KR100656519B1 - 네트워크의 인증 시스템 및 방법 - Google Patents

네트워크의 인증 시스템 및 방법 Download PDF

Info

Publication number
KR100656519B1
KR100656519B1 KR1020040096584A KR20040096584A KR100656519B1 KR 100656519 B1 KR100656519 B1 KR 100656519B1 KR 1020040096584 A KR1020040096584 A KR 1020040096584A KR 20040096584 A KR20040096584 A KR 20040096584A KR 100656519 B1 KR100656519 B1 KR 100656519B1
Authority
KR
South Korea
Prior art keywords
terminal
authentication
access point
mac address
network
Prior art date
Application number
KR1020040096584A
Other languages
English (en)
Other versions
KR20060057435A (ko
Inventor
강신일
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020040096584A priority Critical patent/KR100656519B1/ko
Publication of KR20060057435A publication Critical patent/KR20060057435A/ko
Application granted granted Critical
Publication of KR100656519B1 publication Critical patent/KR100656519B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명의 일 측면에 따른 네트워크 인증 방법은, 액세스 포인트로 접속을 시도하는 단말의 MAC 주소 값을 수신한 액세스 포인트가 상기 단말의 MAC 주소가 상기 네트워크로의 접속이 허락된 MAC 주소인지 검색하는 MAC(Media Access Control) 주소 필터링 단계와 상기 단계에서 단말이 상기 네트워크로의 접속이 허락된 MAC 주소를 가지는 것으로 판단되어 액세스 포인트로의 접속이 승인된 경우, 인증 서버로 하여금 상기 액세스 포인트를 통하여 접속하는 단말의 인증 정보를 확인하도록 하는 인증 정보 확인 단계를 포함한다.

Description

네트워크의 인증 시스템 및 방법{System and Method for Authentication in Network}
도 1은 본 발명이 적용되는 전체 네트워크의 구성을 나타낸 도면.
도 2는 비인가 단말이 접속을 시도하는 경우의 본 발명에 따른 처리 흐름을 나타낸 도면.
도 3은 인증 단말이 접속을 시도하는 경우의 본 발명에 따른 처리 흐름을 나타낸 도면.
도 4는 불법 복제 단말이 접속하는 경우의 본 발명에 따른 처리 흐름을 나타낸 도면.
도 5는 본 발명에 따른 액세스 포인트의 블록 구성을 나타낸 도면.
도 6은 본 발명에 따른 인증 확인 방법의 바람직한 일 실시예를 나타낸 도면.
*도면의 주요 부분에 대한 부호의 설명*
10-1 : 비인가 단말 10-2 : 인가 단말
10-3 : 복제된 단말 20 : 액세스 포인트(AP)
201 : 프로세서 202 : RF 처리부
203 : PHY 처리부 204 : MAC 처리부
205 : RAM 206 : MAC 주소 저장부
30 : 인증 서버
본 발명은 네트워크의 인증 시스템 및 그 방법에 관한 것으로, 보다 구체적으로는 단말의 MAC 주소와 CM 프로그램의 암호 키를 이용해 액세스 포인트와 단말 사이의 무선 구간에서 발생할 수 있는 침해 위험성을 사전에 차단할 수 있는 한층 강화된 인증을 구현하도록 하는 네트워크의 인증 시스템 및 그 방법에 관한 것이다.
현재의 무선 랜 서비스를 이용하려면 모바일 사용자(Mobile User)는 단순히 ISP(Internet Service Provider) 업체에 가입을 한 후 ISP 업체로부터 부여받은 사용자 정보(ID, Password)를 이용하여 ISP CM(Connection Manager)를 통해서 인증 절차를 거치면 간단하게 유료로 인터넷에 접속할 수 있게 되어 있다.
이러한 방식으로 인터넷을 이용하려면 우선 기본적으로 무선 랜(Wireless LAN) 망이 구축되어야 하는데, 무선 랜 망은 무선 단말 환경(예를 들어, 무선 랜 카드, 무선 랜 USB, 무선 PCI 카드)을 갖춘 무선 단말(Mobile Station)과 유선 네트워크와 무선 네트워크를 연결하는 액세스 포인트(Access Point : AP)가 하드웨어적으로 구현되어 있어야 하며, 소프트웨어적으로 이 무선 단말에 AP를 통하여 내부 또는 외부의 유선 네트워크에 접속 가능하도록 사용자의 인증을 검토하는 인증시스템(ISP 업체에 따른 절차)이 구성되어야 한다.
무선 랜 상에서의 일반적인 인증 알고리즘은 일종의 포트(Port) 제어로서, 소정의 인증 절차를 통하여 허가받은 단말에게만 서비스를 제어해 주는 방식으로 802.1x 규격을 따른다.
IEEE 802.1x는 AP(Access Point)에 대한 접근 제어 가능 여부에 따라서 인증 상태(Controlled)와 비인증 상태로 정의된다. IEEE 802.1x 규격에서는 크게 세 종류의 개체를 정의하고 있다. 첫 번째는 요구자(Supplicant)이며, 두 번째는 인증자(Authenticator), 그리고 세 번째는 인증 서버(Authentication Server)이다.
요구자는 인증자로부터 인증 요청을 받았을 때 사용자의 식별 정보(User Credential)를 전달하는 개체로서, 단말에 해당한다. 인증자는 요구자에게 인증을 요구하고 전달 받은 사용자 식별 정보를 이용해 인증 서버에게 인증 서비스를 요청하는 개체로서, 액세스 포인트에서 담당한다. 인증자는 또한 해당 사용자의 접속 포트 상태를 관리하여 인증 서버의 인증 결과에 따라 포트를 인증 상태 혹은 비인증 상태로 설정하게 된다.
인증 서버는 인증자로부터 사용자에 대한 인증 요청을 입력받아 인증 서비스를 제공하는 개체로서, 사용자의 식별 정보를 미리 가지고 있어야 한다. 인증 서버 는 논리적으로는 인증자와 역할이 분리되어 있지만 물리적으로도 반드시 인증자와 분리될 필요는 없다.
IEEE 802.1x 규격에서는 요구자, 인증자, 그리고 인증 서버간의 전체적인 인증 메커니즘을 규정하고 있으며, 요구자와 인증자 사이에서는 확장 가능한 인증 프로토콜(Extensible Authentication Protocol, 이하 EAP라 한다.)을 MAC 계층에서 사용하도록 규정하고 있다.
일반적인 무선 랜 표준에서의 인증 과정을 살펴보면 다음과 같다.
무선 단말은 사용자의 정보를 액세스 포인트에 전송해 ISP 업체의 인증시스템을 통해 인증 절차를 밟고 유선 네트워크 환경이나 인터넷에 접속할 수 있다. 간단히 액세스 포인트는 이런 사용자의 정보를 인증 시스템의 인증 서버로 전달하며, 인증 확인이 된 무선 단말과 유선 네트워크를 연결하는 기능을 한다.
인증시스템의 인증 서버는 이렇게 받은 사용자의 정보를 검토해서 인증 여부를 결정한다. 무선 랜의 주요 인증 방식으로는 MAC(Medium Access Control)을 기본으로 한 인증 방식, 802.11b상의 인증 방식 등 여러 인증 방식이 사용되고 있다. 하지만 무선 랜의 경우는 무선 구간, 즉, 액세스 포인트와 무선 단말 구간에 RF(Radio Frequency)를 이용하므로 허가되지 않은 불법의 사용자의 도청, 감청으로 인해 보안의 취약성이 생기며 이런 보안 취약성 때문에 다양한 방식의 보안 대책 기능을 사용하고 있다.
보안 대책으로는 ESS(Extended Service Set) ID, WEP KEY(Wired Equivalent Privacy KEY), DHCP(Dynamic Host Configuration Protocol) IP 설정과 같은 여러 가지 방법이 사용되고 있다.
하지만, 일반적인 인증 절차는 단말 환경을 갖춘 무선 단말이 내부 유선 망이나 외부 백본망에 접속시 항상 사용자의 인증 정보를 입력하고 인증 서버의 인증 확인을 거쳐 인증이 확인된 사용자에게만 인증 허가를 거쳐서 내부 유선 망이나 외부 백본망에 접속하게 되어 있다.
즉, 상술한 바와 같은 무선 랜의 보안 대책 기능에도 불구하고 ESS ID의 노출 위험, WEP KEY의 크래킹(Cracking), 그리고 DHCP IP의 경우에 있어서 자동 IP일 때 비인가의 자동 IP 부여로 인한 문제 등 외부 침해 위협으로부터 보안 취약점을 가지고 있다.
본 발명은 상기의 문제점을 해결하기 위해, 단말 사용자의 ID나 비밀번호를 이용한 인증 방법 외에 단말 자체에 부여된 MAC 주소 또는 단말에 설치된 소프트웨어 프로그램에 설치되는 암호 키 등을 이용하여 단말과 액세스 포인트간의 무선 구간에서 인증 체계를 강화하도록 하는 네트워크 인증 시스템 및 그 방법을 제공함을 그 목적으로 한다.
본 발명의 일 측면에 따른 네트워크 인증 방법은, 액세스 포인트로 접속을 시도하는 단말의 MAC 주소 값을 수신한 액세스 포인트가 상기 단말의 MAC 주소가 상기 네트워크로의 접속이 허락된 MAC 주소인지 검색하는 MAC(Media Access Control) 주소 필터링 단계와 상기 단계에서 단말이 상기 네트워크로의 접속이 허락된 MAC 주소를 가지는 것으로 판단되어 액세스 포인트로의 접속이 승인된 경우, 인증 서버로 하여금 상기 액세스 포인트를 통하여 접속하는 단말의 인증 정보를 확인하도록 하는 인증 정보 확인 단계를 포함한다.
상기 인증 정보는, 단말의 사용자 정보, 단말의 CM(Connection Manager) 프로그램 암호 키 중 적어도 하나를 포함하며, 상기 단말의 사용자 정보는 단말 사용자에게 부과된 ID 또는 비밀번호 중 적어도 하나를 포함하는 것을 특징으로 한다.
상기 인증 정보 확인 단계는, 상기 단말로부터 수신되는 단말의 사용자 정보 확인 단계와 상기 단말의 사용자 정보 수신시 함께 수신되는 CM 프로그램의 암호 키 확인 단계를 포함하되, 상기 단말의 사용자 정보 및 CM 프로그램의 암호 키를 인증 서버에 등록되어 있는 인증 정보와 비교하여 일치하는 경우에만 인증 확인이 성공한 것으로 판단하는 것을 특징으로 한다.
또한 상기 인증 정보 확인 단계는, 상기 단말로부터 수신되는 단말의 사용자 정보와 CM 프로그램의 암호 키의 조합으로 생성되는 암호 코드 값을 비교하여 인증 확인 여부를 판단할 수도 있다.
상기 인증 정보 확인 결과 상기 단말에 대한 인증 확인이 성공한 경우에는, 상기 단말은 상기 내부 유선 망 또는 외부 백본망에 접속하여 데이터 송수신을 수행한다.
본 발명의 다른 측면에 따른 인증 시스템은, 액세스 포인트로 접속을 시도하는 단말의 MAC 주소 값을 수신하여, 단말의 MAC 주소가 상기 네트워크로의 접속이 허락된 MAC 주소인지 검색하는 액세스 포인트와 상기 단말이 상기 네트워크로의 접속이 허락된 MAC 주소를 가지는 것으로 판단된 경우, 상기 접속을 시도하는 단말의 인증 정보를 확인하는 인증 서버를 포함한다.
상기 액세스 포인트는, 상기 액세스 포인트로의 접속이 허가된 단말의 MAC 주소 값에 관한 데이터 리스트를 저장하는 MAC 주소 저장부를 포함하며, 플래시 메모리 또는 ROM 중 적어도 하나로 구성될 수 있다.
상기 액세스 포인트는 또한, 액세스 포인트에 접속하는 적어도 하나의 무선 단말로부터 수신한 무선 신호를 처리하는 RF 처리부; 물리 계층의 처리를 담당하는 PHY 처리부; MAC 계층의 처리를 담당하는 MAC 처리부; 상기 액세스 포인트에서 처리되는 데이터를 저장하는 RAM; 및 상기 각 처리부 및 RAM 간의 신호 흐름을 및 데이터의 저장을 제어하고 상기 액세스 포인트로 접속하는 단말의 MAC 주소를 체크하여 그와 동일한 MAC 주소가 상기 MAC 주소 저장부에 등록되어 있는지 비교하는 프로세서를 더 포함할 수 있다.
상기 인증 서버는, 상기 단말로부터 수신되는 단말의 사용자 정보 및 CM 프로그램의 암호 키를 기 등록되어 있는 인증 정보와 비교하여 일치하는 경우에만 상기 단말에 대한 인증 확인이 성공한 것으로 판단하는 것을 특징으로 한다.
이하, 본 발명에 따른 바람직한 실시예를 도면을 살펴보면서 구체적으로 설 명하기로 한다.
기존의 홈 네트워크 또는 소규모의 비즈니스 네트워크 구축 시에 유선과 무선을 병행하여 구성할 수 있는데, 특히 무선을 이용하는 구간에 발생되어지는 침해 위협들이 다수 발생할 수 있고 이는 정보유출로 이어져 많은 사용자들에게 피해를 입힐 수 있다. 현재는 이런 피해를 방지하기 위해 여러 가지 보안 대책 기능을 사용하고 있으며 본 발명에서는 액세스 포인트와 단말 사이인 무선 구간에 대해 이런 침해 위험성으로부터 사전에 대응할 수 있는 방법과 인증 절차 보완 방법을 제시하고자 한다.
무선 랜 네트워크의 기본 구성 블록은 기본서비스 셋(BSS : Basic Service Set)이다. 이는 서로 통신하는 단말의 그룹을 일컫는다. 통신은 BSS라고 불리는 무선 매체의 전파 특성에 의해서 정의되어지는 경계가 다소 불명확한 영역 안에서 이루어진다. 단말이 BSS 영역에 있을 때에는 다른 기기와 통신이 가능하다. BSS는 두 가지 형태의 구성을 가질 수 있다.
첫 번째가 독립 네트워크의 구성이다.
독립 BSS(Independent BSS)에 있는 단말은 통신 영역 내에 있는 다른 기기와 직접 통신한다. 두 개의 단말로 구성된 IBSS는 가장 작은 네트워크의 예가 될 것이다. 일반적으로 IBSS는 특정한 목적을 가지고, 특정 기간 동안 구성되는 몇 개의 단말로 이루어진다. 짧은 사용 기간과 적은 규모, 특정한 목적 때문에 IBSS는 때때로 ad hoc BSSs 또는 ad hoc 네트워크라고도 한다.
두 번째는 인프라구조(Infrastructure) 네트워크를 들 수 있다.
인프라구조 네트워크는 액세스 포인트(Access Point)의 사용으로 구별될 수 있다. 즉, 인프라구조 네트워크는 동일한 서비스 영역에서 이동 단말의 통신을 포함한 모든 통신 과정에서 액세스 포인트를 사용한다. 인프라구조 BSS에 있는 이동 단말이 다른 이동 단말과 통신하는 것이 필요하다면, 이러한 통신은 두 가지 과정을 거친다. 첫 번째는 신호 송신 단말이 프레임을 액세스 포인트로 전송하는 것이고, 두 번째는 액세스 포인트가 프레임을 대상 스테이션으로 전송하는 것이다. 모든 통신이 액세스 포인트에 의해 전송되므로, 인프라구조 BSS에서 대응되는 기본 서비스 영역은 액세스 포인트로부터 신호를 받을 수 있는 영역으로 정의된다. 이러한 다단계 전송은 전송자와 수신자간의 직접 통신보다 전송 용량이 더 필요하지만, 다음과 같은 두 가지의 주요 이점이 있다.
인프라구조 BSS는 액세스 포인트로부터의 거리로 정의된다. 모든 이동 단말은 액세스 포인트에서 접근 가능한 거리 내에 있어야 하지만, 이동 단말 사이의 거리에는 제한이 없다. 이동 단말 사이의 직접 통신은 전송 용량을 줄일 수 있다는 장점이 있지만, 이동 단말은 서비스 영역 내에 있는 다른 이동 단말과 서로 관계를 유지하는 것이 필요하므로 물리 계층이 보다 복잡하다.
인프라구조 네트워크에 있는 액세스 포인트는 전력 절감을 시도하는 이동 단말을 도와줄 수 있다. 즉, 액세스 포인트는 단말이 전력 절감 모드로 진입하는 것을 기록해 두었다가 단말을 위한 프레임을 버퍼링 할 수 있다. 그래서 배터리에 의해 동작하는 단말은 무선 랜 카드를 꺼놓은 후, 전송이 필요한 경우에 다시 전원을 공급하여 액세스 포인트에 의해서 버퍼링 된 프레임을 수신할 수 있다.
살펴본 바와 같이, 일반적인 인프라구조 무선 랜 네트워크에서 액세스 포인트(AP)는 일종의 허브(Hub) 역할로 무선 단말 환경을 지니고 있는 단말들을 유선으로 연결된 네트워크에 연결해 주는 역할을 한다.
즉, 액세스 포인트의 기능은 단말을 통한 사용자의 정보를 내부 유선 망이나 외부 백본망에 존재하는 인증 서버에 전달해서 인증시스템의 인증 절차를 밟을 수 있게 하는 다리(Bridge) 역할을 수행한다고 할 수 있다. 인증시스템의 인증 절차를 밟고 인증 허가를 받은 사용자는 내부 유선 망이나 외부 백본망을 접속할 수 있는 것이다. 하지만 무선 랜의 경우 RF를 이용하는 무선 구간, 즉 AP와 단말 구간에서 쉽게 도청 및 감청을 당할 수도 있으며 여러 가지 문제점을 안고 있었다.
본 발명에서는 이러한 무선 구간 상의 보안 취약성 문제를 해결하기 위해, 액세스 포인트의 기능이 단순히 다리 역할에서 벗어나게끔, MAC 주소 필터링으로 일차적 보완을 거치고 인증시스템의 인증 확인 단계에서 단말에 설치되는 CM 프로그램 암호 키와 단말 MAC 주소 매칭을 통한 추가 확인을 통하여 안전하게 인증시스템을 이용할 수 있도록 한다.
도 1은 본 발명이 적용되는 전체 네트워크의 구성을 나타내고 있다.
인증 시스템은 크게 요구자, 인증자 및 인증 서버로 구성됨을 위에서 살펴본 바 있다.
도 1에서는 요구자의 역할을 담당하는 개체로, 다수의 이동 단말(10-1, 10-2, 10-3)이 무선 구간에 위치하고 있다. 단말은 인증시스템에 제대로 등록된 인증 단말(10-2), 인증 받지 못한 비인증 단말(10-1) 등이 있을 것이며, 인증 받은 단말의 MAC 주소 등을 복제하여 불법으로 시스템에 접근하려고 시도하는 불법 복제 단말(10-3)도 있을 것이다.
인증자의 역할은 액세스 포인트(20)에서 담당하고 있으며, 단말(10)에 인증을 요구하고 전달받은 사용자 식별 정보를 이용해 인증 서버에게 인증 서비스를 요청하고, 해당 사용자의 접속 포트 상태를 관리하여 인증 서버의 인증 결과에 따라 포트를 인증 상태 혹은 비 인증 상태로 설정한다.
인증 서버(30)는 액세스 포인트(20)로부터 사용자에 대한 인증 요청을 입력받아 인증 서비스를 제공하므로, 사용자의 식별 정보를 미리 가지고 있다. 인증 서버를 통해 성공적인 인증을 마친 단말은 액세스 포인트(20)와 연결된 내부 유선 망이나 외부 백본망으로의 접속이 가능하게 된다.
도 2는 비인가 단말이 접속을 시도하는 경우의 본 발명에 따른 처리 흐름을 나타낸다.
비 인가된 단말(10)이 내부 유선 망 또는 외부 백본망에 접속을 시도하고자 한다. 단말(10-1)이 ISP CM 프로그램을 통해서 액세스 포인트(20)와 통신을 시도하면(S201), 액세스 포인트(20)는 연결을 시도하는 단말(10-1)에게 유니캐스트 방식으로 MAC 주소 값을 요청한다(S202). 단말(10-1)이 자신의 MAC 주소 값으로 응답하 면(S203), 해당 액세스 포인트(20)는 보유하고 있는 허가된 MAC 주소 리스트와 수신한 단말(10-1)의 MAC 주소 값을 비교(MAC 주소 필터링)하여 기존에 등록되어 있는 주소인지 여부를 판단한다(S204). 여기서, MAC 주소 리스트는 무선 랜 망의 구축 시에 AP 관리자가 해당 AP에 접근이 허락된 단말들의 MAC 주소를 모아 작성해 둔 것이다.
액세스 포인트(20)가 MAC 주소 리스트로 보관하고 있던 MAC 주소가 아니라면 연결 거부 메시지(Connection Reject Message) 또는 AP 관리자에게 문의를 요하는 메시지를 내보낸다(S205).
도 3은 인가 단말이 접속을 시도하는 경우의 본 발명에 따른 처리 흐름을 나타낸다.
인가 단말(10-2)이 액세스 포인트(20)에 연결을 시도하면(S301), 액세스 포인트(20)는 단말(10-2)에게 MAC 주소 값을 요청한다(302). 단말(10-2)로부터 단말(10-2)의 MAC 주소 값을 수신한(S303) 액세스 포인트(20)는, MAC 주소 리스트에 등록이 되어 있는 단말로부터의 접속인지 확인하는 MAC 주소 필터링 단계를 거치게 된다(S304).
액세스 포인트(20)에 등록되어 있는 MAC 주소인지 확인을 거쳐, 등록이 되어 있는 경우에는 단말(10-2)과 액세스 포인트(20)의 연결을 허용하고, 단말(10-2)에게 단말의 인증 절차를 위한 사용자의 정보 입력을 요구한다(S305).
이후 사용자는 일반적인 단말(10-2)상의 CM 프로그램을 통하여 사용자 정보 (ID, Password)를 입력하게 되고(S306), 입력된 정보는 인증 서버(30)의 인증 확인 단계(S307)를 거쳐 인증 허가 또는 거부를 단말의 사용자에게 알리게 된다. 본 실시예에서는 인증 허가를 받은 단말의 경우이므로 인증 서버가 해당 단말 및 사용자의 접속이 허락되었음을 사용자에 알린다(S308). 인증 확인이 성공하였으므로, 해당 단말(10-2)은 정상적으로 내부 유선 망 또는 외부 백본망에 접속할 수 있고, 자유로운 데이터의 송수신이 가능해진다(S309).
일반적으로 IEEE802.11b/b/a std 규격에 따르면 하나의 액세스 포인트(20)에 다수의 단말(10-2)이 접속할 수 있지만, 실제로 많은 수의 단말(10-2)이 붙게 된다면 무선 랜의 MAC 알고리즘은 CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance)에 따라 실제 사용하는 단말(10-2) 외의 나머지 단말(10-2)은 휴지 상태로 대기를 하게 되며, 대기 상태에서도 언제 액세스 포인트(20)를 사용할 수 있을지 주기적으로 체크한다. 그만큼 다른 단말들과의 경쟁이 불가피해지며 원하는 시점에 네트워크에 접속하기도 어려워지기 때문에, 실제로는 액세스 포인트(20)를 사용함에 있어서 단말(10-2)의 수를 제한해서 사용하고 있다.
물론 다수의 액세스 포인트(20)가 존재한다면 이 제한된 단말(10-2)의 수는 달라질 수 있으나, 본 발명에서는 지정된 하나의 액세스 포인트(20)만 존재하는 것으로 가정하기로 한다. 하나의 액세스 포인트(20)에 단말(10-2)의 수는 사용하는 액세스 포인트(20)에 따라 달라질 수 있다. 이는 제조업체마다 사양이 다르거나 AP 관리자에 의해 그 수를 조절할 수 있기 때문이다.
인증 절차는 인증 서버(30)에 등록되어 있는 사용자의 정보를 체크하여 인증 여부를 확인하는 것이 보통이나, 본 발명에서는 여기에 추가로 단말(10-2)의 CM 프로그램의 암호 키(Key)를 부여하여 확인하는 단계가 추가되었다(S307). 단말(10-2) CM 프로그램의 고유한 암호 키는 사용자가 사용자 정보를 입력하면 자동으로 인증 서버(30)로 포워딩(forwarding)되며, 사전에 검증된 단말(10-2)의 MAC 주소 값과 매칭 되는지 확인 작업에 사용된다.
즉, 단말(10-2)에 정품의 CM 프로그램이 최초 설치가 된다면 하나의 단말(10-2)은 하나의 MAC 주소와 하나의 CM 프로그램의 고유한 암호 키만 존재하게 된다. 따라서 인증 서버(30)는 단말(10-2)의 MAC 주소와 CM 프로그램 암호 키가 모두 일치하는 경우에만 최종적으로 해당 단말(10-2)이 내부 유선 망이나 외부 백본망에 접속할 수 있도록 허가를 하는 것이다.
만약 단말(10-2)의 CM 프로그램 암호 키와 MAC 주소가 공개되거나 복제되어 다른 불법 침입자가 발생한다 하여도 두 값을 동시에 만족시키기는 어려울 것이다.
도 4는 불법 복제 단말이 접속하는 경우의 본 발명에 따른 처리 흐름을 나타낸다.
임의의 불법 비인가 복제 단말(10-3)이 액세스 포인트(20)에 등록되어 있는 다른 단말(10)의 MAC 주소를 복제하여 접속을 시도한 경우를 가정해 보기로 한다.
복제된 단말(10-3)과 액세스 포인트(20) 간의 MAC 주소 확인 및 필터링 단계(S401, S402, S403, S404)는 도 2, 도 3의 경우와 동일한 과정을 거친다.
정상 단말의 MAC 주소를 복제한 단말은 동일한 정상적인 MAC 주소를 지니게 되므로, 일반적인 MAC 주소 필터링으로는 이 불법 인가자의 연결 요청을 구분해 낼 수 없게 된다. 즉, 정상적으로 MAC 주소 필터링을 통과한 비인가 단말(10-3)은 액세스 포인트(20)와의 연결은 허용이 된다.
그러나, 이후 액세스 포인트(20)로부터 인증 정보를 요청 받는 경우(S405), CM 프로그램을 통해 정상적으로 등록되어 있는 사용자의 정보(사용자 ID 및 비밀번호)를 입력하더라도 CM 프로그램 암호 키 확인 단계를 무사히 통과하기는 힘들다. MAC 주소를 복제한 단말(10)이라 하더라도 복제 당한 단말(10)의 CM 프로그램 자체에 포함되어 있는 암호 키는 복제할 수 없기 때문이다.
이 경우 복제된 단말(10-3)의 인증 정보를 수신하여 인증 확인(S407)을 거친 인증 서버(30)는, CM 프로그램 암호 키가 일치하지 않는 이유로 인증 확인이 실패했음을 알릴 것이다(S408) . 따라서 결과적으로 내부 유선 망이나 외부 백본망으로의 접속이 불가능하게 된다.
도 5는 본 발명에 따른 액세스 포인트의 블록 구성을 나타낸다.
액세스 포인트(20)는 프로세서(201), RF 처리부(202), PHY 처리부(203), MAC 처리부(204), RAM(205), 그리고 MAC 주소 저장부(206)를 포함한다.
RF 처리부(202)를 통해 액세스 포인트에 접속하고자 하는 다수의 무선 단말로부터 수신한 무선 신호를 처리한다. 또한 물리 계층을 처리하는 PHY 처리부(203), MAC 계층을 담당하는 MAC 처리부(204)를 기본적으로 구비하고 있다. 또한 액세스 포인트에서 처리되는 데이터를 저장하기 위한 RAM(Random Access Memory)(205)을 가지며, 프로세서(201)가 전체적으로 상기 각 처리부간의 신호 흐름 및 데이터 저장을 담당하는 역할을 담당한다.
본 발명에서 주목해야 할 부분은 MAC 주소 저장부(206)인데, 플래시(Flash) 메모리나 ROM(Read Only Memory) 등이 사용될 수 있다.
MAC 주소 저장부(206)는 허가된 단말(10)의 MAC 주소 데이터 리스트를 저장, 관리한다. 액세스 포인트(20)로 연결을 요청하는 단말(10)이 있는 경우, 액세스 포인트(20)의 프로세서(201)는 해당 단말(10)의 MAC 주소를 체크하여 동일한 MAC 주소가 MAC 주소 저장부(206)에 등록되어 있는지 비교, 판단하게 된다. 만일 동일한 MAC 주소가 리스트 내에 존재한다면 액세스 포인트(20)는 해당 단말(10)의 연결 요청을 승인하고 인증시스템의 인증 절차를 거치기 위한 인증 정보를 요구하게 된다.
AP 관리자는 해당 액세스 포인트(20)에 접근이 허락된 단말들의 MAC 주소 값들을 미리 세팅해서 액세스 포인트(20)의 MAC 주소 저장부(206)에 등록된 단말(10)의 MAC 주소 리스트를 저장한다.
도 6은 본 발명에 따른 인증 확인 방법의 바람직한 일 실시예를 나타내고 있다.
본 발명에 따른 인증 확인 방법은 도 2 내지 도 5를 통해 살펴본 바와 같이 인증 서버(30)에서 단말을 사용하는 사용자 정보(사용자 ID와 비밀번호)와 단말 인증에 필요한 정보(CM 프로그램 암호 키)를 확인한다. CM 프로그램 암호 키는 ISP 업체에 의해 생산 초기부터 부여될 수도 있을 것이고, 단말의 관리자가 추후에 임 의로 부여하는 방법도 사용될 수 있을 것이다. 주의할 것은, 어떤 방법으로 부여되던지 각 단말의 CM 프로그램 암호 키에 대한 정보를 인증 서버(30)가 사전에 확보하고 있어야 한다는 것이다.
도 6에서는 상기 인증 확인 방법 외에 단말 인증에 필요한 정보로 추가적으로 단말(10)에 설치되어 있는 CM 프로그램의 암호 키 및 해당 단말의 MAC 주소를 조합한 값을 새로운 암호로 사용하는 방법을 제시하고 있다. 즉, 인증 서버(30)는 각 인증 단말 별로 MAC 주소와 매칭되는 CM 프로그램 암호 키를 테이블 형태로 저장하였다가 단말로부터 인증 확인 요청이 있는 경우, 이를 암호 키로 사용할 수 있다.
암호화 방법은 MAC 주소와 CM 프로그램 암호 키를 직렬적으로 부가하여 사용하는 가장 간단한 방법에서부터 MAC 주소와 CM 프로그램 암호 키를 더한 값을 암호로 사용하는 방법까지 여러 가지 다양한 활용 방법을 생각해 볼 수 있을 것이다.
상술한 바와 같은 본 발명에 따른 인증 시스템 및 방법은, 기존에 단말의 사용자 정보만을 인증 도구로 사용하던 방법에서 탈피해 단말 자체, 더 나아가 단말에 설치된 소프트웨어 프로그램에 설치되는 암호 키를 인증 도구로 사용함으로써, 인증 받은 사용자가 인증 받은 단말을 사용하는 경우에만 인증 시스템으로 보안되는 내부 혹은 외부 시스템으로의 접근을 가능하게 한다.
이러한 접근은 자원의 이용 효율성은 논외로 하고, 중요 시스템의 보호 차원에서 강력한 보안 효과를 제공함에는 틀림이 없다 할 것이다.
본 발명은, 단말 사용자의 정보를 통한 인증 확인 단계에서 한 걸음 더 나아가 단말의 MAC 주소 확인 혹은 사용자 단말에 설치되는 CM 프로그램에 대한 암호 키 부여 등 한층 강화된 인증 시스템 및 방법을 제안함으로써, 기존의 인증 시스템 또는 인증 방법에서 발생할 수 있었던 무선 구간에서의 침해 위협 요소를 줄이는 효과를 발생시킨다.

Claims (12)

  1. 내부 유선 망 또는 외부 백본망으로 구성되는 네트워크와 연동하는 인증 시스템의 인증 방법에 있어서,
    액세스 포인트가 접속을 시도하는 단말의 MAC 주소 값을 수신하여 상기 네트워크로의 접속이 허락된 MAC 주소인지 검색하는 MAC(Media Access Control) 주소 필터링 단계; 와
    상기 단계에서 액세스 포인트로의 접속이 승인된 경우, 인증 서버가 상기 액세스 포인트를 통하여 접속하는 단말의 CM(Connection Manager) 프로그램 암호 키와 단말의 사용자 정보를 포함하는 단말의 인증 정보를 확인하는 인증 정보 확인 단계를 포함하는 네트워크 인증 방법.
  2. 제 1항에 있어서,
    상기 인증 정보 확인 단계는,
    단말의 사용자 정보가 인증 서버로 전송되는 경우, CM 프로그램에 고유하게 포함되어 있는 단말의 CM 프로그램 암호 키가 자동으로 전송이 되어 인증서버에 등록되어 있는 단말의 MAC 주소와 CM 프로그램 암호 키의 값과 비교한 후 접속 허가 유무를 판단하는 것을 특징으로 하는 네트워크 인증 방법.
  3. 제 1항에 있어서,
    상기 단말의 사용자 정보는 단말 사용자에게 부과된 ID 또는 비밀번호 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크 인증 방법.
  4. 제 1항에 있어서,
    상기 인증 정보 확인 단계는,
    상기 단말로부터 수신되는 단말의 사용자 정보 확인 단계; 와
    상기 단말의 사용자 정보 수신시 함께 수신되는 CM 프로그램의 암호 키 확인 단계를 포함하되,
    상기 단말의 사용자 정보 및 CM 프로그램의 암호 키를 인증 서버에 등록되어 있는 인증 정보와 비교하여 일치하는 경우에만 인증 확인이 성공한 것으로 판단하는 것을 특징으로 하는 네트워크 인증 방법.
  5. 제 1항에 있어서,
    상기 인증 정보 확인 단계는,
    상기 단말로부터 수신되는 단말의 사용자 정보와 CM 프로그램의 암호 키의 조합으로 생성되는 암호 코드 값을 비교하여 인증 확인 여부를 판단하는 것을 특징으로 하는 네트워크 인증 방법.
  6. 제 1항에 있어서,
    상기 인증 정보 확인 결과 상기 단말에 대한 인증 확인이 성공한 경우,
    상기 단말은 상기 내부 유선 망 또는 외부 백본망에 접속하여 데이터 송수신을 수행하는 것을 특징으로 하는 네트워크 인증 방법.
  7. 내부 유선 망 또는 외부 백본망으로 구성되는 네트워크와 연동하는 인증 시스템에 있어서,
    액세스 포인트로 접속을 시도하는 단말의 MAC 주소 값을 수신하여, 상기 네트워크로의 접속이 허락된 MAC 주소인지 검색하는 액세스 포인트; 와
    상기 단말이 액세스 포인트로의 접속이 승인되어 접속하는 경우, 단말의 사용자 정보와 단말의 CM 프로그램 암호 키를 포함하는 단말의 인증 정보를 확인하는 인증 서버를 포함하는 인증 시스템.
  8. 제 7항에 있어서,
    상기 액세스 포인트는,
    상기 액세스 포인트로의 접속이 허가된 단말의 MAC 주소 값에 관한 데이터 리스트를 저장하는 MAC 주소 저장부를 포함하는 것을 특징으로 하는 인증 시스템.
  9. 제 8항에 있어서,
    상기 MAC 주소 저장부는 플래시 메모리 또는 ROM 중 적어도 하나로 구성되는 것을 특징으로 하는 인증 시스템.
  10. 제 8항에 있어서,
    상기 액세스 포인트는,
    액세스 포인트에 접속하는 적어도 하나의 무선 단말로부터 수신한 무선 신호를 처리하는 RF 처리부;
    물리 계층의 처리를 담당하는 PHY 처리부;
    MAC 계층의 처리를 담당하는 MAC 처리부;
    상기 액세스 포인트에서 처리되는 데이터를 저장하는 RAM; 및
    상기 각 처리부 및 RAM 간의 신호 흐름과 데이터의 저장을 제어하고, 상기 액세스 포인트로 접속하는 단말의 MAC 주소를 체크하여 그와 동일한 MAC 주소가 상기 MAC 주소 저장부에 등록되어 있는지 비교하는 프로세서를 더 포함하는 인증 시스템.
  11. 제 7항에 있어서,
    상기 인증 서버는,
    상기 단말로부터 수신되는 단말의 사용자 정보 및 CM 프로그램의 암호 키를 기 등록되어 있는 인증 정보와 비교하여 일치하는 경우에만 상기 단말에 대한 인증 확인이 성공한 것으로 판단하는 것을 특징으로 하는 인증 시스템.
  12. 제 7항에 있어서,
    상기 인증 서버는,
    각 인증 단말 별로 MAC 주소와 매칭되는 CM 프로그램 암호 키를 테이블 형태로 저장하였다가 단말로부터 인증 확인 요청이 있는 경우, 이를 암호 키로 사용하는 것을 특징으로 하는 인증 시스템.
KR1020040096584A 2004-11-23 2004-11-23 네트워크의 인증 시스템 및 방법 KR100656519B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040096584A KR100656519B1 (ko) 2004-11-23 2004-11-23 네트워크의 인증 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040096584A KR100656519B1 (ko) 2004-11-23 2004-11-23 네트워크의 인증 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20060057435A KR20060057435A (ko) 2006-05-26
KR100656519B1 true KR100656519B1 (ko) 2006-12-11

Family

ID=37152865

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040096584A KR100656519B1 (ko) 2004-11-23 2004-11-23 네트워크의 인증 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR100656519B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101141101B1 (ko) * 2010-10-28 2012-05-02 주식회사 안철수연구소 Ap 접속 승인 시스템 및 방법
KR102266044B1 (ko) * 2019-07-31 2021-06-16 주식회사 엘지유플러스 단말과 액세스 포인트의 연결 방법
CN111918263B (zh) * 2020-08-17 2024-01-23 宁波奥克斯电气股份有限公司 蓝牙连接方法、装置及物联网设备
CN114666392B (zh) * 2022-02-25 2024-04-12 武汉黑色电弧文化科技有限公司 终端连接方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030018219A (ko) * 2001-08-27 2003-03-06 아이피원(주) 무선 랜에서의 인증 제공을 위한 로그인 id 인증 방법및 시스템
KR20040048049A (ko) * 2002-12-02 2004-06-07 한국전자통신연구원 공중 무선 랜 서비스 망에서의 사용자 인증방법
KR20050002290A (ko) * 2003-06-30 2005-01-07 주식회사 케이티 무선 근거리 통신망에서의 인증 시스템 및 그 방법
KR20060027588A (ko) * 2004-09-23 2006-03-28 주식회사 케이티 공중 무선랜 서비스 시스템 및 그 인증 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030018219A (ko) * 2001-08-27 2003-03-06 아이피원(주) 무선 랜에서의 인증 제공을 위한 로그인 id 인증 방법및 시스템
KR20040048049A (ko) * 2002-12-02 2004-06-07 한국전자통신연구원 공중 무선 랜 서비스 망에서의 사용자 인증방법
KR20050002290A (ko) * 2003-06-30 2005-01-07 주식회사 케이티 무선 근거리 통신망에서의 인증 시스템 및 그 방법
KR20060027588A (ko) * 2004-09-23 2006-03-28 주식회사 케이티 공중 무선랜 서비스 시스템 및 그 인증 방법

Also Published As

Publication number Publication date
KR20060057435A (ko) 2006-05-26

Similar Documents

Publication Publication Date Title
US8140845B2 (en) Scheme for authentication and dynamic key exchange
US7231521B2 (en) Scheme for authentication and dynamic key exchange
AU2008213766B2 (en) Method and system for registering and verifying the identity of wireless networks and devices
JP5579938B2 (ja) ローミングネットワークにおけるアクセス端末識別情報の認証
EP2208330B1 (en) Method and apparatuses for determining whether femtocell is authorized to provide wireless connectivity to a mobile unit
JP4504192B2 (ja) 加入モジュールへのセキュアアクセス方法
US20060114863A1 (en) Method to secure 802.11 traffic against MAC address spoofing
US20050050318A1 (en) Profiled access to wireless LANs
KR20160114620A (ko) 동적 네트워크 액세스 관리를 위한 방법들, 디바이스들 및 시스템들
US20150296377A1 (en) Sharing security keys with headless devices
US20060161770A1 (en) Network apparatus and program
US20090191845A1 (en) Network enforced access control for femtocells
CN105072613A (zh) 一种无线网络系统及无线网络接入方法
Vanhoef et al. Operating channel validation: Preventing multi-channel man-in-the-middle attacks against protected Wi-Fi networks
CA2647684A1 (en) Secure wireless guest access
US11683312B2 (en) Client device authentication to a secure network
CN102185840A (zh) 一种认证方法、设备及系统
CN111031537A (zh) 一种防止非法用户接入的无线局域网管理系统
US11522702B1 (en) Secure onboarding of computing devices using blockchain
CN106102066A (zh) 一种无线网络安全认证装置及其方法、一种路由器
WO2015196679A1 (zh) 无线接入的鉴权方法及装置
KR100819942B1 (ko) 유무선 네트워크의 검역 및 정책기반 접속제어 방법
KR100656519B1 (ko) 네트워크의 인증 시스템 및 방법
US9100429B2 (en) Apparatus for analyzing vulnerability of wireless local area network
KR100459935B1 (ko) 공중 무선 랜 서비스 망에서의 사용자 인증방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121129

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20131128

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20141127

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20151127

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20161129

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee