KR100612255B1 - 무선 네트워크 시스템에서의 데이터 보안장치 및 그 방법 - Google Patents

무선 네트워크 시스템에서의 데이터 보안장치 및 그 방법 Download PDF

Info

Publication number
KR100612255B1
KR100612255B1 KR1020050002649A KR20050002649A KR100612255B1 KR 100612255 B1 KR100612255 B1 KR 100612255B1 KR 1020050002649 A KR1020050002649 A KR 1020050002649A KR 20050002649 A KR20050002649 A KR 20050002649A KR 100612255 B1 KR100612255 B1 KR 100612255B1
Authority
KR
South Korea
Prior art keywords
information
encryption
frame
wireless network
unit
Prior art date
Application number
KR1020050002649A
Other languages
English (en)
Other versions
KR20060081961A (ko
Inventor
이상국
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020050002649A priority Critical patent/KR100612255B1/ko
Priority to EP06000290A priority patent/EP1679852A3/en
Priority to CN2006100036206A priority patent/CN1805333B/zh
Priority to US11/327,347 priority patent/US7876897B2/en
Publication of KR20060081961A publication Critical patent/KR20060081961A/ko
Application granted granted Critical
Publication of KR100612255B1 publication Critical patent/KR100612255B1/ko

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F25REFRIGERATION OR COOLING; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS; MANUFACTURE OR STORAGE OF ICE; LIQUEFACTION SOLIDIFICATION OF GASES
    • F25DREFRIGERATORS; COLD ROOMS; ICE-BOXES; COOLING OR FREEZING APPARATUS NOT OTHERWISE PROVIDED FOR
    • F25D17/00Arrangements for circulating cooling fluids; Arrangements for circulating gas, e.g. air, within refrigerated spaces
    • F25D17/04Arrangements for circulating cooling fluids; Arrangements for circulating gas, e.g. air, within refrigerated spaces for circulating air, e.g. by convection
    • F25D17/06Arrangements for circulating cooling fluids; Arrangements for circulating gas, e.g. air, within refrigerated spaces for circulating air, e.g. by convection by forced circulation
    • F25D17/08Arrangements for circulating cooling fluids; Arrangements for circulating gas, e.g. air, within refrigerated spaces for circulating air, e.g. by convection by forced circulation using ducts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F25REFRIGERATION OR COOLING; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS; MANUFACTURE OR STORAGE OF ICE; LIQUEFACTION SOLIDIFICATION OF GASES
    • F25DREFRIGERATORS; COLD ROOMS; ICE-BOXES; COOLING OR FREEZING APPARATUS NOT OTHERWISE PROVIDED FOR
    • F25D2300/00Special arrangements or features for refrigerators; cold rooms; ice-boxes; Cooling or freezing apparatus not covered by any other subclass

Abstract

본 발명은 무선네트워크 시스템에서의 데이터 보호에 관한 것으로, 무선네트워크시스템에서 전송되는 프레임의 MAC(Medium Address Control)헤더 뿐만 아니라 페이로드(Payload)까지 암호화하고, 이와 아울러 프레임의 암호화에 사용되는 초기벡터를 설정된 상태마다 변화시켜 프레임의 암호화를 수행함으로써, 무선을 통하여 전송되는 데이터가 권한 없는 사용자에게 노출되지 않도록 한 무선네트워크 시스템에서의 데이터 보안장치 및 그 방법을 제안한다.
무선네트워크, 암호화/복호화, 초기벡터(Initialization Vector)

Description

무선 네트워크 시스템에서의 데이터 보안장치 및 그 방법{APPARATUS AND METHOD FOR DATA SECURITY IN WIRELESS NETWORK SYSTEM}
도 1은 본 발명이 적용되는 무선네트워크 시스템의 일 실시예를 나타낸 도면.
도 2는 본 발명이 적용되는 무선네트워크 시스템에서의 데이터 보안방법에 대한 절차 흐름을 나타낸 도면.
도 3은 본 발명을 수행하는 과정에서 발생되는 프레임의 일 예를 나타낸 도면.
<도면의 주요 부분에 대한 부호의 설명>
100, 110 : 무선단말 102, 154 : 제어부
102a, 154a : 저장부 104, 156 : 암호화/복호화 처리부
106, 152 : 전송부 150 : 액세스 포인트
본 발명은 무선 네트워크 시스템에서의 데이터 보안에 관한 것으로, 무선 네 트워크 시스템에서 전송되는 프레임의 MAC(Medium Address Control)헤더 뿐만 아니라 페이로드(Payload)까지 암호화하고, 이와 아울러 프레임의 암호화에 사용되는 초기벡터(Initialization Vector; 이하, "IV"라 칭한다)를 설정된 상태마다 변화시켜 프레임의 암호화를 수행함으로써 데이터를 보호하는 무선네트워크 시스템에서의 데이터 보안장치 및 그 방법에 관한 것이다.
일반적으로 개인용 컴퓨터(Personal Computer), 개인정보 단말기, 노트북 컴퓨터 등과 같은 단말은 근거리 통신망(Local Area Network;이하, "LAN"이라 칭한다)에 접속되어 서로간에 여러 종류의 데이터 또는 정보를 공유하고 있다.
이러한 LAN 시스템은 단말의 장소 이동 가능유무에 따라 유선 LAN 시스템과 무선 LAN 시스템으로 구분될 수 있다.
유선 LAN 시스템은 케이블을 통하여 고정된 장소에서 정보 및 자원을 공유하는데, 유선으로 연결되어 있기 때문에 장소이동이 불편하고, 설치 시 전문적인 케이블 작업이 필요하다. 또한, 유선 LAN 시스템은 유지보수에 오랜 시간이 걸리게 되어 업무에 장애를 받는 등 불편한 점이 많다.
무선 LAN 시스템은 전파(Radio Frequency) 또는 광(Optical) 등을 이용하여 단말간의 통신을 무선매체를 통하여 수행하는 시스템을 말한다. 이러한 무선 LAN 시스템은 최근 인터넷 서비스와 무선통신기술의 급격한 발전에 힘입어 개발된 것으로서, 이는 빌딩간의 네트워크 접속이나 대형사무실 또는 물류센터와 같이 유선 네트워크 구축이 용이하지 않은 장소에 설치되고, 유지 및 보수의 간편함으로 인하여 그 이용이 급증하고 있다.
이러한 무선 LAN 시스템은 액세스 포인트(Access Point)와 단말(Station)로 이루어진다. 액세스 포인트는 전송거리 이내의 무선 LAN 사용자들이 인터넷 접속 및 네트워크를 이용할 수 있도록 전파를 보내는 장비로서 휴대폰의 기지국 또는 유선 네트워크의 허브와 같은 역할을 한다. ISP(Internet Service Provider)에서 제공하는 무선초고속인터넷 서비스 역시 서비스 지역 내에 액세스 포인트라는 장비가 이미 설치되어 있다.
단말은 무선네트워크 통신을 수행하기 위해서 무선 LAN 카드를 장착하고 있어야 하며, PC(노트북 포함) 또는 PDA와 같은 단말기 등이 있다.
오늘날 가장 많이 사용되는 무선 LAN 표준은 IEEE 802.11인데, "Standard for Information technology-Telecommunications and information exchange between systems-Local and metropolitan area networks-Specific requirements-Parts 11 Wireless LAN Medium Access Control (MAC) and Physical Layer(PHY) Specifications" 1999 Edition을 따르고 있다.
IEEE 802.11 표준에서 제시되는 네트워크의 기본 구성 블록은 기본 서비스 셋(Basic Service Set; 이하, "BSS"라 칭한다)이다. IEEE 802.11 네트워크에는 BSS 내에 있는 단말들간에 서로 직접 통신을 수행하는 독립 BSS(Independent BSS)와, BSS 내의 단말이 BSS 내외의 단말과 통신을 수행하는 과정에서 액세스 포인트가 개입되는 인프라스트럭처 BSS(Infrastructure BSS)와, BSS와 BSS를 연결함으로써 서비스 영역을 확장시키는 확장 서비스 셋(Extended Service Set)이 있다.
이러한 무선 LAN 시스템은 전파를 사용하여 통신을 한다는 특성 때문에 여러 가지의 보안상 약점을 가지고 있다.
먼저 권한 없는 사용자가 네트워크 자원을 사용하기 쉽다는 것이다. 유선 LAN 시스템에 접근하여 네트워크 자원을 사용하기 위해서는 네트워크에 물리적으로 접근하여야 했다. 이에 대한 예로, 유선 LAN 시스템을 사용하기 위해서 유선 LAN 시스템이 구축되어 있는 사무실이나 건물로 들어가야 하고, 이러한 이유로 권한 없는 사용자가 네트워크 자원을 사용하기 어려웠다. 그러나 무선 LAN 시스템의 경우에는 네트워크 자원에 접근하기 위해서 사용자의 단말에서 나오는 전파가 액세스 포인트에 다다를 수 있기만 하면 된다. 전파는 벽이나 천장, 바닥을 관통하기 때문에 실제로 권한 없는 사용자가 들키지 않고 네트워크 자원을 사용할 수 있게 된다. 따라서 무선 LAN 시스템에서는 허가받은 사용자만이 네트워크 자원을 사용할 수 있도록 하는 인증 메커니즘이 필요하게 되는 것이다.
또한, 유선 LAN 시스템 환경에서 송신자의 단말에서 수신자의 단말로 전송된 데이터는 정해진 매체를 통하여 전송되기 때문에 권한 없는 사용자에게 노출될 위험이 적지만, 무선 LAN 시스템 환경에서는 데이터를 전파에 실어서 전송하기 때문에 전파가 도달하는 곳의 권한 없는 사용자에게 노출될 위험이 많다. 따라서, 무선 LAN 시스템 환경에서는 권한 없는 사용자에게 데이터가 노출되지 않도록 데이터를 암호화 할 수 있는 메커니즘이 필요하게 되는 것이다.
이러한 무선 LAN 시스템의 보안을 위해 지원되고 있는 것이 접근제어와 데이터의 기밀성 지원이다. 접근제어는 사용자 인증을 통해서 이루어지는데, 크게 3가 지 방법이 있다. 이에 대해서 살펴보면, 첫째, 허가받은 사용자와 액세스 포인트가 동일한 공유키를 보유하여 접속요청 시 공유 키 인증방식을 사용하는 방법과, 둘째, 허가받은 사용자의 단말에 장착된 무선 LAN 카드의 MAC(Medium Access Control) 주소를 액세스 포인트에 직접 입력시키는 방법과, 사용자가 자신의 인증정보를 가지고 인증서버와 인증절차를 수행하는 IEEE 802.11x 인증방법이다.
한편, 데이터의 기밀성에 대한 지원은 유선 등가 프라이버시(Wired Equivalent Privacy; 이하, "WEP"라 칭한다) 알고리즘을 사용하여 지원되는데, 사용되는 키 길이는 40비트 또는 104비트이다.
또한, IEEE 802.11i 규격은 IEEE 802.11 무선 LAN 시스템이 가지는 무선구간 보안의 취약점을 해결하고자 IEEE 802.1x/1aa 기반 접근제어, 보안 세션 관리, 동적인 키 교환 및 키 관리, 그리고 무선구간 데이터 보호를 위한 새로운 대칭 키 암호 알고리즘의 적용을 규정하고 있다. 다시 정리하면, IEEE 802.11x/1aa 규격이 사용자 인증과 키 교환의 틀을 규정하고 있는 반면, IEEE 802.11i 규격은 사용자 인증과 키 교환의 큰 틀로서 IEEE 802.1x/1aa를 사용할 수 있다고 규정하고 있으며, 더 나아가 구체적인 키 교환방식인 4단계 핸드셰이크(4-way handshake)방식, 교환된 키의 계층적 사용구조(key hierarchy), 그리고 새로운 무선구간 암호 알고리즘(cipher suites)의 정의를 포함하고 있다.
이러한 보안 알고리즘에서 데이터를 암호화(Encryption)/복호화(Decryption)하는 과정에 키(key)가 사용되게 된다. 데이터의 암호화/복호화를 위한 키는 IEEE 802.1x 표준에서 규정된 바와 같이 PSK(Pre-Shared Key) 방식에 의해 부여되는 방 법과 인증서버를 통하여 부여받는 방법이 있다.
이때, 단말과 액세스 포인트에 부여되는 키에는 두 가지 종류가 있게 되는데, 단말과 액세스 포인트 각각을 구별하기 위한 페어 와이즈 키(Pair-wise key)와 액세스 포인트의 서비스 영역 내에 위치한 단말들과 액세스 포인트들이 공유하기 위해 브로드캐스팅(broadcasting)되는 그룹 키(Group key)이다.
이렇게 부여된 키 또는 키와 IV의 조합을 이용하여 단말과 액세스 포인트간 또는 단말과 단말간에 데이터를 암호화하거나 복호화 하게 된다. IV의 이용은 데이터의 암호화를 다이내믹(dynamic)하게 할 수 있다.
단말과 액세스 포인트간 그리고 단말과 단말간에 공유된 키 또는 공유된 키와 IV의 조합에 의한 암호화는 데이터를 전송하기 위한 단위의 프레임 중 페이로드(payload)에만 이루어지게 되고, 단말과 네트워크에 대한 정보를 포함하고 있는 MAC 헤더부분에 대해서는 이루어지지 않게 된다. 다시 말해서, 데이터를 전송에 이용되는 프레임의 MAC 헤더부분에 포함되는 IV는 암호화되지 않고 평문(plain text) 형태로 전송이 이루어지게 되는 것이다. 따라서, 액세스 포인트의 서비스 지역에 위치한 임의의 단말들에게 해당 정보가 노출될 수 있으므로 해킹(hacking)의 위험이 높아지게 되는 것이다.
이를 개선하기 하기 위해서 데이터 링크 계층이하에서 암호화를 수행하는 노력이 이루어지고 있다. 다시 말해서, 프레임의 MAC 헤더까지 암호화를 수행함으로써 프레임의 불투명도(invisibility)를 높이려는 노력이 이루어지고 있다. 이를 물 리계층 암호화(Physical layer encryption)이라 칭하기로 한다.
그런데, 물리계층 암호화에는 IV를 이용하지 않고 고정된 키 시퀀스만 사용하므로 액세스 포인트의 서비스 지역 내에 위치한 임의의 단말이 고정된 키 시퀀스에 대해서 알고 있는 경우에 전송되는 프레임이 노출될 수 있어서 보안의 효용성이 떨어지게 된다.
따라서, 본 발명은 상기와 같은 문제점을 해결하기 위하여 창안된 것으로, 물리계층 암호화를 적용하면서도 IV 값을 설정된 상태마다 변화시켜 동적인 암호화를 수행함으로써 데이터를 해킹으로부터 보호하도록 한 무선네트워크 시스템에서의 데이터 보안장치 및 그 방법을 제공하는 것에 그 목적이 있다.
상기 목적을 달성하기 위한 본 발명의 일 측면에 따른 무선네트워크 시스템에서의 데이터 보안장치는, 무선네트워크로 전송될 프레임을 인크립션(encryption)하기 위한 암호화/복호화 키 정보의 변경상태정보에 따라 암호화/복호화 키 정보를 변경하고, 상기 암호화/복호화 키 정보를 변경한 후에 프레임 전송요청에 따라 변경된 암호화/복호화 키 정보를 이용하여 해당 프레임을 소정 암호알고리즘에 따라 인크립션하여 무선네트워크로 전송하는 유닛을 포함한다.
상기 변경상태정보는, 설정된 시간정보, 무선네트워크에 전송하기 위한 프레 임의 발생 수 정보 중 어느 하나일 수 있다.
상기 암호화/복호화 키 정보는, 상기 무선네트워크상에서 전송되는 프레임의 보호를 위해, 상기 유닛과 상기 유닛 이외의 적어도 하나 이상의 타 유닛간에 서로 공유되도록 설정된 그룹 키(Group key) 정보와 상기 유닛 및 상기 유닛 이외의 적어도 하나 이상의 타 유닛 각각에 설정된 페어 와이즈 키(Pair-wise key) 정보, 상기 유닛이 난수발생 기능을 이용하여 발생한 초기벡터(Initial Vector)정보와 상기 그룹 키 정보의 결합에 의한 정보, 초기벡터정보와 상기 유닛 및 타 유닛 각각에 설정된 페어 와이즈 키 정보의 결합에 의한 정보 중 어느 하나일 수 있다.
상기 초기벡터정보는, 상기 암호화/복호화 키 정보의 변경상태정보에 해당되는 경우에 변경될 수 있다.
상기 유닛은, 상기 암호화/복호화 키 정보, 초기벡터 정보, 상기 암호화/복호화 키의 변경상태정보 중 어느 하나를 저장하고 있는 저장부를 포함하는 것이 바람직하다.
상기 초기벡터정보는, 상기 무선네트워크에 최초로 프레임이 전송되는 경우에 발생된 초기벡터정보, 상기 암호화/복호화 키의 변경상태정보에 해당되어 변경된 초기벡터정보 중 어느 하나일 수 있다.
상기 유닛은, 무선네트워크로 최초 프레임을 전송하는 경우에 최초로 전송되는 프레임에 난수 발생 기능에 의해 생성된 초기벡터를 포함하여 암호화/복호화 키 정보를 이용하여 상기 암호화 알고리즘에 따라 인크립션하고, 상기 암호화/복호화 키의 변경상태정보에 해당되어 변경된 초기벡터를 프레임에 포함시켜 변경되기 전 의 초기벡터정보와 암호화/복호화 키 정보를 이용하여 상기 암호화알고리즘에 따라 인크립션할 수 있다.
상기 암호알고리즘은, WEP(Wired Equivalent Privacy)알고리즘, CCMP(Counter Mode-CBC MAC Protocol)알고리즘 중 어느 하나 일 수 있다.
상기 유닛은, 상기 무선네트워크로부터 전송된 프레임을 암호화/복호화 키 정보로 디크립션(decryption)하고 디크립션된 프레임에 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 초기벡터정보를 저장부에 저장하고, 상기 초기벡터정보를 저장부에 저장한 후에 상기 무선네트워크로부터 전송된 프레임을 암호화/복호화 키 정보 및 상기 저장부에 저장된 초기벡터정보를 이용하여 디크립션하고 디크립션된 프레임에 상기 저장부에 저장된 초기벡터정보와 다른 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 다른 초기벡터정보를 저장부에 저장하고, 상기 저장부에 다른 초기벡터정보를 저장한 이후에 상기 무선네트워크로부터 전송된 프레임을 암호화/복호화 키 정보 및 다른 초기벡터정보를 이용하여 디크립션한다.
반면, 본 발명에 따른 무선네트워크 시스템에서의 데이터 보안장치의 다른 측면에 따르면, 무선네트워크로 전송될 프레임을 인크립션(encryption)하기 위한 암호화/복호화 키 정보의 변경상태정보에 따라 암호화/복호화 키 정보를 변경하고, 상기 암호화/복호화 키 정보를 변경한 후에 프레임 전송요청에 따라 변경된 암호화/복호화 키 정보를 이용하여 해당 프레임의 MAC(Medium Access Control)헤더부분과 페이로드(Payload)부분을 소정 암호알고리즘에 따라 선택적으로 인크립션하여 무선네트워크로 전송하는 유닛을 포함한다.
상기 본 발명의 다른 측면에 따른 데이터 보안장치에서, 상기 유닛은, 무선네트워크로 최초 프레임을 전송하는 경우에 최초로 전송되는 프레임에 난수 발생 기능에 의해 생성된 초기벡터를 포함하여 암호화/복호화 키 정보를 이용하여 최초 프레임의 MAC헤더부분과 페이로드 부분을 선택적으로 상기 암호화 알고리즘에 따라 인크립션하고, 상기 암호화/복호화 키의 변경상태정보에 해당되어 변경된 초기벡터를 프레임에 포함시켜 변경되기 전의 초기벡터정보와 암호화/복호화 키 정보를 이용하여 프레임의 MAC헤더부분과 페이로드 부분을 선택적으로 상기 암호화알고리즘에 따라 인크립션 처리한다.
상기 본 발명의 다른 측면에 따른 데이터 보안장치에서, 상기 유닛은, 상기 무선네트워크로부터 전송된 프레임의 MAC헤더부분과 페이로드 부분을 암호화/복호화 키 정보로 선택적으로 디크립션(decryption)하고 디크립션된 프레임에 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 초기벡터정보를 저장부에 저장하고, 상기 초기벡터정보를 저장부에 저장한 후에 상기 무선네트워크로부터 전송된 프레임의 MAC헤더부분과 페이로드 부분을 암호화/복호화 키 정보 및 상기 저장부에 저장된 초기벡터정보를 이용하여 선택적으로 디크립션하고 디크립션된 프레임에 상기 저장부에 저장된 초기벡터정보와 다른 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 다른 초기벡터정보를 저장부에 저장하고, 상기 저장부에 다른 초기벡터정보를 저장한 이후에 상기 무선네트워크로부터 전송된 프 레임의 MAC헤더부분과 페이로드 부분을 암호화/복호화 키 정보 및 다른 초기벡터정보를 이용하여 선택적으로 디크립션 처리한다.
한편, 본 발명에 따른 적어도 하나 이상의 유닛을 포함한 무선네트워크 시스템에서 유닛의 데이터 보안방법의 일 측면에 따르면, 무선네트워크로 전송될 프레임을 인크립션(encryption)하기 위한 암호화/복호화 키 정보의 변경상태정보에 따라 암호화/복호화 키 정보를 변경하는 단계, 상기 암호화/복호화 키 정보를 변경한 후에 프레임 전송요청에 따라 변경된 암호화/복호화 키 정보를 이용하여 해당 프레임을 소정 암호알고리즘에 따라 인크립션하여 무선네트워크로 전송하는 단계를 포함한다.
상기 본 발명의 일 측면에 따른 데이터 보안방법은, 상기 무선네트워크로부터 전송된 프레임을 암호화/복호화 키 정보로 디크립션(decryption)하고 디크립션된 프레임에 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 초기벡터정보를 데이터베이스에 저장하는 단계, 상기 초기벡터정보를 데이터베이스에 저장한 후에 상기 무선네트워크로부터 전송된 프레임을 암호화/복호화 키 정보 및 상기 데이터베이스에 저장된 초기벡터정보를 이용하여 디크립션하는 단계, 디크립션된 프레임에 상기 데이터베이스에 저장된 초기벡터정보와 다른 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 다른 초기벡터정보를 데이터베이스에 저장하는 단계, 상기 데이터베이스에 다른 초기벡터정보를 저장한 이후에 상기 무선네트워크로부터 전송된 프레임을 암호화/복호화 키 정보 및 다른 초기벡터 정보를 이용하여 디크립션하는 단계를 더 포함하는 것이 바람직하다.
반면, 본 발명에 따른 적어도 하나 이상의 유닛을 포함한 무선네트워크 시스템에서 유닛의 데이터 보안방법의 다른 측면에 따르면, 무선네트워크로 전송될 프레임을 인크립션(encryption)하기 위한 암호화/복호화 키 정보의 변경상태정보에 따라 암호화/복호화 키 정보를 변경하는 단계, 상기 암호화/복호화 키 정보를 변경한 후에 프레임 전송요청에 따라 변경된 암호화/복호화 키 정보를 이용하여 해당 프레임의 MAC(Medium Access Control)헤더부분과 페이로드(Payload)부분을 소정 암호알고리즘에 따라 선택적으로 인크립션하여 무선네트워크로 전송하는 단계를 포함한다.
상기 본 발명의 다른 측면에 따른 데이터 보안방법은, 상기 무선네트워크로부터 전송된 프레임의 MAC헤더부분과 페이로드 부분을 암호화/복호화 키 정보로 선택적으로 디크립션(decryption)하고 디크립션된 프레임에 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 초기벡터정보를 데이터베이스에 저장하는 단계, 상기 초기벡터정보를 데이터베이스에 저장한 후에 상기 무선네트워크로부터 전송된 프레임의 MAC헤더부분과 페이로드 부분을 암호화/복호화 키 정보 및 상기 저장부에 저장된 초기벡터정보를 이용하여 선택적으로 디크립션하는 단계, 디크립션된 프레임에 상기 데이터베이스에 저장된 초기벡터정보와 다른 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 다른 초기벡터정보를 데이터베이스에 저장하는 단계, 상기 데이터베이스에 다른 초기벡터정보를 저장한 이후에 상 기 무선네트워크로부터 전송된 프레임의 MAC헤더부분과 페이로드 부분을 암호화/복호화 키 정보 및 다른 초기벡터정보를 이용하여 선택적으로 디크립션하는 단계를 더 포함하는 것이 바람직하다.
이하 본 발명에 따른 무선네트워크 시스템에서의 데이터 보안장치 및 그 방법을 첨부한 도면을 참조하여 상세히 설명한다.
도 1은 본 발명이 적용되는 무선 네트워크 시스템의 일 실시예를 나타낸 도면이다.
도 1에 도시된 바와 같이, 본 발명이 적용되는 무선 네트워크 시스템은, 적어도 하나 이상의 무선단말(100, 110)과 액세스 포인트(150)를 포함한 무선 LAN 시스템이다. 즉, 무선 LAN 시스템을 구성하는 액세스 포인트(150)의 서비스 지역 내에 적어도 하나 이상의 무선단말(100, 110)이 위치해 있다. 그리고 액세스 포인트(150)는 유선 네트워크에 연결되어 외부 네트워크와의 통신을 수행할 수 있다.
무선단말(100, 110)은 동일한 구성을 가지므로 무선단말(100)을 기준으로 하여 무선단말에 대한 구성을 설명하기로 한다. 이에 앞서, 무선단말(100), 무선단말(110), 그리고 액세스 포인트(150) 각각에는 데이터의 암호화/복호화를 위한 동일한 키가 설정되어 있는 것으로 한다. 데이터의 암호화/복호화를 위한 키는 IEEE 802.11x에서 규정된 바와 같이 PSK(Pre-Shared Key) 방식에 의한 방법과 인증서버를 통하여 설정되는 방법에 의해서 부여될 수 있다. 그리고, 데이터의 암호화/복호화를 위한 키에는 단말과 액세스 포인트 각각을 구별하기 위한 페어 와이즈 키 (Pair-wise key)와 액세스 포인트의 서비스 영역 내에 위치한 무선단말들과 액세스 포인트들이 공유하기 위해 브로드캐스팅(broadcasting)되는 그룹 키(Group key)의 두 종류가 있을 수 있다. 다시 말해서, 무선단말(100), 무선단말(110), 그리고 액세스 포인트(150) 각각에는 데이터의 암호화/복호화를 위한 자신 고유의 페이 와이즈 키와 서로간에 공유하는 그룹 키가 설정되어 있는데, 무선단말(100), 무선단말(110), 액세스 포인트(150) 각각의 제어부에 설정되어 있는 것으로 한다.
이러한 액세스 포인트(150)의 서비스 영역 내에서 데이터 전송은 액세스 포인트(150)에서 각 무선단말(100, 110)로 이루어질 수 있고, 무선단말(100)에서 무선단말(110) 및 액세스 포인트(150)로 이루어질 수 있고, 무선단말(110)에서 무선단말(100) 및 액세스 포인트(150)로 이루어질 수 있다.
이하에서는 액세스 포인트(150)의 서비스 영역 내에서 데이터 전송이 무선단말(100)에서 액세스 포인트(150)로 이루어지는 것으로 하여 본 발명을 설명하기로 한다.
무선단말(100) 내의 제어부(102)는 데이터의 암호화/복호화를 위한 키의 설정이 이루어진 후에 난수 발생(Random Number Generation) 기능을 통하여 IV를 생성하여 저장부(102a)에 저장한다.
이후, 제어부(102)는 임의의 데이터에 대해 액세스 포인트(150)로의 전송 요청이 있는 경우에 해당 데이터를 페이로드(payload)에 포함시키고, 저장부(102a)에 저장된 IV를 MAC 헤더에 포함시켜 프레임을 발생하여 암호화/복호화 처리부(104)에 제공한다. 여기서, MAC 헤더에는 무선단말(100)에 설정된 IV와 무선단말(100)의 물 리주소인 즉, 송신 MAC 주소와 액세스 포인트(150)의 물리주소인 즉, 수신 MAC 주소가 포함되어 있을 수 있다. 여기서, 암호화/복호화를 위한 키 설정 시에 무선단말(100, 110), 액세스 포인트(150)에 대한 각각의 고유IV가 설정되고, 고유 IV에 대응되는 페어 와이즈 키 정보를 포함하는 제1테이블과 MAC 어드레스에 대응되는 페어 와이즈 키 정보를 포함하는 제2테이블이 생성되어 무선단말(100, 110)과 액세스 포인트(150)에 공유된다.
이에 암호화/복호화 처리부(104)는 제어부(102)에서 제공된 프레임 전체에 대하여 설정된 키를 이용하여 소정 암호화 알고리즘에 따라 암호화를 수행하게 된다. 여기서, 프레임 전체를 설정된 키를 이용하여 암호화하기 위한 암호화 알고리즘은 WEP(Wired Equivalent Privacy) 알고리즘과 CCMP(Counter Mode-CBC MAC Protocol)알고리즘이 해당될 수 있다.
암호화/복호화 처리부(104)에서 소정 암호화 알고리즘에 따라 설정된 키를 이용하여 프레임 전체를 암호화가 이루어지는 것에 대해서 좀 더 상세히 살펴보기로 한다. 여기서, 설정된 키는 그룹 키와 페어 와이즈 키일 수 있다.
프레임에 대한 암호화는 그룹 키만을 가지고서 이루어지는 경우와 그룹 키 및 페어 와이즈 키를 이용하여 이루어지는 경우가 있다.
먼저, 그룹 키에 의해서만 암호화가 이루어지는 경우에 대해서 살펴보기로 한다. 암호화/복호화 처리부(104)는 소정 암호화 알고리즘에 따라 설정된 그룹 키를 이용하여 프레임 전체(MAC헤더와 페이로드 포함)에 대해서 암호화를 수행하게 된다.
그리고, 그룹 키 및 페어 와이즈 키에 의해서 암호화가 이루어지는 경우에 대해서 살펴보면, 암호화/복호화 처리부(104)는 그룹 키를 이용하여 프레임 중 MAC 헤더 부분을 암호화하고, 페어 와이즈 키를 이용하여 프레임의 페이로드 부분을 암호화 할 수 있다. 이때 암호화를 위한 페어 와이즈 키는 무선단말(100)에 부여된 페어 와이즈 키임이 바람직하다.
이후, 제어부(102)는 암호화/복호화 처리부(104)에서 암호화 처리된 프레임을 전송부(106)를 통하여 액세스 포인트(150)로 전송한다.
이에 액세스 포인트(150) 내의 제어부(154)는 무선단말(100)로부터 전송부(152)에 전송된 프레임과 암호화/복호화를 위해 설정된 키를 암호화/복호화 처리부(156)에 제공한다.
암호화/복호화 처리부(156)는 무선단말(100)에서 전송된 프레임을 설정된 암호화/복호화를 위해 설정된 키를 이용하여 복호화 한다.
이에 대해서 좀 더 구체적으로 살펴보기로 하자.
먼저, 암호화/복호화 처리부(156)는 무선단말(100)에서 전송된 암호화된 프레임을 그룹 키를 이용하여 암호화된 프레임 전체를 복호화 한다. 그 결과 암호화된 프레임 전체가 복호화 된 경우에 복호화된 프레임을 제어부(154)에 제공한다. 이에 제어부(154)는 복호화된 프레임에 포함된 IV를 저장부(154a)에 저장하고, 프레임의 페이로드에 포함된 데이터를 처리한다.
반면, 암호화/복호화 처리부(156)는 설정된 그룹 키를 이용하여 암호화된 프레임 전체가 복호화 되지 않은 경우, 그룹 키를 이용하여 프레임의 MAC 헤더부분을 복호화 하여 MAC 헤더에 포함된 MAC 주소와 IV를 획득한다. 이와 달리, 암호화된 프레임의 헤더에 IV와 무선단말(100)에 부여된 고유 IV가 포함된 경우에 그룹 키를 이용하여 프레임의 MAC 헤더부분을 복호화 하여 MAC헤더에 포함된 IV와 무선단말(100)에 설정된 고유 IV를 획득할 수도 있다. 암호화/복호화 처리부(156)는 프레임의 MAC 헤더를 복호화 하여 획득된 MAC 주소와 IV 또는 IV와 무선단말(100)의 고유 IV를 제어부(154)에 제공한다.
이에 제어부(154)는 암호화/복호화 처리부(156)에서 제공된 IV를 저장부(154a)에 저장하고, 무선단말(100)의 고유 IV 또는 MAC 주소와 대응되는 페어 와이즈 키 정보를 저장부(152a)에 저장된 제1테이블 또는 제2테이블에서 얻어와서 암호화/복호화 처리부(156)에 제공한다. 여기서, MAC 주소는 무선단말(100)의 MAC 주소이거나 액세스 포인트(150)의 MAC 주소일 수 있는데, 여기서는 송신측 MAC 주소 즉, 무선단말(100)의 MAC 주소임이 바람직하다.
따라서, 제어부(154)는 무선단말(100)의 고유 IV에 대응되는 페어 와이즈 키 또는 무선단말(100)의 MAC 주소와 대응되는 페어 와이즈 키를 저장부(154a)에서 읽어와서 암호화/복호화 처리부(156)에 제공하게 되는 것이다.
암호화/복호화 처리부(156)는 제어부(154)에서 제공된 페어 와이즈 키를 이용하여 무선단말(100)에서 전송된 프레임의 페이로드를 복호화하고, 복호화 된 페이로드를 제어부(156)에 제공한다.
이에 제어부(156)는 암호화/복호화 처리부(156)에서 제공된 복호화 된 페이로드에 해당되는 데이터를 처리하게 되는 것이다.
상기한 설명은 무선단말(100)에서 액세스 포인트(150)로 데이터의 전송이 이루어지는 경우, 무선단말(100)이 초기에 설정된 그룹 키 또는 그룹 키와 페이 와이즈 키를 이용하여 프레임을 암호화하여 액세스 포인트(150)로 전송하고, 액세스 포인트(150)에서도 초기에 설정된 그룹 키 또는 그룹 키와 페어 와이즈 키를 이용하여 무선단말(100)로부터 전송된 암호화된 프레임을 복호화 하는 것이었다.
그런데, 초기에 설정된 키로 암호화/복호화를 계속 수행하는 경우에 설정되는 키는 노출될 위험이 있으므로 암호화/복호화를 위한 키의 변경이 필요하게 된다. 이러한 암호화/복호화를 위한 키 변경은 프레임에 대한 암호화/복호화를 수행하는 시점 이전에 발생된 IV(변경 전 IV)와 암호화/복호화 키를 이용하여 소정 암호화/복호화 알고리즘에 따라 프레임에 대한 암호화/복호화를 수행할 수 있다. 따라서, 암호화/복호화를 수행하는 경우에 노출의 위험을 피하기 위해서는 IV가 변화될 필요가 있다.
이를 위해서, 사용자는 암호화/복호화를 위한 키를 변경하기 위한 키 변경주기를 설정할 수 있다. 이러한 키 변경주기의 설정은 암호화/복호화를 위한 키 설정이 이루어질 때 행해질 수 있는데, 이렇게 설정된 키 변경주기는 무선단말(100, 110), 액세스 포인트 내의 저장부에 저장될 수 있다. 키 변경주기는 IV의 변경주기와 상응하게 설정될 수 있으며, IV의 변경주기는 시간, 전송되는 프레임의 수 중 어느 하나로 설정될 수 있고, 이는 본 발명이 적용되는 상황에 따라 달라질 수 있음에 유의하여야 한다.
이에 키 변경주기에 해당된 경우에 무선단말(100)과 액세스 포인트(150)간 프레임의 암호화/복호화에 대해서 좀 더 상세하게 살펴보기로 한다.
무선단말(100) 내의 제어부(102)는 키 변경주기에 해당되는지를 체크하여 키 변경주기에 해당되는 경우에 난수 발생기능을 이용하여 새로운 IV(변경 후 IV)를 발생하여 저장부(102a)에 저장한다.
이후, 제어부(102)는 임의의 데이터에 대해 액세스 포인트(150)로의 전송 요청이 있는 경우에 해당 데이터를 페이로드(payload)에 포함시키고, 저장부(102a)에 저장된 변경 후 IV를 MAC 헤더에 포함시켜 발생된 프레임과 저장부(102a)에 저장된 변경 전 IV를 암호화/복호화 처리부(104)에 제공한다. 여기서, MAC 헤더에는 무선단말(100)의 고유 IV와 무선단말(100)의 물리주소인 즉, 송신 MAC 주소 및 액세스 포인트(150)의 물리주소인 즉, 수신 MAC 주소가 포함되어 있을 수 있다.
암호화/복호화 처리부(104)는 제어부(102)에서 제공된 프레임 전체에 대하여 설정된 키와 변경 전 IV를 이용하여 소정 암호화 알고리즘에 따라 암호화를 수행하게 된다. 여기서, 프레임 전체를 설정된 키와 변경 전 IV를 이용하여 암호화하기 위한 암호화 알고리즘은 WEP(Wired Equivalent Privacy) 알고리즘과 CCMP(Counter Mode-CBC MAC Protocol)알고리즘이 해당될 수 있다.
암호화/복호화 처리부(104)에서 소정 암호화 알고리즘에 따라 설정된 키와 변경 전 IV를 이용하여 프레임 전체를 암호화가 이루어지는 것에 대해서 좀 더 상세히 살펴보기로 한다. 여기서, 설정된 키는 그룹 키와 페어 와이즈 키 또는 페어 와이즈 키일 수 일수 있다.
프레임에 대한 암호화는 그룹 키와 변경 전 IV를 가지고서 이루어지는 경우와 그룹 키 및 페어 와이즈 키 그리고 변경 전 IV를 이용하여 이루어질 수 있다.
먼저, 그룹 키와 변경 전 IV에 의해서 암호화가 이루어지는 경우에 대해서 살펴보기로 한다. 암호화/복호화 처리부(104)는 소정 암호화 알고리즘에 따라 설정된 그룹 키와 변경 전 IV를 이용하여 프레임 전체(MAC헤더와 페이로드 포함)에 대해서 암호화를 수행하게 된다.
그리고, 그룹 키 및 페어 와이즈 키 그리고 변경 전 IV에 의해서 암호화가 이루어지는 경우에 대해서 살펴보면, 암호화/복호화 처리부(104)는 프레임에 대한 암호화를 3가지로 수행할 수 있다.
첫 번째로, 그룹 키와 변경 전 IV를 이용하여 MAC 헤더 부분을 암호화하고, 페어 와이즈 키와 변경 전 IV를 이용하여 프레임의 페이로드 부분을 암호화 할 수 있다. 두 번째로, 그룹 키와 변경 전 IV를 이용하여 MAC 헤더 부분을 암호화하고, 페어 와이즈 키만을 이용하여 프레임의 페이로드 부분을 암호화 할 수 있다. 세 번째로, 그룹 키만을 이용하여 MAC 헤더 부분을 암호화하고, 페어 와이즈 키와 변경 전 IV를 이용하여 프레임의 페이로드 부분을 암호화 할 수 있다. 이하에서는 암호화/복호화 처리부(104)에서 이루어지는 프레임에 대한 암호화는 두 번째의 경우로 이루어지는 것으로 한다.
이후, 제어부(102)는 암호화/복호화 처리부(104)에서 암호화 처리된 프레임을 전송부(106)를 통하여 액세스 포인트(150)로 전송한다.
이에 액세스 포인트(150) 내의 제어부(154)는 무선단말(100)로부터 전송부 (152)에 전송된 프레임과 암호화/복호화를 위해 설정된 키와 변경 전 IV를 암호화/복호화 처리부(156)에 제공한다.
암호화/복호화 처리부(156)는 무선단말(100)에서 전송된 프레임을 설정된 암호화/복호화를 위해 설정된 키와 변경 전 IV를 이용하여 복호화 한다.
이에 대해서 좀 더 상세하게 살펴보기로 하자.
먼저, 암호화/복호화 처리부(156)는 무선단말(100)에서 전송된 암호화된 프레임을 그룹 키와 변경 전 IV를 이용하여 암호화된 프레임 전체를 복호화 한다. 그 결과 암호화된 프레임 전체가 복호화 된 경우에 복호화된 프레임을 제어부(154)에 제공한다. 이에 제어부(154)는 복호화된 프레임에 포함된 변경 후 IV를 저장부(154a)에 저장하고, 프레임의 페이로드에 포함된 데이터를 처리한다.
반면, 암호화/복호화 처리부(156)는 설정된 그룹 키와 변경 전 IV를 이용하여 암호화된 프레임 전체가 복호화 되지 않은 경우, 그룹 키와 변경 전 IV를 이용하여 프레임의 MAC 헤더부분을 복호화 하여 MAC 헤더에 포함된 MAC 주소와 변경 후 IV, 무선단말(100)의 고유 IV를 획득한다. 암호화/복호화 처리부(156)는 프레임의 MAC 헤더를 복호화 하여 획득된 MAC 주소, 변경 후 IV, 그리고 무선단말(100)의 고유 IV를 제어부(154)에 제공한다.
이에 제어부(154)는 암호화/복호화 처리부(156)에서 제공된 변경 후 IV를 저장부(154a)에 저장하고, MAC 주소와 대응되는 페어 와이즈 키 정보 또는 무선단말(100)의 고유 IV에 대응되는 페어 와이즈 키 정보를 저장부(152a)에서 읽어와서 암호화/복호화 처리부(156)에 제공한다. 여기서, MAC주소는 무선단말(100)의 MAC 주 소이거나 액세스 포인트(150)의 MAC 주소일 수 있는데, 여기서는 송신 측 MAC 주소 즉, 무선단말(100)의 MAC 주소임이 바람직하다.
따라서, 제어부(154)는 액세스 포인트(150)의 MAC 주소와 대응되는 페어 와이즈 키 또는 무선단말(100)의 고유 IV에 대응되는 페어 와이즈 키를 저장부(154a)에서 읽어와서 암호화/복호화 처리부(156)에 제공하게 되는 것이다.
암호화/복호화 처리부(156)는 제어부(154)에서 제공된 페어 와이즈 키를 이용하여 무선단말(100)에서 전송된 프레임의 페이로드를 복호화하고, 복호화 처리된 페이로드를 제어부(156)에 제공한다.
이에 제어부(156)는 암호화/복호화 처리부(156)에서 제공된 복호화 처리된 페이로드에 해당되는 데이터를 처리하게 되는 것이다.
전술한 암호화/복호화는 프레임의 MAC헤더와 페이로드에 관련된 것이다. 이와는 별개로 암호화된 프레임이나 암호화되지 않은 프레임(즉, 데이터 링크층에서 생성된 프레임)은 무선으로 전송되기 전에 물리계층에 수렴하는 절차를 거치게 된다. 이를 위해서 데이터 링크 계층에서 생성된 프레임에 PLCP(Physical Layer Convergence Procedure)프레임이 추가된다. PLCP는 여러 무선단말이 공유하고 있는 매체에 접근을 제어하는 MAC(Medium Access Control)과 모뎀 및 RF단을 포함하여 변조 및 여러 무선단말간에 데이터를 송수신하는 역할을 가진 PMD(Physical Medium Depedent) 사이의 인터페이스 역할을 하는 부분이다.
PLCP 프레임은 PLCP 프리앰블과 PLCP 헤더로 구성되는데, PLCP 프리앰블은 송신측과 수신측을 동기화하고 공통적인 타이밍을 유도하는데 사용되고, 송신측과 수신측을 동기화하기 위해 IEEE 802.11에서는 트레이닝 시퀀스(training sequence)를 규정하고 있다. 즉, 송신측과 수신측은 트레이닝 시퀀스가 일치한 경우에만 상호간에 통신이 이루어지게 된다.
PLCP 헤더는 PLCP 프리앰블 다음에 오며, PLCP 프레임 다음에 오는 프레임(MAC 프레임)의 길이정보, 프레임(MAC 프레임)의 전송속도에 대한 정보, PLCP 헤더의 오류방지를 위한 프레임 체크 시퀀스를 포함한다.
위의 PLCP 프리앰블에 포함된 트레이닝 시퀀스는 고정되어 있다. 이러한 트레이닝 시퀀스를 가변적으로 변화시킴으로써 무선으로 전송되는 데이터를 보호할 수 있게 된다.
도 2는 본 발명의 일 실시예에 따른 무선 네트워크 시스템에서의 데이터 보안방법에 대한 절차 흐름을 나타낸 도면이다.
이하에서, 무선단말을 송신측으로 하고, 액세스 포인트를 수신측으로 하여 설명하기로 한다.
무선단말과 액세스 포인트간에 무선으로 전송되는 데이터의 보안을 위해 암호화/복호화 정보가 설정된다(S200).
암호화/복호화 정보는 데이터의 암호화/복호화에 사용되는 키 정보, 무선단말과 액세스 포인트 각각의 MAC 주소와 대응되는 무선단말과 액세스 포인트에 설정된 페어 와이즈 키(Pair-wise key)를 포함하고 있는 테이블, 무선단말과 액세스 포 인트 각각에 설정된 고유 IV(Initialization Vector)에 대응되는 무선단말과 액세스 포인트 각각에 설정된 페어 와이즈 키를 포함하고 있는 테이블을 포함한다. 여기서, 데이터의 암호화/복호화에 사용되는 키에는 무선단말과 액세스 포인트간에 공유되는 그룹 키(Group Key)와 무선단말과 액세스 포인트 각각에 설정되는 페어 와이즈 키가 있을 수 있다. 이러한 키 설정은 IEEE 802.11x에서 규정된 바와 같이 PSK(Pre-Shared Key) 방식에 의한 방법과 인증서버를 통하여 설정되는 방법에 의해서 부여될 수 있다.
이후, 무선단말은 데이터 전송요청이 있는 경우(S202), 데이터를 페이로드(Payload)에 포함시키고 MAC 헤더에 무선단말의 MAC 주소, 액세스 포인트 MAC주소, 무선단말 또는 액세스 포인트에 설정된 고유 IV, 난수 발생 동작을 통하여 발생된 IV를 포함시켜 프레임을 생성한다. 이후, 무선단말은 생성된 프레임을 설정된 키를 이용하여 암호화한다(S204). 이에 대한 예시는 도 3의 (i)에 도시되어 있다.
프레임에 대한 암호화는 그룹 키와 IV를 이용하여 이루어지는 경우와 그룹 키, 페어 와이즈 키, 그리고 IV를 이용하여 이루어지는 경우가 있을 수 있다.
먼저, 소정 암호화 알고리즘에 따라 설정된 그룹 키와 IV를 이용하여 프레임 전체(MAC헤더와 페이로드 포함)에 대해서 암호화를 수행할 수 있다.
그리고, 그룹 키, 페어 와이즈 키 그리고 IV에 의해서 암호화가 이루어지는 경우에 대해서 살펴보기로 한다.
첫 번째로, 그룹 키와 IV를 이용하여 MAC 헤더 부분을 암호화하고, 페어 와이즈 키와 IV를 이용하여 프레임의 페이로드 부분을 암호화 할 수 있다.
두 번째로, 그룹 키와 IV를 이용하여 MAC 헤더 부분을 암호화하고, 페어 와이즈 키만을 이용하여 프레임의 페이로드 부분을 암호화 할 수 있다.
세 번째로, 그룹 키만을 이용하여 MAC 헤더 부분을 암호화하고, 페어 와이즈 키와 IV를 이용하여 프레임의 페이로드 부분을 암호화 할 수 있다. 이하에서는 프레임에 대한 암호화는 두 번째의 경우로 이루어지는 것으로 한다.
무선단말은 암호화된 프레임을 액세스 포인트로 전송하고(S206), 액세스 포인트는 설정된 그룹 키를 이용하여 암호화된 프레임을 복호화 한다(S208). 이는 도 3에 도시된 (i)에 해당된다.
먼저, 액세스 포인트는 전송된 암호화된 프레임을 그룹 키를 이용하여 암호화된 프레임 전체를 복호화 한다. 그 결과 암호화된 프레임 전체가 복호화 된 경우에 복호화된 프레임에 포함된 IV를 자신의 데이터베이스에 저장하고, 프레임의 페이로드에 포함된 데이터를 처리한다. 반면, 액세스 포인트는 설정된 그룹 키를 이용하여 암호화된 프레임 전체가 복호화 되지 않은 경우, 그룹 키를 이용하여 프레임의 MAC 헤더부분을 복호화 하여 MAC 주소와 IV, 무선단말의 고유 IV를 획득한다.
액세스 포인트는 획득된 IV를 자신의 데이터 베이스에 저장하고, 자신의 데이터 베이스에 미리 저장된 고유 IV에 대응되는 페어 와이즈 키 정보를 포함한 테이블 또는 MAC 주소와 대응되는 페어 와이즈 키 정보를 포함한 테이블에서 무선단말의 고유 IV에 대응되는 페어 와이즈 키 또는 무선단말의 MAC주소에 대응되는 페어 와이즈 키를 읽어온다. 데이터 베이스에서 읽어 온 페어 와이즈 키를 이용하여 무선단말에서 전송된 프레임의 페이로드를 복호화하고, 복호화 된 페이로드에 해당 되는 데이터를 처리하게 되는 것이다(S210).
이후, 무선단말은 암호화를 위해 설정된 키의 변경주기에 해당되었는가를 체크하고(S212), 해당 변경주기에 해당된 경우에 설정된 암호화 변경정보에 따라 암호화를 위한 설정된 키를 변경하게 된다(S214).
여기서, 키 변경주기의 설정은 암호화/복호화 정보 설정이 이루어질 때 행해질 수 있고, 키 변경주기는 시간, 전송되는 프레임의 수 중 어느 하나로 설정될 수 있다. 그리고, 암호화 변경정보는 키 변경주기에 이른 경우 난수발생 기능에 의해서 새로운 IV(변경 후 IV)를 발생하고, 변경 전 IV와 설정된 키를 혼합하여 데이터의 암호화를 수행하기 위한 정보이다.
다시 말해서, S214단계에서 키 변경주기에 이른 경우에 암호화를 위한 설정된 키는 설정된 암호화 변경정보에 따라 변경 전 IV와 설정된 키의 혼합된 정보로 변경이 이루어지고, 난수발생 기능에 의해 새로운 IV(변경 후 IV)가 생성되어 무선단말의 데이터베이스에 저장된다.
이후, 무선단말은 임의의 데이터에 대해 액세스 포인트로의 전송 요청이 있는 경우(S216), 해당 데이터를 페이로드(payload)에 포함시키고 변경 후 IV와 MAC 주소, 무선단말의 고유 IV를 MAC 헤더에 포함시켜 발생된 프레임에 대해 변경 전 IV와 설정된 키로 소정 암호화 알고리즘에 따라 암호화를 수행하게 된다(S218). 이는 도 3에 도시된 (ii)에 해당된다. 여기서, MAC 헤더에는 무선단말의 고유 IV와 무선단말의 물리주소인 즉, 송신 MAC 주소 및 액세스 포인트의 물리주소인 즉, 수신 MAC 주소가 포함되어 있을 수 있다. 그리고, 프레임을 설정된 키와 변경 전 IV 를 이용하여 암호화하기 위한 암호화 알고리즘은 WEP(Wired Equivalent Privacy) 알고리즘과 CCMP(Counter Mode-CBC MAC Protocol)알고리즘이 해당될 수 있다.
소정 암호화 알고리즘에 따라 설정된 키와 변경 전 IV를 이용하여 프레임의 암호화가 이루어지는 것에 대해서 좀 더 상세히 살펴보기로 한다. 여기서, 설정된 키는 그룹 키와 페어 와이즈 키 또는 페어 와이즈 키일 수 일수 있다.
즉, 프레임에 대한 암호화는 그룹 키와 변경 전 IV를 가지고서 이루어지는 경우와 그룹 키 및 페어 와이즈 키 그리고 변경 전 IV를 이용하여 이루어질 수 있다.
먼저, 그룹 키와 변경 전 IV에 의해서 암호화가 이루어지는 경우에 대해서 살펴보기로 한다. 암호화/복호화 처리부(104)는 소정 암호화 알고리즘에 따라 설정된 그룹 키와 변경 전 IV를 이용하여 프레임 전체(MAC헤더와 페이로드 포함)에 대해서 암호화를 수행하게 된다.
그리고, 그룹 키, 페어 와이즈 키, 변경 전 IV에 의해서 암호화가 이루어지는 경우는 3가지 경우가 있을 수 있다.
첫 번째로, 그룹 키와 변경 전 IV를 이용하여 MAC 헤더 부분을 암호화하고, 페어 와이즈 키와 변경 전 IV를 이용하여 프레임의 페이로드 부분을 암호화 할 수 있다. 두 번째로, 그룹 키와 변경 전 IV를 이용하여 MAC 헤더 부분을 암호화하고, 페어 와이즈 키만을 이용하여 프레임의 페이로드 부분을 암호화 할 수 있다. 세 번째로, 그룹 키만을 이용하여 MAC 헤더 부분을 암호화하고, 페어 와이즈 키와 변경 전 IV를 이용하여 프레임의 페이로드 부분을 암호화 할 수 있다. 이하에서는 무선 단말에서 이루어지는 프레임에 대한 암호화는 두 번째의 경우로 이루어지는 것으로 한다.
이후, 무선단말은 암호화 처리된 프레임을 액세스 포인트로 전송한다(S220).
이에 액세스 포인트는 무선단말로부터 전송된 프레임을 자신의 데이터베이스에 저장된 암호화/복호화를 위해 설정된 키 및 변경 전 IV를 이용하여 복호화 하게 된다.
이에 대해서 좀 더 상세하게 살펴보기로 하자.
액세스 포인트는 무선단말에서 전송된 암호화된 프레임을 그룹 키와 변경 전 IV를 이용하여 암호화된 프레임 전체를 복호화 한다(S222). 그 결과 암호화된 프레임 전체가 복호화 된 경우에 복호화된 프레임에 포함된 변경 후 IV를 자신의 데이터베이스에 저장하고, 프레임의 페이로드에 포함된 데이터를 처리한다.
반면, 설정된 그룹 키와 변경 전 IV를 이용하여 암호화된 프레임 전체가 복호화 되지 않은 경우, 그룹 키와 변경 전 IV를 이용하여 프레임의 MAC 헤더부분을 복호화 하여 MAC 헤더에 포함된 MAC 주소와 변경 후 IV, 무선단말의 고유 IV를 획득한다.
액세스 포인트는 변경 후 IV를 자신의 데이터베이스에 저장하고, MAC 주소와 대응되는 페어 와이즈 키 정보 또는 무선단말의 고유 IV에 대응되는 페어 와이즈 키 정보를 자신의 데이터베이스에서 읽어온다. 여기서, MAC주소는 무선단말의 MAC 주소이거나 액세스 포인트의 MAC 주소일 수 있는데, 여기서는 송신 측 MAC 주소 즉, 무선단말의 MAC 주소임이 바람직하다.
액세스 포인트는 자신의 데이터베이스에서 읽어 온 액세스 포인트의 MAC 주소와 대응되는 페어 와이즈 키 또는 무선단말의 고유 IV에 대응되는 페어 와이즈 키를 이용하여 무선단말에서 전송된 프레임의 페이로드를 복호화하고, 복호화 처리된 페이로드에 해당되는 데이터를 처리하게 되는 것이다(S224).
상술한 본 발명은 무선단말을 송신측으로 하고, 액세스 포인트를 수신측으로 하여 각각의 구성과 동작에 대한 설명이 이루어졌지만, 이와는 반대로 액세스 포인트를 송신측으로 하고 무선단말을 수신측으로 한 경우에도 상술한 본 발명에 대한 설명이 적용될 수 있다. 한편, 송신측과 수신측은 무선단말과 액세스 포인트만으로 한정되지 않음에 유의하여야 한다.
또한, 본 발명의 설명이 무선네트워크를 무선 LAN을 중심으로 이루어졌지만, 본 발명이 적용되는 무선네트워크는 무선 LAN에만 한정되지 않음에 유의하여야 한다.
이상에서 본 발명은 기재된 구체 예에 대해서만 상세히 설명하였지만 본 발명의 기술 사상 범위 내에서 다양한 변형 및 수정이 가능함은 당업자에게 있어서 명백한 것이며, 이러한 변형 및 수정이 첨부된 특허청구범위에 속함은 당연한 것이다.
상술한 바와 같이, 본 발명에 따른 무선네트워크 시스템에서의 데이터 보안 장치 및 그 방법에 따르면, 무선네트워크시스템에서 전송되는 프레임의 MAC(Medium Address Control)헤더 뿐만 아니라 페이로드(Payload)까지 암호화하고, 이와 아울러 프레임의 암호화에 사용되는 초기벡터를 설정된 상태마다 변화시켜 프레임의 암호화를 수행함으로써, 무선을 통하여 전송되는 데이터가 권한 없는 사용자에게 노출되지 않도록 할 수 있다.

Claims (36)

  1. 무선네트워크 시스템에 있어서,
    무선네트워크로 전송될 프레임을 인크립션(encryption)하기 위한 암호화/복호화 키 정보의 변경상태정보에 따라 암호화/복호화 키 정보를 변경하고, 상기 암호화/복호화 키 정보를 변경한 후에 프레임 전송요청에 따라 변경된 암호화/복호화 키 정보를 이용하여 해당 프레임을 소정 암호알고리즘에 따라 인크립션하여 무선네트워크로 전송하는 유닛을 포함하는 무선네트워크 시스템에서의 데이터 보안장치.
  2. 제1항에 있어서,
    상기 변경상태정보는,
    설정된 시간정보, 무선네트워크에 전송하기 위한 프레임의 발생 수 정보 중 어느 하나인 무선네트워크 시스템에서의 데이터 보안장치.
  3. 제1항에 있어서,
    상기 암호화/복호화 키 정보는,
    상기 무선네트워크상에서 전송되는 프레임의 보호를 위해, 상기 유닛과 상기 유닛 이외의 적어도 하나 이상의 타 유닛간에 서로 공유되도록 설정된 그룹 키 (Group key) 정보와 상기 유닛 및 상기 유닛 이외의 적어도 하나 이상의 타 유닛 각각에 설정된 페어 와이즈 키(Pair-wise key) 정보, 상기 유닛이 난수발생 기능을 이용하여 발생한 초기벡터(Initial Vector)정보와 상기 그룹 키 정보의 결합에 의한 정보, 초기벡터정보와 상기 유닛 및 타 유닛 각각에 설정된 페어 와이즈 키 정보의 결합에 의한 정보 중 어느 하나인 무선네트워크 시스템에서의 데이터 보안장치.
  4. 제3항에 있어서,
    상기 초기벡터정보는,
    상기 암호화/복호화 키 정보의 변경상태정보에 해당되는 경우에 변경되는 무선네트워크 시스템에서의 데이터 보안장치.
  5. 제1항에 있어서,
    상기 유닛은,
    상기 암호화/복호화 키 정보, 초기벡터 정보, 상기 암호화/복호화 키의 변경상태정보 중 어느 하나를 저장하고 있는 저장부를 포함하는 무선네트워크 시스템에서의 데이터 보안장치.
  6. 제5항에 있어서,
    상기 초기벡터정보는,
    상기 무선네트워크에 최초로 프레임이 전송되는 경우에 발생된 초기벡터정보, 상기 암호화/복호화 키의 변경상태정보에 해당되어 변경된 초기벡터정보 중 어느 하나를 포함하는 무선네트워크 시스템에서의 데이터 보안장치.
  7. 제1항에 있어서,
    상기 유닛은,
    무선네트워크로 최초 프레임을 전송하는 경우에 최초로 전송되는 프레임에 난수 발생 기능에 의해 생성된 초기벡터를 포함하여 암호화/복호화 키 정보를 이용하여 상기 암호화 알고리즘에 따라 인크립션하고,
    상기 암호화/복호화 키의 변경상태정보에 해당되어 변경된 초기벡터를 프레임에 포함시켜 변경되기 전의 초기벡터정보와 암호화/복호화 키 정보를 이용하여 상기 암호화알고리즘에 따라 인크립션하는 무선네트워크 시스템에서의 데이터 보안장치.
  8. 제1항에 있어서,
    상기 암호알고리즘은,
    WEP(Wired Equivalent Privacy)알고리즘, CCMP(Counter Mode-CBC MAC Protocol)알고리즘 중 어느 하나인 무선네트워크 시스템에서의 데이터 보안장치.
  9. 제1항에 있어서,
    상기 유닛은,
    상기 무선네트워크로부터 전송된 프레임을 암호화/복호화 키 정보로 디크립션(decryption)하고 디크립션된 프레임에 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 초기벡터정보를 저장부에 저장하는 무선네트워크 시스템에서의 데이터 보안장치.
  10. 제9항에 있어서,
    상기 유닛은,
    상기 초기벡터정보를 저장부에 저장한 후에 상기 무선네트워크로부터 전송된 프레임을 암호화/복호화 키 정보 및 상기 저장부에 저장된 초기벡터정보를 이용하여 디크립션하고 디크립션된 프레임에 상기 저장부에 저장된 초기벡터정보와 다른 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 다른 초기벡터정보를 저장부에 저장하는 무선네트워크 시스템에서의 데이터 보안장치.
  11. 제10항에 있어서,
    상기 유닛은,
    상기 저장부에 다른 초기벡터정보를 저장한 이후에 상기 무선네트워크로부터 전송된 프레임을 암호화/복호화 키 정보 및 다른 초기벡터정보를 이용하여 디크립션하는 무선네트워크 시스템에서의 데이터 보안장치.
  12. 무선네트워크 시스템에 있어서,
    무선네트워크로 전송될 프레임을 인크립션(encryption)하기 위한 암호화/복호화 키 정보의 변경상태정보에 따라 암호화/복호화 키 정보를 변경하고, 상기 암호화/복호화 키 정보를 변경한 후에 프레임 전송요청에 따라 변경된 암호화/복호화 키 정보를 이용하여 해당 프레임의 MAC(Medium Access Control)헤더부분과 페이로드(Payload)부분을 소정 암호알고리즘에 따라 선택적으로 인크립션하여 무선네트워크로 전송하는 유닛을 포함하는 무선네트워크 시스템에서의 데이터 보안장치.
  13. 제12항에 있어서,
    상기 변경상태정보는,
    설정된 시간정보, 무선네트워크에 전송하기 위한 프레임의 발생 수 정보 중 어느 하나인 무선네트워크 시스템에서의 데이터 보안장치.
  14. 제12항에 있어서,
    상기 암호화/복호화 키 정보는,
    상기 무선네트워크상에서 전송되는 프레임의 보호를 위해, 상기 유닛과 상기 유닛 이외의 적어도 하나 이상의 타 유닛간에 서로 공유되도록 설정된 그룹 키(Group key) 정보와 상기 유닛 및 상기 유닛 이외의 적어도 하나 이상의 타 유닛 각각에 설정된 페어 와이즈 키(Pair-wise key) 정보, 상기 유닛이 난수발생 기능을 이용하여 발생한 초기벡터(Initial Vector)정보와 상기 그룹 키 정보의 결합에 의한 정보, 초기벡터정보와 상기 유닛 및 타 유닛 각각에 설정된 페어 와이즈 키 정보의 결합에 의한 정보 중 어느 하나인 무선네트워크 시스템에서의 데이터 보안장치.
  15. 제14항에 있어서,
    상기 초기벡터정보는,
    상기 암호화/복호화 키 정보의 변경상태정보에 해당되는 경우에 변경되는 무 선네트워크 시스템에서의 데이터 보안장치.
  16. 제12항에 있어서,
    상기 유닛은,
    무선네트워크로 최초 프레임을 전송하는 경우에 최초로 전송되는 프레임에 난수 발생 기능에 의해 생성된 초기벡터를 포함하여 암호화/복호화 키 정보를 이용하여 최초 프레임의 MAC헤더부분과 페이로드 부분을 선택적으로 상기 암호화 알고리즘에 따라 인크립션하고,
    상기 암호화/복호화 키의 변경상태정보에 해당되어 변경된 초기벡터를 프레임에 포함시켜 변경되기 전의 초기벡터정보와 암호화/복호화 키 정보를 이용하여 프레임의 MAC헤더부분과 페이로드 부분을 선택적으로 상기 암호화알고리즘에 따라 인크립션하는 무선네트워크 시스템에서의 데이터 보안장치.
  17. 제12항에 있어서,
    상기 유닛은,
    상기 무선네트워크로부터 전송된 프레임의 MAC헤더부분과 페이로드 부분을 암호화/복호화 키 정보로 선택적으로 디크립션(decryption)하고 디크립션된 프레임에 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 초기벡터정보 를 저장부에 저장하는 무선네트워크 시스템에서의 데이터 보안장치.
  18. 제17항에 있어서,
    상기 유닛은,
    상기 초기벡터정보를 저장부에 저장한 후에 상기 무선네트워크로부터 전송된 프레임의 MAC헤더부분과 페이로드 부분을 암호화/복호화 키 정보 및 상기 저장부에 저장된 초기벡터정보를 이용하여 선택적으로 디크립션하고,
    디크립션된 프레임에 상기 저장부에 저장된 초기벡터정보와 다른 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 다른 초기벡터정보를 저장부에 저장하는 무선네트워크 시스템에서의 데이터 보안장치.
  19. 제18항에 있어서,
    상기 유닛은,
    상기 저장부에 다른 초기벡터정보를 저장한 이후에 상기 무선네트워크로부터 전송된 프레임의 MAC헤더부분과 페이로드 부분을 암호화/복호화 키 정보 및 다른 초기벡터정보를 이용하여 선택적으로 디크립션하는 무선네트워크 시스템에서의 데이터 보안장치.
  20. 적어도 하나 이상의 유닛을 포함한 무선네트워크 시스템에서 유닛의 데이터 보안방법에 있어서,
    무선네트워크로 전송될 프레임을 인크립션(encryption)하기 위한 암호화/복호화 키 정보의 변경상태정보에 따라 암호화/복호화 키 정보를 변경하는 단계,
    상기 암호화/복호화 키 정보를 변경한 후에 프레임 전송요청에 따라 변경된 암호화/복호화 키 정보를 이용하여 해당 프레임을 소정 암호알고리즘에 따라 인크립션하여 무선네트워크로 전송하는 단계를 포함하는 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  21. 제20항에 있어서,
    상기 변경상태정보는,
    설정된 시간정보, 무선네트워크에 전송하기 위한 프레임의 발생 수 정보 중 어느 하나인 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  22. 제20항에 있어서,
    상기 암호화/복호화 키 정보는,
    상기 무선네트워크상에서 전송되는 프레임의 보호를 위해, 상기 유닛과 상기 유닛 이외의 적어도 하나 이상의 타 유닛간에 서로 공유되도록 설정된 그룹 키(Group key) 정보와 상기 유닛 및 상기 유닛 이외의 적어도 하나 이상의 타 유닛 각각에 설정된 페어 와이즈 키(Pair-wise key) 정보, 상기 유닛이 난수발생 기능을 이용하여 발생한 초기벡터(Initial Vector)정보와 상기 그룹 키 정보의 결합에 의한 정보, 초기벡터정보와 상기 유닛 및 타 유닛 각각에 설정된 페어 와이즈 키 정보의 결합에 의한 정보 중 어느 하나인 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  23. 제22항에 있어서,
    상기 초기벡터정보는,
    상기 암호화/복호화 키 정보의 변경상태정보에 해당되는 경우에 변경되는 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  24. 제20에 있어서,
    상기 프레임에 대한 인크립션 처리는,
    무선네트워크로 최초 프레임을 전송하는 경우에 최초로 전송되는 프레임에 난수 발생 기능에 의해 생성된 초기벡터를 포함하여 암호화/복호화 키 정보를 이용하여 상기 암호화 알고리즘에 따라 이루어지고,
    상기 암호화/복호화 키의 변경상태정보에 해당된 경우, 변경된 초기벡터를 프레임에 포함시켜 변경되기 전의 초기벡터정보와 암호화/복호화 키 정보를 이용하여 상기 암호화알고리즘에 따라 이루어지는 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  25. 제20항에 있어서,
    상기 암호알고리즘은,
    WEP(Wired Equivalent Privacy)알고리즘, CCMP(Counter Mode-CBC MAC Protocol)알고리즘 중 어느 하나인 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  26. 제20항에 있어서,
    상기 무선네트워크로부터 전송된 프레임을 암호화/복호화 키 정보로 디크립션(decryption)하고 디크립션된 프레임에 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 초기벡터정보를 데이터베이스에 저장하는 단계를 더 포함하는 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  27. 제26항에 있어서,
    상기 초기벡터정보를 데이터베이스에 저장한 후에 상기 무선네트워크로부터 전송된 프레임을 암호화/복호화 키 정보 및 상기 데이터베이스에 저장된 초기벡터정보를 이용하여 디크립션하는 단계,
    디크립션된 프레임에 상기 데이터베이스에 저장된 초기벡터정보와 다른 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 다른 초기벡터정보를 데이터베이스에 저장하는 단계를 더 포함하는 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  28. 제27항에 있어서,
    상기 데이터베이스에 다른 초기벡터정보를 저장한 이후에 상기 무선네트워크로부터 전송된 프레임을 암호화/복호화 키 정보 및 다른 초기벡터정보를 이용하여 디크립션하는 단계를 더 포함하는 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  29. 적어도 하나 이상의 유닛을 포함한 무선네트워크 시스템에서 유닛의 데이터 보안방법에 있어서,
    무선네트워크로 전송될 프레임을 인크립션(encryption)하기 위한 암호화/복 호화 키 정보의 변경상태정보에 따라 암호화/복호화 키 정보를 변경하는 단계,
    상기 암호화/복호화 키 정보를 변경한 후에 프레임 전송요청에 따라 변경된 암호화/복호화 키 정보를 이용하여 해당 프레임의 MAC(Medium Access Control)헤더부분과 페이로드(Payload)부분을 소정 암호알고리즘에 따라 선택적으로 인크립션하여 무선네트워크로 전송하는 단계를 포함하는 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  30. 제29항에 있어서,
    상기 변경상태정보는,
    설정된 시간정보, 무선네트워크에 전송하기 위한 프레임의 발생 수 정보 중 어느 하나인 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  31. 제29항에 있어서,
    상기 암호화/복호화 키 정보는,
    상기 무선네트워크상에서 전송되는 프레임의 보호를 위해, 상기 유닛과 상기 유닛 이외의 적어도 하나 이상의 타 유닛간에 서로 공유되도록 설정된 그룹 키(Group key) 정보와 상기 유닛 및 상기 유닛 이외의 적어도 하나 이상의 타 유닛 각각에 설정된 페어 와이즈 키(Pair-wise key) 정보, 상기 유닛이 난수발생 기능을 이용하여 발생한 초기벡터(Initial Vector)정보와 상기 그룹 키 정보의 결합에 의한 정보, 초기벡터정보와 상기 유닛 및 타 유닛 각각에 설정된 페어 와이즈 키 정보의 결합에 의한 정보 중 어느 하나인 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  32. 제31항에 있어서,
    상기 초기벡터정보는,
    상기 암호화/복호화 키 정보의 변경상태정보에 해당되는 경우에 변경되는 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  33. 제29항에 있어서,
    상기 프레임에 대한 인크립션 처리는,
    무선네트워크로 최초 프레임을 전송하는 경우에 최초로 전송되는 프레임에 난수 발생 기능에 의해 생성된 초기벡터를 포함하여 암호화/복호화 키 정보를 이용하여 최초 프레임의 MAC헤더부분과 페이로드 부분을 선택적으로 상기 암호화 알고리즘에 따라 이루어지고,
    상기 암호화/복호화 키의 변경상태정보에 해당되어 변경된 초기벡터를 프레임에 포함시켜 변경되기 전의 초기벡터정보와 암호화/복호화 키 정보를 이용하여 프레임의 MAC헤더부분과 페이로드 부분을 선택적으로 상기 암호화알고리즘에 따라 이루어지는 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  34. 제29항에 있어서,
    상기 무선네트워크로부터 전송된 프레임의 MAC헤더부분과 페이로드 부분을 암호화/복호화 키 정보로 선택적으로 디크립션(decryption)하고 디크립션된 프레임에 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 초기벡터정보를 데이터베이스에 저장하는 단계를 더 포함하는 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  35. 제34항에 있어서,
    상기 초기벡터정보를 데이터베이스에 저장한 후에 상기 무선네트워크로부터 전송된 프레임의 MAC헤더부분과 페이로드 부분을 암호화/복호화 키 정보 및 상기 저장부에 저장된 초기벡터정보를 이용하여 선택적으로 디크립션하는 단계,
    디크립션된 프레임에 상기 데이터베이스에 저장된 초기벡터정보와 다른 초기벡터정보의 포함여부를 체크하여 디크립션된 프레임에 포함된 다른 초기벡터정보를 데이터베이스에 저장하는 단계를 더 포함하는 무선네트워크 시스템에서 유닛의 데이터 보안방법.
  36. 제35항에 있어서,
    상기 데이터베이스에 다른 초기벡터정보를 저장한 이후에 상기 무선네트워크로부터 전송된 프레임의 MAC헤더부분과 페이로드 부분을 암호화/복호화 키 정보 및 다른 초기벡터정보를 이용하여 선택적으로 디크립션하는 단계를 더 포함하는 무선네트워크 시스템에서 유닛의 데이터 보안방법.
KR1020050002649A 2005-01-11 2005-01-11 무선 네트워크 시스템에서의 데이터 보안장치 및 그 방법 KR100612255B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020050002649A KR100612255B1 (ko) 2005-01-11 2005-01-11 무선 네트워크 시스템에서의 데이터 보안장치 및 그 방법
EP06000290A EP1679852A3 (en) 2005-01-11 2006-01-09 Data security in wireless network system
CN2006100036206A CN1805333B (zh) 2005-01-11 2006-01-09 无线网络系统中的数据安全
US11/327,347 US7876897B2 (en) 2005-01-11 2006-01-09 Data security in wireless network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050002649A KR100612255B1 (ko) 2005-01-11 2005-01-11 무선 네트워크 시스템에서의 데이터 보안장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20060081961A KR20060081961A (ko) 2006-07-14
KR100612255B1 true KR100612255B1 (ko) 2006-08-14

Family

ID=36118252

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050002649A KR100612255B1 (ko) 2005-01-11 2005-01-11 무선 네트워크 시스템에서의 데이터 보안장치 및 그 방법

Country Status (4)

Country Link
US (1) US7876897B2 (ko)
EP (1) EP1679852A3 (ko)
KR (1) KR100612255B1 (ko)
CN (1) CN1805333B (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009148263A3 (en) * 2008-06-03 2010-03-18 Samsung Electronics Co., Ltd. A system and method of reducing encryption overhead by concatenating multiple connection packets associated with a security association

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1646173A1 (en) * 2003-07-15 2006-04-12 Sony Corporation Radio communication system, radio communication device, radio communication method, and computer program
KR100542348B1 (ko) * 2003-09-03 2006-01-10 삼성전자주식회사 무선 랜 시스템의 전력 감소 방법 및 그 장치
DE102006036164A1 (de) * 2006-08-01 2008-02-07 Nec Europe Ltd. Verfahren zum Schutz von Ortsinformationen in drahtlosen Kommunikationsnetzwerken
CN101141241B (zh) * 2006-09-06 2010-08-18 华为技术有限公司 实现mac安全的方法以及网络设备
WO2009046088A1 (en) * 2007-10-01 2009-04-09 Neology, Inc. Systems and methods for preventing transmitted cryptographic parameters from compromising privacy
CN101471916B (zh) * 2007-12-26 2012-06-27 上海摩波彼克半导体有限公司 第三代移动通信系统中实现传输数据加密的方法
JP5067866B2 (ja) * 2008-01-08 2012-11-07 キヤノン株式会社 通信装置及び制御方法
JP5480890B2 (ja) * 2008-05-29 2014-04-23 エルジー エレクトロニクス インコーポレイティド 制御信号の暗号化方法
US10447657B2 (en) * 2008-08-22 2019-10-15 Qualcomm Incorporated Method and apparatus for transmitting and receiving secure and non-secure data
WO2010056756A2 (en) * 2008-11-11 2010-05-20 Aeronix, Inc. Method and apparatus for improved secure transmission between wireless communication components
US8588408B2 (en) * 2008-12-19 2013-11-19 France Telecom Method of implementing a block cipher algorithm
CN101772024B (zh) * 2008-12-29 2012-10-31 中国移动通信集团公司 一种用户身份确定方法及装置和系统
US9270457B2 (en) * 2008-12-31 2016-02-23 Intel Corporation Optimizing security bits in a media access control (MAC) header
WO2010098569A2 (en) * 2009-02-27 2010-09-02 Samsung Electronics Co,. Ltd. Method and apparatus for protecting against copying contents by using wihd device
KR101579109B1 (ko) * 2009-02-27 2015-12-21 삼성전자주식회사 WiHD 디바이스의 복제 방지 방법 및 장치
KR101150030B1 (ko) * 2010-10-14 2012-05-30 주식회사 반딧불소프트웨어 무선 액세스 포인트 접속 환경에서 보안된 로컬 네트워크 구성 장치 및 방법
US9131399B2 (en) 2011-08-15 2015-09-08 Marvell World Trade Ltd. Control data unit format for WLAN
KR101341256B1 (ko) * 2011-09-19 2013-12-12 주식회사 팬택 네트워크의 접속 보안 강화 장치 및 방법
US8792643B1 (en) * 2012-02-16 2014-07-29 Google Inc. System and methodology for decrypting encrypted media
US9264404B1 (en) * 2012-08-15 2016-02-16 Marvell International Ltd. Encrypting data using time stamps
US8923516B2 (en) * 2012-08-29 2014-12-30 Qualcomm Incorporated Systems and methods for securely transmitting and receiving discovery and paging messages
US9130754B2 (en) 2012-08-29 2015-09-08 Qualcomm Incorporated Systems and methods for securely transmitting and receiving discovery and paging messages
US9094820B2 (en) 2012-08-29 2015-07-28 Qualcomm Incorporated Systems and methods for securely transmitting and receiving discovery and paging messages
US9609571B2 (en) 2012-08-29 2017-03-28 Qualcomm Incorporated Systems and methods for securely transmitting and receiving discovery and paging messages
US9906444B2 (en) * 2012-12-12 2018-02-27 Qualcomm Incorporated Security for packets using a short MAC header
CN203340098U (zh) * 2013-01-21 2013-12-11 上海科斗电子科技有限公司 红外中转智能家居系统
US9326144B2 (en) * 2013-02-21 2016-04-26 Fortinet, Inc. Restricting broadcast and multicast traffic in a wireless network to a VLAN
US9661106B2 (en) * 2013-12-04 2017-05-23 Facebook, Inc. Uploading and transcoding media files
US9800401B2 (en) * 2014-04-23 2017-10-24 International Business Machines Corporation Initialization vectors generation from encryption/decryption
WO2015175374A1 (en) * 2014-05-12 2015-11-19 Massachusetts Institute Of Technology Physical layer encryption using out-phased array linearized signaling
KR102208072B1 (ko) * 2014-09-01 2021-01-27 삼성전자주식회사 데이터 처리 시스템
KR20160041147A (ko) * 2014-10-06 2016-04-18 삼성전자주식회사 제어 방법 및 그 방법을 처리하는 전자장치
US10230531B2 (en) 2014-10-23 2019-03-12 Hewlett Packard Enterprise Development Lp Admissions control of a device
US10699031B2 (en) 2014-10-30 2020-06-30 Hewlett Packard Enterprise Development Lp Secure transactions in a memory fabric
US10715332B2 (en) 2014-10-30 2020-07-14 Hewlett Packard Enterprise Development Lp Encryption for transactions in a memory fabric
US20160285834A1 (en) * 2014-11-10 2016-09-29 Qualcomm Incorporated Techniques for encrypting fields of a frame header for wi-fi privacy
US9923874B2 (en) 2015-02-27 2018-03-20 Huawei Technologies Co., Ltd. Packet obfuscation and packet forwarding
WO2017170679A1 (ja) * 2016-03-31 2017-10-05 株式会社bitFlyer プライベートノード、プライベートノードにおける処理方法、及びそのためのプログラム
CN110651447B (zh) * 2017-02-24 2022-11-15 瑞士商升特(国际)股份有限公司 隐私保护消息盲化
US11741248B2 (en) 2019-08-20 2023-08-29 Bank Of America Corporation Data access control using data block level encryption
US11176264B2 (en) 2019-08-20 2021-11-16 Bank Of America Corporation Data access control using data block level decryption
EP4293963A1 (en) * 2022-06-15 2023-12-20 INTEL Corporation Secure medium access control (mac) header

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040033159A (ko) * 2002-10-11 2004-04-21 한국전자통신연구원 무선 데이터의 암호 및 복호 방법과 그 장치
KR20040085113A (ko) * 2004-09-09 2004-10-07 조정현 무선 이동통신망에서 일회용 암호 키 생성 및 사용 방법
KR20040099455A (ko) * 2002-04-23 2004-11-26 노키아 코포레이션 종단 대 종단 암호화를 수행하기 위한 디지털 무선 데이터통신 네트워크 시스템 및 그에 상응하는 단말기 장치

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4186871A (en) * 1978-03-01 1980-02-05 International Business Machines Corporation Transaction execution system with secure encryption key storage and communications
US4418425A (en) * 1981-08-31 1983-11-29 Ibm Corporation Encryption using destination addresses in a TDMA satellite communications network
IL108645A (en) * 1994-02-14 1997-09-30 Elementrix Technologies Ltd Protected communication method and system
SE506619C2 (sv) * 1995-09-27 1998-01-19 Ericsson Telefon Ab L M Metod för kryptering av information
US6359986B1 (en) * 1997-08-06 2002-03-19 Matsushita Electric Industrial Co., Ltd. Encryption system capable of specifying a type of an encrytion device that produced a distribution medium
US6151676A (en) * 1997-12-24 2000-11-21 Philips Electronics North America Corporation Administration and utilization of secret fresh random numbers in a networked environment
US7301946B2 (en) * 2000-11-22 2007-11-27 Cisco Technology, Inc. System and method for grouping multiple VLANs into a single 802.11 IP multicast domain
US6870932B2 (en) * 2001-05-07 2005-03-22 Asustek Computer Inc. Frame number identification and ciphering activation time synchronization for a wireless communications protocol
US6594489B2 (en) * 2001-12-07 2003-07-15 Qualcomm Incorporated Method and apparatus for effecting handoff between different cellular communications systems
US7269260B2 (en) * 2001-12-26 2007-09-11 Kabushiki Kaisha Toshiba Communication system, wireless communication apparatus, and communication method
KR20030078453A (ko) * 2002-03-29 2003-10-08 주식회사 엘지이아이 무선 랜에서의 데이터 암호화/복호화 방법 및 장치
CN1692600A (zh) 2002-10-09 2005-11-02 松下电器产业株式会社 加密装置、解密装置和加密系统
US7277548B2 (en) * 2002-10-23 2007-10-02 Ndosa Technologies, Inc. Cryptographic method and computer program product for use in wireless local area networks
US7792121B2 (en) * 2003-01-03 2010-09-07 Microsoft Corporation Frame protocol and scheduling system
US7336783B2 (en) * 2003-01-24 2008-02-26 Samsung Electronics, C., Ltd. Cryptographic systems and methods supporting multiple modes
KR100560658B1 (ko) * 2003-02-17 2006-03-16 삼성전자주식회사 고속의 오프셋 코드북 모드를 위한 암호화 장치 및 그 방법
CN1323523C (zh) * 2003-04-02 2007-06-27 华为技术有限公司 一种在无线局域网中生成动态密钥的方法
TW200421813A (en) * 2003-04-03 2004-10-16 Admtek Inc Encryption/decryption device of WLAN and method thereof
CN1599338A (zh) * 2003-09-19 2005-03-23 皇家飞利浦电子股份有限公司 增强无线局域网安全的方法
US7907733B2 (en) * 2004-03-05 2011-03-15 Electronics And Telecommunications Research Institute Method for managing traffic encryption key in wireless portable internet system and protocol configuration method thereof, and operation method of traffic encryption key state machine in subscriber station
ATE520085T1 (de) * 2004-10-27 2011-08-15 Meshnetworks Inc System und verfahren zur gewährleistung von sicherheit für ein drahtloses netzwerk

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040099455A (ko) * 2002-04-23 2004-11-26 노키아 코포레이션 종단 대 종단 암호화를 수행하기 위한 디지털 무선 데이터통신 네트워크 시스템 및 그에 상응하는 단말기 장치
KR20040033159A (ko) * 2002-10-11 2004-04-21 한국전자통신연구원 무선 데이터의 암호 및 복호 방법과 그 장치
KR20040085113A (ko) * 2004-09-09 2004-10-07 조정현 무선 이동통신망에서 일회용 암호 키 생성 및 사용 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009148263A3 (en) * 2008-06-03 2010-03-18 Samsung Electronics Co., Ltd. A system and method of reducing encryption overhead by concatenating multiple connection packets associated with a security association
US9906627B2 (en) 2008-06-03 2018-02-27 Samsung Electronics Co., Ltd. System and method of reducing encryption overhead by concatenating multiple connection packets associated with a security association

Also Published As

Publication number Publication date
US7876897B2 (en) 2011-01-25
EP1679852A2 (en) 2006-07-12
CN1805333B (zh) 2010-06-16
CN1805333A (zh) 2006-07-19
KR20060081961A (ko) 2006-07-14
US20060153375A1 (en) 2006-07-13
EP1679852A3 (en) 2011-03-16

Similar Documents

Publication Publication Date Title
KR100612255B1 (ko) 무선 네트워크 시스템에서의 데이터 보안장치 및 그 방법
EP1887730B1 (en) Apparatus and method for managing stations associated with WPA-PSK wireless network
KR101097709B1 (ko) 셀룰러 시스템과 연관된 보안값(들)에 기초하여 무선근거리 네트워크에 대한 액세스를 인증하는 방법
US7912224B2 (en) Wireless network system and communication method for external device to temporarily access wireless network
US20070189537A1 (en) WLAN session management techniques with secure rekeying and logoff
US20110016323A1 (en) Remote secure authorization
JP2006109449A (ja) 認証された無線局に暗号化キーを無線で提供するアクセスポイント
CN102215487A (zh) 通过公共无线网络安全地接入专用网络的方法和系统
US20060056634A1 (en) Apparatus, system and method for setting security information on wireless network
KR20070025366A (ko) 무선 랜 시스템의 보안 시스템 및 그 방법
US11297496B2 (en) Encryption and decryption of management frames
JP2007506329A (ja) Wlanセキュリティを向上させる方法
US20030231772A1 (en) Method for updating a network ciphering key
CN108966214B (zh) 无线网络的认证方法、无线网络安全通信方法及系统
MXPA05009804A (es) Tecnicas de manejo de sesion de red de area local inalambrica con claves dobles y salida de registro seguros.
CN101765230B (zh) 无线网状网络中的用户通信数据的传输方法和装置
CN101388801B (zh) 合法监听方法、系统和服务器
EP1517475A1 (en) Smart card based encryption in Wi-Fi communication
Sarmiento et al. Basic security measures for IEEE 802.11 wireless networks
Sheikh Hacking Wireless Networks
Murugesan et al. Closed WiFi Hotspot-Truly Hidden Network
Nagesha et al. A Survey on Wireless Security Standards and Future Scope.
Tomai et al. Issues in WiFi networks
Sun A Study of Wireless Network Security
JP2006041641A (ja) 無線通信システム

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120730

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130730

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140730

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150730

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee