ホーム > 特許ランキング > セキュイ コーポレイション
特表2023-517107無線侵入防止システム、これを含む無線ネットワークシステム、及び無線ネットワークシステムの作動方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-04-21
(54)【発明の名称】無線侵入防止システム、これを含む無線ネットワークシステム、及び無線ネットワークシステムの作動方法
(51)【国際特許分類】
H04W 12/121 20210101AFI20230414BHJP
H04W 12/61 20210101ALI20230414BHJP
【FI】
H04W12/121
H04W12/61
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2022554777
(86)(22)【出願日】2020-04-03
(85)【翻訳文提出日】2022-09-09
(86)【国際出願番号】 KR2020004571
(87)【国際公開番号】W WO2021182667
(87)【国際公開日】2021-09-16
(31)【優先権主張番号】10-2020-0030422
(32)【優先日】2020-03-11
(33)【優先権主張国・地域又は機関】KR
(81)【指定国・地域】
(71)【出願人】
【識別番号】522359110
【氏名又は名称】セキュイ コーポレイション
(74)【代理人】
【識別番号】110001243
【氏名又は名称】弁理士法人谷・阿部特許事務所
(72)【発明者】
【氏名】ハム ソン ユン
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA30
5K067BB21
5K067DD24
5K067EE02
5K067EE10
(57)【要約】
無線侵入防止システム、これを含む無線ネットワークシステム、及び無線ネットワークシステムの作動方法が提供される。このうち、無線侵入防止システムは、アクセスポイントと、上記アクセスポイントに無線ネットワークを介して無線フレームを送受信する複数の端末と、上記無線フレームをモニタリングする無線侵入防止システムと、を含み、上記無線侵入防止システムは複数の端末のうち特定端末に連結解除要求を伝送し、上記アクセスポイントが上記特定端末に応答することを遮断する。
【特許請求の範囲】
【請求項1】
アクセスポイント(Access Point)と、上記アクセスポイントに無線ネットワークを介して無線フレームを送受信する複数の端末(Station)と、
上記無線フレームをモニタリングする無線侵入防止システム(wireless intrusion prevention system)と、を含み、
上記無線侵入防止システムは複数の端末のうち特定端末に連結解除要求を伝送し、上記アクセスポイントが上記特定端末に応答することを遮断することを特徴とする無線ネットワークシステム。
【請求項2】
上記無線侵入防止システムは、上記アクセスポイントに上記アクセスポイントが上記特定端末に応答することを遮断するために妨害信号を伝送することを特徴とする請求項1に記載の無線ネットワークシステム。
【請求項3】
上記妨害信号はCTS(Clear to Send)フレームまたはRTS(Request to Send)フレームを含むことを特徴とする請求項2に記載の無線ネットワークシステム。
【請求項4】
上記妨害信号は上記アクセスポイントの混雑度を増加させるための信号を含むことを特徴とする請求項2に記載の無線ネットワークシステム。
【請求項5】
上記妨害信号は偽装されたパケットを含むことを特徴とする請求項4に記載の無線ネットワークシステム。
【請求項6】
上記偽装されたパケットは、新たな連結を要求するフレーム(Association frame)、再連結を要求するフレーム(Re-Association frame)、または現在の連結状態に対する連結解除を要求するフレーム(Dis-Association frame)を含むことを特徴とする請求項5に記載の無線ネットワークシステム。
【請求項7】
上記特定端末は上記連結解除要求に応答して上記アクセスポイントに保護された質問を伝送することを特徴とする請求項1に記載の無線ネットワークシステム。
【請求項8】
上記特定端末は上記アクセスポイントに所定の第1時間内に上記保護された質問に対して応答することを指示し、上記特定端末は上記第1時間内に上記応答がない場合、上記アクセスポイントとの連結を終了することを特徴とする請求項7に記載の無線ネットワークシステム。
【請求項9】
上記特定端末は上記アクセスポイントとの連結が終了した後、上記アクセスポイントに認証要求フレーム(authentication request frame)を伝送することを特徴とする請求項8に記載の無線ネットワークシステム。
【請求項10】
上記無線侵入防止システムは上記認証要求フレームが伝送された後、上記アクセスポイントまたは上記特定端末に認証解除フレーム(deauthentication frame)を伝送することを特徴とする請求項9に記載の無線ネットワークシステム。
【請求項11】
上記特定端末は非認可の端末、または非認可の攻撃者とネットワークを通して連結された端末であることを特徴とする請求項1に記載の無線ネットワークシステム。
【請求項12】
上記無線ネットワークはIEEE 802.11w技術を含むことを特徴とする請求項1に記載の無線ネットワークシステム。
【請求項13】
アクセスポイントが上記アクセスポイントに無線ネットワークを介して無線フレームを送受信する複数の端末のうち特定端末と連結を保持する段階と、上記無線フレームをモニタリングする無線侵入防止システムが上記アクセスポイントが上記特定端末に応答することを遮断するか、または上記アクセスポイントが上記特定端末に保護された質問を伝送することを遮断するために妨害信号を伝送する段階と、を含むことを特徴とする無線ネットワークシステムの作動方法。
【請求項14】
上記無線フレームをモニタリングする無線侵入防止システムが上記特定端末に連結解除要求を伝送する段階と、上記特定端末が上記アクセスポイントに保護された質問を伝送する段階と、
上記特定端末が上記アクセスポイントに所定の第1時間内に上記保護された質問に対して応答することを指示する段階と、
上記第1時間内に上記応答がない場合、上記特定端末が上記アクセスポイントと連結を終了する段階と、をさらに含むことを特徴とする請求項13に記載の無線ネットワークシステムの作動方法。
【請求項15】
上記特定端末は上記アクセスポイントと連結を終了した後、上記アクセスポイントに認証要求フレームを伝送する段階と、上記無線侵入防止システムが上記認証要求フレームが伝送された後、上記アクセスポイントまたは上記特定端末に認証解除フレームを伝送する段階と、をさらに含むことを特徴とする請求項14に記載の無線ネットワークシステムの作動方法。
【請求項16】
上記特定端末が上記アクセスポイントに接続要求を伝送する段階をさらに含み、上記妨害信号は上記アクセスポイントが上記特定端末に接続要求拒絶を伝送すること、または上記アクセスポイントが上記特定端末に上記保護された質問を伝送することを遮断する信号を含むことを特徴とする請求項13に記載の無線ネットワークシステムの作動方法。
【請求項17】
上記無線侵入防止システムが上記アクセスポイントに接続要求を伝送する段階をさらに含み、上記妨害信号は上記アクセスポイントが上記特定端末に上記保護された質問を伝送することを遮断する信号を含むことを特徴とする請求項13に記載の無線ネットワークシステムの作動方法。
【請求項18】
アクセスポイント及び複数の端末が無線ネットワークを介して送受信する無線フレームをモニタリングし、上記無線フレームに基づいて情報を加工するセンシング装置と、上記加工された情報を上記アクセスポイント及び上記複数の端末の非認可有無及び異常動作有無を判断するサーバと、を含み、
上記複数の端末のうち特定端末に対して上記アクセスポイントと連結を終了させるための妨害信号を提供する機能を含むことを特徴とする無線侵入防止システム。
【請求項19】
上記特定端末が上記アクセスポイントに接続を要求するために認証要求フレームを伝送すると、上記アクセスポイントまたは上記特定端末に認証解除フレームを伝送する機能をさらに含むことを特徴とする請求項18に記載の無線侵入防止システム。
【請求項20】
上記妨害信号は上記アクセスポイントが上記特定端末に応答することを遮断するか、または保護された質問を伝送することを遮断する信号を含むことを特徴とする請求項18に記載の無線侵入防止システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は無線侵入防止システム(WIPS)、これを含む無線ネットワークシステム、及び無線ネットワークシステムの作動方法に関する。
【背景技術】
【0002】
インターネットの急速な発展と普及に伴ってネットワーク環境は益々巨大になっており、インターネットの簡便且つ便利なネットワーク接続と提供している多様なサービスによってその形態が複雑になっている。しかし、インターネット上でのウイルス、ハッキング、システム侵入、システム管理者権限獲得、侵入事実の隠蔽、サービス拒否攻撃などの様々な形態のネットワーク攻撃により、インターネットは常にハッキングの危険にさらされ、インターネットに対する侵害が増加しており、公共機関と社会基盤施設及び金融機関は被害の規模が次第に増加しその影響力が大きい。このようなインターネットのセキュリティ問題を解決するために、ウイルス対策、ファイアウォール、統合セキュリティ管理、侵入検知システムなどのネットワークセキュリティ技術の必要性が浮かび上がっている。
【0003】
無線インターネット通信のための無線ネットワークシステムは、無線LANアクセスポイント(Wireless LAN Access Point、AP)と無線LAN端末を含む。APはアクセスポイント装置という装備を設置して使用している。
【0004】
最近では、有線と無線を利用した統合型ネットワークシステムが広く開発され適用されている。有線でアクセスする有害トラフィックを安定的に遮断することも難しいが、無線でアクセスする有害トラフィックを安定的に遮断することはさらに難しい、これを解決すべく、侵入遮断システム(Wireless Intrusion Prevention System、WIPS)が開発されている。WIPSは無線区間のモニタリングを通して非認可(rouge)APまたはDoS(Denial of Service)攻撃などの無線侵入を検知及び遮断するシステムである。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明が解決しようとする課題は、例えば、IEEE 802.11w技術のように保護された非認証フレームを通してAPに特定端末が接続する場合、特定端末の接続を遮断するWIPS、これを含む無線ネットワークシステムを提供することである。
【0006】
本発明の課題は上述した課題に限定されず、言及されていないさらに他の技術的課題は以下の記載から通常の技術者は明確に理解できるだろう。
【課題を解決するための手段】
【0007】
上記課題を解決するための本発明の一実施例による無線ネットワークシステムは、アクセスポイント(Access Point)と、上記アクセスポイントに無線ネットワークを介して無線フレームを送受信する複数の端末(Station)と、上記無線フレームをモニタリングする無線侵入防止システム(wireless intrusion prevention system)と、を含み、上記無線侵入防止システムは複数の端末のうち特定端末に連結解除要求を伝送し、上記アクセスポイントが上記特定端末に応答することを遮断する。
【0008】
上記無線侵入防止システムは、上記アクセスポイントに上記アクセスポイントが上記特定端末に応答することを遮断するために妨害信号を伝送することができる。
【0009】
上記妨害信号はCTS(Clear to Send)フレームまたはRTS(Request to Send)フレームを含むことができる。
【0010】
上記妨害信号は上記アクセスポイントの混雑度を増加させるための信号を含むことができる。
【0011】
上記妨害信号は偽装されたパケットを含むことができる。
【0012】
上記偽装されたパケットは、新たな連結を要求するフレーム(Association frame)、再連結を要求するフレーム(Re-Association frame)、または現在の連結状態に対する連結解除を要求するフレーム(Dis-Association frame)を含むことができる。
【0013】
上記特定端末は上記連結解除要求に応答して上記アクセスポイントに保護された質問を伝送することができる。
【0014】
上記特定端末は上記アクセスポイントに所定の第1時間内に上記保護された質問に対して応答することを指示し、上記特定端末は上記第1時間内に上記応答がない場合、上記アクセスポイントとの連結を終了することができる。
【0015】
上記特定端末は上記アクセスポイントとの連結が終了した後、上記アクセスポイントに認証要求フレーム(authentication request frame)を伝送することができる。
【0016】
上記無線侵入防止システムは上記認証要求フレームが伝送された後、上記アクセスポイントまたは上記特定端末に認証解除フレーム(deauthentication frame)を伝送することができる。
【0017】
上記特定端末は非認可の端末、または非認可の攻撃者とネットワークを通して連結された端末であることができる。
【0018】
上記無線ネットワークはIEEE 802.11w技術を含むことができる。
【0019】
上記課題を解決するための本発明の他の実施例による無線ネットワークシステムの作動方法は、アクセスポイントが上記アクセスポイントに無線ネットワークを介して無線フレームを送受信する複数の端末のうち特定端末と連結を保持する段階と、上記無線フレームをモニタリングする無線侵入防止システムが上記アクセスポイントが上記特定端末に応答することを遮断するか、または上記アクセスポイントが上記特定端末に保護された質問を伝送することを遮断するために妨害信号を伝送する段階と、を含む。
【0020】
上記無線ネットワークシステムの作動方法は、上記無線フレームをモニタリングする無線侵入防止システムが上記特定端末に連結解除要求を伝送する段階と、上記特定端末が上記アクセスポイントに保護された質問を伝送する段階と、上記特定端末が上記アクセスポイントに所定の第1時間内に上記保護された質問に対して応答することを指示する段階と、上記第1時間内に上記応答がない場合、上記特定端末が上記アクセスポイントと連結を終了する段階と、をさらに含むことができる。
【0021】
無線ネットワークシステムの作動方法は、上記特定端末は上記アクセスポイントと連結を終了した後、上記アクセスポイントに認証要求フレームを伝送する段階と、上記無線侵入防止システムが上記認証要求フレームが伝送された後、上記アクセスポイントまたは上記特定端末に認証解除フレームを伝送する段階と、をさらに含むことができる。
【0022】
無線ネットワークシステムの作動方法は、上記特定端末が上記アクセスポイントに接続要求を伝送する段階をさらに含み、上記妨害信号は上記アクセスポイントが上記特定端末に接続要求拒絶を伝送すること、または上記アクセスポイントが上記特定端末に上記保護された質問を伝送することを遮断する信号を含むことができる。
【0023】
無線ネットワークシステムの作動方法は、上記無線侵入防止システムが上記アクセスポイントに接続要求を伝送する段階をさらに含み、上記妨害信号は上記アクセスポイントが上記特定端末に上記保護された質問を伝送することを遮断する信号を含むことができる。
【0024】
上記課題を解決するための本発明の一実施例による無線侵入防止システムは、アクセスポイント及び複数の端末が無線ネットワークを介して送受信する無線フレームをモニタリングし、上記無線フレームに基づいて情報を加工するセンシング装置と、上記加工された情報を上記アクセスポイント及び上記複数の端末の非認可有無及び異常動作有無を判断するサーバと、を含み、上記複数の端末のうち特定端末に対して上記アクセスポイントと連結を終了させるための妨害信号を提供する機能を含むことができる。
【0025】
上記無線侵入防止システムは、上記特定端末が上記アクセスポイントに接続を要求するために認証要求フレームを伝送すると、上記アクセスポイントまたは上記特定端末に認証解除フレームを伝送する機能をさらに含むことができる。
【0026】
上記妨害信号は上記アクセスポイントが上記特定端末に応答することを遮断するか、または保護された質問を伝送することを遮断する信号を含むことができる。
【0027】
その他の実施例の具体的な事項は詳細な説明及び図面に含まれている。
【発明の効果】
【0028】
本発明の実施例によると、例えば、IEEE 802.11w技術のように保護された非認証フレームを通してAPに複数の端末が連結される場合、複数の端末のうち特定端末に対して連結を解除し、接続を遮断することができる。
【0029】
実施例による効果は以上で例示した内容に制限されず、さらに様々な効果が本明細書に含まれている。
【図面の簡単な説明】
【0030】
【図1】WIPSの概略的な構成を示すブロック図である。
【図2】WIPSの接続遮断方法を示すフローチャートである。
【図3】本発明の一実施例による無線侵入防止システムにおける連結技法を説明するための概念図である。
【図4】本発明の一実施例による無線侵入防止システムにおける連結防御技法を説明するための概念図である。
【図5】本発明の一実施例による無線侵入防止システムにおける連結技法を説明するための概念図である。
【図6】本発明の一実施例による無線侵入防止システムにおける連結解除防御技法を説明するための概念図である。
【図7】本発明の一実施例による無線侵入防止システムにおける特定端末の連結解除技法を説明するための概念図である。
【図10】本発明の他の実施例による無線侵入防止システムにおける特定端末の連結解除技法を説明するための概念図である。
【図13】本発明のさらに他の実施例による無線侵入防止システムにおける特定端末の連結解除技法を説明するための概念図である。
【図14】本発明のさらに他の実施例による無線侵入防止システムにおける特定端末の連結解除技法を説明するための概念図である。
【図15】本発明のさらに他の実施例による無線侵入防止システムにおける特定端末の連結解除技法を説明するための概念図である。
【図16】本発明のさらに他の実施例による無線侵入防止システムにおける特定端末の連結解除技法を説明するための概念図である。
【発明を実施するための形態】
【0031】
本発明の利点及び特徴、そしてそれらを達成する方法は、添付の図面と共に詳細に後述されている実施例を参照することによって明らかになるであろう。しかし、本発明は以下に開示される実施例に限定されるものではなく、相違する様々な形態で具現されてもよい。本実施例は本発明の開示が完全になるようにし、本発明が属する技術分野で通常の知識を有する者に発明の範疇を完全に理解させるために提供されるに過ぎず、本発明は特許請求の範囲によって定義される。
【0032】
第1、第2などが様々な構成要素を説明するために用いられるが、これらの構成要素はこれらの用語によって限定されない。これらの用語は1つの構成要素を他の構成要素と区別するためだけに使用される。従って、以下に言及される第1構成要素は、本発明の技術的思想内で第2構成要素であり得ることは言うまでもない。単数の表現は文脈上明らかに違う意味を持たない限り、複数の表現を含む。
【0033】
以下に説明する無線侵入防止システム(Wireless Intrusion Prevention System、以下、WIPS)は、無線区間のモニタリングを通して非認可(rouge)APまたはDoS攻撃などの無線侵入を検知及び遮断するシステムである。
【0034】
本明細書に記載の一般的な無線ネットワークはIEEE 802.11技術が適用される無線ネットワークを指し、そのうち所定のセキュリティ技術が適用された無線ネットワークはIEEE 802.11w技術が適用された無線ネットワークを指すことができる。IEEE 802.11wは管理フレームのセキュリティを向上させたIEEE 802.11の修正技術である。しかし、これに限定されず、本発明の実施例は様々なセキュリティ技術が適用された無線ネットワークに適用可能であることは言うまでもない。
【0035】
無線ネットワークシステムは1つまたはそれ以上のベーシックサービスセット(Basic Service Set、BSS)を含み、BSSは成功的に同期化して互いに通信できる機器の集合を示す。通常、BSSはインフラストラクチャーBSS(infrastructure BSS)と独立BSS(Independent BSS、IBSS)に分けられる。
【0036】
アクセスポイント(Acpess Point、以下、AP)は、自分に結合された(assaciated)端末のために無線媒体を経由して分配システムに対する接続を提供する個体である。APはPCP(Personal BSS Coordination Point)を含む概念で用いられ、広義では集中制御器、基地局(Base Station、BS)、ノード-B、BTS(Base Transceiver System)、またはサイト制御器などの概念をすべて含むことができる。本発明において、APはベース無線通信端末とも称することができ、ベース無線通信端末は、広義ではAP、ベースステーション(base station)、eNB(eNodeB)及びトランスミッションポイント(TP)を全て含む用語として用いられてもよい。さらに、ベース無線通信端末は、複数の無線通信端末との通信において通信媒介体(medium)資源を割り当て、スケジューリング(scheduling)を行う様々な形態の無線通信端末を含んでもよい。
【0037】
端末は、IEEE 802.11標準の規定に従う媒体接続制御(Medium Access Control、MAC)と無線媒体に対する物理層(Physical Layer)インターフェースを含む任意のデバイスであり、広義では非アクセスポイント(non-AP)ステーションだけでなく、アクセスポイント(AP)を全て含むことができる。本明細書における「端末」はnon-APステーションを指すが、実施例によってはnon-APステーション及びAPを全て指す用語として用いられてもよい。無線通信のためのステーションは、プロセッサ(Processor)と送受信部(transmit/receive unit)を含み、実施例によってはユーザインタフェース部とディスプレイユニットなどをさらに含んでもよい。プロセッサは、無線ネットワークを介して伝送するフレームを生成するか、または上記無線ネットワークを介して受信したフレームを処理し、その他ステーションを制御するための様々な処理を行うことができる。そして、送受信部は上記プロセッサと機能的に連結されており、ステーションのために無線ネットワークを介してフレームを送受信する。端末は無線ネットワークを介してAPとフレームを送受信することができる。
【0038】
以下、添付の図面を参照して本発明の実施例を詳細に説明する。図面上の同じ構成要素に対して同一または類似する参照符号を使用する。
【0039】
図1はWIPSの概略的な構成を示すブロック図である。
【0040】
図1を参照すると、WIPS10はセンシング装置100及びサーバ130を含んでもよい。一方、無線ネットワークサービスとセンシング装置を同時に構成することができる企業ネットワークでは、必要に応じてAPコントローラをさらに含んでもよい。
【0041】
WIPS10が遮断ポリシーを決める動作は以下の通りであってもよい。
【0042】
例えば、センシング装置100は無線フレームをモニタリングし、モニタリングした無線フレームに基づいてこれを伝送した端末またはAPのMACアドレス、セキュリティ設定内容、フレーム出現頻度、伝送速度、データ量、SSID、IEEE 802.11a/b/g/nなどの有無、チャネル、RSSIなどの情報を加工することができる。そして、センシング装置100は加工された情報をサーバ130に伝送することができる。
【0043】
サーバ130は加工された情報をDB(database)化された署名(signature)情報と比較して、該当端末またはAPの非認可有無及び異常動作有無を判断することができる。このとき、署名情報は無線フレームのヘッダ情報またはフレーム発生頻度などの情報を含んでもよい。
【0044】
サーバ130は検知されたAPの非認可有無を2つの場合で判断することができる。サーバ130はSSID、MACアドレス、DBに保存されたその他の情報に基づいて非認可AP有無を判断するか、該当APが社内有線網に連結されていない場合は非認可APと判断することができる。このとき、社内有線網への連結有無の判断は様々な方法で行われてもよい。非認可端末も同様の方法で判断することができる。
【0045】
サーバ130は該当APが非認可であるか、または異常動作中のAPまたは端末と判断される場合、遮断ポリシーによる自動遮断を行うか、アラームを発生させて管理者が手動遮断を行うようにすることができる。遮断決定に応じて、サーバ130はセンサ装置100に遮断対象リストまたは遮断ポリシー情報を伝送することができる。
【0046】
センサ装置100は遮断対象リスト及び遮断ポリシーに基づく判断によって遮断すべきAPと端末を選択し、遮断を行うことができる。
【0047】
例えば、遮断対象リスト及び遮断ポリシーに基づくセンシング装置100の遮断は、以下のような種類を含んでもよい。
【0048】
一例として、センシング装置100の遮断はAP遮断を含んでもよい。このとき、センシング装置100は遮断対象APのBSSIDが感知されると、特定端末対象ではなく、APに接続する全ての端末を遮断することができる。
【0049】
他の例として、センシング装置100の遮断は端末遮断を含んでもよい。このとき、センシング装置100は非認可端末と判断されるか、または該当端末が認可された端末に変調されたことを検知した場合、該当端末を遮断することができる。該当端末のMACが示されると、センシング装置100はその全てのAPへの接続を遮断することができる。
【0050】
さらに他の例として、センシング装置100の遮断は特定AP端末の遮断を含んでもよい。このとき、センシング装置100は、非認可APに認可端末が連結された場合または認可APに非認可端末が連結された場合に連結を遮断することができる。センシング装置100は、該当端末MACが示されると、指定されたAPへの接続に対してのみ遮断し、それ以外のAPの接続には関与しないことができる。
【0051】
例えば、センシング装置100はコントローラ105及び通信モジュール125を含んでもよい。
【0052】
通信モジュール125は無線フレームをモニタリングすることができ、遮断メッセージの生成時に端末及びAPに遮断メッセージを伝送することができる。
【0053】
コントローラ105は無線侵入防止に関するポリシー情報及び遮断リストに基づいて、モニタリングの結果受信した無線フレームに関する遮断メッセージを生成することができる。また、コントローラ105は、生成された遮断メッセージを上記無線フレームを送受信するように設定されたAP及び端末に伝送するように制御することができる。
【0054】
例えば、コントローラ105は、センサ受信部110、センサ分析部115、及びセンサ遮断部120を含んでもよい。
【0055】
センサ受信部110は、通信モジュール125を制御して複数のチャネルで無線フレームをモニタリングすることができる。
【0056】
センサ分析部115はモニタリングの結果受信した無線フレームを分析して上記無線フレームを送信したAPまたは端末の情報を追加/更新することができる。センサ分析部115は、遮断対象リスト及び遮断ポリシーに基づいて上記APまたは端末のポリシー違反有無を判断して遮断イベントを生成することができる。センサ分析部115は生成された遮断イベントをサーバ130に伝達することができる。
【0057】
センサ遮断部120は生成された遮断イベントを実行することができる。センサ遮断部120は遮断メッセージを生成して上記無線フレームを送受信するように設定されたAP及び端末に伝送することができる。
【0058】
例えば、APと端末が互いに連結されている場合、センサ遮断部120は非認証(Deauthentication)フレームを生成してこれをAP及び端末に伝送することによって遮断を実行することができる。センサ遮断部120は、非認証フレームを送信するアドレスはAPのBSSIDに設定し、受信するアドレスは端末のMACアドレスに設定して生成後に端末に伝送することができる。そして、センサ遮断部120は、非認証フレームを送信するアドレスは端末のMACアドレスに設定し、受信するアドレスはAPのBSSIDに設定して生成後にAPに伝送することができる。センシング装置100から伝送される非認証フレームを受信したAPと端末は、相手が連結終了を知らせる非認証フレームを伝送したと判断して互いの接続を中断することができる。
【0059】
図2はWIPSの接続遮断方法を示すフローチャートである。
【0060】
サーバ130は、段階205においてセンシング装置100に無線侵入防止に関するポリシー情報及び遮断リストを伝送することができる。
【0061】
センサ受信部110は、段階210において複数のチャネルで無線フレームをモニタリングすることができる。モニタリングの結果無線フレームが受信されると、段階215においてセンサ受信部110はセンサ分析部115に該当無線フレーム分析を呼び出すことができる。
【0062】
センサ分析部115は、段階220において該当無線フレームを分析し、段階225において該当無線フレームを送信したAPまたは端末情報を追加または更新することができる。そして、段階230において該当APまたは端末のポリシー違反有無を判断することができる。センサ分析部115は、ポリシー違反と判断される場合、段階235において遮断イベントを生成することができる。センサ分析部115は、段階240において生成された遮断イベント情報をサーバ130に伝達することができる。
【0063】
段階245で遮断イベントが発生したことがセンサ遮断部120に伝達されると、センサ遮断部120は、段階250において遮断イベントを実行することができる。センサ遮断部120は、例えば、上述したように非認証フレームを生成して上記無線フレームを送受信するように設定されたAP及び端末に伝送することができる。
【0064】
図3は本発明の一実施例による無線侵入防止システムにおける連結技法を説明するための概念図である。
【0065】
以下の図面では、図面上の下側方向に時間の流れに沿った各段階が示されている。
【0066】
例えば、連結技法は端末30が暗号化キーを紛失した場合に実行されることができる。
【0067】
図3を参照すると、AP20と端末30は互いに連結されており、特定の事由により端末30は暗号化キーを紛失(S101)することができる。例えば、上記特定の事由は端末30の再設定または再起動などを含んでもよい。このとき、端末30は暗号とキーを紛失(S101)した状態であることができる。
【0068】
暗号とキーを紛失した状態で、端末30はAP20に接続を要求(S102)することができる。このとき、端末30は全ての暗号化キーを紛失しているため、保護されていない接続要求フレームをAP20に伝送することができる。
【0069】
AP20は依然として端末30が暗号化キーを使用して有効に連結されていると判断するため、端末30の接続要求を拒絶し、所定の第1時間以降に再び試すように指示(S103)することができる。
【0070】
その後、AP20はこのような接続要求S102が攻撃であるか否かを確認するために検査(S104)を行うことができる。一実施例では、上記検査(S104)のメカニズムはSA(Security Association)クエリ段階を含んでもよい。例えば、SAクエリ段階は、AP20が端末30に少なくとも1回の保護された質問(Protected Security Association Query)を伝送する段階を含んでもよい。
【0071】
AP20は、SAクエリ段階によって予め定められた端末30の応答時間(第2時間)が経過するまで端末30が応答しない場合、AP20は既存端末30に対して連結解除を伝送(S105)し、無効になった暗号化キーを廃棄することができる。
【0072】
上記第1時間以降、端末30は(再)接続要求フレームをAP20に伝送(S106)することができる。その後、AP20は端末30の接続を許可(S107)し、AP20と端末30は互いに連結(S108)されることができる。
【0073】
図4は本発明の一実施例による無線侵入防止システムにおける連結防御技法を説明するための概念図である。
【0074】
例えば、連結防御技法は攻撃者がAP20に接続を試す場合に実行されることができる。
【0075】
図4を参照すると、まず、AP20と端末30が互いに連結された状態S200であることができる。攻撃者40はAP20に接続を要求(S201)することができる。ここで、攻撃者40は非認可端末及び外部からコントロールされる端末30であって、実質的に非認可端末とみなすことができる端末30などを含んでもよい。
【0076】
AP20は依然として端末30が暗号化キーを使用して有効に連結されていると判断するため、攻撃者40の接続要求を拒絶し、所定の第3時間以降に再び試すように指示(S202)することができる。
【0077】
その後、AP20はこのような接続要求が攻撃であるが否かを確認するために検査を行うことができる。AP20は、攻撃者40及び端末30にそれぞれ保護された質問を伝送(S203a、S203b)することができる。一実施例では、AP20は同時に攻撃者40及び端末30にそれぞれ保護された質問を伝送することができるが、保護された質問の伝送時間(順序)はこれに限定されるものではない。
【0078】
端末30は、保護された質問に応答してAP20に保護された回答で応答(S204)することができる。
【0079】
AP20は、攻撃者40の要求を偽装された関連要求と判断し、攻撃者40の接続要求を無視(S205)することができる。
【0080】
図5は本発明の一実施例による無線侵入防止システムにおける連結技法を説明するための概念図である。
【0081】
例えば、上記連結技法はAP20が暗号化キーを紛失した場合に実行されることができる。
【0082】
図5を参照すると、AP20と端末30は互いに連結されており、特定の事由によりAP20は暗号化キーを紛失(S301)することができる。例えば、上記特定の事由はAP20の再設定または再起動などを含んでもよい。このとき、AP20は暗号とキーを紛失(S301)した状態であることができる。
【0083】
前に連結された端末30がAP20に暗号化されたデータフレームを伝送(S302)すると、AP20は端末30に保護されていないフレームを伝送(S303)して再び連結を試すことができる。端末30は依然として暗号化キーを含んでAP20との有効な連結を保持していると判断するため、AP20の連結試行が攻撃であるか否かを確認するために検査を行うことができる。一実施例では、上記検査のメカニズムはSA(Security Association)クエリ段階を含んでもよい。例えば、SAクエリ段階は、端末30がAP20に少なくとも1回の保護された質問(SAクエリ)を伝送(S304)する段階を含んでもよい。
【0084】
所定の第4時間が経過してもAP20が上記保護された質問に応答できない場合、端末30はAP20との連結が解除されたと判断し、AP20との有効でない暗号化キーを廃棄することができる。
【0085】
その後、端末30はAP20に保護されていない質問を伝送(S305)し、AP20がそれに応答して端末30に保護されていない回答を応答(S306)すると、AP20と端末30は互いに連結されることができる。
【0086】
図6は本発明の一実施例による無線侵入防止システムにおける連結解除防御技法を説明するための概念図である。
【0087】
例えば、上記連結解除防御技法は、AP20に接続された端末30に対して攻撃者40が上記端末30の連結を解除することを防御する場合に実行されることができる。
【0088】
図6を参照すると、まず、AP20と端末30は互いに連結が保持(S401)されることができる。
【0089】
これに対して、攻撃者40はAP20に対する端末30の連結を解除させるために、端末30に連結解除を要求(S402)することができる。実施例によって、攻撃者40はAP20と連結された複数の端末30の連結を解除させるために、上記のような連結解除を要求(S402)端末30に伝送することができる。
【0090】
端末30は攻撃者40の連結解除を要求(S402)に対応して、攻撃であるか否かを確認するために検査を行うことができる。端末30がAP20に少なくとも1回の保護された質問を伝送(S403)することができる。AP20と端末30は互いに連結が有効に保持されているため、AP20は端末30に保護された回答で応答(S404)することができる。
【0091】
これにより、端末30は攻撃者40の連結解除を要求が攻撃であると判断し、攻撃者40の連結解除を要求を無視し、AP20との連結を保持することができる。
【0092】
図7は本発明の一実施例による無線侵入防止システムにおける特定端末の連結解除技法を説明するための概念図である。
【0093】
例えば、特定端末31の連結解除技法は非認可の特定端末31の連結を解除させるか、または図示されているように、AP20に連結された複数の端末のうち攻撃者40によって制御されて実質的に非認可の端末とみることができる特定端末31の連結を解除させる場合に実行されることができる。本明細書の「特定端末31」とは、AP20に連結された複数の端末30のうち連結解除のためにターゲティングされた少なくとも一部の端末30を意味する。一実施例では、特定端末31はネットワークを介して攻撃者40と連結されることができる。
【0094】
図7を参照すると、無線ネットワークシステムは、AP20、特定端末31を含む端末30、及びWIPS10を含んでもよい。
【0095】
AP20は複数の端末30と連結されてもよく、AP20と特定端末31とも互いに連結が保持(S501)されることができる。実施例によって、特定端末31は非認可の端末であるか、または攻撃者40により制御される状態S500であって実質的に非認可の端末とみることができる端末30を含んでもよい。
【0096】
一実施例として、WIPS10はAP20に連結された複数の端末30に連結解除要求を伝送することができる。このとき、特定端末31にも連結解除要求S502が伝送されてもよい。連結解除要求S502には偽造されたフレームが含まれることができる。例えば、偽造されたフレームは、新しい連結を要求するフレーム、再連結を要求するフレーム、または現在の連結状態に対する連結解除を要求するフレームのような偽装されたパケットを含んでもよい。
【0097】
これにより、特定端末31は受信したAP20との連結解除要求S502が攻撃である否かを確認するために検査を行うことができる。即ち、特定端末31はAP20と相互認証を再び試すことができる。特定端末31はAP20に保護された質問を伝送(S503)することができる。実施例によって、特定端末31はAP20に保護された質問の伝送(S503)を複数回行ってもよい。
【0098】
このとき、WIPS10はAP20が特定端末31に応答することを妨害(S504)することができる。上記妨害(S504)のために、実施例によって、WIPS10はAP20及び/または特定端末31に妨害信号を伝送することができる。AP20は特定端末31に伝送された保護された質問に対する応答をしなければならないが、上記妨害(S504)によってAP20が特定端末31に応答することが遮断(S505)され得る。
【0099】
結局、特定端末31は所定の第5時間内にAP20から応答がなかったため、所定の第5時間以降にAP20との連結を解除させることができる。これにより、特定端末31はAP20との連結が終了(S506)することができる。
【0100】
以下では、図8及び図9を参照して妨害(S504)段階で伝送される妨害信号について具体的に説明する。なお、図8及び図9を説明するに当たり、図7と図面上の同じ構成要素に対しては説明を省略し、同一または類似する参照符号を使用した。
【0101】
【0102】
図8を参照すると、WIPS10は、AP20が特定端末31に応答することを妨害するために、CSTフレーム及び/またはRTSフレームの伝送(S504a)を通じてチャネルを妨害することができる。
【0103】
無線LAN通信を行う端末は、データを伝送する前にキャリアセンシング(Carrier Sensing)を行い、チャネルが占有状態(busy)であるか否かをチェックする。若し、一定の強度以上の無線信号が感知されると、該当チャネルは占有状態であると判別され、上記端末は該当チャネルに対するアクセスを遅延させる。このような過程をクリアチャネル割り当て(Clear Channel Assessment、CCEA)といい、該当信号感知有無を決めるレベルをCCA閾値(CCA threshold)という。若し、端末に受信されたCCA閾値以上の無線信号が該当端末を受信者とする場合、端末は受信された無線信号を処理する。一方、該当チャネルで無線信号が感知されないか、CCA閾値より小さい強度の無線信号が感知される場合、上記チャネルは遊休状態(idle)であると判別される。
【0104】
チャネルが遊休状態であると判別されると、伝送するデータがある各端末は各端末の状況に応じたIFS(InterFrame Space)、例えば、AIFS(Arbitration IFS)、PIFS(PCF IFS)などの時間後にバックオフ手続きを行う。実施例によって、上記AIFSは既存のDIFS(DCF IFS)を置き換える構成として用いられてもよい。各端末は該当端末に割り当てられた乱数(random number)分のスロットタイムを上記チャネルの遊休状態の間隔(interval)の間減少させながら待機し、スロットタイムをすべて使い切った端末が該当チャネルに対するアクセスを試すことになる。このように各端末がバックオフ手続きを行う区間を競争ウィンドウ区間という。
【0105】
若し、端末が上記チャネルに成功的にアクセスすると、該当端末は上記チャネルを介してデータを伝送することができる。しかし、アクセスを試した端末が他の端末と衝突すると、衝突した端末はそれぞれ新しい乱数を割り当てられ、再びバックオフ手続きを行う。一実施例によると、各端末に新たに割り当てられる乱数は該当端末が前に割り当てられた乱数範囲の2倍の範囲内で決められてもよい。一方、各端末は次の競争ウィンドウ区間で再びバックオフ手続きを行ってアクセスを試し、このとき、各端末は前の競争ウィンドウ区間で残されたスロットタイムからバックオフ手続きを行う。このような方法で無線LAN通信を行う各端末は特定チャネルに対する互いの衝突を回避することができる。
【0106】
端末はデータを伝送するための権利を得るために競争する。前の段階のデータ伝送が完了すると、伝送するデータがある各端末はAIFSの時間が経過してから各端末に割り当てられた乱数のバックオフカウンタ(または、バックオフタイマ)を減少させながらバックオフ手続きを行う。バックオフカウンタが満了になった端末はRTSフレームを伝送し、該当端末が伝送するデータがあることを知らせる。RTSフレームはレシーバアドレス(receiver address)、トランスミッタアドレス(transmitter address)、及びデュレーション(duration)などの情報を含む。RTSフレームを受信したAP20は、SIFS(Short IFS)の時間を待機した後、CTSフレームを伝送して特定端末31にデータ伝送が可能であることを知らせることができる。CTSフレームは、レシーバアドレスとデュレーションなどの情報を含む。このとき、CTSフレームのレシーバアドレスは、これに対応するRTSフレームのトランスミッタアドレス、即ち、特定端末31のアドレスと同様に設定されてもよい。
【0107】
CTSフレームを受信したAP20はSIFSの時間後にデータを伝送する。データ伝送が完了すると、AP20はSIFSの時間後に応答(ACK)フレームを伝送してデータ伝送が完了したことを知らせる。既設定の時間内に応答フレームを受信した場合、伝送端末はデータ伝送に成功したと見なす。しかし、既設定の時間内に応答フレームが受信されない場合、伝送端末はデータ伝送に失敗したと見なす。一方、上記伝送過程の間、RTSフレーム及びCTSフレームのうち少なくとも1つを受信した周辺端末30はNAV(Network Allocation Vector)を設定し、設定されたNAVが満了するまでデータ伝送を行わない。このとき、各端末のNAVは受信したRTSフレームまたはCTSフレームのデュレーションフィールドに基づいて設定されてもよい。
【0108】
一実施例として、特定端末31はAP20に保護された質問を伝送(S503)し、所定の第6時間内にAP20から応答するように指示することができる。
【0109】
一実施例として、WIPS10は特定端末31がAP20に保護された質問を伝送(S503)することを収集することができる。これに対応して、WIPS10はAP20及び/または特定端末31にCSTフレーム及び/またはRTSフレームを伝送(S504a)することができる。
【0110】
AP20は特定端末31から受信した保護された質問に対して第6時間以内に応答しなければならないが、WIPS10からCSTフレーム及び/またはRTSフレームを受信することによって、設定されたNAVが満了するまでデータ伝送を行わないことができる。即ち、AP20が特定端末31に第6時間内に応答することが遮断(S505)されることができる。これにより、特定端末31はWIPS10から連結解除要求が伝送(S502)が正しいと判断し、AP20との連結を終了(S506)することができる。
【0111】
図9を参照すると、WIPS10はAP20が特定端末31に応答することを妨害するために、AP20及び/または特定端末31に対する混雑度の増加(S504b)を通してチャネルを妨害することができる。
【0112】
一実施例として、WIPS10は特定端末31がAP20に保護された質問を伝送(S503)することを収集し、それに対応して、AP20及び/または特定端末31に混雑度を増加(S504b)させることができる。例えば、WIPS10は新しい連結を要求するフレーム、再連結を要求するフレーム、または現在の連結状態に対する連結解除を要求するフレームを含む偽装されたパケットを多数発生させて、保護された質問の伝送(S503)時の混雑度を増加させることで、AP20と特定端末31間の相互認証失敗を誘導することができる。また、例えば、WIPS10はAP20が伝送する信号のビットレートを調整するか、伝送遅延時間を調整するなどの方法で混雑度を増加させて、AP20と特定端末31間の相互認証失敗を誘導することもできる。即ち、WIPS10はAP20及び/または特定端末31に混雑度を増加(S504)させることで、IEEE 02.11wで連結されたAP20と特定端末31との連結が終了(S506)するように誘導することができる。
【0113】
図10は本発明の他の実施例による無線侵入防止システムにおける特定端末の連結解除技法を説明するための概念図である。
【0114】
【0115】
実施例によって、特定端末31とAP20間の連結が終了(S506)した後、特定端末31は再びAP20に接続を要求(S507)することができる。例えば、特定端末31はAP20に認証要求フレームを伝送することができる。
【0116】
一実施例として、WIPS10は特定端末31がAP20に認証要求フレームを伝送したことに対応して、認証解除フレームなどの管理フレームをAP20及び/または特定端末31に伝送することができる。これにより、特定端末31とAP20との連結が失敗することができる。
【0117】
【0118】
図11及び図12を参照すると、WIPS10はAP20が特定端末31に応答することを妨害するために、CSTフレーム及び/またはRTSフレームの伝送(S504a)を通してチャネルを妨害するか、またはAP20及び/または特定端末31に対する混雑度の増加(S504b)を通してチャネルを妨害することができる。
【0119】
特定端末31とAP20との連結が終了(S506)した後、特定端末31がAP20に認証要求フレームを伝送しても、WIPS10が認証解除フレームなどの連結封鎖(S508)命令をAP20及び/または特定端末31に伝送して特定端末31とAP20との連結失敗を誘導することができる。
【0120】
【0121】
まず、図13を参照すると、AP20と特定端末31は互いに連結(S601)されており、特定の理由により特定端末31は暗号化キーを紛失(S101)することができる。
【0122】
暗号とキーを紛失した状態で、特定端末31はAP20に接続を要求(S603)することができる。このとき、特定端末31は全ての暗号化キーを紛失しているため、保護されない接続要求フレームをAP20に伝送することができる。
【0123】
AP20は依然として特定端末31が暗号化キーを使用して有効に連結されていると判断するため、特定端末31の接続要求を拒絶し、所定の第7時間以後再び試すように指示(S604a)することができる。実施例によって、保護された質問が一緒に伝送(S604b)されることもある。
【0124】
上記第7時間以後、特定端末31は再接続要求フレームをAP20に伝送(S605)することができる。
【0125】
一方、一実施例として、WIPS10はAP20が特定端末31に再接続要求フレームに対応して保護された質問を伝送することを妨害(S606a)することができる。上記妨害(S606a)のために、実施例によって、WIPS10はAP20及び/または特定端末31に妨害信号を伝送することができる。AP20は特定端末31に再接続要求フレームに対応して保護された質問を伝送しなければならないが、上記妨害S606aによってAP20が特定端末31に保護された質問を伝送することが遮断(S607a)されることができる。
【0126】
これにより、AP20と特定端末31は相互の連結が終了(S608)されることができる。
【0127】
図14を参照すると、実施例によって、WIPS10は、AP20が特定端末31に接続を要求(S603)するフレームに対応して保護された質問を伝送することを妨害(S606b)することができる。上記妨害(S606b)のために、実施例によって、WIPS10はAP20及び/または特定端末31に妨害信号を伝送することができる。AP20は特定端末31に接続要求フレームに対応して保護された質問を伝送しなければならないが、上記妨害(S606b)によってAP20が特定端末31に保護された質問を伝送することが遮断(S604c)されることができる。実施例によって、AP20が特定端末31の接続要求を拒絶し、所定の第7時間以後再び試すように指示を伝送することも遮断されることができる。
【0128】
これにより、AP20と特定端末31は相互の連結が終了(S608)されることができる。
【0129】
図15を参照すると、実施例によって、WIPS10は、AP20が特定端末31に接続を要求(S603)するフレームに対応して保護された質問を伝送することを妨害(S606b)することができる。上記妨害(S606b)のために、実施例によって、WIPS10はAP20及び/または特定端末31に妨害信号を伝送することができる。AP20は特定端末31に接続要求フレームに対応して保護された質問を伝送しなければならないが、上記妨害(S606b)によってAP20が特定端末31に保護された質問を伝送することが遮断(S604c)されることができる。実施例によって、AP20が特定端末31の接続要求を拒絶し、所定の第7時間以後再び試すように指示を伝送することも遮断されることができる。
【0130】
その後、AP20と特定端末31は相互の連結が終了されず、特定端末31は再接続要求フレームをAP20に伝送(S605)することができる。このとき、WIPS10は、AP20が特定端末31に再接続要求フレームに対応して保護された質問を伝送することを再び妨害(S606a)することができる。上記妨害(S606a)のために、実施例によって、WIPS10はAP20及び/または特定端末31に妨害信号を伝送することができる。AP20は特定端末31に再接続要求フレームに対応して保護された質問を伝送しなければならないが、上記妨害S606aによってAP20が特定端末31に保護された質問を伝送することが遮断(S607a)されることができる。
【0131】
これにより、AP20と特定端末31は相互の連結が終了(S608)されることができる。
【0132】
【0133】
図16は本発明のさらに他の実施例による無線侵入防止システムにおける特定端末の連結解除技法を説明するための概念図である。
【0134】
図16を参照すると、まず、AP20と特定端末31は互いに連結された状態S701であってもよい。WIPS10はAP20に接続を要求(S702)することができる。
【0135】
AP20は依然として特定端末31が暗号化キーを使用して有効に連結されていると判断するため、WIPS10の接続要求を拒絶し、所定の第8時間以後に再び試すよう指示(S703)することができる。
【0136】
その後、AP20はこのような接続要求が攻撃であるが否かを確認する検査を行うために、AP20はWIPS10及び特定端末31にそれぞれ保護された質問を伝送しなければならないが、これはWIPS10によって遮断されることができる。一実施例として、WIPS10はAP20及び/または特定端末31に妨害信号を伝送(S703a)することができる。AP20は上記妨害信号によってWIPS10及び/または特定端末31に保護された質問を伝送することが遮断(S704a)されることができる。
【0137】
これにより、AP20と特定端末31は相互の連結が終了(S705)されることができる。
【0138】
【0139】
図7~図16で上述した方法で、WIPS10はAP20に連結された実質的に非認可の端末とみることができる特定端末31の連結を解除させることができる。特に、WIPS10はIEEE 802.11w技術が適用された無線ネットワークを介してAP20に連結された全ての端末のうち特定端末をターゲティングして連結を解除させることができる。
【0140】
以上、添付の図面を参照して本発明の実施例を説明したが、本発明が属する技術分野で通常の知識を有する者は、本発明のその技術的思想や必須の特徴を変更することなく他の具体的な形態で実施できることが理解できるであろう。従って、上述した実施例は全ての面で例示的なものであり、限定的なものではないと理解すべきである。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【国際調査報告】