KR100599199B1 - 무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템 - Google Patents

무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템 Download PDF

Info

Publication number
KR100599199B1
KR100599199B1 KR1020030092318A KR20030092318A KR100599199B1 KR 100599199 B1 KR100599199 B1 KR 100599199B1 KR 1020030092318 A KR1020030092318 A KR 1020030092318A KR 20030092318 A KR20030092318 A KR 20030092318A KR 100599199 B1 KR100599199 B1 KR 100599199B1
Authority
KR
South Korea
Prior art keywords
key
eapol
eap
authentication
security
Prior art date
Application number
KR1020030092318A
Other languages
English (en)
Other versions
KR20050060636A (ko
Inventor
김윤주
전영애
이석규
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030092318A priority Critical patent/KR100599199B1/ko
Publication of KR20050060636A publication Critical patent/KR20050060636A/ko
Application granted granted Critical
Publication of KR100599199B1 publication Critical patent/KR100599199B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

본 발명은 무선 랜(LAN) 보안 시스템에서의 무선 장치의 암호 키 생성 시스템 및 그 방법에 관한 것이다.
본 발명에서는, IEEE 802.11 MAC 규격에 의해 선택적으로 적용될 수 있는 기존의 개방형 인증 알고리즘을 지원하며, IEEE 802.11 TG i에서 추가적으로 정의하는 방안에 의해 운용되는 인증 및 보안 키 생성 기능을 모두 준수한다. 이를 통하여, RSNA 인증 구조가 적용된 AP 장치 및 무선 단말기를 통해 보다 향상된 키 관리 및 인증 방안을 적용할 수 있는 유연한 구조와 다양하면서도 보안이 강화된 키를 제공함으로써, 향상된 보안 인증을 지원한다.
무선 랜(LAN) 장치, AP, 무선 단말기, 보안 인증, 보안 키, RSNA

Description

무선 랜(LAN) 보안 시스템에서의 무선 장치의 암호 키 생성 시스템 및 그 방법 {SYSTEM AND METHOD FOR GENERATING ENCRYPTION KEY OF WIRELESS DEVICE IN WIRELESS LOCAL AREA NETWORK SECURE SYSTEM}
도 1과 도 2는 기존의 무선 랜(LAN) 보안 시스템의 구성을 개략적으로 도시한 도면이다.
도 3은 본 발명의 실시예에 따른 인증자 구조의 AP(Access Point) 장치의 구성을 도시한 도면이다.
도 4는 본 발명의 실시예에 따른 요청자 구조의 무선 단말기의 구성을 도시한 도면이다.
도 5는 도 3에 도시한 인증자 구조의 AP(Access Point) 장치의 동작 과정을 순차적으로 도시한 흐름도이다.
도 6은 도 4에 도시한 요청자 구조의 무선 단말기의 동작 과정을 순차적으로 도시한 흐름도이다.
본 발명은 무선 랜(LAN) 보안 시스템에서의 무선 장치의 암호 키 생성 시스 템 및 그 방법에 관한 것으로서, 보다 상세하게는 인증 정보에 기반한 키 관리 생성 시스템 및 그 방법에 관한 것이다.
도 1과 도 2는 기존의 무선 랜(LAN) 보안 시스템의 구성을 개략적으로 도시한 도면이다.
먼저, 도 1에 따른 무선 랜(LAN) 시스템(10)은 유선 링크(2)로 상호 연결된 인증 서버(1)와 AP 장치(Access Point, 이하 'AP' 라 함, 3), AP 장치(3)와 무선 링크(4)로 상호 연결된 무선 단말기(5)를 포함한다. 이때, AP 장치(3)와 무선 단말기(5)는 RSNA(Robust Security Network Association, 이하 'RSNA' 라 함) 보안 규격을 따른다.
그리고, 이러한 구성의 무선 랜(LAN) 시스템(10)은 IEEE(Institute of Electrical and Electronics Engineers, 이하 'IEEE' 라 함) 802.11 규격을 적용한 무선 랜(LAN) 시스템의 기본 서비스 단위인 BSS(Basic Service Set, 이하 'BBS' 라 함)에 관한 보안 시스템을 나타낸다.
다음으로, 도 2에 따른 무선 랜(LAN) 시스템(20)은 AP의 기능 없이 RSNA 보안 규격을 따르며, 무선(9, 10, 11)으로 상호 연결된 무선 단말기(6, 7, 8)만 포함하고 있으며, 이는 IEEE 802.11 규격을 적용한 무선 랜(LAN) 시스템의 기본 서비스 단위인 IBSS(Independent Basic Service Set, 이하 'IBSS' 라 함)에 관한 보안 시스템을 나타낸다.
자세히 설명하면, BSS 또는 IBSS 단위의 무선 랜(LAN) 시스템(10, 20)을 구성하는 AP 장치와 무선 단말기는 IEEE 802.11 규격에서 정의하는 IEEE 802.11 매체 접근 제어(MAC)를 위해 정의된 규격에 따라, 개방형 시스템 인증(Open System Authentication) 방법과 공유 키 인증(Shared Key Authentication) 방안을 적용한다. 이를 통하여, 무선 단말기에 대한 인증을 수행하며, 인증이 성공적으로 이루어진 경우에만 무선 접속을 허용한다.
도 1에 따른 무선 랜(LAN) 시스템(10)을 구성하는 무선 단말기(5)는 AP 장치(3)로부터 SSID(Service Set Identity, 이하 'SSID' 라 함)를 수신하는 개방형 시스템 인증 기법과, WEP(Wired Equivalent Protocol, 이하 'WEP' 라 함) 알고리즘을 기반으로 무선 단말기들 사이의 유일한 키 값을 공유한다. 이를 통하여, 인증 및 송수신 데이터의 보안을 지원하는 공유 키 인증 기법을 수행한다.
도 2에 따른 무선 랜(LAN) 시스템(20)의 무선 단말기(6, 7, 8)는 IBSS를 초기화한 무선 단말기로부터 수신된 SSID를 수신하는 개방형 시스템 인증 방법과 하나의 무선 매체를 공유하는 무선 단말기들 사이에 동일한 키를 사용하는 공유 키 인증 기법을 수행한다.
그런데, IEEE 802.11의 MAC 규격에서 선택 사항으로 정의한 무선 랜 시스템의 보안 방안을 보면, 개방형 시스템 인증 방안의 경우 동일한 무선 매체를 사용하는 모든 무선 단말기에게 전송되는 데이터 패킷은 모두 도청될 수 있다.
또한, 특정한 키 분배 및 관리 기능 없이 WEP 기반의 알고리즘을 사용하는 공유 키 인증 방안의 경우, 키의 길이가 짧으며 암호화 및 복호화가 쉬운 WEP 알고리즘을 사용하므로 인해, 악의적인 무선 단말기에 대해서도 쉽게 무선 매체에 대한 접근을 허용한다.
이로 인해, 무선 랜(LAN) 시스템의 장치를 제조하거나 운용하는 사업자들은 IEEE 802.1X 에서 정의한 포트 기반의 인증 방법을 사용한다.
IEEE 802.1X 인증 방법은 포트 기반의 인증 표준이며, AP에서 암호학적인 인증 알고리즘을 통하여 정상적으로 인증을 수신한 사용자에게만 내부 네트워크에 대한 접속을 허용하는 방안으로서, 이는 인증을 위한 기반 구조를 제공하며 실제 사용하는 암호학적인 인증 알고리즘으로 EAP(Extensible Authentication Protocol, 이하 'EAP' 라 함)을 기반으로 한다.
하지만, IEEE 802.1X 기반의 접속 제어 기능은 포트에 대한 접근을 제어함으로써, 인증된 사용자에게만 접속을 허용하긴 하는데, 특정한 키 분배 및 관리에 대한 기능을 수용하지 않으므로, 사용자 인증 과정을 통해 생성된 키는 더 이상 보안 기능을 지원하는 데 사용할 수 없다.
본 발명이 이루고자 하는 기술적 과제는 이러한 문제점을 해결하기 위한 것으로서, 키 관리 및 인증 방안을 적용할 수 있는 유연한 구조와 보안이 강화된 키를 제공함으로써, 향상된 보안 인증을 지원할 수 있는 무선 랜(LAN) 보안 시스템에서의 무선 장치의 암호 키 생성 시스템 및 그 방법을 제공하기 위한 것이다.
이러한 목적을 달성하기 위한 본 발명의 특징에 따른 무선 장치의 암호 키 생성 시스템은, 무선 단말기로 데이터 프레임을 전달하거나 수신하는 기지국에서의 암호 키 생성 시스템에 있어서, 보안 키를 사용하여 무선 데이터를 암호화하거나 복호화하는 매체 접근 제어 H/W 관리부; 상기 무선 단말기에 대한 인증 결과가 정상이면, 제어 포트를 통해 상기 무선 단말기와의 데이터 송수신을 제어하는 포트 제어부; 인증 서버와 인증 교환을 수행하는 RADIUS Client 기능부; EAPOL(EAP over LANs)-KEY 프레임 정보를 분석한 후, 상기 EAPOL-KEY 프레임이 4-WAY HS(Handshake) 과정에서 교환된 프레임이면, 분석한 RSNA 인증 정보를 4-WAY HS 제어부로 전달하는 프레임 처리부; 및 상기 IEEE 802.11의 TG i에서 제안하는 키 생성 방안을 제어하며, 상기 전달한 RSNA 인증 정보를 기초로 상기 프레임 처리부에서 EAPOL-Key 프레임을 생성할 수 있도록 관리 정보를 전달하는 4-WAY HS 제어부를 포함한다.
이때, 상기 매체 접근 제어 H/W 관리부는, IEEE(Institute of Electrical and Electronics Engineers) 802.11의 TG(Task Group) i에서 정의하는 RSNA(Robust Security Network Association) 인증 규격에 따라 상기 무선 데이터를 암호화하거나 복호화하는 것을 특징으로 한다.
그리고, 상기 IEEE 802.11의 TG i에서 제안하는 키 생성을 제어하며, 상기 RSNA 인증 정보를 기초로 상기 프레임 처리부가 EAPOL-Key 프레임을 생성할 수 있도록 관리 정보를 전달하는 GroupKey HS 제어부; 상기 RSNA 인증 및 키 생성에 대해 상기 매체 접근 제어 H/W 관리부와 인터페이스를 수행하는 매체 접근 제어 S/W 관리부; 및 상기 매체 접근 제어 S/W 관리부와 RSNA 인증 정보를 상호 교환하는 RSNA HS 인터페이스를 더 포함한다.
또한, 본 발명의 다른 특징에 따른 무선 장치의 암호 키 생성 시스템은, 기 지국으로부터 데이터 프레임을 전달받거나 송신하는 무선 단말기에서의 암호 키 생성 시스템에 있어서, 보안 키를 암호화하거나 복호화하는 매체 접근 제어 H/W 관리부; 상기 무선 단말기에 대한 인증 결과가 정상이면, 제어 포트를 통해 상기 무선 단말기와의 데이터 송수신을 제어하는 포트 제어부; IBSS(Independent Basic Service Set)에서의 RSNA 보안 연결을 설정하는 IBSS RSNA 제어부; EAPOL(EAP over LANs)-KEY 프레임 정보를 분석한 후, 상기 분석한 EAPOL-KEY 프레임이 4-WAY HS(Handshake) 과정에서 교환된 프레임이면, 분석한 RSNA 인증 정보를 전달하는 프레임 처리부; 및 상기 IEEE 802.11의 TG i에서 제안하는 키 생성 방안을 제어하며, 상기 전달한 RSNA 인증 정보를 기초로 상기 프레임 처리부에서 EAPOL-Key 프레임을 생성할 수 있도록 관리 정보를 전달하는 4-WAY HS 제어부를 포함한다.
또한, 본 발명의 다른 특징에 따른 무선 장치의 암호 키 생성 방법은, 무선 단말기로 데이터 프레임을 전달하거나 수신하는 기지국에서의 암호 키 생성 방법에 있어서, a)IEEE(Institute of Electrical and Electronics Engineers) 802.1X를 따라 상기 무선 단말기에 대한 인증을 수행하는 단계; b)외부의 인증 서버로부터 PMK(Primary Master Key)를 수신한 후, 상기 수신한 PMK를 이용하여 인증의 성공적인 종료를 의미하는 패킷을 상기 무선 단말기로 전송하는 단계; c)RSNA(Robust Security Network Association) 인증 정보를 기초로 EAPOL(EAP over LANs)-Key 프레임을 생성하는 단계; 및 d)보안 키에 대한 사전 설정에 따라 제어 포트에 대한 접근을 허용하거나 차단하는 단계를 포함한다.
또한, 본 발명의 다른 특징에 따른 무선 장치의 암호 키 생성 방법은, 기지 국으로부터 데이터 프레임을 전달받거나 송신하는 무선 단말기에서의 암호 키 생성 방법에 있어서, a)IEEE(Institute of Electrical and Electronics Engineers) 802.1X를 따라 상기 무선 단말기에 대한 인증을 수행하는 단계; b)상기 기지국으로부터 인증의 성공적인 종료를 의미하는 패킷을 수신한 후, 상기 인증 과정에서 생성한 세션 키를 PMK(Primary Master Key)로 설정하는 단계; c)RSNA(Robust Security Network Association) 인증 정보를 기초로 EAPOL(EAP over LANs)-Key 프레임을 생성하는 단계; 및 d)보안 키에 대한 사전 설정에 따라 제어 포트에 대한 접근을 허용하거나 차단하는 단계를 포함한다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다. 명세서 전체를 통하여 유사한 부분에 대해서는 동일한 도면 부호를 붙였다.
도 3은 본 발명의 실시예에 따른 인증자 구조의 AP(Access Point, 이하 'AP' 라 함) 장치의 구성을 도시한 도면이다.
도 3에 도시되어 있듯이, AP 장치(300)는 매체 접근 제어 H/W 관리부(317)를 포함하며, EAP 기능부(310)와 EAPOL 기능부(311), EAPOL-Key 프레임 처리부(312), 802.1X 포트 제어부(313), RSNA HS 인터페이스(314), 계층키 관리부(315) 및 매체 접근 제어 S/W 관리부(316)를 포함하는 커널 시스템(309)을 포함한다.
그리고, TTLS 기능부(302)와 TLS 기능부(303), EAP 기능 제어부(306)를 포함한다. 이때, RSNA 인증 기능부는 EAPOL-Key 프레임 처리부(312), 802.1X 포트 제어부(313), RSNA HS 인터페이스(314) 및 계층키 관리부(315)를 포함한다.
또한, RADIUS Client 기능부(304)와 사용자 인터페이스(305) 및 PAE 처리부(301)를 포함하며, 4-WAY HS 제어부(307)와 GroupKey HS 제어부(308)를 포함하는 RSNA 인증 제어부를 포함한다.
자세히 설명하면, 먼저 상위 프로토콜에서는 IEEE 802.1X를 기반으로 세션 키를 생성하고, 다시 RSNA 보안 구조는 상기 세션 키를 사용하여 마스터 키(Master Key)를 계산한다. 그리고, RSNA 보안 구조는 마스터 키를 MAC에 적합한 형태의 보안 키로 생성하여 매체 접근 제어 S/W 관리부(316)로 전달한다.
매체 접근 제어 H/W 관리부(317)는 IEEE 802.11의 TG i에서 정의하는 RSNA(Robust Security Network Association, 이하 'RSNA' 라 함) 인증 구조에 따르는 상위 프로토콜과 매체 접근 제어 S/W 관리부(316)로부터 생성된 보안 키를 보안 알고리즘(예를 들어, WEP, TKIP 또는 CCMP 등)에 사용하여 암호화 또는 복호화를 수행한다.
EAP 기능부(310)는 IEEE(Institute of Electrical and Electronics Engineers, 이하 'IEEE'라 함) 802.1X 인증 방안을 기반으로 하는 EAP(Extensible Authentication Protocol, 이하 'EAP' 라 함) 동작을 지원한다.
EAPOL 기능부(311)는 PAE 처리부(301)로부터 802.1X Authenticator로서 동작하는 설정 정보를 수신하며, 수신한 설정 정보에 따라 IEEE 802.1X 규격에 의해 정 의된 EAPOL 패킷을 생성한다. 그리고, EAPOL 기능부(311)는 외부로부터 수신한 EAPOL 패킷을 분석한 후, 분석 정보를 PAE 처리부(301)로 송신한다.
802.1X 포트 제어부(313)는 무선 단말기에 대한 인증 결과가 정상이면, 제어 포트(Controlled Port)를 통해 무선 단말기와의 데이터 송수신을 제어한다.
매체 접근 제어 S/W 관리부(316)는 RSNA 인증 및 키 생성 과정에 대한 매체 접근 제어 H/W 관리부(317)의 상호 작용을 위한 인터페이스 역할을 수행한다.
TTLS 기능부(302)와 TLS 기능부(303)는 커널 시스템(309)으로부터 수신한 EAP 패킷을 기초로 EAP-TLS 또는 EAP-TTLS 패킷을 생성하여 커널 시스템(309)으로 전달하거나, 전달한 EAP-TLS 또는 EAP-TTLS 패킷을 다시 수신하여 EAP 패킷을 추출한다.
EAP 기능 제어부(306)는 사용자 인터페이스(305)를 통해 수신한 EAP의 설정 정보에 따라 EAP 프로토콜을 제어한다. 즉, EAP 기능 제어부(306)는 커널 시스템(309)에서 생성된 EAP 패킷을 수신한 후, 수신한 EAP 패킷에 TLS 또는 TTLS를 적용하는지 판단한다. 그리고, 판단 결과에 따라 해당 프로토콜 기능부로 EAP 패킷을 전달한다.
RADIUS Client 기능부(304)는 인증 서버인 RADIUS 서버(미도시)와의 인증 교환을 수행한다.
사용자 인터페이스(305)는 사용자 요구 사항을 전달한다.
PAE 처리부(301)는 RSNA 인증 구조에서 정의하는 인증자 PAE(Authenticator Port Access Entity : 포트 접근 단위) 역할을 수행한다.
4-WAY HS 제어부(307)는 IEEE 802.11의 TG i에서 제안하는 키 생성을 위한 키 정보 관리 및 프레임 송수신 방안을 제어하며, 사용자 인터페이스(305)를 통해 인증자 또는 요청자 시스템이 갖는 RSNA 인증 구조 정보를 수신한다.
그리고, 4-WAY HS 제어부(307)는 4-WAY 키 교환 과정이 수행되는 절차에 따라, 수신한 RSNA 인증 정보를 기초로 EAPOL-Key 프레임 처리부(312)에서 EAPOL-Key 프레임을 생성할 수 있도록 관리 정보를 전달한다. 또한, 4-WAY HS 제어부(307)는 EAPOL-Key 프레임 처리부(312)로부터 수신한 EAPOL-Key 프레임 정보를 저장 및 유지한다.
GroupKey HS 제어부(308)는 IEEE 802.11의 TG i에서 제안하는 키 생성을 위한 키 정보 관리 및 프레임 송수신 방안을 제어하며, 사용자 인터페이스(305)를 통해 인증자 또는 요청자 시스템이 갖는 RSNA 인증 구조 정보를 수신한다. 그리고, 수신한 인증 정보를 기초로 EAPOL-Key 프레임 처리부(312)가 EAPOL-Key 프레임을 생성할 수 있도록 관리 정보를 전달하는 한편, EAPOL-Key 프레임 처리부(312)로부터 수신한 EAPOL-Key 프레임 정보를 저장 및 유지한다.
EAPOL-Key 프레임 처리부(312)는 요청자로부터 수신한 EAPOL-KEY 프레임 정보를 분석하고, EAPOL-KEY 프레임이 4-WAY HS 과정에서 교환된 프레임이면, 4-WAY HS 제어부(307)로 분석한 RSNA 인증 정보를 전달한다.
한편, EAPOL-KEY 프레임이 GroupKey 과정에서 교환된 프레임이면, EAPOL-Key 프레임 처리부(312)는 GroupKey HS 제어부(308)로 분석한 RSNA 인증 정보를 전달한다.
그리고, 4-WAY HS 제어부(307) 및 GroupKey HS 제어부(308)로부터 인증 정보를 수신하면, EAPOL-Key 프레임 처리부(312)는 갱신된 정보를 포함하는 EAPOL-KEY 프레임을 생성한다.
RSNA HS 인터페이스(314)는 매체 접근 제어 S/W 관리부(316)와 RSNA 인증 구조 정보를 상호 교환한다. 즉, 매체 접근 제어 S/W 관리부(316)는 RSNA HS 인터페이스(314)를 통해, 사용자 인터페이스(305)를 통해 입력된 보안 키 및 키 관리 정보, RSNA 인증 구조에 의해 생성된 세션 키, 그리고 키 교환 과정을 통해 교환된 EAPOL-KEY 프레임 내의 값들을 수신한다.
계층키 관리부(315)는 상위 프로토콜에서 생성된 세션 키와 상기 세션 키를 사용하여 RSNA 보안 구조에서 계산된 보안 키를 관리한다.
다음으로, 도 4는 본 발명의 실시예에 따른 요청자 구조의 무선 단말기의 구성을 도시한 도면이다.
도 4에 도시되어 있듯이, 본 발명의 실시예에 따른 요청자 구조의 무선 단말기(400)는 매체 접근 제어 H/W 관리부(416)를 포함하며, EAP 기능부(410)와 EAPOL 기능부(411), EAPOL-KEY 프레임 처리부(412), 802.1X 포트 제어부(413), RSNA HS 인터페이스(414), 계층 키 관리부(415) 및 매체 접근 제어 S/W 관리부(416)를 포함하는 커널 시스템(409)을 포함한다. 이때, RSNA 인증 기능부는 EAPOL-KEY 프레임 처리부(412), 802.1X 포트 제어부(413), RSNA HS 인터페이스(414) 및 계층 키 관리부(415)를 포함한다.
그리고, TTLS 기능부(402)와 TLS 기능부(403), IBSS RSNA 제어부(404) 및 EAP 기능 제어부(406)를 포함한다. 또한, 사용자 인터페이스(405) 및 802.1X Supplicant PAE 처리부(401)를 포함하며, 4-WAY HS 제어부(407)와 GroupKey HS 제어부(408)를 포함하는 RSNA 인증 제어부를 포함한다.
자세히 설명하면, 먼저 상위 프로토콜에서는 IEEE 802.1X를 기반으로 세션 키를 생성하고, 다시 RSNA 보안 구조는 상기 세션 키를 사용하여 마스터 키(Master Key)를 계산한다. 그리고 RSNA 보안 구조는 상기 마스터 키를 MAC에 적합한 형태의 보안 키로 생성하여 매체 접근 제어 S/W 관리부(416)로 전달한다.
매체 접근 제어 H/W 관리부(417)는 IEEE 802.11의 TG i에서 정의하는 RSNA 인증 구조에 따르는 상위 프로토콜과 매체 접근 제어 S/W 관리부(416)로부터 생성된 보안 키를 보안 알고리즘(예를 들어, WEP, TKIP 또는 CCMP 등)에 사용하여 암호화 또는 복호화를 수행한다.
EAP 기능부(410)는 IEEE 802.1X 인증 방안을 기반으로 하는 EAP 동작을 지원한다.
EAPOL 기능부(411)는 PAE 처리부(401)로부터 802.1X Supplicant로서 동작하는 설정 정보를 수신하며, 수신한 설정 정보에 따라 IEEE 802.1X 규격에 의해 정의된 EAPOL 패킷을 생성한다. 그리고, EAPOL 기능부(411)는 외부로부터 수신한 EAPOL 패킷을 분석한 후, 분석 정보를 PAE 처리부(401)로 송신한다.
802.1X 포트 제어부(413)는 무선 단말기에 대한 인증 결과가 정상이면, 제어 포트(Controlled Port)를 통해 무선 단말기와의 데이터 송수신을 제어한다.
매체 접근 제어 S/W 관리부(416)는 RSNA 인증 및 키 생성 과정에 대한 매체 접근 제어 H/W 관리부(417)의 상호 작용을 위한 인터페이스 역할을 수행한다.
TTLS 기능부(402)와 TLS 기능부(403)는 커널 시스템(409)으로부터 수신한 EAP 패킷을 기초로 EAP-TLS 또는 EAP-TTLS 패킷을 생성하여 커널 시스템(409)으로 전달하거나, 전달한 EAP-TLS 또는 EAP-TTLS 패킷을 다시 수신하여 EAP 패킷을 추출한다.
IBSS RSNA 제어부(404)는 IBSS(Independent Basic Service Set, 이하 'IBSS' 라 함)에서의 RSNA 보안 연결을 설정하기 위해 RSNA 규격에서 정의된 키 정보 프레임 교환 과정을 수행할 수 있도록 제어한다.
EAP 기능 제어부(406)는 사용자 인터페이스(405)를 통해 수신한 EAP의 설정 정보에 따라 EAP 프로토콜을 제어한다. 즉, EAP 기능 제어부(406)는 커널 시스템(409)에서 생성된 EAP 패킷을 수신한 후, 수신한 EAP 패킷에 TLS 또는 TTLS를 적용하는지 판단한다. 그리고, 판단 결과에 따라 해당 프로토콜 기능부로 EAP 패킷을 전달한다.
사용자 인터페이스(405)는 사용자 요구 사항을 전달한다.
PAE 처리부(401)는 RSNA 인증 구조에서 정의하는 요청자 PAE(Supplicant Port Access Entity : 포트 접근 단위) 역할을 수행한다.
4-WAY HS 제어부(407)는 IEEE 802.11의 TG i에서 제안하는 키 생성을 위한 키 정보 관리 및 프레임 송수신 방안을 제어하며, 사용자 인터페이스(405)를 통해 인증자 또는 요청자 시스템이 갖는 RSNA 인증 구조 정보를 수신한다.
그리고, 4-WAY HS 제어부(407)는 4-WAY 키 교환 과정이 수행되는 절차에 따 라, 수신한 RSNA 인증 정보를 기초로 EAPOL-Key 프레임 처리부(412)에서 EAPOL-Key 프레임을 생성할 수 있도록 관리 정보를 전달한다. 또한, 4-WAY HS 제어부(407)는 EAPOL-Key 프레임 처리부(412)로부터 수신한 EAPOL-Key 프레임 정보를 저장 및 유지한다.
GroupKey HS 제어부(408)는 IEEE 802.11의 TGi에서 제안하는 키 생성을 위한 키 정보 관리 및 프레임 송수신 방안을 제어하며, 사용자 인터페이스(405)를 통해 인증자 또는 요청자 시스템이 갖는 RSNA 인증 구조 정보를 수신한다. 그리고, 수신한 인증 정보를 기초로 EAPOL-Key 프레임 처리부(412)가 EAPOL-Key 프레임을 생성할 수 있도록 관리 정보를 전달하며, EAPOL-Key 프레임 처리부(312)로부터 수신한 EAPOL-Key 프레임 정보를 저장 및 유지한다.
EAPOL-Key 프레임 처리부(412)는 요청자로부터 수신한 EAPOL-KEY 프레임 정보를 분석하고, EAPOL-KEY 프레임이 4-WAY HS 과정에서 교환된 프레임이면, 4-WAY HS 제어부(407)로 분석한 RSNA 인증 정보를 전달한다.
한편, EAPOL-KEY 프레임이 GroupKey 과정에서 교환된 프레임이면, EAPOL-Key 프레임 처리부(412)는 GroupKey HS 제어부(408)로 분석한 RSNA 인증 정보를 전달한다.
그리고, 4-WAY HS 제어부(407) 및 GroupKey HS 제어부(408)로부터 인증 정보를 수신하면, EAPOL-Key 프레임 처리부(412)는 갱신된 정보를 포함하는 EAPOL-KEY 프레임을 생성한다.
RSNA HS 인터페이스(414)는 매체 접근 제어 S/W 관리부(416)와 RSNA 인증 구 조 정보를 상호 교환한다. 즉, 매체 접근 제어 S/W 관리부(416)는 RSNA HS 인터페이스(414)를 통해, 사용자 인터페이스(405)를 통해 입력된 보안 키 및 키 관리 정보, RSNA 인증 구조에 의해 생성된 세션 키와 마스터 키, 그리고 키 교환 과정을 통해 교환된 EAPOL-KEY 프레임 내의 값들을 수신한다.
계층키 관리부(415)는 생성된 세션 키와 보안 키를 관리한다.
그러면, 인증자 역할에 따른 AP 장치의 동작 과정에 대해 첨부한 도면을 통해 알아본다.
도 5는 도 3에 도시한 인증자 구조의 AP(Access Point) 장치의 동작 과정을 순차적으로 도시한 흐름도이다.
도 5에 도시되어 있듯이, AP 장치(300)의 RSNA HS 인터페이스(314)는 매체 접근 제어 S/W 관리부(316)로부터 MLME-SETPROTECTION(일종의 보안 설정 프리미티브 과정)이 성공적으로 완료되었음을 의미하는 메시지를 수신(S501)하며, 802.1X Authenticator PAE 처리부(301)는 802.1X 인증 과정을 수행한다(S502).
이후, AP 장치(300)의 802.1X Authenticator PAE 처리부(301)는 RADIUS Client 기능부(304) 및 EAP 기능 제어부(306)로부터 RADIUS/EAP 패킷 형태의 PMK를 수신(S503)하며, 커널 시스템(309) 내의 EAP 기능부(310) 및 EAPOL 기능부(311)는 EAP-Success 패킷(-IEEE 802.1X 인증의 성공적인 종료를 의미하는 패킷-)을 무선 단말기(400)로 전송한다.
그리고, EAPOL-Key 프레임 처리부(312)는 ANonce(Authenticator Nonce : 인증자 난수, 이하 'ANonce' 라 함)를 생성(S505)한 후, 생성한 ANonce를 포함한 EAPOL-Key 제1 메시지 프레임을 생성한다(S506).
이후, 802.1X Authenticator PAE 처리부(301)는 802.1X 포트 제어부(313)로부터 수신한 비제어 포트(Uncontrolled Port) 관련 정보를 수신(S507)한 후, EAPOL-Key 제1 메시지를 수신한 비제어 포트 관련 정보를 통해 매체 접근 제어부(316)로 전송한다(S508).
이후, AP 장치(300)의 EAPOL-KEY 프레임 처리부(512)는 무선 단말기(400)로부터 EAPOL-Key 제2 메시지 프레임을 수신(S509)한 후, 수신한 EAPOL-Key 제2 메시지 프레임의 재전송 카운터(Replay Counter)가 이미 갖고 있는 재전송 카운터 값과 일치하는지 판단한다(S510).
판단 결과, 재전송 카운터 값이 상호 일치하면 EAPOL-Key 프레임 처리부(312)는 ANonce와 EAPOL-Key 제2 메시지에 포함된 SNonce를 기반으로 계층 키 관리부(315)를 통해 PTK(Pairwise Transient Key, 이하 'PTK' 라 함)를 생성한다(S511). 한편, 재전송 카운터 값이 상호 일치하지 않으면, EAPOL-Key 프레임 처리부(312)는 해당 프레임을 폐기(S15)한 후, 키 생성 과정을 종료한다.
이후, AP 장치(300)의 EAPOL-KEY 프레임 처리부(312)는 EAPOL-Key 제2 메시지 프레임의 MIC 값이 옳은지를 판단(S512)한 후, 판단 결과 EAPOL-Key 제2 메시지 프레임의 MIC 값이 옳지 않으면, 해당 프레임을 폐기(S515)하고 키 생성 과정을 종료한다.
하지만, EAPOL-Key 제2 메시지 프레임의 MIC 값이 옳으면, EAPOL-KEY 프레임 처리부(312)는 다시 EAPOL-Key 메시지 2의 RSN IE(Robust Security Network Information Element : RSN 정보, 이하 'RSN IE' 라 함) 값이 무선 단말기(400)로부터 수신한 연결 요청(Association Request) 메시지로부터 얻은 RSN IE 값과 일치하는지를 판단한다(S513).
판단 결과, RSN IE 값이 상호 일치하면, EAPOL-Key 프레임 처리부(312)는 EAPOL-Key 제3 메시지를 생성(S514)하며, 802.1X Authenticator PAE 처리부(301)는 802.1X 포트 제어부(313)로부터 비제어 포트 정보를 수신(S516)한 후, EAPOL-Key 제3 메시지를 수신한 비제어 포트 정보를 통해 매체 접근 제어 S/W 관리부(316)로 전송한다(S517).
이후, AP 장치(300)의 EAPOL-KEY 프레임 처리부(312)는 무선 단말기(400)로부터 EAPOL-Key 제4 메시지 프레임을 수신(S518)하고, EAPOL-KEY 프레임 처리부(312)는 수신한 EAPOL-Key 제4 메시지 프레임의 재전송 카운터(Replay Counter) 값이 옳은지를 판단한다(S519).
판단 결과, 재전송 카운터 값이 옳지 않으면, EAPOL-Key 프레임 처리부(312)는 해당 프레임을 폐기(S515)하고 키 생성 과정을 종료한다.
한편, 재전송 카운터 값이 옳으면, EAPOL-Key 프레임 처리부(312)는 수신한 EAPOL-Key 제4 메시지 프레임에 해당하는 MIC 값을 생성(S520)한 후, 수신한 EAPOL-Key 제4 메시지의 MIC 값과 옳은지 판단한다(S521).
판단 결과, MIC 값이 옳지 않으면, EAPOL-Key 프레임 처리부(312)는 해당 프레임을 폐기(S515)하고 키 생성 과정을 계속 진행하는 반면, MIC 값이 맞다면, RSNA HS 인터페이스(314)는 앞서 생성한 PTK에 대하여 매체 접근 제어 S/W 관리부(316)로 세트키(SetKey), 즉 보안 키를 바탕으로 매체 접근 제어 S/W부 및 H/W부에서 사용 가능한 보안 키로 설정하기 위한 프리미티브 발생을 요청한다 (S522).
이후, 802.1X 포트 제어부(313)는 해당 키에 대한 설정에 따라 제어 포트(Controlled Port)에 대한 접근을 허용(S523)하며, 허용한 제어 포트를 통해 데이터 패킷에 대한 전송을 지원한다.
도 6은 도 4에 도시한 요청자 구조의 무선 단말기의 동작 과정을 순차적으로 도시한 흐름도이다.
도 6에 도시되어 있듯이, 본 발명의 실시예에 따른 무선 단말기(400)의 RSNA HS 인터페이스(414)는 매체 접근 제어부 S/W(416)로부터 MLME-SETPROTECTION이 성공적으로 완료되었음을 나타내는 메시지를 수신(S601)한 후, 이어 AP 장치(400)로부터 EAP-Success 패킷을 수신한다(S602).
이후, AP 장치(300)의 802.1X Supplicant PAE 처리부(401)는 RADIUS Client 기능부(404) 및 EAP 기능 제어부(406)로부터 수신한 EAP-Success 패킷을 분석하며, 분석 결과에 따라 IEEE 802.1X 인증 과정이 성공적으로 종료되었음을 판단한다. 그리고, 802.1X Supplicant PAE 처리부(401)는 IEEE 802.1X 인증 과정에서 생성된 세션 키를 생성한 후, 생성한 세션 키를 PMK(Primary Master Key, 이하 'PMK' 라 함)로 설정한다(S603).
이후, EAPOL-KEY 프레임 처리부(412)는 AP 장치(300)로부터 EAPOL-Key 제1 메시지 프레임을 수신(S604)하며, EAPOL-KEY 프레임 처리부(412)는 수신한 EAPOL- Key 제1 메시지 프레임에 포함된 재전송 카운터(Replay Counter)가 처음 사용되는 값인지 판단한다(S605).
판단 결과, 처음 사용되는 값이 아니면, EAPOL-Key 프레임 처리부(412)는 해당 프레임을 폐기(S811)하고 키 생성 과정을 종료한다.
한편, 재전송 카운터 값이 처음 사용한 값이면, EAPOL-Key 프레임 처리부(412)는 SNonce를 생성(S606)한 후, 생성한 SNonce와 수신한 ANonce값을 바탕으로 PTK를 생성한다(S607).
그리고, EAPOL-Key 프레임 처리부(412)는 EAPOL-Key 제2 메시지 프레임을 생성(S608)하며, 802.1X Supplicant PAE 처리부(401)는 802.1X 포트 제어부(413)로부터 비제어 포트(Uncontrolled Port) 정보를 수신(S609)한 후, EAPOL-Key 제2 메시지를 포트 정보에 따라 비제어 포트 정보를 통해 매체 접근 제어부(416)로 전송한다(S610).
무선 단말기(400)의 EAPOL-Key 프레임 처리부(412)는 AP 장치(300)로부터 EAPOL-Key 제3 메시지 프레임을 수신(S612)한 후, EAPOL-Key 프레임 처리부(412)는 수신한 EAPOL-Key 메시지 3 프레임의 재전송 카운터가 옳은지를 판단한다(S613).
판단 결과, 재전송 카운터 값이 맞으면, EAPOL-Key 프레임 처리부(412)는 ANonce와 EAPOL-Key 제1 메시지에 포함된 ANonce가 일치하는지를 판단(S614)한 후, 판단 결과 재전송 카운터 값이 옳지 않으면, 해당 프레임을 폐기(S611)하고 키 생성 과정을 종료한다.
한편, ANonce값이 일치하지 않으면, 무선 단말기(400)의 EAPOL-Key 프레임 처리부(412)는 해당 프레임을 폐기(S611)하고 키 생성 과정을 종료한다.
그리고, 판단 결과 ANonce 값이 일치하면, EAPOL-Key 프레임 처리부(412)는 EAPOL-Key 제3 메시지 프레임에서 수신한 RSN IE 값과 AP 장치(300)로부터 수신한 Beacon 프레임의 RSN IE 값이 일치하는지를 판단한다(S615).
판단 결과, RSN IE 값이 상호 일치하면 EAPOL-Key 프레임 처리부(412)는 EAPOL-Key 프레임에 해당하는 MIC 값을 생성(S616)한 후, EAPOL-Key 제3 메시지 프레임의 MIC 값이 옳은지를 판단한다(S617).
판단 결과, RSN IE 값이 일치하지 않으면, EAPOL-Key 프레임 처리부(412)는 해당 프레임을 폐기(S611)하고 키 생성 과정을 종료한다.
한편, 판단 결과 EAPOL-Key 제3 메시지 프레임의 MIC 값이 옳으면, EAPOL-Key 프레임 처리부(412)는 재전송 카운터 값을 갱신한 후, EAPOL-Key 제4 메시지 프레임을 구성한다(S618).
판단 결과, EAPOL-Key 제3 메시지 프레임의 MIC 값이 옳지 않으면, EAPOL-Key 프레임 처리부(412)는 해당 프레임을 폐기(S611)하고 키 생성 과정을 종료한다.
이후, RSNA HS 인터페이스(412)는 생성한 EAPOL-Key 제4 메시지 프레임을 매체 접근 제어부(416)로 전송(S619)한 후, PTK에 대하여 매체 접근 제어 S/W 관리부(416)로 세트 키(Set Key) 요청을 전송(S620)한다.
이후, 802.1X 포트 제어부(413)는 해당 키에 대한 설정에 따라 제어 포트에 대한 접근을 허용(S621)하며, 제어 포트를 통해 데이터 패킷에 대한 전송을 지원한 다.
이처럼, 본 발명의 실시예에 따른 무선 랜(LAN) 보안 시스템에서의 무선 장치의 암호 키 생성 시스템 및 그 방법은 IEEE 802.11 MAC 규격에 의해 선택적으로 적용할 수 있는 개방형 인증 알고리즘을 지원할 뿐만 아니라, IEEE 802.11 TG i에서 정의하는 방안에 따라 운용되는 인증 및 보안 키 생성 기능을 모두 준수한다.
그리고, 이를 통하여 RSNA 보안 구조가 적용된 기지국 장비 및 무선 단말기를 통해 보다 향상된 키 관리 및 인증 방안을 적용할 수 있는 유연한 구조와 보안이 강화된 키를 제공함으로 인한 향상된 보안을 지원할 수 있다.
도면과 발명의 상세한 설명은 단지 본 발명의 예시적인 것으로서, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
본 발명에 따른 무선 랜(LAN) 보안 시스템에서의 무선 장치의 암호 키 생성 시스템 및 그 방법은 IEEE 802.11 MAC 규격에 의해 선택적으로 적용할 수 있는 개방형 인증 알고리즘을 지원할 뿐만 아니라, IEEE 802.11 TG(Task Group) i에서 정의하는 방안에 따라 운용되는 인증 및 보안 키 생성 기능을 모두 준수한다.
그리고, 이를 통하여 RSNA 보안 구조가 적용된 기지국 장비 및 무선 단말기 를 통해 보다 향상된 키 관리 및 인증 방안을 적용할 수 있는 유연한 구조와 보안이 강화된 키를 제공함으로 인한 향상된 보안을 지원할 수 있는 효과가 있다.

Claims (17)

  1. 무선 단말기로 데이터 프레임을 전달하거나 수신하는 기지국에서의 암호 키 생성 시스템에 있어서,
    인증 서버와 인증 교환을 수행하는 RADIUS Client 기능부;
    802.1X 인증 과정을 수행하여 상기 RADIUS Client 기능부를 통해 PMK(Primary Master Key)를 수신하는 PAE 처리부;
    보안키를 사용하여 무선 데이터를 암호화하거나 복호화하는 매체 접근 제어 H/W 관리부;
    상기 무선 단말기와 EAPOL(EAP over LANs)-KEY 프레임을 교환하여 PTK(Pairwise Transient Key)를 생성하는 프레임 처리부;
    상기 프레임 처리부가 상기 EAPOL-KEY 프레임을 생성할 수 있도록 관리 정보를 상기 프레임 처리부에 전달하는 4-WAY HS 제어부;
    상기 PTK를 상기 보안키로 설정하는 RSNA HS 인터페이스; 및
    상기 보안키에 대한 설정에 따라 제어 포트에 대한 접근을 허용하여, 허용한 제어 포트를 통해 상기 무선 데이터에 대한 전송을 지원하는 포트 제어부;
    를 포함하는 무선 장치의 암호 키 생성 시스템.
  2. 제1 항에 있어서,
    상기 매체 접근 제어 H/W 관리부는,
    IEEE(Institute of Electrical and Electronics Engineers) 802.11의 TG(Task Group) i에서 정의하는 RSNA(Robust Security Network Association) 인증 규격에 따라 상기 무선 데이터를 암호화하거나 복호화하는 것을 특징으로 하는 무선 장치의 암호 키 생성 시스템.
  3. 제2 항에 있어서,
    IEEE 802.11의 TG i에서 제안하는 키 생성을 제어하며, 상기 프레임 처리부가 상기 EAPOL-Key 프레임을 생성할 수 있도록 관리 정보를 전달하는 GroupKey HS 제어부;
    상기 보안키 생성에 대해 상기 매체 접근 제어 H/W 관리부와 인터페이스를 수행하는 매체 접근 제어 S/W 관리부를 더 포함하고,
    상기 RSNA HS 인터페이스는 상기 매체 접근 제어 S/W 관리부와 RSNA 인증 정보를 상호 교환하는 무선 장치의 암호 키 생성 시스템.
  4. 제3 항에 있어서,
    IEEE 802.1X를 따르는 EAP(Extensible Authentication Protocol)를 지원하는 EAP 기능부;
    상기 PAE 처리부로부터 802.1X 인증자로서 동작하는 설정 정보를 수신하며, 상기 설정 정보에 따라 IEEE 802.1X를 따르는 EAPOL 패킷을 생성하는 EAPOL 기능부;
    외부로부터 수신한 EAP(Extensible Authentication Protocol) 설정 정보에 따라 EAP 프로토콜을 제어하는 EAP 기능 제어부;
    외부로부터 수신한 EAP 패킷을 기초로 EAP-TLS(Transport Layer Security) 또는 EAP-TTLS(Tunneled Transport Layer Security) 패킷을 생성하는 TTLS 기능부;
    외부로부터 수신한 EAP 패킷을 기초로 EAP-TLS 또는 EAP-TTLS 패킷을 생성하는 TLS 기능부; 및
    상기 무선 데이터의 암호화 또는 복호화를 위해 생성한 세션 키와 마스터 키 및 보안키를 관리하는 계층키 관리부
    를 더 포함하는 무선 장치의 암호 키 생성 시스템.
  5. 제4 항에 있어서,
    상기 매체 접근 제어 H/W 관리부는,
    상기 보안키를 사용하며, WEP(Wired Equivalent Protocol), TKIP(Temporary Key Integrity Protocol) 및 CCMP(Counter mode with CBC(Cipher-Block Chaining)-MAC(Message Authentication Code) Protocol) 중 적어도 어느 하나를 이용하여 상기 무선 데이터를 암호화하거나 복호화하는 것을 특징으로 하는 무선 장치의 암호 키 생성 시스템.
  6. 제4 항에 있어서,
    상기 EAPOL 기능부는,
    상기 생성한 EAPOL 패킷을 분석한 후, 상기 분석한 정보를 상기 PAE 처리부로 송신하여 상기 인증자인 PAE를 수행하도록 하는 것을 특징으로 하는 무선 장치의 암호 키 생성 시스템.
  7. 기지국으로부터 데이터 프레임을 전달받거나 송신하는 무선 단말기에서의 암호 키 생성 시스템에 있어서,
    802.1X 인증 과정을 수행하여 상기 기지국으로부터 PMK(Primary Master Key)를 수신하는 PAE 처리부;
    보안키를 사용하여 무선 데이터를 암호화하거나 복호화하는 매체 접근 제어 H/W 관리부;
    상기 기지국과 EAPOL(EAP over LANs)-KEY 프레임을 교환하여 PTK(Pairwise Transient Key)를 생성하는 프레임 처리부;
    IEEE 802.11의 TG i에서 제안하는 키 생성 방안을 제어하여, 상기 프레임 처리부가 상기 EAPOL-KEY 프레임을 생성할 수 있도록 관리 정보를 상기 프레임 처리부에 전달하는 4-WAY HS 제어부;
    상기 PTK를 상기 보안키로 설정하는 RSNA HS 인터페이스; 및
    상기 보안키에 대한 설정에 따라 제어 포트에 대한 접근을 허용하여, 허용한 제어 포트를 통해 상기 무선 데이터에 대한 전송을 지원하는 포트 제어부
    를 포함하는 무선 장치의 암호 키 생성 시스템.
  8. 제7 항에 있어서,
    상기 매체 접근 제어 H/W 관리부는,
    IEEE(Institute of Electrical and Electronics Engineers) 802.11의 TG(Task Group) i에서 정의하는 RSNA(Robust Security Network Association) 인증 규격에 따라 상기 무선 데이터를 암호화하거나 복호화하는 것을 특징으로 하는 무선 장치의 암호 키 생성 시스템.
  9. 제8 항에 있어서,
    IEEE 802.11의 TG i에서 제안하는 키 생성을 제어하며, RSNA 인증 정보를 기초로 상기 프레임 처리부가 EAPOL-Key 프레임을 생성할 수 있도록 관리 정보를 전달하는 GroupKey HS 제어부; 및
    RSNA 인증 및 키 생성에 대해 상기 매체 접근 제어 H/W 관리부와 인터페이스를 수행하는 매체 접근 제어 S/W 관리부를 더 포함하고,
    상기 RSNA HS 인터페이스는 상기 매체 접근 제어 S/W 관리부와 RSNA 인증 정보를 상호 교환하는 무선 장치의 암호 키 생성 시스템.
  10. 제9 항에 있어서,
    IEEE 802.1X를 따르는 EAP(Extensible Authentication Protocol)를 지원하는 EAP 기능부;
    상기 PAE 처리부로부터 요청자로 동작하기 위한 설정 정보를 수신하며, 상기 수신한 설정 정보에 따라 IEEE 802.1X를 따르는 EAPOL 패킷을 생성하는 EAPOL 기능부;
    외부로부터 수신한 EAP(Extensible Authentication Protocol) 설정 정보에 따라 EAP 프로토콜을 제어하는 EAP 기능 제어부;
    외부로부터 수신한 EAP 패킷을 기초로 EAP-TLS(Transport Layer Security) 또는 EAP-TTLS(Tunneled Transport Layer Security) 패킷을 생성하는 TTLS 기능부;
    외부로부터 수신한 EAP 패킷을 기초로 EAP-TLS 또는 EAP-TTLS 패킷을 생성하는 TLS 기능부; 및
    무선 데이터의 암호화 또는 복호화를 위해 생성된 세션키, 마스터키 및 보안키를 관리하는 계층키 관리부
    를 더 포함하는 무선 장치의 암호 키 생성 시스템.
  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
KR1020030092318A 2003-12-17 2003-12-17 무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템 KR100599199B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030092318A KR100599199B1 (ko) 2003-12-17 2003-12-17 무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030092318A KR100599199B1 (ko) 2003-12-17 2003-12-17 무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템

Publications (2)

Publication Number Publication Date
KR20050060636A KR20050060636A (ko) 2005-06-22
KR100599199B1 true KR100599199B1 (ko) 2006-07-12

Family

ID=37253320

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030092318A KR100599199B1 (ko) 2003-12-17 2003-12-17 무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템

Country Status (1)

Country Link
KR (1) KR100599199B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8386772B2 (en) 2006-09-06 2013-02-26 Huawei Technologies Co., Ltd. Method for generating SAK, method for realizing MAC security, and network device

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101248906B1 (ko) * 2005-05-27 2013-03-28 삼성전자주식회사 무선 랜에서의 키 교환 방법
KR101137340B1 (ko) 2005-10-18 2012-04-19 엘지전자 주식회사 릴레이 스테이션의 보안 제공 방법
KR100739809B1 (ko) * 2006-08-09 2007-07-13 삼성전자주식회사 Wpa-psk 환경의 무선 네트워크에서 스테이션을관리하는 방법 및 이를 위한 장치
KR100968523B1 (ko) * 2008-01-24 2010-07-08 성균관대학교산학협력단 세션키 분배 방법, 단말 및 그 방법을 실행하는 프로그램이기록된 기록매체
SG10201509342WA (en) 2015-11-12 2017-06-29 Huawei Int Pte Ltd Method and system for session key generation with diffie-hellman procedure
CN113163395A (zh) * 2020-01-07 2021-07-23 阿里巴巴集团控股有限公司 一种终端与服务器通信、密钥配置的方法和装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8386772B2 (en) 2006-09-06 2013-02-26 Huawei Technologies Co., Ltd. Method for generating SAK, method for realizing MAC security, and network device

Also Published As

Publication number Publication date
KR20050060636A (ko) 2005-06-22

Similar Documents

Publication Publication Date Title
US8000478B2 (en) Key handshaking method and system for wireless local area networks
JP4897215B2 (ja) 通信システムにおけるキー発生方法及び装置
US7461253B2 (en) Method and apparatus for providing a key for secure communications
US8838972B2 (en) Exchange of key material
EP1484856B1 (en) Method for distributing encryption keys in wireless lan
US7676676B2 (en) Method and apparatus for performing mutual authentication within a network
EP1955511B1 (en) Method and system for automated and secure provisioning of service access credentials for on-line services
US7793103B2 (en) Ad-hoc network key management
JP3702812B2 (ja) 無線lanシステムにおける認証方法と認証装置
US9392453B2 (en) Authentication
CN105553981B (zh) 一种wlan网络快速认证和密钥协商方法
CN101300809A (zh) 用于使用直接链路建立(dls)协议在无线网络站点之间建立安全直接链路的方法、系统和可读介质
US20100161958A1 (en) Device for Realizing Security Function in Mac of Portable Internet System and Authentication Method Using the Device
WO2023020164A1 (zh) 管理通信信道的方法和装置
JP4550759B2 (ja) 通信システム及び通信装置
KR100599199B1 (ko) 무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템
Yang et al. An improved security scheme in WMAN based on IEEE standard 802.16
Badra et al. Flexible and fast security solution for wireless LAN
KR100924315B1 (ko) 보안성이 강화된 무선랜 인증 시스템 및 그 방법
JP2020120407A (ja) 無線通信システム、サーバ、端末、無線通信方法、および、プログラム
CN115037504A (zh) 通信方法及装置
KR20100034461A (ko) 통신 네트워크에서 인증 방법 및 시스템
Aboudagga et al. Wireless Security and Roaming Overview
Fout et al. Wireless 802.11 Security with Windows XP
LaRosa A Meetinghouse Whitepaper

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee