KR100459935B1 - A Method For User authentication in Public Wireless Lan Service Network - Google Patents

A Method For User authentication in Public Wireless Lan Service Network Download PDF

Info

Publication number
KR100459935B1
KR100459935B1 KR10-2002-0075812A KR20020075812A KR100459935B1 KR 100459935 B1 KR100459935 B1 KR 100459935B1 KR 20020075812 A KR20020075812 A KR 20020075812A KR 100459935 B1 KR100459935 B1 KR 100459935B1
Authority
KR
South Korea
Prior art keywords
user
authentication
address
wireless lan
access control
Prior art date
Application number
KR10-2002-0075812A
Other languages
Korean (ko)
Other versions
KR20040048049A (en
Inventor
김정환
이현우
류원
Original Assignee
주식회사 케이티
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티, 한국전자통신연구원 filed Critical 주식회사 케이티
Priority to KR10-2002-0075812A priority Critical patent/KR100459935B1/en
Publication of KR20040048049A publication Critical patent/KR20040048049A/en
Application granted granted Critical
Publication of KR100459935B1 publication Critical patent/KR100459935B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 사용자 ID와 패스워드(Password)를 가지고 인증 기능을 수행하는 인증서버에 동일한 시간대에 각기 다른 장소에서 동일 ID로의 접속을 감지하는 기능을 추가하여, EAP 인증프로토콜을 확장하여 사용자에게 ID 동시 사용 여부를 알림으로써 사용자 인증 방식을 개선한 공중 무선 랜 서비스 망에서의 사용자 인증방법에 관한 것으로,The present invention adds a function of detecting access to the same ID at different places in the same time zone to the authentication server that performs the authentication function with the user ID and password, and extends the EAP authentication protocol to simultaneously use the ID to the user. The present invention relates to a user authentication method in a public wireless LAN service network which has improved user authentication method by informing whether or not.

본 발명은, 무선 랜 서비스 망의 인증서버에서의 사용자 인증방법에 있어서, 사용자 식별자(ID)와 패스워드의 입력에 의해 사용자 인증을 수행한 후, 로그인 상태를 검사하는 제1단계; 상기 제1단계에서 이미 로그인이 된 상태이면 매체접근제어(MAC) 주소 및 IP 주소를 저장한 후, 동시접속 상태를 사용자에게 통보하는 제2단계; 및 상기 제1단계에서 이미 로그인된 정보가 없으면 인증 성공 메시지를 생성하여 사용자에게 전송하는 제3단계를 포함하는 것을 특징으로 한다.The present invention provides a user authentication method in an authentication server of a wireless LAN service network, comprising: a first step of performing a user authentication by inputting a user identifier (ID) and a password, and then checking a login state; A second step of storing a media access control (MAC) address and an IP address if not already logged in in the first step, and then notifying a user of a simultaneous access state; And a third step of generating an authentication success message and transmitting it to a user if there is no information already logged in in the first step.

Description

공중 무선 랜 서비스 망에서의 사용자 인증방법{A Method For User authentication in Public Wireless Lan Service Network}A Method For User authentication in Public Wireless Lan Service Network

본 발명은 무선 랜(LAN)을 통한 공중 무선 인터넷 서비스에서 발생하는 사용자 인증 과정에 있어 동일한 ID로의 다중 접속을 방지하고, 사용자에게 접속 상태를 통보함으로써 사용자 인증 방식을 개선한 공중 무선 랜 서비스 망에서의 사용자 인증 방법에 관한 것이다.The present invention is to prevent the multiple access to the same ID in the user authentication process occurring in the public wireless Internet service through the wireless LAN (LAN) in the public wireless LAN service network to improve the user authentication method by notifying the user of the connection status Of the user authentication method.

최근 들어 통신 사업자들은 무선 랜 기술을 공중망에 도입하여 “초고속 무선 인터넷 서비스”라는 명칭으로 소정의 가입 절차를 통해 등록된 사용자 ID와 패스워드(Password) 인증 기능을 통하여 공항, 학교, 지하철, 유명 프랜차이즈 등의 핫스팟 지역에서 인터넷 서비스를 제공하고 있다.In recent years, operators have introduced wireless LAN technology into the public network, and have been designated as "high-speed wireless Internet service" through a predetermined registration process through a user ID and password authentication function, such as airports, schools, subways, and famous franchises. Internet service is available in the hotspot area of.

도 1은 일반적인 공중 무선 랜 서비스 망 구성도를 보여준다.1 shows a general public WLAN service network configuration.

무선랜 기술 기반의 초고속 무선 인터넷 서비스를 제공 받기 위해서 사용자는 단말(101)에 무선 랜 카드를 장착하고, 공중 인터넷 망(104)에 접속된 AP(Access Point)(102)를 통하여 통신 사업자가 운영하는 인증 서버(105)에서 서비스 접속 허가를 받은 후, 정보 제공자(108)의 서버에 접속이 가능하다. 이를 위한 공중 무선 랜 서비스망 구성은 주로 사용자가 많이 모이는 지역에 다수의 AP(102)를 설치하고, 전용선 기반의 라우터(103)를 연결하여 인터넷 망(104)에 연결한다. 또한, 서비스를 제공하는 통신 사업자는 공중 무선랜 사용자 단말에 IP주소를 할당하기 위한 DHCP 서버(106)와 망 관리장치(107)를 별도로 운영하게 된다.In order to receive the high-speed wireless Internet service based on the wireless LAN technology, a user installs a wireless LAN card in the terminal 101 and is operated by a communication service provider through an access point 102 connected to the public Internet network 104. After receiving the service connection permission from the authentication server 105, the server of the information provider 108 can be connected. Public WLAN service network configuration for this purpose is to install a plurality of AP (102) mainly in the area where a lot of users gather, and connected to the Internet network 104 by connecting a router-based router 103. In addition, a communication service provider providing a service operates a DHCP server 106 and a network management device 107 separately for allocating an IP address to a public WLAN user terminal.

현재 공중 무선 랜 서비스에서는 사용자 인증방식으로 IEEE 802.1x규격에 근거하여 인증을 수행하고 있다. 이 기술은 사용자의 단말과 인증서버 사이에 인증정보를 싣고 다니는 EAP(Extensible Authentication Protocol)를 통하여 사용자 ID와 패스워드(Password)를 주고 받으면서 사용자 인증 여부를 검사하는 방식이다. EAP는 MD5, TLS, TTLS와 같은 다양한 인증 방식을 수용할 수 있는 구조로 되어 있으며, 현재 공중 무선랜 서비스에서는 MD5 방식을 이용한 인증을 주로 수행하고 있다.Currently, public wireless LAN service performs user authentication based on IEEE 802.1x standard. This technology is a method of checking user authentication by exchanging a user ID and password through an Extensible Authentication Protocol (EAP) that carries authentication information between a user terminal and an authentication server. EAP has a structure that can accommodate a variety of authentication schemes, such as MD5, TLS, TTLS, and at present, public wireless LAN service mainly performs authentication using the MD5 scheme.

도 2는 종래의 EAP-MD5 인증방식을 이용한 IEEE 802.1x 인증 처리 과정을 나타낸 도면이다.2 is a diagram illustrating an IEEE 802.1x authentication process using a conventional EAP-MD5 authentication method.

무선랜 사용자 단말이 무선 랜 AP의 서비스 영역내에 들어가면 IEEE 802.11 제어절차에 정의된 협상(Association) 과정을 거친다(200). 이후, 사용자 인증과정을 시작하게 되는데, 먼저 단말은 EAPOL 시작(START) 메시지로 IEEE 802.1x 기능이 탑재된 AP에 공중 무선랜 접속 요청을 하게 된다(201). 이에 대한 응답으로 AP는 EAP-Request/Identity 메시지를 사용자 단말에 전송하고(202), 단말은 자신의 ID를 EAP-Response/Identity 메시지로서 AP에 응답한다(203).When the WLAN user terminal enters the service area of the WLAN AP, the WLAN user terminal undergoes an association process defined in the IEEE 802.11 control procedure (200). Thereafter, the user authentication process is started. First, the terminal requests a public WLAN access request to the AP equipped with the IEEE 802.1x function as an EAPOL START message (201). In response, the AP transmits an EAP-Request / Identity message to the user terminal (202), and the terminal responds to the AP with its ID as an EAP-Response / Identity message (203).

이때, 사용자 단말로부터 EAP-Response/Identity를 수신한 AP는 이를 Access-Request 내에 사용자 ID를 싣어(EAP-Type = Identity) 인증서버로 보낸다(204). 인증 서버는 사용자 ID가 존재하면, 패스워드 검증을 위해 Access-Challenge 메시지내에 MD5-Challenge 패킷을 만들어서 AP에게 보낸다(205). MD5-Challenge를 받은 AP는 이를 EAP-Request/MD5-Challenge 메시지로 바꾸어 사용자 단말로 전달한다(206).At this time, the AP that receives the EAP-Response / Identity from the user terminal carries the user ID in the Access-Request (EAP-Type = Identity) and sends it to the authentication server (204). If the user ID exists, the authentication server creates an MD5-Challenge packet in the Access-Challenge message and sends it to the AP for password verification (205). The AP receiving the MD5-Challenge converts it into an EAP-Request / MD5-Challenge message and delivers it to the user terminal (206).

단말은 MD5-Challenge요구에 대해 패스워드와의 해쉬결과를 다시 EAP-Response/MD5-Challenge 메시지로 만들어 AP에 보낸다(207). AP는 MD-Challenge 값을 Access Request 메시지에 싣어 인증서버로 전송한다(208). 이에 인증서버는 자신이 가지고 있는 이 사용자 ID에 대한 패스워드와 MD5 해쉬한 결과값과 비교해 패스워드가 일치하는지를 확인한다.In response to the MD5-Challenge request, the terminal generates a hash result with the password again as an EAP-Response / MD5-Challenge message and sends it to the AP (207). The AP transmits the MD-Challenge value in the Access Request message to the authentication server (208). The authentication server compares the password for this user ID with the MD5 hashed result and checks whether the password matches.

패스워드가 일치하였다면, 인증서버는 Access-Accept 메시지내에 EAP-Success를 싣어 AP로 전송하고(209), EAP-Success메시지를 통해 단말에게 인증 성공의 통보가 전달된다(210). 패스워드가 불일치하였다면, 인증서버는 Access-Reject 메시지내에 EAP-Failure를 싣어 AP로 전송하고(211), EAP-Failure 메시지를 통해 단말에게 인증 실패의 통보가 전달된다(212).If the passwords match, the authentication server loads the EAP-Success in the Access-Accept message to the AP (209), and a notification of authentication success is transmitted to the terminal through the EAP-Success message (210). If the password does not match, the authentication server loads the EAP-Failure in the Access-Reject message to the AP (211), the notification of the authentication failure is transmitted to the terminal via the EAP-Failure message (212).

상기 802.1x 사용자 인증방식은 사용자가 제공한 ID와 패스워드(Password)에 대한 정확성을 검사하는 데에 있다. 하지만, 무선환경에서는 유선에서와는 달리, 다양한 해킹 공격에 의해 사용자 ID와 패스워드(Password)를 도용당하기가 비교적 쉬운 환경이다. 이런 상황에서는 정확한 ID/Password를 통한 인증 수행뿐만 아니라 도용당한 ID와 패스워드(Password) 사용에 대한 방지책이 요구된다. 즉, 가입자가 도용당한 사실을 인지하지 못하였을 때, 가입자는 자신이 사용하지 않은 서비스에 대해서도 요금을 부담하여야 할 뿐만 아니라, ID/Password 도용에 따른 사생활 침해 등 여러가지 막대한 불이익을 당할 수 있다.The 802.1x user authentication method is to check the accuracy of the ID and password provided by the user. However, unlike in the wired environment, the wireless environment is relatively easy to steal user ID and password by various hacking attacks. In this situation, it is necessary to prevent the use of the stolen ID and password as well as performing authentication through correct ID / Password. In other words, when the subscriber is not aware of the theft, the subscriber may not only pay for the service which he / she has not used, but may also suffer a huge disadvantage such as invasion of privacy due to ID / Password theft.

따라서, 본 발명은 상기와 같은 종래 기술의 문제점을 해결하기 위한 것으로, 본 발명은 사용자 ID와 패스워드(Password)를 가지고 인증 기능을 수행하는 인증서버에 동일한 시간대에 각기 다른 장소에서 동일 ID로의 접속을 감지하는 기능을 추가하여, EAP 인증프로토콜을 확장하여 사용자에게 ID 동시 사용 여부를 알림으로써 사용자 인증 방식을 개선한 공중 무선 랜 서비스 망에서의 사용자 인증방법을 제공하는데 그 목적이 있다.Accordingly, the present invention is to solve the problems of the prior art as described above, the present invention is to connect to the authentication server to perform the authentication function with a user ID and password to the same ID at different places in the same time zone. The purpose of the present invention is to provide a user authentication method in a public wireless LAN service network which improves user authentication by adding a function of detecting and extending an EAP authentication protocol to notify a user whether ID is used simultaneously.

도 1은 일반적인 공중 무선 랜 서비스 망 구성도.1 is a block diagram of a typical public WLAN service network.

도 2는 종래의 공중 무선랜 서비스에서 802.1x 기반 사용자 인증 흐름도.2 is a flowchart illustrating 802.1x based user authentication in a conventional public WLAN service.

도 3은 본 발명에서 사용되는 확장 EAP 실패(Failure) 메시지와 인증 서버내의 사용자 인증 테이블의 양호한 실시 예를 나타낸 도면.3 is a diagram illustrating a preferred embodiment of an extended EAP fail message and a user authentication table in an authentication server used in the present invention.

도 4는 본 발명에 따른 인증 서버에서의 동시 접속 ID 검사 절차를 나타낸 흐름도.4 is a flowchart illustrating a simultaneous connection ID checking procedure in the authentication server according to the present invention.

상기 목적을 달성하기 위한 본 발명은, 무선 랜 서비스 망의 인증서버에서의 사용자 인증방법에 있어서, 사용자 식별자(ID)와 패스워드의 입력에 의해 사용자 인증을 수행한 후, 로그인 상태를 검사하는 제1단계; 상기 제1단계에서 이미 로그인이 된 상태이면 매체접근제어(MAC) 주소 및 IP 주소를 저장한 후, 동시접속 상태를 사용자에게 통보하는 제2단계; 및 상기 제1단계에서 이미 로그인된 정보가 없으면 인증 성공 메시지를 생성하여 사용자에게 전송하는 제3단계를 포함하는 것을 특징으로 한다.According to an aspect of the present invention, there is provided a method for authenticating a user in an authentication server of a wireless LAN service network, the method comprising: a first step of checking a login state after performing user authentication by inputting a user identifier (ID) and a password; step; A second step of storing a media access control (MAC) address and an IP address if not already logged in in the first step, and then notifying a user of a simultaneous access state; And a third step of generating an authentication success message and transmitting it to a user if there is no information already logged in in the first step.

또한 본 발명은, 무선 랜 서비스 망의 인증서버에서, 사용자 식별자(ID)와 패스워드의 입력에 의해 사용자 인증을 수행한 후, 로그인 상태를 검사하는 제1단계; 상기 제1단계에서 이미 로그인이 된 상태이면 사용자의 무선 랜 매체접근제어 주소와 AP의 매체접근제어 주소 및 AP의 IP 주소를 저장한 후, 시작시간, 사용기간, 현 사용자의 무선랜 매체접근제어 주소를 포함하는 동시접속 상태를 사용자에게 통보하는 제2단계; 및 상기 제1단계에서 이미 로그인된 정보가 없으면 인증 성공 메시지를 생성하여 사용자에게 전송하는 제3단계를 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.In addition, the present invention, in the authentication server of the wireless LAN service network, performing a user authentication by inputting a user ID (ID) and password, and then checking the login state; If the user is already logged in in the first step, after storing the user's WLAN access control address, the AP access control address, and the AP's IP address, the start time, duration of use, and current user's WLAN access control A second step of notifying a user of a simultaneous connection state including an address; And a computer-readable recording medium having recorded thereon a program for executing the third step of generating and transmitting an authentication success message to the user if there is no information already logged in in the first step.

이하, 첨부된 도3 및 도4를 참조하여 본 발명에 따른 바람직한 실시 예를 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to FIGS. 3 and 4.

도3에서 "301"은 IEEE 802.1x에 정의된 EAP 실패(Failure) 패킷의 포맷으로, 이는 단순히 실패했다는 사실만이 존재한다. 본 발명에서는 "302"에 나타낸 바와 같이, EAP 실패(Failure) 메시지에 에러 코드(Error Code)와 에러 코드에 특정적인 데이터 필드를 추가한다. 테이블에 기술된 각 에러 코드(Error Code) 100, 101, 102,103 등은 특정 실시 예로 나타낸 것일 뿐이다. 또, 이 에러 코드(Error Code)는 기 사용되고 있는 번호 이외에 더 추가적으로 부여될 수 있다. "303"은 에러의 원인이 사용자 ID가 불일치 할 때, "304"는 MAC 주소가 불일치할 때, "305"는 패스워드가 불일치할 때, "306"은 동시 접속 사용시의 에러를 나타낸다. "306"의 경우, 추가적인 정보로 시작시간, 사용시간, MAC 주소 정보가 추가된다.In FIG. 3, "301" is a format of an EAP fail packet defined in IEEE 802.1x, which simply exists. In the present invention, as shown in "302", an error code and an data field specific to the error code are added to the EAP fail message. Each error code 100, 101, 102, 103, etc. described in the table is only an example. In addition, this error code may be added in addition to the number already used. "303" indicates an error when a user ID does not match, "304" indicates a MAC address mismatch, "305" indicates a password mismatch, and "306" indicates an error when using simultaneous connection. In the case of "306", additional information includes start time, use time, and MAC address information.

도3의 "307"은 본 발명을 위해 인증서버에서 가지고 있어야 될 사용자 정보 테이블을 나타낸다.&Quot; 307 " in Fig. 3 shows a user information table to be held in the authentication server for the present invention.

EAP-MD5를 위해 기본적으로 필요한 사용자 ID와 패스워드(Password) 항목 이외에, MAC 주소, MAC 검사, 로그인 상태, 시작시간, 사용 기간에 대한 항목들이 추가적으로 존재한다. 'MAC 주소'는 사용자 무선 랜 카드 식별자이며, 'MAC 검사'항목은 MAC 주소에 대해서도 인증검사를 수행할 것인가의 여부를 표시한다. 사용자는 서비스 가입시 혹은 이용중에 자신이 사용하고 있는 MAC 주소를 등록할 수 있으며, 이를 인증 검사에 사용할 수 있다. 이는 필수 사항이 아니며, ID 도용 방지에 대해 좀 더 엄격한 검사를 수행할 수 있도록 사용자에게 권장할 수 있는 선택사항이다. '로그인 상태' 항목은 현재 무선랜 서비스가 사용되고 있는 지의 여부를 나타내기 위해 사용되며, '시작시간' 항목과 '사용기간' 항목은 로그인이 성공하여 서비스를 시작한 시각과 사용기간을 나타내기 위해 사용된다. '시작시간' 항목과 '사용기간' 항목은 '로그인 상태' 항목이 'yes'로 설정되어 있을 때 존재한다.In addition to the user ID and password items that are basically required for EAP-MD5, there are additional items for MAC address, MAC check, login status, start time, and usage period. The 'MAC address' is the user's WLAN card identifier, and the 'MAC check' item indicates whether to perform authentication check on the MAC address. A user can register a MAC address that he or she is using at the time of joining or using the service, and can use it for authentication checking. This is not required and is an option that can be recommended to the user to perform a more rigorous check on identity theft protection. The 'Login Status' item is used to indicate whether the WLAN service is currently being used. The 'Start Time' and 'Use Period' items are used to indicate the time when the login was successful and the service period. do. The 'start time' and 'duration' items exist when the 'login status' item is set to 'yes'.

도 4는 상기 도3에서 설명한 사용자 인증 테이블을 사용하여, 동시 ID 접속 사용에 대한 검사를 수행하는 순서도이다.FIG. 4 is a flowchart of checking the use of simultaneous ID access using the user authentication table described with reference to FIG. 3.

인증 서버는 가입자가 보낸 사용자 ID를 무선 랜 AP를 거쳐 수신한다(401). 사용자 ID는 EAP-Response/Identity 메시지의 형태로 전달된다. 인증 서버는 해당 사용자 ID가 사용자 인증 테이블에 존재하는 지를 검색하여 ID가 존재하는지 확인한다(402, 403).The authentication server receives the user ID sent by the subscriber via the wireless LAN AP (401). The user ID is delivered in the form of an EAP-Response / Identity message. The authentication server checks whether the corresponding user ID exists in the user authentication table and checks whether the ID exists (402, 403).

존재한다면, 그 사용자 ID에 해당되는 인증 레코드를 검색하고 저장한다(404). 존재하지 않으면, EAP 실패(Failure) 메시지를 구성한다(405). 이 때, EAP 실패(Failure) 메시지내에 에러 코드(Error Code)를 'ID 불일치' 항목으로 설정하여 무선 랜 AP로 응답 메시지를 보낸다(406).If present, the authentication record corresponding to the user ID is retrieved and stored (404). If it does not exist, construct an EAP Failure message (405). At this time, an error code (Error Code) in the EAP fail message (ID) is set to the 'ID mismatch' item and sends a response message to the WLAN AP (406).

한편, 404 단계에서 인증 레코드를 저장한 다음, 레코드에 저장된 MAC 주소로 인증을 실시할 것인지의 여부를 검사한다(407). 'MAC 검사' 항목이 'yes'로 설정되어 있으면, 상기 EAP-Response/Identity를 포함한 인증 프로토콜내에 사용자 MAC 주소(예, RADIUS 프로토콜의 경우, Calling-Station-Id의 값에 무선랜 사용자의 MAC 주소가 존재)와 인증 레코드내의 MAC 주소를 비교한다(408). 일치하지 않으면, EAP 실패(Failure) 메시지내에 에러 코드(Error Code)로 'MAC 불일치'항목으로 설정(409)하여 메시지를 무선 랜 AP로 응답한다(406).On the other hand, after storing the authentication record in step 404, it is checked whether or not to authenticate with the MAC address stored in the record (407). If the 'MAC check' item is set to 'yes', the user MAC address in the authentication protocol including the EAP-Response / Identity (e.g., in the case of the RADIUS protocol, the wireless LAN user's MAC address in the value of Calling-Station-Id). Is present) and the MAC address in the authentication record (408). If it does not match, the EAP failure message in the error code (Error Code) is set to the 'MAC mismatch' item (409) to reply the message to the WLAN AP (406).

MAC 주소가 일치하거나, 상기 'MAC 검사' 항목이 'no'로 설정되어 있으면, 패스워드 검사를 위해 EAP-Challenge 메시지를 무선 랜 AP로 보낸다(410). EAPChallenge 메시지의 구성은 기 정의된 IETF 표준(RFC 2284)을 따른다. 무선 랜 AP로부터 EAP-Challenge 응답(Response) 메시지를 수신한다(411). Challenge 응답(Response)의 MD5 해쉬를 통해 패스워드 일치여부를 검사하는 과정은 기 정의된 IETF 표준(RFC 2284)를 따른다(412). 패스워드가 일치하지 않으면, EAP 실패(Failure) 메시지내에 에러 코드(Error Code)로 'Password 불일치'항목으로 설정(414)하여 메시지를 무선 랜 AP로 응답한다(406). 패스워드가 일치하면, '로그인 상태' 항목을 검사하고(415) 설정값을 비교한다(416). 이 항목이 'yes'로 설정이 되어 있으면, 이는 다른 사용자가 자신의 ID로 로그인하여 사용하고 있음을 나타내는 것이다. 이에 인증서버는 이 상황에 대한 로그를 생성(417)하는 데, 여기에는 가입자 레코드와 함께 사용자의 무선 랜 MAC 주소, AP 의 MAC 주소, AP의 IP 주소가 함께 저장된다. 이는 추후 ID 도용한 사용자에 대한 트랙킹 자료로 활용된다. 다음, EAP 실패(Failure) 메시지내에 에러 코드(Error Code)로 '동시접속' 항목으로 설정하고, '시작시간', '사용기간', '현 사용자의 무선 랜 MAC주소'를 메시지에 추가(418)하여 무선 랜 AP로 응답한다(406).If the MAC address matches or the 'MAC check' item is set to 'no', an EAP-Challenge message is sent to the WLAN AP for password checking (410). The composition of the EAPChallenge message follows the predefined IETF standard (RFC 2284). The EAP-Challenge Response (Response) message is received from the WLAN AP (411). The process of checking whether the password matches through the MD5 hash of the challenge response follows the predefined IETF standard (RFC 2284) (412). If the passwords do not match, an error code is set in the EAP Failure message as a 'Password mismatch' item (414) and the message is responded to the WLAN AP (406). If the password matches, the 'login status' item is checked (415) and the set value is compared (416). If this item is set to 'yes', it indicates that another user is logging in with his or her ID. Accordingly, the authentication server generates a log of this situation (417), which stores the subscriber's WLAN MAC address, the AP's MAC address, and the AP's IP address together with the subscriber record. This will be used as a tracking material for users who later steal ID. Next, set 'simultaneous access' as an error code in the EAP fail message, and add 'start time', 'use period' and 'current user's WLAN MAC address' to the message (418) And responds to the WLAN AP (406).

로그인 항목이 'no'로 되어 있으면, 성공적으로 인증이 되었음을 알리기 위해 EAP 성공(Success) 메시지를 생성(419)하고, 무선 랜 AP로 전송(420)하고 종료한다(421).If the login item is 'no', an EAP Success message is generated 419 to inform that authentication has been successfully performed, transmitted to the WLAN AP 420 and terminated (421).

상기와 같은 본 발명은 무선랜을 이용한 초고속 무선 인터넷 서비스 환경하에서 발생할 수 있는 사용자 ID 도용 혹은 동일 ID 배포에 의한 고의적인 중복사용에 대해 인증서버에서 그것을 검사할 수 있도록 하여, 이를 로그인 시도 사용자에게 알리도록 함으로써, 가입자에게 생길 수 있는 부당 요금 부과 및 정보 보호를 할 수 있으며, 사업자에게 고의적인 동일 ID 중복 사용에 대한 방지책을 제공함으로써 서비스 자원에 대한 낭비를 줄일 수 있다.As described above, the present invention enables the authentication server to inspect it for user ID theft or intentional duplication of use by distributing the same ID, which may occur under the high-speed wireless Internet service environment using the wireless LAN, and informs the login attempt user. In this case, it is possible to protect subscribers from unreasonable charges and information, and reduce waste of service resources by providing a service provider against intentional duplication of the same ID.

또한 본 발명은 그 실시 방법에 있어 현재 사용되고 있는 802.1x 사용자 인증 과정에 대한 수정을 최소화하며, 이를 통해 이 방법을 지원하지 않는 무선랜 사용자 단말이나 무선 랜 AP와의 연동 및 호환이 가능하다.In addition, the present invention minimizes modifications to the 802.1x user authentication process currently used in the implementation method, thereby enabling interworking and compatibility with a WLAN user terminal or a WLAN AP that does not support this method.

Claims (5)

무선 랜 서비스 망의 인증서버에서의 사용자 인증방법에 있어서,A user authentication method in an authentication server of a wireless LAN service network, 사용자 식별자(ID)와 패스워드의 입력에 의해 사용자 인증을 수행한 후, 로그인 상태를 검사하는 제1단계;A first step of performing a user authentication by inputting a user identifier (ID) and a password, and then checking a login state; 상기 제1단계에서 이미 로그인이 된 상태이면 매체접근제어(MAC) 주소 및 IP 주소를 저장한 후, 동시접속 상태를 사용자에게 통보하는 제2단계; 및A second step of storing a media access control (MAC) address and an IP address if not already logged in in the first step, and then notifying a user of a simultaneous access state; And 상기 제1단계에서 이미 로그인된 정보가 없으면 인증 성공 메시지를 생성하여 사용자에게 전송하는 제3단계를 포함하는 것을 특징으로 하는 공중 무선 랜 서비스 망에서의 사용자 인증방법.And a third step of generating an authentication success message and transmitting the message to the user if there is no information already logged in in the first step. 제 1 항에 있어서,The method of claim 1, 상기 제2단계에서 이미 로그인이 된 상태이면 사용자의 무선 랜 매체접근제어 주소와 AP의 매체접근제어 주소 및 AP의 IP 주소를 저장하는 것을 특징으로 하는 공중 무선 랜 서비스 망에서의 사용자 인증방법.If the user has already logged in in the second step, the user authentication method in the public wireless LAN service network, characterized in that the user's wireless LAN access control address and the media access control address of the AP and the IP address of the AP. 제 2 항에 있어서,The method of claim 2, 상기 제2단계에서 동시접속 상태를 사용자에게 통보할 때, 시작시간, 사용기간, 현 사용자의 무선랜 매체접근제어 주소를 포함하는 것을 특징으로 하는 공중 무선 랜 서비스 망에서의 사용자 인증방법.When notifying the user of the simultaneous access state in the second step, a user authentication method in a public wireless LAN service network comprising a start time, a usage period, and the current user's WLAN medium access control address. 제 3 항에 있어서,The method of claim 3, wherein 상기 제1단계에서 사용자 식별자(ID)와 패스워드의 입력에 의해 사용자 인증을 수행하는 과정에서 사용자의 무선랜 매체접근제어 주소를 이용해 인증을 수행하는 단계를 포함하는 것을 특징으로 하는 공중 무선 랜 서비스 망에서의 사용자 인증방법.And performing authentication using a WLAN medium access control address of the user in a process of performing user authentication by inputting a user identifier (ID) and a password in the first step. User Authentication Method in. 무선 랜 서비스 망의 인증서버에서,In the authentication server of the WLAN service network, 사용자 식별자(ID)와 패스워드의 입력에 의해 사용자 인증을 수행한 후, 로그인 상태를 검사하는 제1단계;A first step of performing a user authentication by inputting a user identifier (ID) and a password, and then checking a login state; 상기 제1단계에서 이미 로그인이 된 상태이면 사용자의 무선 랜 매체접근제어 주소와 AP의 매체접근제어 주소 및 AP의 IP 주소를 저장한 후, 시작시간, 사용기간, 현 사용자의 무선랜 매체접근제어 주소를 포함하는 동시접속 상태를 사용자에게 통보하는 제2단계; 및If the user is already logged in in the first step, after storing the user's WLAN access control address, the AP access control address, and the AP's IP address, the start time, duration of use, and current user's WLAN access control A second step of notifying a user of a simultaneous connection state including an address; And 상기 제1단계에서 이미 로그인된 정보가 없으면 인증 성공 메시지를 생성하여 사용자에게 전송하는 제3단계를 실행시키기 위한 프로그램을 기록한 컴퓨터로읽을 수 있는 기록매체.The computer-readable recording medium having recorded thereon a program for executing the third step of generating and transmitting an authentication success message to the user if there is no information already logged in in the first step.
KR10-2002-0075812A 2002-12-02 2002-12-02 A Method For User authentication in Public Wireless Lan Service Network KR100459935B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0075812A KR100459935B1 (en) 2002-12-02 2002-12-02 A Method For User authentication in Public Wireless Lan Service Network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0075812A KR100459935B1 (en) 2002-12-02 2002-12-02 A Method For User authentication in Public Wireless Lan Service Network

Publications (2)

Publication Number Publication Date
KR20040048049A KR20040048049A (en) 2004-06-07
KR100459935B1 true KR100459935B1 (en) 2004-12-03

Family

ID=37342972

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0075812A KR100459935B1 (en) 2002-12-02 2002-12-02 A Method For User authentication in Public Wireless Lan Service Network

Country Status (1)

Country Link
KR (1) KR100459935B1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100656519B1 (en) * 2004-11-23 2006-12-11 삼성전자주식회사 System and Method for Authentication in Network
CN100583761C (en) * 2005-05-16 2010-01-20 联想(北京)有限公司 Method for realizing uniform authentication
KR20100049472A (en) * 2008-11-03 2010-05-12 엘지전자 주식회사 Method of identifying a mobile station
CN109788478B (en) * 2019-02-21 2022-10-04 南京航空航天大学 Method for collecting data by using authentication process in WPA wireless network

Also Published As

Publication number Publication date
KR20040048049A (en) 2004-06-07

Similar Documents

Publication Publication Date Title
KR100494558B1 (en) The method and system for performing authentification to obtain access to public wireless LAN
US9131378B2 (en) Dynamic authentication in secured wireless networks
EP2051432B1 (en) An authentication method, system, supplicant and authenticator
US7565547B2 (en) Trust inheritance in network authentication
EP1719316B1 (en) Means and method for single sign-on access to a service network through an access network
CN106105134B (en) Method and apparatus for improving end-to-end data protection
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
US20070180499A1 (en) Authenticating clients to wireless access networks
WO2011017924A1 (en) Method, system, server, and terminal for authentication in wireless local area network
JP2007525731A (en) Method and system for providing SIM-based roaming to an existing WLAN public access infrastructure
KR100819678B1 (en) Authentification Method of Public Wireless LAN Service using CDMA authentification information
CA2647684A1 (en) Secure wireless guest access
CN101599967A (en) Authority control method and system based on the 802.1x Verification System
KR100763131B1 (en) Access and Registration Method for Public Wireless LAN Service
WO2006079953A1 (en) Authentication method and device for use in wireless communication system
KR100819942B1 (en) Method for access control in wire and wireless network
KR100459935B1 (en) A Method For User authentication in Public Wireless Lan Service Network
CN112423299A (en) Method and system for wireless access based on identity authentication
KR100667186B1 (en) Apparatus and method for realizing authentication system of wireless mobile terminal
Latze et al. Strong mutual authentication in a user-friendly way in eap-tls
CN101742507A (en) System and method for accessing Web application site for WAPI terminal
JP2005086656A (en) Authentication discrimination bridge, program, wireless lan communication system, and wireless lan communication method
KR20050088645A (en) Method of obtaining user id using tunneled transport layer security

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121031

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20131024

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee