ホーム > 特許ランキング > セキュイ コーポレイション
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-05-24
(54)【発明の名称】無線侵入防止システムおよびその動作方法
(51)【国際特許分類】
H04W 12/121 20210101AFI20240517BHJP
H04W 12/71 20210101ALI20240517BHJP
H04W 84/12 20090101ALI20240517BHJP
H04L 12/66 20060101ALI20240517BHJP
H04L 12/22 20060101ALI20240517BHJP
【FI】
H04W12/121
H04W12/71
H04W84/12
H04L12/66
H04L12/22
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023574116
(86)(22)【出願日】2022-04-05
(85)【翻訳文提出日】2023-11-30
(86)【国際出願番号】 KR2022004892
(87)【国際公開番号】W WO2022255619
(87)【国際公開日】2022-12-08
(31)【優先権主張番号】10-2021-0071809
(32)【優先日】2021-06-02
(33)【優先権主張国・地域又は機関】KR
(81)【指定国・地域】
(71)【出願人】
【識別番号】522359110
【氏名又は名称】セキュイ コーポレイション
(74)【代理人】
【識別番号】110001243
【氏名又は名称】弁理士法人谷・阿部特許事務所
(72)【発明者】
【氏名】ソン ミン キ
(72)【発明者】
【氏名】カン ソク チュ
【テーマコード(参考)】
5K030
5K067
【Fターム(参考)】
5K030GA15
5K030HA08
5K030HC09
5K030HC14
5K030JA10
5K030JL01
5K030KA05
5K030LC13
5K030MA01
5K030MB09
5K030MC08
5K067AA30
5K067EE02
5K067EE10
5K067HH24
5K067KK13
5K067LL01
(57)【要約】
本技術は、電子装置に関し、本技術による無線侵入防止システムは、センシング装置およびコントローラを含むことができる。センシング装置は、無線ネットワークを介してアクセスポイント(Access Point、AP)と複数の端末との間で送受信される無線フレームをモニタリングし、無線フレームに基づいてフレーム分析情報を生成することができる。コントローラは、メーカー固有識別子(Organizationally Unique Identifier、OUI)を含むメーカー識別情報とフレーム分析情報に含まれた各端末のMAC(Media Access Control)アドレスの比較し、比較結果に基づいて複数の端末のうちランダムMACアドレスを有するターゲット端末を決定し、遮断ポリシーに基づいてターゲット端末のアクセスポイントに対するアクセスを制御することができる。
【特許請求の範囲】
【請求項1】
無線ネットワークを介してアクセスポイント(Access Point、AP)と複数の端末との間で送受信される無線フレームをモニタリングし、上記無線フレームに基づいてフレーム分析情報を生成するセンシング装置と、メーカー固有識別子(Organizationally Unique Identifier、OUI)を含むメーカー識別情報と上記フレーム分析情報に含まれた各端末のMAC(Media Access Control)アドレスの比較し、比較結果に基づいて上記複数の端末のうちランダムMACアドレスを有するターゲット端末と固有MACアドレスを有する端末を決定し、上記ターゲット端末の上記アクセスポイントに対するアクセスは遮断し、上記固有MACアドレスを有する端末の上記アクセスポイントに対するアクセスは許容するコントローラと、を含むことを特徴とする無線侵入防止システム(Wireless Intrusion Prevention System、WIPS)。
【請求項2】
上記コントローラは、IEEE(Institute of Electrical and Electronics Engineers)から上記メーカー識別情報を取得することを特徴とする請求項1に記載の無線侵入防止システム。
【請求項3】
上記コントローラは、上記各端末のMACアドレスに含まれた上位24ビット値が上記メーカー固有識別子に含まれるか否かに基づいて、上記各端末のMACアドレスがランダムMACアドレスであるか決定することを特徴とする請求項1に記載の無線侵入防止システム。
【請求項4】
上記コントローラは、端末のMACアドレスに含まれた上位24ビット値が上記メーカー固有識別子に含まれると、上記端末のMACアドレスを固有MACアドレスだと決定し、上記上位24ビット値が上記メーカー固有識別子と異なると、上記端末のMACアドレスをランダムMACアドレスだと決定することを特徴とする請求項3に記載の無線侵入防止システム。
【請求項5】
上記コントローラは、上記固有MACアドレスが登録MACアドレスであるか否かによって、上記固有MACアドレスを有する端末の上記アクセスポイントに対するアクセスを許容することを特徴とする請求項1に記載の無線侵入防止システム。
【請求項6】
上記コントローラは、上記ターゲット端末のうち管理者から事前承認された端末の上記アクセスポイントに対するアクセスの遮断を解除することを特徴とする請求項1に記載の無線侵入防止システム。
【請求項7】
上記無線ネットワークは、IEEE802.11が適用される一般的な無線ネットワークおよびIEEE802.11wが適用されるセキュリティ無線ネットワークを含むことを特徴とする請求項1に記載の無線侵入防止システム。
【請求項8】
上記フレーム分析情報は、上記無線フレームを送受信した端末のMACアドレス、上記アクセスポイントのSSID(Service Set IDentifer)、セキュリティ設定内容、伝送速度、IEEE802.11のバージョン、チャンネル情報およびRSSI(Received Signal Strength Indication)のうち少なくとも1つを含むことを特徴とする請求項1に記載の無線侵入防止システム。
【請求項9】
無線ネットワークを介してアクセスポイントと無線フレームを送受信する複数の端末のうち、ターゲット端末から上記アクセスポイントに対するアクセス要求を受信するステップと、メーカー固有識別子(Organizationally Unique Identifier、OUI)を含むメーカー識別情報と上記無線フレームに含まれた上記ターゲット端末のMAC(Media Access Control)アドレスとの比較結果に基づいて、上記ターゲット端末のMACアドレスがランダムMACアドレスまたは固有MACアドレスであるか決定するステップと、
上記ターゲット端末のMACアドレスが上記ランダムMACアドレスであると、上記ターゲット端末の上記アクセスポイントに対する上記アクセスを遮断し、上記ターゲット端末のMACアドレスが上記固有MACアドレスであると、上記ターゲット端末の上記アクセスポイントに対する上記アクセスを許容するステップと、を含むことを特徴とする無線侵入防止システム(Wireless Intrusion Prevention System、WIPS)の動作方法。
【請求項10】
上記ターゲット端末のMACアドレスが上記固有MACアドレスであると、上記ターゲット端末の上記アクセスポイントに対する上記アクセスを許容するステップは、上記固有MACアドレスが登録MACアドレスであるか否かに上記ターゲット端末の上記アクセスポイントに対する上記アクセスを許容することを特徴とする請求項9に記載の無線侵入防止システムの動作方法。
【請求項11】
上記ターゲット端末のMACアドレスが上記ランダムMACアドレスであると、上記ターゲット端末の上記アクセスポイントに対する上記アクセスを遮断するステップは、上記ターゲット端末が管理者から事前承認されたか否かによって、上記ターゲット端末の上記アクセスポイントに対する上記アクセスの遮断を解除することを特徴とする請求項9に記載の無線侵入防止システムの動作方法。
【請求項12】
IEEE(Institute of Electrical and Electronics Engineers)から上記メーカー識別情報を取得するステップをさらに含むことを特徴とする請求項9に記載の無線侵入防止システムの動作方法。
【請求項13】
上記ターゲット端末のMACアドレスがランダムMACアドレスまたは固有MACアドレスであるか決定するステップは、上記ターゲット端末のMACアドレスに含まれた上位24ビット値が上記メーカー固有識別子に含まれるか否かによって、上記ターゲット端末のMACアドレスがランダムMACアドレスまたは固有MACアドレスであるか決定するステップを含むことを特徴とする請求項9に記載の無線侵入防止システムの動作方法。
【請求項14】
上記ターゲット端末の上記アクセスポイントに対する上記アクセスを遮断するための遮断メッセージを生成するステップと、非認証フレームを含むか、妨害信号および偽装パケットを含む上記遮断メッセージを上記ターゲット端末に伝送するステップと、をさらに含むことを特徴とする請求項9に記載の無線侵入防止システムの動作方法。
【請求項15】
上記無線ネットワークは、IEEE802.11が適用される一般的な無線ネットワークおよびIEEE802.11wが適用されるセキュリティ無線ネットワークを含むことを特徴とする請求項9に記載の無線侵入防止システムの動作方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線侵入防止システム(WIPS)およびその動作方法に関する。
【背景技術】
【0002】
インターネットの急速な発展と普及に伴ってネットワーク環境は益々巨大になっており、インターネットの簡便且つ便利なネットワークアクセスと提供している多様なサービスによってその形態が複雑になっている。しかし、インターネット上でのウイルス、ハッキング、システム侵入、システム管理者権限取得、侵入事実の隠蔽、サービス拒否攻撃などの様々な形態のネットワーク攻撃により、インターネットは常にハッキングの危険にさらされ、インターネットに対する侵害が増加しており、公共機関と社会基盤施設及び金融機関は被害の規模が次第に増加しその影響力が大きい。このようなインターネットのセキュリティ問題を解決するために、ウイルス対策、ファイアウォール、統合セキュリティ管理、侵入検知システムなどのネットワークセキュリティ技術の必要性が浮かび上がっている。
【0003】
無線インターネット通信のための無線ネットワークシステムは、無線LANアクセスポイント(Wireless LAN Access Point、AP)と無線LAN端末とを含む。APは、アクセスポイント装置という装備を設置して使用している。
【0004】
最近では、有線と無線を利用する統合型ネットワークシステムが広く開発され適用されている。有線でアクセスする有害トラフィックを安定的に遮断することも難しいが、無線でアクセスする有害トラフィックを安定的に遮断することはさらに難しい。これを解決すべく、無線侵入防止システム(Wireless Intrusion Prevention System、WIPS)が開発されている。WIPSは、無線区間のモニタリングを通して非認可(rouge)APまたはDoS(Denial of Service)攻撃などの無線侵入を検知および遮断するシステムである。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明が解決しようとする課題は、例えばIEEE802.11技術またはIEEE802.11w技術が適用された無線ネットワークを介してAPにランダムMACアドレスを有する端末がアクセスする場合、遮断ポリシーに従って端末のアクセスを遮断する無線侵入防止システムおよびその動作方法を提供することである。
【課題を解決するための手段】
【0006】
本発明の実施例による無線侵入防止システムは、センシング装置およびコントローラを含むことができる。センシング装置は、無線ネットワークを介してアクセスポイント(Access Point、AP)と複数の端末との間で送受信される無線フレームをモニタリングし、無線フレームに基づいてフレーム分析情報を生成することができる。コントローラは、メーカー固有識別子(Organizationally Unique Identifier、 OUI)を含むメーカー識別情報とフレーム分析情報に含まれた各端末のMAC(Media Access Control)アドレスとを比較し、比較結果に基づいて複数の端末のうちランダムMACアドレスを有するターゲット端末を決定し、遮断ポリシーに基づいてターゲット端末のアクセスポイントに対するアクセスを制御することができる。
【0007】
本発明の実施例による無線侵入防止システム(Wireless Intrusion Prevention System、WIPS)の動作方法は、無線ネットワークを介してアクセスポイントと無線フレームを送受信する複数の端末のうち、ターゲット端末からアクセスポイントに対するアクセス要求を受信するステップと、メーカー固有識別子(Organizationally Unique Identifier、OUI)を含むメーカー識別情報と無線フレームに含まれたターゲット端末のMAC(Media Access Control)アドレスとの比較結果に基づいて、ターゲット端末のMACアドレスがランダムMACアドレスまたは固有MACアドレスであるか決定するステップと、ターゲット端末のMACアドレスがランダムMACアドレスであるか否かによってターゲット端末のアクセスポイントに対するアクセスを制御するステップと、を含むことができる。
【発明の効果】
【0008】
本発明の実施例によれば、例えばIEEE802を介してAPに端末が連結される場合、端末のMACアドレスがランダムMACアドレスであるか否かによって連結を解除し、アクセスを遮断することができる。
【図面の簡単な説明】
【0009】
【図1】無線侵入防止システムの構成を示すブロック図である。
【図2】無線侵入防止システムのアクセス遮断方法を示すフローチャートである。
【図3】一実施例による無線侵入防止システムにおいて、端末のアクセス制御を説明するための図である。
【図4】一実施例による無線侵入防止システムの動作を説明するためのフローチャートである。
【図5】一実施例による無線侵入防止システムの動作を説明するためのフローチャートである。
【図6】一実施例による無線侵入防止システムの動作を説明するためのフローチャートである。
【図7】一実施例による無線侵入防止システムの動作を説明するためのフローチャートである。
【発明を実施するための形態】
【0010】
本明細書または出願に開示されている本発明の概念による実施例についての特定の構造的または機能的説明は、単に本発明の概念による実施例を説明する目的で例示されるものであり、本発明の概念による実施例は多様な形態で実施されることができ、本明細書または出願に説明される実施例に限定されるものとして解析されてはならない。
【0011】
図1は、無線侵入防止システムの構成を示すブロック図である。
【0012】
図1を参照すると、無線侵入防止システム(Wireless Intrusion Prevention System、以下、WIPS)は、無線区間のモニタリングを介して非認可(rouge)AP(Access Point)またはDoS(Denial of Service)攻撃などの無線侵入を検知および遮断するシステムである。
【0013】
本明細書に記載の一般的な無線ネットワークは、IEEE802.11またはIEEE802.11wが適用される無線ネットワークを含むことができる。IEEE802.11wは、管理フレームのセキュリティを向上させたIEEE802.11の修正技術である。しかし、これに限定されず、本発明の実施例は様々なセキュリティ技術が適用された無線ネットワークに適用可能であることは言うまでもない。
【0014】
無線ネットワークシステムは、1つまたはそれ以上のベーシックサービスセット(Basic Service Set、BSS)を含み、BSSは成功的に同期化して互いに通信できる機器の集合を示す。通常、BSSは、インフラストラクチャーBSS(infrastructure BSS)と独立BSS(Independent BSS、IBSS)に分けられる。
【0015】
アクセスポイント(Access Point、以下、AP)は、自分に結合された(associated)端末のために無線媒体を経由して分配システムに対するアクセスを提供する個体である。APは、PCP(Personal BSS Coordination Point)を含む概念で用いられ、広義では集中制御器、基地局(Base Station、BS)、ノード-B、BTS(Base Transceiver System)、またはサイト制御器などの概念をすべて含むことができる。本発明において、APは、ベース無線通信端末とも称することができ、ベース無線通信端末は、広義ではAP、ベースステーション(base station)、eNB(eNodeB)およびトランスミッションポイント(TP)を全て含む用語として用いられてもよい。さらに、ベース無線通信端末は、複数の無線通信端末との通信において通信媒介体(medium)資源を割り当て、スケジューリング(scheduling)を行う様々な形態の無線通信端末を含んでもよい。
【0016】
端末(Station)は、IEEE802.11標準の規定に従う媒体アクセス制御(Medium Access Control、MAC)と無線媒体に対する物理層(Physical Layer)インターフェースを含む任意のデバイスであり、広義では非アクセスポイント(non-AP)ステーションだけでなく、アクセスポイント(AP)を全て含むことができる。本明細書における「端末」は、non-APステーションを指すが、実施例によってはnon-APステーションおよびAPを全て指す用語として用いられてもよい。無線通信のためのステーションは、プロセッサ(Processor)と送受信部(transmitter/receiver)を含み、実施例によってはユーザインタフェース部とディスプレイユニットなどをさらに含んでもよい。プロセッサは、無線ネットワークを介して伝送するフレームを生成するか、または上記無線ネットワークを介して受信したフレームを処理し、その他ステーションを制御するための様々な処理を行うことができる。そして、送受信部は、上記プロセッサと機能的に連結されており、ステーションのために無線ネットワークを介してフレームを送受信する。端末は、無線ネットワークを介してAPとフレームを送受信することができる。
【0017】
実施例では、WIPS10は、メーカー固有識別子(Organizationally Unique Identifier、OUI)を含むメーカー識別情報と無線フレームに含まれた各端末のMAC(Media Access Control)アドレスとを比較することができる。WIPS10は、比較結果に基づいて複数の端末のうちランダムMACアドレスを有するターゲット端末を決定し、遮断ポリシーに基づいてターゲット端末のアクセスポイントに対するアクセスを制御することができる。
【0018】
一実施例では、遮断ポリシーは、ランダムMACアドレスを有するターゲット端末のアクセスポイントに対するアクセスを遮断し、複数の端末のうち固有MACアドレスを有する端末のアクセスポイントに対するアクセスは許容するポリシーであり得る。これは、ユーザを特定できないランダムMACアドレスを有する端末の接続を遮断して、無線ネットワークに対する侵入を防止するためである。
【0019】
一実施例では、遮断ポリシーは、ランダムMACアドレスを有するターゲット端末のアクセスポイントに対するアクセスを遮断し、固有MACアドレスを有する端末のうち、非登録MACアドレスを有する端末のアクセスポイントに対するアクセスは遮断し、登録MACアドレスを有する端末のアクセスポイントに対するアクセスを許容するポリシーであり得る。これは、ユーザを特定できる固有MACアドレスを有する端末のうちアクセスが認可された端末のみの接続を許容して、無線ネットワークに対する侵入を防止するためである。登録MACアドレスは、管理者によって事前に登録された端末のMACアドレスであり得る。
【0020】
一実施例では、遮断ポリシーは、ランダムMACアドレスを有するターゲット端末のうち、管理者の承認を受けていない端末のアクセスポイントに対するアクセスを遮断し、管理者の承認を受けた端末のアクセスポイントに対するアクセスを許容するポリシーであり得る。ユーザを特定できないランダムMACアドレスを有する端末でも、管理者から事前承認を取得した場合には例外的にアクセスを許容するためである。
【0021】
実施例では、WIPS10は、センシング装置100およびコントローラ200を含むことができる。
【0022】
センシング装置100は、複数の端末とアクセスポイントとの間の送受信される無線フレームをモニタリングし、モニタリングした無線フレームを分析したフレーム分析情報をコントローラ200に伝送することができる。フレーム分析情報は、無線フレームを伝送した端末またはAPのMACアドレス、セキュリティ設定内容、伝送速度、SSID、IEEE802.11a/b/g/n/ac/ax等の可否、チャンネル、RSSI等を含むことができる。センシング装置100は、コントローラ200から受信した遮断命令情報に基づいて、APまたは端末に対する遮断命令を実行することができる。
【0023】
実施例では、センシング装置100は、センシングモジュール110および通信モジュール120を含むことができる。
【0024】
センシングモジュール110は、コントローラ200から受信した遮断命令情報に基づいて遮断メッセージを生成することができる。センシングモジュール110は、生成した遮断メッセージをターゲットAPおよび端末に伝送するように通信モジュール120を制御することができる。通信モジュール120は、ターゲットAPおよび端末に遮断メッセージを伝送することができる。
【0025】
実施例では、センシングモジュール110は、センサー受信部111、センサー分析部112およびセンサー遮断部113を含むことができる。
【0026】
センサー受信部111は、通信モジュール120を制御して複数のチャンネルで無線フレームをモニタリングすることができる。
【0027】
センサー分析部112は、モニタリングの結果、受信された無線フレームを分析したフレーム分析情報をコントローラ200に伝送できる。フレーム分析情報は、無線フレームを送信したAPまたは端末の情報を含むことができる。
【0028】
センサー遮断部113は、遮断命令を実行することができる。センサー遮断部113は、コントローラ200から受信した遮断命令情報に基づいて遮断メッセージを生成することができる。
【0029】
例えば、センサー遮断部113は、IEEE802.11が適用された一般的な無線ネットワークで、非認証(Deauthentication)フレームを含む遮断メッセージを生成することができる。センサー遮断部113は、IEEE802.11wの適用されたセキュリティ無線ネットワークで、妨害信号および偽装パケットを含む遮断メッセージを生成することができる。
【0030】
センサー遮断部113は、生成された遮断メッセージを、無線フレームを送受信したAPおよび端末に伝送するように通信モジュール120を制御することができる。この際、センサー遮断部113は、遮断メッセージを送るアドレスはAPのBSSIDに設定し、受けるアドレスは端末のMACアドレスに設定することができる。または、センサー遮断部113は、遮断メッセージを送るアドレスは端末のMACアドレスに設定し、受けるアドレスはAPのBSSIDに設定することができる。通信モジュール120から伝送される遮断メッセージを受けたAPと端末は、相手が連結終了を知らせる遮断メッセージを伝送したと判断し、互いのアクセスを中止することができる。
【0031】
コントローラ200は、センシング装置100から受信したフレーム分析情報をDB(database)化された署名(signature)情報と比較して、該当端末またはAPの非認可可否、および異常動作可否を判断できる。この際、署名情報は、既存に収集された無線フレーム情報、遮断ポリシーまたは遮断対象リストなどの情報を含むことができる。コントローラー200は、該当端末またはAPが非認可されたか、異常動作中である場合、遮断ポリシーによる自動遮断を実施するか、アラームを発生させて管理者によって手動遮断を実施させることができる。
【0032】
実施例では、コントローラ200は、遮断ポリシーおよびフレーム分析情報に基づいて遮断するAPまたは端末を決定することができる。
【0033】
コントローラ200は、メーカー識別情報とフレーム分析情報に含まれた各端末のMACアドレスとを比較することができる。メーカー識別情報は、IEEEに登録されたメーカー固有識別子を含むことができる。コントローラ200は、比較結果に基づいて複数の端末のうちランダムMACアドレスを有するターゲット端末と固有MACアドレスを有する端末を決定することができる。
【0034】
具体的には、コントローラ200は、各端末のMACアドレスに含まれた上位24ビット値がメーカー固有識別子に含まれるか否かに基づいて、各端末のMACアドレスがランダムMACアドレスであるか決定することができる。コントローラ200は、端末のMACアドレスに含まれた上位24ビット値がメーカー固有識別子に含まれると、端末のMACアドレスを固有MACアドレスだと決定することができる。センシングモジュール110は、上位24ビット値がメーカー固有識別子と異なると、端末のMACアドレスをランダムMACアドレスだと決定することができる。
【0035】
遮断ポリシーは、無線ネットワーク環境に応じて様々に設定されることができる。
【0036】
一実施例では、遮断ポリシーは、ランダムMACアドレスを有するターゲット端末のアクセスポイントに対するアクセスを遮断し、複数の端末のうち固有MACアドレスを有する端末のアクセスポイントに対するアクセスは許容するポリシーであり得る。これは、ユーザを特定できないランダムMACアドレスを有する端末の接続を遮断して、無線ネットワークに対する侵入を防止するためである。
【0037】
一実施例では、遮断ポリシーは、ランダムMACアドレスを有するターゲット端末のアクセスポイントに対するアクセスを遮断し、固有MACアドレスを有する端末のうち、非登録MACアドレスを有する端末のアクセスポイントに対するアクセスは遮断し、登録MACアドレスを有する端末のアクセスポイントに対するアクセスを許容するポリシーであり得る。これは、ユーザを特定できる固有MACアドレスを有する端末のうちアクセスが認可された端末のみの接続を許容して、無線ネットワークに対する侵入を防止するためである。登録MACアドレスは、管理者によって事前に登録された端末のMACアドレスであり得る。
【0038】
一実施例では、遮断ポリシーは、ランダムMACアドレスを有するターゲット端末のうち、管理者の承認を受けていない端末のアクセスポイントに対するアクセスを遮断し、管理者の承認を受けた端末のアクセスポイントに対するアクセスを許容するポリシーであり得る。ユーザを特定できないランダムMACアドレスを有する端末でも、管理者の事前承認を受けた場合には例外的にアクセスを許容するためである。
【0039】
コントローラ200は、遮断命令情報を生成し、生成した遮断命令情報をセンシング装置100に伝送することができる。遮断命令情報は、遮断対象リストに含まれるか、遮断ポリシーに違反して遮断決定されたAPまたは端末に関する情報を含むことができる。
【0040】
実施例では、コントローラ200は、様々な方式でAPまたは端末のアクセスを遮断することができる。
【0041】
一例として、コントローラ200の遮断方式は、AP遮断を含むことができる。この際、コントローラ200は、遮断対象APのBSSIDが感知されると、特定端末対象ではなく、APにアクセスする全ての端末を遮断することができる。
【0042】
別の例として、コントローラ200の遮断方式は、端末遮断を含むことができる。この際、コントローラ200は、非認可端末と判断されたり、該当端末が認可された端末に変調されたことを探知した場合、該当端末を遮断することができる。該当端末のMACが現れると、コントローラ200はそのすべてのAPへのアクセスを遮断することができる。
【0043】
さらに別の例として、コントローラ200の遮断方式は、特定AP-端末遮断を含むことができる。この際、コントローラ200は、非認可APに認可端末が連結された場合、または認可APに非認可端末が連結された場合に連結を遮断することができる。コントローラ200は、当該端末MACが現れると、指定されたAPへのアクセスに対してのみ遮断し、その他のAPのアクセスには関与しなくてもよい。
【0044】
図2は、無線侵入防止システムのアクセス遮断方法を示すフローチャートである。
【0045】
図2を参照すると、ステップS201において、センサー受信部111は複数のチャンネルを介して、APと複数の端末との間で送受信される無線フレームをモニタリングすることができる。
【0046】
ステップS203において、センサー受信部111は、センサー分析部112に、受信した無線フレームの分析を呼び出すことができる。
【0047】
ステップS205において、センサー分析部112は無線フレームを分析して、フレーム分析情報を生成することができる。フレーム分析情報は、無線フレームを伝送した端末またはAPのMACアドレス、セキュリティ設定内容、伝送速度、SSID、IEEE802.11a/b/g/n/ac/ax等の可否、チャンネル、RSSI等を含むことができる。
【0048】
ステップS207において、センサー分析部112は、フレーム分析情報をコントローラ200に提供することができる。
【0049】
ステップS209において、コントローラ200は、フレーム分析情報に基づいて無線フレームを送信したAPまたは端末情報を追加あるいは更新することができる。
【0050】
ステップS211において、コントローラー200は、遮断ポリシーに基づいて該当APまたは端末の遮断ポリシー違反可否を判断できる。
【0051】
ステップS213において、コントローラ200は、該当APまたは端末が遮断ポリシー違反だと判断される場合、ポリシー設定値に応じた遮断命令情報を生成することができる。
【0052】
ステップS215において、コントローラ200は、遮断命令情報をセンサー遮断部113に伝送することができる。遮断命令情報は、遮断対象リストに含まれるか、遮断ポリシーに違反して遮断決定されたAPまたは端末に関する情報を含むことができる。
【0053】
ステップS217において、センサー遮断部113は、受信した遮断命令情報に基づいて遮断命令を実行することができる。具体的には、センサー遮断部113は、遮断命令情報に基づいて遮断メッセージを生成することができる。センサー遮断部113は、遮断メッセージをターゲットAPまたは端末に伝送するように通信モジュールを制御できる。遮断メッセージは、前述した非認証フレームまたは妨害信号、偽装パケットを含むことができる。
【0054】
図3は、一実施例による無線侵入防止システムにおいて、端末のアクセス制御を説明するための図である。
【0055】
図3を参照すると、ステップS301において、端末30は、AP20にアクセス要求を含む無線フレームを送信することができる。
【0056】
ステップS303において、WIPS10は、AP20と端末30との間で伝送される無線フレームを収集することができる。
【0057】
ステップS305において、WIPS10は、収集された無線フレームに含まれた端末30のMACアドレスがランダムMACアドレスであるか判断できる。
【0058】
例えば、WIPS10は、端末30のMACアドレスに含まれた上位24ビット値がメーカー固有識別子に含まれると、端末30のMACアドレスを固有MACアドレスだと決定し、上位24ビット値がメーカー固有識別子と異なると、端末30のMACアドレスをランダムMACアドレスだと決定することができる。WIPS10は、IEEEからメーカー固有識別子を含むメーカー識別情報を取得することができる。
【0059】
ステップS307において、WIPS10は、端末30のMACアドレスが登録MACアドレスであるか判断できる。登録MACアドレスは、管理者が事前にアクセスポイントに対するアクセスを許容した端末のMACアドレスであり得る。別の実施例ではステップS307は省略してもよい。
【0060】
ステップS309において、WIPS10は、遮断ポリシーに従ってAP20に対する端末30のアクセス許容可否を決定することができる。
【0061】
一実施例では、遮断ポリシーは、ランダムMACアドレスを有するターゲット端末のアクセスポイントに対するアクセスを遮断し、複数の端末のうち固有MACアドレスを有する端末のアクセスポイントに対するアクセスは許容するポリシーであり得る。これは、ユーザを特定できないランダムMACアドレスを有する端末の接続を遮断して、無線ネットワークに対する侵入を防止するためである。
【0062】
一実施例では、遮断ポリシーは、ランダムMACアドレスを有するターゲット端末のアクセスポイントに対するアクセスを遮断し、固有MACアドレスを有する端末のうち、非登録MACアドレスを有する端末のアクセスポイントに対するアクセスは遮断し、登録MACアドレスを有する端末のアクセスポイントに対するアクセスを許容するポリシーであり得る。これは、ユーザを特定できる固有MACアドレスを有する端末のうちアクセスが認可された端末のみの接続を許容して、無線ネットワークに対する侵入を防止するためである。登録MACアドレスは、管理者によって事前に登録された端末のMACアドレスであり得る。
【0063】
一実施例では、遮断ポリシーは、ランダムMACアドレスを有するターゲット端末のうち、管理者の承認を受けていない端末のアクセスポイントに対するアクセスを遮断し、管理者の承認を受けた端末のアクセスポイントに対するアクセスを許容するポリシーであり得る。ユーザを特定できないランダムMACアドレスを有する端末でも、管理者が承認した場合には例外的にアクセスを許容するためである。
【0064】
ステップS311において、WIPS10は、AP20に対する端末30のアクセス許容可否を示すアクセス制御情報をAP20に提供することができる。
【0065】
ステップS313において、AP20は、アクセス制御情報に基づいて端末30のアクセスを許容したり、遮断したりすることができる。
【0066】
図4は、一実施例による無線侵入防止システムの動作を説明するためのフローチャートである。
【0067】
図4を参照すると、ステップS401において、無線侵入防止システムは、IEEE(Institute of Electrical and Electronics Engineers)からメーカー固有識別子(Organizationally Unique Identifier、OUI)を受信することができる。
【0068】
ステップS403において、無線侵入防止システムは、アクセスポイントにアクセスを要求した端末のMACアドレスとメーカー固有識別子との比較結果に基づいて、端末のMACアドレスがランダムMACアドレスであるか判断できる。
【0069】
ステップS405において、無線侵入防止システムは、端末のMACアドレスがランダムMACアドレスであると、遮断ポリシーに従って端末のアクセスを許容するか否かを決めることができる。
【0070】
図5は、一実施例による無線侵入防止システムの動作を説明するためのフローチャートである。
【0071】
図5を参照すると、ステップS501において、無線侵入防止システムは、アクセスを要求した端末から端末のMACアドレスを含む無線フレームを受信することができる。
【0072】
ステップS503において、無線侵入防止システムは、端末のMACアドレスがランダムMACアドレスであるか判断できる。例えば、無線侵入防止システムは、端末のMACアドレスがメーカー固有識別子と一致すると、端末のMACアドレスを固有MACアドレスだと決定し、端末のMACアドレスがメーカー固有識別子と異なると、端末のMACアドレスをランダムMACアドレスだと決定することができる。
【0073】
無線侵入防止システムは、判断の結果、端末のMACアドレスがランダムMACアドレスであるとステップS505に進行し、端末のMACアドレスが固有MACアドレスであるとステップS507に進行する。
【0074】
ステップS505において、無線侵入防止システムは、ランダムMACアドレスを有する端末のアクセスポイントに対するアクセスを遮断することができる。
【0075】
ステップS507において、無線侵入防止システムは、固有MACアドレスを有する端末のアクセスポイントに対するアクセスを許容することができる。
【0076】
図5の実施例によれば、ランダムMACアドレスを有するターゲット端末のアクセスポイントに対するアクセスを遮断し、複数の端末のうち固有MACアドレスを有する端末のアクセスポイントに対するアクセスは許容することができる。これは、ユーザを特定できないランダムMACアドレスを有する端末の接続を遮断して、無線ネットワークに対する侵入を防止するためである。
【0077】
図6は、一実施例による無線侵入防止システムの動作を説明するためのフローチャートである。
【0078】
図6を参照すると、ステップS601において、無線侵入防止システムは、アクセスを要求した端末から端末のMACアドレスを含む無線フレームを受信することができる。
【0079】
ステップS603において、無線侵入防止システムは、端末のMACアドレスがランダムMACアドレスであるか判断できる。
【0080】
無線侵入防止システムは、判断の結果、端末のMACアドレスがランダムMACアドレスであるとステップS605に進行し、端末のMACアドレスが固有MACアドレスであるとステップS607に進行する。含む無線フレームを受信することができる。
【0081】
ステップS605において、無線侵入防止システムは、ランダムMACアドレスを有する端末のアクセスポイントに対するアクセスを遮断することができる。
【0082】
ステップS607において、無線侵入防止システムは、端末のMACアドレスが登録MACアドレスであるか判断できる。判断の結果、端末のMACアドレスが登録MACアドレスであるとステップS609に進行し、端末のMACアドレスが非登録MACアドレスであるとステップS605に進行する。登録MACアドレスは、管理者が事前にアクセスポイントに対するアクセスを許容した端末のMACアドレスであり得る。
【0083】
ステップS609において、無線侵入防止システムは、登録MACアドレスを有する端末のアクセスポイントに対するアクセスを許容することができる。
【0084】
図6の実施例によれば、ランダムMACアドレスを有するターゲット端末のアクセスポイントに対するアクセスを遮断することができる。固有MACアドレスを有する端末のうち、非登録MACアドレスを有する端末のアクセスポイントに対するアクセスは遮断し、登録MACアドレスを有する端末のアクセスポイントに対するアクセスを許容することができる。これは、固有MACアドレスを有する端末のうち、管理者によってアクセスが許容された端末のみの接続を許容して、無線ネットワークに対する侵入を防止するためである。アクセスを許容できる。
【0085】
図7は、一実施例による無線侵入防止システムの動作を説明するためのフローチャートである。
【0086】
図7を参照すると、ステップS701において、無線侵入防止システムは、アクセスポイントにアクセスを要求した端末から端末のMACアドレスを含む無線フレームを受信することができる。
【0087】
ステップS703において、無線侵入防止システムは、端末のMACアドレスがランダムMACアドレスであるか判断できる。無線侵入防止システムは、判断の結果、端末のMACアドレスがランダムMACアドレスであるとステップS705に進行し、端末のMACアドレスが固有MACアドレスであるとステップS709に進行する。
【0088】
ステップS705において、無線侵入防止システムは、遮断ポリシーに基づいて端末が管理者から事前承認された端末であるか判断できる。無線侵入防止システムは、端末が事前に承認された端末であるとステップS709に進行し、端末が事前に承認されていない端末であるとステップS707に進行する。
【0089】
ステップS707において、無線侵入防止システムは、ランダムMACアドレスを有する端末のうち、管理者から事前承認されていない端末のアクセスポイントに対するアクセスを遮断できる。
【0090】
ステップS709において、無線侵入防止システムは、固有MACアドレスを有する端末またはランダムMACアドレスを有する端末のうち、管理者から事前承認された端末のアクセスポイントに対するアクセスを許容することができる。
【0091】
図7の実施例によれば、ランダムMACアドレスを有するターゲット端末のうち、管理者の承認を受けていない端末のアクセスポイントに対するアクセスを遮断し、管理者の事前承認を受けた端末のアクセスポイントに対するアクセスを許容することができる。これは、ユーザを特定できないランダムMACアドレスを有する端末でも、管理者が事前承認した場合には例外的にアクセスを許容するためである。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【国際調査報告】