KR20040049533A - Method for Providing Authentication Service in the Wireless LAN - Google Patents
Method for Providing Authentication Service in the Wireless LAN Download PDFInfo
- Publication number
- KR20040049533A KR20040049533A KR1020020077333A KR20020077333A KR20040049533A KR 20040049533 A KR20040049533 A KR 20040049533A KR 1020020077333 A KR1020020077333 A KR 1020020077333A KR 20020077333 A KR20020077333 A KR 20020077333A KR 20040049533 A KR20040049533 A KR 20040049533A
- Authority
- KR
- South Korea
- Prior art keywords
- set identifier
- service set
- terminal
- ssid
- encrypted
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
본 발명은 무선 LAN에서 인증 서비스 방법에 관한 것으로, 특히 무선 LAN에서 인증과 연합(Association)을 위해 필요한 SSID를 암호화하여 보안을 강화하도록 한 무선 LAN에서 인증 서비스 방법에 관한 것이다.The present invention relates to an authentication service method in a wireless LAN, and more particularly, to an authentication service method in a wireless LAN to enhance security by encrypting an SSID necessary for authentication and association in a wireless LAN.
일반적으로, 무선 LAN에서의 SSID는 인증과 연합을 위해 필요한 식별자인데, 즉 무선 LAN을 통해 전송되는 패킷(Packet)들의 각 헤더(Header)에 덧붙여지는 32바이트 길이의 고유 식별자이다.In general, the SSID in a wireless LAN is an identifier necessary for authentication and association, that is, a 32-byte long unique identifier appended to each header of packets transmitted through the wireless LAN.
그리고, 상기 SSID는 무선 장치들이 BSS(Basic Service Set)에 접속할 경우에 마치 암호처럼 사용되어진다. 즉, 특정 BSS의 고유한 SSID를 알지 못하는 어떠한 장치도 해당 BSS에 접속할 수 없게 된다.The SSID is used as a password when the wireless devices access the basic service set (BSS). That is, any device that does not know the unique SSID of a particular BSS will not be able to access that BSS.
또한, 상기 SSID는 하나의 무선 LAN을 다른 무선 LAN으로부터 구분해 줌으로써, 특정 무선 LAN에 접속하려는 모든 AP(Access Point)나 무선 장치들은 반드시 동일한 SSID를 사용해야만 한다.In addition, the SSID distinguishes one wireless LAN from another wireless LAN, so that all APs or wireless devices to access a specific wireless LAN must use the same SSID.
한편, 무선 매체와의 MAC와 PHY 인터페이스를 포함하는 장치(즉, 단말(Station))가 다른 단말 인증을 원할 경우에, 인증 서비스는 하나 또는 그 이상의 인증 관리 프레임을 교환하게 된다. 여기서, 해당 무선 매체는 무선 LAN의 동료 PHY 개체들 사이의 PDU의 전송을 포함하는데 사용되는 매체를 말하며, 해당인증 서비스는 다른 단말과 연합되어 있는 인증된 단말들 중의 멤버로써 하나의 단말의 신원을 설정하기 위한 서비스를 말한다.On the other hand, when a device (ie, a station) including a MAC and a PHY interface with a wireless medium wants another terminal authentication, the authentication service exchanges one or more authentication management frames. Here, the wireless medium refers to a medium used to include transmission of a PDU between peer PHY entities of a wireless LAN, and the corresponding authentication service is a member of authenticated terminals associated with another terminal. It is a service to set.
예를 들어, 유선 기반망 없이 이동 단말로만 구성된 무선 환경인 애드혹(Ad-hoc)의 경우에는 인증 동작을 수행하기 위해서 RTS(Request to Send), CTS(Clear to Send), ACK(Acknowledge) 등의 제어 프레임(Control Frame)을 사용하게 되며, 인증 요구(MA_UNITDATA.req)가 발생하면 인증 테이블(Authentication Table)을 조사하여 인증을 수행하게 된다.For example, in the case of Ad-hoc, which is a wireless environment consisting only of mobile terminals without a wired network, in order to perform authentication, request to send (RTS), clear to send (CTS), acknowledgment (ACK), etc. A control frame is used. When an authentication request (MA_UNITDATA.req) occurs, authentication is performed by examining an authentication table.
도 1은 일반적인 무선 LAN에서의 인증 서비스 방법을 나타낸 흐름도이다.1 is a flowchart illustrating an authentication service method in a general wireless LAN.
도 1의 흐름도에 도시된 바와 같이, 인프라 구조(Infra-structure)에서의 단말은 탐색 요구 메시지(Probe Request Message)를 AP에 전송하는데, 이때 해당 탐색 요구 메시지에는 용량(Capability), SSID, 지지 속도(Supported Rate) 등의 정보를 포함하고 있다.As shown in the flowchart of FIG. 1, the terminal in the infrastructure transmits a probe request message to the AP, in which case the capability, SSID, and support rate are included in the probe request message. It includes information such as (Supported Rate).
그리고, 상기 AP에서는 상기 탐색 요구 메시지에 대한 응답 메시지(Probe Response Message)를 상기 단말 측으로 전송해 주는데, 해당 탐색 응답 메시지에는 타임 스탬프(Time Stamp), 비콘 간격(Beacon Interval), 레귤레이토리(Regulatory), 도메인(Domain), 용량, SSID, 지지 속도, FH 파라미터(Parameter), CF 파라미터 세트 등의 정보를 포함하고 있다.In addition, the AP transmits a Probe Response Message to the UE in response to the discovery request message. The discovery response message includes a time stamp, a beacon interval, and a regulator. ), Domain, capacity, SSID, support speed, FH parameter, CF parameter set, and the like.
이에, 상기 단말은 상기 AP로부터 탐색 응답 메시지를 수신받은 후에, 인증 관리 프레임을 상기 AP로 송출하게 되며, 그리고 나서 상기 AP도 인증 프레임을 상기 단말에게 전송함으로써, 상기 AP와 단말간에 인증을 맺게 된다. 예를 들어, 해당 인증 관리 프레임은 도 2에 도시된 바와 같은 포맷을 가진다.Accordingly, after receiving the discovery response message from the AP, the terminal transmits an authentication management frame to the AP, and then the AP also transmits an authentication frame to the terminal, thereby establishing authentication between the AP and the terminal. . For example, the authentication management frame has a format as shown in FIG.
그런 후, 상기 AP와 단말간에 인증을 맺은 후에, 상기 단말은 연합 요구 메시지(Association Request Message)를 상기 AP에 전송하는데, 이때 해당 연합 요구 메시지에는 용량, SSID, 지지 속도 등의 정보를 포함하고 있다.Then, after authenticating between the AP and the terminal, the terminal transmits an association request message to the AP, wherein the association request message includes information such as capacity, SSID, support speed, and the like. .
그리고, 상기 AP에서는 상기 연합 요구 메시지에 대한 응답 메시지(Association Response Message)를 상기 단말 측으로 전송해 준 후에 연합을 맺게 되는데, 해당 연합 응답 메시지에는 용량, 상태 코드(Status Code), SSID, 지지 속도 등의 정보를 포함하고 있다.In addition, the AP forms an association after transmitting an association response message to the terminal to the terminal. The association response message includes a capacity, a status code, an SSID, a support rate, and the like. Contains information.
물론, 상기 AP에서는 주기적으로 브로트캐스트(Broadcast) 형식의 비콘 프레임을 생성시켜 전송해 주는데, 해당 비콘 프레임의 포맷은 도 3에 도시된 바와 같이, 타임 스탬프, 비콘 간격, 용량, SSID 및 지지 속도의 정보를 포함하고 있다.Of course, the AP periodically generates and transmits a beacon frame of a broadcast type, and the format of the beacon frame is as shown in FIG. 3. Contains information.
그런데, 상술한 바와 같은 SSID는 패킷 상에 부가된 평범한 텍스트 데이터(Text Data)이므로, 충분히 스니프당할 가능성이 높기 때문에 네트워크에 대해 어떠한 보증도 하지 않는 단점이 있었다.However, since the SSID as described above is plain text data added on the packet, it is likely to be sniffed sufficiently, so there is a disadvantage in that there is no guarantee for the network.
전술한 바와 같은 문제점을 해결하기 위한 것으로, 본 발명은 무선 LAN에서 인증과 연합을 위해 필요한 SSID를 암호화하여 보안을 강화하도록 한 무선 LAN에서 인증 서비스 방법을 제공하는데, 그 목적이 있다.SUMMARY OF THE INVENTION In order to solve the above problems, the present invention provides an authentication service method in a wireless LAN to enhance security by encrypting an SSID necessary for authentication and association in a wireless LAN.
또한, 본 발명은 무선 LAN에서 관리 프레임 송수신상에 SSID를 암호화함으로써, 불허용 사용자로 하여금 억세스(Access)를 금지하도록 하는데, 그 목적이 있다.In addition, an object of the present invention is to allow an unauthorized user to prohibit access by encrypting an SSID on management frame transmission and reception in a wireless LAN.
또한, 본 발명은 무선 LAN에서 관리 프레임 교환 시에도 일반 텍스트 데이터가 암호화된 데이터로 송수신되도록 SSID를 암호화함으로써, 해킹의 가능성을 제거하여 보안 강화를 향상시키도록 하는데, 그 목적이 있다.In addition, the present invention is to improve the security enhancement by eliminating the possibility of hacking by encrypting the SSID so that plain text data is transmitted and received as encrypted data even during management frame exchange in a wireless LAN.
도 1은 일반적인 무선 LAN(Local Access Network)에서의 인증 서비스(Authentication Service) 방법을 나타낸 흐름도이다.1 is a flowchart illustrating a method of an authentication service in a general wireless local access network (LAN).
도 2는 도 1에 있어 인증 관리 프레임(Authentication Management Frame)의 포맷(Format)을 나타낸 도면이다.FIG. 2 is a diagram illustrating a format of an authentication management frame in FIG. 1.
도 3은 도 1에 있어 비콘 프레임(Beacon Frame)의 포맷을 나타낸 도면이다.FIG. 3 is a diagram illustrating a format of a beacon frame in FIG. 1.
도 4는 본 발명의 실시 예에 따른 무선 LAN에서 인증 서비스 방법을 나타낸 순서도.4 is a flowchart illustrating an authentication service method in a wireless LAN according to an embodiment of the present invention.
도 5는 도 4에 있어 SSID(Service Set Identifier) 암호화 단계를 나타낸 순서도.FIG. 5 is a flowchart illustrating an SSID encryption step in FIG. 4.
도 6은 도 4에 있어 SSID(Service Set Identifier) 복호화 단계를 나타낸 순서도.FIG. 6 is a flowchart illustrating an SSID decryption step in FIG. 4.
* 도면의 주요 부분에 대한 부호의 설명 *Explanation of symbols on the main parts of the drawings
상술한 바와 같은 목적을 달성하기 위한 본 발명의 실시 예에 따른 무선 LAN에서 인증 서비스 방법은 무선 LAN에서 비콘 프레임을 주기적으로 브로트캐스트할 때에 서비스 세트 식별자를 암호화한 후에 전송하며, 관리 프레임의 송수신 시에 서비스 세트 식별자를 암호화한 후에 전송하여 인증 서비스를 수행하는 과정을 포함하여 이루어진 것을 특징으로 한다.An authentication service method in a wireless LAN according to an embodiment of the present invention for achieving the above object is transmitted after encrypting a service set identifier when periodically broadcast a beacon frame in the wireless LAN, when transmitting and receiving a management frame And encrypting and transmitting the service set identifier to perform the authentication service.
바람직하게는, 상기 서비스 세트 식별자는 AES(Advanced Encryption Standard) 방식을 이용하여 암호화되는 것을 특징으로 한다.Preferably, the service set identifier is characterized in that the encryption using the Advanced Encryption Standard (AES) scheme.
또한 바람직하게는, 상기 인증 서비스 수행 과정은 억세스 포인트에서 상기 서비스 세트 식별자를 암호화한 후에 해당 암호화된 서비스 세트 식별자를 포함하는 비콘 프레임을 생성시켜 주기적으로 전송하는 단계와; 단말에서 상기 엑세스 포인트로부터 수신되는 비콘 프레임 내의 암호화된 서비스 세트 식별자를 복호화하여 비콘 프레임을 분석하는 단계와; 상기 단말에서 상기 서비스 세트 식별자를 암호화한 후에 해당 암호화된 서비스 세트 식별자를 포함하는 탐색 요구 메시지를 생성시켜 전송하는 단계와; 상기 엑세스 포인트에서 상기 단말로부터 수신되는 탐색 요구 메시지 내의 암호화된 서비스 세트 식별자를 복호화하여 탐색 요구 메시지를 분석하는 단계와; 상기 엑세스 포인트에서 상기 서비스 세트 식별자를 암호화한 후에 해당 암호화된 서비스 세트 식별자를 포함하는 탐색 응답 메시지를 생성시켜 전송하는 단계와; 상기 단말에서 상기 엑세스 포인트로부터 수신되는 탐색 응답 메시지 내의 암호화된 서비스 세트 식별자를 복호화하여 탐색 응답 메시지를 분석하는 단계와; 상기 단말과 상기 엑세스 포인트간에 인증 관리 프레임을 송수신하여 상기 단말과 상기 엑세스 포인트간의 인증을 맺도록 하는 단계와; 상기 단말에서 상기 서비스 세트 식별자를 암호화한 후에 해당 암호화된 서비스 세트 식별자를 포함하는 연합 요구 메시지를 생성시켜 전송하는 단계와; 상기 엑세스 포인트에서 상기 단말로부터 수신되는 연합 요구 메시지 내의 암호화된 서비스 세트 식별자를 복호화하여 연합 요구 메시지를 분석하는 단계와; 상기 엑세스 포인트에서 상기 서비스 세트 식별자를 암호화한 후에 해당 암호화된 서비스 세트 식별자를 포함하는 연합 응답 메시지를 생성시켜 전송하는 단계와; 상기 단말에서 상기 엑세스 포인트로부터 수신되는 연합 응답 메시지 내의 암호화된 서비스 세트 식별자를 복호화하여 연합 응답 메시지를 분석한 후에 상기 엑세스 포인트와 단말간의 연합을 맺도록 하는 단계를 포함하여 이루어진 것을 특징으로 한다.Also preferably, the performing of the authentication service may include: periodically encrypting the service set identifier at an access point and generating and periodically transmitting a beacon frame including the encrypted service set identifier; Analyzing, by the terminal, the beacon frame by decrypting an encrypted service set identifier in the beacon frame received from the access point; After the terminal encrypts the service set identifier, generating and transmitting a discovery request message including the encrypted service set identifier; Analyzing the discovery request message by decrypting an encrypted service set identifier in the discovery request message received from the terminal at the access point; Encrypting the service set identifier at the access point and generating and transmitting a discovery response message including the encrypted service set identifier; Analyzing the discovery response message by decrypting an encrypted service set identifier in the discovery response message received from the access point at the terminal; Transmitting and receiving an authentication management frame between the terminal and the access point to establish authentication between the terminal and the access point; After the terminal encrypts the service set identifier, generating and transmitting a federation request message including the encrypted service set identifier; Analyzing the federation request message by decrypting an encrypted service set identifier in the federation request message received from the terminal at the access point; Encrypting the service set identifier at the access point and generating and transmitting a federation response message including the encrypted service set identifier; And analyzing the association response message by decrypting an encrypted service set identifier in the association response message received from the access point, and then establishing a federation between the access point and the terminal.
더욱이 바람직하게는, 상기 탐색 응답 메시지 전송 단계는 상기 탐색 요구 메시지를 분석한 결과로 상기 서비스 세트 식별자가 브로트캐스트이거나 자신의 것인 경우에 상기 암호화된 서비스 세트 식별자를 포함하는 탐색 응답 메시지를 가장최근에 상기 탐색 요구 메시지를 송신한 단말로 전송하는 것을 특징으로 한다. 이하, 본 발명의 실시 예를 첨부한 도면을 참조하여 상세하게 설명하면 다음과 같다.Further preferably, the step of transmitting the search response message is the most recent in the search response message including the encrypted service set identifier when the service set identifier is broadcast or its own as a result of analyzing the search request message. It characterized in that the transmission to the terminal that sent the search request message. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
본 발명의 실시 예에 따른 무선 LAN에서 인증 서비스 방법은 AP에서 비콘 프레임을 주기적으로 브로트캐스트할 때에 SSID 항목을 암호화해서 송출하며, 관리 프레임 송수신상의 SSID 항목도 역시 암호화해 주도록 하는데, 해당 SSID는 해당 관리 프레임에서 비콘, 탐색 요구, 탐색 응답, 연합 요구, 연합 응답 등의 항목으로 암호화되어 전송되도록 한다.In the wireless LAN according to an embodiment of the present invention, the authentication service method encrypts and transmits an SSID item when the AP periodically broadcasts a beacon frame, and also encrypts an SSID item in a management frame transmission and reception. Encrypted transmissions include items such as beacons, discovery requests, discovery responses, association requests, and association responses in the management frame.
또한, 상기 SSID는 무선 LAN에서 사용하고 있는 DES(Data Encryption Standard) 방식이 아닌 AES 방식을 이용하여 암호화해서 송출하도록 이루어진다.In addition, the SSID is encrypted and transmitted using an AES method other than the DES (Data Encryption Standard) method used in the wireless LAN.
여기서, 해당 DES 방식은 비밀 키 방식의 일종으로 64비트의 키를 사용하여 64비트의 평문을 전자(轉字)와 환자(換字)를 조합하여 암호화해 주는데, 암호화와 복호화를 하나의 대규모 집적 회로로 고속 처리할 수 있도록 개발되었다.Here, the DES method is a kind of secret key method that encrypts 64-bit plain text by combining the former and the patient using a 64-bit key, and encrypts and decrypts a single large-scale integrated circuit. It was developed for high speed processing.
그리고, 해당 AES 방식은 순서 공개형의 대칭 키 암호 방식으로, 스트림을 블록 단위로 모아 암호화를 수행하는데, 블록 길이는 128비트, 키의 길이는 128/192/256비트 중에서 선택 가능하고 주요 평가 항목은 안정성과 암호화 처리 속도이다.In addition, the AES method is an open order symmetric key cipher, which encrypts streams in blocks, and selects a block length of 128 bits and a key length of 128/192/256 bits. Is stability and speed of encryption processing.
본 발명의 실시 예에 따른 무선 LAN에서 인증 서비스 방법을 도 4의 순서도를 참고하여 설명하면 다음과 같다.An authentication service method in a wireless LAN according to an embodiment of the present invention will be described with reference to the flowchart of FIG. 4 as follows.
먼저, AP에서는 BSS 데이터베이스에 설정된 값에 따라 주기적으로 브로트캐스트 형식의 비콘 프레임을 발생시켜 단말로 전송해 주는데, 이때 해당 비콘 프레임 내에 포함되는 SSID를 AES 방식을 이용하여 암호화해 주며(단계 S1), 해당 암호화된 SSID를 타임 스탬프, 비콘 간격, 용량 및 지지 속도의 정보와 함께 해당 비콘 프레임으로 생성시켜 전송해 준다(단계 S2).First, the AP periodically generates a beacon frame of a broadcast type according to the value set in the BSS database and transmits it to the terminal. At this time, the SSID included in the beacon frame is encrypted using the AES method (step S1). The encrypted SSID is generated and transmitted in the corresponding beacon frame together with the information of the time stamp, the beacon interval, the capacity, and the support rate (step S2).
이에, 상기 단말 측에서는 상기 AP로부터 비콘 프레임을 수신받으며(단계 S3), 해당 수신받은 비콘 프레임 내의 암호화된 SSID를 AES 방식을 이용하여 복호화해 준 후에(단계 S4), 해당 수신받은 비콘 프레임을 분석하게 된다(단계 S5).Accordingly, the terminal receives a beacon frame from the AP (step S3), and after decrypting the encrypted SSID in the received beacon frame using the AES method (step S4), the received beacon frame is analyzed. (Step S5).
그리고, 상기 단말 측에서는 인증 서비스를 위해서 탐색 요구 메시지를 생성시켜 상기 AP로 전송해 주는데, 이때 해당 탐색 요구 메시지 내에 포함되는 SSID를 AES 방식을 이용하여 암호화해 주며(단계 S6), 해당 암호화된 SSID를 용량, 지지 속도 등의 정보와 함께 해당 탐색 요구 메시지로 생성시켜 전송해 준다(단계 S7).The terminal generates a discovery request message for the authentication service and transmits the discovery request message to the AP. At this time, the SSID included in the discovery request message is encrypted using the AES method (step S6), and the encrypted SSID is encrypted. The information is generated and transmitted in a corresponding search request message along with information such as capacity and support speed (step S7).
이에 따라, 상기 AP에서는 상기 단말로부터 탐색 요구 메시지를 수신받으며(단계 S8), 해당 수신받은 탐색 요구 메시지 내의 암호화된 SSID를 AES 방식을 이용하여 복호화해 준 후에(단계 S9), 해당 수신받은 탐색 요구 메시지를 분석하게 된다(단계 S10).Accordingly, the AP receives the discovery request message from the terminal (step S8), and after decrypting the encrypted SSID in the received discovery request message using the AES method (step S9), the received discovery request The message is analyzed (step S10).
그리고, 상기 AP에서는 상기 탐색 요구 메시지에 대한 응답 메시지를 상기 단말 측으로 전송해 주는데, 상기 탐색 요구 메시지의 분석 결과로 상기 SSID가 브로트캐스트이거나 자신의 것일 때만 가장 최근에 상기 탐색 요구 메시지를 송신한 단말에게 해당 탐색 응답 메시지를 전송하도록 한다.The AP transmits a response message to the terminal to the terminal. The terminal which has transmitted the discovery request message most recently only when the SSID is broadcast or its own as a result of analyzing the discovery request message. Send the corresponding search response message.
이 때, 상기 AP에서는 해당 탐색 응답 메시지 내에 포함되는 SSID를 AES 방식을 이용하여 암호화해 주며(단계 S11), 해당 암호화된 SSID를 타임 스탬프, 비콘 간격, 레귤레이토리, 도메인, 용량, 지지 속도, FH 파라미터, CF 파라미터 세트 등의 정보와 함께 해당 탐색 응답 메시지로 생성시켜 상기 단말 측으로 전송해 준다(단계 S12).At this time, the AP encrypts the SSID included in the discovery response message using the AES method (step S11), and the encrypted SSID is time stamped, beacon interval, regulator, domain, capacity, support rate, A search response message is generated along with information such as an FH parameter and a CF parameter set, and transmitted to the terminal (step S12).
그러면, 상기 단말 측에서 상기 AP로부터 탐색 응답 메시지를 수신받으며(단계 S13), 해당 수신받은 탐색 응답 메시지 내의 암호화된 SSID를 AES 방식을 이용하여 복호화해 준 후에(단계 S14), 해당 수신받은 탐색 응답 메시지를 분석하게 된다(단계 S15).Then, the terminal receives a discovery response message from the AP (step S13), and after decrypting the encrypted SSID in the received discovery response message using the AES method (step S14), the received discovery response The message is analyzed (step S15).
그런 후, 상기 단말 측에서는 인증 관리 프레임을 상기 AP로 송출하게 되며, 그리고 나서 상기 AP도 인증 프레임을 상기 단말에게 전송함으로써, 상기 AP와 단말간에 인증을 맺도록 해 준다(단계 S16 및 S17).Thereafter, the terminal side transmits an authentication management frame to the AP, and then the AP also transmits an authentication frame to the terminal, thereby allowing authentication between the AP and the terminal (steps S16 and S17).
그리고, 상기 AP와 단말간에 인증을 맺은 후에, 상기 단말 측에서는 연합을 위해서 연합 요구 메시지를 생성시켜 상기 AP로 전송해 주는데, 이때 해당 연합 요구 메시지 내에 포함되는 SSID를 AES 방식을 이용하여 암호화해 주며(단계 S18), 해당 암호화된 SSID를 용량, 지지 속도 등의 정보와 함께 해당 연합 요구 메시지로 생성시켜 전송해 준다(단계 S19).After the authentication between the AP and the terminal, the terminal generates a federation request message for federation and transmits the federation request message to the AP. At this time, the SSID included in the federation request message is encrypted using the AES method. In step S18), the encrypted SSID is generated and transmitted in a corresponding federation request message together with information such as capacity and support speed (step S19).
이에, 상기 AP에서는 상기 단말로부터 연합 요구 메시지를 수신받으며(단계 S20), 해당 수신받은 연합 요구 메시지 내의 암호화된 SSID를 AES 방식을 이용하여 복호화해 준 후에(단계 S21), 해당 수신받은 연합 요구 메시지를 분석하게 된다(단계 S22).Accordingly, the AP receives the federation request message from the terminal (step S20), after decrypting the encrypted SSID in the received federation request message using the AES method (step S21), the received federation request message is received. It is analyzed (step S22).
그리고, 상기 AP에서는 상기 연합 요구 메시지에 대한 응답 메시지를 상기 단말 측으로 전송해 주는데, 이때 해당 연합 응답 메시지 내에 포함되는 SSID를 AES 방식을 이용하여 암호화해 주며(단계 S23), 해당 암호화된 SSID를 용량, 상태 코드, 지지 속도 등의 정보와 함께 해당 연합 응답 메시지로 생성시켜 상기 단말 측으로 전송해 준다(단계 S24).In addition, the AP transmits a response message to the terminal to the terminal request message, at this time, the SSID included in the association response message is encrypted using the AES method (step S23), and the corresponding encrypted SSID capacity , Along with information such as status code, support rate, and the like to generate a corresponding association response message and transmit it to the terminal (step S24).
그러면, 상기 단말 측에서 상기 AP로부터 연합 응답 메시지를 수신받으며(단계 S25), 해당 수신받은 연합 응답 메시지 내의 암호화된 SSID를 AES 방식을 이용하여 복호화해 준 후에(단계 S26), 해당 수신받은 연합 응답 메시지를 분석하게 된다(단계 S27).Then, the terminal receives the federation response message from the AP (step S25), and after decrypting the encrypted SSID in the received federation response message using the AES method (step S26), the received federation response The message is analyzed (step S27).
그런 후, 상기 AP와 단말간에 연합을 맺도록 해 준다(단계 S28 및 S29).Then, the association is made between the AP and the terminal (steps S28 and S29).
한편, 상기 SSID를 암호화하는 단계를 도 5의 순서도를 참고하여 보다 상세히 살펴보면 다음과 같다.Meanwhile, the step of encrypting the SSID will be described in more detail with reference to the flowchart of FIG. 5.
먼저, 평문(즉, SSID)을 기설정된 초기 키값과 혼합을 수행한 후(단계 S51), 기설정된 라운드 수만큼 반복하여 라운드를 수행한다(단계 S52 및 S53).First, plaintext (i.e., SSID) is mixed with a predetermined initial key value (step S51), and then a round is repeated by a predetermined number of rounds (steps S52 and S53).
여기서, 해당 한 라운드의 수행은 비선형적 치환을 수행하여 평문을 바이트 단위로 변환시켜 주며, 해당 바이트 단위로 치환된 데이터를 로우 방향으로 쉬프트시켜 주며, 해당 쉬프트된 데이터를 컬럼 방향으로 믹스해 주며, 각 라운드마다 필요한 키값을 선택하여 해당 선택된 키값과 해당 믹스된 데이터를 합친 후에 출력하게 된다.Here, performing one round performs nonlinear substitution to convert the plain text into byte units, shifts the data substituted in the byte units in the row direction, mixes the shifted data in the column direction, For each round, the required key value is selected and the selected key value and the mixed data are combined and output.
그런 후에, 최종 라운드를 수행하는데(단계 S54), 우선 상기 라운드와 동일하게 데이터를 바이트 단위로 변환하고 로우 방향으로 쉬프트한 후에 기설정된 최종 키값과 혼합을 수행해 줌으로써, 암호화된 평문이 완료된다.Then, in performing the final round (step S54), the encrypted plain text is completed by first converting the data into byte units and shifting in the row direction in the same manner as the above round, and then performing mixing with the predetermined final key value.
다른 한편, 상기 암호화된 SSID를 복호화하는 단계를 도 6의 순서도를 참고하여 보다 상세히 살펴보면 다음과 같다.Meanwhile, the step of decrypting the encrypted SSID will be described in more detail with reference to the flowchart of FIG. 6.
먼저, 상기 암호화된 평문(즉, SSID)을 기설정된 초기 인버스 키값과 혼합을 수행한 후(단계 S61), 기설정된 라운드 수만큼 반복하여 인버스 라운드를 수행한다(단계 S62 및 S63).First, the encrypted plain text (that is, SSID) is mixed with a predetermined initial inverse key value (step S61), and then inverse rounds are repeated by a predetermined number of rounds (steps S62 and S63).
여기서, 해당 한 인버스 라운드의 수행은 평문을 로우 방향으로 인버스 쉬프트시켜 주며, 해당 인버스 쉬프트된 바이트 단위의 데이터를 인버스 변환시켜 주며, 각 라운드마다 필요한 키값을 선택하여 해당 선택된 키값과 해당 인버스 변환된 데이터를 합치며, 해당 합친 데이터를 컬럼 방향으로 인버스 믹스해 준 후에 출력하게 된다.Here, the execution of one inverse round inverse shifts the plaintext in the row direction, inversely converts the data in the inverse shifted byte unit, and selects the required key value for each round to select the selected key value and the corresponding inverse transformed data. Are combined, and the combined data is inversely mixed in the column direction and then output.
그런 후에, 최종 인버스 라운드를 수행하는데(단계 S64), 우선 상기 인버스 라운드와 동일하게 데이터를 로우 방향으로 인버스 쉬프트시키고 인버스 변환시킨 후에 기설정된 최종 인버스 키값과 혼합을 수행해 줌으로써, 상기 암호화된 평문의 복호화가 완료된다.Thereafter, performing a final inverse round (step S64), first inversely shifting data in the low direction and inversely converting the data in the same manner as the inverse round, and then performing mixing with a predetermined final inverse key value to decrypt the encrypted plaintext. Is completed.
이상과 같이, 본 발명에 의해 무선 LAN에서 인증과 연합을 위해 필요한 SSID를 암호화하여 관리 프레임 교환 시에도 일반 텍스트 데이터가 암호화된 데이터로 송수신되도록 함으로써, 불허용 사용자로 하여금 억세스를 금지함과 동시에 해킹의 가능성을 제거하여 보안 강화를 향상시킬 수 있다.As described above, according to the present invention, SSID necessary for authentication and association in a wireless LAN is encrypted so that plain text data is transmitted and received as encrypted data even during management frame exchange, thereby preventing unauthorized users from accessing and You can improve your security by eliminating the possibility.
Claims (4)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020020077333A KR100779800B1 (en) | 2002-12-06 | 2002-12-06 | Method for Providing Authentication Service in the Wireless LAN |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020020077333A KR100779800B1 (en) | 2002-12-06 | 2002-12-06 | Method for Providing Authentication Service in the Wireless LAN |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20040049533A true KR20040049533A (en) | 2004-06-12 |
KR100779800B1 KR100779800B1 (en) | 2007-11-27 |
Family
ID=37343922
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020020077333A KR100779800B1 (en) | 2002-12-06 | 2002-12-06 | Method for Providing Authentication Service in the Wireless LAN |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100779800B1 (en) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006074592A1 (en) * | 2005-01-13 | 2006-07-20 | Huawei Technologies Co., Ltd. | A method and device for supporting multiple logic networks in the wlan |
GB2436725A (en) * | 2006-03-29 | 2007-10-03 | Namco Bandai Games Inc | Protecting programme control content embedded in wi-fi SSID field by encoding it with access point MAC address |
US8270607B2 (en) | 2006-12-27 | 2012-09-18 | Samsung Electronics Co., Ltd. | Method of protecting broadcast frame, terminal authenticating broadcast frame, and access point broadcasting broadcast frame |
KR101505846B1 (en) * | 2010-09-30 | 2015-03-25 | 인텔 코포레이션 | Privacy control for wireless devices |
KR101661749B1 (en) * | 2015-05-04 | 2016-10-04 | 에스케이텔레콤 주식회사 | Method, Apparatus and Recording media for processing beacon signal |
WO2017003099A1 (en) * | 2015-06-30 | 2017-01-05 | 경북대학교산학협력단 | Beacon communication system having authentication processing function using transmission time difference of beacon signals, and authentication method therefor |
KR20170017590A (en) * | 2015-08-07 | 2017-02-15 | 삼성전자주식회사 | Electric apparatus and method for performing connection between electric apparatuses |
EP2979401B1 (en) * | 2013-05-07 | 2019-07-31 | Huawei Technologies Co., Ltd. | System and method for indicating a service set identifier |
CN115150919A (en) * | 2021-03-30 | 2022-10-04 | 松下控股株式会社 | Connection system |
CN115244896A (en) * | 2020-03-05 | 2022-10-25 | 思科技术公司 | Identifying trusted service set identifiers for wireless networks |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104661285B (en) * | 2013-11-18 | 2018-06-01 | 联想(北京)有限公司 | A kind of processing method of information, device and electronic equipment |
CN107231673A (en) * | 2016-03-23 | 2017-10-03 | 北京京东尚科信息技术有限公司 | Electronic equipment and its communication means |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3570310B2 (en) * | 1999-10-05 | 2004-09-29 | 日本電気株式会社 | Authentication method and authentication device in wireless LAN system |
KR20010079161A (en) * | 2001-06-19 | 2001-08-22 | 김영진 | The equipment authentication and communication encryption key distribution method in a wireless local area network environments |
KR100438155B1 (en) * | 2001-08-21 | 2004-07-01 | (주)지에스텔레텍 | Wireless local area network sytem and method for managing the same |
KR20030043082A (en) * | 2001-11-26 | 2003-06-02 | 양건웅 | How to use network between providers in wireless internet service using wireless LAN network |
KR100494558B1 (en) * | 2002-11-13 | 2005-06-13 | 주식회사 케이티 | The method and system for performing authentification to obtain access to public wireless LAN |
-
2002
- 2002-12-06 KR KR1020020077333A patent/KR100779800B1/en not_active IP Right Cessation
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006074592A1 (en) * | 2005-01-13 | 2006-07-20 | Huawei Technologies Co., Ltd. | A method and device for supporting multiple logic networks in the wlan |
GB2436725A (en) * | 2006-03-29 | 2007-10-03 | Namco Bandai Games Inc | Protecting programme control content embedded in wi-fi SSID field by encoding it with access point MAC address |
GB2436725B (en) * | 2006-03-29 | 2008-05-28 | Namco Bandai Games Inc | Wireless network system |
US7916679B2 (en) | 2006-03-29 | 2011-03-29 | Namco Bandai Games Inc. | Wireless network system, wireless communication instrument, wireless communication instrument setting device, game process control method, information storage medium, and portable electronic instrument |
US8270607B2 (en) | 2006-12-27 | 2012-09-18 | Samsung Electronics Co., Ltd. | Method of protecting broadcast frame, terminal authenticating broadcast frame, and access point broadcasting broadcast frame |
US9143931B2 (en) | 2010-09-30 | 2015-09-22 | Intel Corporation | Privacy control for wireless devices |
KR101505846B1 (en) * | 2010-09-30 | 2015-03-25 | 인텔 코포레이션 | Privacy control for wireless devices |
EP2979401B1 (en) * | 2013-05-07 | 2019-07-31 | Huawei Technologies Co., Ltd. | System and method for indicating a service set identifier |
KR101661749B1 (en) * | 2015-05-04 | 2016-10-04 | 에스케이텔레콤 주식회사 | Method, Apparatus and Recording media for processing beacon signal |
WO2017003099A1 (en) * | 2015-06-30 | 2017-01-05 | 경북대학교산학협력단 | Beacon communication system having authentication processing function using transmission time difference of beacon signals, and authentication method therefor |
KR20170017590A (en) * | 2015-08-07 | 2017-02-15 | 삼성전자주식회사 | Electric apparatus and method for performing connection between electric apparatuses |
CN115244896A (en) * | 2020-03-05 | 2022-10-25 | 思科技术公司 | Identifying trusted service set identifiers for wireless networks |
US11877154B2 (en) | 2020-03-05 | 2024-01-16 | Cisco Technology, Inc. | Identifying trusted service set identifiers for wireless networks |
CN115150919A (en) * | 2021-03-30 | 2022-10-04 | 松下控股株式会社 | Connection system |
Also Published As
Publication number | Publication date |
---|---|
KR100779800B1 (en) | 2007-11-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4286224B2 (en) | Method for secure and confidential communication used in a wireless local area network (WLAN) | |
KR100612255B1 (en) | Apparatus and method for data security in wireless network system | |
US7519184B2 (en) | Wireless communication system | |
US20030120920A1 (en) | Remote device authentication | |
CN101164315A (en) | System and method for utilizing a wireless communication protocol in a communications network | |
US20070050615A1 (en) | System and method for automatic setup of a network device with secure network transmission of setup parameters using a standard remote control | |
KR100779800B1 (en) | Method for Providing Authentication Service in the Wireless LAN | |
KR20090031736A (en) | Method and apparatus for security protection of an original user identity in an initial signaling message | |
KR20080077006A (en) | Apparatus and method for protection of management frames | |
CN103581901A (en) | Method and device for processing Wi-Fi wireless network access configuration information | |
WO2005053251A1 (en) | Method, apparatuses and computer to provide secured direct link between two stations | |
TW201236387A (en) | Authentication and authorization of cognitive radio devices | |
JP2006211687A (en) | Method for secure transmission of mobile communication subscriber identifier | |
KR20180096189A (en) | LPWA Module performing Encrypted Communication and method thereof | |
CN106550362B (en) | Method and system for safely accessing intelligent equipment to wireless local area network | |
US20040255121A1 (en) | Method and communication terminal device for secure establishment of a communication connection | |
CN113747430B (en) | Network access method, terminal equipment and AP | |
US8880896B1 (en) | Systems and methods for medium access control with key agreement | |
WO2022237561A1 (en) | Communication method and apparatus | |
JP2001339386A (en) | Radio communication system, radio network controller, user terminal | |
JP2004343579A (en) | Encryption communication method in communication system | |
JP2005223838A (en) | Communications system and relay device | |
JP2005051368A (en) | Communication apparatus, base station apparatus and communication system | |
JP2006013781A (en) | Wireless communication system and interception prevention method in wireless communication system | |
KR100458955B1 (en) | Security method for the Wireless LAN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
N231 | Notification of change of applicant | ||
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20121015 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20131016 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20141023 Year of fee payment: 8 |
|
LAPS | Lapse due to unpaid annual fee |