KR102112542B1 - 디피 헬먼(Diffie-Hellman) 절차를 이용한 세션 키 생성 방법 및 시스템 - Google Patents

디피 헬먼(Diffie-Hellman) 절차를 이용한 세션 키 생성 방법 및 시스템 Download PDF

Info

Publication number
KR102112542B1
KR102112542B1 KR1020187011810A KR20187011810A KR102112542B1 KR 102112542 B1 KR102112542 B1 KR 102112542B1 KR 1020187011810 A KR1020187011810 A KR 1020187011810A KR 20187011810 A KR20187011810 A KR 20187011810A KR 102112542 B1 KR102112542 B1 KR 102112542B1
Authority
KR
South Korea
Prior art keywords
key
diffie
network
public key
symmetric
Prior art date
Application number
KR1020187011810A
Other languages
English (en)
Other versions
KR20180066899A (ko
Inventor
하이광 왕
제 스
신 캉
Original Assignee
후아웨이 인터내셔널 피티이. 엘티디.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 인터내셔널 피티이. 엘티디. filed Critical 후아웨이 인터내셔널 피티이. 엘티디.
Publication of KR20180066899A publication Critical patent/KR20180066899A/ko
Application granted granted Critical
Publication of KR102112542B1 publication Critical patent/KR102112542B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3013Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명의 실시예들은 사용자 장비 및 네트워크 모두에서 디피 헬먼(Diffie-Hellman) 절차를 사용하여, 공격자가 USIM 카드의 자격 증명을 소유하는 때 수동적으로 신호 교환을 단순히 청취함으로써 세션 키를 해독하는 것을 방지하는, 세션 키 생성을 위한 방법 및 장치를 제공한다.

Description

디피 헬먼(Diffie-Hellman) 절차를 이용한 세션 키 생성 방법 및 시스템
본 발명의 실시예들은 상호 인증 중에 또는 그 후에 발생할 수 있는, LTE, 5G, 또는 WLAN 네트워크를 위한 세션 키 생성에서의 디피 헬먼(Diffie-Hellman) 절차의 적용에 관한 것이다.
데이터 통신 중에 모바일 디바이스 및 네트워크가 도청되거나 또는 조작되는 것을 방지하기 위해, 상호 인증이 4G 네트워크에서 채택되어, 일반적으로 사용자 장비(UE)라고 명명된 모바일 디바이스 및 네트워크가 진정한 것인지 확인한다. 상호 인증을 수행하기 위해, UE와 네트워크 모두는 서로의 신원을 확립할 수 있는 자격 증명을 보유해야 한다.
3G/4G 네트워크에서, 네트워크 측에서, 자격 증명은 HSS(Home Subscriber Server)라고 명명된 서버 내에 보관된다. 반면 UE 측에서, 자격 증명은 USIM(Universal Subscriber Identity Module) 카드라고 명명된 격리된 디바이스 내에 보관된다. USIM 카드는 UE 내부의 USIM 슬롯에 내장된 컴퓨팅 디바이스다. USIM과 UE는 특별한 인터페이스를 통해 정보를 교환할 수 있다. 현재, 3G/4G 네트워크는 상호 인증에 대칭 키를 사용한다. 따라서, 주어진 IMSI(International Mobile Subscriber Identification)에 대해, 대응하는 USIM 및 HSS 내에 보관된 자격 증명은 동일하다.
UE가 네트워크에 접근하고 데이터를 전송하고자 할 때, 먼저 네트워크에 접속해야 한다. 인증은 EPS AKA(Evolved Packet System Authentication and Key Agreement)로 알려진 접속 및 인증 절차 중에 수행된다.
EPS AKA 절차에서, UE는 먼저 eNodeB(Evolved Node B)를 통해 MME(Mobility Management Entity)에 접속 요청(Attach Request)를 송신한다. MME는 접속 요청을 HSS에 전달하고, HSS는 이어서 UE와 공유된 자격 증명에 기초하여 인증 벡터를 생성한다. 인증 벡터는 MME에 송신되고, MME는 이어서 인증자료를 UE에 송신한다. UE는 네트워크를 인증한 다음 MME에 인증 코드를 송신한다. MME는 인증 코드를 검증하고 UE를 인증한다. 인증 후, UE는 키 자료를 MME 및 eNB와 교환하여 제어 및 데이터 평면(plane)에 대한 세션 키를 더 생성한다. 도 1은 기존의 인증 신호 교환 절차를 나타낸다.
도 2는 LTE(Long-Term Evolution) 네트워크의 키 아키텍처를 나타낸다. 모든 키는 USIM 및 HSS 내에 보관된 루트(root) 키, 및 UE와 코어 네트워크 사이에서 교환되는 파라미터에 기초하여 유도된다. 전술한 절차로써 제어 및 데이터 평면을 위해 생성된 세션 키는 루트 키가 공개되지 않는 한 안전하다는 것이 증명되었다. 그러나, 최근에, SIM 카드의 루트 키가 도난당한 경우, 이는 USIM의 자격 증명이 공개되었을 수 있음을 의미한다. 공격자에 대한 USIM 카드 자격 증명의 공개는 심각한 보안 위험을 초래한다. 현재 시스템에서, SIM 카드 내의 자격 증명이 공격자에게 노출되면, 공격자는 UE와 네트워크 사이의 접속 및 인증 신호 교환을 도청하여 사용자의 세션 키를 유도할 수 있다.
또 다른 기술적인 추세는 모바일 산업은 USIM 내에 보관된 자격 증명의 업데이트 또는 변경을 지원하기 위해 보다 유연한 디자인이 필요하다는 것이다. 이러한 자격 증명은 제3 자에게 노출될 수 있으며 보안 위험을 증가시킨다.
USIM 카드 자격 증명을 제3 자에게 노출하거나 또는 실수로 도난당하는 문제를 극복하려면, 보다 강력한 전달 보안 기술, 예를 들어 디피 헬먼(Diffie-Hellman) 절차로써 세션 키 생성을 향상시키는 것이 한 가지 방식이다. 또 다른 가능한 방식은 공개 키 기반의 인증과 같은 새로운 인증 기술을 사용하는 것이다.
CN 101969638 B는 이동 통신에서 IMSI(international mobile subscriber identity)를 보호하기 위한 방법을 제공한다. CN 101969638 B에서 제안된 것과 같이 접속 요청 전송에서 공개 키로써 IMSI를 보호하여, SIM 카드 내의 자격 증명이 공개되더라도 공격자가 상대 사용자의 세션 키를 해독하는 어려움이 증가한다. 그 이유는 IMSI를 알지 못하고는, 공격자는 세션 키를 해독하는 데 사용될 수 있는 자격 증명을 알 수 없기 때문이다. 그러나, 공격자가 오프라인 사전 공격을 수행하고 세션 키를 해독할 수 있기 때문에 보호가 충분하지 않다. 운영자의 사용자 수는 제한되어 있고, 대개 수십만에서 수백만 사이에서 다양하기 때문에, 특히 하나의 운영자에 속한 사용자 수가 많지 않은 때, 공격자가 세션 키를 해독하는 것은 어렵지 않다. 따라서, 공개 키로써 IMSI를 보호하는 것은 사전 공격을 사용하여 세션 키를 해독하는 것을 방지할 수 없다.
CN 102664725는 펨토셀(femtocell) 기지국 및 펨토셀 무선 통신 시스템의 보안 인증서 방법을 제공한다. CN 102664725는 네트워크를 인증하기 위한 공개 키의 사용을 제안한다. 이 방법은 네트워크 인증에 유효하다. 그러나, 네트워크가 공개 키로써 UE를 인증하는 방법은 제공되지 않는다. 따라서, 이 솔루션은 셀룰러 네트워크에서 완벽하지 않다. 또한, 인증 후에 세션 키를 생성하는 방법은 제공되지 않는다.
USIM 카드 자격 증명의 손실로 인해 발생할 수 있는 보안 위협, 및 기존 솔루션을 고려하여, 상기 및 기타 문제를 해결하기 위한 향상된 방법 및 시스템이 매우 바람직하다.
본 발명의 실시예들은 세션 키 생성을 위한 방법, 장치 및 시스템을 제공하며, 이는 USIM 카드의 자격 증명을 가질 수 있는 공격자가 단순히 신호 교환을 도청하여, 생성된 세션 키를 해독하는 것을 방지할 수 있다.
본 발명의 일 양태에 따르면, 키 생성 방법이 제공된다. 방법은 사용자 장비(UE: user equipment)와 네트워크 사이의 상호 인증 절차 중에 또는 그 후에, 제1 대칭 키를 생성하고 제1 디피 헬먼(Diffie-Hellman) 공개 키(A)를 수신하는 단계, 제1 디피 헬먼 공개 키(A)에 기초하여 제2 대칭 키를 생성하는 단계, 그리고 제1 대칭 키 및 제2 대칭 키 모두에 기초하여 세션 키를 생성하는 단계를 포함한다.
본 발명의 일 양태에 따르면 키 생성 방법이 제공된다. 방법은 네트워크 엔티티(entity)에서, 제1 대칭 키를 소유하는 단계, 제1 디피 헬먼(Diffie-Hellman) 공개 키(A)를 생성하고 전송하는 단계, 제2 디피 헬먼 공개 키(B)를 수신하는 단계, 제2 디피 헬먼 공개 키(B)에 기초하여 제2 대칭 키를 생성하는 단계, 그리고 제1 대칭 키 및 제2 대칭 키 모두에 기초하여 세션 키를 생성하는 단계를 포함한다.
본 발명의 일 양태에 따르면, 키 생성 장치가 제공된다. 장치는 네트워크로부터 제1 디피 헬먼(Diffie-Hellman) 공개 키(A)를 수신하도록 구성된 수신 유닛, 네트워크와 상호 인증하고 제1 대칭 키를 생성하도록 구성된 인증 유닛, 제1 디피 헬먼 공개 키(A)에 기초한 제2 대칭 키를 생성하도록 구성된 디피 헬먼 절차 유닛, 제1 디피 헬먼 공개 키(B)를 정송하도록 구성된 전송 유닛, 그리고 제1 대칭 키 및 제2 대칭 키 모두에 기초하여 세션 키를 생성하도록 구성된 세션 키 생성 유닛을 포함한다.
본 발명의 일 양태에 따르면, 키 생성 장치가 제공된다. 장치는 사용자 장비(UE)와 상호 인증하고 제1 대칭 키를 제공하도록 구성된 인증 유닛, 제1 디피 헬먼(Diffie-Hellman) 공개 키(A) 및 제2 디피 헬먼 공개 키(B)에 기초한 제2 대칭 키를 생성하도록 구성된 디피 헬먼 절차 유닛, UE로부터, 제2 디피 헬먼 공개 키(B)를 수신하도록 구성된 수신 유닛, 제1 디피 헬먼 공개 키(A)를 전송하도록 구성된 전송 유닛, 그리고 제1 대칭 키 및 제2 대칭 키 모두에 기초하여 세션 키를 생성하도록 구성된 세션 키 생성 유닛을 포함한다.
본 발명의 일 양태에 따르면, 통신 시스템이 제공된다. 통신 시스템은 제20항 내지 제28항 중 어느 한 항에 따른 키 생성 장치를 포함하는 사용자 장비, 그리고 제29항 내지 제36항 중 어느 한 항에 따른 키 생성 장치를 포함하는 네트워크 장치를 포함한다.
본 발명의 전술한 양태들의 각각의 실시예들에서, 제1 대칭 키는 K1, KASME을 포함할 수 있고, 제2 대칭 키는 KDH를 포함할 수 있다.
본 발명의 전술한 양태들의 다양한 실시예들이 첨부된 청구항들에서 추가로 인용된다.
본 발명의 실시예들이 도면을 참조하여 이하에서 개시된다.
도 1은 기존의 인증 신호 교환 절차를 나타낸다.
도 2는 LTE(Long-Term Evolution) 네트워크의 키(key) 아키텍처를 나타낸다.
도 3은 본 발명의 일 실시예에 따라 세션 키를 생성하는 방법을 도시한 순서도이다.
도 4는 코어 네트워크가 LTE 네트워크에 있는 본 발명의 일 실시예에 따른 세션 키를 생성하는 방법을 도시한 순서도이다.
도 5는 본 발명의 일 실시예에 따라 세션 키를 생성하는 방법을 도시한 순서도이다.
도 6은 본 발명의 일 실시예에 따른 LTE 네트워크에서 세션 키를 생성하는 방법을 도시한 순서도이다.
도 7은 본 발명의 일 실시예에 따라 WLAN 네트워크에서 상호 인증 후에 세션 키를 생성하는 방법을 도시한 순서도이다.
도 8은 키 생성 장치의 개략도이다.
도 9는 통신 시스템의 개략도이다.
이하의 설명에서, 본 발명의 다양한 예시적인 실시예들의 완전한 이해를 제공하기 위해 다수의 특정 세부 사항들이 설명된다. 그러나, 당업자는 본 발명의 실시예들이 이들 특정 세부 사항의 일부 또는 전부 없이 실시될 수 있음을 이해할 것이다. 다른 예들에서, 잘 알려진 프로세스 동작들은 설명된 실시예들의 관련 양태를 불필요하게 불명료하게 하지 않기 위해 상세하게 설명되지 않았다. 도면에서, 동일한 도면 부호는 여러 도면에서 동일하거나 유사한 기능 또는 특징을 나타낸다.
본 발명의 실시예들은 SIM 카드 내의 자격 증명 노출로 인한 위협을 완화하는 방법을 제공한다.
일 실시예에서, 디피 헬먼(DH: Diffie-Hellman) 절차는 세션 키 생성에 적용되어 공격자가 USIM 카드의 자격 증명을 소유하는 때 단순히 수동적으로 시그널링 교환을 청취하여 세션 키를 해독하는 것을 방지한다. DH 절차는 FFC(Finite Field Cryptography) 그룹 또는 ECC(Elliptic Curve Cryptography) 그룹에 기반할 수 있다.
FFC가 사용되는 때, 주어진 난수에 대해, DH 절차는 공개 키를 A = ga mod p로서 유도하고, g는 순환 그룹(G)의 제네레이터이며, p는 소수이고 또한 공개 모듈러스(public modulus)이며, 공유 세션 키를 KDH = Ba mod p로서 유도하고, B는 피어(peer)로부터 수신된 DH 공개 키이다. g, G 및 p의 값은 DH 절차에 관련된 당사자, 예를 들어, 본 발명의 UE 및 CN에 의해 미리 공유된다.
ECC가 사용되는 때, DH 절차는 공개 키를 A = aP로서 유도하고, P는 제네레이터(타원 곡선의 기준점)이며, p는 소수이고 또한 공개 모듈러스이고, 공유 세션키를 KDH = aB로서 유도하며, B는 피어로부터 수신된 DH 공개키이다. 본 발명에 사용된 ECC 그룹은 섹터 쌍(p, c, d, P , r, h)에 의해 정의될 수 있고, 여기서 p는 소수이며, c 및 d는 방정식에 의해 정의된 타원 곡선을 지정하고, y 2 = x 3 + cx + d modulo p이고, P 는 제네레이터(타원 곡선의 기준점)이며, r P 는 소수(prime order)이고, h는 여인자(co-factor)이다.
도 3은 본 발명의 일 실시예에 따른 세션 키를 생성하는 방법을 도시한 순서도(300)이다. 이 실시예에서, DH 절차는 사용자 장비(UE)와 코어 네트워크(CN)의 상호 인증 중에 삽입된다.
블록(301)에서, UE는 적어도 UE의 신원 정보를 포함하는 제1 메시지를 CN에 전송한다.
블록(302)에서, 제1 메시지를 수신한 후, CN은 UE와 CN 사이의 공유 자격 증명에 기초하여 인증 벡터를 생성하고, 대칭 또는 공유 키 K1, 즉 CN 생성 대칭 키를 더 생성한다.
블록(303)에서, CN은 난수 a, 즉 CN 생성 개인 난수를 생성 또는 유도하고, FFC 그룹 또는 ECC 그룹 중 하나를 사용하여 DH 공개 키(A)를 계산하여 DH 절차를 시작한다.
블록(304)에서, CN은 인증 벡터 및 DH 공개 키(A)를 포함하는 제2 메시지를 UE에 송신한다.
블록(305)에서, CN으로부터 제2 메시지를 수신한 후, UE는 제2 메시지로부터 인증 벡터 및 DH 공개 키(A)를 추출하고, 수신된 인증 벡터에 기초하여 CN을 인증한다. 이어서, UE는 대칭 또는 공유 키, 즉 K1과 동일한 UE 생성 대칭 키, 및 제2 메시지에서 수신된 데이터에 기초한 다른 인증 벡터를 생성한다.
블록(306)에서, UE는 난수 b, 즉 UE 생성 개인 난수를 생성하고, FFC 또는 ECC 그룹을 사용하여 DH 공개 키를 계산한다. 예를 들어, FFC를 사용하는 경우, B = gb mod p이고, 여기서 B는 UE 생성 디피 헬먼 공개 키라고 지칭되고, ECC를 사용하는 경우, B = bP이다.
동시에, UE는 수신된 파라미터들에 기초하여 DH 대칭 개인 키 KDH를 유도하거나 생성할 수 있으며, 예를 들어 FFC가 사용되는 때 KDH =(Ab mod p) = gba 이거나, 또는 ECC가 사용되는 때 KDH = bA = baP이다. UE는 해시 함수 또는 다른 적절한 함수에 대한 입력으로서 K1 및 KDH 모두를 취함으로써, 세션 키 K, 즉 UE 생성 세션 키를 생성한다.
블록(307)에서, UE는 UE 생성 인증 벡터 및 B를 포함하는 제3 메시지를 CN에 송신한다.
블록(308)에서, CN은 제3 메시지에서 수신된 인증 벡터에 기초하여 UE를 인증한다. CN은 파라미터를 기반으로, FFC가 사용되는 때 DH 대칭 개인 키 KDH =(Ba mod p) = gab, 또는 ECC가 사용되는 때 교환된 KDH = aB를 유도하거나 생성한다. CN 생성 DH 키 KDH와 UE 생성 DH 키 KDH는 모두 동일하다. 이어서, CN은 해시 함수 또는 다른 적절한 함수에 대한 입력으로서 K1 및 KDH 모두를 취함으로써, 세션 키 K, 즉 CN 생성 세션 키를 생성한다. 일 실시예에서, UE는 K1 및 KDH를 연결 스트링(concatenated string)으로 연결하고, 연결 스트링을 함수, 예를 들어 K = SHA256(KASME || KDH)에 대한 입력으로서 사용하며, 여기서 '||'는 두 스트링을 하나로 연결하는 연산자이다.
도 4는 코어 네트워크가 LTE 네트워크에 제공되는 본 발명의 일 실시예에 따른 세션 키를 생성하는 방법을 도시한 순서도(400)이다. 이 실시예에서, DH 절차는 사용자 장비(UE)와 LTE 코어 네트워크의 상호 인증 중에 삽입된다. LTE 네트워크에서, UE가 네트워크를 통해 데이터를 전송하기 전에, UE는 MME(Mobility Management Entity) 및 HSS(Home Subscriber Server)를 포함하는 LTE 코어 네트워크와 상호 인증해야 한다.
블록(401)에서, UE는 요청에 포함된 UE 신원을 갖는 접속 요청을 MME에 송신한다.
블록(402)에서, 접속 요청을 수신하면, MME는 인증 데이터 요청(Authentication Data Request)을 생성하고 이 요청을 HSS에 송신한다.
블록(403)에서, HSS는 인증 벡터들, 즉 RAND(random challenge number), AUTN(authentication token), XRES(expected response), KAMSE(master key)를 생성한다. RAND는 HSS 또는 UE가 다른 인증 벡터 및 키를 생성하는 데 사용된다. AUTN은 UE가 LTE 코어 네트워크를 인증하는 데 사용된다. XRES는 LTE 핵심 네트워크가 UE를 인증하는 데 사용된다. KAMSE는 세션 키 생성에서 사용되는 키이고, 도 3의 순서도와 관련하여 설명된 K1과 유사한 대칭 키일 수 있다.
블록(404)에서, HSS는 이 응답 내에 포함된 인증 벡터들, 즉 RAND, AUTN, XRES, KAMSE(블록(403)에서 생성된)을 가지고 인증 데이터 응답(Authentication Data Response)을 MME에 송신한다.
블록(405)에서, MME는 난수 a, 즉 CN 생성 개인 난수를 생성 또는 유도하고, A = ga mod p(g는 순환 그룹(G)의 제네레이터이고, p는 소수이며 또한 공개 모듈러스임)를 계산하거나, 또는 A = aP(P는 ECC 그룹(G)에 대한 기준점)를 계산하여, DH 절차를 시작한다. A는 CN 생성 디피 헬먼 공개 키라고 지칭된다. g, G 및 p의 값은 LTE 코어 네트워크 및 UE에 의해 미리 공유된다.
블록(406)에서, CN 생성 MAC(Message Authentication Code), 즉 MACA는 KASME를 가지고 A, RAND, AUTN에 기초하여 계산된다.
블록(407)에서, MME는 블록(406)에서 계산된 A, RAND, AUTN, 및 CN 생성 MAC 코드를 포함하는 인증 요청(Authentication Request)을 UE에 송신한다.
블록(408)에서, UE 내부의 엔티티인 모바일 장비(ME: mobile equipment)는 인증 요청을 수신한다. UE는 인증 요청에 포함된 MACDH에 기초하여 LTE 코어 네트워크를 인증한다. UE는 XMAC, RES 및 KASME를 생성한다.
블록(409)에서, UE는 인증 요청 메시지(Authentication Request message)로부터 DH 공개 키 A 및 MACDH를 추출한다. UE는 UE에 의해 생성된 KASME를 가지고 MACA를 검증한다.
블록(410)에서, UE는 또 다른 난수 b, 즉 UE 생성 개인 난수를 더 생성하고, FFC 그룹에 대해 B = gb mod p 또는 ECC 그룹에 대해 B = bP mod p를 계산하며, B는 UE 생성 디피 헬먼 공개 키이다.
블록(411)에서, UE는 디피 헬먼 키, KDH = Ab mod p를 유도 또는 생성한다.
블록(412)에서, UE는 KAMSE 및 KDH에 기초하여 세션 키 K'AMSE를 유도 또는 생성한다. 이 방법들 중 하나는 K'AMSE를 KAMSE XOR KDH로서 유도하는 것, 즉 KAMSE 및 KDH에 대해 XOR(exclusive-or) 연산을 수행하는 것이다.
블록(413)에서, UE는 KAMSE를 가지고 RES 및 B에 기초하여, MAC 코드, MACB를 계산한다. 대안적으로, UE는 KDH를 가지고 RES 및 B에 기초하여, 또는 K'AMSE를 가지고 RES 및 B에 기초하여, MAC 코드를 계산할 수 있다.
블록(414)에서, UE는 응답에 포함되어 있는, B와 UE 생성 MAC 코드(MACB) 모두를 가지고 MME에 인증 응답을 송신하고, UE 생성 MAC 코드는 블록(414)에서 계산되었다. 다른 실시예에서, UE는 또한 MAC 연산에 DH 공개 키(A)를 포함할 수 있다.
블록(415)에서, 인증 응답을 수신한 후, MME는 먼저 응답으로부터 B 및 UE 생성 MAC 코드를 추출한다. 그런 다음 MME는 KASME를 가지고 B, XRES를 기반으로 MAC '코드를 계산한다. 또 다른 실시예에서, MME는 UE 및 MME가 MAC 연산에 그것을 포함하는 것으로 동의하면 MAC 연산에 DH 공개 키(A)를 포함할 수 있다.
블록(416)에서, MME는 네트워크 생성 MAC'을 UE 생성 MAC, MACB와 비교하여 UE를 인증한다. 두 값이 동일하면, UE가 성공적으로 인증된다. 두 값이 동일하지 않으면, UE는 인증을 실패한다.
블록(417)에서, MME는(B)a mod p로서 DH 키 KDH를 생성한다. DH 키 (A)b mod p와 (B)a mod p는 동일하다.
블록(418)에서, MME는 KDH 및 KASME, 또는 이들의 유도 값을 EPS 알고리즘 또는 다른 적절한 함수에 대한 입력으로서 취하여 세션 키(K'ASME)를 생성한다. 예를 들어, UE는 먼저 KASME의 시작 또는 종료에서 0을 첨부하거나 또는 패딩(padding)하여 KASME의 비트 개수를 확장할 수 있어서, 확장 후에, 확장된 KASME가 비트 개수에 있어서, KDH와 동일하다. 다른 실시예에서, UE는 해시 함수와 같은 함수를 사용하여 비트 개수에 있어서 KASME와 동일한 길이를 갖는 KDH로부터 다른 수를 유도할 수 있다. 그 후, UE는 세션 키, K'ASME = KDH XOR Pad(KASME) 또는 K'ASME = Hash(KDH) XOR KASME를 생성하기 위한 XOR(exclusive-or) 함수를 수행할 수 있다. 또 다른 실시예에서, UE는 KASME 및 KDH로부터 각각 유도된 스트링들을 연결하고, 연결된 스트링을 함수, 예를 들어, 3GPP 표준에 정의된 KDF 함수 또는 SHA256과 같은 주어진 해시 함수에 대한 입력으로서 사용할 수 있다. 하나의 예는 K'ASME = SHA256(KASME || KDH)이고, 여기서 '||'는 두 스트링을 하나로 연결하는 연산자이다. 그런 다음 K'ASME은 KNASenc, KNASint 및 KeNB와 같은 다른 키의 생성에 사용된다.
상기의 예에서, MME의 역할은 차세대 네트워크의 연결 관리를 담당하는 AAA(Authentication, Authorization and Accounting) 서버 또는 CM(Connection Manager)에 의해 대체될 수 있으며, 상술한 절차가 여전히 적용될 수 있다.
도 5는 본 발명의 일 실시예에 따른 세션 키를 생성하는 방법을 도시한 순서도이다. 이 실시예에서, DH 절차는 UE 및 CN의 상호 인증이 완료된 후에 관리 메시지들의 교환 중에 삽입된다.
블록(501)에서, CN 및 UE는 서로 상호 인증한다. 상호 인증이 완료되면 인증 결과가 생성된다.
블록(502 및 503)에서, 대칭인 통합 보호 키(K1)는 UE 및 CN 각각에 의해 인증 결과에 기초하여 유도된다. 그 후, 세션 키 유도를 위해 CN으로부터 UE에 또는 그 반대로 제1 메시지가 송신된다.
블록(504)은 제1 메시지가 CN으로부터 UE에 송신되는 것으로 가정한다. 제1 메시지는 DH 파라미터 A를 포함하고, A는 CN 내의 노드에 의해 생성된, FFC 그룹을 사용하는 경우 A = ga mod p, 또는 이전에 정의된 ECC 그룹을 사용하는 경우 A = aP이며, 여기서 a는 CN에 의해 생성된 난수, 즉 CN 생성 개인 난수이다. 네트워크 생성 MAC 코드가 생성되어 공격자가 A의 값을 변경하는 것을 방지하도록 제1 메시지의 무결성을 보호한다.
블록(505)에서, CN은 A 및 네트워크 생성 MAC 코드를 포함하는 제1 메시지를 UE에 송신한다.
블록(506)에서, UE는 제1 메시지를 수신한 후, 제1 메시지로부터 A를 추출하고 네트워크 생성 MAC 코드를 검사한다. 통합 검사가 통과하면, UE는 다른 값 B를 생성하고, FFC 그룹의 경우 B = gb mod p이거나, 또는 ECC 그룹의 경우 B = bP이고, B는 UE 생성 디피 헬먼 공개 키이며, b는 UE에 의해 생성된 난수이다.
블록(507)에서, UE는 B 및 UE 생성 MAC를 포함하는 제2 메시지를 CN에 전송한다. 제2 메시지에 대한 UE 생성 MAC의 계산에서, A 및 B 모두는 MAC 연산에 대한 입력이다.
블록(508) 및 블록(506)에서, UE 및 CN 내의 노드는 FFC 그룹의 경우 각각 (ga)b 및 (gb)a 또는 ECC 그룹의 경우 각각 b(aP) 및 a(bP)로서 DH 키 KDH를 유도 또는 생성한다. UE와 CN 양측에서의 DH 키는 동일하다. UE 및 노드 CN은 KDH를 기초로 사용하여 세션 키 K를 생성하거나, 또는 KDH와 K1 모두를 사용하여 XOR 함수와 같은 적절한 함수를 사용하여 세션 키 K를 생성한다. SHA256 함수를 사용하는 것과 같은 본 개시에서의 이전 실시예에서 제안된 바와 같이, KDH 또는 KDH와 K1 모두에 기초하여 유도된 이 세션 키 K는 다른 키의 유도 또는 생성에 사용될 수 있다.
도 6은 본 발명의 일 실시예에 따른 LTE 네트워크에서 세션 키를 생성하는 방법을 도시한 순서도(600)이다. 이 실시예에서, UE 및 LTE 네트워크의 인증이 완료된 후에 DH 절차가 삽입된다.
블록(601)에서, HSS 및 UE는 서로 상호 인증한다. 상호 인증이 완료되면 인증 결과가 생성된다.
블록(602) 및 블록(603)에서, UE 및 MME는 개별적으로 마스터 키 KAMSE를 유도 또는 생성한다.
인증 후에, UE와 MME는 NAS 보안 모드 명령(NAS-Security-Mode-Command)와 NAS 보안 모드 완료(NAS-Security-Mode-Complete)의 두 관리 메시지를 교환하여, NAS 계층에서 보안 컨텍스트를 설정한다. 제1 관리 메시지, 즉 NAS 보안 모드 명령 메시지를 전송하기 전에, DH 절차가 시작된다.
블록(604)에서, MME는 난수 a, 즉 CN 생성 개인 난수를 생성하고, FFC 그룹을 사용하는 경우 A = ga mod p 또는 ECC 그룹을 사용하는 경우 A = aP를 계산한다. A는 CN 생성 디피 헬먼 공개 키라고 지칭된다. g, G 및 p의 값은 LTE 코어 네트워크 및 UE에 의해 미리 공유된다.
블록(605)에서, MME/CM은 DH 공개 키 A를 포함하는, NAS 보안 모드 명령에 포함될 파라미터를 통해 MAC를 계산한다.
블록(606)에서, MME는 NAS 보안 모드 명령에 A를 포함시키고 이를 UE에 송신한다.
블록(607)에서, UE가 상기의 NAS 보안 모드 명령을 수신하고 거기서 NAS-MAC을 검증한 후, UE는 메시지로부터 값 A를 추출한다.
블록(608)에서, UE는 난수 b, 즉 UE 생성 개인 난수를 생성하고, FFC 그룹을 사용하는 경우 B = gb mod p 또는 ECC 그룹을 사용하는 경우 B = bP를 계산하며, B는 UE 생성 디피 헬먼 공개 키이다.
블록(609)에서, UE는 각각 Ab mod p로서 DH 대칭 개인 키 KDH를 유도 또는 생성한다.
블록(610)에서, UE는 파라미터들을 통해, MAC, 즉 NAS-MAC를 계산한다. NAS-MAC 및 DH 공개 키 B는 NAS 보안 모드 완료 메시지에 포함될 것이다. 다른 실시예에서, UE는 또한 MAC 연산에 DH 공개 키 A를 포함시킬 수 있다.
블록(611)에서, UE는 KASME 및 KDH에 기초하여 세션 키, K'ASME을 유도한다. 이 방법은 SHA256 함수를 사용하는 것과 같이 이 문서의 이전 실시예에서 제안된 방법과 유사할 수 있다.
블록(612)에서, UE는 B 및 메시지에 포함된 상대 NAS-MAC를 가지고 NAS 보안 모드 완료 메시지를 MME에 송신한다.
블록(613)에서, NAS 보안 모드 완료 메시지를 수신한 후, MME는 NAS-MAC 코드를 검증하고 세션 키 생성을 위해 B를 추출한다. 다른 실시예에서, UE 및 MME가 NAS-MAC 연산에 DH 공개 키 A를 포함시키는 것에 동의하면 MME는 MAC 연산에 DH 공개 키 A를 포함시킬 수도 있다.
블록(614)에서, MME/CM은 FFC 그룹을 사용하는 경우 Ba mod p 또는 ECC 그룹을 사용하는 경우 aB mod p로서 DH 대칭 개인 키 KDH를 유도 또는 생성한다. UE와 MME 양측의 DH 키는 동일하다.
블록(615)에서, MME/CM은 EPS 알고리즘, XOR 함수, 3GPP 규격에서 정의된 KDF 함수 또는 SHA256 해시 함수와 같이 적절한 함수에 대한 입력으로서 KDH 또는 KDH 및 KASME모두를 취함으로써 NAS 계층 및 AS 계층에 대한 세션 키 K'ASME를 생성한다.
도 7은 본 발명의 일 실시예에 따라 WLAN(Wireless Local Area Network)에서 세션 키를 생성하는 방법을 도시한 순서도(700)이다. 이 실시예에서, 사용자 장비(UE) 및 WLAN 네트워크의 인증이 완료된 후에 DH 절차가 삽입된다. UE는 도 7의 인증자(authenticator)에 의해 표현된다.
블록(701)에서, 요청자(supplicant)는 먼저 도 7의 인증자에 의해 표현된 WLAN 액세스 포인트(AP)와 인증 및 연관한다.
블록(702)에서, 요청자 및 AAA 서버는 서로 상호 인증한다. 상호 인증이 완료되면 인증 결과가 생성된다.
블록(703) 및 블록(704)에서, 요청자 및 인증자는 PMK(Pairwise Master Key)를 유도 또는 생성한다.
인증 후, 요청자와 인증자는 둘 다 EAPoL-Key 프레임인, 두 개의 관리 메시지를 교환하여, 요청자와 인증자에서의 보안 컨텍스트를 설정한다. 제1 관리 메시지, 즉 EAPoL-Key를 인증자에 의해 전송하기 전에, DH 절차가 시작된다.
블록(705)에서, 인증자는 난수 a, 즉 CN 생성 개인 난수를 생성하고, DH 공개 키를, FFC 그룹의 경우 A = ga mod p 또는 ECC 그룹의 경우 A = aP로 계산한다.
블록(706)에서, 인증자는 EAPoL-Key 프레임 내에 A를 포함시키고 이를 요청자에게 송신한다.
블록(707)에서, 요청자가 상기의 EAPoL 키를 수신한 후에, 요청자는 메시지로부터 값 A를 추출한다. 그 후, 요청자는 난수 b, 즉 UE 생성 개인 난수를 생성하고, FFC 그룹의 경우 B = gb mod p 또는 ECC 그룹의 경우 B = bP를 계산하며, B는 UE 생성 디피 헬먼 공개 키이다.
블록(708)에서, 요청자는 또한 Ab mod p로서 DH 키 KDH를 유도 또는 생성한다. 요청자는 적어도 KDH 및 PMK를 가지고 IEEE 802.11-2012 표준에 정의된 PRF-X와 같은 키 생성 함수에 대한 입력으로서 PTK(Pairwise Transient Key)를 유도 또는 생성한다. 그러면, 요청자는 적어도 B 및 MIC(Message Integrity Code)를 포함하는 EAPoL-Key, 메시지를 생성한다. EAPoL-Key에서 계산된 MIC 코드는 입력으로서 A와 B 모두를 포함한다.
블록(709)에서, 요청자는 KDH 및 PMK를 가지고 IEEE 802.11-2012 표준에서 정의된 PRF-X와 같은 키 생성 함수에 대한 입력으로서 PTK(Pairwise Transient Key)를 생성한다. 하나의 예는 요청자가 PMK 및 KDH에 대해 XOR 연산을 수행한 다음 그 결과를 PRF-X 함수에 대한 입력으로 사용한다는 것이다.
블록(710)에서, 요청자는 B 및 메시지에 포함된 상대 MIC를 가지고 EAPoL-Key 프레임을 인증자에게 전송한다.
블록(711)에서, EAPoL-Key 프레임을 수신한 후, 인증자는 MIC 코드를 검증하고 세션 키 생성을 위해 B를 추출한다. 그런 다음 인증자는 FFC 그룹의 경우 Ba mod p 또는 ECC 그룹의 경우 aB로서 DH 키 KDH를 유도 또는 생성한다. 요청자(예를 들어, UE 또는 스테이션)와 인증자(예를 들어, AP 또는 컨트롤러) 모두에서의 DH 키는 동일하다.
블록(712)에서, 인증자는 KDH 및 PMK를 가지고 IEEE 802.11-2012 표준에서 정의된 PRF-X와 같은 키 생성 함수에 대한 입력으로서 PTK(Pairwise Transient Key)를 생성한다. 일 실시예에서, 인증자는 PMK 및 KDH에 대한 XOR 연산을 수행한 다음 그 결과를 PRF-X 함수에 대한 입력으로서 사용한다. 다른 실시예에서, 인증자는 KDH 및 PMK를 변환한 다음 그 스트링을 IEEE 802.11 규격에서 정의된 KDF 함수 또는 SHA256 함수 중 어느 하나에 입력하여 PTK를 유도한다.
도 8은 UE 및/또는 CN에 배치될 수 있는 키 생성 장치를 제공하는 본 발명의 다른 실시예를 도시한다. 키 생성 장치는,
네트워크 측 장비로부터의 적어도 하나의 인증 벡터 및 디피 헬먼 공개 키를 수신하도록 구성된 적어도 하나의 수신 유닛,
네트워크와 상호 인증하고 적어도 제1 대칭 키를 생성하도록 구성된 적어도 하나의 인증 유닛,
적어도 디피 헬먼 공개 키, 및 수신된 디피 헬먼 키에 기초한 제2 대칭 키를 생성하도록 구성된 적어도 하나의 디피 헬먼 절차 유닛,
디피 헬먼 공개 키를 위한 적어도 메시지 인증 코드를 생성하고, 적어도 디피 헬먼 공개 키와 메시지 인증 코드를 전송하도록 구성된 적어도 하나의 전송 유닛, 그리고
제1 대칭 키 및 제2 대칭 키 모두에 기초한 적어도 세션 키를 생성하도록 구성된 적어도 하나의 세션 키 생성 유닛을 포함한다.
키 생성 장치가 UE에 배치되는 일 실시예에서, 키 생성 장치는 첨부한 청구항 20 내지 28에 따라 동작된다.
키 생성 장치가 CN에 배치되는 일 실시예에서, 키 생성 장치는 첨부한 청구항 29 내지 36에 따라 동작된다.
도 9는 통신 시스템을 제공하는 본 발명의 다른 실시예를 도시하며, 상기 시스템은 사용자 장비 및 네트워크 측 장비 모두를 포함하며,
적어도 인증 벡터 및 디피 헬먼 공개 키를 수신하고, 적어도 디피 헬먼 공개 키 및 메시지 인증 코드를 전송하며, 적어도 인증 절차 및 디피 헬먼 절차로부터 생성된 키에 개초한 세션 키를 유도 또는 생성하는 데 사용되는 적어도 하나의 사용자 장비,
적어도 인증 벡터 및 디피 헬먼 공개 키를 전송하고, 적어도 디피 헬먼 공개 키 및 메시지 인증 코드를 수신하며, 적어도 인증 절차 및 디피 헬먼 절차로부터 생성된 키에 기초한 세션 키를 유도 또는 생성하는 데 사용되는 적어도 하나의 네트워크 측 장비를 포함한다.
통신 시스템은 첨부한 청구항 37에 따라 동작된다.
DH 절차 및 CN 과 UE의 상호 인증을 사용하여 세션 키를 생성하는 상술한 방법 및 장치 및 3G/4G 규격에 의해 지정된 시스템 또는 3GPP 표준 조직에 의해 정의된 3G/4G 규격에 의해 지정된 시스템으로부터 진화된 시스템에서 구현될 수 있다.
다른 실시예는 본 발명의 명세서 및 실시의 고려로부터 당업자에게 명백할 것이다. 또한, 특정 용어가 설명의 명확성을 위해 사용되었으며, 본 발명의 개시된 실시예를 제한하지 않는다. 상술한 실시예 및 특징은 예시적인 것으로 간주되어야 한다.

Claims (37)

  1. 사용자 장비(UE: user equipment)와 네트워크 사이의 상호 인증 절차 중에 또는 그 후에, 제1 대칭 키를 생성하고 제1 디피 헬먼(Diffie-Hellman) 공개 키(A) 및 네트워크 생성 MAC(Message Authentication Code) 코드를 수신하는 단계,
    상기 네트워크 생성 MAC 코드를 검사하고, 검사가 통과하면, 제2 디피 헬먼 공개 키(B)를 생성하는 단계,
    상기 제1 디피 헬먼 공개 키(A)에 기초하여 제2 대칭 키를 생성하는 단계,
    상기 제2 디피 헬먼 공개 키(B) 및 UE 생성 MAC을 전송하는 단계 - 상기 UE 생성 MAC은 상기 제1 디피 헬먼 공개 키(A)와 상기 제2 디피 헬먼 공개 키(B)에 따라 계산됨 - , 그리고
    상기 제1 대칭 키 및 상기 제2 대칭 키 모두에 기초하여 세션 키를 생성하는 단계
    를 포함하는 키 생성 방법.
  2. 제1항에 있어서,
    상기 세션 키를 생성하는 단계는,
    상기 제1 대칭 키와 상기 제2 대칭 키를 연결 스트링(concatenated string)으로 연결하고, 상기 연결 스트링을 키 유도 함수 또는 해시(hash) 함수 중 하나에 입력하는 단계를 포함하는,
    키 생성 방법.
  3. 제1항에 있어서,
    상기 제2 디피 헬먼 공개 키(B)를 생성하는 단계는,
    난수(b)를 생성하는 단계, 그리고
    FFC(Finite Field Cryptography) 그룹에 기초하여 상기 제2 디피 헬먼 공개 키(B)를 생성하는 단계 - 상기 FFC 그룹의 경우 B = gb mod p이고, p는 소수이며, g는 순환 그룹(G)의 제네레이터이고, p와 G는 상기 UE 및 상기 네트워크에 의해 공유됨 - 를 더 포함하고,
    상기 제2 대칭 키를 생성하는 단계는, 상기 FFC 그룹이 사용되는 때 Ab mod p에 기초하여 상기 제2 대칭 키를 생성하는 단계를 포함하는,
    키 생성 방법.
  4. 제3항에 있어서,
    상기 제2 디피 헬먼 공개 키(B),
    상기 UE의 네트워크 인증을 위해 생성된 인증 코드, 그리고
    상기 세션 키, 상기 제1 대칭 키, 및 상기 제2 대칭 키 중 하나
    에 기초하여 상기 UE 생성 MAC을 생성하는 단계
    를 더 포함하는 키 생성 방법.
  5. 제3항에 있어서,
    상기 네트워크는 무선 근거리 통신망(WLAN) 또는 그 진화형에서 제공되고,
    상기 제1 대칭 키는 PMK(Pairwise Master Key)이고,
    상기 제1 디피 헬먼 공개 키(A)를 수신하는 단계는, EAPoL-키 프레임과 함께 상기 제1 디피 헬먼 공개 키(A)를 수신하는 단계를 포함하고,
    상기 세션 키는 PTK(Pairwise Transient Key)이며,
    상기 키 생성 방법은,
    상기 세션 키를 생성하기 전에, EAPoL-키 프레임과 함께 상기 제2 디피 헬먼 공개 키(B)를 전송하는 단계를 더 포함하는,
    키 생성 방법.
  6. 제1항 또는 제3항에 있어서,
    상기 네트워크는 무선 근거리 통신망(WLAN) 또는 그 진화형에서 제공되고,
    상기 제1 대칭 키는 PMK(Pairwise Master Key)이며,
    상기 제1 디피 헬먼 공개 키(A)를 수신하는 단계는, EAPoL-키 프레임과 함께 상기 제1 디피 헬먼 공개 키(A)를 수신하는 단계를 포함하고,
    상기 세션 키는 PTK(Pairwise Transient Key)인,
    키 생성 방법.
  7. 네트워크에서,
    제1 대칭 키를 소유하는 단계,
    제1 디피 헬먼(Diffie-Hellman) 공개 키(A)를 생성하고, 상기 제1 디피 헬먼 공개 키(A) 및 네트워크 생성 MAC(Message Authentication Code) 코드를 전송하는 단계,
    제2 디피 헬먼 공개 키(B) 및 UE 생성 MAC을 수신하는 단계 - 상기 UE 생성 MAC은 상기 제1 디피 헬먼 공개 키(A)와 상기 제2 디피 헬먼 공개 키(B)에 따라 계산됨 - ,
    상기 제2 디피 헬먼 공개 키(B)에 기초하여 제2 대칭 키를 생성하는 단계, 그리고
    상기 제1 대칭 키 및 상기 제2 대칭 키 모두에 기초하여 세션 키를 생성하는 단계
    를 포함하는 키 생성 방법.
  8. 제7항에 있어서,
    상기 세션 키를 생성하는 단계는
    상기 제1 대칭 키와 상기 제2 대칭 키를 연결 스트링으로 연결하고, 상기 연결 스트링을 키 유도 함수 또는 해시(hash) 함수 중 하나에 입력하는 단계를 포함하는,
    키 생성 방법.
  9. 제7항에 있어서,
    상기 제1 디피 헬먼 공개 키(A)를 생성하는 것은,
    난수(b)를 생성하는 단계, 그리고
    FFC(Finite Field Cryptography) 그룹에 기초하여 상기 제1 디피 헬먼 공개 키(B)를 생성하는 단계 - 상기 FFC 그룹의 경우 A = ga mod p 이고, p는 소수이며, g는 순환 그룹(G)의 제네레이터이고, p와 G는 상기 네트워크 및 사용자 장비(UE: user equipment)에 의해 공유됨 - 를 더 포함하는,
    키 생성 방법.
  10. 제7항 또는 제9항에 있어서,
    상기 키 생성 방법은,
    상기 제2 디피 헬먼 공개 키(B),
    상기 UE의 네트워크 인증을 위해 생성된 인증 코드, 그리고
    상기 세션 키, 상기 제1 대칭 키, 및 상기 제2 대칭 키 중 하나
    에 기초하여 상기 네트워크 생성 MAC를 생성하는 단계,
    상기 네트워크 생성 MAC를 상기 수신된 UE 생성 MAC와 비교하는 단계,
    상기 네트워크 생성 MAC와 상기 수신된 UE 생성 MAC가 동일하면, 상기 UE를 성공적으로 인증하는 단계, 그리고
    상기 네트워크 생성 MAC와 상기 수신된 UE 생성 MAC가 동일하지 않으면, 상기 UE의 인증을 실패하는 단계
    를 더 포함하는, 키 생성 방법.
  11. 제7항에 있어서,
    상기 네트워크는 무선 근거리 통신망(WLAN) 또는 그 진화형에서 제공되고,
    상기 제1 대칭 키를 소유하는 단계는, AP(Access Point), AC(Access Controller), 및 AAA(Authentication, Authorization and Accounting) 서버 중 하나에서 상기 제1 대칭 키를 생성하는 단계를 포함하며,
    상기 제1 대칭 키는 PMK(Pairwise Master Key)이고,
    상기 제1 디피 헬먼(Diffie-Hellman) 공개 키(A)를 생성하고 전송하는 단계는,
    AP 및 AC 중 하나에서 상기 제1 디피 헬먼 공개 키(A)를 생성하는 단계, 그리고
    AP 및 AC 중 하나로부터 EAPoL-키 프레임과 함께 상기 제1 디피 헬먼 공개 키(A)를 전송하는 단계를 포함하며,
    상기 제2 디피 헬먼 공개 키(B)를 수신하는 단계는, AP 및 AC 중 하나로부터 EAPoL-키 프레임과 함께 상기 제2 디피 헬먼 공개 키(B)를 수신하는 단계를 포함하고,
    상기 세션 키는 PTK(Pairwise Transient Key)인,
    키 생성 방법.
  12. 네트워크로부터 제1 디피 헬먼(Diffie-Hellman) 공개 키(A) 및 네트워크 생성 MAC(Message Authentication Code) 코드를 수신하도록 구성된 수신 유닛,
    네트워크와 상호 인증하고 제1 대칭 키를 생성하도록 구성된 인증 유닛,
    상기 네트워크 생성 MAC 코드를 검사하고, 검사가 통과하면, 제2 디피 헬먼 공개 키(B)를 생성하고, 상기 제1 디피 헬먼 공개 키(A)에 기초한 제2 대칭 키를 생성하도록 구성된 디피 헬먼 절차 유닛,
    상기 제2 디피 헬먼 공개 키(B) 및 UE 생성 MAC을 전송하도록 구성된 전송 유닛 - 상기 UE 생성 MAC은 상기 제1 디피 헬먼 공개 키(A)와 상기 제2 디피 헬먼 공개 키(B)에 따라 계산됨 - , 그리고
    상기 제1 대칭 키 및 상기 제2 대칭 키 모두에 기초하여 세션 키를 생성하도록 구성된 세션 키 생성 유닛
    을 포함하는 키 생성 장치.
  13. 제12항에 있어서,
    상기 세션 키 생성 유닛은,
    상기 제1 대칭 키 및 상기 제2 대칭 키에 대해 XOR(exclusive-or) 연산을 수행하는 것, 또는
    상기 제1 대칭 키와 상기 제2 대칭 키를 연결 스트링으로 연결하고, 상기 연결 스트링을 키 유도 함수 또는 해시(hash) 함수 중 하나에 입력하는 것
    중 하나에 의해 세션 키를 생성하도록 구성된,
    키 생성 장치.
  14. 제12항에 있어서,
    상기 디피 헬먼 절차 유닛은,
    난수(b)를 생성하고,
    (2-1) FFC(Finite Field Cryptography) 그룹 - 상기 FFC 그룹의 경우 B = gb mod p이고, p는 소수이며, g는 순환 그룹(G)의 제네레이터이고, p와 G는 사용자 장비(UE: user equipment) 및 상기 네트워크에 의해 공유됨 -, 또는
    (2-2) ECC(Elliptic Curve Cryptography) 그룹 - 상기 ECC 그룹의 경우 B = bP이고, P는 상기 ECC 그룹의 기준점이며, P는 상기 UE 및 상기 네트워크에 의해 공유됨 -,
    중 하나에 기초하여 상기 제2 디피 헬먼 공개 키(B)를 생성하며,
    상기 FFC 그룹이 사용되는 때 Ab mod p에 기초하여 또는 상기 ECC 그룹이 사용되는 때 bA에 기초하여 상기 제2 대칭 키를 생성하도록 더 구성된,
    키 생성 장치.
  15. 제14항에 있어서,
    상기 전송 유닛은,
    상기 제2 디피 헬먼 공개 키(B),
    상기 UE의 네트워크 인증을 위해 생성된 인증 코드, 그리고
    상기 세션 키, 상기 제1 대칭 키, 및 상기 제2 대칭 키 중 하나
    에 기초하여 MAC를 생성하도록 더 구성된,
    키 생성 장치.
  16. 제15항에 있어서,
    상기 인증 유닛은,
    상기 제1 대칭 키를 PMK(Pairwise Master Key)로서 생성하도록 더 구성되고,
    상기 수신 유닛은,
    EAPoL-키 프레임과 함께 상기 제1 디피 헬먼 공개 키(A)를 수신하도록 더 구성되며,
    상기 세션 키 생성 유닛은,
    PTK(Pairwise Transient Key)를 생성하도록 구성되고,
    상기 전송 유닛은,
    EAPoL-키 프레임과 함께 상기 제2 디피 헬먼 공개 키(B)를 전송하도록 더 구성된,
    키 생성 장치.
  17. 제12항에 있어서,
    상기 인증 유닛은,
    상기 제1 대칭 키를 PMK(Pairwise Master Key)로서 생성하도록 더 구성되고,
    상기 수신 유닛은,
    EAPoL-키 프레임과 함께 상기 제1 디피 헬먼 공개 키(A)를 수신하도록 더 구성되며,
    상기 세션 키 생성 유닛은,
    상기 세션 키를 PTK(Pairwise Transient Key)로서 생성하도록 더 구성된,
    키 생성 장치.
  18. 사용자 장비(UE)와 상호 인증하고 제1 대칭 키를 제공하도록 구성된 인증 유닛,
    제1 디피 헬먼(Diffie-Hellman) 공개 키(A), 및 제2 디피 헬먼 공개 키(B)에 기초한 제2 대칭 키를 생성하도록 구성된 디피 헬먼 절차 유닛,
    상기 UE로부터, 상기 제2 디피 헬먼 공개 키(B) 및 UE 생성 MAC(Message Authentication Code)을 수신하도록 구성된 수신 유닛 - 상기 UE 생성 MAC은 상기 제1 디피 헬먼 공개 키(A)와 상기 제2 디피 헬먼 공개 키(B)에 따라 계산됨 - ,
    상기 제1 디피 헬먼 공개 키(A) 및 네트워크 생성 MAC 코드를 전송하도록 구성된 전송 유닛, 그리고
    상기 제1 대칭 키 및 상기 제2 대칭 키 모두에 기초하여 세션 키를 생성하도록 구성된 세션 키 생성 유닛
    을 포함하는 키 생성 장치.
  19. 제18항에 있어서,
    상기 세션 키 생성 유닛은,
    상기 제1 대칭 키와 상기 제2 대칭 키를 연결 스트링으로 연결하고, 상기 연결 스트링을 키 유도 함수 또는 해시(hash) 함수 중 하나에 입력하는 것에 의해 세션 키를 생성하도록 더 구성된,
    키 생성 장치.
  20. 제18항에 있어서,
    상기 디피 헬먼 절차 유닛은,
    난수(b)를 생성하고,
    FFC(Finite Field Cryptography) 그룹 - 상기 FFC 그룹의 경우 A = ga mod p 이고, p는 소수이며, g는 순환 그룹(G)의 제네레이터이고, p와 G는 네트워크 및 상기 UE에 의해 공유됨 -,
    에 기초하여 상기 제1 디피 헬먼 공개 키(A)를 생성하도록 더 구성된,
    키 생성 장치.
  21. 제20항에 있어서,
    상기 디피 헬먼 절차 유닛은,
    상기 FFC 그룹이 사용되는 때 Ba mod p에 기초하여 제2 대칭 키를 생성하도록 더 구성된,
    키 생성 장치.
  22. 제18항에 있어서,
    상기 전송 유닛은,
    상기 제2 디피 헬먼 공개 키(B),
    상기 UE의 네트워크 인증을 위해 생성된 인증 코드, 그리고
    상기 세션 키, 상기 제1 대칭 키, 및 상기 제2 대칭 키 중 하나
    에 기초하여 상기 네트워크 생성 MAC를 생성하고,
    상기 네트워크 생성 MAC를 상기 수신된 UE 생성 MAC와 비교하며,
    상기 네트워크 생성 MAC와 상기 수신된 UE 생성 MAC가 동일하면, 상기 UE를 성공적으로 인증하고,
    상기 네트워크 생성 MAC와 상기 수신된 UE 생성 MAC가 동일하지 않으면, 상기 UE의 인증을 실패하도록 더 구성된,
    키 생성 장치.
  23. 제18항 또는 제20항에 있어서,
    상기 인증 유닛은,
    상기 제1 대칭 키를 PMK(Pairwise Master Key)로서 제공하도록 더 구성되고,
    상기 전송 유닛은,
    EAPoL-키 프레임과 함께 상기 제1 디피 헬먼 공개 키(A)를 전송하도록 더 구성되며,
    상기 수신 유닛은,
    EAPoL-키 프레임과 함께 상기 제2 디피 헬먼 공개 키(B)를 수신하도록 더 구성되고,
    상기 세션 키 생성 유닛은,
    상기 세션 키를 PTK(Pairwise Transient Key)로서 생성하도록 구성된,
    키 생성 장치.
  24. 삭제
  25. 삭제
  26. 삭제
  27. 삭제
  28. 삭제
  29. 삭제
  30. 삭제
  31. 삭제
  32. 삭제
  33. 삭제
  34. 삭제
  35. 삭제
  36. 삭제
  37. 삭제
KR1020187011810A 2015-11-12 2016-10-28 디피 헬먼(Diffie-Hellman) 절차를 이용한 세션 키 생성 방법 및 시스템 KR102112542B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
SG10201509342W 2015-11-12
SG10201509342WA SG10201509342WA (en) 2015-11-12 2015-11-12 Method and system for session key generation with diffie-hellman procedure
PCT/SG2016/050530 WO2017091145A1 (en) 2015-11-12 2016-10-28 Method and system for session key generation with diffie-hellman procedure

Publications (2)

Publication Number Publication Date
KR20180066899A KR20180066899A (ko) 2018-06-19
KR102112542B1 true KR102112542B1 (ko) 2020-05-19

Family

ID=57249854

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020187011810A KR102112542B1 (ko) 2015-11-12 2016-10-28 디피 헬먼(Diffie-Hellman) 절차를 이용한 세션 키 생성 방법 및 시스템

Country Status (7)

Country Link
US (1) US10931445B2 (ko)
EP (1) EP3350958B1 (ko)
JP (1) JP2018533883A (ko)
KR (1) KR102112542B1 (ko)
CN (1) CN108141355B (ko)
SG (1) SG10201509342WA (ko)
WO (1) WO2017091145A1 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2881632T3 (es) * 2015-02-27 2021-11-30 Ericsson Telefon Ab L M Disposiciones de seguridad en la comunicación entre un dispositivo de comunicación y un dispositivo de red
US11784850B2 (en) * 2017-04-17 2023-10-10 AirVine Scientific, Inc. High-speed wireless multi-path data network
CN107682150B (zh) * 2017-10-27 2020-03-10 武汉大学 一种适用于计算资源非对称领域的共享密钥建立方法
US10637858B2 (en) * 2018-02-23 2020-04-28 T-Mobile Usa, Inc. Key-derivation verification in telecommunications network
US11265699B2 (en) 2018-02-23 2022-03-01 T-Mobile Usa, Inc. Identifier-based access control in mobile networks
US11121871B2 (en) 2018-10-22 2021-09-14 International Business Machines Corporation Secured key exchange for wireless local area network (WLAN) zero configuration
CN109687957A (zh) * 2018-12-26 2019-04-26 无锡泛太科技有限公司 一种基于椭圆双曲线的公钥加密机制的rfid认证方法
CN111404670A (zh) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 一种密钥生成方法、ue及网络设备
CN111404667B (zh) * 2019-01-02 2023-05-09 中国移动通信有限公司研究院 一种密钥生成方法、终端设备及网络设备
CN111404666B (zh) * 2019-01-02 2024-07-05 中国移动通信有限公司研究院 一种密钥生成方法、终端设备及网络设备
KR102449817B1 (ko) * 2019-09-17 2022-09-30 (주)라닉스 확장함수를 이용한 복수의 묵시적 인증서 발급 시스템 및 그 발급 방법
CN113014376B (zh) * 2019-12-21 2022-06-14 浙江宇视科技有限公司 一种用户与服务器之间安全认证的方法
CN113141327B (zh) * 2020-01-02 2023-05-09 中国移动通信有限公司研究院 一种信息处理方法、装置及设备
US20220209949A1 (en) * 2020-12-30 2022-06-30 Psdl Secure communication device and secure communication program
US11372986B1 (en) 2021-01-18 2022-06-28 Axiom Technologies LLC Systems and methods for encrypted content management

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110107101A1 (en) * 2005-10-14 2011-05-05 Juniper Networks, Inc. Password-authenticated asymmetric key exchange

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2255285C (en) * 1998-12-04 2009-10-13 Certicom Corp. Enhanced subscriber authentication protocol
JP2002247047A (ja) * 2000-12-14 2002-08-30 Furukawa Electric Co Ltd:The セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置
KR100599199B1 (ko) * 2003-12-17 2006-07-12 한국전자통신연구원 무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템
CN1697374A (zh) * 2004-05-13 2005-11-16 华为技术有限公司 密钥数据收发方法及其密钥数据分发装置和接收装置
KR100678934B1 (ko) 2004-06-09 2007-02-07 삼성전자주식회사 세션키를 재사용하는 클라이언트와 서버간 보안 통신 방법및 장치
US7464267B2 (en) * 2004-11-01 2008-12-09 Innomedia Pte Ltd. System and method for secure transmission of RTP packets
WO2006084183A1 (en) * 2005-02-04 2006-08-10 Qualcomm Incorporated Secure bootstrapping for wireless communications
KR20120005050A (ko) * 2008-04-07 2012-01-13 인터디지탈 패튼 홀딩스, 인크 보안 세션 키 발생
CN101640886B (zh) 2008-07-29 2012-04-25 上海华为技术有限公司 鉴权方法、重认证方法和通信装置
CN101951590B (zh) * 2010-09-03 2015-07-22 中兴通讯股份有限公司 认证方法、装置及系统
CN101969638B (zh) 2010-09-30 2013-08-14 中国科学院软件研究所 一种移动通信中对imsi进行保护的方法
US8850545B2 (en) * 2011-03-23 2014-09-30 Interdigital Patent Holdings, Inc. Systems and methods for securing network communications
CN102724665B (zh) 2011-03-31 2015-07-22 中国联合网络通信集团有限公司 飞蜂窝型基站的安全认证方法及飞蜂窝型无线通信系统
US8837741B2 (en) 2011-09-12 2014-09-16 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
CN102664725B (zh) 2012-04-26 2015-09-16 成都交大光芒科技股份有限公司 客运专线综合监控系统中时钟同步子系统实现方法
US9075953B2 (en) * 2012-07-31 2015-07-07 At&T Intellectual Property I, L.P. Method and apparatus for providing notification of detected error conditions in a network
ES2881632T3 (es) * 2015-02-27 2021-11-30 Ericsson Telefon Ab L M Disposiciones de seguridad en la comunicación entre un dispositivo de comunicación y un dispositivo de red
US9801055B2 (en) * 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110107101A1 (en) * 2005-10-14 2011-05-05 Juniper Networks, Inc. Password-authenticated asymmetric key exchange

Also Published As

Publication number Publication date
CN108141355B (zh) 2021-05-18
US20180331829A1 (en) 2018-11-15
CN108141355A (zh) 2018-06-08
JP2018533883A (ja) 2018-11-15
WO2017091145A1 (en) 2017-06-01
EP3350958B1 (en) 2020-04-22
SG10201509342WA (en) 2017-06-29
KR20180066899A (ko) 2018-06-19
US10931445B2 (en) 2021-02-23
EP3350958A1 (en) 2018-07-25

Similar Documents

Publication Publication Date Title
KR102112542B1 (ko) 디피 헬먼(Diffie-Hellman) 절차를 이용한 세션 키 생성 방법 및 시스템
JP6492115B2 (ja) 暗号鍵の生成
CN110049492B (zh) 通信方法、核心网网元、终端设备及存储介质
RU2663972C1 (ru) Обеспечение безопасности при связи между устройством связи и сетевым устройством
Alezabi et al. An efficient authentication and key agreement protocol for 4G (LTE) networks
KR102024653B1 (ko) 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템
CN101931955B (zh) 认证方法、装置及系统
CN108880813B (zh) 一种附着流程的实现方法及装置
US11082843B2 (en) Communication method and communications apparatus
JP2011139457A (ja) 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム
WO2009126647A2 (en) Secure session key generation
JP7237200B2 (ja) パラメータ送信方法及び装置
US20230108626A1 (en) Ue challenge to a network before authentication procedure
Nomula et al. Multi-photon tolerant protocols for quantum secure communication in wireless standards
WO2018126750A1 (zh) 一种密钥传递方法及装置
Ertaul et al. Security Evaluation of CDMA2000.

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant