KR20050116821A - Wlan session management techniques with secure rekeying and logoff - Google Patents

Wlan session management techniques with secure rekeying and logoff Download PDF

Info

Publication number
KR20050116821A
KR20050116821A KR1020057017159A KR20057017159A KR20050116821A KR 20050116821 A KR20050116821 A KR 20050116821A KR 1020057017159 A KR1020057017159 A KR 1020057017159A KR 20057017159 A KR20057017159 A KR 20057017159A KR 20050116821 A KR20050116821 A KR 20050116821A
Authority
KR
South Korea
Prior art keywords
key
session
mobile terminal
security
wlan
Prior art date
Application number
KR1020057017159A
Other languages
Korean (ko)
Inventor
준비아오 장
사우라브흐 마추어
사친 모디
Original Assignee
톰슨 라이센싱
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 톰슨 라이센싱 filed Critical 톰슨 라이센싱
Publication of KR20050116821A publication Critical patent/KR20050116821A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

The invention provides a method for improving the security of a mobile terminal in a WLAN environment by installing two shared secrets instead of one shared secret, the initial session key, on both the wireless user machine and the WLAN access point during the user authentication phase. One of the shared secrets is used as the initial session key and the other is used as a secure seed. Since the initial authentication is secure, these two keys are not known to a would be hacker. Although the initial session key may eventually be cracked by the would be hacker, the secure seed remains secure as it is not used in any insecure communication.

Description

보안 리키잉과 로그 오프를 이용한 WLAN 세션 관리 기술{WLAN SESSION MANAGEMENT TECHNIQUES WITH SECURE REKEYING AND LOGOFF}LAN SESSION MANAGEMENT TECHNIQUES WITH SECURE REKEYING AND LOGOFF}

관련 출원Related Applications

본 출원은 2003년 3월 14일자로 출원한 미국 가특허 출원번호 60/454,542호의 우선권을 주장하며, 그 내용은 본 명세서에 참조로서 포함한다.This application claims the priority of US Provisional Patent Application No. 60 / 454,542, filed March 14, 2003, the contents of which are incorporated herein by reference.

본 발명은 근거리 네트워크에 보안 통신 세션을 제공하기 위한 장치 및 방법에 관한 것으로서, 특히 주기적인 키(key) 업데이트 및 보안 로그 오프(logoff)를 이용하는 WLAN에 있는 이동 단말기에 보안 통신 세션을 제공하기 위한 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for providing a secure communication session in a local area network, and more particularly to providing a secure communication session to a mobile terminal in a WLAN using periodic key updates and secure logoff. An apparatus and method are provided.

본 발명의 배경은, 액세스 포인트(AP)를 구비한 IEEE 802.1x 아키텍처를 채용하는 무선 근거리 네트워크 또는 WLAN의 분야인데, 액세스 포인트는 이동 디바이스를 위한 액세스와, 인터넷과 같은 회로 접속(hard wired) 근거리 및 글로벌(global) 네트워크와 같은 다른 네트워크로의 액세스를 제공한다. WLAN 기술의 진보로 인하여, 휴게소, 카페, 도서관 및 유사한 공공 시설("핫 스폿"(hot spot))은 공개적으로 액세스 가능한 무선 통신이 된다. 현재, 공중 WLAN은 이동 통신 디바이스 사용자에게, 공동 인트라넷과 같은 사설 데이터 네트워크, 또는 인터넷, 피어 투 피어 통신 및 라이브 무선 VT 방송과 같은 공중 데이터 네트워크에 대한 액세스를 제공한다. 공중 WLAN을 실시 및 작동하는 상대적으로 낮은 비용뿐만 아니라 이용 가능한 높은 대역폭(통상적으로, 10Mb/s를 초과)으로 인하여, 공중 WLAN은 이상적인 액세스 메커니즘이 되고, 이를 통해 어떤 이동 무선 통신 디바이스 사용자는 외부 엔티티(entity)와 패킷을 교환할 수 있다. 그러나 이하에서 설명하는 바와 같이, 그러한 개방적인 배치는, 식별 및 인증을 위한 적절한 수단이 존재하지 않는 경우에는 보안성을 떨어뜨릴 수도 있다.Background of the invention is the field of wireless local area networks or WLANs employing an IEEE 802.1x architecture with access points (APs), which access for mobile devices and hard wired local areas such as the Internet. And access to other networks, such as global networks. Due to advances in WLAN technology, rest areas, cafes, libraries, and similar public facilities (“hot spots”) become publicly accessible wireless communications. Currently, public WLANs provide mobile communication device users with access to private data networks, such as common intranets, or public data networks, such as the Internet, peer-to-peer communications, and live wireless VT broadcasts. Due to the relatively low cost of implementing and operating a public WLAN as well as the high bandwidth available (typically above 10 Mb / s), the public WLAN is an ideal access mechanism, which allows any mobile wireless communications device user to You can exchange packets with the entity. However, as described below, such open deployment may compromise security in the absence of suitable means for identification and authentication.

사용자가 공중 WLAN 커버리지(coverage) 영역 내의 서비스를 액세스하려는 경우, WLAN은 사용자 액세스를 인증 및 인정한 후에 네트워크 액세스를 허용한다. 인증 후, 공중 WLAN은 보안 데이터 채널을 이동 통신 디바이스에 개방하여, WLAN과 디바이스 간을 이동하는 데이터의 프라이버시(privacy)를 보호한다. 현재, 수많은 WLAN 장비 제조업체는, 배치되는 장비를 위해 IEEE 802.1x 프로토콜을 채택한다. 그러므로 WLAN을 위한 유력한 인증 메커니즘은 이 표준을 사용한다. 불행하게도, IEEE 802.1x 프로토콜은, 그 프로토콜의 활용 모델로서 사설 LAN 액세스를 사용하도록 설계되었다. 그러므로 IEEE 802.1x 프로토콜은 공중 WLAN 환경에서의 보안성을 개선하는 특징을 제공하지는 않는다.If a user wants to access a service within a public WLAN coverage area, the WLAN allows network access after authenticating and authorizing user access. After authentication, the public WLAN opens a secure data channel to the mobile communication device to protect the privacy of data traveling between the WLAN and the device. Currently, many WLAN equipment manufacturers employ the IEEE 802.1x protocol for deployed equipment. Therefore, a strong authentication mechanism for WLANs uses this standard. Unfortunately, the IEEE 802.1x protocol is designed to use private LAN access as the usage model for that protocol. Therefore, the IEEE 802.1x protocol does not provide features that improve security in public WLAN environments.

웹 브라우저 기반의 인증 방법에서, 이동 단말기는, HTTPS(Hyper Text Transfer Protocol Secured Sockets) 프로토콜을 이용하여 작동하는 웹 브라우저를 사용하여 인증 서버와 통신하고, 이동 단말기와 인증 서버 간의 경로에 있는 임의의 사용자가 기밀 사용자 정보를 침해 또는 훔칠 수 없다는 점을 보증한다. 그러나 인증 서버가 이동 단말기와 관계하는 유일한 정보는, 자신의 IP 어드레스이다.In a web browser-based authentication method, a mobile terminal communicates with an authentication server using a web browser that operates using the Hyper Text Transfer Protocol Secured Sockets (HTTPS) protocol, and any user in the path between the mobile terminal and the authentication server. Ensure that confidential user information cannot be infringed or stolen. However, the only information that the authentication server relates to the mobile terminal is its IP address.

사용자가 WLAN에 의해 인증되는 경우, 사용자와 WLAN은 보안 세션 키를 확립 및 공유한다. 후속하는 모든 통신은 이 세션 키를 사용하여 암호화된다. 보안성 공격, 예로서 IEEE 802.11 WEP 암호화 프로토콜에 있는 보안 홀(security hole)을 탐색하는 공격을 방지하고, 강력한 보안성을 보증하기 위하여, 세션 키는 주기적으로 업데이트할 필요가 있다. 실제로, 초기 세션 키가 WEP(Wired Equivalent Privacy) 키로서 사용되는 경우, 무선 사용자와 WLAN 액세스 포인트 간의 WEP 키를 사용하는 특정한 수의 통신 교환 이후에, 해커는 그 키를 크랙(crack)할 수도 있다. IEEE 802.1x에 있어서, 세션 키가 업데이트되는 WLAN에서의 보안 액세스 제어를 위해 사용된 프로토콜은 인증 서버에 의존한다. 본질적으로, 키가 업데이트되는 시간마다, 사용자는 초기 인증과 유사한 인증 단계를 통해 승인될 필요가 있다. 이 절차는 몇몇 애플리케이션에서 비효율적이고 불가능할 수 있다. WLAN 기술은, 사용자가 인증되고, 세션 키가 확립되면, 앞으로의 키 업데이트는 인증 서버의 참여를 더 이상 필요로 하지 않는 방법으로부터 이득을 얻을 수 있다.If the user is authenticated by the WLAN, the user and the WLAN establish and share a secure session key. All subsequent communications are encrypted using this session key. In order to prevent security attacks, for example attacks that seek security holes in the IEEE 802.11 WEP encryption protocol, and to ensure strong security, the session key needs to be updated periodically. Indeed, if the initial session key is used as a Wired Equivalent Privacy (WEP) key, after a certain number of communication exchanges using the WEP key between the wireless user and the WLAN access point, the hacker may crack that key. . In IEEE 802.1x, the protocol used for secure access control in a WLAN where the session key is updated depends on the authentication server. In essence, every time the key is updated, the user needs to be authorized through an authentication step similar to initial authentication. This procedure may be inefficient and impossible in some applications. WLAN technology may benefit from how future key updates no longer require participation of the authentication server once the user is authenticated and the session key is established.

추가로, 관리 정보를 처리하는 애플리케이션, 특히 로그 오프 요청은 통상적으로 해킹으로부터의 보안성을 필요로 한다. 그러나 IEEE 802.1x에 있어서, 그러한 정보는 암호화되지 않은 상태로 송신되므로, 이동 단말기는, 해커가 세션 키를 갖고 있지 않더라도, 해커가 인증된 사용자를 로그 오프할 수 있는 공격에 쉽게 방치된다. 그렇기 때문에, WLAN 기술은, 세션 키를 이용하여 추가로 암호화되는 암호화 키 업데이트 또는 로그 오프 요청을 위해 제공되는 방법으로부터 이득을 얻을 수 있다.In addition, applications that process management information, particularly logoff requests, typically require security from hacking. However, in IEEE 802.1x, such information is transmitted in an unencrypted state, so that the mobile terminal is easily left to an attack that allows the hacker to log off an authenticated user even if the hacker does not have a session key. As such, WLAN technology may benefit from the methods provided for encryption key update or logoff requests that are further encrypted using the session key.

<발명의 개요><Overview of invention>

이동 단말기와 통신 네트워크 간에 보안 통신 세션을 제공하기 위한 방법은, 단말기와 통신 네트워크 간의 통신을 암호화하기 위해 세션 키를 사용하는 것이 바람직하고, 세션 키는, 단말기와, 통신 네트워크의 액세스 포인트에 저장되는 보안 키를 포함하는 키의 세트로부터 도출할 수도 있다. 또한, 보안 키는 보안 로그 오프 메커니즘을 제공하는데 사용할 수도 있다.A method for providing a secure communication session between a mobile terminal and a communication network preferably uses a session key to encrypt communication between the terminal and the communication network, wherein the session key is stored at the terminal and an access point of the communication network. It may be derived from a set of keys that includes a security key. Security keys can also be used to provide a secure logoff mechanism.

본 발명은, 사용자 인증 단계 동안, 무선 사용자 머신과 WLAN AP 둘 다에, 초기 세션 키로서 간주하는 1개의 공유 비밀을 인스톨하는 대신, 2개의 공유 키를 인스톨함으로써, WLAN 환경에 있는 이동 단말기의 보안성을 개선하기 위한 방법을 제공한다. 공유 키 중 하나는 초기 세션 키로서 사용하고, 다른 공유 키는 보안 시드로서 사용한다. 초기 인증된 통신이 안전하기 때문에, 그 2개의 보안 키가 확립되면, 해커가 이러한 형태의 보호를 크랙하는 것은 거의 불가능하다. 그리고 초기 세션 키는 언젠가는 해커에 의해 크랙될 수도 있지만, 보안 시드는 임의의 불안전한 통신에 사용되지 않기 때문에 항상 안전하게 유지된다.The present invention, during the user authentication phase, secures a mobile terminal in a WLAN environment by installing two shared keys on both the wireless user machine and the WLAN AP, instead of installing one shared secret, which is considered as the initial session key. It provides a way to improve gender. One of the shared keys is used as the initial session key and the other is used as the security seed. Since the initial authenticated communication is secure, it is almost impossible for a hacker to crack this type of protection once the two security keys are established. And although the initial session key might someday be cracked by hackers, the security seed is always kept secure because it is not used for any insecure communication.

본 발명의 실시예는, 키 업데이트 동안, 새로운 키가 WLAN 액세스 포인트와 이동 단말기 간에 생성되어 교환되는 프로세스를 포함한다. 이 새로운 키를 직접 사용하는 대신, 액세스 포인트와 이동 단말기는, 이 새로운 키를 보안 시드와 함께 사용하여 새로운 세션 키를 생성한다. 예로서, 보안 시드와 새로운 키를 연관시킨 다음, MD5(Message Digest 5) 해시 알고리즘과 같은 한 가지 방향의 해시 기능을 계산하여 고정된 스트링을 생성함으로써, 새로운 세션 키를 생성할 수도 있다. 해커는 보안 시드를 구비할 수 없기 때문에, 오래된 세션 키를 크랙할 수 있더라도, 새로운 세션 키를 얻지는 못한다.Embodiments of the present invention include a process during which a new key is generated and exchanged between a WLAN access point and a mobile terminal. Instead of using this new key directly, the access point and mobile terminal use this new key with the security seed to generate a new session key. For example, a new session key may be generated by associating a new key with a security seed and then computing a hash function in one direction, such as a Message Digest 5 (MD5) hash algorithm, to generate a fixed string. Because hackers can't have a secure seed, even if they can crack an old session key, they won't get a new one.

본 발명의 실시예는, 세션 로그 오프 동안, 이동 단말기는, 해커가 인증된 이동 단말기를 로그 오프 못하게 하는 보안 상태를 유지하는 프로세스를 또한 포함한다. IEEE 802.1x 기반의 방식은 보안 로그 오프를 제공하지 않는데, 이는 로그 오프 요청이 암호화되지 않은 프레임에서 수행되기 때문이다. 그러나 본 발명의 실시예에서, 이동 단말기는 보안 시드에 의해 수행되는 암호화된 로그 오프 요청을 송신한다. 그래서, 해커가 세션 키를 크랙하는 경우이더라도, 인증된 사용자의 로그 오프는 불가능한데, 이는 보안 시드가 로그 오프 요청에 나타나기 때문이며, 더 이상 유효하지 않기 때문이며(사용자가 로그 인하는 시간마다 새로운 보안 시드가 교섭될 필요가 있음), 따라서 오래된 보안 시드가 해커에 의해 크랙되더라도, 해가 되는 결과는 없다.Embodiments of the present invention also include a process during which a mobile terminal maintains a secure state that prevents hackers from logging off an authenticated mobile terminal. The IEEE 802.1x based scheme does not provide secure logoff because the logoff request is performed in an unencrypted frame. However, in the embodiment of the present invention, the mobile terminal transmits an encrypted logoff request performed by the secure seed. So even if the hacker cracks the session key, the logged off of the authenticated user is not possible because the security seed appears in the log off request and is no longer valid (new security seed every time the user logs in) Need to be negotiated), so even if the old security seed is cracked by a hacker, there is no harm.

또한, 본 발명의 실시예는, 이동 단말기와 무선 로컬 액세스 네트워크(WLAN) 간에 보안 통신 세션을 제공하기 위한 방법을 포함하는데, 상기 방법은, 제1 및 제2 보안 키를 생성하는 단계, 보안 통신 방법을 사용하여 상기 이동 단말기에 상기 제1 및 제2 보안 키-상기 제1 및 제2 보안 키는 상기 보안 통신 세션 동안에 사용하기 위해 상기 이동 단말기에 저장함-를 전송하는 단계, 현재 세션 키를 사용하여 상기 이동 단말기에 데이터를 암호화하여 전송하고, 상기 현재 세션 키를 사용하여 상기 이동 단말기로부터 수신되는 데이터를 수신하여 암호해독 하는 단계-상기 제1 세션 키는 초기에는 상기 현재 세션 키로서 사용함-, 및 상기 제2 보안 키를 사용하여 후속 세션 키를 주기적으로 생성하고, 상기 WLAN과 상기 이동 단말기 간의 후속 통신 동안의 현재 세션 키로서 상기 후속 세션 키를 사용하는 단계를 포함한다.Embodiments of the invention also include a method for providing a secure communication session between a mobile terminal and a wireless local access network (WLAN), the method comprising: generating first and second security keys, secure communication Using the method to transmit the first and second security keys to the mobile terminal, the first and second security keys stored in the mobile terminal for use during the secure communication session, using a current session key Encrypting and transmitting data to the mobile terminal, and receiving and decrypting data received from the mobile terminal using the current session key, wherein the first session key is initially used as the current session key; And periodically generating a subsequent session key using the second security key, and a current session during subsequent communication between the WLAN and the mobile terminal. As a step of using said next session key.

또한, 본 발명은 이동 단말기와 WLAN 간에 보안 통신 세션을 제공하기 위한 장치를 포함하는데, 상기 장치는, 제1 및 제2 보안 키를 생성하기 위한 수단과, 상기 이동 단말기에 상기 제1 및 제2 보안 키를 전송하기 위한 수단을 포함한다. 이동 단말기는 후속하여 수신되는 데이터의 암호해독을 위해 제1 및 제2 보안 키를 저장한다. WLAN에서, 이동 단말기에 데이터를 암호화하여 전송하는 수단은 현재 세션 키를 사용한다. WLAN에서, 후속 세션 키를 주기적으로 생성하는 수단은, 제2 보안 키를 사용하고, WLAN과 이동 단말기 간의 통신 동안의 현재 세션 키로서 후속 세션 키를 사용한다.The invention also includes an apparatus for providing a secure communication session between a mobile terminal and a WLAN, the apparatus comprising: means for generating a first and a second security key and the first and second devices in the mobile terminal; Means for transmitting the security key. The mobile terminal stores the first and second security keys for subsequently decrypting the received data. In a WLAN, the means for encrypting and transmitting data to the mobile terminal uses the current session key. In the WLAN, the means for periodically generating a subsequent session key uses the second security key and uses the subsequent session key as the current session key during communication between the WLAN and the mobile terminal.

본 발명은 첨부한 도면을 참조하여 설명하는 다음의 상세한 설명을 통해 가장 잘 이해된다. 도면의 다양한 특징이 모두 도시되지는 않는다. 대조적으로, 명확하게 하기 위하여 다양한 특징이 임의로 확장 또는 축소될 수도 있다. 도면에 포함된 것은 다음과 같다.The invention is best understood from the following detailed description, which is described with reference to the accompanying drawings. Not all of the various features of the drawings are shown. In contrast, various features may be arbitrarily expanded or reduced for clarity. Included in the drawings are as follows.

도 1은 이동 무선 통신 디바이스를 인증하기 위한 본 원리의 방법을 실행하기 위한 통신 시스템의 블록 다이어그램이다.1 is a block diagram of a communication system for implementing a method of the present principles for authenticating a mobile wireless communication device.

도 2는 본 발명에 따른 2개의 보안 키를 확립하는 방법의 흐름도이다.2 is a flow chart of a method for establishing two security keys in accordance with the present invention.

도 3은 본 발명에 따른 보안 로그 오프 절차를 확립하는 방법의 흐름도이다.3 is a flowchart of a method of establishing a security logoff procedure in accordance with the present invention.

도 4는 본 발명을 실시하기 위한 장치의 블록 다이어그램이다.4 is a block diagram of an apparatus for practicing the present invention.

논의될 도면에 있어서, 회로 및 관련 블록과 화살표는, 전기 회로와, 전기 신호를 전송하는 관련 배선 또는 데이터 버스로서 실시될 수도 있는 본 발명에 따른 프로세스의 기능을 표현한다. 대안으로, 하나 이상의 관련 화살표는, 특히 본 발명의 방법 또는 장치가 디지털 프로세스로서 실시되는 경우, 소프트웨어 루틴 간의 통신(예컨대, 데이터 흐름)을 표현할 수도 있다.In the drawings to be discussed, circuits and associated blocks and arrows represent the functionality of the process according to the invention, which may be implemented as electrical circuits and associated wiring or data buses for transmitting electrical signals. Alternatively, one or more related arrows may represent communication (eg, data flow) between software routines, particularly when the method or apparatus of the present invention is implemented as a digital process.

도 1에 따르면, 1401∼140n으로 표현한 하나 이상의 이동 단말기는, 액세스 포인트(130n), 방화벽(122)과 관련된 로컬 컴퓨터(120), 및 인증 서버(150n)와 같은 하나 이상의 가상 오퍼레이터(operator)(1501-n)를 통해 통신한다. 단말기(1401-n)로부터의 통신은, 인터넷(110)과, 통상적으로 해커와 같이 승인되지 않은 엔티티로부터 높은 보안성을 요구하는 관련 통신 경로(152,154)를 사용하여 보안 데이터베이스 또는 다른 소스에 액세스하는 것을 필요로 한다.According to FIG. 1, one or more mobile terminals, represented by 140 1 through 140 n , may include one or more virtual operators, such as an access point 130 n , a local computer 120 associated with a firewall 122, and an authentication server 150 n . (operator) 150 1-n to communicate. Communications from terminals 140 1-n access the security database or other sources using the Internet 110 and related communication paths 152,154, which typically require high security from unauthorized entities such as hackers. Need to do.

도 1에 도시하는 바와 같이, IEEE 802.1x 아키텍처는, 네트워크 스택의 더 높은 계층에 투명한 국(station) 이동성을 제공하도록 상호작용하는 몇몇 컴포넌트 및 서비스를 포함한다. IEEE 802.1x 네트워크는 액세스 포인트(1301-n) 및 이동 단말기(1401-n)와 같은 국을, 무선 매체(124)와 통신하고, IEEE 802.1x 프로토콜의 기능성을 포함하는 컴포넌트로서 정의하는데, 그 컴포넌트는 MAC(Medium Access Control)(1381-n), 대응 PHY(Physical Layer)(도시하지 않음), 및 무선 매체로의 커넥션(127)이다. 통상적으로, IEEE 802.1x 기능은 무선 모뎀 또는 네트워크 액세스 또는 인터페이스 카드의 하드웨어 및 소프트웨어에서 실시한다. 본 발명은 식별 수단을 통신 스트림에 실시하기 위한 방법을 제안하여, 다운링크 트래픽(즉, 인증 서버로부터, 랩톱(laptop)과 같은 이동 단말기로)을 위한 IEEE 802.1x WLAN MAC 계층과 호환가능한 액세스 포인트(1301-n)는, 하나 이상의 무선 이동 디바이스(1401-n), 로컬 또는 백 엔드(back end) 서버(120), 및 인증 서버(150)의 인증에 참여할 수도 있다.As shown in FIG. 1, the IEEE 802.1x architecture includes several components and services that interact to provide transparent station mobility to higher layers of the network stack. An IEEE 802.1x network defines stations such as access points 130 1-n and mobile terminals 140 1-n as components that communicate with the wireless medium 124 and include the functionality of the IEEE 802.1x protocol, The component is a medium access control (MAC) 138 1-n , a corresponding physical layer (PHY) (not shown), and a connection 127 to the wireless medium. Typically, IEEE 802.1x functionality is implemented in the hardware and software of a wireless modem or network access or interface card. The present invention proposes a method for implementing the identification means in a communication stream, thereby providing an access point compatible with the IEEE 802.1x WLAN MAC layer for downlink traffic (i.e. from an authentication server to a mobile terminal such as a laptop). 130 1-n may participate in authentication of one or more wireless mobile devices 140 1-n , local or back end server 120, and authentication server 150.

본 원리에 따르면, 이동 단말기 자체뿐만 아니라 IEEE 802.1x 프로토콜에 따른 통신 스트림을 인증함으로써, 액세스(160)는 각각의 이동 단말기(1401-n)를 WLAN(115)에 안전하게 액세스 가능하게 한다. 액세스(160)가 그러한 보안 액세스를 가능하게 하는 방식은 도 1과 도 2를 참조하여 가장 잘 이해할 수 있다.According to the present principles, by authenticating communication streams in accordance with the IEEE 802.1x protocol as well as the mobile terminal itself, access 160 makes each mobile terminal 140 1-n securely accessible to WLAN 115. The manner in which access 160 enables such secure access can be best understood with reference to FIGS. 1 and 2.

이동 무선 통신 디바이스, 즉 이동 단말기(140n), 공중 WLAN(115), 로컬 웹 서버(120) 및 인증 서버(150) 간의 시간에 따라 발생하는 상호작용의 시퀀스가, IEEE 802.1x 프로토콜의 환경하에서 설명되는데, 도 1의 액세스 포인트(130n)는 제어 포트 및 미제어 포트를 유지하고, 이를 통해 액세스 포인트는 이동 단말기(1401-n)와 정보를 교환한다. 액세스 포인트(130n)에 의해 유지되는 제어 포트는, 액세스 포인트(130n)를 통과하는 데이터 트래픽과 같은 미인증 정보를 위한 통로(entryway)로서의 기능을 하는데, 이는 액세스 포인트가 로컬 서버(120)와 이동 단말기(1401-n) 간을 이동하기 때문이다. 통상적으로, 액세스 포인트(1301-n)는, 적절한 이동 단말기(1401-n)의 인증이 전달될 때까지, IEEE 802.1x 프로토콜에 따라 각각의 제어 포트를 폐쇄 상태로 유지한다. 액세스 포인트(1301-n)는 각각의 미제어 포트를 항상 개방 상태로 유지하여, 이동 단말기(1401-n)가 인증 서버(150)와 인증 데이터를 교환하게 한다.Under the mobile wireless communication device, that the mobile terminal (140 n), a public WLAN (115), the sequence of interactions that take place in time between the local web server 120 and authentication server 150, the IEEE 802.1x protocol environment As illustrated, the access point 130 n of FIG. 1 maintains a control port and an uncontrolled port through which the access point exchanges information with the mobile terminals 140 1-n . Access point control port is held by the (130 n), the access point to a non-function of a passage (entryway) for authentication information, such as data traffic passing through the (130 n), which access points, the local server 120 This is because the mobile station moves between the mobile station and the mobile terminal 140 1-n . Typically, the access point 130 1-n maintains each control port closed in accordance with the IEEE 802.1x protocol until authentication of the appropriate mobile terminal 140 1-n is delivered. The access point 130 1-n keeps each uncontrolled port open at all times, causing the mobile terminal 140 1-n to exchange authentication data with the authentication server 150.

도 2를 참조하여 더욱 구체적으로 설명하면, WLAN 환경에 있는 이동 단말기(140n)의 보안성을 개선하기 위한 본 발명에 따른 방법은, 사용자 인증 단계 동안, 이동 단말기(140n)와 WLAN 액세스 포인트(130n) 둘 다에, 1개의 공유 비밀 대신 2개의 공유 비밀을 인스톨(install) 한다. 공유 비밀 중 하나는 초기 세션 키로서 사용하고, 다른 하나는 보안 시드(seed)로서 사용한다. 초기 인증이 안전하기 때문에, 이러한 2개의 키는 해커에게 알려지지 않는다. 그 키는, 알려진 방법, 예로서 그러한 키를 생성하여 분배하기 위한 인증 서버를 사용하여, 이동 단말기와 WLAN 액세스 포인트에 생성 및 분배할 수도 있다. 초기 세션 키는 언젠가는 해커에 의해 크랙될 수도 있지만, 보안 시드는 임의의 불안전한 통신에 사용되지 않기 때문에 안전하게 유지된다. 특히, 본 발명에 따른 방법은 이동 단말기(140n)로부터의 웹 요청을 액세스 포인트(130n)를 통해 처리하여 세션 ID(215)를 임베드(embed)한다.More specifically with reference to FIG. 2, the method according to the invention for improving the security of the mobile terminal 140 n in a WLAN environment, during the user authentication phase, is performed by the mobile terminal 140 n and the WLAN access point. (130 n ) Install both shared secrets instead of one shared secret. One of the shared secrets is used as the initial session key and the other is used as the security seed. Since the initial authentication is secure, these two keys are unknown to the hacker. The keys may be generated and distributed to mobile terminals and WLAN access points using known methods, such as an authentication server for generating and distributing such keys. The initial session key may someday be cracked by hackers, but the security seed remains secure because it is not used for any insecure communication. In particular, the method according to the present invention processes the web request from the mobile terminal 140 n via the access point 130 n to embed the session ID 215.

도 2를 참조하면, 본 발명에 따른 방법은, 사용자 인증 단계 동안, 이동 단말기(140n)와 WLAN 액세스 포인트(130n) 둘 다에 적어도 2개의 공유 비밀을 인스톨하는 단계를 포함함으로써, WLAN 환경에 있는 이동 단말기(140n)의 보안성을 개선하는데, 제1 비밀은 초기 세션 키이고, 후속 키는 보안 시드로서 사용한다.Referring to FIG. 2, the method according to the present invention includes installing at least two shared secrets in both the mobile terminal 140 n and the WLAN access point 130 n during the user authentication step, thereby providing a WLAN environment. In order to improve the security of the mobile terminal 140 n at , the first secret is the initial session key and the subsequent key is used as the security seed.

본 발명의 원리에 따르면, 각 디바이스(1401-140n)와 같은 각 이동 통신 디바이스를, 디바이스 자체뿐만 아니라, 디바이스로부터 나오는 트래픽을 인증할 수 있는 WLAN(115)에 안전하게 액세스 가능하게 하는 기술을 제공한다. 도 2에서 사용되는 인증 기술은, 이동 단말기(140n), 액세스 포인트(130n) 및 인증 서버(150) 간의 시간에 따라 발생하는 통신의 시퀀스를 도시한다. 보안 액세스를 개시하기 위하여, 이동 단말기(140n)는, 도 2의 단계 200에서, 액세스 포인트(130n)에 액세스를 위한 요청을 전송한다. 실제로, 이동 단말기(140n)는, 이동 단말기(140n)에 의해 실행되는 브라우저 소프트웨어 프로그램(도시하지 않음)에 의해 시작된 HTTPS 액세스 요구(demand)에 의한 액세스 요청을 개시한다. 액세스 요청에 응답하여, 액세스 포인트(130n)는, 단계 202에서, 이동 단말기(140n)에 있는 브라우저 소프트웨어를 액세스 포인트(130n)상의 로컬 웰컴 페이지에 리디렉트(redirect) 한다.In accordance with the principles of the present invention, each of the mobile communication device to, technologies that not only the device itself, can secure access to the WLAN (115) to authenticate the traffic coming from the device such as the devices (140 1 -140 n) to provide. The authentication technique used in FIG. 2 illustrates a sequence of communications that occur over time between the mobile terminal 140 n , the access point 130 n , and the authentication server 150. To initiate secure access, the mobile terminal 140 n sends a request for access to the access point 130 n at step 200 of FIG. 2. In practice, mobile terminal 140 n initiates an access request by an HTTPS access request initiated by a browser software program (not shown) executed by mobile terminal 140 n . In response to the access request, the access point 130 n redirects the browser software at the mobile terminal 140 n to the local welcome page on the access point 130 n at step 202.

단계 202에 후속하여, 이동 단말기(140n)는, 단계 204에서, 적당한 인증 서버의 아이덴티티(identity)를 위한 액세스 포인트(130n)를 질의함으로써 인증 시퀀스를 개시한다. 이에 응답하여, 액세스 포인트(130n)는, 단계 206에서, 적당한 인증 서버(예컨대, 서버 150)의 아이덴티티를 결정한 다음, 단계 208에서, 이동 단말기(140n)에 있는 브라우저 소프트웨어를 HTTP 명령을 통해 그 서버에 송신한다. 단계 208에서, 인증 서버(150)의 아이덴티티가 새롭게 수신되고, 도 2의 단계 210에서, 이동 단말기(140n)는 자신의 사용자 자격 증명(credential)을 그 서버에 송신한다.Subsequent to step 202, the mobile terminal 140 n initiates an authentication sequence by querying the access point 130 n for the identity of the appropriate authentication server, in step 204. In response, the access point 130 n determines, in step 206, the identity of a suitable authentication server (eg, server 150), and then, in step 208, the browser software in the mobile terminal 140 n via an HTTP command. Send to that server. In step 208, the identity of the authentication server 150 is newly received, and in step 210 of FIG. 2, the mobile terminal 140 n transmits its user credentials to the server.

이동 단말기(140n)로부터 사용자 자격 증명을 수신하면, 인증 서버(150)는, 단계 212에서, 이동 단말기(140n)가 유효 사용자를 구성하고 있는지를 판정한다. 이동 단말기가 유효 사용자를 구성하고 있다면, 인증 서버(150)는, WEP(Wired Equivalent Privacy) 암호화 키를 사용하는 단계 214에서 이동 단말기(140n)에 응답하는데, 디바이스는, 디바이스의 브라우저 소프트웨어에 의한 ActiveX 컨트롤의 ActiveX 명령을 통해 WEP 암호화 키를 시동한다. ActiveX 컨트롤은 본질적으로는 웹 페이지 내에 임베드될 수 있는 실행가능한 프로그램이다. Microsoft Internet Explorer와 같은 수많은 소프트웨어 브라우저 프로그램은, 그러한 웹 페이지를 표시할 수 있고, 원격 서버(예컨대, 인증 서버 150)로부터 다운로드할 수 있는 임베드된 ActiveX 컨트롤을 시동할 수 있다. ActiveX 컨트롤의 실행은 브라우저 소프트웨어에 구성된 보안성 메커니즘에 의해 제한된다. 실제로, 대부분의 브라우저 소프트웨어는 선택가능한 몇몇 상이한 보안성 레벨을 구비한다. 가장 낮은 레벨에서, 웹으로부터의 임의의 ActiveX 컨트롤은 제한 없이 시동할 수 있다. 가장 높은 레벨에서, 브라우저 소프트웨어로부터 시동할 수 있는 ActiveX 컨트롤은 없다.Upon receiving the user credentials from the mobile terminal 140 n , the authentication server 150 determines whether the mobile terminal 140 n constitutes an effective user in step 212. If the mobile terminal is configuring an effective user, the authentication server 150 responds to the mobile terminal 140 n at step 214 using the Wired Equivalent Privacy (WEP) encryption key, which device may be configured by the browser software of the device. Activate the WEP encryption key through the ActiveX command in the ActiveX control. ActiveX controls are essentially executable programs that can be embedded within web pages. Many software browser programs, such as Microsoft Internet Explorer, can display such web pages and launch embedded ActiveX controls that can be downloaded from a remote server (eg, authentication server 150). Execution of ActiveX controls is limited by the security mechanisms configured in the browser software. Indeed, most browser software has several different levels of security to choose from. At the lowest level, any ActiveX control from the web can start without restriction. At the highest level, there is no ActiveX control that can be launched from browser software.

본 발명에 따른 방법은, 인증 및 승인 이후의 단계 217에서, 제1 키를 생성하고, 액세스 포인트(130n)와 이동 단말기(140n)에 그 새로운 키를 분배하는 단계를 포함한다. 단계 221에서, 보안 시드(123)로서 참조되는 제2 키는, 이동 단말기(140n)와 액세스 포인트(130n)에 분배한다. 그 이후, 이동 단말기와 액세스 포인트는, 데이터를 암호화하는 세션으로서 제1 키를 사용하여 통신한다. 그 이후, 액세스 포인트(130n)와 이동 단말기(140n)는 키(119)와 보안 시드(123)를 채택하여 새로운 세션 키(121)를 주기적으로 생성하는데, 이에 의해, 새로운 세션 키는 이동 단말기와 액세스 포인트 간의 후속 통신을 위해 사용한다. 제2 키는, 통신 세션 동안, 이동 단말기와 액세스 포인트에 비밀로서 항상 저장 및 유지되어, 해커는 제2 키를 판정할 수 없다. 새로운 세션 키를 생성하고, 보안을 위해 그 새로운 키를 사용하기에 앞서, 그 새로운 세션 키를 보안 시드에 연관시키는 것과 같은 결합한 키의 관리를 더 용이하게 하는 몇몇 기술이 채택될 수도 있다. 결합한 세션 키와 보안 시드를 연관시키면, 그 프로세스는, 연관된 새로운 세션 키와 보안 시드에 대해 해시(hash) 알고리즘을 계산할 수도 있고, 전송을 위한 고정 스트링(string)을 생성할 수도 있다.The method according to the invention comprises, in step 217 after authentication and authorization, generating a first key and distributing the new key to the access point 130 n and the mobile terminal 140 n . In step 221, the second key, referred to as the security seed 123, is distributed to the mobile terminal 140 n and the access point 130 n . Thereafter, the mobile terminal and the access point communicate using the first key as a session for encrypting data. Thereafter, the access point 130 n and the mobile terminal 140 n periodically adopt a key 119 and a security seed 123 to periodically generate a new session key 121, whereby the new session key is moved. Used for subsequent communication between the terminal and the access point. The second key is always stored and kept secret at the mobile terminal and the access point during the communication session, so that the hacker cannot determine the second key. Prior to generating a new session key and using that new key for security, some techniques may be employed that make it easier to manage the combined key, such as associating the new session key with the security seed. By associating the combined session key with the secure seed, the process may calculate a hash algorithm for the associated new session key and secure seed and generate a fixed string for transmission.

WLAN 환경에 있는 이동 단말기의 보안성을 개선하기 위한 방법은, 이동 단말기(140n)가, 세션 로그 오프 동안, 보안 시드에 의해 수행되는 암호화된 로그 오프 요청을 송신하여, 보안 시드가 로그 오프 요청에 나타나게 하는 단계를 더 포함한다. 세션 로그 오프 동안, 이동 단말기(140n)는, 해커가 인증된 이동 단말기(140n)를 로그 오프 못하게 하는 보안 상태를 유지한다. IEEE 802.1x 기반의 방식은 보안 로그 오프를 제공할 수 없는데, 이는 로그 오프 요청이 암호화되지 않은 프레임에서 수행되기 때문이다. 그러나 본 발명의 실시예에서, 이동 단말기(140n)는 보안 시드(123)에 의해 수행되는 암호화된 로그 오프 요청(228)을 송신한다. 그래서, 해커가 세션 키를 크랙하는 경우이더라도, 이동 단말기(140n)에 대한 인증된 사용자의 로그 오프는 불가능한데, 이는 보안 시드(123)가 로그 오프 요청(228)에 나타나기 때문이며, 사용자가 로그 인하는 시간마다 새로운 보안 시드가 교섭될 필요가 있는 이후에는 더 이상 사용되지 않기 때문이다.A method for improving the security of a mobile terminal in a WLAN environment is that the mobile terminal 140 n sends an encrypted logoff request performed by the secure seed during session logoff so that the secure seed requests the logoff request. It further comprises the step of appearing in. During session logoff, the mobile terminal 140 n maintains a secure state that prevents hackers from logging off the authenticated mobile terminal 140 n . IEEE 802.1x based schemes cannot provide secure logoff because the logoff request is performed in an unencrypted frame. However, in the embodiment of the present invention, mobile terminal 140 n transmits an encrypted log off request 228 performed by secure seed 123. So even if the hacker cracks the session key, the logged off of the authenticated user to the mobile terminal 140 n is not possible because the security seed 123 appears in the log off request 228, and the user logs This is because the new security seed is no longer used after the new security seed needs to be negotiated every time.

도 4는 이동 단말기(140n)와 WLAN 간의 보안 통신 세션을 위한 장치를 도시한다. 액세스 포인트(130n)는, 제1 및 제2 보안 키를 생성하기 위한 수단(410)과, 이동 단말기(140n)에 제1 보안 키(119)와 제2 보안 키(123)를 전송하기 위한 수단(420)을 포함한다. 이동 단말기(140n)는 제1 보안 키(119)와 제2 보안 키(123)를 수신하고, 그 키를 보안 통신 동안에 사용하기 위하여 레지스터(430)에 저장한다. 액세스 포인트(130n)는, 데이터를 암호화하는 수단(415)과, 현재의 세션 키를 사용하여 WLAN(115)을 통해 이동 단말기(140n)에 데이터를 전송하는 수단(420)을 포함한다. 이동 단말기(140n)는, 수신하는 수단(450)과, 현재의 세션 키를 사용하여 액세스 포인트(130n)로부터 수신되는 데이터를 암호해독 하는 수단(435)을 포함하는데, 제1 보안 키는 초기에는 현재 세션 키(119)로서 사용한다. 액세스 포인트(130n)는 제2 세션 키를 사용하여 후속 세션 키를 주기적으로 생성하는 수단(425)을 포함하고, WLAN(115)과 이동 단말기(140n) 간의 후속 통신 동안, 그 후속 세션 키를 현재 세션 키로서 사용한다.4 shows an apparatus for a secure communication session between mobile terminal 140 n and a WLAN. The access point 130 n includes means 410 for generating first and second security keys, and transmitting the first security key 119 and the second security key 123 to the mobile terminal 140 n . And means 420 for. Mobile terminal 140 n receives first security key 119 and second security key 123 and stores the key in register 430 for use during secure communication. Access point 130 n includes means for encrypting data 415 and means 420 for transmitting data to mobile terminal 140 n over WLAN 115 using the current session key. The mobile terminal 140 n includes means for receiving 450 and means 435 for decrypting data received from the access point 130 n using the current session key, the first security key being Initially, it is used as the current session key 119. The access point 130 n includes means 425 for periodically generating a subsequent session key using the second session key, and during subsequent communication between the WLAN 115 and the mobile terminal 140 n , the subsequent session key Is used as the current session key.

도시한 바와 같은 본 발명의 형태는 단순히 바람직한 실시예로서 이해하게 된다. 부품의 기능 및 배열에서 다양한 변경이 이루어질 수도 있는데, 동등한 수단이 예시 및 설명된 수단으로 대체될 수도 있으며, 어떤 특징은 다음의 청구항에서 정의되는 본 발명의 사상 및 범위로부터 벗어나지 않으면서 다른 특징과 무관하게 사용할 수도 있다.The form of the invention as shown is to be understood merely as a preferred embodiment. Various modifications may be made in the function and arrangement of the components, and equivalent means may be substituted for the illustrated and described means, and certain features are independent of the other features without departing from the spirit and scope of the invention as defined in the following claims. It can also be used.

Claims (23)

통신 네트워크에서 사용자 단말기와의 보안 통신 세션을 제공하기 위한 방법으로서,A method for providing a secure communication session with a user terminal in a communication network, the method comprising: 상기 방법은,The method, 보안 통신 방법을 사용하여 상기 사용자 단말기에 제1 및 제2 보안 키-상기 제1 및 제2 보안 키는 상기 보안 통신 세션 동안에 사용하기 위해 상기 사용자 단말기에 저장하기 적합함-를 전송하는 단계,Transmitting a first and a second security key to the user terminal using a secure communication method, the first and second security keys suitable for storage in the user terminal for use during the secure communication session; 현재 세션 키를 사용하여 상기 사용자 단말기에 데이터를 암호화하여 전송하고, 상기 현재 세션 키를 사용하여 상기 사용자 단말기로부터 수신되는 데이터를 수신하여 암호해독 하는 단계-상기 제1 보안 키는 초기에는 상기 현재 세션 키로서 사용함-, 및Encrypting and transmitting data to the user terminal using a current session key, and receiving and decrypting data received from the user terminal using the current session key—the first security key is initially used for the current session. Used as a key, and 상기 제2 보안 키를 사용하여 후속 세션 키를 주기적으로 생성하고, 상기 통신 네트워크와 상기 사용자 단말기 간의 후속 통신 동안의 현재 세션 키로서 상기 후속 세션 키를 사용하는 단계Periodically generating a subsequent session key using the second security key, and using the subsequent session key as a current session key during subsequent communication between the communication network and the user terminal. 를 포함하는 통신 세션 제공 방법.Communication session providing method comprising a. 제1항에 있어서,The method of claim 1, 상기 제2 보안 키에 의해 수행되는 상기 사용자 단말기로부터의 암호화된 로그 오프 요청에 응답하여 상기 사용자 단말기를 로그 오프하는 단계를 더 포함하는 통신 세션 제공 방법.And logging off the user terminal in response to an encrypted logoff request from the user terminal performed by the second security key. 제1항에 있어서,The method of claim 1, 상기 주기적인 생성 단계는 상기 현재 세션 키와 상기 제2 보안 키를 연관시키고, 해시 알고리즘을 적용함으로써 상기 후속 세션 키를 생성하는 단계를 포함하는 통신 세션 제공 방법.And said periodically generating step comprises associating said current session key with said second security key and generating said subsequent session key by applying a hash algorithm. 무선 로컬 액세스 네트워크(WLAN)에서 이동 단말기와의 보안 통신 세션을 제공하기 위한 방법으로서,A method for providing a secure communication session with a mobile terminal in a wireless local access network (WLAN), 상기 방법은,The method, 보안 통신 방법을 사용하여 상기 이동 단말기에 제1 및 제2 보안 키-상기 제1 및 제2 보안 키는 상기 보안 통신 세션 동안에 사용하기 위해 상기 이동 단말기에 저장하기 적합함-를 전송하는 단계,Transmitting a first and second security key to the mobile terminal using a secure communication method, the first and second security keys suitable for storage in the mobile terminal for use during the secure communication session; 현재 세션 키를 사용하여 상기 이동 단말기에 데이터를 암호화하여 전송하고, 상기 현재 세션 키를 사용하여 상기 이동 단말기로부터 수신되는 데이터를 수신하여 암호해독 하는 단계-상기 제1 보안 키는 초기에는 상기 현재 세션 키로서 사용함-, 및Encrypting and transmitting data to the mobile terminal using a current session key, and receiving and decrypting data received from the mobile terminal using the current session key, wherein the first security key is initially used for the current session. Used as a key, and 상기 제2 보안 키를 사용하여 후속 세션 키를 주기적으로 생성하고, 상기 이동 단말기와의 후속 통신 동안의 현재 세션 키로서 상기 후속 세션 키를 사용하는 단계Periodically generating a subsequent session key using the second security key, and using the subsequent session key as the current session key during subsequent communication with the mobile terminal. 를 포함하는 통신 세션 제공 방법.Communication session providing method comprising a. 제4항에 있어서,The method of claim 4, wherein 상기 주기적인 생성 단계는 상기 제1 보안 키를 사용하여 생성되는 새로운 키와 상기 제2 보안 키의 결합을 사용하여 후속 세션 키를 생성하는 단계를 포함하는 통신 세션 제공 방법.Wherein the periodic generating step comprises generating a subsequent session key using a combination of a new key generated using the first security key and the second security key. 제5항에 있어서,The method of claim 5, 상기 주기적인 생성 단계는 상기 새로운 키와 상기 제2 보안 키를 연관시키고, 후속 세션 키를 생성하는 해시 알고리즘을 작동시킴으로써 후속 세션 키를 생성하는 단계를 포함하는 통신 세션 제공 방법.And said periodically generating step comprises generating a subsequent session key by associating said new key with said second security key and operating a hash algorithm to generate a subsequent session key. 무선 로컬 액세스 네트워크(WLAN)에서 이동 단말기와의 보안 통신 세션을 제공하기 위한 방법으로서,A method for providing a secure communication session with a mobile terminal in a wireless local access network (WLAN), 상기 방법은,The method, 보안 키를 생성하는 단계,Generating a security key, 보안 통신 방법을 사용하여 상기 이동 단말기에 상기 보안 키-상기 보안 키는 상기 보안 통신 세션 동안에 사용하기 위해 상기 이동 단말기에 저장함-를 전송하는 단계,Transmitting the security key to the mobile terminal using a secure communication method, the security key being stored in the mobile terminal for use during the secure communication session; 현재 세션 키를 사용하여 상기 이동 단말기에 데이터를 암호화하여 전송하고, 상기 현재 세션 키를 사용하여 상기 이동 단말기로부터 수신되는 데이터를 수신하여 암호해독 하는 단계, 및Encrypting and transmitting data to the mobile terminal using a current session key, receiving and decrypting data received from the mobile terminal using the current session key, and 상기 이동 단말기로부터의 로그 오프 메시지 수신-상기 로그 오프 메시지는 암호화된 형태이고, 상기 보안 키를 포함함-에 응답하여 상기 보안 통신 세션을 종료하는 단계Terminating the secure communication session in response to receiving a logoff message from the mobile terminal, wherein the logoff message is in encrypted form and includes the security key. 를 포함하는 통신 세션 제공 방법.Communication session providing method comprising a. 무선 로컬 액세스 네트워크(WLAN)에서 이동 단말기와의 보안 통신 세션을 제공하기 위한 방법으로서,A method for providing a secure communication session with a mobile terminal in a wireless local access network (WLAN), 상기 방법은,The method, 제1 및 제2 보안 키를 생성하는 단계,Generating first and second security keys, 보안 통신 방법을 사용하여 상기 WLAN에 상기 제1 및 제2 보안 키-상기 제1 및 제2 보안 키는 상기 보안 통신 세션 동안에 사용하기 위해 상기 WLAN에 저장함-를 전송하는 단계,Transmitting the first and second security keys to the WLAN using the secure communication method, wherein the first and second security keys are stored in the WLAN for use during the secure communication session; 현재 세션 키를 사용하여 상기 WLAN에 데이터를 암호화하여 전송하고, 상기 현재 세션 키를 사용하여 상기 WLAN으로부터 수신되는 데이터를 수신하여 암호해독 하는 단계-상기 제1 보안 키는 초기에는 상기 현재 세션 키로서 사용함-, 및Encrypting and transmitting data to the WLAN using a current session key, and receiving and decrypting data received from the WLAN using the current session key, wherein the first security key is initially used as the current session key. Used-, and 상기 제2 보안 키를 사용하여 후속 세션 키를 주기적으로 생성하고, 상기 이동 단말기와의 후속 통신 동안의 현재 세션 키로서 상기 후속 세션 키를 사용하는 단계Periodically generating a subsequent session key using the second security key, and using the subsequent session key as the current session key during subsequent communication with the mobile terminal. 를 포함하는 통신 세션 제공 방법.Communication session providing method comprising a. 제8항에 있어서,The method of claim 8, 상기 주기적인 생성 단계는 상기 제1 보안 키를 사용하여 생성되는 새로운 키와 상기 제2 보안 키의 결합을 사용하여 후속 세션 키를 생성하는 단계를 포함하는 통신 세션 제공 방법.Wherein the periodic generating step comprises generating a subsequent session key using a combination of a new key generated using the first security key and the second security key. 제9항에 있어서,The method of claim 9, 상기 주기적인 생성 단계는 상기 새로운 키와 상기 제2 보안 키를 연관시키고, 후속 세션 키를 생성하는 해시 알고리즘을 작동시킴으로써 후속 세션 키를 생성하는 단계를 포함하는 통신 세션 제공 방법.And said periodically generating step comprises generating a subsequent session key by associating said new key with said second security key and operating a hash algorithm to generate a subsequent session key. 무선 로컬 액세스 네트워크(WLAN)에서 이동 단말기와의 보안 통신 세션을 제공하기 위한 방법으로서,A method for providing a secure communication session with a mobile terminal in a wireless local access network (WLAN), 상기 방법은,The method, 보안 키를 생성하는 단계,Generating a security key, 보안 통신 방법을 사용하여 상기 WLAN에 상기 보안 키-상기 보안 키는 상기 보안 통신 세션 동안에 사용하기 위해 상기 WLAN에 저장함-를 전송하는 단계,Transmitting the security key to the WLAN using the secure communication method, the security key being stored in the WLAN for use during the secure communication session; 현재 세션 키를 사용하여 상기 WLAN에 데이터를 암호화하여 전송하고, 상기 현재 세션 키를 사용하여 상기 WLAN로부터 수신되는 데이터를 수신하여 암호해독 하는 단계, 및Encrypting and transmitting data to the WLAN using a current session key, receiving and decrypting data received from the WLAN using the current session key, and 상기 WLAN으로부터의 로그 오프 메시지 수신-상기 로그 오프 메시지는 암호화된 형태이고, 상기 보안 키를 포함함-에 응답하여 상기 보안 통신 세션을 종료하는 단계Terminating the secure communication session in response to receiving a logoff message from the WLAN, wherein the logoff message is in encrypted form and includes the security key. 를 포함하는 통신 세션 제공 방법.Communication session providing method comprising a. 무선 로컬 액세스 네트워크(WLAN)에서 이동 단말기와의 보안 통신 세션을 제공하기 위한 방법으로서,A method for providing a secure communication session with a mobile terminal in a wireless local access network (WLAN), 상기 방법은,The method, 사용자 인증 단계 동안 상기 이동 단말기와 WLAN 액세스 포인트 둘 다에 적어도 2개의 공유 비밀을 인스톨하는 단계를 포함하고, 이에 의해 제1 비밀은 초기 세션 키이고, 제2 비밀은 후속 세션 키를 생성하는 보안 시드로서 사용하는 통신 세션 제공 방법.Installing at least two shared secrets on both the mobile terminal and the WLAN access point during a user authentication step, whereby the first secret is an initial session key and the second secret generates a subsequent session key. A method of providing a communication session for use as a service. 제12항에 있어서,The method of claim 12, 새로운 키를 생성하고, 현재 키를 이용하여 상기 새로운 키를 암호화하며, 상기 WLAN과 상기 이동 단말기 간에 상기 새로운 키를 교환하는 단계를 더 포함하는 통신 세션 제공 방법.Generating a new key, encrypting the new key using a current key, and exchanging the new key between the WLAN and the mobile terminal. 제12항에 있어서,The method of claim 12, 상기 WLAN과 상기 이동 단말기는 상기 새로운 세션 키와 상기 보안 시드를 채택하는 새로운 세션 키를 생성하는 단계를 더 포함하는 통신 세션 제공 방법.Generating a new session key by the WLAN and the mobile terminal employing the new session key and the secure seed. 제14항에 있어서,The method of claim 14, 상기 새로운 세션 키 생성 단계는 상기 새로운 키와 상기 보안 시드를 연관시키는 단계를 포함하는 통신 세션 제공 방법.Generating a new session key comprises associating the new key with the secure seed. 제15항에 있어서,The method of claim 15, 상기 연관된 결과에 해시 알고리즘을 적용함으로써 새로운 세션 키를 생성하는 단계를 더 포함하는 통신 세션 제공 방법.Generating a new session key by applying a hash algorithm to the associated result. 제16항에 있어서,The method of claim 16, 상기 WLAN과 상기 이동 단말기 간의 통신 시 상기 새로운 세션 키를 사용하는 단계를 더 포함하는 통신 세션 제공 방법.Using the new session key in communication between the WLAN and the mobile terminal. 이동 단말기와 무선 로컬 액세스 네트워크(WLAN) 간에 보안 통신 세션을 제공하기 위한 방법으로서,A method for providing a secure communication session between a mobile terminal and a wireless local access network (WLAN), the method comprising: 상기 방법은,The method, 이동 단말기가, 세션 로그 오프 동안, 보안 시드를 수반하는 암호화된 로그 오프 요청을 송신하여, 상기 보안 시드가 상기 로그 오프 요청에 나타나게 하는 단계를 포함하는 통신 세션 제공 방법.Sending, by the mobile terminal, an encrypted log off request carrying a secure seed during the session log off, causing the secure seed to appear in the log off request. 이동 단말기와 무선 로컬 액세스 네트워크(WLAN) 간에 보안 통신 세션을 제공하기 위한 액세스 포인트로서,An access point for providing a secure communication session between a mobile terminal and a wireless local access network (WLAN), 보안 통신 방법을 사용하여 상기 이동 단말기에 제1 및 제2 보안 키를 전송하기 위한 수단, 및Means for transmitting first and second security keys to the mobile terminal using a secure communication method, and 상기 제1 보안 키를 사용하여 데이터를 암호화하는 수단과, 상기 제2 보안 키를 사용하여 후속 세션 키를 주기적으로 생성하는 수단Means for encrypting data using the first security key and means for periodically generating a subsequent session key using the second security key. 을 포함하는 액세스 포인트.Access point comprising a. 통신 네트워크에 보안 통신 세션을 제공하기 위한 단말기 디바이스로서,A terminal device for providing a secure communication session to a communication network, comprising: 제1 보안 키와 제2 보안 키를 수신하는 수단과, 상기 보안 통신 세션 동안에 사용하기 위해 상기 제1 보안 키와 상기 제2 보안 키를 저장하는 수단과,Means for receiving a first security key and a second security key, means for storing the first security key and the second security key for use during the secure communication session; 데이터를 수신하는 수단과, 상기 보안 통신 세션 동안에 현재 세션 키를 사용하여 데이터를 암호해독 하는 수단-상기 제1 보안 키는 초기에는 상기 현재 세션 키로서 사용함-, 및Means for receiving data and means for decrypting data using a current session key during the secure communication session, wherein the first security key is initially used as the current session key, and 상기 현재 세션 키와 상기 제2 보안 키를 사용하여 후속 세션 키-상기 후속 세션 키는 그 이후에 후속 통신을 위한 현재 세션 키로서 사용함-를 생성하는 수단Means for generating a subsequent session key using the current session key and the second security key, the subsequent session key subsequently using as the current session key for subsequent communication. 을 포함하는 단말기 디바이스.Terminal device comprising a. 제20항에 있어서,The method of claim 20, 상기 단말기 디바이스는 이동 단말기를 포함하고, 상기 통신 네트워크는 무선 로컬 액세스 네트워크(WLAN)을 포함하는 단말기 디바이스.The terminal device comprises a mobile terminal and the communication network comprises a wireless local access network (WLAN). 제20항에 있는 이동 단말기와 무선 로컬 액세스 네트워크(WLAN) 간에 보안 통신 세션을 제공하기 위한 액세스 포인트로서,An access point for providing a secure communication session between a mobile terminal of claim 20 and a wireless local access network (WLAN), 후속 세션 키를 주기적으로 생성하는 상기 수단은, 상기 제1 보안 키를 사용하는 수단에 의해 생성되는 새로운 키와 상기 제2 보안 키의 결합을 사용하여 후속 세션 키를 생성하는 수단을 포함하는 액세스 포인트.And said means for periodically generating a subsequent session key comprises means for generating a subsequent session key using a combination of the new key and the second security key generated by the means using the first security key. . 제20항에 있는 이동 단말기와 무선 로컬 액세스 네트워크(WLAN) 간에 보안 통신 세션을 제공하기 위한 액세스 포인트로서,An access point for providing a secure communication session between a mobile terminal of claim 20 and a wireless local access network (WLAN), 후속 세션 키를 주기적으로 생성하는 상기 수단은, 상기 새로운 키와 상기 제2 보안 키를 연관시킴으로써 후속 세션 키를 생성하는 수단과, 상기 후속 세션 키를 생성하는 해시 알고리즘을 작동하기 위한 수단을 포함하는 액세스 포인트.The means for periodically generating a subsequent session key includes means for generating a subsequent session key by associating the new key with the second security key, and means for operating a hash algorithm for generating the subsequent session key. Access point.
KR1020057017159A 2003-03-14 2004-03-11 Wlan session management techniques with secure rekeying and logoff KR20050116821A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US45454203P 2003-03-14 2003-03-14
US60/454,542 2003-03-14

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020067005624A Division KR20060053003A (en) 2003-03-14 2004-03-11 Wlan session management techniques with secure rekeying and logoff

Publications (1)

Publication Number Publication Date
KR20050116821A true KR20050116821A (en) 2005-12-13

Family

ID=33029889

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020067005624A KR20060053003A (en) 2003-03-14 2004-03-11 Wlan session management techniques with secure rekeying and logoff
KR1020057017159A KR20050116821A (en) 2003-03-14 2004-03-11 Wlan session management techniques with secure rekeying and logoff

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020067005624A KR20060053003A (en) 2003-03-14 2004-03-11 Wlan session management techniques with secure rekeying and logoff

Country Status (7)

Country Link
EP (1) EP1606899A4 (en)
JP (2) JP2006520571A (en)
KR (2) KR20060053003A (en)
CN (2) CN1874222A (en)
MX (1) MXPA05009804A (en)
MY (1) MY135833A (en)
WO (1) WO2004084458A2 (en)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1606899A4 (en) * 2003-03-14 2011-11-02 Thomson Licensing Wlan session management techniques with secure rekeying and logoff
US7142851B2 (en) * 2003-04-28 2006-11-28 Thomson Licensing Technique for secure wireless LAN access
CN102752309A (en) * 2005-04-22 2012-10-24 汤姆森特许公司 Method for performing safety anonymous accessing on wireless local area network by mobile equipment
MX2007013117A (en) * 2005-04-22 2008-01-14 Thomson Licensing Method and apparatus for secure, anonymous wireless lan (wlan) access.
US7788703B2 (en) * 2006-04-24 2010-08-31 Ruckus Wireless, Inc. Dynamic authentication in secured wireless networks
CN101454767B (en) * 2006-04-24 2013-08-14 鲁库斯无线公司 Dynamic authentication in secured wireless networks
WO2008001906A1 (en) 2006-06-30 2008-01-03 Nikon Corporation Digital camera
MX2009011831A (en) * 2007-06-11 2010-03-04 Nxp Bv Method of authentication and electronic device for performing the authentication.
KR101016277B1 (en) * 2007-12-20 2011-02-22 건국대학교 산학협력단 Method and apparatus for sip registering and establishing sip session with enhanced security
US8756668B2 (en) 2012-02-09 2014-06-17 Ruckus Wireless, Inc. Dynamic PSK for hotspots
US10576256B2 (en) 2016-12-13 2020-03-03 Becton, Dickinson And Company Antiseptic applicator
US11689925B2 (en) * 2017-09-29 2023-06-27 Plume Design, Inc. Controlled guest access to Wi-Fi networks
US11496902B2 (en) 2017-09-29 2022-11-08 Plume Design, Inc. Access to Wi-Fi networks via two-step and two-party control
CN111404666A (en) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 Key generation method, terminal equipment and network equipment

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0966813A2 (en) * 1997-03-10 1999-12-29 Guy L. Fielder Bilateral authentication and encryption system
FI113119B (en) * 1997-09-15 2004-02-27 Nokia Corp A method for securing communications over telecommunications networks
WO1999035782A1 (en) * 1998-01-02 1999-07-15 Cryptography Research, Inc. Leak-resistant cryptographic method and apparatus
US6151677A (en) * 1998-10-06 2000-11-21 L-3 Communications Corporation Programmable telecommunications security module for key encryption adaptable for tokenless use
US7028186B1 (en) * 2000-02-11 2006-04-11 Nokia, Inc. Key management methods for wireless LANs
JP2002077129A (en) * 2000-08-24 2002-03-15 Nissin Electric Co Ltd Method of communicating encryption
EP1606899A4 (en) * 2003-03-14 2011-11-02 Thomson Licensing Wlan session management techniques with secure rekeying and logoff

Also Published As

Publication number Publication date
JP2006180561A (en) 2006-07-06
EP1606899A2 (en) 2005-12-21
WO2004084458A3 (en) 2004-11-18
WO2004084458A2 (en) 2004-09-30
MY135833A (en) 2008-07-31
KR20060053003A (en) 2006-05-19
CN1759550A (en) 2006-04-12
CN1874222A (en) 2006-12-06
MXPA05009804A (en) 2006-05-19
JP2006520571A (en) 2006-09-07
EP1606899A4 (en) 2011-11-02

Similar Documents

Publication Publication Date Title
US20070189537A1 (en) WLAN session management techniques with secure rekeying and logoff
JP4575679B2 (en) Wireless network handoff encryption key
JP2006180561A (en) Wlan-session management techniques with secure key and logoff
EP1841260B1 (en) Authentication system comprising a wireless terminal and an authentication device
EP1422875B1 (en) Wireless network handoff key
KR100832893B1 (en) A method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely
US8140845B2 (en) Scheme for authentication and dynamic key exchange
JP3863852B2 (en) Method of controlling access to network in wireless environment and recording medium recording the same
US20060059344A1 (en) Service authentication
US20020138635A1 (en) Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations
US20050254653A1 (en) Pre-authentication of mobile clients by sharing a master key among secured authenticators
JP2006524017A (en) ID mapping mechanism for controlling wireless LAN access with public authentication server
JP2004164576A (en) Method and system for authenticating user in public wireless lan service system, and recording medium
JP2006109449A (en) Access point that wirelessly provides encryption key to authenticated wireless station
US20150249639A1 (en) Method and devices for registering a client to a server
US7784086B2 (en) Method for secure packet identification
KR100924315B1 (en) Authentification system of wireless-lan with enhanced security and authentifiaction method thereof
Fisher Authentication and Authorization: The Big Picture with IEEE 802.1 X
Rincon et al. On Securing Wireless LANs and Supporting Nomadic Users with Microsoft’s IPSec Implementation
Pastrone Fast Authentication in Heterogeneous Wireless Networks
KR20050087908A (en) User authentication method of wireless network
JP2003023432A (en) Network access control method suitable for wireless lan, system and program thereof
KR20130062965A (en) System and method for access authentication for wireless network
MXPA06001088A (en) System and method for controlling access to a network using redirection

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application