KR20080090733A - 다중 홉 기반의 광대역 무선통신 시스템에서 보안연결 방법및 시스템 - Google Patents

다중 홉 기반의 광대역 무선통신 시스템에서 보안연결 방법및 시스템 Download PDF

Info

Publication number
KR20080090733A
KR20080090733A KR1020070033915A KR20070033915A KR20080090733A KR 20080090733 A KR20080090733 A KR 20080090733A KR 1020070033915 A KR1020070033915 A KR 1020070033915A KR 20070033915 A KR20070033915 A KR 20070033915A KR 20080090733 A KR20080090733 A KR 20080090733A
Authority
KR
South Korea
Prior art keywords
key
cmac
hmac
base station
repeater
Prior art date
Application number
KR1020070033915A
Other languages
English (en)
Inventor
세렌에브 세르게이
임형규
손중제
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020070033915A priority Critical patent/KR20080090733A/ko
Publication of KR20080090733A publication Critical patent/KR20080090733A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Abstract

본 발명은 광대역 무선통신 시스템에서 방법 및 시스템에 관한 것으로, 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 보안 연결(Security Association: SA)을 수행하기 위한 방법에 있어서, 다중 홉을 구성하는 각각의 중계기들과 기지국 사이의 링크를 설정하는 과정과, 상기 중계기들 중 상기 기지국에 가장 가까운 중계기를 중심으로 중계기들을 순차적으로 정렬하여 SA 순서를 결정하는 과정과, 상기 결정된 순서에 따라 상기 SA를 위한 키를 파생하는 과정을 포함하여, 엔티티(중계기)간 인증이 이루어져 엔티티간 전송되는 메시지에 무결성을 지원한다.
광대역 무선통신, 중계기, 다중 홉, PKM(Privacy Key Management), EAP(Extensible Authentication Protocol).

Description

다중 홉 기반의 광대역 무선통신 시스템에서 보안연결 방법 및 시스템{METHOD AND SYSTEM FOR SECURITY ASSOCIATION IN BROADBAND WIRELESS COMMUNICATION SYSTEM BASED ON MULTI-HOP}
도 1은 본 발명에 따른 키 파생 계층화(Key Derivation Hierarchy),
도 2 a는 본 발명의 실시 예에 따른 광대역 무선통신 시스템에서 다중 홉간 보안 연결(Security Association: SA)을 수행하는 예시도,
도 2 b는 본 발명의 실시 예에 따른 광대역 무선통신 시스템에서 다중 홉간 보안 연결 흐름도,
도 3은 본 발명의 실시 예에 따른 광대역 무선통신 시스템에서 제 1 중계기 인증(Authentication)과 인가(Authorization) 흐름도,
도 4는 본 발명의 실시 예에 따른 광대역 무선통신 시스템에서 제 2 중계기 인증과 인가 흐름도,
도 5는 본 발명의 실시 예에 따른 광대역 무선통신 시스템에서 제 1 중계기와 제 2 중계기 사이 SA 흐름도,
도 6은 본 발명의 실시 예에 따른 광대역 무선통신 시스템에서 SA을 수행하는 기지국 장치도,
도 7은 본 발명의 실시 예에 따른 광대역 무선통신 시스템에서 SA을 수행하는 중계기 장치도,
본 발명은 광대역 무선통신 시스템에서 인증 방법 및 시스템에 관한 것으로, 특히 다중 홉으로 구성되는 시스템에서 홉간 인증을 설정하는 방법 및 시스템에 관한 것이다.
광대역 무선통신 시스템은 음성뿐만 아니라 저속 및 고속의 다양한 데이터 서비스, 고화질 동영상 등의 멀티미디어 응용서비스를 통합 지원하기 위한 시스템이다. 이러한 광대역 무선통신 시스템은 2GHz, 5GHz, 26GHz, 그리고 60GHz 등의 광대역을 이용한 무선매체를 기반으로 이동 또는 고정 환경에서 PSTN 및 PSDN 망, 인터넷, IMT-2000망, ATM망 등을 접속할 수 있으며, 2Mbps급 이상의 채널 전송률을 지원할 수 있는 차세대 무선 통신 시스템을 통칭한다.
광대역 무선 접속 방식은 IEEE(Institute of Electrical and Electronics Engineers)의 LAN/MAN 표준 위원회인 IEEE 802에서 802.16 WG(Working Group)에서 10~66GHz 대역에서의 무선 MAN 서비스를 위한 IEEE Standard 802.16 무선 MANTM 표준화되었다. IEEE 802.16 규격의 무선 접속 방식은 수많은 가입자가 음성, 영상, 데이터 등의 전송을 위한 용량을 공유하면서 대역폭에 대한 가입자의 요구에 따라 채널이나 셀을 추가하여 대역폭을 바꿀 수 있다. 현재에는 802.16d와 802.16e의 표준화를 진행중이며, 상기 802.16d는 상기 작성된 802.16, 802.16a, 802.16b를 하나로 통합한 표준으로서, 고정 단말에 무선 인테넷 서비스의 제공을 목표로 하고, 802.16e는 고정 광대역 무선 접속 방식인 802.16d에 이동성을 부가하여 목표로 하는 표준이다.
한편, 광대역 무선 접속 시스템은 단말이 인터넷 서비스를 제공받기 위해 액세스 망의 인증 센터로부터 서비스를 제공받을 수 있는 정당한 단말인지를 인증받아야 한다. 이를 위해, 광대역 무선통신 시스템에서 보안 부계층(Security Sublayer)은 부채널에 비밀(privacy), 인증(authentication) 혹은 기밀(confidentiality)을 지원한다. 상기 보안 부계층은 IEEE 802.16 네트워크와 단말의 상호 인증(확장 가능 인증 프로토콜 (Extensible Authentication Protocol : 이하 “ EAP”라 칭함)), 키 관리(Key management)와 조건부 접근 제어(conditional access control)(PKM 프로토콜), 패킷 데이터의 암호화 순으로 진행된다.
기존 IEEE 802.16e에서, 단말과 기지국은 상호간 인증이 이루어진다. 단말에서 기지국으로, 그리고 기지국에서 단말로 전송되는 임의의 제어 메시지들은 인증되어 진다. 임의의 데이터 패킷은 인증되고 암호화된다.
다중 홉을 기반으로 하는 광대역 무선통신 시스템(예: IEEE 802.16j)에서, 다중 홉을 구성하는 중계기들은 데이터 트래픽을 생성하지 않는다. 따라서, 암호화 절차는 수행되지 않는다. 그러나, 중계기에 의해 전송되는 관리 메시지 들(management messages)은 인증과 무결성 보호가 이루어져야 하므로 인증 기능을 지원할 수 있어야 한다.
따라서, 다중 홉으로 기반하는 광대역 무선통신 시스템에서 종단간(end-to-end) 보안 및 홉간(hop-by-hop) 인증을 위한 장치 및 시스템이 필요하다.
따라서, 본 발명의 목적은 광대역 무선통신 시스템에서 인증 방법 및 시스템을 제공함에 있다.
본 발명의 다른 목적은 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 종단간 보안(end-to-end security)을 위한 방법 및 시스템을 제공함에 있다.
본 발명의 또 다른 목적은 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 홉간 인증(hop-by-hop authentication)을 위한 방법 및 시스템을 제공함에 있다.
본 발명의 또 다른 목적은 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 홉간 인증과 동시에 종단간 보안을 수행하는 방법 및 시스템을 제공함에 있다.
상기한 목적들을 달성하기 위한 본 발명의 제 1 견지에 따르면, 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 보안 연결(Security Association: SA)을 수행하기 위한 방법에 있어서, 다중 홉을 구성하는 각각의 중계기들과 기지국 사이의 링크를 설정하는 과정과, 상기 중계기들 중 상기 기지국에 가장 가까운 중 계기를 중심으로 중계기들을 순차적으로 정렬하여 SA 순서를 결정하는 과정과, 상기 결정된 순서에 따라 상기 SA를 위한 키를 파생하는 과정을 포함하는 것을 특징으로 한다.
상기한 목적들을 달성하기 위한 본 발명의 제 2 견지에 따르면, 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 보안 연결(Security Association: SA)을 수행하는 시스템에 있어서, 다중 홉을 구성하는 각각의 중계기들과 링크를 설정하는 기지국과, 상기 중계기들 중 상기 기지국에 가장 가까운 중계기를 중심으로 순차적으로 정렬되어 SA 순서가 결정된 후, 상기 결정된 순서에 따라 상기 SA를 위한 키를 파생하는 중계기들을 포함하는 것을 특징으로 한다.
상기한 목적들을 달성하기 위한 본 발명의 제 3 견지에 따르면, 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 각 중계기들 사이 키 파생을 위한 방법에 있어서, n 중계기가 키 요청(PKMv2 Key Request) 메시지를 기지국으로 전송하는 과정과, 상기 키 요청 메시지를 참조하여 CMAC_KEY_U2과 CMAC_KEY_D2 tod을 생성하는 과정과, 상기 생성한 CMAC_KEY_U2과 CMAC_KEY_D2 키를 포함하는 키 전송(PKMv2 Key Transfer) 메시지를 n-1 중계기로 전송하는 과정과, 상기 n-1 중계기가 상기 n 중계기로 키 확인(PKMv2 Key Ack) 메시지를 전송하는 과정을 포함하는 것을 특징으로 한다.
상기한 목적들을 달성하기 위한 본 발명의 제 4 견지에 따르면, 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 각 중계기들 사이 키 파생을 위한 시스 템에 있어서, n 중계기가 키 요청(PKMv2 Key Request) 메시지를 기지국으로 전송하는 과정과, 상기 키 요청 메시지를 참조하여 CMAC_KEY_U2과 CMAC_KEY_D2 을 생성하는 과정과,상기 생성한 CMAC_KEY_U2과 CMAC_KEY_D2 키를 포함하는 키 전송(PKMv2 Key Transfer) 메시지를 n-1 중계기로 전송하는 과정과, 상기 n-1 중계기가 상기 n 중계기로 키 확인(PKMv2 Key Ack) 메시지를 전송하는 과정을 포함하는 것을 특징으로 한다.
이하 본 발명의 바람직한 실시 예를 첨부된 도면을 참조와 함께 상세히 설명한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하, 본 발명은 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 홉간 인증과 동시에 종단간 보안을 수행하는 방법 및 시스템에 대해 설명하기로 한다. 여기서, 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 기존 IEEE 802.1e 보안 절차를 확장하여. 홉간 전송되는 제어메시지의 신뢰성(authenticity)과 무결성(integrity)을 지원하는 보안구조에 대해서 설명하기로 한다. 또한, 키 관리(key management) 절차는 PKMv2((Privacy and Key Management version 2)을 기반으로 한다. 추가로, 상기 PKMv2 메시지와 확장 키 계층화는 중계기와 기지국 사이 기존 보안연결(Security Association: 이하 "SA"라 칭함)을 기반하여 중계링크들에 대한 SA 부츠트래핑(bootstrapping)을 지원하기 위해 정의된다.
이하, 도 1 내지 도 7에서 설명되는 중계기는 다른 중계기와 기지국으로 유니 캐스트 제어 메시지를 전송할 수 있고, 기지국은 임의의 중계기로 유니 캐스트 제어 메시지를 보낼 수 있을 뿐만 아니라 중계기들로 방송 메시지를 전송할 수 있다고 가정한다.
도 1은 본 발명에 따른 키 파생 계층화(Key Derivation Hierarchy)를 도시하고 있다.
상기 도 1을 참조하면, 인증 절차시 발생하는 키(Key)들을 계층화하여 나타낸 것이다. 먼저, 기지국에 위치한 인증자 함수는 PKMv2 프로토콜을 통해 EAP Request\Identity 메시지를 전송함으써 EAP 프로토콜을 시작한다. 그때, 상기 EAP(Extensible Authentication Protocol) 프로토콜은 단말과 인증 서버(Authentication Server: 이하 "AS"라 칭함) 사이에 수행된다. 성공적 EAP 인증이 완료되면 단말, 기지국 그리고 인증 서버 사이 설정되는 MSK(Master Session Key)가 생성된다. 상기 MSK는 광대역 무선통신 시스템(예: IEEE 802.16e 표준) 보 안에 필요한 다른 키(예: PMK, AK 등등)를 파생하는데 사용된다. 모든 키들이 파생되면 상기 기지국은 권한키(Authorization Key: 이하 "AK"라 칭함)를 식별하기 위해 3 웨이 핸드쉐이크(3 Way-Handshake)를 시작한다. 그리고, 단말-기지국 사이의 SA 파라미터를 전송한다.
단말과 기지국은 다음에 말하는 키 파생 계층화(key derivation hierarchy)에 따라 Dot16KDF(Key Derivation function)을 사용하여 필요한 키를 파생한다. 상기 MSK로부터 파생된 PMK(Pairwise Master Key)는 AK을 파생하기 위해 사용되는 중간키다. 상기 AK는 단말과 기지국 사이 SA를 식별하는 중요한 키다. 상기 AK는 단말과 기지국 사이 전송되는 관리메시지의 권한을 위한 한 쌍의 HMAC(keyed-Hash Message Authentication Code) 키와 CMAC(Cipher-based Message Authentication Code) 키(상향링크와 하향링크 방향)를 파생하는데 사용된다. 상기 AK는 또한 기지국에서 단말로 전송되는 키 암호화 키(Key Encryption Key:이하 "KEK"라 칭함)를 파생하기 위해 사용된다. 여기서, 상기 HMAC 키와 상기 CMAC 키는 하기 <수학식 1>에 의해 생성된다.
CMAC_KEY_U | CMAC_KEY_D | KEK ⇒ Dot16KDF(AK, SS MAC Address | BSID |“CMAC_KEYS+KEK”, 384)
HMAC_KEY_U | HMAC_KEY_D | KEK ⇒ Dot16KDF(AK, SS MAC Address | BSID |“HMAC_KEYS+KEK”, 448)
여기서, 상기 Dot16KDF는 상기 CMAC_KEY_U과 HMAC_KEY_U, 상기 CMAC_KEY_D과 HMAC_KEY_D, 상기 KEK를 생성하는 함수를 나타내며, 상기 SS MAC Address는 상기 단말의 식별자를 나타내며, 상기 BSID는 상기 기지국의 식별자를 나타내며, 상기 AK는 PMK에 의해 파생된 키고, 상기 CMAC_KEYS+KEK은 CMAC를 생성하는 상기 Dot16KDF 함수의 파라미터고, HMAC_KEYS+KEK은 HMAC를 생성하는 상기 Dot16KDF 함수의 파라미터고, 상기 384와 448은 상기 Dot16KDF 함수에 의해 생성되는 키의 길이가 384비트, 448비트임을 나타낸다.
참고로, 광대역 무선 접속 시스템에서는 메시지 인증(Message Authentication Code : MAC) 방식을 사용한다. 상기 MAC 방식은 교환되는 메시지의 변경 여부(무결성)를 확인하기 위한 기술이다. 이러한 메시지 인증 방식의 기술들 중 HMAC(Hash-based Message Authentication Code))은 표준 암호 해시 알고리즘과 비공개 대칭 키[RFC2104]의 조합을 사용하는 키 기반 해싱 알고리즘으로서, 하나의 보안 패킷을 고유하게 식별한다. 여기서 해시 함수(hash function)는 임의 크기 입력 데이터(이를 메시지라 부름)를 다이제스트(hash 또는 다이제스트)라 부르는 고정 크기의 값으로 변환하는 함수이다. 메시지 송신측은 그 메시지의 헤시를 계산해 이를 메시지와 함께 전달한다. 그러면 수신측 역시 전달받은 메시지의 해시를 계산해 송신측이 보낸 해시와 비교하여 두 해시가 같으면 메시지가 위조 및 변조되지 않았음을 확신할 수 있다.
트래픽 암호화 키(Traffic Encryption Keys: 이하 "TEK"라 칭함)는 트래픽 암호화 및 인증하는 키로써, 기지국에 의해 랜덤하게 생성되고, PKMv2 Key Request\Reply 메시지에 의해 단말로 전송된다.
도 2a는 본 발명의 실시 예에 따른 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 SA을 수행하는 예를 것을 도시하고 있다.
상기 도 2a를 참조하면, SA는 해당 엔티티(RS-RS 혹은 RS-BS) 사이 보안연결로써 상기 SA들은 각 BS와 RS 한 쌍, 그리고 한 홉에 대한 RS 한 쌍으로 존재한다. 예를 들면, RS3-RS2, RS2-RS1, RS1-BS, RS3-BS, RS2-BS 연결에 대한 SA(SA1~SA5)들이 수행된다. 여기서, 상기 SA는 크게 BS-RS간 SA와 RS-RS간 SA가 있다.
상기 BS-RS SA는 중계기와 기지국 사이(예: RS1-BS, RS2-BS, RS3-BS, 여기서 RS2-BS, RS3-BS은 논리적으로 직경로이지만 물리적으로 우회경로임) 제어메시지를 인증하기 위해 사용된다. 상기 BS-RS SA는 초기 네트워크 진입시 설정되고, 권한키(AK)을 기반으로 한다. 메시지 인증은 CMAC_KEY_U와 CMAC_KEY_D을 사용하는 CMAC 함수를 기반으로 한다. 여기서, 상기 CMAC_KEY_U와 상기 CMAC_KEY_D는 상기 <수학기 1>에 의해 생성된다(상기 <수학기 1> 참조). 상세한 설명은 하기 도 3 및 하기 도 4를 참조하기로 한다.
상기 RS-RS SA는 단일 홉 중계기들 사이(예: RS3-RS2, RS2-RS1) 제어메시지의 전송자를 인증하기 위해 사용된다. 상기 RS-RS SA는 무선링크에서 중계기의 무결성 보호를 위해 새롭게 정의된 연결이다. 상기 무결성은 승인받지 못한 중계기가 민감한 정보에 대한 수정(쓰기)을 막기 위한 보안 정책이다. 여기서도 상기 BS-RS SA에 사용하는 같은 CMAC 함수를 사용한다. 상세한 설명은 하기 도 5를 참조하기로 한다.
여기서, 중계기간(RS3-RS2 또는 RS2-RS1, RS) SA을 위한 키 파생을 위해 이용되는 키 재료(Key material)는 이전 SA를 기반으로 파생되어 그 이전 SA를 기반으로 분배된다. 예를 들면, SA3 키 재료는 SA2로부터 부츠트랩(bootstrap)되어 진다. 이때 상기 SA3 키 재료는 SA1를 사용하는 RS1으로 전송된다. 마찬가지로, SA5 키 재료는 SA4로부터 부츠트랩되어 진다. 이때 상기 SA5 키 재료는 SA3를 사용하는 RS2로 전송된다.
여기서, n 홉으로 확장하여 RSn 과 RSn +1을 고려할 경우, 여기서, n = {1…m} 은 중계기의 경로 위치를 나타낸다. n 홉을 구성하는 중계기들은 BS와 가장 가깝게 인접해 있는 RS1이 SA를 설정하도록 순차적으로 정렬된다. 여기서, RSn +1은 SA 키들 다양한 방법으로 생성될 수 있는데, 한 예로 CMAC_KEY_U 및 CMAC_KEY_D를 파생시켜 생성했던 동일 AK로부터 생성될 수 있는 HMAC_KEY_U와 HMAC_KEY_D로부터 추가로 파생시켜 생성할 수 있다. 이 파생 생성은 단순 절삭 (truncate) 이나 해싱 (hashing) 등 다양한 방법이 가능하다. 하기 <수학식 2>에서는 한 예로써 절삭을 통해 간단히 파생시켜 생성하는 방법을 설명한다.
HMAC_KEY_U | HMAC_KEY_D | KEK ⇒ Dot16KDF(AK, SS MAC Address | BSID |“HMAC_KEYS+KEK”, 448)
CMAC_KEY_U2 | CMAC_KEY_D2 ⇒ Truncate(HMAC_KEY_U | HMAC_KEY_D, 256).
여기서, 상기 Dot16KDF는 상기 HMAC_KEY_U, HMAC_KEY_D, 상기 KEK를 생성하 는 함수를 나타내며, 상기 SS MAC Address는 상기 단말의 식별자를 나타내며, 상기 BSID는 상기 기지국의 식별자를 나타내며, 상기 AK는 PMK에 의해 파생된 키고, 상기 HMAC_KEYS+KEK은 HMAC를 생성하는 상기 Dot16KDF 함수의 파라미터고, 상기 448은 상기 Dot16KDF 함수에 의해 생성되는 키의 길이가 448비트임을 나타내고, 상기 Truncate(ㆍ)은 CMAC_KEY_U2과 CMAC_KEY_D2를 생성하는 함수로 256비트 키를 생성한다. 즉, Dot16KDF 함수에 의해 생성된 HMAC_KEY_U와 HMAC_KEY_D을 이용하여 CMAC_KEY_U2와 CMAC_KEY_D2를 생성한다.
또한 RSn +1이 SA 키들을 생성하는 다른 한 예는 CMAC_KEY_U 및 CMAC_KEY_D를 파생시켜 생성했던 동일 AK로부터 바로 파생시켜 생성할 수 있다. 이때 Dot16KDF 뿐만 아니라 어떠한 키 파생 생성 함수라도 사용할 수 있으며 함수에 포함되는 파라미터 역시 어떠한 방식으로든 새로 정의될 수 있다. 결과적으로 각각 128비트의 두 개의 키인 CMAC_KEY_U2와 CMAC_KEY_D2를 생성해내기만 하면 된다.
이때, RSn + 1는 기지국이 CMAC_KEY_U2와 CMAC_KEY_D2 키를 생성하고 RSn으로 전송하도록 요청한다. 상기 기지국은 CMAC_KEY_U2와 CMAC_KEY_D2을 생성하고, 그것을 RSn+1과 같이 SA 사용하는 RSn으로 전송한다. 예를 들면, SA3을 위한 키 재료는 SA2로부터 부츠트랩(bootstrap)되어진다. RS2는 CMAC_KEY_U2와 CMAC_KEY_D2 키를 SA2를 사용하는 BS에 요청한다. 이때 상기 CMAC_KEY_U2와 상기 CMAC_KEY_D2 키는 상기 BS에서 SA1를 사용하는 RS1으로 전송된다.
도 2 b는 본 발명의 실시 예에 따른 광대역 무선통신 시스템에서 다중 홉간 보안 연결 흐름도를 나타내고 있다.
상기 도 2b를 참조하면, 광대역 무선통신 시스템은 201 단계에서 다중 홉을 구성하는 각각의 중계기들과 기지국 사이의 링크를 설정한다.
이후, 상기 광대역 무선통신 시스템은 203 단계에 상기 중계기들 중 상기 기지국에 가장 가까운 중계기를 중심으로 중계기들을 순차적으로 정렬하여 SA 순서를 결정한다.
이후, 상기 광대역 무선통신 시스템은 205 단계에서 상기 결정된 순서에 따라 상기 SA를 위한 키를 파생한다.
상기 도 2a를 참조하여 설명하면, RS1과 BS 사이 SA1(200), 상기 RS1의 중계를 통해 RS2와 BS 사이 SA2(202)가 수행된 후, RS1와 RS2 사이 SA3(204)가 수행된다. 이후, RS1과 RS2의 중계를 통해 RS3와 BS 사이 SA4(206)가 수행되고, 성공적으로 RS3와 BS 사이 SA4가 수행되면 RS3와 RS2 사이 SA5(208)가 수행된다. 이하 도 3에서 RS1과 BS 사이 상세한 SA1 흐름도, 이하 도 4에서 RS2와 BS 사이 상세한 SA2 흐름도, 이하 도 5에서 RS1와 RS2 사이 상세한 SA3 흐름도를 설명하기로 한다.
도 3은 본 발명의 실시 예에 따른 광대역 무선통신 시스템에서 제 1 중계기 인증(Authentication)과 인가(Authorization) 흐름도를 도시하고 있다. 상기 광대역 무선통신 시스템에서 PKMv2는 RSA 기반 인증방식과 EAP(Extensible Authentication Protocol) 기반 인증방식 중 상기 PKMv2 EAP 인증방식을 예를 들어 설명하기로 한다.
상기 도 3을 참조하면, RS1(300)는 BS(302)와 상향링크와 하향링크 동기 연결에 의해 부츠트랩(bootstrap)한 후. 상기 RS1(300)와 BS(302) 사이 링크 설정(Link Establishment)이 이루어진다.
상기 BS(302)는 링크가 활성화된 후, RS1에서 PKMv2 EAP-Start 메시지를 상기 BS(302)로 전송함으로써 인증을 시작하거나(도시하지 않음), 310 단계에서 상기 BS(302)에서 PKMv2 EAP Request/IDentity 메시지를 상기 RS1(300)으로 전송함으로써 인증을 시작할 수 있다. 재인증의 경우, 인증 허가 타이머 만료 전이나 패킷번호 고갈의 경우 상기 RS1(300) 에서 PKMv2 EAP-Start 메시지를 상기 BS(302)에 전송하여 재인증을 시작할 수 있다.
이후, 상기 RS1(300)은 312 단계에서 상기 BS(302)로부터의 상기 PKMv2 EAP Request/IDentity 메시지를 해석하여 PKMv2 EAP-Response/IDentity 메시지를 상기 BS(302)로 전송한다.
이후, 상기 BS(302)은 314 단계에서 상기 RS1(300)으로부터 전달된 상기 PKMv2 EAP-Response/IDentity 메시지를 이용하여 AS(304)와 EAP 프로토콜을 수행한다. 상기 EAP은 1998년 3월 IETF RFC 2284로 표준화된 프로토콜로서, 인증자와 신청자 간에 특정의 인증 메커니즘에 무관하게 관련 인증 메시지를 교환하기 위한 프로토콜이다. EAP 패킷의 종류는 요구(request), 응답(response), 성공(success), 실패(failure)의 네 가지 유형을 갖는다. 이 표준은 다양한 하부 인증 메커니즘을 수용하는 확장 가능한 인증 프로토콜이다. 구체적으로 확장 가능한 주요 EAP는 EAP-MD5, EAP-TLS, EAP-SRP, EAP-TTLS 등이다.
상기 RS1(300), 상기 BS(302), 그리고 상기 AS(304)사이 EAP 프로토콜이 성공적으로 실행되면, 316 단계에서 MSK가 생성된다.
이후, 상기 AS(304)는 318 단계에서 상기 MSK를 포함하는 EAP MSK Transfer 메시지를 상기 BS(302)으로 전송한다.
이후, 상기 BS(302)는 320 단계에서 상기 AS(304)로부터 상기 EAP MSK Transfer 메시지를 수신한 후, 상기 RS1(300)으로 EAP 접근 혹은 수락을 알리는 PKMv2 EAP Access/Accept 메시지를 전송한다.
이후, 상기 RS1(300)과 상기 BS(302)는 각각 쌍(pairwise)이 되는 키들(AK, KEK,HMAC, CMAC)을 파생하여, 322 단계에서 3 웨이 핸드쉐이크를 수행하여 상기 파생된 키들을 교환한다.
이후 본 발명의 키 인증 및 키 교환 알고리즘을 종료한다.
도 4는 본 발명의 실시 예에 따른 광대역 무선통신 시스템에서 제 2 중계기 인증(Authentication)과 인가(Authorization) 절차는 RS2(400)은 RS1(402)의 중계를 통해 BS(404), AS(406)와 PKMv2 EAP 인증을 수행한다는 점을 제외하고 상기 도 3과 비슷한 절차로 수행함으로 생략하기로 한다.
도 5a는 본 발명의 실시 예에 따른 광대역 무선통신 시스템에서 제 1 중계기와 제 2 중계기 사이 SA 흐름도로서 제 2 중계기가 시작하는 방식의 흐름도를 도시 하고 있다. 먼저, 홉간 SA를 수행하기 위해 상기 PKMv2 메시지(PKMv2 Key Transfer, PKMv2 Key Ack, PKMv2 Key Transfer Ack)를 하기 <표 1>과 새롭게 정의하기로 한다.
Code PKM message Type MAC Managementmessage name
31 PKMv2 Key Transfer PKM-RSP
32 PKMv2 Key Acknowledgement PKM-RSP
33 PKMv2 Key Transfer Ack PKM-RSP
34-255 Reserved
여기서, 예약된 코드 중 31 코드는 PKMv2 Key Transfer 메시지로 사용하고, 32 코드는 PKMv2 Key Acknowledgement 메시지로 사용하고, 33 코드는 PKMv2 Key Transfer Ack 메시지로 사용한다.
상기 도 5a를 참조하면, 먼저, 상기 RS2(500)는 506 단계에서 PKMv2 Key Request 메시지를 기지국으로 전송하여, RS2(500)-RS1(502) 중계구간의 SA를 위한 키를 요청한다.
이후, 상기 BS는 506 단계에서 RS2 권한된 Key Request의 수신으로, 기지국은 RS2 AK로부터 CMAC_KEY_U2 와 CMAC_KEY_D2 파생한다. 그리고 508 단계에서 이전 스테이션으로써 RS1으로 PKMv2 Key Transfer 메시지를 전송한다. Key Transfer는 RS2가 가지고 있는 키와 대응하는 CMAC_KEY_U2 와CMAC_KEY_D2 포함한다. 키들은 RS1의 KEK에 의해 암호화된다.
Attribute Contents
Key Sequence Number RS AK sequence number
RS CID RS’s Identifier
SAID Security association identifier
CMAC -Parameters CMAC_KEY_U2
CMAC -Parameters CMAC_KEY_D2
CMAC Digest Message Digest calculated using RS’s AK.
여기서, 상기 Key Sequence Number는 RS AK 시퀀스 번호이고, 상기 RS BCID는 중계기의 기본 CID( Basici Connection ID), 상기 SAID는 보안 연결 식별자, 상기 CMAC-Parameters는 중계국간 SA를 위한 CMAC_KEY_U2, CMAC_KEY_D2 키 값이고, 상기 CMAC Digest는 중계기의 AK을 사용하여 계산된 메시지 다이제스트이다.
이후, RS1은 510 단계에서 BS로부터 Key Transfer의 수신함으로, RS1은 510 단계에서 PKMv2 Key Acknowledgement 메시지를 RS2로 전송한다. 이 메시지는 Key Transfer 메시지 안에서 수신된 키에 의해 보호될 것이다. 따라서, RS2는 RS2와 RS1이 SA를 설정하도록 통보되어 질 것이다.
Attribute
Key Sequence Number RS AK sequence number
RS CID RS’s CID
SAID Security association identifier
CMAC Digest Message Digest calculated using CMAC_KEY_U2.
여기서, 상기 Key sequence Number는 중계기의 AK 시퀀스 번호이고, RS CID는 중계기의 CID, 상기 SAID는 보안 연결 식별자, 상기 CMAC Digest는 CMAC_KEY_U2을 사용하여 계산된 메시지 다이제스트이다.
상기 510단계와는 별도로 상기 RS1(502)은 514 단계에서 PKMv2 Key Transfer Ack 메시지를 상기 BS(504)로 전송할 수 있다. 여기서, 상기 PKMv2 Key Transfer Ack 메시지는 선택적으로 사용될 수 있으며, 이 메시지가 정의되지 않은 경우에는 상기 BS는 상기 RS2의 상기 PKMv2 Key Request와 같은 요청이 없는 경우에는 RS1-RS2 사이에 RS2에게 있다. 상기 PKMv2 Key Transfer Ack 메시지는 하기 <표 4>와 같다
Attribute
Key Sequence Number RS AK sequence number
RS CID RS’s CID
SAID Security association identifier
CMAC Digest Message Digest calculated using CMAC_KEY_U2.
여기서, 상기 Key sequence Number는 중계기의 AK 시퀀스 번호이고, RS CID는 중계기의 CID, 상기 SAID는 보안 연결 식별자, 상기 CMAC Digest는 CMAC_KEY_U2을 사용하여 계산된 메시지 다이제스트이다.
이후, 본 발명의 RS1-RS2 사이 SA를 종료한다.
도 5a는 본 발명의 또 실시 예에 따른 광대역 무선통신 시스템에서 제 1 중계기와 제 2 중계기 사이 SA 흐름도는 도 5a에서 506단계를 제외하여 기지국이 시작하는 방식의 흐름도를 생각할 수 있다. 이후 단계는 513, 509, 511 단계로 진행한다. 도 5 a의 경우와는 달리 기지국이 RS1-RS2 사이에 사용될 CMAC_KEY_U2와 CMAC_KEY_D2의 전송에 대한 관리를 담당하기 때문에 515단계의 PKMv2 Key Transfer Ack 메시지가 반드시 필요하다.
도 6은 본 발명의 실시 예에 따른 광대역 무선통신 시스템에서 인증을 수행하는 기지국 장치를 도시하고 있다.
상기 도 6을 참조하면, 본 발명에 따른 기지국은, RF처리기(601), ADC(603), OFDM복조기(605), 복호화기(607), 메시지 처리부(609), 제어부(611), 키 파생부부(613), 보안 연결부(615), 메시지 생성부(617), 부호화기(619), OFDM변조기(621), DAC(623), RF처리기(625), 스위치(627), 시간제어기(629)를 포함하여 구성된다.
먼저 시간제어기(629)는 프레임 동기에 근거해서 스위치(627)의 스위칭 동작을 제어한다. 예를 들어, 신호를 수신하는 구간이면, 상기 시간제어기(629)는 안테나와 수신단의 RF처리기(601)가 연결되도록 상기 스위치(627)를 제어하고, 신호를 송신하는 구간이면 상기 안테나와 송신단의 RF처리기(625)가 연결되도록 상기 스위치(627)를 제어한다.
수신 구간동안, 상기 RF처리기(601)는 안테나를 통해 수신되는 RF(Radio Frequency)신호를 기저대역 아날로그 신호로 변환한다. ADC(603)은 상기 RF처리기(601)로부터의 아날로그 신호를 샘플데이터로 변환하여 출력한다. OFDM복조기(605)는 상기 ADC(603)에서 출력되는 샘플데이터를 FFT(Fast Fourier Transform)하여 주파수 영역의 데이터를 출력한다. 복호화기(607)는 상기 OFDM복조기(605)로부터의 주파수 영역의 데이터에서 실제 수신하고자 하는 부반송파들의 데이터를 선택하고, 상기 선택된 데이터를 미리 정해진 변조수준(MCS레벨)에 따라 복조(demodulation) 및 복호(decoding)하여 출력한다.
메시지 처리부(609)는 상기 복호화기(607)로부터 입력되는 제어메시지를 분해하여 그 결과를 제어부(611)로 제공한다. 본 발명에 따라 상기 메시지 처리부(609)는 수신되는 보안 관련 제어메시지에서 각종 제어정보를 추출하여 상기 제어부(611)로 제공한다.
상기 제어부(611)는 상기 메시지 처리부(609)로부터의 정보들에 대한 해당 처리를 수행하고, 그 결과를 메시지 생성부(617)로 제공한다. 또한, 인증 키 및 암호화 키를 생성하는데 필요한 정보를 상기 키 파생부(613)으로 제공한다.
본 발명에 따른 상기 키 파생부(613)는 중계기와 기지국 사이와 중계기와 중계기 사이에 필요한 키들을 키 파생 계층화에 따라 Dot16KDF(Key Derivation function)을 사용하여 파생한다. 예를 들면, PKMv2 EAP 프로토콜을 통해 MSK를 파생하고, 상기 MSK로부터 PMK를 파생하고, 상기 PMK로부터 AK을 파생하고, 또한, 상기 AK는 중계기와 기지국 사이 전송되는 관리메시지의 권한을 위한 한 쌍의 HMAC 키와 CMAC 키를 파생한다. 상기 AK는 또한 기지국에서 중계기로 전송되는 KEK를 파생한다. 여기서, 파생한 키들은 상기 보안 연결부(615)로 출력한다.
상기 보안 연결부(615)는 상기 키 파생부(613)로부터의 키들과 상기 제어부(611)로부터 상기 키 파생부(613)와 쌍(pair)이 되는 키들을 제공받아, 인증 절차 및 키 교환 관리를 제어한다.
상기 메시지 생성부(617)는 상기 제어부(611)로부터 제공받은 각종 정보들을 가지고 메시지를 생성하여 물리계층의 부호화기(619)로 출력한다. 본 발명에 따라 상기 메시지 생성부(617)는 송신할 보안관련 관련 제어메시지를 생성하여 상기 부호화기(619)로 출력한다.
상기 부호화기(619)는 상기 메시지 생성부(615)로부터의 데이터를 미리 정해진 변조수준(MCS레벨)에 따라 부호 및 변조하여 출력한다. OFDM변조기(621)는 상기 부호화기(619)로부터의 데이터를 IFFT(Inverse Fast Fourier Transform)하여 샘플데이터(OFDM심볼)를 출력한다. DAC(623)는 상기 샘플데이터를 아날로그 신호로 변환하여 출력한다. RF처리기(625)는 상기 DAC(623)로부터의 아날로그 신호를 RF(Radio Frequency) 신호로 변환하여 안테나를 통해 송신한다.
상술한 구성에서, 상기 제어부(611)는 프로토콜 제어부로서, 상기 메시지 처리부(609), 상기 메시지 생성부(617), 상기 키 파생부(613) 및 보안 연결부(615)를 제어한다. 즉, 상기 제어부(611)는 상기 메시지 처리부(609), 상기 메시지 생성부(617) 상기 키 파생부(613) 및 보안 연결부(615)의 기능을 수행할 수 있다. 본 발명에서 이를 별도로 구성한 것은 각 기능들을 구별하여 설명하기 위함이다. 따라서, 실제로 구현하는 경우 이들 모두를 제어부(611)에서 처리하도록 구성할 수 있으며, 이들 중 일부만 상기 제어부(611)에서 처리하도록 구성할 수 있다.
그러면, 상기 도 6의 구성에 근거하여 기지국의 동작을 각각 살펴보기로 한다. 이하, MAC계층에서 수행되는 제어메시지 처리 위주로 살펴보기로 한다.
먼저, 기지국을 살펴보면, 상기 메시지 처리부(609)는 중계기 또는 단말로부터 수신되는 제어메시지를 분해하여 그 결과를 상기 제어부(611)로 제공한다. 본 발명에 따라 PKMv2 EAP Resp/ID 메시지, PKMv2 MSK transfer 메시지, 및 PKMv2 Key Request 메시지가 수신될 경우, 상기 수신된 메시지에 포함되어 있는 각종 제어정보를 추출하여 상기 제어부(611)로 제공한다. 그러면, 상기 제어부(619)는 상기 메시지 처리부(611)로부터의 제어정보에 따라 상기 키 파생부(613) 및 보안 연결부(615)를 제어한다.
상기 보안 연결부(615)는 상기 제어부(611)의 제어하에 SA에 필요한 통신절차를 수행하기 위한 정보를 생성하여 상기 제어부(611)로 제공한다. 예를 들어, 상기 상기 보안 연결부(615)는 중계기와의 SA 따라 인증 및 암호화를 수행하고, 파생된 키들을 3웨이 핸드쉐이크를 통해 교환하는 동작 등을 수행하고, 그 결과를 상기 제어부(611)로 제공한다.
상기 메시지 생성부(617)는 상기 제어부(611)의 제어 하에 중계기 혹은 단말에게 송신할 메시지를 생성하여 물리계층으로 전달한다. 본 발명에 따라 PKMv2 EAP Req/ID 메시지, PKMv2 EAP Access/Accept 메시지를 생성하여 물리계층의 부호화기(617)로 전달한다. 특히, 중계기 사이의 SA를 위해 CMAC_KEY_D2 및 CMAC_KEY_U2를 포함하는 PKMv2 Key Transfer 메시지를 생성하여 물리계층의 부호화기(617)로 전달한다. 상기 메시지 생성부(617)에서 생성된 메시지는 물리계층에서 전송 가능한 형태로 가공된 후 안테나를 통해 송신된다.
도 7은 본 발명의 실시 예에 따른 광대역 무선통신 시스템에서 인증을 수행하는 중계기 장치를 도시하고 있다.
상기 도 7을 참조하면, 본 발명에 따른 기지국은, RF처리기(701), ADC(703), OFDM복조기(705), 복호화기(707), 메시지 처리부(709), 제어부(711), 키 파생부부(713), 보안 연결부(715), 메시지 생성부(717), 부호화기(719), OFDM변조기(721), DAC(723), RF처리기(725), 스위치(727), 시간제어기(729)를 포함하여 구성된다.
여기서, 상기 중계기의 구성 요소는 상기 도 6의 기지국의 구성 요소와 유사함으로 상세한 설명을 생략하기로 한다. 상기 도 7의 구성에 근거하여 중계기의 동작 위주로 각각 살펴보기로 한다. 이하, MAC계층에서 수행되는 제어메시지 처리 위주로 살펴보기로 한다.
상기 메시지 처리부(709)는 상기 복호화기(707)로부터 입력되는 제어메시지를 분해하여 그 결과를 제어부(711)로 제공한다. 본 발명에 따라 상기 메시지 처리부(709)는 수신되는 보안 관련 제어메시지에서 각종 제어정보를 추출하여 상기 제어부(711)로 제공한다.
상기 제어부(711)는 상기 메시지 처리부(609)로부터의 정보들에 대한 해당 처리를 수행하고, 그 결과를 메시지 생성부(717)로 제공한다. 또한, 인증 키 및 암호화 키를 생성하는데 필요한 정보를 상기 키 파생부(713)로 제공한다.
본 발명에 따른 상기 키 파생부(713)는 중계기와 기지국 사이와 중계기와 중계기 사이에 필요한 키들을 키 파생 계층화에 따라 Dot16KDF(Key Derivation function)을 사용하여 파생한다. 예를 들면, PKMv2 EAP 프로토콜을 통해 MSK를 파생하고, 상기 MSK로부터 PMK를 파생하고, 상기 PMK로부터 AK을 파생하고, 또한, 상기 AK는 중계기와 기지국 사이 전송되는 관리메시지의 권한을 위한 한 쌍의 HMAC 키와 CMAC 키를 파생한다. 상기 AK는 또한 기지국에서 중계기로 전송되는 KEK를 파생한다. 여기서, 파생한 키들은 상기 보안 연결부(715)로 출력한다.
상기 보안 연결부(715)는 상기 키 파생부(713)로부터의 키들과 상기 제어부(711)로부터 상기 키 파생부(713)와 쌍(pair)이 되는 키들을 제공받아, 기지국과 인증 절차 및 키 교환 관리를 제어한다.
먼저, 중계기를 살펴보면, 상기 메시지 처리부(709)는 중계기 또는 단말로부터 수신되는 제어메시지를 분해하여 그 결과를 상기 제어부(711)로 제공한다. 본 발명에 따라 PKMv2 EAP Req/ID 메시지, PKMv2 EAP Access/Accept 메시지, 및 PKMv2 Key Transfer, PKMv2 Key Ack 메시지가 수신될 경우, 상기 수신된 메시지에 포함되어 있는 각종 제어정보를 추출하여 상기 제어부(711)로 제공한다. 그러면, 상기 제어부(719)는 상기 메시지 처리부(711)로부터의 제어정보에 따라 상기 키 파생부(713) 및 보안 연결부(715)를 제어한다.
상기 보안 연결부(615)는 상기 제어부(711)의 제어하에 SA에 필요한 통신절차를 수행하기 위한 정보를 생성하여 상기 제어부(711)로 제공한다. 예를 들어, 상기 상기 보안 연결부(715)는 중계기와의 SA 따라 인증 및 암호화를 수행하고, 파생된 키들을 3웨이 핸드쉐이크를 통해 교환하는 동작 등을 수행하고, 그 결과를 상기 제어부(611)로 제공한다.
상기 메시지 생성부(717)는 상기 제어부(711)의 제어 하에 중계기 혹은 단말에게 송신할 메시지를 생성하여 물리계층으로 전달한다. 본 발명에 따라 PKMv2 EAP Resp/ID 메시지, PKMv2 Key Request, PKMv2 Key Ack 메시지를 생성하여 물리계층의 부호화기(717)로 전달한다. 상기 메시지 생성부(717)에서 생성된 메시지는 물리계층에서 전송 가능한 형태로 가공된 후 안테나를 통해 송신된다.
상술한 구성에서, 상기 제어부(711)는 프로토콜 제어부로서, 상기 메시지 처리부(709), 상기 메시지 생성부(717), 상기 키 파생부(713) 및 보안 연결부(715)를 제어한다. 즉, 상기 제어부(711)는 상기 메시지 처리부(709), 상기 메시지 생성부(717) 상기 키 파생부(713) 및 보안 연결부(715)의 기능을 수행할 수 있다. 본 발명에서 이를 별도로 구성한 것은 각 기능들을 구별하여 설명하기 위함이다. 따라서, 실제로 구현하는 경우 이들 모두를 제어부(711)에서 처리하도록 구성할 수 있으며, 이들 중 일부만 상기 제어부(711)에서 처리하도록 구성할 수 있다.
한편 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
상술한 바와 같이, 다중 홉으로 기반하는 광대역 무선통신 시스템에서 종단간(end-to-end) 보안 및 홉간(hop-by-hop) 인증을 수행함으로써, 엔티티(예: 중계기)간 인증이 이루어져 엔티티간 전송되는 메시지에 무결성을 지원한다.

Claims (42)

  1. 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 보안 연결(Security Association: SA)을 수행하기 위한 방법에 있어서,
    다중 홉을 구성하는 각각의 중계기들과 기지국 사이의 링크를 설정하는 과정과,
    상기 중계기들 중 상기 기지국에 가장 가까운 중계기를 중심으로 중계기들을 순차적으로 정렬하여 SA 순서를 결정하는 과정과,
    상기 결정된 순서에 따라 상기 SA를 위한 키를 파생하는 과정을 포함하는 것을 특징으로 하는 방법.
  2. 제 1항에 있어서,
    상기 중 홉을 구성하는 각각의 중계기들과 기지국 사이 링크 설정은
    PKMv2(Privacy and Key Management version 2) EAP(Extensible Authentication Protocol)을 기반으로 수행되는 것을 특징으로 하는 방법.
  3. 제 1항에 있어서,
    상기 SA를 위한 키 파생 순서는
    상기 기지국과 더 가까이에 있는 n 중계기와 상기 기지국 사이에 SA 1을 위한 키가 파생되고, 상기 n 중계기 다음 n+1 중계기와 상기 기지국 사이 SA 2를 위한 키가 파생된 후, 상기 n 중계기와 상기 n+1 중계기 사이 SA 3을 위한 키가 파생되는 것을 특징으로 하는 방법.
  4. 제 3항에 있어서,
    상기 SA 3을 위한 키 재료(key material)는 상기 SA 2로부터 파생되어 상기 n 중계기로 분배되는 것을 특징으로 하는 방법.
  5. 제 3항에 있어서,
    상기 n+1 중계기와 n+2 중계기 사이 n 번째 SA을 위한 키 재료(key material)는 상기 n+2 중계기와 상기 기지국 사이 n-1 번째 SA로부터 파생되어, 상기 n+1 중계기로 분배되는 것을 특징으로 하는 방법.
  6. 제 1항에 있어서,
    상기 SA를 위한 키는 기지국과 중계기 사이 CMAC(Cipher-based Message Authentication Code)와 중계기간 CMAC인 것을 특징으로 하는 방법.
  7. 제 6항에 있어서,
    상기 기지국과 중계기간 CMAC 코드는 하기 <수학식 3>으로 계산되는 것을 특징으로 하는 방법.
    CMAC_KEY_U | CMAC_KEY_D | KEK ⇒ Dot16KDF(AK, SS MAC Address | BSID |“CMAC_KEYS+KEK”, 384)
    여기서, 상기 Dot16KDF는 상기 CMAC_KEY_U, 상기 CMAC_KEY_D, 상기 KEK를 생성하는 함수를 나타내며, 상기 SS MAC Address는 상기 단말의 식별자를 나타내며, 상기 BSID는 상기 기지국의 식별자를 나타내며, 상기 AK는 PMK에 의해 파생된 키고, 상기 CMAC_KEYS+KEK은 CMAC를 생성하는 상기 Dot16KDF 함수의 파라미터고, 상기 384는 상기 Dot16KDF 함수에 의해 생성되는 키의 길이가 384비트임을 나타냄.
  8. 제 6항에 있어서,
    상기 중계기간 CMAC 코드는 하기 <수학식 4>으로 계산되는 것을 특징으로 하는 방법.
    HMAC_KEY_U | HMAC_KEY_D | KEK ⇒ Dot16KDF(AK, SS MAC Address | BSID |“HMAC_KEYS+KEK”, 448)
    CMAC_KEY_U2 | CMAC_KEY_D2 ⇒ Truncate(HMAC_KEY_U | HMAC_KEY_D, 256).
    여기서, 상기 Dot16KDF는 상기 HMAC_KEY_U, HMAC_KEY_D, 상기 KEK를 생성하는 함수를 나타내며, 상기 SS MAC Address는 상기 단말의 식별자를 나타내며, 상기 BSID는 상기 기지국의 식별자를 나타내며, 상기 AK는 PMK에 의해 파생된 키고, 상기 HMAC_KEYS+KEK은 HMAC를 생성하는 상기 Dot16KDF 함수의 파라미터고, 상기 448은 상기 Dot16KDF 함수에 의해 생성되는 키의 길이가 448비트임을 나타내고, 상기 Truncate(ㆍ)은 CMAC_KEY_U2과 CMAC_KEY_D2를 생성하는 함수로 256비트 키를 생성함.
  9. 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 각 중계기들 사이 키 파생을 위한 방법에 있어서,
    n 중계기가 키 요청(PKMv2 Key Request) 메시지를 기지국으로 전송하는 과정과,
    상기 키 요청 메시지를 참조하여 CMAC_KEY_U2과 CMAC_KEY_D2 tod을 생성하는 과정과,
    상기 생성한 CMAC_KEY_U2과 CMAC_KEY_D2 키를 포함하는 키 전송(PKMv2 Key Transfer) 메시지를 n-1 중계기로 전송하는 과정과,
    상기 n-1 중계기가 상기 n 중계기로 키 확인(PKMv2 Key Ack) 메시지를 전송하는 과정을 포함하는 것을 특징으로 하는 방법.
  10. 제 9항에 있어서,
    상기 n-1 중계기가 상기 PKMv2 Key Transfer 메시지를 정상적으로 수신했음을 기지국에게 전송하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  11. 제 9항에 있어서,
    상기 CMAC_KEY_U2과 상기 CMAC_KEY_D2는 하기 <수학식 5>로 계산되는 것을 특징으로 하는 방법.
    HMAC_KEY_U | HMAC_KEY_D | KEK ⇒ Dot16KDF(AK, SS MAC Address | BSID |“HMAC_KEYS+KEK”, 448)
    CMAC_KEY_U2 | CMAC_KEY_D2 ⇒ Truncate(HMAC_KEY_U | HMAC_KEY_D, 256).
    여기서, 상기 Dot16KDF는 상기 HMAC_KEY_U, HMAC_KEY_D, 상기 KEK를 생성하는 함수를 나타내며, 상기 SS MAC Address는 상기 단말의 식별자를 나타내며, 상기 BSID는 상기 기지국의 식별자를 나타내며, 상기 AK는 PMK에 의해 파생된 키고, 상 기 HMAC_KEYS+KEK은 HMAC를 생성하는 상기 Dot16KDF 함수의 파라미터고, 상기 448은 상기 Dot16KDF 함수에 의해 생성되는 키의 길이가 448비트임을 나타내고, 상기 Truncate(ㆍ)은 CMAC_KEY_U2과 CMAC_KEY_D2를 생성하는 함수로 256비트 키를 생성함.
  12. 제 9항에 있어서,
    상기 중계기는 다른 중계기와 상기 기지국으로 유니 캐스트 제어 메시지를 전송할 수 있고, 상기 기지국은 상기 중계기로 유니 캐스트 제어 메시지를 보낼 수 있을 뿐만 아니라 상기 중계기들로 방송 메시지를 전송할 수 있는 것을 특징을 하는 방법.
  13. 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 보안 연결(Security Association: SA)을 수행하는 시스템에 있어서,
    다중 홉을 구성하는 각각의 중계기들과 링크를 설정하는 기지국과,
    상기 중계기들 중 상기 기지국에 가장 가까운 중계기를 중심으로 순차적으로 정렬되어 SA 순서가 결정된 후, 상기 결정된 순서에 따라 상기 SA를 위한 키를 파생하는 중계기들을 포함하는 것을 특징으로 하는 시스템.
  14. 제 13항에 있어서,
    상기 중 홉을 구성하는 각각의 중계기들과 기지국 사이 링크 설정은
    PKMv2(Privacy and Key Management version 2) EAP(Extensible Authentication Protocol)을 기반으로 수행되는 것을 특징으로 하는 시스템.
  15. 제 13항에 있어서,
    상기 SA를 위한 키 파생 순서는
    상기 기지국과 가장 가까이에 있는 n 중계기와 상기 기지국 사이에 SA 1을 위한 키가 파생되고, 상기 n 중계기 다음 n+1 중계기와 상기 기지국 사이 SA 2를 위한 키가 파생된 후, 상기 n 중계기와 상기 n+1 중계기 사이 SA 3을 위한 키가 파생되는 것을 특징으로 하는 시스템.
  16. 제 15항에 있어서,
    상기 SA 3을 위한 키 재료(key material)는 상기 SA 2로부터 파생되어 상기 n 중계기로 분배되는 것을 특징으로 하는 시스템.
  17. 제 15항에 있어서,
    상기 n+1 중계기와 n+2 중계기 사이 n 번째 SA을 위한 키 재료(key material)는 상기 n+2 중계기와 상기 기지국 사이 n-1 번째 SA로부터 파생되어, 상기 n+1 중계기로 분배되는 것을 특징으로 하는 시스템.
  18. 제 13항에 있어서,
    상기 SA를 위한 키는 기지국과 중계기 사이 CMAC(Cipher-based Message Authentication Code)와 중계기간 CMAC인 것을 특징으로 하는 시스템.
  19. 제 18항에 있어서,
    상기 기지국과 중계기간 CMAC 코드는 하기 <수학식 6>으로 계산되는 것을 특징으로 하는 시스템.
    CMAC_KEY_U | CMAC_KEY_D | KEK ⇒ Dot16KDF(AK, SS MAC Address | BSID |“CMAC_KEYS+KEK”, 384)
    여기서, 상기 Dot16KDF는 상기 CMAC_KEY_U, 상기 CMAC_KEY_D, 상기 KEK를 생성하는 함수를 나타내며, 상기 SS MAC Address는 상기 단말의 식별자를 나타내며, 상기 BSID는 상기 기지국의 식별자를 나타내며, 상기 AK는 PMK에 의해 파생된 키 고, 상기 CMAC_KEYS+KEK은 CMAC를 생성하는 상기 Dot16KDF 함수의 파라미터고, 상기 384는 상기 Dot16KDF 함수에 의해 생성되는 키의 길이가 384비트임을 나타냄.
  20. 제 18항에 있어서,
    상기 중계기간 CMAC 코드는 하기 <수학식 7>으로 계산되는 것을 특징으로 하는 시스템.
    HMAC_KEY_U | HMAC_KEY_D | KEK ⇒ Dot16KDF(AK, SS MAC Address | BSID |“HMAC_KEYS+KEK”, 448)
    CMAC_KEY_U2 | CMAC_KEY_D2 ⇒ Truncate(HMAC_KEY_U | HMAC_KEY_D, 256).
    여기서, 상기 Dot16KDF는 상기 HMAC_KEY_U, HMAC_KEY_D, 상기 KEK를 생성하는 함수를 나타내며, 상기 SS MAC Address는 상기 단말의 식별자를 나타내며, 상기 BSID는 상기 기지국의 식별자를 나타내며, 상기 AK는 PMK에 의해 파생된 키고, 상기 HMAC_KEYS+KEK은 HMAC를 생성하는 상기 Dot16KDF 함수의 파라미터고, 상기 448은 상기 Dot16KDF 함수에 의해 생성되는 키의 길이가 448비트임을 나타내고, 상기 Truncate(ㆍ)은 CMAC_KEY_U2과 CMAC_KEY_D2를 생성하는 함수로 256비트 키를 생성함.
  21. 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 각 중계기들 사이 키 파생을 위한 시스템에 있어서,
    n 중계기가 키 요청(PKMv2 Key Request) 메시지를 기지국으로 전송하는 과정과,
    상기 키 요청 메시지를 참조하여 CMAC_KEY_U2과 CMAC_KEY_D2 을 생성하는 과정과,
    상기 생성한 CMAC_KEY_U2과 CMAC_KEY_D2 키를 포함하는 키 전송(PKMv2 Key Transfer) 메시지를 n-1 중계기로 전송하는 과정과,
    상기 n-1 중계기가 상기 n 중계기로 키 확인(PKMv2 Key Ack) 메시지를 전송하는 과정을 포함하는 것을 특징으로 하는 시스템.
  22. 제 21항에 있어서,
    상기 CMAC_KEY_U2과 상기 CMAC_KEY_D2는 하기 <수학식 8>로 계산되는 것을 특징으로 하는 시스템.
    HMAC_KEY_U | HMAC_KEY_D | KEK ⇒ Dot16KDF(AK, SS MAC Address | BSID |“HMAC_KEYS+KEK”, 448)
    CMAC_KEY_U2 | CMAC_KEY_D2 ⇒ Truncate(HMAC_KEY_U | HMAC_KEY_D, 256).
    여기서, 상기 Dot16KDF는 상기 HMAC_KEY_U, HMAC_KEY_D, 상기 KEK를 생성하는 함수를 나타내며, 상기 SS MAC Address는 상기 단말의 식별자를 나타내며, 상기 BSID는 상기 기지국의 식별자를 나타내며, 상기 AK는 PMK에 의해 파생된 키고, 상기 HMAC_KEYS+KEK은 HMAC를 생성하는 상기 Dot16KDF 함수의 파라미터고, 상기 448은 상기 Dot16KDF 함수에 의해 생성되는 키의 길이가 448비트임을 나타내고, 상기 Truncate(ㆍ)은 CMAC_KEY_U2과 CMAC_KEY_D2를 생성하는 함수로 256비트 키를 생성함.
  23. 제 21항에 있어서,
    상기 중계기는 다른 중계기와 상기 기지국으로 유니 캐스트 제어 메시지를 전송할 수 있고, 상기 기지국은 상기 중계기로 유니 캐스트 제어 메시지를 보낼 수 있을 뿐만 아니라 상기 중계기들로 방송 메시지를 전송할 수 있는 것을 특징을 하는 시스템.
  24. 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 보안 연결(Security Association: SA)을 수행하기 중계기 동작 방법에 있어서,
    기지국과 링크를 설정하는 과정과,
    상기 기지국에 가장 가까운 중계기를 중심으로 중계기들을 순차적으로 정렬 하여 SA 순서를 결정하는 과정과,
    상기 결정된 순서에 따라 상기 SA를 위한 키를 파생하는 과정을 포함하는 것을 특징으로 하는 방법.
  25. 제 24항에 있어서,
    상기 SA를 위한 키 파생 순서는
    상기 기지국과 가장 가까이에 있는 n 중계기와 상기 기지국 사이에 SA 1을 위한 키가 파생되고, 상기 n 중계기 다음 n+1 중계기와 상기 기지국 사이 SA 2를 위한 키가 파생된 후, 상기 n 중계기와 상기 n+1 중계기 사이 SA 3을 위한 키가 파생되는 것을 특징으로 하는 방법.
  26. 제 25항에 있어서,
    상기 SA 3을 위한 키 재료(key material)는 상기 SA 2로부터 파생되어 상기 n 중계기로 분배되는 것을 특징으로 하는 방법.
  27. 제 25항에 있어서,
    상기 n+1 중계기와 n+2 중계기 사이 n 번째 SA을 위한 키 재료(key material)는 상기 n+2 중계기와 상기 기지국 사이 n-1 번째 SA로부터 파생되어, 상기 n+1 중계기로 분배되는 것을 특징으로 하는 방법.
  28. 제 24항에 있어서,
    상기 SA를 위한 키는 기지국과 중계기 사이 CMAC(Cipher-based Message Authentication Code) 및 중계기간 CMAC인 것을 특징으로 하는 방법.
  29. 제 28항에 있어서,
    상기 기지국과 중계기간 CMAC 코드는 하기 <수학식 9>으로 계산되는 것을 특징으로 하는 방법.
    CMAC_KEY_U | CMAC_KEY_D | KEK ⇒ Dot16KDF(AK, SS MAC Address | BSID |“CMAC_KEYS+KEK”, 384)
    여기서, 상기 Dot16KDF는 상기 CMAC_KEY_U, 상기 CMAC_KEY_D, 상기 KEK를 생성하는 함수를 나타내며, 상기 SS MAC Address는 상기 단말의 식별자를 나타내며, 상기 BSID는 상기 기지국의 식별자를 나타내며, 상기 AK는 PMK에 의해 파생된 키고, 상기 CMAC_KEYS+KEK은 CMAC를 생성하는 상기 Dot16KDF 함수의 파라미터고, 상기 384는 상기 Dot16KDF 함수에 의해 생성되는 키의 길이가 384비트임을 나타냄.
  30. 제 28항에 있어서,
    상기 중계기간 CMAC 코드는 하기 <수학식 10>으로 계산되는 것을 특징으로 하는 방법.
    HMAC_KEY_U | HMAC_KEY_D | KEK ⇒ Dot16KDF(AK, SS MAC Address | BSID |“HMAC_KEYS+KEK”, 448)
    CMAC_KEY_U2 | CMAC_KEY_D2 ⇒ Truncate(HMAC_KEY_U | HMAC_KEY_D, 256).
    여기서, 상기 Dot16KDF는 상기 HMAC_KEY_U, HMAC_KEY_D, 상기 KEK를 생성하는 함수를 나타내며, 상기 SS MAC Address는 상기 단말의 식별자를 나타내며, 상기 BSID는 상기 기지국의 식별자를 나타내며, 상기 AK는 PMK에 의해 파생된 키고, 상기 HMAC_KEYS+KEK은 HMAC를 생성하는 상기 Dot16KDF 함수의 파라미터고, 상기 448은 상기 Dot16KDF 함수에 의해 생성되는 키의 길이가 448비트임을 나타내고, 상기 Truncate(ㆍ)은 CMAC_KEY_U2과 CMAC_KEY_D2를 생성하는 함수로 256비트 키를 생성함.
  31. 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 각 중계기들 사이 키 파생을 위한 중계국 동작 방법에 있어서,
    키 요청(PKMv2 Key Request) 메시지를 기지국으로 전송하는 과정과,
    상기 키 요청(PKMv2 Key Request) 메시지에 대한 CMAC_KEY_U2과 CMAC_KEY_D2 키를 포함하는 키 전송(PKMv2 Key Transfer) 메시지를 수신하는 과정을 포함하는 것을 특징으로 하는 방법.
  32. 제 31항에 있어서,
    다른 중계기로 키 확인(PKMv2 Key Ack) 메시지를 전송하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  33. 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 각 중계기들 사이 키 파생을 위한 기지국 동작 방법에 있어서,
    키 요청(PKMv2 Key Request) 메시지를 중계국으로부터 수신하는 과정과,
    상기 키 요청 메시지를 참조하여 CMAC_KEY_U2과 CMAC_KEY_D2 을 생성하는 과정과,
    상기 생성한 CMAC_KEY_U2과 CMAC_KEY_D2 키를 포함하는 키 전송(PKMv2 Key Transfer) 메시지를 해당 중계기로 전송하는 과정을 포함하는 것을 특징으로 하는 방법.
  34. 제 33항에 있어서,
    상기 CMAC_KEY_U2과 상기 CMAC_KEY_D2는 하기 <수학식 11>으로 계산되는 것을 특징으로 하는 방법.
    HMAC_KEY_U | HMAC_KEY_D | KEK ⇒ Dot16KDF(AK, SS MAC Address | BSID |“HMAC_KEYS+KEK”, 448)
    CMAC_KEY_U2 | CMAC_KEY_D2 ⇒ Truncate(HMAC_KEY_U | HMAC_KEY_D, 256).
    여기서, 상기 Dot16KDF는 상기 HMAC_KEY_U, HMAC_KEY_D, 상기 KEK를 생성하는 함수를 나타내며, 상기 SS MAC Address는 상기 단말의 식별자를 나타내며, 상기 BSID는 상기 기지국의 식별자를 나타내며, 상기 AK는 PMK에 의해 파생된 키고, 상기 HMAC_KEYS+KEK은 HMAC를 생성하는 상기 Dot16KDF 함수의 파라미터고, 상기 448은 상기 Dot16KDF 함수에 의해 생성되는 키의 길이가 448비트임을 나타내고, 상기 Truncate(ㆍ)은 CMAC_KEY_U2과 CMAC_KEY_D2를 생성하는 함수로 256비트 키를 생성함.
  35. 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 보안 연결(Security Association: SA)을 수행하기 중계 장치에 있어서,
    기지국과 보안 링크를 설정하는 보안 연결부와,
    상기 보안 연결부로부터 키 파생을 위한 정보를 수집하여 키 파생부로 제공하는 제어부와,
    상기 제어어부로부터 키 파생을 위한 정보를 수신하여 SA를 위한 키를 파생하는 키 파생부를 포함하는 것을 특징으로 하는 장치.
  36. 제 35항에 있어서,
    상기 SA를 위한 키는 기지국과 중계기 사이 CMAC(Cipher-based Message Authentication Code) 및 중계기간 CMAC인 것을 특징으로 하는 장치.
  37. 제 36항에 있어서,
    상기 기지국과 중계기간 CMAC 코드는 하기 <수학식 12>으로 계산되는 것을 특징으로 하는 장치.
    CMAC_KEY_U | CMAC_KEY_D | KEK ⇒ Dot16KDF(AK, SS MAC Address | BSID |“CMAC_KEYS+KEK”, 384)
    여기서, 상기 Dot16KDF는 상기 CMAC_KEY_U, 상기 CMAC_KEY_D, 상기 KEK를 생 성하는 함수를 나타내며, 상기 SS MAC Address는 상기 단말의 식별자를 나타내며, 상기 BSID는 상기 기지국의 식별자를 나타내며, 상기 AK는 PMK에 의해 파생된 키고, 상기 CMAC_KEYS+KEK은 CMAC를 생성하는 상기 Dot16KDF 함수의 파라미터고, 상기 384는 상기 Dot16KDF 함수에 의해 생성되는 키의 길이가 384비트임을 나타냄.
  38. 제 36항에 있어서,
    상기 중계기간 CMAC 코드는 하기 <수학식 13>로 계산되는 것을 특징으로 하는 장치.
    HMAC_KEY_U | HMAC_KEY_D | KEK ⇒ Dot16KDF(AK, SS MAC Address | BSID |“HMAC_KEYS+KEK”, 448)
    CMAC_KEY_U2 | CMAC_KEY_D2 ⇒ Truncate(HMAC_KEY_U | HMAC_KEY_D, 256).
    여기서, 상기 Dot16KDF는 상기 HMAC_KEY_U, HMAC_KEY_D, 상기 KEK를 생성하는 함수를 나타내며, 상기 SS MAC Address는 상기 단말의 식별자를 나타내며, 상기 BSID는 상기 기지국의 식별자를 나타내며, 상기 AK는 PMK에 의해 파생된 키고, 상기 HMAC_KEYS+KEK은 HMAC를 생성하는 상기 Dot16KDF 함수의 파라미터고, 상기 448은 상기 Dot16KDF 함수에 의해 생성되는 키의 길이가 448비트임을 나타내고, 상기 Truncate(ㆍ)은 CMAC_KEY_U2과 CMAC_KEY_D2를 생성하는 함수로 256비트 키를 생성함.
  39. 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 각 중계기들 사이 키 파생을 위한 중계국 장치에 있어서,
    키 요청(PKMv2 Key Request) 메시지를 기지국으로 전송하는 메시지 생성부와
    상기 키 요청(PKMv2 Key Request) 메시지에 대한 CMAC_KEY_U2과 CMAC_KEY_D2 키를 포함하는 키 전송(PKMv2 Key Transfer) 메시지를 수신하는 메시지 처리부를 포함하는 것을 특징으로 하는 장치.
  40. 제 39항에 있어서,
    상기 메시지 생성부는
    상기 키 전송(PKMv2 Key Transfer) 메시지 수신 시, 키 확인(PKMv2 Key Ack) 메시지를 전송하는 과정을 더 포함하는 것을 특징으로 하는 장치.
  41. 다중 홉을 기반으로 하는 광대역 무선통신 시스템에서 각 중계기들 사이 키 파생을 위한 기지국 장치에 있어서,
    키 요청(PKMv2 Key Request) 메시지를 중계국으로부터 수신하는 메시지 처리 부와,
    상기 키 요청 메시지를 참조하여 CMAC_KEY_U2과 CMAC_KEY_D2을 생성하는 키 파생부와,
    상기 생성한 CMAC_KEY_U2과 CMAC_KEY_D2 키를 포함하는 키 전송(PKMv2 Key Transfer) 메시지를 해당 중계기로 전송하는 메시지 생성부를 포함하는 것을 특징으로 하는 장치.
  42. 제 40항에 있어서,
    상기 CMAC_KEY_U2과 상기 CMAC_KEY_D2는 하기 <수학식 14>로 계산되는 것을 특징으로 하는 장치.
    HMAC_KEY_U | HMAC_KEY_D | KEK ⇒ Dot16KDF(AK, SS MAC Address | BSID |“HMAC_KEYS+KEK”, 448)
    CMAC_KEY_U2 | CMAC_KEY_D2 ⇒ Truncate(HMAC_KEY_U | HMAC_KEY_D, 256).
    여기서, 상기 Dot16KDF는 상기 HMAC_KEY_U, HMAC_KEY_D, 상기 KEK를 생성하는 함수를 나타내며, 상기 SS MAC Address는 상기 단말의 식별자를 나타내며, 상기 BSID는 상기 기지국의 식별자를 나타내며, 상기 AK는 PMK에 의해 파생된 키고, 상기 HMAC_KEYS+KEK은 HMAC를 생성하는 상기 Dot16KDF 함수의 파라미터고, 상기 448 은 상기 Dot16KDF 함수에 의해 생성되는 키의 길이가 448비트임을 나타내고, 상기 Truncate(ㆍ)은 CMAC_KEY_U2과 CMAC_KEY_D2를 생성하는 함수로 256비트 키를 생성함.
KR1020070033915A 2007-04-05 2007-04-05 다중 홉 기반의 광대역 무선통신 시스템에서 보안연결 방법및 시스템 KR20080090733A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070033915A KR20080090733A (ko) 2007-04-05 2007-04-05 다중 홉 기반의 광대역 무선통신 시스템에서 보안연결 방법및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070033915A KR20080090733A (ko) 2007-04-05 2007-04-05 다중 홉 기반의 광대역 무선통신 시스템에서 보안연결 방법및 시스템

Publications (1)

Publication Number Publication Date
KR20080090733A true KR20080090733A (ko) 2008-10-09

Family

ID=40151776

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070033915A KR20080090733A (ko) 2007-04-05 2007-04-05 다중 홉 기반의 광대역 무선통신 시스템에서 보안연결 방법및 시스템

Country Status (1)

Country Link
KR (1) KR20080090733A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010094206A1 (zh) * 2009-02-20 2010-08-26 华为技术有限公司 无线中继网络中的链路安全认证方法、装置和系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010094206A1 (zh) * 2009-02-20 2010-08-26 华为技术有限公司 无线中继网络中的链路安全认证方法、装置和系统

Similar Documents

Publication Publication Date Title
KR100989769B1 (ko) 멀티-홉 무선 네트워크에서의 무선 라우터 보조 보안핸드오프(wrash)
KR100832893B1 (ko) 무선 근거리 통신망으로 이동 단말의 보안 접근 방법 및 무선 링크를 통한 보안 데이터 통신 방법
EP1484856B1 (en) Method for distributing encryption keys in wireless lan
EP1946580B1 (en) Method of providing security for relay station
JP5238071B2 (ja) トラフィック暗号化キーの派生方法
TWI507059B (zh) 行動台、基地台及流量加密密鑰之產生方法
US20090208013A1 (en) Wireless network handoff key
US7107051B1 (en) Technique to establish wireless session keys suitable for roaming
US8959333B2 (en) Method and system for providing a mesh key
US20060094401A1 (en) Method and apparatus for authentication of mobile devices
JP2010504669A (ja) ネットワークのアクセス認証及び承認の方法、及び承認鍵のアップデート方法
JP2011524669A (ja) 制御信号の暗号化方法
KR20070051233A (ko) 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법
Cao et al. G2RHA: Group-to-route handover authentication scheme for mobile relays in LTE-A high-speed rail networks
JP2000083018A (ja) 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法
EP3231151B1 (en) Commissioning of devices in a network
Maccari et al. Security analysis of IEEE 802.16
Jha et al. A journey on wimax and its security issues
Rengaraju et al. Measuring and analyzing WiMAX security and QoS in testbed experiments
Trimintzios et al. WiFi and WiMAX secure deployments
KR20080056055A (ko) 통신 사업자간 로밍 인증방법 및 키 설정 방법과 그 방법을포함하는 프로그램이 저장된 기록매체
Rengaraju et al. Design of distributed security architecture for multihop WiMAX networks
KR20080090733A (ko) 다중 홉 기반의 광대역 무선통신 시스템에서 보안연결 방법및 시스템
CN1996838A (zh) 一种多主机WiMAX系统中的AAA认证优化方法
KR101171311B1 (ko) 광대역 무선접속 시스템에서의 중계 스테이션 인증 방법

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid