KR100350316B1 - 에이에이에이 서버에 과부하 방지를 위한 접근요청 메시지처리 방법 - Google Patents

에이에이에이 서버에 과부하 방지를 위한 접근요청 메시지처리 방법 Download PDF

Info

Publication number
KR100350316B1
KR100350316B1 KR1020000050068A KR20000050068A KR100350316B1 KR 100350316 B1 KR100350316 B1 KR 100350316B1 KR 1020000050068 A KR1020000050068 A KR 1020000050068A KR 20000050068 A KR20000050068 A KR 20000050068A KR 100350316 B1 KR100350316 B1 KR 100350316B1
Authority
KR
South Korea
Prior art keywords
message
authentication
access request
aaa server
request message
Prior art date
Application number
KR1020000050068A
Other languages
English (en)
Other versions
KR20020017014A (ko
Inventor
박성균
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR1020000050068A priority Critical patent/KR100350316B1/ko
Priority to US09/934,477 priority patent/US7234057B2/en
Priority to CNB011309628A priority patent/CN100512201C/zh
Publication of KR20020017014A publication Critical patent/KR20020017014A/ko
Application granted granted Critical
Publication of KR100350316B1 publication Critical patent/KR100350316B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 해커들이 전송하는 일시적인 수많은 접근요청 메시지로 인한 AAA서버의 과부하를 방지하도록 접근요청 메시지에 대해 메시지의 속성을 분석하지 않고 메시지 자체로 처리하는 AAA서버에 과부하를 방지하기 위한 접근요청 메시지 처리 방법에 관한 것이다.
종래에는 해커가 다량의 접근요청 메시지를 AAA서버로 전송하면, 해당 AAA서버는 거짓의 접근요청 메시지에 대해서도 메시지 자체가 아니라 메시지 내부의 속성부까지 검증하여야 메시지를 판별 할 수 있고, 판별을 수행하는 데는 데이터베이스의 조회, 기타 자원의 할당 등 여러 처리 과정이 필요하여 AAA서버 시스템에 과부하가 걸리는 문제점이 있다.
따라서, 본 발명은 패킷 데이터 네트웍에서 해커들이 대량으로 전송하는 악의 적인 접근요청 메시지를 내부의 속성까지 분석하지 않고 메시지 자체만을 검증하여 잘못된 메시지를 처리하므로, AAA서버에 과부하가 발생하여 다운되는 현상을 방지하며, AAA서버 시스템의 자원과 시간 부하 등을 최대한 줄여 성능을 향상 시키고 자원을 절약하여 비용을 감소시키는 효과가 있다.

Description

에이에이에이 서버에 과부하 방지를 위한 접근요청 메시지 처리 방법{Access-request messgae handling method for over load prevention at AAA server}
본 발명은 AAA 서버에 관한 것으로, 특히 해커들이 전송하는 일시적인 수많은 접근요청 메시지로 인한 AAA서버의 과부하를 방지하도록 접근요청 메시지에 대해 메시지의 속성을 분석하지 않고 메시지 자체로 처리하는 AAA서버에 과부하를 방지하기 위한 접근요청 메시지 처리 방법에 관한 것이다.
일반적으로, AAA(Authentication, Authorization and Accounting)서버와 FA(Foreign Agent) 사이에 데이터의 송수신은 RADIUS(Remote Authentication Dial-In User Service) 프로토콜을 주로 사용한다. RADIUS는 원격접속 서버가 다이얼업(Dial-Up) 모뎀을 통하여 접속해온 사용자들을 인증하고, 요청된 시스템이나 서비스에 관해 접속자에게 접근권한(Authorization)을 부여하기 위한 중앙의 서버와 통신할 수 있게 해주는 클라이언트/서버 프로토콜이다. RADIUS 프로토콜은 중앙 데이터베이스 내에 사용자 정보를 유지하고, 모든 원격지 서버가 공유할 수 있게 한다. RADIUS 프로토콜에는 인증(Authentication), 권한부여(Authorization), 계정(Accounting) 메시지가 있다. 인증 메시지는 개별 또는 인터넷을 포함한 공공 네트웍에서의 로그온 시에 암호의 사용을 통하여 판단하며, 권한부여 메시지는 다중 사용자 컴퓨터 시스템에서 어떤 사용자가 해당 시스템을 액세스할 수 있는지, 파일의 접근 범위, 허용된 접근 시간, 할당된 저장 공간의 크기 등의 사용권한을 정의 하는 것이다. 계정 메시지는 사용자가 패킷 서비스를 개시했음과 얼마만큼의 패킷 서비스를 받았는지와, 패킷 서비스가 종료되었음을 알리기 위한 목적으로 사용한다.
종래에 무선단말기로 무선 패킷 데이터 서비스를 위하여 인터넷에 접속하는경우 패킷 데이터의 송수신을 담당하는 FA(Foreign Agent)와 AAA 서버 사이에는 RADIUS 프로토콜에 기반하여 메시지를 송수신한다. 인증, 권한부여, 계정 메시지에는 접근요청(Access-Request), 접근허가(Access-Accept), 접근신청(Access-Challenge), 계정과금요청(Account-Request), 계정과금허가(Account-Response) 등의 메시지가 있다. 인증, 권한부여, 계정메시지들은 검증을 수행하기 위한 인증부를 보유하며, 접근요청 메시지의 경우 인증값(Authenticator)은 패킷 데이터 송수신을 담당하는 FA에서 임의로 발생시킨 것이다. 인증값은 중복이 되지 않으며, 바로 전에 사용했던 인증값을 다시 사용하지 않는다. 임의의 값으로 인증값을 사용하는 것은 해커가 메시지를 가로채서 악의적인 행동을 방지하기 위한 것이다. 인증값이 메시지에 관계없이 일정하다면 해커는 공유 비밀키를 모르더라도 해당 공유 비밀키를 기반으로 만들어진 메시지 내의 인증값을 이용하여 AAA서버로부터 정상적인 접근허가를 얻을 수 있다. 따라서 인증값을 메시지의 송수신시 매 번 변화시켜 해커로부터의 공격을 방어하는 것이다. 그리고, 접근요청 메시지 이외의 메시지의 인증값은 메시지 자체에 대한 알고리즘 수행 결과가 들어간다.
한편, 접근요청 메시지에는 인증값을 사용하여 사용자 비밀키를 암호화하여 AAA서버로 전송하며, 해당 AAA서버는 인증값을 사용하여 암호화된 사용자 비밀키를 해독하는 역할을 수행한다. 이런 이유로 인증값은 FA에서 사용자 비밀키를 암호화하기 이전에 생성된다. 따라서 접근요청 메시지는 주데이터의 속성부(Attribute)의 분석을 거쳐야 검증할 수 있다. 검증을 수행하는 데는 데이터베이스의 조회, 기타자원의 할당 등 여러 처리 과정이 필요하여 AAA 서버 시스템에 과부하가 걸리는 문제점이 발생하며, 반면에 접근허가, 접근신청, 계정과금요청, 계정과금허가 메시지는 사용자 비밀키 부분이 없어서 인증값은 메시지 자체에 대한 검증을 하기 위해서만 사용된다. 만들어진 메시지 자체와 AAA 서버와 FA사이에 공유한 비밀키를 입력으로 MD5 알고리즘을 실행하여 인증값이 얻어진다. 접근허용, 접근선택, 계정과금요청, 계정과금허가 메시지들은 인증값이 메시지 자체의 검증에 대해서 사용되므로, AAA 서버에서는 메시지를 수신하면 해당 메시지의 주데이터 속성인 내부 어트리뷰트에 대한 분석없이 MD5 알고리즘을 실행하여 메시지 자체를 검증하여 수용 또는 폐기할 수 있다.
도1을 참조하여 접근요청 메시지의 구성을 설명하면 다음과 같다. FA는 전체 패킷 데이터의 송수신을 담당하며, AAA 서버는 인증, 권한부여와 계정에 대한 과금 등의 기능을 수행한다. FA와 AAA 서버사이에는 RADIUS 프로토콜을 사용한다. RADIUS 프로토콜에서 메시지 송수신시에 데이터의 패킷 자체에 인증을 위하여 인증값을 사용하며 인증값은 예측할 수 없는 값으로 하여야 하며, 매 번 바뀌어야 하는 규정이 있다. 한편, 사용자가 무선 단말기로 무선 패킷 데이터 서비스를 요청하면 FA는 등록된 무선 단말기가 정상인지 여부를 확인하기 위한 절차로 접근요청 메시지를 사용하여 무선단말기에 대한 인증을 수행하고, 해당 AAA 서버는 RADIUS 프로토콜을 사용하여 무선단말기에 대한 인증을 수행한다. 한편, 패킷데이터 서비스를 설정에는 고정IP와 모바일IP 방식이 있으며, 고정IP의 인증에는 PAP(Password Authentication Protocol)방식과 CHAP(Challenge Handshake AuthenticationProtocol) 방식이 있고, 패킷 데이터가 정상인지 여부를 인증값을 이용하여 검증을 수행한다. PAP방식은 PPP(Point to Point Protocol) 서버에 의해 사용되는 절차로 먼저 접속이 이루어 지면 사용자가 ID와 사용자 비밀키를 FA로 전송하고, FA가 ID와 사용자 비밀키를 확인하기 위해 사용자 비밀키를 암호화하여 AAA 서버로 접근요청 메시지를 보내어 그 결과에 따라 승인하거나 접속을 끊는 방식으로 사용자 비밀키는 FA까지는 보안절차 없이 전송되며, FA와 AAA 서버 사이에는 암호화되어 전송된다. 그리고, 사용자는 액세스 승인을 얻기 위해 반복적인 시도를 할 수 있다. CHAP 인증방식은 PAP보다 시스템에 안전하게 접속하기 위한 절차로 접속이 이루어 지면 서버가 사용자에게 확인 메시지를 전송하고 사용자가 단방향 해시함수를 이용하여 서버로 전송하며 서버는 해시값을 계산한 결과와 사용자가 응답한 값을 비교, 확인하여 두 값이 일치하면 인증이 승인되며, 그렇지 않으면 접속은 종료된다. CHAP 인증방식은 식별자들이 자주 변화하고 서버가 사용자에게 언제나 인증을 요청할 수 있기 때문에 PAP 인증 방식보다 더 안전하다. 모바일 IP 인증방식은 고정 IP의 CHAP 인증방식과 같은 방식으로 인증된다. 또한, 인증과정을 마치면 AAA 서버는 무선단말기에 대한 접근허가 메시지를 FA로 송신하면 무선 패킷 데이터 서비스를 위한 설정은 끝나게 되어, 무선단말기와 FA사이에 패킷 데이터 송수신을 할 수 있게 되며, 해당 패킷 데이터 송수신이 시작되는 시점에 FA에서 과금을 위한 계정과금요청 메시지를 AAA서버로 전송한다. AAA 서버는 계정과금요청 메시지를 인증값을 근거로 검증하여 확인되면 계정과금허가 메시지를 FA로 전송하여 과금이 진행된다.
도2는 FA와 AAA 서버사이에 데이터 송수신에 쓰이는 RADIUS 프로토콜의 구조이며 설명하면 다음과 같다. 코드(code)는 1 바이트로 메시지의 종류를 나타내며 식별자(Identifier)는 1byte로 여러 메시지를 구분하는 구분자이다. 길이(Length)는 전체 RADIUS 프로토콜 메시지의 길이부로 코드, 식별자, 길이 필드를 포함한 길이이다. 또한, 인증에 사용되는 인증값 16바이트가 있고 나머지 주 데이터의 속성을 나타내는 속성부가 RADIUS 프로토콜 메시지를 구성한다. FA와 AAA 서버 사이에 데이터 송수신에 사용되는 RADIUS 프로토콜의 메시지중에서 접근요청 메시지 이외의 모든 메시지들은 메시지 자체에 대한 검증을 수행하기 위해 인증값을 사용한다. 그래서 메시지 내부의 속성에 대한 분석없이 정상적인 메시지 여부를 판단할 수 있다. 그러나 접근요청 메시지는 해당 접근요청 메시지 내부의 주 데이터 속성에 대한 분석이 없이는 정상적인 메시지 여부를 구분할 수 없다. 이유는 메시지를 분석 없이 검증하기 위해서는 인증값을 메시지 자체를 기초로 하여 만들어져야 하는데 접근요청 메시지는 인증값을 이용하여 패킷 내부의 사용자 비밀키를 암호화하기 위해서 사용되기 때문에 나중에 만들어질 수 없기 때문이다. 나중에 만들어져야 AAA서버에서 메시지 자체와 공유 비밀키를 입력으로 MD5 알고리즘(암호화)을 수행해서 나온 값과 인증값과 비교할 수 있기 때문이다.
따라서, 종래의 RADIUS 프로토콜에서 사용하는 접근요청 메시지 처리 방식은 악의적인 해커가 다량의 거짓 접근요청 메시지를 AAA 서버로 보내게 된다면 AAA서버는 거짓 메시지에 대해서도 일일이 메시지 내부의 속성들을 분석하여 정상 메시지여부를 판별해야 하고, 판별의 수행을 위해 데이터베이스의 조회 및 자원 할당 등 여러가지 처리 과정이 들어가므로 AAA서버 시스템에 부하가 올라가는 과부화 현상을 초래하는 문제점이 있다.
본 발명은 상술한 바와 같은 문제점을 해결하기 위한 것으로 그 목적은, 악의적인 해커에 의해 다량의 접근요청 메시지가 일시적으로 AAA서버로 전송되어도 AAA서버는 거짓의 접근요청 메시지에 대해서 메시지 자체만 검증하여 거짓의 접근요청 메시지를 적은 시간과 자원으로 판별 할 수 있도록 하여 AAA서버 시스템에 과부하를 방지하여 성능을 향상 시키고 자원을 절약하여 비용을 감소시키도록 하는데 있다.
도1은 종래의 FA와 AAA서버 사이에 메시지 흐름도.
도2는 종래의 RADIUS 프로토콜의 구성도.
도3은 본 발명에 따른 접근요청 메시지의 구성도.
* 도면의 주요 부분에 대한 부호의 설명 *
10 : FA(Foreign Agent), 12 : 접근요청(Access-Request),
11 : AAA(Authentication Authorization and Accounting),
13 : 접근허가(Access-Acept), 14 : 계정과금요청(Account-Request),
15 : 계정과금허가(Account-Response), 20, 30, 37 : 코드(Code),
21, 31, 38 : 식별자(Identifier), 22, 32, 39 : 길이(Length),
23 : 인증부(Authenticator), 24, 34~36, 41~43 : 속성부(Attribute),
상술한 바와 같은 목적을 달성하기 위한 본 발명의 특징은, FA(Foreign Agent)에서 인증부와 속성부를 포함하는 접근요청 메시지에서 임의의 인증값을 상기 속성부로 입력하는 과정과; 상기 속성부에 입력된 인증값으로 사용자 비밀키를 암호화하는 과정과; 상기 임의의 값으로 채운 인증부와 상기 속성부를 입력값으로 암호화 알고리즘을 실행하여 생성되는 메시지 다이제스트를 다시 인증부로 입력하는 과정과; 상기 인증부와 상기 속성부를 합친 접근요청 메시지를 AAA(Authentication Authorization and Accounting)서버로 전송하는 과정과; 상기 AAA서버에서 상기 접근요청 메시지를 검증하는 과정을 포함하는 에이에이에이 서버에 과부하 방지를 위한 접근요청 메시지 처리 방법을 제공하는데 있다.
그리고, 상기 AAA서버에서 접근요청 메시지를 검증하는 과정은, 상기 접근요청 메시지의 인증부에 저장되어 있는 상기 메시지 다이제스트를 별도로 저장하는 단계와; 상기 인증부에 임의의 값을 채운후, 해당 인증부와 속성부의 값을 입력으로 암호화 알고리즘을 실행하여 출력인 인증값을 구하는 단계와; 상기 인증값과 상기 저장한 메시지 다이제스트를 비교하여 일치하면 정상사용자로 판단하는 단계를 포함하는 것을 특징으로 한다.
이때, 상기 접근요청 메시지는, 메시지 내부를 분석하지 않고 상기 인증값만으로 검증하는 것을 특징으로 한다.
이하, 본 발명에 따른 실시예를 첨부한 도면을 참조하여 상세하게 설명하면 다음과 같다. FA와 AAA서버 사이에 사용하는 RADIUS 프로토콜의 규칙에는 접근요청 메시지에 대한 인증값은 똑같은 내용의 속성을 가진 메시지라도 매 번 바뀌어야 하며, 같은 사용자 비밀키의 암호화에도 매 번 다른 결과가 나와야 한다. 즉, 인증값은 중복이 되지 않으며, 바로 전에 사용했던 인증값을 다시 사용하지 않는다. 임의의 값으로 인증값을 사용하는 것은 해커가 메시지를 가로채서 악의적인 행동을 방지하기 위한 것이다.
도3은 본 발명에 따른 접근요청 메시지를 구성하는 과정을 도시한 도면으로, 이를 상세하게 설명하면 다음과 같다. 코드(code)(30, 37)는 1 바이트로 메시지의 종류를 나타내며 식별자(Identifier)(31, 38)는 1byte로 여러 메시지를 구분하는 구분자이다. 길이(Length)(32, 39)는 전체 RADIUS 프로토콜 메시지의 길이부로 코드, 식별자, 길이 필드를 포함한 길이이다. 또한, 인증에 사용되는 인증값 16바이트가 있고 나머지 주 데이터의 속성을 나타내는 속성부가 RADIUS 프로토콜 메시지를 구성한다.
종래에는 접근요청 메시지 이외의 모든 메시지들은 메시지 자체에 대한 검증을 수행하기 위해 인증값을 사용한다. 그래서 메시지 내부의 속성에 대한 분석없이 정상적인 메시지 여부를 판단할 수 있다. 그러나 접근요청 메시지는 내부의 주 데이터 속성에 대한 분석이 없이는 정상적인 메시지 여부를 구분할 수 없어서 해커가 보내는 악의적인 접근요청 메시지를 처리하기 위해 AAA서버는 해당 접근요청 메시지의 주데이터의 속성을 분석하는데 과부하가 걸리는 문제점이 있었다.
한편, 본 발명에 따른 새로운 접근요청 메시지 처리 방법은 다음과 같다. FA에서 접근요청 메시지를 만드는 것은 PAP 인증방식의 경우, 먼저 임의의 인증값을 사용하지만 해당 인증값을 인증부(33)로 넣지않고 PASSWD_AUTH 속성부(35~36)의 값으로 입력한다. 해당 속성부(35~36)의 PASSWD_AUTH에 저장된 인증값으로 사용자 비밀키의 암호화를 수행하고, 접근요청 메시지의 형태(type), 길이(length), 값(value)등으로 속성부들도 만든다. 코드(30)에는 접근요청 메시지를 의미하는 1을 할당하고, 식별자(31)를 할당하며, 길이(32)를 넣는다. 인증부(33)에는 모두 0으로 채운 후 FA와 AAA 서버 사이에 공유 비밀키를 입력하여 MD5 알고리즘(암호화)을 실행한다. MD5 알고리즘을 실행한 결과 값인 16byte의 메시지 다이제스트(Message Digest) 즉, 인증값을 새로운 접근요청 메시지의 인증부(40)에 입력하고, 속성부(41~43)를 포함한 접근요청 메시지를 AAA서버로 송신한다. AAA 서버는 수신한 접근요청 메시지에서 인증부(40)의 인증값은 별도로 저장하고, 검증을 위해서 인증부(40)에 모두 0을 채운 후 FA와 AAA 사이에 공유하는 공유 비밀키를 입력으로 하여 MD5 알고리즘을 실행하면 16바이트의 메시지 다이제스트 값인 인증값이 출력된다. 검증으로 수신하여 별도로 저장한 인증값과 비교하여 같으면 정상적인 메시지로 판단하고 다르면 비정상적인 메시지로 판단한다. 따라서 거짓의 접근요청 메시지에 대해 메시지 내부의 속성부까지 검증하는데 필요한 데이터 베이스의 조회, 기타 자원의 할당 등의 여러 처리 과정이 줄어들게 된다.
한편, CHAP 인증 방식을 사용하는 경우에는 임의의 인증값을 인증부(33)로 넣지않고 CHAP_CHALLENGE라는 속성부(34~36)의 값으로 넣는다. 해당 속성부(34~36)의 CHAP_CHALLENGE에 저장된 인증값으로 사용자 비밀키의 암호화를 수행하고, 접근요청 메시지의 속성들도 만들어 코드(30)에는 접근요청 메시지를 의미하는 1을 할당하고, 식별자(31)를 할당하며, 길이(32)를 넣는다. 인증부(33)에는 모두 0으로 채운 후 FA와 AAA 서버 사이에 공유 비밀키를 입력하여 MD5 알고리즘을 실행한다. MD5 알고리즘을 실행한 결과 값인 16byte의 메시지 다이제스트 즉, 인증값 새로운 접근요청 메시지의 인증부(40)에 입력하고, 속성부(41~43)를 포함한 접근요청 메시지를 AAA서버로 송신한다. AAA 서버는 수신한 접근요청 메시지에서 인증부(40)의 인증값은 별도로 저장하고, 검증을 위해서 인증부(40)에 모두 0을 채운 후 FA와 AAA 사이에 공유하는 공유 비밀키와 메시지를 입력으로 하여 MD5 알고리즘을 실행하면 16바이트의 메시지 다이제스트 값인 인증값이 출력된다. 수신하여 별도로 저장한 인증값과 비교하여 같으면 정상적인 메시지로 판단하고 다르면 비정상적인 메시지로 판단한다. 또한, 모바일 IP 인증은 고정 IP의 CHAP 인증과 동일한 방식으로 인증된다.
상술한 바와 같이 다량의 접근요청 메시지에 대해 메시지 내부의 속성부까지 검증할 필요가 없어져서 데이터 베이스의 조회, 기타 자원의 할당 등의 여러 처리 과정이 줄어들게 되며, 고정 IP방식에서의 인증방식인 PAP와 CHAP에 적용할 수 있으며 모바일 IP방식에도 모두 적용하여 사용할 수 있다.
또한, 본 발명에 따른 실시예는 상술한 것으로 한정하지 않고, 본 발명과 관련하여 통상의 지식을 가진 자라면 자명한 범위 내에서 본 발명을 여러 가지로 수정 및 변경하여 실시할 수 있을 것이며, 이와같은 수정 및 변경은 본 발명의 기술적 범주에 해당함을 밝혀둔다.
이상과 같이, 본 발명은 패킷데이터 네트웍에서 해커들이 다량으로 전송하는 일시적인 접근요청 메시지를 내부의 속성까지 분석하지 않고 메시지 자체를 검증하여 잘못된 메시지를 처리하므로, AAA 서버에 과부하가 발생하여 다운되는 현상을 방지하며, AAA 서버시스템의 자원과 시간 부하 등을 최대한 줄여 성능을 향상 시키고 자원을 절약하는 효과가 있다.

Claims (3)

  1. FA(Foreign Agent)에서 인증부와 속성부를 포함하는 접근요청 메시지에서 임의의 인증값을 상기 속성부로 입력하는 과정과;
    상기 속성부에 입력된 인증값으로 사용자 비밀키를 암호화하는 과정과;
    상기 임의의 값으로 채운 인증부와 상기 속성부를 입력값으로 암호화 알고리즘을 실행하여 생성되는 메시지 다이제스트를 다시 인증부로 입력하는 과정과;
    상기 인증부와 상기 속성부를 합친 접근요청 메시지를 AAA(Authentication Authorization and Accounting)서버로 전송하는 과정과;
    상기 AAA서버에서 상기 접근요청 메시지를 검증하는 과정을 포함하는 것을 특징으로 하는 에이에이에이 서버에 과부하 방지를 위한 접근요청 메시지 처리 방법.
  2. 제1항에 있어서,
    상기 AAA서버에서 접근요청 메시지를 검증하는 과정은, 상기 접근요청 메시지의 인증부에 저장되어 있는 상기 메시지 다이제스트를 별도로 저장하는 단계와;
    상기 인증부에 임의의 값을 채운후, 해당 인증부와 속성부의 값을 입력으로 암호화 알고리즘을 실행하여 출력인 인증값을 구하는 단계와;
    상기 인증값과 상기 저장한 메시지 다이제스트를 비교하여 일치하면 정상사용자로 판단하는 단계를 포함하는 것을 특징으로 하는 에이에이에이 서버에 과부하 방지를 위한 접근요청 메시지 처리 방법.
  3. 제1항 또는 2항에 있어서,
    상기 접근요청 메시지는, 메시지 내부를 분석하지 않고 상기 인증값만으로 검증하는 것을 특징으로 하는 에이에이에이 서버에 과부하 방지를 위한 접근요청 메시지 처리 방법.
KR1020000050068A 2000-08-28 2000-08-28 에이에이에이 서버에 과부하 방지를 위한 접근요청 메시지처리 방법 KR100350316B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020000050068A KR100350316B1 (ko) 2000-08-28 2000-08-28 에이에이에이 서버에 과부하 방지를 위한 접근요청 메시지처리 방법
US09/934,477 US7234057B2 (en) 2000-08-28 2001-08-23 Method for processing access-request message for packet service
CNB011309628A CN100512201C (zh) 2000-08-28 2001-08-28 用于处理分组业务的接入-请求消息的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020000050068A KR100350316B1 (ko) 2000-08-28 2000-08-28 에이에이에이 서버에 과부하 방지를 위한 접근요청 메시지처리 방법

Publications (2)

Publication Number Publication Date
KR20020017014A KR20020017014A (ko) 2002-03-07
KR100350316B1 true KR100350316B1 (ko) 2002-08-28

Family

ID=19685568

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020000050068A KR100350316B1 (ko) 2000-08-28 2000-08-28 에이에이에이 서버에 과부하 방지를 위한 접근요청 메시지처리 방법

Country Status (3)

Country Link
US (1) US7234057B2 (ko)
KR (1) KR100350316B1 (ko)
CN (1) CN100512201C (ko)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7411981B1 (en) 2000-08-31 2008-08-12 Cisco Technology, Inc. Matching of radius request and response packets during high traffic volume
US6771665B1 (en) * 2000-08-31 2004-08-03 Cisco Technology, Inc. Matching of RADIUS request and response packets during high traffic volume
US7237257B1 (en) * 2001-04-11 2007-06-26 Aol Llc Leveraging a persistent connection to access a secured service
US6897790B2 (en) * 2001-09-11 2005-05-24 Kevin Orton Aircraft flight security system and method
US7502929B1 (en) * 2001-10-16 2009-03-10 Cisco Technology, Inc. Method and apparatus for assigning network addresses based on connection authentication
KR100429800B1 (ko) * 2001-12-01 2004-05-03 삼성전자주식회사 데이타 인터페이싱 방법 및 장치
US7469294B1 (en) * 2002-01-15 2008-12-23 Cisco Technology, Inc. Method and system for providing authorization, authentication, and accounting for a virtual private network
WO2003081875A1 (de) * 2002-03-27 2003-10-02 Siemens Aktiengesellschaft Aaa serversystem zur effizienten zugangskontrolle und adresszuordnung
KR100442610B1 (ko) * 2002-04-22 2004-08-02 삼성전자주식회사 라디우스 프로토콜의 플로우 제어방법
US7143435B1 (en) 2002-07-31 2006-11-28 Cisco Technology, Inc. Method and apparatus for registering auto-configured network addresses based on connection authentication
US20040047308A1 (en) * 2002-08-16 2004-03-11 Alan Kavanagh Secure signature in GPRS tunnelling protocol (GTP)
US7827409B2 (en) * 2003-10-07 2010-11-02 Koolspan, Inc. Remote secure authorization
US7992193B2 (en) * 2005-03-17 2011-08-02 Cisco Technology, Inc. Method and apparatus to secure AAA protocol messages
US20060259759A1 (en) * 2005-05-16 2006-11-16 Fabio Maino Method and apparatus for securely extending a protected network through secure intermediation of AAA information
JP4436294B2 (ja) * 2005-08-26 2010-03-24 株式会社トリニティーセキュリティーシステムズ 認証処理方法、認証処理プログラム、記録媒体および認証処理装置
US7721091B2 (en) * 2006-05-12 2010-05-18 International Business Machines Corporation Method for protecting against denial of service attacks using trust, quality of service, personalization, and hide port messages
CN100579063C (zh) * 2006-05-29 2010-01-06 华为技术有限公司 多业务接入网的控制系统及控制方法
CN1929482B (zh) * 2006-09-20 2010-08-04 华为技术有限公司 一种网络业务认证方法及装置
JP2011008701A (ja) * 2009-06-29 2011-01-13 Sony Corp 情報処理サーバ、情報処理装置、および情報処理方法
WO2012037172A1 (en) * 2010-09-13 2012-03-22 Computer Associates Think, Inc. Methods, apparatus and systems for securing user-associated passwords used for identity authentication
WO2014069783A1 (ko) * 2012-10-31 2014-05-08 삼성에스디에스 주식회사 패스워드 기반 인증 방법 및 이를 수행하기 위한 장치
US9460302B2 (en) * 2014-01-21 2016-10-04 Cofactor Computing Llc Method and system for shielding data in transit and data in memory
US9336363B2 (en) 2014-01-21 2016-05-10 Cofactor Computing Llc Method and system for secure deployment of information technology (IT) solutions in untrusted environments
US9602493B2 (en) * 2015-05-19 2017-03-21 Cisco Technology, Inc. Implicit challenge authentication process
US9935948B2 (en) * 2015-09-18 2018-04-03 Case Wallet, Inc. Biometric data hashing, verification and security
US10467387B2 (en) * 2016-06-23 2019-11-05 Oath Inc. Computerized system and method for modifying a media file by automatically applying security features to select portions of media file content

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088799A (en) * 1997-12-11 2000-07-11 International Business Machines Corporation Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same
US6081508A (en) * 1998-02-25 2000-06-27 Indus River Networks, Inc. Remote computer communication
US6282193B1 (en) * 1998-08-21 2001-08-28 Sonus Networks Apparatus and method for a remote access server

Also Published As

Publication number Publication date
CN1340940A (zh) 2002-03-20
US7234057B2 (en) 2007-06-19
US20020026573A1 (en) 2002-02-28
KR20020017014A (ko) 2002-03-07
CN100512201C (zh) 2009-07-08

Similar Documents

Publication Publication Date Title
KR100350316B1 (ko) 에이에이에이 서버에 과부하 방지를 위한 접근요청 메시지처리 방법
Li et al. Group-based authentication and key agreement with dynamic policy updating for MTC in LTE-A networks
KR101047641B1 (ko) 보안 장치용 보안 및 프라이버시 강화
EP1486025B1 (en) System and method for providing key management protocol with client verification of authorization
US6502192B1 (en) Security between client and server in a computer network
EP1551149B9 (en) Universal secure messaging for remote security tokens
US7010600B1 (en) Method and apparatus for managing network resources for externally authenticated users
JP3863852B2 (ja) 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体
US6732270B1 (en) Method to authenticate a network access server to an authentication server
KR101753859B1 (ko) 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법
WO2012037897A1 (zh) 绑定、运行安全数码卡的方法、系统及设备
CN111918284B (zh) 一种基于安全通信模组的安全通信方法及系统
RU2713604C1 (ru) Регистрация и аутентификация пользователей без паролей
WO2006024216A1 (fr) Procede pour mettre en oeuvre la certification et systemes correspondants
WO2005088892A1 (en) A method of virtual challenge response authentication
KR101273285B1 (ko) 인증 에이전트 장치, 온라인 서비스 인증 방법 및 시스템
CN110035035B (zh) 一种单点登录的二次认证方法及系统
KR20090054774A (ko) 분산 네트워크 환경에서의 통합 보안 관리 방법
CN115865520B (zh) 移动云服务环境中具有隐私保护的认证和访问控制方法
CN114666114B (zh) 一种基于生物特征的移动云数据安全认证方法
CN110881026B (zh) 一种用于对信息采集终端用户进行身份认证的方法及系统
KR100423153B1 (ko) 통신 망에서의 단말기 인증 방법
Jeong et al. Integrated OTP-based user authentication and access control scheme in home networks
KR100744603B1 (ko) 생체 데이터를 이용한 패킷 레벨 사용자 인증 방법
Cam-Winget et al. Dynamic Provisioning Using Flexible Authentication via Secure Tunneling Extensible Authentication Protocol (EAP-FAST)

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130716

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20140715

Year of fee payment: 13

LAPS Lapse due to unpaid annual fee