KR20090014625A - Authentication system and method in network having private network - Google Patents
Authentication system and method in network having private network Download PDFInfo
- Publication number
- KR20090014625A KR20090014625A KR1020070078703A KR20070078703A KR20090014625A KR 20090014625 A KR20090014625 A KR 20090014625A KR 1020070078703 A KR1020070078703 A KR 1020070078703A KR 20070078703 A KR20070078703 A KR 20070078703A KR 20090014625 A KR20090014625 A KR 20090014625A
- Authority
- KR
- South Korea
- Prior art keywords
- terminal
- private
- network
- user database
- access control
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/503—Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
와이브로 사업자 네트워크에 등록되어 있는 사용자가 보안이 필요한 특정 지역이나 사설 네트워크에 접근할 때 해당 네트워크에서 인가된 사용자일 경우에만 접근이 가능하도록 하는 간단한 인증 절차를 수행하고, 사용자 단말기가 사업자 네트워크의 인증 절차를 종료한 후 이루어지는 부가적인 인증 절차에 관한 것이다. When a user registered in WiBro service provider network accesses a specific area or private network that requires security, a simple authentication process is performed so that the user can access only the authorized user in the network. It is about an additional authentication process that takes place after terminating.
일반적으로 와이브로 네트워크에서 사용자 단말기는 사업자 네트워크에 진입하기 위해서 단말기 인증을 받아야 한다. In general, in a WiBro network, a user terminal needs to authenticate a terminal to enter an operator network.
이 인증 과정은 보통 단말기가 IP(Internet Protocol) 주소를 할당받기 전에 사업자 네트워크의 AAA(Authentication, Authorization, Accounting) 서버에 인증을 요청하는 것으로 이루어진다. This authentication process usually consists of requesting authentication to the AAA (Authentication, Authorization, Accounting) server of the operator's network before the terminal is assigned an IP (Internet Protocol) address.
따라서 IP 주소를 할당 받기 전이기 때문에 단말기가 직접 AAA 서버에 인증을 요청할 수 없고, 단말기가 ACR(Access Control Router)에게 MAC 메시지를 통해 인증을 대행해줄 것을 요청한다. Therefore, the terminal cannot directly request authentication from the AAA server because the IP address has not been assigned, and the terminal requests the ACR (Access Control Router) to perform authentication through a MAC message.
인증 요청과 관련된 MAC 메시지를 액세스 제어 라우터가 단말기로부터 수신하게 되면 액세스 제어 라우터는 Diameter 프로토콜을 사용하여 요청 단말기에 대한 사용자 인증을 AAA 서버에게 요청한다. When the access control router receives a MAC message related to the authentication request from the terminal, the access control router requests the AAA server for user authentication for the requesting terminal using the Diameter protocol.
도 1은 와이브로 네트워크에서 단말기(10)의 인증 과정을 나타내는 도면이다. 1 is a diagram illustrating an authentication process of a
상기 단말기(10)는 상기 액세스 제어 라우터(20)를 통해 IP 주소를 할당받기 전에 AAA 서버(30)로부터 사용자 인증을 받아야 하며, 이 인증 과정에 있은 후에야 상기 액세스 제어 라우터(20)가 사용자 프로파일(Profile)을 확인한 후에야 상기 단말기(10)는 IP 주소를 할당받을 수 있다. The
그러나 종래 와이브로 네트워크에서 사용자가 접속하는 지역이나 서비스에 따라서 추가적으로 인증을 받아야 할 필요가 있는 경우가 발생한다. 즉, 와이브로 사용자로써 인증을 받았을 뿐만 아니라 특정 망이나 서비스를 사용하기 위해서 추가로 인증을 받아야 하는 경우가 있다. However, in the conventional WiBro network, it may be necessary to additionally authenticate according to a region or a service that a user accesses. That is, in addition to being authenticated as a WiBro user, there are cases where additional authentication is required to use a specific network or service.
예를 덜어 와이브로 단말기를 사용하는 연구소를 가정하면, 사용자 인증만 받은 단말기가 연구소 내에서 통신이 가능할 경우 연구소 외부의 사용자가 악의적으로 연구서 내에 있는 기밀들이 사업자 네트워크를 통해 외부로 유출할 수 있을 것이다. For example, assuming a lab using WiBro terminals, if a terminal authenticated only by a user can communicate within the lab, the secrets inside the research document may be leaked to the outside through the operator's network.
하지만, 추가적으로 인증된 사용자만이 연구소 내부에서 통신을 할 수 있다 면 연구소 내부의 보안은 더욱 강화될 것이다. However, if only authorized users can communicate inside the lab, the security inside the lab will be further strengthened.
이러한 종래 와이브로 네트워크에서의 인증 과정은 모든 접속 절차보다 우선해서 이루어진다. 특히, 인증 절차는 IP 주소를 할당 받기 전에 이루어지기 때문에 별도의 인증 절차를 추가하거나 인증 절차를 수정하는 데이는 표준에 정의되어 있는 MAC 주소를 할당 받기 전에 와이브로 표준으로 명시되어 있는 MAC 메시지를 통해서 통신을 하기 때문에 표준으로 정의되어 있는 메시지 흐름을 변경하기 전에는 별도의 인증 절차를 구현하기가 매우 어려운 문제점이 있었다. The authentication process in the conventional WiBro network takes precedence over all access procedures. In particular, the authentication process takes place before the IP address is assigned, so adding a separate authentication procedure or modifying the authentication process is communicated through the MAC message specified by the WiBro standard before the MAC address is defined in the standard. Therefore, it was very difficult to implement a separate authentication procedure before changing the message flow defined by the standard.
따라서 본 발명은 상기와 같은 종래의 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 와이브로 네트워크를 사용하는 기업체 또는 단체에서 추가적인 인증이 필요할 경우 AAA 서버 인증 이외에 간단한 인증 절차를 추가하여 추가 인증 절차에서 인가된 사용자만 서비스를 받도록 해주는 사설 네트워크를 갖는 네트워크에서의 인증 시스템 및 인증 방법을 제공하는 데 있다. Therefore, the present invention is to solve the conventional problems as described above, the object of the present invention is to add a simple authentication procedure in addition to the AAA server authentication when additional authentication is required in the enterprise or organization using the WiBro network is authorized in the additional authentication procedure The present invention provides an authentication system and authentication method in a network having a private network that allows only authorized users to receive services.
상기한 목적을 달성하기 위한 본 발명에 따른 사설 네트워크를 갖는 네트워크에서의 인증 시스템의 일 측면에 따르면, 사설 네트워크에 접속을 승인하기 위한 사용자 정보를 저장하는 사설 사용자 데이터베이스; 및 와이브로 네트워크의 AAA 서버를 통해 단말기의 공인 인증을 수행한 후 상기 AAA 서버로부터 사용자의 프로파일을 수신하는 한편, 상기 AAA 서버로부터 수신한 사용자의 프로파일을 통해 단 말기가 상기 사설 사용자 데이터베이스에 등록되어 있는지를 확인하고 상기 사설 사용자 데이터베이스에 접속 가능한 IP 주소를 상기 단말기에게 할당한 후 단말기의 IP 할당 정보를 상기 사설 사용자 데이터베이스에 등록하고 상기 사설 사용자 데이터베이스를 통해 사설 인증을 수행하는 액세스 제어 라우터를 포함한다. According to an aspect of an authentication system in a network having a private network according to the present invention for achieving the above object, a private user database for storing user information for granting access to a private network; And receiving the user's profile from the AAA server after performing the authorized authentication of the terminal through the AAA server of the WiBro network, and whether the terminal is registered in the private user database through the user's profile received from the AAA server. And an access control router for allocating an IP address accessible to the private user database to the terminal, registering IP allocation information of the terminal in the private user database, and performing private authentication through the private user database.
여기서, 상기 사설 사용자 데이터베이스는 상기 액세스 제어 라우터로부터 단말기의 등록 여부를 확인한 후 단말기의 주소 정보가 등록되면, 단말기의 ID를 생성하여 등록함과 동시에 상기 액세스 제어 라우터를 통해 해당 단말기에게 제공한다. Here, the private user database checks whether the terminal is registered from the access control router, and if the terminal address information is registered, the private user database generates and registers the ID of the terminal and provides the terminal to the corresponding terminal through the access control router.
그리고 상기 사설 사용자 데이터베이스는, 상기 사설 인증 시, 난수를 생성하는 한편, 생성된 난수와 해당 단말기의 MAC 주소 및 ID 값을 MD5로 해싱(hashing)한 결과 값을 저장한다. The private user database generates a random number during the private authentication, and stores a result value of hashing the generated random number and the MAC address and ID value of the corresponding terminal with MD5.
또한 상기 액세스 제어 라우터는 단말기의 MAC로 암호화한 난수를 포함하는 인증 요청 메시지를 해당 단말기로 전송한 후 사설 사용자 데이터베이스로부터 제공된 난수와 해당 단말기의 MAC 주소 및 ID 값을 MD5로 해싱(hashing)한 결과 값을 해당 단말기로부터 수신하여 상기 사설 사용자 데이터베이스에 저장된 해싱 결과 값과 동일한지의 여부를 판단하고 동일하면 해당 단말기의 사설 인증을 승인한다. In addition, the access control router transmits an authentication request message including the random number encrypted with the terminal MAC to the terminal, and hashes the random number provided from the private user database, the MAC address and ID value of the terminal with MD5. The value is received from the corresponding terminal to determine whether the same value as the hashing result value stored in the private user database, and if the same, private authentication of the corresponding terminal is approved.
그리고 상기 액세스 제어 라우터는, 상기 단말기가 사설 사용자 데이터베이스에 최초 접속하면, 상기 사설 사용자 데이터베이스로부터 생성된 ID와 단말기의 MAC 주소를 포함하는 사설 인증 정보 메시지를 해당 단말기로 제공하는 한편 그 사설 인증 응답 메시지를 수신한다. When the terminal accesses the private user database for the first time, the access control router provides a private authentication information message including the ID generated from the private user database and the MAC address of the terminal to the corresponding terminal, and the private authentication response message. Receive
이러한 상기 액세스 제어 라우터는, 사설 DHCP 서버를 통해 상기 단말기에게 IP 주소를 할당하거나 상기 와이브로 네트워크의 DHCP 서버를 통해 사설 IP 주소를 제공받아 상기 단말기에게 할당한다. The access control router assigns an IP address to the terminal through a private DHCP server or receives a private IP address through a DHCP server of the WiBro network and assigns the terminal to the terminal.
상기 사용자 정보는, 단말기의 ID, 단말기의 MAC 주소이며, 상기 사용자의 프로파일은 RAS ID, 단말기의 MAC 주소이고, 상기 IP 할당 정보는 단말기의 IP 주소, 단말기의 MAC 주소이다. The user information is an ID of the terminal, the MAC address of the terminal, the profile of the user is a RAS ID, the MAC address of the terminal, and the IP allocation information is an IP address of the terminal and a MAC address of the terminal.
본 발명에 따른 사설 네트워크를 갖는 네트워크에서의 인증 방법의 일 측면에 따르면, 사설 사용자 데이터베이스는 사설 네트워크에 접속을 승인하기 위한 사용자 정보를 저장하는 단계; 액세스 제어 라우터는 와이브로 네트워크의 AAA 서버를 통해 단말기의 공인 인증을 수행한 후 상기 AAA 서버로부터 사용자의 프로파일을 수신하는 단계; 상기 액세스 제어 라우터는 상기 AAA 서버로부터 수신한 사용자의 프로파일을 통해 단말기가 상기 사설 사용자 데이터베이스에 등록되어 있는지를 판단하는 단계; 상기 단말기가 사설 사용자 데이터베이스에 등록되어 있는지의 여부를 판단하는 단계에서 단말기가 등록되어 있으면, 상기 액세스 제어 라우터는 상기 사설 사용자 데이터베이스에 접속 가능한 IP 주소를 상기 단말기에게 할당하는 단계; 및 상기 액세스 제어 라우터는 상기 단말기의 IP 할당 정보를 상기 사설 사용자 데이터베이스에 등록한 후 상기 사설 사용자 데이터베이스를 통해 사설 인증을 수행하는 단계를 포함한다. According to an aspect of an authentication method in a network having a private network according to the present invention, the private user database includes storing user information for granting access to the private network; The access control router receives the user's profile from the AAA server after performing the authorized authentication of the terminal through the AAA server of the WiBro network; Determining, by the access control router, whether a terminal is registered in the private user database through a profile of a user received from the AAA server; If the terminal is registered in the step of determining whether the terminal is registered in the private user database, the access control router assigning to the terminal an IP address accessible to the private user database; And registering, by the access control router, IP allocation information of the terminal in the private user database and performing private authentication through the private user database.
여기서 상기 액세스 제어 라우터는 상기 사설 사용자 데이터베이스에 접속 가능한 IP 주소를 상기 단말기에게 할당하는 단계는, 상기 액세스 제어 라우터가 단말기의 주소 정보를 등록한 후 상기 사설 사용자 데이터베이스로부터 생성된 단말기의 ID를 해당 단말기에게 제공한다. The step of assigning, to the terminal, an IP address accessible to the private user database by the access control router, after the access control router registers address information of the terminal, the ID of the terminal generated from the private user database is assigned to the terminal. to provide.
그리고 상기 사설 사용자 데이터베이스를 통해 사설 인증을 수행하는 단계는, 상기 사설 사용자 데이터베이스가 난수를 생성하는 한편, 생성된 난수와 해당 단말기의 MAC 주소 및 ID 값을 MD5로 해싱(hashing)한 결과 값을 저장한다. In the performing of the private authentication through the private user database, the private user database generates a random number and stores a result value of hashing the generated random number and the MAC address and ID value of the corresponding terminal with MD5. do.
또한 상기 사설 사용자 데이터베이스를 통해 사설 인증을 수행하는 단계는, 상기 액세스 제어 라우터가 단말기의 MAC로 암호화한 난수를 포함하는 인증 요청 메시지를 해당 단말기로 전송하는 단계; 상기 액세스 제어 라우터가 사설 사용자 데이터베이스로부터 제공된 난수와 해당 단말기의 MAC 주소 및 ID 값을 MD5로 해싱(hashing)한 결과 값을 해당 단말기로부터 수신하여 상기 사설 사용자 데이터베이스에 저장된 해싱 결과 값과 동일한지의 여부를 판단하는 단계; 상기 사설 사용자 데이터베이스에 저장된 해싱 결과 값과 단말기로부터 수신한 해싱 결과 값이 동일한지를 판단하는 단계에서 단말기로부터 수신한 해싱 결과 값과 사설 사용자 데이터베이스에 저장된 해싱 결과 값이 동일하면, 상기 액세스 제어 라우터가 해당 단말기의 사설 인증을 승인하는 단계를 더 포함한다. In addition, performing private authentication through the private user database may include transmitting an authentication request message including a random number encrypted by the MAC of the terminal to the terminal; Whether the access control router receives the random number provided from the private user database, the MAC address and ID value of the corresponding terminal by MD5 from the terminal, and whether the access control router is the same as the hashing result value stored in the private user database. Determining; In the determining whether the hashing result value stored in the private user database and the hashing result value received from the terminal are the same, when the hashing result value received from the terminal and the hashing result value stored in the private user database are the same, the access control router corresponds to the corresponding hashing result value. Approving the private authentication of the terminal further comprises.
그리고 상기 액세스 제어 라우터가 단말기의 주소 정보를 등록한 후 상기 사설 사용자 데이터베이스로부터 생성된 단말기의 ID를 해당 단말기에게 제공하는 단계는, 상기 단말기가 사설 사용자 데이터베이스에 최초 접속하면, 상기 액세스 제 어 라우터가 상기 사설 사용자 데이터베이스로부터 생성된 ID와 단말기의 MAC 주소를 포함하는 사설 인증 정보 메시지를 해당 단말기로 제공하는 한편 그 사설 인증 응답 메시지를 수신한다. And providing the ID of the terminal generated from the private user database to the corresponding terminal after the access control router registers the address information of the terminal, when the terminal first accesses the private user database, It provides a private authentication information message including the ID generated from the private user database and the MAC address of the terminal to the corresponding terminal and receives the private authentication response message.
또한 상기 액세스 제어 라우터는 상기 사설 사용자 데이터베이스에 접속 가능한 IP 주소를 상기 단말기에게 할당하는 단계는, 상기 액세스 제어 라우터가 사설 DHCP 서버를 통해 상기 단말기에게 IP 주소를 할당한다. The access control router assigns an IP address accessible to the private user database to the terminal. The access control router assigns an IP address to the terminal through a private DHCP server.
한편, 상기 액세스 제어 라우터는 상기 사설 사용자 데이터베이스에 접속 가능한 IP 주소를 상기 단말기에게 할당하는 단계는, 상기 액세스 제어 라우터가 상기 와이브로 네트워크의 DHCP 서버를 통해 사설 IP 주소를 제공받아 상기 단말기에게 할당한다. On the other hand, the access control router assigns an IP address accessible to the private user database to the terminal, the access control router receives a private IP address through a DHCP server of the WiBro network and assigns it to the terminal.
한편, 상기 사용자 정보는, 단말기의 ID, 단말기의 MAC 주소이며, 상기 사용자의 프로파일은 RAS ID, 단말기의 MAC 주소이고, 상기 IP 할당 정보는 단말기의 IP 주소, 단말기의 MAC 주소이다. On the other hand, the user information is the ID of the terminal, the MAC address of the terminal, the profile of the user is a RAS ID, the MAC address of the terminal, the IP allocation information is the IP address of the terminal, the MAC address of the terminal.
상술한 바와 같이 본 발명에 의한 사설 네트워크를 갖는 네트워크에서의 인증 시스템 및 인증 방법에 의하면, 특정 망에 접속하고자 하는 사용자를 구분할 수 있을 뿐만 아니라 사용자 단말기가 IP 주소를 할당 받은 후에 인증이 이루어지기 때문에 단말기와 액세스 제어 라우터가 초기에 주고받은 MAC 메시지의 포맷을 변경하지 않고도 구현할 수 있는 뛰어난 효과가 있다. As described above, according to the authentication system and authentication method in a network having a private network according to the present invention, not only can a user be connected to a specific network, but also authentication is performed after the user terminal is assigned an IP address. There is an excellent effect that the terminal and the access control router can implement without changing the format of the MAC message initially sent and received.
이하, 본 발명에 따른 사설 네트워크를 갖는 네트워크에서의 인증 시스템 및 인증 방법에 대한 바람직한 실시 예에 대하여 첨부한 도면을 참조하여 상세하게 살펴보기로 한다. 이 때, 아래에서 설명하는 시스템 구성은 본 발명의 설명을 위해서 인용한 시스템으로써 아래 시스템으로 본 발명을 한정하지 않음을 이 분야의 통상의 지식을 가진 자라면 이해해야할 것이다. Hereinafter, exemplary embodiments of an authentication system and an authentication method in a network having a private network according to the present invention will be described in detail with reference to the accompanying drawings. At this time, it will be understood by those of ordinary skill in the art that the system configuration described below is a system cited for the purpose of the present invention and does not limit the present invention to the following system.
도 2는 본 발명에 따른 사설 네트워크를 갖는 네트워크에서의 인증 시스템의 구성을 나타낸 도면으로서, 본 발명에 따른 사설 네트워크를 갖는 네트워크에서의 인증 시스템은 단말기(100), 사설 사용자 데이터베이스(200), 액세스 제어 라우터(300)를 포함하며, 상기 액세스 제어 라우터(300)는 IP를 통해 와이브로 네트워크(1)의 AAA(Authentication, Authorization, Accounting) 서버(11), DHCP(dynamic host configuration protocol)서버(12) 등과 연결되어 있다. 2 is a diagram illustrating a configuration of an authentication system in a network having a private network according to the present invention. The authentication system in a network having a private network according to the present invention includes a
먼저, 상기 사설 사용자 데이터베이스(200)는 사설 네트워크에 접속을 승인하기 위한 사용자 정보를 저장한다. 이때, 사용자 정보는 단말기(100)의 ID(identification), 단말기(100)의 MAC 주소이다. First, the
또한 상기 사설 사용자 데이터베이스(200)는 상기 액세스 제어 라우터(300)로부터 단말기(100)의 등록 여부를 확인한 후 단말기(100)의 주소 정보가 등록되면, 단말기(100)의 ID를 생성하여 등록함과 동시에 상기 액세스 제어 라우터(300)를 통해 해당 단말기(100)에게 제공한다. In addition, the
또한 상기 사설 사용자 데이터베이스(200)는, 상기 사설 인증 시, 난수를 생성하는 한편, 생성된 난수와 해당 단말기(100)의 MAC 주소 및 ID 값을 MD5로 해싱(hashing)한 결과 값을 저장한다. In addition, the
그리고 상기 액세스 제어 라우터(300)는 상기 와이브로 네트워크(1)의 AAA 서버(11)를 통해 단말기(100)의 와이브로 인증을 수행한 후 상기 AAA 서버(11)로부터 사용자의 프로파일을 수신하는 한편, 상기 AAA 서버(11)로부터 수신한 사용자의 프로파일을 통해 단말기(100)가 상기 사설 사용자 데이터베이스(200)에 등록되어 있는지를 확인하고 상기 사설 사용자 데이터베이스(200)에 접속 가능한 IP 주소를 상기 단말기(100)에게 할당한 후 단말기(100)의 IP 할당 정보를 상기 사설 사용자 데이터베이스(200)에 등록하고 상기 사설 사용자 데이터베이스(200)를 통해 사설 인증을 수행한다. 여기서 상기 사용자의 프로파일은 RAS(Registration admission and status) ID, 단말기(100)의 MAC 주소이며, 상기 IP 할당 정보는 단말기(100)의 IP 주소, 단말기(100)의 MAC 주소이다. The
이러한 상기 액세스 제어 라우터(300)는, 단말기(100)의 MAC로 암호화한 난수를 포함하는 인증 요청 메시지를 해당 단말기(100)로 전송한 후 사설 사용자 데이터베이스(200)로부터 제공된 난수와 해당 단말기(100)의 MAC 주소 및 ID 값을 MD5로 해싱(hashing)한 결과 값을 해당 단말기(100)로부터 수신하여 상기 사설 사용자 데이터베이스(200)에 저장된 해싱 결과 값과 동일한지의 여부를 판단하고 동일하면 해당 단말기(100)의 사설 인증을 승인한다. The
또한 상기 액세스 제어 라우터(300)는, 상기 단말기(100)가 사설 사용자 데이터베이스(200)에 최초 접속하면, 상기 사설 사용자 데이터베이스(200)로부터 생성된 ID와 단말기(100)의 MAC 주소를 포함하는 사설 인증 정보 메시지를 해당 단말기(100)로 제공하는 한편 그 사설 인증 응답 메시지를 수신한다. Also, when the
상기 액세스 제어 라우터(300)는, 사설 DHCP 서버(310)를 통해 상기 단말기(100)에게 IP 주소를 할당하거나 상기 와이브로 네트워크(1)의 DHCP 서버(12)를 통해 사설 IP 주소를 제공받아 상기 단말기(100)에게 할당한다. The
하기에서는 사설 네트워크를 갖는 네트워크에서의 인증 시스템의 동작 과정에 대하여 설명하기로 한다. Hereinafter, an operation process of an authentication system in a network having a private network will be described.
상기 와이브로 네트워크(1)는 적어도 하나 이상의 단말기(100)와, RAS, 액세스 제어 라우터(300), AAA 서버(11), DHCP 서버(12)로 구현되어 있다. The WiBro
여기서, 사설 네트워크(2)를 형성하고 사설 네트워크(2)에 위치한 액세스 제어 라우터(300)는 독립적인 사설 사용자 데이터베이스(200)를 포함하고 있다. Here, the
상기 사설 네트워크(2)에 형성된 사설 사용자 데이터베이스(200)는 사설 네트워크(2)에 접속하는 단말기(100)를 인증하기 위한 사용자 정보(단말기(100)의 ID, 단말기(100)의 MAC 주소)를 포함하고 있다. The
이후, 사설 네트워크(2)에 형성된 액세스 제어 라우터(300)는 임의의 단말기(100)로부터 인증 요청 메시지를 수신하면, 도 1에 도시된 바와 같이 상기 와이브로 네트워크(1)의 AAA 서버(11)를 통해 단말기(100)의 와이브로 인증을 수행한 다. Then, when the
이때, 상기 액세스 제어 라우터(300)는 와이브로 네트워크(1)의 AAA 서버(11)로부터 인증된 단말기(100)의 사용자 프로파일을 수신한다. At this time, the
따라서 상기 인증된 단말기(100)의 사용자 프로파일을 수신한 상기 액세스 제어 라우터(300)가 AAA 서버(11)를 통해 인증된 단말기(100)로부터 IP 할당 메시지를 요청받으면 상기 사설 사용자 데이터베이스(200)에 접속하여 DB Query 메시지를 상기 사설 사용자 데이터베이스(200)로 전송하여 RAS ID, MAC 주소에 대한 쿼리(query)를 수행한다. Accordingly, when the
만약, 단말기(100)의 RAS ID와 MAC 주소가 상기 사설 사용자 데이터베이스(200)에 등록되어 있으면, 상기 사설 사용자 데이터베이스(200)는 상기 액세스 제어 라우터(300)에 DB response 메시지(OK)를 전송한다. If the RAS ID and MAC address of the terminal 100 are registered in the
그러면, 상기 액세스 제어 라우터(300)는 와이브로 네트워크(1)의 AAA 서버(11)에 접속하여 해당 단말기(100)의 IP 주소를 할당받는다. 이때, 상기 액세스 제어 라우터(300)가 AAA 서버(11)로부터 할당받는 IP 주소는 상기 사설 사용자 데이터베이스(200)에 접속 가능한 사설 IP 주소를 할당한다. 한편, 상기 액세스 제어 라우터(300)는 사설 DHCP 서버(310)를 두어 해당 단말기(100)의 사설 IP 주소를 할당할 수 있다. Then, the
상기 액세스 제어 라우터(300)가 해당 단말기(100)에 사설 IP 주소를 할당한 후 사설 IP 주소 할당 정보(DHCP complete) 메시지를 상기 사설 사용자 데이터베이스(200)에 전송하여 등록한다. After the
그러면, 상기 사설 사용자 데이터베이스(200)는 해당 단말기(100)의 IP 주소와 MAC 주소를 등록하여 관리한다. Then, the
만약, 해당 단말기(100)가 최초 접근한 단말기(100)일 경우, 상기 사설 사용자 데이터베이스(200)는 해당 단말기(100)의 ID를 생성한다. If the terminal 100 is the
이렇게 생성된 ID는 사설 인증 정보 메시지에 포함되어 상기 액세스 제어 라우터(300)를 통해 해당 단말기(100)에 제공된다. The generated ID is included in the private authentication information message and provided to the
이에 해당 단말기(100)는 상기 액세스 제어 라우터(300)를 통해 수신한 ID를 저장하고 그에 따른 사설 인증 응답 메시지를 상기 액세스 제어 라우터(300)로 전송한다. Accordingly, the terminal 100 stores the ID received through the
그러면, 상기 액세스 제어 라우터(300)는 해당 단말기(100)로부터 수신된 사설 인증 응답 메시지를 상기 사설 사용자 데이터베이스(200)에 제공함으로써, 상기 사설 사용자 데이터베이스(200)와 해당 단말기(100)에 동일한 ID를 저장하게 된다. Then, the
이후, 상기 사설 사용자 데이터베이스(200)는 해당 단말기(100)의 인증을 위해 임의의 난수를 생성한다. Thereafter, the
이러게 생성된 난수는 해당 단말기(100)의 MAC으로 암호화하여 인증 요청 메시지에 포함되며 상기 액세스 제어 라우터(300)를 통해 해당 단말기(100)에 제공된다. The random number generated is encrypted in the MAC of the terminal 100 and included in the authentication request message, and is provided to the terminal 100 through the
한편, 상기 사설 사용자 데이터베이스(200)는 해당 단말기(100)의 MAC 주소, ID, 및 난수 값을 MD5 해싱(hashing)하며, 그 해싱결과 값을 저장한다. Meanwhile, the
상기 사설 사용자 데이터베이스(200)로부터 MAC 주소를 통해 암호화된 난수를 인증 요청 메시지를 통해 수신한 해당 단말기(100)는 해당 단말기(100)의 MAC 주소, ID, 및 난수 값을 MD5 해싱(hashing)하며, 그 해싱결과 값을 상기 액세스 제어 라우터(300)를 통해 상기 사설 사용자 데이터베이스(200)에 제공한다. The terminal 100 receiving the encrypted random number through the authentication request message from the
그러면, 상기 액세스 제어 라우터(300)는 해당 단말기(100)로부터 제공된 해싱결과 값과 상기 사설 사용자 데이터베이스(200)에 저장된 해싱결과 값을 비교하여 동일할 경우 해당 단말기(100)를 상기 사설 사용자 데이터베이스(200)에 접근 가능자로 등록하여 인증을 종료한다. Then, the
만약, 상이할 경우 상기 액세스 제어 라우터(300)는 해당 단말기(100)의 사설 IP 주소의 할당을 종료하여 해당 단말기(100)와의 연결을 종료한다. If different, the
한편, 사설 사용자 데이터베이스(200)에 등록되어 있지 않으면 DB response 메시지(NOK)를 액세스 제어 라우터(300)로 전송한다. On the other hand, if not registered in the
이후, 상기 액세스 제어 라우터(300)는 와이브로 네트워크(1)의 DHCP 서버(12)에 접속하여 IP 주소를 할당받으나, 사설 네트워크(2)의 사설 사용자 데이터베이스(200)에는 접속할 수 없다. Thereafter, the
그러면, 상기와 같은 구성을 가지는 본 발명에 따른 사설 네트워크를 갖는 네트워크에서의 인증 방법에 대해 도 3을 참조하여 설명하기로 한다. Next, an authentication method in a network having a private network according to the present invention having the above configuration will be described with reference to FIG. 3.
먼저, 사설 사용자 데이터베이스(200)는 사설 네트워크(2)에 접속을 승인하 기 위한 사용자 정보를 저장한다(S1). 여기서, 상기 사용자 정보는, 단말기(100)의 ID, 단말기(100)의 MAC 주소이다. First, the
이후, 접속을 요청하는 단말기(100)가 존재하면, 액세스 제어 라우터(300)는 상기 와이브로 네트워크(1)의 AAA 서버(11)를 통해 단말기(100)의 와이브로 인증을 수행한 후 상기 AAA 서버(11)로부터 사용자의 프로파일을 수신한다(S2). 여기서, 상기 사용자의 프로파일은, RAS ID, 단말기(100)의 MAC 주소이다. Then, if there is a terminal 100 requesting access, the
이어서, 상기 액세스 제어 라우터(300)는 상기 AAA 서버(11)로부터 수신한 사용자의 프로파일을 통해 접속을 요청한 단말기(100)가 상기 사설 사용자 데이터베이스(200)에 등록되어 있는지를 판단한다(S3). Subsequently, the
만약, 상기 단말기(100)가 사설 사용자 데이터베이스(200)에 등록되어 있는지의 여부를 판단하는 단계에서 단말기(100)가 등록되어 있으면(YES), 상기 액세스 제어 라우터(300)는 상기 사설 사용자 데이터베이스(200)에 접속 가능한 IP 주소를 상기 단말기(100)에게 할당한다(S4). 여기서, 상기 액세스 제어 라우터(300)는 상기 사설 사용자 데이터베이스(200)에 접속 가능한 IP 주소를 상기 단말기(100)에게 할당하는 단계(S4)는, 상기 액세스 제어 라우터(300)가 단말기(100)의 주소 정보를 등록한 후 상기 사설 사용자 데이터베이스(200)로부터 생성된 단말기(100)의 ID를 해당 단말기(100)에게 제공한다. If the terminal 100 is registered in the step of determining whether the terminal 100 is registered in the private user database 200 (YES), the
한편, 상기 액세스 제어 라우터(300)가 단말기(100)의 주소 정보를 등록한 후 상기 사설 사용자 데이터베이스(200)로부터 생성된 단말기(100)의 ID를 해당 단말기(100)에게 제공하는 단계(S4)는, 상기 단말기(100)가 사설 사용자 데이터베이 스(200)에 최초 접속하면, 상기 액세스 제어 라우터(300)가 상기 사설 사용자 데이터베이스(200)로부터 생성된 ID와 단말기(100)의 MAC 주소를 포함하는 사설 인증 정보 메시지를 해당 단말기(100)로 제공하는 한편 그 사설 인증 응답 메시지를 수신한다. On the other hand, after the
이어서, 상기 액세스 제어 라우터(300)는 상기 단말기(100)의 IP 할당 정보를 상기 사설 사용자 데이터베이스(200)에 등록한 후 상기 사설 사용자 데이터베이스(200)를 통해 사설 인증을 수행한다(S5). 그리고 상기 사설 사용자 데이터베이스(200)를 통해 사설 인증을 수행하는 단계(S5)는, 상기 사설 사용자 데이터베이스(200)가 난수를 생성하는 한편, 생성된 난수와 해당 단말기(100)의 MAC 주소 및 ID 값을 MD5로 해싱(hashing)한 결과 값을 저장한다. 여기서, 상기 IP 할당 정보는, 단말기(100)의 IP 주소, 단말기(100)의 MAC 주소이다. Subsequently, the
이하, 하기에서는 상기 사설 사용자 데이터베이스(200)를 통해 사설 인증을 수행하는 단계(S5)의 세부 단계에 대하여 도 4를 참조하여 설명하기로 한다. Hereinafter, a detailed step of performing private authentication through the private user database 200 (S5) will be described with reference to FIG. 4.
상기 액세스 제어 라우터(300)가 단말기(100)의 MAC로 암호화한 난수를 포함하는 인증 요청 메시지를 해당 단말기(100)로 전송한다(S51). The
이어서, 상기 액세스 제어 라우터(300)는 사설 사용자 데이터베이스(200)로부터 제공된 난수와 해당 단말기(100)의 MAC 주소 및 ID 값을 MD5로 해싱(hashing)한 결과 값을 해당 단말기(100)로부터 수신하여 상기 사설 사용자 데이터베이스(200)에 저장된 해싱 결과 값과 동일한지의 여부를 판단한다(S52). Subsequently, the
만약, 상기 사설 사용자 데이터베이스(200)에 저장된 해싱 결과 값과 단말 기(100)로부터 수신한 해싱 결과 값이 동일한지를 판단하는 단계(S52)에서 단말기(100)로부터 수신한 해싱 결과 값과 사설 사용자 데이터베이스(200)에 저장된 해싱 결과 값이 동일하면(YES), 상기 액세스 제어 라우터(300)는 해당 단말기(100)의 사설 인증을 승인한다(S53). If it is determined whether the hashing result value stored in the
상기 액세스 제어 라우터(300)가 상기 사설 사용자 데이터베이스(200)에 접속 가능한 IP 주소를 상기 단말기(100)에게 할당하는 단계(S4)는, 상기 액세스 제어 라우터(300)가 사설 DHCP 서버(310)를 통해 상기 단말기(100)에게 IP 주소를 할당하거나, 상기 액세스 제어 라우터(300)가 상기 와이브로 네트워크(1)의 DHCP 서버(12)를 통해 사설 IP 주소를 제공받아 상기 단말기(100)에게 할당한다. In the step S4 of the
만약, 상기 단말기(100)가 사설 사용자 데이터베이스(200)에 등록되어 있는지의 여부를 판단하는 단계에서 단말기(100)가 등록되어 있지 않으면(NO), 상기 액세스 제어 라우터(300)는 와이브로 DHCP 서버(12)를 통해 와이브로 IP 주소를 할당한다. If the terminal 100 is not registered (NO) in the step of determining whether the terminal 100 is registered in the private user database 200 (NO), the
반면에, 상기 사설 사용자 데이터베이스(200)에 저장된 해싱 결과 값과 단말기(100)로부터 수신한 해싱 결과 값이 동일한지를 판단하는 단계(S52)에서 단말기(100)로부터 수신한 해싱 결과 값과 사설 사용자 데이터베이스(200)에 저장된 해싱 결과 값이 동일하지 않으면(NO), 상기 액세스 제어 라우터(300)는 해당 단말 기(100)의 사설 인증을 승인하지 않고 종료한다. On the other hand, in a step S52 of determining whether the hashing result value stored in the
이상에서 본 발명은 기재된 구체적인 실시 예에 대해서만 상세히 설명하였지만 본 발명의 기술 사상 범위 내에서 다양한 변형 및 수정이 가능함은 당업자에게 있어서 명백한 것이며, 이러한 변형 및 수정이 첨부된 특허청구범위에 속함은 당연한 것이다. Although the present invention has been described in detail only with respect to the specific embodiments described, it will be apparent to those skilled in the art that various changes and modifications can be made within the scope of the present invention, and such modifications and modifications belong to the appended claims. .
도 1은 종래 와이브로 네트워크에서 단말기의 초기 인증 과정을 나타낸 도면. 1 is a diagram illustrating an initial authentication process of a terminal in a conventional WiBro network.
도 2는 본 발명에 따른 사설 네트워크를 갖는 네트워크에서의 인증 시스템의 구성을 나타낸 기능블록도. 2 is a functional block diagram illustrating a configuration of an authentication system in a network having a private network according to the present invention.
도 3은 도 2에 따른 사설 네트워크를 갖는 네트워크에서의 인증 시스템을 통해 단말기의 인증 과정을 나타낸 도면. 3 is a diagram illustrating an authentication process of a terminal through an authentication system in a network having a private network according to FIG. 2.
도 4는 본 발명에 따른 사설 네트워크를 갖는 네트워크에서의 인증 방법을 나타낸 순서도. 4 is a flowchart illustrating an authentication method in a network having a private network according to the present invention.
도 5는 도 4에 따른 사설 네트워크를 갖는 네트워크에서의 인증 방법에서 사설 인증 단계(S5)를 나타낸 순서도이다. FIG. 5 is a flowchart showing a private authentication step S5 in the authentication method in the network with the private network according to FIG. 4.
<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>
1 : 와이브로 네트워크 2 : 사설 네트워크 1: WiBro network 2: private network
11 : AAA 서버 12 : DHCP 서버 11: AAA Server 12: DHCP Server
100 : 단말기 200 : 사설 사용자 데이터베이스100: terminal 200: private user database
300 : 액세스 제어 라우터 310 : 사설 DHCP 서버300: access control router 310: private DHCP server
Claims (20)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070078703A KR20090014625A (en) | 2007-08-06 | 2007-08-06 | Authentication system and method in network having private network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070078703A KR20090014625A (en) | 2007-08-06 | 2007-08-06 | Authentication system and method in network having private network |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20090014625A true KR20090014625A (en) | 2009-02-11 |
Family
ID=40684505
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070078703A KR20090014625A (en) | 2007-08-06 | 2007-08-06 | Authentication system and method in network having private network |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20090014625A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101141346B1 (en) * | 2009-12-28 | 2012-05-03 | 포항공과대학교 산학협력단 | Authentication method for IPTV system and settop box therefor |
WO2013067911A1 (en) * | 2011-11-09 | 2013-05-16 | 中兴通讯股份有限公司 | Access authenticating method, system and equipment |
KR20160025289A (en) * | 2014-08-27 | 2016-03-08 | 에스케이텔레콤 주식회사 | Network apparatus and control method thereof |
KR20220042099A (en) * | 2020-05-21 | 2022-04-04 | 주식회사 멕서스 | Router and method for routing |
CN114338522A (en) * | 2020-11-27 | 2022-04-12 | 成都市合纵智联科技有限公司 | IPv6 addressing and networking method based on identification management |
-
2007
- 2007-08-06 KR KR1020070078703A patent/KR20090014625A/en not_active Application Discontinuation
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101141346B1 (en) * | 2009-12-28 | 2012-05-03 | 포항공과대학교 산학협력단 | Authentication method for IPTV system and settop box therefor |
WO2013067911A1 (en) * | 2011-11-09 | 2013-05-16 | 中兴通讯股份有限公司 | Access authenticating method, system and equipment |
KR20160025289A (en) * | 2014-08-27 | 2016-03-08 | 에스케이텔레콤 주식회사 | Network apparatus and control method thereof |
KR20220042099A (en) * | 2020-05-21 | 2022-04-04 | 주식회사 멕서스 | Router and method for routing |
CN114338522A (en) * | 2020-11-27 | 2022-04-12 | 成都市合纵智联科技有限公司 | IPv6 addressing and networking method based on identification management |
CN114338522B (en) * | 2020-11-27 | 2024-04-05 | 成都市伏羲科技有限公司 | IPv6 addressing and networking method based on identification management |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110800331B (en) | Network verification method, related equipment and system | |
EP3550783B1 (en) | Internet of things device burning verification method and apparatus | |
CN109428947B (en) | Authority transfer system, control method thereof and storage medium | |
US7720464B2 (en) | System and method for providing differentiated service levels to wireless devices in a wireless network | |
US8239549B2 (en) | Dynamic host configuration protocol | |
CN1663168B (en) | Transitive authentication, authorization and accounting in matching between access networks | |
US8806565B2 (en) | Secure network location awareness | |
US10754934B2 (en) | Device, control method of the same, and storage medium | |
CN110138718A (en) | Information processing system and its control method | |
US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
DK2924944T3 (en) | Presence authentication | |
KR100953595B1 (en) | Management system for quality of service in home network | |
CN114553592B (en) | Method, equipment and storage medium for equipment identity verification | |
JP2014207510A (en) | Certificate generation method, certificate generation device, information processing device, communication apparatus, and program | |
KR20070062340A (en) | Authentication system in dstm communication network and method using the same | |
KR20090014625A (en) | Authentication system and method in network having private network | |
CN114363067B (en) | Network access control method, device, computer equipment and storage medium | |
US11297049B2 (en) | Linking a terminal into an interconnectable computer infrastructure | |
KR20070009490A (en) | System and method for authenticating a user based on the internet protocol address | |
CN114710302A (en) | Internet access control method and control device thereof | |
CN114579951A (en) | Service access method, electronic device and storage medium | |
KR101787404B1 (en) | Method for allocating network address with security based on dhcp | |
KR20050053145A (en) | Wireless packet data system and method for dynamically updating domain name system for roaming users in the same | |
KR100921553B1 (en) | wireless internet connection system for restricting connection area and method thereof | |
CN116015746A (en) | Network connection method, device and system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid |