KR101901448B1 - 스테이션과 엑세스 포인트의 결합 방법 및 장치 - Google Patents

스테이션과 엑세스 포인트의 결합 방법 및 장치 Download PDF

Info

Publication number
KR101901448B1
KR101901448B1 KR1020147023316A KR20147023316A KR101901448B1 KR 101901448 B1 KR101901448 B1 KR 101901448B1 KR 1020147023316 A KR1020147023316 A KR 1020147023316A KR 20147023316 A KR20147023316 A KR 20147023316A KR 101901448 B1 KR101901448 B1 KR 101901448B1
Authority
KR
South Korea
Prior art keywords
sta
key
pmk
authentication
frame
Prior art date
Application number
KR1020147023316A
Other languages
English (en)
Other versions
KR20140130445A (ko
Inventor
박기원
곽진삼
류기선
송재형
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Publication of KR20140130445A publication Critical patent/KR20140130445A/ko
Application granted granted Critical
Publication of KR101901448B1 publication Critical patent/KR101901448B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

STA(station)과 AP(access point)의 결합 방법 및 장치가 개시되어 있다. 무선랜에서 제1 AP가 STA과 결합을 수행하는 방법은 제1 AP가 STA으로부터 결합 요청 프레임(association request frame)을 수신하는 단계, 제1 AP에서 STA이 이전에 결합되었던 AP인 제2 AP로 STA의 인증 정보를 요청하는 단계와 제1 AP가 제2 AP로부터 STA의 인증 정보를 수신하는 단계를 포함하고, 제1 AP 및 제2 AP는 분산 시스템에 의해 연결되고 결합 요청 프레임은 제2 AP의 식별 정보를 포함하고, STA의 인증 정보는 PMK(paired main key) rMSK(recertification main session key) 중 적어도 하나를 포함할 수 있다. 따라서, 전체 인증 절차를 다시 수행하지 않고 간소화된 인증 절차를 수행하므로 STA(station)과 AP(access point) 사이에 빠른 결합이 수행될 수 있다.

Description

스테이션과 엑세스 포인트의 결합 방법 및 장치{METHOD AND APPARATUS FOR ASSOCIATING STATINON (STA) WITH ACCESS POINT (AP)}
본 발명은 STA(station)과 AP(access point)의 결합 방법 및 장치에 관한 것으로 보다 상세하게는 STA과 AP 사이에 인증 절차에 관한 것이다.
최근의 무선랜(wireless LAN) 기술의 진화 방향은 크게 3가지 방향으로 진행되고 있다. 기존 무선랜 진화 방향의 연장 선상에서 전송 속도를 더욱 높이기 위한 노력으로 IEEE(institute of electrical and electronic engineers) 802.11ac와 IEEE 802.11ad가 있다. IEEE 802.11ad는 60GHz 밴드를 사용하는 무선랜 기술이다. 또한, 기존의 무선랜보다 거리적으로 광역 전송을 가능하게 하기 위해 1GHz 미만의 주파수 밴드를 활용하는 광역 무선랜이 최근에 대두되고 있는데, 이에는 TVWS(TV white space) 대역을 활용하는 IEEE 802.11af와 900MHz 대역을 활용하는 IEEE 802.11ah가 있다. 이들은 스마트 그리드(smart grid), 광역 센서 네트워크뿐만 아니라, 확장 범위 Wi-Fi(extended range Wi-Fi) 서비스의 확장을 주목적으로 한다. 또한 기존의 무선랜 MAC(medium access control) 기술은 초기 링크 셋 업 시간이 경우에 따라 매우 길어지는 문제점을 가지고 있었다. 이러한 문제점을 해결하여 STA이 AP로 신속한 접속이 수행 가능하도록 하기 위하여 IEEE 802.11ai 표준화 활동이 최근에 활발하게 이루어지고 있다.
IEEE 802.11ai는 무선랜의 초기 셋-업(set-up) 및 결합(association) 시간을 획기적으로 절감하기 위하여 신속한 인증 절차를 다루는 MAC 기술로서, 2011년 1월에 정식 태스크 그룹으로 표준화 활동이 시작되었다. 신속 접속 절차를 가능하게 하기 위하여 IEEE 802.11ai는 AP 탐색(AP discovery), 네트워크 탐색(network discovery), TSF 동기화(time synchronization function synchronization), 인증 & 결합(Authentication & Association,) 상위 계층(higher layer)과의 절차 병합 등의 영역에서 절차 간소화에 대한 논의를 진행하고 있다. 그 중에서, DHCP(dynamic host configuration protocol)의 피기백(piggyback)을 활용한 절차 병합, 병행 IP(concurrent IP)를 이용한 전체 EAP(full EAP(extensible authentication protocol))의 최적화, 효율적인 선별적 AP(access point) 스캐닝 등의 아이디어가 활발하게 논의 중이다.
본 발명의 목적은 STA(station)과 AP(access point) 사이의 결합 방법을 제공하는 것이다.
본 발명의 또 다른 목적은 STA과 AP 사이의 결합 방법을 수행하는 장치를 제공하는 것이다.
상술한 본 발명의 목적을 달성하기 위한 본 발명의 일 측면에 따른 무선랜에서 제1 AP(access point)가 STA(station)과 결합을 수행하는 방법은 상기 제1 AP가 상기 STA으로부터 결합 요청 프레임(association request frame)을 수신하는 단계, 상기 제1 AP에서 상기 STA이 이전에 결합되었던 AP인 제2 AP로 상기 STA의 인증 정보를 요청하는 단계 및 상기 제1 AP가 상기 제2 AP로부터 상기 STA의 인증 정보를 수신하는 단계를 포함하고, 상기 제1 AP 및 상기 제2 AP는 분산 시스템에 의해 연결되고 상기 결합 요청 프레임은 상기 제2 AP의 식별 정보를 포함하고, 상기 STA의 인증 정보는 PMK(paired main key) rMSK(recertification main session key) 중 적어도 하나를 포함할 수 있다. 상기 결합 요청 프레임은 상기 STA의 식별자 정보, EAPOL-Key(extensible authentication protocol transport over local area network-key), MIC(message integrity code)를 더 포함하고, 상기 STA의 식별자 정보는 상기 STA의 AID(association identification) 정보, 상기 EAPOL-key는 상기 제1 AP로부터 전송받은 Anonce 및 상기 STA에서 생성된 SNonce를 기초로 생성된 인증 키, 상기 MIC는 메시지의 무결성 인증을 위한 코드일 수 있다. 무선랜에서 AP와 STA의 결합 방법은 상기 제1 AP에서 상기 ANonce 및 상기 SNonce를 기초로 보안 키를 생성하는 단계와 상기 제1 AP에서 상기 보안 키를 기초로 상기 MIC의 검증을 수행하여 상기 STA에 대한 인증을 수행하는 단계를 더 포함할 수 있다. 무선랜에서 AP와 STA의 결합 방법은 상기 제1 AP에서 상기 STA의 인증이 성공하는 경우, 상기 제1 AP에서 상기 보안 키로 암호화된 결합 응답 프레임(association response frame)을 상기 STA으로 전송하고, 상기 STA의 인증이 실패하는 경우, 상기 제1 AP에서 상기 결합 응답 프레임을 상기 STA에 전송하지 않거나 상기 제1 AP에서 상기 결합 응답 프레임을 상기 STA으로 전송하되, 상기 결합 응답 프레임에 상기 STA이 전체 인증 절차를 수행할 것을 요청하는 정보를 포함하여 전송하는 단계를 더 포함할 수 있다. 상기 STA은 상기 제2 AP로부터 전송된 비콘 프레임(beacon frame) 또는 프로브 응답 프레임(probe response frame)를 수신하고, 상기 비콘 프레임 또는 상기 프로브 응답 프레임에는 상기 제2 AP와 상기 제1 AP가 상기 인증 정보를 공유하는지 여부에 대한 정보가 포함될 수 있다. 무선랜에서 AP와 STA의 결합 방법은 상기 제1 AP에서 상기 결합 요청 프레임에 포함된 STA 식별자를 기초로 상기 STA이 이전에 결합되었던 STA인지 여부를 판단하는 단계, 상기 STA이 이전에 결합되었던 STA인 경우 보유된 상기 인증 정보를 기초로 상기 STA에 대한 인증을 수행하는 단계를 포함하되, 상기 인증 정보는 일정한 시간 동안 보유되고 상기 일정한 시간이 만료되면 삭제되는 정보일 수 있다.
상술한 본 발명의 목적을 달성하기 위한 본 발명의 다른 측면에 따른 무선랜 장치는 제1 AP로서 프로세서를 포함하고, 상기 프로세서는 STA으로부터 결합 요청 프레임(association request frame)을 수신하고, 상기 STA이 이전에 결합되었던 AP인 제2 AP로 상기 STA의 인증 정보를 요청하고, 상기 제2 AP로부터 상기 STA의 인증 정보를 수신하도록 구현되고 상기 제1 AP 및 상기 제2 AP는 분산 시스템에 의해 연결되고 상기 결합 요청 프레임은 상기 제2 AP의 식별 정보를 포함하고, 상기 STA의 인증 정보는 PMK(paired main key) rMSK(recertification main session key) 중 적어도 하나를 포함할 수 있다. 결합 요청 프레임은 상기 STA의 식별자 정보, EAPOL-Key(extensible authentication protocol transport over local area network-key), MIC(message integrity code)를 더 포함하고, 상기 STA의 식별자 정보는 상기 STA의 AID(association identification) 정보, 상기 EAPOL-key는 상기 제1 AP로부터 전송받은 Anonce 및 상기 STA에서 생성된 SNonce를 기초로 생성된 인증 키, 상기 MIC는 메시지의 무결성 인증을 위한 코드일 수 있다. 상기 프로세서는 상기 ANonce 및 상기 SNonce를 기초로 보안 키를 생성하고 생성된 상기 보안 키를 기초로 상기 MIC의 검증을 수행하여 상기 STA에 대한 인증을 수행하도록 구현될 수 있다. 상기 프로세서는 기 STA의 인증이 성공하는 경우, 상기 보안 키로 암호화된 결합 응답 프레임(association response frame)을 상기 STA으로 전송하고, 상기 STA의 인증이 실패하는 경우, 상기 결합 응답 프레임을 상기 STA에 전송하지 않거나 상기 결합 응답 프레임을 상기 STA으로 전송하도록 구현되고, 상기 결합 응답 프레임은 상기 STA이 전체 인증 절차를 수행할 것을 요청하는 정보를 포함할 수 있다. 상기 프로세서는 상기 제2 AP와 상기 인증 정보를 공유하는지 여부에 대한 정보가 포함된 비콘 프레임 또는 프로브 응답 프레임을 생성하도록 구현될 수 있다. 상기 프로세서는 상기 결합 요청 프레임에 포함된 STA 식별자를 기초로 상기 STA이 이전에 결합되었던 STA인지 여부를 판단하고 상기 STA이 이전에 결합되었던 STA인 경우 보유된 상기 인증 정보를 기초로 상기 STA에 대한 인증을 수행하도록 구현되고, 상기 인증 정보는 일정한 시간 동안 보유되고 상기 일정한 시간이 만료되면 삭제되는 정보일 수 있다.
전체 인증 절차를 다시 수행하지 않고 간소화된 인증 절차를 수행하므로 STA(station)과 AP(access point) 사이에 빠른 결합이 수행될 수 있다.
도 1은 무선랜(wireless local network, WLAN)의 구조를 나타낸 개념도이다.
도 2는 기존의 802.11i 표준에서 정의된 무선랜 보안 접속 방법을 나타낸 순서도이다.
도 3은 본 발명의 실시예에 따른 AP와 STA이 간소화된 인증 절차를 수행하는 방법을 나타낸 개념도이다.
도 4는 본 발명의 실시예에 따른 인증 정보 공유 지시 필드를 포함하는 비콘 프레임 및 프로브 응답 프레임을 나타낸 개념도이다.
도 5는 본 발명의 실시예에 따른 결합 요청 프레임을 나타낸 개념도이다.
도 6은 본 발명의 실시예에 따른 AP와 STA이 간소화된 인증 절차를 수행하는 방법을 나타낸 개념도이다.
도 7은 본 발명의 실시예에 따른 결합 요청 프레임을 나타낸 개념도이다.
도 8은 본 발명의 실시예에 따른 AP와 STA이 간소화된 인증 절차를 수행하는 방법을 나타낸 개념도이다.
도 9는 본 발명의 실시예에 따른 AP와 STA이 간소화된 인증 절차를 수행하는 방법을 나타낸 개념도이다.
도 10은 본 발명의 실시예가 적용될 수 있는 무선 장치를 나타내는 블록도이다.
도 1은 무선랜(wireless local area network, WLAN)의 구조를 나타낸 개념도이다.
도 1의 (A)는 IEEE(institute of electrical and electronic engineers) 802.11의 인프라스트럭쳐 네트워크(infrastructure network)의 구조를 나타낸다.
도 1의 (A)를 참조하면, 무선랜 시스템은 하나 또는 그 이상의 기본 서비스 세트(Basic Service Set, BSS, 100, 105)를 포함할 수 있다. BSS(100, 105)는 성공적으로 동기화를 이루어서 서로 통신할 수 있는 AP(access point, 125) 및 STA1(Station, 100-1)과 같은 AP와 STA의 집합으로서, 특정 영역을 가리키는 개념은 아니다. BSS(105)는 하나의 AP(130)에 하나 이상의 결합 가능한 STA(105-1, 105-2)을 포함할 수도 있다.
인프라스트럭쳐 BSS는 적어도 하나의 STA, 분산 서비스(Distribution Service)를 제공하는 AP(125, 130) 및 다수의 AP를 연결시키는 분산 시스템(Distribution System, DS, 110)을 포함할 수 있다.
분산 시스템(110)는 여러 BSS(100, 105)를 연결하여 확장된 서비스 셋인 ESS(extended service set, 140)를 구현할 수 있다. ESS(140)는 하나 또는 여러 개의 AP(125, 230)가 분산 시스템(110)을 통해 연결되어 이루어진 하나의 네트워크를 지시하는 용어로 사용될 수 있다. 하나의 ESS(140)에 포함되는 AP는 동일한 SSID(service set identification)을 가질 수 있다.
포털(portal, 120)은 무선랜 네트워크(IEEE 802.11)와 다른 네트워크(예를 들어, 802.X)와의 연결을 수행하는 브리지 역할을 수행할 수 있다.
도 1의 (A)와 같은 인프라스트럭쳐 네트워크에서는 AP(125, 130) 사이의 네트워크 및 AP(125, 130)와 STA(100-1, 105-1, 105-2) 사이의 네트워크가 구현할 수 있다. 하지만, AP(125, 130)가 없이 STA 사이에서도 네트워크를 설정하여 통신을 수행하는 것도 가능할 수 있다. AP(125, 130)가 없이 STA 사이에서도 네트워크를 설정하여 통신을 수행하는 네트워크를 애드-혹 네트워크(Ad-Hoc network) 또는 독립 BSS(independent basic service set)라고 정의한다.
도 1의 (B)는 독립 BSS를 나타낸 개념도이다.
도 1의 (B)를 참조하면, 독립 BSS(independent BSS, IBSS)는 애드-혹 모드로 동작하는 BSS이다. IBSS는 AP를 포함하지 않기 때문에 중앙에서 관리 기능을 수행하는 개체(centralized management entity)가 없다. 즉, IBSS에서는 STA(150-1, 150-2, 150-3, 155-1, 155-2)들이 분산된 방식(distributed manner)으로 관리된다. IBSS에서는 모든 STA(150-1, 150-2, 150-3, 155-1, 155-2)이 이동 STA으로 이루어질 수 있으며, 분산 시스템으로의 접속이 허용되지 않아서 자기 완비적 네트워크(self-contained network)를 이룬다.
STA은 IEEE(Institute of Electrical and Electronics Engineers) 802.11 표준의 규정을 따르는 매체 접속 제어(Medium Access Control, MAC)와 무선 매체에 대한 물리층(Physical Layer) 인터페이스를 포함하는 임의의 기능 매체로서, 광의로는 AP와 비AP STA(Non-AP Station)을 모두 포함하는 의미로 사용될 수 있다.
STA은 이동 단말(mobile terminal), 무선 기기(wireless device), 무선 송수신 유닛(Wireless Transmit/Receive Unit; WTRU), 사용자 장비(User Equipment; UE), 이동국(Mobile Station; MS), 이동 가입자 유닛(Mobile Subscriber Unit) 또는 단순히 유저(user) 등의 다양한 명칭으로도 불릴 수 있다.
이하, 본 발명의 실시예에서는 AP와 STA 사이에 인증 절차를 간소화 하여 STA와 AP가 빠르게 결합(association)을 수행하는 방법에 대해 개시한다. 이하, 본 발명의 실시예에서 개시할 간소화된 인증 방법은 동일한 ESS(extended service set)에 포함된 AP와 STA 사이에서 수행될 수 있다. ESS는 분산 시스템에 의해 연결된 동일한 SSID(service set identification)를 가진 인프라스트럭쳐 BSS의 집합이 될 수 있다. 즉, 본 발명에서 간소화된 인증 방법에서 개시될 AP는 분산시스템에 의해 연결된 동일한 SSID를 가지는 장치가 될 수 있다.
도 2는 기존의 802.11i 표준에서 정의된 무선랜 보안 접속 방법을 나타낸 순서도이다.
IEEE 802.11 TGi의 표준화 목표는 하나의 AP(290)가 관할하는 기본 서비스 셋 안에서 AP(290)와 STA(280) 사이에 인증과 키 교환 및 무선 구간 데이터 보호를 통해 튼튼한 보안망(RSN, robust security network)을 구축하여 무선랜 사용자를 보호하는 것이다. IEEE 802.11i 표준은 무선랜 사용자 보호를 위해서 사용자 인증 방식, 키 교환 방식 및 향상된 무선 구간 암호 알고리즘을 정의하고 있으며, IEEE802.1X 인증, 4-단계 핸드쉐이크(4-Way Handshake) 키 교환 및 CCMP(Counter mode with CBC-MAC Protocol) 암호 알고리즘을 필수 구현 기능으로 정의하고 있다.
도 2에서는 IEEE 802.1X 표준과 IEEE 802.11i 표준이 적용되는 무선랜 보안 접속 방법에 대해 개시한다.
인증과 키 교환을 완료해서 AP를 통한 외부 네트워크 연결이 허가되기 위해서는 IEEE 802.11 접속(단계 S200), IEEE 802.1X 인증(단계 S220), IEEE 802.11i 키 교환(단계 S250), 무선 구간 데이터 암호화(단계 S280)가 유기적으로 연결되어야 한다.
도 2의 단계 S220은 IEEE 802.1X를 이용한 무선랜 보안 접속의 인증 부분이다. IEEE 802.11i 표준에서는 사용자 인증 방식으로 2 가지를 정의하고 있다. 첫째는 IEEE 802.1X 인증 방식으로서 필수 구현 항목이며, 둘째는 사전 공유 키(PSK, Pre-Shared Key) 방식으로서 선택 항목이다. 이러한 방식들은 사용자 인증뿐만 아니라 무선 STA(280)과 AP(290) 사이에 교환하게 될 세션 키의 마스터 키를 생성하는 키 관리 방식을 구분하기 때문에 이를 통틀어 인증 및 키 관리(AKM, Authentication and Key Management) 방식이라고 부르기도 한다. 이하에서는 두 가지 방식에 대해 순차적으로 개시한다.
(1) IEEE 802.1X 인증 방식
IEEE 802.1X 인증 방식은 IEEE 802.1X 태스크 그룹이 작성하여 2001년 6월에 승인받은 표준이다. IEEE 802.1x 인증 방식은 사용자 인증을 위한 다양한 인증 프로토콜을 수용하면서 접속 포트에 기반한 접근 제어 기능을 정의하고 있다. 무선랜 시스템에서도 이러한 포트 기반 접근 제어를 통해 무선랜 사용자 인증을 수행할 수 있으며, 무선 구간 보안에 필요한 마스터 키(PMK, Pairwise Master Key)를 전달할 수 있다. 무선랜 시스템에서는 AP(290)가 접속 허가자(authenticator) 역할을 하게 되고, IEEE 802.1X 인증을 수행하기 위해서는 AP(290)를 관리하는 네트워크 관리자 영역에 접속 요구 STA(280)에 대한 인증 정보를 가지고 있는 AS(authentication server, 295)가 존재하거나 AP 자체적으로 AS(295) 기능을 내장하고 있어야 한다.
도 2를 참조하면, 단계 S220의 맨 아래 MS-MPPE(PMK) 부분(단계 S240)이 AS(295)가 AP(290)에게 마스터 키(PMK)를 전달하는 절차이며, 이 마스터 키를 이용하여 일대일 대칭 키(PTK, Pairwise Transient Key) 교환을 수행하게 되고 그 결과를 참조하여 포트 제어(port control)를 수행한다.
(2) 사전 공유 키(PSK, Pre-Shared Key) 방식
두 번째 인증 방식인 사전 공유 키 방식은 별도의 AS(295)가 필요가 없는 대신 무선 STA(280)과 AP(290)가 미리 특정 키를 공유하고 있어야 한다. 소규모 사무실 또는 가정에서 활용이 가능한 방식으로서 정해진 의사 난수 함수(PRF, pseudo-random function)에 사전 공유 키를 적용하여 마스터 키를 유도한다. 사전 공유 키 방식을 사용할 경우 도 2의 단계 S220의 과정이 생략될 수 있다. 이후의 일대일 대칭 키(PTK) 교환과 포트 제어 및 데이터 암호화 통신 등의 절차는 동일할 수 있다.
IEEE 802.11i 표준의 세션 키 교환 방식은 4-단계 핸드쉐이크 방식을 사용한다. 그러나 키를 사용하는 대상에 따라 크게 3가지 세션 키가 존재할 수 있으며, 이를 위한 각각의 키 교환 방식이 아래와 같이 세분화될 수 있다.
(1) 하나의 무선 STA(280)과 AP 사이의 일대일(unicast) 통신 보호용 대칭 키(PTK) 교환을 위한 4-단계 핸드쉐이크 방식
동적 키 생성을 위한 4-단계 핸드쉐이크는 EAPOL-키 서술자(EAPOL-Key Descriptor, 단계 S255, 단계 S260)를 이용하여 수행될 수 있다. EAPOL-키 서술자는 4-단계 핸드쉐이크 뿐만 아니라 그룹 키 핸드쉐이크와 STA 키 핸드쉐이크에서도 사용된다. IEEE 802.11i의 4-단계 핸드쉐이크는 일 대 일 대칭 키(PTK)를 설립하는 것과 더불어 MAC 계층에서의 보안 협상을 재확인 또는 변경할 수 있는 기능도 제공한다.
4-단계 핸드쉐이크의 두 번째 메시지(S255), 세 번째 메시지(S260)는 EAPOL-키 서술자의 키 데이터(key data) 필드에 RSN IE(Robust Security Network Information Element)를 포함하고 있다. RSN IE는 무선 STA(280)과 AP(290) 사이의 인증 방식과 암호 알고리즘에 대한 협상 정보를 지닌 메시지로서 무선랜 MAC 접속(association) 단계에서 교환되고 협상된다. 이러한 RSN IE를 4-단계 핸드쉐이크 메시지에 포함시킴으로서 MAC 상위 계층에서 튼튼한 보안망 정보 요소(RSN IE) 정보를 재확인하고 해석할 수 있도록 했다.
(2) AP(290)가 다수의 무선 STA(280)과 일 대 다(broadcast) 통신을 수행할 때 사용하는 그룹 키(GTK) 교환을 위한 그룹 키 핸드쉐이크 방식
그룹 키 핸드쉐이크 방식을 살펴 보면 도 2의 “IEEE 802.11i 4-Way Handshake”로 표시된 단계 S250에 보이는 6개의 교환 절차 중 하위 2개의 교환 절차(단계 S265, S270)가 그룹 키 핸드쉐이크 방식을 나타내고 있다.
그룹 키 핸드쉐이크인 경우에는 AP(290)에서 일대다 그룹 키를 생성하여 암호화한 후 EAPOL-키 서술자의 키 데이터 필드에 실어서 보내면 무선 STA(280)은 자신이 보유 하고 있는 EAPOL-키 암호화 키(Key Encryption Key) 정보를 이용하여 복원해 낸다.
(3) 동일 기본 서비스 셋 안에 있는 2개의 무선 STA이 통신할 때 사용하는 STA 대 STA 키(STA to STA key)를 교환하기 위한 STA 키 핸드쉐이크 방식
STA 키 핸드쉐이크의 목적은 동일한 기본 서비스 셋(BSS) 안에 있는 무선 STA 사이에서 데이터를 주고 받을 때 사용하기 위한 암호 키를 별도로 갖기 위한 방법이다. 무선랜 기반 구조 모드(infrastructure mode)에서는 모든 무선 STA은 AP를 통해서만 네트워크와 연결되므로 AP는 모든 무선 STA들로부터 수신한 데이터를 복호화해야 하며, 또한 전달해야 할 데이터가 있는 경우에는 암호화해서 무선 STA에게 송신해야 하는 부담이 있다. STA 키 핸드쉐이크는 동일 기본 서비스 셋(BSS)안의 무선 STA끼리 암호 키를 설립하여 해당 암호 키로 암호화한 데이터는 AP가 상대편 무선 STA에게 그냥 전달해 줌으로서 AP의 암호를 복호화 부담을 줄이는 효과를 얻을 수 있다.
도 2에서 개시된 STA(280)의 인증 및 보안 절차를 간략하게 요약하면, EAP(extended authentication protocol) 인증은 AP(290)가 EAP-요청(EAP-Request)를 보내거나 STA(280)이 EAPOL-START 메시지(단계 S225)를 송신할 때 시작된다. EAP 인증 프레임을 통해 AP(290)는 IEEE 802.1X의 언콘트롤드 포트(uncontrolled port)를 사용하여 STA(280)와 AS(295) 사이의 RSNA(robust security network association) 인증 연결을 생성하기 위한 인터페이스 기능을 수행한다.
STA(280)과 AS(295)는 EAP-TLS(transport layer security) 또는 EAP-TTLS(tunneled transport layer security)를 통해 서로에 대한 인증 및 Pairwise Master Key(PMK)를 생성한다. PMK는 AP(290)와 AS(295) 사이의 보안 연결을 통해 AP(290)로 전달되고, PMK를 공유한 AP(290)와 STA(280)은 각기 유지하고 있는 PMK를 기반으로 IEEE 802.11i에서 정의하는 4 단계 키 교환 프로토콜을 수행한다. 4-웨이 핸드쉐이크는 먼저 상대방의 PMK의 존재를 확인한 후, 일치하면 PMK로부터 PTK를 생성하고, 다시 생성된 PTK를 계층적으로 관리하여 MAC 프로토콜로 전달하는 과정을 수행한다.
PTK가 성공적으로 전달된 후, AP(290)는 IEEE 802.1X의 제어된 포트(Controlled Port)를 허가함으로서 일반적인 데이터 프레임이 IEEE 802.11 서비스를 제공받을 수 있도록 조정한다.
그룹 키 핸드쉐이크 과정은 4-웨이 핸드쉐이크를 통해 생성된 키를 기반으로 하는 데이터 교환이 이루어진 후 GTK 변경이 요청되는 경우에 수행되며, STA(280)와 AP(290) 사이에 그룹 주소(Group Address)로 전송되는 프레임의 보안을 위해 이루어진다. 이를 통해 생성된 GTK 또한 PTK와 동일하게 계층적으로 관리된 후 암호화 및 복호화를 위해 MAC 프로토콜로 전달된다.
기존의 STA의 인증 및 보안을 수행 시에는 STA이 AP에 결합(association)을 수행 시마다 전체 인증 절차(full authentication procedure)가 수행되고 또한 전체 EAP 절차 및 다른 보안 절차가 수행되었다. 즉, STA이 현재 결합된 AP와의 결합을 해제하고 다른 AP와 결합된다거나 이전에 결합되었던 AP로 다시 결합되는 경우 인증 절차가 처음부터 다시 수행되기 때문에 STA과 AP 사이에서 인증을 위한 시간이 길어진다.
본 발명에서는 이러한 문제점을 해결하기 위해서 STA과 AP 사이에 인증 절차를 간소화시켜 STA과 AP 사이에 빠른 결합이 수행될 수 있는 방법에 대해 (1) STA이 현재 결합된 AP와 결합을 해제하고 다른 AP와 결합되는 경우, (2) STA이 이전에 결합된 AP로 다시 재결합(reassociation)되는 경우를 나누어서 개시한다.
이하, 본 발명의 실시예에서는 설명의 편의상 인증 절차라고 표현하여 설명하나 인증 절차의 의미는 인증 및 보안을 수행하는 절차를 모두 포함할 수 있다. 즉, 인증의 의미를 넓게 해석하여 인증 및 보안을 모두 포함하는 의미로 사용할 수 있다.
도 3은 본 발명의 실시예에 따른 AP와 STA이 빠른 결합을 수행하는 방법을 나타낸 개념도이다.
도 3에서는 STA(300)이 현재 결합된 AP1(310)과의 결합을 해제하고 AP 2(320)로 핸드오버를 수행하여 AP2(320)와 결합되는 경우에 대해 개시한다.
도 3에서 AP1(310)은 STA(300)이 결합되었던 AP를 의미하고, AP2(320)는 STA(300)이 AP1(310)과 결합을 수행한 이후에 결합을 수행하는 AP이다. AP1(310)과 AP2(320)에 의해 구현된 각각의 BSS는 분산 시스템에 의해 연결되어 ESS 네트워크를 형성할 수 있다.
도 3을 참조하면, STA(300)은 AP1(310)으로부터 STA(300)의 인증 정보를 AP 2(320)와 공유할 수 있는지에 대한 정보를 비콘 프레임/프로브 응답 프레임(beacon frame/probe response frame)과 같은 프레임 통해 수신할 수 있다(단계 S305).
AP1(310)는 AP2(320)과 인증 정보를 공유하는지 여부에 대한 정보를 포함하는 비콘 프레임 또는 프로브 응답 프레임을 STA(300)으로 전송할 수 있다. 비콘 프레임/프로브 응답 프레임이 포함하는 인증 정보를 공유하는지 여부에 대한 정보는 AP1(310) 및 AP2(320) 사이에서 STA(300)에 관련된 인증 정보(예를 들어, PMK(paired main keys)/rMSK(recertification main session key) 등)가 공유 가능한지에 대한 지시(indication) 필드일 수 있다.
비콘 프레임/프로브 응답 프레임에 포함된 이러한 인증 정보 공유 지시 필드를 기초로 인증 정보를 AP1(310)이 AP2(320)와 공유할 수 있는지에 대해 STA(300)에게 지시할 수 있다.
인증 정보 공유 지시 필드는 현재 AP(310)와 AP2(320)가 인증 정보를 공유할 수 있다는 것을 지시하는 정보이다. 인증 정보가 AP 사이에서 공유되는 경우, 추후 STA(300)이 현재 결합된 AP1(310)에서 다른 주변 AP인 AP2(320)로 핸드오버가 수행될 때 STA(300)은 전체 EAP(full EAP)를 수행할 필요가 없이 AP2(320)와 간소화된 인증 절차를 수행하여 AP2(320)와 빠르게 결합할 수 있다.
즉, STA(300)이 AP2(320)와 결합을 수행 시 인증 정보 공유 지시 필드를 기초로 간소화된 인증 절차를 수행 가능함을 알 수 있어 STA(300)은 간소화된 인증 절차에 따라 AP2(320)와 결합을 수행할 수 있다.
PMK는 EAP(extensible authentication protocol) 방법을 수행 시 사용되는 인증 정보로서 STA(300)과 AS(authentication server, 330) 사이에서의 인증 정보인 AAA(authentication, authorization and accounting) 키(key)로부터 유도될 수 있다. rMSK도 인증 정보로서 AAA 키로부터 유도되는 정보로서 AAA 키와 동일한 값을 가질 수 있다.
PMK 및/또는 rMSK는 인증 절차를 수행하기 위한 인증 정보의 하나의 예시로서 다른 인증 정보가 두 개의 AP1(310) 및 AP2(320) 사이에서 공유될 수 있고 이러한 실시예 또한 본 발명의 권리 범위에 포함된다.
본 발명의 실시예에 따르면, PMK 및/또는 rMSK와 같은 인증 정보가 AP1(310), AP2(320) 사이에서 공유될 수 있는지 여부를 지시하는 정보를 비콘 프레임 및 프로브 응답 프레임과 같은 프레임에 포함하여 전송할 수 있다.
도 4는 본 발명의 실시예에 따른 인증 정보 공유 지시 필드를 포함하는 비콘 프레임 및 프로브 응답 프레임을 나타낸 개념도이다.
도 4를 참조하면, 비콘 프레임 및 프로브 응답 프레임의 프레임바디에는 인증 정보 공유 지시 필드(400)가 포함될 수 있다. 비콘 프레임 또는 프로브 응답 프레임을 수신한 STA은 인증 정보 공유 지시 필드(400)를 기초로 현재 접속을 수행하는 또는 접속된 AP의 주변 AP가 서로 인증 정보(예를 들어, PMK 및/또는 rMSK)를 공유하는지 여부에 대한 정보를 알 수 있다.
다시 도 3을 참조하면, STA(300)이 AP1(310)에 결합(association)하기 전에 AS(330)로부터 전체 EAP 인증 과정을 수행한다(단계 S310).
단계 S310에서는 STA(300)과 AP1(310)사이에서 EAP 과정을 모두 수행하여(full EAP) 인증 과정을 수행할 수 있다.
인증이 완료된 STA(300)은 AP1(310)에 접속하여 서비스를 제공 받을 수 있다. 이후에 STA(300)이 AP1(310)과의 결합을 종료하고 AP2(320)와 결합을 수행할 수 있다(단계 S315).
예를 들어, AP1(310)의 전송 범위에서 AP2(320)의 전송 범위로 STA(300)이 이동하는 경우, STA(300)은 AP1(310)과의 결합을 종료하고 AP2(320)와의 결합을 수행할 수 있다.
STA(300)은 AP2(320)로부터 비콘 프레임 또는 프로브 응답 프레임을 통해 ANonce 값을 획득한다(단계 S320).
ANonce(authenticator number used only once-in-a-lifetime)는 AP(310)에서 생성된 난수 값이다. ANonce는 이후, STA(300)에서 생성된 난수 값인 SNonce(Supplicant number used only once-in-a-lifetime)과 함께 STA(300)이 EAPOL-키(extensible authentication protocol transport over LAN)를 생성하기 위해 사용될 수 있다.
단계 S305에서 비콘 프레임 또는 프로브 응답 프레임을 통해서 AP 1(310)과 AP2(320)가 인증 정보(예를 들어, PMK/rMSK 등)를 공유할 수 있다는 정보를 지시받은 STA(300)은 AP2(320)와 결합을 수행하기 위해 AP2(320)로 결합 요청 프레임(association request frame)을 전송한다(단계 S325).
본 발명의 실시예에 따른 AP와 STA의 결합 방법에서는 STA(300)이 기존에 결합된 AP인 AP1(310)과 인증 정보를 공유할 수 있는 AP인 AP2(320)로 핸드오버를 수행할 경우, 전체적인 인증 절차를 수행하지 않고 결합 요청 프레임에 포함된 인증 절차를 수행하기 위한 정보 및 AP2(320)로부터 수신한 인증 정보를 기초로 간소화된 인증 절차를 수행할 수 있다.
결합 요청 프레임(association request frame)에는 이전에 결합(association)한 AP의 식별자(예를 들어, AP 1(310)의 Mac address(BSSID)), EAPOL-Key(SNonce, ANonce), MIC(message integrity code) 등과 같은 AP에서 인증을 수행하기 위한 정보가 포함되어 AP 2(320)로 전송될 수 있다. 결합 요청 프레임에 포함된 EAPOL-Key는 AP2(320)에서 생성된 난수 값인 ANonce와 STA(300)에서 생성된 난수값인 SNonce를 기초로 생성된 인증에 관련된 정보이다. MIC는 일정한 비트를 가진 코드로서 메시지의 무결성을 인증하기 위한 코드이다. 결합 요청 프레임에 포함된 페이로드는 EAPOL-키 확인 키(EAPOL-Key confirmation key, KCK)에 의해 보호될 수 있다.
도 5는 본 발명의 실시예에 따른 결합 요청 프레임을 나타낸 개념도이다.
도 5를 참조하면, 결합 요청 프레임에는 이전에 결합한 AP의 식별자(예를 들어, AP1(310)의 MAC address(BSSID), 500), EAPOL-Key(Snonce, Anonce)(520), MIC(message integrity code)(540) 등과 같은 인증 절차를 수행하기 위한 정보가 프레임의 페이로드에 포함될 수 있다.
AP2(320)는 AP1(310)에게 STA(300)의 인증 정보를 전달해 줄 것을 요청한다(단계 S330).
AP1(310)은 AP2(320)에게 STA(300)의 인증 정보를 전송한다(단계 S335).
AP2(320)가 STA(300)의 인증 정보를 AP1(310)로 요청하면, STA(300)의 인증 정보를 보유하고 있던 AP1(310)는 PMK 및/또는 rMSK 등의 인증 정보를 AP2(320)로 전송할 수 있다.
AP1(310)으로부터 PMK 및/또는 rMSK 등의 인증 정보를 전달 받은 AP2(320)는 전술한 단계 S325를 통해 수신한 ANonce 및 SNonce 등을 바탕으로 PTK(pairwise transient key), KCK(key confirmation key), KEK(key encryption key) 등의 보안키를 생성하고, 결합 요청 프레임에 포함된 MIC의 검증(verification)을 수행하여 STA 인증을 수행한다(단계 S340).
PTK는 PMK, AP 및 STA의 MAC 주소, ANonce, Snonce를 변수로 기초로 슈도 랜덤 함수(pseudo random function)를 사용하여 산출되는 값이다. 산출된 PTK는 다시 KCK, KEK, TK로 재생성되어 인증 절차에서 사용될 수 있다.
즉, 본 발명의 실시예에 따른 AP2(320)와 STA(300)의 간소화된 인증 방법에서는 기존의 STA과 AP 사이에 4-웨이 핸드쉐이크 방법으로 수행되던 인증 절차가 STA의 결합 요청 프레임의 전송 시 인증 정보를 포함하여 전송하고 AP 사이의 인증 정보를 공유하는 전술한 바와 같은 간단한 절차를 통해 수행될 수 있다.
만약 AP2(320)에서 결합 요청 메시지 검증(association request message verification)이 실패하는 경우, 결합 응답 프레임을 전송하지 않거나(silently discard) 또는 결합 요청 메시지 검증(association request message verification)이 실패하였다는 사실을 STA(300)에게 결합 응답 프레임을 통해 알려주고 간소화된 인증 절차가 아닌 전체 인증 및 보안 절차(Full EAP)를 수행할 것을 지시할 수도 있다.
AP2(320)에서 결합 요청 프레임의 메시지 검증(message verification)이 성공적으로 이뤄지면, 생성한 KEK/KCK 등으로 암호화/무결성 보장(encrypted/integrity protected)된 결합 응답 프레임을 STA(300)에 전송할 수 있다(단계 S345).
AP2(320)에서 전송되는 결합 응답 프레임에는 PTK, GTK, IGTK가 인스톨(install)된 EAPOL-키가 포함될 수 있다.
결합 응답 프레임을 수신한 STA(300)은 자신의 보안 키를 사용하여 메시지 검증을 통해 STA(300)과 AP2(320) 간의 키 어그리먼트(key agreement) 과정을 수행한다. 결합 응답 프레임을 수신한 STA(300)이 성공적으로 암호 해독/메시지 검증(decrypt/message verification)을 수행하는 경우, STA(300)은 AP2(320)에 접속하여 정상적인 서비스를 제공 받을 수 있다. STA(300)에서 암호 해독/메시지 검증을 수행하지 못하는 경우 STA(300)은 AS(330)와 전체 EAP 과정을 다시 수행할 수 있다.
도 6은 본 발명의 실시예에 따른 AP와 STA이 간소화된 인증 절차를 수행하는 방법을 나타낸 개념도이다.
도 6에서는 STA(600)이 이전에 결합된 AP인 AP1(610)로 다시 재결합(reassociation)을 수행하는 경우에 대해 개시한다.
도 6에서 AP1(610)은 STA(300)이 이전에 결합하였던 AP이고, AP2(620)는 STA(600)이 AP1(610)와 재결합을 수행하기 전에 결합을 수행하는 AP이다. 도 3과 마찬가지로 AP1(610)과 AP2(620)에 의해 구현된 BSS는 분산 시스템에 의해 연결되어 ESS 네트워크를 형성할 수 있다.
도 6을 참조하면, STA(600)은 AP1(610)과 결합을 수행하기 전에 전체 EAP(Full EAP) 과정을 통해 인증을 수행할 수 있다(단계 S625).
STA(600)이 AP1(610)과 결합을 해제한다(단계 S630)
STA(600)이 AP1(610)의 커버리지를 벗어나 다른 AP 커버리지(예를 들어, AP2(620))로 이동하는 경우를 가정할 수 있다. 이러한 경우, AP1(610)이 STA(600)로부터 결합 해제(disassociation) 또는 인증 불능(De-authentication) 메시지를 수신할 수 있다.
AP1(610)은 STA(600)과의 인증(authentication) 및 EAP 절차(EAP procedure)를 통해 획득한 STA의 인증 정보(예를 들어, PMK, rMSK)를 인증 정보 보유 타이머(authentication information retain timer)가 만료할 때까지 AP1(610)에 보유하고 있을 수 있다(단계 S635). 예를 들어, PMK 보유 타이머(PMK retain timer), rMSK 보유 타이머(rMSK retain timer)를 일정한 값으로 설정하고 타이머가 만료될 때까지 PMK 및/또는 rMSK에 대한 정보를 AP1(610)이 보유하고 있을 수 있다.
STA(600)이 이전에 결합했던 AP1(610)의 전송 범위로 이동한다(단계 S640).
STA(600)은 AP1(610)의 전송 범위로 이동되는 경우 AP1(610)으로부터 비콘 프레임 또는 프로브 응답 프레임을 통해 ANonce 값을 획득할 수 있다(단계 S645).
STA(600)은 AP1(610)에 재결합(re-association)을 위해 결합 요청 프레임을 전송한다(단계 S650).
결합 요청 프레임에는 STA의 식별자(예를 들어, AID(association identification) 또는 MAC address), MIC, [EAPOL-Key(SNonce, ANonce)]와 같은 정보가 포함될 수 있다.
도 7은 본 발명의 실시예에 따른 결합 요청 프레임을 나타낸 개념도이다.
도 7을 참조하면, 결합 요청 프레임(association request frame)에는 이전에 결합(association)한 STA의 식별자(700, 예를 들어, STA의 AID(association identification) 또는 MAC address), EAPOL-Key (SNonce, ANonce)(710), MIC(720) 등과 같은 인증 정보가 결합 요청 프레임의 페이로드에 포함될 수 있다. 이러한 정보가 포함된 결합 요청 프레임의 페이로드는 KCK(key confirmation key)에 의해 보호될 수 있다.
AP1(610)은 수신한 결합 요청 프레임을 기초로 STA 식별자를 확인하여 STA(600)이 이전에 자신에게 결합했던 STA(600)임을 인지할 수 있다. AP1(610)에 유지하고 있던 STA(600)의 인증 정보(예를 들어, PMK, rMSK)를 이용하여 결합 요청 프레임의 메시지 검증(message verification)을 수행할 수 있다.
예를 들어, STA(600)과 AP1(610)이 EAP-RP를 수행하여 rMSK를 생성하여 인증 정보로서 사용하는 경우, AP1(610)에서는 rMSK 보유 타이머에서 설정된 시간이 모두 만료되기 전까지는 rMSK를 보유하고 있을 수 있다. AP 1(610)는 또한 PMK의 경우에도 동일하게 PMK 보유 타이머에서 설정된 시간이 만료될 때가지 PMK를 보유할 수 있다.
만약 AP1(610)이 STA(600)의 인증 정보(예를 들어, PMK, rMSK)를 보유하고 있는 시간이 만료되었거나, STA(600)의 결합 요청 프레임 검증(association request frame verification)이 실패하는 경우, 결합 응답 프레임을 STA(600)으로 전송하지 않거나 또는 인증 정보 보유 타이머에서 STA의 인증 정보(예를 들어, PMK, rMSK)를 보유하고 있는 시간이 만료되었음을 STA(600)에게 결합 응답 프레임을 통하여 알려주고 STA(600)이 전체 EAP 인증을 수행할 것을 지시할 수 있다.
AP 1(610)의 결합 요청 프레임의 프레임 검증이 성공적으로 이뤄지면, 생성한 KEK/KCK 등으로 암호화/무결성 보호(encrypted/integrity protected)된 결합 응답 프레임을 STA(600)에 전달하고, 이를 수신한 STA(600)은 자신의 보안 키를 사용하여 프레임 검증을 통해 STA(600)과 AP(610) 간의 키 어그리먼트(key agreement) 과정을 수행할 수 있다.
STA(600)과 AP(610) 사이의 인증 정보(예를 들어, PMK, rMSK)를 STA(600)과 AP(610)가 보유하고 있으므로 이를 통해 AS와의 STA 사이의 EAP 절차(EAP authentication procedure)를 생략하여 간소화된 인증 절차를 수행할 수 있다.
결합 응답 프레임을 수신한 STA(600)이 성공적으로 암호화/메시지 검증(decrypt/message verification)을 수행하는 경우, AP 1(610)에 접속하여 정상적인 서비스를 제공 받을 수 있으며, 그렇지 않은 경우 STA(600)은 AS로부터 전체 EAP 인증 과정을 수행할 수 있다.
도 8은 본 발명의 실시예에 따른 STA과 AP의 결합 방법을 나타낸 개념도이다.
도 8에서는 AP1(810)와 STA(800)이 결합을 수행함에 있어서, (1) AP1(810)에서 이전에 STA(800)과의 접속 기록을 판단하여 결합을 수행하는 방법 및 (2) 이전에 STA과 결합되었던 AP인 AP2(820)와 AP1(810) 사이에서 STA의 인증 정보를 공유하는 방법을 결합하여 수행하는 경우에 대해 개시한다.
도 8을 참조하면, 우선, STA(800)의 이전 접속 기록을 판단하여 AP1(810)과 STA(800) 사이에 결합을 수행할 수 있다(단계 S840).
STA(800)이 AP1(810)에 접속하였을 경우 AP1(810)과의 접속 기록이 남아있는지 여부를 판단할 수 있다.
AP1(810)에 STA(800)의 인증 정보가 보유되어 있는 경우, 도 6에서 전술한 바와 같이 STA(800)은 해당 정보를 기초로 AP1(810)와 간소화된 인증 절차를 통한 빠른 결합을 수행할 수 있다.
AP2(820)와 AP1(810) 사이에서 STA(800)의 인증 정보를 공유하는 방법을 수행하여 AP1(810)와 STA(800) 사이에 결합을 수행할 수 있다(단계 S860).
단계 S840의 수행 결과 AP1(810)에 STA(800)의 인증 정보가 보유되어 있지 않은 경우, AP2(820)와 AP1(810)가 STA(800)의 인증 정보를 공유할 수 있는지 여부를 판단할 수 있다.
AP2(820)와 AP1(810)가 STA(800)의 인증 정보를 공유할 수 있는 경우, 전술한 도 3에서의 절차와 같이 AP1(810)에서는 AP1(820)로 STA(800)의 인증 정보를 요청할 수 있다. 또 다른 방법으로 두 개의 절차가 반대로 결합되어 수행될 수도 있다.
도 9는 본 발명의 실시예에 따른 STA과 AP의 결합 방법을 나타낸 개념도이다.
도 9에서는 도 8에서 개시한 두 단계(S840 및 S860)의 절차가 순서를 바꾸어 수행되는 경우에 대해 개시한다.
우선 이전에 STA과 결합된 AP인 AP2(920)와 AP1(910) 사이에서 STA의 인증 정보를 공유하는 방법을 수행하여 AP1(910)과 STA(900) 사이에 결합을 수행할 수 있다(단계 S940).
AP1(910)에 접속하기 이전에 접속한 AP인 AP2(920)와 AP1(910)이 STA(900)의 인증 정보를 공유할 수 있는 경우, 전술한 도 3에서의 절차와 같이 AP1(910)에서는 AP2(920)로 STA(900)의 인증 정보를 요청할 수 있다.
AP2(920)와 AP1(910)이 STA(900)의 인증 정보를 공유할 수 없는 경우는 다음으로 AP1(910)에 STA(900)과의 결합 기록이 남아있는지 여부를 판단할 수 있다. AP1(910)에 STA(900)의 인증 정보가 보유되어 있는 경우, 도 6에서 전술한 바와 같이 STA(900)은 인증 정보를 기초로 제1 AP(910)와 간소화된 인증 절차를 통한 AP와 빠르게 결합을 수행할 수 있다(단계 S960).
즉, 도 3 및 도 6에서 전술한 절차는 단독적으로 수행되거나 두 개의 절차가 결합되어 수행될 수도 있고 이러한 실시예 또한 본 발명의 권리 범위에 포함된다.
도 10은 본 발명의 실시예가 적용될 수 있는 무선 장치를 나타내는 블록도이다.
무선 장치(1000)는 상술한 실시예를 구현할 수 있는 STA로서, AP 또는 비 AP STA(non-AP station)일 수 있다.
무선장치(1000)은 프로세서(1020), 메모리(1040) 및 RF부(radio frequency unit, 1060)를 포함한다.
RF부(1060)는 프로세서(1020)와 연결하여 무선신호를 송신/수신할 수 있다.
프로세서(110)는 본 발명에서 제안된 기능, 과정 및/또는 방법을 구현한다. 예를 들어, 프로세서(1020)는 본 발명의 실시예에 따른 간소화된 인증 절차를 수행하도록 구현될 수 있다. 프로세서(1020)에서는 STA으로부터 수신한 결합 요청 프레임을 기초로 상기 STA이 이전에 결합되었던 AP에게 STA의 인증 정보를 요청하고 이전 결합 AP로부터 STA의 인증 정보를 수신하도록 구현될 수 있다. 또한, 수신된 결합 요청 프레임에 포함된 STA 식별자를 기초로 STA이 이전에 결합되었던 이전 결합 STA인지 여부를 판단하고 STA이 이전에 결합되었던 STA인 경우 보유된 STA의 인증 정보를 기초로 결합 요청 프레임에 대한 검증을 수행할 수 있다. 즉, 프로세서(1020)는 상술한 본 발명의 실시예들을 실시하기 하기 위해 구현될 수 있다.
프로세서(1020)는 ASIC(application-specific integrated circuit), 다른 칩셋, 논리 회로, 데이터 처리 장치 및/또는 베이스밴드 신호 및 무선 신호를 상호 변환하는 변환기를 포함할 수 있다. 메모리(1040)는 ROM(read-only memory), RAM(random access memory), 플래쉬 메모리, 메모리 카드, 저장 매체 및/또는 다른 저장 장치를 포함할 수 있다. RF부(1060)는 무선 신호를 전송 및/또는 수신하는 하나 이상의 안테나를 포함할 수 있다
실시예가 소프트웨어로 구현될 때, 상술한 기법은 상술한 기능을 수행하는 모듈(과정, 기능 등)로 구현될 수 있다. 모듈은 메모리(1040)에 저장되고, 프로세서(1020)에 의해 실행될 수 있다. 메모리(1040)는 프로세서(1020) 내부 또는 외부에 있을 수 있고, 잘 알려진 다양한 수단으로 프로세서(1020)와 연결될 수 있다.

Claims (12)

  1. 제1 AP(Access Point), 제2 AP, 및 분산시스템(distribution system: DS)을 포함하는 무선랜(WLAN) 상에서, STA(Station)에 의해 결합(association)이 수행되는 방법에 있어서,
    상기 제1 AP로부터, 상기 제1 AP가 주변 AP와 PMK(Paired Main Key) 및 rMSK(recertification Main Session Key)를 공유하는지 여부를 지시하는 공유(sharing) 지시자를 포함하는 스캐닝 프레임을 수신하되, 상기 스캐닝 프레임은 비콘 프레임(beacon frame) 또는 프로브 응답 프레임(probe response frame)인 단계;
    상기 제2 AP로 결합 요청 프레임(association request frame)을 송신함으로써 상기 제2 AP로 결합을 시작하되, 상기 결합 요청 프레임은 상기 제1 AP의 주소, EAPOL(Extensible Authentication Protocol transport Over Local area network) 키, 및 MIC(Message Integrity Code)를 포함하되, 상기 EAPOL 키는 상기 제1 AP로부터 수신된 ANonce(Authenticator Number used only once-in-a-lifetime) 및 상기 STA에 의해 생성되는 SNonce(Supplicant Number used only once-in-a-lifetime)를 기초로 생성되는 인증 키이고, 상기 공유 지시자가 상기 PMK 및 rMSK를 공유한다고 지시하는 경우 상기 STA은 상기 결합 요청 프레임에 상기 PMK 및 rMSK를 생략하는 단계; 및
    상기 제2 AP로부터 결합 응답 프레임을 수신하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서, 상기 PMK 및 rMSK가 상기 결합 요청 프레임에서 생략된 경우, 상기 제2 AP는 상기 제1 AP로부터 상기 PMK 및 rMSK를 획득하는 방법.
  3. 제1 AP(Access Point), 제2 AP, 및 분산시스템(distribution system: DS)을 포함하는 무선랜(WLAN) 상에서 동작하는 STA(Station)에 있어서,
    무선 신호를 송수신하는 RF 유닛; 및
    상기 RF 유닛을 제어하는 프로세서를 포함하되,
    상기 프로세서는,
    상기 RF 유닛을 제어하여, 상기 제1 AP로부터, 상기 제1 AP가 주변 AP와 PMK(Paired Main Key) 및 rMSK(recertification Main Session Key)를 공유하는지 여부를 지시하는 공유(sharing) 지시자를 포함하는 스캐닝 프레임을 수신하되, 상기 스캐닝 프레임은 비콘 프레임(beacon frame) 또는 프로브 응답 프레임(probe response frame)이고,
    상기 RF 유닛을 제어하여 상기 제2 AP로 결합 요청 프레임(association request frame)을 송신함으로써 상기 제2 AP로 결합을 시작하되, 상기 결합 요청 프레임은 상기 제1 AP의 주소, EAPOL(Extensible Authentication Protocol transport Over Local area network) 키, 및 MIC(Message Integrity Code)를 포함하되, 상기 EAPOL 키는 상기 제1 AP로부터 수신된 ANonce(Authenticator Number used only once-in-a-lifetime) 및 상기 STA에 의해 생성되는 SNonce(Supplicant Number used only once-in-a-lifetime)를 기초로 생성되는 인증 키이고, 상기 공유 지시자가 상기 PMK 및 rMSK를 공유한다고 지시하는 경우 상기 STA은 상기 결합 요청 프레임에 상기 PMK 및 rMSK를 생략하고,
    상기 RF 유닛을 제어하여 상기 제2 AP로부터 결합 응답 프레임을 수신하는,
    장치.
  4. 제3항에 있어서, 상기 PMK 및 rMSK가 상기 결합 요청 프레임에서 생략된 경우, 상기 제2 AP는 상기 제1 AP로부터 상기 PMK 및 rMSK를 획득하는 장치.
  5. 삭제
  6. 삭제
  7. 삭제
  8. 삭제
  9. 삭제
  10. 삭제
  11. 삭제
  12. 삭제
KR1020147023316A 2012-02-07 2013-02-07 스테이션과 엑세스 포인트의 결합 방법 및 장치 KR101901448B1 (ko)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201261596122P 2012-02-07 2012-02-07
US201261596177P 2012-02-07 2012-02-07
US61/596,177 2012-02-07
US61/596,122 2012-02-07
US201261597841P 2012-02-13 2012-02-13
US61/597,841 2012-02-13
PCT/KR2013/000966 WO2013119043A1 (ko) 2012-02-07 2013-02-07 스테이션과 엑세스 포인트의 결합 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20140130445A KR20140130445A (ko) 2014-11-10
KR101901448B1 true KR101901448B1 (ko) 2018-09-21

Family

ID=48947753

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147023316A KR101901448B1 (ko) 2012-02-07 2013-02-07 스테이션과 엑세스 포인트의 결합 방법 및 장치

Country Status (3)

Country Link
US (1) US9451460B2 (ko)
KR (1) KR101901448B1 (ko)
WO (1) WO2013119043A1 (ko)

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102025754B1 (ko) * 2012-11-01 2019-09-26 삼성전자주식회사 와이파이 네트워크를 이용한 디바이스 연결 시스템 및 방법
US9801099B2 (en) * 2013-05-15 2017-10-24 Blackberry Limited Method and system for use of cellular infrastructure to manage small cell access
US10028179B2 (en) * 2013-05-31 2018-07-17 Qualcomm Incorporated Reducing signaling during AP to AP handoff in dense networks
US20160149876A1 (en) 2013-06-28 2016-05-26 Nec Corporation Security for prose group communication
KR102122488B1 (ko) * 2013-10-22 2020-06-12 삼성전자주식회사 무선 통신 시스템에서 핸드오버 장치 및 방법
US20150127949A1 (en) * 2013-11-01 2015-05-07 Qualcomm Incorporated System and method for integrated mesh authentication and association
WO2015067823A1 (en) * 2013-11-11 2015-05-14 Telefonaktiebolaget L M Ericsson (Publ) Discarding a duplicate protocol data unit associated with a data transmission via a first signaling radio bearer or a second signaling radio bearer
US9788076B2 (en) * 2014-02-28 2017-10-10 Alcatel Lucent Internet protocol television via public Wi-Fi network
US10097321B2 (en) * 2014-05-08 2018-10-09 Qualcomm Incorporated Cooperative techniques between lower-frequency carriers and millimeter-wave channels for discovery and synchronization and beamforming
US9955333B2 (en) 2014-08-20 2018-04-24 Qualcomm, Incorporated Secure wireless wake-up companion
US10091812B2 (en) 2015-01-15 2018-10-02 Nokia Solutions And Networks Oy Method and apparatus for implementing low-latency and robust uplink access
US9648616B2 (en) 2015-01-15 2017-05-09 Nokia Solutions And Networks Oy Method and apparatus for implementing efficient low-latency uplink access
US10285053B2 (en) * 2015-04-10 2019-05-07 Futurewei Technologies, Inc. System and method for reducing authentication signaling in a wireless network
CN104735725B (zh) * 2015-04-15 2018-02-23 杭州敦崇科技股份有限公司 用于无线接入点的负载均衡方法
CN106211240B (zh) * 2015-06-01 2019-06-14 华为技术有限公司 提高无线局域网wlan并发处理能力的方法、装置及系统
US10555170B2 (en) * 2015-09-04 2020-02-04 Huawei Technologies Co., Ltd. Method and apparatus for authentication of wireless devices
US11153091B2 (en) 2016-03-30 2021-10-19 British Telecommunications Public Limited Company Untrusted code distribution
US10791093B2 (en) * 2016-04-29 2020-09-29 Avago Technologies International Sales Pte. Limited Home network traffic isolation
US10321306B2 (en) * 2016-06-24 2019-06-11 Aerohive Networks, Inc. Network device selective synchronization
CN106304050B (zh) * 2016-08-18 2020-05-08 新华三技术有限公司 一种无线漫游方法及装置
US10367792B2 (en) * 2016-08-25 2019-07-30 Orion Labs End-to end encryption for personal communication nodes
WO2018178034A1 (en) 2017-03-30 2018-10-04 British Telecommunications Public Limited Company Anomaly detection for computer systems
WO2018178026A1 (en) 2017-03-30 2018-10-04 British Telecommunications Public Limited Company Hierarchical temporal memory for access control
EP3639480A1 (en) 2017-06-12 2020-04-22 British Telecommunications Public Limited Company Home network access
EP3639496B1 (en) 2017-06-12 2022-10-26 British Telecommunications public limited company Improved network access point
WO2018228952A1 (en) 2017-06-12 2018-12-20 British Telecommunications Public Limited Company Expendable network access
WO2018228974A1 (en) 2017-06-12 2018-12-20 British Telecommunications Public Limited Company Expendable cryptographic key access
CN109429378B (zh) * 2017-07-18 2022-04-29 中兴通讯股份有限公司 一种组网方法和装置、及终端
US10716037B2 (en) 2018-10-11 2020-07-14 International Business Machines Corporation Assessment of machine learning performance with limited test data
US11765577B2 (en) * 2019-07-12 2023-09-19 Apple Inc. Identity obscuration for a wireless station
US11696129B2 (en) * 2019-09-13 2023-07-04 Samsung Electronics Co., Ltd. Systems, methods, and devices for association and authentication for multi access point coordination
CN113194472B (zh) * 2021-03-31 2023-03-31 新华三技术有限公司成都分公司 Agv无线接入方法及车载设备、网络设备、存储介质
KR20220141601A (ko) * 2021-04-13 2022-10-20 삼성전자주식회사 네트워크 억세스 동작을 수행하는 전자 장치 및 그 동작 방법
CN113316145B (zh) * 2021-05-21 2022-12-16 中国联合网络通信集团有限公司 无线网络接入方法、无线接入设备和终端设备
CN113347626B (zh) * 2021-05-21 2022-12-20 中国联合网络通信集团有限公司 无线网络接入方法、无线接入设备和终端设备
US11700527B2 (en) 2021-05-25 2023-07-11 Cisco Technology, Inc. Collaborative device address rotation
US11902775B2 (en) * 2021-05-28 2024-02-13 Cisco Technology, Inc. Encrypted nonces as rotated device addresses
CN115529649B (zh) * 2021-06-08 2024-05-10 成都极米科技股份有限公司 一种数据传输方法、装置、设备及存储介质
CN113490214A (zh) * 2021-07-15 2021-10-08 北京京东乾石科技有限公司 用于网络连接的方法、装置、系统、服务器和介质
US11716622B2 (en) 2021-07-20 2023-08-01 Bank Of America Corporation System for identification of secure wireless network access points using cryptographic pre-shared keys
CN116709208A (zh) * 2022-02-24 2023-09-05 华为技术有限公司 Wlan系统、无线通信方法和装置
CN115209506B (zh) * 2022-09-15 2023-01-20 北京智芯微电子科技有限公司 组网方法、装置、设备及介质
WO2024086997A1 (en) * 2022-10-24 2024-05-02 Nokia Shanghai Bell Co., Ltd. Method and apparatus for device validation in wireless local area network

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060083200A1 (en) 2004-10-15 2006-04-20 Emeott Stephen P Method for performing authenticated handover in a wireless local area network

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7107051B1 (en) * 2000-09-28 2006-09-12 Intel Corporation Technique to establish wireless session keys suitable for roaming
US7103359B1 (en) * 2002-05-23 2006-09-05 Nokia Corporation Method and system for access point roaming
KR100480258B1 (ko) * 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
US7346772B2 (en) * 2002-11-15 2008-03-18 Cisco Technology, Inc. Method for fast, secure 802.11 re-association without additional authentication, accounting and authorization infrastructure
US7263357B2 (en) 2003-01-14 2007-08-28 Samsung Electronics Co., Ltd. Method for fast roaming in a wireless network
KR101248906B1 (ko) * 2005-05-27 2013-03-28 삼성전자주식회사 무선 랜에서의 키 교환 방법
US8027304B2 (en) * 2005-07-06 2011-09-27 Nokia Corporation Secure session keys context
US7787627B2 (en) * 2005-11-30 2010-08-31 Intel Corporation Methods and apparatus for providing a key management system for wireless communication networks
US20080165735A1 (en) * 2007-01-05 2008-07-10 Jen-Jee Chen Handoff method of mobile device utilizing dynamic tunnel
US10091648B2 (en) * 2007-04-26 2018-10-02 Qualcomm Incorporated Method and apparatus for new key derivation upon handoff in wireless networks
US8145905B2 (en) * 2007-05-07 2012-03-27 Qualcomm Incorporated Method and apparatus for efficient support for multiple authentications
KR101407573B1 (ko) * 2007-12-18 2014-06-13 한국전자통신연구원 무선 액세스 기술과 이동ip 기반 이동성 제어 기술이적용된 차세대 네트워크 환경을 위한 통합 핸드오버 인증방법
US8630637B2 (en) * 2008-05-15 2014-01-14 Microsoft Corporation Inter-controller roam management and prediction for voice communications
TWI410105B (zh) * 2008-12-01 2013-09-21 Inst Information Industry 無線網路架構之行動台、存取台、閘道裝置、基地台及其握手方法
KR100998704B1 (ko) 2008-12-08 2010-12-07 경북대학교 산학협력단 다수 개의 이동성 영역을 갖는 무선 랜에서의 고속 핸드오버 방법 및 시스템
KR101556906B1 (ko) 2008-12-29 2015-10-06 삼성전자주식회사 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법
US9014376B2 (en) * 2009-03-19 2015-04-21 Intel Corporation Method and apparatus for low-power AP-assisted fast wireless roaming using optimized neighbor graphs
US8837741B2 (en) * 2011-09-12 2014-09-16 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
US9439067B2 (en) * 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060083200A1 (en) 2004-10-15 2006-04-20 Emeott Stephen P Method for performing authenticated handover in a wireless local area network

Also Published As

Publication number Publication date
US9451460B2 (en) 2016-09-20
WO2013119043A1 (ko) 2013-08-15
KR20140130445A (ko) 2014-11-10
US20150040195A1 (en) 2015-02-05

Similar Documents

Publication Publication Date Title
KR101901448B1 (ko) 스테이션과 엑세스 포인트의 결합 방법 및 장치
US10932132B1 (en) Efficient authentication and secure communications in private communication systems having non-3GPP and 3GPP access
EP2900006B1 (en) Method and system for securely accessing portable hotspot of smart phones
KR101629118B1 (ko) 융합된 무선 네트워크에서의 인증을 위한 방법 및 장치
US7890745B2 (en) Apparatus and method for protection of management frames
JP4921557B2 (ja) インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法
EP2517489B1 (en) Station-to-station security associations in personal basic service sets
JP5780558B2 (ja) 無線マルチバンドのセキュリティ
US7724904B2 (en) Authentication system and method thereof in a communication system
US20100211790A1 (en) Authentication
EP3175639B1 (en) Authentication during handover between two different wireless communications networks
WO2016015748A1 (en) Authentication in a radio access network
CN103096307A (zh) 密钥验证方法及装置
US20170331688A1 (en) Method Performed by a WLAN Node in an Integrated Wireless Communications Network, for Applying Security to Received Traffic Data
Martinovic et al. Measurement and analysis of handover latencies in IEEE 802.11 i secured networks
WO2024026735A1 (zh) 认证方法、装置、设备及存储介质
Jain Wireless Network Security
WO2016015750A1 (en) Authentication in a communications network

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant