KR100864902B1 - 확장 가능 인증프로토콜을 사용하는 인증 방법, 인증시스템 및 그 프로그램이 기록된 기록매체 - Google Patents

확장 가능 인증프로토콜을 사용하는 인증 방법, 인증시스템 및 그 프로그램이 기록된 기록매체 Download PDF

Info

Publication number
KR100864902B1
KR100864902B1 KR1020070037409A KR20070037409A KR100864902B1 KR 100864902 B1 KR100864902 B1 KR 100864902B1 KR 1020070037409 A KR1020070037409 A KR 1020070037409A KR 20070037409 A KR20070037409 A KR 20070037409A KR 100864902 B1 KR100864902 B1 KR 100864902B1
Authority
KR
South Korea
Prior art keywords
eap
authentication
field
terminal
message
Prior art date
Application number
KR1020070037409A
Other languages
English (en)
Inventor
최형기
차은철
Original Assignee
성균관대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 성균관대학교산학협력단 filed Critical 성균관대학교산학협력단
Priority to KR1020070037409A priority Critical patent/KR100864902B1/ko
Application granted granted Critical
Publication of KR100864902B1 publication Critical patent/KR100864902B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • H04L1/18Automatic repetition systems, e.g. Van Duuren systems
    • H04L1/1806Go-back-N protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • H04L1/18Automatic repetition systems, e.g. Van Duuren systems
    • H04L1/1809Selective-repeat protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/28Flow control; Congestion control in relation to timing considerations
    • H04L47/283Flow control; Congestion control in relation to timing considerations in response to processing delays, e.g. caused by jitter or round trip time [RTT]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

확장 가능 인증프로토콜을 사용하는 인증 방법, 인증 시스템 및 그 프로그램이 기록된 기록매체가 개시된다. EAP 프레임워크 기반의 인증 방법은 EAP 요구/식별 메시지에 상응하는 EAP 응답메시지를 단말로부터 수신하는 경우, 단말로 제1 확인 응답을 송신하는 단계를 포함하되, 단말은 제1 확인 응답을 이용하여 재전송을 위한 RTT(Round Trip Time)를 산출한다.
본 발명에 의한 EAP 프레임워크 기반의 인증 방법 및 인증 시스템은 보다 정확한 RTT 측정을 통하여 성능이 향상된다는 장점이 있다.
EAP, 인증, HSS

Description

확장 가능 인증프로토콜을 사용하는 인증 방법, 인증 시스템 및 그 프로그램이 기록된 기록매체 {Authenticating System, Method using Extensible authentication protocol and recorded medium having a program therefore}
도 1은 종래기술의 EAP(Extensible Authentication Protocol)의 인증 모델과 인증과정을 설명하기 위한 도면.
도 2는 본 발명의 실시예에 따른 모의실험의 구성을 나타낸 도면.
도 3은 종래 기술의 인증 메커니즘의 성능을 예시한 그래프.
도 4는 본 발명의 실시예에 따른 모의실험에서 종래 기술의 EAP 인증과정의 문제점을 설명하기 위한 도면.
도 5는 본 발명의 실시예에 따라 EAP 프레임워크 기반의 인증방법에서 흐름 제어 방식으로 슬라이딩 윈도우 방식이 적용되는 경우 모의 실험결과를 예시한 도면.
도 6은 본 발명의 실시예에 따른 EAP 메시지의 포맷을 예시한 도면.
도 7은 본 발명의 실시예에 따라 EAP 프레임워크 기반의 인증 방법에서 오류 복구 방식으로 Go-Back-N ARQ 또는 Selective repeat ARQ를 모의 실험한 결과를 예시한 도면.
도 8은 종래 기술의 EAP 인증 과정에서 정확한 RTT 측정을 방해하는 요소들을 설명하기 위한 도면.
도 9는 본 발명의 실시예에 따라 RTT 산출을 설명하기 위한 도면.
본 발명은 인증 방법 및 인증 서버에 관한 것으로서, 보다 상세하게는 확장 가능 인증프로토콜을 사용하는 인증 방법 및 인증 서버에 관한 것이다.
종래 기술에 있어서 확장 가능 인증 프로토콜(Extensible Authentication Protocol, 이하 'EAP'라 칭함)에 대한 연구들은 주로 EAP를 여러 네트워크에 활용하는 것에 관련되어 있다.
예를 들어, Avesh K. Agarwal들은 IEEE 802.11 WLAN에서 사용되는 보안 메커니즘들의 성능을 측정하였다(Avesh K. Agarwal and W. Wang, "Measuring performance impact of security protocols in wireless local area networks," Proc. BROADNETS 2005, vol. 5, Oct. 3-7, 2005, pp. 581-590.참조). 이 논문에서는 IPSec과 Radius 같은 보안 프로토콜과 함께 EAP-TLS와 EAP-MD5의 성능을 측정하였는데, 최근에는 EAP를 이기종 망간의 통합을 위해 사용하기 위한 연구들이 진행되고 있다.
예를 들어, Kambourakis들은 WLAN과 3G가 통합된 네트워크에 인증을 위해 EAP에 기반하는 새로운 인증 메커니즘을 제안하고 있다(G. Kambourakis et al., "Advanced SSL/TLS-based authentication for secure WLAN-3G interworking," IEE Comm. Proc., vol. 151, Oct. 2004, pp. 501-506참조). 이 연구에서는 먼저 기존의 WLAN과 3G 네트워크 간의 통합을 위해 사용되던 EAP-AKA(Authentication and Key Agreement)의 문제점들을 소개하고 그것을 해결할 수 있는 인증 메커니즘을 제시한다. 이 메커니즘은 EAP-TLS(Transport Layer Security)의 기반으로 AKA 프로토콜을 수정하여 AKA 프로토콜에 비해 강한 보안을 제공한다.
예를 들어, Yao Zhao들 역시 WLAN과 3G 네트워크 간의 통합을 위해 EAP-AKA 대신 EAP-TLS와 EAP-TTLS(Tunneled Transport Layer Security)를 사용하는 방안을 제안했다(Y. Zhao, C. Lin and H. Yin, "Security authentication of 3G-WLAN interworking," Proc AINA 2006, vol. 2, Apr. 18-20, 2006참조).
그러나, 종래기술의 상술한 EAP의 연구는 대부분 EAP 인증의 성능 측정이나 여러 네트워크에 EAP를 적용하기 위한 주제들에 집중되었다. 따라서, EAP 자체의 성능 개선을 위한 연구는 거의 진행되지 않았다는 문제점이 있다.
상기한 바와 같은 종래의 문제점을 해결하기 위해, EAP 자체의 성능 개선을 위하여, 흐름 제어 메커니즘으로 슬라이딩 윈도우 방식을 제안하는 것이다.
또한, EAP 자체의 성능 개선을 위하여, 오류 복구 메커니즘으로 Go-Back-N ARQ와 Selective Repeat ARQ를 제안하는 것이다.
또한, EAP 자체의 성능을 개선을 통하여 성능이 향상된 EAP 프레임워크 기반의 인증 방법 및 인증 시스템을 제안하는 것이다.
또한, EAP 프레임워크 기반의 인증 방법에서 보다 정확한 RTT 측정을 위한 메커니즘을 제안하는 것이다.
본 발명의 또 다른 목적들은 이하의 실시예에 대한 설명을 통해 쉽게 이해될 수 있을 것이다.
상기한 바와 같은 목적을 달성하기 위해, 본 발명의 일 측면에 따르면 단말, 기지국, AAA(Authorization, Authentication and Accounting)서버 및 디렉토리 서버(Directory Server)-디렉토리 서버는 상기 단말의 사용자 정보를 포함하고 있음-를 포함하는 통신 시스템에서 상기 AAA서버가 EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 기지국에 무선 연결되는 단말을 인증하는 방법에 있어서, (a) EAP 요구/식별 (EAP Request/Identity) 메시지에 상응하는 EAP 응답(EAP Response/Identity)메시지-EAP 응답 메시지는 사용자 ID 정보를 포함하고 있음-를 상기 단말로부터 수신하는 경우, 상기 단말로 제1 확인 응답을 송신하는 단계; (b) 상기 EAP 응답 메시지로부터 사용자 ID를 획득하는 단계; (c) 상기 사용자 ID를 상기 디렉토리 서버로 전송하여 사용자 권한을 조회하는 단계; (d) 적법한 사용자인 경우 EAP 인증을 위한 메소드(method)를 상기 단말과 협의(nego)하는 단계; 및 (e) 상기 협의(nego)된 메소드에 따라 인증을 수행하는 단계를 포함하되, 상기 단말은 상기 제1 확인 응답을 이용하여 재전송을 위한 RTT(Round Trip Time)를 산출하는 것을 특징으로 하는 EAP 프레임워크 기반의 인증 방법이 제공된다.
상기 단말, 상기 기지국 및 상기 AAA서버간에 송수신되는 EAP 메시지는 헤더의 길이(Header Length) 필드, 코드(Code) 필드, 식별자(identifier) 필드, 제1 길이(Length) 필드, 타입(type) 필드, 제2 길이(Length)필드, 윈도우 크기(window size) 필드 및 데이터(data) 필드를 포함할 수 있다.
상기 단말, 상기 기지국 및 상기 AAA서버간에 EAP 메시지가 송수신될 때, 상기 윈도우 크기 필드를 이용하여 슬라이딩 윈도우(sliding window) 방식이 적용될 수 있다.
상기 EAP 프레임워크 기반의 오류 복구 방식으로 Go-Back-N ARQ(Go-Back-N Automatic Repeat reQuest)이 적용될 수 있다.
상기 EAP 프레임워크 기반의 오류 복구 방식으로 Selective repeat ARQ(Automatic Repeat-reQuest)이 적용되되, 상기 식별자 필드를 시퀀스(sequence) 번호로 이용할 수 있다.
상기 메소드는 EAP-MD5(EAP-Message Digest 5), EAP-TLS(Transport Layer Security), EAP-TTLS(Tunneled Transport Layer Security), EAP-PEAP(Protected Extensible Authentication Protocol) 또는 EAP-LEAP(Lightweight Extensible Authentication Protocol) 중 어느 하나 일 수 있다.
상기 헤더의 길이 필드는 상기 헤더의 길이 필드, 상기 코드 필드, 상기 식별자 필드 및 상기 제1 길이 필드의 길이의 총합에 대한 정보를 포함할 수 있다.
상기 제2 길이 필드는 상기 타입 필드, 상기 제2 길이 필드, 상기 윈도우 크기 필드 및 상기 데이터 필드의 길이의 총합에 대한 정보를 포함할 수 있다.
본 발명의 다른 측면에 의하면, EAP(Extensible Authentication Protocol) 프레임워크 기반의 인증 시스템에 있어서, 기지국으로부터 수신되는 EAP 요구/식별 메시지에 상응하여 EAP 응답(EAP-Response/Identity) 메시지-EAP 응답 메시지는 사용자 ID 정보를 포함하고 있음-를 상기 기지국으로 전송하는 단말; 상기 EAP 응답 메시지를 상기 기지국으로부터 수신하는 경우 상기 단말로 제1 확인 응답을 송신하고, 상기 EAP 응답 메시지로부터 사용자 ID를 획득하고, 디렉토리 서버(Directory Server)에 사용자 권한조회를 요청하여 적법한 사용자인 경우 EAP 인증을 위한 메소드(method)를 상기 단말과 협의하는 AAA(Authorization, Authentication and Accounting)서버를 포함하되, 상기 단말은 상기 제1 확인 응답을 이용하여 재전송을 위한 RTT(Round Trip Time)를 산출하는 것을 특징으로 하는 EAP 프레임워크 기반의 인증 시스템이 제공된다.
상기 단말, 상기 기지국 및 상기 AAA서버간에 송수신되는 EAP 메시지는 헤더의 길이(Header Length) 필드, 코드(Code) 필드, 식별자(identifier) 필드, 제1 길이(Length) 필드, 타입(type) 필드, 제2 길이(Length)필드, 윈도우 크기(window size) 필드 및 데이터(data) 필드를 포함할 수 있다.
상기 단말, 상기 기지국 및 상기 AAA서버간에 EAP 메시지가 송수신될 때, 상기 윈도우 크기 필드를 이용하여 슬라이딩 윈도우(sliding window) 방식이 적용될 수 있다.
상기 EAP 프레임워크 기반의 오류 복구 방식으로 Go-Back-N ARQ(Go-Back-N Automatic Repeat reQuest)이 적용될 수 있다.
상기 EAP 프레임워크 기반의 오류 복구 방식으로 Selective repeat ARQ(Automatic Repeat-reQuest)이 적용되되, 상기 식별자 필드를 시퀀스(sequence) 번호로 이용할 수 있다.
상기 헤더의 길이 필드는 상기 헤더의 길이 필드, 상기 코드 필드, 상기 식별자 필드 및 상기 제1 길이 필드의 길이의 총합에 대한 정보를 포함할 수 있다.
상기 제2 길이 필드는 상기 타입 필드, 상기 제2 길이 필드, 상기 윈도우 크기 필드 및 상기 데이터 필드의 길이의 총합에 대한 정보를 포함할 수 있다.
상기 메소드는 EAP-MD5(EAP-Message Digest 5), EAP-TLS(Transport Layer Security), EAP-TTLS(Tunneled Transport Layer Security), EAP-PEAP(Protected Extensible Authentication Protocol) 또는 EAP-LEAP(Lightweight Extensible Authentication Protocol) 중 어느 하나 일 수 있다.
본 발명의 다른 측면에 의하면, 단말, 기지국, AAA(Authorization, Authentication and Accounting)서버 및 디렉토리 서버(Directory Server)-디렉토리 서버는 상기 단말의 사용자 정보를 포함하고 있음-를 포함하는 통신 시스템에서 상기 AAA서버가 EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 기지국에 무선 연결되는 단말을 인증하기 위해 실행될 수 있는 명령어들의 프로그 램이 유형적으로 구현되어 있으며, 상기 AAA 서버에 의해 판독될 수 있는 프로그램을 기록한 기록 매체에 있어서, (a) EAP 요구/식별 (EAP Request/Identity) 메시지에 상응하는 EAP 응답(EAP Response/Identity)메시지-EAP 응답 메시지는 사용자 ID 정보를 포함하고 있음-를 상기 단말로부터 수신하는 경우, 상기 단말로 제1 확인 응답을 송신하는 단계; (b) 상기 EAP 응답 메시지로부터 사용자 ID를 획득하는 단계; (c) 상기 사용자 ID를 상기 디렉토리 서버로 전송하여 사용자 권한을 조회하는 단계; (d) 적법한 사용자인 경우 EAP 인증을 위한 메소드(method)를 상기 단말과 협의(nego)하는 단계; 및 (e) 상기 협의(nego)된 메소드에 따라 인증하는 단계를 수행하되, 상기 단말은 상기 제1 확인 응답을 이용하여 재전송을 위한 RTT(Round Trip Time)를 산출하는 것을 특징으로 하는 프로그램이 기록된 기록매체가 제공된다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 발명의 실시예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면 번호에 상관없이 동일한 수단에 대해서는 동일한 참조 번호를 사용하기로 한다.
이하, 본 발명의 이해와 설명의 편의를 도모하기 위하여 먼저 EAP에 대해서 간단히 설명한다.
액세스 네트워크(예를 들어, 802.11 이나 802.16)에 접근을 원하는 사용자들은 서비스 제공자로부터 허가를 받아야 한다. 이런 절차는 단말과 액세스 포인트(access point, 이하 '기지국'이라 칭함)간에 인증을 통해 이루어진다. 인증을 위해서는 AKA, TLS 그리고 TTLS와 같은 다양한 인증 메커니즘들이 사용될 수 있다. EAP는 이러한 인증 메커니즘들의 사용을 지원하기 위한 프레임워크를 제공한다. 즉, EAP에서는 인증에 필요한 메시지 형식과 메시지 교환 방식만을 정의하고, 실제 인증은 EAP에 캡슐화 되어 있는 인증 메커니즘(예를 들어, AKA, TLS, TTLS)에 의해 수행된다.
여기서, EAP에 사용되는 다양한 인증 메커니즘(예를 들어, AKA, TLS, TTLS)은 당업자에게 공지된 기술이므로 본 명세서에서 상세한 설명은 생략한다. 다만, 본 발명의 이해와 설명의 편의를 도모하기 위하여 이하 도 1을 참조하여 종래 기술의 EAP 인증과정에 대해서 간략히 설명한다.
도 1은 종래기술의 EAP(Extensible Authentication Protocol)의 인증 모델과 인증과정을 설명하기 위한 도면이다.
본 발명의 실시예에 따른 EAP 프레임워크 기반의 인증 시스템은 단말(peer)(101), 기지국(Access point)(102), 권한, 인증, 어카운팅 서버(Authorization, Authentication and Accounting, 이하 'AAA서버'라 칭함)(103) 및 HSS(Home Subscriber Server)(104)를 포함할 수 있다.
본 발명의 실시예에 따르면, 단말(101)과 기지국(102)은 802,3, 802.11, 802. 16 또는 무선랜 프로토콜에 의하여 연결될 수 있다. 그리고, 기지국(102)과 AAA서버(103)는 인터넷 또는 방문망(visited internet) 등으로 연결될 수 있으며, 다이아미터(diameter) 프로토콜 또는 라디우스(Radius) 프로토콜이 이용될 수 있다. 또한 AAA서버(103)와 HSS(104)는 홈 네트워크로 연결될 수 있다.
또한, 도 1에는 사용자의 정보를 저장하고 있는 디렉토리 서버(directory server)의 일례로서 3G의 HSS(Home Subscriber Server)를 예시하나, 이에 한정되지 아니함은 당업자에게 자명하다.
다시 도 1을 참조하면, 단계 S111에서 기지국(102)은 단말(101)의 접속사실 을 감지하거나, 단말(101)의 인증이 필요로 되는 시점에서 단말(101)로 EAP 요구/식별 메시지(EAP Request/Identity)메시지를 전송한다.
이어서, 단계 S121에서 단말(101)은 EAP 요구/식별 메시지(EAP Request/Identity)메시지에 따른 EAP 응답/식별 메시지(EAP Response/Identity)메시지를 생성하여 기지국(102)으로 전송하며, AAA서버(103)에 전송된다.
여기서, EAP 응답/식별 메시지는 단말(101)의 사용자 식별정보(Identity, 이하 'ID'라 칭함)를 포함할 수 있다. 그리고, 도 1의 실시예에서 기지국(102)은 프록시 서버(Proxy server)역할을 하는 것으로 설명한다.
이어서, 단계 S123에서 AAA서버(103)는 기지국(102)을 통하여 단말(101)로부터 수신한 EAP 응답/식별 메시지로부터 사용자 ID 정보를 획득한다. 그리고 사용자 ID를 이용하여 HSS(104)에 사용자 권한 정보를 요청한다.
이어서, 단계 S131에서 HSS(104)는 미리 저장된 데이터 베이스에서 사용자 ID를 검색하여 추출된 사용자 권한 정보를 AAA서버(103)로 전송할 수 있다.
이어서, 단계 S132에서 AAA서버(103)는 HSS(104)로부터 수신한 사용자 권한 정보를 이용하여 적법한 사용자인지를 판단하고, 적법한 사용자인 경우 EAP 인증을 위한 메소드(Method)를 협의하기 위하여 EAP 요구/메소드 메시지를 기지국(102)을 통하여 단말(101)로 전송한다(단계 S133).
이어서, 단계 S132 내지 단계 S142에서 단말(101)과 AAA서버(103)간에 메소드가 협의(nego)된다.
여기서, 메소드는 EAP 프로토콜의 상위 계층으로서, 여러 인증 메커니즘이 있다. 대표적으로 EAP-MD5(EAP-Message Digest 5), EAP-TLS(Transport Layer Security), EAP-TTLS(Tunneled Transport Layer Security), EAP-PEAP(Protected Extensible Authentication Protocol) 또는 EAP-LEAP(Lightweight Extensible Authentication Protocol) 등이 있다.
상술한 메소드는 본 발명의 출원시 당업자에게 공지된 기술이므로, 본 발명의 요지를 명확하게 하기 위하여 본 명세서에서 상세한 설명은 생략한다.
이어서, EAP 프레임워크 기반의 인증이 이뤄지며 그 결과에 따라, 단계 151 내지 단계 152에서 EAP 인증 성공 또는 실패 메시지가 AAA서버(103)에서 단말(101)로 전송된다.
지금까지 도 1을 참조하여 종래 기술의 EAP 인증과정에 대해서 간략히 설명하였다.
이하, 도 2의 본 발명의 실시예에 따른 모의실험을 참조하여, 종래기술의 EAP 인증과정의 문제점을 살펴보고, 본 발명의 실시예에 따른 EAP 프레임워크기 기반의 인증 방법 및 시스템에 대하여 추가적인 도면을 참조하여 각각 설명한다.
EAP는 하위 계층과 상위 계층의 인증 메커니즘이 독립적으로 동작한다. 따라서, 다양한 종류의 엑세스 네트워크와 인증 메커니즘을 지원할 수 있는 유연성이 뛰어나다. 또한, 새로운 인증 메커니즘이 추가되거나 기존의 메카니즘이 수정되어도 EAP를 수정없이 사용할 수 있는 확장성이 뛰어나다.
반면, EAP는 하위 계층의 전송에 대한 신뢰성을 가정하지 않고 있다.
예를 들어, 데이타링크 레이어(Data link layer)에서 EAP 메시지의 신뢰성이 보장이 안 될 수가 있는데, 이 경우에 EAP 메시지의 신뢰성 있는 전송은 EAP에서 보장해야만 한다. 이를 위해 EAP에서 자체적으로 신뢰성 보장에 필요한 흐름 제어 메커니즘, 에러복구 및 재전송 메커니즘 등을 지원해야 하는데 RFC 에서는 자세히 명시되어 있지 않다.
보다 상세하게는, [EAP RFC]에 따르면 EAP 에서는 Stop-and-wait 방식과 유사한 흐름 제어와 에러 복구를 수행한다. 즉, 기지국(102)는 인증에 필요한 요청 메시지를 보내고, 그에 따른 요청 메시지의 응답을 받을 때까지 다른 메시지를 보내지 못한다. 만약 EAP 메시지가 유실이 되면 송신측 EAP는 재전송 타이머로 메시지의 유실을 인지하고 해당 메시지를 재전송 하게 된다.
이하, 도 2에서 모의실험을 참조하여 흐름 제어 메커니즘, 에러 복구 및 재전송 메커니즘에 대해서 상세히 설명한다.
도 2는 본 발명의 실시예에 따른 모의실험의 구성을 나타낸 도면이다.
본 발명의 실시예에 따른 모의 실험은 ns-2이다. 모의 실험을 위해 선택된 네트워크(access network)는 802.16이다. 802.16은 PKM(Privacy Key Management)이라는 인증 프로토콜을 제공하며 PKM의 새로운 버전인 PKMv2에서 EAP를 사용하는 인증과정이 추가 되었다.
따라서, 본 발명의 실시예에 따른 모의 실험에서는 PKMv2의 EAP 인증을 시뮬레이션 하기 위해 NIST(National Institute of Standards and Technology)에서 개 발한 Wimax ns-2 모듈을 하였고, 추가적으로 802.16 표준에서 정의하고 있는 EAP 인증 과정을 추가하였다.
도 2를 참조하면, 본 발명의 실시예에 따른 모의실험은 100개의 단말(201, 202, 203 내지 204), 기지국(211), 내부 네트워크(212) 및 AAA서버(213)를 포함한다.
여기서, 단말(예를 들어 201)은 이동통신 단말일 수 있다. 이 경우 기지국(211)은 BS(Base station) 및 MSC(Mobile Station Controller)를 포함하여, 단말(예를 들어 201) 및 내부 네트워크(212)를 통하여 AAA 서버(2123)의 연결을 설정할 수 있다.
단말(예를 들어, 201)로부터 접속 요청을 받으면, 기지국(211)은 인증을 시작하며 단말(예를 들어, 201)와 AAA서버(213)사이에 인증 메시지가 교환된다. 기지국(211)과 AAA서버(213) 사이는 1.5 Mbps의 대역폭 10ms의 지연을 가지는 두 개의 링크를 통해 연결되고, 전송 프로토콜로는 TCP가 사용되며, AAA 프로토콜로는 Diameter를 사용하는 것으로 하여 모의실험을 수행한다. 여기서, Diameter는 TCP와 EAP사이(즉, 기지국(211)과 AAA서버(213)사이)에서 메시지를 전달하는 역할을 한다.
본 발명의 실시예에 따른 모의실험에서는 하기의 표1의 파라메터를 이용하여 모의실험을 수행하고, 802.16 네트워크에서 EAP 인증에 걸리는 시간을 측정한다.
표 1. 시뮬레이션 파라메터
Parameter Value
802.16 PHY mode OFDM
802.16 Duplex mode TDD
802.16 MAC Frame duration 0.004 s
The number of mobile station 100
EAP MTU 1020 byte
표 1을 참조하면, 802.16에서 제공되는 물리 계층 모드 중 OFDM TDD 모드가 사용되며, MAC 프레임의 길이는 4ms로 가정한다. EAP의 최대전송단위(Maximum Transmission Unit, 이하 'MTU'라 칭함)의 크기는 EAP 표준에서 지정하는 최소 MTU 크기인 1020 바이트로 가정한다.
여기서, 본 발명의 실시예에 따른 모의실험의 결과에 영향을 미치는 요소는 크게 두 가지로 볼 수 있다.
첫 번째는 인증 요청을 시도하는 단말(예를 들어, 201)의 개수이다. 802.16은 대역폭 요청 및 할당(request-grant)에 기반한 MAC을 사용하여 상향링크 대역폭을 관리한다. 단말(예를 들어, 201)이 인증 메시지를 보내기 위해서는 충분한 대역폭을 기지국(211)으로부터 할당 받아야 한다. 대역폭을 할당 받기 위해 단말(예를 들어, 201)은 한정된 대역폭 요청 슬롯에 대역폭 요청 메시지를 실어 보내야 한다. 동시에 여러 단말이 대역폭 요청 메시지를 보내려고 시도할 때 경쟁(contention)이 발생하므로, 802.16 표준에서는 여러 가지 물리 계층 모드마다 다른 경쟁 처리 방식을 정의하고 있다.
본 발명의 실시예에 따른 모의실험에서 사용되는 OFDM PHY 모드에서는 slotted aloha 방식으로 경쟁을 처리한다.
두 번째는 인증 메시지의 개수와 크기이다. 일반적으로 EAP-AKA의 경우 전체 인증에 교환되는 메시지는 6개로 인증을 위해 2 RTT(Round Trip Time)가 필요하며 EAP-TLS의 경우 5 RTT가 필요하다. TTLS의 경우 12개의 메시지를 교환하며 6 RTT가 소요된다.
지금까지, 본 발명의 실시예에 대한 모의실험의 구성을 도 2를 참조하여 설명하였다. 이하 도3 내지 도 9를 참조하여 종래 기술의 EAP 인증 방법의 문제점 및 본 발명의 실시예에 따른 인증 방법에 대해서 상세히 설명한다.
도 3은 종래 기술의 인증 메커니즘의 성능을 예시한 그래프이다.
도 3을 참조하면, 본 발명의 실시예에 따른 모의실험(도 2참조)에서 종래 기술의 EAP-AKA(310), EAP-TLS(320) 그리고 EAP-TTLS(330)의 성능을 예시한 그래프(300)가 예시되어 있다.
도 3의 그래프(300)는 단말들(예를 들어, 201 내지 204)이 발생시키는 인증 요청 수에 따른 인증 시간을 보여준다. 인증 시간에 가장 크게 영향을 미치는 요인은 인증 요청을 시도하는 단말의 수와 인증 메시지의 크기와 개수이다. 인증 요청을 시도하는 단말의 수는 802.16 MAC에서의 경쟁으로 인한 지연과 밀접한 연관이 있으며, 인증 메시지의 크기와 개수는 네트워크에서의 전송 지연을 초래한다.
도 3의 그래프(300)를 참조하면, 경쟁으로 인한 지연은 인증 요청 수가 12 auth/min(340) 이상에서 나타나며 인증 요청 수가 증가함에 따라 인증 시간이 증가하는 것을 확인할 수 있다. 반면에 인증 메커니즘 간에 존재하는 인증 시간의 차이는 교환되는 메시지의 수 때문에 발생한다. 상기에서 상술한 바와 같이, EAP-AKA, EAP-TLS 그리고 EAP-TTLS는 각각 인증에 2 RTT, 5 RTT 그리고 6 RTT가 소요된다. 분당 인증 시도의 수가 12에 미치지 못할 경우, 즉 단말간의 경쟁에 의한 영향이 적을 경우 인증 시간은 필요한 RTT에 비례하는 것을 볼 수 있으며 1 RTT는 약 50ms라는 것을 예측할 수 있다.
지금까지 도 3을 참조하여, 본 발명의 실시예에 따른 모의실험에서 종래 기술의 EAP-AKA(310), EAP-TLS(320) 그리고 EAP-TTLS(330)의 성능을 간단히 설명하였다.
이하, 도 4를 참조하여, 종래기술의 EAP 인증과정의 문제점을 설명하고, 이를 극복하기 위한 본 발명의 실시예에 따른 인증 방법 및 시스템을 도 5 및 도 6을 참조하여 상세히 설명한다.
도 4는 본 발명의 실시예에 따른 모의실험에서 종래 기술의 EAP 인증과정의 문제점을 설명하기 위한 도면이다.
일반적으로, EAP는 Stop-and-Wait 방식으로 흐름제어를 수행한다. 즉, 대부분의 인증 메소드들은 상대편으로부터 메시지를 받고 처리한 후에 비로소 전송할 메시지를 발생시킨다. 그러므로 확인 응답을 받기 전에 하나의 메시지만을 보낼 수 있는 Stop-and-wait 방식의 흐름 제어를 사용해도 큰 문제가 없다.
그러나, 종래 기술의 인증 메소드들은, 전송되는 메시지들이 EAP MTU를 초과하여 메시지가 단편화(fragmentation) 되면서 문제가 발생한다. 보다 상세하게는, 종래 기술의 EAP는 메시지가 단편화되는 경우, 데이터가 없는 EAP-Request 혹은 EAP-Response 메시지를 확인 응답으로 사용하여 모든 단편화된 메시지를 Stop-and- wait 방식으로 전송한다는 문제점이 있다. 모든 단편화된 메시지를 Stop-and-wait 방식으로 보낼 경우 단편화된 수만큼의 RTT(Round Trip Time)가 인증에 걸리는 시간에 추가될 수 있다.
따라서, 종래 기술의 EAP-AKA와 같은 인증 메소드들은 단편화를 피하기 위해 항상 EAP MTU 보다 작은 메시지를 전송하도록 권고하고 있다. 그러나 인증서 기반의 인증 메소드들을 사용할 경우에 단편화를 피하는 것은 어렵다. 예를 들어 TLS에서 인증서 메시지(TLS certificate message)는 이론상 16M 바이트까지 길어질 수 있다. TLS 표준은 최소 MTU를 1020 바이트로 규정하고 있으므로 최악의 경우 인증에 걸리는 시간은 16000 RTT 이상이 소요된다는 문제점이 있다.
상술한 문제점을 확인하기 위하여, 본 발명의 실시예에 따른 모의실험(도2 참조) 에서, EAP-TLS의 메시지 중 서버 측의 인증서(Server certificate) 메시지의 크기를 변화하면서 모의실험을 수행하여 그 결과를 도 4에 도시하였다.
도 4를 참조하면, TLS 서버 인증서 메시지의 크기에 따른 인증 시간의 변화가 예시되어 있다. 표 1 에서 상술한 바와 같이, EAP MTU의 크기는 1020 바이트로 가정한다. 따라서, 1020 바이트보다 큰 메시지는 단편화 된다. 여기서, 메시지가 단편화 될 경우, 단편화되는 메시지 수만큼의 RTT가 인증 시간에 추가된다. 따라서, 도 4의 그래프에 예시된 바와 같이, EAP-TLS 인증 시간은 인증서 크기가 증가함에 따라 계속적으로 증가한다. 인증서의 크기가 1020 바이트 일 때 EAP-TLS의 인증 시간은 EAP-AKA에 비해 40% 높지만 인증서의 크기가 8160 바이트로 증가하면서 EAP-TLS는 인증을 마치기 위해 EAP-AKA의 약 4.8배의 시간을 소요한다.
따라서, 종래 기술의 EAP 인증 방법에서 흐름 제어 방식으로 사용되는 Stop-and-Wait 방식은 많은 데이터를 전송하는 경우 명백히 비효율적이다.
본 발명의 실시예에 따른 EAP 프레임워크 기반의 인증 방법에서는 흐름 제어 방식으로 슬라이딩 윈도우 (sliding window)를 사용한다. 이 점에 대해서 이하 도 5 및 도 6을 참조하여 상세히 설명한다.
도 5는 본 발명의 실시예에 따라 EAP 프레임워크 기반의 인증방법에서 흐름 제어 방식으로 슬라이딩 윈도우 방식이 적용되는 경우 모의 실험결과를 예시한 도면이다.
여기서, 슬라이딩 윈도우 방식은 본 명세서의 출원시 당업자에게 공지된 기술이므로, 본 발명의 요지를 명확하게 하기 위하여 상세한 설명은 생략한다.
본 발명의 실시예에 따라, 흐름 제어 방식으로 Stop-and-Wait 대신 슬라이딩 윈도우 방식을 사용하면 송신 측은 보낸 메시지에 대한 확인 응답을 받기 전에 미리 정해진 윈도우 크기와 같은 수의 메시지를 보낼 수 있다. 모의 실험에서 슬라이딩 윈도우의 윈도우 크기는 7로 가정하고, 서버 인증서 메시지의 크기를 증가시키며 반복적으로 수행한다.
도 5를 참조하면, 인증서 메시지 크기가 EAP MTU 크기(1020 바이트) 보다 크지 않을 때는 슬라이딩 윈도우를 적용하기 전과 적용한 후는 크게 차이가 없다(501 참조). 보다 상세하게는, 인증서 메시지가 1020 바이트일 경우, 즉 단편화가 발생하지 않을 경우 슬라이딩 윈도우의 적용에 상관 없이 인증 시간은 252ms가 소요된 다. 그러나 인증서 메시지 크기가 1020 바이트를 초과하여 단편화가 발생하기 시작하면서 성능의 차이는 뚜렷하게 나타난다.
예를 들어, 모의 실험결과 인증서의 메시지가 2040 바이트로 증가할 경우 슬라이딩 윈도우를 적용하면 28%의 성능 증가한다(502 참조).
예를 들어, 인증서가 메시지가 8160 바이트일 경우 성능의 증가가 53%가 증가한다(503참조).
지금까지 도 5를 참조하여 본 발명의 실시예에 따라 EAP 프레임워크 기반의 인증 방법에서 흐름 제어 방식으로 슬라이딩 윈도우 방식을 적용한 경우의 성능에 대해서 설명하였다.
이하, 도 6을 참조하여 본 발명의 실시예에 따라 EAP 프레임워크 기반의 인증 방법에서 흐름 제어 방식으로 슬라이딩 윈도우 방식을 적용하기 위해 필요한 메시지의 포맷에 대해서 설명한다.
도 6은 본 발명의 실시예에 따른 EAP 메시지의 포맷을 예시한 도면이다.
본 발명의 실시예에 따라 EAP 프레임워크 기반의 인증 방법에 슬라이딩 윈도우를 적용하기 위해서는 프로토콜에 몇 가지 수정이 필요하다. 우선송신 측과 수신 측 모두에 최대 윈도 크기만큼의 버퍼가 필요하다. 왜냐하면, 일반적으로 EAP 위(즉, 계층적 구조에서 상위 레이어)에서 동작하는 대부분의 인증 메커니즘들은 상대편으로부터 메시지를 받기 전에는 전송할 메시지를 발생하지 않는다. 따라서, 메시지가 단편화 되지 않으면 항상 한 번에 한 개의 메시지만을 전송한다. 그러므로 슬라이딩 윈도우의 적용은 단편화하는 경우에만 유효하며, 역시 단편화와 재조합(reassembly)을 위한 버퍼가 미리 지정되어 있어야 한다. 슬라이딩 윈도우를 사용하기 위해서는 수신 측이 현재 버퍼 정보를 송신 측에 알리는 것이 필요하므로 윈도우 크기(window size) 필드를 헤더에 추가하는 것 역시 필요하다.
도 6을 참조하면, 본 발명의 실시예에 따른 EAP 프레임워크 기반의 인증 방법에서 사용되는 메시지의 포맷은 헤더의 길이(Header Length) 필드(601), 코드(Code) 필드(602), 식별자(identifier) 필드(603), 제1 길이(Length) 필드(604), 타입(type) 필드(605), 제2 길이(Length)필드(606), 윈도우 크기(window size) 필드(607) 및 데이터(data) 필드(608)를 포함할 수 있다.
이하, 본 발명의 요지를 명확하게 하기 위하여, 종래 EAP 메시지 포맷의 구성요소와 동일한 기능을 수행하는 필드에 대해서는 상세한 설명을 생략한다.
헤더의 길이 필드(601)는 헤더의 길이 필드(601), 코드 필드(602), 식별자 필드(603) 및 제1 길이 필드(604)의 길이의 총합을 나타낼 수 있다.
코드 필드(602)는 EAP 패킷의 종류를 나타내며, 요청(Request), 응답(Response), 성공(Success) 및 실패(Failutre) 중 어느 하나를 포함할 수 있다. 종래 기술의 코드 필드는 일반적으로 1바이트이나, 실질적으로 나타내는 정보는 상술한 4가지이다. 따라서 본 발명의 실시예에서는 종래 기술의 코드 필드에서 사용되지 않는 4비트를 이용하여 상술한 헤더의 길이 필드(601)로 이용한다.
식별자 필드(603)은 요청 메시지와 응답 메시지를 대응시키는 기능을 하며, 제1 길이 필드(604)는 EAP 메시지의 총 길이에 대한 정보를 포함한다. 타입 필 드(605)는 요청 메시지와 응답 메시지의 속성을 결정하는 기능을 한다.
본 발명의 실시예에 따른 제2 길이 필드(606)는 타입 필드 (605), 제2 길이필드(606), 윈도우 크기 필드(607) 및 데이터 필드(608)의 총 길이에 대한 정보를 포함할 수 있다.
윈도우 크기 필드(607)는 본 발명의 실시예에 따라 EAP 프레임워크 기반의 인증 방법에서 슬라이딩 윈도우 방식을 사용하기 위해서, 수신 측이 송신 측에 알리는 현재 버퍼의 정보를 포함할 수 있다.
여기서, 도 6에는 윈도우 크기 필드(607)가 2바이트로 예시되어 있으나, 본 발명의 실시예에 따른 EAP 프레임워크 기반의 인증 방법이 적용되는 환경에 따라 다양하게 수정 변경될 수 있다.
예를 들어, 윈도우 크기는 2^m - 1(m은 시퀀스 번호의 비트 수)와 같거나 작아야 하므로, 윈도우 크기 필드의 크기는 일반적인 EAP 메시지 포맷의 시퀀스 번호(603)로 사용되는 식별자 필드의 크기인 8비트로 충분할 수 있다.
지금까지, 도 6을 참조하여 본 발명의 실시예에 따라 EAP 프레임워크 기반의 인증 방법에 흐름 제어 방식으로 슬라이딩 윈도우 방식을 적용하기 위한 메시지 포맷에 대해서 상세히 설명하였다.
이하, 도 7을 참조하여 본 발명의 실시예에 따라 EAP 프레임워크 기반의 인증 방법에서 사용되는 오류 복구 메커니즘에 대해서 설명한다.
일반적으로 EAP는 하위 계층(즉, 계층적 구조에서 하위 레이어)이 신뢰성 있 는 전송을 지원하지 않는다고 가정하기 때문에 자체적으로 오류 복구 메커니즘을 지원해야 한다. 종래 기술의 EAP는 Stop-and-wait ARQ 기반의 오류 복구를 사용하고 있다. Stop-and-Wait ARQ 오류 복구 방식은 Stop-and-Wait 흐름제어에 기반한다. 따라서, 본 발명의 실시예에 따라 흐름 제어 방식으로서 슬라이딩 윈도우를 사용하기 위해서는, 오류 복구 방식이 역시 수정되어야 한다.
따라서, 본 발명의 실시예에서는 에러 복구 방식으로써 Go-Back-N ARQ와 Selective repeat ARQ를 사용할 수 있다.
Go-Back-N ARQ(Go-Back-N Automatic Repeat-reQuest)와 Selective repeat ARQ(Automatic Repeat-reQuest)는 슬라이딩 윈도우를 사용하는 오류 복구 방식으로써 확인 응답을 받기 전에 윈도우 크기만큼 메시지를 보낼 수 있고 확인 응답을 통해 메시지가 제대로 전송되었는지 확인한다.
두 오류 복구 방식은 오류가 발생한 메시지의 처리에서 차이를 보인다. 만약 N번째 메시지에 오류가 발생할 경우 Go-Back-N ARQ의 경우 현재 (N + 3)번째 메시지를 보내고 있어도 N번째 메시지부터 다시 보내야 한다. 반면에 같은 상황에서 Selective repeat ARQ를 사용할 경우에는 N번째 메시지만을 재전송하면 된다
이하, 본 발명의 실시예에 따라 EAP 프레임워크 기반의 인증 방법에서 오류 복구 방식으로 Go-Back-N ARQ 또는 Selective repeat ARQ를 모의 실험한 결과를 도 7을 참조하여 설명한다. 보다 상세하게는, 오류 복구 메커니즘의 변경으로 인한 변화를 살펴보기 위해 기지국(211)과 단말(201 내지 204) 사이의 링크에서 에러를 발 생시키면서 3개의 오류 복구 메커니즘을 비교한 결과이다.
도 2의 모의 실험에서 기지국(211)과 AAA서버(213) 사이에서는 TCP가 신뢰성 있는 전송을 보장하는 것으로 가정한다. 그러나 기지국(211)과 단말(201내지 204) 사이에서는 오류가 발생할 수 있다. 일반적으로 802.16 표준은 신뢰성 있는 전송을 위한 ARQ 메커니즘을 제공하지만 모든 연결에 대해 제공하지 않고 선택적으로 ARQ 메커니즘을 제공하기 때문이다. 따라서, 802.16 링크에서 오류가 발생할 경우 오류 복구는 전적으로 EAP에 의존해야 한다.
도 7을 참조하면, 에러 발생시 오류 복구 메커니즘에 따른 EAP 성능의 변화가 예시되어 있다. 여기서, 서버의 인증서 메시지의 크기는 8160 바이트, 윈도우 크기는 7로 고정하여 모의 실험을 하였다.
도 7의 그래프에 예시된 바와 같이, 종래 기술의 Stop-And-Wait 방식의 흐름 제어와 오류 복구를 사용하는 경우 FER 값에 상관 없이 가장 좋지 않은 성능을 보였다(701 참조). 본 발명의 실시예에 따라 EAP 프레임워크 기반의 인증 방법에서 슬라이딩 윈도우를 사용하는 두 개의 오류복구 메커니즘은 FER이 1% 이하일 때는 거의 같은 성능을 보인다(710 참조). 그러나 FER이 높아짐에 따라 성능의 차이가 발생한다. 두 오류복구 메커니즘을 적용했을 때의 성능차이는 FER가 높아질수록 커진다. FER이 3%일 때 Selective Repeat ARQ은 Stop and Wait에 비해 6% 성능 증가를 보이지만(720 참조) FER가 7%로 높아지면 두 메커니즘 사이의 성능차는 23%로 높아진다(730 참조).
본 발명의 실시예에 따라 오류 복구 메커니즘으로 Go-Back-N ARQ(703)이 사 용되는 경우에는 ACK를 받지 못한 메시지의 재전송 처리 이외에는 슬라이딩 윈도우와 구현에 있어서 크게 차이점이 없다.
그러나, 본 발명의 다른 실시예에 따라 오류 복구 메커니즘으로 Selective repeat ARQ(702)를 적용 할 경우에는 한 가지 문제가 발생한다. 그 문제는 Selective repeat ARQ의 경우 오류가 난 메시지만을 따로 전송하기 때문에 메시지의 순서가 바뀔 수 있다는 것이다.
일반적으로 EAP는 메시지의 순서가 바뀌지 않도록 보장하는 것은 전적으로 하위 계층에 의존하고 있다. 그러므로 본 발명의 실시예에 따라 Selective Repeat ARQ(702)을 EAP에 적용하기 위해서는 순서가 바뀐 메시지를 재정렬 하는 것이 가능하도록 구현해야 한다. 따라서, 본 발명의 실시예에 따르면, 도 6에 예시된 EAP 메시지에서 식별자 필드(603)에 저장된 정보를 시퀀스 번호로 사용하여 상술한 문제점을 해결할 수 있다.
지금까지, 도 7을 참조하여, 본 발명의 실시예에 따라 EAP 프레임워크 기반의 인증 방법에서 오류 복구 메커니즘으로 Go-Back-N ARQ(703) 또는 Selective Repeat ARQ(702)가 적용되는 경우를 설명하였다.
이하, 도 9를 참조하여 본 발명의 실시예에 따라 EAP 프레임워크 기반의 인증 방법에서 사용되는 재전송 방식에 대해서 설명한다.
일반적으로 EAP의 재전송 메커니즘은 재전송 타이머 값을 동적으로 추정하도록 권고하고 있으며 동적 추정을 위한 알고리즘은 TCP의 재전송 타이머를 계산하는 알고리즘을 그대로 사용한다. 여기서, 재전송 타이머 값을 정확하게 추정하기 위해서는 RTT를 오차 없이 측정하는 것이 중요하다.
그러나 EAP 인증 과정에서 정확한 RTT 측정을 방해하는 요소들이 있다.
도 8은 종래 기술의 EAP 인증 과정에서 정확한 RTT 측정을 방해하는 요소들을 설명하기 위한 도면이다.
먼저, 도 8의 (a)을 참조하면, AAA서버(213)가 단말(201 내지 204)로부터 EAP 응답/식별 (EAP Response/Identity) 메시지를 받은 후에 사용자의 정보와 비밀 정보(credential)을 얻기 위해 다른 네트워크 개체에 접속하는 경우를 예시한 도면이다.
예를 들어, 3G에서는 AAA서버(213)가 인증을 위한 사용자의 정보를 홈 네트워크에 있는 HSS(도 1의 104참조)에서 얻어온다. 이 경우 사용자 정보를 얻기 위해 HSS(104)와 메시지를 주고 받는 시간만큼 RTT 측정에 오차가 발생한다.
도 8의 (b)를 참조하면, 정확한 RTT 측정을 방해하는 요소는 사용자의 단말(201 내지 204)에서의 입력이다. EAP가 지원하는 인증 메소드 중에는 CHAP(challenge handshake authentication protocol)과 같이 인증을 위해 사용자의 입력이 필요한 경우가 있다. 이 때 측정된 RTT는 네트워크 특성보다는 사용자의 응답시간에 의해 결정되므로 실제 RTT와는 오차가 있게 된다. 수집되는 RTT 샘플의 수가 많을 경우에는 이 오차들은 전체 성능에 크게 영향을 끼치지 않지만, 수집되는 RTT 샘플의 수가 적을 경우에는 실제 RTT와는 오차가 크게 된다.
일반적으로 인증을 위해 교환되는 메시지의 수는 많지 않다. 특히 앞에서 측 정된 RTT 값에 더 높은 가중치를 두어 계산하는 재전송 타이머 추정 알고리즘의 특징 때문에 인증 초기에 전송되는 EAP 요구/식별 (EAP Request/Identity) 메시지로 인한 오차는 인증 과정 전체에 영향을 미칠 수 있다.
이하, 도 9를 참조하여 상술한 문제점을 해결하기 위한 본 발명의 실시예를 설명한다.
본 발명의 실시예에 따른 EAP 프레임워크 기반의 인증 방법에서는 상술한 문제점을 해결하기 위해서, AAA서버(213)가 단말(201 내지 204)로부터 EAP 응답/식별 (EAP Request/Identity)메시지를 받은 직후에 추가적인 확인 응답을 보내는 방법을 사용한다. 그리고, 단말(201 내지 204)는 추가적인 확인 응답을 기지국(211)을 통하여 수신하여 RTT를 측정하고, 후에 전송되는 실제 응답 메시지를 받는 시간은 무시된다.
본 발명의 실시예에 따라, 상술한 추가적인 확인 응답에 의한 RTT를 산출하기 위해서는 도 2의 모의 실험 환경을 몇 가지 변경하였다.
먼저 EAP-TLS의 메시지 크기를 수정해 단말(201 내지 204)에서 10개의 메시지를 전송하는 것으로 가정한다. 그리고 10개의 메시지 각각에 대해 동적 추정 알고리즘에 의해 계산된 Smoothed RTT 값을 산출한다. 그리고, AAA서버(213)가 단말(201 내지 204)에게 보내는 EAP 응답/식별 (EAP Response/Identity) 메시지의 전송을 임의로 10ms 지연되는 환경을 추가적으로 가정하고, 10개의 Smoothed RTT 값을 산출한다.
본 발명의 실시예에 따르면, AAA서버(213)가 단말(201 내지 204)로부터 EAP 응답/식별 메시지를 받는 즉시 추가적인 확인 응답을 보낸다. 그리고 단말(201 내지 204)는 확인 응답을 받은 시간을 이용해 RTT 값을 추정하며, 동일하게 10개의 SRTT 값을 산출한다.
도 9는 본 발명의 실시예에 따라 RTT 산출을 설명하기 위한 도면이다.
도 9을 참조하면, 왜곡된 SRTT(902)는 EAP 응답/식별 메시지(예를 들어, 도 1의 S121단계)에 대한 확인 메시지(예를 들어, 도 1의 S133단계) 전송의 지연으로 인하여 정상 SRTT(901)와 차이가 크다. 그러나, 본 발명의 실시예에 따라 추가적인 확인 응답을 이용하여 산출된 SRTT(903)는 정상 SRTT(901)와 차이가 비교적 작음을 알 수 있다.
여기서, RTT 샘플의 수가 증가함에 따라 오차가 발생한 왜곡된 SRTT(skewed SRTT)(902)는 오차가 발생하지 않은 정상 SRTT(normal SRTT)(901)에 근접해 가지만 상당수의 샘플을 얻기 전에는 정확한 SRTT를 계산할 수 없다.
반면에 본 발명의 실시예에 따라 추가적인 확인 응답을 이용하여 산출된 SRTT(903)는 메시지의 전송이 지연 되는 것에 상관없이 정상 SRTT(901)에 근접한다.
본 발명의 실시예에 따른 EAP 프레임워크 기반의 인증 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데 이터 구조등을 단독으로 또는 조합하여 포함할 수 있다.
컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 또한 상술한 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
또한, 상술한 컴퓨터는 그 명칭에 한정되지 아니하며, 프로그램 형태의 언어를 처리하는 단말 또는 장치 등을 포함하는 개념일 수 있다.
상기한 본 발명의 실시예는 예시의 목적을 위해 개시된 것이고, 본 발명에 대해 통상의 지식을 가진 당업자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경, 부가가 가능할 것이며, 이러한 수정, 변경 및 부가는 하기의 특허청구범위에 속하는 것으로 보아야 할 것이다.
이상에서 설명한 바와 같이, 본 발명에 의한 EAP 프레임워크 기반의 인증 방법 및 인증 시스템은 흐름 제어 메커니즘으로 슬라이딩 윈도우 방식을 사용하고, 오류 복구 메커니즘으로 Go-Back-N ARQ와 Selective Repeat ARQ을 사용하여, 성능이 향상된다는 장점이 있다.
또한, 본 발명에 의한 EAP 프레임워크 기반의 인증 방법 및 인증 시스템은 보다 정확한 RTT 측정을 통하여 성능이 향상된다는 장점이 있다.

Claims (17)

  1. 단말, 기지국, AAA(Authorization, Authentication and Accounting)서버 및 디렉토리 서버(Directory Server)-디렉토리 서버는 상기 단말의 사용자 정보를 포함하고 있음-를 포함하는 통신 시스템에서 상기 AAA서버가 EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 기지국에 무선 연결되는 단말을 인증하는 방법에 있어서,
    (a) EAP 요구/식별 (EAP Request/Identity) 메시지에 상응하는 EAP 응답(EAP Response/Identity)메시지-EAP 응답 메시지는 사용자 ID 정보를 포함하고 있음-를 상기 단말로부터 수신하는 경우, 상기 단말로 제1 확인 응답을 송신하는 단계;
    (b) 상기 EAP 응답 메시지로부터 사용자 ID를 획득하는 단계;
    (c) 상기 사용자 ID를 상기 디렉토리 서버로 전송하여 사용자 권한을 조회하는 단계;
    (d) 적법한 사용자인 경우 EAP 인증을 위한 메소드(method)를 상기 단말과 협의(nego)하는 단계; 및
    (e) 상기 협의(nego)된 메소드에 따라 인증을 수행하는 단계를 포함하되,
    상기 단말은 상기 제1 확인 응답을 이용하여 재전송을 위한 RTT(Round Trip Time)를 산출하는 것을 특징으로 하는 EAP 프레임워크 기반의 인증 방법.
  2. 제 1항에 있어서,
    상기 단말, 상기 기지국 및 상기 AAA서버간에 송수신되는 EAP 메시지는 헤더의 길이(Header Length) 필드, 코드(Code) 필드, 식별자(identifier) 필드, 제1 길이(Length) 필드, 타입(type) 필드, 제2 길이(Length)필드, 윈도우 크기(window size) 필드 및 데이터(data) 필드를 포함하는 것을 특징으로 하는 EAP 프레임워크 기반의 인증 방법.
  3. 제 2항에 있어서,
    상기 단말, 상기 기지국 및 상기 AAA서버간에 EAP 메시지가 송수신될 때, 상기 윈도우 크기 필드를 이용하여 슬라이딩 윈도우(sliding window) 방식이 적용되는 것을 특징으로 하는 EAP 프레임워크 기반의 인증 방법.
  4. 제 3항에 있어서,
    상기 EAP 프레임워크 기반의 오류 복구 방식으로 Go-Back-N ARQ(Go-Back-N Automatic Repeat reQuest)이 적용되는 것을 특징으로 하는 EAP 프레임워크 기반의 인증방법.
  5. 제 3항에 있어서,
    상기 EAP 프레임워크 기반의 오류 복구 방식으로 Selective repeat ARQ(Automatic Repeat-reQuest)이 적용되되, 상기 식별자 필드를 시퀀스(sequence) 번호로 이용하는 것을 특징으로 하는 EAP 프레임워크 기반의 인증방법.
  6. 제 1항에 있어서,
    상기 메소드는 EAP-MD5(EAP-Message Digest 5), EAP-TLS(Transport Layer Security), EAP-TTLS(Tunneled Transport Layer Security), EAP-PEAP(Protected Extensible Authentication Protocol) 또는 EAP-LEAP(Lightweight Extensible Authentication Protocol) 중 어느 하나 인 것을 특징으로 하는 EAP 프레임워크 기반의 인증방법.
  7. 제 2항에 있어서,
    상기 헤더의 길이 필드는 상기 헤더의 길이 필드, 상기 코드 필드, 상기 식별자 필드 및 상기 제1 길이 필드의 길이의 총합에 대한 정보를 포함하는 것을 특징으로 하는 EAP 프레임워크 기반의 인증 방법.
  8. 제 2항에 있어서,
    상기 제2 길이 필드는 상기 타입 필드, 상기 제2 길이 필드, 상기 윈도우 크기 필드 및 상기 데이터 필드의 길이의 총합에 대한 정보를 포함하는 것을 특징으로 하는 EAP 프레임 워크 기반의 인증 방법.
  9. EAP(Extensible Authentication Protocol) 프레임워크 기반의 인증 시스템에 있어서,
    기지국으로부터 수신되는 EAP 요구/식별 메시지에 상응하여 EAP 응답(EAP-Response/Identity) 메시지-EAP 응답 메시지는 사용자 ID 정보를 포함하고 있음-를 상기 기지국으로 전송하는 단말;
    상기 EAP 응답 메시지를 상기 기지국으로부터 수신하는 경우 상기 단말로 제1 확인 응답을 송신하고, 상기 EAP 응답 메시지로부터 사용자 ID를 획득하고, 디렉토리 서버(Directory Server)에 사용자 권한조회를 요청하여 적법한 사용자인 경우 EAP 인증을 위한 메소드(method)를 상기 단말과 협의하는 AAA(Authorization, Authentication and Accounting)서버를 포함하되,
    상기 단말은 상기 제1 확인 응답을 이용하여 재전송을 위한 RTT(Round Trip Time)를 산출하는 것을 특징으로 하는 EAP 프레임워크 기반의 인증 시스템.
  10. 제 9항에 있어서,
    상기 단말, 상기 기지국 및 상기 AAA서버간에 송수신되는 EAP 메시지는 헤더의 길이(Header Length) 필드, 코드(Code) 필드, 식별자(identifier) 필드, 제1 길이(Length) 필드, 타입(type) 필드, 제2 길이(Length)필드, 윈도우 크기(window size) 필드 및 데이터(data) 필드를 포함하는 것을 특징으로 하는 EAP 프레임워크 기반의 인증 시스템.
  11. 제 10항에 있어서,
    상기 단말, 상기 기지국 및 상기 AAA서버간에 EAP 메시지가 송수신될 때, 상기 윈도우 크기 필드를 이용하여 슬라이딩 윈도우(sliding window) 방식이 적용되는 것을 특징으로 하는 EAP 프레임워크 기반의 인증 시스템.
  12. 제 11항에 있어서,
    상기 EAP 프레임워크 기반의 오류 복구 방식으로 Go-Back-N ARQ(Go-Back-N Automatic Repeat reQuest)이 적용되는 것을 특징으로 하는 EAP 프레임워크 기반의 인증 시스템.
  13. 제 11항에 있어서,
    상기 EAP 프레임워크 기반의 오류 복구 방식으로 Selective repeat ARQ(Automatic Repeat-reQuest)이 적용되되, 상기 식별자 필드를 시퀀스(sequence) 번호로 이용하는 것을 특징으로 하는 EAP 프레임워크 기반의 인증 시스템.
  14. 제 10항에 있어서,
    상기 헤더의 길이 필드는 상기 헤더의 길이 필드, 상기 코드 필드, 상기 식별자 필드 및 상기 제1 길이 필드의 길이의 총합에 대한 정보를 포함하는 것을 특징으로 하는 EAP 프레임워크 기반의 인증 시스템.
  15. 제 10항에 있어서,
    상기 제2 길이 필드는 상기 타입 필드, 상기 제2 길이 필드, 상기 윈도우 크기 필드 및 상기 데이터 필드의 길이의 총합에 대한 정보를 포함하는 것을 특징으로 하는 EAP 프레임워크 기반의 인증 시스템.
  16. 제 9항에 있어서,
    상기 메소드는 EAP-MD5(EAP-Message Digest 5), EAP-TLS(Transport Layer Security), EAP-TTLS(Tunneled Transport Layer Security), EAP-PEAP(Protected Extensible Authentication Protocol) 또는 EAP-LEAP(Lightweight Extensible Authentication Protocol) 중 어느 하나 인 것을 특징으로 하는 EAP 프레임워크 기반의 인증 시스템.
  17. 단말, 기지국, AAA(Authorization, Authentication and Accounting)서버 및 디렉토리 서버(Directory Server)-디렉토리 서버는 상기 단말의 사용자 정보를 포함하고 있음-를 포함하는 통신 시스템에서 상기 AAA서버가 EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 기지국에 무선 연결되는 단말을 인증하기 위해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 상기 AAA 서버에 의해 판독될 수 있는 프로그램을 기록한 기록 매체에 있어서,
    (a) EAP 요구/식별 (EAP Request/Identity) 메시지에 상응하는 EAP 응답(EAP Response/Identity)메시지-EAP 응답 메시지는 사용자 ID 정보를 포함하고 있음-를 상기 단말로부터 수신하는 경우, 상기 단말로 제1 확인 응답을 송신하는 단계;
    (b) 상기 EAP 응답 메시지로부터 사용자 ID를 획득하는 단계;
    (c) 상기 사용자 ID를 상기 디렉토리 서버로 전송하여 사용자 권한을 조회하는 단계;
    (d) 적법한 사용자인 경우 EAP 인증을 위한 메소드(method)를 상기 단말과 협의(nego)하는 단계; 및
    (e) 상기 협의(nego)된 메소드에 따라 인증하는 단계를 수행하되,
    상기 단말은 상기 제1 확인 응답을 이용하여 재전송을 위한 RTT(Round Trip Time)를 산출하는 것을 특징으로 하는 프로그램이 기록된 기록매체.
KR1020070037409A 2007-04-17 2007-04-17 확장 가능 인증프로토콜을 사용하는 인증 방법, 인증시스템 및 그 프로그램이 기록된 기록매체 KR100864902B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070037409A KR100864902B1 (ko) 2007-04-17 2007-04-17 확장 가능 인증프로토콜을 사용하는 인증 방법, 인증시스템 및 그 프로그램이 기록된 기록매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070037409A KR100864902B1 (ko) 2007-04-17 2007-04-17 확장 가능 인증프로토콜을 사용하는 인증 방법, 인증시스템 및 그 프로그램이 기록된 기록매체

Publications (1)

Publication Number Publication Date
KR100864902B1 true KR100864902B1 (ko) 2008-10-22

Family

ID=40177454

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070037409A KR100864902B1 (ko) 2007-04-17 2007-04-17 확장 가능 인증프로토콜을 사용하는 인증 방법, 인증시스템 및 그 프로그램이 기록된 기록매체

Country Status (1)

Country Link
KR (1) KR100864902B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040064741A1 (en) 2002-06-20 2004-04-01 Nokia Corporation Method , system and devices for transferring accounting information
KR20050041864A (ko) * 2003-10-31 2005-05-04 한국전자통신연구원 무선 휴대 인터넷 시스템에서의 가입자 단말 인증 방법 및그 프로토콜 구성 방법, 그리고 그 장치
KR20050053857A (ko) * 2003-12-03 2005-06-10 삼성전자주식회사 휴대 인터넷 시스템 및 이의 인증 방법
US20060179310A1 (en) 2003-07-04 2006-08-10 Wenlin Zhang Interactive processing method for selecting network information for a user terminal in a wireless local area network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040064741A1 (en) 2002-06-20 2004-04-01 Nokia Corporation Method , system and devices for transferring accounting information
US20060179310A1 (en) 2003-07-04 2006-08-10 Wenlin Zhang Interactive processing method for selecting network information for a user terminal in a wireless local area network
KR20050041864A (ko) * 2003-10-31 2005-05-04 한국전자통신연구원 무선 휴대 인터넷 시스템에서의 가입자 단말 인증 방법 및그 프로토콜 구성 방법, 그리고 그 장치
KR20050053857A (ko) * 2003-12-03 2005-06-10 삼성전자주식회사 휴대 인터넷 시스템 및 이의 인증 방법

Similar Documents

Publication Publication Date Title
TWI262676B (en) Method and system for handling out-of-order segments in a wireless system via direct data placement
Aboba et al. Extensible authentication protocol (EAP)
US8276194B2 (en) Methods and systems for user authentication
Aboba et al. RFC 3748: Extensible authentication protocol (EAP)
EP1779293B1 (en) Method and apparatus for determining authentication capabilities
US7197763B2 (en) Authentication in a communication system
US8176327B2 (en) Authentication protocol
US20100146262A1 (en) Method, device and system for negotiating authentication mode
US20090064291A1 (en) System and method for relaying authentication at network attachment
RU2351082C2 (ru) Быстрое установление соединения для доступа к сети
JP2005525740A (ja) シームレスな公衆無線ローカル・エリア・ネットワーク・ユーザ認証
KR20050064119A (ko) 인터넷접속을 위한 확장인증프로토콜 인증시 단말에서의서버인증서 유효성 검증 방법
KR101655264B1 (ko) 통신시스템에서 인증 방법 및 시스템
CN108738019B (zh) 融合网络中的用户认证方法及装置
KR101718096B1 (ko) 무선통신 시스템에서 인증방법 및 시스템
WO2009073275A1 (en) Authentication while exchanging data in a communication system
US9338648B2 (en) Method and system for managing authentication of a mobile terminal
US9532218B2 (en) Implementing a security association during the attachment of a terminal to an access network
JP5399509B2 (ja) 通信システムにおける競り下げ攻撃の防止
US8782742B2 (en) Communication apparatus, authentication apparatus, communication method and authentication method
KR100864902B1 (ko) 확장 가능 인증프로토콜을 사용하는 인증 방법, 인증시스템 및 그 프로그램이 기록된 기록매체
WO2010063190A1 (zh) 协商认证方式的方法、装置和系统
Syafruddin et al. Performance analysis of using a reliable transport layer protocol for transmitting EAP message over RADIUS in inter-domain WLAN roaming
Cha et al. Proposal and Simulation of Flow Control and Error Recovery in EAP for Performance Improvement
Vollbrecht et al. Network Working Group B. Aboba Request for Comments: 3748 Microsoft Obsoletes: 2284 L. Blunk Category: Standards Track Merit Network, Inc

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120724

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20131007

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee