KR20070122459A - 포트 기반 피어 액세스 제어 방법 - Google Patents

포트 기반 피어 액세스 제어 방법 Download PDF

Info

Publication number
KR20070122459A
KR20070122459A KR1020077021552A KR20077021552A KR20070122459A KR 20070122459 A KR20070122459 A KR 20070122459A KR 1020077021552 A KR1020077021552 A KR 1020077021552A KR 20077021552 A KR20077021552 A KR 20077021552A KR 20070122459 A KR20070122459 A KR 20070122459A
Authority
KR
South Korea
Prior art keywords
authentication
control
port
state
entity
Prior art date
Application number
KR1020077021552A
Other languages
English (en)
Other versions
KR101218701B1 (ko
Inventor
시아오롱 라이
준 카오
비안링 창
젠하이 후앙
홍 구오
Original Assignee
차이나 아이더블유엔콤 씨오., 엘티디
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=34894446&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=KR20070122459(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by 차이나 아이더블유엔콤 씨오., 엘티디 filed Critical 차이나 아이더블유엔콤 씨오., 엘티디
Publication of KR20070122459A publication Critical patent/KR20070122459A/ko
Application granted granted Critical
Publication of KR101218701B1 publication Critical patent/KR101218701B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

포트 기반 피어 액세스 제어 방법은, 1) 인증 제어 엔티티를 인에이블시키는 단계; 2) 두 인증 제어 엔티티가 상호 인증하는 단계; 3) 제어 포트의 상태를 설정하는 단계를 포함한다. 상기 방법은 인증 서버 엔티티를 인에이블시키는 단계를 더 포함하고, 두 인증 서브시스템은 키 협상을 한다. 배경 기술의 비대칭성을 수정함으로써, 본 발명은 피어 제어, 구별가능 인증 제어 엔티티, 양호한 확장성, 양호한 보안성, 간단한 키 협상 과정, 비교적 완전한 시스템, 높은 유연성의 이점을 가지며, 따라서 본 발명은 복잡한 과정, 낮은 보안성, 낮은 확장성을 포함한 종래의 네트워크 액세스 제어 방법의 기술적인 문제점을 해결할 뿐만 아니라 요구되는 중앙 관리를 충족시킬 수 있으며, 이에 따라 안전한 네트워크 액세스를 절대적으로 보장하게 된다.
인증 제어 엔티티, 제어 포트, 인증 서버 엔티티, 키 협상, 중앙 관리

Description

포트 기반 피어 액세스 제어 방법{Port Based Peer Access Control Method}
본 발명은 네트워크 기술에 관한 것으로, 특히 포트 기반 피어 액세스 제어 방법에 관한 것이다.
네트워크 액세스 제어는 일반적으로 3가지 시스템, 즉 사용자, 액세스 포인트, 및 사용자와 액세스 포인트를 중앙 제어하는 배경 서버를 포함한다. IEEE 802.1x는 포트 기반 네트워크 액세스 제어 프로토콜이라고 한다. 종래 케이블 네트워크에서, 최근의 액세스 방법들은 전통적인 웹 브라우저 액세스 제어 방법 및 PPPoE(Point to Point Protocol over Ethernet) 이외에 IEEE 802.1x 기술을 기반으로 하고 있다. IEEE 802.1x 기술은 제어와 서비스의 분리, 높은 유연성, 강한 적응성의 이점을 가지며, 각종 네트워크에서 널리 사용된다. IEEE 802.1x 기술은 무선 LAN(IEEE 802.11), 무선 MAN(IEEE 802.16e) 등과 같은 각종 무선 네트워크에 의해 채택되어 왔다.
인증은 네트워크 액세스 제어의 핵심으로서, 사용자와 액세스 포인트 간에 네트워크 서비스를 제공하는 기반이 되는 신뢰를 구축하는데 목적이 있다. 보안 메커니즘은 케이블 망 제어가 사용되든 무선 망 제어가 사용되든 네트워크와 사용자 간에 상호 인증을 가능하게 해야 한다.
IEEE 802.1x는 링크 계층에서 인증을 구현하는 방법으로서, 포트 기반 기술이다. 시스템 포트는 시스템이 다른 시스템들의 서비스를 액세스할 수 있고 서비스를 다른 시스템에 제공할 수 있도록 하는 방법을 제공한다.
IEEE 802.1x는 다음의 3 종류의 엔티티(entity)를 정의한다:
인증자(authenticator) - 한 시스템의 포트 제어 엔티티는 시스템에 의해 제공되는 서비스들이 액세스 허용되기 전에 요청자를 인증 및 허가한다. 상기 시스템은 인증자 시스템이라고 하고, 상기 시스템의 포트 제어 엔티티는 인증자라고 한다.
요청자(supplicant) - 인증자 시스템에 의해 제공되는 서비스의 액세스를 요청하는 시스템은 요청자 시스템이라고 하며, 요청자 시스템의 포트 제어 엔티티는 요청자라고 한다.
인증 서버(authentication server) - 인증 서버는 인증자에게 요청자의 권한을 식별하도록 하고, 요청자 시스템이 인증자에 의해 제공되는 서비스를 액세스하도록 허가될 수 있는지를 결정하는 엔티티이다.
인증자 시스템은 전송 매체에 대해 2개의 액세스 포인트를 가진다. 한 액세스 포인트는 제어 포트(controlled port)라고 하며, 이 제어 포트는 2가지 상태, 즉 인증 상태 및 비인증 상태를 가지며, 인증 상태일 때에만 패킷 통과를 허용하며, 다른 액세스 포인트는 비제어 포트(uncontrolled port)라고 하며, 비제어 포트는 그 상태에 관계없이 패킷 통과를 허용한다.
IEEE 802.1x의 기능 엔티티들 간의 관계가 도 1에 도시되어 있다.
IEEE 802.1x는 실제로 인증 및 키 협상을 제공하기 위해 확장가능 인증 프로토콜과 조합되어 사용되는 하나의 인증 프레임워크(framework for authentication)를 제공한다. IEEE 802.1x는 비대칭 구조를 가지며, 요청자와 인증자에서 그 기능이 크게 다르다. 요청자 상에는 포트 제어 기능이 없고, 인증자 상에는 인증 기능이 없다. 그러므로, 인증은 요청자와 인증 서버 사이에서 수행된다. 인증 서버와 인증자는 단일 시스템으로 구현될 수 있지만, IEEE 802.1x의 이점, 즉 인증자에 의한 중앙 제어는 크게 감소되게 된다. 현재 흔히 이용되는 바와 같이, 인증 서버와 인증자는 별개의 시스템으로 구현된다. 인증하는 중에 인증 서버는 인증 결과를 직접 인증자에 전달한다. 키 협상이 또한 요구되면, 이 키 협상은 인증 서버와 요청자 사이에서 수행되어야 하고, 협상된 키가 인증 서버에 의해 요청자에 전송되며, 요청자와 인증자는 동적 공유 키에 기초하여 인증 및 키 협상을 수행한다. 그러므로, IEEE 802.1x의 단점은 다음과 같다:
1. IEEE 802.1x의 구조는 비대칭이고, 요청자와 인증자에서 그 기능이 크게 다르다. 요청자는 포트 제어 기능이 없으나 인증자는 요청자와 인증 서버 사이에서 수행되는 인증 기능이 없다. 인증 서버와 인증자는 단일 시스템으로 구현될 수 있지만, IEEE 802.1x의 이점, 즉 인증자에 의한 중앙 제어가 크게 감소되게 된다.
2. 낮은 확장성. 미리 정의된 보안 채널이 각 인증자와 인증 서버 사이에 존재한다. 인증 서버의 필요한 시스템 자원은 증가하고, 관리는 보안 채널의 수가 증가함에 따라 더 복잡해지며, 따라서 많은 보안 채널을 구성하는데 적합하지 않고 네트워크 확장성이 제한된다.
3. 복합한 키 협상 과정. 키는 요청자와 인증자 사이에서 데이터 보호를 위해 사용되나, 협상은 요청자와 인증자 사이에서 수행될 수 있기 전에 요청자와 인증 서버 사이에서 먼저 수행되어야 한다.
4. 새로운 공격 지점들이 도입되어 보안성이 떨어진다. 요청자와 인증 서버가 협상하는 주요 키는 인증 서버에 의해 인증자에 전달된다. 네트워크를 통해 키를 전달함으로써 새로운 보안 공격 지점들이 도입된다.
5. 인증자는 독립된 아이덴티티(identity)가 없다. 요청자의 경우, 동일 인증 서버에 의해 관리되는 인증자들의 아이덴티티가 구별 불가능하다. 인증자들을 구별해야 할 때 애플리케이션 환경에서 부가적인 기능 엔티티들이 추가되어야 하며, 이에 따라 복잡성이 추가된다.
본 발명의 목적은 종래 기술에 존재하는 결함을 극복하고, 배경 기술의 비대칭 구조를 변경시킴으로써 피어 액세스 제어 방법을 제공하는데 있다. 본 발명의 방법은 복잡한 과정, 낮은 보안, 낮은 확장성을 포함한 종래의 망 액세스 제어 방법의 기술적 문제점들을 해결할 뿐만 아니라 요구되는 중앙 관리를 충족시킴으로써, 안전한 네트워크 액세스를 반드시 보장한다.
본 발명의 기술적인 해결책은 포트 기반 피어 액세스 제어 방법이며, 이 방법은 다음의 단계를 포함한다.
1) 인증 제어 엔티티를 인에이블시키되, 사용자와 액세스 포인트가 통신해야 할 때 사용자와 액세스 포인트는 인증 제어 엔티티를 먼저 인에이블시키고, 상기 인증 제어 엔티티는 인증을 위한 고유 아이덴티티를 가지며, 인증 서브시스템뿐만 아니라 상기 인증 서브시스템과 전송 매체를 접속하는 제어 포트 및 비제어 포트를 구비하고, 두 액세스 포인트는 제어 포트와 비제어 포트를 포함하며, 상기 인증 서브시스템은 인증 및 포트 제어 기능의 구현을 구비하고, 상기 인증 서브시스템은 상기 비제어 포트에 접속되고, 상기 제어 포트의 상태의 변화는 상기 인증 서브시스템에 의해 제어되는 단계.
2) 두 인증 제어 엔티티가 상호 인증하되, 두 인증 제어 엔티티는 상기 비제어 포트를 통해 통신하고, 상기 인증 제어 엔티티의 인증 서브시스템들이 상호 인증하는 단계.
3) 상기 제어 포트의 상태를 설정하되, 인증이 성공적이면, 상기 인증 서브시스템은 상기 제어 포트의 상태를 인증 상태로 설정하며, 상기 제어 포트의 상태는 개방 상태에서 폐쇄 상태로 됨으로써 패킷 통과가 허용되고; 인증이 성공적이지 않으면, 상기 인증 서브시스템은 상기 제어 포트의 상태를 비인증으로 설정하고, 상기 제어 포트는 여전히 개방 상태를 유지하는 단계.
상기 방법은,
상기 인증 서버 엔티티를 인에이블시키되, 사용자와 액세스 포인트는 통신해야 할 때 상기 인증 제어 엔티티와 상기 인증 서버 엔티티를 먼저 인에이블시키고, 상기 인증 서버 엔티티는 상기 인증 제어 엔티티에 관련된 보안 관리 정보를 저장하고, 상기 인증 서버 엔티티는 상기 인증 제어 엔티티의 인증 서브시스템에 접속되고, 상기 인증 서버 엔티티는 인증에 필요한 정보를 제공하기 위해 상기 인증 제어 엔티티의 인증 서브시스템과 보안 관리 정보를 통신하며, 상기 인증 서브시스템은 상기 인증 서버 엔티티의 도움으로 또는 상기 인증 서버 엔티티의 도움 없이 인증 과정을 완료하거나 상기 키 협상을 모두 단독으로 완료할 수 있는 단계를 더 포함할 수 있다.
상기 인증 서버 엔티티는 상기 인증 제어 엔티티의 속성 정보를 저장하고, 이러한 속성 정보를 상기 인증 제어 엔티티에 전송한다.
상기 방법은,
두 인증 제어 엔티티가 키 협상을 하되, 상기 인증 서브시스템은 키 협상 기능을 포함하고, 상기 두 인증 제어 엔티티가 상호 인증하고 있을 때 상기 키 협상은 상기 인증 과정 동안에 또는 상기 인증 과정 후에 수행될 수 있고, 상기 키 협상이 상기 인증이 완료된 후에 독립적으로 행해져야 하는 경우에, 상기 키 협상은 상기 두 인증 제어 엔티티 자체에 의해 행해지는 단계를 더 포함할 수 있다.
상기 키 협상이 상기 인증 과정 동안에 인증과 동시에 완료되는 경우, 상기 인증 서브시스템은 상기 인증 서버 엔티티의 도움으로 상기 키 협상 과정을 완료하거나 상기 키 협상을 모두 단독으로 완료할 수 있다.
상기 인증 서버 엔티티는 상기 인증 제어 엔티티의 속성 정보를 저장하고, 상기 속성 정보를 상기 인증 제어 엔티티에 전송한다.
상기 방법은,
상기 제어 포트의 상태를 설정하되, 상기 인증과 상기 키 협상이 성공적이면, 상기 인증 서브시스템은 상기 제어 포트의 상태를 인증 상태로 설정하며, 상기 제어 포트의 상태가 개방 상태에서 폐쇄 상태로 됨으로써 패킷 통과가 허용되고; 상기 인증과 상기 키 협상이 성공적이지 않으면, 상기 인증 서브시스템은 상기 제어 포트의 상태를 비인증 상태로 설정하고, 상기 제어 포트는 여전히 개방 상태를 유지하는 단계를 더 포함할 수 있다.
상기 인증 제어 엔티티와 상기 인증 서버 엔티티는 단일 시스템으로 또는 별개 시스템으로 구현될 수 있고, 상기 단일 시스템은 하나 이상의 인증 제어 엔티티를 구비할 수 있다.
본 발명의 이점은 다음과 같다:
1. 피어 제어. 본 발명에서, 두 시스템(일반적으로 하나는 사용자이고 다른 하나는 액세스 포인트임)은 인증 제어 엔티티를 구비함으로써 두 시스템은 인증 기능을 보다 강력하게 지원하기 위해 직접, 즉 피어를 인증할 수 있다.
2. 인증 제어 엔티티들은 구별 가능하다. 인증 제어 엔티티는 독립된 아이덴티티를 가지며, 인증 서버에 의해 간단히 제어되지 않는다. 인증 제어 엔티티의 독립된 아이덴티티는 인증 서버 엔티티에 반드시 의존하지 않도록 할 수 있으며, 따라서 인증 제어 엔티티 자체가 구별될 수 있다.
3. 양호한 확장성. 인증 제어 엔티티와 인증 서버 엔티티 사이에는 미리 정의된 보안 채널이 없으며, 따라서 인증 제어 엔티티에 대한 인증 서버 엔티티에 의한 중앙 제어가 용이하고 양호한 확장성을 얻을 수 있다.
4. 양호한 보안성. 인증 제어 엔티티는 다른 인증 제어 엔티티와 직접 키 협상을 할 수 있으며, 따라서 키 협상의 직접성(directness)이 복원되고, 네트워크 구현이 간단해지며, 보안성이 개선된다.
5. 간단한 키 협상 과정. 인증 제어 엔티티는 다른 인증 제어 엔티티와 직접 키 협상을 할 수 있으며, 따라서 복잡성이 감소되고 키 협상의 효율성이 향상된다.
6. 비교적 완전한 시스템. 인증 서버 엔티티는 인증 제어 엔티티의 보안 관리자이며, 인증 기술의 키 관리 기능을 포함한다. 본 발명의 엔티티들은 함께 완전한 보안 시스템을 구성하고, 인증 기능 및 키 협상 기능을 독립적으로 완료한다.
7. 높은 유연성. 인증 서버 엔티티는 높은 유연성을 제공하기 위해 많은 부가 기능을 제공할 수 있다.
8. 유연한 구현. 본 발명에 의해 정의되는 기능 엔티티들을 서로 다른 네트워크 시스템으로 구현할 필요가 없으며, 한 네트워크 시스템이 하나 이상의 기능 엔티티를 구현할 수 있다. 도 3에 도시된 바와 같이, 인증 제어 엔티티와 인증 서버 엔티티는 동일 네트워크 시스템으로 구현될 수 있다. 한편, 하나의 인증 서버 엔티티가 하나의 인증 제어 엔티티에 대응될 필요가 없으며, 하나의 인증 서버 엔티티는 다수의 인증 제어 엔티티에 대응될 수 있고 그 다수의 인증 제어 엔티티를 관리할 수 있다. 도 4에 도시된 바와 같이, 인증 제어 엔티티 1은 인증 제어 엔티티 2의 비제어 포트를 통해 인증 서버 엔티티와 통신한다.
도 1은 IEEE 802.1x의 기능 엔티티들 간의 연결 관계에 대한 도면.
도 2는 본 발명의 기능 엔티티들 간의 연결 관계에 대한 도면.
도 3은 인증 서버 엔티티와 인증 제어 엔티티가 단일 시스템으로 구현되는 일실시예의 개략도.
도 4는 하나의 인증 서버 엔티티가 다수의 인증 제어 엔티티에 대응되는 일실시예의 개략도.
본 발명은 다음의 두 엔티티를 구비한다:
1) 인증 제어 엔티티
인증 제어 엔티티는 전송 매체에 연결된 두 포트를 구비한다. 한 포트는 제어 포트라고 하며, 이 제어 포트는 2가지 상태, 즉 인증 상태와 비인증 상태를 가진다. 제어 포트는 인증 상태일 때에만 패킷 통과를 허용한다. 다른 포트는 비제어 포트라고 하며, 비제어 포트는 자신의 상태에 관계없이 패킷 통과를 항상 허용한다. 인증 제어 엔티티의 제어 포트와 비제어 포트는 아래의 전송 매체로부터 패킷을 동시에 수신한다.
인증 제어 엔티티는 포트 제어 기능뿐만 아니라 인증, 키 협상과 같은 보안 기능을 구현하는 인증 서브시스템을 구비한다. 인증 서브시스템은 비제어 포트에 연결되고, 제어 포트의 상태 변화가 인증 서브시스템에 의해 제어된다.
인증 제어 엔티티는 인증을 위한 고유 아이덴티티를 가지며, 따라서 인증 기능을 독립적으로 구현할 수 있다.
2) 인증 서버 엔티티
인증 서버 엔티티는 인증 제어 엔티티에 관련된 보안 관리 정보를 저장하며, 인증 제어 엔티티의 인증 서브시스템에 접속된다. 인증 제어 엔티티 및 다른 인증 제어 엔티티가 인증을 하고 있는 동안에, 인증 서버 엔티티는 인증에 필요한 정보를 제공하기 위해 인증 제어 엔티티의 인증 서브시스템과 보안 관리 정보를 통신하지만, 인증 서버 엔티티는 인증 제어 엔티티를 대신하여 인증을 완료하지는 않는다. 인증 서버 엔티티는 또한 인증 제어 엔티티의 속성 정보를 저장하고, 속성 정보를 애플리케이션의 요건에 따라 인증 제어 엔티티에 전송한다.
인증 제어 엔티티와 인증 서버 엔티티 간의 관계가 도 2에 예시되어 있다.
본 발명의 피어 액세스 제어 방법의 과정은 다음과 같다:
1) 인증 제어 엔티티의 개시: 사용자와 액세스 포인트는 통신해야 할 때 인증 제어 엔티티를 먼저 개시시켜야 한다.
2) 두 인증 제어 엔티티의 상호 인증: 두 인증 제어 엔티티는 비제어 포트를 통해 통신하고, 두 인증 제어 엔티티의 인증 서브시스템들은 상호 인증한다. 인증 서브시스템은 인증 서버 엔티티의 도움 없이도 단독으로 인증 과정을 완료할 수 있다.
3) 두 인증 제어 엔티티의 키 협상: 두 인증 제어 엔티티가 키를 협상해야 하는 경우, 키 협상은 인증 과정에서 인증과 동시에 완료될 수 있고, 또는 인증 과정이 완료된 후에 독립적으로 수행될 수 있다. 인증이 완료된 후 키 협상이 독립적으로 수행되어야 하는 경우에는, 키 협상은 인증 서버 엔티티 없이 두 인증 제어 엔티티에 의해 독립적으로 완료되게 된다.
4) 제어 포트의 상태 설정: 인증 및 키 협상이 성공적이면, 인증 서브시스템 은 제어 포트의 상태를 인증 상태로 설정하며, 제어 포트의 상태는 개방 상태에서 폐쇄 상태로 됨으로써 패킷 통과가 허용되고; 인증 및 키 협상이 성공적이지 않으면 인증 서브시스템은 제어 포트의 상태를 비인증 상태로 설정하고, 제어 포트는 여전히 개방 상태를 유지한다.
본 발명의 피어 액세스 제어 방법의 다른 과정은 다음과 같다:
1) 인증 제어 엔티티와 인증 서버 엔티티의 개시: 사용자와 액세스 포인트는 통신하기 전에 인증 제어 엔티티와 인증 서버 엔티티를 먼저 개시시켜야 한다.
2) 두 인증 제어 엔티티의 상호 인증: 두 인증 제어 엔티티는 비제어 포트를 통해 통신하고, 두 인증 제어 엔티티의 인증 서브시스템들은 상호 인증한다. 인증 서브시스템은 인증 서버 엔티티의 도움으로 인증 과정을 완료하거나 단독으로 인증 과정을 모두 완료할 수 있다.
3) 두 인증 제어 엔티티의 키 협상: 두 인증 제어 엔티티가 키를 협상해야 하는 경우, 키 협상은 인증 과정에서 인증과 동시에 완료되거나, 인증 과정 후에 독립적으로 수행될 수 있다. 키 협상이 인증이 완료된 후 독립적으로 수행되어야 하는 경우에는, 키 협상은 인증 서버 엔티티 없이 두 인증 제어 엔티티에 의해 독립적으로 완료되게 된다.
4) 제어 포트의 상태 설정: 인증 및 키 협상이 성공적이면, 인증 서브시스템은 제어 포트의 상태를 인증 상태로 설정하며, 제어 포트의 상태가 개방 상태에서 폐쇄 상태로 됨으로써, 패킷 통과가 허용되고; 인증 및 키 협상이 성공적이지 않으면, 인증 서브시스템은 제어 포트의 상태를 비인증 상태로 설정하고, 제어 포트는 여전히 개방 상태를 유지한다.
인증 제어 엔티티와 인증 서버 엔티티 간의 관계가 도 2에서와 같이 도시된다.
본 발명의 원리는 다음과 같다.
사용자와 액세스 포인트가 인증 제어 엔티티를 구비함으로써, 사용자와 액세스 포인트는 직접, 즉 피어 액세스 제어를 인증할 수 있으며, 이에 따라 인증 기능을 강력하게 지원할 수 있다. 인증 제어 엔티티는 독립 아이덴티티를 가지며, 인증 서버 엔티티에 의해 간단히 제어되지 않는다. 인증 제어 엔티티의 독립 아이덴티티는 인증 서버 엔티티에 반드시 의존하지 않도록 하며, 따라서 인증 제어 엔티티 자체는 구별 가능하다. 인증 제어 엔티티는 다른 인증 제어 엔티티와 직접 키 협상을 할 수 있으며, 따라서 키 협상의 직접성이 복원된다. 인증 서버 엔티티는 인증 제어 엔티티의 보안 관리자이고, 인증 기술의 키 관리 기능을 포함한다. 본 발명의 엔티티들은 함께 완전한 보안 시스템을 구성하고, 인증 기능 및 키 협상 기능을 독립적으로 완료한다.
실제로, 사용자와 액세스 포인트는 네트워크 액세스 제어에서 인증 제어 엔티티를 통해 인증을 완료한다.
본 발명에 포함된 기술 용어는 다음과 같다:
IEEE 802.1x 포트 기반 네트워크 액세스 제어 프로토콜
PPPoE- Point to Point Protocol over Ethernet
IEEE 802.11 -무선 LAN
IEEE 802.16e- 무선 MAN
인증자
요청자
인증 서버
EAP- Extensible Authentication Protocol

Claims (9)

  1. 포트 기반 피어 액세스 제어 방법에 있어서,
    1) 인증 제어 엔티티를 인에이블시키는 단계 -각각의 상기 인증 제어 엔티티는 두 시스템이 통신해야 할 때 먼저 인에이블되고, 상기 인증 제어 엔티티는 인증을 위한 고유 아이덴티티를 가지며, 인증 서브시스템뿐만 아니라 상기 인증 서브시스템과 전송 매체를 접속하는 제어 포트 및 비제어 포트를 구비하고, 두 액세스 포인트는 제어 포트와 비제어 포트를 포함하며, 상기 인증 서브시스템은 인증 및 포트 제어 기능의 구현을 구비하고, 상기 인증 서브시스템은 상기 비제어 포트에 접속되고, 상기 제어 포트의 상태의 변화는 상기 인증 서브시스템에 의해 제어됨- 와,
    2) 두 인증 제어 엔티티가 상호 인증하는 단계 -두 인증 제어 엔티티는 상기 비제어 포트를 통해 통신하고, 두 인증 제어 엔티티들의 인증 서브시스템들이 서로 인증함- 와,
    3) 상기 제어 포트의 상태를 설정하는 단계 -인증이 성공적이면, 상기 인증 서브시스템은 상기 제어 포트의 상태를 인증된 것으로 설정하고, 상기 제어 포트의 상태는 상기 인증 서브시스템의 제어하에 있으며; 인증이 성공적이지 않으면, 상기 인증 서브시스템은 상기 제어 포트의 상태를 비인증된 것으로 설정하고, 상기 제어 포트는 여전히 개방 상태를 유지함-
    를 포함하는 것을 특징으로 하는 포트 기반 피어 액세스 제어 방법.
  2. 제1 항에 있어서,
    상기 인증 서버 엔티티를 인에이블시키는 단계 -상기 인증 제어 엔티티와 상기 인증 서버 엔티티는 사용자와 액세스 포인트가 통신하기 이전에 먼저 인에이블되고, 상기 인증 서버 엔티티는 상기 인증 제어 엔티티에 관련된 보안 관리 정보를 저장하고, 상기 인증 서버 엔티티는 상기 인증 제어 엔티티의 인증 서브시스템에 접속되고, 상기 인증 서버 엔티티는 인증에 필요한 정보를 제공하기 위해 상기 인증 제어 엔티티의 인증 서브시스템과 보안 관리 정보를 통신하며, 상기 인증 서브시스템은 상기 인증 서버 엔티티의 도움으로 또는 상기 인증 서버 엔티티의 도움 없이 인증 과정을 완료하거나 상기 인증 과정을 모두 단독으로 완료할 수 있음-
    를 포함하는 것을 특징으로 하는 포트 기반 피어 액세스 제어 방법.
  3. 제1 항 또는 제2 항에 있어서,
    두 인증 제어 엔티티가 키 협상하는 단계 -상기 인증 서브시스템은 키 협상 기능을 포함하고, 상기 두 인증 제어 엔티티가 상호 인증하고 있을 때 상기 키 협상은 상기 인증 과정 동안에 또는 상기 인증 과정 후에 완료될 수 있고, 상기 키 협상이 상기 인증이 완료된 후에 독립적으로 수행되어야 하는 경우에, 상기 키 협상은 상기 두 인증 제어 엔티티에 의해 독립적으로 완료됨-
    를 포함하는 것을 특징으로 하는 포트 기반 피어 액세스 제어 방법.
  4. 제3 항에 있어서,
    상기 키 협상이 상기 인증 과정에서 인증과 동시에 완료되는 동안에, 상기 인증 서브시스템은 상기 인증 서버 엔티티의 도움으로 또는 상기 인증 서버 엔티티의 도움 없이 상기 키 협상 과정을 완료하거나 상기 인증 과정을 모두 단독으로 완료할 수 있는 것을 특징으로 하는 포트 기반 피어 액세스 제어 방법.
  5. 제1 항 또는 제2 항에 있어서,
    상기 인증 서버 엔티티는 상기 인증 제어 엔티티의 속성 정보를 저장하고, 상기 속성 정보를 상기 인증 제어 엔티티에 전송하는 것을 특징으로 하는 포트 기반 피어 액세스 제어 방법.
  6. 제1 항 또는 제2 항에 있어서,
    상기 제어 포트의 상태를 설정하는 단계는,
    상기 인증이 성공적이면, 상기 인증 서브시스템이 상기 제어 포트의 상태를 인증 상태로 설정, 즉 데이터 패킷이 통과할 수 있도록 상기 제어 포트의 상태를 개방 상태에서 폐쇄 상태가 되도록 변화시키고; 상기 인증이 성공적이지 않으면, 상기 인증 서브시스템이 상기 제어 포트의 상태를 비인증 상태로 설정, 즉 상기 제어 포트가 개방 상태를 유지하도록 함으로써 수행되는 것을 특징으로 하는 포트 기반 피어 액세스 제어 방법.
  7. 제3 항에 있어서,
    상기 인증 서버 엔티티는 상기 인증 제어 엔티티의 속성 정보를 저장하고, 상기 속성 정보를 상기 인증 제어 엔티티에 전송하는 것을 특징으로 하는 포트 기반 피어 액세스 제어 방법.
  8. 제3 항에 있어서,
    상기 제어 포트의 상태를 설정하는 단계 -상기 인증과 상기 키 협상이 성공적이면, 상기 인증 서브시스템은 상기 제어 포트의 상태를 인증 상태로 설정하며, 상기 제어 포트의 상태가 개방 상태에서 폐쇄 상태로 됨으로써 패킷 통과가 허용되고; 상기 인증과 상기 키 협상이 성공적이지 않으면, 상기 인증 서브시스템은 상기 제어 포트의 상태를 비인증 상태로 설정하고, 상기 제어 포트는 여전히 개방 상태를 유지함- 를 포함하는 것을 특징으로 하는 포트 기반 피어 액세스 제어 방법.
  9. 제1 항 또는 제2 항에 있어서,
    상기 인증 제어 엔티티와 상기 인증 서버 엔티티는 단일 시스템으로 또는 별개 시스템으로 구현될 수 있고,
    상기 단일 시스템은 하나 이상의 인증 제어 엔티티를 구비할 수 있는 것을 특징으로 하는 포트 기반 피어 액세스 제어 방법.
KR1020077021552A 2005-02-21 2006-02-21 포트 기반 피어 액세스 제어 방법 KR101218701B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN200510041713.3 2005-02-21
CN200510041713A CN1655504B (zh) 2005-02-21 2005-02-21 基于端口的对等访问控制方法

Publications (2)

Publication Number Publication Date
KR20070122459A true KR20070122459A (ko) 2007-12-31
KR101218701B1 KR101218701B1 (ko) 2013-01-07

Family

ID=34894446

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077021552A KR101218701B1 (ko) 2005-02-21 2006-02-21 포트 기반 피어 액세스 제어 방법

Country Status (7)

Country Link
US (1) US8176325B2 (ko)
EP (1) EP1858195B1 (ko)
JP (1) JP5112884B2 (ko)
KR (1) KR101218701B1 (ko)
CN (1) CN1655504B (ko)
ES (1) ES2667530T3 (ko)
WO (1) WO2006086931A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101017972B1 (ko) * 2008-06-26 2011-03-02 삼성전자주식회사 이동통신 단말기에서 보안 연계 상태 동기화 장치 및 방법

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9038193B2 (en) * 1998-08-14 2015-05-19 Azos Al, Llc System and method of data cognition incorporating autonomous security protection
CN1655504B (zh) * 2005-02-21 2010-05-05 西安西电捷通无线网络通信有限公司 基于端口的对等访问控制方法
JP2008282298A (ja) * 2007-05-14 2008-11-20 Panasonic Corp システム管理作業承認システム、システム管理作業承認方法及びそのプログラム
CN100566252C (zh) * 2007-08-03 2009-12-02 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接系统
JP5078514B2 (ja) * 2007-09-10 2012-11-21 株式会社リコー 通信装置
CN100496025C (zh) 2007-11-16 2009-06-03 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制方法
CN101232378B (zh) 2007-12-29 2010-12-08 西安西电捷通无线网络通信股份有限公司 一种无线多跳网络的认证接入方法
CN101217811B (zh) * 2008-01-17 2010-06-02 西安西电捷通无线网络通信有限公司 一种宽带无线多媒体网络广播通信的安全传输方法
US8484705B2 (en) * 2008-04-25 2013-07-09 Hewlett-Packard Development Company, L.P. System and method for installing authentication credentials on a remote network device
CN101527718B (zh) 2009-04-16 2011-02-16 西安西电捷通无线网络通信股份有限公司 一种建立三元对等鉴别可信网络连接架构的方法
CN101540676B (zh) 2009-04-28 2012-05-23 西安西电捷通无线网络通信股份有限公司 一种适合三元对等鉴别可信网络连接架构的平台鉴别方法
EP2700255B1 (en) 2011-04-18 2018-02-21 Hewlett-Packard Development Company, L.P. Access control
US8909929B2 (en) * 2012-05-31 2014-12-09 Atmel Corporation Stored public key validity registers for cryptographic devices and systems
US9549024B2 (en) 2012-12-07 2017-01-17 Remote Media, Llc Routing and synchronization system, method, and manager
CN104168171B (zh) * 2014-08-12 2017-12-01 深信服科技股份有限公司 接入点的访问方法及装置
US20180013798A1 (en) * 2016-07-07 2018-01-11 Cisco Technology, Inc. Automatic link security

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6311218B1 (en) * 1996-10-17 2001-10-30 3Com Corporation Method and apparatus for providing security in a star network connection using public key cryptography
JP2000004433A (ja) * 1998-06-16 2000-01-07 Toshiba Corp データ処理装置および同装置に適用される認証処理方法
US6569316B2 (en) * 2000-04-17 2003-05-27 Exxonmobil Research And Engineering Company Cycle oil conversion process incorporating shape-selective zeolite catalysts
JP2002344438A (ja) 2001-05-14 2002-11-29 Nippon Telegr & Teleph Corp <Ntt> 鍵共有システム及び装置並びにプログラム
US7181530B1 (en) * 2001-07-27 2007-02-20 Cisco Technology, Inc. Rogue AP detection
US20040003247A1 (en) * 2002-03-11 2004-01-01 Fraser John D. Non-centralized secure communication services
PT1529374E (pt) * 2002-08-16 2006-12-29 Togewa Holding Ag Processo e sistema para autenticação gsm durante o roaming com wlan
CN1160875C (zh) 2002-09-06 2004-08-04 联想(北京)有限公司 一种无线设备间进行连接认证的方法
CN1142662C (zh) * 2002-10-16 2004-03-17 华为技术有限公司 同时支持基于不同设备网络接入认证的方法
CN100341305C (zh) * 2002-11-26 2007-10-03 华为技术有限公司 基于802.1x协议的组播控制方法
TWI249316B (en) * 2004-02-10 2006-02-11 Ind Tech Res Inst SIM-based authentication method for supporting inter-AP fast handover
US7447166B1 (en) * 2004-11-02 2008-11-04 Cisco Technology, Inc. Method to distribute IEEE 802.1X authenticated users among multiple broadcast domains
US8369830B2 (en) * 2004-12-30 2013-02-05 Telecom Italia S.P.A. Method and system for detecting attacks in wireless data communications networks
CN1655504B (zh) * 2005-02-21 2010-05-05 西安西电捷通无线网络通信有限公司 基于端口的对等访问控制方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101017972B1 (ko) * 2008-06-26 2011-03-02 삼성전자주식회사 이동통신 단말기에서 보안 연계 상태 동기화 장치 및 방법
US8607327B2 (en) 2008-06-26 2013-12-10 Samsung Electronics Co., Ltd. Apparatus and method for synchronizing security association state in mobile communication terminal

Also Published As

Publication number Publication date
EP1858195B1 (en) 2018-04-04
EP1858195A1 (en) 2007-11-21
JP5112884B2 (ja) 2013-01-09
CN1655504A (zh) 2005-08-17
WO2006086931A1 (fr) 2006-08-24
US20080288777A1 (en) 2008-11-20
EP1858195A4 (en) 2010-06-02
ES2667530T3 (es) 2018-05-11
US8176325B2 (en) 2012-05-08
CN1655504B (zh) 2010-05-05
JP2008530698A (ja) 2008-08-07
KR101218701B1 (ko) 2013-01-07

Similar Documents

Publication Publication Date Title
KR101218701B1 (ko) 포트 기반 피어 액세스 제어 방법
JP4819328B2 (ja) セキュリティプロトコルの自動ネゴシエーションのためのシステムおよび方法
EP1852999B1 (en) An access authentication method suitable for the wire-line and wireless network
KR101144572B1 (ko) 무선 다중?홉 네트워크에 대한 인증 엑세스 방법 및 인증 엑세스 시스템
EP2677788B1 (en) Method and system for data aggregation for communication tasks common to multiple devices
US7673146B2 (en) Methods and systems of remote authentication for computer networks
KR100820671B1 (ko) 네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치
US20040158735A1 (en) System and method for IEEE 802.1X user authentication in a network entry device
CN101129014B (zh) 用于建立多个会话的系统和方法
US8719897B2 (en) Access control method for tri-element peer authentication credible network connection structure
WO2008074233A1 (fr) Procédé de contrôle d&#39;accès p2p faisant intervenir une structure à trois éléments
WO2008074234A1 (fr) Système de contrôle d&#39;accès p2p faisant intervenir une structure à trois éléments et dispositif d&#39;autorisation associé
CN102271120A (zh) 一种增强安全性的可信网络接入认证方法
CN101521884A (zh) 一种自组网模式下安全关联建立方法及终端
Cisco About CA
Cisco About CA
Hegland et al. A framework for authentication in nbd tactical ad hoc networks
Yeager P2p security and jxta
WO2011072512A1 (zh) 一种支持多受控端口的访问控制方法及其系统
Kwan WHITE PAPER: 802.1 XAuthentication & EXTENSIBLE AUTHENTICATION PROTOCOL (EAP)
Mesic et al. An Overview of Port-Based Network Access Control
Riaz Wireless Authentication for secured and Efficient Communication

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151218

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161216

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20181220

Year of fee payment: 7