KR101269680B1 - 공용 네트워크 환경에서의 시그니쳐 정보 관리 시스템 및 방법, 시그니쳐 정보 관리를 위한 인증 서비스 장치 - Google Patents

공용 네트워크 환경에서의 시그니쳐 정보 관리 시스템 및 방법, 시그니쳐 정보 관리를 위한 인증 서비스 장치 Download PDF

Info

Publication number
KR101269680B1
KR101269680B1 KR1020110087001A KR20110087001A KR101269680B1 KR 101269680 B1 KR101269680 B1 KR 101269680B1 KR 1020110087001 A KR1020110087001 A KR 1020110087001A KR 20110087001 A KR20110087001 A KR 20110087001A KR 101269680 B1 KR101269680 B1 KR 101269680B1
Authority
KR
South Korea
Prior art keywords
signature information
network
client terminal
terminal device
information
Prior art date
Application number
KR1020110087001A
Other languages
English (en)
Other versions
KR20130023904A (ko
Inventor
서의성
Original Assignee
국립대학법인 울산과학기술대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국립대학법인 울산과학기술대학교 산학협력단 filed Critical 국립대학법인 울산과학기술대학교 산학협력단
Priority to KR1020110087001A priority Critical patent/KR101269680B1/ko
Publication of KR20130023904A publication Critical patent/KR20130023904A/ko
Application granted granted Critical
Publication of KR101269680B1 publication Critical patent/KR101269680B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

종래의 무선랜(Wireless LAN) 환경에서는 악의적인 와이파이 AP(Access Point)가 중간자 공격법을 사용하는 경우 공공장소에서 민감한 정보를 대량으로 획득하는 것이 가능하다. 따라서, 일반적인 무선랜 환경에서는 보안에 매우 취약해 질 수 있다. 이에 본 발명에서는, 무선랜 환경에서의 AP의 정당성을 확인할 수 있는 사용자 고유의 시그니쳐(signature) 정보를 클라이언트(client) 단말 장치에 표시하여 사용자가 이를 확인할 수 있게 함으로써, 비인가 AP의 데이터 공격을 근본적으로 차단하여 신뢰성이 보장된 무선랜 환경을 사용자에게 제공할 수 있는 기술적 방안을 마련하고자 한다.

Description

공용 네트워크 환경에서의 시그니쳐 정보 관리 시스템 및 방법, 시그니쳐 정보 관리를 위한 인증 서비스 장치{METHOD AND SYSTEM FOR PROVIDING SIGNATURE INFORMATION MANAGEMENT IN PUBLIC NETWORK, AUTHENTICATION SERVICE DEVICE FOR SIGNATURE INFORMATION MANAGEMENT}
본 발명은 공용 네트워크, 예를 들면 무선랜(Wireless LAN) 환경에서의 시그니쳐(signature) 정보 관리 기술에 관한 것으로, 특히 근거리 무선 접속 장치(Access Point)의 정당성을 확인할 수 있는 사용자 고유의 시그니쳐 정보를 클라이언트(client) 단말 장치에 표시하여 비인가 AP의 공격으로부터 데이터를 보호하는데 적합한 공용 네트워크 환경에서의 시그니쳐 정보 관리 시스템 및 방법, 시그니쳐 정보 관리를 위한 인증 서비스 장치에 관한 것이다.
이동통신 서비스를 제공하는 업체들은 이동통신 단말기인 스마트폰 점유율의 상승으로 크게 증가하는 광대역 통신망인 3G망의 부하 증가를 완화하고 사용자들에게 3G보다 빠른 고속의 데이터 네트워크를 제공하기 위해 공공장소 등에서 무선랜 서비스, 예컨대 와이파이(Wi-Fi)망 서비스를 제공하고 있다. 와이파이망은 근거리에서 소수의 사용자들에게 최대 300Mbps의 빠른 속도를 제공하고, 3G 데이터망 서비스와 달리 과금이 되지 않기 때문에 많은 사용자들은 와이파이망이 제공되는 곳에서는 와이파이망을 사용하고 있다.
또한, (비특허문헌 1,2)와 같이, 와이파이망의 보안을 위해 이동통신사들이 제공하는 와이파이망들은 대부분 WEP(Wired Equivalent Privacy), WPA(Wi-Fi Protected Access) 또는 WPA2 등의 암호화 기법을 사용하여 무선 액세스 포인트(AP: Access Point)와 단말간의 데이터 전송을 암호화하고 있으며, 가입자를 확인하기 위해서는 MAC 인증이나 ID와 비밀번호 입력 등의 전통적인 방법을 사용하고 있다.
특히, WPA2는 와이파이 표준에서 가장 안전한 암호화 기법으로 알려져 있으며, 국내 이동통신 업체들이 대부분 WPA2를 채택하고 있는 실정이다.
이러한 보안 기술들은 대부분 사용자들이 이동통신사에서 정상적으로 제공하는 AP망에 접속하였을 경우, 데이터 유출(sniffing attack) 및 조작(spoofiing attack)을 방지하는 것을 목적으로 하며, 와이파이 네트워크에서 AP의 구별은 AP의 서비스셋 구별자(SSID)를 통해서 이루어지고 있다. 만약, 악의적인 사용자가 이동통신사의 와이파이 서비스와 같은 SSID를 사용하는 AP를 공공장소에 설치한다면, 사용자들은 악의적인 AP를 정당한 AP와 구별할 수 없을 것이다.
(비특허문헌 3)과 같이, 실제로 간단한 실험을 통해 극장가에서 악의적인 AP를 설치한 결과 스마트폰 많은 사용자들이 별다른 의심 없이 악의적인 AP를 통해 인터넷을 사용하였고, 이를 분석하여 개인정보 획득뿐만 아니라 악성코드 전송을 통해 좀비 스마트폰을 만들 수 있음이 밝혀진바 있다.
악의적인 AP를 통한 정보 유출 및 조작 공격은 현재 정보보호가 필요한 대부분의 웹사이트들이 사용하고 있는 SSL(Secure Socket Layer) 기술(비특허문헌 4 참조)을 사용하여 막을 수 있다. SSL은 초기 접속시에 클라이언트와 웹 서버가 공인인증서 또는 공개키를 통해 비밀키를 나누어 갖고, 이후 데이터 통신은 나누어 갖은 키를 통해 암호화하여 보안을 유지한다. SSL은 높은 보안성을 제공하기 때문에 널리 사용되고 있지만, SSL 역시 클라이언트와 웹 서버 사이의 중계 장치가 악의적인 경우 중간에서 키 가로채서 바꾸는 중간자(Man-In-The-Middle, MITM) 공격법(비특허문헌 5 참조)을 통해 정보를 가로채거나 변경할 수 있다.
도 1은 종래 기술에 따른 악의적인 와이파이 AP(비인가 AP)가 중간자 공격법을 통해 개인 정보 탈취를 수행하는 방식을 도시한 도면이다.
도 1을 참조하면, 클라이언트 단말에서는 가까운 지역의 AP를 통해 와이파이망에 접속하여 SSL방식의 특정 웹사이트 서버로 공개 키를 요청하는 경우로서, 해당 클라이언트 단말이 악의적인 AP에 접속된 경우, 공격자는 이를 가로채서, 와이파이망에 접속되어 있는 클라이언트 단말을 대신하여 특정 웹사이트 서버와 SSL 연결을 수행하고, 클라이언트 단말과도 SSL 연결을 맺게 된다.
즉, 악의적인 AP에서 특정 웹사이트 서버로 새로 공개키 요청을 수행하여 특정 웹사이트 서버는 SSL 공개 키를 악의적인 AP의 공격자에게 전송하고, 이를 확인한 공격자는 해당 클라이언트 단말로 새로 생성한 SSL 공개 키를 전송하게 된다. 이후 공격자는 해당 클라이언트 단말로부터 전송되는 패킷의 해석을 통해 개인 정보를 탈취하게 된다.
이와 같이 악의적인 와이파이 AP가 중간자 공격법을 사용한다면, 현재의 표준 기술들로는 이를 방어할 효과적인 방법이 없다. 특히, 대부분의 사용자들이 SSL로 암호화 되어있는 사이트들에 대해 높은 신뢰를 갖고 있고, 암호 및 주민번호 등의 민감한 정보를 쉽게 제공하는 것을 고려한다면, 악의적인 와이파이 AP가 중간자 공격법을 사용하는 경우 공공장소에서 민감한 정보를 대량으로 획득하는 것이 가능하게 된다.
: Lehembre, G. "Wi-Fi security--WEP, WPA and WPA2". Proceedings of the 7th Annual International Conference on Mobile Computing and Networking. 2005 : [IEEE. "IEEE Standard for Information technology. Telecommunications and information exchange between systems. Local and metropolitan area networks. Specific requirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications". Wired equivalent privacy(WEP). 2007. 158-160쪽 : http://www.etnews.com/news/detail.html?id=201012080206. etnews. 장윤정. "불법 AP에 45초내 180명 스마트폰 사용자 접속". 2010. : Alan O. Freier, Philip Karlton, Paul C. Kocher. "The SSL Protocol Version 3.0". SSL protocol INTERNET-DRAFT. 1996. 10-31 쪽 : Hwang, H., Jung, G., Sohn, K., Park, S.. "A study on MITM (man in the middle) vulnerability in wireless network using 802.1 x and eap". iciss. 2008. 164-170 쪽
이에 본 발명의 실시예에서는, AP(Access Point)의 정당성을 확인할 수 있는 사용자 고유의 시그니쳐(signature) 정보를 클라이언트(client) 단말 장치에 표시하여 비인가 AP의 공격으로부터 데이터를 보호할 수 있는 공용 네트워크 환경에서의 시그니쳐 정보 관리 기술을 제안하고자 한다.
여기서, 시그니쳐 정보는, 인터넷이나 3G망과 같은 광대역 네트워크, 또는 안전이 확보된 무선 네트워크, 또는 팩스나 전화선 등과 같이 신뢰성이 사전 확보된 네트워크 채널을 통해 인증 서비스 장치에 미리 등록될 수 있다.
본 발명의 실시예에 따른 시그니쳐 정보 관리 시스템은, 클라이언트 고유의 정보를 포함하는 시그니쳐 정보를 생성하는 클라이언트 단말 장치와, 상기 클라이언트 단말 장치를 통해 생성되는 상기 시그니쳐 정보를 중계하는 제1 네트워크와, 상기 클라이언트 단말 장치의 네트워크 연결 요청에 따라 상기 클라이언트 단말 장치와의 세션을 연결하며, 상기 시그니쳐 정보를 상기 클라이언트 단말 장치로 전달하는 제2 네트워크와, 상기 제1 네트워크를 통해 중계되는 상기 시그니쳐 정보를 임시 저장하며, 상기 제2 네트워크를 통해 상기 클라이언트 단말 장치의 네트워크 연결 요청이 있을 때 상기 클라이언트 단말 장치에 대한 클라이언트 인증을 처리하고, 상기 클라이언트 단말 장치의 인증 처리 결과에 따라 임시 저장된 상기 시그니쳐 정보를 상기 제2 네트워크로 전송하는 인증 서비스 장치를 포함할 수 있다.
여기서, 상기 시그니쳐 정보는, 코드 정보 또는 이미지 정보 또는 문자열 정보 중 적어도 하나를 포함할 수 있다.
또한, 상기 제1 네트워크는, 광대역 네트워크 또는 인가된 무선 네트워크 또는 팩스망 또는 전화망 중 어느 하나를 포함할 수 있다.
또한, 상기 제2 네트워크는, 근거리 무선 네트워크를 포함할 수 있다.
또한, 상기 클라이언트 단말 장치는, 상기 시그니쳐 정보를 디스플레이 처리하여 상기 제2 네트워크 내의 AP(access Point)가 인가된 AP인 것을 확인시킬 수 있다.
본 발명의 실시예에 따른 시그니쳐 정보 관리를 위한 인증 서비스 장치는, 클라이언트 단말 장치를 광대역 네트워크 또는 근거리 네트워크로 연결시켜 상기 클라이언트 단말 장치에서 생성된 시그니처 정보 또는 네트워크 연결 요청 메시지를 수신하거나, 연결 응답 메시지 또는 상기 시그니쳐 정보를 상기 근거리 네트워크로 송신하는 통신부와, 상기 통신부를 통해 제공되는 상기 시그니쳐 정보를 저장하며, 상기 근거리 네트워크 내의 AP로부터 제공되는 상기 클라이언트 단말 장치의 네트워크 연결 요청 메시지에 대응하여 상기 시그니쳐 정보를 상기 AP로 전송하도록 상기 통신부를 제어하는 서비스 관리부와, 상기 클라이언트 단말 장치에 대한 클라이언트 인증을 처리하는 역할을 하며, 클라이언트 인증 처리 결과를 상기 서비스 관리부로 제공하는 인증 처리부를 포함할 수 있다.
여기서, 상기 시그니쳐 정보는, 코드 정보 또는 이미지 정보 또는 문자열 정보 중 적어도 하나를 포함할 수 있다.
또한, 상기 서비스 관리부는, 상기 인증 처리부에 의해 상기 클라이언트 단말 장치의 인증이 성공될 경우에 상기 시그니쳐 정보를 상기 AP로 전송하도록 상기 통신부를 제어할 수 있다.
본 발명의 실시예에 따른 시그니쳐 정보 관리 방법은, 클라이언트 단말 장치에서 생성된 시그니쳐 정보를 제1 네트워크를 통해 인증 서비스 장치로 전송하여 상기 시그니쳐 정보를 상기 인증 서비스 장치에 등록시키는 과정과, 상기 클라이언트 단말 장치로부터 제2 네트워크 내의 AP로 네트워크 연결이 요청될 때 상기 AP가 상기 인증 서비스 장치로 네트워크 연결 요청 메시지를 전달하는 과정과, 상기 네트워크 연결 요청 메시지에 대응하여 상기 인증 서비스 장치가 상기 AP로 연결 응답 메시지 및 상기 시그니쳐 정보를 전송하는 과정과, 상기 AP가 상기 클라이언트 단말 장치로 상기 연결 응답 메시지 및 상기 시그니쳐 정보를 전달하여 상기 클라이언트 단말 장치를 통해 상기 시그니쳐 정보가 디스플레이 되도록 하는 과정을 포함할 수 있다.
여기서, 상기 시그니쳐 정보는, 코드 정보 또는 이미지 정보 또는 문자열 정보 중 적어도 하나를 포함할 수 있다.
또한, 상기 제1 네트워크는, 광대역 네트워크 또는 인가된 무선 네트워크 또는 팩스망 또는 전화망 중 어느 하나를 포함할 수 있다.
또한, 상기 제2 네트워크는, 근거리 무선 네트워크를 포함할 수 있다.
본 발명에 의하면, 무선랜(Wireless LAN) 환경에서의 근거리 무선 접속 장치(Access Point, 이하 AP라 함)의 정당성을 확인할 수 있는 사용자 고유의 시그니쳐(signature) 정보를 클라이언트(client) 단말 장치에 표시하여 사용자가 이를 확인할 수 있게 함으로써, 비인가 AP의 데이터 공격을 근본적으로 차단하여 신뢰성이 보장된 무선랜 환경을 사용자에게 제공할 수 있다.
도 1은 종래의 비인가 AP가 중간자 공격법을 통해 개인정보를 가로채는 경우를 예시한 도면,
도 2는 본 발명의 실시예에 따른 공용 네트워크 환경에서의 시그니쳐 정보 관리 시스템에 대한 개략적인 구성 블록도,
도 3은 본 발명의 실시예에 따른 시그니쳐 정보 관리를 위한 인증 서비스 장치, 예컨대 공용 네트워크에서 인가된 AP의 검증을 위한 시그니쳐 정보를 제공하는 도 1의 인증 서비스 장치(200)의 구체적인 구성 블록도,
도 4는 본 발명의 실시예에 따른 공용 네트워크 환경에서의 시그니쳐 정보 관리 방법을 설명하는 타이밍 챠트.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 도면부호는 동일 구성 요소를 지칭한다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
본 발명은 무선랜(Wireless LAN) 환경에서 AP(Access Point)의 정당성을 확인할 수 있는 사용자 고유의 시그니쳐(signature) 정보를 인터넷이나 3G망과 같은 광대역 네트워크, 또는 안전이 확보된 무선 네트워크, 또는 팩스나 전화선 등과 같이 신뢰성이 사전 확보된 네트워크 채널을 통해 인증 서비스 장치에 미리 등록해 두고, 추후 네트워크 연결 요청 시에 해당 시그니쳐 정보를 클라이언트(client) 단말 장치에 표시하여 사용자가 해당 AP가 인가된 AP인지 또는 비인가된 AP인지를 확인할 수 있도록 한다는 것으로, 이러한 기술 사상으로부터 본 발명의 목적으로 하는 바를 용이하게 달성할 수 있을 것이다.
이하, 본 발명의 실시예에 대해 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 2는 본 발명의 실시예에 따른 공용 네트워크 환경에서의 시그니쳐 정보 관리 시스템에 대한 개략적인 구성 블록도로서, 클라이언트 단말 장치(100), 광대역 네트워크(10), 근거리 네트워크(20), 인증 서비스 장치(200) 등을 포함할 수 있다.
도 2에 도시한 바와 같이, 클라이언트 단말 장치(100)는 본 발명의 실시예에 따라 공용 네트워크, 예컨대 근거리 네트워크(20) 또는 광대역 네트워크(10)에 접속하여 인가된 AP를 확인할 수 있는 클라이언트 시그니쳐 정보를 관리하는 역할을 할 수 있다.
구체적으로, 클라이언트 단말 장치(100)는 본 발명의 실시예에 적용되는 클라이언트 시그니쳐 정보를 생성하고, 생성된 클라이언트 시그니쳐 정보를 광대역 네트워크(10) 등을 통해 인증 서비스 장치(200)로 제공하며, 네트워크 연결 응답 메시지가 수신될 때 인증 서비스 장치(200) 저장된 클라이언트 시그니쳐 정보를 수신하여 디스플레이 처리하는 역할을 할 수 있다. 이때의 클라이언트 시그니쳐 정보는, 예를 들어 코드 정보, 또는 이미지 정보, 또는 문자열 정보 중 적어도 하나를 포함할 수 있으며, 클라이언트 시그니쳐 정보의 생성에 대해서는 본 발명의 기술분야에서 통상의 지식을 가진 자라면 용이하게 알 수 있는 바, 구체적인 설명은 생략하기로 한다.
부가적으로 클라이언트 단말 장치(100)는, 근거리 네트워크(20)로 네트워크 연결을 요청할 수 있으며, 근거리 네트워크(20)의 AP로부터 인증창 화면정보를 제공받아 디스플레이 처리할 수 있다.
이러한 클라이언트 단말 장치(100)는 본 발명의 실시예에 따라 시그니쳐 정보를 생성 또는 송/수신 또는 디스플레이 하기 위한 멀티미디어 단말 장치(multimedia device)로서, 예를 들면 스마트폰, 노트패드(notepad), 태블릿(tablet) 컴퓨터, 랩톱(laptop) 컴퓨터 등의 다양한 형태의 클라이언트 단말 장치들을 포함할 수 있다.
클라이언트 단말 장치(100)는 후술하는 광대역 네트워크(10)와 광대역 접속으로 인터페이스 하여 가입자에게 광대역 통신 서비스를 제공할 수 있으며, CDMA(Code Division Multiple Access) 기반의 2세대, W-CDMA(Wideband Code Division Multiple Access) 기반의 3세대, 또는 그 이상의 세대를 지원하는 무선 환경과, 인터넷 등의 IP(Internet Protocol) 기반 통신 기술을 지원하는 유선 환경을 모두 포함하는 광대역 통신 서비스를 제공할 수 있다.
또한, 클라이언트 단말 장치(100)는 후술하는 근거리 네트워크(20)와 근거리 접속으로 인터페이스 하여 가입자에게 근거리 통신 서비스를 제공할 수 있다. 이때의 근거리 통신 서비스는, 예를 들면 와이파이(Wi-Fi) 등의 무선 근거리 통신 서비스가 적용될 수 있을 것이다.
도면에는 하나의 클라이언트 단말 장치(100)를 도시하였으나, 이는 설명의 편의를 위해 예시적으로 표현한 것일 뿐, 근거리 네트워크(20) 또는 광대역 네트워크(10)에 접속될 수 있는 클라이언트 단말 장치는 다수 개로 구현될 수 있음을 본 발명의 기술분야에서 통상의 지식을 가진 자라면 용이하게 알 수 있을 것이다.
광대역 네트워크(10)는 광대역 무선 네트워크와 광대역 유선 네트워크를 포함할 수 있으며, 클라이언트 단말 장치(100)와 인증 서비스 장치(200)를 상호 연결시켜 클라이언트 단말 장치(100)를 통해 생성된 클라이언트 시그니쳐 정보를 인증 서비스 장치(200)로 전달하는 역할을 할 수 있다.
여기서, 광대역 무선 네트워크는, 클라이언트 단말 장치(100)의 호 설정 및 자원 할당에 관여하는 것으로, 동기방식 및 비동기방식을 모두 지원할 수 있다. 여기서, 동기방식인 경우에는 기지국은 BTS(Base Transceiver Station), 기지국 제어기는 BSC(Base Station Controller)가 될 것이고, 비동기방식인 경우에는 기지국은 노드 B(Node B), 기지국 제어기는 RNC(Radio Network Controller)가 될 것이다. 물론, 광대역 무선 네트워크는 이에 한정되는 것은 아니고, CDMA망이 아닌 GSM(Global System for Mobile Communication)망 및 향후 구현될 모든 이동 통신 시스템의 접속망을 포함할 수 있을 것이다.
광대역 유선 네트워크는, 예를 들어 인터넷(internet)으로서, TCP/IP 프로토콜 및 그 상위계층에 존재하는 여러 서비스, 즉 HTTP(Hyper Text Transfer Protocol), Telnet, FTP(File Transfer Protocol), DNS(Domain Name System), SMTP(Simple Mail Transfer Protocol), SNMP(Simple Network Management Protocol), NFS(Network File Service), NIS(Network Information Service)를 제공하는 전 세계적인 개방형 컴퓨터 네트워크 구조를 의미할 수 있다.
근거리 네트워크(20)는, 예를 들어 와이파이 등의 근거리 무선 네트워크를 포함할 수 있으며, 클라이언트 단말 장치(100)와 인증 서비스 장치(200) 간의 근거리 무선 통신 환경을 제공하여 근거리 네트워크 세션 연결을 제공할 수 있다.
이러한 근거리 네트워크(20) 내에는 근거리 무선 접속 장치, 예컨대 AP가 포함될 수 있으며, 클라이언트 단말 장치(100)로부터 네트워크 연결 요청 메시지가 수신될 때 AP는 인증창 화면정보를 클라이언트 단말 장치(100)에게 제공할 수 있다.
즉, 본 발명의 실시예에 적용될 수 있는 근거리 무선 접속 장치, 예컨대 와이파이 AP들은 PAP(Password Authentication Protocol), CHAP(Challenge Handshake Authentication Protocol), EAP(Extensible Authentication Protocol) 등의 인증기술과 WPA(Wi-Fi Protected Access), WEP(Wired Equivalent Privacy), WEP2 등의 인증/암호화 기술 등을 사용하고 있고, 이를 사용하기 위해서 AP에 접속한 사용자가 정당한 사용자인지 구별할 수 있도록 초기 접속 시 인증창 화면정보를 클라이언트 단말 장치(100)에게 제공할 수 있다. 와이파이 AP 서비스에서는 인증을 위해 RADIUS(Remote Authentication Dial-In User Service) 표준이 사용될 수 있는데, 본 발명의 실시예에서는 이러한 RADIUS 표준에 의한 RADIUS 인증창 화면정보를 클라이언트 단말 장치(100)로 제공할 수 있다.
또한, 근거리 네트워크(20) 내의 AP는 인증 서비스 장치(200)로부터 제공되는 근거리 무선 연결 응답 메시지 또는 시그니쳐 정보 등을 클라이언트 단말 장치(100)에게 전달할 수 있다.
본 발명의 실시예에 따른 인증 서비스 장치는, 클라이언트 단말 장치(100)로부터 제공되는 클라이언트 시그니쳐 정보를 저장하고, 근거리 네트워크(20)를 통해 클라이언트 단말 장치(100)의 네트워크 연결 요청 메시지가 수신될 때 클라이언트 단말 장치(100)의 클라이언트 인증을 수행하며, 클라이언트 인증이 성공될 때 연결 응답 메시지 및 시그니쳐 정보를 근거리 네트워크(20)로 전송하는 역할을 할 수 있다.
도 3은 본 발명의 실시예에 따른 시그니쳐 정보 관리를 위한 인증 서비스 장치, 예컨대 공용 네트워크에서 인가된 AP의 검증을 위한 시그니쳐 정보를 제공하는 도 1의 인증 서비스 장치(200)의 구체적인 구성 블록도로서, 통신부(202), 서비스 관리부(204), 클라이언트 정보 DB(Data-Base)(206), 시그니쳐 정보 DB(208), 인증 처리부(210) 등을 포함할 수 있다.
도 3에 도시한 바와 같이, 통신부(202)는 인증 서비스 장치(200)와 클라이언트 단말 장치(100)를 광대역 네트워크(10) 또는 근거리 네트워크(20)를 통해 광대역 통신 또는 근거리 통신으로 상호 연결시켜 클라이언트 단말 장치(100)에서 생성된 클라이언트 시그니처 정보 또는 네트워크 연결 요청 메시지를 수신하거나, 인증 서비스 장치(200)의 서비스 관리부(204)에서 생성된 연결 응답 메시지 또는 시그니쳐 정보 DB(208)에 저장된 클라이언트 시그니쳐 정보를 근거리 네트워크(20)로 송신하는 역할을 할 수 있다.
서비스 관리부(204)는 통신부(202)를 통해 제공되는 클라이언트 단말 장치(100)의 클라이언트 시그니쳐 정보를 시그니쳐 정보 DB(208)에 저장하도록 하며, 근거리 네트워크(20) 내의 AP로부터 제공되는 클라이언트 단말 장치(100)의 네트워크 연결 요청 메시지에 따라 클라이언트 정보 DB(206)를 통해 클라이언트 단말 장치(100)에 대한 클라이언트 인증 처리를 인증 처리부(210)로 요청하고, 인증 처리부(210)의 인증 처리 결과에 대응하는 연결 응답 메시지를 생성하며, 인증 처리부(210)를 통한 인증 처리가 성공될 때 시그니쳐 정보 DB(208)에 저장된 클라이언트 시그니쳐 정보를 취사 선택하는 역할을 할 수 있다.
클라이언트 정보 DB(206)에는 클라이언트 단말 장치(100)의 사용자 정보(예를 들어, 사용자 ID, 신상정보 등)가 저장될 수 있으며, 이들 정보들은 필요에 따라 서비스 관리부(204)에 의해 취사 선택될 수 있다.
시그니쳐 정보 DB(208)에는 클라이언트 단말 장치(100)를 통해 생성된 클라이언트 시그니쳐 정보가 임시 저장될 수 있으며, 임시 저장된 클라이언트 시그니쳐 정보는 필요에 따라 서비스 관리부(204)에 의해 취사 선택될 수 있다.
이와 같은 DB들(206)(208)은 오라클(Oracle), 인포믹스(Infomix), 사이베이스(Sybase), DB2와 같은 관계형 데이터베이스 관리 시스템(RDBMS)이나, 겜스톤(Gemston), 오리온(Orion), O2 등과 같은 객체 지향 데이터베이스 관리 시스템(OODBMS)을 이용하여 본 발명의 목적에 맞게 구현될 수 있고, 자신의 기능을 달성하기 위하여 적당한 필드(field)들을 가질 수 있다.
인증 처리부(210)는 클라이언트 정보 DB(206)와 연계하여 클라이언트 단말 장치(100)에 대한 클라이언트 인증을 처리하는 역할을 하며, 클라이언트 인증 처리 결과를 서비스 관리부(204)로 제공할 수 있다.
이하, 상술한 구성과 함께, 본 발명의 실시예에 따른 공용 네트워크 환경에서의 시그니쳐 정보 관리 방법을 도 4의 타이밍 차트를 참조하여 상세히 설명하기로 한다.
도 4에 도시한 바와 같이, 단계(100)에서 클라이언트 단말 장치(100)는 클라이언트 고유의 시그니쳐 정보를 생성한 후 생성된 클라이언트 시그니쳐 정보를 인증 서비스 장치(200)에 임시 저장하기 위한 등록 요청 메시지를 인증 서비스 장치(200)로 전송할 수 있다.
이때의 클라이언트 시그니쳐 정보는, 예를 들어 코드 정보, 이미지 정보, 문자열 정보 중 적어도 하나를 포함할 수 있으며, 해당 클라이언트 시그니쳐 정보는 광대역 네트워크(10)를 통해 인증 서비스 장치(200)로 제공될 수 있다. 물론, 광대역 네트워크(10)에는 3G 통신에서의 USIM(Universal Subscriber Identity Module) 정보 등을 이용하여 안전이 확보될 수 있기 때문에 본 발명의 실시예에서는 광대역 네트워크(10)를 통해 클라이언트 시그니쳐 정보가 전송되는 것으로 설명하였으나, 사전에 신뢰성이 확보된다면 인터넷, 무선 네트워크, 전화, 팩스 등과 같은 다양한 통신 채널을 통해서도 클라이언트 시그니쳐 정보가 전송될 수 있음을 주지할 필요가 있다.
이와 같이 클라이언트 시그니쳐 정보가 클라이언트 단말 장치(100)에서 인증 서비스 장치(200)로 제공되면, 인증 서비스 장치(200)는 해당 클라이언트 시그니쳐 정보를 시그니쳐 정보 DB(208)에 임시 저장할 수 있다(S102).
이후, 클라이언트 단말 장치(100)가 근거리 네트워크(20)를 통한 네트워크 연결 요청이 있으면(S104), 근거리 네트워크(20) 내의 임의의 AP(22), 즉 근거리 무선 전송 장치는 클라이언트 단말 장치(100)로 인증창 화면정보를 제공할 수 있다(S106). 이때의 인증창 화면정보는, 예컨대 RADIUS 표준을 기반으로 한 인증창 화면정보일 수 있다.
이와 동시에 AP(22)는 인증 서비스 장치(200)로 네트워크 연결 요청 메시지를 전달할 수 있다(S108).
인증 서비스 장치(200)는 클라이언트 정보 DB(206) 등을 통해 클라이언트 단말 장치(100)의 클라이언트 인증을 처리할 수 있다(S110).
이러한 클라이언트 인증 처리 결과, 인증에 성공되면 인증 서비스 장치(200)는 연결 응답 메시지 및 시그니쳐 정보를 AP(22)로 전송할 수 있다(S112).
이후, AP(22)는 해당 연결 응답 메시지 및 시그니쳐 정보를 클라이언트 단말 장치(100)로 전달할 수 있다(S114).
이에 따라 클라이언트 단말 장치(100)와 AP(22) 간에는 세션이 연결될 수 있으며(S116), 클라이언트 단말 장치(100)의 화면(도시 생략됨) 상에는 해당 시그니쳐 정보가 디스플레이 될 수 있다.
이에 따라, 클라이언트 단말 장치(100)의 사용자는 현재 접속 중인 AP(22)가 검증 받은 서비스 제공자에 의해 정당하게 설치되어 서비스를 제공받고 있다는 것을 확인할 수 있을 것이다.
이상 설명한 바와 같은 본 발명의 실시예에 의하면, 무선랜(Wireless LAN) 환경에서의 근거리 무선 접속 장치(Access Point, AP)의 정당성을 확인할 수 있는 사용자 고유의 시그니쳐 정보를 클라이언트 단말 장치에 표시하여 사용자가 이를 확인할 수 있게 함으로써, 비인가 AP의 데이터 공격을 근본적으로 차단하여 신뢰성이 보장된 무선랜 환경을 사용자에게 제공할 수 있도록 구현한 것이다.
100: 클라이언트 단말 장치
200: 인증 서비스 장치
202: 통신부
204: 서비스 관리부
206: 클라이언트 정보 DB
208: 시그니쳐 정보 DB
210: 인증 처리부

Claims (12)

  1. 클라이언트 고유의 정보를 포함하는 시그니쳐 정보를 생성하는 클라이언트 단말 장치와,
    상기 클라이언트 단말 장치를 통해 생성되는 상기 시그니쳐 정보가 중계되는 제1 네트워크와 상기 클라이언트 단말 장치의 네트워크 연결 요청에 따라 상기 클라이언트 단말 장치와의 세션을 연결함과 아울러 상기 시그니쳐 정보가 상기 클라이언트 단말 장치로 전달되는 제2 네트워크 중에 상기 제1 네트워크를 통해 중계되는 상기 시그니쳐 정보를 임시 저장하며, 상기 제2 네트워크를 통해 상기 클라이언트 단말 장치의 네트워크 연결 요청이 있을 때 상기 클라이언트 단말 장치에 대한 클라이언트 인증을 처리하고, 상기 클라이언트 단말 장치의 인증 처리 결과에 따라 임시 저장된 상기 시그니쳐 정보를 상기 제2 네트워크로 전송하는 인증 서비스 장치를 포함하는
    시그니쳐 정보 관리 시스템.
  2. 제 1 항에 있어서,
    상기 시그니쳐 정보는, 코드 정보 또는 이미지 정보 또는 문자열 정보 중 적어도 하나를 포함하는
    시그니쳐 정보 관리 시스템.
  3. 제 1 항에 있어서,
    상기 제1 네트워크는, 광대역 네트워크 또는 인가된 무선 네트워크 또는 팩스망 또는 전화망 중 어느 하나를 포함하는
    시그니쳐 정보 관리 시스템.
  4. 제 1 항에 있어서,
    상기 제2 네트워크는, 근거리 무선 네트워크를 포함하는
    시그니쳐 정보 관리 시스템.
  5. 제 1 항에 있어서,
    상기 클라이언트 단말 장치는, 상기 시그니쳐 정보를 디스플레이 처리하여 상기 제2 네트워크 내의 AP(access Point)가 인가된 AP인 것을 확인시키는
    시그니쳐 정보 관리 시스템.
  6. 클라이언트 단말 장치에서 생성된 시그니쳐 정보 또는 네트워크 연결 요청 메시지를 광대역 네트워크 또는 근거리 네트워크를 통해 수신하거나, 연결 응답 메시지 또는 상기 시그니쳐 정보를 상기 근거리 네트워크 내의 액세스 포인트(Access Point)로 송신하는 통신부와,
    상기 통신부를 통해 제공되는 상기 시그니쳐 정보를 저장하며, 상기 액세스 포인트로부터 제공되는 상기 클라이언트 단말 장치의 네트워크 연결 요청 메시지에 대응하여 상기 시그니쳐 정보를 상기 액세스 포인트로 전송하도록 상기 통신부를 제어하는 서비스 관리부와,
    상기 클라이언트 단말 장치에 대한 클라이언트 인증을 처리하는 역할을 하며, 클라이언트 인증 처리 결과를 상기 서비스 관리부로 제공하는 인증 처리부를 포함하는
    시그니쳐 정보 관리를 위한 인증 서비스 장치.
  7. 제 6 항에 있어서,
    상기 시그니쳐 정보는,
    코드 정보 또는 이미지 정보 또는 문자열 정보 중 적어도 하나를 포함하는
    시그니쳐 정보 관리를 위한 인증 서비스 장치.
  8. 제 6 항에 있어서,
    상기 서비스 관리부는, 상기 인증 처리부에 의해 상기 클라이언트 단말 장치의 인증이 성공될 경우에 상기 시그니쳐 정보를 상기 AP로 전송하도록 상기 통신부를 제어하는
    시그니쳐 정보 관리를 위한 인증 서비스 장치.
  9. 클라이언트 단말 장치에서 생성된 시그니쳐 정보를 제1 네트워크를 통해 인증 서비스 장치로 전송하여 상기 시그니쳐 정보를 상기 인증 서비스 장치에 등록시키는 과정과,
    상기 클라이언트 단말 장치로부터 제2 네트워크 내의 AP로 네트워크 연결이 요청될 때 상기 AP가 상기 인증 서비스 장치로 네트워크 연결 요청 메시지를 전달하는 과정과,
    상기 네트워크 연결 요청 메시지에 대응하여 상기 인증 서비스 장치가 상기 AP로 연결 응답 메시지 및 상기 시그니쳐 정보를 전송하는 과정과,
    상기 AP가 상기 클라이언트 단말 장치로 상기 연결 응답 메시지 및 상기 시그니쳐 정보를 전달하여 상기 클라이언트 단말 장치를 통해 상기 시그니쳐 정보가 디스플레이 되도록 하는 과정을 포함하는
    시그니쳐 정보 관리 방법.
  10. 제 9 항에 있어서,
    상기 시그니쳐 정보는,
    코드 정보 또는 이미지 정보 또는 문자열 정보 중 적어도 하나를 포함하는
    시그니쳐 정보 관리 방법.
  11. 제 9 항에 있어서,
    상기 제1 네트워크는, 광대역 네트워크 또는 인가된 무선 네트워크 또는 팩스망 또는 전화망 중 어느 하나를 포함하는
    시그니쳐 정보 관리 방법.
  12. 제 9 항에 있어서,
    상기 제2 네트워크는, 근거리 무선 네트워크를 포함하는
    시그니쳐 정보 관리 방법.
KR1020110087001A 2011-08-30 2011-08-30 공용 네트워크 환경에서의 시그니쳐 정보 관리 시스템 및 방법, 시그니쳐 정보 관리를 위한 인증 서비스 장치 KR101269680B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110087001A KR101269680B1 (ko) 2011-08-30 2011-08-30 공용 네트워크 환경에서의 시그니쳐 정보 관리 시스템 및 방법, 시그니쳐 정보 관리를 위한 인증 서비스 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110087001A KR101269680B1 (ko) 2011-08-30 2011-08-30 공용 네트워크 환경에서의 시그니쳐 정보 관리 시스템 및 방법, 시그니쳐 정보 관리를 위한 인증 서비스 장치

Publications (2)

Publication Number Publication Date
KR20130023904A KR20130023904A (ko) 2013-03-08
KR101269680B1 true KR101269680B1 (ko) 2013-05-30

Family

ID=48176069

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110087001A KR101269680B1 (ko) 2011-08-30 2011-08-30 공용 네트워크 환경에서의 시그니쳐 정보 관리 시스템 및 방법, 시그니쳐 정보 관리를 위한 인증 서비스 장치

Country Status (1)

Country Link
KR (1) KR101269680B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007006320A (ja) 2005-06-27 2007-01-11 Nakayo Telecommun Inc 無線lanシステムおよび通信方法
JP2008022209A (ja) 2006-07-12 2008-01-31 Nippon Telegr & Teleph Corp <Ntt> アクセスポイントの正当性を確認する通信システム、通信方法、及び認証用情報提供サーバ

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007006320A (ja) 2005-06-27 2007-01-11 Nakayo Telecommun Inc 無線lanシステムおよび通信方法
JP2008022209A (ja) 2006-07-12 2008-01-31 Nippon Telegr & Teleph Corp <Ntt> アクセスポイントの正当性を確認する通信システム、通信方法、及び認証用情報提供サーバ

Also Published As

Publication number Publication date
KR20130023904A (ko) 2013-03-08

Similar Documents

Publication Publication Date Title
US10638321B2 (en) Wireless network connection method and apparatus, and storage medium
TWI668645B (zh) 用以建立安全無線通訊之系統與方法
KR101038064B1 (ko) 애플리케이션 인증
AU2008213766B2 (en) Method and system for registering and verifying the identity of wireless networks and devices
US20180167812A1 (en) Wireless network authorization using a trusted authenticator
CN105027529B (zh) 用于验证对网络资源的用户接入的方法和设备
Dantu et al. EAP methods for wireless networks
US20240171982A1 (en) Non-3gpp device acess to core network
Matos et al. Secure hotspot authentication through a near field communication side-channel
KR100819942B1 (ko) 유무선 네트워크의 검역 및 정책기반 접속제어 방법
Sharma et al. A review on wireless network security
CN105873059A (zh) 配电通信无线专网的联合身份认证方法和系统
US20140165180A1 (en) Secure Identification of Internet Hotspots for the Passage of Sensitive Information
KR101269680B1 (ko) 공용 네트워크 환경에서의 시그니쳐 정보 관리 시스템 및 방법, 시그니쳐 정보 관리를 위한 인증 서비스 장치
Vondráček et al. Automation of MitM attack on Wi-Fi networks
Lee et al. Man-in-the-middle Attacks Detection Scheme on Smartphone using 3G network
Bodhe et al. Wireless LAN security attacks and CCM protocol with some best practices in deployment of services
Sorman et al. Implementing improved WLAN security
JP2015111440A (ja) 信頼できる認証およびログオンのための方法および装置
Cai et al. Research and prevention of rogue ap based mitm in wireless network
Palamà et al. Attacks and vulnerabilities of Wi-Fi Enterprise networks: User security awareness assessment through credential stealing attack experiments
Li et al. Wireless network security detection system design based on client
KR20120121817A (ko) 와이파이와 이동통신망을 혼용한 보안 데이터 통신 장치 및 방법
Soewito Building secure wireless access point based on certificate authentication and firewall captive portal
RU2779029C1 (ru) Доступ не отвечающего спецификациям 3gpp устройства к базовой сети

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160512

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170330

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee