[논문]IEEE 802.1x EAP-TLS 인증 메커니즘 기반 Wireless LAN 시스템

홍성표; 한승조

doi:10.6109/jkiice.2012.16.9.1983

IEEE 802.1x EAP-TLS 인증 메커니즘 기반 Wireless LAN 시스템
Wireless LAN System based on IEEE 802.1x EAP-TLS Authentication Mechanism 원문보기

한국정보통신학회논문지 = Journal of the Korea Institute of Information and Communication Engineering, v.16 no.9, 2012년, pp.1983 - 1989

홍성표 (조선대학교 산학협력단) , 한승조 (조선대학교 정보통신공학과)

초록
AI-Helper

IEEE 802.1x는 802.11b의 사용자 인증 취약성을 보완한 프레임워크로, EAP를 통해 다양한 사용자 인증 메커니즘을 지원하지만 인증 프로토콜의 구조적 원인에 의한 서비스 거부 공격(DoS)과 AP에 대한 인증 및 암호 메커니즘의 부재로 세션 하이재킹 및 중간자 공격(MiM) 등에 취약하다. 본 논문에서는 IEEE 802.1x 프레임워크의 보안 취약성을 보완하여 안전한 통신을 제공하는 시스템을 제안하였다. 제안 시스템은 공개키 암호 기술을 이용하여 무선랜 사용자 및 AP, 인증서버간의 상호인증을 수행함으로써 제3자가 무선랜 사용자, AP 또는 인증서버 등으로 위장하여 통신에 개입하는 것을 방지한다. 또한 동적 키 분배를 통해 사용자와 AP간의 안전한 암호통신을 제공한다.

Abstract ▼ AI-Helper

The IEEE 802.1x standard provides an architectural framework which can be used various authentication methods. But, IEEE 802.1x also has vulnerabilities about the DoS(Denial of Service), the session hijacking and the MiM(Man in the Middle) attack due to caused by structural of authentication protocol. In this paper, we propose a WLAN system which can offer safety communication by complement of IEEE 802.1x vulnerabilities. The WLAN system accomplishes mutual authentications between authentication servers, clients and the AP using PKI and prevents an illegal user from intervening in communication to disguise oneself as a client, the AP or authentication servers. Also, we guarantee the safety of the communication by the Dynamic WEP key distribution between clients and the AP.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 IEEE 802.1x 프레임워크의 서비스 거부, 세션하이재킹 및 중간자 공격에 대한 취약성을 보완하여 강화된 사용자 인증 및 안전한 암호통신 서비스를 제공할 수 있는 무선랜 보안시스템을 제안하였다. 제안 시스템은 보안 수준변수를 사용한 인증 초기단계를 인증 프로토콜에 추가하여 클라이언트의 인증 요청을 인증서버가 제어할 수 있도록 함으로써 악의적인 사용자의 무차별적인 접근에 의한 서비스 거부 공격을 방지할 수 있다.
본 논문에서는 기존의 IEEE 802.1x 프레임워크에 AP에 대한 인증과정을 추가하여 상호인증이 수행되도록 하였으며 인증과정뿐만 아니라 인증완료 후 전송되는 모든 데이터에 암호화를 수행함으로써 데이터 보안 중요도가 높은 응용에서 이용이 가능하도록 하였다.

제안 방법

그리고 클라이언트 및 AP, 인증서버 인증은 공개키 암호 기술 기반 인증 메커니즘을 통해 수행하기 때문에 제3자가 클라이언트 또는 AP, 인증서버 등으로 위장하여 통신에 개입하는 것이 불가능하다. 또한 키 분배 메커니즘을 지원하는 EAP-TLS 인증을 통해 전송 데이터의 암호화에 사용되는 키를 동적으로 분배함으로써 사용자와 AP 간의 안전한 암호통신을 제공한다.
먼저 서비스 거부 공격 보완 방안으로 사용자 인증 프로토콜을 수행하기 전에 인증서버에서 제시된 문제를 사용자가 해결할 경우에만 인증 프로토콜을 수행하도록 하는 인증 초기단계를 추가 하였다. 인증 초기단계는 일방적으로 서버쪽에서만 자원을 할당하는 구조를 사용자에게도 어느 정도 자신의 자원을 할당하도록 하고, 인증서버가 자신의 상태에 따라 보안수준 변수를 설정하여 사용자의 인증 요청을 제어할 수 있도록 함으로써 악의적인 사용자의 무차별적인 접근을 제한할 수 있다.
본 논문에서 제안하는 시스템은 그림 4와 같이 IEEE 802.1x를 기반으로 인증 초기단계를 거쳐 인증서버와 AP간 상호인증, 인증서버와 클라이언트간 상호인증, 공유 키(WEP_Key) 분배 등 4단계를 거쳐 인증이 수행된다.
본 논문에서 제안한 인증 메커니즘을 지원하는 시스템은 그림 7과 같이 클라이언트, AP, 인증서버 및 CA(Certificate Authority)로 구성된다.
스푸핑 공격 취약성 보완 방안으로는 그림 5와 같이 AP에 대한 인증절차를 추가하여 모든 구성 개체에 대해서 상호인증을 제공하고, 전송되는 메시지를 암호화 알고리즘을 이용하여 암호화하였다. 따라서 인증받지 않은 제 3자의 개입에 의한 스푸핑 공격을 차단할 수 있으며, 전송메시지에 대한 기밀성 제공으로 해킹에 의한 노출을 방지할 수 있다.
시스템 개발 환경은 표 2와 같이 클라이언트는 WIRE1x v1.0[13] 오픈소스를 수정하여 구현하였으며, AP는 리눅스 운영체제가 설치된 PC에 Prism2 계열의 칩을 사용하는 무선랜 카드와 유선랜 카드를 동시에 장착하고 HostAP 드라이버를 설치하여 에뮬레이션 하였다. HostAP는 Prism2/2.
인증서버는 공유키(WEP_Key)를 AP로 전달할 SUCCESS 메시지를 생성하고 암호화하기 위한 모듈과 인증 초기단계에서 클라이언트로부터 전송받은 값을 검증하는 모듈을 오픈소스로 공개된 FreeRADIUS[11-12, 15]에 추가하여 구현하였다. 모든 구성요소에서 암호 라이브러리 역시 오픈소스인 OpenSSL[14]을 사용하였다.
제안 시스템은 IEEE 802.1x의 취약성인 스푸핑 공격을 방지하기 위해 구성 개체 모두에 대한 상호인증을 수행하기 때문에 표 3에서 보는 바와 같이 클라이언트, AP, 인증서버로의 위장이 불가능한 매우 안전한 사용자 인증 메커니즘을 제공한다. 또한 EAP-SUCCESS 메시지를 암호화하여 무결성 서비스를 제공하고, 사용자 인증과정에서 키 분배 메커니즘을 통해 인증을 수행할 때마다 새로운 키가 분배되며, 분배되는 키의 길이가 전수조사 공격에 안전한 128 bit이기 때문에 안전한 암호통신을 제공한다.

이론/모형

인증서버는 공유키(WEP_Key)를 AP로 전달할 SUCCESS 메시지를 생성하고 암호화하기 위한 모듈과 인증 초기단계에서 클라이언트로부터 전송받은 값을 검증하는 모듈을 오픈소스로 공개된 FreeRADIUS[11-12, 15]에 추가하여 구현하였다. 모든 구성요소에서 암호 라이브러리 역시 오픈소스인 OpenSSL[14]을 사용하였다.

성능/효과

사용자와 인증서버간 상호인증 메커니즘은 그림 6과 같이 공개키 암호기술 기반인 EAP-TLS를 이용하고, 추가된 AP와 인증서버간 상호인증 역시 공개키 암호기술을 이용하기 때문에 안전성을 보장받을 수 있다. 또한 IEEE 802.
1x 프레임워크의 서비스 거부, 세션하이재킹 및 중간자 공격에 대한 취약성을 보완하여 강화된 사용자 인증 및 안전한 암호통신 서비스를 제공할 수 있는 무선랜 보안시스템을 제안하였다. 제안 시스템은 보안 수준변수를 사용한 인증 초기단계를 인증 프로토콜에 추가하여 클라이언트의 인증 요청을 인증서버가 제어할 수 있도록 함으로써 악의적인 사용자의 무차별적인 접근에 의한 서비스 거부 공격을 방지할 수 있다. 그리고 클라이언트 및 AP, 인증서버 인증은 공개키 암호 기술 기반 인증 메커니즘을 통해 수행하기 때문에 제3자가 클라이언트 또는 AP, 인증서버 등으로 위장하여 통신에 개입하는 것이 불가능하다.

후속연구

향후 기존 인증 프로토콜에서 패킷 잃어버림 등이 발생할 때 올바른 패킷이 전송되도록 하기 위해 보장된 재전송을 이용한 서비스 거부 공격 에 대한 대응방안을 연구할 예정이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	IEEE 802.1x의 문제점은 무엇인가?	그러나 IEEE 802.1x 역시 인증 프로토콜의 구조적 원인에 의한 DoS(Denial of Service) 공격과 AP에 대한 인증 및 암호 메커니즘의 부재로 세션 하이재킹 및 MiM(Man in the Middle) 공격 등에 취약하다.
	EAP-TLS 인증과정은 어떠한 단계를 거치는가?	①클라이언트와인증자사이에MAC 레벨인증및암호화를 설정하여 기본 접속 절차를 수행한다. (802.11 Authentication, Association) ② 클라이언트가 인증자에게 접속 요청을 한다. (EAPoL-Start) ③ 인증자는 클라이언트에게 신원 요구를 한다. (EAP-Request/Identity) ④ 클라이언트는 자신의 identity를 인증자로 보낸다. (EAP-Response/Identity) ⑤ 인증자는 Access-Request 메시지에 클라이언트의 identity를 포함하여 인증서버로 전달한다. (Access-Request) ⑥ 인증서버와 클라이언트 간의 인증 프로토콜 은 TLS 를 사용한다. (TLS-Start) ⑥-1 인증서버는 신원을 확인한 클라이언트에게 인증서를 요구한다. (Server_hello) ⑥-2 클라이언트는 자신의 인증서를 AP를 통해 인증서버에게 보낸다.(Client_hello) ⑦ 응답한 인증서가 인증이 되면 인증서버는 EAP 성공 메시지를 클라이언트에게 전송한다. (EAP-Success) ⑧ 인증자는 인증 완료후 AP와 클라이언트 간의 암호통신에 사용할 WEP 키를 생성한다. ⑨ 인증자는 인증서버로부터 받은 키를 이용하여 WEP 키를 암호화한 후 클라이언트에게 전송한다. (EAPoL-Key) ⑩ 클라이언트와 인증자는 WEP 키를 이용해 암호 통신을 수행한다. WEP 키는 클라이언트가 로그아웃 (log-out)을 하거나 재인증 타이머가 초과될 때까지 사용된다.
	IEEE 802.1x 프레임워크는 어떠한 목적으로 개발되었는가?	11b 표준에서 제공하는 사용자 인증 메커니즘인 SSID나 공유키 인증의 경우 보안 취약성을 가지고 있다. 이에 따라 IEEE 802.11b의 사용자 인증 취약성을 보완하기 위한 방안으로 개발된 것이 IEEE 802.1x 프레임워크이다.

참고문헌 (15)

William A. Arbaugh, N. Shankar, Y.C. Justin Wan, "Your 802.11 Wireless Network has No Clothes", Proceedings of the First IEEE International Conference on Wireless LANs and Home Networks, pp. 1-13, 2001.
J.-C. Chen, M.-C. Jiang, Y.-W. Liu, "Wireless LAN Security and IEEE 802.11i", IEEE Wireless Communications, pp. 1-19, 2004.
송창렬, 정병호, 조기환, "무선랜 보안구조," 한국정보과학회지, 제 20권 4호, pp. 5-13, 2002
양형규, "무선 PKI 환경에서 보안 모듈에 관한 고찰", 강남대학교 산학기술연구소 논문집, 제 14호, pp. 123-140, 2002.
강유성, 오경희, 정병호, "무선랜 보안기술의 진화 동향 및 전망", 전자통신동향분석, 제 18권 제4호, pp. 36-46, 2003.
Arunesh Mishra, William A. Arbaugh, "An Initial Security Analysis of the IEEE 802.1X Standard", University of Maryland, pp. 1-12, 2002.
J.R. Walker, "Unsafe at Any Key Size; An Analysis of the WEP Encapsulation", IEEE 802.11 Committee, pp. 1-9, 2000.
IEEE, Draft P802.1X/D11: Standard for Port based Network Access Control, IETF Network Working Group, 2001.
P. Funk, S. Blake-Wilson, EAP Tunneled TLS Authentication Protocol (EAP-TTLS), IETF PPPEXT Working Group, 2005.
L. Blunk, J. Vollbrecht, PPP Extensible Authentication Protocol(EAP), IETF Network Working Group, 1998.
Joshua Hill, "An Analysis of the RADIUS Authentication Protocol", Joshua Hill, pp. 1-12, 2001.
Joseph Davies, RADIUS Protocol Security and Best Practices, Microsoft Corporation, 2002.
WIRE1x, "Open Source Implementation of IEEE 802.1X", http://wire.cs.nthu.edu.tw/wire1x
OpenSSL Project, Open Source implementing the Secure Sockets Layer(SSL v2/v3) and Transport Layer Security(TLS v1), ttp:/www.openssl.org/
FreeRADIUS Project, Open Source Implementation of RADIUS, http://www.freeradius.org/

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증