KR20050116821A - Wlan session management techniques with secure rekeying and logoff - Google Patents
Wlan session management techniques with secure rekeying and logoff Download PDFInfo
- Publication number
- KR20050116821A KR20050116821A KR1020057017159A KR20057017159A KR20050116821A KR 20050116821 A KR20050116821 A KR 20050116821A KR 1020057017159 A KR1020057017159 A KR 1020057017159A KR 20057017159 A KR20057017159 A KR 20057017159A KR 20050116821 A KR20050116821 A KR 20050116821A
- Authority
- KR
- South Korea
- Prior art keywords
- key
- session
- mobile terminal
- security
- wlan
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 72
- 238000004891 communication Methods 0.000 claims abstract description 77
- 230000004044 response Effects 0.000 claims description 5
- 230000000737 periodic effect Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
Description
관련 출원Related Applications
본 출원은 2003년 3월 14일자로 출원한 미국 가특허 출원번호 60/454,542호의 우선권을 주장하며, 그 내용은 본 명세서에 참조로서 포함한다.This application claims the priority of US Provisional Patent Application No. 60 / 454,542, filed March 14, 2003, the contents of which are incorporated herein by reference.
본 발명은 근거리 네트워크에 보안 통신 세션을 제공하기 위한 장치 및 방법에 관한 것으로서, 특히 주기적인 키(key) 업데이트 및 보안 로그 오프(logoff)를 이용하는 WLAN에 있는 이동 단말기에 보안 통신 세션을 제공하기 위한 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for providing a secure communication session in a local area network, and more particularly to providing a secure communication session to a mobile terminal in a WLAN using periodic key updates and secure logoff. An apparatus and method are provided.
본 발명의 배경은, 액세스 포인트(AP)를 구비한 IEEE 802.1x 아키텍처를 채용하는 무선 근거리 네트워크 또는 WLAN의 분야인데, 액세스 포인트는 이동 디바이스를 위한 액세스와, 인터넷과 같은 회로 접속(hard wired) 근거리 및 글로벌(global) 네트워크와 같은 다른 네트워크로의 액세스를 제공한다. WLAN 기술의 진보로 인하여, 휴게소, 카페, 도서관 및 유사한 공공 시설("핫 스폿"(hot spot))은 공개적으로 액세스 가능한 무선 통신이 된다. 현재, 공중 WLAN은 이동 통신 디바이스 사용자에게, 공동 인트라넷과 같은 사설 데이터 네트워크, 또는 인터넷, 피어 투 피어 통신 및 라이브 무선 VT 방송과 같은 공중 데이터 네트워크에 대한 액세스를 제공한다. 공중 WLAN을 실시 및 작동하는 상대적으로 낮은 비용뿐만 아니라 이용 가능한 높은 대역폭(통상적으로, 10Mb/s를 초과)으로 인하여, 공중 WLAN은 이상적인 액세스 메커니즘이 되고, 이를 통해 어떤 이동 무선 통신 디바이스 사용자는 외부 엔티티(entity)와 패킷을 교환할 수 있다. 그러나 이하에서 설명하는 바와 같이, 그러한 개방적인 배치는, 식별 및 인증을 위한 적절한 수단이 존재하지 않는 경우에는 보안성을 떨어뜨릴 수도 있다.Background of the invention is the field of wireless local area networks or WLANs employing an IEEE 802.1x architecture with access points (APs), which access for mobile devices and hard wired local areas such as the Internet. And access to other networks, such as global networks. Due to advances in WLAN technology, rest areas, cafes, libraries, and similar public facilities (“hot spots”) become publicly accessible wireless communications. Currently, public WLANs provide mobile communication device users with access to private data networks, such as common intranets, or public data networks, such as the Internet, peer-to-peer communications, and live wireless VT broadcasts. Due to the relatively low cost of implementing and operating a public WLAN as well as the high bandwidth available (typically above 10 Mb / s), the public WLAN is an ideal access mechanism, which allows any mobile wireless communications device user to You can exchange packets with the entity. However, as described below, such open deployment may compromise security in the absence of suitable means for identification and authentication.
사용자가 공중 WLAN 커버리지(coverage) 영역 내의 서비스를 액세스하려는 경우, WLAN은 사용자 액세스를 인증 및 인정한 후에 네트워크 액세스를 허용한다. 인증 후, 공중 WLAN은 보안 데이터 채널을 이동 통신 디바이스에 개방하여, WLAN과 디바이스 간을 이동하는 데이터의 프라이버시(privacy)를 보호한다. 현재, 수많은 WLAN 장비 제조업체는, 배치되는 장비를 위해 IEEE 802.1x 프로토콜을 채택한다. 그러므로 WLAN을 위한 유력한 인증 메커니즘은 이 표준을 사용한다. 불행하게도, IEEE 802.1x 프로토콜은, 그 프로토콜의 활용 모델로서 사설 LAN 액세스를 사용하도록 설계되었다. 그러므로 IEEE 802.1x 프로토콜은 공중 WLAN 환경에서의 보안성을 개선하는 특징을 제공하지는 않는다.If a user wants to access a service within a public WLAN coverage area, the WLAN allows network access after authenticating and authorizing user access. After authentication, the public WLAN opens a secure data channel to the mobile communication device to protect the privacy of data traveling between the WLAN and the device. Currently, many WLAN equipment manufacturers employ the IEEE 802.1x protocol for deployed equipment. Therefore, a strong authentication mechanism for WLANs uses this standard. Unfortunately, the IEEE 802.1x protocol is designed to use private LAN access as the usage model for that protocol. Therefore, the IEEE 802.1x protocol does not provide features that improve security in public WLAN environments.
웹 브라우저 기반의 인증 방법에서, 이동 단말기는, HTTPS(Hyper Text Transfer Protocol Secured Sockets) 프로토콜을 이용하여 작동하는 웹 브라우저를 사용하여 인증 서버와 통신하고, 이동 단말기와 인증 서버 간의 경로에 있는 임의의 사용자가 기밀 사용자 정보를 침해 또는 훔칠 수 없다는 점을 보증한다. 그러나 인증 서버가 이동 단말기와 관계하는 유일한 정보는, 자신의 IP 어드레스이다.In a web browser-based authentication method, a mobile terminal communicates with an authentication server using a web browser that operates using the Hyper Text Transfer Protocol Secured Sockets (HTTPS) protocol, and any user in the path between the mobile terminal and the authentication server. Ensure that confidential user information cannot be infringed or stolen. However, the only information that the authentication server relates to the mobile terminal is its IP address.
사용자가 WLAN에 의해 인증되는 경우, 사용자와 WLAN은 보안 세션 키를 확립 및 공유한다. 후속하는 모든 통신은 이 세션 키를 사용하여 암호화된다. 보안성 공격, 예로서 IEEE 802.11 WEP 암호화 프로토콜에 있는 보안 홀(security hole)을 탐색하는 공격을 방지하고, 강력한 보안성을 보증하기 위하여, 세션 키는 주기적으로 업데이트할 필요가 있다. 실제로, 초기 세션 키가 WEP(Wired Equivalent Privacy) 키로서 사용되는 경우, 무선 사용자와 WLAN 액세스 포인트 간의 WEP 키를 사용하는 특정한 수의 통신 교환 이후에, 해커는 그 키를 크랙(crack)할 수도 있다. IEEE 802.1x에 있어서, 세션 키가 업데이트되는 WLAN에서의 보안 액세스 제어를 위해 사용된 프로토콜은 인증 서버에 의존한다. 본질적으로, 키가 업데이트되는 시간마다, 사용자는 초기 인증과 유사한 인증 단계를 통해 승인될 필요가 있다. 이 절차는 몇몇 애플리케이션에서 비효율적이고 불가능할 수 있다. WLAN 기술은, 사용자가 인증되고, 세션 키가 확립되면, 앞으로의 키 업데이트는 인증 서버의 참여를 더 이상 필요로 하지 않는 방법으로부터 이득을 얻을 수 있다.If the user is authenticated by the WLAN, the user and the WLAN establish and share a secure session key. All subsequent communications are encrypted using this session key. In order to prevent security attacks, for example attacks that seek security holes in the IEEE 802.11 WEP encryption protocol, and to ensure strong security, the session key needs to be updated periodically. Indeed, if the initial session key is used as a Wired Equivalent Privacy (WEP) key, after a certain number of communication exchanges using the WEP key between the wireless user and the WLAN access point, the hacker may crack that key. . In IEEE 802.1x, the protocol used for secure access control in a WLAN where the session key is updated depends on the authentication server. In essence, every time the key is updated, the user needs to be authorized through an authentication step similar to initial authentication. This procedure may be inefficient and impossible in some applications. WLAN technology may benefit from how future key updates no longer require participation of the authentication server once the user is authenticated and the session key is established.
추가로, 관리 정보를 처리하는 애플리케이션, 특히 로그 오프 요청은 통상적으로 해킹으로부터의 보안성을 필요로 한다. 그러나 IEEE 802.1x에 있어서, 그러한 정보는 암호화되지 않은 상태로 송신되므로, 이동 단말기는, 해커가 세션 키를 갖고 있지 않더라도, 해커가 인증된 사용자를 로그 오프할 수 있는 공격에 쉽게 방치된다. 그렇기 때문에, WLAN 기술은, 세션 키를 이용하여 추가로 암호화되는 암호화 키 업데이트 또는 로그 오프 요청을 위해 제공되는 방법으로부터 이득을 얻을 수 있다.In addition, applications that process management information, particularly logoff requests, typically require security from hacking. However, in IEEE 802.1x, such information is transmitted in an unencrypted state, so that the mobile terminal is easily left to an attack that allows the hacker to log off an authenticated user even if the hacker does not have a session key. As such, WLAN technology may benefit from the methods provided for encryption key update or logoff requests that are further encrypted using the session key.
<발명의 개요><Overview of invention>
이동 단말기와 통신 네트워크 간에 보안 통신 세션을 제공하기 위한 방법은, 단말기와 통신 네트워크 간의 통신을 암호화하기 위해 세션 키를 사용하는 것이 바람직하고, 세션 키는, 단말기와, 통신 네트워크의 액세스 포인트에 저장되는 보안 키를 포함하는 키의 세트로부터 도출할 수도 있다. 또한, 보안 키는 보안 로그 오프 메커니즘을 제공하는데 사용할 수도 있다.A method for providing a secure communication session between a mobile terminal and a communication network preferably uses a session key to encrypt communication between the terminal and the communication network, wherein the session key is stored at the terminal and an access point of the communication network. It may be derived from a set of keys that includes a security key. Security keys can also be used to provide a secure logoff mechanism.
본 발명은, 사용자 인증 단계 동안, 무선 사용자 머신과 WLAN AP 둘 다에, 초기 세션 키로서 간주하는 1개의 공유 비밀을 인스톨하는 대신, 2개의 공유 키를 인스톨함으로써, WLAN 환경에 있는 이동 단말기의 보안성을 개선하기 위한 방법을 제공한다. 공유 키 중 하나는 초기 세션 키로서 사용하고, 다른 공유 키는 보안 시드로서 사용한다. 초기 인증된 통신이 안전하기 때문에, 그 2개의 보안 키가 확립되면, 해커가 이러한 형태의 보호를 크랙하는 것은 거의 불가능하다. 그리고 초기 세션 키는 언젠가는 해커에 의해 크랙될 수도 있지만, 보안 시드는 임의의 불안전한 통신에 사용되지 않기 때문에 항상 안전하게 유지된다.The present invention, during the user authentication phase, secures a mobile terminal in a WLAN environment by installing two shared keys on both the wireless user machine and the WLAN AP, instead of installing one shared secret, which is considered as the initial session key. It provides a way to improve gender. One of the shared keys is used as the initial session key and the other is used as the security seed. Since the initial authenticated communication is secure, it is almost impossible for a hacker to crack this type of protection once the two security keys are established. And although the initial session key might someday be cracked by hackers, the security seed is always kept secure because it is not used for any insecure communication.
본 발명의 실시예는, 키 업데이트 동안, 새로운 키가 WLAN 액세스 포인트와 이동 단말기 간에 생성되어 교환되는 프로세스를 포함한다. 이 새로운 키를 직접 사용하는 대신, 액세스 포인트와 이동 단말기는, 이 새로운 키를 보안 시드와 함께 사용하여 새로운 세션 키를 생성한다. 예로서, 보안 시드와 새로운 키를 연관시킨 다음, MD5(Message Digest 5) 해시 알고리즘과 같은 한 가지 방향의 해시 기능을 계산하여 고정된 스트링을 생성함으로써, 새로운 세션 키를 생성할 수도 있다. 해커는 보안 시드를 구비할 수 없기 때문에, 오래된 세션 키를 크랙할 수 있더라도, 새로운 세션 키를 얻지는 못한다.Embodiments of the present invention include a process during which a new key is generated and exchanged between a WLAN access point and a mobile terminal. Instead of using this new key directly, the access point and mobile terminal use this new key with the security seed to generate a new session key. For example, a new session key may be generated by associating a new key with a security seed and then computing a hash function in one direction, such as a Message Digest 5 (MD5) hash algorithm, to generate a fixed string. Because hackers can't have a secure seed, even if they can crack an old session key, they won't get a new one.
본 발명의 실시예는, 세션 로그 오프 동안, 이동 단말기는, 해커가 인증된 이동 단말기를 로그 오프 못하게 하는 보안 상태를 유지하는 프로세스를 또한 포함한다. IEEE 802.1x 기반의 방식은 보안 로그 오프를 제공하지 않는데, 이는 로그 오프 요청이 암호화되지 않은 프레임에서 수행되기 때문이다. 그러나 본 발명의 실시예에서, 이동 단말기는 보안 시드에 의해 수행되는 암호화된 로그 오프 요청을 송신한다. 그래서, 해커가 세션 키를 크랙하는 경우이더라도, 인증된 사용자의 로그 오프는 불가능한데, 이는 보안 시드가 로그 오프 요청에 나타나기 때문이며, 더 이상 유효하지 않기 때문이며(사용자가 로그 인하는 시간마다 새로운 보안 시드가 교섭될 필요가 있음), 따라서 오래된 보안 시드가 해커에 의해 크랙되더라도, 해가 되는 결과는 없다.Embodiments of the present invention also include a process during which a mobile terminal maintains a secure state that prevents hackers from logging off an authenticated mobile terminal. The IEEE 802.1x based scheme does not provide secure logoff because the logoff request is performed in an unencrypted frame. However, in the embodiment of the present invention, the mobile terminal transmits an encrypted logoff request performed by the secure seed. So even if the hacker cracks the session key, the logged off of the authenticated user is not possible because the security seed appears in the log off request and is no longer valid (new security seed every time the user logs in) Need to be negotiated), so even if the old security seed is cracked by a hacker, there is no harm.
또한, 본 발명의 실시예는, 이동 단말기와 무선 로컬 액세스 네트워크(WLAN) 간에 보안 통신 세션을 제공하기 위한 방법을 포함하는데, 상기 방법은, 제1 및 제2 보안 키를 생성하는 단계, 보안 통신 방법을 사용하여 상기 이동 단말기에 상기 제1 및 제2 보안 키-상기 제1 및 제2 보안 키는 상기 보안 통신 세션 동안에 사용하기 위해 상기 이동 단말기에 저장함-를 전송하는 단계, 현재 세션 키를 사용하여 상기 이동 단말기에 데이터를 암호화하여 전송하고, 상기 현재 세션 키를 사용하여 상기 이동 단말기로부터 수신되는 데이터를 수신하여 암호해독 하는 단계-상기 제1 세션 키는 초기에는 상기 현재 세션 키로서 사용함-, 및 상기 제2 보안 키를 사용하여 후속 세션 키를 주기적으로 생성하고, 상기 WLAN과 상기 이동 단말기 간의 후속 통신 동안의 현재 세션 키로서 상기 후속 세션 키를 사용하는 단계를 포함한다.Embodiments of the invention also include a method for providing a secure communication session between a mobile terminal and a wireless local access network (WLAN), the method comprising: generating first and second security keys, secure communication Using the method to transmit the first and second security keys to the mobile terminal, the first and second security keys stored in the mobile terminal for use during the secure communication session, using a current session key Encrypting and transmitting data to the mobile terminal, and receiving and decrypting data received from the mobile terminal using the current session key, wherein the first session key is initially used as the current session key; And periodically generating a subsequent session key using the second security key, and a current session during subsequent communication between the WLAN and the mobile terminal. As a step of using said next session key.
또한, 본 발명은 이동 단말기와 WLAN 간에 보안 통신 세션을 제공하기 위한 장치를 포함하는데, 상기 장치는, 제1 및 제2 보안 키를 생성하기 위한 수단과, 상기 이동 단말기에 상기 제1 및 제2 보안 키를 전송하기 위한 수단을 포함한다. 이동 단말기는 후속하여 수신되는 데이터의 암호해독을 위해 제1 및 제2 보안 키를 저장한다. WLAN에서, 이동 단말기에 데이터를 암호화하여 전송하는 수단은 현재 세션 키를 사용한다. WLAN에서, 후속 세션 키를 주기적으로 생성하는 수단은, 제2 보안 키를 사용하고, WLAN과 이동 단말기 간의 통신 동안의 현재 세션 키로서 후속 세션 키를 사용한다.The invention also includes an apparatus for providing a secure communication session between a mobile terminal and a WLAN, the apparatus comprising: means for generating a first and a second security key and the first and second devices in the mobile terminal; Means for transmitting the security key. The mobile terminal stores the first and second security keys for subsequently decrypting the received data. In a WLAN, the means for encrypting and transmitting data to the mobile terminal uses the current session key. In the WLAN, the means for periodically generating a subsequent session key uses the second security key and uses the subsequent session key as the current session key during communication between the WLAN and the mobile terminal.
본 발명은 첨부한 도면을 참조하여 설명하는 다음의 상세한 설명을 통해 가장 잘 이해된다. 도면의 다양한 특징이 모두 도시되지는 않는다. 대조적으로, 명확하게 하기 위하여 다양한 특징이 임의로 확장 또는 축소될 수도 있다. 도면에 포함된 것은 다음과 같다.The invention is best understood from the following detailed description, which is described with reference to the accompanying drawings. Not all of the various features of the drawings are shown. In contrast, various features may be arbitrarily expanded or reduced for clarity. Included in the drawings are as follows.
도 1은 이동 무선 통신 디바이스를 인증하기 위한 본 원리의 방법을 실행하기 위한 통신 시스템의 블록 다이어그램이다.1 is a block diagram of a communication system for implementing a method of the present principles for authenticating a mobile wireless communication device.
도 2는 본 발명에 따른 2개의 보안 키를 확립하는 방법의 흐름도이다.2 is a flow chart of a method for establishing two security keys in accordance with the present invention.
도 3은 본 발명에 따른 보안 로그 오프 절차를 확립하는 방법의 흐름도이다.3 is a flowchart of a method of establishing a security logoff procedure in accordance with the present invention.
도 4는 본 발명을 실시하기 위한 장치의 블록 다이어그램이다.4 is a block diagram of an apparatus for practicing the present invention.
논의될 도면에 있어서, 회로 및 관련 블록과 화살표는, 전기 회로와, 전기 신호를 전송하는 관련 배선 또는 데이터 버스로서 실시될 수도 있는 본 발명에 따른 프로세스의 기능을 표현한다. 대안으로, 하나 이상의 관련 화살표는, 특히 본 발명의 방법 또는 장치가 디지털 프로세스로서 실시되는 경우, 소프트웨어 루틴 간의 통신(예컨대, 데이터 흐름)을 표현할 수도 있다.In the drawings to be discussed, circuits and associated blocks and arrows represent the functionality of the process according to the invention, which may be implemented as electrical circuits and associated wiring or data buses for transmitting electrical signals. Alternatively, one or more related arrows may represent communication (eg, data flow) between software routines, particularly when the method or apparatus of the present invention is implemented as a digital process.
도 1에 따르면, 1401∼140n으로 표현한 하나 이상의 이동 단말기는, 액세스 포인트(130n), 방화벽(122)과 관련된 로컬 컴퓨터(120), 및 인증 서버(150n)와 같은 하나 이상의 가상 오퍼레이터(operator)(1501-n)를 통해 통신한다. 단말기(1401-n)로부터의 통신은, 인터넷(110)과, 통상적으로 해커와 같이 승인되지 않은 엔티티로부터 높은 보안성을 요구하는 관련 통신 경로(152,154)를 사용하여 보안 데이터베이스 또는 다른 소스에 액세스하는 것을 필요로 한다.According to FIG. 1, one or more mobile terminals, represented by 140 1 through 140 n , may include one or more virtual operators, such as an access point 130 n , a local computer 120 associated with a firewall 122, and an authentication server 150 n . (operator) 150 1-n to communicate. Communications from terminals 140 1-n access the security database or other sources using the Internet 110 and related communication paths 152,154, which typically require high security from unauthorized entities such as hackers. Need to do.
도 1에 도시하는 바와 같이, IEEE 802.1x 아키텍처는, 네트워크 스택의 더 높은 계층에 투명한 국(station) 이동성을 제공하도록 상호작용하는 몇몇 컴포넌트 및 서비스를 포함한다. IEEE 802.1x 네트워크는 액세스 포인트(1301-n) 및 이동 단말기(1401-n)와 같은 국을, 무선 매체(124)와 통신하고, IEEE 802.1x 프로토콜의 기능성을 포함하는 컴포넌트로서 정의하는데, 그 컴포넌트는 MAC(Medium Access Control)(1381-n), 대응 PHY(Physical Layer)(도시하지 않음), 및 무선 매체로의 커넥션(127)이다. 통상적으로, IEEE 802.1x 기능은 무선 모뎀 또는 네트워크 액세스 또는 인터페이스 카드의 하드웨어 및 소프트웨어에서 실시한다. 본 발명은 식별 수단을 통신 스트림에 실시하기 위한 방법을 제안하여, 다운링크 트래픽(즉, 인증 서버로부터, 랩톱(laptop)과 같은 이동 단말기로)을 위한 IEEE 802.1x WLAN MAC 계층과 호환가능한 액세스 포인트(1301-n)는, 하나 이상의 무선 이동 디바이스(1401-n), 로컬 또는 백 엔드(back end) 서버(120), 및 인증 서버(150)의 인증에 참여할 수도 있다.As shown in FIG. 1, the IEEE 802.1x architecture includes several components and services that interact to provide transparent station mobility to higher layers of the network stack. An IEEE 802.1x network defines stations such as access points 130 1-n and mobile terminals 140 1-n as components that communicate with the wireless medium 124 and include the functionality of the IEEE 802.1x protocol, The component is a medium access control (MAC) 138 1-n , a corresponding physical layer (PHY) (not shown), and a connection 127 to the wireless medium. Typically, IEEE 802.1x functionality is implemented in the hardware and software of a wireless modem or network access or interface card. The present invention proposes a method for implementing the identification means in a communication stream, thereby providing an access point compatible with the IEEE 802.1x WLAN MAC layer for downlink traffic (i.e. from an authentication server to a mobile terminal such as a laptop). 130 1-n may participate in authentication of one or more wireless mobile devices 140 1-n , local or back end server 120, and authentication server 150.
본 원리에 따르면, 이동 단말기 자체뿐만 아니라 IEEE 802.1x 프로토콜에 따른 통신 스트림을 인증함으로써, 액세스(160)는 각각의 이동 단말기(1401-n)를 WLAN(115)에 안전하게 액세스 가능하게 한다. 액세스(160)가 그러한 보안 액세스를 가능하게 하는 방식은 도 1과 도 2를 참조하여 가장 잘 이해할 수 있다.According to the present principles, by authenticating communication streams in accordance with the IEEE 802.1x protocol as well as the mobile terminal itself, access 160 makes each mobile terminal 140 1-n securely accessible to WLAN 115. The manner in which access 160 enables such secure access can be best understood with reference to FIGS. 1 and 2.
이동 무선 통신 디바이스, 즉 이동 단말기(140n), 공중 WLAN(115), 로컬 웹 서버(120) 및 인증 서버(150) 간의 시간에 따라 발생하는 상호작용의 시퀀스가, IEEE 802.1x 프로토콜의 환경하에서 설명되는데, 도 1의 액세스 포인트(130n)는 제어 포트 및 미제어 포트를 유지하고, 이를 통해 액세스 포인트는 이동 단말기(1401-n)와 정보를 교환한다. 액세스 포인트(130n)에 의해 유지되는 제어 포트는, 액세스 포인트(130n)를 통과하는 데이터 트래픽과 같은 미인증 정보를 위한 통로(entryway)로서의 기능을 하는데, 이는 액세스 포인트가 로컬 서버(120)와 이동 단말기(1401-n) 간을 이동하기 때문이다. 통상적으로, 액세스 포인트(1301-n)는, 적절한 이동 단말기(1401-n)의 인증이 전달될 때까지, IEEE 802.1x 프로토콜에 따라 각각의 제어 포트를 폐쇄 상태로 유지한다. 액세스 포인트(1301-n)는 각각의 미제어 포트를 항상 개방 상태로 유지하여, 이동 단말기(1401-n)가 인증 서버(150)와 인증 데이터를 교환하게 한다.Under the mobile wireless communication device, that the mobile terminal (140 n), a public WLAN (115), the sequence of interactions that take place in time between the local web server 120 and authentication server 150, the IEEE 802.1x protocol environment As illustrated, the access point 130 n of FIG. 1 maintains a control port and an uncontrolled port through which the access point exchanges information with the mobile terminals 140 1-n . Access point control port is held by the (130 n), the access point to a non-function of a passage (entryway) for authentication information, such as data traffic passing through the (130 n), which access points, the local server 120 This is because the mobile station moves between the mobile station and the mobile terminal 140 1-n . Typically, the access point 130 1-n maintains each control port closed in accordance with the IEEE 802.1x protocol until authentication of the appropriate mobile terminal 140 1-n is delivered. The access point 130 1-n keeps each uncontrolled port open at all times, causing the mobile terminal 140 1-n to exchange authentication data with the authentication server 150.
도 2를 참조하여 더욱 구체적으로 설명하면, WLAN 환경에 있는 이동 단말기(140n)의 보안성을 개선하기 위한 본 발명에 따른 방법은, 사용자 인증 단계 동안, 이동 단말기(140n)와 WLAN 액세스 포인트(130n) 둘 다에, 1개의 공유 비밀 대신 2개의 공유 비밀을 인스톨(install) 한다. 공유 비밀 중 하나는 초기 세션 키로서 사용하고, 다른 하나는 보안 시드(seed)로서 사용한다. 초기 인증이 안전하기 때문에, 이러한 2개의 키는 해커에게 알려지지 않는다. 그 키는, 알려진 방법, 예로서 그러한 키를 생성하여 분배하기 위한 인증 서버를 사용하여, 이동 단말기와 WLAN 액세스 포인트에 생성 및 분배할 수도 있다. 초기 세션 키는 언젠가는 해커에 의해 크랙될 수도 있지만, 보안 시드는 임의의 불안전한 통신에 사용되지 않기 때문에 안전하게 유지된다. 특히, 본 발명에 따른 방법은 이동 단말기(140n)로부터의 웹 요청을 액세스 포인트(130n)를 통해 처리하여 세션 ID(215)를 임베드(embed)한다.More specifically with reference to FIG. 2, the method according to the invention for improving the security of the mobile terminal 140 n in a WLAN environment, during the user authentication phase, is performed by the mobile terminal 140 n and the WLAN access point. (130 n ) Install both shared secrets instead of one shared secret. One of the shared secrets is used as the initial session key and the other is used as the security seed. Since the initial authentication is secure, these two keys are unknown to the hacker. The keys may be generated and distributed to mobile terminals and WLAN access points using known methods, such as an authentication server for generating and distributing such keys. The initial session key may someday be cracked by hackers, but the security seed remains secure because it is not used for any insecure communication. In particular, the method according to the present invention processes the web request from the mobile terminal 140 n via the access point 130 n to embed the session ID 215.
도 2를 참조하면, 본 발명에 따른 방법은, 사용자 인증 단계 동안, 이동 단말기(140n)와 WLAN 액세스 포인트(130n) 둘 다에 적어도 2개의 공유 비밀을 인스톨하는 단계를 포함함으로써, WLAN 환경에 있는 이동 단말기(140n)의 보안성을 개선하는데, 제1 비밀은 초기 세션 키이고, 후속 키는 보안 시드로서 사용한다.Referring to FIG. 2, the method according to the present invention includes installing at least two shared secrets in both the mobile terminal 140 n and the WLAN access point 130 n during the user authentication step, thereby providing a WLAN environment. In order to improve the security of the mobile terminal 140 n at , the first secret is the initial session key and the subsequent key is used as the security seed.
본 발명의 원리에 따르면, 각 디바이스(1401-140n)와 같은 각 이동 통신 디바이스를, 디바이스 자체뿐만 아니라, 디바이스로부터 나오는 트래픽을 인증할 수 있는 WLAN(115)에 안전하게 액세스 가능하게 하는 기술을 제공한다. 도 2에서 사용되는 인증 기술은, 이동 단말기(140n), 액세스 포인트(130n) 및 인증 서버(150) 간의 시간에 따라 발생하는 통신의 시퀀스를 도시한다. 보안 액세스를 개시하기 위하여, 이동 단말기(140n)는, 도 2의 단계 200에서, 액세스 포인트(130n)에 액세스를 위한 요청을 전송한다. 실제로, 이동 단말기(140n)는, 이동 단말기(140n)에 의해 실행되는 브라우저 소프트웨어 프로그램(도시하지 않음)에 의해 시작된 HTTPS 액세스 요구(demand)에 의한 액세스 요청을 개시한다. 액세스 요청에 응답하여, 액세스 포인트(130n)는, 단계 202에서, 이동 단말기(140n)에 있는 브라우저 소프트웨어를 액세스 포인트(130n)상의 로컬 웰컴 페이지에 리디렉트(redirect) 한다.In accordance with the principles of the present invention, each of the mobile communication device to, technologies that not only the device itself, can secure access to the WLAN (115) to authenticate the traffic coming from the device such as the devices (140 1 -140 n) to provide. The authentication technique used in FIG. 2 illustrates a sequence of communications that occur over time between the mobile terminal 140 n , the access point 130 n , and the authentication server 150. To initiate secure access, the mobile terminal 140 n sends a request for access to the access point 130 n at step 200 of FIG. 2. In practice, mobile terminal 140 n initiates an access request by an HTTPS access request initiated by a browser software program (not shown) executed by mobile terminal 140 n . In response to the access request, the access point 130 n redirects the browser software at the mobile terminal 140 n to the local welcome page on the access point 130 n at step 202.
단계 202에 후속하여, 이동 단말기(140n)는, 단계 204에서, 적당한 인증 서버의 아이덴티티(identity)를 위한 액세스 포인트(130n)를 질의함으로써 인증 시퀀스를 개시한다. 이에 응답하여, 액세스 포인트(130n)는, 단계 206에서, 적당한 인증 서버(예컨대, 서버 150)의 아이덴티티를 결정한 다음, 단계 208에서, 이동 단말기(140n)에 있는 브라우저 소프트웨어를 HTTP 명령을 통해 그 서버에 송신한다. 단계 208에서, 인증 서버(150)의 아이덴티티가 새롭게 수신되고, 도 2의 단계 210에서, 이동 단말기(140n)는 자신의 사용자 자격 증명(credential)을 그 서버에 송신한다.Subsequent to step 202, the mobile terminal 140 n initiates an authentication sequence by querying the access point 130 n for the identity of the appropriate authentication server, in step 204. In response, the access point 130 n determines, in step 206, the identity of a suitable authentication server (eg, server 150), and then, in step 208, the browser software in the mobile terminal 140 n via an HTTP command. Send to that server. In step 208, the identity of the authentication server 150 is newly received, and in step 210 of FIG. 2, the mobile terminal 140 n transmits its user credentials to the server.
이동 단말기(140n)로부터 사용자 자격 증명을 수신하면, 인증 서버(150)는, 단계 212에서, 이동 단말기(140n)가 유효 사용자를 구성하고 있는지를 판정한다. 이동 단말기가 유효 사용자를 구성하고 있다면, 인증 서버(150)는, WEP(Wired Equivalent Privacy) 암호화 키를 사용하는 단계 214에서 이동 단말기(140n)에 응답하는데, 디바이스는, 디바이스의 브라우저 소프트웨어에 의한 ActiveX 컨트롤의 ActiveX 명령을 통해 WEP 암호화 키를 시동한다. ActiveX 컨트롤은 본질적으로는 웹 페이지 내에 임베드될 수 있는 실행가능한 프로그램이다. Microsoft Internet Explorer와 같은 수많은 소프트웨어 브라우저 프로그램은, 그러한 웹 페이지를 표시할 수 있고, 원격 서버(예컨대, 인증 서버 150)로부터 다운로드할 수 있는 임베드된 ActiveX 컨트롤을 시동할 수 있다. ActiveX 컨트롤의 실행은 브라우저 소프트웨어에 구성된 보안성 메커니즘에 의해 제한된다. 실제로, 대부분의 브라우저 소프트웨어는 선택가능한 몇몇 상이한 보안성 레벨을 구비한다. 가장 낮은 레벨에서, 웹으로부터의 임의의 ActiveX 컨트롤은 제한 없이 시동할 수 있다. 가장 높은 레벨에서, 브라우저 소프트웨어로부터 시동할 수 있는 ActiveX 컨트롤은 없다.Upon receiving the user credentials from the mobile terminal 140 n , the authentication server 150 determines whether the mobile terminal 140 n constitutes an effective user in step 212. If the mobile terminal is configuring an effective user, the authentication server 150 responds to the mobile terminal 140 n at step 214 using the Wired Equivalent Privacy (WEP) encryption key, which device may be configured by the browser software of the device. Activate the WEP encryption key through the ActiveX command in the ActiveX control. ActiveX controls are essentially executable programs that can be embedded within web pages. Many software browser programs, such as Microsoft Internet Explorer, can display such web pages and launch embedded ActiveX controls that can be downloaded from a remote server (eg, authentication server 150). Execution of ActiveX controls is limited by the security mechanisms configured in the browser software. Indeed, most browser software has several different levels of security to choose from. At the lowest level, any ActiveX control from the web can start without restriction. At the highest level, there is no ActiveX control that can be launched from browser software.
본 발명에 따른 방법은, 인증 및 승인 이후의 단계 217에서, 제1 키를 생성하고, 액세스 포인트(130n)와 이동 단말기(140n)에 그 새로운 키를 분배하는 단계를 포함한다. 단계 221에서, 보안 시드(123)로서 참조되는 제2 키는, 이동 단말기(140n)와 액세스 포인트(130n)에 분배한다. 그 이후, 이동 단말기와 액세스 포인트는, 데이터를 암호화하는 세션으로서 제1 키를 사용하여 통신한다. 그 이후, 액세스 포인트(130n)와 이동 단말기(140n)는 키(119)와 보안 시드(123)를 채택하여 새로운 세션 키(121)를 주기적으로 생성하는데, 이에 의해, 새로운 세션 키는 이동 단말기와 액세스 포인트 간의 후속 통신을 위해 사용한다. 제2 키는, 통신 세션 동안, 이동 단말기와 액세스 포인트에 비밀로서 항상 저장 및 유지되어, 해커는 제2 키를 판정할 수 없다. 새로운 세션 키를 생성하고, 보안을 위해 그 새로운 키를 사용하기에 앞서, 그 새로운 세션 키를 보안 시드에 연관시키는 것과 같은 결합한 키의 관리를 더 용이하게 하는 몇몇 기술이 채택될 수도 있다. 결합한 세션 키와 보안 시드를 연관시키면, 그 프로세스는, 연관된 새로운 세션 키와 보안 시드에 대해 해시(hash) 알고리즘을 계산할 수도 있고, 전송을 위한 고정 스트링(string)을 생성할 수도 있다.The method according to the invention comprises, in step 217 after authentication and authorization, generating a first key and distributing the new key to the access point 130 n and the mobile terminal 140 n . In step 221, the second key, referred to as the security seed 123, is distributed to the mobile terminal 140 n and the access point 130 n . Thereafter, the mobile terminal and the access point communicate using the first key as a session for encrypting data. Thereafter, the access point 130 n and the mobile terminal 140 n periodically adopt a key 119 and a security seed 123 to periodically generate a new session key 121, whereby the new session key is moved. Used for subsequent communication between the terminal and the access point. The second key is always stored and kept secret at the mobile terminal and the access point during the communication session, so that the hacker cannot determine the second key. Prior to generating a new session key and using that new key for security, some techniques may be employed that make it easier to manage the combined key, such as associating the new session key with the security seed. By associating the combined session key with the secure seed, the process may calculate a hash algorithm for the associated new session key and secure seed and generate a fixed string for transmission.
WLAN 환경에 있는 이동 단말기의 보안성을 개선하기 위한 방법은, 이동 단말기(140n)가, 세션 로그 오프 동안, 보안 시드에 의해 수행되는 암호화된 로그 오프 요청을 송신하여, 보안 시드가 로그 오프 요청에 나타나게 하는 단계를 더 포함한다. 세션 로그 오프 동안, 이동 단말기(140n)는, 해커가 인증된 이동 단말기(140n)를 로그 오프 못하게 하는 보안 상태를 유지한다. IEEE 802.1x 기반의 방식은 보안 로그 오프를 제공할 수 없는데, 이는 로그 오프 요청이 암호화되지 않은 프레임에서 수행되기 때문이다. 그러나 본 발명의 실시예에서, 이동 단말기(140n)는 보안 시드(123)에 의해 수행되는 암호화된 로그 오프 요청(228)을 송신한다. 그래서, 해커가 세션 키를 크랙하는 경우이더라도, 이동 단말기(140n)에 대한 인증된 사용자의 로그 오프는 불가능한데, 이는 보안 시드(123)가 로그 오프 요청(228)에 나타나기 때문이며, 사용자가 로그 인하는 시간마다 새로운 보안 시드가 교섭될 필요가 있는 이후에는 더 이상 사용되지 않기 때문이다.A method for improving the security of a mobile terminal in a WLAN environment is that the mobile terminal 140 n sends an encrypted logoff request performed by the secure seed during session logoff so that the secure seed requests the logoff request. It further comprises the step of appearing in. During session logoff, the mobile terminal 140 n maintains a secure state that prevents hackers from logging off the authenticated mobile terminal 140 n . IEEE 802.1x based schemes cannot provide secure logoff because the logoff request is performed in an unencrypted frame. However, in the embodiment of the present invention, mobile terminal 140 n transmits an encrypted log off request 228 performed by secure seed 123. So even if the hacker cracks the session key, the logged off of the authenticated user to the mobile terminal 140 n is not possible because the security seed 123 appears in the log off request 228, and the user logs This is because the new security seed is no longer used after the new security seed needs to be negotiated every time.
도 4는 이동 단말기(140n)와 WLAN 간의 보안 통신 세션을 위한 장치를 도시한다. 액세스 포인트(130n)는, 제1 및 제2 보안 키를 생성하기 위한 수단(410)과, 이동 단말기(140n)에 제1 보안 키(119)와 제2 보안 키(123)를 전송하기 위한 수단(420)을 포함한다. 이동 단말기(140n)는 제1 보안 키(119)와 제2 보안 키(123)를 수신하고, 그 키를 보안 통신 동안에 사용하기 위하여 레지스터(430)에 저장한다. 액세스 포인트(130n)는, 데이터를 암호화하는 수단(415)과, 현재의 세션 키를 사용하여 WLAN(115)을 통해 이동 단말기(140n)에 데이터를 전송하는 수단(420)을 포함한다. 이동 단말기(140n)는, 수신하는 수단(450)과, 현재의 세션 키를 사용하여 액세스 포인트(130n)로부터 수신되는 데이터를 암호해독 하는 수단(435)을 포함하는데, 제1 보안 키는 초기에는 현재 세션 키(119)로서 사용한다. 액세스 포인트(130n)는 제2 세션 키를 사용하여 후속 세션 키를 주기적으로 생성하는 수단(425)을 포함하고, WLAN(115)과 이동 단말기(140n) 간의 후속 통신 동안, 그 후속 세션 키를 현재 세션 키로서 사용한다.4 shows an apparatus for a secure communication session between mobile terminal 140 n and a WLAN. The access point 130 n includes means 410 for generating first and second security keys, and transmitting the first security key 119 and the second security key 123 to the mobile terminal 140 n . And means 420 for. Mobile terminal 140 n receives first security key 119 and second security key 123 and stores the key in register 430 for use during secure communication. Access point 130 n includes means for encrypting data 415 and means 420 for transmitting data to mobile terminal 140 n over WLAN 115 using the current session key. The mobile terminal 140 n includes means for receiving 450 and means 435 for decrypting data received from the access point 130 n using the current session key, the first security key being Initially, it is used as the current session key 119. The access point 130 n includes means 425 for periodically generating a subsequent session key using the second session key, and during subsequent communication between the WLAN 115 and the mobile terminal 140 n , the subsequent session key Is used as the current session key.
도시한 바와 같은 본 발명의 형태는 단순히 바람직한 실시예로서 이해하게 된다. 부품의 기능 및 배열에서 다양한 변경이 이루어질 수도 있는데, 동등한 수단이 예시 및 설명된 수단으로 대체될 수도 있으며, 어떤 특징은 다음의 청구항에서 정의되는 본 발명의 사상 및 범위로부터 벗어나지 않으면서 다른 특징과 무관하게 사용할 수도 있다.The form of the invention as shown is to be understood merely as a preferred embodiment. Various modifications may be made in the function and arrangement of the components, and equivalent means may be substituted for the illustrated and described means, and certain features are independent of the other features without departing from the spirit and scope of the invention as defined in the following claims. It can also be used.
Claims (23)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US45454203P | 2003-03-14 | 2003-03-14 | |
US60/454,542 | 2003-03-14 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020067005624A Division KR20060053003A (en) | 2003-03-14 | 2004-03-11 | Wlan session management techniques with secure rekeying and logoff |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20050116821A true KR20050116821A (en) | 2005-12-13 |
Family
ID=33029889
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020067005624A KR20060053003A (en) | 2003-03-14 | 2004-03-11 | Wlan session management techniques with secure rekeying and logoff |
KR1020057017159A KR20050116821A (en) | 2003-03-14 | 2004-03-11 | Wlan session management techniques with secure rekeying and logoff |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020067005624A KR20060053003A (en) | 2003-03-14 | 2004-03-11 | Wlan session management techniques with secure rekeying and logoff |
Country Status (7)
Country | Link |
---|---|
EP (1) | EP1606899A4 (en) |
JP (2) | JP2006520571A (en) |
KR (2) | KR20060053003A (en) |
CN (2) | CN1874222A (en) |
MX (1) | MXPA05009804A (en) |
MY (1) | MY135833A (en) |
WO (1) | WO2004084458A2 (en) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1606899A4 (en) * | 2003-03-14 | 2011-11-02 | Thomson Licensing | Wlan session management techniques with secure rekeying and logoff |
US7142851B2 (en) * | 2003-04-28 | 2006-11-28 | Thomson Licensing | Technique for secure wireless LAN access |
CN102752309A (en) * | 2005-04-22 | 2012-10-24 | 汤姆森特许公司 | Method for performing safety anonymous accessing on wireless local area network by mobile equipment |
MX2007013117A (en) * | 2005-04-22 | 2008-01-14 | Thomson Licensing | Method and apparatus for secure, anonymous wireless lan (wlan) access. |
US7788703B2 (en) * | 2006-04-24 | 2010-08-31 | Ruckus Wireless, Inc. | Dynamic authentication in secured wireless networks |
CN101454767B (en) * | 2006-04-24 | 2013-08-14 | 鲁库斯无线公司 | Dynamic authentication in secured wireless networks |
WO2008001906A1 (en) | 2006-06-30 | 2008-01-03 | Nikon Corporation | Digital camera |
MX2009011831A (en) * | 2007-06-11 | 2010-03-04 | Nxp Bv | Method of authentication and electronic device for performing the authentication. |
KR101016277B1 (en) * | 2007-12-20 | 2011-02-22 | 건국대학교 산학협력단 | Method and apparatus for sip registering and establishing sip session with enhanced security |
US8756668B2 (en) | 2012-02-09 | 2014-06-17 | Ruckus Wireless, Inc. | Dynamic PSK for hotspots |
US10576256B2 (en) | 2016-12-13 | 2020-03-03 | Becton, Dickinson And Company | Antiseptic applicator |
US11689925B2 (en) * | 2017-09-29 | 2023-06-27 | Plume Design, Inc. | Controlled guest access to Wi-Fi networks |
US11496902B2 (en) | 2017-09-29 | 2022-11-08 | Plume Design, Inc. | Access to Wi-Fi networks via two-step and two-party control |
CN111404666A (en) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | Key generation method, terminal equipment and network equipment |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0966813A2 (en) * | 1997-03-10 | 1999-12-29 | Guy L. Fielder | Bilateral authentication and encryption system |
FI113119B (en) * | 1997-09-15 | 2004-02-27 | Nokia Corp | A method for securing communications over telecommunications networks |
WO1999035782A1 (en) * | 1998-01-02 | 1999-07-15 | Cryptography Research, Inc. | Leak-resistant cryptographic method and apparatus |
US6151677A (en) * | 1998-10-06 | 2000-11-21 | L-3 Communications Corporation | Programmable telecommunications security module for key encryption adaptable for tokenless use |
US7028186B1 (en) * | 2000-02-11 | 2006-04-11 | Nokia, Inc. | Key management methods for wireless LANs |
JP2002077129A (en) * | 2000-08-24 | 2002-03-15 | Nissin Electric Co Ltd | Method of communicating encryption |
EP1606899A4 (en) * | 2003-03-14 | 2011-11-02 | Thomson Licensing | Wlan session management techniques with secure rekeying and logoff |
-
2004
- 2004-03-11 EP EP04719770A patent/EP1606899A4/en not_active Withdrawn
- 2004-03-11 CN CNA2006100925525A patent/CN1874222A/en active Pending
- 2004-03-11 MX MXPA05009804A patent/MXPA05009804A/en active IP Right Grant
- 2004-03-11 KR KR1020067005624A patent/KR20060053003A/en not_active Application Discontinuation
- 2004-03-11 KR KR1020057017159A patent/KR20050116821A/en not_active Application Discontinuation
- 2004-03-11 CN CNA2004800063151A patent/CN1759550A/en active Pending
- 2004-03-11 WO PCT/US2004/007403 patent/WO2004084458A2/en active Search and Examination
- 2004-03-11 JP JP2006507069A patent/JP2006520571A/en active Pending
- 2004-03-13 MY MYPI20040889A patent/MY135833A/en unknown
-
2006
- 2006-03-20 JP JP2006077107A patent/JP2006180561A/en active Pending
Also Published As
Publication number | Publication date |
---|---|
JP2006180561A (en) | 2006-07-06 |
EP1606899A2 (en) | 2005-12-21 |
WO2004084458A3 (en) | 2004-11-18 |
WO2004084458A2 (en) | 2004-09-30 |
MY135833A (en) | 2008-07-31 |
KR20060053003A (en) | 2006-05-19 |
CN1759550A (en) | 2006-04-12 |
CN1874222A (en) | 2006-12-06 |
MXPA05009804A (en) | 2006-05-19 |
JP2006520571A (en) | 2006-09-07 |
EP1606899A4 (en) | 2011-11-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20070189537A1 (en) | WLAN session management techniques with secure rekeying and logoff | |
JP4575679B2 (en) | Wireless network handoff encryption key | |
JP2006180561A (en) | Wlan-session management techniques with secure key and logoff | |
EP1841260B1 (en) | Authentication system comprising a wireless terminal and an authentication device | |
EP1422875B1 (en) | Wireless network handoff key | |
KR100832893B1 (en) | A method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely | |
US8140845B2 (en) | Scheme for authentication and dynamic key exchange | |
JP3863852B2 (en) | Method of controlling access to network in wireless environment and recording medium recording the same | |
US20060059344A1 (en) | Service authentication | |
US20020138635A1 (en) | Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations | |
US20050254653A1 (en) | Pre-authentication of mobile clients by sharing a master key among secured authenticators | |
JP2006524017A (en) | ID mapping mechanism for controlling wireless LAN access with public authentication server | |
JP2004164576A (en) | Method and system for authenticating user in public wireless lan service system, and recording medium | |
JP2006109449A (en) | Access point that wirelessly provides encryption key to authenticated wireless station | |
US20150249639A1 (en) | Method and devices for registering a client to a server | |
US7784086B2 (en) | Method for secure packet identification | |
KR100924315B1 (en) | Authentification system of wireless-lan with enhanced security and authentifiaction method thereof | |
Fisher | Authentication and Authorization: The Big Picture with IEEE 802.1 X | |
Rincon et al. | On Securing Wireless LANs and Supporting Nomadic Users with Microsoft’s IPSec Implementation | |
Pastrone | Fast Authentication in Heterogeneous Wireless Networks | |
KR20050087908A (en) | User authentication method of wireless network | |
JP2003023432A (en) | Network access control method suitable for wireless lan, system and program thereof | |
KR20130062965A (en) | System and method for access authentication for wireless network | |
MXPA06001088A (en) | System and method for controlling access to a network using redirection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A107 | Divisional application of patent | ||
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |