| 리포트 | 기술문서 | 테크-블로그 | 글로벌 블로그 | 원샷 갤러리 | 통신 방송 통계  | 한국 ICT 기업 총람 |

제품 검색

| 네트워크/통신 뉴스 | 기술자료실 | 자유게시판 |  
 
 
섹션 5G 4G LTE C-RAN/Fronthaul Gigabit Internet IPTV/UHD IoT SDN/NFV Wi-Fi Video Streaming KT SK Telecom LG U+ OTT Network Protocol CDN YouTube Data Center
 
스폰서채널 |

 

  스폰서채널 서비스란?
KT, SKT, LG U+ Wi-Fi Hotspot에서의 웹기반 인증 방식
KT, SKT, LG U+ Wi-Fi Hotspot: Web based Authentication Workflow
January 05, 2012 | By 유창모 (cmyoo@netmanias.com)
banner
코멘트 (6)
16

 

오늘은 국내 통신 3사의 Wi-Fi Hotspot에서의 웹기반 인증 방식에 대해서 설명드리겠습니다. 여기서 소개하는 웹인증 방식은 통신 3사의 특정 자료를 기반으로 하지 않고 간단한 테스트에 몇가지 추론을 첨가하여 작성하였으므로, 약간의 오류가 있을 수 있음을 먼저 알려 드립니다.

 

현재 국내 통신 사업자는 전국에 Wi-Fi Hotspot을 구축해 놓은 상태이며(지금도 계속 늘려가고 있지요) 어떤 SSID(Wi-Fi 서비스 이름)는 자물쇠 모양이 있어 802.1x 기반으로 인증을 받아야 인터넷 액세스가 되는 반면 어떤 SSID는 자물쇠 모양이 없는 즉, 802.1x 기반의 인증이 아닌 웹기반(웹서버에 접속하여 ID/PW 입력)으로 인증을 수행합니다. (단말 MAC 기반으로 인증을 하는 경우도 있는데 이 로직은 아직 파악이 안되었습니다. 파악 되는데로 소개 드리지요)

각 통신사별 웹기반 인증을 하는 SSID는 다음과 같습니다.

  • KT: NESPOT
  • SKT: T wifi zone (자물쇠 없는 거)
  • LG U+: U+zone_FREE

 

각 통신사별로 운영되는 웹기반 인증은 그 동작 방식(원리)이 매우 유사할 것으로 생각됩니다. 따라서 오늘은 Wi-Fi Hotspot 절대강자 KT의 NESPOT을 기반으로 인증 로직을 설명 드리도록 하겠습니다.

 

 

  1. KT NESPOT AP는 무선 구간으로 Beacon 메시지를 브로드캐스팅합니다. 이 메시지에는 SSID(NESPOT), AP의 MAC 주소, 그리고 보안 방식등이 포함 됩니다.
  2. 사용자가 SSID=NESPOT을 선택합니다.
  3. 이제 단말(MS 혹은 STA라 부름)은 NESPOT AP와 802.11 association을 맺습니다. 지난번에도 말씀드린 바와 같이 이 association이란 과정은 유선에서 보면 내 단말과 L2 switch를 LAN cable로 연결하는 행위라고 보시면 됩니다.
  4. NESPOT AP는 802.1x 인증을 수행하지 않으므로 6번의 IP 할당 절차로 바로 넘어갑니다. 즉, 이 세상 모든 Wi-Fi 단말은 일단은 NESPOT AP로 부터 IP 주소는 할당 받을 수 있습니다.
  5. 웹인증의 경우 무선 구간에서 사용자 데이터에 대한 무결성 보호(Integrity Protected)나 암호화(Encryption)를 하지 않습니다. 아니 할 수가 없습니다. (MAC 인증도 무선 구간 무결성 보호/암호화가 안 될 것으로 예상합니다.)
  6. 이제 단말은 AP로 부터 사설 IP 주소(172.30.10.10)를 할당 받습니다. 즉, AP는 DHCP server 역할을 하게 되고, 단말에 사설 IP 주소를 할당한다는 의미는 AP가 NAT/PAT를 수행한다는 뜻입니다.
  7. 이제 사용자는 IP 주소까지 할당 받았기 때문에 내가 원하는 사이트(예. 구글(www.gogole.com))에 접속을 시도합니다.
  8. NESPOT AP는 단말로 부터 수신되는 모든 HTTP 패킷을 검사하고, 인증(웹인증)되지 않은 가입자(MAC이나 IP로 구분)의 HTTP 트래픽은 미리 정해진 Web 서버(KT 웹인증 서버)로 HTTP 302 Redirection을 수행합니다.
  9. NESPOT AP가 단말로 전달하는 HTTP 302 Redirection 메시지에는 다음과 같은 정보가 포함됩니다.
    • 단말이 붙을 (HTTP GET을 보낼) 새로운 서버(웹인증 서버) URL: http://first.wifi.nespot.com/webauth/index.html
    • 현재 단말이 붙은(HTTP Redirection을 수행한) AP의 IP 주소: 220.117.151.112
    • 단말의 MAC 주소: A
    • 단말이 원래 접속하려 했던 URL: http://www.google.com
  10. HTTP 302 Redirect 메시지를 수신한 단말은 그 메시지에 포함된 URL(Location)로 HTTP GET을 보냅니다. 여기서 나가는 HTTP GET URL에는 웹인증 서버 URL, AP IP 주소, 단말 MAC 주소, 단말이 원래 접속하려던 URL이 모두 포함되어 있습니다. 
    • http://first.wifi.nespot.com/webauth/index.html?ip=220.117.151.112&mac=A&url=http://www.google.com
  11. 웹인증 서버는 로그인 페이지를 단말에게 전달합나다.
  12. 사용자가 웹페이지 상에서 KT ID/PW를 입력합니다.
  13. Wi-Fi 무선 구간이 암호화 되어 있지 않기 때문에 User Credential(ID/PW)이 안전하게 전송될 수 있도록 단말과 웹인증 서버간에 HTTPS(SSL over HTTP) session을 생성합니다.
  14. 사용자의 ID/PW가 안전하게 웹인증 서버로 전송됩니다.
  15. 웹인증 서버는 사용자의 ID/PW를 AP로 전달합니다. 이때 어느 AP로 전달할지에 대한 정보는 14번 메시지에서 단말로 부터 수신한 AP IP 주소를 이용하게 됩니다. 그리고 예상컨데 웹인증 서버와 AP간에 interface는 사업자에서 규정한 방식일 것으로 예상되고 따라서 비표준일 것입니다. (왜냐면 아무리 찾아봐도 이 interface를 언급하고 있는 표준 문서가 없더라구요)
  16. 사용자 ID/PW를 수신한 AP는 이제 Access Request 메시지에 그 정보를 실어 AAA로 사용자 인증을 요청합니다.
  17. AAA에는 이미 NESPOT 사용자에 대한 ID/PW가 미리 등록(Provisioning)되어 있고, 이 정보를 기반으로 인증 성공/실퍠를 판정합니다.
  18. AAA가 AP로 인증 성공 사실을 Access Accept 메시지를 통해 알립니다.
  19. 이제 AP는 해당 사용자에 대한 HTTP Redirection Rule을 해지합니다.
  20. AP는 인증 성공 사실을 웹인증 서버로 알립니다.
  21. 웹인증 서버는 14번 HTTP 메시지에 대한 응답으로 사용자 단말에게 인증 결과 웹페이지를 보여 줍니다.
  22. AP는 인증된 단말의 인터넷 사용량에 대한 통계를 위해, Accounting 메시지를 AAA로 주기적으로 보내기 시작합니다.
  23. 이제 사용자는 인터넷을 사용합니다. 근데 사용자가 주고 받는 인터넷 데이터는 Wi-Fi 무선구간에서 보호(무결성 보호 & 암호화)되지 않습니다. 누군가 그 패킷을 다 들여다 볼 수 있습니다. 주의하세요~ ^^*

 

위 그림의 8, 9번 flow 즉, HTTP Redirect에 대해서 아래와 같이 각 통신사업자별로 HTTP 메시지를 제 PC에서 Wireshark으로 캡쳐 해 보았습니다. 결과적으로는 통신 3사 모두 매우 유사함을 알 수 있습니다.

 
 

■ KT NESPOT AP의 HTTP 302 Redirection 메시지

KT AP는 HTTP 302 Redirect 메시지를 단말에 보낼 때 (1) Redirected URL, (2) AP IP 주소, (3) 단말 MAC 주소 그리고 (4) 단말이 처음 요청했던 URL이 포함됩니다.

 

 

■ SKT Tworld zone AP의 HTTP 302 Redirection 메시지

SKT AP는 HTTP 302 Redirect 메시지를 단말에 보낼 때 (1) Redirected URL, (2) AP IP 주소, (3) 단말 MAC 주소, (4) 단말이 처음 요청했던 URL 그리고 (5) AP MAC 주소가 포함됩니다.

 

 

■ LG U+의 U+zone_FREE AP의 HTTP 302 Redirection 메시지

LG U+ AP는 SKT와 동일합니다. 

 

민철홍 2012-03-15 10:31:05
안녕하세요~ 좋은글이 있어서 도움이 많이 되었습니다.

질문을 하나 드리고 싶은데요..

위와같이 특정 Wi-Fi 에 접속했을때 웹으로 인증하는것을.. 개인이 구축하려면 어떤게 필요할까요?
조언 부탁드립니다.
넷매니아즈 2012-03-16 10:55:41
시중에 있는 AP가 웹인증을 지원 즉, 웹서버를 지원하는지는 잘 모르겠는데요.
혹시 그런 AP가 있다면 RADIUS 구축 없이, AP를 통해 웹인증을 하면 될 것 같습니다.

즉, 다음과 같이요~
1. 먼저 AP에 ID/PW를 등록하고,
2. 단말이 AP에 붙으면 AP는 ID/PW를 입력받는 웹페이지를 띄우고,
3. 사용자가 ID/PW를 맞게 입력하면 AP에 붙여주고, 그렇지 않으면 붙여 주지 않고...
안녕하세요 2013-10-04 11:56:27
안녕하세요 혹시 요즘 공유기들은 위의 기능이 기본적으로 지원될까요?
조승택 2016-01-20 09:47:53

안녕하세요// 네.  저가형 공유기도 지원하는 기종이 있습니다.

안녕하세요 2018-10-22 20:26:11

맨처음 사진 출처를 좀 알수 있을까요?

버너 2018-10-24 16:28:35

처음에 있는 플로우가 그림을 말씀하시는 거라면 그건 넷메니아즈에서 직접 그린 겁니다. (아마도 비지오??)  

Thank you for visiting Netmanias! Please leave your comment if you have a question or suggestion.
View All (943)
5G (63) AI (5) ALTO (1) AR (2) ARP (6) AT&T (1) Akamai (5) Authentication (5) BT (1) Backhaul (2) Big Data (2) Bridging (5) C-RAN/Fronthaul (17) CDN (20) CIoT (2) CPRI (6) Carrier Aggregation (5) Charging (2) China Mobile (2) Cisco (6) CoMP (3) Comcast (1) DHCP (6) DNS (15) Data Center (15) EMM (1) EPS Bearer (7) Ethernet (3) FTTH (8) GSLB (5) Gigabit Internet (17) Google (17) Google Global Cache (8) Google TV (1) HLS (5) HTTP (5) HTTP Adaptive Streaming (7) HTTP Progressive Download (2) Handover (5) Huawei (1) IGMP (3) IP (6) IP Allocation (8) IP Routing (20) IPSec (4) IPTV (25) IoST (2) IoT (42) KT (44) Korea (8) Korea ICT Vendor (1) L3 Switch (5) LG U+ (24) LTE (98) LTE-A (10) LTE-A Pro (1) LTE-M (1) LTE-U (3) LoRa (5) MEC (4) MPLS (3) MWC 2013 (1) MWC 2015 (3) MWC 2016 (2) MWC 2017 (1) Mobile IPTV (1) Multi-Screen (1) Multicast (2) NAT (9) NB-IoT (6) NTT Docomo (1) Netflix (5) Network Protocol (49) Network Slicing (3) OSPF (3) OTT (20) Operator CDN (1) P2P (3) PS-LTE (3) Pooq (2) QoS (5) RCS (1) RRH (1) Request Routing (3) SD-WAN (8) SDN/NFV (33) SK Broadband (1) SK Telecom (37) Samsung (2) Security (8) Self-Driving (3) Shortest Path Tree (2) Small Cell (3) Spectrum Sharing (1) TAU (2) Transparent Caching (9) UHD (7) VLAN (2) VPN (3) VR (3) Video Streaming (22) VoLTE (1) VoWiFi (1) WAN Optimization (1) Wi-Fi (30) WiBro(WiMAX) (2) YouTube (16) eICIC (1) eMBMS (1) ePDG (6) u+ tv G (4) 로컬 5G (1)

 

 

     
         
     

 

     
     

넷매니아즈 회원 가입 하기

2019년 1월 현재 넷매니아즈 회원은 49,000+분입니다.

 

넷매니아즈 회원 가입을 하시면,

► 넷매니아즈 신규 컨텐츠 발행 소식 등의 정보를

   이메일 뉴스레터로 발송해드립니다.

► 넷매니아즈의 모든 컨텐츠를 pdf 파일로 다운로드

   받으실 수 있습니다. 

     
     

 

     
         
     

 

 

비밀번호 확인
코멘트 작성시 등록하신 비밀번호를 입력하여주세요.
비밀번호