特許7079994WIPSセンサ及びWIPSセンサを用いた不正無線端末の侵入遮断方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2022-05-26
(45)【発行日】2022-06-03
(54)【発明の名称】WIPSセンサ及びWIPSセンサを用いた不正無線端末の侵入遮断方法
(51)【国際特許分類】
H04W 12/122 20210101AFI20220527BHJP
H04W 84/12 20090101ALI20220527BHJP
【FI】
H04W12/122
H04W84/12
【請求項の数】
11
(21)【出願番号】P 2021205230
(22)【出願日】2021-12-17
【審査請求日】2021-12-17
(31)【優先権主張番号】10-2021-0078420
(32)【優先日】2021-06-17
(33)【優先権主張国・地域又は機関】KR
【早期審査対象出願】
(73)【特許権者】
【識別番号】521553070
【氏名又は名称】ネオリジン カンパニー リミテッド
(74)【代理人】
【識別番号】110000800
【氏名又は名称】特許業務法人創成国際特許事務所
(72)【発明者】
【氏名】イ・スンベ
(72)【発明者】
【氏名】ホ・ホユン
【審査官】三枝 保裕
(56)【参考文献】
【文献】韓国登録特許第10-2102835(KR,B1)
【文献】特開2014-171128(JP,A)
【文献】特開2014-127831(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24- 7/26
H04W 4/00-99/00
(57)【特許請求の範囲】
【請求項1】
WIPS(wireless intrusion prevention system)センサを用いた不正無線端末の侵入遮断方法において、AP(access point)からリアルタイムに伝送されるパケットを収集する段階;
前記APと接続され、無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを収集する段階;
前記APまたは前記少なくとも1つの無線端末から受信したパケットを分析し、PMF(protected managed frame)が適用されたか否かを判定する段階;
前記PMFが適用された無線端末に対して不正無線端末であるか否かを判定する段階;
前記判定の結果、前記PMFが適用された無線端末が不正無線端末であると判断されれば、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成する段階;
生成された前記フェイクプローブ応答メッセージを前記不正無線端末に転送する段階;
前記不正無線端末に対する認証解除のためのフェイク認証解除メッセージを生成する段階;及び
生成された前記フェイク認証解除メッセージを前記APに転送する段階;。
を含む、WIPSセンサを用いた不正無線端末の侵入遮断方法。
【請求項2】
前記方法が、WIPSサーバから受信した不正装置情報およびセキュリティポリシー情報に基づいて、前記少なくとも1つの無線端末に対して、不正無線端末であるか否かを判定する段階;をさらに含む、請求項1に記載のWIPSセンサを用いた不正無線端末の侵入遮断方法。
【請求項3】
前記フェイクプローブ応答メッセージが、前記不正無線端末に対するアドレス情報を宛先情報として含む、請求項1に記載のWIPSセンサを用いた不正無線端末の侵入遮断方法。
【請求項4】
前記フェイクプローブ応答メッセージが、前記不正無線端末が現在接続されているチャネルとは別のチャネルに変更するよう指示する情報を含む、請求項1に記載のWIPSセンサを用いた不正無線端末の侵入遮断方法。
【請求項5】
前記方法が、前記不正無線端末への接続解除のためのフェイク接続解除メッセージを生成する段階;及び
生成された前記フェイク接続解除メッセージを前記不正無線端末に転送する段階;をさらに含む、請求項1に記載のWIPSセンサを用いた不正無線端末の侵入遮断方法。
【請求項6】
請求項1~5のいずれか一項に記載の方法を実行するためのプログラムが記録されていることを特徴とするコンピュータ可読記録媒体。
【請求項7】
WIPSセンサにおいて、AP(access point)からリアルタイムに伝送されるパケットを受信し、前記APと接続され、無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを受信する通信部;
前記APおよび無線端末から受信したパケットを格納するメモリ;
前記少なくとも1つの無線端末から受信したパケットを分析し、
PMF(protected managed frame)が適用された否かを判定する情報分析部;
前記情報分析部の分析結果に基づいて、前記PMFが適用された無線端末に対して不正無線端末であるか否かを判定する不正端末判定部;
前記判定の結果、不正無線端末であると判定されれば、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成するメッセージ生成部;及び
前記通信部を通じて、生成された前記フェイクプローブ応答メッセージを転送されるように処理する不正端末遮断処理部;を含み、
前記メッセージ生成部が、
前記不正無線端末に対する認証解除のためのフェイク認証解除メッセージを生成し、
前記不正端末遮断処理部が、
前記通信部を通じて、生成された前記フェイク認証解除メッセージを前記APに転送するように処理する、WIPSセンサ。
【請求項8】
前記不正端末判定部が、WIPSサーバから受信した不正装置情報およびセキュリティポリシー情報に基づいて、前記少なくとも1つの無線端末に対して不正無線端末であるか否かを判定する、請求項7に記載のWIPSセンサ。
【請求項9】
前記フェイクプローブ応答メッセージが、前記不正無線端末に対するアドレス情報を宛先情報として含む、請求項7に記載のWIPSセンサ。
【請求項10】
前記フェイクプローブ応答メッセージが、前記不正無線端末に現在接続されているチャネルとは別のチャネルに変更するよう指示する情報を含む、請求項7に記載のWIPSセンサ。
【請求項11】
前記メッセージ生成部が、前記不正無線端末に対する接続解除のためのフェイク接続解除メッセージを生成し、
前記不正端末遮断処理部が、
前記通信部を通じて、生成された前記フェイク接続解除メッセージを前記不正無線端末に転送するように処理する、請求項7に記載のWIPSセンサ。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、PMF(Protected Managed Frame)が適用された通信において、WIPS(Wireless Intrusion Prevention System)センサを用いた不正無線端末の侵入遮断方法及びWIPSセンサに関する。
【背景技術】
【0002】
一般にインターネットは、世界中のいかなる場所において、いかなる人が、接続したい対象のコンピュータにTCP/IPという共通のプロトコルを適用し、自由に接続して使用できるように構成されたオープンネットワークであり、基本的な文字情報の伝達の他、圧縮技術の発展とともにマルチメディア情報の配信に利用され、電子メール、ファイル転送、WWW(World Wide Web)などの多様なサービスを利用することができる。
【0003】
このようなインターネットは、国内をはじめ世界的にその使用が急激に増加しており、従来産業の全般にわたって効率性と生産性向上のための戦略的なツールとしてその重要性が急速に増大しており、インターネットを通じた新たなビジネス機会が持続的に創り出されるのはもちろんのこと、その領域も拡大される傾向にあり、インターネットを利用した事業者もますます増えている。
【0004】
専用ネットワークは、情報セキュリティのためにハッキングなど外部からの様々な侵入(以下、「侵入」という)を遮断するために、外部と閉鎖することが好ましい。また、専用ネットワーク内でも端末の情報へのアクセスを階層化して管理する必要性もある。そのため、各種セキュリティ技術が開発され、補完され、発展し続けている。
【0005】
また、無線技術の発展によって、ネットワークに無線接続できる無線LANが登場した。無線LANによって、無線端末が複雑な回線の接続過程を経なくとも、無線端末は、無線LANアクセスポイント(アクセスポイント:AP、以下、「AP」という)を介して容易にネットワークに接続される。これにより、無線端末のユーザは、非常に簡単にネットワークに接続することができるようになったが、その分ネットワークのセキュリティ性は、格段と低下した。このことは、閉鎖型に運用される専用ネットワークが種々のリスクにさらされる可能性があることを意味する。そこで、無線環境での侵入を遮断するためのシステム(Wireless Intrusion Prevention System:WIPS、以下、「WIPS」という)が開発された。
【0006】
なお、IEEE 802.11をベースにした無線LAN技術は、端末を有線に接続することなく、安価かつ迅速にネットワークを利用することができるので、家庭や企業、公衆回線において広く利用されている。特に、無線LANカードが取り付けられているノートパソコンやスマートフォン、タブレットが広く使われており、ユーザは日常生活のいかなる場所や時間においてインターネットを通じてゲーム(game)、ネットサーフィン(web surfing)、ニュース(news)、ソーシャルサービス(social service)などを利用できるようになった。また、ユーザは日常生活のいかなる場所や時間においてインターネットを通じて、容易にメールを送受信するなど、さまざまな形態のインターネットベースのアプリケーションサービスを活用することができるようになった。さらに、802.11n、802.11acなどの高速化技術と、802.11i、802.11wなどといった安全性が強化された無線LAN技術が登場し、より安全で便利な無線LAN技術を利用することができるようになった。
【0007】
しかしながら、安全性を強化する技術を無線LANに適用しても、無線の特徴による脆弱性は依然として存在する。有線技術とは異なり、無線技術ではネットワークに誰もがアクセスすることができ、ネットワーク接続点の実際の物理的位置を探すことが難しいので、アドレス偽装、盗聴、パケット偽装など、さまざまな形態の攻撃にそのままさらされる。
【0008】
このように家庭、企業、公衆回線で提供される無線LANにおいて、様々な攻撃と侵入の可能性があり、例えば、不正AP、サービス拒否(Denial of Service)攻撃、インサイダー攻撃などが代表的と言える。
【0009】
前記のWIPSは、APと無線端末(Station)との間で発生するパケットを検知し、ユーザによって定義されたセキュリティポリシーによって接続の不正を判定し、遮断する役割を果たす。
【0010】
しかし、近年発表されたWi-Fi6環境におけるWPA3暗号化環境では、802.11wに基づくPMF(Protected Managed Frame)の適用を必須とするので、従来のWIPS製品の認証解除フレーム(Deauthentication frame)及び接続解除フレーム(Disassociation frame)を介したAPと無線端末間の接続制御に限界がある。
【0011】
そこで、このようなPMFの適用による制御の限界を克服するための技術として特許文献1(発明の名称:WIPSセンサ、以下「従来技術」という)が提案された。前記従来技術は、フェイクビーコン(Fake Beacon)を発生させ、APのチャネル変更を無線端末に認識させる方法である。しかし、前記フェイクビーコンパケットを用いたチャネル変更信号は、ブロードキャスト(Broadcasting)伝送方式であって、周辺の全ての無線端末に受信され、当該APと接続された遮断対象である不正無線端末への接続と正常に接続された許可端末への接続の両方を遮断してしまうという課題が存在する。さらに、このようなPMFを使用するAPを基準にしてすべての接続に対して遮断および制御が起こるので、PMF APに対する別途の格納および管理が必要となる。
【先行技術文献】
【特許文献】
【0012】
【文献】韓国登録特許第10-2102835号公報
【発明の概要】
【発明が解決しようとする課題】
【0013】
本発明の目的は、PMFに基づいてAPに接続されている不正無線端末への接続と正常に接続された許可端末への接続を別個に制御し、PMF APに対する別途の格納及び管理ポイントを除去し、WIPSの遮断性能を向上させることができるWIPSセンサ及び該WIPSセンサを用いた不正無線端末の侵入遮断方法を提供することにある。
【0014】
また、本発明の目的は、PMFに基づいてAPに接続されている不正無線端末に対してのみ接続を遮断させることにより効率的に不正無線端末を制御することができるWIPSセンサ及び該WIPSセンサを用いた不正無線端末の侵入遮断方法を提供することにある。
【課題を解決するための手段】
【0015】
上述のような本発明の目的を達成し、後述する本発明特有の効果を達成するための本発明の特徴的な構成は、以下の通りである。
【0016】
本発明の一実施形態によれば、WIPSセンサは、AP(Access Point)からリアルタイムに伝送されるパケットを受信し、前記APと接続され、無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを受信する通信部;前記APおよび無線端末から受信したパケットを格納するメモリ;前記少なくとも1つの無線端末から受信したパケットを分析し、PMF(protected managed frame)が適用されたか否かを判定する情報分析部;前記情報分析部の分析結果に基づいて前記PMFが適用された無線端末に対して不正無線端末であるか否かを判定する不正端末判定部;前記判定の結果、不正無線端末であると判定された場合、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成するメッセージ生成部;及び、前記通信部を通じて、生成された前記フェイクプローブ応答メッセージを転送するように処理する不正端末遮断処理部;を含み、前記メッセージ生成部は、前記不正無線端末に対する認証解除のためのフェイク認証解除メッセージを生成し、前記不正端末遮断処理部は、生成された前記フェイク認証解除メッセージが前記通信部を通じて前記APに転送されるように処理する。
【0018】
好ましくは、前記不正端末判定部は、WIPSサーバから受信した不正装置情報およびセキュリティポリシー情報に基づいて、前記少なくとも1つの無線端末に対して不正無線端末であるか否かを判定する。
【0019】
好ましくは、前記フェイクプローブ応答メッセージは、前記不正無線端末に対するアドレス情報を宛先情報として含む。
【0020】
好ましくは、前記フェイクプローブ応答メッセージは、前記不正無線端末が現在接続されているチャネルとは別のチャネルに変更するよう指示する情報を含む。
【0022】
好ましくは、前記メッセージ生成部は、前記不正無線端末への接続解除のためのフェイク接続解除メッセージを生成し、前記不正端末遮断処理部は、生成された前記フェイク接続解除メッセージが前記通信部を通じて前記不正無線端末に転送されるように処理する。
【0023】
本発明のもう一つの実施形態によれば、WIPSセンサを用いた不正無線端末の侵入遮断方法は、AP(access point)からリアルタイムに伝送されるパケットを収集する段階と、前記APと接続して無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを収集する段階と、前記APまたは前記少なくとも1つの無線端末から受信したパケットを分析し、PMF(protected managed frame)が適用されるか否かを判定する段階と、前記PMFが適用された無線端末に対して不正無線端末であるか否かを判定する段階と、前記判定の結果、前記PMFが適用された無線端末が不正無線端末であると判定されれば、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成する段階と、生成された前記フェイクプローブ応答メッセージを転送する段階と、前記不正無線端末に対する認証解除のためのフェイク認証解除メッセージを生成する段階と、生成された前記フェイク認証解除メッセージを前記APに転送する段階と、を含む。
【0025】
好ましくは、前記方法は、WIPSサーバから受信した不正装置情報およびセキュリティポリシー情報に基づいて、前記少なくとも1つの無線端末に対する不正無線端末であるか否かを判定する段階をさらに含む。
【0026】
好ましくは、前記フェイクプローブ応答メッセージは、前記不正無線端末に対するアドレス情報を宛先情報として含む。
【0027】
好ましくは、前記フェイクプローブ応答メッセージは、前記不正無線端末に現在接続されているチャネルとは別のチャネルに変更するように指示する情報を含む。
【0029】
好ましくは、前記方法は、前記不正無線端末への接続解除のためのフェイク接続解除メッセージを生成する段階と、生成された前記フェイク接続解除メッセージを前記不正無線端末に転送する段階と、をさらに含む。
【0030】
なお、前記WIPSセンサを用いた不正無線端末の侵入遮断方法の提供を受けるための情報は、サーバコンピュータにおいて、読み取り可能な記録媒体に格納することができる。これらの記録媒体は、コンピュータシステムによって読み取り可能になるようにプログラムおよびデータが格納される全種類の記録媒体を含む。一例として、ROM(Read Only Memory)、RAM(Random Access Memory)、CD(Compact Disk)、DVD(Digital Video Disk)-ROM、磁気テープ、フロッピーディスク、光データ格納装置などがある。さらに搬送波(例えば、インターネットを介した伝送)の形態で具現されることも含まれる。また、これらの記録媒体は、ネットワークで接続されたコンピュータシステムに分散され、分散方式でコンピュータに読み取り可能なコードが格納され、実行される。
【発明の効果】
【0031】
上述したように、本発明によれば、不正無線端末に個別的なチャネル変更を誘導するフェイクプローブ応答(Fake Probe Response) メッセージ、チャネル変更後の再接続を防止するフェイク接続解除(Fake Disassociate)メッセージ、APの確認及び接続解除を誘導するフェイク認証解除(Fake Deauthentication)メッセージを転送することにより、PMFを使用するAPに接続された正常な無線端末と不正無線端末とを区別し、個別に制御することができる長所がある。
【0032】
また、本発明によれば、PMFの使用有無にかかわらず、すべての接続に使用することができる方法を提供し、PMFの使用有無による負担を除去し、性能向上を図り、無線ネットワークの個別セキュリティ性を向上させる効果がある。
【図面の簡単な説明】
【0033】
【図1】本発明の実施形態にかかる不正無線端末遮断システムの構成を示すブロック図である。
【図2】本発明の実施形態にかかるWIPSセンサの詳細構成を示すブロック図である。
【図3】本発明の実施形態にかかるAPと無線端末との間の接続手続きを示す信号のフローチャートである。
【図4】本発明の実施形態にかかるPMFを使用するAPと無線端末との間のセキュリティ接続確認手続きを示す信号のフローチャートである。
【図5】APから伝送されるビーコンフレームの例を示す図である。
【図6】本発明の実施形態にかかるWIPSセンサを用いた不正無線端末遮断のための信号のフローチャートである。
【図7】本発明の実施形態にかかるビーコンフレームの一例を示す図である。
【図8】本発明の実施形態にかかるフェイクプローブ応答フレームの一例を示す図である。
【図9】本発明の実施形態にかかるSAクエリ誘導および再接続防止のためのフェイク認証解除フレームの例を示す図である。
【図10】本発明の実施形態にかかる再接続を妨げるためのフェイク接続解除フレームの一例を示す図である。
【発明を実施するための形態】
【0034】
後述する本発明の詳細な説明は、本発明を実施することができる特定の実施形態を例示として示す添付の図面を参照にする。これらの実施形態は、当業者が本発明を実施するのに十分であるように詳細に説明される。本発明の様々な実施形態は互いに異なるが相互に排他的である必要はないことを理解されるべきである。例えば、本明細書に記載されている特定の形状、構造および特性は、一実施形態に関して本発明の目的および範囲から逸脱することなく他の実施形態で実施することができる。さらに、開示された各実施形態における個々の構成要素の位置または配置は、本発明の目的および範囲から逸脱することなく変更され得ることが理解されるべきである。したがって、後述する詳細な説明は限定的な意味で取るべきではなく、本発明の範囲は、適切に説明されている限り、特許請求の範囲が主張するものと同等のすべての範囲に加えて添付の特許請求の範囲によってのみ限定される。図中の同様の参照符号は、いくつかの態様にわたって同一または類似の機能を指す。
【0035】
本発明は、PMFに基づいてAPに接続されている、不正無線端末の接続と、正常に接続された許可端末の接続と、を別個に制御し、PMF APに対する別途の格納及び管理ポイントを除去し、WIPSの遮断性能を向上させることができるWIPSセンサ及び該WIPSセンサを用いた不正無線端末の侵入遮断方法を提供する。
【0036】
さらに、本発明の実施形態は、PMFに基づいてAPに接続されている不正無線端末に対してのみ接続を遮断することによって効率的に不正無線端末を制御できる。
【0037】
後述する本発明の実施形態は、このようなPMF APに接続されている、不正無線端末の接続と、正常に接続された許可端末の接続と、を別途に制御し、PMFに基づいて接続するAPに対する別途の格納及び管理ポイントを除去し、WIPSの遮断性能を向上できる。上記の目的のため、本発明の実施形態は、WIPSセンサにおいて、無線端末に対して個別にチャネル変更を誘導するフェイクプローブ応答(Fake Probe Response)メッセージ、チャネル変更後の再接続を防止するフェイク接続解除(Fake Disassovicate)メッセージ、APの確認および接続解除を誘導するフェイク認証解除メッセージを転送するようにし、PMFを使用するAPに接続された、正常無線端末と、不正無線端末と、を区別し、個別に制御できる。
【0038】
図1は、本発明の実施形態にかかる不正無線端末遮断システムの構成を示すブロック図である。図1を参照すれば、本発明の実施形態にかかるシステムは、WIPSセンサ100、WIPSサーバ110、AP120、複数の無線端末130(例えば、第1無線端末130-1、第2無線端末130-2…、第n無線端末130-n)を含むことができる。
【0039】
一実施形態によれば、WIPSセンサ100は、AP120および無線端末130から送受信されるパケットを監視し、WIPSサーバ110から提供される不正無線端末に関する情報またはセキュリティポリシーに関する情報に基づいて、不正無線端末を遮断するための機能を実行できる。WIPSサーバ110は、不正無線端末に関する情報またはセキュリティポリシーが変更されるたびに当該情報をWIPSセンサ100に提供できる。前記WIPSセンサ100は、前記WIPSサーバ110から受信した更新された情報に基づいて不正無線端末を遮断できる。
【0040】
無線端末130は、無線LANが備えられたノートパソコン、スマートフォンなどのAP120を介してデータのやり取りをすることができる様々な装置を含むことができる。WIPSセンサ100は、AP120を介して無線端末130に無線伝送されるデータパケットを検知できる。WIPSセンサ100とAP120は、有線で接続できる。ここで、AP120は、1つまたは複数個から構成されうる。データパケット(data packet)は、通信回線を通じて一つの装置から別の装置へブロックとして送信される情報の単位を意味しうる。ここで、データパケットは、サービスセット識別子(SSID)、サポート速度、タイムスタンプ、表示間隔、容量情報、チャネルなどの様々な要素フィールドを含める。
【0041】
前記WIPSセンサ100によって検知されたデータパケットは、WIPSサーバ110へ伝送できる。このとき、WIPSセンサ100は、通信部を通じて検知されたデータパケットをWIPSサーバ110へ伝送できる。WIPSセンサ100またはWIPSサーバ110は、前記AP120から送受信されるデータパケットまたは前記少なくとも1つの無線端末130から送受信されるデータパケットを分析し、前記少なくとも1つの無線端末130が不正無線端末であるか否かを判定できる。前記WIPSセンサ100の詳細機能については、図2の説明にて後述する。
【0042】
図2は、本発明の実施形態にかかるWIPSセンサの詳細構成を示すブロック図である。図2を参照すれば、WIPSセンサ100は、通信部210、制御部220、メモリ230を含める。制御部220は、パケット監視部221、情報分析部222、不正端末判定部223、メッセージ生成部224、不正端末遮断処理部225を含める。
【0043】
一実施形態によれば、前記パケット監視部221は、通信部210を通じて無線ネットワーク内のパケットをリアルタイムに収集できる。例えば、前記パケット監視部221は、少なくとも1つの無線端末130からAP120へ伝送されるパケットを収集でき、AP120を介して少なくとも1つの無線端末130に伝送されるパケットを収集できる。
【0044】
前記情報分析部222は、前記パケット監視部221を通じて収集された各データパケットを分析手段にて分析できる。前記情報分析部222は、無線ネットワークのパケットを分析し、AP120および無線端末130の情報を取得できる。例えば、前記情報分析部222において取得するAP120の情報は、AP120が持続的に放射するビーコンパケットを介してAPのBSSID(Basic Service Set ID)、SSID(Service Set ID)、チャネル、PMFの使用有無、暗号化情報、MAC(Medium Access Control)アドレスなどを含める。また、前記情報分析部222で取得する無線端末130の情報は、無線端末のBSSID、MAC(Medium Access Control)アドレス、接続されたAPのSSID、接続されたAPのBSSIDなどを含める。
【0045】
前記情報分析部222は、分析された情報をメモリ230に格納できる。また、WIPSセンサ100は、前記情報分析部222を介して分析された情報をWIPSサーバ110へ伝送できる。
【0046】
前記不正端末判定部223は、メモリ230に定期的に格納された検知情報、予め格納された不正装置情報、許可装置情報、およびセキュリティポリシー情報を呼び出し、比較することにより、各無線端末に対する不正無線端末の有無を判定できる。前記不正装置情報、許可装置情報、およびセキュリティポリシー情報は、リアルタイムに通信部210を介してWIPSサーバ110から配信され、メモリ230に格納できる。
【0047】
前記不正端末判定部223の判定の結果、少なくとも1つの無線端末130に対して不正無線端末と判定されれば、当該不正無線端末を遮断するための動作を行える。
【0048】
前記メッセージ生成部224は、本発明の実施形態にかかる前記不正無線端末を遮断するためのメッセージを生成できる。例えば、前記メッセージ生成部224は、不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(Fake Probe Response)メッセージを生成ができる。また、前記メッセージ生成部224は、再接続を防止するためのフェイク接続解除(Fake Disassociation)メッセージをMACを偽装して、AP120から送信されるものとして生成できる。また、前記メッセージ生成部224は、AP120に対する確認手続き誘導(いわゆる、SA(Security Association) Queryメッセージ送信)及び不正無線端末の再接続を妨げる目的から、無線端末のMACを偽造し、フェイク認証解除(Fake Deauthentication)メッセージを生成できる。
【0049】
前記メッセージ生成部224は、生成された各メッセージまたはパケットのソースアドレス、受信アドレスまたは宛先アドレスを、当該不正無線端末130またはAP120として指定できる。このようにすることにより、遮断対象の無線端末およびAPにのみ当該メッセージが伝送され、周辺無線接続装置に影響がでない。したがって、WIPSセンサ100は、各無線端末またはAP120がPMFを使用する場合やPMFを使用しない一般接続の場合を区別することなくメッセージを伝送できる。
【0050】
前記不正端末遮断処理部225は、前記メッセージ生成部224で生成されたメッセージをリアルタイムまたは周期的に通信部210を通じて不正無線端末130またはAP120に伝送するようにし、不正端末を遮断するように処理できる。
【0051】
図3は、本発明の実施形態にかかるAPと無線端末との間の接続手続きを示す信号のフローチャートである。図3を参照すると、AP120は、無線端末130にビーコン信号をブロードキャストできる(段階302)。前記ビーコン信号は、宛先が特定されない信号であって、ブロードキャストされる信号である。例えば、前記ビーコン信号のフレームは、図5に示すように構成できる。
【0052】
図5は、APから伝送されるビーコンフレームの一例を示す図である。図5を参照すると、図に示すように、受信者アドレス(receiver address)または宛先アドレス(destination address)がブロードキャスト設定され、アドレスが特定されないように設定(例えば、「ff:ff:ff:ff:ff:ff:ff」と設定)できる。これにより、ビーコンフレームは、AP120が位置する領域内のすべての無線端末から受信できる。また、従来技術により不正無線端末を遮断するためにビーコンフレームをフェイクビーコンフレームとして送信する場合、不正無線端末だけでなく、前記ビーコンフレームを受信する全ての正常な無線端末に対しても接続を遮断できる。
【0053】
一実施形態によれば、前記ビーコン信号を受信した無線端末130は、プローブ要求(probe request)メッセージをAP120に転送し、AP情報を検索できる(段階304)。前記AP120は、前記無線端末130からプローブ要求メッセージを受信し、プローブ応答メッセージを当該無線端末130に転送できる(段階306)。
【0054】
一実施形態によれば、前記プローブ応答メッセージを正常に受信した無線端末130は、前記当該AP120へ認証(authentication) 要求メッセージを送信できる(段階308)。前記認証要求メッセージを受信したAP120は、当該無線端末130に対する認証を行える。前記認証は、比較的低レベルの認証(例えば、Open、WEPベースの認証)を含み得る。認証が正常に完了されると、AP120は無線端末130に認証結果メッセージを転送できる(段階310)。
【0055】
一実施形態によれば、前記認証が正常に完了され、認証結果メッセージを受信した無線端末130は、AP120にアソシエーション要求(association request)メッセージを転送できる(段階312)。前記AP120は、前記無線端末130からアソシエーション要求メッセージを受信し、前記無線端末130にアソシエーション応答メッセージを転送できる(段階314)。
【0056】
このように、前記無線端末130とAP120との間に接続が完了されると、前記無線端末130とAP120は、それぞれが暗号化キーを交換することにより比較的高いレベルの認証(例えば、WPA/WPA2)、WPA3、または802.1Xに基づく認証)を実行できる(段階316)。
【0057】
前記高レベルの認証が完了されると、前記無線端末130とAP120は互いにデータを送受信できる(段階318)。例えば、無線端末130は、AP120を介して外部のネットワークへデータを転送でき、AP120を介して外部ネットワークから転送されたデータを受信できる。
【0058】
なお、前記高レベルの認証段階において、Wi-Fi6環境におけるWPA 3暗号化がサポートされる場合、802.11wに基づいてPMF(Protected Managed Frame)が必須的に適用されうる。
【0059】
図4は、本発明の実施形態にかかるPMFを使用するAPと無線端末との間のセキュリティ接続確認手続きを示す信号のフローチャートである。図4を参照すれば、前記図3にて述べたように、無線端末130とAP120との間にPMFを介した接続を設定することができる(段階402)。
【0060】
なお、WIPSセンサ100は、不正無線端末に対する遮断のためにAP120に認証解除(Deauthentication)メッセージを転送できる(段階404)。前記AP120に転送する認証解除メッセージは、PMFに適用されない無線端末に対する認証解除メッセージであってもよい。また、WIPSセンサ100は、不正無線端末に対する遮断のために当該無線端末130に認証解除メッセージを転送できる(段階406)。前記無線端末130に転送する認証解除メッセージは、PMFに適用されない無線端末に対する認証解除メッセージであってもよい。
【0061】
前記認証解除メッセージを受信したAP120は、無線端末130に対する認証を解除するか否かを確認するために、無線端末130に暗号化されたSA(Security Association)クエリ(query)を送信できる(段階408)。前記暗号化されたSAクエリ(SA query)を受信した無線端末130は、前記AP120にSAクエリ応答(SA Query Response)メッセージを前記AP120に転送できる(段階410)。すなわち、前記PMFが適用されたAP120および無線端末130は、WIPSセンサ100からPMFが適用されない認証解除メッセージを受信することにより、正常なSAクエリによる確認手続きを実行できる。これにより、前記無線端末130とAP120との間に、前記WIPSセンサ100から認証解除メッセージを受信しても、PMFを介した正常なデータフレームの送受信が行われる(段階412)。
【0062】
図6は、本発明の実施形態にかかるWIPSセンサを用いた不正無線端末遮断のための信号のフローチャートである。後述する図6の手続きは、上述した図1および図2のWIPSセンサ100、AP120、無線端末130を介して実行できる。図6を参照すれば、AP120は、無線端末130にビーコン信号をブロードキャストできる。前記AP120においてブロードキャストするビーコン信号は、上述した図5の形態で構成できる。
【0063】
一実施形態によれば、前記ビーコン信号は、特定の無線端末を対象とせずに当該領域内のすべての無線端末にブロードキャストされる。したがって、許可された無線端末だけでなく、不正無線端末130bにも、AP120からブロードキャストされるビーコン信号が受信される。後述する説明において、前記許可された無線端末を許可無線端末130aと称する。許可無線端末130aは、図3で述べたように、AP120とプローブ要求、プローブ応答、認証、アソシエーション要求、アソシエーション応答、暗号化キー交換などの手続きを正常に行うことにより、前記AP120とデータを送受信できる(段階604、段階606、段階608)。同様に不正無線端末130bも、図3で述べたように、AP120とプローブ要求、プローブ応答、認証、アソシエーション要求、アソシエーション応答、暗号化キー交換などの手続きを正常に行うことにより、前記AP120とデータを送受信できる(段階610)。説明の便宜上、前記許可無線端末130aおよび不正無線端末130bは、AP120とチャネル116に接続されていると仮定する。
【0064】
一実施形態によれば、WIPSセンサ100は、AP120、許可無線端末130a、不正無線端末130bから送受信されるデータパケットを収集し、格納できる。
【0065】
一実施形態によれば、前記パケット監視部221は、通信部210を介して無線ネットワーク内のパケットをリアルタイムに収集できる。例えば、前記パケット監視部221は、少なくとも1つの無線端末130からAP120に伝送されるパケットを収集でき、AP120を介して少なくとも1つの無線端末130に伝送されるパケットを収集できる。一実施形態によれば、前記WIPSセンサ100は、APが持続的に放射するビーコンパケットを受信し、APのBSSID(Basic Service Set ID)、SSID(Service Set ID)、チャネル、PMFの使用有無、暗号化情報、MAC(Medium Access Control)アドレスなどを確認できる。また、前記WIPSセンサ100は、各無線端末130aおよび130bから送受信されるデータパケットを受信し、無線端末のBSSID、MAC(Medium Access Control)アドレス、接続されたAPのSSID、接続されたAPのBSSIDなどを確認できる。
【0066】
一実施形態によれば、WIPSセンサ100は、前記AP120から送信されるビーコンフレームを介してPMF使用有無を確認できる。
【0067】
図7は、本発明の実施形態にかかるビーコンフレームの一例を示す図である。例えば、図7を参照すれば、ビーコンフレームに含まれたPMF関連情報(例えば、「Management Frame Protection Required」または「Management Frame Protection Capable」)の設定情報(例えば、「True」)を確認し、前記AP120から送信されるビーコンフレームのPMF使用有無を確認できる。
【0068】
一実施形態によれば、前記WIPSセンサ100は、前記チャネル116で発生するパケットを収集し分析し、各無線端末130a、130bの不正または許可可否について判定できる。すなわち、前記WIPSセンサ100は、前記AP120、許可無線端末130a、不正無線端末130bから送受信されるデータパケットを分析し、不正無線端末130bが不正に接続された無線端末であることを検知できる。
【0069】
前記WIPSセンサ100は、前記不正無線端末130bが不正に接続された無線端末であることを検知した場合、本発明の実施形態により、前記不正無線端末130bの接続を遮断する様々な手続きを実行できる。
【0070】
例えば、WIPSセンサ100は、前記不正無線端末130bが不正に接続された無線端末である場合、前記AP120とPMFを使用するか否かを問わず、フェイクプローブ応答メッセージを生成し、生成されたフェイクプローブ応答メッセージを前記不正無線端末130bに転送できる(段階612)。フェイクプローブ応答メッセージは、不正無線端末130bに対するチャネル変更を指示するメッセージであってもよい。
【0071】
前記WIPSセンサ100は、フェイクプローブ応答メッセージの送信元アドレス(source address)をAP120として設定し、宛先アドレス(destination adress)を不正無線端末130bとして設定することにより、フェイクプローブ応答メッセージが不正無線端末130bにのみ転送するようにできる。例えば、WIPSセンサ100は、AP120のMACアドレスに偽装し、プローブ応答メッセージを生成した後、生成されたフェイクプローブ応答メッセージを前記不正無線端末130bに持続的に転送できる。
【0072】
図8は、本発明の実施形態にかかるフェイクプローブ応答フレームの一例を示す図である。図8を参照すれば、フェイクプローブ応答メッセージは、受信者アドレス(receiver address)、宛先アドレス(destination address)、送信者アドレス(transmitter address)、ソースアドレス(source address)を設定して送信できる。さらに、フェイクプローブ応答メッセージは、チャネルを変更するように指示する情報をさらに含みうる。例えば、「Channel Switch Announcement Mode」に関する情報を「144」に設定することにより、現在のチャネル116に接続された不正無線端末130bのチャネルをチャネル144に変更するよう指示できる。
【0073】
前記不正無線端末130bは、前記WIPSセンサ100から転送されたフェイクプローブ応答メッセージを受信し、正常にAP120から転送されたプローブ応答メッセージを認識できる。前記不正無線端末130bは、フェイクプローブ応答メッセージに含まれるチャネル変更関連情報を確認し、自己チャネルをチャネル116からチャネル144に変更した後、一定時間、AP120のチャネルが変更されることに対して待機できる(段階614)。なお、前記不正無線端末130bのチャネルは、フェイクプローブ応答メッセージによってチャネル144に変更されたが、AP120はチャネルが変更されていないので、前記AP120と不正無線端末130b間では正常なデータ通信が行われないことがある。
【0074】
また、本発明の実施形態によれば、WIPSセンサ100は、前記不正無線端末130bのMACアドレスに偽造した認証解除メッセージをフェイク認証解除メッセージとして生成し、AP120に送信できる(段階616)。WIPSセンサ100で生成されたフェイク認証解除メッセージは、持続的にAP120に送信され得る。
【0075】
図9は、本発明の実施形態にかかるSAクエリ誘導および再接続防止のためのフェイク認証解除フレームの例を示す図である。図9において、フェイク認証解除メッセージは、受信者アドレスをAP120のアドレス(例えば、AP120のMACアドレス)として設定し、送信者アドレスを不正無線端末130bのアドレスとして設定できる。
【0076】
前記フェイク認証解除メッセージを受信したAP120が、PMFを使用するAPである場合、前記フェイク認証解除メッセージを受信したAP120は、フェイク認証解除メッセージが前記不正無線端末130bから配信されたメッセージであるか否かを確認するために、不正無線端末130bにSAクエリを送信できる(段階618)。
【0077】
なお、前記不正無線端末130bは、前記WIPSセンサ1000から転送されたフェイクプローブ応答メッセージによってチャネルがチャネル116からチャネル144に変更された状態であるため、AP120から送信されたSAクエリに対して正常に応答できない(段階620)。
【0078】
前記AP120は、SAクエリの送信による応答を正常に受信できないので、前記不正無線端末130bとの接続を終了できる(段階622)。すなわち、前記AP120は、前記不正無線端末130bからの応答がないので、前記WIPSセンサ100から転送されたフェイク認証解除メッセージを前記不正無線端末130bが再接続(電源オン/オフ)による正常な認証解除のためのメッセージとして認識し、前記不正無線端末130bとの接続を終了できる(段階622)。
【0079】
もし、前記AP120がPMFを使用しないAPであれば、別途の確認手続き(例えば、前記SAクエリ送信による確認手続き)なしで、前記WIPSセンサ100から転送されたフェイク認証解除メッセージを前記不正無線端末130bから転送された正常な認証解除メッセージとして認識し、接続解除を行うことができる。
【0080】
なお、前記不正無線端末130bは、変更されたチャネル144で一定時間待機した後にも、AP120に接続されず、再接続のための無線チャネルスキャン動作を行い、以前接続されたチャネル116を介してAP120と再接続の試みを行える(段階624)。
【0081】
一実施形態によれば、WIPSセンサ100は、前記不正無線端末130bのAP120への再接続の試みを妨げるためにフェイク接続解除(fake diassociate)メッセージを生成し、前記不正無線端末130bに転送できる。例えば、前記接続解除メッセージのソースアドレスをAP120のアドレス(例えば、AP120のMACアドレス)に偽造し、受信者アドレスを前記不正無線端末130bに偽造し、フェイク接続解除メッセージを生成することができる。前記WIPSセンサ100は、チャネル116を介し、生成されたフェイク接続解除メッセージを、前記不正無線端末130bに持続的に転送できる。
【0082】
図10は、本発明の実施形態にかかる再接続を妨げるためのフェイク接続解除フレームの一例を示す図である。図10を参照すれば、WIPSセンサ100は、送信者アドレスをAP120のアドレスとして設定し、受信者アドレスを前記不正無線端末130bのアドレスとして設定し、フェイク接続解除メッセージを生成できる。
【0083】
前記不正無線端末130bは、前記WIPSセンサ100から転送されたフェイク接続解除メッセージを、AP120から転送された正常な接続解除メッセージとして認識し、前記チャネル116への接続を持続的に解除できる。
【0084】
すなわち、図6に示すように、WIPSセンサ100は、不正無線端末130bに対してフェイクプローブ応答メッセージを介して、チャネルを変更させることによって接続を遮断できる。その後、WIPSセンサ100は、AP120へフェイク認証解除メッセージを転送することによって、PMFを使用する場合であっても、AP120と不正無線端末130bとの接続を終了させる。また、不正無線端末130bが再度接続を試みることを遮断するために、当該チャネルに対して不正無線端末130bにフェイク認証解除メッセージを転送することにより、不正無線端末130bの接続を持続的に遮断することができる。
【0085】
前述の手続きにより、許可無線端末130aの接続には全く影響されず、かつ不正無線端末130bに対しては個別に完全に接続を遮断することができる。
【0086】
一方、本発明による実施形態は、様々なコンピュータ手段を介して実行することができるプログラム命令形態で具現され、コンピュータ可読媒体に記録できる。前記コンピュータ可読媒体は、プログラム命令、データファイル、データ構造などを単独でまたはこれらの組み合わせで含みうる。前記媒体に記録されるプログラム命令は、本発明のために特別に設計され構成されたものであってもよく、コンピュータソフトウェアの当業者に公知されて使用可能なものであってもよい。コンピュータ可読記録媒体の例としては、ハードディスク、フロッピーディスク、磁気テープなどの磁気媒体(magnetic media)、CD-ROM、DVDなどの光記録媒体、光学ディスク、 フロプティカルディスク(Floptical disk)などのような光磁気媒体(megneto-optical media)、およびロム(ROM)、ラム(RAM)、フラッシュメモリなどのプログラム命令を格納し、実行するように特別に構成されたハードウェア装置が含まれる。プログラム命令の例としては、コンパイラによって作成されるような機械語コードだけでなく、インタプリタなどを使ってコンピュータによって実行することができる高級言語コードも含まれる。前記のハードウェア装置は、本発明の動作を実行するために1つ以上のソフトウェアモジュールとして動作するように構成でき、その役割も同様である。
【0087】
以上、本発明は、具体的な構成要素等のような特定事項と限定された実施形態及び図面により説明されたが、これは本発明のより全般的な理解を助けるために提供されたものに過ぎず、本発明は、前記の実施形態に限定されるものではない。本発明が属する分野で一般的な知識を有する者であれば、これらの記載から様々な修正および変形が可能である。
【0088】
したがって、本発明の思想は記載された実施形態に限定されず、後述する特許請求の範囲だけでなく、この特許請求の範囲と均等または等価的な変形がある全ては本発明の思想の範囲に属するといえる。
【符号の説明】
【0089】
100:WIPSセンサ
110:WIPSサーバ
120:AP
130:無線端末
130a:許可無線端末
130b:不正無線端末
210:通信部
220:制御部
221:パケット監視部
222:情報分析部
223:不正端末判定部
224:メッセージ生成部
225:不正端末遮断処理部
230:メモリ
110:WIPSサーバ
120:AP
130:無線端末
130a:許可無線端末
130b:不正無線端末
210:通信部
220:制御部
221:パケット監視部
222:情報分析部
223:不正端末判定部
224:メッセージ生成部
225:不正端末遮断処理部
230:メモリ
【要約】 (修正有)
【課題】WIPS(Wireless Intrusion Prevention System)センサを用いた不正無線端末の侵入遮断方法及びWIPSセンサ及びWIPSセンサを用いた不正無線端末の侵入遮断方法を提供する。
【解決手段】WIPSセンサを用いた不正無線端末の侵入遮断方法は、AP(Access Point)からリアルタイムに伝送されるパケットを収集する段階と、APと接続され、無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを収集する段階と、少なくとも1つの無線端末から受信したパケットの分析の結果、パケットを伝送した無線端末が不正無線端末であると判定されれば、不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成する段階と、生成されたフェイクプローブ応答メッセージを転送する段階と、を含む。
【選択図】図6
【解決手段】WIPSセンサを用いた不正無線端末の侵入遮断方法は、AP(Access Point)からリアルタイムに伝送されるパケットを収集する段階と、APと接続され、無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを収集する段階と、少なくとも1つの無線端末から受信したパケットの分析の結果、パケットを伝送した無線端末が不正無線端末であると判定されれば、不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成する段階と、生成されたフェイクプローブ応答メッセージを転送する段階と、を含む。
【選択図】図6
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
