KR20140110051A - 인증을 위한 시스템 및 방법 - Google Patents

인증을 위한 시스템 및 방법 Download PDF

Info

Publication number
KR20140110051A
KR20140110051A KR1020147021916A KR20147021916A KR20140110051A KR 20140110051 A KR20140110051 A KR 20140110051A KR 1020147021916 A KR1020147021916 A KR 1020147021916A KR 20147021916 A KR20147021916 A KR 20147021916A KR 20140110051 A KR20140110051 A KR 20140110051A
Authority
KR
South Korea
Prior art keywords
authentication
access point
station
fils
steps
Prior art date
Application number
KR1020147021916A
Other languages
English (en)
Other versions
KR101582502B1 (ko
Inventor
성 쑨
슘 콱 아우
윈보 리
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20140110051A publication Critical patent/KR20140110051A/ko
Application granted granted Critical
Publication of KR101582502B1 publication Critical patent/KR101582502B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Medicines That Contain Protein Lipid Enzymes And Other Medicines (AREA)

Abstract

인증 수행 방법은, 스테이션이, 개시 프레임을 수신하는 단계; 및 상기 스테이션이 인증 요구를 전송하는 단계를 포함한다. 인증 요구는 근거리 통신망(LAN)을 통한 확장 가능 인증 프로토콜(EAP)(EAPOL) 시작, 및 고속 초기 링크 설정(FILS) 핸드쉐이크를 위한 보안 파라미터를 포함한다.

Description

인증을 위한 시스템 및 방법{SYSTEMS AND METHODS FOR AUTHENTICATION}
본 출원은 2012년 1월 6일에 출원되고 발명의 명칭이 "System and Methods for IEEE 802.11 TGAi FILS Authentication Protocol"인 미국 가특허출원 No. 61/583,856 및 2013년 1월 4일에 출원되고 발명의 명칭이 "System and Methods for Authentication"인 미국특허출원 No. 13/754471의 이점을 주장하며, 상기 두 문헌의 내용은 본 명세서에 원용되어 병합된다.
본 발명은 무선 통신을 위한 시스템 및 방법에 관한 것이며, 특히 인증을 위한 시스템 및 방법에 관한 것이다.
IEEE 802.11은 무선 근거리 통신망(WLAN)과 같은 무선 근거리 통신망을 실행하기 위한 표준 집합이다. IEEE 802.11은 동일한 기본 프로토콜을 사용하는 에어 변조 기술에 대한 일련의 절반-듀플렉스를 포함하는 프로토콜 패밀리이다. 프로토콜은 미디어 액세스 제어(MAC) 계층 및 물리(PHY) 계층을 정의한다.
IEEE 802.11은 IEEE 802.11x를 병합하고, 이것은 근거리 통신망(LAN)을 통한 확장 가능 인증 프로토콜(EAP)(EAPOL)의 캡슐화를 정의한다. 802.1x를 사용하는 인증은 탄원 측, 예를 들어, 기지국, 인증 측, 예를 들어 액세스 포인트, 및 인증 서버를 포함한다.
IEEE 802.11i는 4-웨이 핸드쉐이크 및 그룹 키 핸드쉐이크를 포함하는 강력한 보안 네트워크 연계(robust security network association: RSNA)를 제공하며, 인증 서비스 및 포트 액세스 제어를 활용하여 적절한 암호 키를 구축 및 변경한다.
인증을 수행하는 실시예 방법은, 스테이션이 개시 프레임(initiation frame)을 수신하는 단계; 및 상기 스테이션이, 인증 요구를 전송하는 단계를 포함한다. 상기 인증 요구는, 상기 FILS를 포함하는 근거리 통신망(LAN)을 통한 확장 가능 인증 프로토콜(EAP)(EAPOL) 시작, 및 고속 초기 링크 설정(fast initial link setup: FILS) 핸드쉐이크를 위한 보안 파라미터를 포함한다.
인증을 수행하는 실시예 방법은, 액세스 포인트가, 인증 요구를 수신하는 단계를 포함한다. 상기 인증 요구는, 근거리 통신망(LAN)을 통한 확장 가능 인증 프로토콜(EAP)(EAPOL) 시작, 및 고속 초기 링크 설정(FILS) 핸드쉐이크를 위한 보안 파라미터를 포함한다. 또한, 상기 방법은 상기 액세스 포인트가 액세스 요구 프레임을 전송하는 단계를 포함한다.
실시예 스테이션은, 프로세서; 및 상기 프로세서가 실행하는 프로그래밍을 저장하는 컴퓨터 판독 가능형 저장 매체를 포함한다. 상기 프로그래밍은, 개시 프레임을 수신하고, 그리고 인증 요구를 전송하는 명령을 포함한다. 상기 인증 요구는, 근거리 통신망(LAN)을 통한 확장 가능 인증 프로토콜(EAP)(EAPOL) 시작, 및 고속 초기 링크 설정(FILS) 핸드쉐이크를 위한 보안 파라미터를 포함한다.
실시예 액세스 포인트는, 프로세서; 및 상기 프로세서가 실행하는 프로그래밍을 저장하는 컴퓨터 판독 가능형 저장 매체를 포함한다. 상기 프로그래밍은, 인증 요구를 수신하는 명령을 포함한다. 상기 인증 요구는, 근거리 통신망(LAN)을 통한 확장 가능 인증 프로토콜(EAP)(EAPOL) 시작, 및 고속 초기 링크 설정(FILS) 핸드쉐이크를 위한 보안 파라미터를 포함한다. 부가적으로, 상기 프로그래밍은 액세스 요구 프레임을 전송하는 명령을 포함한다.
전술한 바는 뒤따르는 발명의 상세한 설명을 더 잘 이해할 수 있도록 하기 위해 본 발명의 실시예의 특징을 넓게 강조한다. 본 발명의 실시예의 추가의 특징 및 이점에 대해 설명할 것이며, 이는 본 발명의 특허청구범위의 요지를 형성한다. 당업자라면 설명된 개념 및 특정한 실시예는 본 발명의 동일한 목적을 수행하기 위한 다른 구조 또는 프로세스를 변형 또는 재설계하는 것에 기초하여 용이하게 활용될 수 있다는 것을 이해할 수 있을 것이다. 당업자라면 이러한 등가의 구성은 첨부된 특허청구범위에서 설명된 바와 같은 본 발명의 정신 및 범주를 벗어나지 않는다는 것을 이해할 수 있을 것이다.
본 발명 및 본 발명의 이점을 더 완전하게 이해하기 위해, 첨부된 도면과 결합하여 설명된 이하의 상세한 설명을 참조한다.
도 1은 RSNA 인증을 위한 시스템에 대한 블록도이다.
도 2는 RSNA 인증을 위한 상태 머신에 대한 블록도이다.
도 3a 및 도 3b는 RSNA로 인증하는 방법에 대한 흐름도이다.
도 4는 인증을 위한 시스템에 대한 실시예를 도시한다.
도 5는 인증을 위한 상태 머신에 대한 실시예를 도시한다.
도 6은 인증의 방법 실시예에 대한 흐름도이다.
도 7은 실시예에 따라, 예를 들어 여기서 설명된 장치 및 방법을 실행하는 데 사용될 수 있는 연산 플랫폼을 설명하는 블록도이다.
도면 중 대응하는 수치 및 심벌은 일반적으로 다른 설명이 없으면 대응하는 부분을 말하는 것이다. 도면은 실시예의 관련 관점을 명확하게 도시하도록 의도되어 있으며 반드시 축척대로 도시된 것은 아니다.
서두에서, 하나 이상의 실시예의 도해적 실행을 이하에 제공하고 있으나, 개시된 시스템 및/또는 방법은 현재 공지되어 있든 기존에 존재하든 간에, 임의 개수의 기술을 사용해서 실행될 수 있다는 것은 물론이다. 본 발명은 도해적인 실행, 도면, 및 이하에 설명된 기술에 어떠한 식으로도 제한되지 않으며, 여기에 도해되고 설명된 예시적인 설계 및 실행을 포함하며, 등가의 완전한 범위와 함께 첨부된 특허청구범위의 범위 내에 변형될 수 있다.
고속 초기 링크 설정(fast initial link setup: FILS)은 액세스 포인트와 스테이션 간의 고속 인증 및 연계를 위해 MAC 계층 프로토콜을 사용해서 스테이션이 액세스 포인트(AP)와 연결되는 데 걸리는 시간을 단축하기 위한 것이다. 도 1은 RSNA를 수행하기 위한 시스템을 도시하고 있다. 시스템은 스테이션(STA)(102), 액세스 포인트(AP)(106), 및 권한부여 서버(AS)(104)를 포함한다. 스테이션(102)은 정책 결정 및 정책 집행 모두를 수행한다. 권한부여 서버(104)는 정책 결정을 수행하는 반면, 액세스 포인트(106)는 정책 집행을 수행한다.
RSNA 인증을 위한 상태 머신이 도 2에 도시되어 있다. 상태 머신은 상태(264), 상태(266), 상태(267), 및 상태(268)를 포함한다. 상태(264)에서, 시스템은 비인증 및 비연계되어 있다. 또한, 성공적인 802.11 인증이 있으면, 상태 머신은 상태(264)에서 상태(266)로 전환한다. 그런 다음, 상태 머신이 상태(266)에 있고, 성공적인 연계/재연계가 있으며 RSNA가 요구될 때, 상태 머신은 상태(267)로 전환한다. 그렇지만, 상태 머신이 상태(266)에 있고, 성공적인 연계/재연계가 있으며 RSNA가 요구되지 않을 때, 또는 고속 기본 서비스 집합(basic service set: BSS) 전환이 있을 때, 상태 머신은 상태(268)로 전환한다. 시스템이 연계해제되고, 성공적인 802.11 인증이 있거나, 성공하지 않은 연계/비연계가 있으며, 상태 머신이 상태(267)에 있을 때, 상태 머신은 상태(266)로 전환한다. 부가적으로, 상태 머신이 상태(267)에 있고, 성공적인 4-웨이 핸드쉐이크가 있을 때, 상태 머신은 상태(268)로 전환한다. 또한, 상태 머신이 상태(268)에 있고, 연계해제, 성공하지 않은 연계/재연계, 또는 성공적인 802.11 인증이 있을 때, 상태 머신은 상태(266)로 전환한다. 상태 머신이 상태(266), 상태(267), 또는 상태(268)에 있고, 시스템이 인증해제되면, 상태 머신은 상태(264)로 전환한다.
도 3a 및 도 3b는 RSNA 인증을 수행하는 방법을 도시하고 있다. 방법은 6 스테이지를 포함한다. 스테이지 1, 2, 및 3은 도 3a에 도시되어 있고, 스테이지 4, 5, 및 6은 도 3b에 도시되어 있다. 방법이 스테이지 1, 스테이지 2, 스테이지 3, 스테이지 4 및 스테이지 5를 통해 진행됨에 따라, 상태 머신은 상태(264), 상태(266), 상태(267), 및 상태(268)로 진행한다. 초기에, 스테이션 및 액세스 포인트는 미인증, 미연계이고, 802.1x는 차단되어 있다. 스테이지 1은 네트워크 및 보안 능력 발견(120)을 포함한다. 액세스 포인트는 단계 136에서 개시 프레임을 스테이션으로 전송한다. 일실시예에서, 단계 136에서, 액세스 포인트는 비콘 프레임을 전송한다. 다른 실시예에서, 액세스 포인트는 스테이션이 단계 134에서 액세스 포인트에 전송한 프로브 요구(probe request)에 응답해서 단계 136에서 프로브 응답을 전송한다.
그런 다음, 스테이지 2에서, 802.11 인증 및 연계가 수행된다. 단계 138에서, 스테이션은 802.11 인증 요구를 액세스 포인트에 전송한다. 그런 다음, 단계 140에서, 액세스 포인트는 802.11 인증 응답을 스테이션에 전송한다. 다음, 단계 142에서, 스테이션은 액세스 포인트에 연계 요구를 전송한다. 그 후, 단계 144에서, 액세스 포인트는 802.11 응답을 스테이션에 전송한다.
연계된 802.1x 차단 보안 파라미터는 단계 146의 스테이션에서 그리고 단계 148의 액세스 포인트에서 인증된다.
다음, 스테이지 3에서, EAP/802.1x/반경 인증(124)이 수행된다. EAP 인증에 기초해서 인증 프로토콜이 수작업으로 수행된다. 액세스 포인트는 인증기의 역할을 하여 EAP 메시지를 중계한다. 단계 150에서, 스테이션은 선택적으로 EAPOL Start를 전송한다. 그런 다음, 단계 152에서, 액세스 포인트는 EAPOL Response 식별을 액세스 포인트에 전송한다. 그 후, 액세스 포인트는 단계 156에서 액세스 포인트 반경 요구를 인증 서버에 전송한다. 인증 서버 및 스테이션은 단계 158에서 상호 인증을 수행한다. 다음, 인증 서버는 단계 160에서 반경 수용 신호를 액세스 포인트에 전송하고, 액세스 포인트는 단계 162에서 EAPOL 성공 신호를 스테이션에 전송한다.
마스터 세션 키(MSK)는 단계 164에서 생성된다. MSK는 또한 단계 168에서 인증 서버에서도 생성된다. 부가적으로, 쌍 마스터 키(PMK)는 단계 166에서 스테이션에서 생성된다. 또한, PMK는 단계 170에서 인증 서버에서 생성되고, PMK는 단계 172에서 인증 서버에서 액세스 포인트로 전송된다.
그 후, 스테이지 4에서, 4-웨이 핸드쉐이크(126)가 수행된다. 스테이션 및 액세스 포인트 모두는 권한부여된 PMK로 상호 신뢰할 수 있다. 단계 174에서, 액세스 포인트는 A-Nonce 값을 스테이션에 전송한다. 그런 다음 스테이션은 단계 176에서 쌍 전환 키(PTK)를 구성한다. 다음, 단계 178에서, 스테이션은 인증을 포함하는 메시지 권한부여 코드(MIC)로 S-Nonce 값을 액세스 포인트에 전송한다. 그 후, 단계 180에서, 액세스 포인트는 PTK 및 그룹 임시 키(GTK)를 구성한다. 액세스 포인트는 단계 182에서 GTK, A-Nonce 값, 다음의 멀티캐스트 또는 브로드캐스트 프레임에서 사용될 일련 번호, 및 다른 MIC를 전송한다. 단계 184에서, 스테이션은 수신확인을 액세스 포인트에 전송한다.
다음, 단계 190에서, GTK가 생성되고 802.1x 서버는 스테이션에서 차단해제된다. 또한, 802.1x는 단계 192에서 액세스 포인트에서 차단해제된다. 단계 194에서 액세스 포인트에서 랜덤 GTK가 생성된다. 그런 다음, 선택 스테이지 5에서, 그룹 키 핸드쉐이크(128)가 수행된다. 단계 196에서, 액세스 포인트는 GTK, 키 ID, 및 MIC를 포함하는 EAPOL 키를 스테이션에 전송한다. 스테이션은 단계 198에서 새로운 GTK의 수신확인을 액세스 포인트에 전송함으로써 응답한다.
최종적으로, 스테이지 6에서, 보안 데이터 통신(130)이 수행된다. 단계 202에서, 스테이션과 액세스 포인트 간에 보호된 데이터 패킷이 전송된다. 또한, 단계 204에서, 스테이션과 DHCP 서버 간의 동적 호스트 구성 프로토콜(DHC) 요구 및 응답이 수행된다.
인증을 위한 시스템의 실시예가 도 4에 도시되어 있다. 시스템은 스테이션(102)을 포함하고, 스테이션(102)은 액세스 포인트(106) 및 인증 서버(104)와 통신한다. 부가적으로, 액세스 포인트(106)는 인증 서버(104)와 통신한다. 이 시스템에서, FILS 인증은 스테이지 2 및 스테이지 3을 우회함으로써 일어날 것이다. 전문화된 상태 동안, FILS 인증 교환은 도 3a - 도 3b에서 설명된 방법에 비해 농축된 버전의 메시지 교환을 취할 것이다. 인증을 위한 상태 머신의 실시예가 도 5에 도시되어 있다. 상태 머신은 3가지 상태: 상태(264), 상태(268), 및 상태(269)를 포함한다. 상태(264)에서, 시스템은 비인증 및 비연계되어 있고, 클래스 1 프레임이 있다. 상태 머신이 상태(264)에 있고, 성공적인 고속 초기 링크 설정(FILS) 인증이 있을 때, 상태 머신은 상태(269)로 전환한다. 상태 머신이 상태(269)에 있을 때, 시스템은 FILS 인증되고, IEEE 802.1x 제어 포트가 차단된다. 또한, 관리 프레임 및 데이터 프레임이 선택된 클래스 1 및 클래스 2가 있다. 그런 다음, 시스템이 상태(269)에 있고, FILS 키 핸드쉐이크가 있으면, 시스템은 상태(268)로 전환한다. 상태 머신이 상태(268)에 있을 때, 시스템은 비인증 및 비연계되어 있고, IEEE 802.1x 제어 포트가 차단된다. 부가적으로, 상태(268)에서, 클래스 1, 2, 및 3 프레임이 있다. 그렇지만, 상태 머신이 상태(269)에 있고, FILS 인증해제가 있으면, 상태 머신은 상태(264)로 전환한다. 마찬가지로, 상태 머신이 상태(268)에 있고, 시스템이 인증해제되면, 상태 머신은 상태(264)로 전환한다.
스테이션, 액세스 포인트, 및 인증 서버를 포함하는 인증을 위한 방법의 실시예에 대한 흐름도가 도 6에 도시되어 있다. 방법은 상태(264), 상태(269), 및 상태(268)를 포함한다. 본 실시예에서, FILS 특정한 메시지를 사용하여 FILS 인증을 용이하게 한다. 또한, 본 실시예에서, 도 3a - 도 3b와 관련해서 전술한 스테이지 2 및 스테이지 3은 우회된다. 상태(264)는 스테이지 1에 대응하고, 상태(269)는 스테이지 4에 대응하며, 상태(268)는 스테이지 5 및 스테이지 6에 대응한다.
상태(264)는 단계 228 및 단계 230을 포함한다 또한, 상태(269)는 단계 232 - 단계 252를 포함한다. 상태(268)는 단계 254, 단계 256, 단계 258, 및 단계 260을 포함한다. 초기에, 상태(264)에서, 스테이션 및 액세스 포인트는 비인증 및 비연계되어 있고, 802.1x는 차단된다. 상태(264)에서, 액세스 포인트는 단계 203에서 개시 프레임을 스테이션에 전송한다. 일실시예에서, 단계 230에서, 액세스 포인트는 비콘 프레임을 전송한다. 다른 실시예에서, 액세스 포인트는 스테이션이 단계 228에서 액세스 포인트에 프로브 요구를 전송한 것에 응답해서 단계 230에서 브로브 응답을 전송한다. 그런 다음 시스템은 FILS 인증이 성공이면 상태(269)로 전환한다.
일단 상태(269)에서, 스테이션은 단계 232에서 액세스 포인트에 권한부여 요구를 전송한다. 예를 들어, 권한부여 요구는 FILS 핸드쉐이크를 위한 보안 파라미터를 가진 EAPOL 시작을 포함하고 있을 수 있다. 일례에서, 스테이션으로부터 액세스 포인트로 EAP 요구 식별 전송이 송신되고, 액세스 포인트는 EAP 응답 메시지로 응답한다. 다음, 액세스 포인트는 단계 234에서 액세스 요구를 인증 서버에 전송한다. 액세스 요구는 EAP 요구일 수 있다. 그런 다음, 단계 236에서, 스테이션 및 인증 서버는 EAP 인증 프로토콜 교환을 수행한다. 그 후, 단계 236에서, 인증 서버는 단계 238에서 PMK를 생성한다. 다음, 단계 240에서, 인증 서버는 수용, EAP 성공, 및 PMK를 액세스 포인트에 전송한다. 그런 다음 액세스 포인트는 단계 242에서 PMK를 저장하고 A-Nonce 값을 저장한다. 그런 다음, 단계 244에서, 액세스 포인트는 802.11 권한부여 응답을 서버에 전송한다. 802.11 권한부여 응답은 EAPOL 키를 포함할 수 있으며, 이것은 A-Nonce 값 및 유니캐스트 MIC를 포함할 수 있다. 다음, 스테이션은 단계 246에서 PMK를 생성하고 단계 248에서 PTK를 도출한다. 그 후, 단계 250에서, 스테이션은 액세스 포인트에 802.11 연계 요구를 전송하고, 이 요구는 EAPOL 키일 수 있으며, 이 키는 S-Nonce 값 및 유니캐스트 MIC를 포함할 수 있다. 그런 다음 액세스 포인트는 단계 252에서 스테이션에 802.11 연계 응답을 전송한다. 802.11 연계 응답은 EAPOL 키를 포함할 수 있고, 이 키는 PTK, 유니캐스트 MIC, 및 암호화된 GTK 또는 통합 그룹 임시 키(IGTK)를 포함할 수 있다.
최종적으로, 상태(268)에서, 스테이션은 단계 254에서 유니캐스트 MIC를 포함할 수 있는 EAPOL 키를 액세스 포인트에 선택적으로 전송한다. 최종적으로 서버는 단계 256에서 PTK, GTK 및/또는 IGTK를 설치하고, 액세스 포인트는 단계 258에서 PTK, GTK 및/또는 IGTK를 설치한다. 최종적으로, 단계 260에서, 스테이션과 액세스 포인트 간의 보안 데이터 통신이 진행된다.
도 7은 여기서 설명된 장치 및 방법을 실행하는 데 사용될 수 있는 시스템(270)을 처리하는 블록도를 도시한다. 특정한 장치는 모든 구성요소 사용할 수 있고, 일부의 구성요소만을 사용할 수도 있으며, 통합 레벨은 이 장치에서 저 장치로 변할 수 있다. 또한, 장치는 복수의 프로세싱 유닛, 프로세서, 메모리, 전송기, 수신기 등과 같이, 구성요소의 복수의 예를 포함할 수 있다. 프로세싱 시스템은 마이크로폰, 마우스, 터치스크린, 키패드, 키보드 등과 같은, 하나 이상의 입력 장치를 구비하는 프로세싱 유닛을 포함할 수 있다. 또한, 프로세싱 시스템(270)은 스피커, 프린터, 디스플레이 등과 같은, 하나 이상의 출력 장치를 포함할 수 있다. 프로세싱 유닛은 중앙처리장치(CPU)(274), 메모리(276), 대용량 저장 장치(278), 비디오 어댑터(280), 및 버스에 연결된 I/O 인터페이스(288)를 포함할 수 있다.
버스는 메모리 버스 또는 메모리 제어기, 주변 버스, 비디오 버스 등을 포함하는 하나 이상의 임의의 유형의 수 개의 버스 아키텍처일 수 있다. CPU(274)는 임의의 유형의 전자 데이터 프로세서를 포함할 수 있다. 메모리(276)는 정적 랜덤 액세스 메모리(SRAM), 동적 랜덤 액세스 메모리(DRAM), 동기 DRAM(SDRAM), 리드-온리 메모리(ROM), 이것들의 조합 등과 같은 임의의 유형의 시스템 메모리를 포함할 수 있다. 실시예에서, 메모리는 부트-업에 사용되는 ROM, 및 프로그램과 프로그램을 실행하는 동안 데이터를 저장하는 데 사용되는 DRAM을 포함할 수 있다.
대용량 저장 장치(278)는 데이터, 프로그램, 및 다른 정보를 저장하고 데이터, 프로그램, 및 다른 정보가 버스를 통해 액세스할 수 있도록 구성되어 있는 임의의 유형의 저장 장치를 포함할 수 있다. 대용량 저장 장치(278)는 예를 들어 고체 상태 드라이브, 하드디스크 드라이브, 자기디스크 드라이브, 광디스크 드라이브 등 중 하나 이상을 포함할 수 있다.
비디오 어댑터(280) 및 I/O 인터페이스(288)는 외부의 입력 및 출력 장치를 프로세싱 유닛에 결합하기 위한 인터페이스를 제공한다. 도시된 바와 같이, 입력 및 출력 장치의 예로는 비디오 어댑터에 결합된 디스플레이 및 I/O 인터페이스에 결합된 마우스/키보드/프린터를 들 수 있다. 다른 장치들은 프로세싱 유닛에 결합될 수 있으며, 부가적인 또는 더 적은 수의 인터페이스 카드가 사용될 수도 있다. 예를 들어, 직렬 인터페이스 카드(도시되지 않음)를 사용하여 프린터를 위한 직렬 인터페이스를 제공할 수 있다.
프로세싱 유닛은 또한 하나 이상의 네트워크 인터페이스(284)를 포함하며, 이 네트워크 인터페이스는 이더넷 케이블 등과 같은 유선 링크, 및 액세스 노드 또는 다른 네트워크에 대한 무선 링크를 포함할 수 있다. 네트워크 인터페이스(284)는 프로세싱 유닛이 네트워크를 통해 원격 유닛과 통신할 수 있게 한다. 예를 들어, 네트워크 인터페이스는 하나 이상의 전송기/전송 안테나 및 하나 이상의 수신기/수신 안테나를 통한 무선 통신을 제공할 수 있다. 일실시예에서, 프로세싱 유닛은 다른 프로세싱 유닛, 인터넷, 원격 저장 설비 등과 같은 원격 장치와의 데이터 프로세싱 및 통신을 위해 근거리 통신망 또는 광역 통신망에 결합되어 있다.
실시예의 이점은 RSNA 보안 프로토콜 및 보안과의 호환성을 포함한다. 실시예의 다른 이점은 핸드쉐이크에서 9 또는 10개의 메시지만의 사용이다. 일례에서, 4 웨이 핸드쉐이크는 3 웨이 핸드쉐이크로 감소된다.
본 명세서에서 몇 가지 실시예를 설명하였으나, 설명된 시스템 및 방법은 본 발명의 정신 및 범주를 벗어남이 없이 많은 다른 특정한 형태로 구현될 수 있음은 물론이다. 본 예는 설명을 위한 것이지 제한으로서 고려되어서는 안 되며, 이러한 의도는 본 명세서에 설명된 상세한 설명에 제한되지 않는다. 예를 들어, 다양한 소자 또는 구성요소는 다른 시스템에 결합되거나 통합될 수 있으며 또는 소정의 특징은 생략되거나 실현되지 않을 수도 있다.
또한, 다양한 실시예에서 분리되어 또는 별도로 설명되고 도해된 기술, 시스템, 서브시스템 및 방법은 본 발명의 범주를 벗어남이 없이 다른 시스템, 모듈, 기술, 또는 방법과 결합되거나 통합될 수 있다. 서로 결합되거나 직접 결합되거나 통신하는 것으로 도시되거나 논의된 다른 항목들은 일부의 인터페이스, 장치, 또는 중간 구성요소를 통해 전기적으로든, 기계적으로든, 또는 다른 식으로든 간접적으로 결합되거나 통신할 수 있다. 당업자라면 변경, 대체, 및 개조의 다른 예를 확인할 수 있고 본 명세서의 정신 및 범주를 벗어남이 없이 수행할 수 있다.

Claims (20)

  1. 고속 초기 링크 설정(fast initial link setup: FILS) 인증을 수행하는 방법에 있어서,
    스테이션이 개시 프레임(initiation frame)을 수신하는 단계; 및
    상기 스테이션이, FILS 인증 요구를 전송하는 단계
    를 포함하며,
    상기 FILS 인증 요구는,
    상기 FILS를 포함하는 근거리 통신망(LAN)을 통한 확장 가능 인증 프로토콜(EAP)(EAPOL) 시작, 및
    FILS 핸드쉐이크를 위한 보안 파라미터
    를 포함하는, 고속 초기 링크 설정 인증을 수행하는 방법.
  2. 제1항에 있어서,
    상기 개시 프레임은 비콘 프레임(beacon frame)을 포함하는, 고속 초기 링크 설정 인증을 수행하는 방법.
  3. 제1항에 있어서,
    상기 개시 프레임은 프로브 응답(probe response)을 포함하며,
    상기 스테이션이, 상기 개시 프레임을 수신하기 전에 프로브 요구를 전송하는 단계
    를 더 포함하는 고속 초기 링크 설정 인증을 수행하는 방법.
  4. 제1항에 있어서,
    EAP 인증 프로토콜 교환을 수행하는 단계
    를 더 포함하는 고속 초기 링크 설정 인증을 수행하는 방법.
  5. 제1항에 있어서,
    상기 스테이션이, FILS 인증에 대해 포맷된 제1 인증 응답 메시지를 수신하는 단계 - 상기 메시지는 EAP 인증 정보를 포함함 - ;
    상기 스테이션이, 연계 응답을 전송하는 단계; 및
    상기 스테이션이, 제2 인증 응답을 수신하는 단계
    를 더 포함하는, 고속 초기 링크 설정 인증을 수행하는 방법.
  6. 제5항에 있어서,
    상기 스테이션이, 키 확인(key confirmation)을 전송하는 단계
    를 더 포함하는 고속 초기 링크 설정 인증을 수행하는 방법.
  7. 제1항에 있어서,
    상기 스테이션이, 액세스 포인트(AP)와 안전하게 통신하는 단계
    를 더 포함하는 고속 초기 링크 설정 인증을 수행하는 방법.
  8. 제1항에 있어서,
    쌍 마스터 키(pairwise master key: PMK)를 생성하는 단계
    를 더 포함하는 고속 초기 링크 설정 인증을 수행하는 방법.
  9. 제1항에 있어서,
    쌍 전환 키(pairwise transient key: PTK)를 생성하는 단계
    를 더 포함하는 고속 초기 링크 설정 인증을 수행하는 방법.
  10. 제9항에 있어서,
    상기 스테이션이, 상기 PTK를 설치하는 단계; 및
    그룹 임시 키(group temporal key: GTK)를 설치하는 단계
    를 더 포함하는 고속 초기 링크 설정 인증을 수행하는 방법.
  11. 인증 수행 방법에 있어서,
    액세스 포인트가, 인증 요구를 수신하는 단계; 및
    상기 액세스 포인트가 액세스 요구 프레임을 전송하는 단계
    를 포함하며,
    상기 인증 요구는,
    근거리 통신망(LAN)을 통한 확장 가능 인증 프로토콜(EAP)(EAPOL) 시작, 및
    고속 초기 링크 설정(FILS) 핸드쉐이크를 위한 보안 파라미터
    를 포함하는, 인증 수행 방법.
  12. 제11항에 있어서,
    상기 액세스 포인트가, 비콘 프레임을 전송하는 단계
    를 더 포함하는 인증 수행 방법.
  13. 제11항에 있어서,
    상기 액세스 포인트가, EAP 메시지를 수신하는 단계
    를 더 포함하며,
    상기 EAP 메시지는,
    수용 메시지;
    EAP 성공 메시지; 및
    쌍 마스터 키(PMK)
    를 포함하는, 인증 수행 방법.
  14. 제13항에 있어서,
    상기 PMK를 저장하는 단계; 및
    권한부여 응답(authorization response)을 생성하는 단계
    를 더 포함하는 인증 수행 방법.
  15. 제14항에 있어서,
    상기 액세스 포인트가, 권한부여 요구를 전송하는 단계
    를 더 포함하는 인증 수행 방법.
  16. 제11항에 있어서,
    상기 액세스 포인트가, 연계 요구를 수신하는 단계; 및
    상기 액세스 포인트가, 연계 응답을 전송하는 단계
    를 더 포함하는 인증 수행 방법.
  17. 제11항에 있어서,
    쌍 전환 키(PTK)를 설치하는 단계; 및
    통합 그룹 임시 키(integrity group temporal key: IGTK)를 설치하는 단계
    를 더 포함하는 인증 수행 방법.
  18. 제11항에 있어서,
    상기 액세스 포인트가, 스테이션과 안정하게 통신하는 단계
    를 더 포함하는 인증 수행 방법.
  19. 스테이션에 있어서,
    프로세서; 및
    상기 프로세서가 실행하는 프로그래밍을 저장하는 컴퓨터 판독 가능형 저장 매체
    를 포함하며;
    상기 프로그래밍은,
    개시 프레임을 수신하고, 그리고
    인증 요구를 전송하는 명령을 포함하며,
    상기 인증 요구는,
    근거리 통신망(LAN)을 통한 확장 가능 인증 프로토콜(EAP)(EAPOL) 시작, 및
    고속 초기 링크 설정(FILS) 핸드쉐이크를 위한 보안 파라미터
    를 포함하는, 스테이션.
  20. 액세스 포인트에 있어서,
    프로세서; 및
    상기 프로세서가 실행하는 프로그래밍을 저장하는 컴퓨터 판독 가능형 저장 매체
    를 포함하며;
    상기 프로그래밍은,
    인증 요구를 수신하고, 그리고
    액세스 요구 프레임을 전송하는 명령을 포함하며,
    상기 인증 요구는,
    근거리 통신망(LAN)을 통한 확장 가능 인증 프로토콜(EAP)(EAPOL) 시작, 및
    고속 초기 링크 설정(FILS) 핸드쉐이크를 위한 보안 파라미터
    를 포함하는, 액세스 포인트.
KR1020147021916A 2012-01-06 2013-01-06 인증을 위한 시스템 및 방법 KR101582502B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201261583856P 2012-01-06 2012-01-06
US61/583,856 2012-01-06
US13/734,471 US9077701B2 (en) 2012-01-06 2013-01-04 Systems and methods for authentication
US13/734,471 2013-01-04
PCT/CN2013/070125 WO2013102449A1 (en) 2012-01-06 2013-01-06 Systems and methods for authentication

Publications (2)

Publication Number Publication Date
KR20140110051A true KR20140110051A (ko) 2014-09-16
KR101582502B1 KR101582502B1 (ko) 2016-01-05

Family

ID=48744899

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147021916A KR101582502B1 (ko) 2012-01-06 2013-01-06 인증을 위한 시스템 및 방법

Country Status (7)

Country Link
US (4) US9077701B2 (ko)
EP (3) EP3700162B1 (ko)
JP (1) JP5866030B2 (ko)
KR (1) KR101582502B1 (ko)
CN (1) CN103988480B (ko)
RU (1) RU2587417C2 (ko)
WO (1) WO2013102449A1 (ko)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9077701B2 (en) 2012-01-06 2015-07-07 Futurewei Technologies, Inc. Systems and methods for authentication
CN103546982A (zh) * 2012-07-10 2014-01-29 中兴通讯股份有限公司 工作站的工作状态转换方法及装置
WO2014051349A2 (ko) * 2012-09-26 2014-04-03 엘지전자 주식회사 무선랜 시스템에서 액세스 수행 방법 및 장치
US9554324B2 (en) 2012-10-16 2017-01-24 Stmicroelectronics, Inc. Fast initial link setup (FILS) frame content for a wireless network
US9717005B2 (en) * 2012-11-21 2017-07-25 Empire Technology Development Llc Schemes for connecting to wireless network
US20140328234A1 (en) * 2013-05-02 2014-11-06 Qualcomm Incorporated Systems and methods for power save during initial link setup
US20170223531A1 (en) * 2014-07-28 2017-08-03 Telefonaktiebolaget Lm Ericsson (Publ) Authentication in a wireless communications network
US10555170B2 (en) * 2015-09-04 2020-02-04 Huawei Technologies Co., Ltd. Method and apparatus for authentication of wireless devices
CN107491279A (zh) * 2017-08-15 2017-12-19 深圳市创维群欣安防科技股份有限公司 一种实现移动终端投屏的方法、存储介质及投屏控制设备
US11075907B2 (en) * 2017-12-20 2021-07-27 Korea University Research And Business Foundation End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same
CN111654865B (zh) * 2020-07-31 2022-02-22 迈普通信技术股份有限公司 终端认证方法、装置、网络设备及可读存储介质
WO2022046798A1 (en) * 2020-08-24 2022-03-03 Eleven Software Inc. Key matching for eapol handshake using distributed computing
WO2024072379A1 (en) * 2022-09-28 2024-04-04 Intel Corporation Enhanced unavailability mode for station devices unassociated to access points

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1235382C (zh) 2002-11-15 2006-01-04 华为技术有限公司 一种基于802.1x协议的客户端认证方法
US7395427B2 (en) * 2003-01-10 2008-07-01 Walker Jesse R Authenticated key exchange based on pairwise master key
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
US7646872B2 (en) 2004-04-02 2010-01-12 Research In Motion Limited Systems and methods to securely generate shared keys
US7716724B2 (en) * 2005-06-16 2010-05-11 Verizon Business Global Llc Extensible authentication protocol (EAP) state server
US20070047477A1 (en) 2005-08-23 2007-03-01 Meshnetworks, Inc. Extensible authentication protocol over local area network (EAPOL) proxy in a wireless network for node to node authentication
US7630406B2 (en) * 2005-11-04 2009-12-08 Intel Corporation Methods and apparatus for providing a delayed attack protection system for network traffic
US7911997B2 (en) * 2006-05-10 2011-03-22 Intel Corporation Quality of service resource negotiation
TW200803359A (en) * 2006-06-13 2008-01-01 Accton Technology Corp Method of connecting a new discovered AP by early 4-way handshaking
KR101434613B1 (ko) 2006-09-18 2014-08-26 마벨 인터내셔널 리미티드 다수의 디바이스들 사이에서 애드-혹 네트워크들의 설립
US7941663B2 (en) * 2007-10-23 2011-05-10 Futurewei Technologies, Inc. Authentication of 6LoWPAN nodes using EAP-GPSK
EP2276278A1 (en) * 2009-07-13 2011-01-19 Research In Motion Limited Methods and apparatus for maintaining secure connections in a wireless communication network
US8837741B2 (en) * 2011-09-12 2014-09-16 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
US9077701B2 (en) 2012-01-06 2015-07-07 Futurewei Technologies, Inc. Systems and methods for authentication

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ROB SUN 외 3인, IEEE P802.11 Wireless LANs, "Authentication Protocol for 11ai" (2011.12.28. 공개) *

Also Published As

Publication number Publication date
EP3700162B1 (en) 2023-10-11
CN103988480B (zh) 2016-11-16
EP4301085A3 (en) 2024-01-17
WO2013102449A1 (en) 2013-07-11
EP2789148A4 (en) 2015-03-11
US10104546B2 (en) 2018-10-16
JP2015505647A (ja) 2015-02-23
EP2789148B1 (en) 2020-03-11
US20150281962A1 (en) 2015-10-01
US10904753B2 (en) 2021-01-26
EP3700162A1 (en) 2020-08-26
EP2789148A1 (en) 2014-10-15
JP5866030B2 (ja) 2016-02-17
RU2587417C2 (ru) 2016-06-20
US20130179943A1 (en) 2013-07-11
US9674702B2 (en) 2017-06-06
CN103988480A (zh) 2014-08-13
US20170223534A1 (en) 2017-08-03
KR101582502B1 (ko) 2016-01-05
US20190053052A1 (en) 2019-02-14
RU2014132429A (ru) 2016-02-27
EP4301085A2 (en) 2024-01-03
US9077701B2 (en) 2015-07-07

Similar Documents

Publication Publication Date Title
KR101582502B1 (ko) 인증을 위한 시스템 및 방법
CN108293185B (zh) 无线设备认证方法和装置
US9392453B2 (en) Authentication
US7948925B2 (en) Communication device and communication method
US7676676B2 (en) Method and apparatus for performing mutual authentication within a network
US7461253B2 (en) Method and apparatus for providing a key for secure communications
CN107005927B (zh) 用户设备ue的接入方法、设备及系统
CN101500229B (zh) 建立安全关联的方法和通信网络系统
EP3334084B1 (en) Security authentication method, configuration method and related device
WO2013119043A1 (ko) 스테이션과 엑세스 포인트의 결합 방법 및 장치
WO2007082060A2 (en) Apparatus and method for protection of management frames
HUE035780T2 (en) Systems and procedures for performing link building and authentication
US20120017080A1 (en) Method for establishing safe association among wapi stations in ad-hoc network
CN103096307A (zh) 密钥验证方法及装置
CN103200004B (zh) 发送消息的方法、建立安全连接的方法、接入点和工作站
WO2012068801A1 (zh) 移动终端的认证方法及移动终端
KR20060030696A (ko) 무선 네트워크 접근 제어방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181219

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20191127

Year of fee payment: 5