KR101025083B1 - Method for identifying authentication function in extensible authentication protocol - Google Patents

Method for identifying authentication function in extensible authentication protocol Download PDF

Info

Publication number
KR101025083B1
KR101025083B1 KR1020080131538A KR20080131538A KR101025083B1 KR 101025083 B1 KR101025083 B1 KR 101025083B1 KR 1020080131538 A KR1020080131538 A KR 1020080131538A KR 20080131538 A KR20080131538 A KR 20080131538A KR 101025083 B1 KR101025083 B1 KR 101025083B1
Authority
KR
South Korea
Prior art keywords
eap
identity
authentication
user terminal
scalable
Prior art date
Application number
KR1020080131538A
Other languages
Korean (ko)
Other versions
KR20100072966A (en
Inventor
김수진
이덕기
방정희
정원영
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020080131538A priority Critical patent/KR101025083B1/en
Publication of KR20100072966A publication Critical patent/KR20100072966A/en
Application granted granted Critical
Publication of KR101025083B1 publication Critical patent/KR101025083B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 확장가능 인증 프로토콜에서의 인증함수 식별 방법에 관한 것으로, 수신된 EAP 아이덴티티 응답 메시지의 아이덴티티의 패턴을 비교하거나 아이덴티티의 데코레이션을 이용함으로써, 사용자 단말이 이용하는 EAP 인증함수(예를 들면, EAP-AKA, EAP-TLS 및 EAP-TTLS 등)를 알아내기 위해 EAP 메시지를 추가하지 않고도 사용자 단말의 인증함수를 식별할 수 있으며, 수신된 아이덴티티의 오류인 경우에 대비하여 디폴트 인증함수(예를 들면, EAP-AKA)를 정의하여 EAP 메시지를 전송함으로써, EAP 아이덴티티 요청 메시지의 불필요한 재전송을 방지할 수 있는, 확장가능 인증 프로토콜에서의 인증함수 식별 방법을 제공하고자 한다.The present invention relates to a method for identifying an authentication function in the scalable authentication protocol. The present invention relates to an EAP authentication function (e.g., EAP) used by a user terminal by comparing an identity pattern of a received EAP identity response message or by using a decoration of an identity. It can identify the authentication function of the user terminal without adding EAP message to find out AKA, EAP-TLS and EAP-TTLS, etc., and it is the default authentication function (for example, in case of error of received identity). By defining EAP-AKA) and transmitting an EAP message, an authentication function identification method in the scalable authentication protocol that can prevent unnecessary retransmission of an EAP identity request message is provided.

이를 위하여, 본 발명은, 인증함수 식별 방법에 있어서, 사용자 단말로부터 확장가능 인증 프로토콜의 아이덴티티 응답 메시지를 수신하는 아이덴티티 수신 단계; 상기 수신된 확장가능 인증 프로토콜의 아이덴티티 응답 메시지로부터 아이덴티티의 패턴을 확인하는 아이덴티티 확인 단계; 상기 확인된 아이덴티티의 패턴에 따라 상기 사용자 단말과의 확장가능 인증 프로토콜의 인증함수를 식별하는 함수 식별 단계; 및 상기 식별된 인증함수에 따라 확장가능 인증 프로토콜의 요청 및 응답 메시지를 전송하여 상기 사용자 단말과의 인증 과정을 수행하는 인증 수행 단계를 포함한다.To this end, the present invention provides an authentication function identification method, comprising: an identity reception step of receiving an identity response message of a scalable authentication protocol from a user terminal; Verifying an identity pattern from an identity response message of the received scalable authentication protocol; A function identification step of identifying an authentication function of an extensible authentication protocol with the user terminal according to the pattern of the identified identity; And performing an authentication process with the user terminal by transmitting a request and response message of an extensible authentication protocol according to the identified authentication function.

확장가능 인증 프로토콜, 아이덴티티 응답 메시지, 아이덴티티 패턴, 아이덴티티의 데코레이션, EAP 인증함수, EAP-AKA, EAP-TLS, EAP-TTLS Extensible Authentication Protocol, Identity Response Message, Identity Pattern, Decoration of Identity, EAP Authentication Function, EAP-AKA, EAP-TLS, EAP-TTLS

Description

확장가능 인증 프로토콜에서의 인증함수 식별 방법{METHOD FOR IDENTIFYING AUTHENTICATION FUNCTION IN EXTENSIBLE AUTHENTICATION PROTOCOL}Authentication function identification method in scalable authentication protocol {METHOD FOR IDENTIFYING AUTHENTICATION FUNCTION IN EXTENSIBLE AUTHENTICATION PROTOCOL}

본 발명은 확장가능 인증 프로토콜에서의 인증함수 식별 방법에 관한 것으로, 더욱 상세하게는 수신된 EAP 아이덴티티 응답 메시지의 아이덴티티의 패턴을 비교하거나 아이덴티티의 데코레이션을 이용함으로써, 사용자 단말이 이용하는 EAP 인증함수(예를 들면, EAP-AKA, EAP-TLS 및 EAP-TTLS 등)를 알아내기 위해 EAP 메시지를 추가하지 않고도 사용자 단말의 인증함수를 식별할 수 있으며, 수신된 아이덴티티의 오류인 경우에 대비하여 디폴트 인증함수(예를 들면, EAP-AKA)를 정의하여 EAP 메시지를 전송함으로써, EAP 아이덴티티 요청 메시지의 불필요한 재전송을 방지할 수 있는, 확장가능 인증 프로토콜에서의 인증함수 식별 방법에 관한 것이다.The present invention relates to an authentication function identification method in the scalable authentication protocol, and more particularly, by comparing the pattern of the identity of the received EAP identity response message or using the decoration of the identity, the EAP authentication function used by the user terminal (eg For example, EAP-AKA, EAP-TLS and EAP-TTLS, etc.) can be used to identify the authentication function of the user terminal without adding an EAP message, and the default authentication function in case of an error in the received identity. (E.g., EAP-AKA) and by transmitting an EAP message, the present invention relates to an authentication function identification method in the scalable authentication protocol that can prevent unnecessary retransmission of the EAP Identity Request message.

확장가능 인증 프로토콜(EAP: Extensible Authentication Protocol)은 "RFC 3748"에서 표준으로 정의된 프로토콜이다. 확장가능 인증 프로토콜은 데이터 링크 계층에서 동작하는 프로토콜이다. 확장가능 인증 프로토콜은 처음에는 유선 망에서 의 점대점 프로토콜(PPP: Point-to-Point Protocol)에 의한 사용자 인증을 위해 개발되었다. 그러나 최근에는 확장가능 인증 프로토콜은 점대점 프로토콜뿐만 아니라 "IEEE 802" 환경, 그 중에서도 특히 무선망에서 주로 이용되고 있다.Extensible Authentication Protocol (EAP) is a protocol defined as a standard in "RFC 3748". Extensible authentication protocol is a protocol that operates at the data link layer. The extensible authentication protocol was initially developed for user authentication by the Point-to-Point Protocol (PPP) in wired networks. Recently, however, scalable authentication protocols have been used mainly in "IEEE 802" environments, especially wireless networks, as well as point-to-point protocols.

여기서, 확장가능 인증 프로토콜은 인증 메커니즘 그 자체가 아니라 다양한 인증 메커니즘을 지원할 수 있도록 설계된 인증 프레임 워크이다. 즉, 확장가능 인증 프로토콜을 통해 인증기능을 제공하는 인증 메커니즘을 확장가능 인증 프로토콜(EAP) 인증함수 또는 확장가능 인증 프로토콜(EAP) 함수라고 한다. 확장가능 인증 프로토콜은 이러한 확장가능 인증 프로토콜(EAP) 함수들이 다양한 링크 계층에서 인증 기능을 제공하기 위해 필요한 공통적인 기능을 제공한다.Here, the scalable authentication protocol is not an authentication mechanism itself, but an authentication framework designed to support various authentication mechanisms. That is, an authentication mechanism that provides an authentication function through an extensible authentication protocol is called an extensible authentication protocol (EAP) authentication function or an extensible authentication protocol (EAP) function. Extensible authentication protocols provide the common functionality that these Extensible Authentication Protocol (EAP) functions are needed to provide authentication functionality at various link layers.

일반적으로, 접속 망을 구성하는 요소는, 사용자 단말이 망에 접근할 수 있도록 사용자를 별도의 사업자 인증 서버에 중계해주거나 사용자 권한을 검증하는 등 망 접속 허용 여부를 결정하는 망접속 서버(NAS: Network Access Server)와, 사용자를 인증하고 권한을 검증하여 그 결과를 망접속 서버에 알려주고 그 외 요금부과와 관련한 처리를 담당하는 백엔드 인증 서버(Backend Authentication Server)로 이루어진다.In general, an element constituting an access network includes a network access server (NAS) for determining whether to allow access to a network, such as relaying a user to a separate operator authentication server or verifying user authority so that the user terminal can access the network. Network Access Server) and a Backend Authentication Server that authenticates the user, verifies the authority, informs the network access server of the result, and handles other charge-related processing.

확장가능 인증 프로토콜을 이용하지 않고 인증 메커니즘을 적용할 경우, 망접속 서버는 사용자 인증 단계에서 주고 받는 모든 메시지의 인증 메커니즘을 식별하고 처리해야 한다. 또한, 망접속 서버가 새로운 인증 메커니즘을 추가로 수용할 때마다, 망접속 서버가 이를 식별하여 처리하도록 하기 위해 관련 소프트웨어 모듈을 지속적으로 갱신해야 하는 번거로움이 발생한다.When applying the authentication mechanism without using the extensible authentication protocol, the network access server must identify and process the authentication mechanism of all messages sent and received during the user authentication phase. In addition, whenever the network server additionally accepts a new authentication mechanism, it is cumbersome to constantly update the relevant software module in order for the network server to identify and process it.

이러한 문제점을 해결하기 위해, 확장가능 인증 프로토콜은 모든 EAP 인증함수에 대하여 링크 계층 관점에서는 하나의 통일된 인증 메커니즘으로 모두 수용 가능하도록 만들어진 프레임 워크이다. 이를 위해, 확장가능 인증 프로토콜에서는 EAP 헤더에 다양한 종류의 인증 메커니즘을 명시하고 있다. 망접속 서버는 확장가능 인증 프로토콜에 수납된 상세한 인증 메커니즘을 처리하는 대신에 EAP 메시지를 인증 서버에 단순히 중계하도록 한다. 즉, 실제 인증 절차는 사용자와 인증 서버 간에 수행한다. 망접속 서버는 인증 서버로부터의 인증 결과만 처리하게 되어, 망접속 서버가 새로운 인증 메커니즘을 위한 사전 협상이나 인증 메커니즘에 관계없도록 한 것이다.To solve this problem, the extensible authentication protocol is a framework made for all EAP authentication functions in one link authentication mechanism from the link layer perspective. To this end, the extensible authentication protocol specifies various types of authentication mechanisms in the EAP header. The network access server simply relays the EAP message to the authentication server instead of processing the detailed authentication mechanism contained in the scalable authentication protocol. In other words, the actual authentication procedure is performed between the user and the authentication server. The network access server handles only the authentication result from the authentication server so that the network access server is not involved in pre-negotiation or authentication mechanism for the new authentication mechanism.

이러한 확장성 덕분에 유선망뿐만 아니라 무선망의 다양한 프로토콜에서 인증 프레임 워크로 확장가능 인증 프로토콜이 이용되고 있다. 와이파이 얼라이언스(WiFi Aliance)의 인증 프로그램인 WPA(Wi-Fi Protected Access)(WPA, WPA2) 표준에서는 공식적인 인증 메커니즘으로 5개의 확장가능 인증 프로토콜 타입을 채택하였다. 그리고 와이맥스 포럼(WiMAX Forum)에서도 휴대인터넷의 망접속 인증을 위해 확장가능 인증 프로토콜 기반 인증 방식을 요구하고 있다. 특히, 와이맥스(WiMAX)에서는 보안성 검토 및 사업자 요구사항을 토대로 확장가능 인증 프로토콜에 수납되는 인증 메커니즘으로 인증 및 키 동의(AKA: Authentication and Key Agreement), 전송계층 보안(TLS: Transport Level Security), 터널링된 전송계층 보안(TTLS: Tunneled TLS) 방식이 이용되고 있다. 이들을 각각 EAP-AKA(Extensible Authentication Protocol-Authentication and Key Agreement), EAP-TLS(Extensible Authentication Protocol Transport Layer Security) 및 EAP-TTLS(Extensible Authentication Protocol Tunneled Transport Layer Security)라고 부른다.Due to this scalability, scalable authentication protocols are used as authentication frameworks in various protocols of wireless networks as well as wired networks. The Wi-Fi Protected Access (WPA) (WPA, WPA2) standard, the Wi-Fi Alliance's certification program, employs five extensible authentication protocol types as official authentication mechanisms. WiMAX Forum also requires an authentication method based on extensible authentication protocol for network access authentication of mobile Internet. In particular, WiMAX is an authentication mechanism that is housed in the extensible authentication protocol based on security review and operator requirements. Authentication and Key Agreement (AKA), Transport Level Security (TLS), Tunneled TLS (Tunneled TLS) scheme is used. These are called Extensible Authentication Protocol-Authentication and Key Agreement (EAP-AKA), Extensible Authentication Protocol Transport Layer Security (EAP-TLS), and Extensible Authentication Protocol Tunneled Transport Layer Security (EAP-TTLS), respectively.

EAP-AKA는 유럽의 이동통신 표준화 단체인 3GPP(3rd Generation Partnership Project)에서 3G 이동통신 단말의 망접속 인증 및 무선구간 암호화를 위한 암호화 키 생성을 위해 제안한 AKA 방식을 확장가능 인증 프로토콜의 인증함수로 적용하여 "IETF"에 의해 규격화된 것이다. 국내에서는 와이브로 단말의 망 접속에 이용되는 방식으로 채택되어 상용 서비스 중이다.EAP-AKA is a European mobile communication standardization organization, 3GPP (3 rd Generation Partnership Project) proposed AKA method the authentication function of the Extensible Authentication Protocol for encryption key generation for the wireless connection authentication and radio link encryption of the 3G mobile communication terminal in It is standardized by "IETF" as applied. In Korea, it is adopted as a method used for network connection of WiBro terminal and is in commercial service.

EAP-AKA의 경우, 확장가능 인증 프로토콜의 인증 시작 시 망접속 서버나 EAP 인증 서버는 아이덴티티(Identity) 타입의 확장가능 인증 프로토콜(EAP) 아이덴티티 요청(EAP-Request/Identity) 메시지를 사용자 단말(peer)에 전송한다. 사용자 단말은 EAP 아이덴티티 응답(EAP-Response/Identity) 메시지로 응답을 하게 된다. 이 패킷은 사용자의 아이덴티티(identity)를 포함한다. AKA에서 이용되는 아이덴티티(identity)에는 크게 세 가지가 있다. 세 가지 사용자의 아이덴티티는 고정 아이덴티티(permanent identity), 변동 아이덴티티(pseudonym identity) 및 일회용 아이덴티티(fast re-authentication identity)이다.In the case of EAP-AKA, the network access server or the EAP authentication server sends an EAP identity request (EAP-Request / Identity) message of identity type at the start of authentication of the scalable authentication protocol. To be sent). The user terminal responds with an EAP Identity Response (EAP-Response / Identity) message. This packet contains the user's identity. There are three major identities used in AKA. The three user identities are permanent identity, pseudonym identity, and fast re-authentication identity.

이 중에서, 일회용 아이덴티티는 빠른 재인증을 위해 사용되는 일회용 아이덴티티이고, 나머지 고정 및 변동 아이덴티티는 완전한 인증 과정에 이용되는 값이다. 고정 아이덴티티는 변하지 않는 고정 값이고, 변동 아이덴티티는 변화되는 값이다.Of these, the one-time identity is the one-time identity used for quick re-authentication, and the remaining fixed and floating identities are the values used for the full authentication process. The fixed identity is a fixed value that does not change, and the variable identity is a value that changes.

무선망(Mobile Network) 사용자들은 이동 국가코드(MCC: Mobile Country Code) 3 디지트(digit), 이동 네트워크 코드(MNC: Mobile Network Code) 2 내지 3 디지트와 10 디지트를 넘지 않는 이동가입자식별번호(MSIN: Mobile Subscriber Identification Number)로 이루어지는 15 디지트를 넘지 않는 문자열인 IMSI (International Mobile Subscriber Identity, TS23.003)로 식별된다. 여기서, 고정 아이덴티티(permanent identity)는 보통 이러한 IMSI 기반의 고정된 값이다. 참고로, 이동 국가코드와 이동 네트워크 코드는 GSM 회원사를 유일하게 식별하고 해당 사용자를 위한 인증 벡터 유도를 위한 AuC 식별에 쓰인다.Users of Mobile Networks may use Mobile Country Code (MCC) 3 digits, Mobile Network Code (MNC) 2 to 3 digits and mobile subscriber identification number (MSIN) no more than 10 digits. It is identified by IMSI (International Mobile Subscriber Identity, TS23.003), which is a string not exceeding 15 digits of Mobile Subscriber Identification Number. Here, a permanent identity is usually such an IMSI based fixed value. For reference, the mobile country code and mobile network code are used to uniquely identify the GSM member companies and AuC identification for deriving authentication vectors for the user.

망접속 서버가 사용자 단말로부터 EAP 패킷을 수신하면 망접속 서버는 이 패킷을 AAA(Authentication Authorization Accounting) 프로토콜에 캡슐화하여 EAP 인증 서버로 전송한다. 라디우스(RADIUS)나 다이아미터(Diameter)와 같은 AAA 프로토콜들은 사용자를 NAI(Network Access Identifier)로 식별한다. 로밍 환경일 경우 NAI는 "username@realm"으로 이루어진다. 사용자 이름(username)은 범위(realm) 내에서 가입자를 식별하는 부분이다. 범위(realm)가 사용되지 않을 경우 사용자 이름이 바로 사용자 아이덴티티가 되고, 범위(realm)가 사용된다면 범위(realm)까지 포함된 NAI가 사용자의 아이덴티티가 된다. 고정 아이덴티티가 IMSI 기반으로 생성된 경우 고정 사용자 이름은 "0"|IMSI 형태이어야 한다. 여기서, '|'는 연속(concatenation)을 의미한다. 즉, 고정 사용자 이름의 첫 번째 캐릭터(charater)는 숫자 "0"이어야 하고, 그 다음에 IMSI가 따라와야 한다. 예를 들어 IMSI가 '295023820005424'인 값으로부터 유도된 고정 사용자 이름은 '0295023820005424'이 다.When the network access server receives the EAP packet from the user terminal, the network access server encapsulates the packet in the Authentication Authorization Accounting (AAA) protocol and transmits the packet to the EAP authentication server. AAA protocols such as RADIUS and Diameter identify users as Network Access Identifiers (NAIs). In a roaming environment, NAI consists of "username @ realm". The username is the part that identifies the subscriber in the realm. If a realm is not used, the user name is the user identity. If a realm is used, the NAI up to and including the realm is the user's identity. If a fixed identity is created based on IMSI, the fixed username must be in the form "0" | IMSI. Here, '|' means concatenation. That is, the first character of the fixed username must be the number "0", followed by IMSI. For example, the fixed username derived from the value that IMSI is '295023820005424' is '0295023820005424'.

고정 아이덴티티는 IMSI 기반의 고정된 값이므로, 고정 아이덴티티가 노출될 경우 해당 아이덴티티 사용자의 트래킹이 매우 쉬워지는 문제점이 존재한다. 이에 EAP-AKA는 고정 아이덴티티가 노출되는 것을 방지하기 위해 임시 아이덴티티인 변동 아이덴티티에 기반한 아이덴티티 프라이버시(identity privacy)를 지원한다.Since the fixed identity is a fixed value based on IMSI, there is a problem in that tracking of the identity user becomes very easy when the fixed identity is exposed. EAP-AKA supports identity privacy based on floating identity, a temporary identity, to prevent exposure of fixed identities.

익명(pseudonym)은 셀룰러 망(cellular network)에서 이용되는 TMSI(Temporary Mobile Subscriber Identities)와 유사한 값이다. 익명(pseudonym)은 EAP 인증 서버에 의해 생성되며 생성 방법은 구현 의존적이다. 단, EAP 인증 서버가 변동 아이덴티티(pseudonym identity)를 고정 아이덴티티(permanent identity)에 매핑할 수 있기만 하면 된다.Anonymous (pseudonym) is a value similar to the Temporary Mobile Subscriber Identities (TMSI) used in cellular networks. Anonymous (pseudonym) is generated by the EAP authentication server and the generation method is implementation dependent. However, the EAP authentication server only needs to be able to map the variable identity (pseudonym identity) to the fixed identity (permanent identity).

EAP-AKA의 경우, EAP 아이덴티티 요청(EAP-Request/Identity) 외에 EAP-요청/AKA-아이덴티티(EAP-Request/AKA-Identity) 패킷을 통해서도 아이덴티티를 요구할 수 있다.In the case of EAP-AKA, the identity may be requested through the EAP-Request / AKA-Identity packet in addition to the EAP-Request / Identity.

AKA 식별에는 'AT_ANY_ID_REQ', 'AT_FULLAUTH_ID_REQ', 'AT_PERMANENT_ID_REQ' 속성이 있다. 모든 종류의 아이덴티티를 요구할 때, 또는 고정 아이덴티티나 변동 아이덴티티를 요구할 때, 또는 변동 아이덴티티만을 요구할 때 각각 사용된다. 이 경우, 사용자 단말은 EAP 아이덴티티 응답(EAP-Response/Identity) 대신 EAP-응답/AKA-아이덴티티(EAP-Response/AKA-Identity)의 'AT_IDENTITY' 속성을 통해 요구된 아이덴티티(identity)를 서버로 전달한다.AKA identification has attributes 'AT_ANY_ID_REQ', 'AT_FULLAUTH_ID_REQ', and 'AT_PERMANENT_ID_REQ'. Used when requesting all kinds of identities, when requesting fixed or variable identities, or when only requesting identities. In this case, the user terminal delivers the requested identity to the server through the 'AT_IDENTITY' attribute of the EAP-Response / AKA-Identity instead of the EAP-Response / Identity. do.

EAP 아이덴티티 응답(EAP-Response/Identity) 패킷의 아이덴티티(identity) 포맷이나 EAP-응답/AKA-아이덴티티(EAP-Response/AKA-Identity)의 'AT_IDENTITY' 속성의 아이덴티티 포맷은, 'AT_IDENTITY' 속성의 아이덴티티에는 데코레이션(decoration)이 허용되지 않는다는 점만 빼면 동일하다. 참고로, 데코레이션이란 사용자 단말이 AAA 라우팅 정보를 보충하기 위해 사용자 이름의 앞 또는 뒤에 추가하는 문자열이다. 그러나 사용자 이름의 데코레이션은 서버가 올바른 사용자 이름을 식별하는 것을 방해할 수 있기 때문에 오직 EAP 아이덴티티 응답 패킷의 아이덴티티에서만 이용하도록 규정되어 있다.The identity format of the EAP-Response / Identity packet or the 'AT_IDENTITY' attribute of the EAP-Response / AKA-Identity is the identity of the 'AT_IDENTITY' attribute. The same is true, except that decoration is not allowed. For reference, a decoration is a string that a user terminal adds before or after a user name to supplement AAA routing information. However, because the decoration of the username can prevent the server from identifying the correct username, it is specified for use only in the identity of the EAP Identity Response Packet.

TLS는 전송계층에서의 보안 프로토콜인 보안 소켓 계층(SSL: Secure Socket Layer)의 최종 버전인 "SSL 3.0"을 기초로 "IETF"에서 표준으로 만든 프로토콜이다. TLS는 상호인증, 무결성 기반의 인증방식 협상 및 키 분배 메커니즘을 제공한다. 이러한 TLS 프로토콜을 확장가능 인증 프로토콜의 인증함수로 적용하여 "IETF"에서 규격화한 것이 EAP-TLS이다. EAP-TLS에서는 EAP 아이덴티티 요청의 응답으로 수신하는 EAP 아이덴티티 응답 패킷의 아이덴티티값을, 이후 사용자 단말이 전송하는 인증서에 있는 아이덴티티값과 동일한지 여부를 검증하는 데 이용한다.TLS is a protocol created by the "IETF" as a standard based on "SSL 3.0", the final version of the Secure Socket Layer (SSL), a security protocol in the transport layer. TLS provides mutual authentication, integrity-based authentication negotiation, and key distribution mechanism. EAP-TLS is the standardized in "IETF" by applying this TLS protocol as an authentication function of the extensible authentication protocol. In EAP-TLS, the identity value of the EAP identity response packet received in response to the EAP identity request is used to verify whether the identity value in the certificate transmitted by the user terminal is the same.

반면, EAP-TTLS에서는 앞의 두 경우(EAP-AKA, EAP-TLS)와 달리 EAP 아이덴티티 요청 패킷에 실제 사용자의 아이덴티티가 포함되지 않는다. 사용자의 아이덴티티는 보안 채널이 생성되기 전까지는 서로 주고받지 않는 것을 원칙으로 하기 때문이다.On the other hand, in EAP-TTLS, unlike the previous two cases (EAP-AKA, EAP-TLS), the identity of the actual user is not included in the EAP identity request packet. This is because user identities are not exchanged with each other until a secure channel is created.

망접속 인증에는 사용자 단말의 적법성을 검증하기 위한 사용자 단말 인증과 사용자 단말을 이용하는 사용자의 적법성을 검증하기 위한 사용자 인증이 있다. EAP-AKA는 사용자 인증 방식이고 "X.509" 단말 인증서 기반의 EAP-TLS는 단말 인증 방식이다. 또한, EAP-TTLS는 사용자 인증 및 단말 인증을 모두 지원할 수 있는 인증 방식이다.Network access authentication includes user terminal authentication for verifying the legitimacy of the user terminal and user authentication for verifying the legitimacy of the user using the user terminal. EAP-AKA is a user authentication method and "X.509" terminal certificate based EAP-TLS is a terminal authentication method. In addition, EAP-TTLS is an authentication method that can support both user authentication and terminal authentication.

전술한 바와 같이, "와이맥스 포럼"에서는 망 접속 인증을 위해 상황에 따라 전술된 세 가지 EAP 방식(EAP-AKA, EAP-TLS 또는 EAP-TTLS) 중 하나를 선택하여 사용하도록 권고하고 있다. 국내에서 상용 서비스 중인 모바일 와이맥스(Mobile WiMAX) 기술 중 하나인 "와이브로(WiBro)"는 현재까지 유니버셜 IC 카드(UICC: Universal IC Card) 기반의 EAP-AKA를 사용자 망접속 인증 방식으로 채택하여 이용 중이다.As described above, the "WiMAX Forum" recommends using one of the three EAP methods (EAP-AKA, EAP-TLS, or EAP-TTLS) according to the situation for network access authentication. "WiBro", one of the mobile WiMAX technologies in Korea, has been using EAP-AKA based on Universal IC Card (UICC) as a user network access authentication method. .

그러나 향후 와이맥스(WiMAX)에서 권고하고 있는 EAP-TLS, EAP-TTLS를 추가로 수용할 경우, 인증 서버는 EAP 아이덴티티 응답(EAP-Response/Identity) 메시지를 통해 수신한 아이덴티티를 통해 EAP 인증함수를 구별해야 하는 문제가 발생한다. 즉, EAP 아이덴티티 응답(EAP-Response/Identity) 메시지를 통해 EAP 인증 서버로 전달되는 아이덴티티가 EAP-AKA의 고정 아이덴티티 또는 변동 아이덴티티일 수도 있다. 또한, EAP-TLS나 EAP-TTLS의 아이덴티티일 수도 있다. 따라서 EAP 인증함수를 구분하기 위해서는 추가적인 처리과정이 필요하다. EAP-AKA에서는 AKA 함수에 국한된 아이덴티티를 구별하기 위해 EAP 아이덴티티 요청 대신 EAP-요청/AKA-아이덴티티(EAP-Request/AKA-Identity)를 이용하고 EAP 아이덴티티 응답(EAP-Response/Identity)은 가능한 한 수용하지 않을 것을 권고하고 있기도 하다.However, when additionally adopting EAP-TLS and EAP-TTLS recommended by WiMAX in the future, the authentication server distinguishes EAP authentication functions through the identity received through the EAP Identity Response (EAP-Response / Identity) message. The problem arises. That is, the identity delivered to the EAP authentication server through an EAP Identity Response (EAP-Response / Identity) message may be a fixed identity or a changed identity of EAP-AKA. It may also be the identity of EAP-TLS or EAP-TTLS. Therefore, additional processing is required to distinguish EAP authentication functions. EAP-AKA uses EAP-Request / AKA-Identity instead of EAP Identity Requests to distinguish identities specific to AKA functions, and EAP-Response / Identity is accepted as much as possible. It is also advised not to.

하지만, EAP 인증 서버에서 사용자 단말이 AKA 방식의 사용자 단말인지 TLS 또는 TTLS 방식의 사용자 단말인지를 확신할 수 없는 경우 EAP 아이덴티티 응답을 수용하지 않을 수 없다는 문제점이 있다.However, if the EAP authentication server is not sure whether the user terminal is an AKA-type user terminal or a TLS or TTLS-type user terminal, there is a problem that the EAP identity response cannot be accepted.

따라서 상기와 같은 종래 기술은 EAP 인증 서버에서 수신된 EAP 아이덴티티 응답 메시지를 통해 EAP 인증함수를 구별하지 못한다는 문제점이 있으며, 이러한 문제점을 해결하고자 하는 것이 본 발명의 과제이다.Therefore, the prior art as described above has a problem in that it is not possible to distinguish the EAP authentication function through the EAP identity response message received from the EAP authentication server, which is an object of the present invention.

따라서 본 발명은 수신된 EAP 아이덴티티 응답 메시지의 아이덴티티의 패턴을 비교하거나 아이덴티티의 데코레이션을 이용함으로써, 사용자 단말이 이용하는 EAP 인증함수(예를 들면, EAP-AKA, EAP-TLS 및 EAP-TTLS 등)를 알아내기 위해 EAP 메시지를 추가하지 않고도 사용자 단말의 인증함수를 식별할 수 있으며, 수신된 아이덴티티의 오류인 경우에 대비하여 디폴트 인증함수(예를 들면, EAP-AKA)를 정의하여 EAP 메시지를 전송함으로써, EAP 아이덴티티 요청 메시지의 불필요한 재전송을 방지할 수 있는, 확장가능 인증 프로토콜에서의 인증함수 식별 방법을 제공하는데 그 목적이 있다.Therefore, the present invention compares the pattern of the identity of the received EAP identity response message or uses the decoration of the identity, so that the EAP authentication functions (eg, EAP-AKA, EAP-TLS and EAP-TTLS) used by the user terminal The authentication function of the user terminal can be identified without adding the EAP message to find out, and the default authentication function (for example, EAP-AKA) is defined in case of an error of the received identity and the EAP message is transmitted. It is an object of the present invention to provide an authentication function identification method in the scalable authentication protocol that can prevent unnecessary retransmission of an EAP identity request message.

본 발명의 목적들은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.The objects of the present invention are not limited to the above-mentioned objects, and other objects and advantages of the present invention which are not mentioned can be understood by the following description, and will be more clearly understood by the embodiments of the present invention. Also, it will be readily appreciated that the objects and advantages of the present invention may be realized by the means and combinations thereof indicated in the claims.

본 발명은 상기 문제점을 해결하기 위하여, 수신된 EAP 아이덴티티 응답 메시지의 아이덴티티의 패턴을 비교하거나 아이덴티티의 데코레이션을 이용하고, 수신된 아이덴티티의 오류인 경우에 대비하여 디폴트 인증함수(예를 들면, EAP-AKA)를 정의하여 EAP 메시지를 전송하는 것을 특징으로 한다.In order to solve the above problem, the present invention compares the pattern of the identity of the received EAP identity response message or uses the decoration of the identity, and the default authentication function (e.g., EAP-) in case of an error of the received identity. AKA) to transmit the EAP message.

더욱 구체적으로, 본 발명의 방법은, 인증함수 식별 방법에 있어서, 사용자 단말로부터 확장가능 인증 프로토콜의 아이덴티티 응답 메시지를 수신하는 아이덴티티 수신 단계; 상기 수신된 확장가능 인증 프로토콜의 아이덴티티 응답 메시지로부터 아이덴티티의 패턴을 확인하는 아이덴티티 확인 단계; 상기 확인된 아이덴티티의 패턴에 따라 상기 사용자 단말과의 확장가능 인증 프로토콜의 인증함수를 식별하는 함수 식별 단계; 및 상기 식별된 인증함수에 따라 확장가능 인증 프로토콜의 요청 및 응답 메시지를 전송하여 상기 사용자 단말과의 인증 과정을 수행하는 인증 수행 단계를 포함한다.More specifically, the method of the present invention provides an authentication function identification method, comprising: an identity reception step of receiving an identity response message of a scalable authentication protocol from a user terminal; Verifying an identity pattern from an identity response message of the received scalable authentication protocol; A function identification step of identifying an authentication function of an extensible authentication protocol with the user terminal according to the pattern of the identified identity; And performing an authentication process with the user terminal by transmitting a request and response message of an extensible authentication protocol according to the identified authentication function.

한편, 본 발명의 다른 방법은, 인증함수 식별 방법에 있어서, 사용자 단말이 확장가능 인증 프로토콜의 아이덴티티 요청 메시지를 수신하는 아이덴티티 요청 단계; 상기 수신된 아이덴티티 요청 메시지에 따라 확장가능 인증 프로토콜의 아이덴티티 응답 메시지의 전송에 필요한 인증함수정보를 아이덴티티의 데코레이션으로 추가하는 함수정보 추가 단계; 및 상기 인증함수정보가 추가된 아이덴티티를 EAP 인증 서버로 전송하는 아이덴티티 전송 단계를 포함한다.Meanwhile, another method of the present invention provides an authentication function identification method, comprising: an identity request step of receiving, by a user terminal, an identity request message of a scalable authentication protocol; Adding function information required for transmission of the identity response message of the scalable authentication protocol to the decoration of the identity according to the received identity request message; And transmitting an identity added with the authentication function information to an EAP authentication server.

또한, 상기 본 발명의 다른 방법은, 상기 EAP 인증 서버로부터 확장가능 인증 프로토콜의 아이덴티티 요청 대신 EAP-요청/AKA-아이덴티티 메시지를 수신하면, 확장가능 인증 프로토콜의 부정 응답 메시지에 인증함수의 종류를 표시하여 전송하는 인증함수 전송 단계를 더 포함한다.In addition, another method of the present invention, if receiving an EAP-Request / AKA-Identity message from the EAP authentication server instead of the identity request of the scalable authentication protocol, the type of authentication function in the negative response message of the scalable authentication protocol It further comprises the step of transmitting the authentication function.

한편, 상기 본 발명의 또 다른 방법은, 인증함수 식별 방법에 있어서, EAP 인증 서버가 사용자 단말로부터 확장가능 인증 프로토콜의 아이덴티티 응답 메시지를 수신하는 아이덴티티 수신 단계; 상기 수신된 확장가능 인증 프로토콜의 아이덴티티 응답 메시지로부터 아이덴티티의 데코레이션을 확인하는 데코레이션 확인 단계; 상기 확인된 데코레이션에 따라 상기 사용자 단말과의 확장가능 인증 프로토콜의 인증함수를 식별하는 함수 식별 단계; 및 상기 식별된 인증함수에 따라 확장가능 인증 프로토콜의 요청 및 응답 메시지를 전송하여 상기 사용자 단말과의 인증 과정을 수행하는 인증 수행 단계를 포함한다.Meanwhile, another method of the present invention provides an authentication function identification method, comprising: an identity reception step of an EAP authentication server receiving an identity response message of a scalable authentication protocol from a user terminal; A decorating step of confirming a decoration of an identity from an identity response message of the received scalable authentication protocol; A function identification step of identifying an authentication function of a scalable authentication protocol with the user terminal according to the confirmed decoration; And performing an authentication process with the user terminal by transmitting a request and response message of an extensible authentication protocol according to the identified authentication function.

상기와 같은 본 발명은, 수신된 EAP 아이덴티티 응답 메시지의 아이덴티티의 패턴을 비교하거나 아이덴티티의 데코레이션을 이용함으로써, 사용자 단말이 이용하는 EAP 인증함수(예를 들면, EAP-AKA, EAP-TLS 및 EAP-TTLS 등)를 알아내기 위해 EAP 메시지를 추가하지 않고도 사용자 단말의 인증함수를 식별할 수 있으며, 수신된 아이덴티티의 오류인 경우에 대비하여 디폴트 인증함수(예를 들면, EAP-AKA)를 정의하여 EAP 메시지를 전송함으로써, EAP 아이덴티티 요청 메시지의 불필요한 재전송을 방지할 수 있는 효과가 있다.The present invention as described above, EAP authentication functions (eg, EAP-AKA, EAP-TLS and EAP-TTLS) used by the user terminal by comparing the pattern of the identity of the received EAP identity response message or using the decoration of the identity It is possible to identify the authentication function of the user terminal without adding the EAP message to find out the EAP message, and define the default authentication function (for example, EAP-AKA) in case of an error of the received identity. By transmitting, there is an effect that can prevent unnecessary retransmission of the EAP identity request message.

종래에는 사용자를 인증하기 위한 EAP 인증 방식으로 보통 하나의 인증 방식 을 채택하여 사용하여 왔다. 하지만, 최근에는 다양한 사업모델 및 사용자 요구에 의해 동일한 네트워크 환경이라 하더라도 다양한 인증 방식을 지원해야 하는 상황이다. 이 경우, EAP 인증 서버는 인증을 요청하는 사용자 단말이 이용하는 EAP 인증함수를 식별하기 위해 추가적인 처리과정을 거쳐야 한다.Conventionally, one authentication method has been generally adopted and used as an EAP authentication method for authenticating a user. However, recently, even in the same network environment, various authentication methods need to be supported by various business models and user demands. In this case, the EAP authentication server must go through additional processing to identify the EAP authentication function used by the user terminal requesting authentication.

본 발명에서는 EAP 인증 서버가 수신하는 EAP 아이덴티티 응답 메시지의 아이덴티티의 패턴을 비교하거나 아이덴티티에 데코레이션을 이용함으로써, 사용자 단말이 이용하는 EAP 인증함수를 알아내기 위해 EAP 메시지를 추가하지 않고도 사용자 단말의 인증함수를 식별할 수 있는 효과가 있다.In the present invention, by comparing the pattern of the identity of the EAP identity response message received by the EAP authentication server or by using the decoration in the identity, the authentication function of the user terminal without adding the EAP message to find out the EAP authentication function used by the user terminal There is a discernible effect.

또한, 본 발명은, 오류가 포함된 아이덴티티를 수신할 경우, EAP 아이덴티티 요청 메시지 대신 EAP-요청/AKA-아이덴티티 메시지를 전송함으로써, 추가적인 EAP 메시지 전송 과정 및 EAP 인증함수 식별 과정 없이 EAP 인증의 효율성을 높일 수 있는 효과가 있다.In addition, the present invention, when receiving the identity containing the error, by transmitting the EAP-Request / AKA-identity message instead of the EAP identity request message, thereby improving the efficiency of EAP authentication without additional EAP message transmission process and EAP authentication function identification process It can increase the effect.

상술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술되어 있는 상세한 설명을 통하여 보다 명확해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하기로 한다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features and advantages of the present invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings, It can be easily carried out. In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1 은 일반적인 확장가능 인증 프로토콜의 인증 방법에 대한 흐름도이다.1 is a flowchart illustrating an authentication method of a general scalable authentication protocol.

도 1에 도시된 바와 같이, EAP 인증 서버(30)는 망접속 서버(20)를 통해 사용자 단말(10)과의 인증 과정을 수행한다. 여기서, 인증자(Authenticator)인 망접속 서버(20)는 EAP 인증 과정을 시작한다. 그리고 사용자 단말(10)은 EAP 응답을 전송한다.As shown in FIG. 1, the EAP authentication server 30 performs an authentication process with the user terminal 10 through the network access server 20. Here, the network access server 20 which is an authenticator starts an EAP authentication process. The user terminal 10 transmits an EAP response.

EAP 인증 과정을 시작하기 위해, 망접속 서버(20)는 사용자 단말(10)로 EAP 아이덴티티 요청(EAP-Request/Identity) 메시지를 전송한다(102).In order to start the EAP authentication process, the network access server 20 transmits an EAP identity request (EAP-Request / Identity) message to the user terminal 10 (102).

이에 대한 응답으로, 사용자 단말(10)은 EAP 아이덴티티 응답(EAP-Response/Identity) 메시지를 전송한다(104). 그리고 망접속 서버(20)는 EAP 아이덴티티 응답 메시지를 EAP 인증 서버(30)로 전송한다(106). 즉, EAP 아이덴티티 응답 메시지는 망접속 서버(20)를 통해 EAP 인증 서버(20)까지 전송된다.In response, the user terminal 10 transmits an EAP Identity Response (EAP-Response / Identity) message (104). The network access server 20 transmits the EAP identity response message to the EAP authentication server 30 (106). That is, the EAP identity response message is transmitted to the EAP authentication server 20 through the network access server 20.

이후, EAP 인증함수의 종류에 따라 추가적인 EAP 요청(EAP-Request) 메시지와 EAP 응답(EAP-Response) 메시지 통신이 이루어진다.Thereafter, additional EAP-Request and EAP-Response message communications are performed according to the type of EAP authentication function.

즉, EAP 인증 서버(30)는 EAP 인증함수의 종류에 따라 추가적인 EAP 요청 메시지를 망접속 서버(20)로 전송한다(108). 이어서, 망접속 서버(20)는 추가적인 EAP 요청 메시지를 사용자 단말(10)로 전송한다(110).That is, the EAP authentication server 30 transmits an additional EAP request message to the network access server 20 according to the type of the EAP authentication function (108). Subsequently, the network access server 20 transmits an additional EAP request message to the user terminal 10 (110).

그리고 사용자 단말(10)은 EAP 응답 메시지를 망접속 서버(20)로 전송한다(112). 이어서, 망접속 서버(20)는 EAP 응답 메시지를 EAP 인증 서버(30)로 전송한다(114).The user terminal 10 transmits the EAP response message to the network access server 20 (112). Subsequently, the network access server 20 transmits an EAP response message to the EAP authentication server 30 (114).

이후, EAP 인증 서버(30)는 사용자 단말(10)의 인증 결과에 따라 EAP 성공(EAP-Success) 또는 EAP 실패(EAP-Failure) 메시지를 망접속 서버(20)로 전송한다(116). 이어서, 망접속 서버(20)는 EAP 성공 또는 EAP 실패 메시지를 사용자 단말(10)로 전송한다(118). 그러면, EAP 인증 과정이 종료된다.Thereafter, the EAP authentication server 30 transmits an EAP Success (EAP-Success) or EAP Failure (EAP-Failure) message to the network access server 20 according to the authentication result of the user terminal 10 (116). Subsequently, the network access server 20 transmits an EAP success or EAP failure message to the user terminal 10 (118). Then, the EAP authentication process ends.

본 발명은, "106" 과정에서 EAP 아이덴티티 응답 메시지를 통해 EAP 인증 서버(30)가 수신한 아이덴티티(Identity)를 이용하여 EAP 인증함수를 구별한다. 그리고 본 발명에서는 EAP 인증 서버(30)에서 수신된 아이덴티티가 오류인 경우에 대비하여 디폴트 인증 메커니즘을 EAP-AKA로 정함으로써, EAP 아이덴티티 요청 메시지가 여러 번 재전송되는 것을 방지하여 효율을 높일 수 있다.In the present invention, the EAP authentication function is distinguished using an identity received by the EAP authentication server 30 through an EAP identity response message in step 106. In the present invention, the default authentication mechanism is set to EAP-AKA in case the identity received from the EAP authentication server 30 is an error, thereby preventing the EAP identity request message from being retransmitted several times, thereby improving efficiency.

도 2 는 일반적인 아이덴티티 오류인 경우의 EAP 인증 방법에 대한 흐름도이다.2 is a flowchart illustrating an EAP authentication method in case of a general identity error.

먼저, EAP 인증 과정을 시작하기 위해, 망접속 서버(20)는 사용자 단말(10)로 EAP 아이덴티티 요청 메시지를 전송한다(202).First, in order to start the EAP authentication process, the network access server 20 transmits an EAP identity request message to the user terminal 10 (202).

이에 대한 응답으로, 사용자 단말(10)은 EAP 아이덴티티 응답 메시지를 전송한다(204). 그리고 망접속 서버(20)는 EAP 아이덴티티 응답 메시지를 EAP 인증 서버(30)로 전송한다(206). 즉, EAP 아이덴티티 응답 메시지는 망접속 서버(20)를 통해 EAP 인증 서버(20)까지 전송된다.In response, the user terminal 10 transmits an EAP identity response message (204). The network access server 20 transmits the EAP identity response message to the EAP authentication server 30 (206). That is, the EAP identity response message is transmitted to the EAP authentication server 20 through the network access server 20.

그리고 EAP 인증 서버(30)는 사용자 단말(10)에서 전송된 아이덴티티값에 오류가 있는 경우(208) EAP 인증 과정을 종료하지 않고 "RFC 3748 규격"에서 정의된 바와 같이, 최소 3회 EAP 아이덴티티 요청 메시지를 망접속 서버(20)를 통해 사용 자 단말(10)로 전송한다.If there is an error in the identity value transmitted from the user terminal 10 (208), the EAP authentication server 30 does not terminate the EAP authentication process, as defined in "RFC 3748 standard", at least three times the EAP identity request. The message is transmitted to the user terminal 10 through the network access server 20.

즉, 아이덴티티값에 오류가 있는 경우(208), EAP 인증 서버(30)는 망접속 서버(20)로 EAP 아이덴티티 요청 메시지를 첫 번째로 전송한다(210). 이어서, 망접속 서버(20)는 EAP 아이덴티티 요청 메시지를 사용자 단말(10)로 전송한다(212).That is, when there is an error in the identity value (208), the EAP authentication server 30 first transmits the EAP identity request message to the network access server 20 (210). Subsequently, the network access server 20 transmits the EAP identity request message to the user terminal 10 (212).

그리고 사용자 단말(10)은 EAP 응답 메시지를 망접속 서버(20)로 전송한다(214). 이어서, 망접속 서버(20)는 EAP 응답 메시지를 EAP 인증 서버(30)로 전송한다(216).The user terminal 10 transmits the EAP response message to the network access server 20 (214). Subsequently, the network access server 20 transmits an EAP response message to the EAP authentication server 30 (216).

이후, EAP 인증 서버(30)는 전송된 EAP 응답 메시지에 오류를 첫 번째로 확인한다(218).Thereafter, the EAP authentication server 30 first checks the error in the transmitted EAP response message (218).

첫 번째 아이덴티티값에 오류가 있는 경우(218), EAP 인증 서버(30)는 망접속 서버(20)로 EAP 아이덴티티 요청 메시지를 두 번째로 전송한다(220). 이어서, 망접속 서버(20)는 EAP 아이덴티티 요청 메시지를 사용자 단말(10)로 전송한다(222).If there is an error in the first identity value (218), the EAP authentication server 30 transmits the EAP identity request message to the network access server 20 a second time (220). Subsequently, the network access server 20 transmits an EAP identity request message to the user terminal 10 (222).

그리고 사용자 단말(10)은 EAP 응답 메시지를 망접속 서버(20)로 전송한다(224). 이어서, 망접속 서버(20)는 EAP 응답 메시지를 EAP 인증 서버(30)로 전송한다(226).The user terminal 10 transmits the EAP response message to the network access server 20 (224). Subsequently, the network access server 20 transmits an EAP response message to the EAP authentication server 30 (226).

이후, EAP 인증 서버(30)는 전송된 EAP 응답 메시지에 오류를 두 번째로 확인한다(228).Thereafter, the EAP authentication server 30 secondly confirms an error in the transmitted EAP response message (228).

두 번째 아이덴티티값에 오류가 있는 경우(228), EAP 인증 서버(30)는 망접속 서버(20)로 EAP 아이덴티티 요청 메시지를 두 번째로 전송한다(230). 이어서, 망접속 서버(20)는 EAP 아이덴티티 요청 메시지를 사용자 단말(10)로 전송한다(232).If there is an error in the second identity value (228), the EAP authentication server 30 transmits a second EAP identity request message to the network access server 20 (230). Subsequently, the network access server 20 transmits the EAP identity request message to the user terminal 10 (232).

그리고 사용자 단말(10)은 EAP 응답 메시지를 망접속 서버(20)로 전송한다(234). 이어서, 망접속 서버(20)는 EAP 응답 메시지를 EAP 인증 서버(30)로 전송한다(236).The user terminal 10 transmits the EAP response message to the network access server 20 (234). Subsequently, the network access server 20 transmits an EAP response message to the EAP authentication server 30 (236).

이후, EAP 인증 서버(30)는 전송된 EAP 응답 메시지에 오류를 세 번째로 확인한다(238).Thereafter, the EAP authentication server 30 checks the third error in the transmitted EAP response message (238).

세 번째 아이덴티티값에 오류가 있는 경우(238), EAP 인증 서버(30)는 EAP 인증 과정을 종료하기 위하여, EAP 실패 메시지를 망접속 서버(20)로 전송한다(240). 이어서, 망접속 서버(20) EAP 실패 메시지를 사용자 단말(10)로 전송한다(242).If there is an error in the third identity value (238), the EAP authentication server 30 transmits an EAP failure message to the network access server 20 to terminate the EAP authentication process (240). Subsequently, the network access server 20 transmits an EAP failure message to the user terminal 10 (242).

도 3 은 본 발명에 따른 EAP 아이덴티티를 이용한 EAP 인증함수 식별 방법에 대한 일실시예 흐름도이다.3 is a flowchart illustrating a method for identifying an EAP authentication function using an EAP identity according to the present invention.

먼저, EAP 인증 과정을 시작하기 위해, 망접속 서버(20)는 사용자 단말(10)로 EAP 아이덴티티 요청 메시지를 전송한다(302).First, in order to start the EAP authentication process, the network access server 20 transmits an EAP identity request message to the user terminal 10 (302).

이에 대한 응답으로, 사용자 단말(10)은 EAP 아이덴티티 응답 메시지를 전송한다(304). 그리고 망접속 서버(20)는 EAP 아이덴티티 응답 메시지를 EAP 인증 서버(30)로 전송한다(306). 즉, EAP 아이덴티티 응답 메시지는 망접속 서버(20)를 통해 EAP 인증 서버(20)까지 전송된다.In response, the user terminal 10 transmits an EAP identity response message (304). The network access server 20 transmits the EAP identity response message to the EAP authentication server 30 (306). That is, the EAP identity response message is transmitted to the EAP authentication server 20 through the network access server 20.

그리고 망접속 서버(20)는 전송된 EAP 아이덴티티 응답 메시지의 EAP 아이덴 티티 타입의 패턴에 따라 EAP 인증함수를 식별한다(308). 예를 들어, 망접속 서버(20)는 수신된 EAP 아이덴티티에 따라 "와이맥스(WiMAX)"에서 권고하고 있는 인증 방식인 EAP-AKA, EAP-TLS 및 EAP-TTLS 인증함수 중 어느 하나의 인증함수로 식별할 수 있다.The network access server 20 identifies the EAP authentication function according to the pattern of the EAP identity type of the transmitted EAP identity response message (308). For example, the network access server 20 may use one of the EAP-AKA, EAP-TLS, and EAP-TTLS authentication functions, which are recommended by WiMAX, according to the received EAP identity. Can be identified.

"와이맥스" 규격에 따르면, EAP-TLS의 경우에는 EAP 아이덴티티 응답 메시지의 NAI의 사용자네임(Username)에 반드시 사용자 단말의 MAC(Media Access Control) 주소를 이용하도록 하고 있다. MAC 주소는 헥사데시멀(Hexadecimal)로 6자리 대문자로 표시된다.According to the "WiMAX" standard, in the case of EAP-TLS, the MAC (Media Access Control) address of the user terminal must be used for the NAI user name of the EAP identity response message. The MAC address is hexadecimal and is shown in six uppercase letters.

또한, EAP-TTLS의 경우에 아이덴티티는 아스키 헥스(ASCII-hex)로 표현되는 최소 128비트의 랜덤 넘버로 정의되고 있다. 따라서 EAP 인증 서버(30)는 EAP 아이덴티티 응답 메시지를 수신할 시, 아이덴티티의 길이 및 패턴에 따라 하기의 '①' 내지 '⑤'와 같이 인증함수를 식별하고 그 식별된 인증함수에 부합하는 EAP 요청 메시지를 망접속 서버(20)로 전송한다(310).In addition, in the case of EAP-TTLS, the identity is defined as a random number of at least 128 bits expressed in ASCII hex. Therefore, when receiving the EAP identity response message, the EAP authentication server 30 identifies an authentication function, such as '①' to '⑤', according to the length and pattern of the identity, and requests an EAP request corresponding to the identified authentication function. The message is transmitted to the network access server 20 (310).

첫 번째로, 도 3의 '①'과 같이, EAP 인증 서버(30)는 EAP 아이덴티티 패턴을 확인하여 12자리 MAC 주소 패턴을 가지면 EAP-TLS 인증함수를 이용하여 EAP 인증 과정을 수행한다. 예를 들어, MAC 주소 패턴이 '0A0B0C0D1012'와 같은 경우, EAP 인증 서버(30)는 사용자 단말(10)이 이용하는 EAP 인증함수를 EAP-TLS로 판단하여 EAP 요청/EAP-TLS(시작) 메시지를 망접속 서버(20)로 전송한다.First, as shown in '①' of FIG. 3, the EAP authentication server 30 checks the EAP identity pattern and performs the EAP authentication process using the EAP-TLS authentication function if it has a 12-digit MAC address pattern. For example, when the MAC address pattern is equal to '0A0B0C0D1012', the EAP authentication server 30 determines the EAP authentication function used by the user terminal 10 as EAP-TLS and sends an EAP request / EAP-TLS (start) message. Transmission to the network access server 20.

두 번째로, 도 3의 '②'와 같이, EAP 인증 서버(30)는 EAP 아이덴티티 패턴을 확인하여 32자리의 캐릭터 패턴을 가지면 EAP-TTLS 인증함수를 이용하여 EAP 인 증 과정을 수행한다. 예를 들어, EAP 아이덴티티 패턴이 32자리의 캐릭터 패턴인 'A234F6789B123456123456789C12345'와 같은 경우, 사용자 단말(10)이 이용하는 EAP 인증함수를 EAP-TTLS로 판단하여 EAP 요청/EAP TTLS(시작)(EAP-Request/EAP-TTLS(Start)) 메시지를 망접속 서버(20)로 전송한다.Second, as shown in '②' of FIG. 3, the EAP authentication server 30 checks the EAP identity pattern and performs an EAP authentication process using the EAP-TTLS authentication function when the character pattern has 32 digits. For example, if the EAP identity pattern is the 32-character character pattern 'A234F6789B123456123456789C12345', the EAP authentication function used by the user terminal 10 is determined as EAP-TTLS and the EAP request / EAP TTLS (start) (EAP-Request / EAP-TTLS (Start) message is sent to the network access server (20).

세 번째로, 도 3의 '③'과 같이, EAP 인증 서버(30)는 EAP 아이덴티티 패턴을 확인하여 16자리의 디지트값을 가지면 EAP-AKA 인증함수를 이용하여 EAP 인증 과정을 수행한다. 예를 들어, EAP 아이덴티티 패턴이 16자리의 디지트값인 '0295023820005424'와 같은 경우, 사용자 단말(10)이 이용하는 EAP 인증함수를 EAP-AKA로 판단하여 EAP 요청/AKA 신청(EAP-Request/AKA-Challenge) 메시지를 망접속 서버(20)로 전송한다.Third, as shown in '③' of FIG. 3, the EAP authentication server 30 checks the EAP identity pattern and performs the EAP authentication process using the EAP-AKA authentication function when the EAP authentication pattern has 16 digits. For example, when the EAP identity pattern is 16 digits '0295023820005424', the EAP authentication function used by the user terminal 10 is determined as EAP-AKA, and the EAP request / AKA- is applied. Challenge) message is transmitted to the network connection server 20.

네 번째로, 도 3의 '④'와 같이, '①' 내지 '③'의 경우가 아닐 경우, EAP 인증 서버(30)는 EAP-AKA의 익명 아이덴티티(Pseudonym Identity)로 판단하여 EAP-AKA 인증함수를 이용하여 EAP 인증 과정을 수행한다. EAP 인증 서버(30)는 익명 아이덴티티로부터 영구 아이덴티티를 추출하고, 그 추출된 영구 아이덴티티를 이용하여 '③'의 경우와 마찬가지로 EAP 요청/AKA 신청 메시지를 망접속 서버(20)로 전송한다.Fourth, as in case of '①' to '③', as shown in '④' of FIG. 3, the EAP authentication server 30 determines EAP-AKA as an anonymous identity (Pseudonym Identity) of the EAP-AKA authentication. Perform the EAP authentication process using the function. The EAP authentication server 30 extracts the permanent identity from the anonymous identity, and transmits the EAP request / AKA request message to the network access server 20 in the same manner as in case of '③' by using the extracted permanent identity.

다섯 번째로, 도 3의 '⑤'와 같이, '①' 내지 '④'의 경우가 아닐 경우, 즉, 익명 아이덴티티로부터 영구 아이덴티티를 추출하는 데 실패한 경우, EAP 인증 서버(30)는 수신된 아이덴티티에 오류가 포함되어 있다고 판단하여 아이덴티티를 망접속 서버(20)로 재요청한다. 즉, EAP 인증 서버(30)는 EAP 아이덴티티 요청 메시 지를 망접속 서버(20)로 전송한다.Fifth, when the case is not '①' to '④' as shown in '⑤' of FIG. 3, that is, when it fails to extract the permanent identity from the anonymous identity, the EAP authentication server 30 receives the received identity. Determines that an error is included in the request, and re-identifies the identity to the network access server 20. That is, the EAP authentication server 30 transmits the EAP identity request message to the network access server 20.

이후, 망접속 서버(20)는 상기 '①' 내지 '⑤'에 따라 식별되어 전송된 EAP 요청 메시지(예를 들어, EAP 요청/EAP-TLS(시작) 메시지, EAP 요청/EAP-TTLS(시작) 메시지, EAP 요청/AKA 신청 메시지, EAP 아이덴티티 요청 메시지 중 어느 하나의 요청 메시지)를 사용자 단말(10)로 전송한다(312).Subsequently, the network access server 20 identifies and transmits the EAP request message (for example, EAP request / EAP-TLS (start)) message, EAP request / EAP-TTLS (start) identified according to the '①' to '⑤'. Message), an EAP request / AKA request message, or a request message of an EAP identity request message) is transmitted to the user terminal 10 (312).

그리고 사용자 단말(10)은 EAP 응답 메시지를 망접속 서버(20)로 전송한다(314). 이어서, 망접속 서버(20)는 EAP 응답 메시지를 EAP 인증 서버(30)로 전송한다(316).The user terminal 10 transmits the EAP response message to the network access server 20 (314). Subsequently, the network access server 20 transmits an EAP response message to the EAP authentication server 30 (316).

이후, EAP 인증 서버(30)는 사용자 단말(10)의 인증 결과에 따라 EAP 성공 또는 EAP 실패 메시지를 망접속 서버(20)로 전송한다(318). 이어서, 망접속 서버(20)는 EAP 성공 또는 EAP 실패 메시지를 사용자 단말(10)로 전송한다(320). 그러면, EAP 인증 과정이 종료된다.Thereafter, the EAP authentication server 30 transmits an EAP success or EAP failure message to the network access server 20 according to the authentication result of the user terminal 10 (318). Subsequently, the network access server 20 transmits an EAP success or EAP failure message to the user terminal 10 (320). Then, the EAP authentication process ends.

도 4 는 본 발명에 따른 EAP 아이덴티티를 이용한 EAP 인증함수 식별 방법에 대한 다른 실시예 흐름도이다.4 is a flowchart illustrating another embodiment of a method for identifying an EAP authentication function using an EAP identity according to the present invention.

도 3에서 전술한 EAP 아이덴티티의 패턴 비교를 통한 EAP 인증함수 식별 방법과 달리, 도 4에 도시된 바와 같이, 본 발명의 다른 실시예에서는 EAP 아이덴티티 응답 메시지의 아이덴티티에 데코레이션(Decoration)을 이용하여 EAP 인증함수를 식별한다.Unlike the method of identifying the EAP authentication function by comparing the pattern of the EAP identity described above with reference to FIG. 3, as shown in FIG. 4, in another embodiment of the present invention, an EAP is used to decorate an identity of an EAP identity response message. Identifies the authentication function.

예를 들어, 'user1@realm'이라는 아이덴티티를 가진 사용자 단말(10)이 EAP 인증을 위해 EAP-MD5 인증함수를 이용하는 경우를 살펴보기로 한다.For example, a case in which a user terminal 10 having an identity of 'user1 @ realm' uses an EAP-MD5 authentication function for EAP authentication will be described.

먼저, EAP 인증 과정을 시작하기 위해, 망접속 서버(20)는 사용자 단말(10)로 EAP 아이덴티티 요청 메시지를 전송한다(402).First, in order to start the EAP authentication process, the network access server 20 transmits an EAP identity request message to the user terminal 10 (402).

그리고 사용자 단말(10)은 아이덴티티에 EAP 인증함수정보를 데코레이션에 추가하여 EAP 아이덴티티 응답 메시지를 망접속 서버(20)로 전송한다(404). 이어서, 망접속 서버(20)는 EAP 아이덴티티 응답 메시지를 EAP 인증 서버(30)로 전송한다(416). 이때, EAP 아이덴티티 응답 메시지의 아이덴티티값은 '{eap-method=md5}user1@realm'와 같은 형태를 가질 수 있다. 여기서, 데코레이션에 해당하는 부분, 즉 '{eap-method=md5}'의 AVP 이름(eap-method 부분)과 AVP 값(md5)은 사용자 단말(10)과 EAP 인증 서버(30) 간의 협의가 이루어지는 형태로 구현될 수 있다.The user terminal 10 transmits the EAP identity response message to the network access server 20 by adding the EAP authentication function information to the decoration in operation 404. Subsequently, the network access server 20 transmits an EAP identity response message to the EAP authentication server 30 (416). In this case, the identity value of the EAP identity response message may have a form such as '{eap-method = md5} user1 @ realm'. Here, the part corresponding to the decoration, that is, the AVP name (eap-method part) and AVP value md5 of '{eap-method = md5}' are negotiated between the user terminal 10 and the EAP authentication server 30. It may be implemented in the form.

이어서, EAP 인증 서버(30)는 전달받은 EAP 아이덴티티 응답 메시지의 아이덴티티값을 확인하고 NAI 데코레이션에 따라 EAP 인증함수를 식별한다(408).Subsequently, the EAP authentication server 30 checks the identity value of the received EAP identity response message and identifies the EAP authentication function according to the NAI decoration (408).

이후, EAP 인증 서버(30)는 아이덴티티의 데코레이션에 따라 식별된 인증함수에 부합하는 EAP 요청/EAP MD5(시작) 메시지를 망접속 서버(20)로 전송한다(410). 이어서, 망접속 서버(20)는 EAP 요청/EAP MD5(시작) 메시지를 사용자 단말(10)로 전송한다(412).Thereafter, the EAP authentication server 30 transmits an EAP request / EAP MD5 (start) message corresponding to the identified authentication function according to the decoration of the identity to the network access server 20 (410). Subsequently, the network access server 20 transmits an EAP request / EAP MD5 (start) message to the user terminal 10 (412).

그리고 사용자 단말(10)은 EAP 응답 메시지를 망접속 서버(20)로 전송한다(414). 이어서, 망접속 서버(20)는 EAP 응답 메시지를 EAP 인증 서버(30)로 전송한다(416).The user terminal 10 transmits the EAP response message to the network access server 20 (414). Subsequently, the network access server 20 transmits an EAP response message to the EAP authentication server 30 (416).

이후, EAP 인증 서버(30)는 사용자 단말(10)의 인증 결과에 따라 EAP 성공 또는 EAP 실패 메시지를 망접속 서버(20)로 전송한다(418). 이어서, 망접속 서버(20)는 EAP 성공 또는 EAP 실패 메시지를 사용자 단말(10)로 전송한다(420). 그러면, EAP 인증 과정이 종료된다.Thereafter, the EAP authentication server 30 transmits an EAP success or EAP failure message to the network access server 20 according to the authentication result of the user terminal 10 (418). Subsequently, the network access server 20 transmits an EAP success or EAP failure message to the user terminal 10 (420). Then, the EAP authentication process ends.

도 5 는 본 발명에 따른 아이덴티티 오류인 경우의 EAP 인증 방법에 대한 일실시예 흐름도이다.5 is a flowchart illustrating an EAP authentication method in case of an identity error according to the present invention.

도 5에 도시된 바와 같이, 본 발명에 따른 EAP 인증 방법은 오류가 포함된 아이덴티티 수신 시, EAP 메시지의 재전송 횟수를 줄임으로써 효율을 증가시키는 EAP 메시지 전송 방법에 대한 것이다.As shown in FIG. 5, the EAP authentication method according to the present invention relates to an EAP message transmission method for increasing efficiency by reducing the number of retransmissions of an EAP message when an identity including an error is received.

먼저, EAP 인증 과정을 시작하기 위해, 망접속 서버(20)는 사용자 단말(10)로 EAP 아이덴티티 요청 메시지를 전송한다(502).First, in order to start the EAP authentication process, the network access server 20 transmits an EAP identity request message to the user terminal 10 (502).

이에 대한 응답으로, 사용자 단말(10)은 EAP 아이덴티티 응답 메시지를 망접속 서버(20)로 전송한다(504). 그리고 망접속 서버(20)는 EAP 아이덴티티 응답 메시지를 EAP 인증 서버(30)로 전송한다(506). 즉, EAP 아이덴티티 응답 메시지는 망접속 서버(20)를 통해 EAP 인증 서버(20)까지 전송된다.In response, the user terminal 10 transmits an EAP identity response message to the network access server 20 (504). The network access server 20 transmits an EAP identity response message to the EAP authentication server 30 (506). That is, the EAP identity response message is transmitted to the EAP authentication server 20 through the network access server 20.

그리고 사용자 단말(10)에서 전송된 아이덴티티값에 오류가 있는 경우(508), EAP 인증 서버(30)는 EAP 인증 과정을 종료하지 않는다.If there is an error in the identity value transmitted from the user terminal 10 (508), the EAP authentication server 30 does not end the EAP authentication process.

즉, 아이덴티티값에 오류가 있는 경우(508), EAP 인증 서버(30)는 망접속 서버(20)로 EAP 요청/AKA 아이덴티티 메시지를 전송한다(510). 이어서, 망접속 서버(20)는 EAP 요청/AKA 아이덴티티 메시지를 사용자 단말(10)로 전송한다(512).That is, when there is an error in the identity value (508), the EAP authentication server 30 transmits the EAP request / AKA identity message to the network access server 20 (510). Subsequently, the network access server 20 transmits an EAP request / AKA identity message to the user terminal 10 (512).

그리고 사용자 단말(10)은 TLS를 지원하는 EAP 부정 응답(TLS 지원)(EAP- Response/NAK) 메시지를 망접속 서버(20)로 전송한다(514). 이어서, 망접속 서버(20)는 TLS를 지원하는 EAP 부정 응답 메시지를 EAP 인증 서버(30)로 전송한다(516).The user terminal 10 transmits an EAP negative response (TLS support) message (EAP-Response / NAK) message supporting TLS to the network access server 20 (514). Subsequently, the network access server 20 transmits an EAP negative response message supporting the TLS to the EAP authentication server 30 (516).

이후, EAP 인증 서버(30)는 EAP 요청(EAP-Request)/EAP-TLS(시작) 메시지를 망접속 서버(20)로 전송한다(518). 이어서, 망접속 서버(20)는 EAP 요청/EAP-TLS(시작) 메시지를 사용자 단말(10)로 전송한다(520).Thereafter, the EAP authentication server 30 transmits an EAP request (EAP-Request) / EAP-TLS (start) message to the network access server 20 (518). Subsequently, the network access server 20 transmits an EAP request / EAP-TLS (start) message to the user terminal 10 (520).

그리고 사용자 단말(10)은 EAP 응답 메시지를 망접속 서버(20)로 전송한다(522). 이어서, 망접속 서버(20)는 EAP 응답 메시지를 EAP 인증 서버(30)로 전송한다(524).The user terminal 10 transmits an EAP response message to the network access server 20 (522). Subsequently, the network access server 20 transmits an EAP response message to the EAP authentication server 30 (524).

이후, EAP 인증 서버(30)는 사용자 단말(10)의 인증 결과에 따라 EAP 성공 또는 EAP 실패 메시지를 망접속 서버(20)로 전송한다(526). 이어서, 망접속 서버(20)는 EAP 성공 또는 EAP 실패 메시지를 사용자 단말(10)로 전송한다(528). 그러면, EAP 인증 과정이 종료된다.Thereafter, the EAP authentication server 30 transmits an EAP success or EAP failure message to the network access server 20 according to the authentication result of the user terminal 10 (526). Subsequently, the network access server 20 transmits an EAP success or EAP failure message to the user terminal 10 (528). Then, the EAP authentication process ends.

상기의 도 2와 같이, 일반적으로 오류가 포함된 아이덴티티 수신 시, EAP 인증 서버(30)는 최소 3회의 EAP 아이덴티티 요청 메시지를 전송한다.As shown in FIG. 2, when receiving an identity including an error in general, the EAP authentication server 30 transmits at least three EAP identity request messages.

하지만, 본 발명에 따른 EAP 인증 방법의 "510" 과정에서는 오류가 포함된 아이덴티티 수신 시, EAP 인증 서버(30)는 EAP 아이덴티티 요청 메시지 대신 EAP 요청/AKA 아이덴티티 메시지를 전송함으로써, EAP 아이덴티티 요청 메시지의 전송 횟수를 감소시킬 수 있다.However, in the "510" process of the EAP authentication method according to the present invention, upon receiving an identity including an error, the EAP authentication server 30 transmits an EAP request / AKA identity message instead of an EAP identity request message, thereby transmitting an EAP identity request message. The number of transmissions can be reduced.

즉, 오류가 포함된 아이덴티티를 전송한 사용자 단말(10)이 EAP-AKA가 아닌 EAP-TLS 또는 EAP-MD5와 같은 인증함수를 이용하고 있을 경우를 살펴보기로 한다. 이러한 경우, "512" 과정과 같이, EAP 인증 서버(30)로부터 EAP 아이덴티티 요청 메시지가 아닌 EAP 요청/AKA 아이덴티티 메시지를 수신하게 되면, 해당 사용자 단말(10)은 ""514" 과정과 같이 EAP 부정 응답 메시지(EAP-Response/NAK)에 사용자 단말(10)이 이용하는 인증함수의 종류를 포함하여 전송하게 된다.That is, a case in which the user terminal 10 that transmits an identity including an error is using an authentication function such as EAP-TLS or EAP-MD5 rather than EAP-AKA will be described. In this case, when receiving the EAP request / AKA identity message rather than the EAP identity request message from the EAP authentication server 30 as in the process of “512”, the user terminal 10 may deny the EAP as in the process of “514”. The response message (EAP-Response / NAK) is transmitted including the type of authentication function used by the user terminal 10.

EAP 인증 서버(30)는 추가적인 아이덴티티 검증이나 아이덴티티 요구 없이 사용자 단말(10)이 이용하는 EAP 인증함수에 맞는 다음 EAP 메시지를 사용자 단말(10)로 바로 전송할 수 있다. 즉, 아이덴티티에 포함되는 오류가 사용자 단말(10) 자체의 오류에 의한 것일 경우, EAP 인증 서버(30)가 EAP 아이덴티티 요청 메시지를 재요청하더라도 EAP 인증 서버(30)가 수신하는 아이덴티티에는 계속 오류가 포함되게 된다. 그러므로 사용자 단말(10)과 EAP 인증 서버(30)는 EAP 메시지를 불필요하게 반복 통신한 후 EAP 인증 과정을 종료하게 된다. 이러한 가능성을 없애는 동시에, EAP 인증 서버(30)가 올바른 아이덴티티를 수신하더라도 아이덴티티의 패턴을 분석하여 사용자 단말(10)이 이용하는 EAP 인증함수를 검증해야 하는 과정도 생략할 수 있게 된다.The EAP authentication server 30 may directly transmit the next EAP message corresponding to the EAP authentication function used by the user terminal 10 to the user terminal 10 without additional identity verification or identity request. That is, if the error included in the identity is due to an error of the user terminal 10 itself, even if the EAP authentication server 30 re-requests the EAP identity request message, the identity received by the EAP authentication server 30 continues to have an error. It will be included. Therefore, the user terminal 10 and the EAP authentication server 30 ends the EAP authentication process after repeatedly communicating the EAP message unnecessarily. While eliminating this possibility, even if the EAP authentication server 30 receives the correct identity, the process of analyzing the pattern of the identity and verifying the EAP authentication function used by the user terminal 10 can be omitted.

한편, 전술한 바와 같은 본 발명의 방법은 컴퓨터 프로그램으로 작성이 가능하다. 그리고 상기 프로그램을 구성하는 코드 및 코드 세그먼트는 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 상기 작성된 프로그램은 컴퓨터가 읽을 수 있는 기록매체(정보저장매체)에 저장되고, 컴퓨터에 의하여 판독되고 실행됨으로써 본 발명의 방법을 구현한다. 그리고 상기 기록매체는 컴퓨 터가 판독할 수 있는 모든 형태의 기록매체를 포함한다.On the other hand, the method of the present invention as described above can be written in a computer program. And the code and code segments constituting the program can be easily inferred by a computer programmer in the art. In addition, the written program is stored in a computer-readable recording medium (information storage medium), and read and executed by a computer to implement the method of the present invention. The recording medium may include any type of recording medium that can be read by a computer.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by the drawings.

도 1 은 일반적인 확장가능 인증 프로토콜의 인증 방법에 대한 흐름도,1 is a flowchart illustrating an authentication method of a general scalable authentication protocol;

도 2 는 일반적인 아이덴티티 오류인 경우의 EAP 인증 방법에 대한 흐름도,2 is a flowchart illustrating an EAP authentication method in case of a general identity error;

도 3 은 본 발명에 따른 EAP 아이덴티티를 이용한 EAP 인증함수 식별 방법에 대한 일실시예 흐름도,3 is a flowchart illustrating an EAP authentication function identification method using an EAP identity according to the present invention;

도 4 는 본 발명에 따른 EAP 아이덴티티를 이용한 EAP 인증함수 식별 방법에 대한 다른 실시예 흐름도,4 is a flowchart illustrating another embodiment of a method for identifying an EAP authentication function using an EAP identity according to the present invention;

도 5 는 본 발명에 따른 아이덴티티 오류인 경우의 EAP 인증 방법에 대한 일실시예 흐름도이다.5 is a flowchart illustrating an EAP authentication method in case of an identity error according to the present invention.

* 도면의 주요 부분에 대한 부호의 설명* Explanation of symbols for the main parts of the drawings

10: 사용자 단말 20: 망접속 서버10: user terminal 20: network access server

30: EAP 인증 서버30: EAP authentication server

Claims (13)

인증함수 식별 방법에 있어서,In the authentication function identification method, 사용자 단말로부터 확장가능 인증 프로토콜의 아이덴티티 응답 메시지를 수신하는 아이덴티티 수신 단계;An identity receiving step of receiving an identity response message of a scalable authentication protocol from a user terminal; 상기 수신된 확장가능 인증 프로토콜의 아이덴티티 응답 메시지로부터 아이덴티티의 패턴을 확인하는 아이덴티티 확인 단계;Verifying an identity pattern from an identity response message of the received scalable authentication protocol; 상기 확인된 아이덴티티의 패턴에 따라 상기 사용자 단말과의 확장가능 인증 프로토콜의 인증함수를 식별하는 함수 식별 단계; 및A function identification step of identifying an authentication function of an extensible authentication protocol with the user terminal according to the pattern of the identified identity; And 상기 식별된 인증함수에 따라 확장가능 인증 프로토콜의 요청 및 응답 메시지를 전송하여 상기 사용자 단말과의 인증 과정을 수행하는 인증 수행 단계Performing an authentication process with the user terminal by transmitting a request and response message of an extensible authentication protocol according to the identified authentication function; 를 포함하는 확장가능 인증 프로토콜에서의 인증함수 식별 방법.Authentication function identification method in the scalable authentication protocol comprising a. 제 1 항에 있어서,The method of claim 1, 상기 함수 식별 단계는,The function identification step, 상기 확인된 아이덴티티의 패턴이 MAC 주소 패턴이면, 상기 사용자 단말과의 확장가능 인증 프로토콜의 인증함수를 EAP-TLS로 식별하는 확장가능 인증 프로토콜에서의 인증함수 식별 방법.And identifying the authentication function of the scalable authentication protocol with the user terminal as EAP-TLS if the pattern of the identified identity is a MAC address pattern. 제 1 항에 있어서,The method of claim 1, 상기 함수 식별 단계는,The function identification step, 상기 확인된 아이덴티티의 패턴이 캐릭터 패턴이면, 상기 사용자 단말과의 확장가능 인증 프로토콜의 인증함수를 EAP-TTLS로 식별하는 확장가능 인증 프로토콜에서의 인증함수 식별 방법.And identifying the authentication function of the scalable authentication protocol with the user terminal as EAP-TTLS when the pattern of the identified identity is a character pattern. 제 1 항에 있어서,The method of claim 1, 상기 함수 식별 단계는,The function identification step, 상기 확인된 아이덴티티의 패턴이 디지트값 패턴이면, 상기 사용자 단말과의 확장가능 인증 프로토콜의 인증함수를 EAP-AKA로 식별하는 확장가능 인증 프로토콜에서의 인증함수 식별 방법.And identifying the authentication function of the scalable authentication protocol with the user terminal as EAP-AKA if the pattern of the identified identity is a digit value pattern. 제 1 항에 있어서,The method of claim 1, 상기 함수 식별 단계는,The function identification step, 상기 확인된 아이덴티티의 패턴이 MAC 주소 패턴, 캐릭터 패턴 및 디지트값 패턴과 일치하지 않으면, 상기 확인된 아이덴티티를 EAP-AKA의 변동 아이덴티티로 식별하는 확장가능 인증 프로토콜에서의 인증함수 식별 방법.If the pattern of the identified identity does not match the MAC address pattern, character pattern, and digit value pattern, identifying the identified identity as a variable identity of EAP-AKA. 제 5 항에 있어서,The method of claim 5, 상기 인증 수행 단계는,The performing of the authentication, 상기 확인된 아이덴티티가 EAP-AKA의 변동 아이덴티티로 식별되면, EAP 요청 및 AKA 신청 메시지를 망접속 서버로 전송하되, 상기 EAP-AKA의 변동 아이덴티티로부터 고정 아이덴티티를 추출하는 확장가능 인증 프로토콜에서의 인증함수 식별 방법.If the identified identity is identified as the variable identity of EAP-AKA, an authentication function in the scalable authentication protocol for transmitting an EAP request and an AKA request message to the network access server, and extracting a fixed identity from the variable identity of the EAP-AKA. Identification method. 제 6 항에 있어서,The method of claim 6, 상기 인증 수행 단계는,The performing of the authentication, 상기 EAP-AKA의 변동 아이덴티티로부터 고정 아이덴티티의 추출이 실패하면 상기 확인된 아이덴티티에 오류가 포함된 것으로 확인하여 상기 망접속 서버로 아이덴티티를 재요청하는 확장가능 인증 프로토콜에서의 인증함수 식별 방법.If the extraction of the fixed identity from the change identity of the EAP-AKA fails, the authentication function identification method in the extensible authentication protocol to confirm that the identified identity contains an error and to request the identity to the network access server. 제 7 항에 있어서,The method of claim 7, wherein 상기 인증 수행 단계는,The performing of the authentication, 상기 확인된 아이덴티티에 오류가 포함된 것으로 확인되면, EAP 아이덴티티 요청 메시지를 대신하여 EAP-요청/AKA-아이덴티티 메시지를 전송하는 아이덴티티 재요청 단계If it is determined that the identified identity contains an error, an identity re-request step of transmitting an EAP-Request / AKA-Identity message instead of an EAP Identity Request message. 를 더 포함하는 확장가능 인증 프로토콜에서의 인증함수 식별 방법.Authentication function identification method in the scalable authentication protocol further comprising. 인증함수 식별 방법에 있어서,In the authentication function identification method, 사용자 단말이 확장가능 인증 프로토콜의 아이덴티티 요청 메시지를 수신하는 아이덴티티 요청 단계;An identity request step of the user terminal receiving an identity request message of a scalable authentication protocol; 상기 수신된 아이덴티티 요청 메시지에 따라 확장가능 인증 프로토콜의 아이덴티티 응답 메시지의 전송에 필요한 인증함수정보를 아이덴티티의 데코레이션으로 추가하는 함수정보 추가 단계; 및Adding function information required for transmission of the identity response message of the scalable authentication protocol to the decoration of the identity according to the received identity request message; And 상기 인증함수정보가 추가된 아이덴티티를 EAP 인증 서버로 전송하는 아이덴티티 전송 단계Identity transmission step of transmitting the identity to which the authentication function information is added to the EAP authentication server. 를 포함하는 확장가능 인증 프로토콜에서의 인증함수 식별 방법.Authentication function identification method in the scalable authentication protocol comprising a. 제 9 항에 있어서,The method of claim 9, 상기 EAP 인증 서버로부터 확장가능 인증 프로토콜의 아이덴티티 요청 대신 EAP-요청/AKA-아이덴티티 메시지를 수신하면, 확장가능 인증 프로토콜의 부정 응답 메시지에 인증함수의 종류를 표시하여 전송하는 인증함수 전송 단계When receiving the EAP-Request / AKA-Identity message from the EAP authentication server instead of the identity request of the scalable authentication protocol, the authentication function transmission step of indicating the type of authentication function in the negative response message of the scalable authentication protocol and transmits it. 를 더 포함하는 확장가능 인증 프로토콜에서의 인증함수 식별 방법.Authentication function identification method in the scalable authentication protocol further comprising. 제 9 항 또는 제 10 항에 있어서,11. The method according to claim 9 or 10, 상기 함수정보 추가 단계는,The function information addition step, 상기 인증함수정보를 AVP 이름과 AVP 값에 포함시켜 아이덴티티의 데코레이션으로 추가하는 확장가능 인증 프로토콜에서의 인증함수 식별 방법.And authentication function information included in the AVP name and the AVP value to add to the decoration of the identity. 인증함수 식별 방법에 있어서,In the authentication function identification method, EAP 인증 서버가 사용자 단말로부터 확장가능 인증 프로토콜의 아이덴티티 응답 메시지를 수신하는 아이덴티티 수신 단계;An identity receiving step of the EAP authentication server receiving an identity response message of a scalable authentication protocol from a user terminal; 상기 수신된 확장가능 인증 프로토콜의 아이덴티티 응답 메시지로부터 아이덴티티의 데코레이션을 확인하는 데코레이션 확인 단계;A decorating step of confirming a decoration of an identity from an identity response message of the received scalable authentication protocol; 상기 확인된 데코레이션에 따라 상기 사용자 단말과의 확장가능 인증 프로토콜의 인증함수를 식별하는 함수 식별 단계; 및A function identification step of identifying an authentication function of a scalable authentication protocol with the user terminal according to the confirmed decoration; And 상기 식별된 인증함수에 따라 확장가능 인증 프로토콜의 요청 및 응답 메시지를 전송하여 상기 사용자 단말과의 인증 과정을 수행하는 인증 수행 단계Performing an authentication process with the user terminal by transmitting a request and response message of an extensible authentication protocol according to the identified authentication function; 를 포함하는 확장가능 인증 프로토콜에서의 인증함수 식별 방법.Authentication function identification method in the scalable authentication protocol comprising a. 제 12 항에 있어서,13. The method of claim 12, 상기 함수 식별 단계는,The function identification step, 상기 확인된 데코레이션의 AVP 이름과 AVP 값을 이용하여 상기 사용자 단말과의 확장가능 인증 프로토콜의 인증함수를 식별하는 확장가능 인증 프로토콜에서의 인증함수 식별 방법.The authentication function identification method of the scalable authentication protocol for identifying the authentication function of the scalable authentication protocol with the user terminal by using the AVP name and AVP value of the confirmed decoration.
KR1020080131538A 2008-12-22 2008-12-22 Method for identifying authentication function in extensible authentication protocol KR101025083B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080131538A KR101025083B1 (en) 2008-12-22 2008-12-22 Method for identifying authentication function in extensible authentication protocol

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080131538A KR101025083B1 (en) 2008-12-22 2008-12-22 Method for identifying authentication function in extensible authentication protocol

Publications (2)

Publication Number Publication Date
KR20100072966A KR20100072966A (en) 2010-07-01
KR101025083B1 true KR101025083B1 (en) 2011-03-25

Family

ID=42636035

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080131538A KR101025083B1 (en) 2008-12-22 2008-12-22 Method for identifying authentication function in extensible authentication protocol

Country Status (1)

Country Link
KR (1) KR101025083B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101108233B1 (en) 2011-07-27 2012-02-20 아이엠소프트(주) Radius system for control and certification unlicensed wireless lan having web-based interface and method thereof

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101678401B1 (en) * 2010-07-20 2016-11-23 에스케이텔레콤 주식회사 System and method for subscriber multi authentication

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050109685A (en) * 2004-05-17 2005-11-22 에스케이 텔레콤주식회사 Method and system for user authentication based on extensible authentication protocol coexisting with device authentication in portable internet system
KR20060039126A (en) * 2004-11-02 2006-05-08 한국전자통신연구원 Amethod for terminal authenticating in portable internet system
KR20060042045A (en) * 2004-08-25 2006-05-12 한국전자통신연구원 Method for security association negotiation with extensible authentication protocol in wireless portable internet system
KR20080087883A (en) * 2006-12-08 2008-10-01 가부시끼가이샤 도시바 Eap method for eap extension(eap-ext)

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050109685A (en) * 2004-05-17 2005-11-22 에스케이 텔레콤주식회사 Method and system for user authentication based on extensible authentication protocol coexisting with device authentication in portable internet system
KR20060042045A (en) * 2004-08-25 2006-05-12 한국전자통신연구원 Method for security association negotiation with extensible authentication protocol in wireless portable internet system
KR20060039126A (en) * 2004-11-02 2006-05-08 한국전자통신연구원 Amethod for terminal authenticating in portable internet system
KR20080087883A (en) * 2006-12-08 2008-10-01 가부시끼가이샤 도시바 Eap method for eap extension(eap-ext)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101108233B1 (en) 2011-07-27 2012-02-20 아이엠소프트(주) Radius system for control and certification unlicensed wireless lan having web-based interface and method thereof

Also Published As

Publication number Publication date
KR20100072966A (en) 2010-07-01

Similar Documents

Publication Publication Date Title
EP3750342B1 (en) Mobile identity for single sign-on (sso) in enterprise networks
JP4801147B2 (en) Method, system, network node and computer program for delivering a certificate
EP2168068B1 (en) Method and arrangement for certificate handling
US11082838B2 (en) Extensible authentication protocol with mobile device identification
US9716999B2 (en) Method of and system for utilizing a first network authentication result for a second network
KR100927944B1 (en) Method and apparatus for optimal transmission of data in wireless communication system
US9686669B2 (en) Method of configuring a mobile node
US8176327B2 (en) Authentication protocol
JP6086987B2 (en) Restricted certificate enrollment for unknown devices in hotspot networks
KR100755394B1 (en) Method for fast re-authentication in umts for umts-wlan handover
US20060019635A1 (en) Enhanced use of a network access identifier in wlan
US20070098176A1 (en) Wireless LAN security system and method
US20090028101A1 (en) Authentication method in a radio communication system, a radio terminal device and radio base station using the method, a radio communication system using them, and a program thereof
KR20060067263A (en) Fast re-authentication method when handoff in wlan-umts interworking network
US20030236980A1 (en) Authentication in a communication system
US9807088B2 (en) Method and network node for obtaining a permanent identity of an authenticating wireless device
EP1624639B1 (en) Sim-based authentication
WO2006079953A1 (en) Authentication method and device for use in wireless communication system
KR101025083B1 (en) Method for identifying authentication function in extensible authentication protocol
US20110153819A1 (en) Communication system, connection apparatus, information communication method, and program
KR20140095050A (en) Method and apparatus for supporting single sign-on in a mobile communication system

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140304

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150304

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160304

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170322

Year of fee payment: 7