Nothing Special   »   [go: up one dir, main page]

KR101878713B1 - Method and System For Connecting User Equipment with Network - Google Patents

Method and System For Connecting User Equipment with Network Download PDF

Info

Publication number
KR101878713B1
KR101878713B1 KR1020170040180A KR20170040180A KR101878713B1 KR 101878713 B1 KR101878713 B1 KR 101878713B1 KR 1020170040180 A KR1020170040180 A KR 1020170040180A KR 20170040180 A KR20170040180 A KR 20170040180A KR 101878713 B1 KR101878713 B1 KR 101878713B1
Authority
KR
South Korea
Prior art keywords
user terminal
information
network
authentication
connection
Prior art date
Application number
KR1020170040180A
Other languages
Korean (ko)
Inventor
조민혁
심현철
Original Assignee
주식회사 와이스퀘어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 와이스퀘어 filed Critical 주식회사 와이스퀘어
Priority to KR1020170040180A priority Critical patent/KR101878713B1/en
Application granted granted Critical
Publication of KR101878713B1 publication Critical patent/KR101878713B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The present invention relates to a method and a system for improving security with respect to a network connection of a user terminal through an AP apparatus by inspecting validity for a user terminal through a plurality of steps, and thereby forming a communication channel with the AP apparatus for the user terminal whose validity is recognized.

Description

네트워크망에 사용자 단말기를 접속하기 위한 방법 및 시스템{Method and System For Connecting User Equipment with Network}TECHNICAL FIELD [0001] The present invention relates to a method and system for connecting a user terminal to a network,

본 실시예는 네트워크망에 사용자 단말기를 접속하기 위한 방법 및 시스템에 관한 것이다. 더욱, 상세하게는, 임의의 서비스 네트워크 환경에서 네트워크망으로의 사용자 단말기에 대한 향상된 보안 접속성을 제공하는 방법 및 시스템에 관한 것이다.This embodiment relates to a method and system for connecting a user terminal to a network. And more particularly, to a method and system for providing enhanced security connectivity to a user terminal in a network network in any service network environment.

이하에 기술되는 내용은 단순히 본 발명에 따른 일 실시예와 관련되는 배경 정보만을 제공할 뿐 종래기술을 구성하는 것이 아니다.The following description merely provides background information related to an embodiment of the present invention and does not constitute the prior art.

유선 네트워크 환경에서는 PKI(Public Key Infrastructure)를 통한 인증방식이 보안 표준으로써 널리 활용되고 있다. 이러한 PKI를 통한 인증방식은 상대적으로 간단한 프로토콜을 이용해 강력한 보안 인증을 제공하고 있지만, 무선 LAN(Local Area Network)와 같은 무선환경에서는 이러한 통합적인 보안 표준이 아직 명확히 정의되지 않고 있다. 따라서, 무선 환경에서는 AP(Access Point) 또는 서버에 대한 인터럽션(interruption), 인터셉션(interception), 위변조(modification or fabrication) 등에 대한 위험이 여전히 존재하며, 다양한 방식으로 이를 해결하고자 하는 노력이 진행되고 있다.In wired network environment, PKI (Public Key Infrastructure) authentication method is widely used as a security standard. Such a PKI-based authentication method provides a strong security authentication using a relatively simple protocol. However, in a wireless environment such as a wireless LAN (Local Area Network), such an integrated security standard has not yet been clearly defined. Accordingly, in a wireless environment, there is still a risk of interruption, interception, or modification or fabrication to an access point (AP) or a server, .

한편, 종래의 무선환경에서 AP 장치는 해당 AP 장치의 SSID(Service Set ID) 및 WEP(Wired Equivalent Privacy) 등의 정보를 알고 있는 사용자들 대부분이 해당 AP 장치에 접속이 가능하도록 했다. 그러나, 암호화되어 있지 않고 누구나 AP 장치로 손쉽게 접근하여 접속하게 되는 경우, 자원을 나누어 쓰는 무선랜의 특성상 사용자 증가는 성능 저하로 이어지고, 보안에 취약해지게 된다.On the other hand, in the conventional wireless environment, the AP apparatus allows most of the users who know the SSID (Service Set ID) and the WEP (Wired Equivalent Privacy) of the corresponding AP apparatus to access the AP apparatus. However, in the case where an access is made to an AP device without anyone being encrypted, the increase in the number of users due to the characteristics of the wireless LAN for sharing the resource leads to deterioration in performance and security.

이러한 문제점을 방지하기 위하여 AP 장치에 암호화 키를 설정하는 경우에도, 해당 AP 장치의 암호화 키를 알게되는 사용자는 꾸준히 해당 AP 장치에 접속하여 네트워크 자원을 이용할 수 있어, 실효성이 없게 된다. 더욱이, 네트워크 자원을 이용하는 사용자의 단말기 자체가 해킹 등을 당하는 경우 보안체계의 핵심 도구인 암호화 키가 노출되거나 도용 당하는 우려가 존재한다.Even if the encryption key is set in the AP device to prevent such a problem, the user who knows the encryption key of the AP device can constantly access the AP device to utilize the network resources, which is ineffective. Furthermore, there is a concern that the encryption key, which is a key tool of the security system, is exposed or stolen when a terminal of a user using network resources is hacked or the like.

따라서, 이러한 문제점들을 극복하면서도 간편하고 강력한 보안성을 가질 수 있는 무선 네트워크 환경에서의 네트워크망 접속 제어 방법 및 시스템이 요구된다.Accordingly, there is a need for a method and system for controlling access to a network in a wireless network environment that can easily and robustly overcome these problems.

본 실시예는, 복수의 단계를 거쳐 사용자 단말기에 대한 유효성 검사를 수행하고, 이를 통해, 그 유효성이 인정된 사용자 단말기에 한하여 AP 장치와의 통신 채널이 형성되도록 함으로써 AP 장치를 통한 사용자 단말기의 네트워크망 접속 과정에서 그 보안성이 향상될 수 있도록 하는 방법 및 시스템을 제공하는 데 그 목적이 있다.In the present embodiment, the validity of the user terminal is checked through a plurality of steps, and a communication channel with the AP apparatus is formed only for the user terminal whose validity is recognized, And to provide a method and system for improving security in a network connection process.

또한, 본 실시예는 AP 장치와 통신 채널이 형성된 사용자 단말기에 대하여 네트워크망으로의 접속 허용 여부를 추가로 판단하고, 판단결과에 따라 AP 장치를 통한 사용자 단말기의 네트워크망 접속 유지 여부를 처리함으로써 사용자 단말기가 해킹을 당한 경우에도 그 보안성이 보장될 수 있도록 하는 데 그 목적이 있다.In addition, the present embodiment further determines whether or not connection to the network is allowed for a user terminal having a communication channel with the AP apparatus, and determines whether the user terminal is connected to the network via the AP apparatus according to the determination result, So that the security can be ensured even when the terminal is hacked.

본 발명의 다른 목적들은 하기의 실시예를 통해 당업자에 의해 도출될 수 있을 것이다.Other objects of the invention will be apparent to those skilled in the art from the following examples.

본 실시예는, 통신 장치, 암호화 장치, 인증 장치, 제어 장치 및 AP 장치를 포함한 네트워크 접속 시스템에서 사용자 단말기의 네트워크망 접속 제어방법에 있어서, 상기 통신 장치가 상기 사용자 단말기로부터 상기 네트워크망의 접속과 관련한 유효성 정보를 수신하고, 상기 유효성 정보를 상기 암호화 장치로 전송하는 과정; 상기 암호화 장치가 상기 인증 장치와 상기 유효성 정보를 토대로 상기 사용자 단말기에 대한 인증절차를 수행하는 과정; 상기 제어 장치가 상기 사용자 단말기에 대한 인증이 완료된 경우 상기 AP 장치 내 상기 사용자 단말기에 대한 등록 절차를 수행하는 과정; 및 상기 AP 장치가 상기 사용자 단말기로 상기 AP 장치의 서비스 셋 식별자를 포함한 네트워크 접속정보를 분배하여 상기 사용자 단말기로 하여금 상기 AP 장치를 통하여 상기 네트워크망으로의 접속이 이루어질 수 있도록 하는 과정을 포함하는 것을 특징으로 하는 네트워크망 접속 제어방법을 제공한다.The present embodiment relates to a network network access control method of a user terminal in a network access system including a communication device, an encryption device, an authentication device, a control device, and an AP device, Receiving the related validity information and transmitting the validity information to the encryption apparatus; Performing the authentication procedure for the user terminal based on the authentication device and the validity information; Performing a registration procedure for the user terminal in the AP device when the control device has completed authentication with the user terminal; And distributing network access information including the service set identifier of the AP apparatus to the user equipment so that the user equipment can access the network unit through the AP apparatus The present invention provides a method of controlling access to a network.

또한, 본 실시예의 다른 측면에 의하면, 네트워크망에 대한 사용자 단말기의 접속을 제어하기 위한 네트워크 접속 시스템에 있어서, 상기 사용자 단말기와 상기 네트워크망 접속과 관련된 데이터를 송수신하는 통신 장치; 상기 데이터 중 일부 또는 전부에 대한 암호화를 수행하는 암호화 장치; 상기 네트워크망으로의 접속과 관련하여 상기 사용자 단말기를 인증 처리하는 인증 장치; 상기 사용자 단말기와 상기 네트워크망에 대응되는 서버장치 사이의 연결을 중계하며, 상기 네트워크망 접속과 관련하여 상기 사용자 단말기와의 사이에 통신 채널을 형성하기 위한 네트워크 접속정보를 분배하는 AP 장치; 및 상기 사용자 단말기의 인증 결과에 따라 상기 AP 장치의 동작을 제어하며, 상기 제어에 따라 상기 AP 장치를 통한 상기 사용자 단말기의 상기 네트워크망 접속이 이루어질 수 있도록 하는 제어 장치를 포함하는 것을 특징으로 하는 네트워크 접속 시스템을 제공한다.According to another aspect of the present invention, there is provided a network connection system for controlling connection of a user terminal to a network, the system comprising: a communication device for transmitting and receiving data related to connection with the user terminal; An encryption device for performing encryption for part or all of the data; An authentication device for authenticating the user terminal in connection with connection to the network; An AP apparatus for relaying a connection between the user terminal and a server apparatus corresponding to the network, and distributing network connection information for establishing a communication channel with the user terminal in connection with the network connection; And a controller for controlling the operation of the AP according to an authentication result of the user terminal and allowing the user terminal to access the network through the AP apparatus according to the control. Connection system.

본 실시예는 복수의 단계를 거쳐 사용자 단말기에 대한 유효성 검사를 수행하고, 이를 통해, 그 유효성이 인정된 사용자 단말기에 한하여 AP 장치와의 통신 채널이 형성되도록 함으로써 AP 장치를 통한 사용자 단말기의 네트워크망 접속 과정에서 그 보안성이 향상될 수 있도록 하는 효과가 있다.The present embodiment performs a validity check on the user terminal through a plurality of steps and thereby establishes a communication channel with the AP apparatus only for the user terminal whose validity is recognized, And the security can be improved in the connection process.

또한, 본 실시예는 AP 장치와 통신 채널이 형성된 사용자 단말기에 대하여 네트워크망으로의 접속 허용 여부를 추가로 판단하고, 판단결과에 따라 AP 장치를 통한 사용자 단말기의 네트워크망 접속 유지 여부를 처리함으로써 사용자 단말기가 해킹을 당한 경우에도 그 보안성이 보장될 수 있도록 하는 효과가 있다.In addition, the present embodiment further determines whether or not connection to the network is allowed for a user terminal having a communication channel with the AP apparatus, and determines whether the user terminal is connected to the network via the AP apparatus according to the determination result, Even when the terminal is hacked, the security can be ensured.

도 1은 본 실시예에 따른 네트워크 접속 시스템을 개략적으로 나타낸 블록 구성도이다.
도 2는 본 실시예에 따른 네트워크망 접속 제어방법을 도시한 흐름도이다.
도 3은 본 실시예에 따른 네트워크망 접속 제어에 대한 제1 과정을 설명하기 위한 순서도이다.
도 4는 본 실시예에 따른 네트워크망 접속 제어에 대한 제2 과정을 설명하기 위한 순서도이다.1 is a block diagram schematically showing a network connection system according to the present embodiment.
2 is a flowchart illustrating a network network access control method according to the present embodiment.
FIG. 3 is a flowchart illustrating a first process of the network access control according to the present embodiment.
FIG. 4 is a flowchart illustrating a second process of the network access control according to the present embodiment.

이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다.Hereinafter, some embodiments of the present invention will be described in detail with reference to exemplary drawings.

도 1은 본 실시예에 따른 네트워크 접속 시스템을 개략적으로 나타낸 블록 구성도이다.1 is a block diagram schematically showing a network connection system according to the present embodiment.

도 1에 도시하듯이, 본 실시예에 따른 네트워크 접속 시스템(100)은 사용자 단말기(110), 통신 장치(120), 암호화 장치(130), 인증 장치(140), 제어 장치(150), AP 장치(160) 및 서버장치(170)를 포함한다. 여기서, 네트워크 접속 시스템(100)에 포함된 구성요소는 반드시 이에 한정되는 것은 아니다.1, the network access system 100 according to the present embodiment includes a user terminal 110, a communication device 120, an encryption device 130, an authentication device 140, a control device 150, an AP A device 160 and a server device 170. Here, the components included in the network access system 100 are not limited thereto.

본 실시예에 따른 네트워크 접속 시스템(100)은 망 접속 장치인 AP 장치(160)를 통해 무선으로 임의의 네트워크망에 접속 가능한 무선 환경 내에 구현될 수 있다. 여기서 네트워크망은 개방형 네트워크(예컨대, 인터넷)일 수도 있고, 특정 서비스 제공과 관련하여 구축된 소정의 사설망 또는 인트라넷일 수도 있다. 즉, 본 실시예에 따른 사용자 단말기(110)는 AP 장치(160)가 제공하는 와이파이(WiFi) 망 등을 통해 상기의 네트워크망, 보다 자세하게는 해당 네트워크망을 제공하는 서버장치(170)로의 접속을 수행함으로써 관련된 서비스를 제공받을 수 있다. 한편, 본 실시예에서는 네트워크망을 통해 제공 가능한 서비스에 대하여 특정 서비스로 한정하지는 않는다.The network access system 100 according to the present embodiment can be implemented in a wireless environment capable of wirelessly connecting to an arbitrary network through an AP device 160 as a network access device. Here, the network may be an open network (e.g., the Internet), or some private network or intranet established in connection with providing a specific service. That is, the user terminal 110 according to the present embodiment connects to the network network, more specifically, to the server apparatus 170 that provides the corresponding network network through a WiFi network provided by the AP apparatus 160 The related service can be provided. In the present embodiment, services that can be provided through the network are not limited to specific services.

사용자 단말기(110)는 사용자의 키 조작에 따라 네트워크 등을 경유하여 각종 데이터를 송수신할 수 있는 단말기를 말하는 것이며, 태블릿 PC(Tablet PC), 랩톱(Laptop), 개인용 컴퓨터(PC: Personal Computer), 스마트폰(Smart Phone), 개인휴대용 정보단말기(PDA: Personal Digital Assistant) 및 이동통신 단말기(Mobile Communication Terminal) 등 중 어느 하나일 수 있다.The user terminal 110 is a terminal capable of transmitting and receiving various data via a network or the like in accordance with a key operation of a user. The user terminal 110 may be a tablet PC, a laptop, a personal computer (PC) A smart phone, a personal digital assistant (PDA), a mobile communication terminal, or the like.

본 실시예에 따른 사용자 단말기(110)는 AP 장치(160)를 통해 서버장치(170)에 접속하며, 이를 통해, 본 발명의 네트워크망과의 세션이 연결될 수 있다. 이러한, 사용자 단말기(110)는 네트워크망과의 사이에 연결된 세션을 통해 각종 데이터를 송수신함으로써 해당 네트워크망과 관련한 서비스를 제공받을 수 있다.The user terminal 110 according to the present embodiment is connected to the server device 170 through the AP device 160 and a session with the network network of the present invention can be connected thereto. The user terminal 110 can receive services related to the network by transmitting and receiving various data through a session connected to the network.

사용자 단말기(110)는 상기의 네트워크망으로의 접속에 앞서 복수의 인증 절차를 거치고, 그 결과에 따라 선택적으로 네트워크망으로의 접속에 대한 권한을 부여받을 수 있다. 한편, 앞서, 설명한 바와 같이, 본 실시예에 따른 사용자 단말기(110)는 AP 장치(160)를 통하여 상기의 네트워크망으로의 접속이 이루어진다. 이에, 사용자 단말기(110)는 AP 장치(160)로의 접속에 관한 권한을 부여받기 위한 제1 인증절차 및 네트워크망으로의 접속에 관한 권한을 부여받기 위한 제2 인증절차를 거쳐 최종적으로 상기의 네트워크망으로의 접속이 이루어질 수 있다.The user terminal 110 may undergo a plurality of authentication procedures prior to connection to the network, and may be granted the right to selectively connect to the network according to the result of the authentication procedure. Meanwhile, as described above, the user terminal 110 according to the present embodiment is connected to the network through the AP device 160. Accordingly, the user terminal 110 performs a first authentication procedure for granting authority to connect to the AP device 160 and a second authentication procedure for granting authority regarding connection to the network device, Connection to the network can be made.

사용자 단말기(110)는 먼저, 제1 인증절차의 수행을 위해 네트워크망의 접속과 관련한 유효성 정보를 통신 장치(120) 등을 거쳐 인증 장치(140)로 전송한다. 이때, 유효성 정보에는 사용자 단말기(110)의 식별정보 및 임의의 난스(Nonce) 정보가 포함될 수 있다.The user terminal 110 first transmits the validity information related to the connection of the network to the authentication device 140 via the communication device 120 or the like in order to perform the first authentication procedure. At this time, the validity information may include identification information of the user terminal 110 and optional nonce information.

이후, 사용자 단말기(110)는 사용자 단말기(110)에 대한 인증이 완료된 경우 AP 장치(160)로의 접속을 위한 네트워크 접속정보를 제공받으며, 제공받은 네트워크 접속정보를 기반으로 AP 장치(160)와의 사이에 통신 채널을 형성한다. 즉, 사용자 단말기(110)는 AP 장치(160)로부터 제공받은 네트워크 접속정보를 기반으로 AP 장치(160)의 서비스 셋 식별자 및 네트워크 보안키를 산출하고, 이를 통해, AP 장치(160)로의 네트워크 접속을 위한 요청신호를 생성한다.When authentication of the user terminal 110 is completed, the user terminal 110 is provided with network connection information for connection to the AP device 160. The user terminal 110 is connected to the AP device 160 based on the provided network connection information, Thereby forming a communication channel. That is, the user terminal 110 calculates the service set identifier and the network security key of the AP device 160 based on the network connection information provided from the AP device 160, Lt; / RTI >

사용자 단말기(110)는 제1 인증절차에 따라 AP 장치(160)와의 사이에 통신 채널이 형성된 경우 제2 인증절차의 수행을 위한 인증정보를 AP 장치 등을 거쳐 인증 장치(140)로 전송한다. 이때, 인증정보에는 사용자 단말기(110)의 식별정보 및 암호화 키가 포함될 수 있으며, 암호화 키는 제1 인증 절차에서 산출된 네트워크 보안키를 기반으로 산출될 수 있다.The user terminal 110 transmits authentication information for performing the second authentication procedure to the authentication apparatus 140 via the AP apparatus when a communication channel is established with the AP apparatus 160 according to the first authentication procedure. At this time, the authentication information may include the identification information and the encryption key of the user terminal 110, and the encryption key may be calculated based on the network security key calculated in the first authentication procedure.

한편, 제2 인증절차에서 사용자 단말기(110)에 대한 인증이 완료된 경우 AP 장치(160)를 매개로 한 사용자 단말기(110)와 네트워크망 사이의 세션 연결이 유지되며, 사용자 단말기(110)는 해당 세션을 통해 네트워크망에 계속하여 접속하게 된다.Meanwhile, when authentication of the user terminal 110 is completed in the second authentication procedure, session connection between the user terminal 110 and the network via the AP device 160 is maintained, And continuously accesses the network through the session.

한편, 사용자 단말기(110)의 네트워크망 접속 허용을 위해 수행되는 제1 내지 제2 인증절차의 전반적인 과정은 도 2에서 보다 자세하게 후술하도록 한다.The overall procedure of the first and second authentication procedures performed for allowing the user terminal 110 to access the network will be described later in more detail with reference to FIG.

통신 장치(120)는 네트워크 접속 시스템(100) 내 포함된 각종 장치들과 통신을 수행하고, 이를 통해, 사용자 단말기(110)의 네트워크망 접속에 있어서 필요한 정보들은 송수신하는 장치를 의미한다. 이러한, 통신 장치(120)는 블루투스, NFC, 자기장 통신, 적외선 통신 및 가시광 통신 등을 지원하는 통신 모듈일 수 있으며 지원하고자 하는 통신 방식에 따라 복수 개가 구비될 수 있다.The communication device 120 refers to a device that communicates with various devices included in the network connection system 100 and transmits and receives information necessary for accessing the network of the user terminal 110 through the communication device 120. [ The communication device 120 may be a communication module supporting Bluetooth, NFC, magnetic field communication, infrared communication, and visible light communication, and a plurality of communication modules may be provided according to a communication method to be supported.

암호화 장치(130)는 사용자 단말기(110)의 네트워크 접속과 관련하여 송수신되는 데이터들에 대한 암호화를 수행하는 장치를 의미한다.The encryption device 130 refers to a device that performs encryption of data transmitted and received in connection with a network connection of the user terminal 110. [

본 실시예에 따른 암호화 장치(130)는 제1 인증절차를 위해 사용자 단말기(110)로부터 전송된 유효성 정보에 대하여 암호화를 수행한다.The encryption apparatus 130 according to the present embodiment performs encryption on the validity information transmitted from the user terminal 110 for the first authentication procedure.

또한, 암호화 장치(130)는 제1 인증절차에 따른 인증결과에 따라 AP 장치(160)로의 접속이 허용된 사용자 단말기(110)에 대하여 분배되는 네트워크 접속정보에 대한 암호화를 수행한다. 본 실시예에 있어서, 암호화 장치(130)는 상기의 네트워크 접속정보 중 그 중요도에 따라 암호화 대상으로 선별된 특정 정보들에 대하여 선택적으로 암호화를 수행하나 반드시 이에 한정되는 것은 아니다.In addition, the encryption apparatus 130 encrypts the network connection information distributed to the user terminal 110, which is allowed to access the AP apparatus 160, according to the authentication result according to the first authentication procedure. In the present embodiment, the encryption apparatus 130 selectively encrypts the specific information selected as the encryption target according to the importance of the network access information, but is not limited thereto.

인증 장치(140)는 네트워크망으로의 접속과 관련하여 사용자 단말기(110)를 인증 처리하는 장치를 의미한다. 이러한, 인증 장치(140)는 인증과 관련한 알고리즘이 저장된 연산 저장장치 및 인증을 위한 보안 패턴이 저장된 보안 패턴 저장장치로 이루어질 수 있다.The authentication device 140 refers to a device that authenticates the user terminal 110 in connection with connection to a network. The authentication device 140 may include an operation storage device storing an algorithm related to authentication, and a security pattern storage device storing a security pattern for authentication.

본 실시예에 따른 인증 장치(140)는 제1 인증절차 시 사용자 단말기(110)에 대한 인증을 수행하여 사용자 단말기(110)가 AP 장치(160)로의 접속이 허용된 단말기인지 여부를 판별하고, 판별결과에 따라 AP 장치(160)로의 사용자 단말기(110)의 접속을 승인한다.The authentication apparatus 140 according to the present embodiment authenticates the user terminal 110 in the first authentication procedure to determine whether the user terminal 110 is a terminal allowed to access the AP apparatus 160, And approves the connection of the user terminal 110 to the AP device 160 according to the determination result.

인증 장치(140)는 사용자 단말기(110)로부터 전송된 유효성 정보, 보다 정확하게는 유효성 정보에 포함된 난수 정보를 기반으로 사용자 단말기(110)에 대한 AP 장치(160)로의 접속 허용 여부를 판별할 수 있다.The authentication device 140 can determine whether or not the access to the AP device 160 for the user terminal 110 is allowed based on the validity information transmitted from the user terminal 110, more precisely the random number information included in the validity information have.

또한, 인증 장치(140)는 제2 인증절차 시 사용자 단말기(110)에 대한 인증을 수행하여 현재 AP 장치(160)에 접속된 사용자 단말기(110)에 대하여 네트워크망으로의 접속 허용 여부를 판별하고, 판별결과에 따라 AP 장치(160)를 통한 사용자 단말기(110)의 네트워크망으로의 접속을 승인할 수 있다.In addition, the authentication apparatus 140 authenticates the user terminal 110 in the second authentication procedure to determine whether the user terminal 110 connected to the current AP apparatus 160 is allowed to access the network network , And can approve the connection of the user terminal 110 to the network via the AP device 160 according to the determination result.

인증 장치(140)는 사용자 단말기(110)로부터 전송된 인증 정보를 기반으로 사용자 단말기(110)에 대한 네트워크망 접속 허용 여부를 판별할 수 있다.The authentication device 140 may determine whether to allow the user terminal 110 to access the network based on the authentication information transmitted from the user terminal 110. [

한편, 인증 장치(140)가 사용자 단말기(110)에 대한 인증을 수행하는 구체적인 방법에 대해서는 도 2에서 보다 자세하게 후술하도록 한다.A specific method by which the authentication device 140 performs authentication with respect to the user terminal 110 will be described later in more detail with reference to FIG.

제어 장치(150)는 AP 장치(160)의 동작을 제어하는 기능을 수행한다. 본 실시예에 따른 제어 장치(150)는 사용자 단말기(110)의 인증 결과에 따라 AP 장치(160)의 동작을 제어하며, 이를 통해, AP 장치(160)를 통한 사용자 단말기의 네트워크망 접속이 이루어질 수 있도록 하는 기능을 수행한다.The control device 150 performs a function of controlling the operation of the AP device 160. The control device 150 according to the present embodiment controls the operation of the AP device 160 in accordance with the authentication result of the user terminal 110 so that the network connection of the user terminal through the AP device 160 is performed .

제어 장치(150)는 제1 인증절차에 따라 사용자 단말기(110)에 대한 인증이 완료된 경우 AP 장치(160)를 제어하여, AP 장치(160) 내 사용자 단말기에 대한 등록 절차가 이루어질 수 있도록 한다. 이러한, 제어 장치(150)에 의한 AP 장치(160) 내 사용자 단말기 등록 절차에 따라 AP 장치(160)는 사용자 단말기(110)로 AP 장치(160)로의 접속을 위한 네트워크 접속정보를 분배한다.The control device 150 controls the AP device 160 when the authentication of the user terminal 110 is completed according to the first authentication procedure so that the registration procedure for the user terminal in the AP device 160 can be performed. The AP device 160 distributes the network connection information for connection to the AP device 160 to the user terminal 110 according to the user terminal registration procedure in the AP device 160 by the control device 150.

제어 장치(150)는 제2 인증절차에 따라 사용자 단말기(110)에 대한 인증이 완료된 경우 AP 장치(160)를 제어하여, AP 장치(160)를 매개로 한 사용자 단말기(110)와 네트워크망 사이의 세션 연결이 유지될 수 있도록 하며, 이를 통해, 사용자 단말기(110)가 해당 세션을 통해 네트워크망에 접속 가능토록 한다.The control device 150 controls the AP device 160 when the authentication of the user terminal 110 is completed according to the second authentication procedure and notifies the AP device 160 of the connection between the user terminal 110 and the network network So that the user terminal 110 can access the network through the corresponding session.

AP 장치(160)는 기본적으로 무선 네트워크 신호를 발생하며, 발생한 무선 네트워크 신호를 중계하는 장치를 의미한다. 이러한, AP 장치(160)에는 복수 개의 사용자 단말기(110)가 동시에 연결될 수 있다.The AP device 160 basically generates a wireless network signal and relays the generated wireless network signal. A plurality of user terminals 110 may be connected to the AP device 160 at the same time.

본 실시예에 따른 AP 장치(160)는 사용자 단말기(110)와 본 발명의 네트워크망에 대응되는 서버장치(170) 사이의 연결을 중계하는 역할을 수행한다. 즉, AP 장치(160)에 연결된 사용자 단말기(110)는 AP 장치(160)가 제공하는 와이파이(WiFi) 망 등을 통해 본 발명에 따른 네트워크망을 제공하는 서버장치(170)로의 접속을 수행할 수 있다.The AP device 160 according to the present embodiment relays the connection between the user terminal 110 and the server device 170 corresponding to the network network of the present invention. That is, the user terminal 110 connected to the AP apparatus 160 connects to the server apparatus 170 providing the network according to the present invention through a WiFi network provided by the AP apparatus 160 .

AP 장치(120)는 제어 장치(150)의 제어에 따라 인증이 완료된 사용자 단말기(110)에 대한 등록 절차를 수행하고, 해당 사용자 단말기(110)로 AP 장치(160)로의 접속을 위한 네트워크 접속정보를 분배한다. 이때, 네트워크 접속정보로는 AP 장치(160)의 서비스 셋 식별정보, AP 장치(160)에 대응되는 네트워크 보안키 생성을 위한 키 정보를 포함하는 키 암호키 정보, 키 암호키 정보로부터 네트워크 보안키를 추출하는 과정에서 사용되는 마스터기 정보, 암호 동기화를 위한 시간정보 및 네트워크망에 대응되는 서버장치(170)의 IP 주소 중 일부 또는 전부에 대한 정보가 포함될 수 있다.The AP device 120 performs a registration procedure for the authenticated user terminal 110 under the control of the control device 150 and transmits the network connection information for connection to the AP device 160 to the user terminal 110 / RTI > At this time, the network access information includes information on the service set of the AP device 160, key cryptographic key information including key information for generating a network security key corresponding to the AP device 160, Information on some or all of the IP address of the server device 170 corresponding to the network, and the like.

마찬가지로, AP 장치(120)는 제어 장치(150)의 제어에 따라 인증이 완료된 사용자 단말기(110)에 대해서는 네트워크망과의 세션 연결이 유지될 수 있도록 한다. 이때, AP 장치(120)는 사용자 단말기(110)에 대한 인증이 이루어지지 않은 경우, 해당 사용자 단말기(110)와의 사이에 형성된 통신 채널을 해제할 수 있다. 다른 실시예에서, AP 장치는 사용자 단말기(110)와의 사이에 형성된 통신 채널은 유지하되, 사용자 단말기(110)와 네트워크망에 대응되는 서버장치 사이의 연결을 중계하는 기능을 중지할 수 있다.Similarly, the AP apparatus 120 enables the session connection with the network network to be maintained for the user terminal 110 that has been authenticated according to the control of the controller 150. At this time, if the authentication of the user terminal 110 is not performed, the AP device 120 can release the communication channel formed with the corresponding user terminal 110. In another embodiment, the AP device may suspend the function of relaying the connection between the user terminal 110 and the corresponding server device in the network, while maintaining the communication channel established with the user terminal 110.

서버장치(170)는 특정 서비스와 관련한 네트워크망을 구축하여 제공하며, 해당 네트워크망에 기반한 서비스 이용과 관련하여 전반적인 관리 기능을 수행하는 장치를 의미한다.The server device 170 refers to a device that establishes and provides a network related to a specific service and performs overall management functions related to use of the service based on the network.

본 실시예에 따른 서버장치(170)는 AP 장치(160)와 네트워크를 통해 연결되며, 이를 통해, AP 장치(160)에 접속한 사용자 단말기(110)로 하여금 서버장치(170)로부터 제공되는 네트워크망으로 접속 가능토록 동작한다.The server device 170 according to the present embodiment is connected to the AP device 160 via a network so that the user terminal 110 connected to the AP device 160 can access the network 170 provided from the server device 170 It operates so that it can connect to the network.

도 2는 본 실시예에 따른 네트워크망 접속 제어방법을 도시한 흐름도이다.2 is a flowchart illustrating a network network access control method according to the present embodiment.

도 2에 도시하듯이, 본 실시예에 따른 네트워크망 접속 제어방법은 A 내지 B의 과정으로 이루어진다.As shown in FIG. 2, the network access control method according to the present embodiment includes the steps of A to B.

과정 A는 사용자 단말기(110)에 대한 AP 장치(160)로의 접속을 허용하기 위한 과정으로 제1 인증절차에 해당한다.The process A corresponds to the first authentication process for allowing access to the AP device 160 to the user terminal 110.

이하, 과정 A에 대해 보다 구체적으로 설명하자면 다음과 같다.Hereinafter, the process A will be described in more detail as follows.

1) 사용자 단말기(110)는 통신 장치(120)와 통신을 수행하여, 사용자 단말기(110)의 식별정보 및 난스 정보를 포함한 유효성 정보를 전송한다. 단계 1에서 사용자 단말기(110)는 상기의 유효성 정보에 대하여 물리적 암호화 방식에 기반한 암호화를 수행할 수 있다. 예컨대, 사용자 단말기(110)는 상기의 유효성 정보를 바이트 단위로 분할하고, 분할된 각각의 바이트들의 순서를 치환시키는 방법을 통해 유효성 정보에 대한 암호화를 수행할 수 있다.1) The user terminal 110 communicates with the communication device 120 and transmits the validity information including the identification information and the nonce information of the user terminal 110. In step 1, the user terminal 110 may perform encryption based on the physical encryption scheme for the validity information. For example, the user terminal 110 may encrypt the validity information by dividing the validity information into bytes and replacing the order of the respective bytes.

2) 통신 장치(120)는 사용자 단말기(110)로부터 수신한 유효성 정보를 암호화 장치(130)로 전송한다.2) The communication device 120 transmits the validity information received from the user terminal 110 to the encryption device 130.

3) 암호화 장치(130)는 인증 장치(140)와 단계 2에서 수신한 유효성 정보를 토대로 사용자 단말기(110)에 대한 인증절차를 수행한다. 단계 3에서 암호화 장치(130)는 먼저 단계 2에서 수신한 유효성 정보를 암호화하여 인증 장치(140)로 전송한다. 이때, 암호화 장치(130)는 단계 2에서 수신한 유효성 정보에 대하여 논리적 암호화 방식에 기반한 암호화를 수행할 수 있다. 즉, 암호화 장치(130)는 임의의 난수를 생성하고, 생성한 난수를 기반으로 상기의 유효성 정보에 대한 암호화를 수행할 수 있다. 이를 위해, 암호화 장치(130)는 난수 생성을 위한 난수 발생기를 구성요소로서 포함하는 형태로 구현되는 것이 바람직하나 반드시 이에 한정되는 것은 아니다.3) The encryption apparatus 130 performs the authentication procedure for the user terminal 110 on the basis of the authentication apparatus 140 and the validity information received in step 2. In step 3, the encryption apparatus 130 first encrypts the validity information received in step 2 and transmits it to the authentication apparatus 140. At this time, the encryption apparatus 130 may perform encryption based on the logical encryption scheme with respect to the validity information received in step 2. That is, the encryption apparatus 130 may generate an arbitrary random number, and may perform encryption on the validity information based on the generated random number. For this purpose, it is preferable that the encryption apparatus 130 is implemented by including a random number generator for generating a random number as a component, but it is not limited thereto.

인증 장치(140)는 암호화 장치(130)로부터 암호화되어 전송된 유효성 정보를 기반으로 사용자 단말기(110)에 대한 AP 장치(160)로의 접속 허용 여부를 판별한다. 이때, 인증 장치(140)는 유효성 정보에 포함된 난수 정보에 기초하여 유효성 정보에 대한 보안 패턴을 분석하고, 분석된 보안 패턴과 인증 장치(140)에 기 저장된 보안 패턴을 비교하여 서로가 일치하는 경우 사용자 단말기(110)를 AP 장치(160)로의 접속이 허용된 단말기로서 판별할 수 있다.The authentication device 140 determines whether or not the user terminal 110 is allowed to access the AP device 160 based on the validity information transmitted from the encryption device 130. At this time, the authentication device 140 analyzes the security pattern of the validity information based on the random number information included in the validity information, compares the analyzed security pattern with the security pattern previously stored in the authentication device 140, The user terminal 110 can be determined as a terminal that is allowed to access the AP device 160.

한편, 난수 정보는 임의의 시간정보로서 이러한, 난수 정보는 보안 패턴에 대한 버전 정보를 확인하기 위한 기준 값으로서 사용될 수 있다. 본 실시예에 따른 인증 장치(140)는 사전에 난수 정보별로 보안 패턴 정보를 기 정의하고, 이를 사용자 단말기(110)와 서로 간 공유한다. 사용자 단말기(110)와 인증 장치(140) 사이의 정보 공유는 네트워크망 접속과 관련하여 사업자에 의해 배포된 애플리케이션 등을 통해 이루어질 수 있다.On the other hand, the random number information may be arbitrary time information, and the random number information may be used as a reference value for verifying the version information for the security pattern. The authentication apparatus 140 according to the present embodiment predefines security pattern information for each random number information and shares it with the user terminal 110. Information sharing between the user terminal 110 and the authentication device 140 may be performed through an application or the like distributed by a business entity in connection with network network connection.

이후, 인증 장치(140)는 인증결과를 암호화 장치(130)로 전송한다.Then, the authentication device 140 transmits the authentication result to the encryption device 130. [

4) 암호화 장치(130)는 단계 3에서 수신한 인증결과에 따라 사용자 단말기(110)에 대한 인증이 완료된 경우 유효성 정보를 제어 장치(150)로 전송한다.4) The encryption device 130 transmits the validity information to the control device 150 when the authentication of the user terminal 110 is completed according to the authentication result received in step 3. [

5) 제어 장치(150)는 AP 장치(160) 내 사용자 단말기(110)에 대한 등록 절차를 수행한다. 단계 5에서 제어 장치(150)는 단계 4에서 수신한 유효성 정보를 포함한 사용자 단말기 등록 요청신호를 AP 장치(160)로 전송한다.5) The control device 150 performs a registration procedure for the user terminal 110 in the AP device 160. In step 5, the controller 150 transmits a user terminal registration request signal including the validity information received in step 4 to the AP device 160.

6) AP 장치(160)는 AP 장치(160)로의 접속을 위한 네트워크 접속정보를 제어 장치(150)로 전송한다. 이때, 네트워크 접속정보로는 AP 장치(160)의 서비스 셋 식별정보, AP 장치(160)에 대응되는 네트워크 보안키 생성을 위한 키 정보를 포함하는 키 암호키 정보, 키 암호키 정보로부터 네트워크 보안키를 추출하는 과정에서 사용되는 마스터기 정보, 암호 동기화를 위한 시간정보 및 네트워크망에 대응되는 서버장치(170)의 IP 주소 중 일부 또는 전부에 대한 정보가 포함될 수 있다.6) The AP device 160 transmits network connection information for connection to the AP device 160 to the control device 150. At this time, the network access information includes information on the service set of the AP device 160, key cryptographic key information including key information for generating a network security key corresponding to the AP device 160, Information on some or all of the IP address of the server device 170 corresponding to the network, and the like.

7) 제어 장치(150)는 단계 6에서 수신한 네트워크 접속정보에 포함된 정보들을 중요도에 따라 제1 그룹 및 제2 그룹으로 분류하고, 제1 그룹으로 분류된 정보들에 대해서는 직접적으로 통신 장치(120)로 전송한다. 이때, 제어 장치(150)는 상기의 네트워크 접속정보 중 서비스 셋 식별자, 마스터키 정보 및 IP 주소를 제1 그룹으로서 분류하고, 키 암호키 정보 및 시간정보를 제2 그룹으로서 분류한다.7) The control device 150 classifies the information included in the network connection information received in step 6 into the first group and the second group according to importance, and directly divides the information classified into the first group into communication devices 120). At this time, the control device 150 classifies the service set identifier, the master key information and the IP address in the network connection information as the first group, and classifies the key cryptographic key information and the time information as the second group.

8) ~ 9) 제어 장치(150)는 제2 그룹으로 분류된 정보들에 대해서는 암호화 장치(130)를 경유하여 통신 장치(120)로 전송한다. 이러한, 본 실시예에 따른 네트워크 접속정보의 전송방식에 의하는 경우 어느 하나의 그룹에 대한 정보가 해킹당하는 경우에도 전반적인 네트워크 접속정보가 노출되지 않기 때문에 보안성이 강화될 수 있는 효과가 있다.8) to 9) The control device 150 transmits the information classified into the second group to the communication device 120 via the encryption device 130. According to the transmission method of the network access information according to the present embodiment, even when information on any one group is hacked, the overall network access information is not exposed, so that the security can be enhanced.

10) 통신 장치(120)는 제1 그룹 및 제2 그룹으로 분류된 네트워크 접속정보들을 재결합하여 사용자 단말기(110)로 전송한다.10) The communication device 120 reassembles the network connection information classified into the first group and the second group, and transmits the reassembled network connection information to the user terminal 110.

11) 사용자 단말기(110)는 단계 10에서 수신한 네트워크 접속정보를 기반으로 AP 장치(160)의 서비스 셋 식별자 및 네트워크 보안키를 포함한 접속요청 신호를 AP 장치(160)로 전송한다. 이때, 네트워크 보안키로는 네트워크 접속정보 내 포함된 키 암호키 정보 및 마스터키 정보를 기반으로 사용자 단말기(110)에 의해 생성된 보안키가 이용될 수 있다. 즉, 사용자 단말기(110)는 마스터키 정보를 이용하여 키 암호키 정보를 조합하고, 이를 통해, 실제 AP 장치(160)의 접속에 사용되는 네트워크 보안키를 생성한다. 한편, AP 장치(160) 상에는 마스터키 정보 및 키 암호키 정보의 조합에 따라 생성 가능한 네트워크 보안키에 대한 정보가 기 저장될 수 있다.11) The user terminal 110 transmits an access request signal including the service set identifier of the AP device 160 and the network security key to the AP device 160 based on the network access information received in step 10. At this time, as the network security key, the security key generated by the user terminal 110 based on the key encryption key information and the master key information included in the network connection information can be used. That is, the user terminal 110 combines the key cryptographic key information using the master key information, thereby generating a network security key used for connection of the actual AP device 160. On the other hand, information on a network security key that can be generated according to a combination of master key information and key encryption key information may be stored on the AP device 160.

한편, 사용자 단말기(110)는 단계 10에서 수신한 네트워크 접속정보에 포함된 시간정보를 기반으로 상기의 접속요청 신호에 대한 전송 여부를 결정할 수 있다. 즉, 사용자 단말기(110)는 상기의 시간정보를 수신한 시점에 사용자 단말기(110)의 현재 시간정보를 확인하고, 확인결과에 따라 상기의 시간정보와 현재 시간정보 사이의 차이값이 기 설정된 임계치를 초과하는 경우 네트워크 접속정보가 해킹당한 것으로 판단하여 이후의 절차를 진행하지 않는다.Meanwhile, the user terminal 110 may determine whether to transmit the connection request signal based on the time information included in the network connection information received in step 10. That is, the user terminal 110 checks the current time information of the user terminal 110 at the time of receiving the time information, and when the difference value between the time information and the current time information is greater than a predetermined threshold value It is determined that the network access information is hacked and the subsequent procedure is not performed.

12) ~ 13) AP 장치(160)는 단계 11을 통해 수집된 사용자 단말기(110)의 접속정보를 제어 장치(150)로 전송하는 동시에, 사용자 단말기(110)와의 사이에 통신 채널을 형성한다. 단계 12 ~ 13에서 AP 장치(160)는 단계 11을 통해 수신한 AP 장치(120)의 서비스 셋 식별자 및 네트워크 보안키와 현재 AP 장치(120)에 설정된 네트워크 접속정보를 비교하고, 비교결과에 따라 사용자 단말기(110)와 무선 네트워크를 형성한다.12) to 13) The AP device 160 transmits the connection information of the user terminal 110 collected through step 11 to the control device 150 and forms a communication channel with the user terminal 110. In steps 12 to 13, the AP device 160 compares the service set identifier of the AP device 120 and the network security key received through step 11 with the network connection information set in the current AP device 120, And forms a wireless network with the user terminal 110.

14) 제어 장치(150)는 단계 12에서 수신한 사용자 단말기(110)의 접속정보를 인증 장치(140)로 전송함으로써 이후, 인증 장치(140)가 제2 인증절차를 수행 시 상기의 접속정보를 활용할 수 있도록 한다.14) The control device 150 transmits the connection information of the user terminal 110 received in step 12 to the authentication device 140 so that the authentication device 140 can transmit the connection information when performing the second authentication procedure So that it can be utilized.

과정 B는 과정 A를 통해 AP 장치(160)와의 통신 채널이 형성된 사용자 단말기(110)에 대하여 최종적으로 네트워크망으로의 접속을 허용하기 위한 과정으로 제2 인증절차에 해당한다.The process B corresponds to the second authentication process for allowing the user terminal 110 having a communication channel with the AP device 160 through the process A to finally connect to the network.

이하, 과정 B에 대해 보다 구체적으로 설명하자면 다음과 같다.Hereinafter, the process B will be described in more detail as follows.

15) ~ 16) 사용자 단말기(110)는 과정 A에 따라 AP 장치(160)와의 사이에 통신 채널이 형성된 경우 제2 인증절차의 수행을 위한 인증 정보를 AP 장치를 거쳐 서버 장치(170)로 전송한다. 이때, 인증 정보에는 사용자 단말기(110)의 식별정보 및 암호화 키가 포함될 수 있다. 한편, 암호화 키는 과정 A의 단계 11에서 생성한 네트워크 보안키를 기반으로 생성될 수 있다. 예컨대, 사용자 단말기(110)는 상기의 네트워크 보안키를 재배열하여 암호화 키를 생성하는 것이 바람직하나 반드시 이에 한정되는 것은 아니다.15) to 16) When a communication channel is established with the AP device 160 according to the process A, the user terminal 110 transmits authentication information for performing the second authentication process to the server device 170 via the AP device do. At this time, the authentication information may include identification information of the user terminal 110 and an encryption key. Meanwhile, the encryption key may be generated based on the network security key generated in step 11 of the process A. For example, the user terminal 110 may rearrange the network security key to generate an encryption key, but the present invention is not limited thereto.

17) 서버 장치(170)는 인증 정보를 포함한 인증 요청신호를 제어 장치(150)를 거쳐 인증 장치(140)로 전송한다.17) The server device 170 transmits an authentication request signal including authentication information to the authentication device 140 via the control device 150. [

18) 인증 장치(140)는 제어 장치(150)로부터 전송된 인증 정보를 기반으로 사용자 단말기(110)에 대한 네트워크망 접속 허용 여부를 판별하고, 판별결과를 제어 장치(150)로 전송한다.18) The authentication device 140 determines whether or not the user terminal 110 is allowed to access the network based on the authentication information transmitted from the control device 150, and transmits the determination result to the control device 150.

19) 제어 장치(150)는 단계 18의 판별결과에 따라 사용자 단말기(110)에 대한 인증이 확인된 경우 AP 장치(160)를 제어하여, AP 장치(160)를 매개로 한 사용자 단말기(110)와 네트워크망 사이의 세션 연결이 유지될 수 있도록 한다.19) When the authentication of the user terminal 110 is confirmed according to the determination result of step 18, the control device 150 controls the AP device 160 to transmit the user terminal 110 via the AP device 160, So that the session connection between the network and the network can be maintained.

도 3은 본 실시예에 따른 네트워크망 접속 제어에 대한 제1 과정을 설명하기 위한 순서도이다. 한편, 제1 과정은 도 2의 A 과정을 의미한다.FIG. 3 is a flowchart illustrating a first process of the network access control according to the present embodiment. Meanwhile, the first process corresponds to step A of FIG.

도 3에 도시하듯이, 본 실시예에 따른 네트워크망 접속 제어에 대한 제1 과정은 통신 장치(120)가 사용자 단말기(110)로부터 유효성 정보를 수신하고, 수신한 유효성 정보를 암호화 장치(130)로 전송하는 과정으로부터 시작된다(S302). 단계 S302에서 유효성 정보는 사용자 단말기(110)의 식별정보 및 난스 정보를 포함한다.3, the first step in the network access control according to the present embodiment is a method in which the communication apparatus 120 receives the validity information from the user terminal 110 and transmits the received validity information to the encryption apparatus 130, (S302). In step S302, the validity information includes identification information and non-validity information of the user terminal 110. [

암호화 장치(130)는 인증 장치(140)와 유효성 정보를 토대로 사용자 단말기(110)에 대한 인증절차를 수행한다(S304). 단계 S304에서 인증 장치(140)는 유효성 정보에 포함된 난수 정보에 기초하여 유효성 정보에 대한 보안 패턴을 분석하고, 분석된 보안 패턴과 인증 장치(140)에 기 저장된 보안 패턴을 비교하여 서로가 일치하는 경우 사용자 단말기(110)를 AP 장치(160)로의 접속이 허용된 단말기로서 판별할 수 있다.The encryption apparatus 130 performs the authentication procedure for the user terminal 110 based on the authentication apparatus 140 and the validity information (S304). In step S304, the authentication device 140 analyzes the security pattern for the validity information based on the random number information included in the validity information, compares the analyzed security pattern with the security pattern previously stored in the authentication device 140, The user terminal 110 can be determined as a terminal that is allowed to access the AP device 160.

제어 장치(150)는 단계 S304에서 사용자 단말기(110)에 대한 인증이 완료된 경우 AP 장치(160) 내 사용자 단말기(110)에 대한 등록 절차를 수행한다(S306).The control device 150 performs a registration procedure for the user terminal 110 in the AP device 160 when the authentication for the user terminal 110 is completed in step S304.

AP 장치(160)는 사용자 단말기(110)로 AP 장치(160)로의 접속을 위한 네트워크 접속정보를 분배한다(S308). 단계 S308에서 AP 장치(160)는 제어 장치(150)를 통해 네트워크 접속정보에 포함된 정보들을 제1 그룹 및 제2 그룹으로 분류하고, 각각의 그룹에 속한 정보들을 서로 다른 경로를 통해 통신 장치(120)로 전송한다. 이후, 통신 장치(120)는 각각의 그룹에 속한 정보들을 재결합하여 사용자 단말기(110)로 전송한다.The AP device 160 distributes the network connection information for connection to the AP device 160 to the user terminal 110 (S308). In step S308, the AP device 160 classifies the information included in the network connection information into the first group and the second group through the control device 150, and transmits the information belonging to each group to the communication device 120). Then, the communication device 120 reassembles the information belonging to each group and transmits the information to the user terminal 110.

AP 장치(160)는 사용자 단말기(110)로부터 단계 S308의 네트워크 접속정보를 기반으로 한 네트워크 연결 요청을 수신하고(S310), 이를 기반으로, 사용자 단말기(110)와의 사이에 통신 채널을 형성한다(S312).The AP device 160 receives a network connection request based on the network connection information in step S308 from the user terminal 110 in step S310 and forms a communication channel with the user terminal 110 based on the network connection request S312).

도 4는 본 실시예에 따른 네트워크망 접속 제어에 대한 제2 과정을 설명하기 위한 순서도이다. 한편, 제2 과정은 도 2의 B 과정을 의미한다.FIG. 4 is a flowchart illustrating a second process of the network access control according to the present embodiment. Meanwhile, the second process refers to the process B of FIG.

AP 장치(160)는 AP 장치(160)와 통신 채널이 형성된 사용자 단말기(110)로부터 네트워크망에 대응되는 서버 장치(170)로의 접속 허용을 위한 인증정보를 수신한다(S402). 이때, 인증정보에는 사용자 단말기(110)의 식별정보 및 제1 과정에서 생성된 네트워크 보안키를 기반으로 생성된 암호화 키가 포함될 수 있다.The AP device 160 receives authentication information for allowing access from the user terminal 110 having a communication channel with the AP device 160 to the server device 170 corresponding to the network network (S402). At this time, the authentication information may include the encryption key generated based on the identification information of the user terminal 110 and the network security key generated in the first process.

AP 장치(160)는 단계 S402에서 수신한 인증정보를 서버 장치(170)로 전송하고(S404), 서버 장치(170)는 수신한 인증정보를 제어 장치(150)를 경유하여 인증 장치(140)로 전송한다(S406).The AP device 160 transmits the authentication information received in step S402 to the server device 170 in step S404 and the server device 170 transmits the received authentication information to the authentication device 140 via the control device 150. [ (S406).

인증 장치(140)는 단계 S406에서 수신한 인증 정보를 기반으로 사용자 단말기(110)에 대한 인증절차를 수행하고, 인증 결과를 제어 장치(150)로 전송한다(S408).The authentication apparatus 140 performs an authentication procedure for the user terminal 110 based on the authentication information received in step S406 and transmits the authentication result to the control apparatus 150 (S408).

제어 장치(150)는 단계 S408에서 수신한 인증결과에 따라 AP 장치(160)의 동작을 제어하며, 이를 통해, AP 장치(160)를 이용한 사용자 단말기(110)의 서버 장치(170)로의 접속이 이루어질 수 있도록 한다(S410).The control device 150 controls the operation of the AP device 160 according to the authentication result received in step S408 so that the connection of the user terminal 110 to the server device 170 using the AP device 160 (S410).

도 3 및 도 4에서는 각각의 과정을 순차적으로 실행하는 것으로 기재하고 있으나, 반드시 이에 한정되는 것은 아니다. 다시 말해, 도 3 및 도 4에 기재된 과정을 변경하여 실행하거나 하나 이상의 과정을 병렬적으로 실행하는 것으로 적용 가능할 것이므로, 도 3 및 도 4는 시계열적인 순서로 한정되는 것은 아니다.In FIGS. 3 and 4, it is described that each process is sequentially executed, but it is not limited thereto. In other words, it can be applied to changing the processes described in FIG. 3 and FIG. 4 or executing one or more processes in parallel. Thus, FIGS. 3 and 4 are not limited to time series.

이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The foregoing description is merely illustrative of the technical idea of the present embodiment, and various modifications and changes may be made to those skilled in the art without departing from the essential characteristics of the embodiments. Therefore, the present embodiments are to be construed as illustrative rather than restrictive, and the scope of the technical idea of the present embodiment is not limited by these embodiments. The scope of protection of the present embodiment should be construed according to the following claims, and all technical ideas within the scope of equivalents thereof should be construed as being included in the scope of the present invention.

100: 네트워크 접속 시스템 110: 사용자 단말기
120: 통신 장치 130: 암호화 장치
140: 인증 장치 150: 제어 장치
160: AP 장치 170: 서버 장치100: network access system 110: user terminal
120: communication device 130: encryption device
140: Authentication device 150: Control device
160: AP device 170: Server device

Claims (13)

통신 장치, 암호화 장치, 인증 장치, 제어 장치 및 AP 장치를 포함한 네트워크 접속 시스템에서 사용자 단말기의 네트워크망 접속 제어방법에 있어서,
상기 통신 장치가 상기 사용자 단말기로부터 상기 네트워크망의 접속과 관련한 유효성 정보로서 상기 사용자 단말기의 식별정보 및 난스 정보를 제공받으며, 상기 유효성 정보를 바이트 단위로 암호화하여 상기 암호화 장치로 전송하는 과정;
상기 암호화 장치가 상기 인증 장치와 상기 유효성 정보를 토대로 상기 사용자 단말기에 대한 인증절차를 수행하는 과정;
상기 제어 장치가 상기 사용자 단말기에 대한 인증이 완료된 경우 상기 AP 장치 내 상기 사용자 단말기에 대한 등록 절차를 수행하는 과정; 및
상기 AP 장치가 상기 사용자 단말기로 상기 AP 장치의 서비스 셋 식별자를 포함한 네트워크 접속정보를 분배하여 상기 사용자 단말기로 하여금 상기 AP 장치를 통하여 상기 네트워크망으로의 접속이 이루어질 수 있도록 하는 과정
을 포함하는 것을 특징으로 하는 네트워크망 접속 제어방법.A method for controlling access to a network of a user terminal in a network access system including a communication device, an encryption device, an authentication device, a control device, and an AP device,
Receiving the identification information and the nonce information of the user terminal as validity information related to the connection of the network from the user terminal, encrypting the validity information on a byte-by-byte basis, and transmitting the validity information to the encryption device;
Performing the authentication procedure for the user terminal based on the authentication device and the validity information;
Performing a registration procedure for the user terminal in the AP device when the control device has completed authentication with the user terminal; And
Distributing network access information including the service set identifier of the AP apparatus to the user terminal so that the user terminal can access the network through the AP apparatus
Wherein the network access control method comprises: 삭제delete 제 1항에 있어서,
상기 인증절차를 수행하는 과정은,
상기 암호화 장치가 상기 통신 장치로부터 수신한 유효성 정보를 난수 함수를 이용하여 암호화하여 상기 인증 장치로 전송하는 과정;
상기 인증 장치가 상기 유효성 정보에 포함된 난스 정보에 기초하여, 상기 사용자 단말기에 대한 인증절차를 수행하고, 인증결과를 상기 암호화 장치로 전송하는 과정; 및
상기 암호화 장치가 상기 인증결과에 따라 암호화된 유효성 정보를 상기 제어 장치로 전송하는 과정
을 포함하는 것을 특징으로 하는 네트워크망 접속 제어방법.The method according to claim 1,
The step of performing the authentication procedure comprises:
Encrypting the validity information received from the communication device using the random number function and transmitting the encrypted validity information to the authentication device;
Performing the authentication procedure for the user terminal based on the nonce information included in the validity information, and transmitting the authentication result to the encryption apparatus; And
And transmitting the encrypted validity information to the control device according to the authentication result
Wherein the network access control method comprises: 제 1항에 있어서,
상기 네트워크 접속정보는,
상기 AP 장치에 대응되는 네트워크 보안키 생성을 위한 키 정보를 포함한 키 암호키 정보, 상기 키 암호키 정보로부터 상기 네트워크 보안키를 추출하는 과정에서 사용되는 마스터키 정보, 암호 동기화를 위한 시간정보 및 상기 네트워크망에 대응되는 서버장치의 IP 주소 중 일부 또는 전부를 더 포함하는 것을 특징으로 하는 네트워크망 접속 제어방법.The method according to claim 1,
The network connection information includes:
Key encryption key information including key information for generating a network security key corresponding to the AP device, master key information used in extracting the network security key from the key encryption key information, time information for encryption synchronization, Further comprising a part or all of the IP addresses of the server devices corresponding to the network. 제 4항에 있어서,
상기 네트워크망으로의 접속이 이루어질 수 있도록 하는 과정은,
상기 AP 장치가 상기 네트워크 접속정보를 상기 제어 장치로 전송하는 과정;
상기 제어 장치가 상기 네트워크 접속정보에 포함된 정보들을 중요도에 따라 제1 그룹 및 제2 그룹으로 분류하고, 각각의 그룹에 속한 정보들을 서로 다른 경로를 통해 상기 통신 장치로 전송하는 과정; 및
상기 통신 장치가 상기 제1 그룹 및 상기 제2 그룹을 재결합하여 상기 사용자 단말기로 전송하는 과정
을 포함하는 것을 특징으로 하는 네트워크망 접속 제어방법.5. The method of claim 4,
The process of making connection to the network may include:
Transmitting the network connection information to the control device by the AP device;
Classifying the information included in the network connection information into the first group and the second group according to the importance, and transmitting the information belonging to each group to the communication device through different paths; And
And the communication device reassembles the first group and the second group and transmits them to the user terminal
Wherein the network access control method comprises: 제 5항에서 있어서,
상기 통신 장치로 전송하는 과정은
상기 제어 장치가, 상기 네트워크 접속정보 중 상기 서비스 셋 식별자, 상기 마스터키 정보 및 상기 IP 주소를 상기 제1 그룹으로서 분류하고, 상기 네트워크 접속정보 중 상기 키 암호키 정보 및 상기 시간정보를 상기 제2 그룹으로서 분류하는 것을 특징으로 하는 것을 특징으로 하는 네트워크망 접속 제어방법.6. The method of claim 5,
The process of transmitting to the communication device
Wherein the control device classifies the service set identifier, the master key information, and the IP address in the network connection information as the first group, and transmits the key cryptographic key information and the time information in the network connection information to the second And the group is classified as a group. 제 5항에 있어서,
상기 통신 장치로 전송하는 과정은,
상기 제어 장치가 상기 제1 그룹으로 분류된 정보들에 대해서는 직접적으로 상기 통신 장치로 전송하고, 상기 제2 그룹으로 분류된 정보들에 대해서는 상기 암호화 장치를 경유하여 상기 통신 장치로 전송하는 것을 특징으로 하는 네트워크망 접속 제어방법.6. The method of claim 5,
The method of claim 1,
The control device directly transmits information classified into the first group to the communication device and transmits information classified into the second group to the communication device via the encryption device. The network access control method comprising: 제 5항에 있어서,
상기 네트워크망으로의 접속이 이루어질 수 있도록 하는 과정은,
상기 AP 장치가 상기 사용자 단말기로부터 상기 네트워크 접속정보를 기반으로 한 네트워크 연결 요청을 수신하고, 상기 사용자 단말기와의 사이에 통신 채널을 형성하는 과정을 더 포함하는 것을 특징으로 하는 네트워크망 접속 제어방법.6. The method of claim 5,
The process of making connection to the network may include:
Further comprising the step of the AP device receiving a network connection request based on the network connection information from the user terminal and forming a communication channel with the user terminal. 제 8항에 있어서,
상기 통신 채널을 형성하는 과정은,
상기 AP 장치가 상기 사용자 단말기로부터 상기 서비스 셋 식별자 및 네트워크 보안키를 포함하는 상기 네트워크 연결 요청을 수신하되, 상기 네트워크 보안키는 상기 키 암호키 정보 및 상기 마스터키를 기반으로 상기 사용자 단말기에 의해 생성된 보안키인 것을 특징으로 하는 네트워크망 접속 제어방법.9. The method of claim 8,
Wherein the step of forming the communication channel comprises:
The AP device receives the network connection request including the service set identifier and the network security key from the user terminal, and the network security key is generated by the user terminal based on the key encryption key information and the master key Wherein the secure key is a secure key. 제 1항에 있어서,
상기 AP 장치가 상기 사용자 단말기와 상기 네트워크망에 대응되는 서버장치 사이의 연결을 중계하는 과정을 더 포함하는 것을 특징으로 하는 네트워크망 접속 제어방법.The method according to claim 1,
Further comprising the step of the AP apparatus relaying a connection between the user terminal and a server apparatus corresponding to the network network. 제 10항에 있어서,
상기 중계하는 과정은,
상기 AP 장치가 상기 AP 장치와 통신 채널이 형성된 상기 사용자 단말기로부터 상기 서버장치로의 접속 허용을 위한 인증정보를 수신하고, 상기 인증정보를 상기 서버장치로 전송하는 과정;
상기 서버장치가 상기 인증정보를 상기 제어 장치를 경유하여 상기 인증 장치로 전송하는 과정;
상기 인증 장치가 상기 인증정보를 기반으로 상기 사용자 단말기에 대한 인증절차를 수행하고, 인증결과를 상기 제어 장치로 전송하는 과정; 및
상기 제어 장치가 상기 인증결과에 따라 상기 AP 장치의 동작을 제어하여, 상기 AP 장치를 통한 상기 사용자 단말기의 상기 서버장치로의 접속이 가능토록 하는 과정
을 포함하는 것을 특징으로 하는 네트워크망 접속 제어방법.11. The method of claim 10,
The relaying step includes:
Receiving, by the AP device, authentication information for allowing connection from the user terminal to which the communication channel is established with the AP device to the server device, and transmitting the authentication information to the server device;
The server device transmitting the authentication information to the authentication device via the control device;
Performing the authentication procedure for the user terminal based on the authentication information, and transmitting the authentication result to the control device; And
The control device controls the operation of the AP device according to the authentication result so as to enable connection of the user terminal to the server device through the AP device
Wherein the network access control method comprises: 제 11항에 있어서,
상기 인증정보는,
상기 사용자 단말기의 식별정보 및 암호화 키를 포함하되, 상기 암호화 키는 상기 네트워크망으로의 접속을 위해 상기 AP 장치와 상기 사용자 단말기 사이에 통신 채널을 형성하는 과정에서 생성된 네트워크 보안키를 기초로 상기 사용자 단말기에 의해 생성된 키인 것을 특징으로 하는 네트워크망 접속 제어방법.12. The method of claim 11,
The authentication information includes:
Wherein the encryption key includes identification information and an encryption key of the user terminal, wherein the encryption key includes at least one of the identification information and the encryption key of the user terminal, And a key generated by the user terminal. 네트워크망에 대한 사용자 단말기의 접속을 제어하기 위한 네트워크 접속 시스템에 있어서,
상기 사용자 단말기와 상기 네트워크망 접속과 관련된 데이터로서 상기 사용자 단말기의 식별정보 및 난스 정보를 포함한 유효성 정보를 송수신하는 통신장치;
상기 데이터 중 일부 또는 전부에 대한 암호화를 수행하는 암호화 장치;
상기 네트워크망으로의 접속과 관련하여 상기 사용자 단말기를 인증 처리하는 인증 장치;
상기 사용자 단말기와 상기 네트워크망에 대응되는 서버장치 사이의 연결을 중계하며, 상기 네트워크망 접속과 관련하여 상기 사용자 단말기와의 사이에 통신 채널을 형성하기 위한 네트워크 접속정보를 분배하는 AP 장치; 및
상기 사용자 단말기의 인증 결과에 따라 상기 AP 장치의 동작을 제어하며, 상기 제어에 따라 상기 AP 장치를 통한 상기 사용자 단말기의 상기 네트워크망 접속이 이루어질 수 있도록 하는 제어 장치
를 포함하는 것을 특징으로 하는 네트워크 접속 시스템.A network access system for controlling connection of a user terminal to a network,
A communication device for transmitting and receiving the validity information including the identification information and the nonce information of the user terminal as data related to the user terminal and the network connection;
An encryption device for performing encryption for part or all of the data;
An authentication device for authenticating the user terminal in connection with connection to the network;
An AP apparatus for relaying a connection between the user terminal and a server apparatus corresponding to the network, and distributing network connection information for establishing a communication channel with the user terminal in connection with the network connection; And
A control unit for controlling the operation of the AP apparatus according to an authentication result of the user terminal and allowing the user terminal to access the network through the AP apparatus according to the control,
Wherein the network access system comprises:
KR1020170040180A 2017-03-29 2017-03-29 Method and System For Connecting User Equipment with Network KR101878713B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170040180A KR101878713B1 (en) 2017-03-29 2017-03-29 Method and System For Connecting User Equipment with Network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170040180A KR101878713B1 (en) 2017-03-29 2017-03-29 Method and System For Connecting User Equipment with Network

Publications (1)

Publication Number Publication Date
KR101878713B1 true KR101878713B1 (en) 2018-07-16

Family

ID=63048178

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170040180A KR101878713B1 (en) 2017-03-29 2017-03-29 Method and System For Connecting User Equipment with Network

Country Status (1)

Country Link
KR (1) KR101878713B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003318922A (en) * 2002-04-25 2003-11-07 Nippon Telegraph & Telephone East Corp Wireless network access system, terminal, wireless access point, remote access server, and authentication server
JP2006352223A (en) * 2005-06-13 2006-12-28 Hitachi Ltd Network connection system
KR20120045604A (en) * 2010-10-29 2012-05-09 에스케이 텔레콤주식회사 Network access system and network access method
KR20150003334A (en) * 2012-04-17 2015-01-08 퀄컴 인코포레이티드 Using a mobile device to enable another device to connect to a wireless network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003318922A (en) * 2002-04-25 2003-11-07 Nippon Telegraph & Telephone East Corp Wireless network access system, terminal, wireless access point, remote access server, and authentication server
JP2006352223A (en) * 2005-06-13 2006-12-28 Hitachi Ltd Network connection system
KR20120045604A (en) * 2010-10-29 2012-05-09 에스케이 텔레콤주식회사 Network access system and network access method
KR20150003334A (en) * 2012-04-17 2015-01-08 퀄컴 인코포레이티드 Using a mobile device to enable another device to connect to a wireless network

Similar Documents

Publication Publication Date Title
EP3769464B1 (en) Dynamic domain key exchange for authenticated device to device communications
CN113596828B (en) End-to-end service layer authentication
CN105706390B (en) Method and apparatus for performing device-to-device communication in a wireless communication network
US10959092B2 (en) Method and system for pairing wireless mobile device with IoT device
CN103596173B (en) Wireless network authentication method, client and service end wireless network authentication device
CN104145465B (en) The method and apparatus of bootstrapping based on group in machine type communication
KR101315670B1 (en) Method for smart phone registration when accessing security authentication device and method for access authentication of registered smart phone
EP3410156A1 (en) Positioning information verification
JP6757845B2 (en) Behavior related to user devices that use secret identifiers
EP2879421B1 (en) Terminal identity verification and service authentication method, system, and terminal
KR101706117B1 (en) Apparatus and method for other portable terminal authentication in portable terminal
KR101762013B1 (en) Method for registering device and setting secret key using two factor communacation channel
KR20190004499A (en) Apparatus and methods for esim device and server to negociate digital certificates
CN101356759A (en) Token-based distributed generation of security keying material
JP2016530733A (en) Secure discovery for proximity-based service communication
JP2000269959A (en) Authentication method by updated key
JP7564919B2 (en) NON-3GPP DEVICE ACCESS TO CORE NETWORK - Patent application
CN102111766A (en) Network accessing method, device and system
CN107205208B (en) Authentication method, terminal and server
US12041452B2 (en) Non-3GPP device access to core network
CN113545115B (en) Communication method and device
CN102143492B (en) Method for establishing virtual private network (VPN) connection, mobile terminal and server
WO2022147582A2 (en) Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network
CN112929876B (en) Data processing method and device based on 5G core network
CN101091378A (en) Method of authentication of a mobile communications terminal in a visited network

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant