KR20060057435A - System and method for authentication in network - Google Patents

System and method for authentication in network Download PDF

Info

Publication number
KR20060057435A
KR20060057435A KR1020040096584A KR20040096584A KR20060057435A KR 20060057435 A KR20060057435 A KR 20060057435A KR 1020040096584 A KR1020040096584 A KR 1020040096584A KR 20040096584 A KR20040096584 A KR 20040096584A KR 20060057435 A KR20060057435 A KR 20060057435A
Authority
KR
South Korea
Prior art keywords
terminal
authentication
mac address
access point
network
Prior art date
Application number
KR1020040096584A
Other languages
Korean (ko)
Other versions
KR100656519B1 (en
Inventor
강신일
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020040096584A priority Critical patent/KR100656519B1/en
Publication of KR20060057435A publication Critical patent/KR20060057435A/en
Application granted granted Critical
Publication of KR100656519B1 publication Critical patent/KR100656519B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명의 일 측면에 따른 네트워크 인증 방법은, 액세스 포인트로 접속을 시도하는 단말의 MAC 주소 값을 수신한 액세스 포인트가 상기 단말의 MAC 주소가 상기 네트워크로의 접속이 허락된 MAC 주소인지 검색하는 MAC(Media Access Control) 주소 필터링 단계와 상기 단계에서 단말이 상기 네트워크로의 접속이 허락된 MAC 주소를 가지는 것으로 판단되어 액세스 포인트로의 접속이 승인된 경우, 인증 서버로 하여금 상기 액세스 포인트를 통하여 접속하는 단말의 인증 정보를 확인하도록 하는 인증 정보 확인 단계를 포함한다. In a network authentication method according to an aspect of the present invention, a MAC for retrieving whether the MAC address of the terminal is a MAC address permitted to access the network is received by the access point receiving the MAC address value of the terminal attempting to access the access point. (Media Access Control) address filtering step and when the terminal is determined to have a MAC address allowed to access the network in the step, and the connection to the access point is approved, the authentication server connects through the access point. The authentication information confirmation step of confirming the authentication information of the terminal.

Description

네트워크의 인증 시스템 및 방법{System and Method for Authentication in Network} System and Method for Authentication in Network             

도 1은 본 발명이 적용되는 전체 네트워크의 구성을 나타낸 도면. 1 is a diagram showing the configuration of an entire network to which the present invention is applied.

도 2는 비인가 단말이 접속을 시도하는 경우의 본 발명에 따른 처리 흐름을 나타낸 도면.2 is a diagram illustrating a processing flow according to the present invention when an unauthorized terminal attempts to connect.

도 3은 인증 단말이 접속을 시도하는 경우의 본 발명에 따른 처리 흐름을 나타낸 도면.3 is a diagram illustrating a processing flow according to the present invention when an authentication terminal attempts to connect.

도 4는 불법 복제 단말이 접속하는 경우의 본 발명에 따른 처리 흐름을 나타낸 도면.4 is a diagram illustrating a processing flow according to the present invention when the illegal copy terminal is connected.

도 5는 본 발명에 따른 액세스 포인트의 블록 구성을 나타낸 도면. 5 is a block diagram of an access point according to the present invention;

도 6은 본 발명에 따른 인증 확인 방법의 바람직한 일 실시예를 나타낸 도면.6 is a view showing a preferred embodiment of the authentication confirmation method according to the present invention.

*도면의 주요 부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *

10-1 : 비인가 단말 10-2 : 인가 단말10-1: unauthorized terminal 10-2: authorized terminal

10-3 : 복제된 단말 20 : 액세스 포인트(AP)10-3: duplicated terminal 20: access point (AP)

201 : 프로세서 202 : RF 처리부201: processor 202: RF processing unit

203 : PHY 처리부 204 : MAC 처리부203: PHY processing unit 204: MAC processing unit

205 : RAM 206 : MAC 주소 저장부205: RAM 206: MAC address storage

30 : 인증 서버 30: authentication server

본 발명은 네트워크의 인증 시스템 및 그 방법에 관한 것으로, 보다 구체적으로는 단말의 MAC 주소와 CM 프로그램의 암호 키를 이용해 액세스 포인트와 단말 사이의 무선 구간에서 발생할 수 있는 침해 위험성을 사전에 차단할 수 있는 한층 강화된 인증을 구현하도록 하는 네트워크의 인증 시스템 및 그 방법에 관한 것이다.The present invention relates to a network authentication system and a method thereof, and more specifically, to prevent the risk of infringement that may occur in the wireless section between the access point and the terminal by using the MAC address of the terminal and the encryption key of the CM program. The present invention relates to an authentication system and a method of a network for implementing enhanced authentication.

현재의 무선 랜 서비스를 이용하려면 모바일 사용자(Mobile User)는 단순히 ISP(Internet Service Provider) 업체에 가입을 한 후 ISP 업체로부터 부여받은 사용자 정보(ID, Password)를 이용하여 ISP CM(Connection Manager)를 통해서 인증 절차를 거치면 간단하게 유료로 인터넷에 접속할 수 있게 되어 있다. To use the current wireless LAN service, a mobile user simply subscribes to an ISP (Internet Service Provider) company and uses the user information (ID, Password) provided by the ISP company to establish an ISP CM (Connection Manager). If you go through the authentication process, you can simply connect to the Internet for a fee.

이러한 방식으로 인터넷을 이용하려면 우선 기본적으로 무선 랜(Wireless LAN) 망이 구축되어야 하는데, 무선 랜 망은 무선 단말 환경(예를 들어, 무선 랜 카드, 무선 랜 USB, 무선 PCI 카드)을 갖춘 무선 단말(Mobile Station)과 유선 네트워크와 무선 네트워크를 연결하는 액세스 포인트(Access Point : AP)가 하드웨어적으로 구현되어 있어야 하며, 소프트웨어적으로 이 무선 단말에 AP를 통하여 내부 또는 외부의 유선 네트워크에 접속 가능하도록 사용자의 인증을 검토하는 인증시스템(ISP 업체에 따른 절차)이 구성되어야 한다. In order to use the Internet in this manner, a basic wireless LAN network must first be established, which is a wireless terminal having a wireless terminal environment (for example, a wireless LAN card, a wireless LAN USB, or a wireless PCI card). (Access Point: AP) that connects Mobile Station with wired network and wireless network should be implemented in hardware, so that this wireless terminal can be connected to internal or external wired network through AP through software. An authentication system (procedure according to the ISP company) that reviews the user's certification should be established.

무선 랜 상에서의 일반적인 인증 알고리즘은 일종의 포트(Port) 제어로서, 소정의 인증 절차를 통하여 허가받은 단말에게만 서비스를 제어해 주는 방식으로 802.1x 규격을 따른다. A general authentication algorithm on a wireless LAN is a kind of port control, which follows the 802.1x standard in a manner of controlling a service only to an authorized terminal through a predetermined authentication procedure.

IEEE 802.1x는 AP(Access Point)에 대한 접근 제어 가능 여부에 따라서 인증 상태(Controlled)와 비인증 상태로 정의된다. IEEE 802.1x 규격에서는 크게 세 종류의 개체를 정의하고 있다. 첫 번째는 요구자(Supplicant)이며, 두 번째는 인증자(Authenticator), 그리고 세 번째는 인증 서버(Authentication Server)이다. IEEE 802.1x is defined as an authenticated state (Controlled) and a non-authenticated state according to whether access control to an access point (AP) is possible. The IEEE 802.1x standard defines three types of entities. The first is the supplicant, the second is the authenticator, and the third is the authentication server.

요구자는 인증자로부터 인증 요청을 받았을 때 사용자의 식별 정보(User Credential)를 전달하는 개체로서, 단말에 해당한다. 인증자는 요구자에게 인증을 요구하고 전달 받은 사용자 식별 정보를 이용해 인증 서버에게 인증 서비스를 요청하는 개체로서, 액세스 포인트에서 담당한다. 인증자는 또한 해당 사용자의 접속 포트 상태를 관리하여 인증 서버의 인증 결과에 따라 포트를 인증 상태 혹은 비인증 상태로 설정하게 된다. The requestor is an entity that delivers user credentials when receiving an authentication request from an authenticator and corresponds to a terminal. The authenticator is an entity that requests authentication from the requester and requests authentication service from the authentication server by using the received user identification information, and is in charge of the access point. The authenticator also manages the access port status of the user to set the port to the authenticated or unauthenticated state according to the authentication result of the authentication server.

인증 서버는 인증자로부터 사용자에 대한 인증 요청을 입력받아 인증 서비스를 제공하는 개체로서, 사용자의 식별 정보를 미리 가지고 있어야 한다. 인증 서버 는 논리적으로는 인증자와 역할이 분리되어 있지만 물리적으로도 반드시 인증자와 분리될 필요는 없다. The authentication server is an entity that receives an authentication request for a user from an authenticator and provides an authentication service. The authentication server must have identification information of the user in advance. The authentication server is logically separate from the authenticator and the role, but it is not necessarily physically separate from the authenticator.

IEEE 802.1x 규격에서는 요구자, 인증자, 그리고 인증 서버간의 전체적인 인증 메커니즘을 규정하고 있으며, 요구자와 인증자 사이에서는 확장 가능한 인증 프로토콜(Extensible Authentication Protocol, 이하 EAP라 한다.)을 MAC 계층에서 사용하도록 규정하고 있다. The IEEE 802.1x specification defines the overall authentication mechanism between the supplicant, authenticator, and authentication server, and the Extensible Authentication Protocol (EAP) is used between the supplicant and authenticator at the MAC layer. Doing.

일반적인 무선 랜 표준에서의 인증 과정을 살펴보면 다음과 같다. The authentication process in the general wireless LAN standard is as follows.

무선 단말은 사용자의 정보를 액세스 포인트에 전송해 ISP 업체의 인증시스템을 통해 인증 절차를 밟고 유선 네트워크 환경이나 인터넷에 접속할 수 있다. 간단히 액세스 포인트는 이런 사용자의 정보를 인증 시스템의 인증 서버로 전달하며, 인증 확인이 된 무선 단말과 유선 네트워크를 연결하는 기능을 한다. The wireless terminal transmits the user's information to the access point, can be authenticated through the ISP company's authentication system, and can access the wired network environment or the Internet. The access point simply transmits the user's information to the authentication server of the authentication system, and connects the wireless terminal and the wired network which have been verified.

인증시스템의 인증 서버는 이렇게 받은 사용자의 정보를 검토해서 인증 여부를 결정한다. 무선 랜의 주요 인증 방식으로는 MAC(Medium Access Control)을 기본으로 한 인증 방식, 802.11b상의 인증 방식 등 여러 인증 방식이 사용되고 있다. 하지만 무선 랜의 경우는 무선 구간, 즉, 액세스 포인트와 무선 단말 구간에 RF(Radio Frequency)를 이용하므로 허가되지 않은 불법의 사용자의 도청, 감청으로 인해 보안의 취약성이 생기며 이런 보안 취약성 때문에 다양한 방식의 보안 대책 기능을 사용하고 있다. The authentication server of the authentication system reviews the user's information and decides whether to authenticate. As the main authentication method of the wireless LAN, various authentication methods such as an authentication method based on MAC (Medium Access Control) and an authentication method on 802.11b are used. However, in case of wireless LAN, RF (Radio Frequency) is used in wireless section, that is, access point and wireless terminal section, security vulnerability occurs due to eavesdropping and eavesdropping of unauthorized illegal users. Security measures are used.

보안 대책으로는 ESS(Extended Service Set) ID, WEP KEY(Wired Equivalent Privacy KEY), DHCP(Dynamic Host Configuration Protocol) IP 설정과 같은 여러 가지 방법이 사용되고 있다. As security measures, various methods such as Extended Service Set (ESS) ID, Wired Equivalent Privacy KEY (WEP KEY), and Dynamic Host Configuration Protocol (DHCP) IP settings are used.

하지만, 일반적인 인증 절차는 단말 환경을 갖춘 무선 단말이 내부 유선 망이나 외부 백본망에 접속시 항상 사용자의 인증 정보를 입력하고 인증 서버의 인증 확인을 거쳐 인증이 확인된 사용자에게만 인증 허가를 거쳐서 내부 유선 망이나 외부 백본망에 접속하게 되어 있다. However, in general authentication process, when a wireless terminal equipped with a terminal environment accesses an internal wired network or an external backbone network, the user always inputs the user's authentication information and authenticates the authentication server, and then authenticates only the user whose authentication has been verified. It is connected to a network or an external backbone network.

즉, 상술한 바와 같은 무선 랜의 보안 대책 기능에도 불구하고 ESS ID의 노출 위험, WEP KEY의 크래킹(Cracking), 그리고 DHCP IP의 경우에 있어서 자동 IP일 때 비인가의 자동 IP 부여로 인한 문제 등 외부 침해 위협으로부터 보안 취약점을 가지고 있다. That is, despite the security measures of the wireless LAN as described above, the risk of exposing the ESS ID, cracking the WEP KEY, and the problem caused by unauthorized automatic IP assignment in case of automatic IP in the case of DHCP IP, etc. Has security vulnerabilities from compromise threats.

본 발명은 상기의 문제점을 해결하기 위해, 단말 사용자의 ID나 비밀번호를 이용한 인증 방법 외에 단말 자체에 부여된 MAC 주소 또는 단말에 설치된 소프트웨어 프로그램에 설치되는 암호 키 등을 이용하여 단말과 액세스 포인트간의 무선 구간에서 인증 체계를 강화하도록 하는 네트워크 인증 시스템 및 그 방법을 제공함을 그 목적으로 한다.
The present invention, in order to solve the above problems, in addition to the authentication method using the ID or password of the terminal user, wireless communication between the terminal and the access point using a MAC address assigned to the terminal itself or an encryption key installed in a software program installed in the terminal. An object of the present invention is to provide a network authentication system and a method for strengthening an authentication scheme in a section.

본 발명의 일 측면에 따른 네트워크 인증 방법은, 액세스 포인트로 접속을 시도하는 단말의 MAC 주소 값을 수신한 액세스 포인트가 상기 단말의 MAC 주소가 상기 네트워크로의 접속이 허락된 MAC 주소인지 검색하는 MAC(Media Access Control) 주소 필터링 단계와 상기 단계에서 단말이 상기 네트워크로의 접속이 허락된 MAC 주소를 가지는 것으로 판단되어 액세스 포인트로의 접속이 승인된 경우, 인증 서버로 하여금 상기 액세스 포인트를 통하여 접속하는 단말의 인증 정보를 확인하도록 하는 인증 정보 확인 단계를 포함한다. In a network authentication method according to an aspect of the present invention, a MAC for retrieving whether the MAC address of the terminal is a MAC address permitted to access the network is received by the access point receiving the MAC address value of the terminal attempting to access the access point. (Media Access Control) address filtering step and when the terminal is determined to have a MAC address allowed to access the network in the step, and the connection to the access point is approved, the authentication server connects through the access point. The authentication information confirmation step of confirming the authentication information of the terminal.

상기 인증 정보는, 단말의 사용자 정보, 단말의 CM(Connection Manager) 프로그램 암호 키 중 적어도 하나를 포함하며, 상기 단말의 사용자 정보는 단말 사용자에게 부과된 ID 또는 비밀번호 중 적어도 하나를 포함하는 것을 특징으로 한다. The authentication information may include at least one of user information of a terminal and a connection manager (CM) program encryption key of the terminal, and the user information of the terminal may include at least one of an ID or a password imposed on the terminal user. do.

상기 인증 정보 확인 단계는, 상기 단말로부터 수신되는 단말의 사용자 정보 확인 단계와 상기 단말의 사용자 정보 수신시 함께 수신되는 CM 프로그램의 암호 키 확인 단계를 포함하되, 상기 단말의 사용자 정보 및 CM 프로그램의 암호 키를 인증 서버에 등록되어 있는 인증 정보와 비교하여 일치하는 경우에만 인증 확인이 성공한 것으로 판단하는 것을 특징으로 한다. The authentication information confirming step includes a user information confirmation step of the terminal received from the terminal and the encryption key confirmation step of the CM program received together when receiving the user information of the terminal, the user information of the terminal and the encryption of the CM program It is characterized in that the authentication check is determined to be successful only when the key is compared with the authentication information registered in the authentication server.

또한 상기 인증 정보 확인 단계는, 상기 단말로부터 수신되는 단말의 사용자 정보와 CM 프로그램의 암호 키의 조합으로 생성되는 암호 코드 값을 비교하여 인증 확인 여부를 판단할 수도 있다. In addition, the authentication information confirming step, it is possible to determine whether to confirm the authentication by comparing the encryption code value generated by the combination of the user information of the terminal received from the terminal and the encryption key of the CM program.

상기 인증 정보 확인 결과 상기 단말에 대한 인증 확인이 성공한 경우에는, 상기 단말은 상기 내부 유선 망 또는 외부 백본망에 접속하여 데이터 송수신을 수행한다. When the authentication confirmation of the terminal is successful as a result of confirming the authentication information, the terminal accesses the internal wired network or an external backbone network and performs data transmission and reception.

본 발명의 다른 측면에 따른 인증 시스템은, 액세스 포인트로 접속을 시도하는 단말의 MAC 주소 값을 수신하여, 단말의 MAC 주소가 상기 네트워크로의 접속이 허락된 MAC 주소인지 검색하는 액세스 포인트와 상기 단말이 상기 네트워크로의 접속이 허락된 MAC 주소를 가지는 것으로 판단된 경우, 상기 접속을 시도하는 단말의 인증 정보를 확인하는 인증 서버를 포함한다. In accordance with another aspect of the present invention, an authentication system includes an access point and a terminal for receiving a MAC address value of a terminal attempting to access an access point, and searching whether the MAC address of the terminal is a MAC address permitted to access the network. If it is determined that the access to the network has a MAC address allowed, includes an authentication server for confirming the authentication information of the terminal attempting the connection.

상기 액세스 포인트는, 상기 액세스 포인트로의 접속이 허가된 단말의 MAC 주소 값에 관한 데이터 리스트를 저장하는 MAC 주소 저장부를 포함하며, 플래시 메모리 또는 ROM 중 적어도 하나로 구성될 수 있다. The access point may include a MAC address storage unit that stores a data list of a MAC address value of a terminal permitted to access the access point, and may be configured as at least one of a flash memory or a ROM.

상기 액세스 포인트는 또한, 액세스 포인트에 접속하는 적어도 하나의 무선 단말로부터 수신한 무선 신호를 처리하는 RF 처리부; 물리 계층의 처리를 담당하는 PHY 처리부; MAC 계층의 처리를 담당하는 MAC 처리부; 상기 액세스 포인트에서 처리되는 데이터를 저장하는 RAM; 및 상기 각 처리부 및 RAM 간의 신호 흐름을 및 데이터의 저장을 제어하고 상기 액세스 포인트로 접속하는 단말의 MAC 주소를 체크하여 그와 동일한 MAC 주소가 상기 MAC 주소 저장부에 등록되어 있는지 비교하는 프로세서를 더 포함할 수 있다.The access point may further include an RF processor configured to process a radio signal received from at least one radio terminal connected to the access point; A PHY processing unit in charge of processing a physical layer; A MAC processor in charge of processing the MAC layer; RAM for storing data processed in the access point; And a processor that controls the signal flow between each processing unit and RAM and controls the storage of data and checks the MAC address of the terminal connecting to the access point to compare whether the same MAC address is registered in the MAC address storage. It may include.

상기 인증 서버는, 상기 단말로부터 수신되는 단말의 사용자 정보 및 CM 프로그램의 암호 키를 기 등록되어 있는 인증 정보와 비교하여 일치하는 경우에만 상기 단말에 대한 인증 확인이 성공한 것으로 판단하는 것을 특징으로 한다. The authentication server is characterized in that it is determined that the authentication confirmation of the terminal is successful only when the user information of the terminal received from the terminal and the encryption key of the CM program match with the previously registered authentication information.

이하, 본 발명에 따른 바람직한 실시예를 도면을 살펴보면서 구체적으로 설 명하기로 한다. Hereinafter, a preferred embodiment according to the present invention will be described in detail with reference to the drawings.

기존의 홈 네트워크 또는 소규모의 비즈니스 네트워크 구축 시에 유선과 무선을 병행하여 구성할 수 있는데, 특히 무선을 이용하는 구간에 발생되어지는 침해 위협들이 다수 발생할 수 있고 이는 정보유출로 이어져 많은 사용자들에게 피해를 입힐 수 있다. 현재는 이런 피해를 방지하기 위해 여러 가지 보안 대책 기능을 사용하고 있으며 본 발명에서는 액세스 포인트와 단말 사이인 무선 구간에 대해 이런 침해 위험성으로부터 사전에 대응할 수 있는 방법과 인증 절차 보완 방법을 제시하고자 한다. When building an existing home network or a small business network, it can be configured in parallel with wired and wireless. In particular, a number of invasion threats generated in the wireless section can be generated, which leads to information leakage and damages many users. Can be coated. Currently, various security countermeasures are used to prevent such damages, and in the present invention, a method for proactively coping with the risk of infringement and an authentication procedure complementing method for a wireless section between an access point and a terminal are proposed.

무선 랜 네트워크의 기본 구성 블록은 기본서비스 셋(BSS : Basic Service Set)이다. 이는 서로 통신하는 단말의 그룹을 일컫는다. 통신은 BSS라고 불리는 무선 매체의 전파 특성에 의해서 정의되어지는 경계가 다소 불명확한 영역 안에서 이루어진다. 단말이 BSS 영역에 있을 때에는 다른 기기와 통신이 가능하다. BSS는 두 가지 형태의 구성을 가질 수 있다. The basic building block of a WLAN network is a basic service set (BSS). This refers to a group of terminals communicating with each other. Communication takes place within a somewhat unclear area defined by the radio wave propagation characteristics called BSS. When the terminal is in the BSS area, communication with other devices is possible. The BSS may have two types of configurations.

첫 번째가 독립 네트워크의 구성이다.The first is the configuration of an independent network.

독립 BSS(Independent BSS)에 있는 단말은 통신 영역 내에 있는 다른 기기와 직접 통신한다. 두 개의 단말로 구성된 IBSS는 가장 작은 네트워크의 예가 될 것이다. 일반적으로 IBSS는 특정한 목적을 가지고, 특정 기간 동안 구성되는 몇 개의 단말로 이루어진다. 짧은 사용 기간과 적은 규모, 특정한 목적 때문에 IBSS는 때때로 ad hoc BSSs 또는 ad hoc 네트워크라고도 한다. A terminal in an independent BSS directly communicates with another device in a communication area. The IBSS consisting of two terminals will be an example of the smallest network. In general, the IBSS has a specific purpose and consists of several terminals configured for a specific period. IBSS is sometimes referred to as ad hoc BSSs or ad hoc networks because of their short duration, small scale, and specific purposes.

두 번째는 인프라구조(Infrastructure) 네트워크를 들 수 있다.Second is the infrastructure network.

인프라구조 네트워크는 액세스 포인트(Access Point)의 사용으로 구별될 수 있다. 즉, 인프라구조 네트워크는 동일한 서비스 영역에서 이동 단말의 통신을 포함한 모든 통신 과정에서 액세스 포인트를 사용한다. 인프라구조 BSS에 있는 이동 단말이 다른 이동 단말과 통신하는 것이 필요하다면, 이러한 통신은 두 가지 과정을 거친다. 첫 번째는 신호 송신 단말이 프레임을 액세스 포인트로 전송하는 것이고, 두 번째는 액세스 포인트가 프레임을 대상 스테이션으로 전송하는 것이다. 모든 통신이 액세스 포인트에 의해 전송되므로, 인프라구조 BSS에서 대응되는 기본 서비스 영역은 액세스 포인트로부터 신호를 받을 수 있는 영역으로 정의된다. 이러한 다단계 전송은 전송자와 수신자간의 직접 통신보다 전송 용량이 더 필요하지만, 다음과 같은 두 가지의 주요 이점이 있다. Infrastructure networks can be distinguished by the use of an access point. In other words, the infrastructure network uses the access point in all communication processes including the communication of the mobile terminal in the same service area. If a mobile terminal in an infrastructure BSS needs to communicate with another mobile terminal, this communication is a two-step process. The first is for the signal transmitting terminal to transmit the frame to the access point, and the second is for the access point to transmit the frame to the target station. Since all communication is transmitted by the access point, the corresponding basic service area in the infrastructure BSS is defined as an area capable of receiving a signal from the access point. This multi-stage transmission requires more transmission capacity than direct communication between sender and receiver, but has two main advantages.

인프라구조 BSS는 액세스 포인트로부터의 거리로 정의된다. 모든 이동 단말은 액세스 포인트에서 접근 가능한 거리 내에 있어야 하지만, 이동 단말 사이의 거리에는 제한이 없다. 이동 단말 사이의 직접 통신은 전송 용량을 줄일 수 있다는 장점이 있지만, 이동 단말은 서비스 영역 내에 있는 다른 이동 단말과 서로 관계를 유지하는 것이 필요하므로 물리 계층이 보다 복잡하다. Infrastructure BSS is defined as the distance from an access point. All mobile terminals should be within the distance accessible from the access point, but there is no limit to the distance between mobile terminals. Direct communication between mobile terminals has the advantage of reducing the transmission capacity, but the physical layer is more complicated because the mobile terminal needs to maintain relationship with other mobile terminals in the service area.

인프라구조 네트워크에 있는 액세스 포인트는 전력 절감을 시도하는 이동 단말을 도와줄 수 있다. 즉, 액세스 포인트는 단말이 전력 절감 모드로 진입하는 것을 기록해 두었다가 단말을 위한 프레임을 버퍼링 할 수 있다. 그래서 배터리에 의해 동작하는 단말은 무선 랜 카드를 꺼놓은 후, 전송이 필요한 경우에 다시 전원을 공급하여 액세스 포인트에 의해서 버퍼링 된 프레임을 수신할 수 있다. An access point in the infrastructure network can assist the mobile terminal in trying to save power. That is, the access point may record that the terminal enters the power saving mode and then buffer the frame for the terminal. Therefore, the terminal operated by the battery may turn off the wireless LAN card, supply power again when transmission is required, and receive a frame buffered by the access point.

살펴본 바와 같이, 일반적인 인프라구조 무선 랜 네트워크에서 액세스 포인트(AP)는 일종의 허브(Hub) 역할로 무선 단말 환경을 지니고 있는 단말들을 유선으로 연결된 네트워크에 연결해 주는 역할을 한다. As described above, an access point (AP) in a general infrastructure WLAN network serves as a hub to connect terminals having a wireless terminal environment to a wired network.

즉, 액세스 포인트의 기능은 단말을 통한 사용자의 정보를 내부 유선 망이나 외부 백본망에 존재하는 인증 서버에 전달해서 인증시스템의 인증 절차를 밟을 수 있게 하는 다리(Bridge) 역할을 수행한다고 할 수 있다. 인증시스템의 인증 절차를 밟고 인증 허가를 받은 사용자는 내부 유선 망이나 외부 백본망을 접속할 수 있는 것이다. 하지만 무선 랜의 경우 RF를 이용하는 무선 구간, 즉 AP와 단말 구간에서 쉽게 도청 및 감청을 당할 수도 있으며 여러 가지 문제점을 안고 있었다. That is, the function of the access point can be said to serve as a bridge that can pass the user's information through the terminal to the authentication server existing in the internal wired network or the external backbone network to perform the authentication process of the authentication system. . After the authentication process of the authentication system, the authorized user can access the internal wired network or the external backbone network. However, in the case of the wireless LAN, the wireless section using the RF, that is, the AP and the terminal section can be easily intercepted and intercepted and had various problems.

본 발명에서는 이러한 무선 구간 상의 보안 취약성 문제를 해결하기 위해, 액세스 포인트의 기능이 단순히 다리 역할에서 벗어나게끔, MAC 주소 필터링으로 일차적 보완을 거치고 인증시스템의 인증 확인 단계에서 단말에 설치되는 CM 프로그램 암호 키와 단말 MAC 주소 매칭을 통한 추가 확인을 통하여 안전하게 인증시스템을 이용할 수 있도록 한다. In the present invention, in order to solve the security vulnerability problem on the wireless section, the CM program encryption key installed in the terminal in the authentication confirmation step of the authentication system undergoes a primary supplement, so that the function of the access point simply out of the bridge role, MAC address filtering Through the additional verification through the MAC address matching with the terminal so that the authentication system can be used safely.

도 1은 본 발명이 적용되는 전체 네트워크의 구성을 나타내고 있다. 1 shows a configuration of an entire network to which the present invention is applied.

인증 시스템은 크게 요구자, 인증자 및 인증 서버로 구성됨을 위에서 살펴본 바 있다. We have seen above that the authentication system consists of the requestor, the authenticator and the authentication server.

도 1에서는 요구자의 역할을 담당하는 개체로, 다수의 이동 단말(10-1, 10-2, 10-3)이 무선 구간에 위치하고 있다. 단말은 인증시스템에 제대로 등록된 인증 단말(10-2), 인증 받지 못한 비인증 단말(10-1) 등이 있을 것이며, 인증 받은 단말의 MAC 주소 등을 복제하여 불법으로 시스템에 접근하려고 시도하는 불법 복제 단말(10-3)도 있을 것이다. In FIG. 1, a plurality of mobile terminals 10-1, 10-2, and 10-3 are located in a wireless section as an entity serving as a requestor. The terminal may include an authentication terminal 10-2 properly registered in the authentication system, an unauthenticated terminal 10-1 that is not authenticated, and illegally attempt to illegally attempt to access the system by duplicating the MAC address of the authenticated terminal. There will also be a duplicate terminal 10-3.

인증자의 역할은 액세스 포인트(20)에서 담당하고 있으며, 단말(10)에 인증을 요구하고 전달받은 사용자 식별 정보를 이용해 인증 서버에게 인증 서비스를 요청하고, 해당 사용자의 접속 포트 상태를 관리하여 인증 서버의 인증 결과에 따라 포트를 인증 상태 혹은 비 인증 상태로 설정한다. The role of the authenticator is in charge of the access point 20, requests authentication to the terminal 10, requests authentication service to the authentication server using the received user identification information, and manages the connection port state of the user authentication server Set the port to either authenticated or unauthenticated depending on the authentication result.

인증 서버(30)는 액세스 포인트(20)로부터 사용자에 대한 인증 요청을 입력받아 인증 서비스를 제공하므로, 사용자의 식별 정보를 미리 가지고 있다. 인증 서버를 통해 성공적인 인증을 마친 단말은 액세스 포인트(20)와 연결된 내부 유선 망이나 외부 백본망으로의 접속이 가능하게 된다. Since the authentication server 30 receives an authentication request for the user from the access point 20 and provides an authentication service, the authentication server 30 has identification information of the user in advance. After successfully authenticating through the authentication server, the terminal may access an internal wired network or an external backbone network connected to the access point 20.

도 2는 비인가 단말이 접속을 시도하는 경우의 본 발명에 따른 처리 흐름을 나타낸다. 2 shows a processing flow according to the present invention when an unauthorized terminal attempts to connect.

비 인가된 단말(10)이 내부 유선 망 또는 외부 백본망에 접속을 시도하고자 한다. 단말(10-1)이 ISP CM 프로그램을 통해서 액세스 포인트(20)와 통신을 시도하면(S201), 액세스 포인트(20)는 연결을 시도하는 단말(10-1)에게 유니캐스트 방식으로 MAC 주소 값을 요청한다(S202). 단말(10-1)이 자신의 MAC 주소 값으로 응답하 면(S203), 해당 액세스 포인트(20)는 보유하고 있는 허가된 MAC 주소 리스트와 수신한 단말(10-1)의 MAC 주소 값을 비교(MAC 주소 필터링)하여 기존에 등록되어 있는 주소인지 여부를 판단한다(S204). 여기서, MAC 주소 리스트는 무선 랜 망의 구축 시에 AP 관리자가 해당 AP에 접근이 허락된 단말들의 MAC 주소를 모아 작성해 둔 것이다. The unauthorized terminal 10 attempts to access an internal wired network or an external backbone network. When the terminal 10-1 attempts to communicate with the access point 20 through the ISP CM program (S201), the access point 20 sends a MAC address value in a unicast manner to the terminal 10-1 attempting to connect. Request (S202). When the terminal 10-1 responds with its own MAC address value (S203), the access point 20 compares the MAC address value of the received terminal 10-1 with the list of permitted MAC addresses. (MAC address filtering) to determine whether the address is registered (S204). Here, the MAC address list is a collection of MAC addresses of terminals allowed to access the AP when the wireless LAN network is established.

액세스 포인트(20)가 MAC 주소 리스트로 보관하고 있던 MAC 주소가 아니라면 연결 거부 메시지(Connection Reject Message) 또는 AP 관리자에게 문의를 요하는 메시지를 내보낸다(S205). If the access point 20 is not the MAC address stored in the MAC address list, a connection reject message or a message requesting an inquiry to the AP manager is sent (S205).

도 3은 인가 단말이 접속을 시도하는 경우의 본 발명에 따른 처리 흐름을 나타낸다. 3 shows a processing flow according to the present invention when an authorization terminal attempts to connect.

인가 단말(10-2)이 액세스 포인트(20)에 연결을 시도하면(S301), 액세스 포인트(20)는 단말(10-2)에게 MAC 주소 값을 요청한다(302). 단말(10-2)로부터 단말(10-2)의 MAC 주소 값을 수신한(S303) 액세스 포인트(20)는, MAC 주소 리스트에 등록이 되어 있는 단말로부터의 접속인지 확인하는 MAC 주소 필터링 단계를 거치게 된다(S304). If the authorization terminal 10-2 attempts to connect to the access point 20 (S301), the access point 20 requests the MAC address value from the terminal 10-2 (302). Receiving the MAC address value of the terminal 10-2 from the terminal 10-2 (S303), the access point 20 performs a MAC address filtering step of confirming whether the connection is from a terminal registered in the MAC address list. Go through (S304).

액세스 포인트(20)에 등록되어 있는 MAC 주소인지 확인을 거쳐, 등록이 되어 있는 경우에는 단말(10-2)과 액세스 포인트(20)의 연결을 허용하고, 단말(10-2)에게 단말의 인증 절차를 위한 사용자의 정보 입력을 요구한다(S305). After confirming whether the MAC address is registered in the access point 20, and if the registration is registered, the connection of the terminal 10-2 and the access point 20 is allowed, and the terminal 10-2 is authenticated by the terminal. The user requests information input for the procedure (S305).

이후 사용자는 일반적인 단말(10-2)상의 CM 프로그램을 통하여 사용자 정보 (ID, Password)를 입력하게 되고(S306), 입력된 정보는 인증 서버(30)의 인증 확인 단계(S307)를 거쳐 인증 허가 또는 거부를 단말의 사용자에게 알리게 된다. 본 실시예에서는 인증 허가를 받은 단말의 경우이므로 인증 서버가 해당 단말 및 사용자의 접속이 허락되었음을 사용자에 알린다(S308). 인증 확인이 성공하였으므로, 해당 단말(10-2)은 정상적으로 내부 유선 망 또는 외부 백본망에 접속할 수 있고, 자유로운 데이터의 송수신이 가능해진다(S309).Thereafter, the user inputs user information (ID, Password) through the CM program on the general terminal 10-2 (S306), and the inputted information is authorized through the authentication verification step (S307) of the authentication server 30. Alternatively, the denial is informed to the user of the terminal. In this embodiment, since the terminal is authorized to authenticate, the authentication server informs the user that the terminal and the user are allowed to access (S308). Since the authentication confirmation is successful, the terminal 10-2 can normally connect to the internal wired network or the external backbone network, and free data transmission and reception are possible (S309).

일반적으로 IEEE802.11b/b/a std 규격에 따르면 하나의 액세스 포인트(20)에 다수의 단말(10-2)이 접속할 수 있지만, 실제로 많은 수의 단말(10-2)이 붙게 된다면 무선 랜의 MAC 알고리즘은 CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance)에 따라 실제 사용하는 단말(10-2) 외의 나머지 단말(10-2)은 휴지 상태로 대기를 하게 되며, 대기 상태에서도 언제 액세스 포인트(20)를 사용할 수 있을지 주기적으로 체크한다. 그만큼 다른 단말들과의 경쟁이 불가피해지며 원하는 시점에 네트워크에 접속하기도 어려워지기 때문에, 실제로는 액세스 포인트(20)를 사용함에 있어서 단말(10-2)의 수를 제한해서 사용하고 있다.  In general, according to the IEEE802.11b / b / a std standard, a plurality of terminals 10-2 may be connected to one access point 20, but if a large number of terminals 10-2 are actually attached, The MAC algorithm according to CSMA / CA (Carrier Sense Multiple Access with Collision Avoidance), the remaining terminal 10-2 other than the terminal 10-2, which is actually used, waits in the dormant state. 20) Check periodically if it can be used. As the competition with other terminals becomes inevitable and it becomes difficult to connect to the network at a desired time point, the number of terminals 10-2 is actually limited in using the access point 20.

물론 다수의 액세스 포인트(20)가 존재한다면 이 제한된 단말(10-2)의 수는 달라질 수 있으나, 본 발명에서는 지정된 하나의 액세스 포인트(20)만 존재하는 것으로 가정하기로 한다. 하나의 액세스 포인트(20)에 단말(10-2)의 수는 사용하는 액세스 포인트(20)에 따라 달라질 수 있다. 이는 제조업체마다 사양이 다르거나 AP 관리자에 의해 그 수를 조절할 수 있기 때문이다. Of course, if there are a plurality of access points 20, the number of the limited terminal 10-2 may vary, but it is assumed in the present invention that only one designated access point 20 exists. The number of terminals 10-2 in one access point 20 may vary depending on the access point 20 used. This is because the specifications vary from manufacturer to manufacturer or can be controlled by the AP administrator.

인증 절차는 인증 서버(30)에 등록되어 있는 사용자의 정보를 체크하여 인증 여부를 확인하는 것이 보통이나, 본 발명에서는 여기에 추가로 단말(10-2)의 CM 프로그램의 암호 키(Key)를 부여하여 확인하는 단계가 추가되었다(S307). 단말(10-2) CM 프로그램의 고유한 암호 키는 사용자가 사용자 정보를 입력하면 자동으로 인증 서버(30)로 포워딩(forwarding)되며, 사전에 검증된 단말(10-2)의 MAC 주소 값과 매칭 되는지 확인 작업에 사용된다. In the authentication procedure, it is common to check the authentication information by checking the information of the user registered in the authentication server 30, but in the present invention, the encryption key of the CM program of the terminal 10-2 is additionally added thereto. The step of giving and confirming was added (S307). The unique encryption key of the terminal 10-2 CM program is automatically forwarded to the authentication server 30 when the user inputs user information, and the MAC address value of the terminal 10-2 previously verified and It is used to check if there is a match.

즉, 단말(10-2)에 정품의 CM 프로그램이 최초 설치가 된다면 하나의 단말(10-2)은 하나의 MAC 주소와 하나의 CM 프로그램의 고유한 암호 키만 존재하게 된다. 따라서 인증 서버(30)는 단말(10-2)의 MAC 주소와 CM 프로그램 암호 키가 모두 일치하는 경우에만 최종적으로 해당 단말(10-2)이 내부 유선 망이나 외부 백본망에 접속할 수 있도록 허가를 하는 것이다. That is, if a genuine CM program is initially installed in the terminal 10-2, one terminal 10-2 has only one MAC address and a unique encryption key of one CM program. Therefore, the authentication server 30 finally grants permission for the terminal 10-2 to access the internal wired network or the external backbone network only when both the MAC address of the terminal 10-2 and the CM program encryption key match. It is.

만약 단말(10-2)의 CM 프로그램 암호 키와 MAC 주소가 공개되거나 복제되어 다른 불법 침입자가 발생한다 하여도 두 값을 동시에 만족시키기는 어려울 것이다. If the CM program encryption key and the MAC address of the terminal 10-2 are disclosed or duplicated and other illegal intruders occur, it will be difficult to satisfy both values at the same time.

도 4는 불법 복제 단말이 접속하는 경우의 본 발명에 따른 처리 흐름을 나타낸다. 4 shows a processing flow according to the present invention when an illegal copy terminal is connected.

임의의 불법 비인가 복제 단말(10-3)이 액세스 포인트(20)에 등록되어 있는 다른 단말(10)의 MAC 주소를 복제하여 접속을 시도한 경우를 가정해 보기로 한다. Assume that a case where an illegal unauthorized duplication terminal 10-3 attempts to connect by duplicating the MAC address of another terminal 10 registered in the access point 20.

복제된 단말(10-3)과 액세스 포인트(20) 간의 MAC 주소 확인 및 필터링 단계(S401, S402, S403, S404)는 도 2, 도 3의 경우와 동일한 과정을 거친다. The MAC address verification and filtering steps S401, S402, S403, and S404 between the duplicated terminal 10-3 and the access point 20 go through the same process as that of FIGS. 2 and 3.

정상 단말의 MAC 주소를 복제한 단말은 동일한 정상적인 MAC 주소를 지니게 되므로, 일반적인 MAC 주소 필터링으로는 이 불법 인가자의 연결 요청을 구분해 낼 수 없게 된다. 즉, 정상적으로 MAC 주소 필터링을 통과한 비인가 단말(10-3)은 액세스 포인트(20)와의 연결은 허용이 된다. Since the UE, which duplicates the MAC address of the normal terminal, has the same normal MAC address, general MAC address filtering cannot distinguish the illegal request from the authorized user. That is, the unauthorized terminal 10-3 that normally passes the MAC address filtering is allowed to connect to the access point 20.

그러나, 이후 액세스 포인트(20)로부터 인증 정보를 요청 받는 경우(S405), CM 프로그램을 통해 정상적으로 등록되어 있는 사용자의 정보(사용자 ID 및 비밀번호)를 입력하더라도 CM 프로그램 암호 키 확인 단계를 무사히 통과하기는 힘들다. MAC 주소를 복제한 단말(10)이라 하더라도 복제 당한 단말(10)의 CM 프로그램 자체에 포함되어 있는 암호 키는 복제할 수 없기 때문이다. However, when the authentication information is requested from the access point 20 (S405), even if the user's information (user ID and password) registered normally through the CM program is passed safely, the CM program encryption key verification step is safe. Hard. This is because the encryption key included in the CM program itself of the duplicated terminal 10 cannot be duplicated even if the terminal 10 duplicates the MAC address.

이 경우 복제된 단말(10-3)의 인증 정보를 수신하여 인증 확인(S407)을 거친 인증 서버(30)는, CM 프로그램 암호 키가 일치하지 않는 이유로 인증 확인이 실패했음을 알릴 것이다(S408) . 따라서 결과적으로 내부 유선 망이나 외부 백본망으로의 접속이 불가능하게 된다. In this case, the authentication server 30 that has received the authentication information of the duplicated terminal 10-3 and has undergone the authentication confirmation (S407) will inform that the authentication confirmation has failed due to a mismatch in the CM program encryption key (S408). As a result, access to an internal wired network or an external backbone network becomes impossible.

도 5는 본 발명에 따른 액세스 포인트의 블록 구성을 나타낸다. 5 shows a block configuration of an access point according to the present invention.

액세스 포인트(20)는 프로세서(201), RF 처리부(202), PHY 처리부(203), MAC 처리부(204), RAM(205), 그리고 MAC 주소 저장부(206)를 포함한다. The access point 20 includes a processor 201, an RF processor 202, a PHY processor 203, a MAC processor 204, a RAM 205, and a MAC address storage 206.

RF 처리부(202)를 통해 액세스 포인트에 접속하고자 하는 다수의 무선 단말로부터 수신한 무선 신호를 처리한다. 또한 물리 계층을 처리하는 PHY 처리부(203), MAC 계층을 담당하는 MAC 처리부(204)를 기본적으로 구비하고 있다. 또한 액세스 포인트에서 처리되는 데이터를 저장하기 위한 RAM(Random Access Memory)(205)을 가지며, 프로세서(201)가 전체적으로 상기 각 처리부간의 신호 흐름 및 데이터 저장을 담당하는 역할을 담당한다. The RF processor 202 processes radio signals received from a plurality of radio terminals to be connected to the access point. The PHY processing unit 203 for processing the physical layer and the MAC processing unit 204 for the MAC layer are basically provided. It also has a random access memory (RAM) 205 for storing data processed in the access point, the processor 201 is responsible for the signal flow and data storage between the processing unit as a whole.

본 발명에서 주목해야 할 부분은 MAC 주소 저장부(206)인데, 플래시(Flash) 메모리나 ROM(Read Only Memory) 등이 사용될 수 있다. It should be noted in the present invention that the MAC address storage unit 206, a flash memory or a ROM (Read Only Memory) may be used.

MAC 주소 저장부(206)는 허가된 단말(10)의 MAC 주소 데이터 리스트를 저장, 관리한다. 액세스 포인트(20)로 연결을 요청하는 단말(10)이 있는 경우, 액세스 포인트(20)의 프로세서(201)는 해당 단말(10)의 MAC 주소를 체크하여 동일한 MAC 주소가 MAC 주소 저장부(206)에 등록되어 있는지 비교, 판단하게 된다. 만일 동일한 MAC 주소가 리스트 내에 존재한다면 액세스 포인트(20)는 해당 단말(10)의 연결 요청을 승인하고 인증시스템의 인증 절차를 거치기 위한 인증 정보를 요구하게 된다. The MAC address storage unit 206 stores and manages the MAC address data list of the authorized terminal 10. When there is a terminal 10 requesting a connection to the access point 20, the processor 201 of the access point 20 checks the MAC address of the terminal 10 so that the same MAC address is the MAC address storage unit 206. ), It is compared and judged. If the same MAC address exists in the list, the access point 20 approves the connection request of the terminal 10 and requests authentication information for going through the authentication process of the authentication system.

AP 관리자는 해당 액세스 포인트(20)에 접근이 허락된 단말들의 MAC 주소 값들을 미리 세팅해서 액세스 포인트(20)의 MAC 주소 저장부(206)에 등록된 단말(10)의 MAC 주소 리스트를 저장한다. The AP manager stores the MAC address list of the terminal 10 registered in the MAC address storage unit 206 of the access point 20 by presetting MAC address values of terminals allowed to access the corresponding access point 20. .

도 6은 본 발명에 따른 인증 확인 방법의 바람직한 일 실시예를 나타내고 있다. Figure 6 shows a preferred embodiment of the authentication confirmation method according to the present invention.

본 발명에 따른 인증 확인 방법은 도 2 내지 도 5를 통해 살펴본 바와 같이 인증 서버(30)에서 단말을 사용하는 사용자 정보(사용자 ID와 비밀번호)와 단말 인증에 필요한 정보(CM 프로그램 암호 키)를 확인한다. CM 프로그램 암호 키는 ISP 업체에 의해 생산 초기부터 부여될 수도 있을 것이고, 단말의 관리자가 추후에 임 의로 부여하는 방법도 사용될 수 있을 것이다. 주의할 것은, 어떤 방법으로 부여되던지 각 단말의 CM 프로그램 암호 키에 대한 정보를 인증 서버(30)가 사전에 확보하고 있어야 한다는 것이다. As described with reference to FIGS. 2 to 5, the authentication confirmation method according to the present invention confirms user information (user ID and password) using the terminal in the authentication server 30 and information necessary for terminal authentication (CM program encryption key). do. The CM program encryption key may be given from the beginning of production by the ISP company, and may be used later by the administrator of the terminal. It should be noted that the authentication server 30 should secure the information about the CM program encryption key of each terminal in any way.

도 6에서는 상기 인증 확인 방법 외에 단말 인증에 필요한 정보로 추가적으로 단말(10)에 설치되어 있는 CM 프로그램의 암호 키 및 해당 단말의 MAC 주소를 조합한 값을 새로운 암호로 사용하는 방법을 제시하고 있다. 즉, 인증 서버(30)는 각 인증 단말 별로 MAC 주소와 매칭되는 CM 프로그램 암호 키를 테이블 형태로 저장하였다가 단말로부터 인증 확인 요청이 있는 경우, 이를 암호 키로 사용할 수 있다. 6 shows a method of using a combination of the encryption key of the CM program installed in the terminal 10 and the MAC address of the corresponding terminal as a new cipher as information required for terminal authentication in addition to the authentication confirmation method. That is, the authentication server 30 may store the CM program encryption key matching the MAC address for each authentication terminal in the form of a table and use it as an encryption key when an authentication confirmation request is received from the terminal.

암호화 방법은 MAC 주소와 CM 프로그램 암호 키를 직렬적으로 부가하여 사용하는 가장 간단한 방법에서부터 MAC 주소와 CM 프로그램 암호 키를 더한 값을 암호로 사용하는 방법까지 여러 가지 다양한 활용 방법을 생각해 볼 수 있을 것이다. The encryption method can be thought of in various ways, from the simplest method of serially adding the MAC address and the CM program encryption key to the method using the MAC address plus the CM program encryption key as a password. .

상술한 바와 같은 본 발명에 따른 인증 시스템 및 방법은, 기존에 단말의 사용자 정보만을 인증 도구로 사용하던 방법에서 탈피해 단말 자체, 더 나아가 단말에 설치된 소프트웨어 프로그램에 설치되는 암호 키를 인증 도구로 사용함으로써, 인증 받은 사용자가 인증 받은 단말을 사용하는 경우에만 인증 시스템으로 보안되는 내부 혹은 외부 시스템으로의 접근을 가능하게 한다. The authentication system and method according to the present invention as described above, using the encryption key installed in the terminal itself, and furthermore, the software program installed in the terminal as an authentication tool, away from the method of using the user information of the terminal as an authentication tool. Thus, access to the internal or external system secured by the authentication system is possible only when the authenticated user uses the authenticated terminal.

이러한 접근은 자원의 이용 효율성은 논외로 하고, 중요 시스템의 보호 차원에서 강력한 보안 효과를 제공함에는 틀림이 없다 할 것이다. Such an approach would certainly be a matter of excluding resource utilization and provide a strong security effect in terms of protecting critical systems.

본 발명은, 단말 사용자의 정보를 통한 인증 확인 단계에서 한 걸음 더 나아가 단말의 MAC 주소 확인 혹은 사용자 단말에 설치되는 CM 프로그램에 대한 암호 키 부여 등 한층 강화된 인증 시스템 및 방법을 제안함으로써, 기존의 인증 시스템 또는 인증 방법에서 발생할 수 있었던 무선 구간에서의 침해 위협 요소를 줄이는 효과를 발생시킨다.The present invention further provides an authentication system and method that is further enhanced by verifying the MAC address of the terminal and granting an encryption key to the CM program installed in the user terminal. It produces the effect of reducing the threat of intrusion in the wireless section which could occur in the authentication system or the authentication method.

Claims (11)

내부 유선 망 또는 외부 백본망으로 구성되는 네트워크와 연동하는 인증 시스템의 인증 방법에 있어서,In the authentication method of the authentication system to work with a network consisting of an internal wired network or an external backbone network, 접속을 시도하는 단말의 MAC 주소 값을 수신한 액세스 포인트가 상기 단말의 MAC 주소가 상기 네트워크로의 접속이 허락된 MAC 주소인지 검색하는 MAC(Media Access Control) 주소 필터링 단계; 와 A media access control (MAC) address filtering step of searching for an access point receiving a MAC address value of a terminal attempting to access whether the MAC address of the terminal is a MAC address permitted to access the network; Wow 상기 단계에서 단말이 상기 네트워크로의 접속이 허락된 MAC 주소를 가지는 것으로 판단되어 액세스 포인트로의 접속이 승인된 경우, 인증 서버로 하여금 상기 액세스 포인트를 통하여 접속하는 단말의 인증 정보를 확인하도록 하는 인증 정보 확인 단계를 포함하는 네트워크 인증 방법. In this step, if the terminal is determined to have a MAC address allowed to access the network, and the connection to the access point is approved, the authentication server to verify the authentication information of the terminal connecting through the access point A network authentication method comprising the step of verifying information. 제 1항에 있어서, The method of claim 1, 상기 인증 정보는,The authentication information, 단말의 사용자 정보, 단말의 CM(Connection Manager) 프로그램 암호 키 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크 인증 방법. Network authentication method comprising at least one of the user information of the terminal, the CM (Connection Manager) program encryption key of the terminal. 제 1항에 있어서, The method of claim 1, 상기 단말의 사용자 정보는 단말 사용자에게 부과된 ID 또는 비밀번호 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크 인증 방법. The user information of the terminal comprises at least one of the ID or password imposed on the terminal user. 제 1항에 있어서, The method of claim 1, 상기 인증 정보 확인 단계는, The authentication information confirmation step, 상기 단말로부터 수신되는 단말의 사용자 정보 확인 단계; 와Checking user information of the terminal received from the terminal; Wow 상기 단말의 사용자 정보 수신시 함께 수신되는 CM 프로그램의 암호 키 확인 단계를 포함하되, When the user information of the terminal includes receiving the encryption key of the CM program received together, 상기 단말의 사용자 정보 및 CM 프로그램의 암호 키를 인증 서버에 등록되어 있는 인증 정보와 비교하여 일치하는 경우에만 인증 확인이 성공한 것으로 판단하는 것을 특징으로 하는 네트워크 인증 방법. And comparing the user information of the terminal and the encryption key of the CM program with the authentication information registered in the authentication server, and determining that the authentication is successful. 제 1항에 있어서, The method of claim 1, 상기 인증 정보 확인 단계는, The authentication information confirmation step, 상기 단말로부터 수신되는 단말의 사용자 정보와 CM 프로그램의 암호 키의 조합으로 생성되는 암호 코드 값을 비교하여 인증 확인 여부를 판단하는 것을 특징으로 하는 네트워크 인증 방법. And comparing the encryption code value generated by the combination of the user information of the terminal and the encryption key of the CM program received from the terminal to determine whether to confirm the authentication. 제 1항에 있어서, The method of claim 1, 상기 인증 정보 확인 결과 상기 단말에 대한 인증 확인이 성공한 경우, When the authentication confirmation of the terminal is successful as a result of the authentication information check, 상기 단말은 상기 내부 유선 망 또는 외부 백본망에 접속하여 데이터 송수신을 수행하는 것을 특징으로 하는 네트워크 인증 방법. The terminal is connected to the internal wired network or an external backbone network to perform data transmission and reception, characterized in that the network. 내부 유선 망 또는 외부 백본망으로 구성되는 네트워크와 연동하는 인증 시스템에 있어서, In the authentication system that works with a network consisting of an internal wired network or an external backbone network, 액세스 포인트로 접속을 시도하는 단말의 MAC 주소 값을 수신하여, 단말의 MAC 주소가 상기 네트워크로의 접속이 허락된 MAC 주소인지 검색하는 액세스 포인트; 와 An access point that receives a MAC address value of a terminal attempting to access an access point, and searches whether the MAC address of the terminal is a MAC address permitted to access the network; Wow 상기 단말이 상기 네트워크로의 접속이 허락된 MAC 주소를 가지는 것으로 판단되어 액세스 포인트로의 접속이 승인된 경우, 상기 액세스 포인트를 통하여 접속하는 단말의 인증 정보를 확인하는 인증 서버를 포함하는 인증 시스템. And an authentication server for verifying authentication information of a terminal accessing through the access point when it is determined that the terminal has a MAC address permitted to access the network and the access to the access point is approved. 제 7항에 있어서, The method of claim 7, wherein 상기 액세스 포인트는, The access point is, 상기 액세스 포인트로의 접속이 허가된 단말의 MAC 주소 값에 관한 데이터 리스트를 저장하는 MAC 주소 저장부를 포함하는 것을 특징으로 하는 인증 시스템. And a MAC address storage unit for storing a data list of MAC address values of the terminals permitted to access the access point. 제 8항에 있어서, The method of claim 8, 상기 MAC 주소 저장부는 플래시 메모리 또는 ROM 중 적어도 하나로 구성되는 것을 특징으로 하는 인증 시스템. The MAC address storage unit is configured with at least one of a flash memory or a ROM. 제 8항에 있어서, The method of claim 8, 상기 액세스 포인트는, The access point is, 액세스 포인트에 접속하는 적어도 하나의 무선 단말로부터 수신한 무선 신호를 처리하는 RF 처리부;An RF processor for processing a radio signal received from at least one radio terminal connected to the access point; 물리 계층의 처리를 담당하는 PHY 처리부;A PHY processing unit in charge of processing a physical layer; MAC 계층의 처리를 담당하는 MAC 처리부;A MAC processor in charge of processing the MAC layer; 상기 액세스 포인트에서 처리되는 데이터를 저장하는 RAM; 및 RAM for storing data processed in the access point; And 상기 각 처리부 및 RAM 간의 신호 흐름을 및 데이터의 저장을 제어하고, 상기 액세스 포인트로 접속하는 단말의 MAC 주소를 체크하여 그와 동일한 MAC 주소가 상기 MAC 주소 저장부에 등록되어 있는지 비교하는 프로세서를 더 포함하는 인증 시스템. The processor further controls the signal flow between the processing unit and the RAM and the storage of data, and checks the MAC address of the terminal connecting to the access point and compares whether the same MAC address is registered in the MAC address storage unit. Including authentication system. 제 7항에 있어서, The method of claim 7, wherein 상기 인증 서버는, The authentication server, 상기 단말로부터 수신되는 단말의 사용자 정보 및 CM 프로그램의 암호 키를 기 등록되어 있는 인증 정보와 비교하여 일치하는 경우에만 상기 단말에 대한 인증 확인이 성공한 것으로 판단하는 것을 특징으로 하는 인증 시스템. And comparing the user information of the terminal received from the terminal and the encryption key of the CM program with pre-registered authentication information and determining that the authentication confirmation of the terminal is successful.
KR1020040096584A 2004-11-23 2004-11-23 System and Method for Authentication in Network KR100656519B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040096584A KR100656519B1 (en) 2004-11-23 2004-11-23 System and Method for Authentication in Network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040096584A KR100656519B1 (en) 2004-11-23 2004-11-23 System and Method for Authentication in Network

Publications (2)

Publication Number Publication Date
KR20060057435A true KR20060057435A (en) 2006-05-26
KR100656519B1 KR100656519B1 (en) 2006-12-11

Family

ID=37152865

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040096584A KR100656519B1 (en) 2004-11-23 2004-11-23 System and Method for Authentication in Network

Country Status (1)

Country Link
KR (1) KR100656519B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101141101B1 (en) * 2010-10-28 2012-05-02 주식회사 안철수연구소 Access point access approval system and method
CN111918263A (en) * 2020-08-17 2020-11-10 宁波奥克斯电气股份有限公司 Bluetooth connection method and device and Internet of things equipment
KR20210015088A (en) * 2019-07-31 2021-02-10 주식회사 엘지유플러스 Method for connecting terminal and access point
CN114666392A (en) * 2022-02-25 2022-06-24 武汉黑色电弧文化科技有限公司 Terminal connection method, device, equipment and storage medium

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100428964B1 (en) * 2001-08-27 2004-04-29 아이피원(주) Authentication System and method using ID and password in wireless LAN
KR100459935B1 (en) * 2002-12-02 2004-12-03 주식회사 케이티 A Method For User authentication in Public Wireless Lan Service Network
KR100948184B1 (en) * 2003-06-30 2010-03-16 주식회사 케이티 Authentication system in wireless local area network and method thereof
KR20060027588A (en) * 2004-09-23 2006-03-28 주식회사 케이티 Public wireless lan service system and authentication method thereof

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101141101B1 (en) * 2010-10-28 2012-05-02 주식회사 안철수연구소 Access point access approval system and method
KR20210015088A (en) * 2019-07-31 2021-02-10 주식회사 엘지유플러스 Method for connecting terminal and access point
CN111918263A (en) * 2020-08-17 2020-11-10 宁波奥克斯电气股份有限公司 Bluetooth connection method and device and Internet of things equipment
CN111918263B (en) * 2020-08-17 2024-01-23 宁波奥克斯电气股份有限公司 Bluetooth connection method and device and Internet of things equipment
CN114666392A (en) * 2022-02-25 2022-06-24 武汉黑色电弧文化科技有限公司 Terminal connection method, device, equipment and storage medium
CN114666392B (en) * 2022-02-25 2024-04-12 武汉黑色电弧文化科技有限公司 Terminal connection method, device, equipment and storage medium

Also Published As

Publication number Publication date
KR100656519B1 (en) 2006-12-11

Similar Documents

Publication Publication Date Title
US8140845B2 (en) Scheme for authentication and dynamic key exchange
US7231521B2 (en) Scheme for authentication and dynamic key exchange
US9769655B2 (en) Sharing security keys with headless devices
JP5579938B2 (en) Authentication of access terminal identification information in roaming networks
AU2008213766B2 (en) Method and system for registering and verifying the identity of wireless networks and devices
EP2208330B1 (en) Method and apparatuses for determining whether femtocell is authorized to provide wireless connectivity to a mobile unit
JP4504192B2 (en) Secure access to subscription modules
US20060114863A1 (en) Method to secure 802.11 traffic against MAC address spoofing
US20050050318A1 (en) Profiled access to wireless LANs
KR20160114620A (en) Methods, devices and systems for dynamic network access administration
US20090191845A1 (en) Network enforced access control for femtocells
US20060161770A1 (en) Network apparatus and program
WO2011017924A1 (en) Method, system, server, and terminal for authentication in wireless local area network
Vanhoef et al. Operating channel validation: Preventing multi-channel man-in-the-middle attacks against protected Wi-Fi networks
CA2647684A1 (en) Secure wireless guest access
US11683312B2 (en) Client device authentication to a secure network
CN102185840A (en) Authentication method, authentication equipment and authentication system
WO2015196679A1 (en) Authentication method and apparatus for wireless access
CN111031537A (en) Wireless local area network management system for preventing illegal user access
CN106102066A (en) A kind of wireless network secure certification devices and methods therefor, a kind of router
KR100819942B1 (en) Method for access control in wire and wireless network
KR100656519B1 (en) System and Method for Authentication in Network
US9100429B2 (en) Apparatus for analyzing vulnerability of wireless local area network
EP3048830A1 (en) Method, system and computer program product of wireless user device authentication in a wireless network
KR100459935B1 (en) A Method For User authentication in Public Wireless Lan Service Network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121129

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20131128

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20141127

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20151127

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20161129

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee