KR100667186B1 - Apparatus and method for realizing authentication system of wireless mobile terminal - Google Patents

Apparatus and method for realizing authentication system of wireless mobile terminal Download PDF

Info

Publication number
KR100667186B1
KR100667186B1 KR1020040109008A KR20040109008A KR100667186B1 KR 100667186 B1 KR100667186 B1 KR 100667186B1 KR 1020040109008 A KR1020040109008 A KR 1020040109008A KR 20040109008 A KR20040109008 A KR 20040109008A KR 100667186 B1 KR100667186 B1 KR 100667186B1
Authority
KR
South Korea
Prior art keywords
authentication
mobile terminal
wireless mobile
network
wireless
Prior art date
Application number
KR1020040109008A
Other languages
Korean (ko)
Other versions
KR20060070313A (en
Inventor
김준식
박남훈
Original Assignee
한국전자통신연구원
에스케이 텔레콤주식회사
주식회사 케이티프리텔
삼성전자주식회사
하나로텔레콤 주식회사
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원, 에스케이 텔레콤주식회사, 주식회사 케이티프리텔, 삼성전자주식회사, 하나로텔레콤 주식회사, 주식회사 케이티 filed Critical 한국전자통신연구원
Priority to KR1020040109008A priority Critical patent/KR100667186B1/en
Publication of KR20060070313A publication Critical patent/KR20060070313A/en
Application granted granted Critical
Publication of KR100667186B1 publication Critical patent/KR100667186B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

본 발명에 따른 무선 이동 단말의 인증 시스템 구현 장치 및 방법에 관한 것으로, 본 발명에 따른 무선 이동 단말의 인증 시스템 구현 장치는 현재 단말이 접속된 네트워크에서 지원하는 인증 방식을 감지하고, 무선 이동 단말에 대한 네트워크의 접속을 인증하는 인증 서버에서 감지된 인증 방식에서 사용되는 메시지를 이용하여 인증이 수행되도록 무선 이동 단말 내부 구조를 설정한다. 본 발명에 따르면, 감지된 인증 방식으로 무선 이동 단말과 사용자 ID와 패스워드(Password)를 가지고 인증을 수행하는 인증 서버간에 인증이 수행되므로, 무선 랜(LAN)을 통한 공중 무선 인터넷 서비스에서 발생하는 사용자 인증 과정에서 동일한 ID로의 다중 접속을 방지할 수 있게 된다.An apparatus and method for implementing an authentication system for a wireless mobile terminal according to the present invention, the apparatus for implementing an authentication system for a wireless mobile terminal according to the present invention detects an authentication scheme supported by a network to which a terminal is currently connected, The internal structure of the wireless mobile terminal is set such that authentication is performed by using a message used in the authentication method sensed by the authentication server for authenticating the access of the network. According to the present invention, since authentication is performed between a wireless mobile terminal and an authentication server that performs authentication with a user ID and a password by a detected authentication method, a user generated in a public wireless Internet service through a wireless LAN. In the authentication process, multiple accesses to the same ID can be prevented.

인증, 무선, 단말, 인증 프로토콜, 네트워크, 엔진, 인증서버Authentication, wireless, terminal, authentication protocol, network, engine, authentication server

Description

무선 이동 단말의 인증 시스템 구현 장치 및 방법{APPARATUS AND METHOD FOR REALIZING AUTHENTICATION SYSTEM OF WIRELESS MOBILE TERMINAL}Apparatus and Method for Implementing Authentication System for Wireless Mobile Terminals

도 1은 본 발명이 적용되는 무선 통신 시스템의 구성도이다.1 is a block diagram of a wireless communication system to which the present invention is applied.

도 2는 본 발명의 실시 예에 따른 무선 단말기의 인증 시스템 구현 장치의 구성을 나타낸 도면이다.2 is a diagram illustrating a configuration of an authentication system implementing apparatus of a wireless terminal according to an exemplary embodiment of the present invention.

도 3은 본 발명의 실시 예에 따른 무선 단말기의 인증 시스템 구현 장치의 동작 과정을 나타낸 도면이다.3 is a flowchart illustrating an operation of an apparatus for implementing an authentication system of a wireless terminal according to an exemplary embodiment of the present invention.

도 4는 도 3에 도시된 인증 절차의 예시를 나타낸 도면이다.4 is a diagram illustrating an example of the authentication procedure illustrated in FIG. 3.

본 발명은 무선 이동 단말의 인증 시스템 구현 장치 및 방법에 관한 것으로, 특히 무선 랜(LAN)을 통한 공중 무선 인터넷 서비스에서 발생하는 사용자 인증 시에 동일한 아이디로의 다중 접속을 방지하고, 사용자에게 접속 상태를 통보함으로써 사용자 인증 방식을 개선한 무선 접속 인터넷 서비스 망에서의 사용자 인증 방법에 관한 것이다.The present invention relates to an apparatus and a method for implementing an authentication system for a wireless mobile terminal, and in particular, to prevent multiple accesses with the same ID when authenticating a user in a public wireless Internet service through a wireless LAN, and to access a user. The present invention relates to a method for authenticating a user in a wireless access Internet service network which has improved user authentication.

최근 들어 통신 사업자들은 무선 랜 기술을 공중망에 도입하여 “초고속 무 선 인터넷 서비스”라는 명칭으로 소정의 가입 절차를 통해 등록된 사용자 아이디(ID)와 패스워드(Password)를 이용한 인증을 통하여 공항, 학교, 지하철, 유명 프랜차이즈 등의 핫스팟 지역에서 인터넷 서비스를 제공하고 있다.Recently, operators have introduced wireless LAN technology into the public network, and have been using airports, schools, and schools through authentication using a user ID (ID) and password (registered through a predetermined subscription procedure) under the name of "ultra-high speed wireless Internet service." Internet service is available in hotspots such as subways and popular franchises.

현재 공중 유·무선 랜 서비스에서는 사용자 인증 방식으로 IEEE 802.1x 표준에 근거하여 인증을 수행하고 있다. 즉, 무선 사용자가 802.1x를 통해 네트워크 접근을 위한 인증을 받게 되면 기지국에서 가상 포트가 열려 통신이 허용되며, 인증을 받지 못하면 가상 포트를 사용할 수 없어 통신이 차단된다. 이 표준은 인증서버와 단말간에 EAP(Extensible Authentication Protocol) 인증방법을 이용한다.Currently, public wired / wireless LAN service is performing user authentication based on IEEE 802.1x standard. That is, when the wireless user is authenticated for accessing the network through 802.1x, communication is allowed by opening a virtual port at the base station. If the wireless user is not authenticated, the communication is blocked because the virtual port cannot be used. This standard uses EAP (Extensible Authentication Protocol) authentication method between the authentication server and the terminal.

이는 사용자의 단말과 인증서버 사이에 인증 정보를 싣고 다니는 EAP(Extensible Authentication Protocol)를 통하여 사용자 식별자인 ID와 패스워드(Password)를 주고받으면서 사용자 인증 여부를 검사하는 방식으로, EAP는 요청자(단말)와 인증서버 사이에 인증 정보를 전달하는 데에 사용되며 실제 인증은 EAP 유형에 의해 정의 및 처리된다. 그리고 인증자 역할을 하는 기지국은 요청자(단말)와 인증서버가 통신할 수 있도록 하는 프록시 역할을 수행한다. This method checks whether the user is authenticated by exchanging user ID and password through EAP (Extensible Authentication Protocol) that carries authentication information between the user terminal and the authentication server. It is used to pass authentication information between authentication servers. Actual authentication is defined and handled by EAP type. The base station serving as an authenticator serves as a proxy for allowing the requester (terminal) and the authentication server to communicate.

EAP 유형으로는 대략 EAP-MD5(Message Digest 5), EAP-TLS(Transport Layer Security), EAP-SRP(Secure Remote Password), EAP-TTLS(Tunneled TLS), EAP-PEAP(Protected Extensible Authentication Protocol) 및 Cisco LEAP(Lightweight Extensible Authentication Protocol)가 있다.EAP types include roughly Message Digest 5 (EAP-MD5), Transport Layer Security (EAP-TLS), Secure Remote Password (EAP-SRP), Tunneled TLS (EAP-TTLS), Protected Extensible Authentication Protocol (EAP-PEAP), and Cisco Lightweight Extensible Authentication Protocol (LEAP).

이와 같이 EAP는 MD5, TLS, TTLS와 같은 다중 인증 메커니즘을 지원하는 일반적인 프로토콜로써 스마트 카드, Kerberos, 공용키 암호화, OTP(OneTime Password)를 포함한 수많은 인증 구조를 지원하며, 현재 공중 무선랜 서비스에서는 MD5 방식을 이용한 인증을 주로 수행하고 있다. 이와 같이 802.1x 사용자 인증 방식은 사용자가 제공한 아이디와 패스워드에 대한 정확성을 검사하는 데 그 목적이 있다. As such, EAP is a common protocol that supports multiple authentication mechanisms such as MD5, TLS, and TTLS.It supports a number of authentication structures including smart cards, Kerberos, public key encryption, and OneTime Password (OTP). It mainly uses authentication. As such, the purpose of the 802.1x user authentication method is to check the accuracy of the user-provided ID and password.

그런데 무선 이동 단말 상에서는 네트워크 접속 카드(Network Interface Card)에 의해 제공되는 망 접속 환경이 다양하며, 이에 따라 요구되는 인증 방식도 다양하다. 따라서 무선 이동 단말 상에서 네트워크 접속 카드가 변경되면 무선 이동 단말 상에서 동일한 인증 구조를 제공할 수가 없기 때문에 사용자 ID와 패스워드(Password)를 가지고 단말의 네트워크 접속을 인증하는 인증 서버에서 인증을 수행할 수 없게 된다.However, there are various network connection environments provided by a network interface card on a wireless mobile terminal, and thus, various authentication methods are required. Therefore, if the network access card is changed on the wireless mobile terminal, since the same authentication structure cannot be provided on the wireless mobile terminal, authentication cannot be performed at the authentication server that authenticates the terminal's network connection with the user ID and password. .

본 발명이 이루고자 하는 기술적 과제는 무선 이동 단말 상에서 네트워크 접속 카드가 변경되더라도 동일한 인증 구조를 제공할 수 있는 무선 이동 단말의 인증 시스템 구현 장치 및 방법을 제공하기 위한 것이다.An object of the present invention is to provide an apparatus and method for implementing an authentication system for a wireless mobile terminal that can provide the same authentication structure even when a network access card is changed on the wireless mobile terminal.

상기한 과제를 해결하기 위해, 본 발명의 한 특징에 따른 무선 이동 단말의 인증 시스템 구현 장치는,In order to solve the above problems, an apparatus for implementing an authentication system for a wireless mobile terminal according to an aspect of the present invention,

무선 이동 단말 상에서 다양한 네트워크에 의해 요구되는 다양한 인증 방식을 구현하는 장치로서, An apparatus for implementing various authentication schemes required by various networks on a wireless mobile terminal,

상기 네트워크에서 지원되는 인증 프로토콜을 감지하는 인증규격 프로토콜 엔진; 및An authentication standard protocol engine for detecting an authentication protocol supported in the network; And

상기 무선 이동 단말에 대한 상기 네트워크의 접속을 인증하는 인증 서버에서 상기 감지된 인증 프로토콜에서 사용되는 메시지를 이용하여 인증이 수행되도록 상기 무선 이동 단말 내부 구조를 설정하는 네트워크 접속 카드를 포함한다.And a network access card configured to set an internal structure of the wireless mobile terminal such that authentication is performed using a message used in the detected authentication protocol in an authentication server for authenticating the connection of the network to the wireless mobile terminal.

이 때, 상기 인증규격 프로토콜 엔진은, 새로운 표준 인증 프로토콜에 따른 업그레이드를 지원할 수 있다.At this time, the authentication standard protocol engine may support an upgrade according to a new standard authentication protocol.

본 발명의 다른 한 특징에 따른 무선 이동 단말의 인증 시스템 구현 방법은,According to another aspect of the present invention, there is provided a method for implementing an authentication system for a wireless mobile terminal.

무선 이동 단말 상에서 다양한 네트워크에 의해 요구되는 다양한 인증 방식을 구현하는 방법으로서,As a method of implementing various authentication schemes required by various networks on a wireless mobile terminal,

a) 현재 단말이 접속된 네트워크에서 지원하는 인증 방식을 감지하는 단계; b) 상기 무선 이동 단말에 대한 상기 네트워크의 접속을 인증하는 인증 서버에서 상기 감지된 인증 방식에서 사용되는 메시지를 이용하여 인증이 수행되도록 상기 무선 이동 단말 내부 구조를 설정하는 단계; 및 c) 상기 b)단계 이후 상기 단말과 상기 인증서버간에 상기 감지된 인증 방식으로 인증을 수행하는 단계를 포함한다.a) detecting an authentication scheme supported by a network to which the terminal is currently connected; b) setting an internal structure of the wireless mobile terminal such that authentication is performed by using a message used in the sensed authentication scheme in an authentication server for authenticating a connection of the network to the wireless mobile terminal; And c) after step b), performing authentication using the detected authentication method between the terminal and the authentication server.

이 때, 상기 네트워크에서의 새로운 표준 인증 방식에 따른 업그레이드를 지원하는 단계를 더 포함할 수 있다.In this case, the method may further include supporting an upgrade according to a new standard authentication method in the network.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다. 명세서 전체를 통하여 유사한 부분에 대해서는 동일한 도면 부호를 붙였다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention. Like parts are designated by like reference numerals throughout the specification.

이제 본 발명의 실시 예에 따른 무선 이동 단말기의 인증 시스템 구현 장치 및 방법에 대하여 도면을 참고로 하여 상세하게 설명한다.An apparatus and method for implementing an authentication system for a wireless mobile terminal according to an embodiment of the present invention will now be described in detail with reference to the accompanying drawings.

먼저, 본 발명이 적용되는 무선 이동통신 시스템에 대해서 도 1을 참고로 하여 상세하게 설명한다.First, a wireless mobile communication system to which the present invention is applied will be described in detail with reference to FIG. 1.

무선 이동통신은 사용자가 이동단말을 이용하여 어느 위치에 고정되어 있지 않고 통신을 할 수 있는, 즉 이동성(mobility)을 제공하는 통신 수단을 말한다.Wireless mobile communication refers to a communication means by which a user can communicate without being fixed at a location using a mobile terminal, that is, provide mobility.

도 1은 본 발명이 적용되는 무선 이동통신 시스템의 구성도이다.1 is a block diagram of a wireless mobile communication system to which the present invention is applied.

도 1에 나타낸 바와 같이, 무선 이동통신 시스템은 기지국(120) 및 인증 서버(130)를 포함한다.As shown in FIG. 1, the wireless mobile communication system includes a base station 120 and an authentication server 130.

기지국(120)은 무선 이동 단말(110)과 무선으로 연결되어 무선 신호의 송수신, 채널 변조 및 복조, 전력 제어, 프로토콜 변환 등의 기능을 수행한다. 이러한 기능을 수행하는 기지국(120)은 무선 이동 단말(110)의 접속허가를 위한 무선 인증 프로토콜(122)을 포함하고 있으며, 무선 인증 프로토콜(122)을 이용하여 인증 서버(130)로 인증을 요구한다.The base station 120 is wirelessly connected to the wireless mobile terminal 110 to perform functions such as transmission and reception of radio signals, channel modulation and demodulation, power control, and protocol conversion. The base station 120 performing such a function includes a wireless authentication protocol 122 for permission of access of the wireless mobile terminal 110 and requests authentication to the authentication server 130 using the wireless authentication protocol 122. do.

인증 서버(authentication server)(130)는 기지국(120)과 무선 네트워크(100)를 통해 접속되어 무선 이동 단말을 인증하기 위한 무선 네트워크(100) 상의 무선인증 프로토콜(132)을 포함하며, 기지국(120)으로부터 수신한 인증 요구에 따라 무선 이동 단말(110)을 인증하여 사용자들이 무선 네트워크(100)에 접근할 수 있도록 한다. 이 때, 인증 서버(130)는 사용자 ID와 패스워드(Password)를 가지고 인증을 수행한다.The authentication server 130 includes a wireless authentication protocol 132 on the wireless network 100 for authenticating the wireless mobile terminal connected to the base station 120 and the wireless network 100, and the base station 120 According to the authentication request received from the) to authenticate the wireless mobile terminal 110 so that users can access the wireless network (100). At this time, the authentication server 130 performs authentication with a user ID and a password.

그리고 무선 이동 단말(110)은 무선 접속 환경을 제공하는 네트워크 인터페이스 카드(Network interface card, 이하 ‘NIC’라 함)(112)를 포함하며, 기지국(120)을 경유하여 인증 서버(130)와 인증 관련 프로토콜을 교환함으로써, 무선 네트워크(100)의 사용권한을 얻는다. NIC(112)는 카드 또는 메모리 타입으로, 무선 이동 단말(110)과 무선 네트워크(100)간의 인터페이스 기능을 수행한다.In addition, the wireless mobile terminal 110 includes a network interface card (NIC) 112 that provides a wireless access environment, and authenticates with the authentication server 130 via the base station 120. By exchanging related protocols, permission to use the wireless network 100 is obtained. The NIC 112 is a card or memory type and performs an interface function between the wireless mobile terminal 110 and the wireless network 100.

도 2는 본 발명의 실시 예에 따른 무선 이동 단말의 인증 시스템 구현 장치를 나타낸 도면이다.2 is a diagram illustrating an apparatus for implementing an authentication system for a wireless mobile terminal according to an exemplary embodiment of the present invention.

도 2에 나타낸 바와 같이, 본 발명의 실시 예에 따른 무선 이동 단말의 인증 시스템 구현 장치는 무선 이동 단말(110) 상에 위치하며, 네트워크에서 제공하는 각각의 인증 방식을 무선 이동 단말(110) 상의 사용자 화면에 표시한다. 이러한 기능을 하는 무선 이동 단말의 인증 시스템 구현 장치는 NIC(112) 및 인증규격 프로토콜 엔진(114)을 포함한다.As shown in FIG. 2, the apparatus for implementing an authentication system for a wireless mobile terminal according to an embodiment of the present invention is located on the wireless mobile terminal 110, and each authentication scheme provided by the network is provided on the wireless mobile terminal 110. Display on the user screen. An apparatus for implementing an authentication system for a wireless mobile terminal having such a function includes a NIC 112 and an authentication standard protocol engine 114.

NIC(112)는 인증 프로토콜 메시지 생성기(112-1)를 포함하며, 인증 프로토콜 메시지 생성기(112-1)는 사용자에 의해 선택된 인증 방식에 대응하는 인증 프로토콜 메시지를 생성하여 선택된 인증 방식에 따른 인증 메커니즘을 무선 이동 단말(110)상에 설정한다. 이렇게 하여 무선 이동 단말(110)과 인증 서버(130)간에 사용자에 의해 선택된 인증 방식으로 인증이 수행되도록 한다.The NIC 112 includes an authentication protocol message generator 112-1, and the authentication protocol message generator 112-1 generates an authentication protocol message corresponding to the authentication method selected by the user, thereby generating an authentication mechanism according to the selected authentication method. Is set on the wireless mobile terminal (110). In this way, authentication is performed between the wireless mobile terminal 110 and the authentication server 130 by the authentication method selected by the user.

인증규격 프로토콜 엔진(114)은 범용 인증 시스템으로 활용되는 EAP 인증 구조상에서의 인증 방식인 EAP-MD5, EAP-TLS, EAP-PEAP, EAP-TTLS 및 Cisco LEAP 등의 인증과 802.16 등의 규격에서 채택중인 무선 이동 단말(110) 고유의 인증을 무선 네트워크(100) 또는 사용자의 요구에 따라 선택적으로 동작할 수 있도록 무선 이동 단말(110) 상에 다양한 인증 프로토콜을 제공한다. 그리고 인증규격 프로토콜 엔진(114)은 새로운 표준 인증 방식이 도입되는 경우 무선 이동 단말(110) 상의 프로그램 업그레이드를 통해 새로운 인증 방식을 지원한다.The authentication standard protocol engine 114 adopts authentication such as EAP-MD5, EAP-TLS, EAP-PEAP, EAP-TTLS, and Cisco LEAP, which are authentication methods in the EAP authentication structure utilized as a general authentication system, and is adopted in standards such as 802.16. Various authentication protocols are provided on the wireless mobile terminal 110 to selectively operate the unique authentication of the wireless mobile terminal 110 in accordance with the request of the wireless network 100 or the user. The authentication standard protocol engine 114 supports a new authentication method through a program upgrade on the wireless mobile terminal 110 when a new standard authentication method is introduced.

여기서, EAP 유형의 인증 방식에 대해 간단하게 설명한다.Here, the authentication method of the EAP type will be briefly described.

먼저 EAP-MD5 Challenge는 기본적인 수준의 EAP 지원을 제공하는 EAP 인증 유형으로, 실제로는 무선 이동 단말(110)과 무선 네트워크(100)에 대한 상호 인증 단계가 없으므로 단방향 인증만 제공하며, 동적인 세션 기반 WEP(Wired Equivalent Privacy) 키를 알아낼 수 있는 방법을 제공하지 않는다는 점에서 매우 중요한 인증 유형 중 하나이다.First, the EAP-MD5 Challenge is an EAP authentication type that provides a basic level of EAP support. In fact, since there is no mutual authentication step for the wireless mobile terminal 110 and the wireless network 100, only the one-way authentication is provided. It is one of the most important types of authentication in that it does not provide a way to retrieve the Wired Equivalent Privacy (WEP) key.

EAP-TLS는 무선 이동 단말(110) 및 무선 네트워크(100)에 대한 인증서 기반 상호 인증 기능을 제공한다. 이 방법은 무선 이동 단말(110)측 인증서와 인증 서버(130)측 인증서를 통해 인증을 수행하며 무선 이동 단말(110)과 기지국(120)간 후속 통신에 대한 보안을 강화하기 위해 사용자 기본 WEP 키 및 세션 기반 WEP 키를 동적으로 생성한다.The EAP-TLS provides a certificate-based mutual authentication function for the wireless mobile terminal 110 and the wireless network 100. This method performs authentication through the wireless mobile terminal 110 side certificate and the authentication server 130 side certificate, and the user default WEP key to enhance security for subsequent communication between the wireless mobile terminal 110 and the base station 120. And dynamically generate a session-based WEP key.

EAP-TTLS는 Funk Software와 Certicom이 EAP-TLS를 보강하여 개발한 방법으로, 이 보안 방법은 암호화된 채널(또는 “터널”)을 통해 무선 이동 단말(110)과 무선 네트워크(100)에 대한 인증서 기반 상호 인증 및 동적인 사용자 또는 세션 기반 WEP 키를 생성할 수 있는 방법을 제공한다. EAP-TLS와 달리 EAP-TTLS에는 서버측 인증서만 있으면 된다.EAP-TTLS is a method developed by Funk Software and Certicom as an augmentation of EAP-TLS. This security method is a certificate for the wireless mobile terminal 110 and the wireless network 100 through an encrypted channel (or “tunnel”). -Based mutual authentication and a method for generating dynamic user or session-based WEP keys. Unlike EAP-TLS, EAP-TTLS only requires server-side certificates.

LEAP는 주로 Cisco Aironet WLAN에서 사용하는 EAP 인증 유형으로, 동적으로 생성된 WEP 키를 사용하여 전송 데이터를 암호화하며 상호 인증을 지원한다.LEAP is a type of EAP authentication primarily used in Cisco Aironet WLANs. It uses a dynamically generated WEP key to encrypt transmission data and supports mutual authentication.

PEAP는 레거시 암호 기반 프로토콜과 같은 인증 데이터를 802.11 무선 네트워크(100)를 통해 안전하게 전송할 수 있는 방법을 제공한다. PEAP는 무선 이동 단말(110)과 인증 서버(130) 간 터널링을 사용하여 이 기능을 수행한다. PEAP는 유사한 기능을 수행하는 TTLS( Tunneled Transport Layer Security)와 같이 서버측 인증서만을 사용하여 보안 무선 LAN의 구현 및 관리를 간소화함으로써 무선 이동 단말(110)을 인증한다.PEAP provides a method for securely transmitting authentication data, such as legacy cryptographic based protocols, over an 802.11 wireless network 100. PEAP performs this function using tunneling between the wireless mobile terminal 110 and the authentication server 130. PEAP authenticates the wireless mobile terminal 110 by simplifying the implementation and management of a secure wireless LAN using only server-side certificates, such as Tunneled Transport Layer Security (TTLS), which performs similar functions.

다음으로, 본 발명의 실시 예에 따른 무선 이동 단말의 인증 시스템 구현 방법에 대해 도 3을 참고로 하여 상세하게 설명한다.Next, a method for implementing an authentication system for a wireless mobile terminal according to an embodiment of the present invention will be described in detail with reference to FIG. 3.

도 3은 본 발명의 실시 예에 따른 무선 이동 단말의 인증 시스템 구현 장치의 동작 과정을 나타낸 도면이다.3 is a flowchart illustrating an operation of an apparatus for implementing an authentication system of a wireless mobile terminal according to an exemplary embodiment of the present invention.

도 3에 나타낸 바와 같이, 무선 이동 단말(110)의 인증 규격 프로토콜 엔진(114)은 현재 무선 네트워크(100)에서 제공하는 인증 방식을 감지하여(S310) 무선 이동 단말(110) 상의 사용자 화면에 인증 방식을 표시한다(S320).As shown in FIG. 3, the authentication standard protocol engine 114 of the wireless mobile terminal 110 detects an authentication scheme currently provided by the wireless network 100 (S310) and authenticates the user screen on the wireless mobile terminal 110. The method is displayed (S320).

그러면, 무선 이동 단말(110)의 인증 규격 프로토콜 엔진(114)은 추가로 지원될 인증 프로토콜에 대한 업그레이드 요구를 확인한다(S330). 이 때, 추가로 지원될 인증 프로토콜이 있을 경우에는 무선 이동 단말(110) 상에 업그레이드를 지원한다(S340). 반면, 추가로 지원될 인증 프로토콜이 없을 경우, 인증 프로토콜 메시 지 생성기(112-1)는 현재 무선 이동 단말(110)에서 지원되는 인증 프로토콜에 해당하는 메시지를 생성하여 내부 단말 구조를 설정한다(S360). 이 때, 단계(S320)에서 화면에 표시된 인증 방식을 사용자가 선택함으로써 무선 이동 단말(110) 상에서 인증 구조가 설정되도록 한다(S350).Then, the authentication standard protocol engine 114 of the wireless mobile terminal 110 further confirms the upgrade request for the authentication protocol to be supported (S330). At this time, if there is an authentication protocol to be additionally supported, an upgrade is supported on the wireless mobile terminal 110 (S340). On the other hand, if there is no authentication protocol to be additionally supported, the authentication protocol message generator 112-1 generates a message corresponding to the authentication protocol currently supported by the wireless mobile terminal 110 and sets an internal terminal structure (S360). ). At this time, the user selects the authentication method displayed on the screen in step S320 so that the authentication structure is set on the wireless mobile terminal 110 (S350).

이와 같이, 무선 이동 단말(110) 상에 인증 구조가 설정되면, 무선 이동 단말(110), 기지국(120) 및 인증 서버(130)간의 연동에 의해 인증 절차가 수행되고(S370), 무선 이동 단말(110)은 인증에 의해 망에 접속된다(S380). 이 때부터 사용자는 무선 이동 단말(110)을 통해 서비스를 받게 된다(S390).As such, when an authentication structure is set on the wireless mobile terminal 110, an authentication procedure is performed by interworking between the wireless mobile terminal 110, the base station 120, and the authentication server 130 (S370). 110 is connected to the network by authentication (S380). From this time, the user receives the service through the wireless mobile terminal 110 (S390).

상술한 바와 같이, 본 발명의 실시 예에 따르면, 기본적인 메시지 포맷 상에 인증 방식을 구현하여 무선 이동 단말에서의 인증 규격 프로토콜 엔진(114)의 업그레이드만으로 인증을 제공할 수 있게 되며, 무선 이동 단말(110) 상에서 NIC(112)이 변경되더라도 무선 이동 단말(110) 상에서 동일한 인증 구조를 제공할 수 있게 된다. 또한 사용자 ID와 패스워드(Password)를 가지고 인증 기능을 수행하는 인증 서버에서도 네트워크에서 지원하는 인증 방식에 의해 인증을 수행함으로써 공중 무선 인터넷 서비스에서 발생하는 사용자 인증 과정에서 동일한 ID로의 다중 접속을 방지할 수 있게 된다.As described above, according to an embodiment of the present invention, by implementing the authentication scheme on the basic message format, it is possible to provide authentication only by upgrading the authentication standard protocol engine 114 in the wireless mobile terminal. Even if the NIC 112 is changed on the 110, the same authentication structure may be provided on the wireless mobile terminal 110. In addition, the authentication server that performs the authentication function with the user ID and password performs authentication by the authentication method supported by the network, thereby preventing multiple access to the same ID during the user authentication process that occurs in the public wireless Internet service. Will be.

도 4는 도 3에 도시된 인증 절차의 예시를 나타낸 도면이다. 도 4에서는 단계(S350)에서 사용자가 현재 공중 무선 이동통신 서비스에서 주로 사용하고 있는 MD5 인증 방식을 선택한 것으로 가정하였다.4 is a diagram illustrating an example of the authentication procedure illustrated in FIG. 3. In FIG. 4, it is assumed in step S350 that the user has selected the MD5 authentication method that is mainly used in the public wireless mobile communication service.

도 4에 나타낸 바와 같이, 무선 이동 단말(110)이 기지국(120)의 서비스 영 역 내에 들어가면, IEEE 802.11 제어 절차에 정의된 협상(Association) 과정을 거친다. 이후, 사용자 인증 과정을 시작한다. As shown in FIG. 4, when the wireless mobile terminal 110 enters the service area of the base station 120, the wireless mobile terminal 110 undergoes an association process defined in the IEEE 802.11 control procedure. The user authentication process then begins.

무선 이동 단말(110)은 EAP 시작을 알리기 위한 EAPOL 시작 메시지(EAPOL Start message)로 IEEE 802.1x 기능이 탑재된 기지국(120)에 무선 접속 요청을 하게 된다(S402). 이에 대한 응답으로 기지국(120)은 무선 이동 단말(110)이 누구인지를 밝히라는 의미의 EAP-Request/Identity 메시지를 단말로 전송하고(S404), 무선 이동 단말(110)은 사용자가 직접 입력한 아이디(ID)를 EAP-Response/Identity 메시지에 실어 기지국(120)로 전송한다(S406). 이 때, 무선 이동 단말(110)로부터 EAP-Response/Identity 메시지를 수신한 기지국(120)는 이를 Access-Request 내에 사용자 ID를 실어(EAP-Type) 인증 서버(130)로 보내 무선 이동 단말(110)로부터 받은 아이디를 이용하여 인증 서버(130)로 접속을 시도한다(S408).The wireless mobile terminal 110 makes a wireless access request to the base station 120 equipped with the IEEE 802.1x function as an EAPOL Start message for notifying the start of the EAP (S402). In response, the base station 120 transmits an EAP-Request / Identity message to the terminal, which means to identify who the wireless mobile terminal 110 is (S404), and the wireless mobile terminal 110 directly inputs the user. The ID is transmitted to the base station 120 in the EAP-Response / Identity message (S406). At this time, the base station 120 receiving the EAP-Response / Identity message from the wireless mobile terminal 110 sends the user ID in the Access-Request (EAP-Type) to the authentication server 130 and transmits the wireless mobile terminal 110. Attempt to connect to the authentication server 130 using the ID received from the (S408).

인증 서버(130)는 사용자 아이디가 존재하면, 패스워드 검증을 위해 Access-Challenge 메시지 내에 MD5-Challenge 패킷을 만들어서 기지국(120)으로 전송한다(S410). MD5-Challenge를 수신한 기지국(120)는 이를 EAP-Request/MD5-Challenge 메시지로 바꾸어 무선 이동 단말(110)로 전달한다(S412).If the user ID exists, the authentication server 130 creates an MD5-Challenge packet in the Access-Challenge message and transmits it to the base station 120 (S410). Upon receiving the MD5-Challenge, the base station 120 converts it into an EAP-Request / MD5-Challenge message and transmits it to the wireless mobile terminal 110 (S412).

무선 이동 단말(110)은 MD5-Challenge 요구에 대해 패스워드와의 해쉬 결과를 다시 EAP-Response/MD5-Challenge 메시지로 만들어 기지국(120)으로 전송한다(S414). 그리고 나서 기지국(120)는 MD5-Challenge 값을 Access Request 메시지에 실어 인증 서버(1300로 전송한다(S416). 이에 인증 서버(130)는 자신이 가지고 있는 이 사용자 아이디에 대한 패스워드와 MD5 해쉬한 결과 값과 비교해 패스워드가 일치하는지를 확인한다. 이 때, 패스워드가 일치하면 인증서버(130)는 Access-Accept 메시지 내에 EAP-Success를 실어 기지국(120)으로 전송하고(S418), EAP-Success 메시지를 통해 무선 이동 단말(110)에게 인증 성공이 통보된다(S420). 반면, 패스워드가 불일치하면, 인증 서버(130)는 Access-Reject 메시지 내에 EAP-Failure를 실어 기지국(120)으로 전송하고(S418), EAP-Failure 메시지를 통해 무선 이동 단말(110)에게 인증 실패가 통보된다(S420).The wireless mobile terminal 110 transmits the hash result with the password to the base station 120 in response to the MD5-Challenge request to the EAP-Response / MD5-Challenge message again (S414). Then, the base station 120 loads the MD5-Challenge value in the Access Request message and transmits it to the authentication server 1300 (S416). The authentication server 130 then hashes the MD5 hash of the user ID and the result of the MD5 hash. In this case, if the passwords match, the authentication server 130 loads the EAP-Success in the Access-Accept message to the base station 120 (S418) and transmits the EAP-Success message. The authentication success is notified to the wireless mobile terminal 110 at step S420. On the other hand, if the password does not match, the authentication server 130 loads the EAP-Failure in the Access-Reject message to the base station 120 (S418), The authentication failure is notified to the wireless mobile terminal 110 through the EAP-Failure message (S420).

이상의 실시 예들은 본원 발명을 설명하기 위한 것으로, 본원 발명의 범위는 실시 예들에 한정되지 아니하며, 첨부된 청구 범위에 의거하여 정의되는 본원 발명의 범주 내에서 당업자들에 의하여 변형 또는 수정될 수 있다.The above embodiments are intended to illustrate the present invention, the scope of the present invention is not limited to the embodiments, it can be modified or modified by those skilled in the art within the scope of the invention defined by the appended claims.

본 발명에 의하면, 범용 인증 시스템으로 활용되는 EAP 인증 구조상에서의 인증 방식인 EAP-TLS 등의 인증과 802.16 등의 규격에서 채택 중인 무선 단말기 고유의 인증 방식을 망 및 사용자 요구에 따라 선택적으로 동작할 수 있도록 단말기 상에서 구조 및 기능을 적절히 운영함으로써 휴대 이동 단말 장치 상에서 무선 네트워크 접속 장치가 변경되더라도 단말 상에서 동일한 인증 구조를 제공할 수 있다. 따라서 현재 유·무선망에서 인터넷 및 기타 네트워크에 접속할 때 네트워크 고유의 인증 방식을 단말 상에서 지원해 줌으로써 범용적인 단말 인증 방식 구조로 활용될 수 있다.According to the present invention, an authentication method such as EAP-TLS, which is an authentication method in an EAP authentication structure utilized as a general-purpose authentication system, and a wireless terminal-specific authentication method adopted by the standards such as 802.16 may be selectively operated according to a network and a user request. By properly operating the structure and function on the terminal, the same authentication structure can be provided on the terminal even if the wireless network access device is changed on the portable mobile terminal. Therefore, when accessing the Internet and other networks in the current wired / wireless network, by supporting the network-specific authentication method on the terminal can be utilized as a general terminal authentication scheme structure.

Claims (8)

무선 이동 단말 상에서 다양한 네트워크에 의해 요구되는 다양한 인증 방식을 구현하는 장치에 있어서,An apparatus for implementing various authentication schemes required by various networks on a wireless mobile terminal, 상기 네트워크에서 지원되는 인증 프로토콜을 감지하는 인증규격 프로토콜 엔진; 및An authentication standard protocol engine for detecting an authentication protocol supported in the network; And 상기 무선 이동 단말에 대한 상기 네트워크의 접속을 인증하는 인증 서버에서 상기 감지된 인증 프로토콜에서 사용되는 메시지를 이용하여 인증이 수행되도록 상기 무선 이동 단말 내부 구조를 설정하는 네트워크 접속 카드A network access card for setting an internal structure of the wireless mobile terminal so that authentication is performed using a message used in the detected authentication protocol in an authentication server for authenticating the connection of the network to the wireless mobile terminal. 를 포함하는 무선 이동 단말의 인증 시스템 구현 장치.Apparatus for implementing the authentication system of a wireless mobile terminal comprising a. 제1항에 있어서,The method of claim 1, 상기 인증규격 프로토콜 엔진은, 새로운 표준 인증 프로토콜에 따른 업그레이드를 지원하는 무선 이동 단말의 인증 시스템 구현 장치.The authentication standard protocol engine is an authentication system implementation apparatus for a wireless mobile terminal that supports upgrade according to a new standard authentication protocol. 제2항에 있어서,The method of claim 2, 상기 네트워크 접속 카드는,The network connection card, 상기 인증 프로토콜에 사용되는 메시지를 생성하는 인증 프로토콜 메시지 생성기Authentication protocol message generator for generating a message used for the authentication protocol 를 포함하는 무선 이동 단말의 인증 시스템 구현 장치.Apparatus for implementing the authentication system of a wireless mobile terminal comprising a. 제1항 내지 제3항 중 어느 한 항에 있어서,The method according to any one of claims 1 to 3, 상기 네트워크 접속 카드는 표준 인터페이스에 의해 상기 무선 이동 단말에 접속되는 무선 이동 단말의 인증 시스템 구현 장치.And the network access card is connected to the wireless mobile terminal by a standard interface. 무선 이동 단말 상에서 다양한 네트워크에 의해 요구되는 다양한 인증 방식을 구현하는 방법에 있어서,In a method for implementing various authentication schemes required by various networks on a wireless mobile terminal, a) 현재 단말이 접속된 네트워크에서 지원하는 인증 방식을 감지하는 단계;a) detecting an authentication scheme supported by a network to which the terminal is currently connected; b) 상기 무선 이동 단말에 대한 상기 네트워크의 접속을 인증하는 인증 서버에서 상기 감지된 인증 방식에서 사용되는 메시지를 이용하여 인증이 수행되도록 상기 무선 이동 단말 내부 구조를 설정하는 단계; 및b) setting an internal structure of the wireless mobile terminal such that authentication is performed by using a message used in the sensed authentication scheme in an authentication server for authenticating a connection of the network to the wireless mobile terminal; And c) 상기 b)단계 이후 상기 단말과 상기 인증서버간에 상기 감지된 인증 방식으로 인증을 수행하는 단계c) performing authentication by the detected authentication method between the terminal and the authentication server after step b) 를 포함하는 무선 이동 단말의 인증 시스템 구현 방법.Authentication system implementation method of a wireless mobile terminal comprising a. 제5항에 있어서,The method of claim 5, 상기 네트워크에서의 새로운 표준 인증 방식에 따른 업그레이드를 지원하는 단계Supporting upgrade according to a new standard authentication method in the network 를 더 포함하는 무선 이동 단말의 인증 시스템 구현 방법.Authentication system implementation method of a wireless mobile terminal further comprising. 제6항에 있어서,The method of claim 6, 상기 a)단계에서 감지된 인증 방식을 상기 무선 이동 단말 상에 표시하여 사용자가 선택하도록 하는 단계Displaying the authentication method detected in the step a) on the wireless mobile terminal to allow the user to select 를 더 포함하는 무선 이동 단말의 인증 시스템 구현 방법.Authentication system implementation method of a wireless mobile terminal further comprising. 제5항 내지 제7항 중 어느 한 항에 있어서, The method according to any one of claims 5 to 7, 상기 인증방식은, EAP(Extensible Authentication Protocol) 인증 구조상의 EAP 인증 및 802.16의 규격에서 채택중인 상기 무선 이동 단말의 고유 인증 방식을 포함하는 무선 이동 단말의 인증 시스템 구현 방법.The authentication method is a method for implementing an authentication system for a wireless mobile terminal including EAP authentication on an Extensible Authentication Protocol (EAP) authentication structure and a unique authentication method of the wireless mobile terminal adopted in the 802.16 standard.
KR1020040109008A 2004-12-20 2004-12-20 Apparatus and method for realizing authentication system of wireless mobile terminal KR100667186B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040109008A KR100667186B1 (en) 2004-12-20 2004-12-20 Apparatus and method for realizing authentication system of wireless mobile terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040109008A KR100667186B1 (en) 2004-12-20 2004-12-20 Apparatus and method for realizing authentication system of wireless mobile terminal

Publications (2)

Publication Number Publication Date
KR20060070313A KR20060070313A (en) 2006-06-23
KR100667186B1 true KR100667186B1 (en) 2007-01-12

Family

ID=37164075

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040109008A KR100667186B1 (en) 2004-12-20 2004-12-20 Apparatus and method for realizing authentication system of wireless mobile terminal

Country Status (1)

Country Link
KR (1) KR100667186B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101161182B1 (en) * 2011-10-20 2012-08-07 주식회사 인포바인 Method and system capable of user integrated authentication according to security level of internet site by automatically detecting user authentication request

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5145346B2 (en) 2006-10-10 2013-02-13 データ ロッカー インターナショナル エルエルシー Security system for external data storage device and control method thereof
KR100949807B1 (en) * 2007-11-29 2010-03-30 한국전자통신연구원 Authentication Apparatus and Method between A Server and A Client
KR101395306B1 (en) * 2007-12-21 2014-05-16 삼성전자주식회사 Network composition method
KR100947119B1 (en) * 2007-12-26 2010-03-10 한국전자통신연구원 Verification method, method and terminal for certificate management
GB2607846B (en) 2018-06-06 2023-06-14 Istorage Ltd Dongle for ciphering data

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101161182B1 (en) * 2011-10-20 2012-08-07 주식회사 인포바인 Method and system capable of user integrated authentication according to security level of internet site by automatically detecting user authentication request

Also Published As

Publication number Publication date
KR20060070313A (en) 2006-06-23

Similar Documents

Publication Publication Date Title
AU2003243680B2 (en) Key generation in a communication system
US7707412B2 (en) Linked authentication protocols
CN106105134B (en) Method and apparatus for improving end-to-end data protection
US8094821B2 (en) Key generation in a communication system
EP2005702B1 (en) Authenticating an application
US8738898B2 (en) Provision of secure communications connection using third party authentication
US7171555B1 (en) Method and apparatus for communicating credential information within a network device authentication conversation
KR101068424B1 (en) Inter-working function for a communication system
WO2011017924A1 (en) Method, system, server, and terminal for authentication in wireless local area network
US9807088B2 (en) Method and network node for obtaining a permanent identity of an authenticating wireless device
US11956626B2 (en) Cryptographic key generation for mobile communications device
KR100667186B1 (en) Apparatus and method for realizing authentication system of wireless mobile terminal
Marques et al. Integration of the Captive Portal paradigm with the 802.1 X architecture
Latze et al. Strong mutual authentication in a user-friendly way in eap-tls
US20240080666A1 (en) Wireless communication network authentication for a wireless user device that has a circuitry identifier
Lee et al. A secure wireless lan access technique for home network
Ficco et al. A bluetooth infrastructure for automatic services access in ubiquitous and nomadic computing environments
KR20050088645A (en) Method of obtaining user id using tunneled transport layer security
KR101068426B1 (en) Inter-working function for a communication system
KR100958615B1 (en) Integrated wireless communication device and operation method thereof
Billington et al. Mutual authentication of B3G devices within personal distributed environments

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121218

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20131218

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20141215

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20151221

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20161219

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20171219

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20181213

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20191212

Year of fee payment: 14