KR100458955B1 - Security method for the Wireless LAN - Google Patents

Security method for the Wireless LAN Download PDF

Info

Publication number
KR100458955B1
KR100458955B1 KR10-2002-0021357A KR20020021357A KR100458955B1 KR 100458955 B1 KR100458955 B1 KR 100458955B1 KR 20020021357 A KR20020021357 A KR 20020021357A KR 100458955 B1 KR100458955 B1 KR 100458955B1
Authority
KR
South Korea
Prior art keywords
access point
symmetric key
server
wireless terminal
random number
Prior art date
Application number
KR10-2002-0021357A
Other languages
Korean (ko)
Other versions
KR20030082855A (en
Inventor
라은주
이종후
류재철
Original Assignee
(주) 시큐컴
류재철
이종후
라은주
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 시큐컴, 류재철, 이종후, 라은주 filed Critical (주) 시큐컴
Priority to KR10-2002-0021357A priority Critical patent/KR100458955B1/en
Publication of KR20030082855A publication Critical patent/KR20030082855A/en
Application granted granted Critical
Publication of KR100458955B1 publication Critical patent/KR100458955B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

본 발명은 무선랜 보안방법에 관한 것으로, 서버(10)와, 상기 서버(10)와 유선랜 통신하는 적어도 하나 이상의 액세스 포인트(20)와, 상기 액세스 포인트(20)와 무선랜 통신하는 적어도 하나 이상의 무선단말기(30)를 포함하는 무선랜 보안 시스템에서 액세스 포인트와 서버간, 액세스 포인트와 무선단말기간에서 대칭키 방식으로 암호화 통신을 하게 되며, 이 대칭키 암호화 통신에 사용되는 대칭키를 서버로부터 공개키 암호화 방식에 따라 분배함으로써 액세스 포인트와 서버간 뿐만 아니라 액세스 포인트와 무선단말기간에 암호화 통신이 가능해 허가되지 않은 악의를 가진 사용자의 접근을 방지할 수 있고, 세션(Session)별로 암호키를 생성하여 분배하므로 키 노출 가능성이 적으며, 난수를 사용하여 재전송 공격을 방지할 수 있도록 한 것이다.The present invention relates to a wireless LAN security method, comprising a server (10), at least one or more access points (20) in wired LAN communication with the server (10), and at least one or more in wireless LAN communication with the access point (20). In the WLAN security system including the wireless terminal 30, the communication between the access point and the server, the access point and the wireless terminal period in the symmetric key method, and the symmetric key used for this symmetric key encryption communication from the server By distributing according to the key encryption method, encrypted communication is possible not only between the access point and the server but also between the access point and the wireless terminal, thereby preventing the access of unauthorized malicious users and generating and distributing the encryption key for each session. Therefore, there is little possibility of key exposure, and random number is used to prevent replay attack.

Description

무선랜 보안 방법{Security method for the Wireless LAN}Security method for the Wireless LAN

본 발명은 무선랜 보안 방법에 관한 것으로, 무선 네트워크 환경하의 액세스 포인트와 무선단말기 사이의 보안 기술에 관련된 것이다.The present invention relates to a WLAN security method, and relates to a security technology between an access point and a wireless terminal in a wireless network environment.

종래의 무선랜 시스템은 무선단말기를 유/무선 네트워크에 연결시켜주는 매개체 역할을 하는 액세스 포인트(Access Point)와 무선단말기 사이의 통신에 있어서 사용자 인증이 제공되지 않고, 매우 취약한 구조의 암호화 통신이 적용되는 실정이었다.The conventional WLAN system does not provide user authentication in communication between an access point and a wireless terminal, which serves as a medium for connecting a wireless terminal to a wired / wireless network, and has a very weak encryption communication. It was a situation.

즉, 종래의 무선랜 시스템에서는 액세스 포인트에서 무선단말기에 대한 사용자 인증을 하지 않기 때문에 악의를 가진 사용자가 쉽게 액세스 포인트에 접속 가능하므로 많은 위험성을 내포하고 있었고, 상기 액세스 포인트와 무선단말기 사이의 암호 통신에 있어서도 암호화에 사용되는 암호키가 정적으로 할당되어 암호키 노출의 위험성이 있으며, 암호화에 사용되는 초기화 벡터(Initial Vector)가 평문으로 전송되어 초기화 벡터의 재사용이 가능하므로 이를 이용하여 암호문을 해독하는 것이 가능한 문제점을 가지고 있었다.That is, in the conventional wireless LAN system, since the user does not authenticate the wireless terminal at the access point, a malicious user can easily access the access point, which includes many risks, and the encrypted communication between the access point and the wireless terminal. Also, the encryption key used for encryption is statically assigned, and there is a risk of exposure of the encryption key.Initial vector used for encryption is transmitted in plain text so that the initialization vector can be reused. It had a possible problem.

상기의 초기화 벡터(Initial Vector)는 관용암호방식에서 메시지를 암호화 할 때, 어떤 메시지들은 항상 시작부분이 동일(예컨데, e-메일에 사용되는 From, 홈페이지 주소의 앞부분 http:// 등)할 수 있어 해킹에 대한 노출 위험성이 크기 때문에, 이를 방지하기 위해 메시지의 시작 부분에 삽입되는 임의의 값을 의미한다.The Initial Vector is a common cipher when encrypting a message. Some messages can always have the same beginning (e.g. From, which is used for e-mail, http: // at the beginning of the homepage address, etc.). Because there is a high risk of exposure to hacking, it means any value inserted at the beginning of the message to prevent this.

따라서, 본 발명자는 액세스 포인트와 무선단말기 사이에 사용자 인증이 이루어져 허가되지 않은 악의를 가진 사용자의 접근을 방지할 수 있으며, 세션(Session)별로 암호키를 생성하여 분배하므로 키 노출 가능성이 줄어들고, 난수를 사용하여 재전송 공격을 방지할 수 있어 보안 측면에서 매우 취약한 종래의무선랜 시스템에서의 암호화 기술의 단점을 해결할 수 있는 무선랜 보안 방법에 대한 연구를 하게 되었다.Therefore, the present inventors can prevent user's access by unauthorized user by making user authentication between access point and wireless terminal, and reduce the possibility of key exposure by generating and distributing encryption key for each session. The research on the wireless LAN security method that can solve the shortcomings of the encryption technology in the conventional wireless LAN system that is very vulnerable in terms of security because it can prevent the retransmission attack using the.

본 발명은 상기한 취지하에 발명된 것으로, 액세스 포인트와 무선단말기 사이에 암호화 통신이 가능해 허가되지 않은 악의를 가진 사용자의 접근을 방지할 수 있는 무선랜 보안 방법을 제공하는 것이다.The present invention has been invented under the above-described aspect, and provides a wireless LAN security method capable of preventing encrypted access between an access point and a wireless terminal to prevent unauthorized access by a user.

본 발명의 또 다른 목적은 세션(Session)별로 암호키를 생성하여 분배하므로 키 노출 가능성이 적은 무선랜 보안 방법을 제공하는 것이다.It is still another object of the present invention to provide a WLAN security method with less possibility of key exposure since the encryption key is generated and distributed for each session.

본 발명의 또 다른 목적은 난수를 사용하여 재전송 공격을 방지할 수 있는 무선랜 보안 방법을 제공하는 것이다.Still another object of the present invention is to provide a WLAN security method that can prevent retransmission attacks using random numbers.

상기한 목적을 달성하기 위한 본 발명의 일 양상에 따르면, 본 발명에 따른 무선랜 보안 방법은 서버로 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1) 요청정보를 전송하는 단계와; 상기 서버로부터 액세스 포인트의 공개키(KAP,PUB)를 이용해 암호화한 제 1 대칭키(KAP,S1)를 포함하는 제 1 암호화정보(EK1)를 수신하는 단계와; 액세스 포인트의 비밀키(KAP,PRI)를 이용해 상기 제 1 암호화정보(EK1)를 복호화하여 상기 제 1 대칭키(KAP,S1)를 획득하는 단계와; 무선단말기가 액세스 포인트에 접속시 상기 서버로 상기 액세스 포인트와 무선단말기간의 암호화 통신에 사용되는 제 2 대칭키(KAP,S2) 요청정보를 전송하는 단계와; 상기 서버로부터 상기 제 1 대칭키(KAP,S1)를 이용해 암호화한 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)와, 무선단말기의 공개키(KMS,PUB)를 이용해 암호화한 상기 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)를 수신하는 단계와; 상기 제 1 대칭키(KAP,S1)를 이용해 제 2 암호화정보(EK2)를 복호화하여 상기 제 2 대칭키(KAP,S2)를 획득하고, 상기 제 3 암호화정보(EK3)를 무선단말기로 전송하는 단계와; 무선단말기의 비밀키(KMS,PRI)를 이용해 상기 제 3 암호화정보(EK3)를 복호화하여 상기 제 2 대칭키(KAP,S2)를 획득한 무선단말기와는 상기 제 2 대칭키(KAP,S2)를 이용해 암호화 통신하고, 상기 서버와는 상기 제 1 대칭키(KAP,S1)를 이용해 암호화 통신하는 단계를 포함하는 액세스 포인트측 실행모듈을 포함하는 것을 특징으로 한다.According to an aspect of the present invention for achieving the above object, a wireless LAN security method according to the present invention is a server for the first symmetric key (K AP, S1 ) request information used for encrypted communication between the access point and the server Transmitting; Receiving first encryption information (EK1) including a first symmetric key (K AP, S1 ) encrypted using the public key (K AP, PUB ) of the access point from the server; Acquiring the first symmetric key (K AP, S1 ) by decrypting the first encryption information (EK1) using a secret key (K AP, PRI ) of an access point; Transmitting second symmetric key (K AP, S2 ) request information used for encrypted communication between the access point and the wireless terminal period to the server when the wireless terminal accesses the access point; Second encryption information (EK2) including a second symmetric key (K AP, S2 ) encrypted using the first symmetric key (K AP, S1 ) from the server , and a public key (K MS, PUB ) of a wireless terminal. Receiving third encryption information (EK3) including the second symmetric key (K AP, S2 ) encrypted using the < RTI ID = 0.0 > Wherein the first symmetric key (K AP, S1) the second encrypted information (EK2) by decoding the first the second obtaining the symmetric key (K AP, S2), and the third encrypted information (EK3) using a wireless terminal Transmitting; Secret of the mobile station key (K MS, PRI) for using the third and decoding encoded information (EK3) the second symmetric key (K AP, S2) the obtained wireless terminal and the second symmetric key (K AP And S2 ) and an access point side execution module including encrypting and communicating with the server using the first symmetric key (K AP, S1 ).

본 발명의 부가적인 양상에 따르면, 본 발명에 따른 무선랜 보안 방법은 상기 서버가 논리적 또는 물리적으로 2개의 서버로 분리되고, 그중 하나의 서버가 제 1 대칭키(KAP,S1)를 분배하고, 다른 하나의 서버가 제 2 대칭키(KAP,S2)를 분배하는 것을 특징으로 한다.According to an additional aspect of the present invention, in the WLAN security method according to the present invention, the server is logically or physically divided into two servers, one of which distributes the first symmetric key (K AP, S1 ) and The other server distributes the second symmetric key (K AP, S2 ).

본 발명의 또 다른 양상에 따르면, 본 발명에 따른 무선랜 보안 방법은 액세스 포인트로부터 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1) 요청정보를 수신하는 단계와; 액세스 포인트의 공개키(KAP,PUB)를 이용해제 1 대칭키(KAP,S1)를 포함하는 제 1 암호화정보(EK1)를 생성하고, 이를 상기 액세스 포인트로 전송하는 단계와; 무선단말기가 액세스 포인트에 접속시 액세스 포인트로부터 상기 액세스 포인트와 무선단말기간의 암호화 통신에 사용되는 제 2 대칭키(KAP,S2) 요청정보를 수신하는 단계와; 상기 제 1 대칭키(KAP,S1)를 이용해 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)를 생성하고, 무선단말기의 공개키(KMS,PUB)를 이용해 상기 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)를 생성하고, 이들을 상기 액세스 포인트로 전송하는 단계와; 상기 액세스 포인트와 서버간에 송수신되는 데이타를 상기 제 1 대칭키(KAP,S1)를 이용해 암호화 통신하는 단계를 포함하는 서버측 실행모듈을 포함하는 것을 특징으로 한다.According to still another aspect of the present invention, there is provided a WLAN security method comprising: receiving, from an access point, first symmetric key (K AP, S1 ) request information used for encrypted communication between the access point and a server; Generating first encryption information (EK1) including a first symmetric key (K AP, S1 ) using a public key (K AP, PUB ) of the access point, and transmitting it to the access point; Receiving second symmetric key (K AP, S2 ) request information used for encrypted communication between the access point and the wireless terminal period from the access point when the wireless terminal connects to the access point; Generating a second encryption information (EK2) for using the first symmetric key (K AP, S1) and a second symmetric key (K AP, S2) and, using the public key (K MS, PUB) of the mobile station Generating third encryption information (EK3) including the second symmetric key (K AP, S2 ) and transmitting them to the access point; And a server-side execution module including encrypting and communicating data transmitted and received between the access point and the server using the first symmetric key (K AP, S1 ).

도 1 은 본 발명에 따른 무선랜 보안 방법이 적용되는 무선랜 보안 시스템의 개요도1 is a schematic diagram of a WLAN security system to which a WLAN security method according to the present invention is applied;

도 2 는 본 발명에 따른 무선랜 보안 방법의 액세스 포인트측 실행모듈의 일실시예에 따른 흐름도2 is a flowchart according to an embodiment of an access point side execution module of a WLAN security method according to the present invention;

도 3 은 본 발명에 따른 무선랜 보안 방법의 액세스 포인트측 실행모듈의 또 다른 실시예에 따른 흐름도3 is a flowchart according to another embodiment of an access point side execution module of a WLAN security method according to the present invention;

도 4 는 본 발명에 따른 무선랜 보안 방법의 서버측 실행모듈의 일실시예에 따른 흐름도4 is a flowchart of an embodiment of a server-side execution module of a WLAN security method according to the present invention;

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

10 : 서버 20 : 액세스 포인트10: server 20: access point

30 : 무선단말기30: wireless terminal

이하, 첨부된 도면을 참조하여 기술되는 바람직한 실시예를 통해 본 발명에 따른 무선랜 보안 방법을 보다 상세히 설명한다.Hereinafter, a WLAN security method according to the present invention will be described in more detail with reference to the accompanying drawings.

도 1 은 본 발명에 따른 무선랜 보안 방법이 적용되는 무선랜 보안 시스템의 개요도이다.1 is a schematic diagram of a WLAN security system to which a WLAN security method according to the present invention is applied.

도면에 도시한 바와같이, 본 발명에 따른 무선랜 보안 시스템은 서버(10)와, 상기 서버(10)와 유선랜 통신하는 적어도 하나 이상의 액세스 포인트(20)와, 상기 액세스 포인트(20)와 무선랜 통신하는 적어도 하나 이상의 무선단말기(30)를 포함한다.As shown in the figure, the WLAN security system according to the present invention includes a server 10, at least one access point 20 in wired LAN communication with the server 10, and the access point 20 and a WLAN. At least one wireless terminal 30 in communication with the.

상기 서버(10)는 상기 서버(10)와 액세스 포인트(20)간의 암호화 통신을 위한 제 1 대칭키와, 상기 액세스 포인트(20)와 무선단말기(30)간의 암호화 통신을 위한 제 2 대칭키를 공개키 방식으로 암호화하여 분배한다.The server 10 provides a first symmetric key for encrypted communication between the server 10 and the access point 20 and a second symmetric key for encrypted communication between the access point 20 and the wireless terminal 30. Encrypt and distribute using public key method.

상기 서버(10)는 논리적 또는 물리적으로 2개의 서버로 분리하여 구성할 수 도 있으며, 이 2개의 서버 중 하나의 서버가 제 1 대칭키를 분배하고, 다른 하나의 서버가 제 2 대칭키를 분배하도록 할 수 있다.The server 10 may be logically or physically divided into two servers. One of the two servers distributes the first symmetric key, and the other server distributes the second symmetric key. You can do that.

상기 액세스 포인트(20)는 무선단말기(30)를 유/무선 네트워크에 연결시켜주는 매개체 역할을 하는 네트워크 장비로, 상기 서버(10)로부터 서버(10)와 액세스 포인트(20)간의 암호화 통신을 위한 제 1 대칭키를 수신하고, 무선단말기(30) 접속시 상기 서버(10)로부터 액세스 포인트(20)와 무선단말기(30)간의 암호화 통신을 위한 제 2 대칭키를 수신하여 이를 무선단말기(30)로 전송한다.The access point 20 is a network device that serves as a medium for connecting the wireless terminal 30 to a wired / wireless network. The access point 20 is an encryption device for the encrypted communication between the server 10 and the access point 20 from the server 10. Receiving the first symmetric key, and receives the second symmetric key for encrypted communication between the access point 20 and the wireless terminal 30 from the server 10 when the wireless terminal 30 is connected to the wireless terminal 30 To send.

상기 무선단말기(30)는 노트북 컴퓨터, PDA, 이동통신 단말기 등의 무선 네트워크 환경하에서 통신하는 장치이다.The wireless terminal 30 is a device for communicating in a wireless network environment such as a notebook computer, PDA, mobile communication terminal.

좀더 구체적으로 본 발명에 따른 무선랜 보안 방법에 대해 설명한다.More specifically, the WLAN security method according to the present invention will be described.

도 2 는 본 발명에 따른 무선랜 보안 방법의 액세스 포인트측 실행모듈의 일실시예에 따른 흐름도이다.2 is a flowchart according to an embodiment of an access point side execution module of a WLAN security method according to the present invention.

단계 S101 에서 액세스 포인트가 서버로 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1) 요청정보를 전송한다.In step S101, the access point transmits first symmetric key (K AP, S1 ) request information used for encrypted communication between the access point and the server to the server.

이때, 상기 요청정보는 상기 서버의 공개키(KS,PUB)로 암호화하여 전송할 수도 있으며, 이 경우엔 이를 수신한 서버가 자신의 비밀키(KS,PRI)로 이를 복호화한다.At this time, the request information may be transmitted by encrypting with the public key (K S, PUB ) of the server, in which case, the server that receives it decrypts it with its private key (K S, PRI ).

단계 S102 에서 상기 액세스 포인트가 상기 서버로부터 액세스 포인트의 공개키(KAP,PUB)를 이용해 암호화한 제 1 대칭키(KAP,S1)를 포함하는 제 1 암호화정보(EK1)를 수신한다.In step S102, the access point receives first encryption information EK1 including the first symmetric key K AP, S1 encrypted using the public key K AP, PUB of the access point from the server.

단계 S103 에서 액세스 포인트의 비밀키(KAP,PRI)를 이용해 상기 제 1 암호화정보(EK1)를 복호화하여 상기 제 1 대칭키(KAP,S1)를 획득한다.In operation S103, the first encryption information EK1 is decrypted using the access point's secret keys K AP and PRI to obtain the first symmetric key K AP and S1 .

즉, 상기 서버는 액세스 포인트의 공개키(KAP,PUB) 및 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1)를 포함하고 있고, 액세스 포인트는 자신의 비밀키(KAP,PRI)를 포함하고 있어, 공개키 암호화 방식으로 암호화되어 서버로부터 전송되는 상기 제 1 대칭키(KAP,S1)를 액세스 포인트가 복호화하여 획득한다.That is, the server includes a public key (K AP, PUB ) of the access point and a first symmetric key (K AP, S1 ) used for encrypted communication between the access point and the server , and the access point has its own secret key. It includes (K AP, PRI ), the access point decrypts and obtains the first symmetric key (K AP, S1 ) encrypted by the public key encryption scheme and transmitted from the server.

단계 S104 에서 무선단말기가 액세스 포인트에 접속시 상기 액세스 포인트가 상기 서버로 상기 액세스 포인트와 무선단말기간의 암호화 통신에 사용되는 제 2 대칭키(KAP,S2) 요청정보를 전송한다.When the wireless terminal connects to the access point in step S104, the access point transmits second symmetric key (K AP, S2 ) request information used for encrypted communication between the access point and the wireless terminal period to the server.

이때, 상기 요청정보는 상기 서버의 공개키(KS,PUB)로 암호화하여 전송할 수 도 있으며, 이 경우엔 이를 수신한 서버가 자신의 비밀키(KS,PRI)로 이를 복호화한다.At this time, the request information may be transmitted by encrypting with the public key (K S, PUB ) of the server, in which case, the server that receives it decrypts it with its private key (K S, PRI ).

단계 S105 에서 상기 액세스 포인트가 상기 서버로부터 상기 제 1 대칭키(KAP,S1)를 이용해 암호화한 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)와, 무선단말기의 공개키(KMS,PUB)를 이용해 암호화한 상기 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)를 수신한다.In step S105, the second encryption information (EK2) including the second symmetric key (K AP, S2 ) encrypted by the access point using the first symmetric key (K AP, S1 ) from the server , and of the wireless terminal The third encryption information EK3 including the second symmetric key K AP and S2 encrypted using the public key K MS and PUB is received.

상기 단계 S104 에서의 제 2 대칭키(KAP,S2) 요청정보에 따라 서버는 상기 제 1 대칭키(KAP,S1)를 이용해 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)를 생성하고, 무선단말기의 공개키(KMS,PUB)를 이용해 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)를 생성한다.According to the request information of the second symmetric key (K AP, S2 ) in the step S104, the server uses the first symmetric key (K AP, S1 ) to include a second encryption key including the second symmetric key (K AP, S2 ). The information EK2 is generated, and the third encryption information EK3 including the second symmetric key K AP, S2 is generated using the public key K MS and PUB of the wireless terminal.

이렇게 생성된 제 2 암호화정보(EK2)와 제 3 암호화정보(EK3)는 상기 단계 S105를 통해 서버로부터 액세스 포인트로 전송된다.The second encrypted information EK2 and the third encrypted information EK3 generated in this way are transmitted from the server to the access point through step S105.

이후, 상기 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)는 액세스 포인트에서 복호화되어 액세스 포인트로 상기 제 2 대칭키(KAP,S2)를 전달하고, 상기 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)는 무선단말기에서 복호화되어 무선단말기로 상기 제 2 대칭키(KAP,S2)를 전달하게 된다.Thereafter, the second encryption information EK2 including the second symmetric key K AP, S2 is decrypted at an access point, and transmits the second symmetric key K AP, S2 to the access point. The third encryption information EK3 including the symmetric key K AP and S2 is decrypted by the wireless terminal to transmit the second symmetric key K AP and S2 to the wireless terminal.

단계 S106 에서 액세스 포인트는 상기 제 1 대칭키(KAP,S1)를 이용해 제 2 암호화정보(EK2)를 복호화하여 상기 제 2 대칭키(KAP,S2)를 획득하고, 상기 제 3 암호화정보(EK3)를 무선단말기로 전송한다.In step S106, the access point decrypts second encryption information EK2 using the first symmetric key K AP, S1 to obtain the second symmetric key K AP, S2 , and the third encryption information ( EK3) is transmitted to the wireless terminal.

상기 제 2 암호화정보(EK2)는 서버에서 제 1 대칭키(KAP,S1)를 이용해 암호화되었으므로 액세스 포인트는 대칭키 암호화 방식에 따라 이를 단계 S103 에서 획득한 제 1 대칭키(KAP,S1)로 복호화하여 상기 제 2 대칭키(KAP,S2)를 획득하고, 상기 서버로부터 전송된 제 3 암호화정보(EK3)를 무선단말기로 전송한다.Since the second encryption information EK2 is encrypted by the server using the first symmetric key K AP, S1 , the access point acquires the first symmetric key K AP, S1 according to the symmetric key encryption method. The second symmetric key (K AP, S2 ) is obtained by decryption , and the third encryption information EK3 transmitted from the server is transmitted to the wireless terminal.

단계 S107 에서 액세스 포인트가 무선단말기의 비밀키(KMS,PRI)를 이용해 상기 제 3 암호화정보(EK3)를 복호화하여 상기 제 2 대칭키(KAP,S2)를 획득한 무선단말기와는 상기 제 2 대칭키(KAP,S2)를 이용해 암호화 통신하고, 상기 서버와는 상기 제 1 대칭키(KAP,S1)를 이용해 암호화 통신한다.In step S107, the access point decrypts the third encryption information EK3 using the secret key K MS, PRI of the radio terminal to obtain the second symmetric key K AP, S2 . Encrypted communication using two symmetric keys (K AP, S2 ), and encrypted communication with the server using the first symmetric key (K AP, S1 ).

상기 단계 S106 에서 무선단말기로 전송된 제 3 암호화정보(EK3)는 서버로부터 공개키 암호화 방식에 따라 무선단말기의 공개키(KMS,PUB)로 암호화 되었으므로, 이를 수신한 무선단말기는 자신의 비밀키(KMS,PRI)를 이용해 복호화하여 제 2 대칭키(KAP,S2)를 획득한다.Since the third encryption information (EK3) transmitted to the wireless terminal in step S106 is encrypted with the public key (K MS, PUB ) of the wireless terminal according to the public key encryption scheme from the server, the wireless terminal that receives it has its own secret key. The second symmetric key (K AP, S2 ) is obtained by decoding using (K MS, PRI ).

따라서, 액세스 포인트는 상기 무선단말기와는 제 2 대칭키(KAP,S2)를 이용해 암호화 통신하고, 상기 서버와는 제 1 대칭키(KAP,S1)를 이용해 암호화 통신하게 된다.Accordingly, the access point performs encrypted communication with the wireless terminal using a second symmetric key (K AP, S2 ), and communicates with the server using a first symmetric key (K AP, S1 ).

즉, 본 발명에 따른 무선랜 보안방법은 액세스 포인트와 서버간, 액세스 포인트와 무선단말기간에서 대칭키 방식으로 암호화 통신을 하게 되며, 이 대칭키 암호화 통신에 사용되는 대칭키를 서버로부터 공개키 암호화 방식에 따라 분배함으로써 액세스 포인트와 무선단말기간에 암호화 통신이 가능해 악의를 가진 사용자의 접근을 방지하게 되며, 세션(Session)별로 암호키를 생성하여 분배함으로써 키 노출 가능성이 거의없게 된다.In other words, the WLAN security method according to the present invention performs encrypted communication between the access point and the server, in the access point and the wireless terminal period by the symmetric key method, and encrypts the symmetric key used for this symmetric key encryption communication from the server. By distributing according to the scheme, encrypted communication is possible between the access point and the wireless terminal, thereby preventing access by malicious users. By generating and distributing encryption keys for each session, there is little possibility of key exposure.

도 3 은 본 발명에 따른 무선랜 보안 방법의 액세스 포인트측 실행모듈의 또 다른 실시예에 따른 흐름도이다.3 is a flowchart according to another embodiment of an access point side execution module of a WLAN security method according to the present invention.

본 발명의 부가적인 양상에 따르면, 상기 단계 S101 에서 상기 제 1 대칭키(KAP,S1) 요청정보가 재전송 방지를 위한 제 1 난수(n1)를 더 포함하고, 상기 제 1 암호화정보(EK1)가 상기 제 1 난수(n1)를 더 포함하여 상기 S103 단계에 의해 복호화되고, 상기 S103 단계가 액세스 포인트 자신이 보낸 제 1 난수와 서버로부터 전송된 제 1 난수가 일치하는지 판단하도록 할 수 있다.According to an additional aspect of the present invention, in step S101, the first symmetric key (K AP, S1 ) request information further includes a first random number n1 for preventing retransmission, and the first encryption information (EK1). May further include the first random number n1 and may be decoded by the step S103, and the step S103 may determine whether the first random number sent by the access point itself and the first random number transmitted from the server match.

따라서, 상기 제 1 난수를 이용해 재전송 방지가 이루어지는 동시에 제 1 대칭키(KAP,S1) 분배시 상기 제 1 난수를 이용해 인증이 가능해진다.Accordingly, retransmission is prevented by using the first random number and authentication is possible by using the first random number when distributing the first symmetric key (K AP, S1 ).

즉, 액세스 포인트 자신이 보낸 제 1 난수와 서버로부터 전송된 제 1 난수가 일치하는지 판단하여 일치할 경우 상기 제 1 대칭키(KAP,S1)를 유효하다 인증한다.That is, the first symmetric key K AP, S1 is valid if the first random number sent by the access point itself and the first random number transmitted from the server match.

한편, 본 발명의 또다른 부가적인 양상에 따르면, 단계 S104 에서 상기 제 2대칭키(KAP,S2) 요청정보가 재전송 방지를 위한 제 2 난수(n2)를 더 포함하고, 상기 제 2 암호화정보(EK2)가 상기 제 2 난수(n2)를 더 포함하여 상기 S106 단계에 의해 복호화되고, 상기 S106 단계가 액세스 포인트 자신이 보낸 제 2 난수와 서버로부터 전송된 제 2 난수가 일치하는지 판단하도록 할 수 있다.Meanwhile, according to another additional aspect of the present invention, in step S104, the second symmetric key (K AP, S2 ) request information further includes a second random number n2 for preventing retransmission, and the second encryption information. (EK2) may further include the second random number n2, and may be decrypted by step S106, and step S106 may determine whether the second random number sent by the access point itself and the second random number transmitted from the server match. have.

따라서, 상기 제 2 난수를 이용해 재전송 방지가 이루어지는 동시에 제 2 대칭키(KAP,S1) 분배시 상기 제 2 난수를 이용해 인증이 가능해진다.Therefore, retransmission is prevented using the second random number and at the same time , authentication is possible using the second random number when distributing the second symmetric key (K AP, S1 ).

즉, 액세스 포인트 자신이 보낸 제 2 난수와 서버로부터 전송된 제 2 난수가 일치하는지 판단하여 일치할 경우 상기 제 2 대칭키(KAP,S2)를 유효하다 인증한다.That is, the second symmetric key K AP, S2 is valid if the second random number sent by the access point itself and the second random number transmitted from the server match.

한편, 본 발명의 또다른 부가적인 양상에 따르면, 액세스 포인트 자신이 보낸 제 2 난수와 서버로부터 전송된 제 2 난수가 일치할 경우, 상기 S106 단계가 상기 제 2 대칭키(KAP,S2)를 이용해 암호화한 재전송 방지를 위한 제 3 난수(n3)를 포함하는 제 4 암호화정보(EK4)를 생성하여 이를 무선단말기로 더 전송하고, 상기 액세스 포인트측 실행모듈이 무선단말기의 비밀키(KMS,PRI)를 이용해 상기 제 3 암호화정보(EK3)를 복호화하여 획득한 제 2 대칭키(KAP,S2)를 이용해 상기 제 4 암호화정보(EK4)를 복호화하여 상기 제 3 난수(n3)를 획득한 무선단말기가 생성한 상기 제 2 대칭키(KAP,S2)를 이용해 암호화한 상기 제 3 난수(n3)를 포함하는 제 5 암호화정보(EK5)를 수신하는 단계(S106a)와, 액세스 포인트가 제 2 대칭키(KAP,S2)를 이용해 상기 제 5 암호화정보(EK5)를 복호화하여 상기 제 3 난수(n3)를 획득하고,액세스 포인트 자신이 보낸 제 3 난수와 상기 무선단말기로부터 전송된 제 3 난수가 일치하는지 판단하는 단계(S106b)를 더 포함할 수 있다.On the other hand, according to another additional aspect of the present invention, if the second random number sent by the access point itself and the second random number transmitted from the server, the step S106 is the second symmetric key (K AP, S2 ) The fourth encryption information EK4 including the third random number n3 for preventing retransmission is generated and further transmitted to the wireless terminal, and the access point execution module transmits a secret key (K MS, The third random number n3 is obtained by decrypting the fourth encryption information EK4 using the second symmetric key K AP, S2 obtained by decrypting the third encryption information EK3 using PRI ). Receiving fifth encryption information EK5 including the third random number n3 encrypted using the second symmetric key K AP, S2 generated by the wireless terminal (S106a), using a second symmetric key (K AP, S2) and decrypting the fifth encrypted information (EK5) Wherein the may further comprise the step (S106b) to obtain a third random number (n3), and the access point, they determined that the third random number and the third random number from the wireless terminal sent match.

즉, 상기 S106 단계에서 액세스 포인트가 보낸 제 2 난수와 서버로부터 전송된 제 2 난수가 일치할 경우, 상기 액세스 포인트가 상기 제 2 대칭키(KAP,S2)를 이용해 재전송 방지를 위한 제 3 난수(n3)를 포함하는 제 4 암호화정보(EK4)를 생성하여 이를 무선단말기로 전송한다.That is, when the second random number transmitted from the access point and the second random number transmitted from the server in step S106 match , the third random number for preventing retransmission by the access point using the second symmetric key K AP, S2 . The fourth encryption information EK4 including (n3) is generated and transmitted to the wireless terminal.

상기 제 4 암호화정보(EK4)를 수신한 무선단말기는 자신의 비밀키(KMS,PRI)를 이용해 상기 제 3 암호화정보(EK3)를 복호화하여 획득한 제 2 대칭키(KAP,S2)를 이용해 상기 제 4 암호화정보(EK4)를 복호화하여 상기 제 3 난수(n3)를 획득한다.The wireless terminal receiving the fourth encryption information EK4 decrypts the second symmetric key K AP, S2 obtained by decrypting the third encryption information EK3 using its secret key K MS, PRI . The third random number n3 is obtained by decrypting the fourth encrypted information EK4.

또한, 무선단말기는 상기 제 2 대칭키(KAP,S2)를 이용해 상기 제 3 난수(n3)를 포함하는 제 5 암호화정보(EK5)를 생성하고 이를 액세스 포인트로 전송한다.In addition, the wireless terminal generates the fifth encryption information EK5 including the third random number n3 using the second symmetric key K AP, S2 and transmits it to the access point.

상기 액세스 포인트는 단계 S106a 에서 상기 제 5 암호화정보(EK5)를 수신하고, 상기 단계 S106b 에서 액세스 포인트가 제 2 대칭키(KAP,S2)를 이용해 상기 제 5 암호화정보(EK5)를 복호화하여 상기 제 3 난수(n3)를 획득하고, 액세스 포인트 자신이 보낸 제 3 난수와 상기 무선단말기로부터 전송된 제 3 난수가 일치하는지 판단한다.The access point receives the fifth encryption information EK5 in step S106a, and the access point decrypts the fifth encryption information EK5 using the second symmetric key K AP, S2 in step S106b. The third random number n3 is obtained, and it is determined whether the third random number sent by the access point itself and the third random number transmitted from the wireless terminal match.

따라서, 상기 제 3 난수를 이용해 재전송 방지가 이루어지는 동시에 액세스 포인트 자신이 보낸 제 3 난수와 서버로부터 전송된 제 3 난수가 일치하는지 판단하여 일치할 경우 통신을 원한 단말기임을 인증한다.Therefore, the third random number is used to prevent retransmission, and at the same time, the third random number sent by the access point itself and the third random number transmitted from the server are matched to each other to authenticate the terminal.

따라서, 상기 제 1 내지 제 3 난수를 통해 재전송을 방지할 수 있으며, 인증확인된다.Therefore, retransmission can be prevented through the first to third random numbers, and authentication is confirmed.

한편, 본 발명의 또다른 부가적인 양상에 따르면, 상기 서버가 논리적 또는 물리적으로 2개의 서버로 분리되고, 그중 하나의 서버가 제 1 대칭키(KAP,S1)를 분배하고, 다른 하나의 서버가 제 2 대칭키(KAP,S2)를 분배하도록 할 수 있다.Meanwhile, according to another additional aspect of the present invention, the server is logically or physically divided into two servers, one of which distributes the first symmetric key K AP, S1 , and the other server. May distribute the second symmetric key (K AP, S2 ).

즉, 이 말은 상기 서버를 예컨데 인증서버와 키분배서버로 논리적 또는 물리적으로 분리하여 구성하고, 상기 인증서버를 통해서는 제 1 대칭키(KAP,S1)를, 상기 키분배서버를 통해서는 제 2 대칭키(KAP,S2)를 분배하도록 함을 의미한다.That is, this means that the server is logically or physically separated into, for example, an authentication server and a key distribution server, and the first symmetric key (K AP, S1 ) is formed through the authentication server, and through the key distribution server. It means to distribute the second symmetric key (K AP, S2 ).

네트워크상에서 서버는 논리적 또는 물리적으로 여러개로 구성되는 것이 일반적이므로, 서버와 액세스 포인트간의 암호화 통신을 위한 제 1 대칭키(KAP,S1)와, 액세스 포인트와 무선단말기간의 암호화 통신을 위한 제 2 대칭키(KAP,S2)를 각각 분배하도록 하는 것이 바람직하다.Since a server is generally logically or physically configured in a network, the first symmetric key K AP, S1 for encrypted communication between the server and the access point, and the second symmetric key for encrypted communication between the access point and the wireless terminal. It is preferable to distribute the keys K AP, S2 , respectively.

도 4 는 본 발명에 따른 무선랜 보안 방법의 서버측 실행모듈의 일실시예에 따른 흐름도이다.4 is a flowchart illustrating an embodiment of a server-side execution module of a WLAN security method according to the present invention.

단계 S201 에서 서버가 액세스 포인트로부터 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1) 요청정보를 수신한다.In step S201 the server receives from the access point the first symmetric key (K AP, S1 ) request information used for encrypted communication between the access point and the server.

이때, 상기 요청정보는 상기 액세스 포인트가 서버의 공개키(KS,PUB)로 암호화하여 전송하는 것이 바람직하고, 이를 수신한 서버는 자신의 비밀키(KS,PRI)로 이를 복호화한다.At this time, the request information is preferably transmitted by the access point encrypted with the public key (K S, PUB ) of the server, the server receiving it decrypts it with its private key (K S, PRI ).

단계 S202 에서 상기 서버가 액세스 포인트의 공개키(KAP,PUB)를 이용해 제 1 대칭키(KAP,S1)를 포함하는 제 1 암호화정보(EK1)를 생성하고, 이를 상기 액세스 포인트로 전송한다.In step S202, the server generates the first encryption information EK1 including the first symmetric key K AP, S1 using the public key K AP, PUB of the access point, and transmits it to the access point. .

즉, 상기 액세스 포인트로부터 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1) 요청정보에 따라 서버는 공개키 암호화 방식으로 상기 제 1 대칭키(KAP,S1)를 액세스 포인트의 공개키(KAP,PUB)로 암호화하여 액세스 포인트로 전송한다.That is, according to the first symmetric key (K AP, S1 ) request information used for the encrypted communication between the access point and the server from the access point, the server uses the public symmetric key encryption method (K AP, S1 ). Encrypted with the access point's public key (K AP, PUB ) and transmitted to the access point

단계 S203 에서 무선단말기가 액세스 포인트에 접속시 상기 서버가 액세스 포인트로부터 상기 액세스 포인트와 무선단말기간의 암호화 통신에 사용되는 제 2 대칭키(KAP,S2) 요청정보를 수신한다.When the wireless terminal connects to the access point in step S203, the server receives from the access point second symmetric key (K AP, S2 ) request information used for encrypted communication in the wireless terminal period.

이때, 상기 요청정보는 상기 액세스 포인트가 서버의 공개키(KS,PUB)로 암호화하여 전송하는 것이 바람직하고, 이를 수신한 서버는 자신의 비밀키(KS,PRI)로 이를 복호화한다.At this time, the request information is preferably transmitted by the access point encrypted with the public key (K S, PUB ) of the server, the server receiving it decrypts it with its private key (K S, PRI ).

단계 S204 에서 서버가 상기 제 1 대칭키(KAP,S1)를 이용해 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)를 생성하고, 무선단말기의 공개키(KMS,PUB)를 이용해 상기 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)를 생성하고, 이들을 상기 액세스 포인트로 전송한다.First symmetric key server is the step S204 (K AP, S1) for using the second symmetric key (K AP, S2) a second generate encrypted information (EK2), and the public key of the wireless terminal (K MS containing PUB ) generates third encryption information EK3 including the second symmetric key K AP, S2 , and transmits them to the access point.

상기 액세스 포인트로 전송된 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)는 액세스 포인트에서 복호화되어 액세스 포인트로 상기 제 2 대칭키(KAP,S2)를 전달하고, 상기 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)는 액세스 포인트로부터 무선단말기로 다시 전송되고 복호화되어 무선단말기로 상기 제 2 대칭키(KAP,S2)를 전달한다.Second encryption information (EK2) including the second symmetric key (K AP, S2 ) transmitted to the access point is decrypted at the access point to transfer the second symmetric key (K AP, S2 ) to the access point, The third encryption information EK3 including the second symmetric key K AP, S2 is transmitted back to the wireless terminal from the access point and decrypted to transfer the second symmetric key K AP, S2 to the wireless terminal. .

단계 S205 는 상기 액세스 포인트와 서버간에 송수신되는 데이타를 상기 제 1 대칭키(KAP,S1)를 이용해 암호화 통신한다.Step S205 encrypts and transmits data transmitted and received between the access point and the server using the first symmetric key K AP, S1 .

따라서, 액세스 포인트는 상기 무선단말기와는 제 2 대칭키(KAP,S2)를 이용해 암호화 통신하고, 상기 서버와는 제 1 대칭키(KAP,S1)를 이용해 암호화 통신하게 된다.Accordingly, the access point performs encrypted communication with the wireless terminal using a second symmetric key (K AP, S2 ), and communicates with the server using a first symmetric key (K AP, S1 ).

즉, 본 발명에 따른 무선랜 보안방법은 액세스 포인트와 서버간, 액세스 포인트와 무선단말기간에서 대칭키 방식으로 암호화 통신을 하게 되며, 이 대칭키 암호화 통신에 사용되는 대칭키를 서버로부터 공개키 암호화 방식에 따라 분배함으로써 액세스 포인트와 무선단말기간에 암호화 통신이 가능해 악의를 가진 사용자의 접근을 방지하게 되며, 세션(Session)별로 암호키를 생성하여 분배함으로써 키 노출 가능성이 거의없게 된다.In other words, the WLAN security method according to the present invention performs encrypted communication between the access point and the server, in the access point and the wireless terminal period by the symmetric key method, and encrypts the symmetric key used for this symmetric key encryption communication from the server. By distributing according to the scheme, encrypted communication is possible between the access point and the wireless terminal, thereby preventing access by malicious users. By generating and distributing encryption keys for each session, there is little possibility of key exposure.

위와같이 함에 의해 상기에서 제시한 본 발명에 따른 무선랜 보안방법의 목적을 달성하게 된다.By doing so, the object of the WLAN security method according to the present invention as described above is achieved.

이상에서 설명한 바와같은 본 발명에 따른 무선랜 보안방법은 액세스 포인트와 서버간 뿐만 아니라 액세스 포인트와 무선단말기간에 암호화 통신이 가능해 허가되지 않은 악의를 가진 사용자의 접근을 방지할 수 있고, 세션(Session)별로 암호키를 생성하여 분배하므로 키 노출 가능성이 적으며, 난수를 사용하여 재전송 공격을 방지할 수 있는 유용한 효과가 있다.As described above, the wireless LAN security method according to the present invention enables encryption communication between the access point and the server as well as the access point and the wireless terminal, thereby preventing the access of an unauthorized malicious user, and a session. By generating and distributing encryption keys for each, there is little possibility of key exposure, and there is a useful effect of preventing retransmission attacks using random numbers.

본 발명은 첨부된 도면을 참조하여 바람직한 실시예를 중심으로 기술되었지만 당업자라면 이러한 기재로부터 후술하는 특허청구범위에 의해 포괄되는 본 발명의 범주를 벗어남이 없이 다양한 변형이 가능하다는 것은 명백하다.Although the present invention has been described with reference to the accompanying drawings, it will be apparent to those skilled in the art that various modifications may be made therein without departing from the scope of the invention, which is covered by the following claims.

Claims (6)

액세스 포인트가 서버로 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1) 요청정보를 전송하는 단계(S101)와;Transmitting , by the access point, a server to the server, first symmetric key (K AP, S1 ) request information used for encrypted communication between the access point and the server (S101); 상기 액세스 포인트가 서버로부터 액세스 포인트의 공개키(KAP,PUB)를 이용해 암호화한 제 1 대칭키(KAP,S1)를 포함하는 제 1 암호화정보(EK1)를 수신하는 단계(S102)와;Receiving, by the access point, first encryption information (EK1) including a first symmetric key (K AP, S1 ) encrypted using a public key (K AP, PUB ) of the access point from a server (S102); 상기 액세스 포인트가 액세스 포인트의 비밀키(KAP,PRI)를 이용해 상기 제 1 암호화정보(EK1)를 복호화하여 상기 제 1 대칭키(KAP,S1)를 획득하는 단계(S103)와;Acquiring, by the access point, the first symmetric key (K AP, S1 ) by decrypting the first encryption information (EK1) using a secret key (K AP, PRI ) of the access point (S103); 무선단말기가 액세스 포인트에 접속시 상기 액세스 포인트가 서버로 상기 액세스 포인트와 무선단말기간의 암호화 통신에 사용되는 제 2 대칭키(KAP,S2) 요청정보를 전송하는 단계(S104)와;Transmitting (S104) second symmetric key (K AP, S2 ) request information used for encrypted communication between the access point and the wireless terminal period to the server when the wireless terminal connects to the access point (S104); 상기 액세스 포인트가 상기 서버로부터 상기 제 1 대칭키(KAP,S1)를 이용해 암호화한 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)와, 무선단말기의 공개키(KMS,PUB)를 이용해 암호화한 상기 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)를 수신하는 단계(S105)와;Second encryption information EK2 including the second symmetric key K AP, S2 encrypted by the access point using the first symmetric key K AP, S1 from the server , and the public key of the wireless terminal. Receiving third encryption information (EK3) including the second symmetric key (K AP, S2 ) encrypted using K MS, PUB (S105); 상기 액세스 포인트가 상기 제 1 대칭키(KAP,S1)를 이용해 제 2 암호화정보(EK2)를 복호화하여 상기 제 2 대칭키(KAP,S2)를 획득하고, 상기 제 3 암호화정보(EK3)를 무선단말기로 전송하는 단계(S106)와;The access point decrypts the second encryption information EK2 using the first symmetric key K AP, S1 to obtain the second symmetric key K AP, S2 , and the third encryption information EK3. Transmitting to the wireless terminal (S106); 상기 액세스 포인트가 무선단말기의 비밀키(KMS,PRI)를 이용해 상기 제 3 암호화정보(EK3)를 복호화하여 상기 제 2 대칭키(KAP,S2)를 획득한 무선단말기와는 상기 제 2 대칭키(KAP,S2)를 이용해 암호화 통신하고, 상기 서버와는 상기 제 1 대칭키(KAP,S1)를 이용해 암호화 통신하는 단계(S107)를;The second symmetry with the wireless terminal that the access point obtained the second symmetric key (K AP, S2 ) by decrypting the third encryption information (EK3) by using a secret key (K MS, PRI ) of the wireless terminal. Encrypting and communicating with a key (K AP, S2 ) and communicating with the server using the first symmetric key (K AP, S1 ) (S107); 포함하는 액세스 포인트측 실행모듈을 포함하는 것을 특징으로 하는 무선랜 보안 방법.WLAN security method comprising an access point side execution module comprising. 제 1 항에 있어서,The method of claim 1, 상기 제 1 대칭키(KAP,S1) 요청정보가 재전송 방지를 위한 제 1 난수(n1)를 더 포함하고, 상기 제 1 암호화정보(EK1)가 상기 제 1 난수(n1)를 더 포함하여 상기 S103 단계에 의해 복호화되고, 상기 S103 단계가 액세스 포인트 자신이 보낸 제 1 난수와 서버로부터 전송된 제 1 난수가 일치하는지 판단하는 것을 더 포함하는 것을 특징으로 하는 무선랜 보안 방법.The first symmetric key K AP, S1 request information further includes a first random number n1 for preventing retransmission, and the first encryption information EK1 further includes the first random number n1. Decryption by step S103, wherein step S103 further comprises determining whether the first random number sent by the access point itself and the first random number transmitted from the server match. 제 1 항 또는 제 2 항에 있어서,The method according to claim 1 or 2, 상기 제 2 대칭키(KAP,S2) 요청정보가 재전송 방지를 위한 제 2 난수(n2)를 더 포함하고, 상기 제 2 암호화정보(EK2)가 상기 제 2 난수(n2)를 더 포함하여 상기S106 단계에 의해 복호화되고, 상기 S106 단계가 액세스 포인트 자신이 보낸 제 2 난수와 서버로부터 전송된 제 2 난수가 일치하는지 판단하는 것을 더 포함하는 것을 특징으로 하는 무선랜 보안 방법.The second symmetric key K AP, S2 request information further includes a second random number n2 for preventing retransmission, and the second encryption information EK2 further includes the second random number n2. Decryption by step S106, the step S106 further comprises determining whether the second random number transmitted from the access point itself and the second random number transmitted from the server. 제 3 항에 있어서,The method of claim 3, wherein 액세스 포인트가 자신이 보낸 제 2 난수와 서버로부터 전송된 제 2 난수가 일치할 경우, 상기 S106 단계에서 액세스 포인트가 상기 제 2 대칭키(KAP,S2)를 이용해 암호화한 재전송 방지를 위한 제 3 난수(n3)를 포함하는 제 4 암호화정보(EK4)를 생성하여 이를 무선단말기로 더 전송하고,When the second random number sent by the access point and the second random number transmitted from the server coincide with each other, the third terminal for preventing retransmission encrypted by the access point using the second symmetric key (K AP, S2 ) in step S106. Generating fourth encryption information EK4 including the random number n3 and transmitting the fourth encryption information EK4 to the wireless terminal; 상기 무선단말기가 무선단말기의 비밀키(KMS,PRI)를 이용해 상기 제 4 암호화정보(EK4)를 복호화하여 상기 제 3 난수(n3)를 획득하고, 제 2 대칭키(KAP,S2)를 이용해 상기 제 3 난수(n3)를 포함하는 제 5 암호화정보(EK5)를 생성하는 것을 더 포함하고,The wireless terminal decrypts the fourth encryption information EK4 by using a secret key (K MS, PRI ) of the wireless terminal to obtain the third random number n3, and obtains a second symmetric key (K AP, S2 ). Generating fifth encrypted information EK5 including the third random number n3 by using 상기 액세스 포인트측 실행모듈이:The access point side execution module: 액세스 포인트가 제 3 난수(n3)를 포함하는 제 5 암호화정보(EK5)를 무선단말기로부터 수신하는 단계(S106a)와;Receiving, by the access point, the fifth encrypted information EK5 including the third random number n3 from the wireless terminal (S106a); 액세스 포인트가 제 2 대칭키(KAP,S2)를 이용해 상기 제 5 암호화정보(EK5)를 복호화하여 상기 제 3 난수(n3)를 획득하고, 액세스 포인트 자신이 보낸 제 3 난수와 상기 무선단말기로부터 전송된 제 3 난수가 일치하는지 판단하는 단계(S106b)를;An access point decrypts the fifth encryption information EK5 using a second symmetric key K AP, S2 to obtain the third random number n3, and the third random number sent from the access point itself and the wireless terminal. Determining whether the transmitted third random number matches (S106b); 더 포함하는 것을 특징으로 하는 무선랜 보안 방법.WLAN security method further comprising. 제 1 항 또는 제 2 항 또는 제 4 항 중의 어느 한 항에 있어서,The method according to claim 1 or 2 or 4, 상기 서버가 논리적 또는 물리적으로 2개의 서버로 분리되고, 그중 하나의 서버가 제 1 대칭키(KAP,S1)를 분배하고, 다른 하나의 서버가 제 2 대칭키(KAP,S2)를 분배하는 것을 특징으로 하는 무선랜 보안 방법.The server is logically or physically divided into two servers, one of which distributes the first symmetric key K AP, S1 , and the other of the servers distributes the second symmetric key K AP, S2 . WLAN security method characterized in that. 서버가 액세스 포인트로부터 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1) 요청정보를 수신하는 단계(S201)와;Receiving (S201), the server from the access point, first symmetric key (K AP, S1 ) request information used for encrypted communication between the access point and the server; 상기 서버가 액세스 포인트의 공개키(KAP,PUB)를 이용해 제 1 대칭키(KAP,S1)를 포함하는 제 1 암호화정보(EK1)를 생성하고, 이를 상기 액세스 포인트로 전송하는 단계(S202)와;Generating, by the server, first encryption information EK1 including the first symmetric key K AP, S1 using the public key K AP, PUB of the access point, and transmitting the first encryption information EK1 to the access point (S202). )Wow; 무선단말기가 액세스 포인트에 접속시 상기 서버가 액세스 포인트로부터 상기 액세스 포인트와 무선단말기간의 암호화 통신에 사용되는 제 2 대칭키(KAP,S2) 요청정보를 수신하는 단계(S203)와;Receiving, by the server, second symmetric key (K AP, S2 ) request information used for encrypted communication in the wireless terminal period with the access point when the wireless terminal connects to the access point (S203); 상기 서버가 상기 제 1 대칭키(KAP,S1)를 이용해 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)를 생성하고, 무선단말기의 공개키(KMS,PUB)를 이용해 상기 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)를 생성하고, 이들을 상기 액세스 포인트로 전송하는 단계(S204)와;The public key of the second generate encrypted information (EK2), and a wireless terminal in which the server comprises a second symmetric key (K AP, S2) using the first symmetric key (K AP, S1) (K MS, PUB Generating third encryption information (EK3) including the second symmetric key (K AP, S2 ) and transmitting them to the access point (S204); 상기 서버가 상기 액세스 포인트와 상기 제 1 대칭키(KAP,S1)를 이용해 암호화 통신하는 단계(S205)를;Encrypting (S205) the server with the access point using the first symmetric key (K AP, S1 ); 포함하는 서버측 실행모듈을 포함하는 것을 특징으로 하는 무선랜 보안 방법.Wireless LAN security method comprising a server-side execution module comprising.
KR10-2002-0021357A 2002-04-18 2002-04-18 Security method for the Wireless LAN KR100458955B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0021357A KR100458955B1 (en) 2002-04-18 2002-04-18 Security method for the Wireless LAN

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0021357A KR100458955B1 (en) 2002-04-18 2002-04-18 Security method for the Wireless LAN

Publications (2)

Publication Number Publication Date
KR20030082855A KR20030082855A (en) 2003-10-23
KR100458955B1 true KR100458955B1 (en) 2004-12-03

Family

ID=32379587

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0021357A KR100458955B1 (en) 2002-04-18 2002-04-18 Security method for the Wireless LAN

Country Status (1)

Country Link
KR (1) KR100458955B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100547855B1 (en) * 2003-01-14 2006-01-31 삼성전자주식회사 Secure communication system and method of a composite mobile communication terminal having a local area communication device
JP4628198B2 (en) * 2005-06-28 2011-02-09 株式会社バッファロー Security setting processing system
KR101431010B1 (en) * 2012-05-14 2014-08-20 서강대학교산학협력단 Access point authentication apparatus and method using hardware authentication module

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11308673A (en) * 1998-04-22 1999-11-05 Kokusai Electric Co Ltd Radio lan system
KR20000072516A (en) * 2000-09-07 2000-12-05 박명산 end-to-end data encryption/decryption method and device for mobile data communication
JP2001111543A (en) * 1999-10-07 2001-04-20 Nec Corp Cryptographic key update system of radio lan and updating method therefor
EP1178644A2 (en) * 2000-02-11 2002-02-06 Nokia Inc. Key management methods for wireless lans
KR20030075224A (en) * 2002-03-16 2003-09-26 삼성전자주식회사 Method of access control in wireless environment and recording medium in which the method is recorded

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11308673A (en) * 1998-04-22 1999-11-05 Kokusai Electric Co Ltd Radio lan system
JP2001111543A (en) * 1999-10-07 2001-04-20 Nec Corp Cryptographic key update system of radio lan and updating method therefor
EP1178644A2 (en) * 2000-02-11 2002-02-06 Nokia Inc. Key management methods for wireless lans
KR20000072516A (en) * 2000-09-07 2000-12-05 박명산 end-to-end data encryption/decryption method and device for mobile data communication
KR20030075224A (en) * 2002-03-16 2003-09-26 삼성전자주식회사 Method of access control in wireless environment and recording medium in which the method is recorded

Also Published As

Publication number Publication date
KR20030082855A (en) 2003-10-23

Similar Documents

Publication Publication Date Title
US8635456B2 (en) Remote secure authorization
US7688975B2 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
US7774594B2 (en) Method and system for providing strong security in insecure networks
US7689211B2 (en) Secure login method for establishing a wireless local area network connection, and wireless local area network system
WO2004071006A1 (en) Broadcast encryption key distribution system
KR102325725B1 (en) Digital certificate management method and device
US20130151853A1 (en) Systems and methods for secure peer-to-peer communications
JP2009071707A (en) Key sharing method, and key distribution system
WO2005088892A1 (en) A method of virtual challenge response authentication
KR20050007830A (en) Method for Domain Authentication for exchanging contents between devices
US20070081672A1 (en) Methods to enhance wlan security
CN108964895B (en) User-to-User identity authentication system and method based on group key pool and improved Kerberos
KR20080099631A (en) Method for using contents with a mobile card, host device, and mobile card
RU2004131500A (en) CALL-BASED AUTHENTICATION NOT REQUIRING KNOWLEDGE KNOWLEDGE SECURITY AUTHENTICATION KNOWLEDGE
US20040255121A1 (en) Method and communication terminal device for secure establishment of a communication connection
CN101420687A (en) Identity verification method based on mobile terminal payment
WO2012075761A1 (en) Method and system for encrypting multimedia message service
KR100458955B1 (en) Security method for the Wireless LAN
KR19990038925A (en) Secure Two-Way Authentication Method in a Distributed Environment
Hwang Scheme for secure digital mobile communications based on symmetric key cryptography
KR20010064766A (en) Authentication and key establishment method for wireless communication system
CN112054905A (en) Secure communication method and system of mobile terminal
JP2005051368A (en) Communication apparatus, base station apparatus and communication system
JP4482635B2 (en) Information protection method
KR20110050932A (en) Apparatus and method for mutual authentication between reader and tag in radio frequency identification system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20081118

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee