KR20050002290A - authentication system in wireless local area network and method thereof - Google Patents

authentication system in wireless local area network and method thereof Download PDF

Info

Publication number
KR20050002290A
KR20050002290A KR1020030043661A KR20030043661A KR20050002290A KR 20050002290 A KR20050002290 A KR 20050002290A KR 1020030043661 A KR1020030043661 A KR 1020030043661A KR 20030043661 A KR20030043661 A KR 20030043661A KR 20050002290 A KR20050002290 A KR 20050002290A
Authority
KR
South Korea
Prior art keywords
authentication
user
area
user terminal
access control
Prior art date
Application number
KR1020030043661A
Other languages
Korean (ko)
Other versions
KR100948184B1 (en
Inventor
김정준
정원영
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020030043661A priority Critical patent/KR100948184B1/en
Publication of KR20050002290A publication Critical patent/KR20050002290A/en
Application granted granted Critical
Publication of KR100948184B1 publication Critical patent/KR100948184B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/52Network services specially adapted for the location of the user terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

PURPOSE: An authentication system for wireless local area network and an authenticating method thereof are provided to use the same ID to access a public wireless LAN and a private wireless LAN by determining a connection region on the ground of IP of network access control device. CONSTITUTION: A network access control device(200) provides authentication information received from a user terminal(100) and an authentication request message including an identification address of the network access control device. A user ID is detected from the authentication information and the kind of the detected user ID is discriminated. An access region of the user terminal is detected. An authentication process for an access request of the user terminal is selectively performed by using the kind of the user ID and the access region of the user terminal.

Description

무선 근거리 통신망에서의 인증 시스템 및 그 방법{authentication system in wireless local area network and method thereof}Authentication system in wireless local area network and method

본 발명은 인증 시스템에 관한 것으로 더욱 상세하게 말하자면, 무선 근거리 통신망(WLAN: Wireless Local Area Network, 이하, "무선랜"이라 명명함)에서의 인증 시스템 및 그 방법에 관한 것이다.The present invention relates to an authentication system, and more particularly, to an authentication system and a method in a wireless local area network (WLAN).

최근에는 ISM 밴드에 대한 무선 통신 서비스가 허가됨에 따라 무선랜을 이용한 무선 인터넷 서비스가 가능해졌다. 일반적으로 무선랜은 컴퓨터와 컴퓨터간 또는 컴퓨터와 기타 통신 장치간에 데이터 송수신을 전파(RF: Radio Frequence)나 빛을 이용하여 무선으로 수행하는 랜을 의미한다. 이러한 무선 랜은 최근 인터넷 서비스와 무선 통신 기술의 급격한 발전에 따라 개발되었으며, 이는 대형 사무실, 물류센터와 같이 유선 네트워크 구축이 용이하지 않은 장소에서 주로 설치되며, 유지 보수의 간편함으로 인하여 그 이용이 급증하고 있다.Recently, as the wireless communication service for the ISM band is licensed, wireless Internet service using a wireless LAN has been enabled. In general, a wireless LAN means a wireless LAN that transmits and receives data between a computer and a computer or between a computer and other communication devices by using radio frequency (RF) or light. The WLAN has been developed in recent years due to the rapid development of Internet service and wireless communication technology, which is mainly installed in places where wired network is not easy to build, such as large offices and distribution centers, and its use is rapidly increasing due to the ease of maintenance. Doing.

이러한 무선랜 즉, IEEE 802.11에서는 인증 및 보안 방식으로 WEP를 사용하고 있다. WEP은 랜카드를 장착한 무선 단말기와 액세스 포인트(access point, 이하, "AP"라고 명명함)간에 WEP 키라고 하는 공유 비밀키를 이용하여 단말 인증 및 무선 구간 데이터를 암호화하는 무선랜 보안 방식이다. 또한 랜카드의 MAC(media access control) 주소를 미리 AP에 등록시켜 놓고, 등록된 MAC 주소를 가진 무선 단말기에 대해서만 AP 접속을 허용하는 방식도 사용한다.In the WLAN, that is, IEEE 802.11, WEP is used as an authentication and security method. WEP is a wireless LAN security method that encrypts terminal authentication and wireless section data using a shared secret key called a WEP key between a wireless terminal equipped with a LAN card and an access point (hereinafter, referred to as an "AP"). In addition, the LAN card's MAC (media access control) address is registered in advance in the AP, and the AP access is also allowed only to the wireless terminal having the registered MAC address.

그러나 이와 같은 인증 방법들은 무선랜의 원래 용도인 사설 무선랜 환경에서는 적합하지만 공중 무선랜에서는 적합한 방식이라고 할 수 없다. 즉, 사설 무선랜 환경에서는 사용자의 수가 한정되어 있고 AP의 MAC 주소 리스트 관리나 WEP 키 설정 등이 용이하므로 위와 같은 방식이 사용될 수 있으나, 불특정 다수의 사용자들이 공공 장소에 사용하는 공중 무선랜인 경우에는, 사용자들이 동일한 WEP를 사용하게 되면 인증 및 보안의 의미가 없어지며, MAC 주소 리스트 관리를 통한 인증인 경우에도 AP 마다 모든 사용자의 MAC 주소를 등록해야 하는 어려움이 있다.However, such authentication methods are suitable in a private WLAN environment, which is the original use of a WLAN, but are not suitable in a public WLAN. That is, in the private WLAN environment, since the number of users is limited and the AP MAC address list management or WEP key setting is easy, the above method may be used. However, in case of an unspecified user, the public WLAN is used in a public place. In this case, when users use the same WEP, the meaning of authentication and security is lost, and even when authentication is performed through MAC address list management, there is a difficulty in registering MAC addresses of all users for each AP.

따라서, 공중 무선랜 서비스에서는 AP에 접속하는 사용자를 인증하기 위하여 모든 사용자의 인증 정보가 저장된 중앙 인증 서버를 통한 인증 방식을 사용해야 한다. IEEE 802 랜의 포트별 인증 및 보안을 위한 표준인 IEEE 802.1x는EAP(Extensible Authentication Protocol) 인증 프로토콜을 이용하여 모든 사용자 인증 정보가 저장된 라디우스(RADIUS) 인증 서버에서 중앙 집중형 사용자 인증을 가능하게 해주므로, 이것은 공중 무선랜 서비스의 인증 방식에 적합하다고 할 수 있다. IEEE 802.1 x는 공중 무선랜 서비스뿐만 아니라 보안이 강화된 사설 무선랜을 필요로 하는 기업에서도 사용될 수 있다.Therefore, in the public WLAN service, in order to authenticate a user accessing an AP, an authentication method through a central authentication server storing authentication information of all users should be used. IEEE 802.1x, a standard for port-specific authentication and security in IEEE 802 LANs, enables centralized user authentication on a RADIUS authentication server that stores all user authentication information using the Extensible Authentication Protocol (EAP) authentication protocol. Therefore, this can be said to be suitable for the authentication method of the public wireless LAN service. IEEE 802.1x can be used not only for public WLAN services but also for enterprises requiring private WLANs with enhanced security.

이러한 인증 방식을 사용하는 공중무선랜 서비스는 집이나 회사뿐만이 아니라 공공장소에서도 인터넷 접속을 원하는 사람들이 주 이용고객이 될 수 있다. 사용자들은 무선랜 서비스를 사용하기 위하여 자신을 식별할 수 있는 특정 ID를 등록하여야 하는데, 일반적으로 사용자들은 편의성 때문에 인터넷 접속 서비스나 전자 상거래 서비스 등 로그온이 필요한 서비스 가입시, 자신이 이전에 사용하던 ID를 계속해서 사용하고자 하는 경향이 높다.The public wireless LAN service using this authentication method can be a main customer for those who want to access the Internet not only at home or at work but also in public places. Users must register a specific ID to identify themselves in order to use the WLAN service. Generally, users use the ID that they previously used when subscribing to a service that requires logon such as Internet access service or e-commerce service for convenience. There is a high tendency to continue to use.

따라서 무선랜 서비스에서도, 사설 무선랜 접속시에 사용하는 ID를 공중 무선랜 접속시에도 사용하기를 원하는 사용자들이 있을 수 있다. 그러나, 사설 무선랜에서는 사용하는 직원수가 한정되어 있기 때문에 사용자는 대부분 자신이 원하는 ID를 사용할 수 있지만, 공중 무선랜에서는 불특정 다수의 사용자들이 사용하기 때문에 사용자간의 ID가 중복되는 경우가 종종 발생한다. 따라서, 서비스 가입시 동일한 ID를 누군가 먼저 사용하고 있다면 부득이하게 다른 ID를 선택할 수 밖에 없다.Therefore, even in the WLAN service, there may be users who want to use the ID used at the time of the private WLAN connection even when the public WLAN connection. However, since the number of employees used in a private WLAN is limited, most users can use their own desired ID. However, in a public WLAN, an unspecified number of users often use IDs between users. Therefore, if someone is using the same ID first when subscribing to the service, there is no choice but to select another ID.

그 결과, 사용자들은 사설 무선랜 접속시에는 제1 ID를 사용하다가 기업외부의 공공 장소 등에서 공중 무선랜으로 접속하고자 하는 경우에 제2 ID를 사용해야하기 때문에, ID 기억에 따른 어려움 및 사용 편리성이 떨어지는 문제점이 있다.As a result, users have to use the second ID when accessing the public WLAN from a public place outside the company while using the first ID when accessing the private WLAN. There is a problem falling.

그러므로 본 발명이 이루고자 하는 기술적 과제는 종래의 문제점을 해결하기 위한 것으로, 사설 무선랜 접속시에 사용하던 ID를 공중 무선랜 접속시에도 동일하게 사용할 수 있도록 하는데 있다.Therefore, the technical problem to be achieved by the present invention is to solve the conventional problems, to be able to use the same ID used at the time of a private WLAN connection when using a public WLAN.

도 1은 본 발명의 실시 예에 따른 무선 근거리 통신망의 망 구조도이다.1 is a network structure diagram of a wireless local area network according to an embodiment of the present invention.

도 2는 본 발명의 실시 예에 따른 인증 시스템의 세부 구조도이다.2 is a detailed structural diagram of an authentication system according to an embodiment of the present invention.

도 3은 도 2에 도시된 데이터베이스의 필드 구조를 나타낸 도이다.3 is a diagram illustrating a field structure of the database illustrated in FIG. 2.

도 4는 본 발명의 실시 예에 따른 인터넷 접속 및 인증 과정을 나타낸 순서도이다.4 is a flowchart illustrating an Internet access and authentication process according to an embodiment of the present invention.

도 5는 도 4에 도시된 인증 과정을 보다 구체적으로 나타낸 순서도이다.5 is a flowchart illustrating the authentication process illustrated in FIG. 4 in more detail.

이러한 기술적 과제를 달성하기 위한, 본 발명의 특징에 따른 인증 방법은, 네트워크를 통하여 다수의 지역 인증 장치와 연결되어 있으며, 무선 통신망을 통하여 접속하는 사용자 단말기를 망 접속 제어 장치의 중계에 따라 인터넷에 접속시키는 시스템의 인증 방법으로, a) 상기 망 접속 제어 장치로부터, 상기 무선 통신망을 통하여 접속하는 사용자 단말기로부터 제공되는 인증 정보와 상기 망 접속 제어 장치의 식별 주소를 포함하는 인증 요청 메시지가 제공되면, 상기 인증 정보에 포함된 사용자 ID의 종류를 판별하는 단계; b) 상기 사용자 단말기가 접속한 지역을 판별하는 단계; 및 c) 상기 판별된 사용자 ID의 종류와 상기 사용자 단말기가 접속한 지역을 토대로 상기 사용자 단말기의 접속 요청에 대한 인증을 선택적으로 수행하는 단계를 포함한다.In order to achieve the above technical problem, an authentication method according to an aspect of the present invention is connected to a plurality of local authentication devices through a network, and connects a user terminal connected through a wireless communication network to the Internet according to a relay of a network access control device. In the authentication method of the system to be connected, a) If the authentication request message including the authentication information provided from the user terminal connected via the wireless communication network and the identification address of the network access control device is provided from the network access control device, Determining a type of a user ID included in the authentication information; b) determining an area to which the user terminal is connected; And c) selectively performing authentication on an access request of the user terminal based on the type of the determined user ID and the region to which the user terminal is connected.

상기 c) 단계는 상기 사용자 ID가 광역 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 공중 무선랜 서비스가 가능한 제 1 지역 및 해당 사설 무선랜의 서비스가 가능한 제2 지역에 해당하면 접속을 허용하는 단계; 상기 사용자 ID가 협역 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 제2 지역에 해당하면 접속을 허용하는 단계; 및 상기 사용자 ID가 일반 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 제1 지역에 해당하면 접속을 허용하는 단계를 포함한다.In the step c), when the user ID is a wide area ID, the access is allowed if the area accessed by the user terminal corresponds to the first area in which the public WLAN service is available and the second area in which the private WLAN is available. Doing; If the user ID is a narrow ID, allowing access if the area accessed by the user terminal corresponds to a second area; And if the user ID is a general ID, allowing access if the area accessed by the user terminal corresponds to the first area.

이외에도, d) 상기 사용자 ID가 외부 인증 ID인 경우에는 상기 사용자 ID를 포함하는 인증 정보를 해당 지역 인증 서버로 제공하여 인증이 이루어지도록 하는 단계를 더 포함할 수 있다. 이 경우, 상기 지역 인증 서버로부터 제공되는 인증 결과를 상기 망 접속 제어 장치로 전달하는 프락시 기능이 수행된다.In addition, if the user ID is an external authentication ID, the method may further include providing authentication information including the user ID to a corresponding local authentication server to perform authentication. In this case, a proxy function of transmitting the authentication result provided from the local authentication server to the network access control device is performed.

본 발명의 다른 특징에 따른 인증 시스템은, 네트워크를 통하여 다수의 지역 인증 장치와 연결되어 있으며, 무선 통신망을 통하여 접속하는 사용자 단말기를 망 접속 제어 장치의 중계에 따라 인터넷에 접속시키는 인증 시스템으로, 사설 무선랜을 설치한 각 기업에 부여되는 기업 구분자에 대응하여 인증 주체가 저장되어 있는 기업 구분 데이터베이스; 사용자 ID에 대응하여 비밀번호, 사용자 ID 종류, 접속 가능 지역이 저장되어 있는 인증 데이터베이스; 망 접속 제어 장치의 IP 주소에 대응하여 망 접속 장치의 위치 정보가 저장되어 있는 주소 데이터베이스; 상기 망 접속 제어 장치로부터 사용자 단말기로부터 전송된 인증 정보와 망 접속 제어 장치의 식별 주소를 포함하는 인증 요청 메시지가 제공되면, 상기 인증 정보에 포함된 사용자 ID의 종류를 판별하는 사용자 식별부; 상기 인증 요청 메시지에 포함된 망 접속 제어 장치의 식별 주소를 토대로 상기 주소 데이터베이스를 검색하여 상기 망 접속 제어 장치의 위치를 찾고, 이를 토대로 사용자 단말기가 접속한 지역을 판별하는 접속 지역 판별부; 및 상기 판별된 사용자 ID의 종류와 상기 사용자 단말기가 접속한 지역을 토대로 상기 사용자 단말기의 접속 요청에 대한 인증을 선택적으로수행하는 인증 처리부를 포함한다.An authentication system according to another aspect of the present invention is an authentication system that is connected to a plurality of local authentication devices through a network and connects a user terminal connected through a wireless communication network to the Internet according to a relay of a network access control device. A corporate classification database in which an authentication subject is stored in correspondence with a corporate identifier assigned to each company that has installed a wireless LAN; An authentication database in which a password, a user ID type, and an accessible area are stored corresponding to the user ID; An address database in which location information of the network access device is stored corresponding to the IP address of the network access control device; A user identification unit for determining a type of a user ID included in the authentication information when an authentication request message including authentication information transmitted from the network access control device from the user terminal and an identification address of the network access control device is provided; An access region determination unit searching the address database based on an identification address of the network access control apparatus included in the authentication request message to find a location of the network access control apparatus, and determining an area to which the user terminal accesses based on the address database; And an authentication processing unit for selectively performing an authentication for the access request of the user terminal based on the type of the determined user ID and the region to which the user terminal is connected.

여기서, 상기 사용자 식별부는 상기 사용자 ID가 외부 인증 ID인 경우에는 상기 사용자 ID를 포함하는 인증 정보를 해당 지역 인증 장치로 제공하여 인증이 이루어지도록 하고, 상기 사용자 ID가 내부 인증 ID인 경우에, 상기 인증 정보를 상기 인증 처리부로 제공하여 인증이 이루어지도록 한다.Here, when the user ID is an external authentication ID, the user identification unit provides authentication information including the user ID to a corresponding local authentication device to perform authentication, and when the user ID is an internal authentication ID, Authentication information is provided to the authentication processing unit so that authentication is performed.

상기 인증 처리부는 상기 사용자 ID가 광역 ID인 경우에, 접속 지역 판별부에 의하여 판별된 상기 사용자 단말기의 접속 지역이 공중 무선랜 서비스가 가능한 제 1 지역 및 해당 사설 무선랜의 서비스가 가능한 제2 지역에 해당하면 접속을 허용하고, 상기 사용자 ID가 협역 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 제2 지역에 해당하면 접속을 허용한다.When the user ID is a wide area ID, the authentication processing unit may include a first area in which the access area of the user terminal determined by the access area determination unit is capable of performing public WLAN service and a second area in which the service of the corresponding private WLAN is available. If the user ID is a narrow area ID, the access is allowed. If the user ID is a narrow area ID, the access is allowed if the user ID corresponds to the second area.

이러한 특징을 가지는 본 발명에서, 상기 광역 ID 및 협역 ID는 사용자 ID 및 기업 구분자를 포함한다.In the present invention having such a feature, the wide area ID and narrow area ID include a user ID and an enterprise identifier.

이하, 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention.

도 1에 본 발명이 적용되는 공중 무선랜의 망구조가 도시되어 있으며, 다.1 illustrates a network structure of a public wireless LAN to which the present invention is applied.

첨부한 도 1에 도시된 바와 같이, 본 발명이 적용되는 공중 무선랜에서는 다수의 사용자 단말기(100)가 망 접속 제어 장치(200)에 연결되어 있으며, 망 접속 제어 장치(200)는 연결 장치(300)를 통하여 인터넷(400)에 연결되어, 중앙 인증 서버(500)에 연결된다. 또한, 중앙 인증 서버(500)는 적어도 하나 이상의 지역 인증 서버(600)와 연결되어 있다. 여기서 중앙 인증 서버(500)가 인터넷(400)을 통하여 다수의 지역 인증 서버(600)와 연결되어 있지만, 이와는 달리 별도의 인터페이스 수단을 통하여 직접적으로 연결될 수도 있다.As shown in FIG. 1, in the public wireless LAN to which the present invention is applied, a plurality of user terminals 100 are connected to the network access control device 200, and the network access control device 200 includes a connection device ( It is connected to the Internet 400 through 300, and is connected to the central authentication server 500. In addition, the central authentication server 500 is connected to at least one local authentication server 600. Although the central authentication server 500 is connected to the plurality of regional authentication servers 600 through the Internet 400, it may alternatively be directly connected through a separate interface means.

본 발명의 실시 예에서는 사용자 단말기(100)로부터 접속 요청이 입력되면, 망 접속 제어 장치(200)가 사용자의 인증 정보를 포함하는 인증 요청 메시지를 중앙 인증 서버(500)로 제공하며, 중앙 인증 서버(500)는 인증 정보에 포함된 사용자 식별 정보를 토대로 자체적으로 인증을 수행하거나 사용자의 인증 정보를 해당 지역 인증 서버(600)로 제공하여 인증이 이루어지도록 한다.In the embodiment of the present invention, when the access request is input from the user terminal 100, the network access control apparatus 200 provides an authentication request message including the authentication information of the user to the central authentication server 500, the central authentication server The authentication 500 performs authentication based on the user identification information included in the authentication information or provides the user's authentication information to the corresponding local authentication server 600 so that authentication can be performed.

특히, 본 발명의 실시 예에서는 사설 무선랜에서 사용하는 ID를 핫 스팟(공중 무선랜 서비스를 이용할 수 있는 장소)에서 사용할 수 있는 광역 ID 서비스를 제공한다. 이를 위하여, 기업 사용자(사설 무선랜 서비스에 등록된 ID를 가지는 사용자)의 공중 무선랜 서비스 가입시에 사용자 ID 이외에 기업을 구분하는 기업 ID 즉, 기업 구분자를 등록하도록 하고, 이러한 사용자 ID와 기업 구분자를 결합한 것을 하나의 ID로 처리한다. 따라서 사용자 ID가 한 기업내부에서만 유일하다면 다른 기업에서 다른 사용자가 동일한 ID를 사용하여도 서로 다른 ID로 구분될 수 있다. 예를 들어, aaa라는 사용자 ID를 company1과 company2 두 기업내에서 동시에 사용할 수 있고, 또 일반 사용자도 aaa라는 ID를 사용할 수 있다. 즉, aaa@company1과 aaa@company2와 aaa는 서로 다른 ID로 구별된다.In particular, an embodiment of the present invention provides a wide area ID service that can use an ID used in a private WLAN at a hot spot (a place where a public WLAN service can be used). To this end, when a corporate user (a user having an ID registered in a private WLAN service) subscribes to a public WLAN service, a company ID, that is, a company identifier that identifies a company other than the user ID, is registered. Treat the combined thing as one ID. Therefore, if a user ID is unique within one company, even if a different user uses the same ID in another company, it may be divided into different IDs. For example, the user ID aaa can be used simultaneously in both companies company1 and company2, and the general user can also use the ID aaa. That is, aaa @ company1, aaa @ company2, and aaa are distinguished by different IDs.

본 발명의 실시 예에서 사용되는 ID들은 크게 일반 ID와, 광역 ID, 그리고협역 ID로 나뉘어질 수 있다. 일반 ID는 공중 무선랜만에서만 사용되는 ID로서 기업 구분자를 포함하지 않는다. 광역 ID는 공중 무선랜과 사설 무선랜에서 모두 사용되는 ID이고, 협역 ID는 사설 무선랜에서만 사용되는 ID이다. 광역 ID와 협역 ID는 사용자 ID 이외에 기업 구분자를 포함한다.IDs used in an embodiment of the present invention may be largely divided into a general ID, a wide area ID, and a narrow area ID. The general ID is used only in public WLAN and does not include a corporate identifier. The wide area ID is an ID used in both a public WLAN and a private WLAN, and the narrow area ID is an ID used only in a private WLAN. The wide area and narrow area IDs contain a corporate identifier in addition to the user ID.

그러므로, 중앙 인증 서버(500)는 인증 정보에 포함된 사용자 ID가 일반 ID 또는 광역 ID 또는 협역 ID인지를 판단하고, 판단 결과와 사용자가 현재 접속한 지역에 따라 무선랜 접속을 허용한다. 이 때, 중앙 인증 서버(500)는 사용자 ID가 광역 ID 또는 협역 ID인 경우에 자체적으로 인증을 수행하거나 해당 기업 내부의 지역 인증 서버로 인증 정보를 제공하여 사용자 인증이 이루어지도록 한다.Therefore, the central authentication server 500 determines whether the user ID included in the authentication information is a general ID, a wide area ID, or a narrow area ID, and allows wireless LAN access according to the determination result and the region where the user is currently connected. In this case, when the user ID is a wide area ID or a narrow area ID, the central authentication server 500 performs authentication by itself or provides authentication information to a local authentication server in a corresponding company so that user authentication is performed.

본 발명의 실시 예에서는 자체적으로 인증 장치를 유지하기 어려운 소규모 기업 등의 요청에 따라 인증 대행 서비스를 제공한다. 중앙 인증 서버는 인증 대행 서비스에 가입한 기업의 사용자 정보를 가지고 있으며 기업의 망접속 제어장치로부터 인증요청이 오면 인증을 수행한다. 협역 ID의 경우, 사용자가 접속한 지역이 상기 사설 무선랜 사용이 가능한 기업 내부인 경우에만 접속을 허용하고, 다른 기업의 사설 무선랜을 통하여 접속한 경우에는 접속을 차단한다. 사용자가 접속한 지역이 어느 지역인지를 확인하는 방법으로는 사용자가 접속한 망 접속 제어 장치 즉, 인증 정보를 전달하는 망 접속 제어 장치의 IP 주소를 토대로 접속 장소가 기업내부인지 핫스팟인지를 구분하는 방법이 사용된다. 그러나, 본 발명에 따른 접속 지역 판별 방법은 이 방법에 한정되지 않는다.According to an embodiment of the present invention, an authentication agent service is provided according to a request of a small company or the like which is difficult to maintain an authentication device by itself. The central authentication server has user information of a company subscribed to an authentication agent service and performs authentication when an authentication request is received from an enterprise network access control device. In the case of the narrow ID, the access is allowed only when the area where the user is connected is inside the enterprise that can use the private WLAN, and the access is blocked when the user accesses the private WLAN of another company. In order to check which area the user is connected to, it is possible to distinguish whether the connection location is internal or hotspot based on the IP address of the network access control device that is connected to the user, that is, the network access control device that transmits authentication information. Method is used. However, the access area discrimination method according to the present invention is not limited to this method.

도 2에 이러한 인증 처리를 위한 본 발명의 실시 예에 따른 인증 시스템의각 구성 요소의 구체적인 구조가 도시되어 있다.Figure 2 shows the specific structure of each component of the authentication system according to an embodiment of the present invention for this authentication process.

먼저, 사용자 단말기(100)의 구조를 살펴보면, IEEE 802.11 무선 랜카드(110)가 구비되어 있다. 이러한 사용자 단말기(100)는 예를 들어, PCMCIA 포트, USB 포트 등의 통신포트나 PCI 슬롯을 구비한 노트북 컴퓨터나 데스크탑 컴퓨터 또는 개인 휴대 단말기(PDA) 등일 수 있다. 무선 랜 카드의 구조는 이미 공지된 기술이므로, 여기서는 상세한 설명을 생략한다.First, referring to the structure of the user terminal 100, an IEEE 802.11 wireless LAN card 110 is provided. The user terminal 100 may be, for example, a notebook computer, a desktop computer, or a personal digital assistant (PDA) having a communication port such as a PCMCIA port, a USB port, or a PCI slot. Since the structure of the WLAN card is a known technology, a detailed description thereof will be omitted here.

사용자 단말기(100)의 무선랜 접속을 중계하는 망 접속 제어 장치(200)는, 접속하는 사용자 단말기(100)로부터 제공되는 정보를 토대로 중앙 인증 서버(500)로 사용자 인증을 요청하는 인증 요청부(210), 인증 서버(500)로부터 전송되는 인증 결과를 토대로 사용자 단말기(100)의 인터넷 상의 소정 사이트로의 접속을 중계하는 접속 제어부(220)를 포함한다.The network access control apparatus 200 for relaying a wireless LAN connection of the user terminal 100 may include an authentication requesting unit requesting user authentication to the central authentication server 500 based on information provided from the accessing user terminal 100. 210, a connection controller 220 relaying a connection of a user terminal 100 to a predetermined site on the Internet based on an authentication result transmitted from the authentication server 500.

그리고, 망 접속 제어 장치(200)를 인터넷(400)에 연결시키는 연결 장치(300)로는 허브, 라우터 또는 xDSL 모뎀, NAS 등이 사용될 수 있다.In addition, a hub, a router, an xDSL modem, a NAS, or the like may be used as the connection device 300 for connecting the network access control device 200 to the Internet 400.

이러한 구조로 이루어지는 망 접속 제어 장치(200)로부터 전송되는 인증 요청에 따라 사용자 단말기(100)에 대한 무선랜 접속 인증을 수행하는 중앙 인증 서버(500)는 기업구분 데이터베이스(510), 인증 데이터베이스(520), 주소 데이터베이스(530), 사용자 식별부(540), 접속 지역 판별부(550) 및 인증 처리부(560)를 포함한다.In accordance with the authentication request transmitted from the network access control device 200 having such a structure, the central authentication server 500 that performs wireless LAN access authentication for the user terminal 100 includes an enterprise classification database 510 and an authentication database 520. ), An address database 530, a user identification unit 540, an access region determination unit 550, and an authentication processing unit 560.

기업 구분 데이터베이스(510)에는 본 발명의 실시 예에 따른 광역 ID 서비스가 가능한 사설 무선랜에 대한 정보가 저장되어 있다. 구체적으로, 저장 필드가 기업 구분자 필드, 인증주체 필드, 인증서버 주소 필드, 광역 ID 개수 필드로 각각 나누어지고, 각 필드에 사설 무선랜을 설치한 각 기업에 부여되는 기업 구분자, 인증을 중앙 인증 서버에서 하는지 아니면 기업의 자체 인증 서버에서 수행하는지를 나타내는 인증 주체, 자체적으로 인증을 수행하는 기업의 인증 서버의 주소, 그리고 기업의 지역 인증 서버에서 자체적으로 인증을 수행하는 경우에는 해당 기업에서 등록한 광역 ID 개수가 각각 저장된다.The enterprise classification database 510 stores information on a private WLAN capable of wide area ID service according to an embodiment of the present invention. Specifically, the storage field is divided into a company identifier field, an authentication subject field, an authentication server address field, and a wide area ID number field, respectively, and a company identifier and certificate granted to each company having a private WLAN installed in each field. The principal that indicates whether the server is running on the server or the company's own authentication server, the address of the company's authentication server that performs its own authentication, and the number of global IDs registered by that company if the company's regional authentication server performs its own authentication. Are stored respectively.

인증 데이터베이스(520)에는 각 사용자별로 인증 정보가 저장되어 있다. 구체적으로, 저장 필드는 ID 필드, 비밀 번호 필드, 사용자 종류 필드, 접속 지역 필드로 나뉘어지고, 각각의 필드에 대응하여 기업 구분자를 선택적으로 포함하는 사용자 ID, 인증시 사용되는 비밀번호, 사용자 ID가 일반 또는 광역 또는 협역인지를 나타내는 사용자 종류, 해당 사용자가 접속 가능한 지역을 나타내는 접속지역이 각각 저장된다.The authentication database 520 stores authentication information for each user. Specifically, the storage field is divided into an ID field, a password field, a user type field, and a connection area field, and a user ID optionally including an enterprise identifier corresponding to each field, a password used for authentication, and a user ID are general. Alternatively, a user type indicating whether it is a wide area or a narrow area and an access area indicating an area to which the user can access are stored.

주소 데이터베이스(530)에는 망 접속 제어 장치의 주소 정보가 저장되어 있다. 즉, 저장 필드가 주소 필드 및 접속 지역 필드로 나뉘어지고, 각각의 필드에 대응하여 망 접속 제어 장치의 IP 주소, 해당 망 접속 장치가 위치하는 지역 정보가 각각 저장된다. 여기서, 지역 정보로는 해당 망 접속 제어 장치가 공중 무선랜 서비스가 가능한 지역(제1 지역)에 설치되는 경우에는 핫스팟, 사설 무선랜 서비스가 가능한 지역(제2 지역)에 설치되는 경우에는 해당 기업의 기업 구분자가 각각 저장되어, 망 접속 제어 장치가 공중 무선랜 지역에 설치되어 있는지, 아니면 특정 기업의 사설 무선랜 지역에 설치되어 있는지를 나타낸다.The address database 530 stores address information of the network access control device. That is, the storage field is divided into an address field and an access area field, and corresponding to each field, an IP address of the network access control device and area information where the corresponding network access device is located are respectively stored. Here, as the area information, if the network access control device is installed in an area (first area) where public WLAN service is available, a hotspot and a company when installed in an area (second area) where private WLAN service is available. Each company identifier is stored to indicate whether the network access control device is installed in a public WLAN area or a private WLAN area of a specific company.

도 3에 이러한 각 데이터베이스에 저장되는 정보의 예가 도시되어 있다.An example of the information stored in each of these databases is shown in FIG.

한편, 사용자 식별부(540)는 망 접속 제어 장치(200)를 통하여 전송되는 사용자의 인증 정보에 포함된 사용자 ID가 기업 구분자를 포함하는지를 판단하고, 기업 구분자를 포함하는 ID인 경우에는 이 ID가 인증 대행 ID(인증 대행 서비스를 요청하여 중앙 인증 서버에서 인증을 수행하는 ID)인지 외부 인증 ID(기업 자체적으로 인증을 수행하는 ID)인지에 따라, 상기 인증 정보를 인증 처리부(560)로 제공하거나 해당 기업의 지역 인증 서버(600)로 제공한다. 이 때, 사용자 ID가 기업 구분자를 포함하지 않는 경우에는 상기 ID가 일반 ID인 것으로 판단하여 인증 정보를 인증 처리부(560)로 제공한다. 한편, 인증 정보를 지역 인증 서버(600)로 전달한 경우에는 이후, 지역 인증 서버(600)로부터 제공되는 인증 결과를 망 접속 제어 장치(200)로 전달하는 중계 기능(프락시 기능)을 수행한다.On the other hand, the user identification unit 540 determines whether the user ID included in the authentication information of the user transmitted through the network access control device 200 includes the corporate identifier, and if the ID includes the corporate identifier, the ID is The authentication information is provided to the authentication processing unit 560 according to whether it is an authentication agent ID (an ID for requesting an authentication agent service to perform authentication at the central authentication server) or an external authentication ID (ID that performs authentication by the company itself). Provided to the local authentication server 600 of the company. At this time, if the user ID does not include a company identifier, it is determined that the ID is a general ID and the authentication information is provided to the authentication processing unit 560. On the other hand, when the authentication information is transmitted to the local authentication server 600, it performs a relay function (proxy function) for transmitting the authentication result provided from the local authentication server 600 to the network access control device 200.

접속 지역 판별부(550)는 망 접속 제어 장치(200)로부터 전달되는 메시지에 포함되어 있는 망 접속 제어 장치의 IP 주소를 토대로 주소 데이터베이스(530)를 검색하여 망 접속 제어 장치의 위치를 판별하고 그에 따라 사용자가 접속한 지역이 어디인지를 판별하며, 그 결과를 인증 처리부(560)로 제공한다.The access area determination unit 550 searches the address database 530 based on the IP address of the network access control device included in the message transmitted from the network access control device 200 to determine the location of the network access control device. Accordingly, it determines where the user is connected to, and provides the result to the authentication processing unit 560.

인증 처리부(560)는 사용자 식별부(540)로부터 제공되는 인증 정보에 대하여 인증을 수행한다. 구체적으로, 사용자 ID가 일반 ID 또는 광역 ID 또는 협역 ID인지를 판단하고, 사용자의 ID 종류 및 접속 지역 판별부(550)로부터 제공되는 사용자의 접속 지역에 따라 인증을 선택적으로 수행하고, 인증 결과를 망 접속 제어 장치(200)로 전송한다.The authentication processing unit 560 authenticates the authentication information provided from the user identification unit 540. Specifically, it is determined whether the user ID is a general ID, a wide area ID, or a narrow area ID, selectively performs authentication according to the user's ID type and the access area of the user provided from the access area determining unit 550, and performs the authentication result. Transmission to the network access control device 200.

이러한 구조로 이루어지는 본 발명의 실시 예에 따른 중앙 인증 서버(500)는 사용자 인증 방법으로 EAP 인증을 사용할 수 있다. EAP 인증은 IEEE 802랜에서 포트별 인증 및 보안을 위한 표준인 IEEE 802.1x에서 지원하는 인증 프로토콜로서, 사용자 ID 및 패스워드 기반의 순수한 인증 프로토콜과 인증시 링크 암호화에 사용할 수 있는 비밀키를 생성하는 인증 및 키설정 프로토콜이 있다. 이러한 인증 방법은 이미 공지된 기술임으로 여기서는 상세한 설명을 생략한다.The central authentication server 500 according to the embodiment of the present invention having such a structure may use EAP authentication as a user authentication method. EAP authentication is an authentication protocol supported by IEEE 802.1x, which is a standard for port-specific authentication and security in IEEE 802 LAN. It is a pure authentication protocol based on user ID and password, and an authentication that generates a secret key that can be used for link encryption during authentication. And keying protocols. Since this authentication method is a known technology, a detailed description thereof will be omitted.

인증 대행을 요청한 기업의 사설 무선랜에 설치된 망 접속 제어 장치는 사용자 단말기로부터 제공되는 인증 정보를 중앙 인증 서버로 전달하여 인증 대행을 요청하지만, 자체적으로 인증을 수행하는 기업의 사설 무선랜에 설치된 망 접속 제어 장치는 인증 정보를 자체 기업내에 설치된 지역 인증 서버로 제공하여 인증이 이루어지도록 할 수 있다.The network access control device installed in the private WLAN of the enterprise requesting the authentication agent requests the authentication agent by passing authentication information provided from the user terminal to the central authentication server, but the network installed in the private WLAN of the company that performs the authentication itself. The access control device may provide authentication information to a local authentication server installed in an enterprise to allow authentication.

다음에는 이러한 구조로 이루어지는 본 발명의 실시 예에 따른 무선랜을 통한 인증 시스템의 동작에 대하여 설명한다.Next will be described the operation of the authentication system via a wireless LAN according to an embodiment of the present invention having such a structure.

도 4에 본 발명의 실시 예에 따른 인증 및 그에 따른 접속 처리 과정이 개략적으로 도시되어 있다.4 schematically illustrates an authentication and a connection process according to an embodiment of the present invention.

사용자 단말기(100)가 서비스가 제공되는 일정 지역(BBS:Basic Service Set)에 들어가면, 사용자 단말기(100)의 무선 랜카드(100)와 망 접속 제어 장치(200)간에 연결이 이루어진다. 이 때, 망 접속 제어 장치(200)는 무선랜 중계 기능을 수행한다(S100∼S110).When the user terminal 100 enters a basic service set (BBS) where a service is provided, a connection is made between the WLAN card 100 of the user terminal 100 and the network access control device 200. At this time, the network access control apparatus 200 performs a wireless LAN relay function (S100 to S110).

이후 사용자가 접속 프로그램을 이용해 로그온하면 사용자 단말기(100)는 망으로 인증 시작 메시지를 보낸다. 인증시작 메시지를 수신한 망 접속 제어 장치(200)는 사용자 단말기(100)로 ID 요청 메시지를 보내며, 이에 대한 응답으로 사용자 단말기(100)는 사용자가 입력한 ID와, 비밀 번호로 이루어지는 인증 정보를 포함하는 ID 응답 메시지를 망으로 전달한다(S120∼S140). 이 때, 사용자가 별도로 ID와 비밀 번호를 입력하지 않아도 사용자 단말기(100) 상의 접속 프로그램에 의하여 자동으로 사용자 ID와 비밀 번호를 포함하는 ID 응답 메시지가 전송되도록 할 수 있다.Then, when the user logs on using the access program, the user terminal 100 sends an authentication start message to the network. Upon receiving the authentication start message, the network access control device 200 sends an ID request message to the user terminal 100. In response, the user terminal 100 transmits authentication information including an ID and a password input by the user. The ID response message is transmitted to the network (S120 to S140). In this case, the ID response message including the user ID and password may be automatically transmitted by the access program on the user terminal 100 even if the user does not input the ID and password separately.

망 접속 제어 장치(200)는 ID 응답 메시지를 연결 장치(300)를 통하여 중앙 인증 서버(500)로 전달한다. 중앙 인증 서버(500)는 ID 응답 메시지에 포함된 인증 정보로부터 사용자 ID를 추출한 다음에, 사용자 ID가 일반 또는 인증 대행 ID인지 외부 인증 ID인지를 판단한다(S150∼S160). 판단 결과에 따라 사용자 ID가 일반이나 인증대행 ID인 경우는 자체적 인증을 수행한다(S170). 그러나 외부 인증 ID인 경우는 프락시 동작을 하여 상기 ID응답 메시지를 해당 기업의 지역 인증 서버(600)로 전달한다. 이 경우, 인증 과정은 사용자 단말기(100)와 지역 인증 서버(600) 사이에서 이루어지며, 중앙 인증 서버(500)는 메시지 중계 역할을 한다(S18o∼S190).The network access control device 200 transmits the ID response message to the central authentication server 500 through the connection device 300. The central authentication server 500 extracts the user ID from the authentication information included in the ID response message, and then determines whether the user ID is a general or authentication agency ID or an external authentication ID (S150 to S160). According to the determination result, if the user ID is a general or authentication agent ID, self authentication is performed (S170). However, in the case of an external authentication ID, a proxy operation is performed to transmit the ID response message to the local authentication server 600 of the corresponding company. In this case, the authentication process is performed between the user terminal 100 and the local authentication server 600, the central authentication server 500 serves as a message relay (S18o to S190).

한편, 인증 수행이 완료된 후, 망 접속 제어 장치(200)는 인증 결과가 실패이면 세션을 설정하지 않고(S200∼S220), 인증 성공이면 사용자 단말기(100)에 대한 세션을 설정하고(S230), 중앙 인증 서버(500)로 어카운팅 시작 메시지를 보낸다(S240). 중앙 인증 서버(500)는 해당 사용자 ID에 대한 세션을설정하고(S250), 사용자 ID가 외부 인증 ID인 경우에는 어카운팅 시작 메시지를 해당 지역 인증 서버(600)로 전달한다(S260).On the other hand, after the authentication is completed, the network access control device 200 does not establish a session (S200 ~ S220) if the authentication result is failed (S200 ~ S220), and if the authentication is successful, establish a session for the user terminal 100 (S230), The accounting start message is sent to the central authentication server 500 (S240). The central authentication server 500 sets up a session for the corresponding user ID (S250), and if the user ID is an external authentication ID, transmits an accounting start message to the corresponding local authentication server 600 (S260).

이후 사용자가 인터넷 접속 서비스를 이용하고 망접속 종료를 위해 로그오프를 하면(S270), 망 접속 제어 장치(200)는 세션을 종료하고 어카운팅 종료 메시지를 중앙 인증 서버(500)로 전송한다(S280∼S290). 이를 수신한 중앙 인증 서버(500)는 세션 정보를 삭제하고 어카운팅 종료 메시지에 포함된 과금 정보를 저장한다(S300). 한편, 사용자 ID가 외부 인증 ID인 경우에는 중앙 인증 서버(500)가 어카운팅 종료 메시지를 해당 기업의 지역 인증 서버(600)로 전달하여, 지역 인증 서버(600)가 과금 정보를 저장하도록 한다(S310∼S320).Thereafter, when the user uses the Internet access service and logs off to terminate the network access (S270), the network access control apparatus 200 terminates the session and transmits an accounting end message to the central authentication server 500 (S280 ˜S). S290). Upon receiving this, the central authentication server 500 deletes the session information and stores the charging information included in the accounting end message (S300). On the other hand, if the user ID is an external authentication ID, the central authentication server 500 transmits the accounting end message to the local authentication server 600 of the corresponding company, so that the local authentication server 600 stores the charging information (S310). S320).

다음에는 위에 기술된 본 발명의 실시 예에 따른 인증 시스템의 동작 과정 중, 중앙 인증 서버에서 이루어지는 사용자 식별 및 그에 따른 인증 과정을 보다 구체적으로 설명한다.Next, in the operation process of the authentication system according to the embodiment of the present invention described above, a user identification made in the central authentication server and the corresponding authentication process will be described in more detail.

도 5에 본 발명의 실시 예에 따른 사용자 식별 및 인증 과정이 구체적으로 도시되어 있다.5 illustrates a user identification and authentication process according to an exemplary embodiment of the present invention.

위에 기술된 바와 같이, 사용자 단말기(100)의 망 접속 요청에 따라 망 접속 제어 장치(200)로부터 ID 응답 메시지가 전송되면, 중앙 인증 서버(500)의 사용자 식별부(540)는 ID 응답 메시지에 포함된 인증 정보로부터 사용자 ID를 추출하여 사용자 ID가 어떠한 서비스를 요청한 ID인지를 판별한다(S400∼S410).As described above, when the ID response message is transmitted from the network access control apparatus 200 according to the network connection request of the user terminal 100, the user identification unit 540 of the central authentication server 500 is attached to the ID response message. The user ID is extracted from the included authentication information to determine which service the user ID is for requesting (S400 to S410).

먼저, 사용자 ID에 기업 구분자가 포함되어 있는지를 판별하여 기업 구분자가 없는 경우에는 일반 ID로 판단한다(S420). 사용자 ID에 기업 구분자가 포함되어있으면, 기업 구분자를 토대로 기업 구분 데이터베이스(510)를 검색하여 해당 사용자 ID에 대한 인증 주체가 어디인지를 확인한다(S430). 도 3의 (a)에 도시되어 있듯이, 기업 구분 데이터베이스(510)의 기업 구분자에 대한 인증 주체 필드가 내부이면 중앙 인증 서버에서 직접 인증을 하는 것으로 판단한다. 그러나 인증 주체 필드가 외부이면 외부 인증 ID로 판단하여 상기 해당 기업 구분자를 가지는 지역 인증 서버로 사용자 인증 정보를 전송하여, 인증이 이루어지도록 한다(S440).First, it is determined whether the user ID includes the company separator, and if there is no company separator, it is determined as a general ID (S420). If the user ID includes a corporate identifier, the corporate identifier database 510 is searched based on the corporate identifier to determine where the authentication subject for the corresponding user ID is located (S430). As shown in (a) of FIG. 3, if the authentication subject field of the company identifier of the company classification database 510 is internal, it is determined that authentication is performed directly by the central authentication server. However, if the authentication subject field is external, it is determined as an external authentication ID and the user authentication information is transmitted to the local authentication server having the corresponding enterprise identifier, so that authentication is performed (S440).

단계(S430)에서 사용자 ID가 일반 ID이거나 중앙 인증 서버에서 직접 인증을 하는 내부 인증 ID인 것으로 판단되면 사용자 식별부(540)는 인증 정보를 인증 처리부(560)로 제공하며, 인증 처리부(560)는 접속 지역 판별부(550)로부터 제공되는 사용자의 접속 지역 판별 결과에 따라 상기 인증 정보에 대한 인증을 수행한다.If it is determined in step S430 that the user ID is a general ID or an internal authentication ID that is directly authenticated by the central authentication server, the user identification unit 540 provides the authentication information to the authentication processing unit 560, and the authentication processing unit 560. Performs authentication for the authentication information according to a user's access region determination result provided from the access region determination unit 550.

먼저, 접속 지역 판별부(550)는 ID 응답 메시지로부터 망 접속 제어 장치의 IP 주소를 추출하고, 추출된 IP 주소를 토대로 주소 데이터베이스(530)를 검색하여 해당 망 접속 제어 장치가 어디에 위치되는지를 판별하고, 그 판별 결과를 인증 처리부(560)로 제공한다(S450).First, the access area determination unit 550 extracts the IP address of the network access control device from the ID response message, and searches the address database 530 based on the extracted IP address to determine where the network access control device is located. The determination result is then provided to the authentication processing unit 560 (S450).

인증 처리부(560)는 사용자 식별부(540)로부터 제공되는 인증 정보에 포함된 사용자 ID를 토대로 인증 데이터베이스(520)를 검색하여 해당 ID가 일반 ID인지, 광역 ID인지 또는 협역 ID인지를 판별하고, ID 판별 결과와 접속 지역 판별부(550)로부터 제공되는 지역 판별 결과를 토대로 다음과 같이 인증을 수행한다.The authentication processing unit 560 searches the authentication database 520 based on the user ID included in the authentication information provided from the user identification unit 540 to determine whether the corresponding ID is a general ID, a wide area ID, or a narrow area ID, Authentication is performed based on the ID determination result and the region determination result provided from the access region determination unit 550 as follows.

구체적으로, 사용자 ID가 기업 구분자를 포함하지 않는 일반 ID이면, 사용자 단말기가 접속한 망 접속 제어 장치가 공중 무선랜 지역에 설치되어 있는 경우 즉,사용자가 공중 무선랜 지역에서 접속을 요청한 경우에만 사용자의 무선랜 접속을 허용한다(S460∼S470).Specifically, if the user ID is a general ID that does not include an enterprise identifier, the user can be accessed only when the network access control device connected to the user terminal is installed in the public WLAN area, that is, when the user requests access from the public WLAN area. Allows wireless LAN access (S460 to S470).

또한, 사용자 ID가 기업 구분자를 포함하는 ID이지만 특정 사설 무선랜에서만 사용 가능한 협역 ID이면, 사용자 단말기가 해당 사설 무선랜의 망 접속 제어 장치를 통하여 접속한 경우에만 무선랜 접속을 허용한다(S480).In addition, if the user ID is an ID including an enterprise identifier but is a narrow ID that can be used only in a specific private WLAN, the WLAN connection is allowed only when the user terminal accesses the network access control device of the corresponding private WLAN (S480). .

또한, 사용자 ID가 기업 구분자를 포함하는 광역 ID이면, 사용자 단말기가 해당 사설 무선랜의 망 접속 제어 장치를 통하여 접속하거나 공중 무선랜의 망 접속 제어 장치를 통하여 접속한 경우에만 무선랜 접속을 허용한다(S490).In addition, if the user ID is a wide area ID including an enterprise identifier, the wireless LAN connection is allowed only when the user terminal is connected through the network access control device of the corresponding private WLAN or through the network access control device of the public WLAN. (S490).

예를 들어, 도 3의 (c)에 도시되어 있듯이, ID가 aaa@company1인 사용자는 광역 ID 사용자이므로, 망 접속 제어 장치의 IP 주소가 200.100.100.21(접속지역이 cpmpany1, 즉 해당 기업 내부)이나 100.100.200.91 (접속지역이 핫스팟)인 곳에서 접속을 시도하면, 접속을 허용한다. 그러나, 사용자가 접속한 망 접속 제어 장치의 IP 주소가 200.100.100.61 (접속지역이 company2)인 곳에서 접속을 하면 접속을 불가한다.For example, as shown in (c) of FIG. 3, since the user whose ID is aaa @ company1 is a wide area ID user, the IP address of the network access control apparatus is 200.100.100.21 (access area is cpmpany1, that is, inside the corresponding company). If you try to connect from or 100.100.200.91 (where the hotspot is), the connection is allowed. However, if the IP address of the network access control device to which the user is connected is 200.100.100.61 (the access area is company2), the connection is impossible.

이와 같이 사용자가 접속이 허용된 지역내에서 접속을 요청한 경우에, 인증 처리부(560)는 인증 정보에 포함된 비밀 번호가 인증 데이터베이스(520)의 해당 ID에 대응되어 있는 비밀 번호와 일치하면 최종적으로 접속을 허용하고, 접속 허용 메시지를 망 접속 제어 장치(200)로 전송하여 사용자의 무선랜 접속이 이루어지도록 한다.When the user requests a connection in a region where the user is allowed to access the authentication processing unit 560, the authentication processing unit 560 finally receives a password included in the authentication information that matches the password corresponding to the corresponding ID of the authentication database 520. Allow the connection, and transmits the access permission message to the network access control device 200 so that the user's WLAN connection is made.

그러나, 사용자 ID가 일반 ID이면서 사용자가 공중 무선랜이 아닌 사설 무선랜을 통하여 접속을 요청한 경우에는 접속을 불가하고, 또한, 사용자 ID가 협역 ID이면서 사용자가 공중 무선랜이나 다른 사설 무선랜을 통하여 접속을 요청한 경우에는 접속을 불가한다. 또한, 사용자 ID가 광역 ID이면서 다른 사설 무선랜을 통하여 접속을 요청한 경우에는 접속을 불가한다. 이 경우, 인증 처리부(560)는 접속 불가 메시지를 망 접속 제어 장치(200)로 전송하여 사용자의 무선랜 접속이 차단되도록 한다.However, if the user ID is a general ID and the user requests access through a private WLAN instead of a public WLAN, access is not possible. Also, while the user ID is a narrow-band ID, the user accesses through a public WLAN or another private WLAN. If a connection is requested, the connection is not possible. In addition, if the user ID is a wide area ID and a connection request is made through another private WLAN, the connection is impossible. In this case, the authentication processing unit 560 transmits a connection disable message to the network access control device 200 so that the user's wireless LAN connection is blocked.

한편, 단계(S440)에서 중앙 인증 서버(500)로부터 인증 정보를 제공받은 지역 인증 서버(600)는 자체 데이터베이스에 저장된 정보를 토대로 사용자에 대한 인증을 수행하고 그 결과를 중앙 인증 서버(500)로 제공하며, 중앙 인증 서버(500)는 상기 결과를 망 접속 제어 장치(200)로 전달하여 사용자의 무선랜 접속이 이루어지도록 한다.Meanwhile, in step S440, the local authentication server 600 provided with the authentication information from the central authentication server 500 performs authentication on the user based on the information stored in its database and returns the result to the central authentication server 500. The central authentication server 500 transmits the result to the network access control device 200 so that the user can make a wireless LAN connection.

이와 같이, 해당 기업의 지역 인증 서버(600)가 인증을 수행하는 경우에는, 각 ID에 대한 인증 정보를 중앙 인증 서버(500)에서 관리하지 않으며, 단지 기업 구분자에 대해서만 광역 ID 개수를 등록하고, 설정 기간(예를 들어, 월별)별로 어카운팅 정보(사용내역)를 통해 실제 등록한 ID 개수만큼의 핫스팟 접속이 이루어졌는지를 조사한다. 등록한 ID 개수보다 초과하여 접속하였을 경우는 초과 내역에 대하여 추가 과금을 할 수 있다.As such, when the local authentication server 600 of the corresponding company performs authentication, the central authentication server 500 does not manage the authentication information for each ID, and registers the number of wide area IDs only for the enterprise identifier. It checks whether the number of hotspot accesses as many as the number of registered IDs is made through accounting information (use history) for each setting period (for example, monthly). If you connect more than the number of registered IDs, you can charge the excess details.

이상에서 본 발명의 바람직한 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의권리범위에 속하는 것이다.Although the preferred embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present invention defined in the following claims are also provided. It belongs to the scope of right.

이러한 본 발명의 실시 예에 따르면, 사용자들이 서로 동일한 ID를 사용하여도 공중 무선랜에서만 사용 가능한 것, 공중 무선랜과 사설 무선랜에서 사용가능한 것, 사설 무선랜에서만 사용 가능한 것의 식별이 용이하게 이루어짐으로써, 사용자들은 사설 무선랜 접속시에 사용하던 ID를 공중 무선랜 접속시에도 동일하게 사용할 수 있다.According to this embodiment of the present invention, even if the users use the same ID, it is easy to identify that can be used only in public WLAN, available in public WLAN and private WLAN, only available in private WLAN Thus, the users can use the same ID used for the private WLAN connection even for the public WLAN connection.

따라서, 사용자들은 다수의 ID를 각각 기억할 필요가 없으므로, 보다 편리하게 무선랜을 이용할 수 있다.Therefore, users do not need to memorize each of a plurality of IDs, and thus can use the WLAN more conveniently.

또한, 인증 대행 서비스를 제공함으로써 자체적으로 인증 장치를 유지하기 어려운 소규모 기업에서도 사용자 ID /패스워드 기반의 사용자 인증을 사용할 수 있다.In addition, by providing an authentication agent service, a user ID / password-based user authentication can be used even in a small company that cannot maintain its own authentication device.

Claims (11)

네트워크를 통하여 다수의 지역 인증 장치와 연결되어 있으며, 무선 통신망을 통하여 접속하는 사용자 단말기를 망 접속 제어 장치의 중계에 따라 인터넷에 접속시키는 시스템의 인증 방법에 있어서In the authentication method of the system that is connected to a plurality of local authentication devices through a network, the user terminal connected through a wireless communication network to the Internet according to the relay of the network access control device a) 상기 망 접속 제어 장치로부터, 상기 무선 통신망을 통하여 접속하는 사용자 단말기로부터 제공되는 인증 정보와 상기 망 접속 제어 장치의 식별 주소를 포함하는 인증 요청 메시지가 제공되면, 상기 인증 정보에 포함된 사용자 ID의 종류를 판별하는 단계;a) a user ID included in the authentication information when the authentication request message including the authentication information provided from the user terminal connecting through the wireless communication network and the identification address of the network access control device is provided from the network access control device; Determining the type of; b) 상기 사용자 단말기가 접속한 지역을 판별하는 단계; 및b) determining an area to which the user terminal is connected; And c) 상기 판별된 사용자 ID의 종류와 상기 사용자 단말기가 접속한 지역을 토대로 상기 사용자 단말기의 접속 요청에 대한 인증을 선택적으로 수행하는 단계c) selectively performing authentication on an access request of the user terminal based on the type of the determined user ID and the region to which the user terminal is connected; 를 포함하는 인증 방법.Authentication method comprising a. 제1항에 있어서The method of claim 1 상기 c) 단계는Step c) 상기 사용자 ID가 광역 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 공중 무선랜 서비스가 가능한 제 1 지역 및 해당 사설 무선랜의 서비스가 가능한 제2 지역에 해당하면 접속을 허용하는 단계;If the user ID is a wide area ID, allowing access if the area accessed by the user terminal corresponds to a first area in which a public WLAN service is available and a second area in which a service of the corresponding private WLAN is available; 상기 사용자 ID가 협역 ID인 경우에, 상기 사용자 단말기가 접속한 지역이제2 지역에 해당하면 접속을 허용하는 단계; 및If the user ID is a narrow area ID, allowing access if the area accessed by the user terminal corresponds to a second area; And 상기 사용자 ID가 일반 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 제1 지역에 해당하면 접속을 허용하는 단계If the user ID is a general ID, allowing access if the area accessed by the user terminal corresponds to the first area; 를 포함하는 인증 방법.Authentication method comprising a. 제2항에 있어서The method of claim 2 상기 광역 ID 및 협역 ID는 사용자 ID 및 기업 구분자를 포함하는 인증 방법.And the wide area ID and narrow area ID include a user ID and a company identifier. 제1항에 있어서The method of claim 1 상기 b) 단계는 상기 인증 정보를 전송한 망 접속 제어 장치의 IP 주소를 토대로 상기 사용자 단말기가 접속한 지역을 판별하는 인증 방법.Step b) is an authentication method for determining the area connected to the user terminal based on the IP address of the network access control device that transmitted the authentication information. 제1항에 있어서The method of claim 1 d) 상기 사용자 ID가 외부 인증 ID인 경우에는 상기 사용자 ID를 포함하는 인증 정보를 해당 지역 인증 서버로 제공하여 인증이 이루어지도록 하는 단계를 더 포함하는 인증 방법.d) if the user ID is an external authentication ID, providing authentication information including the user ID to a corresponding local authentication server to perform authentication. 제5항에 있어서The method of claim 5 상기 d) 단계는 상기 지역 인증 서버로부터 제공되는 인증 결과를 상기 망접속 제어 장치로 전달하는 프락시 기능을 수행하는 인증 방법.In step d), an authentication method of performing a proxy function of transmitting the authentication result provided from the local authentication server to the network access control device. 네트워크를 통하여 다수의 지역 인증 장치와 연결되어 있으며, 무선 통신망을 통하여 접속하는 사용자 단말기를 망 접속 제어 장치의 중계에 따라 인터넷에 접속시키는 인증 시스템에 있어서In an authentication system that is connected to a plurality of local authentication devices through a network, the user terminal connected through a wireless communication network to the Internet according to the relay of the network access control device 사설 무선랜을 설치한 각 기업에 부여되는 기업 구분자에 대응하여 인증 주체가 저장되어 있는 기업 구분 데이터베이스;A corporate classification database in which authentication subjects are stored in correspondence with a corporate identifier assigned to each company that has set up a private WLAN; 사용자 ID에 대응하여 비밀번호, 사용자 ID 종류, 접속 가능 지역이 저장되어 있는 인증 데이터베이스;An authentication database in which a password, a user ID type, and an accessible area are stored corresponding to the user ID; 망 접속 제어 장치의 IP 주소에 대응하여 망 접속 장치의 위치 정보가 저장되어 있는 주소 데이터베이스;An address database in which location information of the network access device is stored corresponding to the IP address of the network access control device; 상기 망 접속 제어 장치로부터 사용자 단말기로부터 전송된 인증 정보와 망 접속 제어 장치의 식별 주소를 포함하는 인증 요청 메시지가 제공되면, 상기 인증 정보에 포함된 사용자 ID의 종류를 판별하는 사용자 식별부;A user identification unit for determining a type of a user ID included in the authentication information when an authentication request message including authentication information transmitted from the network access control device from the user terminal and an identification address of the network access control device is provided; 상기 인증 요청 메시지에 포함된 망 접속 제어 장치의 식별 주소를 토대로 상기 주소 데이터베이스를 검색하여 상기 망 접속 제어 장치의 위치를 찾고, 이를 토대로 사용자 단말기가 접속한 지역을 판별하는 접속 지역 판별부; 및An access region determination unit searching the address database based on an identification address of the network access control apparatus included in the authentication request message to find a location of the network access control apparatus, and determining an area to which the user terminal accesses based on the address database; And 상기 판별된 사용자 ID의 종류와 상기 사용자 단말기가 접속한 지역을 토대로 상기 사용자 단말기의 접속 요청에 대한 인증을 선택적으로 수행하는 인증 처리부An authentication processing unit for selectively performing an authentication for the access request of the user terminal based on the type of the determined user ID and the region connected to the user terminal. 를 포함하는 인증 시스템.Authentication system comprising a. 제7항에 있어서The method of claim 7, 상기 사용자 식별부는 상기 사용자 ID가 외부 인증 ID인 경우에는 상기 사용자 ID를 포함하는 인증 정보를 해당 지역 인증 장치로 제공하여 인증이 이루어지도록 하고, 상기 사용자 ID가 내부 인증 ID인 경우에, 상기 인증 정보를 상기 인증 처리부로 제공하여 인증이 이루어지도록 하는 인증 시스템.When the user ID is an external authentication ID, the user identification unit provides authentication information including the user ID to a corresponding local authentication device to perform authentication. When the user ID is an internal authentication ID, the authentication information is provided. An authentication system for providing authentication to the authentication processing unit. 제7항에 있어서The method of claim 7, 상기 인증 처리부는 상기 사용자 ID가 광역 ID인 경우에, 상기 접속 지역 판별부에 의하여 판별된 상기 사용자 단말기의 접속 지역이 공중 무선랜 서비스가 가능한 제 1 지역 및 해당 사설 무선랜의 서비스가 가능한 제2 지역에 해당하면 접속을 허용하고, 상기 사용자 ID가 협역 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 제2 지역에 해당하면 접속을 허용하는 인증 시스템.When the user ID is a wide area ID, the authentication processing unit may include a first area in which the access area of the user terminal determined by the access area determination unit is capable of serving a public WLAN service and a second service in which the corresponding private WLAN is available. If the user ID is a narrow ID, and if the user ID corresponds to a second area, the authentication system allows access. 제9항에 있어서The method of claim 9 상기 인증 처리부는 상기 사용자 ID가 일반 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 제1 지역에 해당하면 접속을 허용하는 인증 시스템.And the authentication processing unit permits access when the area accessed by the user terminal corresponds to the first area when the user ID is a general ID. 제9항에 있어서The method of claim 9 상기 광역 ID 및 협역 ID는 사용자 ID 및 기업 구분자를 포함하는 인증 시스템.And the wide area ID and narrow area ID include a user ID and a company identifier.
KR1020030043661A 2003-06-30 2003-06-30 Authentication system in wireless local area network and method thereof KR100948184B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030043661A KR100948184B1 (en) 2003-06-30 2003-06-30 Authentication system in wireless local area network and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030043661A KR100948184B1 (en) 2003-06-30 2003-06-30 Authentication system in wireless local area network and method thereof

Publications (2)

Publication Number Publication Date
KR20050002290A true KR20050002290A (en) 2005-01-07
KR100948184B1 KR100948184B1 (en) 2010-03-16

Family

ID=37217827

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030043661A KR100948184B1 (en) 2003-06-30 2003-06-30 Authentication system in wireless local area network and method thereof

Country Status (1)

Country Link
KR (1) KR100948184B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100628490B1 (en) * 2003-02-17 2006-09-26 가부시끼가이샤 도시바 Wireless communication apparatus, wireless communication method, and computer-readable medium recording a wireless communication program
KR100656519B1 (en) * 2004-11-23 2006-12-11 삼성전자주식회사 System and Method for Authentication in Network

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3570310B2 (en) 1999-10-05 2004-09-29 日本電気株式会社 Authentication method and authentication device in wireless LAN system
KR100438155B1 (en) * 2001-08-21 2004-07-01 (주)지에스텔레텍 Wireless local area network sytem and method for managing the same
KR100428964B1 (en) * 2001-08-27 2004-04-29 아이피원(주) Authentication System and method using ID and password in wireless LAN
JP2003198557A (en) 2001-12-26 2003-07-11 Nec Corp Network, and wireless lan authenticating method to be used therefor

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100628490B1 (en) * 2003-02-17 2006-09-26 가부시끼가이샤 도시바 Wireless communication apparatus, wireless communication method, and computer-readable medium recording a wireless communication program
KR100656519B1 (en) * 2004-11-23 2006-12-11 삼성전자주식회사 System and Method for Authentication in Network

Also Published As

Publication number Publication date
KR100948184B1 (en) 2010-03-16

Similar Documents

Publication Publication Date Title
JP3869392B2 (en) User authentication method in public wireless LAN service system and recording medium storing program for causing computer to execute the method
US8194589B2 (en) Systems and methods for wireless network selection based on attributes stored in a network database
US8743778B2 (en) Systems and methods for obtaining network credentials
US7185360B1 (en) System for distributed network authentication and access control
US8554830B2 (en) Systems and methods for wireless network selection
JP3695538B2 (en) Network service connection method / program / recording medium / system, access point, wireless user terminal
EP1589703B1 (en) System and method for accessing a wireless network
US20050254652A1 (en) Automated network security system and method
EP2206278B1 (en) Systems and methods for wireless network selection based on attributes stored in a network database
US20060161770A1 (en) Network apparatus and program
CN101156487A (en) Proximity based authentication using tokens
KR100819678B1 (en) Authentification Method of Public Wireless LAN Service using CDMA authentification information
JP2012531822A (en) System and method for obtaining network credentials
JP2010503318A (en) System and method for gaining network access
KR100763131B1 (en) Access and Registration Method for Public Wireless LAN Service
US20030196107A1 (en) Protocol, system, and method for transferring user authentication information across multiple, independent internet protocol (IP) based networks
KR20040001329A (en) Network access method for public wireless LAN service
KR100948184B1 (en) Authentication system in wireless local area network and method thereof
AU6329900A (en) System and method for local policy enforcement for internet service providers
KR20050002292A (en) Internet connection system having connection restricting function in wireless local area network and method thereof
KR100590698B1 (en) Authentication method, system and server for prohibiting multi login with same identification
KR101049635B1 (en) Roaming Service between Public WLAN and Enterprise WLAN
CN112887982B (en) Intelligent authority management method, system, terminal and storage medium based on network
KR100921553B1 (en) wireless internet connection system for restricting connection area and method thereof

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130304

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140303

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150302

Year of fee payment: 6