KR100525867B1 - Method for controlling security of wireless local area network using dynamic re-keying - Google Patents

Method for controlling security of wireless local area network using dynamic re-keying Download PDF

Info

Publication number
KR100525867B1
KR100525867B1 KR10-2002-0080067A KR20020080067A KR100525867B1 KR 100525867 B1 KR100525867 B1 KR 100525867B1 KR 20020080067 A KR20020080067 A KR 20020080067A KR 100525867 B1 KR100525867 B1 KR 100525867B1
Authority
KR
South Korea
Prior art keywords
key
security
authentication
client terminal
server
Prior art date
Application number
KR10-2002-0080067A
Other languages
Korean (ko)
Other versions
KR20040053505A (en
Inventor
이동학
방찬점
신용식
Original Assignee
에스케이 텔레콤주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이 텔레콤주식회사 filed Critical 에스케이 텔레콤주식회사
Priority to KR10-2002-0080067A priority Critical patent/KR100525867B1/en
Publication of KR20040053505A publication Critical patent/KR20040053505A/en
Application granted granted Critical
Publication of KR100525867B1 publication Critical patent/KR100525867B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Abstract

본 발명은 클라이언트 단말의 초기 인증 및 보안시에 새로운 마스터 보안키를 생성하여 데이터 암호화키로서 클라이언트에 전달함에 의해 동적인 암호화 키분배가 이루어질 수 있도록 하여 서버의 부하를 감소시키기 위한 동적 재키잉을 이용한 무선랜의 보안 제어방법을 제공한다. 이를 위해 본 발명은 클라이언트 단말과 인증/보안 서버 간에 초기 인증 및 보안처리가 이루어지는 단계와, 상기 인증/보안 서버의 초기 인증 및 보안처리에 기반하여 새로운 마스터 보안키를 생성하는 단계 및, 상기 새로운 마스터 보안키로부터 데이터 보안을 위한 데이터 암호화키를 생성하여 클라이언트 단말에 전달하는 단계로 이루어진 것을 특징으로 하고; 종래의 무선랜 보안을 위해 사용되는 프로토콜에 의한 반복적인 재인증 및 보안키 재분배에 의해 발생되는 서버의 부하를 대폭적으로 감소시킬 수 있도록 함과 더불어, 클라이언트 단말에서도 동적 보안키의 재분배 작업만을 수행하는데 따른 부하의 대폭적인 감소가 가능하고, 동적 키분배 주기를 서비스 제공자가 임의적으로 자유롭게 조절하는 것이 가능하다는 효과를 갖게 된다. The present invention utilizes dynamic rekeying to reduce the load on the server by allowing dynamic encryption key distribution to be achieved by generating a new master security key and transmitting it as a data encryption key to the client during initial authentication and security of the client terminal. Provides a security control method of a wireless LAN. To this end, the present invention comprises the steps of the initial authentication and security processing between the client terminal and the authentication / security server, generating a new master security key based on the initial authentication and security processing of the authentication / security server, and the new master Generating a data encryption key for data security from the security key and transmitting the data encryption key to the client terminal; In addition to significantly reducing the load on the server caused by repeated re-authentication and redistribution of the security key by the protocol used for conventional WLAN security, the client terminal only performs the redistribution of the dynamic security key. Significant reduction of the load is possible, and the dynamic key distribution period has the effect that the service provider can arbitrarily freely adjust.

Description

동적 재키잉을 이용한 무선랜의 보안 제어방법{METHOD FOR CONTROLLING SECURITY OF WIRELESS LOCAL AREA NETWORK USING DYNAMIC RE-KEYING}Security Control Method for Wireless LAN Using Dynamic Jackying {METHOD FOR CONTROLLING SECURITY OF WIRELESS LOCAL AREA NETWORK USING DYNAMIC RE-KEYING}

본 발명은 동적 재키잉을 이용한 무선랜의 보안 제어방법에 관한 것으로서, 보다 상세하게는 공중 무선랜 서비스(Public Wireless LAN Service)을 위해 발생되는 인증처리 상의 부하증가를 감소시키기 위한 동적 재키잉을 이용한 무선랜의 보안 제어방법에 관한 것이다.The present invention relates to a security control method of a wireless LAN using dynamic rekeying. More particularly, the present invention relates to a dynamic control method for reducing the load increase in authentication processing generated for a public wireless LAN service. It relates to a security control method of a wireless LAN.

주지된 바와 같이, 무선랜 통신 시스템은 공중 무선랜을 이용하여 이동통신 단말기나 PDA(Personal Digital Assistant) 또는 노트북 컴퓨터 등과 같이 휴대 및 이동이 자유로운 클라이언트 단말을 인터넷 또는 이동 통신망과 연결시키기 위한 것으로서, 이는 클라이언트 단말이 이동 통신망을 통해 상대방측과의 음성통화 또는 단문메시지나 음성메시지에 의한 데이터 통신이 가능하도록 함과 더불어, 인터넷과 같은 데이터 통신망과 연결하여 멀티미디어 컨텐츠 서비스가 가능하도록 되어 있다. As is well known, a wireless LAN communication system is for connecting a portable and portable client terminal such as a mobile communication terminal, a personal digital assistant (PDA) or a notebook computer to the Internet or a mobile communication network using a public wireless LAN. The client terminal enables the mobile terminal to communicate with the other party through voice communication or short message or voice message through a mobile communication network, and to connect with a data communication network such as the Internet to enable multimedia content services.

이러한 무선랜 통신 시스템은 각 클라이언트 단말이 음성통화 또는 데이터통신이 가능하도록 하기 위해 IP네트워크를 통한 단말기의 인증 및 보안이 필수적으로 행해져야 하는 바, 현재 서비스가 진행되는 IEEE 802.11b의 인증 표준안에서 인증 및 보안을 위해 적용되는 프로토콜로는 802.1x EAP-TTLS(Extensible Authentication Protocol-Tunneled Transport Layer Security), EAP-SRP(Extensible Authentication Protocol-Spartial Reuse Protocol), EAP-PEAP(Extensible Authentication Protocol-Protected Extensible Authentication Protocol) 등이 해당된다. In such a WLAN communication system, authentication and security of a terminal through an IP network must be performed in order to enable each client terminal to make a voice call or data communication. And protocols applied for security include 802.1x Extensible Authentication Protocol-Tunneled Transport Layer Security (EAP-TTLS), Extensible Authentication Protocol-Spartial Reuse Protocol (EAP-SRP), Extensible Authentication Protocol-Protected Extensible Authentication Protocol ) And the like.

이러한 EAP-TTLS, EAP-SRP, EAP-PEAP 등과 같은 프로토콜은 기존의 MD5의 프로토콜에서 문제점으로서 야기되는 동적 키 재분배 문제를 해결함과 동시에, 사용자의 데이터 보안문제를 해결하도록 제시된 것으로서, 그 프로토콜을 지원하는 서버에서는 사용자들 각각의 세션에 대해 주기적으로 재인증 및 보안을 위한 키 재분배처리를 수행하게 된다. The protocols such as EAP-TTLS, EAP-SRP, EAP-PEAP are proposed to solve the dynamic key redistribution problem caused by the problem of the existing MD5 protocol, and to solve the data security problem of the user. Supported server performs key redistribution process for re-authentication and security for each session of users periodically.

그러나, 이러한 EAP-TTLS, EAP-SRP, EAP-PEAP 등의 프로토콜을 지원하는 서버에서 재인증 및 보안을 위한 키의 재분배 과정은 주기적이고 반복적으로 이루어지기 때문에, 사용자가 많아지는 경우에는 모든 사용자에 대해 주기적인 재인증과 보안 키 재분배가 필요하게 되면서 서버에서 많은 부하를 유발시키게 되고, 클라이언트 단말의 경우에도 반복적인 인증 요청을 수행해야 하므로 부하의 증가가 불가피하다는 문제점이 있다. However, the redistribution of keys for re-authentication and security in servers that support such protocols as EAP-TTLS, EAP-SRP, and EAP-PEAP is performed periodically and repeatedly. Due to the periodic re-authentication and redistribution of the security key, the server causes a lot of load, and the client terminal also needs to perform repeated authentication requests, thereby increasing the load.

즉, 종래의 무선랜 통신 시스템에서는 사용자의 인증 및 보안에 있어서 사용자의 수가 증가함에 따라 서버를 증설해야 하므로 그 증설 비용이 증가하게 되고, 서버의 증가에 따라 관리 및 제어가 복잡해 짐에 따라 관리인원의 확충과 정비비용이 추가된다는 문제점이 있다. That is, in the conventional WLAN communication system, as the number of users increases in the authentication and security of users, the expansion cost increases, and as the number of servers increases, management and control becomes complicated. There is a problem that the expansion and maintenance of the cost is added.

따라서, 본 발명은 상기한 종래의 문제점을 해소하기 위해 이루어진 것으로서, 그 목적은 무선랜 통신 시스템의 프로토콜을 이용한 재인증 및 보안키 재분배에 의한 서버의 부하를 감소시키기 위한 동적 재키잉을 이용한 무선랜의 보안 제어방법을 제공하는 것이다. Accordingly, the present invention has been made to solve the above-mentioned conventional problems, and an object thereof is to use a wireless LAN using dynamic rekeying to reduce the load of a server by re-authentication and security key redistribution using a protocol of a WLAN communication system. It is to provide a security control method.

본 발명의 다른 목적은 클라이언트 단말의 초기 인증 및 보안시에 새로운 마스터 보안키를 생성하여 데이터 암호화키로서 클라이언트에 전달함에 의해 동적인 암호화 키분배가 이루어질 수 있도록 하여 서버의 부하를 감소시키기 위한 동적 재키잉을 이용한 무선랜의 보안 제어방법을 제공하는 것이다. Another object of the present invention is to generate a new master secret key during initial authentication and security of a client terminal, and to generate dynamic encryption key distribution by transmitting the data as a data encryption key to the client, thereby reducing the load of the server. It is to provide a security control method of a wireless LAN using Ying.

상기한 목적을 달성하기 위해 본 발명에 따르면, 클라이언트 단말과 인증/보안 서버 간에 초기 인증 및 보안처리가 이루어지는 단계와, 상기 인증/보안 서버의 초기 인증 및 보안처리에 기반하여 새로운 마스터 보안키를 생성하는 단계 및, 상기 새로운 마스터 보안키로부터 데이터 보안을 위한 데이터 암호화키를 생성하여 클라이언트 단말에 전달하는 단계로 이루어진 것을 특징으로 하는 동적 재키잉을 이용한 무선랜의 보안 제어방법을 제공한다.In order to achieve the above object, according to the present invention, a new master security key is generated based on the initial authentication and security processing between the client terminal and the authentication / security server, and the initial authentication and security processing of the authentication / security server. And generating a data encryption key for data security from the new master security key and transmitting the data encryption key to a client terminal.

바람직하게, 상기 인증/보안 서버의 초기 인증 및 보안처리에 기반하여 새로운 마스터 보안키를 생성하는 단계는, 상기 인증/보안 서버의 초기 인증 및 보안처리에 의해 생성되는 현재의 마스터 보안키를 수신받는 단계와, 상기 클라이언트 단말에 키 설정값(key_material)을 요청하고, 응답에 의해 키 설정값을 수신받는 단계, 광대역 억세스 서빙노드(BASN)에서 키 설정값(key_material)을 자체 생성하는 단계 및, 상기 현재의 마스터 보안키와, 클라이언트 단말로부터의 키설정값, 광대역 억세스 서빙노드의 키 설정값에 대해 상기 마스터키 생성 알고리즘을 이용하여 새로운 마스터 보안키를 생성하는 단계를 포함하여 이루어진 것을 특징으로 한다. Preferably, the step of generating a new master security key based on the initial authentication and security processing of the authentication / security server, receiving the current master security key generated by the initial authentication and security processing of the authentication / security server Requesting a key configuration value (key_material) from the client terminal, receiving a key configuration value by a response, generating a key configuration value (key_material) by the broadband access serving node (BASN) by itself, and And generating a new master secret key using the master key generation algorithm for the current master secret key, the key set value from the client terminal, and the key set value of the broadband access serving node.

이하, 상기한 바와 같이 구성된 본 발명에 대해 첨부도면을 참조하여 상세히 설명한다.Hereinafter, the present invention configured as described above will be described in detail with reference to the accompanying drawings.

즉, 도 1은 본 발명의 실시예에 따른 보안 제어방법을 실현하기 위한 무선랜 통신 시스템의 구성을 나타낸 도면이다.That is, FIG. 1 is a diagram showing the configuration of a WLAN communication system for realizing a security control method according to an embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명에 따른 보안 제어방법이 적용된 무선랜 통신 시스템은, 클라이언트 단말(10)과, 억세스 포인트(Access Point; AP)(12), 무선랜(Wireless LAN; WLAN)(14), IP네트워크, 광대역 억세스 서빙노드(Broadband Access Serving Node; BASN)(16), TTLS 서버(Tunneled Transport Layer Security Server)(18), AAA 서버(Authentication Authorization Accounting Server)(20), 이동 통신망, 인터넷으로 구성된다. As shown in FIG. 1, the wireless LAN communication system to which the security control method according to the present invention is applied includes a client terminal 10, an access point (AP) 12, a wireless LAN (WLAN). (14), IP network, Broadband Access Serving Node (BASN) 16, Tunneled Transport Layer Security Server 18, Authentication Authorization Accounting Server 20, Mobile Communication Network , Consists of the Internet.

상기 클라이언트 단말(10)은 상기 무선랜(14)을 통해 이동 통신망이나 인터넷과 연결하여 멀티미디어 데이터의 송수신이나 음성통화가 가능하도록 이루어진 이동통신 단말기나 PDA 또는 노트북 컴퓨터로 이루어지고서, 상기 TTLS 서버(18) 및 AAA 서버(20)와의 초기 인증 및 보안 과정을 수행하고, 상기 광대역 억세스 서빙노드(16)로부터 새롭게 생성된 마스터 보안키(master_secret_key)에 의한 데이터 암호화키(Data Encryption Key)를 전달받아 전송되는 데이터의 보안을 위해 사용하게 된다. The client terminal 10 is a mobile communication terminal or a PDA or a notebook computer that is connected to a mobile communication network or the Internet through the wireless LAN 14 to enable the transmission and reception of multimedia data or a voice call, and the TTLS server 18 And an initial authentication and security process with the AAA server 20 and a data encryption key transmitted by the newly generated master secret key (master_secret_key) from the broadband access serving node 16 is transmitted. It is used to secure data.

상기 억세스 포인트(12)는 상기 클라이언트 단말(10)이 이동할 수 있는 다수의 장소에 각각 설치되고서, 각각의 억세스 포인트(12)마다 세션 프로토콜 스택과 세션 제어 및 RF 출력의 공유화를 통해서 클라이언트 단말(10)과의 무선채널을 통한 데이터의 송수신을 수행한다. The access point 12 is installed in a plurality of places where the client terminal 10 can move, and each of the access points 12 may share a client protocol through sharing of a session protocol stack, session control, and RF output. 10) Transmit and receive data through a wireless channel.

상기 무선랜(14)은 IP네트워크 및 인터넷과 연결되고서, 상기 억세스 포인트(12)와의 무선 데이터 통신에 의해 상기 클라이언트 단말(10)과 접속하여 이동 통신망을 통한 음성통화 또는 데이터통신과, 인터넷을 통한 멀티미디어정보 통신이 가능하도록 하는 무선의 데이터 통신망이다. The wireless LAN 14 is connected to an IP network and the Internet, and is connected to the client terminal 10 by wireless data communication with the access point 12 to establish a voice call or data communication through a mobile communication network and the Internet. It is a wireless data communication network that enables multimedia information communication.

상기 광대역 억세스 서빙노드(16)는 IP네트워크를 통해 무선랜(14)과 연결되고서, 억세스 포인트(12)를 매개로 무선 통신이 이루어지는 클라이언트 단말(10)과 TTLS 서버(18) 및 AAA 서버(20) 간의 초기 인증 및 보안이 이루어진 이후에, 보안키를 위한 재키잉(Re-Keying) 처리에 의해 새로운 마스터 보안키(master_secret_key)를 생성하고, 그 마스터 보안키(master_secret_key)로부터 데이터 암호화키(Data Encryption Key)를 생성하여 상기 클라이언트 단말(10)에 전달한다. The broadband access serving node 16 is connected to the wireless LAN 14 through an IP network, and the client terminal 10, the TTLS server 18, and the AAA server, which perform wireless communication via the access point 12 ( 20) After the initial authentication and security is established, a new master secret key (master_secret_key) is generated by re-keying processing for the security key, and a data encryption key (Data) is obtained from the master secret key (master_secret_key). An encryption key) is generated and delivered to the client terminal 10.

여기서, 상기 광대역 억세스 서빙노드(16)는 도 2에 도시된 바와 같이, 데이터 보안을 위해 현재 사용중인 현재의 마스터 보안키(master_secret_key)(K1)에 대한 키값을 상기 TTLS 서버(18)로부터 수신받고, 상기 클라이언트 단말(10)로부터의 키 설정값(Key_Material)(K2)(주로 랜덤 번호임)을 수신받아, 해당 광대역 억세스 서빙노드(16)에서 생성하는 키 설정값(Key_Material)(K3)과 함께 의사랜덤 기능(Pseudorandom Function; RPF) 알고리즘(AG)을 적용하여 새롭게 사용할 새로운 마스터 보안키(master_secret_key)(K4)를 생성하게 된다. Here, the broadband access serving node 16 receives the key value for the current master secret key (master_secret_key) K1 currently being used for data security from the TTLS server 18, as shown in FIG. And receiving the key setting value Key_Material K2 (mainly a random number) from the client terminal 10 together with the key setting value Key_Material K3 generated by the corresponding broadband access serving node 16. Pseudorandom Function (RPF) Algorithm (AG) is applied to create a new master secret key (master_secret_key) (K4) to be used.

이 때, 상기 TTLS 서버(18)로부터 현재의 마스터 보안키의 키값을 전달받기 위해서는 TTLS 서버(18)와 광대역 억세스 서빙노드(16) 간에는 키값만을 전달받기 위해 VSA(Vendor Specific Attribute)가 정의되어야 하고, 임의의 다른 프로토콜을 사용하는 것도 얼마든지 가능하다. At this time, in order to receive the key value of the current master secret key from the TTLS server 18, a VSA (Vendor Specific Attribute) must be defined to receive only the key value between the TTLS server 18 and the broadband access serving node 16. However, it is possible to use any other protocol.

상기 의사랜덤 기능(RPF) 알고리즘(AG)은 EAP-TLS RFC에 정의되어 있는 알고리즘을 사용하는 것이 바람직하고, 임의의 다른 알고리즘을 적용하는 것도 얼마든지 가능하다. The pseudorandom function (RPF) algorithm (AG) preferably uses an algorithm defined in the EAP-TLS RFC, and any other algorithm may be applied.

한편, 상기 광대역 억세스 서빙노드(16)에서는 새롭게 생성된 새로운 마스터 보안키(K4)로부터 데이터의 보안을 위한 데이터 암호화키(K5)를 생성하여 무선랜(14)과 억세스 포인트(12)를 통해 상기 클라이언트 단말(10)에 전달한다. On the other hand, the broadband access serving node 16 generates a data encryption key (K5) for the security of data from the newly created new master security key (K4) through the WLAN (14) and the access point (12) Transfer to the client terminal 10.

또한, 상기 광대역 억세스 서빙노드(16)에서는 다수의 클라이언트 단말에 대해 각 클라이언트 단말 별로(즉, 세션 별로) 동적인 암호화키의 분배가 이루어지도록 하기 위해, 현재의 마스터 보안키(K1)와 각 키 설정값(K2)(K3)을 가지고서 의사랜덤 기능 알고리즘(AG)을 통해 새로운 마스터 보안키(K4)를 생성하고, 그 마스터 보안키(K4)에 의해 데이터 암호화키(K5)를 생성하는 과정을 반복적으로 수행할 수 있도록 하게 되는 바, 그 반복주기는 특정의 서비스 제공자가 임의적으로 조절하는 것이 가능하도록 한다. In addition, in the broadband access serving node 16, in order to distribute a dynamic encryption key for each client terminal (i.e., for each session) to a plurality of client terminals, the current master secret key K1 and each key are used. The process of generating a new master secret key K4 using the pseudorandom function algorithm AG with the set values K2 and K3, and generating a data encryption key K5 by the master secret key K4. It can be performed repeatedly, the repetition period allows a specific service provider to arbitrarily adjust.

도 1에서, 상기 TTLS 서버(18)와 AAA 서버(20)는 IP네트워크를 통해 상기 클라이언트(10)에 대한 초기 인증 및 보안과정을 수행하여 마스터 보안키를 생성하게 되는 바, 상기 TTLS 서버(18)는 상기 광대역 억세스 서빙노드(16)에 마스터 보안키의 키값만을 전달하기 위해 상호 VSA가 정의되어 있다. In FIG. 1, the TTLS server 18 and the AAA server 20 generate a master security key by performing an initial authentication and security process for the client 10 through an IP network. The VSA is defined to deliver only the key value of the master secret key to the broadband access serving node 16.

여기서, 상기 TTLS 서버(18)와 AAA 서버(20)는 상호 독립적인 노드로서 구성되어 있지만, 물리적으로 동일한 노드로서 형성하도록 하는 것도 얼마든지 가능하다. In this case, the TTLS server 18 and the AAA server 20 are configured as independent nodes. However, the TTLS server 18 and the AAA server 20 may be formed as physically identical nodes.

이어, 상기한 바와 같이 이루어진 본 발명의 동작에 대해 도 3의 플로우차트를 참조하여 상세히 설명한다. Next, the operation of the present invention made as described above will be described in detail with reference to the flowchart of FIG. 3.

먼저, 클라이언트 단말(10)에서는 억세스 포인트(12)와 무선랜(14)을 매개로 IP네트워크에 접속하고서, EAP-TLS, EAP-TTLS의 프로토콜을 사용하여 TTLS 서버(18)와 통신을 수행함에 의해 인증처리 과정을 진행한다(단계 S10).First, the client terminal 10 is connected to the IP network via the access point 12 and the wireless LAN 14, and performs communication with the TTLS server 18 using the protocol of EAP-TLS, EAP-TTLS The authentication process proceeds (step S10).

그 상태에서, 상기 TTLS 서버(18)는 IP네트워크 상에서 AAA 서버(20)와 EAP-MD5의 프로토콜을 이용한 통신을 수행함에 의해 초기 인증 및 보안 과정을 통해서 마스터 보안키(master_secret_key)를 생성하게 된다(단계 S12).In this state, the TTLS server 18 generates a master secret key (master_secret_key) through an initial authentication and security process by performing communication using the protocol of the EAA-MD5 with the AAA server 20 on the IP network ( Step S12).

그 다음에, 상기 TTLS 서버(18)는 EAP-TLS, EAP-TTLS의 프로토콜을 이용하여 상기 네트워크 단말(10)에 초기 인증 및 보안처리 성공에 대한 응답정보를 전송하게 된다(단계 S14).Then, the TTLS server 18 transmits the response information for the initial authentication and the success of the security process to the network terminal 10 using the protocol of EAP-TLS and EAP-TTLS (step S14).

한편, 상기 TTLS 서버(18)는 광대역 억세스 서빙노드(16)와 상호 VSA가 정의되고서, 현재의 마스터 보안키에 대한 키값을 해당 광대역 억세스 서빙노드(16)에 전달하게 되고(단계 S16), 상기 광대역 억세스 서빙노드(16)에서는 상기 클라이언트 단말(10)에 대해 키 설정값(key_material)을 요구하게 되는 바(단계 S18), 그 클라이언트 단말(10)로부터 응답정보로서 키 설정값(key_material)을 수신받게 된다(단계 S20).On the other hand, the TTLS server 18 is mutually VSA defined with the broadband access serving node 16, and delivers the key value for the current master security key to the corresponding broadband access serving node 16 (step S16), The broadband access serving node 16 requests a key setting value (key_material) from the client terminal 10 (step S18), and sets the key setting value (key_material) as response information from the client terminal 10. It is received (step S20).

그 상태에서, 상기 광대역 억세스 서빙노드(16)는 상기 TTLS 서버(18)로부터 전달받은 현재의 마스터 보안키(master_secret_key)(K1)와 클라이언트 단말(10)로부터 전달받은 키 설정값(key_material)(K2), 해당 광대역 억세스 서빙노드(16)에서 생성되는 키설정값(key_material)(k3)에 대해 의사랜덤 기능(PRF) 알고리즘(AG)을 실행하여 새로운 마스터 보안키(master_secret_key)(K4)가 생성되도록 하고, 그 새로운 마스터 보안키(master_secret_key)(K4)를 이용한 데이터 보안을 위해 데이터 암호화키(K5)를 생성하게 된다(단계 S22).In this state, the broadband access serving node 16 receives a current master secret key (master_secret_key) K1 received from the TTLS server 18 and a key setting material (key_material) K2 received from the client terminal 10. ), To execute a pseudorandom function (PRF) algorithm (AG) on the key_material (k3) generated in the corresponding broadband access serving node 16 to generate a new master secret key (master_secret_key) (K4). Then, data encryption key K5 is generated for data security using the new master secret key (master_secret_key) K4 (step S22).

그 다음에, 상기 광대역 억세스 서빙노드(16)에서는 상기 단계 S22에서 생성된 데이터 암호화키(K5)를 클라이언트 단말(10)에 전달하여 해당 클라이언트에 대한 보안키의 재분배 처리를 수행하게 된다(단계 S24).Next, the broadband access serving node 16 transfers the data encryption key K5 generated in step S22 to the client terminal 10 to perform redistribution of the security key for the corresponding client (step S24). ).

상기 광대역 억세스 서빙노드(16)는 무선랜(14)과 억세스 포인트(12)를 통해 무선 통신을 수행하는 클라이언트 단말이 다수개로 존재하는 경우에, 각 클라이언트 단말 별로(즉, 각 세션 별로) 상기 단계 S10에서 단계 S14의 과정이 1회씩으로 한정되도록 함에 의해, 종래의 보안키 재분배를 위해 반복되던 과정이 대폭적으로 감소될 수 있게 되고, 상기 단계 S18에서 단계 S24의 과정만을 각 클라이언트 단말 별로 임의적인 반복주기에 따라 반복적으로 수행될 수 있도록 한다.The broadband access serving node 16, if there are a plurality of client terminals performing wireless communication through the wireless LAN 14 and the access point 12, for each client terminal (that is, for each session) Since the process of step S14 is limited to one time at S10, the process repeated for the conventional security key redistribution can be greatly reduced, and only the process of step S24 at step S18 is randomly repeated for each client terminal. It can be performed repeatedly according to the cycle.

한편, 본 발명은 전술한 전형적인 바람직한 실시예들에만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위 내에서 여러 가지로 개량, 변경, 대체 또는 부가하여 실시할 수 있는 것임은 당해 기술분야에 통상의 지식을 가진 자라면 용이하게 이해할 수 있을 것이다. 이러한 개량, 변경, 대체 또는 부가에 의한 실시가 이하의 첨부된 특허청구범위의 범주에 속하는 것이라면 그 기술사상 역시 본 발명에 속하는 것으로 보아야 한다.On the other hand, the present invention is not limited to the above-described typical preferred embodiments, but can be carried out in various ways without departing from the gist of the present invention, various modifications, alterations, substitutions or additions are common in the art Those who have knowledge will easily understand. If the implementation by such improvement, change, replacement or addition falls within the scope of the appended claims, the technical idea should also be regarded as belonging to the present invention.

이상과 같이 본 발명에 따르면, 무선랜 통신 시스템에서 클라이언트 단말에 대한 초기 인증 및 보안처리가 이루어지면, 보안키에 대한 재키잉에 의해 마스터 보안키를 임의의 반복주기에 따라 반복적으로 생성할 수 있도록 하는 동적 키 재분배만이 이루어짐에 따라, 종래의 무선랜 보안을 위해 사용되는 프로토콜에 의한 반복적인 재인증 및 보안키 재분배에 의해 발생되는 서버의 부하를 대폭적으로 감소시킬 수 있도록 함과 더불어, 클라이언트 단말에서도 동적 보안키의 재분배 작업만을 수행하는데 따른 부하의 대폭적인 감소가 가능하고, 동적 키분배 주기를 서비스 제공자가 임의적으로 자유롭게 조절하는 것이 가능하다는 효과를 갖게 된다. As described above, according to the present invention, when the initial authentication and security processing for the client terminal is performed in the WLAN communication system, the master security key can be repeatedly generated according to an arbitrary repetition period by rekeying the security key. As only dynamic key redistribution is performed, it is possible to drastically reduce the load of the server caused by repetitive re-authentication and security key redistribution by a protocol used for conventional WLAN security, and a client terminal. In addition, it is possible to drastically reduce the load of performing only the redistribution of the dynamic security key, and have an effect that the service provider can arbitrarily freely adjust the dynamic key distribution period.

도 1은 본 발명의 실시예에 따른 보안 제어방법을 실현하기 위한 무선랜 통신 시스템의 구성을 나타낸 도면, 1 is a view showing the configuration of a WLAN communication system for realizing a security control method according to an embodiment of the present invention;

도 2는 본 발명의 바람직한 실시예에 따라 새로운 마스터 암호화키 생성 알고리즘이 구현되는 상태를 나타낸 도면, 2 is a diagram showing a state in which a new master encryption key generation algorithm is implemented according to a preferred embodiment of the present invention;

도 3은 본 발명에 따른 동적 재키잉을 이용한 무선랜의 보안 제어방법을 설명하기 위한 플로우차트이다.3 is a flowchart illustrating a security control method of a wireless LAN using dynamic jacking according to the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of Symbols for Main Parts of Drawings>

10:클라이언트 단말, 12:억세스 포인트(AP),10: client terminal, 12: access point (AP),

14:무선랜(WLAN), 16:광대역 억세스 서빙 노드(BASN),14: Wireless LAN (WLAN), 16: Broadband Access Serving Node (BASN),

18:TTLS 서버, 20:AAA 서버.18: TTLS server, 20: AAA server.

Claims (5)

인증/보안 서버와 광대역 억세스 서빙노드(BASN) 간에 VSA(Vendor Specific Attribute)가 정의되도록 하여, 인증/보안 서버의 초기 인증 및 보안처리에 의해 생성되는 현재의 마스터 보안키를 수신받는 단계와, Receiving a current master secret key generated by initial authentication and security processing of the authentication / security server by allowing a VSA (Vendor Specific Attribute) to be defined between the authentication / security server and the broadband access serving node (BASN); 클라이언트 단말에 키 설정값(key_material)을 요청하고, 응답에 의해 키 설정값을 수신받는 단계, Requesting a key setting value (key_material) from the client terminal and receiving the key setting value by a response; 광대역 억세스 서빙노드에서 키 설정값(key_material)을 자체 생성하는 단계, Self-generating key configuration (key_material) in the broadband access serving node, 상기 현재의 마스터 보안키와, 클라이언트 단말로부터의 키설정값, 광대역 억세스 서빙노드의 키 설정값에 대해 상기 마스터키 생성 알고리즘을 이용하여 새로운 마스터 보안키를 생성하는 단계, Generating a new master secret key using the master key generation algorithm for the current master secret key, a key set value from a client terminal, and a key set value of a broadband access serving node; 상기 인증/보안 서버의 초기 인증 및 보안처리에 기반하여 새로운 마스터 보안키를 생성하는 단계 및, Generating a new master security key based on initial authentication and security processing of the authentication / security server; 상기 새로운 마스터 보안키로부터 데이터 보안을 위한 데이터 암호화키를 생성하여 클라이언트 단말에 전달하는 단계로 이루어진 것을 특징으로 하는 동적 재키잉을 이용한 무선랜의 보안 제어방법.And generating a data encryption key for data security from the new master security key and delivering the data encryption key to a client terminal. 삭제delete 삭제delete 제 1 항에 있어서, The method of claim 1, 상기 마스터키 생성 알고리즘을 이용하여 새로운 마스터 보안키를 생성하는 단계에서, 상기 마스터키 생성 알고리즘은 의사랜덤 기능(Pseudorandom Function) 알고리즘에 해당되는 것을 특징으로 하는 동적 재키잉을 이용한 무선랜의 보안 제어방법.In the step of generating a new master security key using the master key generation algorithm, the master key generation algorithm is a wireless LAN security control method using a dynamic rekeying, characterized in that the pseudorandom function (Pseudorandom Function) algorithm . 제 1 항에 있어서, The method of claim 1, 상기 인증/보안 서버의 초기 인증 및 보안처리에 기반하여 새로운 마스터 보안키를 생성하는 단계는, Generating a new master security key based on the initial authentication and security processing of the authentication / security server, 각 클라이언트 단말 별로 임의의 반복 주기에 따라 반복적으로 이루어지는 것을 특징으로 하는 동적 재키잉을 이용한 무선랜의 보안 제어방법.Security control method of a wireless LAN using dynamic re-keying, characterized in that it is repeated for each client terminal at a random repetition period.
KR10-2002-0080067A 2002-12-14 2002-12-14 Method for controlling security of wireless local area network using dynamic re-keying KR100525867B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0080067A KR100525867B1 (en) 2002-12-14 2002-12-14 Method for controlling security of wireless local area network using dynamic re-keying

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0080067A KR100525867B1 (en) 2002-12-14 2002-12-14 Method for controlling security of wireless local area network using dynamic re-keying

Publications (2)

Publication Number Publication Date
KR20040053505A KR20040053505A (en) 2004-06-24
KR100525867B1 true KR100525867B1 (en) 2005-11-02

Family

ID=37346735

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0080067A KR100525867B1 (en) 2002-12-14 2002-12-14 Method for controlling security of wireless local area network using dynamic re-keying

Country Status (1)

Country Link
KR (1) KR100525867B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7873167B2 (en) 2005-12-29 2011-01-18 Sungkyunkwan University Foundation For Corporate Collaboration System and method for effectively pre-distributing key for distributed sensor network

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7895483B2 (en) 2007-05-25 2011-02-22 International Business Machines Corporation Software memory leak analysis using memory isolation

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7873167B2 (en) 2005-12-29 2011-01-18 Sungkyunkwan University Foundation For Corporate Collaboration System and method for effectively pre-distributing key for distributed sensor network

Also Published As

Publication number Publication date
KR20040053505A (en) 2004-06-24

Similar Documents

Publication Publication Date Title
US7624270B2 (en) Inter subnet roaming system and method
CN100592746C (en) Addressing mechanisms in mobile IP
CN101371491B (en) Method and arrangement for the creation of a wireless mesh network
US8145193B2 (en) Session key management for public wireless LAN supporting multiple virtual operators
JP5288210B2 (en) Unicast key management method and multicast key management method in network
JP5314142B2 (en) Multicast key distribution method, update method and base station based on unicast session key
JP4160049B2 (en) Method and system for providing access to services of a second network through a first network
US7760885B2 (en) Method of distributing encryption keys among nodes in mobile ad hoc network and network device using the same
US7213145B2 (en) Method and apparatus for secure internet protocol communication in a call processing system
US20060059344A1 (en) Service authentication
US20040103275A1 (en) Methods and apparatus for secure, portable, wireless and multi-hop data networking
US20100293378A1 (en) Method, device and system of id based wireless multi-hop network authentication access
US20050135622A1 (en) Upper layer security based on lower layer keying
KR20040104724A (en) Secure wireless local or metropolitan area network and related methods
JP2003289301A (en) Method of controlling network access in wireless environment, and recording medium recorded with the method
CN103781066A (en) Wireless transmit/receive units and implementation method using the same
US7551914B2 (en) Authentication in a communication network
KR100525867B1 (en) Method for controlling security of wireless local area network using dynamic re-keying
US7657929B2 (en) Method and system for client authentication
US7813718B2 (en) Authentication in a communication network
WO2008029853A1 (en) Encryption key delivery device and encryption key delivery method
CN1301608C (en) Method for implementing peer-to-peer WLAN with center certification
Zhou et al. Scalable and deterministic key agreement for large scale networks
KR100527632B1 (en) System and method for user authentication of ad-hoc gateway in ad-hoc network
Wang et al. Shepherd: A lightweight statistical authentication protocol for access control in wireless LANs

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120924

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20131014

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20141021

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20151006

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20161004

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20181002

Year of fee payment: 14