KR102216848B1 - Method for security connection using wireless terminal device - Google Patents

Method for security connection using wireless terminal device Download PDF

Info

Publication number
KR102216848B1
KR102216848B1 KR1020190154990A KR20190154990A KR102216848B1 KR 102216848 B1 KR102216848 B1 KR 102216848B1 KR 1020190154990 A KR1020190154990 A KR 1020190154990A KR 20190154990 A KR20190154990 A KR 20190154990A KR 102216848 B1 KR102216848 B1 KR 102216848B1
Authority
KR
South Korea
Prior art keywords
terminal device
wireless terminal
user terminal
security server
authentication
Prior art date
Application number
KR1020190154990A
Other languages
Korean (ko)
Inventor
오교상
박종민
Original Assignee
오교상
박종민
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 오교상, 박종민 filed Critical 오교상
Priority to KR1020190154990A priority Critical patent/KR102216848B1/en
Application granted granted Critical
Publication of KR102216848B1 publication Critical patent/KR102216848B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • H04L61/2015
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • H04W88/182Network node acting on behalf of an other network entity, e.g. proxy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Provided is a secure access method through a wireless terminal device, which comprises the steps of: (a) performing an association between a user terminal and a wireless terminal device for secure access to a communication network; (b) communicating, by the wireless terminal device, with at least one of a security server and an authentication server, initiating Internet key exchange protocol version 2 (IKEv2), which is a key exchange protocol, and performing an authentication procedure of the user terminal; and (c) when the user terminal is authenticated in step (b), performing, by the wireless terminal device, an access procedure for the security server and the user terminal.

Description

무선단말장치를 통한 보안 접속 방법 {METHOD FOR SECURITY CONNECTION USING WIRELESS TERMINAL DEVICE}Security connection method through wireless terminal device {METHOD FOR SECURITY CONNECTION USING WIRELESS TERMINAL DEVICE}

본 발명은 통신망에 접속하는데 있어서, Wi-Fi(Wireless Fidelity)를 이용하는 사용자가 4G, 5G 및 유선 중 적어도 어느 하나의 망을 데이터 전송망으로 이용하는 무선단말장치를 통해 안전하게 보안 접속하는 방법에 관한 것이다.The present invention relates to a method for safely and securely accessing a communication network through a wireless terminal device using at least one of 4G, 5G and wired networks as a data transmission network by a user using Wi-Fi (Wireless Fidelity).

기존 4세대 이동통신 기술인 4G 대비 획기적으로 빠른 무선 속도를 제공하는 5세대 이동통신인 5G가 등장함에 따라, 유선의 필요성이 점점 감소하고 있다. 이에 따라, 5G 무선 시스템을 전송망으로 이용하면서, Wi-Fi 서비스를 제공하는 브릿지(혹은 라우터)에서의 보안 접속이 화두로 떠오르고 있다. With the advent of 5G, a 5G mobile communication that provides significantly faster wireless speed compared to 4G, an existing 4G mobile communication technology, the need for wired communication is gradually decreasing. Accordingly, a secure connection in a bridge (or router) that provides Wi-Fi service while using a 5G wireless system as a transmission network is emerging as a hot topic.

현재, Wi-Fi를 통한 보안접속 솔루션은 많이 존재하며, 대개 통신망에 접속하고자 하는 사용자 단말기가 보안접속을 위한 클라이언트를 구비한 뒤 보안서버에 접속함으로써 서비스되는 형태를 취하고 있다.Currently, there are many secure access solutions through Wi-Fi, and in general, a user terminal that wants to access a communication network has a client for secure access and then accesses a security server to provide a service.

이때, 상술한 보안접속 솔루션이 노트북, 데스크탑, 스마트폰, 테블릿 등의 다양한 사용자 단말기에 적용되기 위해서는 사용자 단말기의 운영체제 및 종류 등에 따라 모든 보안 접속 클라이언트가 구비되거나, 적합한 보안접속 클라이언트가 구비되어야 하는 번거로움이 존재하였다. At this time, in order for the above-described secure access solution to be applied to various user terminals such as laptops, desktops, smartphones, and tablets, all secure access clients or appropriate secure access clients must be provided according to the operating system and type of the user terminal There was a hassle.

이에 관한 기술은 대한민국 공개특허공보 제10-2015-0053520호(출원일 : 2013.11.08., 공개일 : 2015.05.18.), 대한민국 공개특허공보 10-2012-0018209호(출원일 :2012.01.13., 공개일 : 2012.02.29.) 등에 제시된 바 있다. Korean Patent Application Publication No. 10-2015-0053520 (application date: 2013.11.08., publication date: 2015.05.18.), Republic of Korea Patent Publication No. 10-2012-0018209 (application date: 2012.01.13. Publication date: 2012.02.29.)

본 발명은 상술한 문제점을 해결하기 위한 것으로 Wi-Fi를 통해 통신망에 접속하고자 하는 사용자 단말기가 별도의 클라이언트를 탑재하지 않더라도 보안 접속 가능한 기술을 제공하는데 그 목적이 있다.An object of the present invention is to solve the above-described problem, and to provide a technology capable of secure access even if a user terminal attempting to access a communication network via Wi-Fi does not have a separate client.

이러한 목적을 달성하기 위하여 본 발명의 일 실시예에 따른 무선단말장치를 통한 보안 접속 방법은(a) 통신망에 보안 접속하고자 하는 사용자 단말기와 무선단말장치 간의 연결(Association)을 수행하는 단계; (b) 상기 무선단말장치가 보안서버와 통신하며 키 교환 프로토콜인 IKEv2(Internet Key Exchange Protocol Version 2)를 개시하고, 사용자 단말기의 인증 절차를 수행하는 단계; 및 (c) 상기 (b) 단계를 통해 사용자 단말기의 인증이 이루어진 경우, 상기 무선단말장치가 상기 보안서버와 상기 사용자 단말기에 대한 보안 접속절차를 수행하는 단계; 를 포함하며, 상기 무선단말장치는 상기 사용자 단말기에 대한 프록시(Proxy)로 동작하여 상기 사용자 단말기 단위의 보안접속을 수행하는 것을 특징으로 한다.To achieve this object, a secure access method through a wireless terminal device according to an embodiment of the present invention includes the steps of: (a) performing an association between a user terminal and a wireless terminal device for secure access to a communication network; (b) the wireless terminal device communicates with the security server, initiates IKEv2 (Internet Key Exchange Protocol Version 2), which is a key exchange protocol, and performs an authentication procedure of the user terminal; And (c) when the user terminal is authenticated through step (b), performing, by the wireless terminal device, a secure access procedure for the security server and the user terminal. The wireless terminal device is characterized in that it operates as a proxy for the user terminal to perform secure access in units of the user terminal.

여기서, 상기 무선단말장치는, 유선 및 무선 통신망을 전송망으로 이용하며 Wi-Fi 및 이동통신망 신호가 상호 변환 가능하도록 연결하고, 상기 무선단말장치는, 브릿지(Bridge), 라우터(Router), 스마트폰 중 어느 하나로 마련되는 것을 특징으로 한다.Here, the wireless terminal device uses a wired and wireless communication network as a transmission network and connects so that Wi-Fi and mobile communication network signals can be converted to each other, and the wireless terminal device includes a bridge, a router, and a smart phone. It characterized in that it is provided in any one of.

이때, 상기 (c) 단계는, (c-1) 상기 무선단말장치가 상기 보안서버로부터 사용자 단말기가 사용할 IP를 제공받는 단계; (c-2) DHCP(Dynamic Host Configuration Protocol)를 수행하여, 상기 무선단말장치가 상기 (c-1) 단계에서 제공받은 IP를 상기 사용자 단말기에게 할당하는 단계; 및 (c-3) 상기 무선단말장치와 상기 보안서버 간에 암호화 프로토콜에 따른 터널을 구축하는 단계; 를 포함하는 것을 특징으로 한다.In this case, the step (c) includes: (c-1) receiving, by the wireless terminal device, an IP to be used by the user terminal from the security server; (c-2) performing DHCP (Dynamic Host Configuration Protocol) to allocate, by the wireless terminal device, the IP provided in step (c-1) to the user terminal; And (c-3) establishing a tunnel between the wireless terminal device and the security server according to an encryption protocol. It characterized in that it comprises a.

여기서, 상기 (b) 단계는, EAP 인증을 통해 인증서버로부터 상기 사용자 단말기를 인증하는 것을 특징으로 한다.Here, step (b) is characterized in that the user terminal is authenticated from an authentication server through EAP authentication.

이때, 어느 하나의 무선단말장치(이하, ‘제1 무선단말장치’라 칭함)와 인증절차를 수행한 사용자 단말기가 또 다른 무선단말장치(이하, ‘제2 무선단말장치’라 칭함)와 이동 연결될 경우, 상기 사용자 단말기와 제2 무선단말장치 간의 인증절차를 재 수행하되, 상기 사용자 단말기가 상기 제2 무선단말장치에게 PMKID(Pairwise Master Key Identifier)를 제공할 경우에는 인증절차를 생략하는 것을 특징으로 한다.At this time, the user terminal that has performed the authentication procedure with any one wireless terminal device (hereinafter referred to as'first wireless terminal device') moves with another wireless terminal device (hereinafter referred to as'second wireless terminal device'). When connected, the authentication procedure between the user terminal and the second wireless terminal device is re-performed, but when the user terminal provides the PMKID (Pairwise Master Key Identifier) to the second wireless terminal device, the authentication procedure is omitted. To do.

또한, 상기 (b) 단계는 MAC 인증을 통해 인증서버로부터 상기 사용자 단말기를 인증하며, 어느 하나의 무선단말장치(이하, ‘제1 무선단말장치’라 칭함)와 인증절차를 수행한 사용자 단말기가 또 다른 무선단말장치(이하, ‘제2 무선단말장치’라 칭함)와 이동 연결될 경우, 상기 사용자 단말기와 제2 무선단말장치 간의 인증절차를 생략하는 것을 특징으로 한다.In addition, in step (b), the user terminal is authenticated from the authentication server through MAC authentication, and the user terminal that has performed the authentication procedure with any one wireless terminal device (hereinafter referred to as'first wireless terminal device') In the case of mobile connection with another wireless terminal device (hereinafter, referred to as a'second wireless terminal device'), an authentication procedure between the user terminal and the second wireless terminal device is omitted.

그리고, 상기 무선단말장치를 통해 접속한 사용자 단말기가 어느 하나의 보안서버(이하, ‘제1 보안서버’라 칭함)에서 또 다른 보안서버(이하, ‘제2 보안서버’라 칭함)로 이동 접속한 경우, 제1 보안서버와 제2 보안서버는 상기 사용자 단말기에 대한 세션 및 위치 중 적어도 어느 하나를 공유하는 것을 특징으로 한다.And, the user terminal accessed through the wireless terminal device moves from one security server (hereinafter, referred to as'first security server') to another security server (hereinafter referred to as'second security server'). In one case, the first security server and the second security server are characterized in that they share at least one of a session and a location for the user terminal.

이상에서 설명한 바와 같이 본 발명에 의하면, 다음과 같은 효과가 있다.As described above, according to the present invention, the following effects are obtained.

첫째, Wi-Fi 및 이동통신망을 연결하며, 무선 혹은 유선 통신망을 전송망으로 제공하는 무선통신장치가 사용자 단말기와 보안서버 및 인증서버 간의 통신을 중계하는 프록시로 동작하고, 보안서버가 사용자 단말기와 인증서버간의 인증 절차에서 인증 클라이언트로 동작함에 따라 사용자 단말기의 운영체제 및 종류에 따른 보안 접속 클라이언트를 별도로 구비하지 않더라도 통신망에 보안 접속하는 것이 가능하다.First, a wireless communication device that connects Wi-Fi and a mobile communication network and provides a wireless or wired communication network as a transmission network operates as a proxy that relays communication between the user terminal and the security server and the authentication server, and the security server authenticates with the user terminal. As it operates as an authentication client in an authentication procedure between servers, it is possible to securely access a communication network even without a separate secure access client according to the operating system and type of the user terminal.

둘째, 테더링을 통해 와이파이 서비스 제공이 가능한 5G/4G 스마트폰 즉, 무선단말장치가 브릿지 역할을 수행하여 테더링을 통해 접속한 사용자 단말기가 통신망에 보안 접속되는 것이 가능하다.Second, a 5G/4G smartphone capable of providing a Wi-Fi service through tethering, that is, a wireless terminal device, acts as a bridge, so that a user terminal accessed through tethering can be securely connected to the communication network.

셋째. Wi-Fi를 통한 접속환경에서 사용자 개인정보 및 사용자가 이용하는 중요데이터 등이 각종 사이버 공격에 노출되어 외부로 유출되는 것을 방지하며, 안전한 데이터 송수신 환경을 제공할 수 있다.third. In a Wi-Fi connection environment, users' personal information and important data used by users are prevented from being exposed to various cyber attacks and leaked to the outside, and a safe data transmission/reception environment can be provided.

도1은 본 발명의 일 실시예에 따른 무선단말장치를 통한 보안 접속 시스템을 도시한 것이다.
도2는 본 발명의 일 실시예에 따른 무선단말장치를 통한 보안 접속 방법을 도시한 것이다.
도3은 본 발명의 일 실시예에 따른 무선단말장치를 통한 보안 접속 방법을 예시한 것이다.
도4는 본 발명의 또 다른 실시예에 따른 무선단말장치를 통한 보안 접속 방법을 예시한 것이다.
1 is a diagram illustrating a security access system through a wireless terminal device according to an embodiment of the present invention.
2 is a diagram illustrating a secure access method through a wireless terminal device according to an embodiment of the present invention.
3 is a diagram illustrating a secure access method through a wireless terminal device according to an embodiment of the present invention.
4 is a diagram illustrating a secure access method through a wireless terminal device according to another embodiment of the present invention.

본 발명의 바람직한 실시 예에 대하여 첨부된 도면을 참조하여 더 구체적으로 설명하되, 이미 주지되어진 기술적 부분에 대해서는 설명의 간결함을 위해 생략하거나 압축하기로 한다.Preferred embodiments of the present invention will be described in more detail with reference to the accompanying drawings, but technical parts that are already well known will be omitted or compressed for conciseness of description.

<무선단말장치를 통한 보안 접속 시스템에 대한 개략적인 설명><Schematic description of security access system through wireless terminal devices>

도1은 본 발명의 일 실시예에 따른 무선단말장치를 통한 보안 접속 시스템(이하, ‘보안 접속 시스템’이라 칭함)을 도시한 개략도이다.1 is a schematic diagram showing a security access system (hereinafter referred to as a “security access system”) through a wireless terminal device according to an embodiment of the present invention.

도1을 참조하면, 보안 접속 시스템(10)은 사용자 단말기(100), 무선단말장치(200), 보안서버(300) 및 인증서버(400)를 포함하여 구성된다.Referring to FIG. 1, the secure access system 10 includes a user terminal 100, a wireless terminal device 200, a security server 300, and an authentication server 400.

사용자 단말기(100)는 유/무선 통신이 가능한 노트북, 데스크탑, 스마트폰, 테블릿PC 등으로 마련될 수 있다.The user terminal 100 may be provided as a laptop, desktop, smart phone, tablet PC, etc. capable of wired/wireless communication.

무선단말장치(200)는 사용자 단말기(100)와 Wi-Fi를 통해 연결되며, 4G 및 5G 무선망 혹은 유선망을 통해 후술할 보안서버(300)와 통신한다. 즉, 무선단말장치(200)는 무선 및 유선 통신망을 데이터 전송망으로 이용하며, Wi-Fi 및 이동통신망 신호를 상호 변환가능 하도록 연결할 수 있다.The wireless terminal device 200 is connected to the user terminal 100 through Wi-Fi, and communicates with the security server 300 to be described later through a 4G and 5G wireless network or a wired network. That is, the wireless terminal device 200 uses a wireless and wired communication network as a data transmission network, and may connect Wi-Fi and mobile communication network signals to be mutually convertible.

이때, 무선단말장치(200)는 브릿지(bridge), 라우터(router), 스마트폰 중 어느 하나로 마련될 수 있다. 좀 더 구체적으로, 4G 및 5G 이동통신망 혹은 유선통신망을 전송망으로 사용하면서, Wi-Fi 및 테더링(tethering) 기능을 제공하는 장치로 마련되는 것이 바람직하다. 만약, 스마트폰으로 마련된 경우, 테더링을 통해 사용자 단말기(100)와 Wi-Fi로 연결될 수 있다. At this time, the wireless terminal device 200 may be provided with any one of a bridge, a router, and a smart phone. More specifically, it is preferable to provide a device that provides Wi-Fi and tethering functions while using a 4G and 5G mobile communication network or a wired communication network as a transmission network. If provided with a smartphone, it may be connected to the user terminal 100 through Wi-Fi through tethering.

참고로, 무선단말장치(200)는 사용자 단말기(100)에 대한 프록시(Proxy)로 동작하여, 사용자 단말기(100)와 보안서버(300) 간의 중계역할을 수행할 수 있다.For reference, the wireless terminal device 200 may operate as a proxy for the user terminal 100 and may perform a relay role between the user terminal 100 and the security server 300.

보안서버(300)는 무선단말장치(200)를 통해 제공받은 사용자 단말기(100)에 대한 인증용 정보를 후술할 인증서버(400)에게 전달한다. 이때, 보안서버(300)는 인증서버(400)와 사용자 단말기(100)에 대한 인증 절차를 수행하는데 있어서 인증 클라이언트로 동작할 수 있다. The security server 300 transmits authentication information for the user terminal 100 provided through the wireless terminal device 200 to the authentication server 400 to be described later. In this case, the security server 300 may operate as an authentication client in performing an authentication procedure for the authentication server 400 and the user terminal 100.

인증서버(400)는 사용자 단말기(100)의 인증을 위한 인증 전용 서버로서, 보안서버(300)가 보내는 엑세스(Access) 요청에 대해 응답하고, 보안서버(300)로부터 엑세스 요청된 사용자 단말기(100)의 자격정보에 따라 인증, 권한 부여 및 계정관리를 수행할 수 있다. 이때, 인증서버(300)에는 인증을 위한 주요 자격정보가 데이터베이스화되어 관리된다. 여기서, 인증서버(400)에는 사용자 단말기(100)뿐만 아니라 무선단말장치(200)에 관한 자격정보도 포함되어 있을 수 있다.The authentication server 400 is an authentication-only server for authentication of the user terminal 100, responds to an access request sent by the security server 300, and receives a request for access from the security server 300. ), authentication, authorization and account management can be performed according to the qualification information. At this time, the authentication server 300 is managed as a database of main qualification information for authentication. Here, the authentication server 400 may include not only the user terminal 100 but also qualification information about the wireless terminal device 200.

참고로, 본 발명의 보안 접속 시스템(10)은 보안서버(300) 및 인증서버(400) 중 적어도 어느 하나는 별도의 무선단말장치를 통해 상기한 구성과의 통신이 이루어지도록 구성될 수 있다.For reference, in the security access system 10 of the present invention, at least one of the security server 300 and the authentication server 400 may be configured to communicate with the above-described configuration through a separate wireless terminal device.

이하에서는, 보안 접속 시스템(10)에 의한 무선단말장치를 통한 보안 접속 방법에 관하여 구체적으로 설명하고자 한다.Hereinafter, a method of secure access through a wireless terminal device by the secure access system 10 will be described in detail.

<무선단말장치를 통한 보안 접속 방법에 관한 설명><Description on the method of secure access through wireless terminal devices>

도2는 본 발명의 일 실시예에 따른 무선단말장치를 통한 보안 접속 방법을 도시한 것이고, 도3은 본 발명의 일 실시예에 따른 무선단말장치를 통한 보안 접속 방법을 예시한 것이며, 도4는 본 발명의 또 다른 실시예에 따른 무선단말장치를 통한 보안 접속 방법을 예시한 것이다.2 is a diagram illustrating a secure access method through a wireless terminal device according to an embodiment of the present invention, and FIG. 3 is a diagram illustrating a secure access method through a wireless terminal device according to an embodiment of the present invention. Is an illustration of a secure access method through a wireless terminal device according to another embodiment of the present invention.

1. (a) 단계<S100>1. (a) Step <S100>

(a) 단계(S100)는 통신망에 보안 접속하고자 하는 사용자 단말기(100)와 무선단말장치(200) 간의 연결(Association)을 수행하는 단계이다. 이때, 무선단말장치(200)는 브릿지(Bridge), 라우터(Router), 스마트폰 중 어느 하나로 마련되어, Wi-Fi 및 이동통신망 신호를 상호 변환 가능하도록 연결한다.Step (a) (S100) is a step of performing an association between the user terminal 100 and the wireless terminal device 200 for secure access to the communication network. At this time, the wireless terminal device 200 is provided with any one of a bridge, a router, and a smart phone, and connects Wi-Fi and mobile communication network signals to be mutually convertible.

이때, Wi-Fi를 통해 사용자 단말기(100)와 무선단말장치(200)가 연결(Association)하는 절차는 이미 공지된 기술로 수행될 수 있으며, 이에 대한 자세한 설명은 생략하고자 한다.At this time, the procedure of association between the user terminal 100 and the wireless terminal device 200 through Wi-Fi may be performed by a known technology, and a detailed description thereof will be omitted.

참고로, (a) 단계 이전에 무선단말장치(200)가 부팅된 경우에, 해당 무선단말장치(200)와 인증서버(400)간에 인증 절차를 수행하는 장비 인증단계(미도시)가 선행될 수 있다. 이를 통해, 해당 무선단말장치(200)가 유효한 장비인지 검증할 수 있다.For reference, if the wireless terminal device 200 is booted before step (a), the equipment authentication step (not shown) for performing an authentication procedure between the wireless terminal device 200 and the authentication server 400 is preceded. I can. Through this, it is possible to verify whether the wireless terminal device 200 is a valid device.

2. (b) 단계<S200>2. (b) Step <S200>

(b) 단계(S200)는 무선단말장치(200)가 보안서버(300)와 통신하며 키 교환 프로토콜인 IKEv2(internet key exchange protocol version 2)를 개시하고, 사용자 단말기의 인증절차를 수행하는 단계이다.(b) Step (S200) is a step in which the wireless terminal device 200 communicates with the security server 300, initiates an internet key exchange protocol version 2 (IKEv2), which is a key exchange protocol, and performs an authentication procedure of the user terminal. .

이때, (b) 단계(S200)에서 사용자 단말기(100)의 인증절차는 실시하기에 따라 다양한 방법으로 수행될 수 있으며, 본 명세서에서는 이에 대한 두 가지 실시예에 대하여 설명하고자 하나, 이에 한정되는 것은 아니다.In this case, the authentication procedure of the user terminal 100 in step (b) (S200) may be performed in various ways depending on the implementation. In this specification, two embodiments are described, but the limitation is no.

먼저, 도3을 참조하여, 본 발명의 일 실시예에 따른 무선단말장치를 통한 보안 접속 방법을 설명하면, 사용자 단말기(100)와 무선단말장치(200)간에 Wi-Fi Association(S100) 절차가 이루어진 후 무선단말장치(200)는 IKEv2 Signaling 절차를 통해 보안서버(300)와 사용자 단말기(100)에 대한 초기 접속 절차를 수행할 수 있다. 이를 통해, 후술할 (c) 단계(S300)에서 논의될 암호화 프로토콜에 따른 터널을 생성한다. First, referring to FIG. 3, when a method of secure access through a wireless terminal device according to an embodiment of the present invention is described, a Wi-Fi Association (S100) procedure is performed between the user terminal 100 and the wireless terminal device 200. After this, the wireless terminal device 200 may perform an initial access procedure for the security server 300 and the user terminal 100 through the IKEv2 signaling procedure. Through this, a tunnel according to the encryption protocol to be discussed in step (c) (S300) to be described later is created.

여기서, (b) 단계(S200)는 RADIUS 프로토콜을 통해 인증서버(400)로부터 사용자 단말기(100)를 인증할 수 있다. 이때, 인증 프로토콜로 EAP(Extensive Authentication Protocol), MAC 및 WEB 인증이 수행될 수 있다. Here, in step (b) (S200), the user terminal 100 may be authenticated from the authentication server 400 through the RADIUS protocol. At this time, EAP (Extensive Authentication Protocol), MAC, and WEB authentication may be performed as an authentication protocol.

상술한 인증 프로토콜을 통한 사용자 단말기(100) 인증과정을 좀더 자세히 기술하면, Wi-Fi Association 절차를 수행한 뒤, 무선단말장치(200)는 사용자 단말기(100)에 개별 식별정보를 요청(EAP-Request/identity)하고, 사용자 단말기(100)는 무선단말장치(200)에 요청 사항에 대해 응답(EAP-Response)하는 메시지를 송/수신할 수 있다. To describe the authentication process of the user terminal 100 through the above-described authentication protocol in more detail, after performing the Wi-Fi Association procedure, the wireless terminal device 200 requests individual identification information from the user terminal 100 (EAP- Request/identity), and the user terminal 100 may transmit/receive a message to the wireless terminal device 200 to respond to the request (EAP-Response).

이 후, 무선단말장치(200)와 보안서버(300)간에 IKEv2가 개시되며, 무선단말장치(200)가 사용자 단말기(100)로부터 받은 개별 식별정보를 포함하는 메시지(IKE-AUTH Req(Headers, UserID, Configuration Payload, Sec.association, Traffic Selector, 사용자 단말기의 MAC))를 보안서버(300)에 제공한다. 그리고, 보안서버(300)는 수신한 정보를 포함하는 인증 요청 메시지(RADIUS Access Request(EAP/identity))를 송부하고, 인증서버(400)는 보안서버(300)로부터 제공받은 개별식별 정보를 기 저장된 데이터베이스와 비교하여, 인증 여부를 결정하여, 보안서버(300)에 인증에 관한 메시지(RADIUS Access Challenge(EAP Request))를 전송할 수 있다.After that, IKEv2 is initiated between the wireless terminal device 200 and the security server 300, and a message including individual identification information received from the user terminal 100 by the wireless terminal device 200 (IKE-AUTH Req (Headers, UserID, Configuration Payload, Sec.association, Traffic Selector, MAC of the user terminal)) are provided to the security server 300. Then, the security server 300 transmits an authentication request message (RADIUS Access Request (EAP/identity)) including the received information, and the authentication server 400 records individual identification information provided from the security server 300. It compares with the stored database, determines whether to authenticate, and transmits a message (RADIUS Access Challenge (EAP Request)) related to authentication to the security server 300.

이후, 보안서버(300)는 무선단말장치(200)에 인증서버로 부터 받은 메시지(IKE-AUTH Req(Headers, EAP Response))를 전달하고, 무선단말장치(200)는 이에 관한 메시지(EAP Request)를 사용자 단말기(100)에 전송한다. 이때, 사용자 단말기(100)는 제공받은 메시지에 대한 응답 메시지(EAP Response)를 무선단말장치(200)에 송부하고, 무선단말장치(200)는 이에 관한 메시지(IKE-AUTH Req(Headers, EAP Response))를 보안서버(300)에 전달한다.Thereafter, the security server 300 delivers a message (IKE-AUTH Req (Headers, EAP Response)) received from the authentication server to the wireless terminal device 200, and the wireless terminal device 200 transmits a message (EAP Request ) To the user terminal 100. At this time, the user terminal 100 transmits a response message (EAP Response) to the received message to the wireless terminal device 200, and the wireless terminal device 200 sends a message (IKE-AUTH Req (Headers, EAP Response) )) to the security server 300.

그리고, 보안서버(300)는 무선단말장치(200)로부터 제공받은 내용에 관한 메시지(RADIUS Access Request(EAP Response))를 인증서버(400)로 전송한다. 일예로, 보안서버(300)는 최초 전송받은 Challenge 값, 계정, 패스워드 등에 대한 해시 값을 구하여 인증서버(400)에 전송할 수 있다. 이 경우, 인증서버(400)는 데이터 베이스에서 해당 계정의 패스워드를 확인하고, 연결 생성을 위해 최초로 전송한 Challenge의 해시 값을 구하여 보안서버(300)로부터 전송된 해시 값과 비교할 수 있다. Then, the security server 300 transmits a message (RADIUS Access Request (EAP Response)) regarding the content provided from the wireless terminal device 200 to the authentication server 400. As an example, the security server 300 may obtain a hash value for an initially transmitted challenge value, an account, a password, and the like and transmit it to the authentication server 400. In this case, the authentication server 400 may check the password of the account in the database, obtain a hash value of the challenge transmitted first for connection creation, and compare it with the hash value transmitted from the security server 300.

즉, 보안서버(300)로부터 제공된 정보와 인증서버(400)에 기 저장된 정보가 일치할 경우에 인증서버(400)는 암호키(MSK(Master Session Key)를 생성하여, 이에 관한 메시지(RADIUS Access Challenge(EAP Success))를 보안서버(300)에 제공한다. 그리고, 보안서버(300)는 이에 관한 메시지(IKE-AUTH Req(Headers, EAP Success, MSK or EAP Failure))를 무선단말장치(200)에 제공하고, 무선단말장치(200)는 사용자 단말기(100)에게 이에 관한 메시지(EAP Success)를 전달한다.That is, when the information provided from the security server 300 and the information previously stored in the authentication server 400 match, the authentication server 400 generates an encryption key (MSK (Master Session Key)) and a message (RADIUS Access Challenge (EAP Success)) is provided to the security server 300. And, the security server 300 sends a message (IKE-AUTH Req (Headers, EAP Success, MSK or EAP Failure)) about this to the wireless terminal device 200. ), and the wireless terminal device 200 transmits a message (EAP Success) related thereto to the user terminal 100.

이때, 실제 EAP 인증은 사용자 단말기(100)와 인증서버(400)간에 이루어지는 것으로 보이며, 그 결과물인 MSK를 사용하여 후술할 무선단말장치(200)와 사용자 단말기(100)간의 인증절차를 수행할 수 있다.At this time, it seems that the actual EAP authentication is performed between the user terminal 100 and the authentication server 400, and the resultant MSK can be used to perform the authentication procedure between the wireless terminal device 200 and the user terminal 100, which will be described later. have.

즉, (b) 단계(S200)를 통해 사용자 단말기(100)의 인증이 이루어진 경우에 그 결과물로 제공받은 MSK를 이용해 무선단말장치(200)와 사용자 단말기(100) 양자 간 키 교환을 수행하여 인증절차를 수행할 수 있다. 이때, 양자 간 키 교환은 4 Way Handshake 또는 4 Way Key Exchange를 통해 이루어지며 단말기(100)와 무선단말장치(200) 구간의 보안에 사용할 Key값이 생성된다.That is, when authentication of the user terminal 100 is performed through step (b) (S200), authentication by performing key exchange between the wireless terminal device 200 and the user terminal 100 using the MSK provided as a result. The procedure can be carried out. At this time, the key exchange between the two is performed through a 4 Way Handshake or 4 Way Key Exchange, and a key value to be used for security between the terminal 100 and the wireless terminal device 200 is generated.

상기의 절차들을 진행할 때 무선단말장치(200)는 사용자 단말기(100)에 대하여 IKEv2 프록시 역할을 수행하여 사용자 단말기(100)단위의 보안터널을 생성하고, 보안서버(300)는 IKEv2 서버 역할을 수행한다. 또한, 보안서버(300)는 인증서버(400)와 사용자 단말기(100) 간의 인증 절차를 수행할 때, RADIUS 클라이언트로 동작한다.When performing the above procedures, the wireless terminal device 200 acts as an IKEv2 proxy for the user terminal 100 to create a security tunnel for each user terminal 100, and the security server 300 serves as an IKEv2 server. do. In addition, the security server 300 operates as a RADIUS client when performing an authentication procedure between the authentication server 400 and the user terminal 100.

참고로, EAP 인증을 수행하여 인증서버(400)로부터 사용자 단말기(100) 인증 수행이 가능한 경우에는 사용자 단말기(100)와 무선단말장치(200) 간에 보안이 이루어질 수 있다. 이때, 사용자 단말기(100)와 무선단말장치(200)간 보안은 WPA(Wi-Fi Protected Acess) 및 WPA2(Wi-Fi Protected Acess Ⅱ) Enterprise 중 적어도 어느 하나의 무선 보안 방식을 통해 보안이 유지될 수 있다. 상술한 무선 보안 방식에 한정되는 것은 아니며, 기존 Wi-Fi 연결에 있어 이용되었던 무선 보안 방식이라면 어느 것이라도 본 발명에 적용될 수 있다.For reference, when the user terminal 100 can be authenticated from the authentication server 400 by performing EAP authentication, security can be achieved between the user terminal 100 and the wireless terminal device 200. At this time, the security between the user terminal 100 and the wireless terminal device 200 is to be maintained through at least one wireless security method among Wi-Fi Protected Access (WPA) and Wi-Fi Protected Access II (WPA2) Enterprise. I can. It is not limited to the above-described wireless security method, and any wireless security method used in the existing Wi-Fi connection may be applied to the present invention.

다음으로, 도4를 참조하여, 본 발명의 또 다른 실시예에 따른 무선단말장치를 통한 보안 접속 방법을 설명하면, 사용자 단말기(100)와 무선단말장치(200)간에 Wi-Fi Association(S100) 절차가 이루어진 후 무선단말장치(200)는 IKEv2 Signaling 절차를 통해 보안서버(300)와 사용자 단말기(100)에 대한 초기 접속 절차를 수행할 수 있다. 이를 통해, 후술할 (c) 단계(S300)에서 논의될 암호화 프로토콜에 따른 터널을 생성한다. Next, referring to FIG. 4, a method of secure access through a wireless terminal device according to another embodiment of the present invention will be described. Wi-Fi Association (S100) between the user terminal 100 and the wireless terminal device 200 After the procedure is completed, the wireless terminal device 200 may perform an initial access procedure for the security server 300 and the user terminal 100 through the IKEv2 signaling procedure. Through this, a tunnel according to the encryption protocol to be discussed in step (c) (S300) to be described later is created.

여기서, (b) 단계(S200)는 MAC 인증절차를 수행하여 인증서버(400)로부터 사용자 단말기(100)를 인증할 수 있다. 이후, 무선단말장치(200)와 보안서버(300)는 메시지(IKE-AUTH Req(Headers, AUTH)/ IKE-AUTH Req(Headers, AUTH, Configuration Payload, Sec.association, Traffic Selector)를 송수신하며, 무선단말장치(200)는 보안서버(300)로부터 사용자 단말기(100)가 사용할 IP를 제공받을 수 있다. Here, (b) step S200 may authenticate the user terminal 100 from the authentication server 400 by performing a MAC authentication procedure. Thereafter, the wireless terminal device 200 and the security server 300 transmit and receive messages (IKE-AUTH Req (Headers, AUTH)/ IKE-AUTH Req (Headers, AUTH, Configuration Payload, Sec.association, Traffic Selector), The wireless terminal device 200 may receive an IP to be used by the user terminal 100 from the security server 300.

참고로, MAC 인증은 EAP 인증을 수행하여 인증서버(400)로부터 사용자 단말기(100) 인증 수행이 가능하지 않은 경우에 이루어지며, 이 경우, 사용자 단말기(100)와 무선단말장치(200)간의 보안을 이루어지지 않는다. 이때, 사용자 단말기(100)와 무선단말장치(200)간의 보안유무는 사용자가 단말기(100)가 접속한 SSID(Service Set Identifier)을 통해 구분할 수 있다. For reference, MAC authentication is performed when it is not possible to perform authentication of the user terminal 100 from the authentication server 400 by performing EAP authentication. In this case, security between the user terminal 100 and the wireless terminal device 200 Is not done. In this case, the presence or absence of security between the user terminal 100 and the wireless terminal device 200 can be distinguished by the user through a service set identifier (SSID) to which the terminal 100 is connected.

3. (c) 단계<S300>3. (c) Step <S300>

(c) 단계(S300)는 상기 (b) 단계(S200)를 통해 사용자 단말기(100)의 인증이 이루어진 경우, 상기 무선단말장치(200)가 보안서버(300)와 사용자 단말기(100)에 대한 보안 접속절차를 수행하는 단계이다.(c) In step (S300), when the user terminal 100 is authenticated through step (b) (S200), the wireless terminal device 200 is This is the step of performing the secure access procedure.

이때, (c) 단계(S300)는 다음과 같은 단계(S310, S320, S330)를 포함할 수 있다.At this time, step (c) (S300) may include the following steps (S310, S320, S330).

먼저, (c-1) 단계(S310)는 무선단말장치(200)가 보안서버(300)로부터 사용자 단말기(100)가 사용할 IP를 제공받는 단계이다.First, step (c-1) (S310) is a step in which the wireless terminal device 200 receives an IP to be used by the user terminal 100 from the security server 300.

다음으로, (c-2) 단계(S320)는 DHCP(Dynamic Host Configuration Protocol)를 수행하여, 무선단말장치(200)가 (c-1) 단계(S310)에서 제공받은 IP를 사용자 단말기(100)에게 할당하는 단계이다.Next, (c-2) step (S320) performs a DHCP (Dynamic Host Configuration Protocol), the wireless terminal device 200, the user terminal 100 to the IP provided in step (c-1) step (S310). This is the step to assign to.

그리고, (c-3) 단계(S330)는 무선단말장치(200)와 상기 보안서버(300)간에 암호화 프로토콜에 따른 터널을 구축하는 단계이다. 이때, IPSec Tunnel이 생성되며, 이를 통해 사용자 단말기(100)와 보안서버(300) 간의 데이터 송수신이 이루어질 수 있다. And, (c-3) step (S330) is a step of establishing a tunnel between the wireless terminal device 200 and the security server 300 according to the encryption protocol. In this case, the IPSec Tunnel is created, and data transmission/reception between the user terminal 100 and the security server 300 may be performed through this.

즉, 상술한 일련의 과정((a) 단계, (b) 단계 및 (c) 단계)을 통해, 사용자 단말기(100)가 별도의 클라이언트를 구비하지 않더라도 보안서버(300)와의 안전한 데이터 송수신이 가능할 수 있다. That is, through the above-described series of processes (steps (a), (b), and (c)), it is possible to secure data transmission and reception with the security server 300 even if the user terminal 100 does not have a separate client. I can.

한편, 사용자 단말기(100)가 어느 하나의 무선단말장치에 연결되었다가, 또 다른 하나의 무선단말장치에 연결되는 경우가 발생할 수 있다. 이하에서는, 상술한 경우에 대한 보안 접속 방법을 다양한 실시예를 들어 설명하고자 한다. Meanwhile, there may be a case where the user terminal 100 is connected to one wireless terminal device and then to another wireless terminal device. Hereinafter, a secure access method for the above-described case will be described with reference to various embodiments.

먼저, (b) 단계(S200)에서 EAP 인증을 통해 인증서버(400)로부터 사용자 단말기(100)를 인증할 경우에 대해 살펴보면, 어느 하나의 무선단말장치(이하, ‘제1 무선단말장치’라 칭함)와 인증절차를 수행한 사용자 단말기(100)가 또 다른 무선단말장치(이하, ‘제2 무선단말장치’라 칭함)와 이동 연결될 경우, 사용자 단말기와 제2 무선단말장치 간의 인증절차를 재 수행하되, 상기 사용자 단말기(100)가 상기 제2 무선단말장치에게 PMKID(Pairwise Master Key Identifier)를 제공할 경우에는 인증절차를 생략할 수 있다. First, looking at the case of authenticating the user terminal 100 from the authentication server 400 through EAP authentication in step (b) (S200), any one wireless terminal device (hereinafter referred to as'first wireless terminal device') When the user terminal 100 that has performed the authentication procedure with the user terminal 100 is connected to another wireless terminal device (hereinafter, referred to as'second wireless terminal device'), the authentication procedure between the user terminal and the second wireless terminal device is repeated. However, when the user terminal 100 provides a Pairwise Master Key Identifier (PMKID) to the second wireless terminal device, the authentication procedure may be omitted.

좀 더 구체적으로 설명하면, 사용자 단말기(100)가 제1 무선단말장치와 인증절차를 수행했더라도, 제2 무선단말장치와의 인증절차를 다시 수행해야한다. 참고로, 인증절차를 수행하는 대상이 제1 무선단말장치에서 제2 무선단말장치로 이동했을 뿐 다른 절차는 도3에 예시한 바와 동일하게 이루어진다.More specifically, even if the user terminal 100 has performed the authentication procedure with the first wireless terminal device, the authentication procedure with the second wireless terminal device must be performed again. For reference, only the subject performing the authentication procedure has moved from the first wireless terminal device to the second wireless terminal device, and other procedures are performed in the same manner as illustrated in FIG. 3.

이때, 사용자 단말기(100)가 제2 무선단말장치와의 인증절차를 재수행하더라도 보안서버(300)는 사용자 단말기(100)에 동일한 IP를 할당할 수 있다. 그리고, 또 하나의 무선단말장치와 보안서버(300)간에 IPSec Tunnel이 생성된 후, 보안서버(300)는 제1 무선단말장치에게 사용자 단말기(100)에 대한 자원을 해제하도록 할 수 있다.At this time, even if the user terminal 100 performs the authentication procedure with the second wireless terminal device again, the security server 300 may allocate the same IP to the user terminal 100. In addition, after the IPSec tunnel is created between another wireless terminal device and the security server 300, the security server 300 may cause the first wireless terminal device to release resources for the user terminal 100.

만약, 무선단말장치(200)가 이동될 때, 즉, ReAssociation 절차를 수행할 경우에, 사용자 단말기(100)가 이동하고자 하는 무선단말장치(200)에게 PMKID를 제공하는 경우에는 해당 무선단말장치(200)에서의 사용자 단말기(100) 인증은 생략될 수 있다. If, when the wireless terminal device 200 is moved, that is, when performing the ReAssociation procedure, when the user terminal 100 provides the PMKID to the wireless terminal device 200 to be moved, the corresponding wireless terminal device ( Authentication of the user terminal 100 at 200) may be omitted.

다음으로, (b) 단계(S200)에서 MAC 인증을 통해 인증서버(400)로부터 사용자 단말기(100)를 인증할 경우에 대해 살펴보면, 제1 무선단말장치와 인증절차를 수행한 사용자 단말기(100)가 제2 무선단말장치와 이동 연결될 경우, 사용자 단말기(100)와 제2 무선단말장치 간의 인증절차를 생략할 수 있다.Next, looking at the case of authenticating the user terminal 100 from the authentication server 400 through MAC authentication in step (b) (S200), the user terminal 100 that performed the authentication procedure with the first wireless terminal device In the case of mobile connection with the second wireless terminal device, the authentication procedure between the user terminal 100 and the second wireless terminal device may be omitted.

좀 더 구체적으로 설명하면, 인증서버(400)로부터 사용자 단말기(100)를 인증하기 위해 (b) 단계(S200)에서 MAC 인증을 수행하는 경우, 보안서버(300)가 제1 무선단말장치에서의 MAC 인증 결과를 알고 있기에, 인증서버(300)와 다시 MAC 인증을 수행할 필요가 없다. 그리고, 이동하고자 하는 무선단말장치(200) 즉, 제2 무선단말장치에게도 제1 무선단말장치와 동일한 IP를 부여하여 IP의 연속성을 유지할 수 있도록 한다. More specifically, in order to authenticate the user terminal 100 from the authentication server 400, when performing MAC authentication in step (b) S200, the security server 300 Since the MAC authentication result is known, there is no need to perform MAC authentication again with the authentication server 300. In addition, the same IP as the first wireless terminal device is assigned to the wireless terminal device 200 to be moved, that is, the second wireless terminal device so that the continuity of the IP can be maintained.

참고로, 인증절차를 수행하는 대상이 제1 무선단말장치에서 제2 무선단말장치로 이동했을 뿐 사용자 단말기(100) 인증절차를 제외한 다른 절차는 도4에 예시한 바와 동일하게 이루어진다.For reference, the subject to which the authentication procedure is performed has moved from the first wireless terminal device to the second wireless terminal device, and other procedures except for the user terminal 100 authentication procedure are performed in the same manner as illustrated in FIG. 4.

이때, 제2 무선단말장치와 사용자 단말기(100) 간의 IP 할당단계(S320)에서 사용자 단말기(100)가 이전에 할당 받았던 IP를 가지고 DHCP Request부터 보내온 경우에, 응답문자(DHCP Ack)로 마무리 할 수 있다. 만약, 다른 IP를 가지고 DHCP Request를 올린 경우에는 부정응답(DHCP Nak)을 보내 DHCP Discover부터 다시 DHCP 절차를 수행하여 IP를 다시 부여받도록 할 수 있다. At this time, in the case where the user terminal 100 sends from the DHCP request with the previously allocated IP in the IP allocation step (S320) between the second wireless terminal device and the user terminal 100, the response text (DHCP Ack) is finished. I can. If a DHCP request is made with a different IP, a negative response (DHCP Nak) can be sent to perform the DHCP procedure again from DHCP Discover to obtain an IP again.

그리고, 제2 무선단말장치와 보안서버(300)간에 IPSec Tunnel이 생성된 후, 보안서버(300)는 제1 무선단말장치에게 사용자 단말기(100)에 대한 자원을 해제하도록 할 수 있다.Then, after the IPSec tunnel is created between the second wireless terminal device and the security server 300, the security server 300 may cause the first wireless terminal device to release resources for the user terminal 100.

또한, 상술한 경우뿐 아니라, 사용자 단말기(100)가 어느 하나의 보안서버에 접속되었다가, 또 다른 하나의 보안서버에 접속되는 경우가 발생할 수 있다. In addition, in addition to the above-described case, the user terminal 100 may be connected to one security server and then to another security server.

이때. 무선단말장치(200)를 통해 접속한 사용자 단말기(100)가 어느 하나의 보안서버(이하, ‘제1 보안서버’라 칭함)에서 또 다른 보안서버(이하, ‘제2 보안서버’라 칭함)로 이동 접속한 경우, 제1 보안서버와 제2 보안서버는 상기 사용자 단말기에 대한 세션 및 위치 중 적어도 어느 하나를 공유할 수 있다.At this time. The user terminal 100 accessed through the wireless terminal device 200 is another security server (hereinafter referred to as'second security server') from any one security server (hereinafter referred to as'first security server') When moving to, the first security server and the second security server can share at least one of a session and a location for the user terminal.

좀 더 구체적으로 설명하면, 제1 보안서버와 제2 보안서버는 사용자 단말기(100)에 대한 세션 및 위치 정보를 서로 공유하며, 이는 해당 보안서버로 터널을 통해 트래픽을 전달함으로써 이루어질 수 있다. 이로 부터, 사용자에게 보안 접속 서비스의 연속성이 제공될 수 있다. More specifically, the first security server and the second security server share session and location information for the user terminal 100 with each other, and this may be accomplished by transmitting traffic to the corresponding security server through a tunnel. From this, continuity of the secure access service can be provided to the user.

일 예로, 사용자 단말기(100)가 제1 보안서버에 접속되어 있을 경우, 제1 보안서버는 제2 보안서버에게 사용자 단말기(100)가 본인에게 접속되어 있다는 정보를 전달할 수 있다.For example, when the user terminal 100 is connected to the first security server, the first security server may transmit information indicating that the user terminal 100 is connected to the user to the second security server.

만약, 사용자 단말기(100)가 보안서버 간 이동 후에 접속을 해제한 경우 보안서버들 간 정보를 공유하여 세션 정보를 일치하도록 할 수 있다.If the user terminal 100 releases the connection after moving between the security servers, the session information may be matched by sharing information between the security servers.

위에서 설명한 바와 같이 본 발명에 대한 구체적인 설명은 첨부된 도면을 참조한 실시 예에 의해서 이루어졌지만, 상술한 실시 예는 본 발명의 바람직한 예를 들어 설명하였을 뿐이기 때문에, 본 발명이 상기의 실시 예에만 국한되는 것으로 이해되어져서는 아니 되며, 본 발명의 권리범위는 후술하는 청구범위 및 그 균등개념으로 이해되어져야 할 것이다.As described above, a detailed description of the present invention has been made by an embodiment with reference to the accompanying drawings, but since the above-described embodiment has been described with reference to a preferred example of the present invention, the present invention is limited to the above embodiment. It should not be understood as being, and the scope of the present invention should be understood as the following claims and the concept of equality.

10 : 보안 접속 시스템
100 : 사용자 단말기
200 : 무선단말장치
300 ; 보안서버
400 : 인증서버 10: secure access system
100: user terminal
200: wireless terminal device
300; Security server
400: authentication server

Claims (7)

(a) 통신망에 보안 접속하고자 하는 사용자 단말기와 무선단말장치 간의 Wi-Fi 연결(Association)을 수행하는 단계;
(b) 상기 무선단말장치가 보안서버와 통신하며 키 교환 프로토콜인 IKEv2(Internet Key Exchange Protocol Version 2)를 개시하고, 사용자 단말기의 인증 절차를 수행하는 단계; 및
(c) 상기 (b) 단계를 통해 사용자 단말기의 인증이 이루어진 경우, 상기 무선단말장치와 상기 보안서버 간에 암호화 프로토콜에 따른 터널이 구축되도록 상기 무선단말장치가 상기 보안서버와 상기 사용자 단말기에 대한 보안 접속절차를 수행하는 단계; 를 포함하며,
상기 무선단말장치는 유선 및 무선 통신망을 전송망으로 이용하며 Wi-Fi 및 이동통신망 신호가 상호 변환 가능하도록 연결하며, 상기 사용자 단말기에 대한 프록시(Proxy)로 동작하여 상기 사용자 단말기 단위의 보안접속을 수행하고,
상기 (b) 단계는, 상기 무선단말장치가 상기 보안서버와 통신하여 RADIUS 프로토콜을 통해 상기 사용자 단말기의 인증 절차를 수행하되, EAP(Extensive Authentication Protocol) 인증 또는 MAC 인증을 수행하여 상기 보안서버로부터 상기 사용자 단말기를 인증하며,
상기 (b) 단계에서 EAP 인증을 통해 상기 사용자 단말기의 인증 절차를 수행하는 경우, 상기 사용자 단말기와 상기 무선단말장치 간 보안은 WPA 및 WPA2 Enterprise 중 적어도 어느 하나의 무선 보안 방식을 통해 보안이 유지되는 것을 특징으로 하는
무선단말장치를 통한 보안 접속 방법.
(a) performing a Wi-Fi association between a user terminal and a wireless terminal device for secure access to a communication network;
(b) the wireless terminal device communicates with the security server, initiates IKEv2 (Internet Key Exchange Protocol Version 2), which is a key exchange protocol, and performs an authentication procedure of the user terminal; And
(c) When the user terminal is authenticated through step (b), the wireless terminal device secures the security server and the user terminal so that a tunnel according to the encryption protocol is established between the wireless terminal device and the security server. Performing an access procedure; Including,
The wireless terminal device uses a wired and wireless communication network as a transmission network, connects so that Wi-Fi and mobile communication network signals can be converted to each other, and acts as a proxy for the user terminal to perform a secure connection for each user terminal and,
In the step (b), the wireless terminal device communicates with the security server to perform an authentication procedure of the user terminal through a RADIUS protocol, but performs EAP (Extensive Authentication Protocol) authentication or MAC authentication, and the security server Authenticates the user terminal,
When performing the authentication procedure of the user terminal through EAP authentication in step (b), the security between the user terminal and the wireless terminal device is maintained through at least one wireless security method of WPA and WPA2 Enterprise. Characterized by
Secure access method through wireless terminal device.
 제1항에 있어서,
상기 무선단말장치는, 브릿지(Bridge), 라우터(Router), 스마트폰 중 어느 하나로 마련되는 것을 특징으로 하는
무선단말장치를 통한 보안 접속 방법.
The method of claim 1,
The wireless terminal device, characterized in that provided with any one of a bridge (Bridge), a router (Router), a smart phone
Secure access method through wireless terminal device.
 제2항에 있어서,
상기 (c) 단계는,
(c-1) 상기 무선단말장치가 상기 보안서버로부터 사용자 단말기가 사용할 IP를 제공받는 단계;
(c-2) DHCP(Dynamic Host Configuration Protocol)를 수행하여, 상기 무선단말장치가 상기 (c-1) 단계에서 제공받은 IP를 상기 사용자 단말기에게 할당하는 단계; 및
(c-3) 상기 무선단말장치와 상기 보안서버 간에 암호화 프로토콜에 따른 터널을 구축하는 단계; 를 포함하는 것을 특징으로 하는
무선단말장치를 통한 보안 접속 방법.
The method of claim 2,
The step (c),
(c-1) receiving, by the wireless terminal device, an IP to be used by the user terminal from the security server;
(c-2) performing DHCP (Dynamic Host Configuration Protocol) to allocate, by the wireless terminal device, the IP provided in step (c-1) to the user terminal; And
(c-3) establishing a tunnel between the wireless terminal device and the security server according to an encryption protocol; Characterized in that it comprises a
Secure access method through wireless terminal device.
 삭제delete 제3항에 있어서,
어느 하나의 무선단말장치(이하, ‘제1 무선단말장치’라 칭함)와 인증절차를 수행한 사용자 단말기가 또 다른 무선단말장치(이하, ‘제2 무선단말장치’라 칭함)와 이동 연결될 경우, 상기 사용자 단말기와 제2 무선단말장치 간의 인증절차를 재 수행하되, 상기 사용자 단말기가 상기 제2 무선단말장치에게 PMKID(Pairwise Master Key Identifier)를 제공할 경우에는 인증절차를 생략하는 것을 특징으로 하는
무선단말장치를 통한 보안 접속 방법.
The method of claim 3,
When one wireless terminal device (hereinafter referred to as a'first wireless terminal device') and a user terminal that has performed the authentication procedure are connected to another wireless terminal device (hereinafter, referred to as a'second wireless terminal device') , Re-performing the authentication procedure between the user terminal and the second wireless terminal device, but omitting the authentication procedure when the user terminal provides a Pairwise Master Key Identifier (PMKID) to the second wireless terminal device.
Secure access method through wireless terminal device.
 제3항에 있어서,
상기 (b) 단계는 MAC 인증을 통해 인증서버로부터 상기 사용자 단말기를 인증하며,
어느 하나의 무선단말장치(이하, ‘제1 무선단말장치’라 칭함)와 인증절차를 수행한 사용자 단말기가 또 다른 무선단말장치(이하, ‘제2 무선단말장치’라 칭함)와 이동 연결될 경우, 상기 사용자 단말기와 제2 무선단말장치 간의 인증절차를 생략하는 것을 특징으로 하는
무선단말장치를 통한 보안 접속 방법.
The method of claim 3,
The step (b) authenticates the user terminal from an authentication server through MAC authentication,
When one wireless terminal device (hereinafter referred to as a'first wireless terminal device') and a user terminal that has performed the authentication procedure are connected to another wireless terminal device (hereinafter, referred to as a'second wireless terminal device') , Omitting the authentication procedure between the user terminal and the second wireless terminal device
Secure access method through wireless terminal device.
 제1항 내지 제3항, 제5항 및 제6항 중 어느 한 항에 있어서,
상기 무선단말장치를 통해 접속한 사용자 단말기가 어느 하나의 보안서버(이하, ‘제1 보안서버’라 칭함)에서 또 다른 보안서버(이하, ‘제2 보안서버’라 칭함)로 이동 접속한 경우, 제1 보안서버와 제2 보안서버는 상기 사용자 단말기에 대한 세션 및 위치 중 적어도 어느 하나를 공유하는 것을 특징으로 하는
무선단말장치를 통한 보안 접속 방법.

The method according to any one of claims 1 to 3, 5 and 6,
When a user terminal accessed through the wireless terminal device moves from one security server (hereinafter referred to as'first security server') to another security server (hereinafter referred to as'second security server') , The first security server and the second security server share at least one of a session and a location for the user terminal.
Secure access method through wireless terminal device.
KR1020190154990A 2019-11-28 2019-11-28 Method for security connection using wireless terminal device KR102216848B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190154990A KR102216848B1 (en) 2019-11-28 2019-11-28 Method for security connection using wireless terminal device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190154990A KR102216848B1 (en) 2019-11-28 2019-11-28 Method for security connection using wireless terminal device

Publications (1)

Publication Number Publication Date
KR102216848B1 true KR102216848B1 (en) 2021-02-19

Family

ID=74687179

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190154990A KR102216848B1 (en) 2019-11-28 2019-11-28 Method for security connection using wireless terminal device

Country Status (1)

Country Link
KR (1) KR102216848B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120014027A (en) * 2009-05-06 2012-02-15 콸콤 인코포레이티드 Method and apparatus to establish trust and secure connection via a mutually trusted intermediary
KR101214839B1 (en) * 2012-03-21 2012-12-24 (주)더블유랩 Authentication method and authentication system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120014027A (en) * 2009-05-06 2012-02-15 콸콤 인코포레이티드 Method and apparatus to establish trust and secure connection via a mutually trusted intermediary
KR101214839B1 (en) * 2012-03-21 2012-12-24 (주)더블유랩 Authentication method and authentication system

Similar Documents

Publication Publication Date Title
US7913080B2 (en) Setting information distribution apparatus, method, program, and medium, authentication setting transfer apparatus, method, program, and medium, and setting information reception program
US7673146B2 (en) Methods and systems of remote authentication for computer networks
US8156231B2 (en) Remote access system and method for enabling a user to remotely access terminal equipment from a subscriber terminal
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
KR101438243B1 (en) Sim based authentication
CN108259164B (en) Identity authentication method and equipment of Internet of things equipment
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
EP2846586B1 (en) A method of accessing a network securely from a personal device, a corporate server and an access point
US9344417B2 (en) Authentication method and system
US20060161770A1 (en) Network apparatus and program
CN101379795A (en) address assignment by a DHCP server while client credentials are checked by an authentication server
BR112021003460A2 (en) device with no subscriber identity, device with subscriber identity, method for use on a device without subscriber identity, method for use on a device with subscriber identity, and computer program product
CN111866881A (en) Wireless local area network authentication method and wireless local area network connection method
CN111182546A (en) Method, equipment and system for accessing wireless network
BR112021003448A2 (en) device without subscriber identity, subscriber identity device, method for use on a device without subscriber identity, method for use on a device with subscriber identity, and downloadable computer program product
CN111031540B (en) Wireless network connection method and computer storage medium
CN109561431B (en) WLAN access control system and method based on multi-password identity authentication
KR100819942B1 (en) Method for access control in wire and wireless network
US20080244262A1 (en) Enhanced supplicant framework for wireless communications
CN113972995A (en) Network configuration method and device
KR102216848B1 (en) Method for security connection using wireless terminal device
JP4584776B2 (en) Gateway device and program
US9602493B2 (en) Implicit challenge authentication process
CN113543131A (en) Network connection management method and device, computer readable medium and electronic equipment
KR20040088137A (en) Method for generating encoded transmission key and Mutual authentication method using the same

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant