KR100423153B1 - Method for terminal authentication in network - Google Patents

Method for terminal authentication in network Download PDF

Info

Publication number
KR100423153B1
KR100423153B1 KR10-2000-0073388A KR20000073388A KR100423153B1 KR 100423153 B1 KR100423153 B1 KR 100423153B1 KR 20000073388 A KR20000073388 A KR 20000073388A KR 100423153 B1 KR100423153 B1 KR 100423153B1
Authority
KR
South Korea
Prior art keywords
chap
value
wireless terminal
aaa server
authentication
Prior art date
Application number
KR10-2000-0073388A
Other languages
Korean (ko)
Other versions
KR20020044344A (en
Inventor
박성균
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR10-2000-0073388A priority Critical patent/KR100423153B1/en
Publication of KR20020044344A publication Critical patent/KR20020044344A/en
Application granted granted Critical
Publication of KR100423153B1 publication Critical patent/KR100423153B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Abstract

본 발명은 패킷 데이터 서비스 개시 요청에 따라 FA에서 AAA 서버로 전송되는 접근 요청 메시지에 포함되는 CHAP 비밀 번호를 암호화함으로써, AAA 서버가 해킹되는 것을 방지할 수 있도록 하는 통신 망에서의 단말기 인증 방법에 관한 것이다.The present invention relates to a terminal authentication method in a communication network to prevent the AAA server from being hacked by encrypting the CHAP password included in the access request message transmitted from the FA to the AAA server according to the packet data service initiation request. will be.

종래에는 무선 단말기와 AAA 서버 만이 공유하는 비밀 번호와 임의의 챌린지 값 등을 암호화한 값을 인증하도록 되어 있는 데, 무선 단말기와 AAA 서버 사이에 공유하고 있는 공유 비밀 번호를 FA에서는 가지고 있지 않기 때문에, 무선 단말기와 FA 사이의 메시지를 크래커가 해킹하면, 공유 비밀 번호를 알지 못하더라도 FA에서 AAA 서버로 보내는 접근 요청 메시지를 정상적으로 만들 수 있게 되어 AAA 서버가 해킹되는 문제점이 있다.Conventionally, only the wireless terminal and the AAA server are authenticated by encrypting a password and an arbitrary challenge value. The FA does not have a shared password shared between the wireless terminal and the AAA server. If the cracker hacks a message between the wireless terminal and the FA, the AAA server is hacked because the access request message sent from the FA to the AAA server can be normally created even if the cracker does not know the shared password.

본 발명은, 무선 단말기의 패킷 데이터 서비스 개시 요청에 따라 FA에서 AAA 서버로 전송하는 접근 요청 메시지에 포함되는 CHAP 비밀 번호를 FA와 AAA 사이에 공유하고 있는 NAS 비밀키와 임의로 생성한 요청 인증 값으로 암호화하여 전송함으로써, AAA 서버가 해킹되는 것을 방지할 수 있게 된다.The present invention provides a CHAP password included in an access request message transmitted from a FA to an AAA server according to a packet data service initiation request of a wireless terminal, with a NAS secret key shared between the FA and AAA and a request authentication value arbitrarily generated. By encrypting and transmitting, it is possible to prevent the AAA server from being hacked.

Description

통신 망에서의 단말기 인증 방법{Method for terminal authentication in network}Method for terminal authentication in network

본 발명은 통신 망에서의 단말기 인증 방법에 관한 것으로서, 특히 패킷 데이터 서비스 개시 요청에 따라 FA에서 AAA 서버로 전송되는 접근 요청 메시지에 포함되는 CHAP 비밀 번호를 FA와 AAA 사이에 공유하고 있는 NAS 비밀키로 암호화함으로써, AAA 서버가 해킹되는 것을 방지할 수 있도록 하는 통신 망에서의 단말기 인증 방법에 관한 것이다.The present invention relates to a terminal authentication method in a communication network, and more particularly, to a NAS secret key sharing a CHAP password included in an access request message transmitted from a FA to an AAA server according to a packet data service initiation request. By encrypting, it relates to a terminal authentication method in a communication network to prevent the AAA server from being hacked.

일반적으로 AAA(Authentication, Authorization and Accounting) 서버는 RADIUS(Remote Authentication Dial In User Service) 프로토콜을 사용하여 FA(Foreign Agent)에 등록된 무선 단말기에 대한 인증을 수행하는 것으로, 사용자가 무선 단말기로 패킷 데이터 서비스 개시를 요청하면 FA는 등록된 무선 단말기가 정상인지 여부를 확인하기 위한 절차로 접근 요청 메시지를 AAA 서버로 전송하고, AAA 서버는 수신한 접근 요청 메시지를 사용하여 무선 단말기에 대한 인증을 수행한다.In general, AAA (Authentication, Authorization and Accounting) server uses the Remote Authentication Dial In User Service (RADIUS) protocol to authenticate a wireless terminal registered with a Foreign Agent (FA). When the service is requested to start, the FA sends an access request message to the AAA server as a procedure for checking whether the registered wireless terminal is normal, and the AAA server authenticates the wireless terminal using the received access request message. .

패킷 데이터 서비스는 단순 IP(Simple IP) 또는 이동 IP(Mobile IP) 방식으로 설정되는 데, 패킷 데이터 서비스가 단순 IP 방식으로 설정되어 있는 경우에는 CHAP(Challenge Handshake Authentication Protocol) 인증 방식으로, 이동 IP 방식으로 설정되어 있는 경우에는 FAC(Foreign Agent Challenge) 인증 방식으로 인증을 수행하는 경우에 대해서만 설명한다.The packet data service is set to Simple IP or Mobile IP. If the packet data service is set to Simple IP, it is a Challenge Handshake Authentication Protocol (CHAP) authentication method. If set to, only the case where authentication is performed using the Foreign Agent Challenge (FAC) authentication method will be described.

도 1 및 도 2는 종래 단순 IP의 CHAP 인증 방법을 설명하기 위한 도로, 무선 단말기 사용자가 무선 단말기(10)를 이용하여 무선 패킷 데이터 서비스 개시를 요청하면(S10), FA(20)는 임의의 챌린지 값(Challenge)을 생성하고(S12), 생성한 챌린지 값(Challenge)을 CHAP 챌린지(CHAP_CHALLENGE) 메시지에 포함하여 무선 단말기(10)로 전송한다(S14).1 and 2 are roads for explaining a conventional simple IP CHAP authentication method, when the user of the wireless terminal requests the start of the wireless packet data service using the wireless terminal 10 (S10), the FA 20 is an arbitrary A challenge value (Challenge) is generated (S12), and the generated challenge value (Challenge) is included in a CHAP challenge (CHAP_CHALLENGE) message and transmitted to the wireless terminal 10 (S14).

상기한 과정 S14에서 FA(20)로부터 CHAP 챌린지(CHAP_CHALLENGE) 메시지를 전송받은 무선 단말기(10)에서는 전송받은 CHAP 챌린지(CHAP_CHALLENGE) 메시지에 포함되어 있는 챌린지 값(Challenge)의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, AAA 서버(30)와 무선 단말기(10)만이 알고 있는 공유 비밀키(MN-AAA SharedSecret)와, 챌린지 값(Challenge)을 MD(Message Digest)5 알고리즘으로 암호화하여 CHAP 응답{ChapResponse=MD5(ChapId+MN-AAA SharedSecret+Challenge)}을 만들고, CHAP 응답(ChapResponse)을 CHAP 챌린지(CHAP_CHALLENGE) 메시지에 대한 응답 메시지인 CHAP 응답(CHAP_RESPONSE) 메시지에 포함하여 FA(20)로 전송한다(S16).In step S14, the wireless terminal 10 that receives the CHAP challenge (CHAP_CHALLENGE) message from the FA 20 in step S14 uses the first byte of the challenge value (Challenge) included in the received CHAP challenge (CHAP_CHALLENGE) message. (ChapId), the shared secret key (MN-AAA SharedSecret) known only by the AAA server 30 and the wireless terminal 10, and the challenge value (Challenge) by encrypting the message Digest (MD) 5 algorithm to the CHAP response {ChapResponse = MD5 (ChapId + MN-AAA SharedSecret + Challenge)}, and send the CHAP response (ChapResponse) to the FA (20) by including it in a CHAP response (CHAP_RESPONSE) message, which is a response to the CHAP challenge (CHAP_CHALLENGE) message ( S16).

상기한 과정 S16에서 무선 단말기(10)로부터 CHAP 응답(CHAP_RESPONSE) 메시지를 전송받은 FA(20)에서는 상기한 과정 S12에서 무선 단말기의 무선 패킷 데이터 서비스 요청에 따라 임의로 생성한 챌린지 값의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, 무선 단말기(10)로부터 전송받은 CHAP 응답(ChapResponse)을 합쳐 CHAP 비밀 번호(ChapPassword)를 만들고, 상기한 과정 S12에서 임으로 생성한 챌린지 값(Challenge)을 CHAP 챌린지(ChapChallenge)에 담는다(S18).The FA 20 receiving the CHAP response (CHAP_RESPONSE) message from the wireless terminal 10 in step S16 uses the first byte of a challenge value randomly generated according to the wireless packet data service request of the wireless terminal in step S12. The CHAP identifier (ChapId) and the CHAP response (ChapResponse) received from the wireless terminal 10 are combined to create a CHAP password (ChapPassword), and the challenge value (Challenge) randomly generated in the process S12 described above is a CHAP challenge (ChapChallenge). ) Into (S18).

이후에는 상기한 과정 S18에서 만든 CHAP 비밀 번호(ChapPassword)와, CHAP 챌린지(ChapChallenge) 등을 포함하는 접근 요청(Access-Request) 메시지를 만들어 AAA 서버(30)로 전송한다(S20).Subsequently, an access-request message including a CHAP password (ChapPassword) and a CHAP challenge (ChapChallenge), etc. created in step S18 is created and transmitted to the AAA server 30 (S20).

상기한 과정 S20에서 FA(20)로부터 접근 요청 메시지를 전송받은 AAA 서버(30)에서는 접근 요청 메시지에 포함되어 있는 CHAP 비밀 번호(ChapPassword)에서 CHAP 식별자(ChapId)와 CHAP 응답(ChapResponse)을 추출한다(S22).The AAA server 30 receiving the access request message from the FA 20 in step S20 extracts a CHAP identifier (ChapId) and a CHAP response (ChapResponse) from the CHAP password (ChapPassword) included in the access request message. (S22).

이후에는, 상기한 과정 S22에서 추출한 CHAP 식별자(ChapId)와, 무선 단말기(10)와 AAA 서버(30)만이 알고 있는 공유 비밀키(MN-AAA SharedSecret)와, 상기한 과정 S20에서 전송받은 접근 요청 메시지에 포함되어 있는 CHAP 챌린지(ChapChallenge)를 MD5 알고리즘으로 암호화하여 임시 값{Temp=MD5(ChapId+MN-AAA SharedSecret+ChapChallenge)}을 생성하고(S24), 임시 값(Temp)이 상기한 과정 S22에서 추출한 CHAP 응답(ChapResponse)과 같은 지를 판단한다(S26).Thereafter, the CHAP identifier (ChapId) extracted in step S22, the shared secret key (MN-AAA SharedSecret) only known by the wireless terminal 10 and the AAA server 30, and the access request received in step S20. The CHAP challenge (ChapChallenge) included in the message is encrypted using the MD5 algorithm to generate a temporary value {Temp = MD5 (ChapId + MN-AAA SharedSecret + ChapChallenge)} (S24), and the temporary value (Temp) is the process S22 described above. It is determined whether or not the extracted CHAP response (ChapResponse) is the same (S26).

상기한 과정 S26의 판단결과 임시 값(Temp)과 CHAP 응답(ChapResponse)이 같은 경우에는 인증 성공으로 판단하여 FA(20)로 접근 요청에 대한 접근 허가(Access-Accept) 메시지를 전송하고(S28), 임시 값(Temp)과 CHAP 응답(ChapResponse)이 같지 않은 경우에는 인증 실패로 판단하여 FA(20)로 접근 요청에 대한 접근 거절(Access-Reject) 메시지를 전송한다(S30).If the result of the determination in step S26 is the same as the temporary value (Temp) and the CHAP response (ChapResponse), it is determined that the authentication is successful, and transmits an access-accept message for the access request to the FA 20 (S28). If the temporary value (Temp) and the CHAP response (ChapResponse) are not the same, it is determined that the authentication has failed and transmits an access rejection message (Access-Reject) message to the access request to the FA 20 (S30).

한편, 도 3 및 도 4는 종래 이동 IP의 FAC 인증 방법을 설명하기 위한 도로, 무선 단말기 사용자가 무선 단말기(10)를 이용하여 무선 패킷 데이터 서비스 개시를 요청하면(S40), FA(20)는 임의의 챌린지 값(Challenge)을 생성하고(S42), 생성한 챌린지 값(Challenge)을 에이전트 광고(Agent Advertisement) 메시지에 포함하여 무선 단말기(10)로 전송한다(S44).Meanwhile, FIGS. 3 and 4 are roads for explaining a conventional method of FAC authentication of mobile IP. When a wireless terminal user requests to start a wireless packet data service using the wireless terminal 10 (S40), the FA 20 An arbitrary challenge value is generated (S42), and the generated challenge value (Challenge) is included in an agent advertisement message and transmitted to the wireless terminal 10 (S44).

상기한 과정 S44에서 FA(20)로부터 에이전트 광고 메시지를 전송받은 무선 단말기(10)는 HA(Home Agent)(40)에 자신의 위치를 등록하기 위해 상기한 과정 S44에서 FA(20)로부터 전송받은 챌린지 값(Challenge)과 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)을 포함하여 이동 IP 등록 요청(Mobile IP Registration Request;이하, MIP RRQ라 한다) 패킷을 생성한다(S46).The wireless terminal 10 receiving the agent advertisement message from the FA 20 in step S44 is received from the FA 20 in step S44 to register its location with the HA (Home Agent) 40. Generate a Mobile IP Registration Request (hereinafter referred to as MIP RRQ) packet including a challenge value (Challenge) and an authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30. (S46).

상기한 과정 S46에서 생성된 MIP RRQ 패킷에 포함되는 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)은 상기한 과정 S44에서 FA(20)로부터 전달받은 챌린지 값(Challenge)의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, 무선 단말기(10)와 AAA 서버(30) 만이 알고 있는 공유 비밀키(MN-AAA SharedSecret)와, 챌린지 값(Challenge)과, 제 1암호화 값을 MD5 알고리즘으로 암호화한 값으로, 제 1암호화 값은 HA(40)에 무선 단말기(10)의 위치를 등록하기 위해 현재 생성하고 있는 MIP RRQ 패킷에서 현재 생성할 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator) 이전에 위치하는 MIP RRQ 패킷 정보를 MD5 알고리즘으로 암호화한 결과 값이다.The authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 included in the MIP RRQ packet generated in step S46 is a challenge value received from the FA 20 in step S44. CHAP Identifier (ChapId) using the first byte of the CDMA, a shared secret key (MN-AAA SharedSecret) known only to the wireless terminal 10 and the AAA server 30, the challenge value, and the first encryption value. Is a value encrypted by the MD5 algorithm, and the first encryption value is a wireless terminal 10 and an AAA server (10) to be currently generated in a MIP RRQ packet currently generated to register the position of the wireless terminal 10 with the HA 40. 30) The MIP RRQ packet information located before the MN-AAA Authenticator is encrypted using the MD5 algorithm.

이후에는 상기한 과정 S46에서 생성한 MIP RRQ 패킷을 FA(20)로 전송하고(S48), 무선 단말기(10)로부터 MIP RRQ 패킷을 전송받은 FA(20)에서는 상기한 과정 S42에서 생성한 챌린지 값(Challenge)의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, 무선 단말기(10)로부터 전송받은 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)으로 CHAP 비밀 번호(ChapPassword)를 만들고,상기한 과정 S42에서 생성한 챌린지 값(Challenge)과, 무선 단말기(10)로부터 전송받은 MIP RRQ 패킷 중에서 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator) 이전에 위치하는 MIP RRQ 패킷 정보를 MD5 알고리즘으로 암호화한 결과 값을 합쳐서 CHAP 챌린지(ChapChallenge)를 만든다(S50).Thereafter, the MIP RRQ packet generated in step S46 is transmitted to the FA 20 (S48), and the FA 20 receiving the MIP RRQ packet from the wireless terminal 10 receives the challenge value generated in step S42. CHAP identifier (ChapId) using the first byte of the (Challenge) and CHAP password (ChapPassword) as an authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 received from the wireless terminal 10 ), The challenge value (Challenge) generated in the above-described process S42 and the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 among the MIP RRQ packets received from the wireless terminal 10 The MIP RRQ packet information, which has been previously located, is combined with the MD5 algorithm, and the CHAP challenge (Shap) is added.

이후에는 상기한 과정 S50에서 만든 CHAP 비밀 번호(ChapPassword)와 CHAP 챌린지(ChapChallenge) 등을 포함하는 접근 요청(Access-Request) 메시지를 만들어 AAA 서버(30)로 전송한다(S52).Subsequently, an access-request message including a CHAP password (ChapPassword) and a CHAP challenge (ChapChallenge), which are created in step S50, is created and transmitted to the AAA server 30 (S52).

상기한 과정 S52에서 FA(20)로부터 접근 요청 메시지를 전송받은 AAA 서버(30)에서는 접근 요청 메시지에 포함되어 있는 CHAP 비밀 번호(ChapPassword)에서 CHAP 식별자(ChapId)와 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)을 추출한다(S54).The AAA server 30 receiving the access request message from the FA 20 in step S52 described above, the CHAP identifier (ChapId) and the wireless terminal 10 and the AAA server in the CHAP password (ChapPassword) included in the access request message. The authentication value (MN-AAA Authenticator) between the 30 is extracted (S54).

이후에는 상기한 과정 S54에서 추출한 CHAP 식별자(ChapId)와, 무선 단말기(10)와 AAA 서버(30) 만이 알고 있는 공유 비밀 키(MN-AAA SharedSecret)와, 상기한 과정 S52에서 전송받은 접근 요청 메시지에 포함되어 있는 CHAP 챌린지(ChapChallenge)를 MD5 알고리즘으로 암호화하여 임시 값{Temp=MD5(ChapId+MN-AAA SharedSecret+ChapChallenge)}을 생성하고(S56), 임시 값(Temp)이 상기한 과정 S54에서 추출한 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)과 같은 지를 판단한다(S58).After that, the CHAP identifier (ChapId) extracted in step S54, the shared secret key (MN-AAA SharedSecret) known only to the wireless terminal 10 and the AAA server 30, and the access request message received in step S52. The temporary value {Temp = MD5 (ChapId + MN-AAA SharedSecret + ChapChallenge)} is generated by encrypting the CHAP challenge (ChapChallenge) included in the MD5 algorithm (S56), and the temporary value (Temp) is described in step S54. It is determined whether the authentication value (MN-AAA Authenticator) between the extracted wireless terminal 10 and the AAA server 30 is the same (S58).

상기한 과정 S58의 판단결과 임시 값(Temp)과 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)이 같은 경우에는 인증 성공으로 판단하여 FA(20)로 접근 요청에 대한 접근 허가(Access-Accept) 메시지를 전송하고(S60), 임시 값(Temp)과 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)이 같지 않은 경우에는 인증 실패로 판단하여 FA(20)로 접근 요청에 대한 접근 거절(Access-Reject) 메시지를 전송한다(S62).If the temporary value (Temp) and the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 are the same as the determination result of step S58, it is determined that the authentication is successful and the access request is made to the FA 20. If the access-accept message is transmitted (S60), and the temporary value (Temp) and the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 are not the same, the authentication fails. In response to the determination, the FA 20 transmits an access rejection message (Access-Reject) message for the access request (S62).

상기한 과정 S60에서 AAA 서버(30)로부터 접근 허가 메시지를 전송받은 FA(20)에서는 HA(40)로 MIP RRQ 패킷을 전송하고(S64), HA(40)에서는 응답으로 이동 IP 등록 응답(Mobile IP Registration Response;이하, MIP RRP라 한다) 패킷을 FA(20)로 전송한다(S66).The FA 20 receiving the access permission message from the AAA server 30 in step S60 transmits a MIP RRQ packet to the HA 40 (S64), and the HA 40 responds with a mobile IP registration response (Mobile). IP Registration Response (hereinafter referred to as MIP RRP) packet is transmitted to the FA 20 (S66).

HA(40)로부터 MIP RRP를 전송받은 FA(20)에서는 HA(40)로부터 전송받은 MIP RRP를 무선 단말기(10)로 전송한다(S68).The FA 20 receiving the MIP RRP from the HA 40 transmits the MIP RRP received from the HA 40 to the wireless terminal 10 (S68).

이상에서 살펴본 바와 같이, 종래에는 단순 IP의 CHAP 인증 방법이든 이동 IP의 FAC 인증 방법이든 간에 인증이 무선 단말기(10)와 AAA 서버(30) 만이 공유하는 비밀 번호와 임의의 챌린지 값 등을 MD5 알고리즘으로 암호화한 값을 인증하도록 되어 있는 데, 무선 단말기(10)와 AAA 서버(30) 사이에 공유하는 공유 비밀 번호를 FA(20)에서는 가지고 있지 않기 때문에, 무선 단말기(10)와 FA(20) 사이의 메시지를 크래커가 해킹하면(공유 비밀 번호 자체는 망 상에서 전달되지 않으므로 해킹되기 힘들며 단지 메시지 자체는 해킹될 수 있다), 공유 비밀 번호를 알지 못하더라도 마치 FA(20)가 메시지를 만드는 것처럼 CHAP 비밀 번호(ChapPassword)와 CHAP 챌린지(ChapChallenge)를 만들 수 있고, FA(20)에서 AAA 서버(30)로 보내는 접근 요청 메시지를 정상적으로 만들 수 있게 된다. 따라서, 정상적인 접근 요청메시지를 만들어 AAA 서버(30)로 전송하면 AAA 서버(30)의 자원을 고갈시키게 되는 문제점이 있다.As described above, in the related art, whether the authentication method is a simple IP CHAP authentication method or a mobile IP FAC authentication method, the MD5 algorithm generates a password and an arbitrary challenge value shared only by the wireless terminal 10 and the AAA server 30. Although the FA 20 does not have a shared password shared between the wireless terminal 10 and the AAA server 30, the wireless terminal 10 and the FA 20 do not have a shared password. If a cracker hacks a message between them (the shared password itself is not transmitted over the network, it is difficult to hack and only the message itself can be hacked), even if the shared password is unknown, as if the FA 20 created the message. A password (ChapPassword) and a CHAP Challenge (ChapChallenge) can be created, and an access request message sent from the FA 20 to the AAA server 30 can be normally created. Therefore, if a normal access request message is made and transmitted to the AAA server 30, there is a problem that the resources of the AAA server 30 are depleted.

본 발명은 전술한 문제점을 해결하기 위해 안출된 것으로서, 무선 단말기의 패킷 데이터 서비스 개시 요청에 따라 FA에서 AAA 서버로 전송하는 접근 요청 메시지에 포함되는 CHAP 비밀 번호를 해킹되기 어려운 NAS 비밀키와 임의로 생성한 요청 인증 값으로 암호화하여 전송함으로써, 크래커가 AAA 서버로 보내는 메시지를 만들 수 없도록 하여 AAA 서버가 해킹되는 것을 방지할 수 있도록 하는 통신 망에서의 단말기 인증 방법을 제공함에 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problem, and randomly generates a CHAP password included in an access request message transmitted from a FA to an AAA server and a NAS secret key, which are difficult to be hacked, in response to a packet data service initiation request of a wireless terminal. It is an object of the present invention to provide a terminal authentication method in a communication network that prevents the AAA server from being hacked by preventing the cracker from making a message sent to the AAA server by encrypting and transmitting it with one request authentication value.

도 1 및 도 2는 종래 단순 IP의 CHAP 인증 방법을 설명하기 위한 도.1 and 2 are diagrams for explaining a CHAP authentication method of a conventional simple IP.

도 3 및 도 4는 종래 이동 IP의 FAC 인증 방법을 설명하기 위한 도.3 and 4 are diagrams for explaining a FAC authentication method of a conventional mobile IP.

도 5 및 도 6은 본 발명에 따른 단순 IP의 CHAP 인증 방법을 설명하기 위한 도.5 and 6 are diagrams for explaining a CHAP authentication method of a simple IP according to the present invention.

도 7 및 도 8은 본 발명에 따른 이동 IP의 FAC 인증 방법을 설명하기 위한 도.7 and 8 are diagrams for explaining a FAC authentication method of mobile IP according to the present invention.

*** 도면의 주요 부분에 대한 부호의 설명 ****** Explanation of symbols for the main parts of the drawing ***

10. 단말기, 20. FA,10. terminal, 20. FA,

30. AAA 서버, 40. HA30.AAA server, 40.HA

전술한 목적을 달성하기 위한 본 발명에 통신 망에서의 단말기 인증 방법은, 무선 단말기의 패킷 데이터 서비스 개시 요청에 따라 FA(Foreign Agent)에서 AAA(Authentication, Authorization and Accounting) 서버로 전송하는 접근 요청 메시지에 포함될 CHAP(Challenge-Handshake Authentication Protocol) 비밀 번호를 NAS(Network Access Server) 비밀키와 상기 FA에서 임의로 생성한 요청 인증값으로 암호화하는 과정과; 상기 암호화된 CHAP 비밀 번호와, 상기 요청 인증값을 상기 접근 요청 메시지에 포함하여 상기 AAA 서버로 전송하는 과정과; 상기 전송받은 암호화된 CHAP 비밀 번호를 상기 NAS 비밀키와 상기 요청 인증값으로 암호화하여 평문의 CHAP 비밀 번호를 얻는 과정과; 상기 평문의 CHAP 비밀 번호에 의거하여 인증을 수행하는 과정을 포함하여 이루어진다.In the present invention for achieving the above object, a terminal authentication method in a communication network, the access request message transmitted from the FA (Foreign Agent) to the Authentication, Authorization and Accounting (AAA) server according to the packet data service start request of the wireless terminal Encrypting a Challenge-Handshake Authentication Protocol (CHAP) password to be included in a Network Access Server (NAS) secret key and a request authentication value randomly generated by the FA; Transmitting the encrypted CHAP password and the request authentication value in the access request message to the AAA server; Encrypting the received encrypted CHAP password with the NAS secret key and the request authentication value to obtain a plain text CHAP password; And performing authentication based on the CHAP password of the plain text.

여기서, 상기 패킷 데이터 서비스가 단순 IP 방식으로 설정되는 경우에는, 무선 단말기의 무선 패킷 데이터 서비스 개시 요청에 따라 FA에서 임의로 생성한 챌린지 값을 상기 무선 단말기로 전송하는 과정과; 상기 전송받은 챌린지 값의 첫 바이트를 사용하는 CHAP 식별자와, 상기 AAA 서버와 무선 단말기만이 알고 있는 공유 비밀키와, 상기 챌린지 값을 암호화하여 CHAP 응답을 생성하고, 상기 생성된 CHAP 응답을 상기 FA로 전송하는 과정과; 상기 전송받은 CHAP 응답과, 상기 CHAP 식별자를 상기 NAS 비밀키와 임의로 생성한 요청 인증 값으로 암호화하여 암호화된 CHAP 비밀 번호를 생성하고, 상기 암호화된 CHAP 비밀 번호와, 상기 챌린지 값과, 상기 요청 인증 값을 접근 요청 메시지에 포함하여 상기 AAA 서버로 전송하는 과정과; 상기 전송받은 암호화된 CHAP 비밀 번호를 상기 전송받은 요청 인증값과 NAS 비밀키로 다시 암호화하여 평문의 CHAP 비밀 번호를 생성하고, 상기 평문의 CHAP 비밀 번호에서 CHAP 식별자와 CHAP 응답을 추출하는 과정과; 상기 추출된 CHAP 식별자와, 상기 공유 비밀키와, 상기 전송받은 챌린지 값을 암호화하여 생성한 임시 값이 상기 추출된 CHAP 응답과 일치하는 지를 판단하는 과정과; 상기 판단결과 상기 임시 값과 CHAP 응답이 일치하는 경우에는 인증 성공으로 판단하여 상기 FA로 접근 요청에 대한 접근 허가 메시지를 전송하는 과정을 더 포함하여 이루어지는 것을 특징으로 한다.Here, when the packet data service is set by a simple IP method, transmitting a challenge value arbitrarily generated by the FA to the wireless terminal according to a wireless packet data service start request of the wireless terminal; A CHAP identifier using the first byte of the received challenge value, a shared secret key known only to the AAA server and the wireless terminal, and the challenge value are encrypted to generate a CHAP response, and the generated CHAP response is converted into the FA. Transmitting to; Encrypts the received CHAP response, the CHAP identifier with the NAS secret key and a randomly generated request authentication value to generate an encrypted CHAP password, the encrypted CHAP password, the challenge value, and the request authentication. Transmitting a value to the AAA server by including a value in an access request message; Re-encrypting the received encrypted CHAP password with the received request authentication value and NAS secret key to generate a plain text CHAP password, and extracting a CHAP identifier and a CHAP response from the plain text CHAP password; Determining whether a temporary value generated by encrypting the extracted CHAP identifier, the shared secret key, and the received challenge value matches the extracted CHAP response; If it is determined that the temporary value and the CHAP response match, it is determined that the authentication success, and further comprising the step of transmitting an access permission message for the access request to the FA.

그리고, 상기 패킷 데이터 서비스가 이동 IP 방식으로 설정되는 경우에는,무선 단말기의 무선 패킷 데이터 서비스 개시 요청에 따라 FA에서 임의로 생성한 챌랜지 값을 상기 무선 단말기로 전송하는 과정과; 상기 전송받은 챌린지 값과, 상기 무선 단말기와 AAA 서버 간의 인증 값으로 MIP RRQ(Mobile IP Registration Request) 패킷을 생성하여 상기 FA로 전송하는 과정과; 상기 전송받은 무선 단말기와 AAA 서버 간의 인증 값과, CHAP 식별자를 NAS 비밀키와 임의로 생성한 요청 인증 값으로 암호화하여 생성된 암호화된 CHAP 비밀 번호와, 상기 챌린지 값과 상기 MIP RRQ 패킷 중에서 상기 무선 단말기와 AAA 서버 간의 인증 값 이전에 위치하는 패킷 정보를 암호화한 값으로 생성된 CHAP 챌린지 값과, 상기 요청 인증값을 접근 요청 메시지에 포함하여 상기 AAA 서버로 전송하는 과정과; 상기 전송받은 암호화된 CHAP 비밀 번호를 상기 전송받은 요청 인증 값과 NAS 비밀키로 다시 암호화하여 평문의 CHAP 비밀 번호를 생성하고, 상기 평문의 CHAP 비밀 번호에서 CHAP 식별자와 무선 단말기와 AAA 서버 간의 인증 값을 추출하는 과정과; 상기 추출된 CHAP 식별자와, 상기 공유 비밀 키와, 상기 전송받은 CHAP 챌린지를 암호화하여 임시 값을 생성하고, 상기 임시 값이 상기 추출된 무선 단말기와 AAA 서버 간의 인증 값과 일치하는 지를 판단하는 과정과; 상기 판단결과 상기 임시 값과 상기 무선 단말기와 AAA 서버 간의 인증 값과 일치하는 경우에는 인증 성공으로 판단하여 상기 FA로 접근 요청에 대한 접근 허가 메시지를 전송하는 과정을 더 포함하여 이루어지는 것을 특징으로 한다.And, if the packet data service is set to a mobile IP method, transmitting a challenge value arbitrarily generated by the FA to the wireless terminal in response to a wireless packet data service start request of the wireless terminal; Generating a MIP RRQ (Mobile IP Registration Request) packet with the received challenge value and an authentication value between the wireless terminal and the AAA server and transmitting the generated MIP RRQ packet to the FA; An authentication value between the received wireless terminal and the AAA server, an encrypted CHAP password generated by encrypting a CHAP identifier with a NAS secret key and a request authentication value randomly generated, the challenge value, and the wireless terminal among the MIP RRQ packets. Transmitting a CHAP challenge value generated by encrypting packet information positioned before an authentication value between the AAA server and the AAA server, and including the request authentication value in an access request message to the AAA server; The encrypted CHAP password is encrypted again using the received request authentication value and the NAS secret key to generate a plain text CHAP password, and the CHAP identifier and the authentication value between the wireless terminal and the AAA server in the plain text CHAP password. Extracting; Generating a temporary value by encrypting the extracted CHAP identifier, the shared secret key, and the received CHAP challenge, and determining whether the temporary value matches an authentication value between the extracted wireless terminal and an AAA server; ; If it is determined that the temporary value coincides with the authentication value between the wireless terminal and the AAA server, determining that the authentication is successful and transmitting the access permission message for the access request to the FA.

이하에서는 첨부한 도면을 참조하여 본 발명의 바람직한 실시예에 따른 통신망에서의 단말기 인증 방법에 대해서 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail a terminal authentication method in a communication network according to an embodiment of the present invention.

도 5 및 도 6은 본 발명에 따른 단순 IP의 CHAP 인증 방법을 설명하기 위한 도로, 무선 단말기 사용자가 무선 단말기(10)를 이용하여 무선 패킷 데이터 서비스 개시를 요청하면(S70), FA(20)는 임의의 챌린지 값(Challenge)을 생성하고(S72), 생성한 챌린지 값(Challenge)을 CHAP 챌린지(CHAP_CHALLENGE) 메시지에 포함하여 무선 단말기(10)로 전송한다(S74).5 and 6 are roads for explaining a simple IP CHAP authentication method according to the present invention, when a wireless terminal user requests to start a wireless packet data service using the wireless terminal 10 (S70), FA 20 Generates a random challenge value (S72), and includes the generated challenge value (Challenge) in the CHAP challenge (CHAP_CHALLENGE) message and transmits it to the wireless terminal 10 (S74).

상기한 과정 S74에서 FA(20)로부터 CHAP 챌린지(CHAP_CHALLENGE) 메시지를 전송받은 무선 단말기(10)에서는 전송받은 CHAP 챌린지(CHAP_CHALLENGE) 메시지에 포함되어 있는 챌린지 값(Challenge)의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, AAA 서버(30)와 무선 단말기(10)만이 알고 있는 공유 비밀키(MN-AAA SharedSecret)와, 챌린지 값(Challenge)을 MD(Message Digest)5 알고리즘으로 암호화하여 CHAP 응답{ChapResponse=MD5(ChapId+MN-AAA SharedSecret+Challenge)}을 생성하고, 생성된 CHAP 응답(ChapResponse)을 CHAP 챌린지(CHAP_CHALLENGE) 메시지에 대한 응답 메시지인 CHAP 응답(CHAP_RESPONSE) 메시지에 포함하여 FA(20)로 전송한다(S76).In step S74, the wireless terminal 10 having received the CHAP challenge (CHAP_CHALLENGE) message from the FA 20 transmits a CHAP identifier using the first byte of the challenge value included in the received CHAP challenge message. (ChapId), the shared secret key (MN-AAA SharedSecret) known only by the AAA server 30 and the wireless terminal 10, and the challenge value (Challenge) by encrypting the message Digest (MD) 5 algorithm to the CHAP response {ChapResponse = MD5 (ChapId + MN-AAA SharedSecret + Challenge)} and include the generated CHAP response (ChapResponse) in the CHAP response (CHAP_RESPONSE) message, which is a response to the CHAP challenge (CHAP_CHALLENGE) message, to the FA (20). It transmits (S76).

상기한 과정 S76에서 무선 단말기(10)로부터 CHAP 응답(CHAP_RESPONSE) 메시지를 전송받은 FA(20)에서는 상기한 과정 S72에서 무선 단말기의 무선 패킷 데이터 서비스 요청에 따라 임의로 생성한 챌린지 값의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, 무선 단말기(10)로부터 전송받은 CHAP 응답 메시지에 포함되어 있는 CHAP 응답(ChapResponse)을 FA(20)와 AAA 서버(30) 간의 네트워크 접근서버(Network Access Server;이하, NAS라 한다) 비밀키와 FA(20)에서 임의로 생성한 요청 인증 값(RequestAuthenticator)으로 암호화하여 암호화된 CHAP 비밀 번호(ChapPassword)를 만들고, 상기한 과정 S72에서 임의로 생성한 챌린지 값(Challenge)을 CHAP 챌린지(ChapChallenge)에 담는다(S78).The FA 20 receiving the CHAP response (CHAP_RESPONSE) message from the wireless terminal 10 in step S76 uses the first byte of a challenge value randomly generated according to the wireless packet data service request of the wireless terminal in step S72. A CHAP identifier (ChapId) and a CHAP response (ChapResponse) included in the CHAP response message received from the wireless terminal 10 may be a network access server between the FA 20 and the AAA server 30. NAS) encrypted with a secret key and a request authentication value (RequestAuthenticator) arbitrarily generated by the FA 20 to create an encrypted CHAPPassword (ChapPassword), CHAP challenge challenge (Challenge) randomly generated in the above step S72 In the challenge (ChapChallenge) (S78).

상기한 과정 S78에서 암호화된 CHAP 비밀 번호는 수학식 1에 의해 얻어지는 데, 수학식 1에서 P1, P2, …, Pi은 CHAP 식별자(ChapId)와, CHAP 응답(ChapResponse)을 16바이트 단위로 쪼갠 값이고, S는 NAS 비밀키이고, RA는 FA(20)에서 임의로 생성한 요청 인증 값이고, b1, b2, …, bi는 중간 계산 값이고, c(1), c(2), …, c(i)는 암호화된 메시지의 쪼개진 부분들이다. 여기서, 쪼갠 조각 중 마지막 Pn의 길이가 16바이트가 안되면 값 뒤에 널(Null) 값을 붙여 16바이트로 만든다.The CHAP password encrypted in step S78 is obtained by Equation 1, where P1, P2,... Pi is a CHAP identifier (ChapId) and a CHAP response (ChapResponse) in 16-byte units, S is a NAS secret key, RA is a request authentication value arbitrarily generated by the FA 20, b1, b2, … , bi are intermediate calculations, c (1), c (2),... c (i) is the fragments of an encrypted message. Here, if the length of the last piece of the fragment is not 16 bytes, the value is appended with a null value to make 16 bytes.

b1=MD5(S+RA) c(1)=P1 xor b1b1 = MD5 (S + RA) c (1) = P1 xor b1

b2=MD5(S+c(1)) c(2)=P2 xor b2b2 = MD5 (S + c (1)) c (2) = P2 xor b2

: :::

bi=MD5(S+c(i-1) c(i)=Pi xor bibi = MD5 (S + c (i-1) c (i) = Pi xor bi

전술한 바와 같이, 수학식 1에 의해 생성된 c(1), c(2), …, c(i)를 모두 합하면 암호화된 CHAP 비밀 번호(ChapPassword=c(1)+c(2)+…+c(i))가 생성된다.As described above, c (1), c (2),... Generated by equation (1). , c (i) is summed up to generate an encrypted CHAP password (ChapPassword = c (1) + c (2) +… + c (i)).

이후에는 상기한 과정 S78에서 만든 암호화된 CHAP 비밀 번호(ChapPassword)와, CHAP 챌린지(ChapChallenge)와, 상기한 과정 S78에서 임의로 생성한 요청 인증값(RequestAuthenticator) 등을 포함하는 접근 요청(Access-Request) 메시지를 만들어 AAA 서버(30)로 전송한다(S80).Subsequently, an access request including an encrypted CHAP password (ChapPassword), a CHAP challenge (ChapChallenge), and a request authentication value (RequestAuthenticator) arbitrarily generated in the process S78 described above. Create a message and transmit it to the AAA server (30) (S80).

상기한 과정 S80에서 FA(20)로부터 접근 요청 메시지를 전송받은 AAA 서버(30)에서는 접근 요청 메시지에 포함되어 있는 암호화된 CHAP 비밀 번호(ChapPassword)를 전송받은 요청 인증 값(RequestAuthenticator)과 NAS 비밀키를 이용하여 다시 암호화함으로써, 평문의 CHAP 비밀 번호(PlainTextChapPassword)로 만든다(S82).The AAA server 30 that receives the access request message from the FA 20 in step S80 may request a request authentication value (RequestAuthenticator) and a NAS secret key that receive an encrypted CHAP password (ChapPassword) included in the access request message. By encrypting again, the plain text CHAP password (PlainTextChapPassword) is made (S82).

이후에는 상기한 과정 S82에서 만든 평문의 CHAP 비밀 번호(PlainTextChapPassword)에서 CHAP 식별자(ChapId)와 CHAP 응답(ChapResponse)을 추출하고(S84), 추출한 CHAP 식별자(ChapId)와, 무선 단말기(10)와 AAA 서버(30)만이 알고 있는 공유 비밀키(MN-AAA SharedSecret)와, 상기한 과정 S80에서 전송받은 접근 요청 메시지에 포함되어 있는 CHAP 챌린지(ChapChallenge)를 MD5 알고리즘으로 암호화하여 임시 값{Temp=MD5(ChapId+MN-AAA SharedSecret+ChapChallenge)}을 생성하고(S86), 생성된 임시 값(Temp)이 상기한 과정 S84에서 추출한 CHAP 응답(ChapResponse)과 같은 지를 판단한다(S88).Thereafter, the CHAP identifier (ChapId) and the CHAP response (ChapResponse) are extracted from the plaintext CHAP password (PlainTextChapPassword) of the plain text created in step S82 (S84), the extracted CHAP identifier (ChapId), the wireless terminal 10, and the AAA. The shared secret key (MN-AAA SharedSecret) only known to the server 30 and the CHAP Challenge (ChapChallenge) included in the access request message received in step S80 are encrypted using the MD5 algorithm to generate a temporary value {Temp = MD5 ( ChapId + MN-AAA SharedSecret + ChapChallenge)} (S86), and determines whether the generated temporary value (Temp) is the same as the CHAP response (ChapResponse) extracted in step S84 (S88).

상기한 과정 S88의 판단결과 임시 값(Temp)과 CHAP 응답(ChapResponse)이 같은 경우에는 인증 성공으로 판단하여 FA(20)로 접근 요청에 대한 접근 허가(Access-Accept) 메시지를 전송하고(S90), 임시 값(Temp)과 CHAP 응답(ChapResponse)이 같지 않은 경우에는 인증 실패로 판단하여 FA(20)로 접근 요청에 대한 접근 거절(Access-Reject) 메시지를 전송한다(S92).If the result of the determination of step S88 is the same as the temporary value (Temp) and the CHAP response (ChapResponse), it is determined that the authentication is successful, and transmits an access-accept message for the access request to the FA 20 (S90). If the temporary value (Temp) and the CHAP response (ChapResponse) is not the same, it is determined that the authentication failed, and transmits an access-reject message for the access request to the FA 20 (S92).

한편, 도 7 및 도 8은 본 발명에 따른 이동 IP의 FAC 인증 방법을 설명하기 위한 도로, 무선 단말기 사용자가 무선 단말기(10)를 이용하여 무선 패킷 데이터 서비스 개시를 요청하면(S100), FA(20)는 임의의 챌린지 값(Challenge)을 생성하고(S102), 생성한 챌린지 값(Challenge)을 에이전트 광고(Agent Advertisement) 메시지에 포함하여 무선 단말기(10)로 전송한다(S104).On the other hand, Figures 7 and 8 are roads for explaining the FAC authentication method of the mobile IP according to the present invention, if the wireless terminal user requests to start the wireless packet data service using the wireless terminal 10 (S100), FA ( 20 generates a random challenge value (S102), and includes the generated challenge value (Challenge) in the agent advertisement message (Agent Advertisement) message and transmits it to the wireless terminal 10 (S104).

상기한 과정 S104에서 FA(20)로부터 에이전트 광고 메시지를 전송받은 무선 단말기(10)는 HA(40)에 자신의 위치를 등록하기 위해 상기한 과정 S104에서 FA(20)로부터 전송받은 챌린지 값(Challenge)과 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)을 포함하여 이동 IP 등록 요청(Mobile IP Registration Request;이하, MIP RRQ라 한다) 패킷을 생성한다(S106).In step S104, the wireless terminal 10 receiving the agent advertisement message from the FA 20 transmits a challenge value (Challenge) received from the FA 20 in step S104 to register its location with the HA 40. ) And a mobile IP registration request (hereinafter referred to as MIP RRQ) packet including an authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 (S106).

상기한 과정 S106에서 생성된 MIP RRQ 패킷에 포함되는 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)은 상기한 과정 S104에서 FA(20)로부터 전달받은 챌린지 값(Challenge)의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, 무선 단말기(10)와 AAA 서버(30) 만이 알고 있는 공유 비밀키(MN-AAA SharedSecret)와, 챌린지 값(Challenge)과, 제 1암호화 값을 MD5 알고리즘으로 암호화한 값으로, 제 1암호화 값은 HA(40)에 무선 단말기(10)의 위치를 등록하기 위해 현재 생성하고 있는 MIP RRQ 패킷에서 현재 생성할 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator) 이전에 위치하는 MIP RRQ 패킷 정보를 MD5 알고리즘으로 암호화한 결과 값이다.The authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 included in the MIP RRQ packet generated in step S106 is a challenge value received from the FA 20 in step S104. CHAP Identifier (ChapId) using the first byte of the CDMA, a shared secret key (MN-AAA SharedSecret) known only to the wireless terminal 10 and the AAA server 30, the challenge value, and the first encryption value. Is a value encrypted by the MD5 algorithm, and the first encryption value is a wireless terminal 10 and an AAA server (10) to be currently generated in a MIP RRQ packet currently generated to register the position of the wireless terminal 10 with the HA 40. 30) The MIP RRQ packet information located before the MN-AAA Authenticator is encrypted using the MD5 algorithm.

이후에는 상기한 과정 S106에서 생성한 MIP RRQ 패킷을 FA(20)로전송하고(S108), 무선 단말기(10)로부터 MIP RRQ 패킷을 전송받은 FA(20)에서는 상기한 과정 S102에서 생성한 챌린지 값(Challenge)의 첫 바이트를 사용하는 CHAP 식별자(ChapId)와, 무선 단말기(10)로부터 전송받은 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)을 FA(20)와 AAA 서버(30) 간의 NAS 비밀키와 FA(20)에서 임의로 생성한 요청 인증 값(RequestAuthenticator)으로 암호화하여 암호화된 CHAP 비밀 번호(ChapPassword)를 만들고, 상기한 과정 S102에서 생성한 챌린지 값(Challenge)과, 무선 단말기(10)로부터 전송받은 MIP RRQ 패킷 중에서 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator) 이전에 위치하는 MIP RRQ 패킷 정보를 MD5 알고리즘으로 암호화한 결과 값을 합쳐서 CHAP 챌린지(ChapChallenge)를 만든다(S110).Thereafter, the MIP RRQ packet generated in step S106 is transmitted to the FA 20 (S108), and the FA 20 receiving the MIP RRQ packet from the wireless terminal 10 transmits the challenge value generated in step S102. CHAP identifier (ChapId) using the first byte of the (Challenge) and the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 received from the wireless terminal 10 and the FA (20) Encrypt with a NAS secret key between the AAA server 30 and a request authentication value (RequestAuthenticator) randomly generated by the FA 20 to create an encrypted CHAP password (ChapPassword), the challenge value (Challenge) generated in the above step S102 And MIP RRQ packet information located before the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 among the MIP RRQ packets received from the wireless terminal 10 using MD5 algorithm. Combine to create a CHAP challenge (ChapChallenge) (S110).

상기한 과정 S110에서 암호화된 CHAP 비밀 번호(ChapPassword)를 만드는 과정은 단순 IP의 CHAP 인증 방식과 동일하므로 그에 대한 상세한 설명은 생략하기로 한다.Since the process of creating an encrypted CHAP password (ChapPassword) in the process S110 is the same as the CHAP authentication method of a simple IP, a detailed description thereof will be omitted.

이후에는 상기한 과정 S110에서 만든 암호화된 CHAP 비밀 번호(ChapPassword)와, CHAP 챌린지(ChapChallenge)와, 상기한 과정 S110에서 임의로 생성한 요청 인증 값(RequestAuthenticator) 등을 포함하는 접근 요청(Access-Request) 메시지를 만들어 AAA 서버(30)로 전송한다(S112).Subsequently, an access request including an encrypted CHAP password (ChapPassword), a CHAP challenge (ChapChallenge), a request authentication value (RequestAuthenticator) arbitrarily generated in the process S110, and the like. The message is created and transmitted to the AAA server 30 (S112).

상기한 과정 S114에서 FA(20)로부터 접근 요청 메시지를 전송받은 AAA 서버(30)에서는 접근 요청 메시지에 포함되어 있는 암호화된 CHAP 비밀 번호(ChapPassword)를 전송받은 요청 인증 값(RequestAuthenticator)과 NAS 비밀키를 이용하여 다시 암호화함으로써, 평문의 CHAP 비밀 번호(PlainTextChapPassword)로 만든다(114).The AAA server 30 that receives the access request message from the FA 20 in step S114 described above and the NAS secret key and the request authentication value (RequestAuthenticator) receiving the encrypted CHAP password (ChapPassword) included in the access request message. By encrypting again, the plain text CHAP password (PlainTextChapPassword) is made (114).

이후에는, 상기한 과정 S114에서 만든 평문의 CHAP 비밀 번호(PlainTextChapPassword)에서 CHAP 식별자(ChapId)와 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)을 추출하고(S116), 추출한 CHAP 식별자(ChapId)와, 무선 단말기(10)와 AAA 서버(30) 만이 알고 있는 공유 비밀 키(MN-AAA SharedSecret)와, 상기한 과정 S112에서 전송받은 접근 요청 메시지에 포함되어 있는 CHAP 챌린지(ChapChallenge)를 MD5 알고리즘으로 암호화하여 임시 값{Temp=MD5(ChapId+MN-AAA SharedSecret+ChapChallenge)}을 생성하고(S118), 임시 값(Temp)이 상기한 과정 S116에서 추출한 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)과 같은 지를 판단한다(S120).Thereafter, the CHAP identifier (ChapId) and the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 are extracted from the plaintext CHAP password (PlainTextChapPassword) generated in the process S114 (S116). , The extracted CHAP identifier (ChapId), the shared secret key (MN-AAA SharedSecret) that only the wireless terminal 10 and the AAA server 30 know, and the CHAP challenge included in the access request message received in the above-mentioned process S112. (ChapChallenge) is encrypted using the MD5 algorithm to generate a temporary value {Temp = MD5 (ChapId + MN-AAA SharedSecret + ChapChallenge)} (S118), and the temporary value (Temp) is extracted from the above-mentioned process S116. It is determined whether the same as the authentication value (MN-AAA Authenticator) between the AAA server 30 (S120).

상기한 과정 S120의 판단결과 임시 값(Temp)과 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)이 같은 경우에는 인증 성공으로 판단하여 FA(20)로 접근 요청에 대한 접근 허가(Access-Accept) 메시지를 전송하고(S122), 임시 값(Temp)과 무선 단말기(10)와 AAA 서버(30) 간의 인증 값(MN-AAA Authenticator)이 같지 않은 경우에는 인증 실패로 판단하여 FA(20)로 접근 요청에 대한 접근 거절(Access-Reject) 메시지를 전송한다(S124).If the temporary value (Temp) and the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 are the same as the determination result of the process S120, it is determined that the authentication is successful and the access request is made to the FA 20. If the access permission (Access-Accept) message is transmitted (S122), if the temporary value (Temp) and the authentication value (MN-AAA Authenticator) between the wireless terminal 10 and the AAA server 30 is not the same as authentication failure In response to the determination, the access request message (Access-Reject) for the access request is transmitted to the FA 20 (S124).

상기한 과정 S122에서 AAA 서버(30)로부터 접근 허가 메시지를 전송받은 FA(20)에서는 HA(40)로 MIP RRQ 패킷을 전송하고(S126), HA(40)에서는 응답으로 이동 IP 등록 응답(Mobile IP Registration Response;이하, MIP RRP라 한다) 패킷을FA(20)로 전송한다(S128).In step S122, the FA 20, which receives the access permission message from the AAA server 30, transmits a MIP RRQ packet to the HA 40 (S126), and the HA 40 responds with a mobile IP registration response (Mobile). IP Registration Response (hereinafter referred to as MIP RRP) packet is transmitted to the FA 20 (S128).

HA(40)로부터 MIP RRP를 전송받은 FA(20)에서는 HA(40)로부터 전송받은 MIP RRP를 무선 단말기(10)로 전송한다(S130).The FA 20 receiving the MIP RRP from the HA 40 transmits the MIP RRP received from the HA 40 to the wireless terminal 10 (S130).

본 발명의 통신 망에서의 단말기 인증 방법은 전술한 실시예에 국한되지 않고 본 발명의 기술 사상이 허용하는 범위 내에서 다양하게 변형하여 실시할 수 있다.The terminal authentication method in the communication network of the present invention is not limited to the above-described embodiments, and may be variously modified and implemented within the range allowed by the technical idea of the present invention.

이상에서 설명한 바와 같은 본 발명의 통신 망에서의 단말기 인증 방법에 따르면, 공유되는 비밀키(MN-AAA 공유 비밀키, NAS 비밀키)는 망 상에서 전달되지 않기 때문에 해킹되기 힘드나 메시지 자체는 해킹될 수 있기 때문에 무선 단말기의 패킷 데이터 서비스 개시 요청에 따라 FA에서 AAA 서버로 전송하는 접근 요청 메시지에 포함되는 CHAP 비밀 번호를 해킹되기 어려운 NAS 비밀키와 임의로 생성한 요청 인증 값으로 암호화하여 전송함으로써, 크래커가 NAS 비밀키를 얻을 수 없기 때문에 AAA 서버로 보내는 메시지를 만들 수 없게 된다. 이로 인해, AAA 서버가 해킹되는 것을 방지할 수 있게 되는 효과가 있다.According to the terminal authentication method in the communication network of the present invention as described above, since the shared secret key (MN-AAA shared secret key, NAS secret key) is not transmitted over the network, it is difficult to be hacked, but the message itself can be hacked. Therefore, the cracker encrypts and transmits the CHAP password included in the access request message transmitted from the FA to the AAA server according to the wireless terminal's packet data service initiation request with a NAS secret key that is difficult to be hacked and a randomly generated request authentication value. Since we can't get the NAS secret key, we won't be able to create a message to the AAA server. This has the effect of preventing the AAA server from being hacked.

Claims (3)

무선 단말기의 패킷 데이터 서비스 개시 요청에 따라 FA(Foreign Agent)에서 AAA(Authentication, Authorization and Accounting) 서버로 전송하는 접근 요청 메시지에 포함될 CHAP(Challenge-Handshake Authentication Protocol) 비밀 번호를 NAS(Network Access Server) 비밀키와 상기 FA에서 임의로 생성한 요청 인증값으로 암호화하는 과정과;Network Access Server (NAS) provides a Challenge-Handshake Authentication Protocol (CHAP) password to be included in an access request message sent from a foreign agent (FA) to an authentication, authorization and accounting (AAA) server in response to a packet data service initiation request from a wireless terminal. Encrypting with a secret key and a request authentication value randomly generated by the FA; 상기 암호화된 CHAP 비밀 번호와, 상기 요청 인증값을 상기 접근 요청 메시지에 포함하여 상기 AAA 서버로 전송하는 과정과;Transmitting the encrypted CHAP password and the request authentication value in the access request message to the AAA server; 상기 전송받은 암호화된 CHAP 비밀 번호를 상기 NAS 비밀키와 상기 요청 인증값으로 암호화하여 평문의 CHAP 비밀 번호를 얻는 과정과;Encrypting the received encrypted CHAP password with the NAS secret key and the request authentication value to obtain a plain text CHAP password; 상기 평문의 CHAP 비밀 번호에 의거하여 인증을 수행하는 과정을 포함하여 이루어지는 통신 망에서의 단말기 인증 방법.And a step of performing authentication based on the plain text CHAP password. 제 1항에 있어서, 상기 패킷 데이터 서비스가 단순 IP 방식으로 설정되는 경우에는,The method of claim 1, wherein the packet data service is set in a simple IP scheme. 무선 단말기의 무선 패킷 데이터 서비스 개시 요청에 따라 FA에서 임의로 생성한 챌린지 값을 상기 무선 단말기로 전송하는 과정과;Transmitting, to the wireless terminal, a challenge value arbitrarily generated by the FA in response to a wireless packet data service start request of the wireless terminal; 상기 전송받은 챌린지 값의 첫 바이트를 사용하는 CHAP 식별자와, 상기 AAA 서버와 무선 단말기만이 알고 있는 공유 비밀키와, 상기 챌린지 값을 암호화하여CHAP 응답을 생성하고, 상기 생성된 CHAP 응답을 상기 FA로 전송하는 과정과;A CHAP identifier using the first byte of the received challenge value, a shared secret key known only to the AAA server and the wireless terminal, and the challenge value are encrypted to generate a CHAP response, and the generated CHAP response is converted into the FA. Transmitting to; 상기 전송받은 CHAP 응답과, 상기 CHAP 식별자를 상기 NAS 비밀키와 임의로 생성한 요청 인증 값으로 암호화하여 암호화된 CHAP 비밀 번호를 생성하고, 상기 암호화된 CHAP 비밀 번호와, 상기 챌린지 값과, 상기 요청 인증 값을 접근 요청 메시지에 포함하여 상기 AAA 서버로 전송하는 과정과;Encrypts the received CHAP response, the CHAP identifier with the NAS secret key and a randomly generated request authentication value to generate an encrypted CHAP password, the encrypted CHAP password, the challenge value, and the request authentication. Transmitting a value to the AAA server by including a value in an access request message; 상기 전송받은 암호화된 CHAP 비밀 번호를 상기 전송받은 요청 인증값과 NAS 비밀키로 다시 암호화하여 평문의 CHAP 비밀 번호를 생성하고, 상기 평문의 CHAP 비밀 번호에서 CHAP 식별자와 CHAP 응답을 추출하는 과정과;Re-encrypting the received encrypted CHAP password with the received request authentication value and NAS secret key to generate a plain text CHAP password, and extracting a CHAP identifier and a CHAP response from the plain text CHAP password; 상기 추출된 CHAP 식별자와, 상기 공유 비밀키와, 상기 전송받은 챌린지 값을 암호화하여 생성한 임시 값이 상기 추출된 CHAP 응답과 일치하는 지를 판단하는 과정과;Determining whether a temporary value generated by encrypting the extracted CHAP identifier, the shared secret key, and the received challenge value matches the extracted CHAP response; 상기 판단결과 상기 임시 값과 CHAP 응답이 일치하는 경우에는 인증 성공으로 판단하여 상기 FA로 접근 요청에 대한 접근 허가 메시지를 전송하는 과정을 더 포함하여 이루어지는 것을 특징으로 하는 통신 망에서의 단말기 인증 방법.And if the temporary value and the CHAP response match, as the result of the determination, determining that the authentication is successful and transmitting the access permission message for the access request to the FA. 제 1항에 있어서, 상기 패킷 데이터 서비스가 이동 IP 방식으로 설정되는 경우에는,The method of claim 1, wherein when the packet data service is set to a mobile IP scheme, 무선 단말기의 무선 패킷 데이터 서비스 개시 요청에 따라 FA에서 임의로 생성한 챌랜지 값을 상기 무선 단말기로 전송하는 과정과;Transmitting, to the wireless terminal, a challenge value arbitrarily generated by the FA in response to a wireless packet data service start request of the wireless terminal; 상기 전송받은 챌린지 값과, 상기 무선 단말기와 AAA 서버 간의 인증 값으로MIP RRQ(Mobile IP Registration Request) 패킷을 생성하여 상기 FA로 전송하는 과정과;Generating a MIP RRQ (Mobile IP Registration Request) packet based on the received challenge value and an authentication value between the wireless terminal and the AAA server and transmitting the MIP RRQ packet to the FA; 상기 전송받은 무선 단말기와 AAA 서버 간의 인증 값과, CHAP 식별자를 NAS 비밀키와 임의로 생성한 요청 인증 값으로 암호화하여 생성된 암호화된 CHAP 비밀 번호와, 상기 챌린지 값과 상기 MIP RRQ 패킷 중에서 상기 무선 단말기와 AAA 서버 간의 인증 값 이전에 위치하는 패킷 정보를 암호화한 값으로 생성된 CHAP 챌린지 값과, 상기 요청 인증값을 접근 요청 메시지에 포함하여 상기 AAA 서버로 전송하는 과정과;An authentication value between the received wireless terminal and the AAA server, an encrypted CHAP password generated by encrypting a CHAP identifier with a NAS secret key and a request authentication value randomly generated, the challenge value, and the wireless terminal among the MIP RRQ packets. Transmitting a CHAP challenge value generated by encrypting packet information positioned before an authentication value between the AAA server and the AAA server, and including the request authentication value in an access request message to the AAA server; 상기 전송받은 암호화된 CHAP 비밀 번호를 상기 전송받은 요청 인증 값과 NAS 비밀키로 다시 암호화하여 평문의 CHAP 비밀 번호를 생성하고, 상기 평문의 CHAP 비밀 번호에서 CHAP 식별자와 무선 단말기와 AAA 서버 간의 인증 값을 추출하는 과정과;The encrypted CHAP password is encrypted again using the received request authentication value and the NAS secret key to generate a plain text CHAP password, and the CHAP identifier and the authentication value between the wireless terminal and the AAA server in the plain text CHAP password. Extracting; 상기 추출된 CHAP 식별자와, 상기 공유 비밀 키와, 상기 전송받은 CHAP 챌린지를 암호화하여 임시 값을 생성하고, 상기 임시 값이 상기 추출된 무선 단말기와 AAA 서버 간의 인증 값과 일치하는 지를 판단하는 과정과;Generating a temporary value by encrypting the extracted CHAP identifier, the shared secret key, and the received CHAP challenge, and determining whether the temporary value matches an authentication value between the extracted wireless terminal and an AAA server; ; 상기 판단결과 상기 임시 값과 상기 무선 단말기와 AAA 서버 간의 인증 값과 일치하는 경우에는 인증 성공으로 판단하여 상기 FA로 접근 요청에 대한 접근 허가 메시지를 전송하는 과정을 더 포함하여 이루어지는 것을 특징으로 하는 통신 망에서의 단말기 인증 방법.And if the temporary value matches the authentication value between the wireless terminal and the AAA server, determining that the authentication is successful and transmitting an access permission message for the access request to the FA. Terminal authentication method in the network.
KR10-2000-0073388A 2000-12-05 2000-12-05 Method for terminal authentication in network KR100423153B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2000-0073388A KR100423153B1 (en) 2000-12-05 2000-12-05 Method for terminal authentication in network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2000-0073388A KR100423153B1 (en) 2000-12-05 2000-12-05 Method for terminal authentication in network

Publications (2)

Publication Number Publication Date
KR20020044344A KR20020044344A (en) 2002-06-15
KR100423153B1 true KR100423153B1 (en) 2004-03-18

Family

ID=27679671

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2000-0073388A KR100423153B1 (en) 2000-12-05 2000-12-05 Method for terminal authentication in network

Country Status (1)

Country Link
KR (1) KR100423153B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8630414B2 (en) 2002-06-20 2014-01-14 Qualcomm Incorporated Inter-working function for a communication system
KR100690869B1 (en) * 2005-04-01 2007-03-09 엘지전자 주식회사 Method for distribution of security key in location information system based on supl
KR101438646B1 (en) * 2013-04-04 2014-09-17 김수현 Cookie file classifying method and system to identify clients that share a ip

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08195741A (en) * 1995-01-12 1996-07-30 Kokusai Denshin Denwa Co Ltd <Kdd> Identifier ciphering method in radio communication
JPH10112883A (en) * 1996-10-07 1998-04-28 Hitachi Ltd Radio communication exchange system, exchange, public key management device, mobile terminal and mobile terminal recognizing method
WO1999066400A2 (en) * 1998-06-19 1999-12-23 Livingston Enterprises, Inc. Centralized authentication, authorization and accounting server with support for multiple transport protocols
KR20010042024A (en) * 1998-03-19 2001-05-25 칼 하인쯔 호르닝어 Method, mobile station and radiocommunication system for controlling safety related functions in communication handling
KR20020021825A (en) * 2000-09-18 2002-03-23 오길록 The Servicing Method of Simple IP and Mobile IP Service in IMT-2000 Packet Data Service Node

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08195741A (en) * 1995-01-12 1996-07-30 Kokusai Denshin Denwa Co Ltd <Kdd> Identifier ciphering method in radio communication
JPH10112883A (en) * 1996-10-07 1998-04-28 Hitachi Ltd Radio communication exchange system, exchange, public key management device, mobile terminal and mobile terminal recognizing method
KR20010042024A (en) * 1998-03-19 2001-05-25 칼 하인쯔 호르닝어 Method, mobile station and radiocommunication system for controlling safety related functions in communication handling
WO1999066400A2 (en) * 1998-06-19 1999-12-23 Livingston Enterprises, Inc. Centralized authentication, authorization and accounting server with support for multiple transport protocols
KR20020021825A (en) * 2000-09-18 2002-03-23 오길록 The Servicing Method of Simple IP and Mobile IP Service in IMT-2000 Packet Data Service Node

Also Published As

Publication number Publication date
KR20020044344A (en) 2002-06-15

Similar Documents

Publication Publication Date Title
US8539559B2 (en) System for using an authorization token to separate authentication and authorization services
KR100704675B1 (en) authentication method and key generating method in wireless portable internet system
KR100990320B1 (en) Method and system for providing client privacy when requesting content from a public server
Xu et al. Security issues in privacy and key management protocols of IEEE 802.16
KR101158956B1 (en) Method for distributing certificates in a communication system
EP1348280B1 (en) Authentication in data communication
US6249867B1 (en) Method for transferring sensitive information using initially unsecured communication
JP5255060B2 (en) Secure wireless communication
KR100729105B1 (en) Apparatus And Method For Processing EAP-AKA Authentication In The non-USIM Terminal
US20140298037A1 (en) Method, apparatus, and system for securely transmitting data
US20070220598A1 (en) Proactive credential distribution
US20050271209A1 (en) AKA sequence number for replay protection in EAP-AKA authentication
WO2008021855A2 (en) Ad-hoc network key management
KR20090024755A (en) Method and system for providing a mobile ip key
AU4476099A (en) Method for protecting mobile anonymity
KR100423153B1 (en) Method for terminal authentication in network
JP4793024B2 (en) User authentication method, authentication server and system
Liu et al. Extensible authentication protocols for IEEE standards 802.11 and 802.16
Liang et al. A local authentication control scheme based on AAA architecture in wireless networks
KR102345093B1 (en) Security session establishment system and security session establishment method for wireless internet
KR20220107431A (en) Method for mutual authenticating between authentication server and device using hardware security module and method using the same
KR20170111809A (en) Bidirectional authentication method using security token based on symmetric key
Preuß Mattsson et al. RFC 9190: EAP-TLS 1.3: Using the Extensible Authentication Protocol with TLS 1.3
CN101176296A (en) Network assisted terminal to SIMM/UICC key establishment
Pagliusi et al. PANA/GSM authentication for Internet access

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130219

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140218

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20150216

Year of fee payment: 12

LAPS Lapse due to unpaid annual fee