KR20160058852A - 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법 - Google Patents

무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법 Download PDF

Info

Publication number
KR20160058852A
KR20160058852A KR1020167009775A KR20167009775A KR20160058852A KR 20160058852 A KR20160058852 A KR 20160058852A KR 1020167009775 A KR1020167009775 A KR 1020167009775A KR 20167009775 A KR20167009775 A KR 20167009775A KR 20160058852 A KR20160058852 A KR 20160058852A
Authority
KR
South Korea
Prior art keywords
certificate
public key
station
root
wireless network
Prior art date
Application number
KR1020167009775A
Other languages
English (en)
Other versions
KR101728781B1 (ko
Inventor
올리버 진 베노이트
카메론 알렌 조지 맥도날드
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20160058852A publication Critical patent/KR20160058852A/ko
Application granted granted Critical
Publication of KR101728781B1 publication Critical patent/KR101728781B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

원격 스테이션이, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 구성된다. 증명서를 구성하기 위해서, 원격스테이션은 스테이션 공개 키를 로컬 루트 인증 기관으로 포워딩한다. 스테이션 공개 키는 무선 네트워크의 대역외에서 포워딩된다. 원격 스테이션이 로컬 루트 인증 기관으로부터 증명서 및 루트 공개 키를 수신한다. 증명서가, 포워딩된 스테이션 공개 키에 기초하여 로컬 루트 인증 기관에 의해 생성되고, 증명서 및 루트 공개 키가 무선 네트워크의 대역외에서 수신된다. 원격 스테이션은, 무선 네트워크를 이용하여 증명서 및 루트 공개 키에 기초하여 다른 스테이션과 안전하게 통신한다.

Description

무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법{METHOD FOR CONFIGURING A REMOTE STATION WITH A CERTIFICATE FROM A LOCAL ROOT CERTIFICATE AUTHORITY FOR SECURING A WIRELESS NETWORK}
관련 출원의 교차 참조
[0001]본 출원은, 2013년 9월 23일에 출원된 미국 가출원 제61/881,355호와 2014년 3월 12일에 출원된 미국 정규 출원 제14/207,005호를 우선권으로 주장하고, 상기 출원들은 인용에 의해 본원에 포함된다.
[0002]본 발명은 전반적으로, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 디지털 증명서를 이용하여 원격 스테이션을 구성하는 것과 관련된다.
[0003]보안 사설 무선 네트워크는 합법적인 디바이스들 또는 스테이션들만이 네트워크에 접속하도록 권한을 부여할 필요가 있다. 디바이스의 권한부여는 디바이스의 인증을 포함해야 한다. 인증은 일반적으로, 패스워드, 비밀 키들(시도-응답 인증), 또는 보안 방식으로 사전에 교환된 공개 키에 의존한다.
[0004]글로벌 인증 기관에서 발행된 디지털 증명서들(이하 증명서들)은, 글로벌 인증 기관으로부터의 증명서를 구비한 모든 디바이스들이 인증되고 합법적인 것으로 간주될 것이기 때문에 도움이 되지 않는다. 그 결과, 사설 무선 네트워크의 액세스 포인트는, 증명서가 유효할 것이기 때문에 글로벌 인증 기관으로부터의 증명서에 기초한 이웃 디바이스에 대한 액세스를 거부하지 않을 수 있다.
[0005]또한, 증명서 및 대응하는 사설 키의 수치 값들은 매우 크다. 사용자가 이러한 값들을 수동으로 입력할 것으로 예상하는 것은 합리적이지 않을 수 있다.
[0006]따라서, 효율적인 방식으로 무선 네트워크를 안전하게 보호하기 위해 증명서를 이용하여 원격 스테이션을 구성하기 위한 기술이 필요하다.
[0007]본 발명의 양상은 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법에 존재할 수 있다. 방법에서, 스테이션 공개 키가 로컬 루트 인증 기관으로 포워딩된다. 스테이션 공개 키가 무선 네트워크의 대역외에서 포워딩된다. 로컬 루트 인증 기관으로부터 증명서 및 루트 공개 키가 수신된다. 증명서는 포워딩된 스테이션 공개 키에 기초하고, 증명서 및 루트 공개 키는 무선 네트워크의 대역외에서 수신된다. 원격 스테이션은, 무선 네트워크를 이용하여 증명서 및 루트 공개 키에 기초하여 다른 스테이션과 안전하게 통신한다.
[0008]본 발명의 보다 구체적인 양상들에서, 스테이션 공개 키가 로컬 루트 인증 기관으로 포워딩될 수 있고, 증명서 및 루트 공개 키가, 양방향 통신 채널, 이를 테면, 블루투스 저 에너지 통신 채널 또는 근접장 통신 채널을 이용하여 로컬 루트 인증 기관으로부터 수신될 수 있다. 또한, 증명서는 스테이션 공개 키와 디바이스 식별자를 포함할 수 있다. 루트 공개 키는 자체-서명 증명서에 포함된 루트-오브-트러스트(root-of-trust) 공개 키일 수 있다.
[0009]본 발명의 다른 보다 구체적인 양상들에서, 다른 스테이션과 안전하게 통신하는 원격 스테이션은 추가로, 다른 스테이션에서 구성된 다른 증명서, 및 원격 스테이션에서 그리고 다른 스테이션에서 구성된 루트 공개 키에 기초할 수 있고, 원격 스테이션이 다른 스테이션의 다른 증명서의 유효성을 확인하는 것을 포함할 수 있다. 다른 증명서의 유효성을 확인하는 것은 다른 증명서의 시그니처를 루트 공개 키로 확인하는 것; 다른 증명서가 증명서 철회 리스트(Certificate Revocation List)에 있지 않다는 것을 확인하는 것; 온라인 증명서 스테이터스 프로토콜(Online Certificate Status Protocol)을 이용하여 다른 증명서의 스테이터스를 확인하는 것; 및/또는 다른 증명서의 유효 날짜들을 확인하는 것 중 적어도 하나를 포함한다.
[0010]본 발명의 다른 보다 구체적인 양상들에서, 무선 네트워크는 Wi-Fi 다이렉트 또는 피어-투-피어를 이용하여 통신하는 원격 스테이션 및 다른 스테이션만으로 이루어질 수 있다. 또한, 무선 네트워크는 LTE(long term evolution) 다이렉트 통신 네트워크, 또는 메쉬 WiFi 네트워크일 수 있다. 로컬 루트 인증 기관은 스마트폰, 태블릿, 또는 퍼스널 컴퓨터와 같은 무선 네트워크의 구성기일 수 있다. 이러한 무선 스테이션은 키 쌍 및 다른 스테이션들과 통신하기 위해서 내부적으로 수신된 증명서를 구비할 수 있다. 또한, 원격 스테이션은 무선 액세스 포인트를 포함할 수 있다.
[0011]본 발명의 다른 양상은 원격 스테이션에 존재할 수 있으며, 이 원격 스테이션은: 스테이션 공개 키를 로컬 루트 인증 기관으로 포워딩하기 위한 수단 ―스테이션 공개 키는 무선 네트워크의 대역외에서 포워딩됨―; 로컬 루트 인증 기관으로부터 증명서 및 루트 공개 키를 수신하기 위한 수단 ―증명서는 포워딩된 스테이션 공개 키에 기초하고, 증명서 및 루트 공개 키는 무선 네트워크의 대역외에서 수신됨―; 및 무선 네트워크를 이용하여 증명서 및 루트 공개 키에 기초하여 다른 스테이션과 안전하게 통신하기 위한 수단을 포함한다.
[0012]본 발명의 다른 양상은 원격 스테이션에 존재할 수 있으며, 이 원격 스테이션은: 스테이션 공개 키를 로컬 루트 인증 기관으로 포워딩하고 ―스테이션 공개 키는 무선 네트워크의 대역외에서 포워딩됨―; 로컬 루트 인증 기관으로부터 증명서 및 루트 공개 키를 수신하고 ―증명서는 포워딩된 스테이션 공개 키에 기초하고, 증명서 및 루트 공개 키는 무선 네트워크의 대역외에서 수신됨―; 및 무선 네트워크를 이용하여 증명서 및 루트 공개 키에 기초하여 다른 스테이션과 안전하게 통신하도록 구성된 프로세서를 포함한다.
[0013]본 발명의 다른 양상은 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 물건에 존재할 수 있으며, 컴퓨터 판독가능 매체는, 컴퓨터로 하여금, 스테이션 공개 키를 로컬 루트 인증 기관으로 포워딩하게 하기 위한 코드 ―스테이션 공개 키는 무선 네트워크의 대역외에서 포워딩됨―; 컴퓨터로 하여금, 로컬 루트 인증 기관으로부터 증명서 및 루트 공개 키를 수신하게 하기 위한 코드 ―증명서는 포워딩된 스테이션 공개 키에 기초하고, 증명서 및 루트 공개 키는 무선 네트워크의 대역외에서 수신됨―; 및 컴퓨터로 하여금, 무선 네트워크를 이용하여 증명서 및 루트 공개 키에 기초하여 다른 스테이션과 안전하게 통신하게 하기 위한 코드를 포함한다.
[0014]도 1은 무선 통신 시스템의 일례의 블록도이다.
[0015]도 2는 본 발명에 따른, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법의 흐름도이다.
[0016]도 3은 본 발명에 따른, 무선 네트워크를 안전하게 보호하기 위한 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법의 블록도이다.
[0017]도 4는 프로세서 및 메모리를 포함하는 컴퓨터의 블록도이다.
[0018]도 5는 원격 스테이션, 구성기(configurator), 안전한 사설 무선 네트워크의 다른 스테이션들, 및 다른 네트워크의 스테이션의 블록도이다.
[0019]도 6은 증명서의 개략도이다.
[0020]도 7은 증명서의 데이터 및 인증 기관의 사설 키로부터 시그니처를 생성하기 위한 방법의 블록도이다.
[0021]"예시적인"이라는 단어는 예시, 실례 또는 예증"의 역할을 의미하는 것으로 사용된다. "예시"로서 본 명세서에 기술된 임의의 실시예가, 반드시 다른 실시예들에 비해 바람직하거나 유리한 것으로 해석되는 것은 아니다.
[0022]도 2 및 도 3을 참조하면, 본 발명의 양상은 무선 네트워크(330)를 안전하게 보호하기 위해 로컬 루트 인증 기관(320)으로부터 (타입 X.509와 같은) 증명서를 이용하여 원격 스테이션(310)을 구성하기 위한 방법(200)에 존재할 수 있다. 원격 스테이션은 제 1 스테이션일 수 있고 증명서는 제 1 증명서일 수 있다. 방법에서, 원격 스테이션(310)은 스테이션 공개 키(Kpub)를 로컬 루트 인증 기관(320)으로 포워딩한다(단계 210). 스테이션 공개 키가 무선 네트워크의 대역 외로 포워딩된다. 원격 스테이션은 증명서 Cert((Kpub) 및 루트 공개 키(CAKpub)를 로컬 루트 인증 기관으로부터 수신한다(단계 220). 증명서는 포워딩된 스테이션 공개 키에 기초하여 로컬 루트 인증 기관에 의해 생성되고, 증명서 및 루트 공개 키는 무선 네트워크의 대역외에서 수신된다. 원격 스테이션은, 증명서 및 루트 공개 키에 기초하여 무선 네트워크를 이용하여 다른 스테이션(340)과 안전하게 통신한다(단계 230). 다른 스테이션은 제 2 스테이션일 수 있다.
[0023]자신의 공개 키에 부가하여, 원격 스테이션(310)은 또한, 자신의 MAC(Medium Access Control) 어드레스, 자신의 SN(Serial Number), 자신의 디바이스 클래스, 타입 및/또는 모델 중 적어도 하나를 포함하는 자신의 아이덴티티를 포워딩할 수 있다. 디바이스 아이덴티티가 증명서에 포함된다. 증명서는 포워딩된 스테이션 공개 키 및 (사용자에 의해 정의된) 유효 날짜에 기초하여 생성될 수 있다.
[0024]본 발명의 보다 상세한 양상들에서, 양방향 통신 채널(350), 이를 테면, 블루투스 저 에너지(BLE) 통신 채널, NFC(near field communication) 채널, 또는 유사한 클로즈 무선 통신 채널을 이용하여, 또는 사설 유선 통신 채널(USB, 이더넷 등)을 이용하여, 스테이션 공개 키(Kpub)가 로컬 루트 인증 기관(320)으로 포워딩될 수 있고, 증명서(CertKpub) 및 루트 공개 키(CAKpub)가 로컬 루트 인증 기관으로부터 수신될 수 있다. 증명서는, 수명이 짧은 임시 증명서일 수 있다. 또한, 증명서는 스테이션 공개 키와 디바이스 식별자를 포함할 수 있다. 루트 공개 키는 자체-서명 증명서에 포함된 루트-오브-트러스트 공개 키일 수 있다.
[0025]본 발명의 다른 구체적인 양상들에서, 제 2 스테이션(340)과 안전하게 통신하는 원격 스테이션(310)은 제 2 스테이션에서 구성된 제 2 증명서 Cert(K2pub)와, 원격 스테이션에서 그리고 제 2 스테이션에서 구성된 루트 공개 키(CAKpub)에 추가로 기초할 수 있고, 제 2 스테이션의 증명서의 유효성을 확인하는 원격 스테이션을 포함할 수 있다. 제 2 스테이션의 증명서의 유효성을 확인하는 것은, 루트 공개 키로 제 2 증명서의 시그니처를 확인하는 것; 제 2 증명서가 증명서 철회 목록에 없다는 것을 확인하는 것; 온라인 증명서 스테이터스 프로토콜을 이용하여 제 2 증명서의 스테이터스를 확인하는 것; 및/또는 제 2 증명서의 유효 날짜를 확인하는 것 중 적어도 하나를 포함한다.
[0026]본 발명의 다른 보다 구체적인 양상들에서, 무선 네트워크(330)는 Wi-Fi 다이렉트 또는 피어-투-피어를 이용하여 통신하는 원격 스테이션(310)과 제 2 스테이션(340)만으로 이루어질 수 있다. 또한, 무선 네트워크(330)는 LTE(long term evolution) 다이렉트 통신 네트워크, 또는 메쉬 WiFi 네트워크일 수 있다. 로컬 루트 인증 기관(320)은 스마트 폰, 태블릿 또는 퍼스널 컴퓨터(PC)와 같은 무선 네트워크의 구성기일 수 있다. 원격 스테이션은 무선 인터페이스를 가질 수 있다. 또한, 원격 스테이션은 무선 액세스 포인트를 포함할 수 있다.
[0027]도 4를 추가로 참고하면, 원격 스테이션(310)은 컴퓨터(400)를 포함할 수 있고, 컴퓨터(400)는 프로세서(410), 저장 매체(420), 이를 테면, 메모리 및/또는 디스크 드라이브, 디스플레이(430), 및 입력부, 이를 테면, 키패드(440), 무선 연결(450), 이를 테면, Wi-Fi 연결 및/또는 셀룰러 연결, 및 대역외 통신 인터페이스(460), 이를 테면 NFC 및/또는 BLE 연결을 포함한다.
[0028]본 발명의 다른 양상은 원격 스테이션(310)에 존재할 수 있으며, 원격 스테이션(310)은, 스테이션 공개 키(Kpub)를 로컬 루트 인증 기관(320)으로 포워딩하기 위한 수단(410) - 스테이션 공개 키는 무선 네트워크(330)의 대역외에서 포워딩됨-; 로컬 루트 인증 기관으로부터 증명서 Cer(Kpub) 및 루트 공개 키(CAKpub)를 수신하기 위한 수단(410) -증명서는 포워딩된 스테이션 공개 키에 기초하여 로컬 루트 인증 기관에 의해 생성되고, 증명서 및 루트 공개 키는 무선 네트워크의 대역외에서 수신됨-; 및 무선 네트워크를 이용하여, 증명서와 루트 공개 키에 기초하여 제 2 스테이션(340)과 안전하게 통신하기 위한 수단(410)을 포함한다.
[0028]본 발명의 다른 양상은 원격 스테이션(310)에 존재할 수 있으며, 원격 스테이션(310)은, 스테이션 공개 키(Kpub)를 로컬 루트 인증 기관(320)으로 포워딩하고 - 스테이션 공개 키는 무선 네트워크(330)의 대역외에서 포워딩됨-; 로컬 루트 인증 기관으로부터 증명서 Cer(Kpub) 및 루트 공개 키(CAKpub)를 수신하고 -증명서는 포워딩된 스테이션 공개 키에 기초하여 로컬 루트 인증 기관에 의해 생성되고, 증명서 및 루트 공개 키는 무선 네트워크의 대역외에서 수신됨-; 및 무선 네트워크를 이용하여, 증명서와 루트 공개 키에 기초하여 제 2 스테이션(340)과 안전하게 통신하도록 구성된 프로세서(410)를 포함한다.
[0030]본 발명의 다른 양상은 컴퓨터 프로그램 물건에 존재할 수 있으며, 컴퓨터 프로그램 물건은, 컴퓨터(400)로 하여금 스테이션 공개 키(Kpub)를 로컬 루트 인증 기관(320)으로 포워딩하게 하는 코드 -스테이션 공개 키는 무선 네트워크(330)의 대역외에서 포워딩됨-; 컴퓨터로 하여금 로컬 루트 인증 기관으로부터 증명서 Cer(Kpub) 및 루트 공개 키(CAKpub)를 수신하게 하는 코드 -증명서는 포워딩된 스테이션 공개 키에 기초하여 로컬 루트 인증 기관에 의해 생성되고, 증명서 및 루트 공개 키는 무선 네트워크의 대역외에서 수신됨-; 및 컴퓨터로 하여금 무선 네트워크를 이용하여, 증명서와 루트 공개 키에 기초하여 제 2 스테이션(340)과 안전하게 통신하게 하는 코드를 포함하는 컴퓨터 판독가능 매체(420)를 포함한다.
[0031]도 5를 참고하면, 디바이스 A(560) 및 디바이스 B(540)는 사용자 X가 소유하고 구성기(520)를 이용하여 사용자 X에 의해 사전에 구성되었다. 사용자 X를 위한 구성기는 제 1 루트 공개 키(Xroot) 및 대응하는 비밀 키 (KXpr)를 갖는다. 앞의 구성의 결과로서, 디바이스 A는 제 1 루트 공개 키 및 비밀 키(KXpri)를 이용하여 서명되는 디바이스 A 증명서 cert(KApub,X)를 갖고, 디바이스 B는 마찬가지로 제 1 루트 공개 키 및 비밀 키(KXpri)를 이용하여 또한 서명되는 디바이스 B 증명서 cert(KBpub, X)를 갖는다. 디바이스들(A 및 B)은 또한, 대응하는 공개 키들을 이용하여 암호화된 데이터를 복호화하기 위해, 또는 대안으로, 추가 데이터 교환을 암호화하고 인증하기 위해 공유 비밀 키를 확립하기 위해서 디피-헬만(Diffie-Hellman) 키 교환을 수행하기 위해 개별적인 사설 키들(KApri 및 KBpri)을 구비한다.
[0032]사용자 X가, 디바이스 C(510)를 구입하고 이것이 디바이스들(A 및 B)의 보안 사설 무선 네트워크에 접속하게 하도록 구성할 것을 원한다. 등록 프로세스에서, 디바이스 C는, 가입자(enrollee)로서, 자신의 공개 키(KCpub)를 사용자 X의 구성기(520)로 포워딩하며, 사용자 X의 구성기(520)는, 자신의 비밀 키(KXpri)에 의해 서명된 증명서 Cert(KCpub, X) 및 자신의 루트 공개 키(KXroot)를 리턴시킨다. 새로운 디바이스 C가 이제, 증명서 Cer(KCpub,X) 및 루트 공개 키를 이용하여 디바이스들(A 및 B)과 안전하게 통신할 수 있다. 디바이스 C는, 디바이스들(A 및 B)의 증명서들을 확인하기 위해 루트 공개 키를 사용한다.
[0033]이와 같이, 디바이스 C는 이제, 디바이스들(A 및 B)과 직접 또는 인프라구조 모드로 레벨 L2에서 보안 링크를 확립할 수 있다. 그러나, 디바이스 C는, 디바이스 C가 디바이스 D를 인증할 수 없기 때문에, 사용자 Y가 소유한 디바이스 D(570)과 통신할 수 없다. 마찬가지로, 비밀 키(KYpri)를 이용하여 서명되는 디바이스 D의 증명서 Cer(kbPUB, Y)이 디바이스들(A, B 및 C)을 인증하기 위해 사용될 수 없다.
[0034]로컬 루트 인증 기관에 의해 발행된 증명서들(예를 들어, 도 3의 320 및 도 5의 520)이 사용자에게 결합된다. 사용자의 모든 디바이스들이 사용자의 인증 기관에 의해 인증된다. 사용자 Y 디바이스 증명서는 사용자 X의 디바이스에 대해서는 유효하지 않을 것이다. 증명서들은 2개의 디바이스들 간의 어떠한 사전 교환없이도 특정 사용자의 2개의 등록된(그리고 구성된) 디바이스들 간의 안전한 통신을 가능하게 한다. 증명서는, 마스터 공유 키에 의존하지 않고 2개의 구성된 디바이스들 간의 안전한 Wi-Fi 다이렉트 통신을 포함할 수 있는 메쉬 네트워크의 사용을 가능하게 한다. 인프라구조(스타) 네트워크 또한 사용될 수 있다. 디바이스들은 서로 다른 제조업체로부터 제조되고 다양한 타입들(액세스 포인트(AP), 프린터, 센서, 카메라, 스마트 폰 등)일 수 있다. 사용자의 로컬 루트 인증 기관은 사용자의 제어 및 관리를 받고있다. 이는, 구성기 상의 추상화(abstraction) 인터페이스를 통해 달성될 수 있다. 사용자는 어떠한 제 3 당사자도 신뢰할 필요가 없다.
[0035]등록 프로세스에서, 가입자는 구성기와 함께 대역외 양방향 통신 채널(550)을 필요로 한다. 가입자는 또한, 자신의 디바이스 비밀 키를 포함하는 키 스토리지를 필요로 하며, 증명서 확인을 수행할 수 있을 것이 필요하다. 구성기는, 가입자와 함께 대역외 양방향 통신 채널(550)을 필요로 한다. 구성기는 또한, 그의 인증 기관/루트 비밀 키를 포함하는 키 스토리지를 필요로 하며, 증명서 생성을 수행할 수 있을 것이 필요하다.
[0036]사용자는 한 시간, 하루, 일주일 등과 같이 제한된 시간 기간 동안 유효한 게스트(guest)에게 임시 증명서를 제공함으로써 보안 비밀 무선 네트워크에 대한 게스트 액세스를 제공할 수 있다. 디바이스를 분실했거나 도난당한 경우, 사용자는 철회(revocation) 목록(다른 PKI 피처) 상에 디바이스의 증명서를 넣을 수 있다. 사용자의 스마트 폰, PC, 태블릿 등 상의 애플리케이션은, 증명서 생성, 증명서 철회, 권한부여, CRL 관리 및/또는 온라인 증명서 스테이터스 프로토콜 서비스를 포함한 로컬 루트 인증 기관의 모든 기능들을 제공할 수 있다. 파라미터를 디바이스로 제공하고 그리고/또는 디바이스에서 파라미터를 수신하는 프로세스가 "구성"으로 간주될 수 있다.
[0037]로컬 루트 CA를 호스팅하는 디바이스, 즉, 구성기(320)는 또한, 무선 네트워크(330)의 디바이스들의 기존 부분 중 임의의 부분과 (기본 무선 인터페이스를 이용하여) 대역내 통신을 하기 위해 그 자신의 키 쌍과 증명서를 지닌 무선 스테이션일 수 있다.
[0038]로컬 루트 인증 기관(320)에 의해 생성될 수 있는 증명서(600)가 도 6에 도시된다. 증명서(600)는 X.509 표준에 따른 일 타입일 수 있다. 증명서(600)는 데이터 필드 또는 부분(610) 및 시그니처 필드 또는 부분(620)을 포함할 수 있다. 데이터 필드는 버전 필드, 일련 번호 필드, 시그니처 알고리즘 필드, 발행기 필드, 유효기간 개시일(not before date) 필드, 유효기간 만료일(not after date) 필드를 갖는 유효 필드, 디바이스 일련 번호 필드 및 디바이스 타입 필드를 갖는 서브젝트 필드, 서브젝트 공개 키 인포 필드, 공개 키 알고리즘 필드, 및 모듈러스 필드 및 익스포넨트(exponent) 필드를 갖는 공개 키 필드를 포함할 수 있다. 공개 키 필드는 로컬 루트 인증 기관(320)으로 포워딩된 스테이션 공개 키(Kpub)에 대응할 수 있다. 스테이션 공개 키는 RSA 암호화 알고리즘에 기초할 수 있다. 서명 필드(620) 내의 서명 값은 데이터 필드(610) 내의 정보/값들, 서명자의 비밀(즉, 로컬 루트 인증 기관(320)의 비밀 키), 및 신호 알고리즘 필드의 알고리즘(예를 들어, RSA 암호화, 또는 "sha2withRSAEncryption"를 갖는 Sha2)을 이용하여 생성될 수 있다. 증명서(600)는 데이터 필드(610) 및 시그니처 필드(620)의 조합으로부터 생성된다. 데이터 필드 내의 정보/값들에 대한 변경은 시그니처를 이용하여 검출할 수 있다.
[0039]증명서(600)의 시그니처를 생성하기 위한 방법(700)이 도 7에 도시된다. 데이터 필드(610)의 정보는 해시 함수(720), 예를 들어, SHA2 또는 SHA3으로 입력되어 다이제스트(digest)(730)를 생성한다. 다이제스트는, 알고리즘, 예를 들어, RSA 암호화 알고리즘에 입력되고, 인증 기관(CA) 비밀 키(750), 예를 들어, 로컬 루트 인증 기관(320)의 비밀 키(CAKPri)를 이용하여 서명되어 시그니처 필드(620)에 시그니처 값을 생성한다. 인증 기관 비밀 키(CAKpri) 및 인증 기관 공개 키(CAKpub)는 비대칭 키 쌍이다. 마찬가지로, 원격 스테이션(310)의 비밀 키(Kpri) 및 공개 키(Kpub)는 비대칭 키 쌍이다.
[0040]도 1을 참조하면, 무선 원격국(RS)(102)(예를 들어, 도 3의 원격 스테이션(310) 및 제 2 세트이션(340))은 무선 통신 시스템(100)의 하나 또는 둘 이상의 기지국들(BS)(104)과 통신할 수 있다. RS는 모바일 스테이션일 수 있다. 무선 통신 시스템(100)은 하나 또는 둘 이상의 기지국 제어기들(BSC)(106) 및 코어 네트워크(108)를 더 포함할 수 있다. 코어 네트워크는 적합한 백홀들을 통해 인터넷(110) 및 공중 교환 전화망(PSTN: Public Switched Telephone Network)(112)에 연결될 수 있다. 전형적인 무선 이동국은 핸드헬드 폰 또는 랩탑 컴퓨터를 포함할 수 있다. 무선 통신 시스템(100)은 CDMA(code division multiple access), TDMA(time division multiple access), FDMA(frequency division multiple access), SDMA(space division multiple access), PDMA(polarization division multiple access) 또는 당해 기술 분야에 공지된 다른 변조 기법들과 같은 다수의 다중 액세스 기법들 중 임의의 것을 이용할 수 있다.
[0041]당업자들은 정보 및 신호들이 다양한 상이한 기술들 및 기법들 중 임의의 것을 이용하여 표현될 수 있다는 것을 이해할 것이다. 예를 들어, 상기 설명의 전체에 걸쳐 참조될 수 있는 데이터, 명령들, 커맨드들, 정보, 신호들, 비트들, 심볼들 및 칩들은 전압들, 전류들, 전자기파들, 자기장들 또는 자기 입자들, 광 필드들 또는 광입자들 또는 이들의 임의의 결합으로 표현될 수 있다.
[0042]당업자들은 본원에 개시된 실시예들과 관련하여 설명된 다양한 예시적 논리 블록들, 모듈들, 회로들 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어 또는 이 둘의 결합들로서 구현될 수 있다는 것을 추가로 인식할 것이다. 하드웨어 및 소프트웨어의 이러한 상호교환가능성을 명백하게 예시하기 위해, 다양한 예시적 컴포넌트들, 블록들, 모듈들, 회로들 및 단계들이 일반적으로 그들의 기능에 관하여 위에서 설명되었다. 이러한 기능이 하드웨어로서 구현되는지 또는 소프트웨어로서 구현되는지는 전체 시스템 상에 부과되는 설계 제약들 및 특정 애플리케이션에 의존한다. 당업자들은 각각의 특정 애플리케이션에 대해 다양한 방식들로 설명된 기능을 구현할 수 있지만, 이러한 구현 결정들이 본 발명의 범위를 벗어나게 하는 것으로 해석되어서는 안 된다.
[0043]본원에 개시된 실시예들과 관련하여 설명된 다양한 예시적 논리 블록들, 모듈들 및 회로들은 범용 프로세서, DSP(digital signal processor), ASIC(application specific integrated circuit), FPGA(field programmable gate array) 또는 다른 프로그래머블 로직 디바이스, 이산 게이트 또는 트랜지스터 로직, 이산 하드웨어 컴포넌트들, 또는 본원에 설명된 기능들을 수행하도록 설계되는 이들의 임의의 결합으로 구현 또는 수행될 수 있다. 범용 프로세서는 마이크로프로세서일 수 있지만, 대안적으로, 프로세서는 임의의 종래의 프로세서, 제어기, 마이크로제어기 또는 상태 머신일 수 있다. 또한, 프로세서는 컴퓨팅 디바이스들의 결합, 예를 들어, DSP 및 마이크로프로세서의 결합, 복수의 마이크로프로세서들, DSP 코어와 결합된 하나 또는 둘 이상의 마이크로프로세서들, 또는 임의의 다른 이러한 구성으로서 구현될 수 있다.
[0044]본원에 개시된 실시예들과 관련하여 설명된 알고리즘 또는 방법의 단계들은 직접적으로 하드웨어로, 프로세서에 의해 실행되는 소프트웨어 모듈로, 또는 이 둘의 결합으로 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터들, 하드디스크, 이동식(removable) 디스크, CD-ROM, 또는 당해 기술 분야에 공지된 임의의 다른 형태의 저장 매체에 상주할 수 있다. 예시적 저장 매체는, 프로세서가 저장 매체로부터 정보를 판독하고, 저장 매체에 정보를 기록할 수 있도록, 프로세서에 커플링된다. 대안적으로, 저장 매체는 프로세서에 통합될 수 있다. 프로세서 및 저장 매체는 ASIC에 상주할 수 있다. ASIC는 사용자 단말에 상주할 수 있다. 대안적으로, 프로세서 및 저장 매체는 사용자 단말에서 별개의 컴포넌트들로서 상주할 수 있다.
[0045]하나 또는 둘 이상의 예시적 실시예들에서, 설명된 기능들은 하드웨어, 소프트웨어, 펌웨어 또는 이들의 임의의 결합으로 구현될 수 있다. 컴퓨터 프로그램 물건으로서 소프트웨어로 구현되는 경우, 기능들은 컴퓨터 판독가능한 매체 상에 하나 또는 둘 이상의 명령들 또는 코드로서 저장되거나 이를 통해 송신될 수 있다. 컴퓨터 판독가능한 매체들은 하나의 장소에서 다른 장소로 컴퓨터 프로그램의 이전을 가능하게 하는 임의의 매체를 포함하는 통신 매체들 및 비-일시적 컴퓨터 판독가능한 저장 매체들 둘 모두를 포함한다. 저장 매체들은 컴퓨터에 의해 액세스될 수 있는 임의의 이용가능한 매체들일 수 있다. 제한이 아닌 예로서, 이러한 컴퓨터 판독가능한 매체들은 RAM, ROM, EEPROM, CD-ROM 또는 다른 광학 디스크 스토리지, 자기 디스크 스토리지 또는 다른 자기 저장 디바이스들, 또는 원하는 프로그램 코드를 명령들 또는 데이터 구조들의 형태로 전달 또는 저장하기 위해 이용될 수 있고 컴퓨터에 의해 액세스될 수 있는 임의의 다른 매체를 포함할 수 있다. 또한, 임의의 연결은 컴퓨터 판독가능한 매체로 적절히 지칭된다. 예를 들어, 소프트웨어가 웹사이트, 서버, 또는 다른 원격 소스로부터 동축 케이블, 광섬유 케이블, 꼬임 쌍선, DSL(digital subscriber line), 또는 (적외선, 라디오 및 마이크로파와 같은) 무선 기술들을 이용하여 송신되는 경우, 동축 케이블, 광섬유 케이블, 꼬임 쌍선, DSL, 또는 (적외선, 라디오 및 마이크로파와 같은) 무선 기술들이 매체의 정의 내에 포함된다. 본원에서 이용되는 바와 같은 디스크(disk) 및 디스크(disc)는 CD(compact disc), 레이저 디스크(disc), 광 디스크(disc), DVD(digital versatile disc), 플로피 디스크(disk) 및 블루-레이 디스크(disc)를 포함하며, 여기서 디스크(disk)들은 통상적으로 데이터를 자기적으로 재생하는 반면, 디스크(disc)들은 광학적으로 레이저들을 이용하여 데이터를 재생한다. 위의 것들의 결합들이 또한, 컴퓨터 판독가능한 매체들의 범위 내에 포함되어야 한다.
[0046]개시된 실시예들의 이전 설명은 임의의 당업자가 본 발명을 실시하거나 또는 이용할 수 있도록 제공된다. 이러한 실시예들에 대한 다양한 변경들은 당업자들에게 쉽게 명백할 것이고, 본원에서 정의된 일반적 원리들은 본 발명의 사상 또는 범위를 벗어나지 않으면서 다른 실시예들에 적용될 수 있다. 따라서, 본 발명은 본원에 도시된 실시예들에 제한되는 것으로 의도된 것이 아니라, 본원에 개시된 원리들 및 신규한 특징들과 일치하는 가장 넓은 범위를 따를 것이다.

Claims (30)

  1. 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법으로서,
    스테이션 공개 키를 상기 로컬 루트 인증 기관으로 포워딩하는 단계 ―상기 스테이션 공개 키는 상기 무선 네트워크의 대역외에서 포워딩됨―;
    상기 로컬 루트 인증 기관으로부터 증명서 및 루트 공개 키를 수신하는 단계 ―상기 증명서는 포워딩된 스테이션 공개 키에 기초하고, 상기 증명서 및 상기 루트 공개 키는 상기 무선 네트워크의 대역외에서 수신됨―; 및
    상기 무선 네트워크를 이용하여 상기 증명서 및 상기 루트 공개 키에 기초하여 다른 스테이션과 안전하게 통신하는 단계를 포함하는, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  2. 제 1 항에 있어서,
    상기 스테이션 공개 키는 상기 로컬 루트 인증 기관으로 포워딩되고, 상기 증명서 및 상기 루트 공개 키는, 양방향 통신 채널을 이용하여, 상기 로컬 루트 인증 기관으로부터 수신되는, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  3. 제 1 항에 있어서,
    상기 스테이션 공개 키는 상기 로컬 루트 인증 기관으로 포워딩되고, 상기 증명서 및 상기 루트 공개 키는, 블루투스 저에너지 통신 채널을 이용하여, 상기 로컬 루트 인증 기관으로부터 수신되는, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  4. 제 1 항에 있어서,
    상기 스테이션 공개 키는 상기 로컬 루트 인증 기관으로 포워딩되고, 상기 증명서 및 상기 루트 공개 키는, 근접장 통신 채널을 이용하여, 상기 로컬 루트 인증 기관으로부터 수신되는, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  5. 제 1 항에 있어서,
    상기 증명서는 상기 스테이션 공개 키 및 디바이스 식별자를 포함하는, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  6. 제 1 항에 있어서,
    상기 루트 공개 키는 자체 서명 증명서에 포함된 루트-오브-트러스트(root-of-trust) 공개 키인, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  7. 제 1 항에 있어서,
    상기 다른 스테이션과 안전하게 통신하는 단계는 추가로, 상기 다른 스테이션에서 구성된 다른 증명서, 및 상기 원격 스테이션에서 그리고 상기 다른 스테이션에서 구성된 상기 루트 공개 키에 기초하는, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  8. 제 7 항에 있어서,
    상기 안전하게 통신하는 단계는 상기 다른 스테이션의 상기 다른 증명서의 유효성을 확인하는 단계를 포함하는, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  9. 제 8 항에 있어서,
    상기 다른 증명서의 상기 유효성을 확인하는 단계는,
    상기 다른 증명서의 시그니처를 상기 루트 공개 키로 확인하는 단계;
    상기 다른 증명서가 증명서 철회 리스트(Certificate Revocation List)에 있지 않다는 것을 확인하는 단계;
    온라인 증명서 스테이터스 프로토콜(Online Certificate Status Protocol)을 이용하여 상기 다른 증명서의 스테이터스를 확인하는 단계; 및/또는
    상기 다른 증명서의 유효 날짜들을 확인하는 단계
    중 적어도 하나를 포함하는, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  10. 제 1 항에 있어서,
    상기 무선 네트워크는, Wi-Fi 다이렉트 또는 피어-투-피어를 이용하여 통신하는 상기 원격 스테이션 및 상기 다른 스테이션만으로 이루어지는, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  11. 제 1 항에 있어서,
    상기 무선 네트워크는 LTE(long term evolution) 다이렉트 통신 네트워크인, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  12. 제 1 항에 있어서,
    상기 무선 네트워크는 메쉬 WiFi 네트워크인, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  13. 제 1 항에 있어서,
    상기 로컬 루트 인증 기관은 상기 무선 네트워크의 구성기(configurator)인, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  14. 제 13 항에 있어서,
    상기 구성기는 또한 키 쌍을 갖는 무선 스테이션인, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  15. 제 14 항에 있어서,
    상기 무선 스테이션은 다른 스테이션들과 통신하기 위해서 상기 로컬 루트 인증 기관으로부터 증명서를 내부로(internally) 수신하는, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  16. 제 1 항에 있어서,
    상기 원격 스테이션은 무선 액세스 포인트를 포함하는, 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법.
  17. 원격 스테이션으로서,
    스테이션 공개 키를 로컬 루트 인증 기관으로 포워딩하기 위한 수단 ―상기 스테이션 공개 키는 무선 네트워크의 대역외에서 포워딩됨―;
    상기 로컬 루트 인증 기관으로부터 증명서 및 루트 공개 키를 수신하기 위한 수단 ―상기 증명서는 포워딩된 스테이션 공개 키에 기초하고, 상기 증명서 및 상기 루트 공개 키는 상기 무선 네트워크의 대역외에서 수신됨―; 및
    상기 무선 네트워크를 이용하여 상기 증명서 및 상기 루트 공개 키에 기초하여 다른 스테이션과 안전하게 통신하기 위한 수단을 포함하는, 원격 스테이션.
  18. 제 17 항에 있어서,
    상기 증명서는 상기 스테이션 공개 키 및 디바이스 식별자를 포함하는, 원격 스테이션.
  19. 제 17 항에 있어서,
    상기 루트 공개 키는 자체 서명 증명서에 포함된 루트-오브-트러스트(root-of-trust) 공개 키인, 원격 스테이션.
  20. 제 17 항에 있어서,
    상기 다른 스테이션과 안전하게 통신하기 위한 수단은 추가로, 상기 다른 스테이션에서 구성된 다른 증명서, 및 상기 다른 스테이션에서 구성된 상기 루트 공개 키에 기초하는, 원격 스테이션.
  21. 제 20 항에 있어서,
    상기 안전하게 통신하기 위한 수단은 상기 다른 스테이션의 상기 다른 증명서의 유효성을 확인하기 위한 수단을 포함하는, 원격 스테이션.
  22. 제 21 항에 있어서,
    상기 다른 증명서의 상기 유효성을 확인하기 위한 수단은,
    상기 다른 증명서의 시그니처를 상기 루트 공개 키로 확인하기 위한 수단;
    상기 다른 증명서가 증명서 철회 리스트(Certificate Revocation List)에 있지 않다는 것을 확인하기 위한 수단;
    온라인 증명서 스테이터스 프로토콜(Online Certificate Status Protocol)을 이용하여 상기 다른 증명서의 스테이터스를 확인하기 위한 수단; 및/또는
    상기 다른 증명서의 유효 날짜들을 확인하기 위한 수단
    중 적어도 하나를 포함하는, 원격 스테이션.
  23. 원격 스테이션으로서,
    스테이션 공개 키를 로컬 루트 인증 기관으로 포워딩하고 ―상기 스테이션 공개 키는 무선 네트워크의 대역외에서 포워딩됨―;
    상기 로컬 루트 인증 기관으로부터 증명서 및 루트 공개 키를 수신하고 ―상기 증명서는 포워딩된 스테이션 공개 키에 기초하고, 상기 증명서 및 상기 루트 공개 키는 상기 무선 네트워크의 대역외에서 수신됨―; 및
    상기 무선 네트워크를 이용하여 상기 증명서 및 상기 루트 공개 키에 기초하여 다른 스테이션과 안전하게 통신하도록
    구성된 프로세서를 포함하는, 원격 스테이션.
  24. 제 23 항에 있어서,
    상기 다른 스테이션과 안전하게 통신하는 것은 추가로, 상기 다른 스테이션에서 구성된 다른 증명서, 및 상기 다른 스테이션에서 구성된 상기 루트 공개 키에 기초하는, 원격 스테이션.
  25. 제 24 항에 있어서,
    상기 다른 스테이션과 안전하게 통신하는 것은 상기 다른 스테이션의 상기 다른 증명서의 유효성을 확인하는 것을 포함하는, 원격 스테이션.
  26. 제 25 항에 있어서,
    상기 다른 증명서의 상기 유효성을 확인하는 것은,
    상기 다른 증명서의 시그니처를 상기 루트 공개 키로 확인하는 것;
    상기 다른 증명서가 증명서 철회 리스트(Certificate Revocation List)에 있지 않다는 것을 확인하는 것;
    온라인 증명서 스테이터스 프로토콜(Online Certificate Status Protocol)을 이용하여 상기 다른 증명서의 스테이터스를 확인하는 것; 및/또는
    상기 다른 증명서의 유효 날짜들을 확인하는 것
    중 적어도 하나를 포함하는, 원격 스테이션.
  27. 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 물건으로서,
    상기 컴퓨터 판독가능 매체는,
    컴퓨터로 하여금, 스테이션 공개 키를 로컬 루트 인증 기관으로 포워딩하게 하기 위한 코드 ―상기 스테이션 공개 키는 무선 네트워크의 대역외에서 포워딩됨―;
    컴퓨터로 하여금, 상기 로컬 루트 인증 기관으로부터 증명서 및 루트 공개 키를 수신하게 하기 위한 코드 ―상기 증명서는 포워딩된 스테이션 공개 키에 기초하고, 상기 증명서 및 상기 루트 공개 키는 상기 무선 네트워크의 대역외에서 수신됨―; 및
    컴퓨터로 하여금, 상기 무선 네트워크를 이용하여 상기 증명서 및 상기 루트 공개 키에 기초하여 다른 스테이션과 안전하게 통신하게 하기 위한 코드를 포함하는, 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 물건.
  28. 제 27 항에 있어서,
    상기 다른 스테이션과 안전하게 통신하는 것은 추가로, 상기 다른 스테이션에서 구성된 다른 증명서, 및 상기 다른 스테이션에서 구성된 상기 루트 공개 키에 기초하는, 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 물건.
  29. 제 28 항에 있어서,
    상기 다른 스테이션과 안전하게 통신하는 것은 상기 다른 스테이션의 상기 다른 증명서의 유효성을 확인하는 것을 포함하는, 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 물건.
  30. 제 29 항에 있어서,
    상기 다른 증명서의 유효성을 확인하는 것은,
    상기 다른 증명서의 시그니처를 상기 루트 공개 키로 확인하는 것;
    상기 다른 증명서가 증명서 철회 리스트(Certificate Revocation List)에 있지 않다는 것을 확인하는 것;
    온라인 증명서 스테이터스 프로토콜(Online Certificate Status Protocol)을 이용하여 상기 다른 증명서의 스테이터스를 확인하는 것; 및/또는
    상기 다른 증명서의 유효 날짜들을 확인하는 것
    중 적어도 하나를 포함하는, 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 물건.
KR1020167009775A 2013-09-23 2014-09-19 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법 KR101728781B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201361881355P 2013-09-23 2013-09-23
US61/881,355 2013-09-23
US14/207,005 US9288672B2 (en) 2013-09-23 2014-03-12 Method for configuring a remote station with a certificate from a local root certificate authority for securing a wireless network
US14/207,005 2014-03-12
PCT/US2014/056661 WO2015042471A1 (en) 2013-09-23 2014-09-19 Method for configuring a remote station with a certificate from a local root certificate authority for securing a wireless network

Publications (2)

Publication Number Publication Date
KR20160058852A true KR20160058852A (ko) 2016-05-25
KR101728781B1 KR101728781B1 (ko) 2017-04-20

Family

ID=51690456

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020167009775A KR101728781B1 (ko) 2013-09-23 2014-09-19 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법

Country Status (6)

Country Link
US (1) US9288672B2 (ko)
EP (1) EP3050248A1 (ko)
JP (1) JP2016534614A (ko)
KR (1) KR101728781B1 (ko)
CN (1) CN105556895A (ko)
WO (1) WO2015042471A1 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130275760A1 (en) * 2012-04-17 2013-10-17 Qualcomm Incorporated Method for configuring an internal entity of a remote station with a certificate
US9357385B2 (en) 2012-08-20 2016-05-31 Qualcomm Incorporated Configuration of a new enrollee device for use in a communication network
CN104704789B (zh) * 2012-10-15 2018-06-22 诺基亚通信公司 网络认证
US10154025B2 (en) 2013-03-15 2018-12-11 Qualcomm Incorporated Seamless device configuration in a communication network
US9215630B2 (en) * 2014-04-29 2015-12-15 Wipro Limited Method and system for creating a global neighbor list
US20160286390A1 (en) * 2015-03-27 2016-09-29 Qualcomm Incorporated Flexible and secure network management
US20160366124A1 (en) * 2015-06-15 2016-12-15 Qualcomm Incorporated Configuration and authentication of wireless devices
US9843959B2 (en) * 2015-09-30 2017-12-12 Intel IP Corporation Interference mitigation by a scalable digital wireless modem
KR102134302B1 (ko) * 2016-01-29 2020-07-15 텐센트 테크놀로지(센젠) 컴퍼니 리미티드 무선 네트워크 접속 방법 및 장치, 및 저장 매체
JP6471112B2 (ja) * 2016-02-29 2019-02-13 Kddi株式会社 通信システム、端末装置、通信方法、及びプログラム
WO2017201406A1 (en) * 2016-05-19 2017-11-23 Arris Enterprises Llc Implicit rsa certificates
US10749690B2 (en) * 2017-03-10 2020-08-18 Samsung Electronics Co., Ltd. System and method for certificate authority for certifying accessors
KR102086739B1 (ko) * 2018-06-27 2020-03-09 주식회사 수산아이앤티 보안 소켓 계층 복호화 장치에서 다양한 전자 서명 알고리즘을 지원하기 위한 전자 재서명 방법
US11792652B2 (en) * 2021-07-20 2023-10-17 Motorola Mobility LLOC Methods and electronic devices for verifying device identity during secure pairing
CN114567879A (zh) * 2022-02-16 2022-05-31 重庆九格慧科技有限公司 基于无线级联的密钥分发系统

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6513116B1 (en) * 1997-05-16 2003-01-28 Liberate Technologies Security information acquisition
US6370249B1 (en) * 1997-07-25 2002-04-09 Entrust Technologies, Ltd. Method and apparatus for public key management
US7386726B2 (en) * 2001-11-02 2008-06-10 Telefonaktiebolaget L M Ericsson (Publ) Personal certification authority device
JP4628684B2 (ja) * 2004-02-16 2011-02-09 三菱電機株式会社 データ送受信装置及び電子証明書発行方法
US7433847B2 (en) * 2004-09-22 2008-10-07 Pitney Bowes Inc. System and method for manufacturing and securing transport of postage printing devices
CN1937496A (zh) * 2005-09-21 2007-03-28 日电(中国)有限公司 可延展伪名证书系统和方法
CN101022330A (zh) * 2006-02-13 2007-08-22 华为技术有限公司 提高密钥管理授权消息安全性的方法和模块
CN101145908A (zh) * 2006-09-14 2008-03-19 华为技术有限公司 保障业务网络安全的系统、装置及方法
US8892887B2 (en) * 2006-10-10 2014-11-18 Qualcomm Incorporated Method and apparatus for mutual authentication
CN101212465B (zh) * 2006-12-26 2011-10-26 中兴通讯股份有限公司 因特网密钥交换协议第二版证书有效性验证的方法
US8307203B2 (en) * 2008-07-14 2012-11-06 Riverbed Technology, Inc. Methods and systems for secure communications using a local certification authority
KR101505682B1 (ko) * 2008-09-11 2015-03-24 엘지전자 주식회사 이동 단말기, 그 이동 단말기를 이용한 정보 공개 제한 시스템 및 방법
US8892869B2 (en) * 2008-12-23 2014-11-18 Avaya Inc. Network device authentication
US8627064B2 (en) * 2011-03-24 2014-01-07 Alcatel Lucent Flexible system and method to manage digital certificates in a wireless network
US8874769B2 (en) 2011-06-30 2014-10-28 Qualcomm Incorporated Facilitating group access control to data objects in peer-to-peer overlay networks
WO2014030283A1 (ja) * 2012-08-21 2014-02-27 ソニー株式会社 署名検証情報の伝送方法、情報処理装置、情報処理方法および放送送出装置

Also Published As

Publication number Publication date
CN105556895A (zh) 2016-05-04
EP3050248A1 (en) 2016-08-03
JP2016534614A (ja) 2016-11-04
US9288672B2 (en) 2016-03-15
US20150089216A1 (en) 2015-03-26
KR101728781B1 (ko) 2017-04-20
WO2015042471A1 (en) 2015-03-26

Similar Documents

Publication Publication Date Title
KR101728781B1 (ko) 무선 네트워크를 안전하게 보호하기 위해 로컬 루트 인증 기관으로부터의 증명서를 이용하여 원격 스테이션을 구성하기 위한 방법
CA2986223C (en) Method and apparatus for initial certificate enrollment in a wireless communication system
TWI451735B (zh) 用於在通訊系統中將用戶認證與設備認證結合的方法和裝置
KR101554408B1 (ko) 보안 요소를 이용하는 원격국의 인증 방법
US8001584B2 (en) Method for secure device discovery and introduction
US8892887B2 (en) Method and apparatus for mutual authentication
CA2956590C (en) Apparatus and method for sharing a hardware security module interface in a collaborative network
CN106330857B (zh) 具有证书的客户端设备及相关方法
US9762569B2 (en) Network authentication
JP2017535989A (ja) 証明書ベースの認証
US20240080316A1 (en) Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network
TW201703555A (zh) 無線設備的配置和認證
CN102724665B (zh) 飞蜂窝型基站的安全认证方法及飞蜂窝型无线通信系统
CN108352982B (zh) 通信装置、通信方法及记录介质
Fischer et al. Secure identifiers and initial credential bootstrapping for IoT@ Work
US20130275760A1 (en) Method for configuring an internal entity of a remote station with a certificate
KR20130046781A (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
EP2847924B1 (en) Method and device for configuring an entity with a certificate
KR20170050906A (ko) 인증장치, 및 단말 간의 인증을 위한 프로그램 및 그 프로그램이 기록된 컴퓨터 판독 가능 기록매체
KR20130062965A (ko) 무선 네트워크 접속 인증 방법 및 그 시스템

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)