WO2013089396A1 - Method for preventing intrusion in real time in wired and wireless integration system - Google Patents

Method for preventing intrusion in real time in wired and wireless integration system Download PDF

Info

Publication number
WO2013089396A1
WO2013089396A1 PCT/KR2012/010685 KR2012010685W WO2013089396A1 WO 2013089396 A1 WO2013089396 A1 WO 2013089396A1 KR 2012010685 W KR2012010685 W KR 2012010685W WO 2013089396 A1 WO2013089396 A1 WO 2013089396A1
Authority
WO
WIPO (PCT)
Prior art keywords
wireless
terminal
information
wired
network
Prior art date
Application number
PCT/KR2012/010685
Other languages
French (fr)
Korean (ko)
Inventor
류동주
Original Assignee
주식회사 코닉글로리
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 코닉글로리 filed Critical 주식회사 코닉글로리
Publication of WO2013089396A1 publication Critical patent/WO2013089396A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Definitions

  • a wireless LAN system for wireless Internet communication includes a wireless LAN access point (AP) and a wireless LAN terminal.
  • An access point (AP) installs and uses equipment called an access point apparatus.
  • the access point device mainly used does not filter hacking information that is invaded wirelessly because it provides only a transmission and network support function for wireless traffic.
  • the WLAN terminal functions to receive information provided from the AP and provide it to the next stage.
  • the sensor 130 monitors and controls the WLAN device 110.
  • the sensor 130 detects a packet transmitted by the WLAN device 110 or the access point 111, and controls the WLAN device 110 or the access point 111 under the control of the sensor manager 200.
  • attack techniques include spoofing, DoS, and MITM.
  • spoofing attacks are used to pass authentication by tampering with MAC / IP / Frame.
  • FIG. 2 shows a protocol layer model defined in a wireless mobile communication system based on the IEEE 802.16 system.
  • the transport connection defines the mapping between peer convergence processes using the MAC and service flow
  • the service flow defines the QoS parameters of the MAC PDUs exchanged in that connection.
  • Service flow on the transport connection plays a key role in the operation of the MAC protocol, and provides a mechanism for QoS management of uplink and downlink.
  • service flows may be combined with a bandwidth allocation process.
  • a terminal may have a universal MAC address of 48 bits in length per air interface. This address uniquely defines the air interface of the terminal and may be used to establish the connection of the terminal during the initial ranging process.

Abstract

The present invention provides a method for preventing intrusion in real time in a wired and wireless integration system, which can protect against malicious packets accessing through a wired network or a wireless network. To this end, the present invention provides the method for preventing intrusion in real time in a wired and wireless integration system, comprising the steps of: allowing a control unit used to control a network to confirm and store IP and MAC information of a wired user permitted to access the network; allowing the control unit to store wireless MAC information with which access is permitted; allowing the control unit to store USIM information or PKI information of a terminal permitted to access the network; and allowing the control unit to determine whether the terminal which has requested access to the network is authenticated by confirming all of the MAC information of the wired user, the wireless MAC information, and the PKI or USIM information of the terminal.

Description

유무선 통합시스템에서 실시간 침입차단 방법Real-time intrusion prevention method in wired / wireless integrated system
본 발명은 유무선 통합시스템에서 실시간 침입차단 방법에 관한 것으로, 보다 자세하게는 MAC 정보를 이용하는 유무선 통합시스템에서 실시간 침입차단 방법에 관한 것이다.The present invention relates to a real-time intrusion blocking method in a wired / wireless integrated system, and more particularly, to a real-time intrusion blocking method in a wired / wireless integrated system using MAC information.
일반적으로 모든 운영체제 시스템 및 관련 응용 프로그램들은 프로그램 개발과정의 특성상 보안 취약성을 가지고 있다. 또한, 현재는 인터넷을 기반으로 하는 네트워크가 폭 넓게 보급되어 네트워크를 통한 시스템 침해 사례가 증가되고 있다. 더구나 최근에는 무선 인터넷의 발달에 의해 무선망을 통해 침입하는 사례가 빈번해지고 있다.In general, all OS systems and related applications have security vulnerabilities due to the nature of the program development process. In addition, the Internet-based network has been widely spread, and the number of system breaches through the network is increasing. In addition, in recent years, the invasion through the wireless network has been frequent due to the development of the wireless Internet.
무선 인터넷 통신을 위한 무선랜 시스템은 무선랜 액세스 포인트(Wireless LAN Access Point, AP)와 무선랜 단말을 포함한다. 액세스 포인트(AP)는 액세스 포인트 장치라는 장비를 설치하여 사용하고 있다. 현재 주로 사용하는 엑세스 포인트 장치는 무선 트래픽에 대한 전송, 네트워크 지원 기능만을 제공하기 때문에, 무선으로 침입되는 해킹 정보를 필터링하고 있지 못하다. 무선랜 단말은 액세스 포인트에서 제공되는 정보를 전달받아 다음단으로 제공하는 기능을 한다.A wireless LAN system for wireless Internet communication includes a wireless LAN access point (AP) and a wireless LAN terminal. An access point (AP) installs and uses equipment called an access point apparatus. Currently, the access point device mainly used does not filter hacking information that is invaded wirelessly because it provides only a transmission and network support function for wireless traffic. The WLAN terminal functions to receive information provided from the AP and provide it to the next stage.
무선랜 시스템은 IEEE 802.11i에서 제안한 무선랜 보안 표준에 따르게 되는데, 무선랜 시스템 내부의 AP와 무선랜 단말에 대해서만 인증, 및 암호화를 수행한다. 이에 따라 무선망에서 억세스가 거부된 사용자 단말기가 유선랜에서는 억세스가 이루어질 수도 있고, 또는 그 반대로 유선망에서 억세스가 거부된 사용자 단말기가 유선망에서 억세스가 이루어질 수도 있다.The WLAN system follows the WLAN security standard proposed by IEEE 802.11i, and performs authentication and encryption only for the AP and the WLAN terminal in the WLAN system. Accordingly, a user terminal denied access in a wireless network may be accessed in a wired LAN, or vice versa, a user terminal denied access in a wired network may be accessed in a wired network.
본 발명은 유선망 또는 무선망을 통해 접근하는 악성패킷에 대해 보호할 수 있는 유무선 통합시스템에서 실시간 침입차단 방법을 제공한다.The present invention provides a real-time intrusion prevention method in a wired or wireless integrated system that can protect against malicious packets accessed through a wired or wireless network.
본 발명은 네트워크를 통제하는 제어부가 단말기의 유선 IP 주소 및 유선 MAC 주소를 확인하여 등록 저장하는 단계; 상기 제어부가 상기 단말기의 무선 MAC 주소를 확인하여 등록 저장하는 단계; 상기 제어부가 상기 단말기의 USIM 정보 또는 PKI 정보를 등록 저장하는 단계; 및 상기 제어부가 네트워크에 접근을 요구한 단말기의 인증 여부를 상기 유선 MAC 정보, 무선 MAC 정보 및 USIM 정보나 PKI 정보를 모두 확인하여 네트워크 접속을 판단하는 단계를 포함하는 것을 특징으로 하는 유무선 통합시스템에서 실시간 침입차단 방법을 제공한다.The present invention includes a step of registering and storing a wired IP address and a wired MAC address of a terminal by a controller for controlling a network; Checking and registering the wireless MAC address of the terminal by the controller; Registering and storing, by the controller, USIM information or PKI information of the terminal; And determining, by the controller, whether the terminal requesting access to the network is authenticated by determining all the wired MAC information, the wireless MAC information, and the USIM information or the PKI information to determine a network connection. It provides a real-time intrusion prevention method.
또한, 상기 제어부는 등록되지 않은 단말기가 무선으로 네트워크에 침입하는 해킹정보를 탐지하기 위한 무선 침입 탐지 시스템 또는 침입탐지시스템을 포함하며, 상기 무선 MAC 정보를 상기 무선 침입 탐지 시스템 또는 침입탐지시스템에 저장하는 것을 특징으로 한다.The control unit may include a wireless intrusion detection system or an intrusion detection system for detecting hacking information that an unregistered terminal invades a network wirelessly, and stores the wireless MAC information in the wireless intrusion detection system or an intrusion detection system. Characterized in that.
또한, 상기 제어부는 접근이 허용된 단말기가 무선으로 외부웹을 접속하여 선택한 파일을 다운로드시, 그 다운로드되는 파일이 악성파일인지 자동으로 감지하는 것을 특징으로 한다.The controller may automatically detect whether the downloaded file is a malicious file when the terminal to which the access is allowed accesses the external web wirelessly and downloads the selected file.
또한, 상기 제어부는 접근이 허용된 단말기가 무선으로 외부웹을 접속하여 선택한 파일을 다운로드시, 그 다운로드되는 파일이 악성파일이라면 상기 단말기의 사용자에게 통보없이 다운로드되는 파일의 접근을 차단시키는 것을 특징으로 한다.The control unit may block access to the downloaded file without notifying the user of the terminal when the downloaded file is a malicious file when the terminal is allowed to access the external web wirelessly. do.
본 발명에 의해, 유선망 또는 무선망을 통해 접근하는 악성패킷에 대해 보호할 수 있기 때문에, 유무선 통합 네트워킹 시스템에서 보안에 관련한 신뢰성 향상을 기대할 수 있다.According to the present invention, since it is possible to protect against malicious packets that are accessed through a wired or wireless network, it is possible to expect an improved reliability related to security in a wired / wireless integrated networking system.
도1은 본 발명을 설명하기 위한 것으로 무선랜 침입 방지 시스템을 도시한 블록도.1 is a block diagram illustrating a WLAN intrusion prevention system for explaining the present invention.
도2는 MAC에 관련된 설명을 참조하기 위한 블록도2 is a block diagram for referring to a description related to MAC.
이하, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 가장 바람직한 실시예를 첨부된 도면을 참조하여 설명하기로 한다.DETAILED DESCRIPTION Hereinafter, the most preferred embodiments of the present invention will be described with reference to the accompanying drawings so that those skilled in the art may easily implement the technical idea of the present invention. do.
도 1은 본 발명의 유무선 통합시스템에서 실시간 침입차단 방법을 설명하기 위한 것으로, 유무선 네트워킹 시스템에 해킹 신호가 침입하는 것을 방지하는 시스템의 구성도이다.1 is a view illustrating a real-time intrusion blocking method in the wired / wireless integrated system of the present invention, and is a configuration diagram of a system for preventing hacking signals from invading the wired / wireless networking system.
도 1에 도시된 바와 같이, 본 실시예에 따른 유무선 네트워킹 시스템에 해킹 신호가 침입하는 것을 방지하는 시스템은 무선랜 기기(110), 엑세스 포인트(AP,111), 센서(130), 센서관리 매니저(200)를 포함한다.As illustrated in FIG. 1, a system for preventing a hacking signal from invading a wired / wireless networking system according to the present embodiment includes a WLAN device 110, an access point (AP) 111, a sensor 130, and a sensor management manager. 200.
무선랜 기기(110)와, 엑세스 포인트(111)는 무선 네트워크를 구축하기 위한 필수 구성요소들이다.The WLAN device 110 and the access point 111 are essential components for establishing a wireless network.
무선랜 기기(110)는 무선 네트워크를 구성하고, 다른 무선랜 기기(110)와 무선 네트워크를 통해 데이터를 교환한다. 무선랜 기기(110)는 데이터를 암호화하여 전송할 수 있다. The WLAN device 110 configures a wireless network and exchanges data with another WLAN device 110 through a wireless network. The WLAN device 110 may encrypt and transmit data.
무선랜 기기(110)에는 유무선 IP 공유기, 무선 랜카드, 무선 프린터, 안테나, 무선네트워크 카메라 등이 있다. The wireless LAN device 110 includes a wired / wireless IP router, a wireless LAN card, a wireless printer, an antenna, a wireless network camera, and the like.
액세스 포인트(111)는 무선 랜기기(110)와 서버(미도시) 사이에 배치되어 무선랜 기기(110)에서 제공되는 데이터를 서버로 전달하거나 서버에서 제공되는 신호를 무선으로 무선랜 기기(110)로 전달한다.The access point 111 is disposed between the wireless LAN device 110 and a server (not shown) to transfer data provided from the wireless LAN device 110 to the server or wirelessly transmit a signal provided from the server to the wireless LAN device 110. To pass).
센서(130)는 무선랜 기기(110)를 감시하고 제어한다. 센서(130)는 무선랜 기기(110) 또는 액세스 포인트(111)가 전송하는 패킷을 감지하며, 센서 매니저(200)의 제어에 따라 무선랜 기기(110) 또는 액세스 포인트(111)를 제어한다. The sensor 130 monitors and controls the WLAN device 110. The sensor 130 detects a packet transmitted by the WLAN device 110 or the access point 111, and controls the WLAN device 110 or the access point 111 under the control of the sensor manager 200.
센서관리 매니저(200)는 센서(130)를 통해 무선랜 기기(110) 또는 액세스 포인트(111)을 감시하고, 제어한다. 이때 센서관리 매니저(200)는 통신망을 통해 연결되며, 사용자의 제어를 받을 수 있다.The sensor management manager 200 monitors and controls the wireless LAN device 110 or the access point 111 through the sensor 130. In this case, the sensor management manager 200 may be connected through a communication network and may be controlled by a user.
무선 네트워크를 공격하는 기술은 다양하게 발견되고 있다. 악의적인 사용자들에 의해서 사이버 공격 기법은 날로 다양해고 있으며, 해킹 기법의 발달로 자동화, 지능화된 해킹 툴이 공개적으로 유포되어 국내외 해킹 발생빈도는 급격히 증가하고 있는 추세이다. 특히 네트워크의 취약점이 지속적으로 증가하고 있으며 웜바이러스와 같은 치명적인 공격에 의해 네트워크 서비스를 마비시킬 수 있는 서비스거부(DDoS) 공격이 급증하고 있는 가운데 무선 네트워크상에서의 무선기기의 공격은 다음에 설명되는 바와 같이, 수동적(passive), 능동적(active), 로그 에이피 (rogue AP) 공격으로 분류할 수 있다.Various techniques for attacking wireless networks have been found. Cyber attack techniques are being diversified by malicious users, and the development of hacking techniques has led to the public and dissemination of automated and intelligent hacking tools. In particular, network vulnerabilities are continuously increasing, and denial-of-service attacks (DDoS) that can paralyze network services by fatal attacks such as worm viruses are increasing. Similarly, they can be classified as passive, active, and rogue AP attacks.
가. 수동적(Passive) 공격end. Passive Attack
수동적 공격의 목적은 액세스 포인트 장치 MAC, SSID, 채널, 제조사, WEP 설정여부, 설치 위치 정보를 얻기 위함이다. 3 가지 방식의 프로그램들이 있는데 패킷을 캡처하는 스니퍼(sniffer) 방식, 정보를 얻기 위해서 query 하는 stumbler 방식 그리고, 전송되는 패킷이 존재하지 않고 어떤 네트워크에도 속하지 않아 모든 네트워크 패킷을 수집할 수 있는 passive monitor 가 있다. 대표적인 sniffer 프로그램으로 airopeek, ethereal, tcpdump 가 있고, stumbler 프로그램은 netstumbler, passive monitor 프로그램은 kismet이 있다.The purpose of the passive attack is to obtain the access point device MAC, SSID, channel, manufacturer, WEP settings, and installation location information. There are three types of programs: a sniffer method for capturing packets, a stumbler method for querying information, and a passive monitor that collects all network packets because no packets are sent and does not belong to any network. have. Typical sniffer programs include airopeek, ethereal, and tcpdump, stumbler programs are netstumbler, and passive monitor programs are kismet.
나. 불법 AP(Rogue AP) 공격I. Rogue AP attack
불법 AP(Rogue AP)란 사용자의 편의를 목적으로 유선 네트워크에 설치된 비인가 AP, 또는 공격자에 의해서 고의로 설치된 AP를 말한다. 이는 상당한 위협요소가 되는데 회사 내의 보안 정책을 거치지 않고 내부 유선망에 침입할 수 있으므로rogue AP를 반드시 제거하여야 한다. 만약 사용자의 부주의로 보안을 신경 쓰지 않은 채 AP를 연결하여 Ad-hoc 네트워크를 구성한다면 더욱 위험하게 되고 비인가자에 의한 네트워크 대역폭 낭비를 불러올 수도 있다.Rogue AP refers to an unauthorized AP installed in a wired network or an AP deliberately installed by an attacker for the convenience of a user. This is a significant threat, and rogue APs must be removed because they can break into internal wired networks without going through the company's security policy. If ad-hoc network is formed by connecting AP without careless security, it may be more dangerous and cause network bandwidth wasted by unauthorized person.
다. 능동적(Active) 공격All. Active attack
능동적 공격의 목적은 정보 수집보다는 서비스 거부와 같은 공격적인 면이 강하다. 공격기법으로는 spoofing, DoS, MITM등이 있다. 각각 살펴보면 spoofing 공격은 MAC/IP/Frame을 변조하여 인증을 통과하기 위한 목적으로 사용되고, 서비스The purpose of active attacks is more aggressive, such as denial of service, than information gathering. Attack techniques include spoofing, DoS, and MITM. In each case, spoofing attacks are used to pass authentication by tampering with MAC / IP / Frame.
거부 공격에도 사용된다. DoS 공격으로는 반복적으로 위조된 disassociation /deauthentication 프레임을 전송하는 deauth flooding과 주파수대가 비슷한 장비의 잡음을 이용하는 jamming 기법이 있다. disassociation 기법은 rogue AP격리를 위한 기법으로 활용되기도 한다. Man-in-the- middle과 session hijack 공격은 기존 접속을 해제시켜 공격자의 AP로 유도하거나 mac을 spoofing 하여 세션을 가로채는 기법이다. It is also used for denial attacks. DoS attacks include deauth flooding, which repeatedly transmits forged disassociation / deauthentication frames, and jamming techniques that use noise from devices of similar frequency bands. The disassociation technique is also used as a technique for rogue AP isolation. Man-in-the-middle and session hijack attacks are a technique of intercepting sessions by releasing existing connections and inducing them to the attacker's AP or spoofing macs.
이와 같이, 다양해지는 무선 네트워크상에서의 무선기기의 공격을 보호하기 위해, 유무선 네트워킹 시스템에 해킹 신호가 침입하는 것을 방지하는 시스템의 성정이 점점 더 중요해지고 있다.As described above, in order to protect attacks of wireless devices on various wireless networks, the establishment of a system for preventing hacking signals from invading wired / wireless networking systems becomes increasingly important.
도2는 MAC에 관련된 설명을 하기위한 블록도이다.2 is a block diagram for explaining the MAC.
도 2은 IEEE 802.16 시스템 기반의 무선 이동통신 시스템에서 정의하는 프로토콜 계층 모델을 나타낸다.2 shows a protocol layer model defined in a wireless mobile communication system based on the IEEE 802.16 system.
도 2을 참조하면, 링크 계층에 속하는 매체접속제어(MAC: Medium Access Control, 이하 "MAC"이라 칭함)정보 계층은 3개의 부계층으로 구성될 수 있다. 먼저, 서비스 지정 수렴부계층(Service-Specific CS: Service-Specific Convergence Sublayer)은 CS SAP(Service Access Point)를 통하여 수신된 외부 네트워크의 데이터를 MAC 부계층(CPS: Common Part Sublayer)의 MAC SDU(Service Data Unit)들로 변형시키거나 맵핑시킬 수 있다. 이 계층에서는 외부 네트워크의 SDU들을 구분한 후, 해당되는 MAC 서비스 플로우 식별자(SFID: Service Flow IDentifier)와 CID(Connection IDentifier)를 연관시키는 기능이 포함될 수 있다.Referring to FIG. 2, a medium access control (MAC) information layer belonging to a link layer may be composed of three sublayers. First, the Service-Specific Convergence Sublayer (Service-Specific CS) uses MAC SDU (CPS: Common Part Sublayer) of data from an external network received through a CS SAP (Service Access Point). Can be transformed or mapped into Service Data Units. This layer may include a function of classifying SDUs of an external network and then associating a corresponding MAC Service Flow IDentifier (SFID) with a Connection IDentifier (CID).
다음으로 MAC CPS는 시스템 액세스, 대역폭 할당, 연결(connection) 설정 및 관리와 같은 MAC의 핵심적인 기능을 제공하는 계층으로, MAC SAP를 통해 다양한 CS들로부터 특정 MAC 연결에 의해서 분류된 데이터를 수신한다. 이때 물리 계층을 통한 데이터 전송과 스케줄링에 QoS(Quality of Service)가 적용될 수 있다. 또한, 암호화 부계층(Security Sublayer)은 인증(Authentication), 보안키 교환(security key exchange)과 암호화 기능을 제공할 수 있다. MAC 계층은 연결 지향형(connection-oriented) 서비스로, 전송 연결(transport connection)의 개념으로 구현된다. 시스템에 단말이 등록될 때 서비스 플로우(Service Flow)가 단말과 시스템간의 협상에 의하여 규정될 수 있다. 만약 서비스 요구가 변경되면 새로운 연결이 설정될 수 있다. 여기에서, 전송 연결은 MAC 및 서비스 플로우를 이용하는 동위 수렴(peer convergence) 프로세스들 간의 매핑을 정의하며, 서비스 플로우는 해당 연결에서 교환되는 MAC PDU의 QoS 파라미터들을 정의한다. 전송 연결 상의 서비스 플로우는 MAC 프로토콜의 운영에 있어서 핵심적인 역할을 수행하며, 상향링크 및 하향링크의 QoS 관리를 위한 매카니즘을 제공한다. 특히, 서비스 플로우들은 대역폭 할당 과정과 결합될 수 있다. 일반적인 IEEE 802.16 시스템에서 단말은 무선 인터페이스마다 48비트 길이의 범용(universal) MAC 주소 (address)를 가질 수 있다. 이 주소는 단말의 무선 인터페이스를 유일하게 정의하며, 초기 레인징 과정 동안 단말의 연결을 설정하기 위하여 사용될 수 있다. 그리고 기지국은 단말들을 단말 각각의 서로 다른 식별자(ID)로 검증하기 때문에 범용 MAC 주소는 인증 프로세스의 일부로도 사용될 수 있다. 각각의 연결(connection)은 16비트 길이의 연결 식별자(CID: Connection IDentifier)에 의하여 식별될 수 있다. 단말의 초기화가 진행되는 동안 관리 연결(management connection) 2개의 쌍(상향링크 및 하향링크)이 단말과 기지국간에 설정되며, 관리 연결까지 포함하여 3개의 쌍이 선택적으로 사용될 수 있다. 상술한 계층구조 하에서 송신단과 수신단이 매체접속제어 프로토콜 데이터 유닛(MAC PDU: Medium Access Control Packet Data Unit)을 통하여 데이터 또는 제어 메시지를 교환할 수 있다. 이러한 MAC PDU를 생성하기 위하여 기지국이나 단말은 MAC PDU에 MAC 헤더를 포함시킬 수 있다. 단말은 MAC 시그널링(signaling) 헤더 형태나 MAC 서브헤더 형태로 대역폭 요청 정보를 전송함으로써 상향링크 대역폭을 요청할 수 있다. Next, MAC CPS is a layer that provides the core functions of MAC such as system access, bandwidth allocation, connection establishment and management, and receives data classified by specific MAC connection from various CSs through MAC SAP. . In this case, quality of service (QoS) may be applied to data transmission and scheduling through the physical layer. In addition, the security sublayer may provide authentication, security key exchange, and encryption functions. The MAC layer is a connection-oriented service and is implemented in the concept of transport connection. When a terminal is registered in the system, a service flow may be defined by negotiation between the terminal and the system. If the service request changes, a new connection can be established. Here, the transport connection defines the mapping between peer convergence processes using the MAC and service flow, and the service flow defines the QoS parameters of the MAC PDUs exchanged in that connection. Service flow on the transport connection plays a key role in the operation of the MAC protocol, and provides a mechanism for QoS management of uplink and downlink. In particular, service flows may be combined with a bandwidth allocation process. In a typical IEEE 802.16 system, a terminal may have a universal MAC address of 48 bits in length per air interface. This address uniquely defines the air interface of the terminal and may be used to establish the connection of the terminal during the initial ranging process. Since the base station verifies the terminals with different identifiers (IDs) of the terminals, the universal MAC address may also be used as part of the authentication process. Each connection may be identified by a connection identifier (CID) of 16 bits in length. During the initialization of the terminal, two pairs of management connections (uplink and downlink) are established between the terminal and the base station, and three pairs may be selectively used including the management connection. Under the above-described hierarchical structure, the transmitting end and the receiving end may exchange data or control messages through a medium access control packet data unit (MAC PDU). In order to generate such a MAC PDU, the base station or the terminal may include a MAC header in the MAC PDU. The UE may request uplink bandwidth by transmitting bandwidth request information in the form of a MAC signaling header or a MAC subheader.
도3은 본 발명의 MAC 정보를 이용하는 유무선 통합시스템에서 실시간 침입차단 방법을 나타내는 신호 흐름도이다.3 is a signal flow diagram illustrating a real-time intrusion prevention method in a wired / wireless integrated system using MAC information of the present invention.
도3에 도시된 바와 같이, 본 발명의 핵심적 기능은 MAC정보와 더불어 추가적인 인증정보(PKI(Personal Key Infrastructure) 또는 USIM 정보)를 동시에 무선 네트워킹 시스템에서 감지하여, 그 정보가 네트워킹에 예정된 접근이 아닌 경우에는 접근을 차단하는 방식을 사용하는 것이다. 즉, 유무선 통합시스템에서 실시간 침입차단 방법을 운영하는데 있어서, 안정적으로 연결해야 하는 단말기인지 차단할 단말기인지를 판단하는데 있어서, MAC 정보 이외에도 휴대폰 단말기의 PKI 또는 USIM와 같은 인증정보를 이용하여 차단유무를 결정하는 것이 특징이다.As shown in Fig. 3, the core function of the present invention detects additional authentication information (PKI (Personal Key Infrastructure) or USIM information) in addition to MAC information in the wireless networking system, so that the information is not intended for networking. In this case, use a method of blocking access. That is, in operating the real-time intrusion blocking method in the wired / wireless integrated system, in determining whether the terminal should be connected stably or the terminal to be blocked, the presence or absence of the blocking is determined by using authentication information such as PKI or USIM of the mobile terminal in addition to the MAC information. It is characteristic.
USIM(Universal Subscriber Identity Module)칩은 가입자 정보를 탑재한 SIM(subscriber identity module) 카드와 UICC(universal IC card)가 결합된 형태로써 사용자 인증과 글로벌 로밍, 전자상거래 등 다양한 기능을 1장의 칩에 구현한 범용사용자 식별모듈이다. USIM (Universal Subscriber Identity Module) chip combines subscriber identity module (SIM) card with subscriber information and universal IC card (UICC) to implement various functions such as user authentication, global roaming, and e-commerce on one chip. One universal user identification module.
본 발명의 유무선 통합시스템에서 실시간 침입차단 방법은 MAC 정보뿐만 아니라. USIM(또는 PKI)에서 제공하는 인식정보도 이용하게 되는 것이다.Real-time intrusion prevention method in the wired / wireless integrated system of the present invention is not only MAC information. Recognition information provided by the USIM (or PKI) will also be used.
이를 자세히 살펴보면, 먼저, NMS에서 동작하는 유선사용자의 IP와 MAC 정보를 확인한다. NMS(Network management system)는 시스템관리자가 네트워크를 통제하는데 사용되는 소프트웨어를 말한다. NMS는 하나의 프로그램 또는 일련의 프로그램들로 구성될 수 있는데, 필요한 세팅에 접근할 수 있도록 해주는 네트워크 계층 또는 프로토콜을 지칭하기도 한다.In detail, first, check the IP and MAC information of the wired user operating in the NMS. Network management system (NMS) refers to software used by system administrators to control a network. An NMS can consist of a program or a series of programs, also referred to as a network layer or protocol that provides access to the necessary settings.
이어서, 무선 침입 탐지 시스템(Wireless intrusion prevention system, WIDS) 또는 침입탐지시스템(IDS)에서 동작하는 무선 MAC 정보를 확인한다. 무선 침입 탐지 시스템(WIDS) 또는 침입탐지시스템(IDS)은 무선으로 침입하는 해킹 정보를 탐지하는 시스템으로, 네트워크나 시스템의 미심쩍은 점을 조사 및 감시하고 필요한 조치를 취하는 시스템이다. 방화벽이 잠겨있는 문이라면, 침입 탐지 시스템은 그 방안에 설치되어 움직임을 알아내는 감지 장치라고 할 수 있다. IDS에 적용되는 방식에는 특정한 종류의 공격을 확인해내는 것부터, 비정상적인 트래픽을 찾아내는 방식까지 다양하다.Subsequently, wireless MAC information operating in a wireless intrusion prevention system (WIDS) or an intrusion detection system (IDS) is checked. Wireless Intrusion Detection System (WIDS) or Intrusion Detection System (IDS) is a system that detects hacking information invading wirelessly. It is a system that investigates and monitors suspicious points of network or system and takes necessary measures. If a firewall is a locked door, an intrusion detection system is a sensing device installed in the room that detects movement. The methods applied to IDS can range from identifying specific types of attacks to detecting unusual traffic.
이어서, 인증서버 또는 무선 침입 탐지 시스템(WIDS) (또는 침입탐지시스템(IDS))는 접근을 요구한 단말기의 인증여부와 등록된 사용자 MAC(Media Access Control) 및 인정정보(PKI 또는 USIM 정보)를 확인한다. 여기서 단말기는 스마트 폰을 포함한다.Subsequently, the authentication server or the wireless intrusion detection system (WIDS) (or intrusion detection system (IDS)) determines whether the terminal requesting access is authenticated and registered user MAC (Media Access Control) and authentication information (PKI or USIM information). Check it. The terminal here comprises a smartphone.
등록된 단말기외의 사용자 단말기는 네트워크에 접근이 차단되며, 인가된 사용자 단말기는 안전하게 네트워크에 연결되며, 실시간으로 유선 및 무선의 악성 패킷에 대해서 실시간 보호를 받는다. User terminals other than the registered terminals are blocked from accessing the network, authorized user terminals are securely connected to the network, and receive real-time protection against malicious packets of wired and wireless in real time.
인가된 사용자 단말기는 무선 구간에서 무선을 통해 외부 웹을 접속하여 선택한 파일을 다운로드 시, 그 다운로드되는 파일이 무선 침입 탐지 시스템(WIDS) (또는 침입탐지시스템(IDS))에 의해 악성파일인지 자동으로 감지되고, 악성일 경우 다운로드 파일의 접근을 차단한다. 이때 차단은 단말기 사용자에게 통보 없이 바로 차단할 수 있다.When the authorized user terminal accesses the external web through the wireless section and downloads the selected file, the downloaded file is automatically detected as a malicious file by the wireless intrusion detection system (WIDS) (or intrusion detection system (IDS)). If detected, malicious files are blocked from access. At this time, blocking can be immediately blocked without notifying the terminal user.
이 기능은 무선 WIPS 에서는 수용 불가능한 기능으로 무선 구간에서 전송되는 데이터는 그 데이터 패킷 전체가 암호화되어져 있어서, 무선 구간 내에서는 패킷이 악성파일인지 확인할 수가 없으며 별도의 분석도구를 설치하여 키를 이용해야만 한다.This function is unacceptable in the wireless WIPS. The data transmitted in the wireless section is encrypted because the entire data packet is encrypted. In the wireless section, it is impossible to check whether the packet is a malicious file. .
본 실시예에 따른 유무선 통합시스템에서 실시간 침입차단 방법은 AP에서 정보를 얻는 방법을 사용하며, AP를 제작 설계할 때에 이러한 차단 기능과 모듈을 삽입하여 진행하는 것이다.In the wired / wireless integrated system according to the present embodiment, the real-time intrusion blocking method uses a method of obtaining information from the AP, and inserts such a blocking function and a module when the AP is manufactured and designed.
유선망에서는 무선망을 통해 입력된 데이터 패킷에 대한 분석기능이 없기 때문에, 현재 전송되는 데이터 패킷이 악성인지 아닌지 판단이 불가능하다. 따라서 이 경우에는 전용 패턴 분석기를 제작해야만 한다. In the wired network, since there is no analysis function for the data packet input through the wireless network, it is impossible to determine whether the currently transmitted data packet is malicious. In this case, therefore, a dedicated pattern analyzer must be manufactured.
본 실시예에 따른 유무선 통합시스템에서 실시간 침입차단 방법에서 제안하는 기능은 등록된 사용자의 단말기에 대한 MAC 정보 및 인증정보(PKI 또는 USIM)를 NMS나 혹은 이와 유사한 기능을 수행하는 장비를 통해 안전한 단말기의 연결을 보장하고, 인정되지 못한 단말기의 유무선 네트워크에 접근을 차단하는 것이다.In the wired / wireless integrated system according to the present embodiment, the function proposed in the real-time intrusion prevention method is a secure terminal through a device that performs MAC or authentication information (PKI or USIM) of a registered user's terminal through an NMS or a similar function. It is to ensure the connection, and to block access to the wired and wireless network of unauthorized terminals.
MAC 정보 및 인증정보(PKI 또는 USIM)를 모두 이용하여 접근을 제어하게 되면, 사용자가 이용하는 단말기의 접속 위치와 접속 형태, 접속환경, 접속 내용 등을 파악하여 실시간으로 정보를 제어하는 효과를 가진다. 실제 적용 시 무선 구간에서 0.1초 이내에 패킷을 차단하는 성능을 보였다.When access is controlled by using both MAC information and authentication information (PKI or USIM), it has the effect of controlling the information in real time by grasping the connection location, connection type, connection environment, and contents of the terminal used by the user. In practical application, it shows the performance of blocking packets within 0.1 second in the wireless section.
이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Although the present invention has been described in detail with reference to exemplary embodiments above, those skilled in the art to which the present invention pertains can make various modifications to the above-described embodiments without departing from the scope of the present invention. Will understand. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be defined by the claims below and equivalents thereof.

Claims (4)

  1. 네트워크를 통제하는 제어부가 단말기의 유선 IP 주소 및 유선 MAC 주소를 확인하여 등록 저장하는 단계;Confirming and registering and storing a wired IP address and a wired MAC address of the terminal by a controller for controlling a network;
    상기 제어부가 상기 단말기의 무선 MAC 주소를 확인하여 등록 저장하는 단계;Checking and registering the wireless MAC address of the terminal by the controller;
    상기 제어부가 상기 단말기의 USIM 정보 또는 PKI 정보를 등록 저장하는 단계; 및Registering and storing, by the controller, USIM information or PKI information of the terminal; And
    상기 제어부가 네트워크에 접근을 요구한 단말기의 인증 여부를 상기 유선 MAC 정보, 무선 MAC 정보 및 USIM 정보나 PKI 정보를 모두 확인하여 네트워크 접속을 판단하는 단계를 포함하는 것을 특징으로 하는 유무선 통합시스템에서 실시간 침입차단 방법.And determining, by the controller, whether the terminal requesting access to the network is authenticated by determining all the wired MAC information, the wireless MAC information, the USIM information, or the PKI information to determine a network connection. Intrusion Prevention Method.
  2. 제 1 항에 있어서,The method of claim 1,
    상기 제어부는 등록되지 않은 단말기가 무선으로 네트워크에 침입하는 해킹정보를 탐지하기 위한 무선 침입 탐지 시스템 또는 침입탐지시스템을 포함하며,The control unit includes a wireless intrusion detection system or intrusion detection system for detecting hacking information that the unregistered terminal wirelessly invades the network,
    상기 무선 MAC 정보를 상기 무선 침입 탐지 시스템 또는 침입탐지시스템에 저장하는 것을 특징으로 하는 유무선 통합시스템에서 실시간 침입차단 방법.And storing the wireless MAC information in the wireless intrusion detection system or the intrusion detection system.
  3. 제 1 항에 있어서,The method of claim 1,
    상기 제어부는 접근이 허용된 단말기가 무선으로 외부 웹을 접속하여 선택한 파일을 다운로드 시, 그 다운로드되는 파일이 악성파일인지 자동으로 감지하는 것을 특징으로 하는 유무선 통합시스템에서 실시간 침입차단 방법.The control unit is a real-time intrusion prevention method in the wired / wireless integrated system, characterized in that when the terminal is permitted to access the external web wirelessly download the selected file, the downloaded file is a malicious file automatically.
  4. 제 3 항에 있어서,The method of claim 3, wherein
    상기 제어부는 접근이 허용된 단말기가 무선으로 외부 웹을 접속하여 선택한 파일을 다운로드 시, 그 다운로드되는 파일이 악성파일이라면 상기 단말기의 사용자에게 통보 없이 다운로드되는 파일의 접근을 차단시키는 것을 특징으로 하는 유무선 통합시스템에서 실시간 침입차단 방법.The control unit may block access to the downloaded file without notifying the user of the terminal when the downloaded file is a malicious file when the terminal to which the access is allowed is wirelessly connected to the external web and downloads the selected file. Real-time intrusion prevention method in integrated system.
PCT/KR2012/010685 2011-12-16 2012-12-10 Method for preventing intrusion in real time in wired and wireless integration system WO2013089396A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2011-0136757 2011-12-16
KR1020110136757A KR101186876B1 (en) 2011-12-16 2011-12-16 Realtime intrusion protecting method for network system connected to wire and wireless integrated environment

Publications (1)

Publication Number Publication Date
WO2013089396A1 true WO2013089396A1 (en) 2013-06-20

Family

ID=47287219

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2012/010685 WO2013089396A1 (en) 2011-12-16 2012-12-10 Method for preventing intrusion in real time in wired and wireless integration system

Country Status (2)

Country Link
KR (1) KR101186876B1 (en)
WO (1) WO2013089396A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105207778A (en) * 2014-07-03 2015-12-30 清华大学深圳研究生院 Method of realizing package identity identification and digital signature on access gateway equipment
WO2017142276A1 (en) * 2016-02-15 2017-08-24 충남대학교산학협력단 System and method for assessing vulnerability of network printer

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014157745A1 (en) * 2013-03-27 2014-10-02 (주)노르마 Method for detecting illicit mobile device by means of both wired and wireless scanning
KR101429179B1 (en) 2013-04-10 2014-08-12 유넷시스템주식회사 Combination security system for wireless network

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050022011A1 (en) * 2003-06-06 2005-01-27 Microsoft Corporation Multi-layer based method for implementing network firewalls
US20050144437A1 (en) * 1994-12-30 2005-06-30 Ransom Douglas S. System and method for assigning an identity to an intelligent electronic device
US20100090001A1 (en) * 2008-10-13 2010-04-15 Vodafone Holding Gmbh Method and terminal for providing controlled access to a memory card
US20110258443A1 (en) * 2010-04-19 2011-10-20 Vodafone Holding Gmbh User authentication in a tag-based service

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050144437A1 (en) * 1994-12-30 2005-06-30 Ransom Douglas S. System and method for assigning an identity to an intelligent electronic device
US20050022011A1 (en) * 2003-06-06 2005-01-27 Microsoft Corporation Multi-layer based method for implementing network firewalls
US20100090001A1 (en) * 2008-10-13 2010-04-15 Vodafone Holding Gmbh Method and terminal for providing controlled access to a memory card
US20110258443A1 (en) * 2010-04-19 2011-10-20 Vodafone Holding Gmbh User authentication in a tag-based service

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105207778A (en) * 2014-07-03 2015-12-30 清华大学深圳研究生院 Method of realizing package identity identification and digital signature on access gateway equipment
CN105207778B (en) * 2014-07-03 2019-04-16 清华大学深圳研究生院 A method of realizing packet identity and digital signature on accessing gateway equipment
WO2017142276A1 (en) * 2016-02-15 2017-08-24 충남대학교산학협력단 System and method for assessing vulnerability of network printer

Also Published As

Publication number Publication date
KR101186876B1 (en) 2012-10-02

Similar Documents

Publication Publication Date Title
KR100628325B1 (en) Intrusion detection sensor detecting attacks against wireless network and system and method for detecting wireless network intrusion
US7970894B1 (en) Method and system for monitoring of wireless devices in local area computer networks
US7316031B2 (en) System and method for remotely monitoring wireless networks
US7710933B1 (en) Method and system for classification of wireless devices in local area computer networks
US8281392B2 (en) Methods and systems for wired equivalent privacy and Wi-Fi protected access protection
KR102157661B1 (en) Wireless intrusion prevention system, wireless network system, and operating method for wireless network system
Agarwal et al. An efficient scheme to detect evil twin rogue access point attack in 802.11 Wi-Fi networks
US20090016529A1 (en) Method and system for prevention of unauthorized communication over 802.11w and related wireless protocols
Hwang et al. A study on MITM (Man in the Middle) vulnerability in wireless network using 802.1 X and EAP
US20070291945A1 (en) Distributed wireless security system
KR20070054067A (en) Wireless access point apparatus and network traffic intrusion detection and prevention method using the same
US20040148374A1 (en) Method and apparatus for ensuring address information of a wireless terminal device in communications network
Takahashi et al. IEEE 802.11 user fingerprinting and its applications for intrusion detection
EP2023571A1 (en) Method and system for wireless communications characterized by IEEE 802.11W and related protocols
WO2006026099A2 (en) An automated sniffer apparatus and method for wireless local area network security
Peng et al. Real threats to your data bills: Security loopholes and defenses in mobile data charging
WO2013089396A1 (en) Method for preventing intrusion in real time in wired and wireless integration system
KR101429179B1 (en) Combination security system for wireless network
WO2010027121A1 (en) System and method for preventing wireless lan intrusion
Anmulwar et al. Rogue access point detection methods: A review
Guo Survey on WiFi infrastructure attacks
Saedy et al. Ad Hoc M2M Communications and security based on 4G cellular system
US9100429B2 (en) Apparatus for analyzing vulnerability of wireless local area network
Li et al. Wireless network security detection system design based on client
Rawat et al. wireless network Security: an overview

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12858288

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12858288

Country of ref document: EP

Kind code of ref document: A1