KR100948184B1 - 무선 근거리 통신망에서의 인증 시스템 및 그 방법 - Google Patents
무선 근거리 통신망에서의 인증 시스템 및 그 방법 Download PDFInfo
- Publication number
- KR100948184B1 KR100948184B1 KR1020030043661A KR20030043661A KR100948184B1 KR 100948184 B1 KR100948184 B1 KR 100948184B1 KR 1020030043661 A KR1020030043661 A KR 1020030043661A KR 20030043661 A KR20030043661 A KR 20030043661A KR 100948184 B1 KR100948184 B1 KR 100948184B1
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- user
- area
- user terminal
- access control
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/52—Network services specially adapted for the location of the user terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
본 발명은 무선 근거리 통신망에서의 인증 시스템 및 그 방법에 관한 것이다.
본 발명에서는 망 접속 제어 장치로부터, 무선 통신망을 통하여 접속하는 사용자 단말기의 인증 정보와 상기 망 접속 제어 장치의 식별 주소를 포함하는 인증 요청 메시지가 제공되면, 인증 정보에 포함된 사용자 ID의 종류를 판별하고, 사용자 단말기가 접속한 지역을 판별한다. 그리고, 판별된 사용자 ID의 종류와 상기 사용자 단말기가 접속한 지역을 토대로 상기 사용자 단말기의 접속 요청에 대한 인증을 선택적으로 수행한다. 여기서, 사용자 ID는 기업 구분자를 포함하는 것과 포함하지 않는 것으로 크게 나뉘어지고, 기업 구분자를 포함하는 사용자 ID는 공중 무선랜과 사설 무선랜에서 사용되는 광역 ID와 사설 무선랜에서만 사용되는 협역 ID로 나뉘어진다.
이러한 본 발명에 따르면, 사용자들은 사설 무선랜 접속시에 사용하던 ID를 공중 무선랜 접속시에도 동일하게 사용할 수 있다. 따라서, 보다 편리하게 무선랜을 이용할 수 있다.
무선랜, 공중무선랜, 사설무선랜, 인증, 광역ID, 협역ID, 인증대행
Description
도 1은 본 발명의 실시 예에 따른 무선 근거리 통신망의 망 구조도이다.
도 2는 본 발명의 실시 예에 따른 인증 시스템의 세부 구조도이다.
도 3은 도 2에 도시된 데이터베이스의 필드 구조를 나타낸 도이다.
도 4는 본 발명의 실시 예에 따른 인터넷 접속 및 인증 과정을 나타낸 순서도이다.
도 5는 도 4에 도시된 인증 과정을 보다 구체적으로 나타낸 순서도이다.
본 발명은 인증 시스템에 관한 것으로 더욱 상세하게 말하자면, 무선 근거리 통신망(WLAN: Wireless Local Area Network, 이하, "무선랜"이라 명명함)에서의 인증 시스템 및 그 방법에 관한 것이다.
최근에는 ISM 밴드에 대한 무선 통신 서비스가 허가됨에 따라 무선랜을 이용한 무선 인터넷 서비스가 가능해졌다. 일반적으로 무선랜은 컴퓨터와 컴퓨터간 또는 컴퓨터와 기타 통신 장치간에 데이터 송수신을 전파(RF: Radio Frequence)나 빛 을 이용하여 무선으로 수행하는 랜을 의미한다. 이러한 무선 랜은 최근 인터넷 서비스와 무선 통신 기술의 급격한 발전에 따라 개발되었으며, 이는 대형 사무실, 물류센터와 같이 유선 네트워크 구축이 용이하지 않은 장소에서 주로 설치되며, 유지 보수의 간편함으로 인하여 그 이용이 급증하고 있다.
이러한 무선랜 즉, IEEE 802.11에서는 인증 및 보안 방식으로 WEP를 사용하고 있다. WEP은 랜카드를 장착한 무선 단말기와 액세스 포인트(access point, 이하, "AP"라고 명명함)간에 WEP 키라고 하는 공유 비밀키를 이용하여 단말 인증 및 무선 구간 데이터를 암호화하는 무선랜 보안 방식이다. 또한 랜카드의 MAC(media access control) 주소를 미리 AP에 등록시켜 놓고, 등록된 MAC 주소를 가진 무선 단말기에 대해서만 AP 접속을 허용하는 방식도 사용한다.
그러나 이와 같은 인증 방법들은 무선랜의 원래 용도인 사설 무선랜 환경에서는 적합하지만 공중 무선랜에서는 적합한 방식이라고 할 수 없다. 즉, 사설 무선랜 환경에서는 사용자의 수가 한정되어 있고 AP의 MAC 주소 리스트 관리나 WEP 키 설정 등이 용이하므로 위와 같은 방식이 사용될 수 있으나, 불특정 다수의 사용자들이 공공 장소에 사용하는 공중 무선랜인 경우에는, 사용자들이 동일한 WEP를 사용하게 되면 인증 및 보안의 의미가 없어지며, MAC 주소 리스트 관리를 통한 인증인 경우에도 AP 마다 모든 사용자의 MAC 주소를 등록해야 하는 어려움이 있다.
따라서, 공중 무선랜 서비스에서는 AP에 접속하는 사용자를 인증하기 위하여 모든 사용자의 인증 정보가 저장된 중앙 인증 서버를 통한 인증 방식을 사용해야 한다. IEEE 802 랜의 포트별 인증 및 보안을 위한 표준인 IEEE 802.1x는 EAP(Extensible Authentication Protocol) 인증 프로토콜을 이용하여 모든 사용자 인증 정보가 저장된 라디우스(RADIUS) 인증 서버에서 중앙 집중형 사용자 인증을 가능하게 해주므로, 이것은 공중 무선랜 서비스의 인증 방식에 적합하다고 할 수 있다. IEEE 802.1 x는 공중 무선랜 서비스뿐만 아니라 보안이 강화된 사설 무선랜을 필요로 하는 기업에서도 사용될 수 있다.
이러한 인증 방식을 사용하는 공중무선랜 서비스는 집이나 회사뿐만이 아니라 공공장소에서도 인터넷 접속을 원하는 사람들이 주 이용고객이 될 수 있다. 사용자들은 무선랜 서비스를 사용하기 위하여 자신을 식별할 수 있는 특정 ID를 등록하여야 하는데, 일반적으로 사용자들은 편의성 때문에 인터넷 접속 서비스나 전자 상거래 서비스 등 로그온이 필요한 서비스 가입시, 자신이 이전에 사용하던 ID를 계속해서 사용하고자 하는 경향이 높다.
따라서 무선랜 서비스에서도, 사설 무선랜 접속시에 사용하는 ID를 공중 무선랜 접속시에도 사용하기를 원하는 사용자들이 있을 수 있다. 그러나, 사설 무선랜에서는 사용하는 직원수가 한정되어 있기 때문에 사용자는 대부분 자신이 원하는 ID를 사용할 수 있지만, 공중 무선랜에서는 불특정 다수의 사용자들이 사용하기 때문에 사용자간의 ID가 중복되는 경우가 종종 발생한다. 따라서, 서비스 가입시 동일한 ID를 누군가 먼저 사용하고 있다면 부득이하게 다른 ID를 선택할 수 밖에 없다.
그 결과, 사용자들은 사설 무선랜 접속시에는 제1 ID를 사용하다가 기업외부의 공공 장소 등에서 공중 무선랜으로 접속하고자 하는 경우에 제2 ID를 사용해야 하기 때문에, ID 기억에 따른 어려움 및 사용 편리성이 떨어지는 문제점이 있다.
그러므로 본 발명이 이루고자 하는 기술적 과제는 종래의 문제점을 해결하기 위한 것으로, 사설 무선랜 접속시에 사용하던 ID를 공중 무선랜 접속시에도 동일하게 사용할 수 있도록 하는데 있다.
이러한 기술적 과제를 달성하기 위한, 본 발명의 특징에 따른 인증 방법은, 네트워크를 통하여 다수의 지역 인증 장치와 연결되어 있으며, 무선 통신망을 통하여 접속하는 사용자 단말기를 망 접속 제어 장치의 중계에 따라 인터넷에 접속시키는 시스템의 인증 방법으로, a) 상기 망 접속 제어 장치로부터, 상기 무선 통신망을 통하여 접속하는 사용자 단말기로부터 제공되는 인증 정보와 상기 망 접속 제어 장치의 식별 주소를 포함하는 인증 요청 메시지가 제공되면, 상기 인증 정보에 포함된 사용자 ID의 종류를 판별하는 단계; b) 상기 사용자 단말기가 접속한 지역을 판별하는 단계; 및 c) 상기 판별된 사용자 ID의 종류와 상기 사용자 단말기가 접속한 지역을 토대로 상기 사용자 단말기의 접속 요청에 대한 인증을 선택적으로 수행하는 단계를 포함한다.
상기 c) 단계는 상기 사용자 ID가 광역 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 공중 무선랜 서비스가 가능한 제 1 지역 및 해당 사설 무선랜의 서비스가 가능한 제2 지역에 해당하면 접속을 허용하는 단계; 상기 사용자 ID가 협역 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 제2 지역에 해당하면 접속을 허 용하는 단계; 및 상기 사용자 ID가 일반 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 제1 지역에 해당하면 접속을 허용하는 단계를 포함한다.
이외에도, d) 상기 사용자 ID가 외부 인증 ID인 경우에는 상기 사용자 ID를 포함하는 인증 정보를 해당 지역 인증 서버로 제공하여 인증이 이루어지도록 하는 단계를 더 포함할 수 있다. 이 경우, 상기 지역 인증 서버로부터 제공되는 인증 결과를 상기 망 접속 제어 장치로 전달하는 프락시 기능이 수행된다.
본 발명의 다른 특징에 따른 인증 시스템은, 네트워크를 통하여 다수의 지역 인증 장치와 연결되어 있으며, 무선 통신망을 통하여 접속하는 사용자 단말기를 망 접속 제어 장치의 중계에 따라 인터넷에 접속시키는 인증 시스템으로, 사설 무선랜을 설치한 각 기업에 부여되는 기업 구분자에 대응하여 인증 주체가 저장되어 있는 기업 구분 데이터베이스; 사용자 ID에 대응하여 비밀번호, 사용자 ID 종류, 접속 가능 지역이 저장되어 있는 인증 데이터베이스; 망 접속 제어 장치의 IP 주소에 대응하여 망 접속 장치의 위치 정보가 저장되어 있는 주소 데이터베이스; 상기 망 접속 제어 장치로부터 사용자 단말기로부터 전송된 인증 정보와 망 접속 제어 장치의 식별 주소를 포함하는 인증 요청 메시지가 제공되면, 상기 인증 정보에 포함된 사용자 ID의 종류를 판별하는 사용자 식별부; 상기 인증 요청 메시지에 포함된 망 접속 제어 장치의 식별 주소를 토대로 상기 주소 데이터베이스를 검색하여 상기 망 접속 제어 장치의 위치를 찾고, 이를 토대로 사용자 단말기가 접속한 지역을 판별하는 접속 지역 판별부; 및 상기 판별된 사용자 ID의 종류와 상기 사용자 단말기가 접속한 지역을 토대로 상기 사용자 단말기의 접속 요청에 대한 인증을 선택적으로 수행하는 인증 처리부를 포함한다.
여기서, 상기 사용자 식별부는 상기 사용자 ID가 외부 인증 ID인 경우에는 상기 사용자 ID를 포함하는 인증 정보를 해당 지역 인증 장치로 제공하여 인증이 이루어지도록 하고, 상기 사용자 ID가 내부 인증 ID인 경우에, 상기 인증 정보를 상기 인증 처리부로 제공하여 인증이 이루어지도록 한다.
상기 인증 처리부는 상기 사용자 ID가 광역 ID인 경우에, 접속 지역 판별부에 의하여 판별된 상기 사용자 단말기의 접속 지역이 공중 무선랜 서비스가 가능한 제 1 지역 및 해당 사설 무선랜의 서비스가 가능한 제2 지역에 해당하면 접속을 허용하고, 상기 사용자 ID가 협역 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 제2 지역에 해당하면 접속을 허용한다.
이러한 특징을 가지는 본 발명에서, 상기 광역 ID 및 협역 ID는 사용자 ID 및 기업 구분자를 포함한다.
이하, 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다.
도 1에 본 발명이 적용되는 공중 무선랜의 망구조가 도시되어 있으며, 다.
첨부한 도 1에 도시된 바와 같이, 본 발명이 적용되는 공중 무선랜에서는 다수의 사용자 단말기(100)가 망 접속 제어 장치(200)에 연결되어 있으며, 망 접속 제어 장치(200)는 연결 장치(300)를 통하여 인터넷(400)에 연결되어, 중앙 인증 서 버(500)에 연결된다. 또한, 중앙 인증 서버(500)는 적어도 하나 이상의 지역 인증 서버(600)와 연결되어 있다. 여기서 중앙 인증 서버(500)가 인터넷(400)을 통하여 다수의 지역 인증 서버(600)와 연결되어 있지만, 이와는 달리 별도의 인터페이스 수단을 통하여 직접적으로 연결될 수도 있다.
본 발명의 실시 예에서는 사용자 단말기(100)로부터 접속 요청이 입력되면, 망 접속 제어 장치(200)가 사용자의 인증 정보를 포함하는 인증 요청 메시지를 중앙 인증 서버(500)로 제공하며, 중앙 인증 서버(500)는 인증 정보에 포함된 사용자 식별 정보를 토대로 자체적으로 인증을 수행하거나 사용자의 인증 정보를 해당 지역 인증 서버(600)로 제공하여 인증이 이루어지도록 한다.
특히, 본 발명의 실시 예에서는 사설 무선랜에서 사용하는 ID를 핫 스팟(공중 무선랜 서비스를 이용할 수 있는 장소)에서 사용할 수 있는 광역 ID 서비스를 제공한다. 이를 위하여, 기업 사용자(사설 무선랜 서비스에 등록된 ID를 가지는 사용자)의 공중 무선랜 서비스 가입시에 사용자 ID 이외에 기업을 구분하는 기업 ID 즉, 기업 구분자를 등록하도록 하고, 이러한 사용자 ID와 기업 구분자를 결합한 것을 하나의 ID로 처리한다. 따라서 사용자 ID가 한 기업내부에서만 유일하다면 다른 기업에서 다른 사용자가 동일한 ID를 사용하여도 서로 다른 ID로 구분될 수 있다. 예를 들어, aaa라는 사용자 ID를 company1과 company2 두 기업내에서 동시에 사용할 수 있고, 또 일반 사용자도 aaa라는 ID를 사용할 수 있다. 즉, aaa@company1과 aaa@company2와 aaa는 서로 다른 ID로 구별된다.
본 발명의 실시 예에서 사용되는 ID들은 크게 일반 ID와, 광역 ID, 그리고 협역 ID로 나뉘어질 수 있다. 일반 ID는 공중 무선랜만에서만 사용되는 ID로서 기업 구분자를 포함하지 않는다. 광역 ID는 공중 무선랜과 사설 무선랜에서 모두 사용되는 ID이고, 협역 ID는 사설 무선랜에서만 사용되는 ID이다. 광역 ID와 협역 ID는 사용자 ID 이외에 기업 구분자를 포함한다.
그러므로, 중앙 인증 서버(500)는 인증 정보에 포함된 사용자 ID가 일반 ID 또는 광역 ID 또는 협역 ID인지를 판단하고, 판단 결과와 사용자가 현재 접속한 지역에 따라 무선랜 접속을 허용한다. 이 때, 중앙 인증 서버(500)는 사용자 ID가 광역 ID 또는 협역 ID인 경우에 자체적으로 인증을 수행하거나 해당 기업 내부의 지역 인증 서버로 인증 정보를 제공하여 사용자 인증이 이루어지도록 한다.
본 발명의 실시 예에서는 자체적으로 인증 장치를 유지하기 어려운 소규모 기업 등의 요청에 따라 인증 대행 서비스를 제공한다. 중앙 인증 서버는 인증 대행 서비스에 가입한 기업의 사용자 정보를 가지고 있으며 기업의 망접속 제어장치로부터 인증요청이 오면 인증을 수행한다. 협역 ID의 경우, 사용자가 접속한 지역이 상기 사설 무선랜 사용이 가능한 기업 내부인 경우에만 접속을 허용하고, 다른 기업의 사설 무선랜을 통하여 접속한 경우에는 접속을 차단한다. 사용자가 접속한 지역이 어느 지역인지를 확인하는 방법으로는 사용자가 접속한 망 접속 제어 장치 즉, 인증 정보를 전달하는 망 접속 제어 장치의 IP 주소를 토대로 접속 장소가 기업내부인지 핫스팟인지를 구분하는 방법이 사용된다. 그러나, 본 발명에 따른 접속 지역 판별 방법은 이 방법에 한정되지 않는다.
도 2에 이러한 인증 처리를 위한 본 발명의 실시 예에 따른 인증 시스템의 각 구성 요소의 구체적인 구조가 도시되어 있다.
먼저, 사용자 단말기(100)의 구조를 살펴보면, IEEE 802.11 무선 랜카드(110)가 구비되어 있다. 이러한 사용자 단말기(100)는 예를 들어, PCMCIA 포트, USB 포트 등의 통신포트나 PCI 슬롯을 구비한 노트북 컴퓨터나 데스크탑 컴퓨터 또는 개인 휴대 단말기(PDA) 등일 수 있다. 무선 랜 카드의 구조는 이미 공지된 기술이므로, 여기서는 상세한 설명을 생략한다.
사용자 단말기(100)의 무선랜 접속을 중계하는 망 접속 제어 장치(200)는, 접속하는 사용자 단말기(100)로부터 제공되는 정보를 토대로 중앙 인증 서버(500)로 사용자 인증을 요청하는 인증 요청부(210), 인증 서버(500)로부터 전송되는 인증 결과를 토대로 사용자 단말기(100)의 인터넷 상의 소정 사이트로의 접속을 중계하는 접속 제어부(220)를 포함한다.
그리고, 망 접속 제어 장치(200)를 인터넷(400)에 연결시키는 연결 장치(300)로는 허브, 라우터 또는 xDSL 모뎀, NAS 등이 사용될 수 있다.
이러한 구조로 이루어지는 망 접속 제어 장치(200)로부터 전송되는 인증 요청에 따라 사용자 단말기(100)에 대한 무선랜 접속 인증을 수행하는 중앙 인증 서버(500)는 기업구분 데이터베이스(510), 인증 데이터베이스(520), 주소 데이터베이스(530), 사용자 식별부(540), 접속 지역 판별부(550) 및 인증 처리부(560)를 포함한다.
기업 구분 데이터베이스(510)에는 본 발명의 실시 예에 따른 광역 ID 서비스가 가능한 사설 무선랜에 대한 정보가 저장되어 있다. 구체적으로, 저장 필드가 기 업 구분자 필드, 인증주체 필드, 인증서버 주소 필드, 광역 ID 개수 필드로 각각 나누어지고, 각 필드에 사설 무선랜을 설치한 각 기업에 부여되는 기업 구분자, 인증을 중앙 인증 서버에서 하는지 아니면 기업의 자체 인증 서버에서 수행하는지를 나타내는 인증 주체, 자체적으로 인증을 수행하는 기업의 인증 서버의 주소, 그리고 기업의 지역 인증 서버에서 자체적으로 인증을 수행하는 경우에는 해당 기업에서 등록한 광역 ID 개수가 각각 저장된다.
인증 데이터베이스(520)에는 각 사용자별로 인증 정보가 저장되어 있다. 구체적으로, 저장 필드는 ID 필드, 비밀 번호 필드, 사용자 종류 필드, 접속 지역 필드로 나뉘어지고, 각각의 필드에 대응하여 기업 구분자를 선택적으로 포함하는 사용자 ID, 인증시 사용되는 비밀번호, 사용자 ID가 일반 또는 광역 또는 협역인지를 나타내는 사용자 종류, 해당 사용자가 접속 가능한 지역을 나타내는 접속지역이 각각 저장된다.
주소 데이터베이스(530)에는 망 접속 제어 장치의 주소 정보가 저장되어 있다. 즉, 저장 필드가 주소 필드 및 접속 지역 필드로 나뉘어지고, 각각의 필드에 대응하여 망 접속 제어 장치의 IP 주소, 해당 망 접속 장치가 위치하는 지역 정보가 각각 저장된다. 여기서, 지역 정보로는 해당 망 접속 제어 장치가 공중 무선랜 서비스가 가능한 지역(제1 지역)에 설치되는 경우에는 핫스팟, 사설 무선랜 서비스가 가능한 지역(제2 지역)에 설치되는 경우에는 해당 기업의 기업 구분자가 각각 저장되어, 망 접속 제어 장치가 공중 무선랜 지역에 설치되어 있는지, 아니면 특정 기업의 사설 무선랜 지역에 설치되어 있는지를 나타낸다.
도 3에 이러한 각 데이터베이스에 저장되는 정보의 예가 도시되어 있다.
한편, 사용자 식별부(540)는 망 접속 제어 장치(200)를 통하여 전송되는 사용자의 인증 정보에 포함된 사용자 ID가 기업 구분자를 포함하는지를 판단하고, 기업 구분자를 포함하는 ID인 경우에는 이 ID가 인증 대행 ID(인증 대행 서비스를 요청하여 중앙 인증 서버에서 인증을 수행하는 ID)인지 외부 인증 ID(기업 자체적으로 인증을 수행하는 ID)인지에 따라, 상기 인증 정보를 인증 처리부(560)로 제공하거나 해당 기업의 지역 인증 서버(600)로 제공한다. 이 때, 사용자 ID가 기업 구분자를 포함하지 않는 경우에는 상기 ID가 일반 ID인 것으로 판단하여 인증 정보를 인증 처리부(560)로 제공한다. 한편, 인증 정보를 지역 인증 서버(600)로 전달한 경우에는 이후, 지역 인증 서버(600)로부터 제공되는 인증 결과를 망 접속 제어 장치(200)로 전달하는 중계 기능(프락시 기능)을 수행한다.
접속 지역 판별부(550)는 망 접속 제어 장치(200)로부터 전달되는 메시지에 포함되어 있는 망 접속 제어 장치의 IP 주소를 토대로 주소 데이터베이스(530)를 검색하여 망 접속 제어 장치의 위치를 판별하고 그에 따라 사용자가 접속한 지역이 어디인지를 판별하며, 그 결과를 인증 처리부(560)로 제공한다.
인증 처리부(560)는 사용자 식별부(540)로부터 제공되는 인증 정보에 대하여 인증을 수행한다. 구체적으로, 사용자 ID가 일반 ID 또는 광역 ID 또는 협역 ID인지를 판단하고, 사용자의 ID 종류 및 접속 지역 판별부(550)로부터 제공되는 사용자의 접속 지역에 따라 인증을 선택적으로 수행하고, 인증 결과를 망 접속 제어 장치(200)로 전송한다.
이러한 구조로 이루어지는 본 발명의 실시 예에 따른 중앙 인증 서버(500)는 사용자 인증 방법으로 EAP 인증을 사용할 수 있다. EAP 인증은 IEEE 802랜에서 포트별 인증 및 보안을 위한 표준인 IEEE 802.1x에서 지원하는 인증 프로토콜로서, 사용자 ID 및 패스워드 기반의 순수한 인증 프로토콜과 인증시 링크 암호화에 사용할 수 있는 비밀키를 생성하는 인증 및 키설정 프로토콜이 있다. 이러한 인증 방법은 이미 공지된 기술임으로 여기서는 상세한 설명을 생략한다.
인증 대행을 요청한 기업의 사설 무선랜에 설치된 망 접속 제어 장치는 사용자 단말기로부터 제공되는 인증 정보를 중앙 인증 서버로 전달하여 인증 대행을 요청하지만, 자체적으로 인증을 수행하는 기업의 사설 무선랜에 설치된 망 접속 제어 장치는 인증 정보를 자체 기업내에 설치된 지역 인증 서버로 제공하여 인증이 이루어지도록 할 수 있다.
다음에는 이러한 구조로 이루어지는 본 발명의 실시 예에 따른 무선랜을 통한 인증 시스템의 동작에 대하여 설명한다.
도 4에 본 발명의 실시 예에 따른 인증 및 그에 따른 접속 처리 과정이 개략적으로 도시되어 있다.
사용자 단말기(100)가 서비스가 제공되는 일정 지역(BBS:Basic Service Set)에 들어가면, 사용자 단말기(100)의 무선 랜카드(100)와 망 접속 제어 장치(200)간에 연결이 이루어진다. 이 때, 망 접속 제어 장치(200)는 무선랜 중계 기능을 수행한다(S100∼S110).
이후 사용자가 접속 프로그램을 이용해 로그온하면 사용자 단말기(100)는 망 으로 인증 시작 메시지를 보낸다. 인증시작 메시지를 수신한 망 접속 제어 장치(200)는 사용자 단말기(100)로 ID 요청 메시지를 보내며, 이에 대한 응답으로 사용자 단말기(100)는 사용자가 입력한 ID와, 비밀 번호로 이루어지는 인증 정보를 포함하는 ID 응답 메시지를 망으로 전달한다(S120∼S140). 이 때, 사용자가 별도로 ID와 비밀 번호를 입력하지 않아도 사용자 단말기(100) 상의 접속 프로그램에 의하여 자동으로 사용자 ID와 비밀 번호를 포함하는 ID 응답 메시지가 전송되도록 할 수 있다.
망 접속 제어 장치(200)는 ID 응답 메시지를 연결 장치(300)를 통하여 중앙 인증 서버(500)로 전달한다. 중앙 인증 서버(500)는 ID 응답 메시지에 포함된 인증 정보로부터 사용자 ID를 추출한 다음에, 사용자 ID가 일반 또는 인증 대행 ID인지 외부 인증 ID인지를 판단한다(S150∼S160). 판단 결과에 따라 사용자 ID가 일반이나 인증대행 ID인 경우는 자체적 인증을 수행한다(S170). 그러나 외부 인증 ID인 경우는 프락시 동작을 하여 상기 ID응답 메시지를 해당 기업의 지역 인증 서버(600)로 전달한다. 이 경우, 인증 과정은 사용자 단말기(100)와 지역 인증 서버(600) 사이에서 이루어지며, 중앙 인증 서버(500)는 메시지 중계 역할을 한다(S18o∼S190).
한편, 인증 수행이 완료된 후, 망 접속 제어 장치(200)는 인증 결과가 실패이면 세션을 설정하지 않고(S200∼S220), 인증 성공이면 사용자 단말기(100)에 대한 세션을 설정하고(S230), 중앙 인증 서버(500)로 어카운팅 시작 메시지를 보낸다(S240). 중앙 인증 서버(500)는 해당 사용자 ID에 대한 세션을 설정하고(S250), 사용자 ID가 외부 인증 ID인 경우에는 어카운팅 시작 메시지를 해당 지역 인증 서버(600)로 전달한다(S260).
이후 사용자가 인터넷 접속 서비스를 이용하고 망접속 종료를 위해 로그오프를 하면(S270), 망 접속 제어 장치(200)는 세션을 종료하고 어카운팅 종료 메시지를 중앙 인증 서버(500)로 전송한다(S280∼S290). 이를 수신한 중앙 인증 서버(500)는 세션 정보를 삭제하고 어카운팅 종료 메시지에 포함된 과금 정보를 저장한다(S300). 한편, 사용자 ID가 외부 인증 ID인 경우에는 중앙 인증 서버(500)가 어카운팅 종료 메시지를 해당 기업의 지역 인증 서버(600)로 전달하여, 지역 인증 서버(600)가 과금 정보를 저장하도록 한다(S310∼S320).
다음에는 위에 기술된 본 발명의 실시 예에 따른 인증 시스템의 동작 과정 중, 중앙 인증 서버에서 이루어지는 사용자 식별 및 그에 따른 인증 과정을 보다 구체적으로 설명한다.
도 5에 본 발명의 실시 예에 따른 사용자 식별 및 인증 과정이 구체적으로 도시되어 있다.
위에 기술된 바와 같이, 사용자 단말기(100)의 망 접속 요청에 따라 망 접속 제어 장치(200)로부터 ID 응답 메시지가 전송되면, 중앙 인증 서버(500)의 사용자 식별부(540)는 ID 응답 메시지에 포함된 인증 정보로부터 사용자 ID를 추출하여 사용자 ID가 어떠한 서비스를 요청한 ID인지를 판별한다(S400∼S410).
먼저, 사용자 ID에 기업 구분자가 포함되어 있는지를 판별하여 기업 구분자가 없는 경우에는 일반 ID로 판단한다(S420). 사용자 ID에 기업 구분자가 포함되어 있으면, 기업 구분자를 토대로 기업 구분 데이터베이스(510)를 검색하여 해당 사용자 ID에 대한 인증 주체가 어디인지를 확인한다(S430). 도 3의 (a)에 도시되어 있듯이, 기업 구분 데이터베이스(510)의 기업 구분자에 대한 인증 주체 필드가 내부이면 중앙 인증 서버에서 직접 인증을 하는 것으로 판단한다. 그러나 인증 주체 필드가 외부이면 외부 인증 ID로 판단하여 상기 해당 기업 구분자를 가지는 지역 인증 서버로 사용자 인증 정보를 전송하여, 인증이 이루어지도록 한다(S440).
단계(S430)에서 사용자 ID가 일반 ID이거나 중앙 인증 서버에서 직접 인증을 하는 내부 인증 ID인 것으로 판단되면 사용자 식별부(540)는 인증 정보를 인증 처리부(560)로 제공하며, 인증 처리부(560)는 접속 지역 판별부(550)로부터 제공되는 사용자의 접속 지역 판별 결과에 따라 상기 인증 정보에 대한 인증을 수행한다.
먼저, 접속 지역 판별부(550)는 ID 응답 메시지로부터 망 접속 제어 장치의 IP 주소를 추출하고, 추출된 IP 주소를 토대로 주소 데이터베이스(530)를 검색하여 해당 망 접속 제어 장치가 어디에 위치되는지를 판별하고, 그 판별 결과를 인증 처리부(560)로 제공한다(S450).
인증 처리부(560)는 사용자 식별부(540)로부터 제공되는 인증 정보에 포함된 사용자 ID를 토대로 인증 데이터베이스(520)를 검색하여 해당 ID가 일반 ID인지, 광역 ID인지 또는 협역 ID인지를 판별하고, ID 판별 결과와 접속 지역 판별부(550)로부터 제공되는 지역 판별 결과를 토대로 다음과 같이 인증을 수행한다.
구체적으로, 사용자 ID가 기업 구분자를 포함하지 않는 일반 ID이면, 사용자 단말기가 접속한 망 접속 제어 장치가 공중 무선랜 지역에 설치되어 있는 경우 즉, 사용자가 공중 무선랜 지역에서 접속을 요청한 경우에만 사용자의 무선랜 접속을 허용한다(S460∼S470).
또한, 사용자 ID가 기업 구분자를 포함하는 ID이지만 특정 사설 무선랜에서만 사용 가능한 협역 ID이면, 사용자 단말기가 해당 사설 무선랜의 망 접속 제어 장치를 통하여 접속한 경우에만 무선랜 접속을 허용한다(S480).
또한, 사용자 ID가 기업 구분자를 포함하는 광역 ID이면, 사용자 단말기가 해당 사설 무선랜의 망 접속 제어 장치를 통하여 접속하거나 공중 무선랜의 망 접속 제어 장치를 통하여 접속한 경우에만 무선랜 접속을 허용한다(S490).
예를 들어, 도 3의 (c)에 도시되어 있듯이, ID가 aaa@company1인 사용자는 광역 ID 사용자이므로, 망 접속 제어 장치의 IP 주소가 200.100.100.21(접속지역이 cpmpany1, 즉 해당 기업 내부)이나 100.100.200.91 (접속지역이 핫스팟)인 곳에서 접속을 시도하면, 접속을 허용한다. 그러나, 사용자가 접속한 망 접속 제어 장치의 IP 주소가 200.100.100.61 (접속지역이 company2)인 곳에서 접속을 하면 접속을 불가한다.
이와 같이 사용자가 접속이 허용된 지역내에서 접속을 요청한 경우에, 인증 처리부(560)는 인증 정보에 포함된 비밀 번호가 인증 데이터베이스(520)의 해당 ID에 대응되어 있는 비밀 번호와 일치하면 최종적으로 접속을 허용하고, 접속 허용 메시지를 망 접속 제어 장치(200)로 전송하여 사용자의 무선랜 접속이 이루어지도록 한다.
그러나, 사용자 ID가 일반 ID이면서 사용자가 공중 무선랜이 아닌 사설 무선 랜을 통하여 접속을 요청한 경우에는 접속을 불가하고, 또한, 사용자 ID가 협역 ID이면서 사용자가 공중 무선랜이나 다른 사설 무선랜을 통하여 접속을 요청한 경우에는 접속을 불가한다. 또한, 사용자 ID가 광역 ID이면서 다른 사설 무선랜을 통하여 접속을 요청한 경우에는 접속을 불가한다. 이 경우, 인증 처리부(560)는 접속 불가 메시지를 망 접속 제어 장치(200)로 전송하여 사용자의 무선랜 접속이 차단되도록 한다.
한편, 단계(S440)에서 중앙 인증 서버(500)로부터 인증 정보를 제공받은 지역 인증 서버(600)는 자체 데이터베이스에 저장된 정보를 토대로 사용자에 대한 인증을 수행하고 그 결과를 중앙 인증 서버(500)로 제공하며, 중앙 인증 서버(500)는 상기 결과를 망 접속 제어 장치(200)로 전달하여 사용자의 무선랜 접속이 이루어지도록 한다.
이와 같이, 해당 기업의 지역 인증 서버(600)가 인증을 수행하는 경우에는, 각 ID에 대한 인증 정보를 중앙 인증 서버(500)에서 관리하지 않으며, 단지 기업 구분자에 대해서만 광역 ID 개수를 등록하고, 설정 기간(예를 들어, 월별)별로 어카운팅 정보(사용내역)를 통해 실제 등록한 ID 개수만큼의 핫스팟 접속이 이루어졌는지를 조사한다. 등록한 ID 개수보다 초과하여 접속하였을 경우는 초과 내역에 대하여 추가 과금을 할 수 있다.
이상에서 본 발명의 바람직한 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
이러한 본 발명의 실시 예에 따르면, 사용자들이 서로 동일한 ID를 사용하여도 공중 무선랜에서만 사용 가능한 것, 공중 무선랜과 사설 무선랜에서 사용가능한 것, 사설 무선랜에서만 사용 가능한 것의 식별이 용이하게 이루어짐으로써, 사용자들은 사설 무선랜 접속시에 사용하던 ID를 공중 무선랜 접속시에도 동일하게 사용할 수 있다.
따라서, 사용자들은 다수의 ID를 각각 기억할 필요가 없으므로, 보다 편리하게 무선랜을 이용할 수 있다.
또한, 인증 대행 서비스를 제공함으로써 자체적으로 인증 장치를 유지하기 어려운 소규모 기업에서도 사용자 ID /패스워드 기반의 사용자 인증을 사용할 수 있다.
Claims (11)
- 네트워크를 통하여 다수의 지역 인증 장치와 연결되어 있으며, 무선 통신망을 통하여 접속하는 사용자 단말기를 망 접속 제어 장치의 중계에 따라 인터넷에 접속시키는 시스템의 인증 방법에 있어서a) 상기 망 접속 제어 장치로부터, 상기 무선 통신망을 통하여 접속하는 사용자 단말기로부터 제공되는 인증 정보와 상기 망 접속 제어 장치의 식별 주소를 포함하는 인증 요청 메시지가 제공되면, 상기 인증 정보에 포함된 사용자 ID의 종류를 판별하는 단계;b) 상기 사용자 단말기가 접속한 지역을 판별하는 단계; 및c) 상기 판별된 사용자 ID의 종류와 상기 사용자 단말기가 접속한 지역을 토대로 상기 사용자 단말기의 접속 요청에 대한 인증을 선택적으로 수행하는 단계를 포함하는 인증 방법.
- 제1항에 있어서상기 c) 단계는상기 사용자 ID가 광역 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 공중 무선랜 서비스가 가능한 제 1 지역 및 해당 사설 무선랜의 서비스가 가능한 제2 지역에 해당하면 접속을 허용하는 단계;상기 사용자 ID가 협역 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 제2 지역에 해당하면 접속을 허용하는 단계; 및상기 사용자 ID가 일반 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 제1 지역에 해당하면 접속을 허용하는 단계를 포함하는 인증 방법.
- 제2항에 있어서상기 광역 ID 및 협역 ID는 사용자 ID 및 기업 구분자를 포함하는 인증 방법.
- 제1항에 있어서상기 b) 단계는 상기 인증 정보를 전송한 망 접속 제어 장치의 IP 주소를 토대로 상기 사용자 단말기가 접속한 지역을 판별하는 인증 방법.
- 제1항에 있어서d) 상기 사용자 ID가 외부 인증 ID인 경우에는 상기 사용자 ID를 포함하는 인증 정보를 해당 지역 인증 서버로 제공하여 인증이 이루어지도록 하는 단계를 더 포함하는 인증 방법.
- 제5항에 있어서상기 d) 단계는 상기 지역 인증 서버로부터 제공되는 인증 결과를 상기 망 접속 제어 장치로 전달하는 프락시 기능을 수행하는 인증 방법.
- 네트워크를 통하여 다수의 지역 인증 장치와 연결되어 있으며, 무선 통신망을 통하여 접속하는 사용자 단말기를 망 접속 제어 장치의 중계에 따라 인터넷에 접속시키는 인증 시스템에 있어서사설 무선랜을 설치한 각 기업에 부여되는 기업 구분자에 대응하여 인증 주체가 저장되어 있는 기업 구분 데이터베이스;사용자 ID에 대응하여 비밀번호, 사용자 ID 종류, 접속 가능 지역이 저장되어 있는 인증 데이터베이스;망 접속 제어 장치의 IP 주소에 대응하여 망 접속 장치의 위치 정보가 저장되어 있는 주소 데이터베이스;상기 망 접속 제어 장치로부터 사용자 단말기로부터 전송된 인증 정보와 망 접속 제어 장치의 식별 주소를 포함하는 인증 요청 메시지가 제공되면, 상기 인증 정보에 포함된 사용자 ID의 종류를 판별하는 사용자 식별부;상기 인증 요청 메시지에 포함된 망 접속 제어 장치의 식별 주소를 토대로 상기 주소 데이터베이스를 검색하여 상기 망 접속 제어 장치의 위치를 찾고, 이를 토대로 사용자 단말기가 접속한 지역을 판별하는 접속 지역 판별부; 및상기 판별된 사용자 ID의 종류와 상기 사용자 단말기가 접속한 지역을 토대로 상기 사용자 단말기의 접속 요청에 대한 인증을 선택적으로 수행하는 인증 처리부를 포함하는 인증 시스템.
- 제7항에 있어서상기 사용자 식별부는 상기 사용자 ID가 외부 인증 ID인 경우에는 상기 사용자 ID를 포함하는 인증 정보를 해당 지역 인증 장치로 제공하여 인증이 이루어지도록 하고, 상기 사용자 ID가 내부 인증 ID인 경우에, 상기 인증 정보를 상기 인증 처리부로 제공하여 인증이 이루어지도록 하는 인증 시스템.
- 제7항에 있어서상기 인증 처리부는 상기 사용자 ID가 광역 ID인 경우에, 상기 접속 지역 판별부에 의하여 판별된 상기 사용자 단말기의 접속 지역이 공중 무선랜 서비스가 가능한 제 1 지역 및 해당 사설 무선랜의 서비스가 가능한 제2 지역에 해당하면 접속을 허용하고, 상기 사용자 ID가 협역 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 제2 지역에 해당하면 접속을 허용하는 인증 시스템.
- 제9항에 있어서상기 인증 처리부는 상기 사용자 ID가 일반 ID인 경우에, 상기 사용자 단말기가 접속한 지역이 제1 지역에 해당하면 접속을 허용하는 인증 시스템.
- 제9항에 있어서상기 광역 ID 및 협역 ID는 사용자 ID 및 기업 구분자를 포함하는 인증 시스템.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020030043661A KR100948184B1 (ko) | 2003-06-30 | 2003-06-30 | 무선 근거리 통신망에서의 인증 시스템 및 그 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020030043661A KR100948184B1 (ko) | 2003-06-30 | 2003-06-30 | 무선 근거리 통신망에서의 인증 시스템 및 그 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20050002290A KR20050002290A (ko) | 2005-01-07 |
KR100948184B1 true KR100948184B1 (ko) | 2010-03-16 |
Family
ID=37217827
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020030043661A KR100948184B1 (ko) | 2003-06-30 | 2003-06-30 | 무선 근거리 통신망에서의 인증 시스템 및 그 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100948184B1 (ko) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3926277B2 (ja) * | 2003-02-17 | 2007-06-06 | 株式会社東芝 | サービス提供装置、サービス提供プログラム及びサービス提供方法 |
KR100656519B1 (ko) * | 2004-11-23 | 2006-12-11 | 삼성전자주식회사 | 네트워크의 인증 시스템 및 방법 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001111544A (ja) | 1999-10-05 | 2001-04-20 | Nec Corp | 無線lanシステムにおける認証方法と認証装置 |
KR20010090038A (ko) * | 2001-08-21 | 2001-10-18 | (주) 대성디지탈테크 | 무선랜 네트워크 시스템 및 그 운용방법 |
KR20030018219A (ko) * | 2001-08-27 | 2003-03-06 | 아이피원(주) | 무선 랜에서의 인증 제공을 위한 로그인 id 인증 방법및 시스템 |
US20030120767A1 (en) | 2001-12-26 | 2003-06-26 | Nec Corporation | Network and wireless LAN authentication method used therein |
-
2003
- 2003-06-30 KR KR1020030043661A patent/KR100948184B1/ko active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001111544A (ja) | 1999-10-05 | 2001-04-20 | Nec Corp | 無線lanシステムにおける認証方法と認証装置 |
KR20010090038A (ko) * | 2001-08-21 | 2001-10-18 | (주) 대성디지탈테크 | 무선랜 네트워크 시스템 및 그 운용방법 |
KR20030018219A (ko) * | 2001-08-27 | 2003-03-06 | 아이피원(주) | 무선 랜에서의 인증 제공을 위한 로그인 id 인증 방법및 시스템 |
US20030120767A1 (en) | 2001-12-26 | 2003-06-26 | Nec Corporation | Network and wireless LAN authentication method used therein |
Also Published As
Publication number | Publication date |
---|---|
KR20050002290A (ko) | 2005-01-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
US8194589B2 (en) | Systems and methods for wireless network selection based on attributes stored in a network database | |
US8743778B2 (en) | Systems and methods for obtaining network credentials | |
US8554830B2 (en) | Systems and methods for wireless network selection | |
JP3695538B2 (ja) | ネットワークサービス接続方法/プログラム/記録媒体/システム、アクセスポイント、無線利用者端末 | |
US7185360B1 (en) | System for distributed network authentication and access control | |
EP1589703B1 (en) | System and method for accessing a wireless network | |
US20050254652A1 (en) | Automated network security system and method | |
EP2206278B1 (en) | Systems and methods for wireless network selection based on attributes stored in a network database | |
US20100146599A1 (en) | Client-based guest vlan | |
US20060161770A1 (en) | Network apparatus and program | |
KR20040054466A (ko) | 광역 네트워크 시스템, 이 네트워크를 이용한 액세스 인증시스템, 액세스 포인트를 제공하는 접속장치, 접속장치에접속되는 단말기기 및 액세스 인증 방법 | |
JP5536628B2 (ja) | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント | |
KR100819678B1 (ko) | 코드분할다중접속 인증 정보를 이용한 공중 무선랜 서비스인증 방법 | |
JP2012531822A (ja) | ネットワーク信用証明書を取得するためのシステム及び方法 | |
KR100763131B1 (ko) | 공중 무선랜 서비스를 위한 망접속 및 서비스 등록 방법 | |
US20030196107A1 (en) | Protocol, system, and method for transferring user authentication information across multiple, independent internet protocol (IP) based networks | |
KR100656520B1 (ko) | 홈 네트워크의 레벨별 인증 시스템 및 그 방법 | |
KR20040001329A (ko) | 공중 무선랜 서비스를 위한 망 접속 방법 | |
CA2379677C (en) | System and method for local policy enforcement for internet service providers | |
KR100948184B1 (ko) | 무선 근거리 통신망에서의 인증 시스템 및 그 방법 | |
KR20050002292A (ko) | 접속 제한 기능을 가지는 무선 랜을 통한 인터넷 접속시스템 및 그 방법 | |
KR100590698B1 (ko) | 동일 id를 이용한 다중 로그인을 방지하기 위한 인증 방법, 시스템 및 서버 | |
JP5545433B2 (ja) | 携帯電子装置および携帯電子装置の動作制御方法 | |
KR101049635B1 (ko) | 공중 무선랜과 기업 무선랜간의 로밍 서비스 제공 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130304 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140303 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20150302 Year of fee payment: 6 |