KR101221595B1 - 스푸핑 방지를 위한 인증 방법, 인증 서버 및 인증 시스템 - Google Patents
스푸핑 방지를 위한 인증 방법, 인증 서버 및 인증 시스템 Download PDFInfo
- Publication number
- KR101221595B1 KR101221595B1 KR1020100121360A KR20100121360A KR101221595B1 KR 101221595 B1 KR101221595 B1 KR 101221595B1 KR 1020100121360 A KR1020100121360 A KR 1020100121360A KR 20100121360 A KR20100121360 A KR 20100121360A KR 101221595 B1 KR101221595 B1 KR 101221595B1
- Authority
- KR
- South Korea
- Prior art keywords
- security key
- request message
- terminal
- registration request
- address
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
스푸핑 방지를 위한 인증 방법, 인증 서버 및 인증 시스템이 제공된다. 상기 인증 방법은 단말기로부터 제1 보안키가 포함된 제1 AP 등록요청 메시지를 제공받는 단계와, 단말기에게 제1 보안키와 다른 제2 보안키를 제공하는 단계와, 단말기로부터 제2 보안키가 포함된 제2 AP 등록요청 메시지를 다시 제공받는 단계와, 단말기의 등록을 요청하는 단계를 포함한다.
Description
본 발명은 스푸핑 방지를 위한 인증 방법, 인증 서버 및 인증 시스템에 관한 것이다.
최근 통신 환경은 단말기가 언제나 어디서나 어떠한 장치를 통해서든 항상 인터넷에 연결될 수 있는 유비쿼터스 컴퓨팅 환경으로 진화하고 있다. 이에 따라 스마트폰, 노트북 등을 사용하여 무선 랜에 접속하는 단말기 또한 급증하고 있다. 그런데, 이러한 무선 통신환경은 에어(air)에서 데이터를 송수신하기 때문에 무선 보안에 취약하다.
예를 들어, 무선랜 AP(Access Point) 스푸핑(Spoofing)은 패킷을 전송할 때 송신 IP 주소를 속여서 다른 시스템을 공격하기 때문에, 공격자가 자신의 정보를 숨기고 탐지를 피할 수 있다. 즉, 무선랜 AP 스푸핑은 신뢰 관계에 있는 두 시스템 사이에서, 허가 받지 않은 자가 자신의 IP 주소를 신뢰관계에 있는 호스트의 IP 주소로 바꾸어 속이는 것으로, IP 주소만으로 인증하는 서비스를 쉽게 무력화시킬 수 있다.
본 발명이 해결하려는 과제는, 스푸핑 방지를 위한 인증 방법을 제공하는 것이다.
본 발명이 해결하려는 다른 과제는, 스푸핑 방지를 위한 인증 서버를 제공하는 것이다.
본 발명이 해결하려는 또 다른 과제는, 스푸핑 방지를 위한 인증 시스템을 제공하는 것이다.
본 발명이 해결하려는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 본 발명의 인증 방법의 일 태양(aspect)은 단말기로부터 제1 보안키가 포함된 제1 AP 등록요청 메시지를 제공받는 단계와, 단말기에게 제1 보안키와 다른 제2 보안키를 제공하는 단계와, 단말기로부터 제2 보안키가 포함된 제2 AP 등록요청 메시지를 다시 제공받는 단계와, 단말기의 등록을 요청하는 단계를 포함한다.
상기 다른 과제를 해결하기 위한 본 발명의 인증 서버의 일 태양은 단말기로부터 제1 보안키가 포함된 제1 AP 등록요청 메시지를 제공받는 입력부와, 제1 보안키와 다른 제2 보안키를 단말기에게 제공하는 보안키 제공부를 포함하되, 입력부는 단말기로부터 제2 보안키가 포함된 제2 AP 등록요청 메시지를 다시 제공받는다.
상기 또 다른 과제를 해결하기 위한 본 발명의 인증 시스템의 일 태양은 단말기로부터 제1 보안키가 포함된 제1 AP 등록요청 메시지를 제공받은 후, 단말기에게 제1 보안키와 다른 제2 보안키를 제공하고, 단말기로부터 제2 보안키가 포함된 제2 AP 등록요청 메시지를 제공받고, 단말기의 등록을 요청하는 인증 서버, 및 단말기를 등록하는 사용자 관리 서버를 포함한다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
도 1은 본 발명의 실시예들에 따른 인증 시스템을 설명하기 위한 블록도이다.
도 2는 도 1의 인증 서버를 설명하기 위한 블록도이다.
도 3은 본 발명의 실시예들에 따른 인증 방법을 설명하기 위한 흐름도이다.
도 4는 본 발명의 실시예들에 따른 인증 방법을 설명하기 위한 메시지 전송 흐름도이다.
도 5 내지 도 12는 각각 도 4에서 설명한 메시지의 프로토콜 구성을 설명한 도면들이다.
도 2는 도 1의 인증 서버를 설명하기 위한 블록도이다.
도 3은 본 발명의 실시예들에 따른 인증 방법을 설명하기 위한 흐름도이다.
도 4는 본 발명의 실시예들에 따른 인증 방법을 설명하기 위한 메시지 전송 흐름도이다.
도 5 내지 도 12는 각각 도 4에서 설명한 메시지의 프로토콜 구성을 설명한 도면들이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하, 본 발명의 실시예들에 의하여 스푸핑 방지를 위한 인증 방법, 인증 서버 및 인증 시스템을 설명하기 위한 블록도 또는 처리 흐름도에 대한 도면들을 참고하여 본 발명에 대해 설명하도록 한다. 이 때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재 되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
도 1은 본 발명의 실시예들에 따른 인증 시스템을 설명하기 위한 블록도이다. 도 1에서는 예시적으로, NearWiFi Service를 예를 들어 설명하였으나, 이에 한정되는 것은 아니다. 즉, AP 등록 및 인증이 필요한 경우라면 어떤 시스템 및 네트워크 환경에 적용가능하다.
도 1을 참조하면, 사용자의 단말기(20)는 AP(30)에 접속하고, 인터넷(40)을 통해서 인증 시스템(10)에 접속할 수 있다. 인증 시스템(10)은 인증 서버(110), 사용자 관리 서버(120), 키 서버(130)를 포함할 수 있고, AP(30)의 인증 및 등록은 인증 서버(110), 사용자 관리 서버(120), 키 서버(130)의 연동을 통해서 수행될 수 있다.
단말기(20)는 도시된 것과 같이, AP(30)의 등록 및 인증을 위한 스마트폰, 데스크 탑, 랩탑, 노트북 등일 수 있으나, 이에 한정되는 것은 아니다. 즉, 무선랜으로 등록하고자 하는 AP(30)에 접속할 수 있는 환경 하에서, 동작할 수 있는 기기이면 어떤 것이든 가능하다.
그런데, 스마트 폰, 데스크탑 등의 운영 체제에는 예를 들어, RC4가 지원될 수 있다. RC4는 전송 계층 보안(TLS) 등 여러 프로토콜에 사용된다. 많은 스트림 암호가 비트 단위의 선형 되먹임 시프트 레지스터를 기반으로 하는 것과 달리, RC4는 옥텟 단위를 기반으로 한다. 따라서, 소프트웨어적인 실행 속도가 빠르다. 하지만, RC4는 여러 연구를 통해 다소 취약한 것으로 알려져 있다.
또한, 단말기(20)와 AP(30) 사이에는 예를 들어, EAPOL(EAP over LAN) 프로토콜을 통해서 패킷을 전송하고, AP(30)와 인증 서버(110) 사이에는 예를 들어, RADIUS(Remote Authentication Dial-in User Services) 프로토콜을 통해서 패킷을 전송할 수 있다. 802.1x에 적용되는 EAP는 자체로써 완전한 실제 인증 메커니즘이 아니기 때문에, 실제 인증은 인증 서버(110)에 의해서 구현될 수 있다.
사용자가 AP(30)를 인증 시스템(10)에 등록하고자 할 때, 인증 서버(110)는 AP(30)가 실제 소유자인지 인증 절차를 수행한다. 본 발명의 실시예들에서, 실제 소유자인지 판단하는 방법은, AP(30)의 보안키를 변경하도록 지시하는 것이다. AP(30)의 보안키를 변경할 수 있는 권한은, 진정한 실제 소유자에게만 있기 때문이다.
구체적으로, 인증 서버(110)는 단말기(20)로부터 제1 AP 등록요청 메시지를 제공받은 경우, 단말기(20)에 새로운 보안키(청구항에서의 "제2 보안키"에 해당 함)를 제공한다. 사용자는 단말기(20)를 통해서 AP(30)에 새로운 보안키를 재등록하고, 인증 서버(110)에 다시 제2 AP 등록요청 메시지를 제공한다. 제2 AP 등록요청 메시지에는 상기 새로운 보안키가 포함되어 있다. 여기서, 인증 서버(110)는 새로운 보안키가 제대로 반영되어 있는지를 검토하여, 제대로 반영된 경우 사용자 관리 서버(120)에 주소관련 정보의 등록을 요청을 하고 키 서버(130)에 보안관련 정보를 등록 요청을 한다. 구체적인 인증절차에 대해서는 도 3 및 도 4을 이용하여 후술하도록 한다.
사용자 관리 서버(120)는 인증 서버(110)가 인증 절차를 수행한 후에, 인증이 된 경우에 단말기(20)의 기본적인 개인정보와, AP(30)의 주소, 단말기의 주소 등을 등록하고 관리한다. 주소는 예를 들어, MAC(Media Access Control) 주소일 수 있으나, 이에 한정되는 것은 아니다.
키 서버(130)는 인증 서버(110)가 인증 절차를 수행한 후에, 인증이 된 경우에 단말기가 등록한 AP(30)의 보안정보(Open, Share, WPA, WPA2, AES, TKIP) 및 관련 보안키를 등록하고 관리한다.
도 2는 도 1의 인증 서버를 설명하기 위한 블록도이다.
도 2를 참조하면, 인증 서버(110)는 입력부(111), 저장부(112), 보안키 제공부(113), 제어부(115), 출력부(114) 등을 포함한다.
입력부(111)는 단말기로부터 제1 AP 등록요청 메시지(AP_Reg_Req), 제2 AP 등록요청 메시지(AP_ReReg_Resp)를 제공받는다. 전술한 것과 같이, 제2 AP 등록요청 메시지(AP_ReReg_Resp)는 새로운 보안키가 단말기에게 전달된 후, 단말기가 새로운 보안키를 재등록한 후 보내는 메시지이다.
제1 AP 등록요청 메시지(AP_Reg_Req)는 단말기 단말의 주소(MAC 주소일 수 있음), 등록할 AP의 SSID(Service Set Identifier), 등록할 AP의 주소(MAC 주소일 수 있음), 등록할 AP의 보안키(청구항에서의 "제1 보안키"에 해당함) 등이 포함될 수 있다.
제2 AP 등록요청 메시지(AP_ReReg_Resp)는 단말기 단말의 주소(MAC 주소일 수 있음), 등록할 AP의 SSID, 등록할 AP의 주소(MAC 주소일 수 있음),, AP의 새로운 보안키(청구항에서의 "제2 보안키"에 해당함) 등이 포함될 수 있다.
저장부(112)는 제1 AP 등록요청 메시지(AP_Reg_Req)를 통해서 받은 정보를 일시 저장한다.
입력부(111)가 제1 AP 등록요청 메시지(AP_Reg_Req)를 제공받으면, 제어부(115)는 보안키 제공부(113)가 새로운 보안키를 생성하도록 한다. 보안키 제공부(113)는 새로운 보안키를 포함하는 AP 재등록 요청 메시지(AP_ReReg_Req)를 단말기에게 제공한다. 저장부(112)는 생성된 새로운 보안키를 저장한다.
입력부(111)가 제2 AP 등록요청 메시지(AP_ReReg_Resp)를 제공받으면, 제어부(115)는 제2 AP 등록요청 메시지(AP_ReReg_Resp)에 포함된 보안키가, 저장부(112)에 저장된 새로운 보안키와 동일한지 판단할 수 있다. 또한, 제어부(115)는 제1 AP 등록요청 메시지(AP_Reg_Req)에 포함되는 AP 주소와, 제2 AP 등록요청 메시지(AP_ReReg_Resp)에 포함하는 AP 주소가 서로 동일한지 판단할 수 있다. 추가하여, 제어부(115)는 제1 AP 등록요청 메시지(AP_Reg_Req)에 포함되는 단말기의 주소와, 제2 AP 등록요청 메시지(AP_ReReg_Resp)에 포함하는 단말기의 주소가 서로 동일한지 판단할 수 있다. 또한, 제어부(115)는 제1 AP 등록요청 메시지(AP_Reg_Req)에 포함되는 SSID와, 제2 AP 등록요청 메시지(AP_ReReg_Resp)에 포함하는 SSID가 서로 동일한지 판단할 수 있다.
제어부(115)는 제1 AP 등록요청 메시지(AP_Reg_Req)에 포함되는 보안키, AP주소, 단말기 주소, SSID와, 제2 AP 등록요청 메시지(AP_ReReg_Resp)에 포함되는 보안키, AP주소, 단말기 주소, SSID가 서로 동일하면, 인증된 것으로 판단할 수 있다.
인증된 것으로 판단되면, 출력부(114)는 사용자 관리 서버(120)에 사용자 확인 요청 메시지(User_Check_Req)를 제공하고, 키 서버(130)에 키 등록 요청 메시지(Key_Reg_Req)를 제공한다.
도 3은 본 발명의 실시예들에 따른 인증 방법을 설명하기 위한 흐름도이다. 도 4는 본 발명의 실시예들에 따른 인증 방법을 설명하기 위한 메시지 전송 흐름도이다.
도 3을 참조하면, 단말기(20)는 AP 등록요청을 한다(S210). 즉, 단말기(20)는 제1 AP 등록요청 메시지(AP_Reg_Req)를 인증 서버(110)에 전송한다(S310). 제1 AP 등록요청 메시지(AP_Reg_Req)는 단말기 주소, SSID, AP 주소, 보안모드, 제1 보안키 등을 포함할 수 있다.
인증 서버(110)는 AP 등록요청을 대기하다가(S220), 제1 AP 등록요청 메시지(AP_Reg_Req)를 받은 후, 제1 AP 등록요청 메시지(AP_Reg_Req)를 통해서 받은 정보를 일시 저장한다(S222). 또한, 새로운 보안키를 생성하여, 새로운 보안키를 포함하는 AP 재등록 요청 메시지(AP_ReReg_Req)를 단말기(20)에게 전송한다(S320). AP 재등록 요청 메시지(AP_ReReg_Req)는 단말기 주소, AP 주소, 제2 보안키 등을 포함할 수 있다.
사용자는 보안키 재등록 요청을 수락할지 여부를 판단한다(S212). 거절할 경우에는 AP 인증/등록 프로세스는 종료된다. 수락할 경우에는, 사용자는 전송되어 온 새로운 보안키를 자신의 AP에 설정하고, 다시 자신의 AP에 접속 후 재등록 요청을 한다(S214). 즉, 제2 AP 등록요청 메시지(AP_ReReg_Resp)를 인증 서버(110)에 전송한다(S330). 제2 AP 등록요청 메시지(AP_ReReg_Resp)는 단말기 주소, SSID, AP 주소, 보안모드, 제2 보안키 등을 포함할 수 있다.
인증 서버(110)는 임시 저장되고 제1 AP 등록요청 메시지(AP_Reg_Req)에 포함된 보안키, AP 주소, 단말기 주소, SSID와, 제2 AP 등록요청 메시지(AP_ReReg_Resp)에 포함된 보안키, AP 주소, 단말기 주소, SSID를 비교한다(S226). 정확하게 매칭될 경우, 사용자관리 서버(120)에 사용자 확인 요청을 한다(S227). 즉, 사용자 확인 요청 메시지(User_Check_Req)를 사용자 관리 서버(120)에 전송한다(S340). 사용자 확인 요청 메시지(User_Check_Req)는 단말기 주소, SSID, AP 주소 등을 포함할 수 있다.
사용자 관리 서버(120)는 대기하다가(S230), 사용자 확인 요청 메시지(User_Check_Req)를 받은 후, 미등록 사용자인지 여부를 확인한다(S232). 신규등록일 경우에는, 사용자의 AP의 주소, 단말기의 주소를 등록하고(S234), 동록 완료되었음을 알린다(S236). 즉, 사용자 확인 응답 메시지(User_Check_Resp)를 전송한다(S236). 사용자 확인 응답 메시지(User_Check_Resp)는 단말기 주소, SSID, AP 주소 등을 포함할 수 있다.
사용자 확인 응답 메시지(User_Check_Resp)를 받으면, 인증 서버(110)는 보안키 등록을 요청한다(S228). 즉, 키 서버(130)에 키 등록 요청 메시지(Key_Reg_Req)를 전송한다. 키 등록 요청 메시지(Key_Reg_Req)에는 단말기 주소, AP 주소, 보안모드, 제1 보안키 등을 포함할 수 있다. 즉, S222단계에서 저장된 제1 보안키를 키 서버(130)에 등록하도록 전송한다.
키 서버(130)는 대기하다가(S240), 키 등록 요청 메시지(Key_Reg_Req)를 받은 후, 사용자의 AP의 주소, 보안모드, 보안키를 저장/등록하고(S242), 등록 완료되었음을 알린다(S244). 즉, 키 등록 응답 메시지(Key_Reg_Req)를 전송한다(S370). 키 등록 응답 메시지(Key_Reg_Req)는 단말기 주소, AP 주소, 보안모드, 제1 보안키 등을 포함할 수 있다.
인증 서버(110)는 키 등록 응답 메시지(Key_Reg_Req)를 전송받고, AP 등록 완료되었음을 알린다(S229). 즉, AP 등록 완료 메시지(AP_Req_Com)를 전송한다(S380). AP 등록 완료 메시지(AP_Req_Com)는 단말기 주소, AP 주소, 보안모드, 제1 보안키 등을 포함할 수 있다.
즉, 처음 전송되었던 보안키, 즉, 제1 AP 등록요청 메시지(AP_Reg_Req)에 포함되었던 제1 보안키로 다시 수정할 것을 요청할 수 있으나, 이에 한정되지 않는다.
예를 들어, S242단계에서, 제2 AP 등록요청 메시지(AP_ReReg_Resp)에 포함된 보안키, 즉, 제2 보안키로 저장했을 경우에는, 제1 보안키로 다시 수정할 것을 요청하지 않아도 된다.
본 발명의 실시예들에 따른 인증 방법, 인증 시스템, 인증 서버에 따르면, AP의 보안키를 변경하도록 요구함으로써, AP의 실제 소유자인지 판단하게 된다. 이와 같은 방식으로, 허가 받지 않은 자가 실제 소유자인 척하면서 다른 시스템을 공격하는 스푸핑을 막을 수 있다.
한편, AP 인증 및 등록을 위한 프로토콜에서 사용되는 메시지는 표 1과 같다. 예시적으로, 3계층, 4계층 프로토콜은 IP와 TCP를 사용할 경우, AP 등록 및 인증 절차를 위한 세부 프로토콜은 표 1과 같다. 특히, 각 메시지를 구성하는 필드 중 키(Key) 필드의 데이터는 단말기의 MAC주소를 암호화 키로 사용하여 RC4 알고리즘으로 암호화 되어 전송될 수 있고, 해당 목적지에서 단말기의 MAC주소를 이용해 복호화할 수 있으나, 이에 한정되는 것은 아니다. 도 5 내지 도 12는 각각 도 4에서 설명한 메시지의 프로토콜 구성을 설명한 도면들이다. 도 5 내지 도 12은 각각 제1 AP 등록 요청 메시지(AP_Reg_Req), AP 재등록 요청 메시지(AP_ReReg_Req), 제2 AP 등록요청 메시지(AP_ReReg_Resp), 사용자 확인 요청 메시지(User_Check_Req), 사용자 확인 응답 메시지(User_Check_Resp), 키 등록 요청 메시지(Key_Reg_Req), 키 등록 응답 메시지(Key_Reg_Req), AP 등록 완료 메시지(AP_Req_Com)일 수 있다.
| 메시지 명 | 내용 |
| AP_Reg_Req | 제1 AP 등록요청 메시지 |
| AP_ReReg_Req | AP 재등록 요청 메시지 |
| AP_ReReg_Resp | 제2 AP 등록요청 메시지 |
| User_Check_Req | 사용자 확인 요청 메시지 |
| User_Check_Resp | 사용자 확인 응답 메시지 |
| Key_Reg_Req | 키 등록 요청 메시지 |
| Key_Reg_Resp | 키 등록 응답 메시지 |
| AP_Reg_Com | AP 등록 완료 메시지 |
| 필드명 | 내용 |
| Msg_ID | 해당 메시지의 속성 (Req/Resp, Com) |
| Msg_Len | 해당 메시지의 전체 길이 (Msg_ID + Msg_Len 제외) |
| Dev_MAC | 사용자 단말의 MAC 주소 |
| SSID_Len | 사용자가 등록한 AP의 SSID 길이 |
| SSID | 사용자가 등록할 AP의 SSID |
| AP_MAC | 사용자가 등록할 AP의 MAC |
| Sec_Mode | 사용자가 등록할 AP의 보안모드 |
| Key_Len | 사용자가 등록할 AP의 보안키 길이 (RC4 암호화 된 길이) |
| Key | 사용자가 등록할 AP의 보안키 (RC4로 암호화) (즉, AP의 제1 보안키) |
| 필드명 | 내용 |
| Msg_ID | 해당 메시지의 속성 (Req/Resp, Com) |
| Msg_Len | 해당 메시지의 전체 길이 (Msg_ID + Msg_Len 제외) |
| Dev_MAC | 사용자 단말의 MAC 주소 |
| AP_MAC | 사용자가 등록할 AP의 MAC |
| Key_Len | 사용자가 재설정할 AP의 보안키 길이 (RC4 암호화 된 길이) |
| Ran_Key | 사용자가 재설정할 AP의 보안키 (RC4로 암호화, 무작위로 키 값을 생성할 수 있음) (즉, AP의 제2 보안키) |
| 필드명 | 내용 |
| Msg_ID | 해당 메시지의 속성 (Req/Resp, Com) |
| Msg_Len | 해당 메시지의 전체 길이 (Msg_ID + Msg_Len 제외) |
| Dev_MAC | 사용자 단말의 MAC 주소 |
| SSID_Len | 사용자가 재등록한 AP의 SSID 길이 |
| SSID | 사용자가 재등록한 AP의 SSID |
| AP_MAC | 사용자가 재등록한 AP의 MAC |
| Sec_Mode | 사용자가 재등록한 AP의 보안모드 |
| Key_Len | 사용자가 재등록한 AP의 무작위 보안키 길이 (RC4 암호화 된 길이) |
| Ran_Key | 사용자가 등록한 AP의 무작위 보안키 (RC4로 암호화) (즉, AP의 제2 보안키) |
| 필드명 | 내용 |
| Msg_ID | 해당 메시지의 속성 (Req/Resp, Com) |
| Msg_Len | 해당 메시지의 전체 길이 (Msg_ID + Msg_Len 제외) |
| Dev_MAC | 사용자 단말의 MAC 주소 |
| SSID_Len | 인증 완료된 사용자 AP의 SSID 길이 |
| SSID | 인증 완료된 사용자 AP의 SSID |
| AP_MAC | 인증 완료된 사용자 AP의 MAC |
| 필드명 | 내용 |
| Msg_ID | 해당 메시지의 속성 (Req/Resp, Com) |
| Msg_Len | 해당 메시지의 전체 길이 (Msg_ID + Msg_Len 제외) |
| Dev_MAC | 등록 완료된 사용자 단말의 MAC 주소 |
| SSID_Len | 등록 완료된 사용자 AP의 SSID 길이 |
| SSID | 등록 완료된 사용자 AP의 SSID |
| AP_MAC | 등록 완료된 사용자 AP의 MAC |
| 필드명 | 내용 |
| Msg_ID | 해당 메시지의 속성 (Req/Resp, Com) |
| Msg_Len | 해당 메시지의 전체 길이 (Msg_ID + Msg_Len 제외) |
| Dev_MAC | 사용자관리 서버에 등록된 사용자 단말의 MAC 주소 |
| AP_MAC | 사용자관리 서버에 등록된 사용자 AP의 MAC |
| Sec_Mode | 등록할 AP의 보안모드 |
| Key_Len | 등록할 사용자 AP의 원래 보안키 길이 (RC4 암호화 된 길이) |
| Key | 등록할 사용자 AP의 원래 보안키 (RC4로 암호화) (즉, AP의 제1 보안키) |
| 필드명 | 내용 |
| Msg_ID | 해당 메시지의 속성 (Req/Resp, Com) |
| Msg_Len | 해당 메시지의 전체 길이 (Msg_ID + Msg_Len 제외) |
| Dev_MAC | 등록된 사용자 단말의 MAC 주소 |
| AP_MAC | 등록된 사용자 AP의 MAC |
| Sec_Mode | 등록된 AP의 보안모드 |
| Key_Len | 등록된 사용자 AP의 원래 보안키 길이 (RC4 암호화 된 길이) |
| Key | 등록된 사용자 AP의 원래 보안키 (RC4로 암호화) (즉, AP의 제1 보안키) |
| 필드명 | 내용 |
| Msg_ID | 해당 메시지의 속성 (Req/Resp, Com) |
| Msg_Len | 해당 메시지의 전체 길이 (Msg_ID + Msg_Len 제외) |
| Dev_MAC | 등록 완료된 사용자 단말의 MAC 주소 |
| AP_MAC | 등록 완료된 사용자 AP의 MAC |
| Sec_Mode | 등록 완료된 AP의 보안모드 |
| Key_Len | 등록 완료된 사용자 AP의 원래 보안키 길이 (RC4 암호화 된 길이) |
| Key | 등록 완료된 사용자 AP의 원래 보안키 (RC4로 암호화) (즉, AP의 제1 보안키) |
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
10: 인증 시스템 20: 단말기
30: AP 40: 인터넷
110: 인증 서버 111: 입력부
112: 저장부 113: 보안키 제공부
114: 출력부 115: 제어부
120: 사용자 관리 서버 130: 키 서버
30: AP 40: 인터넷
110: 인증 서버 111: 입력부
112: 저장부 113: 보안키 제공부
114: 출력부 115: 제어부
120: 사용자 관리 서버 130: 키 서버
Claims (10)
- AP에 접속된 단말기로부터 상기 AP를 경유하여 제1 보안키가 포함된 제1 AP 등록요청 메시지를 제공받는 단계;
상기 단말기에게 상기 제1 보안키와 다른 제2 보안키를 제공하는 단계;
상기 단말기로부터 상기 제2 보안키가 포함된 제2 AP 등록요청 메시지를 다시 제공받는 단계;
상기 단말기의 등록을 요청하는 단계를 포함하는 인증 방법. - 제 1항에 있어서,
상기 단말기에게 제공한 제2 보안키를 저장하는 단계와,
상기 제2 AP 등록요청 메시지를 제공받은 후, 상기 제2 AP등록요청 메시지에 포함된 제2 보안키가, 상기 저장된 제2 보안키와 동일한지 여부를 판단하는 단계를 더 포함하는 인증 방법. - 제 1항에 있어서, 상기 제1 AP 등록요청 메시지는 AP의 제1 주소를 더 포함하고, 상기 제2 AP 등록요청 메시지는 AP의 제2 주소를 더 포함하고,
상기 제1 AP 등록요청 메시지를 제공받은 후, 상기 AP의 제1 주소를 저장하는 단계와,
상기 제2 AP 등록요청 메시지를 제공받은 후, 상기 제1 주소와 상기 제2 주소가 동일한지 여부를 판단하는 단계를 더 포함하는 인증 방법. - 제 3항에 있어서,
상기 제1 주소와 상기 제2 주소가 동일한 경우, 상기 제2 주소가 신규 주소라면 단말기 등록을 하는 단계를 더 포함하는 인증 방법. - 제 3항에 있어서,
상기 제1 주소와 상기 제2 주소가 동일한 경우, 상기 제1 보안키를 등록하는 단계를 더 포함하는 인증 방법. - 제 5항에 있어서,
상기 단말기에게 상기 제1 보안키를 재등록할 것을 통보하는 단계를 더 포함하는 인증 방법. - AP에 접속된 단말기로부터 상기 AP를 경유하여 제1 보안키가 포함된 제1 AP 등록요청 메시지를 제공받는 입력부; 및
상기 제1 보안키와 다른 제2 보안키를 상기 단말기에게 제공하는 보안키 제공부를 포함하되,
상기 입력부는 상기 단말기로부터 상기 제2 보안키가 포함된 제2 AP 등록요청 메시지를 다시 제공받는 인증 서버. - 제 7항에 있어서,
상기 단말기에게 제공한 제2 보안키를 저장하는 저장부와,
상기 제2 AP 등록요청 메시지를 제공받은 후, 상기 제2 AP등록요청 메시지에 포함된 제2 보안키가, 상기 저장부에 저장된 제2 보안키와 동일한지 여부를 판단하는 제어부를 더 포함하는 인증 서버. - 제 8항에 있어서, 상기 제1 AP 등록요청 메시지는 AP의 제1 주소를 더 포함하고, 상기 제2 AP 등록요청 메시지는 AP의 제2 주소를 더 포함하고,
상기 저장부는 상기 제1 AP 등록요청 메시지를 제공받은 후, 상기 AP의 제1 주소를 저장하고,
상기 제어부는 상기 제2 AP 등록요청 메시지를 제공받은 후, 상기 제1 주소와 상기 제2 주소가 동일한지 여부를 판단하는 인증 서버. - AP에 접속된 단말기로부터 상기 AP를 경유하여 제1 보안키가 포함된 제1 AP 등록요청 메시지를 제공받은 후, 상기 단말기에게 상기 제1 보안키와 다른 제2 보안키를 제공하고, 상기 단말기로부터 상기 제2 보안키가 포함된 제2 AP 등록요청 메시지를 제공받고, 상기 단말기의 등록을 요청하는 인증 서버; 및
상기 단말기를 등록하는 사용자 관리 서버를 포함하는 인증 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100121360A KR101221595B1 (ko) | 2010-12-01 | 2010-12-01 | 스푸핑 방지를 위한 인증 방법, 인증 서버 및 인증 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100121360A KR101221595B1 (ko) | 2010-12-01 | 2010-12-01 | 스푸핑 방지를 위한 인증 방법, 인증 서버 및 인증 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20120059873A KR20120059873A (ko) | 2012-06-11 |
| KR101221595B1 true KR101221595B1 (ko) | 2013-01-14 |
Family
ID=46610930
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020100121360A KR101221595B1 (ko) | 2010-12-01 | 2010-12-01 | 스푸핑 방지를 위한 인증 방법, 인증 서버 및 인증 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101221595B1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107769914B (zh) * | 2016-08-17 | 2021-02-12 | 华为技术有限公司 | 保护数据传输安全的方法和网络设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060045669A (ko) * | 2004-09-22 | 2006-05-17 | 삼성전자주식회사 | 무선 네트워크에서 통신 보안을 관리하는 방법 및 이를위한 장치 |
| KR20060048208A (ko) * | 2004-09-22 | 2006-05-18 | 삼성전자주식회사 | 무선 네트워크에서 통신 보안을 관리하는 방법 및 이를위한 장치 |
| KR20060051187A (ko) * | 2004-09-22 | 2006-05-19 | 삼성전자주식회사 | 무선 네트워크에서 통신 보안을 관리하는 방법 및 이를위한 장치 |
| KR20060089008A (ko) * | 2005-02-03 | 2006-08-08 | 삼성전자주식회사 | 무선 네트워크 시스템 및 이를 이용한 통신 방법 |
-
2010
- 2010-12-01 KR KR1020100121360A patent/KR101221595B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060045669A (ko) * | 2004-09-22 | 2006-05-17 | 삼성전자주식회사 | 무선 네트워크에서 통신 보안을 관리하는 방법 및 이를위한 장치 |
| KR20060048208A (ko) * | 2004-09-22 | 2006-05-18 | 삼성전자주식회사 | 무선 네트워크에서 통신 보안을 관리하는 방법 및 이를위한 장치 |
| KR20060051187A (ko) * | 2004-09-22 | 2006-05-19 | 삼성전자주식회사 | 무선 네트워크에서 통신 보안을 관리하는 방법 및 이를위한 장치 |
| KR20060089008A (ko) * | 2005-02-03 | 2006-08-08 | 삼성전자주식회사 | 무선 네트워크 시스템 및 이를 이용한 통신 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20120059873A (ko) | 2012-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6923611B2 (ja) | サービス層におけるコンテンツセキュリティ | |
| US8694782B2 (en) | Wireless authentication using beacon messages | |
| JP4804983B2 (ja) | 無線端末、認証装置、及び、プログラム | |
| US10693848B2 (en) | Installation of a terminal in a secure system | |
| US20190123909A1 (en) | End-to-End Service Layer Authentication | |
| US9843579B2 (en) | Dynamically generated SSID | |
| JP4865791B2 (ja) | ペアワイズ・マスタ・キーを更新する方法 | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| US8302183B2 (en) | Apparatus and method of security identity checker | |
| US10348498B2 (en) | Generating a symmetric encryption key | |
| JP5524336B2 (ja) | 事前共有鍵に基づくネットワークセキュリティアクセス制御方法及びそのシステム | |
| US10356090B2 (en) | Method and system for establishing a secure communication channel | |
| US10511596B2 (en) | Mutual authentication | |
| KR102433939B1 (ko) | 무선 네트워크들에서 빠르고, 안전하며 프라이버시에 해가 되지 않는 인터넷 접속 발견을 위한 방법들 | |
| CN105553981A (zh) | 一种wlan网络快速认证和密钥协商方法 | |
| CN111133427A (zh) | 生成和分析网络配置文件数据 | |
| US20170293768A1 (en) | Security through authentication tokens | |
| KR20150053912A (ko) | 서버에 클라이언트를 등록하기 위한 방법 및 디바이스들 | |
| US11019037B2 (en) | Security improvements in a wireless data exchange protocol | |
| WO2020216047A1 (zh) | 一种认证信息处理方法、终端和网络设备 | |
| CN111866881A (zh) | 无线局域网认证方法与无线局域网连接方法 | |
| KR101221595B1 (ko) | 스푸핑 방지를 위한 인증 방법, 인증 서버 및 인증 시스템 | |
| JP2004194196A (ja) | パケット通信認証システム、通信制御装置及び通信端末 | |
| Gao et al. | SecT: A lightweight secure thing-centered IoT communication system | |
| JP2018011191A (ja) | 機器リスト作成システムおよび機器リスト作成方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20161220 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20171208 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20200102 Year of fee payment: 8 |