이중대표적인단방향인증방식인 EAP MD5 나 LEAP 은사전공격이나중간자공격에취약하나반면에단방향인증방식의약점을극복하기위한인증서기반의접근법들중에가장안전하다고평가되고있는 EAPTLS 의경우공개키연산부하뿐만아니라암호화알고리즘협상과인증서체인의교환이라는부담을안고있다. 이러한기존

Size: px

Start display at page:

Download "이중대표적인단방향인증방식인 EAP MD5 나 LEAP 은사전공격이나중간자공격에취약하나반면에단방향인증방식의약점을극복하기위한인증서기반의접근법들중에가장안전하다고평가되고있는 EAPTLS 의경우공개키연산부하뿐만아니라암호화알고리즘협상과인증서체인의교환이라는부담을안고있다. 이러한기존"

수원 내
5 years ago
Views:

1 대학무선랜에적용되는새로운확장가능인증프로토콜 지성배 *, 이현록 *, 김광조 * * 국제정보보호기술연구소, 한국정보통신대학교 A New EAP Method suitable for University WLAN Sungbae Ji*, Hyunrok Lee*, Kwangjo Kim* *International Research center for Information Security (IRIS), Information and Communication University (ICU) 요약 최근노트북과 PDA 와같은휴대용정보화기기의사용이증가하면서, 더많은무선랜기반시설들이공항과대학, 심지어커피숍까지설치되고있다. 그러나무선통신은보안의수준이낮게설정되어있다면근처에있는누구라도모든무선트래픽을가로채어볼수있어유선통신에비해취약하며, 더나아가내부네트워크자원에인가되지않은접근과불법적인행동을하는것이가능하다. 본논문은무선랜환경에서발생할수있는많은보안문제점들가운데인증메커니즘에초점을맞춘다. 대학교무선망을대상모델로보안위협과그에상응하는보안요구사항을정의하고이를바탕으로새로운 EAP 인증방식을제안한다. 제안인증방식은비인가자의접근으로부터무선랜을보호하는효율적인인증서기반의상호인증접근법을택하여기존의 EAPMD5 나 LEAP 과같은단방향인증방식에서제기된사전공격문제를해결하였고대표적인인증서기반의상호인증방식인 EAPTLS 과비교해암호화알고리즘협상과인증서교환이필요없다는장점을가진다. 또한빠른재연결 (Reassociation) 을이용하여자원이제한된기기나실시간멀티미디어어플리케이션을사용한다고하더라도서비스품질을보장할수있도록기기와응용프로그램에따라다른보안수준을제공한다. I. 서론 무선랜은둘이상의컴퓨터를선을사용하지않고라디오신호를이용하여연결하는무선근거리통신망 [3] 으로 ( 그림 1) 은세가지개체들로구성된무선랜의전형적인구조이다. 그림에서노트북, PDA 와같은모바일기기는 Supplicant, Station 혹은 Mobile Node (MN) 라고부른다. Access Point (AP) 는 Authenticator 나 Network Access Server (NAS) 라고도불린다. Authentication server (AS) 는인증, 인가, 과금 (AAA: Authentication, Authorization and Accounting) 을담당한다. AS 의예로 RADIUS [18] 와 Diameter [19] 가있다. 해당구조에서보듯이, 모바일노드들이엑세스포인트를통해서로통신할수있는기본서비스세트 (BSS: Basic Service Set) 가있다. BSS 에있는 MN 와 AP 사이의패킷들을암호화하지않으면, 누구라도패킷을가로채어기밀정보를빼낼수있다. 적절한인증메커니즘또한비인가사용자가네트워크에접근하는것을막기위해필요하다. 무선랜에서사용하는대표적인인증메커니즘은 EAP ( 확장가능인증프로토콜 : Extensible Authentication Protocol) [1][2] 이다. EAP 는무선랜에서다수의인증방식을지원하는보편적인인증프레임워크로서 IETF RFC 는약 4 여개의 EAP 인증방식을정의하고있다.

2 이중대표적인단방향인증방식인 EAP MD5 나 LEAP 은사전공격이나중간자공격에취약하나반면에단방향인증방식의약점을극복하기위한인증서기반의접근법들중에가장안전하다고평가되고있는 EAPTLS 의경우공개키연산부하뿐만아니라암호화알고리즘협상과인증서체인의교환이라는부담을안고있다. 이러한기존의 EAP 인증방식의문제점을해결하기위해모든무선장비들이 WPA2 (WiFi Protected Access 2) 를지원하는대학교무선랜환경을모델로하여보다효율적이고빠른 EAP 인증방식을제안한다. 제안방식은하나의 MN 가현재의 BSS 에서다른 BSS 로이동할때새로운 AP 와의빠른재연결을지원하여서비스품질을보장할수있다는장점도가진다. 본논문 II 장에서는무선랜에서발생할수있는기밀성과인증에대한문제를설명한다. 두가지문제가운데인증메커니즘에초점을맞추었는데, 제안된 EAP 인증방식의적용과그목적을명확히하기위해 III 장에서보안위협과그와관련된보안요구사항에근거한캠퍼스무선랜모델을제시한다. 다음의 IV 장, V 장에서는각각새롭게제안한 EAP 인증방식인 EAPSTLS (Simple Transport Layer Security) 를살펴보고기존의 EAP 인증방식과비교를통해성능을분석한다. 마지막으로앞으로의연구과제와함께 VI 장에서결론을내린다. [4]. 공격자는잡음과불법적인트래픽을가진 2.4 GHz 스펙트럼을교란시켜서물리계층에대한서비스거부공격을할수있다. 무선트래픽은 Kismet [13], airodump [14], AiroPeekNX [15] 와같은도구로모니터링할수있다. 무선네트워크가 WEP 을사용해보호되어있다고하더라도, 공격자는 AirSnort [16] 나 WEPCrack [17] 을사용해서 WEP 키를찾을수있다. AP 는 Service Set IDentifier (SSID) 나 MN 의 MAC 주소를가지고 MN 을인증한다. 이러한 인증은스니핑과스푸핑공격앞에서는인증이 없는것과마찬가지로취약하기때문에많은 암호학적인보안기능들이 IEEE 82.1X 에 구현되었다. 대표적인인증메커니즘으로 EAP 인증이있는데, 약 4 여개의방식들이 IETF RFC 로정의되어있다. 그렇지만일부는사전 공격 (Dictionary Attack) 이나 중간자 공격 (MitM: ManintheMiddle attack) 에취약하다. 허위 AP (Rogue AP) 는 Evil Twin 으로도알려진 WiPhishing (WiFi 와 Phishing 의합성어 ) 위협을불러온다. 무선랜보안을이해하기위한기본연구로서, 무선환경에서기밀성과인증에관한몇가지기초지식을살펴보겠다. 1. 기밀성 무선랜에서기밀성을위해, 다음세가지의암호화방법이사용된다 [5][6]. 1) WEP WEP (Wired Equivalent Privacy) 는 IEEE 표준의일부로서 4 또는 14 비트의키를가진 RC4 스트림암호화알고리즘이다. 그렇지만선형무결성검사 (Linear Integrity Check), 정적인공유키, IV 의재사용, 24 비트의짧은 IV 에기인해, 통계적인방법을도입한전수검사공격에쉽게깨어진다. 2) WPA ( 그림 1) 무선랜의구조 [3] II. 관련연구 무선랜에서는유선랜과는달리발생가능한보안문제점과위협이상대적으로많이존재한다 WPA (WiFi Protected Access) 또는 TKIP (Temporal Key Integrity Protocol) 은 128 비트의임시키 (TK) 와 48 비트의 IV 를가진 RC4 암호화알고리즘이다. 그러나능동공격에대한메시지무결성부호 (MIC: Message Integrity Code) 의보호가약하기때문에 IEEE 82.11i 의단기적인해결책으로만쓰이고있다.

3) WPA2 WPA2 (WiFi Protected Access 2) 또는 CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) 는기존방식들의문제점을해결하기위해암호화방식으로 IEEE 82.11i 에기본으로정의되어있다.

3 3) WPA2 WPA2 (WiFi Protected Access 2) 또는 CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) 는기존방식들의문제점을해결하기위해암호화방식으로 IEEE 82.11i 에기본으로정의되어있다. AES 128 비트블록암호화알고리즘을사용하는데 AES 연산에필요로하는처리능력을지원하기위해서는새로운하드웨어 (AP 와네트워크카드 ) 가필요하지만현재대부분의무선랜장비들은 82.11i 명세사항을기본으로지원한다. Gin [5] 은 WPA2 명세가적용되었을때무선네트워크의처리량 (throughput), 지연, 에러발생률, 다수의클라이언트와의상호작용을측정하였다. 해당연구의실험결과는하드웨어가속보안기능을가진장비를사용하면뚜렷한성능의저하없이도안전한무선네트워크를설립할수있다는것을보여준다. 2. 인증 IEEE 82.11i 는다음과같은인증관련사항을정의한다 [5][6]. 1) IEEE 82.1X 인증과키교환 IEEE 82.1X 는무선랜에서다수의인증방식을지원하는보편적인인증프레임워크인 EAP 를사용한다. 많은 EAP 인증방식중에, EAPMD5, LEAP (Lightweight EAP), EAPTLS, EAPTTLS (EAPTunneled TLS), EAPIKEv2, PEAP (Protected EAP) 이가장널리쓰이는방식이다. 인증이성공적이면, 엑세스포인트는인증된사용자의접근을인가한다. 접근의인가후, 사용자는모든무선랜자원에대해접근할수있다. 3) 키교환및합의 IEEE 82.1X 인증에서, 각각의스테이션과서버는교환된키요소 (Key Material) 로부터하나의 MK (Master Key) 를생성한다. 그리고각각은 PMK (Pairwise Master Key) 를 MK 로부터유도한다. 서버는유도된 PMK 를스테이션에상응하는엑세스포인트로전달하여이제스테이션과엑세스포인트는하나의 PMK 를공유한다. 인증후에이루어지는 Handshake 는 PTK (Pairwise Transient Key), GTK (Group Temporal Key), STAKey (Station to Station Key) 등의키를유도한다 [5][6]< 표 1>. MK PMK PTK GTK STAKe y < 표 1> IEEE 82.11i 키체계 정책결정토큰 정책집행토큰 PMK 와 4way handshake 로부터유도 PTK 의일부를 KCK (Key Confirmation Key), KEK (Key Encryption Key), TK (Temporal Key) 로사용 브로드캐스트트래픽암호화를위해사용 같은 BSS 에속한두스테이션사이의키 (AP 의암 / 복호화부하를줄임 ) ( 그림 3) 은무선랩접근을위한 IEEE 82.11i 표준의메시지흐름을보여준다. 요약하면, 이표준의모든요소들, 즉, 인증을위한 IEEE 82.1X, 4Way Handshake, 키계층체계, 암호화알고리즘모음이서로하나로연관되어사용자를보호하기위한강력한보안네트워크 (RSN: Robust Security Network) 를만든다고할수있다. ( 그림 ) 포트기반인증 [5] 2) 포트기반인증프레임워크 ( 그림 2) 일반적으로무선스테이션은 EAP 인증방식을사용해서 RADIUS 인증서버와통신한다. 모든통신은엑세스포인트를통해보내지고엑세스포인트는단순히메시지를중계한다. 일단 ( 그림 3) IEEE 82.11i Flow [7]

4 III. 적용모델 이번장에서는본논문에서제안된새로운 EAP 인증방식의실례를살펴보기위해작은네트워크사이즈를가진무선랜을위한모델을만들것이다. 설명의편의를위해서우리가대학의학생, 교수, 또는직원이라고가정하자. 1. 보안위협 우선캠퍼스무선랜에서발생가능한보안위협과기술적인문제들을나열하면다음과같다. 비인가자가무선랜에접근할수있고이를이용해공격을시도할수있다. 적법한사용자라고하더라도자신의신원을숨기거나위장하여학내자원을공격할수있다. 확장서비스세트 (ESS: Extended Service Set) 내에전송되는패킷을도청할수있다. 허위 AP 는 WiPhishing 위협을불러온다. 중간자공격으로키가노출되거나패킷을임의로삽입, 버리거나재전송할수있다. 인증지연은특히실시간서비스에심각한서비스품질저하를초래할수있다. 2. 보안요구사항 위에서살펴본보안위협과문제을해결하기위해서는다음과같은보안요구사항을고려해야한다 [8]. 상호인증 무결성보호 재전송보호 기밀성 키유도 사전공격에대한저지 빠른재연결 암호적바인딩 (Cryptographic Binding) 허위 AP 감지 3. 보안모델을위한가정 위에제시된보안요구사항을만족시키기위한모델에서필요한가정은다음과같다. 대학교무선랜은어디서나네트워크에접근할수있도록캠퍼스전체를대상으로한다. 모든장치는 WPA2 를사용해기밀성을보장할수있도록하드웨어가속보안기능을가지고있다. 오직인가된사용자만무선랜에접근할수있도록해야한다. 모든구성원은학교에입학할때인증서를발급받는다. 모든인증서는학사정책과규정에근거해인증기관 (CA: certificate authority) 에의해발급, 폐기, 재발급된다. AS 는단일도메인인증기관 (SDCA: SingleDomain CA) 의역할을한다. 따라서 AS 의인증서를스스로서명한다. AS 와 AP 는절대로공격에의해무력화되지않는다. AS 와 AP 는유선으로직접연결되어있기때문에서로를전적으로신뢰한다. 일반적으로대학의구성원, 특히학생들은매학기입학하고, 졸업하고, 휴학을했다가복학을한다. 네트워크의사이즈가작고구성원의수가적은경우를고려하면서도인증서기반의인증방식을선택한이유는오랜기간을놓고보았을때현구성원수에비해상당히많은수의사용자에대한인가여부를처리해야하고따라서키관리문제가상당히복잡해지기때문이다. 학사행정과맞물려인증서의발행, 폐기, 만료에따른키관리를수행한다면보다간단하고명료한관리가가능하다. AS 와 AP 가직접유선으로연결되어야전적으로신뢰가가능하기때문에작은규모의무선네트워크모델을설정하였다. 또한무선네트워크에 AS 나 AP 이외에다른호스트가유선으로연결되어도안된다. 네트워크주소체계중 C 클래스의네트워크를고려한다면연결가능한유무선호스트의개수는 AS 와 AP 를포함하여 254 개이다. 네트워크의사이즈를크게만들기위해 CIDR (Classless InterDomain Routing) 을고려하지않는다면이모델은작은사이즈의네트워크에적합한모델이다. 일반적인인증서기반인증의경우에는인증서체인의단편화 (Fragmentation) 에때문에훨씬더많은수의 Round Trip (RT) 이추가로필요할수도있다. 그러므로이모델에서는 AS 가대학도메인의유일한최상위인증기관 (Root CA) 의역할을동시에담당한다.

5 4. 시나리오 본논문에서사용되는모델에서는사용자를크게두그룹으로나누어생각해볼수있다. 우선노트북사용자의입장에서생각해보자. 노트북은이동하면서사용하기에는아직무겁다. 일단사용자가도서관과같은곳에자리를잡으면, 보통은작업을끝내기전까지그자리에머무르는경향이있다. 반면에 PDA 를사용하고있다고가정한다면, VOD 사이트에서놓친강의를시청하면서동시에캠퍼스무선랜범위 (ESS) 어느곳이라도갈수있다. 일반적으로 PDA 는노트북에비해가용자원이제한적이다. 이로부터다음의가정을덧붙인다. 노트북은빈번한로밍이나재연결이필요하지않다. PDA 는끊기지않는로밍을위한인증상한시간을고려한재연결이이루어져야한다. IV. EAPSTLS 본장에서는위에제시된대학교무선랜모델을위한새로운 EAP 인증방식인 EAP STLS (EAPSimple Transport Layer Security) 를제안한다. 제안프로토콜은인증서버와스테이션의공개키암호화방식을사용한상호인증방식이라는점에서 EAPTLS 와비슷하다. 그러나이방식은암호화알고리즘협상과인증서교환이필요없다는점이제안프로토콜의장점이다. 1. 프레임구성 Code Identifier Length Type Flags Data ( 그림 4) EAPSTLS 프레임구성 ( 그림 4) 는 EAPSTLS 에사용되는프레임의포맷을보여준다 [9]. Code 필드는 1 옥텟 (Octet) 으로 EAP 패킷의타입을식별하게한다. EAP Code 는다음과같이값이주어진다. 1 = Request 2 = Response 3 = Success 4 = Failure 한옥텟의 Identifier 필드는응답이요청과일치가되는지알수있게한다. 즉, 응답의 Identifier 필드는반드시현재의미해결된요청의 Identifier 필드와일치해야한다. Length 필드는두옥텟이고 Code, Identifier, Length, Data 필드들을포함한 EAP 패킷의길이를옥텟으로나타낸다. Length 필드범위밖의옥텟들은데이터링크계층의패딩으로취급되어수신시반드시버려진다. 수신한옥텟수보다큰값으로설정된 Length 필드를가진메시지는필히무시되어야한다. Data 필드는 또는그이상의옥텟으로채워진다. Data 필드의포맷은 Code 필드에의해결정된다. Type 필드는 EAPSTLS 타입이라는것을알려주기위한필드이다. 현재값이할당되지않은어떠한예비값으로도지정할수있지만사용을위해서는도메인의모든멤버에게사전에알려줘야한다. Flags 필드는다음과같은여덟비트의플래그를가지고있다.[ S F H R R R R R ]S = EAPSTLS StartF = EAPSTLS FinishedH = EAPSTLS HandoffR = Reserved. 2. 인증메시지흐름 III 장에제시된모델을바탕으로 EAPSTLS 인증을 ( 그림 5) 와같이설계하였다. EAP STLS 에서 STLS 동작은 AS (EAP 인증서버 ) 와 MN (EAP Peer) 사이에이루어지고, AP 는메시지를전달하는역할 (Passthorough) 로동작한다. 즉, EAP 프레임워크를따랐기때문에, AP 를바꾸지않고도구현할수있다. MN 와 AS 만업그레이드하면되기때문에무선랜기반시설의업그레이드가쉽고단순하다. 인증을시작하기전에, MN 는자신의인증서를가지고있어야한다. 이발급절차는오프라인에서수행될수있다. 예를들어, 신입생들에게 ID 를부여하면서소지자의인증서가포함된스마트카드를발급할수있다. IEEE 82.1X 인증은 MN 의 EAPoLStart 메시지와함께시작되어신원 (Identity) 의요청과응답으로이어진다. 실제 EAP 인증방식은그다음에 AS 의 Start 플래그를설정한 EAPRequest 로시작한다. MN 은 AS 의 STLS Start 메시지를받고, 랜덤 Master Key (MK) 를 AS 의공개키로암호화하여 AS 에게전달한다. AS 는 MK 를복호화하고임의의수 r 을생성한다. (MK r) 의해쉬값과 r 이 MN 로다시보내진다. MN 는해쉬값을검증한다음에, r 을개인키로서명하고 STLS Finish 플래그

6 비트를설정하여보낸다. AS 는 MN 가보낸값이 r 인지 MN 의공개키로확인하고, 다음의의사난수함수를이용하여 PMK 를계산하고이를 EAPSuccess 메시지에담아 AP 에전달한다. MN PMK = STLSPRF(MK, "EAPSTLS, r) EAPoLStart EAPRequest/Identity EAPResponse/Identity EAPRequest/EAPSTLS (STLS Start) EAPResponse/EAPSTLS (P AS [MK]) EAPRequest/EAPSTLS (H[MK r], r) EAPResponse/EAPSTLS (STLS Finished, S MN [r]) EAPSuccess AP RadiusAccessRequest/ EAPResponse/Identity RadiusAccessChallenge/ EAPRequest/EAPSTLS (STLS Start) RadiusAccessRequest/ EAPResponse/EAPSTLS (P AS [MK]) RadiusAccessChallenge/ EAPRequest/EAPSTLS (H[MK r], r) RadiusAccessRequest/ EAPResponse/EAPSTLS (STLS Finished, S MN [r]) RadiusAccessAccept EAPSuccess (PMK) ( 그림 5) EAPSTLS 인증흐름 AS MN 가 EAPSuccess 메시지를받으면 MN 또한같은값과함수를이용하여 PMK 를생성한다. 이제 MN 과 AP 는동일한 PMK 를공유한다. WPA2 를지원하는장치와 SDCA 로서동작하는 AS 를가정했기때문에프로토콜의흐름에어떠한암호화알고리즘협상이나인증서의전달이없어도가능하다. 한노드가현재의 BSS 에서다른 BSS 로이동할때새로운 AP 와재연결이필요하다. 빠른재연결을위해선인증 (Preauthentication) 방식및 PMK 관련정보의캐시 (cache) 기능의도입이제안되었지만 MN 와재연결하지않는 AP 에게도보안정보 (security context) 가전달되고 AP 는이를유지해야한다는단점이있다 [2][1]. 반면에 MN 주도의재연결은이러한문제점을해결하고 AP 간프로토콜 (IAPP: InterAP Protocol) 의필요없다 [2]. EAPSTLS 는 MN 주도의재연결방식을 EAP 인증프로토콜에적용함으로써빠른재연결이가능하도록하였다. MN 가 Handoff 플래그를설정하면 ( 그림 5) 의모든인증절차를밟지않고도새로운 AP 와 PMK 를공유할수있다. AS 가 STLSHandoff/Finished 메시지를이미인증된 MN 로부터기존의대응되던 AP a 와는다른새로운 AP b 를통해받게되면, AS 는 MN 의이전 PMK 를 AP b 에게전달한다. 그러면 MN 과 AP b 는 PMK 를공유하고새로운 BSS 를형성한다 ( 그림 6). 이러한빠른재연결기능의사용여부에대한결정은모바일노드 / 클라이언트가결정한다. 새로만든 PMK 를사용하는것이완전순방향비밀성 (Perfect Forward Secrecy) 측면에서더안전하겠지만, MN 가안전하게보호될필요가없는작업을수행하거나시간지연에치명적인실시간작업을하고있다면, STLS Handoff 를사용하는것이합리적이다. 다시말하면, EAP STLS 는자원이제한된기기나실시간멀티미디어어플리케이션을사용한다고하더라도서비스품질을보장할수있도록기기와응용프로그램에따라다른보안수준을제공할수있다. MN EAPoLStart EAPRequest/Identity EAPResponse/Identity EAPRequest/EAPSTLS (STLS Start) EAPResponse/EAPSTLS (STLS HandOff, STLS Finished) EAPSuccess AP RadiusAccessRequest/ EAPResponse/Identity RadiusAccessChallenge/ EAPRequest/EAPSTLS (STLS Start) RadiusAccessRequest/ EAPResponse/EAPSTLS (STLS HandOff, STLS Finished) RadiusAccessAccept EAPSuccess (PMK) ( 그림 6) EAPSTLS Handoff 재사용되는 PMK 가지금노출되지않은상태라면, 4Way Handshake 는통신하고있는스테이션의동작여부을확인하고, 새로운세션키의생성을보장하고, 암호화키를설치하고확인하는역할을하므로어느정도수준의완전순방향비밀성을보장한다. V. EAPSTLS 보안성능분석 AS 본장에서는 EAPSTLS 을 < 표 2> 에제시한바와같이다른 EAP 인증방식과비교함으로써분석한다 [2][11][12]. EAPMD5 는단방향인증방식이기때문에 EAPMD5 는중간자공격 ( 인증스푸핑 ) 에취약하다. 또한 EAPMD5 와 LEAP 은보안을패스워드해쉬에의존하기때문에사전공격에취약하다. EAPTLS [9] 의보안은매우높은수준이지만비교적많은 RSA 연산과 RT 이필요하다. 인증서기반의인증의경우, 인증서체인의단편화에기인한추가적인 RT 이필요하게된다. 일반적으로단편화된 EAP 패킷은단편의개수만큼많은 RT 를필요하다. 따라서단편화를고려하지않으면 4.5 RTs 가소요되지만실제로는약 8.5 RTs 가필요하다. 단편화를고려하지않았을때 TTLS/PEAP 이 6.5 RTs 로 TLS 보다많은데도불구하고단편화를

7 고려하였을때오히려 TLS 가 TTLS/PEAP (8 RTs) 보다더많은 RTs 가필요한것은그이유때문이다. EAPTTLS 나 PEAP 은오직서버쪽의인증서만필요로한다. 때문에프로토콜이조금더가벼워진다. 그렇지만사용자가단지인터넷연결을위해공격자의유효하지않은가짜인증서를받아들이면취약해지는단점이있다. 또한 MN 는어떠한 AP 도인증을하지않기때문에중간자공격이발생할수있다. 이러한문제는 EAP 메커니즘과터널사이의암호적인바인딩으로해결될수있지만그경우에는두개의메시지 (1 RT) 가더필요하게된다. < 표 2> 기존 EAP 인증방식과의비교 인증 클라이언트인증서 MD5 단방향 LEA P 쌍방향 T LS 쌍방향 TTLS PEAP 쌍방향 S TLS 쌍방향 X X O X O 서버인증서 X X O O O 허위 AP 감지 RT 2.5 X O X X X RSA 연산 X X 4. 5 / ν1 ε1 D 6.5 / 8(MD5) 1 ν1 ε1 D ν1 ε1 D 재연결 X X X X O 보안위험 / 위협 사전 / 중간자공격, 세션탈취 사전공격 중간자공격 보안수준하하상중상상 제공자 MS Cisc o M S Funk MS ( 기호 : sign, ν: verify, ε: encrypt, D: decrypto: 필요 / 지원, X: 불필요 / 미지원 ) IC U EAPSTLS 공개키기술에기반한시도 응답을통해상호인증을한다. STLS 는 TTLS/PEAP 보다한번의 RSA 서명연산이더필요하지만, 반면에중간자공격에안전하고훨씬더작은 RT 로수행가능하다. EAP STLS 는인증서를보내지않기때문에추가적인 RT 가필요없다는장점을가진다. 또한 STLS Handoff 를적절히사용하면 RSA 연산의부하를줄일수있다. EAPSTLS 는허위 AP 를감지하지못하지만허위 AP 가있다고하더라도 PMK 를알아낼수없고, 4Way Handshake 로유도된 PTK 로 WPA2 암호화가이루어지므로공격자는허위 AP 를이용한공격을할수없다. VI. 결론 본논문에서는작은규모의대학교무선랜모델에적용가능한새로운 EAP 인증방식이제안되었다. EAPSTLS 는적당한 RSA 연산과적은수의 RT 로도가능한인증서기반의상호인증방식이다. 제안프로토콜은안전한인증과가벼운로밍부하를지원하도록설계되었다. 또한, 제안인증방식은 EAP 프레임워크와 EAP 인증방식요구사항을만족하도록설계되었다. 따라서 AP 는인증의대상이아니고오직 Passthrough 에이전트로서동작한다. 제안인증프로토콜은 AP 의업데이트없이구현될수있지만 EAP 프레임워크와의호환성을고려하지않고설계한다면보다유연하고최적화된인증메커니즘을구현할수있으리라고생각한다. 본논문에서는인증서폐기를아직고려하지않았다. 향후인증서폐기를고려한설계시에인증시간을줄이면서인증서폐기목록 (CRL: Certificate Revocation List) 을효과적으로확인할수있는새로운방식을고려할것이다. 또한 EAPSTLS 를구현해서실질적인조건에서성능을검증할필요가있다. 참고문헌 [1] Bernard Aboba, Larry J. Blunk, John R. Vollbrecht, James Carlson, Henrik Levkowetz, Extensible Authentication Protocol (EAP), RFC 3748, June, 24. [2] Wikipedia, le_authentication_protocol. [3] Wikipedia, [4] Jonathan Hassell, Wireless Attacks and Penetration Testing, /1783. [5] Andrew Gin, The Performance of the IEEE 82.11i Security Specification on Wireless LANs, rch/reports/honsreps/25/hons_55.pdf,no vember, 25. [6] JyhCheng Chen, MingChia Jiang, and YiWen Liu, Wireless LAN Security and IEEE 82.11i, IEEE Wireless Communications, February, 25.

8 [7] 강유성, 오경희, 정병호, 정교일, 정찬형, 무선랜보안표준 IEEE 82.11i, TTA Journal, June, 25. [8] Dorothy Stanley, Jesse R. Walker, Bernard Aboba, EAP method Requirements for Wireless LANs, RFC 417, March, 25. [9] Bernard Aboba, Dan Simon, PPP EAP TLS Authentication Protocol, RFC 2716, October, [1] Mohamad Kassab, Abdelfettah Belghith,JeanMarie Bonnin, Sahbi Sassi, Fast PreAuthentication based on Proactive Key Distribution for Infrastructure Networks, WMuNeP'5, October, 25. [11] Mohamad Badra, Pascal Urien, and Ibrahim Hajjeh, Flexible and fast security solution for wireless LAN, Pervasive and Mobile Computing, June, 26. [12] Intel, an/sb/cs8413.htm. [13] Kismet, [14] airodump, ents/aircrack_airodump.htm. [15] AiroPeek NX, eek/airopeek_nx/overview. [16] AirSnort, [17] WEPCrack, ntents/wepcrackmain.htm. [18] Carl Rigney, Allan C. Rubens, William A.Simpson, Steve Willens, Remote Authentication Dial In User Service (RADIUS), RFC 2865, June, 2. [19] Pat Calhoun, John Loughney, Jari Arkko,Erik Guttman, Glen Zorn, Diameter Base Protocol, RFC 3588, September, 23. [2] Daniel Faria, David Cheriton, DoS and Authentication in Wireless Public Access Network, WiSe'2, September, 22.

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

TTA Verified : HomeGateway :, : (NEtwork Testing Team) : TTA-V-N-05-006-CC11 TTA Verified :2006 6 27 : 01 : 2005 7 18 : 2/15 00 01 2005 7 18 2006 6 27 6 7 9 Ethernet (VLAN, QoS, FTP ) (, ) : TTA-V-N-05-006-CC11