KR100879981B1 - 와이맥스 네트워크에 있어서 초기 네트워크 진입 과정 보안시스템 및 그 방법 - Google Patents

와이맥스 네트워크에 있어서 초기 네트워크 진입 과정 보안시스템 및 그 방법 Download PDF

Info

Publication number
KR100879981B1
KR100879981B1 KR1020060126833A KR20060126833A KR100879981B1 KR 100879981 B1 KR100879981 B1 KR 100879981B1 KR 1020060126833 A KR1020060126833 A KR 1020060126833A KR 20060126833 A KR20060126833 A KR 20060126833A KR 100879981 B1 KR100879981 B1 KR 100879981B1
Authority
KR
South Korea
Prior art keywords
base station
mobile terminal
key
ranging code
public key
Prior art date
Application number
KR1020060126833A
Other languages
English (en)
Other versions
KR20080054649A (ko
Inventor
손태식
최욱
최선웅
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020060126833A priority Critical patent/KR100879981B1/ko
Publication of KR20080054649A publication Critical patent/KR20080054649A/ko
Application granted granted Critical
Publication of KR100879981B1 publication Critical patent/KR100879981B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 와이맥스 네트워크에 있어서 초기 네트워크 진입 과정 보안 방법 및 이를 위한 시스템에 관한 것으로, 이동 단말과 기지국은 적어도 하나의 레인징 코드 중 암호화 키를 생성하기 위한 레인징 코드를 선택하는 단계와 상기 이동 단말과 기지국은 선택된 레인징 코드를 이용하여 암호화 키를 생성하고, 상기 생성된 암호화 키를 이용하여 SBC 협상 과정 및 인증 과정에 사용되는 데이터를 암호화하여 송수신하는 단계를 포함하는 와이맥스 네트워크의 초기 네트워크 진입 방법 및 이를 구현하기 위한 이동 단말 및 기지국을 제공함으로써 단말의 초기 네트워크 진입 과정 시 발생하는 보안 취약성 문제를 해결할 수 있다.

Description

와이맥스 네트워크에 있어서 초기 네트워크 진입 과정 보안 시스템 및 그 방법{Security Method for Initial Network Entry Process in the Wimax Network and System Thereof}
도 1은 일반적인 와이맥스 네트워크의 구성을 나타낸 블록도.
도 2는 일반적인 와이맥스 네트워크 시스템에서의 초기 단말 진입 과정을 나타낸 순서도.
도 3은 본 발명의 일 실시예에 따른 와이맥스 네트워크의 보안 컨텍스트 암호화 방법을 나타낸 순서도.
도 4는 본 발명의 다른 실시예에 따른 이동 단말의 내부 구성을 나타낸 블록도.
도 5는 본 발명의 또 다른 실시예에 따른 기지국의 내부 구성을 나타낸 블록도.
<도면의 주요 부분에 대한 부호 설명>
100 : 이동 단말 200 : 기지국
110 : 이동 단말의 패킷 송수신부 210 : 기지국의 패킷 송수신부
120 : 이동 단말의 레인징 수행부 220 : 기지국의 레인징 수행부
130 : 이동 단말의 키 저장부 230 : 기지국의 키 저장부
140 : 암호화/복호화부 240 : 기지국의 암호화/복호화부
본 발명은 와이맥스 네트워크에 있어서 초기 네트워크 진입 과정 보안 방법 및 이를 위한 시스템에 관한 것이다.
도 1은 일반적인 와이맥스 네트워크의 구성을 나타낸 블록도이다.
도 1에 도시된 바와 같이 와이맥스 네트워크는 이동 단말, 기지국, 제어국, 인증 서버, 홈 에이전트 등을 포함하여 구성될 수 있다.
이동 단말(10)은 Portable Subscriber Station으로도 불리우며, 휴대용 인터넷 서비스를 제공하기 위한 장치에 해당한다.
기지국(RAS : Radio Access Station)(20)은 유선 네트워크 종단에서 무선 인터페이스를 통해 이동 단말(10)과 통신을 수행하는 구성 요소에 해당한다.
제어국(ACR : Access Control Router)(30)은 이동 단말(10)과 기지국(20)을 제어하는 구성 요소이며, IP 패킷을 라우팅하는 역할도 수행하게 된다.
홈 에이전트(HA : Home Agent)(50)는 홈 네트워크에서 이동 단말(10)의 IP 이동성을 지원하기 위한 와이맥스 네트워크 구성 요소이다.
AAA(Authentication, Authorization, Accounting) 서버(40)는 적법한 사용자에 한하여 와이맥스 인터넷 망에 접속, 서비스를 제공하기 위하여 사용자 및 이동 단말(10)에 대한 인증(Authentication), 권한 검증(Authorization) 및 과금(Accounting)을 수행하는 역할을 담당한다.
이와 같은 휴대용 무선 인터넷인 와이맥스 서비스를 제공하기 위하여 가장 중요한 기술적 과제는 보안 문제이다. 이하, 현재 와이맥스 포럼에 규정되어 있는 이동 단말의 인증 절차에 대하여 살펴보기로 한다.
도 2는 일반적인 와이맥스 네트워크 시스템에서의 초기 단말 진입 과정을 나타낸 순서도이다.
먼저, 이동 단말(10)은 기지국(20)으로부터 UL-MAP 메시지를 수신하게 된다(S201). 이와 같은 UL-MAP 메시지에는 다수의 초기 레인징 코드(Initial Ranging Code)가 포함되어 있다. 이 때 이동 단말(10)은 다수의 레인징 코드 중 하나를 선택하여 기지국(20)으로 전송한다(S202).
이와 같이 레인징 코드의 선택 과정 후 기지국(20)과 이동 단말(10)은 레인징 요청 메시지(RNG-RSP Message), 레인징 응답 메시지(RNG-REQ Message) 등을 교환함으로써 레인징 과정을 수행하게 된다(S203, S204). 이와 같은 과정은 IEEE 802.16e section 6.3.2.3.5에 더욱 자세히 기재되어 있다.
S201 내지 S204 과정의 레인징 과정이 종료된 이후 이동 단말(10)과 기지 국(20)은 단말 기본 능력 협상 과정(BC : Basic Capability)을 수행하게 된다. 먼저, 이동 단말(10)은 SBC 요청 메시지(SBC-REQ Message)를 기지국으로 전송하게 되며(S206), 상기 SBC 요청 메시지를 수신한 기지국(20)은 제어국(30)으로 단말 상태 변경 요청 메시지(NetEntry MS State Change Request Message)를 보내 보안 정책(Authorization Policy)을 요구하게 된다(S207).
제어국(30)은 기지국(20)으로 단말 상태 변경 응답 메시지(NetEntry MS State Change Response Message)를 이용하여 보안 정책을 전달하게 되며(S208), 기지국(20)은 제어국(30)으로부터 전달받은 보안 정책을 포함하는 SBC 응답 메시지(SBC-RSP Message)를 이동 단말(10)로 전달하게 된다(S209). 상기 보안 정책에는 이동 단말(10)이 수행할 인증 방법이 포함되어 있으므로 S206 내지 S209의 과정은 보안 협상 과정(Security Negotiation)에도 해당한다. 이 후 PKM(Privacy Key Management) 인증 과정 등이 수행된다.
제어국(30)은 인증 릴레이 프로토콜(AuthRelay-EAP-Transfer : Authentication Relay Protocol)에 따라 EAP(Extensible Authentication Protocol) 요청 코드 및 식별자를 기지국(20)으로 전송한다(S210). 이를 수신한 기지국(20)은 PKM 응답 메시지를 이용하여 EAP 요청 코드 및 식별자를 이동 단말(10)로 전송하게 된다(S211).
이동 단말(10)은 EAP 요청에 대한 응답을 기지국(20)을 경유하여 제어국(30)으로 전달하게 된다. 이 과정을 세부적으로 설명하면 사용되는 이동 단말(10)은 PKM 요청 메시지(PKM-REQ Message)를 이용하여 기지국(20)으로 EAP 응답(EAP Response/Identity - NAI)을 하게 되고(S212), 기지국(20)은 인증 릴레이 프로토콜을 이용하여 제어국(30)으로 이동 단말의 EAP 응답을 전달하게 된다(S213). 상기 응답에는 네트워크 접근 식별자(NAI : Network Access Identifier)가 포함된다.
상기 네트워크 접근 식별자를 이용하여 EAP 인증 과정이 수행되며, 인증 과정이 성공적으로 이루어진 경우 컨텍스트-리포트 메시지(S216)와 PKM 응답 메시지(PKM-RSP Message)(S217)를 통하여 이동 단말(10)로 보고된다.
기지국(20)과 이동 단말(10)은 PKM 버전 2에 정의된 바와 같이 쓰리웨이 핸드쉐이킹(3 Way Handshaking)을 수행하게 된다. 상기 쓰리웨이 핸드쉐이킹 과정은 각각 SA-TEK-Challgenge 메시지(S219), SA-TEK-Request 메시지(S220) 및 SA-TEK-Response 메시지(S221)의 전송 과정을 의미한다.
이와 같이 3웨이 핸드쉐이킹 과정이 종료된 이후 이동 단말(10)은 기지국(20)으로 암호화 키(TEK : Traffic Encryption Key)를 요청하게 된다(S222). 이에 대하여 기지국(20)은 암호화 키를 이동 단말(10)로 응답(TEK Resopnse)함(S223)으로써 PKM 인증 과정이 종료된다.
이와 같이 PKM 인증 과정이 종료된 이후 이동 단말(10)과 기지국(20)은 암호화 키를 이용하여 안전한 데이터 통신을 수행하는 것이다(S224).
IEEE 802.16e 표준 문서와 와이맥스 포럼의 NWG 스테이지 문서에는 도 2에서 설명한 바와 같이 네트워크 초기 진입 과정에서 PKMv2를 기반으로 RSA 인증이나 EAP 기반 인증을 수행하도록 권고하고 있다. 그러나, 이와 같은 인증 방법을 이용 하는 경우 다음과 같은 문제점이 발생할 수 있다.
이와 같은 PKM 인증 과정이 성공적으로 종료되어 TEK를 생성한 후에 비로소 일반 데이터 트래픽에 대한 보안 기능만을 수행하는 것이다. 이와 같은 보안 과정의 특징상 네트워크 초기 진입 과정에서 인증 과정이 정상적으로 종료되기 이전에 교환되는 보안 컨텍스트(Security Context)에 대하여는 보안이 보장될 수 없다.
즉, 초기 네트워크 진입 과정시 와이맥스 네트워크의 이동 단말과 기지국은 협상 관련 파라미터들을 보안 기능 없이 평문으로 교환하게 되므로 제3자에 대하여 노출 위험성을 가지게 된다는 문제점이 존재하는 것이다.
따라서, 본 발명은 상기한 종래 기술에 따른 문제점을 해결하기 위한 것으로, 초기 레인징 과정 중 디피-헬만 키 교환 과정을 수행함으로써 이동 단말(SS)과 기지국(BS)간 교환되는 협상 관련 파라미터들을 암호화할 수 있는 와이맥스 네트워크에 있어서의 초기 네트워크 진입 과정 보안 방법 및 이를 위한 시스템의 제공을 그 목적으로 한다.
본 발명의 일 측면에 따른 와이맥스 네트워크의 초기 네트워크 진입 방법은 이동 단말과 기지국은 적어도 하나의 레인징 코드 중 암호화 키를 생성하기 위한 레인징 코드를 선택하는 단계와 상기 이동 단말과 기지국은 선택된 레인징 코드를 이용하여 암호화 키를 생성하고, 상기 생성된 암호화 키를 이용하여 SBC 협상 과정 및 인증 과정에 사용되는 데이터를 암호화하여 송수신하는 단계를 포함할 수 있다.
상기 암호화 키를 생성하는 단계는 디피-헬만 키 암호화 생성 방법을 이용하는 것을 특징으로 한다. 이 경우 상기 암호화 키를 생성하는 단계는 상기 레인징 코드 중 선택된 레인징 코드를 이용하여 소수(Prime Number)와 원시근(Primitive Root)을 생성하는 단계, 상기 이동 단말과 기지국은 각각 상기 소수와 원시근을 이용하여 자신만의 사설 키(Private Key)와 공개 키(Public Key)를 생성하는 단계, 및 상기 이동 단말과 기지국은 각각의 공개 키를 상호 교환하는 단계를 포함할 수 있다. 또한, 상기 이동 단말과 기지국이 SBC 협상 과정 및 인증 과정에 사용되는 데이터를 암호화하여 송수신하는 단계는 상기 이동 단말은 제1 데이터를 기지국의 공개 키를 이용하여 암호화하여 기지국으로 전송하고, 상기 기지국은 자신의 사설 키를 이용하여 수신한 제1 데이터를 복호화하는 단계와 상기 기지국은 제2 데이터를 상기 이동 단말의 공개 키를 이용하여 암호화하여 이동 단말로 전송하고, 상기 이동 단말은 자신의 사설 키를 이용하여 수신한 제2 데이터를 복호화하는 단계를 포함하는 것을 특징으로 한다.
한편, 상기 이동 단말과 기지국의 레인징 코드의 선택 단계는 상기 기지국은 다수의 레인징 코드를 포함하는 업링크-맵(UL-MAP) 메시지를 상기 이동 단말로 전송하는 단계, 상기 이동 단말은 수신된 업링크-맵 메시지에 포함된 다수의 레인징 코드 중 하나의 레인징 코드를 임의로 선택하는 단계를 포함한다.
본 발명의 다른 측면에 따른 와이맥스 네트워크의 초기 네트워크 진입 방법은 기지국은 적어도 하나의 레인징 코드를 포함하는 업링크-맵 메시지를 이동 단말로 전송하는 단계, 상기 이동 단말은 다수의 레인징 코드 중 하나의 레인징 코드를 선택하여, 프라임 넘버와 원시근을 생성하고, 이를 이용하여 자신의 사설 키와 공개 키를 생성하는 단계, 상기 이동 단말은 프라임 넘버, 원시근 및 자신의 공개키를 포함하는 Initial Ranging Code 메시지를 기지국으로 전달하는 단계, 상기 기지국은 Initial Ranging Code 메시지에 포함된 프라임 넘버와 원시근을 이용하여 자신의 사설키와 공개키를 생성하고, 자신의 공개키를 RNG-RSP 메시지에 삽입하여 이동 단말로 전달하는 단계, 및 상기 Initial Ranging Code 메시지 전달 과정과 RNG-RSP 메시지 전달 과정을 통해 상기 이동 단말과 상기 기지국이 서러 상대방의 공개키를 확보하며, 상기 이동 단말과 상기 기지국은 확보한 상대방의 공개키를 이용하여 각각 자신의 사설키를 생성하고, 확보한 상대방의 공개키와 생성한 자신의 사설키를 사용하여 SBC 협상 과정과 인증 과정을 수행하는 단계를 포함할 수 있다.
본 발명의 또 다른 측면에 따른 와이맥스 네트워크 시스템은 다수의 레인징 코드 중 하나를 선택하여 기지국으로 전송하고, 상기 선택된 레인징 코드를 이용하여 자신의 사설 키와 공개 키를 생성하여 기지국과 SBC 협상 과정 및 인증 과정을 수행하는 이동 단말과 상기 이동 단말로부터 전송된 선택된 레인징 코드를 이용하여 자신의 사설 키와 공개 키를 생성하여 상기 이동 단말과 SBC 협상 과정 및 인증 과정을 수행하는 기지국을 포함한다.
상기 이동 단말과 기지국은 상기 선택된 레인징 코드를 이용한 디피-헬만 키 생성 방법에 따라 자신의 사설 키와 공개 키를 생성하는 것을 특징으로 한다.
이 경우 기 이동 단말은 선택된 레인징 코드를 이용하여 프라임 넘버와 원시근을 생성하고, 상기 프라임 넘버와 원시근을 이용하여 자신의 사설 키와 공개 키를 생성하며, 상기 이동 단말은 상기 프라임 넘버, 원시근 및 자신의 공개 키를 포함하는 Initial Ranging Code 메시지를 상기 기지국으로 전달하는 것을 특징으로 한다.
또한, 상기 기지국은 상기 Initial Ranging Code 메시지에 포함된 프라임 넘버와 원시근을 이용하여 자신의 공개 키와 사설 키를 생성하고, 상기 기지국의 공개 키를 포함하는 RNG-RSP 메시지를 상기 이동 단말로 전송하는 것을 특징으로 한다.
이하, 본 발명에 따른 와이맥스 네트워크에 있어서 초기 네트워크 진입 과정 보안 방법 및 이를 위한 시스템에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 3은 본 발명의 일 실시예에 따른 와이맥스 네트워크의 보안 컨텍스트 암호화 방법을 나타낸 순서도이다.
먼저, 기지국(RAS : Radio Access Station)(200)은 이동 단말(MS : Mobile Station)(100)로 업링크-맵 메시지(UL-MAP : UpLink MAP)를 전송하게 된다(S301). 상기 업링크-맵 메시지에는 레인징 과정시 사용할 다수의 레인징 코드(Ranging Code)가 포함되어 있다.
이동 단말(100)은 S301 과정을 통하여 수신한 다수의 레인징 코드 중 하나의 레인징 코드를 선택하여 디피-헬만 키 교환시 이용되는 프라임 넘버와 원시근(Primitive Root) 및 자신의 공개 키를 생성하게 된다(S302).
이동 단말(100)은 프라임 넘버를 생성한 후, 자신이 선택한 레인징 코드, 프라임 넘버(p), 원시근(q) 및 자신의 공개 키를 기지국(200)으로 전달하게 된다(S303). 이와 같은 과정은 Initial Ranging Code 메시지를 이용하여 이루어질 수 있다. 이와 같은 메시지는 종래의 레인징 과정에서도 이용되는 메시지에 해당하므로 본 발명은 종래의 메시지 전송 알고리즘에 어긋나지 않게 된다. 여기서, 프라임 넘버, 원시근, 및 이동 단말의 공개키가 디피-헬만 키교환 방법 중 이용되는 글로벌 파라미터(Global Parameter)들이다.
이제 기지국(200)은 이동 단말(100)로부터 레인징 코드와 프라임 넘버를 체크한 후, 자신(기지국)의 공개 키를 생성하게 된다(S304). 이 경우 기지국(200)은 이동 단말(100)로부터 수신한 프라임 넘버와 원시근을 매개 변수로 하여 자신의 공개 키를 생성하는 것이다.
기지국(200)은 이와 같이 생성된 자신의 공개 키(기지국의 공개 키)를 레인징-응답 메시지에 삽입하여 이동 단말(100)로 전송하게 된다(S305).
이제 이동 단말(100)과 기지국(200)은 상대방의 공개 키와 프라임 넘버 및 원시근의 정보를 가지게 된다. 이를 이용하여 이동 단말(100)과 기지국(200)은 디피-헬만 방법에 의하여 임시 암호화 키(Pre TEK)인 자신의 사설 키를 생성하게 된다(S306). 사설 키는 자신만이 소유하고 있는 키에 해당하므로 별도의 사설 키 교환 과정은 존재하지 않는 것이 당연하다.
이와 같은 레인징 응답 메시지의 전송을 끝으로 이동 단말(100)과 기지국(200)은 무선 링크의 연결 과정(Connection Establishment)이 이루어진다(S307). 위에서 설명한 레인징 과정에서 디피 헬만 방법을 이용한 암호화 키 교환 과정이 먼저 이루어지게 된다. 이와 같이 생성된 암호화 키는 PBK 과정과 같이 레인징 과정 후 교환되는 TEK와 구별되는 임시 키에 해당한다.
이동 단말(100)과 기지국(200)은 위의 과정에서 생성된 임시의 암호화 키를 이용하여 남아있는 레인징 과정(S308), SBC 과정(S309)과 인증 과정, 키 교환 과정(S310) 등을 순차적으로 수행할 수 있다.
도 4는 본 발명의 다른 실시예에 따른 이동 단말의 내부 구성을 나타낸 블록도이다.
도 4에 도시된 바와 같이 이동 단말(100)은 패킷 송수신부(110), 레인징 수행부(120), 키 저장부(130), 암호화/복호화부(140), PKM 수행부(150), SBC 수행부(160) 등의 구성 요소를 포함할 수 있다. 이와 같은 이동 단말(100)의 구성은 본 발명의 특징을 명확히 설명하기 위하여, 초기 네트워크 진입 과정과 관련된 구성 요소만을 나열하였다. 즉, 기타 전원 공급부(미도시), 키 버튼(미도시), LCD(미도시)와 같은 인터페이스 등의 구성 요소는 생략한 것이다.
패킷 송수신부(110)는 이동 단말(100)과 기지국(200)의 물리적인 패킷 전송을 수행하는 구성 요소에 해당한다. 이와 같은 패킷 송수신부는 안테나(미도시)와 RF 처리를 수행하는 모듈(미도시), 중간 주파수 대역의 신호를 처리하는 모듈(미도 시) 등을 포함할 수 있다.
레인징 수행부(120)는 이동 단말(100)과 기지국(200) 간의 레인징 과정을 수행하는 역할을 담당한다. 상기 레인징 수행부(120)는 본 발명의 핵심적 기술 사상을 구현하기 위한 장치이며, 레인징 제어부(121), 셀렉터(122), 프라임넘버 제너레이터(123), 키 제너레이터(124) 등의 하위 구성 요소를 포함할 수 있다. 이하, 각각의 하위 구성 요소들의 기능 및 연결 관계에 대하여 살펴보기로 한다.
레인징 제어부(121)는 기지국(200)과 연동하여 전반적인 레인징 과정을 수행하는 장치를 의미한다. 특히, 레인징 제어부(121)는 기지국(200)으로부터 수신한 업링크-맵 메시지(UL-MAP)에 포함되어 있는 다수의 레인징 코드를 추출하여 셀렉터(122)로 전송하는 기능을 수행한다.
상기 셀렉터(122)는 레인징 제어부(121)로부터 다수의 레인징 코드 중 하나를 선택하는 동작을 수행한다. 이와 같이 선택된 레인징 코드는 레인징 제어부(121)로 반환되는 한편, 프라임 넘버 제너레이터(123)로 전달된다. 여기서 다수의 레인징 코드 중 하나를 선택하는 과정은 여러 방법이 있으나, 일반적으로 난수표 또는 랜덤 함수 등을 이용할 수 있을 것이다. 난수표 또는 랜덤 함수를 이용하여 다수의 구성 요소 중 하나를 선택하는 과정은 이미 공지된 기술에 해당하므로 그 자세한 설명은 생략하기로 한다.
프라임 넘버 제너레이터(123)는 선택된 레인징 코드를 이용하여 디피 헬만 방법에 따른 암호화 키를 생성하기 위한 프라임 넘버, 즉 소수를 생성하게 된다. 이와 같이 생성된 프라임 넘버, 즉 소수는 키 제너레이터(124)로 전달된다.
키 제너레이터(124)는 전달받은 프라임 넘버를 이용하여 디피-헬만 방법에 다른 암호화 키를 생성하게 된다. 상기 디피-헬만 방법은 송신 단말과 수신 단말이 공유하는 소수, 원시근 및 공개 키를 이용하여 각각 사설 키와 공개 키를 생성하는 방법에 해당한다.
이동 단말(100)의 키 제너레이터(124)는 프라임 넘버를 이용하여 이동 단말(100)의 공개 키를 먼저 생성하게 된다. 생성된 이동 단말(100)의 공개 키는 레인징 제어부(121)로 전달되어 기지국(200)으로 전달된다. 또한, 키 제너레이터(124)는 레인징 제어부(121)를 통하여 기지국(200)의 공개 키를 전달받으며, 이를 이용하여 자신의 사설 키를 생성한다. 생성된 사설 키는 이동 단말(100)의 키 저장부(130)로 전달되어 저장이 된다.
레인징 제어부(121)는 셀렉터(122)가 선택한 레인징 코드, 프라임 넘버 제너레이터(123)가 생성한 프라임 넘버 및 키 제너레이터(124)가 생성한 이동 단말(100)의 공개 키 정보를 획득할 수 있다. 레인징 제어부(100)는 선택된 레인징 코드, 프라임 넘버, 및 이동 단말의 공개 키를 패킷 송수신부(110)를 경유하여 기지국(200)으로 전달하게 된다.
키 저장부(130)는 상기 키 제너레이터(124)가 생성한 이동 단말(100)의 사설 키와 기지국(200)의 공개 키를 저장하기 위한 저장 장치이다. 이와 같은 키 저장부(130)는 읽기와 쓰기가 모두 가능한 메모리 또는 하드 디스크와 같은 보조 기억 장치로 구성될 수 있다. 다만, 본 발명에서 생성하는 키는 임시 키에 해당하므로 SDRAM과 같은 메모리로 구현되는 것이 더욱 바람직할 것이다.
암호화/복호화부(140)는 SBC 과정과 PKM 과정에서 이용되는 보안 컨텍스트를 상기 키 저장부(130)에 저장되어 있는 암호화 키를 이용하여 암호화 또는 복호화를 수행하는 구성 요소이다. 즉, 이동 단말(100)의 암호화/복호화부(140)는 기지국(200)의 공개 키를 이용하여 보안 컨텍스트를 암호화하고, 이를 패킷 송수신부(110)를 통하여 기지국(200)으로 전달한다. 반대로 기지국(200)으로부터 전달된 보안 컨텍스트를 자신의 사설 키를 이용하여 복호화하게 된다.
SBC 수행부(160) 및 PKM 수행부(150)는 각각 SBC 과정 및 PKM 과정을 수행하는 역할을 담당하며, 이들 기능 블록들은 종래의 구성 요소와 크게 다르지 않다. 다만, SBC 수행부(160) 및 PKM 수행부(150)에서 데이터가 암호화/복호화부를 경유하여 기지국과 교환된다는 점이 종래의 기술과 다른 것이다.
도 5는 본 발명의 또 다른 실시예에 따른 기지국의 내부 구성을 나타낸 블록도이다.
도 5에 도시된 바와 같이 기지국(200)은 패킷 송수신부(210), 레인징 수행부(220), 키 저장부(230), 암호화/복호화부(240), PKM 수행부(250), SBC 수행부(260) 등의 구성 요소를 포함할 수 있다. 이와 같은 기지국(200)의 구성은 본 발명의 특징을 명확히 설명하기 위하여, 초기 네트워크 진입 과정과 관련된 구성 요소만을 나열하였다.
레인징 수행부(220)는 기지국(200)과 이동 단말(100) 간의 레인징 과정을 수행하는 역할을 담당한다. 상기 레인징 수행부(220)는 이동 단말(100)의 레인징 수 행부(120)와 달리 레인징 제어부(221)와 키 제너레이터(222) 만을 포함하여 구성될 수 있다. 이하, 각각의 하위 구성 요소들의 기능 및 연결 관계에 대하여 살펴보기로 한다.
레인징 제어부(221)는 이동 단말(100)로 업링크-맵 메시지(UL-MAP)를 전송하는 역할을 수행하는 등 전반적인 레인징 과정을 수행하는 장치에 해당한다. 본 발명에서 레인징 제어부(221)는 이동 단말(100)로부터 프라임 넘버, 원시 근, 이동 단말의 공개 키를 추가적으로 수신하게 된다. 이 중 프라임 넘버와 원시 근은 키 제너레이터(222)로 전달되며, 이동 단말(100)의 공개 키는 기지국(200)의 키 저장부(230)로 전달되어 저장된다.
키 제너레이터(222)는 전달받은 프라임 넘버를 이용하여 암호화 키를 생성하게 된다. 먼저, 기지국(200)의 키 제너레이터(222)는 이동 단말(100)이 생성하여 기지국으로 전달된 프라임 넘버를 이용하여 기지국(200)의 공개 키를 생성하게 된다. 이와 같이 생성된 기지국(200)의 공개 키는 기지국(200)의 레인징 제어부(221)로 전달된다. 레인징 제어부(221)는 레인징-RSP로 정의되어 있는 메시지를 이용하여 이동 단말(100)로 전달하게 된다. 한편, 키 제너레이터(222)는 프라임 넘버, 원시근 및 이동 단말(100)의 공개 키를 이용하여 기지국(200)의 사설 키를 생성하게 된다. 이와 같은 키 생성 방법은 디피-헬만 방법에 따른다.
기지국(200)의 키 저장부(230)는 기지국(200)의 사설 키와 이동 단말(100)의 공개 키를 저장하는 역할을 수행한다는 점에서 이동 단말(100)의 키 저장부(130)와 유사한 구성을 가지게 된다.
또한, 기지국(200)의 암호화/복호화부(240)도 이동 단말(100)의 암호화/복호화부(140)와 유사한 기능을 수행하게 된다. 보안 컨텍스트를 송신하기 위하여 상대방(이동 단말)의 공개 키를 이용하여 암호화하며, 보안 컨텍스트를 수신하는 경우 자신(기지국)의 사설 키를 이용하여 복호화하는 기능을 수행한다.
이동 단말(100)의 경우와 마찬가지로 SBC 수행부(260) 및 PKM 수행부(250)는 각각 SBC 과정 및 PKM 과정을 수행하는 역할을 담당하며, 이들 기능 블록들은 종래의 구성 요소와 크게 다르지 않다. 다만, SBC 수행부(260) 및 PKM 수행부(250)에서 사용하는 데이터가 암호화/복호화부를 경유한다는 점이 종래의 기술과 다른 것이다.
이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리 범위는 설명된 실시예에 국한되어 정해져서는 안되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의하여 정해져야 한다.
상기한 바와 같이 본 발명에 따르면 초기 레인징 과정 중 디피-헬만 키 교환 과정을 수행함으로써 이동 단말(SS)과 기지국(BS)간 교환되는 협상 관련 파라미터 들을 암호화할 수 있는 와이맥스 네트워크에 있어서의 초기 네트워크 진입 과정 보안 방법 및 이를 위한 시스템의 제공을 제공함으로써 단말의 초기 네트워크 진입 과정시 보안 취약성 문제를 해결할 수 있다는 효과를 가질 수 있다.
예를 들어, 본 발명은 디피 헬만 방법에 의하여 이동 단말과 기지국의 임시 암호화 키를 생성하였다. 디피 헬만 방법은 프라임 넘버를 이용하여 두 단말간 공개 키와 사설 키를 생성하는 알고리즘에 해당하며, 본 발명은 다수의 레인징 코드 중 하나를 이용하여 프라임 넘버를 생성하는 것이다. 이러한 특징은 기존의 와이맥스의 협상 절차를 전혀 수정하지 않아도 적용될 수 있는 것이다.
따라서, 기존의 와이맥스의 협상 절차에 이용되는 파라미터를 이용하여 임시 암호화 키를 만드는 방법도 본 발명의 범주에 속할 수 있으며, 이와 같은 알고리즘으로 공개 키 기반의 RSA 응용 방식, Elgamal 기반 방식, 패스워드 인증 기반의 AMP, Augmented-EKE, B-SPEKE, PAK-Z, SRP-3 등을 고려할 수 있다.

Claims (11)

  1. 와이맥스 네트워크의 초기 네트워크 진입 방법에 있어서,
    이동 단말과 기지국은 적어도 하나의 레인징 코드 중 암호화 키를 생성하기 위한 레인징 코드를 선택하는 단계;
    상기 이동 단말과 기지국은 선택된 레인징 코드를 이용하여 암호화 키를 생성하고, 상기 생성된 암호화 키를 이용하여 SBC 협상 과정 및 인증 과정에 사용되는 데이터를 암호화하여 송수신하는 단계를 포함하는 와이맥스 네트워크의 초기 네트워크 진입 방법.
  2. 제1항에 있어서,
    상기 암호화 키를 생성하는 단계는,
    디피-헬만 키 암호화 생성 방법을 이용하는 것을 특징으로 하는 와이맥스 네트워크의 초기 네트워크 진입 방법.
  3. 제2항에 있어서,
    상기 암호화 키를 생성하는 단계는,
    상기 레인징 코드 중 선택된 레인징 코드를 이용하여 소수(Prime Number)와 원시근(Primitive Root)을 생성하는 단계;
    상기 이동 단말과 기지국은 각각 상기 소수와 원시근을 이용하여 자신만의 사설 키(Private Key)와 공개 키(Public Key)를 생성하는 단계;
    상기 이동 단말과 기지국은 각각의 공개 키를 상호 교환하는 단계를 포함하는 와이맥스 네트워크의 초기 네트워크 진입 방법.
  4. 제3항에 있어서,
    상기 이동 단말과 기지국이 SBC 협상 과정 및 인증 과정에 사용되는 데이터를 암호화하여 송수신하는 단계는,
    상기 이동 단말은 제1 데이터를 기지국의 공개 키를 이용하여 암호화하여 기지국으로 전송하고, 상기 기지국은 자신의 사설 키를 이용하여 수신한 제1 데이터를 복호화하는 단계; 와
    상기 기지국은 제2 데이터를 상기 이동 단말의 공개 키를 이용하여 암호화하여 이동 단말로 전송하고, 상기 이동 단말은 자신의 사설 키를 이용하여 수신한 제2 데이터를 복호화하는 단계를 포함하는 것을 특징으로 하는 와이맥스 네트워크의 초기 네트워크 진입 방법.
  5. 제1항에 있어서,
    상기 이동 단말과 기지국의 레인징 코드의 선택 단계는,
    상기 기지국은 다수의 레인징 코드를 포함하는 업링크-맵(UL-MAP) 메시지를 상기 이동 단말로 전송하는 단계;
    상기 이동 단말은 수신된 업링크-맵 메시지에 포함된 다수의 레인징 코드 중 하나의 레인징 코드를 임의로 선택하는 단계를 포함하는 와이맥스 네트워크의 초기 네트워크 진입 방법.
  6. 와이맥스 네트워크의 초기 네트워크 진입 방법에 있어서,
    기지국은 적어도 하나의 레인징 코드를 포함하는 업링크-맵 메시지를 이동 단말로 전송하는 단계;
    상기 이동 단말은 다수의 레인징 코드 중 하나의 레인징 코드를 선택하여, 프라임 넘버와 원시근을 생성하고, 이를 이용하여 자신의 사설 키와 공개 키를 생성하는 단계;
    상기 이동 단말은 프라임 넘버, 원시근 및 자신의 공개키를 포함하는 Initial Ranging Code 메시지를 기지국으로 전달하는 단계; 및
    상기 기지국은 Initial Ranging Code 메시지에 포함된 프라임 넘버와 원시근을 이용하여 자신의 사설키와 공개키를 생성하고, 자신의 공개키를 RNG-RSP 메시지에 삽입하여 이동 단말로 전달하는 단계;
    상기 Initial Ranging Code 메시지 전달 과정과 RNG-RSP 메시지 전달 과정을 통해 상기 이동 단말과 상기 기지국이 서러 상대방의 공개키를 확보하며, 상기 이동 단말과 상기 기지국은 확보한 상대방의 공개키를 이용하여 각각 자신의 사설키를 생성하고, 확보한 상대방의 공개키와 생성한 자신의 사설키를 사용하여 SBC 협상 과정과 인증 과정을 수행하는 단계를 포함하는 와이맥스 네트워크의 초기 네트워크 진입 방법.
  7. 와이맥스 네트워크 시스템에 있어서,
    다수의 레인징 코드 중 하나를 선택하여 기지국으로 전송하고, 상기 선택된 레인징 코드를 이용하여 자신의 사설 키와 공개 키를 생성하여 기지국과 SBC 협상 과정 및 인증 과정을 수행하는 이동 단말;
    상기 이동 단말로부터 전송된 선택된 레인징 코드를 이용하여 자신의 사설 키와 공개 키를 생성하여 상기 이동 단말과 SBC 협상 과정 및 인증 과정을 수행하는 기지국을 포함하는 와이맥스 네트워크 시스템.
  8. 제7항에 있어서,
    상기 이동 단말과 기지국은,
    상기 선택된 레인징 코드를 이용한 디피-헬만 키 생성 방법에 따라 자신의 사설 키와 공개 키를 생성하는 것을 특징으로 하는 와이맥스 네트워크 시스템.
  9. 제7항에 있어서,
    상기 이동 단말은,
    선택된 레인징 코드를 이용하여 프라임 넘버와 원시근을 생성하고, 상기 프라임 넘버와 원시근을 이용하여 자신의 사설 키와 공개 키를 생성하는 것을 특징으로 하는 와이맥스 네트워크 시스템.
  10. 제9항에 있어서,
    상기 이동 단말은,
    상기 프라임 넘버, 원시근 및 자신의 공개 키를 포함하는 Initial Ranging Code 메시지를 상기 기지국으로 전달하는 것을 특징으로 하는 와이맥스 네트워크 시스템.
  11. 제10항에 있어서,
    상기 기지국은,
    상기 Initial Ranging Code 메시지에 포함된 프라임 넘버와 원시근을 이용하여 자신의 공개 키와 사설 키를 생성하고, 상기 기지국의 공개 키를 포함하는 RNG-RSP 메시지를 상기 이동 단말로 전송하는 것을 특징으로 하는 와이맥스 네트워크 시스템.
KR1020060126833A 2006-12-13 2006-12-13 와이맥스 네트워크에 있어서 초기 네트워크 진입 과정 보안시스템 및 그 방법 KR100879981B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060126833A KR100879981B1 (ko) 2006-12-13 2006-12-13 와이맥스 네트워크에 있어서 초기 네트워크 진입 과정 보안시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060126833A KR100879981B1 (ko) 2006-12-13 2006-12-13 와이맥스 네트워크에 있어서 초기 네트워크 진입 과정 보안시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20080054649A KR20080054649A (ko) 2008-06-19
KR100879981B1 true KR100879981B1 (ko) 2009-01-23

Family

ID=39801573

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060126833A KR100879981B1 (ko) 2006-12-13 2006-12-13 와이맥스 네트워크에 있어서 초기 네트워크 진입 과정 보안시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR100879981B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011039774A1 (en) * 2009-09-17 2011-04-07 Tata Consultancy Services Ltd. Method and system for generating random sequences for authentication protocols
KR101506564B1 (ko) * 2014-01-07 2015-03-31 한밭대학교 산학협력단 공개키 기반 파라미터 자동생성기법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050078627A (ko) * 2004-02-02 2005-08-05 한국전자통신연구원 무선 휴대 인터넷 시스템에서 핸드 오버 방법
KR20050109691A (ko) * 2004-05-17 2005-11-22 에스케이 텔레콤주식회사 휴대 인터넷 망에서 핸드 오프에 따른 인증 절차의간략화를 통한 핸드오프로 인한 지연 시간 최소화 시스템및 방법
KR100658907B1 (ko) 2005-12-29 2006-12-15 포스데이타 주식회사 휴대 인터넷 시스템의 기지국 장치 및 호 제어 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050078627A (ko) * 2004-02-02 2005-08-05 한국전자통신연구원 무선 휴대 인터넷 시스템에서 핸드 오버 방법
KR20050109691A (ko) * 2004-05-17 2005-11-22 에스케이 텔레콤주식회사 휴대 인터넷 망에서 핸드 오프에 따른 인증 절차의간략화를 통한 핸드오프로 인한 지연 시간 최소화 시스템및 방법
KR100658907B1 (ko) 2005-12-29 2006-12-15 포스데이타 주식회사 휴대 인터넷 시스템의 기지국 장치 및 호 제어 방법

Also Published As

Publication number Publication date
KR20080054649A (ko) 2008-06-19

Similar Documents

Publication Publication Date Title
ES2584862T3 (es) Autenticación en comunicación de datos
CN101005359B (zh) 一种实现终端设备间安全通信的方法及装置
KR100729105B1 (ko) 비 유에스아이엠 단말기에서의 이에이피-에이케이에이 인증처리 장치 및 방법
EP1589695B1 (en) A method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely
KR100704675B1 (ko) 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
KR100879982B1 (ko) 모바일 와이맥스 네트워크 시스템에서의 보안 시스템 및방법
RU2420896C2 (ru) Способ и устройство для взаимной аутентификации
RU2444861C2 (ru) Защищенная беспроводная связь
JP4170912B2 (ja) ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用
JP4002035B2 (ja) 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法
JP2012110009A (ja) エンティティの認証と暗号化キー生成の機密保護されたリンクのための方法と構成
JPH07193569A (ja) 通信の安全を保つ方法及び安全にデータを転送する装置
WO2008021855A2 (en) Ad-hoc network key management
US8819415B2 (en) Method and device for authenticating personal network entity
CN102857912A (zh) 由内部密钥中心(ikc)使用的用于安全通信的方法
CN101500229A (zh) 建立安全关联的方法和通信网络系统
KR20070025366A (ko) 무선 랜 시스템의 보안 시스템 및 그 방법
CN104683359A (zh) 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法
WO2006096017A1 (en) Authentication method and key generating method in wireless portable internet system
KR100879981B1 (ko) 와이맥스 네트워크에 있어서 초기 네트워크 진입 과정 보안시스템 및 그 방법
KR20130046781A (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
RU2278477C2 (ru) Способ аутентификации для стационарных региональных систем беспроводного широкополосного доступа
CN115314278B (zh) 可信网络连接身份认证方法、电子设备及存储介质
CN101176296A (zh) 网络辅助终端到simm/uicc密钥建立
JPH09326789A (ja) 携帯無線端末間通信における相手認証方法及びシステム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121228

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20131230

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20141223

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20151229

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20161228

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20171228

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee