KR100737526B1 - Access control method in wireless lan - Google Patents

Access control method in wireless lan Download PDF

Info

Publication number
KR100737526B1
KR100737526B1 KR1020060041697A KR20060041697A KR100737526B1 KR 100737526 B1 KR100737526 B1 KR 100737526B1 KR 1020060041697 A KR1020060041697 A KR 1020060041697A KR 20060041697 A KR20060041697 A KR 20060041697A KR 100737526 B1 KR100737526 B1 KR 100737526B1
Authority
KR
South Korea
Prior art keywords
wireless terminal
authentication number
password
authentication
management table
Prior art date
Application number
KR1020060041697A
Other languages
Korean (ko)
Inventor
박준희
김동희
박동환
문경덕
김재현
이주아
Original Assignee
한국전자통신연구원
아주대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원, 아주대학교산학협력단 filed Critical 한국전자통신연구원
Priority to KR1020060041697A priority Critical patent/KR100737526B1/en
Application granted granted Critical
Publication of KR100737526B1 publication Critical patent/KR100737526B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

An access control method in a wireless LAN is provided to prevent a brute-force attack and a repeat attack of a hacker by performing periodic change and distribution of a password using an authentication number. An access control method in a wireless LAN includes the steps of: managing an assigned authentication number whenever a password is changed through an authentication number management table, and managing the authentication number used in a wireless terminal through a MAC address management table(S300); receiving subscriber information and the currently used authentication number from an accessible wireless terminal(S305); checking whether the received authentication number is the same as a predetermined authentication number for the wireless terminal corresponding to the MAC(Medium Access Control) address management table(S310); if the received authentication number is the same as the authentication number recorded in the MAC address management table, checking whether the accessible wireless terminal is an authorized subscriber based on the password recorded in the authentication number management table(S320); and if the accessible wireless terminal is the authorized subscriber, informing authentication completion to the corresponding wireless terminal(S330).

Description

무선 랜에서의 접근 제어 방법{Access control method in Wireless LAN}Access control method in wireless LAN

도 1은 무선 랜의 망 구성을 개략적으로 나타낸 블록도이고,1 is a block diagram schematically showing a network configuration of a wireless LAN,

도 2는 EAP-MD5 프로토콜 기반의 접근 제어 절차를 나타낸 신호 흐름도이고,2 is a signal flow diagram illustrating an access control procedure based on the EAP-MD5 protocol;

도 3은 EAP-TTLS 프로토콜 기반의 접근 제어 절차를 나타낸 신호 흐름도이고,3 is a signal flow diagram illustrating an access control procedure based on the EAP-TTLS protocol;

도 4는 본 발명에 의한 접근 제어 방법의 개념도이고,4 is a conceptual diagram of an access control method according to the present invention;

도 5는 본 발명에 의한 접근 제어 방법의 바람직한 실시예를 나타낸 플로우챠트이다.5 is a flowchart showing a preferred embodiment of the access control method according to the present invention.

도 6은 본 발명에 의하여 개선된 EAP-MD5 프로토콜 기반의 접근 제어 절차를 나타낸 신호 흐름도이고,6 is a signal flow diagram illustrating an access control procedure based on the EAP-MD5 protocol improved by the present invention;

도 7은 본 발명에 의하여 개선된 EAP-TTLS 프로토콜 기반의 접근 제어 절차를 나타낸 신호 흐름도이고,7 is a signal flow diagram illustrating an access control procedure based on the EAP-TTLS protocol improved by the present invention;

도 8은 본 발명에 의한 접근 제어 방법에서 사용되는 EAP-MD5 기반 패킷 포맷을 보인 데이터 구조도이고,8 is a data structure diagram showing an EAP-MD5-based packet format used in an access control method according to the present invention;

도 9는 본 발명에 의한 접근 제어 방법에서 사용되는 EAP-TTLS 기반 패킷 포맷을 보인 데이터 구조도이다.9 is a data structure diagram illustrating an EAP-TTLS based packet format used in an access control method according to the present invention.

본 발명은 사용자의 개입을 최소화하여 컴퓨터 및 보안 관련 지식이 없는 사용자라 하더라도 안전하게 무선 통신을 할 수 있는 무선 랜에서의 접근 제어 방법에 관한 것이다.The present invention relates to a method of controlling access in a wireless LAN, which can safely perform wireless communication even by a user without a computer and security knowledge by minimizing user intervention.

홈 네트워크는 다양한 통신 기술들을 집약하여 사용자들에게 더욱 편리한 생활을 제공하기 위한 통합 기술 형 서비스이다. 홈 네트워크에서 사용될 것으로 예상되는 무선 접속 기술로는 무선랜, 블루투스, UWB, Zigbee 등 여러 가지가 있으며, 이 중에서 무선 랜을 중심으로 한 홈 네트워크 연구가 활발히 진행 중이다.The home network is an integrated technology type service that provides a more convenient life to users by integrating various communication technologies. There are various wireless access technologies that are expected to be used in home networks, including WLAN, Bluetooth, UWB, and Zigbee. Among them, research on home networks focusing on wireless LANs is being actively conducted.

그러나 무선 접속 기술에 기반한 홈 네트워크 경우, 무선 신호의 특성에 의해, 무선 접근 기술의 전송 거리는 제한할 수 없기 때문에, 이웃 집 간에 무선통신 신호를 수신할 가능성이 높고, 집 외부에서 원하지 않는 사용자의 접근이 가능하다는 문제점을 내포하고 있으며, 이러한 보안 문제를 해결하기 위하여, 여러 표준화 제정 단체 및 관련 업체들이 많은 개선 규격을 제공하고 있다.However, in the case of a home network based on wireless access technology, since the transmission distance of the wireless access technology cannot be limited by the characteristics of the wireless signal, there is a high possibility of receiving wireless communication signals between neighboring homes, and unwanted user's access from outside the home. There is a problem that this is possible, and in order to solve this security problem, various standardization organizations and related companies provide many improvement standards.

무선 랜의 경우 보안을 강화하기 위하여, IEEE 802.11i 태스크 그룹(Task Group)에서 포트 기반의 인증 규격인 IEEE 802.1x를 기반으로 하여 동적인 키 교환 및 키 관리, 새로운 암호 알고리즘을 정의하는 IEEE 802.11i 표준을 규정하고 있다. 여기서, IEEE 802.1x는 액세스 포인트(AP: Access Pointer)에서 암호학적인 인증 알고리즘을 통하여 정상적으로 인증받는 사용자에 대하여 접속시켜주는 기술이 다. 상기 IEEE 802.1x에서는 인증을 위한 기반 구조(Framework)를 제공하며 실제 암호학적인 인증 알고리즘은 EAP(Extensible Authentication Portocol)을 통하여 제공된다. 상기 EAP의 세부 규격으로서 사용자 ID와 비밀번호를 사용하여 인증하는 방식의 EAP-MD5가 있으며, 이외에 EAP-TLS, EAP-TTLS, PEAP 방식이 있다.IEEE 802.11i defines dynamic key exchange, key management, and new encryption algorithms based on IEEE 802.1x, a port-based authentication standard, in IEEE 802.11i Task Group. The standard is specified. Here, IEEE 802.1x is a technology for connecting to a user authenticated normally through a cryptographic authentication algorithm in an access point (AP). The IEEE 802.1x provides a framework for authentication, and an actual cryptographic authentication algorithm is provided through an Extensible Authentication Portocol (EAP). As the detailed specification of the EAP, there is an EAP-MD5 method of authenticating using a user ID and a password, and there are other EAP-TLS, EAP-TTLS, and PEAP methods.

도 1은 홈네트워크에 적용되는 무선 접속 기줄중, 무선 랜의 구조를 나타낸 것으로서, 다수의 무선 단말(13)이 액세스 포인트(12)를 통하여 무선 데이터 통신을 수행하는데, 이때, 각 액세스 포인트(12)에 접속을 요구한 무선 단말(13)에 대한 인증을 인증 서버(11)를 통해 수행한다. FIG. 1 illustrates a structure of a wireless LAN of a wireless access line applied to a home network, in which a plurality of wireless terminals 13 perform wireless data communication through an access point 12. In this case, each access point 12 Is authenticated via the authentication server 11 for the wireless terminal 13 that has requested the connection.

도 2 및 도 3은 각각 무선 랜 구조에서 제안되어 있는 기존의 접속 제어 절차를 나타낸다.2 and 3 show a conventional access control procedure proposed in the wireless LAN structure.

먼저 도 2는 EAP-MD5 기반 인증 절차를 도시한 것으로서, IEEE 802.11i 표준에 따라 개방형 시스템 인증(Open System Authentication)이 완료되면, IEEE 802.1x 절차에 따라서 액세스 포인트(12)에서 무선 단말(13)로 EAP-Request/Identify 신호를 전송하여, 가입자 정보(예를 들어, 사용자 ID)를 요구하고(S101), 이에, 무선 단말(13)은 EAP-Response/Identify 신호에 가입자 정보를 저장하여 액세스 포인트(12)로 전송하고(S102), 상기 액세스 포인트(12)는 상기 수신된 EAP-Response/Identify 신호를 RADIOUS-Access-Request 신호형태로 전환하여 인증 서버(11)에 전송한다(S103).First, FIG. 2 illustrates an EAP-MD5-based authentication procedure. When open system authentication is completed according to the IEEE 802.11i standard, the wireless terminal 13 in the access point 12 according to the IEEE 802.1x procedure. By transmitting the EAP-Request / Identify signal to the request, the subscriber information (for example, the user ID) is requested (S101), the wireless terminal 13, the wireless terminal 13 stores the subscriber information in the EAP-Response / Identify signal to access point In step S102, the access point 12 converts the received EAP-Response / Identify signal into a RADIOUS-Access-Request signal and transmits the received EAP-Response / Identify signal to the authentication server 11 (S103).

이에 인증 서버(11)는 해당 가입자 정보를 확인하고 사용자 인증을 위한 추 가 인증 질의를 위하여 평문형태의 MD5-Challenge 요구를 액세스 포인트(12)로 RADIUS-Access-Challenge 신호를 통해 전송하고, 상기 액세스 포인트(12)는 이를 EAP-Request 신호 형태로 변환하여 무선 단말(13)로 전송한다(S105).Accordingly, the authentication server 11 transmits the MD5-Challenge request in plain text form to the access point 12 through the RADIUS-Access-Challenge signal for checking the subscriber information and for further authentication query for user authentication. The point 12 converts it into an EAP-Request signal form and transmits it to the wireless terminal 13 (S105).

상기 무선 단말(13)은 수신된 MD5-Challenge를 자신이 보유한 비밀번호로 암호화하여, EAP-Response 신호에 실어 액세스 포인트(12)로 전송하고(S106), 상기 액세스 포인트(12)가 이를 RADIUS-Access-Request 신호 형태로 전환하여 인증 서버(11)에 전송하면, 상기 인증 서버(11)가 현재 사용되는 비밀번호로 복호화하고, 상기 복호화된 메시지가 자신이 전송했던 MD5-challenge가 일치하는지 확인을 하여 무선 단말(13)이 적합한 사용자인지를 결정한다.The wireless terminal 13 encrypts the received MD5-Challenge with its own password, transmits it to the access point 12 in the EAP-Response signal (S106), and the access point 12 transmits the RADIUS-Access to it. When the signal is transmitted to the authentication server 11 in the form of a -Request signal, the authentication server 11 decrypts the currently used password and checks whether the decrypted message matches the MD5-challenge transmitted by the wireless device. It is determined whether the terminal 13 is a suitable user.

상기에서 적합한 사용자로 결정되면, 상기 인증 서버(11)는 인증 성공 메시지(EAP-Success)를 액세스 포인트(12)를 통해 무선 단말(13)로 전송한다(S108,S109).If it is determined that the user is a suitable user, the authentication server 11 transmits an authentication success message (EAP-Success) to the wireless terminal 13 through the access point 12 (S108, S109).

더하여 도 3은 기존의 다른 접속 제어 절차를 보인 것으로서, 비밀번호를 이용하여 인증서버와 상호 인증하는 EAP-TTLS 프로토콜에 따른 접속 제어 절차를 보인다.In addition, FIG. 3 shows another existing access control procedure, and illustrates an access control procedure according to the EAP-TTLS protocol which mutually authenticates with an authentication server using a password.

도 3을 참조하면, IEEE 802.11i 표준에 따라 개방형 시스템 인증(Open System Authentication)이 완료되면, IEEE 802.1x 절차에 따라서 액세스 포인트(12)에서 무선 단말(13)로 EAP-Request/Identify 신호를 전송하여, 가입자 정보(예를 들어, 사용자 ID)를 요구하고(S101), 이때 무선 단말(13)은 사용자 ID 대신에 자신의 MAC 주소를 EAP-Response/Identify 신호에 실어 액세스 포인트(12)로 전 송하고, 상기 액세스 포인트(12)는 이를 RADIUS-Access-Request 신호로 전환하여 인증 서버(11)로 전송한다. 상기 인증 서버(11)는 자신의 인증서 정보를 액세스 포인트(12)를 통해 무선 단말(13)에게 전송하여 무선단말(13)로부터 인증을 받고, 이 때 생성된 키를 이용하여 TLS 연결을 생성한다(S204~S213).Referring to FIG. 3, when open system authentication is completed according to the IEEE 802.11i standard, an EAP-Request / Identify signal is transmitted from the access point 12 to the wireless terminal 13 according to the IEEE 802.1x procedure. By requesting subscriber information (e.g., user ID) (S101), the wireless terminal 13 transmits its MAC address to the access point 12 in the EAP-Response / Identify signal instead of the user ID. The access point 12 converts this to a RADIUS-Access-Request signal and transmits it to the authentication server 11. The authentication server 11 transmits its certificate information to the wireless terminal 13 through the access point 12 to be authenticated by the wireless terminal 13, and generates a TLS connection using the generated key. (S204-S213).

상기 TLS 연결은 개인 정보가 유출되지 않도록 무선단말(13)과 액세스 포인트(12) 사이의 데이터 전송을 보호해준다.The TLS connection protects data transmission between the wireless terminal 13 and the access point 12 so that personal information is not leaked.

따라서 이와 같이 TLS 연결이 생성되면, 무선 단말(13)은 액세스 포인트(12)를 통하여 인증 서버(11)로 가입자 정보(예를 들어, 사용자 ID 및 비밀번호 등)를 전송한다(S214,S215).Therefore, when the TLS connection is generated in this way, the wireless terminal 13 transmits subscriber information (for example, user ID and password) to the authentication server 11 through the access point 12 (S214, S215).

인증 서버(11)는 상기 TLS 연결을 통해 전송된 가입자 정보를 통해 사용자를 인증하고, 인증이 성공한 경우 액세스 포인트(12)를 통해 무선 단말(13)로 EAP-Success 신호를 전송하여 알린다.The authentication server 11 authenticates the user through the subscriber information transmitted through the TLS connection, and transmits an EAP-Success signal to the wireless terminal 13 through the access point 12 when the authentication is successful.

그런데, 이와 같이 ID와 비밀번호 기반의 인증 방식에서는, 보다 안전한 통신을 위하여 비밀번호를 자주 변경해 주어야 하며, 이를 위해서는 사용자가 무선 랜 장치 및 액세스 포인트에 접속하여 필요한 정보를 입력하는 복잡한 과정을 거쳐야 한다는 불편한 점이 있었다.However, in the authentication method based on ID and password, the password must be frequently changed for more secure communication. In order to do this, the user needs to go through a complicated process of accessing a wireless LAN device and an access point and inputting necessary information. there was.

본 발명은 상술한 종래의 문제점을 해결하여 위하여 제안된 것으로서, 그 목적은 사용자의 개입을 최소화하여 컴퓨터 및 보안 관련 지식이 없는 사용자라 하 더라도 안전하게 무선 통신을 할 수 있는 무선 랜에서의 접근 제어 방법을 제공하는 것이다.The present invention has been proposed in order to solve the above-mentioned conventional problems, and an object thereof is to provide a method of controlling access in a wireless LAN, which can safely perform wireless communication even without a computer and security-related knowledge by minimizing user intervention. To provide.

또한, 본 발명의 다른 목적은, 비밀번호의 자동적이고 주기적인 변경을 통하여 사용자에게 편리하고 안전한 홈 네트워크 환경을 제공할 수 있는 무선 랜에서의 접근 제어 방법을 제공하는 것이다.Another object of the present invention is to provide a method for controlling access in a wireless LAN, which can provide a convenient and secure home network environment to a user through automatic and periodic change of a password.

본 발명은 상술한 목적을 달성하기 위한 구성 수단으로서, 인증 번호 관리 테이블을 통해 비밀번호가 변경될 때마다 할당되는 인증번호를 관리하고, MAC 주소 관리 테이블을 통해 무선 단말별로 사용하고 있는 인증번호를 관리하는 단계; 접속을 시도한 무선 단말로부터 가입자 정보 및 현재 사용하는 인증 번호를 수신하는 단계; 상기 수신된 인증번호가 상기 MAC 주소 관리 테이블에 해당 무선 단말에 대해 설정된 인증 번호와 일치하는 지를 확인하는 단계; 상기 수신된 인증번호가 MAC 주소 관리 테이블에 기록된 인증번호와 일치하면, 상기 인증 번호 관리 테이블에 기록된 비밀번호를 이용하여 상기 접속을 시도한 무선 단말이 정당한 사용자인지를 확인하는 단계; 및 상기 확인 결과, 정당한 사용자이면 해당 무선 단말로 인증 성공을 통보하는 제5 단계를 포함하는 무선 랜에서의 접근 제어 방법을 제공한다.The present invention is a configuration means for achieving the above object, and manages the authentication number assigned every time the password is changed through the authentication number management table, and manages the authentication number used for each wireless terminal through the MAC address management table Doing; Receiving subscriber information and currently used authentication number from a wireless terminal attempting to access; Confirming whether the received authentication number matches the authentication number set for the wireless terminal in the MAC address management table; If the received authentication number matches the authentication number recorded in the MAC address management table, using the password recorded in the authentication number management table, checking whether the wireless terminal attempting the access is a legitimate user; And a fifth step of informing the wireless terminal of the successful authentication if the legitimate user is a result of the checking.

더하여, 본 발명은 상기 접속을 시도한 무선 단말이 정당한 사용자인지를 확인하는 단계에서, 정당한 사용자이면, 비밀번호의 변경여부를 확인하여 비밀번호가 변경되는 경우, 변경된 비밀번호에 해당 비밀번호에 대해 부여된 인증번호를 무선 단말로 전송하여 무선 단말의 인증 설정 정보를 변경하는 단계를 더 포함하는 것을 특징으로 한다. In addition, the present invention, in the step of confirming whether the wireless terminal attempting the access is a legitimate user, if the legitimate user, if the password is changed by checking whether the password is changed, the authentication number given to the corresponding password to the changed password Transmitting to the wireless terminal characterized in that it further comprises the step of changing the authentication setting information of the wireless terminal.

더하여, 본 발명에 의한 무선 랜에서의 접근 제어 방법에 있어서, 상기 비밀번호는 주기적으로 자동 갱신되고, 상기 비밀번호의 갱신시마다 인증 번호 관리 테이블이 갱신되는 것을 특징으로 한다.In addition, in the access control method in a wireless LAN according to the present invention, the password is periodically updated automatically, characterized in that the authentication number management table is updated every time the password is updated.

또한, 본 발명에 의한 무선 랜에서의 접근 제어 방법에 있어서, 상기 접속을 시도한 무선 단말로부터 식별 정보 및 현재 사용하는 인증 번호를 수신하기 전에, 접속을 시도한 무선 단말과 TLS 연결을 생성하는 단계를 더 포함할 수 있다.Further, in the access control method in a wireless LAN according to the present invention, before receiving the identification information and the currently used authentication number from the wireless terminal attempting the connection, further comprising the step of creating a TLS connection with the wireless terminal attempting the connection. It may include.

더하여, 본 발명에 의한 무선 랜에서의 접근 제어 방법에 있어서, 상기 접속을 시도한 무선 단말이 정당한 사용자인지를 확인하는 단계는, 무선 단말로 MD5-challenge 메시지를 전송하는 과정과, 상기 무선 단말로부터 무선 단말에 보유된 비밀번호로 암호화된 MD5-challenge 메시지를 수신하는 과정과, 상기 수신된 메시지를 상기 인증 번호 관리 테이블에 기록된 해당 무선 단말의 비밀번호로 복호화하는 과정과, 상기 복호화된 MD5-challenge 메시지가 무선 단말로 송신한 메시지와 일치하는 지를 확인하는 과정과, 상기 확인 결과, 복호화된 MD5-challenge 메시지와 송신한 메시지가 일치하면 정당한 사용자로 판단하고, 일치하지 않으면 정당한 사용자가 아닌 것으로 판단하는 과정으로 이루어지는 것을 특징으로 한다.In addition, in the access control method in a wireless LAN according to the present invention, the step of confirming whether the wireless terminal attempting access is a legitimate user may include transmitting an MD5-challenge message to the wireless terminal, and wirelessly from the wireless terminal. Receiving an MD5-challenge message encrypted with a password held in the terminal, decrypting the received message with a password of the corresponding wireless terminal recorded in the authentication number management table, and decrypting the decrypted MD5-challenge message Checking whether the message is identical to the message transmitted to the wireless terminal; and if the decrypted MD5-challenge message and the transmitted message match, the user is determined to be a legitimate user. Characterized in that made.

이하 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시 예를 설명한다. 또한, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.Hereinafter, exemplary embodiments of the present invention will be described with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. In addition, the same reference numerals are used for parts having similar functions and functions throughout the drawings.

본 발명은 인증 번호를 이용하여 사용자의 개입을 최소화하면서도 보안성 있는 환경을 제공하는 접근제어를 구현한 것으로서, 비밀번호를 자동적이고 주기적으로 변경하여 무선 단말들로 분배해 줌으로써, 보다 안전하고 편리한 홈네트워크 환경을 제공한다.The present invention implements an access control that provides a secure environment while minimizing user intervention by using an authentication number, and automatically and periodically changes a password and distributes it to wireless terminals, thereby providing a more secure and convenient home network. Provide an environment.

여기서, 비밀번호의 주기적인 교환시, 어떠한 이유로 비밀번호를 분배받지 못한 무선 단말이 재인증을 요청할 경우를 고려하여야 한다. 본 발명은 비밀번호의 주기적인 분배뿐만 아니라 비밀번호를 분배받지 못한 무선 단말의 재인증 요청도 처리가능한 접속 제어 절차를 제공한다.Here, in the periodic exchange of passwords, consideration should be given to a case where a wireless terminal that has not received a password for some reason requests reauthentication. The present invention provides an access control procedure capable of handling not only periodic distribution of passwords but also reauthentication requests of wireless terminals that have not received passwords.

이를 위하여, 본 발명에서는 인증에 필요한 사용자의 비밀번호를 초기 설정 후에 소프트웨어에 의하여 초기값과는 다른 값으로 랜덤하게 변경하며, 변경된 비밀번호에 대해서 랜덤한 숫자를 할당하는데, 이를 인증번호라 한다.To this end, the present invention randomly changes the user's password required for authentication to a value different from the initial value by the software after initial setting, and assigns a random number to the changed password, which is referred to as an authentication number.

이를 위하여 인증서버(11)는 도 4에 나타낸 바와 같이, MAC 주소 관리 테이블(111)과, 인증 번호 관리 테이블(112)를 구축하여 무선 단말(13)별로 분배된 인증 번호 및, 각 인증 번호에 대응하는 비밀번호를 관리한다.To this end, as shown in FIG. 4, the authentication server 11 constructs the MAC address management table 111 and the authentication number management table 112, and assigns them to the authentication numbers distributed to the wireless terminals 13 and to each authentication number. Manage the corresponding password.

상기 MAC 주소 관리 테이블(111)은 인증 받은 무선단말(13)의 MAC 주소와 해당 무선 단말(13)이 인증 받는 시점에서 사용되고 있는 인증 번호를 기록해 놓은 테이블이다.The MAC address management table 111 is a table that records the MAC address of the authenticated wireless terminal 13 and the authentication number used when the wireless terminal 13 is authenticated.

그리고 상기 인증 번호 관리 테이블(112)은 비밀번호가 변경될 때 마다 변경된 비밀번호에 할당되는 인증번호를 저장해 놓은 테이블이다.The authentication number management table 112 is a table storing an authentication number assigned to the changed password every time the password is changed.

상기 도 4에 보인 실시 예의 경우, MAC 주소 관리 테이블(111)내에서 MAC주소가 EACB인 무선 단말에 대하여 인증 번호 2가 할당되고, MAC 주소 BCBD인 무선 단말에 대해서는 인증번호 10이 할당된다. 그리고, 인증 번호 관리 테이블(112)에서 인증 번호 2의 비밀번호는 2222이고, 인증 번호 10의 비밀번호는 5725이다.In the embodiment shown in FIG. 4, the authentication number 2 is assigned to the wireless terminal having the MAC address EACB and the authentication number 10 is assigned to the wireless terminal having the MAC address BCBD in the MAC address management table 111. In the authentication number management table 112, the password of the authentication number 2 is 2222, and the password of the authentication number 10 is 5725.

따라서, MAC 주소가 EACB인 무선 단말은 비밀번호 2222를 사용하여 인증 서버(11)간에 사용자 인증을 수행하고, MAC주소가 BCDB인 무선 단말은 비밀번호 5725를 사용하여 인증을 수행하는 것이다.Accordingly, the wireless terminal having the MAC address EACB performs user authentication between the authentication servers 11 using the password 2222, and the wireless terminal having the MAC address BCDB performs the authentication using the password 5725.

본 발명에 있어서, 인증에 필요한 비밀번호는 인증 서버(11)에서 주기적으로 자동 갱신된다. 이렇게 갱신된 비밀번호에 대하여 랜덤한 인증 번호가 할당되고, 상기 인증번호와 비밀번호는 인증 번호 관리 테이블(112)에 기록되어 관리된다.In the present invention, the password required for authentication is automatically updated periodically in the authentication server 11. A random authentication number is assigned to the updated password, and the authentication number and password are recorded and managed in the authentication number management table 112.

더하여, 인증 서버(11)에서 무선 단말(12)에 분배된 비밀번호는 인증 번호를 통해 MAC 주소 관리 테이블(111)에서 관리된다. 이를 위해, 상기 MAC 주소 관리 테이블(111)은 각 무선 단말(13)로 새로운 비밀번호가 분배될 때마다 이에 맞추어 인증 번호가 갱신된다.In addition, the password distributed from the authentication server 11 to the wireless terminal 12 is managed in the MAC address management table 111 via the authentication number. To this end, the MAC address management table 111 is updated according to the authentication number each time a new password is distributed to each wireless terminal (13).

도 5는 상술한 인증번호와, MAC 주소 관리 테이블과, 인증 번호 관리 테이블을 이용하는 본 발명에 의한 무선 랜의 접속 제어 절차를 나타낸 플로우챠트이다.5 is a flowchart illustrating a wireless LAN access control procedure according to the present invention using the above-described authentication number, MAC address management table, and authentication number management table.

도 5를 참조하면, 본 발명에 의한 인증 서버(11)는 임의의 무선 단말(13)에 서 무선 접속이 시도되면(S300), 상기 접속을 시도하는 무선 단말(13)로부터 가입자 정보 및 해당 무선 단말(13)에서 현재 사용하는 인증 번호를 수신한다(S305).Referring to FIG. 5, if an authentication server 11 according to the present invention attempts a wireless connection in an arbitrary wireless terminal 13 (S300), subscriber information and the corresponding wireless information are obtained from the wireless terminal 13 attempting the connection. The authentication number currently used by the terminal 13 is received (S305).

그리고 인증 서버(11)는 상기 수신된 인증 번호가 상기 MAC 주소 관리 테이블(111)에 기록된 해당 무선 단말의 인증 번호와 일치하는 지를 확인한다(S310).The authentication server 11 confirms whether the received authentication number matches the authentication number of the corresponding wireless terminal recorded in the MAC address management table 111 (S310).

상기 확인 결과, 수신된 인증번호가 MAC 주소 관리 테이블(111)에 기록된 인증 번호와 일치하면, 상기 인증 번호 관리 테이블(112)에 기록된 대응하는 비밀번호를 이용하여 정당한 사용자의 접속 시도인지를 확인한다(S315). 더 구체적으로 설명하면, MD5 기반 인증 프로토콜을 사용하는 경우, 상기 인증 서버(11)에서 무선 단말(13)로 MD5-챌린지(challenge) 신호를 전송하고, 이에 무선 단말(13)이 상기 수신된 MD5-챌린지 신호를 소유하고 있는 패스워드로 암호화하여 인증서버(11)로 전송하면, 상기 인증 서버(11)가 인증 관리 프로토콜(12)에 기록된 해당 비밀번호로 상기 수신된 신호를 복호화한 후, 자신이 전송한 MD5-챌린지 신호와 동일한지를 비교하여, 동일하면 정당한 사용자로 판단하고, 동일하지 않으면 정당하지 않은 사용자로 판단한다. 상기 정당한 사용자로 판단되면, 해당 무선 단말(13)로 인증 성공을 통보하여, 이후 해당 무선 단말(13)의 홈 네트워크 접속이 가능하게 된다.As a result of the check, if the received authentication number matches the authentication number recorded in the MAC address management table 111, it is checked whether a legitimate user's connection attempt is made using the corresponding password recorded in the authentication number management table 112. (S315). More specifically, when using the MD5-based authentication protocol, the authentication server 11 transmits an MD5-challenge signal from the authentication server 11 to the wireless terminal 13, whereby the wireless terminal 13 receives the received MD5. -When the challenge signal is encrypted with the password owned and transmitted to the authentication server 11, the authentication server 11 decrypts the received signal with the corresponding password recorded in the authentication management protocol 12, The comparison is made with the transmitted MD5-challenge signal, and if it is the same, it is determined to be a legitimate user. If it is determined that the user is a legitimate user, the wireless terminal 13 is notified of the authentication success, and then the wireless terminal 13 can access the home network.

반대로, 상기 단계 S310에서 인증 번호가 일치하지 않거나, 단계 S320에서 인증 결과 정당한 사용자가 아니라고 판단되면, 인증 실패를 통보한다(S340).On the contrary, if the authentication number does not match in step S310 or if it is determined that the authentication result is not a valid user in step S320, an authentication failure is notified (S340).

더하여, 본 발명은 패스워드를 주기적으로 자동 분배하기 위하여, 정당한 사용자인 경우, 상기 무선 단말(13)에서 사용하는 비밀번호와 인증 서버(11)에서 분배할 비밀번호가 동일한 지를 비교하여, 해당 무선 단말에 대한 비밀번호 변경 여 부를 확인한다(S325). 상기 확인 결과, 무선 단말(13)에서 사용하는 비밀번호와 인증 서버(11)에서 새로 분배할 비밀번호가 동일하지 않은 경우, 비밀번호 변경으로 판단하여, 변경된 비밀번호 및 해당 비밀번호에 설정되는 인증번호를 함께 무선 단말(13)로 전송하여 무선 단말(13)의 인증 설정 정보를 변경시킨다(S330).In addition, the present invention compares whether the password used by the wireless terminal 13 and the password to be distributed by the authentication server 11 are the same for the wireless terminal, if the user is a legitimate user in order to automatically distribute the password periodically. Check whether the password has been changed (S325). As a result of the check, if the password used in the wireless terminal 13 and the password to be newly distributed in the authentication server 11 are not the same, it is determined that the password is changed, and the changed password and the authentication number set in the corresponding password are together. By transmitting to (13) to change the authentication setting information of the wireless terminal (13) (S330).

도 6은 본 발명의 실시 예로서, EAP-MD5 기반 무선 랜에서의 접근 제어 과정을 보인 신호 흐름도이다.6 is a signal flow diagram illustrating an access control process in an EAP-MD5 based wireless LAN according to an embodiment of the present invention.

도 6을 참조하면, 상기 인증 서버(11)는 앞서 설명한 MAC 주소 관리 테이블(111)과 인증 번호 관리 테이블(112)을 이용하여, 인증번호와 비밀번호를 관리한다. 상기 MAC 주소 관리 테이블(111)과 인증 번호 관리 테이블(112)의 관리 및 정보 갱신은 앞서 설명한 바와 동일하게 이루어진다.Referring to FIG. 6, the authentication server 11 manages an authentication number and a password by using the MAC address management table 111 and the authentication number management table 112 described above. The management and update of the MAC address management table 111 and the authentication number management table 112 are performed in the same manner as described above.

그리고 무선 단말(13)은 초기 설정된 혹은 인증 서버(11)에서 분배된 비밀번호 및 인증 번호를 보유한다.The wireless terminal 13 holds a password and an authentication number which are initially set or distributed by the authentication server 11.

이러한 상태에서, 802.11i 표준에 따른 개방형 시스템 인증(Open System Authentication)이 완료되면, 액세스 포인트(12)는 IEEE 802.1x 절차에 따라서 무선 단말(13)에게 EAP-type이 Identity인 EAP-Request 신호를 전송하여 가입자 정보(예를 들어, 사용자 ID)를 요구한다(S401). 상기 요구에 의하여, 무선 단말(13)로부터 액세스 포인트(12)로 EAP-response/EAP-type=Identify 신호를 통해 가입자 정보(ID)를 전송하는데, 이때, 무선 단말(13)에서 현재 보유하고 있는 인증 번호(authentication number)도 함께 전송한다(S402). 액세스 포인트(12)는 상기 신 호를 RADIUS-Access-Request 신호로 전환하여 인증 서버(11)로 전송한다(S403).In this state, when Open System Authentication according to the 802.11i standard is completed, the access point 12 sends an EAP-Request signal of which EAP-type is Identity to the wireless terminal 13 according to the IEEE 802.1x procedure. It transmits and requests subscriber information (for example, user ID) (S401). By the request, the subscriber information (ID) is transmitted from the wireless terminal 13 to the access point 12 through an EAP-response / EAP-type = Identify signal, which is currently held by the wireless terminal 13. It also transmits an authentication number (authentication number) (S402). The access point 12 converts the signal into a RADIUS-Access-Request signal and transmits the signal to the authentication server 11 (S403).

이에 인증 서버(11)는 수신된 가입자 정보를 확인하고 사용자 인증을 위한 추가 인증 질의를 위하여 평문 형태의 MD5-Challenge를 RADIUS-Access-Challenge 신호를 통해 액세스 포인트(12)로 전송하고, 상기 액세스 포인트(12)는 이를 EAP-타입이 EAP-MD5인 EAP-Request 신호 형태로 변환하여 무선 단말(13)로 전송한다(S404, S405).The authentication server 11 checks the received subscriber information and transmits the MD5-Challenge in plain text to the access point 12 through the RADIUS-Access-Challenge signal for further authentication query for user authentication. 12 converts it to an EAP-Request signal type in which the EAP-type is EAP-MD5 and transmits it to the wireless terminal 13 (S404 and S405).

상기 무선 단말(13)은 수신된 MD5-Challenge를 자신이 보유한 비밀번호로 암호화하여, EAP-Response/EAP-Type=EAP-MD5 신호에 실어 액세스 포인트(12)로 전송하고(S406), 상기 액세스 포인트(12)가 이를 RADIUS-Access-Request 신호 형태로 전환하여 인증 서버(11)에 전송한다(S407).The wireless terminal 13 encrypts the received MD5-Challenge with its own password, and transmits the received MD5-Challenge to the access point 12 in the EAP-Response / EAP-Type = EAP-MD5 signal (S406). 12 converts it to a RADIUS-Access-Request signal and transmits it to the authentication server 11 (S407).

이에, 상기 인증 서버(11)가 상기 인증번호 관리 테이블(112)에서 기록되어 있는 비밀번호로 수신된 신호를 복호화하고, 상기 복호화된 신호가 자신이 전송했던 MD5-challenge가 일치하는지 확인을 하여 무선 단말(13)이 적합한 사용자인지를 결정한다.Accordingly, the authentication server 11 decrypts the received signal with the password recorded in the authentication number management table 112, and checks whether the decrypted signal matches the MD5-challenge transmitted by the wireless terminal. Determine whether 13 is a suitable user.

상기에 의하여 적합한 사용자로 결정되면, 더하여 상기 인증 서버(11)는 상기 무선 단말(13)에서 사용하는 비밀번호와 새로 분배된 비밀번호가 일치하는 지를 비교하여, 비밀번호 변경 여부를 확인하고, 상기 무선 단말(13)에서 사용하는 비밀번호와 새로 분배된 비밀번호가 일치하지 않는 경우, 새로운 비밀번호의 분배를 위하여, RADIUS-Access-Challenge 신호에 새로운 비밀번호와 그에 대응하는 인증번호를 포함하는 인증 정보를 실어 액세스 포인트(12)로 전송하고(S408), 액세스 포인 트(12)가 이를 EAP-Response/EAP-Type=EAP-MD5 신호로 전환하여 무선단말(13)로 전송하면(S409), 상기 무선 단말(13)은 상기 EAP-Response/EAP-Type=EAP-MD5 신호에 실린 인증 정보로 자신의 인증 설정 정보를 변경한다. 즉, 무선 단말(13)측의 인증번호 및 비밀번호가 갱신된다.If it is determined that the user is a suitable user, the authentication server 11 further checks whether the password used in the wireless terminal 13 and the newly distributed password match, and confirms whether or not the password has been changed. If the password used in 13) and the newly distributed password do not match, the RADIUS-Access-Challenge signal includes authentication information including the new password and the corresponding authentication number in order to distribute the new password. (S408), if the access point 12 converts it into an EAP-Response / EAP-Type = EAP-MD5 signal and transmits it to the wireless terminal 13 (S409), the wireless terminal 13 It changes its own authentication setting information to the authentication information carried in the EAP-Response / EAP-Type = EAP-MD5 signal. That is, the authentication number and password of the radio terminal 13 side are updated.

이후 상기 무선 단말(13)은 EAP-Response/EAP-Type=EAP-MD5 신호를 통해 인증 정보를 정상적으로 수신했음을 알리고(S410), 이는 액세스 포인트(12)를 통해 RADIUS-Access-Request 신호로 전환되어 인증 서버(11)로 전송된다(S411).Thereafter, the wireless terminal 13 notifies that the authentication information is normally received through the EAP-Response / EAP-Type = EAP-MD5 signal (S410), which is switched to the RADIUS-Access-Request signal through the access point 12 It is transmitted to the authentication server 11 (S411).

이후, 상기 인증 서버(11)는 인증 성공 메시지(EAP-Success)를 액세스 포인트(12)를 통해 무선 단말(13)로 전송하여(S412,S413), 인증을 완료한다.Thereafter, the authentication server 11 transmits an authentication success message (EAP-Success) to the wireless terminal 13 through the access point 12 (S412, S413) to complete the authentication.

도 7은 EAP-TTLS 프로토콜에 기반한 본 발명의 다른 실시 예를 나타낸 신호 흐름도이다.7 is a signal flow diagram illustrating another embodiment of the present invention based on the EAP-TTLS protocol.

도 7을 참조하면, IEEE 802.11i 표준에 따라 개방형 시스템 인증(Open System Authentication)이 완료되면, IEEE 802.1x 절차에 따라서 액세스 포인트(12)에서 무선 단말(13)로 EAP-Request/Identify 신호를 전송하여, 가입자 정보(예를 들어, 사용자 ID)를 요구하고(S501), 이때 무선 단말(13)은 사용자 ID 대신에 자신의 MAC 주소를 EAP-Response/Identify 신호에 실어 액세스 포인트(12)로 전송하고(S502), 상기 액세스 포인트(12)는 이를 RADIUS-Access-Request 신호로 전환하여 인증 서버(11)로 전송한다(S503).Referring to FIG. 7, when open system authentication is completed according to the IEEE 802.11i standard, an EAP-Request / Identify signal is transmitted from the access point 12 to the wireless terminal 13 according to the IEEE 802.1x procedure. By requesting subscriber information (for example, user ID) (S501), the wireless terminal 13 transmits its MAC address to the access point 12 by putting its MAC address in the EAP-Response / Identify signal instead of the user ID. In operation S502, the access point 12 converts the signal into a RADIUS-Access-Request signal and transmits it to the authentication server 11 (S503).

상기 인증 서버(11)는 자신의 인증서 정보를 액세스 포인트(12)를 통해 무선 단말(13)에게 전송하여 무선 단말(13)로부터 인증을 받고, 이 때 생성된 키를 이용하여 TLS 연결을 생성한다(S504~S512).The authentication server 11 transmits its certificate information to the wireless terminal 13 through the access point 12 to be authenticated by the wireless terminal 13, and generates a TLS connection using the generated key. (S504-S512).

이와 같이 TLS 연결이 생성되면, 무선 단말(13)은 상기 생성된 TLS 연결을 통해 액세스 포인트(12)로 가입자 정보(사용자 이름, CHAP-챌린지, 비밀번호 등)와 함께 보유하고 있는 인증 번호를 EAP-Response/EAP-type=EAP-TTLS 신호에 실어 전송하고(S514), 이는 액세스 포인트(12)에서 RADIUS-Access-Challenge 신호로 전환되어 인증 서버(11)로 전송된다(S515).When the TLS connection is generated in this way, the wireless terminal 13 accesses the access point 12 with the subscriber information (user name, CHAP-challenge, password, etc.) to the access point 12 through the generated TLS connection. The response / EAP-type = EAP-TTLS signal is transmitted and transmitted (S514), which is converted into a RADIUS-Access-Challenge signal by the access point 12 and transmitted to the authentication server 11 (S515).

상기 인증 서버(11)는 이와 같이 전송된 가입자 정보를 기반으로 사용자 인증을 처리하는데, 먼저, MAC 주소 관리 테이블(111)에 기록된 해당 무선 단말의 인증번호가 일치하는지를 확인하고, 인증 번호가 일치되면 인증 번호 관리 테이블(112)에 기록된 대응하는 비밀번호를 이용하여 인증 절차를 수행한다. 이는 앞서 설명한 바와 같이, 인증 서버(11)에서 평문 형태인 MD5-challenge 문을 전송하면 무선 단말(13)에서 이를 자신이 보유한 비밀번호로 암호화하여 다시 인증 서버(11)로 전송하고, 인증 서버(11)는 상기 인증 번호 관리 테이블(12)에 기록된 비밀번호로 상기 수신된 신호를 복호화한 뒤, 자신이 보낸 MD5-Challenge 문과 일치하는지 확인하여 정당한 사용자인지를 판별하는 MD5 방식으로 이루어질 수 있다The authentication server 11 processes user authentication based on the subscriber information transmitted as described above. First, confirm whether the authentication numbers of the corresponding wireless terminals recorded in the MAC address management table 111 match, and the authentication numbers match. The authentication procedure is performed using the corresponding password recorded in the authentication number management table 112. As described above, when the MD5-challenge statement in the plain text form is transmitted from the authentication server 11, the wireless terminal 13 encrypts the password with its own password and sends it to the authentication server 11 again, and the authentication server 11 ) Decrypts the received signal with a password recorded in the authentication number management table 12 and checks whether it matches the MD5-Challenge statement sent by the user.

더하여, 상기 인증 서버(11)는 무선 단말(13)의 인증이 적합하다고 판단이 되고, 새로이 분배된 인증 번호가 무선 단말(13)에서 전송한 인증 번호와 일치하지 않는다면, RADIUS-Access-Challenge 신호를 통해 액세스 포인트(12)로 새로 분배된 인증 번호와 비밀번호를 전송하고(S516), 이는 액세스 포인트(12)에서 EAP- Response 신호 형태로 전환되어 무선 단말(13)로 전송되어(S517), 무선 단말(13)의 인증 설정 정보가 변경된다.In addition, the authentication server 11 determines that the authentication of the wireless terminal 13 is appropriate, and if the newly distributed authentication number does not match the authentication number transmitted from the wireless terminal 13, a RADIUS-Access-Challenge signal. The newly distributed authentication number and password are transmitted to the access point 12 through (S516), which is converted into an EAP-Response signal form at the access point 12 and transmitted to the wireless terminal 13 (S517). The authentication setting information of the terminal 13 is changed.

상기 인증 설정 정보를 변경된 무선 단말(13)은 액세스 포인트(12)를 통하여 인증 서버(11)에게 인증 설정 정보 변경이 완료되었음을 알리며, 상기 인증 서버(11)는 이후 인증 성공 신호를 전송하여 무선 단말(13)을 인증한다(S520,S521).The wireless terminal 13 having changed the authentication setting information informs the authentication server 11 that the authentication setting information has been changed through the access point 12, and the authentication server 11 then transmits an authentication success signal to the wireless terminal. (13) is authenticated (S520, S521).

이상과 같이 본 발명에서는 사용자의 개입을 최소화하면서 안전성을 갖는 홈네트워크 환경을 제공하기 위하여, 인증번호와 MAC주소 관리 테이블 및 인증번호 관리 테이블을 이용하여 주기적이고 자동적인 비밀번호 변경을 가능하게 한다.As described above, the present invention enables periodic and automatic password change by using the authentication number, MAC address management table, and authentication number management table to provide a safe home network environment with minimal user intervention.

더하여, 본 발명은 표준에서 제공하고 있지 않은 인증 번호의 전송을 위하여, 상기 무선 단말(11)과 인증 서버(12)간에 송수신되는 패킷의 포맷을 일부 개선한다.In addition, the present invention partially improves the format of packets transmitted and received between the wireless terminal 11 and the authentication server 12 for transmission of authentication numbers not provided by the standard.

도 8은 EAP-MD5를 기반으로 하는 인증 프로토콜, 인증 번호와 무선 단말의 ID를 전송해야 할 경우에 사용되는 패킷 포맷을 나타낸 데이터 구조도이다. 기존의 표준에 의한 패킷 형식에 의하면, 비밀번호 혹은 무선 단말의 ID와 함께 인증 번호를 전송하고자 하는 경우, 무선 단말의 ID과 인증 번호를 구분할 수 없다.8 is a data structure diagram illustrating a packet format used when an authentication protocol based on EAP-MD5, an authentication number, and an ID of a wireless terminal need to be transmitted. According to the packet format according to the existing standard, when the authentication number is to be transmitted together with the password or the ID of the wireless terminal, the ID and the authentication number of the wireless terminal cannot be distinguished.

이를 위하여, 본 발명은 도 8에 도시된 바와 같이, 무선 단말과 인증서버 간에 전송되는 패킷에서, 인증 번호가 함께 전송되는 패킷과 기존의 identity 패킷과 구별하기 위하여 type 값을 1이 아닌 예약된 값으로 사용한다. 즉, Type 값을 새로 운 예약된 번호를 지정하여 사용하고, Type 영역 다음의 데이터 영역 중 1 octet을 인증 번호 영역으로 나머지 영역을 무선 단말의 ID 혹은 비밀번호가 실리는 identity 영역으로 구분한다. 상기 도 8에서 Code는 메시지 종류를 나타내는 값이고, Identifier는 식별자이고, Length는 메시지의 전체 길이 값이고, Type은 상기 메시지의 타입 값이다.To this end, the present invention, as shown in Figure 8, in the packet transmitted between the wireless terminal and the authentication server, the value of the type value other than 1 in order to distinguish the packet with the authentication number is transmitted with the existing identity packet Used as That is, a new reserved number is used for the Type value, and one octet of the data area following the Type area is used as an authentication number area, and the remaining area is divided into an identity area containing an ID or password of a wireless terminal. In FIG. 8, Code is a value indicating a message type, Identifier is an identifier, Length is a total length value of a message, and Type is a type value of the message.

다음으로, 도 9는 EAP-TTLS를 기반으로 하는 접근 제어 절차에서 인증 번호와 변경된 비밀번호를 전송해야 할 경우에 사용되는 개선된 패킷 포맷을 나타낸다. 도 9에 나타난 데이터 구조에서, 플래그(Flag) 영역의 예약된 비트인 R(Reserved bit)를 인증 번호의 포함 여부를 나타내는 A(Autehtnciation Number Included bit) 비트로 사용한다. 그리고, 데이터 영역 내 소정 위치에 인증 번호를 표시한다.Next, FIG. 9 shows an improved packet format used when an authentication number and a changed password need to be transmitted in an access control procedure based on EAP-TTLS. In the data structure shown in FIG. 9, a reserved bit (R), which is a reserved bit of the flag area, is used as an A (Autehtnciation Number Included bit) bit indicating whether an authentication number is included. Then, the authentication number is displayed at a predetermined position in the data area.

상술한 바에 의하면, 본 발명은 무선 랜 환경에서 사용자가 복잡한 인증 절차를 수행하지 않아도, 안전한 홈 네트워크 환경을 제공하여 줄 수 있는 것으로서, 인증 번호를 이용해 비밀번호의 주기적인 변경과 분배를 안정적으로 수행함으로써, 사용자에게 편리함을 제공하는 것뿐만 아니라 해커에 의한 브루트포스 공격 및 재반복 공격을 방지할 수 있다.As described above, the present invention can provide a secure home network environment without a user performing a complicated authentication procedure in a wireless LAN environment, by reliably performing periodic change and distribution of a password using an authentication number. In addition to providing convenience to the user, brute force attacks and repetitive attacks by hackers can be prevented.

Claims (11)

인증 번호 관리 테이블을 통해 비밀번호가 변경될 때마다 할당되는 인증번호를 관리하고, MAC 주소 관리 테이블을 통해 무선 단말별로 사용하고 있는 인증번호를 관리하는 단계;Managing an authentication number assigned whenever a password is changed through an authentication number management table and managing an authentication number used for each wireless terminal through a MAC address management table; 접속을 시도한 무선 단말로부터 가입자 정보 및 현재 사용하는 인증 번호를 수신하는 단계;Receiving subscriber information and currently used authentication number from a wireless terminal attempting to access; 상기 수신된 인증번호가 상기 MAC 주소 관리 테이블에 해당 무선 단말에 대해 설정된 인증 번호와 일치하는 지를 확인하는 단계;Confirming whether the received authentication number matches the authentication number set for the wireless terminal in the MAC address management table; 상기 수신된 인증번호가 MAC 주소 관리 테이블에 기록된 인증번호와 일치하면, 상기 인증 번호 관리 테이블에 기록된 비밀번호를 이용하여 상기 접속을 시도한 무선 단말이 정당한 사용자인지를 확인하는 단계; 및If the received authentication number matches the authentication number recorded in the MAC address management table, using the password recorded in the authentication number management table, checking whether the wireless terminal attempting the access is a legitimate user; And 상기 확인 결과, 정당한 사용자이면 해당 무선 단말로 인증 성공을 통보하는 제5 단계를 포함하는 무선 랜에서의 접근 제어 방법.And a fifth step of notifying the wireless terminal of the successful authentication if the user is a legitimate user. 제1항에 있어서,The method of claim 1, 상기 접속을 시도한 무선 단말이 정당한 사용자인지를 확인하는 단계에서, 정당한 사용자이면, 비밀번호의 변경여부를 확인하여 비밀번호가 변경되는 경우, 변경된 비밀번호에 해당 비밀번호에 대해 부여된 인증번호를 무선 단말로 전송하여 무선 단말의 인증 설정 정보를 변경하는 단계를 더 포함하는 것을 특징으로 하는 무선 랜에서의 접근 제어 방법.In the step of confirming whether the wireless terminal attempting the access is a legitimate user, if the legitimate user checks whether the password is changed, and if the password is changed, the authentication number given to the changed password is transmitted to the wireless terminal. And changing the authentication setting information of the wireless terminal. 제2항에 있어서,The method of claim 2, 상기 비밀번호는 주기적으로 자동 갱신되고, 상기 비밀번호의 갱신시마다 인증 번호 관리 테이블이 갱신되는 것을 특징으로 하는 무선 랜에서의 접근 제어 방법.The password is automatically updated periodically, the access control method in a wireless LAN, characterized in that the authentication number management table is updated every time the password is updated. 제2항에 있어서,The method of claim 2, 상기 접속을 시도한 무선 단말로부터 식별 정보 및 현재 사용하는 인증 번호를 수신하기 전에, 접속을 시도한 무선 단말과 TLS 연결을 생성하는 단계를 더 포함하는 것을 특징으로 하는 무선 랜에서의 접근 제어 방법.And generating a TLS connection with the wireless terminal that attempted the connection before receiving identification information and an authentication number currently used from the wireless terminal that attempted the connection. 제2항에 있어서,The method of claim 2, 상기 접속을 시도한 무선 단말이 정당한 사용자인지를 확인하는 단계는,The step of checking whether the wireless terminal attempting the access is a legitimate user, 무선 단말로 MD5-challenge 메시지를 전송하는 과정과,Transmitting an MD5-challenge message to the wireless terminal; 상기 무선 단말로부터 무선 단말에 보유된 비밀번호로 암호화된 MD5-challenge 메시지를 수신하는 과정과,Receiving an MD5-challenge message encrypted with a password retained in the wireless terminal from the wireless terminal; 상기 수신된 메시지를 상기 인증 번호 관리 테이블에 기록된 해당 무선 단말의 비밀번호로 복호화하는 과정과,Decrypting the received message with a password of the corresponding wireless terminal recorded in the authentication number management table; 상기 복호화된 MD5-challenge 메시지가 무선 단말로 송신한 메시지와 일치하는 지를 확인하는 과정과,Checking whether the decrypted MD5-challenge message matches the message sent to the wireless terminal; 상기 확인 결과, 복호화된 MD5-challenge 메시지와 송신한 메시지가 일치하면 정당한 사용자로 판단하고, 일치하지 않으면 정당한 사용자가 아닌 것으로 판단하는 과정으로 이루어지는 것을 특징으로 하는 무선 랜에서의 접근 제어 방법.If the decrypted MD5-challenge message and the transmitted message match, as a result of the check, determine that the user is a legitimate user, and if not, determine that the user is not a legitimate user. 제2항에 있어서,The method of claim 2, 상기 무선 단말의 인증 설정 정보를 변경하는 단계는, 비밀번호를 주기적으로 자동 갱신하고, 상기 갱신된 비밀번호가 무선 단말에서 사용하는 비밀번호와 다른 경우, 비밀번호 변경으로 판단하는 것을 특징으로 하는 무선 랜에서의 접근 제어 방법.In the changing of the authentication setting information of the wireless terminal, the password is periodically updated automatically, and if the updated password is different from the password used in the wireless terminal, the access in the wireless LAN, characterized in that it is determined to change the password. Control method. 제2항에 있어서,The method of claim 2, 상기 무선 단말의 인증 설정 정보 변경이 성공하면, 상기 MAC 주소 관리 테이블의 해당 무선 단말에 대한 인증 번호를 갱신하는 것을 특징으로 하는 무선 랜에서의 접근 제어 방법.And if the authentication setting information of the wireless terminal is successfully changed, the authentication number for the corresponding wireless terminal of the MAC address management table is updated. 제1항에 있어서, 상기 접속을 시도한 무선 단말로부터 가입자 정보 및 현재 사용하는 인증 번호를 수신하는 단계는, 상기 메시지 종류를 나타내는 코드와, 무선 단말의 식별자와, 해당하는 무선 단말의 식별자와, 메시지의 전체 길이값과, 인증번호가 함께 전송됨을 나타내도록 예약된 타입값과, 인증번호와 무선 단말의 가입자 정보가 실리는 데이터영역으로 이루어진 패킷을 통해 인증 번호를 수신하는 것을 특징으로 하는 무선 랜에서의 접근 제어 방법.The method of claim 1, wherein receiving the subscriber information and the currently used authentication number from the wireless terminal that attempted the connection comprises: a code indicating the message type, an identifier of the wireless terminal, an identifier of the corresponding wireless terminal, and a message. In a WLAN, characterized in that for receiving the authentication number via a packet consisting of the total length value of the, the value of the type reserved to indicate that the authentication number is transmitted, and the data area containing the authentication number and the subscriber information of the wireless terminal Access control method. 제8항에 있어서, The method of claim 8, 상기 데이터 영역중에서 타입값 다음의 1 옥테트(octet)는 인증번호 영역이고, 나머지 영역을 비밀번호 영역인 것을 특징으로 하는 무선 랜에서의 접근 제어 방법.One octet next to a type value in the data area is an authentication number area, and the remaining area is a password area. 제1항에 있어서, 상기 접속을 시도한 무선 단말로부터 가입자 정보 및 현재 사용하는 인증 번호를 수신하는 단계는, 상기 EAP-TTLS 패킷의 플래그 영역 내에서 예약된 비트(R)를 통해 패킷 내에 인증번호가 포함되어 있음을 표시하고, TTLS 데이터내에 인증번호와 비밀번호를 함께 기록한 패킷을 통해 가입자 정보 및 인증번호를 수신하는 것을 특징으로 하는 무선 랜에서의 접근 제어 방법.The method of claim 1, wherein the receiving of the subscriber information and the currently used authentication number from the wireless terminal which attempted the connection comprises: the authentication number in the packet through the reserved bit R in the flag region of the EAP-TTLS packet. And accessing the subscriber information and the authentication number through a packet including the authentication number and the password in the TTLS data. 제1항 내지 제10항 중 어느 한 항에 기재된 무선 랜에서의 접근 제어 방법을 수행하는 프로그램을 기록한 기록매체.A recording medium on which a program for executing the access control method in the wireless LAN according to any one of claims 1 to 10 is recorded.
KR1020060041697A 2006-05-09 2006-05-09 Access control method in wireless lan KR100737526B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060041697A KR100737526B1 (en) 2006-05-09 2006-05-09 Access control method in wireless lan

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060041697A KR100737526B1 (en) 2006-05-09 2006-05-09 Access control method in wireless lan

Publications (1)

Publication Number Publication Date
KR100737526B1 true KR100737526B1 (en) 2007-07-10

Family

ID=38503797

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060041697A KR100737526B1 (en) 2006-05-09 2006-05-09 Access control method in wireless lan

Country Status (1)

Country Link
KR (1) KR100737526B1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101383901B1 (en) 2012-10-26 2014-04-11 주식회사 차후 Authentication processing method for goods purchase
CN105592009A (en) * 2014-10-23 2016-05-18 阿里巴巴集团控股有限公司 Method and device for retrieving or modifying login password
KR101743195B1 (en) * 2015-04-27 2017-06-15 시아오미 아이엔씨. Method and apparatus for providing information, program and recording medium
KR101767998B1 (en) 2016-02-05 2017-08-30 주식회사 이노피아테크 System and method for configuring a wireless local area network
US10470102B2 (en) 2016-02-17 2019-11-05 Zitovault, Inc. MAC address-bound WLAN password
CN111918263A (en) * 2020-08-17 2020-11-10 宁波奥克斯电气股份有限公司 Bluetooth connection method and device and Internet of things equipment

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030095663A1 (en) 2001-11-21 2003-05-22 Nelson David B. System and method to provide enhanced security in a wireless local area network system
JP2003198557A (en) 2001-12-26 2003-07-11 Nec Corp Network, and wireless lan authenticating method to be used therefor
US20030221098A1 (en) 2002-05-22 2003-11-27 Kun-Huei Chen Method for automatically updating a network ciphering key
JP2005117488A (en) 2003-10-09 2005-04-28 Toshiba Corp Wireless lan service system and program therefor
KR20050089736A (en) * 2004-03-05 2005-09-08 한국전자통신연구원 Method for managing traffic encryption key in wireless portable internet system and protocol configuration method thereof, and operation method of traffic encryption key state machine in subscriber station
JP2005311653A (en) 2004-04-21 2005-11-04 Buffalo Inc Encryption key setting system, access point and encryption key setting method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030095663A1 (en) 2001-11-21 2003-05-22 Nelson David B. System and method to provide enhanced security in a wireless local area network system
JP2003198557A (en) 2001-12-26 2003-07-11 Nec Corp Network, and wireless lan authenticating method to be used therefor
US20030221098A1 (en) 2002-05-22 2003-11-27 Kun-Huei Chen Method for automatically updating a network ciphering key
JP2005117488A (en) 2003-10-09 2005-04-28 Toshiba Corp Wireless lan service system and program therefor
KR20050089736A (en) * 2004-03-05 2005-09-08 한국전자통신연구원 Method for managing traffic encryption key in wireless portable internet system and protocol configuration method thereof, and operation method of traffic encryption key state machine in subscriber station
JP2005311653A (en) 2004-04-21 2005-11-04 Buffalo Inc Encryption key setting system, access point and encryption key setting method

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101383901B1 (en) 2012-10-26 2014-04-11 주식회사 차후 Authentication processing method for goods purchase
CN105592009A (en) * 2014-10-23 2016-05-18 阿里巴巴集团控股有限公司 Method and device for retrieving or modifying login password
KR101743195B1 (en) * 2015-04-27 2017-06-15 시아오미 아이엔씨. Method and apparatus for providing information, program and recording medium
US9967099B2 (en) 2015-04-27 2018-05-08 Xiaomi Inc. Method and apparatus for providing information
KR101767998B1 (en) 2016-02-05 2017-08-30 주식회사 이노피아테크 System and method for configuring a wireless local area network
US10470102B2 (en) 2016-02-17 2019-11-05 Zitovault, Inc. MAC address-bound WLAN password
CN111918263A (en) * 2020-08-17 2020-11-10 宁波奥克斯电气股份有限公司 Bluetooth connection method and device and Internet of things equipment
CN111918263B (en) * 2020-08-17 2024-01-23 宁波奥克斯电气股份有限公司 Bluetooth connection method and device and Internet of things equipment

Similar Documents

Publication Publication Date Title
US8107630B2 (en) Apparatus and method for managing stations associated with WPA-PSK wireless network
US7673146B2 (en) Methods and systems of remote authentication for computer networks
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
KR100704675B1 (en) authentication method and key generating method in wireless portable internet system
JP5313200B2 (en) Key generation method and apparatus in communication system
CN103596173B (en) Wireless network authentication method, client and service end wireless network authentication device
EP1484856B1 (en) Method for distributing encryption keys in wireless lan
JP4619788B2 (en) Method for protecting identification information in WLAN interconnection
JP4509446B2 (en) Method for registering a device in a wireless network
EP1760945A2 (en) Wireless LAN security system and method
US11909869B2 (en) Communication method and related product based on key agreement and authentication
KR100707805B1 (en) Authentication system being capable of controlling authority based of user and authenticator
KR100737526B1 (en) Access control method in wireless lan
EP1779595B1 (en) Method for enrolling a user terminal in a wireless local area network
KR20150053912A (en) Method and devices for registering a client to a server
JP4536051B2 (en) Authentication system, authentication method, authentication server, wireless LAN terminal, and program for authenticating wireless LAN terminal
KR101692917B1 (en) Apparatus and method for security management of home IoT device
KR20190040443A (en) Apparatus and method for creating secure session of smart meter
US20090240939A1 (en) System and method for authentication in wireless networks by means of one-time passwords
Abdelkader et al. A novel advanced identity management scheme for seamless handoff in 4G wireless networks
KR101451163B1 (en) System and method for access authentication for wireless network
KR100631633B1 (en) Method and system for assigning address in wireless data communication system
Zhao et al. Addressing the vulnerability of the 4-way handshake of 802.11 i
KR100924315B1 (en) Authentification system of wireless-lan with enhanced security and authentifiaction method thereof
KR100580929B1 (en) Method and apparatus for authenticating user in the wireless LAN

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110630

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee