싱 장치의 동작 방법.
제 5항에 있어서, 상기 변경할 채널 값은,

무작위로 생성된 채널 값인 센싱 장치의 동작 방법.
액세스 포인트와 복수의 단말들의 연결을 모니터링하는 센싱 장치에 있어서,

상기 복수의 단말들과 상기 액세스 포인트간의 연결을 차단하기 위한 무선 통신 메시지를 생성하는데 사용되는 블록 템플릿을 저장하는 템플릿 저장부; 및

상기 복수의 단말들과 상기 액세스 포인트가 송수신하는 메시지를 획득하고, 상기 메시지를 분석한 결과, 상기 액세스 포인트가 서버로부터 제공 받은 차단 대상 목록에 포함된 액세스 포인트이면, 상기 블록 템플릿에 상기 액세스 포인트의 주소, 상기 복수의 단말들 각각의 주소 및 상기 단말과 상기 액세스 포인트가 통신하는 채널을 변경할 것을 요구하는 채널 변경 요청 명령을 삽입한 블록 메시지들을 상기 복수의 단말들에 송신하는 센싱 제어부;를 포함하되,

상기 블록 템플릿은 상기 단말과 상기 액세스 포인트간의 연결에 이용되는 인증 방식 및 암호 방식을 포함하고,

상기 블록 메시지는 상기 블록 메시지를 송신하는 상기 센싱 장치에 관한 정보 및 차단 이유에 관한 정보를 포함하는 센싱 장치.
제 7항에 있어서, 상기 채널 변경 요청 명령은,

변경할 채널 값을 포함하고, 상기 변경할 채널 값은, 상기 액세스 포인트가 사용하는 채널 값과 다른 채널 값인 센싱 장치.
제 8항에 있어서, 상기 변경할 채널 값은,

무작위로 생성된 채널 값인 센싱 장치.