KR100533003B1 - Protocol improvement method for user authentication - Google Patents

Protocol improvement method for user authentication Download PDF

Info

Publication number
KR100533003B1
KR100533003B1 KR10-2004-0014111A KR20040014111A KR100533003B1 KR 100533003 B1 KR100533003 B1 KR 100533003B1 KR 20040014111 A KR20040014111 A KR 20040014111A KR 100533003 B1 KR100533003 B1 KR 100533003B1
Authority
KR
South Korea
Prior art keywords
packet
mac
eap
response
message
Prior art date
Application number
KR10-2004-0014111A
Other languages
Korean (ko)
Other versions
KR20050088697A (en
Inventor
최승훈
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR10-2004-0014111A priority Critical patent/KR100533003B1/en
Publication of KR20050088697A publication Critical patent/KR20050088697A/en
Application granted granted Critical
Publication of KR100533003B1 publication Critical patent/KR100533003B1/en

Links

Classifications

    • EFIXED CONSTRUCTIONS
    • E01CONSTRUCTION OF ROADS, RAILWAYS, OR BRIDGES
    • E01DCONSTRUCTION OF BRIDGES, ELEVATED ROADWAYS OR VIADUCTS; ASSEMBLY OF BRIDGES
    • E01D19/00Structural or constructional details of bridges
    • E01D19/04Bearings; Hinges
    • E01D19/041Elastomeric bearings
    • EFIXED CONSTRUCTIONS
    • E01CONSTRUCTION OF ROADS, RAILWAYS, OR BRIDGES
    • E01DCONSTRUCTION OF BRIDGES, ELEVATED ROADWAYS OR VIADUCTS; ASSEMBLY OF BRIDGES
    • E01D22/00Methods or apparatus for repairing or strengthening existing bridges ; Methods or apparatus for dismantling bridges

Landscapes

  • Engineering & Computer Science (AREA)
  • Architecture (AREA)
  • Civil Engineering (AREA)
  • Structural Engineering (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 UPnP 네트워크에서 사용자 인증을 위해 특정 프로토콜(802.1x)을 개선하는 기술에 관한 것이다. 이러한 본 발명은, 포트에 컨넥션이 발생하면 소정의 스테이트 머신을 생성하여 EAP-요청/확인 메시지를 주기적으로 전송하는 제1과정과; 기존의 MAC 엔트리 테이블에 저장된 MAC ID와 상이한 MAC 어드레스를 가진 패킷이 들어 오면, 새로운 MAC 어드레스를 MAC 엔트리 테이블에 저장한 후 새로운 논리적 포트를 생성하는 제2과정과; 새로 받은 패킷이 EAP-응답/확인 패킷이 아니면, EAP-요청/확인 패킷을 전송하여 802.1x 인증 과정을 새로 시작한 다음, 그에 대한 응답 메시지가 전송되기를 기다려 그 응답이 도착하지 않으면 다시 EAP-요청/확인 메시지를 전송하는 과정을 되풀이하는 제3과정과; 새로 받은 패킷이 EAP-응답/확인 패킷이거나, 상기 응답이 제대로 도착한 경우, MAC 어드레스로 EAP-요청/MD5 챌린지 또는 TLS 메시지를 전송하여 사용자 ID와 패스워드를 얻고, EAP-요청/MD5 챌린지 또는 TLS 메시지에 대한 응답 메시지가 도착하기를 기다리는 제4과정과; 전송받은 사용자 ID와 패드워드를 기 서버에 저장된 ID, 패스워드와 비교하여 그 비교 결과에 따라 MAC 엔트리 테이블의 결과 값을 온으로 설정한 후 새로운 패킷이 들어오기를 기다리거나, 상기 MAC 엔트리 테이블의 결과 값을 오프로 설정하고 새로운 패킷이 들어오기를 기다리는 제5과정에 의해 달성된다.The present invention relates to a technique for improving a specific protocol (802.1x) for user authentication in UPnP networks. The present invention includes a first step of generating a predetermined state machine and periodically transmitting an EAP-Request / Ack message when a connection is made to a port; When a packet having a MAC address different from the MAC ID stored in the existing MAC entry table is received, storing a new MAC address in the MAC entry table and creating a new logical port; If the newly received packet is not an EAP-Response / Acknowledgment packet, send an EAP-Request / Acknowledgment packet to start a new 802.1x authentication process, wait for a response message to be sent, and again if the response does not arrive, try again. A third process of repeating the process of transmitting the confirmation message; If the newly received packet is an EAP-Response / Acknowledgment packet or if the response arrives correctly, send an EAP-Request / MD5 Challenge or TLS message to the MAC address to obtain the user ID and password, and the EAP-Request / MD5 Challenge or TLS message. Waiting for a response message to arrive; Compare the received user ID and password with the ID and password stored in the server and set the result value of the MAC entry table to ON according to the comparison result, and wait for a new packet to come in, or the result of the MAC entry table. This is accomplished by a fifth process that sets the value to off and waits for new packets to come in.

Description

사용자 인증을 위한 프로토콜 개선 방법{PROTOCOL IMPROVEMENT METHOD FOR USER AUTHENTICATION} How to improve the protocol for user authentication {PROTOCOL IMPROVEMENT METHOD FOR USER AUTHENTICATION}

본 발명은 UPnP 네트워크에서 사용자 인증을 위해 특정 프로토콜(802.1x)을 개선하는 기술에 관한 것으로, 특히 사용자의 MAC(MAC: Media Access Control) 어드레스로 각각 로직컬 포트 블록킹(logical port blocking)이 아닌 MAC 필터링을 통해 사용자 인증을 관리하도록 한 사용자 인증을 위한 프로토콜 개선 방법에 관한 것이다.The present invention relates to a technology for improving a specific protocol (802.1x) for user authentication in a UPnP network. In particular, the present invention relates to a MAC that is not logical port blocking (MAC) to a user's MAC (Media Access Control) address. The present invention relates to a method for improving a protocol for authenticating a user through filtering.

UPnP(UPnP: Universal Plug and Play) 네트워크에서는 최근 널리 사용되고 있는 AP(AP: Access Point)를 위한 표준 통신 방식이 존재한다. 그리고, AP에서는 이더넷(ethernet) 사용자 인증을 위하여 802.1x 프로토콜을 사용하는데, 이 프로토콜은 EAP(EAP: Extensible Authentication Protocol) 메시지를 이용하여 암호화된 사용자 인증을 가능하도록 한다. 상기 802.1x는 포트 기반 네트워크 액세스 콘트롤(Port-based Network Access Control)이라는 이름에서 볼 수 있듯, 일반적으로 스위치 이더넷 네트워크(switched ethernet network)에 주된 초점을 맞추고 있다. 상기 스위치 이더넷 네트워크는 두 포트들만으로 연결된 네트워크로서, 허브(hub)와 같은 공유 미디어(shared media) 장치가 존재하지 않는 경우의 네트워크를 말한다. 그러므로, 기존 방식의 802.1x 구현 방안은 공유 미디어 네트워크에 적용될 수 없다. 이를 해결하기 위해 논리적 포트(logical port)라는 개념이 존재하고 있으나, 이 논리적 포트의 정확한 범위는 아직 정의되어 있지 않은 상태이다. In the Universal Plug and Play (UPnP) network, there is a standard communication method for an access point (AP), which is widely used recently. In addition, the AP uses the 802.1x protocol for Ethernet user authentication, which enables encrypted user authentication using an Extensible Authentication Protocol (EAP) message. The 802.1x, as can be seen in the name of Port-based Network Access Control, generally focuses mainly on switched ethernet networks. The switch Ethernet network is a network connected only by two ports, and refers to a network when a shared media device such as a hub does not exist. Therefore, the conventional 802.1x implementation cannot be applied to the shared media network. To solve this problem, the concept of logical port exists, but the exact range of this logical port is not defined yet.

상기 UPnP 네트워크에서 사용될 수 있는 AP는 사용자 인증을 위하여 802.1x 프로토콜을 사용하는데, 802.1x는 포트 기반 네트워크 액세스 콘트롤 프로토콜로서 AP 장비의 포트를 블록화하여 인증되지 않은 사용자의 접근을 제한한다. 만약, 상기 포트에 한 사용자만이 아니라 공유 미디어 이더넷 네트워크를 통하여 여러 명의 사용자가 접속되어 있다면, 이들의 접근 권한이 동시에 제한된다.The AP that can be used in the UPnP network uses the 802.1x protocol for user authentication. The 802.1x is a port-based network access control protocol that restricts access of unauthorized users by blocking ports of AP equipment. If multiple users are connected to the port via a shared media Ethernet network instead of only one user, their access rights are limited at the same time.

이와 같이 종래의 UPnP 네트워크에서 사용되는 802.1x 프로토콜은 AP 장비의 포트를 블록화하여 인증되지 않은 사용자의 접근을 제한하는데, 포트에 한 사용자만이 아니라 공유 미디어 이더넷 네트워크를 통하여 여러 명의 사용자가 접속된 경우 이들의 접근 권한이 동시에 제한되는 문제점이 있었다.As such, the 802.1x protocol used in the conventional UPnP network blocks the access of an unauthorized user by blocking the port of the AP device. When multiple users are connected to the port through a shared media Ethernet network, not only one user. There was a problem that their access rights are limited at the same time.

따라서, 본 발명의 목적은 사용자의 MAC 어드레스로 각각 논리적 포트 블록킹이 아닌 MAC 필터링을 통해 사용자 인증을 관리하도록 하는데 있다.Accordingly, it is an object of the present invention to manage user authentication through MAC filtering rather than logical port blocking with user MAC addresses, respectively.

본 발명에 의한 사용자 인증을 위한 프로토콜 개선 방법은, 포트에 컨넥션이 발생되었는지 확인하여 발생된 것으로 판명되면 소정의 스테이트 머신을 생성하여 EAP-요청/확인 메시지를 주기적으로 전송하는 제1과정과; 기존의 MAC 엔트리 테이블에 저장된 MAC ID와 동일한 MAC 어드레스를 가진 패킷이 들어 오면, 기존 MAC ID를 가지는 논리적 포트에게 그 패킷을 넘겨 그 곳에서 802.1x 스테이트 머신의 동작을 수행하도록 하는 제2과정과; 기존의 MAC 엔트리 테이블에 저장된 MAC ID와 상이한 MAC 어드레스를 가진 패킷이 들어 오면, 새로운 MAC 어드레스를 MAC 엔트리 테이블에 저장한 후 새로운 논리적 포트를 생성하는 제3과정과; 새로 받은 패킷이 EAP-응답/확인 패킷이 아니면, EAP-요청/확인 패킷을 전송하여 802.1x 인증 과정을 새로 시작한 다음 그에 대한 응답인 EAP-응답/확인 메시지가 전송되기를 기다려 이 응답이 도착하지 않으면 다시 EAP-요청/확인 메시지를 전송하는 과정을 되풀이하는 제4과정과; 새로 받은 패킷이 EAP-응답/확인 패킷이거나, 상기 응답이 제대로 도착한 경우, MAC 어드레스로 EAP-요청/MD5 챌린지 또는 TLS 메시지를 전송하여 암호화된 사용자 ID와 패스워드를 얻고, EAP-요청/MD5 챌린지 또는 TLS 메시지에 대한 응답인 EAP-응답/MD 챌린지 또는 TLS 메시지가 도착하기를 기다리는 제5과정과; 전송받은 데이터를 디코딩하여 알아낸 사용자 ID와 패드워드를 검출하고 이들의 값이 기 서버에 저장된 ID, 패스워드값과 같은 것으로 판명되면 MAC 엔트리 테이블의 결과 값을 온으로 설정한 후 새로운 패킷이 들어오기를 기다리고, 다른 것으로 판명되면 상기 MAC 엔트리 테이블의 결과 값을 오프로 설정하고, 새로운 패킷이 들어오기를 기다리는 제6과정으로 이루어지는 것으로 이와 같이 이루어지는 본 발명의 프로토콜 개선 방법을 첨부한 도 1 내지 도 6을 참조하여 상세히 설명하면 다음과 같다.According to an aspect of the present invention, there is provided a method of improving a protocol for authenticating a user, comprising: a first process of generating a predetermined state machine and periodically transmitting an EAP-request / confirmation message if it is determined that the connection is generated at a port; When a packet having the same MAC address as the MAC ID stored in the existing MAC entry table is received, passing the packet to a logical port having the existing MAC ID to perform an operation of the 802.1x state machine there; When a packet having a MAC address different from the MAC ID stored in the existing MAC entry table is received, storing a new MAC address in the MAC entry table and creating a new logical port; If the newly received packet is not an EAP-Response / Ack packet, send an EAP-Request / Ack packet to start a new 802.1x authentication process, wait for the EAP-Response / Ack message to be sent, and if it does not arrive. A fourth step of repeating the process of transmitting the EAP-Request / Ack message again; If the newly received packet is an EAP-Response / Acknowledgment packet or if the response arrives correctly, send an EAP-Request / MD5 Challenge or TLS message to the MAC address to obtain an encrypted User ID and Password, and to obtain the EAP-Request / MD5 Challenge or A fifth step of waiting for an EAP-response / MD challenge or TLS message to arrive in response to the TLS message; Decode the received data, detect the user ID and password, and if the value is found to be the same as the ID and password stored in the server, set the result value in the MAC entry table to ON and then enter a new packet. 1 to 6 attached to the protocol improvement method of the present invention, which consists of a sixth process of waiting for a new packet and setting the result value of the MAC entry table to off if it is found to be different, and waiting for a new packet to enter. When described in detail with reference to as follows.

802.11b 방식의 무선 랜은 이더넷을 기반으로 하는 네트워크 프로토콜로서 UPnP에서도 그 적용을 위한 표준안이 만들어져 있는 상태이다. UPnP AP에서는 최근 급증하고 있는 보안성(security) 문제를 해결하기 위한 방안으로 802.1x 프로토콜을 채용하고 있다. 상기 802.1x는 비단 802.11b에서만 사용되는 것이 아니라 이더넷 기반의 어떤 프로토콜에서도 사용될 수 있는 강점을 가지고 있다. 그러나, 802.1x는 포트 기반 네트워크 액세스 콘트롤을 본래 목적으로 하므로, 허브(Hub) 같은 장비가 포함된 공유 미디어 네트워크에서는 적합하지 않은 부분이 있다. 그 이유는 다음과 같다.802.11b wireless LAN is a network protocol based on Ethernet, and a standard for its application has been made in UPnP. The UPnP AP adopts the 802.1x protocol as a solution to the recently increasing security problem. The 802.1x has a strength that can be used in any Ethernet based protocol, not only in 802.11b. However, 802.1x is inherently intended for port-based network access control, which makes it unsuitable for shared media networks that include equipment such as hubs. The reason for this is as follows.

도 1은 기본적인 802.1x의 동작 과정을 나타낸다. 여기서, 단말은(Supplicant)는 사용자 단말(Windows XP)을 의미하고, 인증자(Authenticator)는 스위치나 AP같은 장비를 의미한다. 최초의 EAPoL(Encapsulation over LANs) 스타트 메시지는 상기 사용자 단말에 의해 전송되는데, 이 메시지는 전송될 수도 전송되지 않을 수도 있다. 즉, 점선으로 나타낸 것은 이 메시지가 존재하지 않을 수도 있다는 것을 의미한다. 이런 경우, 인증자는 자신의 물리적 포트(Physical Port)의 상태를 확인하고 있다가 그 포트가 다른 시스템과 연결되는 상태를 확인하여 그 다음 프로시듀어(Procedure)를 수행한다.1 shows a basic operation of 802.1x. Here, the terminal (Supplicant) means a user terminal (Windows XP), the authenticator (Authenticator) means a device such as a switch or an AP. The first Encapsulation over LANs (EAPoL) start message is sent by the user terminal, which may or may not be sent. In other words, the dotted line means that this message may not exist. In this case, the authenticator checks the state of his physical port and then checks the state that the port is connected to another system to perform the next procedure.

결국, 상기 물리적 포트의 상태 변화를 트랙킹하는 과정이 필요하게 된다. 그러므로, 802.1x의 동작은 물리적 포트의 상태 변화에 종속적이게 된다. 도 2와 같은 망 접속형태(Network Topology)를 가지는 경우에는 기존의 방식으로도 별 문제가 발생하지 않는다. 왜냐하면 하나의 물리적 포트에 하나의 사용자 단말(User)이 접속되어 있기 때문이다. 이와 같은 경우, 802.1x 프로토콜 엔진은 하나의 물리적 포트의 상태만 확인하고 있으면 된다. 그러면 설사 EAPoL 스타트가 사용자 단말로부터 전송되지 않더라도 확인한 포트 상태를 가지고 다음 프로시듀어로 넘어갈 수 있다. As a result, a process of tracking the state change of the physical port is required. Therefore, the operation of 802.1x becomes dependent on the change of state of the physical port. In the case of having a network topology as shown in FIG. 2, no problem occurs even in the conventional method. This is because one user terminal is connected to one physical port. In this case, the 802.1x protocol engine only needs to check the state of one physical port. Then, even if the EAPoL start is not transmitted from the user terminal, it can proceed to the next procedure with the confirmed port state.

그러나, 도 3과 같은 공유 미디어 네트워크에서는 상기 방식이 적용될 수 없다. 왜냐하면 한 물리적 포트에 여러 포트가 허브(Hub)를 통하여 접속되어 있어 접속과정이 복잡해지기 때문이다.However, the above scheme cannot be applied to a shared media network as shown in FIG. 3. This is because the connection process is complicated because several ports are connected to one physical port through a hub.

따라서, 본 발명에서는 상기와 같은 문제를 해결하기 위해, EAPoL 스타트 메시지가 사용자 단말로부터 전송되는 경우와 그렇지 않은 경우로 나누어 다음과 같은 처리방법을 제안하였다.Accordingly, in order to solve the above problem, the present invention proposes the following processing method by dividing the EAPoL start message from the user terminal and the other case.

먼저, EAPoL 스타트 메시지가 사용자 단말로부터 전송되는 경우의 처리과정에 대하여 설명하면 다음과 같다.First, a description will be given of the processing in the case where the EAPoL start message is transmitted from the user terminal.

EAPoL 스타트 메시지를 사용자 단말에서 전송하는 경우에는 그 메시지가 들어온 MAC 주소를 ID로 하여 새로운 논리적 포트를 생성한다. 이렇게 되면 논리적 포트들마다 스테이트 머신(State Machine)이 새로 하나씩 생기게 되어 개별적인 동작이 가능해 진다. 이때, 로그인에 실패했을 경우라도 물리적 포트를 블록킹시켜서는 안되며, 그 MAC 주소를 가지는 패킷만을 선별적으로 걸러내는 필터링이 필요하게 된다. 이를 위해 각각의 MAC 주소 ID를 저장하고 있는 MAC ID 엔트리(Entry)가 필요하게 된다. 이 MAC ID 엔트리는 현재 생성된 논리적 포트들의 MAC ID와 각각의 성공/실패(Success/Fail) 여부에 대한 정보를 포함하여야 한다.When a user terminal transmits an EAPoL start message, a new logical port is created using the MAC address of the message as an ID. This creates a new state machine for each logical port, enabling individual operations. In this case, even if the login fails, the physical port should not be blocked, and filtering to selectively filter only packets having the MAC address is required. For this purpose, a MAC ID entry storing each MAC address ID is required. This MAC ID entry should include the MAC IDs of the currently created logical ports and information on each success / fail.

그러나, EAPoL 스타트 메시지가 사용자 단말로부터 전송되지 않는 경우의 처리과정에 대하여 설명하면 다음과 같다.However, a description will be given of the processing when the EAPoL start message is not transmitted from the user terminal.

이 경우, 논리적 포트가 하나 생성되어야 함에도 불구하고, 실제로는 그 논리적 포트의 존재여부를 판단할 수가 없으므로 논리적 포트가 생성되지 못한다. 이 문제점을 해결하기 위하여 주기적으로 EAP-요청/확인 메시지(EAP-Request/Identify Message)를 전송해야만 한다. 이 메시지가 전송되면 EAPoL 스타트 메시지를 사용자 단말에서 전송하지 않았더라도 EAP-응답/확인 메시지(EAP-Response/Identify Message)를 전송하여 다음 프로시듀어로 넘어갈 수 있다. 즉, EAP-요청/확인 메시지를 주기적으로 전송하기 위한 구조가 정의가 되어야만 한다.In this case, although one logical port should be created, the logical port cannot be created because the existence of the logical port cannot be determined. In order to solve this problem, an EAP-Request / Identify Message must be sent periodically. When this message is transmitted, the EAP-Response / Identify Message can be sent to the next procedure even if the EAPoL start message is not transmitted from the user terminal. That is, a structure for periodically transmitting the EAP-Request / Ack message must be defined.

도 4는 주기적으로 EAP-요청/확인 메시지를 전송하기 위한 구조를 나타낸다. 물리적 포트가 오픈된 최초의 상태에서, 임의의 MAC ID값(여기서는 00:00:00:00:00:00)을 가지는 스테이트 머신이 생성되어 있다. 이 스테이트 머신은 주기적으로 EAP-요청/확인 메시지를 전송하기 위해 존재한다. 00:00:00:00:00:00인 MAC 어드레스를 가지고 들어오는 이더넷 패킷은 없을 것이므로, 이 스테이트 머신은 항상 초기화된 상태에만 머물어 EAP-요청/확인 메시지를 전송하는 작업만을 수행한다.4 shows a structure for periodically sending an EAP-Request / Ack message. In the initial state where the physical port is opened, a state machine with an arbitrary MAC ID value (here: 00: 00: 00: 00: 00: 00) has been created. This state machine exists for sending EAP-Request / Ack messages periodically. Since no Ethernet packets will come in with a MAC address of 00: 00: 00: 00: 00: 00, this state machine will always stay in an initialized state and only send EAP-Request / Ack messages.

이에 비하여 도 5는 상기 두가지 경우 즉, EAPoL 스타트 메시지가 사용자 단말로부터 전송되거나 전송되지 않는 두 가지 경우를 모두 고려하여 생성된 논리적 포트들을 나타낸다. 각각의 논리적 포트는 802.1x의 동작을 위하여 스테이트 머신을 탑재하고 있다. 초기 상태에서도 도 4에서 볼 수 있듯이 00:00:00:00:00:00인 MAC ID를 가지는 논리적 포트를 생성한다. 그러면, 사용자 단말의 EAPoL 스타트 메시지 전송 여부에 상관없이 현재 사용자 단말이 접속하여 논리적 포트를 만들어야 하는지의 여부를 판단할 수 있다.In contrast, FIG. 5 illustrates logical ports generated in consideration of the two cases, that is, both cases where the EAPoL start message is transmitted or not transmitted from the user terminal. Each logical port has a state machine for 802.1x operation. Even in the initial state, as shown in FIG. 4, a logical port having a MAC ID of 00: 00: 00: 00: 00: 00 is created. Then, it may be determined whether the current user terminal accesses to create a logical port regardless of whether the user terminal transmits the EAPoL start message.

왜냐하면, 상기 EAPoL 스타트 메시지가 사용자 단말로부터 전송되지 않는 경우의 처리과정에서 볼 수 있듯이, 이 스테이트 머신은 주기적으로 EAP-요청/확인 메시지를 전송할 것이고, 사용자 단말이 접속한 상태라면 이에 대한 응답을 전송할 것이기 때문이다. Because, as can be seen in the process when the EAPoL start message is not transmitted from the user terminal, this state machine will periodically send an EAP-Request / acknowledge message, and if the user terminal is connected, send a response to it. Because it is.

상기 EAPoL 스타트 메시지가 사용자 단말로부터 전송되는 경우의 처리과정에서와 같이 사용자 단말이 EAPoL 스타트 메시지를 전송하든, EAPoL 스타트 메시지가 사용자 단말로부터 전송되지 않는 경우의 처리과정에서와 같이 사용자 단말이 EAP-응답/확인 메시지를 전송하든, 일단 사용자 단말로부터 응답을 받으면 MAC 엔트리 테이블(Entry Table)을 확인한다.Whether the user terminal transmits the EAPoL start message as in the case of the EAPoL start message transmitted from the user terminal or the EAP-response as the process in the case of the EAPoL start message is not transmitted from the user terminal. Send a confirmation message, or check the MAC Entry Table once a response from the user terminal is received.

상기 MAC 엔트리 테이블은 초기 상태에서는 비어있다. 만약, 새로운 사용자 MAC 어드레스로부터 응답 메시지를 받으면 그 MAC 어드레스는 MAC 엔트리 테이블에 저장되고, 그 MAC 어드레스를 ID로 하여 새로운 논리적 포트가 생성된다. 이 논리적 포트는 802.1x 스테이트 머신을 탑재하여 사용자 인증 과정을 수행하게 된다. 사용자 인증 과정을 통해 사용자 단말이 유효한 것으로 판명되면, MAC 엔트리 테이블의 MAC ID를 찾아 그 값을 온 상태로 설정하고, 유효하지 않으면 오프 상태로 설정한다.The MAC entry table is empty in the initial state. If a response message is received from the new user MAC address, the MAC address is stored in the MAC entry table, and a new logical port is created with the MAC address as the ID. This logical port will be equipped with an 802.1x state machine to perform user authentication. If the user terminal is found to be valid through the user authentication process, the MAC ID of the MAC entry table is found and its value is set to an on state, and if it is not valid, it is set to an off state.

상기 MAC 엔트리 테이블의 MAC ID 값이 온 상태로 설정된 경우, 그 MAC 어드레스를 가지는 패킷은 모두 포워딩(forwarding)되지만, 오프 상태로 설정된 경우에는 콘트롤 메시지를 제외한 모든 데이터 패킷이 필터링된다. <도 5>에서는 MAC 어드레스가 각각 12:34:56:78:9A:BC와 23:45:67:89:AB:CD인 두 개의 논리적 포트가 생성된 경우를 나타내고 있다.When the MAC ID value of the MAC entry table is set to the ON state, all packets having the MAC address are forwarded, but when set to the OFF state, all data packets except the control message are filtered. FIG. 5 shows a case where two logical ports are created with MAC addresses of 12: 34: 56: 78: 9A: BC and 23: 45: 67: 89: AB: CD, respectively.

즉, 상기 도 5에서는 하나의 물리적 포트에 연결된 논리적 포트의 수가 총 3개이다.(실제 사용자 단말의 수는 2임을 주의할 것) MAC 엔트리 테이블을 보면 12:34:56:78:9A:BC: MAC ID를 가지는 논리적 포트는 인증에 성공하여 패킷을 포워딩할 수 있음을 알 수 있다. 반면, 23:45:67:89:AB:CD MAC ID를 가지는 논리적 포트는 인증에 실패하여 데이터 패킷을 포워딩할 수 없음을 알 수 있다.That is, in FIG. 5, the total number of logical ports connected to one physical port is 3 (note that the number of actual user terminals is 2). Referring to the MAC entry table 12: 34: 56: 78: 9A: BC: It can be seen that the logical port having the MAC ID can forward the packet upon successful authentication. On the other hand, it can be seen that a logical port having a 23: 45: 67: 89: AB: CD MAC ID fails to authenticate and cannot forward a data packet.

한편, 물리적 포트에 새로운 논리적 포트가 추가될 경우의 MAC 기반 802.1x의 신호 처리과정을 도 6을 참조하여 상세히 설명하면 다음과 같다.Meanwhile, the signal processing of MAC-based 802.1x when a new logical port is added to a physical port will be described in detail with reference to FIG. 6.

우선, 포트에 컨넥션(connection)이 발생되었는지 확인하여 컨넥션이 발생된 것으로 인식되면, 즉 포트 오픈이 인식되면 MAC ID가 00:00:00:00:00:00인 스테이트 머신을 생성하여 EAP-요청/확인 메시지를 주기적으로 전송하게 된다.(S1,S2)First, if it is recognized that a connection has been made by checking whether a connection has been made to a port, that is, if a port is recognized, a state machine with a MAC ID of 00: 00: 00: 00: 00: 00 is created to request an EAP-request. / Confirm message is sent periodically (S1, S2).

이후, 기존의 MAC 엔트리 테이블에 저장된 MAC ID와 다른 MAC 어드레스를 가지는 패킷이 들어왔는지 확인한다. 만약, 확인 결과 들어 온 패킷의 MAC 어드레스가 기존의 저장된 MAC ID와 동일한 것으로 판명되면, 기존 MAC ID를 가지는 논리적 포트에게 그 패킷을 넘겨 그 곳에서 802.1x 스테이트 머신의 동작을 수행하도록 하면 된다. 즉, 여기서는 특별히 해줄 일이 없다.(S3,S4)Thereafter, it is checked whether a packet having a MAC address different from the MAC ID stored in the existing MAC entry table is received. If the check result indicates that the MAC address of the incoming packet is the same as the existing stored MAC ID, the packet is passed to the logical port having the existing MAC ID to perform the operation of the 802.1x state machine there. In other words, there is nothing special to do here (S3, S4).

그러나, 상기 확인 결과 들어 온 패킷의 MAC 어드레스가 기존에 받은 패킷들과 다른 것으로 판명되면, 새로운 MAC 어드레스를 MAC 엔트리 테이블에 저장한 후 새로운 논리적 포트를 생성하게 되는데, 이 논리적 포트에는 802.1x 스테이트 머신이 탑재되며, 스테이트 머신은 스레드(thread)로 생성되어 다른 논리적 포트의 스테이트 머신 동작에 방해되지 않도록 하여야 한다.(S5,S6)However, if the check result indicates that the MAC address of the incoming packet is different from the existing packets, the new MAC address is stored in the MAC entry table and a new logical port is created. The logical port has an 802.1x state machine. The state machine must be created as a thread so that it does not interfere with the state machine operation of other logical ports (S5, S6).

이후, 새로 받은 패킷이 EAP-응답/확인 패킷인지 확인하여 그 EAP-응답/확인 패킷으로 판명되면 그 다음 프로시듀어인 EAP-요청/MD5 챌린지(Challenge) 또는 TLS 패킷을 전송하기 위해 다음 단계(S10)로 진행하고(도 1 참조), 새로 받은 패킷이 EAP-응답/확인 패킷이 아닌 것으로 판명되면, EAP-요청/확인 패킷을 전송하여 802.1x 인증 과정을 새로 시작한 다음 그에 대한 응답인 EAP-응답/확인 메시지가 전송되기를 기다려 이 응답이 도착하지 않으면 다시 EAP-요청/확인 메시지를 전송하는 과정을 되풀이한다.(S7-S9) Then, if the newly received packet is an EAP-response / acknowledgment packet and it is determined to be the EAP-response / acknowledgement packet, the next procedure (e.g., to transmit the next procedure, EAP-Request / MD5 Challenge or TLS packet) is performed. S10) (see FIG. 1), if the newly received packet is found to be not an EAP-Response / Ack packet, the EAP-Request / Ack packet is transmitted to start a new 802.1x authentication process, and then the EAP- If the response is not received because the response / acknowledgement message is not received, the process of transmitting the EAP-request / acknowledgement message is repeated (S7-S9).

그러나, 상기 응답이 제대로 도착한 경우에는, MAC 어드레스로 EAP-요청/MD5 챌린지(Challenge) 또는 TLS 메시지를 전송하여 암호화된 사용자 아이디(ID)와 패스워드를 얻는다. 여기서 MD5 챌린지나 TLS는 특정 암호화 알고리즘을 의미한다.(S10) However, if the response arrives correctly, send an EAP-Request / MD5 Challenge or TLS message to the MAC address to obtain an encrypted User ID and Password. Here, MD5 challenge or TLS means a specific encryption algorithm (S10).

이후, 상기 제10단계(S10)와 유사하게 EAP-요청/MD5 챌린지 또는 TLS 메시지에 대한 응답인 EAP-응답/MD 챌린지 또는 TLS 메시지가 도착하기를 기다린다. 여기서, 전송받은 EAP-응답/MD5 챌린지 또는 TLS 메시지에는 암호화된 사용자 아이디(ID) 및 패스워드 값이 들어있다.(S11)Thereafter, similar to the tenth step (S10), it waits for the EAP-Response / MD Challenge or TLS message, which is a response to the EAP-Request / MD5 Challenge or TLS message, to arrive. Here, the received EAP-Response / MD5 Challenge or TLS message contains an encrypted user ID and password value (S11).

이어서, 상기 전송받은 데이터를 디코딩하여 사용자 ID와 패드워드를 알아내고 그 값들이 서버에 저장된 ID, 패스워드값과 같은지 확인한다. 데이터를 디코딩하는 과정과 서버에 저장된 값들과 얻은 값을 비교하는 과정은 본 발명의 범위를 벗어나므로 자세히 설명하지 않는다. 일반적으로, 이 과정은 RADIUS와 같은 AAA server를 통해 일어난다.(S12) Subsequently, the received data is decoded to find a user ID and a password, and check whether the values are the same as the ID and password stored in the server. Decoding the data and comparing the obtained values with the values stored in the server are beyond the scope of the present invention and will not be described in detail. Typically, this happens through an AAA server such as RADIUS (S12).

상기 확인 결과 상기 값들이 서버에 저장된 ID, 패스워드값과 같은 것으로 판명되면 즉, 성공(successs)으로 판명되면, MAC 엔트리 테이블의 결과 값을 온으로 설정하고, 새로운 패킷이 들어오기를 기다린다.(S13) If it is determined that the values are the same as the ID and password values stored in the server, that is, successes, the result value of the MAC entry table is set to ON, and a new packet is waited for. )

그러나, 상기 확인 결과 상기 값들이 서버에 저장된 ID, 패스워드값과 다른 것으로 판명되면 즉, 실패(Fail)로 판명되면, 상기 MAC 엔트리 테이블의 결과 값을 오프로 설정하고, 새로운 패킷이 들어오기를 기다린다.(S14)However, if the result of the check indicates that the values are different from the ID and password values stored in the server, that is, if the value is found to be a failure, the result value of the MAC entry table is set to off and wait for a new packet to come in. (S14)

이상에서 상세히 설명한 바와 같이 본 발명은 사용자의 MAC 어드레스로 각각 로직컬 포트 블록킹이 아닌 MAC 필터링을 통해 사용자 인증을 관리하도록 함으로써, 하나의 AP 또는 스위치 장비의 수용 가능한 사용자 단말 수를 늘려줄 수 있는 효과가 있다. As described in detail above, the present invention manages user authentication through MAC filtering rather than logical port blocking with a user's MAC address, thereby increasing the number of acceptable user terminals of one AP or switch equipment. have.

도 1은 802.1x 프로토콜의 동작 신호 흐름도.1 is an operational signal flow diagram of the 802.1x protocol.

도 2는 스위치 네트워크의 구성도.2 is a configuration diagram of a switch network.

도 3은 공유 미디어 네트워크의 구성도.3 is a block diagram of a shared media network.

도 4는 최초 상태의 802.1x 스테이트 머신의 구성도.4 is a configuration diagram of an 802.1x state machine in an initial state.

도 5는 여러 사용자 단말이 하나의 물리적 포트에 접속하였을 경우의 802.1x 논리적 포트의 구성도.5 is a configuration diagram of an 802.1x logical port when several user terminals access a single physical port.

도 6a 및 도 6b는 본 발명에 의한 사용자 인증을 위한 프로토콜 개선 방법의 처리과정을 나타낸 신호 흐름도.6A and 6B are signal flow diagrams illustrating a process of a protocol improvement method for user authentication according to the present invention.

Claims (5)

포트에 컨넥션이 발생하면 소정의 스테이트 머신을 생성하여 EAP-요청/확인 메시지를 주기적으로 전송하는 제1과정과; 기존의 MAC 엔트리 테이블에 저장된 MAC ID와 상이한 MAC 어드레스를 가진 패킷이 들어 오면, 새로운 MAC 어드레스를 MAC 엔트리 테이블에 저장한 후 새로운 논리적 포트를 생성하는 제2과정과; 새로 받은 패킷이 EAP-응답/확인 패킷이 아니면, EAP-요청/확인 패킷을 전송하여 802.1x 인증 과정을 새로 시작한 다음, 그에 대한 응답 메시지가 전송되기를 기다려 그 응답이 도착하지 않으면 다시 EAP-요청/확인 메시지를 전송하는 과정을 되풀이하는 제3과정과; 새로 받은 패킷이 EAP-응답/확인 패킷이거나, 상기 응답이 제대로 도착한 경우, MAC 어드레스로 EAP-요청/MD5 챌린지 또는 TLS 메시지를 전송하여 사용자 ID와 패스워드를 얻고, EAP-요청/MD5 챌린지 또는 TLS 메시지에 대한 응답 메시지가 도착하기를 기다리는 제4과정과; 전송받은 사용자 ID와 패드워드를 기 서버에 저장된 ID, 패스워드와 비교하여 그 비교 결과에 따라 MAC 엔트리 테이블의 결과 값을 온으로 설정한 후 새로운 패킷이 들어오기를 기다리거나, 상기 MAC 엔트리 테이블의 결과 값을 오프로 설정하고 새로운 패킷이 들어오기를 기다리는 제5과정으로 이루어지는 것을 특징으로 하는 사용자 인증을 위한 프로토콜 개선 방법.Generating a predetermined state machine and periodically transmitting an EAP-Request / Ack message when a connection is made to the port; When a packet having a MAC address different from the MAC ID stored in the existing MAC entry table is received, storing a new MAC address in the MAC entry table and creating a new logical port; If the newly received packet is not an EAP-Response / Acknowledgment packet, send an EAP-Request / Acknowledgment packet to start a new 802.1x authentication process, wait for a response message to be sent, and again if the response does not arrive, try again. A third process of repeating the process of transmitting the confirmation message; If the newly received packet is an EAP-Response / Acknowledgment packet or if the response arrives correctly, send an EAP-Request / MD5 Challenge or TLS message to the MAC address to obtain the user ID and password, and the EAP-Request / MD5 Challenge or TLS message. Waiting for a response message to arrive; Compare the received user ID and password with the ID and password stored in the server and set the result value of the MAC entry table to ON according to the comparison result, and wait for a new packet to come in, or the result of the MAC entry table. And a fifth step of setting the value to off and waiting for a new packet to be received. 제1항에 있어서, 제2과정은 기존의 MAC 엔트리 테이블에 저장된 MAC ID와 다른 MAC 어드레스를 가진 패킷이 들어 오면 기존 MAC ID를 가지는 논리적 포트에게 그 패킷을 넘겨 그 곳에서 802.1x 스테이트 머신의 동작을 수행하도록 하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 사용자 인증을 위한 프로토콜 개선 방법.2. The process of claim 1, wherein the second step is to forward a packet to a logical port with an existing MAC ID when a packet with a MAC address that is different from the MAC ID stored in the existing MAC entry table enters the operation of the 802.1x state machine there. Method for improving the protocol for user authentication, characterized in that further comprising the step of performing. 제1항에 있어서, 제2과정의 논리적 포트에는 802.1x 스테이트 머신이 탑재되고, 스테이트 머신은 스레드로 생성되어 다른 논리적 포트의 스테이트 머신 동작에 방해되지 않도록 하는 것을 특징으로 하는 사용자 인증을 위한 프로토콜 개선 방법.The protocol improvement for user authentication according to claim 1, wherein the logical port of the second process is equipped with an 802.1x state machine, and the state machine is created as a thread so that it does not interfere with the state machine operation of another logical port. Way. 제1항에 있어서, 제4과정의 사용자 ID와 패스워드는 암호화된 형태로 얻는 것을 특징으로 하는 사용자 인증을 위한 프로토콜 개선 방법.The method of claim 1, wherein the user ID and password of the fourth process are obtained in an encrypted form. 제1항에 있어서, 제5과정은 전송받은 사용자 ID와 패드워드가 기 서버에 저장된 ID, 패스워드와 동일하면 MAC 엔트리 테이블의 결과 값을 온으로 설정한 후 새로운 패킷이 들어오기를 기다리고, 상이하면 상기 MAC 엔트리 테이블의 결과 값을 오프로 설정한 후 새로운 패킷이 들어오기를 기다리는 것을 특징으로 하는 사용자 인증을 위한 프로토콜 개선 방법.The method of claim 1, wherein if the received user ID and the password are the same as the ID and password stored in the server, the fifth process waits for a new packet to come in after setting the result value of the MAC entry table to on. And setting a result value of the MAC entry table to off and waiting for a new packet to come in.
KR10-2004-0014111A 2004-03-02 2004-03-02 Protocol improvement method for user authentication KR100533003B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2004-0014111A KR100533003B1 (en) 2004-03-02 2004-03-02 Protocol improvement method for user authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2004-0014111A KR100533003B1 (en) 2004-03-02 2004-03-02 Protocol improvement method for user authentication

Publications (2)

Publication Number Publication Date
KR20050088697A KR20050088697A (en) 2005-09-07
KR100533003B1 true KR100533003B1 (en) 2005-12-02

Family

ID=37271330

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2004-0014111A KR100533003B1 (en) 2004-03-02 2004-03-02 Protocol improvement method for user authentication

Country Status (1)

Country Link
KR (1) KR100533003B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106534117B (en) * 2016-11-10 2020-03-06 新华三技术有限公司 Authentication method and device

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001111544A (en) * 1999-10-05 2001-04-20 Nec Corp Authenticating method in radio lan system and authentication device
KR20030053280A (en) * 2001-12-22 2003-06-28 주식회사 케이티 Access and Registration Method for Public Wireless LAN Service
US20030177267A1 (en) * 2002-01-18 2003-09-18 Nokia Corporation Addressing in wireless local area networks
US20030236982A1 (en) * 2002-06-20 2003-12-25 Hsu Raymond T. Inter-working function for a communication system
KR20040054348A (en) * 2002-12-18 2004-06-25 한국전자통신연구원 User node authentication method in mobile ad hoc networks using EAP
KR20050066636A (en) * 2003-12-26 2005-06-30 한국전자통신연구원 System and method for user authentication of ad-hoc node in ad-hoc network

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001111544A (en) * 1999-10-05 2001-04-20 Nec Corp Authenticating method in radio lan system and authentication device
KR20030053280A (en) * 2001-12-22 2003-06-28 주식회사 케이티 Access and Registration Method for Public Wireless LAN Service
US20030177267A1 (en) * 2002-01-18 2003-09-18 Nokia Corporation Addressing in wireless local area networks
US20030236982A1 (en) * 2002-06-20 2003-12-25 Hsu Raymond T. Inter-working function for a communication system
KR20040054348A (en) * 2002-12-18 2004-06-25 한국전자통신연구원 User node authentication method in mobile ad hoc networks using EAP
KR20050066636A (en) * 2003-12-26 2005-06-30 한국전자통신연구원 System and method for user authentication of ad-hoc node in ad-hoc network

Also Published As

Publication number Publication date
KR20050088697A (en) 2005-09-07

Similar Documents

Publication Publication Date Title
JP3844762B2 (en) Authentication method and authentication apparatus in EPON
US7624181B2 (en) Techniques for authenticating a subscriber for an access network using DHCP
US7325246B1 (en) Enhanced trust relationship in an IEEE 802.1x network
Aboba et al. Extensible authentication protocol (EAP)
Lloyd et al. PPP authentication protocols
CN100594476C (en) Method and apparatus for realizing network access control based on port
Aboba et al. RFC 3748: Extensible authentication protocol (EAP)
US7962954B2 (en) Authenticating multiple network elements that access a network through a single network switch port
WO2004110026A1 (en) Methods and systems of remote authentication for computer networks
JP2007068161A (en) Distributed authentication function
US20120054359A1 (en) Network Relay Device and Frame Relaying Control Method
TW201212614A (en) Network devices and authentication protocol methods thereof
US7788715B2 (en) Authentication for transmission control protocol
US20120054830A1 (en) Network Relay Device and Relay Control Method of Received Frames
CN101272379A (en) Improving method based on IEEE802.1x safety authentication protocol
JP2010062667A (en) Network equipment and network system
CN100591068C (en) Method of transmitting 802.1X audit message via bridging device
KR100533003B1 (en) Protocol improvement method for user authentication
CN1486032A (en) Method and apparatus for VLAN based network access control
JP4768547B2 (en) Authentication system for communication devices
Cisco Security Setup
Cisco Security Setup
Cisco Security Setup
US20080077972A1 (en) Configuration-less authentication and redundancy
JP3825773B2 (en) Authentication decision bridge

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee