KR20040088137A - Method for generating encoded transmission key and Mutual authentication method using the same - Google Patents

Method for generating encoded transmission key and Mutual authentication method using the same Download PDF

Info

Publication number
KR20040088137A
KR20040088137A KR1020030022222A KR20030022222A KR20040088137A KR 20040088137 A KR20040088137 A KR 20040088137A KR 1020030022222 A KR1020030022222 A KR 1020030022222A KR 20030022222 A KR20030022222 A KR 20030022222A KR 20040088137 A KR20040088137 A KR 20040088137A
Authority
KR
South Korea
Prior art keywords
terminal device
key value
access
encryption key
value
Prior art date
Application number
KR1020030022222A
Other languages
Korean (ko)
Inventor
홍상선
Original Assignee
홍상선
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 홍상선 filed Critical 홍상선
Priority to KR1020030022222A priority Critical patent/KR20040088137A/en
Publication of KR20040088137A publication Critical patent/KR20040088137A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2203/00Aspects of automatic or semi-automatic exchanges
    • H04M2203/60Aspects of automatic or semi-automatic exchanges related to security aspects in telephonic communication systems
    • H04M2203/6054Biometric subscriber identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

PURPOSE: A method for generating a transmission encryption key value and a mutual authentication method using the same are provided to enhance the security by improving a process for generating a transmission encryption key value between terminals. CONSTITUTION: A second terminal generates a first connecting initial setup value according to a connecting request of a first terminal, encrypts the first connecting initial setup value as a transmission encryption key value of the second terminal, and transmits the encrypted value to the first terminal(S10-S12). The first terminal encrypts the encrypted value to the transmission encryption key value of the first terminal and transmits the encrypted value to the second terminal(S13). The second terminal decrypts the transmission encryption key value of the first terminal on the basis of the encrypted value of the first terminal(S14). A final transmission encryption key value is generated by combining the transmission encryption key value of the first terminal with the transmission encryption key value of the second terminal(S15).

Description

전송 암호화키 값 생성방법과 이를 적용한 상호인증 보안방법{Method for generating encoded transmission key and Mutual authentication method using the same}Method for generating encoded transmission key and Mutual authentication method using the same}

본 발명은 전송 암호화키 값 생성방법과 이를 적용한 유비쿼터스 개인 상호인증 보안방법 및 무선 랜상의 상호인증 보안방법에 관한 것으로, 보다 상세하게는 단말장치 간 또는 단말장치와 인증서버 간의 상호인증을 하드웨어적 인증과 사용자 인증을 순차적으로 수행하기 위한 상호인증 보안방법에 관한 것이다.The present invention relates to a method for generating a transmission encryption key value, to a ubiquitous personal mutual authentication security method and a mutual authentication security method on a wireless LAN, and more particularly, to hardware authentication of mutual authentication between terminal devices or between a terminal device and an authentication server. And a mutual authentication security method for sequentially performing user authentication.

무선 랜의 기술발전과 사용의 증가는 다양한 기술적 요구와 표준화가 뒤따라야 한다. 그 중에서 보급의 확대측면에서 가장 필요로 하는 부분은 시큐리티 문제이다. 무선 랜은 독립된 사용자가 전파를 매개체로 접속되므로 여러 가지 보안상의 문제점을 가지고 있다.The increase in the technology development and use of wireless LAN must be accompanied by various technical requirements and standardization. Among them, security is the most necessary part in terms of expanding the distribution. Wireless LAN has various security problems because independent users are connected through radio waves.

즉, 무선 랜은 도청으로 SSID, MAC 주소, WEP 키 또는 로그 등과 전송하는 데이터 전체가 노출될 수 있으므로 보안성이 취약하다. 또한, 전파를 사용함으로써 전송 패킷 전체를 스니핑(Sniffing)할 수 있어 기밀성을 전혀 보장할 수 없다. 또한 Spoofing 툴을 이용하여 위장접속도 가능하다. 이러한 보안성 문제를 해결하기 위하여 WEP2가 마련되었다. 그러나 WEP2는 128비트 암호화를 사용하고 패킷마다 다른 IV(Initialization Vector)를 사용하였지만 RC4 알고리즘만을 이용하고 무결성 체크가 없음으로 여전히 보안성에 취약하다.That is, the wireless LAN is vulnerable because it can expose the entire data transmitted to the SSID, MAC address, WEP key or log by tapping. In addition, the use of radio waves can sniff the entire transport packet, thereby ensuring no confidentiality at all. In addition, spoofing tools are available for spoofing. WEP2 was prepared to solve this security problem. However, WEP2 uses 128-bit encryption and uses a different IV (Initialization Vector) for each packet, but it is still vulnerable because it uses only the RC4 algorithm and no integrity check.

더욱이, 무선 랜은 물리계층에서의 보안의 취약점을 가지고 있으며, 전파를 부정하게 다른 사람이 액세스할 수 있는 위험에 노출되어 있다.Moreover, wireless LANs have a weakness in security at the physical layer and are exposed to the risk of unauthorized access by others.

따라서, 본 발명의 목적은 이러한 무선 랜 환경에서 적용할 수 있는 전송 암호화키 값 생성방법을 제공하는 것이다.Accordingly, an object of the present invention is to provide a method for generating a transmission encryption key value applicable in such a WLAN environment.

또한, 본 발명의 다른 목적은 이러한 전송 암호화키 값 생성방법을 이용하여 유비쿼터스 상호인증 보안방법을 제공하는 것이다.Another object of the present invention is to provide a ubiquitous mutual authentication security method using the method for generating a transmission encryption key value.

본 발명의 다른 목적과 특징들은 이하에 서술되는 실시예들을 통하여 보다 명확하게 이해될 것이다.Other objects and features of the present invention will be more clearly understood through the embodiments described below.

도 1은 본 발명에 따른 전송 암호화키 값 생성방법을 설명하는 플로우챠트이다.1 is a flowchart illustrating a method for generating a transmission encryption key value according to the present invention.

도 2는 본 발명에 따른 유비쿼터스 개인 상호인증 보안방법을 설명하는 플로우챠트이다.2 is a flowchart illustrating a ubiquitous personal mutual authentication security method according to the present invention.

도 3은 무선 랜 환경에서 단말장치로부터 인증자(authenticator)를 거쳐 인증서버(authentication server)에 접속하는 과정에서의 인증 보안방법을 설명하는 흐름도이다.3 is a flowchart illustrating an authentication security method in a process of accessing an authentication server through an authenticator from a terminal device in a wireless LAN environment.

도 4는 본 발명의 상호인증 보안방법을 적용하여 일 대 다수의 접속을 보여주는 구성도이다.4 is a block diagram showing a one-to-many connection by applying the mutual authentication security method of the present invention.

도 5는 본 발명에 따른 상호인증 보안방법을 적용시키기 위해 기존의 시스템을 업데이트 하기 위한 방법을 설명하는 챠트이다.5 is a chart illustrating a method for updating an existing system to apply a mutual authentication security method according to the present invention.

본 발명의 일측면에 따르면, 접속을 요청하는 제 1 단말장치와 접속을 요청받는 제 2 단말장치 간의 개인 상호인증 보안방법에 있어서, 제 1 단말장치에서 제 2 단말장치로의 접속요청 시에 생성되는 접속 초기설정값을 제 2 단말장치에서 제 1 단말장치 간에 전송하면서 각 단말장치의 전송 암호화키 값으로 이중으로 순차적으로 암호화하여 제 2 단말장치에서 최종적으로 전송 암호화키 값을 생성하는 유비쿼터스 개인 상호인증을 위한 전송 암호화키 값 생성방법이 개시된다.According to an aspect of the present invention, in the personal mutual authentication security method between the first terminal device requesting the connection and the second terminal device that is requested to access, generated when the connection request from the first terminal device to the second terminal device; The ubiquitous individual mutually generates the transmission encryption key value by secondly encrypting the connection initial setting values between the second terminal device and the first terminal device sequentially by using the transmission encryption key value of each terminal device. A method of generating a transmission encryption key value for authentication is disclosed.

바람직하게, 암호화는 스트림 암호화 방식으로 이루어질 수 있다.Preferably, the encryption may be in a stream encryption manner.

본 발명의 다른 측면에 따르면, 접속을 요청하는 제 1 단말장치와 접속을 요청받는 제 2 단말장치 간의 개인 상호인증 보안방법에 있어서, 제 2 단말장치는 제 1 단말장치의 접속요청에 의해 제 1 접속 초기설정값을 생성하고, 제 1 접속 초기설정값을 제 2 단말장치 전송 암호화키 값으로 암호화하여 제 1 단말장치로 전송하는 단계; 제 1 단말장치는 전송된 암호화 값을 제 1 단말장치 전송 암호화키 값으로 암호화하여 제 2 단말장치로 재전송하는 단계; 제 2 단말장치는 재전송된 암호화 값에 근거하여 제 1 단말장치 전송 암호화키 값을 해독하는 단계; 및 해독된 제 1 단말장치 전송 암호화키 값과 제 2 단말장치 전송 암호화키 값을 조합하여 최종 전송 암호화키 값을 생성하고 제 1 단말장치로 전송함과 동시에 사용자 확인을 통하여 접속 서비스 정보를 전송하는 단계를 포함하는 유비쿼터스 개인 상호인증 보안방법이 개시된다.According to another aspect of the present invention, in the personal mutual authentication security method between the first terminal device requesting the connection and the second terminal device received the connection, the second terminal device is a first request by the connection request of the first terminal device; Generating a connection initial value, encrypting the first connection initial value with a second terminal device transmission encryption key value, and transmitting the encrypted initial value to the first terminal device; Encrypting, by the first terminal device, the transmitted encryption value with the first terminal device transmission encryption key value and retransmitting it to the second terminal device; Decrypting, by the second terminal device, the first terminal device transmission encryption key value based on the retransmitted encryption value; And generating a final transmission encryption key value by combining the decrypted first terminal device transmission encryption key value and the second terminal device transmission encryption key value, transmitting the same to the first terminal device, and transmitting access service information through user confirmation. A ubiquitous personal mutual authentication security method comprising the steps is disclosed.

바람직하게, 제 1 및 제 2 단말장치 전송 암호화키 값은 제 1 및 제 2 단말장치의 MAC 어드레스, CPU 스테핑 번호 또는 BIOS 정보 중 어느 하나를 포함할 수 있다.Preferably, the first and second terminal device transmission encryption key values may include any one of MAC addresses, CPU stepping numbers, and BIOS information of the first and second terminal devices.

또한, 제 1 단말장치는 접속 서비스 정보를 수신한 후, 제 1 단말장치로부터 제 2 단말장치로 제 1 단말장치 사용자 식별자 공유키 값을 전송하는 단계; 제 2 단말장치는 전송된 제 1 단말장치 사용자 식별자 공유키 값과 제 2 단말장치 사용자 식별자 공유키 값, 최종 전송 암호화키 값을 조합한 접속허가 인증키 값을 제 1 단말장치로 전송하는 단계; 및 접속허가 인증키 값을 매개로 서비스 통신하는 단계를 더 포함할 수 있다.The first terminal device may further include: transmitting the first terminal device user identifier shared key value from the first terminal device to the second terminal device after receiving the access service information; The second terminal device transmits the access permission authentication key value combining the transmitted first terminal device user identifier shared key value, the second terminal device user identifier shared key value, and the final transmission encryption key value to the first terminal device; And performing service communication via an access permission authentication key value.

바람직하게, 접속허가 인증키 값은 이후 확인 가능한 접속에 따른 모든 히스토리 정보를 포함한다.Preferably, the access authorization key value includes all history information according to the access which can then be checked.

바람직하게, 사용자 식별자는 암호, 생체인식, 또는 스마트 카드(SmartCard)를 포함할 수 있다.Preferably, the user identifier may include a password, biometric, or smart card.

또한, 접속에 따른 중요정보는 단말장치의 저장매체에 하드웨어 식별값과 사용자 식별값의 조합으로 형성된 암호화 폴더에 저장되는 것이 바람직하다.In addition, the important information according to the connection is preferably stored in an encryption folder formed by a combination of a hardware identification value and a user identification value in a storage medium of the terminal device.

본 발명의 다른 측면에 따르면, 액세스 포인트가 단말장치로부터 접속요청을 받고 인증서버에 상기 접속요청을 통보하는 단계; 인증서버가 인증서버 전송 암호화키 값을 액세스 포인트로 전송하고, 액세스 포인트는 단말장치로부터의 접속요청으로 생성된 인증서버 접속 초기설정값을 전송받은 인증서버 전송 암호화키 값으로 암호화하여 단말장치에 전송하는 단계; 단말장치가 단말장치 접속 초기설정값을 생성하고 전송된 암호화키를 다시 단말장치 전송 암호화키 값으로 암호화하여 액세스 포인트로 전송하여 접속서비스 정보를 요청하는 단계; 액세스 포인트가 단말장치로부터 전송된 암호화키에 근거하여 단말장치 전송 암호화키 값과 단말장치 접속 초기설정값을 해독하는 단계; 액세스 포인트가 단말장치로부터의 접속서비스 정보요청을 인증서버에 통보하고, 인증서버는 액세스 포인트로 접속서비스 정보를 전송하거나 접속을 차단하는 단계; 액세스 포인트가 인증서버로부터 접속서비스 정보를 전송받아 해독된 단말장치 전송 암호화키 값과 인증서버 전송 암호화키 값을 조합하여 최종 전송 암호화키 값을 생성하고 단말장치로 전송하는 단계; 단말장치가 액세스 포인트로 단말장치 사용자 식별값의 공유키 값을 최종 전송 암호화키 값으로 암호화하여 전송하고 사용자 확인을 통하여 접속서비스 실행을 요청하는 단계; 액세스 포인트는 접속서비스 실행과 인증을 인증서버에 요청하고, 인증서버는 인증서버 서비스키 값을 전송하여 접속인증을 확인하거나 접속을 차단하는 단계; 및 액세스 포인트가 단말장치 사용자 식별값의 공유키 값과 인증서버의 서비스키 값 및 최종 전송 암호화키 값을 조합한 접속허가 인증키 값을 단말장치로 전송하여 인증을 완료하는 단계를 포함하는 무선 랜 상의 개인 상호인증 보안방법이 개시된다.According to another aspect of the invention, the access point receives a connection request from the terminal device and notifies the authentication request to the authentication server; The authentication server transmits the authentication server transmission encryption key value to the access point, and the access point encrypts the authentication server connection initial setting value generated by the connection request from the terminal device with the received authentication server transmission encryption key value and sends it to the terminal device. Doing; Generating, by the terminal device, an initial connection value of the terminal device, encrypting the transmitted encryption key using the terminal device transmission encryption key value, and transmitting the received encryption key value to the access point to request access service information; Decrypting, by the access point, the terminal device transmission encryption key value and the terminal device connection initial value based on the encryption key transmitted from the terminal device; The access point notifying the authentication server of the request for connection service information from the terminal device, wherein the authentication server transmits the connection service information to the access point or blocks the connection; Receiving, by the access point, the access service information from the authentication server, combining the decrypted terminal device transmission encryption key value and the authentication server transmission encryption key value to generate a final transmission encryption key value and transmitting the result to the terminal device; Transmitting, by the terminal device, the access key by encrypting the shared key value of the terminal device user identification value to the final transmission encryption key value and requesting execution of an access service through user confirmation; The access point requests the authentication server to execute and authenticate the access service, and the authentication server transmits the authentication server service key value to confirm access authentication or block access; And the access point transmitting the access permission authentication key value combining the shared key value of the terminal device user identification value, the service key value of the authentication server, and the final transmission encryption key value to the terminal device to complete the authentication. The mutual mutual authentication security method of the above is disclosed.

바람직하게, 단말장치로부터의 접속요청 이전에 기존의 인증시스템을 업데이트하기 위하여 인증서버가 액세스 포인트로 액세스 포인트 및 단말장치 업데이트 모듈을 전송하는 단계; 액세스 포인트가 전송된 단말장치 업데이트 모듈을 기존의 통신방법에 의하여 단말장치로 전송하는 단계; 단말장치 업데이트 모듈을 전송받은 단말장치는 액세스 포인트와의 접속을 차단하고 새로운 모듈을 자동 실행하는 단계; 및 접속이 차단된 후, 액세스 포인트가 업데이트된 액세스 포인트 모듈을 실행하고, 이후의 단말장치와의 접속을 새로운 모듈을 적용하여 수행하는 단계를 더 포함할 수 있다.Preferably, the authentication server transmits the access point and the terminal device update module to the access point in order to update the existing authentication system prior to the connection request from the terminal device; Transmitting the terminal device update module transmitted by the access point to the terminal device by an existing communication method; The terminal device receiving the terminal device update module blocks the connection with the access point and automatically executes a new module; And after the connection is blocked, the access point executes the updated access point module, and subsequently performs a connection with the terminal device by applying a new module.

이하, 첨부된 도면을 참조하여 본 발명에 따른 전송 암호화키 값 생성방법에 대해 구체적으로 설명한다.Hereinafter, a method for generating a transmission encryption key value according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 전송 암호화키 값 생성방법을 설명하는 플로우챠트이다.1 is a flowchart illustrating a method for generating a transmission encryption key value according to the present invention.

먼저 설명의 편의를 위하여 각종 키 값에 대해 정의하며, 일대일 통신에 있어서 접속을 요청하는 제 1 단말장치를 'A'로 표현하고, 접속을 요청받는 제 2 단말장치를 'B'로 나타낸다.First, various key values are defined for convenience of description, and the first terminal device requesting connection in one-to-one communication is represented by 'A', and the second terminal device requesting connection is represented by 'B'.

접속 초기설정값은 각 단말장치 별로 상대의 단말장치로부터 접속 요청이 발생하는 경우에 생성되며, 예를 들어, 128바이트(Byte)의 임시 값을 사용한다.The connection initial setting value is generated when a connection request is generated from a counterpart terminal device for each terminal device. For example, a temporary value of 128 bytes is used.

전송 암호화키 값(ABTK)은 하드웨어 식별값으로부터 만들어진 공유키(AHS, BHS) 값을 접속 초기설정값으로 인캡슐레이션(encapsulation)한 값으로 인증 완료 전까지 암호화키로 사용한다. 제 1 단말장치 A의 전송 암호화키 값(AHS + X=ATK)과 제 2 단말장치 B의 전송 암호화키 값(BHS + Y=BTK)이 별도로 존재하나 최초 암호화와 키 해독에만 사용된다. 따라서, 전송 암호화키 값(ABTK)은 ATK와 BTK를 조합하고 접속 초기설정값으로 인캡슐레이션(encapsulation)한 키 값이다.The transmission encryption key value (ABTK) is an encapsulation value of the shared key (AHS, BHS) value made from the hardware identification value as the initial connection value. A transmission encryption key value (AHS + X = ATK) of the first terminal device A and a transmission encryption key value (BHS + Y = BTK) of the second terminal device B exist separately, but are used only for initial encryption and key decryption. Therefore, the transmission encryption key value ABTK is a key value obtained by combining ATK and BTK and encapsulating the connection initial setting value.

또한, 전송 암호화키 값을 접속 초기설정값으로 디캡슐레이션(decapsulation)한 값을 순수 전송 암호화키 값(PABTK)이라고 한다.In addition, a value obtained by decapsulating a transmission encryption key value into a connection initial setting value is called a pure transmission encryption key value (PABTK).

접속허가 인증키 값(ABAK)은 제 1 단말장치 사용자 식별값으로부터 만들어진 공유키(AUS, BUS) 값과 전송 암호화 키 값(ATK, BTK)의 조합으로 이루어진 암호화 키 값으로, 인증 이후 사용되는 최종 암호화키이며, 접속이 이루어진 모든 히스토리 키 값을 포함한 값이다.The access authorization authentication key value ABAK is an encryption key value composed of a combination of the shared key (AUS, BUS) value and the transmission encryption key value (ATK, BTK) generated from the first terminal device user identification value. The encryption key, which contains all the history key values of the connection.

또한, AUS와 BUS 키 값과 순수 전송 암호화키 값(PABTK)과의 조합키를 순수 접속허가 인증키 값(PABAK)이라 한다.In addition, the combination key between the AUS and the BUS key value and the pure transmission encryption key value (PABTK) is referred to as the pure access authorization key value (PABAK).

접속허가 인증키 값(ABAK)과 순수 접속허가 인증키 값(PABAK)은 접속자의 사용자 인증된 증빙 자료가 되며, A와 B는 필요에 따라 이에 대한 인증 데이터베이스를 구성할 수 있다.The access authorization key value (ABAK) and the pure access authorization key value (PABAK) are the user's user-certified proof data, and A and B can configure an authentication database for them as necessary.

본 발명에 따르면, 기존의 공인인증 방식과 달리 개인 인증을 필요로 하며, 사용자 자신이 스스로 인증 가능하다. 이를 위해 하드웨어 식별자와 사용자 식별자를 이용한다.According to the present invention, unlike the conventional authentication method requires a personal authentication, the user himself can be authenticated. For this purpose, hardware identifiers and user identifiers are used.

하드웨어 식별자는 사용자와 연관성이 없는 단말장치 자체의 유일한 하드웨어 식별값을 선택하는데, 예를 들어, MAC 어드레스나 CPU 스테핑(Stepping) 번호, BIOS 등의 정보를 이용할 수 있다.The hardware identifier selects a unique hardware identification value of the terminal device itself that is not associated with the user. For example, the hardware identifier may use information such as a MAC address, a CPU stepping number, and a BIOS.

사용자 식별자는 하드웨어 식별자보다 변동가능성이 높으며 그에 따라 임시적으로 변경이 가능하다. 사용자가 장치의 사용을 자신이외에는 불가능하도록 설정한 경우에는 하드웨어 식별자와의 결합으로 다른 사용자의 사용을 제한할 수 있다. 그러나 일반적인 경우에는 사용자가 접속 시마다 다른 형태의 사용자 인증 확인이 가능하도록 가정하는 것이 필요하다. 예를 들어, 암호 또는 생체인식, 스마트 카드(Smart Card) 등을 사용할 수 있다.User identifiers are more volatile than hardware identifiers and can be changed temporarily. When a user sets the use of the device to be impossible except for himself / herself, the use of the device may be combined with a hardware identifier to restrict the use of another user. However, in general, it is necessary to assume that a different type of user authentication can be checked each time a user connects. For example, a password or biometrics, a smart card, or the like can be used.

또한, 접속에 따른 중요 정보(식별 값, 각 생성된 키 값, 타인의 인증 관련 정보 등)의 안전한 보호를 위해 각각의 단말장치의 저장 매체(플래시 메모리, 메모리 스틱, HDD 등)에 세이프 폴더(Safe Folder)를 설정하도록 한다. 예를 들어, 하드웨어 식별값과 사용자 식별값의 조합으로 암호화 폴더를 생성할 수 있다. 따라서, 동일한 시스템이 아닐 때에는 암호화 폴더에 접근할 수 없으며, 또한 사용자가 사용자를 확인하지 않는 상태에서는 액티브 상태로 될 수 없도록 설정되어 안전하게 보호한다.In addition, the safe folder (flash memory, memory stick, HDD, etc.) in each terminal device for safe protection of important information (identification value, each generated key value, authentication related information of others, etc.) according to the connection. Safe Folder). For example, an encryption folder may be generated by a combination of hardware identification values and user identification values. Therefore, the encryption folder cannot be accessed when the system is not the same system, and the user cannot be activated without the user's confirmation.

바람직하게, 하드웨어 식별 방법과 사용자 인증의 두 가지를 함께 확인하여 적용하며, 최초의 접속 시점에서 하드웨어 식별자에 의한 검증을 거친 후 사용자 식별 단계에서 최종 인증하는 방식을 적용할 수 있다.Preferably, both the hardware identification method and the user authentication may be identified and applied together, and after the verification by the hardware identifier at the first access point, the final authentication method may be applied at the user identification step.

또한, 본 발명에서 사용하는 인증서 포맷은 별도의 인증서 포맷을 구성하거나 PKI(Public Key Infrastructure)의 x.509를 사용하여 호환성 있는 인증 시스템으로 활용 가능하게 한다.In addition, the certificate format used in the present invention may be configured as a separate certificate format or may be utilized as a compatible authentication system using x.509 of the Public Key Infrastructure (PKI).

디캡슐레이션에 사용되는 접속 초기설정값은 매 접속 시마다 다르므로 별도로 관리가 필요하며, 예를 들어, 1회 이상 접속자의 경우 동일 사용자인지의 확인과정이 필요하고, 저장된 키가 접속허가 암호화키 값이라면 접속 초기설정값으로 디캡슐레이션했을 때 순수 접속허가 인증키 값과 동일한 값으로 확인되면 동일 사용자라 판정할 수 있다.Since the initial connection value used for decapsulation is different for every connection, it needs to be managed separately. If it is confirmed that the same value as the pure access authorization key value when decapsulated to the initial connection setting value, it can be determined to be the same user.

도 1을 참조하면, 먼저, 제 1 단말장치 A는 제 2 단말장치 B로 접속을 요청한다(단계 S10).Referring to FIG. 1, first, a first terminal device A requests a connection to a second terminal device B (step S10).

이때, 제 2 단말장치 B에서는 접속 초기설정값 Y를 생성한다(단계 S11). 예를 들어, Y는 제 2 단말장치의 하드웨어 식별값과 키 발생시간 값을 조합하여 임시적으로 생성할 수 있다.At this time, the second terminal device B generates the connection initial setting value Y (step S11). For example, Y may be temporarily generated by combining a hardware identification value and a key generation time value of the second terminal device.

제 2 단말장치 B는 생성된 접속 초기설정값 Y를 제 2 단말장치 전송 암호화키 값(BTK)으로 암호화하여 제 1 단말장치 A로 전송한다(단계 S12).The second terminal device B encrypts the generated connection initial setting value Y with the second terminal device transmission encryption key value BTK and transmits it to the first terminal device A (step S12).

제 1 단말장치 A는 제 1 단말장치의 하드웨어 식별값과 키 발생시간 값으로 X를 생성하고, 전송된 암호화키를 다시 제 1 단말장치 전송 암호화키 값(ATK)으로 암호화하여 제 2 단말장치 B로 전송한다(단계 S13).The first terminal device A generates X with the hardware identification value and the key generation time value of the first terminal device, encrypts the transmitted encryption key with the first terminal device transmission encryption key value (ATK), and then the second terminal device B (Step S13).

따라서, 제 2 단말장치 B는 접속 초기설정값 Y와 전송 암호화키 값(BTK)를 알고 있으므로 제 1 단말장치 A로부터 전송된 암호화키에 근거하여 제 1 단말장치전송 암호화키 값(ATK)을 해독한 후 ATK값으로만 암호화된 X값을 해독할 수 있다(단계 S14). 특히, 암호화 알고리즘으로 스트림 암호방식을 적용하는 경우에는 접속 초기설정값 Y의 결과치로부터 상대 단말장치의 전송 암호화키 값을 용이하게 유추할 수 있다.Therefore, since the second terminal device B knows the connection initial setting value Y and the transmission encryption key value (BTK), the second terminal device B decrypts the first terminal device transmission encryption key value (ATK) based on the encryption key transmitted from the first terminal device A. After that, the encrypted X value can only be decrypted with the ATK value (step S14). In particular, when the stream encryption method is applied as the encryption algorithm, the transmission encryption key value of the counterpart terminal device can be easily inferred from the result of the connection initial setting value Y.

이어 제 2 단말장치 B는 해독된 제 1 단말장치 전송 암호화키 값(ATK)과 제 2 단말장치 전송 암호화키 값(BTK)을 조합하여 최종 전송 암호화키 값(ABTK)을 생성하고 제 2 단말장치 사용자 확인을 거쳐 제 1 단말장치 A로 전송한다(단계 S15).Subsequently, the second terminal device B generates the final transmission encryption key value ABTK by combining the decrypted first terminal device transmission encryption key value ATK and the second terminal device transmission encryption key value BTK. After the user confirmation, it transmits to the first terminal device A (step S15).

이와 같은 과정을 통하여 생성되는 최종 전송 암호화키 값(ABTK)은 사용자 인증 전까지의 데이터 전송에 있어서 인증 데이터로 사용된다.The final transmission encryption key value (ABTK) generated through this process is used as authentication data in data transmission until user authentication.

도 2는 본 발명에 따른 유비쿼터스 개인 상호인증 보안방법을 설명하는 플로우챠트이다.2 is a flowchart illustrating a ubiquitous personal mutual authentication security method according to the present invention.

도시된 바와 같이, 하드웨어 인증과 사용자 인증으로 구별되며, 하드웨어 인증은 도 1의 단계와 동일하게 이루어진다.As shown, hardware authentication and user authentication are distinguished, and hardware authentication is performed in the same manner as in FIG.

즉, 제 1 단말장치 A는 제 2 단말장치 B로 접속을 요청하고(단계 S20), 제 2 단말장치에서는 접속 초기설정값 Y를 생성하며(단계 S21), 제 2 단말장치 B는 생성된 접속 초기설정값 Y를 제 2 단말장치 전송 암호화키 값(BTK)으로 암호화하여 제 1 단말장치 A로 전송한다(단계 S22).That is, the first terminal device A requests the connection to the second terminal device B (step S20), the second terminal device generates the connection initial setting value Y (step S21), and the second terminal device B generates the created connection. The initial setting value Y is encrypted using the second terminal device transmission encryption key value BTK and transmitted to the first terminal device A (step S22).

또한, 제 1 단말장치 A는 전송된 암호화키를 다시 제 1 단말장치 전송 암호화키 값(ATK)으로 암호화하여 제 2 단말장치 B로 전송하고(단계 S23), 제 1 단말장치 A로부터 전송된 암호화키에 근거하여 제 1 단말장치 전송 암호화키 값(ATK)과 X값을 해독하며(단계 S24), 제 2 단말장치 B는 해독된 제 1 단말장치 전송 암호화키 값(ATK)과 제 2 단말장치 전송 암호화키 값(BTK)을 조합하여 최종 전송 암호화키 값(ABTK)을 생성하고 제 2 단말장치 사용자 확인을 거쳐 제 1 단말장치 A로 전송한다(단계 S25).Further, the first terminal device A encrypts the transmitted encryption key again with the first terminal device transmission encryption key value (ATK) and transmits it to the second terminal device B (step S23), and the encryption transmitted from the first terminal device A The first terminal device transmits an encryption key value ATK and an X value based on the key (step S24), and the second terminal device B decrypts the decrypted first terminal device transmit encryption key value ATC and the second terminal device. The final transmission encryption key value ABTK is generated by combining the transmission encryption key value BTK, and transmitted to the first terminal device A through the second terminal device user confirmation (step S25).

이와 같은 과정을 통하여 하드웨어 확인이 완료되고 접속의 의지가 확인된다.Through this process, the hardware check is completed and the intention of the connection is confirmed.

이어 제 1 단말장치 A는 제 2 단말장치 B로 제 1 단말장치 사용자 식별값의 공유키(AUS) 값을 최종 전송 암호화키 값(ABTK)으로 암호화하여 제 2 단말장치 B로 전송하여 서비스 실행을 요청한다(단계 S26). 이 과정에서 제 1 단말장치의 사용자 확인이 필요하다.Subsequently, the first terminal device A encrypts the shared key (AUS) value of the first terminal device user identification value with the final transmission encryption key value (ABTK) to the second terminal device B, and transmits the service to the second terminal device B. Request (step S26). In this process, user confirmation of the first terminal device is required.

제 2 단말장치 B는 서비스 실행요청을 확인하고, 제 1 단말장치 사용자 식별값의 공유키(AUS) 값과 제 2 단말장치 사용자 식별값의 공유키(BUS) 값 및 최종 전송 암호화키 값(ABTK)을 조합한 접속허가 인증키 값(ABAK)을 제 1 단말장치 A로 사용자 확인 후 전송한다(단계 S27). 물론 이때 접속을 거부하는 경우에는 거부내용을 제 1 단말장치 A로 전송할 수 있다. 이와 같이 사용자 확인 과정에서는 접속거부가 가능하다.The second terminal B confirms the service execution request, the shared key (AUS) value of the first terminal device user identification value, the shared key (BUS) value of the second terminal device user identification value, and the final transmission encryption key value (ABTK). ) And transmits the access permission authentication key value ABAK to the first terminal device A after checking the user (step S27). Of course, if the access is denied, the rejection content may be transmitted to the first terminal device A. In this way, the user can be denied access during the confirmation process.

이후에는 제 1 및 제 2 단말장치 간에 서비스 통신이 수행되며(단계 S28), 접속허가 인증키 값(ABAK)은 이들 사이의 암호화 데이터 및 인증 데이터로서의 의미를 갖는다.Thereafter, service communication is performed between the first and second terminal apparatuses (step S28), and the access authorization authentication key value ABAK has meaning as encryption data and authentication data therebetween.

특히, 접속허가 인증키 값(ABAK)은 이후 확인 가능한 접속에 따른 모든 히스토리 정보를 포함한다.In particular, the access authorization key value ABAK includes all history information according to the access which can be checked later.

이와 같은 과정을 통하여 인증을 완료함으로써 임의의 접속자와 기밀성을 유지하면서 접속이 가능해지며, 이러한 형태의 접속방법은 기존의 WEP의 키 공유방식이나 동적 키 발생으로 보안성을 유지하는 방법 그리고 EAP 방식의 인증 방법에 비하여 훨씬 진보되어 있다.Through this process, authentication can be performed while maintaining confidentiality with any accessor. This type of access method is based on the existing WEP key sharing method or dynamic key generation method to maintain security and EAP method. It is much more advanced than the authentication method.

또한, 제 1 및 제 2 단말장치는 접속자에 대한 인증정보로 접속 초기설정값(X, Y)과 순수 접속허가 인증키 값(PABAK)을 보관함으로써 이후의 재 접속시에 확인이 가능해진다. 더욱이, 접속 인증 데이터베이스로 구축하여 재 접속 시에 따른 접속 권한 등을 관리할 수 있다.Further, the first and second terminal apparatuses store the connection initial setting values (X, Y) and the pure connection permission authentication key value PABAK as authentication information for the visitor, thereby enabling confirmation during subsequent reconnection. Furthermore, by establishing a connection authentication database, it is possible to manage access rights and the like upon reconnection.

도 3은 무선 랜 환경에서 단말장치로부터 인증자(authenticator)를 거쳐 인증서버(authentication server)에 접속하는 과정에서의 인증 보안방법을 설명하는 흐름도이다. 설명의 편의를 위하여 인증자로는 액세스 포인트(access point)를 예로 들어 설명한다.3 is a flowchart illustrating an authentication security method in a process of accessing an authentication server through an authenticator from a terminal device in a wireless LAN environment. For convenience of explanation, the authenticator is described using an access point as an example.

단말장치 간의 상호인증 보안방법과는 다소 차이가 나며, 이를 설명하면 다음과 같다.It is somewhat different from the mutual authentication security method between terminal devices.

먼저, 접속 초기설정값(X, Y)은 각각 단말장치와 액세스 포인트에서 생성되며 인증서버는 관련이 없다. 이는 접속 초기설정값이 각 단말장치에서 생성되는 상호인증 보안방법과는 차이가 있다.First, connection initial setting values (X, Y) are generated at the terminal and the access point, respectively, and the authentication server is not related. This is different from the mutual authentication security method in which the initial access value is generated in each terminal device.

또한, 단말장치와 인증서버는 각각 하드웨어 식별값을 가지며, 사용자 확인 키를 갖는다.In addition, the terminal device and the authentication server each have a hardware identification value and a user confirmation key.

또한, 접속허가 인증키 값은 접속 초기설정값으로 디캡슐레이션되어 있어 다른 인증자를 통해도 동일하며, 이는 단말장치 간의 상호인증 보안방법에서 접속 시마다 접속허가 인증키 값이 다른 것과 차이가 있다.In addition, since the access authorization authentication key value is decapsulated to the initial access setting value, it is the same through other authenticators, which is different from the access authorization authentication key value for each access in the mutual authentication security method between terminal devices.

또한, 접속허가는 단말장치와 인증서버가 각각 결정한다.In addition, the access permission is determined by the terminal device and the authentication server, respectively.

도 3을 참조하면, 단말장치는 액세스 포인트로 접속을 요청하고(1), 액세스 포인트는 인증서버에 단말장치로부터의 접속요청을 통보한다(2).Referring to FIG. 3, the terminal apparatus requests a connection to the access point (1), and the access point notifies the authentication server of the connection request from the terminal apparatus (2).

인증서버는 인증서버 전송 암호화키 값을 액세스 포인트로 전송하고(3), 액세스 포인트는 단말장치로부터의 접속요청으로 생성된 접속 초기설정값 Y를 인증서버로부터 전송받은 인증서버 전송 암호화키 값으로 암호화하여 단말장치에 전송한다(4).The authentication server transmits the authentication server transmission encryption key value to the access point (3), and the access point encrypts the connection initial value Y generated by the connection request from the terminal device with the authentication server transmission encryption key value received from the authentication server. 4 to the terminal device.

단말장치는 접속 초기설정값 X를 생성하고 전송된 암호화키를 다시 단말장치 전송 암호화키 값으로 암호화하여 액세스 포인트로 전송하여 접속서비스 정보를 요청하고(5), 액세스 포인트는 단말장치로부터 전송된 암호화키에 근거하여 단말장치 전송 암호화키 값과 접속 초기설정값 X를 해독한다.The terminal device generates a connection initial value X, encrypts the transmitted encryption key again with the terminal device transmission encryption key value, and transmits it to the access point to request access service information (5), and the access point encrypts the transmission transmitted from the terminal device. Decrypt the terminal device transmission encryption key value and the connection initial setting value X based on the key.

액세스 포인트는 단말장치로부터의 접속서비스 정보요청을 인증서버에 통보하고(6), 인증서버는 액세스 포인트로 접속서비스 정보를 전송하거나 접속을 차단한다(7). 액세스 포인트는 인증서버로부터 접속서비스 정보를 전송받아 해독된 단말장치 전송 암호화키 값과 인증서버 전송 암호화키 값을 조합하여 최종 전송 암호화키 값을 생성하고 단말장치로 전송한다(8).The access point notifies the authentication server of the request for connection service information from the terminal device (6), and the authentication server transmits the connection service information to the access point or blocks the connection (7). The access point receives the access service information from the authentication server, generates a final transmission encryption key value by combining the decrypted terminal device transmission encryption key value and the authentication server transmission encryption key value and transmits it to the terminal device (8).

이와 같은 과정을 통하여 최종 전송 암호화키 값이 설정되고, 하드웨어 확인이 완료되며 접속의 의지가 확인된다.Through this process, the final transmission encryption key value is set, the hardware verification is completed, and the will of the connection is confirmed.

이어 단말장치는 액세스 포인트로 단말장치 사용자 식별값의 공유키 값을 최종 전송 암호화키 값으로 암호화하여 전송하여 접속서비스 실행을 요청한다(9). 이 과정에서 단말장치의 사용자 확인이 필요하며 접속을 취소할 수 있다.Subsequently, the terminal device encrypts and transmits the shared key value of the terminal device user identification value to the final transmission encryption key value to the access point and requests access service execution (9). In this process, user confirmation of the terminal device is required and the connection can be canceled.

액세스 포인트는 접속서비스 실행과 인증을 인증서버에 요청하고(10), 인증서버는 서비스키 값(단말간 상호인증에 있어서 BUS에 해당)을 전송하여 접속인증을 확인하거나 접속을 차단한다(11).The access point requests the authentication server to execute and authenticate the access service (10), and the authentication server transmits the service key value (corresponding to the bus in mutual authentication between terminals) to confirm access authentication or to block access (11). .

액세스 포인트는 단말장치 사용자 식별값의 공유키 값과 인증서버의 서비스키 값 및 최종 전송 암호화키 값을 조합한 접속허가 인증키 값을 단말장치 A로 전송하여 인증을 완료한다(12).The access point completes the authentication by transmitting an access permission authentication key value combining the shared key value of the terminal device user identification value, the service key value of the authentication server, and the final transmission encryption key value to the terminal device A (12).

이후에는 단말장치와 인증서버 간에 액세스 포인트를 경유하여 서비스 통신이 수행되며, 접속허가 인증키 값은 이들 사이의 암호화 데이터 및 인증 데이터로서의 의미를 갖는다.Thereafter, service communication is performed between the terminal device and the authentication server via an access point, and the access permission authentication key value has meaning as encryption data and authentication data therebetween.

이와 같이 인증자는 인증서버와 단말장치 간의 접속 인증과정을 중간에서 매개하는 역할을 수행하며, 접속 초기설정값을 생성하고, 전송 암호화키를 해독하며, 최종 전송 암호화키 값과 접속허가 인증키 값을 생성한다. 인증자는 향후 네트워크 에지(edge)로 액세스 포인트 기능을 수행하는 게이트웨이가 될 수도 있다.As such, the authenticator mediates the authentication process between the authentication server and the terminal device in the middle, generates the initial connection setting value, decrypts the transmission encryption key, and provides the final transmission encryption key value and the access authorization authentication key value. Create The authenticator may be a gateway that will function as an access point to the network edge in the future.

도 4는 본 발명의 상호인증 보안방법을 적용하여 일 대 다수의 접속을 보여주는 구성도이다.4 is a block diagram showing a one-to-many connection by applying the mutual authentication security method of the present invention.

도 1에서 설명한 방법에 따른 인증 과정을 거쳐 각각의 단말장치들(100) 사이에 연결이 된 후, 그룹 통제자(110)를 설정하여 접속 이후 접속의 통제 권한을 부여할 수 있다.After the connection between the respective terminal devices 100 through the authentication process according to the method described in FIG. 1, the group controller 110 may be set to grant control authority of the access after the connection.

일 대 다수의 접속을 하고자 할 경우, 먼저 본 발명의 상호인증 보안방법에 따른 접속 과정을 거친 후 어느 한 사용자가 인증 서버의 역할을 요청하면 상대방에서 요청을 수락할 때 인증 서버와 동일한 접속자 그룹의 통제 권한을 갖는다.In case of one-to-many access, if one user requests the role of authentication server after the access process according to the mutual authentication security method of the present invention, when the other party accepts the request, the same access group as the authentication server Have control

이와 같은 방식으로 접속 그룹의 통제자는 또 다른 단말 또는 다른 그룹의 접속 그룹 통제자와 동일한 과정으로 접속 그룹 통제 권한을 위임함으로써 임시적인 그룹 접속을 가능하게 한다.In this way, the controller of the access group enables temporary group access by delegating access group control authority in the same process as another terminal or access group controller of another group.

또한, 상호 인증 시스템에서는 타 접속 서비스를 접속 허가 또는 접속 거부 등으로 구분하여 관리할 수 있도록 하며, 특별한 경우 해당 접속 이외의 접속을 모두 차단 가능하도록 설정할 수 있다.In addition, in the mutual authentication system, it is possible to manage other access services by classifying them as access permission or access rejection, and in particular, it may be set to block all accesses other than the corresponding connection.

다중접속으로 인하여 선택된 단말장치와의 연결을 설정할 때에는 해당 단말장치와는 장치에서 발생한 접속 초기설정값과 그룹 통제자로부터 전달된 순수 접속허가 인증키 값(PABAK)을 사용하여 통신접속이 이루어진다. 단, 접속그룹 통제자(110)는 다른 접속그룹과의 통신에서 동일한 접속과정을 통하여 얻어진 순수 접속허가 인증키 값(PABAK)을 해당 접속그룹 사용자에게 전달하고 이에 따른 접속 초기설정값을 발생시키도록 한다. 즉, 접속그룹 통제자의 접속키는 모두에게 동일하며 통제하에 있는 사용자는 각각의 접속키를 발생하고 그에 따라 각 사용자를 구별한다.When establishing a connection with the selected terminal device due to the multiple access, the communication connection is established with the terminal device using the connection initial setting value generated in the device and the pure access authorization key value (PABAK) transmitted from the group controller. However, the access group controller 110 transmits the pure access authorization authentication key value PABAK obtained through the same access process in communication with other access groups to the corresponding access group user and generates a connection initial setting value accordingly. . That is, the access key of the access group controller is the same for everyone, and the users under the control generate each access key and distinguish each user accordingly.

이러한 방법을 통하여 그룹간 통신이 가능하며, 신뢰성의 판단은 그룹통제자에 달려 있다. 그러나 그룹 통제자와 각 단말장치들 간의 확인은 초기접속에 의하여 신뢰되었으며, 이후 접속통제권한 위임으로 이후의 신뢰성 있는 접속여부는 그룹 통제자에게 달려 있다.Through this method, communication between groups is possible, and the reliability is determined by the group controller. However, the confirmation between the group controller and each terminal device is trusted by the initial access, and since the delegation of the access control authority, the subsequent reliable access depends on the group controller.

도 5는 본 발명에 따른 상호인증 보안방법을 적용시키기 위해 기존의 시스템을 업데이트 하기 위한 방법을 설명하는 챠트이다.5 is a chart illustrating a method for updating an existing system to apply a mutual authentication security method according to the present invention.

기존의 무선 랜 구축환경에서의 본 발명에 따른 새로운 암호화 방법과 인증시스템을 적용할 경우에 액세스 포인트와 모든 사용자 단말장치에 새로운 인증 시스템 및 보안 프로그램의 적용이 필요한다.When applying a new encryption method and authentication system according to the present invention in an existing WLAN construction environment, it is necessary to apply a new authentication system and security program to the access point and all user terminal devices.

도 5에 개시된 온라인 업데이트 방안은 기존의 서비스 상태에서 직접 업데이트를 하는 방안으로 기존의 서비스를 실행 중에 추가적인 업데이트를 실시간에 자동적으로 처리함으로써 효과적으로 업데이트할 수 있다.The online update scheme disclosed in FIG. 5 is a scheme for directly updating in an existing service state and can be efficiently updated by automatically processing additional updates in real time while executing an existing service.

먼저, 인증서버 또는 관리서버는 액세스 포인트로 액세스 포인트 및 단말장치 업데이트 모듈을 전송한다(1). 액세스 포인트에서는 전송된 단말장치 업데이트 모듈을 기존의 통신방법에 의하여 전송한다(2).First, the authentication server or the management server transmits the access point and the terminal device update module to the access point (1). The access point transmits the transmitted terminal device update module by the existing communication method (2).

단말장치 업데이트 모듈을 전송받은 단말장치는 액세스 포인트와의 접속을 차단하고 새로운 모듈을 자동 실행한다(3).The terminal device receiving the terminal device update module blocks the connection with the access point and automatically executes the new module (3).

접속이 차단된 후, 액세스 포인트는 모듈을 업데이트하고 업데이트된 액세스 포인트 모듈을 실행하고, 이후의 단말장치와의 접속은 새로운 모듈을 적용하여 본 발명에 따른 상호인증 보안방법을 따른다.After the connection is blocked, the access point updates the module and executes the updated access point module. Subsequent connection with the terminal device follows the mutual authentication security method according to the present invention by applying a new module.

이때, 액세스 포인트에서 단말장치에 대한 모듈을 업데이트 할 수 있는 메모리가 부족할 경우에는 특정 서버를 통하여 업데이트 할 수 있도록 단말장치가 특정 서버에 접속되도록 한다.In this case, when the memory for updating the module for the terminal device is insufficient in the access point, the terminal device is connected to the specific server so that the terminal can be updated through the specific server.

또한, 새로운 모듈로 업데이트되지 않은 단말장치를 위하여 기존의 접속 모듈을 병행하여 유지하도록 한다. 즉, 접속 요청 정보의 포맷을 분석하여 본 발명에 따른 신규 보안 접속과 일반 접속으로 구포인트가 운영되도록 한다.In addition, the existing access module is maintained in parallel for the terminal device not updated with the new module. In other words, the format of the access request information is analyzed so that the old point is operated by the new secure access and the normal access according to the present invention.

이상에서는 본 발명의 바람직한 실시예를 중심으로 설명하였지만, 당업자의 수준에서 다양한 변경과 변형을 가할 수 있다.Although the above has been described with reference to the preferred embodiment of the present invention, various changes and modifications can be made at the level of those skilled in the art.

이와 같은 변경이나 변형은 본 발명의 정신을 벗어나지 않는 한, 본 발명의 권리범위에 속하는 것은 당연하다. 따라서, 본 발명의 범위는 상기한 실시예에 국한되지 않으며, 이하에 서술되는 특허청구범위에 의해 결정되어야 한다.It is natural that such changes or modifications fall within the scope of the present invention without departing from the spirit of the present invention. Therefore, the scope of the present invention should not be limited to the above-described embodiment, but should be determined by the claims described below.

이상에서 설명한 바와 같이, 본 발명에 따르면 임의의 접속자와 기밀성을 유지하면서 접속이 가능해지며, 이러한 형태의 접속방법은 기존의 WEP의 키 공유방식이나 동적 키 발생으로 보안성을 유지하는 방법 그리고 EAP 방식의 인증 방법에 비하여 훨씬 진보되어 있다.As described above, according to the present invention, access can be made while maintaining confidentiality with an arbitrary accessor, and this type of access method is a method of maintaining security by the existing WEP key sharing method or dynamic key generation and the EAP method. It is much more advanced than the authentication method.

또한, VPN(Virtual Private Network) 등과 같이 사용할 공유키를 미리 분배하여 접속 암호화로 사용하는 경우와 OTP(One Time Password) 등과 같이 접속인증을 받기 위하여 매번 새로운 키를 받아야 하는 경우인 기존의 보안 그리고 이통통신(Mobile)의 경우에도 통화접속 시 통화 도청방지 및 보호를 위하여 적용이 가능하다.In addition, the existing security and communication, such as the case of distributing a shared key to be used in advance, such as a VPN (Virtual Private Network), to use it for connection encryption, and to obtain a new key every time to authenticate the connection such as one time password (OTP). Even in the case of communication, the mobile phone can be applied for the prevention and protection of eavesdropping.

Claims (10)

접속을 요청하는 제 1 단말장치와 접속을 요청받는 제 2 단말장치 간의 개인 상호인증 보안방법에 있어서,A personal mutual authentication security method between a first terminal device requesting access and a second terminal device requesting access, 상기 제 1 단말장치에서 상기 제 2 단말장치로의 접속요청 시에 생성되는 접속 초기설정값을 상기 제 2 단말장치에서 제 1 단말장치 간에 전송하면서 각 단말장치의 전송 암호화키 값으로 이중으로 순차적으로 암호화하여 상기 제 2 단말장치에서 최종적으로 전송 암호화키 값을 생성하는 것을 특징으로 하는 유비쿼터스 개인 상호인증을 위한 전송 암호화키 값 생성방법.A connection initial setting value generated when the first terminal device requests a connection from the first terminal device to the second terminal device is sequentially and sequentially transmitted as a transmission encryption key value of each terminal device while the second terminal device is transmitted between the first terminal device. And encrypting and finally generating a transmission encryption key value in the second terminal device. 제 1 항에 있어서, 상기 암호화는 스트림 암호화 방식으로 이루어지는 것을 특징으로 하는 유비쿼터스 개인 상호인증을 위한 전송 암호화키 값 생성방법.The method of claim 1, wherein the encryption is performed by a stream encryption method. 접속을 요청하는 제 1 단말장치와 접속을 요청받는 제 2 단말장치 간의 개인 상호인증 보안방법에 있어서,A personal mutual authentication security method between a first terminal device requesting access and a second terminal device requesting access, 상기 제 2 단말장치는 상기 제 1 단말장치의 접속요청에 의해 제 1 접속 초기설정값을 생성하고, 상기 제 1 접속 초기설정값을 제 2 단말장치 전송 암호화키 값으로 암호화하여 상기 제 1 단말장치로 전송하는 단계;The second terminal device generates a first connection initial value according to a connection request of the first terminal device, encrypts the first connection initial value with a second terminal device transmission encryption key value, and transmits the first terminal device. Transmitting to; 상기 제 1 단말장치는 상기 전송된 암호화 값을 제 1 단말장치 전송 암호화키 값으로 암호화하여 상기 제 2 단말장치로 재전송하는 단계;The first terminal device encrypting the transmitted encryption value with a first terminal device transmission encryption key value and retransmitting the second terminal device to the second terminal device; 상기 제 2 단말장치는 상기 재전송된 암호화 값에 근거하여 상기 제 1 단말장치 전송 암호화키 값을 해독하는 단계; 및Decrypting, by the second terminal device, the first terminal device transmission encryption key value based on the retransmitted encryption value; And 상기 해독된 제 1 단말장치 전송 암호화키 값과 상기 제 2 단말장치 전송 암호화키 값을 조합하여 최종 전송 암호화키 값을 생성하고 상기 제 1 단말장치로 전송함과 동시에 사용자 확인을 통하여 접속 서비스 정보를 전송하는 단계를 포함하는 것을 특징으로 하는 유비쿼터스 개인 상호인증 보안방법.The final first encryption key value is generated by combining the decrypted first terminal device transmission encryption key value and the second terminal device transmission encryption key value, and transmitted to the first terminal device. Ubiquitous personal mutual authentication security method comprising the step of transmitting. 제 3 항에 있어서, 상기 제 1 및 제 2 단말장치 전송 암호화키 값은 상기 제 1 및 제 2 단말장치의 MAC 어드레스, CPU 스테핑 번호 또는 BIOS 정보 중 어느 하나를 포함하는 것을 특징으로 하는 유비쿼터스 개인 상호인증 보안방법.4. The ubiquitous personal name of claim 3, wherein the first and second terminal device transmission encryption key values include any one of MAC addresses, CPU stepping numbers, and BIOS information of the first and second terminal devices. Authentication security method. 제 3 항에 있어서, 상기 제 1 단말장치는 상기 접속 서비스 정보를 수신한 후, 상기 제 1 단말장치로부터 상기 제 2 단말장치로 제 1 단말장치 사용자 식별자 공유키 값을 전송하는 단계;The method of claim 3, wherein the first terminal device transmits the first terminal device user identifier shared key value from the first terminal device to the second terminal device after receiving the access service information; 상기 제 2 단말장치는 상기 전송된 제 1 단말장치 사용자 식별자 공유키 값과 제 2 단말장치 사용자 식별자 공유키 값, 상기 최종 전송 암호화키 값을 조합한접속허가 인증키 값을 상기 제 1 단말장치로 전송하는 단계; 및The second terminal device transmits an access permission authentication key value combining the transmitted first terminal device user identifier shared key value, the second terminal device user identifier shared key value, and the final transmission encryption key value to the first terminal device. Transmitting; And 상기 접속허가 인증키 값을 매개로 서비스 통신하는 단계를 더 포함하는 것을 특징으로 하는 유비쿼터스 개인 상호인증 보안방법.Ubiquitous personal mutual authentication security method further comprising the step of performing a service communication via the access permission authentication key value. 제 5 항에 있어서, 상기 접속허가 인증키 값은 이후 확인 가능한 접속에 따른 모든 히스토리 정보를 포함하는 것을 특징으로 하는 유비쿼터스 개인 상호인증 보안방법.The ubiquitous personal mutual authentication security method of claim 5, wherein the access permission authentication key value includes all history information according to an access which can be checked later. 제 5 항에 있어서, 상기 사용자 식별자는 암호, 생체인식, 또는 스마트 카드(Smart Card)를 포함하는 것을 특징으로 하는 유비쿼터스 개인 상호인증 보안방법.6. The method of claim 5, wherein the user identifier comprises a password, a biometric, or a smart card. 제 5 항에 있어서, 접속에 따른 중요정보는 상기 단말장치의 저장매체에 하드웨어 식별값과 사용자 식별값의 조합으로 형성된 암호화 폴더에 저장되는 것을 특징으로 하는 유비쿼터스 개인 상호인증 보안방법.The ubiquitous personal mutual authentication security method according to claim 5, wherein the important information according to the connection is stored in an encryption folder formed by a combination of a hardware identification value and a user identification value in a storage medium of the terminal device. 액세스 포인트가 단말장치로부터 접속요청을 받고 인증서버에 상기 접속요청을 통보하는 단계;An access point receiving an access request from a terminal device and notifying the access request to an authentication server; 상기 인증서버가 인증서버 전송 암호화키 값을 상기 액세스 포인트로 전송하고, 상기 액세스 포인트는 상기 단말장치로부터의 접속요청으로 생성된 인증서버 접속 초기설정값을 상기 전송받은 인증서버 전송 암호화키 값으로 암호화하여 상기 단말장치에 전송하는 단계;The authentication server transmits the authentication server transmission encryption key value to the access point, and the access point encrypts the authentication server connection initial setting value generated by the connection request from the terminal device with the received authentication server transmission encryption key value. Transmitting to the terminal device; 상기 단말장치가 단말장치 접속 초기설정값을 생성하고 상기 전송된 암호화키를 다시 단말장치 전송 암호화키 값으로 암호화하여 상기 액세스 포인트로 전송하여 접속서비스 정보를 요청하는 단계;Generating, by the terminal device, an initial connection value of a terminal device, encrypting the transmitted encryption key with a terminal device transmission encryption key value, and transmitting the received encryption key value to the access point to request access service information; 상기 액세스 포인트가 상기 단말장치로부터 전송된 암호화키에 근거하여 단말장치 전송 암호화키 값과 단말장치 접속 초기설정값을 해독하는 단계;Decrypting, by the access point, a terminal device transmission encryption key value and a terminal device connection initial value based on the encryption key transmitted from the terminal device; 상기 액세스 포인트가 상기 단말장치로부터의 접속서비스 정보요청을 상기 인증서버에 통보하고, 상기 인증서버는 상기 액세스 포인트로 접속서비스 정보를 전송하거나 접속을 차단하는 단계;The access point notifying the authentication server of the request for access service information from the terminal device, and the authentication server transmitting access service information to the access point or blocking access; 상기 액세스 포인트가 상기 인증서버로부터 접속서비스 정보를 전송받아 상기 해독된 단말장치 전송 암호화키 값과 인증서버 전송 암호화키 값을 조합하여 최종 전송 암호화키 값을 생성하고 상기 단말장치로 전송하는 단계;Receiving, by the access point, access service information from the authentication server, generating a final transmission encryption key value by combining the decrypted terminal device transmission encryption key value and the authentication server transmission encryption key value and transmitting the result to the terminal device; 상기 단말장치가 상기 액세스 포인트로 단말장치 사용자 식별값의 공유키 값을 상기 최종 전송 암호화키 값으로 암호화하여 전송하고 사용자 확인을 통하여 접속서비스 실행을 요청하는 단계;Transmitting, by the terminal device, the shared key value of the terminal device user identification value to the access point by encrypting the terminal key as the final transmission encryption key value and requesting execution of an access service through user confirmation; 상기 액세스 포인트는 상기 접속서비스 실행과 인증을 상기 인증서버에 요청하고, 상기 인증서버는 인증서버 서비스키 값을 전송하여 접속인증을 확인하거나 접속을 차단하는 단계; 및The access point requests the authentication server to execute and authenticate the access service, and the authentication server transmits an authentication server service key value to confirm access authentication or block access; And 상기 액세스 포인트가 상기 단말장치 사용자 식별값의 공유키 값과 인증서버의 서비스키 값 및 최종 전송 암호화키 값을 조합한 접속허가 인증키 값을 상기 단말장치로 전송하여 인증을 완료하는 단계를 포함하는 것을 특징으로 하는 무선 랜 상의 개인 상호인증 보안방법.And the access point transmitting the access permission authentication key value combining the shared key value of the terminal device user identification value, the service key value of the authentication server, and the final transmission encryption key value to the terminal device to complete authentication. Personal mutual authentication security method on a wireless LAN, characterized in that. 제 9 항에 있어서, 상기 단말장치로부터의 접속요청 이전에 기존의 인증시스템을 업데이트하기 위하여 상기 인증서버가 상기 액세스 포인트로 액세스 포인트 및 단말장치 업데이트 모듈을 전송하는 단계;10. The method of claim 9, further comprising: transmitting, by the authentication server, the access point and the terminal device update module to the access point in order to update an existing authentication system before the access request from the terminal device; 상기 액세스 포인트가 상기 전송된 단말장치 업데이트 모듈을 기존의 통신방법에 의하여 상기 단말장치로 전송하는 단계;Transmitting, by the access point, the transmitted terminal device update module to the terminal device by an existing communication method; 상기 단말장치 업데이트 모듈을 전송받은 단말장치는 상기 액세스 포인트와의 접속을 차단하고 새로운 모듈을 자동 실행하는 단계; 및The terminal device receiving the terminal device update module blocks the connection with the access point and automatically executes a new module; And 접속이 차단된 후, 상기 액세스 포인트가 상기 업데이트된 액세스 포인트 모듈을 실행하고, 이후의 단말장치와의 접속을 새로운 모듈을 적용하여 수행하는 단계를 포함하는 것을 특징으로 하는 무선 랜 상의 개인 상호인증 보안방법.After the connection is blocked, the access point executes the updated access point module, and subsequently performs a connection with the terminal apparatus by applying a new module. Way.
KR1020030022222A 2003-04-09 2003-04-09 Method for generating encoded transmission key and Mutual authentication method using the same KR20040088137A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030022222A KR20040088137A (en) 2003-04-09 2003-04-09 Method for generating encoded transmission key and Mutual authentication method using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030022222A KR20040088137A (en) 2003-04-09 2003-04-09 Method for generating encoded transmission key and Mutual authentication method using the same

Publications (1)

Publication Number Publication Date
KR20040088137A true KR20040088137A (en) 2004-10-16

Family

ID=37370032

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030022222A KR20040088137A (en) 2003-04-09 2003-04-09 Method for generating encoded transmission key and Mutual authentication method using the same

Country Status (1)

Country Link
KR (1) KR20040088137A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100628566B1 (en) * 2005-04-25 2006-09-26 삼성전자주식회사 Method for security information configuration wlan
KR100865126B1 (en) * 2007-03-22 2008-10-23 군산대학교산학협력단 The session key distribution method for the secure communication between sensor nodes in the ubiquitous sensor network environments
KR100932905B1 (en) * 2007-10-22 2009-12-21 한국전자통신연구원 Sensing data relay apparatus and method, Sensing data management apparatus and method, Sensor network system thereof
KR101005879B1 (en) * 2007-07-20 2011-01-06 브로드콤 코포레이션 Method and system for creating secure network links utilizing a user's biometric identity on network elements
KR101107149B1 (en) * 2009-03-02 2012-01-31 인포트러스트(주) Image apparatus, security memory card and authentication method therof
US8621577B2 (en) 2005-08-19 2013-12-31 Samsung Electronics Co., Ltd. Method for performing multiple pre-shared key based authentication at once and system for executing the method
US20220182831A1 (en) * 2009-07-07 2022-06-09 Nomadix, Inc. Zone migration in network access

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100628566B1 (en) * 2005-04-25 2006-09-26 삼성전자주식회사 Method for security information configuration wlan
US8621577B2 (en) 2005-08-19 2013-12-31 Samsung Electronics Co., Ltd. Method for performing multiple pre-shared key based authentication at once and system for executing the method
KR100865126B1 (en) * 2007-03-22 2008-10-23 군산대학교산학협력단 The session key distribution method for the secure communication between sensor nodes in the ubiquitous sensor network environments
KR101005879B1 (en) * 2007-07-20 2011-01-06 브로드콤 코포레이션 Method and system for creating secure network links utilizing a user's biometric identity on network elements
KR100932905B1 (en) * 2007-10-22 2009-12-21 한국전자통신연구원 Sensing data relay apparatus and method, Sensing data management apparatus and method, Sensor network system thereof
KR101107149B1 (en) * 2009-03-02 2012-01-31 인포트러스트(주) Image apparatus, security memory card and authentication method therof
US20220182831A1 (en) * 2009-07-07 2022-06-09 Nomadix, Inc. Zone migration in network access

Similar Documents

Publication Publication Date Title
CN114553568B (en) Resource access control method based on zero-trust single-package authentication and authorization
US9847882B2 (en) Multiple factor authentication in an identity certificate service
AU2006211768B2 (en) Wireless network system and communication method for external device to temporarily access wireless network
US20030196084A1 (en) System and method for secure wireless communications using PKI
CN108683510A (en) A kind of user identity update method of encrypted transmission
CN108809633B (en) Identity authentication method, device and system
KR20070041152A (en) Apparatus and method for processing eap-aka authentication in the non-usim terminal
WO2022143030A1 (en) National key identification cryptographic algorithm-based private key distribution system
CN105282179A (en) Family Internet of things security control method based on CPK
US20150249639A1 (en) Method and devices for registering a client to a server
JP4245972B2 (en) Wireless communication method, wireless communication device, communication control program, communication control device, key management program, wireless LAN system, and recording medium
GB2404535A (en) Secure transmission of data via an intermediary which cannot access the data
CN111866881A (en) Wireless local area network authentication method and wireless local area network connection method
EP3367607B1 (en) Communication device, communication method and computer program
US20060053288A1 (en) Interface method and device for the on-line exchange of content data in a secure manner
CN108966214B (en) Authentication method of wireless network, and secure communication method and system of wireless network
JPH10242957A (en) User authentication method, system therefor and storage medium for user authentication
KR100537426B1 (en) Ubiquitous Personal Mutual authentication method
EP4224792B1 (en) System for dispersing access rights for routing devices in network
KR20040088137A (en) Method for generating encoded transmission key and Mutual authentication method using the same
KR101745482B1 (en) Communication method and apparatus in smart-home system
JPH11331181A (en) Network terminal authenticating device
KR101451163B1 (en) System and method for access authentication for wireless network
EP3439260B1 (en) Client device ticket
US20060173981A1 (en) Secure web browser based system administration for embedded platforms

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
NORF Unpaid initial registration fee