KR101018911B1 - 무선 메쉬 네트워크에서의 보안 정책 교섭을 위한 기술 - Google Patents
무선 메쉬 네트워크에서의 보안 정책 교섭을 위한 기술 Download PDFInfo
- Publication number
- KR101018911B1 KR101018911B1 KR1020097004379A KR20097004379A KR101018911B1 KR 101018911 B1 KR101018911 B1 KR 101018911B1 KR 1020097004379 A KR1020097004379 A KR 1020097004379A KR 20097004379 A KR20097004379 A KR 20097004379A KR 101018911 B1 KR101018911 B1 KR 101018911B1
- Authority
- KR
- South Korea
- Prior art keywords
- network node
- mesh network
- local
- remote
- message
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/67—Risk-dependent, e.g. selecting a security level depending on risk profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/16—Central resource management; Negotiation of resources or communication parameters, e.g. negotiating bandwidth or QoS [Quality of Service]
- H04W28/18—Negotiating wireless communication parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Abstract
본 발명은 메쉬 링크 설정 프로토콜 위에 보안을 희생하지 않고 암호 슈트 교섭(ciphersuite negotiation)을 오버레이하는 기술에 관한 것이다. (1) 
가 인증키라고 할 때 
로 표시되는 메시지 무결성 코드(
는 위조 메시지를 검출하는데 사용될 수 있음)와 (2) 
로 표시될 암호 난수 발생기의 두 개의 암호 프리미티브가 이용될 수 있다. 본 기술은 임의의 다항식 시간 알고리즘에 의해 예측될 수 없는 값을 생성하기 위해 
를 사용할 수 있다.
메쉬 링크 설정 프로토콜, 메쉬 포인트, 암호 슈트 교섭, 메시지 무결성 코드, 암호 난수 발생기, 보안 정책, 비디오 스트리밍, IEEE 802.11, 블루투스
Description
본 발명의 실시예는 무선 통신에 관한 것이다. 보다 구체적으로, 본 발명의 실시예는 무선 메쉬 네트워크(wireless mesh network)에서의 보안에 관한 것이다.
본 출원은 2006.9.18 출원된 미국 가출원(Provisional Application) 제60/845,631호에 대하여 우선권을 주장한다.
IEEE 802.11s는 IEEE 802.11 표준에 대해 개발 중에 있는 수정안(amendment)으로, 개발이 완료될 시 무선 근거리 네트워크(wireless local area network: WLAN) 표준에 메쉬 기능(mesh capabilities)을 추가하기 위한 프로토콜을 제공하도록 의도한 것이다. 메쉬 구조(mesh architecture)는 다수의 무선 홉(wireless hops)으로 구성된 경로 상으로 데이터가 전달될 수 있도록 한다. IEEE 802.11s는 그 전환 과정에서 보안 기능을 떨어뜨리지 않고 서비스 품질(quality of service; QoS)의 저하가 없이 메쉬 기능을 추가함으로써 데이터 전송의 수율(throughput)을 향상시키도록 계획되었다. 이 수정안으로부터 얻어질 수 있는 장점들 중의 하나는 메쉬 네트워크상으로 비디오 스트리밍(video streaming)을 제공할 수 있는 능력이다.
본 발명의 실시예는 첨부된 도면에 한정적인 방법이 아닌 예시로서 도시되었다. 이 도면들에서 유사한 참조 번호는 유사한 구성요소를 나타낸다.
도 1은 전자 시스템(electronic system)의 일실시예를 도시하는 블록도.
도 2는 메쉬 네트워크에서의 보안 정책 교섭(security policy negotiation)을 위한 기술의 일실시예를 도시하는 도면.
도 3은 본 개시에 설명된 것처럼 통신할 수 있는 두 메쉬 포인트(mesh point)의 일실시예를 도시하는 블록도.
아래의 설명에서, 다수의 특정한 상세가 설명된다. 그러나, 본 발명의 실시예는 이러한 특정한 상세 없이도 실시될 수 있다. 다른 경우에 있어서, 잘 알려진 회로, 구조 및 기술은 본 설명의 이해를 불명료하게 하지 않기 위해 상세히 설명되지 않았다.
비디오 스트림 분배(video stream distribution)는 메쉬 상의 피어 링크(peer link)가 Wi-Fi 미디어 상의 노이즈와 무관하게 설정되어야 한다는 제약을 메쉬 네트워크 설계에 부과한다. 보안 피어 링크 설정(secure peer link establishment) 과정이 비디오 스트림 분배에 의해 부과된 제약을 만족할 수 있을 만큼 짧은 시간 프레임(time frame) 내에 완료될 수 있을지 여부에 관한 관심이 있어왔다.
하나의 기술은 기본 피어 링크 설정 프로토콜 위에 보안 핸드쉐이크(security handshake)를 오버레이(overlay) 시킴으로써 보안 피어 링크의 설정 과정을 신속화하는 것이다. 이 방식은, 무선랜 메쉬 포인트(MP)가 이전에 설정된 쌍방향 마스터 키(pairwise master key; PMK)에 대한 선험적 지식(priori knowledge)과 그에 대한 제어 권한을 갖고 있다면, MP로 하여금 보안 링크 설정 과정 중 몇몇 단계를 생략하도록 할 수 있다. 이러한 접근법은 MP가 어떤 링크상에서의 연결이 자주 끊어질 수 있다는 점을 감안할 때, 메쉬 상에서의 비디오 스트림 어플리케이션에 대한 사용자의 경험을 향상시킬 수 있다고 믿어진다.
피어 링크 설정 프로토콜의 802.11s 보안 강화에 따라 새로운 보안 문제와 성능면에서의 도약이라는 과제가 등장한다. 이 프로토콜의 첫 단계는 유니캐스트(unicast)/멀티캐스트(multicast) 메쉬 트래픽(traffic) 보호를 가능하게 하기 위해 보안 정책(특히 암호 알고리즘)을 교섭하는 것이다. 그러한 알고리즘은 일반적으로 암호 슈트(ciphersuites)라고 불린다. 양쪽의 메쉬 포인트는 피어 링크 설정 과정을 완료하기 전에 그들 사이의 링크 인스턴스(link instance)에 사용하기 위한 암호 슈트를 합의한다.
IEEE 802.11의 보안 수정안인 IEEE 802.11i에서는, 암호 슈트 교섭(negotiation)이 무선랜 액세스 포인트(access point: AP)가 암호 슈트의 리스트를 광고(advertise)하고 무선랜 스테이션(station: STA)이 지원 가능한 암호 슈트를 그 리스트로부터 선택하는 클라이언트/서버 모델을 사용하여 이루어진다. 무선랜 메쉬는 링크를 설정하기 위해 피어-투-피어(peer-to-peer) 모델을 사용하는데, 이는 링크 설정 과정에서 교환되는 메시지의 개수가 리스트의 길이에 비례하지 않는 한 클라이언트-서버 모델에서 사용되는 합의 방법이 비신뢰적(unreliable)이라는 것을 의미한다.
메쉬 네트워크의 각각의 메쉬 포인트는 전자 시스템일 수 있다. 도 1은 전자 시스템의 일실시예를 도시하는 블록도이다. 도 1에 도시된 전자 시스템은, 예를 들어 데스크톱 컴퓨터 시스템, 랩톱 컴퓨터 시스템, 휴대전화, 셀룰러-인에이블(cellular enabled) 개인 휴대 정보 단말기(PDA)를 포함하는 개인 휴대 정보 단말기, 셋톱박스(set top box)를 망라하는 전자 시스템(유선 또는 무선)을 나타내고자 한 것이다. 전자 시스템의 다른 실시예에서는 도시된 것보다 많은 구성요소, 적은 구성요소 및/또는 상이한 구성요소를 포함할 수 있다.
전자 시스템(100)은 정보를 전달하기 위한 버스(105) 또는 기타 통신 장치, 및 버스(105)와 결합되어 정보를 처리할 수 있는 프로세서(110)를 포함한다. 비록 전자 시스템(100)이 하나의 프로세서를 가진 것으로 도시되었지만, 전자 시스템(100)은 다수의 프로세서 및/또는 코프로세서(co-processor)를 포함할 수 있다. 전자 시스템(100)은 버스(105)에 결합되고 프로세서(110)에 의해 수행될 수 있는 정보와 명령어를 저장할 수 있는 랜덤 액세스 메모리(random access memory: RAM) 또는 기타 동적 저장 장치(dynamic storage device)(120)("메인 메모리"라고 불림)를 더 포함할 수 있다. 메인 메모리(120)는 프로세서(110)에 의한 명령어의 실행 중에 임시 변수(temporary variable) 또는 기타 중간 정보를 저장하는 데에도 사용될 수 있다.
전자 시스템(100)은 또한 프로세서(110)를 위한 정적 정보와 명령어를 저장할 수 있는, 버스(105)에 결합된 읽기 전용 메모리(read only memory: ROM) 및/또는 기타 정적 저장 장치(static storage device)(130)를 포함할 수 있다. 데이터 저장 장치(140)는 정보와 명령어를 저장하기 위해 버스(105)에 결합될 수 있다. 자기 디스크(magnetic disk) 또는 광 디스크(optical disk), 및 해당 드라이브(corresponding drive)와 같은 데이터 저장 장치(140)는 전자 시스템(100)에 결합될 수 있다.
전자 시스템(100)은 또한 버스(105)를 통하여 사용자에게 정보를 표시하기 위해 음극선관(cathode ray tube: CRT) 또는 액정 표시 장치(liquid crystal display: LCD) 등과 같은 표시 장치(display device; 150)와 결합될 수 있다. 알파뉴메릭과 기타 키를 포함하는 알파뉴메릭 입력 장치(alphanumeric input device; 160)는 정보와 명령 선택을 프로세서(110)로 전달하기 위해 버스(105)에 결합될 수 있다. 사용자 입력 장치의 다른 하나의 유형은 방향 정보와 명령 선택을 프로세서(110)로 전달하고 표시 장치(150)에서의 커서 이동을 제어하기 위한 마우스, 트랙볼(trackball), 또는 커서 방향키(cursor direction key)와 같은 커서 제어 장치(cursor control)(170)이다.
전자 시스템(100)은 근거리 네트워크와 같은 네트워크에의 접속을 제공하기 위한 네트워크 인터페이스(180)를 더 포함할 수 있다. 네트워크 인터페이스(180)는, 예를 들어 하나 이상의 안테나를 나타낼 수 있는 안테나(185)를 가진 무선 네트워크 인터페이스를 포함할 수 있다. 네트워크 인터페이스(180)는 또한, 예를 들어 네트워크 케이블(187)(예를 들어, 이더넷 케이블(Ethernet cable), 동축 케이블(coaxial cable), 광섬유 케이블(fiber optic cable), 직렬 케이블(serial cable), 또는 병렬 케이블(parallel cable)일 수 있음)을 통해 원거리 장치와 통신하기 위한 유선 네트워크 인터페이스를 포함할 수 있다.
일실시예에서, 네트워크 인터페이스(180)가, 예를 들어 IEEE 802.11 표준에 따라 근거리 네트워크로의 접속을 제공하거나, 및/또는 무선 네트워크 인터페이스가, 예를 들어 
표준에 따라 개인 통신 네트워크(personal area network)로의 접속을 제공할 수 있다. 
는 Bluetooth SIG, Inc. 소유의 등록 상표이다. 기타 무선 네트워크 인터페이스 및/또는 프로토콜도 또한 지원될 수 있다.
IEEE 802.11 표준은, 예를 들어 IEEE 802.11b, IEEE 802.11g 뿐만 아니라 여기에 특별히 언급되지 않은 기타 IEEE 802.11 표준을 포함할 수 있다. IEEE 802.11b는 1999.9.16자로 승인된 "Local and Metropolitan Area, Part 11: Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) Specifications: Higher-Speed Physical Layer Extension in the 2.4 GHz Band"라는 제목의 IEEE Std. 802.11b-1999 뿐 아니라 이와 관련된 문서에도 대응된다. IEEE 802.11g는 2003.6.27자로 승인된 "Local and Metropolitan Area Network, Part 11: Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) Specifications, Amendment 4: Further Higher Rate Extension in the 2.4 GHz Band"라는 제목의 IEEE Std. 802.11g-2003 뿐 아니라 이와 관련된 문서에도 대응된다. 블루투스(Bluetooth) 프로토콜은 블루투스 SIG(Bluetooth Special Interest Group, Inc.)에 의해 2001.2.22에 발행된 "Specification of the Bluetooth System: Core, Version 1.1"에 기술되어 있다. 블루투스 표준의 연관된 버전뿐 아니라 이전 또는 이후의 버전도 또한 지원될 수 있다.
보안을 희생하지 않는 메쉬 4 메시지 링크 설정 프로토콜(mesh four message link establishment protocol) 위의 암호 슈트 교섭을 위한 오버레이가 여기에 기술되어 있다. 일실시예에서, (1) 
가 인증키(authentication key)라고 할 때 
로 표시되는 메시지 무결성 코드(message integrity code)(
는 위조 메시지(forged message)를 검출하는데 사용될 수 있음)와 (2) 
로 표시될 암호 난수 발생기(cryptograhic random number generator)의 두 개의 암호 프리미티브(cryptographic primitives)가 이용될 수 있다. 여기에 서술된 기술은 임의의 다항식 시간 알고리즘(polynomial time algorithm)에 의해 예측될 수 없는 값을 생성하기 위해 
를 사용할 수 있다. ANSI 표준 X9.31과 X9.82는 암호 난수 발생기의 예를 제공한다. 메시지 인증 코드의 예는 CMAC 모드의 ASE, 및 HMAC 모드의 SHA-256을 포함한다.
링크는 메쉬 네트워크 내의 두 포인트 사이에 설정될 수 있다. 한 메쉬 포인트는 또한 메쉬 포인트 
라고 불리고, 메쉬 포인트 
는 
로 표시될 연관된 식별자(identifier)를 갖는다. 
의 IEEE 802.11 MAC 어드레스는 
에 적합한 값이지만, 임의의 다른 고유한 식별자도 가능하다. 다른 하나의 메쉬 포인트는 
라고 불리고, 메쉬 포인트 
는 
라고 표시될 식별자를 갖는다. 
의 IEEE 802.11 MAC 어드레스는 
에 적합한 값이지만, 임의의 다른 고유한 식별자도 가능하다.
일실시예에서, 메쉬 포인트 A는 (1) 수용가능한 암호 슈트의 리스트
(이 리스트는 
이 
의 길이라 할 때, 메쉬 포인트 
가 유니캐스트/멀티캐스트 메쉬 트래픽 보호를 위해 지원하는 암호 슈트 
을 포함할 수 있음), 그리고 (2) 메시지 인증 코드 
를 맞추기(key) 위하여 사용되는 그리고 
가 메쉬 포인트 
와 공유하는 고유한 인증 키 
(이 인증 키 
는 메쉬 포인트 
인 것처럼 위장하는 장치에 의해 위조된 메시지를 메쉬 포인트 
가 검출할 수 있도록 함) 를 유지할 수 있다. 메쉬 포인트 
는 
를 메쉬 포인트 
로 식별하기 위해 
를 이용할 수 있다.
일실시예에서, 메쉬 포인트 B는 (1) 수용가능한 암호 슈트의 리스트
(이 리스트는 
이 
의 길이라 할 때, 메쉬 포인트 
가 유니캐스트/멀티캐스트 메쉬 트래픽 보호를 위해 지원하는 암호 슈트 
을 포함함), 그리고 (2) 메시지 인증 코드 
를 맞추기(key) 위하여 사용되는 그리고 메쉬 포인트 
와 공유되는 고유한 인증 키 
(이 인증 키 
는 메쉬 포인트 
인 것처럼 위장하는 장치에 의해 위조된 메시지를 메쉬 포인트 
가 검출할 수 있도록 함)를 유지할 수 있다. 메쉬 포인트 
는 
를 메쉬 포인트 
로 식별하기 위해 
를 이용할 수 있다.
아래의 설명은 메쉬 포인트 
와 메쉬 포인트 
사이에 공유되는 인증 키 
가 어떤 보안 방식(secure fashion)에 따라 설정되고, 각각의 MAC 어드레스에 결부되어 있다고 가정한다. 즉, 
와 
모두는 
가 각자의 식별자를 사용하는 장치들 간에 교환되는 메시지를 보호하기 위해 사용된다는 것을 안다고 가정한다. 구성(configuration)은 당업계에 알려진 임의의 방법으로 이루어질 수 있다. 이 설명은 또한 각각의 메쉬 포인트에 의해 지원되는 수용가능한 암호 슈트는 당업계에 알려진 임의의 방법으로 이루어질 수 있는 보안 정책 교섭의 실행에 앞서 메쉬 포인트에 맞춰 형성되어 있다고 가정한다.
이 설명은 추가로 요청 및 응답(Request and Response) 메시지 교환을 사용하여 메쉬 포인트 
와 메쉬 포인트 
사이의 피어 링크를 설정하는 기본 피어 링크 설정 프로토콜이 존재한다고 가정한다. 양측의 메쉬 포인트가 독립적으로 프로토콜을 시작할 수 있다. 프로토콜의 수행 동안에는 적어도 네 개의 메시지 교환이 일어난다. 결국에는, 메쉬 포인트 
와 메쉬 포인트 
사이에 피어 링크가 설정된다. 이 설명은 추가로 IEEE 802.11 MAC 어드레스는 사전 순서(lexicographically)로 정렬된다고 가정하고, 메쉬 포인트 
가 
에 비해 순서에서 더 큰 MAC 어드레스를 가진다고 가정한다. MAC 어드레스가 무선 장치를 고유하게 식별하는데에 사용될 수 있기 때문에, 한 메쉬 포인트의 MAC 어드레스도 다른 메쉬 포인트의 MAC 어드레스에 비해 사전 순서에 대해 엄밀히 큰 값을 가질 것이다.
여기에 서술된 기술은 두 단계로 작동할 수 있다. 제1 단계에서, 양쪽의 메쉬 포인트는 각각 설정된 암호 슈트 리스트를 서로에게 광고하고 메쉬 포인트 
는 링크를 위해 사용될 암호 슈트를 결정한다. 제2 단계에서, 메쉬 포인트 
와 메쉬 포인트 
는 피어 링크 설정 프로토콜 내에서 요청 메시지를 사용하여 그 결정을 통신하고 확정한다. 이 기술은 도 2에 도식적으로 도시되어 있다.
제1 단계에서 메쉬 포인트 
와 메쉬 포인트 
는 IEEE 802.11i에 정의된 것과 동일한 접근법을 사용하여 비콘(Beacon)을 브로드캐스트하고 프로브 응답(Probe Response)을 유니캐스트하여 보안 통신을 위한 구성 파라미터(configuration parameter)를 광고한다. 메쉬 포인트 
는 메시지에 
를 포함하고 메쉬 포인트 
는 메시지에 
를 포함한다. 메쉬 포인트 
가 
를 수신할 때, 
는 메쉬 포인트 
와 보안 링크를 설정할 수 있다. 메쉬 포인트 
가 더 큰 MAC 어드레스를 가지므로, 암호 슈트의 결정자(decision maker)가 된다. 메쉬 포인트 
는 
와 
를 비교하고 
인 임의의 암호 슈트 
를 선택한다. 
는 메쉬 포인트 
와의 이 링크 인스턴스에 사용되는 암호 슈트를 나타낼 것이다.
제2 단계에서 메쉬 포인트 
와 
는 암호 슈트의 합의에 관해 통신하고 합의에 이르기 위해 다음과 같은 프로토콜을 수행할 수 있다.
여기서, 
는 연결(concatenation)을 의미하고, 
은 메쉬 포인트 
가 메시지 
을 메쉬 포인트 
로 전송하는 것을 의미한다.
제2 단계에서 메쉬 포인트 
는 
를 발생시키고 메시지 1(결정 전달 메시지(Decision Deliver Message))(
)을 메쉬 포인트 
로 전송한다. 
를 메시지 1에 포함시키는 것은 메쉬 포인트 
가 메시지 3에 의한 응답을 만들 때 어떤 인증 키를 사용해야 하는지 알려준다. 
를 메시지 1에 포함시키는 것은 메쉬 포인트 
로 하여금 나중에 메시지 3이 새로운 것인지(즉, 메시지 1에 앞서 생성될 수 없었음) 확인하도록 해준다. 
를 메시지 1에 포함시키는 것은 메쉬 포인트 
로 하여금 메쉬 포인트 
의 이전 광고로부터 진정한 정책(authentic policy) 
를 수신하였음을 확인하도록 해준다. 이러한 사용은 위조 광고(forged advertisement)를 방어한다.
동시적으로 또는 순차적으로, 메쉬 포인트 
는 난수 
를 발생시키고 
와 같이 메시지 2(결정 획득 메시지(Decision Acquire Message))를 전송한다. 유사하게, 메쉬 포인트 
는 
를 메시지 2에 포함시킴으로써 사용할 정확한 인증 키를 나타낸다. 
를 메시지 2에 포함시키는 것은 메쉬 포인트 
로 하여금 나중에 메시지 4가 새로운 것인지(즉, 메시지 2에 앞서 생성될 수 없었음) 확인하도록 해준다. 
를 메시지 2에 포함시키는 것은 메쉬 포인트 
로 하여금 
의 이전 광고가 
의 진정한 정책 
를 전달했음을 확인하도록 해준다.
메쉬 포인트 
가 메시지 1을 처리할 때, 메시지 인증 코드가 유효한지 확인하기 위해 
를 사용한다. 그것은 또한 메시지 1의 
가 메쉬 포인트 
에 의해 광고된 암호 슈트 리스트와 일치되는지, 그리고 암호 슈트 
가 메쉬 포인트 
자신에 의해서도 지원되는지 확인한다. 메쉬 포인트 
는 이어서 
의 결정을 확정하기 위해 메시지 3(결정 확정 메시지(Decision Confirm Message))을 발생시킨다. 
및 
모두를 메시지 3에 포함시키는 것은 메쉬 포인트 
로 하여금 그것이 새로운 응답인지 확인하도록 해준다. 유사하게, 메쉬 포인트 
는 합의에 도달했다는 것을 확인하기 위해 메시지 4(결정 확정 메시지(Decision Confirm Message))를 돌려보낸다. 프로토콜의 마지막에, 메쉬 포인트 
와 메쉬 포인트 
모두는 
와 
사이의 이 링크 인스턴스를 안전하게 하기 위해 
를 암호 슈트로 사용하기로 약속하였다.
도 3은 여기에 기술된 것처럼 통신할 수 있는 두 메쉬 포인트(mesh point)의 일실시예를 도시하는 블록도이다. 메쉬 포인트(300)와 메쉬 포인트(350)는 더 큰 메쉬 네트워크(도 3에 도시되지 않음)의 일부분으로 구성될 수 있으며 당업계에 알려진 임의의 무선 프로토콜(예를 들어, IEEE 802.11 표준)을 이용하여 통신할 수 있다.
각각의 메쉬 포인트는 위에 기술된 것처럼 암호 키 및/또는 암호 슈트 정보를 저장하도록 이용할 수 있는 메모리 캐쉬(memory cache)(310 및 380)를 포함할 수 있다. 각각의 메쉬 포인트는 또한 여기에 기술된 것처럼 이용될 수 있는 난수 발생기(330 및 370)를 포함할 수 있다. 난수 발생기는 하드웨어, 소프트웨어, 펌웨어 또는 이들의 임의의 조합으로 구현될 수 있다. 각각의 메쉬 포인트는 추가로 메쉬 네트워크에서의 보안 통신을 위해 사용될 수 있는 인증된 식별자(authenticated identity)(320 및 360)를 포함할 수 있다. 각각의 메쉬 포인트는 추가로, 예를 들어 프로세서, 저장 장치, 입/출력 장치 등의 기타 구성 요소를 포함할 수 있다.
본 명세서에서 "일실시예"라고 언급된 것은 실시예와 관련하여 기술된 특정한 특징, 구조, 또는 특성이 본 발명의 적어도 일실시예에 포함된다는 것을 의미한다. 본 명세서의 여러 부분에 나오는 "일실시예에서"라는 표현은 반드시 동일한 실시예를 의미하는 것은 아니다.
Claims (21)
- 메쉬 네트워크의 노드들 간에 사용되기 위한 보안 정책을 선택하는 방법으로서,근거리 메쉬 네트워크 노드(local mesh network node)와 원거리 메쉬 네트워크 노드(remote mesh network node) 사이에 링크를 설정하는 단계 - 상기 링크는 상기 근거리 메쉬 네트워크 노드에 대응되는 식별자와 상기 원거리 메쉬 네트워크 노드에 대응되는 식별자에 적어도 부분적으로 기초한 보안 링크를 포함함 - ;상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 중의 하나를 결정자(decision maker)로 지정하는 단계;상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드에 의해 지원되는 보안 정책들의 교점(intersection)을 결정하는 단계;상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 사이의 보안 통신에 이용하기 위해 상기 보안 정책들의 교점 중 하나를 선택하는 단계 - 상기 보안 정책의 선택은 인증 키와 의사 난수(pseudorandom numbers)를 가진 메시지를 교환하는 것을 포함함 - ; 및상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 간에 상기 선택된 보안 정책을 사용하여 데이터를 전송하는 단계를 포함하는 방법.
- 제1항에 있어서,상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 사이의 보안 통신에 이용하기 위해 상기 보안 정책들의 교점 중 하나를 선택하는 단계 - 상기 보안 정책의 선택은 인증 키와 의사 난수를 가진 메시지를 교환하는 것을 포함함 - 는 다음의 동작,
을 포함하고, 여기서는 연결(concatenation)을 의미하고,
은 메쉬 포인트
가 메시지
을 메쉬 포인트
로 전송하는 것을 의미하는
방법. - 삭제
- 삭제
- 제1항에 있어서,상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 간에 전송되는 상기 데이터는 스트리밍된 비디오를 포함하는, 방법.
- 제1항에 있어서,상기 근거리 메쉬 네트워크 노드에 대응되는 식별자는 상기 근거리 메쉬 네트워크 노드의 MAC(media access control) 어드레스를 포함하고 상기 원거리 메쉬 네트워크 노드에 대응되는 식별자는 상기 원거리 메쉬 네트워크 노드의 MAC 어드레스를 포함하는, 방법.
- 제6항에 있어서,상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 중의 하나를 결정자로 지정하는 단계는,상기 근거리 메쉬 네트워크 노드의 상기 MAC 어드레스와 상기 원거리 메쉬 네트워크 노드의 상기 MAC 어드레스를 비교하는 단계; 및상기 비교에 기초하여 상기 근거리 메쉬 네트워크 노드 및 상기 원거리 메쉬 네트워크 노드 중 어느 하나를 지정하는 단계를 포함하는, 방법.
- 명령어들이 저장된 컴퓨터 판독가능 기록 매체(computer-readable recording medium)로서,상기 명령어들은 하나 이상의 프로세서에 의해 수행되었을 때 상기 하나 이상의 프로세서로 하여금,근거리 메쉬 네트워크 노드와 원거리 메쉬 네트워크 노드 간에 링크를 설정하고 - 상기 링크는 상기 근거리 메쉬 네트워크 노드에 대응되는 식별자와 상기 원거리 메쉬 네트워크 노드에 대응되는 식별자에 적어도 부분적으로 기초한 보안 링크를 포함함 - ;상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 중의 하나를 결정자로 지정하며;상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드에 의해 지원되는 보안 정책들의 교점을 결정하고;상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 사이의 보안 통신에 이용하기 위해 상기 보안 정책들의 교점 중 하나를 선택하며 - 상기 보안 정책의 선택은 인증 키와 의사 난수를 가진 메시지를 교환하는 것을 포함함 - ;상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 간에 상기 선택된 보안 정책을 사용하여 데이터를 전송하도록하는, 컴퓨터 판독가능 기록 매체.
- 제8항에 있어서,상기 하나 이상의 프로세서로 하여금 상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 사이의 보안 통신에 이용하기 위해 상기 보안 정책들의 교점 중 하나를 선택하도록 하는 상기 명령어들 - 상기 보안 정책의 선택은 인증 키와 의사 난수를 가진 메시지를 교환하는 것을 포함함 - 은 수행되었을 때, 상기 하나 이상의 프로세서로 하여금,
-는 연결(concatenation)을 의미하고,
은 메쉬 포인트
가 메시지
을 메쉬 포인트
로 전송하는 것을 의미함 -
을 전송하도록 하는 명령어들을 포함하는, 컴퓨터 판독가능 기록 매체. - 삭제
- 삭제
- 제8항에 있어서,상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 간에 전송되는 상기 데이터는 스트리밍된 비디오를 포함하는, 컴퓨터 판독가능 기록 매체.
- 제12항에 있어서,상기 근거리 메쉬 네트워크 노드에 대응되는 식별자는 상기 근거리 메쉬 네트워크 노드의 MAC 어드레스를 포함하고 상기 원거리 메쉬 네트워크 노드에 대응되는 식별자는 상기 원거리 메쉬 네트워크 노드의 MAC 어드레스를 포함하는, 컴퓨터 판독가능 기록 매체.
- 제13항에 있어서,상기 하나 이상의 프로세서로 하여금 상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 중의 하나를 결정자로 지정하도록 하는 상기 명령어들은, 수행되었을 때, 상기 하나 이상의 프로세서로 하여금,상기 근거리 메쉬 네트워크 노드의 상기 MAC 어드레스와 상기 원거리 메쉬 네트워크 노드의 상기 MAC 어드레스를 비교하고;상기 비교에 기초하여 상기 근거리 메쉬 네트워크 노드 및 상기 원거리 메쉬 네트워크 노드 중 어느 하나를 지정하도록하는 명령어들을 포함하는, 컴퓨터 판독가능 기록 매체.
- 메쉬 네트워크의 노드들 간에 사용되기 위한 보안 정책을 선택하는 장치(apparatus)로서,근거리 메쉬 네트워크 노드와 원거리 메쉬 네트워크 노드 간에 링크를 설정하기 위한 수단(means) - 상기 링크는 상기 근거리 메쉬 네트워크 노드에 대응되는 식별자와 상기 원거리 메쉬 네트워크 노드에 대응되는 식별자에 적어도 부분적으로 기초한 보안 링크를 포함함 - ;상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 중의 하나를 결정자로 지정하기 위한 수단;상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드에 의해 지원되는 보안 정책들의 교점을 결정하기 위한 수단;상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 사이의 보안 통신에 이용하기 위해 상기 보안 정책들의 교점 중 하나를 선택하기 위한 수단 - 상기 보안 정책의 선택은 인증 키와 의사 난수를 가진 메시지를 교환하는 것을 포함함 - ;상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 간에 상기 선택된 보안 정책을 사용하여 데이터를 전송하기 위한 수단을 포함하는 장치.
- 제15항에 있어서,상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 사이의 보안 통신에 이용하기 위해 상기 보안 정책들의 교점 중 하나를 선택하기 위한 수단 - 상기 보안 정책의 선택은 인증 키와 의사 난수를 가진 메시지를 교환하는 것을 포함함 - 은 다음의 동작,
을 포함하고, 여기서는 연결(concatenation)을 의미하고,
은 메쉬 포인트
가 메시지
을 메쉬 포인트
로 전송하는 것을 의미하는
장치. - 삭제
- 삭제
- 제15항에 있어서,상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 간에 전송되는 상기 데이터는 스트리밍된 비디오를 포함하는, 장치.
- 제15항에 있어서,상기 근거리 메쉬 네트워크 노드에 대응되는 식별자는 상기 근거리 메쉬 네트워크 노드의 MAC 어드레스를 포함하고 상기 원거리 메쉬 네트워크 노드에 대응되는 식별자는 상기 원거리 메쉬 네트워크 노드의 MAC 어드레스를 포함하는, 장치.
- 제20항에 있어서,상기 근거리 메쉬 네트워크 노드와 상기 원거리 메쉬 네트워크 노드 중의 하나를 결정자로 지정하기 위한 상기 수단은,상기 근거리 메쉬 네트워크 노드의 상기 MAC 어드레스와 상기 원거리 메쉬 네트워크 노드의 상기 MAC 어드레스를 비교하기 위한 수단; 및상기 비교에 기초하여 상기 근거리 메쉬 네트워크 노드 및 상기 원거리 메쉬 네트워크 노드 중 어느 하나를 지정하기 위한 수단을 포함하는, 장치.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US84563106P | 2006-09-18 | 2006-09-18 | |
| US60/845,631 | 2006-09-18 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20090036604A KR20090036604A (ko) | 2009-04-14 |
| KR101018911B1 true KR101018911B1 (ko) | 2011-03-02 |
Family
ID=39201219
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020097004379A KR101018911B1 (ko) | 2006-09-18 | 2007-09-18 | 무선 메쉬 네트워크에서의 보안 정책 교섭을 위한 기술 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8037510B2 (ko) |
| EP (1) | EP2070253A4 (ko) |
| KR (1) | KR101018911B1 (ko) |
| CN (1) | CN101517959B (ko) |
| WO (1) | WO2008036694A2 (ko) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101496387B (zh) * | 2006-03-06 | 2012-09-05 | 思科技术公司 | 用于移动无线网络中的接入认证的系统和方法 |
| US8175272B2 (en) * | 2007-03-12 | 2012-05-08 | Motorola Solutions, Inc. | Method for establishing secure associations within a communication network |
| US8010778B2 (en) * | 2007-06-13 | 2011-08-30 | Intel Corporation | Apparatus and methods for negotiating a capability in establishing a peer-to-peer communication link |
| CN101610126B (zh) * | 2008-06-20 | 2013-08-14 | 华为技术有限公司 | 端口属性参数协商方法、网络节点及网络系统 |
| CN101631113B (zh) * | 2009-08-19 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种有线局域网的安全访问控制方法及其系统 |
| US9407624B1 (en) | 2015-05-14 | 2016-08-02 | Delphian Systems, LLC | User-selectable security modes for interconnected devices |
| US10034171B2 (en) | 2015-10-14 | 2018-07-24 | Sony Interactive Entertainment America Llc | Secure device pairing |
| US10868803B2 (en) | 2017-01-13 | 2020-12-15 | Parallel Wireless, Inc. | Multi-stage secure network element certificate provisioning in a distributed mobile access network |
| US20240098052A1 (en) * | 2022-09-16 | 2024-03-21 | Itron, Inc. | Messaging among agents in a mesh network |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020079425A (ko) * | 2001-04-06 | 2002-10-19 | 네트워크스 어소시에이츠 테크놀로지,인크 | 피어 투 피어 네트워크 환경내에서 자원들을 안전하고검증가능하게 공유하는 시스템 및 방법 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100545628B1 (ko) * | 2002-12-09 | 2006-01-24 | 한국전자통신연구원 | 보안연계 협상과 키교환 시스템 및 방법 |
| US7489645B2 (en) * | 2003-12-17 | 2009-02-10 | Microsoft Corporation | Mesh networks with end device recognition |
| US8127136B2 (en) * | 2004-08-25 | 2012-02-28 | Samsung Electronics Co., Ltd | Method for security association negotiation with extensible authentication protocol in wireless portable internet system |
| US7814322B2 (en) * | 2005-05-03 | 2010-10-12 | Sri International | Discovery and authentication scheme for wireless mesh networks |
| US7676676B2 (en) * | 2005-11-14 | 2010-03-09 | Motorola, Inc. | Method and apparatus for performing mutual authentication within a network |
| US7787627B2 (en) * | 2005-11-30 | 2010-08-31 | Intel Corporation | Methods and apparatus for providing a key management system for wireless communication networks |
| US7499547B2 (en) * | 2006-09-07 | 2009-03-03 | Motorola, Inc. | Security authentication and key management within an infrastructure based wireless multi-hop network |
| US8578159B2 (en) * | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
-
2007
- 2007-09-18 EP EP07842727A patent/EP2070253A4/en not_active Withdrawn
- 2007-09-18 WO PCT/US2007/078808 patent/WO2008036694A2/en active Application Filing
- 2007-09-18 KR KR1020097004379A patent/KR101018911B1/ko not_active IP Right Cessation
- 2007-09-18 US US11/857,349 patent/US8037510B2/en not_active Expired - Fee Related
- 2007-09-18 CN CN2007800342539A patent/CN101517959B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020079425A (ko) * | 2001-04-06 | 2002-10-19 | 네트워크스 어소시에이츠 테크놀로지,인크 | 피어 투 피어 네트워크 환경내에서 자원들을 안전하고검증가능하게 공유하는 시스템 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2070253A4 (en) | 2012-10-24 |
| WO2008036694A3 (en) | 2008-05-15 |
| KR20090036604A (ko) | 2009-04-14 |
| WO2008036694A2 (en) | 2008-03-27 |
| CN101517959B (zh) | 2012-06-20 |
| US20080069351A1 (en) | 2008-03-20 |
| US8037510B2 (en) | 2011-10-11 |
| CN101517959A (zh) | 2009-08-26 |
| EP2070253A2 (en) | 2009-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101018911B1 (ko) | 무선 메쉬 네트워크에서의 보안 정책 교섭을 위한 기술 | |
| US9843575B2 (en) | Wireless network authentication method and wireless network authentication apparatus | |
| US10250698B2 (en) | System and method for securing pre-association service discovery | |
| US10904753B2 (en) | Systems and methods for authentication | |
| JP5882474B2 (ja) | 並行した再認証および接続セットアップを使用したワイヤレス通信 | |
| CN102883316B (zh) | 建立连接的方法、终端和接入点 | |
| US10477397B2 (en) | Method and apparatus for passpoint EAP session tracking | |
| US20100246818A1 (en) | Methods and apparatuses for generating dynamic pairwise master keys | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| JP5270937B2 (ja) | 通信装置及びその制御方法 | |
| US7477746B2 (en) | Apparatus for dynamically managing group transient key in wireless local area network system and method thereof | |
| JP5041607B2 (ja) | ワイヤレスメッシュネットワークにおけるセキュア通信用の鍵導出技術 | |
| TWI489899B (zh) | 應用於無線網路之連線方法以及應用其之無線網路裝置以及無線網路存取點 | |
| CN111866881A (zh) | 无线局域网认证方法与无线局域网连接方法 | |
| US20230308869A1 (en) | Method and device for communication on multiple links, and computer-readable storage medium | |
| JP5472977B2 (ja) | 無線通信装置 | |
| Haq et al. | Towards Robust and Low Latency Security Framework for IEEE 802.11 Wireless Networks | |
| CN113039766A (zh) | 无线网络中的优化的等值同时认证(sae)认证 | |
| KR20100087768A (ko) | Pmk 협의 시스템 및 pmk 협의 방법 | |
| KR101785382B1 (ko) | 클라이언트 인증 방법, 클라이언트의 동작 방법, 서버, 및 통신 소프트웨어 | |
| JP5458195B2 (ja) | 通信装置及びその制御方法 | |
| Haq et al. | Towards Robust and Low Latency Security Framework for IEEE 802.11 Wireless Networks | |
| WO2019001509A1 (zh) | 一种网络鉴权方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20140203 Year of fee payment: 4 |
|
| LAPS | Lapse due to unpaid annual fee |