KR20040049533A - Method for Providing Authentication Service in the Wireless LAN - Google Patents

Method for Providing Authentication Service in the Wireless LAN Download PDF

Info

Publication number
KR20040049533A
KR20040049533A KR1020020077333A KR20020077333A KR20040049533A KR 20040049533 A KR20040049533 A KR 20040049533A KR 1020020077333 A KR1020020077333 A KR 1020020077333A KR 20020077333 A KR20020077333 A KR 20020077333A KR 20040049533 A KR20040049533 A KR 20040049533A
Authority
KR
South Korea
Prior art keywords
set identifier
service set
terminal
ssid
encrypted
Prior art date
Application number
KR1020020077333A
Other languages
Korean (ko)
Other versions
KR100779800B1 (en
Inventor
김호균
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR1020020077333A priority Critical patent/KR100779800B1/en
Publication of KR20040049533A publication Critical patent/KR20040049533A/en
Application granted granted Critical
Publication of KR100779800B1 publication Critical patent/KR100779800B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

PURPOSE: An authentication service method in a wireless LAN is provided to encode an SSID(Service Set Identifier) necessary for authentication and association in a wireless LAN, so that general text data can be transceived with encoded data while exchanging management frames, thereby preventing an illegal user from accessing the data. CONSTITUTION: An AP encodes an SSID(S1), and transmits the encoded SSID as a beacon frame(S2). A terminal receives the frame(S3), decodes the SSID(S4), and analyzes the frame(S5). The terminal encodes an SSID of a search request message(S6), and transmits the search request message(S7). The AP receives the message(S8), decodes the SSID(S9), and analyzes the message(S10). The AP encodes an SSID of a search response message(S11), and transmits the response message(S12). The terminal receives the message(S13), decodes the SSID(S14), and analyzes the response message(S15). An authentication is carried out between the AP and the terminal(S16,S17). The terminal encodes an SSID of an association request message(S18), and transmits the request message(S19). The AP receives the message(S20), decodes the SSID(S21), and analyzes the request message(S22). The AP encodes an SSID of an association response message(S23), and transmits the response message(S24). The terminal receives the message(S25), decodes the SSID(S26), and analyzes the response message(S27). The AP is associated with the terminal(S28,S29).

Description

무선 랜에서 인증 서비스 방법 {Method for Providing Authentication Service in the Wireless LAN}Authentication service method in wireless LAN {Method for Providing Authentication Service in the Wireless LAN}

본 발명은 무선 LAN에서 인증 서비스 방법에 관한 것으로, 특히 무선 LAN에서 인증과 연합(Association)을 위해 필요한 SSID를 암호화하여 보안을 강화하도록 한 무선 LAN에서 인증 서비스 방법에 관한 것이다.The present invention relates to an authentication service method in a wireless LAN, and more particularly, to an authentication service method in a wireless LAN to enhance security by encrypting an SSID necessary for authentication and association in a wireless LAN.

일반적으로, 무선 LAN에서의 SSID는 인증과 연합을 위해 필요한 식별자인데, 즉 무선 LAN을 통해 전송되는 패킷(Packet)들의 각 헤더(Header)에 덧붙여지는 32바이트 길이의 고유 식별자이다.In general, the SSID in a wireless LAN is an identifier necessary for authentication and association, that is, a 32-byte long unique identifier appended to each header of packets transmitted through the wireless LAN.

그리고, 상기 SSID는 무선 장치들이 BSS(Basic Service Set)에 접속할 경우에 마치 암호처럼 사용되어진다. 즉, 특정 BSS의 고유한 SSID를 알지 못하는 어떠한 장치도 해당 BSS에 접속할 수 없게 된다.The SSID is used as a password when the wireless devices access the basic service set (BSS). That is, any device that does not know the unique SSID of a particular BSS will not be able to access that BSS.

또한, 상기 SSID는 하나의 무선 LAN을 다른 무선 LAN으로부터 구분해 줌으로써, 특정 무선 LAN에 접속하려는 모든 AP(Access Point)나 무선 장치들은 반드시 동일한 SSID를 사용해야만 한다.In addition, the SSID distinguishes one wireless LAN from another wireless LAN, so that all APs or wireless devices to access a specific wireless LAN must use the same SSID.

한편, 무선 매체와의 MAC와 PHY 인터페이스를 포함하는 장치(즉, 단말(Station))가 다른 단말 인증을 원할 경우에, 인증 서비스는 하나 또는 그 이상의 인증 관리 프레임을 교환하게 된다. 여기서, 해당 무선 매체는 무선 LAN의 동료 PHY 개체들 사이의 PDU의 전송을 포함하는데 사용되는 매체를 말하며, 해당인증 서비스는 다른 단말과 연합되어 있는 인증된 단말들 중의 멤버로써 하나의 단말의 신원을 설정하기 위한 서비스를 말한다.On the other hand, when a device (ie, a station) including a MAC and a PHY interface with a wireless medium wants another terminal authentication, the authentication service exchanges one or more authentication management frames. Here, the wireless medium refers to a medium used to include transmission of a PDU between peer PHY entities of a wireless LAN, and the corresponding authentication service is a member of authenticated terminals associated with another terminal. It is a service to set.

예를 들어, 유선 기반망 없이 이동 단말로만 구성된 무선 환경인 애드혹(Ad-hoc)의 경우에는 인증 동작을 수행하기 위해서 RTS(Request to Send), CTS(Clear to Send), ACK(Acknowledge) 등의 제어 프레임(Control Frame)을 사용하게 되며, 인증 요구(MA_UNITDATA.req)가 발생하면 인증 테이블(Authentication Table)을 조사하여 인증을 수행하게 된다.For example, in the case of Ad-hoc, which is a wireless environment consisting only of mobile terminals without a wired network, in order to perform authentication, request to send (RTS), clear to send (CTS), acknowledgment (ACK), etc. A control frame is used. When an authentication request (MA_UNITDATA.req) occurs, authentication is performed by examining an authentication table.

도 1은 일반적인 무선 LAN에서의 인증 서비스 방법을 나타낸 흐름도이다.1 is a flowchart illustrating an authentication service method in a general wireless LAN.

도 1의 흐름도에 도시된 바와 같이, 인프라 구조(Infra-structure)에서의 단말은 탐색 요구 메시지(Probe Request Message)를 AP에 전송하는데, 이때 해당 탐색 요구 메시지에는 용량(Capability), SSID, 지지 속도(Supported Rate) 등의 정보를 포함하고 있다.As shown in the flowchart of FIG. 1, the terminal in the infrastructure transmits a probe request message to the AP, in which case the capability, SSID, and support rate are included in the probe request message. It includes information such as (Supported Rate).

그리고, 상기 AP에서는 상기 탐색 요구 메시지에 대한 응답 메시지(Probe Response Message)를 상기 단말 측으로 전송해 주는데, 해당 탐색 응답 메시지에는 타임 스탬프(Time Stamp), 비콘 간격(Beacon Interval), 레귤레이토리(Regulatory), 도메인(Domain), 용량, SSID, 지지 속도, FH 파라미터(Parameter), CF 파라미터 세트 등의 정보를 포함하고 있다.In addition, the AP transmits a Probe Response Message to the UE in response to the discovery request message. The discovery response message includes a time stamp, a beacon interval, and a regulator. ), Domain, capacity, SSID, support speed, FH parameter, CF parameter set, and the like.

이에, 상기 단말은 상기 AP로부터 탐색 응답 메시지를 수신받은 후에, 인증 관리 프레임을 상기 AP로 송출하게 되며, 그리고 나서 상기 AP도 인증 프레임을 상기 단말에게 전송함으로써, 상기 AP와 단말간에 인증을 맺게 된다. 예를 들어, 해당 인증 관리 프레임은 도 2에 도시된 바와 같은 포맷을 가진다.Accordingly, after receiving the discovery response message from the AP, the terminal transmits an authentication management frame to the AP, and then the AP also transmits an authentication frame to the terminal, thereby establishing authentication between the AP and the terminal. . For example, the authentication management frame has a format as shown in FIG.

그런 후, 상기 AP와 단말간에 인증을 맺은 후에, 상기 단말은 연합 요구 메시지(Association Request Message)를 상기 AP에 전송하는데, 이때 해당 연합 요구 메시지에는 용량, SSID, 지지 속도 등의 정보를 포함하고 있다.Then, after authenticating between the AP and the terminal, the terminal transmits an association request message to the AP, wherein the association request message includes information such as capacity, SSID, support speed, and the like. .

그리고, 상기 AP에서는 상기 연합 요구 메시지에 대한 응답 메시지(Association Response Message)를 상기 단말 측으로 전송해 준 후에 연합을 맺게 되는데, 해당 연합 응답 메시지에는 용량, 상태 코드(Status Code), SSID, 지지 속도 등의 정보를 포함하고 있다.In addition, the AP forms an association after transmitting an association response message to the terminal to the terminal. The association response message includes a capacity, a status code, an SSID, a support rate, and the like. Contains information.

물론, 상기 AP에서는 주기적으로 브로트캐스트(Broadcast) 형식의 비콘 프레임을 생성시켜 전송해 주는데, 해당 비콘 프레임의 포맷은 도 3에 도시된 바와 같이, 타임 스탬프, 비콘 간격, 용량, SSID 및 지지 속도의 정보를 포함하고 있다.Of course, the AP periodically generates and transmits a beacon frame of a broadcast type, and the format of the beacon frame is as shown in FIG. 3. Contains information.

그런데, 상술한 바와 같은 SSID는 패킷 상에 부가된 평범한 텍스트 데이터(Text Data)이므로, 충분히 스니프당할 가능성이 높기 때문에 네트워크에 대해 어떠한 보증도 하지 않는 단점이 있었다.However, since the SSID as described above is plain text data added on the packet, it is likely to be sniffed sufficiently, so there is a disadvantage in that there is no guarantee for the network.

전술한 바와 같은 문제점을 해결하기 위한 것으로, 본 발명은 무선 LAN에서 인증과 연합을 위해 필요한 SSID를 암호화하여 보안을 강화하도록 한 무선 LAN에서 인증 서비스 방법을 제공하는데, 그 목적이 있다.SUMMARY OF THE INVENTION In order to solve the above problems, the present invention provides an authentication service method in a wireless LAN to enhance security by encrypting an SSID necessary for authentication and association in a wireless LAN.

또한, 본 발명은 무선 LAN에서 관리 프레임 송수신상에 SSID를 암호화함으로써, 불허용 사용자로 하여금 억세스(Access)를 금지하도록 하는데, 그 목적이 있다.In addition, an object of the present invention is to allow an unauthorized user to prohibit access by encrypting an SSID on management frame transmission and reception in a wireless LAN.

또한, 본 발명은 무선 LAN에서 관리 프레임 교환 시에도 일반 텍스트 데이터가 암호화된 데이터로 송수신되도록 SSID를 암호화함으로써, 해킹의 가능성을 제거하여 보안 강화를 향상시키도록 하는데, 그 목적이 있다.In addition, the present invention is to improve the security enhancement by eliminating the possibility of hacking by encrypting the SSID so that plain text data is transmitted and received as encrypted data even during management frame exchange in a wireless LAN.

도 1은 일반적인 무선 LAN(Local Access Network)에서의 인증 서비스(Authentication Service) 방법을 나타낸 흐름도이다.1 is a flowchart illustrating a method of an authentication service in a general wireless local access network (LAN).

도 2는 도 1에 있어 인증 관리 프레임(Authentication Management Frame)의 포맷(Format)을 나타낸 도면이다.FIG. 2 is a diagram illustrating a format of an authentication management frame in FIG. 1.

도 3은 도 1에 있어 비콘 프레임(Beacon Frame)의 포맷을 나타낸 도면이다.FIG. 3 is a diagram illustrating a format of a beacon frame in FIG. 1.

도 4는 본 발명의 실시 예에 따른 무선 LAN에서 인증 서비스 방법을 나타낸 순서도.4 is a flowchart illustrating an authentication service method in a wireless LAN according to an embodiment of the present invention.

도 5는 도 4에 있어 SSID(Service Set Identifier) 암호화 단계를 나타낸 순서도.FIG. 5 is a flowchart illustrating an SSID encryption step in FIG. 4.

도 6은 도 4에 있어 SSID(Service Set Identifier) 복호화 단계를 나타낸 순서도.FIG. 6 is a flowchart illustrating an SSID decryption step in FIG. 4.

* 도면의 주요 부분에 대한 부호의 설명 *Explanation of symbols on the main parts of the drawings

상술한 바와 같은 목적을 달성하기 위한 본 발명의 실시 예에 따른 무선 LAN에서 인증 서비스 방법은 무선 LAN에서 비콘 프레임을 주기적으로 브로트캐스트할 때에 서비스 세트 식별자를 암호화한 후에 전송하며, 관리 프레임의 송수신 시에 서비스 세트 식별자를 암호화한 후에 전송하여 인증 서비스를 수행하는 과정을 포함하여 이루어진 것을 특징으로 한다.An authentication service method in a wireless LAN according to an embodiment of the present invention for achieving the above object is transmitted after encrypting a service set identifier when periodically broadcast a beacon frame in the wireless LAN, when transmitting and receiving a management frame And encrypting and transmitting the service set identifier to perform the authentication service.

바람직하게는, 상기 서비스 세트 식별자는 AES(Advanced Encryption Standard) 방식을 이용하여 암호화되는 것을 특징으로 한다.Preferably, the service set identifier is characterized in that the encryption using the Advanced Encryption Standard (AES) scheme.

또한 바람직하게는, 상기 인증 서비스 수행 과정은 억세스 포인트에서 상기 서비스 세트 식별자를 암호화한 후에 해당 암호화된 서비스 세트 식별자를 포함하는 비콘 프레임을 생성시켜 주기적으로 전송하는 단계와; 단말에서 상기 엑세스 포인트로부터 수신되는 비콘 프레임 내의 암호화된 서비스 세트 식별자를 복호화하여 비콘 프레임을 분석하는 단계와; 상기 단말에서 상기 서비스 세트 식별자를 암호화한 후에 해당 암호화된 서비스 세트 식별자를 포함하는 탐색 요구 메시지를 생성시켜 전송하는 단계와; 상기 엑세스 포인트에서 상기 단말로부터 수신되는 탐색 요구 메시지 내의 암호화된 서비스 세트 식별자를 복호화하여 탐색 요구 메시지를 분석하는 단계와; 상기 엑세스 포인트에서 상기 서비스 세트 식별자를 암호화한 후에 해당 암호화된 서비스 세트 식별자를 포함하는 탐색 응답 메시지를 생성시켜 전송하는 단계와; 상기 단말에서 상기 엑세스 포인트로부터 수신되는 탐색 응답 메시지 내의 암호화된 서비스 세트 식별자를 복호화하여 탐색 응답 메시지를 분석하는 단계와; 상기 단말과 상기 엑세스 포인트간에 인증 관리 프레임을 송수신하여 상기 단말과 상기 엑세스 포인트간의 인증을 맺도록 하는 단계와; 상기 단말에서 상기 서비스 세트 식별자를 암호화한 후에 해당 암호화된 서비스 세트 식별자를 포함하는 연합 요구 메시지를 생성시켜 전송하는 단계와; 상기 엑세스 포인트에서 상기 단말로부터 수신되는 연합 요구 메시지 내의 암호화된 서비스 세트 식별자를 복호화하여 연합 요구 메시지를 분석하는 단계와; 상기 엑세스 포인트에서 상기 서비스 세트 식별자를 암호화한 후에 해당 암호화된 서비스 세트 식별자를 포함하는 연합 응답 메시지를 생성시켜 전송하는 단계와; 상기 단말에서 상기 엑세스 포인트로부터 수신되는 연합 응답 메시지 내의 암호화된 서비스 세트 식별자를 복호화하여 연합 응답 메시지를 분석한 후에 상기 엑세스 포인트와 단말간의 연합을 맺도록 하는 단계를 포함하여 이루어진 것을 특징으로 한다.Also preferably, the performing of the authentication service may include: periodically encrypting the service set identifier at an access point and generating and periodically transmitting a beacon frame including the encrypted service set identifier; Analyzing, by the terminal, the beacon frame by decrypting an encrypted service set identifier in the beacon frame received from the access point; After the terminal encrypts the service set identifier, generating and transmitting a discovery request message including the encrypted service set identifier; Analyzing the discovery request message by decrypting an encrypted service set identifier in the discovery request message received from the terminal at the access point; Encrypting the service set identifier at the access point and generating and transmitting a discovery response message including the encrypted service set identifier; Analyzing the discovery response message by decrypting an encrypted service set identifier in the discovery response message received from the access point at the terminal; Transmitting and receiving an authentication management frame between the terminal and the access point to establish authentication between the terminal and the access point; After the terminal encrypts the service set identifier, generating and transmitting a federation request message including the encrypted service set identifier; Analyzing the federation request message by decrypting an encrypted service set identifier in the federation request message received from the terminal at the access point; Encrypting the service set identifier at the access point and generating and transmitting a federation response message including the encrypted service set identifier; And analyzing the association response message by decrypting an encrypted service set identifier in the association response message received from the access point, and then establishing a federation between the access point and the terminal.

더욱이 바람직하게는, 상기 탐색 응답 메시지 전송 단계는 상기 탐색 요구 메시지를 분석한 결과로 상기 서비스 세트 식별자가 브로트캐스트이거나 자신의 것인 경우에 상기 암호화된 서비스 세트 식별자를 포함하는 탐색 응답 메시지를 가장최근에 상기 탐색 요구 메시지를 송신한 단말로 전송하는 것을 특징으로 한다. 이하, 본 발명의 실시 예를 첨부한 도면을 참조하여 상세하게 설명하면 다음과 같다.Further preferably, the step of transmitting the search response message is the most recent in the search response message including the encrypted service set identifier when the service set identifier is broadcast or its own as a result of analyzing the search request message. It characterized in that the transmission to the terminal that sent the search request message. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명의 실시 예에 따른 무선 LAN에서 인증 서비스 방법은 AP에서 비콘 프레임을 주기적으로 브로트캐스트할 때에 SSID 항목을 암호화해서 송출하며, 관리 프레임 송수신상의 SSID 항목도 역시 암호화해 주도록 하는데, 해당 SSID는 해당 관리 프레임에서 비콘, 탐색 요구, 탐색 응답, 연합 요구, 연합 응답 등의 항목으로 암호화되어 전송되도록 한다.In the wireless LAN according to an embodiment of the present invention, the authentication service method encrypts and transmits an SSID item when the AP periodically broadcasts a beacon frame, and also encrypts an SSID item in a management frame transmission and reception. Encrypted transmissions include items such as beacons, discovery requests, discovery responses, association requests, and association responses in the management frame.

또한, 상기 SSID는 무선 LAN에서 사용하고 있는 DES(Data Encryption Standard) 방식이 아닌 AES 방식을 이용하여 암호화해서 송출하도록 이루어진다.In addition, the SSID is encrypted and transmitted using an AES method other than the DES (Data Encryption Standard) method used in the wireless LAN.

여기서, 해당 DES 방식은 비밀 키 방식의 일종으로 64비트의 키를 사용하여 64비트의 평문을 전자(轉字)와 환자(換字)를 조합하여 암호화해 주는데, 암호화와 복호화를 하나의 대규모 집적 회로로 고속 처리할 수 있도록 개발되었다.Here, the DES method is a kind of secret key method that encrypts 64-bit plain text by combining the former and the patient using a 64-bit key, and encrypts and decrypts a single large-scale integrated circuit. It was developed for high speed processing.

그리고, 해당 AES 방식은 순서 공개형의 대칭 키 암호 방식으로, 스트림을 블록 단위로 모아 암호화를 수행하는데, 블록 길이는 128비트, 키의 길이는 128/192/256비트 중에서 선택 가능하고 주요 평가 항목은 안정성과 암호화 처리 속도이다.In addition, the AES method is an open order symmetric key cipher, which encrypts streams in blocks, and selects a block length of 128 bits and a key length of 128/192/256 bits. Is stability and speed of encryption processing.

본 발명의 실시 예에 따른 무선 LAN에서 인증 서비스 방법을 도 4의 순서도를 참고하여 설명하면 다음과 같다.An authentication service method in a wireless LAN according to an embodiment of the present invention will be described with reference to the flowchart of FIG. 4 as follows.

먼저, AP에서는 BSS 데이터베이스에 설정된 값에 따라 주기적으로 브로트캐스트 형식의 비콘 프레임을 발생시켜 단말로 전송해 주는데, 이때 해당 비콘 프레임 내에 포함되는 SSID를 AES 방식을 이용하여 암호화해 주며(단계 S1), 해당 암호화된 SSID를 타임 스탬프, 비콘 간격, 용량 및 지지 속도의 정보와 함께 해당 비콘 프레임으로 생성시켜 전송해 준다(단계 S2).First, the AP periodically generates a beacon frame of a broadcast type according to the value set in the BSS database and transmits it to the terminal. At this time, the SSID included in the beacon frame is encrypted using the AES method (step S1). The encrypted SSID is generated and transmitted in the corresponding beacon frame together with the information of the time stamp, the beacon interval, the capacity, and the support rate (step S2).

이에, 상기 단말 측에서는 상기 AP로부터 비콘 프레임을 수신받으며(단계 S3), 해당 수신받은 비콘 프레임 내의 암호화된 SSID를 AES 방식을 이용하여 복호화해 준 후에(단계 S4), 해당 수신받은 비콘 프레임을 분석하게 된다(단계 S5).Accordingly, the terminal receives a beacon frame from the AP (step S3), and after decrypting the encrypted SSID in the received beacon frame using the AES method (step S4), the received beacon frame is analyzed. (Step S5).

그리고, 상기 단말 측에서는 인증 서비스를 위해서 탐색 요구 메시지를 생성시켜 상기 AP로 전송해 주는데, 이때 해당 탐색 요구 메시지 내에 포함되는 SSID를 AES 방식을 이용하여 암호화해 주며(단계 S6), 해당 암호화된 SSID를 용량, 지지 속도 등의 정보와 함께 해당 탐색 요구 메시지로 생성시켜 전송해 준다(단계 S7).The terminal generates a discovery request message for the authentication service and transmits the discovery request message to the AP. At this time, the SSID included in the discovery request message is encrypted using the AES method (step S6), and the encrypted SSID is encrypted. The information is generated and transmitted in a corresponding search request message along with information such as capacity and support speed (step S7).

이에 따라, 상기 AP에서는 상기 단말로부터 탐색 요구 메시지를 수신받으며(단계 S8), 해당 수신받은 탐색 요구 메시지 내의 암호화된 SSID를 AES 방식을 이용하여 복호화해 준 후에(단계 S9), 해당 수신받은 탐색 요구 메시지를 분석하게 된다(단계 S10).Accordingly, the AP receives the discovery request message from the terminal (step S8), and after decrypting the encrypted SSID in the received discovery request message using the AES method (step S9), the received discovery request The message is analyzed (step S10).

그리고, 상기 AP에서는 상기 탐색 요구 메시지에 대한 응답 메시지를 상기 단말 측으로 전송해 주는데, 상기 탐색 요구 메시지의 분석 결과로 상기 SSID가 브로트캐스트이거나 자신의 것일 때만 가장 최근에 상기 탐색 요구 메시지를 송신한 단말에게 해당 탐색 응답 메시지를 전송하도록 한다.The AP transmits a response message to the terminal to the terminal. The terminal which has transmitted the discovery request message most recently only when the SSID is broadcast or its own as a result of analyzing the discovery request message. Send the corresponding search response message.

이 때, 상기 AP에서는 해당 탐색 응답 메시지 내에 포함되는 SSID를 AES 방식을 이용하여 암호화해 주며(단계 S11), 해당 암호화된 SSID를 타임 스탬프, 비콘 간격, 레귤레이토리, 도메인, 용량, 지지 속도, FH 파라미터, CF 파라미터 세트 등의 정보와 함께 해당 탐색 응답 메시지로 생성시켜 상기 단말 측으로 전송해 준다(단계 S12).At this time, the AP encrypts the SSID included in the discovery response message using the AES method (step S11), and the encrypted SSID is time stamped, beacon interval, regulator, domain, capacity, support rate, A search response message is generated along with information such as an FH parameter and a CF parameter set, and transmitted to the terminal (step S12).

그러면, 상기 단말 측에서 상기 AP로부터 탐색 응답 메시지를 수신받으며(단계 S13), 해당 수신받은 탐색 응답 메시지 내의 암호화된 SSID를 AES 방식을 이용하여 복호화해 준 후에(단계 S14), 해당 수신받은 탐색 응답 메시지를 분석하게 된다(단계 S15).Then, the terminal receives a discovery response message from the AP (step S13), and after decrypting the encrypted SSID in the received discovery response message using the AES method (step S14), the received discovery response The message is analyzed (step S15).

그런 후, 상기 단말 측에서는 인증 관리 프레임을 상기 AP로 송출하게 되며, 그리고 나서 상기 AP도 인증 프레임을 상기 단말에게 전송함으로써, 상기 AP와 단말간에 인증을 맺도록 해 준다(단계 S16 및 S17).Thereafter, the terminal side transmits an authentication management frame to the AP, and then the AP also transmits an authentication frame to the terminal, thereby allowing authentication between the AP and the terminal (steps S16 and S17).

그리고, 상기 AP와 단말간에 인증을 맺은 후에, 상기 단말 측에서는 연합을 위해서 연합 요구 메시지를 생성시켜 상기 AP로 전송해 주는데, 이때 해당 연합 요구 메시지 내에 포함되는 SSID를 AES 방식을 이용하여 암호화해 주며(단계 S18), 해당 암호화된 SSID를 용량, 지지 속도 등의 정보와 함께 해당 연합 요구 메시지로 생성시켜 전송해 준다(단계 S19).After the authentication between the AP and the terminal, the terminal generates a federation request message for federation and transmits the federation request message to the AP. At this time, the SSID included in the federation request message is encrypted using the AES method. In step S18), the encrypted SSID is generated and transmitted in a corresponding federation request message together with information such as capacity and support speed (step S19).

이에, 상기 AP에서는 상기 단말로부터 연합 요구 메시지를 수신받으며(단계 S20), 해당 수신받은 연합 요구 메시지 내의 암호화된 SSID를 AES 방식을 이용하여 복호화해 준 후에(단계 S21), 해당 수신받은 연합 요구 메시지를 분석하게 된다(단계 S22).Accordingly, the AP receives the federation request message from the terminal (step S20), after decrypting the encrypted SSID in the received federation request message using the AES method (step S21), the received federation request message is received. It is analyzed (step S22).

그리고, 상기 AP에서는 상기 연합 요구 메시지에 대한 응답 메시지를 상기 단말 측으로 전송해 주는데, 이때 해당 연합 응답 메시지 내에 포함되는 SSID를 AES 방식을 이용하여 암호화해 주며(단계 S23), 해당 암호화된 SSID를 용량, 상태 코드, 지지 속도 등의 정보와 함께 해당 연합 응답 메시지로 생성시켜 상기 단말 측으로 전송해 준다(단계 S24).In addition, the AP transmits a response message to the terminal to the terminal request message, at this time, the SSID included in the association response message is encrypted using the AES method (step S23), and the corresponding encrypted SSID capacity , Along with information such as status code, support rate, and the like to generate a corresponding association response message and transmit it to the terminal (step S24).

그러면, 상기 단말 측에서 상기 AP로부터 연합 응답 메시지를 수신받으며(단계 S25), 해당 수신받은 연합 응답 메시지 내의 암호화된 SSID를 AES 방식을 이용하여 복호화해 준 후에(단계 S26), 해당 수신받은 연합 응답 메시지를 분석하게 된다(단계 S27).Then, the terminal receives the federation response message from the AP (step S25), and after decrypting the encrypted SSID in the received federation response message using the AES method (step S26), the received federation response The message is analyzed (step S27).

그런 후, 상기 AP와 단말간에 연합을 맺도록 해 준다(단계 S28 및 S29).Then, the association is made between the AP and the terminal (steps S28 and S29).

한편, 상기 SSID를 암호화하는 단계를 도 5의 순서도를 참고하여 보다 상세히 살펴보면 다음과 같다.Meanwhile, the step of encrypting the SSID will be described in more detail with reference to the flowchart of FIG. 5.

먼저, 평문(즉, SSID)을 기설정된 초기 키값과 혼합을 수행한 후(단계 S51), 기설정된 라운드 수만큼 반복하여 라운드를 수행한다(단계 S52 및 S53).First, plaintext (i.e., SSID) is mixed with a predetermined initial key value (step S51), and then a round is repeated by a predetermined number of rounds (steps S52 and S53).

여기서, 해당 한 라운드의 수행은 비선형적 치환을 수행하여 평문을 바이트 단위로 변환시켜 주며, 해당 바이트 단위로 치환된 데이터를 로우 방향으로 쉬프트시켜 주며, 해당 쉬프트된 데이터를 컬럼 방향으로 믹스해 주며, 각 라운드마다 필요한 키값을 선택하여 해당 선택된 키값과 해당 믹스된 데이터를 합친 후에 출력하게 된다.Here, performing one round performs nonlinear substitution to convert the plain text into byte units, shifts the data substituted in the byte units in the row direction, mixes the shifted data in the column direction, For each round, the required key value is selected and the selected key value and the mixed data are combined and output.

그런 후에, 최종 라운드를 수행하는데(단계 S54), 우선 상기 라운드와 동일하게 데이터를 바이트 단위로 변환하고 로우 방향으로 쉬프트한 후에 기설정된 최종 키값과 혼합을 수행해 줌으로써, 암호화된 평문이 완료된다.Then, in performing the final round (step S54), the encrypted plain text is completed by first converting the data into byte units and shifting in the row direction in the same manner as the above round, and then performing mixing with the predetermined final key value.

다른 한편, 상기 암호화된 SSID를 복호화하는 단계를 도 6의 순서도를 참고하여 보다 상세히 살펴보면 다음과 같다.Meanwhile, the step of decrypting the encrypted SSID will be described in more detail with reference to the flowchart of FIG. 6.

먼저, 상기 암호화된 평문(즉, SSID)을 기설정된 초기 인버스 키값과 혼합을 수행한 후(단계 S61), 기설정된 라운드 수만큼 반복하여 인버스 라운드를 수행한다(단계 S62 및 S63).First, the encrypted plain text (that is, SSID) is mixed with a predetermined initial inverse key value (step S61), and then inverse rounds are repeated by a predetermined number of rounds (steps S62 and S63).

여기서, 해당 한 인버스 라운드의 수행은 평문을 로우 방향으로 인버스 쉬프트시켜 주며, 해당 인버스 쉬프트된 바이트 단위의 데이터를 인버스 변환시켜 주며, 각 라운드마다 필요한 키값을 선택하여 해당 선택된 키값과 해당 인버스 변환된 데이터를 합치며, 해당 합친 데이터를 컬럼 방향으로 인버스 믹스해 준 후에 출력하게 된다.Here, the execution of one inverse round inverse shifts the plaintext in the row direction, inversely converts the data in the inverse shifted byte unit, and selects the required key value for each round to select the selected key value and the corresponding inverse transformed data. Are combined, and the combined data is inversely mixed in the column direction and then output.

그런 후에, 최종 인버스 라운드를 수행하는데(단계 S64), 우선 상기 인버스 라운드와 동일하게 데이터를 로우 방향으로 인버스 쉬프트시키고 인버스 변환시킨 후에 기설정된 최종 인버스 키값과 혼합을 수행해 줌으로써, 상기 암호화된 평문의 복호화가 완료된다.Thereafter, performing a final inverse round (step S64), first inversely shifting data in the low direction and inversely converting the data in the same manner as the inverse round, and then performing mixing with a predetermined final inverse key value to decrypt the encrypted plaintext. Is completed.

이상과 같이, 본 발명에 의해 무선 LAN에서 인증과 연합을 위해 필요한 SSID를 암호화하여 관리 프레임 교환 시에도 일반 텍스트 데이터가 암호화된 데이터로 송수신되도록 함으로써, 불허용 사용자로 하여금 억세스를 금지함과 동시에 해킹의 가능성을 제거하여 보안 강화를 향상시킬 수 있다.As described above, according to the present invention, SSID necessary for authentication and association in a wireless LAN is encrypted so that plain text data is transmitted and received as encrypted data even during management frame exchange, thereby preventing unauthorized users from accessing and You can improve your security by eliminating the possibility.

Claims (4)

무선 랜에서 비콘 프레임을 주기적으로 브로트캐스트할 때에 서비스 세트 식별자를 암호화한 후에 전송하며, 관리 프레임의 송수신 시에 서비스 세트 식별자를 암호화한 후에 전송하여 인증 서비스를 수행하는 과정을 포함하여 이루어진 것을 특징으로 하는 무선 랜에서 인증 서비스 방법.And transmitting the service set identifier after encrypting the service set identifier when the beacon frame is periodically broadcast in the wireless LAN, and performing the authentication service by encrypting and transmitting the service set identifier upon transmission and reception of the management frame. Authentication service method in WiFi. 제1항에 있어서,The method of claim 1, 상기 서비스 세트 식별자는 AES(Advanced Encryption Standard) 방식을 이용하여 암호화되는 것을 특징으로 하는 무선 랜에서 인증 서비스 방법.The service set identifier is an authentication service method in a wireless LAN, characterized in that encrypted using the AES (Advanced Encryption Standard) method. 제1항에 있어서,The method of claim 1, 상기 인증 서비스 수행 과정은 억세스 포인트에서 상기 서비스 세트 식별자를 암호화한 후에 해당 암호화된 서비스 세트 식별자를 포함하는 비콘 프레임을 생성시켜 주기적으로 전송하는 단계와;The performing of the authentication service may include: periodically encrypting the service set identifier at an access point, and then periodically generating and transmitting a beacon frame including the encrypted service set identifier; 단말에서 상기 엑세스 포인트로부터 수신되는 비콘 프레임 내의 암호화된 서비스 세트 식별자를 복호화하여 비콘 프레임을 분석하는 단계와;Analyzing, by the terminal, the beacon frame by decrypting an encrypted service set identifier in the beacon frame received from the access point; 상기 단말에서 상기 서비스 세트 식별자를 암호화한 후에 해당 암호화된 서비스 세트 식별자를 포함하는 탐색 요구 메시지를 생성시켜 전송하는 단계와;After the terminal encrypts the service set identifier, generating and transmitting a discovery request message including the encrypted service set identifier; 상기 엑세스 포인트에서 상기 단말로부터 수신되는 탐색 요구 메시지 내의 암호화된 서비스 세트 식별자를 복호화하여 탐색 요구 메시지를 분석하는 단계와;Analyzing the discovery request message by decrypting an encrypted service set identifier in the discovery request message received from the terminal at the access point; 상기 엑세스 포인트에서 상기 서비스 세트 식별자를 암호화한 후에 해당 암호화된 서비스 세트 식별자를 포함하는 탐색 응답 메시지를 생성시켜 전송하는 단계와;Encrypting the service set identifier at the access point and generating and transmitting a discovery response message including the encrypted service set identifier; 상기 단말에서 상기 엑세스 포인트로부터 수신되는 탐색 응답 메시지 내의 암호화된 서비스 세트 식별자를 복호화하여 탐색 응답 메시지를 분석하는 단계와;Analyzing the discovery response message by decrypting an encrypted service set identifier in the discovery response message received from the access point at the terminal; 상기 단말과 상기 엑세스 포인트간에 인증 관리 프레임을 송수신하여 상기 단말과 상기 엑세스 포인트간의 인증을 맺도록 하는 단계와;Transmitting and receiving an authentication management frame between the terminal and the access point to establish authentication between the terminal and the access point; 상기 단말에서 상기 서비스 세트 식별자를 암호화한 후에 해당 암호화된 서비스 세트 식별자를 포함하는 연합 요구 메시지를 생성시켜 전송하는 단계와;After the terminal encrypts the service set identifier, generating and transmitting a federation request message including the encrypted service set identifier; 상기 엑세스 포인트에서 상기 단말로부터 수신되는 연합 요구 메시지 내의 암호화된 서비스 세트 식별자를 복호화하여 연합 요구 메시지를 분석하는 단계와;Analyzing the federation request message by decrypting an encrypted service set identifier in the federation request message received from the terminal at the access point; 상기 엑세스 포인트에서 상기 서비스 세트 식별자를 암호화한 후에 해당 암호화된 서비스 세트 식별자를 포함하는 연합 응답 메시지를 생성시켜 전송하는 단계와;Encrypting the service set identifier at the access point and generating and transmitting a federation response message including the encrypted service set identifier; 상기 단말에서 상기 엑세스 포인트로부터 수신되는 연합 응답 메시지 내의 암호화된 서비스 세트 식별자를 복호화하여 연합 응답 메시지를 분석한 후에 상기 엑세스 포인트와 단말간의 연합을 맺도록 하는 단계를 포함하여 이루어진 것을 특징으로 하는 무선 랜에서 인증 서비스 방법.And analyzing the federation response message by decrypting an encrypted service set identifier in the federation response message received from the access point, and then establishing a federation between the access point and the terminal. Authentication service method in. 제3항에 있어서,The method of claim 3, 상기 탐색 응답 메시지 전송 단계는 상기 탐색 요구 메시지를 분석한 결과로 상기 서비스 세트 식별자가 브로트캐스트이거나 자신의 것인 경우에 상기 암호화된 서비스 세트 식별자를 포함하는 탐색 응답 메시지를 가장 최근에 상기 탐색 요구 메시지를 송신한 단말로 전송하는 것을 특징으로 하는 무선 랜에서 인증 서비스 방법.The search response message transmitting step may include, when the service set identifier is broadcast or its own, as a result of analyzing the search request message, a search response message including the encrypted service set identifier is most recently found. Authentication service method in a wireless LAN, characterized in that for transmitting to the transmitting terminal.
KR1020020077333A 2002-12-06 2002-12-06 Method for Providing Authentication Service in the Wireless LAN KR100779800B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020077333A KR100779800B1 (en) 2002-12-06 2002-12-06 Method for Providing Authentication Service in the Wireless LAN

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020077333A KR100779800B1 (en) 2002-12-06 2002-12-06 Method for Providing Authentication Service in the Wireless LAN

Publications (2)

Publication Number Publication Date
KR20040049533A true KR20040049533A (en) 2004-06-12
KR100779800B1 KR100779800B1 (en) 2007-11-27

Family

ID=37343922

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020077333A KR100779800B1 (en) 2002-12-06 2002-12-06 Method for Providing Authentication Service in the Wireless LAN

Country Status (1)

Country Link
KR (1) KR100779800B1 (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006074592A1 (en) * 2005-01-13 2006-07-20 Huawei Technologies Co., Ltd. A method and device for supporting multiple logic networks in the wlan
GB2436725A (en) * 2006-03-29 2007-10-03 Namco Bandai Games Inc Protecting programme control content embedded in wi-fi SSID field by encoding it with access point MAC address
US8270607B2 (en) 2006-12-27 2012-09-18 Samsung Electronics Co., Ltd. Method of protecting broadcast frame, terminal authenticating broadcast frame, and access point broadcasting broadcast frame
KR101505846B1 (en) * 2010-09-30 2015-03-25 인텔 코포레이션 Privacy control for wireless devices
KR101661749B1 (en) * 2015-05-04 2016-10-04 에스케이텔레콤 주식회사 Method, Apparatus and Recording media for processing beacon signal
WO2017003099A1 (en) * 2015-06-30 2017-01-05 경북대학교산학협력단 Beacon communication system having authentication processing function using transmission time difference of beacon signals, and authentication method therefor
KR20170017590A (en) * 2015-08-07 2017-02-15 삼성전자주식회사 Electric apparatus and method for performing connection between electric apparatuses
EP2979401B1 (en) * 2013-05-07 2019-07-31 Huawei Technologies Co., Ltd. System and method for indicating a service set identifier
CN115150919A (en) * 2021-03-30 2022-10-04 松下控股株式会社 Connection system
CN115244896A (en) * 2020-03-05 2022-10-25 思科技术公司 Identifying trusted service set identifiers for wireless networks

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104661285B (en) * 2013-11-18 2018-06-01 联想(北京)有限公司 A kind of processing method of information, device and electronic equipment
CN107231673A (en) * 2016-03-23 2017-10-03 北京京东尚科信息技术有限公司 Electronic equipment and its communication means

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3570310B2 (en) * 1999-10-05 2004-09-29 日本電気株式会社 Authentication method and authentication device in wireless LAN system
KR20010079161A (en) * 2001-06-19 2001-08-22 김영진 The equipment authentication and communication encryption key distribution method in a wireless local area network environments
KR100438155B1 (en) * 2001-08-21 2004-07-01 (주)지에스텔레텍 Wireless local area network sytem and method for managing the same
KR20030043082A (en) * 2001-11-26 2003-06-02 양건웅 How to use network between providers in wireless internet service using wireless LAN network
KR100494558B1 (en) * 2002-11-13 2005-06-13 주식회사 케이티 The method and system for performing authentification to obtain access to public wireless LAN

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006074592A1 (en) * 2005-01-13 2006-07-20 Huawei Technologies Co., Ltd. A method and device for supporting multiple logic networks in the wlan
GB2436725A (en) * 2006-03-29 2007-10-03 Namco Bandai Games Inc Protecting programme control content embedded in wi-fi SSID field by encoding it with access point MAC address
GB2436725B (en) * 2006-03-29 2008-05-28 Namco Bandai Games Inc Wireless network system
US7916679B2 (en) 2006-03-29 2011-03-29 Namco Bandai Games Inc. Wireless network system, wireless communication instrument, wireless communication instrument setting device, game process control method, information storage medium, and portable electronic instrument
US8270607B2 (en) 2006-12-27 2012-09-18 Samsung Electronics Co., Ltd. Method of protecting broadcast frame, terminal authenticating broadcast frame, and access point broadcasting broadcast frame
US9143931B2 (en) 2010-09-30 2015-09-22 Intel Corporation Privacy control for wireless devices
KR101505846B1 (en) * 2010-09-30 2015-03-25 인텔 코포레이션 Privacy control for wireless devices
EP2979401B1 (en) * 2013-05-07 2019-07-31 Huawei Technologies Co., Ltd. System and method for indicating a service set identifier
KR101661749B1 (en) * 2015-05-04 2016-10-04 에스케이텔레콤 주식회사 Method, Apparatus and Recording media for processing beacon signal
WO2017003099A1 (en) * 2015-06-30 2017-01-05 경북대학교산학협력단 Beacon communication system having authentication processing function using transmission time difference of beacon signals, and authentication method therefor
KR20170017590A (en) * 2015-08-07 2017-02-15 삼성전자주식회사 Electric apparatus and method for performing connection between electric apparatuses
CN115244896A (en) * 2020-03-05 2022-10-25 思科技术公司 Identifying trusted service set identifiers for wireless networks
US11877154B2 (en) 2020-03-05 2024-01-16 Cisco Technology, Inc. Identifying trusted service set identifiers for wireless networks
CN115150919A (en) * 2021-03-30 2022-10-04 松下控股株式会社 Connection system

Also Published As

Publication number Publication date
KR100779800B1 (en) 2007-11-27

Similar Documents

Publication Publication Date Title
JP4286224B2 (en) Method for secure and confidential communication used in a wireless local area network (WLAN)
KR100612255B1 (en) Apparatus and method for data security in wireless network system
US7519184B2 (en) Wireless communication system
US20030120920A1 (en) Remote device authentication
CN101164315A (en) System and method for utilizing a wireless communication protocol in a communications network
US20070050615A1 (en) System and method for automatic setup of a network device with secure network transmission of setup parameters using a standard remote control
KR100779800B1 (en) Method for Providing Authentication Service in the Wireless LAN
KR20090031736A (en) Method and apparatus for security protection of an original user identity in an initial signaling message
KR20080077006A (en) Apparatus and method for protection of management frames
CN103581901A (en) Method and device for processing Wi-Fi wireless network access configuration information
WO2005053251A1 (en) Method, apparatuses and computer to provide secured direct link between two stations
TW201236387A (en) Authentication and authorization of cognitive radio devices
JP2006211687A (en) Method for secure transmission of mobile communication subscriber identifier
KR20180096189A (en) LPWA Module performing Encrypted Communication and method thereof
CN106550362B (en) Method and system for safely accessing intelligent equipment to wireless local area network
US20040255121A1 (en) Method and communication terminal device for secure establishment of a communication connection
CN113747430B (en) Network access method, terminal equipment and AP
US8880896B1 (en) Systems and methods for medium access control with key agreement
WO2022237561A1 (en) Communication method and apparatus
JP2001339386A (en) Radio communication system, radio network controller, user terminal
JP2004343579A (en) Encryption communication method in communication system
JP2005223838A (en) Communications system and relay device
JP2005051368A (en) Communication apparatus, base station apparatus and communication system
JP2006013781A (en) Wireless communication system and interception prevention method in wireless communication system
KR100458955B1 (en) Security method for the Wireless LAN

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121015

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20131016

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20141023

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee