KR20060045669A - 무선 네트워크에서 통신 보안을 관리하는 방법 및 이를위한 장치 - Google Patents

무선 네트워크에서 통신 보안을 관리하는 방법 및 이를위한 장치 Download PDF

Info

Publication number
KR20060045669A
KR20060045669A KR1020050030732A KR20050030732A KR20060045669A KR 20060045669 A KR20060045669 A KR 20060045669A KR 1020050030732 A KR1020050030732 A KR 1020050030732A KR 20050030732 A KR20050030732 A KR 20050030732A KR 20060045669 A KR20060045669 A KR 20060045669A
Authority
KR
South Korea
Prior art keywords
station
encryption
encryption information
communication
key
Prior art date
Application number
KR1020050030732A
Other languages
English (en)
Inventor
이성민
한세희
오승재
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020050048099A priority Critical patent/KR20060048208A/ko
Priority to KR1020050084434A priority patent/KR100664952B1/ko
Priority to PCT/KR2005/003117 priority patent/WO2006080623A1/en
Priority to US11/231,978 priority patent/US7721325B2/en
Publication of KR20060045669A publication Critical patent/KR20060045669A/ko

Links

Images

Classifications

    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47GHOUSEHOLD OR TABLE EQUIPMENT
    • A47G19/00Table service
    • A47G19/02Plates, dishes or the like
    • A47G19/025Plates, dishes or the like with means for amusing or giving information to the user
    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47GHOUSEHOLD OR TABLE EQUIPMENT
    • A47G19/00Table service
    • A47G19/02Plates, dishes or the like
    • A47G19/04Plates with detachable waste receptacles
    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47GHOUSEHOLD OR TABLE EQUIPMENT
    • A47G19/00Table service
    • A47G19/02Plates, dishes or the like
    • A47G19/06Plates with integral holders for spoons, glasses, or the like
    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47GHOUSEHOLD OR TABLE EQUIPMENT
    • A47G2200/00Details not otherwise provided for in A47G
    • A47G2200/14Sound

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선 네트워크에서 통신 보안을 관리하는 방법 및 이를 위한 장치에 관한 것이다.
본 발명의 실시예에 따른 무선 네트워크에서 통신 보안을 관리 방법은, 억세스 포인트가 제공하는 제 1 암호화 정보 및 억세스 포인트가 포함된 무선 네트워크에 참여하려는 스테이션이 제공하는 제 2 암호화 정보를 스테이션으로부터 수신하는 단계와, 제 3 암호화 정보를 제공하는 단계와, 제 1 암호화 정보 및 제 2 암호화 정보, 제 3 암호화 정보, 및 초기키를 사용하여 암호키를 생성하는 단계, 및 제 3 암호화 정보 및 암호키를 스테이션에게 송신하는 단계를 포함한다.
본 발명에 따르면 무선 네트워크의 통신 보안 유지 및 관리를 보다 손쉽게 할 수 있다.
WPA-PSK, 무선랜, 보안

Description

무선 네트워크에서 통신 보안을 관리하는 방법 및 이를 위한 장치{Method for managing communication security in wireless network and apparatus for the same}
도 1은 종래의 WPA-PSK 방식에 따른 암호키 설정 과정을 개략적으로 나타낸 흐름도이다.
도 2는 본 발명의 일 실시예에 따른 홈 네트워크를 나타낸 도면이다.
도 3a 내지 도 3b는 본 발명의 일 실시예에 따른 홈 네트워크에서 키 생성 장치를 통해 암호키를 제공하는 상태를 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 스테이션을 나타낸 블록도이다.
도 5는 본 발명의 일 실시예에 따른 키 생성 장치를 나타낸 블록도이다.
도 6은 본 발명의 일 실시예에 따른 억세스 포인트를 나타낸 블록도이다.
도 7은 본 발명의 일 실시예에 따른 초기키 제공 장치를 나타낸 블록도이다.
도 8은 본 발명의 일 실시예에 따른 암호키 설정 과정을 억세스 포인트 입장에서 나타낸 흐름도이다.
도 9는 본 발명의 일 실시예에 따른 암호키 생성 과정을 스테이션 입장에서 나타낸 흐름도이다.
도 10은 본 발명의 일 실시예에 따른 암호키 생성 과정을 키 생성 장치 입장 에서 나타낸 흐름도이다.
도 11은 본 발명의 일 실시예에 따른 암호키 생성 과정을 나타낸 흐름도이다.
도 12는 본 발명의 일 실시예에 따른 스테이션을 홈 네트워크로부터 접속 해제시키는 과정을 나타낸 흐름도이다.
<도면의 주요 부분에 관한 부호의 설명>
121 : 제어 모듈 122 : 암호키 생성 모듈
123 : 암호화 정보 제공 모듈 124 : 제한 통신 모듈
125 : 저장 모듈
본 발명은 무선 네트워크에서 통신 보안을 관리하는 방법 및 이를 위한 장치에 관한 것으로서, 더욱 상세하게는 외부 스테이션이 무선 네트워크에 한시적으로 참여하는 경우 키 생성 장치가 임시키를 생성하여 외부 스테이션에게 제공함으로써 해당 무선 네트워크에서 보안을 유지시키도록 하는 통신 보안 관리 방법 및 이를 위한 장치에 관한 것이다.
통신 및 네트워크 기술의 발달에 따라 최근의 네트워크 환경은 동축 케이블 또는 광 케이블과 같은 유선 매체를 이용하는 유선 네트워크 환경으로부터 다양한 주파수 대역의 무선 신호를 이용하는 무선 네트워크 환경으로 변해가고 있다.
무선 네트워크는 유선 네트워크와 달리 데이터 전송 경로가 물리적으로 고정되어 있지 않으므로, 무선 네트워크는 유선 네트워크에 비하여 통신의 보안성이 취약하다. 따라서 보다 안전한 무선 통신을 수행하기 위하여, 대부분의 무선 통신 프로토콜은 전송되는 데이터 패킷에 대한 암호화를 지원한다. 이러한 예로써 무선랜에서 사용되는 WPA-PSK(Wi-Fi Protected Access Pre-Shared Key) 방식이나 WEP(Wired Equivalent Privacy) 방식 등이 있다.
이 중 WEP 방식의 취약점을 보완한 WPA-PSK 방식에 따른 암호키 설정 과정을 도 1을 통해 설명한다.
도 1은 종래의 WPA-PSK 방식에 따른 암호키 설정 과정을 개략적으로 나타낸 흐름도이다.
종래의 WPA-PSK 방식에서는 억세스 포인트와 스테이션 간에 4-Way Handshake로 암호키 생성 과정이 진행된다.
WPA-PSK 방식에서 동일 무선 네트워크를 구성하는 억세스 포인트 및 스테이션들은 PSK(이하 초기키라 한다)를 공유한다. 초기키는 억세스 포인트와 스테이션 간의 통신을 보호할 암호키를 생성하는데 사용된다.
먼저, 억세스 포인트와 스테이션은 소정의 인증 및 연결 과정을 거치게 된다(S110). 이러한 인증 및 연결을 위해 IEEE(Institute of Electrical and Electronics Engineers) 802.11의 Open Authentication 방법이 적용될 수 있다.
억세스 포인트와 스테이션은 인증 및 연결 과정을 통해서 상대방의 MAC(Medium Access Control) 주소를 획득할 수 있으며, MAC 주소는 암호키 생성시 사용된다.
인증 및 연결을 마친 억세스 포인트는 제 1 난수를 생성(S120)하고, 스테이션은 제 2 난수를 생성한다(S125). 난수란 임의성을 갖는 숫자열 또는 문자열을 의미한다.
난수 생성 후, 억세스 포인트는 자신이 생성한 제 1 난수를 스테이션에게 전송하고(S130), 스테이션은 자신이 생성한 제 2 난수를 억세스 포인트에게 전송한다(S140).
따라서 억세스 포인트와 스테이션은 제 1 난수, 제 2 난수, 억세스 포인트의 MAC 주소 및 스테이션의 MAC 주소를 공유할 수 있다.
이러한 과정을 통해 공유된 정보(난수 및 MAC 주소)와 사전에 공유된 초기키를 사용하여 억세스 포인트 및 스테이션은 동일한 알고리즘에 따라 암호키를 생성하게 된다(S150, S155). 동일한 암호키 생성 알고리즘 및 동일한 파라미터(제 1 난수, 제 2 난수, 억세스 포인트의 MAC 주소, 스테이션의 MAC 주소 및 초기키)를 사용하여 암호키를 생성하므로, 억세스 포인트와 스테이션은 동일한 암호키를 공유할 수 있다.
이러한 방식으로 무선 네트워크를 구성하는 각 스테이션들은 억세스 포인트와 공유하게 될 암호키를 생성할 수 있다. 이때 각 스테이션들은 서로 다른 파라미터(예컨데 난수 및 스테이션의 MAC 주소)를 사용하여 암호키를 생성하므로 스테이션들은 자신과 억세스 포인트만이 알고 있는 암호키를 갖게 된다.
암호키가 생성되면 억세스 포인트와 스테이션은 서로에게 송신할 데이터를 암호키로 암호화하고, 상대방으로부터 수신된 암호화된 데이터를 암호키로 복호화할 수 있다.
이처럼 WPA-PSK 방식을 통해 암호키를 생성하기 위해서는 초기키가 필요하며 억세스 포인트와 동일한 초기키를 갖고 있지 않은 외부 스테이션은 억세스 포인트와 동일한 암호키를 생성할 수 없게 된다. 따라서 WPA-PSK 방식을 적용하면 무선 네트워크에 외부 스테이션이 무단으로 접속하는 것을 방지할 수 있다.
이 때문에 초기키는 무선 네트워크 외부로 유출되지 않도록 보호되어야 한다. 즉, 외부 스테이션에게 초기키가 공개된 경우 무선 네트워크 관리자는 무선 네트워크를 구성하는 모든 네트워크 장치들(억세스 포인트 및 스테이션들)의 초기키를 새로 설정하여야 한다.
이러한 종래 기술은 특정 무선 네트워크에 대해 외부 스테이션의 한시적인 참여를 허용하여야 할 경우 무선 네트워크 관리자가 무선 네트워크를 관리하는데 불편함을 발생시킨다.
예컨데 홈 네트워크에 방문자가 소지한 외부 스테이션이 한시적으로 참여하여야 할 경우, 종래 기술에 따르면 홈 네트워크 관리자가 외부 스테이션에게 홈 네트워크에서 사용하는 초기키를 공유시키게 된다.
이때 외부 스테이션은 홈 네트워크에서 사용되는 초기키를 저장하게 된다. 따라서 외부 스테이션은 홈 네트워크에 대한 참여를 마치게 되더라도(예컨데 외부 스테이션을 소지한 방문자가 방문을 마친 경우) 차후에 억세스 포인트와 새로운 암호키를 공유할 수 있게 된다. 이러한 경우 외부 스테이션은 홈 네트워크 관리자의 허가 없이도 자유롭게 홈 네트워크에 참여할 수 있는 문제점이 발생한다. 이러한 문제점을 방지하기 위해서, 홈 네트워크 관리자는 홈 네트워크의 억세스 포인트 및 모든 스테이션들의 초기키를 변경하여야 한다.
그러나 홈 네트워크를 구성하는 억세스 포인트 및 모든 스테이션의 초기키를 변경하는 것은 홈 네트워크 관리자에게 불편함을 초래한다. 특히, 이러한 불편함은 외부 스테이션의 한시적인 참여가 빈번히 발생하는 환경의 무선 네트워크나 억세스 포인트 및 스테이션의 개수가 많은 무선 네트워크에서 더욱 증가될 수 밖에 없다.
본 발명은 무선 네트워크에 한시적으로 참여하는 스테이션이 있는 경우 해당 스테이션에게 무선 네트워크에서 사용하는 초기키를 유출시키지 않고서도 무선 네트워크에서의 통신에 보안을 유지시키는데 그 목적이 있다.
본 발명의 다른 목적은 무선 네트워크에 한시적으로 참여하는 스테이션에게 초기키가 유출되지 않도록 하여 무선 네트워크의 통신 보안 관리에 편리함을 제공하는 것이다.
본 발명의 목적들은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 목적을 달성하기 위하여, 본 발명의 실시예에 따른 무선 네트워크에서 통신 보안을 관리 방법은, 억세스 포인트가 제공하는 제 1 암호화 정보 및 상기 억세스 포인트가 포함된 무선 네트워크에 참여하려는 스테이션이 제공하는 제 2 암호화 정보를 상기 스테이션으로부터 수신하는 단계와, 제 3 암호화 정보를 제공하는 단계와, 상기 수신된 제 1 암호화 정보 및 제 2 암호화 정보, 상기 제공된 제 3 암호화 정보, 및 초기키를 사용하여 암호키를 생성하는 단계, 및 상기 제공된 제 3 암호화 정보 및 상기 생성된 암호키를 상기 스테이션에게 송신하는 단계를 포함한다.
상기 목적을 달성하기 위하여, 본 발명의 다른 실시예에 따른 무선 네트워크에서 통신 보안을 관리하는 방법은, 소정의 무선 네트워크에 참여하려는 스테이션이 상기 무선 네트워크를 구성하는 억세스 포인트로부터 제 1 암호화 정보를 수신하는 단계와, 제 2 암호화 정보를 제공하는 단계와, 상기 수신된 제 1 암호화 정보 및 상기 제공된 제 2 암호화 정보를 키 생성 장치에게 송신하는 단계와, 상기 제 1 암호화 정보, 상기 제 2 암호화 정보, 상기 키 생성 장치가 제공하는 제 3 암호화 정보, 및 초기키를 사용하여 상기 키 생성 장치에 의해 생성된 암호키 및 상기 키 생성 장치가 제공한 제 3 암호화 정보를 상기 키 생성장치로부터 수신하는 단계와, 상기 제 2 암호화 정보 및 상기 제 3 암호화 정보를 상기 억세스 포인트에게 송신하는 단계, 및 상기 수신된 암호키를 사용하여 상기 억세스 포인트와의 통신을 수행하는 단계를 포함한다.
상기 목적을 달성하기 위하여, 본 발명의 또 다른 실시예에 따른 무선 네트워크에서 통신 보안을 관리하는 방법은, 소정의 무선 네트워크를 구성하는 억세스 포인트가 제 1 암호화 정보를 제공하는 단계와, 상기 제공된 제 1 암호화 정보를 상기 무선 네트워크에 참여하려는 스테이션에게 송신하는 단계와, 상기 스테이션이 제공하는 제 2 암호화 정보 및 상기 무선 네트워크에서 상기 스테이션이 사용할 암호키를 생성하는 키 생성 장치가 상기 암호키를 생성하기 위해 제공하는 제 3 암호화 정보를 상기 스테이션으로부터 수신하는 단계와, 상기 제공된 제 1 암호화 정보, 상기 수신된 제 2 암호화 정보 및 제 3 암호화 정보, 및 상기 억세스 포인트가 저장하고 있는 초기키를 사용하여 암호키를 생성하는 단계, 및 상기 생성된 암호키를 사용하여 상기 스테이션과의 통신을 수행하는 단계를 포함한다.
상기 목적을 달성하기 위하여, 본 발명의 실시예에 따른 키 생성 장치는 억세스 포인트가 제공하는 제 1 암호화 정보 및 상기 억세스 포인트가 포함된 무선 네트워크에 참여하려는 스테이션이 제공하는 제 2 암호화 정보를 상기 스테이션으로부터 수신하는 제한 통신 모듈과, 제 3 암호화 정보를 제공하는 암호화 정보 제공 모듈과, 초기키를 저장하는 저장모듈과, 상기 제한 통신 모듈을 통해서 수신된 제 1 암호화 정보 및 제 2 암호화 정보, 상기 암호화 정보 제공 모듈로부터 제공된 제 3 암호화 정보, 및 상기 저장 모듈에 저장된 초기키를 사용하여 암호키를 생성하는 암호키 생성 모듈, 및 상기 암호화 정보 제공 모듈에 의해 제공된 제 3 암호화 정보 및 상기 암호키 생성 모듈에 의해 생성된 암호키를 상기 제한 통신 모듈을 통해서 상기 스테이션에게 전송시키는 제어모듈을 포함한다.
상기 목적을 달성하기 위하여, 본 발명의 실시예에 따른 스테이션은 무선 네트워크의 억세스 포인트로부터 제 1 암호화 정보를 수신하는 네트워크 통신 모듈 과, 제 2 암호화 정보를 제공하는 암호화 정보 제공 모듈과, 상기 제 1 암호화 정보 및 상기 제 2 암호화 정보를 키 생성 장치에게 송신하고, 상기 제 1 암호화 정보, 상기 제 2 암호화 정보, 상기 키 생성 장치가 제공하는 제 3 암호화 정보, 및 초기키를 사용하여 상기 키 생성 장치가 생성한 암호키 및 상기 키 생성 장치가 제공한 상기 제 3 암호화 정보를 상기 키 생성장치로부터 수신하는 제한 통신 모듈, 상기 제한 통신 모듈을 통해서 상기 암호키 및 상기 제 3 암호화 정보가 수신된 경우, 상기 네트워크 통신 모듈을 통해서 상기 억세스 포인트에게 상기 제 2 암호화 정보 및 상기 제 3 암호화 정보를 송신시키는 제어 모듈, 및 상기 네트워크 통신 모듈을 통하여 상기 억세스 포인트에게 송신할 데이터를 상기 키 생성 장치로부터 수신된 암호키로 암호화하고, 상기 네트워크 통신 모듈을 통하여 상기 억세스 포인트로부터 수신되는 암호화된 데이터를 상기 암호키로 복호화하는 암호화 모듈을 포함한다.
상기 목적을 달성하기 위하여 본 발명의 실시예에 무선 네트워크에 참여하려는 스테이션과의 통신을 위해 상기 무선 네트워크에서 통신 보안을 관리하는 억세스 포인트는, 제 1 암호화 정보를 제공하는 암호화 정보 제공 모듈과, 상기 암호화 정보 제공 모듈로부터 제공되는 상기 제 1 암호화 정보를 상기 스테이션에게 송신하고, 상기 스테이션이 제공하는 제 2 암호화 정보 및 상기 무선 네트워크에서 상기 스테이션이 사용할 암호키를 생성하는 키 생성 장치가 상기 암호키를 생성하기 위해 제공한 제 3 암호화 정보를 상기 스테이션으로부터 수신하는 네트워크 통신 모듈과, 초기키를 저장하는 저장 모듈과, 상기 제공된 제 1 암호화 정보, 상기 수 신된 제 2 암호화 정보 및 제 3 암호화 정보, 및 상기 저장 모듈에 저장된 초기키를 사용하여 암호키를 생성하는 암호키 생성 모듈, 및 상기 네트워크 통신 모듈을 통하여 상기 스테이션에게 송신할 데이터를 상기 암호키 생성 모듈에 의해 생성된 암호키로 암호화하고, 상기 네트워크 통신 모듈을 통하여 상기 스테이션으로부터 수신되는 암호화된 데이터를 상기 암호키로 복호화하는 암호화 모듈을 포함한다.
상기 목적을 달성하기 위하여 본 발명의 실시예에 따른 초기키 제공 장치는 억세스 포인트 및 스테이션과 통신을 수행하는 제한 통신 모듈과, 상기 제한 통신 모듈을 통해서 상기 억세스 포인트와 인증 작업을 수행한 후 상기 억세스 포인트로부터 초기키를 수신하고, 상기 제한 통신 모듈을 통해서 상기 스테이션과 인증 작업을 수행한 후 상기 스테이션에게 상기 초기키를 전송시키는 제어 모듈, 및 상기 수신된 초기키를 저장하는 저장모듈을 포함한다.
기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.
도 2는 본 발명의 일 실시예에 따른 홈 네트워크를 나타낸 도면이다.
도시된 홈 네트워크(100)는 억세스 포인트(110), 키 생성 장치(120) 및 하나 이상의 스테이션(130, 140)을 포함한다.
본 발명을 설명하는데 있어서 스테이션은 노트북, 셀룰러폰, 디지털 TV, 셋탑 박스 등과 같이 무선 매체를 사용하여 통신을 수행할 수 있는 네트워크 장치를 의미한다. 또한 억세스 포인트는 스테이션에 대해 무선 네트워크(본 실시예에서는 홈 네트워크(100))로의 접속을 제어할 수 있는 네트워크 접속 제어 장치를 의미한다. 바람직하게는 본 발명의 일 실시예로써 억세스 포인트 및 스테이션은 무선랜에 대한 표준인 IEEE 802.11에서 정의 되는 억세스 포인트 및 스테이션의 개념으로 설명될 수 있다.
억세스 포인트(110)와 스테이션들(130, 140)은 WPA-PSK 방식을 사용하여 통신의 보안을 유지할 수 있다. 이를 위해 억세스 포인트(110) 및 스테이션들(130, 140)은 사전에 동일한 초기키를 저장하고 있다. 초기키는 네트워크 관리자에 의해 수동으로 입력될 수 있으며, 이를 위해 억세스 포인트(110) 및 스테이션들(130, 140)은 네트워크 관리자로부터 초기키를 입력 받을 수 있는 사용자 인터페이스를 제공할 수 있다.
억세스 포인트(110)의 초기키와 동일한 초기키를 저장하고 있는 스테이션들(130, 140)은 종래 기술에서 설명한 바와 같이 억세스 포인트(110)와 공유할 암호 키를 생성할 수 있으며, 암호키를 통해 홈 네트워크(100)에서의 통신에 보안을 유지할 수 있다.
한편, 키 생성 장치(120)는 플레쉬 메모리와 같이 데이터를 읽고 쓰고 지울 수 있는 성질을 갖는 비휘발성 메모리를 포함하며 데이터에 대한 소정의 연산 능력을 갖는 휴대 가능한 장치이다. 예를 들어 키 생성 장치(120)는 스마트카드나 멀티미디어카드와 같은 휴대용 저장장치이거나 휴대폰, PDA와 같은 휴대 단말기일 수 있다. 또한, 키 생성 장치(120)는 억세스 포인트(110)와 동일한 초기키를 저장하고 있다.
키 생성 장치(120)는 외부 스테이션(150)이 홈 네트워크(100)에 한시적으로 참여하는 것이 허락된 경우(예컨데 방문자가 소지한 스테이션(150)이 홈 네트워크(100)에 접속하도록 허락하는 경우) 억세스 포인트(110)와 외부 스테이션(150) 간에 공유할 암호키를 생성한다. 이러한 암호키는 홈 네트워크(100)에서의 통신 보안을 위해 사용된다.
암호키를 생성하기 위해 키 생성 장치(120)는 외부 스테이션(150)으로부터 암호키 생성에 필요한 정보(이하 암호화 정보라 한다)를 전송 받는다. 외부 스테이션(150)으로부터 키 생성 장치(120)에게 전송되는 암호화 정보는 억세스 포인트가 제공한 암호화 정보(이하 제 1 암호화 정보라 한다) 및 외부 스테이션(150)이 제공하는 암호화 정보(이하 제 2 암호화 정보라 한다)를 포함한다.
그후 키 생성 장치(120)는 외부 스테이션(150)으로부터 전송 받은 제 1 암호화 정보 및 제 2 암호화 정보, 키 생성 장치(120) 자신이 생성한 암호화 정보(이하 제 3 암호화 정보라 한다) 및 초기키를 사용하여 암호키를 생성한다. 키 생성 장치(120)가 암호키를 생성하기 위해 사용하는 암호키 생성 알고리즘은 억세스 포인트(110)가 사용하는 암호키 생성 알고리즘과 동일한 알고리즘이다.
암호키가 생성되면 키 생성 장치(120)는 자신이 생성한 제 3 암호화 정보 및 암호키를 외부 스테이션(150)에게 전송한다..
여기서 외부 스테이션(150)과 키 생성 장치(120) 사이에 전송되는 암호화 정보 및 암호키는 홈 네트워크(100)의 보안에 중요한 정보이다. 따라서, 암호화 정보 및 암호키는 홈 네트워크(100)에 인접하고 있는 또 다른 외부 스테이션(도시하지 않음)에게 노출되지 않도록 하는 것이 바람직하다. 이를 위해서, 외부 스테이션(150) 및 키 생성 장치(120) 간의 통신을 위해 사용되는 통신 수단은 홈 네트워크(100)에서 억세스 포인트(110)와 각 스테이션(130 내지 150) 간의 통신을 위해 사용되는 통신 수단(예컨데 무선랜)보다 좁은 통신 범위를 갖는 통신 수단(이하 제한 통신 수단(limited range communication)이라 한다)일 수 있다. 예를 들어 제한 통신 수단은 외부 스테이션(150)과 키 생성 장치(120) 사이의 거리가 1m 이내인 경우에 통신이 가능하도록 설계될 수 있다. 바람직하게는 제한 통신 수단은 적외선 통신(Infrared Data Association; IrDA), 근거리 통신(Near Field Communication; NFC), 블루투스(Bluetooth)와 같은 비접촉식 통신 수단이나, USB(Universal Serial Bus), ISO(The International Organization for Standardization)-7816 규격의 통신 수단과 같은 접촉식 통신 수단일 수 있다.
따라서 외부 스테이션(150)을 위한 암호키 생성 및 분배시 네트워크 관리자 는 제한 통신 수단으로 통신 가능한 거리 이내로 키 생성 장치(120)를 외부 스테이션(150)에 근접시키게 된다.
즉, 외부 스테이션(150)을 홈 네트워크(100)에 참여시키는 경우, 네트워크 관리자는 도 3a에 도시한 바와 같이 키 생성 장치(120)를 외부 스테이션(150)에게 근접시켜서 키 생성 장치(120)와 외부 스테이션(150)이 제한 통신 수단을 통해 통신할 수 있도록 한다. 이 때 외부 스테이션(150)은 제 1 암호화 정보 및 제 2 암호화 정보를 제한 통신 수단을 통해서 키 생성 장치(120)에게 전송하고, 키 생성 장치(120)는 암호화 정보(제 1 암호화 정보, 제 2 암호화 정보 및 제 3 암호화 정보) 및 초기키를 사용하여 생성한 암호키 및 자신이 생성한 제 3 암호화 정보를 제한 통신 수단을 통해서 외부 스테이션(150)에게 전송한다.
키 생성 장치(120)로부터 제 3 암호화 정보 및 암호키를 수신한 외부 스테이션(150)은 억세스 포인트(110)에게 제 2 암호화 정보 및 제 3 암호화 정보를 전송한다. 제 2 암호화 정보 및 제 3 암호화 정보를 수신한 억세스 포인트(110)는 키 생성 장치가 암호키를 생성하는 데 사용한 것과 동일한 암호화 정보, 동일한 초기키 및 동일한 암호키 생성 알고리즘으로 암호키를 생성할 수 있다.
따라서 외부 스테이션(150)은 억세스 포인트(110)와 동일한 암호키를 공유하게 되어, 도 3b에 도시한 바와 같이 억세스 포인트(110)를 통해 홈 네트워크(100) 통신에 참여할 수 있게 된다.
필요에 따라서는 억세스 포인트(110)와 키 생성 장치(120) 간의 통신에도 전술한 제한 통신 수단이 사용될 수 있다.
한편, 제 1 암호화 정보, 제 2 암호화 정보 및 제 3 암호화 정보는 각각 하나 이상의 파라미터를 포함할 수 있다. 예를 들어 억세스 포인트(110) 및 키 생성 장치(120)에서 암호키를 생성하기 위해 사용하는 암호키 생성 알고리즘이 도 1 을 통해 설명한 바와 같이 초기키 및 4개의 파라미터(두개의 MAC 주소와 두개의 난수)를 필요로 하는 경우, 제 1 암호화 정보는 억세스 포인트의 MAC 주소 및 억세스 포인트가 제공하는 제 1 난수를 포함할 수 있다. 또한 제 2 암호화 정보는 외부 스테이션(150)의 MAC 주소를 포함할 수 있으며, 제 3 암호화 정보는 키 생성 장치(120)가 제공하는 제 2 난수를 포함할 수 있다.
전술한 방식에 따라서 키 생성 장치(120)로부터 암호키를 제공 받은 외부 스테이션(150)이 홈 네트워크(100)에 대한 참여를 마치게 되더라도 외부 스테이션(150)은 홈 네트워크에서 사용되는 초기키를 알지 못한다. 따라서 차후 외부 스테이션(150)이 억세스 포인트(110)와 도 1에 도시된 바와 같은 일련의 과정을 수행하더라도 외부 스테이션(150)은 억세스 포인트(110)가 생성하게 될 암호키와 동일한 암호키를 생성할 수 없다.
이상 본 발명의 실시예로써 홈 네트워크에 관하여 설명하였으나 본 발명은 이에 한정되지 않으며, 본 발명을 통해 설명되는 억세스 포인트, 스테이션 및 키 생성 장치로 구성되는 다른 형태의 무선 네트워크 시스템 또한 본 발명의 실시예에 속하는 것으로 보아야 한다.
한편, 도 2에 도시된 실시예에서 홈 네트워크(100)를 구성하는 스테이션들(130, 140)이 다른 홈 네트워크에 참여하게 될 경우, 스테이션들(130, 140)은 외부 스테이션(150)과 동일한 동작을 수행할 수 있다. 따라서 이하에서는 식별 부호 160을 사용하여 스테이션을 설명할 것이다. 이에 따라 스테이션(160)은 홈 네트워크(100)에 속한 스테이션(130, 140)일 수도 있고, 외부 스테이션(150)일 수도 있다. 설명의 편의를 위해 이하 설명되는 스테이션(160)이 홈 네트워크(100)에 속하는 스테이션(130, 140)으로써 동작하는 경우를 홈 모드라 하고, 외부 스테이션(150)으로써 동작하는 경우를 방문 모드라 한다.
도 4는 본 발명의 일 실시예에 따른 스테이션을 나타낸 블록도이다.
도시된 스테이션(160)은 제어모듈(161), 암호키 생성모듈(162), 제한 통신 모듈(163), 저장모듈(164), 암호화 모듈(165), 네트워크 통신 모듈(166), 암호화 정보 제공 모듈(167) 및 사용자 인터페이스 모듈(168)을 포함한다.
제어모듈(161)은 스테이션(160)을 구성하는 각 기능성 블록들의 동작을 제어한다.
제어모듈(161)은 억세스 포인트(110)와의 인증 및 연결 작업을 수행할 수 있다. 이러한 인증 및 연결을 위해 IEEE(Institute of Electrical and Electronics Engineers) 802.11의 Open Authentication 방법이 적용될 수 있다.
한편 제어모듈(161)은 인증 과정을 통해 스테이션(160)이 홈 모드로 동작해야 하는지 또는 방문 모드로 동작해야 하는지의 여부를 판단할 수 있다. 이러한 판단은 제어모듈(161)이 홈 모드에서 네트워크 통신 모듈(166)을 통해 통신을 수행하던 억세스 포인트를 식별할 수 있는 정보(예컨데 억세스 포인트의 MAC 주소, 인증 정보 등)를 저장모듈(164)에 저장시켜 두었다가 임의의 억세스 포인트와 인증을 수행하는 경우, 해당 억세스 포인트에 관한 정보를 저장모듈(164)에 저장시켜 두었던 정보와 비교함으로써 수행될 수 있다.
다른 실시예로써, 제어모듈(161)은 사용자 인터페이스 모듈(168)을 통해 사용자로부터 홈 모드 또는 방문 모드로 동작하도록 요청 받은 경우, 스테이션(160)을 구성하는 각 기능성 블록들이 해당 모드에 맞게 동작하도록 제어할 수도 있다.
홈 모드로 동작할 경우, 제어모듈(161)은 억세스 포인트(110)로부터 전송된 제 1 암호화 정보 및 암호화 정보 제공 모듈(167)에 의해 제공된 제 2 암호화 정보를 암호키 생성 모듈(162)로 전달하여 암호키를 생성하도록 한다. 이때 제어모듈(161)은 제 2 암호화 정보를 네트워크 통신 모듈(166)을 통해 억세스 포인트(110)에게 전송시킬 수 있다.
그러나 방문 모드로 동작하는 경우, 제어모듈(161)은 제 1 암호화 정보 및 제 2 암호화 정보를 제한 통신 모듈(163)을 통해 키 생성 장치(120)로 전송시킬 수 있다. 키 생성 장치(120)에게 암호화 정보를 전송시키기 전에 제어 모듈(161)은 키 생성 장치(120)와 소정의 인증 과정을 수행할 수도 있다. 또한 제한 통신 모듈(163)을 통해서 키 생성 장치(120)로부터 제 3 암호화 정보 및 암호키가 수신된 경우, 제어모듈(161)은 암호화 정보 제공 모듈(167)에 의해 제공된 제 2 암호화 정보 및 키 생성 장치(120)로부터 전송된 제 3 암호화 정보를 네트워크 통신 모듈(166)을 통해서 억세스 포인트(110)에게 전송시킬 수 있다.
암호키 생성 모듈(162)은 억세스 포인트(110)로부터 제공된 제 1 암호화 정보, 암호화 정보 제공 모듈(167)로부터 제공된 제 2 암호화 정보 및 저장모듈(164) 에 저장된 초기키를 사용하여 암호키를 생성한다. 암호키 생성 모듈(162)에 의한 암호키 생성은 스테이션(160)이 홈 모드로 동작하는 경우 수행될 수 있다.
제한 통신 모듈(163)은 스테이션(160)과 키 생성 장치(120) 간의 통신을 담당한다. 즉, 제한 통신 모듈(163)은 키 생성 장치(120)에게 제 1 암호화 정보 및 제 2 암호화 정보를 전송하고, 키 생성 장치(120)로부터 제 3 암호화 정보 및 암호키를 수신한다. 이때 제한 통신 모듈(163)을 통해 송수신 되는 데이터는 홈 네트워크(100)의 보안을 유지하는데 중요한 정보이므로, 이를 홈 네트워크(100)의 외부에 인접해 있는 다른 외부 스테이션들이 감지하지 못하도록 할 필요성이 있다. 이를 위해 제한 통신 모듈(163)은 제한 통신 수단으로 구성될 수 있다. 즉, 제한 통신 모듈(163)을 구성하는 제한 통신 수단은 홈 네트워크(100) 내의 억세스 포인트(110)와 스테이션(160) 간의 통신을 위해 사용되는 통신 수단(예를 들어 무선랜)에 비해 통신 범위가 좁거나 통신 방향에 대한 제약 큰 것이 바람직하다. 따라서 제한 통신 모듈(163)을 구성하는 통신 수단은 네트워크 통신 모듈(166)을 구성하는 통신 수단에 비하여 좁은 통신 범위를 갖는다. 제한 통신 수단으로는 IrDA(Infrared Data Association), NFC(Near Field Communication), 블루투스(Bluetooth)와 같은 비접촉식 통신 수단이나, USB, ISO-7816 규격의 통신 수단과 같은 접촉식 통신 수단일 수 있다.
저장모듈(164)은 억세스 포인트(110)으로부터 수신된 제 1 암호화 정보, 암호화 정보 제공 모듈(167)에 의해 제공된 제 2 암호화 정보, 및 키 생성 장치(120)으로부터 전송 받은 제 3 암호화 정보 및 암호키를 저장한다.
또한 저장모듈(164)는 스테이션(160)이 홈 모드로 동작하는 경우 암호키 생성 모듈(162)이 암호키를 생성하기 위해 사용하는 초기키를 저장한다.
암호화 모듈(165)은 저장모듈(164)에 저장된 암호키를 사용하여 네트워크 통신 모듈(166)을 통해 전송할 데이터를 암호화 하고, 네트워크 통신 모듈(166)을 통해 수신되는 암호화된 데이터를 복호화 한다. 암호화 모듈(165)이 사용하는 암호키는, 홈 모드일 경우에는 암호키 생성 모듈(162)에 의해 생성된 암호키이며 방문 모드일 경우에는 키 생성 장치(120)로부터 수신된 암호키이다.
네트워크 통신 모듈(166)은 스테이션(160)과 억세스 포인트(110) 간의 통신을 담당한다. 즉, 네트워크 통신 모듈(166)은 억세스 포인트(110)로부터 제 1 암호화 정보를 수신하고, 억세스 포인트(110)에게 제 2 암호화 정보 및 제 3 암호화 정보를 송신한다. 또한 네트워크 통신 모듈(166)은 암호화 모듈(165)에 의해 암호화된 데이터를 억세스 포인트(110)에게 전송하고, 억세스 포인트(110)로부터 송신되는 데이터를 수신한다. 네트워크 통신 모듈(166)이 사용하는 통신 수단의 일 예로 무선랜을 들 수 있다. 바람직하게는 네트워크 통신 모듈(166)은 무선랜에 관한 표준인 IEEE 802.11에서 정의되는 프로토콜에 따라 통신을 수행할 수 있다.
암호화 정보 제공 모듈(167)은 암호키를 생성하는데 필요한 제 2 암호화 정보를 제공한다. 예를 들어 스테이션(160)이 방문 모드로 동작하는 경우 제 2 암호화 정보는 스테이션(160)의 MAC 주소를 포함할 수 있다. 그러나 스테이션(160)이 홈 모드로 동작하는 경우 제 2 암호화 정보는 스테이션(160)의 MAC 주소뿐만 아니라 소정의 난수를 더 포함할 수 있다. 그러나 본 발명은 이에 한정되지 않으며, 암호키를 생성하는데 사용되는 알고리즘에 따라서 제 2 암호화 정보는 다른 파라미터들을 포함할 수도 있다.
사용자 인터페이스 모듈(168)은 사용자의 제어 정보를 입력 받는다. 예컨데 사용자는 사용자 인터페이스 모듈(168)을 통해 스테이션(160)이 홈 모드 또는 방문 모드로 전환되도록 명령할 수 있다.
도 5는 본 발명의 일 실시예에 따른 키 생성 장치를 나타낸 블록도이다.
도시된 키 생성 장치(120)는 제어모듈(121), 암호키 생성모듈(122), 암호화 정보 제공 모듈(123), 제한 통신 모듈(124) 및 저장 모듈(125)을 포함한다.
제어모듈(121)은 키 생성 장치(120)를 구성하는 각 기능성 블록들의 동작을 제어한다. 특히 제어모듈(121)은 암호화 정보 제공 모듈(123)에 의해 제공된 제 3 암호화 정보 및 암호키 생성모듈(122)에 의해 생성된 암호키를 제한 통신 모듈(124)을 통하여 스테이션(160)으로 전송시킨다. 또한 제어모듈(121)은 저장 모듈(125)에 저장된 초기키에 대한 스테이션(160)의 접근을 제한하여 초기키가 외부로 유출되는 것을 방지한다.
한편 제어모듈(121)은 스테이션(160)과 소정의 인증 과정을 수행할 수 있으며, 인증 과정을 통해 스테이션(160)과의 통신에 보안을 강화할 수 있다.
스테이션(160)의 접속을 강제로 해제시키려는 경우 제어모듈(121)은 외부 스테이션(150)의 식별 정보를 접속 해제 요청과 함께 억세스 포인트(110)에게 전송시킬 수 있다. 이때 식별 정보는 제한 통신 모듈(124)을 통해 전송되는 것이 바람직하다.
억세스 포인트(110)로부터 스테이션(160)의 홈 네트워크(100) 접속이 해제 되었음을 확인 받은 경우 제어모듈(121)은 저장 모듈(125)에 저장된 스테이션(160)의 식별 정보를 비활성화시킬 수 있다.
암호키 생성 모듈(122)은 스테이션(160)으로부터 전송 받은 제 1 암호화 정보 및 제 2 암호화 정보, 암호화 정보 제공 모듈(123)에 의해 제공된 제 3 암호화 정보 및 저장 모듈(125)에 저장된 초기키를 사용하여 암호키를 생성한다. 암호키 생성을 위한 암호키 생성 알고리즘은 억세스 포인트(110)가 사용하는 암호키 생성 알고리즘과 동일한 알고리즘이다. 또한 임의의 스테이션이 암호키에 무단으로 억세스하는 것을 방지하기 위해, 암호키 생성 모듈(122)의 암호키 생성과 관련된 연산은 물리적/논리적으로 안전하게 보호된 영역에서 수행될 수 있다.
암호화 정보는 암호키 생성을 위해 초기키와 더불어 필요로 되는 정보이다. 암호화 정보에 포함되는 파라미터들은 암호키 생성 모듈(122)이 사용하는 암호키 생성 알고리즘에 따라 달라질 수 있다. 예를 들어 암호키 생성 모듈(122)이 사용하는 암호키 생성 알고리즘이 도 1을 통해 설명한 바와 같은 파라미터를 요구한다면, 암호키 생성에 필요한 암호화 정보는 억세스 포인트(110)의 MAC 주소, 외부 스테이션(150)의 MAC 주소 및 두개의 난수를 포함한다. 이 경우, 제 1 암호화 정보는 억세스 포인트(110)로부터 제공된 제 1 난수 및 억세스 포인트의 MAC 주소이고, 제 2 암호화 정보는 스테이션(160)의 MAC 주소이고, 제 3 암호화 정보는 암호화 정보 제공 모듈(123)로부터 제공된 제 2 난수 일 수 있다.
암호화 정보 제공 모듈(123)은 암호키 생성에 필요한 제 3 암호화 정보를 제 공한다. 예를 들어 암호화 정보 제공 모듈(123)은 소정의 난수를 생성할 수 있는데, 난수란 임의성을 갖는 문자열 또는 숫자열을 의미한다.
제한 통신 모듈(124)은 스테이션(160) 및 억세스 포인트(110)와의 통신을 담당한다. 보다 구체적으로, 제한 통신 모듈(124)은 스테이션(160)으로부터 제 1 암호화 정보 및 제 2 암호화 정보를 수신하고, 암호화 정보 제공 모듈(123)에 의해 제공된 제 3 암호화 정보 및 암호키 생성모듈(122)에 의해 생성된 암호키를 스테이션(160)에게 전송한다. 또한 제한 통신 모듈(124)은 스테이션(160)의 접속을 강제로 해제시키기 위한 접속 해제 요청 및 스테이션(160)의 식별 정보를 억세스 포인트(110)에게 전송한다.
이때 제한 통신 모듈(124)을 통해 송수신 되는 데이터는 홈 네트워크(100)의 보안을 유지하는데 중요한 정보이므로, 이를 홈 네트워크(100)의 외부에 인접해 있는 다른 외부 스테이션들이 감지하지 못하도록 할 필요성이 있다. 이를 위해 제한 통신 모듈(124)은 전술한 바와 같은 제한 통신 수단으로 구성될 수 있다. 즉, 제한 통신 모듈(124)을 구성하는 제한 통신 수단은 홈 네트워크(100) 내의 억세스 포인트(110)와 스테이션(160) 간의 통신을 위해 사용되는 통신 수단(예를 들어 무선랜)에 비해 통신 범위가 좁거나 통신 방향에 대한 제약 큰 것이 바람직하다. 제한 통신 수단으로는 IrDA(Infrared Data Association), NFC(Near Field Communication), 블루투스(Bluetooth)와 같은 비접촉식 통신 수단이나, USB, ISO-7816 규격의 통신 수단과 같은 접촉식 통신 수단일 수 있다.
저장모듈(125)은 스테이션(160)으로부터 전송된 제1 암호화 정보 및 제 2 암 호화 정보를 저장한다. 또한 저장모듈(125)은 홈 네트워크(100)에서 사용되는 초기키를 저장한다. 저장 모듈(125)에 저장된 초기키는 스테이션(160)에 의한 접근으로부터 보호되는 것이 바람직하다. 이를 위해 저장모듈(125)은 스테이션(160)으로부터 수신된 정보를 저장하는 영역으로부터 물리적 또는 논리적으로 안전하게 분리된 별도의 저장공간에 초기키를 저장시킬 수 있다.
한편 키 생성 장치(120)는 네트워크 통신 모듈(도시하지 않음) 및 암호화 모듈(도시하지 않음)을 더 포함할 수도 있으며, 이를 통해 키 생성 장치(120)도 홈 네트워크(100)를 구성하는 스테이션으로써 기능할 수도 있다. 키 생성 장치(120)가 포함할 수 있는 네트워크 통신 모듈 및 암호화 모듈은 도 4를 참조하여 설명한 스테이션(160)의 네트워크 통신 모듈(166) 및 암호화 모듈(165)와 동일하게 이해될 수 있다.
도 6은 본 발명의 일 실시예에 따른 억세스 포인트를 나타낸 블록도이다.
도시된 억세스 포인트(110)는 제어모듈(111), 암호키 생성 모듈(112), 제한 통신 모듈(113), 저장모듈(114), 암호화 모듈(115), 네트워크 통신 모듈(116), 암호화 정보 제공 모듈(117), 사용자 인터페이스 모듈(118) 및 유선 통신 모듈(119)을 포함한다.
제어모듈(111)은 억세스 포인트(110)를 구성하는 각 기능성 블록들의 동작을 제어한다.
제어모듈(111)은 네트워크 통신 모듈(116)을 통해 스테이션(160)과의 인증 및 연결 과정을 수행할 수 있다. 이러한 인증 및 연결을 위해 IEEE(Institute of Electrical and Electronics Engineers) 802.11의 Open Authentication 방법이 적용될 수 있다.
스테이션(160)과의 인증 및 연결 과정이 마쳐지면 제어모듈(111)은 암호화 정보 제공 모듈(117)로부터 제공된 제 1 암호화 정보를 네트워크 통신 모듈(116)을 통해 스테이션(160)에게 전송할 수 있다. 또한 스테이션(160)으로부터 제 2 암호화 정보 및 제 3 암호화 정보가 네트워크 통신 모듈(116)을 통해 수신된 경우, 제어모듈(111)은 제 1 암호화 정보, 제 2 암호화 정보 및 제 3 암호화 정보를 암호키 생성 모듈(112)로 전달하여 암호키를 생성하도록 할 수 있다.
한편 제한 통신 모듈(113)을 통해 키 생성 장치(120)로부터 스테이션(160)의 접속 해제 요청이 수신된 경우, 제어모듈(111)은 스테이션(160)의 접속을 강제로 해제시킬 수 있다. 예컨데 접속 해제 요청과 함께 스테이션(160)을 식별할 수 있는 식별 정보(예컨데 스테이션(160)의 MAC 주소)가 수신되면, 제어모듈(111)은 홈 네트워크(100) 내에서 해당 식별 정보를 사용하는 스테이션(160)의 접속을 해제시키게 된다. 이때 제어모듈(111)은 스테이션(160)과의 통신시 사용된 암호키를 저장모듈(114)에서 비활성화시킬 수 있다.
스테이션(160)의 접속을 해제시킨 경우 제어모듈(111)은 제한 통신 모듈(113)을 통해 키 생성 장치(120)에게 스테이션(160)이 홈 네트워크(100)로부터 접속 해제되었음을 알릴 수 있다.
암호키 생성 모듈(112)은 제 1 암호화 정보, 제 2 암호화 정보, 제 3 암호화 정보 및 저장모듈(114)에 저장된 초기키를 사용하여 암호키를 생성한다. 암호키 생성 모듈(112)이 사용하는 암호키 생성 알고리즘은 키 생성 장치(120)가 사용하는 암호키 생성 알고리즘과 동일하다.
제한 통신 모듈(113)은 억세스 포인트(110)와 키 생성 장치(120) 간의 통신을 담당한다. 제한 통신 모듈(113)은 전술한 바와 같은 제한 통신 수단으로 구성될 수 있다. 즉, 제한 통신 모듈(113)을 구성하는 제한 통신 수단은 홈 네트워크(100) 내의 억세스 포인트(110)와 스테이션(160) 간의 통신을 위해 네트워크 통신 모듈(116)에 의해 사용되는 통신 수단(예를 들어 무선랜)에 비해 통신 범위가 좁거나 통신 방향에 대한 제약 큰 것이 바람직하다. 제한 통신 수단으로는 IrDA(Infrared Data Association), NFC(Near Field Communication), 블루투스(Bluetooth)와 같은 비접촉식 통신 수단이나, USB, ISO-7816 규격의 통신 수단과 같은 접촉식 통신 수단일 수 있다.
저장모듈(114)은 스테이션(160)으로부터 수신된 제 2 암호화 정보 및 제 3 암호화 정보, 암호화 정보 제공 모듈(117)에 의해 제공된 제 1 암호화 정보, 암호키 생성 모듈(112)에 의해 생성된 암호키, 및 초기키를 저장한다. 저장모듈(114)에 저장된 초기키는 키 생성 장치(120)가 저장하고 있는 초기키와 동일하다.
암호화 모듈(115)은 저장모듈(114)에 저장된 암호키를 사용하여 네트워크 통신 모듈(116)을 통해 전송할 데이터를 암호화 하고, 네트워크 통신 모듈(116)을 통해 수신되는 암호화된 데이터를 복호화 한다.
네트워크 통신 모듈(116)은 스테이션(160)과의 통신을 담당한다. 즉, 네트워크 통신 모듈(116)은 암호화 모듈(115)에 의해 암호화된 데이터를 스테이션(160) 에게 송신하고 스테이션(160)으로부터 전송되는 데이터를 수신한다. 또한 네트워크 통신 모듈(116)은 스테이션(160)에게 제 1 암호화 정보를 송신하고, 스테이션(160)으로부터 제 2 암호화 정보 및 제 3 암호화 정보를 수신한다.
네트워크 통신 모듈(166)이 사용하는 통신 수단의 일 예로 무선랜을 들 수 있다. 바람직하게는 네트워크 통신 모듈(166)은 무선랜에 관한 표준인 IEEE 802.11에서 정의되는 프로토콜에 따라 통신을 수행할 수 있다.
암호화 정보 제공 모듈(117)은 암호키를 생성하는데 필요한 제 1 암호화 정보를 제공한다. 예컨데 도 1을 통해 설명한 4-Way Handshaking 방식을 따라 암호키가 생성되는 경우 암호화 정보 제공 모듈(117)은 제 1 난수를 제공하고 억세스 포인트(110)의 MAC 주소를 데이터화 하여 제공할 수 있다. 그러나 본 발명은 이에 한정되지 않으며, 암호화 정보 제공 모듈(117)은 암호키 생성 모듈(112)이 사용하는 암호키 생성 알고리즘에 따라 필요로 되는 암호화 정보를 생성할 수 있다.
사용자 인터페이스 모듈(118)은 억세스 포인트(110)를 제어하기 위한 사용자의 제어 정보를 입려 받는다.
유선 통신 모듈(119)는 억세스 포인트(110)를 유선 네트워크에 연결시키는 역할을 한다. 유선 통신 모듈(119)을 통해서 억세스 포인트(110)는 또 다른 억세스 포인트나 외부 유선 망에 연결될 수 있다.
한편, 홈 네트워크를 구성하는 스테이션(130, 140) 및 키 생성 장치(120)에게 억세스 포인트(110)와 동일한 초기키를 분배하기 위하여 초기키 제공 장치(도시하지 않음)가 사용될 수 있다.
초기키 제공 장치는 키 생성 장치(120)와 같이 제한 통신 수단을 통해 스테이션(130, 140) 및 키 생성 장치(120)에게 초기키를 전송할 수 있으며 이를 위해 초기키 제공 장치는 홈 네트워크(100)에서 사용되는 초기키와 동일한 초기키를 저장할 수 있다.
초기키 제공 장치는 억세스 포인트(110)와 소정의 인증을 수행하고 억세스 포인트로부터 초기키를 전달받을 수 있다.
또한 외부 스테이션(150)이 초기키 제공 장치를 통해 무단으로 초기키를 획득하는 것을 방지하기 위해, 초기키 제공 장치는 특정 스테이션에게 초기키를 제공하기 전에 해당 스테이션이 홈 네트워크(100)의 스테이션(130, 140)인지를 확인할 수 있는 소정의 인증 과정을 수행할 수도 있다. 이러한 인증 결과에 따라서 초기키 전송을 제한하여 초기키가 외부 스테이션(150)에게 공개되는 것을 방지할 수 있다.
도 7은 본 발명의 일 실시예에 따른 초기키 제공 장치를 나타낸 블록도이다.
초기키 제공 장치는 제어모듈(171), 제한 통신 모듈(172) 및 저장모듈(173)을 포함한다. 초기키 제공 장치의 역할은 홈 네트워크의 멤버가 되는 스테이션들이 최초 홈 네트워크에 가입할 경우, 홈 각 스테이션들에게 홈 네트워크에서 사용되는 초기키를 전달하는 것이다.
이를 위해 초기키 제공 장치는 제한 통신 모듈(172)을 통해 억세스 포인트(110)로부터 초기키를 전달 받고, 이를 저장 모듈(173)에 저장시켜 둔다. 그후 홈 네트워크를 구성하는 스테이션들에게 저장 모듈(173)에 저장된 초기키를 제한 통신 모듈(172)을 통해 전달할 수 있다. 이때 제어 모듈(171)은 초기키의 전송 대상이 되는 스테이션과의 소정의 인증 과정을 수행할 수 있다.
이러한 초기키 제공 장치를 구성하는 각 블록들은 도 5를 통해 설명한 키 생성 장치(120)를 구성하는 블록들과 유사한 기능을 수행할 수 있다. 즉, 초기키 제공 장치를 구성하는 제어모듈(171), 제한 통신 모듈(172) 및 저장 모듈(173)은 각각 키 생성 장치(120)를 구성하는 제어모듈(121), 제한 통신 모듈(124) 및 저장 모듈(125)과 동일한 기능을 수행할 수 있다.
따라서 키 생성 장치(120)가 초기키 제공 장치의 역할을 통합하여 수행할 수도 있다.
지금까지의 설명에서, "모듈(module)"은 소프트웨어 구성요소(software component) 또는 FPGA(field-programmable gate array) 또는 ASIC(application-specific integrated circuit)과 같은 하드웨어 구성요소(hardware component)를 의미하며 특정한 기능을 수행한다.  그렇지만 모듈은 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다.  모듈은 어드레싱(addressing)할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 실행시키도록 구성될 수도 있다.  모듈들 안에서 제공되는 기능은 더 세분화된 모듈에 의하여 구현될 수 있으며, 복수의 모듈을 합하여 특정한 기능을 수행하는 것으로 구현할 수도 있다.  뿐만 아니라, 구성요소들 및 모듈들은 시스템 내의 하나 또는 그 이상의 컴퓨터들을 실행시키도록 구현될 수도 있다.
도 8은 본 발명의 일 실시예에 따른 암호키 설정 과정을 억세스 포인트 입장 에서 나타낸 흐름도이다.
스테이션(160)이 홈 모드로 동작하는 경우의 암호키 설정 과정은 종래 기술을 통해 설명한 바와 같이 수행될 수 있으며, 본 실시예 및 이하의 각 실시예는 스테이션(160)이 방문 모드로 동작할 경우를 나타낸다.
최초 억세스 포인트(110)의 제어모듈(111)은 네트워크 통신 모듈(116)을 통하여 스테이션(160)과 인증 및 연결 과정을 거치게 된다(S210). 이러한 인증 및 연결을 위해 IEEE(Institute of Electrical and Electronics Engineers) 802.11의 Open Authentication 방법이 적용될 수 있다.
인증 및 연결이 완료되면 억세스 포인트(110)의 암호화 정보 제공 모듈(117)은 제 1 암호화 정보를 제공한다(S220). 제 1 암호화 정보는 제 1 난수 및 억세스 포인트(110)의 MAC 주소를 포함할 수 있다.
제어 모듈(111)은 암호화 정보 제공 모듈(117)에 의해 제공된 제 1 암호화 정보를 네트워크 통신 모듈(116)을 통해서 스테이션에게 전송시킨다(S230).
그 후 네트워크 통신 모듈(116)을 통해서 스테이션(160)으로부터 스테이션(160)이 제공한 제 2 암호화 정보 및 키 생성 장치(120)가 제공한 제 3 암호화 정보가 수신되면(S240), 암호키 생성모듈(112)은 제 1 암호화 정보, 제 2 암호화 정보, 제 3 암호화 정보 및 저장 모듈(114)에 저장된 초기키를 사용하여 암호키를 생성한다(S250).
암호키가 생성되면 억세스 포인트(110)는 스테이션(160)과 통신을 수행하게 된다(S260). 스테이션(160)과의 통신은 네트워크 통신 모듈(116)을 통해서 수행된 다. 또한 스테이션(160)에게 송신되는 데이터는 암호키 생성 모듈(112)이 생성한 암호키를 사용하여 암호화 모듈(115)에 의해 암호화된 후 송신되고, 스테이션(160)으로부터 수신되는 암호화된 데이터는 암호화 모듈(115)에 의해 암호키로 복호화된다.
한편, 단계 S230 에서 제 1 암호화 정보를 전송한 후, 스테이션(160)으로부터 제 2 암호화 정보 및 제 3 암호화 정보가 수신되지 않으면 제어모듈(111)은 제 1 암호화 정보를 전송한 때로부터 제 1 임계 시간이 경과하였는지 판단한다(S270).
만약, 제 1 임계 시간이 경과하도록 제 2 암호화 정보 및 제 3 암호화 정보가 수신되지 않으면, 제어모듈(111)은 암호키 생성 과정을 중단시킨다(S280).
도 9는 본 발명의 일 실시예에 따른 암호키 생성 과정을 스테이션 입장에서 나타낸 흐름도이다.
방문자 모드로 동작하는 스테이션(160)의 제어모듈(161)은 억세스 포인트(110)와 인증 및 연결 작업을 수행한다(S310). 이러한 인증 및 연결을 위해 IEEE(Institute of Electrical and Electronics Engineers) 802.11의 Open Authentication 방법이 적용될 수 있다.
인증 및 연결 작업이 마쳐지면 암호화 정보 제공 모듈(167)은 제 2 암호화 정보를 제공한다(S315). 제 2 암호화 정보는 스테이션(120)의 MAC 주소를 포함한다.
그 후 억세스 포인트(110)로부터 제 1 암호화 정보가 네트워크 통신 모듈(166)을 통해서 수신되면(S320), 제어 모듈(161)은 제한 통신 모듈(163)을 통해서 키 생성 장치(120)와 인증 작업을 수행한다(S325). 만약, 제한 통신 모듈(163)로 통신 가능한 범위 이내에 키 생성 장치(120)가 존재하지 않는다면, 제어 모듈(161)은 홈 네트워크(100) 참여 과정을 중단시킬 수 있다.
키 생성 장치(120)와의 인증이 완료되면, 제어 모듈(161)은 제 1 암호화 정보 및 제 2 암호화 정보를 제한 통신 모듈(163)을 통해서 키 생성 장치(120)에게 전송시킨다(S330).
그 후, 제한 통신 모듈(163)을 통해서 키 생성 장치(120)로부터 제 3 암호화 정보 및 암호키가 수신되면(S335), 제어 모듈(161)은 수신된 암호키를 저장 모듈(164)에 저장시키고 네트워크 통신 모듈(166)을 통해서 억세스 포인트(110)에게 제 2 암호화 정보 및 제 3 암호화 정보를 전송한다(S340).
그 후 스테이션(160)은 억세스 포인트(110)와 통신을 수행한다(S345). 이 때 억세스 포인트(110)에게 송신되는 데이터는 키 생성 장치(120)로부터 수신된 암호키를 사용하여 암호화 모듈(165)에 의해 암호화된 후 송신되고, 억세스 포인트(110)로부터 수신되는 암호화된 데이터는 암호화 모듈(165)에 의해 암호키로 복호화된다.
한편, 단계 S330에서 키 생성 장치(120)에게 제 1 암호화 정보 및 제 2 암호화 정보를 송신한 후, 키 생성 장치(120)로부터 제 3 암호화 정보 및 암호키가 수신되지 않으면 제어모듈(161)은 제 1 암호화 정보 및 제 2 암호화 정보를 전송한 때로부터 제 2 임계 시간이 경과하였는지 판단한다(S350).
만약, 제 2 임계 시간이 경과하도록 제 3 암호화 정보 및 암호키가 수신되지 않으면, 제어모듈(161)은 네트워크 참여 과정을 중단시킨다(S355).
도 10은 본 발명의 일 실시예에 따른 암호키 생성 과정을 키 생성 장치 입장에서 나타낸 흐름도이다.
최초, 제어 모듈(121)은 스테이션(160)과 인증 작업을 수행한다(S410). 그 후 제한 통신 모듈(124)을 통해서 스테이션(160)으로부터 제 1 암호화 정보 및 제 2 암호화 정보가 수신되면(S420), 암호화 정보 제공 모듈(123)은 제 3 암호화 정보를 제공한다(S430). 제 3 암호화 정보는 제 2 난수를 포함할 수 있다.
암호키 생성 모듈(122)은 스테이션(160)으로부터 수신된 제 1 암호화 정보 및 제 2 암호화 정보, 암호화 정보 제공 모듈(123)에 의해 제공된 제 3 암호화 정보, 및 저장 모듈(125)에 저장된 초기키를 사용하여 암호키를 생성한다(S440).
암호키가 생성되면 제어 모듈(121)은 제한 통신 모듈(124)을 통해서 제 3 암호화 정보 및 암호키를 스테이션(160)에게 전송시킨다(S450).
이상 도 8 내지 도 10을 통해서 억세스 포인트(110), 스테이션(160) 및 키 생성 장치(120)의 동작 과정을 개별적으로 설명하였다. 본 발명에 따른 암호키 생성 과정에 대한 이해를 돕기 위하여, 이하 도 11을 참조하여 억세스 포인트(110), 스테이션(160) 및 키 생성 장치(120) 간의 동작 과정을 설명하도록 한다.
도 11은 본 발명의 일 실시예에 따른 암호키 생성 과정을 나타낸 흐름도이다.
본 실시예에서 실선으로 도시된 화살표는 홈 네트워크(100)의 통신 수단(예를 들면 무선랜)을 통해서 수행되는 동작을 나타내고, 점선으로 도시된 화살표는 제한 통신 수단을 통해서 수행되는 동작을 나타낸다.
최초 스테이션(160)은 억세스 포인트(110)와 인증 및 연결 과정을 거치게 된다(S510). 이러한 인증 및 연결을 위해 IEEE(Institute of Electrical and Electronics Engineers) 802.11의 Open Authentication 방법이 적용될 수 있다.
인증 및 연결이 완료되면 억세스 포인트(110)는 제 1 암호화 정보를 제공한다(S515). 이 때 제 1 암호화 정보는 억세스 포인트(110)가 제공한 제 1 난수 및 억세스 포인트의 MAC 주소를 포함할 수 있다. 그러나 단계 S510의 인증 및 연결 과정에서 억세스 포인트(110)의 MAC 주소를 스테이션(160)이 알게된 경우에는 제 1 암호화 정보에서 억세스 포인트의 MAC 주소는 제외될 수도 있다.
스테이션(160)은 제 2 암호화 정보를 제공한다(S520). 제 2 암호화 정보는 스테이션(160)의 MAC 주소를 포함할 수 있다.
그 후 억세스 포인트(110)는 자신이 제공한 제 1 암호화 정보를 네트워크 통신 모듈(116)을 통해서 스테이션(160)에게 전송한다(S525).
억세스 포인트(110)로부터 제 1 암호화 정보를 수신한 스테이션(160)은 키 생성 장치(120)와 인증 작업을 수행한다(S530). 그 후 스테이션(160)은 억세스 포인트(110)로부터 수신된 제 1 암호화 정보 및 자신이 제공한 제 2 암호화 정보를 제한 통신 수단을 사용하여 키 생성 장치(120)에게 전송한다(S535).
키 생성 장치(120)는 제 3 암호화 정보를 제공하고(S540), 스테이션(160)으로부터 수신된 제 1 암호화 정보 및 제 2 암호화 정보, 자신이 제공한 제 3 암호화 정보, 및 초기키를 사용하여 암호키를 생성한다(S545). 제 3 암호화 정보는 제 2 난수를 포함할 수 있다.
암호키가 생성되면 키 생성 장치(120)는 제한 통신 수단을 사용하여 스테이션(160)에게 제 3 암호화 정보 및 암호키를 전송한다(S550).
키 생성 장치(120)로부터 제 3 암호화 정보 및 암호키를 수신한 스테이션(160)은 제 2 암호화 정보 및 제 3 암호화 정보를 억세스 포인트(110)에게 전송한다(S555). 그러나 단계 S510의 인증 및 연결 과정에서 스테이션(160)의 MAC 주소를 억세스 포인트(110)가 알수 있는 경우에, 제 2 암호화 정보가 포함하는 스테이션(160)의 MAC 주소는 전송 대상에서 제외될 수도 있다.
제 2 암호화 정보 및 제 3 암호화 정보를 수신한 억세스 포인트(110)는 수신된 제 2 암호화 정보 및 제 3 암호화 정보, 자신이 생성한 제 1 암호화 정보, 및 초기키를 사용하여 암호키를 생성한다(S560).
이에 따라 홈 네트워크(100)에서 사용하는 초기키를 외부 스테이션(160)에게 공개하지 않고서도, 억세스 포인트(110)와 외부 스테이션(160)이 동일한 암호키를 공유하게 된다.
동일한 암호키를 갖게된 억세스 포인트(110) 및 스테이션(160)은 암호키를 사용하여 보안을 유지하여 데이터를 송수신한다(S565). 이에 따라서 억세스 포인트(110)와 스테이션(160) 간에 보안이 유지되는 통신을 수행하게 된다.
한편 스테이션(160)을 홈 네트워크(100)로부터 접속 해제시키기 위한 과정의 일 예를 도 12를 참조하여 설명하도록 한다.
도 12는 본 발명의 일 실시예에 따른 스테이션을 홈 네트워크로부터 접속 해 제시키는 과정을 나타낸 흐름도이다.
스테이션(160)을 홈 네트워크(100)로부터 접속 해제시키려는 경우, 키 생성 장치(120)의 제어모듈(121)은 제한 통신 모듈(124)을 통해 억세스 포인트(110)에게 접속 해제 요청과 함께 스테이션(160)의 식별 정보를 전송할 수 있다(S610). 키 생성 장치(120)는 스테이션(160)의 식별 정보를 키 생성 장치(120)의 사용자 인터페이스 모듈(도시하지 않음)을 통해서 네트워크 관리자로부터 입력받거나, 제한 통신 모듈(124)을 통하여 스테이션(160)으로부터 전송받을 수 있다.
키 생성 장치(120)로부터 접속 해제 요청을 수신하면 억세스 포인트(110)의 제어모듈(111)은 수신된 식별 정보를 갖는 스테이션(160)의 접속을 강제로 해제시킬 수 있다(S620). 예컨데 접속 해제 요청과 함께 수신된 식별 정보가 스테이션(160)의 MAC 주소인 경우, 제어모듈(111)은 해당 MAC 주소를 사용하는 스테이션(160)의 접속을 해제시킬 수 있다.
스테이션(160)의 접속이 해제되면 제어모듈(111)은 제한 통신 모듈(113)을 통해 키 생성 장치(120)에게 접속 해제 요청에 대한 응답을 전송할 수 있다(S630).
이를 수신한 키 생성 장치(120)의 제어모듈(121)은 스테이션(160)으로부터 수신되었던 제 1 암호화 정보 및 제 2 암호화 정보를 비활성화시킬 수 있다(S640).
한편 스테이션(160)의 접속을 해제시킨 억세스 포인트(110)의 제어모듈(111)은 스테이션(160)과의 통신을 위해 사용하던 암호키를 비활성화시킬 수 있다(S650).
스테이션(160)은 억세스 포인트(110)가 사용하는 초기키를 갖고 있지 않으므 로 차후 억세스 포인트(110)와 도 1에 도시된 바와 같은 과정을 다시 수행하더라도 억세스 포인트(110)가 생성하는 암호키와 동일한 암호키를 생성할 수 없게 된다.
한편, 키 생성 장치(120)가 도 5를 참조하여 설명한 바와 같이 네트워크 통신 모듈을 더 포함한다면, 단계 S310 및 단계 S330의 과정은 네트워크 통신 모듈을 통해서 수행될 수도 있다.
도 12를 참조하여 설명한 접속 해제 과정은 네트워크 관리자가 스테이션(160)의 접속을 강제로 해제시키는 경우 사용될 수 있다. 따라서 스테이션(160)이 억세스 포인트(110)와 통신 가능한 범위를 벗어나거나 스테이션(160)에 전원 공급이 차단되어 스테이션(160)과 억세스 포인트(110)의 통신이 중단되면, 억세스 포인트(110)는 스테이션(160)이 홈 네트워크(100)로부터 접속 해제한 것으로 판단하고 스테이션(160)과의 통신에 사용했던 암호키를 비활성화시킬 수도 있다.
이상과 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
상기한 바와 같은 본 발명의 무선 네트워크에서 통신 보안 관리 방법 및 장치에 따르면 다음과 같은 효과가 하나 혹은 그 이상 있다.
첫째, 특정 무선 네트워크에 외부 네트워크 장치가 한시적으로 참여하는 경 우 초기키를 저장하고 있는 암호키 생성 장치를 통해 암호키를 생성하고 이를 외부 스테이션에게 제공함으로써 초기키의 공개를 방지하여 무선 네트워크의 통신 보안을 강화할 수 있다.
둘째 무선 네트워크에서 사용하는 초기키를 재설정하여야 할 필요를 줄임으로써 무선 네트워크의 유지 및 관리를 간편히 할 수 있다.

Claims (34)

  1. 억세스 포인트가 제공하는 제 1 암호화 정보 및 상기 억세스 포인트가 포함된 무선 네트워크에 참여하려는 스테이션이 제공하는 제 2 암호화 정보를 상기 스테이션으로부터 수신하는 단계;
    제 3 암호화 정보를 제공하는 단계;
    상기 수신된 제 1 암호화 정보 및 제 2 암호화 정보, 상기 제공된 제 3 암호화 정보, 및 초기키를 사용하여 암호키를 생성하는 단계; 및
    상기 제공된 제 3 암호화 정보 및 상기 생성된 암호키를 상기 스테이션에게 송신하는 단계를 포함하는 무선 네트워크에서 통신 보안을 관리하는 방법.
  2. 제 1항에 있어서, 상기 제 1 암호화 정보는 상기 억세스 포인트가 제공한 제 1 난수 및 상기 억세스 포인트의 MAC 주소를 포함하고, 상기 제 2 암호화 정보는 상기 스테이션의 MAC 주소를 포함하고, 상기 제 3 암호화 정보는 제 2 난수를 포함하는 무선 네트워크에서 통신 보안을 관리하는 방법.
  3. 제 1항에 있어서, 상기 초기키는 상기 스테이션의 접근으로부터 물리적 또는 논리적으로 보호되는 저장 영역에 저장된 무선 네트워크에서 통신 보안을 관리하는 방법.
  4. 제 1항에 있어서, 상기 스테이션으로부터 수신되는 제 1 암호화 정보 및 제 2 암호화 정보, 및 상기 스테이션에게 송신되는 제 3 암호화 정보 및 암호키는 상기 억세스 포인트와 상기 스테이션 간의 통신을 위해 사용되는 제 1 통신 수단 보다 좁은 통신 범위를 갖는 제 2 통신 수단에 의해 송수신되는 무선 네트워크에서 통신 보안을 관리하는 방법.
  5. 제 4항에 있어서, 상기 제 2 통신 수단은 적외선 통신, 근거리 통신, 및 블루투스를 포함하는 비접촉식 통신 수단, 및 USB 및 ISO 7816 규격의 통신 수단을 포함하는 접촉식 통신 수단 중 어느 한 통신 수단인 무선 네트워크에서 통신 보안을 관리하는 방법.
  6. 제 1항에 있어서, 상기 스테이션을 상기 무선 네트워크로부터 접속 해제시키려는 경우, 상기 스테이션의 식별 정보를 상기 억세스 포인트에게 전송하는 단계;
    상기 식별 정보를 수신한 억세스 포인트로부터 상기 스테이션이 상기 무선 네트워크로부터 접속 해제 되었다는 정보가 수신되면, 상기 제 1 암호화 정보 및 상기 제 2 암호화 정보를 비활성화시키는 단계를 더 포함하는 무선 네트워크에서 통신 보안을 관리하는 방법.
  7. 소정의 무선 네트워크를 구성하는 억세스 포인트로부터 상기 무선 네트워크에 참여하려는 스테이션이 제 1 암호화 정보를 수신하는 단계;
    제 2 암호화 정보를 제공하는 단계;
    상기 수신된 제 1 암호화 정보 및 상기 제공된 제 2 암호화 정보를 키 생성 장치에게 송신하는 단계;
    상기 제 1 암호화 정보, 상기 제 2 암호화 정보, 상기 키 생성 장치가 제공하는 제 3 암호화 정보, 및 초기키를 사용하여 상기 키 생성 장치에 의해 생성된 암호키 및 상기 키 생성 장치가 제공한 제 3 암호화 정보를 상기 키 생성장치로부터 수신하는 단계;
    상기 제 2 암호화 정보 및 상기 제 3 암호화 정보를 상기 억세스 포인트에게 송신하는 단계; 및
    상기 수신된 암호키를 사용하여 상기 억세스 포인트와의 통신을 수행하는 단계를 포함하는 무선 네트워크에서 통신 보안을 관리하는 방법.
  8. 제 7항에 있어서, 상기 제 1 암호화 정보는 상기 억세스 포인트가 제공한 제 1 난수 및 상기 억세스 포인트의 MAC 주소를 포함하고, 상기 제 2 암호화 정보는 상기 스테이션의 MAC 주소를 포함하고, 상기 제 3 암호화 정보는 상기 키 생성 장치가 제공하는 제 2 난수를 포함하는 무선 네트워크에서 통신 보안을 관리하는 방법.
  9. 제 7항에 있어서, 상기 키 생성 장치에게 송신되는 제 1 암호화 정보 및 제 2 암호화 정보와, 상기 키 생성 장치로부터 수신되는 암호키는 상기 스테이션과 상 기 억세스 포인트 간의 통신을 위해 사용되는 제 1 통신 수단 보다 좁은 통신 범위를 갖는 제 2 통신 수단에 의해 송수신되는 무선 네트워크에서 통신 보안을 관리하는 방법.
  10. 제 9항에 있어서, 상기 제 2 통신 수단은 적외선 통신, 근거리 통신, 및 블루투스를 포함하는 비접촉식 통신 수단 및 USB 및 ISO 7816 규격의 통신 수단을 포함하는 접촉식 통신 수단 중 어느 한 통신 수단인 무선 네트워크에서 통신 보안을 관리하는 방법.
  11. 소정의 무선 네트워크를 구성하는 억세스 포인트가 제 1 암호화 정보를 제공하는 단계;
    상기 제공된 제 1 암호화 정보를 상기 무선 네트워크에 참여하려는 스테이션에게 송신하는 단계;
    상기 스테이션이 제공하는 제 2 암호화 정보 및 상기 무선 네트워크에서 상기 스테이션이 사용할 암호키를 생성하는 키 생성 장치가 상기 암호키를 생성하기 위해 제공하는 제 3 암호화 정보를 상기 스테이션으로부터 수신하는 단계;
    상기 제공된 제 1 암호화 정보, 상기 수신된 제 2 암호화 정보 및 제 3 암호화 정보, 및 상기 억세스 포인트가 저장하고 있는 초기키를 사용하여 암호키를 생성하는 단계; 및
    상기 생성된 암호키를 사용하여 상기 스테이션과의 통신을 수행하는 단계를 포함하는 무선 네트워크에서 통신 보안을 관리하는 방법.
  12. 제 11항에 있어서, 상기 제 1 암호화 정보는 상기 억세스 포인트가 제공하는 제 1 난수 및 상기 억세스 포인트의 MAC 주소를 포함하고, 상기 제 2 암호화 정보는 상기 스테이션의 MAC 주소를 포함하고, 상기 제 3 암호화 정보는 상기 키 생성 장치가 제공하는 제 2 난수를 포함하는 무선 네트워크에서 통신 보안을 관리하는 방법.
  13. 제 11항에 있어서, 상기 키 생성 장치로부터 상기 스테이션에 대한 접속 해제 요청과 함께 상기 스테이션을 식별할 수 있는 식별 정보를 수신하는 단계;
    상기 식별 정보로 지시되는 상기 스테이션과의 통신을 해제하고 상기 암호키를 비활성화시키는 단계; 및
    상기 스테이션과의 통신 해제 결과를 상기 키 생성 장치에게 전송하는 단계를 더 포함하는 무선 네트워크에서 통신 보안을 관리하는 방법.
  14. 제 13항에 있어서, 상기 억세스 포인트와 상기 키 생성 장치 간의 통신을 위해 사용되는 통신 수단은 상기 억세스 포인트와 상기 스테이션 간의 통신을 위해 사용되는 제 1 통신 수단보다 좁은 통신 범위를 갖는 제 2 통신 수단을 통해서 수신되는 무선 네트워크에서 통신 보안을 관리하는 방법.
  15. 제 14항에 있어서, 상기 제 2 통신 수단은 적외선 통신, 근거리 통신, 및 블루투스를 포함하는 비접촉식 통신 수단 및 USB 및 ISO 7816 규격의 통신 수단을 포함하는 접촉식 통신 수단 중 어느 한 통신 수단인 무선 네트워크에서 통신 보안을 관리하는 방법.
  16. 억세스 포인트가 제공하는 제 1 암호화 정보 및 상기 억세스 포인트가 포함된 무선 네트워크에 참여하려는 스테이션이 제공하는 제 2 암호화 정보를 상기 스테이션으로부터 수신하는 제한 통신 모듈;
    제 3 암호화 정보를 제공하는 암호화 정보 제공 모듈;
    초기키를 저장하는 저장모듈;
    상기 제한 통신 모듈을 통해서 수신된 제 1 암호화 정보 및 제 2 암호화 정보, 상기 암호화 정보 제공 모듈로부터 제공된 제 3 암호화 정보, 및 상기 저장 모듈에 저장된 초기키를 사용하여 암호키를 생성하는 암호키 생성 모듈; 및
    상기 암호화 정보 제공 모듈에 의해 제공된 제 3 암호화 정보 및 상기 암호키 생성 모듈에 의해 생성된 암호키를 상기 제한 통신 모듈을 통해서 상기 스테이션에게 전송시키는 제어모듈을 포함하는 키 생성 장치.
  17. 제 16항에 있어서, 제 1 암호화 정보는 상기 억세스 포인트가 제공한 제 1 난수 및 상기 억세스 포인트의 MAC 주소를 포함하고, 상기 제 2 암호화 정보는 상기 스테이션의 MAC 주소를 포함하고, 상기 제 3 암호화 정보는 제 2 난수를 포함하 는 키 생성 장치.
  18. 제 16항에 있어서, 상기 초기키는 상기 저장 모듈의 저장 영역 중에서 상기 스테이션의 접근으로부터 물리적 또는 논리적으로 보호되는 영역에 저장되는 키 생성 장치.
  19. 제 16항에 있어서, 상기 제한 통신 모듈이 사용하는 통신 수단은 상기 억세스 포인트와 상기 스테이션 간의 통신을 위해 사용되는 제 1 통신 수단 보다 좁은 통신 범위를 갖는 제 2 통신 수단인 키 생성 장치.
  20. 제 19항에 있어서, 상기 제 2 통신 수단은 적외선 통신, 근거리 통신, 및 블루투스를 포함하는 비접촉식 통신 수단 및 USB 및 ISO 7816 규격의 통신 수단을 포함하는 접촉식 통신 수단 중 어느 한 통신 수단인 키 생성 장치.
  21. 제 16항에 있어서, 상기 스테이션을 상기 무선 네트워크로부터 접속 해제시키려는 경우, 상기 제어 모듈은 상기 스테이션의 식별 정보를 상기 제한 통신 모듈을 통해서 상기 억세스 포인트에게 전송시키고,
    상기 식별 정보를 수신한 억세스 포인트로부터 상기 스테이션이 상기 무선 네트워크로부터 접속 해제 되었다는 정보가 상기 제한 통신 모듈을 통해서 수신되면 상기 스테이션으로부터 수신된 상기 제 1 암호화 정보 및 상기 제 2 암호화 정 보를 비활성화시키는 키 생성 장치.
  22. 무선 네트워크에 참여하려는 스테이션으로서,
    상기 무선 네트워크를 구성하는 억세스 포인트로부터 제 1 암호화 정보를 수신하는 네트워크 통신 모듈;
    제 2 암호화 정보를 제공하는 암호화 정보 제공 모듈;
    상기 제 1 암호화 정보 및 상기 제 2 암호화 정보를 키 생성 장치에게 송신하고, 상기 제 1 암호화 정보, 상기 제 2 암호화 정보, 상기 키 생성 장치가 제공하는 제 3 암호화 정보, 및 초기키를 사용하여 상기 키 생성 장치가 생성한 암호키 및 상기 키 생성 장치가 제공한 상기 제 3 암호화 정보를 상기 키 생성장치로부터 수신하는 제한 통신 모듈;
    상기 제한 통신 모듈을 통해서 상기 암호키 및 상기 제 3 암호화 정보가 수신된 경우, 상기 네트워크 통신 모듈을 통해서 상기 억세스 포인트에게 상기 제 2 암호화 정보 및 상기 제 3 암호화 정보를 송신시키는 제어 모듈; 및
    상기 네트워크 통신 모듈을 통하여 상기 억세스 포인트에게 송신할 데이터를 상기 키 생성 장치로부터 수신된 암호키로 암호화하고, 상기 네트워크 통신 모듈을 통하여 상기 억세스 포인트로부터 수신되는 암호화된 데이터를 상기 암호키로 복호화하는 암호화 모듈을 포함하는 스테이션.
  23. 제 22항에 있어서, 상기 제 1 암호화 정보는 상기 억세스 포인트가 제공한 제 1 난수 및 상기 억세스 포인트의 MAC 주소를 포함하고, 상기 제 2 암호화 정보는 상기 스테이션의 MAC 주소를 포함하고, 상기 제 3 암호화 정보는 상기 키 생성 장치가 제공하는 제 2 난수를 포함하는 스테이션.
  24. 제 22항에 있어서, 상기 제한 통신 모듈이 사용하는 통신 수단은 상기 네트워크 통신 모듈이 사용하는 제 1 통신 수단보다 좁은 통신 범위를 갖는 제 2 통신 수단인 스테이션.
  25. 제 24항에 있어서, 상기 제 2 통신 수단은 적외선 통신, 근거리 통신, 및 블루투스를 포함하는 비접촉식 통신 수단, 및 USB 및 ISO 7816 규격의 통신 수단을 포함하는 접촉식 통신 수단 중 어느 한 통신 수단인 스테이션.
  26. 무선 네트워크에 참여하려는 스테이션과의 통신을 위해 상기 무선 네트워크에서 통신 보안을 관리하는 억세스 포인트로서,
    제 1 암호화 정보를 제공하는 암호화 정보 제공 모듈;
    상기 암호화 정보 제공 모듈로부터 제공되는 상기 제 1 암호화 정보를 상기 스테이션에게 송신하고, 상기 스테이션이 제공하는 제 2 암호화 정보 및 상기 무선 네트워크에서 상기 스테이션이 사용할 암호키를 생성하는 키 생성 장치가 상기 암호키를 생성하기 위해 제공한 제 3 암호화 정보를 상기 스테이션으로부터 수신하는 네트워크 통신 모듈;
    초기키를 저장하는 저장 모듈;
    상기 제공된 제 1 암호화 정보, 상기 수신된 제 2 암호화 정보 및 제 3 암호화 정보, 및 상기 저장 모듈에 저장된 초기키를 사용하여 암호키를 생성하는 암호키 생성 모듈; 및
    상기 네트워크 통신 모듈을 통하여 상기 스테이션에게 송신할 데이터를 상기 암호키 생성 모듈에 의해 생성된 암호키로 암호화하고, 상기 네트워크 통신 모듈을 통하여 상기 스테이션으로부터 수신되는 암호화된 데이터를 상기 암호키로 복호화하는 암호화 모듈을 포함하는 억세스 포인트.
  27. 제 26항에 있어서, 상기 제 1 암호화 정보는 제 1 난수 및 상기 억세스 포인트의 MAC 주소를 포함하고, 상기 제 2 암호화 정보는 상기 스테이션의 MAC 주소를 포함하고, 상기 제 3 암호화 정보는 상기 키 생성 장치가 제공하는 제 2 난수를 포함하는 억세스 포인트.
  28. 제 26항에 있어서, 상기 키 생성 장치와 통신을 수행하는 제한 통신 모듈; 및
    상기 제한 통신 모듈을 통해서 상기 키 생성 장치로부터 상기 스테이션에 대한 접속 해제 요청과 함께 상기 스테이션을 식별할 수 있는 식별 정보가 수신된 경우, 상기 식별 정보로 지시되는 상기 스테이션과의 통신을 해제시키고, 상기 암호키를 비활성화시키고, 상기 스테이션과의 통신 해제 결과를 상기 제한 통신 모듈을 통해서 상기 키 생성 장치에게 전송시키는 제어 모듈을 더 포함하는 억세스 포인트.
  29. 제 28항에 있어서, 상기 제한 통신 모듈이 사용하는 통신 수단은 상기 네트워크 통신 모듈이 사용하는 제 1 통신 수단보다 좁은 통신 범위를 갖는 제 2 통신 수단인 억세스 포인트.
  30. 제 29항에 있어서, 상기 제 2 통신 수단은 적외선 통신, 근거리 통신, 및 블루투스를 포함하는 비접촉식 통신 수단, 및 USB 및 ISO 7816 규격의 통신 수단을 포함하는 접촉식 통신 수단 중 어느 한 통신 수단인 억세스 포인트.
  31. 억세스 포인트 및 스테이션과 통신을 수행하는 제한 통신 모듈;
    상기 제한 통신 모듈을 통해서 상기 억세스 포인트와 인증 작업을 수행한 후 상기 억세스 포인트로부터 초기키를 수신하고, 상기 제한 통신 모듈을 통해서 상기 스테이션과 인증 작업을 수행한 후 상기 스테이션에게 상기 초기키를 전송시키는 제어 모듈; 및
    상기 수신된 초기키를 저장하는 저장모듈을 포함하는 초기키 제공 장치.
  32. 제 31항에 있어서, 상기 제한 통신 모듈이 사용하는 통신 수단은 상기 억세스 포인트와 상기 스테이션 간의 통신을 위해 사용되는 제 1 통신 수단보다 좁은 통신 범위를 갖는 제 2 통신 수단인 초기키 제공 장치.
  33. 제 32항에 있어서, 상기 제 2 통신 수단은 적외선 통신, 근거리 통신, 및 블루투스를 포함하는 비접촉식 통신 수단, 및 USB 및 ISO 7816 규격의 통신 수단을 포함하는 접촉식 통신 수단 중 어느 한 통신 수단인 초기키 제공 장치.
  34. 제 31항에 있어서, 상기 초기키는 상기 저장 모듈의 저장 영역 중에서 상기 스테이션의 접근으로부터 물리적 또는 논리적으로 보호되는 영역에 저장되는 초기키 제공 장치.
KR1020050030732A 2004-09-22 2005-04-13 무선 네트워크에서 통신 보안을 관리하는 방법 및 이를위한 장치 KR20060045669A (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020050048099A KR20060048208A (ko) 2004-09-22 2005-06-04 무선 네트워크에서 통신 보안을 관리하는 방법 및 이를위한 장치
KR1020050084434A KR100664952B1 (ko) 2004-09-22 2005-09-10 무선 네트워크에서 통신 보안을 관리하는 방법 및 이를위한 장치
PCT/KR2005/003117 WO2006080623A1 (en) 2004-09-22 2005-09-21 Method and apparatus for managing communication security in wireless network
US11/231,978 US7721325B2 (en) 2004-09-22 2005-09-22 Method and apparatus for managing communication security in wireless network

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020040075904 2004-09-22
KR20040075904 2004-09-22

Publications (1)

Publication Number Publication Date
KR20060045669A true KR20060045669A (ko) 2006-05-17

Family

ID=37149358

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050030732A KR20060045669A (ko) 2004-09-22 2005-04-13 무선 네트워크에서 통신 보안을 관리하는 방법 및 이를위한 장치

Country Status (1)

Country Link
KR (1) KR20060045669A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101221595B1 (ko) * 2010-12-01 2013-01-14 경북대학교 산학협력단 스푸핑 방지를 위한 인증 방법, 인증 서버 및 인증 시스템
US8924710B2 (en) 2006-01-03 2014-12-30 Samsung Electronics Co., Ltd. Method and apparatus for providing session key for WUSB security and method and apparatus for obtaining the session key
US9118498B2 (en) 2006-02-15 2015-08-25 Samsung Electronics Co., Ltd. Method and apparatus for executing an application automatically according to the approach of wireless device

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8924710B2 (en) 2006-01-03 2014-12-30 Samsung Electronics Co., Ltd. Method and apparatus for providing session key for WUSB security and method and apparatus for obtaining the session key
US9118498B2 (en) 2006-02-15 2015-08-25 Samsung Electronics Co., Ltd. Method and apparatus for executing an application automatically according to the approach of wireless device
US10492203B2 (en) 2006-02-15 2019-11-26 Samsung Electronics Co., Ltd. Method and apparatus for executing an application automatically according to the approach of wireless device
US10582505B2 (en) 2006-02-15 2020-03-03 Samsung Electronics Co., Ltd. Method and apparatus for executing an application automatically according to the approach of wireless device
KR101221595B1 (ko) * 2010-12-01 2013-01-14 경북대학교 산학협력단 스푸핑 방지를 위한 인증 방법, 인증 서버 및 인증 시스템

Similar Documents

Publication Publication Date Title
US8589687B2 (en) Architecture for supporting secure communication network setup in a wireless local area network (WLAN)
US10567428B2 (en) Secure wireless ranging
CN100592739C (zh) 提供安全通信的方法和装置
KR100843072B1 (ko) 무선 네트워크 시스템 및 이를 이용한 통신 방법
US7721325B2 (en) Method and apparatus for managing communication security in wireless network
TWI491790B (zh) 智慧鎖具及其操作方法
US9021576B2 (en) Apparatus and method for sharing of an encryption key in an ad-hoc network
US7689211B2 (en) Secure login method for establishing a wireless local area network connection, and wireless local area network system
CN101185253A (zh) 使用nfc设置设备的无线连通性
US20030112781A1 (en) Communications unit for secure communications
CN104584606A (zh) 用于在一组无线设备内配对的方法和设备
US9755824B2 (en) Power line based theft protection of electronic devices
EP1643714A1 (en) Access point that provides a symmetric encryption key to an authenticated wireless station
CN104754567A (zh) 向分组的无线装置发送消息的方法和设备
WO2019007252A1 (zh) 一种控制方法及装置
US20070097878A1 (en) Management device that registers communication device to wireless network, communication device, intermediate device, and method, program, and integrated circuit for registration of communication device
CN111555883B (zh) 通信装置以及非暂时性计算机可读记录介质
JP2007088727A (ja) デバイス、無線lan設定システムおよび無線lan設定方法
WO2022087842A1 (zh) 一种智能设备配网的方法和装置
US8341703B2 (en) Authentication coordination system, terminal apparatus, storage medium, authentication coordination method, and authentication coordination program
US20030221098A1 (en) Method for automatically updating a network ciphering key
JP2006203480A (ja) ネットワーク及びネットワーク管理方法
KR20060045669A (ko) 무선 네트워크에서 통신 보안을 관리하는 방법 및 이를위한 장치
WO2012048538A1 (zh) Nfc移动终端及其nfc安全支付的实现方法
KR100664952B1 (ko) 무선 네트워크에서 통신 보안을 관리하는 방법 및 이를위한 장치

Legal Events

Date Code Title Description
A201 Request for examination