KR20130062965A - 무선 네트워크 접속 인증 방법 및 그 시스템 - Google Patents

무선 네트워크 접속 인증 방법 및 그 시스템 Download PDF

Info

Publication number
KR20130062965A
KR20130062965A KR1020130057145A KR20130057145A KR20130062965A KR 20130062965 A KR20130062965 A KR 20130062965A KR 1020130057145 A KR1020130057145 A KR 1020130057145A KR 20130057145 A KR20130057145 A KR 20130057145A KR 20130062965 A KR20130062965 A KR 20130062965A
Authority
KR
South Korea
Prior art keywords
client
authentication
wireless network
secret information
network access
Prior art date
Application number
KR1020130057145A
Other languages
English (en)
Inventor
변병길
Original Assignee
주식회사 엑스엔시스템즈
변병길
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엑스엔시스템즈, 변병길 filed Critical 주식회사 엑스엔시스템즈
Priority to KR1020130057145A priority Critical patent/KR20130062965A/ko
Publication of KR20130062965A publication Critical patent/KR20130062965A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0625Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

무선 네트워크 접속 인증 시스템 및 방법이 개시된다. 상기 무선 네트워크 접속 인증 방법은 무선 네트워크 접속 인증 시스템이 클라이언트로부터 무선 네트워크의 접속 요청을 수신하면, 상기 클라이언트로부터 수신된 아이디와 패스워드를 이용한 1차 인증단계를 수행하는 단계, 상기 1차 인증단계를 통과하면, 상기 무선 네트워크 접속 인증 시스템이 상기 클라이언트가 상기 1차 인증단계에서 사용된 아이디를 공개키로 이용하고, 상기 클라이언트와 상기 서버가 동기화되는 정보를 이용하여 일회용 비밀정보를 생성하는 단계, 생성된 상기 일회용 비밀정보를 상기 클라이언트 또는 상기 클라이언트에 상응하는 시스템으로 전송하는 단계, 및 상기 클라이언트로부터 상기 일회용 비밀정보를 수신하는 경우, 상기 무선 네트워크 접속 인증 시스템이 상기 클라이언트의 상기 무선 네트워크의 접속을 허용하는 단계를 포함한다.

Description

무선 네트워크 접속 인증 방법 및 그 시스템{System and method for access authentication for wireless network}
본 발명은 무선 네트워크 접속 인증 방법 및 시스템에 관한 것으로, 보다 상세하게는 무선 환경에서 네트워크에 접속하고자 하는 클라이언트를 보다 강화된 보안성을 갖는 인증 프로토콜을 이용해 인증할 수 있는 방법 및 그 시스템에 관한 것이다.
유선 네트워크 환경에서는 PKI(Public Key Infrastructure)를 통한 인증방식이 보안 표준으로써 널리 활용되고 있다. 이러한 PKI를 통한 인증방식은 상대적으로 간단한 프로토콜을 이용해 강력한 보안 인증을 제공하고 있지만, 무선 LAN(Local Area Network)와 같은 무선환경에서는 이러한 통합적인 보안 표준이 아직 명확히 정의되지 않고 있다.
따라서, 무선 환경에서는 AP(Access Point) 또는 서버에 대한 인터럽션(interruption), 인터셉션(interception), 위변조(modification or fabrication) 등에 대한 위험이 여전히 존재하며, 다양한 방식으로 이를 해결하고자 하는 노력이 진행되고 있다.
무선환경에서의 보안인증은 주로 IEEE 802.11에서 표준화 시도가 이루어지고 있는데, 현재의 IEEE 802.11에서는 데이터 무결성이나 엄격한 보안 정책이 정의되지 않고 있어서 여전히 세션에 대한 하이재킹(hijacking) 이나 MIM(Man in the Middle)이 가능한 실정이다.
또한, 802.1x 등에 포함된 EAP-MD5 등은 일방향 인증만 지원되고 데이터 암호화가 지원되지 않는 문제점이 있으며, dynamic-WEP, EAP-TLS, EAP-TTLS 등은 트래픽과 복잡한 인증서(certificate)를 요구하여 실제 무선환경에서는 적용되기가 어려운 문제점이 존재한다. 또한, 최근에 사용되고 있는 SSL-VPN 방식의 경우에는 사용자 단말에 대한 정보(IP주소 또는 MAC 주소 등)가 기록되지 않아 보안상의 문제가 발생하였을 경우 사용자의 신원확인 및 책임 추적성을 부여하기 어려운 단점도 있다.
한편, 보안방식으로 널리 사용되고 있는 OTP(One Time Password) 방식은 서버와 토큰(token)을 이용하게 된다. OTP 방식은 정보의 누출로 인한 재사용 등을 막을 수 있는 강력한 보안체계이긴 하지만 토큰을 항상 소지하고 있어야 한다는 불편함이 있다. 또한, 최근에는 스마트폰 등의 휴대용 단말기를 이용한 소프트웨어 방식의 OTP가 널리 사용되고 있기는 하지만, 휴대용 단말기(예컨대, 스마트폰 등) 자체가 해킹 등을 당하는 경우 OTP 보안체계의 핵심 도구인 토큰이 노출이나 도용당하는 우려가 존재한다. 또한, OTP 모듈을 휴대용 단말기에 설치하여야 한다는 불편함도 존재한다.
이처럼 네트워크 접속에 대한 사용자 인증을 위한 기술적 사상의 일 예가 한국등록특허(등록번호 10-0645512,"통신 시스템에서 네트워크 접속에 대한 사용자 인증 장치 및 그 방법", 이하 선행기술)에 개시되고 있다. 상기 선행기술은 사용자의 인증을 위한 별도의 인증요청모듈을 가입자 단말에 설치하지 않고도 해당 가입자 단말의 네트워크 접속에 대한 인증을 수행할 수 있도록 하는 기술적 사상을 개시하고 있다. 상기 선행기술은 사용자로부터 네트워크 접속을 위한 식별번호 및 비밀번호를 입력받고, 이에 대한 네트워크 접속 인증요청을 가입자 단말이 아닌 전화국 등에 구비된 네트워크 장비를 통해 수행하여 상기 사용자의 가입자 단말의 네트워크 접속 허용 여부를 결정하는 기술구성을 가진다.
그러나 상기 선행기술은 별도의 모듈을 사용자 단말기(즉, 가입자 단말)에 설치하지 않고서도 사용자에 대한 네트워크 접속 인증을 수행할 수 있도록 하고 있으나, 사용자에 대한 인증을 종래와 같이 사용자로부터 입력받는 식별번호 및 비밀번호에만 의존하고 있으며, 전술한 OTP 방식 등을 통해 사용자에 대한 추가 인증이 수행되지 않아 높은 보안성을 가지기 어려운 문제점이 있다.
따라서, 이러한 문제점들을 극복하면서도 간편하고 강력한 보안성을 가질 수 있는 무선 네트워크 환경에서의 접속 인증 방법 및 시스템이 요구된다.
따라서, 본 발명이 이루고자 하는 기술적인 과제는 종래의 고가 및 대용량의 인증장비를 이용하지 않고도 보안성이 강화된 인증 서비스를 제공할 수 있는 방법 및 시스템을 제공하는 것이다.
또한, 종래의 아이디 및 패스워드를 이용한 사용자 인증과 더불어 본 발명의 기술적 사상에 따른 인증을 추가로 수행함으로써 보안성을 강화할 수 있는 방법 및 시스템을 제공하는 것이다.
또한, 일회용 비밀정보를 이용해 공격자에 의해 공격을 받아도 보안성이 유지될 수 있으며, 강력한 암호화 스킴을 적용할 수 있는 무선환경에서의 인증 방법 및 시스템을 제공하는 것이다.
또한, OTP 방식을 이용하면서도 별도의 토큰을 사용하지 않아도 되므로, 토큰의 도용 또는 분실의 염려가 없고, 소프트웨어 방식의 토큰을 휴대용 단말기에 설치하지 않아도 되므로 사용성이 뛰어난 무선환경에서의 인증 방법 및 시스템을 제공하는 것이다.
상기 기술적 과제를 해결하기 위한 본 발명의 실시 예에 따른 무선 네트워크 접속 인증 방법은 무선 네트워크 접속 인증 시스템이 클라이언트로부터 무선 네트워크의 접속 요청을 수신하면, 상기 클라이언트로부터 수신된 아이디와 패스워드를 이용한 1차 인증단계를 수행하는 단계, 상기 1차 인증단계를 통과하면, 상기 무선 네트워크 접속 인증 시스템이 상기 클라이언트가 상기 1차 인증단계에서 사용된 아이디를 공개키로 이용하고, 상기 클라이언트와 상기 서버가 동기화되는 정보를 이용하여 일회용 비밀정보를 생성하는 단계, 생성된 상기 일회용 비밀정보를 상기 클라이언트 또는 상기 클라이언트에 상응하는 시스템으로 전송하는 단계, 및 상기 클라이언트로부터 상기 일회용 비밀정보를 수신하는 경우, 상기 무선 네트워크 접속 인증 시스템이 상기 클라이언트의 상기 무선 네트워크의 접속을 허용하는 단계를 포함할 수 있다.
상기 기술적 과제를 해결하기 위한 본 발명의 실시 예에 따른 무선 네트워크 접속 인증 시스템은, 무선 네트워크 접속 인증 시스템에 있어서, 상기 무선 네트워크 접속 인증 시스템은 클라이언트별로 할당된 아이디를 상기 클라이언트로부터 수신하고, 수신된 상기 아이디와 상기 무선 네트워크 접속 인증 시스템 및 상기 클라이언트에 동기화된 정보를 이용하여 일회용 비밀정보를 생성하며, 상기 무선 네트워크 접속 인증 시스템이 생성된 상기 일회용 비밀정보를 상기 클라이언트에 상응하는 시스템으로 전송하고, 전송에 응답하여 상기 클라이언트로부터 상기 일회용 비밀정보를 수신하는 경우, 상기 클라이언트를 인증하는 것을 특징으로 할 수 있다.
본 발명에 따르면 무선 네트워크 접속 인증 방법 및 시스템에 의하면 간단한 OTP 생성모듈과 메시징 서버만 구비하면 보안성이 강화된 인증 시스템을 제공할 수 있어서, 중소기업 등에서도 비용의 부담없이 도입할 수 본 발명의 기술적 사상에 따른 시스템 및 방법을 도입할 수 있는 효과가 있다.
또한, 일회용 비밀정보를 이용하므로 정보의 누출 및 재사용을 방지할 수 있을뿐만 아니라, 카수미 알고리즘을 통해 암호화된 값이 전송되므로 보안성이 높아지는 효과가 있다.
또한, 일회용 비밀정보를 이용하면서도 클라이언트 측에서는 별도의 토큰장치가 필요 없으므로, 토큰의 분실이나 도용에 안전한 효과가 있다. 또한, 토큰을 휴대용 단말기에 소프트웨어로 구현하는 경우에도, 토큰을 휴대용 단말기에 설치할 필요가 없고, 휴대용 단말기가 해킹당하여 상기 토큰이 노출 또는 도용당할 위험을 없앨 수 있는 효과가 있다.
또한, 카수미 암호화 알고리즘을 통해 암호화된 정보가 SMS의 보안 커넥트 채널을 통해 전송되므로 데이터의 무결성이 강화되는 효과가 있다.
또한, 아이디와 패스워드를 이용하여 사용자 인증을 수행한 후, 일회용 비밀정보를 이용한 인증이 추가로 수행되므로 사용자의 인증이 가능한 효과가 있다.
또한, 사용자가 일회용 비밀정보를 이용해 인증을 받고, 상기 일회용 비밀정보는 사용자의 아이디를 이용해 생성될 수 있으므로 사용자의 부인방지(non-repudiation)가 가능해지는 효과가 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 실시 예에 따른 무선 네트워크 접속 인증 방법을 위한 개략적인 시스템 구성을 나타낸다.
도 2는 본 발명의 실시 예에 따른 무선 네트워크 접속 인증 시스템의 개략적인 구성을 나타낸다.
도 3은 본 발명의 실시 예에 따른 무선 네트워크 접속 인증 방법을 위한 클라이언트의 동작을 설명하기 위한 개략적인 플로우 챠트를 나타낸다.
도 4는 본 발명의 실시 예에 따른 무선 네트워크 접속 인증 방법을 위한 서버의 동작을 설명하기 위한 개략적인 플로우 챠트를 나타낸다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시 예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.
또한, 본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다.
반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시 예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.
도 1은 본 발명의 실시 예에 따른 무선 네트워크 접속 인증 방법을 위한 개략적인 시스템 구성을 나타낸다.
도 1을 참조하면, 본 발명의 실시 예에 따른 무선 네트워크 접속 인증 방법을 구현하기 위해서는 무선 네트워크 접속 인증 시스템(1)이 구비될 수 있다. 상기 무선 네트워크 접속 인증 시스템(1)은 인증서버(100)를 포함하여 구현될 수 있다. 상기 무선 네트워크 접속 인증 시스템(1)은 소정의 메시징 서버(200)를 더 포함할 수 있다. 또한, 상기 무선 네트워크 접속 인증 시스템(1)은 소정의 DB(또는 DB 서버, 300)를 더 포함할 수 있다.
상기 무선 네트워크 접속 인증 시스템(1)은 클라이언트(400)가 소정의 무선 네트워크에 접속을 요청하는 경우, 상기 무선 네트워크에 접속을 요청하는 상기 클라이언트(400)를 인증할 수 있다. 본 발명에서 무선 네트워크라 함은 도 1에 도시된 바와 같이 무선 통신을 통해 소정의 네트워크(예컨대, 인터넷 또는 인트라넷 등)에 접속할 수 있는 네트워크 환경을 의미할 수 있다.
상기 클라이언트(400)는 소정의 AP(600)를 통해 무선으로 소정의 네트워크에 접속을 시도할 수 있다. 상기 클라이언트(400)가 접속하고자 하는 네트워크는 도 1에 도시된 바와 같이 개방형 네트워크(예컨대, 인터넷)일 수도 있고, 소정의 사설망 또는 인트라넷일 수도 있다. 예컨대, 상기 클라이언트(400)는 상기 AP(600)가 제공하는 와이파이(WiFi) 망 등을 통해 웹, SSL VPN(Secure Socket Layer Cirtual Private Network), 소정의 인트라넷에 구비된 DB 등에 접속을 수행할 수 있다.
또한, 상기 클라이언트(400)는 소정의 컨트롤러(700)를 통해 소정의 네트워크(예컨대, 인터넷 또는 인트라넷 등)에 접속하거나, 상기 무선 네트워크 접속 인증 시스템(1)에 접속할 수 있다. 상기 컨트롤러(700)는 상기 무선 네트워크 접속 인증 시스템(1)이 상기 클라이언트(400)의 네트워크 접속을 허용하는 경우에는, 상기 클라이언트(400)가 출력하는 패킷을 상기 네트워크로 전송하고 그렇지 않은 경우에는 상기 클라이언트(400)하는 패킷을 차단하는 역할을 수행할 수 있다. 구현 예에 따라 상기 컨트롤러(700)의 기능은 상기 인증서버(100)에 의해 수행될 수도 있다. 즉, 상기 인증서버(100)는 본 발명에서 정의되는 인증 기능 이외에 인 라인(in-line) 방식으로 패킷을 검사하여 접속제어를 수행하기 위한 컨트롤러의 기능을 동시에 수행할 수도 있으며, 이러한 경우에는 상기 컨트롤러(700)는 상기 인증서버(100)에 포함되도록 구현될 수도 있다.
한편, 상기 인증서버(100)는 상기 DB(300)로부터 네트워크에 접속을 요청하는 클라이언트(400)의 사용자에 관련된 정보를 수신할 수 있다. 상기 사용자에 관련된 정보는 예컨대, 상기 사용자의 아이디 및 패스워드일 수 있다. 또한, 상기 인증서버(100)는 상기 DB(300)로부터 상기 사용자의 모바일 단말기(500)의 식별정보(예컨대, 핸드폰 번호)를 더 수신할 수도 있다.
그러면, 상기 인증서버(100)는 상기 모바일 단말기(500)로 후술할 바와 같이 소정의 일회용 비밀정보를 메시징 서버(200)를 통해 전송할 수 있다. 이때, 상기 메시징 서버(200)는 SMS를 통해 상기 일회용 비밀정보를 상기 모바일 단말기(500)로 전송할 수 있다. 일반적으로 SMS는 통화채널과는 별도로 형성되는 안전한 채널을 통하여 메시지를 전송할 수 있는 방식으로 보안성이 뛰어난 장점이 있다. 또한, 본 발명의 실시 예에 의하면, 상기 메시징 서버(200)는 상기 일회용 비밀정보를 소정의 암호화 알고리즘을 통해 암호화하여 전송할 수 있다.
이러한 암호화 및 복호화는 SMS 전송 프로토콜에서 지원할 수 있는 카수미(KASUMI) 암복호화 프로토콜(SMS A 5/3 KASUMI encrypt algorithm)을 이용해 제공될 수 있다.
카수미 알고리즘은 8-라운드 페이스탈(Feistel) 네트워크 구조를 갖는 블록 암호와 기법으로 64비트의 평문(plaintext)를 입력받아 블록 암호화하여 64비트의 압호화된 값을 출력하는 알고리즘으로써 널리 알려져 있으므로 본 명세서에서는 카수미 알고리즘 자체에 대해서는 상세한 설명은 생략하도록 한다.
결국, 본 발명의 기술적 사상에 의하면 사용성 및 구현이 용이한 SMS를 이용하면서도 보안성이 강력한 암호화 프로토콜을 이용할 수 있으며, 또한 OTP 즉, 일회용 비밀정보를 이용하여 클라이언트(400)를 인증하므로 데이터의 무결성이 강화되는 효과가 있다.
그러면, 상기 모바일 단말기(500)를 소지하고 있는 사용자는 상기 모바일 단말기(500)를 통해 수신된 상기 일회용 비밀정보를 상기 클라이언트(400)에 입력할 수 있다. 물론, 상기 모바일 단말기(500)는 암호화되어 전송되어온 상기 일회용 비밀정보를 복호화할 수 있는 것이 바람직하다.
그러면, 사용자는 상기 모바일 단말기(500)를 통해 수신된 상기 일회용 비밀정보를 상기 클라이언트(400)를 통해 입력할 수 있다. 상기 클라이언트(400)를 통해 입력된 상기 일회용 비밀정보는 상기 인증서버(100)로 전송될 수 있다. 그러면, 상기 인증서버(100)는 수신된 상기 일회용 비밀정보가 자신이 전송한 정보와 일치하는지를 체크할 수 있다. 이처럼 일회용 비밀정보를 이용하여 인증을 추가로 수행함하고, 수행결과 인증이 되면 상기 인증서버(100)는 상기 컨트롤러(700) 및/또는 AP를 제어하여 상기 컨트롤러(700)가 네트워크(예컨대, 인터넷 또는 인트라넷 등)에 접속하는 것으로 허락할 수 있다.
상기 DB(300)에는 상기 AP(600)를 통해 네트워크에 접속할 수 있는 사용자에 대한 정보(예컨대, 아이디(ID) 및 패스워드) 및 상기 사용자의 모바일 단말기(500)에 대한 정보(예컨대, 핸드폰 번호 등)가 저장되어 있을 수 있다. 물론, 상기 네트워크가 소정의 인트라넷인 경우에는 상기 DB(300)에는 상기 인트라넷에서 제공하는 서비스를 위한 사용자의 권한 또는 히스토리 등의 정보가 더 저장될 수 있다.
한편, 상기 인증서버(100)의 개략적인 구성은 도 2에 도시된다.
도 2는 본 발명의 실시 예에 따른 무선 네트워크 접속 인증 시스템의 개략적인 구성을 나타낸다.
도 2를 참조하면, 본 발명의 실시 예에 따른 상기 무선 네트워크 접속 인증 시스템(1)의 상기 인증서버(100)는 제어모듈(110), 인증모듈(120), 및 OTP 생성모듈(130)을 포함한다.
상기 인증서버(100)는 도 1에 도시된 바와 같이 소정의 메시징 서버(200)를 제어할 수 있다. 또한, 상기 인증서버(100)는 소정의 DB(300)로부터 필요한 정보를 수신할 수 있으며, 인증결과에 따라 소정의 정보를 상기 DB(300)에 저장할 수도 있다.
상기 인증서버(100)는 본 발명의 기술적 사상을 구현하기 위해 필요한 하드웨어 리소스(resource) 및/또는 소프트웨어를 구비할 수 있으며, 반드시 하나의 물리적인 구성요소를 의미하거나 하나의 장치를 의미하는 것은 아니다. 즉, 상기 인증서버(100)는 본 발명의 기술적 사상을 구현하기 위해 구비되는 하드웨어 및/또는 소프트웨어의 논리적인 결합을 의미할 수 있으며, 필요한 경우에는 서로 이격된 장치에 설치되어 각각의 기능을 수행함으로써 본 발명의 기술적 사상을 구현하기 위한 논리적인 구성들의 집합으로 구현될 수도 있다. 또한, 상기 인증서버(100)는 본 발명의 기술적 사상을 구현하기 위한 각각의 기능 또는 역할별로 별도로 구현되는 구성들의 집합을 의미할 수도 있다.
예컨대, 본 명세서에서 정의되는 상기 인증서버(100)의 기능 중 일부는 별도의 물리적 장치로 분산되어 구현될 수 있으며, 복수의 물리적 장치가 유무선 네트워크를 통해 유기적으로 결합되어 본 발명의 기술적 사상을 구현할 수도 있다.
또한, 본 명세서에서 모듈이라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예컨대, 상기 모듈은 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스(resource)의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 한 종류의 하드웨어를 의미하는 것은 아님은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.
상기 제어모듈(110)은 본 발명의 기술적 사상을 구현하기 위하여 다른 구성요소들(예컨대, 인증모듈(120) 및/또는 OTP 생성모듈(130) 등)의 리소스 및/또는 기능을 제어할 수 있다.
상기 인증모듈(120)은 아이디와 패스워드를 이용한 1차 인증을 수행할 수 있다. 이처럼 1차 인증을 통해 종래의 상기 클라이언트(400)의 사용자가 식별될 수 있다. 상기 인증서버(100)은 상기 클라이언트(400)로부터 수신되는 무선 네트워크 접속요청을 수신하고, 수신된 상기 접속요청에 응답하여 상기 DB(300)에 저장된 아이디와 패스워드를 상기 클라이언트(400)로부터 출력된 아이디 및 패스워드와 비교함으로써 1차 인증을 수행할 수 있다.
이처럼 상기 인증모듈(120)에 의해 1차 인증이 통과되면 상기 인증서버(100)는 일회용 비밀정보를 이용한 2차 인증을 수행할 수 있다. 이러한 일회용 비밀정보를 이용한 2차 인증을 통해 상기 클라이언트(400)와 상기 AP간의 통신의 스니핑(sniffing) 또는 정보의 누출로 인한 보안정보의 재사용이 방지될 수 있는 효과가 있다.
이러한 2차 인증은 상기 OTP 생성모듈(130) 및 상기 제어모듈(110)에 의해 수행될 수 있다.
상기 OTP 생성모듈(130)은 상기 인증모듈(120)에 의해 1차 인증이 통과되면 소정의 OTP 생성 알고리즘을 통해 일회용 비밀정보를 생성할 수 있다.
일반적으로 OTP를 통한 인증방식은 클라이언트가 이용하는 토큰과 서버측(즉, 상기 인증서버(100))가 각각 일회용 비밀정보(One Time Password)를 생성하고, 생성된 상기 일회용 비밀정보가 서로 일치하는지를 비교함으로써 인증이 수행된다.
따라서, 종래의 OTP 인증방식은 클라이언트 측에서 상기 일회용 비밀정보를 생성할 수 있는 토큰이 존재하여야 한다. 이러한 토큰은 별도의 토큰 장치로 구현되거나 휴대용 단말기(예컨대, 스마트 폰 등)에 소프트웨어 형태로 설치될 수 있다.
어떠한 경우든 상기 클라이언트의 사용자는 토큰을 가지고 있어야 하는데, 상기 토큰이 별도의 토큰 장치로 구현되는 경우에는 항상 토큰을 소지하고 있어야 인증을 받을 수 있다는 불편함이 있다. 또한, 토큰을 분실하는 경우에는 OTP 인증방식의 보안이 쉽게 뚫린다는 문제점이 있다.
한편, 휴대용 단말기에 소프트웨어 형태로 설치된 토큰의 경우에도 휴대용 단말기가 해킹 등을 당해 상기 소프트웨어가 공격을 받으면, 토큰에 관련된 정보가 노출될 수 있다는 위험이 항상 존재하게 된다. 또한, 상기 토큰을 소프트웨어 형태로 상기 휴대용 단말기에 설치하여야만 인증을 수행할 수 있으므로 사용성이 떨어진다는 문제점이 있다.
따라서, 본 발명의 기술적 사상에 의하면 이러한 문제점을 해결하기 위해 클라이언트 측에서 토큰을 가지고 있지 않고도 OTP 인증방식을 통한 인증을 수행할 수 있는 기술적 사상을 제공한다.
OTP 인증방식(예컨대, HOTP(HMAC-based One Time Password) 알고리즘)은 각각의 토큰별로 유니크(unique)한 값을 갖는 공개키(K)와 소정의 카운트 값(C)을 이용하여 획득되는 정보를 이용하여 OTP 즉, 일회용 비밀정보를 생성할 수 있다. 여기서 상기 카운트 값은 토큰이 OTP를 요청할 때마다 증가하는 값으로 서버와 토큰은 서로 동기화된 상기 카운트 값을 가지게 된다.
그러면, HOTP 알고리즘의 경우, HMAC-SHA-1(K,C)를 통해서 얻는 값 중 상위 20바이트를 가지고 일회용 비밀정보를 얻게 된다.
그러면, 상기 공개키는 이미 토큰과 서버가 공통적으로 알고 있는 정보이고, 카운트 값은 동기화되어 있으므로, 서버와 토큰은 각각 동일한 공개키와 카운트 값을 이용하여 동일한 일회용 비밀정보를 생성할 수 있다. 이때 생성되는 일회용 비밀정보는 토큰별로 다르게 된다. 따라서, 서버는 토큰에서 생성된 일회용 비밀정보와 서버가 생성한 일회용 비밀정보가 동일한지 여부를 비교함으로써 인증을 수행할 수 있다.
하지만, 본 발명의 실시 예에 따른 무선 네트워크 접속 인증 방법은 전술한 바와 같이 클라이언트 측에서 별도로 토큰을 가지고 있지 않아도 일회용 비밀정보를 이용한 인증을 수행할 수 있는 기술적 사상을 제공할 수 있다.
본 발명의 실시 예에 따른 무선 네트워크 접속 인증 방법에 의하면, 상기 OTP 생성모듈(130)은 토큰별로 유니크한 공개키로써 아이디 값을 이용할 수 있다. 특히, 아이디 값은 클라이언트별로 유니크하게 할당되는 정보이므로 공개키로써의 역할을 충분히 수행할 수 있는 장점이 있다.
한편, 종래의 OTP 방식에서 사용되는 카운트 값 즉, 상기 OTP 생성모듈(130)과 상기 클라이언트에 동기화되는 정보로는 상기 클라이언트(400)가 상기 인증서버(100)에 접속요청을 한 시간 값을 사용할 수 있다. 상기 시간 값 이외에도 상기 클라이언트(400)와 상기 인증서버(100) 간에 동기화될 수 있는 정보이기만 하면, 어떠한 값이든 카운트 값으로 이용될 수 있다.
따라서, 상기 OTP 생성모듈(130)은 클라이언트에 유니크 한 공개키로써 상기 클라이언트의 아이디 정보를 이용할 수 있고 상기 클라이언트(400)와 동기화되는 동기화 정보(예컨대, 시간 값)를 알고 있으므로, 상기 클라이언트(400)별로 상기 동기화 정보에 따라 서로 다른 일회용 비밀정보를 생성할 수 있다. 그러므로 이렇게 생성된 일회용 비밀정보를 이용하면 상기 클라이언트(400)에서는 별도의 토큰이 없어도 상기 클라이언트용 일회용 비밀정보를 이용한 인증이 가능할 수 있다.
예컨대, 상기 OTP 생성모듈(130)은 시간 값 별로 상기 클라이언트 용 일회용 비밀정보 목록을 생성해둘 수 있다. 그리고, 상기 클라이언트(400)로부터 접속요청이 상기 인증서버(100)로 수신되면, 상기 접속요청에 상응하는 시간 값을 상기 모바일 단말기로 전송할 수 있다. 그리고, 전송된 상기 일회용 비밀정보가 상기 클라이언트(400)로부터 수신되면, 상기 클라이언트(400)를 인증할 수 있다.
또한, 상기 OTP 생성모듈(130)이 생성하는 일회용 비밀정보는 상기 클라이언트의 아이디를 이용하기 때문에, 상기 클라이언트(400)의 인증을 통해 상기 클라이언트(400)의 부인방지가 가능하므로 높은 보안성을 제공할 수 있는 효과가 있다.
한편, 이처럼 1차 인증과 2차 인증이 성공되면, 상기 제어모듈(110)은 인증이 성공된 상기 클라이언트(400)의 아이디에 대한 정보를 상기 DB(300)에 저장할 수 있다. 즉, 현재 상기 무선 네트워크를 이용하고 있는 사용자에 대한 리스트가 저장될 수 있다.
다른 실시 예에 의하면, 상기 제어모듈(110)은 2차 인증이 성공하지 못한 상기 클라이언트(400)의 아이디에 대한 정보를 저장할 수도 있다. 즉, 1차 인증이 성공하였음에도 소정의 시간 내에 상기 2차 인증을 통과하지 못하는 경우에는 상기 클라이언트(400)는 상기 무선 네트워크에 접속이 차단될 수 있다. 이처럼 차단되는 클라이언트(400)의 아이디에 대한 정보를 유지함으로써 네트워크 매니지먼트에 대한 정보를 효과적으로 유지할 수 있다. 구현 예에 따라서는, 2차 인증이 성공된 유저에 대한 정보와 실패한 유저에 대한 정보가 모두 상기 DB(300)에 저장될 수도 있다.
도 3은 본 발명의 실시 예에 따른 무선 네트워크 접속 인증 방법을 위한 클라이언트의 동작을 설명하기 위한 개략적인 플로우 챠트를 나타낸다.
도 3을 참조하면, 본 발명의 실시 예에 따른 무선 네트워크 접속 인증 방법을 위해 상기 클라이언트(400)는 AP(600)에 접속하여(S100), 1차 인증정보(예컨대, 아이디 및 패스워드)를 상기 무선 네트워크 접속 인증 시스템(1)으로 전송할 수 있다. 그러면, 상기 무선 네트워크 접속 인증 시스템(1)은 수신된 인증정보를 이용하여 인증을 수행할 수 있으며, 인증이 성공하면(S120) 상기 클라이언트(400)로 일회용 비밀정보(OTP)의 입력을 요구할 수 있다. 사용자는 자신의 모바일 단말기(500)를 통해 상기 일회용 비밀정보를 수신하고, 수신된 상기 일회용 비밀정보를 상기 클라이언트(400)에 입력할 수 있다(S130).
그러면, 입력된 상기 일회용 비밀정보는 다시 상기 무선 네트워크 접속 인증 시스템(1)으로 출력될 수 있으며, 상기 무선 네트워크 접속 인증 시스템(1) 상기 일회용 비밀정보를 이용한 인증을 수행할 수 있다(S140). 이러한 일회용 비밀정보를 이용한 인증이 성공하면, 상기 무선 네트워크 접속 인증 시스템(1)은 상기 클라이언트(400)의 무선 네트워크 접속을 허용하게 되며, 상기 클라이언트(400)는 네트워크에 접속할 수 있게 된다(S150).
도 4는 본 발명의 실시 예에 따른 무선 네트워크 접속 인증 방법을 위한 서버의 동작을 설명하기 위한 개략적인 플로우 챠트를 나타낸다.
도 4를 참조하면, 상기 무선 네트워크 접속 인증 시스템(1)은 클라이언트(400)로부터 네트워크 접속요청을 수신하고, 상기 접속요청과 동시에 또는 순차적으로 인증정보(예컨대, ID 및 패스워드)를 수신할 수 있다(S200).
그러면, 수신된 인증정보에 기초하여 인증을 수행할 수 있다(S210). 인증이 성공하면, 상기 무선 네트워크 접속 인증 시스템(1)은 일회용 비밀정보를 생성할 수 있고(S220), 생성된 일회용 비밀정보를 상기 클라이언트(400)의 사용자의 모바일 단말기(500) 즉, 상기 인증정보에 포함된 아이디에 대응되는 모바일 단말기(500)로 전송할 수 있다. 상기 일회용 비밀정보는 전술한 바와 같이 상기 클라이언트(400)의 아이디를 공개키로 이용하여 생성되는 정보일 수 있다. 또한, 상기 일회용 비밀정보는 카수미 알고리즘을 통해 암호화 되어 SMS를 통해 상기 모바일 단말기(500)로 전송될 수 있다(S230). 그리고 전송과 함께 타이머가 구동되어 미리 결정된 소정의 시간 내에 인증 프로세스가 종료되는지를 카운트할 수 있다.
상기 시간 내에 상기 일회용 비밀정보가 수신되지 않으면(S240) 인증은 실패되고 종료될 수 있으며, 상기 시간 내에 상기 일회용 비밀정보가 수신되면(S250), 상기 무선 네트워크 접속 인증 시스템(1)은 수신된 상기 일회용 비밀정보를 이용한 인증을 수행할 수 있다(S260). 그리고 상기 일회용 비밀정보를 이용한 인증이 성공되면, 상기 무선 네트워크 접속 인증 시스템(1)은 상기 클라이언트(400)의 네트워크 접속을 허용할 수 있다(S270). 이를 위해 상기 무선 네트워크 접속 인증 시스템(1)은 소정의 제어신호를 컨트롤러(700)로 출력하여, 상기 클라이언트(400)가 출력하는 패킷을 상기 네트워크로 전송될 수 있도록 할 수 있다.
한편, 전술한 바와 같이 1차 인증시에 사용된 클라이언트(400)의 아이디 정보를 이용하여 일회용 비밀정보를 생성함으로써 클라이언트(400) 측에서 토큰을 가지고 있지 않아도 일회용 비밀정보를 이용한 인증이 가능한 방식은 반드시 SMS로 상기 클라이언트(400)에 상응하는 모바일 단말기(500)로 전송될 필요는 없다. 따라서, 상기 무선 네트워크 접속 인증 시스템(1)은 다양한 방식으로 상기 클라이언트에 상응하는 시스템(예컨대, 상기 클라이언트(400)의 사용자의 이메일 시스템, 상기 모바일 단말기(500), 또는 기타 상기 사용자가 이용하는 웹 애플리케이션 시스템 등)으로 전송되기만 하면, 본 발명의 기술적 사상에 따른 인증이 가능할 수 있다. 물론, 이때에는 상기 클라이언트(400)에 상응하는 시스템에 대한 정보가 미리 상기 무선 네트워크 접속 인증 시스템(1)에 저장되어 있는 것이 바람직하다.
본 발명의 실시 예에 따른 무선 네트워크 접속 인증 방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
본 발명은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims (2)

  1. 무선 네트워크 접속 인증 시스템이 클라이언트로부터 무선 네트워크의 접속 요청을 수신하면, 상기 클라이언트로부터 수신된 아이디와 패스워드를 이용한 1차 인증단계를 수행하는 단계;
    상기 1차 인증단계를 통과하면, 상기 무선 네트워크 접속 인증 시스템이 상기 클라이언트가 상기 1차 인증단계에서 사용된 아이디를 공개키로 이용하고, 상기 클라이언트와 상기 서버가 동기화되는 정보를 이용하여 일회용 비밀정보를 생성하는 단계;
    생성된 상기 일회용 비밀정보를 상기 클라이언트 또는 상기 클라이언트에 상응하는 시스템으로 전송하는 단계; 및
    상기 클라이언트로부터 상기 일회용 비밀정보를 수신하는 경우, 상기 무선 네트워크 접속 인증 시스템이 상기 클라이언트의 상기 무선 네트워크의 접속을 허용하는 단계를 포함하는 무선 네트워크 접속 인증 방법.
  2. 무선 네트워크 접속 인증 시스템에 있어서,
    상기 무선 네트워크 접속 인증 시스템은 클라이언트별로 할당된 아이디를 상기 클라이언트로부터 수신하고, 수신된 상기 아이디와 상기 무선 네트워크 접속 인증 시스템 및 상기 클라이언트에 동기화된 정보를 이용하여 일회용 비밀정보를 생성하며,
    상기 무선 네트워크 접속 인증 시스템이 생성된 상기 일회용 비밀정보를 상기 클라이언트에 상응하는 시스템으로 전송하고, 전송에 응답하여 상기 클라이언트로부터 상기 일회용 비밀정보를 수신하는 경우, 상기 클라이언트를 인증하는 것을 특징으로 하는 무선 네트워크 접속 인증 시스템.
KR1020130057145A 2013-05-21 2013-05-21 무선 네트워크 접속 인증 방법 및 그 시스템 KR20130062965A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130057145A KR20130062965A (ko) 2013-05-21 2013-05-21 무선 네트워크 접속 인증 방법 및 그 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130057145A KR20130062965A (ko) 2013-05-21 2013-05-21 무선 네트워크 접속 인증 방법 및 그 시스템

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020110111351A Division KR101451163B1 (ko) 2011-10-28 2011-10-28 무선 네트워크 접속 인증 방법 및 그 시스템

Publications (1)

Publication Number Publication Date
KR20130062965A true KR20130062965A (ko) 2013-06-13

Family

ID=48860491

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130057145A KR20130062965A (ko) 2013-05-21 2013-05-21 무선 네트워크 접속 인증 방법 및 그 시스템

Country Status (1)

Country Link
KR (1) KR20130062965A (ko)

Similar Documents

Publication Publication Date Title
US10638321B2 (en) Wireless network connection method and apparatus, and storage medium
US7734280B2 (en) Method and apparatus for authentication of mobile devices
ES2706540T3 (es) Sistema de credenciales de equipos de usuario
US10567165B2 (en) Secure key transmission protocol without certificates or pre-shared symmetrical keys
KR100704675B1 (ko) 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
CN105828332B (zh) 一种无线局域网认证机制的改进方法
JP5688087B2 (ja) 信頼できる認証およびログオンのための方法および装置
US7689211B2 (en) Secure login method for establishing a wireless local area network connection, and wireless local area network system
US11044084B2 (en) Method for unified network and service authentication based on ID-based cryptography
US20100211790A1 (en) Authentication
JP2017126987A (ja) ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録
EP2879421B1 (en) Terminal identity verification and service authentication method, system, and terminal
CN111865603A (zh) 认证方法、认证装置和认证系统
KR20150092719A (ko) 증명서 생성 디바이스 및 방법
WO2015100974A1 (zh) 一种终端认证的方法、装置及系统
US8498617B2 (en) Method for enrolling a user terminal in a wireless local area network
Noh et al. Secure authentication and four-way handshake scheme for protected individual communication in public wi-fi networks
KR20150053912A (ko) 서버에 클라이언트를 등록하기 위한 방법 및 디바이스들
Matos et al. Secure hotspot authentication through a near field communication side-channel
KR101451163B1 (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
JP2017139026A (ja) 信頼できる認証およびログオンのための方法および装置
JP2015111440A (ja) 信頼できる認証およびログオンのための方法および装置
KR102345093B1 (ko) 무선 인터넷의 보안 세션 제어 시스템 및 보안 세션 제어 방법
KR20130062965A (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
KR100924315B1 (ko) 보안성이 강화된 무선랜 인증 시스템 및 그 방법

Legal Events

Date Code Title Description
A107 Divisional application of patent
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid