KR101266773B1 - 통신 방법 - Google Patents

통신 방법 Download PDF

Info

Publication number
KR101266773B1
KR101266773B1 KR1020077030424A KR20077030424A KR101266773B1 KR 101266773 B1 KR101266773 B1 KR 101266773B1 KR 1020077030424 A KR1020077030424 A KR 1020077030424A KR 20077030424 A KR20077030424 A KR 20077030424A KR 101266773 B1 KR101266773 B1 KR 101266773B1
Authority
KR
South Korea
Prior art keywords
key
authenticator
requestor
random number
challenge response
Prior art date
Application number
KR1020077030424A
Other languages
English (en)
Other versions
KR20080018214A (ko
Inventor
셈욘 비 미지코브스키
로버트 존 랜스
Original Assignee
알카텔-루센트 유에스에이 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알카텔-루센트 유에스에이 인코포레이티드 filed Critical 알카텔-루센트 유에스에이 인코포레이티드
Publication of KR20080018214A publication Critical patent/KR20080018214A/ko
Application granted granted Critical
Publication of KR101266773B1 publication Critical patent/KR101266773B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Lock And Its Accessories (AREA)
  • Channel Selection Circuits, Automatic Tuning Circuits (AREA)

Abstract

본 발명은 요청자, 인증자 및 제 1 키에 기초하여 설립된 보안 연계를 갖는 인증 서버를 필요로 하는 통신 방법을 제공한다. 요청자 및 인증자는 또한 제 2 키에 기초하여 설립된 보안 연계를 갖는다. 본 방법은 요청자로부터의 시도 응답이 유효하다고 판별되면 제 1 키를 이용하여 제 2 키를 수정하는 단계를 포함할 수 있다.

Description

통신 방법{METHOD FOR REFRESHING A PAIRWISE MASTER KEY}
본 발명은 전반적으로 통신 시스템에 관한 것으로서, 보다 구체적으로는 무선 통신 시스템에 관한 것이다.
액세스 포인트(access points)는 무선 통신 시스템에서 하나 이상의 유닛에 무선 접속성(wireless connectivity)을 제공하는 데 이용된다. 예시적인 액세스 포인트는 기지국, 기지국 라우터, 액세스 서빙 네트워크(Access Serving Network: ASN), WiMAX 라우터 등을 포함할 수 있다. 이동 유닛은 셀룰러 전화, 개인 휴대 정보 단말, 스마트 폰, 문자 메시징 디바이스, 랩톱 컴퓨터, 데스크톱 컴퓨터 등을 포함할 수 있다. 액세스 포인트는 또한 하나 이상의 외부 네트워크로의 접속성을 제공한다. 예를 들어, IEEE 802.16 프로토콜에 따라 동작하는 무선 네트워크에서, 이동 유닛은 하나 이상의 액세스 서빙 네트워크(ASN) 개체 및 하나 이상의 기지국을 포함할 수 있는 WiMAX 라우터와의 무선 커넥션을 설립할 수 있다. WiMAX 라우터는 외부 네트워크에 접속성을 제공하는 하나 이상의 접속성 서빙 네트워크(Connectivity Serving Networks: CSN)에 접속될 수 있다.
보안 연계(security associations)는 이동 유닛과 서빙 네트워크 사이에서 안전한 통신을 허용하도록 설립되어 유지될 수 있다. 예를 들어, IEEE 802.16e 및/또는 WiMAX 표준에 따라 동작하는 시스템은 이용자 인증 및 디바이스 승인을 위해 확장가능 인증 프로토콜(Extensible Authentication Protocol: EAP)과 함께 사설 및 키 관리, 버전 2(Privacy and Key Management, version 2: PKMv2) 프로토콜을 이용할 수 있다. PKMv2 프로토콜은 3자 방식(a three-party scheme)을 이용하여 이동 유닛과 홈 네트워크 서비스 제공자(Network Service Provider: NSP) 사이에서의 디바이스 승인 및 이용자 인증을 지원한다.
PKMv2 프로토콜에서의 3자는 요청자(supplicant), 인증자(authenticator) 및 인증 서버(authentication server)이다. 요청자는 다른 쪽 종단에 부착된 인증자에 의해 인증되고 있는 포인트 투 포인트(point-to-point) 링크의 한 쪽 종단에 있는 개체이다. 인증자는 다른 쪽 종단에 부착될 수 있는 요청자의 인증을 용이하게 하는 포인트 투 포인트 링크의 한쪽 종단에 있는 개체이다. 인증자는 네트워크 내의 서비스에 대한 요청자 액세스를 허용하기 이전에 인증을 실시한다. 인증 서버는 인증 서비스를 인증자 및 요청자에게 제공하는 개체이다. 이 인증 서버는 요청자에 의해 제공된 증명서를 이용하여 요청자가 인증자를 통해 제공된 서비스에 액세스하는 것을 승인받았는지 판별한다. 예를 들어, WiMAX 시스템에서, 요청자는 이동 유닛이고, 인증자는 액세스 서빙 네트워크(ASN) 내에 상주하며, 인증 서버는 접속성 서빙 네트워크(CSN) 내의 인증, 승인 및 계산 서버(an authentication, authorization, and accounting (AAA) server)에 구현된다.
확장가능 인증 프로토콜(an Extensible Authentication Protocol: EAP)은 요청자와 인증 서버 사이에서 인증 방법을 협상하는 데 이용될 수 있는 패킷 데이터 유닛(packet data unit: PDU)을 수송하는 데 이용되는 캡슐화 프로토콜(an encapsulation protocol)이다. 확장가능 인증 프로토콜은 PKMv2 프로토콜, 802.16 프로토콜, RADIUS 또는 DIAMETER 프로토콜, 범용 데이터그램 프로토콜(Universal Datagram Protocol: UDP), 전송 제어 프로토콜(Transmission Control Protocol: TCP), 인터넷 프로토콜(Internet Protocol: IP) 등과 같은 다른 프로토콜 내에 캡슐화될 수도 있다. RADIUS 프로토콜 및 가능하게는 DIAMETER 프로토콜은 인증자와 인증 서버 사이의 IP 네트워크를 통한 사실상의 EAP용 전송 프로토콜이다. 확장가능 인증 프로토콜(EAP)은 EAP-TLS, EAP-AKA 및 EAP-MSCHAPv2와 같은 암호학적으로 강력한 키 도출 방법 및 WiMAX 네트워크를 통한 이용자 증명서 유형의 재이용을 지원한다.
안전한 커넥션은 전형적으로 요청자와 인증자와 인증 서버 사이의 동작 관계를 명시하는 보안 모델에 따라 설립된다. 예를 들어, 4 단계 보안 모델(a four phase security model)이 이용될 수 있다. 제 1 단계에서, 요청자(예를 들어, 이동 유닛)는 서비스 영역(a coverage area)에 무선 접속성을 제공할 수 있는 하나 이상의 이용가능 기지국을 발견하고 특정 기지국을 바람직한(또는 서빙) 기지국으로서 선택한다. 그 후, 이동 유닛은 구성 데이터를 발견하는데, 그러한 발견은 정적으로 및/또는 동적으로 발생할 수 있다. 제 2 단계에서, 요청자는 요청자의 증명서를 인증 서버에 포워드하는 인증자에게 자신의 증명서를 제시한다. 협상되고 있는 인증 방법에 따라, 다양한 개체들 사이의 다수의 왕복 통신(multiple roundtrip communications)이 이용될 수 있다. 인증 절차가 성공하면, 인증 서버는 제 3 단계에서 세션 관련 키(a session-related key)를 인증자에게 포워드한다. 인증 서버는 또한 세션 관련 키를 생성하는 데 이용될 수 있는 정보를 요청자에게 포워드한다. 인증자 및 요청자에 의해 유지되는 세션 관련 키는 키를 생성하여 제 4 단계에서 전송된 데이터를 보호하는 데 이용될 수 있는 한 쌍의 비밀 대칭 키(a pair of secret symmetric keys)에 의해 명시되는 보안 연계를 설립하는 데 이용된다.
IEEE 802.16 및 WiMAX 표준에 따라 동작하는 시스템에서, 마스터 키(Master Key: MK)라고 호칭되는 대칭 키는 요청자의 가입이 개시되자마자 요청자 및 인증 서버 내에 사전 제공된다. 마스터 키는 현재 가입 기반 보안 연계(the current subscription-based security association)를 나타내며, 요청자 및 인증 서버만이 요청자 대신에 결정을 내리는 승인의 증거가 되는 마스터 키를 소유할 수 있다. 마스터 키의 예는 인증 및 키 동의(authentication and key agreement: AKA) 프로토콜에 이용되는 루트 키(the root key)이다. 요청자 및/또는 인증 서버는 마스터 키로부터 마스터 세션 키(Master Session Key: MSK) 및/또는 확장된 마스터 세션 키(Extended Master Session Key: EMSK)를 생성할 수 있다. 마스터 세션 키는 전형적으로 유선 가입자용으로 이용되고, 확장된 마스터 세션 키는 전형적으로 이동 가입자용으로 이용된다. 이들 키는 IETF RFC-3748 "Extensible Authentication Protocol"의 섹션 7.10에서 언급된 바와 같이 도출될 수 있다.
요청자 및 승인 서버는 마스터 세션 키(또는 확장가능 마스터 세션 키)에 기초하여 AAA 키를 도출할 수 있다. 인증 서버는 예를 들어 RADIUS 및/또는 DIAMETER 프로토콜을 이용하여 AAA 키를 대응하는 인증자 내에 파퓰레이트(populate)함으로써, 요청자와 인증자와 인증 서버 사이에 보안 연계를 설립한다. 요청자와 인증자는 각각 AAA 키를 이용하여 쌍방향 마스터 키(Pairwise Master Key: PMK)라고 지칭될 수 있는 한 쌍의 비밀 대칭 키 중 하나의 키를 생성한다. IEEE 802.16 및 WiMAX 표준은 요청자와 인증자가 AAA 키를 일부 절단(truncate)함으로써 쌍방향 마스터 키를 도출함을 명확히 제시한다. 쌍방향 마스터 키의 생성은 증명서 검증 및 이용자 인증 단계(the Credential Verification and User Authentication phase), 즉 전술한 제 2 단계의 성공적인 완성을 표시한다. 요청자 및 인증자는 각각 쌍방향 마스터 키를 이용하여 인증 키(Authorization Key)의 복사본을 생성할 수 있다. 추가 키는 IEEE 802.16e 드래프트 표준에 기술되어 있는 바와 같이 인증 키로부터 도출될 수 있다.
요청자와 인증자 사이의 보안 연계를 지배하는 비밀 대칭 키 쌍을 주기적으로 리프레쉬하는 것은 유용할 수 있다. 예를 들어, 비밀 대칭 키는 사전결정된 키 수명 이후에 만료할 수 있으며, 그에 따라 비밀 대칭 키가 소멸하기 전에 그들을 리프레쉬하는 것이 바람직할 수 있다. 또한 쌍방향 마스터 키와 인증 키 사이의 정적 링크는 인증 키가 802.16e 특정 보안 동작으로 인해 소거될 때 쌍방향 마스터 키가 소거될 것을 필요로 한다. 그러나 현재 IEEE 802.16e 표준에서 쌍방향 마스터 키를 수정하는 유일한 방식은 후술할 완전한 3자 4 단계 인증 절차(the full three-party, four-phase authentication procedure)를 실시하는 것이다.
상기 3자 4단계 인증 절차는, 적어도 부분적으로, 가입자의 홈 네트워크 내의 인증 서버가 액세스되어야 하기 때문에, 시간 및 다른 시스템 리소스를 많이 소비할 수 있다. 이에 따라 요청자와 인증자 사이에 설립된 보안 연계(한 쌍의 비밀 대칭 키로 표현됨)는 비교적 장시간 동안 유지될 수 있다. 예를 들어, 이동 유닛과 액세스 서빙 네트워크 사이의 보안 연계를 정의하는 데 이용되는 쌍방향 마스터 키는 이동 유닛이 현재 액세스 서빙 네트워크의 경계 내에 머무르는 동안에는 리프레쉬되지 않을 수 있다. 그 결과, 비밀 대칭 키 쌍으로부터 도출된 다른 키가 리프레쉬되지 않을 수 있다. 예를 들어, 특정 기지국용으로 생성된 액세스 키(Access Key: AK)는 전형적으로 쌍방향 마스터 키(PMK), 기지국 식별자(BS_ID) 및 이동 유닛 식별자(MS_ID)의 함수로서 정의되며, 그 결과 쌍방향 마스터 키(PMK)가 동일한 상태를 유지하는 동안에는 동일한 값으로 설정될 것이다.
그러나 비교적 장시간 동안 요청자와 인증자 사이의 보안 연계(비밀 대칭 키 쌍으로 표현됨)를 유지하면 보안 연계와 연계되는 보안 리스크가 증가할 수 있다. 또한 비교적 장시간 동안 비밀 대칭 키를 유지하면 쌍방향 마스터 키, 인증 키 등과 같은 다양한 키의 비교적 정적인 값에 대한 수동 및 능동 공격 가능성이 증가할 수 있다. 예를 들어, 약간 신뢰할 수 있는 보안 도메인 내의 기지국은 쌍방향 마스터 키 및/또는 인증 키와 같은 키의 값을 이용하여 키를 해독할 수 있다. 그러면 키는 공격자에 의해 현재 및/또는 이전 통신 세션과 연계된 정보를 복호화하는 데 이용될 수 있다.
본 발명은 전술한 문제들 중 한 가지 이상의 문제의 영향을 설명하는 것과 관련된다. 다음은 본 발명의 몇몇 양상의 기본적인 이해를 제공하기 위해 본 발명을 간단한 요약한 것이다. 이 요약은 본 발명의 배타적인 개요가 아니다. 이것은 본 발명의 주된 또는 필수적인 요소를 확인하거나 본 발명의 범주를 제한하고자 의도된 것이 아니다. 유일한 목적은 이후에 논의되는 보다 상세한 설명에 대한 서두로서 몇몇 개념을 간단한 형태로 나타내는 것이다.
본 발명의 일 실시예에서는, 요청자, 인증자 및 제 1 키에 기초하여 설립된 보안 연계를 갖는 인증 서버를 필요로 하는 통신 방법이 제공된다. 요청자 및 인증자는 또한 제 2 키에 기초하여 설립된 보안 연계를 갖는다. 본 방법은 요청자로부터의 시도 응답(a challenge response)이 유효하다고 판별되면 제 1 키를 이용하여 제 2 키를 수정하는 단계를 포함한다.
본 발명의 다른 실시예에서는, 요청자, 인증자 및 제 1 키에 기초하여 설립된 보안 연계를 갖는 인증 서버를 필요로 하는 통신 방법이 제공된다. 요청자 및 인증자는 또한 제 2 키에 기초하여 설립된 보안 연계를 갖는다. 본 방법은 인증자로부터의 시도 응답이 유효하다고 판별되면 제 1 키를 이용하여 제 2 키를 수정하는 단계를 포함한다.
본 발명은 첨부한 도면과 함께 다음의 설명을 참조하면 이해될 수 있다. 도 면에서 유사한 참조번호는 유사한 소자를 나타낸다.
도 1은 본 발명에 따른 통신 시스템의 예시적인 일 실시예를 개념적으로 예시한 도면,
도 2는 본 발명에 따라 기존 보안 키에 기초하여 비밀 대칭 키를 수정하는 방법의 예시적인 일 실시예를 개념적으로 예시한 도면이다.
본 발명은 다양한 수정 및 대안 형태가 가능하지만, 그것의 특정 실시예가 도면에서 예로서 도시되었고 본 명세서에서 상세히 설명된다. 그러나 특정 실시예에 대한 본 명세서의 설명은 본 발명을 개시된 특정 형태로 제한하는 것으로 의도되는 것이 아니라, 첨부한 특허청구범위에 의해 정의되는 본 발명의 사상 및 범주 내에 있는 모든 변형물, 균등물 및 대체물을 포괄하고자 하는 것으로 의도된다.
본 발명의 예시적인 실시예가 이하에서 설명된다. 명료성을 위해, 실제 구현의 모든 특징이 본 명세서에 설명되는 것은 아니다. 물론, 임의의 그러한 실제 실시예의 개발에 있어서, 시스템 및 사업과 관련된 제약 사항에 따라, 개발자의 특정 목적을 달성하기 위해 하나의 구현으로부터 다른 구현으로 변화할 수도 있는 수많은 구현 특정 결정이 이루어질 수도 있음을 이해할 수 있을 것이다. 또한, 그러한 개발 노력은 복잡하고 시간 소모적일 수도 있지만, 본 개시내용이 유리하게 이용될 수 있는 당업계의 숙련자에게 있어서는 일상적인 것일 수도 있음을 이해할 수 있을 것이다.
본 발명의 일부분 및 대응하는 상세한 설명은 소프트웨어, 또는 컴퓨터 메모리 내에서 데이터 비트에 대한 동작의 알고리즘 및 심볼 표현에 의하여 제시된다. 이들 설명 및 표현에 의해 당업자는 자신의 작업의 본질을 해당 분야의 다른 숙련자에게 효과적으로 전수한다. 본 명세서에서 이용된 용어로서 또한 일반적으로 이용되는 용어로서의 알고리즘은 원하는 결과를 가져오는 일관적인 시퀀스의 단계인 것으로 표현된다. 그러한 단계는 물리적 양의 물리적 조작을 요구하는 단계이다. 이들 양은 일반적으로 저장, 전송, 조합, 비교 및 그와 달리 조작될 수 있는 광, 전기 또는 자기 신호의 형태를 취하지만 반드시 그러한 것은 아니다. 주로 관용적인 이유로, 이들 신호를 비트, 값, 요소, 심볼, 문자, 용어, 숫자 등이라 지칭하는 것이 때때로 편리하다는 것이 입증되었다.
그러나 이러한 용어 및 유사한 용어는 모두 적절한 물리적 양과 관련되는 것이며, 단지 그러한 양에 적용되는 편리한 라벨에 불과하다는 것을 기억해야 한다. 이와 달리, 특별히 달리 언급되지 않는다면, 논의로부터 명백히 알 수 있는 바와 같이, "프로세싱" 또는 "컴퓨팅" 또는 "계산" 또는 "결정" 또는 "디스플레이" 등과 같은 용어는, 컴퓨터 시스템의 레지스터 및 메모리 내의 물리적, 전자적 양으로서 표현되는 데이터를 조작하여 컴퓨터 시스템의 메모리 또는 레지스터 또는 기타의 그러한 정보 저장소, 전송 또는 디스플레이 디바이스 내의 물리적 양으로서 유사하게 표현되는 기타 데이터로 변환하는 컴퓨터 시스템 또는 유사 전자 컴퓨팅 디바이스의 동작 및 프로세스를 지칭한다.
또한 본 발명의 소프트웨어 구현 양상은 전형적으로 몇몇 형태의 프로그램 저장 매체 상에서 인코딩되거나 또는 몇몇 유형의 전송 매체를 통해 구현된다는 점에 유의한다. 프로그램 저장 매체는 자기 매체(예를 들어, 플로피 디스크 또는 하드 드라이브) 또는 광학 매체(예를 들어, 콤팩트 디스크 판독 전용 메모리, 즉 "CD ROM")일 수도 있고, 혹은 판독 전용 또는 랜덤 액세스 형태일 수도 있다. 유사하게, 전송 매체는 연선(twisted wire pairs), 동축 케이블, 광섬유 또는 당업계에 잘 알려진 그 밖의 다른 적절한 전송 매체일 수 있다. 본 발명은 임의의 주어진 구현의 이들 양상에 의해 국한되는 것은 아니다.
이제 첨부한 도면을 참조하여 본 발명이 설명될 것이다. 다양한 구조, 시스템 및 디바이스는 당업자에게 공지되어 있는 사항을 기재하여 본 발명을 모호하게 하지 않도록 오로지 설명을 위하여 도면에 개략적으로 도시되어 있다. 그렇지만, 첨부한 도면은 본 발명의 예시적인 예를 기재하고 설명하도록 포함된다. 본 명세서에서 이용된 단어 및 어구는 관련 분야의 당업자가 그러한 단어 및 어구에 대해 이해하고 있는 바와 일치하는 의미를 갖는 것으로 이해되고 해석되어야 한다. 본 명세서의 용어 또는 어구의 일관된 이용이 용어 또는 어구의 특별한 정의, 즉 당업자가 이해하는 바와 같은 일반적이고 관습적인 의미와는 다른 정의를 암시하는 것은 아니다. 용어 또는 어구가 특별한 의미, 즉 당업자가 이해하는 것과는 다른 의미를 갖게 되는 정도에 대해서, 그러한 특별한 정의는 명세서 내의 용어 또는 어구의 특별한 정의를 직접적이고 명확하게 제공하는 정의의 방식으로 명료하게 설명될 것이다.
도 1은 통신 시스템(100)의 예시적인 일 실시예를 개념적으로 예시하고 있 다. 예시한 실시예에서, 통신 시스템(100)은 무선 인터페이스(115)를 통해 기지국(110)과 통신 중인 요청자(105)를 포함한다. 예시적인 요청자(105)는 셀룰러 전화, 개인 휴대 정보 단말, 스마트 폰, 문자 메시징 디바이스, 랩톱 컴퓨터, 데스크톱 컴퓨터 등을 포함하지만, 이러한 것으로 제한되는 것은 아니다. 기지국(110)이 도 1에 도시되어 있지만, 당업자라면 임의의 다른 유형의 액세스 포인트가 이용될 수도 있음을 이해할 수 있을 것이다. 다른 실시예에서, 예시적인 액세스 포인트는 기지국 라우터, 액세스 서빙 네트워크(Access Serving Networks: ASN), WiMAX 라우터 등을 포함할 수 있다. 요청자(105)와 기지국(110)은 임의의 프로토콜 또는 프로토콜의 조합에 따라 무선 인터페이스(115)를 통해 통신할 수 있다. 예를 들어, 요청자(105)와 기지국(110)은 범용 이동 통신 시스템(Universal Mobile Telecommunication System: UMTS) 프로토콜, 범유럽 이동 통신(Global System for Mobile communication: GSM) 프로토콜, 코드 분할 다중 액세스(Code Division Multiple Acccess: CDMA) 프로토콜, CDMA 2000 프로토콜, IEEE 802.11 프로토콜, IEEE 802.16 프로토콜, 블루투스 프로토콜 등에 따라 무선 인터페이스(115)를 통해 통신할 수 있다. 이에 따라 본 명세서에서는 본 발명과 관련 있는 통신 프로토콜의 양상만이 논의될 것이다.
기지국(110)은 액세스 서빙 네트워크(access serving network: ASN)(125)에서 구현될 수 있는 인증자(120)에 통신가능하게 연결된다. 예시한 실시예에서, 액세스 서빙 네트워크(125)는 또한 기지국(130)을 포함한다. 그러나 본 개시내용이 유리하게 이용될 수 있는 당업계의 숙련자라면 액세스 서빙 네트워크(125)가 임의 의 수의 기지국을 포함할 수 있음을 이해할 수 있을 것이다. 도 1이 액세스 서빙 네트워크(125) 내의 기능적 요소로서 인증자(120) 및 기지국(110, 130)을 나타내고 있지만, 당업자라면 또한 액세스 서빙 네트워크(125), 인증자(120) 및/또는 기지국(110, 130)이 임의의 수의 물리적 디바이스에 구현될 수 있음을 이해할 수 있을 것이다.
인증자(120)는 접속성 서빙 네트워크(140)에 구현되는 인증 서버(135)에 통신가능하게 연결된다. 예시한 실시예에서, 인증 서버(135)와 인증자(120) 사이에는 보안 연계가 존재하여 그들 사이의 통신을 보호한다. 그러한 보안 연계는 액세스 서빙 네트워크(125)와 접속성 서빙 네트워크(140)의 동작 간 사업 협정에 기초하여 그들 네트워크 사이에 설립될 수 있다. 액세스 서빙 네트워크(125) 및 접속성 서빙 네트워크(140)는, 인증자(120)와 인증 서버(135) 사이의 보안 연계 때문에, 신뢰할 수 있는 도메인의 일부로 간주된다.
인증 서버(135)와 요청자(105) 사이에는 다른 보안 연계가 존재한다. 이 보안 연계는 요청자의 가입에 기초하여 설립된다. 요청자(105) 및 접속성 서빙 네트워크(140)는, 요청자(105)와 인증 서버(135) 사이의 보안 연계 때문에, 다른 신뢰할 수 있는 도메인의 일부로 간주된다. 보안 연계는 하나 이상의 보안 키에 기초하여 설립 및/또는 유지된다. 예를 들어, 통신 시스템(100)이 IEEE 802.16 및/또는 WiMAX 표준에 따라 동작한다면, 요청자(105) 및 인증 서버(135)는 마스터 세션 키(또는 확장가능 마스터 세션 키)에 기초하여 AAA 키를 도출할 수 있다. 그러면 인증 서버(135)는 예를 들어 RADIUS 및/또는 DIAMETER 프로토콜을 이용하여 AAA 키 를 인증자(120) 내에 파퓰레이트함으로써 요청자(105)와 인증자(120)와 인증 서버(135) 사이에 보안 연계를 설립할 수 있다. 3자 신뢰 모델(a three party trust model)에서는, 요청자(105)와 인증 서버(135) 사이의 보호 연계의 유효성(validation)에 기초하여, 세션 제한 보안 연계(the session-limited security association)가 요청자(105)와 액세스 서빙 네트워크 인증자(125) 사이에 생성된다. 이 보안 연계에 대해 특정되는 보안 키와 같이 보안 연계를 정의하는 파라미터는 인증 서버(135)와 인증자(125) 사이의 기존 보안 연계의 보호 하에 인증 서버(135)로부터 인증자(125)에게로 배분된다.
예시한 실시예에서, 인증자(120)와 요청자(105) 사이에 생성된 보안 연계는 한 쌍의 비밀 대칭 키에 의해 표현되는데, 그러한 비밀 대칭 키 쌍 중 하나의 키는 인증자(120)에 저장되고, 나머지 하나는 요청자(105)에 저장된다. 예를 들어, 통신 시스템(100)이 IEEE 802.16 및/또는 WiMAX 표준에 따라 동작한다면, 요청자(105) 및 인증자(120)는 각각 AAA 키를 이용하여 쌍방향 마스터 키(a Pairwise Master Key)의 복사본을 생성한다. 그 후 쌍방향 마스터 키의 복사본은 요청자(105) 및 인증자(120)에 의해 각각 저장될 수 있다.
비밀 대칭 키 쌍은 요청자(105)와 인증자(120)와 인증 서버(135) 사이에 보안 연계를 설립하는 데 이용되는 보안 키의 값을 이용하여 리프레쉬 또는 수정될 수 있다. 예를 들어 통신 시스템(100)이 IEEE 802.16 및/또는 WiMAX 표준에 따라 동작한다면, 요청자(105) 및 인증자(120)는 각각 AAA 키의 현재 값을 이용하여 쌍방향 마스터 키(PMK)의 값을 수정할 수 있다. 이에 따라 요청자(105)와 액세서 서 빙 네트워크(125) 사이의 보안 연계는 접속성 서빙 네트워크(140) 내의 인증 서버(135)에 액세스하지 않고도 리프레쉬될 수 있다.
통신 시스템(100)은 또한 하나 이상의 약간 신뢰할 수 있는 도메인을 포함할 수 있다. 예시한 실시예에서, 액세스 서빙 네트워크(145) 및 접속성 서빙 네트워크(150)는 약간 신뢰할 수 있는 도메인 내에 있다. 액세스 서빙 네트워크(145)는 하나 이상의 기지국(155) 및 인증자(160)를 포함할 수 있고, 접속성 서빙 네트워크(150)는 자신의 인증 서버(165)를 포함할 수 있다. 액세스 서빙 네트워크(145) 및 접속성 서빙 네트워크(150)는, 요청자(105)와 인증자(160)와 인증 서버(165) 사이에 어떠한 선험적 보안 연계(any a priori security association)도 존재하지 않기 때문에, 약간 신뢰할 수 있는 도메인 내에 있는 것으로 간주된다. 유사하게, 요청자(105)와 인증자(160) 사이에는 한 쌍의 비밀 대칭 키에 의해 표현되는 보안 연계와 같은 어떠한 보안 연계도 존재하지 않는다. 일 실시예에서, 비밀 대칭 키 쌍은 요청자(105)가 약간 신뢰할 수 있는 도메인 내의 기지국(155)으로 핸드오프(점선(170)으로 표시함)하기 전에 전술한 바와 같이 리프레쉬 또는 수정될 수 있다. 그 결과, 약간 신뢰할 수 있는 기지국(155)은 새롭게 리프레쉬된 비밀 대칭 키로부터 도출된 키를 수신하며, 보안 키의 이전 값은 새로운 키를 해독하는 데 이용될 수 없다.
도 2는 기존 보안 키에 기초하여 비밀 대칭 키를 수정하는 방법(200)의 예시적인 일 실시예를 개념적으로 예시하고 있다. 예시한 실시예에서, 비밀 대칭 키에 의해 표현되는 보안 연계는 요청자(205)와 인증자(210) 사이에 존재한다. 요청 자(105) 및 인증자(210)는 Bellare-Rogaway 3-단계 프로토콜과 같은 협상 프로토콜을 이용하여 비밀 대칭 키를 생성한다. 인증자(210)와 요청자(205) 사이의 키 관리 협상은 비밀 대칭 키를 요청자(205) 및 인증자(210)에게 예속시켜, 양측 모두가 비밀 대칭 키를 소유하는 것을 확인하는 데 이용될 수 있다.
예시한 실시예에서 요청자(205) 및 인증자(210)는 IEEE 802.16 및/또는 WiMAX 표준에 따라 동작한다. 그러나 본 개시내용이 유리하게 이용될 수 있는 당업계의 숙련자라면 본 발명이 그 표준으로 제한되는 것이 아니며, 다른 실시예에서는 임의의 표준이 이용될 수 있음을 이해할 수 있을 것이다. 이에 따라 3자 EAP 액세스 인증 프로토콜의 성공적인 완료 이후 및 방법(200)을 개시하기 전에, 접속성 서빙 네트워크 내의 홈 AAA 서버와 같은 인증 서버는 AAA 키/MSK를 인증자(210)에게 전달한다. 인증 서버는 또한 요청자(205)가 AAA 키/MSK를 도출하는 데 이용할 수 있는 정보를 제공한다. 그러면 요청자(205) 및 인증자(210)는 후술하는 바와 같이 AAA 키로부터 쌍방향 마스터 키(PMK)와 같은 비밀 대칭 키의 복사본을 생성할 수 있다.
예시한 실시예에서, 방법(200)은 난수 RA와 같은 시도를 생성(215)하는 인증자(210)에 의해 개시된다. 대안으로, 인증자(210)는 요청자(205) 및/또는 인증자(210)에 의해 생성되는 논스(nonces)를 포함하는 시도를 생성할 수 있다. 본 명세서에서 논스는 오직 1회만 이용되는 정보, 예를 들어 단일 인증 동작에만 이용되는 정보로서 정의된다. 인증자(210)는 화살표(220)에 의해 표시되는 바와 같이 요청자(205)에게 시도를 전송한다. 일 실시예에서, 랜덤 시도는 IEEE 802.16 PKMv.2 프로토콜을 통해 전송된다. 난수 RA를 수신하자마자, 요청자(205)는 시도 CM이라고도 호칭될 수 있는 제 1 응답을 생성할 수 있다. 시도 CM은 난수 또는 카운터의 형태일 수 있다. 대안으로, 요청자(205)는 요청자(205) 및 인증자(210)에 의해 생성되는 하나 이상의 논스를 포함하는 시도를 생성할 수 있다. 예를 들어, 요청자(205)는 RA와 자신의 논스 양측 모두를 포함하되, 난수 또는 카운터의 형태일 수 있는 제 1 응답을 생성할 수 있다. 예시한 실시예에서, 요청자(205)는 로컬 액세스 카운터를 유지시키고, 랜덤 시도에 응답하여 카운터 CM을 증가시킨다(225). 요청자(205)는 인증자로부터 수신된 시도 RA 및 요청자에 의해 국부적으로 유지되는 시도 CM에 대한 응답을 표현하는 메시지 인증 코드(MAC0)를 생성한다(230). 메시지 인증자 코드 MAC0은 해쉬 함수(a hash function)를 이용하여 다음과 같이 계산된다.
MAC0 = H(AAA-Key||TAG0||RA||CM)
이 표현식에서, H()는 허용된 메시지 인증 코드 속성을 갖는 해쉬 함수를 나타낸다. 이러한 함수의 예로는 MD5, SHA-1, HMAC, EHMAC 등이 있을 수 있다. 심볼 "||"은 연속(concatenation)을 의미한다. 값 "TAG0"은 해쉬 함수에 대한 MAC0를 생성하는 과정을 식별하는 태그이다. 다양한 다른 실시예에서, 태그는 임의의 수 및/또는 문자 열을 나타내는 임의의 수의 비트를 포함할 수 있다. 요청자(205)는 화살표(235)에 의해 표시되는 바와 같이 시도 응답 메시지를 인증자(210)에게 전송한다. 예시한 실시예에서, 시도 응답 메시지는 CM 및 MAC0를 포함한다.
인증자(210)는 MAC0을 이용하여 시도 응답을 검증한다(240). 인증자(210)는, 시도 응답이 유효한 것으로 판별하면, 다음과 같이 해쉬 함수 및 AAA 키에 기초하여 메시지 인증 코드(MAC1)를 생성한다(245).
MAC1 = H(AAA-Key||Tag1||RA||CM)
값 "Tag1"에 의해 표시되는 상이한 태그는 메시지 인증 코드(MAC1)를 생성(245)하는 데 이용된다. 다양한 다른 실시예에서, 태그는 임의의 수 및/또는 문자 열을 표현하는 임의의 수의 비트를 포함할 수 있다. 인증자(210)는 또한 다음과 같이 해쉬 함수 및 AAA 키에 기초하여 비밀 대칭 키의 새로운 값을 계산한다(250).
PMK = H(AAA-Key||Tag2||RA||CM)
값 "Tag2"는 해쉬 함수에 대한 PMK를 생성하는 과정을 식별하는 태그이다. 다양한 다른 실시예에서, 태그는 임의의 수 및/또는 문자 열을 표현하는 임의의 수를 포함할 수 있다. 인증자(210)는 화살표(255)에 의해 표시되는 바와 같이 검증을 위해 MAC1를 요청자(205)에게 전송한다.
요청자(205)는 MAC1을 검증하고(260), 상기 표현식을 이용하여 비밀 대칭 키 의 새로운 값을 계산한다(265). 요청자(205) 및 인증자(210)는 MAC1이 검증되면(260) 상호 인증된다. 일 실시예에서는, 인증 키(AK)와 같은 추가 키가 요청자(205) 및 인증자(210)에 의해 생성될 수 있다. 프로토콜이 손상된 채로 수신되었다면, 양측은 암호학적 확실성(cryptographic certainty)을 이용하여 그들이 일치하는 비밀 대칭 키를 갖고 있음을 알게 된다. 이와 달리, 프로토콜이 그 중 어느 한 방향에서 손상되었다면, 대응하는 자가 이것을 검출하여 트랜잭션을 중단할 것이다.
본 방법(200)의 실시예는 요청자(205)와 인증자(210) 사이의 보안 연계가 가입자의 홈 네트워크 상의 인증 서버로의 액세스 없이도 주기적으로 리프레쉬될 수 있게 한다. 예를 들어, 이 프로토콜은 AAA 서버와 재접촉하여 AAA 키를 갱신하지 않고도 PMK의 온 디멘드 리프레쉬(on-demand refreshment)를 허용한다. 그 결과, 본 발명의 실시예를 이용하여 비밀 대칭 키를 수정하면 전술한 통상적인 3자 4단계 인증 절차에 비해 시간 및 다른 시스템 리소스를 비교적 적게 소모할 수 있을 것이다. 따라서 비밀 대칭 키는 보다 자주 리프레쉬되어 통신 시스템과 연계된 보안 리스크를 잠재적으로 감소시킬 수 있다.
전술한 특정 실시예는 단지 예시적인 것이며, 본 명세서의 교시 내용의 이점을 갖는 당업자에게는 명백하게도 본 발명은 상이하지만 등가인 방식으로 수정 및 구현될 수 있다. 또한, 이하의 특허청구범위에서 설명한 것 이외에는 어떤 제한도 본 명세서에서 도시한 구조 또는 설계의 세부사항에 대해 의도되지 않는다. 따라 서 전술한 특정 실시예는 변경 또는 수정될 수 있고, 그러한 모든 변화는 본 발명의 범주 및 사상 내에서 고려된다는 것은 명백하다. 이에 따라 본 명세서에서 추구하는 보호범위는 이하의 특허청구범위에 기술된 바와 같다.

Claims (10)

  1. 제 1 키에 기초하여 설립된 보안 연계를 갖는 요청자(a supplicant), 인증자 및 인증 서버를 포함하는 통신 방법으로서, 상기 요청자 및 상기 인증자는 제 2 키에 기초하여 설립된 보안 연계를 가지되,
    상기 통신 방법은,
    상기 요청자로의 시도(a challenge) 제공에 대한 응답으로 상기 요청자로부터 상기 제 1 키에 기초하여 형성된 시도 응답(a challenge response)을 수신하는 단계와,
    상기 요청자로부터의 시도 응답이 유효하다고 판별되면, 상기 제 1 키를 이용하여 상기 제 2 키를 수정하는 단계를 포함하는
    통신 방법.
  2. 제 1 항에 있어서,
    상기 요청자에게 상기 시도를 제공하는 단계와,
    상기 시도 응답이 유효한지 판별하는 단계를 포함하는
    통신 방법.
  3. 제 2 항에 있어서,
    상기 시도를 제공하는 단계는, 상기 인증자에 의해 생성된 난수(a random number) 또는 상기 요청자에 의해 생성된 논스(a nonce)를 제공하는 단계를 포함하고,
    상기 시도 응답을 수신하는 단계는, 상기 제 1 키와, 상기 인증자에 의해 생성된 상기 난수와, 상기 요청자에 의해 생성된 상기 논스를 이용하여 결정된 제 1 메시지 인증 코드를 수신하는 단계를 포함하되,
    상기 논스는 난수 및 카운터 중 적어도 하나를 포함하는
    통신 방법.
  4. 제 3 항에 있어서,
    상기 시도 응답이 유효한지 판별하는 단계는, 상기 제 1 메시지 인증 코드를 검증하는 단계를 포함하고,
    상기 방법은,
    상기 제 1 키와, 상기 인증자에 의해 생성된 상기 난수와, 상기 요청자에 의해 생성된 상기 논스 - 상기 논스는 난수 및 카운터 중 적어도 하나를 포함함 - 를 이용하여 제 2 메시지 인증 코드를 생성하는 단계와,
    상기 요청자에게 상기 제 2 메시지 인증 코드를 제공하는 단계를 포함하되,
    상기 제 2 키를 수정하는 단계는, 난수, 카운터, 및 상기 요청자에 의해 생성된 논스 - 상기 논스는 난수 및 카운터 중 적어도 하나를 포함함 - 중 적어도 하나와, 상기 인증자에 의해 생성된 상기 난수와, 상기 제 1 키의 해쉬 함수(a hash function)를 이용하여 상기 제 2 키를 결정하는 단계를 포함하는
    통신 방법.
  5. 제 1 항에 있어서,
    상기 요청자로부터 시도를 수신하는 단계와,
    상기 요청자에게 시도 응답을 제공하는 단계와,
    상기 시도 응답이 상기 요청자에 의해 검증되었다는 표시를 수신하는 단계와,
    상기 수정된 제 2 키에 기초하여 적어도 하나의 제 3 키를 결정하는 단계를 포함하는
    통신 방법.
  6. 제 1 키에 기초하여 설립된 보안 연계를 갖는 요청자, 인증자 및 인증 서버를 포함하는 통신 방법으로서, 상기 요청자 및 상기 인증자는 제 2 키에 기초하여 설립된 보안 연계를 가지되,
    상기 통신 방법은,
    상기 인증자로의 시도 제공에 대한 응답으로 상기 인증자로부터 상기 제 1 키에 기초하여 형성된 제 1 시도 응답을 수신하는 단계와,
    상기 인증자로부터의 상기 제 1 시도 응답이 유효하다고 판별되면, 상기 제 1 키를 이용하여 상기 제 2 키를 수정하는 단계를 포함하는
    통신 방법.
  7. 제 6 항에 있어서,
    상기 인증자로부터 시도를 수신하는 단계와,
    상기 인증자에게 제 2 시도 응답을 제공하는 단계와,
    상기 제 2 시도 응답의 제공에 대한 응답으로, 상기 인증자로부터 상기 제 1 시도 응답을 수신하는 단계와,
    상기 제 1 시도 응답이 유효한지 판별하는 단계를 포함하는
    통신 방법.
  8. 제 7 항에 있어서,
    상기 시도를 수신하는 단계는, 상기 인증자에 의해 생성된 난수 또는 상기 요청자에 의해 생성된 논스를 수신하는 단계를 포함하고,
    상기 제 1 시도 응답을 수신하는 단계는, 상기 제 1 키와, 상기 인증자에 의해 생성된 난수와, 상기 요청자에 의해 생성된 논스 - 상기 논스는 난수 및 카운터 중 적어도 하나를 포함함 - 를 이용하여 결정된 제 1 메시지 인증 코드를 수신하는 단계를 포함하며,
    상기 제 1 시도 응답이 유효한지 판별하는 단계는, 상기 제 1 메시지 인증 코드를 검증하는 단계를 포함하는
    통신 방법.
  9. 제 8 항에 있어서,
    상기 제 2 시도 응답을 제공하는 단계는, 상기 제 1 키와, 상기 인증자에 의해 생성된 난수와 상기 요청자에 의해 생성된 논스 - 상기 논스는 난수 및 카운터 중 적어도 하나를 포함함 - 를 이용하여 제 2 메시지 인증 코드를 생성하는 단계를 포함하고,
    상기 제 2 시도 응답을 제공하는 단계는, 상기 제 2 메시지 인증 코드를 제공하는 단계를 포함하며,
    상기 제 2 키를 수정하는 단계는, 난수, 카운터 및 상기 요청자에 의해 생성된 논스 - 상기 논스는 난수 및 카운터 중 적어도 하나를 포함함 - 중 적어도 하나와, 상기 인증자에 의해 생성된 난수와, 상기 제 1 키의 해쉬 함수를 이용하여 상기 제 2 키를 판별하는 단계를 포함하는
    통신 방법.
  10. 제 6 항에 있어서,
    상기 수정된 제 2 키에 기초하여 적어도 하나의 제 3 키를 결정하는 단계를 포함하는
    통신 방법.
KR1020077030424A 2005-06-30 2006-06-22 통신 방법 KR101266773B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/173,143 US7596225B2 (en) 2005-06-30 2005-06-30 Method for refreshing a pairwise master key
US11/173,143 2005-06-30

Publications (2)

Publication Number Publication Date
KR20080018214A KR20080018214A (ko) 2008-02-27
KR101266773B1 true KR101266773B1 (ko) 2013-05-28

Family

ID=37106284

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077030424A KR101266773B1 (ko) 2005-06-30 2006-06-22 통신 방법

Country Status (8)

Country Link
US (1) US7596225B2 (ko)
EP (1) EP1897268B1 (ko)
JP (1) JP4865791B2 (ko)
KR (1) KR101266773B1 (ko)
CN (1) CN101213784B (ko)
AT (1) ATE415024T1 (ko)
DE (1) DE602006003763D1 (ko)
WO (1) WO2007005310A1 (ko)

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0228832D0 (en) * 2002-12-10 2003-01-15 Novartis Ag Organic compound
GB2421874B (en) * 2004-12-31 2008-04-09 Motorola Inc Mobile station, system, network processor and method for use in mobile communications
KR100770928B1 (ko) * 2005-07-02 2007-10-26 삼성전자주식회사 통신 시스템에서 인증 시스템 및 방법
US7313394B2 (en) * 2005-07-15 2007-12-25 Intel Corporation Secure proxy mobile apparatus, systems, and methods
US20070028092A1 (en) * 2005-07-28 2007-02-01 Alper Yegin Method and system for enabling chap authentication over PANA without using EAP
US20070042776A1 (en) * 2005-08-19 2007-02-22 Sanjay Bakshi Wireless packet-switched paging apparatus, systems, and methods
US20070086395A1 (en) * 2005-10-14 2007-04-19 Sanjay Bakshi Wireless paging apparatus, systems and methods
US7693555B2 (en) * 2005-10-21 2010-04-06 Intel Corporation Sleep-mode wireless cell reselection apparatus, systems, and methods
KR20070051233A (ko) * 2005-11-14 2007-05-17 삼성전자주식회사 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법
DE102005059827B4 (de) * 2005-12-14 2010-09-23 Siemens Ag Verfahren zum Verwalten eines Zählerstandes in einem Kommunikationsnetz
DE102006012655B4 (de) 2006-01-10 2008-12-24 Siemens Ag Verfahren zum Bereitstellen einer Dienstqualität in einem WiMAX-Kommunikationsnetzwerk und Verfahren zum Auswählen einer Zugangs-Transportressourcenkontrollfunktion durch eine Richtlinienentscheidungsfunktion in einem Kommunikationsnetzwerk
US20090164788A1 (en) * 2006-04-19 2009-06-25 Seok-Heon Cho Efficient generation method of authorization key for mobile communication
EP1848173A1 (en) * 2006-04-21 2007-10-24 Siemens Aktiengesellschaft Assignment of policy function address during access authentication in WiMAX networks
DE102006038592B4 (de) * 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
US20080095361A1 (en) * 2006-10-19 2008-04-24 Telefonaktiebolaget L M Ericsson (Publ) Security-Enhanced Key Exchange
CN101227458B (zh) * 2007-01-16 2011-11-23 华为技术有限公司 移动ip系统及更新家乡代理根密钥的方法
EP1973265A1 (en) * 2007-03-21 2008-09-24 Nokia Siemens Networks Gmbh & Co. Kg Key refresh in SAE/LTE system
US8145905B2 (en) * 2007-05-07 2012-03-27 Qualcomm Incorporated Method and apparatus for efficient support for multiple authentications
WO2009004508A1 (en) * 2007-06-29 2009-01-08 Nxp B.V. Method for cryptographic authentication
US9198033B2 (en) * 2007-09-27 2015-11-24 Alcatel Lucent Method and apparatus for authenticating nodes in a wireless network
CN101436930A (zh) 2007-11-16 2009-05-20 华为技术有限公司 一种密钥分发的方法、系统和设备
US8566929B2 (en) * 2008-01-14 2013-10-22 Telefonaktiebolaget Lm Ericsson (Publ) Integrity check failure detection and recovery in radio communications system
CN101499959B (zh) * 2008-01-31 2012-08-08 华为技术有限公司 配置密钥的方法、装置及系统
US8532036B2 (en) * 2008-03-18 2013-09-10 Clearwire Ip Holdings Llc System and method for providing voice over internet protocol quality of service support in a wireless communication network
US20090239500A1 (en) * 2008-03-20 2009-09-24 Tzero Technologies, Inc. Maintaining secure communication of a network device
US8565434B2 (en) * 2008-05-27 2013-10-22 Qualcomm Incorporated Methods and systems for maintaining security keys for wireless communication
JP5248930B2 (ja) * 2008-06-12 2013-07-31 株式会社東海理化電機製作所 暗号通信システム及び暗号鍵更新方法
EP2200358A3 (en) * 2008-12-04 2010-11-03 Huawei Device Co., Ltd. Method, device and system for negotiating authentication mode
US9769803B2 (en) * 2012-11-29 2017-09-19 Nokia Technologies Oy Methods for device-to-device connection re-establishment and related user equipments and radio access node
US9173095B2 (en) * 2013-03-11 2015-10-27 Intel Corporation Techniques for authenticating a device for wireless docking
US10460314B2 (en) * 2013-07-10 2019-10-29 Ca, Inc. Pre-generation of session keys for electronic transactions and devices that pre-generate session keys for electronic transactions
EP3093339B1 (en) 2014-01-08 2021-02-24 Samsung Life Public Welfare Foundation Stem cells derived from pure chorionic trophoblast layer and cell therapy comprising same
WO2016015749A1 (en) * 2014-07-28 2016-02-04 Telefonaktiebolaget L M Ericsson (Publ) Authentication in a wireless communications network
US10129031B2 (en) * 2014-10-31 2018-11-13 Convida Wireless, Llc End-to-end service layer authentication
EP3272094B1 (en) 2015-03-16 2021-06-23 Convida Wireless, LLC End-to-end authentication at the service layer using public keying mechanisms
US10063540B2 (en) * 2015-06-07 2018-08-28 Apple Inc. Trusted status transfer between associated devices
EP3410630B1 (en) * 2017-05-30 2021-04-21 BE-Invest International SA General data protection method for multicentric sensitive data storage and sharing
US10728807B1 (en) * 2019-03-04 2020-07-28 Cisco Technology, Inc. Fast roaming and uniform policy for wireless clients with distributed hashing
EP3956792B1 (en) * 2019-04-17 2023-11-22 Nokia Technologies Oy Cryptographic key generation for mobile communications device
CN110413345A (zh) * 2019-07-26 2019-11-05 云湾科技(嘉兴)有限公司 程序验证方法、装置、计算设备及计算机存储介质
CN117201014A (zh) * 2020-02-29 2023-12-08 华为技术有限公司 一种密钥更新方法及相关装置
CN114258703B (zh) * 2020-07-24 2024-06-18 北京小米移动软件有限公司 多连接下的通信方法和通信设备
US20220255752A1 (en) * 2021-02-09 2022-08-11 Ford Global Technologies, Llc Vehicle computing device authentication

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
MX9602773A (es) * 1994-01-13 1997-05-31 Bankers Trust Co Sistema criptografico y metodo con aspecto de deposito de plica de clave.
US20030204724A1 (en) * 2002-04-30 2003-10-30 Microsoft Corporation Methods for remotely changing a communications password
US20030235305A1 (en) * 2002-06-20 2003-12-25 Hsu Raymond T. Key generation in a communication system
US7602918B2 (en) * 2005-06-30 2009-10-13 Alcatel-Lucent Usa Inc. Method for distributing security keys during hand-off in a wireless communication system

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Bernaard aboba et al, "Extension authentication Protocol(EAP) Key Management Framework," EAP Working Group, INTERNET-DRAFT, draft-ietf-eap-keying-05.txt. (2005.02.18.)
Hayriye Altunbasak and Henry Owen, "Alternative Pair-wise Key Exchange Protocols for Robust Security Networks (IEEE 802.11i) in Wireless LANs," Proceedings of IEEE SoutheastCon 2004, pp. 77-83. 2004년

Also Published As

Publication number Publication date
EP1897268B1 (en) 2008-11-19
DE602006003763D1 (de) 2009-01-02
JP2009500913A (ja) 2009-01-08
JP4865791B2 (ja) 2012-02-01
WO2007005310A1 (en) 2007-01-11
CN101213784A (zh) 2008-07-02
KR20080018214A (ko) 2008-02-27
US7596225B2 (en) 2009-09-29
US20070005972A1 (en) 2007-01-04
ATE415024T1 (de) 2008-12-15
EP1897268A1 (en) 2008-03-12
CN101213784B (zh) 2015-01-07

Similar Documents

Publication Publication Date Title
KR101266773B1 (ko) 통신 방법
KR101195278B1 (ko) 무선 통신 방법
JP5579872B2 (ja) 安全な複数uim認証および鍵交換
US7370350B1 (en) Method and apparatus for re-authenticating computing devices
US20070220598A1 (en) Proactive credential distribution
Dantu et al. EAP methods for wireless networks
WO2007107708A2 (en) Establishing communications
JP2011512052A (ja) 無線アクセス技術及び移動ip基盤の移動性制御技術が適用された次世代のネットワーク環境のための統合ハンドオーバー認証方法
US20120254615A1 (en) Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network
Ciou et al. A handover security mechanism employing the Diffie-Hellman key exchange approach for the IEEE802. 16e wireless networks
Alezabi et al. On the authentication and re‐authentication protocols in LTE‐WLAN interworking architecture
Marques et al. Integration of the Captive Portal paradigm with the 802.1 X architecture
Chu et al. Secure data transmission with cloud computing in heterogeneous wireless networks
Marin-Lopez et al. Secure three-party key distribution protocol for fast network access in EAP-based wireless networks
Wang et al. An efficient EAP-based pre-authentication for inter-WRAN handover in TV white space
Mahshid et al. An efficient and secure authentication for inter-roaming in wireless heterogeneous network
Leu et al. A handover security mechanism employing diffie-Hellman PKDS for IEEE802. 16e wireless networks
Suman A novel authentication algorithm for vertical handoff in heterogeneous wireless networks
Latze Towards a secure and user friendly authentication method for public wireless networks
Narmadha et al. Performance analysis of signaling cost on EAP-TLS authentication protocol based on cryptography

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160509

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170508

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180504

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190417

Year of fee payment: 7