KR100423153B1 - Method for terminal authentication in network - Google Patents
Method for terminal authentication in network Download PDFInfo
- Publication number
- KR100423153B1 KR100423153B1 KR10-2000-0073388A KR20000073388A KR100423153B1 KR 100423153 B1 KR100423153 B1 KR 100423153B1 KR 20000073388 A KR20000073388 A KR 20000073388A KR 100423153 B1 KR100423153 B1 KR 100423153B1
- Authority
- KR
- South Korea
- Prior art keywords
- chap
- value
- wireless terminal
- aaa server
- authentication
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Abstract
본 발명은 패킷 데이터 서비스 개시 요청에 따라 FA에서 AAA 서버로 전송되는 접근 요청 메시지에 포함되는 CHAP 비밀 번호를 암호화함으로써, AAA 서버가 해킹되는 것을 방지할 수 있도록 하는 통신 망에서의 단말기 인증 방법에 관한 것이다.The present invention relates to a terminal authentication method in a communication network to prevent the AAA server from being hacked by encrypting the CHAP password included in the access request message transmitted from the FA to the AAA server according to the packet data service initiation request. will be.
종래에는 무선 단말기와 AAA 서버 만이 공유하는 비밀 번호와 임의의 챌린지 값 등을 암호화한 값을 인증하도록 되어 있는 데, 무선 단말기와 AAA 서버 사이에 공유하고 있는 공유 비밀 번호를 FA에서는 가지고 있지 않기 때문에, 무선 단말기와 FA 사이의 메시지를 크래커가 해킹하면, 공유 비밀 번호를 알지 못하더라도 FA에서 AAA 서버로 보내는 접근 요청 메시지를 정상적으로 만들 수 있게 되어 AAA 서버가 해킹되는 문제점이 있다.Conventionally, only the wireless terminal and the AAA server are authenticated by encrypting a password and an arbitrary challenge value. The FA does not have a shared password shared between the wireless terminal and the AAA server. If the cracker hacks a message between the wireless terminal and the FA, the AAA server is hacked because the access request message sent from the FA to the AAA server can be normally created even if the cracker does not know the shared password.
본 발명은, 무선 단말기의 패킷 데이터 서비스 개시 요청에 따라 FA에서 AAA 서버로 전송하는 접근 요청 메시지에 포함되는 CHAP 비밀 번호를 FA와 AAA 사이에 공유하고 있는 NAS 비밀키와 임의로 생성한 요청 인증 값으로 암호화하여 전송함으로써, AAA 서버가 해킹되는 것을 방지할 수 있게 된다.The present invention provides a CHAP password included in an access request message transmitted from a FA to an AAA server according to a packet data service initiation request of a wireless terminal, with a NAS secret key shared between the FA and AAA and a request authentication value arbitrarily generated. By encrypting and transmitting, it is possible to prevent the AAA server from being hacked.
Description
본 발명은 통신 망에서의 단말기 인증 방법에 관한 것으로서, 특히 패킷 데이터 서비스 개시 요청에 따라 FA에서 AAA 서버로 전송되는 접근 요청 메시지에 포함되는 CHAP 비밀 번호를 FA와 AAA 사이에 공유하고 있는 NAS 비밀키로 암호화함으로써, AAA 서버가 해킹되는 것을 방지할 수 있도록 하는 통신 망에서의 단말기 인증 방법에 관한 것이다.The present invention relates to a terminal authentication method in a communication network, and more particularly, to a NAS secret key sharing a CHAP password included in an access request message transmitted from a FA to an AAA server according to a packet data service initiation request. By encrypting, it relates to a terminal authentication method in a communication network to prevent the AAA server from being hacked.
일반적으로 AAA(Authentication, Authorization and Accounting) 서버는 RADIUS(Remote Authentication Dial In User Service) 프로토콜을 사용하여 FA(Foreign Agent)에 등록된 무선 단말기에 대한 인증을 수행하는 것으로, 사용자가 무선 단말기로 패킷 데이터 서비스 개시를 요청하면 FA는 등록된 무선 단말기가 정상인지 여부를 확인하기 위한 절차로 접근 요청 메시지를 AAA 서버로 전송하고, AAA 서버는 수신한 접근 요청 메시지를 사용하여 무선 단말기에 대한 인증을 수행한다.In general, AAA (Authentication, Authorization and Accounting) server uses the Remote Authentication Dial In User Service (RADIUS) protocol to authenticate a wireless terminal registered with a Foreign Agent (FA). When the service is requested to start, the FA sends an access request message to the AAA server as a procedure for checking whether the registered wireless terminal is normal, and the AAA server authenticates the wireless terminal using the received access request message. .
패킷 데이터 서비스는 단순 IP(Simple IP) 또는 이동 IP(Mobile IP) 방식으로 설정되는 데, 패킷 데이터 서비스가 단순 IP 방식으로 설정되어 있는 경우에는 CHAP(Challenge Handshake Authentication Protocol) 인증 방식으로, 이동 IP 방식으로 설정되어 있는 경우에는 FAC(Foreign Agent Challenge) 인증 방식으로 인증을 수행하는 경우에 대해서만 설명한다.The packet data service is set to Simple IP or Mobile IP. If the packet data service is set to Simple IP, it is a Challenge Handshake Authentication Protocol (CHAP) authentication method. If set to, only the case where authentication is performed using the Foreign Agent Challenge (FAC) authentication method will be described.
도 1 및 도 2는 종래 단순 IP의 CHAP 인증 방법을 설명하기 위한 도로, 무선 단말기 사용자가 무선 단말기(10)를 이용하여 무선 패킷 데이터 서비스 개시를 요청하면(S10), FA(20)는 임의의 챌린지 값(Challenge)을 생성하고(S12), 생성한 챌린지 값(Challenge)을 CHAP 챌린지(CHAP_CHALLENGE) 메시지에 포함하여 무선 단말기(10)로 전송한다(S14).1 and 2 are roads for explaining a conventional simple IP CHAP authentication method, when the user of the wireless terminal requests the start of the wireless packet data service using the wireless terminal 10 (S10), the FA 20 is an arbitrary A challenge value (Challenge) is generated (S12), and the generated challenge value (Challenge) is included in a CHAP challenge (CHAP_CHALLENGE) message and transmitted to the wireless terminal 10 (S14).
상기한 과정 S14에서 FA(20)로부터 CHAP 챌린지(CHAP_CHALLENGE) 메시지를 전송받은 무선 단말기(10)에서는 전송받은 CHAP 챌린지(CHAP_CHALLENGE) 메시지에 포함되어 있는 챌린지 값(Challenge)의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, AAA 서버(30)와 무선 단말기(10)만이 알고 있는 공유 비밀키(MN-AAA SharedSecret)와, 챌린지 값(Challenge)을 MD(Message Digest)5 알고리즘으로 암호화하여 CHAP 응답{ChapResponse=MD5(ChapId+MN-AAA SharedSecret+Challenge)}을 만들고, CHAP 응답(ChapResponse)을 CHAP 챌린지(CHAP_CHALLENGE) 메시지에 대한 응답 메시지인 CHAP 응답(CHAP_RESPONSE) 메시지에 포함하여 FA(20)로 전송한다(S16).In step S14, the wireless terminal 10 that receives the CHAP challenge (CHAP_CHALLENGE) message from the FA 20 in step S14 uses the first byte of the challenge value (Challenge) included in the received CHAP challenge (CHAP_CHALLENGE) message. (ChapId), the shared secret key (MN-AAA SharedSecret) known only by the AAA server 30 and the wireless terminal 10, and the challenge value (Challenge) by encrypting the message Digest (MD) 5 algorithm to the CHAP response {ChapResponse = MD5 (ChapId + MN-AAA SharedSecret + Challenge)}, and send the CHAP response (ChapResponse) to the FA (20) by including it in a CHAP response (CHAP_RESPONSE) message, which is a response to the CHAP challenge (CHAP_CHALLENGE) message ( S16).
상기한 과정 S16에서 무선 단말기(10)로부터 CHAP 응답(CHAP_RESPONSE) 메시지를 전송받은 FA(20)에서는 상기한 과정 S12에서 무선 단말기의 무선 패킷 데이터 서비스 요청에 따라 임의로 생성한 챌린지 값의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, 무선 단말기(10)로부터 전송받은 CHAP 응답(ChapResponse)을 합쳐 CHAP 비밀 번호(ChapPassword)를 만들고, 상기한 과정 S12에서 임으로 생성한 챌린지 값(Challenge)을 CHAP 챌린지(ChapChallenge)에 담는다(S18).The FA 20 receiving the CHAP response (CHAP_RESPONSE) message from the wireless terminal 10 in step S16 uses the first byte of a challenge value randomly generated according to the wireless packet data service request of the wireless terminal in step S12. The CHAP identifier (ChapId) and the CHAP response (ChapResponse) received from the wireless terminal 10 are combined to create a CHAP password (ChapPassword), and the challenge value (Challenge) randomly generated in the process S12 described above is a CHAP challenge (ChapChallenge). ) Into (S18).
이후에는 상기한 과정 S18에서 만든 CHAP 비밀 번호(ChapPassword)와, CHAP 챌린지(ChapChallenge) 등을 포함하는 접근 요청(Access-Request) 메시지를 만들어 AAA 서버(30)로 전송한다(S20).Subsequently, an access-request message including a CHAP password (ChapPassword) and a CHAP challenge (ChapChallenge), etc. created in step S18 is created and transmitted to the AAA server 30 (S20).
상기한 과정 S20에서 FA(20)로부터 접근 요청 메시지를 전송받은 AAA 서버(30)에서는 접근 요청 메시지에 포함되어 있는 CHAP 비밀 번호(ChapPassword)에서 CHAP 식별자(ChapId)와 CHAP 응답(ChapResponse)을 추출한다(S22).The AAA server 30 receiving the access request message from the FA 20 in step S20 extracts a CHAP identifier (ChapId) and a CHAP response (ChapResponse) from the CHAP password (ChapPassword) included in the access request message. (S22).
이후에는, 상기한 과정 S22에서 추출한 CHAP 식별자(ChapId)와, 무선 단말기(10)와 AAA 서버(30)만이 알고 있는 공유 비밀키(MN-AAA SharedSecret)와, 상기한 과정 S20에서 전송받은 접근 요청 메시지에 포함되어 있는 CHAP 챌린지(ChapChallenge)를 MD5 알고리즘으로 암호화하여 임시 값{Temp=MD5(ChapId+MN-AAA SharedSecret+ChapChallenge)}을 생성하고(S24), 임시 값(Temp)이 상기한 과정 S22에서 추출한 CHAP 응답(ChapResponse)과 같은 지를 판단한다(S26).Thereafter, the CHAP identifier (ChapId) extracted in step S22, the shared secret key (MN-AAA SharedSecret) only known by the wireless terminal 10 and the AAA server 30, and the access request received in step S20. The CHAP challenge (ChapChallenge) included in the message is encrypted using the MD5 algorithm to generate a temporary value {Temp = MD5 (ChapId + MN-AAA SharedSecret + ChapChallenge)} (S24), and the temporary value (Temp) is the process S22 described above. It is determined whether or not the extracted CHAP response (ChapResponse) is the same (S26).
상기한 과정 S26의 판단결과 임시 값(Temp)과 CHAP 응답(ChapResponse)이 같은 경우에는 인증 성공으로 판단하여 FA(20)로 접근 요청에 대한 접근 허가(Access-Accept) 메시지를 전송하고(S28), 임시 값(Temp)과 CHAP 응답(ChapResponse)이 같지 않은 경우에는 인증 실패로 판단하여 FA(20)로 접근 요청에 대한 접근 거절(Access-Reject) 메시지를 전송한다(S30).If the result of the determination in step S26 is the same as the temporary value (Temp) and the CHAP response (ChapResponse), it is determined that the authentication is successful, and transmits an access-accept message for the access request to the FA 20 (S28). If the temporary value (Temp) and the CHAP response (ChapResponse) are not the same, it is determined that the authentication has failed and transmits an access rejection message (Access-Reject) message to the access request to the FA 20 (S30).
한편, 도 3 및 도 4는 종래 이동 IP의 FAC 인증 방법을 설명하기 위한 도로, 무선 단말기 사용자가 무선 단말기(10)를 이용하여 무선 패킷 데이터 서비스 개시를 요청하면(S40), FA(20)는 임의의 챌린지 값(Challenge)을 생성하고(S42), 생성한 챌린지 값(Challenge)을 에이전트 광고(Agent Advertisement) 메시지에 포함하여 무선 단말기(10)로 전송한다(S44).Meanwhile, FIGS. 3 and 4 are roads for explaining a conventional method of FAC authentication of mobile IP. When a wireless terminal user requests to start a wireless packet data service using the wireless terminal 10 (S40), the FA 20 An arbitrary challenge value is generated (S42), and the generated challenge value (Challenge) is included in an agent advertisement message and transmitted to the wireless terminal 10 (S44).
상기한 과정 S44에서 FA(20)로부터 에이전트 광고 메시지를 전송받은 무선 단말기(10)는 HA(Home Agent)(40)에 자신의 위치를 등록하기 위해 상기한 과정 S44에서 FA(20)로부터 전송받은 챌린지 값(Challenge)과 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)을 포함하여 이동 IP 등록 요청(Mobile IP Registration Request;이하, MIP RRQ라 한다) 패킷을 생성한다(S46).The wireless terminal 10 receiving the agent advertisement message from the FA 20 in step S44 is received from the FA 20 in step S44 to register its location with the HA (Home Agent) 40. Generate a Mobile IP Registration Request (hereinafter referred to as MIP RRQ) packet including a challenge value (Challenge) and an authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30. (S46).
상기한 과정 S46에서 생성된 MIP RRQ 패킷에 포함되는 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)은 상기한 과정 S44에서 FA(20)로부터 전달받은 챌린지 값(Challenge)의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, 무선 단말기(10)와 AAA 서버(30) 만이 알고 있는 공유 비밀키(MN-AAA SharedSecret)와, 챌린지 값(Challenge)과, 제 1암호화 값을 MD5 알고리즘으로 암호화한 값으로, 제 1암호화 값은 HA(40)에 무선 단말기(10)의 위치를 등록하기 위해 현재 생성하고 있는 MIP RRQ 패킷에서 현재 생성할 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator) 이전에 위치하는 MIP RRQ 패킷 정보를 MD5 알고리즘으로 암호화한 결과 값이다.The authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 included in the MIP RRQ packet generated in step S46 is a challenge value received from the FA 20 in step S44. CHAP Identifier (ChapId) using the first byte of the CDMA, a shared secret key (MN-AAA SharedSecret) known only to the wireless terminal 10 and the AAA server 30, the challenge value, and the first encryption value. Is a value encrypted by the MD5 algorithm, and the first encryption value is a wireless terminal 10 and an AAA server (10) to be currently generated in a MIP RRQ packet currently generated to register the position of the wireless terminal 10 with the HA 40. 30) The MIP RRQ packet information located before the MN-AAA Authenticator is encrypted using the MD5 algorithm.
이후에는 상기한 과정 S46에서 생성한 MIP RRQ 패킷을 FA(20)로 전송하고(S48), 무선 단말기(10)로부터 MIP RRQ 패킷을 전송받은 FA(20)에서는 상기한 과정 S42에서 생성한 챌린지 값(Challenge)의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, 무선 단말기(10)로부터 전송받은 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)으로 CHAP 비밀 번호(ChapPassword)를 만들고,상기한 과정 S42에서 생성한 챌린지 값(Challenge)과, 무선 단말기(10)로부터 전송받은 MIP RRQ 패킷 중에서 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator) 이전에 위치하는 MIP RRQ 패킷 정보를 MD5 알고리즘으로 암호화한 결과 값을 합쳐서 CHAP 챌린지(ChapChallenge)를 만든다(S50).Thereafter, the MIP RRQ packet generated in step S46 is transmitted to the FA 20 (S48), and the FA 20 receiving the MIP RRQ packet from the wireless terminal 10 receives the challenge value generated in step S42. CHAP identifier (ChapId) using the first byte of the (Challenge) and CHAP password (ChapPassword) as an authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 received from the wireless terminal 10 ), The challenge value (Challenge) generated in the above-described process S42 and the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 among the MIP RRQ packets received from the wireless terminal 10 The MIP RRQ packet information, which has been previously located, is combined with the MD5 algorithm, and the CHAP challenge (Shap) is added.
이후에는 상기한 과정 S50에서 만든 CHAP 비밀 번호(ChapPassword)와 CHAP 챌린지(ChapChallenge) 등을 포함하는 접근 요청(Access-Request) 메시지를 만들어 AAA 서버(30)로 전송한다(S52).Subsequently, an access-request message including a CHAP password (ChapPassword) and a CHAP challenge (ChapChallenge), which are created in step S50, is created and transmitted to the AAA server 30 (S52).
상기한 과정 S52에서 FA(20)로부터 접근 요청 메시지를 전송받은 AAA 서버(30)에서는 접근 요청 메시지에 포함되어 있는 CHAP 비밀 번호(ChapPassword)에서 CHAP 식별자(ChapId)와 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)을 추출한다(S54).The AAA server 30 receiving the access request message from the FA 20 in step S52 described above, the CHAP identifier (ChapId) and the wireless terminal 10 and the AAA server in the CHAP password (ChapPassword) included in the access request message. The authentication value (MN-AAA Authenticator) between the 30 is extracted (S54).
이후에는 상기한 과정 S54에서 추출한 CHAP 식별자(ChapId)와, 무선 단말기(10)와 AAA 서버(30) 만이 알고 있는 공유 비밀 키(MN-AAA SharedSecret)와, 상기한 과정 S52에서 전송받은 접근 요청 메시지에 포함되어 있는 CHAP 챌린지(ChapChallenge)를 MD5 알고리즘으로 암호화하여 임시 값{Temp=MD5(ChapId+MN-AAA SharedSecret+ChapChallenge)}을 생성하고(S56), 임시 값(Temp)이 상기한 과정 S54에서 추출한 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)과 같은 지를 판단한다(S58).After that, the CHAP identifier (ChapId) extracted in step S54, the shared secret key (MN-AAA SharedSecret) known only to the wireless terminal 10 and the AAA server 30, and the access request message received in step S52. The temporary value {Temp = MD5 (ChapId + MN-AAA SharedSecret + ChapChallenge)} is generated by encrypting the CHAP challenge (ChapChallenge) included in the MD5 algorithm (S56), and the temporary value (Temp) is described in step S54. It is determined whether the authentication value (MN-AAA Authenticator) between the extracted wireless terminal 10 and the AAA server 30 is the same (S58).
상기한 과정 S58의 판단결과 임시 값(Temp)과 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)이 같은 경우에는 인증 성공으로 판단하여 FA(20)로 접근 요청에 대한 접근 허가(Access-Accept) 메시지를 전송하고(S60), 임시 값(Temp)과 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)이 같지 않은 경우에는 인증 실패로 판단하여 FA(20)로 접근 요청에 대한 접근 거절(Access-Reject) 메시지를 전송한다(S62).If the temporary value (Temp) and the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 are the same as the determination result of step S58, it is determined that the authentication is successful and the access request is made to the FA 20. If the access-accept message is transmitted (S60), and the temporary value (Temp) and the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 are not the same, the authentication fails. In response to the determination, the FA 20 transmits an access rejection message (Access-Reject) message for the access request (S62).
상기한 과정 S60에서 AAA 서버(30)로부터 접근 허가 메시지를 전송받은 FA(20)에서는 HA(40)로 MIP RRQ 패킷을 전송하고(S64), HA(40)에서는 응답으로 이동 IP 등록 응답(Mobile IP Registration Response;이하, MIP RRP라 한다) 패킷을 FA(20)로 전송한다(S66).The FA 20 receiving the access permission message from the AAA server 30 in step S60 transmits a MIP RRQ packet to the HA 40 (S64), and the HA 40 responds with a mobile IP registration response (Mobile). IP Registration Response (hereinafter referred to as MIP RRP) packet is transmitted to the FA 20 (S66).
HA(40)로부터 MIP RRP를 전송받은 FA(20)에서는 HA(40)로부터 전송받은 MIP RRP를 무선 단말기(10)로 전송한다(S68).The FA 20 receiving the MIP RRP from the HA 40 transmits the MIP RRP received from the HA 40 to the wireless terminal 10 (S68).
이상에서 살펴본 바와 같이, 종래에는 단순 IP의 CHAP 인증 방법이든 이동 IP의 FAC 인증 방법이든 간에 인증이 무선 단말기(10)와 AAA 서버(30) 만이 공유하는 비밀 번호와 임의의 챌린지 값 등을 MD5 알고리즘으로 암호화한 값을 인증하도록 되어 있는 데, 무선 단말기(10)와 AAA 서버(30) 사이에 공유하는 공유 비밀 번호를 FA(20)에서는 가지고 있지 않기 때문에, 무선 단말기(10)와 FA(20) 사이의 메시지를 크래커가 해킹하면(공유 비밀 번호 자체는 망 상에서 전달되지 않으므로 해킹되기 힘들며 단지 메시지 자체는 해킹될 수 있다), 공유 비밀 번호를 알지 못하더라도 마치 FA(20)가 메시지를 만드는 것처럼 CHAP 비밀 번호(ChapPassword)와 CHAP 챌린지(ChapChallenge)를 만들 수 있고, FA(20)에서 AAA 서버(30)로 보내는 접근 요청 메시지를 정상적으로 만들 수 있게 된다. 따라서, 정상적인 접근 요청메시지를 만들어 AAA 서버(30)로 전송하면 AAA 서버(30)의 자원을 고갈시키게 되는 문제점이 있다.As described above, in the related art, whether the authentication method is a simple IP CHAP authentication method or a mobile IP FAC authentication method, the MD5 algorithm generates a password and an arbitrary challenge value shared only by the wireless terminal 10 and the AAA server 30. Although the FA 20 does not have a shared password shared between the wireless terminal 10 and the AAA server 30, the wireless terminal 10 and the FA 20 do not have a shared password. If a cracker hacks a message between them (the shared password itself is not transmitted over the network, it is difficult to hack and only the message itself can be hacked), even if the shared password is unknown, as if the FA 20 created the message. A password (ChapPassword) and a CHAP Challenge (ChapChallenge) can be created, and an access request message sent from the FA 20 to the AAA server 30 can be normally created. Therefore, if a normal access request message is made and transmitted to the AAA server 30, there is a problem that the resources of the AAA server 30 are depleted.
본 발명은 전술한 문제점을 해결하기 위해 안출된 것으로서, 무선 단말기의 패킷 데이터 서비스 개시 요청에 따라 FA에서 AAA 서버로 전송하는 접근 요청 메시지에 포함되는 CHAP 비밀 번호를 해킹되기 어려운 NAS 비밀키와 임의로 생성한 요청 인증 값으로 암호화하여 전송함으로써, 크래커가 AAA 서버로 보내는 메시지를 만들 수 없도록 하여 AAA 서버가 해킹되는 것을 방지할 수 있도록 하는 통신 망에서의 단말기 인증 방법을 제공함에 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problem, and randomly generates a CHAP password included in an access request message transmitted from a FA to an AAA server and a NAS secret key, which are difficult to be hacked, in response to a packet data service initiation request of a wireless terminal. It is an object of the present invention to provide a terminal authentication method in a communication network that prevents the AAA server from being hacked by preventing the cracker from making a message sent to the AAA server by encrypting and transmitting it with one request authentication value.
도 1 및 도 2는 종래 단순 IP의 CHAP 인증 방법을 설명하기 위한 도.1 and 2 are diagrams for explaining a CHAP authentication method of a conventional simple IP.
도 3 및 도 4는 종래 이동 IP의 FAC 인증 방법을 설명하기 위한 도.3 and 4 are diagrams for explaining a FAC authentication method of a conventional mobile IP.
도 5 및 도 6은 본 발명에 따른 단순 IP의 CHAP 인증 방법을 설명하기 위한 도.5 and 6 are diagrams for explaining a CHAP authentication method of a simple IP according to the present invention.
도 7 및 도 8은 본 발명에 따른 이동 IP의 FAC 인증 방법을 설명하기 위한 도.7 and 8 are diagrams for explaining a FAC authentication method of mobile IP according to the present invention.
*** 도면의 주요 부분에 대한 부호의 설명 ****** Explanation of symbols for the main parts of the drawing ***
10. 단말기, 20. FA,10. terminal, 20. FA,
30. AAA 서버, 40. HA30.AAA server, 40.HA
전술한 목적을 달성하기 위한 본 발명에 통신 망에서의 단말기 인증 방법은, 무선 단말기의 패킷 데이터 서비스 개시 요청에 따라 FA(Foreign Agent)에서 AAA(Authentication, Authorization and Accounting) 서버로 전송하는 접근 요청 메시지에 포함될 CHAP(Challenge-Handshake Authentication Protocol) 비밀 번호를 NAS(Network Access Server) 비밀키와 상기 FA에서 임의로 생성한 요청 인증값으로 암호화하는 과정과; 상기 암호화된 CHAP 비밀 번호와, 상기 요청 인증값을 상기 접근 요청 메시지에 포함하여 상기 AAA 서버로 전송하는 과정과; 상기 전송받은 암호화된 CHAP 비밀 번호를 상기 NAS 비밀키와 상기 요청 인증값으로 암호화하여 평문의 CHAP 비밀 번호를 얻는 과정과; 상기 평문의 CHAP 비밀 번호에 의거하여 인증을 수행하는 과정을 포함하여 이루어진다.In the present invention for achieving the above object, a terminal authentication method in a communication network, the access request message transmitted from the FA (Foreign Agent) to the Authentication, Authorization and Accounting (AAA) server according to the packet data service start request of the wireless terminal Encrypting a Challenge-Handshake Authentication Protocol (CHAP) password to be included in a Network Access Server (NAS) secret key and a request authentication value randomly generated by the FA; Transmitting the encrypted CHAP password and the request authentication value in the access request message to the AAA server; Encrypting the received encrypted CHAP password with the NAS secret key and the request authentication value to obtain a plain text CHAP password; And performing authentication based on the CHAP password of the plain text.
여기서, 상기 패킷 데이터 서비스가 단순 IP 방식으로 설정되는 경우에는, 무선 단말기의 무선 패킷 데이터 서비스 개시 요청에 따라 FA에서 임의로 생성한 챌린지 값을 상기 무선 단말기로 전송하는 과정과; 상기 전송받은 챌린지 값의 첫 바이트를 사용하는 CHAP 식별자와, 상기 AAA 서버와 무선 단말기만이 알고 있는 공유 비밀키와, 상기 챌린지 값을 암호화하여 CHAP 응답을 생성하고, 상기 생성된 CHAP 응답을 상기 FA로 전송하는 과정과; 상기 전송받은 CHAP 응답과, 상기 CHAP 식별자를 상기 NAS 비밀키와 임의로 생성한 요청 인증 값으로 암호화하여 암호화된 CHAP 비밀 번호를 생성하고, 상기 암호화된 CHAP 비밀 번호와, 상기 챌린지 값과, 상기 요청 인증 값을 접근 요청 메시지에 포함하여 상기 AAA 서버로 전송하는 과정과; 상기 전송받은 암호화된 CHAP 비밀 번호를 상기 전송받은 요청 인증값과 NAS 비밀키로 다시 암호화하여 평문의 CHAP 비밀 번호를 생성하고, 상기 평문의 CHAP 비밀 번호에서 CHAP 식별자와 CHAP 응답을 추출하는 과정과; 상기 추출된 CHAP 식별자와, 상기 공유 비밀키와, 상기 전송받은 챌린지 값을 암호화하여 생성한 임시 값이 상기 추출된 CHAP 응답과 일치하는 지를 판단하는 과정과; 상기 판단결과 상기 임시 값과 CHAP 응답이 일치하는 경우에는 인증 성공으로 판단하여 상기 FA로 접근 요청에 대한 접근 허가 메시지를 전송하는 과정을 더 포함하여 이루어지는 것을 특징으로 한다.Here, when the packet data service is set by a simple IP method, transmitting a challenge value arbitrarily generated by the FA to the wireless terminal according to a wireless packet data service start request of the wireless terminal; A CHAP identifier using the first byte of the received challenge value, a shared secret key known only to the AAA server and the wireless terminal, and the challenge value are encrypted to generate a CHAP response, and the generated CHAP response is converted into the FA. Transmitting to; Encrypts the received CHAP response, the CHAP identifier with the NAS secret key and a randomly generated request authentication value to generate an encrypted CHAP password, the encrypted CHAP password, the challenge value, and the request authentication. Transmitting a value to the AAA server by including a value in an access request message; Re-encrypting the received encrypted CHAP password with the received request authentication value and NAS secret key to generate a plain text CHAP password, and extracting a CHAP identifier and a CHAP response from the plain text CHAP password; Determining whether a temporary value generated by encrypting the extracted CHAP identifier, the shared secret key, and the received challenge value matches the extracted CHAP response; If it is determined that the temporary value and the CHAP response match, it is determined that the authentication success, and further comprising the step of transmitting an access permission message for the access request to the FA.
그리고, 상기 패킷 데이터 서비스가 이동 IP 방식으로 설정되는 경우에는,무선 단말기의 무선 패킷 데이터 서비스 개시 요청에 따라 FA에서 임의로 생성한 챌랜지 값을 상기 무선 단말기로 전송하는 과정과; 상기 전송받은 챌린지 값과, 상기 무선 단말기와 AAA 서버 간의 인증 값으로 MIP RRQ(Mobile IP Registration Request) 패킷을 생성하여 상기 FA로 전송하는 과정과; 상기 전송받은 무선 단말기와 AAA 서버 간의 인증 값과, CHAP 식별자를 NAS 비밀키와 임의로 생성한 요청 인증 값으로 암호화하여 생성된 암호화된 CHAP 비밀 번호와, 상기 챌린지 값과 상기 MIP RRQ 패킷 중에서 상기 무선 단말기와 AAA 서버 간의 인증 값 이전에 위치하는 패킷 정보를 암호화한 값으로 생성된 CHAP 챌린지 값과, 상기 요청 인증값을 접근 요청 메시지에 포함하여 상기 AAA 서버로 전송하는 과정과; 상기 전송받은 암호화된 CHAP 비밀 번호를 상기 전송받은 요청 인증 값과 NAS 비밀키로 다시 암호화하여 평문의 CHAP 비밀 번호를 생성하고, 상기 평문의 CHAP 비밀 번호에서 CHAP 식별자와 무선 단말기와 AAA 서버 간의 인증 값을 추출하는 과정과; 상기 추출된 CHAP 식별자와, 상기 공유 비밀 키와, 상기 전송받은 CHAP 챌린지를 암호화하여 임시 값을 생성하고, 상기 임시 값이 상기 추출된 무선 단말기와 AAA 서버 간의 인증 값과 일치하는 지를 판단하는 과정과; 상기 판단결과 상기 임시 값과 상기 무선 단말기와 AAA 서버 간의 인증 값과 일치하는 경우에는 인증 성공으로 판단하여 상기 FA로 접근 요청에 대한 접근 허가 메시지를 전송하는 과정을 더 포함하여 이루어지는 것을 특징으로 한다.And, if the packet data service is set to a mobile IP method, transmitting a challenge value arbitrarily generated by the FA to the wireless terminal in response to a wireless packet data service start request of the wireless terminal; Generating a MIP RRQ (Mobile IP Registration Request) packet with the received challenge value and an authentication value between the wireless terminal and the AAA server and transmitting the generated MIP RRQ packet to the FA; An authentication value between the received wireless terminal and the AAA server, an encrypted CHAP password generated by encrypting a CHAP identifier with a NAS secret key and a request authentication value randomly generated, the challenge value, and the wireless terminal among the MIP RRQ packets. Transmitting a CHAP challenge value generated by encrypting packet information positioned before an authentication value between the AAA server and the AAA server, and including the request authentication value in an access request message to the AAA server; The encrypted CHAP password is encrypted again using the received request authentication value and the NAS secret key to generate a plain text CHAP password, and the CHAP identifier and the authentication value between the wireless terminal and the AAA server in the plain text CHAP password. Extracting; Generating a temporary value by encrypting the extracted CHAP identifier, the shared secret key, and the received CHAP challenge, and determining whether the temporary value matches an authentication value between the extracted wireless terminal and an AAA server; ; If it is determined that the temporary value coincides with the authentication value between the wireless terminal and the AAA server, determining that the authentication is successful and transmitting the access permission message for the access request to the FA.
이하에서는 첨부한 도면을 참조하여 본 발명의 바람직한 실시예에 따른 통신망에서의 단말기 인증 방법에 대해서 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail a terminal authentication method in a communication network according to an embodiment of the present invention.
도 5 및 도 6은 본 발명에 따른 단순 IP의 CHAP 인증 방법을 설명하기 위한 도로, 무선 단말기 사용자가 무선 단말기(10)를 이용하여 무선 패킷 데이터 서비스 개시를 요청하면(S70), FA(20)는 임의의 챌린지 값(Challenge)을 생성하고(S72), 생성한 챌린지 값(Challenge)을 CHAP 챌린지(CHAP_CHALLENGE) 메시지에 포함하여 무선 단말기(10)로 전송한다(S74).5 and 6 are roads for explaining a simple IP CHAP authentication method according to the present invention, when a wireless terminal user requests to start a wireless packet data service using the wireless terminal 10 (S70), FA 20 Generates a random challenge value (S72), and includes the generated challenge value (Challenge) in the CHAP challenge (CHAP_CHALLENGE) message and transmits it to the wireless terminal 10 (S74).
상기한 과정 S74에서 FA(20)로부터 CHAP 챌린지(CHAP_CHALLENGE) 메시지를 전송받은 무선 단말기(10)에서는 전송받은 CHAP 챌린지(CHAP_CHALLENGE) 메시지에 포함되어 있는 챌린지 값(Challenge)의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, AAA 서버(30)와 무선 단말기(10)만이 알고 있는 공유 비밀키(MN-AAA SharedSecret)와, 챌린지 값(Challenge)을 MD(Message Digest)5 알고리즘으로 암호화하여 CHAP 응답{ChapResponse=MD5(ChapId+MN-AAA SharedSecret+Challenge)}을 생성하고, 생성된 CHAP 응답(ChapResponse)을 CHAP 챌린지(CHAP_CHALLENGE) 메시지에 대한 응답 메시지인 CHAP 응답(CHAP_RESPONSE) 메시지에 포함하여 FA(20)로 전송한다(S76).In step S74, the wireless terminal 10 having received the CHAP challenge (CHAP_CHALLENGE) message from the FA 20 transmits a CHAP identifier using the first byte of the challenge value included in the received CHAP challenge message. (ChapId), the shared secret key (MN-AAA SharedSecret) known only by the AAA server 30 and the wireless terminal 10, and the challenge value (Challenge) by encrypting the message Digest (MD) 5 algorithm to the CHAP response {ChapResponse = MD5 (ChapId + MN-AAA SharedSecret + Challenge)} and include the generated CHAP response (ChapResponse) in the CHAP response (CHAP_RESPONSE) message, which is a response to the CHAP challenge (CHAP_CHALLENGE) message, to the FA (20). It transmits (S76).
상기한 과정 S76에서 무선 단말기(10)로부터 CHAP 응답(CHAP_RESPONSE) 메시지를 전송받은 FA(20)에서는 상기한 과정 S72에서 무선 단말기의 무선 패킷 데이터 서비스 요청에 따라 임의로 생성한 챌린지 값의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, 무선 단말기(10)로부터 전송받은 CHAP 응답 메시지에 포함되어 있는 CHAP 응답(ChapResponse)을 FA(20)와 AAA 서버(30) 간의 네트워크 접근서버(Network Access Server;이하, NAS라 한다) 비밀키와 FA(20)에서 임의로 생성한 요청 인증 값(RequestAuthenticator)으로 암호화하여 암호화된 CHAP 비밀 번호(ChapPassword)를 만들고, 상기한 과정 S72에서 임의로 생성한 챌린지 값(Challenge)을 CHAP 챌린지(ChapChallenge)에 담는다(S78).The FA 20 receiving the CHAP response (CHAP_RESPONSE) message from the wireless terminal 10 in step S76 uses the first byte of a challenge value randomly generated according to the wireless packet data service request of the wireless terminal in step S72. A CHAP identifier (ChapId) and a CHAP response (ChapResponse) included in the CHAP response message received from the wireless terminal 10 may be a network access server between the FA 20 and the AAA server 30. NAS) encrypted with a secret key and a request authentication value (RequestAuthenticator) arbitrarily generated by the FA 20 to create an encrypted CHAPPassword (ChapPassword), CHAP challenge challenge (Challenge) randomly generated in the above step S72 In the challenge (ChapChallenge) (S78).
상기한 과정 S78에서 암호화된 CHAP 비밀 번호는 수학식 1에 의해 얻어지는 데, 수학식 1에서 P1, P2, …, Pi은 CHAP 식별자(ChapId)와, CHAP 응답(ChapResponse)을 16바이트 단위로 쪼갠 값이고, S는 NAS 비밀키이고, RA는 FA(20)에서 임의로 생성한 요청 인증 값이고, b1, b2, …, bi는 중간 계산 값이고, c(1), c(2), …, c(i)는 암호화된 메시지의 쪼개진 부분들이다. 여기서, 쪼갠 조각 중 마지막 Pn의 길이가 16바이트가 안되면 값 뒤에 널(Null) 값을 붙여 16바이트로 만든다.The CHAP password encrypted in step S78 is obtained by Equation 1, where P1, P2,... Pi is a CHAP identifier (ChapId) and a CHAP response (ChapResponse) in 16-byte units, S is a NAS secret key, RA is a request authentication value arbitrarily generated by the FA 20, b1, b2, … , bi are intermediate calculations, c (1), c (2),... c (i) is the fragments of an encrypted message. Here, if the length of the last piece of the fragment is not 16 bytes, the value is appended with a null value to make 16 bytes.
b2=MD5(S+c(1)) c(2)=P2 xor b2b2 = MD5 (S + c (1)) c (2) = P2 xor b2
: :::
bi=MD5(S+c(i-1) c(i)=Pi xor bibi = MD5 (S + c (i-1) c (i) = Pi xor bi
전술한 바와 같이, 수학식 1에 의해 생성된 c(1), c(2), …, c(i)를 모두 합하면 암호화된 CHAP 비밀 번호(ChapPassword=c(1)+c(2)+…+c(i))가 생성된다.As described above, c (1), c (2),... Generated by equation (1). , c (i) is summed up to generate an encrypted CHAP password (ChapPassword = c (1) + c (2) +… + c (i)).
이후에는 상기한 과정 S78에서 만든 암호화된 CHAP 비밀 번호(ChapPassword)와, CHAP 챌린지(ChapChallenge)와, 상기한 과정 S78에서 임의로 생성한 요청 인증값(RequestAuthenticator) 등을 포함하는 접근 요청(Access-Request) 메시지를 만들어 AAA 서버(30)로 전송한다(S80).Subsequently, an access request including an encrypted CHAP password (ChapPassword), a CHAP challenge (ChapChallenge), and a request authentication value (RequestAuthenticator) arbitrarily generated in the process S78 described above. Create a message and transmit it to the AAA server (30) (S80).
상기한 과정 S80에서 FA(20)로부터 접근 요청 메시지를 전송받은 AAA 서버(30)에서는 접근 요청 메시지에 포함되어 있는 암호화된 CHAP 비밀 번호(ChapPassword)를 전송받은 요청 인증 값(RequestAuthenticator)과 NAS 비밀키를 이용하여 다시 암호화함으로써, 평문의 CHAP 비밀 번호(PlainTextChapPassword)로 만든다(S82).The AAA server 30 that receives the access request message from the FA 20 in step S80 may request a request authentication value (RequestAuthenticator) and a NAS secret key that receive an encrypted CHAP password (ChapPassword) included in the access request message. By encrypting again, the plain text CHAP password (PlainTextChapPassword) is made (S82).
이후에는 상기한 과정 S82에서 만든 평문의 CHAP 비밀 번호(PlainTextChapPassword)에서 CHAP 식별자(ChapId)와 CHAP 응답(ChapResponse)을 추출하고(S84), 추출한 CHAP 식별자(ChapId)와, 무선 단말기(10)와 AAA 서버(30)만이 알고 있는 공유 비밀키(MN-AAA SharedSecret)와, 상기한 과정 S80에서 전송받은 접근 요청 메시지에 포함되어 있는 CHAP 챌린지(ChapChallenge)를 MD5 알고리즘으로 암호화하여 임시 값{Temp=MD5(ChapId+MN-AAA SharedSecret+ChapChallenge)}을 생성하고(S86), 생성된 임시 값(Temp)이 상기한 과정 S84에서 추출한 CHAP 응답(ChapResponse)과 같은 지를 판단한다(S88).Thereafter, the CHAP identifier (ChapId) and the CHAP response (ChapResponse) are extracted from the plaintext CHAP password (PlainTextChapPassword) of the plain text created in step S82 (S84), the extracted CHAP identifier (ChapId), the wireless terminal 10, and the AAA. The shared secret key (MN-AAA SharedSecret) only known to the server 30 and the CHAP Challenge (ChapChallenge) included in the access request message received in step S80 are encrypted using the MD5 algorithm to generate a temporary value {Temp = MD5 ( ChapId + MN-AAA SharedSecret + ChapChallenge)} (S86), and determines whether the generated temporary value (Temp) is the same as the CHAP response (ChapResponse) extracted in step S84 (S88).
상기한 과정 S88의 판단결과 임시 값(Temp)과 CHAP 응답(ChapResponse)이 같은 경우에는 인증 성공으로 판단하여 FA(20)로 접근 요청에 대한 접근 허가(Access-Accept) 메시지를 전송하고(S90), 임시 값(Temp)과 CHAP 응답(ChapResponse)이 같지 않은 경우에는 인증 실패로 판단하여 FA(20)로 접근 요청에 대한 접근 거절(Access-Reject) 메시지를 전송한다(S92).If the result of the determination of step S88 is the same as the temporary value (Temp) and the CHAP response (ChapResponse), it is determined that the authentication is successful, and transmits an access-accept message for the access request to the FA 20 (S90). If the temporary value (Temp) and the CHAP response (ChapResponse) is not the same, it is determined that the authentication failed, and transmits an access-reject message for the access request to the FA 20 (S92).
한편, 도 7 및 도 8은 본 발명에 따른 이동 IP의 FAC 인증 방법을 설명하기 위한 도로, 무선 단말기 사용자가 무선 단말기(10)를 이용하여 무선 패킷 데이터 서비스 개시를 요청하면(S100), FA(20)는 임의의 챌린지 값(Challenge)을 생성하고(S102), 생성한 챌린지 값(Challenge)을 에이전트 광고(Agent Advertisement) 메시지에 포함하여 무선 단말기(10)로 전송한다(S104).On the other hand, Figures 7 and 8 are roads for explaining the FAC authentication method of the mobile IP according to the present invention, if the wireless terminal user requests to start the wireless packet data service using the wireless terminal 10 (S100), FA ( 20 generates a random challenge value (S102), and includes the generated challenge value (Challenge) in the agent advertisement message (Agent Advertisement) message and transmits it to the wireless terminal 10 (S104).
상기한 과정 S104에서 FA(20)로부터 에이전트 광고 메시지를 전송받은 무선 단말기(10)는 HA(40)에 자신의 위치를 등록하기 위해 상기한 과정 S104에서 FA(20)로부터 전송받은 챌린지 값(Challenge)과 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)을 포함하여 이동 IP 등록 요청(Mobile IP Registration Request;이하, MIP RRQ라 한다) 패킷을 생성한다(S106).In step S104, the wireless terminal 10 receiving the agent advertisement message from the FA 20 transmits a challenge value (Challenge) received from the FA 20 in step S104 to register its location with the HA 40. ) And a mobile IP registration request (hereinafter referred to as MIP RRQ) packet including an authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 (S106).
상기한 과정 S106에서 생성된 MIP RRQ 패킷에 포함되는 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)은 상기한 과정 S104에서 FA(20)로부터 전달받은 챌린지 값(Challenge)의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, 무선 단말기(10)와 AAA 서버(30) 만이 알고 있는 공유 비밀키(MN-AAA SharedSecret)와, 챌린지 값(Challenge)과, 제 1암호화 값을 MD5 알고리즘으로 암호화한 값으로, 제 1암호화 값은 HA(40)에 무선 단말기(10)의 위치를 등록하기 위해 현재 생성하고 있는 MIP RRQ 패킷에서 현재 생성할 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator) 이전에 위치하는 MIP RRQ 패킷 정보를 MD5 알고리즘으로 암호화한 결과 값이다.The authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 included in the MIP RRQ packet generated in step S106 is a challenge value received from the FA 20 in step S104. CHAP Identifier (ChapId) using the first byte of the CDMA, a shared secret key (MN-AAA SharedSecret) known only to the wireless terminal 10 and the AAA server 30, the challenge value, and the first encryption value. Is a value encrypted by the MD5 algorithm, and the first encryption value is a wireless terminal 10 and an AAA server (10) to be currently generated in a MIP RRQ packet currently generated to register the position of the wireless terminal 10 with the HA 40. 30) The MIP RRQ packet information located before the MN-AAA Authenticator is encrypted using the MD5 algorithm.
이후에는 상기한 과정 S106에서 생성한 MIP RRQ 패킷을 FA(20)로전송하고(S108), 무선 단말기(10)로부터 MIP RRQ 패킷을 전송받은 FA(20)에서는 상기한 과정 S102에서 생성한 챌린지 값(Challenge)의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, 무선 단말기(10)로부터 전송받은 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)을 FA(20)와 AAA 서버(30) 간의 NAS 비밀키와 FA(20)에서 임의로 생성한 요청 인증 값(RequestAuthenticator)으로 암호화하여 암호화된 CHAP 비밀 번호(ChapPassword)를 만들고, 상기한 과정 S102에서 생성한 챌린지 값(Challenge)과, 무선 단말기(10)로부터 전송받은 MIP RRQ 패킷 중에서 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator) 이전에 위치하는 MIP RRQ 패킷 정보를 MD5 알고리즘으로 암호화한 결과 값을 합쳐서 CHAP 챌린지(ChapChallenge)를 만든다(S110).Thereafter, the MIP RRQ packet generated in step S106 is transmitted to the FA 20 (S108), and the FA 20 receiving the MIP RRQ packet from the wireless terminal 10 transmits the challenge value generated in step S102. CHAP identifier (ChapId) using the first byte of the (Challenge) and the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 received from the wireless terminal 10 and the FA (20) Encrypt with a NAS secret key between the AAA server 30 and a request authentication value (RequestAuthenticator) randomly generated by the FA 20 to create an encrypted CHAP password (ChapPassword), the challenge value (Challenge) generated in the above step S102 And MIP RRQ packet information located before the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 among the MIP RRQ packets received from the wireless terminal 10 using MD5 algorithm. Combine to create a CHAP challenge (ChapChallenge) (S110).
상기한 과정 S110에서 암호화된 CHAP 비밀 번호(ChapPassword)를 만드는 과정은 단순 IP의 CHAP 인증 방식과 동일하므로 그에 대한 상세한 설명은 생략하기로 한다.Since the process of creating an encrypted CHAP password (ChapPassword) in the process S110 is the same as the CHAP authentication method of a simple IP, a detailed description thereof will be omitted.
이후에는 상기한 과정 S110에서 만든 암호화된 CHAP 비밀 번호(ChapPassword)와, CHAP 챌린지(ChapChallenge)와, 상기한 과정 S110에서 임의로 생성한 요청 인증 값(RequestAuthenticator) 등을 포함하는 접근 요청(Access-Request) 메시지를 만들어 AAA 서버(30)로 전송한다(S112).Subsequently, an access request including an encrypted CHAP password (ChapPassword), a CHAP challenge (ChapChallenge), a request authentication value (RequestAuthenticator) arbitrarily generated in the process S110, and the like. The message is created and transmitted to the AAA server 30 (S112).
상기한 과정 S114에서 FA(20)로부터 접근 요청 메시지를 전송받은 AAA 서버(30)에서는 접근 요청 메시지에 포함되어 있는 암호화된 CHAP 비밀 번호(ChapPassword)를 전송받은 요청 인증 값(RequestAuthenticator)과 NAS 비밀키를 이용하여 다시 암호화함으로써, 평문의 CHAP 비밀 번호(PlainTextChapPassword)로 만든다(114).The AAA server 30 that receives the access request message from the FA 20 in step S114 described above and the NAS secret key and the request authentication value (RequestAuthenticator) receiving the encrypted CHAP password (ChapPassword) included in the access request message. By encrypting again, the plain text CHAP password (PlainTextChapPassword) is made (114).
이후에는, 상기한 과정 S114에서 만든 평문의 CHAP 비밀 번호(PlainTextChapPassword)에서 CHAP 식별자(ChapId)와 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)을 추출하고(S116), 추출한 CHAP 식별자(ChapId)와, 무선 단말기(10)와 AAA 서버(30) 만이 알고 있는 공유 비밀 키(MN-AAA SharedSecret)와, 상기한 과정 S112에서 전송받은 접근 요청 메시지에 포함되어 있는 CHAP 챌린지(ChapChallenge)를 MD5 알고리즘으로 암호화하여 임시 값{Temp=MD5(ChapId+MN-AAA SharedSecret+ChapChallenge)}을 생성하고(S118), 임시 값(Temp)이 상기한 과정 S116에서 추출한 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)과 같은 지를 판단한다(S120).Thereafter, the CHAP identifier (ChapId) and the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 are extracted from the plaintext CHAP password (PlainTextChapPassword) generated in the process S114 (S116). , The extracted CHAP identifier (ChapId), the shared secret key (MN-AAA SharedSecret) that only the wireless terminal 10 and the AAA server 30 know, and the CHAP challenge included in the access request message received in the above-mentioned process S112. (ChapChallenge) is encrypted using the MD5 algorithm to generate a temporary value {Temp = MD5 (ChapId + MN-AAA SharedSecret + ChapChallenge)} (S118), and the temporary value (Temp) is extracted from the above-mentioned process S116. It is determined whether the same as the authentication value (MN-AAA Authenticator) between the AAA server 30 (S120).
상기한 과정 S120의 판단결과 임시 값(Temp)과 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)이 같은 경우에는 인증 성공으로 판단하여 FA(20)로 접근 요청에 대한 접근 허가(Access-Accept) 메시지를 전송하고(S122), 임시 값(Temp)과 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)이 같지 않은 경우에는 인증 실패로 판단하여 FA(20)로 접근 요청에 대한 접근 거절(Access-Reject) 메시지를 전송한다(S124).If the temporary value (Temp) and the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 are the same as the determination result of the process S120, it is determined that the authentication is successful and the access request is made to the FA 20. If the access permission (Access-Accept) message is transmitted (S122), if the temporary value (Temp) and the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 is not the same as authentication failure In response to the determination, the access request message (Access-Reject) for the access request is transmitted to the FA 20 (S124).
상기한 과정 S122에서 AAA 서버(30)로부터 접근 허가 메시지를 전송받은 FA(20)에서는 HA(40)로 MIP RRQ 패킷을 전송하고(S126), HA(40)에서는 응답으로 이동 IP 등록 응답(Mobile IP Registration Response;이하, MIP RRP라 한다) 패킷을FA(20)로 전송한다(S128).In step S122, the FA 20, which receives the access permission message from the AAA server 30, transmits a MIP RRQ packet to the HA 40 (S126), and the HA 40 responds with a mobile IP registration response (Mobile). IP Registration Response (hereinafter referred to as MIP RRP) packet is transmitted to the FA 20 (S128).
HA(40)로부터 MIP RRP를 전송받은 FA(20)에서는 HA(40)로부터 전송받은 MIP RRP를 무선 단말기(10)로 전송한다(S130).The FA 20 receiving the MIP RRP from the HA 40 transmits the MIP RRP received from the HA 40 to the wireless terminal 10 (S130).
본 발명의 통신 망에서의 단말기 인증 방법은 전술한 실시예에 국한되지 않고 본 발명의 기술 사상이 허용하는 범위 내에서 다양하게 변형하여 실시할 수 있다.The terminal authentication method in the communication network of the present invention is not limited to the above-described embodiments, and may be variously modified and implemented within the range allowed by the technical idea of the present invention.
이상에서 설명한 바와 같은 본 발명의 통신 망에서의 단말기 인증 방법에 따르면, 공유되는 비밀키(MN-AAA 공유 비밀키, NAS 비밀키)는 망 상에서 전달되지 않기 때문에 해킹되기 힘드나 메시지 자체는 해킹될 수 있기 때문에 무선 단말기의 패킷 데이터 서비스 개시 요청에 따라 FA에서 AAA 서버로 전송하는 접근 요청 메시지에 포함되는 CHAP 비밀 번호를 해킹되기 어려운 NAS 비밀키와 임의로 생성한 요청 인증 값으로 암호화하여 전송함으로써, 크래커가 NAS 비밀키를 얻을 수 없기 때문에 AAA 서버로 보내는 메시지를 만들 수 없게 된다. 이로 인해, AAA 서버가 해킹되는 것을 방지할 수 있게 되는 효과가 있다.According to the terminal authentication method in the communication network of the present invention as described above, since the shared secret key (MN-AAA shared secret key, NAS secret key) is not transmitted over the network, it is difficult to be hacked, but the message itself can be hacked. Therefore, the cracker encrypts and transmits the CHAP password included in the access request message transmitted from the FA to the AAA server according to the wireless terminal's packet data service initiation request with a NAS secret key that is difficult to be hacked and a randomly generated request authentication value. Since we can't get the NAS secret key, we won't be able to create a message to the AAA server. This has the effect of preventing the AAA server from being hacked.
Claims (3)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2000-0073388A KR100423153B1 (en) | 2000-12-05 | 2000-12-05 | Method for terminal authentication in network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2000-0073388A KR100423153B1 (en) | 2000-12-05 | 2000-12-05 | Method for terminal authentication in network |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20020044344A KR20020044344A (en) | 2002-06-15 |
KR100423153B1 true KR100423153B1 (en) | 2004-03-18 |
Family
ID=27679671
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR10-2000-0073388A KR100423153B1 (en) | 2000-12-05 | 2000-12-05 | Method for terminal authentication in network |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100423153B1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8630414B2 (en) | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
KR100690869B1 (en) * | 2005-04-01 | 2007-03-09 | 엘지전자 주식회사 | Method for distribution of security key in location information system based on supl |
KR101438646B1 (en) * | 2013-04-04 | 2014-09-17 | 김수현 | Cookie file classifying method and system to identify clients that share a ip |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08195741A (en) * | 1995-01-12 | 1996-07-30 | Kokusai Denshin Denwa Co Ltd <Kdd> | Identifier ciphering method in radio communication |
JPH10112883A (en) * | 1996-10-07 | 1998-04-28 | Hitachi Ltd | Radio communication exchange system, exchange, public key management device, mobile terminal and mobile terminal recognizing method |
WO1999066400A2 (en) * | 1998-06-19 | 1999-12-23 | Livingston Enterprises, Inc. | Centralized authentication, authorization and accounting server with support for multiple transport protocols |
KR20010042024A (en) * | 1998-03-19 | 2001-05-25 | 칼 하인쯔 호르닝어 | Method, mobile station and radiocommunication system for controlling safety related functions in communication handling |
KR20020021825A (en) * | 2000-09-18 | 2002-03-23 | 오길록 | The Servicing Method of Simple IP and Mobile IP Service in IMT-2000 Packet Data Service Node |
-
2000
- 2000-12-05 KR KR10-2000-0073388A patent/KR100423153B1/en not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08195741A (en) * | 1995-01-12 | 1996-07-30 | Kokusai Denshin Denwa Co Ltd <Kdd> | Identifier ciphering method in radio communication |
JPH10112883A (en) * | 1996-10-07 | 1998-04-28 | Hitachi Ltd | Radio communication exchange system, exchange, public key management device, mobile terminal and mobile terminal recognizing method |
KR20010042024A (en) * | 1998-03-19 | 2001-05-25 | 칼 하인쯔 호르닝어 | Method, mobile station and radiocommunication system for controlling safety related functions in communication handling |
WO1999066400A2 (en) * | 1998-06-19 | 1999-12-23 | Livingston Enterprises, Inc. | Centralized authentication, authorization and accounting server with support for multiple transport protocols |
KR20020021825A (en) * | 2000-09-18 | 2002-03-23 | 오길록 | The Servicing Method of Simple IP and Mobile IP Service in IMT-2000 Packet Data Service Node |
Also Published As
Publication number | Publication date |
---|---|
KR20020044344A (en) | 2002-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8539559B2 (en) | System for using an authorization token to separate authentication and authorization services | |
KR100704675B1 (en) | authentication method and key generating method in wireless portable internet system | |
KR100990320B1 (en) | Method and system for providing client privacy when requesting content from a public server | |
Xu et al. | Security issues in privacy and key management protocols of IEEE 802.16 | |
KR101158956B1 (en) | Method for distributing certificates in a communication system | |
EP1348280B1 (en) | Authentication in data communication | |
US6249867B1 (en) | Method for transferring sensitive information using initially unsecured communication | |
JP5255060B2 (en) | Secure wireless communication | |
KR100729105B1 (en) | Apparatus And Method For Processing EAP-AKA Authentication In The non-USIM Terminal | |
US20140298037A1 (en) | Method, apparatus, and system for securely transmitting data | |
US20070220598A1 (en) | Proactive credential distribution | |
US20050271209A1 (en) | AKA sequence number for replay protection in EAP-AKA authentication | |
WO2008021855A2 (en) | Ad-hoc network key management | |
KR20090024755A (en) | Method and system for providing a mobile ip key | |
AU4476099A (en) | Method for protecting mobile anonymity | |
KR100423153B1 (en) | Method for terminal authentication in network | |
JP4793024B2 (en) | User authentication method, authentication server and system | |
Liu et al. | Extensible authentication protocols for IEEE standards 802.11 and 802.16 | |
Liang et al. | A local authentication control scheme based on AAA architecture in wireless networks | |
KR102345093B1 (en) | Security session establishment system and security session establishment method for wireless internet | |
KR20220107431A (en) | Method for mutual authenticating between authentication server and device using hardware security module and method using the same | |
KR20170111809A (en) | Bidirectional authentication method using security token based on symmetric key | |
Preuß Mattsson et al. | RFC 9190: EAP-TLS 1.3: Using the Extensible Authentication Protocol with TLS 1.3 | |
CN101176296A (en) | Network assisted terminal to SIMM/UICC key establishment | |
Pagliusi et al. | PANA/GSM authentication for Internet access |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
N231 | Notification of change of applicant | ||
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130219 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20140218 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20150216 Year of fee payment: 12 |
|
LAPS | Lapse due to unpaid annual fee |