KR20040050428A - 무선망에서의 사용자 인증 처리 시스템 및 그 방법 - Google Patents

무선망에서의 사용자 인증 처리 시스템 및 그 방법 Download PDF

Info

Publication number
KR20040050428A
KR20040050428A KR1020020078263A KR20020078263A KR20040050428A KR 20040050428 A KR20040050428 A KR 20040050428A KR 1020020078263 A KR1020020078263 A KR 1020020078263A KR 20020078263 A KR20020078263 A KR 20020078263A KR 20040050428 A KR20040050428 A KR 20040050428A
Authority
KR
South Korea
Prior art keywords
public key
authentication
user
password
message
Prior art date
Application number
KR1020020078263A
Other languages
English (en)
Other versions
KR100495817B1 (ko
Inventor
이훈기
김순철
류원
Original Assignee
한국전자통신연구원
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원, 주식회사 케이티 filed Critical 한국전자통신연구원
Priority to KR10-2002-0078263A priority Critical patent/KR100495817B1/ko
Publication of KR20040050428A publication Critical patent/KR20040050428A/ko
Application granted granted Critical
Publication of KR100495817B1 publication Critical patent/KR100495817B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선망에서의 사용자 인증 처리 시스템 및 그 방법에 관한 것으로서, 이를 위하여 본 발명은 선망에서의 사용자 인증 처리 시스템 및 그 방법은 사용자별 부여된 공개키와 개인키를 이용하여 암호/복호 과정을 수행함으로써 패스워드 정보를 보호하고 해킹을 방지할 수 있으며, 임의의 사용자가 접근 요청 메시지의 작성을 방지할 수 있고, 또한 등록된 사용자의 인증 요구 메시지를 공개키 분배 서버의 조회를 통해 일차적으로 처리함으로써 미등록 사용자의 인증 요구 메시지의 처리로 인한 비효율적성 감소시킬 수 있다.

Description

무선망에서의 사용자 인증 처리 시스템 및 그 방법{ system of user authentication process for wireless network and method thereof }
본 발명은 무선망에서의 사용자 인증 처리 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 공개키와 개인키를 이용한 암호/복호 구조를 이용하여 안전한 인증 처리를 수행할 수 있는 무선망에서의 사용자 인증 처리 시스템 및 그 방법에 관한 것이다.
도 1은 종래 기술에 따른 실시예의 무선망에서의 사용자 인증 처리 시스템의 구성을 도시한 것이다.
도 1에 도시된 바와 같이, 종래 기술에 따른 실시예의 시스템은 일반적인 규격을 준수하는 망 구조로서, 단말기인 MS(Mobile Station, 10), VLR(Vistor Location Resister, 20), RNC(Radio Network Controller, 30), PDSN(Packet Data Serving Node, 40), AAA(Authentication, Authorization, Accounting) 서버(50), HA(Home Agent, 60)을 포함하고 있다.
VLR(20)은 MS(10)와 에어(Air) 인터페이스를 담당하고, PDSN(40)과 R-P 인터페이스를 담당하여 가입자 정보를 가지고 있다. RNC(30)는 VLR(20)과의 연동을 통해 이동성을 감지하여 해당 PDSN(40)을 지정해준다.
PDSN(40)은 FA/AAA 클라이언트로 가입자의 패킷 서비스를 관리하며 IP를 할당하거나 이동 IP 서비스를 위해 가입자가 속한 HA(60)와 연동된다.
AAA 서버(50)는 가입자 서비스의 인증 및 권한 검증, 과금 정보를 관리한다. HA(60)는 유선망 내에서 이동 단말기(10)를 관리하며 이동 IP 가입자가 사설 네트워크를 통해 인터넷에 접속할 수 있도록 한다. 한편, FA(Foreign Agent)는 이동단말기(10)가 이동하여 다른 셀로 이동할 때 자신의 영역에 들어오는 이동단말기(10)의 관리 및 현재 위치를 HA(60)에게 알린다.
도 2는 종래 기술에 따른 실시예의 무선망에서의 사용자 인증 처리를 위한 인증 메시지 흐름도를 도시한 것이다.
도 2를 참고하여 종래 기술에 따른 실시예의 무선망에서의 사용자 인증 처리 과정을 살펴보면 다음과 같다.
도 2에 나타나 있듯이, 이동 단말기(10)와 AAA 서버(50) 사이에서 인증 처리는 CHAP(Challenge Handshake Authentication Protocol) 인증 방법을 사용하고 있다.
즉, 이동 단말기(10)와 FA(PDSN) 사이에서는 CALL setup이 성립된 후 PPP 인증 단계에서 FA에서 이동 단말기(10)로 임의의 CHAP 첼린지(Challenge)를 생성한다.
FA가 CHAP 첼린지를 이동 단말기(10)로 보내면 이동 단말기(10)에서는 CHAP 패스워드를 생성한다.
일반적으로, 이동 단말기(10)에서 생성하는 CHAP 패스워드는 T11에서와 같이 CHAP ID, AAA 서버(50)와 PDSN(40)에서 공유하는 비밀키(MN-AAA 공유키), 및 CHAP첼린지를 MD5(Message Digest 5) 알고리즘으로 암호화하여 생성된다.
이렇게 생성된 CHAP 패스워드는 라디우스 메시지 속성(Attribute)으로 구성되어 AAA 서버(50)로 전송된다. AAA 서버(50)에서는 T12와 같이 이동 단말기(10)에서 생성되어 전송되어진 CHAP 패스워드에서 CHAP 첼린지와 CHAP ID 속성필드 값, PDSN(40)과 공유하는 비밀키를 이용하여 CHAP 패스워드를 생성한다.
AAA 서버(50)는 자신이 생성한 CHAP 패스워드와 이동 단말기(10)에서 생성한 CHAP 패스워드 값의 일치 여부를 확인하는데, 두 패스워드가 일치하는 경우에 인증 성공 메시지를, 두 패스워드가 일치하지 않는 경우에 인증 실패 메시지를 생성하여 FA로 메시지를 전달한다.
이와 같이, 종래 기술에 따른 실시예의 무선망에서의 사용자 인증 처리 방법은 이동 단말기(10)와 AAA 서버(50) 사이에 공유하는 비밀키를 암호화하여 AAA 서버(50)로 전송되는 인증 요구 메시지가 해킹되는 것을 방지하도록 한다.
그런데, 이동 단말기(10)와 AAA 서버(50) 사이의 암호화 알고리즘은 이동 단말기(10)의 인증 처리 데이터들이 FA를 통하여 라디우스(RADIUS) 메시지로 구성되어 AAA 서버(50)로 전송된다.
따라서, FA와 AAA 서버 사이에서 해킹의 우려가 있으며 해킹시 임의의 크래커가 AAA 서버로 접근 요청 메시지를 정상적으로 보낼 수 있다. 접근 요청 메시지가 해킹되면 AAA 서버에서는 임의의 크래커로부터의 해킹 시도를 막을 수 없다.
또한, 임의의 미등록 사용자의 대량 인증 요구 메시지로 인하여 AAA 서버의 부하가 가증될 수 있는 문제점이 있다.
본 발명은 위의 문제점을 해결하기 위한 것으로, 본 발명의 목적은 사용자별 부여된 공개키와 개인키를 이용하여 암호/복호 과정을 수행하여 안전한 인증처리를 수행하고, 해킹이나 임의의 접근 요청 메시지를 작성할 수 없도록 하는 무선망에서의 사용자 인증 처리 시스템 및 그 방법을 제공하는 것이다.
도 1은 종래 기술에 따른 실시예의 무선망에서의 사용자 인증 처리 시스템의 구성을 도시한 것이다.
도 2는 종래 기술에 따른 실시예의 무선망에서의 사용자 인증 처리를 위한 인증 메시지 흐름도를 도시한 것이다.
도 3은 본 발명에 따른 실시예의 무선망에서의 사용자 인증 처리 시스템의 구성을 도시한 것이다.
도 4는 본 발명에 따른 실시예의 공개키 암호 원리를 도시한 것이다.
도 5는 본 발명에 따른 실시예의 무선망에서의 사용자 인증 처리 방법의 공개키 등록 절차에 대한 순서도를 도시한 것이다.
도 6은 본 발명에 따른 실시예의 무선망에서의 사용자 인증 처리 방법에서 AAA 클라이언트로 동작되는 FA의 인증 처리 절차에 대한 순서도를 도시한 것이다.
도 7은 본 발명에 따른 실시예의 무선망에서의 사용자 인증 처리 방법에서 공개키 분배 서버의 인증 처리 절차에 대한 순서도를 도시한 것이다.
도 8은 본 발명에 따른 실시예의 무선망에서의 사용자 인증 처리 방법에서 AAA 서버의 인증 처리 절차에 대한 순서도를 도시한 것이다.
도 9는 본 발명에 따른 실시예의 무선망에서의 사용자 인증 처리 절차를 도시한 것이다.
상기한 바와 같은 목적을 실현하기 위한 본 발명에 따른 무선망에서의 사용자 인증 처리 방법의 특징은, a) 무선망에 접속하는 사용자에 대해 공개키와 개인키를 미리 생성하여 이들을 각각 저장시키고, 이동 단말의 인증 요구에 대해 사용자 정보를 이용하여 공개키 요구 메시지를 생성 출력시키는 단계; b) 상기 a) 단계에서 공개키 요구 메시지를 전송받아 미리 저장시켜 둔 공개키 정보를 이용해 사용자의 등록 여부를 판단한 후에 해당 사용자의 공개키를 전송하는 단계; c) 상기 b) 단계에서 공개키가 전송되면, 상기 공개키를 이용한 암호화 과정을 수행하여 제1 패스워드를 생성하고 인증 서버로 인증 요구 메시지를 전송하는 단계; d) 상기 c) 단계의 인증 요구 메시지에 대해 인증 서버는 패스워드의 속성 필드 값과 상기 개인키를 이용하여 복호화하여 제2 패스워드를 산출하고, 상기 제1 패스워드와 제2 패스워드의 일치 여부에 따라 인증 성공/실패 메시지를 전송하는 단계; 및 e) 상기 d) 단계에서 인증 서버로부터 인증 성공 메시지가 전송되면 상기 이동단말로 서비스 시작을 알리고, 상기 인증 서버로부터 인증 실패 메시지가 전송되면 상기 이동단말로 인증 실패 메시지를 전송하는 단계을 포함한다.
상기 a) 단계에서 공개키 요구 메시지를 전송하는 단계는, 상기 이동 단말을 통해 인증 요구한 사용자의 사용자 이름을 공개키 요구 메시지의 메인 키(Main Key)로 사용한다.
상기 b) 단계에서 공개키를 전송하는 단계는, 상기 공개키 요구 메시지가 수신되면, 사용자 이름을 이용하여 사용자별 공개키가 등록되어 있는 공개키 테이블에서 공개키를 조회한다.
상기 a) 단계에서 공개키를 저장하는 단계는, 상기 공개키를 관리하는 공개키 분배 서버를 설치하고, 상기 공개키 분배 서버와 소켓 통신을 통해 공개키를 등록하고, 상기 공개키 등록 결과를 수신 처리한다.
상기 c) 단계에서 암호화하는 단계는,
가) 상기 공개키를 수신하면, 상기 이동단말로부터 수신한 패킷 정보로부터 CHAP 패스워드 값을 공개키를 이용 암호화하여 CHAP 패스워드를 생성하는 단계; 및 나) 상기 가) 단계에서 CHAP 패스워드가 생성되면, CHAP 챌린지 값과 CHAP ID을 생성하고, 이들을 이용해 인증 요구 메시지를 생성하여 상기 인증 서버로 전송하는 단계를 포함한다.
상기 d) 단계에서 사용자 인증 처리하는 단계는,
가) 상기 인증 서버는 인증 요구 메시지에 대해 사용자 이름을 이용하여 사용자별 개인키를 저장한 개인키 테이블에서 개인키를 추출하는 단계; 나) 상기 인증 요구 메시지의 패스워드의 속성 필드 값을 개인키를 이용한 복호화 과정을 통해 원래의 제1 패스워드 값을 추출하는 단계; 다) 상기 속성 필드 값과 개인 정보를이용하여 제2 패스워드를 생성하고 상기 제1 패스워드와 제2 패스워드를 비교하는 단계; 및 라) 상기 다) 단계의 비교 결과가 일치하는 경우에 인증 성공 메시지를 생성하고, 상기 다) 단계의 비교 결과가 일치하지 않는 경우에 인증 실패 메시지를 생성하는 단계를 포함한다.
상기 가) 단계는, 상기 개인키 테이블을 관리하며 사용자의 가입 정보를 저장하는 개인키 관리 데이터베이스를 이용한다.
상기 다) 단계에서 제2 패스워드를 생성하는 단계는 CHAP(Challenge Handshake Authentication Protocol) 챌린지 값과 CHAP ID 값, 공유키를 이용하여 CHAP 패스워드를 생성한다.
한편, 본 발명에 따른 무선망에서의 사용자 인증 처리 시스템의 특징은, 패킷 서비스를 관리하고, 이동단말로부터의 인증 요구 메시지를 수신하여 공개키 요구 메시지를 생성 출력시키고, 상기 공개키를 이용하여 암호화된 패스워드를 포함한 라디우스(RADIUS) 메시지를 전송하는 PDSN(Packet Data Serving Node); 사용자별 공개키와 개인키를 생성하고, 상기 PDSN으로부터 라디우스 메시지를 수신하여 개인키를 이용해 복호화함으로써 사용자 인증 처리를 수행하는 AAA(Authentication, Authorization, Accounting) 서버; 상기 AAA 서버에서 생성된 공개키를 사용자별 공개키 테이블에 저장시키고, 상기 공개키 요구 메시지에 대해 정당한 사용자의 경우에 공개키를 전송하는 공개키 분배 서버; 상기 AAA 서버에서 생성된 개인키를 사용자별 개인키 테이블에 저장시키는 개인키 관리 데이터베이스를 포함한다.
상기 PDSN은 AAA 클라이언트로 동작되는 프로세서를 내장한다. 상기 PDSN과 공개키 분배 서버는 메시지 송수신시 사용자 이름을 메인 키 값으로 한다. 상기 AAA 서버와 공개키 분배 서버는 공개키 등록을 위한 메시지 송수신이 TCP/IP 소켓 통신을 통해 이루어진다.
이하 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시예를 상세히 설명하면 다음과 같다.
어느 한 실시예에서 언급한 내용 중 다른 실시예에도 적용할 수 있는 내용은 다른 실시예에서 특별히 언급하지 않아도 이를 적용할 수 있는 것은 당업자에게 자명하다.
도 3은 본 발명에 따른 실시예의 무선망에서의 사용자 인증 처리 시스템의 구성을 도시한 것이다.
도 3에 도시된 바와 같이, 본 발명에 따른 실시예의 무선망에서의 사용자 인증 처리 시스템은, 이동 단말기(Mobile Station, 110), 가입자 위치 정보를 관리하는 VLR(120), RNC(130), 패킷 서비스를 관리하면서 FA/AAA 클라이언트인 PDSN(140), 공개키 분배 서버(150), AAA 서버(160), 개인키 관리 데이터베이스(170), 가입자의 이동 IP 서비스를 위한 IP 할당 및 관리를 수행하는 HA(180)를 포함한다.
위의 VLR(120), RNC(130), AAA 서버(160), HA(180), FA(140)은 도 1에서 이미 그 기능들에 대해 설명하고 있으므로 이하 생략한다.
PDSN(140)은 운용자 인터페이스를 통해 가입자 정보를 등록하기 위해 IPC(Interprocess Communication) 통신을 통하여 가입자 정보를 수신하고 일반적인 가입자 정보를 사용자 등록 데이터베이스에 저장한다.
AAA 서버(160)은 초기 등록된 가입자에 대해 키 생성 알고리듬을 통해 개인키와 공개키를 생성하고, 개인키는 개인키 관리 데이터베이스(170)에 저장시키고, 공개키를 공개키 분배 서버(150)로 소켓 통신을 통해 등록시킨 후에 공개키 등록 결과를 수신하여 처리한다.
위에서, 사용자 등록 데이터베이스와 개인키 관리 데이터베이스는 독립적으로 구성되기도 하고, 경우에 따라 하나로 구성되기도 한다.
공개키 분배 서버(150)는 인증 요구를 위한 라디우스 메시지 생성시 패스워드와 관련된 특정 속성값을 암호화하기 위해 사용자의 공개키를 등록한다.
개인키 관리 데이터베이스(170)는 AAA 서버(160)에서 인증 요구 메시지를 수신하면 라디우스 메시지의 사용자 정보를 이용하여 개인키를 할당받아 복호화하고 인증 처리 과정이 수행되도록 한다.
도 4는 본 발명에 따른 실시예의 공개키 암호 원리를 도시한 것이다.
도 4에 나타나 있듯이, 송신자가 메시지(m)를 암호화하여 수신자에게 보내기 위해서, 공개키 분배 서버(150)로부터 공개된 수신자의 공개키(Ke)를 이용하여 암호화(Eke(m)=c)를 수행한다. 수신자는 자신만이 알고 있는 개인키(Kd)를 이용하여 복호화(DKd(c)=m)를 수행한다.
상기와 같이 구성되는 본 발명에 따른 실시예의 무선망에서의 사용자 인증 처리 시스템의 동작을 첨부된 도면들을 참고하여 설명하면 다음과 같다.
도 5는 본 발명에 따른 실시예의 무선망에서의 사용자 인증 처리 방법의 공개키 등록 절차에 대한 순서도를 도시한 것이다.
도 5에 도시된 바와 같이, 본 발명에 따른 실시예의 공개키 등록 절차는 AAA 서버(160)는 운용자 단말로부터 IPC 통신을 통해 IPC 메시지를 수신하고(S11), 이 IPC 메시지 중 가입자 등록 메시지를 처리한다.(S12)
AAA 서버(160)는 가입자 등록을 원하는 가입자가 기존 가입자인지를 확인하고(S13), 기존 가입자인 경우에는 에러 메시지를 출력하고 대기 모드로 돌아간다.(S14)
그런데, 기존 가입자가 아닌 신규 가입자인 경우에, AAA 서버(160)는 사용자 등록 데이터베이스에 저장될 초기 데이터를 구성한다.(S15) 그리고, AAA 서버(160)은 인증 메시지의 암호화를 위하여 공개키와 개인키를 생성하고(S16). 공개키를 공개키 분배 서버(150)에 등록시킨다.(S17)
이때, AAA 서버(160)는 공개키 분배 서버(150)에 공개키가 정상적으로 등록되었는지 등록 처리 결과를 확인하고(S18), 공개키가 정상적으로 등록된 경우에 개인키를 개인키 관리 데이터베이스(170)에 등록함으로써 가입자의 등록, 키 생성 및 분배 과정을 종료한다.(S19)
위에서, 공개키가 공개키 분배 서버(150)에 정상적으로 등록되지 않은 경우에, AAA 서버(160)는 에러 메시지를 출력하고 대기 모드로 돌아간다.
도 6은 본 발명에 따른 실시예의 무선망에서의 사용자 인증 처리 방법에서 AAA 클라이언트로 동작되는 FA의 인증 처리 절차에 대한 순서도를 도시한 것이다.
도 6에 도시된 바와 같이, FA(140)는 이동단말(110)로부터 인증 요구 메시지를 수신하고, FA의 내부 프로세서인 AAA 클라이언트 동작 모듈로 IPC 통신을 통해 가입자 서비스 요청 정보를 전달한다.(S21)
대기 상태의 AAA 클라이언트 동작 모듈은 IPC 통신을 통해 수신된 메시지가 가입자 서비스 요청 메시지인지를 검사하고(S22), 이 메시지로부터 가입자 식별 정보를 이용하여 공개키 요구 메시지를 생성하여 공개키 분배 서버(150)로 전송한다.(S23)
이때, AAA 클라이언트 동작 모듈과 공개키 분배 서버(150)와의 통신은 소켓을 통하여 송수신한다.
공개키 분배 서버(150)로부터 공개키가 수신되면(S24), AAA 클라이언트 동작 모듈은 공개키 분배 서버(150)에서 수신된 공개키가 정상 조회 결과 메시지인지를 판별한다.(S25)
이때, 정상 조회 결과 메시지가 아닌 경우에, 이동단말(110)이 등록이 되지 않은 사용자의 인증을 요구하였으므로, AAA 클라이언트 동작 모듈은 인증 실패 메시지를 생성하여 이동단말(110)로 인증 실패 결과와 인증 실패 사유 코드를 전송한다.(S26)
그런데, 정상 조회 결과 메시지인 경우에, AAA 클라이언트 동작 모듈은 이동단말(110)로부터 수신한 패킷 정보로부터 CHAP 패스워드 값을 공개키를 이용하여RSA 암호화 과정을 수행하고 새로운 CHAP 패스워드를 생성한다.(S27) 그리고, FA(140)에서 생성한 챌린지 값과 CHAP ID를 이용하여 접근 요구(Access Request) 메시지를 생성하여 AAA 서버로 전송한다.(S28)
이때, AAA 서버(160)로 전송되는 접근 요구 메시지는 라디우스 메시지 이므로 UDP 소켓 통신을 통해 이루어진다. AAA 클라이언트 동작 모듈은 AAA 서버(160)로부터 인증 결과 메시지를 수신하게 되면(S29), 인증 처리 결과를 이동단말(110)로 전송하고, FA(140)에서는 인증 처리 결과에 따라 인증 실패, 또는 서비스 시작에 관련된 작업을 수행한다.(S30)
한편, 도 7은 본 발명에 따른 실시예의 무선망에서의 사용자 인증 처리 방법에서 공개키 분배 서버의 인증 처리 절차에 대한 순서도를 도시한 것이다.
도 7에 나타나 있듯이, 공개키 분배 서버(150)는 공개키 인증 테이블을 로딩하여 공개키를 요구하는 메시지의 수신 대기 상태에서, 도 6의 A에서 FA(140)로부터 전송되는 공개키 요구 메시지가 수신되면(S31), 이 메시지 내의 가입자 등록 정보를 이용하여 공개키 테이블을 검색한다.
공개키 분배 서버(150)는 사용자 이름이 등록정보에 없는 경우에, 미등록 사용자로 판단하고 에러 사유 코드를 생성하여 에러 메시지를 FA(140)로 전송한다.(S33) 그런데, 공개키 분배 서버(150)는 사용자 이름이 등록정보에 있는 경우에, 등록된 사용자로 판단하고 공개키 테이블에서 검색된 공개키를 FA(140)로 전송한다.(S34)
따라서, FA(140)는 공개키 분배 서버(150)로부터 전송된 공개키를 이용해 암호화를 진행시킬 수 있다.
도 8은 본 발명에 따른 실시예의 무선망에서의 사용자 인증 처리 방법에서 AAA 서버의 인증 처리 절차에 대한 순서도를 도시한 것이다.
도 8에 도시된 바와 같이, AAA 서버(160)는 구동을 위한 초기화 과정을 수행하고 메시지 수신 대기 상태에서, 소켓을 통해 도 6의 B에서 접근 요구 메시지가 수신되면(S41), 이 메시지에서 라디우스 메시지의 속성 필드 부분을 분석한다.(S42)
그리고, AAA 서버(160)는 라디우스 메시지의 속성 필드에서 사용자 이름을 이용하여 개인 정보를 관리하는 개인키 관리 데이터베이스(170)로부터 인증 처리를 위한 개인키 및 개인등록 정보를 조회한다.(S43)
AAA 서버(160)는 개인키 관리 데이터베이스(170)에서 조회된 정보로부터 CHAP 패스워드 속성 필드값을 RSA 복호화 알고리즘을 이용하여 원래의 CHAP 패스워드 값을 얻어낸다.(S44)
AAA 서버(160)는 위에서 얻어낸 속성 필드 값과 개인 정보를 이용하여 CHAP 패스워드를 생성하고(S45), 이렇게 생성된 CHAP 패스워드가 이동단말(110)로부터 전송된 CHAP 패스워드 값이 일치하는지를 판단한다.(S46)
두 CHAP 패스워드가 일치하지 않는 경우에 AAA 서버는 접근 거절(Access Reject) 메시지를 생성하여 FA(140)로 전송하고(S47), 두 CHAP 패스워드가 일치하는 경우에 AAA 서버(160)는 접근 수락(Access Accept) 메시지를 생성하여 FA(140)로 전송한다.(S48)
따라서, AAA 서버(160)로부터 인증 결과 메시지를 전송받은 FA(140)는 이동단말(110)로 인증 실패, 또는 서비스 시작 관련 작업을 알리게 된다.
도 9는 본 발명에 따른 실시예의 무선망에서의 사용자 인증 처리 절차를 도시한 것이다.
도 9에 도시된 바와 같이, 이동단말(110)과 FA(140)는 호 셋업(Call Setup)이 성립된 후, PPP 인증 단계에서 FA(140)는 이동단말로부터 인증 요구 메시지를 수신하여 사용자 이름(User Name)를 이용하여 요구 공개키(Request Public_Key) 메시지를 생성하여 공개키 분배 서버(150)로 전송한다.
공개키 분배 서버(150)는 등록된 사용자의 경우에만 응답 공개키 메시지(Response Public_Key)를 생성하여 FA(140)로 전송한다. 만약, 공개키 분배 서버(150)는 등록되지 않은 사용의 경우에 에러 메시지를 FA(140)로 전송하고, FA(140)는 이동단말로 인증 실패 메시지(Reject)를 생성하여 전송한다.
FA(140)가 공개키를 수신하면 T21과 같이 CHAP 패스워드 값을 공개키를 이용하여 RSA 암호화하고 라디우스 메시지인 접근 요구(Access Request) 메시지를 생성하여 AAA 서버(160)로 전송한다.
AAA 서버(160)는 T22와 같이 개인키 관리 데이터베이스(170)에서 개인키를 조회하고, CHAP 패스워드 속성 필드값을 RSA 복호화하여 인증 과정을 수행한다.
AAA 서버(160)는 인증 결과(Access Accept/Reject) 메시지를 생성하여 FA(140)로 전송한다. 그러면, FA(140)는 이동단말(110)로 AAA 서버(160)의 인증 결과에 따라 인증 성공(Accept) 메시지나 인증 실패(Reject) 메시지를 전송한다.
상기 도면과 발명의 상세한 설명은 단지 본 발명의 예시적인 것으로서, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
본 발명에 의한 무선망에서의 사용자 인증 처리 시스템 및 그 방법은 사용자별 부여된 공개키와 개인키를 이용하여 암호/복호 과정을 수행함으로써 패스워드 정보를 보호하고 해킹을 방지할 수 있으며, 임의의 사용자가 접근 요청 메시지의 작성을 방지할 수 있는 효과가 있다.
또한 본 발명에 의한 무선망에서의 사용자 인증 처리 시스템 및 그 방법은 등록된 사용자의 인증 요구 메시지를 공개키 분배 서버의 조회를 통해 일차적으로 처리함으로써 미등록 사용자의 인증 요구 메시지의 처리로 인한 비효율적성 감소시킬 수 있는 효과가 있다.

Claims (12)

  1. a) 무선망에 접속하는 사용자에 대해 공개키와 개인키를 미리 생성하여 이들을 각각 저장시키고, 이동 단말의 인증 요구에 대해 사용자 정보를 이용하여 공개키 요구 메시지를 생성 출력시키는 단계;
    b) 상기 a) 단계에서 공개키 요구 메시지를 전송받아 미리 저장시켜 둔 공개키 정보를 이용해 사용자의 등록 여부를 판단한 후에 해당 사용자의 공개키를 전송하는 단계;
    c) 상기 b) 단계에서 공개키가 전송되면, 상기 공개키를 이용한 암호화 과정을 수행하여 제1 패스워드를 생성하고 인증 서버로 인증 요구 메시지를 전송하는 단계;
    d) 상기 c) 단계의 인증 요구 메시지에 대해 인증 서버는 패스워드의 속성 필드 값과 상기 개인키를 이용하여 복호화하여 제2 패스워드를 산출하고, 상기 제1 패스워드와 제2 패스워드의 일치 여부에 따라 인증 성공/실패 메시지를 전송하는 단계; 및
    e) 상기 d) 단계에서 인증 서버로부터 인증 성공 메시지가 전송되면 상기 이동단말로 서비스 시작을 알리고, 상기 인증 서버로부터 인증 실패 메시지가 전송되면 상기 이동단말로 인증 실패 메시지를 전송하는 단계
    을 포함하는 무선망에서의 사용자 인증 처리 방법.
  2. 제 1 항에 있어서,
    상기 a) 단계에서 공개키 요구 메시지를 전송하는 단계는, 상기 이동 단말을 통해 인증 요구한 사용자의 사용자 이름을 공개키 요구 메시지의 메인 키(Main Key)로 사용하는 것을 특징으로 하는 무선망에서의 사용자 인증 처리 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 b) 단계에서 공개키를 전송하는 단계는,
    상기 공개키 요구 메시지가 수신되면, 사용자 이름을 이용하여 사용자별 공개키가 등록되어 있는 공개키 테이블에서 공개키를 조회하는 것을 특징으로 하는 무선망에서의 사용자 인증 처리 방법.
  4. 제 1 항에 있어서,
    상기 a) 단계에서 공개키를 저장하는 단계는,
    상기 공개키를 관리하는 공개키 분배 서버를 설치하고, 상기 공개키 분배 서버와 소켓 통신을 통해 공개키를 등록하고, 상기 공개키 등록 결과를 수신 처리하는 것을 특징으로 하는 무선망에서의 사용자 인증 처리 방법.
  5. 제 1 항에 있어서,
    상기 c) 단계에서 암호화하는 단계는,
    가) 상기 공개키를 수신하면, 상기 이동단말로부터 수신한 패킷 정보로부터CHAP 패스워드 값을 공개키를 이용 암호화하여 CHAP 패스워드를 생성하는 단계; 및
    나) 상기 가) 단계에서 CHAP 패스워드가 생성되면, CHAP 챌린지 값과 CHAP ID을 생성하고, 이들을 이용해 인증 요구 메시지를 생성하여 상기 인증 서버로 전송하는 단계
    를 포함하는 무선망에서의 사용자 인증 처리 방법.
  6. 제 1 항에 있어서,
    상기 d) 단계에서 사용자 인증 처리하는 단계는,
    가) 상기 인증 서버는 인증 요구 메시지에 대해 사용자 이름을 이용하여 사용자별 개인키를 저장한 개인키 테이블에서 개인키를 추출하는 단계;
    나) 상기 인증 요구 메시지의 패스워드의 속성 필드 값을 개인키를 이용한 복호화 과정을 통해 원래의 제1 패스워드 값을 추출하는 단계;
    다) 상기 속성 필드 값과 개인 정보를 이용하여 제2 패스워드를 생성하고 상기 제1 패스워드와 제2 패스워드를 비교하는 단계; 및
    라) 상기 다) 단계의 비교 결과가 일치하는 경우에 인증 성공 메시지를 생성하고, 상기 다) 단계의 비교 결과가 일치하지 않는 경우에 인증 실패 메시지를 생성하는 단계
    를 포함하는 무선망에서의 사용자 인증 처리 방법.
  7. 제 6 항에 있어서,
    상기 가) 단계는, 상기 개인키 테이블을 관리하며 사용자의 가입 정보를 저장하는 개인키 관리 데이터베이스를 이용하는 것을 특징으로 하는 무선망에서의 사용자 인증 처리 방법.
  8. 제 6 항에 있어서,
    상기 다) 단계에서 제2 패스워드를 생성하는 단계는,
    CHAP(Challenge Handshake Authentication Protocol) 챌린지 값과 CHAP ID 값, 공유키를 이용하여 CHAP 패스워드를 생성하는 것을 특징으로 하는 무선망에서의 사용자 인증 처리 방법.
  9. 패킷 서비스를 관리하고, 이동단말로부터의 인증 요구 메시지를 수신하여 공개키 요구 메시지를 생성 출력시키고, 상기 공개키를 이용하여 암호화된 패스워드를 포함한 라디우스(RADIUS) 메시지를 전송하는 PDSN(Packet Data Serving Node);
    사용자별 공개키와 개인키를 생성하고, 상기 PDSN으로부터 라디우스 메시지를 수신하여 개인키를 이용해 복호화함으로써 사용자 인증 처리를 수행하는 AAA(Authentication, Authorization, Accounting) 서버;
    상기 AAA 서버에서 생성된 공개키를 사용자별 공개키 테이블에 저장시키고, 상기 공개키 요구 메시지에 대해 정당한 사용자의 경우에 공개키를 전송하는 공개키 분배 서버;
    상기 AAA 서버에서 생성된 개인키를 사용자별 개인키 테이블에 저장시키는 개인키 관리 데이터베이스
    를 포함하는 무선망에서의 사용자 인증 처리 시스템.
  10. 제 9 항에 있어서,
    상기 PDSN은 AAA 클라이언트로 동작되는 프로세서를 내장하는 것을 특징으로 하는 무선망에서의 사용자 인증 처리 시스템.
  11. 제 9 항에 있어서,
    상기 PDSN과 공개키 분배 서버는 메시지 송수신시 사용자 이름을 메인 키 값으로 하는 것을 특징으로 하는 무선망에서의 사용자 인증 처리 시스템.
  12. 제 9 항에 있어서,
    상기 AAA 서버와 공개키 분배 서버는 공개키 등록을 위한 메시지 송수신이 TCP/IP 소켓 통신을 통해 이루어지는 것을 특징으로 하는 무선망에서의 사용자 인증 처리 시스템.
KR10-2002-0078263A 2002-12-10 2002-12-10 무선망에서의 사용자 인증 처리 시스템 및 그 방법 KR100495817B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0078263A KR100495817B1 (ko) 2002-12-10 2002-12-10 무선망에서의 사용자 인증 처리 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0078263A KR100495817B1 (ko) 2002-12-10 2002-12-10 무선망에서의 사용자 인증 처리 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20040050428A true KR20040050428A (ko) 2004-06-16
KR100495817B1 KR100495817B1 (ko) 2005-06-16

Family

ID=37344626

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0078263A KR100495817B1 (ko) 2002-12-10 2002-12-10 무선망에서의 사용자 인증 처리 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR100495817B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7653713B2 (en) 2005-02-23 2010-01-26 Samsung Electronics Co., Ltd. Method of measuring round trip time and proximity checking method using the same
KR101501508B1 (ko) * 2013-09-16 2015-03-12 김정훈 데이터 암호화를 통한 인증방법 및 시스템

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE602006015706D1 (de) 2006-02-10 2010-09-02 Huawei Tech Co Ltd Verfahren und System zur Verwaltung eines XML-Dokuments

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10336172A (ja) * 1997-06-04 1998-12-18 Kyushu Syst Joho Gijutsu Kenkyusho 電子認証用公開鍵の管理方法
AU2452699A (en) * 1998-01-09 1999-07-26 Cybersafe Corporation Client side public key authentication method and apparatus with short-lived certificates
JP2001345797A (ja) * 2000-06-06 2001-12-14 Nec Soft Ltd 電子メール用鍵の管理運用方式
KR100406292B1 (ko) * 2001-10-24 2003-11-14 최백준 터미널 통신상의 사용자 보안 및 자동 인증을 위한 비밀번호 전송시스템 및 전송방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7653713B2 (en) 2005-02-23 2010-01-26 Samsung Electronics Co., Ltd. Method of measuring round trip time and proximity checking method using the same
KR101501508B1 (ko) * 2013-09-16 2015-03-12 김정훈 데이터 암호화를 통한 인증방법 및 시스템

Also Published As

Publication number Publication date
KR100495817B1 (ko) 2005-06-16

Similar Documents

Publication Publication Date Title
JP4804983B2 (ja) 無線端末、認証装置、及び、プログラム
US9197615B2 (en) Method and system for providing access-specific key
US7472273B2 (en) Authentication in data communication
CN100477834C (zh) 安全装置的安全和保密性增强
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
US7720227B2 (en) Encryption method for SIP message and encrypted SIP communication system
EP1933498B1 (en) Method, system and device for negotiating about cipher key shared by ue and external equipment
KR100729105B1 (ko) 비 유에스아이엠 단말기에서의 이에이피-에이케이에이 인증처리 장치 및 방법
US20070113269A1 (en) Controlling access to a network using redirection
US20030120920A1 (en) Remote device authentication
KR100879982B1 (ko) 모바일 와이맥스 네트워크 시스템에서의 보안 시스템 및방법
MX2007012852A (es) Manejo de clave de sesion para una red de area local inalambrica publica que da soporte a multiples operadores virtuales.
KR20080089500A (ko) 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터
JP5040367B2 (ja) サービス連携システム、サービス連携方法、およびサービス連携プログラム
WO2008006312A1 (en) A realizing method for push service of gaa and a device
US20130024691A1 (en) Method and Apparatus for Securing Communication Between a Mobile Node and a Network
EP1995908A1 (en) Method, system, apparatus and bsf entity for preventing bsf entity from attack
CN112566119A (zh) 终端认证方法、装置、计算机设备及存储介质
KR20080050971A (ko) 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법
KR100495817B1 (ko) 무선망에서의 사용자 인증 처리 시스템 및 그 방법
WO2009004590A2 (en) Method, apparatus, system and computer program for key parameter provisioning
WO2008001988A1 (en) System and method for managing network/service access for linkage between network access and application service
KR20050033255A (ko) 무선 인터넷 사용자 인증 방법 및 시스템
JP2006191429A (ja) 集合型宅内ネットワークにおける認証方法及びシステム
KR100463751B1 (ko) 무선통신을 위한 패킷데이터 생성 방법과, 이를 이용한무선통신 방법 및 그 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110531

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee