KR100453826B1 - User node authentication method in mobile ad hoc networks using EAP - Google Patents
User node authentication method in mobile ad hoc networks using EAP Download PDFInfo
- Publication number
- KR100453826B1 KR100453826B1 KR10-2002-0081379A KR20020081379A KR100453826B1 KR 100453826 B1 KR100453826 B1 KR 100453826B1 KR 20020081379 A KR20020081379 A KR 20020081379A KR 100453826 B1 KR100453826 B1 KR 100453826B1
- Authority
- KR
- South Korea
- Prior art keywords
- node
- authenticated
- authentication
- master
- message
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/06—Optimizing the usage of the radio link, e.g. header compression, information sizing, discarding information
Abstract
EAP를 이용한 이동 ad hoc 망에서의 사용자 노드 인증 방법이 개시된다. 본 발명에 의한 이동 ad hoc 망에서의 사용자 노드 인증 방법은, 인증을 원하는 노드와 이웃한 노드 간에 IEEE 802.11 프로토콜에 의한 인증 및 연관을 수행하는 단계, 인증을 원하는 노드와 이웃 노드 간에 비이컨 메시지를 이용하여 이전의 인증 여부를 확인하는 단계, 인증을 원하는 노드가 이전에 인증되지 않은 노드라는 비이컨 메시지를 보낸 경우, EAP 인증을 통해 인증을 원하는 노드에 대한 인증을 수행하는 단계, 및 인증을 원하는 노드가 이전에 인증된 노드라는 비이컨 메시지를 보낸 경우, 이웃 노드에서 인증을 원하는 노드의 인증 여부를 확인하는 단계를 포함한다. 인증을 원하는 노드의 이웃에 있는 노드가 마스터 노드가 아닌 경우 에이전트로서 동작하여 인증을 수행하도록 함으로써, 사용자 인증 기능을 향상시킬 수 있으며, 특히 군사망과 4G 망 등에서의 이동 Ad Hoc 망에서 EAP를 이용한 사용자 인증 기능을 제공함으로써 인증되지 않은 불법사용자로부터의 망의 접근을 차단할 수 있다.A user node authentication method in a mobile ad hoc network using EAP is disclosed. The user node authentication method in a mobile ad hoc network according to the present invention comprises the steps of performing authentication and association according to the IEEE 802.11 protocol between a node to be authenticated and a neighboring node, and a beacon message between a node to be authenticated and a neighboring node. Using the EAP authentication to authenticate the node, and if the node to be authenticated has sent a beacon message indicating that the node has not been authenticated before, and wants to authenticate. If the node sends a beacon message that the node has been previously authenticated, the method includes checking whether the node to be authenticated is authenticated by the neighboring node. If the node in the neighbor of the node to be authenticated is not the master node, it can act as an agent to perform authentication, thereby improving user authentication. Especially, EAP is used in mobile ad hoc networks in military and 4G networks. By providing a user authentication function, the network can be blocked from unauthorized users.
Description
본 발명은 정보의 전송에 관한 것으로, 특히 EAP(Extensible Authentication Protocol)를 이용한 이동 ad hoc 망에서의 사용자 노드 인증 방법에 관한 것이다.The present invention relates to the transmission of information, and more particularly, to a method of authenticating a user node in a mobile ad hoc network using Extensible Authentication Protocol (EAP).
이동 Ad Hoc 망은 노드들간의 잦은 이동과 경로 설정이 발생하는 망이다. 노드들의 잦은 이동으로 인한 경로 설정은 라우팅 프로토콜에 의해 이뤄진다. 대표적인 ad hoc 라우팅 프로토콜 중 하나인 AODV(Ad-hoc On-demand Distance vector) 방식은 ad-Hoc 망을 유지하는 이동 노드들 사이의 다이내믹(dynamic), 셀프-스타팅(self-starting), 및 다중 홉 라우팅을 가능하게 하기 위한 알고리즘이다. AODV는 지속적으로 라우팅 정보를 유지하지 않고, 요구가 있을 때만 경로 설정 절차를 수행하는 reactive 라우팅 프로토콜로 분류된다.The mobile ad hoc network is a network in which frequent movement and path setting between nodes occurs. Routing due to frequent movement of nodes is done by routing protocol. Ad-hoc On-demand Distance Vector (AODV), one of the representative ad hoc routing protocols, provides dynamic, self-starting, and multiple hops between mobile nodes maintaining an ad-Hoc network. Algorithm to enable routing. AODV is classified as a reactive routing protocol that does not constantly maintain routing information and performs routing procedures only on demand.
소스 노드가 목적지 노드로 패킷을 전송하려고 할 때 목적지 노드까지의 타당한 경로를 가지고 있지 않다면 소스 노드는 경로 탐색(Path Discovery) 과정을 통해 목적지 노드와의 경로를 확립한다. 경로가 확립된 후 경로를 유지하기 위해 경로 유지(Route Maintenance) 과정을 거친다. 소스 노드가 움직이거나 경로 내의 중간 노드들이 움직일 경우엔 목적지 노드로 가는 경로를 재설정하기 위해 경로 탐색 과정(Route Discovery Process)이 재시작된다.If the source node does not have a proper path to the destination node when trying to send a packet to the destination node, the source node establishes a path with the destination node through a path discovery process. After the route is established, a route maintenance process is performed to maintain the route. When the source node moves or intermediate nodes in the path move, the route discovery process is restarted to reset the route to the destination node.
기존의 이동 ad hoc 망은 노드들간의 잦은 이동으로 인한 경로 설정으로 일반적인 공중 무선 랜에서의 IEEE 802.1x를 적용시킬 수 없었다. 이는 이동 ad hoc 망의 노드들에 대해 supplicant와 authenticator로 나누어지는 IEEE 802.1x 구조를적용할 경우 다중 홉(Multi Hop)에 의한 망 구성으로 인해 EAP 구간과 Radius 구간을 따로 둘 수 없기 때문이다.Existing mobile ad hoc networks cannot be applied to IEEE 802.1x in general public wireless LAN due to the path setting due to frequent movement between nodes. This is because when applying the IEEE 802.1x structure that is divided into supplicant and authenticator for nodes of mobile ad hoc network, EAP section and Radius section cannot be set separately due to the network configuration by multi-hop.
본 발명이 이루고자 하는 기술적 과제는, 이동 ad hoc 망에서 IEEE 802.1x 의 개념을 적용하여 EAP 구간 내에서 인증이 이뤄지도록 하는 사용자 노드 인증 방법을 제공하는 것이다.An object of the present invention is to provide a user node authentication method for performing authentication within an EAP interval by applying the concept of IEEE 802.1x in a mobile ad hoc network.
본 발명이 이루고자 하는 다른 기술적 과제는 상기의 사용자 노드 인증 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체를 제공하는 것이다.Another object of the present invention is to provide a computer-readable recording medium having recorded thereon a program for executing the user node authentication method on a computer.
도 1은 본 발명에 의한 노드 인증 방법이 적용되는 이동 ad hoc 망의 구성을 나타내는 개념도이다.1 is a conceptual diagram illustrating a configuration of a mobile ad hoc network to which a node authentication method according to the present invention is applied.
도 2는 이전에 인증되지 않은 노드와 마스터 노드와의 사이에서 본 발명에 의한 사용자 노드 인증 방법의 일 실시예가 적용되는 절차를 나타낸 신호 흐름도이다.2 is a signal flow diagram illustrating a procedure to which an embodiment of a user node authentication method according to the present invention is applied between a node that has not been previously authenticated and a master node.
도 3은 이전에 인증되지 않은 노드와 에이전트로서 동작하는 이전에 인증된 노드의 사이에서 본 발명에 의한 사용자 노드 인증 방법의 일 실시예가 적용되는 절차를 나타낸 신호 흐름도이다.3 is a signal flow diagram illustrating a procedure in which an embodiment of a user node authentication method according to the present invention is applied between a previously unauthenticated node and a previously authenticated node operating as an agent.
도 4는 이전에 인증된 노드가 이동한 경우 본 발명에 의한 사용자 노드 인증 방법의 일 실시예가 적용되는 절차를 나타낸 신호 흐름도이다.4 is a signal flow diagram illustrating a procedure to which an embodiment of a user node authentication method according to the present invention is applied when a previously authenticated node moves.
도 5는 본 발명에 의한 사용자 인증 방법에서 노드의 이전의 인증 여부를 확인하기 위해 사용되는 확장 AODV 메시지 패킷의 포맷을 나타내는 구성도이다.5 is a block diagram showing the format of an extended AODV message packet used to confirm whether a node has previously authenticated in the user authentication method according to the present invention.
도 6은 본 발명에 의한 사용자 인증 방법에서 EAP 인증을 위해 사용되는 확장 EAP 패킷의 포맷을 나타내는 구성도이다.6 is a block diagram showing the format of an extended EAP packet used for EAP authentication in the user authentication method according to the present invention.
상기 기술적 과제를 이루기 위한 본 발명에 의한 이동 ad hoc 망에서의 사용자 노드 인증 방법은, 인증을 원하는 노드와 이웃한 노드 간에 IEEE 802.11 프로토콜에 의한 인증 및 연관을 수행하는 단계; 상기 인증을 원하는 노드와 상기 이웃 노드 간에 비이컨 메시지를 이용하여 이전의 인증 여부를 확인하는 단계; 상기 인증을 원하는 노드가 이전에 인증되지 않은 노드라는 비이컨 메시지를 보낸 경우, EAP 인증을 통해 상기 인증을 원하는 노드에 대한 인증을 수행하는 단계; 및 상기 인증을 원하는 노드가 이전에 인증된 노드라는 비이컨 메시지를 보낸 경우, 상기 이웃 노드에서 상기 인증을 원하는 노드의 인증 여부를 확인하는 단계를 포함하는 것이 바람직하다.According to an aspect of the present invention, there is provided a method for authenticating a user node in a mobile ad hoc network, the method comprising: performing authentication and association by an IEEE 802.11 protocol between a node to be authenticated and a neighboring node; Confirming whether a previous authentication has been performed by using a beacon message between the node to which the authentication is desired and the neighboring node; If the node to be authenticated sends a beacon message indicating that the node has not been previously authenticated, performing authentication to the node to be authenticated through EAP authentication; And if the node to be authenticated has sent a beacon message that the node has been previously authenticated, checking whether the node to be authenticated is authenticated by the neighboring node.
이하, 첨부된 도면들을 참조하여 본 발명에 따른 이동 ad hoc 망에서의 사용자 노드 인증 방법에 대해 상세히 설명한다.Hereinafter, a user node authentication method in a mobile ad hoc network according to the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명에 의한 노드 인증 방법이 적용되는 이동 ad hoc 망의 구성을 나타내는 개념도이다.1 is a conceptual diagram illustrating a configuration of a mobile ad hoc network to which a node authentication method according to the present invention is applied.
본 발명은 이동 ad hoc 망에서 EAP를 이용한 사용자 보안 인증 방법에 관한 것으로, 이동 ad hoc 망에서 인증 관리를 위한 마스터 노드를 두고 마스터 노드를 통해 사용자 인증 절차를 거치는 인증 방식에 관한 것이다.The present invention relates to a user security authentication method using EAP in a mobile ad hoc network, and relates to an authentication method through a user node through a master node having a master node for authentication management in a mobile ad hoc network.
특히 보안성이 요구되는 군사망이나 상용 서비스 망의 경우 인증되지 않은 불법 사용자로부터 이동 Ad Hoc 망을 액세스하는 경우 치명적인 오류가 발생하게 되므로 액세스 자체를 원천적으로 차단해야 하며, 따라서 이동 Ad Hoc 망에서 사용자 보안 기능은 필수적이다.Especially in the case of military or commercial service networks that require security, access to the mobile ad hoc network from an unauthorized illegal user will cause a fatal error. Therefore, the access itself must be blocked. Therefore, users in the mobile ad hoc network must be blocked. Security features are essential.
이동 Ad Hoc 망에서 사용자 인증 서버를 위한 마스터 노드(101)를 두고 이 마스터 노드(101)를 통해 개별 노드(102 내지 104)들이 인증을 받는다. 그리고 이미 인증된 노드(102 내지 104)들은 네트워크 부하를 줄이기 위해 다른 노드들(예를 들어 노드 105)의 인증을 마스터 노드(101)를 대신하여 수행하는데, 이를 에이전트 노드라고 한다. 본 발명에서는 이러한 에이전트 과정을 통하여 이동 Ad Hoc 망의 인증 기능을 개선하고자 한다. 또한, 인증 받은 이동 노드(105)가 인증 후 다른 위치로 이동시에 또다시 인증을 받아야 하는 절차를 에이전트 노드의 Query 과정을 통해 간소화시킴으로써 노드들간의 잦은 이동으로 인해 발생하는 인증 트래픽을 줄이고자 한다.In a mobile Ad Hoc network, individual nodes 102 to 104 are authenticated through the master node 101 with a master node 101 for a user authentication server. The already authenticated nodes 102-104 perform authentication on behalf of the master node 101 of other nodes (e.g., node 105) to reduce network load, which is called an agent node. In the present invention, to improve the authentication function of the mobile Ad Hoc network through this agent process. In addition, the authentication mobile node 105 to reduce the authentication traffic caused by the frequent movement between the nodes by simplifying the procedure to be authenticated again when moving to another location after authentication through the agent node query process.
이동 Ad Hoc 망에서 이동 노드(105)는 자신의 전파 영역(Radio TransmissionRange) 내의 이동 노드와의 링크를 형성한다. 망 형성 단계에서 이동 노드들은 IEEE 802.11 MAC(Medium Access Control) 프로토콜을 기반으로 하여 인증(Authentication)과 연관(Association) 절차를 통해 이웃 노드의 존재를 인지하게 된다. 이동 Ad Hoc 망에서 인증 서버 역할은 망 형성 초기 단계에서 존재해야 하므로 마스터 노드(master node, 101)가 인증 서버 역할을 수행하고 각각의 인증에 필요한 인증 관련 정보를 가지고 있다. 마스터 노드(101)와 다른 노드 간의 식별을 위해 마스터 노드는 상위 AODV 라우팅 프로토콜에 의한 비이컨(Beacon) 메시지인 Hello 메시지에 자신이 마스터 노드임을 알 수 있는 정보를 담아 전송하게 되고 이를 수신한 상대 노드들(102 내지 104)은 상대 노드가 마스터 노드임을 인지하고 인증 절차에 들어간다.In the mobile ad hoc network, the mobile node 105 forms a link with the mobile node in its radio transmission range. In the network formation step, the mobile nodes recognize the existence of neighboring nodes through an authentication and association procedure based on the IEEE 802.11 Medium Access Control (MAC) protocol. In the mobile ad hoc network, since the authentication server role must exist at the initial stage of network formation, the master node 101 plays the role of authentication server and has authentication related information required for each authentication. In order to identify the master node 101 and other nodes, the master node transmits a Hello message, which is a beacon message by the higher AODV routing protocol, with information that it knows that it is a master node, and receives the corresponding node. 102-104 recognize that the other node is the master node and enter the authentication procedure.
도 2는 이전에 인증되지 않은 노드와 마스터 노드와의 사이에서 본 발명에 의한 사용자 노드 인증 방법의 일 실시예가 적용되는 절차를 나타낸 신호 흐름도이다.2 is a signal flow diagram illustrating a procedure to which an embodiment of a user node authentication method according to the present invention is applied between a node that has not been previously authenticated and a master node.
먼저 두 노드 사이에서 IEEE 802.11 MAC 프로토콜에 의해 인증(Authentication)과 연관(Association) 절차(200)를 거치고 AODV 비이컨(Beacon) 메시지인 Hello 메시지에 자신의 인증여부에 대한 정보를 담아 보낸다. 마스터 노드는 인증 여부가 필요 없으므로 TRUE로 세팅하고(202), 인증되지 않은 노드는 FALSE로 세팅해서 보낸다(201). 인증되지 않은 노드는 자신의 인증을 위해 도 2와 같이 EAPOL-START 메시지로 네트워크 접속 요청을 하게 된다(203). 접속 요청을 받은 마스터 노드는 EAPOL-START 메시지의 응답으로 EAP-Request/Identity 메시지를 노드에게 전송하고(204), 노드는 자신의 노드 식별자(ID)를 EAP-Response/Identity 메시지로서 마스터 노드에 응답한다(205). 마스터 노드는 사용자 ID가 존재하면, 패스워드 검증을 위해 MD5-Challenge 패킷을 만들어서 노드에게 보낸다(206). 인증을 원하는 노드는 MD5-Challenge 요구에 대해 상기 패킷과 패스워드와의 해쉬 결과를 다시 EAP-Response/MD5-Challenge 메시지로 만들어 마스터 노드에 보낸다(207). 패스워드가 일치하였다면, 마스터 노드는 인증이 성공되었다는 EAP-Success메시지를 통해 노드에게 인증 성공의 통보를 전달한다(208). 패스워드가 불일치하였다면, 마스터 노드는 인증 실패를 나타내는 EAP-Failure 메시지를 통해 노드에게 인증 실패의 통보를 전달한다(209). 이와 같은 과정을 통해 인증 서버와 다른 한 노드와의 초기 이동 Ad Hoc 망 형성시 보안 인증이 이뤄진다.First of all, between the two nodes, the authentication and association procedure 200 is performed by the IEEE 802.11 MAC protocol, and the AODV Beacon message, Hello message, is sent with information about its authentication. Since the master node does not need to be authenticated, it is set to TRUE (202), and an unauthenticated node is set to FALSE and sent (201). The unauthenticated node makes a network connection request with an EAPOL-START message as shown in FIG. 2 for its authentication (203). The master node receiving the connection request sends an EAP-Request / Identity message to the node in response to the EAPOL-START message (204), and the node responds to the master node with its node identifier (ID) as an EAP-Response / Identity message. (205). If a user ID exists, the master node creates an MD5-Challenge packet and sends it to the node for password verification (206). The node wishing to authenticate sends the master node a EAP-Response / MD5-Challenge message again with a hash result of the packet and the password for the MD5-Challenge request (207). If the passwords match, the master node sends a notification of authentication success to the node via an EAP-Success message that authentication is successful (208). If the passwords do not match, the master node sends a notification of authentication failure to the node via an EAP-Failure message indicating authentication failure (209). Through this process, security authentication is performed when the authentication server and the initial mobile Ad Hoc network are formed with another node.
도 3은 이전에 인증되지 않은 노드와 에이전트로서 동작하는 이전에 인증된 노드의 사이에서 본 발명에 의한 사용자 노드 인증 방법의 일 실시예가 적용되는 절차를 나타낸 신호 흐름도이다.3 is a signal flow diagram illustrating a procedure in which an embodiment of a user node authentication method according to the present invention is applied between a previously unauthenticated node and a previously authenticated node operating as an agent.
도 3을 참조하면, 인증된 노드와 인증되지 않은 노드와의 연결 설정시에 인증된 노드의 인증 서버 에이전트(Agent) 동작을 통한 인증 절차를 살필 수 있다.Referring to FIG. 3, when establishing a connection between an authenticated node and an unauthenticated node, an authentication procedure through an authentication server agent (Agent) operation of an authenticated node may be examined.
우선 IEEE 802.11 인증(Authentication)과 연관(Association) 절차를 거친 후(300), 인증된 노드는 AODV 비이컨(Beacon) 메시지 교환시 자신이 인증된 노드임을 알리는 TRUE 플래그를 포함하며(302), 인증을 원하는 노드는 이전에 인증되지 않은 노드임을 나타내는 FALSE 플래그를 포함한다(301).First, after going through the IEEE 802.11 Authentication and Association procedure (300), the authenticated node includes a TRUE flag indicating that it is an authorized node when exchanging AODV Beacon messages (302). The node wishing to include a FALSE flag indicating that the node has not been previously authenticated (301).
인증되지 않은 노드는 이웃 노드에게 EAPOL-START 메시지로 네트워크 접속 요청을 하게 된다(303). 이때 인증된 노드는 인증서버의 에이전트(Agent) 역할을 수행한다. 따라서 마스터 노드를 대신하여 이에 대한 응답으로 에이전트 노드는 EAP-Request/Identity 메시지를 노드에 전송하고(304), 인증되지 않은 노드는 자신의 ID를 EAP-Response/Identity 메시지로서 에이전트 노드에게 응답한다(305).The unauthenticated node makes a network connection request to the neighbor node with an EAPOL-START message (303). At this time, the authenticated node performs the agent role of the authentication server. Thus, in response to this on behalf of the master node, the agent node sends an EAP-Request / Identity message to the node (304), and the unauthenticated node responds to the agent node with its identity as an EAP-Response / Identity message ( 305).
이때 인증되지 않은 노드로부터 EAP-Response/Identity 메시지를 받은 에이전트 노드는 라우팅 프로토콜을 이용하여 마스터 노드와의 경로를 설정한 후 이를 EAP-Agent Response 내에 사용자 ID를 실어서(EAP-Type = Identity) 마스터 노드로 보낸다(306). 마스터 노드는 인증되지 않은 노드의 사용자 ID가 존재하면, 패스워드 검증을 위해 EAP-Agent Request 메시지 내에 MD5-Challenge 패킷을 만들어서 에이전트 노드에게 보낸다(307).At this time, the agent node that receives the EAP-Response / Identity message from the unauthenticated node establishes a route with the master node using the routing protocol and loads the user ID in the EAP-Agent response (EAP-Type = Identity). Send to node (306). If the user ID of the unauthenticated node exists, the master node creates an MD5-Challenge packet in the EAP-Agent Request message and sends it to the agent node for password verification (307).
마스터 노드로부터 MD5-Challenge 메시지를 받은 에이전트 노드는 이를 EAP-Request/MD5-Challenge 메시지로 바꾸어 인증받지 않은 노드에게 전송한다(308). 이를 수신한 노드는 MD5-Challenge 요구에 대해 패스워드와의 해쉬 결과를 다시 EAP-Request/MD5-Challenge 메시지로 만들어 에이전트 노드에게 전송한다(309). 에이전트 노드는 MD-Challenge 값을 EAP-Agent Response 메시지에 실어 마스터 노드에게 전송한다(310). 이에 마스터 노드는 자신이 가지고 있는 이 사용자 ID에 대한 패스워드와 MD5 해쉬한 결과값과 비교해 패스워드가 일치하는 지를 판단한다. 패스워드가 일치하였다면, 마스터 노드는 EAP-Agent/Success 메시지를 에이전트 노드로 전송하고(311), 이를 수신한 에이전트 노드는 이 노드에 대해 인증 성공 처리를 하고 EAP-Success 메시지를 통해 노드에게 인증 성공의 통보를 전달한다(312). 패스워드가 불일치하였다면, 마스터 노드는 EAP-Failure 메시지를 에이전트 노드에게 전송하고(313), 에이전트 노드는 EAP-Failure 메시지를 통해 인증을 원하는 노드에게 인증 실패의 통보를 전달한다(314).The agent node receiving the MD5-Challenge message from the master node converts it into an EAP-Request / MD5-Challenge message and transmits it to the unauthenticated node (308). Upon receipt of the MD5-Challenge request, the node generates a hash result with the password again as an EAP-Request / MD5-Challenge message and transmits the result to the agent node (309). The agent node transmits the MD-Challenge value in the EAP-Agent Response message to the master node (310). The master node compares the password for this user ID with the MD5 hashed result and determines whether the password matches. If the password matches, the master node sends an EAP-Agent / Success message to the agent node (311), and the receiving agent node processes the authentication success for this node and sends the node a successful authentication to the node via the EAP-Success message. Deliver the notification (312). If the password does not match, the master node sends an EAP-Failure message to the agent node (313), and the agent node sends a notification of the authentication failure to the node wishing to authenticate through the EAP-Failure message (314).
도 4는 이전에 인증된 노드가 이동한 경우 본 발명에 의한 사용자 노드 인증 방법의 일 실시예가 적용되는 절차를 나타낸 신호 흐름도이다.4 is a signal flow diagram illustrating a procedure to which an embodiment of a user node authentication method according to the present invention is applied when a previously authenticated node moves.
이미 다른 노드를 통해 인증이 이뤄진 노드가 다른 지역으로 이동하게 되면 기존의 노드와는 전송 영역의 차이로 인해 연결이 끊어지고 다른 노드에 접속하게 된다. 이 때 인증 절차가 새로 이뤄져야 하는데 본 발명의 경우는 에이전트 노드의 Query 과정을 통해 이루어진다.If a node that has already been authenticated through another node moves to another area, it is disconnected due to the difference in transmission area from the existing node, and is connected to another node. At this time, a new authentication procedure has to be performed. In the present invention, the agent node performs the Query process.
먼저 IEEE 802.11 MAC(Medium Access Control)의 인증(Authentication)과 연관(Association) 절차를 거친 후(400), AODV 라우팅 프로토콜에 의해 Hello 메시지를 주고받는다(401). 이때 각 노드는 Hello 메시지를 확장하여 자신의 인증 여부에 대한 플래그를 포함시킨다.First, after an authentication and association procedure of IEEE 802.11 Medium Access Control (MAC) (400), a Hello message is transmitted and received by the AODV routing protocol (401). At this point, each node expands the Hello message to include a flag for its authentication.
다음 에이전트 노드는 이미 인증된 새로운 노드를 자신의 이웃 노드로 등록하는 경우 이 노드의 인증 여부를 재확인하기 위해 마스터 노드에게 Query 과정을 위한 EAP-Query/id 메시지를 전송한다(402). 이 Access Query 메시지를 수신한 마스터 노드는 기존에 이미 인증이 이뤄지고 TTL(Time To Live)가 지나지 않은 노드인 경우 인증 여부를 EAP-Query Success 메시지로써 알려준다(403). 기존에 인증이 이루어지지 않은 경우 EAP-Query Failure 메시지로 인증 실패를 통보한다(404). 이와 같은 절차를 거치는 이유는 인증되지 않은 임의의 노드가 자신이 인증된 노드인 것처럼 Hello 메시지를 보내는 경우를 막기 위함이다. EAP-Query/id를 수신한 마스터 노드는 현재의 id가 이전에 인증 성공을 하였고 그 Timeout 값이 넘지 않았는지를 체크하기 위해 ANL(Authenticated Node List) 테이블을 검색한 후 유효한 id이면 EAP-Query Success 메시지를 전송함으로써 인증성을 강화하고 인증을 위한 절차를 간소화 할 수 있다.Next, when the agent node registers a new node that has already been authenticated as its neighbor, the agent node transmits an EAP-Query / id message for the query process to the master node in order to recheck whether the node is authenticated (402). The master node receiving the Access Query message informs the user whether or not to authenticate as an EAP-Query Success message if the node has already been authenticated and has not passed TTL (Time To Live) (403). If authentication has not been performed previously, the authentication failure is notified by an EAP-Query Failure message (404). The reason for this process is to prevent any unauthenticated node from sending a Hello message as if it were an authorized node. The master node receiving the EAP-Query / id searches the ANL (Authenticated Node List) table to check if the current id has been successfully authenticated and has not exceeded its Timeout value. By sending the certificate, authentication can be strengthened and the procedure for authentication can be simplified.
도 5는 본 발명에 의한 사용자 인증 방법에서 노드의 이전의 인증 여부를 확인하기 위해 사용되는 확장 AODV 메시지 패킷의 포맷을 나타내는 구성도이다.5 is a block diagram showing the format of the extended AODV message packet used to confirm whether the node has previously authenticated in the user authentication method according to the present invention.
AODV 메시지는 인증 여부를 확인하기 위한 비이컨(beacon) 메시지로서 사용된다. 도 5를 참조하면, 본 발명에서 사용되는 비이컨 메시지 패킷은, 메시지의 타입을 나타내는 필드(Type), 메시지의 길이를 나타내는 필드(Length), 메시지의 인터벌을 나타내는 필드(Hello Interval), 및 노드의 인증 여부를 나타내는 필드(Authenticated)를 포함한다.The AODV message is used as a beacon message to confirm authentication. Referring to FIG. 5, a beacon message packet used in the present invention includes a field indicating a type of a message, a field indicating a length of a message, a field indicating a message interval, and a node. It includes a field (Authenticated) indicating whether or not to be authenticated.
각각의 노드는 인증 여부를 위해 Hello 메시지의 Authenticated 필드를 자신이 마스터 노드이거나 인증된 노드이면 1, 그렇지 않은 노드인 경우 0으로 세팅해서 브로드캐스트한다.Each node broadcasts the Authenticated field of its Hello message to 1 if it is a master node or an authorized node and 0 if it is not.
도 6은 본 발명에 의한 사용자 인증 방법에서 EAP 인증을 위해 사용되는 확장 EAP 패킷의 포맷을 나타내는 구성도이다.6 is a block diagram showing the format of an extended EAP packet used for EAP authentication in the user authentication method according to the present invention.
기존의 EAP 패킷 포맷에서는 Code 필드가, 일반 노드와 마스터 노드와의 접속 요청, 노드 식별자 전달 요청, 노드 식별자 전달 응답, MD5-Challenge 패킷 처리 요청, MD5-Challenge 패킷 처리 응답, 인증 성공, 또는 인증 실패를 나타내는 REQUEST, RESPONSE, SUCCESS, 및 FAILURE의 값만을 가진다.In the conventional EAP packet format, the Code field is a connection request between a normal node and a master node, a node identifier forwarding request, a node identifier forwarding response, an MD5-Challenge packet processing request, an MD5-Challenge packet processing response, authentication success, or authentication failure. It has only values of REQUEST, RESPONSE, SUCCESS, and FAILURE.
그러나, 본 발명에서는 Code 필드가 가질 수 있는 값을 확장하여 에이전트(Agent) 기능과 Query 절차를 수행할 수 있도록 한다. 즉, Agent Request, Agent Response, Agent Success, Agent Failure, Query, Query Success, Query Failure의 값을 더 가지도록 하여 에이전트 노드와 마스터 노드 사이의 노드 식별자 전달 응답, MD5-Challenge 패킷 처리 요청, MD5-Challenge 패킷 처리 응답, 인증 성공, 또는 인증 실패를 나타낼 수 있도록 하였다.However, in the present invention, an agent function and a query procedure can be performed by extending a value that a code field can have. That is, the node identifier transfer response between the agent node and the master node, MD5-Challenge packet processing request, MD5-Challenge by having more values of Agent Request, Agent Response, Agent Success, Agent Failure, Query, Query Success, Query Failure. It can indicate a packet processing response, authentication success, or authentication failure.
본 발명은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터(정보 처리 기능을 갖는 장치를 모두 포함한다)가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 장치의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있다.The present invention can be embodied as code that can be read by a computer (including all devices having an information processing function) in a computer-readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording devices include ROM, RAM, CD-ROM, magnetic tape, floppy disks, optical data storage devices, and the like.
본 발명은 도면에 도시된 실시예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.Although the present invention has been described with reference to the embodiments shown in the drawings, this is merely exemplary, and it will be understood by those skilled in the art that various modifications and equivalent other embodiments are possible. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.
본 발명에 따른 이동 ad hoc 망에서의 사용자 노드 인증 방법에 의하면, 인증을 원하는 노드의 이웃에 있는 노드가 마스터 노드가 아닌 경우 에이전트로서 동작하여 인증을 수행하도록 함으로써, 사용자 인증 기능을 향상시킬 수 있으며, 특히 군사망과 4G 망 등에서의 이동 Ad Hoc 망에서 EAP를 이용한 사용자 인증 기능을 제공함으로써 인증되지 않은 불법사용자로부터의 망의 접근을 차단할 수 있다.According to the user node authentication method in a mobile ad hoc network according to the present invention, when a node adjacent to a node to be authenticated is not a master node, the user node can be operated as an agent to perform authentication, thereby improving user authentication. In particular, by providing a user authentication function using EAP in mobile ad hoc networks, particularly in military and 4G networks, it is possible to block access from unauthorized illegal users.
또한, 기존 AODV 라우팅 프로토콜의 비이컨 메시지인 Hello 메시지를 이용해서 이웃 노드의 인증 여부에 따라 서로 다른 인증 절차를 가짐으로써 인증 과정으로 인한 시간과 망의 오버헤드를 감소시킬 수 있으며, 이동중인 노드에 대해 Query 과정을 통한 인증과정을 제공함으로써 인증으로 인한 망의 불필요한 오버헤드를 줄이고 상호 각각의 인증을 통해 이웃 노드에 대한 확신성을 높일 수 있다.In addition, by using the Hello message, which is a beacon message of the existing AODV routing protocol, having different authentication procedures according to whether or not the neighbor node is authenticated, it is possible to reduce the time and network overhead due to the authentication process. By providing the authentication process through the Query process, unnecessary overhead of the network due to authentication can be reduced, and confidence in neighbor nodes can be increased through each authentication.
Claims (9)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2002-0081379A KR100453826B1 (en) | 2002-12-18 | 2002-12-18 | User node authentication method in mobile ad hoc networks using EAP |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2002-0081379A KR100453826B1 (en) | 2002-12-18 | 2002-12-18 | User node authentication method in mobile ad hoc networks using EAP |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20040054348A KR20040054348A (en) | 2004-06-25 |
KR100453826B1 true KR100453826B1 (en) | 2004-10-20 |
Family
ID=37347447
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR10-2002-0081379A KR100453826B1 (en) | 2002-12-18 | 2002-12-18 | User node authentication method in mobile ad hoc networks using EAP |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100453826B1 (en) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100533003B1 (en) * | 2004-03-02 | 2005-12-02 | 엘지전자 주식회사 | Protocol improvement method for user authentication |
KR100923176B1 (en) * | 2004-10-27 | 2009-10-22 | 메시네트웍스, 인코포레이티드 | System and method for providing security for a wireless network |
KR100831327B1 (en) * | 2006-09-28 | 2008-05-22 | 삼성전자주식회사 | apparatus and method of processing authentication in wireless mesh network |
KR100831326B1 (en) | 2006-12-28 | 2008-05-22 | 삼성전자주식회사 | Multi-hop wireless network system and authentication method thereof |
CN101237443B (en) | 2007-02-01 | 2012-08-22 | 华为技术有限公司 | Method and system for user authentication in management protocol |
-
2002
- 2002-12-18 KR KR10-2002-0081379A patent/KR100453826B1/en active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
KR20040054348A (en) | 2004-06-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1844571B1 (en) | Method and system for inter-subnet pre-authentication | |
US8150372B2 (en) | Method and system for distributing data within a group of mobile units | |
US8122249B2 (en) | Method and arrangement for providing a wireless mesh network | |
EP3396928B1 (en) | Method for managing network access rights and related device | |
US7451316B2 (en) | Method and system for pre-authentication | |
US7707415B2 (en) | Tunneling security association messages through a mesh network | |
US8561200B2 (en) | Method and system for controlling access to communication networks, related network and computer program therefor | |
EP1805920B1 (en) | System and method for providing security for a wireless network | |
US8850194B2 (en) | System and methods for providing multi-hop access in a communications network | |
TWI376121B (en) | ||
US20050141498A1 (en) | Network infrastructure validation of network management frames | |
EP2897442A1 (en) | Authentication method and system for wireless mesh network | |
US20080083022A1 (en) | Authentication apparatus and method in wireless mesh network | |
KR101018562B1 (en) | Method and apparatus for providing a supplicant access to a requested service | |
US9270652B2 (en) | Wireless communication authentication | |
GB2430580A (en) | Mutual Authentication of Access Points in a Wireless Network. | |
JP4468449B2 (en) | Method and apparatus for supporting secure handover | |
KR100453826B1 (en) | User node authentication method in mobile ad hoc networks using EAP | |
JP2004207965A (en) | High speed authentication system and method for wireless lan | |
US20130191635A1 (en) | Wireless authentication terminal | |
KR100702524B1 (en) | Secure route discovery authentication method in Low-Rate WPAN | |
CN106993287B (en) | Pre-distributed key management method for heterogeneous wireless sensor network | |
Karthikeyan et al. | Advanced resilient data consigning mechanism for mobile adhoc networks | |
Bhumireddy et al. | Secure peer-link establishment in wireless mesh networks | |
CN114599035B (en) | Safe and efficient wireless ad hoc network distributed security authentication method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20120928 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20131004 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20150805 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20160810 Year of fee payment: 13 |
|
FPAY | Annual fee payment |
Payment date: 20170822 Year of fee payment: 14 |
|
FPAY | Annual fee payment |
Payment date: 20180816 Year of fee payment: 15 |
|
FPAY | Annual fee payment |
Payment date: 20190806 Year of fee payment: 16 |