KR101108233B1

KR101108233B1 - 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증용 라디우스 시스템 및 그 방법

Info

Publication number: KR101108233B1
Application number: KR1020110074345A
Authority: KR
Inventors: 정연우
Original assignee: 아이엠소프트(주)
Priority date: 2011-07-27
Filing date: 2011-07-27
Publication date: 2012-02-20

Abstract

본 발명은 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증용 라디우스(RADIUS, Remote Authentication Dial-in User Service) 시스템에 관한 것으로, 리눅스 운영체제(OS)의 PC에서 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증용 라디우스 시스템에 있어서, EAP 인증 처리 및 EAP 인증 처리 후에 키를 전송하고 표준 RADIUS 프로토콜을 수행하며, SIP(Session Initiation Protocol)-VoIP(Voice over Internet Protocol) 인증, MAC+ID 조합 인증 및 공인인증서와 연동이 가능한 라디우스 기반의 인증서버; MySQL 기반으로 생성된 DB테이블을 포함하고, 인터페이스를 통해 외부 DB와 연동되며, 이중화를 위한 자체 DB 응답을 위한 모듈을 포함하고, 사용자 관리를 위하여 복수의 사용자 정보를 저장 및 입출력하는 사용자DB; 사용자의 접속위치, 시간, 사용량, 날짜 및 요일에 관한 각종 정보를 제공하는 인증서버의 상태를 그래픽으로 표시하는 사용자 중심의 시각화를 위한 웹 기반 관리화면; 윈도우즈 모듈 운영체제(OS)의 사용 환경을 지원하고, 무선랜 검색, 검색된 무선랜의 보안 내용의 분석, EAP 인증 수행 및 무선구간의 암호화를 수행하여 무선 인증 접속을 위한 PC에이전트를 포함하여 이루어진 것이다. 본 발명은 종래 무선랜 제품에서 제공되지 않는 SIP-VoIP 인증, MAC+ID 조합 인증 등을 제공하고, 공인인증서와 연동이 가능한 시스템으로 사설 인증서의 발급, 폐기, 조회 기능을 제공하여 인증방식을 다양화하고, 사용자의 접속위치, 시간, 사용량, 요일 등의 정보 제공, 실시간 현재 접속자 조회 및 통계 기능의 제공, 인증 Client로 공지사항 등의 메시지 전송기능 구현, 현재 서버 상태를 그래픽을 통하여 사용자에게 제공 및 DHCP 서버 기능의 구현을 통한 사용자 편의성을 극대화한 것이다.

Description

웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증용 라디우스 시스템 및 그 방법{RADIUS System for Control and Certification Unlicensed Wireless LAN having Web-based Interface and Method thereof}

본 발명은 무선랜 보안 시스템에 관한 것으로, 더욱 상세하게는 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증용 라디우스(RADIUS, Remote Authentication Dial-in User Service) 시스템에 관한 것이다.

일반적으로 무선랜 보안 시스템은 국제 표준의 IEEE 802.1x 인증을 사용하여 사용자의 접근 제어를 수행하는 시스템으로 도 1의 구성을 기본으로 하고 있다. 사용자(Supplicant)는 무선랜(Authenticator)로 EAP(Extensible Authentication Protocol) 인증을 보내고, 무선랜은 이 사용자 인증정보를 RADIUS 프로토콜로 무선랜 보안 시스템으로 전송한다. 무선랜 보안 시스템은 사용자의 정보를 통해 사용자의 접근 허가를 결정하며, 무선 구간의 암호화를 수행하는 Master 키값을 사용자 PC로 내리는 역할을 한다. 무선랜 보안 시스템은 IEEE 802.1x EAP 인증 수행을 표준에 맞게 수행해야 하고, IEEE 802.11i의 표준에 따라 무선구간의 데이터 암호화를 할 수 있는 키값 생성 및 RADIUS 표준을 모두 만족해야만 한다. 또한, 표준의 변경사항을 항상 적용하여야 모든 무선랜 제조사의 제품과 호환성을 유지할 수 있으므로 지속적인 기술 개발이 필요하다.

다음은 EAP 인증기술의 내용 및 특성으로, EAP 인증 표준은 크게 ID/PW 기반의 인증 방법과 인증서(CA)기반의 인증으로 볼 수 있다.

즉 EAP-MD-5(Message Digest) Challenge는 기본적인 수준의 EAP 지원을 제공하는 EAP 인증 유형이다. EAP-MD-5는 사용자 암호를 알아낼 수 있으므로 일반적으로 무선 LAN 구현에는 권장되지 않는다. 이 인증 유형은 실제로는 무선 클라이언트와 네트워크에 대한 상호 인증 단계가 없으므로 단방향 인증만 제공한다. 또한, 동적인 세션 기반 WEP(Wired Equivalent Privacy) 키를 알아낼 수 있는 방법을 제공하지 않는다는 점에서 매우 중요한 인증 유형 중 하나이다. 그리고 EAP-TLS(Transport Layer Security)는 클라이언트 및 네트워크에 대한 인증서 기반 상호 인증 기능을 제공한다. 이 방법은 클라이언트측 인증서와 서버측 인증서를 통해 인증을 수행하며 WLAN 클라이언트와 액세스 포인트 사이의 후속 통신에 대한 보안을 강화하기 위해 사용자 기본 WEP 키 및 세션 기반 WEP 키를 동적으로 생성한다. EAP-TLS의 한 가지 단점은 클라이언트측과 서버측 모두에서 인증서를 관리해야 한다는 점이다. 이는 규모가 큰 WLAN을 설치하는 경우 번거로운 작업이 될 수 있다. 또한, EAP-TTLS(Tunneled Transport Layer Security)는 Funk Software와 Certicom이 EAP-TLS를 보강하여 개발한 방법이다. 이 보안 방법은 암호화된 채널(또는 터널)을 통해 클라이언트와 네트워크에 대한 인증서 기반 상호 인증 및 동적인 사용자 또는 세션 기반 WEP 키를 생성할 수 있는 방법을 제공한다. EAP-TLS와 달리 EAP-TTLS에는 서버측 인증서만 있으면 된다. 또한, LEAP(Lightweight Extensible Authentication Protocol)는 주로 Cisco Aironet WLAN에서 사용하는 EAP 인증 유형으로, 동적으로 생성된 WEP 키를 사용하여 전송 데이터를 암호화하며 상호 인증을 지원한다. Cisco는 얼마 전까지 LEAP에 대한 독점권을 행사해 왔으나 최근 여러 다른 제조업체에 LEAP에 대한 사용권을 허가하여 Cisco 제품이 아닌 어댑터에도 LEAP를 사용할 수 있도록 했다. 또한, PEAP(Protected Extensible Authentication Protocol)는 레거시 암호 기반 프로토콜과 같은 인증 데이터를 802.11 무선 네트워크를 통해 안전하게 전송할 수 있는 방법을 제공한다. PEAP는 PEAP 클라이언트와 인증 서버 간 터널링을 사용하여 이 기능을 수행한다. PEAP는 유사한 기능을 수행하는 TTLS( Tunneled Transport Layer Security)와 같이 서버측 인증서만을 사용하여 보안 무선 LAN의 구현 및 관리를 간소화함으로써 무선 LAN 클라이언트를 인증한다. PEAP는 Microsoft, Cisco 및 RSA Security에서 개발한 방법이다. Cisco의 LEAP 인증 서버인 ACS는 최근에 PEAP에 대한 지원을 추가하였다.

도 2에서는 Wi-Fi Alliance에서 제시하는 무선 구간 암호화 내용이며, 기본적으로 암호화 기능은 무선랜(Authenticator)에서 수행하며, 암호화를 위한 키값도 뭔랜에서 관리가 가능하게 설계되어 있으나, Dynamic Wep방식에서부터 가장 최신의 암호화 방식인 WAPv2 AES방식의 사용을 위한 표준은 인증서버에서 키값을 부여 받도록 설계되어 있다. 802.1x 및 AES 암호화 기법을 사용하여 Tgi를 완벽하게 구현할 수 있을 때까지 가장 안전한 WLAN 보안 방법은 VPN을 구현하는 것이다. 즉 기업 방화벽 외부에 액세스 포인트를 설치하고, 사용자가 원격 사용자인 것처럼 VPN 게이트웨이를 통해 통신하도록 하는 것이다. VPN 솔루션 구현 방법의 단점은 비용이 많이 소요되고 초기 설치 과정이 복잡하며 지속적인 관리 부담을 고려해야 한다.

따라서 종래의 무선랜 보안 시스템은 국내에서 판매되는 PC의 절반이상이 무선랜을 탑재한 노트북이 차지하고 있고, 기업의 네트워크 접속환경은 유선랜에서 무선랜으로 급격하게 교체되어 가고 있다. 최근 기업이나 학교 등에서 무선랜 설치의 요구는 커져가고 있고, 신축 건물에는 기본적으로 무선랜을 고려하여 설계되고 있다. 이러한 유선에서 무선으로의 네트워크 접속환경의 변화는 모바일 사용자의 증가와 편리한 네트워크 접속성을 주기 때문이다. 그러나 무선랜은 무선구간 보안의 문제점과 인증서버의 문제점 등으로 인하여 해킹이나 의도하지 않은 공유나 자료 유출 등의 위협을 안고 있다. 무선랜 보안 시스템은 이러한 위협을 회피하고 안전한 무선랜 환경구축을 가능하게 하며 궁극적으로 내부 네트워크를 보호할 수 있도록 하여야 한다.

상기 무선구간 보안의 문제점은 IEEE 802.11 규격에서는 WEP(Wired Equivalent Privacy) 알고리즘을 사용하여 데이터 암호화를 수행하고, 그 암호 키는 미리 공유하여 고정적인 상태로 사용하도록 정의하고 있다. 그러나 WEP 알고리즘은 IV(Initialization Vector)의 평문전송, 키 스트림의 단순성, 고정키 사용에 따른 RC4 키 갱신 부재 등으로 인해 키 길이에 상관없이 그 보안기능이 취약하다고 판명되었다. 이러한 WEP 보안상의 취약점으로 인해 WEP 알고리즘을 사용하는 무선구간에서는 공격자가 암호문으로부터 평문을 유도할 수 있다. 따라서 IEEE 802.11 규격의 무선랜 시스템에서는 무선구간 보안을 위하여 상기의 취약점을 보완할 수 있도록 보안성이 강화된 새로운 암호 알고리즘의 정의와 동적인 키 분배 및 키 갱신에 대한 표준화작업이 필요하다.

그리고 인증서버의 문제점으로는 무선랜 보안 시스템의 인증서버는 일반적으로 AP(Access Point)와 안전한 채널을 유지하며, 무선랜 사용자와 EAP 인증 메시지를 교환하여 인증 여부를 판단한다. RADIUS 서버가 대표적인 인증서버이며, AP는 RADIUS 메시지를 생성하여 인증서버와 통신하는 RADIUS 클라이언트 역할을 수행한다. 그러나 최근 무선랜 환경은 핫스팟(Hot spot) 지역에서 AP를 통해 직접 인터넷에 접속하는 형태로, PPP 접속에서의 NAS(Network Access Server)와는 다른 방식이므로 기존의 클라이언트/서버 모델 기반의 RADIUS를 인증 및 과금 서버로 사용하기에는 적합하지 않다. 즉 인증서버에 접속하기 위한 NAS로 동작하는 AP는 PC 통신 서버의 수에 비해서 상대적으로 매우 많고 이를 관리하는 주체도 대단히 많을 것으로 예상되는 상황에서 단순한 프록시(Proxy) 기능만을 지닌 RADIUS를 이용하여 이들을 효과적으로 상호 연계시키는 것이 현실적으로 어렵고, 무선랜의 다양한 운용환경, 예를 들어, 공용망에서의 불특정 다수에 의한 단독망이나 공용망과 단독망의 혼합된 형태의 운용에 따라 다른 서비스를 제공하는 것도 쉽지 않을 것이며, 큰 규모의 적용환경에 취약한 것으로 알려져 있다

이와 같이 종래 무선랜 보안 시스템은, 첫째, RC4를 사용하는 WEP 알고리즘 자체가 알려진 평문 공격에 취약하다. 둘째, 동적인 키 분배 방법이 없다. 셋째, 가입자 인증 및 접속제어 방법이 없다. 넷째, 공중망에 적용을 위한 중앙집중형 인증/권한제어/과금(AAA) 방법이 없다. 다섯째, 인증서, 보안토큰, ID/패스워드, SIM 등을 지원하는 다양한 가입자 인증방식이 없다. 여섯째, 핸드오프 보안을 지원하지 못한다.

상기 다양한 무선랜의 취약성을 막기 위한 방법으로 무선랜을 구축할 때에 무선랜 보안 시스템을 도입함으로써, IEEE 802.11i 태스크그룹, IEEE 802.1X 및 IEEE 802.1aa 태스크그룹, IETF AAA 워킹그룹, IETF EAP 워킹그룹, 그리고 IEEE 802.11f 태스크그룹과 IEEE 802.11i 태스크그룹방식의 사용자 접근제어를 사용하여 무선 구간에 강력한 데이터 암호화를 통해 데이터 유출의 방지 및 해독 방지를 해야 한다.

대한민국 공개특허공보 제10-2003-0082855호 대한민국 공개특허공보 제10-2007-0015389호 대한민국 공개특허공보 제10-2009-0083211호

본 발명은 국제표준을 완벽하게 수행하면서 모든 무선랜 제조사의 제품과 호환이 가능하고 EAP 인증을 수행할 수 있는 RADIUS 프로토콜 지원이 가능한 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증용 RADIUS 시스템과 사용자 관리를 위한 DB의 탑재 및 그 접속프로그램의 제공으로 사용자의 PC에서 802.1x 인증 접속을 수행할 수 있도록 하기 위한 것이 목적이다.

또한, 본 발명은 무선랜의 무선구간 보안의 문제나 인증서버의 문제 등으로 인하여 해킹이나 의도하지 않은 공유나 자료의 유출을 방지할 수 있도록 하기 위한 것이 다른 목적이다.

본 발명은 상기 목적을 달성하기 위하여, 리눅스 운영체제(OS)의 PC에서 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증용 라디우스 시스템에 있어서, EAP 인증 처리 및 EAP 인증 처리 후에 키를 전송하고 표준 RADIUS 프로토콜을 수행하며, SIP(Session Initiation Protocol)-VoIP(Voice over Internet Protocol) 인증, MAC+ID 조합 인증 및 공인인증서와 연동이 가능한 라디우스 기반의 인증서버; MySQL 기반으로 생성된 DB테이블을 포함하고, 인터페이스를 통해 외부 DB와 연동되며, 이중화를 위한 자체 DB 응답을 위한 모듈을 포함하고, 사용자 관리를 위하여 복수의 사용자 정보를 저장 및 입출력하는 사용자DB; 사용자의 접속위치, 시간, 사용량, 날짜 및 요일에 관한 각종 정보를 제공하는 인증서버의 상태를 그래픽으로 표시하는 사용자 중심의 시각화를 위한 웹 기반 관리화면; 윈도우즈 모듈 운영체제(OS)의 사용 환경을 지원하고, 무선랜 검색, 검색된 무선랜의 보안 내용의 분석, EAP 인증 수행 및 무선구간의 암호화를 수행하여 무선 인증 접속을 위한 PC에이전트를 포함하는 것이다.

또한, 본 발명에서, 상기 PC에이전트는 802.11i 모듈, 802.1x 모듈, 무선랜 핸들러 및 프로파일 생성 모듈을 포함할 수 있다.

또한, 본 발명은, (a) 인증요청자(Supplicant)가 무선으로 접속되면 인증자(Authenticator)는 인증요청자에게 802.1x EAP 인증을 요청하는 단계; (b) 상기 인증자의 요청에 따라 인증요청자가 인증서 또는 계정을 입력하면 인증자는 인증요청자의 정보를 인증서버로 전송하는 단계; (c) 상기 인증서버는 수신된 인증서 또는 계정에 따라 허가된 인증자의 경우에 인증자에게 포트를 오픈 명령 및 무선데이터 암호화 키를 전송하고 인증자는 네트워크 연결 및 무선데이터 암호화 키를 인증요청자에게 전송하는 단계;를 포함하고, 상기 802.1x EAP 인증을 사용하여 인증 절차가 끝난 후에 인증서버에서 할당받은 무선데이터 암호화 키 값으로 상기 인증요청자와 인증자는 암호화할 실제 키 값을 재생성하여 암호화를 수행하는 것이다.

본 발명은 상기 해결 수단에 의하여, 종래 무선랜 제품에서 제공되지 않는 SIP-VoIP 인증, MAC+ID 조합 인증 등을 제공하고, 공인인증서와 연동이 가능한 시스템으로 사설 인증서의 발급, 폐기, 조회 기능을 제공하여 인증방식을 다양화하고, 사용자의 접속위치, 시간, 사용량, 요일 등의 정보 제공, 실시간 현재 접속자 조회 및 통계 기능의 제공, 인증 Client로 공지사항 등의 메시지 전송기능 구현, 현재 서버 상태를 그래픽을 통하여 사용자에게 제공 및 DHCP 서버 기능의 구현을 통한 사용자 편의성을 극대화하였다. 또한, 본 발명은 외산의 위주의 무선랜 보안 시스템의 수입대체 효과 및 수출 가능성과, 네트워크를 사용하는 거의 모든 PC를 대상으로 제공하는 솔루션으로 중소기업이 보유한 중요데이터 보호 및 개인정보 유출 방지에도 큰 역할을 하는 성장잠재력과 기술의 파급효과를 기대할 수 있다.

도 1은 무선랜 보안 시스템의 구성을 나타낸 도면이다.
도 2는 Wi-Fi Alliance에서 제시하는 무선 구간 암호화 내용을 나타낸 도표이다.
도 3a 내지 도 3l은 AirThrone 보드의 내장된 웹서버를 통해 보드의 설정 변경과 상태를 나타낸 화면이다.
도 4는 본 발명에 따른 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증용 라디우스 시스템을 나타낸 구성도이다.
도 5는 본 발명에 따른 PC 에이전트를 나타낸 구성도이다.
도 6은 본 발명에 따른 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증 방법을 나타낸 흐름도이다.

이하, 본 발명에 따른 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증용 라디우스 시스템에 관하여 첨부된 도면을 참조하여 상세하게 설명한다.

먼저, Davin-AirThrone Linux BSP(Board Support Package)를 개발하기 위해서는 개발에 필요한 PC, 즉 호스트(HOST)에서 다음 조건들을 만족해야 한다. GCC(GNU Compiler Collection, 프리웨어 컴파일러) 4.1 이하의 버전과 10GB 이상의 남는 HDD 용량이 필요하다. 최신 버전의 Linux 시스템들은 GCC 4.1 이상의 버전을 사용하기 때문에 GCC 4.1 이하 버전의 설치 또는 GCC 4.1 이하 버전을 기본으로 사용하는 Linux 시스템에서 개발할 것을 권장한다.

그리고 Linux PC 상에서 TFTP(Trivial File Transfer Protocol) 서버를 구축하려면, 우선 TFTP 서버 데몬 프로그램이 설치되어 있어야 한다. TFTP 서버 데몬의 설치를 위해 Linux 시스템을 설치할 때 패키지 선택 단계에서 전체 설치를 권장하며 설치가 되어있지 않다면 각 Linux 시스템의 패키지 설치 방법을 이용하여 TFTP 서버 데몬을 설치한다. TFTP 서버 데몬을 설치 한 후 /etc/xinetd.d/tftp 설정파일에서 disable 항목을 no로 수정하고 server_args 항목도 /tftpboot로 수정한다. 즉

/etc/xinetd.d/tftp

service tftp

{

socket_type = dgram

protocol = udp

wait = yes

user = root

server = /usr/sbin/in.tftpd

server_args = -s /tftpboot

disable = no

per_source = 11

cps = 100 2

flags = IPv4

}

상기 server_args 항목은 TFTP 서버 데몬이 수행될 때 다운로드 기본 디렉터리를 설정하는 항목으로 이후 실제 다운로드 할 커널이나 파일시스템 이미지를 이 디렉터리에 복사해 두어야 한다.

xinetd를 다시 실행시키고 netstat를 실행하여 TFTP 서버 데몬이 정상 동작하는지 확인한다.

Host PC> /etc/init.d/xinetd restart

xinetd 을 정지 중: [실패]

xinetd 을 시작 중: [성공]

Host PC> netstat -al | grep tftp

udp 0 0 *:tftp *:*

또한, AirThrone 보드를 구동하기 위해 필요한 시스템 이미지(image)들을 구축한다.

Host PC> tar -xvjf DavinTech-AirThrone.tar.bz2

Host PC> cd DavinTech-AirThrone/build

Host PC> make

make 명령을 수행하는 도중 발생하는 …(NEW) [NO/yes] 와 같은 입력을 요구하는 부분에서는 그냥 enter키를 눌러 기본 값으로 진행시켜 준다.

상기 make 명령 수행이 완료되면 DavinTech-AirThrone/images/AirThrone 디렉토리에 다음과 같은 image 파일들이 생성된다.

AirThrone-update.img - http 업그레이드용 시스템 image

AirThrone_routing-jffs2 - 파일시스템 image

redboot.rom - 부트로더 image

vmlinux_routing.bin.gz - 커널 image

vmlinux_routing.info

상기 AirThrone 보드는 8MB FLASH 메모리를 사용하며 FLASH 메모리의 파티션 정보는 부트로더 상에서 fis list 명령을 사용하여 다음의 표와 같이 확인할 수 있다.

상기 생성된 시스템 이미지들을 AirThrone 보드로 설치한다.

첫 번째, 부트로더를 통한 설치이다.

AirThrone 보드와 HostPC를 serial(UART) cable로 연결한 후 serial 통신 프로그램을 Baud 115200, 데이터 비트 8, 패리티 NONE, 정비 비트 1, 흐름제어 NONE으로 설정한다. AirThrone 보드의 WAN Port와 HostPC를 LAN cable로 연결한다.

AirThrone 보드의 전원 인가 후 Ctrl+C 키를 눌러 부트로더를 커맨드 입력 상태로 설정한다.

① HostPC의 /tftpboot 디렉토리에 vmlinux_routing.bin.gz, AirThrone_routing-jffs2 파일을 복사하고 부트로더의 커맨드 창에서 ip_addr 명령어를 사용하여 IP Address 설정을 한다.

-l 옵션으로 AirThrone 보드에 IP Address를 설정하고 -h 옵션으로 HostPC의 IP Address를 설정한다.

RedBoot> ip_addr -l <board ip address>

RedBoot> ip_addr -h <server ip address>

② fis 명령어에 delete 옵션을 사용하여 기존의 커널 파티션을 삭제한다.

RedBoot> fis delete vmlinux

Delete image 'vmlinux' - continue (y/n)? y

... Erase from 0xbf040000-0xbf1a0000: ......................

... Erase from 0xbf7e0000-0xbf7f0000: .

... Program from 0x80ff0000-0x81000000 at 0xbf7e0000: .

③ load 명령어를 사용하여 커널 이미지를 보드로 다운받는다. load 및 fis 명령어를 사용할 때 RAM 메모리와 FLASH 메모리의 주소가 틀리지 않도록 주의한다.

RedBoot> load -r -b 0x80500000 vmlinux_routing.bin.gz -h <server ip address>

Using default protocol (TFTP)

Raw file loaded 0x80500000-0x80644fd5, assumed entry at 0x80500000

④ fis 명령어에 create 옵션을 사용하여 커널 파티션을 생성하고 커널 이미지를 flash 메모리에 programming 한다.

RedBoot> fis create -e 0x80060000 -r 0x80060000 -l 0x160000 vmlinux

... Erase from 0xbf040000-0xbf1a0000: ......................

... Program from 0x80500000-0x80644fd6 at 0xbf040000: ..............

... Erase from 0xbf7e0000-0xbf7f0000: .

... Program from 0x80ff0000-0x81000000 at 0xbf7e0000: .

⑤ 기존의 파일시스템 파티션을 삭제한다.

RedBoot> fis delete filesystem

Delete image 'filesystem' - continue (y/n)? y

... Erase from 0xbf1a0000-0xbf760000: .............................

... Erase from 0xbf7e0000-0xbf7f0000: .

... Program from 0x80ff0000-0x81000000 at 0xbf7e0000: .

⑥ 파일시스템 이미지를 보드로 다운받는다.

RedBoot> load -r -b 0x80500000 AirThrone_routing-jffs2 -h <server ip address>

Using default protocol (TFTP)

Raw file loaded 0x80500000-0x80abffff, assumed entry at 0x80500000

⑦ 파일시스템 파티션을 생성하고 flash 메모리에 파일시스템 이미지를 programming 한다.

RedBoot> fis create -b 0x80500000 -e 0 -l 0x5c0000 filesystem

... Erase from 0xbf1a0000-0xbf760000: ..............................

... Program from 0x80500000-0x80ac0000 at 0xbf1a0000: ................

.. Erase from 0xbf7e0000-0xbf7f0000: .

.. Program from 0x80ff0000-0x81000000 at 0xbf7e0000: .

⑧ reset 명령어를 사용하여 보드를 재부팅한다.

RedBoot> reset

두 번째, 웹 인터페이스를 통한 설치이다.

웹 인터페이스를 통해 시스템 이미지를 설치하기 위해서는 AirThrone 보드가 정상 동작을 하고 있어야 한다.

HostPC와 보드를 LAN cable로 연결한 후 인터넷브라우저 상에서 보드의 IP Address로 접속을 한다.

① 웹 인터페이스의 왼쪽 프레임에서 Firmware Upgrade 링크를 클릭한다.

② Browse 버튼을 누른 후 파일 선택 창에서 시스템 images building을 통해 생성된 AirThrone-update.img를 선택한다.

③ Upload 버튼을 눌러 업그레이드를 시작한다.

④ Upload 버튼을 누른 후에는 반드시 업그레이드가 끝나기 전까지 보드의 LAN cable과 전원 cable을 제거하지 않는다.

부트로더의 재설치가 필요할 경우 다음의 순서대로 설치한다.

① redboot-ja76pf.rom 파일을 /tftpboot 디렉토리로 복사한다.

② 시스템 image 설치와 같이 부팅시 Ctrl+C 키로 부트로더를 커맨드 상태로 변경하고 IP Address 를 설정한다.

③ load 명령어를 사용하여 부트로더 image를 보드로 다운받는다.

RedBoot> load -r -b 0x80600000 redboot-ja76pf.rom -h <server ip address>

④ fis write 명령어를 사용하여 부트로더 image를 보드의 flash 메모리에 programming 한다.

RedBoot> fis write -b 0x80600000 -f 0xbf000000 -l 0x40000

*CAUTION* about to program FLASH

at 0xbf000000..0xbf03ffff from 0x80600000 - continue (y/n)? y

... Erase from 0xbf000000-0xbf040000: ....

... Program from 0x80600000-0x80640000 at 0xbf000000: ....

⑤ reset 명령어를 사용하여 보드를 재부팅한다.

RedBoot> reset

다음으로, 여러 가지 방법의 사용자 인터페이스를 통해 보드의 설정 변경과 상태를 확인할 수 있다.

각 설정 항목들의 대한 상세 정보는 AirThrone_Function.xls 파일을 통해 알 수 있다.

도 3a 내지 도 3l은 AirThrone 보드의 내장된 웹서버를 통해 보드의 설정 변경과 상태를 화면을 통하여 확인할 수 있다.

도 3a의 버튼들, 즉 Update는 현재 설정 값을 저장한다. 전원 off시 flash에 저장된 값으로 변경된다. Commit는 현재 설정 값을 flash에 저장한다. Reboot는 보드를 재부팅한다. Start는 WLAN을 활성화 상태로 변경한다. Stop은 WLAN을 비활성화 상태로 변경한다. Factory Default는 공장 초기값으로 설정 값을 변경한다.

그리고 설정 변경은 도 3b에서, 네트워크와 관련된 항목들을 설정한다.

도 3c에서, 무선 WLAN과 관련된 항목들을 설정한다.

도 3d에서, 보드 운영과 관련된 항목들을 설정한다.

도 3e 및 3f에서, VAP(Virtual Access Point) 1~8의 Access Point의 기능과 관련된 항목들을 설정한다.

그리고 상태는 도 3g에서, Access Point의 개략적인 상태를 확인한다.

도 3h에서, 사용 가능한 채널을 확인한다.

도 3i 내지 도 3k에서, WLAN의 상세 상태를 확인한다.

도 3l에서, 시스템 image를 업그레이드한다.

다음으로, 텔넷 인터페이스로, AirThrone 보드에 텔넷으로 접속하여 보드의 설정 변경과 상태를 확인 할 수 있다.

표 2에서, 시스템 정보로 보드의 상태와 설정 상태를 확인할 수 있고, 기본 설정으로 WLAN과 관련된 항목들을 설정한다.

표 3에서, 네트워크 설정으로, 네트워크와 관련된 항목들을 설정한다.

표 4에서, 보드 운영과 관련된 항목들을 설정한다.

표 5에서, AP의 기능과 관련된 항목들을 설정한다.

또한, 공장 초기값으로 설정 값을 변경하고, 설정 값을 flash에 저장하고 보드를 재부팅하며, 설정값을 flash에 저장하고, 보드를 재부팅한 후에 텔넷 접속을 종료한다.

다음으로, 리눅스 쉘 인터페이스로, serial cable을 통해 AirThrone 보드의 리눅스 쉘 인터페이스를 사용할 수 있다. root 계정의 초기 비밀번호는 5up으로 설정되어있다. root계정으로 로그인 후 menu를 실행시키는 방법으로 텔넷 인터페이스를 사용할 수 있다. 즉 Cfg 명령어를 사용하여 보드의 설정값을 변경할 수 있다.

① Cfg -a Variable=value 보드의 설정값을 변경하거나 추가한다. '설정이름=설정값'의 형식으로 설정이름과 값은 아래 Table 1 AP Environmental Variable 참조한다.

② Cfg -r Variable 보드의 설정이름과 값을 삭제한다.

③ Cfg -c 설정이름과 값을 flash에 저장한다.

④ Cfg -s 설정이름과 값의 리스트를 보여준다.

⑤ Cfg -x 설정값들을 초기 설정값으로 변경한다.

본 발명에 따른 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증용 라디우스 시스템은 도 4에서, 인증서버(20), 사용자DB(10) 및 시각화를 위한 웹 기반 관리화면(30)을 포함하는 무선랜 보안 시스템과 접속프로그램을 포함하는 PC에이전트(21)로 대별된다. DHCP(Dynamic Host Configuration Protocol)서버(40)는 클라이언트(PC)의 요청 때에 자동적으로 ip정보를 할당해 주는 기능을 갖춘 서버이다.

인증서버(20)는 EAP 인증 처리 및 EAP 인증 처리 후에 키를 전송하고 표준 RADIUS 프로토콜을 수행하며, SIP(Session Initiation Protocol)-VoIP(Voice over Internet Protocol) 인증, MAC+ID 조합 인증 및 공인인증서와 연동이 가능한 라디우스 기반이다.

상기 인증서버(20)는 Linux 운영체제(OS)에서 RADIUS RFC 865, 2866, 2868, 2869와, IEEE802.1x EAP지원(EAP-MD5/TLS/TTLS/PEAP/ SIM), IEEE802.11i 지원(Dynamic WEP/WPAv1/ WPAv2), EAP-TLS기반 인증 수용, 인증 Demon감시 Process를 포함한다.

사용자DB(10)는 MySQL 기반으로 생성된 DB테이블을 포함하고, DB연동 인터페이스(11)를 통해 외부 DB와 연동되며, 이중화를 위한 자체 DB 응답을 위한 모듈을 포함하고, 사용자 관리를 위하여 복수의 사용자 정보를 저장 및 입출력하는 것이다.

상기 사용자DB(10)는 MySQL기반으로 생성된 DB테이블, 외부 DB연동 Interface, 이중화를 위한 DB Replication Module 및 MySQL Customizing을 포함한다.

사용자 중심의 시각화를 위한 웹 기반 관리화면(30)은 인증서버의 상태를 그래픽으로 표시하는 것으로, 사용자의 접속위치, 시간, 사용량, 날짜 및 요일에 관한 각종 정보를 제공하는 것이다.

상기 웹 기반 관리화면(30)은 JSP를 이용한 웹 기반 사용자 관리 화면으로, 각종 조회를 위한 통계 Process를 포함하여 웹 기반 GUI제공과 각종 조회 기능 제공한다.

더욱이 도 5에서, PC에이전트(21)는 802.11i 모듈(22), 802.1x 모듈(23), 무선랜 핸들러(24) 및 프로파일 생성 모듈(25)을 포함한다.

PC에이전트(21)는 윈도우즈 모듈 운영체제(OS)의 사용 환경을 지원하고, 무선랜 검색, 검색된 무선랜의 보안 내용의 분석, EAP 인증 수행 및 무선구간의 암호화를 수행하여 무선 인증 접속을 하는 것이다.

상기 PC에이전트(21)는 Windows 2000/XP/Vista/7의 사용환경과 Windows Mobile OS 지원이 가능하고, 무선랜 탐색 엔진으로 무선랜 보안 내용 분석 기능, EAP 인증 기능 수행(EAP-MD5/TLS/TTLS/PEAP), IEEE802.11i데이터 암호화 기능 수행 및 무선랜카드 Handler를 포함한다. 그리고 무선랜 검색 기능, 검색된 무선랜 보안 내용 분석기능, 무선 구간 암호화 수행(WAPv2까지 제공) 등의 기능을 포함한다.

다음으로, 도 6에서, 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증용 라우디스 시스템을 통한 비인가 무선랜 통제 및 인증방법은 다음과 같다.

인증요청자(Supplicant, PC)(1)가 무선으로 접속되면(S1), 인증자(Authenticator, 무선랜)(2)는 인증요청자에게 802.1x EAP 인증을 요청한다(S2). 상기 인증자의 요청에 따라 인증요청자가 인증서 또는 계정을 입력하면(S3), 인증자는 인증요청자의 정보를 인증서버(20)로 전송한다(S4).

상기 인증서버(20)는 수신된 인증서 또는 계정에 따라 허가된 인증자(2)의 경우에 인증자(2)에게 포트를 오픈 명령 및 무선데이터 암호화 키를 전송하고(S5), 인증자(2)는 네트워크 연결 및 무선데이터 암호화 키를 인증요청자(1)에게 전송한다(S6).

따라서 802.1x EAP 인증을 사용하여 인증 절차가 끝난 후에 인증서버에서 할당받은 무선데이터 암호화 키 값으로 상기 인증요청자와 인증자는 암호화할 실제 키 값을 재생성하여 암호화를 수행한다(WPA(Wi-Fi Protected Access)1 및 WPA2).

이상의 설명에서 본 발명은 특정의 실시 예와 관련하여 도시 및 설명하였지만, 특허청구범위에 의해 나타난 발명의 사상 및 영역으로부터 벗어나지 않는 한도 내에서 다양한 개조 및 변화가 가능하다는 것을 이 기술분야에서 통상의 지식을 가진 자라면 누구나 쉽게 알 수 있을 것이다.

1: 인증요청자 2: 인증자 10: 사용자DB 11: DB연동 인터페이스 20: 인증서버 21: PC에이전트 30: 웹 기반 관리화면 40: DHCP서버

Claims

리눅스 운영체제(OS)의 PC에서 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증용 라디우스 시스템에 있어서,
EAP 인증 처리 및 EAP 인증 처리 후에 키를 전송하고 표준 RADIUS 프로토콜을 수행하며, SIP(Session Initiation Protocol)-VoIP(Voice over Internet Protocol) 인증, MAC+ID 조합 인증 및 공인인증서와 연동이 가능한 라디우스 기반의 인증서버;
MySQL 기반으로 생성된 DB테이블을 포함하고, 인터페이스를 통해 외부 DB와 연동되며, 이중화를 위한 자체 DB 응답을 위한 모듈을 포함하고, 사용자 관리를 위하여 복수의 사용자 정보를 저장 및 입출력하는 사용자DB;
사용자의 접속위치, 시간, 사용량, 날짜 및 요일에 관한 각종 정보를 제공하는 인증서버의 상태를 그래픽으로 표시하는 사용자 중심의 시각화를 위한 웹 기반 관리화면;
윈도우즈 모듈 운영체제(OS)의 사용 환경을 지원하고, 무선랜 검색, 검색된 무선랜의 보안 내용의 분석, EAP 인증 수행 및 무선구간의 암호화를 수행하여 무선 인증 접속을 위한 PC에이전트;를 포함하는 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증용 라디우스 시스템.
제1항에 있어서, 상기 PC에이전트는 802.11i 모듈, 802.1x 모듈, 무선랜 핸들러 및 프로파일 생성 모듈을 포함하는 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증용 라디우스 시스템.
(a) 인증요청자(Supplicant)가 무선으로 접속되면 인증자(Authenticator)는 인증요청자에게 802.1x EAP 인증을 요청하는 단계;
(b) 상기 인증자의 요청에 따라 인증요청자가 인증서 또는 계정을 입력하면 인증자는 인증요청자의 정보를 인증서버로 전송하는 단계;
(c) 상기 인증서버는 수신된 인증서 또는 계정에 따라 허가된 인증자의 경우에 인증자에게 포트를 오픈 명령 및 무선데이터 암호화 키를 전송하고 인증자는 네트워크 연결 및 무선데이터 암호화 키를 인증요청자에게 전송하는 단계;를 포함하고,
상기 802.1x EAP 인증을 사용하여 인증 절차가 끝난 후에 인증서버에서 할당받은 무선데이터 암호화 키 값으로 상기 인증요청자와 인증자는 암호화할 실제 키 값을 재생성하여 암호화를 수행하는 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증 방법.