KR20150049144A - 비인가 액세스 포인트 탐지 방법 및 장치 - Google Patents

비인가 액세스 포인트 탐지 방법 및 장치 Download PDF

Info

Publication number
KR20150049144A
KR20150049144A KR1020130129313A KR20130129313A KR20150049144A KR 20150049144 A KR20150049144 A KR 20150049144A KR 1020130129313 A KR1020130129313 A KR 1020130129313A KR 20130129313 A KR20130129313 A KR 20130129313A KR 20150049144 A KR20150049144 A KR 20150049144A
Authority
KR
South Korea
Prior art keywords
network information
access point
network
unauthorized
message
Prior art date
Application number
KR1020130129313A
Other languages
English (en)
Other versions
KR101534476B1 (ko
Inventor
조성면
윤규환
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020130129313A priority Critical patent/KR101534476B1/ko
Priority to US14/519,582 priority patent/US9813913B2/en
Priority to CN201410567439.2A priority patent/CN104580141A/zh
Publication of KR20150049144A publication Critical patent/KR20150049144A/ko
Application granted granted Critical
Publication of KR101534476B1 publication Critical patent/KR101534476B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

비인가 액세스 포인트 탐지 방법 및 장치가 개시된다. 본 발명의 일 실시예에 따른 비인가 액세스 포인트 탐지 방법은 단말 장치의 네트워크 접속과 관련된 네트워크 정보를 포함하고 상기 네트워크 정보의 유효성 검증을 요청하는 메시지를 액세스 포인트를 통해 확인 서버에 전달하기 위한 시도를 수행하는 단계; 및 상기 확인 서버로부터 상기 네트워크 정보가 유효하다는 응답을 수신하지 못하는 경우 상기 액세스 포인트를 비인가로 판정하는 단계를 포함한다. 본 발명의 실시예에 따르면, 특정 장비에 종속되지 않는 범용적인 비인가 액세스 포인트 판정 장치를 구현할 수 있다.

Description

비인가 액세스 포인트 탐지 방법 및 장치{METHOD AND APPARATUS FOR DETECTING UNAUTHORIZED ACCESS POINT}
본 발명은 네트워크 보안에 관한 것으로, 더욱 상세하게는 비인가 액세스 포인트(AP: Access Point)를 통한 접속을 차단할 수 있는 방법 및 장치에 관한 것이다.
최근, 모바일 장치(mobile device)와 같은 단말 장치의 수요가 급격히 증가하고 있다. 이러한 단말 장치들은 규정된 주파수 채널들에서 무선 네트워크에 대한 액세스를 제공하는 무선 장치인 액세스 포인트(access point: AP)들과 무선 신호를 통신할 수 있다. 무선 네트워크의 예로는 무선 랜을 들 수 있다.
한편, 무선 네트워크 환경은 단말 장치의 사용자가 이동하는 중 무선 네트워크로의 접속을 통한 데이터 교환이 가능하도록 지원한다. 그러나, 접속된 단말 장치가 네트워크 장비로부터 물리적으로 떨어져 있고, 교환되는 데이터 역시 대기 중에 노출되기 때문에 불법적인 네트워크 접근이나 비인가 액세스 포인트(rogue AP)를 이용한 정보 탈취 등 보안 상의 우려가 있다.
예를 들어, 몇몇 무선 네트워크 관련 장비 제공 업체들은 이러한 문제점을 해결하기 위해 무선 네트워크 제어기와 이에 연결된 다수의 액세스 포인트를 관리하여 정상 액세스 포인트와 비인가 액세스 포인트를 확인할 수 있도록 하고 있으나, 이러한 기능은 다양한 업체의 네트워크 장비들에서 활용되기 어렵다.
다른 예로서, 무선 침입 판정 시스템을 이용하여 액세스 포인트로부터 발생되는 트래픽을 확인하는 비인가 액세스 포인트 판정 방식이 있다. 그러나, 음영 지역이 존재할 경우 무선 침입 판정 시스템이 무용지물이 될 수 있기 때문에 완벽하게 비인가 액세스 포인트를 차단하기 어렵다. 또한, 그 트래픽이 많다면 이를 실시간으로 확인 및 차단하는 것도 용이하지 않다.
대한민국 공개특허공보 제10-2011-0020072호 (2011. 03. 02.)
본 발명의 실시예들은 비인가 액세스 포인트 판정을 수행할 수 있는 단말 장치를 제공하기 위한 것이다.
또한, 본 발명의 실시예들은 단말 장치에 할당한 네트워크 정보에 대한 유효성 검증을 위한 요청을 통한 응답 유무를 통해 액세스 포인트의 비인가 유무를 판단할 수 있는 단말 장치와 이를 이용한 비인가 액세스 포인트 탐지 방법을 제공하기 위한 것이다.
본 발명의 실시예들은 네트워크 정보에 대한 유효성 검증 요청이 수신됨에 따라 (동적) 할당 서버에 의해 할당된 네트워크 정보 할당 내역을 기반으로 유효성 검증을 수행한 후 이에 대한 결과를 단말 장치에 송신하기 위한 확인 서버를 제공하기 위한 것이다.
본 발명의 예시적인 실시예에 따르면, 단말 장치의 네트워크 접속과 관련된 네트워크 정보를 포함하고 상기 네트워크 정보의 유효성 검증을 요청하는 메시지를 액세스 포인트를 통해 확인 서버에 전달하기 위한 시도를 수행하는 단계; 및 상기 확인 서버로부터 상기 네트워크 정보가 유효하다는 응답을 수신하지 못하는 경우 상기 액세스 포인트를 비인가로 판정하는 단계를 포함하는, 비인가 액세스 포인트 탐지 방법이 제공된다.
상기 비인가 액세스 포인트 탐지 방법에서 상기 판정하는 단계는, 상기 단말 장치가 기 설정된 시간 동안 상기 확인 서버에 접속할 수 없는 경우 상기 액세스 포인트를 비인가로 판정하는 단계를 포함할 수 있다.
상기 비인가 액세스 포인트 탐지 방법에서 상기 판정하는 단계는, 상기 확인 서버로부터 상기 네트워크 정보가 유효하지 않다는 응답이 수신되는 경우 상기 액세스 포인트를 비인가로 판정하는 단계를 포함할 수 있다.
상기 비인가 액세스 포인트 탐지 방법은, 상기 액세스 포인트가 비인가로 판정되면, 상기 단말 장치의 네트워크 접속을 차단하는 단계를 더 포함할 수 있다.
상기 비인가 액세스 포인트 탐지 방법에서 상기 네트워크 정보는 상기 단말 장치에 할당되는 IP 주소 정보를 포함할 수 있다.
본 발명의 다른 실시예에 따르면, 전술한 비인가 액세스 포인트 탐지 방법을 실행하기 위한 컴퓨터 프로그램이 저장된 컴퓨터 판독가능 저장 매체가 제공된다.
본 발명의 또 다른 실시예에 따르면, 단말 장치의 네트워크 접속과 관련된 네트워크 정보를 포함하고 상기 네트워크 정보의 유효성 검증을 요청하는 메시지를 액세스 포인트를 통해 확인 서버에 전달하기 위한 시도를 수행하는 유효성 검증 요청부; 및 상기 확인 서버로부터 상기 네트워크 정보가 유효하다는 응답을 수신하지 못하는 경우 상기 액세스 포인트를 비인가로 판정하는 판정부를 포함하는, 비인가 액세스 포인트 탐지 장치가 제공된다.
상기 비인가 액세스 포인트 탐지 장치는 상기 액세스 포인트가 비인가로 판정됨에 따라 상기 네트워크 접속을 차단하는 네트워크 접속 제어부를 더 포함할 수 있다.
상기 비인가 액세스 포인트 탐지 장치에서 상기 판정부는 또한, 상기 단말 장치가 기 설정된 시간 동안 상기 확인 서버에 접속할 수 없는 경우 상기 액세스 포인트를 비인가로 판정할 수 있다.
상기 비인가 액세스 포인트 탐지 장치에서 상기 판정부는 또한, 상기 확인 서버로부터 상기 네트워크 정보가 유효하지 않다는 응답이 수신되는 경우 상기 액세스 포인트를 비인가로 판정할 수 있다.
상기 비인가 액세스 포인트 탐지 장치에서 상기 네트워크 정보는 상기 단말 장치에 할당되는 IP 주소 정보를 포함할 수 있다.
본 발명의 또 다른 실시예에 따르면, 단말 장치의 네트워크 접속과 관련된 네트워크 정보를 포함하고 상기 네트워크 정보에 대한 유효성 검증을 요청하는 메시지를 수신하며, 상기 메시지에 대한 응답을 송신하는 메시지 송수신부; 상기 수신에 응답하여 상기 메시지 내 상기 네트워크 정보에 대하여 네트워크 정보 할당 내역을 검색하는 데이터 검색부; 및 상기 검색의 결과에 기반하여 상기 네트워크 정보의 유효성을 검증하며, 상기 검증의 결과를 상기 메시지에 대한 상기 응답으로서 상기 메시지 송수신부에 제공하는 데이터 분석부를 포함하는, 확인 서버가 제공된다.
상기 확인 서버는 상기 검증의 결과를 저장하기 위한 검증 내역 저장부를 더 포함할 수 있다.
본 발명의 또 다른 실시예에 따르면, 단말 장치의 네트워크 접속과 관련된 네트워크 정보를 포함하고 상기 네트워크 정보에 대한 유효성 검증을 요청하는 메시지를 수신하는 단계; 상기 수신에 응답하여 상기 메시지 내 상기 네트워크 정보에 대하여 네트워크 정보 할당내역을 검색하는 단계; 상기 검색의 결과에 기반하여 상기 네트워크 정보의 유효성을 검증하는 단계; 및 상기 검증의 결과를 상기 메시지에 대한 응답으로서 상기 단말 장치에 제공하는 단계를 포함하는, 확인 서버를 이용한 비인가 액세스 포인트 탐지 방법이 제공된다.
상기 확인 서버를 이용한 비인가 액세스 포인트 탐지 방법은, 상기 검증의 결과를 저장하는 단계를 더 포함할 수 있다.
본 발명의 실시예들에 따르면, 단말 장치가 네트워크 정보에 대한 유효성 검증 요청을 확인 서버에 전달하기 위한 시도를 통해 액세스 포인트의 비인가 여부를 판단함으로써, 비인가 액세스 포인트 감지를 위해 인가된 액세스 포인트의 리스트를 관리하거나 트래픽 분석을 수행할 필요가 없다.
또한, 본 발명의 실시예들에 따르면, 동적 할당(DHCP: Dynamic Host Configuration Protocol) 서버에 의해 할당된 IP 주소와 같은 네트워크 정보의 유효성을 검증하여 액세스 포인트의 비인가 여부를 판정하는 바, 비인가 액세스 포인트의 판정을 위해 인가된 액세스 포인트에 관한 별도의 데이터베이스를 구축할 필요가 없다.
본 발명의 실시예들에 따르면, 단말 장치에서 비인가 액세스 포인트가 판정될 수 있는 바, 특정 장비에 종속되지 않는 비인가 액세스 포인트 탐지 장치를 구현할 수 있다.
도 1은 본 발명의 실시예에 따른 비인가 액세스 포인트 판정 및 네트워크 제어 방법을 설명하기 위한 네트워크 구성도
도 2는 본 발명의 실시예에 따른 비인가 액세스 포인트 탐지 장치를 도시한 블록도
도 3은 본 발명의 실시예에 따른 비인가 액세스 포인트 탐지 방법을 설명하기 위한 흐름도
도 4는 본 발명의 실시예에 따른 확인 서버의 내부 구성을 도시한 블록 구성도
도 5는 본 발명의 실시예에 따른 확인 서버의 네트워크 정보에 대한 유효성 검증 방법을 설명하기 위한 흐름도.
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
도 1은 본 발명의 실시예에 따른 비인가 액세스 포인트 판정 및 네트워크 제어 방법을 설명하기 위한 네트워크 구성도로서, 단말 장치(110), 액세스 포인트(130) 및 네트워크 관리 시스템(150)을 포함한다. 여기에서, 네트워크 관리 시스템(150)는 라디우스(RADIUS: Remote Authentication Dial-In User Service) 서버(152), 동적 할당(DHCP: Dynamic Host Configuration Protocol) 서버(154), 데이터베이스(156) 및 확인(validation) 서버(158) 등을 포함하여 구성될 수 있다.
단말 장치(110)는, 예컨대 무선 랜이 구비된 노트북, 스마트폰, 태블릿 PC, OA 기기 등 네트워크를 통한 패킷 통신이 가능한 모든 종류의 디바이스를 포함할 수 있다.
특히, 본 발명의 실시예에서 단말 장치(110)는 네트워크 접속과 관련된 네트워크 정보, 예컨대 IP 주소, 게이트웨이(gateway) 주소, DNS(Domain Name Server) 주소, IP 주소 할당 및 만료 시간 등의 정보가 할당됨에 따라 단말 장치(110)와 연결된 액세스 포인트 (130)의 비인가 여부를 판단할 수 있는 비인가 액세스 포인트 탐지 장치(도 2의 200)를 구비할 수 있다. 후술되는 바와 같이, 비인가 액세스 포인트 탐지 장치(200)는 단말 장치(110)에 네트워크 정보가 설정 또는 할당되거나, 새로운 네트워크 정보로 업데이트되는 것에 응답하여 액세스 포인트(130)의 비인가 여부를 판정할 수 있다. 또한, 비인가 액세스 포인트 탐지 장치(200)는 액세스 포인트(130)가 비인가로 판정됨에 따라 네트워크 접속을 차단하기 위한 기능을 더 포함할 수 있다.
액세스 포인트(130)는, 예컨대 무선 랜 표준에 따른 무선 통신을 이용하는 단말 장치(110)들을 네트워크 관리 시스템(150) 내 서버들에 연결시키는 중계 장치이다. 예컨대, 이러한 액세스 포인트(130)가 인가된 것이라면, 액세스 포인트(130)는 스위치(미도시됨)를 통해 단말 장치(110)와 네트워크 관리 시스템(150) 내의 서버 간 데이터를 중계할 수 있다.
한편, 액세스 포인트(130)가 비인가 액세스 포인트(Rogue AP)인 경우에는 그 액세스 포인트(130)는 정상적인 방식으로 네트워크 관리 시스템(150)에 접속할 수 없다. 이러한 비인가 액세스 포인트(130)를 통해 접속한 단말 장치(110)에 네트워크 정보가 할당되더라도, 그 네트워크 정보는 네트워크 관리 시스템(150) 내 동적 할당 서버(154)를 통해 할당된 것이 아니다.
네트워크 관리 시스템(150)은 단말 장치(110)에 대한 인증, 네트워크 정보 할당 및 관리, 외부 네트워크 접속 등을 지원할 수 있다. 특히, 본 발명의 실시예에서 네트워크 관리 시스템(150)은 단말 장치(110)의 요청에 따라 단말 장치(110)에 할당된 네트워크 정보에 대한 유효성을 검증한 후 그 결과를 단말 장치(110)에 제공할 수 있다.
네트워크 관리 시스템(150)의 라디우스 서버(152)는 단말 장치(110)에 대한 인증, 권한 부여 및 계정 관리 등을 수행할 수 있다. 구체적으로, 단말 장치(110)가 기 설정된 네트워크 SSID(Service Set Identifier)를 이용하여 액세스 포인트(130)에 연결을 시도하고, 액세스 포인트(130)와의 연결 과정이 완료된 단말 장치(110)는 라디우스 서버(152)로 사용자 인증 정보를 전달한다. 이에 따라, 라디우스 서버(152)는 사용자 인증 정보에 대한 인증을 수행한 후 인증 결과를 액세스 포인트(130)를 통해 단말 장치(110)에 전송할 수 있다.
동적 할당 서버(154)는 네트워크 상에서 네트워크 정보를 관리하여 할당해줄 수 있다. 이러한 동적 할당 서버(154)에 의해 할당된 네트워크 정보가 무엇인지에 관한 내역(이하, '네트워크 정보 할당 내역')은 데이터베이스(156)에 의해 유지될 수 있다. 구체적으로, 라디우스 서버(152)에 의한 인증 과정이 완료된 단말 장치(110)로부터 네트워크 정보 할당을 요청 받으면, 동적 할당 서버(154)는 데이터베이스(156)에서 네트워크 정보 할당 내역을 확인하여 단말 장치(110)의 맥 주소(MAC address)에 대한 네트워크 정보를 할당한 후 이를 단말 장치(110)에 전송한다.
확인 서버(158)는 단말 장치(110)로부터 네트워크 정보에 대한 유효성 검증 요청이 수신됨에 따라 데이터베이스(156)와의 연동을 통해 네트워크 정보의 유효성을 확인한 후 이에 대한 결과를 단말 장치(110)에 제공할 수 있다. 구체적으로, 확인 서버(158)는 단말 장치(110)로부터 네트워크 정보를 포함한 유효성 검증 요청 메시지를 수신하면, 유효성 검증 요청 메시지 내 네트워크 정보가 데이터베이스(156)에 존재하는지 여부를 확인하여 유효성 검증 결과를 생성할 수 있다. 여기에서, 유효성 검증 요청 메시지는 단말 장치(110)와 연결된 액세스 포인트(130)를 통해 수신될 수 있다.
한편, 데이터베이스(156)는 확인 서버(158) 외부에 위치할 수도 있고, 확인 서버(158) 내에 위치할 수도 있다.
이하에서는 네트워크 관리 시스템(150)과 연동하는 단말 장치(110) 내 비인가 액세스 포인트 탐지 장치 및 방법에 대해 설명한다.
도 2는 본 발명의 실시예에 따른 비인가 액세스 포인트 탐지 장치를 도시한 블록도이다.
이에 도시된 바와 같이, 비인가 액세스 포인트 탐지 장치(200)는 유효성 검증 요청부(210), 탐지부(220) 및 네트워크 접속 제어부(230)를 포함할 수 있다.
유효성 검증 요청부(210)는 단말 장치(110) 내에 네트워크 정보가 할당됨에 따라 네트워크 정보를 포함하고 그 네트워크 정보의 유효성 검증을 요청하는 메시지를 생성한 후 이를 액세스 포인트(130)를 통해 확인 서버(158)에 전달하는 것을 시도할 수 있다.
또한, 유효성 검증 요청부(210)는 기 설정된 시간 동안 유효성 검증 요청 메시지에 대한 응답이 수신되지 않을 경우 기 설정된 횟수만큼 확인 서버(158)에 유효성 검증 요청 메시지의 전달을 시도할 수 있다.
한편, 유효성 검증 요청부(210)는 유효성 검증 요청 메시지에 대한 확인 서버(158)의 응답 유무를 탐지부(220)에 제공하거나, 유효성 검증 요청 메시지에 대한 응답으로 수신한 유효성 검증 결과를 탐지부(220)에 제공할 수 있다.
탐지부(220)는 유효성 검증 요청부(210)로부터 제공받은 응답 유무를 기반으로 액세스 포인트(130)를 비인가 여부를 판정하고, 액세스 포인트(130)가 비인가로 판정되는 경우 네트워크 접속을 차단하기 위한 제어 신호를 네트워크 접속 제어부(230)에 제공할 수 있다.
또한, 탐지부(220)는 유효성 검증 결과를 기반으로 액세스 포인트의 비인가 여부를 판정할 수 있다. 구체적으로, 탐지부(220)는 네트워크 정보가 유효하다는 유효성 검증 결과가 수신되면, 네트워크 정보를 통한 네트워크 접속을 허용하기 위한 제어 신호를 네트워크 접속 제어부(230)에 제공하며, 네트워크 정보가 유효하지 않다는 유효성 검증 결과가 수신되면, 액세스 포인트(130)를 비인가로 판단하여 네트워크 접속을 차단하기 위한 제어 신호를 네트워크 접속 제어부(230)에 제공할 수 있다.
네트워크 접속 제어부(230)는 탐지부(220)의 판정 결과, 즉 탐지부(220)로부터 제공받은 제어 신호에 따라 네트워크 접속을 차단하거나 허용할 수 있다.
도 3은 본 발명의 실시예에 따른 비인가 액세스 포인트 탐지 방법(300)을 설명하기 위한 흐름도이다. 도 3에 도시된 방법은 예를 들어, 전술한 비인가 액세스 포인트 탐지 장치(200)에 의해 수행될 수 있다. 도시된 흐름도에서는 상기 방법을 복수 개의 단계로 나누어 기재하였으나, 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다. 또한 실시예에 따라 도 3에 도시되지 않은 하나 이상의 단계들이 도 3에 도시된 방법과 함께 수행될 수도 있다
먼저, 비인가 액세스 포인트 탐지 장치(200)의 유효성 검증 요청부(210)는 네트워크 정보를 포함한 유효성 검증 요청 메시지를 생성(단계 302)한 후 이를 액세스 포인트(130)에 전송하여 확인 서버(158)에 전달을 요청한다(단계 304).
이후, 비인가 액세스 포인트 탐지 장치(200)는 액세스 포인트(130)가 비인가 액세스 포인트인지를 판정한다. 예컨대, 이하에서 논의되는 도 3의 방법(300)에서, 이 판정은 기 설정된 시간 동안 확인 서버(158)에 접속할 수 없는지 여부의 판정 및 네트워크 정보가 유효한지 여부의 판정을 포함한다.
우선, 유효성 검증 요청부(210)는 기 설정된 시간 내에 확인 서버(158)로부터 응답이 수신되는지를 판단한다(단계 306).
단계 306의 판단 결과, 응답이 수신되지 않을 경우, 유효성 검증 요청부(210)는 '응답 없음'이라는 정보를 탐지부(220)에 제공하며, 탐지부(220)는 단말 장치(110)의 확인 서버(158)로의 접속이 불가능하고 액세스 포인트(130)는 비인가 액세스 포인트라고 판정한다. 그런 다음, 탐지부(220)는 단말 장치(110)의 네트워크 접속을 차단하기 위한 제어 신호를 네트워크 접속 제어부(230)에 제공한다. 이에 따라, 네트워크 접속 제어부(230)는 액세스 포인트(130)를 통한 단말 장치(110)의 네트워크 접속을 차단한다(단계 310).
한편, 단계 306의 판단 결과, 응답이 수신되는 경우, 유효성 검증 요청부(210)는 확인 서버(158)로부터 수신한 응답 정보를 탐지부(220)에 제공하며, 탐지부(220)는 응답 정보가 네트워크 정보의 유효함을 나타내는지를 판단한다(단계 308).
단계 308의 판단 결과, 네트워크 정보가 유효한 경우, 탐지부(220)는 단말 장치(110)의 네트워크 접속을 허용하기 위한 제어 신호를 네트워크 접속 제어부(230)에 제공한다. 이에 따라, 네트워크 접속 제어부(230)는 단말 장치(110)의 액세스 포인트를 통한 네트워크 접속을 허용한다(단계 312).
한편, 단계 308의 판단 결과, 네트워크 정보가 유효하지 않을 경우, 탐지부(220)는 액세스 포인트(130)를 비인가로 판정하고, 네트워크 접속을 차단하기 위한 제어 신호를 네트워크 접속 제어부(230)에 제공한다. 이에 따라, 네트워크 접속 제어부(230)는 단말 장치(110)의 네트워크 접속을 차단한다(단계 310).
이하에서는 본 발명의 실시예에 따른 비인가 액세스 포인트 판정을 위한 확인 서버(158)의 세부 구성 및 동작에 대해 설명한다.
도 4는 본 발명의 실시예에 따른 확인 서버(158)의 내부 구성을 도시한 블록 구성도이다.
이에 도시된 바와 같이, 확인 서버(158)는 메시지 송수신부(410), 데이터 검색부(420), 데이터 분석부(430), 검증 내역 저장부(440) 등을 포함할 수 있다.
메시지 송수신부(410)는 단말 장치(110)로부터 생성된 유효성 검증 요청 메시지를 액세스 포인트(130)를 통해 수신하며, 이에 대한 응답으로 검증 결과를 액세스 포인트(130)를 통해 단말 장치(110)에 송신할 수 있다. 이러한 메시지 송수신부(410)는 유효성 검증 요청 메시지를 데이터 분석부(430)에 제공함과 더불어 데이터 검색부(420)에 네트워크 정보에 대한 검색을 요청할 수 있다.
데이터 검색부(420)는 메시지 송수신부(410)의 검색 요청에 따라 데이터베이스(156)의 네트워크 정보 할당 내역을 검색한 후 검색 결과를 데이터 분석부(430)에 제공할 수 있다.
데이터 분석부(430)는 검색 결과 및 유효성 검증 요청 메시지 내 네트워크 정보 간의 비교 및 분석을 통해 유효성 검증 결과를 생성한 후 이를 메시지 송수신부(410)에 제공한다. 이렇게 제공된 유효성 검증 결과는 메시지 송수신부(410)를 통해 단말 장치(110)에 제공된다. 예컨대, 유효성 검증 결과는 네트워크 정보 할당 내역 내 네트워크 정보의 존재 유무에 따라 달라질 수 있다. 즉, 네트워크 정보가 네트워크 정보 할당 내역에 존재할 경우 유효성 검증 결과는 네트워크 정보가 유효함을 나타내며, 그렇지 않지 않을 경우 유효성 검증 결과는 네트워크 정보가 유효하지 않음을 나타낸다.
한편, 데이터 분석부(430)는 유효성 검증 결과, 네트워크 정보 및/또는 단말 장치(110)의 정보 등을 포함하는 데이터를 검증 내역 저장부(440)에 저장할 수 있다. 저장된 검증 내역은 추후 확인 서버(158)의 관리자에 의해 확인될 수 있다.
상기와 같은 구성을 갖는 확인 서버(158)가 동작하는 과정에 대해 도 5를 참조하여 설명한다.
도 5는 본 발명의 실시예에 따른 확인 서버(158)의 네트워크 정보에 대한 유효성 검증을 통해 비인가 액세스 포인트(130)를 판정하는 과정을 설명하기 위한 방법(500)을 설명하기 위한 흐름도이다. 도 5에 도시된 방법은 예를 들어, 전술한 확인 서버(158)에 의해 수행될 수 있다. 도시된 흐름도에서는 상기 방법을 복수 개의 단계로 나누어 기재하였으나, 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다. 또한 실시예에 따라 도 5에 도시되지 않은 하나 이상의 단계들이 도 5에 도시된 방법과 함께 수행될 수도 있다.
이에 도시된 바와 같이, 먼저 메시지 송수신부(410)는 유효성 검증 요청 메시지가 수신되는지를 판단한다(단계 502).
단계 502의 판단 결과, 유효성 검증 요청 메시지가 수신되면 메시지 송수신부(410)는 데이터 검색부(420)에 네트워크 정보에 대한 검색을 요청함과 더불어 수신된 유효성 검증 요청 메시지를 데이터 분석부(430)에 제공한다(단계 504).
데이터 검색부(420)는 검색 요청에 따라 데이터베이스(156)에 저장된 네트워크 정보 할당 내역을 검색한 후 그 검색 결과를 데이터 분석부(430)에 제공한다(단계 506).
데이터 분석부(430)는 검색 결과 및 유효성 검증 요청 메시지 내 네트워크 정보를 비교 및 분석하여 단말 장치(110)가 접속된 액세스 포인트(130)의 비인가 유무를 나타내는 유효성 검증 결과를 생성한 후 이를 검증 내역 저장부(440)에 저장(단계 508)함과 더불어 메시지 송수신부(410)에 제공한다. 이에 따라, 메시지 송수신부(410)는 유효성 검증 결과를 액세스 포인트(130)를 통해 단말 장치(110)에 송신한다(단계 510).
이후, 단말 장치(110)는 비인가 액세스 포인트 탐지 장치(200)를 통해 액세스 포인트(130)의 비인가 유무를 판단한 후 네트워크 접속을 제어할 수 있다. 구체적으로, 유효성 검증 결과가 네트워크 정보는 유효하지 않다고 나타내는 경우에는 네트워크 접속을 차단하며, 네트워크 정보가 유효함을 나타내는 경우에는 네트워크 접속을 허용할 수 있다.
상술한 바와 같은 본 발명의 실시예에서는 네트워크 정보가 유효함을 나타내는 유효성 검증 결과 및 네트워크 정보가 유효하지 않음을 나타내는 유효성 검증 결과가 단말 장치(110)에 송신될 수 있는 것으로 예를 들어 설명하였다. 그러나, 네트워크 정보가 유효함을 나타내는 결과만이 단말 장치(110)에 송신될 수 있으며, 네트워크 정보가 유효하지 않는 경우에는 유효성 검증 요청 메시지에 대한 응답을 전송하지 않을 수 있다.
한편, 본 발명의 실시예는 본 명세서에서 기술한 방법들, 즉 비인가 무선 액세스 탐지 방법(300) 및 확인 서버(158)의 네트워크 정보에 대한 유효성 검증을 통한 비인가 액세스 포인트(130)를 판정하는 방법(500)을 컴퓨터상에서 수행하기 위한 프로그램을 포함하는 컴퓨터 판독 가능 기록매체를 포함할 수 있다. 상기 컴퓨터 판독 가능 기록매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나, 또는 컴퓨터 소프트웨어 분야에서 통상적으로 사용 가능한 것일 수 있다. 컴퓨터 판독 가능 기록매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 플로피 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
110 : 단말 장치
130 : 액세스 포인트
150 : 네트워크 관리 시스템
200 : 비인가 액세스 포인트 판정 장치
210 : 유효성 검증 요청부
220 : 판정부
230 : 네트워크 접속 제어부
300 : 비인가 액세스 포인트 탐지 방법
410 : 메시지 송수신부
420 : 데이터 검색부
430 : 데이터 분석부
440 : 검증 내역 저장부

Claims (15)

  1. 단말 장치의 네트워크 접속과 관련된 네트워크 정보를 포함하고 상기 네트워크 정보의 유효성 검증을 요청하는 메시지를 액세스 포인트를 통해 확인 서버에 전달하기 위한 시도를 수행하는 단계; 및
    상기 확인 서버로부터 상기 네트워크 정보가 유효하다는 응답을 수신하지 못하는 경우 상기 액세스 포인트를 비인가로 판정하는 단계를 포함하는, 비인가 액세스 포인트 탐지 방법.
  2. 제1항에 있어서,
    상기 판정하는 단계는, 상기 단말 장치가 기 설정된 시간 동안 상기 확인 서버에 접속할 수 없는 경우 상기 액세스 포인트를 비인가로 판정하는 단계를 포함하는, 비인가 액세스 포인트 탐지 방법.
  3. 제1항에 있어서,
    상기 판정하는 단계는, 상기 확인 서버로부터 상기 네트워크 정보가 유효하지 않다는 응답이 수신되는 경우 상기 액세스 포인트를 비인가로 판정하는 단계를 포함하는, 비인가 액세스 포인트 탐지 방법.
  4. 제1항에 있어서,
    상기 액세스 포인트가 비인가로 판정되면, 상기 단말 장치의 네트워크 접속을 차단하는 단계를 더 포함하는, 비인가 액세스 포인트 탐지 방법.
  5. 제1항에 있어서,
    상기 네트워크 정보는, 상기 단말 장치에 할당되는 IP 주소 정보를 포함하는, 비인가 액세스 포인트 탐지 방법.
  6. 제1항 내지 제5항 중 어느 한 항에 기재된 방법을 실행하기 위한 컴퓨터 프로그램이 저장된 컴퓨터 판독가능 저장 매체.
  7. 단말 장치의 네트워크 접속과 관련된 네트워크 정보를 포함하고 상기 네트워크 정보의 유효성 검증을 요청하는 메시지를 액세스 포인트를 통해 확인 서버에 전달하기 위한 시도를 수행하는 유효성 검증 요청부; 및
    상기 확인 서버로부터 상기 네트워크 정보가 유효하다는 응답을 수신하지 못하는 경우 상기 액세스 포인트를 비인가로 판정하는 판정부를 포함하는, 비인가 액세스 포인트 탐지 장치.
  8. 제7항에 있어서,
    상기 액세스 포인트가 비인가로 판정됨에 따라 상기 네트워크 접속을 차단하는 네트워크 접속 제어부를 더 포함하는, 비인가 액세스 포인트 탐지 장치.
  9. 제7항에 있어서,
    상기 판정부는 또한, 상기 단말 장치가 기 설정된 시간 동안 상기 확인 서버에 접속할 수 없는 경우 상기 액세스 포인트를 비인가로 판정하는, 비인가 액세스 포인트 탐지 장치.
  10. 제7항에 있어서,
    상기 판정부는 또한, 상기 확인 서버로부터 상기 네트워크 정보가 유효하지 않다는 응답이 수신되는 경우 상기 액세스 포인트를 비인가로 판정하는, 비인가 액세스 포인트 탐지 장치.
  11. 제7항에 있어서,
    상기 네트워크 정보는 상기 단말 장치에 할당되는 IP 주소 정보를 포함하는, 비인가 액세스 포인트 탐지 장치.
  12. 단말 장치의 네트워크 접속과 관련된 네트워크 정보를 포함하고 상기 네트워크 정보에 대한 유효성 검증을 요청하는 메시지를 수신하며, 상기 메시지에 대한 응답을 송신하는 메시지 송수신부;
    상기 수신에 응답하여 상기 메시지 내 상기 네트워크 정보에 대하여 네트워크 정보 할당 내역을 검색하는 데이터 검색부; 및
    상기 검색의 결과에 기반하여 상기 네트워크 정보의 유효성을 검증하며, 상기 검증의 결과를 상기 메시지에 대한 상기 응답으로서 상기 메시지 송수신부에 제공하는 데이터 분석부를 포함하는, 확인 서버.
  13. 제12항에 있어서,
    상기 검증의 결과를 저장하기 위한 검증 내역 저장부를 더 포함하는, 확인 서버.
  14. 단말 장치의 네트워크 접속과 관련된 네트워크 정보를 포함하고 상기 네트워크 정보에 대한 유효성 검증을 요청하는 메시지를 수신하는 단계;
    상기 수신에 응답하여 상기 메시지 내 상기 네트워크 정보에 대하여 네트워크 정보 할당내역을 검색하는 단계;
    상기 검색의 결과에 기반하여 상기 네트워크 정보의 유효성을 검증하는 단계; 및
    상기 검증의 결과를 상기 메시지에 대한 응답으로서 상기 단말 장치에 제공하는 단계를 포함하는, 확인 서버를 이용한 비인가 액세스 포인트 탐지 방법.
  15. 제14항에 있어서,
    상기 검증의 결과를 저장하는 단계를 더 포함하는, 확인 서버를 이용한 비인가 액세스 포인트 탐지 방법.
KR1020130129313A 2013-10-29 2013-10-29 비인가 액세스 포인트 탐지 방법 및 장치 KR101534476B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020130129313A KR101534476B1 (ko) 2013-10-29 2013-10-29 비인가 액세스 포인트 탐지 방법 및 장치
US14/519,582 US9813913B2 (en) 2013-10-29 2014-10-21 Method and apparatus for detecting unauthorized access point
CN201410567439.2A CN104580141A (zh) 2013-10-29 2014-10-22 未获授权访问点检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130129313A KR101534476B1 (ko) 2013-10-29 2013-10-29 비인가 액세스 포인트 탐지 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20150049144A true KR20150049144A (ko) 2015-05-08
KR101534476B1 KR101534476B1 (ko) 2015-07-07

Family

ID=52997070

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130129313A KR101534476B1 (ko) 2013-10-29 2013-10-29 비인가 액세스 포인트 탐지 방법 및 장치

Country Status (3)

Country Link
US (1) US9813913B2 (ko)
KR (1) KR101534476B1 (ko)
CN (1) CN104580141A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180019403A (ko) * 2016-08-16 2018-02-26 주식회사 케이티 복수의 댁내 장치를 관리하는 사용자 단말, 관제 단말 및 대화 서버
KR20190033757A (ko) * 2017-09-22 2019-04-01 (주)노르마 무선 네트워크의 취약점 분석 방법 및 시스템

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10085328B2 (en) 2014-08-11 2018-09-25 RAB Lighting Inc. Wireless lighting control systems and methods
US10039174B2 (en) 2014-08-11 2018-07-31 RAB Lighting Inc. Systems and methods for acknowledging broadcast messages in a wireless lighting control network
US10531545B2 (en) 2014-08-11 2020-01-07 RAB Lighting Inc. Commissioning a configurable user control device for a lighting control system
US10057022B2 (en) * 2015-09-28 2018-08-21 Yazaki Corporation Method for controlling access to an in-vehicle wireless network
WO2017070609A1 (en) 2015-10-23 2017-04-27 Yazaki Corporation Limiting distraction from in-vehicle portable devices
US10869195B2 (en) * 2018-04-23 2020-12-15 T-Mobile Usa, Inc. Network assisted validation of secure connection to cellular infrastructure
CN111294416A (zh) * 2020-01-16 2020-06-16 Oppo(重庆)智能科技有限公司 Ip地址获取的方法及相关产品
KR102602230B1 (ko) * 2023-03-02 2023-11-14 주식회사 루테스 클라이언트 장치 인증 방법 및 시스템

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7965842B2 (en) * 2002-06-28 2011-06-21 Wavelink Corporation System and method for detecting unauthorized wireless access points
US7068999B2 (en) * 2002-08-02 2006-06-27 Symbol Technologies, Inc. System and method for detection of a rogue wireless access point in a wireless communication network
US7440573B2 (en) * 2002-10-08 2008-10-21 Broadcom Corporation Enterprise wireless local area network switching system
CN100502300C (zh) * 2004-08-05 2009-06-17 Ut斯达康通讯有限公司 一种无线局域网内检测非法无线接入点的方法
US7317914B2 (en) * 2004-09-24 2008-01-08 Microsoft Corporation Collaboratively locating disconnected clients and rogue access points in a wireless network
EP1858204A4 (en) * 2005-03-11 2014-01-08 Fujitsu Ltd ACCESS RULES, ACCESS RULES AND PACKAGE COMMUNICATION DEVICE
JP4804983B2 (ja) * 2006-03-29 2011-11-02 富士通株式会社 無線端末、認証装置、及び、プログラム
CN101079741A (zh) * 2007-06-29 2007-11-28 杭州华三通信技术有限公司 接入点,接入控制器以及监控非法接入的方法
KR101083727B1 (ko) * 2009-08-21 2011-11-15 주식회사 에어큐브 무선 네트워크 보안 장치 및 그 방법
US8555054B2 (en) * 2009-10-12 2013-10-08 Palo Alto Research Center Incorporated Apparatus and methods for protecting network resources
CN102014378B (zh) * 2010-11-29 2014-04-02 北京星网锐捷网络技术有限公司 检测非法接入点设备的方法、***及接入点设备
KR101328779B1 (ko) * 2010-12-24 2013-11-13 주식회사 팬택 이동 단말기, 서버 및 이를 이용한 정보 제공 방법
US20140073289A1 (en) * 2012-09-11 2014-03-13 Wavemax Corp. 3g/4g mobile data offload via roaming in a network of shared protected/locked wi-fi access points
US9451418B2 (en) * 2012-10-19 2016-09-20 Qualcomm Incorporated Group association based on network determined location

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180019403A (ko) * 2016-08-16 2018-02-26 주식회사 케이티 복수의 댁내 장치를 관리하는 사용자 단말, 관제 단말 및 대화 서버
KR20190033757A (ko) * 2017-09-22 2019-04-01 (주)노르마 무선 네트워크의 취약점 분석 방법 및 시스템

Also Published As

Publication number Publication date
KR101534476B1 (ko) 2015-07-07
US9813913B2 (en) 2017-11-07
US20150121527A1 (en) 2015-04-30
CN104580141A (zh) 2015-04-29

Similar Documents

Publication Publication Date Title
KR101534476B1 (ko) 비인가 액세스 포인트 탐지 방법 및 장치
US9654962B2 (en) System and method for WLAN roaming traffic authentication
KR101910605B1 (ko) 무선 단말의 네트워크 접속 제어 시스템 및 방법
JP2004046666A (ja) 情報ネットワークシステムの制御方法および情報ネットワークシステムならびに移動通信端末
KR20120039734A (ko) 무선 네트워크 고장들의 진단 및 해결
CN101247396A (zh) 一种分配ip地址的方法、装置及***
US10542481B2 (en) Access point beamforming for wireless device
JP2014527767A (ja) ネットワークの識別子位置判断システム及びその方法
EP2373075A1 (en) System and method for WLAN traffic monitoring
US20070155403A1 (en) Rogue Detection Using Geophysical Information
EP2484085A1 (en) Immobilization module for security on a communication system
JP2011528203A (ja) 通信ネットワークを管理するための方法および関連装置
KR20130002044A (ko) 불법 액세스 포인트 탐지 방법 및 이를 위한 무선 통신 단말
CN112153645B (zh) 防蹭网方法和装置、路由器
KR20150041407A (ko) 신뢰 액세스포인트 접속 장치 및 방법
KR102421759B1 (ko) 네트워크 장애 감지장치 및 방법
CN103188662B (zh) 一种验证无线接入点的方法以及装置
AU2021102117A4 (en) System for secure authentication and inter-communication among networked iot devices
CN114697945A (zh) 发现响应消息的生成方法及装置、发现消息的处理方法
CN101090318A (zh) 网络安全***以及用以管理网络安全弱点的方法
KR101553827B1 (ko) 불법 ap 탐지 및 차단 시스템
KR101487349B1 (ko) 무선 ap에서의 단말 인증 방법 및 이를 이용한 무선랜 시스템
KR102433412B1 (ko) 액세스 포인트 안전도 정보 제공 방법, 및 이를 위한 단말기 및 서버 장치
KR20130061994A (ko) 펨토셀 기지국 이설 방지 방법 및 이에 적용되는 장치
JP7430397B2 (ja) Wipsセンサ、無線通信システム、無線侵入防止方法及び無線侵入防止プログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180625

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190701

Year of fee payment: 5