KR20170074328A - 티씨피 동기 패킷을 이용한 인증 시스템 및 방법 및 클라이언트 및 기록매체 - Google Patents

티씨피 동기 패킷을 이용한 인증 시스템 및 방법 및 클라이언트 및 기록매체 Download PDF

Info

Publication number
KR20170074328A
KR20170074328A KR1020150183430A KR20150183430A KR20170074328A KR 20170074328 A KR20170074328 A KR 20170074328A KR 1020150183430 A KR1020150183430 A KR 1020150183430A KR 20150183430 A KR20150183430 A KR 20150183430A KR 20170074328 A KR20170074328 A KR 20170074328A
Authority
KR
South Korea
Prior art keywords
packet
spa
client
server
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020150183430A
Other languages
English (en)
Inventor
최태암
Original Assignee
주식회사 마크애니
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 마크애니 filed Critical 주식회사 마크애니
Priority to KR1020150183430A priority Critical patent/KR20170074328A/ko
Priority to US15/015,401 priority patent/US20170180518A1/en
Publication of KR20170074328A publication Critical patent/KR20170074328A/ko
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/324Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/326Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the transport layer [OSI layer 4]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 티씨피 동기 패킷을 이용한 인증 방법에 관한 것으로서, 클라이언트에서 SPA 패킷을 생성하는 제1단계; 클라이언트에서 상기 제1단계를 통해 생성된 SPA 패킷을 TCP SYN 패킷에 포함시켜 서버로 전송하는 제2단계; 서버에서 상기 TCP SYN 패킷에 포함된 SPA 패킷을 분석하여 유효 여부를 판단하는 제3단계; 및 상기 SPA 패킷이 유효할 경우, 서버에서 해당 클라이언트로 TCP ACK 패킷을 전송하여 서버와 해당 클라이언트 간의 통신 세션이 수립되는 제4단계; 를 포함하는 것을 특징으로 한다.
또한, 본 발명은 티씨피 동기 패킷을 이용한 인증 시스템에 관한 것으로서, SPA 패킷을 생성하고 생성된 SPA 패킷을 TCP SYN 패킷에 포함시켜 서버로 전송하는 클라이언트; 및 상기 클라이언트로부터 전송된 TCP SYN 패킷에 포함된 SPA 패킷을 분석하여 해당 클라이언트의 유효 여부를 판단하는 서버; 를 포함하며, 상기 서버는 상기 SPA 패킷이 유효할 경우, 해당 클라이언트로 TCP ACK 패킷을 전송하여 서버와 해당 클라이언트 간의 통신 세션이 수립되는 것을 특징으로 한다.
이에 의해, 클라이언트에서 SPA 패킷을 TCP SYN 패킷에 삽입하여 서버로 전송함으로써 인증 관련 절차와 통신 접속 절차를 일원화시켜 인증 절차가 간소화되어 서버의 응답속도를 향상시킬 수 있다.
또한, 클라이언트와 서버 간의 SPA 인증을 구현함에 있어 각각 클라이언트의 SPA 인증을 개별적으로 서버에서 확인하고 인증함으로써, IP 주소 기반의 인증에서 발생할 수 있는 보안 허점을 방지할 수 있다.

Description

티씨피 동기 패킷을 이용한 인증 시스템 및 방법 및 클라이언트 및 기록매체{Authentication System, Method, Client and Recording Media Using TCP SYN Packet}
본 발명은 티씨피 동기 패킷을 이용한 인증 시스템 및 방법 및 클라이언트 및 기록매체에 관한 것으로서, 보다 상세하게는, 단일 패킷 인증(Single Packet Authentication : SPA)을 통한 클라이언트와 서버 간 통신에 있어서, 클라이언트에서 SPA 패킷을 TCP SYN 패킷에 삽입하여 서버로 전송함으로써 절차의 간소화 및 보안성을 증대시킬 수 있는 티씨피 동기 패킷을 이용한 인증 시스템 및 방법 및 클라이언트 및 기록매체에 관한 것이다.
도 1 은 종래의 기술에 따른 SPA 패킷을 이용한 인증 방법의 과정을 나타낸 흐름도이다.
먼저, 클라이언트에서 SPA 패킷을 생성하여 서버로 전송한다.
다음, SPA 패킷을 수신한 서버는 해당 SPA 패킷에 대한 유효여부를 판단하고, 유효하지 않을 경우 SPA 패킷을 드랍시켜 통신을 종료하며, 유효할 경우 SPA 패킷에 포함된 클라이언트의 IP 주소를 자신의 ACL(Access Control List)에 삽입한 후 해당 IP 주소에 대한 통신 허용 시간을 정의한 타이머를 셋팅한다.
다음, 클라이언트에서 TCP SYN 패킷을 서버로 전송한다.
다음, 서버는 TCP SYN 패킷에 포함된 클라이언트의 IP 주소가 ACL에 등록되어 있는지 판단하고, 등록되어 있지 않을 경우 TCP SYN 패킷을 드랍시켜 통신을 종료하며, 등록되어 있을 경우 해당 TCP SYN 패킷을 프로토콜 스택에 삽입한 후, 해당 클라이언트로 TCP ACK 패킷을 전송한다. 이후 TCP ACK 패킷을 수신한 클라이언트는 이에 대한 응답 패킷을 전송함으로써 클라이언트와 서버 간의 통신이 이루어진다. 한편, 서버는 상기 셋팅된 타이머를 참조하여 통신 허용 시간이 종료되었을 경우, 해당 클라이언트의 IP 주소를 ACL에서 삭제하여 보안을 유지한다.
전술한 종래의 기술에 따른 인증 방법은 서버와 클라이언트 간의 SPA 패킷을 통한 인증을 구현하지만, SPA 패킷의 유효여부에 따라 해당 클라이언트의 IP 주소를 ACL에 등록시키고 이후 통신 세션 연결 요청에 있어 클라이언트의 IP 주소만을 참조하는 방식을 채택하고 있으므로 보안 상 허점이 발생할 수 있다. 예를 들면, 다수의 클라이언트가 하나의 공유기를 통해 서버로 접속 요청을 수행할 경우, 다수의 클라이언트는 동일한 IP 주소를 가지게 되며, 이때 하나의 클라이언트에서 SPA 인증을 수행하고 통신 허용 시간이 남아 있는 상태에서 SPA 인증을 수행하지 않은 다른 클라이언트가 서버로 접속을 요청하더라도 서버에서는 해당 클라이언트(인증 받지 않은 클라이언트)의 IP 주소가 등록되어 있어 접속을 허용하는 보안 홀이 발생되게 되는 것이다.
또한, 종래의 인증 방법은, SPA 패킷의 유효여부 판단, ACL 등록, 타이머 셋팅, 클라이언트의 접속 요청에 대한 ACL 확인 등의 비교적 많은 단계 및 절차를 통해 인증이 구현되므로 인증 과정에 있어 서버의 부하로 인한 응답속도가 저하될 수 있다는 문제점이 있었다.
대한민국 공개특허공보 공개번호 제10-2010-0103721호(2010.09.27. 공개)
본 발명은 상기 문제점을 개선하기 위하여 창작된 것으로써, 본 발명의 목적은, 클라이언트에서 SPA 패킷을 TCP SYN 패킷에 삽입하여 서버로 전송함으로써 인증 관련 절차와 통신 접속 절차를 일원화시켜 인증 절차가 간소화되어 서버의 응답속도를 향상시킬 수 있는 티씨피 동기 패킷을 이용한 인증 시스템 및 방법 및 클라이언트 및 기록매체를 제공하는 데 있다.
본 발명의 또 다른 목적은, 클라이언트와 서버 간의 SPA 인증을 구현함에 있어 각각 클라이언트의 SPA 인증을 개별적으로 서버에서 확인하고 인증함으로써, IP 주소 기반의 인증에서 발생할 수 있는 보안 허점을 방지할 수 있는 티씨피 동기 패킷을 이용한 인증 시스템 및 방법 및 클라이언트 및 기록매체를 제공하는 데 있다.
상기 목적은 본 발명에 따라, 서버와 클라이언트 간의 단일 패킷 인증(Single Packet Authentication : SPA)을 통한 TCP 통신 인증 방법에 있어서, 클라이언트에서 SPA 패킷을 생성하는 제1단계; 클라이언트에서 상기 제1단계를 통해 생성된 SPA 패킷을 TCP SYN 패킷에 포함시켜 서버로 전송하는 제2단계; 서버에서 상기 TCP SYN 패킷에 포함된 SPA 패킷을 분석하여 유효 여부를 판단하는 제3단계; 및 상기 SPA 패킷이 유효할 경우, 서버에서 해당 클라이언트로 TCP ACK 패킷을 전송하여 서버와 해당 클라이언트 간의 통신 세션이 수립되는 제4단계; 를 포함하는 티씨피 동기 패킷을 이용한 인증 방법에 의해 달성될 수 있다.
여기서, 상기 제1단계에서 생성되는 SPA 패킷에는 상기 서버와 클라이언트 간 미리 설정된 OTP(One Time Password) 방식을 통해 생성되는 일회성 인증 정보가 포함된다.
또한, 상기 제2단계는 TCP SYN 패킷의 페이로드(Payload)에 상기 SPA 패킷을 삽입시켜 SPA 패킷이 삽입된 TCP SYN 패킷을 서버로 전송하는 단계이다.
여기서, 상기 목적은, 상기 단계 중 어느 하나 이상의 단계에 따른 방법을 수행하며, 서버 또는 클라이언트에 설치되는 프로그램이 기록된 컴퓨터 판독 가능한 기록매체에 의해서도 달성될 수 있다.
한편, 상기 목적은, 본 발명에 따라, 서버와 클라이언트 간의 단일 패킷 인증(Single Packet Authentication : SPA)을 통한 TCP 통신 인증 시스템에 있어서, SPA 패킷을 생성하고 생성된 SPA 패킷을 TCP SYN 패킷에 포함시켜 서버로 전송하는 클라이언트; 및 상기 클라이언트로부터 전송된 TCP SYN 패킷에 포함된 SPA 패킷을 분석하여 해당 클라이언트의 유효 여부를 판단하는 서버; 를 포함하며, 상기 서버는 상기 SPA 패킷이 유효할 경우, 해당 클라이언트로 TCP ACK 패킷을 전송하여 서버와 해당 클라이언트 간의 통신 세션이 수립되는 티씨피 동기 패킷을 이용한 인증 시스템에 의해서도 달성될 수 있다.
여기서, 상기 클라이언트는, SPA 패킷을 생성하는 생성부; 상기 생성부에 의해 생성된 SPA 패킷을 TCP SYN 패킷에 포함시키는 삽입부; 및 상기 삽입부에 의해 생성된 SPA 패킷을 포함하는 TCP SYN 패킷을 서버로 전송하는 통신부; 를 포함한다.
또한, 상기 생성부는 서버와 미리 설정된 OTP(One Time Password) 방식을 통해 생성되는 일회성 인증 정보를 SPA 패킷에 포함시키도록 마련될 수 있다.
또한, 상기 삽입부는 TCP SYN 패킷의 페이로드(Payload)에 상기 SPA 패킷을 삽입시키도록 마련될 수 있다.
한편, 상기 목적은, 본 발명에 따라, 서버와의 단일 패킷 인증(Single Packet Authentication : SPA)을 통한 TCP 통신을 수행하는 클라이언트에 있어서, SPA 패킷을 생성하는 생성부; 상기 생성부에 의해 생성된 SPA 패킷을 TCP SYN 패킷에 포함시키는 삽입부; 및 상기 삽입부에 의해 생성된 SPA 패킷을 포함하는 TCP SYN 패킷을 서버로 전송하는 통신부; 를 포함하는 클라이언트에 의해서도 달성될 수 있다.
여기서, 상기 생성부는 서버와 미리 설정된 OTP(One Time Password) 방식을 통해 생성되는 일회성 인증 정보를 SPA 패킷에 포함시키도록 마련될 수 있다.
또한, 상기 삽입부는 TCP SYN 패킷의 페이로드(Payload)에 상기 SPA 패킷을 삽입시키도록 마련될 수 있다.
본 발명에 의해, 클라이언트에서 SPA 패킷을 TCP SYN 패킷에 삽입하여 서버로 전송함으로써 인증 관련 절차와 통신 접속 절차를 일원화시켜 인증 절차가 간소화되어 서버의 응답속도를 향상시킬 수 있다.
또한, 클라이언트와 서버 간의 SPA 인증을 구현함에 있어 각각 클라이언트의 SPA 인증을 개별적으로 서버에서 확인하고 인증함으로써, IP 주소 기반의 인증에서 발생할 수 있는 보안 허점을 방지할 수 있다.
도 1 은 종래의 기술에 따른 SPA 패킷을 이용한 인증 방법의 과정을 나타낸 흐름도이며,
도 2 는 본 발명에 따른 티씨피 동기 패킷을 이용한 인증 방법의 과정을 나타낸 흐름도이며,
도 3 은 본 발명에 따른 티씨피 동기 패킷을 이용한 인증 시스템의 구성을 나타낸 블럭도이다.
이하, 첨부된 도면을 참조하여 본 발명의 구성을 상세히 설명하기로 한다.
이에 앞서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 또는 "전달된다"등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.
즉, 본 명세서 및 청구범위에 사용된 용어는 사전적인 의미로 한정 해석되어서는 아니되며, 발명자는 자신의 발명을 최선의 방법으로 설명하기 위해 용어의 개념을 적절히 정의할 수 있다는 원칙에 입각하여, 본 발명의 기술적 사상에 부합되는 의미와 개념으로 해석되어야 한다.
따라서, 본 명세서에 기재된 실시예 및 도면에 도시된 구성은 본 발명의 바람직한 실시예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 표현하는 것은 아니므로, 본 출원 시점에 있어 이들을 대체할 수 있는 다양한 균등물과 변형예들이 존재할 수 있음을 이해하여야 한다.
1. 티씨피 동기 패킷을 이용한 인증 방법
도 2 는 본 발명에 따른 티씨피 동기 패킷을 이용한 인증 방법의 과정을 나타낸 흐름도이다.
도 2 를 참조하면, 본 발명에 따른 티씨피 동기 패킷을 이용한 인증 방법은, 클라이언트에서 SPA(Single Packet Authentication) 패킷을 생성하는 제1단계(S10); 클라이언트에서 상기 제1단계(S10)를 통해 생성된 SPA 패킷을 TCP SYN 패킷에 포함시켜 서버로 전송하는 제2단계(S20); 서버에서 상기 TCP SYN 패킷에 포함된 SPA 패킷을 분석하여 유효 여부를 판단하는 제3단계(S30); 및 상기 SPA 패킷이 유효할 경우, 서버에서 해당 클라이언트로 TCP ACK 패킷을 전송하여 서버와 해당 클라이언트 간의 통신 세션이 수립되는 제4단계(S40); 를 포함한다.
먼저, 클라이언트에서 SPA 패킷을 생성한다.(제1단계, S10)
여기서, 제1단계(S10)에서 생성되는 SPA 패킷에는 서버와 클라이언트 간 미리 설정된 OTP(One Time Password) 방식을 통해 생성되는 일회성 인증 정보가 포함된다.
다음, 생성된 SPA 패킷을 TCP SYN 패킷에 포함시켜 서버로 전송한다.(제2단계, S20)
여기서, 제2단계(S20)는 TCP SYN 패킷의 페이로드(Payload)에 상기 SPA 패킷을 삽입시켜 SPA 패킷이 삽입된 TCP SYN 패킷(TCP SYN packet with SPA)을 서버로 전송하는 단계이다.
TCP SYN 패킷의 페이로드에 SPA 패킷을 삽입시키는 구체적 방법은, 클라이언트 OS가 윈도우즈일 경우 WFP(Window's Filter Platform)을 이용하고, 클라이언트 OS가 리눅스 계열(안드로이드 포함)일 경우, Tap을 이용하여 서버로 전송되는 TCP SYN 패킷을 후킹(hooking)하여 TCP SYN 패킷의 페이로드에 SPA 패킷을 삽입시키는 방식이 채택될 수 있다.
다음, 서버에서 TCP SYN 패킷에 포함된 SPA 패킷을 분석하여 유효 여부를 판단한다.(제3단계, S30)
여기서, 서버는 SPA 패킷에 포함된 일회성 인증 정보를 확인하여 해당 패킷의 유효 여부를 판단하며, 유효하지 않을 경우 해당 패킷을 드랍시켜 통신을 종료하고, 유효할 경우 해당 패킷을 서버 프로토콜 스택에 올림으로써 인증을 완료한다.
다음, SPA 패킷이 유효할 경우, 서버에서 해당 클라이언트로 TCP ACK 패킷을 전송하여 서버와 해당 클라이언트 간의 통신 세션이 수립된다.(제4단계, S40)
여기서, TCP ACK 패킷을 수신한 클라이언트는 서버에 대해 응답 패킷을 전송하고 이후 서버와 클라이언트 간의 통신이 이루어진다.
전술한 바와 같은 본 발명에 따른 티씨피 동기 패킷을 이용한 인증 방법은, 이러한 방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한 기록매체, 즉 클라이언트(10) 또는 서버(20) 또는 독립적인 컨트롤 유닛에 설치되는 프로그램 또는 모바일 어플리케이션의 형태로 제공될 수 있을 것이다.
2. 티씨피 동기 패킷을 이용한 인증 시스템
도 3 은 본 발명에 따른 티씨피 동기 패킷을 이용한 인증 시스템의 구성을 나타낸 블럭도이다.
도 3 을 참조하면, 본 발명에 따른 티씨피 동기 패킷을 이용한 인증 시스템(100)은, SPA(Single Packet Authentication) 패킷을 생성하고 생성된 SPA 패킷을 TCP SYN 패킷에 포함시켜 서버로 전송하는 클라이언트(10); 및 상기 클라이언트(10)로부터 전송된 TCP SYN 패킷에 포함된 SPA 패킷을 분석하여 해당 클라이언트(10)의 유효 여부를 판단하는 서버(20); 를 포함한다.
여기서, 클라이언트(10)는 네트워크 망을 통해 서버(20)로 접속을 요청하는 단말의 일종으로 마련될 수 있으며, SPA 패킷을 생성하는 생성부(12); 상기 생성부(12)에 의해 생성된 SPA 패킷을 TCP SYN 패킷에 포함시키는 삽입부(14); 및 상기 삽입부(14)에 의해 생성된 SPA 패킷을 포함하는 TCP SYN 패킷을 서버(20)로 전송하는 통신부(16); 를 포함하여 마련될 수 있다.
여기서, 생성부(12)는 서버(20)와 미리 설정된 OTP(One Time Password) 방식을 통해 생성되는 일회성 인증 정보를 SPA 패킷에 포함시키도록 마련된다.
또한, 삽입부(14)는 TCP SYN 패킷의 페이로드(Payload)에 상기 SPA 패킷을 삽입시키는 역할을 수행하는 구성으로, TCP SYN 패킷의 페이로드에 SPA 패킷을 삽입시키는 구체적 방법은, 클라이언트 OS가 윈도우즈일 경우 WFP(Window's Filter Platform)을 이용하고, 클라이언트 OS가 리눅스 계열(안드로이드 포함)일 경우, Tap을 이용하여 서버로 전송되는 TCP SYN 패킷을 후킹(hooking)하여 TCP SYN 패킷의 페이로드에 SPA 패킷을 삽입시키는 방식으로 동작할 수 있다.
통신부(16)는 삽입부(14)에 의해 생성된 SPA 패킷을 포함하는 TCP SYN 패킷을 서버(20)로 전송한다.
서버(20)는 통신부(16)를 통해 전송된 TCP SYN 패킷에 포함된 SPA 패킷을 분석하여 유효 여부를 판단하는 역할을 수행한다. 구체적으로, 서버(20)는 SPA 패킷에 포함된 일회성 인증 정보를 확인하여 해당 패킷의 유효 여부를 판단하며, 유효하지 않을 경우 해당 패킷을 드랍시켜 통신을 종료하고, 유효할 경우 해당 패킷을 서버 프로토콜 스택에 올림으로써 인증을 완료한다.
서버(20)에서 SPA 패킷이 유효하다고 판단될 경우, 서버(20)는 해당 클라이언트(10)로 TCP ACK 패킷을 전송하여 서버(20)와 해당 클라이언트(10) 간의 통신 세션이 수립되며, TCP ACK 패킷을 수신한 클라이언트(10)는 서버(20)에 대해 응답 패킷을 전송하고 이후 서버(20)와 클라이언트(10) 간의 통신이 이루어진다.
즉, 본 발명에 따른 티씨피 동기 패킷을 이용한 인증 시스템(100)은, 클라이언트(10)에서 통신 요청 패킷(TCP SYN 패킷)에 인증 패킷(SPA 패킷)을 삽입하여 서버(20)로 전송하고, 서버(20)는 이에 대한 유효 여부를 판단하여 해당 클라이언트(10)에 대한 접속 여부를 결정하는 방식으로 동작함으로써 개별적인 통신 요청 패킷의 인증을 통해 공유기 등을 이용한 동일 IP 주소의 인증 홀 발생 문제를 방지할 수 있으며, 이로 인해 전체적인 시스템 보안성이 증대될 수 있는 것이다.
전술한 바와 같이 본 발명에 따른 티씨피 동기 패킷을 이용한 인증 시스템 및 방법 및 클라이언트 및 기록매체는, 클라이언트에서 SPA 패킷을 TCP SYN 패킷에 삽입하여 서버로 전송함으로써 인증 관련 절차와 통신 접속 절차를 일원화시켜 인증 절차가 간소화되어 서버의 응답속도를 향상시킬 수 있다.
또한, 클라이언트와 서버 간의 SPA 인증을 구현함에 있어 각각 클라이언트의 SPA 인증을 개별적으로 서버에서 확인하고 인증함으로써, IP 주소 기반의 인증에서 발생할 수 있는 보안 허점을 방지할 수 있다.
100 : 티씨피 동기 패킷을 이용한 인증 시스템
10 : 클라이언트
12 : 생성부
14 : 삽입부
16 : 통신부
20 : 서버

Claims (11)

  1. 서버와 클라이언트 간의 단일 패킷 인증(Single Packet Authentication : SPA)을 통한 TCP 통신 인증 방법에 있어서,
    클라이언트에서 SPA 패킷을 생성하는 제1단계;
    클라이언트에서 상기 제1단계를 통해 생성된 SPA 패킷을 TCP SYN 패킷에 포함시켜 서버로 전송하는 제2단계;
    서버에서 상기 TCP SYN 패킷에 포함된 SPA 패킷을 분석하여 유효 여부를 판단하는 제3단계; 및
    상기 SPA 패킷이 유효할 경우, 서버에서 해당 클라이언트로 TCP ACK 패킷을 전송하여 서버와 해당 클라이언트 간의 통신 세션이 수립되는 제4단계; 를 포함하는 것을 특징으로 하는
    티씨피 동기 패킷을 이용한 인증 방법.
  2. 제1항에 있어서,
    상기 제1단계에서 생성되는 SPA 패킷에는 상기 서버와 클라이언트 간 미리 설정된 OTP(One Time Password) 방식을 통해 생성되는 일회성 인증 정보가 포함되는 것을 특징으로 하는
    티씨피 동기 패킷을 이용한 인증 방법.
  3. 제1항에 있어서,
    상기 제2단계는 TCP SYN 패킷의 페이로드(Payload)에 상기 SPA 패킷을 삽입시켜 SPA 패킷이 삽입된 TCP SYN 패킷을 서버로 전송하는 단계인 것을 특징으로 하는
    티씨피 동기 패킷을 이용한 인증 방법.
  4. 상기 제1항 내지 제3항 중 어느 한 항에 따른 방법을 수행하며, 서버 또는 클라이언트에 설치되는 프로그램이 기록된 컴퓨터 판독 가능한 기록매체.
  5. 서버와 클라이언트 간의 단일 패킷 인증(Single Packet Authentication : SPA)을 통한 TCP 통신 인증 시스템에 있어서,
    SPA 패킷을 생성하고 생성된 SPA 패킷을 TCP SYN 패킷에 포함시켜 서버로 전송하는 클라이언트; 및
    상기 클라이언트로부터 전송된 TCP SYN 패킷에 포함된 SPA 패킷을 분석하여 해당 클라이언트의 유효 여부를 판단하는 서버; 를 포함하며,
    상기 서버는 상기 SPA 패킷이 유효할 경우, 해당 클라이언트로 TCP ACK 패킷을 전송하여 서버와 해당 클라이언트 간의 통신 세션이 수립되는 것을 특징으로 하는
    티씨피 동기 패킷을 이용한 인증 시스템.
  6. 제5항에 있어서,
    상기 클라이언트는,
    SPA 패킷을 생성하는 생성부;
    상기 생성부에 의해 생성된 SPA 패킷을 TCP SYN 패킷에 포함시키는 삽입부; 및
    상기 삽입부에 의해 생성된 SPA 패킷을 포함하는 TCP SYN 패킷을 서버로 전송하는 통신부; 를 포함하는 것을 특징으로 하는
    티씨피 동기 패킷을 이용한 인증 시스템.
  7. 제6항에 있어서,
    상기 생성부는 서버와 미리 설정된 OTP(One Time Password) 방식을 통해 생성되는 일회성 인증 정보를 SPA 패킷에 포함시키도록 마련되는 것을 특징으로 하는
    티씨피 동기 패킷을 이용한 인증 시스템.
  8. 제6항에 있어서,
    상기 삽입부는 TCP SYN 패킷의 페이로드(Payload)에 상기 SPA 패킷을 삽입시키는 것을 특징으로 하는
    티씨피 동기 패킷을 이용한 인증 시스템.
  9. 서버와의 단일 패킷 인증(Single Packet Authentication : SPA)을 통한 TCP 통신을 수행하는 클라이언트에 있어서,
    SPA 패킷을 생성하는 생성부;
    상기 생성부에 의해 생성된 SPA 패킷을 TCP SYN 패킷에 포함시키는 삽입부; 및
    상기 삽입부에 의해 생성된 SPA 패킷을 포함하는 TCP SYN 패킷을 서버로 전송하는 통신부; 를 포함하는 것을 특징으로 하는
    클라이언트.
  10. 제9항에 있어서,
    상기 생성부는 서버와 미리 설정된 OTP(One Time Password) 방식을 통해 생성되는 일회성 인증 정보를 SPA 패킷에 포함시키도록 마련되는 것을 특징으로 하는
    클라이언트.
  11. 제9항에 있어서,
    상기 삽입부는 TCP SYN 패킷의 페이로드(Payload)에 상기 SPA 패킷을 삽입시키는 것을 특징으로 하는
    클라이언트.
KR1020150183430A 2015-12-22 2015-12-22 티씨피 동기 패킷을 이용한 인증 시스템 및 방법 및 클라이언트 및 기록매체 Ceased KR20170074328A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020150183430A KR20170074328A (ko) 2015-12-22 2015-12-22 티씨피 동기 패킷을 이용한 인증 시스템 및 방법 및 클라이언트 및 기록매체
US15/015,401 US20170180518A1 (en) 2015-12-22 2016-02-04 Authentication system, method, client and recording medium using tcp sync packet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150183430A KR20170074328A (ko) 2015-12-22 2015-12-22 티씨피 동기 패킷을 이용한 인증 시스템 및 방법 및 클라이언트 및 기록매체

Publications (1)

Publication Number Publication Date
KR20170074328A true KR20170074328A (ko) 2017-06-30

Family

ID=59067287

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150183430A Ceased KR20170074328A (ko) 2015-12-22 2015-12-22 티씨피 동기 패킷을 이용한 인증 시스템 및 방법 및 클라이언트 및 기록매체

Country Status (2)

Country Link
US (1) US20170180518A1 (ko)
KR (1) KR20170074328A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102278808B1 (ko) * 2020-01-10 2021-07-16 남서울대학교 산학협력단 Tcp 패킷을 이용한 단일 패킷 인증 시스템 및 그 방법

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10757105B2 (en) * 2017-06-12 2020-08-25 At&T Intellectual Property I, L.P. On-demand network security system
CN111770090B (zh) * 2020-06-29 2022-07-12 深圳市联软科技股份有限公司 一种单包授权方法及系统
CN114531250A (zh) * 2020-10-30 2022-05-24 中国电信股份有限公司 终端身份认证实现方法、系统和控制器
CN112822158B (zh) * 2020-12-25 2022-11-11 奇安信科技集团股份有限公司 网络的访问方法、装置、电子设备及存储介质
US11956226B2 (en) 2021-07-29 2024-04-09 Evernorth Strategic Development, Inc. Medical records access system
CN113992357A (zh) * 2021-09-29 2022-01-28 新华三信息安全技术有限公司 一种客户端认证方法、装置、设备及机器可读存储介质
US12315604B2 (en) 2022-06-02 2025-05-27 Evernorth Stragic Development, Inc. Recurring remote monitoring with real-time exchange to analyze health data and generate action plans
US12567482B2 (en) 2022-06-02 2026-03-03 Evernorth Strategic Development, Inc. Survey and suggestion system
CN115473720A (zh) * 2022-09-06 2022-12-13 包风华 一种保护tcp/ip会话安全性的方法及系统
CN115865370B (zh) * 2022-11-25 2024-06-04 四川启睿克科技有限公司 一种基于tcp选项的单包授权验证方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6854063B1 (en) * 2000-03-03 2005-02-08 Cisco Technology, Inc. Method and apparatus for optimizing firewall processing
US8346951B2 (en) * 2002-03-05 2013-01-01 Blackridge Technology Holdings, Inc. Method for first packet authentication
US7069438B2 (en) * 2002-08-19 2006-06-27 Sowl Associates, Inc. Establishing authenticated network connections
US20160072787A1 (en) * 2002-08-19 2016-03-10 Igor V. Balabine Method for creating secure subnetworks on a general purpose network
US8413248B2 (en) * 2006-03-22 2013-04-02 Michael B. Rash Method for secure single-packet remote authorization
US8151323B2 (en) * 2006-04-12 2012-04-03 Citrix Systems, Inc. Systems and methods for providing levels of access and action control via an SSL VPN appliance
US8001381B2 (en) * 2008-02-26 2011-08-16 Motorola Solutions, Inc. Method and system for mutual authentication of nodes in a wireless communication network
CN101729513B (zh) * 2008-10-27 2014-02-19 华为数字技术(成都)有限公司 网络认证方法和装置
CN102014110A (zh) * 2009-09-08 2011-04-13 华为技术有限公司 认证通信流量的方法、通信系统和防护装置
US20110154469A1 (en) * 2009-12-17 2011-06-23 At&T Intellectual Property Llp Methods, systems, and computer program products for access control services using source port filtering
US9117075B1 (en) * 2010-11-22 2015-08-25 Trend Micro Inc. Early malware detection by cross-referencing host data

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102278808B1 (ko) * 2020-01-10 2021-07-16 남서울대학교 산학협력단 Tcp 패킷을 이용한 단일 패킷 인증 시스템 및 그 방법

Also Published As

Publication number Publication date
US20170180518A1 (en) 2017-06-22

Similar Documents

Publication Publication Date Title
KR20170074328A (ko) 티씨피 동기 패킷을 이용한 인증 시스템 및 방법 및 클라이언트 및 기록매체
EP3529965B1 (en) System and method for configuring a wireless device for wireless network access
EP3021549B1 (en) Terminal authentication apparatus and method
US10110642B2 (en) Communication apparatus, communication system, communication method, and storage medium
US10158608B2 (en) Key establishment for constrained resource devices
JP2021522757A (ja) コアネットワ−クへの非3gpp装置アクセス
JP7337912B2 (ja) コアネットワークへの非3gppデバイスアクセス
EP3286893A1 (en) Secure transmission of a session identifier during service authentication
KR101929868B1 (ko) 연결 확립 방법, 장치, 및 시스템
CN105262597B (zh) 网络接入认证方法、客户终端、接入设备及认证设备
CN106230587B (zh) 一种长连接防重放攻击的方法
US9215220B2 (en) Remote verification of attributes in a communication network
CN102547701A (zh) 认证方法、无线接入点和认证服务器
CN117375838A (zh) 一种验证方法、终端设备、网络设备及介质
CN104426656A (zh) 数据收发方法及系统、消息的处理方法及装置
CN102264050B (zh) 网络接入方法、系统及认证服务器
WO2022001474A1 (zh) 网络切片连接管理方法、终端及计算机可读存储介质
CN111031540B (zh) 一种无线网络连接方法及计算机存储介质
CN113645115B (zh) 虚拟专用网络接入方法和系统
EP3932044B1 (en) Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp)
EP3319277B1 (en) Provision of access to a network
WO2016050133A1 (zh) 一种认证凭证更替的方法及装置
CN114844674A (zh) 动态授权方法、系统、电子设备及存储介质
CN109688104A (zh) 一种实现将网络中的主机隐藏的系统及方法
US20160294558A1 (en) Information collection system and a connection control method in the information collection system

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20151222

PG1501 Laying open of application
A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20201013

Comment text: Request for Examination of Application

Patent event code: PA02011R01I

Patent event date: 20151222

Comment text: Patent Application

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20211220

Patent event code: PE09021S01D

E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20220428

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20211220

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I