KR20100087768A - Pmk 협의 시스템 및 pmk 협의 방법 - Google Patents

Pmk 협의 시스템 및 pmk 협의 방법 Download PDF

Info

Publication number
KR20100087768A
KR20100087768A KR1020107014360A KR20107014360A KR20100087768A KR 20100087768 A KR20100087768 A KR 20100087768A KR 1020107014360 A KR1020107014360 A KR 1020107014360A KR 20107014360 A KR20107014360 A KR 20107014360A KR 20100087768 A KR20100087768 A KR 20100087768A
Authority
KR
South Korea
Prior art keywords
pmk
network device
default
identifier list
message
Prior art date
Application number
KR1020107014360A
Other languages
English (en)
Other versions
KR101175864B1 (ko
Inventor
메이유안 쟈오
제세 워커
Original Assignee
인텔 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코포레이션 filed Critical 인텔 코포레이션
Publication of KR20100087768A publication Critical patent/KR20100087768A/ko
Application granted granted Critical
Publication of KR101175864B1 publication Critical patent/KR101175864B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • H04B5/72
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Abstract

무선 메시 네트워크에서 페어와이즈 마스터 키(pairwise master key : "PMK")를 협의하는 시스템 및 방법이 제공된다. 시스템은 PMK를 협의하고 보안 접속을 수립함에 있어 축약된 핸드셰이크 프로토콜을 수행하도록 구성되는 복수의 메시 지점을 포함한다. 협의된 PMK를 수립하는 방법은 임의의 데이터를 송신하기 이전에 PMK를 선택하고, PMK가 제한된 수의 교환으로 협의될 수 있도록 PMK가 사전 결정된 리스트로 이용 가능한 PMK를 배치하는 것에 근거한다.

Description

PMK 협의 시스템 및 PMK 협의 방법{APPARATUS AND METHOD FOR NEGOTIATING PAIRWISE MASTER KEY FOR SECURING PEER LINKS IN WIRELESS MESH NETWORKS}
본 발명은 전반적으로 무선 네트워크에 관한 것이다. 구체적으로, 본 발명의 실시예는 무선 애드 혹 네트워크에서 인증 프로토콜을 위한 장치 및 방법에 관한 것이다.
최근에, 무선 제품의 급증을 초래하는 무선 기술을 향한 시프트가 존재하여 왔다. 거의 모든 제품에 대해 다양한 무선 제품이 존재한다. 과거 10년에 걸쳐 현저한 성장을 보인 무선 기술의 영역은 무선 네트워크이며, 보다 구체적으로 WLAN(wireless local area networks)이다. 무선 네트워크는 보다 지배적이 되어 가고 있으며, 거의 모든 장소에서 이용 가능하다. 클라이언트는 광범위한 도시 무선 네트워크를 전개하고 있으며, 무선 접속은 비즈니스, 가정, 도서관, 공항, 및 심지어 커피 숍에서도 이용 가능하다. 무선 네트워크의 이점은 부정할 수 없다. 이들은 매우 편리하고, 증가된 이동도 및 효율을 제공하고 있다. 또한, 무선 네트워크는 확장이 용이하고 전개가 용이하다. 그러나, 무선 네트워크의 이점에도 불구하고, WLAN에 따른 보안, 범위 및 속도의 문제가 존재한다.
IEEE 802.11 프로토콜은 WLAN에 대한 제어 표준이다. 무선 네트워크 기술이 개발됨에 따라, IEEE 802.11 표준은 다수의 보정을 경험한다. 각각의 보정은 무선 네트워크의 특정의 단점을 다루기 위한 것이다. 이들 보정은 후속하는 문자 "802.11"에 의해 지정되고, 원래의 802.11 표준에 대해 각종 개선을 도입하여 왔다. 802.11b 및 802.11g는 홈 무선 네트워크를 구현하기 위해 폭넓게 사용되는 2개의 변조 보정이다. 802.11i 표준은 무선 네트워크에 대해 각종 보안 메커니즘을 구현하는 802.11 표준에 대한 보정이다. 802.11i 표준은 WEF(wired equivalent privacy) 및 WPA(WiFi Protected Access) 프로토콜을 보완하는 WPA2(WiFi Protected Access2) 프로토콜을 도입하였다. WAP2는 소스 링크를 수립하는 페어와이즈 마스터 키(pairwise master key : "PMK")를 수립함에 있어 EAP(Extensible Authentication Protocol)를 이용한다.
IEEE 802.11 표준에 대한 개발 하에서 현재의 다른 보정은 IEEE 802.11s 표준이다. 802.11s 표준은 메시 성능의 추가를 통해 무선 네트워크를 통해 데이터 전송의 처리량을 향상시키도록 인가된다. 메시 성능은 다수의 무선 홉으로 구성되는 경로 상에서 데이터가 송신되도록 한다. 메시 성능을 갖는 802.11s 표준의 개발 동안의 주요한 초점은 스트리밍 비디오를 위한 성능을 향상시키는 것이다. 그러나, 스트리밍 비디오는 수립될 링크에 대해 할당된 시간을 제한하여, 현재의 인증 프로토콜에 의한 보안 링크의 수립을 어렵게 만든다. 할당된 시간 동안 인증된 피어 링크를 수립하는 PMK의 협의가 특히 어렵다.
본 발명은 첨부 도면과 관련하여 이하 제시된 예시적인 실시예의 상세한 설명으로부터 보다 용이하게 이해될 것이여, 도면에서
도 1은 본 발명의 실시예에 따른 무선 애드 혹 영역 네트워크를 도시하고,
도 2는 본 발명의 실시예에 따른 메시 지점의 예시적인 블록도이며,
도 3은 본 발명의 실시예에 따른 메시 지점들 간에 교환되는 예시적인 데이터 흐름도이고,,
도 4는 본 발명의 실시예에 따른 페어와이즈 마스터 키(PMK)를 협의하는 예시적인 흐름도이며,
도 5는 본 발명의 실시예에 따른 페어와이즈 마스터 키(PMK)를 협의하는 예시적인 흐름도이며,
도 6은 본 발명의 실시예에 따른 페어와이즈 마스터 키(PMK)의 협의를 완료하는 예시적인 흐름도이다.
발명의 실시예는 페어와이즈 마스터 키(pairwise master key : "PMK")를 협의하는 시스템에 관한 것이다. PMK는 2개의 네트워크 디바이스들 간에 송신된 데이터의 암호화 및 복호화를 허용하는 공유 키이다. PMK는 제한된 수명 기간을 가질 수 있고, 데이터의 실제의 암호화 및 복호화를 수행하도록 페어와이즈 천이 키(pairwise transient key : "PTK")를 도출하도록 또한 사용될 수 있다. PMK는 접속이 종단되거나 손실될 때까지 2개의 네트워크 디바이스들 간에 접속의 전체 지속 기간 동안 사용될 수 있다. PMK를 이용하는 인증 프로토콜은 일반적으로 무선 네트워크에서 사용되지만, 이들은 유선 네트워크의 구현에 또한 사용될 수 있다. 각각의 네트워크 디바이스는 프로세서, 저장 디바이스, 난수 발생기, 및 데이터를 송신하고 수신할 수 있는 통신 디바이스를 포함한다. 또한, 각각의 네트워크 디바이스는 PMK가 협의되기 이전에 디폴트 PMK를 선택하도록 구성된다. 선택된 디폴트 PMK는 이용 가능한 PMK의 리스트로부터 최상위 우선 순위 PMK일 수 있고, 우선 순위는 각각의 PMK의 만료 시간에 근거한다. 접속을 수립하는 양 메시 지점에 대해 배치의 기본이 알려져 있는 한 PMK의 리스트를 정렬하는 다른 방법이 또한 사용될 수 있다. 만료 시간의 순서로 배열된 PMK의 이 리스트는 PMK 식별자 리스트로서 또한 알려져 있다. PMK 식별자 리스트는 2개의 특정의 메시 지점들(mesh points) 사이에서 특정하며, 2개의 특정의 메시 지점들 사이에서 공유되는 PMK의 리스트를 포함하고, 2개의 특정의 메시 지점들 사이의 접속을 수립하도록 이용 가능하다. 네트워크 디바이스는 접속을 형성하도록 시도할 때 오픈 메시지에 PMK 식별자 리스트를 추가함으로써 이용 가능하다는 것을 PMK에 광고한다. 각각의 네트워크 디바이스는 다른 네트워크 디바이스로부터 PMK 식별자 리스트를 수신하고, 협의된 PMK를 독립적으로 선택하도록 또한 구성되며, PMK는 수신하고 송신한 디폴트 PMK 및 PMK 식별자 리스트에 근거하여 해석 알고리즘을 이용하여, 이들이 수립하는 접속의 지속 기간 동안 네트워크 디바이스에 의해 사용될 것이다. 협의된 PMK가 선택된 후에, 네트워크 디바이스는 프로토콜을 완료하도록 링크를 수립하는 네트워크 디바이스에 확인을 전송한다. 본 발명의 실시예는 적어도 4개의 메시지로 PMK의 협의를 허용한다. 이것은 개별적인 PMK의 만료 시간에 따라 이용 가능한 PMK를 랭크하는 배열된 PMK 리스트의 사용을 통해 성취되어, PMK가 협의되기 이전에 접속을 시도할 때 네트워크 디바이스가 그 초기 송신에 사용될 디폴트 PMK로서 최상위 우선 순위 PMK를 선택하도록 한다.
용어 "핸드셰이크"는 정보 기술, 원격 통신 및 관련 분야에서의 핸드셰이킹을 지칭하며, 핸드셰이크는 채널을 통한 통상의 통신이 시작하기 이전에 2개의 개체 사이에 수립된 통신 채널의 파라미터를 동적으로 설정하는 협의의 자동화된 프로세스이다. 이는 채널의 물리적 수립에 후속하고 통상의 정보 전송에 선행한다. 핸드셰이킹은 통신 채널의 양 단부에서 장치 및 시스템에 대해 채택 가능한 파라미터를 협의하는데 사용될 수 있으며, 파라미터는 정보 전송 레이트, 코딩 알파벳, 패리티, 인터럽트 프로시쥬어, 및 하드웨어 특징의 다른 프로토콜을 포함하되, 이들로만 제한되지 않는다.
핸드셰이킹은 사람이 개입하여 파라미터를 설정할 필요 없이 통신 채널을 통해 상대적으로 이종의(heterogeneous) 시스템 또는 장치를 접속하는 것을 가능하게 한다. 핸드셰이킹의 일례는 접속이 먼저 수립될 때 짧은 기간 동안 통신 파라미터를 전형적으로 협의하고, 이후 이들 파라미터를 사용하여 그 품질 및 용량이 기능으로서 채널을 통해 최적의 정보 전송을 제공하는 모뎀이다. 접속이 수립된 직후에 스피커 출력으로 몇몇 모뎀에 의해 행해진 (실제로 초 당 100회의 피치로 변화하는 사운드인) "스퀼링(squealing)" 노이즈는 실제로 핸드셰이킹 프로시쥬어에 수반하는 양 단부에서의 모뎀의 사운드이며, 일단 프로시쥬어가 완료되면, 드라이버에 따라, 스피커가 무음화될 수 있다.
이것은 통신에 대한 규칙을 수립하기 위해 컴퓨터 디바이스와 통신하려고 할 때 발생하는 프로세스이다.
바람직하게, 네트워크 디바이스는 데이터를 무선으로 송신하고 수신하도록 구성된다. 바람직하게, 복수의 네트워크 디바이스는 무선 애드 혹 네트워크에서 메시 지점이다. 바람직하게, 오픈 메시지는 PMK 식별자 리스트를 송신하는 네트워크 디바이스와 연관된 네트워크 디바이스 식별자와, 오픈 메시지를 송신하는 네트워크 디바이스와 연관되어 발생된 난수와, 오픈 메시지를 송신하는 네트워크 디바이스와 연관된 PMK의 리스트와, 오픈 메시지를 송신하는 네트워크 디바이스와 연관된 디폴트 PMK와, 디폴트 PMK로 구성된 메시지 인증 코드를 포함한다. 바람직하게, PMK의 리스트는 리스트 내의 각각의 PMK와 연관된 만료 시간에 근거하여 배치된다. 바람직하게, 협의된 PMK는 해석 알고리즘에 근거하여 선택된다. 바람직하게, 확인 메시지는 확인 메시지를 송신하는 네트워크 디바이스와 연관된 네트워크 디바이스 식별자와, 확인 메시지를 수신하는 네트워크 디바이스와 연관된 네트워크 디바이스 식별자와, 확인 메시지를 송신하는 네트워크 디바이스와 연관되어 발생된 난수와, 확인 메시지를 수신하는 네트워크 디바이스와 연관되어 발생된 난수와, 협의된 PMK와, 협의된 PMK로 구성된 메시지 인증 코드를 포함한다. 바람직하게, PMK는 해석 알고리즘에 근거하여 선택된다.
본 발명의 다른 실시예는 링크를 수립하는 네트워크 디바이스들 간의 페어와이즈 마스터 키(PMK)를 협의하는 방법에 관한 것이다. 프로세스를 개시하기 위해, 네트워크 디바이스에서 링크를 수립하는 새로운 인스턴스가 생성된다. 그 다음에, 네트워크 디바이스가 이용 가능한 PMK로부터 디폴트 PMK가 선택되고, 네트워크 디바이스는 선택된 디폴트 PMK를 이용하여 다른 네트워크 디바이스에 이용 가능한 PMK를 광고하도록 PMK 식별자 리스트를 구성한다. PMK 식별자 리스트는 접속을 수립하려고 시도하는 특정의 메시 지점과 공유하는 우선 순위의 순서로 배치되는, 네트워크 디바이스가 이용 가능한 PMK를 포함하고, 디폴트 PMK는 바람직하게 최상위 우선 순위를 갖는 PMK이다. 그 다음에 네트워크 디바이스는 PMK 식별자 리스트를 다른 네트워크 디바이스에 송신하고, 제 2 네트워크 디바이스에 의해 송신된 PMK 식별자 리스트를 수신한다. PMK 식별자 리스트를 수신할 때에, 네트워크 디바이스는 수신된 PMK 식별자 리스트에 근거하여 해석 알고리즘을 이용하여 협의된 PMK를 선택하고, PMK가 협의된 경우 확인 메시지를 구성하고 제 2 네트워크 디바이스에 송신한다. PMK가 성공적으로 선택되지 않은 경우, 어떠한 확인 메시지도 구성되거나 조성되지 않으며, 링크 인스턴스가 폐기된다.
바람직하게, 본 방법은 제 2 네트워크 디바이스와 연관된 제 2 디폴트 PMK를 결정하는 단계와, 제 2 네트워크 디바이스와 연관된 제 2 PMK 식별자 리스트를 구성하는 단계와, 제 2 PMK 식별자 리스트를 제 1 네트워크 디바이스에 송신하는 단계와, 제 1 네트워크 디바이스에 의해 송신된 제 1 PMK 식별자 리스트를 수신하는 단계와, 수신된 제 1 PMK 식별자 리스트에 근거하여 제 2 PMK를 독립적으로 선택하는 단계와, 선택된 제 2 PMK에 근거하여 제 2 확인 메시지를 구성하고 제 2 확인 메시지를 제 1 네트워크 디바이스에 송신하는 단계를 포함한다. 바람직하게 송신 단계는 무선으로 수행된다. 바람직하게, 제 1 네트워크 디바이스와 제 2 네트워크 디바이스는 무선 애드 혹 네트워크에서 메시 지점이다.
본 발명의 다른 실시예는 2개의 네트워크 디바이스들 간의 PMK를 협의하는 방법에 관한 것이다. 이 실시예에서, 두 네트워크 디바이스는 링크를 수립하는 새로운 인스턴스를 생성하고, 각각의 네트워크 디바이스가 이용 가능한 PMK로부터 디폴트 PMK를 선택한다. 네트워크 디바이스는 PMK 식별자 리스트 메시지를 구성하도록 이용 가능한 이들 PMK를 사용하고 PMK 식별자 리스트 메시지를 서로에 대해 송신한다. 두 네트워크 디바이스가 PMK 식별자 리스트를 수신한 후에, 각각의 네트워크 디바이스는 PMK를 선택한다. PMK가 수신된 이후에, 각각의 네트워크 디바이스는 확인 메시지를 구성하고 다른 디바이스에 송신한다. PMK가 성공적으로 선택되지 않는 경우, 어떠한 확인 메시지도 구성되지 않으며, 링크 인스턴스가 폐기된다.
도 1은 본 발명의 실시예에 따른 무선 애드 혹 영역 네트워크의 예시적인 도면이다. 도 1에 도시된 무선 네트워크(100)는 5개의 메시 지점, 즉, 메시 지점(110, 120, 130, 140 및 150)으로 도시되어 있으나, 무선 네트워크(100)는 임의의 수의 무선 메시 지점을 가질 수 있다. 또한, 메시 지점(110, 120, 130, 140 및 150)은 랩탑 컴퓨터, 퍼스널 컴퓨터(PC), 무선 액세스 포인트 등과 같은 임의의 유형의 무선 노드 또는 네트워크 기기일 수 있다. 도 1의 예시는 범용 무선 네트워크를 도시하며, 무선 메시 네트워크의 설계는 네트워크의 적용 및 구현에 따라 폭넓게 달라질 것이므로, 도 1은 무선 메시 네트워크의 다른 구현에서 존재할 수 있는 무선 메시 네트워크의 특징을 포함하지 않는다. 또한, 본 발명은 발명의 예시적인 실시예를 통해 기술될 수 있으나, 본 발명의 특징은 거의 모든 무선 메시 네트워크에서 구현될 수 있으며, 본 발명의 실시예는 IEEE 802.11s 표준에 대한 드래프트로 채택되어 왔다.
도 2는 본 발명의 실시예에서 사용될 수 있는 메시 지점(200)의 예시적인 블록도이다. 도 1의 메시 지점(200)의 블록도는 도 1에 도시된 임의의 메시 지점(110, 120, 130, 140 또는 150)을 나타낼 수 있다. 메시 지점(200)은 랩탑 컴퓨터, PC, PDA(personal data assistant), 무선 액세스 포인트 등을 포함하는 거의 임의의 유형의 무선 네트워크 기기일 수 있다. 도 2는 메시 지점(200)이 포함할 수 있는 각종 기본 구성요소를 도시한다. 메시 지점(200)은 인증된 신원(210)을 포함할 수 있다. 인증된 신원(210)은 메시 지점(200의 미디어 액세스 제어(media access control : MAC) 어드레스, 또는 메시 지점(200)에 대한 임의의 다른 고유한 식별자일 수 있다. 메시 지점(200)은 난수 발생기(220)를 또한 포함할 수 있다. 난수 발생기(220)는 메시 지점(200)에 대한 운영 체제의 일부분인 소프트웨어 애플리케이션일 수 있거나, 또는 난수 발생기(220)는 개별적인 특정의 독립형 애플리케이션일 수 있다. 난수 발생기(220)는 난수를 발생함에 있어 ANSI X9.31 및 ANSI X9.82 표준에 부합할 수 있다. 메시 지점(200)은 메모리(230)를 또한 포함할 수 있다. 메모리(230)는 하드 드라이브, 캐시 메모리, 또는 다른 유형의 고체 상태 메모리 등일 수 있다. 메모리(230)는 메시 네트워크에서 임의의 다른 메시 지점으로 링크를 수립하거나, 또는 메시 지점이 수행할 수 있는 임의의 다른 태스크를 수행하는데 사용할 수 있다. 메모리(230)에 저장된 데이터는 PMK 식별자 리스트, 메시 지점(200)에 대해 이용 가능한 PMK의 리스트, 임의의 현재의 링크에 대해 사용되는 임의의 PMK, 사용되는 임의의 PMK에 대응하는 임의의 인증 키 등을 포함할 수 있다. 메시 지점(200)은 프로세서(240)를 또한 포함할 수 있다. 프로세서(240)는 메시 지점(200)의 기능을 수행하도록 설계되는 임의의 유형의 디바이스일 수 있다.
도 3은 본 발명의 실시예에 따른 PMK를 협의함에 있어 메시지를 교환하는 2개의 메시 지점(310 및 320)의 대표적인 블록도이다. 본 발명의 실시예는 단지 2개의 메시지 지점을 갖는 무선 애드 혹 네트워크에 대해 기술되지만, 본 발명의 특징은 임의의 수의 메시 지점을 갖는 무선 네트워크의 모든 설계 및 구성에 대해 실제로 적용 가능하다. 도 3의 메시 지점(310 및 320)은 도 1에 도시된 임의의 메시 지점일 수 있고, 도 2의 메시 지점(200)의 블록도에 의해 표시될 수 있다. 본 발명의 실시예에 따르면, PMK의 협의를 초기화함에 있어, 적어도 하나의 메시 지점은 새로운 링크 인스턴스를 예시화하고, 디폴트 PMK를 선택하며, 그 각각의 PMK 식별자 리스트를 광고한다. PMK 식별자 리스트는 이들이 접속을 수립할 때 2개의 특정의 메시 지점이 공유하는 PMK의 배열된 리스트이고, PMK는 바람직하게 PMK의 만료 시간에 근거하여, 우선 순위의 순서로 배치된다. PMK는 네트워크에서 메시 지점의 각각의 쌍에 대해 고유하고, 접속을 수립하도록 시도하는 메시 지점의 각각의 쌍에 대해 상이하다. 현재의 예시적인 실시예에서, PMK 식별자 리스트는 메시 지점(310 및 320)이 공유하는 PMK를 포함하고, 서로에 대해 접속을 수립할 때 서로에 대해 이용 가능하다. 디폴트 PMK는 바람직하게, PMK 식별자 리스트에서 보다 높은 우선 순위의 PMK이다. 본 발명의 예시적인 실시예에서, 보다 높은 우선 순위를 갖는 PMK는 가장 최근의 만료 시간을 갖는 PMK이다. 디폴트 PMK가 선택된 이후에 메시 지점은 오픈 메시지 내의 PMK 식별자 리스트를 송신한다. 오픈 메시지는 구성되는 PMK 식별자 리스트, 메시 지점의 인증된 신원, 발생된 난수, 선택된 디폴트 PMK, 및 선택된 디폴트 PMK로부터 도출된 메시지 인증 코드 키에 의해 연산된 메시지에 대한 메시지 인증 코드를 포함한다. PMK 식별자 리스트가 구성되기 이전에 디폴트 PMK가 선택되는 일 실시예가 기술되었으나, 다른 실시예에서, PMK 식별자 리스트는 디폴트 PMK가 선택되기 이전에 구성될 수 있다. 메시 지점의 인증된 신원은 도 2에 도시된 인증된 신원(210)일 수 있고, 발생된 난수는 난수 발생기(220)에 의해 발생되었다. 메시지 인증 코드는 AES(advanced encryption standard)와 같은 암호화 표준에 따라 발생될 수 있다. 본 발명의 실시예에서, 오픈 메시지는 다음과 같이 구성될 수 있다. 즉,
Figure pct00001
여기서 MP는 송신 메시 지점의 인증된 신원이고, R은 난수이며, L은 메시 지점에 이용 가능한 PMK의 식별자 리스트이고, K는 선택된 디폴트 PMK의 식별자이며, KK는 K로부터 도출된 메시지 인증 코드 키이고,
Figure pct00002
은 KK를 이용하여 연산된 메시지 인증 코드이며,
Figure pct00003
은 연계를 표시한다. 또한, 각각의 메시 지점에 대해 이용 가능한 PMK의 리스트는 사전 결정된 순서로 배치된다. 각각의 PMK가 유효한 시간의 연관된 지속 기간을 가지므로, 이용 가능한 PMK의 L의 리스트 내의 PMK 식별자는 각각의 PMK이 만료 시간에 의해 배열된다. L에서 첫 번째 PMK 식별자는 L에서 식별된 모든 PMK 중에서 최종으로 만료하는 PMK를 식별하고 L에서 최종 MK 식별자는 L에서 식별된 모든 PMK 중에서 첫 번째로 만료하는 PMK를 식별한다. 선택된 디폴트 PMK는 일반적으로 L에서 첫 번째 MK 식별자이고, 최종 PMK는 만료한다.
메시 지점이 PMK 식별자 리스트를 구성하고 디폴트 PMK를 선택한 이후에, PMK 식별자 리스트는 오픈 메시지에 포함되고 다른 메시 지점에 송신된다. 메시 지점(310)이 메시 지점(320)과의 PMK의 협의를 초기화하는 실시예에서, 메시 지점(310)은 PMK 식별자 리스트를 구성하고, 오픈 메시지(330)에 리스트를 포함하며, 오픈 메시지(330)를 화살표(335)로 표시된 메시 지점(320)에 송신한다. 메시 지점(320)이 PMK의 협의를 초기화하는 실시예에서, 메시 지점(320)은 PMK 식별자 리스트를 구성하고, 오픈 메시지(340)에 리스트를 포함하며, 오픈 메시지(340)를 화살표(345)로 표시된 메시 지점(310)에 송신한다. 양 메시 지점(310, 320)이 협의를 초기화하는 실시예에서, 오픈 메시지(330, 340)가 구성되고, 화살표(335, 345)로 도시된 바와 같이 동시에 송신한다.
각각의 메시 지점이 오픈 메시지를 수신하고 메시 지점의 디폴트 PMK, 및 PMK 식별자 리스트에 근거하는 해석 알고리즘을 이용하여 현재의 링크에 대해 사용될 PMK에 관한 독립적인 결정을 행한다. 그러나, 단지 하나의 메시 지점이 링크를 초기화하는 실시예에서, 이 단계는 PMK 식별자 리스트의 형성에 선행할 수 있다. 예를 들어, 메시 지점(310)이 메시 지점(320)과의 링크를 초기화하는 실시예에서, 메시 지점(310)은 PMK 식별자 리스트를 구성하고, 오픈 메시지(330)에 포함하며, 오픈 메시지(330)를 메시 지점(320)에 송신한다. 메시 지점(320)은 오픈 메시지(330)를 수신하고 현재의 링크에 대해 사용될 PMK의 독립적인 결정을 행한다. PMK가 선택된 이후에, 메시 지점(320)은 선택된 PMK로 PMK 식별자 리스트를 구성하고, 오픈 메시지(340) 내의 PMK 식별자 리스트를 메시 지점(310)에 송신한다.
양 메시 지점이 PMK 식별자 리스트를 구성하고, 오픈 메시지 내의 리스트를 송신하며, 수신된 오픈 메시지에 근거하여 사용될 협의된 PMK를 독립적으로 각각 선택한 이후에, 협의된 PMK가 동일한 경우 양 메시 지점은 확인 메시지를 구성하고 확인 메시지를 다른 메시 지점에 송신한다. 도 3에서, 메시 지점(310)은 확인 메시지(350)를 구성하고 메시 지점(320)은 확인 메시지(360)를 구성한다. 확인 메시지는 양 메시 지점의 인증된 식별자, 각각의 PMK 식별자 리스트 내의 양 메시 지점에 의해 전송된 난수, 선택된 협의된 PMK, 및 협의된 PMK를 이용하여 연산된 확인 메시지의 메시지 인증 코드를 포함한다. 본 발명의 실시예에서, 메시 지점(310)으로부터 메시 지점(320)으로 전송되는 확인 메시지는 다음과 같이 구성될 수 있다. 즉,
Figure pct00004
여기서 MP310은 메시 지점(310)의 인증된 신원이고, MP320은 메시 지점(320)의 인증된 신원이며, R310은 그 오픈 메시지 내의 메시 지점(310)에 의해 발생되고 송신된 난수이고, R320은 그 오픈 메시지 내의 메시 지점(320)에 의해 발생되고 송신된 난수이며, K는 선택된 협의된 PMK이며, KK는 K로부터 도출된 메시지 인증 코드 키이고,
Figure pct00005
은 KK를 이용하여 연산된 메시지 인증 코드이며,
Figure pct00006
은 연계를 표시한다. 프로토콜을 완료하기 위해, 메시 지점(320)은 K로서 지징된 선택된 PMK를 사용하기 위한 양 메시 지점의 역할을 확인하도록 유사한 확인 메시지를 구성하고 메시 지점(310)에 송신한다. 메시 지점(320)에 의해 구성되어 송신된 대응하는 확인 메시지는 다음과 같다. 즉,
Figure pct00007
여기서 MP320은 메시 지점(320)의 인증된 신원이고, MP310은 메시 지점(321)의 인증된 신원이며, R320은 그 오픈 메시지 내의 메시 지점(320)에 의해 발생되고 송신된 난수이고, R310은 그 오픈 메시지 내의 메시 지점(310)에 의해 발생되고 송신된 난수이며, K는 선택된 협의된 PMK이며, KK는 K로부터 도출된 메시지 인증 코드 키이고,
Figure pct00008
은 KK를 이용하여 연산된 메시지 인증 코드이며,
Figure pct00009
은 연계를 표시한다. 확인 메시지에 2개의 난수를 포함하는 것은 리플레이 공격에 대해 보호하고 메시지가 프레시(fresh)인 양 메시 지점에 대해 확인한다. 2개의 확인 메시지(350 및 360)의 송신은 2개의 화살표(355 및 365)로 표시된다. 그러나, PMK가 성공적으로 협의되지 않은 경우, 어떠한 확인 메시지도 구성되거나 송신되지 않는다.
도 4는 협의된 PMK를 독립적으로 선택할 때 메시 지점에서 수행된 해석 알고리즘의 단계를 나타내는 본 발명의 실시예에 따른 방법(400)의 대표적인 흐름도이다. 방법(400)의 단계는 도 1 및 도 3에 각각 도시된 바와 같이, 무선 애드 혹 네트워크(100)와 메시 지점(310)의 요소 및 특징에 대해 기술된다. 그러나, 방법(400)의 단계는 기술된 방법의 실시예로 제한되지 않는다.
방법(400)의 제 1 단계는 단계(405)이며, 여기서 메시 지점(310)은 링크를 수립하도록 시도하는 중이며, 이에 따라 PMK를 협의할 필요가 있다. 링크를 수립하는 것에 대비하여, 단계(405)에서 메시 지점(310)은 새로운 링크르 위한 새로운 인스턴스를 생성한다. 단계(410)에서, 메시 지점(310)은 이용 가능한 PMK의 리스트로부터 디폴트 PMK를 선택한다. 이용 가능한 PMK는 만료 시간의 순서로 소팅될 수 있으며, 가장 최근의 만료 시간을 갖는 PMK는 최상위 우선 순위가 주어지고, PMK는 최종 랭크된 시간에 가장 근접하여 만료된다. 바람직하게, 디폴트 PMK는 최상의 우선 순위를 갖는 PMK(즉, 최종 만료되는 PMK)이다. 디폴트 PMK가 선택된 이후에, 메시 지점(310)은 단계(415) 동안 상기 기술된 바와 같이 오픈 메시지에 위치할 PMK 식별자 리스트를 구성한다. 그 다음에 메시 지점(310)은 단계(420) 동안 네트워크(100) 내의 다른 메시 지점에 오픈 메시지를 송신한다. 단계(420)에서 오픈 메시지가 송신된 이후에, 메시 지점(310)은 단계(425) 동안 네트워크(100) 내의 다른 메시 지점으로부터 오픈 메시지를 수신할 수 있다. 다른 메시 지점은 도 3에 도시된 바와 같은 메시 지점(320)일 수 있다.
다른 메시 지점으로부터 오픈 메시지를 수신한 이후에, 메시 지점(310)은 이용 가능한 PMK 및 수신된 오픈 메시지에 근거하여 협의된 PMK를 독립적으로 선택한다. 단계(430) 동안 PMK가 선택될 수 없는 경우, 메시 지점(310)은 링크에 대한 현재의 인스턴스를 송신하고 방법(400)을 다시 시작한다. 그러나, 단계(430) 동안 PMK가 선택되는 경우, 메시 지점(310)은 단계(440) 동안 상기 기술된 바와 같이 확인 메시지를 구성한다. 그 다음에 메시 지점(310)은 단계(445) 동안 확인 메시지를 송신하고, 단계(450) 동안 다른 메시 지점으로부터 확인 메시지를 수신한다. 선택된 PMK가 매칭하는 경우, 프로토콜은 종료하고 링크는 성공적으로 수립된다.
도 5는 PMK를 독립적으로 선택할 때 방법(400)의 단계(430) 동안, 메시 지점(310)과 같은 메시 지점에 의해 수행될 수 있는 본 발명의 실시예에 따른 방법(500)의 대표적인 흐름도이다. 방법(500)은 링크를 수립하고자 시도할 때, 또는 링크를 수립하고자 시도하는 다른 메시 지점으로부터 오픈 메시지를 수신할 때 메시 지점(310)에서 수행될 수 있다. 방법(500)의 단계는 도 1 및 도 3에 각각 도시된 바와 같이, 무선 애드 혹 네트워크(100)와 메시 지점(310)의 요소 및 특징에 대해 기술된다. 그러나, 방법(500)의 단계는 기술된 방법의 실시예로 제한되지 않는다. 방법(500)의 기술 동안, K는 메시 지점에 의해 사용되는 PMK의 변수를 나타내고, K는 단계(505) 동안 수신된 오픈 메시지에 수신되는 PMK를 나타내며, L1은 메시 지점(310)에 대해 이용 가능한 PMK의 리스트를 나타내고, L2는 단계(505) 동안 메시 지점(310)에서 수신된 오픈 메시지를 송신한 메시 지점에 대해 이용 가능한 PMK의 리스트를 나타낸다.
단계(505) 동안, 메시 지점(310)은 무선 애드 혹 네트워크 내의 다른 메시 지점으로부터 오픈 메시지를 수신한다. 결정 블록(510) 동안, 메시 지점(310)은 사용될 PMK(K)를 이미 갖는지를 결정한다. 사용될 PMK가 이미 수립된 것으로 결정하면, 단계(515) 동안 사용될 PMK가 수신된 오픈 메시지에 포함되는 K2와 동일한지를 알도록 체크한다. 2개의 PMK가 매칭하면, 단계(530) 동안 메시 지점(310)은 선택된 PMK(K2)로 확인된 메시지를 구성하고 송신한다. 2개의 PMK가 매칭하지 않으면, 단계(525) 동안 오픈 메시지가 폐기되고 방법은 종료된다.
메시 지점(310)이 사용될 PMK를 갖지 않는 상황에서, 블록(520) 동안 메시 지점(310)은 K2가 이용 가능한 PMK의 리스트(L)에 포함되는지를 검증한다. K2가 L1에 포함되지 않는 경우, 오픈 메시지가 폐기되고 방법은 종료된다. 그러나, K2가 L1에 존재하는 경우, 메시 지점(310)은 K2가 최상위 우선 순위를 갖는 PMK(K1, 가장 최근의 만료 시간을 갖는 PMK)와 동일한 PMK인지를 알도록 체크한다. K1 및 K2가 동일하면, 단계(540) 동안 메시 지점은 K2를 사용될 PMK로 설정하고, 이에 따라 확인 메시지를 구성하고 전송한다. 그러나, K1 및 K2가 동일하지 않으면, 메시 지점(310)은 L1 및 L2에서 임의의 공유된 PMK가 존재하는지를 알도록 주시한다. 공유된 PMK가 존재하지 않으면, 프로토콜은 종료된다. 적어도 하나의 공통 PMK가 존재하면, 단계(545) 동안 메시 지점(310)은 PMK가 공유된 PMK(S1)의 최상위 우선 순위(가장 최근의 만료 시간)를 갖는지를 결정한다. 다음에, 단계(550) 동안 메시 지점(310)은 S1 및 K1이 동일한지를 알도록 체크한다. S1 및 K1이 동일하면, 메시 지점(310)은 K1을 이용하여 오픈 메시지를 구성하고, 대응하는 오픈 메시지에서 리스트를 전송한다. 그러나, S1 및 K1이 동일하지 않으면, 메시 지점은 현재의 링크 인스턴스를 폐기하고, 메시 지점(320)에 송신하기 위해 S1로 새로운 오픈 메시지를 구성한다. 따라서, PMK가 방법(500)으로 성공적으로 협의되는 경우, 그 결과의 협의된 PMK는 2개의 메시 지점에 의해 공유된 PMK 중에서 최상위 우선 순위를 갖는 PMK이다.
도 6은 협의된 PMK를 완료하기 위해 확인 메시지를 수신할 때 방법(400)의 단계(450) 동안, 메시 지점(310)과 같은 메시 지점에 의해 수행될 수 있는 본 발명의 실시예에 따른 방법(600)의 대표적인 흐름도이다. 방법(600)의 단계는 도 1 및 도 3에 각각 도시된 바와 같이, 무선 애드 혹 네트워크(100)와 메시 지점(310)의 요소 및 특징에 대해 기술된다. 그러나, 방법(600)의 단계는 기술된 방법의 실시예로 제한되지 않는다.
단계(605) 동안, 메시 지점(310)은 확인 메시지를 수신한다. 결정 블록(610)에서, 메시 지점(310)은 사용되는 PMK(K)를 이미 갖는지를 결정한다. 사용되는 PMK가 수립된 경우, 단계(615) 동안 메시 지점(310)은 사용되는 PMK가 확인 메시지(K2)에 수신된 PMK와 동일한지를 알도록 체크한다. 2개의 PMK가 동일하면, 메시 지점(310)은 확인 메시지에 포함된 인증 코드를 검증한다. 이후, 메시 지점(310)은 단계(630 및 640) 동안 대응하는 확인 메시지를 구성하고 전송하며 방법은 종료한다. 2개의 PMK가 동일하지 않으면, 메시 지점(310)은 확인 메시지를 폐기하고 방법은 종료한다.
그러나, PMK가 수립한 PMK(K)를 갖지 않는 상황에서, 블록(620) 동안 메시 지점(310)은 K2가 만료 시간에 근거하여 최상위 우선 순위를 갖는 이용 가능한 PMK(K1)의 리스트에서 PMK와 동일한 PMK인지를 알도록 체크한다. K1 및 K2가 동일하면, 단계(625) 동안 K2를 사용될 PMK로서 설정하고, 단계(630 및 640) 동안 대응하는 확인 메시지를 구성하고 전송한다.
따라서, 몇몇 실시예에 적용되는 바와 같이, 본 발명의 근본적인 신규한 특징을 도시하고, 기술하며, 지적하였으나, 당 분야에서 통상의 지식을 가진 자에 의해 본 발명의 사상 및 범위로부터 벗어나지 않고 도시된 실시예의 형태와 세부 사항, 및 그들의 동작에 있어서, 각종 생략, 대체 및 변경이 행해질 수 있음이 이해될 것이다. 하나의 실시예로부터 다른 실시예로의 요소의 대체가 또한 전체적으로 의도되고 고려된다. 본 발명은 첨부된 특허 청구 범위 및, 본 명세서에서의 인용의 균등물에 대해서만 정의된다.

Claims (23)

  1. 페어와이즈 마스터 키(pairwise master key : "PMK")를 협의하는 시스템으로서,
    제 1 네트워크 디바이스와 제 2 네트워크 디바이스를 적어도 포함하며,
    적어도 하나의 네트워크 디바이스는 상기 PMK가 협의되기 이전에 배열된 PMK 식별자 리스트로부터 디폴트 PMK를 선택하고, 상기 디폴트 PMK와 상기 배열된 PMK 식별자 리스트에 근거하여 상기 PMK를 협의하도록 구성되는
    PMK 협의 시스템.
  2. 제 1 항에 있어서,
    적어도 하나의 네트워크 디바이스는 프로세서, 저장 디바이스, 난수 발생기, 및 데이터를 송신하고 수신하도록 구성된 통신 디바이스를 포함하고,
    상기 제 1 네트워크 디바이스는 링크를 수립하는 인스턴스(instance)를 생성하고, 제 1 디폴트 PMK를 선택하며, 제 1 PMK 식별자 리스트를 구성하고, 상기 제 1 PMK 식별자 리스트를 포함하는 제 1 오픈 메시지를 구성하며, 상기 제 1 오픈 메시지를 상기 제 2 네트워크 디바이스에 송신하고, 상기 제 2 네트워크 디바이스에 의해 구성된 제 2 디폴트 PMK와 제 2 PMK 식별자 리스트를 포함하는 제 2 오픈 메시지를 수신하며, 상기 제 1 디폴트 PMK, 상기 제 1 PMK 식별자 리스트 및 상기 제 2 PMK 식별자 리스트에 근거하여 협의된 PMK를 독립적으로 선택하는
    PMK 협의 시스템.
  3. 제 2 항에 있어서,
    상기 제 1 네트워크 디바이스와 상기 제 2 네트워크 디바이스는 무선 애드 혹 네트워크에서 메시 지점(mesh points)인
    PMK 협의 시스템.
  4. 제 2 항에 있어서,
    상기 제 1 오픈 메시지는
    상기 제 1 네트워크 디바이스와 연관된 제 1 네트워크 디바이스 식별자와,
    상기 제 1 네트워크 디바이스와 연관되어 발생된 난수와,
    상기 제 1 네트워크 디바이스와 상기 제 2 네트워크 디바이스와 연관된 PMK의 리스트를 포함하는 상기 제 1 PMK 식별자 리스트와,
    상기 제 1 네트워크 디바이스와 연관된 상기 제 1 디폴트 PMK와,
    상기 제 1 디폴트 PMK로 구성된 메시지 인증 코드를 포함하는
    PMK 협의 시스템.
  5. 제 2 항에 있어서,
    상기 제 2 오픈 메시지는
    상기 제 2 네트워크 디바이스와 연관된 제 2 네트워크 디바이스 식별자와,
    상기 제 2 네트워크 디바이스와 연관되어 발생된 난수와,
    상기 제 1 네트워크 디바이스와 상기 제 2 네트워크 디바이스와 연관된 PMK의 리스트를 포함하는 상기 제 2 PMK 식별자 리스트와,
    상기 제 2 네트워크 디바이스와 연관된 상기 제 2 디폴트 PMK와,
    상기 제 2 디폴트 PMK로 구성된 메시지 인증 코드를 포함하는
    PMK 협의 시스템.
  6. 제 2 항에 있어서,
    상기 제 1 PMK 식별자 리스트 및 상기 제 2 PMK 식별자 리스트는 각각의 리스트에서 상기 PMK 중 적어도 하나와 연관된 만료 시간에 근거하여 우선 순위의 순서로 배열되고, 상기 제 1 디폴트 PMK는 상기 제 1 PMK 식별자 리스트에서 최고 우선 순위를 갖는 상기 제 1 PMK 식별자 리스트 내의 PMK이며, 상기 제 2 디폴트 PMK는 상기 제 2 PMK 식별자 리스트에서 최고 우선 순위를 갖는 상기 제 2 PMK 식별자 리스트 내의 PMK인
    PMK 협의 시스템.
  7. 제 6 항에 있어서,
    우선 순위의 순서에서 최고 우선 순위는 가장 최근에 만료하는 상기 PMK에 주어지는
    PMK 협의 시스템.
  8. 제 2 항에 있어서,
    상기 협의된 PMK는 상기 제 1 네트워크 디바이스와 상기 제 2 네트워크 디바이스에 의해 공유된 PMK 중 최고 우선 순위를 갖는 PNK를 포함하는
    PMK 협의 시스템.
  9. 제 2 항에 있어서,
    상기 제 1 네트워크 디바이스와 상기 제 2 네트워크 디바이스는 상기 PMK의 성공적인 협의 시에 제 1 확인 메시지 및 제 2 확인 메시지를 송신하도록 또한 구성되고, 성공적인 협의는 동일한 PMK인 상기 제 1 디폴트 PMK 및 상기 제 2 디폴트 PMK를 포함하고,
    상기 제 1 확인 메시지 및 상기 제 2 확인 메시지는 각각,
    상기 제 1 네트워크 디바이스와 연관된 제 1 네트워크 디바이스 식별자와,
    상기 제 2 네트워크 디바이스와 연관된 제 2 네트워크 디바이스 식별자와,
    상기 제 1 네트워크 디바이스와 연관되어 발생된 제 1 난수와,
    상기 제 2 네트워크 디바이스와 연관되어 발생된 제 2 난수와,
    상기 협의된 PMK와,
    상기 협의된 PMK로 구성된 메시지 인증 코드를 포함하는
    PMK 협의 시스템.
  10. 페어와이즈 마스터 키(PMK)를 협의하는 방법으로서,
    상기 PMK가 협의되기 이전에 배열된 PMK 식별자 리스트로부터 디폴트 PMK를 선택하는 단계와,
    상기 디폴트 PMK와 상기 배열된 PMK 식별자 리스트에 근거하여 상기 PMK를 협의하는 단계를 포함하는
    PMK 협의 방법.
  11. 제 10 항에 있어서,
    링크를 수립하기 위해 인스턴스를 생성하는 단계와,
    제 1 네트워크 디바이스에서 상기 제 1 네트워크 디바이스와 제 2 네트워크 디바이스와 연관된 제 1 PMK 식별자 리스트를 구성하는 단계와,
    상기 제 1 네트워크 디바이스와 연관된 제 1 디폴트 PMK를 결정하는 단계와,
    상기 제 1 PMK 식별자 리스트를 포함하는 제 1 오픈 메시지를 상기 제 2 네트워크 디바이스에 송신하는 단계와,
    상기 제 2 네트워크 디바이스와 연관된 제 2 PMK 식별자 리스트를 포함하는 제 2 오픈 메시지를 수신하는 단계와,
    상기 제 1 디폴트 PMK, 상기 제 1 PMK 식별자 리스트 및 상기 제 2 PMK 식별자 리스트에 근거하여 협의된 PMK를 독립적으로 선택하는 단계를 더 포함하는
    PMK 협의 방법.
  12. 제 11 항에 있어서,
    상기 제 2 네트워크 디바이스에서 상기 제 2 네트워크 디바이스와 상기 제 1 네트워크 디바이스와 연관된 상기 제 2 PMK 식별자 리스트를 구성하는 단계와,
    상기 제 2 네트워크 디바이스와 연관된 제 2 디폴트 PMK를 결정하는 단계와,
    상기 제 2 PMK 식별자 리스트를 포함하는 상기 제 2 오픈 메시지를 상기 제 1 네트워크 디바이스에 송신하는 단계와,
    상기 제 1 네트워크 디바이스에 의해 송신된 상기 PMK 식별자 리스트를 포함하는 상기 제 1 오픈 메시지를 수신하는 단계와,
    상기 수신된 제 1 PMK 식별자 리스트, 상기 제 2 디폴트 PMK 및 제 2 PMK 식별자 리스트에 근거하여 상기 협의된 PMK를 독립적으로 선택하는 단계를 더 포함하는
    PMK 협의 방법.
  13. 제 12 항에 있어서,
    상기 PMK를 성공적으로 협의하는 단계-성공적인 협의는 상기 제 2 디폴트 PMK와 동일한 상기 제 1 디폴트 PMK를 포함함-와,
    상기 제 1 네트워크 디바이스에서 상기 협의된 PMK에 근거하여 제 1 확인 메시지를 구성하는 단계와,
    상기 제 1 확인 메시지를 상기 제 2 네트워크 디바이스에 송신하는 단계와,
    상기 제 2 네트워크 디바이스로부터 상기 협의된 PMK에 근거하여 제 2 확인 PMK 메시지를 수신하는 단계를 더 포함하는
    PMK 협의 방법.
  14. 제 13 항에 있어서,
    상기 PMK를 성공적으로 협의하는 단계-성공적인 협의는 상기 제 2 디폴트 PMK와 동일한 상기 제 1 디폴트 PMK를 포함함-와,
    상기 제 2 네트워크 디바이스에서 상기 협의된 PMK에 근거하여 상기 제 2 확인 메시지를 구성하는 단계와,
    상기 제 2 확인 메시지를 상기 제 1 네트워크 디바이스에 송신하는 단계와,
    상기 제 1 네트워크 디바이스로부터 상기 협의된 PMK에 근거하여 상기 제 1 확인 메시지를 수신하는 단계를 더 포함하는
    PMK 협의 방법.
  15. 제 11 항에 있어서,
    상기 제 1 네트워크 디바이스와 상기 제 2 네트워크 디바이스는 무선 애드 혹 네트워크에서 메시 지점인
    PMK 협의 방법.
  16. 제 11 항에 있어서,
    상기 제 1 오픈 메시지는
    상기 제 1 네트워크 디바이스와 연관된 제 1 네트워크 디바이스 식별자와,
    상기 제 1 네트워크 디바이스와 연관되어 발생된 난수와,
    상기 제 1 네트워크 디바이스와 상기 제 2 네트워크 디바이스와 연관된 PMK의 리스트를 포함하는 상기 제 1 PMK 식별자 리스트와,
    상기 제 1 네트워크 디바이스와 연관된 상기 제 1 디폴트 PMK와,
    상기 제 1 디폴트 PMK로 구성된 메시지 인증 코드를 포함하는
    PMK 협의 방법.
  17. 제 12 항에 있어서,
    상기 제 2 오픈 메시지는
    상기 제 2 네트워크 디바이스와 연관된 제 2 네트워크 디바이스 식별자와,
    상기 제 2 네트워크 디바이스와 연관되어 발생된 난수와,
    상기 제 1 네트워크 디바이스와 상기 제 2 네트워크 디바이스와 연관된 PMK의 리스트를 포함하는 상기 제 2 PMK 식별자 리스트와,
    상기 제 2 네트워크 디바이스와 연관된 상기 제 2 디폴트 PMK와,
    상기 제 2 디폴트 PMK로 구성된 메시지 인증 코드를 포함하는
    PMK 협의 방법.
  18. 제 11 항에 있어서,
    상기 협의된 PMK는 상기 제 1 네트워크 디바이스와 상기 제 2 네트워크 디바이스에 의해 공유된 PMK 중 최고 우선 순위를 갖는 PMK를 포함하는
    PMK 협의 방법.
  19. 제 12 항에 있어서,
    상기 제 1 PMK 식별자 리스트 및 상기 제 2 PMK 식별자 리스트는 각각의 리스트에서 상기 PMK 중 적어도 하나와 연관된 만료 시간에 근거하여 우선 순위의 순서로 배열되고, 상기 제 1 디폴트 PMK는 상기 제 1 PMK 식별자 리스트에서 최고 우선 순위를 갖는 상기 제 1 PMK 식별자 리스트 내의 PMK이며, 상기 제 2 디폴트 PMK는 상기 제 2 PMK 식별자 리스트에서 최고 우선 순위를 갖는 상기 제 2 PMK 식별자 리스트 내의 PMK인
    PMK 협의 방법.
  20. 제 19 항에 있어서,
    우선 순위의 순서에서 최고 우선 순위는 가장 최근에 만료하는 상기 PMK에 주어지는
    PMK 협의 방법.
  21. 제 14 항에 있어서,
    상기 제 1 확인 메시지 및 상기 제 2 확인 메시지는,
    상기 제 1 네트워크 디바이스와 연관된 제 1 네트워크 디바이스 식별자와,
    상기 제 2 네트워크 디바이스와 연관된 제 2 네트워크 디바이스 식별자와,
    상기 제 1 네트워크 디바이스와 연관되어 발생된 제 1 난수와,
    상기 제 2 네트워크 디바이스와 연관되어 발생된 제 2 난수와,
    상기 협의된 PMK와,
    상기 협의된 PMK로 구성된 메시지 인증 코드를 포함하는
    PMK 협의 방법.
  22. 제 10 항에 있어서,
    상기 제 1 네트워크 디바이스에서 링크를 수립하는 제 1 인스턴스를 생성하는 단계와,
    상기 제 2 네트워크 디바이스에서 링크를 수립하는 제 2 인스턴스를 생성하는 단계와,
    상기 제 1 네트워크 디바이스에서 상기 제 1 네트워크 디바이스와 상기 제 2 네트워크 디바이스와 연관된 제 1 PMK 식별자 리스트를 구성하는 단계와,
    상기 제 2 네트워크 디바이스에서 상기 제 2 네트워크 디바이스와 상기 제 1 네트워크 디바이스와 연관된 제 2 PMK 식별자 리스트를 구성하는 단계와,
    상기 제 1 네트워크 디바이스와 연관된 제 1 디폴트 PMK를 선택하는 단계와,
    상기 제 2 네트워크 디바이스와 연관된 제 2 디폴트 PMK를 선택하는 단계와,
    상기 제 1 PMK 식별자 리스트를 포함하는 제 1 오픈 메시지를 상기 제 2 네트워크 디바이스에 송신하는 단계와,
    상기 제 2 PMK 식별자 리스트를 포함하는 제 2 오픈 메시지를 상기 제 1 네트워크 디바이스에 송신하는 단계와,
    상기 제 2 네트워크 디바이스에서 상기 제 1 오픈 메시지를 수신하는 단계와,
    상기 제 1 네트워크 디바이스에서 상기 제 2 오픈 메시지를 수신하는 단계와,
    상기 제 1 네트워크 디바이스에서 상기 수신된 제 2 PMK 식별자 리스트에 근거하여 협의된 PMK를 독립적으로 선택하는 단계와,
    상기 제 2 네트워크 디바이스에서 상기 수신된 제 1 PMK 식별자 리스트에 근거하여 상기 협의된 PMK를 독립적으로 선택하는 단계를 더 포함하는
    PMK 협의 방법.
  23. 제 22 항에 있어서,
    상기 PMK를 성공적으로 협의하는 단계-성공적인 협의는 상기 제 2 디폴트 PMK와 동일한 상기 제 1 디폴트 PMK를 포함함-와,
    상기 제 1 네트워크 디바이스에서 상기 협의된 PMK에 근거하여 제 1 확인 메시지를 구성하는 단계와,
    상기 제 2 네트워크 디바이스에서 상기 협의된 PMK에 근거하여 제 2 확인 메시지를 구성하는 단계와,
    상기 제 1 확인 메시지를 상기 제 2 네트워크 디바이스에 송신하는 단계와,
    상기 제 2 확인 메시지를 상기 제 1 네트워크 디바이스에 송신하는 단계와,
    상기 제 2 네트워크 디바이스에서 상기 제 1 네트워크 디바이스로부터 상기 제 1 확인 메시지를 수신하는 단계와,
    상기 제 1 네트워크 디바이스에서 상기 제 2 네트워크 디바이스로부터 상기 제 2 확인 메시지를 수신하는 단계를 더 포함하는
    PMK 협의 방법.
KR1020107014360A 2007-12-28 2008-12-01 Pmk 협의 시스템 및 pmk 협의 방법 KR101175864B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/966,776 2007-12-28
US11/966,776 US9246679B2 (en) 2007-12-28 2007-12-28 Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks

Publications (2)

Publication Number Publication Date
KR20100087768A true KR20100087768A (ko) 2010-08-05
KR101175864B1 KR101175864B1 (ko) 2012-08-21

Family

ID=40798478

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107014360A KR101175864B1 (ko) 2007-12-28 2008-12-01 Pmk 협의 시스템 및 pmk 협의 방법

Country Status (7)

Country Link
US (1) US9246679B2 (ko)
EP (1) EP2225909A4 (ko)
JP (1) JP5010744B2 (ko)
KR (1) KR101175864B1 (ko)
CN (1) CN101911814B (ko)
BR (1) BRPI0819474A2 (ko)
WO (1) WO2009085528A2 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9173095B2 (en) * 2013-03-11 2015-10-27 Intel Corporation Techniques for authenticating a device for wireless docking
US9462464B2 (en) * 2014-03-27 2016-10-04 Qualcomm Incorporated Secure and simplified procedure for joining a social Wi-Fi mesh network
CN106162633B (zh) * 2015-04-20 2019-11-29 北京华为数字技术有限公司 一种密钥传输方法和装置

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5534520A (en) * 1978-08-31 1980-03-11 Fujitsu Ltd Encrypt data communication system containing multi- encrypt key
DE19513959C2 (de) * 1995-04-12 1997-02-13 Siemens Ag Verfahren zur Steuerung von Funktionen zum Funkbereichswechsel von Kommunikationsendgeräten
US5930362A (en) * 1996-10-09 1999-07-27 At&T Wireless Services Inc Generation of encryption key
US6965674B2 (en) * 2002-05-21 2005-11-15 Wavelink Corporation System and method for providing WLAN security through synchronized update and rotation of WEP keys
US7212837B1 (en) * 2002-05-24 2007-05-01 Airespace, Inc. Method and system for hierarchical processing of protocol information in a wireless LAN
US7234063B1 (en) * 2002-08-27 2007-06-19 Cisco Technology, Inc. Method and apparatus for generating pairwise cryptographic transforms based on group keys
EP1395015B1 (en) * 2002-08-30 2005-02-02 Errikos Pitsos Method, gateway and system for transmitting data between a device in a public network and a device in an internal network
US7486795B2 (en) 2002-09-20 2009-02-03 University Of Maryland Method and apparatus for key management in distributed sensor networks
US7263357B2 (en) * 2003-01-14 2007-08-28 Samsung Electronics Co., Ltd. Method for fast roaming in a wireless network
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
US7350233B1 (en) * 2003-09-12 2008-03-25 Nortel Networks Limited Fast re-establishment of communications for virtual private network devices
EP1531645A1 (en) * 2003-11-12 2005-05-18 Matsushita Electric Industrial Co., Ltd. Context transfer in a communication network comprising plural heterogeneous access networks
WO2006022469A1 (en) 2004-08-25 2006-03-02 Electronics And Telecommunications Research Institute Method for security association negociation with extensible authentication protocol in wireless portable internet system
US7603700B2 (en) * 2004-08-31 2009-10-13 Aol Llc Authenticating a client using linked authentication credentials
US7558388B2 (en) * 2004-10-15 2009-07-07 Broadcom Corporation Derivation method for cached keys in wireless communication system
ATE520085T1 (de) * 2004-10-27 2011-08-15 Meshnetworks Inc System und verfahren zur gewährleistung von sicherheit für ein drahtloses netzwerk
JP4551202B2 (ja) * 2004-12-07 2010-09-22 株式会社日立製作所 アドホックネットワークの認証方法、および、その無線通信端末
KR100729725B1 (ko) 2005-02-02 2007-06-18 한국전자통신연구원 무선 휴대 인터넷 시스템에서 인증 방법 및 그 인증 시스템
US7596376B2 (en) * 2005-02-18 2009-09-29 Cisco Technology, Inc. Methods, apparatuses and systems facilitating client handoffs in wireless network systems
US20060233377A1 (en) * 2005-03-31 2006-10-19 Hwang-Daw Chang Key distribution method of mobile ad hoc network
US8532304B2 (en) * 2005-04-04 2013-09-10 Nokia Corporation Administration of wireless local area networks
WO2006137624A1 (en) * 2005-06-22 2006-12-28 Electronics And Telecommunications Research Institute Method for allocating authorization key identifier for wireless portable internet system
US7602918B2 (en) * 2005-06-30 2009-10-13 Alcatel-Lucent Usa Inc. Method for distributing security keys during hand-off in a wireless communication system
US7545810B2 (en) * 2005-07-01 2009-06-09 Cisco Technology, Inc. Approaches for switching transport protocol connection keys
KR100770928B1 (ko) * 2005-07-02 2007-10-26 삼성전자주식회사 통신 시스템에서 인증 시스템 및 방법
US8576846B2 (en) * 2005-10-05 2013-11-05 Qualcomm Incorporated Peer-to-peer communication in ad hoc wireless network
WO2007111710A2 (en) * 2005-11-22 2007-10-04 Motorola Inc. Method and apparatus for providing a key for secure communications
US7706800B2 (en) * 2005-12-28 2010-04-27 Intel Corporation System, apparatus and method of hand over in wireless communication system
US8031872B2 (en) * 2006-01-10 2011-10-04 Intel Corporation Pre-expiration purging of authentication key contexts
JP2007188321A (ja) * 2006-01-13 2007-07-26 Sony Corp 通信装置および通信方法、プログラム、並びに記録媒体
US7333464B2 (en) * 2006-02-01 2008-02-19 Microsoft Corporation Automated service discovery and wireless network set-up
US8023478B2 (en) * 2006-03-06 2011-09-20 Cisco Technology, Inc. System and method for securing mesh access points in a wireless mesh network, including rapid roaming
CN101052035B (zh) * 2006-04-27 2011-08-03 华为技术有限公司 多主机安全架构及其空口密钥分发方法
US7804807B2 (en) * 2006-08-02 2010-09-28 Motorola, Inc. Managing establishment and removal of security associations in a wireless mesh network
US7499547B2 (en) * 2006-09-07 2009-03-03 Motorola, Inc. Security authentication and key management within an infrastructure based wireless multi-hop network
US8594315B1 (en) * 2006-10-03 2013-11-26 Avaya Inc. Speed dial administration based on call history
JP4823015B2 (ja) * 2006-10-26 2011-11-24 富士通株式会社 遠隔制御プログラム、携帯端末装置およびゲートウェイ装置
US8902793B2 (en) * 2007-02-15 2014-12-02 Broadcom Corporation Method and system for a low-complexity spanning tree algorithm in communication networks
US8175272B2 (en) * 2007-03-12 2012-05-08 Motorola Solutions, Inc. Method for establishing secure associations within a communication network
US9313658B2 (en) * 2007-09-04 2016-04-12 Industrial Technology Research Institute Methods and devices for establishing security associations and performing handoff authentication in communications systems

Also Published As

Publication number Publication date
BRPI0819474A2 (pt) 2015-09-29
KR101175864B1 (ko) 2012-08-21
EP2225909A2 (en) 2010-09-08
CN101911814A (zh) 2010-12-08
EP2225909A4 (en) 2016-06-01
US20090169011A1 (en) 2009-07-02
JP5010744B2 (ja) 2012-08-29
CN101911814B (zh) 2013-10-16
WO2009085528A2 (en) 2009-07-09
US9246679B2 (en) 2016-01-26
JP2011509023A (ja) 2011-03-17
WO2009085528A3 (en) 2009-08-27

Similar Documents

Publication Publication Date Title
KR102024365B1 (ko) Nan 데이터 링크에 참여하는 디바이스들 간의 스케줄 선택 및 연결 셋업
CN108293185B (zh) 无线设备认证方法和装置
KR101364298B1 (ko) 다중-계층 무선 홈 메시 네트워크의 인증
EP2007110B1 (en) Apparatus and methods for negotiating a capability in establishing a peer-to-peer communication link
JP5597676B2 (ja) 鍵マテリアルの交換
JP6522861B2 (ja) 複数のセキュリティレベルを備える無線通信システム
US8037510B2 (en) Techniques for negotiation of security policies in wireless mesh networks
KR101175864B1 (ko) Pmk 협의 시스템 및 pmk 협의 방법
EP4322460A1 (en) Reliability setting for improved security establishment methods and systems
EP4322459A1 (en) Improved security establishment methods and systems
EP4322472A1 (en) Improved security establishment methods and systems
WO2024033263A1 (en) Improved security establishment methods and systems
Villanueva et al. Solving the MANET autoconfiguration problem using the 802.11 SSID field

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150730

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160727

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170804

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee