KR20060117205A - 무선 분산 시스템의 단말 인증 방법 - Google Patents

무선 분산 시스템의 단말 인증 방법 Download PDF

Info

Publication number
KR20060117205A
KR20060117205A KR1020060041227A KR20060041227A KR20060117205A KR 20060117205 A KR20060117205 A KR 20060117205A KR 1020060041227 A KR1020060041227 A KR 1020060041227A KR 20060041227 A KR20060041227 A KR 20060041227A KR 20060117205 A KR20060117205 A KR 20060117205A
Authority
KR
South Korea
Prior art keywords
base station
terminal
target base
unregistered
authentication
Prior art date
Application number
KR1020060041227A
Other languages
English (en)
Other versions
KR101253352B1 (ko
Inventor
이인선
윤상보
윌리엄 알버트 알바우
티. 찰레스 클랜시
신민호
Original Assignee
삼성전자주식회사
유니버시티 오브 매릴랜드 칼리지 팍
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사, 유니버시티 오브 매릴랜드 칼리지 팍 filed Critical 삼성전자주식회사
Priority to PCT/KR2006/001787 priority Critical patent/WO2006121307A1/en
Priority to US11/433,679 priority patent/US7756510B2/en
Priority to JP2008509945A priority patent/JP4824086B2/ja
Priority to CN2006800165065A priority patent/CN101189826B/zh
Priority to EP06009984.3A priority patent/EP1722589B1/en
Publication of KR20060117205A publication Critical patent/KR20060117205A/ko
Application granted granted Critical
Publication of KR101253352B1 publication Critical patent/KR101253352B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/08Load balancing or load distribution
    • H04W28/086Load balancing or load distribution among access entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/73Access point logical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • H04W84/047Public Land Mobile systems, e.g. cellular systems using dedicated repeater stations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 단말들에 접속 서비스를 제공하는 적어도 하나의 기지국을 포함하는 무선 분산 시스템을 위한 인증 방법에 관한 것으로, 본 발명의 인증 방법은 인증을 수행할 미등록 기지국이 상기 단말로부터 인증 요청을 받고, 무선 분산 시스템 사에 상기 단말을 확인하기 위한 신원 요청을 멀티캐스팅하고, 상기 신원 요청에 대한 응답으로 적어도 하나의 기지국으로부터 신원 응답을 수신하고, 상기 수신된 신원 응답을 기반으로 상기 단말을 인증을 수행한다. 본 발명의 분산 인증 방법은 신규 기지국이 증설되거나 고립된 기지국들이 하나의 무선 분산 시스템으로 병합되는 경우에도 인증 절차가 AAA 서버 없이 수행되기 때문에 보완 수준의 열화 및 관리자의 추가적인 노동 부담 없이 쉽게 망을 확장할 수 있다.
무선분산시스템(wireless distribution system: WDS), 인증(authentication), 멀티 합 (multi-hop)

Description

무선 분산 시스템의 단말 인증 방법{AUTHENTICATION METHOD FOR WIRELESS DISTRIBUTED SYSTEM}
도 1은 종래의 인증 (authentication, authorization, and accounting) 시스템의 보인 계략도
도 2는 본 발명의 일 실시예에 따른 무선 분산 인증 시스템을 도시한 개략적인 구성도
도 3은 본 발명의 일 실시예에 따른 이웃 지원 인증을 설명하기 위한 시스템 계략도
도 4는 본 발명의 일 실시예에 따른 이웃 지원 인증 방법을 설명하기 위한 메시지 흐름도
도 5는 본 발명의 일 실시예에 따른 멀티-합 지원 인증 방법을 설명하기 위한 시스템 계략도
도 6은 본 발명의 일 실시예에 따른 무선 분산 인증 방법을 설명하기 위한 순서도
도 7은 도 6의 이웃 지원 인증 절차를 상세히 설명하기 위한 순서도 그리고
도 8은 도 6의 멀티-합 지원 인증 절차를 상세히 설명하기 위한 순서도이다.
본 발명은 무선 분산 시스템 (wireless distribution system: WDS)에 관한 것으로, 더욱 상세하게는 멀티 합 (multi-hop) 무선 분산 시스템을 위한 인증 방법에 관한 것이다.
망 장치들이 어떤 자원에 접근할 수 있는지를 제어하는 네트워크 시스템을 인증, 허가, 및 정산(authentication, authorization and accounting: AAA) 시스템이라 한다. AAA 시스템과 관련하여, 망 자원에 접근하고자 하는 망 장치들을 일반적으로 서플리컨트 단말(supplicant)이라 불린다. 일반적으로 시스템 사용자들은 이들 단말을 특정 자원에 대한 접근을 요청한다. 그러나 이들 단말들은 스스로 특정 자원에 대한 접근 시도를 할 수도 있다. 이들 단말들은 일반적으로 랩탑 컴퓨터, 데스크탑 퍼스널 컴퓨터, 인터넷 전화(IP phone), 가상 사설 망(virtual private network: VPN) 클라이언트, 휴대 장치 등 망 장원에 접근을 요청할 수 있는 장치들이다.
AAA 시스템은 AAA 클라이언트들과 AAA 서버들로 구성된다. AAA 시스템에서는 일반적으로 단말이 AAA 클라이언트를 통해 망 자원에 접근을 시도한다. AAA 클라이언트는 망 접속 서버 (Network Access Server: NAS), 라우터, 스위치, 파이어월, VPN 집신기 (VPN concentrator), 무선 접속 노드 (Wireless Access Point: WAP)와 같은 망 요소들(network elements)에 상주하는 것이 일반적이다. 그러나, AAA 클라 이언트는 망 자원 접속을 용이하게 하는 여타 장치에 상주 할 수도 있다. 단말이 접속 시도는 AAA 클라이언트로 전달되고, AAA 클라이언트는 해당하는 접속 요청 메시지를 생성하여 AAA 서버로 전달한다. 일반적으로, AAA 서버는, 사용자 프로파일 데이터 베이스로 유지하고, 인증을 위한 접속 요청에 대해 상기 데이터 베이스에 대해 질의를 하고, 사용이 인가된 자원을 결정하며, 망 자원 사용에 대한 과금을 함으로써, 망 자원에 접속하기 위해 AAA 클라이언트로부터 전송된 접속 요청들을 관리한다. AAA 클라이언트와 AAA 서버 사이의 통신은 원거리 인증 다이얼 인 서비스 (Remote Authentication Dial-In User Service: RADIUS)와 단말 접속 제어기 접속 제어 시스템 프로토콜 (Terminal Access Controller Access Control Systems protocol: TACACS+)와 같은 AAA 메시지 프로토콜을 통해 이루어진다.
도 1은 종래의 AAA 시스템을 개략적으로 도시한 도면으로, 기지국들(base stations: BSs) (121, 122)은 이동 단말들 (mobile stations: MSs) (131, 132, 133, 1340)로부터 접속 요청을 받으면 MS들 (131, 132, 133, 1340) 및 AAA 서버 (110)와의 메시지 교환을 통해 인증 절차를 수행한다.
그러나, 종래의 AAA 프로토콜은 단말의 증가에 따라 중계를 위한 기지국의 증가를 요하기 때문에 멀티 합 무선 분산 시스템에는 적합하지 않다.
또한, 종래의 AAA 시스템에서는 이동 단말이 초기 등록 시 중앙 관리 장치에 반드시 등록되어야 하며, 단말이 중앙 관리 장치에 등록되어야 하기 때문에 기지국 증설이 매우 복잡해 지는 문제점을 가지고 있다.
또한, AAA 서버가 없는 시스템에서는, 주 기지국이 중앙 관리 장치로서의 역 할을 해야 하기 때문에 주 기지국의 처리 부담을 가지게 되는 문제점이 있다.
본 발명은 상기한 문제점들을 해결하기 위해 창안된 것으로, 본 발명의 목적은 무선 분산 시스템에서의 멀티 합 기지국들의 지원을 통한 인증 방법을 제공하는 것이다.
본 발명의 또 다른 목적은 중앙 관리 장치로서 AAA 서버의 개입 없이 기지국과 단말간의 공유 암호 (secret)를 생성할 수 있는 무선 분산 시스템을 위한 인증 방법을 제공하는 것이다.
본 발명의 또 다른 목적은 보안 수준의 손실과 관리자의 추가적인 노동의 부담 없이 무선 분산 망을 쉽게 확장할 수 있는 무선 분산 시스템을 위한 인증 방법을 제공하는 것이다.
본 발명의 또 다른 목적은 적어도 두 개의 고립된 기지국들 간의 공유 암호 (shared secret)를 생성함으로써 기지국 간 병합이 용이한 무선 분산 망을 위한 인증 방법을 제공하는 것이다.
상기한 목적들은 단말들에 접속 서비스를 제공하는 적어도 하나의 기지국을 포함하는 무선 분산 시스템을 위한 인증 방법에 의해 달성 된다. 본 발명의 인증 방법에서는 인증을 수행할 미등록 기지국이 상기 단말로부터 인증 요청을 받고, 무선 분산 시스템 사에 상기 단말을 확인하기 위한 신원 요청을 멀티캐스팅하고, 상기 신원 요청에 대한 응답으로 적어도 하나의 기지국으로부터 신원 응답을 수신하 고, 상기 수신된 신원 응답을 기반으로 상기 단말에 대한 인증을 수행한다.
바람직하게는, 상기 단말의 인증을 수행하는 단계는 상기 미등록 기지국으로부터 1 합 떨어져 있는 기지국들이 있는지 판단하고, 적어도 하나의 1합 기지국이 있으면 이웃 지원 인증을 수행하는 것을 포함한다.
바람직하게는, 상기 단말의 인증을 수행하는 단계는 1합 기지국이 없는 경우 2합 이상 떨어진 멀티-합 기지국들을 기반으로 한 멀티-합 지원 인증을 수행하는 것을 더욱 포함한다.
바람직하게는, 상기 이웃 지원 인증을 수행하는 단계는 1합 기지국의 수가 1보다 큰지를 판단하고, 상기 1합 기지국의 수가 1보다 큰 경우 상기 1합 기지국들 중 하나를 인증을 지원할 목표 기지국으로 선택하고, 상기 목표 기지국으로부터 수신된 신원 응답을 기반으로 상기 단말과 공유할 세션 키를 생성하는 것을 포함한다.
바람직하게는, 상기 이웃 지원 인증을 수행하는 단계는 상기 1합 기지국의 수가 1보다 크지 않으면 하나의 1합 기지국을 목표 기지국으로 결정하는 것을 더욱 포함한다.
바람직하게는, 상기 세션 키를 생성하는 단계는 상기 목표 기지국으로부터 수신된 신원 응답을 상기 단말로 전달하고, 상기 신원 응답에 대해 상기 단말로부터 트랜잭션 요청을 수신하고, 상기 트랜잭션 요청을 상기 목표 기지국으로 전달하고, 상기 트랜잭션 요청에 대한 응답으로 상기 목표 기지국으로부터 트랜잭션 응답을 수신하고, 상기 트랜잭션 응답을 상기 단말로 전달하고, 상기 단말과 함께 상기 트랜젝션 응답을 이용하여 세션 키를 계산하는 것을 포함한다.
바람직하게는, 상기 트랜잭션 요청은 상기 단말에 의해 선택된 트랜잭션 식별자, 단말 ID, 미등록 기지국 ID, 목표 기지국 ID, 그리고 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함한다.
바람직하게는, 상기 트랜잭션 식별자는 256 비트로 구성된다.
바람직하게는, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 단말과 목표 기지국에 의해 선택된 난스들 (nonces), 트랜잭션 식별자, 단말 ID, 미등록 기지국 ID, 그리고 목표 기지국 ID를 포함하도록 암호화된다.
바람직하게는, 상기 각 난스 (nonce)는 256 비트로 구성된다.
바람직하게는, 상기 트랜잭션 요청은 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호를 더욱 포함한다.
바람직하게는, 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호는 상기 미등록 기지국과 상기 목표 기지국에 의해 선택된 난스들, 상기 트랜잭션 식별자, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함한다.
바람직하게는, 상기 목표 기지국으로부터 트랜잭션 응답을 수신하는 단계는 상기 목표 기지국에서 세션 키를 계산하고, 상기 세션 키를 트랜잭션 응답과 함께 상기 미등록 기지국으로 전송하는 것을 포함한다.
바람직하게는, 상기 트랜잭션 응답은 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호와 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함한다.
바람직하게는, 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호는 상기 단말에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 한다.
바람직하게는, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 미등록 기지국에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 한다.
바람직하게는, 상기 트랜잭션 응답은 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함한다.
바람직하게는, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 미등록 기지국에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함한다.
바람직하게는, 상기 멀티-합 지원 인증을 수행하는 단계는 상기 멀티-합 기지국의 수가 1 보다 큰지를 판단하고, 만약 살기 멀티-합 기지국의 수가 1 보다 크지 않으면 신원 인증을 전송한 유일한 기지국을 목표 기지국으로 선택하고, 상기 목표 기지국이 상기 미등록 기지국과 공유하는 암호를 가지고 있는지 판단하고, 상기 목표 기지국이 상기 미등록 기지국과 공유하는 암호를 가지고 있는 경우 상기 목표 기지국으로부터 수신한 신원 응답을 기반으로 단말과 공유되는 세션 키를 생성하는 것을 포함한다.
바람직하게는, 상기 멀티-합 지원 인증을 수행하는 단계는, 만약 상기 멀티-합 기지국이 상기 미지정 기지국과 공유하는 암호를 가지고 있지 않은 경우, 상기 목표 기지국과 공유할 암호를 설정하는 것을 더욱 포함한다.
바람직하게는, 상기 멀티-합 지원 인증을 수행하는 단계는 상기 멀티-합 기지국의 수가 1보다 큰 경우 상기 신원 응답을 전송한 멀티 합 기지국들 중 상기 미지정 기지국과 암호를 공유하는 기지국이 있는지 판단하고, 상기 멀티 합 기지국들 중 상기 미지정 기지국과 암호를 공유하는 적어도 하나의 기지국이 있는 경우 상기 미지정 기지국과 암호를 공유하고 있는 멀티-합 기지국들 중 하나를 목표 기지국으로 선택하는 것을 더욱 포함한다.
바람직하게는, 상기 멀티-합 지원 인증을 수행하는 단계는 상기 미등록 기지국과 암호를 공유하는 멀티-합 기지국이 없을 경우 상기 멀티-합 기지국들 중 가장 가까이 위치한 기지국을 목표 기지국으로 선택하는 더욱 포함 한다.
이하, 본 발명의 바람직한 실시예에 따른 인증 방법을 첨부된 도면을 참조하여 상세히 설명한다. 본 발명을 설명함에 있어서, 잘 알려진 기능이나 구성에 대해서는 본 발명의 취지를 흐리지 않도록 설명을 생략하기로 한다.
도 2는 본 발명의 일 실시예에 따른 무선 분산 시스템을 도시한 계략도 이다. 도 2에서 보는 바와 같이, 본 발명의 일 실시예에 따른 무선 부산 시스템은 4개의 기지국 (221, 222, 223, 224)으로 구성되며, 단말들 (211, 212)은 초기 등록 시 각각 가장 가까운 기지국 (211, 222)에 등록된다. 다시 말해, 각 기지국이 인증 장치의 역할을 함으로써 인증 기능이 기지국들로 분산된다.
도 2에서와 같이 구성된 무선 분산 시스템에서 두 가지 상황을 고려할 수 있 다. 첫 째는 단말이 공유된 암호 또는 일반 인증 기관으로부터 얻은 공개 키인 보안 연결을 공유하는 기지국과 연결을 시도하는 경우이고, 두 번째는 단말이 안호를 공유하지 않는 기지국과 연결을 시도하는 경우이다. 전자의 경우 802.11i 프로토콜 (또는 다른 키 획득 프로토콜)과 확장 인증 프로토콜 (extensible authentication protocol: EAP)가 사용될 수 있다. 한편, 후자의 경우 802.11i 프로토콜과 함께 본 발명의 인증 방법을 사용할 수 있다.
공유 보안 연결이 배제된 인증 절차
단말이 자신과 암호를 공유하지 않는 기지국과 연결을 시도할 경우, 기지국은 무선 분산 시스템 내의 암호를 공유하는 기지국을 확인하기 위해 단말의 신원(identification)을 방송한다. 만약 암호를 공유하는 기지국이 발견되지 않을 경우, 단말은 인증 받을 수 없다. 이 한편, 암호를 공유하는 기지국이 발견되는 경우, 상기 기지국은 한 합, 즉, 이웃 (neighbor)이거나 또는 그 이상 떨어져 있을 수 있다. 본 실시예에 따른 인증 방법에서는 상기 인증 기지국이 인증 요청 기지국으로부터 1 합 거리에 있는 이웃 지원 인증(neighbor-supported authentication) 과 인증 기지국이 1합 이상 멀리 떨어져 있는 멀티-합 지원 인증(multi-hop-supported authentication)의 두 가지 경우를 설명할 것이다.
이웃 지원 인증(Neighbor-Supported Authentication)
도 3은 본 발명의 일 실시예에 따른 이웃 지원 인증을 설명하기 위한 개략도이다.
도 3에서 보는 바와 같이, 인증을 수행할 기지국 (321)이 단말 (310)의 인증 을 위해 이웃 기지국 (322)을 찾는다.
상기 이웃 기지국 (322)이 상기 단말 (310)과 암호를 공유하고 상기 단말 (321)이 상기 이웃 기지국 (322)과 암호를 공유할 경우, 단말 (310)을 인증하고, 상기 기지국 (321)과 단말 (310) 간의 신규 암호를 얻기 위해 EAP를 이용하는 개량 Otway-Reese 프로토콜이 사용될 수 있다.
도 4는 본 발명의 일 실시예에 따른 이웃 지원 인증을 설명하기 위한 메시지 흐름도 이다.
도 4를 참조하면, 단말(MS)로부터 EAP-START 메시지를 수신하며 (S401) 중계 기능을 하는 중계 기지국(BSR)은 상기 MS 에 EAP-REQUEST-IDENTITY 메시지를 전송한다 (S402). 상기 EAP-REQUEST-IDENTITY 메시지를 수신하면, 이에 대한 응답으로 상기 MS는 EAP-RESPONSE-IDENTITY 메시지를 상기 BSR로 전송한다 (S403).
상기 EAP-RESPONSE-IDENTITY 메시지를 수신하며, 상기 BSR은 상기 MS가 이전에 등록되어 암호를 공유하고 있는 목표 기지국 (BST) 을 찾기 위해 자신이 속해 있는 무선 분산 시스템(wireless distribution system: WDS)으로 Identity Request 메시지를 멀티 캐스트 한다 (S404).
일단 상기 Identity Request 메시지를 받으면, 상기 BST 는 BST 자신과 MS 가 공유하는 암호화된 키
Figure 112006032221965-PAT00001
와 BST 자신과 BSR 이 공유하는 암호화된 키
Figure 112006032221965-PAT00002
를 포함하는 Identity Response 메시지 전송한다 (S405). 여기서 E는 ACS-CCE 암호 (encryption), K는 BST에 의해 생성된 세션 키, 그리고 NT 는 상기 BST에 의해 선택된 256 비트의 난스(nonce)이다.
Identity Response 메시지 수신 후, 상기 BSR은 Identity Report 메시지를 상기 MS에 전송한다(S406). 상기 Identity Report 메시지는 상기 BST 의 ID와 상기 BST 와 MS에 의해 공유되는 암호 키
Figure 112006032221965-PAT00003
를 포함한다.
계속해서, 상기 MS는 상기 MS에 의해 선택된 트랜잭션 식별자 (transaction identifier), MS ID, BSR ID, BST ID, 및 암호키
Figure 112006032221965-PAT00004
를 포함하는 트래잭션 요청 (Transaction Request) 메시지를 BST로 전송한다(S407). 상기 BSR 은 상기 Transaction Request 메시지를 BSR 과 BST 이 공유하는 암호 키
Figure 112006032221965-PAT00005
와 함께 BST로 전송한다(S408). 상기Transaction Request 메시지를 수신하면, 상기 BST 는 연산식 k=TLS-PRF(M,NMS, NT, NR)에 따라 세션키 k를 계산하고, 암호키
Figure 112006032221965-PAT00006
Figure 112006032221965-PAT00007
를 포함하는 트랙젝션 응답 메시지를 BSR로 전송한다(S409). 상기 만을 포함하는Transaction Response 메시지를 MS로 전달한다 (S410). 마지막으로, 상기 BSR와 MS 는 상기 연 산식 k= TLS-PRF(M, NMS, NT, NR) 에 따라 세션 키 k 를 구한다
상기 절차가 완료되면, 상기 BSR과 MS는 상기 BSR과 MS이 상기 세션 키를 알고 있음을 확인하기 위해 IEEE 802.11i 기반의 4 웨이 핸드쉐이크 협상을 수행한다.
만약, 하나 이상의 BS가 BSR에 응답할 경우, 상기 BSR은 BST,를 선택하기 위한 알고리즘을 이용할 수 도 있다.
멀티-합 지원 인증(Multi-hop-supported authentication)
도 5는 본 발명의 일 실시예에 따른 멀티-합 지원 인증을 설명하기 위한 개략도이다.
도 5에서 보는 바와 같이, 인증을 지원할 목표 기지국 BST (522) 이 인증을 수행할 기지국 BSR (521)으로부터 1 합 보다 멀리 떨어져 있다.
인증을 지원할 기지국 BST이 인증을 수행할 기지국 BSR 로부터 1 합 이상 떨어져 있을 경우, 상기 BST 와 the BSR 사이에는 상기 BSR (521) 과 MS (510) 사이의 신규 암호를 획득하기 위해 암호
Figure 112006032221965-PAT00008
이 개설되어야 한다. 상기한 이웃 지원 인증에서와 마찬가지로, MS 와 BST 는 반드시 암호
Figure 112006032221965-PAT00009
를 공유해야만 한다.
이와 같은 두 선행 조건이 만족 된다면, 멀티-합 지원 인증 알고리즘은 이웃 지원 인증 알고리즘처럼 확실하게 동작한다. 만약 상기 두 가지 선행 조건이 만족 되지 않으면, 멀티-합 지원 인증은 적절한 EAP 실패 메시지와 함께 실패하고 말 것이다.
BSR 이 인증을 요청하는 MS와 암호를 공유하고 있지 않을 경우, 상기 BSR 는 단말의 신원을 합-카운터와 함께 이웃 기지국들로 방송해야 한다. 각 이웃 기지국은 차례로 상기 합-카운터의 값을 1 만큼 줄이고 다시 이웃 기지국들로 전달한다. 만약 무선 분산 시스템의 일원인 기지국이 상기 메시지의 두 번째 사본을 받으면 해당 기지국은 상기 메시지를 폐기한다.
상기 MS와 암호를 공유하는 BS 가 상기 방송 메시지를 수신하면, 상기 BS는 상기 인증을 수행할 기지국 BSR 에 응답해야만 한다. 만약 상기 BSR 이 방송한 메시지에 대한 응답을 받으면 이미 암호를 공유하고 있는 BS를 인증을 지원할 기지국 BST로 선택한다. 반면, 응답한 BS들 중에 자신과 암호를 공유하는 BS가 없을 경우, 상기 BSR 은 방송 메시지에 대해 응답한 가장 가까운 BS를 인증을 지원할 기지국 BST로 선택하고 단말에 응답하기 전에 상기 BST와 공유할 암호를 생성한다.
상기 MS가 상기 일부 BST 가 BSR과 암호를 공유하는 것을 확인한 경우, 그 결과를 저장하여 멀티 캐스트가 아닌 유니케스트로 용청 메시지를 전송한다. 만약 상기 BSR이 일부 단말들이 상기 단말과 암호를 공유하는 것을 확인한 경우, 그 결과를 저장하고 다음 전송 시에 상기 BS들에 요청 메시지를 유니케스트 한다. 또한, 상기 BSR은 MS의 인증 결과를 저장할 수 있다. 상기 MS가 인증 결과를 가지는 BSR에 접속을 시도를 할 때, 상기 BSR은 일반적인 EAP 를 통해 직접 MS를 인증할 수 있다.
도 6은 본 발명의 일 실시예에 따른 분산 인증 방법을 설명하기 위한 순서도이다.
도 6을 참조하면, 일단 단말 (MS)로부터 EAP 개시 (EAP Start) 메시지를 수신하면 (S601), 인증을 수행할 기지국(BSR)은 EAP 요청 (EAP Request) 메시지를 상기 MS로 전송하고 (S602) 이에 대한 응답으로 상기 MS로부터 EAP 응답 (EAP Response) 메시지를 수신 한다 (S603). 상기 EAP Response 메시지를 수신하자 마자, 상기 BSR은 인증을 지원할 기지국 BST를 찾기 위해 무선 분산 시스템(Wireless Distribution System: WDS) 상에 신원 요청 (Identity Request) 메시지를 멀티캐스팅한다(S604). 상기 Identity Request 메시지를 멀티캐스팅 한 후, 상기 BSR은 신원 응답 (Identity Response) 메시지가 수신되는지 확인한다 (S605). 만약 미리 정해신 시간 내에 수신된 Identity Response 메시지가 수신되지 않으면 상기 BSR 은 상기 Identity Request 메시지를 재전송한다. 재전송은 미리 정해진 횟수 만큼 수행된다. 만약 적어도 하나의 BS로부터 Identity Response 메시지가 수신되면 상기 BSR 은 상기 Identity Response 메시지를 전송한 BS들 중 자신으로부터 1 합 만큼 거리에 있는 BS, 다시 말해 이웃 BS 가 있는지 판단한다(S606). 만약 이웃 BS가 존재하면, 상기 BSR 은 이웃 지원 인증 절차를 수행 한다 (S60 7). 반면 이웃 BS가 존재하지 않을 경우, 상기 BSR 은 멀티-합 인증 절차를 수행한다(S608).
도 7은 도 6의 이웃 지원 인증 절차를 더욱 상세히 설명하기 위한 순서도이다.
도 7을 참조하면, 이웃 지원 인증 절차로 진입하면 상기 BSR은 상기 Identity Response 메시지를 전송한 이웃 BS들의 수 NN 를 파악하고 NN 값이 1보다 큰지를 판단한다(S701). 만약 NN 이 1보다 크면, 상기 BSR은 상기 BS들 중 하나를 BST 로 선택한다(S702). BST를 선택하는 것은 여러가지 선택 알고리즘을 이용하여 가능하다. 일단 BST 가 선택되면, 상기 BSR은 상기 BST로부터 수신된 Identity Response 메시지를 MS로 전달한다(S703).
계속해서, 상기 BSR은 상기 MS로부터 트랜잭션 요청 (Transaction Request) 메시지를 수신한다 (S704). 상기 Transaction Request 메시지는 MS에 의해 선택된 256 비트 길이의 트랜잭션 식별자(transaction identifier), MS ID, BSR ID, BST ID, 그리고 인증을 지원할 기지국 BST와 MS 사이의 암호키
Figure 112006032221965-PAT00010
를 포함한다. 상기 BSR은 계속해서 상기 MS로부터 수신한 Transaction Request 메시지를 상기 BST에 전달한다(S705). 상기 BST로 전달된 Transaction Request 메시지에는 상기 BSR 와 BST 간의 암호키
Figure 112006032221965-PAT00011
가 더욱 포함된다.
상기 Transaction Request 메시지를 수신하면, 상기 BST 는 미리 정해진 연산식 k=TLS-PRF(M,NMS, NT, NR)을 통해 세션 키 k를 연산하여, 암호키
Figure 112006032221965-PAT00012
Figure 112006032221965-PAT00013
를 포함하는 Transaction Response 메시지를 전송하고 따라서 BSR은 Transaction Response 메시지를 수신하고 (S706) 수신된 Transaction Response 메시지를 MS로 전달한다(S707). 상기 Transaction Response 메시지를 전송한 후, 상기 BSR은 세션 키를 연산한다 (S708). 상기 세션 키 k= TLS-PRF(M, NMS, NT, NR)는 BSR 와 MS에 의해 동일하게 구해진다.
도 8은 도 6의 멀티-합 지원 인증 절차를 더욱 상세히 설명하기 위한 순서도이다.
도 8을 참조하면, 멀티-합 지원 인증 절차로 진입하면, 상기 BSR은 상기 Identity Response 메시지를 전송한 멀티-합 BS들의 수 NM 를 파악하고 NM 값이 1보다 큰지를 판단한다(S801). 만약 NM 값이 1 보다 크면, 상기 BSR은 상기 Identity Response 메시지를 전송한 멀티-합 BS들 중 자신과 암호를 공유하는 BS가 있는지 판단한다(S802). 만약 BSR과 암호를 공유하고 있는 BS가 있으면 BSR은 해당 BS를 BST로 선택하고 상기 BST로부터 수신된 Identity Response 메시지를 MS로 전달한다(S806). 상기 암호를 공유하는 BS의 수가 1보다 큰 경우 BSR은 합 카운터 (Hop counter) 같은 선택 매개변수를 이용해 해당 BS 들 중 하나를 BST 로 선택할 수 있다.
만약 S802 단계에서 상기 BSR과 암호를 공유하는 BS가 없는 경우, 상기 BSR은 상기 Identity Response 메시지를 전송한 BS 들 중 가장 가까운 BS를 BST로 선택하고 (S803) 선택된 BST와 공유할 암호를 설정한다 (S805). 상기 암호가 설정된 후, 상기 BSR은 상기 BST 로부터 수신된 Identity Response 메시지를 상기 MS로 전 달한다 (S806).
만약 S801 단계에서 NM의 값이 1보다 크지 않으면, 상기 BSR 은 상기 Identity Response 메시지를 전송한 유일한 BS를 BST 로 선택하고(S815) BST 가 자신과 암호를 공유하고 있는지 판단한다 (S816). 만약 상기 BST가 BSR 와 공유하는 암호가 있는 경우, 상기 BSR 은 상기 BST 로부터 수신된 Identity Response 메시지를 상기 MS로 전달한다(S806).
반면, 상기 BST가 BSR 과 공유하는 암호를 가지고 있지 않은 경우 상기 the BSR은 상기 BST 와 먼저 공유할 암호를 설정하고 (S805) 상기 the BST로부터 수신한 Identity Response 메시지를 상기 MS로 전달한다 (S806).
상기 Identity Response 메시지를 전달한 후, 상기 BSR은 상기 MS로부터 트랜잭션 요청 (Transaction Request) 메시지를 수신한다 (S807). 상기Transaction Request 메시지는 MS에 의해 선택된 256 비트 길이의 트랜잭션 식별자 (transaction identifier), MS ID, BSR ID, BST ID, 그리고 인증을 지원할 기지국 BST와 MS 사이의 암호키
Figure 112006032221965-PAT00014
를 포함한다. 상기 BSR은 계속해서 상기 MS로부터 수신한 Transaction Request 메시지를 상기 BST에 전달한다(S808). 상기 BST로 전달된 Transaction Request 메시지에는 상기 BSR 와 BST 간의 암호키
Figure 112006032221965-PAT00015
가 더욱 포함된다.
상기 Transaction Request 메시지를 수신하면, 상기 BST 는 미리 정해진 연산식 k=TLS-PRF(M,NMS, NT, NR)을 통해 세션 키 k를 연산하여, 암호키
Figure 112006032221965-PAT00016
Figure 112006032221965-PAT00017
를 포함하는 Transaction Response 메시지를 전송하고 따라서 BSR은 Transaction Response 메시지를 수신하고 (S809) 수신된 Transaction Response 메시지를 MS로 전달한다(S801). 상기 Transaction Response 메시지를 전송한 후, 상기 BSR은 세션 키를 연산한다 (S811). 상기 세션 키 k= TLS-PRF(M, NMS, NT, NR)는 BSR 와 MS에 의해 동일하게 구해진다.
본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구의 범위뿐 만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
상기한 바와 같이, 본 발명의 분산 인증 방법은 인증 관리를 기지국들로 분산 시킴으로써 AAA 서버와 같은 중앙 관리 장치 없이도 단말에 대한 인증 절차를 용이하게 처리할 수 있다.
또한, 본 발명의 분산 인증 방법은 신규 기지국이 증설되거나 고립된 기지국 들이 하나의 무선 분산 시스템으로 병합되는 경우에도 인증 절차가 AAA 서버 없이 수행되기 때문에 보완 수준의 열화 및 관리자의 추가적인 노동 부담 없이 쉽게 망을 확장할 수 있다.
더욱이, 본 발명의 분산 인증 방법은 중앙 관리 장치의 개입이 없는 단조로운 인증 절차를 가지기 때문에 기지국들 간의 하나의 공유 암호를 생성함으로써 고립된 시스템들을 하나의 무선 분산 시스템으로 용이하게 병합할 수 있다.

Claims (35)

  1. 단말들에 접속 서비스를 제공하는 적어도 하나의 기지국을 포함하는 무선 분산 시스템에 있어서,
    인증을 수행할 미등록 기지국이 상기 단말로부터 인증 요청을 받고;
    무선 분산 시스템 사에 상기 단말을 확인하기 위한 신원 요청을 멀티캐스팅하고;
    상기 신원 요청에 대한 응답으로 적어도 하나의 기지국으로부터 신원 응답을 수신하고;
    상기 수신된 신원 응답을 기반으로 상기 단말을 인증을 수행하는 인증 방법.
  2. 제 1항에 있어서, 상기 단말의 인증을 수행하는 단계는:
    상기 미등록 기지국으로부터 1 합 떨어져 있는 기지국들이 있는지 판단하고;
    적어도 하나의 1합 기지국이 있으면 이웃 지원 인증을 수행하는 것을 포함하는 인증 방법.
  3. 제 2항에 있어서, 상기 단말의 인증을 수행하는 단계는:
    1합 기지국이 없는 경우 2합 이상 떨어진 멀티-합 기지국들을 기반으로 한 멀티-합 지원 인증을 수행하는 것을 더욱 포함하는 인증 방법.
    <neighbor supported authentication>
  4. 제 2항에 있어서, 상기 이웃 지원 인증을 수행하는 단계는:
    1합 기지국의 수가 1보다 큰지를 판단하고;
    상기 1합 기지국의 수가 1보다 큰 경우 상기 1합 기지국들 중 하나를 인증을 지원할 목표 기지국으로 선택하고;
    상기 목표 기지국으로부터 수신된 신원 응답을 기반으로 상기 단말과 공유할 세션 키를 생성하는 것을 포함하는 인증 방법.
  5. 제 4항에 있어서, 상기 이웃 지원 인증을 수행하는 단계는:
    상기 1합 기지국의 수가 1보다 크지 않으면 하나의 1합 기지국을 목표 기지국으로 결정하는 것을 더욱 포함하는 인증 방법.
  6. 제 5항에 있어서, 상기 세션 키를 생성하는 단계는:
    상기 목표 기지국으로부터 수신된 신원 응답을 상기 단말로 전달하고;
    상기 신원 응답에 대해 상기 단말로부터 트랜잭션 요청을 수신하고;
    상기 트랜잭션 요청을 상기 목표 기지국으로 전달하고;
    상기 트랜잭션 요청에 대한 응답으로 상기 목표 기지국으로부터 트랜잭션 응답을 수신하고;
    상기 트랜잭션 응답을 상기 단말로 전달하고;
    상기 단말과 함께 상기 트랜젝션 응답을 이용하여 세션 키를 계산하는 것을 포함하는 인증 방법.
  7. 제 6항에 있어서, 상기 트랜잭션 요청은 상기 단말에 의해 선택된 트랜잭션 식별자, 단말 ID, 미등록 기지국 ID, 목표 기지국 ID, 그리고 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함하는 것을 특징으로 하는 인증 방법.
  8. 제 7항에 있어서, 상기 트랜잭션 식별자는 256 비트 길이인 것을 특징으로 하는 인증 방법.
  9. 제 7항에 있어서, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 단말과 목표 기지국에 의해 선택된 난스들 (nonces), 트랜잭션 식별자, 단말 ID, 미등록 기지국 ID, 그리고 목표 기지국 ID를 포함하도록 암호화된 것을 특징으로 하 는 인증 방법.
  10. 제 9항에 있어서, 상기 각 난스 (nonce)는 256 비트 길이인 것을 특징으로 하는 인증 방법.
  11. 제 7항에 있어서, 상기 트랜잭션 요청은 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호를 더욱 포함하는 것을 특징으로 하는 인증 방법.
  12. 제 11항에 있어서, 상기 목표 기지국과 상기 미등록 기지국이 공유하는 아뮤ㅗ는 상기 미등록 기지국과 상기 목표 기지국에 의해 선택된 난스들, 상기 트랜잭션 식별자, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 하는 인증 방법.
  13. 제 6항에 있어서, 상기 목표 기지국으로부터 트랜잭션 응답을 수신하는 단계는:
    상기 목표 기지국에서 세션 키를 계산하고;
    상기 세션키를 트랜잭션 응답과 함께 상기 미등록 기지국으로 전송하는 것을 포함하는 인증 방법.
  14. 제 13항에 있어서, 상기 트랜잭션 응답은 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호와 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함하는 것을 특징으로 하는 인증 방법.
  15. 제 14항에 있어서, 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호는 상기 단말에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 하는 인증 방법.
  16. 제 14항에 있어서, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 미등록 기지국에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 하는 인증 방법.
  17. 제 13항에 있어서, 상기 트랜잭션 응답은 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함하는 것을 특징으로 하는 인증 방법.
  18. 제 17항에 있어서, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 미등록 기지국에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하는 것을 특징으로 하는 인증 방법.
    <multi-hop-supported authentication>
  19. 제 3항에 있어서, 상기 멀티-합 지원 인증을 수행하는 단계는:
    상기 멀티-합 기지국의 수가 1 보다 큰지를 판단하고;
    만약 살기 멀티-합 기지국의 수가 1 보다 크지 않으면 신원 인증을 전송한 유일한 기지국을 목표 기지국으로 선택하고;
    상기 목표 기지국이 상기 미등록 기지국과 공유하는 암호를 가지고 있는지 판단하고;
    상기 목표 기지국이 상기 미등록 기지국과 공유하는 암호를 가지고 있는 경우 상기 목표 기지국으로부터 수신한 신원 응답을 기반으로 단말과 공유되는 세션 키를 생성하는 것을 포함하는 인증 방법.
  20. 제 19항에 있어서, 상기 멀티-합 지원 인증을 수행하는 단계는:
    만약 상기 멀티-합 기지국이 상기 미지정 기지국과 공유하는 암호를 가지고 있지 않은 경우 상기 목표 기지국과 공유할 암호를 설정하는 것을 더욱 포함하는 인증 방법.
  21. 제 20항에 있어서, 상기 멀티-합 지원 인증을 수행하는 단계는:
    상기 멀티-합 기지국의 수가 1보다 큰 경우 상기 신원 응답을 전송한 멀티 합 기지국들 중 상기 미지정 기지국과 암호를 공유하는 기지국이 있는지 판단하고;
    상기 멀티 합 기지국들 중 상기 미지정 기지국과 암호를 공유하는 적어도 하나의 기지국이 있는 경우 상기 미지정 기지국과 암호를 공유하고 있는 멀티-합 기지국들 중 하나를 목표 기지국으로 선택하는 것을 더욱 포함하는 인증 방법.
  22. 제 21항에 있어서, 상기 멀티-합 지원 인증을 수행하는 단계는:
    상기 미등록 기지국과 암호를 공유하는 멀티-합 기지국이 없을 경우 상기 멀티-합 기지국들 중 가장 가까이 위치한 기지국을 목표 기지국으로 선택하는 것을 더욱 포함하는 인증 방법.
  23. 제 22항에 있어서, 상기 세션 키를 생성하는 단계는:
    상기 목표 기지국으로부터 수신된 신원 응답을 상기 단말로 전달하고;
    상기 신원 응답에 대해 상기 단말로부터 트랜잭션 요청을 수신하고;
    상기 트랜잭션 요청을 상기 목표 기지국으로 전달하고;
    상기 트랜잭션 요청에 대한 응답으로 상기 목표 기지국으로부터 트랜잭션 응답을 수신하고;
    상기 트랜잭션 응답을 상기 단말로 전달하고;
    상기 단말과 함께 상기 트랜젝션 응답을 이용하여 세션 키를 계산하는 것을 포함하는 인증 방법.
  24. 제 23항에 있어서, 상기 트랜잭션 요청은 상기 단말에 의해 선택된 트랜잭션 식별자, 단말 ID, 미등록 기지국 ID, 목표 기지국 ID, 그리고 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함하는 것을 특징으로 하는 인증 방법.
  25. 제 24항에 있어서, 상기 트랜잭션 식별자는 256 비트 길이인 것을 특징으로 하는 인증 방법.
  26. 제 24항에 있어서, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 단말과 목표 기지국에 의해 선택된 난스들 (nonces), 트랜잭션 식별자, 단말 ID, 미등록 기지국 ID, 그리고 목표 기지국 ID를 포함하도록 암호화된 것을 특징으로 하는 인증 방법.
  27. 제 26항에 있어서, 상기 각 난스 (nonce)는 256 비트 길이인 것을 특징으로 하는 인증 방법.
  28. 제 24항에 있어서, 상기 트랜잭션 요청은 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호를 더욱 포함하는 것을 특징으로 하는 인증 방법.
  29. 제 28항에 있어서, 상기 목표 기지국과 상기 미등록 기지국이 공유하는 아뮤ㅗ는 상기 미등록 기지국과 상기 목표 기지국에 의해 선택된 난스들, 상기 트랜잭션 식별자, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 하는 인증 방법.
  30. 제 23항에 있어서, 상기 목표 기지국으로부터 트랜잭션 응답을 수신하는 단계는:
    상기 목표 기지국에서 세션 키를 계산하고;
    상기 세션키를 트랜잭션 응답과 함께 상기 미등록 기지국으로 전송하는 것을 포함하는 인증 방법.
  31. 제 30항에 있어서, 상기 트랜잭션 응답은 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호와 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함하는 것을 특징으로 하는 인증 방법.
  32. 제 31항에 있어서, 상기 목표 기지국과 상기 미등록 기지국이 공유하는 암호는 상기 단말에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 하는 인증 방법.
  33. 제 31항에 있어서, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 미등록 기지국에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하도록 암호화된 것을 특징으로 하는 인증 방법.
  34. 제 30항에 있어서, 상기 트랜잭션 응답은 상기 목표 기지국과 상기 단말이 공유하는 암호를 포함하는 것을 특징으로 하는 인증 방법.
  35. 제 34항에 있어서, 상기 목표 기지국과 상기 단말이 공유하는 암호는 상기 미등록 기지국에 의해 선택된 난스, 목표 기지국 ID, 단말 ID, 그리고 미등록 기지국 ID를 포함하는 것을 특징으로 하는 인증 방법.
KR1020060041227A 2005-05-13 2006-05-08 무선 분산 시스템의 단말 인증 방법 KR101253352B1 (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
PCT/KR2006/001787 WO2006121307A1 (en) 2005-05-13 2006-05-12 Authentication method for wireless distributed system
US11/433,679 US7756510B2 (en) 2005-05-13 2006-05-12 Authentication method for wireless distributed system
JP2008509945A JP4824086B2 (ja) 2005-05-13 2006-05-12 無線分散システムの認証方法
CN2006800165065A CN101189826B (zh) 2005-05-13 2006-05-12 用于无线分布式系统的认证方法
EP06009984.3A EP1722589B1 (en) 2005-05-13 2006-05-15 Authentication method for wireless distributed system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US68058405P 2005-05-13 2005-05-13
US60/680,584 2005-05-13

Publications (2)

Publication Number Publication Date
KR20060117205A true KR20060117205A (ko) 2006-11-16
KR101253352B1 KR101253352B1 (ko) 2013-04-11

Family

ID=37704840

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060041227A KR101253352B1 (ko) 2005-05-13 2006-05-08 무선 분산 시스템의 단말 인증 방법

Country Status (4)

Country Link
US (1) US7756510B2 (ko)
JP (1) JP4824086B2 (ko)
KR (1) KR101253352B1 (ko)
CN (1) CN101189826B (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100819056B1 (ko) 2006-12-08 2008-04-02 한국전자통신연구원 광대역 무선 접속 시스템에서 초기 접속 방법

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1775976B1 (en) * 2005-10-13 2010-03-17 Mitsubishi Electric R&D Centre Europe B.V. Method for enabling a base station to connect to a wireless telecommunication network
CN100591011C (zh) * 2006-08-31 2010-02-17 华为技术有限公司 一种认证方法及系统
US8638668B2 (en) * 2007-04-03 2014-01-28 Qualcomm Incorporated Signaling in a cluster
US8711768B2 (en) * 2008-01-16 2014-04-29 Qualcomm Incorporated Serving base station selection based on backhaul capability
KR101572267B1 (ko) * 2009-06-25 2015-11-26 삼성전자주식회사 센서 네트워크에서 노드와 싱크간의 상호 인증 시스템 및 방법
KR101683286B1 (ko) * 2009-11-25 2016-12-06 삼성전자주식회사 이동통신망을 이용한 싱크 인증 시스템 및 방법
US8443435B1 (en) * 2010-12-02 2013-05-14 Juniper Networks, Inc. VPN resource connectivity in large-scale enterprise networks
US8856290B2 (en) * 2011-10-24 2014-10-07 General Instrument Corporation Method and apparatus for exchanging configuration information in a wireless local area network
US9608962B1 (en) 2013-07-09 2017-03-28 Pulse Secure, Llc Application-aware connection for network access client
IL229153B (en) 2013-10-30 2019-02-28 Verint Systems Ltd Systems and methods for protocol-based identification of rogue base stations
US11152052B1 (en) 2020-06-03 2021-10-19 Micron Technology, Inc. Apparatuses, systems, and methods for fuse array based device identification
US11188637B1 (en) * 2020-06-28 2021-11-30 Mark Lawson Systems and methods for link device authentication

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5550896A (en) * 1994-06-30 1996-08-27 Lucent Technologies Inc. Authentication hierarchical structure of switching nodes for storage of authentication information
US7486952B1 (en) 2000-02-09 2009-02-03 Alcatel-Lucent Usa Inc. Facilitated security for handoff in wireless communications
US20020174335A1 (en) * 2001-03-30 2002-11-21 Junbiao Zhang IP-based AAA scheme for wireless LAN virtual operators
JP2003348072A (ja) * 2002-05-30 2003-12-05 Hitachi Ltd 自律分散網における暗号鍵の管理方法および装置
US7373508B1 (en) * 2002-06-04 2008-05-13 Cisco Technology, Inc. Wireless security system and method
KR100549918B1 (ko) * 2002-09-28 2006-02-06 주식회사 케이티 공중 무선랜 서비스를 위한 무선랜 접속장치간 로밍서비스 방법
US7346772B2 (en) * 2002-11-15 2008-03-18 Cisco Technology, Inc. Method for fast, secure 802.11 re-association without additional authentication, accounting and authorization infrastructure
AU2003286013A1 (en) * 2002-11-18 2004-06-15 Hipaat Inc. A method and system for access control
US7350077B2 (en) * 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
CN1172489C (zh) * 2003-01-28 2004-10-20 北京朗通环球科技有限公司 基于网络之间的数据通信系统及方法
US20060029074A2 (en) * 2004-02-09 2006-02-09 Packethop, Inc. ENHANCED MULTICASE FORWARDING CACHE (eMFC)
JP2005286989A (ja) * 2004-03-02 2005-10-13 Ntt Docomo Inc 通信端末及びアドホックネットワーク経路制御方法
US8050409B2 (en) * 2004-04-02 2011-11-01 University Of Cincinnati Threshold and identity-based key management and authentication for wireless ad hoc networks
US7451316B2 (en) * 2004-07-15 2008-11-11 Cisco Technology, Inc. Method and system for pre-authentication
US7477747B2 (en) * 2005-02-04 2009-01-13 Cisco Technology, Inc. Method and system for inter-subnet pre-authentication
US7814322B2 (en) * 2005-05-03 2010-10-12 Sri International Discovery and authentication scheme for wireless mesh networks

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100819056B1 (ko) 2006-12-08 2008-04-02 한국전자통신연구원 광대역 무선 접속 시스템에서 초기 접속 방법

Also Published As

Publication number Publication date
JP4824086B2 (ja) 2011-11-24
KR101253352B1 (ko) 2013-04-11
JP2008547245A (ja) 2008-12-25
CN101189826B (zh) 2011-11-16
CN101189826A (zh) 2008-05-28
US7756510B2 (en) 2010-07-13
US20060276176A1 (en) 2006-12-07

Similar Documents

Publication Publication Date Title
KR101253352B1 (ko) 무선 분산 시스템의 단말 인증 방법
KR100759489B1 (ko) 이동통신망에서 공개키 기반구조를 이용한 아이피보안터널의 보안 방법 및 장치
CN1764107B (zh) 在建立对等安全上下文时验证移动网络节点的方法
US7760885B2 (en) Method of distributing encryption keys among nodes in mobile ad hoc network and network device using the same
US7792527B2 (en) Wireless network handoff key
US7734280B2 (en) Method and apparatus for authentication of mobile devices
KR101049021B1 (ko) 애드 혹 무선 네트워크의 노드들 간의 보안 연계 확립 방법 및 장치
US8559633B2 (en) Method and device for generating local interface key
EP1842319B1 (en) User authentication and authorisation in a communications system
WO2017185999A1 (zh) 密钥分发、认证方法,装置及系统
US8423772B2 (en) Multi-hop wireless network system and authentication method thereof
US20040236939A1 (en) Wireless network handoff key
EP1933498B1 (en) Method, system and device for negotiating about cipher key shared by ue and external equipment
US20030084287A1 (en) System and method for upper layer roaming authentication
WO2008009238A1 (fr) Procédé et système destinés à générer et à distribuer une clé ip mobile
KR20120091635A (ko) 통신 시스템에서 인증 방법 및 장치
WO2008006312A1 (en) A realizing method for push service of gaa and a device
KR20150051568A (ko) 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템
JP2016501488A (ja) Ueのmtcグループに対するブロードキャストにおけるグループ認証
KR20150084628A (ko) 이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템
US20090196424A1 (en) Method for security handling in a wireless access system supporting multicast broadcast services
JP2024507208A (ja) セルラネットワークを動作させるための方法
EP1722589B1 (en) Authentication method for wireless distributed system
CN116918300A (zh) 用于操作蜂窝网络的方法
Sivakumar Analysis of Ad-Hoc Network Security using Zero knowledge Proof and Wi-Fi Protected Access 2

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160322

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180321

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190319

Year of fee payment: 7