KR20050088645A - 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득방법 - Google Patents

터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득방법 Download PDF

Info

Publication number
KR20050088645A
KR20050088645A KR1020040014041A KR20040014041A KR20050088645A KR 20050088645 A KR20050088645 A KR 20050088645A KR 1020040014041 A KR1020040014041 A KR 1020040014041A KR 20040014041 A KR20040014041 A KR 20040014041A KR 20050088645 A KR20050088645 A KR 20050088645A
Authority
KR
South Korea
Prior art keywords
subscriber
authentication
authentication server
access
terminal
Prior art date
Application number
KR1020040014041A
Other languages
English (en)
Other versions
KR101023605B1 (ko
Inventor
조영란
정원영
방정희
박도진
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020040014041A priority Critical patent/KR101023605B1/ko
Publication of KR20050088645A publication Critical patent/KR20050088645A/ko
Application granted granted Critical
Publication of KR101023605B1 publication Critical patent/KR101023605B1/ko

Links

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F24HEATING; RANGES; VENTILATING
    • F24CDOMESTIC STOVES OR RANGES ; DETAILS OF DOMESTIC STOVES OR RANGES, OF GENERAL APPLICATION
    • F24C5/00Stoves or ranges for liquid fuels
    • F24C5/20Stoves or ranges for liquid fuels with special adaptation for travelling, e.g. collapsible

Landscapes

  • Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Mechanical Engineering (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 확장인증프로토콜에 기반한 터널링된 전송계층보안 방식을 도입한 인증 시스템에서 인증시에 단말과 인증서버간의 터널이 종료되는 시점의 접속-수락(Access-Accept) 메시지에 가입자 아이디를 실어 인증클라이언트로 전달함으로써, 상기 인증클라이언트 및 상기 인증서버가 가입자 아이디에 따라 서비스를 처리할 수 있도록 하는, 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있음.
3. 발명의 해결방법의 요지
본 발명은, 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득 방법에 있어서, 인증서버가 인증클라이언트를 통하여 단말과 암호화된 터널을 형성하는 터널 형성 단계; 상기 인증서버가 상기 인증클라이언트를 통하여 단말을 인증하는 인증 단계; 상기 인증서버가 상기 단말을 인증함에 따라 터널이 종료되는 시점의 접속-수락(Access-Accept) 메시지에 가입자 아이디를 실어서 상기 인증클라이언트로 전달하는 가입자 아이디 전달 단계; 및 상기 인증서버가 상기 인증클라이언트로부터 가입자 아이디가 포함된 서비스-요청 메시지를 전달받음에 따라 상기 서비스-요청 메시지에서 가입자 아이디를 확인하여 서비스를 처리하는 서비스 처리 단계를 포함함.
4. 발명의 중요한 용도
본 발명은 터널링된 전송계층보안(TTLS) 방식의 인증 시스템 등에 이용됨.

Description

터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득 방법{Method of obtaining user ID using tunneled transport layer security}
본 발명은 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득 방법에 관한 것으로, 더욱 상세하게는 확장인증프로토콜에 기반한 터널링된 전송계층보안 방식을 도입한 인증 시스템에서 인증시에 단말과 인증서버간의 터널이 종료되는 시점의 접속-수락(Access-Accept) 메시지에 가입자 아이디를 실어 인증클라이언트로 전달함으로써, 상기 인증클라이언트 및 상기 인증서버가 가입자 아이디에 따라 서비스를 처리할 수 있도록 하는, 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
ISM(Industrial, Scientific and Medical) 밴드에 대한 무선통신 서비스가 허가됨에 따라 무선랜을 이용한 무선인터넷 서비스가 가능해졌다.
무선랜 즉, IEEE 802.11에서는 인증 및 보안 방식으로 유선등가보안(WEP : Wired Equivalent Privacy, 이하 'WEP'라 한다.)을 사용하고 있는데, 이러한 WEP은 랜카드를 장착한 무선단말과 액세스포인트(AP)간에 WEP 키(key)라고 하는 공유비밀키를 이용하여 단말 인증 및 무선구간 데이터를 암호화하는 무선랜 보안 방식이다.
무선랜 서비스에서는 액세스포인트(AP)에 접속하는 사용자를 인증하기 위하여 모든 사용자의 인증 정보가 저장된 인증서버를 통한 인증 방식을 사용해야 한다. IEEE 802 랜의 포트별 인증 및 보안을 위한 표준인 IEEE 802.1x는 확장인증프로토콜(EAP : Extensible Authentication Protocol, 이하 'EAP'라 한다.)이라는 인증 프로토콜을 이용하여 모든 사용자 인증 정보가 저장된 라디우스(RADIUS) 인증서버에서 중앙 집중형 사용자 인증을 가능하게 해주므로 무선랜 서비스의 인증 방식에 적합하다고 할 수 있다.
유선 네트워크는 신호가 유선상으로 전달되기 때문에 물리적인 접근제어로 보안을 유지할 수 있지만, 802.11b 기반의 무선 네트워크는 전파영역 내에서 스니핑이 가능하다. 이러한 무선구간에서의 보안 취약성을 보완하기 위해 확장인증프로토콜(EAP)에 기반한 터널링된 전송계층보안(TTLS : Tunneled Transport Layer Security)을 무선랜의 인증 시스템에 도입할 수 있다.
이하의 일예에서는, 무선단말과 액세스포인트(AP) 사이의 무선구간 보안 및 가입자 아이디/비밀번호 보안을 위하여 라디우스(RADIUS) 기반의 EAP-TTLS 인증 방식을 예로 들어 설명하기로 한다.
도 1 은 본 발명이 적용되는 인증 시스템의 일실시예 구성도이다.
도 1 에 도시된 바와 같이, 본 발명이 적용되는 인증 시스템은, IEEE 802.11 무선랜카드를 장착한 무선단말(11), 인증 클라이언트인 액세스포인트(AP)(12) 및 인증서버(13)를 포함한다.
상기 무선단말(11)은 노트북 컴퓨터, 개인용 디지털 단말기(PDA) 등과 같이 무선랜 카드를 장착하여 무선통신을 수행하는 단말기를 말하며, 사용자 인증 방법으로 EAP 인증을 사용할 수 있다.
여기서, EAP 인증은 IEEE 802 랜에서 포트별 인증 및 보안을 위한 표준 규격인 IEEE 802.1x에서 지원하는 인증 프로토콜로서, 사용자 아이디/비밀번호 기반의 순수한 인증 프로토콜과 인증시 링크 암호화에 사용할 수 있는 비밀키를 생성하는 인증 및 키 설정 프로토콜이 있다.
EAP 인증 방식에는 확장인증프로토콜-엠디5(EAP-MD5 : EAP-Message Digest 5), 전송계층보안 확장인증프로토콜(EAP-TLS : EAP-Transport Layer Security, 이하 'EAP-TLS'라 한다.), 터널링된 전송계층보안 확장인증 프로토콜(EAP-TTLS : EAP-Tunneled Transport Layer Security, 이하 'EAP-TTLS'라 한다.) 및 보호된 확장인증프로토콜(PEAP : Protected EAP) 등이 있다.
확장인증프로토콜-엠디5(EAP-MD5)는 인증서버에서 난수 형태의 시도(Challenge)를 전달하면 인증클라이언트에서는 사용자 비밀번호와 MD5 해쉬 함수를 이용하여 응답(Response)을 상기 인증서버로 전달한다. 상기 인증서버는 자신이 만든 시도(Challenge)와 저장된 사용자 비밀번호를 이용하여 응답(Response)을 만들어 상기 인증클라이언트가 전송한 응답(Response)과 비교한 후에, 두 값이 일치하면 인증 성공 메시지를 전달하고 일치하지 않으면 인증 실패 메시지를 전달한다.
그러나, 확장인증프로토콜-엠디5(EAP-MD5)는 동적 WEP 키 지원이 불가능하며, 단방향 인증이기 때문에 보안성이 떨어진다. 즉, 핫스팟 지역내에서 출력 전력을 높인 불법 액세스포인트가 존재하게 되면 각 무선단말은 불법 액세스포인트로 가입자 아이디 및 비밀번호 등의 정보를 전달하게 된다. 따라서, 무선환경에서는 인증서버가 사용자를 인증하는것 뿐만 아니라 각 사용자들도 해당 인증서버를 인증하는 양방향 인증이 필요하게 되었다.
EAP-TLS는 전송보안계층(TLS : Transport Layer Security) 프로토콜을 EAP 상에서 구현한 알고리즘으로 공개키 기반의 인증서를 이용하여 선택적으로 양방향 인증을 수행한다. 즉, 서버는 단말의 인증서를 통해 사용자를 인증하고 단말도 서버의 인증서를 통해 서버를 인증하는 방식이다. 전송계층보안 확장인증프로토콜(EAP-TLS)은 보안성이 높고 사용하기 쉬우며 동적 WEP 키의 구현이 가능하다. 그러나, 관리 및 초기설치가 어렵고 계산량이 많으며 인증서 관리 시스템이 필요하다.
EAP-TTLS나 보호된 확장인증프로토콜(PEAP)과 같은 형태의 프로토콜들을 일반적으로 터널 인증 알고리즘이라고 부르는데, 이러한 인증 알고리즘의 경우 두단계로 인증이 나뉘어진다. 첫번째는 서버 인증을 포함한 터널 생성 단계이고, 두번째는 터널 내부에서 사용자 인증을 진행하는 단계이다.
EAP-TTLS도 EAP-TLS와 같이 양방향 인증을 수행한다. 사용자는 인증서버를 인증하고, 인증서버는 사용자를 확장인증프로토콜-엠디5(EAP-MD5)와 같이 가입자 아이디/비밀번호로 인증하므로 관리가 편하다는 장점을 가진다. EAP-TTLS는 동적 WEP 키의 구현이 가능하며, 터널 내부의 트래픽은 이미 암호화되어 있어 스니핑이나 재반복 공격 등을 방어하고 있기 때문에 보안성이 매우 높다.
보호된 확장인증프로토콜(PEAP : Protected EAP)은 마이크로소프트(Microsoft), 시스코(Cisco), 알에스에이 시큐리티(RSA Security)에 의해 제안된 프로토콜이며, EAP-TTLS와 같은 터널링 인증 알고리즘으로, 보안성이 높고 관리가 용이하며 동적 WEP 키를 지원하지만, 구현이 어렵고 계산양이 많으며 정식 표준이 아니어서 지원되는 플랫폼이 제한적이다.
상기 액세스포인트(AP)(12)는 인증 성공시 상기 무선단말(11)에 대하여 세션을 설정한다.
상기 인증서버(13)는 무선랜 서비스 제공자가 운용하는 인증서버이며, 모든 가입자의 인증정보를 저장하고 있다.
도 2 는 종래의 터널링된 전송계층보안 방식을 이용한 과금 처리 방법에 대한 일실시예 흐름도로서, 무선단말(11), 액세스포인트(AP)(12), 인증서버(13)간의 가입자 아이디/비밀번호 및 무선구간 데이터 보안을 위한 라디우스 기반의 EAP-TTLS 인증 및 과금을 위한 메시지 흐름을 나타낸다.
메시지의 흐름은 크게 802.11 허가 및 제휴(802.11 Auth & Association) 부분(21), 802.1x 인증(802.1x Authentication) 부분(22) 및 과금(Accounting) 부분(23)으로 나뉠 수 있다.
802.11 허가 및 제휴(802.11 Auth & Association) 부분(21)은 무선단말(11)과 액세스포인트(AP)(12)간의 무선구간 링크가 형성되는 과정이다.
상기 무선단말(11)이 상기 액세스포인트(AP)(12)로 망접속을 요청하기 위한 허가-요청(802.11 Auth-req) 메시지를 전달하면(201), 상기 액세스포인트(AP)(12)와의 메시지 교환(202 내지 204)을 통해 상기 무선단말(11)과 상기 액세스포인트(12)간의 무선구간 링크가 형성된다.
802.1x 인증(802.1x Authentication) 부분(22)은 무선단말(11)과 액세스포인트(AP)(12)간의 무선구간 링크가 형성된 후에, 무선단말(11)의 인터넷 접속을 위한 인증 부분이다.
우선, 상기 무선단말(11)이 EAP-시작(EAPOL(EAP over LAN)-Start) 메시지를 액세스포인트(12)로 전달하면(205), 상기 액세스포인트(12)는 무선랜을 통해 전송되는 패킷들의 각 헤더에 덧붙여지는 고유 식별자인 서비스 셋 아이덴티파이어(SSID : Service Set Identifier)를 요청하기 위한 EAP-요청/아이덴티티(SSID) 메시지를 상기 무선단말(11)로 전달한다(206).
그러면, 상기 무선단말(11)은 EAP-응답/아이덴티티(MyID) 메시지를 상기 액세스포인트(12)로 전달한다(207). 여기서, 상기 과정은 가입자 아이디를 인증하기 위한 절차가 아니므로 "EAP-응답/아이덴티티(MyID)"에는 가입자 아이디의 보안을 위해 실제 가입자의 아이디 대신에 익명 아이디(Anonymous ID)를 싣는다.
여기서부터 상기 액세스포인트(AP)(12)는 접속-요청(Access-Request) 메시지의 확장된 속성(Attribute)에 상기 무선단말(11)로부터 전달받은 EAP 메시지를 실어서 인증서버(13)로 전달한다(메시지 변환(Passthrough))(208).
상기 인증서버(13)는 상기 접속-요청(Access-Request) 메시지가 EAP 터널링된 전송계층보안 방식의 인증 요청임을 확인하고, EAP-TTLS 시작 요청을 위한 접속-요구(Access-Challenge) 메시지를 상기 액세스포인트(AP)(12)를 통하여 상기 무선단말(11)로 전달한다(209).
EAP-응답/TTLS(EAP-Response/TTLS) 메시지(210), 접속-요청(Access-Request) 메시지(211) 및 접속-요구(Access-Challenge) 메시지(212)는 상기 무선단말(11)과 상기 인증서버(13)간의 터널 형성 및 상기 무선단말(11)이 인증서버(13)를 인증하는 과정이다.
EAP-응답/TTLS(EAP-Response/TTLS) 메시지(213), 접속-요청(Access-Request) 메시지(214) 및 접속-요구(Access-Challenge) 메시지(215)는 상기 액세스포인트(AP)(12)에 동적 WEP 키를 생성하기 위한 과정이다.
상기 메시지 교환(205 내지 215)이 정상적으로 수행된 후에는 상기 무선단말(11)과 상기 인증서버(13)간에 터널이 형성되므로, 암호화된 터널내에 있는 상기 액세스포인트(AP)(12)는 상기 무선단말(11)이 암호화한 정보를 알 수 없다.
이후, 상기 무선단말(11)이 EAP-응답/TTLS(EAP-Response/TTLS[EAP-Response/Identity]) 메시지의 아이덴티티(Identity)에 가입자 아이디를 실어서 상기 액세스포인트(12)로 전달하면(216), 상기 액세스포인트(12)는 접속-요청(Access-Request) 메시지를 생성하여 상기 인증서버(13)로 전달한다(217).
그러면, 상기 인증서버(13)는 상기 접속-요청(Access-Request) 메시지로부터 전달받은 가입자 아이디를 복호화하여 가입자 아이디를 인증하고, 비밀번호를 요청하기 위한 접속-요구(Access-Challenge) 메시지를 상기 액세스포인트(12)를 통하여 상기 무선단말(11)로 전달한다(218). 그러면, 상기 무선단말(11)은 EAP-응답/TTLS(EAP-Response/TTLS[EAP-Response/MD5-Challenge]) 메시지를 상기 액세스포인트(12)로 전달한다(219). 그러면, 상기 액세스포인트(12)는 인증서버(13)로부터 전달받은 해쉬값으로 가입자의 비밀번호를 해쉬하여 그 결과를 접속-요청(Access-Request) 메시지에 실어서 인증서버(13)로 전달한다(220).
그러면, 상기 인증서버(13)는 상기 접속-요청(Access-Request) 메시지로부터 전달받은 해쉬 결과와 자신이 가지고 있는 비밀번호로 해쉬한 값이 일치함에 따라 인증성공 메시지인 접속-수락(Access-Accept) 메시지를 액세스포인트(AP)(12)로 전달하고(221), 상기 액세스포인트(12)는 상기 무선단말(11)로 EAP-성공(EAP-Success) 메시지를 전달한다(222).
EAP-TTLS 방식에서는 상기 접속-수락(Access-Accept) 메시지를 무선단말(11)로 전달하는 시점에서 무선단말(11)과 인증서버(13)간의 암호화된 터널이 종료된다.
과금(Accounting) 부분(23)은 살펴보면, 우선 액세스포인트(12)가 과금-요청(시작)(Accounting-Request(Start)) 메시지를 인증서버(13)로 전달하면(223), 상기 인증서버(13)는 그에 따른 과금-응답(Accounting-Response) 메시지를 상기 액세스포인트(12)로 전달함으로써(224), 무선단말(11)의 세션이 시작된다(225).
이후, 상기 무선단말(11)로부터의 세션 종료 요청에 따라 상기 액세스포인트(12)가 과금-요청(종료)(Accounting-Request(Stop)) 메시지를 상기 인증서버(13)로 전달하면(226), 상기 인증서버(13)는 그에 따른 과금-응답(Accounting-Response) 메시지를 상기 액세스포인트(12)로 전달함으로써(227), 상기 무선단말(11)의 세션이 종료된다(228).
즉, EAP-TTLS 방식을 도입한 인증 시스템에서 인증시에 무선단말(11)과 인증서버(13)간의 암호화된 터널이 형성되며, 액세스포인트(인증클라이언트)(12)는 상기 무선단말(11)에서 암호화된 가입자 정보를 전달받아, 상기 암호화된 가입자 정보로 접속-요청(Access-Request) 메시지를 생성하여 상기 인증서버(13)로 전달한다.
암호화된 터널이 형성된 단계에서, 인증서버(TTLS 서버)(13)는 무선단말(11)로부터 암호화되어 전달받은 가입자 정보를 복호화하여 가입자의 실제 아이디를 알 수 있다. 즉, 액세스포인트(12)가 가입자의 실제 아이디를 구별할 수 없더라도 인증서버(13)가 복호화하여 알 수 있기 때문에 가입자별 아이디 인증에는 문제가 발생하지 않는다.
그러나, 터널이 종료되는 시점인 접속-수락(Access-Accept) 메시지부터는 인증서버(13)도 암호화된 가입자 정보를 복호화할 수 없기 때문에, 이후에 액세스포인트(12)가 생성하여 인증서버(13)로 전달하는 과금(Accounting) 메시지에 담겨있는 암호화된 아이디 또는 익명 아이디(Anonymous ID)를 인증서버(13)가 복호화할 수 없다.
즉, 상기와 같은 종래 방법은, 무선구간 데이터 보안 및 가입자 인터넷 접속시 사용되는 가입자 아이디와 비밀번호를 보호하기 위한 방법으로 EAP에 기반한 TTLS 방식을 도입한 인증 시스템에서 인증시에 형성되는 TLS 암호화 터널로 인하여 액세스포인트가 과금 처리를 위한 가입자를 구별할 수 없고, 인증서버가 가입자의 실제 아이디를 복호화할 수 없기 때문에 가입자별 세션관리, 종량제 과금, 통계 등을 처리할 수 없는 문제점이 있다.
본 발명은 상기한 바와 같은 문제점을 해결하기 위하여 제안된 것으로, 확장인증프로토콜에 기반한 터널링된 전송계층보안 방식을 도입한 인증 시스템에서 인증시에 단말과 인증서버간의 터널이 종료되는 시점의 접속-수락(Access-Accept) 메시지에 가입자 아이디를 실어 인증클라이언트로 전달함으로써, 상기 인증클라이언트 및 상기 인증서버가 가입자 아이디에 따라 서비스를 처리할 수 있도록 하는, 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
상기 목적을 달성하기 위한 본 발명의 방법은, 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득 방법에 있어서, 인증서버가 인증클라이언트를 통하여 단말과 암호화된 터널을 형성하는 터널 형성 단계; 상기 인증서버가 상기 인증클라이언트를 통하여 단말을 인증하는 인증 단계; 상기 인증서버가 상기 단말을 인증함에 따라 터널이 종료되는 시점의 접속-수락(Access-Accept) 메시지에 가입자 아이디를 실어서 상기 인증클라이언트로 전달하는 가입자 아이디 전달 단계; 및 상기 인증서버가 상기 인증클라이언트로부터 가입자 아이디가 포함된 서비스-요청 메시지를 전달받음에 따라 상기 서비스-요청 메시지에서 가입자 아이디를 확인하여 서비스를 처리하는 서비스 처리 단계를 포함한다.
한편, 본 발명은, 가입자 아이디를 획득하기 위하여, 프로세서를 구비한 인증서버에, 상기 인증서버가 인증클라이언트를 통하여 단말과 암호화된 터널을 형성하는 터널 형성 기능; 상기 인증서버가 상기 인증클라이언트를 통하여 단말을 인증하는 인증 기능; 상기 인증서버가 상기 단말을 인증함에 따라 터널이 종료되는 시점의 접속-수락(Access-Accept) 메시지에 가입자 아이디를 실어서 상기 인증클라이언트로 전달하는 가입자 아이디 전달 기능; 및 상기 인증서버가 상기 인증클라이언트로부터 가입자 아이디가 포함된 서비스-요청 메시지를 전달받음에 따라 상기 서비스-요청 메시지에서 가입자 아이디를 확인하여 서비스를 처리하는 서비스 처리 기능을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
한편, 본 발명의 다른 방법은, 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득 방법에 있어서, 인증클라이언트가 인증서버로부터 터널이 종료되는 시점의 접속-수락(Access-Accept) 메시지를 전달받아 가입자 아이디 및 고유 식별자를 확인하는 가입자 아이디 확인 단계; 및 상기 인증클라이언트가 단말의 맥아이디와 상기 인증서버로부터 전달받은 상기 접속-수락 메시지에서 확인한 고유 식별자에 따라 그에 상응하는 가입자 아이디를 서비스-요청 메시지에 실어서 상기 인증서버로 전달하는 가입자 아이디 전송 단계를 포함한다.
한편, 본 발명은, 가입자 아이디를 획득하기 위하여, 프로세서를 구비한 인증클라이언트에, 상기 인증클라이언트가 인증서버로부터 터널이 종료되는 시점의 접속-수락(Access-Accept) 메시지를 전달받아 가입자 아이디 및 고유 식별자를 확인하는 가입자 아이디 확인 기능; 및 상기 인증클라이언트가 단말의 맥아이디와 상기 인증서버로부터 전달받은 상기 접속-수락 메시지에서 확인한 고유 식별자에 따라 그에 상응하는 가입자 아이디를 서비스-요청 메시지에 실어서 상기 인증서버로 전달하는 가입자 아이디 전송 기능 을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
도 3 은 본 발명에 따른 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득 방법에 대한 일실시예 흐름도이다.
무선단말(11)과 액세스포인트(12)간의 무선구간 링크 형성 과정인 802.11 허가 및 제휴(802.11 Auth & Association) 부분은 도 2 에서 설명한 바와 동일하므로 생략하기로 한다(도면에 표시되지 않음).
먼저, 상기 무선단말(11)이 EAP-시작(EAPOL(EAP over LAN)-Start) 메시지를 액세스포인트(12)로 전달하면(301), 상기 액세스포인트(12)는 무선랜을 통해 전송되는 패킷들의 각 헤더에 덧붙여지는 고유 식별자인 서비스 셋 아이덴티파이어(SSID : Service Set Identifier)를 요청하기 위한 EAP-요청/아이덴티티(SSID) 메시지를 상기 무선단말(11)로 전달한다(302).
이후, 상기 무선단말(11)은 EAP-응답/아이덴티티(MyID) 메시지를 상기 액세스포인트(12)로 전달한다(303). 여기서, 상기 과정은 가입자 아이디를 인증하기 위한 절차가 아니므로 "EAP-응답/아이덴티티(MyID)"에는 가입자 아이디의 보안을 위해 실제 가입자의 아이디 대신에 익명 아이디(Anonymous ID)를 싣는다.
여기서부터 상기 액세스포인트(AP)(12)는 접속-요청(Access-Request) 메시지의 확장된 속성(Attribute)에 상기 무선단말(11)로부터 전달받은 EAP 메시지를 실어서 인증서버(13)로 전달한다(메시지 변환(Passthrough))(304).
상기 인증서버(13)는 상기 접속-요청(Access-Request) 메시지가 EAP 터널링된 전송계층보안 방식의 인증 요청임을 확인하고, EAP-TTLS 시작 요청을 위한 접속-요구(Access-Challenge) 메시지를 상기 액세스포인트(AP)(12)를 통하여 상기 무선단말(11)로 전달한다(305).
EAP-응답/TTLS(EAP-Response/TTLS) 메시지(306), 접속-요청(Access-Request) 메시지(307) 및 접속-요구(Access-Challenge) 메시지(308)는 상기 무선단말(11)과 상기 인증서버(13)간의 터널 형성 및 상기 무선단말(11)이 인증서버(13)를 인증하는 과정이다.
EAP-응답/TTLS(EAP-Response/TTLS) 메시지(309), 접속-요청(Access-Request) 메시지(310) 및 접속-요구(Access-Challenge) 메시지(311)는 상기 액세스포인트(AP)(12)에 동적 WEP 키를 생성하기 위한 과정이다.
상기 메시지 교환(301 내지 311)이 정상적으로 수행된 후에는 상기 무선단말(11)과 상기 인증서버(13)간에 터널이 형성되므로, 암호화된 터널내에 있는 상기 액세스포인트(AP)(12)는 상기 무선단말(11)이 암호화한 정보를 알 수 없다.
이후, 상기 무선단말(11)이 EAP-응답/TTLS(EAP-Response/TTLS[EAP-Response/Identity]) 메시지의 아이덴티티(Identity)에 가입자 아이디를 실어서 상기 액세스포인트(12)로 전달하면(312), 상기 액세스포인트(12)는 접속-요청(Access-Request) 메시지를 생성하여 상기 인증서버(13)로 전달한다(313).
그러면, 상기 인증서버(13)는 상기 접속-요청(Access-Request) 메시지로부터 전달받은 가입자 아이디를 복호화하여 가입자 아이디를 인증하고, 비밀번호를 요청하기 위한 접속-요구(Access-Challenge) 메시지를 상기 액세스포인트(12)를 통하여 상기 무선단말(11)로 전달한다(314). 그러면, 상기 무선단말(11)은 EAP-응답/TTLS(EAP-Response/TTLS[EAP-Response/MD5-Challenge]) 메시지를 상기 액세스포인트(12)로 전달한다(315). 그러면, 상기 액세스포인트(12)는 인증서버(13)로부터 전달받은 해쉬값으로 가입자의 비밀번호를 해쉬하여 그 결과를 접속-요청(Access-Request) 메시지에 실어서 인증서버(13)로 전달한다(316).
이후, 상기 무선단말(11)과 상기 인증서버(13)사이의 암호화된 터널이 종료되면, 상기 인증서버(13)는 상기 접속-요청(Access-Request)로부터 전달받은 해쉬 결과와 자신이 가지고 있는 비밀번호로 해쉬한 값이 일치함에 따라 접속-수락(Access-Accept) 메시지의 속성값-페어(AV-pair)의 사용자-이름(User-Name) 필드에 가입자 아이디를 실어서 액세스포인트(AP)(12)로 전달한다(317). 그러면, 인증성공(EAP-Success)(318) 후에 상기 액세스포인트(AP)(12)는 상기 인증서버(13)로부터 전달받은 가입자 아이디를 과금-요청(시작/종료)(Accounting-Request(Start, Stop)) 메시지에 실어서 다시 상기 인증서버(13)로 전달할 수 있다.
즉, 액세스포인트(12)가 과금-요청(시작)(Accounting-Request(Start)) 메시지에 가입자 아이디를 실어서 인증서버(13)로 전달하면(319), 상기 인증서버(13)는 그에 따른 과금-응답(Accounting-Response) 메시지를 상기 액세스포인트(12)로 전달함으로써(320), 무선단말(11)의 세션이 시작된다(321).
이후, 상기 무선단말(11)로부터의 세션 종료 요청에 따라 상기 액세스포인트(12)가 과금-요청(종료)(Accounting-Request(Stop)) 메시지에 가입자 아이디를 실어서 상기 인증서버(13)로 전달하면(322), 상기 인증서버(13)는 그에 따른 과금-응답(Accounting-Response) 메시지를 상기 액세스포인트(12)로 전달함으로써(323), 상기 무선단말(11)의 세션이 종료된다(324).
도 4 는 본 발명에 따른 액세스포인트가 인증서버로부터 전달받은 접속-수락 메시지의 가입자 아이디를 처리하는 과정에 대한 일실시예 흐름도이다.
먼저, 액세스포인트(12)가 인증서버(13)로부터 접속-수락(Access-Accept) 메시지를 전달받음에 따라, 상기 접속-수락(Access-Accept) 메시지의 가입자 아이디(User-Name) 및 고유 식별자(Identifier) 값을 확인한다(401).
이후, 상기 액세스포인트(12)가 현재 접속하고 있는 무선단말의 맥아이디(MACID) 값 및 상기 접속-수락(Access-Accept) 메시지로부터 확인한 고유 식별자(Identifier) 값으로 가입자를 구별하여 해당 가입자 아이디를 과금-요청(Accounting-Request) 메시지의 사용자-이름(User-Name) 필드에 실어서 인증서버(13)로 전달한다(402).
여기서, 상기 고유 식별자(Identifier)는 인증클라이언트(액세스포인트)가 생성하여 요청(Request) 메시지에 실어서 인증서버로 전달하면, 상기 인증서버는 응답(Response) 메시지 생성시에 상기 인증클라이언트(액세스포인트)로부터 전달받은 고유 식별자(Identifier)와 동일한 값을 상기 응답 메시지에 실어서 인증클라이언트로 전달한다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.
상기와 같은 본 발명은, 확장인증프로토콜에 기반한 터널링된 전송계층보안 방식을 도입한 인증 시스템에서 인증시에 단말과 인증서버간의 터널이 종료되는 시점의 접속-수락(Access-Accept) 메시지에 가입자 아이디를 실어 인증클라이언트로 전달함으로써, 상기 인증클라이언트 및 상기 인증서버가 가입자 아이디에 따라 서비스를 처리할 수 있는 효과가 있다.
도 1 은 본 발명이 적용되는 인증 시스템의 일실시예 구성도.
도 2 는 종래의 터널링된 전송계층보안 방식을 이용한 과금 처리 방법에 대한 일실시예 흐름도.
도 3 은 본 발명에 따른 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득 방법에 대한 일실시예 흐름도.
도 4 는 본 발명에 따른 액세스포인트가 인증서버로부터 전달받은 접속-수락 메시지의 가입자 아이디를 처리하는 과정에 대한 일실시예 흐름도.
* 도면의 주요 부분에 대한 부호의 설명
11 : 무선단말 12 : 액세스포인트(AP)
13 : 인증서버

Claims (4)

  1. 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득 방법에 있어서,
    인증서버가 인증클라이언트를 통하여 단말과 암호화된 터널을 형성하는 터널 형성 단계;
    상기 인증서버가 상기 인증클라이언트를 통하여 단말을 인증하는 인증 단계;
    상기 인증서버가 상기 단말을 인증함에 따라 터널이 종료되는 시점의 접속-수락(Access-Accept) 메시지에 가입자 아이디를 실어서 상기 인증클라이언트로 전달하는 가입자 아이디 전달 단계; 및
    상기 인증서버가 상기 인증클라이언트로부터 가입자 아이디가 포함된 서비스-요청 메시지를 전달받음에 따라 상기 서비스-요청 메시지에서 가입자 아이디를 확인하여 서비스를 처리하는 서비스 처리 단계
    를 포함하는 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득 방법.
  2. 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득 방법에 있어서,
    인증클라이언트가 인증서버로부터 터널이 종료되는 시점의 접속-수락(Access-Accept) 메시지를 전달받아 가입자 아이디 및 고유 식별자를 확인하는 가입자 아이디 확인 단계; 및
    상기 인증클라이언트가 단말의 맥아이디와 상기 인증서버로부터 전달받은 상기 접속-수락 메시지에서 확인한 고유 식별자에 따라 그에 상응하는 가입자 아이디를 서비스-요청 메시지에 실어서 상기 인증서버로 전달하는 가입자 아이디 전송 단계
    를 포함하는 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득 방법.
  3. 가입자 아이디를 획득하기 위하여, 프로세서를 구비한 인증서버에,
    상기 인증서버가 인증클라이언트를 통하여 단말과 암호화된 터널을 형성하는 터널 형성 기능;
    상기 인증서버가 상기 인증클라이언트를 통하여 단말을 인증하는 인증 기능;
    상기 인증서버가 상기 단말을 인증함에 따라 터널이 종료되는 시점의 접속-수락(Access-Accept) 메시지에 가입자 아이디를 실어서 상기 인증클라이언트로 전달하는 가입자 아이디 전달 기능; 및
    상기 인증서버가 상기 인증클라이언트로부터 가입자 아이디가 포함된 서비스-요청 메시지를 전달받음에 따라 상기 서비스-요청 메시지에서 가입자 아이디를 확인하여 서비스를 처리하는 서비스 처리 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  4. 가입자 아이디를 획득하기 위하여, 프로세서를 구비한 인증클라이언트에,
    상기 인증클라이언트가 인증서버로부터 터널이 종료되는 시점의 접속-수락(Access-Accept) 메시지를 전달받아 가입자 아이디 및 고유 식별자를 확인하는 가입자 아이디 확인 기능; 및
    상기 인증클라이언트가 단말의 맥아이디와 상기 인증서버로부터 전달받은 상기 접속-수락 메시지에서 확인한 고유 식별자에 따라 그에 상응하는 가입자 아이디를 서비스-요청 메시지에 실어서 상기 인증서버로 전달하는 가입자 아이디 전송 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020040014041A 2004-03-02 2004-03-02 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득방법 KR101023605B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040014041A KR101023605B1 (ko) 2004-03-02 2004-03-02 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040014041A KR101023605B1 (ko) 2004-03-02 2004-03-02 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득방법

Publications (2)

Publication Number Publication Date
KR20050088645A true KR20050088645A (ko) 2005-09-07
KR101023605B1 KR101023605B1 (ko) 2011-03-21

Family

ID=37271278

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040014041A KR101023605B1 (ko) 2004-03-02 2004-03-02 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득방법

Country Status (1)

Country Link
KR (1) KR101023605B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009096738A3 (ko) * 2008-01-31 2009-10-22 삼성전자 주식회사 홈 네트워크에서의 통신 보안성을 보장하는 방법 및 이를 위한 장치
KR101286098B1 (ko) * 2007-01-24 2013-07-23 에스케이텔레콤 주식회사 이동통신 시스템에서의 가입자 인증 방법 및 장치
KR20220121320A (ko) * 2021-02-25 2022-09-01 유동호 사용자 및 디바이스 통합 인증 시스템 및 그 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6999435B2 (en) 2001-03-29 2006-02-14 Telefonaktiebolaget Lm Ericsson (Publ) Method, system and node for providing enhanced mobility in simple IP telecommunication networks when performing L2TP tunneling
KR100471615B1 (ko) * 2001-11-07 2005-03-08 유티스타콤코리아 유한회사 Radius 서버를 이용한 인터넷 서비스 프로바이더가입자의 아이피 주소 관리 시스템 및 그 방법
KR100732586B1 (ko) * 2001-11-15 2007-06-27 엘지노텔 주식회사 이동통신 패킷 데이터 망에서 라디우스 서버의 과금 세션정보 식별 방법
KR100782773B1 (ko) * 2001-12-19 2007-12-05 엘지전자 주식회사 이동 통신 패킷망의 단말기 인증 및 과금 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101286098B1 (ko) * 2007-01-24 2013-07-23 에스케이텔레콤 주식회사 이동통신 시스템에서의 가입자 인증 방법 및 장치
WO2009096738A3 (ko) * 2008-01-31 2009-10-22 삼성전자 주식회사 홈 네트워크에서의 통신 보안성을 보장하는 방법 및 이를 위한 장치
US8464055B2 (en) 2008-01-31 2013-06-11 Samsung Electronics Co., Ltd. Method and apparatus of ensuring security of communication in home network
KR20220121320A (ko) * 2021-02-25 2022-09-01 유동호 사용자 및 디바이스 통합 인증 시스템 및 그 방법

Also Published As

Publication number Publication date
KR101023605B1 (ko) 2011-03-21

Similar Documents

Publication Publication Date Title
Aboba et al. Extensible authentication protocol (EAP) key management framework
US9015473B2 (en) Method and system for automated and secure provisioning of service access credentials for on-line services to users of mobile communication terminals
CA2490131C (en) Key generation in a communication system
US7171555B1 (en) Method and apparatus for communicating credential information within a network device authentication conversation
US8621201B2 (en) Short authentication procedure in wireless data communications networks
US7546459B2 (en) GSM-like and UMTS-like authentication in a CDMA2000 network environment
JP3863852B2 (ja) 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体
US8094821B2 (en) Key generation in a communication system
US20050135624A1 (en) System and method for pre-authentication across wireless local area networks (WLANS)
KR20070003484A (ko) 광대역 무선 접속 통신 시스템에서 이중 확장 가능 인증프로토콜 방식을 사용하는 인증 시스템 및 방법
WO2005120156A2 (en) Method and system for aka sequence number for replay protection in eap-aka authentication
Yang et al. 3G and WLAN interworking security: Current status and key issues
KR101023605B1 (ko) 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득방법
Asokan et al. Man-in-the-middle in tunnelled authentication
Ntantogian et al. An enhanced EAP-SIM authentication scheme for securing WLAN
KR100924315B1 (ko) 보안성이 강화된 무선랜 인증 시스템 및 그 방법
Latze Towards a secure and user friendly authentication method for public wireless networks
Pagliusi et al. Heterogeneous Internet access via PANA/UMTS
Levkowetz Extensible Authentication Protocol (EAP) Key Management Framework By submitting this Internet-Draft, each author represents that any applicable patent or other IPR claims of which he or she is aware have been or will be disclosed, and any of which he or she becomes aware will be disclosed, in accordance with Section 6 of BCP 79.
Ntantogian et al. Security Architectures for B3G Mobile Networks
Falk Snabb och säker roaming i WLAN
Networking Project IEEE 802.16 Broadband Wireless Access Working Group< http://ieee802. org/16> Title Enhancement of 802.16 e to Support EAP-based Authentication/Key Distribution Rev. 4
Networking Project IEEE 802.16 Broadband Wireless Access Working Group< http://ieee802. org/16> Title Enhancement of 802.16 e to Support EAP-based Authentication/Key Distribution Rev. 3

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140304

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150304

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160304

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170322

Year of fee payment: 7