KR20030082855A - 무선랜 보안 방법 - Google Patents

무선랜 보안 방법 Download PDF

Info

Publication number
KR20030082855A
KR20030082855A KR1020020021357A KR20020021357A KR20030082855A KR 20030082855 A KR20030082855 A KR 20030082855A KR 1020020021357 A KR1020020021357 A KR 1020020021357A KR 20020021357 A KR20020021357 A KR 20020021357A KR 20030082855 A KR20030082855 A KR 20030082855A
Authority
KR
South Korea
Prior art keywords
symmetric key
access point
server
random number
wireless terminal
Prior art date
Application number
KR1020020021357A
Other languages
English (en)
Other versions
KR100458955B1 (ko
Inventor
라은주
이종후
류재철
Original Assignee
(주) 시큐컴
라은주
이종후
류재철
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 시큐컴, 라은주, 이종후, 류재철 filed Critical (주) 시큐컴
Priority to KR10-2002-0021357A priority Critical patent/KR100458955B1/ko
Publication of KR20030082855A publication Critical patent/KR20030082855A/ko
Application granted granted Critical
Publication of KR100458955B1 publication Critical patent/KR100458955B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선랜 보안방법에 관한 것으로, 서버(10)와, 상기 서버(10)와 유선랜 통신하는 적어도 하나 이상의 액세스 포인트(20)와, 상기 액세스 포인트(20)와 무선랜 통신하는 적어도 하나 이상의 무선단말기(30)를 포함하는 무선랜 보안 시스템에서 액세스 포인트와 서버간, 액세스 포인트와 무선단말기간에서 대칭키 방식으로 암호화 통신을 하게 되며, 이 대칭키 암호화 통신에 사용되는 대칭키를 서버로부터 공개키 암호화 방식에 따라 분배함으로써 액세스 포인트와 서버간 뿐만 아니라 액세스 포인트와 무선단말기간에 암호화 통신이 가능해 허가되지 않은 악의를 가진 사용자의 접근을 방지할 수 있고, 세션(Session)별로 암호키를 생성하여 분배하므로 키 노출 가능성이 적으며, 난수를 사용하여 재전송 공격을 방지할 수 있도록 한 것이다.

Description

무선랜 보안 방법{Security method for the Wireless LAN}
본 발명은 무선랜 보안 방법에 관한 것으로, 무선 네트워크 환경하의 액세스 포인트와 무선단말기 사이의 보안 기술에 관련된 것이다.
종래의 무선랜 시스템은 무선단말기를 유/무선 네트워크에 연결시켜주는 매개체 역할을 하는 액세스 포인트(Access Point)와 무선단말기 사이의 통신에 있어서 사용자 인증이 제공되지 않고, 매우 취약한 구조의 암호화 통신이 적용되는 실정이었다.
즉, 종래의 무선랜 시스템에서는 액세스 포인트에서 무선단말기에 대한 사용자 인증을 하지 않기 때문에 악의를 가진 사용자가 쉽게 액세스 포인트에 접속 가능하므로 많은 위험성을 내포하고 있었고, 상기 액세스 포인트와 무선단말기 사이의 암호 통신에 있어서도 암호화에 사용되는 암호키가 정적으로 할당되어 암호키 노출의 위험성이 있으며, 암호화에 사용되는 초기화 벡터(Initial Vector)가 평문으로 전송되어 초기화 벡터의 재사용이 가능하므로 이를 이용하여 암호문을 해독하는 것이 가능한 문제점을 가지고 있었다.
상기의 초기화 벡터(Initial Vector)는 관용암호방식에서 메시지를 암호화 할 때, 어떤 메시지들은 항상 시작부분이 동일(예컨데, e-메일에 사용되는 From, 홈페이지 주소의 앞부분 http:// 등)할 수 있어 해킹에 대한 노출 위험성이 크기 때문에, 이를 방지하기 위해 메시지의 시작 부분에 삽입되는 임의의 값을 의미한다.
따라서, 본 발명자는 액세스 포인트와 무선단말기 사이에 사용자 인증이 이루어져 허가되지 않은 악의를 가진 사용자의 접근을 방지할 수 있으며, 세션(Session)별로 암호키를 생성하여 분배하므로 키 노출 가능성이 줄어들고, 난수를 사용하여 재전송 공격을 방지할 수 있어 보안 측면에서 매우 취약한 종래의무선랜 시스템에서의 암호화 기술의 단점을 해결할 수 있는 무선랜 보안 방법에 대한 연구를 하게 되었다.
본 발명은 상기한 취지하에 발명된 것으로, 액세스 포인트와 무선단말기 사이에 암호화 통신이 가능해 허가되지 않은 악의를 가진 사용자의 접근을 방지할 수 있는 무선랜 보안 방법을 제공하는 것이다.
본 발명의 또 다른 목적은 세션(Session)별로 암호키를 생성하여 분배하므로 키 노출 가능성이 적은 무선랜 보안 방법을 제공하는 것이다.
본 발명의 또 다른 목적은 난수를 사용하여 재전송 공격을 방지할 수 있는 무선랜 보안 방법을 제공하는 것이다.
상기한 목적을 달성하기 위한 본 발명의 일 양상에 따르면, 본 발명에 따른 무선랜 보안 방법은 서버로 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1) 요청정보를 전송하는 단계와; 상기 서버로부터 액세스 포인트의 공개키(KAP,PUB)를 이용해 암호화한 제 1 대칭키(KAP,S1)를 포함하는 제 1 암호화정보(EK1)를 수신하는 단계와; 액세스 포인트의 비밀키(KAP,PRI)를 이용해 상기 제 1 암호화정보(EK1)를 복호화하여 상기 제 1 대칭키(KAP,S1)를 획득하는 단계와; 무선단말기가 액세스 포인트에 접속시 상기 서버로 상기 액세스 포인트와 무선단말기간의 암호화 통신에 사용되는 제 2 대칭키(KAP,S2) 요청정보를 전송하는 단계와; 상기 서버로부터 상기 제 1 대칭키(KAP,S1)를 이용해 암호화한 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)와, 무선단말기의 공개키(KMS,PUB)를 이용해 암호화한 상기 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)를 수신하는 단계와; 상기 제 1 대칭키(KAP,S1)를 이용해 제 2 암호화정보(EK2)를 복호화하여 상기 제 2 대칭키(KAP,S2)를 획득하고, 상기 제 3 암호화정보(EK3)를 무선단말기로 전송하는 단계와; 무선단말기의 비밀키(KMS,PRI)를 이용해 상기 제 3 암호화정보(EK3)를 복호화하여 상기 제 2 대칭키(KAP,S2)를 획득한 무선단말기와는 상기 제 2 대칭키(KAP,S2)를 이용해 암호화 통신하고, 상기 서버와는 상기 제 1 대칭키(KAP,S1)를 이용해 암호화 통신하는 단계를 포함하는 액세스 포인트측 실행모듈을 포함하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 본 발명에 따른 무선랜 보안 방법은 상기 서버가 논리적 또는 물리적으로 2개의 서버로 분리되고, 그중 하나의 서버가 제 1 대칭키(KAP,S1)를 분배하고, 다른 하나의 서버가 제 2 대칭키(KAP,S2)를 분배하는 것을 특징으로 한다.
본 발명의 또 다른 양상에 따르면, 본 발명에 따른 무선랜 보안 방법은 액세스 포인트로부터 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1) 요청정보를 수신하는 단계와; 액세스 포인트의 공개키(KAP,PUB)를 이용해제 1 대칭키(KAP,S1)를 포함하는 제 1 암호화정보(EK1)를 생성하고, 이를 상기 액세스 포인트로 전송하는 단계와; 무선단말기가 액세스 포인트에 접속시 액세스 포인트로부터 상기 액세스 포인트와 무선단말기간의 암호화 통신에 사용되는 제 2 대칭키(KAP,S2) 요청정보를 수신하는 단계와; 상기 제 1 대칭키(KAP,S1)를 이용해 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)를 생성하고, 무선단말기의 공개키(KMS,PUB)를 이용해 상기 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)를 생성하고, 이들을 상기 액세스 포인트로 전송하는 단계와; 상기 액세스 포인트와 서버간에 송수신되는 데이타를 상기 제 1 대칭키(KAP,S1)를 이용해 암호화 통신하는 단계를 포함하는 서버측 실행모듈을 포함하는 것을 특징으로 한다.
도 1 은 본 발명에 따른 무선랜 보안 방법이 적용되는 무선랜 보안 시스템의 개요도
도 2 는 본 발명에 따른 무선랜 보안 방법의 액세스 포인트측 실행모듈의 일실시예에 따른 흐름도
도 3 은 본 발명에 따른 무선랜 보안 방법의 액세스 포인트측 실행모듈의 또 다른 실시예에 따른 흐름도
도 4 는 본 발명에 따른 무선랜 보안 방법의 서버측 실행모듈의 일실시예에 따른 흐름도
<도면의 주요부분에 대한 부호의 설명>
10 : 서버 20 : 액세스 포인트
30 : 무선단말기
이하, 첨부된 도면을 참조하여 기술되는 바람직한 실시예를 통해 본 발명에 따른 무선랜 보안 방법을 보다 상세히 설명한다.
도 1 은 본 발명에 따른 무선랜 보안 방법이 적용되는 무선랜 보안 시스템의 개요도이다.
도면에 도시한 바와같이, 본 발명에 따른 무선랜 보안 시스템은 서버(10)와, 상기 서버(10)와 유선랜 통신하는 적어도 하나 이상의 액세스 포인트(20)와, 상기 액세스 포인트(20)와 무선랜 통신하는 적어도 하나 이상의 무선단말기(30)를 포함한다.
상기 서버(10)는 상기 서버(10)와 액세스 포인트(20)간의 암호화 통신을 위한 제 1 대칭키와, 상기 액세스 포인트(20)와 무선단말기(30)간의 암호화 통신을 위한 제 2 대칭키를 공개키 방식으로 암호화하여 분배한다.
상기 서버(10)는 논리적 또는 물리적으로 2개의 서버로 분리하여 구성할 수 도 있으며, 이 2개의 서버 중 하나의 서버가 제 1 대칭키를 분배하고, 다른 하나의 서버가 제 2 대칭키를 분배하도록 할 수 있다.
상기 액세스 포인트(20)는 무선단말기(30)를 유/무선 네트워크에 연결시켜주는 매개체 역할을 하는 네트워크 장비로, 상기 서버(10)로부터 서버(10)와 액세스 포인트(20)간의 암호화 통신을 위한 제 1 대칭키를 수신하고, 무선단말기(30) 접속시 상기 서버(10)로부터 액세스 포인트(20)와 무선단말기(30)간의 암호화 통신을 위한 제 2 대칭키를 수신하여 이를 무선단말기(30)로 전송한다.
상기 무선단말기(30)는 노트북 컴퓨터, PDA, 이동통신 단말기 등의 무선 네트워크 환경하에서 통신하는 장치이다.
좀더 구체적으로 본 발명에 따른 무선랜 보안 방법에 대해 설명한다.
도 2 는 본 발명에 따른 무선랜 보안 방법의 액세스 포인트측 실행모듈의 일실시예에 따른 흐름도이다.
단계 S101 에서 액세스 포인트가 서버로 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1) 요청정보를 전송한다.
이때, 상기 요청정보는 상기 서버의 공개키(KS,PUB)로 암호화하여 전송할 수도 있으며, 이 경우엔 이를 수신한 서버가 자신의 비밀키(KS,PRI)로 이를 복호화한다.
단계 S102 에서 상기 액세스 포인트가 상기 서버로부터 액세스 포인트의 공개키(KAP,PUB)를 이용해 암호화한 제 1 대칭키(KAP,S1)를 포함하는 제 1 암호화정보(EK1)를 수신한다.
단계 S103 에서 액세스 포인트의 비밀키(KAP,PRI)를 이용해 상기 제 1 암호화정보(EK1)를 복호화하여 상기 제 1 대칭키(KAP,S1)를 획득한다.
즉, 상기 서버는 액세스 포인트의 공개키(KAP,PUB) 및 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1)를 포함하고 있고, 액세스 포인트는 자신의 비밀키(KAP,PRI)를 포함하고 있어, 공개키 암호화 방식으로 암호화되어 서버로부터 전송되는 상기 제 1 대칭키(KAP,S1)를 액세스 포인트가 복호화하여 획득한다.
단계 S104 에서 무선단말기가 액세스 포인트에 접속시 상기 액세스 포인트가 상기 서버로 상기 액세스 포인트와 무선단말기간의 암호화 통신에 사용되는 제 2 대칭키(KAP,S2) 요청정보를 전송한다.
이때, 상기 요청정보는 상기 서버의 공개키(KS,PUB)로 암호화하여 전송할 수 도 있으며, 이 경우엔 이를 수신한 서버가 자신의 비밀키(KS,PRI)로 이를 복호화한다.
단계 S105 에서 상기 액세스 포인트가 상기 서버로부터 상기 제 1 대칭키(KAP,S1)를 이용해 암호화한 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)와, 무선단말기의 공개키(KMS,PUB)를 이용해 암호화한 상기 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)를 수신한다.
상기 단계 S104 에서의 제 2 대칭키(KAP,S2) 요청정보에 따라 서버는 상기 제 1 대칭키(KAP,S1)를 이용해 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)를 생성하고, 무선단말기의 공개키(KMS,PUB)를 이용해 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)를 생성한다.
이렇게 생성된 제 2 암호화정보(EK2)와 제 3 암호화정보(EK3)는 상기 단계 S105를 통해 서버로부터 액세스 포인트로 전송된다.
이후, 상기 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)는 액세스 포인트에서 복호화되어 액세스 포인트로 상기 제 2 대칭키(KAP,S2)를 전달하고, 상기 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)는 무선단말기에서 복호화되어 무선단말기로 상기 제 2 대칭키(KAP,S2)를 전달하게 된다.
단계 S106 에서 액세스 포인트는 상기 제 1 대칭키(KAP,S1)를 이용해 제 2 암호화정보(EK2)를 복호화하여 상기 제 2 대칭키(KAP,S2)를 획득하고, 상기 제 3 암호화정보(EK3)를 무선단말기로 전송한다.
상기 제 2 암호화정보(EK2)는 서버에서 제 1 대칭키(KAP,S1)를 이용해 암호화되었으므로 액세스 포인트는 대칭키 암호화 방식에 따라 이를 단계 S103 에서 획득한 제 1 대칭키(KAP,S1)로 복호화하여 상기 제 2 대칭키(KAP,S2)를 획득하고, 상기 서버로부터 전송된 제 3 암호화정보(EK3)를 무선단말기로 전송한다.
단계 S107 에서 액세스 포인트가 무선단말기의 비밀키(KMS,PRI)를 이용해 상기 제 3 암호화정보(EK3)를 복호화하여 상기 제 2 대칭키(KAP,S2)를 획득한 무선단말기와는 상기 제 2 대칭키(KAP,S2)를 이용해 암호화 통신하고, 상기 서버와는 상기 제 1 대칭키(KAP,S1)를 이용해 암호화 통신한다.
상기 단계 S106 에서 무선단말기로 전송된 제 3 암호화정보(EK3)는 서버로부터 공개키 암호화 방식에 따라 무선단말기의 공개키(KMS,PUB)로 암호화 되었으므로, 이를 수신한 무선단말기는 자신의 비밀키(KMS,PRI)를 이용해 복호화하여 제 2 대칭키(KAP,S2)를 획득한다.
따라서, 액세스 포인트는 상기 무선단말기와는 제 2 대칭키(KAP,S2)를 이용해 암호화 통신하고, 상기 서버와는 제 1 대칭키(KAP,S1)를 이용해 암호화 통신하게 된다.
즉, 본 발명에 따른 무선랜 보안방법은 액세스 포인트와 서버간, 액세스 포인트와 무선단말기간에서 대칭키 방식으로 암호화 통신을 하게 되며, 이 대칭키 암호화 통신에 사용되는 대칭키를 서버로부터 공개키 암호화 방식에 따라 분배함으로써 액세스 포인트와 무선단말기간에 암호화 통신이 가능해 악의를 가진 사용자의 접근을 방지하게 되며, 세션(Session)별로 암호키를 생성하여 분배함으로써 키 노출 가능성이 거의없게 된다.
도 3 은 본 발명에 따른 무선랜 보안 방법의 액세스 포인트측 실행모듈의 또 다른 실시예에 따른 흐름도이다.
본 발명의 부가적인 양상에 따르면, 상기 단계 S101 에서 상기 제 1 대칭키(KAP,S1) 요청정보가 재전송 방지를 위한 제 1 난수(n1)를 더 포함하고, 상기 제 1 암호화정보(EK1)가 상기 제 1 난수(n1)를 더 포함하여 상기 S103 단계에 의해 복호화되고, 상기 S103 단계가 액세스 포인트 자신이 보낸 제 1 난수와 서버로부터 전송된 제 1 난수가 일치하는지 판단하도록 할 수 있다.
따라서, 상기 제 1 난수를 이용해 재전송 방지가 이루어지는 동시에 제 1 대칭키(KAP,S1) 분배시 상기 제 1 난수를 이용해 인증이 가능해진다.
즉, 액세스 포인트 자신이 보낸 제 1 난수와 서버로부터 전송된 제 1 난수가 일치하는지 판단하여 일치할 경우 상기 제 1 대칭키(KAP,S1)를 유효하다 인증한다.
한편, 본 발명의 또다른 부가적인 양상에 따르면, 단계 S104 에서 상기 제 2대칭키(KAP,S2) 요청정보가 재전송 방지를 위한 제 2 난수(n2)를 더 포함하고, 상기 제 2 암호화정보(EK2)가 상기 제 2 난수(n2)를 더 포함하여 상기 S106 단계에 의해 복호화되고, 상기 S106 단계가 액세스 포인트 자신이 보낸 제 2 난수와 서버로부터 전송된 제 2 난수가 일치하는지 판단하도록 할 수 있다.
따라서, 상기 제 2 난수를 이용해 재전송 방지가 이루어지는 동시에 제 2 대칭키(KAP,S1) 분배시 상기 제 2 난수를 이용해 인증이 가능해진다.
즉, 액세스 포인트 자신이 보낸 제 2 난수와 서버로부터 전송된 제 2 난수가 일치하는지 판단하여 일치할 경우 상기 제 2 대칭키(KAP,S2)를 유효하다 인증한다.
한편, 본 발명의 또다른 부가적인 양상에 따르면, 액세스 포인트 자신이 보낸 제 2 난수와 서버로부터 전송된 제 2 난수가 일치할 경우, 상기 S106 단계가 상기 제 2 대칭키(KAP,S2)를 이용해 암호화한 재전송 방지를 위한 제 3 난수(n3)를 포함하는 제 4 암호화정보(EK4)를 생성하여 이를 무선단말기로 더 전송하고, 상기 액세스 포인트측 실행모듈이 무선단말기의 비밀키(KMS,PRI)를 이용해 상기 제 3 암호화정보(EK3)를 복호화하여 획득한 제 2 대칭키(KAP,S2)를 이용해 상기 제 4 암호화정보(EK4)를 복호화하여 상기 제 3 난수(n3)를 획득한 무선단말기가 생성한 상기 제 2 대칭키(KAP,S2)를 이용해 암호화한 상기 제 3 난수(n3)를 포함하는 제 5 암호화정보(EK5)를 수신하는 단계(S106a)와, 액세스 포인트가 제 2 대칭키(KAP,S2)를 이용해 상기 제 5 암호화정보(EK5)를 복호화하여 상기 제 3 난수(n3)를 획득하고,액세스 포인트 자신이 보낸 제 3 난수와 상기 무선단말기로부터 전송된 제 3 난수가 일치하는지 판단하는 단계(S106b)를 더 포함할 수 있다.
즉, 상기 S106 단계에서 액세스 포인트가 보낸 제 2 난수와 서버로부터 전송된 제 2 난수가 일치할 경우, 상기 액세스 포인트가 상기 제 2 대칭키(KAP,S2)를 이용해 재전송 방지를 위한 제 3 난수(n3)를 포함하는 제 4 암호화정보(EK4)를 생성하여 이를 무선단말기로 전송한다.
상기 제 4 암호화정보(EK4)를 수신한 무선단말기는 자신의 비밀키(KMS,PRI)를 이용해 상기 제 3 암호화정보(EK3)를 복호화하여 획득한 제 2 대칭키(KAP,S2)를 이용해 상기 제 4 암호화정보(EK4)를 복호화하여 상기 제 3 난수(n3)를 획득한다.
또한, 무선단말기는 상기 제 2 대칭키(KAP,S2)를 이용해 상기 제 3 난수(n3)를 포함하는 제 5 암호화정보(EK5)를 생성하고 이를 액세스 포인트로 전송한다.
상기 액세스 포인트는 단계 S106a 에서 상기 제 5 암호화정보(EK5)를 수신하고, 상기 단계 S106b 에서 액세스 포인트가 제 2 대칭키(KAP,S2)를 이용해 상기 제 5 암호화정보(EK5)를 복호화하여 상기 제 3 난수(n3)를 획득하고, 액세스 포인트 자신이 보낸 제 3 난수와 상기 무선단말기로부터 전송된 제 3 난수가 일치하는지 판단한다.
따라서, 상기 제 3 난수를 이용해 재전송 방지가 이루어지는 동시에 액세스 포인트 자신이 보낸 제 3 난수와 서버로부터 전송된 제 3 난수가 일치하는지 판단하여 일치할 경우 통신을 원한 단말기임을 인증한다.
따라서, 상기 제 1 내지 제 3 난수를 통해 재전송을 방지할 수 있으며, 인증확인된다.
한편, 본 발명의 또다른 부가적인 양상에 따르면, 상기 서버가 논리적 또는 물리적으로 2개의 서버로 분리되고, 그중 하나의 서버가 제 1 대칭키(KAP,S1)를 분배하고, 다른 하나의 서버가 제 2 대칭키(KAP,S2)를 분배하도록 할 수 있다.
즉, 이 말은 상기 서버를 예컨데 인증서버와 키분배서버로 논리적 또는 물리적으로 분리하여 구성하고, 상기 인증서버를 통해서는 제 1 대칭키(KAP,S1)를, 상기 키분배서버를 통해서는 제 2 대칭키(KAP,S2)를 분배하도록 함을 의미한다.
네트워크상에서 서버는 논리적 또는 물리적으로 여러개로 구성되는 것이 일반적이므로, 서버와 액세스 포인트간의 암호화 통신을 위한 제 1 대칭키(KAP,S1)와, 액세스 포인트와 무선단말기간의 암호화 통신을 위한 제 2 대칭키(KAP,S2)를 각각 분배하도록 하는 것이 바람직하다.
도 4 는 본 발명에 따른 무선랜 보안 방법의 서버측 실행모듈의 일실시예에 따른 흐름도이다.
단계 S201 에서 서버가 액세스 포인트로부터 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1) 요청정보를 수신한다.
이때, 상기 요청정보는 상기 액세스 포인트가 서버의 공개키(KS,PUB)로 암호화하여 전송하는 것이 바람직하고, 이를 수신한 서버는 자신의 비밀키(KS,PRI)로 이를 복호화한다.
단계 S202 에서 상기 서버가 액세스 포인트의 공개키(KAP,PUB)를 이용해 제 1 대칭키(KAP,S1)를 포함하는 제 1 암호화정보(EK1)를 생성하고, 이를 상기 액세스 포인트로 전송한다.
즉, 상기 액세스 포인트로부터 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1) 요청정보에 따라 서버는 공개키 암호화 방식으로 상기 제 1 대칭키(KAP,S1)를 액세스 포인트의 공개키(KAP,PUB)로 암호화하여 액세스 포인트로 전송한다.
단계 S203 에서 무선단말기가 액세스 포인트에 접속시 상기 서버가 액세스 포인트로부터 상기 액세스 포인트와 무선단말기간의 암호화 통신에 사용되는 제 2 대칭키(KAP,S2) 요청정보를 수신한다.
이때, 상기 요청정보는 상기 액세스 포인트가 서버의 공개키(KS,PUB)로 암호화하여 전송하는 것이 바람직하고, 이를 수신한 서버는 자신의 비밀키(KS,PRI)로 이를 복호화한다.
단계 S204 에서 서버가 상기 제 1 대칭키(KAP,S1)를 이용해 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)를 생성하고, 무선단말기의 공개키(KMS,PUB)를 이용해 상기 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)를 생성하고, 이들을 상기 액세스 포인트로 전송한다.
상기 액세스 포인트로 전송된 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)는 액세스 포인트에서 복호화되어 액세스 포인트로 상기 제 2 대칭키(KAP,S2)를 전달하고, 상기 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)는 액세스 포인트로부터 무선단말기로 다시 전송되고 복호화되어 무선단말기로 상기 제 2 대칭키(KAP,S2)를 전달한다.
단계 S205 는 상기 액세스 포인트와 서버간에 송수신되는 데이타를 상기 제 1 대칭키(KAP,S1)를 이용해 암호화 통신한다.
따라서, 액세스 포인트는 상기 무선단말기와는 제 2 대칭키(KAP,S2)를 이용해 암호화 통신하고, 상기 서버와는 제 1 대칭키(KAP,S1)를 이용해 암호화 통신하게 된다.
즉, 본 발명에 따른 무선랜 보안방법은 액세스 포인트와 서버간, 액세스 포인트와 무선단말기간에서 대칭키 방식으로 암호화 통신을 하게 되며, 이 대칭키 암호화 통신에 사용되는 대칭키를 서버로부터 공개키 암호화 방식에 따라 분배함으로써 액세스 포인트와 무선단말기간에 암호화 통신이 가능해 악의를 가진 사용자의 접근을 방지하게 되며, 세션(Session)별로 암호키를 생성하여 분배함으로써 키 노출 가능성이 거의없게 된다.
위와같이 함에 의해 상기에서 제시한 본 발명에 따른 무선랜 보안방법의 목적을 달성하게 된다.
이상에서 설명한 바와같은 본 발명에 따른 무선랜 보안방법은 액세스 포인트와 서버간 뿐만 아니라 액세스 포인트와 무선단말기간에 암호화 통신이 가능해 허가되지 않은 악의를 가진 사용자의 접근을 방지할 수 있고, 세션(Session)별로 암호키를 생성하여 분배하므로 키 노출 가능성이 적으며, 난수를 사용하여 재전송 공격을 방지할 수 있는 유용한 효과가 있다.
본 발명은 첨부된 도면을 참조하여 바람직한 실시예를 중심으로 기술되었지만 당업자라면 이러한 기재로부터 후술하는 특허청구범위에 의해 포괄되는 본 발명의 범주를 벗어남이 없이 다양한 변형이 가능하다는 것은 명백하다.

Claims (6)

  1. 서버로 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1) 요청정보를 전송하는 단계(S101)와;
    상기 서버로부터 액세스 포인트의 공개키(KAP,PUB)를 이용해 암호화한 제 1 대칭키(KAP,S1)를 포함하는 제 1 암호화정보(EK1)를 수신하는 단계(S102)와;
    액세스 포인트의 비밀키(KAP,PRI)를 이용해 상기 제 1 암호화정보(EK1)를 복호화하여 상기 제 1 대칭키(KAP,S1)를 획득하는 단계(S103)와;
    무선단말기가 액세스 포인트에 접속시 상기 서버로 상기 액세스 포인트와 무선단말기간의 암호화 통신에 사용되는 제 2 대칭키(KAP,S2) 요청정보를 전송하는 단계(S104)와;
    상기 서버로부터 상기 제 1 대칭키(KAP,S1)를 이용해 암호화한 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)와, 무선단말기의 공개키(KMS,PUB)를 이용해 암호화한 상기 제 2 대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)를 수신하는 단계(S105)와;
    상기 제 1 대칭키(KAP,S1)를 이용해 제 2 암호화정보(EK2)를 복호화하여 상기 제 2 대칭키(KAP,S2)를 획득하고, 상기 제 3 암호화정보(EK3)를 무선단말기로 전송하는 단계(S106)와;
    무선단말기의 비밀키(KMS,PRI)를 이용해 상기 제 3 암호화정보(EK3)를 복호화하여 상기 제 2 대칭키(KAP,S2)를 획득한 무선단말기와는 상기 제 2 대칭키(KAP,S2)를 이용해 암호화 통신하고, 상기 서버와는 상기 제 1 대칭키(KAP,S1)를 이용해 암호화 통신하는 단계(S107)를;
    포함하는 액세스 포인트측 실행모듈을 포함하는 것을 특징으로 하는 무선랜 보안 방법.
  2. 제 1 항에 있어서,
    상기 제 1 대칭키(KAP,S1) 요청정보가 재전송 방지를 위한 제 1 난수(n1)를 더 포함하고, 상기 제 1 암호화정보(EK1)가 상기 제 1 난수(n1)를 더 포함하여 상기 S103 단계에 의해 복호화되고, 상기 S103 단계가 액세스 포인트 자신이 보낸 제 1 난수와 서버로부터 전송된 제 1 난수가 일치하는지 판단하는 것을 더 포함하는 것을 특징으로 하는 무선랜 보안 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 제 2 대칭키(KAP,S2) 요청정보가 재전송 방지를 위한 제 2 난수(n2)를 더 포함하고, 상기 제 2 암호화정보(EK2)가 상기 제 2 난수(n2)를 더 포함하여 상기S106 단계에 의해 복호화되고, 상기 S106 단계가 액세스 포인트 자신이 보낸 제 2 난수와 서버로부터 전송된 제 2 난수가 일치하는지 판단하는 것을 더 포함하는 것을 특징으로 하는 무선랜 보안 방법.
  4. 제 3 항에 있어서,
    액세스 포인트 자신이 보낸 제 2 난수와 서버로부터 전송된 제 2 난수가 일치할 경우, 상기 S106 단계가 상기 제 2 대칭키(KAP,S2)를 이용해 암호화한 재전송 방지를 위한 제 3 난수(n3)를 포함하는 제 4 암호화정보(EK4)를 생성하여 이를 무선단말기로 더 전송하고,
    상기 액세스 포인트측 실행모듈이:
    무선단말기의 비밀키(KMS,PRI)를 이용해 상기 제 3 암호화정보(EK3)를 복호화하여 획득한 제 2 대칭키(KAP,S2)를 이용해 상기 제 4 암호화정보(EK4)를 복호화하여 상기 제 3 난수(n3)를 획득한 무선단말기가 생성한 상기 제 2 대칭키(KAP,S2)를 이용해 암호화한 상기 제 3 난수(n3)를 포함하는 제 5 암호화정보(EK5)를 수신하는 단계(S106a)와;
    액세스 포인트가 제 2 대칭키(KAP,S2)를 이용해 상기 제 5 암호화정보(EK5)를 복호화하여 상기 제 3 난수(n3)를 획득하고, 액세스 포인트 자신이 보낸 제 3 난수와 상기 무선단말기로부터 전송된 제 3 난수가 일치하는지 판단하는 단계(S106b)를;
    더 포함하는 것을 특징으로 하는 무선랜 보안 방법.
  5. 제 1 항 또는 제 2 항 또는 제 4 항 중의 어느 한 항에 있어서,
    상기 서버가 논리적 또는 물리적으로 2개의 서버로 분리되고, 그중 하나의 서버가 제 1 대칭키(KAP,S1)를 분배하고, 다른 하나의 서버가 제 2 대칭키(KAP,S2)를 분배하는 것을 특징으로 하는 무선랜 보안 방법.
  6. 액세스 포인트로부터 상기 액세스 포인트와 서버간의 암호화 통신에 사용되는 제 1 대칭키(KAP,S1) 요청정보를 수신하는 단계(S201)와;
    액세스 포인트의 공개키(KAP,PUB)를 이용해 제 1 대칭키(KAP,S1)를 포함하는 제 1 암호화정보(EK1)를 생성하고, 이를 상기 액세스 포인트로 전송하는 단계(S202)와;
    무선단말기가 액세스 포인트에 접속시 액세스 포인트로부터 상기 액세스 포인트와 무선단말기간의 암호화 통신에 사용되는 제 2 대칭키(KAP,S2) 요청정보를 수신하는 단계(S203)와;
    상기 제 1 대칭키(KAP,S1)를 이용해 제 2 대칭키(KAP,S2)를 포함하는 제 2 암호화정보(EK2)를 생성하고, 무선단말기의 공개키(KMS,PUB)를 이용해 상기 제 2대칭키(KAP,S2)를 포함하는 제 3 암호화정보(EK3)를 생성하고, 이들을 상기 액세스 포인트로 전송하는 단계(S204)와;
    상기 액세스 포인트와 서버간에 송수신되는 데이타를 상기 제 1 대칭키(KAP,S1)를 이용해 암호화 통신하는 단계(S205)를;
    포함하는 서버측 실행모듈을 포함하는 것을 특징으로 하는 무선랜 보안 방법.
KR10-2002-0021357A 2002-04-18 2002-04-18 무선랜 보안 방법 KR100458955B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0021357A KR100458955B1 (ko) 2002-04-18 2002-04-18 무선랜 보안 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0021357A KR100458955B1 (ko) 2002-04-18 2002-04-18 무선랜 보안 방법

Publications (2)

Publication Number Publication Date
KR20030082855A true KR20030082855A (ko) 2003-10-23
KR100458955B1 KR100458955B1 (ko) 2004-12-03

Family

ID=32379587

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0021357A KR100458955B1 (ko) 2002-04-18 2002-04-18 무선랜 보안 방법

Country Status (1)

Country Link
KR (1) KR100458955B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100547855B1 (ko) * 2003-01-14 2006-01-31 삼성전자주식회사 근거리 통신 장치를 구비한 복합 이동 통신 단말의 보안통신 시스템 및 방법
KR100743924B1 (ko) * 2005-06-28 2007-07-30 가부시키가이샤 버팔로 보안 설정 처리 시스템
KR101431010B1 (ko) * 2012-05-14 2014-08-20 서강대학교산학협력단 하드웨어 인증 모듈을 이용한 액세스 포인트 인증 장치 및 방법

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11308673A (ja) * 1998-04-22 1999-11-05 Kokusai Electric Co Ltd 無線lanシステム
JP3570311B2 (ja) * 1999-10-07 2004-09-29 日本電気株式会社 無線lanの暗号鍵更新システム及びその更新方法
US7028186B1 (en) * 2000-02-11 2006-04-11 Nokia, Inc. Key management methods for wireless LANs
KR20000072516A (ko) * 2000-09-07 2000-12-05 박명산 무선 데이터 통신을 위한 양단간 데이터 암호화/복호화방법 및 장치
KR100883648B1 (ko) * 2002-03-16 2009-02-18 삼성전자주식회사 무선 환경에서의 네트웍 접근 통제 방법 및 이를 기록한기록매체

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100547855B1 (ko) * 2003-01-14 2006-01-31 삼성전자주식회사 근거리 통신 장치를 구비한 복합 이동 통신 단말의 보안통신 시스템 및 방법
KR100743924B1 (ko) * 2005-06-28 2007-07-30 가부시키가이샤 버팔로 보안 설정 처리 시스템
KR101431010B1 (ko) * 2012-05-14 2014-08-20 서강대학교산학협력단 하드웨어 인증 모듈을 이용한 액세스 포인트 인증 장치 및 방법

Also Published As

Publication number Publication date
KR100458955B1 (ko) 2004-12-03

Similar Documents

Publication Publication Date Title
US8635456B2 (en) Remote secure authorization
US7774594B2 (en) Method and system for providing strong security in insecure networks
US7688975B2 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
US7689211B2 (en) Secure login method for establishing a wireless local area network connection, and wireless local area network system
WO2004071006A1 (ja) ブロードキャスト暗号鍵配布システム
KR102325725B1 (ko) 디지털 인증서 관리 방법 및 장치
JP2009071707A (ja) 鍵共有方法、鍵配信システム
WO2005088892A1 (en) A method of virtual challenge response authentication
KR20050007830A (ko) 기기간 컨텐츠 교환을 위한 도메인 인증 방법
CN112491550A (zh) 一种基于车联网的移动终端设备可信认证方法及系统
RU2004131500A (ru) Аутентификация на основе вызова, не требующая знания секретных аутентификационных данных
US20040255121A1 (en) Method and communication terminal device for secure establishment of a communication connection
CN101420687B (zh) 一种基于移动终端支付的身份验证方法
WO2012075761A1 (zh) 一种加密mms的方法及系统
KR100458955B1 (ko) 무선랜 보안 방법
JP2009065226A (ja) 認証付鍵交換システム、認証付鍵交換方法およびプログラム
JP2006229279A (ja) 機密データ送受信方法およびシステム
Hwang Scheme for secure digital mobile communications based on symmetric key cryptography
KR20010064766A (ko) 무선통신시스템에서의 인증 및 키 설정 방법
CN112054905A (zh) 一种移动终端的安全通信方法及系统
CN112019553A (zh) 一种基于ibe/ibbe数据共享方法
JP2005051368A (ja) 通信装置、基地局装置及び通信システム
JPH09130376A (ja) 利用者パスワード認証方法
JP4482635B2 (ja) 情報保護方法
Chen et al. Enhanced delegation based authentication protocol for secure roaming service with synchronization

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20081118

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee