KR101853813B1 - 디바이스들간의 보안 연결 생성 방법 및 그 장치 - Google Patents

디바이스들간의 보안 연결 생성 방법 및 그 장치 Download PDF

Info

Publication number
KR101853813B1
KR101853813B1 KR1020110037982A KR20110037982A KR101853813B1 KR 101853813 B1 KR101853813 B1 KR 101853813B1 KR 1020110037982 A KR1020110037982 A KR 1020110037982A KR 20110037982 A KR20110037982 A KR 20110037982A KR 101853813 B1 KR101853813 B1 KR 101853813B1
Authority
KR
South Korea
Prior art keywords
coordinator
information
secure connection
security information
shared
Prior art date
Application number
KR1020110037982A
Other languages
English (en)
Other versions
KR20120119788A (ko
Inventor
정수연
전해영
권혁춘
김호동
박동식
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020110037982A priority Critical patent/KR101853813B1/ko
Priority to US13/314,871 priority patent/US8661244B2/en
Publication of KR20120119788A publication Critical patent/KR20120119788A/ko
Application granted granted Critical
Publication of KR101853813B1 publication Critical patent/KR101853813B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명의 일 실시예는 제1 디바이스와 제2 디바이스로부터 그 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 조정자가 수신하고, 그 조정자가 제1 디바이스와 그 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 제1 디바이스와 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 제공받아 그 조정자와 제2 디바이스간의 제2 보안 연결을 생성한 후, 제1 디바이스와 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 조정자가 브로드캐스트하는 보안 연결 생성 방법을 제공한다.

Description

디바이스들간의 보안 연결 생성 방법 및 그 장치{Method and apparatus for generating secured link between devices}
본 발명은 디바이스들간의 보안 연결 생성 방법 및 그 장치에 관한 것이다.
최근 들어 다양한 방식의 근거리 통신 방식 (WiFi, Bluetooth 등)이 디바이스 간의 통신 프로토콜(Protocol)로 많이 사용 되고 있다. 이와 같은 근거리 통신 방식에서는 WiFi Direct, WiFi Protected Setup(WPS) 등을 이용하여 디바이스 상호간에 보다 쉽게 통신 프로토콜을 설정하고, 네트워크를 생성할 수 있다.
한편, 최근에는 대용량 고속 전송을 목표로 하는 60GHz 주파수 대역을 이용하는 통신 방식이 WiFi 통신 방식의 확장형으로 대두 되고 있는데, 이와 같은 60GHz 주파수 대역을 이용하는 디바이스들간의 통신 프로토콜 설정 및 네트워크 생성 방법에 대한 다양한 기술들이 제안되고 있다.
본 발명의 목적은 디바이스들간의 보안 연결 생성 방법 및 그 장치에 관한 것이다.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 보안 연결 생성 방법은 제1 디바이스와 제2 디바이스로부터 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 조정자가 수신하는 단계; 상기 조정자가 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 제공받아 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 단계; 및 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 상기 조정자가 브로드캐스트하거나 상기 제1 디바이스 및 상기 제2 디바이스 각각에게 전송하는 단계를 포함한다.
바람직하게는, 본 발명의 일실시예에 따른 보안 연결 생성 방법은 상기 조정자가 상기 공유 보안 정보를 전송해 줄 것을 요청하는 보안 정보 요청을 상기 제1 디바이스에게 전송하는 단계를 더 포함하고, 상기 제1 디바이스는 상기 보안 정보 요청을 수신하면 상기 제1 보안 연결을 통해 상기 공유 보안 정보를 상기 조정자에게 제공한다.
바람직하게는, 상기 제1 보안 연결을 통해 상기 공유 보안 정보를 제공받는 단계는 상기 제1 보안 연결을 통해 상기 제1 디바이스와 상기 조정자간에 상기 공유 보안 정보를 암호화하는데 이용하기로 약속한 암호화 키를 이용하여 암호화된 상기 공유 보안 정보를 상기 조정자가 수신함으로써 수행된다.
바람직하게는, 상기 제2 보안 연결을 생성하는 단계는 상기 조정자와 상기 제2 디바이스간의 상호 인증과 관련된 정보 및 상기 조정자와 상기 제2 디바이스간에 전송할 데이터에 적용될 암호화 알고리즘과 관련된 정보 중 적어도 하나와 상기 조정자 및 상기 제2 디바이스에서의 상기 공유 보안 정보를 상기 조정자와 상기 제2 디바이스간에 교환하는 단계; 및 상기 조정자와 상기 제2 디바이스간에 전송할 데이터를 암호화할 때 이용될 암호화 키를 상기 조정자와 상기 제2 디바이스가 공유하는 단계를 포함한다.
바람직하게는, 상기 제3 보안 연결을 생성하는 단계는 상기 제1 디바이스와 상기 제2 디바이스간의 상호 인증과 관련된 정보 및 상기 제1 디바이스와 상기 제2 디바이스간에 전송할 데이터에 적용될 암호화 알고리즘과 관련된 정보 중 적어도 하나와 상기 제1 디바이스 및 상기 제2 디바이스의 상기 공유 보안 정보를 상기 제1 디바이스와 상기 제2 디바이스간에 교환하는 단계; 및 상기 제1 디바이스와 상기 제2 디바이스간에 전송할 데이터를 암호화할 때 이용될 암호화 키를 상기 제1 디바이스와 상기 제2 디바이스가 공유하는 단계를 포함한다.
바람직하게는, 상기 제1 디바이스 및 상기 조정자는 동일한 네트워크에 속하고 상기 제2 디바이스는 상기 네트워크에 속하지 않으며, 상기 제2 보안 연결 및 상기 제3 보안 연결은 RSNA(Robust Secure Network Association)이고, 상기 제1 디바이스와 상기 제2 디바이스는 상기 상대 통지 정보가 수신되면 상기 제1 디바이스 및 상기 제2 디바이스가 공유하는 상기 공유 보안 정보를 이용하여 상기 제1 디바이스와 상기 제2 디바이스간에 상기 제3 보안 연결을 생성한다.
바람직하게는, 본 발명의 일실시예에 따른 보안 연결 생성 방법은 상기 제1 디바이스가 상기 제3 보안 연결을 희망하는 정도를 나타내는 수치적인 값을 포함하는 연결 희망 정보를 수신하는 단계를 더 포함하고, 상기 조정자는 상기 제1 디바이스가 상기 제3 보안 연결을 희망하는 정도를 나타내는 정보에 기초하여 상기 제2 보안 연결을 선택적으로 생성한다.
바람직하게는, 상기 공유 보안 정보는 개인 식별 번호(Personal Identification Number) 또는 패스워드이다.
또한, 상기 목적을 달성하기 위한 본 발명 다른 실시예에 따른 보안 연결 생성 방법은 제1 디바이스와 제2 디바이스로부터 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 조정자가 수신하는 단계; 상기 조정자가 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 상기 제1 디바이스가 생성한 난수 및 상기 난수와 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 이용하여 생성된 변경 보안 정보를 수신하는 단계; 상기 조정자가 상기 난수를 상기 제2 디바이스에게 전송한 후, 상기 변경 보안 정보를 이용하여 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 단계; 및 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 상기 조정자가 브로드캐스트하거나 상기 제1 디바이스 및 상기 제2 디바이스 각각에게 전송하는 단계를 포함한다.
바람직하게는, 상기 페어링 정보들을 조정자가 수신하는 단계는 상기 제1 디바이스로부터 상기 제1 디바이스가 상기 보안 연결 생성을 수행할 디바이스임을 나타내는 제1 페어링 정보를 상기 조정자가 수신하는 단계; 상기 조정자가 상기 제1 페어링 정보를 브로드캐스트하는 단계; 및 상기 제2 디바이스로부터 상기 제2 디바이스가 상기 보안 연결 생성을 수행할 디바이스임을 나타내는 제2 페어링 정보를 상기 조정자가 수신하는 단계를 포함한다.
바람직하게는, 상기 변경 보안 정보는 상기 난수 및 상기 공유 보안 정보에게 해쉬함수를 적용함으로써 생성된다.
바람직하게는, 상기 조정자가 상기 난수를 상기 제2 디바이스에게 전송하는 단계는 상기 변경 보안 정보를 생성하는 방법에 대한 정보를 상기 제2 디바이스에게 전송하는 단계를 더 포함한다.
또한, 상기 목적을 달성하기 위한 본 발명 또 다른 실시예에 따른 보안 연결 생성 방법은 제1 디바이스와 제2 디바이스로부터 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 조정자가 수신하는 단계; 상기 조정자가 난수를 생성한 후, 상기 난수를 상기 제1 디바이스 및 상기 제2 디바이스에게 전송하는 단계; 상기 난수 및 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 이용하여 상기 제1 디바이스가 생성한 변경 보안 정보를 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 수신하는 단계; 상기 변경 보안 정보를 이용하여 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 단계; 및 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 상기 조정자가 브로드캐스트하거나 상기 제1 디바이스 및 상기 제2 디바이스 각각에게 전송하는 단계를 포함한다.
또한, 상기 목적을 달성하기 위한 본 발명 또 다른 실시예에 따른 보안 연결 생성 방법은 제1 디바이스와 제2 디바이스가 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 조정자에게 전송하는 단계; 상기 제1 디바이스가 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 상기 조정자에게 전송하는 단계; 상기 조정자가 상기 공유 보안 정보를 이용하여 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 단계; 상기 조정자가 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 때 이용할 키 생성 정보를 상기 제1 디바이스 및 상기 제2 디바이스에게 전송하는 단계; 및 상기 제1 디바이스 및 상기 제2 디바이스가 상기 키 생성 정보를 이용하여 상기 제3 보안 연결을 생성하는 단계를 포함한다.
또한, 상기 목적을 달성하기 위한 본 발명 또 다른 실시예에 따른 조정자에 탑재된 보안 연결 생성 장치는 제1 디바이스와 제2 디바이스로부터 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 수신하고, 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 수신하는 수신부; 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 연결 제어부; 및 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 브로드캐스트하거나 상기 제1 디바이스 및 상기 제2 디바이스 각각에게 전송하는 전송부를 포함한다.
또한, 상기 목적을 달성하기 위한 본 발명 또 다른 실시예에 따른 조정자에 탑재된 보안 연결 생성 장치는 제1 디바이스와 제2 디바이스로부터 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 수신하고, 상기 제1 디바이스가 생성한 난수 및 상기 난수와 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 이용하여 생성된 변경 보안 정보를 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 수신하는 수신부; 상기 난수를 상기 제2 디바이스에게 전송하는 전송부; 및 상기 변경 보안 정보를 이용하여 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 연결 제어부를 포함하고, 상기 전송부는 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 브로드캐스트하거나 상기 제1 디바이스 및 상기 제2 디바이스 각각에게 전송한다.
또한, 상기 목적을 달성하기 위한 본 발명 또 다른 실시예에 따른 조정자에 탑재된 보안 연결 생성 장치는 제1 디바이스와 제2 디바이스로부터 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 수신하는 수신부; 난수를 생성하는 난수 생성부; 상기 난수를 상기 제1 디바이스 및 상기 제2 디바이스에게 전송하는 전송부; 및 상기 수신부가 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 상기 난수 및 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 이용하여 상기 제1 디바이스가 생성한 변경 보안 정보를 수신하면, 상기 변경 보안 정보를 이용하여 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 연결 제어부를 포함하고, 상기 전송부는 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 브로드캐스트하거나 상기 제1 디바이스 및 상기 제2 디바이스 각각에게 전송한다.
또한, 상기 목적을 달성하기 위한 본 발명 또 다른 실시예에 따른 네트워크 시스템은 자신이 보안 연결 생성을 수행할 디바이스임을 나타내는 제1 페어링 정보를 생성하는 제1 디바이스; 자신이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 제2 페어링 정보를 생성하는 제2 디바이스; 및 상기 제1 디바이스와 보호된 통신 연결인 제1 보안 연결로 연결되며, 상기 제1 페어링 정보 및 상기 제2 페어링 정보를 수신하고, 상기 제1 보안 연결을 통해 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 수신하고, 상기 공유 보안 정보를 이용하여 상기 제2 디바이스와의 제2 보안 연결을 생성하고, 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 때 이용할 키 생성 정보를 상기 제1 디바이스 및 상기 제2 디바이스에게 전송하는 조정자를 포함하고, 상기 제1 디바이스 및 상기 제2 디바이스는 상기 키 생성 정보를 이용하여 상기 제3 보안 연결을 생성한다.
또한, 본 발명의 또 다른 실시예는 상기 목적을 달성하기 위하여 제1 디바이스와 제2 디바이스로부터 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 조정자가 수신하는 단계; 상기 조정자가 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 제공받아 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 단계; 및 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 상기 조정자가 브로드캐스트하거나 상기 제1 디바이스 및 상기 제2 디바이스 각각에게 전송하는 단계를 포함하는 보안 연결 생성 방법을 실행시키기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록 매체를 제공한다.
또한, 본 발명의 또 다른 실시예는 상기 목적을 달성하기 위하여 제1 디바이스와 제2 디바이스로부터 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 조정자가 수신하는 단계; 상기 조정자가 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 상기 제1 디바이스가 생성한 난수 및 상기 난수와 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 이용하여 생성된 변경 보안 정보를 수신하는 단계; 상기 조정자가 상기 난수를 상기 제2 디바이스에게 전송한 후, 상기 변경 보안 정보를 이용하여 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 단계; 및 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 상기 조정자가 브로드캐스트하거나 상기 제1 디바이스 및 상기 제2 디바이스 각각에게 전송하는 단계를 포함하는 보안 연결 생성 방법을 실행시키기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록 매체를 제공한다.
또한, 본 발명의 또 다른 실시예는 상기 목적을 달성하기 위하여 제1 디바이스와 제2 디바이스로부터 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 조정자가 수신하는 단계; 상기 조정자가 난수를 생성한 후, 상기 난수를 상기 제1 디바이스 및 상기 제2 디바이스에게 전송하는 단계; 상기 난수 및 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 이용하여 상기 제1 디바이스가 생성한 변경 보안 정보를 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 수신하는 단계; 상기 변경 보안 정보를 이용하여 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 단계; 및 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 상기 조정자가 브로드캐스트하거나 상기 제1 디바이스 및 상기 제2 디바이스 각각에게 전송하는 단계를 포함하는 보안 연결 생성 방법을 실행시키기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록 매체를 제공한다.
또한, 본 발명의 또 다른 실시예는 상기 목적을 달성하기 위하여 제1 디바이스와 제2 디바이스가 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 조정자에게 전송하는 단계; 상기 제1 디바이스가 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 상기 조정자에게 전송하는 단계; 상기 조정자가 상기 공유 보안 정보를 이용하여 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 단계; 상기 조정자가 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 때 이용할 키 생성 정보를 상기 제1 디바이스 및 상기 제2 디바이스에게 전송하는 단계; 및 상기 제1 디바이스 및 상기 제2 디바이스가 상기 키 생성 정보를 이용하여 상기 제3 보안 연결을 생성하는 단계를 포함하는 보안 연결 생성 방법을 실행시키기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록 매체를 제공한다.
도 1은 본 발명의 일실시예에 따른 보안 연결 생성 방법을 설명하기 위하여 도시한 흐름도이다.
도 2는 본 발명의 제2 실시예에 따른 보안 연결 생성 방법을 설명하기 위하여 도시한 흐름도이다.
도 3은 본 발명의 제3 실시예에 따른 보안 연결 생성 방법을 설명하기 위하여 도시한 흐름도이다.
도 4는 본 발명의 제4 실시예에 따른 보안 연결 생성 방법을 설명하기 위하여 도시한 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 연결 희망 정보에 기초하여 제2 보안 연결을 생성하는 방법에 대하여 설명하기 위한 흐름도이다.
도 6은 본 발명의 일실시예에 따른 보안 연결 생성 장치를 설명하기 위하여 도시한 흐름도이다.
도 7은 본 발명의 일실시예에 따른 보안 연결 생성 방법을 이용하여 데이터를 전송하는 방법을 설명하기 위하여 도시한 흐름도이다.
도 8은 본 발명의 제2 실시예에 따른 보안 연결 생성 방법을 이용하여 데이터를 전송하는 방법을 설명하기 위하여 도시한 흐름도이다.
도 9는 본 발명의 제3 실시예에 따른 보안 연결 생성 방법을 이용하여 데이터를 전송하는 방법을 설명하기 위하여 도시한 흐름도이다.
도 10은 본 발명의 제4 실시예에 따른 보안 연결 생성 방법을 이용하여 데이터를 전송하는 방법을 설명하기 위하여 도시한 흐름도이다.
이하에서는 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세히 설명한다.
도 1은 본 발명의 일실시예에 따른 보안 연결 생성 방법을 설명하기 위하여 도시한 흐름도이다.
이하에서는 제1 디바이스(110) 및 조정자(120)는 동일한 네트워크에 속한다고 가정하고, 제2 디바이스(130)는 그 네트워크에 속하지 않는다고 가정한다. 이때, 제1 디바이스(110) 및 조정자(120)가 속하는 네트워크는 PBSS(Personal Basic Service Set) 네트워크일 수 있다.
PBSS 네트워크는 원칙적으로 디바이스들이 BSS(Basic Service Set) 네트워크의 AP에 대응되는 조정자를 통하지 않고도 상호간에 직접 통신을 수행할 수 있도록 구성된 네트워크를 말한다. BSS 네트워크에서는 AP와 디바이스들이 명확히 구분되어 있었기 때문에 네트워크 상에서 어떤 디바이스가 AP이고 어떤 디바이스가 스테이션인지를 구분할 수 있었지만, PBSS 네트워크에서는 디바이스들이 조정자로서도 동작할 수 있도록 구성되어 있기 때문에 어떤 디바이스가 조정자이고 어떤 디바이스가 스테이션인지를 구분하기 어렵다는 차이점이 있다. 또한, PBSS 네트워크는 60GHz 대역에서의 통신을 지원할 수 있다.
이하에서는 제1 디바이스(110)와 조정자(120)는 상호간에 보호된 통신 연결(secured communication link)인 제1 보안 연결로 연결되어 있다고 가정한다.
첫 번째 단계에서는, 사용자가 제1 디바이스(110)에게 제1 디바이스(110)와 제2 디바이스(130)가 공유할 공유 보안 정보를 입력한다.
이때, 공유 보안 정보는 개인 식별 번호(Personal Identification Number) 또는 패스워드일 수 있다.
두 번째 단계에서는, 제1 디바이스(110)가 자신이 보안 연결 생성을 수행할 디바이스임을 나타내는 제1 페어링 정보를 조정자(120)에게 전송한다.
세 번째 단계에서는, 사용자가 제2 디바이스(130)에게 공유 보안 정보를 입력한다.
네 번째 단계에서는, 제2 디바이스(130)가 자신이 보안 연결 생성을 수행할 디바이스임을 나타내는 제2 페어링 정보를 조정자(120)에게 전송한다.
다섯 번째 단계에서는, 조정자(120)가 공유 보안 정보를 전송해 줄 것을 요청하는 보안 정보 요청을 제1 디바이스(110)에게 전송한다.
여섯 번째 단계에서는, 제1 디바이스(110)가 자신에게 입력된 공유 보안 정보를 제1 보안 연결을 통해 조정자(120)에게 전송한다.
이때, 제1 디바이스(110)는 공유 보안 정보를 제공할 때, 제1 디바이스(110)와 조정자(120)간에 그 공유 보안 정보를 암호화하는데 이용하기로 약속한 암호화 키를 이용하여 공유 보안 정보를 암호화한 후, 그 암호화된 공유 보안 정보를 제1 보안 연결을 통해 조정자(120)에게 전송할 수 있다.
다른 실시예에서는, 제1 디바이스(110)가 조정자(120)로부터 보안 정보 요청을 수신하지 않고 공유 보안 정보를 조정자(120)에게 전송할 수도 있다.
일곱 번째 단계에서는, 조정자(120)가 제1 디바이스(110)로부터 수신한 공유 보안 정보를 이용하여 제2 디바이스(130)와 제2 보안 연결을 생성한다.
이때, 제2 보안 연결 과정을 통해 조정자(120)와 제2 디바이스(130)간의 상호 인증과 관련된 정보, 조정자(120)와 제2 디바이스(130)간에 전송할 데이터에 적용될 암호화 알고리즘과 관련된 정보, 조정자(120)가 보유하고 있는 공유 보안 정보, 제2 디바이스(130)가 보유하고 있는 공유 보안 정보 등을 상호간에 교환하여, 최종적으로 조정자(120)와 제2 디바이스(130)간에 전송할 데이터를 암호화할 때 이용될 암호화 키를 공유하게 된다.
또한, 제2 보안 과정을 통해 제2 디바이스(130)는 조정자(120)가 속하는 네트워크에 결합하게 된다.
한편, 제2 보안 연결은 RSNA(Robust Secure Network Association)일 수 있다. RSN 기술은 당업자에게 자명하므로 RSNA에 대한 설명은 생략한다.
여덟 번째 단계에서는, 조정자(120)가 제1 디바이스(110)와 제2 디바이스(130)가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 브로드캐스트한다.
다만, 다른 실시예에서는 조정자(120)가 상대 통지 정보를 브로드캐스트하는 대신에 조정자(120)가 제1 디바이스(110)와 제2 디바이스(130) 각각에게 상대 통지 정보를 전송할 수도 있다. 이는 이하의 실시예들에도 동일하게 적용될 수 있다.
아홉 번째 단계에서는, 제1 디바이스(110)와 제2 디바이스(130)가 공유 보안 정보를 이용하여 제3 보안 연결을 생성한다.
이때, 제3 보안 연결의 생성은 제1 디바이스(110)와 제2 디바이스(130)간의 상호 인증과 관련된 정보, 제1 디바이스(110)와 제2 디바이스(130)간에 전송할 데이터에 적용될 암호화 알고리즘과 관련된 정보, 제1 디바이스(110)가 보유하고 있는 공유 보안 정보, 제2 디바이스(130)가 보유하고 있는 공유 보안 정보 등을 상호간에 교환하여, 최종적으로 제1 디바이스(110)와 제2 디바이스(130)간에 전송할 데이터를 암호화할 때 이용될 암호화 키를 공유하게 됨으로써 완료될 수 있다.
본 발명의 일실시예는 도 1의 실시예에서와 같이 사용자가 제1 디바이스(110)와 제2 디바이스(130) 각각에게 공유 보안 정보만을 입력하는 것만으로도 제2 디바이스(130)가 제1 디바이스(110)가 속하는 네트워크에 결합하여 제1 디바이스(110)와 보안 연결을 생성할 수 있게 되므로, 손쉽게 보안 연결을 생성할 수 있다는 장점이 있다.
종래에는 동일한 네트워크에 속하지 않는 디바이스들간에 보안 연결을 생성하기 위해서는 사용자가 푸쉬 버튼(Push-button) 방식 또는 PIN(Personal Identification Number) 입력 방식을 이용하여 네트워크 밖의 디바이스 A가 네트워크 내의 조정자와 보안 연결을 생성하게 한 후, 다시 푸쉬 버튼(Push-button) 방식 또는 PIN(Personal Identification Number) 입력 방식을 이용하여 그 디바이스 A와 네트워크 내의 디바이스 B가 보안 연결을 생성하게 하는 기술이 이용되었으나, 이와 같은 기술은 사용자가 조정자와 디바이스 A간의 보안 연결과 디바이스 A와 디바이스 B간의 보안 연결 모두에 관여해야하기 때문에 번거로운 문제점이 있고, PBSS에서는 어떤 디바이스가 조정자이고 어떤 디바이스가 일반 디바이스인지 구분할 수 없으므로 이와 같은 기술을 이용하여 디바이스들간에 보안 연결을 생성할 수 없다는 문제점이 있었다.
하지만, 본원 발명의 일실시예에서는 보안 연결을 생성시킬 두 디바이스에게 공유 보안 정보를 입력하기만 하면, 사용자가 어떤 디바이스가 조정자인지 모르는 경우에도 손쉽게 두 디바이스간에 보안 연결이 생성될 수 있으므로, 이와 같은 문제점이 해결될 수 있다.
도 2는 본 발명의 제2 실시예에 따른 보안 연결 생성 방법을 설명하기 위하여 도시한 흐름도이다.
첫 번째 단계에서는, 사용자가 제1 디바이스(110)에게 제1 디바이스(110)와 제2 디바이스(130)가 공유할 공유 보안 정보를 입력한다.
두 번째 단계에서는, 제1 디바이스(110)가 자신이 보안 연결 생성을 수행할 디바이스임을 나타내는 제1 페어링 정보를 조정자(120)에게 전송한다.
세 번째 단계에서는, 조정자(120)가 제1 페어링 정보를 브로드캐스트한다.
네 번째 단계에서는, 사용자가 제2 디바이스(130)에게 공유 보안 정보를 입력한다.
다섯 번째 단계에서는, 제2 디바이스(130)가 자신이 보안 연결 생성을 수행할 디바이스임을 나타내는 제2 페어링 정보를 조정자(120)에게 전송한다.
여섯 번째 단계에서, 조정자(120)는 제2 디바이스(130)가 제1 디바이스(110)와 조정자(120)가 속하는 네트워크에 속하지 않음을 나타내는 제2 디바이스 위치 정보를 제1 디바이스(110)에게 전송한다.
일곱 번째 단계에서는, 제1 디바이스(110)가 난수를 생성한다.
여덟 번째 단계에서는, 제1 디바이스(110)가 난수와 공유 보안 정보를 이용하여 변경 보안 정보를 생성한다.
예컨대, 제1 디바이스(110)는 난수 및 공유 보안 정보에게 해쉬함수를 적용하여 변경 보안 정보를 생성할 수 있다.
아홉 번째 단계에서는, 제1 디바이스(110)가 제1 보안 연결을 통해 난수를 조정자(120)에게 전송한다.
열 번째 단계에서는, 제1 디바이스(110)가 제1 보안 연결을 통해 변경 보안 정보 생성 방법을 조정자(120)에게 전송한다.
열한 번째 단계에서는, 제1 디바이스(110)가 제1 보안 연결을 통해 변경 보안 정보를 조정자(120)에게 전송한다.
열두 번째 단계에서는, 조정자(120)가 제1 디바이스(110)로부터 수신한 난수를 제2 디바이스(130)에게 전송한다.
열세 번째 단계에서는, 조정자(120)가 제1 디바이스(110)로부터 수신한 변경 보안 정보 생성 방법을 제2 디바이스(130)에게 전송한다.
열네 번째 단계에서는, 제2 디바이스(130)가 조정자(120)로부터 수신한 난수와 자신이 보유하고 있는 공유 보안 정보를 이용하여 변경 보안 정보를 생성한다.
이때, 제2 디바이스(130)는 조정자(120)로부터 수신한 변경 보안 정보 생성 방법에 기초하여 변경 보안 정보를 생성할 수 있다.
다만, 다른 실시예에서는, 제1 디바이스(110)와 제2 디바이스(130) 각각이 변경 보안 정보를 생성하는 방법을 미리 알고 있을 수 있고, 이 경우에는 제2 디바이스(130가 조정자(120)로부터 변경 보안 정보 생성 방법을 수신하지 않고 변경 보안 정보를 생성할 수도 있다.
열다섯 번째 단계에서는, 조정자(120)가 변경 보안 정보를 이용하여 제2 디바이스(130)와 제2 보안 연결을 생성한다.
열여섯 번째 단계에서는, 조정자(120)가 제1 디바이스(110)와 제2 디바이스(130)가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 브로드캐스트한다.
열일곱 번째 단계에서는, 제1 디바이스(110)와 제2 디바이스(130)가 공유 보안 정보를 이용하여 제3 보안 연결을 생성한다.
도 3은 본 발명의 제3 실시예에 따른 보안 연결 생성 방법을 설명하기 위하여 도시한 흐름도이다.
도 3의 첫 번째 단계 내지 다섯 번째 단계는 도 2의 첫 번째 단계 내지 다섯 번째 단계와 동일한 단계들이므로 설명을 생략한다.
여섯 번째 단계에서는, 조정자(120)가 난수를 생성한다.
일곱 번째 단계에서는, 조정자(120)가 그 난수를 제2 디바이스(130)에게 전송한다.
여덟 번째 단계에서는, 조정자(120)가 변경 보안 정보 생성 방법을 제2 디바이스(130)에게 전송한다.
아홉 번째 단계에서, 제2 디바이스(130)가 조정자(120)로부터 수신한 난수와 자신이 보유하고 있는 공유 보안 정보를 이용하여 변경 보안 정보를 생성한다.
열 번째 단계에서, 조정자(120)는 제2 디바이스(130)가 제1 디바이스(110)와 조정자(120)가 속하는 네트워크에 속하지 않음을 나타내는 제2 디바이스 위치 정보를 제1 디바이스(110)에게 전송한다.
열한 번째 단계에서는, 조정자(120)가 난수를 제1 디바이스(110)에게 전송한다.
열두 번째 단계에서는, 조정자(120)가 변경 보안 정보 생성 방법을 제1 디바이스(110)에게 전송한다.
열세 번째 단계에서는, 제1 디바이스(110)가 조정자(120)로부터 수신한 난수와 자신이 보유하고 있는 공유 보안 정보를 이용하여 변경 보안 정보를 생성한다.
열네 번째 단계에서는, 제1 디바이스(110)가 제1 보안 연결을 통해 변경 보안 정보를 조정자(120)에게 전송한다.
열다섯 번째 단계에서는, 조정자(120)가 변경 보안 정보를 이용하여 제2 디바이스(130)와 제2 보안 연결을 생성한다.
열여섯 번째 단계에서는, 조정자(120)가 제1 디바이스(110)와 제2 디바이스(130)가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 브로드캐스트한다.
열일곱 번째 단계에서는, 제1 디바이스(110)와 제2 디바이스(130)가 공유 보안 정보를 이용하여 제3 보안 연결을 생성한다.
도 4는 본 발명의 제4 실시예에 따른 보안 연결 생성 방법을 설명하기 위하여 도시한 흐름도이다.
첫 번째 단계에서는, 사용자가 제1 디바이스(110)에게 제1 디바이스(110)와 제2 디바이스(130)가 공유할 공유 보안 정보를 입력한다.
두 번째 단계에서는, 제1 디바이스(110)가 자신이 보안 연결 생성을 수행할 디바이스임을 나타내는 제1 페어링 정보를 조정자(120)에게 전송한다.
다른 실시예에서는, 제1 디바이스(110)가 제1 페어링 정보를 전송할 때, 제1 디바이스(110)가 제3 보안 연결을 희망하는 정도를 나타내는 수치적인 값을 포함하는 연결 희망 정보를 함께 전송할 수 있다.
세 번째 단계에서는, 제1 디바이스(110)가 자신에게 입력된 공유 보안 정보를 제1 보안 연결을 통해 조정자(120)에게 전송한다.
네 번째 단계에서는, 조정자(120)가 제1 페어링 정보를 브로드캐스트한다.
다섯 번째 단계에서는, 사용자가 제2 디바이스(130)에게 공유 보안 정보를 입력한다.
여섯 번째 단계에서는, 조정자(120)가 공유 보안 정보를 이용하여 제2 디바이스(130)와 제2 보안 연결을 생성한다.
만일, 조정자(120)가 제1 디바이스(110)로부터 연결 희망 정보를 수신한 경우에는, 조정자(120)는 그 연결 희망 정보에 기초하여 제2 보안 연결을 선택적으로 생성할 수도 있다. 이에 대해서는 도 5를 참조하여 후술한다.
일곱 번째 단계에서는, 조정자(120)가 제1 디바이스(110)와 제2 디바이스(130)가 제3 보안 연결을 생성할 때 이용할 키 생성 정보를 생성한다.
여덟 번째 단계에서는, 조정자(120)가 키 생성 정보를 제1 디바이스(110) 및 제2 디바이스(130)에게 전송한다.
아홉 번째 단계에서는, 제1 디바이스(110)와 제2 디바이스(130)가 키 생성 정보를 이용하여 제3 보안 연결을 생성한다.
본 실시예에서 키 생성 정보를 이용하여 제3 보안 연결을 생성하는 이유는 제1 보안 연결 및 제2 보안 연결을 생성하는 과정에서 제1 디바이스(110) 및 제2 디바이스(130)와의 관계에서 이미 디바이스 인증이 완료된 조정자(120)가 생성한 키 생성 정보를 이용하여 제1 디바이스(110)와 제2 디바이스(130)가 제3 보안 연결을 생성함으로써, 두 디바이스들(110, 130) 상호간에 디바이스를 인증하는 과정을 생략할 수 있기 때문이다.
도 5는 본 발명의 일 실시예에 따른 연결 희망 정보에 기초하여 제2 보안 연결을 생성하는 방법에 대하여 설명하기 위한 흐름도이다.
단계 510에서는, 조정자(120)가 제1 디바이스(110)로부터 제1 디바이스(110)가 제3 보안 연결을 희망하는 정도를 나타내는 수치적인 값을 포함하는 연결 희망 정보를 수신한다.
예컨대, 연결 희망 정보에 포함되는 수치 값은 0부터 10 사이의 값을 가질 수 있는데, 0은 제1 디바이스(110)가 제3 보안 연결을 생성하는 것을 원하지 않는 경우를 나타내고 10은 제1 디바이스(110)가 어떤 상황에서든 제3 보안 연결을 생성하려는 경우를 나타낼 수 있다.
단계 520에서는, 조정자(120)는 연결 희망 정보에 포함된 수치 값이 임계치 이상의 값을 가지고 있는지를 판단한다.
만일, 연결 희망 정보에 포함된 수치 값이 임계치 이상이라면 단계 542로 진행하고, 그렇지 않다면 단계 530으로 진행한다.
단계 530에서는, 조정자(120)가 소정의 기준에 따라 제2 보안 연결을 생성할 것인지 여부에 대하여 판단한다.
예컨대, 조정자(120)는 조정자(120)가 속하는 네트워크에 너무 많은 개수의 디바이스들이 이미 포함되어 있다고 판단되고, 임계치 미만의 수치 값이 포함된 연결 희망 정보를 수신한 경우에는 제2 디바이스(130)와의 제2 보안 연결을 생성하지 않을 것이다. 이와 같이 조정자(120)와 제2 디바이스(130)가 제2 보안 연결을 생성하지 않게 되면, 제1 디바이스(110)와 제2 디바이스(130)간의 제3 보안 연결도 생성될 수 없다.
만일, 조정자(120)가 제2 보안 연결을 생성하기를 원한다면 단계 542로 진행하고, 그렇지 않다면 단계 544로 진행한다.
단계 542에서는, 조정자(120)가 제2 디바이스(130)와 제2 보안 연결을 생성한다.
이에 따라, 제2 디바이스(130)는 조정자(120)가 속하는 네트워크의 구성원이 되고, 제2 디바이스(130)와 조정자(120)가 전송할 데이터를 암호화할 암호화 키를 공유하게 된다. 또한, 제2 디바이스(130)가 조정자(120)와 제2 보안 연결을 생성하였기 때문에, 제1 디바이스(110)와의 제3 보안 연결도 생성할 수 있게 된다.
단계 544에서는, 조정자(120)가 제2 디바이스(130)와 제2 보안 연결을 생성하지 않는다.
이에 따라, 제2 디바이스(130)는 조정자(120)가 속하는 네트워크에 결합하지 못하고, 결과적으로 제1 디바이스(110)와도 제3 보안 연결을 생성하지 못하게 된다.
단계 550에서는, 조정자(120)가 제2 보안 연결이 성공했는지 여부에 대한 정보를 제1 디바이스(110)에게 전송한다.
도 6은 본 발명의 일실시예에 따른 보안 연결 생성 장치를 설명하기 위하여 도시한 흐름도이다.
도 6을 참조하면, 본 발명의 일실시예에 따른 보안 연결 생성 장치(122)는 조정자(120)에 탑재되어 있으며, 수신부(122a), 연결 제어부(122b) 및 전송부(122c)를 포함한다. 이때, 보안 연결 생성 장치(122)는 조정자에게 탑재되어 있다고 가정한다. 또한, 도 6에서는 설명의 편의를 위하여 제1 디바이스(110) 및 제2 디바이스(130)를 더 도시하였다.
수신부(122a)는 제1 디바이스(110)와 제2 디바이스(130)로부터 제1 페어링 정보 및 제2 페어링 정보를 수신한다.
또한, 수신부(122a)는 난수, 공유 보안 정보, 변경 공유 보안 정보, 연결 희망 정보 등을 더 수신할 수 있다.
연결 제어부(122b)는 제2 디바이스(130)와 제2 보안 연결을 생성한다.
이때, 연결 제어부(122b)는 수신부(122a)와 전송부(122c)를 제어하여 제2 보안 연결을 생성할 수 있다.
전송부(122c)는 제1 디바이스(110)와 제2 디바이스(130)가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 브로드캐스트한다.
또한, 전송부(122c)는 공유 보안 정보 요청, 난수, 키 생성 정보, 변경 보안 정보 생성 방법 등을 더 전송할 수 있다.
도 7은 본 발명의 일실시예에 따른 보안 연결 생성 방법을 이용하여 데이터를 전송하는 방법을 설명하기 위하여 도시한 흐름도이다.
도 7에서 스테이션 A(710)와 조정자 C(720)는 동일한 네트워크에 속해 있고, 스테이션 B(730)는 그 네트워크에 속해 있지 않다고 가정한다. 또한, 스테이션 A(710)와 조정자 C(720)는 보안 연결인 RSNA로 연결되어 있고, 일대일 대칭키(Pairwise Transient Key)인 PTKAC를 공유한다고 가정한다. 여기서, 스테이션 A(710)와 조정자 C(720)간의 보안 연결은 전술한 제1 보안 연결에 대응된다.
첫 번째 단계에서는, 스테이션 A(710)에서 스테이션 A(710)와 스테이션 B(730)가 공유할 개인 식별번호인 PINAB의 값이 1234라는 메시지가 출력되면, 사용자는 그 PINAB의 값으로서 1234를 스테이션 A(710)에게 입력하고, 이에 따라 스테이션 A(710)에서 WSC(Wifi Simple Configuration) 절차가 시작되고, 스테이션 A(710)는 자신에게 개인 식별번호인 PINAB가 입력되었으며 자신이 WSC 절차를 수행할 디바이스임을 나타내는 정보인 WSC(PIN) 정보를 조정자 C(720)에게 전송한다.
이때, WSC 절차는 상대 디바이스가 자신과 보안 연결을 생성할 디바이스인지 여부를 확인하고, 상대 디바이스와 디바이스 인증을 수행할 때 이용할 프로토콜을 결정하고, 상대 디바이스와 데이터를 송수신할 때 이용할 암호화 알고리즘을 결정하기 위한 절차이다.
한편, 스테이션 A(710)가 전송하는 WSC(PIN) 정보는 전술한 제1 페어링 정보에 대응된다.
두 번째 단계에서는, 사용자가 스테이션 B(730)에게 PINAB의 값을 1234로서 입력하면, 스테이션 B(730)에서 WSC 절차가 시작되고, 스테이션 B(730)은 자신에게 개인 식별번호인 PINAB가 입력되었으며 자신이 WSC 절차를 수행할 디바이스임을 나타내는 정보인 WSC(PIN) 정보를 조정자 C(720)에게 전송한다.
여기서, 스테이션 B(730)가 전송하는WSC(PIN) 정보는 전술한 제2 페어링 정보에 대응된다.
다만, 다른 실시예에서는 두 번째 단계가 첫 번째 단계보다 먼저 수행될 수도 있다.
또한, 또 다른 실시예에서는 스테이션들(710, 730)에게 PIN을 입력할 때, 스테이션 A(710)와 스테이션 B(730)에게 사용자가 임의의 PIN을 동일한 값으로 입력하는 방식이나, 스테이션들(710, 730) 각각에게 제조시부터 할당된 고유 PIN을 이용하여 한 스테이션의 고유 PIN을 다른 스테이션에게 입력하는 방식이 이용될 수도있다.
세 번째 단계에서는, 조정자 C(720)가 스테이션 B(730)가 네트워크 밖에 존재한다는 위치 정보와 개인 식별번호인 PINAB가 필요함을 나타내는 정보를 스테이션 A(710)에게 전송한다.
다른 실시예에서는, 세 번째 단계가 생략될 수 있다.
네 번째 단계에서는, 스테이션 A(710)가 PINAB의 값인 1234를 스테이션 A(710)와 조정자 C(720)간에 생성된 RSNA를 통해 전송한다.
이때, PINAB의 값인 1234는 키 암호화 키(Key Encryption Key)인 KEKAC를 이용하여 암호화되어 조정자 C(720)에게 전송된다.
KEKAC는 PTKAC를 구성하는 3개의 키 중 하나인데, PTKAC는 스테이션 A(710)와 조정자 C(720)간에 일대일 대칭 키인 PTKAC가 제대로 생성되었는지 상호간에 확인할 때 사용되는 키 확정 키(Key Confirmation Key)인 KCKAC, 송수신할 데이터를 암호화할 때 이용되는 임시 키(Temporal Key) TKAC와 전술한 KEKAC를 포함한다.
다섯 번째 단계에서는, 조정자 C(720)가 PINAB를 확보하고, 스테이션 B(730)에게 스테이션 A(710)가 WSC 절차를 수행하기를 원한다는 정보를 전송한다.
다른 실시예에서는, 스테이션 B(730)가 조정자 C(720)로부터 스테이션 A(710)가 전송한 WSC(PIN) 정보를 수신하는 경우에, 스테이션 A(710)가 자신과 WSC 절차를 수행하기를 원한다고 인지하도록 스테이션 B(730)가 구성될 수도 있다.
여섯 번째 단계에서는, 조정자 C(720)와 스테이션 B(730)가 PINAB를 이용하여 WSC 절차를 수행하고, RSNA를 생성하기 위한 절차를 수행한다.
보다 구체적으로 설명하면, 조정자 C(720)와 스테이션 B(730)가 PINAB를 이용하여 WSC 절차를 수행함으로써 프라이머리 마스터 키(Primary Master Key) PMKBC를 공유한 후, 그 PMKBC를 이용하여 4 웨이 핸드쉐이크를 수행하여 일대일 대칭키(Pairwise Transient Key) PTKBC를 공유하게 된다. 이때, PTKBC는 키 확정 키 KCKBC, 키 암호화 키 KEKBC 및 임시 키 TKBC로 구성된다.
한편, 본 발명의 PMKBC 및 PTKBC 의 생성 과정은 당업자에게 자명하므로 자세한 설명은 생략한다.
일곱 번째 단계에서는, 조정자 C(720)와 스테이션 B(730) 사이에 RSNA가 생성된다.
여기서, 조정자 C(720)와 스테이션 B(730) 사이에 생성된 RSNA는 전술한 제2 보안 연결에 대응된다.
여덟 번째 단계에서, 조정자(720)는 스테이션 A(710)와 스테이션 B(730)가 WSC 절차를 수행하고자 하는 디바이스들임을 나타내는 정보를 브로드캐스트한다.
아홉 번째 단계에서는, 스테이션 A(710)와 스테이션 B(730)가 PINAB를 이용하여 WSC 절차를 수행하고, RSNA를 생성하기 위한 절차를 수행하여 RSNA를 생성한다.
이에 따라, 스테이션 A(710)와 스테이션 B(730)는 일대일 대칭키(Pairwise Transient Key)인 PTKAB를 공유하게 된다. 전술한바와 동일하게 PTKAB는 키 확정 키 KCKAB, 키 암호화 키 KEKAB 및 임시 키 TKAB로 구성된다.
열 번째 단계에서는, 스테이션 A(710)와 스테이션 B(730)가 RSNA를 통하여 데이터를 송수신한다.
이때, 스테이션 A(710)와 스테이션 B(730)는 임시 키 TKAB를 이용하여 암호화된 데이터를 RSNA를 통해 송수신한다. 여기서, 스테이션 A(710)와 스테이션 B(730) 사이에 생성된 RSNA는 전술한 제3 보안 연결에 대응된다.
도 8은 본 발명의 제2 실시예에 따른 보안 연결 생성 방법을 이용하여 데이터를 전송하는 방법을 설명하기 위하여 도시한 흐름도이다.
첫 번째 단계에서는, 스테이션 A(710)에서 PINAB의 값이 1234라는 메시지가 출력되면, 사용자는 그 PINAB의 값으로서 1234를 스테이션 A(710)에게 입력하고, 이에 따라 스테이션 A(710)에서 WSC 절차가 시작되고, 스테이션 A(710)은 자신에게 개인 식별번호인 PINAB가 입력되었으며 자신이 WSC 절차를 수행할 디바이스임을 나타내는 정보인 WSC(PIN) 정보를 조정자 C(720)에게 전송한다.
두 번째 단계에서, 조정자 C(720)는 스테이션 A(710)가 WSC 절차를 수행하기를 원한다는 정보를 브로드캐스트한다.
세 번째 단계에서는, 사용자가 스테이션 B(730)에게 PINAB의 값을 1234로서 입력하면, 스테이션 B(730)에서 WSC 절차가 시작되고, 스테이션 B(730)은 자신에게 개인 식별번호인 PINAB가 입력되었으며 자신이 WSC 절차를 수행할 디바이스임을 나타내는 정보인 WSC(PIN) 정보를 포함하는 프로브 요청을 조정자 C(720)에게 전송한다.
네 번째 단계에서는, 조정자 C(720)가 스테이션 B(730)가 네트워크 밖에 존재한다는 위치 정보와 새로운 개인 식별 번호(new PIN)가 필요함을 나타내는 정보를 스테이션 A(710)에게 전송한다.
다섯 번째 단계에서, 조정자 C(720)는 스테이션 A(710)가 스테이션 B(730)와 WSC 절차를 수행하기를 원한다는 정보를 포함하는 프로브 응답을 스테이션 B(730)에게 전송한다.
여섯 번째 단계에서는, 스테이션 A(710)가 난수와 PINAB를 결합한 후 해쉬 함수를 적용함으로써 새로운 개인 식별 번호를 생성한다.
일곱 번째 단계에서는, 스테이션 A(710)가 제1 보안 연결을 통해 난수를 조정자(720)에게 전송한다.
여덟 번째 단계에서는, 스테이션 A(710)가 제1 보안 연결을 통해 새로운 개인 식별 번호 생성 방법을 조정자 C(720)에게 전송한다.
다른 실시예에서는, 여덟 번째 단계는 생략될 수 있다.
아홉 번째 단계에서는, 스테이션 A(710)가 제1 보안 연결을 통해 새로운 개인 식별 번호를 조정자 C(720)에게 전송한다.
열 번째 단계에서는, 조정자 C(720)가 RSNA를 생성하기 위해서 새로운 개인 식별 번호가 필요함을 나타내는 정보를 스테이션 B(730)에게 전송한다.
열한 번째 단계에서는, 조정자 C(720)가 난수를 스테이션 B(730)에게 전송한다.
열두 번째 단계에서는, 조정자 C(720)가 새로운 개인 식별 번호 생성 방법을 스테이션 B(730)에게 전송한다.
열세 번째 단계에서는, 조정자 C(720)가 스테이션 A(710)로부터 수신한 새로운 개인 식별 번호를 조정자 C(720)와 스테이션 B(730)가 공유할 개인 식별번호인 PINBC로 설정하고, 스테이션 B(730)가 난수와 PINAB를 결합한 후 해쉬 함수를 적용함으로써 새로운 개인 식별 번호를 생성한다.
열네 번째 단계에서는, 스테이션 B(730)가 그 생성한 새로운 개인 식별 번호를 PINBC로 설정한다.
열다섯 번째 단계에서는, 조정자 C(720)와 스테이션 B(730)가 PINBC를 이용하여 WSC 절차를 수행하고, RSNA를 생성하기 위한 절차를 수행한다.
열여섯 번째 단계에서는, 조정자 C(720)와 스테이션 B(730) 사이에 RSNA가 생성된다.
열일곱 번째 단계에서, 조정자 C(720)는 스테이션 A(710)와 스테이션 B(730)가 WSC 절차를 수행하고자 하는 디바이스들임을 나타내는 정보를 브로드캐스트한다.
열여덟 번째 단계에서는, 스테이션 A(710)와 스테이션 B(730)가 PINAB를 이용하여 WSC 절차를 수행하고, RSNA를 생성하기 위한 절차를 수행하여 RSNA를 생성한다.
열여덟 번째 단계에서는, 스테이션 A(710)와 스테이션 B(730)가 RSNA를 통하여 데이터를 송수신한다.
도 9는 본 발명의 제3 실시예에 따른 보안 연결 생성 방법을 이용하여 데이터를 전송하는 방법을 설명하기 위하여 도시한 흐름도이다.
도 9의 첫 번째 단계 내지 세 번째 단계는 도 8의 첫 번째 단계 내지 세 번째 단계와 동일한 단계들이므로 설명을 생략한다.
네 번째 단계에서는, 조정자 C(720)가 난수를 생성한다.
다섯 번째 단계에서, 조정자 C(720)는 스테이션 A(710)가 스테이션 B(730)와 WSC 절차를 수행하기를 원한다는 정보와 난수를 포함하는 프로브 응답을 스테이션 B(730)에게 전송한다.
여섯 번째 단계에서는, 조정자 C(720)가 RSNA를 생성하기 위해서 새로운 개인 식별 번호가 필요함을 나타내는 정보를 스테이션 B(730)에게 전송한다.
일곱 번째 단계에서는, 조정자 C(720)가 새로운 개인 식별 번호 생성 방법을 스테이션 B(730)에게 전송한다.
여덟 번째 단계에서, 조정자 C(720)는 스테이션 B(730)가 네트워크 밖에 존재한다는 위치 정보와 새로운 개인 식별 번호(new PIN)가 필요함을 나타내는 정보를 스테이션 A(710)에게 전송한다.
아홉 번째 단계에서는, 조정자 C(720)가 난수를 스테이션 A(710)에게 전송한다.
열 번째 단계에서는, 조정자 C(720)가 새로운 개인 식별 번호 생성 방법을 스테이션 A(710)에게 전송한다.
열한 번째 단계에서는, 스테이션 A(710)가 난수와 PINAB를 결합한 후 해쉬 함수를 적용함으로써 새로운 개인 식별 번호를 생성한다.
열두 번째 단계에서는, 스테이션 A(710)가 제1 보안 연결을 통해 새로운 개인 식별 번호를 조정자 C(720)에게 전송한다.
열세 번째 단계에서는, 조정자 C(720)가 스테이션 A(710)로부터 수신한 새로운 개인 식별 번호를 조정자 C(720)와 스테이션 B(730)가 공유할 개인 식별번호인 PINBC로 설정하고, 스테이션 B(730)가 난수와 PINAB를 결합한 후 해쉬 함수를 적용함으로써 새로운 개인 식별 번호를 생성하고 그 생성한 새로운 개인 식별 번호를 PINBC로 설정한다.
열네 번째 단계에서는, 조정자 C(720)와 스테이션 B(730)가 PINBC를 이용하여 WSC 절차를 수행하고, RSNA를 생성하기 위한 절차를 수행한다.
열다섯 번째 단계에서는, 조정자 C(720)와 스테이션 B(730) 사이에 RSNA가 생성된다.
열여섯 번째 단계에서, 조정자 C(720)는 스테이션 A(710)와 스테이션 B(730)가 WSC 절차를 수행하고자 하는 디바이스들임을 나타내는 정보를 브로드캐스트한다.
열일곱 번째 단계에서는, 스테이션 A(710)와 스테이션 B(730)가 PINAB를 이용하여 WSC 절차를 수행하고, RSNA를 생성하기 위한 절차를 수행하여 RSNA를 생성한다.
이에 따라, 스테이션 A(710)와 스테이션 B(730)는 전송할 데이터를 암호화하는데 이용할 암호화 키 PTKAB를 공유하게 된다.
열여덟 번째 단계에서는, 스테이션 A(710)와 스테이션 B(730)가 RSNA를 통하여 데이터를 송수신한다.
도 10은 본 발명의 제4 실시예에 따른 보안 연결 생성 방법을 이용하여 데이터를 전송하는 방법을 설명하기 위하여 도시한 흐름도이다.
첫 번째 단계에서는, 스테이션 A(710)에서 PIN의 값이 1234라는 메시지가 출력되면, 사용자는 그 PIN의 값으로서 1234를 스테이션 A(710)에게 입력하고, 이에 따라 스테이션 A(710)에서 WSC 절차가 시작되고, 스테이션 A(710)은 자신에게 개인 식별번호인 PIN이 입력되었으며 자신이 WSC 절차를 수행할 디바이스임을 나타내는 정보인 WSC(PIN) 정보를 조정자 C(720)에게 전송한다.
이때, WSC(PIN) 정보에는 PIN이 포함된다.
두 번째 단계에서는, 조정자 C(720)가 스테이션 A(710)로부터 수신한 WSC(PIN) 정보로부터 1234의 값을 가지는 PIN을 획득한다.
세 번째 단계에서, 조정자 C(720)는 스테이션 A(710)가 WSC 절차를 수행하기를 원한다는 정보를 브로드캐스트한다.
네 번째 단계에서는, 사용자가 스테이션 B(730)에게 PIN의 값을 1234로서 입력하면, 스테이션 B(730)에서 WSC 절차가 시작된다.
다섯 번째 단계에서는, 조정자 C(720)와 스테이션 B(730)가 PIN을 이용하여 WSC 절차를 수행하고, RSNA를 생성하기 위한 절차를 수행하여, RSNA를 생성한다.
여섯 번째 단계에서는, 조정자 C(720)가 스테이션 A(710)와 스테이션 B(730)를 위한 프라이머리 마스터 키(Primary Master Key) PMKAB를 생성하고, 그 PMKAB의 값을 9876으로 설정한다.
일곱 번째 단계에서는, 조정자 C(720)가 스테이션 A(710)와 스테이션 B(730)가 WSC를 수행하고자 하는 디바이스들임을 나타내는 정보와 PMKAB를 브로드캐스트한다.
여덟 번째 단계에서는, 스테이션 A(710)와 스테이션 B(730)가 PMKAB를 이용하여 RSNA를 생성하기 위한 절차를 수행하여 RSNA를 생성한다.
보다 구체적으로는, 스테이션 A(710)와 스테이션 B(730)가 WSC를 수행하지 않고, PMKAB를 이용하여 PTKAB를 생성한 후, 공유함으로써 상호간에 RSNA가 생성된다.
이때, 스테이션 A(710)와 스테이션 B(730)가 WSC를 수행하지 않는 이유는 조정자 C(720)가 PMKAB를 생성하여 두 디바이스들(710, 720)에게 제공함으로써, WSC를 수행할 필요가 없어졌기 때문이다.
아홉 번째 단계에서는, 스테이션 A(710)와 스테이션 B(730)가 RSNA를 통하여 데이터를 송수신한다.
한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다.
상기 컴퓨터로 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등) 를 포함한다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (29)

  1. 제1 디바이스와 제2 디바이스로부터 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 조정자가 수신하는 단계;
    상기 조정자가 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 제공받아 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 단계; 및
    상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 상기 조정자가 브로드캐스트하거나 상기 제1 디바이스 및 상기 제2 디바이스 각각에게 전송하는 단계를 포함하며,
    상기 제1 보안 연결을 통해 상기 공유 보안 정보를 제공받는 단계는,
    상기 제1 보안 연결을 통해 상기 제1 디바이스와 상기 조정자간에 상기 공유 보안 정보를 암호화하는데 이용하기로 약속한 암호화 키를 이용하여 암호화된 상기 공유 보안 정보를 상기 조정자가 수신함으로써 수행되는 것을 특징으로 하는 보안 연결 생성 방법.
  2. 제1항에 있어서,
    상기 조정자가 상기 공유 보안 정보를 전송해 줄 것을 요청하는 보안 정보 요청을 상기 제1 디바이스에게 전송하는 단계를 더 포함하고,
    상기 제1 디바이스는 상기 보안 정보 요청을 수신하면 상기 제1 보안 연결을 통해 상기 공유 보안 정보를 상기 조정자에게 제공하는 것을 특징으로 하는 보안 연결 생성 방법.
  3. 삭제
  4. 제1항에 있어서,
    상기 제2 보안 연결을 생성하는 단계는
    상기 조정자와 상기 제2 디바이스간의 상호 인증과 관련된 정보 및 상기 조정자와 상기 제2 디바이스간에 전송할 데이터에 적용될 암호화 알고리즘과 관련된 정보 중 적어도 하나와 상기 조정자 및 상기 제2 디바이스에서의 상기 공유 보안 정보를 상기 조정자와 상기 제2 디바이스간에 교환하는 단계; 및
    상기 조정자와 상기 제2 디바이스간에 전송할 데이터를 암호화할 때 이용될 암호화 키를 상기 조정자와 상기 제2 디바이스가 공유하는 단계를 포함하는 것을 특징으로 하는 보안 연결 생성 방법.
  5. 제1항에 있어서,
    상기 제3 보안 연결을 생성하는 단계는
    상기 제1 디바이스와 상기 제2 디바이스간의 상호 인증과 관련된 정보 및 상기 제1 디바이스와 상기 제2 디바이스간에 전송할 데이터에 적용될 암호화 알고리즘과 관련된 정보 중 적어도 하나와 상기 제1 디바이스 및 상기 제2 디바이스의 상기 공유 보안 정보를 상기 제1 디바이스와 상기 제2 디바이스간에 교환하는 단계; 및
    상기 제1 디바이스와 상기 제2 디바이스간에 전송할 데이터를 암호화할 때 이용될 암호화 키를 상기 제1 디바이스와 상기 제2 디바이스가 공유하는 단계를 포함하는 것을 특징으로 하는 보안 연결 생성 방법.
  6. 제1항에 있어서,
    상기 제1 디바이스 및 상기 조정자는 동일한 네트워크에 속하고 상기 제2 디바이스는 상기 네트워크에 속하지 않으며,
    상기 제2 보안 연결 및 상기 제3 보안 연결은 RSNA(Robust Secure Network Association)이고,
    상기 제1 디바이스와 상기 제2 디바이스는 상기 상대 통지 정보가 수신되면 상기 제1 디바이스 및 상기 제2 디바이스가 공유하는 상기 공유 보안 정보를 이용하여 상기 제1 디바이스와 상기 제2 디바이스간에 상기 제3 보안 연결을 생성하는 것을 특징으로 하는 보안 연결 생성 방법.
  7. 제1항에 있어서,
    상기 제1 디바이스가 상기 제3 보안 연결을 희망하는 정도를 나타내는 수치적인 값을 포함하는 연결 희망 정보를 수신하는 단계를 더 포함하고,
    상기 조정자는 상기 제1 디바이스가 상기 제3 보안 연결을 희망하는 정도를 나타내는 정보에 기초하여 상기 제2 보안 연결을 선택적으로 생성하는 것을 특징으로 하는 보안 연결 생성 방법.
  8. 제1항에 있어서,
    상기 공유 보안 정보는
    개인 식별 번호(Personal Identification Number) 또는 패스워드인 것을 특징으로 하는 보안 연결 생성 방법.
  9. 제1 디바이스와 제2 디바이스로부터 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 조정자가 수신하는 단계;
    상기 조정자가 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 상기 제1 디바이스가 생성한 난수 및 상기 난수와 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 이용하여 생성된 변경 보안 정보를 수신하는 단계;
    상기 조정자가 상기 난수를 상기 제2 디바이스에게 전송한 후, 상기 변경 보안 정보를 이용하여 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 단계; 및
    상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 상기 조정자가 브로드캐스트하거나 상기 제1 디바이스 및 상기 제2 디바이스 각각에게 전송하는 단계를 포함하는 것을 특징으로 하는 보안 연결 생성 방법.
  10. 제9항에 있어서,
    상기 페어링 정보들을 조정자가 수신하는 단계는
    상기 제1 디바이스로부터 상기 제1 디바이스가 상기 보안 연결 생성을 수행할 디바이스임을 나타내는 제1 페어링 정보를 상기 조정자가 수신하는 단계;
    상기 조정자가 상기 제1 페어링 정보를 브로드캐스트하는 단계; 및
    상기 제2 디바이스로부터 상기 제2 디바이스가 상기 보안 연결 생성을 수행할 디바이스임을 나타내는 제2 페어링 정보를 상기 조정자가 수신하는 단계를 포함하는 것을 특징으로 하는 보안 연결 생성 방법.
  11. 제9항에 있어서,
    상기 변경 보안 정보는
    상기 난수 및 상기 공유 보안 정보에게 해쉬함수를 적용함으로써 생성되는 것을 특징으로 하는 보안 연결 생성 방법.
  12. 제9항에 있어서,
    상기 조정자가 상기 난수를 상기 제2 디바이스에게 전송하는 단계는
    상기 변경 보안 정보를 생성하는 방법에 대한 정보를 상기 제2 디바이스에게 전송하는 단계를 더 포함하는 것을 특징으로 하는 보안 연결 생성 방법.
  13. 제1 디바이스와 제2 디바이스로부터 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 조정자가 수신하는 단계;
    상기 조정자가 난수를 생성한 후, 상기 난수를 상기 제1 디바이스 및 상기 제2 디바이스에게 전송하는 단계;
    상기 난수 및 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 이용하여 상기 제1 디바이스가 생성한 변경 보안 정보를 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 수신하는 단계;
    상기 변경 보안 정보를 이용하여 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 단계; 및
    상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 상기 조정자가 브로드캐스트하거나 상기 제1 디바이스 및 상기 제2 디바이스 각각에게 전송하는 단계를 포함하는 것을 특징으로 하는 보안 연결 생성 방법.
  14. 제1 디바이스와 제2 디바이스가 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 조정자에게 전송하는 단계;
    상기 제1 디바이스가 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 상기 조정자에게 전송하는 단계;
    상기 조정자가 상기 공유 보안 정보를 이용하여 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 단계;
    상기 조정자가 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 때 이용할 키 생성 정보를 상기 제1 디바이스 및 상기 제2 디바이스에게 전송하는 단계; 및
    상기 제1 디바이스 및 상기 제2 디바이스가 상기 키 생성 정보를 이용하여 상기 제3 보안 연결을 생성하는 단계를 포함하는 것을 특징으로 하는 보안 연결 생성 방법.
  15. 조정자에 탑재된 보안 연결 생성 장치에 있어서,
    제1 디바이스와 제2 디바이스로부터 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 수신하고, 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 수신하는 수신부;
    상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 연결 제어부; 및
    상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 브로드캐스트하거나 상기 제1 디바이스 및 상기 제2 디바이스 각각에게 전송하는 전송부를 포함하며,
    상기 수신부는,
    상기 제1 보안 연결을 통해 상기 공유 보안 정보를 수신 할 때, 상기 제1 디바이스와 상기 조정자간에 상기 공유 보안 정보를 암호화하는데 이용하기로 약속한 암호화 키를 이용하여 암호화된 상기 공유 보안 정보를 수신하는 것을 특징으로 하는 보안 연결 생성 장치.
  16. 제15항에 있어서,
    상기 전송부는 상기 공유 보안 정보를 전송해 줄 것을 요청하는 보안 정보 요청을 상기 제1 디바이스에게 더 전송하고,
    상기 제1 디바이스는 상기 보안 정보 요청을 수신하면 상기 제1 보안 연결을 통해 상기 공유 보안 정보를 상기 조정자에게 제공하는 것을 특징으로 하는 보안 연결 생성 장치.
  17. 삭제
  18. 제15항에 있어서,
    상기 연결 제어부는
    상기 조정자와 상기 제2 디바이스간의 상호 인증과 관련된 정보 및 상기 조정자와 상기 제2 디바이스간에 전송할 데이터에 적용될 암호화 알고리즘과 관련된 정보 중 적어도 하나와 상기 조정자 및 상기 제2 디바이스에서의 상기 공유 보안 정보를 상기 제2 디바이스와 교환하도록 상기 전송부 및 상기 수신부를 제어하고, 상기 교환된 정보에 기초하여 상기 제2 디바이스에게 전송할 데이터를 암호화할 때 이용될 암호화 키를 생성하는 것을 특징으로 하는 보안 연결 생성 장치.
  19. 제15항에 있어서,
    상기 제1 디바이스와 상기 제2 디바이스간의 상기 제3 보안 연결의 생성은 상기 제1 디바이스와 상기 제2 디바이스간의 상호 인증과 관련된 정보 및 상기 제1 디바이스와 상기 제2 디바이스간에 전송할 데이터에 적용될 암호화 알고리즘과 관련된 정보 중 적어도 하나와 상기 제1 디바이스 및 상기 제2 디바이스의 상기 공유 보안 정보를 상기 제1 디바이스와 상기 제2 디바이스간에 교환한 후, 상기 제1 디바이스와 상기 제2 디바이스간에 전송할 데이터를 암호화할 때 이용될 암호화 키를 상기 제1 디바이스와 상기 제2 디바이스가 공유함으로써 수행되는 것을 특징으로 하는 보안 연결 생성 장치.
  20. 제15항에 있어서,
    상기 제1 디바이스 및 상기 조정자는 동일한 네트워크에 속하고 상기 제2 디바이스는 상기 네트워크에 속하지 않으며,
    상기 제2 보안 연결 및 상기 제3 보안 연결은 RSNA(Robust Secure Network Association)이고,
    상기 제1 디바이스와 상기 제2 디바이스는 상기 상대 통지 정보가 수신되면, 상기 제1 디바이스 및 상기 제2 디바이스가 공유하는 상기 공유 보안 정보를 이용하여 상기 제1 디바이스와 상기 제2 디바이스간에 상기 제3 보안 연결을 생성하는 것을 특징으로 하는 보안 연결 생성 장치.
  21. 제15항에 있어서,
    상기 수신부는 상기 제3 보안 연결을 희망하는 정도를 나타내는 수치적인 값을 포함하는 연결 희망 정보를 더 수신하고,
    상기 연결 제어부는 상기 제1 디바이스가 상기 제3 보안 연결을 희망하는 정도를 나타내는 정보에 기초하여 상기 제2 보안 연결을 선택적으로 생성하는 것을 특징으로 하는 보안 연결 생성 장치.
  22. 제15항에 있어서,
    상기 공유 보안 정보는
    개인 식별 번호(Personal Identification Number) 또는 패스워드인 것을 특징으로 하는 보안 연결 생성 장치.
  23. 조정자에 탑재된 보안 연결 생성 장치에 있어서,
    제1 디바이스와 제2 디바이스로부터 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 수신하고, 상기 제1 디바이스가 생성한 난수 및 상기 난수와 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 이용하여 생성된 변경 보안 정보를 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 수신하는 수신부;
    상기 난수를 상기 제2 디바이스에게 전송하는 전송부; 및
    상기 변경 보안 정보를 이용하여 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 연결 제어부를 포함하고,
    상기 전송부는 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 브로드캐스트하거나 상기 제1 디바이스 및 상기 제2 디바이스 각각에게 전송하는 것을 특징으로 하는 보안 연결 생성 장치.
  24. 제23항에 있어서,
    상기 페어링 정보들은
    상기 수신부가 제1 디바이스로부터 상기 제1 디바이스가 상기 보안 연결 생성을 수행할 디바이스임을 나타내는 제1 페어링 정보를 수신하고, 상기 전송부가 상기 제1 페어링 정보를 브로드캐스트한 후, 상기 수신부가 상기 제2 디바이스로부터 상기 제2 디바이스가 상기 보안 연결 생성을 수행할 디바이스임을 나타내는 제2 페어링 정보를 수신함으로써 수신되는 것을 특징으로 하는 보안 연결 생성 장치.
  25. 제23항에 있어서,
    상기 변경 보안 정보는
    상기 난수 및 상기 공유 보안 정보에게 해쉬함수를 적용함으로써 생성되는 것을 특징으로 하는 보안 연결 생성 장치.
  26. 제23항에 있어서,
    상기 전송부는
    상기 난수를 상기 제2 디바이스에게 전송할 때, 상기 변경 보안 정보를 생성 하는 방법에 대한 정보를 함께 전송하는 것을 특징으로 하는 보안 연결 생성 장치.
  27. 조정자에 탑재된 보안 연결 생성 장치에 있어서,
    제1 디바이스와 제2 디바이스로부터 상기 디바이스들 각각이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 페어링 정보들을 수신하는 수신부;
    난수를 생성하는 난수 생성부;
    상기 난수를 상기 제1 디바이스 및 상기 제2 디바이스에게 전송하는 전송부; 및
    상기 수신부가 상기 제1 디바이스와 상기 조정자간의 보호된 통신 연결인 제1 보안 연결을 통해 상기 난수 및 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 이용하여 상기 제1 디바이스가 생성한 변경 보안 정보를 수신하면, 상기 변경 보안 정보를 이용하여 상기 조정자와 상기 제2 디바이스간의 제2 보안 연결을 생성하는 연결 제어부를 포함하고,
    상기 전송부는 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 상대 디바이스들임을 나타내는 상대 통지 정보를 브로드캐스트하거나 상기 제1 디바이스 및 상기 제2 디바이스 각각에게 전송하는 것을 특징으로 하는 보안 연결 생성 장치.
  28. 자신이 보안 연결 생성을 수행할 디바이스임을 나타내는 제1 페어링 정보를 생성하는 제1 디바이스;
    자신이 보호된 통신 연결인 보안 연결 생성을 수행할 디바이스임을 나타내는 제2 페어링 정보를 생성하는 제2 디바이스; 및
    상기 제1 디바이스와 보호된 통신 연결인 제1 보안 연결로 연결되며, 상기 제1 페어링 정보 및 상기 제2 페어링 정보를 수신하고, 상기 제1 보안 연결을 통해 상기 제1 디바이스와 상기 제2 디바이스간에 공유하는 보안 정보인 공유 보안 정보를 수신하고, 상기 공유 보안 정보를 이용하여 상기 제2 디바이스와의 제2 보안 연결을 생성하고, 상기 제1 디바이스와 상기 제2 디바이스가 제3 보안 연결을 생성할 때 이용할 키 생성 정보를 상기 제1 디바이스 및 상기 제2 디바이스에게 전송하는 조정자를 포함하고,
    상기 제1 디바이스 및 상기 제2 디바이스는 상기 키 생성 정보를 이용하여 상기 제3 보안 연결을 생성하는 것을 특징으로 하는 네트워크 시스템.
  29. 제1항 내지 제2항 및 제4항 내지 제14항 중 어느 한 항의 방법을 실행시키기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록 매체.
KR1020110037982A 2011-04-22 2011-04-22 디바이스들간의 보안 연결 생성 방법 및 그 장치 KR101853813B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020110037982A KR101853813B1 (ko) 2011-04-22 2011-04-22 디바이스들간의 보안 연결 생성 방법 및 그 장치
US13/314,871 US8661244B2 (en) 2011-04-22 2011-12-08 Method and apparatus for establishing secured link between devices

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110037982A KR101853813B1 (ko) 2011-04-22 2011-04-22 디바이스들간의 보안 연결 생성 방법 및 그 장치

Publications (2)

Publication Number Publication Date
KR20120119788A KR20120119788A (ko) 2012-10-31
KR101853813B1 true KR101853813B1 (ko) 2018-05-03

Family

ID=47022186

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110037982A KR101853813B1 (ko) 2011-04-22 2011-04-22 디바이스들간의 보안 연결 생성 방법 및 그 장치

Country Status (2)

Country Link
US (1) US8661244B2 (ko)
KR (1) KR101853813B1 (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102125562B1 (ko) * 2014-06-18 2020-06-22 삼성전자주식회사 키 공유 방법 및 장치
KR102117028B1 (ko) * 2014-10-07 2020-06-09 삼성전자주식회사 무선 통신 시스템에서 페어링 방법 및 장치
US10079808B2 (en) * 2014-11-17 2018-09-18 Avago Technologies General Ip (Singapore) Pte. Ltd. Security in mixed networks
US10666642B2 (en) * 2016-02-26 2020-05-26 Ca, Inc. System and method for service assisted mobile pairing of password-less computer login
US11432142B2 (en) * 2017-03-14 2022-08-30 Huawei Technologies Co., Ltd. Multi-device wireless connection method and device
US10455633B2 (en) 2017-11-14 2019-10-22 Knowmadics, Inc. Wireless communication system and method for monitoring and alerting a broken pairing between electronic devices
US11991273B2 (en) * 2018-09-04 2024-05-21 International Business Machines Corporation Storage device key management for encrypted host data
US11997496B2 (en) * 2019-05-31 2024-05-28 Apple Inc. Temporary pairing for wireless devices
US10959100B1 (en) * 2019-10-17 2021-03-23 Charter Communications Operating, Llc Secured communications routing in a network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008047968A (ja) * 2006-08-10 2008-02-28 Nippon Telegraph & Telephone East Corp 通信システム、およびネットワーク機器の共有方法
JP2009302681A (ja) * 2008-06-10 2009-12-24 Fujitsu Ten Ltd 通信中継システム、通信中継方法、ゲートウェイ装置および通信装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7464865B2 (en) * 2006-04-28 2008-12-16 Research In Motion Limited System and method for managing multiple smart card sessions
US7813715B2 (en) * 2006-08-30 2010-10-12 Apple Inc. Automated pairing of wireless accessories with host devices
US7913297B2 (en) * 2006-08-30 2011-03-22 Apple Inc. Pairing of wireless devices using a wired medium
US9635693B2 (en) * 2010-05-07 2017-04-25 Samsung Electronics Co., Ltd. Method of performing pairing between coordinator and device in network, method of performing pairing between devices, method of pairing between coordinators and network system including the coordinators and the devices
US9439229B2 (en) * 2010-05-07 2016-09-06 Samsung Electronics Co., Ltd. Method and apparatus for performing pairing between coordinator and device in network, method and apparatus for performing pairing between devices, network system including the coordinator and the devices
US20110276672A1 (en) * 2010-05-07 2011-11-10 Samsung Electronics Co., Ltd. Method and apparatus for performing pairing between coordinator and device in network, method and apparatus for performing pairing between devices, network system including the coordinator and the devices
US20120083208A1 (en) * 2010-09-30 2012-04-05 Apple Inc. Wireless accessory device pairing transfer between multiple host devices
US8750799B2 (en) * 2010-09-30 2014-06-10 Apple Inc. Wireless accessory device pairing determination for multiple host devices

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008047968A (ja) * 2006-08-10 2008-02-28 Nippon Telegraph & Telephone East Corp 通信システム、およびネットワーク機器の共有方法
JP2009302681A (ja) * 2008-06-10 2009-12-24 Fujitsu Ten Ltd 通信中継システム、通信中継方法、ゲートウェイ装置および通信装置

Also Published As

Publication number Publication date
KR20120119788A (ko) 2012-10-31
US8661244B2 (en) 2014-02-25
US20120272055A1 (en) 2012-10-25

Similar Documents

Publication Publication Date Title
KR101853813B1 (ko) 디바이스들간의 보안 연결 생성 방법 및 그 장치
CN102726080B (zh) 个人基本服务集中的站对站安全关联
KR100739809B1 (ko) Wpa-psk 환경의 무선 네트워크에서 스테이션을관리하는 방법 및 이를 위한 장치
JP4545197B2 (ja) 無線ネットワークシステム及びこれを用いる通信方法
US9392453B2 (en) Authentication
JP6727292B2 (ja) セキュリティ認証方法、構成方法、および関連デバイス
US10091650B2 (en) Wireless terminal configuration method, device, and system
KR102349605B1 (ko) 사용자 기기의 식별자에 기반하여 서비스를 제공하는 방법 및 장치
US20090222659A1 (en) Communication device and communication method
WO2019041802A1 (zh) 基于服务化架构的发现方法及装置
JP5866030B2 (ja) 認証のためのシステムおよび方法
US9503891B2 (en) Authentication method of wireless mesh network
WO2014180296A1 (zh) 一种设备之间建立连接的方法、配置设备和无线设备
JP2016540462A (ja) 鍵コンフィギュレーション方法、システム、および装置
KR101762013B1 (ko) Two factor 통신 채널을 활용한 사물기기의 등록 및 비밀키 설정 방법
JP2007181206A (ja) 無線デバイスグループ別にメッセージを伝送する方法及び装置
US10263960B2 (en) Wireless communication system and wireless communication method
JP2018524865A (ja) ワイヤレスデバイスの柔軟な構成および認証
CN112449323B (zh) 一种通信方法、装置和系统
CN114762290A (zh) 对数字密钥进行管理的方法和电子装置
CN105025472A (zh) 一种wifi接入点加密隐藏及发现的方法及其系统
WO2018113402A1 (zh) 一种加入接入节点组的方法及设备
JP2018526846A (ja) ワイヤレスデバイスのコンフィギュレーションおよび認証
JP2015535154A (ja) 通信情報伝送方法及びシステム
KR20150095801A (ko) 통신 보안 처리 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant