KR20030068473A - 무선 네트워크에서의 보안 개선 방법 및 무선네트워크로의 액세스 제어 장치 - Google Patents

무선 네트워크에서의 보안 개선 방법 및 무선네트워크로의 액세스 제어 장치 Download PDF

Info

Publication number
KR20030068473A
KR20030068473A KR10-2003-0009059A KR20030009059A KR20030068473A KR 20030068473 A KR20030068473 A KR 20030068473A KR 20030009059 A KR20030009059 A KR 20030009059A KR 20030068473 A KR20030068473 A KR 20030068473A
Authority
KR
South Korea
Prior art keywords
key
keys
computer system
period
authentication
Prior art date
Application number
KR10-2003-0009059A
Other languages
English (en)
Other versions
KR100983755B1 (ko
Inventor
코헨더글라스마이클
하트만크리스티안
쟈아지트쿠마르
투민다이
Original Assignee
에이저 시스템즈 인크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에이저 시스템즈 인크 filed Critical 에이저 시스템즈 인크
Publication of KR20030068473A publication Critical patent/KR20030068473A/ko
Application granted granted Critical
Publication of KR100983755B1 publication Critical patent/KR100983755B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/065Continuous authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

무선 네트워크에 대해 키 롤오버 전략을 사용하는 보안 키 분배 기법이 설명된다. 대개 액세스 포인트에 의해 다수의 키가 생성된다. 본 발명은 표준 모드 혼합 모드를 제공한다. 표준 모드에 있어서, 네트워크 상의 각 장치는 자동 키 갱신을 지원한다. 혼합 모드에 있어서, 네트워크 상의 하나 이상의 장치는 고정 키를 필요로한다. 양 모드에 있어서, 사전 결정된 키의 수가 결정되고 무선 네트워크에 액세스하는 클라이언트 장치에 전송한다. 사정 결정된 수는 클라이언트 장치가 무선 네트워크와의 통신 손실 없이 소정의 번호의 인증 주기를 생략할 수 있도록 결정된다. 바람직하게, 액세스 포인트에 의해 사용되는 전송 키는 자동 키 갱신을 지원하는 클라이언트 장에 의해 사용되는 전송키와는 다르다.

Description

무선 네트워크에서의 보안 개선 방법 및 무선 네트워크로의 액세스 제어 장치{SECURITY KEY DISTRIBUTION USING KEY ROLLOVER STRATEGIES FOR WIRELESS NETWORKS}
본 발명은 일반적으로 무선 네트워크에 관한 것으로, 좀 더 구체적으로 무선 네트워크에 대한 키 롤오버 전략(key rollover strategies)을 사용하는 보안 키 분배(security key distribution)에 관한 것이다.
무선 네트워크는 가격이 내려가고 속도가 증가함에 따라 인기가 증가하는 추세다. 사실, 무선 근거리 통신망(WLAN)과 유선 LAN의 가격이 유사할 만큼 가격이 하락하였다.
WLAN에 있어서, 컴퓨터 시스템은 액세스 포인트(AP)를 통해 유선 이더넷 근거리 통신망에 무선으로 연결될 수 있다. AP는 예를 들어 컴퓨터 시스템에 장착되는 카드 또는 독립형 컴퓨터 시스템으로서 구현될 수 있다. 컴퓨터 시스템과 AP 간의 "클리어" 상태에서의 데이터 전송은 도청 및 도난당할 수 있다. "클리어" 데이터 전송은 무선 데이터 패킷의 암호화가 생성되지 않는다는 것을 의미한다. 무선 네트워킹을 보다 안전하게 하기 위한 노력으로, 대부분의 무선 네트워크는 AP와컴퓨터 시스템 간에 전달되는 데이터 패킷에 대한 어떤 유형의 암호화를 지원한다. 예를 들어, WLAN에 대한 IEEE(Institute of Electrical and Electronics Engineers) 802.11 표준은 다수의 무선 네트워크가 구현되는 데이터 전송에 대한 암호화 메카니즘을 제공한다. 802.11 표준 암호화는 WEP(Wired Equivalent Privacy)으로서 알려져 있다. WEP는 암호화 키가 판명되지 않은 경우 암호화가 상당히 안전하다는 것을 의미하는 64 비트 또는 128 비트 암호화 키를 사용한다.
관리자가 모든 AP와 이들 AP에 연결된 모든 컴퓨터 시스템 상에서 키들을 수동으로 변경해야한다는 것이 WEP가 가지고 있는 문제점이다. 이들 키의 수동 변경은 매우 성가시고 혼란스러운 작업일 수 있다. WEP 키가 AP 상에서 변경되고 이 키가 AP에 연결된 컴퓨터 시스템 상에서 갱신되지 않는 동안에는, WEP가 턴온되어 있어도 이들 둘 간에 통신은 존재할 수 없다. WEP 키가 자주 변경되지 않을 경우에는, 어떠한 침입자라도 인터넷 상에서 공개적으로 이용가능한 도구를 사용하여 WEP 키를 판정할 수 있고 데이터를 도용할 수 있다.
새로운 표준, IEEE 802.1x는 AP에 연결된 컴퓨터 시스템에 한 세트의 WEP 키를 송신하는 보안 메카니즘을 AP에 제공함으로써 WEP 키 관리 문제점을 완화시킨다. WEP 키는 자동으로 변경될 수 있으나 AP가 자기 자신의 WEP 키를 변경하는 시간과 AP가 자기 자신에 연결된 마지막 컴퓨터 시스템에 도달하여 컴퓨터 시스템에게 새롭게 변경된 WEP 키를 통보할 수 있는 시간과의 차이(gap)가 존재하기 때문에 여전히 결점이 있다. 컴퓨터 시스템이 자기 자신의 WEP 키를 변경할 때까지, 컴퓨터 시스템과 AP 간에 어떠한 데이터 전송도 존재하지 않을 것이다. 예를 들어, AP에 연결된 컴퓨터가 50개가 존재하고 각 컴퓨터 시스템이 자기 자신의 변경된 WEP 키를 필요로 하는 경우, AP가 자시 자신의 키를 변경하는 시간과 50번째 컴퓨터 시스템이 AP에 의해 변경되는 자기 자신의 키를 가지는 시간 사이에 어떤 시간 간격이 존재할 것이다. 이들 모든 키들을 변경하려면 50번째 컴퓨터 시스템 사용자가 통신 두절을 인식할 만큼 충분히 긴 시간을 소모할 수 있다.
따라서 키들이 갱신되는 동안 또한 높은 보안을 유지하면서 무선 네트워크에서 네트워크 통신을 지속적으로 유지하기 위한 기술이 필요하다.
일반적으로, 본 발명은 무선 네트워크에 대한 키 롤오버 전략을 사용하는 보안 키 분배를 제공한다. 본 발명의 보안 키 분배는 무선 네트워크에 연결된 하나 이상의 컴퓨터 시스템 또는 다른 장치가 타이밍 불일치(timing misalignments)할지라도 원활하고 일정한 통신을 보장한다.
본 발명의 일 측면에서, 대개 액세스 포인트(AP) 또는 다른 제어기에 의해 다수의 키가 생성된다. 이 측면에 있어서, 무선 네트워크 상의 각 컴퓨터 시스템은 자기 자신의 액세스 키가 자동적으로 갱신되도록 하는 메카니즘을 지원한다. 바람직하게, 이 메카니즘은 IEEE 802.1x 메카니즘이지만, 다른 적절한 메카니즘이 사용될 수도 있다. 무선 네트워크에 연결되는 각 컴퓨터 시스템은 초기에는 인증 프로세스를 거치게 될 것이고 주기적인 재-인증이 요구될 것이다. 주어진 컴퓨터 시스템의 인증 또는 재-인증 프로세스 동안, 새로운 키가 그 컴퓨터 시스템에 전달될 것이다. 일반적으로, 이 통신은 또한 사전 결정되고 선택된 수신 및 전송 키를 컴퓨터 시스템에 제공할 것이다. 바람직하게, 컴퓨터 시스템에 의해 사용되는 전송 키는 AP에 의해 사용되는 전송키와는 다를 것이다. 주기적으로, 새로운 키가 생성되고 AP에 의해 유지되는 액세스 키에 부가될 것이다. 새로운 키는 대개 오래된 키를 교체하고, 새로운 전송 키는 새로운 전송 키가 이전 주기동안 AP에 의해 사용되는 전송 키와는 다르게 선택된다. 그러므로, 전송 키 및 키 세트는 주기적으로 롤오버링된다.
본 발명의 또 다른 측면에서, 자기 자신의 액세스 키가 자동적으로 갱신되도록 하는 메카니즘을 지원하지 않는 적어도 하나의 컴퓨터 시스템이 무선 네트워크 상에 존재한다. 즉, 이 컴퓨터 시스템은 컴퓨터 시스템이 보안 통신을 하도록 하기 위해 수동적으로 설정되어야 하는 액세스 키를 갖고 있다. 일반적으로, 이 컴퓨터 시스템은 IEEE 802.1x 표준 또는 다른 적절한 표준을 지원하지 않는다. 수동적으로 활성화되고 제어되는 이 키는 본 명세서에서 고정 키로 지칭된다. 이 컴퓨터 시스템은 고정 키를 사용하여 전송 및 수신을 한다. AP와 같이, 네트워크로의 액세스를 제어하는 장치도 고정 키를 사용하여 고정 키를 갖는 네트워크 상의 컴퓨터 시스템으로부터 정보를 전송 및 수신한다. 본 명세서에서 "혼합 모드(mixed mode)"라고 지칭되는 이러한 상황에서, 다수의 롤링 키가 여전히 생성된다. 키 롤오버 전략은 자기 자신의 액세스키가 자동적으로 설정되도록 할 수 있는 컴퓨터 시스템에 사용된다. 인증 또는 재-인증 동안, 이 전략은 키를 갱신하는 IEEE 802.1x 메카니즘을 지원하는 컴퓨터 시스템에 롤오버 액세스 키를 제공한다. 인증 프로세스 동안, 컴퓨터 시스템에 대한 전송 및 수신 키로서 특정 액세스 키가 마킹될 수 있다. 바람직하게, 컴퓨터 시스템의 전송 키는 AP의 전송 키와는 다를 것이다.
이하에서 보다 자세히 설명하겠지만, 본 발명의 키 롤오버 전략은 다수의 중요 이점을 제공하도록 구성될 수 있다. 예를 들어, 고정 키를 필요로하는 하나 이상의 컴퓨터 시스템을 갖는 네트워크를 제외하고는, 수동 개입이 필요하지 않다. 또한, AP가 타이밍 불일치을 가지고 있더라도, 비교적 심한 시간적 불일치에 대해서도 일정한 통신이 지원될 것이다. 본 발명은 혼합된 무선 네트워크에서 동작할 수 있고, 하나 이상의 컴퓨터 시스템은 고정 키를 요구한다. 롤링 키를 사용하게 되면 키-도용 장치가 키를 도용하기가 매우 어렵거나 불가능하고, 키가 도용되는 경우에도 데이터 손실 양은 최소가 될 것이다. AP가 하나의 키를 사용하여 전송하고 각 컴퓨터 시스템이 또 다른 키를 사용하여 전송하는 경우, 키-도용 장치는 키도용을 거의 할 수 없다.
본 발명의 보다 완전한 이해 및 또 다른 특징 및 장점은 후속하는 상세 설명 및 도면을 참조함으로써 얻어질 것이다.
도 1은 본 발명의 바람직한 실시예에 따라 동작되는 것으로 도시된 예시적인 무선 근거리 통신망(WLAN)의 도면,
도 2a, 2b 및 2c는 본 발명의 바람직한 실시예에 따라, WLAN에 사용되는 고정 키가 존재하지 않는 경우 WLAN에서 키 보안을 롤링하는 예시적인 방법에 대한 3개의 작업도,
도 3은 WLAN에 사용되는 고정 키가 없는 경우의 예시적 키 롤오버 도면,
도 4a, 4b 및 4c는 본 발명의 바람직한 실시예에 따라, WLAN에 사용되는 고정 키가 존재하는 경우 WLAN에서 키 보안을 롤링하는 예시적인 방법에 대한 3개의 작업도,
도 5는 WLAN에 사용되는 고정 키가 존재하는 경우의 예시적 키 롤오버 도면.
도면의 주요 부분에 대한 부호의 설명
110 : 액세스 포인트115 : 프로세서
121 : 인증 프로세스122 : 키 롤오버 프로세스
124 : 고정 키130 : 무선 네트워크 인터페이스
136 : 유선 네트워크140 : 컴퓨터 시스템
150 : 메모리195 : 키 메시지
본 발명의 측면들은 키-도용 장치 또는 다른 청취 장치가 무선 네트워크로부터 데이터를 도용할 수 있는 기회를 감소시키기 위한 키 롤오버 기법을 제공한다. 예시적으로, 본 발명은 두 가지 모드를 지원한다. 본 명세서에서 "독립형 모드"로 지칭되는 제 1 모드에서, 무선 네트워크 상의 각 컴퓨터 시스템은 컴퓨터 시스템에대한 액세스 키가 자동으로 갱신하되록 해주는 메카니즘을 지원한다. 바람직하게, 각 컴퓨터 시스템은 IEEE(Institute for Electronics and Electrical Engineers) 표준 802.1x(2001년 6월)를 지원하고, 그것의 개시 사항은 본 명세서에서 참조로써 합체되며, 인증 메카니즘 및 키 변경 메카니즘을 제공한다. 본 명세서에서 "혼합 모드"라고 지칭되는 제 2 모드에 있어서, 무선 네트워크 상의 컴퓨터들 중 적어도 하나가 수동으로 설정되어야 하는 고정 키를 요구한다. 그러한 컴퓨터 시스템은 일반적으로 IEEE 표준 802.11 하에서 동작하고, 그것의 개시 사항은 본 명세서에서 참조로써 합체된다. 802.11 하에서, 각 컴퓨터 시스템은 WEP(Wired Equivalent Privacy)라고 지칭되는 액세스 키를 가질 수 있으나, 이 키는 수동으로 설정되고 수동으로 변경된다. 본 발명에 따라 동작하는 시스템은 모든 컴퓨터 시스템이 고정 키를 요구하고 자동 키 갱신을 지원하지 않는 무선 네트워크에 사용될 수 있지만, 본 발명의 키 롤오버 기법은 일반적으로 그러한 네트워크에 유용하지 못하다.
"컴퓨터 시스템"이라는 용어는 무선 네트워크에 연결되는 예시적인 장치를 설명하기 위해 사용될 것이지만, 본 발명은 개인용 디지털 보조기(PDAs), 셀룰러 폰, 셋-톱 박스 및 휴대용 컴퓨터 시스템과 같은 무선 네트워크에 연결될 수 어떠한 장치도 포함할 수 있다는 것을 인지해야 한다. 이와 유사하게, "액세스 포인트"라는 용어는 본 명세서에서 무선 네트워크로의 액세스를 제어하는 예시적인 제어기를 설명하기 위해 사용될 것이지만, 무선 네트워크로의 액세스를 제어하는 어떠한 제어기라도 본 발명에 포함된다.
이제 도 1을 참조하면, 무선 근거리 통신망(WLAN)(100)이 도시되어 있다.WLAN(100)은 액세스 포인트(AP)(110) 및 두 개의 컴퓨터 시스템(140 및 170)을 포함한다. AP(110)는 무선 링크(138 및 139)를 통해 컴퓨터 시스템(140) 및 컴퓨터 시스템(170)과 제각기 통신하고, AP(110)는 유선 네트워크(136) 및 디지털 다기능 디스크(DVD)(137)와 상호 작용한다. AP(110)는 메모리(120), 유선 네트워크 인터페이스(135) 및 유선 네트워크 인터페이스(130)와 결합된 프로세서(115)를 포함한다. 메모리(120)는 인증 프로세스(121), 키 롤오버 프로세스(122), 롤오버 키(123), 고정 키(124) 및 인증 주기(125)를 포함한다. 컴퓨터 시스템(140)은 메모리(150) 및 무선 네트워크 인터페이스(160)와 통신하는 중앙 처리 장치(CPU)(145)를 포함한다. 메모리(150)는 인증 프로세스(151), 롤오버 키(153) 및 고정 키(1543)를 포함한다. 끝으로, 컴퓨터 시스템(170)은 메모리(180) 및 무선 네트워크 인터페이스(190)와 통신하는 CPU(175)를 포함한다. 메모리(180)는 인증 프로세스(181) 및 고정 키(184)를 포함한다. "프로세서" 및 "CPU"라는 용어는 상호 교환가능하며 도 1에서 공간을 절약하기 위해 CPU라는 용어가 사용된다는 것을 이해해야 한다.
WLAN(100)은 혼합 모드에서 동작하는 것으로 도시되어 있다. 즉, 컴퓨터 시스템(170)은 고정 키(184)를 사용하여 동작하는 컴퓨터 시스템이다. 이 고정 키(184)는 수동으로 설정되어야 한다. WLAM(100)에 있어서, AP(100)가 고정 키(124)를 갖는 것과 마찬가지로, 컴퓨터 시스템(140)도 고정 키(154)를 포함한다. 이들 고정 키 모두는 동일한 값이어야 하고 고정 키(124 및 184)는 수동으로 설정되어야한다. 컴퓨터 시스템(140)은 AP로부터 자동으로 고정 키(154)를 수신한다.
일반적으로, AP(110)는 키 롤오버 프로세스(122)를 통해 다수의 키를 생성한다. 예시적으로, 키 롤오버 프로세스(122)는 인증 프로세스(121)와는 별도로 도시되어 있지만, 필요한 경우 이들 두 프로세스는 결합될 수도 있다. 또한, 키 롤오버 프로세스(122)는 당업계에 알려진 기법을 이용하여 다수의 소규모 프로세스를 통해 구현될 수 있다. 도 1의 요소는 설명을 간단히 하기 위해 간략화된 구성으로 도시되어 있다. 키 롤오버 프로세스(122)는 하나 이상의 롤오버 키들의 초기 세트를 생성하고, 이것은 일반적으로 AP(110)의 초기화 동안에 이루어진다. AP(110)는 롤오버 키 또는 키들을 롤오버 키(123) 메모리 영역에 저장한다. 컴퓨터 시스템(140)과 같은 컴퓨터 시스템이 AP(110)에 연결되는 경우, AP(110)는 그 컴퓨터 시스템이 무선 네트워크에 액세스되는 것을 인증할 것이다. 표준 802.11 및 802.1x 모두는 어떤 유형의 인증을 제공한다. 표준 802.1x는 예를 들어 인증의 융통성(flexibility)을 허용하는 EAP(Extensible Authentication Protocol)를 제공한다.
컴퓨터 시스템(140)의 인증 동안, AP(110)는 현재의 롤오버 키(123)를 컴퓨터 시스템(140)에 전달한다. 현재의 롤오버 키(123)는 키 메시지를 통해 컴퓨터 시스템(140)에 전달된다. 예시적인 키 메시지(195)가 도 1에 도시되어 있다. 키 메시지(195)는 키 인덱스(196), 키 플래그(197) 및 키(198)를 포함한다. 기본적으로, IEEE 802.1x 프로토콜은 AP(110)로부터 클라이언트 컴퓨터 시스템(140)으로 키 메시지(195)를 허용한다. 이 키 메시지(195)에 있어서, AP(110)는 0 내지 127일 수 있는 키 인덱스(196)와, 키(198)가 전송 키인지 또는 수신 키인지를 컴퓨터 시스템(140)에 알려주는 일 비트의 키 플래그(917)와, 자기 자신의 키 값(198)을 지정한다. 키 값은 일반적으로 암호화된다.
컴퓨터 시스템(140)은 시작시에 또한 "재-인증"이라고 지칭되는 프로세스 동안 주기적으로 컴퓨터 시스템(140)을 인증하는 역할을 하는 자기 자신의 인증 프로세스(151)를 포함한다. AP(110)는 인증 및 재-인증을 제어한다. 일반적으로, 재-인증은 인증 주기(125) 끝에서 AP(110)에 의해 강제된다. 인증 주기(125)는 대개 AP(110)가 새로운 키를 결정하는 때와 컴퓨터 시스템(140)이 재-인증을 필요로하는 때 모두를 결정한다. 인증 주기(125)는 이하에서 보다 자세히 설명된다.
컴퓨터 시스템(140)이 하나의 AP에서 또 다른 AP로 로우밍(roams)하는 경우와 같이, 인증 또는 재-인증은 강제된 재-인증과는 다른 때에 발생할 수 있다는 것을 인식해야 한다. 로우밍 동안, 하나의 AP는 컴퓨터 시스템(140)의 무선 액세스 제어를 또 다른 AP에 이양할 것이다. 인증 및 재-인증 동안, 필요한 경우 유선 네트워크 인터페이스(135)를 통해 액세스된 원격 서버는 AP(110)에 의해 액세스되어 컴퓨터 시스템(140)의 인증을 도울 수 있다. 대안으로, 인증 프로세스(121)는 컴퓨터 시스템(140)을 인증하는 데 필요한 정보를 보유할 수 있다. 일단 컴퓨터 시스템(140)이 롤오버 키 또는 키들(153)을 가지고 있을 경우, 필요한 경우, 그것은 롤오버 키 또는 키들(153) 및 고정 키(154)를 사용하여 AP(110)로 정보를 전송할 수 있고 또한 AP(110)로부터 정보를 수신할 수 있다. 일반적으로, 키를 컴퓨터 시스템(140)에 전달하는 프로세스 동안, AP(110)는 컴퓨터 시스템(140)이 데이터를 전송하기 위해 사용하는 롤오버 키들(153) 중 하나를 선택한다. 바람직하게, 이롤오버 키(153)는 AP(110)에 의해 사용되는 데이터 전송용 롤오버 키(123)와는 다를 것이다. 따라서, AP(110)와 컴퓨터 시스템(140)간의 무선 세션 동안 두 개의 키가 사용될 것이다.
AP(110)는 새로운 키를 주기적으로 생성할 것이고, 잠재적으로 오랜된 키를 새로운 키로 교체할 것이며, 키 롤오버 프로세스(122)를 사용하여 그것의 전송 키를 변경할 것이다. AP(110)는 컴퓨터 시스템(140)이 AP(110)와 함께 재-인증할 것을 주기적으로 요구할 것이다. 재-인증 주기는 일반적으로 관리자 또는 원격 서버에 의해 AP 상에서 설정될 것이다. 일반적으로, AP(110)는 AP(110) 상에서 관리자에 의해 설정된 재-인증 주기를 사용하기 전에 원격 서버로부터의 재-인증 주기를 사용할 것이다. 즉, 원격 서버 상에서 설정된 재-인증 주기가 존재할 경우, AP(110)는 관리자에 의해 AP(110) 상에서 설정된 주기 대신에 이 주기를 사용할 것이다. 재-인증 동안, 컴퓨터 시스템(140)은 새로운 롤오버 키(123)를 수신할 것이고 이들 키를 롤오버 키(153) 메모리 영역에 저장하며 또한 어떤 롤오버 키(153)가 키를 수신하고 전송할 것인가에 대한 통보를 수신할 것이다. 전송 키들 및 키들 그 자신은 주기적으로 롤오버할 것이고, 이는 이하에서 보다 자세히 설명될 것이다.
AP(110)가 컴퓨터 시스템(170)의 인증을 수행하는 경우, 컴퓨터 시스템(170)은 롤오버 키(123)를 수신하지 않을 것이다. 대신, 그것은 고정 키(184)를 사용하여 전송 및 수신한다. WLAN(100)이 혼합 시스템일 경우 즉, 일부 컴퓨터 시스템은 고정 키를 요구하는 반면 일부 컴퓨터 시스템은 인증 키의 갱신을 허용하는 경우,키 롤오버 프로세스(122)는 도 4 및 도 5를 참조하여 도시되고 설명되는 방법을 수행할 것이다. 다시 말해, WLAN(100)의 모든 컴퓨터 시스템이 자동적인 키 갱신을 허용하는 경우, 키 롤오버 프로세스(122)는 도 2 및 도 3을 참조하여 도시되고 설명된 방법을 수행할 것이다. 이 방법들은 별개이지만, 이것은 단지 설명을 위한 것이다. 일반적으로, 키 롤오버 프로세스(122)는 네트워크 AP(110) 제어 유형에 따라, 두 가지 방법을 수행할 수 있을 것이지만, 일반적으로 제어되는 특정 네트워크에 대한 한가지 방법만이 선택될 것이다.
당업계에 잘 알려진 바와 같이, 본 명세서에서 설명된 방법 및 장치는 자기 자신에서 구현된 컴퓨터 시스템-판독가능 코드 수단을 구비한 컴퓨터 시스템-판독가능 매체를 포함하는 제품(an atricle of manufacture)으로서 배포될 수 있다. AP(110) 또는 컴퓨터 시스템(140 및 170)과 같은 컴퓨터 시스템에 관련하여, 컴퓨터 시스템-판독가능 코드 수단은 본 명세서에서 설명한 방법을 수행하거나 장치를 생성하기 위해 모든 단계 또는 몇몇 단계를 수행한다. 컴퓨터 시스템-판독가능 매체는 기록가능 매체(예로, 플로피 디스크, 하드 드라이브, 메모리 카드 또는 DVD(137)와 같은 콤팩트 디스크)일 수 있고 또는 전송 매체(예로, 섬유-광학, 월드 와이드 웹, 케이블을 포함하는 네트워크, 또는 시분할 다중 액세스, 코드분할 다중 액세스를 사용하는 무선 채널 또는 다른 라디오-주파수 채널)일 수 있다. 컴퓨터 시스템에 이용되기에 적절한 정보를 저장할 수 있는 것으로 알려지고 개발된 임의의 매체가 사용될 수 있다. 컴퓨터 시스템-판독가능 코드 수단은 자기 매체 상의 자기 변이 또는 DVD(137)과 같은 콤팩트 디스크의 표면 상의 높이 변이와 같이, 컴퓨터 시스템이 인스트럭션 및 데이터를 판독하도록 해주는 임의의 메카니즘이다.
메모리(120, 150 및 180)는 본 명세서에 개시된 방법, 단계 및 기능을 구현하도록 그들의 제각기의 프로세서(115, 145 및 175)를 구성한다. 이들 각각의 메모리는 분산되거나 또는 로컬일 수 있고 각 프로세서는 분산되거나 또는 단일일 수 있다. 각 메모리는 전기적, 자기적 또는 광학적 메모리 또는 이들의 임의의 조합 또는 기타 다른 유형의 저장 장치로서 구현될 수 있다. 또한, "메모리"라는 용어는 프로세서에 의해 액세스되는 어드레싱가능(addressable) 공간의 어드레스로부터 판독 또는 어드레스로의 기록이 가능한 임의의 정보를 포함하도록 충분히 폭넓게 이해되어야 한다. 이 정의에 있어서, 네트워크(예로, 무선 네트워크(136) 또는 무선 네트워크) 상의 정보는 메모리(120)와 같은 메모리에 여전히 존재하는데, 그 이유는 프로세서(115)와 같은 프로세서가 네트워크로부터 그 정보를 검색할 수 있기 때문이다. 분산된 프로세서를 구성하는 각 분산 프로세서는 일반적으로 자기 자신의 어드레스싱가능 메모리 공간을 포함한다는 것을 인지해야 한다. AP(110) 또는 컴퓨터 시스템(140 및 170)의 일부 또는 전부는 ASIC(Application-Specific Integrated Circuit) 또는 범용 집적 회로에 통합될 수 있다는 것을 인지해야 한다. 특히, AP(110)의 임의의 부분은 당업자에게 알려진 기술을 통해 집적 회로로 만들어질 수 있다. 예를 들어, 인증 프로세스(121)는 회로의 기능 블록으로서 역할을 하는 집적 회로 상의 장치일 수 있다. 키 롤오버 프로세스(122)는 또한 동일한 집적 회로의 일부분을 구성할 수 있고 기능 블록의 일부분을 구성할 수 있으며 또는 자기 자신의 기능 블록과 마찬가지로 별개로 존재할 수 있다.
이제 도 2a, 2b 및 2c를 포함하는 도 2를 참조하면, 본 발명의 바람직한 실시예에 따라, WLAN에 사용되는 고정 키가 존재하지 않는 경우 WLAN 의 키 보안을 롤링하는 예시적인 방법이 도시되어 있다. 이 방법은 AP, 스위치 또는 무선 네트워크로의 액세스를 제어하는 다른 장치에 의해 사용된다. 이 방법은 독립적으로 동작하는 3개의 작업으로 나뉘어 진다. 제 1 작업은 도 2a에 도시되어 있고 이 작업은 본 명세서에서 관리 작업으로서 지칭될 것이다. 제 2 작업은 도 2b에 도시되어 있고, 이 작업은 본 명세서에서 재-인증 작업으로서 지칭될 것이다. 일반적으로, 그러한 하나의 재-인증 작업은 무선 네트워크에 연결된 각 컴퓨터 시스템에 대해 수행될 것이다. 제 3 작업은 키 변경 작업을 예시하는 도 2c에 도시되어 있다.
도 2a에 도시된 관리 작업에 있어서, 인증 주기는 무선 네트워크로의 액세스를 제어하는 AP와 같은 장치 상에서 설정된다. 이 주기는 일반적으로 관리자에 의해 설정되고 AP 또는 원격 서버로의 소프트웨어 액세스를 통해 설정될 수 있다. 도 2b 및 도 2c의 방법에 있어서, AP 또는 다른 장치는 이 주기를 로딩할 것이다. 이 주기는 일분 만큼 짧거나 하루 이상만큼 더 길 수도 있다. 보다 짧은 주기는 데이터 도난의 기회를 감소시키지만 또한 네트워크 트래픽을 증가시킨다. 인증 주기는 AP 또는 다른 장치가 얼마나 자주 롤오버 키를 갱신하는가와 각 클라이언트 컴퓨터 시스템이 얼마나 자주 재-인증을 수행하여야 하는가를 제어한다.
도 2b는 예시적인 재-인증 작업을 도시한다. 무선 네트워크에 연결된 장치 당 대개 하나의 작업이 존재할 것이다. 즉, 컴퓨터 시스템이 초기에 무선 네트워크에 연결되는 경우, 도 2의 재-인증 작업이 수행되고 컴퓨터 시스템이 적절히 재-인증을 하지 않는 때까지 계속 수행될 것이다.
단계(215)에서, 현재의 인증 주기가 로딩된다. 앞서 설명하였듯이 일반적으로 AP 또는 다른 액세스 제어 장치는 먼저 원격 서버로부터 인증 주기를 로딩함으로써 자기 자신의 인증 주기를 로딩할 것이다. 원격 서버 상의 인증 주기는 대개 관리자에 의해 설정된다. 원격 서버 상의 인증 주기는 일반적으로 장치 상에서 관리자에 의해 설정된 인증 주기 보다 우선적으로 사용될 것이다. 원격 서버 상에 인증 주기가 존재하지 않을 경우, 단계(210)에서, 장치 상의 인증 주기가 로딩될 것이다.
단계(220)에서, 컴퓨터 시스템의 재인증이 필요한지가 결정된다. 도 2에 개시된 방법에 의해 지원되는 컴퓨터 시스템은 고정 키를 요구하지 않기 때문에, 이들 컴퓨터 시스템에 대한 인증 단계는 설명되지 않을 것이라는 것을 인지해야 한다. 단계(210)에서 관리자에 의해 설정되고 단계(215)에서 AP에 의해 로딩된 바와 같이 AP는 사전 결정된 주기 동안 각 컴퓨터 시스템을 재-인증할 것이다. 클라이언트 컴퓨터 시스템이 인증을 필요로하는 경우(단계(220)=예), 클라이언트 컴퓨터 시스템은 인증될 것이고(도시되어 있지 않음) 현재의 롤오버 키는 클라이언트에 전달될 것이다(단계(225)). 또한, 클라이언트 컴퓨터 시스템의 전송 키는 어느 키가 전송 키로서 사용되는지를 통신함으로써 단계(230)에서 설정될 것이다. 이 통신은 도 1을 참조하여 설명된 바와 같은 키 메시지의 키 플래그를 사용하여 IEEE 802.1x 표준 하에서 수행될 수 있다. 바람직하게 AP와 같이 도 2에 도시된 방법을 수행하는 장치는 클라이언트 컴퓨터 시스템에 의해 사용되는 것과는 상이한 전송 키를 사용할 것이다.
인증이 필요하지 않을 경우(단계(220)= 아니오), 방법은 단계(220)로 되돌아간다. 단계(225 및 230)가 수행될 경우, 이 루프는 인증 기간이 경과할 때까지 카운트다운을 한다. 대개, 카운트다운은 타이머를 설정하고 타이머가 중단되는 경우 인터럽트 루틴을 수행함으로써 수행된다. 그러나, 당업자에 잘 알려진 바와 같이, 카운트다운을 수행하는 다양한 메카니즘이 존재한다.
도 2c는 키 변경 작업을 도시한다. 이 작업에 있어서, 롤오버 키가 생성되고 주기적으로 수정된다. 이 방법은 롤오버 키의 초기 세트가 생성되는 단계(240)에서 시작한다. 도 3을 참조하여 보다 구체적으로 설명하는 바와 같이, 적어도 세 개의 롤오버 키를 생성하는 것이 유익하다. 최악의 경우에 있어서, 컴퓨터 시스템에 대한 재-인증은 전체 재-인증 주기에 대해 수행되지 않을 것이다. 세 개의 키를 구비하게 되면 이 재-인증을 놓치게 되더라도, 자기 자신의 재-인증 시기를 놓친 컴퓨터 시스템과 네트워크 간의 통신을 제공한다. 다소의 키가 사용될 수 있으나, 보다 많은 키의 길어진 인증 시간을 갖게되면 최소한의 이득이 제공되고, 보다 적은 키를 갖게되면 클라이언트 컴퓨터가 네트워크에 접속할 수 있는 가능성이 증가할 것이라는 것을 의미한다. 후자의 경우에 있어서, AP에 측정된 바와 같이, 재-인증 기간 동안 재인증을 놓친 최악의 경우에 있어서, 재인증의 시기를 놓친 컴퓨터 시스템은 네트워크와 통신할 수 없을 것이다. 이것은 이하에서 부가적인 상세한 설명에서 설명된다.
단계(245)에서, 인증 주기가 로딩된다. 단계(250)는 인증 기간이 경과할 때까지 카운트다운을 수행한다. 따라서, 롤오버 키를 변경할 시간이 아닐 경우(단계(250)=아니오), 롤오버 키를 변경할 시간일 때까지 이 방법은 단계(250)로 복귀함으로써 카운트다운을 지속한다. 롤오버 키를 변경할 시간일 경우(단계(250)=예), 단계(255)에서 새로운 키가 생성된다. 단계(260)에서 전송 키에 대한 인덱스가 증가한다. 각 액세스 키는 인덱스를 가지고 있다. 롤오버 키 세트는 최대 수가 초과하는 경우 인덱스가 롤오버하도록 설정된다. 예를 들어, 인덱스 일, 이 및 삼을 사용하는 세 개의 키가 존재하고 현재의 전송키가 인덱스 삼으로 설정되는 경우, 단계(260)가 수행되는 경우, 전송 키에 대한 인덱스는 가장 낮은 인덱스로 설정된다. 일반적으로, 가장 낮은 인덱스는 일 또는 영이다. 전송 키의 롤오버는 도 3을 참조하여 보다 자세히 설명된다.
단계(265)에서, 새로운 키의 인덱스는 가장 오래된 키의 인덱스로 설정된다. 처음에, 다수의 키가 생성된다. 새로운 액세스 키가 이들 오래된 키를 교체할 때까지, 단계(265)는 그 키를 가장 낮은 인덱스, 예를 들어 모든 초기 키들이 대체될 때까지 새롭게 생성된 키들로 대체한다. 이것은 도 3을 참조하여 보다 자세히 설명된다.
도 2a, 2b 및 2c의 방법 모두는 동시에 일어난다. 따라서, 단계(210)에서, 도 2b 및 2c의 방법이 수행되는 동안 관리자는 인증 주기를 변경시킬 수 있다. 새로운 인증 주기는 단계(215 및 245)에 로딩될 것이다.
도 3은 WLAN에서 고정 키가 사용되는 않는 경우의 예시적인 키 롤오버도이다. 도 3은 세 개의 시간 라인을 도시하는데, 그것은 AP에 대한 제 1 시간 라인,제 1 개인용 컴퓨터 시스템(PC1)에 대한 제 2 시간 라인 및 제 2 개인용 컴퓨터 시스템(PC2)에 대한 제 3 시간 라인이다. 컴퓨터 시스템(PC1)은 일반적인 패턴의 인증 및 재인증을 따르는 컴퓨터 시스템을 도시한다. 또 다른 한편, 컴퓨터 시스템(PC2)은 이하에서 보다 자세히 되겠지만 최악의 경우를 예시한다.
시간 T0에 앞서, AP는 시작되고 그것은 도 2의 방법을 수행하기 시작한다. 시간 T0에서, AP는 예시적으로 세 개의 키(310), A,B,C를 생성한다. 각 키(310)는 인덱스(320) 1,2 또는 3이 주어진다. 기본 값이 AP에 의해 선택될 수도 있지만, 이 주기(330)는 관리자에 의해 설정된다. 주기(330)는 무선 네트워크에 접속된 각 컴퓨터 시스템이 재-인증을 할 때까지의 주기이다. 또한, 주기(330)는 AP가 새로운 키를 생성할 때까지의 주기이다.
예시적으로, AP는 키 A를 전송 키로서 선택한다. 이 키를 선택하기 위해, 인덱스(320) 1이 사용된다. 시간(T1)에서, AP는 새로운 키, D를 생성하고, 이 새로운 키는 전송 키 A를 교체한다. 인덱스 2를 선택함으로써 키 B는 이제 전송 키로 생성된다. 시간(T2)에서, AP는 또 다른 키(310), 키 E를 생성한다. 이 키는 키 B를 교체하고, 키(310) C는 인덱스(320) 3에서 전송 키로 생성된다. 시간(T3)에서, AP는 키(310) C를 교체하는 새로운 키(310) F를 생성한다. 전송 키는 이제 키(310) D이고 인덱스(320) 1이다. 그러므로, 이 시스템에 있어서, 전송 키는 인덱스를 통해 롤링하고, 새롭게 생성된 키는 오래된 키를 교체한다. 이 교체는 인덱스들이 보다 오래된 키를 교체하는 데 사용되고, 보다 오래된 키를 교체하는 데 사용된 이 인덱스들은 인덱스가 재설정되는 최대 인덱스까지 증가되는 방식으로 롤링한다. 매 사전 결정된 수의 주기들(every predetermined numberof time periods) 마다, AP는 자기 자신의 키 세트를 완전히 교체할 것이다.
주기(330)동안, AP는 자기 자신의 키(310) 세트를 인증 또는 재-인증되는 임의의 컴퓨터 시스템에 전달 할 것이다. 예를 들어, 컴퓨터 시스템(PC1)은 TO과 T1 사이의 주기(330) 동안 인증을 거친다. 따라서, 그것의 키(340)는 AP의 키(310)와 동일하다. AP는 또한 PC1에 대해 어떤 키(340)가 전송 키로서 사용될지를 PC1에 전달한다. 바람직하게, PC1 및 AP에 대한 키 세트가 동일할지라도, 컴퓨터 시스템(PC1)이 사용하는 전송 키는 AP에 의해 사용되는 전송 키와는 다르다. 이 예에 있어서, AP는 PC1에 대해 인덱스(360) 3인 키(350) C가 전송 키로서 사용될 것이라는 것을 PC1에 전달한다. 이 방식에 있어서, AP는 하나의 키로 전송하고, PC1은 또 다른 키로 전송한다. 이것은 키 도용 장치가 키를 도용하는 것을 보다 어렵게 만든다.
컴퓨터 시스템(PC1)에 대한 시간라인은 컴퓨터 시스템(PC1)이 매 주기(330)마다 재-인증되는 것을 의미하는 일반적인 재-인증 시간라인을 예시한다. 예를 들어, 주기(330)가 1시간일 경우, 컴퓨터 시스템(PC1)은 각 시간마다 재-인증될 것이고, 이 재-인증은 거의 동일한 시간에서 매 시간마다 발생할 것이다. 따라서, 각 주기(330) 동안, 컴퓨터 시스템(PC1)은 AP와 동일한 키를 갖는다.
AP 및 컴퓨터 시스템(PC1 및 PC2)은 수신된 데이터를 디코딩하기 위해 임의의 그들의 키를 사용할 수 있다는 것을 인식해야한다. 즉, T0에서 T1 사이의 주기(330) 동안, AP가 전송 키(310) A, B 또는 C를 사용하여 전송하는 경우, 컴퓨터 시스템(PC1)은 수신된 데이터를 여전히 디코딩할 수 있을 것이다.
후자의 경우는 컴퓨터 시스템(PC2)에 있어서 특히 중요하다. 컴퓨터 시스템(PC2)은 시간 불일치가 발생하는 최악의 경우이다. 예를 들어, 시간T0과 시간 T1 사이의 주기(330) 동안 AP는 컴퓨터 시스템(PC2)의 초기 인증을 수행한다. 그러나, 정상(normal)인 경우 그러하듯 시간 T1과 시간 T2 사이의 주기(330) 동안 재-인증하는 대신, AP는 시간 T0와 T1 사이의 주기(330) 동안 컴퓨터 시스템(PC2)을 또 다시 부정확하게 재-인증을 하게 된다. AP는 이 컴퓨터 시스템(PC2)의 재-인증에 영향을 주는 타이밍 에러를 갖는다. 컴퓨터 시스템(PC2)에 대한 다음 차례의 재-인증은 시간 T2와 T3 사이의 주기(330)까지 존재하지 않는다. 이들 타이밍 불일치가 가장 큰 영향을 가지는 경우는 주기(380) 동안이다. 주기(380) 동안, 컴퓨터 시스템(PC2)은 키(360) A, B 및 C와 인덱스(370) 3으로 선택된 전송 키 C를 사용한다. 주기(380) 동안, AP는 키(310) D, E 및 C를 사용한다. 그러므로, AP 및 컴퓨터 시스템(PC2)에 대해 동일한 키는 하나만 존재한다. 그러나, 키들의 번호 및 회전으로 인해 본 발명의 시스템은 컴퓨터 시스템(PC2)과 AP 간의 일정한 통신을 하게 해준다. 컴퓨터 시스템(PC2)은 여전히 AP와 통신할 수 있는데 그 이유는 AP가 키(310) C를 이용해 전송하고 PC2가 키(360) C를 포함하고 있기 때문에 컴퓨터 시스템(PC2)이 AP로부터 메시지를 디코딩할 수 있기 때문이다.
그러므로, 주기(330) 동안 하나의 놓친 재-인증을 야기하는 타이밍 불일치가 존재할지라도, 본 발명의 방법은 여전히 재-인증을 놓치는 컴퓨터 시스템과 AP간의 통신을 제공한다. 훨씬 큰 타이밍 불일치를 허용하기 위해서는 부가적인 키가 사용될 수 있다. 예를 들어, 본 발명의 키 롤오버 기법에 네 개의 키가 사용될 수 있다. 그러나, 컴퓨터 시스템(PS2)의 시간라인은 무선 네트워크에 존재하는 대다수의 컴퓨터 시스템에 대해 최악의 경우일 수 있다. AP가 둘 이상의 놓친 재-인증을 야기할 경우, 일반적으로 AP에는 어떤 유형의 소프트웨어 또는 하드웨어 문제가 존재한다.
도 4a, 4b 및 4c는 본 발명의 바람직한 실시예에 따라, WLAN에 사용되는 고정키가 존재하지 않는 경우 WLAN에서 키 보안을 롤링하는 예시적인 방법을 예시한다. 이것은 예를 들어 네트워크의 하나 이상의 컴퓨터 시스템이 IEEE 802.1x 표준을 따르지 않을 경우 발생할 수 있다. 이러한 상황에 있어서, 자기 자신의 키를 자동으로 갱신하게 할 수 없는 각 컴퓨터 시스템과 AP는 고정 키로 수동적으로 프로그램될 것이다. 그런 다음 AP는 802.1x 표준을 지원하지 않는 이들 컴퓨터 시스템에 대한 롤링 키 프로세스를 수행할 것이다. 도 2에서와 같이, 이 방법은 3개의 작업으로 분할되는 데, 그것은 도 4a에 도시된 관리 작업, 도 4b에 도시된 재-인증 작업 및 도 4c에 도시된 키 변경 작업이다. 이들 작업은 독립적으로 그리고 동시에 동작할 수 있다. 이 방법에 있어서 다수의 단계는 이미 도 2를 참조하여 설명되었다.
도 4a는 관리 작업을 도시한다. 단계(210)에서, 인증 주기는 AP 또는 원격 서버 상에서 대개 관리자에 의해 설정된다. 단계(410)에서, 고정 키가 설정된다. 일반적으로, 고정 키는 AP 및 AP에 연결되는 임의의 컴퓨터 시스템에 대해서 설정된다. 고정 키는 대개 관리자에 의해 수동으로 설정된다. 802.1x 표준을 지원하지 않는 컴퓨터 시스템은 일반적으로 관리자에 의해 설정된 고정 키를 가질 것이다. 그러나, 802.1x 표준을 지원하지 않는 이들 컴퓨터 시스템은 AP에 의해 컴퓨터 시스템에 전달된 고정 키를 가질 수 있다.
도 4b는 컴퓨터 시스템에 재-인증되도록 강제되는 재-인증 프로세스를 예시한다. 단계(215)에서, 단계(210)에서 설정된 가장 최근의 인증 주기가 로딩된다. 도 2에서와 같이, 단계(220)는 인증 주기가 경과할 때까지 카운트 다운을 한다. 따라서, 인증 주기가 만료되지 않은 경우(단계(220)=아니오), 카운트다운은 단계(220)를 통해 루핑함으로써 지속된다. 인증 주기가 만료되었을 경우(단계(220)=예), 현재의 롤오버 키는 컴퓨터 시스템에 전달된다(단계(225)). 단계(230)에서, 롤오버 키들 중 하나가 컴퓨터 시스템 상에서 컴퓨터 시스템에 대한 전송 키로서 설정된다. 바람직하게, AP는 컴퓨터 시스템에 관해 선택된 전송 키와는 다른 전송 키를 사용할 것이다. 자동 키 갱신을 지원하지 않는 컴퓨터 시스템은 전송 및 수신용의 하나의 고정 키를 가질 것이라는 것을 유의하길 바란다.
도 4c는 AP 또는 무선 네트워크로의 액세스를 제어하는 장치에 대한 키를 변경하는 키 변경 작업을 예시한다. 단계(415)에서, 한 세트의 롤오버 키가 생성된다. 단계(415)에서 롤오버 키가 생성되는 경우, 일반적으로 하나의 롤오버 키만 초기에 생성된다. 둘 이상의 키가 생성될지라도, 각 컴퓨터 시스템은 고정 키가 주어지거나 또는 고정 키를 수동으로 설정하였을 것이다. 그러므로, 각 컴퓨터 시스템은 이미 하나의 키를 가지고 있다. 하나의 새로운 키를 생성함으로써, 802.1x 표준을 지원하는 컴퓨터 시스템은 전송하기 위해 AP에 의해 사용되기 시작하는 것과는 다른 키 상에서 전송할 수 있다. AP는 항상 고정 키로 전송하고, 각 컴퓨터 시스템은 그것이 전송할 때 사용할 키를 하나만 필요로 하기 때문에, 각 전송 유닛에 대한 부가적인 키는 유익하지 않을 것이다. 부가적인 키는 타이밍 불일치에는 유익하지만, 각 컴퓨터 시스템이 초기에 AP와 동일한 키를 가지기 때문에, 타이밍 불일치는 주기의 맨 처음에는 영향을 미치지 않지만, 부가적인 주기에는 영향을 미칠 것이다. 따라서, 단계(415)에서 다수의 키 대신에 하나의 키를 생성하는 것이 유익하다.
단계(245)에서, 인증 주기가 로딩된다. 단계(250)에서, 롤오버 키를 변경할 시간인지가 결정된다. 단계(250)는 인증 주기가 만료될 때까지 카운트다운을 한다. 롤오버 키를 변경할 시간일 경우(단계(250)=예), 단계(255)에서 새로운 키가 생성된다. 단계(420)에서, 키들의 롤오버가 수행되도록 충분한 키가 존재하는지가 판정된다. AP에 연결된 각 컴퓨터 시스템이 고정 키를 가지고 있기 때문에, 초기에 모든 컴퓨터 시스템은 고정 키로 시작할 것이다. 새로운 키기 생성되는 경우, 그들은 초기에 고정키만을 포함하는 한 세트의 키들에 부가된다. 시간이 지나갈수록, 사전 결정된 수의 키가 생성될 때까지 새로운 키가 생성되고 새로운 인덱스가 부여된다. 일단 사전 결정된 수의 키가 생성된 경우, 그 키들은 롤오버하기 시작하고, 그로 인해 새롭게 생성된 키들은 오래된 키를 교체할 것이다.
롤오버가 수행되는 경우(단계(420)=예), 새로운 키의 인덱스는 가장 오래된 키의 인덱스로 설정된다(단계(250)). 이 단계는 가장 오래된 키 또는 키들을 덮어쓰기 한다. 롤오버가 수행되지 않는 경우(단계(420)=아니오), 새로운 키의 인덱스는 다음 차례의 인덱스로 설정된다(단계(430)). 예를 들어, 인덱스 영을 가진 하나의 키가 존재할 경우, 새로운 키는 인덱스 일을 가질 것이다.
도 2의 방법에서와 같이, 도 4a, 4b 및 4c에 도시된 방법은 동시에 동작한다.
이제 도 5를 참조하면, WLAN에 고정 키가 사용되는 경우에 대한 예시적인 키 롤오버도가 도시되어 있다. 도 3과 유사하게, 도 5는 세 개의 시간 라인을 예시하는데, AP에 대한 제 1 시간 라인, 제 1 개인용 컴퓨터 시스템(PC1)에 대한 제 2 시간 라인 및 제 2 개인용 컴퓨터 시스템(PC2)에 대한 제 3 시간 라인이다. 컴퓨터 시스템(PC1)은 일반적이 패턴의 인증 및 재-인증을 따르는 컴퓨터 시스템을 예시한다. 또 다른 한편, 컴퓨터 시스템(PC2)은 이하에서 보다 자세히 설명되겠지만 최악의 경우를 예시한다.
시간 T0에 앞서, AP는 시작되고 그것은 도 4의 방법을 수행하기 시작한다. 시간 T0에서, AP는 예시적으로 하나의 키(510), A를 생성한다. 이 키(510)는 인덱스(520) 1이 주어진다. 고정 키(도 5에서 "FIX"로 도시됨)는 인덱스(520) 0이 주어진다. 기본 값이 AP에 의해 선택될 수도 있지만, 이 주기(530)는 관리자에 의해 설정된다. 앞에서와 같이, 주기(530)는 무선 네트워크에 접속된 각 컴퓨터 시스템이 재-인증을 할 때까지의 주기이다. 또한, 주기(530)는 AP가 새로운 키를 생성할 때까지의 주기이다.
전송 키가 고정 키로 할당되기 때문에, 새롭게 생성된 키(510), A는 인덱스(520) 1이 주어지고, 이 새롭게 생성된 키는 수신 키로서 선택된다. 시간T1에서, AP는 새로운 키(510), B를 생성하고, 이 새로운 키는 인덱스(520) 2로 주어지고 수신 키이다. 시간 T2에서, AP는 또 다른 키(510), C를 생성한다. 이 키는 인덱스(520) 3이 주어지고 역시 수신 키이다. 이 점에서 최대 번호의 키에 도달한다. 시간 T3에서, AP는 키(510) A를 교체하는 새로운 키(510) D를 생성한다. 이 새로운 키 D는 인덱스 1이 주어진다. 그러므로, 이 시스템에 있어서, 이들 새로운 키는 인덱스를 통해 지속적으로 롤링하고, 일단 사전 결정된 최대 수의 키가 생성되면 새롭게 생성된 키는 오래된 키를 교체한다.
주기(530)동안, AP는 자기 자신의 키(510) 세트를 인증 또는 재-인증을 거치는 임의의 컴퓨터 시스템에 전달할 것이다. 예를 들어, 컴퓨터 시스템(PC1)은 시간 TO과 T1 사이의 주기(330) 동안 인증을 거치게 된다. 따라서, 그것의 키(540)는 AP의 키(510)와 동일하다. AP는 또한 PC1에 대해 어떤 키(540)가 전송 키로서 사용될지를 PC1에 전달한다. 바람직하게, PC1 및 AP에 대한 키 세트가 동일할지라도, 컴퓨터 시스템(PC1)이 사용하는 전송 키는 AP에 의해 사용되는 전송 키와는 다르다. 이 예에 있어서, AP는 PC1에 대해 인덱스(550) 1의 키(540) A가 전송 키로서 사용될 것이라는 것을 PC1에 전달한다. 이 방식에 있어서, AP는 하나의 키로 전송하고, PC1은 또 다른 키로 전송한다.
도 3을 참조하여 설명했듯이, 컴퓨터 시스템(PC1)에 대한 시간라인은 컴퓨터 시스템(PC1)이 매 주기(530)마다 재-인증되는 것을 의미하는 일반적인 인증/재-인증 시간라인을 예시한다. 예를 들어, 주기(530)가 1시간일 경우, 컴퓨터 시스템(PC1)은 각 시간마다 재-인증될 것이다. 따라서, 각 주기(530) 동안, 컴퓨터 시스템(PC1)은 AP와 동일한 키를 갖는다.
컴퓨터 시스템(PC2)은 AP의 타이밍으로 인해 시간 불일치가 발생하는 최악의 경우이다. 예를 들어, 시간 T0과 시간 T1 사이의 주기(530)인 초기 인증 동안 AP는 컴퓨터 시스템(PC2)을 인증한다. 그러나, 정상(normal)인 경우 그러하듯 시간 T1과 시간 T2 사이의 주기(530) 동안 재-인증하는 대신, AP는 재-인증을 부정확하게 타이밍하고 시간 T0와 T1 사이의 주기(330) 동안 컴퓨터 시스템(PC2)이 또 다시 재-인증을 하게 한다. 컴퓨터 시스템(PC2)에 대한 다음 차례의 재-인증은 시간 T2와 T3 사이의 주기(330)까지는 존재하지 않는다. 이것은 또한 AP의 실패이다. 그러므로, 컴퓨터 시스템(PC2)은 이르게(early) 재-인증을 거치고 AP는 T1과 T2 사이의 주기(530) 동안 컴퓨터 시스템(PC2)에 대한 재-인증을 부정확하게 놓치게 됐다.
주기(580) 동안, 컴퓨터 시스템(PC2)은 인덱스(570) 1에 의해 선택된 키(560) A를 전송용으로 사용한다. 주기(580) 동안, AP는 키(310) A, B 및 C를 사용한다. 그러므로, AP 및 컴퓨터 시스템(PC2)에 대해 동일한 키는 하나만 존재한다. 그러나, 키들의 번호 및 회전으로 인해 본 발명의 시스템은 컴퓨터 시스템(PC2)과 AP 간의 일정한 통신을 허용한다. 컴퓨터 시스템(PC2)은 여전히 AP와 통신할 수 있는데 그 이유는 AP가 키(560) A를 이용해 전송하고 AP가 키(510) A를 수신 키로서 포함하기 때문에 AP는 PC2로부터의 메시지를 디코딩할 수 있기 때문이다.
그러므로, 주기(530) 동안 하나 이상의 컴퓨터 시스템이 재-인증을 놓치게 되더라도, 본 발명의 방법은 재-인증을 하지 않는 컴퓨터 시스템과 AP간의 통신을여전히 제공한다. 앞에서 설명했듯이, 훨씬 큰 타이밍 불일치를 허용하기 위해서는 부가적인 키가 사용될 수도 있다. 예를 들어, 표준 모드에서 본 발명의 키 롤오버 기법에 네 개의 키가 사용될 수 있다. 또한, 혼합 모드에서 두 개의 롤오버 키가 초기에 결정될 수 있고 총 네 개의 롤오버 키가 혼합 모드에서 사용될 수 있다. 표준 모드에서 네 개의 롤오버 키를 사용하거나 또는 혼합 모드에서 두 개의 초기 롤오버 키를 사용하면 컴퓨터 시스템이 두 개의 인증 주기에 대한 재-인증을 놓치게 되도 무방하다. 그러나, 무선 네트워크에 존재하는 대다수의 컴퓨터 시스템에 있어서 최악의 경우는 재-인증을 하나 놓치는 경우 일 것이다. 이 경우에 있어서, 표준 모드에서 세 개의 키를 사용하거나 혼합 모드에서 단일 키를 사용해도 충분할 수 있다.
또한, 도 5의 예에 있어서, 키 롤오버 시간 T가 재-인증 시간(530) 보다 더 길게 보장하는 것이 가능하다. 이것은 이들 두 모두가 AP에 의해 제어되기 때문에 가능하다. 이것은 AP의 제 3 수신 키가 제거되는 것을 허용하는데, 그 이유는 주기(580)가 영을 초과하지 않도록 보장되어야 하기 때문이다.
또한, 주기(580)가 영을 초과하지 않아서 AP가 두 개의 수신 키만으로 획득할 수 있도록 보장할 수 있는 경우, AP 상에 하나의 "자유" 수신 키(세 개의 수신 키가 존재한다고 가정하면)가 존재할 것이고, 이 자유 수신 키는 고정 수신 키일 수 있다. 이 고정 수신 키는 자동 키 갱신을 지원하지 않는 클라이언트 상에 전송 키로서 사용될 수 있고 따라서, 이들 클라이언트에게 상이한 전송 및 수신 키를 제공한다. 그러므로, 키 롤오버 시간이 재 인증 시간(530) 보다 더 길 경우 고정 키를 구비한 클라이언트는 상이한 수신 및 전송 키가 허용될 수 있다.
본 명세서에서 도시되고 설명된 실시예 및 변형들은 단지 본 발명의 원리의 예시일 뿐이고 당업자라면 본 발명의 범주를 벗어나지 않고서 다양한 변경을 구현할 수 있음을 이해해야 한다.
본 발명에 따르면, 본 발명은 무선 네트워크에 대한 키 롤오버 전략을 사용하는 보안 키 분배를 제공하는데, 이 보안 키 분배는 무선 네트워크에 연결된 하나 이상의 컴퓨터 시스템 또는 다른 장치가 타이밍 불일치(timing misalignments)할지라도 원활하고 일정한 통신을 보장할 수 있다.

Claims (10)

  1. 무선 네트워크에서 보안을 개선시키는 방법에 있어서,
    주기(time period)를 결정- 상기 주기는 적어도 하나의 새로운 키가 생성되는 때를 나타냄 -하는 단계와,
    제어기에 다수의 키를 로딩- 상기 수는 상기 무선 네트워크에 접속된 장치가 사전 결정된 수의 상기 주기 동안 재-인증되는 것을 생략할 수 있고 여전히 상기 무선 네트워크 상에서 안전한 방식으로 통신할 수 있도록 설정됨 -하는 단계와,
    상기 키를 제어기로부터 상기 장치로 전달하는 단계를 포함하는
    무선 네트워크에서의 보안 개선 방법.
  2. 제 1 항에 있어서,
    상기 방법은 상기 키들 중 하나를 로컬 전송 키로서 선택하는 단계를 더 포함하고,
    상기 키를 장치에 전달하는 상기 단계는 상기 장치에 대해 전송 키가 될 상기 키들 중 특정 키를 상기 장치에 전달하는 단계를 더 포함하되, 상기 특정 키는 상기 로컬 전송 키와는 다르도록 선택되는
    무선 네트워크에서의 보안 개선 방법.
  3. 제 2 항에 있어서,
    상기 제어기는 혼합 모드(mixed mode)에서 동작하고,
    다수의 키를 로딩하는 상기 단계는 고정 키를 로딩하는 단계와, 적어도 하나의 부가적인 키를 로딩하는 단계를 포함하되, 상기 키 수는 상기 고정 키 및 상기 적어도 하나의 부가적인 키를 포함하고,
    상기 키들 중 하나를 로컬 키로서 선택하는 상기 단계는 상기 고정 키를 상기 로컬 전송 키로서 선택하는 단계를 포함하는
    무선 네트워크에서의 보안 개선 방법.
  4. 제 3 항에 있어서,
    상기 적어도 하나의 부가적인 키는 하나의 키이고 상기 사전결정된 주기의 수는 일인
    무선 네트워크에서의 보안 개선 방법.
  5. 제 1 항에 있어서,
    상기 제어기는 표준 모드에서 동작하고,
    다수의 키를 로딩하는 상기 단계는 적어도 3개의 키를 로딩하는 단계를 포함하고,
    상기 방법은 키들 중 하나를 로컬 키로서 선택하는 단계와, 상기 다른 키들은 로컬 수신 키로서 선택하는 단계를 더 포함하고,
    상기 키를 전달하는 상기 단계는 상기 적어도 세 개의 키를 상기 장치에 전달하는 단계를 포함하는
    무선 네트워크에서의 보안 개선 방법.
  6. 제 5 항에 있어서,
    상기 적어도 세 개의 키들은 세 개의 키이고 상기 주기의 상기 사전 결정된 수는 일인
    무선 네트워크에서의 보안 개선 방법.
  7. 제 1 항에 있어서,
    매 주기마다 적어도 하나의 키를 결정하는 단계와,
    상기 다수의 키가 사전 결정된 키 수에 도달하는 경우 상기 키들 중 하나를 상기 적어도 하나의 새로운 키로 교체하거나, 상기 적어도 하나의 새로운 키를 상기 다수의 키에 부가하는 단계를 더 포함하는
    무선 네트워크에서의 보안 개선 방법.
  8. 제 1 항에 있어서,
    각 주기마다 상기 키들 중 하나를 로컬 전송 키로서 선택하되, 현 주기에 대한 상기 로컬 키는 바로 이전의 주기에 대한 상기 로컬 전송 키와는 다르도록 선택되는 단계를 더 포함하는
    무선 네트워크에서의 보안 개선 방법.
  9. 네트워크에서 보안을 개선시키는 방법에 있어서,
    주기를 로딩- 상기 주기는 적어도 하나의 새로운 키가 생성되는 때를 나타냄 -하는 단계와,
    다수의 키를 로딩하는 단계와,
    상기 키들 중 하나를 로컬 전송 키로서 선택하는 단계와,
    상기 다른 키들은 수신 키로서 선택하는 단계와,
    매 주기마다, (i) 적어도 하나의 새로운 키를 생성하는 단계와, (ii) 상기 적어도 하나의 새로운 키를 사용하여 상기 적어도 하나의 키들, 상기 다수의 키들 중 하나의 키, 상기 적어도 하나의 새로운 키 및 새로운 다수의 키를 포함하되 교체되지 않은 임의의 키들 각각에 대해 교체하는 단계와, (iii) 상기 새로운 다수의 키들 중 하나를 로컬 전송 키로서 선택- 현재 주기에 대한 상기 로컬 전송 키는 바로 이전 주기에 대한 상기 로컬 전송 키와는 다르게 선택됨 -하는 단계를 포함하는
    무선 네트워크에서의 보안 개선 방법.
  10. 무선 네트워크로의 액세스를 제어하는 장치에 있어서,
    컴퓨터-판독가능 코드를 저장하는 메모리와,
    상기 메모리에 동작가능하게 연결된 프로세서- 상기 프로세서는 상기 컴퓨터-판독가능 코드를 구현하도록 구성되고, 상기 컴퓨터-판독가능 코드는 주기- 상기 주기는 적어도 하나의 새로운 키가 생성되는 때를 나타냄 -를 결정하고, 다수의 키- 상기 수는 상기 무선 네트워크에 연결된 장치가 사전 결정된 수의 상기 주기 동안 재-인증되는 것을 생략할 수 있고 여전히 상기 무선 네트워크 상의 안전한 방식으로 통신할 수 있음 -를 로딩하도록 구성됨 -를 포함하는
    무선 네트워크로의 액세스 제어 장치.
KR1020030009059A 2002-02-14 2003-02-13 무선 네트워크에서의 보안 키 분배 방법 및 무선 네트워크로의 액세스 제어 장치 KR100983755B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/077,531 2002-02-14
US10/077,531 US7221764B2 (en) 2002-02-14 2002-02-14 Security key distribution using key rollover strategies for wireless networks

Publications (2)

Publication Number Publication Date
KR20030068473A true KR20030068473A (ko) 2003-08-21
KR100983755B1 KR100983755B1 (ko) 2010-09-24

Family

ID=27622795

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030009059A KR100983755B1 (ko) 2002-02-14 2003-02-13 무선 네트워크에서의 보안 키 분배 방법 및 무선 네트워크로의 액세스 제어 장치

Country Status (5)

Country Link
US (2) US7221764B2 (ko)
EP (1) EP1337087B1 (ko)
JP (2) JP2003304236A (ko)
KR (1) KR100983755B1 (ko)
DE (1) DE60206133T2 (ko)

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004007567A (ja) * 2002-04-17 2004-01-08 Toshiba Corp 通信装置、通信方法及び通信プログラム
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
KR100888471B1 (ko) * 2002-07-05 2009-03-12 삼성전자주식회사 링크 접속권한을 등급화 한 암호화 키 차등분배방법 및이를 이용한 로밍방법
JP4218934B2 (ja) * 2002-08-09 2009-02-04 キヤノン株式会社 ネットワーク構築方法、無線通信システムおよびアクセスポイント装置
US7266201B1 (en) * 2002-09-17 2007-09-04 Foundry Networks, Inc. Non-disruptive authentication administration
KR100479260B1 (ko) * 2002-10-11 2005-03-31 한국전자통신연구원 무선 데이터의 암호 및 복호 방법과 그 장치
JP4475377B2 (ja) * 2002-12-27 2010-06-09 日本電気株式会社 無線通信システム、共通鍵管理サーバ、および無線端末装置
US6891807B2 (en) * 2003-01-13 2005-05-10 America Online, Incorporated Time based wireless access provisioning
US20040187029A1 (en) * 2003-03-21 2004-09-23 Ting David M. T. System and method for data and request filtering
WO2006008695A1 (en) * 2004-07-15 2006-01-26 Koninklijke Philips Electronics N.V. Security system for wireless networks
US20060031873A1 (en) * 2004-08-09 2006-02-09 Comcast Cable Holdings, Llc System and method for reduced hierarchy key management
KR100679016B1 (ko) * 2004-09-14 2007-02-06 삼성전자주식회사 무선 네트워크에서 보안 정보를 설정하는 장치, 시스템 및그 방법
US7734051B2 (en) * 2004-11-30 2010-06-08 Novell, Inc. Key distribution
US7995758B1 (en) * 2004-11-30 2011-08-09 Adobe Systems Incorporated Family of encryption keys
US8099607B2 (en) * 2005-01-18 2012-01-17 Vmware, Inc. Asymmetric crypto-graphy with rolling key security
US20060182283A1 (en) * 2005-02-14 2006-08-17 Tricipher, Inc. Architecture for asymmetric crypto-key storage
US20060182277A1 (en) * 2005-02-14 2006-08-17 Tricipher, Inc. Roaming utilizing an asymmetric key pair
USRE48433E1 (en) 2005-01-27 2021-02-09 The Chamberlain Group, Inc. Method and apparatus to facilitate transmission of an encrypted rolling code
US9148409B2 (en) 2005-06-30 2015-09-29 The Chamberlain Group, Inc. Method and apparatus to facilitate message transmission and reception using different transmission characteristics
US8422667B2 (en) 2005-01-27 2013-04-16 The Chamberlain Group, Inc. Method and apparatus to facilitate transmission of an encrypted rolling code
US8165302B2 (en) * 2005-06-07 2012-04-24 Sony Corporation Key table and authorization table management
US20070025554A1 (en) * 2005-08-01 2007-02-01 Ping-Wen Ong Remote control association methodology
US8059821B1 (en) * 2006-12-27 2011-11-15 Stamps.Com Inc. Method and system for disaster recovery in network systems
US8950001B2 (en) * 2007-08-01 2015-02-03 Avaya Inc. Continual peer authentication
US8646039B2 (en) * 2007-08-01 2014-02-04 Avaya Inc. Automated peer authentication
KR101421241B1 (ko) * 2007-11-16 2014-07-18 삼성전자주식회사 네트워크에서의 보안 시스템 및 방법
US8306958B2 (en) * 2009-09-14 2012-11-06 At&T Intellectual Property I, L.P. Time-outs with time-reversed linear probing
ES2363355B2 (es) * 2010-12-24 2012-11-16 Universidad Politécnica de Madrid Sistema de ralentización de la tasa de transferencia de un dispositivo por método criptográfico.
CN102869012B (zh) * 2011-07-05 2018-11-06 横河电机株式会社 无线局域网接入点设备和系统以及相关方法
CN102892115B (zh) * 2011-07-20 2017-10-24 中兴通讯股份有限公司 Wsn中网关之间通信的方法和发起方网关、目标方网关
WO2013044311A1 (en) * 2011-09-30 2013-04-04 Cocoon Data Holdings Limited A system and method for distributing secured data
US9621530B2 (en) * 2013-06-28 2017-04-11 Qualcomm Incorporated Trust heuristic model for reducing control load in IoT resource access networks
US10305959B2 (en) * 2014-12-11 2019-05-28 At&T Intellectual Property I, L.P. Self-organizing network communication
US10817862B2 (en) 2015-09-01 2020-10-27 Bank Of America Corporation System for authenticating a mobile device for comprehensive access to a facility
US10360560B2 (en) 2015-09-01 2019-07-23 Bank Of America Corporation System for authenticating a wearable device for transaction queuing
US20170061422A1 (en) * 2015-09-01 2017-03-02 Bank Of America Corporation System for authenticating the use of a wearable device to execute a transaction
US10438201B2 (en) 2015-09-09 2019-10-08 Bank Of America Corporation System for generating a transaction specific tokenization for a wearable device
US10185731B2 (en) * 2016-03-31 2019-01-22 Arm Limited Indexing entries of a storage structure shared between multiple threads
KR101900060B1 (ko) * 2016-09-09 2018-09-18 코나아이 (주) 공유기와 연계되어 동작하는 보안요소, 공유기 및 이를 이용한 네트워크 형성 방법
US11126714B2 (en) * 2017-11-29 2021-09-21 Arm Limited Encoding of input to storage circuitry
US10819736B2 (en) * 2017-11-29 2020-10-27 Arm Limited Encoding of input to branch prediction circuitry
US10652743B2 (en) 2017-12-21 2020-05-12 The Chamberlain Group, Inc. Security system for a moveable barrier operator
US10873455B2 (en) 2018-03-15 2020-12-22 Cisco Technology, Inc. Techniques for encryption key rollover synchronization in a network
US11074773B1 (en) 2018-06-27 2021-07-27 The Chamberlain Group, Inc. Network-based control of movable barrier operators for autonomous vehicles
US11423717B2 (en) 2018-08-01 2022-08-23 The Chamberlain Group Llc Movable barrier operator and transmitter pairing over a network
US10997810B2 (en) 2019-05-16 2021-05-04 The Chamberlain Group, Inc. In-vehicle transmitter training
US11805112B2 (en) * 2021-02-08 2023-10-31 Cisco Technology, Inc. Enhanced multi-factor authentication based on physical and logical proximity to trusted devices and users
US11863549B2 (en) 2021-02-08 2024-01-02 Cisco Technology, Inc. Adjusting security policies based on endpoint locations

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2952885B2 (ja) * 1989-04-19 1999-09-27 日本電気株式会社 鍵管理方式
US5241598A (en) * 1991-05-22 1993-08-31 Ericsson Ge Mobile Communications, Inc. Rolling key resynchronization in cellular verification and validation system
US5832086A (en) 1995-09-27 1998-11-03 Motorola, Inc. Method for updating a communication unit parameter in a wireless communication system
US6026165A (en) * 1996-06-20 2000-02-15 Pittway Corporation Secure communications in a wireless system
US5850444A (en) * 1996-09-09 1998-12-15 Telefonaktienbolaget L/M Ericsson (Publ) Method and apparatus for encrypting radio traffic in a telecommunications network
US6185308B1 (en) * 1997-07-07 2001-02-06 Fujitsu Limited Key recovery system
US6195751B1 (en) 1998-01-20 2001-02-27 Sun Microsystems, Inc. Efficient, secure multicasting with minimal knowledge
JP4273535B2 (ja) 1998-05-12 2009-06-03 ソニー株式会社 データ伝送制御方法、データ伝送システム、データ受信装置及びデータ送信装置
US6751729B1 (en) * 1998-07-24 2004-06-15 Spatial Adventures, Inc. Automated operation and security system for virtual private networks
JP4071870B2 (ja) * 1998-08-20 2008-04-02 インターナショナル・ビジネス・マシーンズ・コーポレーション 秘密鍵生成方法
US6442690B1 (en) * 1998-10-23 2002-08-27 L3-Communications Corporation Apparatus and methods for managing key material in heterogeneous cryptographic assets
KR20000050731A (ko) * 1999-01-14 2000-08-05 구자홍 이동통신 시스템의 암호키이 업데이트 방법
US6453159B1 (en) * 1999-02-25 2002-09-17 Telxon Corporation Multi-level encryption system for wireless network
JP3570311B2 (ja) * 1999-10-07 2004-09-29 日本電気株式会社 無線lanの暗号鍵更新システム及びその更新方法
JP2001156766A (ja) * 1999-11-29 2001-06-08 Murata Mach Ltd 暗号通信方法及び暗号通信システム
TW545023B (en) * 1999-12-10 2003-08-01 Koninkl Philips Electronics Nv Synchronization of session keys
US6920559B1 (en) * 2000-04-28 2005-07-19 3Com Corporation Using a key lease in a secondary authentication protocol after a primary authentication protocol has been performed
GB0028278D0 (en) * 2000-11-20 2001-01-03 Tao Group Ltd Personal authentication system
US7266687B2 (en) * 2001-02-16 2007-09-04 Motorola, Inc. Method and apparatus for storing and distributing encryption keys
JP2002281010A (ja) * 2001-03-19 2002-09-27 Nec Corp マイクロモビリティ網における経路更新通知保護用鍵配布システム
US7231521B2 (en) * 2001-07-05 2007-06-12 Lucent Technologies Inc. Scheme for authentication and dynamic key exchange
US6925183B2 (en) * 2001-08-16 2005-08-02 Asustek Computer Inc. Preventing shortened lifetimes of security keys in a wireless communications security system
JP2003101533A (ja) * 2001-09-25 2003-04-04 Toshiba Corp 機器認証管理システム及び機器認証管理方法
US7203317B2 (en) * 2001-10-31 2007-04-10 Hewlett-Packard Development Company, L.P. System for enabling lazy-revocation through recursive key generation
US20030095663A1 (en) * 2001-11-21 2003-05-22 Nelson David B. System and method to provide enhanced security in a wireless local area network system
US20030112977A1 (en) * 2001-12-18 2003-06-19 Dipankar Ray Communicating data securely within a mobile communications network
US7245724B1 (en) * 2002-03-08 2007-07-17 Atheros Communications, Inc. Rekey operation with multiplexing capability
US7277547B1 (en) * 2002-10-23 2007-10-02 Sprint Spectrum L.P. Method for automated security configuration in a wireless network

Also Published As

Publication number Publication date
DE60206133D1 (de) 2005-10-20
EP1337087A3 (en) 2003-12-17
EP1337087A2 (en) 2003-08-20
US20030152235A1 (en) 2003-08-14
EP1337087B1 (en) 2005-09-14
DE60206133T2 (de) 2006-06-14
US20070183599A1 (en) 2007-08-09
US7545942B2 (en) 2009-06-09
JP2009112029A (ja) 2009-05-21
KR100983755B1 (ko) 2010-09-24
JP2003304236A (ja) 2003-10-24
US7221764B2 (en) 2007-05-22

Similar Documents

Publication Publication Date Title
KR100983755B1 (ko) 무선 네트워크에서의 보안 키 분배 방법 및 무선 네트워크로의 액세스 제어 장치
US8589687B2 (en) Architecture for supporting secure communication network setup in a wireless local area network (WLAN)
US7515569B2 (en) Access control for wireless systems
US7373508B1 (en) Wireless security system and method
US7133526B2 (en) System and method for providing WLAN security through synchronized update and rotation of WEP keys
EP2186376B1 (en) Apparatus and method for sharing of an encryption key in an ad-hoc network
US8572700B2 (en) Method and system for exchanging setup configuration protocol information in beacon frames in a WLAN
US8150372B2 (en) Method and system for distributing data within a group of mobile units
JP5786233B2 (ja) パーソナル・ベーシック・サービス・セットにおけるステーション・ツー・ステーション・セキュリティアソシエーション
US8051463B2 (en) Method and system for distribution of configuration information among access points in a wireless local area network (WLAN) across a distribution system (DS)
US8208455B2 (en) Method and system for transporting configuration protocol messages across a distribution system (DS) in a wireless local area network (WLAN)
US20110023097A1 (en) Authentication method and framework
US20070218875A1 (en) Detecting address spoofing in wireless network environments
US20050201564A1 (en) Wireless communication system
JP2004304824A (ja) 無線lanシステムにおける認証方法と認証装置
KR20030084613A (ko) 게이트웨이, 통신 단말 장치 및 통신 제어 프로그램
US20060039339A1 (en) Method and system for automatic registration security
WO2006129287A1 (en) Method and devices for wireless network access management
US20050071682A1 (en) Layer 2 switch device with verification management table
US20100278343A1 (en) Wireless communication apparatus and processing method thereby
JP2006352371A (ja) 無線基地局装置
US20110314136A1 (en) Method and System for Improved Communication Network Setup
JP2024019266A (ja) 通信装置と通信装置のためのコンピュータプログラム
JP2009543177A (ja) 認証システム、被認証装置、認証装置、認証方法、被認証装置のプログラムを記録した記録媒体、および認証装置のプログラムを記録した記録媒体
JP4498871B2 (ja) 無線通信装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130820

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140825

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee