KR20060117205A - 무선 분산 시스템의 단말 인증 방법 - Google Patents
무선 분산 시스템의 단말 인증 방법 Download PDFInfo
- Publication number
- KR20060117205A KR20060117205A KR1020060041227A KR20060041227A KR20060117205A KR 20060117205 A KR20060117205 A KR 20060117205A KR 1020060041227 A KR1020060041227 A KR 1020060041227A KR 20060041227 A KR20060041227 A KR 20060041227A KR 20060117205 A KR20060117205 A KR 20060117205A
- Authority
- KR
- South Korea
- Prior art keywords
- base station
- terminal
- target base
- unregistered
- authentication
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/08—Load balancing or load distribution
- H04W28/086—Load balancing or load distribution among access entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/73—Access point logical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/047—Public Land Mobile systems, e.g. cellular systems using dedicated repeater stations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
본 발명은 단말들에 접속 서비스를 제공하는 적어도 하나의 기지국을 포함하는 무선 분산 시스템을 위한 인증 방법에 관한 것으로, 본 발명의 인증 방법은 인증을 수행할 미등록 기지국이 상기 단말로부터 인증 요청을 받고, 무선 분산 시스템 사에 상기 단말을 확인하기 위한 신원 요청을 멀티캐스팅하고, 상기 신원 요청에 대한 응답으로 적어도 하나의 기지국으로부터 신원 응답을 수신하고, 상기 수신된 신원 응답을 기반으로 상기 단말을 인증을 수행한다. 본 발명의 분산 인증 방법은 신규 기지국이 증설되거나 고립된 기지국들이 하나의 무선 분산 시스템으로 병합되는 경우에도 인증 절차가 AAA 서버 없이 수행되기 때문에 보완 수준의 열화 및 관리자의 추가적인 노동 부담 없이 쉽게 망을 확장할 수 있다.
무선분산시스템(wireless distribution system: WDS), 인증(authentication), 멀티 합 (multi-hop)
Description
도 1은 종래의 인증 (authentication, authorization, and accounting) 시스템의 보인 계략도
도 2는 본 발명의 일 실시예에 따른 무선 분산 인증 시스템을 도시한 개략적인 구성도
도 3은 본 발명의 일 실시예에 따른 이웃 지원 인증을 설명하기 위한 시스템 계략도
도 4는 본 발명의 일 실시예에 따른 이웃 지원 인증 방법을 설명하기 위한 메시지 흐름도
도 5는 본 발명의 일 실시예에 따른 멀티-합 지원 인증 방법을 설명하기 위한 시스템 계략도
도 6은 본 발명의 일 실시예에 따른 무선 분산 인증 방법을 설명하기 위한 순서도
도 7은 도 6의 이웃 지원 인증 절차를 상세히 설명하기 위한 순서도 그리고
도 8은 도 6의 멀티-합 지원 인증 절차를 상세히 설명하기 위한 순서도이다.
본 발명은 무선 분산 시스템 (wireless distribution system: WDS)에 관한 것으로, 더욱 상세하게는 멀티 합 (multi-hop) 무선 분산 시스템을 위한 인증 방법에 관한 것이다.
망 장치들이 어떤 자원에 접근할 수 있는지를 제어하는 네트워크 시스템을 인증, 허가, 및 정산(authentication, authorization and accounting: AAA) 시스템이라 한다. AAA 시스템과 관련하여, 망 자원에 접근하고자 하는 망 장치들을 일반적으로 서플리컨트 단말(supplicant)이라 불린다. 일반적으로 시스템 사용자들은 이들 단말을 특정 자원에 대한 접근을 요청한다. 그러나 이들 단말들은 스스로 특정 자원에 대한 접근 시도를 할 수도 있다. 이들 단말들은 일반적으로 랩탑 컴퓨터, 데스크탑 퍼스널 컴퓨터, 인터넷 전화(IP phone), 가상 사설 망(virtual private network: VPN) 클라이언트, 휴대 장치 등 망 장원에 접근을 요청할 수 있는 장치들이다.
AAA 시스템은 AAA 클라이언트들과 AAA 서버들로 구성된다. AAA 시스템에서는 일반적으로 단말이 AAA 클라이언트를 통해 망 자원에 접근을 시도한다. AAA 클라이언트는 망 접속 서버 (Network Access Server: NAS), 라우터, 스위치, 파이어월, VPN 집신기 (VPN concentrator), 무선 접속 노드 (Wireless Access Point: WAP)와 같은 망 요소들(network elements)에 상주하는 것이 일반적이다. 그러나, AAA 클라 이언트는 망 자원 접속을 용이하게 하는 여타 장치에 상주 할 수도 있다. 단말이 접속 시도는 AAA 클라이언트로 전달되고, AAA 클라이언트는 해당하는 접속 요청 메시지를 생성하여 AAA 서버로 전달한다. 일반적으로, AAA 서버는, 사용자 프로파일 데이터 베이스로 유지하고, 인증을 위한 접속 요청에 대해 상기 데이터 베이스에 대해 질의를 하고, 사용이 인가된 자원을 결정하며, 망 자원 사용에 대한 과금을 함으로써, 망 자원에 접속하기 위해 AAA 클라이언트로부터 전송된 접속 요청들을 관리한다. AAA 클라이언트와 AAA 서버 사이의 통신은 원거리 인증 다이얼 인 서비스 (Remote Authentication Dial-In User Service: RADIUS)와 단말 접속 제어기 접속 제어 시스템 프로토콜 (Terminal Access Controller Access Control Systems protocol: TACACS+)와 같은 AAA 메시지 프로토콜을 통해 이루어진다.
도 1은 종래의 AAA 시스템을 개략적으로 도시한 도면으로, 기지국들(base stations: BSs) (121, 122)은 이동 단말들 (mobile stations: MSs) (131, 132, 133, 1340)로부터 접속 요청을 받으면 MS들 (131, 132, 133, 1340) 및 AAA 서버 (110)와의 메시지 교환을 통해 인증 절차를 수행한다.
그러나, 종래의 AAA 프로토콜은 단말의 증가에 따라 중계를 위한 기지국의 증가를 요하기 때문에 멀티 합 무선 분산 시스템에는 적합하지 않다.
또한, 종래의 AAA 시스템에서는 이동 단말이 초기 등록 시 중앙 관리 장치에 반드시 등록되어야 하며, 단말이 중앙 관리 장치에 등록되어야 하기 때문에 기지국 증설이 매우 복잡해 지는 문제점을 가지고 있다.
또한, AAA 서버가 없는 시스템에서는, 주 기지국이 중앙 관리 장치로서의 역 할을 해야 하기 때문에 주 기지국의 처리 부담을 가지게 되는 문제점이 있다.
본 발명은 상기한 문제점들을 해결하기 위해 창안된 것으로, 본 발명의 목적은 무선 분산 시스템에서의 멀티 합 기지국들의 지원을 통한 인증 방법을 제공하는 것이다.
본 발명의 또 다른 목적은 중앙 관리 장치로서 AAA 서버의 개입 없이 기지국과 단말간의 공유 암호 (secret)를 생성할 수 있는 무선 분산 시스템을 위한 인증 방법을 제공하는 것이다.
본 발명의 또 다른 목적은 보안 수준의 손실과 관리자의 추가적인 노동의 부담 없이 무선 분산 망을 쉽게 확장할 수 있는 무선 분산 시스템을 위한 인증 방법을 제공하는 것이다.
본 발명의 또 다른 목적은 적어도 두 개의 고립된 기지국들 간의 공유 암호 (shared secret)를 생성함으로써 기지국 간 병합이 용이한 무선 분산 망을 위한 인증 방법을 제공하는 것이다.
상기한 목적들은 단말들에 접속 서비스를 제공하는 적어도 하나의 기지국을 포함하는 무선 분산 시스템을 위한 인증 방법에 의해 달성 된다. 본 발명의 인증 방법에서는 인증을 수행할 미등록 기지국이 상기 단말로부터 인증 요청을 받고, 무선 분산 시스템 사에 상기 단말을 확인하기 위한 신원 요청을 멀티캐스팅하고, 상기 신원 요청에 대한 응답으로 적어도 하나의 기지국으로부터 신원 응답을 수신하 고, 상기 수신된 신원 응답을 기반으로 상기 단말에 대한 인증을 수행한다.
바람직하게는, 상기 단말의 인증을 수행하는 단계는 상기 미등록 기지국으로부터 1 합 떨어져 있는 기지국들이 있는지 판단하고, 적어도 하나의 1합 기지국이 있으면 이웃 지원 인증을 수행하는 것을 포함한다.
바람직하게는, 상기 단말의 인증을 수행하는 단계는 1합 기지국이 없는 경우 2합 이상 떨어진 멀티-합 기지국들을 기반으로 한 멀티-합 지원 인증을 수행하는 것을 더욱 포함한다.
바람직하게는, 상기 이웃 지원 인증을 수행하는 단계는 1합 기지국의 수가 1보다 큰지를 판단하고, 상기 1합 기지국의 수가 1보다 큰 경우 상기 1합 기지국들 중 하나를 인증을 지원할 목표 기지국으로 선택하고, 상기 목표 기지국으로부터 수신된 신원 응답을 기반으로 상기 단말과 공유할 세션 키를 생성하는 것을 포함한다.
바람직하게는, 상기 이웃 지원 인증을 수행하는 단계는 상기 1합 기지국의 수가 1보다 크지 않으면 하나의 1합 기지국을 목표 기지국으로 결정하는 것을 더욱 포함한다.
바람직하게는, 상기 세션 키를 생성하는 단계는 상기 목표 기지국으로부터 수신된 신원 응답을 상기 단말로 전달하고, 상기 신원 응답에 대해 상기 단말로부터 트랜잭션 요청을 수신하고, 상기 트랜잭션 요청을 상기 목표 기지국으로 전달하고, 상기 트랜잭션 요청에 대한 응답으로 상기 목표 기지국으로부터 트랜잭션 응답을 수신하고, 상기 트랜잭션 응답을 상기 단말로 전달하고, 상기 단말과 함께 상기 트랜젝션 응답을 이용하여 세션 키를 계산하는 것을 포함한다.
바람직하게는, 상기 트랜잭션 요청은 상기 단말에 의해 선택된 트랜잭션 식별자, 단말 ID, 미등록 기지국 ID, 목표 기지국 ID, 그리고 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함한다.
바람직하게는, 상기 트랜잭션 식별자는 256 비트로 구성된다.
바람직하게는, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 단말과 목표 기지국에 의해 선택된 난스들 (nonces), 트랜잭션 식별자, 단말 ID, 미등록 기지국 ID, 그리고 목표 기지국 ID를 포함하도록 암호화된다.
바람직하게는, 상기 각 난스 (nonce)는 256 비트로 구성된다.
바람직하게는, 상기 트랜잭션 요청은 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호를 더욱 포함한다.
바람직하게는, 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호는 상기 미등록 기지국과 상기 목표 기지국에 의해 선택된 난스들, 상기 트랜잭션 식별자, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함한다.
바람직하게는, 상기 목표 기지국으로부터 트랜잭션 응답을 수신하는 단계는 상기 목표 기지국에서 세션 키를 계산하고, 상기 세션 키를 트랜잭션 응답과 함께 상기 미등록 기지국으로 전송하는 것을 포함한다.
바람직하게는, 상기 트랜잭션 응답은 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호와 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함한다.
바람직하게는, 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호는 상기 단말에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 한다.
바람직하게는, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 미등록 기지국에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 한다.
바람직하게는, 상기 트랜잭션 응답은 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함한다.
바람직하게는, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 미등록 기지국에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함한다.
바람직하게는, 상기 멀티-합 지원 인증을 수행하는 단계는 상기 멀티-합 기지국의 수가 1 보다 큰지를 판단하고, 만약 살기 멀티-합 기지국의 수가 1 보다 크지 않으면 신원 인증을 전송한 유일한 기지국을 목표 기지국으로 선택하고, 상기 목표 기지국이 상기 미등록 기지국과 공유하는 암호를 가지고 있는지 판단하고, 상기 목표 기지국이 상기 미등록 기지국과 공유하는 암호를 가지고 있는 경우 상기 목표 기지국으로부터 수신한 신원 응답을 기반으로 단말과 공유되는 세션 키를 생성하는 것을 포함한다.
바람직하게는, 상기 멀티-합 지원 인증을 수행하는 단계는, 만약 상기 멀티-합 기지국이 상기 미지정 기지국과 공유하는 암호를 가지고 있지 않은 경우, 상기 목표 기지국과 공유할 암호를 설정하는 것을 더욱 포함한다.
바람직하게는, 상기 멀티-합 지원 인증을 수행하는 단계는 상기 멀티-합 기지국의 수가 1보다 큰 경우 상기 신원 응답을 전송한 멀티 합 기지국들 중 상기 미지정 기지국과 암호를 공유하는 기지국이 있는지 판단하고, 상기 멀티 합 기지국들 중 상기 미지정 기지국과 암호를 공유하는 적어도 하나의 기지국이 있는 경우 상기 미지정 기지국과 암호를 공유하고 있는 멀티-합 기지국들 중 하나를 목표 기지국으로 선택하는 것을 더욱 포함한다.
바람직하게는, 상기 멀티-합 지원 인증을 수행하는 단계는 상기 미등록 기지국과 암호를 공유하는 멀티-합 기지국이 없을 경우 상기 멀티-합 기지국들 중 가장 가까이 위치한 기지국을 목표 기지국으로 선택하는 더욱 포함 한다.
이하, 본 발명의 바람직한 실시예에 따른 인증 방법을 첨부된 도면을 참조하여 상세히 설명한다. 본 발명을 설명함에 있어서, 잘 알려진 기능이나 구성에 대해서는 본 발명의 취지를 흐리지 않도록 설명을 생략하기로 한다.
도 2는 본 발명의 일 실시예에 따른 무선 분산 시스템을 도시한 계략도 이다. 도 2에서 보는 바와 같이, 본 발명의 일 실시예에 따른 무선 부산 시스템은 4개의 기지국 (221, 222, 223, 224)으로 구성되며, 단말들 (211, 212)은 초기 등록 시 각각 가장 가까운 기지국 (211, 222)에 등록된다. 다시 말해, 각 기지국이 인증 장치의 역할을 함으로써 인증 기능이 기지국들로 분산된다.
도 2에서와 같이 구성된 무선 분산 시스템에서 두 가지 상황을 고려할 수 있 다. 첫 째는 단말이 공유된 암호 또는 일반 인증 기관으로부터 얻은 공개 키인 보안 연결을 공유하는 기지국과 연결을 시도하는 경우이고, 두 번째는 단말이 안호를 공유하지 않는 기지국과 연결을 시도하는 경우이다. 전자의 경우 802.11i 프로토콜 (또는 다른 키 획득 프로토콜)과 확장 인증 프로토콜 (extensible authentication protocol: EAP)가 사용될 수 있다. 한편, 후자의 경우 802.11i 프로토콜과 함께 본 발명의 인증 방법을 사용할 수 있다.
공유 보안 연결이 배제된 인증 절차
단말이 자신과 암호를 공유하지 않는 기지국과 연결을 시도할 경우, 기지국은 무선 분산 시스템 내의 암호를 공유하는 기지국을 확인하기 위해 단말의 신원(identification)을 방송한다. 만약 암호를 공유하는 기지국이 발견되지 않을 경우, 단말은 인증 받을 수 없다. 이 한편, 암호를 공유하는 기지국이 발견되는 경우, 상기 기지국은 한 합, 즉, 이웃 (neighbor)이거나 또는 그 이상 떨어져 있을 수 있다. 본 실시예에 따른 인증 방법에서는 상기 인증 기지국이 인증 요청 기지국으로부터 1 합 거리에 있는 이웃 지원 인증(neighbor-supported authentication) 과 인증 기지국이 1합 이상 멀리 떨어져 있는 멀티-합 지원 인증(multi-hop-supported authentication)의 두 가지 경우를 설명할 것이다.
이웃 지원 인증(Neighbor-Supported Authentication)
도 3은 본 발명의 일 실시예에 따른 이웃 지원 인증을 설명하기 위한 개략도이다.
도 3에서 보는 바와 같이, 인증을 수행할 기지국 (321)이 단말 (310)의 인증 을 위해 이웃 기지국 (322)을 찾는다.
상기 이웃 기지국 (322)이 상기 단말 (310)과 암호를 공유하고 상기 단말 (321)이 상기 이웃 기지국 (322)과 암호를 공유할 경우, 단말 (310)을 인증하고, 상기 기지국 (321)과 단말 (310) 간의 신규 암호를 얻기 위해 EAP를 이용하는 개량 Otway-Reese 프로토콜이 사용될 수 있다.
도 4는 본 발명의 일 실시예에 따른 이웃 지원 인증을 설명하기 위한 메시지 흐름도 이다.
도 4를 참조하면, 단말(MS)로부터 EAP-START 메시지를 수신하며 (S401) 중계 기능을 하는 중계 기지국(BSR)은 상기 MS 에 EAP-REQUEST-IDENTITY 메시지를 전송한다 (S402). 상기 EAP-REQUEST-IDENTITY 메시지를 수신하면, 이에 대한 응답으로 상기 MS는 EAP-RESPONSE-IDENTITY 메시지를 상기 BSR로 전송한다 (S403).
상기 EAP-RESPONSE-IDENTITY 메시지를 수신하며, 상기 BSR은 상기 MS가 이전에 등록되어 암호를 공유하고 있는 목표 기지국 (BST) 을 찾기 위해 자신이 속해 있는 무선 분산 시스템(wireless distribution system: WDS)으로 Identity Request 메시지를 멀티 캐스트 한다 (S404).
일단 상기 Identity Request 메시지를 받으면, 상기 BST 는 BST 자신과 MS 가 공유하는 암호화된 키 와 BST 자신과 BSR 이 공유하는 암호화된 키 를 포함하는 Identity Response 메시지 전송한다 (S405). 여기서 E는 ACS-CCE 암호 (encryption), K는 BST에 의해 생성된 세션 키, 그리고 NT 는 상기 BST에 의해 선택된 256 비트의 난스(nonce)이다.
Identity Response 메시지 수신 후, 상기 BSR은 Identity Report 메시지를 상기 MS에 전송한다(S406). 상기 Identity Report 메시지는 상기 BST 의 ID와 상기 BST 와 MS에 의해 공유되는 암호 키 를 포함한다.
계속해서, 상기 MS는 상기 MS에 의해 선택된 트랜잭션 식별자 (transaction identifier), MS ID, BSR ID, BST ID, 및 암호키 를 포함하는 트래잭션 요청 (Transaction Request) 메시지를 BST로 전송한다(S407). 상기 BSR 은 상기 Transaction Request 메시지를 BSR 과 BST 이 공유하는 암호 키 와 함께 BST로 전송한다(S408). 상기Transaction Request 메시지를 수신하면, 상기 BST 는 연산식 k=TLS-PRF(M,NMS, NT, NR)에 따라 세션키 k를 계산하고, 암호키 와 를 포함하는 트랙젝션 응답 메시지를 BSR로 전송한다(S409). 상기 만을 포함하는Transaction Response 메시지를 MS로 전달한다 (S410). 마지막으로, 상기 BSR와 MS 는 상기 연 산식 k= TLS-PRF(M, NMS, NT, NR) 에 따라 세션 키 k 를 구한다
상기 절차가 완료되면, 상기 BSR과 MS는 상기 BSR과 MS이 상기 세션 키를 알고 있음을 확인하기 위해 IEEE 802.11i 기반의 4 웨이 핸드쉐이크 협상을 수행한다.
만약, 하나 이상의 BS가 BSR에 응답할 경우, 상기 BSR은 BST,를 선택하기 위한 알고리즘을 이용할 수 도 있다.
멀티-합 지원 인증(Multi-hop-supported authentication)
도 5는 본 발명의 일 실시예에 따른 멀티-합 지원 인증을 설명하기 위한 개략도이다.
도 5에서 보는 바와 같이, 인증을 지원할 목표 기지국 BST (522) 이 인증을 수행할 기지국 BSR (521)으로부터 1 합 보다 멀리 떨어져 있다.
인증을 지원할 기지국 BST이 인증을 수행할 기지국 BSR 로부터 1 합 이상 떨어져 있을 경우, 상기 BST 와 the BSR 사이에는 상기 BSR (521) 과 MS (510) 사이의 신규 암호를 획득하기 위해 암호 이 개설되어야 한다. 상기한 이웃 지원 인증에서와 마찬가지로, MS 와 BST 는 반드시 암호 를 공유해야만 한다.
이와 같은 두 선행 조건이 만족 된다면, 멀티-합 지원 인증 알고리즘은 이웃 지원 인증 알고리즘처럼 확실하게 동작한다. 만약 상기 두 가지 선행 조건이 만족 되지 않으면, 멀티-합 지원 인증은 적절한 EAP 실패 메시지와 함께 실패하고 말 것이다.
BSR 이 인증을 요청하는 MS와 암호를 공유하고 있지 않을 경우, 상기 BSR 는 단말의 신원을 합-카운터와 함께 이웃 기지국들로 방송해야 한다. 각 이웃 기지국은 차례로 상기 합-카운터의 값을 1 만큼 줄이고 다시 이웃 기지국들로 전달한다. 만약 무선 분산 시스템의 일원인 기지국이 상기 메시지의 두 번째 사본을 받으면 해당 기지국은 상기 메시지를 폐기한다.
상기 MS와 암호를 공유하는 BS 가 상기 방송 메시지를 수신하면, 상기 BS는 상기 인증을 수행할 기지국 BSR 에 응답해야만 한다. 만약 상기 BSR 이 방송한 메시지에 대한 응답을 받으면 이미 암호를 공유하고 있는 BS를 인증을 지원할 기지국 BST로 선택한다. 반면, 응답한 BS들 중에 자신과 암호를 공유하는 BS가 없을 경우, 상기 BSR 은 방송 메시지에 대해 응답한 가장 가까운 BS를 인증을 지원할 기지국 BST로 선택하고 단말에 응답하기 전에 상기 BST와 공유할 암호를 생성한다.
상기 MS가 상기 일부 BST 가 BSR과 암호를 공유하는 것을 확인한 경우, 그 결과를 저장하여 멀티 캐스트가 아닌 유니케스트로 용청 메시지를 전송한다. 만약 상기 BSR이 일부 단말들이 상기 단말과 암호를 공유하는 것을 확인한 경우, 그 결과를 저장하고 다음 전송 시에 상기 BS들에 요청 메시지를 유니케스트 한다. 또한, 상기 BSR은 MS의 인증 결과를 저장할 수 있다. 상기 MS가 인증 결과를 가지는 BSR에 접속을 시도를 할 때, 상기 BSR은 일반적인 EAP 를 통해 직접 MS를 인증할 수 있다.
도 6은 본 발명의 일 실시예에 따른 분산 인증 방법을 설명하기 위한 순서도이다.
도 6을 참조하면, 일단 단말 (MS)로부터 EAP 개시 (EAP Start) 메시지를 수신하면 (S601), 인증을 수행할 기지국(BSR)은 EAP 요청 (EAP Request) 메시지를 상기 MS로 전송하고 (S602) 이에 대한 응답으로 상기 MS로부터 EAP 응답 (EAP Response) 메시지를 수신 한다 (S603). 상기 EAP Response 메시지를 수신하자 마자, 상기 BSR은 인증을 지원할 기지국 BST를 찾기 위해 무선 분산 시스템(Wireless Distribution System: WDS) 상에 신원 요청 (Identity Request) 메시지를 멀티캐스팅한다(S604). 상기 Identity Request 메시지를 멀티캐스팅 한 후, 상기 BSR은 신원 응답 (Identity Response) 메시지가 수신되는지 확인한다 (S605). 만약 미리 정해신 시간 내에 수신된 Identity Response 메시지가 수신되지 않으면 상기 BSR 은 상기 Identity Request 메시지를 재전송한다. 재전송은 미리 정해진 횟수 만큼 수행된다. 만약 적어도 하나의 BS로부터 Identity Response 메시지가 수신되면 상기 BSR 은 상기 Identity Response 메시지를 전송한 BS들 중 자신으로부터 1 합 만큼 거리에 있는 BS, 다시 말해 이웃 BS 가 있는지 판단한다(S606). 만약 이웃 BS가 존재하면, 상기 BSR 은 이웃 지원 인증 절차를 수행 한다 (S60 7). 반면 이웃 BS가 존재하지 않을 경우, 상기 BSR 은 멀티-합 인증 절차를 수행한다(S608).
도 7은 도 6의 이웃 지원 인증 절차를 더욱 상세히 설명하기 위한 순서도이다.
도 7을 참조하면, 이웃 지원 인증 절차로 진입하면 상기 BSR은 상기 Identity Response 메시지를 전송한 이웃 BS들의 수 NN 를 파악하고 NN 값이 1보다 큰지를 판단한다(S701). 만약 NN 이 1보다 크면, 상기 BSR은 상기 BS들 중 하나를 BST 로 선택한다(S702). BST를 선택하는 것은 여러가지 선택 알고리즘을 이용하여 가능하다. 일단 BST 가 선택되면, 상기 BSR은 상기 BST로부터 수신된 Identity Response 메시지를 MS로 전달한다(S703).
계속해서, 상기 BSR은 상기 MS로부터 트랜잭션 요청 (Transaction Request) 메시지를 수신한다 (S704). 상기 Transaction Request 메시지는 MS에 의해 선택된 256 비트 길이의 트랜잭션 식별자(transaction identifier), MS ID, BSR ID, BST ID, 그리고 인증을 지원할 기지국 BST와 MS 사이의 암호키 를 포함한다. 상기 BSR은 계속해서 상기 MS로부터 수신한 Transaction Request 메시지를 상기 BST에 전달한다(S705). 상기 BST로 전달된 Transaction Request 메시지에는 상기 BSR 와 BST 간의 암호키 가 더욱 포함된다.
상기 Transaction Request 메시지를 수신하면, 상기 BST 는 미리 정해진 연산식 k=TLS-PRF(M,NMS, NT, NR)을 통해 세션 키 k를 연산하여, 암호키 와 를 포함하는 Transaction Response 메시지를 전송하고 따라서 BSR은 Transaction Response 메시지를 수신하고 (S706) 수신된 Transaction Response 메시지를 MS로 전달한다(S707). 상기 Transaction Response 메시지를 전송한 후, 상기 BSR은 세션 키를 연산한다 (S708). 상기 세션 키 k= TLS-PRF(M, NMS, NT, NR)는 BSR 와 MS에 의해 동일하게 구해진다.
도 8은 도 6의 멀티-합 지원 인증 절차를 더욱 상세히 설명하기 위한 순서도이다.
도 8을 참조하면, 멀티-합 지원 인증 절차로 진입하면, 상기 BSR은 상기 Identity Response 메시지를 전송한 멀티-합 BS들의 수 NM 를 파악하고 NM 값이 1보다 큰지를 판단한다(S801). 만약 NM 값이 1 보다 크면, 상기 BSR은 상기 Identity Response 메시지를 전송한 멀티-합 BS들 중 자신과 암호를 공유하는 BS가 있는지 판단한다(S802). 만약 BSR과 암호를 공유하고 있는 BS가 있으면 BSR은 해당 BS를 BST로 선택하고 상기 BST로부터 수신된 Identity Response 메시지를 MS로 전달한다(S806). 상기 암호를 공유하는 BS의 수가 1보다 큰 경우 BSR은 합 카운터 (Hop counter) 같은 선택 매개변수를 이용해 해당 BS 들 중 하나를 BST 로 선택할 수 있다.
만약 S802 단계에서 상기 BSR과 암호를 공유하는 BS가 없는 경우, 상기 BSR은 상기 Identity Response 메시지를 전송한 BS 들 중 가장 가까운 BS를 BST로 선택하고 (S803) 선택된 BST와 공유할 암호를 설정한다 (S805). 상기 암호가 설정된 후, 상기 BSR은 상기 BST 로부터 수신된 Identity Response 메시지를 상기 MS로 전 달한다 (S806).
만약 S801 단계에서 NM의 값이 1보다 크지 않으면, 상기 BSR 은 상기 Identity Response 메시지를 전송한 유일한 BS를 BST 로 선택하고(S815) BST 가 자신과 암호를 공유하고 있는지 판단한다 (S816). 만약 상기 BST가 BSR 와 공유하는 암호가 있는 경우, 상기 BSR 은 상기 BST 로부터 수신된 Identity Response 메시지를 상기 MS로 전달한다(S806).
반면, 상기 BST가 BSR 과 공유하는 암호를 가지고 있지 않은 경우 상기 the BSR은 상기 BST 와 먼저 공유할 암호를 설정하고 (S805) 상기 the BST로부터 수신한 Identity Response 메시지를 상기 MS로 전달한다 (S806).
상기 Identity Response 메시지를 전달한 후, 상기 BSR은 상기 MS로부터 트랜잭션 요청 (Transaction Request) 메시지를 수신한다 (S807). 상기Transaction Request 메시지는 MS에 의해 선택된 256 비트 길이의 트랜잭션 식별자 (transaction identifier), MS ID, BSR ID, BST ID, 그리고 인증을 지원할 기지국 BST와 MS 사이의 암호키 를 포함한다. 상기 BSR은 계속해서 상기 MS로부터 수신한 Transaction Request 메시지를 상기 BST에 전달한다(S808). 상기 BST로 전달된 Transaction Request 메시지에는 상기 BSR 와 BST 간의 암호키 가 더욱 포함된다.
상기 Transaction Request 메시지를 수신하면, 상기 BST 는 미리 정해진 연산식 k=TLS-PRF(M,NMS, NT, NR)을 통해 세션 키 k를 연산하여, 암호키 와 를 포함하는 Transaction Response 메시지를 전송하고 따라서 BSR은 Transaction Response 메시지를 수신하고 (S809) 수신된 Transaction Response 메시지를 MS로 전달한다(S801). 상기 Transaction Response 메시지를 전송한 후, 상기 BSR은 세션 키를 연산한다 (S811). 상기 세션 키 k= TLS-PRF(M, NMS, NT, NR)는 BSR 와 MS에 의해 동일하게 구해진다.
본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구의 범위뿐 만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
상기한 바와 같이, 본 발명의 분산 인증 방법은 인증 관리를 기지국들로 분산 시킴으로써 AAA 서버와 같은 중앙 관리 장치 없이도 단말에 대한 인증 절차를 용이하게 처리할 수 있다.
또한, 본 발명의 분산 인증 방법은 신규 기지국이 증설되거나 고립된 기지국 들이 하나의 무선 분산 시스템으로 병합되는 경우에도 인증 절차가 AAA 서버 없이 수행되기 때문에 보완 수준의 열화 및 관리자의 추가적인 노동 부담 없이 쉽게 망을 확장할 수 있다.
더욱이, 본 발명의 분산 인증 방법은 중앙 관리 장치의 개입이 없는 단조로운 인증 절차를 가지기 때문에 기지국들 간의 하나의 공유 암호를 생성함으로써 고립된 시스템들을 하나의 무선 분산 시스템으로 용이하게 병합할 수 있다.
Claims (35)
- 단말들에 접속 서비스를 제공하는 적어도 하나의 기지국을 포함하는 무선 분산 시스템에 있어서,인증을 수행할 미등록 기지국이 상기 단말로부터 인증 요청을 받고;무선 분산 시스템 사에 상기 단말을 확인하기 위한 신원 요청을 멀티캐스팅하고;상기 신원 요청에 대한 응답으로 적어도 하나의 기지국으로부터 신원 응답을 수신하고;상기 수신된 신원 응답을 기반으로 상기 단말을 인증을 수행하는 인증 방법.
- 제 1항에 있어서, 상기 단말의 인증을 수행하는 단계는:상기 미등록 기지국으로부터 1 합 떨어져 있는 기지국들이 있는지 판단하고;적어도 하나의 1합 기지국이 있으면 이웃 지원 인증을 수행하는 것을 포함하는 인증 방법.
- 제 2항에 있어서, 상기 단말의 인증을 수행하는 단계는:1합 기지국이 없는 경우 2합 이상 떨어진 멀티-합 기지국들을 기반으로 한 멀티-합 지원 인증을 수행하는 것을 더욱 포함하는 인증 방법.<neighbor supported authentication>
- 제 2항에 있어서, 상기 이웃 지원 인증을 수행하는 단계는:1합 기지국의 수가 1보다 큰지를 판단하고;상기 1합 기지국의 수가 1보다 큰 경우 상기 1합 기지국들 중 하나를 인증을 지원할 목표 기지국으로 선택하고;상기 목표 기지국으로부터 수신된 신원 응답을 기반으로 상기 단말과 공유할 세션 키를 생성하는 것을 포함하는 인증 방법.
- 제 4항에 있어서, 상기 이웃 지원 인증을 수행하는 단계는:상기 1합 기지국의 수가 1보다 크지 않으면 하나의 1합 기지국을 목표 기지국으로 결정하는 것을 더욱 포함하는 인증 방법.
- 제 5항에 있어서, 상기 세션 키를 생성하는 단계는:상기 목표 기지국으로부터 수신된 신원 응답을 상기 단말로 전달하고;상기 신원 응답에 대해 상기 단말로부터 트랜잭션 요청을 수신하고;상기 트랜잭션 요청을 상기 목표 기지국으로 전달하고;상기 트랜잭션 요청에 대한 응답으로 상기 목표 기지국으로부터 트랜잭션 응답을 수신하고;상기 트랜잭션 응답을 상기 단말로 전달하고;상기 단말과 함께 상기 트랜젝션 응답을 이용하여 세션 키를 계산하는 것을 포함하는 인증 방법.
- 제 6항에 있어서, 상기 트랜잭션 요청은 상기 단말에 의해 선택된 트랜잭션 식별자, 단말 ID, 미등록 기지국 ID, 목표 기지국 ID, 그리고 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함하는 것을 특징으로 하는 인증 방법.
- 제 7항에 있어서, 상기 트랜잭션 식별자는 256 비트 길이인 것을 특징으로 하는 인증 방법.
- 제 7항에 있어서, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 단말과 목표 기지국에 의해 선택된 난스들 (nonces), 트랜잭션 식별자, 단말 ID, 미등록 기지국 ID, 그리고 목표 기지국 ID를 포함하도록 암호화된 것을 특징으로 하 는 인증 방법.
- 제 9항에 있어서, 상기 각 난스 (nonce)는 256 비트 길이인 것을 특징으로 하는 인증 방법.
- 제 7항에 있어서, 상기 트랜잭션 요청은 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호를 더욱 포함하는 것을 특징으로 하는 인증 방법.
- 제 11항에 있어서, 상기 목표 기지국과 상기 미등록 기지국이 공유하는 아뮤ㅗ는 상기 미등록 기지국과 상기 목표 기지국에 의해 선택된 난스들, 상기 트랜잭션 식별자, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 하는 인증 방법.
- 제 6항에 있어서, 상기 목표 기지국으로부터 트랜잭션 응답을 수신하는 단계는:상기 목표 기지국에서 세션 키를 계산하고;상기 세션키를 트랜잭션 응답과 함께 상기 미등록 기지국으로 전송하는 것을 포함하는 인증 방법.
- 제 13항에 있어서, 상기 트랜잭션 응답은 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호와 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함하는 것을 특징으로 하는 인증 방법.
- 제 14항에 있어서, 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호는 상기 단말에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 하는 인증 방법.
- 제 14항에 있어서, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 미등록 기지국에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 하는 인증 방법.
- 제 13항에 있어서, 상기 트랜잭션 응답은 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함하는 것을 특징으로 하는 인증 방법.
- 제 17항에 있어서, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 미등록 기지국에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하는 것을 특징으로 하는 인증 방법.<multi-hop-supported authentication>
- 제 3항에 있어서, 상기 멀티-합 지원 인증을 수행하는 단계는:상기 멀티-합 기지국의 수가 1 보다 큰지를 판단하고;만약 살기 멀티-합 기지국의 수가 1 보다 크지 않으면 신원 인증을 전송한 유일한 기지국을 목표 기지국으로 선택하고;상기 목표 기지국이 상기 미등록 기지국과 공유하는 암호를 가지고 있는지 판단하고;상기 목표 기지국이 상기 미등록 기지국과 공유하는 암호를 가지고 있는 경우 상기 목표 기지국으로부터 수신한 신원 응답을 기반으로 단말과 공유되는 세션 키를 생성하는 것을 포함하는 인증 방법.
- 제 19항에 있어서, 상기 멀티-합 지원 인증을 수행하는 단계는:만약 상기 멀티-합 기지국이 상기 미지정 기지국과 공유하는 암호를 가지고 있지 않은 경우 상기 목표 기지국과 공유할 암호를 설정하는 것을 더욱 포함하는 인증 방법.
- 제 20항에 있어서, 상기 멀티-합 지원 인증을 수행하는 단계는:상기 멀티-합 기지국의 수가 1보다 큰 경우 상기 신원 응답을 전송한 멀티 합 기지국들 중 상기 미지정 기지국과 암호를 공유하는 기지국이 있는지 판단하고;상기 멀티 합 기지국들 중 상기 미지정 기지국과 암호를 공유하는 적어도 하나의 기지국이 있는 경우 상기 미지정 기지국과 암호를 공유하고 있는 멀티-합 기지국들 중 하나를 목표 기지국으로 선택하는 것을 더욱 포함하는 인증 방법.
- 제 21항에 있어서, 상기 멀티-합 지원 인증을 수행하는 단계는:상기 미등록 기지국과 암호를 공유하는 멀티-합 기지국이 없을 경우 상기 멀티-합 기지국들 중 가장 가까이 위치한 기지국을 목표 기지국으로 선택하는 것을 더욱 포함하는 인증 방법.
- 제 22항에 있어서, 상기 세션 키를 생성하는 단계는:상기 목표 기지국으로부터 수신된 신원 응답을 상기 단말로 전달하고;상기 신원 응답에 대해 상기 단말로부터 트랜잭션 요청을 수신하고;상기 트랜잭션 요청을 상기 목표 기지국으로 전달하고;상기 트랜잭션 요청에 대한 응답으로 상기 목표 기지국으로부터 트랜잭션 응답을 수신하고;상기 트랜잭션 응답을 상기 단말로 전달하고;상기 단말과 함께 상기 트랜젝션 응답을 이용하여 세션 키를 계산하는 것을 포함하는 인증 방법.
- 제 23항에 있어서, 상기 트랜잭션 요청은 상기 단말에 의해 선택된 트랜잭션 식별자, 단말 ID, 미등록 기지국 ID, 목표 기지국 ID, 그리고 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함하는 것을 특징으로 하는 인증 방법.
- 제 24항에 있어서, 상기 트랜잭션 식별자는 256 비트 길이인 것을 특징으로 하는 인증 방법.
- 제 24항에 있어서, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 단말과 목표 기지국에 의해 선택된 난스들 (nonces), 트랜잭션 식별자, 단말 ID, 미등록 기지국 ID, 그리고 목표 기지국 ID를 포함하도록 암호화된 것을 특징으로 하는 인증 방법.
- 제 26항에 있어서, 상기 각 난스 (nonce)는 256 비트 길이인 것을 특징으로 하는 인증 방법.
- 제 24항에 있어서, 상기 트랜잭션 요청은 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호를 더욱 포함하는 것을 특징으로 하는 인증 방법.
- 제 28항에 있어서, 상기 목표 기지국과 상기 미등록 기지국이 공유하는 아뮤ㅗ는 상기 미등록 기지국과 상기 목표 기지국에 의해 선택된 난스들, 상기 트랜잭션 식별자, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 하는 인증 방법.
- 제 23항에 있어서, 상기 목표 기지국으로부터 트랜잭션 응답을 수신하는 단계는:상기 목표 기지국에서 세션 키를 계산하고;상기 세션키를 트랜잭션 응답과 함께 상기 미등록 기지국으로 전송하는 것을 포함하는 인증 방법.
- 제 30항에 있어서, 상기 트랜잭션 응답은 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호와 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함하는 것을 특징으로 하는 인증 방법.
- 제 31항에 있어서, 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호는 상기 단말에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 하는 인증 방법.
- 제 31항에 있어서, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 미등록 기지국에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 하는 인증 방법.
- 제 30항에 있어서, 상기 트랜잭션 응답은 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함하는 것을 특징으로 하는 인증 방법.
- 제 34항에 있어서, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 미등록 기지국에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하는 것을 특징으로 하는 인증 방법.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/KR2006/001787 WO2006121307A1 (en) | 2005-05-13 | 2006-05-12 | Authentication method for wireless distributed system |
US11/433,679 US7756510B2 (en) | 2005-05-13 | 2006-05-12 | Authentication method for wireless distributed system |
JP2008509945A JP4824086B2 (ja) | 2005-05-13 | 2006-05-12 | 無線分散システムの認証方法 |
CN2006800165065A CN101189826B (zh) | 2005-05-13 | 2006-05-12 | 用于无线分布式系统的认证方法 |
EP06009984.3A EP1722589B1 (en) | 2005-05-13 | 2006-05-15 | Authentication method for wireless distributed system |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US68058405P | 2005-05-13 | 2005-05-13 | |
US60/680,584 | 2005-05-13 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060117205A true KR20060117205A (ko) | 2006-11-16 |
KR101253352B1 KR101253352B1 (ko) | 2013-04-11 |
Family
ID=37704840
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060041227A KR101253352B1 (ko) | 2005-05-13 | 2006-05-08 | 무선 분산 시스템의 단말 인증 방법 |
Country Status (4)
Country | Link |
---|---|
US (1) | US7756510B2 (ko) |
JP (1) | JP4824086B2 (ko) |
KR (1) | KR101253352B1 (ko) |
CN (1) | CN101189826B (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100819056B1 (ko) | 2006-12-08 | 2008-04-02 | 한국전자통신연구원 | 광대역 무선 접속 시스템에서 초기 접속 방법 |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1775976B1 (en) * | 2005-10-13 | 2010-03-17 | Mitsubishi Electric R&D Centre Europe B.V. | Method for enabling a base station to connect to a wireless telecommunication network |
CN100591011C (zh) * | 2006-08-31 | 2010-02-17 | 华为技术有限公司 | 一种认证方法及系统 |
US8638668B2 (en) * | 2007-04-03 | 2014-01-28 | Qualcomm Incorporated | Signaling in a cluster |
US8711768B2 (en) * | 2008-01-16 | 2014-04-29 | Qualcomm Incorporated | Serving base station selection based on backhaul capability |
KR101572267B1 (ko) * | 2009-06-25 | 2015-11-26 | 삼성전자주식회사 | 센서 네트워크에서 노드와 싱크간의 상호 인증 시스템 및 방법 |
KR101683286B1 (ko) * | 2009-11-25 | 2016-12-06 | 삼성전자주식회사 | 이동통신망을 이용한 싱크 인증 시스템 및 방법 |
US8443435B1 (en) * | 2010-12-02 | 2013-05-14 | Juniper Networks, Inc. | VPN resource connectivity in large-scale enterprise networks |
US8856290B2 (en) * | 2011-10-24 | 2014-10-07 | General Instrument Corporation | Method and apparatus for exchanging configuration information in a wireless local area network |
US9608962B1 (en) | 2013-07-09 | 2017-03-28 | Pulse Secure, Llc | Application-aware connection for network access client |
IL229153B (en) | 2013-10-30 | 2019-02-28 | Verint Systems Ltd | Systems and methods for protocol-based identification of rogue base stations |
US11152052B1 (en) | 2020-06-03 | 2021-10-19 | Micron Technology, Inc. | Apparatuses, systems, and methods for fuse array based device identification |
US11188637B1 (en) * | 2020-06-28 | 2021-11-30 | Mark Lawson | Systems and methods for link device authentication |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5550896A (en) * | 1994-06-30 | 1996-08-27 | Lucent Technologies Inc. | Authentication hierarchical structure of switching nodes for storage of authentication information |
US7486952B1 (en) | 2000-02-09 | 2009-02-03 | Alcatel-Lucent Usa Inc. | Facilitated security for handoff in wireless communications |
US20020174335A1 (en) * | 2001-03-30 | 2002-11-21 | Junbiao Zhang | IP-based AAA scheme for wireless LAN virtual operators |
JP2003348072A (ja) * | 2002-05-30 | 2003-12-05 | Hitachi Ltd | 自律分散網における暗号鍵の管理方法および装置 |
US7373508B1 (en) * | 2002-06-04 | 2008-05-13 | Cisco Technology, Inc. | Wireless security system and method |
KR100549918B1 (ko) * | 2002-09-28 | 2006-02-06 | 주식회사 케이티 | 공중 무선랜 서비스를 위한 무선랜 접속장치간 로밍서비스 방법 |
US7346772B2 (en) * | 2002-11-15 | 2008-03-18 | Cisco Technology, Inc. | Method for fast, secure 802.11 re-association without additional authentication, accounting and authorization infrastructure |
AU2003286013A1 (en) * | 2002-11-18 | 2004-06-15 | Hipaat Inc. | A method and system for access control |
US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
CN1172489C (zh) * | 2003-01-28 | 2004-10-20 | 北京朗通环球科技有限公司 | 基于网络之间的数据通信系统及方法 |
US20060029074A2 (en) * | 2004-02-09 | 2006-02-09 | Packethop, Inc. | ENHANCED MULTICASE FORWARDING CACHE (eMFC) |
JP2005286989A (ja) * | 2004-03-02 | 2005-10-13 | Ntt Docomo Inc | 通信端末及びアドホックネットワーク経路制御方法 |
US8050409B2 (en) * | 2004-04-02 | 2011-11-01 | University Of Cincinnati | Threshold and identity-based key management and authentication for wireless ad hoc networks |
US7451316B2 (en) * | 2004-07-15 | 2008-11-11 | Cisco Technology, Inc. | Method and system for pre-authentication |
US7477747B2 (en) * | 2005-02-04 | 2009-01-13 | Cisco Technology, Inc. | Method and system for inter-subnet pre-authentication |
US7814322B2 (en) * | 2005-05-03 | 2010-10-12 | Sri International | Discovery and authentication scheme for wireless mesh networks |
-
2006
- 2006-05-08 KR KR1020060041227A patent/KR101253352B1/ko active IP Right Grant
- 2006-05-12 CN CN2006800165065A patent/CN101189826B/zh not_active Expired - Fee Related
- 2006-05-12 JP JP2008509945A patent/JP4824086B2/ja not_active Expired - Fee Related
- 2006-05-12 US US11/433,679 patent/US7756510B2/en active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100819056B1 (ko) | 2006-12-08 | 2008-04-02 | 한국전자통신연구원 | 광대역 무선 접속 시스템에서 초기 접속 방법 |
Also Published As
Publication number | Publication date |
---|---|
JP4824086B2 (ja) | 2011-11-24 |
KR101253352B1 (ko) | 2013-04-11 |
JP2008547245A (ja) | 2008-12-25 |
CN101189826B (zh) | 2011-11-16 |
CN101189826A (zh) | 2008-05-28 |
US7756510B2 (en) | 2010-07-13 |
US20060276176A1 (en) | 2006-12-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101253352B1 (ko) | 무선 분산 시스템의 단말 인증 방법 | |
KR100759489B1 (ko) | 이동통신망에서 공개키 기반구조를 이용한 아이피보안터널의 보안 방법 및 장치 | |
CN1764107B (zh) | 在建立对等安全上下文时验证移动网络节点的方法 | |
US7760885B2 (en) | Method of distributing encryption keys among nodes in mobile ad hoc network and network device using the same | |
US7792527B2 (en) | Wireless network handoff key | |
US7734280B2 (en) | Method and apparatus for authentication of mobile devices | |
KR101049021B1 (ko) | 애드 혹 무선 네트워크의 노드들 간의 보안 연계 확립 방법 및 장치 | |
US8559633B2 (en) | Method and device for generating local interface key | |
EP1842319B1 (en) | User authentication and authorisation in a communications system | |
WO2017185999A1 (zh) | 密钥分发、认证方法,装置及系统 | |
US8423772B2 (en) | Multi-hop wireless network system and authentication method thereof | |
US20040236939A1 (en) | Wireless network handoff key | |
EP1933498B1 (en) | Method, system and device for negotiating about cipher key shared by ue and external equipment | |
US20030084287A1 (en) | System and method for upper layer roaming authentication | |
WO2008009238A1 (fr) | Procédé et système destinés à générer et à distribuer une clé ip mobile | |
KR20120091635A (ko) | 통신 시스템에서 인증 방법 및 장치 | |
WO2008006312A1 (en) | A realizing method for push service of gaa and a device | |
KR20150051568A (ko) | 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템 | |
JP2016501488A (ja) | Ueのmtcグループに対するブロードキャストにおけるグループ認証 | |
KR20150084628A (ko) | 이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템 | |
US20090196424A1 (en) | Method for security handling in a wireless access system supporting multicast broadcast services | |
JP2024507208A (ja) | セルラネットワークを動作させるための方法 | |
EP1722589B1 (en) | Authentication method for wireless distributed system | |
CN116918300A (zh) | 用于操作蜂窝网络的方法 | |
Sivakumar | Analysis of Ad-Hoc Network Security using Zero knowledge Proof and Wi-Fi Protected Access 2 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20160322 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20180321 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20190319 Year of fee payment: 7 |