KR100737526B1 - Access control method in wireless lan - Google Patents
Access control method in wireless lan Download PDFInfo
- Publication number
- KR100737526B1 KR100737526B1 KR1020060041697A KR20060041697A KR100737526B1 KR 100737526 B1 KR100737526 B1 KR 100737526B1 KR 1020060041697 A KR1020060041697 A KR 1020060041697A KR 20060041697 A KR20060041697 A KR 20060041697A KR 100737526 B1 KR100737526 B1 KR 100737526B1
- Authority
- KR
- South Korea
- Prior art keywords
- wireless terminal
- authentication number
- password
- authentication
- management table
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
Description
도 1은 무선 랜의 망 구성을 개략적으로 나타낸 블록도이고,1 is a block diagram schematically showing a network configuration of a wireless LAN,
도 2는 EAP-MD5 프로토콜 기반의 접근 제어 절차를 나타낸 신호 흐름도이고,2 is a signal flow diagram illustrating an access control procedure based on the EAP-MD5 protocol;
도 3은 EAP-TTLS 프로토콜 기반의 접근 제어 절차를 나타낸 신호 흐름도이고,3 is a signal flow diagram illustrating an access control procedure based on the EAP-TTLS protocol;
도 4는 본 발명에 의한 접근 제어 방법의 개념도이고,4 is a conceptual diagram of an access control method according to the present invention;
도 5는 본 발명에 의한 접근 제어 방법의 바람직한 실시예를 나타낸 플로우챠트이다.5 is a flowchart showing a preferred embodiment of the access control method according to the present invention.
도 6은 본 발명에 의하여 개선된 EAP-MD5 프로토콜 기반의 접근 제어 절차를 나타낸 신호 흐름도이고,6 is a signal flow diagram illustrating an access control procedure based on the EAP-MD5 protocol improved by the present invention;
도 7은 본 발명에 의하여 개선된 EAP-TTLS 프로토콜 기반의 접근 제어 절차를 나타낸 신호 흐름도이고,7 is a signal flow diagram illustrating an access control procedure based on the EAP-TTLS protocol improved by the present invention;
도 8은 본 발명에 의한 접근 제어 방법에서 사용되는 EAP-MD5 기반 패킷 포맷을 보인 데이터 구조도이고,8 is a data structure diagram showing an EAP-MD5-based packet format used in an access control method according to the present invention;
도 9는 본 발명에 의한 접근 제어 방법에서 사용되는 EAP-TTLS 기반 패킷 포맷을 보인 데이터 구조도이다.9 is a data structure diagram illustrating an EAP-TTLS based packet format used in an access control method according to the present invention.
본 발명은 사용자의 개입을 최소화하여 컴퓨터 및 보안 관련 지식이 없는 사용자라 하더라도 안전하게 무선 통신을 할 수 있는 무선 랜에서의 접근 제어 방법에 관한 것이다.The present invention relates to a method of controlling access in a wireless LAN, which can safely perform wireless communication even by a user without a computer and security knowledge by minimizing user intervention.
홈 네트워크는 다양한 통신 기술들을 집약하여 사용자들에게 더욱 편리한 생활을 제공하기 위한 통합 기술 형 서비스이다. 홈 네트워크에서 사용될 것으로 예상되는 무선 접속 기술로는 무선랜, 블루투스, UWB, Zigbee 등 여러 가지가 있으며, 이 중에서 무선 랜을 중심으로 한 홈 네트워크 연구가 활발히 진행 중이다.The home network is an integrated technology type service that provides a more convenient life to users by integrating various communication technologies. There are various wireless access technologies that are expected to be used in home networks, including WLAN, Bluetooth, UWB, and Zigbee. Among them, research on home networks focusing on wireless LANs is being actively conducted.
그러나 무선 접속 기술에 기반한 홈 네트워크 경우, 무선 신호의 특성에 의해, 무선 접근 기술의 전송 거리는 제한할 수 없기 때문에, 이웃 집 간에 무선통신 신호를 수신할 가능성이 높고, 집 외부에서 원하지 않는 사용자의 접근이 가능하다는 문제점을 내포하고 있으며, 이러한 보안 문제를 해결하기 위하여, 여러 표준화 제정 단체 및 관련 업체들이 많은 개선 규격을 제공하고 있다.However, in the case of a home network based on wireless access technology, since the transmission distance of the wireless access technology cannot be limited by the characteristics of the wireless signal, there is a high possibility of receiving wireless communication signals between neighboring homes, and unwanted user's access from outside the home. There is a problem that this is possible, and in order to solve this security problem, various standardization organizations and related companies provide many improvement standards.
무선 랜의 경우 보안을 강화하기 위하여, IEEE 802.11i 태스크 그룹(Task Group)에서 포트 기반의 인증 규격인 IEEE 802.1x를 기반으로 하여 동적인 키 교환 및 키 관리, 새로운 암호 알고리즘을 정의하는 IEEE 802.11i 표준을 규정하고 있다. 여기서, IEEE 802.1x는 액세스 포인트(AP: Access Pointer)에서 암호학적인 인증 알고리즘을 통하여 정상적으로 인증받는 사용자에 대하여 접속시켜주는 기술이 다. 상기 IEEE 802.1x에서는 인증을 위한 기반 구조(Framework)를 제공하며 실제 암호학적인 인증 알고리즘은 EAP(Extensible Authentication Portocol)을 통하여 제공된다. 상기 EAP의 세부 규격으로서 사용자 ID와 비밀번호를 사용하여 인증하는 방식의 EAP-MD5가 있으며, 이외에 EAP-TLS, EAP-TTLS, PEAP 방식이 있다.IEEE 802.11i defines dynamic key exchange, key management, and new encryption algorithms based on IEEE 802.1x, a port-based authentication standard, in IEEE 802.11i Task Group. The standard is specified. Here, IEEE 802.1x is a technology for connecting to a user authenticated normally through a cryptographic authentication algorithm in an access point (AP). The IEEE 802.1x provides a framework for authentication, and an actual cryptographic authentication algorithm is provided through an Extensible Authentication Portocol (EAP). As the detailed specification of the EAP, there is an EAP-MD5 method of authenticating using a user ID and a password, and there are other EAP-TLS, EAP-TTLS, and PEAP methods.
도 1은 홈네트워크에 적용되는 무선 접속 기줄중, 무선 랜의 구조를 나타낸 것으로서, 다수의 무선 단말(13)이 액세스 포인트(12)를 통하여 무선 데이터 통신을 수행하는데, 이때, 각 액세스 포인트(12)에 접속을 요구한 무선 단말(13)에 대한 인증을 인증 서버(11)를 통해 수행한다. FIG. 1 illustrates a structure of a wireless LAN of a wireless access line applied to a home network, in which a plurality of
도 2 및 도 3은 각각 무선 랜 구조에서 제안되어 있는 기존의 접속 제어 절차를 나타낸다.2 and 3 show a conventional access control procedure proposed in the wireless LAN structure.
먼저 도 2는 EAP-MD5 기반 인증 절차를 도시한 것으로서, IEEE 802.11i 표준에 따라 개방형 시스템 인증(Open System Authentication)이 완료되면, IEEE 802.1x 절차에 따라서 액세스 포인트(12)에서 무선 단말(13)로 EAP-Request/Identify 신호를 전송하여, 가입자 정보(예를 들어, 사용자 ID)를 요구하고(S101), 이에, 무선 단말(13)은 EAP-Response/Identify 신호에 가입자 정보를 저장하여 액세스 포인트(12)로 전송하고(S102), 상기 액세스 포인트(12)는 상기 수신된 EAP-Response/Identify 신호를 RADIOUS-Access-Request 신호형태로 전환하여 인증 서버(11)에 전송한다(S103).First, FIG. 2 illustrates an EAP-MD5-based authentication procedure. When open system authentication is completed according to the IEEE 802.11i standard, the
이에 인증 서버(11)는 해당 가입자 정보를 확인하고 사용자 인증을 위한 추 가 인증 질의를 위하여 평문형태의 MD5-Challenge 요구를 액세스 포인트(12)로 RADIUS-Access-Challenge 신호를 통해 전송하고, 상기 액세스 포인트(12)는 이를 EAP-Request 신호 형태로 변환하여 무선 단말(13)로 전송한다(S105).Accordingly, the
상기 무선 단말(13)은 수신된 MD5-Challenge를 자신이 보유한 비밀번호로 암호화하여, EAP-Response 신호에 실어 액세스 포인트(12)로 전송하고(S106), 상기 액세스 포인트(12)가 이를 RADIUS-Access-Request 신호 형태로 전환하여 인증 서버(11)에 전송하면, 상기 인증 서버(11)가 현재 사용되는 비밀번호로 복호화하고, 상기 복호화된 메시지가 자신이 전송했던 MD5-challenge가 일치하는지 확인을 하여 무선 단말(13)이 적합한 사용자인지를 결정한다.The
상기에서 적합한 사용자로 결정되면, 상기 인증 서버(11)는 인증 성공 메시지(EAP-Success)를 액세스 포인트(12)를 통해 무선 단말(13)로 전송한다(S108,S109).If it is determined that the user is a suitable user, the
더하여 도 3은 기존의 다른 접속 제어 절차를 보인 것으로서, 비밀번호를 이용하여 인증서버와 상호 인증하는 EAP-TTLS 프로토콜에 따른 접속 제어 절차를 보인다.In addition, FIG. 3 shows another existing access control procedure, and illustrates an access control procedure according to the EAP-TTLS protocol which mutually authenticates with an authentication server using a password.
도 3을 참조하면, IEEE 802.11i 표준에 따라 개방형 시스템 인증(Open System Authentication)이 완료되면, IEEE 802.1x 절차에 따라서 액세스 포인트(12)에서 무선 단말(13)로 EAP-Request/Identify 신호를 전송하여, 가입자 정보(예를 들어, 사용자 ID)를 요구하고(S101), 이때 무선 단말(13)은 사용자 ID 대신에 자신의 MAC 주소를 EAP-Response/Identify 신호에 실어 액세스 포인트(12)로 전 송하고, 상기 액세스 포인트(12)는 이를 RADIUS-Access-Request 신호로 전환하여 인증 서버(11)로 전송한다. 상기 인증 서버(11)는 자신의 인증서 정보를 액세스 포인트(12)를 통해 무선 단말(13)에게 전송하여 무선단말(13)로부터 인증을 받고, 이 때 생성된 키를 이용하여 TLS 연결을 생성한다(S204~S213).Referring to FIG. 3, when open system authentication is completed according to the IEEE 802.11i standard, an EAP-Request / Identify signal is transmitted from the
상기 TLS 연결은 개인 정보가 유출되지 않도록 무선단말(13)과 액세스 포인트(12) 사이의 데이터 전송을 보호해준다.The TLS connection protects data transmission between the
따라서 이와 같이 TLS 연결이 생성되면, 무선 단말(13)은 액세스 포인트(12)를 통하여 인증 서버(11)로 가입자 정보(예를 들어, 사용자 ID 및 비밀번호 등)를 전송한다(S214,S215).Therefore, when the TLS connection is generated in this way, the
인증 서버(11)는 상기 TLS 연결을 통해 전송된 가입자 정보를 통해 사용자를 인증하고, 인증이 성공한 경우 액세스 포인트(12)를 통해 무선 단말(13)로 EAP-Success 신호를 전송하여 알린다.The
그런데, 이와 같이 ID와 비밀번호 기반의 인증 방식에서는, 보다 안전한 통신을 위하여 비밀번호를 자주 변경해 주어야 하며, 이를 위해서는 사용자가 무선 랜 장치 및 액세스 포인트에 접속하여 필요한 정보를 입력하는 복잡한 과정을 거쳐야 한다는 불편한 점이 있었다.However, in the authentication method based on ID and password, the password must be frequently changed for more secure communication. In order to do this, the user needs to go through a complicated process of accessing a wireless LAN device and an access point and inputting necessary information. there was.
본 발명은 상술한 종래의 문제점을 해결하여 위하여 제안된 것으로서, 그 목적은 사용자의 개입을 최소화하여 컴퓨터 및 보안 관련 지식이 없는 사용자라 하 더라도 안전하게 무선 통신을 할 수 있는 무선 랜에서의 접근 제어 방법을 제공하는 것이다.The present invention has been proposed in order to solve the above-mentioned conventional problems, and an object thereof is to provide a method of controlling access in a wireless LAN, which can safely perform wireless communication even without a computer and security-related knowledge by minimizing user intervention. To provide.
또한, 본 발명의 다른 목적은, 비밀번호의 자동적이고 주기적인 변경을 통하여 사용자에게 편리하고 안전한 홈 네트워크 환경을 제공할 수 있는 무선 랜에서의 접근 제어 방법을 제공하는 것이다.Another object of the present invention is to provide a method for controlling access in a wireless LAN, which can provide a convenient and secure home network environment to a user through automatic and periodic change of a password.
본 발명은 상술한 목적을 달성하기 위한 구성 수단으로서, 인증 번호 관리 테이블을 통해 비밀번호가 변경될 때마다 할당되는 인증번호를 관리하고, MAC 주소 관리 테이블을 통해 무선 단말별로 사용하고 있는 인증번호를 관리하는 단계; 접속을 시도한 무선 단말로부터 가입자 정보 및 현재 사용하는 인증 번호를 수신하는 단계; 상기 수신된 인증번호가 상기 MAC 주소 관리 테이블에 해당 무선 단말에 대해 설정된 인증 번호와 일치하는 지를 확인하는 단계; 상기 수신된 인증번호가 MAC 주소 관리 테이블에 기록된 인증번호와 일치하면, 상기 인증 번호 관리 테이블에 기록된 비밀번호를 이용하여 상기 접속을 시도한 무선 단말이 정당한 사용자인지를 확인하는 단계; 및 상기 확인 결과, 정당한 사용자이면 해당 무선 단말로 인증 성공을 통보하는 제5 단계를 포함하는 무선 랜에서의 접근 제어 방법을 제공한다.The present invention is a configuration means for achieving the above object, and manages the authentication number assigned every time the password is changed through the authentication number management table, and manages the authentication number used for each wireless terminal through the MAC address management table Doing; Receiving subscriber information and currently used authentication number from a wireless terminal attempting to access; Confirming whether the received authentication number matches the authentication number set for the wireless terminal in the MAC address management table; If the received authentication number matches the authentication number recorded in the MAC address management table, using the password recorded in the authentication number management table, checking whether the wireless terminal attempting the access is a legitimate user; And a fifth step of informing the wireless terminal of the successful authentication if the legitimate user is a result of the checking.
더하여, 본 발명은 상기 접속을 시도한 무선 단말이 정당한 사용자인지를 확인하는 단계에서, 정당한 사용자이면, 비밀번호의 변경여부를 확인하여 비밀번호가 변경되는 경우, 변경된 비밀번호에 해당 비밀번호에 대해 부여된 인증번호를 무선 단말로 전송하여 무선 단말의 인증 설정 정보를 변경하는 단계를 더 포함하는 것을 특징으로 한다. In addition, the present invention, in the step of confirming whether the wireless terminal attempting the access is a legitimate user, if the legitimate user, if the password is changed by checking whether the password is changed, the authentication number given to the corresponding password to the changed password Transmitting to the wireless terminal characterized in that it further comprises the step of changing the authentication setting information of the wireless terminal.
더하여, 본 발명에 의한 무선 랜에서의 접근 제어 방법에 있어서, 상기 비밀번호는 주기적으로 자동 갱신되고, 상기 비밀번호의 갱신시마다 인증 번호 관리 테이블이 갱신되는 것을 특징으로 한다.In addition, in the access control method in a wireless LAN according to the present invention, the password is periodically updated automatically, characterized in that the authentication number management table is updated every time the password is updated.
또한, 본 발명에 의한 무선 랜에서의 접근 제어 방법에 있어서, 상기 접속을 시도한 무선 단말로부터 식별 정보 및 현재 사용하는 인증 번호를 수신하기 전에, 접속을 시도한 무선 단말과 TLS 연결을 생성하는 단계를 더 포함할 수 있다.Further, in the access control method in a wireless LAN according to the present invention, before receiving the identification information and the currently used authentication number from the wireless terminal attempting the connection, further comprising the step of creating a TLS connection with the wireless terminal attempting the connection. It may include.
더하여, 본 발명에 의한 무선 랜에서의 접근 제어 방법에 있어서, 상기 접속을 시도한 무선 단말이 정당한 사용자인지를 확인하는 단계는, 무선 단말로 MD5-challenge 메시지를 전송하는 과정과, 상기 무선 단말로부터 무선 단말에 보유된 비밀번호로 암호화된 MD5-challenge 메시지를 수신하는 과정과, 상기 수신된 메시지를 상기 인증 번호 관리 테이블에 기록된 해당 무선 단말의 비밀번호로 복호화하는 과정과, 상기 복호화된 MD5-challenge 메시지가 무선 단말로 송신한 메시지와 일치하는 지를 확인하는 과정과, 상기 확인 결과, 복호화된 MD5-challenge 메시지와 송신한 메시지가 일치하면 정당한 사용자로 판단하고, 일치하지 않으면 정당한 사용자가 아닌 것으로 판단하는 과정으로 이루어지는 것을 특징으로 한다.In addition, in the access control method in a wireless LAN according to the present invention, the step of confirming whether the wireless terminal attempting access is a legitimate user may include transmitting an MD5-challenge message to the wireless terminal, and wirelessly from the wireless terminal. Receiving an MD5-challenge message encrypted with a password held in the terminal, decrypting the received message with a password of the corresponding wireless terminal recorded in the authentication number management table, and decrypting the decrypted MD5-challenge message Checking whether the message is identical to the message transmitted to the wireless terminal; and if the decrypted MD5-challenge message and the transmitted message match, the user is determined to be a legitimate user. Characterized in that made.
이하 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시 예를 설명한다. 또한, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.Hereinafter, exemplary embodiments of the present invention will be described with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. In addition, the same reference numerals are used for parts having similar functions and functions throughout the drawings.
본 발명은 인증 번호를 이용하여 사용자의 개입을 최소화하면서도 보안성 있는 환경을 제공하는 접근제어를 구현한 것으로서, 비밀번호를 자동적이고 주기적으로 변경하여 무선 단말들로 분배해 줌으로써, 보다 안전하고 편리한 홈네트워크 환경을 제공한다.The present invention implements an access control that provides a secure environment while minimizing user intervention by using an authentication number, and automatically and periodically changes a password and distributes it to wireless terminals, thereby providing a more secure and convenient home network. Provide an environment.
여기서, 비밀번호의 주기적인 교환시, 어떠한 이유로 비밀번호를 분배받지 못한 무선 단말이 재인증을 요청할 경우를 고려하여야 한다. 본 발명은 비밀번호의 주기적인 분배뿐만 아니라 비밀번호를 분배받지 못한 무선 단말의 재인증 요청도 처리가능한 접속 제어 절차를 제공한다.Here, in the periodic exchange of passwords, consideration should be given to a case where a wireless terminal that has not received a password for some reason requests reauthentication. The present invention provides an access control procedure capable of handling not only periodic distribution of passwords but also reauthentication requests of wireless terminals that have not received passwords.
이를 위하여, 본 발명에서는 인증에 필요한 사용자의 비밀번호를 초기 설정 후에 소프트웨어에 의하여 초기값과는 다른 값으로 랜덤하게 변경하며, 변경된 비밀번호에 대해서 랜덤한 숫자를 할당하는데, 이를 인증번호라 한다.To this end, the present invention randomly changes the user's password required for authentication to a value different from the initial value by the software after initial setting, and assigns a random number to the changed password, which is referred to as an authentication number.
이를 위하여 인증서버(11)는 도 4에 나타낸 바와 같이, MAC 주소 관리 테이블(111)과, 인증 번호 관리 테이블(112)를 구축하여 무선 단말(13)별로 분배된 인증 번호 및, 각 인증 번호에 대응하는 비밀번호를 관리한다.To this end, as shown in FIG. 4, the
상기 MAC 주소 관리 테이블(111)은 인증 받은 무선단말(13)의 MAC 주소와 해당 무선 단말(13)이 인증 받는 시점에서 사용되고 있는 인증 번호를 기록해 놓은 테이블이다.The MAC address management table 111 is a table that records the MAC address of the authenticated
그리고 상기 인증 번호 관리 테이블(112)은 비밀번호가 변경될 때 마다 변경된 비밀번호에 할당되는 인증번호를 저장해 놓은 테이블이다.The authentication number management table 112 is a table storing an authentication number assigned to the changed password every time the password is changed.
상기 도 4에 보인 실시 예의 경우, MAC 주소 관리 테이블(111)내에서 MAC주소가 EACB인 무선 단말에 대하여 인증 번호 2가 할당되고, MAC 주소 BCBD인 무선 단말에 대해서는 인증번호 10이 할당된다. 그리고, 인증 번호 관리 테이블(112)에서 인증 번호 2의 비밀번호는 2222이고, 인증 번호 10의 비밀번호는 5725이다.In the embodiment shown in FIG. 4, the
따라서, MAC 주소가 EACB인 무선 단말은 비밀번호 2222를 사용하여 인증 서버(11)간에 사용자 인증을 수행하고, MAC주소가 BCDB인 무선 단말은 비밀번호 5725를 사용하여 인증을 수행하는 것이다.Accordingly, the wireless terminal having the MAC address EACB performs user authentication between the
본 발명에 있어서, 인증에 필요한 비밀번호는 인증 서버(11)에서 주기적으로 자동 갱신된다. 이렇게 갱신된 비밀번호에 대하여 랜덤한 인증 번호가 할당되고, 상기 인증번호와 비밀번호는 인증 번호 관리 테이블(112)에 기록되어 관리된다.In the present invention, the password required for authentication is automatically updated periodically in the
더하여, 인증 서버(11)에서 무선 단말(12)에 분배된 비밀번호는 인증 번호를 통해 MAC 주소 관리 테이블(111)에서 관리된다. 이를 위해, 상기 MAC 주소 관리 테이블(111)은 각 무선 단말(13)로 새로운 비밀번호가 분배될 때마다 이에 맞추어 인증 번호가 갱신된다.In addition, the password distributed from the
도 5는 상술한 인증번호와, MAC 주소 관리 테이블과, 인증 번호 관리 테이블을 이용하는 본 발명에 의한 무선 랜의 접속 제어 절차를 나타낸 플로우챠트이다.5 is a flowchart illustrating a wireless LAN access control procedure according to the present invention using the above-described authentication number, MAC address management table, and authentication number management table.
도 5를 참조하면, 본 발명에 의한 인증 서버(11)는 임의의 무선 단말(13)에 서 무선 접속이 시도되면(S300), 상기 접속을 시도하는 무선 단말(13)로부터 가입자 정보 및 해당 무선 단말(13)에서 현재 사용하는 인증 번호를 수신한다(S305).Referring to FIG. 5, if an
그리고 인증 서버(11)는 상기 수신된 인증 번호가 상기 MAC 주소 관리 테이블(111)에 기록된 해당 무선 단말의 인증 번호와 일치하는 지를 확인한다(S310).The
상기 확인 결과, 수신된 인증번호가 MAC 주소 관리 테이블(111)에 기록된 인증 번호와 일치하면, 상기 인증 번호 관리 테이블(112)에 기록된 대응하는 비밀번호를 이용하여 정당한 사용자의 접속 시도인지를 확인한다(S315). 더 구체적으로 설명하면, MD5 기반 인증 프로토콜을 사용하는 경우, 상기 인증 서버(11)에서 무선 단말(13)로 MD5-챌린지(challenge) 신호를 전송하고, 이에 무선 단말(13)이 상기 수신된 MD5-챌린지 신호를 소유하고 있는 패스워드로 암호화하여 인증서버(11)로 전송하면, 상기 인증 서버(11)가 인증 관리 프로토콜(12)에 기록된 해당 비밀번호로 상기 수신된 신호를 복호화한 후, 자신이 전송한 MD5-챌린지 신호와 동일한지를 비교하여, 동일하면 정당한 사용자로 판단하고, 동일하지 않으면 정당하지 않은 사용자로 판단한다. 상기 정당한 사용자로 판단되면, 해당 무선 단말(13)로 인증 성공을 통보하여, 이후 해당 무선 단말(13)의 홈 네트워크 접속이 가능하게 된다.As a result of the check, if the received authentication number matches the authentication number recorded in the MAC address management table 111, it is checked whether a legitimate user's connection attempt is made using the corresponding password recorded in the authentication number management table 112. (S315). More specifically, when using the MD5-based authentication protocol, the
반대로, 상기 단계 S310에서 인증 번호가 일치하지 않거나, 단계 S320에서 인증 결과 정당한 사용자가 아니라고 판단되면, 인증 실패를 통보한다(S340).On the contrary, if the authentication number does not match in step S310 or if it is determined that the authentication result is not a valid user in step S320, an authentication failure is notified (S340).
더하여, 본 발명은 패스워드를 주기적으로 자동 분배하기 위하여, 정당한 사용자인 경우, 상기 무선 단말(13)에서 사용하는 비밀번호와 인증 서버(11)에서 분배할 비밀번호가 동일한 지를 비교하여, 해당 무선 단말에 대한 비밀번호 변경 여 부를 확인한다(S325). 상기 확인 결과, 무선 단말(13)에서 사용하는 비밀번호와 인증 서버(11)에서 새로 분배할 비밀번호가 동일하지 않은 경우, 비밀번호 변경으로 판단하여, 변경된 비밀번호 및 해당 비밀번호에 설정되는 인증번호를 함께 무선 단말(13)로 전송하여 무선 단말(13)의 인증 설정 정보를 변경시킨다(S330).In addition, the present invention compares whether the password used by the
도 6은 본 발명의 실시 예로서, EAP-MD5 기반 무선 랜에서의 접근 제어 과정을 보인 신호 흐름도이다.6 is a signal flow diagram illustrating an access control process in an EAP-MD5 based wireless LAN according to an embodiment of the present invention.
도 6을 참조하면, 상기 인증 서버(11)는 앞서 설명한 MAC 주소 관리 테이블(111)과 인증 번호 관리 테이블(112)을 이용하여, 인증번호와 비밀번호를 관리한다. 상기 MAC 주소 관리 테이블(111)과 인증 번호 관리 테이블(112)의 관리 및 정보 갱신은 앞서 설명한 바와 동일하게 이루어진다.Referring to FIG. 6, the
그리고 무선 단말(13)은 초기 설정된 혹은 인증 서버(11)에서 분배된 비밀번호 및 인증 번호를 보유한다.The
이러한 상태에서, 802.11i 표준에 따른 개방형 시스템 인증(Open System Authentication)이 완료되면, 액세스 포인트(12)는 IEEE 802.1x 절차에 따라서 무선 단말(13)에게 EAP-type이 Identity인 EAP-Request 신호를 전송하여 가입자 정보(예를 들어, 사용자 ID)를 요구한다(S401). 상기 요구에 의하여, 무선 단말(13)로부터 액세스 포인트(12)로 EAP-response/EAP-type=Identify 신호를 통해 가입자 정보(ID)를 전송하는데, 이때, 무선 단말(13)에서 현재 보유하고 있는 인증 번호(authentication number)도 함께 전송한다(S402). 액세스 포인트(12)는 상기 신 호를 RADIUS-Access-Request 신호로 전환하여 인증 서버(11)로 전송한다(S403).In this state, when Open System Authentication according to the 802.11i standard is completed, the
이에 인증 서버(11)는 수신된 가입자 정보를 확인하고 사용자 인증을 위한 추가 인증 질의를 위하여 평문 형태의 MD5-Challenge를 RADIUS-Access-Challenge 신호를 통해 액세스 포인트(12)로 전송하고, 상기 액세스 포인트(12)는 이를 EAP-타입이 EAP-MD5인 EAP-Request 신호 형태로 변환하여 무선 단말(13)로 전송한다(S404, S405).The
상기 무선 단말(13)은 수신된 MD5-Challenge를 자신이 보유한 비밀번호로 암호화하여, EAP-Response/EAP-Type=EAP-MD5 신호에 실어 액세스 포인트(12)로 전송하고(S406), 상기 액세스 포인트(12)가 이를 RADIUS-Access-Request 신호 형태로 전환하여 인증 서버(11)에 전송한다(S407).The
이에, 상기 인증 서버(11)가 상기 인증번호 관리 테이블(112)에서 기록되어 있는 비밀번호로 수신된 신호를 복호화하고, 상기 복호화된 신호가 자신이 전송했던 MD5-challenge가 일치하는지 확인을 하여 무선 단말(13)이 적합한 사용자인지를 결정한다.Accordingly, the
상기에 의하여 적합한 사용자로 결정되면, 더하여 상기 인증 서버(11)는 상기 무선 단말(13)에서 사용하는 비밀번호와 새로 분배된 비밀번호가 일치하는 지를 비교하여, 비밀번호 변경 여부를 확인하고, 상기 무선 단말(13)에서 사용하는 비밀번호와 새로 분배된 비밀번호가 일치하지 않는 경우, 새로운 비밀번호의 분배를 위하여, RADIUS-Access-Challenge 신호에 새로운 비밀번호와 그에 대응하는 인증번호를 포함하는 인증 정보를 실어 액세스 포인트(12)로 전송하고(S408), 액세스 포인 트(12)가 이를 EAP-Response/EAP-Type=EAP-MD5 신호로 전환하여 무선단말(13)로 전송하면(S409), 상기 무선 단말(13)은 상기 EAP-Response/EAP-Type=EAP-MD5 신호에 실린 인증 정보로 자신의 인증 설정 정보를 변경한다. 즉, 무선 단말(13)측의 인증번호 및 비밀번호가 갱신된다.If it is determined that the user is a suitable user, the
이후 상기 무선 단말(13)은 EAP-Response/EAP-Type=EAP-MD5 신호를 통해 인증 정보를 정상적으로 수신했음을 알리고(S410), 이는 액세스 포인트(12)를 통해 RADIUS-Access-Request 신호로 전환되어 인증 서버(11)로 전송된다(S411).Thereafter, the
이후, 상기 인증 서버(11)는 인증 성공 메시지(EAP-Success)를 액세스 포인트(12)를 통해 무선 단말(13)로 전송하여(S412,S413), 인증을 완료한다.Thereafter, the
도 7은 EAP-TTLS 프로토콜에 기반한 본 발명의 다른 실시 예를 나타낸 신호 흐름도이다.7 is a signal flow diagram illustrating another embodiment of the present invention based on the EAP-TTLS protocol.
도 7을 참조하면, IEEE 802.11i 표준에 따라 개방형 시스템 인증(Open System Authentication)이 완료되면, IEEE 802.1x 절차에 따라서 액세스 포인트(12)에서 무선 단말(13)로 EAP-Request/Identify 신호를 전송하여, 가입자 정보(예를 들어, 사용자 ID)를 요구하고(S501), 이때 무선 단말(13)은 사용자 ID 대신에 자신의 MAC 주소를 EAP-Response/Identify 신호에 실어 액세스 포인트(12)로 전송하고(S502), 상기 액세스 포인트(12)는 이를 RADIUS-Access-Request 신호로 전환하여 인증 서버(11)로 전송한다(S503).Referring to FIG. 7, when open system authentication is completed according to the IEEE 802.11i standard, an EAP-Request / Identify signal is transmitted from the
상기 인증 서버(11)는 자신의 인증서 정보를 액세스 포인트(12)를 통해 무선 단말(13)에게 전송하여 무선 단말(13)로부터 인증을 받고, 이 때 생성된 키를 이용하여 TLS 연결을 생성한다(S504~S512).The
이와 같이 TLS 연결이 생성되면, 무선 단말(13)은 상기 생성된 TLS 연결을 통해 액세스 포인트(12)로 가입자 정보(사용자 이름, CHAP-챌린지, 비밀번호 등)와 함께 보유하고 있는 인증 번호를 EAP-Response/EAP-type=EAP-TTLS 신호에 실어 전송하고(S514), 이는 액세스 포인트(12)에서 RADIUS-Access-Challenge 신호로 전환되어 인증 서버(11)로 전송된다(S515).When the TLS connection is generated in this way, the
상기 인증 서버(11)는 이와 같이 전송된 가입자 정보를 기반으로 사용자 인증을 처리하는데, 먼저, MAC 주소 관리 테이블(111)에 기록된 해당 무선 단말의 인증번호가 일치하는지를 확인하고, 인증 번호가 일치되면 인증 번호 관리 테이블(112)에 기록된 대응하는 비밀번호를 이용하여 인증 절차를 수행한다. 이는 앞서 설명한 바와 같이, 인증 서버(11)에서 평문 형태인 MD5-challenge 문을 전송하면 무선 단말(13)에서 이를 자신이 보유한 비밀번호로 암호화하여 다시 인증 서버(11)로 전송하고, 인증 서버(11)는 상기 인증 번호 관리 테이블(12)에 기록된 비밀번호로 상기 수신된 신호를 복호화한 뒤, 자신이 보낸 MD5-Challenge 문과 일치하는지 확인하여 정당한 사용자인지를 판별하는 MD5 방식으로 이루어질 수 있다The
더하여, 상기 인증 서버(11)는 무선 단말(13)의 인증이 적합하다고 판단이 되고, 새로이 분배된 인증 번호가 무선 단말(13)에서 전송한 인증 번호와 일치하지 않는다면, RADIUS-Access-Challenge 신호를 통해 액세스 포인트(12)로 새로 분배된 인증 번호와 비밀번호를 전송하고(S516), 이는 액세스 포인트(12)에서 EAP- Response 신호 형태로 전환되어 무선 단말(13)로 전송되어(S517), 무선 단말(13)의 인증 설정 정보가 변경된다.In addition, the
상기 인증 설정 정보를 변경된 무선 단말(13)은 액세스 포인트(12)를 통하여 인증 서버(11)에게 인증 설정 정보 변경이 완료되었음을 알리며, 상기 인증 서버(11)는 이후 인증 성공 신호를 전송하여 무선 단말(13)을 인증한다(S520,S521).The
이상과 같이 본 발명에서는 사용자의 개입을 최소화하면서 안전성을 갖는 홈네트워크 환경을 제공하기 위하여, 인증번호와 MAC주소 관리 테이블 및 인증번호 관리 테이블을 이용하여 주기적이고 자동적인 비밀번호 변경을 가능하게 한다.As described above, the present invention enables periodic and automatic password change by using the authentication number, MAC address management table, and authentication number management table to provide a safe home network environment with minimal user intervention.
더하여, 본 발명은 표준에서 제공하고 있지 않은 인증 번호의 전송을 위하여, 상기 무선 단말(11)과 인증 서버(12)간에 송수신되는 패킷의 포맷을 일부 개선한다.In addition, the present invention partially improves the format of packets transmitted and received between the
도 8은 EAP-MD5를 기반으로 하는 인증 프로토콜, 인증 번호와 무선 단말의 ID를 전송해야 할 경우에 사용되는 패킷 포맷을 나타낸 데이터 구조도이다. 기존의 표준에 의한 패킷 형식에 의하면, 비밀번호 혹은 무선 단말의 ID와 함께 인증 번호를 전송하고자 하는 경우, 무선 단말의 ID과 인증 번호를 구분할 수 없다.8 is a data structure diagram illustrating a packet format used when an authentication protocol based on EAP-MD5, an authentication number, and an ID of a wireless terminal need to be transmitted. According to the packet format according to the existing standard, when the authentication number is to be transmitted together with the password or the ID of the wireless terminal, the ID and the authentication number of the wireless terminal cannot be distinguished.
이를 위하여, 본 발명은 도 8에 도시된 바와 같이, 무선 단말과 인증서버 간에 전송되는 패킷에서, 인증 번호가 함께 전송되는 패킷과 기존의 identity 패킷과 구별하기 위하여 type 값을 1이 아닌 예약된 값으로 사용한다. 즉, Type 값을 새로 운 예약된 번호를 지정하여 사용하고, Type 영역 다음의 데이터 영역 중 1 octet을 인증 번호 영역으로 나머지 영역을 무선 단말의 ID 혹은 비밀번호가 실리는 identity 영역으로 구분한다. 상기 도 8에서 Code는 메시지 종류를 나타내는 값이고, Identifier는 식별자이고, Length는 메시지의 전체 길이 값이고, Type은 상기 메시지의 타입 값이다.To this end, the present invention, as shown in Figure 8, in the packet transmitted between the wireless terminal and the authentication server, the value of the type value other than 1 in order to distinguish the packet with the authentication number is transmitted with the existing identity packet Used as That is, a new reserved number is used for the Type value, and one octet of the data area following the Type area is used as an authentication number area, and the remaining area is divided into an identity area containing an ID or password of a wireless terminal. In FIG. 8, Code is a value indicating a message type, Identifier is an identifier, Length is a total length value of a message, and Type is a type value of the message.
다음으로, 도 9는 EAP-TTLS를 기반으로 하는 접근 제어 절차에서 인증 번호와 변경된 비밀번호를 전송해야 할 경우에 사용되는 개선된 패킷 포맷을 나타낸다. 도 9에 나타난 데이터 구조에서, 플래그(Flag) 영역의 예약된 비트인 R(Reserved bit)를 인증 번호의 포함 여부를 나타내는 A(Autehtnciation Number Included bit) 비트로 사용한다. 그리고, 데이터 영역 내 소정 위치에 인증 번호를 표시한다.Next, FIG. 9 shows an improved packet format used when an authentication number and a changed password need to be transmitted in an access control procedure based on EAP-TTLS. In the data structure shown in FIG. 9, a reserved bit (R), which is a reserved bit of the flag area, is used as an A (Autehtnciation Number Included bit) bit indicating whether an authentication number is included. Then, the authentication number is displayed at a predetermined position in the data area.
상술한 바에 의하면, 본 발명은 무선 랜 환경에서 사용자가 복잡한 인증 절차를 수행하지 않아도, 안전한 홈 네트워크 환경을 제공하여 줄 수 있는 것으로서, 인증 번호를 이용해 비밀번호의 주기적인 변경과 분배를 안정적으로 수행함으로써, 사용자에게 편리함을 제공하는 것뿐만 아니라 해커에 의한 브루트포스 공격 및 재반복 공격을 방지할 수 있다.As described above, the present invention can provide a secure home network environment without a user performing a complicated authentication procedure in a wireless LAN environment, by reliably performing periodic change and distribution of a password using an authentication number. In addition to providing convenience to the user, brute force attacks and repetitive attacks by hackers can be prevented.
Claims (11)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060041697A KR100737526B1 (en) | 2006-05-09 | 2006-05-09 | Access control method in wireless lan |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060041697A KR100737526B1 (en) | 2006-05-09 | 2006-05-09 | Access control method in wireless lan |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100737526B1 true KR100737526B1 (en) | 2007-07-10 |
Family
ID=38503797
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060041697A KR100737526B1 (en) | 2006-05-09 | 2006-05-09 | Access control method in wireless lan |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100737526B1 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101383901B1 (en) | 2012-10-26 | 2014-04-11 | 주식회사 차후 | Authentication processing method for goods purchase |
CN105592009A (en) * | 2014-10-23 | 2016-05-18 | 阿里巴巴集团控股有限公司 | Method and device for retrieving or modifying login password |
KR101743195B1 (en) * | 2015-04-27 | 2017-06-15 | 시아오미 아이엔씨. | Method and apparatus for providing information, program and recording medium |
KR101767998B1 (en) | 2016-02-05 | 2017-08-30 | 주식회사 이노피아테크 | System and method for configuring a wireless local area network |
US10470102B2 (en) | 2016-02-17 | 2019-11-05 | Zitovault, Inc. | MAC address-bound WLAN password |
CN111918263A (en) * | 2020-08-17 | 2020-11-10 | 宁波奥克斯电气股份有限公司 | Bluetooth connection method and device and Internet of things equipment |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030095663A1 (en) | 2001-11-21 | 2003-05-22 | Nelson David B. | System and method to provide enhanced security in a wireless local area network system |
JP2003198557A (en) | 2001-12-26 | 2003-07-11 | Nec Corp | Network, and wireless lan authenticating method to be used therefor |
US20030221098A1 (en) | 2002-05-22 | 2003-11-27 | Kun-Huei Chen | Method for automatically updating a network ciphering key |
JP2005117488A (en) | 2003-10-09 | 2005-04-28 | Toshiba Corp | Wireless lan service system and program therefor |
KR20050089736A (en) * | 2004-03-05 | 2005-09-08 | 한국전자통신연구원 | Method for managing traffic encryption key in wireless portable internet system and protocol configuration method thereof, and operation method of traffic encryption key state machine in subscriber station |
JP2005311653A (en) | 2004-04-21 | 2005-11-04 | Buffalo Inc | Encryption key setting system, access point and encryption key setting method |
-
2006
- 2006-05-09 KR KR1020060041697A patent/KR100737526B1/en not_active IP Right Cessation
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030095663A1 (en) | 2001-11-21 | 2003-05-22 | Nelson David B. | System and method to provide enhanced security in a wireless local area network system |
JP2003198557A (en) | 2001-12-26 | 2003-07-11 | Nec Corp | Network, and wireless lan authenticating method to be used therefor |
US20030221098A1 (en) | 2002-05-22 | 2003-11-27 | Kun-Huei Chen | Method for automatically updating a network ciphering key |
JP2005117488A (en) | 2003-10-09 | 2005-04-28 | Toshiba Corp | Wireless lan service system and program therefor |
KR20050089736A (en) * | 2004-03-05 | 2005-09-08 | 한국전자통신연구원 | Method for managing traffic encryption key in wireless portable internet system and protocol configuration method thereof, and operation method of traffic encryption key state machine in subscriber station |
JP2005311653A (en) | 2004-04-21 | 2005-11-04 | Buffalo Inc | Encryption key setting system, access point and encryption key setting method |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101383901B1 (en) | 2012-10-26 | 2014-04-11 | 주식회사 차후 | Authentication processing method for goods purchase |
CN105592009A (en) * | 2014-10-23 | 2016-05-18 | 阿里巴巴集团控股有限公司 | Method and device for retrieving or modifying login password |
KR101743195B1 (en) * | 2015-04-27 | 2017-06-15 | 시아오미 아이엔씨. | Method and apparatus for providing information, program and recording medium |
US9967099B2 (en) | 2015-04-27 | 2018-05-08 | Xiaomi Inc. | Method and apparatus for providing information |
KR101767998B1 (en) | 2016-02-05 | 2017-08-30 | 주식회사 이노피아테크 | System and method for configuring a wireless local area network |
US10470102B2 (en) | 2016-02-17 | 2019-11-05 | Zitovault, Inc. | MAC address-bound WLAN password |
CN111918263A (en) * | 2020-08-17 | 2020-11-10 | 宁波奥克斯电气股份有限公司 | Bluetooth connection method and device and Internet of things equipment |
CN111918263B (en) * | 2020-08-17 | 2024-01-23 | 宁波奥克斯电气股份有限公司 | Bluetooth connection method and device and Internet of things equipment |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8107630B2 (en) | Apparatus and method for managing stations associated with WPA-PSK wireless network | |
US7673146B2 (en) | Methods and systems of remote authentication for computer networks | |
US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
KR100704675B1 (en) | authentication method and key generating method in wireless portable internet system | |
JP5313200B2 (en) | Key generation method and apparatus in communication system | |
CN103596173B (en) | Wireless network authentication method, client and service end wireless network authentication device | |
EP1484856B1 (en) | Method for distributing encryption keys in wireless lan | |
JP4619788B2 (en) | Method for protecting identification information in WLAN interconnection | |
JP4509446B2 (en) | Method for registering a device in a wireless network | |
EP1760945A2 (en) | Wireless LAN security system and method | |
US11909869B2 (en) | Communication method and related product based on key agreement and authentication | |
KR100707805B1 (en) | Authentication system being capable of controlling authority based of user and authenticator | |
KR100737526B1 (en) | Access control method in wireless lan | |
EP1779595B1 (en) | Method for enrolling a user terminal in a wireless local area network | |
KR20150053912A (en) | Method and devices for registering a client to a server | |
JP4536051B2 (en) | Authentication system, authentication method, authentication server, wireless LAN terminal, and program for authenticating wireless LAN terminal | |
KR101692917B1 (en) | Apparatus and method for security management of home IoT device | |
KR20190040443A (en) | Apparatus and method for creating secure session of smart meter | |
US20090240939A1 (en) | System and method for authentication in wireless networks by means of one-time passwords | |
Abdelkader et al. | A novel advanced identity management scheme for seamless handoff in 4G wireless networks | |
KR101451163B1 (en) | System and method for access authentication for wireless network | |
KR100631633B1 (en) | Method and system for assigning address in wireless data communication system | |
Zhao et al. | Addressing the vulnerability of the 4-way handshake of 802.11 i | |
KR100924315B1 (en) | Authentification system of wireless-lan with enhanced security and authentifiaction method thereof | |
KR100580929B1 (en) | Method and apparatus for authenticating user in the wireless LAN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20110630 Year of fee payment: 5 |
|
LAPS | Lapse due to unpaid annual fee |