KR20130033691A - Terminal and apparatus authentication surpporting for network access security enhancement system - Google Patents

Terminal and apparatus authentication surpporting for network access security enhancement system Download PDF

Info

Publication number
KR20130033691A
KR20130033691A KR1020110097521A KR20110097521A KR20130033691A KR 20130033691 A KR20130033691 A KR 20130033691A KR 1020110097521 A KR1020110097521 A KR 1020110097521A KR 20110097521 A KR20110097521 A KR 20110097521A KR 20130033691 A KR20130033691 A KR 20130033691A
Authority
KR
South Korea
Prior art keywords
authentication
information
security
specific
relay device
Prior art date
Application number
KR1020110097521A
Other languages
Korean (ko)
Other versions
KR101658657B1 (en
Inventor
정인장
한창문
배성수
김지훈
정수환
채강석
Original Assignee
에스케이텔레콤 주식회사
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사, 숭실대학교산학협력단 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020110097521A priority Critical patent/KR101658657B1/en
Publication of KR20130033691A publication Critical patent/KR20130033691A/en
Application granted granted Critical
Publication of KR101658657B1 publication Critical patent/KR101658657B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

PURPOSE: A terminal device for a network access security reinforcement system and an authorization supporting device thereof are provided to allow a security relay device to relay data traffic corresponding to the terminal device outside through a security channel. CONSTITUTION: A security level determination unit(110) determines whether the security level of a connected network relay device is under a specific security level. When security level of the network relay device is under a specific security level, an authentication control unit(130) forms a security channel and a specific security relay channel using an authentication information generated based on the acquired specific authentication information. A data control unit(140) transmits and receives data traffic corresponding to the network relay device through the security channel. The security level determination unit determines the security level of the network relay device based on the authentication method or an encryption method of the network relay device. [Reference numerals] (110) Security level determination unit; (120) Security warning unit; (130) Authentication control unit; (140) Data control unit;

Description

네트워크 접속 보안 강화 시스템을 위한 단말장치 및 인증지원장치{TERMINAL AND APPARATUS AUTHENTICATION SURPPORTING FOR NETWORK ACCESS SECURITY ENHANCEMENT SYSTEM}Terminal device and authentication support device for network access security enhancement system {TERMINAL AND APPARATUS AUTHENTICATION SURPPORTING FOR NETWORK ACCESS SECURITY ENHANCEMENT SYSTEM}

본 발명은 네트워크 접속 보안 강화 시스템 및 방법에 관한 것으로, 더욱 상세하게는 WiFi 네트워크에 접속할 때 보안성을 개선하기 위한 방안을 제시하는 네트워크 접속 보안 강화 시스템 및 방법과, 단말장치 및 단말장치의 동작 방법과, 인증지원장치 및 인증지원장치의 동작 방법에 관한 것이다.The present invention relates to a network access security enhancement system and method, and more particularly, to a network access security enhancement system and method for providing a method for improving security when accessing a WiFi network, and a terminal device and a method of operating the terminal device. And an operation method of the authentication support device and the authentication support device.

현재, WiFi 네트워크중계장치 즉 WiFi AP를 통해 WiFi 네트워크에 접속할 때 제공되는 인증 방식은 크게 3가지로 나누어 볼 수 있다. 첫째, 인증서버를 통한 네트워크와 사용자 단말장치 간의 EAP(Extensible Authentication Protocol)기반의 상호 인증 방식과 둘째, 미리 공유된 패스워드를 이용한 EAP-MD5, WAP-PSK 등의 사용자 단말장치 단일 인증 방식과 셋째, 별도의 인증절차 없이 접속이 가능한 방식이다. 이러한 3가지 인증 방식 중에 별도의 인증절차 없이 WiFi AP에 접속하는 방식은, 전송되는 무선 데이터 트래픽에 대한 암호화가 이루어지지 않고, 도청 및 중간자 공격 등 보안 위협에 무방비 상태에 있어 보안에 취약하여, 인증서버를 통한 상호 인증 방식이 가장 바람직할 것이다.Currently, authentication methods provided when accessing a WiFi network through a WiFi network relay device, that is, a WiFi AP, can be roughly divided into three types. First, mutual authentication method based on EAP (Extensible Authentication Protocol) between network and user terminal device through authentication server, and second, single authentication method of user terminal device such as EAP-MD5, WAP-PSK, etc. Connection is possible without additional authentication procedure. Among the three authentication methods, the method of accessing the WiFi AP without additional authentication procedure is not vulnerable to the transmission of wireless data traffic and is vulnerable to security because it is defenseless against security threats such as eavesdropping and man-in-the-middle attacks. Mutual authentication via a server would be most desirable.

그러나 인증서버를 통한 상호 인증 방식은 이동통신 사업자가 관리하는 특정의 AP에만 적용이 되고 있기 때문에 그 개수가 한정적이고, 현재 대다수의 WiFi 접속 환경은 개인이 설치한 AP를 통하여 이루어지고 있어 별도의 인증절차 없이 WiFi AP에 접속하는 인증 방식이 주로 이용되고 있는 실정이다.However, the mutual authentication method through the authentication server is limited only because it is applied only to a specific AP managed by a mobile carrier, and the majority of WiFi access environments are made through an AP installed by an individual. An authentication method for accessing a WiFi AP without a procedure is mainly used.

따라서, 개인이 설치한 대다수의 AP 즉 별도의 인증절차 없이 WiFi AP에 접속하는 인증 방식을 채택한 AP를 통해 WiFi 네트워크에 접속 시, 안전한 데이터 통신을 가능하게 하는 기술의 개발이 필요하다.Therefore, it is necessary to develop a technology that enables secure data communication when accessing a WiFi network through a majority of APs installed by an individual, that is, an AP adopting an authentication method for accessing a WiFi AP without an additional authentication procedure.

본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은 단말장치가 기 정의된 특정 보안수준 이하의 네트워크중계장치에 접속한 경우, 특정 인증관련정보 보유 여부에 따라 상기 인증관련정보를 요청하고, 이에 인증지원장치가 상기 단말장치로부터의 요청에 따라, 상기 단말장치에 대응하는 상기 인증관련정보를 생성하여 상기 단말장치로 제공하고 상기 인증관련정보를 기반으로 생성되는 상기 단말장치의 인증정보를 특정 보안중계장치로 제공하며, 상기 단말장치가 상기 특정 인증관련정보를 기반으로 생성되는 인증정보를 이용하여 상기 특정 보안중계장치와의 보안채널을 형성하고, 상기 네트워크중계장치에 대응되는 데이터 트래픽을 상기 보안채널을 통해 송수신하며, 상기 보안중계장치가 상기 보안채널을 통해 상기 단말장치에 대응하는 데이터 트래픽을 외부로 중계하는 네트워크 접속 보안 강화 시스템 및 방법을 제안하여, 보안 인증되지 않은 네트워크중계장치를 통해 WiFi 네트워크에 접속할 때 보안성을 개선하는데 있다.The present invention has been made in view of the above circumstances, and an object of the present invention is to obtain the authentication according to whether or not a terminal device accesses a network relay device having a predetermined security level or less, according to whether or not it possesses specific authentication related information. Requesting the related information, and according to the request from the terminal device, the terminal generates the authentication related information corresponding to the terminal device and provides it to the terminal device and is generated based on the authentication related information. Providing authentication information of the device to a specific security relay device, the terminal device forms a secure channel with the specific security relay device using the authentication information generated based on the specific authentication related information, the network relay device Corresponding data traffic is transmitted and received through the secure channel, and the secure relay device transmits the secure channel. Through the proposed network access security system and method for relaying data traffic corresponding to the terminal to the outside, and for improving the security when accessing a WiFi network via a network access point that is not secure authentication.

본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 다른 목적은 접속하는 네트워크중계장치가 특정 보안수준 이하인지 여부를 판단하고, 상기 네트워크중계장치가 상기 특정 보안수준 이하인 경우, 획득한 특정 인증관련정보를 기반으로 인증정보를 생성하고 상기 인증정보를 이용하여 특정 보안중계장치와의 보안채널을 형성하여, 상기 네트워크중계장치에 대응되는 데이터 트래픽을 상기 보안채널을 통해 송수신하는 단말장치 및 단말장치의 동작 방법을 제공하여, 보안 인증되지 않은 네트워크중계장치를 통해 WiFi 네트워크에 접속할 때 보안성을 개선하는데 있다.The present invention has been made in view of the above circumstances, and another object to be reached in the present invention is to determine whether a network relay device to be connected is below a specific security level, and when the network relay device is below the specific security level, A terminal for generating authentication information based on the acquired specific authentication related information and forming a secure channel with a specific security relay device using the authentication information, and transmitting and receiving data traffic corresponding to the network relay device through the security channel. The present invention provides a method of operating a device and a terminal device, and improves security when accessing a WiFi network through an unauthenticated network relay device.

본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 다른 목적은 특정 단말장치로부터의 요청에 따라, 상기 단말장치에 대응하는 특정 인증서버와의 초기 인증 수행에 따른 인증수행정보를 획득하고, 상기 인증수행정보를 이용하여 특정 인증생성정보를 생성하고, 상기 인증생성정보를 기반으로 특정 인증정보를 생성하여, 상기 인증생성정보 및 특정 보안중계장치에 대한 정보를 포함하는 인증관련정보를 상기 단말장치로 제공하고, 상기 단말장치에 대응하여 생성한 상기 인증정보를 상기 보안중계장치로 제공하는 인증지원장치 및 인증지원장치의 동작 방법을 제공하여, 보안 인증되지 않은 네트워크중계장치를 통해 WiFi 네트워크에 접속할 때 보안성을 개선하는데 있다.The present invention has been made in view of the above circumstances, and another object to be achieved in the present invention is authentication performance information upon initial authentication with a specific authentication server corresponding to the terminal device in response to a request from a specific terminal device. Obtains and generates specific authentication generation information using the authentication performance information, generates specific authentication information based on the authentication generation information, and includes authentication authentication information and information on a specific security relay device. Providing an information to the terminal device and providing a method of operating an authentication support device and an authentication support device for providing the authentication information generated corresponding to the terminal device to the security relay device, This is to improve security when connecting to WiFi network.

상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 네트워크 접속 보안 강화 시스템은, 기 정의된 특정 보안수준 이하의 네트워크중계장치에 접속한 경우, 획득한 특정 인증관련정보를 기반으로 생성되는 인증정보를 이용하여 특정 보안중계장치와의 보안채널을 형성하고, 상기 네트워크중계장치에 대응되는 데이터 트래픽을 상기 보안채널을 통해 송수신하는 단말장치; 상기 단말장치에 대응하는 상기 인증정보를 기반으로 형성된 상기 보안채널을 통해, 상기 단말장치에 대응하는 데이터 트래픽을 외부로 중계하는 보안중계장치; 및 상기 단말장치로부터의 요청에 따라, 상기 단말장치에 대응하는 상기 인증관련정보를 생성하여 상기 단말장치로 제공하고 상기 인증관련정보를 기반으로 생성되는 상기 단말장치에 대응되는 인증정보를 상기 보안중계장치로 제공하는 인증지원장치를 포함한다.Network access security strengthening system according to a first aspect of the present invention for achieving the above object, the authentication information generated based on the specific authentication-related information obtained when accessing a network relay device of a predetermined specific security level or less A terminal device for establishing a secure channel with a specific secure relay device and transmitting and receiving data traffic corresponding to the network relay device through the secure channel; A security relay device configured to relay data traffic corresponding to the terminal device to the outside through the secure channel formed based on the authentication information corresponding to the terminal device; And generating, by the terminal, the authentication related information corresponding to the terminal device according to a request from the terminal device, and providing the terminal device with the authentication information corresponding to the terminal device generated based on the authentication related information. It includes an authentication support device provided by the device.

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 단말장치는 접속하는 네트워크중계장치가 특정 보안수준 이하인지 여부를 판단하는 보안수준판단부; 상기 네트워크중계장치가 상기 특정 보안수준 이하인 경우, 획득한 특정 인증관련정보를 기반으로 생성되는 인증정보를 이용하여 특정 보안중계장치와의 보안채널을 형성하는 인증제어부; 및 상기 네트워크중계장치에 대응되는 데이터 트래픽을 상기 보안채널을 통해 송수신하는 데이터제어부를 포함한다.Terminal device according to a second aspect of the present invention for achieving the above object is a security level determination unit for determining whether or not the network relay apparatus to access a certain security level; An authentication controller configured to form a secure channel with a specific security relay apparatus using the authentication information generated based on the acquired specific authentication related information when the network relay apparatus is less than or equal to the specific security level; And a data controller for transmitting and receiving data traffic corresponding to the network relay apparatus through the secure channel.

바람직하게는, 상기 보안수준판단부는, 상기 네트워크중계장치와의 접속에 근거하여 인지되는 상기 네트워크중계장치의 인증 방식 및 암호화 방식 중 적어도 어느 하나를 토대로 상기 네트워크중계장치가 특정 보안수준 이하인지 여부를 판단할 수 있다.Preferably, the security level determining unit determines whether the network relay device is below a specific security level based on at least one of an authentication method and an encryption method of the network relay device recognized based on a connection with the network relay device. You can judge.

바람직하게는, 상기 네트워크중계장치가 상기 특정 보안수준 이하인 경우, 특정 보안중계장치와의 보안채널 형성이 요구됨을 알리는 경고 및 보안채널 형성을 선택하도록 유도하는 선택유도 중 적어도 어느 하나를 제공하는 보안경보부를 더 포함할 수 있다.Preferably, when the network relay device is below the specific security level, a security alarm unit for providing at least one of a warning indicating that a security channel is formed with a specific security relay device and selection induction to select the security channel formation. It may further include.

바람직하게는, 상기 인증제어부는, 유효한 상기 특정 인증관련정보를 보유하고 있지 않은 경우, 특정 인증지원장치를 통해 인증서버와의 초기 인증을 수행하고 상기 초기 인증 수행에 근거하여 상기 인증지원장치에서 생성된 특정 인증관련정보를 요청하여 획득할 수 있다.Preferably, when the authentication control unit does not hold the specific authentication related information, the authentication control unit performs initial authentication with an authentication server through a specific authentication support device, and generates the authentication support device based on the initial authentication. The specific authentication related information can be requested and obtained.

바람직하게는, 상기 인증제어부는, 상기 네트워크중계장치가 상기 특정 보안수준 이하가 아닌 경우, 상기 네트워크중계장치를 통해 인증서버와의 초기 인증을 수행하고 상기 초기 인증 수행에 근거하여 상기 인증지원장치에서 생성된 특정 인증관련정보를 요청하여 획득하는 것을 특징으로 하는 단말장치.Preferably, the authentication control unit, if the network relay device is not less than the specific security level, performs the initial authentication with the authentication server through the network relay device in the authentication support apparatus based on the initial authentication performed; And requesting and obtaining the generated specific authentication related information.

상기 목적을 달성하기 위한 본 발명의 제 3 관점에 따른 인증지원장치는, 특정 단말장치로부터의 요청에 따라, 상기 단말장치에 대응하는 특정 인증서버와의 초기 인증 수행에 따른 인증수행정보를 획득하는 정보획득부; 상기 인증수행정보를 이용하여 특정 인증생성정보를 생성하고, 상기 인증생성정보를 기반으로 특정 인증정보를 생성하는 정보생성부; 및 상기 인증생성정보 및 특정 보안중계장치에 대한 정보를 포함하는 인증관련정보를 상기 단말장치로 제공하고, 상기 단말장치에 대응하여 생성한 상기 인증정보를 상기 보안중계장치로 제공하는 정보제공부를 포함한다.The authentication support apparatus according to the third aspect of the present invention for achieving the above object, according to a request from a specific terminal device, to obtain the authentication performance information according to the initial authentication performed with a specific authentication server corresponding to the terminal device; Information acquisition unit; An information generation unit generating specific authentication generation information using the authentication performance information and generating specific authentication information based on the authentication generation information; And an information providing unit providing authentication related information including the authentication generation information and information on a specific security relay device to the terminal device, and providing the authentication information generated corresponding to the terminal device to the security relay device. do.

상기 목적을 달성하기 위한 본 발명의 제 4 관점에 따른 네트워크 접속 보안 강화 방법은, 단말장치가 기 정의된 특정 보안수준 이하의 네트워크중계장치에 접속한 경우, 특정 인증관련정보 보유 여부에 따라 상기 인증관련정보를 요청하는 단계; 인증지원장치가 상기 단말장치로부터의 요청에 따라, 상기 단말장치에 대응하는 상기 인증관련정보를 생성하여 상기 단말장치로 제공하고 상기 인증관련정보를 기반으로 생성되는 상기 단말장치의 인증정보를 특정 보안중계장치로 제공하는 단계; 상기 단말장치가 상기 특정 인증관련정보를 기반으로 생성되는 인증정보를 이용하여 상기 특정 보안중계장치와의 보안채널을 형성하는 단계; 상기 단말장치가 상기 네트워크중계장치에 대응되는 데이터 트래픽을 상기 보안채널을 통해 송수신하는 단계; 및 상기 보안중계장치가 상기 보안채널을 통해 상기 단말장치에 대응하는 데이터 트래픽을 외부로 중계하는 단계를 포함한다.In accordance with a fourth aspect of the present invention, there is provided a method for strengthening network access security according to an embodiment of the present invention. Requesting relevant information; In response to a request from the terminal device, an authentication support device generates and provides the authentication related information corresponding to the terminal device to the terminal device. The authentication information of the terminal device generated based on the authentication related information is specified security. Providing to the relay device; Establishing, by the terminal device, a secure channel with the specific security relay device using the authentication information generated based on the specific authentication related information; The terminal device transmitting and receiving data traffic corresponding to the network relay device through the secure channel; And relaying, by the security relay device, data traffic corresponding to the terminal device to the outside through the secure channel.

상기 목적을 달성하기 위한 본 발명의 제 5 관점에 따른 단말장치의 동작 방법, 접속하는 네트워크중계장치가 특정 보안수준 이하인지 여부를 판단하는 보안수준 판단단계; 상기 네트워크중계장치가 상기 특정 보안수준 이하인 경우, 획득한 특정 인증관련정보를 기반으로 인증정보를 생성하는 인증정보 생성단계; 상기 인증정보를 이용하여 특정 보안중계장치와의 보안채널을 형성하는 보안채널 형성단계; 및 상기 네트워크중계장치에 대응되는 데이터 트래픽을 상기 보안채널을 통해 송수신하는 데이터 송수신단계를 포함한다.A security level determining step of determining whether an operating method of a terminal apparatus according to a fifth aspect of the present invention for achieving the above object, or whether a network relay apparatus to be accessed is below a specific security level; An authentication information generation step of generating authentication information based on the acquired specific authentication related information when the network relay apparatus is lower than the specific security level; A secure channel forming step of forming a secure channel with a specific secure relay device using the authentication information; And a data transmission / reception step of transmitting and receiving data traffic corresponding to the network relay apparatus through the secure channel.

바람직하게는, 상기 보안수준 판단단계는, 상기 네트워크중계장치와의 접속에 근거하여 인지되는 상기 네트워크중계장치의 인증 방식 및 암호화 방식 중 적어도 어느 하나를 토대로 상기 네트워크중계장치가 특정 보안수준 이하인지 여부를 판단할 수 있다.Preferably, the step of determining the security level, whether the network relay device is below a certain security level based on at least one of an authentication method and an encryption method of the network relay device recognized based on the connection with the network relay device. Can be determined.

바람직하게는, 상기 네트워크중계장치가 상기 특정 보안수준 이하인 경우, 특정 보안중계장치와의 보안채널 형성이 요구됨을 알리는 경고 및 보안채널 형성을 선택하도록 유도하는 선택유도 중 적어도 어느 하나를 제공하는 보안 경보단계를 더 포함할 수 있다.Preferably, when the network relay device is less than or equal to the specific security level, a security alert providing at least one of a warning indicating that a security channel is formed with a specific security relay device and selection induction to select a security channel formation. It may further comprise a step.

바람직하게는, 상기 네트워크중계장치가 상기 특정 보안수준 이하인 경우, 유효한 상기 특정 인증관련정보를 보유하고 있지 않으면 특정 인증지원장치를 통해 인증서버와의 초기 인증을 수행하고 상기 초기 인증 수행에 근거하여 상기 인증지원장치에서 생성된 특정 인증관련정보를 요청하여 획득하는 단계를 더 포함할 수 있다.Preferably, when the network relay device is below the specific security level, if the network relay device does not have valid specific authentication related information, initial authentication with an authentication server is performed through a specific authentication support device, and based on the initial authentication, The method may further include requesting and obtaining specific authentication related information generated by the authentication support device.

바람직하게는, 상기 네트워크중계장치가 상기 특정 보안수준 이하가 아닌 경우, 상기 네트워크중계장치를 통해 인증서버와의 초기 인증을 수행하고 상기 초기 인증 수행에 근거하여 상기 인증지원장치에서 생성된 특정 인증관련정보를 요청하여 획득하는 단계를 더 포함할 수 있다.Preferably, when the network relay apparatus is not below the specific security level, the initial authentication with the authentication server is performed through the network relay apparatus, and the specific authentication associated with the specific authentication generated by the authentication support apparatus based on the initial authentication is performed. The method may further include requesting and obtaining information.

상기 목적을 달성하기 위한 본 발명의 제 6 관점에 따른 인증지원장치의 동작 방법은, 특정 단말장치로부터의 요청에 따라, 상기 단말장치에 대응하는 특정 인증서버와의 초기 인증 수행에 따른 인증수행정보를 획득하는 정보 획득단계; 상기 인증수행정보를 이용하여 특정 인증생성정보를 생성하고, 상기 인증생성정보를 기반으로 특정 인증정보를 생성하는 정보 생성단계; 및 상기 인증생성정보 및 특정 보안중계장치에 대한 정보를 포함하는 인증관련정보를 상기 단말장치로 제공하고, 상기 단말장치에 대응하여 생성한 상기 인증정보를 상기 보안중계장치로 제공하는 정보 제공단계를 포함한다.Method of operation of the authentication support apparatus according to the sixth aspect of the present invention for achieving the above object, the authentication performance information according to the initial authentication performed with a specific authentication server corresponding to the terminal device in response to a request from a specific terminal device Obtaining an information; An information generation step of generating specific authentication generation information using the authentication performance information and generating specific authentication information based on the authentication generation information; And providing an authentication related information including the authentication generation information and information on a specific security relay device to the terminal device, and providing the authentication information generated corresponding to the terminal device to the security relay device. Include.

이에, 본 발명의 네트워크 접속 보안 강화 시스템 및 방법에 의하면, 보안수준이 낮은 네트워크중계장치(WiFi AP)에 접속 시 이를 자동으로 감지하여 사용자에게 알려줌으로써 WiFi 네트워크 연결에 대한 보안수준 정보를 사용자로 하여금 인지할 수 있게 해주고, 보안수준이 낮은 네트워크중계장치(WiFi AP) 대신 보안이 보장되는 특정 보안중계장치로의 보안채널을 형성하여 이를 통해 데이터 트래픽을 송수신함으로써 보안성을 향상시킬 수 있다.Therefore, according to the network access security enhancement system and method of the present invention, when connecting to a low-security network AP (WiFi AP) automatically detects it and informs the user to the security level information on the WiFi network connection In addition, it can improve security by transmitting and receiving data traffic through a secure channel to a specific security relay device that is guaranteed instead of a low security network relay device (WiFi AP).

도 1은 본 발명의 바람직한 실시예에 따른 네트워크 접속 보안 강화 시스템을 나타내는 구성도이다.
도 2는 본 발명의 바람직한 실시예에 따른 단말장치의 구성을 나타내는 블록도이다.
도 3은 본 발명의 바람직한 실시예에 따른 인증지원장치의 구성을 나타내는 블록도이다.
도 4는 본 발명의 일 실시예에 따른 네트워크 접속 보안 강화 방법의 흐름을 나타내는 흐름도이다.
도 5는 본 발명의 다른 실시예에 따른 네트워크 접속 보안 강화 방법의 흐름을 나타내는 흐름도이다.
도 6은 본 발명의 바람직한 실시예에 따른 단말장치의 동작 방법을 나타내는 흐름도이다.
도 7은 본 발명의 바람직한 실시예에 따른 인증지원장치의 동작 방법을 나타내는 동작 흐름도이다.1 is a block diagram showing a network access security enhanced system according to a preferred embodiment of the present invention.
2 is a block diagram showing the configuration of a terminal apparatus according to a preferred embodiment of the present invention.
3 is a block diagram showing the configuration of an authentication support apparatus according to a preferred embodiment of the present invention.
4 is a flowchart illustrating a flow of a method for enhancing network access security according to an embodiment of the present invention.
5 is a flowchart illustrating a flow of a method for enhancing network access security according to another embodiment of the present invention.
6 is a flowchart illustrating a method of operating a terminal device according to an exemplary embodiment of the present invention.
7 is an operation flowchart illustrating a method of operating an authentication support apparatus according to an exemplary embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings.

도 1은 본 발명의 바람직한 실시예에 네트워크 접속 보안 강화 시스템을 도시한 도면이다. 1 is a diagram illustrating a network access security enhancement system in a preferred embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명에 따른 네트워크 접속 보안 강화 시스템은, 기 정의된 특정 보안수준 이하의 네트워크중계장치(201)에 접속한 경우, 획득한 특정 인증관련정보를 기반으로 생성되는 인증정보를 이용하여 특정 보안중계장치(600)와의 보안채널을 형성하고, 네트워크중계장치(201)에 대응되는 데이터 트래픽을 상기 보안채널을 통해 송수신하는 단말장치(100)와, 단말장치(100)에 대응하는 상기 인증정보를 기반으로 형성된 상기 보안채널을 통해, 단말장치(100)에 대응하는 데이터 트래픽을 외부로 중계하는 보안중계장치(600)와, 단말장치(100)로부터의 요청에 따라, 단말장치(100)에 대응하는 상기 인증관련정보를 생성하여 단말장치(100)로 제공하고 상기 인증관련정보를 기반으로 생성되는 단말장치(100)에 대응되는 인증정보를 보안중계장치(600)로 제공하는 인증지원장치(700)를 포함한다.As shown in Figure 1, the network access security enhanced system according to the present invention, the authentication is generated based on the specific authentication-related information obtained when connecting to the network relay device 201 of a predetermined security level or less The terminal device 100 forms a secure channel with the specific secure relay device 600 using the information, and transmits and receives data traffic corresponding to the network relay device 201 through the secure channel, and the terminal device 100. A security relay device 600 for relaying data traffic corresponding to the terminal device 100 to the outside through the secure channel formed based on the corresponding authentication information, and a terminal according to a request from the terminal device 100. The security relay apparatus 600 generates authentication information corresponding to the device 100 and provides the authentication information corresponding to the terminal device 100 generated based on the authentication related information. It includes an authentication support device 700 to provide.

단말장치(100)는, 특정 네트워크에 접속하고자 해당 네트워크를 지원하는 네트워크중계장치(200,201)에 접속함으로써 네트워크에 연결될 수 있다. 예를 들면, 특정 네트워크는 WiFi 네트워크이고 네트워크중계장치(200,201)는 WiFi AP를 포함할 수 있다. 여기서, 네트워크중계장치(200)은 보안수준이 높은 WiFi AP, 네트워크중계장치(201)는 기 정의된 특정 보안수준 이하인 WiFi AP인 것으로 예를 들도록 한다.The terminal device 100 may be connected to a network by connecting to a network relay device 200 or 201 supporting a corresponding network to access a specific network. For example, the specific network is a WiFi network and the network relays 200 and 201 may include a WiFi AP. Here, for example, the network relay device 200 is a WiFi AP having a high security level, and the network relay device 201 is a WiFi AP having a predetermined security level or less.

이때, 단말장치(100)는, 네트워크중계장치 접속 시 접속한 네트워크중계장치가 기 정의된 특정 보안수준 이하인지 여부를 판단한다. In this case, the terminal device 100 determines whether the connected network relay device is less than or equal to a predetermined security level when the network relay device is connected.

이에 특정 보안수준 이하인 네트워크중계장치(201)에 접속한 경우, 단말장치(100)는, 획득한 특정 인증관련정보를 기반으로 생성되는 인증정보를 이용하여 특정 보안중계장치(600)에 접속하여 보안중계장치(600)와의 보안채널을 형성할 수 있다.Therefore, when accessing the network relay device 201 that is less than a specific security level, the terminal device 100 is connected to the specific security relay device 600 by using the authentication information generated based on the acquired specific authentication related information and secured. A secure channel with the relay device 600 may be formed.

보다 구체적으로 설명하면, 단말장치(100)는, 보안수준 이하인 네트워크중계장치(201)에 접속한 경우 유효한 인증관련정보를 보유하고 있는지 여부를 판단한다. 즉, 인증관련정보를 획득한 이력이 없거나 또는 획득한 인증관련정보의 유효 기간이 만료된 경우, 단말장치(100)는, 유효한 인증관련정보를 보유하고 있지 않다고 판단할 것이다.In more detail, the terminal device 100 determines whether the terminal apparatus 100 has valid authentication related information when the network relay device 201 is connected to the security level or less. That is, if there is no history of acquiring authentication related information or the valid period of the acquired authentication related information has expired, the terminal device 100 will determine that it does not hold valid authentication related information.

이에, 단말장치(100)는, 특정 인증관련정보를 보유하지 않은 경우 특정 인증지원장치(700)를 통해 인증서버(800)와의 초기 인증을 수행하고, 상기 초기 인증 수행에 근거하여 인증지원장치(700)에서 생성된 특정 인증관련정보를 요청하여 획득할 수 있다.Thus, when the terminal device 100 does not have specific authentication related information, the terminal device 100 performs initial authentication with the authentication server 800 through the specific authentication support device 700, and based on the initial authentication, the authentication support device ( Specific authentication related information generated in 700 may be requested and obtained.

즉, 단말장치(100)는, 인증지원장치(700)를 통한 인증서버(800)와의 EAP 기반의 초기 인증을 수행하고, 이 과정에서 인증서버(800)는 단말장치(100)와 마스터세션키를 공유하게 되고, 마스터세션키를 보안수준 이하인 네트워크중계장치(201)로는 전달하지 않는다. 여기에서 인증자(Authenticator)는 인증지원장치(700)가 되며, 인증지원장치(700)는 인증 성공 메시지를 인증서버(210)로부터 수신할 때 초기 인증 수행에 따른 인증수행정보 즉 마스터세션키를 획득한다. That is, the terminal device 100 performs EAP-based initial authentication with the authentication server 800 through the authentication support device 700. In this process, the authentication server 800 is connected to the terminal device 100 and the master session key. Are shared, and the master session key is not transmitted to the network relay device 201 having a security level or less. Here, the authenticator becomes an authentication support apparatus 700, and when the authentication support apparatus 700 receives the authentication success message from the authentication server 210, the authentication support information 700 receives the authentication performance information, that is, the master session key. Acquire.

그리고, 단말장치(100)는, 인증서버(800)와의 초기 인증이 수행되면, 인증지원장치(700)로 인증관련정보를 요청한다.When the initial authentication with the authentication server 800 is performed, the terminal apparatus 100 requests authentication related information to the authentication support apparatus 700.

인증지원장치(700)는, 단말장치(100)로부터의 요청에 따라, 단말장치(100)에 대응하는 상기 인증관련정보를 생성하여 단말장치(100)로 제공하고 상기 인증관련정보를 기반으로 생성되는 단말장치(100)에 대응되는 인증정보를 보안중계장치(600)로 제공한다.According to a request from the terminal device 100, the authentication support device 700 generates the authentication related information corresponding to the terminal device 100, provides the authentication related information to the terminal device 100, and generates the authentication related information based on the authentication related information. It provides the authentication information corresponding to the terminal device 100 to the security relay device 600.

즉, 인증지원장치(700)는, 단말장치(100)로부터 인증관련정보가 요청되면, 단말장치(100)에 대응하여 획득한 인증수행정보(마스터세션키)를 이용하여 인증생성정보를 생성하고, 인증생성정보를 기반으로 특정 인증정보를 생성할 수 있다. 그리고, 인증지원장치(700)는, 인증생성정보 및 보안중계장치에 대한 정보를 포함하는 인증관련정보를 단말장치(100)로 제공하고, 단말장치(100)에 대응하여 생성한 인증정보를 보안중계장치(600)로 제공한다.That is, when authentication related information is requested from the terminal device 100, the authentication support apparatus 700 generates authentication generation information by using authentication performance information (master session key) obtained in correspondence with the terminal device 100. In addition, specific authentication information may be generated based on the authentication generation information. In addition, the authentication support apparatus 700 provides the terminal 100 with authentication related information including authentication generation information and information about the security relay device, and secures the authentication information generated corresponding to the terminal device 100. It is provided to the relay device 600.

여기서 인증관련정보는, 보안중계장치(600) 도메인 네임 및 IP 주소, 현재시간, 인증정보 만료시간 등을 포함하는 보안중계장치에 대한 정보와, 인증정보 생성에 필요한 정보들을 포함하는 인증생성정보를 포함할 수 있다. In this case, the authentication related information may include information about the security relay device including the security relay device 600 domain name and IP address, current time, authentication information expiration time, and authentication generation information including information necessary for generating authentication information. It may include.

그리고, 인증지원장치(700)는, 단말장치(100)에 대응하여 생성한 인증정보, 단말장치(100)의 식별정보, 인증정보 만료시간 등을 보안중계장치(600)로 제공할 수 있다.In addition, the authentication support apparatus 700 may provide the security relay 600 with authentication information generated in correspondence with the terminal apparatus 100, identification information of the terminal apparatus 100, an authentication information expiration time, and the like.

이처럼 단말장치(100)는, 보안수준 이하인 네트워크중계장치(201)에 접속한 경우 유효한 인증관련정보를 보유하고 있지 않으면 인증지원장치(700)로부터 획득할 수 있다.As such, when the terminal device 100 is connected to the network relay device 201 having a security level or less, if the terminal device 100 does not have valid authentication related information, it may be obtained from the authentication support device 700.

이에, 단말장치(100)는, 기 보유하고 있던 또는 새롭게 획득한 인증관련정보를 기반으로 인증정보를 생성한다. 이때, 단말장치(100)에서 인증관련정보를 기반으로 생성한 인증정보(인증값)는 인증지원장치(700)에서 단말장치(100)에 대응하여 생성하고 보안중계장치(600)로 제공한 인증정보(인증값)와 동일할 것이며, 이로써 단말장치(100) 및 보안중계장치(600) 간에 인증정보를 공유하게 된다.Accordingly, the terminal device 100 generates authentication information based on previously held or newly acquired authentication related information. In this case, the authentication information (authentication value) generated based on the authentication related information in the terminal device 100 is generated in response to the terminal device 100 in the authentication support device 700 and provided to the security relay device 600. It will be the same as the information (authentication value), thereby sharing the authentication information between the terminal device 100 and the security relay device 600.

이에, 단말장치(100)는, 생성한 인증정보를 이용하여 특정 보안중계장치(600)에 접속하여 보안중계장치(600)와의 보안채널을 형성할 수 있다. Accordingly, the terminal device 100 may establish a secure channel with the secure relay device 600 by accessing the specific secure relay device 600 using the generated authentication information.

즉, 단말장치(100) 및 보안중계장치(600)는, 사전에 공유된 인증정보(인증값)을 이용하여 상호 인증 및 키 교환절차를 수행하여 보안채널을 형성할 수 있다. 이때 상호 인증 및 키 교환절차는 미리 공유된 패스워드 기반의 인증된 디피-헬만 키 교환 기법, 또는 challenge-response 방식의 빠른 재인증 기법 등과 같이 여러 가지 인증 및 키 교환 기법 중 하나가 사용될 수 있다. 단말장치(100) 및 보안중계장치(600) 간의 상호 인증 및 키 교환절차로 생성된 세션 키는 보안 채널 형성을 위한 IPSec의 키 또는 데이터 암호화 키를 유도하는데 사용할 수 있다.That is, the terminal device 100 and the security relay device 600 may form a secure channel by performing mutual authentication and key exchange procedures using previously shared authentication information (authentication value). In this case, the mutual authentication and key exchange procedure may use one of various authentication and key exchange techniques, such as a pre-shared password-based authenticated Diffie-Hellman key exchange technique or a challenge-response type quick re-authentication technique. The session key generated by the mutual authentication and key exchange procedure between the terminal device 100 and the secure relay device 600 may be used to derive a key or data encryption key of IPSec for forming a secure channel.

이처럼 단말장치(100) 및 보안중계장치(600) 간에 보안채널이 형성되면, 단말장치(100)는, 네트워크중계장치(201)에 대응되는 데이터 트래픽을 보안채널을 통해 보안중계장치(600)와 송수신한다. 이때, 단말장치(100) 및 보안중계장치(600) 간 보안채널을 통해 송수신되는 데이터 트래픽은 암호화 되어 송수신되기 때문에 보안수준이 낮은 네트워크중계장치(201)를 통한 송수신에 대비하여 보안성이 크게 향상된다.As such, when a secure channel is formed between the terminal device 100 and the secure relay device 600, the terminal device 100 transmits data traffic corresponding to the network relay device 201 to the secure relay device 600 through the secure channel. Send and receive In this case, since the data traffic transmitted and received through the secure channel between the terminal device 100 and the secure relay device 600 is encrypted and transmitted and received, the security is greatly improved in preparation for transmission and reception through the network relay device 201 having a low security level. do.

이에, 보안중계장치(600)는, 단말장치(100)에 대응하는 인증정보(인증값)를 기반으로 형성된 보안채널을 통해, 단말장치(100)에 대응하는 데이터 트래픽을 외부로 중계한다. 즉, 보안중계장치(600)는, 보안채널을 통해 단말장치(100)와 송수신하는 암호화된 데이터 트래픽을 복호화하여 외부로 중계하게 된다.Accordingly, the security relay apparatus 600 relays data traffic corresponding to the terminal apparatus 100 to the outside through a security channel formed based on authentication information (authentication value) corresponding to the terminal apparatus 100. That is, the secure relay device 600 decrypts the encrypted data traffic transmitted and received with the terminal device 100 through the secure channel and relays the encrypted data traffic to the outside.

이러한 보안중계장치(600)는, Secure Proxy Gateway 장치일 수 있다.The secure relay device 600 may be a Secure Proxy Gateway device.

한편, 본 발명에서는 현재와 같이 WCDMA, CDMA, WiBro, WLAN(WiFi) 및 LTE(Long Term Evolution) 등 여러 네트워크가 혼재된 이기종 네트워크 환경에서, 네트워크의 상태에 따라 능동적으로 단말장치(100)의 2 이상 네트워크를 선택하고, 선택된 2 이상 네트워크를 이용한 효율적인 데이터 전송을 위한 이기종 네트워크 기반 데이터 동시 전송 서비스 방안을 고려하고 있다. Meanwhile, in the present invention, in a heterogeneous network environment in which several networks, such as WCDMA, CDMA, WiBro, WLAN (WiFi), and Long Term Evolution (LTE), are mixed as in the present invention, two terminals of the terminal device 100 are actively active according to the state of the network. A heterogeneous network based data simultaneous transmission service scheme is considered for selecting an ideal network and for efficient data transmission using the selected two or more networks.

이러한 이기종 네트워크 기반 데이터 동시 전송 서비스는, 단말장치(100) 및 외부장치(500) 간의 데이터 송수신에 대하여, 단말장치(100) 및 관리장치(400) 간에 하나의 데이터를 분할하고 분할된 부분데이터를 복수개의 이기종 네트워크(예 : WiFi 및 3G)를 사용하여 송신하고, 수신된 부분데이터를 결합하여 원래의 데이터를 복원함으로써 동시 전송 서비스를 구현하고 있다. 이 경우 단말장치(100)는 동시 전송 서비스 이용을 위해 2 이상의 네트워크(예 : WiFi 및 3G)에 접속할 수 있는 통신모듈을 구비할 것이다.The heterogeneous network-based data transmission service divides one piece of data between the terminal device 100 and the management device 400 and transmits the divided partial data for data transmission and reception between the terminal device 100 and the external device 500. Simultaneous transmission service is implemented by transmitting using a plurality of heterogeneous networks (eg WiFi and 3G) and restoring original data by combining received partial data. In this case, the terminal device 100 will be provided with a communication module that can be connected to two or more networks (for example, WiFi and 3G) to use the simultaneous transmission service.

여기서 도 1에서 제1네트워크는 근거리 무선 네트워크(WiFi)를 지칭하고, 제2네트워크는 무선 패킷 서비스 네트워크(WCDMA) 즉 3G를 지칭하고 제2네트워크장치(300)는 무선 패킷 서비스 네트워크를 운용하기 위한 GGSN(Gateway GPRS Support Node) 장비를 지칭할 수 있다.Here, in FIG. 1, a first network refers to a local area wireless network (WiFi), a second network refers to a wireless packet service network (WCDMA), that is, 3G, and a second network device 300 for operating a wireless packet service network. It may refer to a Gateway GPRS Support Node (GGSN) device.

이러한 동시 전송 서비스 환경에서 단말장치(100)가 보안수준이 낮은 네트워크중계장치(201)을 통해 WiFi 네트워크에 접속한다면 하나의 전송대상 데이터에서 분할된 일부 부분데이터의 보안/안전을 보장받기 어려울 것이다.In this simultaneous transmission service environment, if the terminal device 100 accesses the WiFi network through the network relay device 201 having a low security level, it may be difficult to guarantee the security / security of some partial data divided from one transmission target data.

하지만, 전술의 본 발명에 따르면 단말장치(100)가 보안수준이 낮은 네트워크중계장치(201)에 접속한 경우 단말장치(100) 및 보안중계장치(600) 간에 보안채널이 형성되고, 단말장치(100)는 네트워크중계장치(201)에 대응되는 데이터 트래픽을 보안채널을 통해 암호화하여 송수신하고 보안중계장치(600)는 보안채널을 통해 단말장치(100)와 송수신하는 암호화된 데이터 트래픽을 복호화하여 외부 즉 관리장치(400)로 중계하기 때문에, 보안성이 크게 향상된다.However, according to the present invention described above, when the terminal device 100 is connected to the network relay device 201 having a low security level, a secure channel is formed between the terminal device 100 and the secure relay device 600 and the terminal device ( 100 encrypts and receives data traffic corresponding to the network relay device 201 through a secure channel, and the secure relay device 600 decrypts encrypted data traffic transmitted and received with the terminal device 100 through a secure channel. That is, since the relay to the management device 400, the security is greatly improved.

이하에서는 도 2를 참조하여 본 발명에 따른 단말장치의 구체적인 구성을 설명하도록 한다.Hereinafter, a detailed configuration of a terminal device according to the present invention will be described with reference to FIG. 2.

본 발명에 따른 단말장치(100)는, 접속하는 네트워크중계장치가 특정 보안수준 이하인지 여부를 판단하는 보안수준판단부(110)와, 네트워크중계장치가 상기 특정 보안수준 이하인 경우, 획득한 특정 인증관련정보를 기반으로 생성되는 인증정보를 이용하여 특정 보안중계장치(600)와의 보안채널을 형성하는 인증제어부(130)와, 상기 네트워크중계장치에 대응되는 데이터 트래픽을 상기 보안채널을 통해 송수신하는 데이터제어부(140)를 포함한다.The terminal device 100 according to the present invention includes a security level determining unit 110 for determining whether a network relay device to be connected is less than or equal to a specific security level, and a specific authentication obtained when the network relay device is less than or equal to the specific security level. Authentication control unit 130 that forms a secure channel with a specific security relay device 600 using authentication information generated based on the related information, and data for transmitting and receiving data traffic corresponding to the network relay device through the security channel. It includes a control unit 140.

그리고 본 발명에 따른 단말장치(100)는, 보안경보부(120)를 더 포함할 수 잇다.In addition, the terminal device 100 according to the present invention may further include a security alarm unit 120.

보안수준판단부(110)는, 접속하는 네트워크중계장치가 특정 보안수준 이하인지 여부를 판단한다.The security level determining unit 110 determines whether the network relay apparatus to be connected is below a specific security level.

즉, 보안수준판단부(110)는, 단말장치(100)가 특정 네트워크중계장치에 접속하면 네트워크중계장치와의 접속에 근거하여 인지되는 상기 네트워크중계장치의 인증 방식 및 암호화 방식 중 적어도 어느 하나를 토대로 상기 네트워크중계장치가 특정 보안수준 이하인지 여부를 판단할 수 있다.That is, the security level determining unit 110, when the terminal device 100 is connected to a specific network relay device, at least one of an authentication method and an encryption method of the network relay device recognized based on the connection with the network relay device. On the basis of this, it may be determined whether the network relay apparatus is below a specific security level.

예를 들면, 인증 방식 및 암호화 방식에 따른 보안수준을 다음의 표1과 같이 정의할 수 있다.For example, security levels according to authentication methods and encryption methods can be defined as shown in Table 1 below.

보안 수준Security level 인증 방식Authentication method 암호화 방식Encryption method Level 1Level 1 상호인증Mutual Authentication 암호화함Encrypted Level 2Level 2 단일인증Single authentication 암호화함Encrypted Level 3Level 3 상호인증Mutual Authentication 암호화 안함Do not encrypt Level 4Level 4 단일인증Single authentication 암호화 안함Do not encrypt Level 5Level 5 인증 없음No authentication 암호화 안함Do not encrypt

이에, 보안수준판단부(110)는, 접속된 네트워크중계장치(200 또는 201)와의 접속에 근거하여 네트워크중계장치(200 또는 201)의 인증 방식 및 암호화 방식을 인지할 수 있고, 이를 토대로 접속된 네트워크중계장치(200 또는 201)가 특정 보안수준(예 : Level 5) 이하인지 여부를 판단할 수 있고, 판단결과를 보안경보부(120) 및 인증제어부(130)로 전달한다.Accordingly, the security level determining unit 110 may recognize the authentication method and the encryption method of the network relay device 200 or 201 based on the connection with the connected network relay device 200 or 201, and are connected based on this. It may be determined whether the network relay device 200 or 201 is below a specific security level (for example, Level 5), and the determination result is transmitted to the security alarm unit 120 and the authentication control unit 130.

보안경보부(120)는, 네트워크중계장치가 상기 특정 보안수준 이하인 경우, 특정 보안중계장치와의 보안채널 형성이 요구됨을 알리는 경고 및 보안채널 형성을 선택하도록 유도하는 선택유도 중 적어도 어느 하나를 제공한다.The security alarm unit 120 provides at least one of a warning for informing that a security channel is formed with a specific security relay device and a selection induction for selecting a security channel when the network relay device is below the specific security level. .

즉, 보안경보부(120)는, 보안수준판단부(110)의 판단결과 특정 보안수준(예 : Level 5) 이하인 네트워크중계장치(201)에 접속된 경우, 접속된 네트워크중계장치(201)의 보안수준이 낮아 보안중계장치와의 보안채널 형성이 요구됨을 알리는 경고 메시지 및/또는 경고 음을 출력할 수 있고, 또는 경고 메시지 및 경고 음 출력과 함께 보안채널 형성을 사용자로 하여금 선택하도록 유도하는 선택유도항목을 출력할 수 있다.That is, when the security alarm unit 120 is connected to the network relay device 201 having a specific security level (for example, Level 5) or less as a result of the determination of the security level determining unit 110, the security of the connected network relay device 201 is secured. A low level can output a warning message and / or a warning tone indicating that a secure channel establishment with a secure relay device is required, or a selection induction to induce a user to select a secure channel formation together with a warning message and a warning tone output. You can print an item.

이에, 단말장치(100)의 사용자는, 단말장치(100)가 현재 접속한 WiFi 네트워크의 네트워크중계장치(201)가 보안에 취약함을 지각하고, 보안중계장치(600)와의 보안채널 형성을 선택하여 수락할 수 있다.Accordingly, the user of the terminal device 100 recognizes that the network relay device 201 of the WiFi network to which the terminal device 100 is currently connected is vulnerable to security, and selects to establish a secure channel with the security relay device 600. To accept.

인증제어부(130)는, 네트워크중계장치가 상기 특정 보안수준 이하인 경우, 획득한 특정 인증관련정보를 기반으로 생성되는 인증정보를 이용하여 특정 보안중계장치(600)와의 보안채널을 형성하고, 네트워크중계장치가 상기 특정 보안수준 이하가 아닌 경우, 네트워크중계장치를 통해 인증서버(800)와의 초기 인증을 수행하고 상기 초기 인증 수행에 근거하여 인증지원장치(700)에서 생성된 특정 인증관련정보를 요청하여 획득한다.When the network relay device is less than the specific security level, the authentication control unit 130 forms a secure channel with the specific security relay device 600 by using the authentication information generated based on the obtained specific authentication related information, and relays the network. If the device is not below the specific security level, perform an initial authentication with the authentication server 800 through the network relay device, and requests the specific authentication related information generated by the authentication support device 700 based on the initial authentication performed Acquire.

보다 구체적으로 설명하면, 인증제어부(130)는, 보안수준판단부(110)의 판단결과 특정 보안수준(예 : Level 5) 이하가 아닌 네트워크중계장치(200)에 접속된 경우, 네트워크중계장치(200)를 통해 인증서버(809)와의 초기 인증을 수행하고 상기 초기 인증 수행에 근거하여 인증지원장치(700)에서 생성된 특정 인증관련정보를 요청하여 획득한다.In more detail, when the authentication control unit 130 is connected to the network relay device 200 that is not lower than a specific security level (for example, Level 5) as a result of the determination of the security level determining unit 110, the network relay device ( Initial authentication with the authentication server 809 is performed through 200, and the specific authentication related information generated by the authentication support apparatus 700 is requested and obtained based on the initial authentication.

즉, 인증제어부(130)는, 보안수준(예 : Level 5) 이하가 아닌 네트워크중계장치(200)에 접속된 경우, 네트워크중계장치(200)의 인증 방식에 따라 네트워크중계장치(200)를 통해 인증서버(809)와의 초기 인증(예 : EAP 기반의 초기 인증)을 수행하는 일반적인 접속/인증 절차를 수행하고, 이 과정에서 인증서버(800)는 인증제어부(130)와 마스터세션키를 공유하게 된다.That is, when the authentication control unit 130 is connected to the network relay device 200 that is not lower than the security level (for example, Level 5), the network relay device 200 according to the authentication method of the network relay device 200. Performs a general connection / authentication procedure that performs initial authentication (eg, EAP-based initial authentication) with the authentication server 809. In this process, the authentication server 800 shares the master session key with the authentication control unit 130. do.

이후, 데이터제어부(140)는, 인증서버(800)와의 초기 인증 수행 후 네트워크중계장치(200)를 통해 WiFi 네트워크에 접속하여 기존과 같이 데이터 트래픽을 송수신할 것이다.Thereafter, the data control unit 140, after performing the initial authentication with the authentication server 800 will be connected to the WiFi network through the network relay 200 to transmit and receive data traffic as before.

그리고, 인증제어부(130)는, 네트워크중계장치(200)를 통한 인증서버(800)와의 초기 인증이 수행되면 인증지원장치(700)로 인증관련정보를 요청한다. 이에, 인증지원장치(700)는, 단말장치(100)로부터의 인증관련정보 요청에 따라 인증서버(800)로부터 인증수행정보 즉 마스터세션키를 획득하고 이를 토대로 전술과 같이 인증관련정보를 단말장치(100)로 제공할 것이고, 인증제어부(130)는 인증관련정보를 획득하여 저장하게 된다.When the initial authentication with the authentication server 800 through the network relay apparatus 200 is performed, the authentication controller 130 requests authentication related information to the authentication support apparatus 700. Accordingly, the authentication support apparatus 700 obtains authentication performance information, that is, a master session key, from the authentication server 800 in response to a request for authentication related information from the terminal device 100, and based on this, the authentication related information as described above. It will be provided to (100), the authentication control unit 130 obtains and stores the authentication related information.

이는, 네트워크중계장치(200)를 통한 인증서버(800)와의 초기 인증 수행 후 단말장치(100)의 데이터제어부(140)가 보안수준이 높은 네트워크중계장치(200)를 통해 WiFi 네트워크에 접속하여 기존과 같이 데이터 트래픽을 송수신하는 동안, 별도로 인증제어부(130)가 미리 인증관련정보를 획득하여 보유하고 있기 위함이다.This is because, after performing initial authentication with the authentication server 800 through the network relay device 200, the data controller 140 of the terminal device 100 accesses the WiFi network through the network relay device 200 having a high security level. This is because the authentication control unit 130 separately obtains and holds authentication related information while transmitting and receiving data traffic as described above.

한편, 인증제어부(130)는, 보안수준판단부(110)의 판단결과 특정 보안수준(예 : Level 5) 이하인 네트워크중계장치(201)이 접속된 경우, 유효한 인증관련정보를 보유하고 있는지 여부를 판단한다.On the other hand, the authentication control unit 130, the security level determination unit 110 determines whether the network relay device 201 having a specific security level (for example, Level 5) or less, whether or not has valid authentication related information. To judge.

즉, 인증제어부(130)는, 보안수준판단부(110)의 판단결과 특정 보안수준(예 : Level 5) 이하인 네트워크중계장치(201)이 접속된 경우, 사용자에 의해 보안채널 형성이 선택되면 유효한 인증관련정보를 보유하고 있는지 여부를 판단할 수 있다. 물론, 인증제어부(130)는, 사용자에 의한 보안채널 형성 선택절차를 생략하고 보안수준판단부(110)의 판단결과 특정 보안수준(예 : Level 5) 이하인 네트워크중계장치(201)이 접속된 경우 자동으로 유효한 인증관련정보를 보유하고 있는지 여부를 판단할 수도 있다.That is, the authentication control unit 130 is effective when the security channel is selected by the user when the network relay device 201 having a specific security level (for example, Level 5) or less is connected as a result of the determination of the security level determining unit 110. It is possible to determine whether or not there is authentication related information. Of course, the authentication control unit 130 omits the procedure for selecting a security channel by the user, and when the network relay device 201 is connected to a network having a specific security level (for example, Level 5) or less as a result of the determination of the security level determining unit 110. It is also possible to automatically determine whether it has valid authentication information.

이에, 인증관련정보를 획득/보유하는 절차를 수행하지 않았거나 또는 획득한 인증관련정보의 유효 기간이 만료된 경우, 인증제어부(130)는, 유효한 인증관련정보를 보유하고 있지 않다고 판단할 것이다.Thus, if the procedure of acquiring / holding the authentication related information is not performed or the validity period of the obtained authentication related information has expired, the authentication controller 130 may determine that it does not have valid authentication related information.

이처럼 인증제어부(130)는, 유효한 인증관련정보를 보유하고 있지 않다고 판단하면, 특정 인증지원장치(700)를 통해 인증서버(800)와의 초기 인증을 수행하고 상기 초기 인증 수행에 근거하여 인증지원장치(700)에서 생성된 특정 인증관련정보를 요청하여 획득한다.As such, if it is determined that the authentication control unit 130 does not have valid authentication related information, the authentication control unit performs initial authentication with the authentication server 800 through the specific authentication support apparatus 700 and based on the initial authentication, the authentication support apparatus. Requests and obtains specific authentication related information generated at 700.

즉, 인증제어부(130)는, 인증지원장치(700)를 통한 인증서버(800)와의 EAP 기반의 초기 인증을 수행하고, 이 과정에서 인증서버(800)는 인증제어부(130)와 마스터세션키를 공유하게 된다. 인증지원장치(700)는 초기 인증 수행에 따른 인증 성공 메시지를 인증서버(210)로부터 수신할 때 초기 인증 수행에 따른 인증수행정보 즉 마스터세션키를 획득한다. That is, the authentication control unit 130 performs initial authentication based on EAP with the authentication server 800 through the authentication support apparatus 700, and in this process, the authentication server 800 is the authentication control unit 130 and the master session key. Will be shared. When the authentication support device 700 receives the authentication success message according to the initial authentication from the authentication server 210, the authentication support device 700 obtains authentication performance information, that is, master session key, according to the initial authentication.

그리고, 인증제어부(130)는, 인증지원장치(700)를 통한 인증서버(800)와의 초기 인증이 수행되면 인증지원장치(700)로 인증관련정보를 요청한다. 이에, 인증지원장치(700)는, 전술과 같이 단말장치(100)로부터의 인증관련정보 요청에 따라 인증관련정보를 단말장치(100)로 제공할 것이고, 인증제어부(130)는 인증관련정보를 획득하게 된다.When the initial authentication with the authentication server 800 through the authentication support apparatus 700 is performed, the authentication control unit 130 requests authentication related information to the authentication support apparatus 700. Accordingly, the authentication support apparatus 700 will provide the authentication related information to the terminal device 100 according to the request for authentication related information from the terminal device 100 as described above, and the authentication control unit 130 will provide the authentication related information. You get it.

이에 인증제어부(130)는, 기 보유하고 있던 또는 새롭게 획득한 인증관련정보를 기반으로 인증정보(인증값)를 생성한다.In this regard, the authentication control unit 130 generates authentication information (authentication value) based on previously held or newly acquired authentication related information.

구체적으로 설명하면, 인증관련정보는, 보안중계장치(600) 도메인 네임 및 IP 주소, 현재시간, 인증정보 만료시간 등을 포함하는 보안중계장치에 대한 정보와, 인증정보 생성에 필요한 정보들을 포함하는 인증생성정보를 포함할 수 있다.Specifically, the authentication related information includes the information about the security relay apparatus including the security relay apparatus 600 domain name and IP address, the current time, the authentication information expiration time, and the like, and information necessary for generating authentication information. It may include authentication generation information.

이에, 인증제어부(130)는, 인증관련정보의 인증생성정보를 기반으로 다음과 같은 수식1에 따라 인증정보(인증값)를 생성할 수 있다.Thus, the authentication control unit 130 may generate authentication information (authentication value) according to Equation 1 below based on authentication generation information of the authentication related information.

수식1.Equation 1.

인증값 = H(인증생성정보 || 마스터세션키의 상위 64bit )Authentication value = H (Authentication generation information || high 64 bits of master session key)

여기서, H 함수는 충분히 강력한 보안 강도를 가지는 크기의 일방향 해쉬함수이다.Here, the H function is a one-way hash function of sufficient security strength.

이에, 인증제어부(130)는, 인증관련정보의 보안중계장치에 대한 정보를 기반으로 보안중계장치(600)에 접속하고, 생성한 인증정보를 이용하여 보안중계장치(600)와의 보안채널을 형성할 수 있다. Accordingly, the authentication control unit 130 connects to the secure relay device 600 based on the information on the secure relay device of the authentication related information, and forms a secure channel with the secure relay device 600 using the generated authentication information. can do.

즉, 인증제어부(130) 및 보안중계장치(600)는, 사전에 공유된 인증정보(인증값)을 이용하여 상호 인증 및 키 교환절차를 수행하여 보안채널을 형성할 수 있다. 이때 상호 인증 및 키 교환절차는 미리 공유된 패스워드 기반의 인증된 디피-헬만 키 교환 기법, 또는 challenge-response 방식의 빠른 재인증 기법 등과 같이 여러 가지 인증 및 키 교환 기법 중 하나가 사용될 수 있다. 인증제어부(130) 및 보안중계장치(600) 간의 상호 인증 및 키 교환절차로 생성된 세션 키는 보안 채널 형성을 위한 IPSec의 키 또는 데이터 암호화 키를 유도하는데 사용할 수 있다.That is, the authentication control unit 130 and the security relay 600 may form a secure channel by performing mutual authentication and key exchange procedures using previously shared authentication information (authentication value). In this case, the mutual authentication and key exchange procedure may use one of various authentication and key exchange techniques, such as a pre-shared password-based authenticated Diffie-Hellman key exchange technique or a challenge-response type quick re-authentication technique. The session key generated by the mutual authentication and key exchange procedure between the authentication controller 130 and the security relay 600 may be used to derive a key or data encryption key of IPSec for forming a secure channel.

이처럼 인증제어부(130) 및 보안중계장치(600) 간에 보안채널이 형성되면, 데이터제어부(140)는, 네트워크중계장치(201)에 대응되는 데이터 트래픽을 보안채널을 통해 보안중계장치(600)와 송수신한다. 이때, 데이터제어부(140) 및 보안중계장치(600) 간 보안채널을 통해 송수신되는 데이터 트래픽은 암호화 되어 송수신되기 때문에 보안수준이 낮은 네트워크중계장치(201)를 통한 송수신에 대비하여 보안성이 크게 향상된다.As such, when a secure channel is formed between the authentication controller 130 and the secure relay device 600, the data controller 140 transmits data traffic corresponding to the network relay device 201 to the secure relay device 600 through the secure channel. Send and receive In this case, since the data traffic transmitted and received through the secure channel between the data control unit 140 and the security relay device 600 is encrypted and transmitted and received, the security is greatly improved in preparation for transmission and reception through the network relay device 201 having a low security level. do.

이에, 보안중계장치(600)는, 단말장치(100)에 대응하는 인증정보(인증값)를 기반으로 형성된 보안채널을 통해, 단말장치(100)에 대응하는 데이터 트래픽을 외부로 중계한다. 즉, 보안중계장치(600)는, 보안채널을 통해 단말장치(100)와 송수신하는 암호화된 데이터 트래픽을 복호화하여 외부로 중계하게 된다.Accordingly, the security relay apparatus 600 relays data traffic corresponding to the terminal apparatus 100 to the outside through a security channel formed based on authentication information (authentication value) corresponding to the terminal apparatus 100. That is, the secure relay device 600 decrypts the encrypted data traffic transmitted and received with the terminal device 100 through the secure channel and relays the encrypted data traffic to the outside.

이때, 단말장치(100)의 별도 UI부(예 : 보안정보표시부)는, 현재의 인증 및 암호화 여부 등 보안수준 정도를 저장 한 후 사용자에게 쉽게 알 수 있도록 보안정보 트레이 아이콘의 색 또는 모양 등의 형태로 차별화하여 표시할 수 있다. 그리고 UI부(예 : 보안정보표시부)는, 사용자가 보안정보 트레이 아이콘을 선택하면, 자세한 인증 및 암호화 정보를 알려주며 이는 상호 인증 여부 암호화 방식 등의 정보를 포함한다.In this case, a separate UI unit (eg, security information display unit) of the terminal device 100 stores a security level, such as current authentication and encryption, and then displays the color or shape of the security information tray icon so that the user can easily know. Different forms can be displayed. When the user selects the security information tray icon, the UI unit (eg, the security information display unit) informs detailed authentication and encryption information, and includes information such as mutual authentication or encryption method.

UI부(예 : 보안정보표시부)에서 표시하는 보안정보 트레이 아이콘은, 사용자의 편의성을 고려하여 항상 표시하거나 표시하지 않게 설정할 수 있도록 한다. 이때 사용자는 보안정보 트레이 아이콘의 자세한 정보를 확인한 후 보안중계장치(600)와의 보안채널 형성이 필요하다고 판단될 시, 보안채널 형성을 선택할 수 있고, 이 경우 인증제어부(130)는 보안중계장치(600)와의 보안채널을 형성하기 위한 전술의 절차를 수행할 수 있다.The security information tray icon displayed by the UI unit (eg, the security information display unit) may be set to be displayed or not displayed at all times in consideration of user convenience. In this case, the user may check the detailed information of the security information tray icon, and when it is determined that the security channel is formed with the security relay device 600, the user may select the formation of the security channel. In this case, the authentication controller 130 may use the security relay device ( The above-described procedure for establishing a secure channel with 600 may be performed.

이하에서는 도 3을 참조하여 본 발명에 따른 인증지원장치의 구성을 보다 구체적으로 설명하도록 한다.Hereinafter, the configuration of the authentication support apparatus according to the present invention will be described in more detail with reference to FIG. 3.

본 발명에 따른 인증지원장치(700)는, 특정 단말장치(100)로부터의 요청에 따라, 단말장치(100)에 대응하는 특정 인증서버(800)와의 초기 인증 수행에 따른 인증수행정보를 획득하는 정보획득부(710)와, 상기 인증수행정보를 이용하여 특정 인증생성정보를 생성하고, 상기 인증생성정보를 기반으로 특정 인증정보를 생성하는 정보생성부(720)와, 상기 인증생성정보 및 특정 보안중계장치(600)에 대한 정보를 포함하는 인증관련정보를 단말장치(100)로 제공하고, 단말장치(100)에 대응하여 생성한 상기 인증정보를 보안중계장치(600)로 제공하는 정보제공부(730)를 포함한다.The authentication support apparatus 700 according to the present invention, according to a request from the specific terminal device 100, to obtain the authentication performance information according to the initial authentication performed with the specific authentication server 800 corresponding to the terminal device 100; An information acquisition unit 710, an information generation unit 720 for generating specific authentication generation information using the authentication execution information, and generating specific authentication information based on the authentication generation information, and the authentication generation information and the specific information. An information system for providing authentication related information including information about the security relay device 600 to the terminal device 100 and providing the authentication information generated corresponding to the terminal device 100 to the security relay device 600. Study 730 is included.

정보획득부(710)는, 특정 단말장치(100)로부터의 요청에 따라, 단말장치(100)에 대응하는 특정 인증서버(800)와의 초기 인증 수행에 따른 인증수행정보를 획득한다.The information acquisition unit 710 acquires authentication performance information according to initial authentication with the specific authentication server 800 corresponding to the terminal device 100 in response to a request from the specific terminal device 100.

보다 구체적으로 설명하면, 정보획득부(710)는, 인증서버(800)와의 초기 인증이 수행된 단말장치(100)로부터 인증관련정보가 요청되면, 인증서버(800)로부터 단말장치(100)에 대응하는 초기 인증 수행에 따른 인증수행정보 즉 마스터세션키를 요청하여 획득할 수 있다.More specifically, the information acquisition unit 710, when the authentication related information is requested from the terminal device 100, the initial authentication with the authentication server 800 is performed, from the authentication server 800 to the terminal device 100; It can be obtained by requesting authentication performance information, i.e., master session key, according to corresponding initial authentication.

또한, 정보획득부(710)는, 인증지원장치(700)를 통해 인증서버(800)와의 초기 인증을 수행하는 단말장치(100)에 대응하여 인증 성공 메시지를 인증서버(210)로부터 수신할 때 초기 인증 수행에 따른 인증수행정보 즉 마스터세션키를 획득할 수 있다. In addition, when the information acquisition unit 710 receives an authentication success message from the authentication server 210 in response to the terminal device 100 performing initial authentication with the authentication server 800 through the authentication support device 700. Authentication performing information according to initial authentication, that is, master session key can be obtained.

정보생성부(720)는, 획득한 인증수행정보 즉 마스터세션키를 이용하여 특정 인증생성정보를 생성하고, 인증생성정보를 기반으로 특정 인증정보를 생성한다.The information generation unit 720 generates specific authentication generation information using the obtained authentication performance information, that is, the master session key, and generates specific authentication information based on the authentication generation information.

보다 구체적으로 설명하면, 정보생성부(720)는, 획득한 인증수행정보 즉 마스터세션키를 이용하여 다음과 같은 수식2에 따라 인증정보 생성에 필요한 정보들 즉 인증생성정보를 생성한다.In more detail, the information generation unit 720 generates the information necessary for generating authentication information, that is, authentication generation information according to Equation 2 using the obtained authentication performance information, that is, the master session key.

수식2.Equation 2.

인증생성정보 = H(마스터세션키의 하위 64bit || 보안중계장치(600)도메인 네임 || 현재시간 || 인증정보 만료시간 )Authentication generation information = H (lower 64bit of master session key || secure relay device (600) domain name || current time || authentication information expiration time)

그리고, 정보생성부(720)는, 인증생성정보를 기반으로 전술의 수식1에 따라 인증정보(인증값)를 생성할 수 있다. In addition, the information generating unit 720 may generate authentication information (authentication value) according to Equation 1 above based on the authentication generation information.

정보제공부(730)는, 상기 인증생성정보 및 특정 보안중계장치(600)에 대한 정보를 포함하는 인증관련정보를 단말장치(100)로 제공하고, 단말장치(100)에 대응하여 생성한 상기 인증정보를 보안중계장치(600)로 제공한다.The information providing unit 730 provides the terminal 100 with authentication related information including the authentication generation information and the information about the specific security relay 600, and generated in response to the terminal device 100. The authentication information is provided to the security relay device 600.

즉, 정보제공부(730)는, 인증정보 생성에 필요한 정보들을 포함하는 인증생성정보와, 보안중계장치(600) 도메인 네임 및 IP 주소, 현재시간, 인증정보 만료시간 등을 포함하는 보안중계장치에 대한 정보를 포함하는 인증관련정보를 단말장치(100)로 제공한다.That is, the information providing unit 730, the authentication relay generation information including the information necessary for generating the authentication information, the security relay device 600 including a domain name and IP address, the current time, authentication information expiration time, etc. It provides the terminal 100 with the authentication-related information, including information about.

그리고, 정보제공부(730)는, 단말장치(100)에 대응하여 생성한 인증정보(인증값), 단말장치(100)의 식별정보, 인증정보 만료시간 등을 보안중계장치(600)로 제공할 수 있다.The information providing unit 730 provides the security relay 600 with authentication information (authentication value) generated in correspondence with the terminal device 100, identification information of the terminal device 100, and an expiration time of the authentication information. can do.

이에, 보안중계장치(600)는 단말장치(100)에 대응하여 생성한 인증정보(인증값), 단말장치(100)의 식별정보, 인증정보 만료시간 등을 저장하고, 이후 단말장치(100)와의 보안채널 형성에 이용할 것이다.Thus, the security relay device 600 stores the authentication information (authentication value) generated in correspondence with the terminal device 100, identification information of the terminal device 100, authentication information expiration time, and the like, and then the terminal device 100 It will be used to establish a secure channel with.

이상에서 설명한 바와 같이 본 발명에 따른 네트워크 접속 보안 강화 시스템은, 보안수준이 낮은 네트워크중계장치(WiFi AP)에 접속 시 이를 자동으로 감지하여 사용자에게 알려줌으로써 WiFi 네트워크 연결에 대한 보안수준 정보를 사용자로 하여금 인지할 수 있게 해주고, 보안수준이 낮은 네트워크중계장치(WiFi AP) 대신 보안이 보장되는 특정 보안중계장치로의 보안채널을 형성하여 이를 통해 데이터 트래픽을 송수신함으로써 보안성을 향상시킬 수 있다.As described above, the network access security strengthening system according to the present invention automatically detects when connecting to a low security network relay device (WiFi AP) and informs the user of the security level information on the WiFi network connection as a user. It can improve security by transmitting and receiving data traffic through a secure channel to a specific security relay device to ensure security instead of a low security network relay device (WiFi AP).

이하에서는 도 4 내지 도 7을 참조하여, 본 발명의 바람직한 실시예에 따른 네트워크 접속 보안 강화 방법을 설명하도록 한다. 여기서, 설명의 편의를 위해 전술한 도 1 내지 도 3에 도시된 구성은 해당 참조번호를 언급하여 설명하겠다. Hereinafter, a method of strengthening network access security according to a preferred embodiment of the present invention will be described with reference to FIGS. 4 to 7. Here, for convenience of description, the components shown in FIGS. 1 to 3 will be described with reference to corresponding reference numerals.

먼저, 도 4 및 도 5를 참조하여 본 발명의 바람직한 실시예에 따른 네트워크 접속 보안 강화 방법을 설명하도록 한다.First, a method of strengthening network access security according to a preferred embodiment of the present invention will be described with reference to FIGS. 4 and 5.

도 4는, 단말장치(100)가 특정 보안수준 이하가 아닌 즉 보안성이 보장되는 네트워크중계장치에 접속한 이후 보안수준 이하인 네트워크중계장치에 접속하는 일 실시예를 보여주고 있다.4 illustrates an embodiment in which the terminal device 100 accesses a network relay device that is less than or equal to a security level after accessing a network relay device that is not security level or less, that is, security is guaranteed.

단말장치(100)는, 특정 네트워크에 접속하고자 해당 네트워크를 지원하는 네트워크중계장치(200)에 접속하고(S5), 네트워크중계장치(200)가 특정 보안수준(예 : Level 5) 이하가 아니므로 기존과 같이 네트워크중계장치(200)를 통해 인증서버(809)와의 초기 인증을 수행한다(S10). 이에, 단말장치(100)는, 인증서버(800)와의 초기 인증 수행 후 네트워크중계장치(200)를 통해 WiFi 네트워크에 접속하여 기존과 같이 데이터 트래픽을 송수신할 것이다.The terminal device 100 connects to the network relay device 200 supporting the network in order to access a specific network (S5), and the network relay device 200 is not below a specific security level (for example, Level 5). As before, initial authentication with the authentication server 809 is performed through the network relay apparatus 200 (S10). Thus, the terminal device 100, after performing the initial authentication with the authentication server 800 will be connected to the WiFi network through the network relay device 200 to transmit and receive data traffic as before.

그리고, 단말장치(100)는, 인증관련정보를 인증지원장치(700)에 요청한다(S20).In addition, the terminal apparatus 100 requests authentication related information to the authentication support apparatus 700 (S20).

이에, 인증지원장치(700)는, 단말장치(100)로부터의 인증관련정보 요청에 따라 인증서버(800)로부터 인증수행정보(마스터세션키)를 획득하고(S25), 이를 토대로 인증생성정보를 생성하고, 인증생성정보를 이용하여 인증정보를 생성한다(S30). Accordingly, the authentication support apparatus 700 obtains authentication performance information (master session key) from the authentication server 800 according to the authentication related information request from the terminal device 100 (S25), and based on the authentication generation information Generate and generate authentication information using the authentication generation information (S30).

그리고, 인증지원장치(700)는, 인증관련정보를 단말장치(100)로 제공하고(S33), 단말장치(100)에 대응하여 생성한 인증정보, 단말장치(100)의 식별정보, 인증정보 만료시간 등을 보안중계장치(600)로 제공한다(S36).In addition, the authentication support apparatus 700 provides authentication related information to the terminal apparatus 100 (S33), authentication information generated in correspondence with the terminal apparatus 100, identification information of the terminal apparatus 100, and authentication information. The expiration time and the like are provided to the security relay device 600 (S36).

여기서 인증관련정보는, 보안중계장치(600) 도메인 네임 및 IP 주소, 현재시간, 인증정보 만료시간 등을 포함하는 보안중계장치에 대한 정보와, 인증정보 생성에 필요한 정보들을 포함하는 인증생성정보를 포함할 수 있다.In this case, the authentication related information may include information about the security relay device including the security relay device 600 domain name and IP address, current time, authentication information expiration time, and authentication generation information including information necessary for generating authentication information. It may include.

이에 단말장치(100)는, 보안수준이 높은 네트워크중계장치(200)를 통해 WiFi 네트워크에 접속하여 기존과 같이 데이터 트래픽을 송수신하는 동안, 별도로 미리 인증관련정보를 획득하여 보유/저장할 수 있다(S40).Accordingly, the terminal device 100 may separately obtain and store / store authentication related information in advance, while accessing a WiFi network through a network relay device 200 having high security level and transmitting and receiving data traffic as before (S40). ).

이 후 단말장치(100)는, 네트워크중계장치(200)와의 접속이 종료된 후 다시 WiFi 네트워크에 연결하고자 네트워크중계장치(201)에 접속한다(S50).Thereafter, the terminal device 100 connects to the network relay device 201 to connect to the WiFi network again after the connection with the network relay device 200 is terminated (S50).

단말장치(100)는, 네트워크중계장치(201)가 특정 보안수준(예 : Level 5) 이하인 보안수준이 낮은 AP라고 판단하고(S60), S40단계에서 저장/보유하고 있는 유효한 인증관련정보를 기반으로 보안중계장치(600)에 접속하여 보안채널을 형성한다(S70).The terminal device 100 determines that the network relay device 201 is an AP having a low security level equal to or less than a specific security level (eg, Level 5) (S60), and based on valid authentication related information stored / held in step S40. By connecting to the security relay 600 to form a secure channel (S70).

즉, 단말장치(100)는, 인증관련정보를 기반으로 인증정보를 생성한다. 이때, 단말장치(100)에서 인증관련정보를 기반으로 생성한 인증정보(인증값)는 인증지원장치(700)에서 단말장치(100)에 대응하여 생성하고 보안중계장치(600)로 제공한 인증정보(인증값)와 동일할 것이며, 이로써 단말장치(100) 및 보안중계장치(600) 간에 인증정보를 공유하게 된다.That is, the terminal device 100 generates authentication information based on the authentication related information. In this case, the authentication information (authentication value) generated based on the authentication related information in the terminal device 100 is generated in response to the terminal device 100 in the authentication support device 700 and provided to the security relay device 600. It will be the same as the information (authentication value), thereby sharing the authentication information between the terminal device 100 and the security relay device 600.

이에, 단말장치(100)는, 생성한 인증정보를 이용하여 특정 보안중계장치(600)에 접속하여 보안중계장치(600)와의 보안채널을 형성할 수 있다. Accordingly, the terminal device 100 may establish a secure channel with the secure relay device 600 by accessing the specific secure relay device 600 using the generated authentication information.

이처럼 단말장치(100) 및 보안중계장치(600) 간에 보안채널이 형성되면, 단말장치(100)는, 네트워크중계장치(201)에 대응되는 데이터 트래픽을 보안채널을 통해 보안중계장치(600)와 송수신한다(S80). 이때, 단말장치(100) 및 보안중계장치(600) 간 보안채널을 통해 송수신되는 데이터 트래픽은 암호화 되어 송수신되기 때문에 보안수준이 낮은 네트워크중계장치(201)를 통한 송수신에 대비하여 보안성이 크게 향상된다.As such, when a secure channel is formed between the terminal device 100 and the secure relay device 600, the terminal device 100 transmits data traffic corresponding to the network relay device 201 to the secure relay device 600 through the secure channel. Send and receive (S80). In this case, since the data traffic transmitted and received through the secure channel between the terminal device 100 and the secure relay device 600 is encrypted and transmitted and received, the security is greatly improved in preparation for transmission and reception through the network relay device 201 having a low security level. do.

이에, 보안중계장치(600)는, 단말장치(100)에 대응하는 인증정보(인증값)를 기반으로 형성된 보안채널을 통해, 단말장치(100)에 대응하는 데이터 트래픽을 외부(1)로 중계한다(S85). 즉, 보안중계장치(600)는, 보안채널을 통해 단말장치(100)와 송수신하는 암호화된 데이터 트래픽을 복호화하여 외부(1)로 중계하게 된다.Accordingly, the security relay apparatus 600 relays data traffic corresponding to the terminal apparatus 100 to the outside 1 through a security channel formed based on authentication information (authentication value) corresponding to the terminal apparatus 100. (S85). That is, the secure relay device 600 decrypts the encrypted data traffic transmitted and received with the terminal device 100 through the secure channel and relays the encrypted data traffic to the outside 1.

도 5는, 단말장치(100)가 기 보유하고 있는 유효 인증관련정보를 가지고 있지 않은 상태에서 특정 보안수준 이하인 네트워크중계장치에 접속하는 일 실시예를 보여주고 있다.FIG. 5 illustrates an embodiment in which the terminal apparatus 100 accesses a network relay apparatus having a specific security level or less without having valid authentication related information already held.

단말장치(100)는, 특정 네트워크에 접속하고자 해당 네트워크를 지원하는 네트워크중계장치(201)에 접속한다(S90). The terminal device 100 connects to a network relay device 201 supporting the corresponding network in order to access a specific network (S90).

단말장치(100)는, 네트워크중계장치(201)가 특정 보안수준(예 : Level 5) 이하의 보안수준이 낮은 AP라고 판단하고(S100), 유효한 인증관련정보를 기 보유하고 있지 않아 인증지원장치(700)를 통해 인증서버(800)와의 초기 인증을 수행한다(S110). The terminal device 100 determines that the network relay device 201 is an AP having a low security level below a specific security level (for example, Level 5) (S100), and does not have valid authentication related information. Initial authentication with the authentication server 800 is performed (700) (S110).

즉, 단말장치(100)는, 인증지원장치(700)를 통한 인증서버(800)와의 EAP 기반의 초기 인증을 수행하고, 이 과정에서 인증서버(800)는 단말장치(100)와 마스터세션키를 공유하게 되고, 마스터세션키를 보안수준 이하인 네트워크중계장치(201)로는 전달하지 않는다. That is, the terminal device 100 performs EAP-based initial authentication with the authentication server 800 through the authentication support device 700. In this process, the authentication server 800 is connected to the terminal device 100 and the master session key. Are shared, and the master session key is not transmitted to the network relay device 201 having a security level or less.

이때 인증지원장치(700)는 인증 성공 메시지를 인증서버(210)로부터 수신할 때 초기 인증 수행에 따른 인증수행정보 즉 마스터세션키를 획득한다(S125). At this time, when receiving the authentication success message from the authentication server 210, the authentication support apparatus 700 obtains authentication performance information, that is, master session key, according to the initial authentication (S125).

그리고, 단말장치(100)는, 인증서버(800)와의 초기 인증이 수행되면, 인증지원장치(700)로 인증관련정보를 요청한다(S120).When the initial authentication with the authentication server 800 is performed, the terminal device 100 requests authentication related information to the authentication support apparatus 700 (S120).

이에, 인증지원장치(700)는, 단말장치(100)에 대응하여 획득한 인증수행정보(마스터세션키)를 이용하여 인증생성정보를 생성하고, 인증생성정보를 이용하여 인증정보를 생성한다(S130). Accordingly, the authentication support apparatus 700 generates authentication generation information using the authentication performance information (master session key) obtained in correspondence with the terminal apparatus 100, and generates authentication information using the authentication generation information ( S130).

그리고, 인증지원장치(700)는, 인증관련정보를 단말장치(100)로 제공하고(S133), 단말장치(100)에 대응하여 생성한 인증정보, 단말장치(100)의 식별정보, 인증정보 만료시간 등을 보안중계장치(600)로 제공한다(S136).In addition, the authentication support apparatus 700 provides authentication related information to the terminal apparatus 100 (S133), authentication information generated corresponding to the terminal apparatus 100, identification information of the terminal apparatus 100, and authentication information. The expiration time and the like are provided to the security relay device 600 (S136).

여기서 인증관련정보는, 보안중계장치(600) 도메인 네임 및 IP 주소, 현재시간, 인증정보 만료시간 등을 포함하는 보안중계장치에 대한 정보와, 인증정보 생성에 필요한 정보들을 포함하는 인증생성정보를 포함할 수 있다.In this case, the authentication related information may include information about the security relay device including the security relay device 600 domain name and IP address, current time, authentication information expiration time, and authentication generation information including information necessary for generating authentication information. It may include.

이에 단말장치(100)는, 보안수준 이하인 네트워크중계장치(201)에 접속한 경우 유효한 인증관련정보를 보유하고 있지 않으면 인증지원장치(700)로부터 획득하여 저장할 수 있다(S140).Accordingly, when the terminal device 100 is connected to the network relay device 201 having a security level or less, if the terminal device 100 does not have valid authentication related information, the terminal device 100 may obtain and store it from the authentication support device 700 (S140).

그리고 단말장치(100)는, 획득한 인증관련정보를 기반으로 보안중계장치(600)에 접속하여 보안채널을 형성한다(S150).The terminal device 100 forms a secure channel by accessing the secure relay device 600 based on the obtained authentication related information (S150).

즉, 단말장치(100)는, 인증관련정보를 기반으로 인증정보를 생성한다. 이때, 단말장치(100)에서 인증관련정보를 기반으로 생성한 인증정보(인증값)는 인증지원장치(700)에서 단말장치(100)에 대응하여 생성하고 보안중계장치(600)로 제공한 인증정보(인증값)와 동일할 것이며, 이로써 단말장치(100) 및 보안중계장치(600) 간에 인증정보를 공유하게 된다.That is, the terminal device 100 generates authentication information based on the authentication related information. In this case, the authentication information (authentication value) generated based on the authentication related information in the terminal device 100 is generated in response to the terminal device 100 in the authentication support device 700 and provided to the security relay device 600. It will be the same as the information (authentication value), thereby sharing the authentication information between the terminal device 100 and the security relay device 600.

이에, 단말장치(100)는, 생성한 인증정보를 이용하여 특정 보안중계장치(600)에 접속하여 보안중계장치(600)와의 보안채널을 형성할 수 있다. Accordingly, the terminal device 100 may establish a secure channel with the secure relay device 600 by accessing the specific secure relay device 600 using the generated authentication information.

이처럼 단말장치(100) 및 보안중계장치(600) 간에 보안채널이 형성되면, 단말장치(100)는, 네트워크중계장치(201)에 대응되는 데이터 트래픽을 보안채널을 통해 보안중계장치(600)와 송수신한다(S160). 이때, 단말장치(100) 및 보안중계장치(600) 간 보안채널을 통해 송수신되는 데이터 트래픽은 암호화 되어 송수신되기 때문에 보안수준이 낮은 네트워크중계장치(201)를 통한 송수신에 대비하여 보안성이 크게 향상된다.As such, when a secure channel is formed between the terminal device 100 and the secure relay device 600, the terminal device 100 transmits data traffic corresponding to the network relay device 201 to the secure relay device 600 through the secure channel. Transmit and receive (S160). In this case, since the data traffic transmitted and received through the secure channel between the terminal device 100 and the secure relay device 600 is encrypted and transmitted and received, the security is greatly improved in preparation for transmission and reception through the network relay device 201 having a low security level. do.

이에, 보안중계장치(600)는, 단말장치(100)에 대응하는 인증정보(인증값)를 기반으로 형성된 보안채널을 통해, 단말장치(100)에 대응하는 데이터 트래픽을 외부(1)로 중계한다(S165). 즉, 보안중계장치(600)는, 보안채널을 통해 단말장치(100)와 송수신하는 암호화된 데이터 트래픽을 복호화하여 외부(1)로 중계하게 된다.Accordingly, the security relay apparatus 600 relays data traffic corresponding to the terminal apparatus 100 to the outside 1 through a security channel formed based on authentication information (authentication value) corresponding to the terminal apparatus 100. (S165). That is, the secure relay device 600 decrypts the encrypted data traffic transmitted and received with the terminal device 100 through the secure channel and relays the encrypted data traffic to the outside 1.

이하에서는 도 6을 참조하여 본 발명에 따른 단말장치의 동작 방법을 구체적으로 설명하도록 한다.Hereinafter, a method of operating a terminal device according to the present invention will be described in detail with reference to FIG. 6.

본 발명에 따른 단말장치의 동작 방법은, 특정 네트워크 즉 WiFi 네트워크에 연결하고자 특정 네트워크중계장치(AP)에 접속한다(S200).In the method of operating a terminal device according to the present invention, a specific network relay device (AP) is connected to connect to a specific network, that is, a WiFi network (S200).

본 발명에 따른 단말장치의 동작 방법은, 접속하는 네트워크중계장치가 특정 보안수준 이하인지 여부를 판단한다(S210).In the operation method of the terminal apparatus according to the present invention, it is determined whether the network relay apparatus to be connected is below a specific security level (S210).

즉, 본 발명에 따른 단말장치의 동작 방법은, 단말장치(100)가 특정 네트워크중계장치에 접속하면 네트워크중계장치와의 접속에 근거하여 인지되는 상기 네트워크중계장치의 인증 방식 및 암호화 방식 중 적어도 어느 하나를 토대로 상기 네트워크중계장치가 특정 보안수준(예 : Level 5) 이하인지 여부를 판단할 수 있다.That is, in the method of operating a terminal apparatus according to the present invention, when the terminal apparatus 100 is connected to a specific network relay apparatus, at least any one of an authentication method and an encryption method of the network relay apparatus recognized based on the connection with the network relay apparatus. Based on one, it may be determined whether the network relay device is below a specific security level (eg, Level 5).

네트워크중계장치가 상기 특정 보안수준 이하인 경우, 본 발명에 따른 단말장치의 동작 방법은, 특정 보안중계장치와의 보안채널 형성이 요구됨을 알리는 경고 및 보안채널 형성을 선택하도록 유도하는 선택유도 중 적어도 어느 하나를 제공한다(S220).When the network relay device is less than or equal to the specific security level, the method of operating a terminal device according to the present invention may include at least any one of an induction of selecting a warning and a security channel formation indicating that a security channel is formed with a specific security relay device. Provide one (S220).

즉, 본 발명에 따른 단말장치의 동작 방법은, S210단계의 판단결과 특정 보안수준(예 : Level 5) 이하인 네트워크중계장치(201)에 접속된 경우, 접속된 네트워크중계장치(201)의 보안수준이 낮아 보안중계장치와의 보안채널 형성이 요구됨을 알리는 경고 메시지 및/또는 경고 음을 출력할 수 있고, 또는 경고 메시지 및 경고 음 출력과 함께 보안채널 형성을 사용자로 하여금 선택하도록 유도하는 선택유도항목을 출력할 수 있다.That is, in the method of operating the terminal device according to the present invention, the security level of the connected network relay device 201 when connected to the network relay device 201 that is less than a specific security level (for example, Level 5) as a result of the determination in step S210. This low level can output a warning message and / or a warning tone indicating that a secure channel establishment with the secure relay device is required, or a selection induction item for inducing a user to select a secure channel formation together with the warning message and the warning tone output. You can output

이에, 단말장치(100)의 사용자는, 단말장치(100)가 현재 접속한 WiFi 네트워크의 네트워크중계장치(201)가 보안에 취약함을 지각하고, 보안중계장치(600)와의 보안채널 형성을 선택하여 수락할 수 있다.Accordingly, the user of the terminal device 100 recognizes that the network relay device 201 of the WiFi network to which the terminal device 100 is currently connected is vulnerable to security, and selects to establish a secure channel with the security relay device 600. To accept.

한편, S210단계의 판단결과 특정 보안수준(예 : Level 5) 이하가 아닌 네트워크중계장치(200)에 접속된 경우, 본 발명에 따른 단말장치의 동작 방법은, 네트워크중계장치(200)를 통해 인증서버(809)와의 초기 인증을 수행하고 상기 초기 인증 수행에 근거하여 인증지원장치(700)에서 생성된 특정 인증관련정보를 요청하여 획득한다(S280).On the other hand, when the determination result of step S210 is connected to the network relay device 200 that is not below a specific security level (for example, Level 5), the operation method of the terminal device according to the present invention, authentication through the network relay device 200 Initial authentication with the server 809 is performed, and the specific authentication related information generated by the authentication support apparatus 700 is requested and obtained based on the initial authentication (S280).

즉, 본 발명에 따른 단말장치의 동작 방법은, 보안수준(예 : Level 5) 이하가 아닌 네트워크중계장치(200)에 접속된 경우, 네트워크중계장치(200)의 인증 방식에 따라 네트워크중계장치(200)를 통해 인증서버(809)와의 초기 인증(예 : EAP 기반의 초기 인증)을 수행하는 일반적인 접속/인증 절차를 수행하고, 이 과정에서 인증서버(800)는 단말장치(100)와 마스터세션키를 공유하게 된다.That is, the operation method of the terminal device according to the present invention, when connected to the network relay device 200 not lower than the security level (for example, Level 5), according to the authentication method of the network relay device 200 network relay device ( A general connection / authentication procedure for performing initial authentication (eg, EAP-based initial authentication) with the authentication server 809 is performed through 200. In this process, the authentication server 800 establishes a master session with the terminal device 100. The key will be shared.

이후, 본 발명에 따른 단말장치의 동작 방법은, 인증서버(800)와의 초기 인증 수행 후 네트워크중계장치(200)를 통해 WiFi 네트워크에 접속하여 기존과 같이 데이터 트래픽을 송수신할 것이다.Subsequently, in the method of operating the terminal device according to the present invention, after performing initial authentication with the authentication server 800, the network will be connected to the WiFi network through the network relay 200 to transmit and receive data traffic as before.

그리고, 본 발명에 따른 단말장치의 동작 방법은, 네트워크중계장치(200)를 통한 인증서버(800)와의 초기 인증이 수행되면 인증지원장치(700)로 인증관련정보를 요청한다. 이에, 인증지원장치(700)는, 단말장치(100)로부터의 인증관련정보 요청에 따라 인증서버(800)로부터 인증수행정보 즉 마스터세션키를 획득하고 이를 토대로 전술과 같이 인증관련정보를 단말장치(100)로 제공할 것이고, 본 발명에 따른 단말장치의 동작 방법은, 인증관련정보를 획득하여 저장하게 된다.In addition, in the method of operating the terminal device according to the present invention, when initial authentication with the authentication server 800 through the network relay device 200 is performed, the authentication support device 700 requests authentication related information. Accordingly, the authentication support apparatus 700 obtains authentication performance information, that is, a master session key, from the authentication server 800 in response to a request for authentication related information from the terminal device 100, and based on this, the authentication related information as described above. A method of operating a terminal device according to the present invention will obtain and store authentication related information.

이는, 네트워크중계장치(200)를 통한 인증서버(800)와의 초기 인증 수행 후 단말장치(100)가 보안수준이 높은 네트워크중계장치(200)를 통해 WiFi 네트워크에 접속하여 기존과 같이 데이터 트래픽을 송수신하는 동안, 별도로 미리 인증관련정보를 획득하여 보유하고 있기 위함이다.This is, after performing initial authentication with the authentication server 800 through the network relay device 200, the terminal device 100 is connected to the WiFi network through the network relay device 200 with high security to transmit and receive data traffic as before. In the meantime, this is to separately obtain and retain authentication related information.

한편, 본 발명에 따른 단말장치의 동작 방법은, S210단계의 판단결과 특정 보안수준(예 : Level 5) 이하인 네트워크중계장치(201)이 접속된 경우, 유효한 인증관련정보를 보유하고 있는지 여부를 판단한다(S240).On the other hand, in the method of operating the terminal device according to the present invention, when the network relay device 201 of a certain security level (for example, Level 5) or less is connected as a result of the determination in step S210, it is determined whether or not to hold valid authentication related information. (S240).

즉, 본 발명에 따른 단말장치의 동작 방법은, 특정 보안수준(예 : Level 5) 이하인 네트워크중계장치(201)이 접속된 경우, 사용자에 의해 보안채널 형성이 선택되면(S230) 유효한 인증관련정보를 보유하고 있는지 여부를 판단할 수 있다(S240). 물론, 본 발명에 따른 단말장치의 동작 방법은, 사용자에 의한 보안채널 형성 선택절차를 생략하고 S210단계의 판단결과 특정 보안수준(예 : Level 5) 이하인 네트워크중계장치(201)이 접속된 경우 자동으로 유효한 인증관련정보를 보유하고 있는지 여부를 판단할 수도 있다.That is, in the method of operating the terminal device according to the present invention, when the network relay device 201 having a specific security level (for example, Level 5) or less is connected, if a secure channel is selected by the user (S230), valid authentication related information It may be determined whether or not hold (S240). Of course, the operation method of the terminal device according to the present invention skips the procedure for selecting a security channel by the user and automatically determines that the network relay device 201 having a specific security level (for example, Level 5) or less is connected as a result of the determination in step S210. In addition, it may be determined whether it holds valid authentication information.

본 발명에 따른 단말장치의 동작 방법은, 인증관련정보를 획득/보유하는 절차를 수행하지 않았거나 또는 획득한 인증관련정보의 유효 기간이 만료된 경우, 유효한 인증관련정보를 보유하고 있지 않다고 판단할 것이다.In the method of operating a terminal device according to the present invention, if the procedure of acquiring / holding authentication related information is not performed or the valid period of the acquired authentication related information has expired, it is determined that the terminal device does not have valid authentication related information. will be.

이처럼 본 발명에 따른 단말장치의 동작 방법은, 유효한 인증관련정보를 보유하고 있지 않다고 판단하면, 특정 인증지원장치(700)를 통해 인증서버(800)와의 초기 인증을 수행하고(S260) 상기 초기 인증 수행에 근거하여 인증지원장치(700)에서 생성된 특정 인증관련정보를 요청하여 획득한다(S270)As described above, when it is determined that the terminal device operating method does not have valid authentication related information, initial authentication with the authentication server 800 is performed through the specific authentication support apparatus 700 (S260). Based on the performance, the specific authentication related information generated by the authentication support apparatus 700 is requested and obtained (S270).

즉, 본 발명에 따른 단말장치의 동작 방법은, 인증지원장치(700)를 통한 인증서버(800)와의 EAP 기반의 초기 인증을 수행하고, 이 과정에서 인증서버(800)는 단말장치(100)와 마스터세션키를 공유하게 된다. 인증지원장치(700)는 초기 인증 수행에 따른 인증 성공 메시지를 인증서버(210)로부터 수신할 때 초기 인증 수행에 따른 인증수행정보 즉 마스터세션키를 획득한다. That is, the operating method of the terminal device according to the present invention, performs the initial authentication based on EAP with the authentication server 800 through the authentication support device 700, in this process, the authentication server 800 is the terminal device 100; You will share the master session key with. When the authentication support device 700 receives the authentication success message according to the initial authentication from the authentication server 210, the authentication support device 700 obtains authentication performance information, that is, master session key, according to the initial authentication.

그리고, 본 발명에 따른 단말장치의 동작 방법은, 인증지원장치(700)를 통한 인증서버(800)와의 초기 인증이 수행되면 인증지원장치(700)로 인증관련정보를 요청한다. 이에, 인증지원장치(700)는, 전술과 같이 단말장치(100)로부터의 인증관련정보 요청에 따라 인증관련정보를 단말장치(100)로 제공할 것이고, 본 발명에 따른 단말장치의 동작 방법은, 인증관련정보를 획득하게 된다.In addition, the method of operating a terminal device according to the present invention requests authentication related information to the authentication support apparatus 700 when initial authentication with the authentication server 800 through the authentication support apparatus 700 is performed. Thus, the authentication support apparatus 700 will provide the authentication related information to the terminal device 100 according to the request for authentication related information from the terminal device 100 as described above, and the operation method of the terminal device according to the present invention In addition, authentication related information is obtained.

이에 본 발명에 따른 단말장치의 동작 방법은, S240단계의 판단결과 기 보유하고 있던 인증관련정보 또는 S270단계를 통해 새롭게 획득한 인증관련정보를 기반으로 보안중계장치(600)와의 보안채널을 형성한다(S250).Accordingly, the method of operating the terminal device according to the present invention forms a secure channel with the security relay device 600 based on the authentication related information previously held as a result of the determination in step S240 or newly obtained authentication related information through the step S270. (S250).

구체적으로 설명하면, 인증관련정보는, 보안중계장치(600) 도메인 네임 및 IP 주소, 현재시간, 인증정보 만료시간 등을 포함하는 보안중계장치에 대한 정보와, 인증정보 생성에 필요한 정보들을 포함하는 인증생성정보를 포함할 수 있다.Specifically, the authentication related information includes the information about the security relay apparatus including the security relay apparatus 600 domain name and IP address, the current time, the authentication information expiration time, and the like, and information necessary for generating authentication information. It may include authentication generation information.

이에, 본 발명에 따른 단말장치의 동작 방법은, 인증관련정보의 인증생성정보를 기반으로 전술의 수식1에 따라 인증정보(인증값)를 생성할 수 있다.Accordingly, the method of operating a terminal device according to the present invention may generate authentication information (authentication value) according to Equation 1 above based on authentication generation information of authentication related information.

이에, 본 발명에 따른 단말장치의 동작 방법은, 인증관련정보의 보안중계장치에 대한 정보를 기반으로 보안중계장치(600)에 접속하고, 생성한 인증정보를 이용하여 보안중계장치(600)와의 보안채널을 형성할 수 있다. Accordingly, in the method of operating a terminal device according to the present invention, the security relay device 600 is connected to the security relay device 600 based on the information on the security relay device of the authentication-related information, and the security relay device 600 is generated using the generated authentication information. A secure channel can be formed.

이처럼 단말장치(100) 및 보안중계장치(600) 간에 보안채널이 형성되면, 본 발명에 따른 단말장치의 동작 방법은, 네트워크중계장치(201)에 대응되는 데이터 트래픽을 보안채널을 통해 보안중계장치(600)와 송수신한다(S295). 이때, 단말장치(100) 및 보안중계장치(600) 간 보안채널을 통해 송수신되는 데이터 트래픽은 암호화 되어 송수신되기 때문에 보안수준이 낮은 네트워크중계장치(201)를 통한 송수신에 대비하여 보안성이 크게 향상된다.As such, when a secure channel is formed between the terminal device 100 and the secure relay device 600, the operation method of the terminal device according to the present invention provides a secure relay device for transmitting data traffic corresponding to the network relay device 201 through a secure channel. Transmit and receive with 600 (S295). In this case, since the data traffic transmitted and received through the secure channel between the terminal device 100 and the secure relay device 600 is encrypted and transmitted and received, the security is greatly improved in preparation for transmission and reception through the network relay device 201 having a low security level. do.

이때, 본 발명에 따른 단말장치의 동작 방법은, 현재의 인증 및 암호화 여부 등 보안수준 정도를 저장 한 후 사용자에게 쉽게 알 수 있도록 보안정보 트레이 아이콘의 색 또는 모양 등의 형태로 차별화하여 표시할 수 있다(S290). 그리고 본 발명에 따른 단말장치의 동작 방법은, 사용자가 보안정보 트레이 아이콘을 선택하면, 자세한 인증 및 암호화 정보를 알려주며 이는 상호 인증 여부 암호화 방식 등의 정보를 포함한다.At this time, the operation method of the terminal device according to the present invention can be displayed by differentiating and displaying the security information tray icon in the form of a color or a shape so that the user can easily know after storing the security level, such as the current authentication and encryption. There is (S290). When the user selects the security information tray icon, the method of operating the terminal device according to the present invention informs the detailed authentication and encryption information, which includes information such as mutual authentication or not.

표시하는 보안정보 트레이 아이콘은, 사용자의 편의성을 고려하여 항상 표시하거나 표시하지 않게 설정할 수 있도록 한다. 이때 사용자는 보안정보 트레이 아이콘의 자세한 정보를 확인한 후 보안중계장치(600)와의 보안채널 형성이 필요하다고 판단될 시, 보안채널 형성을 선택할 수 있고, 이 경우 본 발명에 따른 단말장치의 동작 방법은, 보안중계장치(600)와의 보안채널을 형성하기 위한 전술의 절차를 수행할 수 있다.The security information tray icon to be displayed may be set to be displayed or not displayed at all times in consideration of user convenience. In this case, the user may check the detailed information of the security information tray icon, and when it is determined that the security channel is formed with the security relay device 600, the user may select the formation of the security channel. In this case, the operation method of the terminal device according to the present invention In addition, the above-described procedure for establishing a secure channel with the secure relay device 600 may be performed.

이하에서는 도 7을 참조하여 본 발명에 따른 인증지원장치의 동작 방법을 구체적으로 설명하도록 한다.Hereinafter, an operation method of the authentication support apparatus according to the present invention will be described in detail with reference to FIG. 7.

본 발명에 따른 인증지원장치의 동작 방법은, 특정 단말장치(100)로부터의 요청에 따라(S300) 단말장치(100)에 대응하는 특정 인증서버(800)와의 초기 인증 수행에 따른 인증수행정보를 획득한다(S310).The operation method of the authentication support apparatus according to the present invention, according to a request from the specific terminal device 100 (S300) to perform the authentication information according to the initial authentication performed with the specific authentication server 800 corresponding to the terminal device 100; Acquire (S310).

보다 구체적으로 설명하면, 본 발명에 따른 인증지원장치의 동작 방법은, 인증서버(800)와의 초기 인증이 수행된 단말장치(100)로부터 인증관련정보가 요청되면, 인증서버(800)로부터 단말장치(100)에 대응하는 초기 인증 수행에 따른 인증수행정보 즉 마스터세션키를 요청하여 획득할 수 있다.More specifically, in the operation method of the authentication support apparatus according to the present invention, when authentication-related information is requested from the terminal device 100 on which the initial authentication with the authentication server 800 is performed, the authentication device 800 from the terminal device. It may be obtained by requesting authentication performance information, that is, master session key, according to the initial authentication performed corresponding to 100.

또한, 본 발명에 따른 인증지원장치의 동작 방법은, 인증지원장치(700)를 통해 인증서버(800)와의 초기 인증을 수행하는 단말장치(100)에 대응하여 인증 성공 메시지를 인증서버(210)로부터 수신할 때 초기 인증 수행에 따른 인증수행정보 즉 마스터세션키를 획득할 수 있다. In addition, in the operation method of the authentication support apparatus according to the present invention, the authentication server 210 receives an authentication success message in response to the terminal device 100 performing initial authentication with the authentication server 800 through the authentication support apparatus 700. When receiving from the authentication authentication information, that is, the master session key according to the initial authentication can be obtained.

본 발명에 따른 인증지원장치의 동작 방법은, 획득한 인증수행정보 즉 마스터세션키를 이용하여 특정 인증생성정보를 생성하고, 인증생성정보를 기반으로 특정 인증정보를 생성한다(S320).In the operation method of the authentication support apparatus according to the present invention, the specific authentication generation information is generated using the obtained authentication performance information, that is, the master session key, and specific authentication information is generated based on the authentication generation information (S320).

보다 구체적으로 설명하면, 본 발명에 따른 인증지원장치의 동작 방법은, 획득한 인증수행정보 즉 마스터세션키를 이용하여 전술의 수식2에 따라 인증정보 생성에 필요한 정보들 즉 인증생성정보를 생성한다.More specifically, the operation method of the authentication support apparatus according to the present invention generates the information necessary for generating authentication information, that is, authentication generation information according to Equation 2, using the obtained authentication performance information, that is, the master session key. .

그리고, 본 발명에 따른 인증지원장치의 동작 방법은, 인증생성정보를 기반으로 전술의 수식1에 따라 인증정보(인증값)를 생성할 수 있다. In addition, the operation method of the authentication support apparatus according to the present invention may generate authentication information (authentication value) according to Equation 1 above based on the authentication generation information.

본 발명에 따른 인증지원장치의 동작 방법은, 상기 인증생성정보 및 특정 보안중계장치(600)에 대한 정보를 포함하는 인증관련정보를 단말장치(100)로 제공하고(S330), 단말장치(100)에 대응하여 생성한 상기 인증정보를 보안중계장치(600)로 제공한다(S340).The operation method of the authentication support apparatus according to the present invention provides the terminal 100 with authentication related information including the authentication generation information and information on the specific security relay 600 (S330) and the terminal apparatus 100. In step S340, the authentication information generated in correspondence to the security relay device 600 is provided.

즉, 본 발명에 따른 인증지원장치의 동작 방법은, 인증정보 생성에 필요한 정보들을 포함하는 인증생성정보와, 보안중계장치(600) 도메인 네임 및 IP 주소, 현재시간, 인증정보 만료시간 등을 포함하는 보안중계장치에 대한 정보를 포함하는 인증관련정보를 단말장치(100)로 제공한다.That is, the operation method of the authentication support apparatus according to the present invention includes authentication generation information including information necessary for generating authentication information, security relay device 600 domain name and IP address, current time, authentication information expiration time, etc. It provides the terminal 100 with the authentication-related information, including information on the security relay device.

그리고, 본 발명에 따른 인증지원장치의 동작 방법은, 단말장치(100)에 대응하여 생성한 인증정보(인증값), 단말장치(100)의 식별정보, 인증정보 만료시간 등을 보안중계장치(600)로 제공할 수 있다.In addition, the operation method of the authentication support apparatus according to the present invention, the authentication information (authentication value) generated in correspondence with the terminal device 100, identification information of the terminal device 100, authentication information expiration time and the like security relay device ( 600).

이에, 보안중계장치(600)는 단말장치(100)에 대응하여 생성한 인증정보(인증값), 단말장치(100)의 식별정보, 인증정보 만료시간 등을 저장하고, 이후 단말장치(100)와의 보안채널 형성에 이용할 것이다.Thus, the security relay device 600 stores the authentication information (authentication value) generated in correspondence with the terminal device 100, identification information of the terminal device 100, authentication information expiration time, and the like, and then the terminal device 100 It will be used to establish a secure channel with.

이상에서 설명한 바와 같이 본 발명에 따른 네트워크 접속 보안 강화 방법은, 보안수준이 낮은 네트워크중계장치(WiFi AP)에 접속 시 이를 자동으로 감지하여 사용자에게 알려줌으로써 WiFi 네트워크 연결에 대한 보안수준 정보를 사용자로 하여금 인지할 수 있게 해주고, 보안수준이 낮은 네트워크중계장치(WiFi AP) 대신 보안이 보장되는 특정 보안중계장치로의 보안채널을 형성하여 이를 통해 데이터 트래픽을 송수신함으로써 보안성을 향상시킬 수 있다.As described above, the method for enhancing network access security according to the present invention automatically detects a connection to a network AP (WiFi AP) having a low security level and notifies the user of the security level information on the WiFi network connection. It can improve security by transmitting and receiving data traffic through a secure channel to a specific security relay device to ensure security instead of a low security network relay device (WiFi AP).

한편, 여기에 제시된 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계들은 하드웨어로 직접 구현되거나, 프로세서에 의해 실행되는 소프트웨어 모듈로 구현되거나, 또는 이들의 결합에 의해 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터들, 하드 디스크, 이동식 디스크, CD-ROM, 또는 기술적으로 공지된 임의의 다른 형태의 저장 매체에 상주할 수 있다. 예시적인 저장 매체는 프로세서와 연결되며, 그 결과 프로세서는 저장 매체로부터 정보를 판독하고 저장 매체로 정보를 기록할 수 있다. 대안적으로, 저장 매체는 프로세서로 통합될 수 있다. 프로세서 및 저장 매체는 ASIC 내에 포함될 수 있다. ASIC은 사용자단말장치 내에 포함될 수 있다. 대안적으로, 프로세서 및 저장 매체는 사용자단말장치 내에 개별적인 컴포넌트들로서 포함될 수 있다.Meanwhile, the steps of a method or algorithm described in connection with the embodiments disclosed herein may be embodied directly in hardware, in a software module executed by a processor, or in a combination of both. A software module may reside in a RAM memory, a flash memory, a ROM memory, an EPROM memory, an EEPROM memory, registers, a hard disk, a removable disk, a CD-ROM, or any other form of storage medium known in the art. An exemplary storage medium is coupled to the processor such that the processor can read information from, and write information to, the storage medium. Alternatively, the storage medium may be integrated into the processor. The processor and the storage medium may be included within an ASIC. The ASIC may be included in the user terminal device. In the alternative, the processor and the storage medium may be included as separate components within the user terminal device.

지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.

본 발명에 따른 네트워크 접속 보안 강화 시스템 및 방법에 따르면, 보안수준이 낮은 네트워크중계장치(WiFi AP)에 접속 시 이를 자동으로 감지하여 사용자에게 알려줌으로써 WiFi 네트워크 연결에 대한 보안수준 정보를 사용자로 하여금 인지할 수 있게 해주고, 보안수준이 낮은 네트워크중계장치(WiFi AP) 대신 보안이 보장되는 특정 보안중계장치로의 보안채널을 형성하여 이를 통해 데이터 트래픽을 송수신함으로써 보안성을 향상시킬 수 있다는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.According to the system and method for enhancing network access security according to the present invention, a user may recognize security level information on a WiFi network connection by automatically detecting and informing the user when a network AP (WiFi AP) having a low security level is connected. It is possible to improve security by transmitting and receiving data traffic through a secure channel to a specific security relay device that is guaranteed instead of a low security network relay device (WiFi AP). As the technology goes beyond the limits of the technology, it is an industrially applicable invention because not only the use of the related technology but also the possibility of marketing or operating the applied device is not only sufficient but also practically obvious.

100 : 단말장치 200,201 : 네트워크중계장치
600 : 보안중계장치 700 : 인증지원장치
800 : 인증서버100: terminal device 200, 201: network relay device
600: security relay 700: authentication support device
800: authentication server

Claims (12)

접속하는 네트워크중계장치가 특정 보안수준 이하인지 여부를 판단하는 보안수준판단부;
상기 네트워크중계장치가 상기 특정 보안수준 이하인 경우, 획득한 특정 인증관련정보를 기반으로 생성되는 인증정보를 이용하여 특정 보안중계장치와의 보안채널을 형성하는 인증제어부; 및
상기 네트워크중계장치에 대응되는 데이터 트래픽을 상기 보안채널을 통해 송수신하는 데이터제어부를 포함하는 것을 특징으로 하는 단말장치.A security level determining unit for determining whether a network relay apparatus to be connected is below a specific security level;
An authentication controller configured to form a secure channel with a specific security relay apparatus using the authentication information generated based on the acquired specific authentication related information when the network relay apparatus is less than or equal to the specific security level; And
And a data controller for transmitting and receiving data traffic corresponding to the network relay apparatus through the secure channel. 제 1 항에 있어서,
상기 보안수준판단부는,
상기 네트워크중계장치와의 접속에 근거하여 인지되는 상기 네트워크중계장치의 인증 방식 및 암호화 방식 중 적어도 어느 하나를 토대로 상기 네트워크중계장치가 특정 보안수준 이하인지 여부를 판단하는 것을 특징으로 하는 단말장치.The method of claim 1,
The security level determination unit,
And determining whether the network relay device is below a specific security level based on at least one of an authentication method and an encryption method of the network relay device recognized based on the connection with the network relay device. 제 1 항에 있어서,
상기 네트워크중계장치가 상기 특정 보안수준 이하인 경우, 특정 보안중계장치와의 보안채널 형성이 요구됨을 알리는 경고 및 보안채널 형성을 선택하도록 유도하는 선택유도 중 적어도 어느 하나를 제공하는 보안경보부를 더 포함하는 것을 특징으로 하는 단말장치.The method of claim 1,
If the network relay device is less than the specific security level, further comprises a security alarm unit for providing at least one of a warning indicating that the security channel is formed with a specific security relay device and selection induction to select the security channel formation is required. Terminal device, characterized in that. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
상기 인증제어부는,
유효한 상기 특정 인증관련정보를 보유하고 있지 않은 경우, 특정 인증지원장치를 통해 인증서버와의 초기 인증을 수행하고 상기 초기 인증 수행에 근거하여 상기 인증지원장치에서 생성된 특정 인증관련정보를 요청하여 획득하는 것을 특징으로 하는 단말장치.The method according to any one of claims 1 to 3,
The authentication control unit,
If the specific authentication related information is not valid, initial authentication with an authentication server is performed through a specific authentication support device, and the specific authentication related information generated by the authentication support device is obtained based on the initial authentication. Terminal device, characterized in that. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
상기 인증제어부는,
상기 네트워크중계장치가 상기 특정 보안수준 이하가 아닌 경우, 상기 네트워크중계장치를 통해 인증서버와의 초기 인증을 수행하고 상기 초기 인증 수행에 근거하여 상기 인증지원장치에서 생성된 특정 인증관련정보를 요청하여 획득하는 것을 특징으로 하는 단말장치.The method according to any one of claims 1 to 3,
The authentication control unit,
If the network relay device is not below the specific security level, perform initial authentication with the authentication server through the network relay device and request specific authentication related information generated by the authentication support device based on the initial authentication. Terminal device, characterized in that obtaining. 특정 단말장치로부터의 요청에 따라, 상기 단말장치에 대응하는 특정 인증서버와의 초기 인증 수행에 따른 인증수행정보를 획득하는 정보획득부;
상기 인증수행정보를 이용하여 특정 인증생성정보를 생성하고, 상기 인증생성정보를 기반으로 특정 인증정보를 생성하는 정보생성부; 및
상기 인증생성정보 및 특정 보안중계장치에 대한 정보를 포함하는 인증관련정보를 상기 단말장치로 제공하고, 상기 단말장치에 대응하여 생성한 상기 인증정보를 상기 보안중계장치로 제공하는 정보제공부를 포함하는 것을 특징으로 하는 인증지원장치. An information acquisition unit for acquiring authentication performance information according to an initial authentication with a specific authentication server corresponding to the terminal device according to a request from a specific terminal device;
An information generation unit generating specific authentication generation information using the authentication performance information and generating specific authentication information based on the authentication generation information; And
And an information providing unit providing authentication related information including the authentication generation information and information on a specific security relay device to the terminal device, and providing the authentication information generated corresponding to the terminal device to the security relay device. Authentication support device, characterized in that. 접속하는 네트워크중계장치가 특정 보안수준 이하인지 여부를 판단하는 보안수준 판단단계;
상기 네트워크중계장치가 상기 특정 보안수준 이하인 경우, 획득한 특정 인증관련정보를 기반으로 인증정보를 생성하는 인증정보 생성단계;
상기 인증정보를 이용하여 특정 보안중계장치와의 보안채널을 형성하는 보안채널 형성단계; 및
상기 네트워크중계장치에 대응되는 데이터 트래픽을 상기 보안채널을 통해 송수신하는 데이터 송수신단계를 포함하는 것을 특징으로 하는 단말장치의 동작 방법.A security level determining step of determining whether a connected network relay device is below a specific security level;
An authentication information generation step of generating authentication information based on the acquired specific authentication related information when the network relay device is less than or equal to the specific security level;
A secure channel forming step of forming a secure channel with a specific secure relay device using the authentication information; And
And transmitting / receiving data traffic corresponding to the network relay device through the secure channel. 제 7 항에 있어서,
상기 보안수준 판단단계는,
상기 네트워크중계장치와의 접속에 근거하여 인지되는 상기 네트워크중계장치의 인증 방식 및 암호화 방식 중 적어도 어느 하나를 토대로 상기 네트워크중계장치가 특정 보안수준 이하인지 여부를 판단하는 것을 특징으로 하는 단말장치의 동작 방법.The method of claim 7, wherein
The security level determination step,
And determining whether the network relay device is below a specific security level based on at least one of an authentication method and an encryption method of the network relay device recognized based on the connection with the network relay device. Way. 제 7 항에 있어서,
상기 네트워크중계장치가 상기 특정 보안수준 이하인 경우, 특정 보안중계장치와의 보안채널 형성이 요구됨을 알리는 경고 및 보안채널 형성을 선택하도록 유도하는 선택유도 중 적어도 어느 하나를 제공하는 보안 경보단계를 더 포함하는 것을 특징으로 하는 단말장치의 동작 방법.The method of claim 7, wherein
If the network relay device is less than or equal to the specific security level, further comprising a security alert step of providing at least one of a warning indicating that a security channel establishment with a specific security relay device is required and selection induction to select a security channel formation. Method of operation of the terminal device, characterized in that. 제 7 항 내지 제 9 항 중 어느 한 항에 있어서,
상기 네트워크중계장치가 상기 특정 보안수준 이하인 경우, 유효한 상기 특정 인증관련정보를 보유하고 있지 않으면 특정 인증지원장치를 통해 인증서버와의 초기 인증을 수행하고 상기 초기 인증 수행에 근거하여 상기 인증지원장치에서 생성된 특정 인증관련정보를 요청하여 획득하는 단계를 더 포함하는 것을 특징으로 하는 단말장치의 동작 방법.10. The method according to any one of claims 7 to 9,
If the network relay device is less than the specific security level, and does not hold the valid specific authentication related information, initial authentication with the authentication server through a specific authentication support device, and based on the initial authentication performed in the authentication support device And requesting and obtaining the generated specific authentication related information. 제 7 항 내지 제 9 항 중 어느 한 항에 있어서,
상기 네트워크중계장치가 상기 특정 보안수준 이하가 아닌 경우, 상기 네트워크중계장치를 통해 인증서버와의 초기 인증을 수행하고 상기 초기 인증 수행에 근거하여 상기 인증지원장치에서 생성된 특정 인증관련정보를 요청하여 획득하는 단계를 더 포함하는 것을 특징으로 하는 단말장치의 동작 방법.10. The method according to any one of claims 7 to 9,
If the network relay device is not below the specific security level, perform initial authentication with the authentication server through the network relay device and request specific authentication related information generated by the authentication support device based on the initial authentication. Method of operation of the terminal device further comprising the step of obtaining. 특정 단말장치로부터의 요청에 따라, 상기 단말장치에 대응하는 특정 인증서버와의 초기 인증 수행에 따른 인증수행정보를 획득하는 정보 획득단계;
상기 인증수행정보를 이용하여 특정 인증생성정보를 생성하고, 상기 인증생성정보를 기반으로 특정 인증정보를 생성하는 정보 생성단계; 및
상기 인증생성정보 및 특정 보안중계장치에 대한 정보를 포함하는 인증관련정보를 상기 단말장치로 제공하고, 상기 단말장치에 대응하여 생성한 상기 인증정보를 상기 보안중계장치로 제공하는 정보 제공단계를 포함하는 것을 특징으로 하는 인증지원장치의 동작 방법.An information obtaining step of acquiring authentication performance information according to initial authentication with a specific authentication server corresponding to the terminal device according to a request from a specific terminal device;
An information generation step of generating specific authentication generation information using the authentication performance information and generating specific authentication information based on the authentication generation information; And
And providing an authentication related information including the authentication generation information and information on a specific security relay device to the terminal device, and providing the authentication information generated corresponding to the terminal device to the security relay device. Operation method of the authentication support device, characterized in that.
KR1020110097521A 2011-09-27 2011-09-27 Terminal and apparatus authentication surpporting for network access security enhancement system KR101658657B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110097521A KR101658657B1 (en) 2011-09-27 2011-09-27 Terminal and apparatus authentication surpporting for network access security enhancement system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110097521A KR101658657B1 (en) 2011-09-27 2011-09-27 Terminal and apparatus authentication surpporting for network access security enhancement system

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020160115558A Division KR101783380B1 (en) 2016-09-08 2016-09-08 Terminal and apparatus authentication surpporting for network access security enhancement system

Publications (2)

Publication Number Publication Date
KR20130033691A true KR20130033691A (en) 2013-04-04
KR101658657B1 KR101658657B1 (en) 2016-09-23

Family

ID=48436017

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110097521A KR101658657B1 (en) 2011-09-27 2011-09-27 Terminal and apparatus authentication surpporting for network access security enhancement system

Country Status (1)

Country Link
KR (1) KR101658657B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101589477B1 (en) * 2014-12-26 2016-01-28 국방과학연구소 Apparatus for data transmission and system for data transmission
US20160352731A1 (en) * 2014-05-13 2016-12-01 Hewlett Packard Enterprise Development Lp Network access control at controller

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102536855B1 (en) 2021-08-03 2023-07-03 주식회사 익스트러스 Method for configuring wireless lan secure channel

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050106979A (en) * 2004-05-07 2005-11-11 주식회사 케이티프리텔 Method and apparatus for providing wireless internet service with wi-fi
JP2010257079A (en) * 2009-04-22 2010-11-11 Ntt Docomo Inc Communication system, connection system, communication control system, communication device, and communication control method
JP2011166600A (en) * 2010-02-12 2011-08-25 Toshiba Corp Portable radio terminal

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050106979A (en) * 2004-05-07 2005-11-11 주식회사 케이티프리텔 Method and apparatus for providing wireless internet service with wi-fi
JP2010257079A (en) * 2009-04-22 2010-11-11 Ntt Docomo Inc Communication system, connection system, communication control system, communication device, and communication control method
JP2011166600A (en) * 2010-02-12 2011-08-25 Toshiba Corp Portable radio terminal

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160352731A1 (en) * 2014-05-13 2016-12-01 Hewlett Packard Enterprise Development Lp Network access control at controller
KR101589477B1 (en) * 2014-12-26 2016-01-28 국방과학연구소 Apparatus for data transmission and system for data transmission

Also Published As

Publication number Publication date
KR101658657B1 (en) 2016-09-23

Similar Documents

Publication Publication Date Title
US10122685B2 (en) Method for automatically establishing wireless connection, gateway device and client device for internet of things using the same
US9467432B2 (en) Method and device for generating local interface key
JP5784776B2 (en) Secure negotiation of authentication capabilities
US10588015B2 (en) Terminal authenticating method, apparatus, and system
US8582476B2 (en) Communication relay device and communication relay method
EP1760945A2 (en) Wireless LAN security system and method
CA2929173A1 (en) Key configuration method, system, and apparatus
US20210306855A1 (en) Authentication Method Based on GBA, and Device thereof
EP2957114B1 (en) Method and network node for obtaining a permanent identity of an authenticating wireless device
US20230328524A1 (en) Non-3gpp device access to core network
KR20150051568A (en) Security supporting method and system for proximity based service device to device discovery and communication in mobile telecommunication system environment
US11917416B2 (en) Non-3GPP device access to core network
US20160344744A1 (en) Application protocol query for securing gba usage
KR20220076491A (en) Provisioning a wireless network using a pre-shared key
KR101658657B1 (en) Terminal and apparatus authentication surpporting for network access security enhancement system
US20160105407A1 (en) Information processing apparatus, terminal, information processing system, and information processing method
KR101783380B1 (en) Terminal and apparatus authentication surpporting for network access security enhancement system
JP2009033585A (en) Wireless lan terminal connection method, and wireless lan system using the same
JP2020505845A (en) Method and device for parameter exchange during emergency access
CN115412909A (en) Communication method and device
US20220159457A1 (en) Providing ue capability information to an authentication server

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right