KR100580844B1 - 무선 랜(lan) 시스템에서의 데이터 보안 및 운용장치와 그 방법 - Google Patents

무선 랜(lan) 시스템에서의 데이터 보안 및 운용장치와 그 방법 Download PDF

Info

Publication number
KR100580844B1
KR100580844B1 KR1020030092315A KR20030092315A KR100580844B1 KR 100580844 B1 KR100580844 B1 KR 100580844B1 KR 1020030092315 A KR1020030092315 A KR 1020030092315A KR 20030092315 A KR20030092315 A KR 20030092315A KR 100580844 B1 KR100580844 B1 KR 100580844B1
Authority
KR
South Korea
Prior art keywords
security
frame
data
lan
wireless
Prior art date
Application number
KR1020030092315A
Other languages
English (en)
Other versions
KR20050060633A (ko
Inventor
김윤주
전영애
이석규
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030092315A priority Critical patent/KR100580844B1/ko
Publication of KR20050060633A publication Critical patent/KR20050060633A/ko
Application granted granted Critical
Publication of KR100580844B1 publication Critical patent/KR100580844B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

본 발명은 IEEE 802.11에서 정의하는 무선 랜(Local Area Network)을 구성하는 액세스 포인트(Access Point) 및 무선 단말기가 지원하는 매체 접근 제어(Medium Access Control)에 관한 것으로서, 특히 IEEE(Institute of Electrical and Electronics Engineers) 802.11에서 정의하는 무선 LAN 시스템의 MAC 규격을 준수하고, IEEE 802.11 TG(Task Group) i에서 정의하는 무선 LAN 시스템의 보안(Security)을 보장하기 위한 기능을 지원하며, 보안 구조의 추가 요구 기능의 수용에 유연한 무선 랜(LAN) 시스템의 데이터 보안 및 운용 장치와 그 방법에 관한 것이다.
본 발명에서는 무선 랜(LAN) 시스템이 갖는 기존의 보안 알고리즘을 지원함과 동시에, 보안을 위한 키 관리 기법 및 인증 기능, 암호화 기능을 각각 분리함으로써, 보다 향상된 보안 비중을 지원하기 위해 정의된 RSNA(Robuest Security Network Association) 보안 구조를 포함한다. 이를 통하여, 본 발명이 적용된 무선랜 장치의 AP 장비 및 무선 단말기를 통해 다양한 보안 알고리즘을 적용할 수 있는 유연한 구조와 무선 데이터에 대한 보다 강력한 보안 기능을 지원한다.
무선 랜(LAN) 시스템, 보안 및 인증, IEEE 802.11, RSNA 보안 구조

Description

무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치와 그 방법 {DATA SECURITY AND APPLY DEVICE IN WIRELESS LOCAL AREA NETWORK SYSTEM AND METHOD THEREOF}
도 1과 도 2는 종래 기술에 따른 무선 랜(LAN) 시스템의 대략적인 구성을 도시한 도면이다.
도 3은 본 발명의 실시 예에 따른 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치의 구성을 도시한 도면이다.
도 4는 도 3에 도시한 매체 접근 제어 소프트웨어 관리부의 구성을 도시한 도면이다.
도 5는 도 3에 도시한 매체 접근 제어 하드웨어 관리부의 구성을 도시한 도면이다.
도 6은 본 발명의 실시 예에 따른 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치의 암호화 과정을 순차적으로 도시한 흐름도이다.
도 7은 본 발명의 실시 예에 따른 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치의 복호화 과정을 순차적으로 도시한 흐름도이다.
본 발명은 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치와 그 방법에 관한 것으로서, 보다 상세하게는 액세스 포인트(Access Point)와 무선 단말기의 매체 접근 제어의 구조 및 그 운용 방법에 관한 것이다.
도 1과 도 2는 IEEE 802.11에서 정의하는 무선 랜(LAN) 규격을 따르는 액세스 포인트 또는 무선 단말기의 무선 랜(LAN) 시스템을 도시한 도면이다.
먼저, 도 1에 도시되어 있듯이 기존의 무선 랜 시스템(10)는 유선 링크(4)로 연결된 액세스 포인트(Access Point, 이하 'AP' 라 함, 1), AP(1)와 무선으로 연결된 무선 단말기(2, 3)로 구성된다.
그리고, 이러한 구성의 무선 랜 시스템(10)는 IEEE(Institute of Electrical and Electronics Engineers, 이하 'IEEE' 라 함) 802.11 규격을 적용한 무선 랜(LAN) 시스템의 기본 서비스 단위인 BSS(Basic Service Set) 시스템이다.
다음으로, 도 2에 도시되어 있는 무선 랜(LAN) 시스템(20)은 AP없이 무선으로 연결된 무선 단말기(5, 6, 7)로만 구성되어 있으며, IEEE 802.11 규격을 적용한 무선 랜(LAN) 시스템의 기본 서비스 단위인 IBSS(Independent Basic Service Set) 시스템이다.
이처럼, 무선 랜(LAN) 시스템을 구성하는 AP와 무선 단말기는 IEEE 802.11 규격에서 정의하는 매체 접근에 대한 제어 방안을 적용함으로써, 단일의 무선 채널을 공유하여 패킷을 전송한다.
자세히 설명하면, 도 1에 도시되어 있는 AP(1)와 무선 단말기(2, 3)는 기본 적으로 분산 정합 기능(distributed coordination function, 이하 'DCF' 라 함) 또는 중심 정합 기능(point coordination function, 이하 'PCF' 라 함)을 수행한다.
그리고, 도 2에 도시되어 있는 무선 단말기(5, 6, 7)는 DCF만을 수행하여, 무선 매체를 통해 패킷을 전송한다.
IEEE 802.11의 MAC(Media Access Control, 매체 접근 제어, 이하 'MAC' 라 함) 규격에서 정의하는 DCF는 반송파 감지 다중 접속/충돌 회피(carrier sensing multiple access/collision avoidance, 이하 'CSMA/CA' 이라 함) 방법으로 알려져 있다.
즉, DCF에서 패킷을 전송하고자 하는 무선 단말기는 다른 무선 단말기에 의해 무선 매체가 사용되고 있는지를 감지하여 무선 매체가 사용되고 있지 않으면, 패킷 전송을 시작한다. 즉 무선 랜(LAN)을 구성하는 모든 무선 단말기들을 DCF를 통해 무선 매체에 대한 접근 제어를 수행하며, 경쟁에 의해 무선 매체를 사용한다.
또한, IEEE 802.11의 MAC 규격에서 정의하는 PCF에서, AP는 전송을 허용하는 무선 단말기를 선택하는 메시지(Polling message)와 PCF의 접근 우선권 기법(access priority mechanisms)을 사용하는 가상 반송파 감지 기법(virtual carrier-sensing mechanisms)에 따라, 매체 할당량(network allocation vector)을 설정한 비컨 메시지(Beacon message)를 송신함으로써, 무선 랜(LAN)을 구성하는 다른 무선 단말기들의 패킷 전송 과정을 중지시킨 후, 선택한 무선 단말기와의 패킷 교환을 수행한다.
그런데, 이러한 무선 랜(LAN) 시스템에 적용되는 IEEE 802.11의 MAC 규격은, 무선 매체를 사용하여 송수신하는 데이터 패킷의 보안을 지원하기 위해 WEP(Wired Equivalent Protocol, 이하 'WEP' 라 함)을 선택 사항으로 정의한다.
WEP 관련 보안은 AP를 중심으로 무선 단말기와의 인증 과정에서 서로 알려진 공유 키(share key)를 사용하여 데이터 및 관리 프레임에 대한 보안을 제공한다.
그러나, AP는 무선 단말기에 대한 특정한 키 관리 기법이 없으며, 40비트의 짧은 키(key)를 사용한 RC4 알고리즘을 사용하므로, 도청 및 데이터 위조에 대한 공격에 노출되어 적절한 보안 기능을 제공할 수 없다.
본 발명이 이루고자 하는 기술적 과제는 이러한 문제점을 해결하기 위한 것으로서, RSNA 보안 구조가 적용된 기지국 장비 및 무선 단말기를 통해 다양한 보안 알고리즘을 적용할 수 있는 유연한 구조와 무선 데이터에 대한 강력한 보안 기능을 지원할 수 있는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치와 그 방법을 제공하기 위한 것이다.
이러한 목적을 달성하기 위한 본 발명의 특징에 따른 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치는, 무선 단말기로 데이터 프레임을 전달하거나 수신하는 기지국을 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치에 있어서, 상기 무선 단말기와 데이터 보안 정보를 협의하는 응용 소프트웨어 관리부; 상기 무선 단말기에 대한 인증 결과가 정상이면, 상기 협의한 데이터 보안 정보를 포함하는 데이터 및 상기 응용 소프트웨어 관리부가 생성한 데이터 프레임 중 적어도 어느 하나를 상기 무선 단말기로 송신하는 논리 링크 제어부; 상기 논리 링크 제어부를 통해 전달 받은 MSDU(MAC Service Data Unit) 프레임에 대해 보안 지원하는 매체 접근 제어 소프트웨어 관리부; 상기 매체 접근 제어 소프트웨어 관리부가 생성한 MSDU 프레임을 단편화한 MPDU(MAC Protocol Data Unit) 프레임에 대해 보안 지원하는 매체 접근 제어 하드웨어 관리부; 및 상기 생성한 MSDU 및 MPDU 프레임을 변조하거나 복조하여 상기 무선 단말기로 송신하거나 수신되도록 하는 모뎀/RF부를 포함한다.
이때, 상기 응용 소프트웨어 관리부는, IEEE(Institute of Electrical and Electronics Engineers) 802.11 TG(Task Group) i의 보안 규격에 따라 상기 무선 단말기와 데이터 보안 정보를 협의하는 것을 특징으로 한다.
또한, 상기 매체 접근 제어 소프트웨어 관리부는, 상기 무선 단말기로부터 수신한 데이터 프레임이 보안 지원을 적용하는지 확인한 후, 보안 지원을 적용하면 어떠한 보안 알고리즘을 지원하는지 판단하여 TKIP 알고리즘이 적용되는 MSDU 프레임에 대해 미첼 (Michael) 함수 처리를 수행하는 MIC 처리부; 연결 프레임(Association Frame) 및 시험 프레임(Probe frame) 중 적어도 어는 하나를 포함하는 관리 프레임을 생성하며, 상기 생성한 관리 프레임을 분석한 결과 값을 통해 무선 매체에 대한 접근 과정을 제어하는 관리 프레임 처리부; 상기 미첼(Michael) 함수 처리한 MSDU 프레임을 MPDU 프레임 단위로 단편화하거나, 상기 무선 단말기로부터 수신한 단편화된 MPDU 프레임들을 MSDU 프레임으로 재조합하는 프레임 처리부; 상기 IEEE 802.11 TG i에서 정의하는 기본값이거나 사용자로부터 입력된 값인 MIB(Management Information Base) 정보를 유지, 수정 및 갱신하는 RSNA 관리 정보 처리부; 상기 무선 단말기 인증 과정에서 생성된 세션 키에서 유도된 매체 접근 제어의 보안 지원인 암호화 또는 복호화에 사용할 수 있는 길이 및 키 형태로 변환하는 키 관리부; 무선 매체에 대한 접근 제어 및 데이터 보안을 위한 관리 정보를 관리하는 관리 정보 처리부; 및 상기 단편화한 MPDU 프레임을 상기 무선 단말기로 송신하거나 상기 단편화된 MPDU 프레임을 상기 무선 단말기로부터 수신하는 송수신 제어부를 포함한다.
또한, 본 발명의 다른 특징에 따른 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치는, 기지국으로부터 데이터 프레임을 수신하거나 전송하는 무선 단말기를 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치에 있어서, IEEE 802.11 TG(Task Group) i의 보안 규격에 따라 상기 기지국과 데이터 보안 정보를 협의하는 응용 소프트웨어 관리부; 상기 무선 단말기에 대한 인증 결과가 정상이면, 상기 협의한 데이터 보안 정보를 포함하는 데이터 및 상기 응용 소프트웨어 관리부가 생성한 데이터 프레임 중 적어도 어느 하나를 상기 기지국과 송수신하는 논리 링크 제어부; 상기 논리 링크 제어부를 통해 전달 받은 MSDU(MAC Service Data Unit) 프레임에 대해 보안 지원하는 매체 접근 제어 소프트웨어 관리부; 상기 매체 접근 제어 소프트웨어 관리부가 생성한 MSDU 프레임을 단편화한 MPDU(MAC Protocol Data Unit) 프레임에 대해 보안 지원하는 매체 접근 제어 하드웨어 관리부; 및 상기 생성한 MSDU 및 MPDU 프레임을 변조하거나 복조하여 상기 기지국으로 송신하거나 수신되도록 하는 모뎀/RF부를 포함한다.
또한, 본 발명의 다른 특징에 따른 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 방법은, 무선 단말기로 데이터 프레임을 전달하거나 수신하는 기지국을 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 방법에 있어서, a)상기 무선 단말기와 데이터 보안 정보를 협의하는 단계; b)상기 무선 단말기에 대한 인증 결과가 정상이면, 상기 협의한 데이터 보안 정보를 포함하는 데이터 및 상기 데이터 프레임 중 적어도 어느 하나를 상기 무선 단말기로 송신하는 단계; c)상기 기지국의 응용 소프트웨어가 생성한 MSDU(MAC Service Data Unit) 프레임 또는 상기 이동 단말기로부터 수신한 MSDU 프레임에 대해 보안 지원하는 단계; d)상기 MSDU 프레임을 단편화한 MPDU(MAC Protocol Data Unit) 프레임 또는 상기 이동 단말기로부터 수신한 MPDU 프레임에 대해 보안 지원하는 단계; 및 e)상기 생성한 MSDU 및 MPDU 프레임을 변조하거나 복조하여 상기 무선 단말기로 송신하거나 수신되도록 하는 단계를 포함한다.
또한, 본 발명의 다른 특징에 따른 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 방법은, 기지국으로부터 데이터 프레임을 수신하거나 전송하는 무선 단말기를 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 방법에 있어서, a)IEEE 802.TG(Task Group) i의 보안 규격에 따라 상기 기지국과 데이터 보안 정보를 협의하는 단계; b)상기 무선 단말기에 대한 인증 결과가 정상이면, 상기 협의한 데이터 보안 정보를 포함하는 데이터 및 상기 데이터 프레임 중 적어도 어느 하나를 상기 기지국과 송수신하는 단계; c)상기 무선 단말기의 응용 소프트웨어가 생성한 MSDU(MAC Service Data Unit) 프레임 또는 상기 이동 단말기로부터 수신한 MSDU 프레임에 대해 보안 지원하는 단계; d)상기 MSDU 프레임을 단편화한 MPDU(MAC Protocol Data Unit) 프레임 또는 상기 이동 단말기로부터 수신한 MPDU 프레임에 대해 보안 지원하는 단계; 및 e)상기 생성한 MSDU 및 MPDU 프레임을 변조하거나 복조하여 상기 기지국으로 송신하거나 수신되도록 하는 단계를 포함한다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다. 명세서 전체를 통하여 유사한 부분에 대해서는 동일한 도면 부호를 붙였다.
도 3은 본 발명의 실시 예에 따른 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치의 구성을 도시한 도면으로서, 이는 무선 단말기 및 기지국(Access Point)에 각각 위치한다.
도 3에 도시되어 있듯이, 본 발명의 실시 예에 따른 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치(100)는 응용 소프트웨어 관리부(110)와 논리 링크 제어부(120), 매체 접근 제어부(130), 모뎀/RF부(140) 및 사용자 인터페이스(150)를 포함한다. 이때, 커널 시스템(A)은 논리 링크 제어부(120)와 매체 접근 제어부(130)를 포함하며, 매체 접근 제어부(130)는 매체 접근 제어 소프트웨어 관리부(130a)와 매체 접근 제어 하드웨어 관리부(130b)를 포함한다.
자세히 설명하면, 먼저 사용자 인터페이스(150)는 무선 단말기(미도시) 사용 자 또는 망 관리자로부터 데이터 보안을 위한 정보를 수신한다.
응용 소프트웨어 관리부(110)는 IEEE 802.TG(Task Group, 이하 'TG' 라 함) i의 보안 규격에서 정의하는 인증 방안에 따라, 상대측과의 데이터 보안 정보(예를 들어, WEP, TKIP 및 CCMP 등과 같은 보안 알고리즘에 관한 정보)가 협의될 수 있도록 한다. 즉, 응용 소프트웨어 관리부(110)는 데이터 보안 정보 협의시 규격에서 정의된 인증 방안 및 키 교환 방안을 적용한다.
논리 링크 제어부(120)는 무선 단말기에 대한 인증 결과가 정상인 경우, 응용 소프트웨어 관리부(110)에서 생성된, 기지국 및 무선 단말기간에 협의한 데이터 보안 정보를 포함하는 프레임(예를 들어, 보안 정보를 위해 정의된 EAPOL-KEY 프레임 등)을 상대측으로 송신하거나, 응용 소프트웨어 관리부(110)에서 생성한 데이터 프레임을 매체 접근 제어 소프트웨어 관리부(130a)로 전달한다.
매체 접근 제어부(130)는 IEEE 802.11 MAC 규격에서 정의하는 매체 접근 방법을 따르며, IEEE 802.11 TG i에서 제안하는 데이터 보안 기능을 제어한다.
즉, 매체 접근 제어 소프트웨어 관리부(130a)는 기지국 또는 무선 단말기의 응용 소프트웨어가 생성하고 논리 링크 제어부(120)에 의해서 전달된 MSDU(MAC Service Data Unit : 매체 접근 제어 서비스 데이터 단위, 이하 'MSDU'라 함) 프레임에 대하여 WEP, TKIP 또는 CCMP 보안 알고리즘이 적용되어야 하는지 판단한다.
그리고, 판단 결과 적용되어야 한다면, 매체 접근 제어 소프트웨어 관리부(130a)는 명시된 WEP, TKIP 또는 CCMP 보안 알고리즘이 적용되기 위해서 요구되는 보안 정보(예를 들어, IV, MIC 값 등)를 미리 계산하여 보안 기능을 지원한 다. 또한, 보안 알고리즘을 적용하기 위해서 요구되는 프레임 형태인 MPDU(MAC Protocol Data Unit) 단위로 MSDU를 단편화한다.
매체 접근 제어 하드웨어 관리부(130b)는 기지국 또는 무선 단말기의 응용 소프트웨어가 생성하고, 매체 접근 제어 소프트웨어 관리부(131a)가 단편화한 MPDU(MAC Protocol Data Unit : 매체 접근 제어 프로토콜 데이터 단위, 이하 'MPDU'라 함) 프레임에 대하여 매체 접근 제어 소프트웨어 관리부(130a)에서 판단한 결과에 따라 WEP, TKIP 또는 CCMP 보안 알고리즘을 통해 프레임의 데이터 값에 대하여 암호화 또는 복호화를 수행하는 보안 기능을 지원한다.
모뎀/RF부(140)는 매체 접근 제어부(130)를 통해 송수신되는 데이터 프레임을 변조하거나 복조한다. 그리고, 송수신되는 데이터 프레임의 무선 신호 처리를 담당한다.
도 4는 도 3에 도시한 매체 접근 제어 소프트웨어 관리부의 구성을 도시한 도면이다.
도 4에 도시되어 있듯이, 매체 접근 제어 소프트웨어 관리부(130a)는 상위 인터페이스(301)와 MIC 처리부(302), 관리 프레임 처리부(303), 제1 및 제2 프레임 처리부(304, 305), RSNA 관리 정보 처리부(306), 키 관리부(307), 관리 정보 처리부(308), 송신 제어부(309), 수신 제어부(310) 및 하위 인터페이스(311)를 포함한다.
자세히 설명하면, 상위 인터페이스(301)는 논리 링크 제어부(120) 및 사용자 인터페이스(150)와의 인터페이스를 통해 논리 링크 제어부(120)로부터 데이터 프레 임을 수신한다. 그리고, 사용자 인터페이스(150)로부터 데이터 보안과 관련된 정보를 수신한다.
MIC 처리부(302)는 수신한 데이터 프레임을 판단한 결과, TKIP 알고리즘이 적용되는 MSDU에 대하여 미첼(Michael) 처리를 수행하고 값을 계산한다.
관리 프레임 처리부(303)는 IEEE 802.11 MAC 규격에 따르는 매체 접근 동작에 따라 연결(Association) 프레임, 시험(Probe) 프레임 등을 포함하는 관리 프레임을 생성하며, 생성한 관리 프레임 및 상대방으로부터 수신한 관리 프레임이 포함하는 값에 따라 연결을 종료하거나 재 연결을 요청하는 등과 같은 매체 접근 제어를 수행한다.
제1 및 제2 프레임 처리부(304, 305)는 MSDU를 MPDU 단위로 단편화하거나, 또는 수신한 MPDU를 저장하였다가 다시 MSDU 프레임 형태로 재조합한다. 그리고 WEP, TKIP 또는 CCMP 보안 알고리즘이 적용되는 MSDU에 의해 단편화한 MPDU에 대하여 초기화 벡터(IV, Initialization Vector)값의 계산 과정을 포함한다.
RSNA 관리 정보 처리부(306)는 무선 매체에 대한 접근 제어 방안을 준수하며, IEEE 802.11 TG i에서 정의하는 MIB(Management Information Base) 정보를 유지, 수정, 갱신한다. 이때, 각 정보는 규격에서 정의하는 기본값을 사용하거나 또는 사용자 인터페이스(150)를 통해 사용자로부터 입력된 값을 갖는다.
그리고, 각 RSNA 관리 정보 값은 상위 인터페이스 블록과 관리 프레임 처리부가 참조하는데, RSNA 관리 정보 처리부(306)는 무선 연결이 유지되는 동안에 관리 프레임(예들 들어, Association Frame, Probe frame 등)을 통해서 수정된 무선 단말기 또는 기지국의 보안 기능에 관련된 MIB 정보를 반영하여 RSNA 관리 정보를 갱신한다.
키 관리부(307)는 상위 인터페이스로부터 사용자 인터페이스 또는 상위 프로토콜의 인증 과정에서 생성된 세션 키를 수신한 후, 세션 키를 MAC에서 사용할 수 있는 적절한 길이(예를 들어, 40bit, 104bit, 또는 128bit)로 다시 생성한다. 그리고, 키 관리부(307)는 기지국 또는 무선 단말기 각각이 무선 연결을 유지하고 있는 Peer에 대한 유니 및 멀티캐스트(unicast/multicast) 키를 모두 관리한다.
관리 정보 처리부(308)는 매체에 대한 접근 제어 및 데이터 보안을 위한 관리 정보를 관리하는데, 관리 정보란 IEEE 802.11 MAC 규격에서 정의하는 MIB 정보와 함께 무선 연결을 위하여 정의된 레코드 값을 의미한다.
관리 정보는 규격에서 정의하는 기본값을 사용하거나 사용자 인터페이스를 통해 사용자로부터 입력된 값을 사용하는데, 관리 정보 처리부(308)는 상대측과의 무선 연결이 지속되는 동안 관리 정보를 수정, 유지 및 갱신한다.
송신 제어부(309)는 기지국 또는 무선 단말기의 상위 프로토콜 및 네트워크 기능을 모두 포함하는 전체 시스템의 응용 소프트웨어가 생성하고, 논리 링크 제어부(120)를 통해 매체 접근 제어 소프트웨어 관리부(130a)로 전달된 MSDU가 매체 접근 제어 소프트웨어 관리부(130a)의 제1 프레임 처리부(304)에서 단편화되어 생성된 MPDU를 매체 접근 제어 하드웨어 관리부(130b)로 송신한다.
수신 제어부(310)는 상대(기지국 또는 단말기)로부터 생성되어 전송된 MPDU를 매체 접근 제어 하드웨어 관리부(130b)를 통해 수신한다.
하위 인터페이스(311)는 매체 접근 제어 하드웨어 관리부(130b)와의 인터페이스를 수행한다.
도 5는 도 3에 도시한 매체 접근 제어 하드웨어 관리부의 구성을 도시한 도면이다.
도 5에 도시되어 있듯이, 매체 접근 제어 하드웨어 관리부(130b)는 매체 접근 제어 인터페이스(501)와 보안 기능 제어부(502), TKIP 지원 처리부(503), CCMP 지원 처리부(504), 보안 알고리즘 처리부(505), 동적 키 관리부(506), 관리 정보 처리부(507) 및 모뎀/RF 인터페이스(508)를 포함한다.
자세히 설명하면, 먼저 매체 접근 제어 인터페이스(501)는 하위 인터페이스(311)와의 인터페이스를 통해 데이터 프레임 및 보안 정보를 수신한다.
보안 기능 제어부(502)는 수신한 MPDU 또는 송신하고자 하는 MPDU에 대한 보안 기능을 수행한다.
TKIP 지원 처리부(503)는 TKIP 보안 지원을 적용해야 하는 MPDU에 대한 TKIP(Temporary Key Integrity Protocol, 이하 'TKIP' 라 함)를 지원하기 위한 변수인 예를 들어, TSC(TKIP Sequence Counter) 또는 TTAK(TKIP mixed Transmit Address and Key, 이하 'TTAK' 라 함) 값 등을 계산한다.
CCMP 지원 처리부(504)는 CCMP 보안 지원을 적용해야 하는 MPDU에 대한CCMP(Counter mode with CBC(Cipher-Block Chaining)-MAC(Message Authentication Code) Protocol, 이하 'CCMP'라 함)를 지원하기 위한 변수인 예를 들어, CCMP Header, CCM Nonce, AAD(Additional Authentication Data) 등을 계산한 다.
보안 알고리즘 처리부(505)는 MPDU에 대해 매체 접근 제어 소프트웨어 관리부(130a)에서 판단한 결과에 따라, 또는 수신한 MPDU의 헤더 정보를 분석한 결과에 따라 WEP, TKIP 또는 CCMP 보안 알고리즘을 적용하여 상기 MPDU에 대한 암호화 또는 복호화를 하는 보안 기능을 수행한다.
동적 키 관리부(506)는 상대측으로부터 수신한 MPDU의 전송자 주소 또는 송신하고자 하는 수신자의 주소에 따라 이미 설정 되어 있던 보안 키를 상기 MPDU에게 적용하기 위하여 관리한다.
관리 정보 처리부(507)는 매체에 대한 접근 제어 및 데이터 보안을 위한 관리 정보를 관리하는데, 관리 정보란 IEEE 802.11 MAC 규격에서 정의하는 MIB 정보와 함께 무선 연결을 위하여 정의된 레코드 값을 의미한다.
관리 정보는 규격에서 정의하는 기본값을 사용하거나 사용자 인터페이스를 통해 사용자로부터 입력된 값을 사용하는데, 관리 정보 처리부(308)는 상대측과의 무선 연결이 지속되는 동안 관리 정보를 수정, 유지 및 갱신한다.
모뎀/RF 인터페이스(508)는 MPDU 및 매체에 대한 접근 제어 정보를 모뎀/RF부(140)로 전달한다.
그러면, 이러한 구성을 이루는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치의 동작 과정에 대해 알아본다.
도 6은 본 발명의 실시 예에 따른 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치의 암호화 과정을 순차적으로 도시한 흐름도이다.
도 6에 도시되어 있듯이, IEEE 802.11에서 정의하는 MAC 규격을 준수하는 무선 랜(LAN) 시스템의 AP 또는 무선 단말기는 사용자 인터페이스(150)와 논리 링크 제어부(120)를 통해 보안 기능 정보를 설정하고, 무선 랜 시스템(100)의 응용 소프트웨어 관리부(110)가 생성한 데이터를 논리 링크 제어부(120)를 통해 수신한다(S601).
한편, MAC 동작을 수행하기 위해, 관리 프레임 처리부(303)는 관리 정보 처리부(308)에서 관리되는 정보를 포함하는 관리 프레임을 생성한다(S602).
이후, 상위 인터페이스(301)는 수신한 데이터 및 관리 프레임을 처리하기 위해, 사용자 인터페이스(150)로부터 수신한 정보를 통해 MAC에서 보안 기능을 지원하는지 확인한다(S603).
확인 결과, MAC에서 보안 기능을 지원하지 않으면 제1 프레임 처리부(304)는 MSDU 또는 관리 프레임으로부터 MAC 프레임인 MPDU를 구성(S607)한 후, MPDU를 송신 제어부(309)와 하위 인터페이스(311)를 통해 매체 접근 제어 하드웨어 관리부(130b)로 전달한다(S608).
그리고, 제1 프레임 처리부(304)는 보안 기능에 대한 처리 없이 MAC 단위의 프레임 처리만을 수행하여 매체 접근 제어 인터페이스(501)와 모뎀/RF 인터페이스(508)를 통해 MAC 프레임을 전송한다(S613).
한편, 확인 결과 MAC에서 보안 기능을 지원하면, 상위 인터페이스(301)는 RSNA(Robuest Security Network Association, 이하 'RSNA' 라 함) 보안 기능이 적용되고 있는지를 확인한다(S604).
확인 결과, RSNA 보안 기능이 적용되고 있으면, 상위 인터페이스(301)는 다시 TKIP 보안 알고리즘이 사용되고 있는지를 확인(S605)한 후, TKIP 보안 알고리즘을 사용한다면 MIC 처리부(302)는 MSDU 또는 관리 프레임에 대해 Michael 함수 처리를 수행한다(S606).
그리고, 제1 프레임 처리부(304)는 해당 프레임에 대하여 MAC 프레임인 MPDU를 구성(S607)한 후, 각각의 MPDU에 대한 초기화 벡터(IV) 값을 계산한다. TKIP 보안 알고리즘을 사용하지 않고 CCMP 보안 알고리즘을 사용한다면 해당 MDSU의 MPDU를 생성한 후, 각 MPDU에 대한 초기화 벡터(IV) 값을 계산한다.
한편, 확인 결과 RSNA 보안 기능이 적용되고 있지 않으면, IEEE 802.11의 MAC 규격에서 정의하는 WEP 보안 알고리즘을 적용하는 경우이므로, 제1 프레임 처리부(304)는 MAC의 처리만을 수행한 후, 해당 프레임에 대하여 MPDU를 구성한다(S607). 그리고 각 MPDU에 대한 초기화 벡터 값을 계산한다.
이후, 송신 제어부(309)와 하위 인터페이스(311)는 구성한 MPDU를 매체 접근 제어 하드웨어 관리부(130b)로 전달한다(S608).
이후, 매체 접근 제어 하드웨어 관리부(130b)는 전달 받은 MPDU를 매체 접근 제어 인터페이스(501)를 통해 보안 기능 제어부(502)로 전달하며, 보안 기능 제어부(502)는 수신한 MPDU가 RSNA 보안 기능이 적용되는지를 판단한다(S609).
확인 결과, RSNA 보안 기능이 적용되지 않으면, 보안 알고리즘 처리부(505)는 해당 MPDU에 WEP 알고리즘을 적용한다(S614). 한편, 확인 결과 RSNA 보안 기능이 적용되고 있으면, 보안 기능 제어부(502)는 MPDU에 대해 TKIP 보안 알고리즘이 적 용되는지를 확인한다(S610).
확인 결과, TKIP 보안 알고리즘을 사용하지 않으면, CCMP 지원 처리부(504)는 CCMP 알고리즘을 위해 요구되는 변수값을 계산(S615)하며, 보안 알고리즘 처리부(505)는 계산한 변수값을 통해 해당 MPDU에 CCMP 알고리즘을 적용한다 (S616).
반면, TKIP 보안 알고리즘을 사용하고 있으면, TKIP 지원 처리부(503)는 TKIP 알고리즘을 사용하기 위해 요청되는 변수값을 계산(S611)하며, 보안 알고리즘 처리부(505)는 계산한 변수값을 통해 해당 MPDU에 WEP 알고리즘을 적용한다(S612).
이후, 보안 알고리즘 처리부(505)는 각 단계(S612, S614, S616)를 통해 보안 알고리즘을 적용한 후, 암호화 된 MPDU들은 IEEE 802.11에서 정의하는 MAC 방안을 준수하여 처리한다. 이후, 모뎀/RF 인터페이스(508)는 처리된 MPDU를 모뎀 /RF부(140)로 전송한다(S613).
다음으로, 도 7은 본 발명의 실시 예에 따른 무선 랜(LAN) 시스템의 데이터 보안 및 운용 장치의 복호화 과정을 순차적으로 도시한 흐름도이다.
도 7에 도시되어 있듯이, IEEE 802.11의 MAC 규격을 따르는 무선 랜(LAN) 시스템(100)의 AP 또는 무선 단말기는 모뎀/RF부(140)로부터 매체 접근 제어 하드웨어 관리부(130b)의 모뎀/RF 인터페이스(508)를 통해 MPDU를 수신한다(S701).
이후, 모뎀/RF 인터페이스(508)는 수신한 프레임(MPDU)이 암호화되어 있는지를 확인하기 위해, 먼저 보안 기능을 사용하는지 확인(S702)한 후, 확인 결과 보안 기능을 사용하지 않으면, 모뎀/RF 인터페이스(508)는 MPDU를 보안 기능에 대한 처 리 없이 MAC의 처리만을 수행한 후, 매체 접근 제어 인터페이스(501)를 통해 매체 접근 제어 소프트웨어 관리부(130a)로 전달한다(S721).
한편, 확인 결과 보안 기능을 사용하여 암호화한 MPDU라면, 모뎀/RF 인터페이스(508)는 MPDU를 매체 접근 제어 인터페이스(501)를 통해 보안 기능 제어부 (502)로 전달된다.
그리고, 동적 키 관리부(506)는 MPDU의 송신자에 해당하는 키를 검색(S703)하며, 보안 기능 제어부(502)는 RSNA 보안 기능을 사용하였는지를 확인한다(S704).
확인 결과, MPDU가 RSNA 보안 기능을 사용하지 않았다면, 보안 알고리즘 처리부(505)는 해당 MPDU에 WEP 알고리즘을 적용한다(S718).
한편, 확인 결과 MPDU가 RSNA 보안 기능을 사용하였다면, 보안 기능 제어부(502)는 해당 MPDU가 다시 TKIP 보안 알고리즘을 사용하였는지를 확인(S705)한다.
확인 결과, MPDU가 TKIP 알고리즘을 사용하지 않았다면, CCMP 지원 처리부(504)는 요구되는 CCMP 변수값을 계산(S719)하며, 보안 알고리즘 처리부(505)는 계산한 CCMP 변수값을 이용하여 MPDU에 CCMP 보안 알고리즘을 적용한다(S720).
한편, 확인 결과 해당 MPDU가 TKIP 알고리즘을 사용한 경우라면, TKIP 지원 처리부(503)는 요청되는 TKIP 변수값을 계산(S706)하며, 보안 알고리즘 처리부 (505)는 계산한 TKIP 변수값을 이용하여 MPDU에 WEP 알고리즘을 적용한다(S707).
이후, 보안 알고리즘 처리부(505)는 복호화한 MAC 프레임인 MPDU를 매체 접 근 제어 인터페이스(501)를 통해 매체 접근 제어 소프트웨어 관리부(130a)로 전달한다(S708).
이후, 매체 접근 제어 소프트웨어 관리부(130a)의 수신 제어부(310)는 하위 인터페이스(311)를 통해 수신한 MDPU를 저장(S710)하며, 제2 프레임 처리부(305)는 저장한 MDPU를 재조합(S711)하여 MSDU를 구성한다.
이후, 제2 프레임 처리부(305)는 구성된 MSDU에 대하여 보안 기능 사용 여부를 확인(S712)하는데, 확인 결과 보안 기능을 사용하지 않으면 관리 프레임 처리부(303)는 다시 데이터 프레임인지를 판단(S715)한다.
판단 결과, MSDU가 데이터 프레임이면, 관리 프레임 처리부(303)는 해당 MSDU를 MIC 처리부(302) 및 상위 인터페이스(301)를 통해 논리 링크 제어부(120)로 전달(S716)한다.
한편, 판단 결과 MSDU가 관리 프레임이면, 관리 프레임 처리부(303)는 수신한 관리 프레임을 처리한다(S717).
이후, 제2 프레임 처리부(305)는 MSUD에 대하여 보안 기능을 사용하는지를 확인(S712)한 후, 다시 TKIP 알고리즘을 사용하였는지 판단(S713)한다.
판단 결과, TKIP 알고리즘을 사용하지 않았다면 관리 프레임 처리부(303)는 다시 MSDU이 데이터 프레임인지 판단(S715)한 후, 확인 결과 데이터 프레임이면, 관리 프레임 처리부(303)는 MSDU를 MIC 처리부(302) 및 상위 인터페이스(301)를 통해 논리 링크 제어부(120)로 전달(S716)한다. 한편, MSDU가 관리 프레임이면 관리 프레임 처리부(303)는 관리 프레임을 처리한다(S717).
이후, MSDU가 TKIP 알고리즘을 사용하면, MIC 처리부(302)는 제2 프레임 처리부(305)로부터 수신한 MSDU에 대해 무결성 처리를 수행(S714)한 후, MSDU가 데이터 프레임인지 판단한다(S715).
판단 결과, 무결성 처리한 MSDU가 데이터 프레임이면, MIC 처리부 (302)는MSDU를 상위 인터페이스(301)를 통해 논리 링크 제어부(120)로 전달(S716)하며, 판단 결과 관리 프레임이면, MIC 처리부(302)는 MSDU를 관리 프레임 처리부(303)로 전달하고, 이를 수신한 관리 프레임 처리부(303)는 프레임의 각 항목(field)이 갖는 값을 분석하여 연결 요청, 연결 해제, 전원 관리 등 무선 매체에 대한 접근 과정을 처리한다(S717).
이처럼, 본 발명의 실시 예에 따른 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치와 그 방법은 IEEE 802.11 MAC 규격에 의해 선택적으로 적용할 수 있는 WEP 보안 알고리즘을 적용하며, IEEE 802.11 TG i에서 추가적으로 정의한 규격에 따라 운용하는 보안 기능까지 모두 적용한다. 이를 통하여, RSNA 보안 구조가 적용된 기지국 장비 및 무선 단말기를 통해 다양한 보안 알고리즘을 적용할 수 있는 유연한 구조와 무선 데이터에 대한 보다 강력한 보안 기능을 지원할 수 있다.
도면과 발명의 상세한 설명은 단지 본 발명의 예시적인 것으로서, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부 된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
본 발명에 따른 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치와 그 방법은 IEEE 802.11 MAC 규격에 의해 선택적으로 적용할 수 있는 보안 알고리즘을 적용하며, IEEE 802.11 TG i에서 추가적으로 정의한 규격에 따라 운용하는 보안 기능까지 모두 적용한다. 이를 통하여, RSNA 보안 구조가 적용된 기지국 장비 및 무선 단말기를 통해 다양한 보안 알고리즘을 적용할 수 있는 유연한 구조와 무선 데이터에 대한 보다 강력한 보안 기능을 지원할 수 있는 효과가 있다.

Claims (19)

  1. 무선 단말기로 데이터 프레임을 전달하거나 수신하는 기지국을 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치에 있어서,
    상기 무선 단말기와 데이터 보안 정보를 협의하는 응용 소프트웨어 관리부;
    상기 무선 단말기에 대한 인증 결과가 정상이면, 상기 협의한 데이터 보안 정보를 포함하는 데이터 및 상기 응용 소프트웨어 관리부가 생성한 데이터 프레임 중 적어도 어느 하나를 상기 무선 단말기로 송신하는 논리 링크 제어부;
    상기 논리 링크 제어부를 통해 전달 받은 MSDU(MAC Service Data Unit) 프레임이 보안 기능을 지원하는 경우, 협의된 데이터 보안 정보에 따른 해당 보안 알고리즘 적용을 위한 MIB(Management Information Base) 정보를 관리하고, 상기 무선 단말기 인증시 생성된 세션키를 해당 보안 알고리즘 적용에 사용될 형태로 변환하여, 보안 기능을 지원하는 매체 접근 제어 소프트웨어 관리부;
    상기 MSDU 프레임을 단편화한 MPDU(MAC Protocol Data Unit) 프레임에 대한 해당 보안 알고리즘 적용을 위해 수신 프레임에 대한 전송자 주소 또는 수신자 주소에 따른 보안키를 검색하고 필요한 변수값을 계산하여 해당 보안 알고리즘을 적용하는 매체 접근 제어 하드웨어 관리부; 및
    상기 생성한 MSDU 및 MPDU 프레임을 변조하거나 복조하여 상기 무선 단말기로 송신하거나 수신되도록 하는 모뎀/RF부
    를 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치.
  2. 제1 항에 있어서,
    상기 응용 소프트웨어 관리부는,
    IEEE(Institute of Electrical and Electronics Engineers) 802.11 TG(Task Group) i의 보안 규격에 따라 상기 무선 단말기와 데이터 보안 정보를 협의하는 것을 특징으로 하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치.
  3. 제1 항에 있어서,
    상기 매체 접근 제어 소프트웨어 관리부는,
    상기 무선 단말기로부터 수신한 데이터 프레임이 보안 지원을 적용하는지 확인한 후, 보안 지원을 적용하면 어떠한 보안 알고리즘을 지원하는지 판단하여 TKIP 알고리즘이 적용되는 MSDU 프레임에 대해 미첼 (Michael) 함수 처리를 수행하는 MIC 처리부;
    연결 프레임(Association Frame) 및 시험 프레임(Probe frame) 중 적어도 어는 하나를 포함하는 관리 프레임을 생성하며, 상기 생성한 관리 프레임을 분석한 결과 값을 통해 무선 매체에 대한 접근 과정을 제어하는 관리 프레임 처리부;
    상기 미첼(Michael) 함수 처리한 MSDU 프레임을 MPDU 프레임 단위로 단편화하거나, 상기 무선 단말기로부터 수신한 단편화된 MPDU 프레임들을 MSDU 프레임으로 재조합하는 프레임 처리부;
    상기 IEEE 802.11 TG i에서 정의하는 기본값이거나 사용자로부터 입력된 값인 MIB(Management Information Base) 정보를 유지, 수정 및 갱신하는 RSNA 관리 정보 처리부;
    상기 무선 단말기 인증 과정에서 생성된 세션 키에서 유도된 매체 접근 제어의 보안 지원인 암호화 또는 복호화에 사용할 수 있는 길이 및 키 형태로 변환하는 키 관리부;
    무선 매체에 대한 접근 제어 및 데이터 보안을 위한 관리 정보를 관리하는 관리 정보 처리부; 및
    상기 단편화한 MPDU 프레임을 상기 무선 단말기로 송신하거나 상기 단편화된 MPDU 프레임을 상기 무선 단말기로부터 수신하는 송수신 제어부
    를 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치.
  4. 제3 항에 있어서,
    상기 매체 접근 제어 하드웨어 관리부는,
    상기 재조합한 MPDU 프레임에 대해 보안 지원하는 보안 기능 제어부;
    TKIP(Temporary Key Integrity Protocol)를 지원하기 위한 변수 값을 계산하는 TKIP 지원 처리부;
    CCMP(Counter mode with CBC(Cipher-Block Chaining)-MAC(Message Authentication Code) Protocol)를 지원하기 위한 변수 값을 계산하는 CCMP 지원 처리부;
    상기 단편화한 MPDU 프레임 또는 상기 무선 단말기로부터 수신한 MPDU 프레임의 헤더 정보를 분석한 후, 상기 분석한 결과에 따라 보안 알고리즘을 제어하는 보안 알고리즘 처리부;
    상기 무선 단말기로부터 수신한 MPDU 프레임의 전송자 주소 또는 송신하고자 하는 MPDU의 수신자 주소에 대한 보안 키를 관리하는 동적 키 관리부;
    무선 매체에 대한 접근 제어 및 데이터 보안을 위한 관리 정보를 관리하는 관리 정보 처리부; 및
    상기 단편화한 MPDU 프레임 및 상기 무선 매체에 대한 접근 제어 정보를 상기 무선 단말기로 전송하거나 상기 무선 단말기로부터 수신하는 모뎀/RF 인터페이스
    를 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치.
  5. 제3 항에 있어서,
    상기 프레임 처리부는,
    상기 미첼(Michael) 함수 처리한 MSDU 프레임을 상기 MPDU 프레임으로 단편화한 후, 상기 단편화한 MPDU 프레임에 대해 초기화 벡터(Initialization Vector)값을 계산하는 것을 특징으로 하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치.
  6. 제3 항에 있어서,
    상기 동적 키 관리부는
    상기 기지국이 무선 연결을 유지하고 있는 상대측에 대한 유니 및 멀티캐스트(unicast/multicast) 키를 모두 관리하는 것을 특징으로 하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치.
  7. 제3 항에 있어서,
    상기 매체 접근 제어 소프트웨어 관리부는,
    상기 생성한 MSDU(MAC Service Data Unit) 프레임에 대하여 WEP, TKIP 또는 CCMP 보안 알고리즘이 적용되어야 하는지 판단한 후, 상기 보안 알고리즘을 적용해야 한다면, 초기화 벡터 값을 포함하는 보안 정보를 계산하여 보안 지원하는 것을 특징으로 하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치.
  8. 제7 항에 있어서,
    상기 매체 접근 제어 소프트웨어 관리부는,
    상기 보안 알고리즘을 적용하기 위하여 상기 MSDU 프레임을 MPDU 프레임 단위로 단편화하거나, 상기 무선 단말기로부터 수신한 단편화된 MPDU 프레임들을 MSDU 프레임으로 재조합하는 것을 특징으로 하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치.
  9. 제4 항에 있어서,
    상기 TKIP 지원 처리부는,
    TSC(TKIP Sequence Counter) 또는 TTAK(TKIP mixed Transmit Address and Key) 중 적어도 어느 하나를 계산하는 것을 특징으로 하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치.
  10. 제4 항에 있어서,
    상기 CCMP 지원 처리부는,
    CCMP 헤더(Header), CCM 난수(Nonce), AAD(Additional Authentication Data) 중 적어도 어느 하나를 계산하는 것을 특징으로 하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치.
  11. 제1 항에 있어서,
    상기 데이터 보안 정보는,
    WEP(Wired Equivalent Protocol), TKIP(Temporary Key Integrity Protocol) 및 CCMP(Counter mode with CBC(Cipher-Block Chaining)-MAC(Message Authentication Code) Protocol) 중 적어도 어느 하나를 포함하는 보안 알고리즘에 관한 정보인 것을 특징으로 하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치.
  12. 기지국으로부터 데이터 프레임을 수신하거나 전송하는 무선 단말기를 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치에 있어서,
    IEEE(Institute of Electrical and Electronics Engineers) 802.11 TG(Task Group) i의 보안 규격에 따라 상기 기지국과 데이터 보안 정보를 협의하는 응용 소프트웨어 관리부;
    상기 무선 단말기에 대한 인증 결과가 정상이면, 상기 협의한 데이터 보안 정보를 포함하는 데이터 및 상기 응용 소프트웨어 관리부가 생성한 데이터 프레임 중 적어도 어느 하나를 상기 기지국과 송수신하는 논리 링크 제어부;
    상기 논리 링크 제어부를 통해 전달 받은 MSDU(MAC Service Data Unit) 프레임이 보안 기능을 지원하는 경우, 협의된 데이터 보안 정보에 따른 해당 보안 알고리즘 적용을 위한 MIB(Management Information Base)정보를 관리하고, 상기 무선 단말기 인증시 생성된 세션키를 해당 보안 알고리즘 적용에 사용될 형태로 변환하여, 보안 기능을 지원하는 매체 접근 제어 소프트웨어 관리부;
    상기 MSDU 프레임을 단편화한 MPDU(MAC Protocol Data Unit) 프레임에 대한 해당 보안 알고리즘 적용을 위해 수신 프레임에 대해 전송자 주소 또는 수신자 주소에 따른 보안키를 검색하고 필요한 변수값을 계산하여 해당 보안 알고리즘을 적용하는 매체 접근 제어 하드웨어 관리부; 및
    상기 생성한 MSDU 및 MPDU 프레임을 변조하거나 복조하여 상기 기지국으로 송신하거나 수신되도록 하는 모뎀/RF부
    를 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 장치.
  13. 무선 단말기로 데이터 프레임을 전달하거나 수신하는 기지국을 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 방법에 있어서,
    a)상기 무선 단말기와 데이터 보안 정보를 협의하는 단계;
    b)상기 무선 단말기에 대한 인증 결과가 정상이면, 상기 협의한 데이터 보안 정보를 포함하는 데이터 및 상기 데이터 프레임 중 적어도 어느 하나를 상기 무선 단말기로 송신하는 단계;
    c)상기 기지국의 응용 소프트웨어가 생성한 MSDU(MAC Service Data Unit) 프레임 또는 상기 이동 단말기로부터 수신한 MSDU 프레임이 보안 기능을 지원하는 경우, 협의된 보안 정보에 따른 해당 보안 알고리즘 적용을 위해 MIB(Management Information Base)정보를 관리하고, 무선 단말기 인증시 생성된 세션키를 해당 보안 알고리즘 적용에 사용될 형태로 변환하여 보안 지원하는 단계;
    d)상기 MSDU 프레임을 단편화한 MPDU(MAC Protocol Data Unit) 프레임 또는 상기 이동 단말기로부터 수신한 MPDU 프레임에 대해 해당 보안 알고리즘 적용을 위해 수신 프레임에 대한 전송자 주소 또는 수신자 주소에 따른 보안키를 검색하고 필요한 변수값을 계산하여 해당 보안 알고리즘을 적용하는 단계; 및
    e)상기 생성한 MSDU 및 MPDU 프레임을 변조하거나 복조하여 상기 무선 단말기로 송신하거나 수신되도록 하는 단계
    를 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 방법.
  14. 제13 항에 있어서,
    상기 a)단계는,
    IEEE(Institute of Electrical and Electronics Engineers) 802.11 TG(Task Group) i의 보안 규격을 따르는 것을 특징으로 하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 방법.
  15. 제13 항에 있어서,
    상기 c)단계는,
    상기 생성한 MSDU 프레임에 대해 RSNA(Robuest Security Network Association) 보안을 적용하는지 판단하는 단계;
    상기 RSNA 보안을 적용하면, 상기 MSDU 프레임에 TKIP(Temporary Key Integrity Protocol) 보안 알고리즘을 적용하는지 판단하는 단계;
    상기 TKIP 보안 알고리즘을 적용하면, 상기 MSDU 프레임에 대한 미첼(Michael) 함수 처리를 수행한 후, 상기 MPDU 프레임에 대한 초기화 벡터 (Initialization Vector) 값을 계산하는 단계; 및
    상기 TKIP 보안 알고리즘을 적용하지 않으면, 상기 MPDU 프레임에 대한 적절한 초기화 벡터(Initialization vector) 값을 계산하는 단계
    를 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 방법.
  16. 제13 항에 있어서,
    상기 d)단계는,
    i)상기 생성한 MPDU 프레임에 대해 RSNA(Robuest Security Network Association) 보안을 적용하는지 판단하는 단계;
    ii)상기 RSNA 보안을 적용하면, 상기 MPDU 프레임에 TKIP(Temporary Key Integrity Protocol) 보안 알고리즘을 적용하는지 판단하는 단계; 및
    iii)상기 RSNA 보안을 적용하지 않으면, 상기 MPDU 프레임에 WEP(Wired Equivalent Protocol) 보안 알고리즘을 적용하는지 판단하는 단계
    를 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 방법.
  17. 제16 항에 있어서,
    상기 ii)단계는,
    상기 TKIP 보안 알고리즘을 적용하면, 상기 TKIP를 지원하기 위한 변수 값을 계산한 후, 상기 MPDU 프레임에 상기 WEP 보안 알고리즘을 적용하는 단계
    를 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 방법.
  18. 제17 항에 있어서,
    상기 ii)단계는,
    상기 TKIP 보안 알고리즘을 적용하지 않으면, CCMP(Counter mode with CBC(Cipher-Block Chaining)-MAC(Message Authentication Code) Protocol)를 지원하기 위한 변수 값을 계산한 후, 상기 MPDU 프레임에 상기 CCMP 보안 알고리즘을 적용하는 단계
    를 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 방법.
  19. 기지국으로부터 데이터 프레임을 수신하거나 전송하는 무선 단말기를 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 방법에 있어서,
    a)IEEE 802.TG(Task Group) i의 보안 규격에 따라 상기 기지국과 데이터 보안 정보를 협의하는 단계;
    b)상기 무선 단말기에 대한 인증 결과가 정상이면, 상기 협의한 데이터 보안 정보를 포함하는 데이터 및 상기 데이터 프레임 중 적어도 어느 하나를 상기 기지국과 송수신하는 단계;
    c)상기 무선 단말기의 응용 소프트웨어가 생성한 MSDU(MAC Service Data Unit) 프레임 또는 상기 이동 단말기로부터 수신한 MSDU 프레임이 보안 기능을 지원하는 경우, 협의된 데이터 보안 정보에 따른 해당 보안 알고리즘 적용을 위한 MIB(Management Information Base) 정보를 관리하고 상기 무선 단말기 인증시 생성된 세션키를 해당 보안 알고리즘 적용에 사용될 형태로 변환하여 보안 기능을 지원하는 단계;
    d)상기 MSDU 프레임을 단편화한 MPDU(MAC Protocol Data Unit) 프레임 또는 상기 이동 단말기로부터 수신한 MPDU 프레임에 대한 해당 보안 알고리즘 적용을 위해 수신 프레임에 대한 전송자 주소 또는 수신자 주소에 따른 보안키를 검색하고 필요한 변수값을 계산하여 해당 보안 알고리즘을 적용하는 단계; 및
    e)상기 생성한 MSDU 및 MPDU 프레임을 변조하거나 복조하여 상기 기지국으로 송신하거나 수신되도록 하는 단계
    를 포함하는 무선 랜(LAN) 시스템에서의 데이터 보안 및 운용 방법.
KR1020030092315A 2003-12-17 2003-12-17 무선 랜(lan) 시스템에서의 데이터 보안 및 운용장치와 그 방법 KR100580844B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030092315A KR100580844B1 (ko) 2003-12-17 2003-12-17 무선 랜(lan) 시스템에서의 데이터 보안 및 운용장치와 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030092315A KR100580844B1 (ko) 2003-12-17 2003-12-17 무선 랜(lan) 시스템에서의 데이터 보안 및 운용장치와 그 방법

Publications (2)

Publication Number Publication Date
KR20050060633A KR20050060633A (ko) 2005-06-22
KR100580844B1 true KR100580844B1 (ko) 2006-05-16

Family

ID=37253318

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030092315A KR100580844B1 (ko) 2003-12-17 2003-12-17 무선 랜(lan) 시스템에서의 데이터 보안 및 운용장치와 그 방법

Country Status (1)

Country Link
KR (1) KR100580844B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017090789A1 (ko) * 2015-11-24 2017-06-01 이광원 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템 및 방법
WO2019117565A1 (ko) * 2017-12-11 2019-06-20 국민대학교산학협력단 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100819942B1 (ko) * 2006-04-17 2008-04-10 주식회사 에어큐브 유무선 네트워크의 검역 및 정책기반 접속제어 방법
KR20080060925A (ko) 2006-12-27 2008-07-02 삼성전자주식회사 동보 프레임을 보호하는 방법, 상기 동보 프레임을인증하는 단말기 및 상기 동보 프레임을 동보하는 접근점
CN113381966B (zh) * 2020-03-09 2023-09-26 维沃移动通信有限公司 信息上报方法、信息接收方法、终端及网络侧设备

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017090789A1 (ko) * 2015-11-24 2017-06-01 이광원 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템 및 방법
WO2019117565A1 (ko) * 2017-12-11 2019-06-20 국민대학교산학협력단 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법
KR101981621B1 (ko) * 2017-12-11 2019-08-28 국민대학교산학협력단 공개키 암호 알고리즘의 키 비트 변수 램덤화를 위한 장치 및 방법

Also Published As

Publication number Publication date
KR20050060633A (ko) 2005-06-22

Similar Documents

Publication Publication Date Title
EP1484856B1 (en) Method for distributing encryption keys in wireless lan
US8959601B2 (en) Client configuration during timing window
CN103945376B (zh) 用于高吞吐量无线通信的在减少分组丢失情况下进行密钥重置的无线设备和方法
US7028186B1 (en) Key management methods for wireless LANs
US7929504B2 (en) Systems and methods for the connection and remote configuration of wireless clients
US8838972B2 (en) Exchange of key material
US7945777B2 (en) Identification information protection method in WLAN inter-working
JP3702812B2 (ja) 無線lanシステムにおける認証方法と認証装置
US20090175448A1 (en) Wireless network handoff key
EP1804462A1 (en) Method and apparatus for transmitting message to wireless devices that are classified into groups
KR20080077006A (ko) 관리 프레임 보호 장치 및 방법
WO2007111710A2 (en) Method and apparatus for providing a key for secure communications
JP3515551B2 (ja) 無線データ通信の中継機能を有する電子機器
US20050108527A1 (en) Method and apparatus to provide secured link
EP2922325B1 (en) Method and apparatus for communication security processing
US8640217B2 (en) Method and system for improved communication network setup utilizing extended terminals
KR100580844B1 (ko) 무선 랜(lan) 시스템에서의 데이터 보안 및 운용장치와 그 방법
CN113747430B (zh) 一种接入网络的方法、终端设备和ap
KR20050060636A (ko) 무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템 및 그 방법
CN115885496B (zh) 一种通信方法及相关装置
Gin The Performance of the IEEE 802.11 i Security Specification on Wireless LANs
CN115037504A (zh) 通信方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110429

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee