KR20180056809A - 무선 디바이스들의 플렉서블한 구성 및 인증 - Google Patents

무선 디바이스들의 플렉서블한 구성 및 인증 Download PDF

Info

Publication number
KR20180056809A
KR20180056809A KR1020187014281A KR20187014281A KR20180056809A KR 20180056809 A KR20180056809 A KR 20180056809A KR 1020187014281 A KR1020187014281 A KR 1020187014281A KR 20187014281 A KR20187014281 A KR 20187014281A KR 20180056809 A KR20180056809 A KR 20180056809A
Authority
KR
South Korea
Prior art keywords
public
key
identity key
wireless device
client device
Prior art date
Application number
KR1020187014281A
Other languages
English (en)
Inventor
올리비에 진 베누아
피라폴 틴나코른스리수팝
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US15/065,608 external-priority patent/US9706397B2/en
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20180056809A publication Critical patent/KR20180056809A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

무선 로컬 영역 네트워크(120) 내에서 사용하기 위해 무선 스테이션(130)을 구성하기 위한 장치 및 방법이 개시된다. 적어도 하나의 예시적인 실시예에서, 무선 로컬 영역 네트워크(120) 내의 무선 스테이션(130) 및 액세스 포인트(110)에 의해 쌍 방식 마스터 키가 생성된다. 쌍 방식 마스터 키는, 무선 스테이션(130)의 임시 아이덴티티 키 쌍(138)에 적어도 부분적으로 기반할 수 있다. 임시 아이덴티티 키 쌍(138)은, 액세스 포인트(110)로부터 메시지를 수신하는 것에 대한 응답으로 무선 스테이션(130)에 의해 생성될 수 있다. 일부 실시예들에서, 임시 아이덴티티 키 쌍(138)의 공개 임시 아이덴티티 키는, 무선 스테이션(130)이 부가적인 액세스 포인트들과 인증하는 것을 가능하게 하기 위해, 부가적인 액세스 포인트들에 제공될 수 있다.

Description

무선 디바이스들의 플렉서블한 구성 및 인증{FLEXIBLE CONFIGURATION AND AUTHENTICATION OF WIRELESS DEVICES}
[0001] 예시적인 실시예들은 일반적으로 통신 시스템들에 관한 것으로, 구체적으로는, 무선 네트워크들 내에서 사용하기 위해 무선 디바이스를 구성하는 것에 관한 것이다.
[0002] WLAN(wireless local area network)은, 다수의 클라이언트 디바이스들 또는 스테이션들에 의한 사용을 위한 공유된 무선 통신 매체를 제공하는 하나 또는 그 초과의 액세스 포인트(AP)들에 의해 형성될 수 있다. 기본 서비스 세트(BSS; Basic Service Set)에 대응할 수 있는 각각의 AP는, AP의 무선 범위 내에 있는 임의의 클라이언트 디바이스들이 WLAN과의 통신 링크(예컨대, 통신 채널)를 설정 및/또는 유지하는 것을 가능하게 하기 위해, 비컨(beacon) 프레임들을 주기적으로 브로드캐스팅(broadcast)한다.
[0003] 일부 WLAN들에서, 클라이언트 디바이스는, 공개 키(public key) 암호화 알고리즘을 사용하여 WLAN 내의 하나 또는 그 초과의 AP들과의 사용을 위해 구성될 수 있다. 공개 키 암호화(종종 공개/개인(private) 키 암호화로 지칭됨)는 알려진(공개) 키 및 비밀(개인) 키를 사용하여 데이터를 안전하게 전송하는 방법이다. 공개 및 개인 키들은 통상적으로 서로 수학적 관계를 갖는다. 데이터를 전송하는 것에 부가하여, 공개 및 개인 키들은 메시지들 및 인증서(certificate)들을 검증(verify)할 수 있고, 디지털 시그니쳐(signature)들을 생성할 수 있다. 예컨대, 클라이언트 디바이스는 WLAN 내의 AP들과 공개 키(예컨대, 클라이언트 디바이스의 공개 암호화 키)를 공유할 수 있다. AP들은, 클라이언트 디바이스를 인증 및 구성하기 위해 클라이언트 디바이스의 공개 키를 사용할 수 있다. 일단 인증되면, 클라이언트 디바이스는 WLAN 내의 AP들에 액세스(예컨대, 연결)할 수 있다. 그러나, WLAN에 대한 클라이언트 디바이스의 액세스를 제어하는 것은 클라이언트 디바이스의 공개 키의 분배(distribution) 이후에는 어려울 수 있다.
[0004] 따라서, WLAN에 대한 클라이언트 디바이스의 액세스 제어를 개선하는 것이 바람직할 수 있다.
[0005] 본 개요는, 발명을 실시하기 위한 구체적인 내용에서 아래에 추가로 설명되는 개념들의 선택을 간략화된 형태로 소개하기 위해 제공된다. 본 개요는, 청구된 요지의 핵심적인 특징들 또는 필수적인 특징들을 식별하도록 의도되거나 청구된 요지의 범위를 제한하도록 의도되지 않는다.
[0006] 일부 양상들에서, 무선 네트워크에서 사용하기 위해 무선 스테이션을 구성하는 방법이 개시된다. 예시적인 실시예들에서 따르면, 무선 스테이션은 제1 공개 및 개인 키 쌍을 동적으로 생성할 수 있다. 무선 스테이션은 또한, 제1 공유 키를 생성할 수 있다. 제1 공유 키는, 제1 공개 및 개인 키 쌍에 적어도 부분적으로 기반할 수 있다. 무선 스테이션은, 제1 공유 키를 사용하여 액세스 포인트와 통신할 수 있다.
[0007] 다른 양상에서, 무선 디바이스가 개시되며, 무선 디바이스는, 트랜시버, 프로세서, 및 명령들을 저장하기 위한 메모리를 포함할 수 있고, 명령들은, 프로세서에 의해 실행되는 경우 무선 디바이스로 하여금: 제1 공개 및 개인 키 쌍을 동적으로 생성하게 하고; 제1 공개 및 개인 키 쌍에 적어도 부분적으로 기반하여 제1 공유 키를 생성하게 하고; 그리고 제1 공유 키를 사용하여 액세스 포인트와 통신하게 한다.
[0008] 다른 예시적인 실시예에서, 액세스 포인트와 함께 사용하기 위해 무선 스테이션을 구성하는 방법이 개시된다. 액세스 포인트는 발견(discovery) 메시지를 송신할 수 있다. 그런 다음, 액세스 포인트는, 발견 메시지에 대한 응답으로, 동적으로 생성된 제1 공개 키를 수신할 수 있다. 액세스 포인트는, 액세스 포인트와 연관된 공개 키 및 제1 공개 키에 적어도 부분적으로 기반하여 제1 공유 키를 생성할 수 있다. 그런 다음, 액세스 포인트는, 제1 공유 키를 사용하여 클라이언트 디바이스와 통신할 수 있다.
[0009] 무선 디바이스가 개시되며, 무선 디바이스는, 트랜시버, 프로세서, 및 명령들을 저장하기 위한 메모리를 포함하고, 명령들은, 프로세서에 의해 실행되는 경우 무선 디바이스로 하여금: 발견 메시지를 송신하게 하고, 그리고 제1 메시지에 대한 응답으로, 동적으로 생성된 제1 공개 키를 수신하게 한다. 무선 디바이스는, 무선 디바이스와 연관된 공개 키 및 제1 공개 키에 적어도 부분적으로 기반하여 제1 공유 키를 생성할 수 있다. 무선 디바이스는, 제1 공유 키를 사용하여 무선 스테이션과 통신할 수 있다.
[0010] 예시적인 실시예들은 예로서 예시되고, 첨부된 도면들의 도해들에 의해 제한되도록 의도되지 않는다.
[0011] 도 1은, 예시적인 실시예들이 구현될 수 있는 무선 시스템의 블록도를 도시한다.
[0012] 도 2는 예시적인 실시예들에 따른, 도 1의 클라이언트 디바이스의 동작 상태들을 예시하는 상태도를 도시한다.
[0013] 도 3은 예시적인 실시예들에 따른, 도 1의 액세스 포인트와 함께 사용하기 위해 도 1의 클라이언트 디바이스를 인증 및 구성하기 위한 예시적인 동작을 도시하는 예시적인 흐름도를 도시한다.
[0014] 도 4는 예시적인 실시예들에 따른, 기존의 WLAN(wireless local area network)에 제2 AP를 부가하기 위한 예시적인 동작을 도시하는 예시적인 흐름도를 도시한다.
[0015] 도 5는 예시적인 실시예들에 따른, 도 1의 클라이언트 디바이스의 동작 상태들을 예시하는 다른 상태도를 도시한다.
[0016] 도 6은 예시적인 실시예들에 따른, 도 1의 액세스 포인트와 함께 사용하기 위해 도 1의 클라이언트 디바이스를 인증 및 구성하기 위한 다른 예시적인 동작을 도시하는 예시적인 흐름도를 도시한다.
[0017] 도 7은, 도 1의 AP, 클라이언트 디바이스, 및/또는 구성기의 실시예일 수 있는 예시적인 무선 디바이스를 도시한다.
[0018] 유사한 참조 부호들은 도시된 도면들 전체에 걸쳐 대응하는 부분들을 나타낸다.
[0019] 예시적인 실시예들은, 단지 간략화를 위해, WLAN 시스템들의 맥락에서 아래에 설명된다. 예시적인 실시예들은, 다른 무선 네트워크들(예컨대, 셀룰러 네트워크들, 피코 네트워크들, 펨토 네트워크들, 위성 네트워크들)뿐만 아니라 하나 또는 그 초과의 유선 표준들 또는 프로토콜들(예컨대, 이더넷 및/또는 HomePlug/PLC 표준들)의 신호들을 사용하는 시스템들에 대해 동일하게 적용가능하다는 것이 이해되어야 한다. 본원에서 사용되는 바와 같이, "WLAN" 및 "Wi-Fi®"라는 용어들은 IEEE 802.11 표준군, Bluetooth, HiperLAN(유럽에서 주로 사용되는, IEEE 802.11 표준들에 필적하는 무선 표준들의 세트), 및 비교적 짧은 라디오 전파 범위를 갖는 다른 기술들에 의해 통제되는 통신들을 포함할 수 있다. 따라서, "WLAN" 및 "Wi-Fi"라는 용어들은 본원에서 상호교환가능하게 사용될 수 있다. 부가하여, 하나 또는 그 초과의 AP들 및 다수의 클라이언트 디바이스들을 포함하는 인프라구조 WLAN 시스템의 관점들에서 아래에 설명되지만, 예시적인 실시예들은, 예컨대, 다수의 WLAN들, 피어-투-피어(또는 독립적인 기본 서비스 세트) 시스템들, Wi-Fi Direct 시스템들, 및/또는 핫스팟(Hotspot)들을 포함하는 다른 WLAN 시스템들에 동일하게 적용 가능하다.
[0020] 다음의 설명에서, 본 개시내용의 철저한 이해를 제공하기 위해 특정 컴포넌트들, 회로들, 및 프로세스들의 예들과 같은 다수의 특정 세부사항들이 기재된다. 본원에서 사용되는 바와 같이, "커플링된"이라는 용어는 직접적으로 연결되거나 또는 하나 또는 그 초과의 개재(intervening) 컴포넌트들 또는 회로들을 통해 연결됨을 의미한다.
[0021] 부가하여, 다음의 설명에서, 그리고 설명의 목적들로, 예시적인 실시예들의 철저한 이해를 제공하기 위해 특정 명명법이 기재된다. 그러나, 이들 특정 세부사항들이 예시적인 실시예들을 실시하기 위해 요구되지 않을 수 있다는 것이 당업자에게 명백할 것이다. 다른 예시들에서, 잘 알려진 회로들 및 디바이스들은 본 개시내용을 불명료하게 하는 것을 회피하기 위해 블록도 형태로 도시된다. 예시적인 실시예들은 본원에 설명된 특정 예들로 제한되는 것으로 해석되지 않으며, 오히려 첨부된 청구항들에 의해 정의된 모든 실시예들을 자신들의 범위 내에 포함시킨다.
[0022] 도 1은, 예시적인 실시예들이 구현될 수 있는 무선 시스템(100)의 블록도이다. 무선 시스템(100)은, 클라이언트 디바이스(130), 무선 액세스 포인트(AP)(110), 구성기(140), 및 WLAN(wireless local area network)(120)을 포함할 수 있다. WLAN(120)은 IEEE 802.11 표준군에 따라 (또는 다른 적절한 무선 프로토콜들에 따라) 동작할 수 있는 복수의 Wi-Fi 액세스 포인트(AP)들에 의해 형성될 수 있다. 따라서, 간략화를 위해 단지 하나의 AP(110)가 도 1에 도시되지만, WLAN(120)은 임의의 수의 AP(110)와 같은 액세스 포인트들에 의해 형성될 수 있음이 이해될 것이다. 유사한 방식으로, 간략화를 위해 단지 하나의 클라이언트 디바이스(130)가 도 1에 도시되지만, WLAN(120)은 임의의 수의 클라이언트 디바이스들을 포함할 수 있다. 일부 실시예들의 경우, 무선 시스템(100)은 SU-MIMO(single user multiple-input multiple-output) 또는 MU-MIMO(multi-user MIMO) 무선 네트워크에 대응할 수 있다. 추가로, WLAN(120)이 IBSS(infrastructure BSS)로서 도 1에 도시되지만, 다른 예시적인 실시예들의 경우, WLAN(120)은 IBSS, 애드-혹(ad-hoc) 네트워크, 또는 (예컨대, Wi-Fi Direct 프로토콜들에 따라 동작하는) P2P(peer-to-peer) 네트워크일 수 있다.
[0023] 클라이언트 디바이스(130) 및 구성기(140) 각각은, 예컨대, 셀 폰, PDA(personal digital assistant), 태블릿 디바이스, 랩톱 컴퓨터 등을 포함하는 임의의 적절한 Wi-Fi 가능 무선 디바이스일 수 있다. 클라이언트 디바이스(130) 및/또는 구성기(140)는 또한, 사용자 장비(UE), 가입자 스테이션, 모바일 유닛, 가입자 유닛, 무선 유닛, 원격 유닛, 모바일 디바이스, 무선 디바이스, 무선 통신 디바이스, 원격 디바이스, 모바일 가입자 스테이션, 액세스 단말, 모바일 단말, 무선 단말, 원격 단말, 핸드셋, 사용자 에이전트, 모바일 클라이언트, 클라이언트, 또는 몇몇 다른 적절한 전문용어로 지칭될 수 있다. 적어도 일부 실시예들의 경우, 클라이언트 디바이스(130) 및/또는 구성기(140)는, 하나 또는 그 초과의 트랜시버들, 하나 또는 그 초과의 프로세싱 리소스들(예컨대, 프로세서들 및/또는 ASIC들), 하나 또는 그 초과의 메모리 리소스들, 및 전력 소스(예컨대, 배터리)를 포함할 수 있다. 메모리 리소스들은, 도 3, 도 4, 및 도 6과 관련하여 아래에 설명되는 동작들을 수행하기 위한 명령들을 저장하는 비-일시적인 컴퓨터-판독가능 매체(예컨대, 하나 또는 그 초과의 비휘발성 메모리 엘리먼트들, 이를테면 EPROM, EEPROM, 플래시 메모리, 하드 드라이브 등)를 포함할 수 있다.
[0024] AP(110)는, Wi-Fi, Bluetooth, 또는 임의의 다른 적절한 무선 통신 표준들을 사용하여 AP(110)를 통해 하나 또는 그 초과의 무선 디바이스들이 네트워크(예컨대, LAN(local area network), WAN(wide area network), MAN(metropolitan area network), 및/또는 인터넷)에 연결되는 것을 허용하는 임의의 적절한 디바이스일 수 있다. 적어도 하나의 실시예의 경우, AP(110)는, 하나 또는 그 초과의 트랜시버들, 하나 또는 그 초과의 프로세싱 리소스들(예컨대, 프로세서들 및/또는 ASIC들), 하나 또는 그 초과의 메모리 리소스들, 및 전력 소스를 포함할 수 있다. 일부 실시예들에서, AP(110)는 또한, 예컨대, 셀 폰, PDA, 태블릿 디바이스, 랩톱 컴퓨터 등을 포함하는 임의의 적절한 Wi-Fi 및 네트워크 가능 디바이스일 수 있다. 메모리 리소스들은, 도 3, 도 4, 및 도 6과 관련하여 아래에 설명되는 동작들을 수행하기 위한 명령들을 저장하는 비-일시적인 컴퓨터-판독가능 매체(예컨대, 하나 또는 그 초과의 비휘발성 메모리 엘리먼트들, 이를테면 EPROM, EEPROM, 플래시 메모리, 하드 드라이브 등)를 포함할 수 있다.
[0025] AP(110), 클라이언트 디바이스(130), 및 구성기(140)의 경우, 하나 또는 그 초과의 트랜시버들은, 무선 통신 신호들을 송신 및 수신하기 위한 Wi-Fi 트랜시버들, Bluetooth 트랜시버들, 셀룰러 트랜시버들, 및/또는 다른 적절한 RF(radio frequency) 트랜시버들(간략화를 위해 도시되지 않음)을 포함할 수 있다. 각각의 트랜시버는 별개의 동작 주파수 대역들에서 그리고/또는 별개의 통신 프로토콜들을 사용하여 다른 무선 디바이스들과 통신할 수 있다. 예컨대, Wi-Fi 트랜시버는 IEEE 802.11 규격에 따라 2.4 GHz 주파수 대역 내에서 그리고/또는 5 GHz 주파수 대역 내에서 통신할 수 있다. 셀룰러 트랜시버는 (예컨대, 대략적으로 700 MHz와 대략적으로 3.9 GHz 사이에서) 3GPP(3rd Generation Partnership Project)에 의해 기술된 4G LTE(Long Term Evolution) 프로토콜에 따라 그리고/또는 다른 셀룰러 프로토콜들(예컨대, GSM(Global System for Mobile) 통신 프로토콜)에 따라 다양한 RF 주파수 대역들 내에서 통신할 수 있다. 다른 실시예들에서, 클라이언트 디바이스 내에 포함된 트랜시버들은 ZigBee 규격으로부터의 규격에 의해 기술된 ZigBee 트랜시버, WiGig 트랜시버, 및/또는 HomePlug Alliance로부터의 규격에 의해 기술된 HomePlug 트랜시버와 같은 기술적으로 실현가능한 임의의 트랜시버일 수 있다.
[0026] AP(110)는, 클라이언트 디바이스(130)가 AP(110)와 연관된 서비스들 및/또는 네트워크들에 액세스할 수 있게 하기 위해, 클라이언트 디바이스(130)를 인증 및 구성할 수 있다. 구성기(140)는, 클라이언트 디바이스(130)의 인증 및/또는 구성을 보조 및/또는 개시할 수 있다. 일단 인증되면, 클라이언트 디바이스(130)는, AP(110)와의 신뢰되는 그리고/또는 암호화된 연결을 설정할 수 있다. 인증 프로세스는 공개/개인 키 암호화를 수반할 수 있고, 일부 실시예들에서, 2개의 별개의 공개/개인 키 쌍들을 수반할 수 있다. 클라이언트 디바이스(130)를 구성할 때, 클라이언트 디바이스(130)와 AP(110) 간의 암호화된 연결을 설정하기 위해 별개의 키 쌍들 중 적어도 하나가 사용될 수 있다. 일부 실시예들에서, 본원에서 설명되는 공개/개인 키 암호화에 부가하여, 또는 이에 대한 대안으로서, 다른 보안 메커니즘들이 사용될 수 있다.
[0027] 클라이언트 디바이스(130)에는, 공개/개인 루트 아이덴티티 키(Root Identity Key) 쌍(137)(종종 아이덴티티 키 쌍으로 지칭됨)이 배정될 수 있다. 예컨대, 루트 아이덴티티 키 쌍(137)은 클라이언트 디바이스(130)의 제조 시에 클라이언트 디바이스(130)에 배정(예컨대, 프로그래밍)될 수 있다. 클라이언트 디바이스(130)의 인증은, 구성기(140)가 (루트 아이덴티티 키 쌍(137)으로부터) 공개 루트 아이덴티티 키를 결정하는 것으로 시작될 수 있다. 일부 실시예들에서, 구성기(140)는, 대역외(out-of-band) 방식으로 클라이언트 디바이스(130)의 공개 루트 아이덴티티 키를 결정할 수 있다. 예컨대, (클라이언트 디바이스(130)와 별개일 수 있는) 구성기(140)는, 라벨(label)들 및/또는 이미지들을 스캐닝하기 위한 광학 디바이스(예컨대, 카메라)를 포함하는 스마트폰일 수 있다. 클라이언트 디바이스(130)는 QR 코드(135)와 함께 각인(imprint)된 라벨을 포함할 수 있다. QR 코드(135)는, 공개 루트 아이덴티티 키를 디스플레이할 수 있거나, 원격 디바이스 또는 서비스로부터 공개 루트 아이덴티티 키를 리트리브(retrieve)하도록 스캐닝 디바이스에 지시할 수 있다. 따라서, QR 코드(135)는, 클라이언트 디바이스(130)의 공개 루트 아이덴티티 키를 직접적으로 또는 간접적으로 구성기(140)에 제공할 수 있다. 일부 실시예들에서, 바코드 라벨이 QR 코드(135)를 대신할 수 있다.
[0028] 다른 실시예들에서, 공개 루트 아이덴티티 키를 결정하기 위해 다른 대역외 방법들이 사용될 수 있다. 예컨대, 클라이언트 디바이스(130)는, NFC(near field communication) 링크 또는 BLE(Bluetooth Low Energy) 링크를 통해 공개 루트 아이덴티티 키를 구성기(140)에 전달할 수 있다. NFC 링크들 및 BLE 통신 링크들만이 본원에서 설명되지만, 임의의 다른 기술적으로 실현가능한 통신 링크가 사용될 수 있다.
[0029] 다른 대역외 방법에서, 사용자 개입(intervention)이 공개 루트 아이덴티티 키를 구성기(140)에 제공할 수 있다. 예컨대, 공개 루트 아이덴티티 키는 클라이언트 디바이스(130)의 인간 판독가능 디스플레이 상에 디스플레이될 수 있고, 사용자 인터페이스(예컨대, 키보드)를 통해 클라이언트 디바이스(130)의 사용자에 의해 입력될 수 있다.
[0030] 다음으로, 구성기(140)는, 앞서 설정된 신뢰되는 연결을 통해 공개 루트 아이덴티티 키를 AP(110)에 제공할 수 있고, 클라이언트 디바이스(130)를 AP(110)에 대해 인증한다. 일부 실시예들에서, 구성기(140)는 또한, 서명된(signed) 인증서를 AP(110)에 제공할 수 있다. 서명된 인증서는, 다른 무선 디바이스들에 대한 공개 루트 아이덴티티 키의 권한(authority) 및/또는 유효성을 입증할 수 있다. 구성기(140)는 또한, 클라이언트 디바이스(130)의 공개 루트 아이덴티티 키를 저장할 수 있다.
[0031] AP(110)는, 클라이언트 디바이스(130)를 발견 및 구성하기 위해 공개 루트 아이덴티티 키를 사용할 수 있다. 예컨대, AP(110)는, 클라이언트 디바이스(130)의 공개 루트 아이덴티티 키를 사용하여 암호화된 발견 메시지를 송신할 수 있다. 발견 메시지는, AP(110)와 연관된 (공개/개인 키 쌍의) 공개 키를 포함할 수 있다. AP(110)로부터 발견 메시지를 수신하는 것에 대한 응답으로, 클라이언트 디바이스(130)는 공개/개인 임시(transient) 아이덴티티 키 쌍(138)(종종 네트워크 프로비저닝(provisioning) 키 쌍으로 지칭됨)을 생성할 수 있다. 루트 아이덴티티 키 쌍(137)과 별개인 임시 아이덴티티 키 쌍(138)은, AP(110)와의 통신을 위해 클라이언트 디바이스(130)를 구성하는 데 사용될 수 있다. 따라서, 루트 아이덴티티 키 쌍(137)은 클라이언트 디바이스(130)를 인증하는 데 사용될 수 있고, 임시 아이덴티티 키 쌍(138)은 클라이언트 디바이스(130)를 구성하는 데 사용될 수 있다. 클라이언트 디바이스(130)는, 임의의 기술적으로 실현가능한 수단을 사용하여 임시 아이덴티티 키 쌍(138)을 생성할 수 있다. 일부 실시예들에서, 클라이언트 디바이스(130)는 임시 아이덴티티 키 쌍(138)을 독립적으로 생성할 수 있다. 예컨대, 클라이언트 디바이스(130)는, 임시 아이덴티티 키 쌍(138)을 생성하기 위한 난수 생성기(random number generator)를 포함할 수 있다. 다른 실시예들에서, 클라이언트 디바이스(130)는, 임시 아이덴티티 키 쌍(138)을 생성하기 위한 시드(seed)로서 작용할 수 있는 난수를 AP(110) 및/또는 구성기(140)로부터 수신할 수 있다.
[0032] (임시 아이덴티티 키 쌍(138)으로부터의) 공개 임시 아이덴티티 키는 AP(110) 및/또는 구성기(140)에 제공될 수 있다. 예컨대, 임시 아이덴티티 키 쌍(138)을 생성한 후, 클라이언트 디바이스(130)는 공개 임시 아이덴티티 키를 AP(110)에 송신할 수 있다. 그런 다음, AP(110)는 공개 임시 아이덴티티 키를 구성기(140)로 포워딩(forward)할 수 있다. 일부 실시예들에서, 공개 임시 아이덴티티 키는 또한, 구성기(140) 내에 저장될 수 있다.
[0033] 클라이언트 디바이스(130) 및 AP(110)는, 클라이언트 디바이스(130)와 AP(110) 간의 통신들을 암호화하기 위해, 공유 쌍 방식 마스터 키(PMK; Pairwise Master Key)를 결정할 수 있다. 공유 PMK는, 다른 클라이언트 디바이스들에 의해 결정된 다른 공유 PMK들에 대해 고유할 수 있고, 임시 아이덴티티 키 쌍(138)에 적어도 부분적으로 기반할 수 있다.
[0034] 일부 실시예들에서, 공유 PMK가 결정된 후, 구성 크리덴셜(configuration credential)이 생성되어 클라이언트 디바이스(130) 내에 저장될 수 있다. 구성 크리덴셜은, 공유 PMK, "커넥터(connector)", 및/또는 CA(Certificate Authority) 공개 키를 포함할 수 있다. "커넥터"는, 네트워크 식별자(예컨대, WLAN(120)의 식별자), 디바이스 식별자, 및 공개 임시 아이덴티티 키를 포함하는 데이터 구조일 수 있다. 커넥터는, 클라이언트 디바이스(130)를 네트워크 상의 다른 디바이스들에 안내할 수 있다. CA 공개 키는, 공개 임시 아이덴티티 키, 공유 PMK, 또는 커넥터의 다른 정보의 유효성을 증명할 수 있다.
[0035] 클라이언트 디바이스(130)는, 클라이언트 디바이스(130)의 구성을 완료하고 공유 쌍 방식 임시 키(PTK; Pairwise Transient Key)를 결정하기 위해, 공개 임시 아이덴티티 키를 사용하여 AP(110)와 통신할 수 있다. 예컨대, 클라이언트 디바이스(130) 및 AP(110)는, 공유 PTK를 결정하기 위해 4-웨이(four-way) 핸드셰이크(handshake)를 사용할 수 있다. 4-웨이 핸드셰이크를 수행함에 있어서, 클라이언트 디바이스(130) 및 AP(110)는, 공유 PTK를 결정하기 위해, 임시 아이덴티티 키 쌍(138) 및/또는 AP(110)와 연관된 공개/개인 키 쌍을 사용할 수 있다. 공유 PMK와 별개일 수 있는 공유 PTK는, 클라이언트 디바이스(130)와 AP(110) 간의 네트워크 통신들을 암호화하는 데 사용될 수 있다. 클라이언트 디바이스(130)의 인증 및 구성은 도 2 및 도 3과 관련하여 아래에서 더 상세히 설명된다.
[0036] 도 2는 예시적인 실시예들에 따른, 도 1의 클라이언트 디바이스(130)의 동작 상태들을 예시하는 상태도(200)를 도시한다. 클라이언트 디바이스(130)는 상태(210)에서 시작된다. 상태(210)는, 클라이언트 디바이스(130)가 처음 제조된 때 그리고/또는 공장에서 출하된 때와 같은 클라이언트 디바이스(130)에 대한 초기 상태일 수 있다. 상태(210)에서, 클라이언트 디바이스(130)는 루트 아이덴티티 키 쌍(137)을 소유할 수 있다. 루트 아이덴티티 키 쌍(137)은 메모리, 이를테면 클라이언트 디바이스(130)의 영구적(persistent) 메모리에 저장될 수 있다. 당업자들은, 영구적 메모리가, 전력의 부재 시에 데이터를 유지할 수 있는 임의의 메모리, 이를테면 배터리-지원형(battery-backed) 메모리, EEPROM, 플래시 메모리, ROM 메모리 등일 수 있음을 인식할 것이다. 루트 아이덴티티 키 쌍(137)은 클라이언트 디바이스(130)와 영구적으로 연관될 수 있다. 예컨대, 클라이언트 디바이스(130)를 초기 상태로 되돌리기 위해 클라이언트 디바이스(130)가 공장 초기화(factory reset)를 겪을 때, 클라이언트 디바이스(130)는 루트 아이덴티티 키 쌍(137)을 유지할 수 있다(예컨대, 루트 아이덴티티 키 쌍은 클라이언트 디바이스(130) 내에 저장된 채 유지될 수 있음).
[0037] 클라이언트 디바이스(130)는, 클라이언트 디바이스(130)가 파워 온(power on)될 때 상태(220)로 전환된다. 상태(220)에서, 클라이언트 디바이스(130)는 아직 인증되지 않는다. 클라이언트 디바이스(130)는, 클라이언트 디바이스(130)의 공개 루트 아이덴티티 키를 사용하여 암호화된 발견 메시지를 수신할 시 인증 프로세스를 시작할 수 있다. 도 1과 관련하여 위에 설명된 바와 같이, 구성기(140)는 클라이언트 디바이스(130)의 공개 루트 아이덴티티 키를 결정할 수 있다. 공개 루트 아이덴티티 키를 결정한 후, 구성기(140)는 공개 루트 아이덴티티 키를 AP(110)에 제공할 수 있다. 그런 다음, AP(110)는, 적어도 부분적으로 클라이언트 디바이스(130)의 공개 루트 아이덴티티 키를 사용하여 암호화된 발견 메시지를 송신할 수 있다. 발견 메시지는 또한, AP(110)와 연관된 공개 키를 포함할 수 있다.
[0038] 클라이언트 디바이스(130)가, 적어도 부분적으로 자신의 공개 루트 아이덴티티 키를 이용하여 암호화되지 않은 발견 메시지를 수신하면, 클라이언트 디바이스(130)는 상태(220)를 유지할 수 있다. 반면에, 클라이언트 디바이스(130)가, 적어도 부분적으로 자신의 공개 루트 아이덴티티 키를 이용하여 암호화된 발견 메시지를 수신하면, 클라이언트 디바이스(130)는 상태(230)로 전환될 수 있다.
[0039] 클라이언트 디바이스(130)가 상태(230)에 있는 경우, AP(110)는 클라이언트 디바이스(130)를 인증했고, 반대로 클라이언트 디바이스(130)는 AP(110)를 인증했다. 상태(230)에 진입한 후, 클라이언트 디바이스(130)는 임시 아이덴티티 키 쌍(138)을 생성할 수 있다. 그런 다음, 클라이언트 디바이스(130) 및 AP(110)는 임시 아이덴티티 키 쌍(138)을 사용하여 공유 PMK를 결정할 수 있다. 부가하여, 클라이언트 디바이스(130)는, 커넥터, CA 공개 키, 및/또는 공유 PMK를 포함할 수 있는 구성 크리덴셜을 결정할 수 있다. 구성 크리덴셜은 클라이언트 디바이스(130)에 저장될 수 있다. 따라서, 상태(230)에서, 루트 아이덴티티 키 쌍(137), 임시 아이덴티티 키 쌍(138), 및/또는 구성 크리덴셜이 클라이언트 디바이스(130)의 메모리 내에 저장될 수 있다.
[0040] 클라이언트 디바이스(130)는, 클라이언트 디바이스(130)가 파워 오프(power off)될 때 상태(240)로 전환된다. 클라이언트 디바이스(130)의 전력 상태는 클라이언트 디바이스(130)의 메모리의 적어도 부분에 영향을 미치지 않을 수 있다. 더 구체적으로, 클라이언트 디바이스(130)의 메모리는, 파워 오프될 때, 적어도 임시 아이덴티티 키 쌍(138) 및 구성 크리덴셜을 유지할 수 있다. 클라이언트 디바이스(130)는, 클라이언트 디바이스(130)가 다시 파워 온될 때 상태(230)로 다시 전환될 수 있다.
[0041] 클라이언트 디바이스(130)는, 클라이언트 디바이스(130)가 AP(110)와 함께 동작하도록 구성되는 경우 상태(250)로 전환된다. 상태(250)에서, 클라이언트 디바이스(130) 및 AP(110)는, 임시 아이덴티티 키 쌍(138), AP(110)와 연관된 공개/개인 키 쌍, 및/또는 PMK에 적어도 부분적으로 기반하여, 공유 PTK를 생성할 수 있다. 공유 PTK는, 클라이언트 디바이스(130)와 AP(110) 간의 네트워크 데이터 트래픽을 암호화 및/또는 복호화하는 데 사용될 수 있다. 공유 PTK는 휘발성일 수 있다. 따라서, 클라이언트 디바이스(130)가 상태(240)로 전환되는 경우(예컨대, 클라이언트 디바이스(130)로부터 전력이 제거되는 경우), 공유 PTK는 손실될 수 있다. 일부 실시예들에서, 클라이언트 디바이스(130)는, AP(110)에 대한 무선 연관이 손실되거나 종결된 경우 또는 타임-아웃(time-out) 기간 이후, 상태(250)로부터 상태(230)로 전환될 수 있다. 예컨대, 클라이언트 디바이스(130)가 AP(110)의 통신 범위를 넘어 이동하면, 클라이언트 디바이스(130)는 AP(110)와 연관되지 않게 될 수 있다. 공유 PTK는 폐기될 수 있고, 클라이언트 디바이스(130)는 상태(230)로 진입할 수 있다. 다른 예에서, 타임-아웃 기간이 만료되어, PTK가 폐기되게 되고 그리고 클라이언트 디바이스(130)가 상태(230)로 전환되게 될 수 있다.
[0042] 클라이언트 디바이스(130)는, 클라이언트 디바이스(130)가 공장 초기화 동작을 겪는 경우, 임의의 다른 상태로부터 상태(210)로 복귀할 수 있다. 공장 초기화 동작은, 임의의 결정된 공유 키들뿐만 아니라 임시 아이덴티티 키 쌍(138)을 폐기할 수 있다. 따라서, 일부 실시예들의 경우, 클라이언트 디바이스(130)는, 공장 초기화 동작 후에는 루트 아이덴티티 키 쌍(137)만을 유지할 수 있다.
[0043] 도 3은 예시적인 실시예들에 따른, AP(110)와 함께 사용하기 위해 클라이언트 디바이스(130)를 인증 및 구성하기 위한 예시적인 동작을 도시하는 예시적인 흐름도(300)를 도시한다. 일부 실시예들에서, 본원에 설명된 동작은, 부가적인 프로세스들, 더 적은 수의 프로세스들, 상이한 순서의 프로세스들, 병렬인 프로세스들 및/또는 상이한 일부 프로세스들을 포함할 수 있다. 도 1 및 도 2를 또한 참조하면, 동작은, 구성기(140)가 클라이언트 디바이스(130)의 공개 루트 아이덴티티 키를 결정하는 것으로 시작된다(302). 공개 루트 아이덴티티 키는, 클라이언트 디바이스(130)와 연관된 루트 아이덴티티 키 쌍(137)의 일부일 수 있고, 대역외 방식으로 결정될 수 있다. 다음으로, AP(110)는, 구성기(140)로부터 클라이언트 디바이스(130)의 공개 루트 아이덴티티 키를 수신한다(304). 일부 실시예들에서, AP(110)는, AP(110)가 공개 루트 아이덴티티 키를 수신할 때 클라이언트 디바이스(130)를 인증한다. 다음으로, AP(110)는, 적어도 부분적으로 클라이언트 디바이스(130)의 공개 루트 아이덴티티 키를 사용하여 암호화된 AP(110)의 공개 키를 클라이언트 디바이스(130)에 송신한다(306). 일부 실시예들에서, AP(110)의 공개 키는, 발견 메시지의 일부로서 클라이언트 디바이스(130)에 송신될 수 있다.
[0044] 클라이언트 디바이스(130)는 AP(110)의 공개 키(예컨대, "공개 AP 키")를 수신한다(308). 공개 AP 키가 적어도 부분적으로 클라이언트 디바이스(130)의 공개 루트 아이덴티티 키를 사용하여 암호화되므로, 클라이언트 디바이스(130)는, 공개 AP 키를 복호화 및 수신하는 데 개인 루트 아이덴티티 키를 사용할 수 있다. 이러한 방식으로, 클라이언트 디바이스(130)는 AP(110)를 신뢰할 수 있는 것으로 인증할 수 있다.
[0045] 공개 AP 키를 수신하는 것에 대한 응답으로, 클라이언트 디바이스(130)는 동적으로 임시 아이덴티티 키 쌍(138)을 생성한다(310). 임시 아이덴티티 키 쌍(138)은 공개 키 및 개인 키를 포함할 수 있다. 임시 아이덴티티 키 쌍(138)은, AP(110)와의 통신을 위해 클라이언트 디바이스(130)를 구성하는 데 사용될 수 있다. 다음으로, 클라이언트 디바이스(130)는 공개 임시 아이덴티티 키를 AP(110)에 송신한다(312). 일부 실시예들에서, 클라이언트 디바이스(130)는, 공개 AP 키를 사용하여, 적어도 공개 임시 아이덴티티 키를 포함하는 메시지를 암호화할 수 있다. AP(110)는, 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 수신하고(314), 공개 임시 아이덴티티 키를 구성기(140)에 송신한다(316). 구성기(140)는 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 수신 및 저장한다(318). 구성기(140)는, 다른 AP들과 함께 사용하기 위해 클라이언트 디바이스(130)를 구성하기 위해서, 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 사용할 수 있다(도 4와 관련하여 아래에서 더 상세히 설명됨).
[0046] 그런 다음, 클라이언트 디바이스(130) 및 AP(110)는 협력하여, 공유 PMK를 생성한다(320a 및 320b). 클라이언트 디바이스(130) 및 AP(110)는, 임시 아이덴티티 키 쌍(138) 및/또는 AP(110)의 공개/개인 키 쌍을 포함하는 그리고/또는 사용하는 하나 또는 그 초과의 메시지들을 교환함으로써 공유 PMK를 생성할 수 있다. 다음으로, 클라이언트 디바이스(130) 및 AP(110)는 협력하여, 공유 PTK를 생성한다(322a 및 322b). 클라이언트 디바이스(130) 및 AP(110)는, 공유 PMK를 포함하는 그리고/또는 사용하는 하나 또는 그 초과의 메시지들을 교환함으로써 공유 PTK를 생성할 수 있다. 마지막으로, 클라이언트 디바이스(130) 및 AP(110)는 공유 PTK를 사용하여 서로 통신할 수 있다(324a 및 324b). 예컨대, 클라이언트 디바이스(130) 및 AP(110)는, 공유 PTK를 사용하여 암호화되는 그리고/또는 복호화되는 하나 또는 그 초과의 메시지들을 교환할 수 있다.
[0047] 구성기(140) 및 AP(110)는, 별개의(예컨대, 개별) 디바이스들로서 위에 설명되었지만, 단일 디바이스 내에 구현될 수 있다. 예컨대, 스마트폰은, 소프트(soft) AP로서 기능하기 위한 소프트웨어 및 구성기(140)로서 기능하기 위한 소프트웨어를 실행할 수 있다. 따라서, 스마트폰은, AP(110) 및 구성기(140) 둘 모두에 대한 동작들을 수행할 수 있다. 일부 실시예들에서, 스마트폰은, QR 코드(135)를 스캐닝하기 위한 카메라, NFC 링크를 통해 클라이언트 디바이스(130)의 공개 루트 아이덴티티 키를 수신하기 위한 NFC 회로, 및/또는 BLE 링크를 통해 클라이언트 디바이스(130)의 공개 루트 아이덴티티 키를 수신하기 위한 BLE 회로를 포함할 수 있다. 또한, 흐름도(300)의 동작들이 단일 클라이언트 디바이스(130)를 인증 및 구성하는 것을 설명하지만, 흐름도(300)의 동작들은 임의의 개수의 클라이언트 디바이스들을 인증 및 구성하도록 여러 번 반복될 수 있다.
[0048] WLAN(120)에 부가적인 AP를 부가하기 위한 동작들은, 구성기(140)가 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 (318에서) 저장했을 수 있으므로 간략화될 수 있다. 예컨대, 구성기(140)는 WLAN(120)의 클라이언트 디바이스들의 공개 임시 아이덴티티 키들을 부가적인 AP에 송신할 수 있다. 부가적인 AP는, 각각의 클라이언트 디바이스의 공개 임시 아이덴티티 키에 적어도 부분적으로 기반하여, 클라이언트 디바이스들 각각을 인증 및 구성할 수 있다. 일부 실시예들에서, 부가적인 AP는, 클라이언트 디바이스의 고유 공개 임시 아이덴티티 키를 사용하여 각각의 클라이언트 디바이스에 대한 하나 또는 그 초과의 메시지들을 암호화할 수 있다. 클라이언트 디바이스의 고유 공개 임시 아이덴티티 키의 사용은, 부가적인 AP가 신뢰되는 AP라는 것을 각각의 클라이언트 디바이스에 표시할 수 있다.
[0049] 도 4는 예시적인 실시예들에 따른, 기존의 WLAN에 제2 AP를 부가하기 위한 예시적인 동작을 도시하는 예시적인 흐름도(400)를 도시한다. 도 1 및 도 2를 또한 참조하면, 동작들은, 구성기(140)가 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 제2 AP에 송신하는 것으로 시작된다(402). 도 3과 관련하여 위에 설명된 바와 같이, 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키는 구성기(140) 내에 저장될 수 있다. 따라서, 구성기(140)는 이미 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 소유하고 있을 수 있다. 다음으로, 제2 AP는 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 수신한다(404). 일부 실시예들에서, 구성기(140)는, 메시지가 신뢰되는 소스(예컨대, 구성기(140))로부터 비롯됨을 제2 AP에 표시하기 위해, 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 포함하는 메시지에 서명할 수 있다. 그런 다음, 제2 AP는, 제2 AP의 공개 키(예컨대, 제2 AP의 공개/개인 키 쌍의 공개 키)를 클라이언트 디바이스(130)에 송신한다(406). 일부 실시예들에서, 제2 AP의 공개 키를 포함하는 메시지는, 적어도 부분적으로 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 사용하여 암호화될 수 있다.
[0050] 클라이언트 디바이스(130)는 제2 AP의 공개 키를 수신한다(408). 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 사용하는 암호화는, 수신된 메시지가 신뢰되는 소스로부터 비롯됨을 클라이언트 디바이스(130)에 보장할 수 있다. 다음으로, 클라이언트 디바이스(130) 및 제2 AP는 협력하여, 공유 PMK를 생성한다(410a 및 410b). 클라이언트 디바이스(130) 및 AP(110)는, 제2 AP의 공개/개인 키 쌍 및 임시 아이덴티티 키 쌍(138)을 포함하는 그리고/또는 사용하는 하나 또는 그 초과의 메시지들을 교환함으로써 공유 PMK를 생성할 수 있다. 다음으로, 클라이언트 디바이스(130) 및 제2 AP는 협력하여, 공유 PTK를 생성한다(412a 및 412b). 클라이언트 디바이스(130) 및 AP(110)는, 공유 PMK를 포함하는 그리고/또는 사용하는 하나 또는 그 초과의 메시지들을 교환함으로써 공유 PTK를 생성할 수 있다. 마지막으로, AP(110) 및 제2 AP는 공유 쌍 방식 임시 키를 사용하여 서로 통신할 수 있다(414a 및 414b).
[0051] 일부 실시예들에서, 클라이언트 디바이스(130)는 루트 아이덴티티 키 쌍(137)을 갖지 않을 수 있다. 그러나, 클라이언트 디바이스(130)는, 도 2 및 도 3과 관련하여 위에 설명된 바와 유사한 접근법을 사용하여 인증 및 구성될 수 있다. 예컨대, 클라이언트 디바이스(130)는 임시 아이덴티티 키 쌍(138)을 생성할 수 있다. 클라이언트 디바이스(130)는, 도 1 및 도 3과 관련하여 위에 설명된 바와 같이 대역외 방식으로 (임시 아이덴티티 키 쌍(138)의) 공개 임시 아이덴티티 키를 AP(110)에 제공할 수 있다. AP(110)는, 클라이언트 디바이스(130)를 인증 및 구성하기 위해 공개 임시 아이덴티티 키를 사용할 수 있다.
[0052] 도 5는 예시적인 실시예들에 따른, 도 1의 클라이언트 디바이스(130)의 동작 상태들을 예시하는 다른 상태도(500)를 도시한다. 클라이언트 디바이스(130)는 상태(510)에서 시작된다. 상태(510)는, 클라이언트 디바이스(130)가 처음 제조된 때 그리고/또는 공장에서 출하된 때와 같은 클라이언트 디바이스(130)에 대한 초기 상태일 수 있다. 도 2의 상태(210)와 대조적으로, 상태(510)에서, 클라이언트 디바이스(130)는 루트 아이덴티티 키 쌍(137)을 소유하지 않는다.
[0053] 클라이언트 디바이스(130)는, 클라이언트 디바이스(130)가 파워 온될 때 상태(520)로 전환된다. 클라이언트 디바이스(130)가 파워 온될 때, 클라이언트 디바이스(130)는 임시 아이덴티티 키 쌍(138)을 생성할 수 있다. 예컨대, 클라이언트 디바이스(130)는, 클라이언트 디바이스(130)에 포함된 난수 생성기에 적어도 부분적으로 기반하여 임시 아이덴티티 키 쌍(138)을 생성할 수 있다. 클라이언트 디바이스(130)는 공개 임시 아이덴티티 키를 AP(110)에 간접적으로 제공할 수 있다. 예컨대, 클라이언트 디바이스(130)는 공개 임시 아이덴티티 키를 디스플레이 상에 디스플레이할 수 있다. 클라이언트 디바이스(130)의 사용자는 디스플레이를 보고 공개 임시 아이덴티티 키를 사용자 인터페이스(예컨대, 키보드 또는 터치스크린)를 통해 입력할 수 있다. 다른 예에서, 클라이언트 디바이스(130)는, NFC 링크 또는 BLE 링크를 통해 임시 아이덴티티 키를 AP(110)에 송신할 수 있다. 따라서, 공개 임시 아이덴티티 키는 대역외 방식으로 AP(110)에 제공될 수 있다.
[0054] 일부 예시들에서, 클라이언트 디바이스(130)가 상태(520)에 있는 경우, 클라이언트 디바이스(130)로부터 전력이 제거될 때 임시 아이덴티티 키 쌍(138)이 손실될 수 있다. 따라서, 클라이언트 디바이스(130)가 상태(510)로 전환되는 경우, 임시 아이덴티티 키 쌍(138)은 손실될 수 있고, 클라이언트 디바이스(130)에 전력이 복귀될 때 재생성될 수 있다.
[0055] 상태(520)에서, 클라이언트 디바이스(130)는, 적어도 부분적으로 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 사용하여 암호화된 발견 메시지를 AP(110)로부터 수신할 시, 인증 프로세스를 시작할 수 있다. AP(110)가 공개 임시 아이덴티티 키 없이 클라이언트 디바이스(130)를 인증하려 시도하면(예컨대, 발견 메시지가 적어도 부분적으로 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 사용하여 암호화되지 않으면), 클라이언트 디바이스(130)는 상태(520)에서 유지될 수 있다.
[0056] 반면에, 발견 메시지가 적어도 부분적으로 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 사용하여 암호화되면, 클라이언트 디바이스(130)는 상태(530)로 전환된다. 임시 아이덴티티 키 쌍(138)은, AP(110)의 공개/개인 키 쌍들과 함께 공유 PMK를 결정하는 데 사용될 수 있다. 추가로, 클라이언트 디바이스(130)는, 커넥터, CA 공개 키, 및/또는 공유 PMK를 포함할 수 있는 구성 크리덴셜을 생성할 수 있다. 구성 크리덴셜은 클라이언트 디바이스(130)에 저장될 수 있다. 예컨대, 상태(530)에서, 클라이언트 디바이스(130)는, 임시 아이덴티티 키 쌍(138) 및 구성 크리덴셜을 클라이언트 디바이스(130)의 메모리 내에 저장할 수 있다.
[0057] 클라이언트 디바이스(130)는, 클라이언트 디바이스(130)가 파워 오프될 때 상태(540)로 전환된다. 상태(540)에서, 클라이언트 디바이스(130)의 메모리는, 임시 아이덴티티 키 쌍(138) 및 구성 크리덴셜을 유지할 수 있다. 클라이언트 디바이스(130)는, 클라이언트 디바이스(130)가 다시 파워 온될 때 상태(530)로 다시 전환될 수 있다.
[0058] 클라이언트 디바이스(130)는, 클라이언트 디바이스(130)가 AP(110)와 함께 동작하도록 구성되는 경우 상태(550)로 전환된다. 클라이언트 디바이스(130) 및 AP(110)는, 임시 아이덴티티 키 쌍(138) 및/또는 AP(110)의 공개/개인 키 쌍에 적어도 부분적으로 기반하여, 공유 PTK를 생성할 수 있다. 공유 PTK는, WLAN(120)에 대한 네트워크 데이터 트래픽을 암호화 및/또는 복호화하는 데 사용될 수 있다. 공유 PTK는 휘발성일 수 있다. 따라서, 공유 PTK는, 클라이언트 디바이스(130)가 상태(540)로 전환되는 경우(예컨대, 클라이언트 디바이스(130)로부터 전력이 제거되는 경우), 손실될 수 있다.
[0059] 클라이언트 디바이스(130)는, 클라이언트 디바이스(130)가 공장 초기화 동작을 겪는 경우, 임의의 다른 상태로부터 상태(510)로 복귀할 수 있다. 공장 초기화 동작은, 임의의 결정된 공유 키들뿐만 아니라 임시 아이덴티티 키 쌍(138)을 폐기할 수 있다.
[0060] 도 6은 예시적인 실시예들에 따른, AP(110)와 함께 사용하기 위해 클라이언트 디바이스(130)를 인증 및 구성하기 위한 다른 예시적인 동작을 도시하는 예시적인 흐름도(600)를 도시한다. 도 1 및 도 5를 또한 참조하면, 동작들은, 클라이언트 디바이스(130)가 임시 아이덴티티 키 쌍(138)을 동적으로 생성하는 것으로 시작된다(602). 임시 아이덴티티 키 쌍(138)은 공개 키 및 개인 키(예컨대, 공개 임시 아이덴티티 키 및 개인 임시 아이덴티티 키)를 포함할 수 있다. 추가로, 임시 아이덴티티 키 쌍(138)은, 클라이언트 디바이스(130)를 AP(110)에 대해 인증하는 데 사용될 수 있다. 다음으로, 클라이언트 디바이스(130)는 공개 임시 아이덴티티 키를 AP(110)에 간접적으로 제공한다(604). 예컨대, 공개 임시 아이덴티티 키는 대역외 방식으로 AP(110)에 제공될 수 있다. 일부 실시예들에서, 클라이언트 디바이스(130)는, 공개 임시 아이덴티티 키를 나타내는 인간 판독가능 디스플레이를 포함할 수 있다. 다른 실시예에서, 클라이언트 디바이스(130)는, 공개 임시 아이덴티티 키를 구성기(140)에 송신하기 위해 NFC 회로 및/또는 BLE 회로를 포함할 수 있다. 구성기(140)는 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 결정 및 저장한다(606). 예컨대, 구성기(140)는, NFC 회로, BLE 회로, 및/또는 공개 임시 아이덴티티 키를 수신하기 위한 사용자 인터페이스를 포함할 수 있다.
[0061] 그런 다음, 구성기(140)는 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 AP(110)에 송신한다(608). 예컨대, 구성기(140)는 기존의 신뢰되는 링크를 사용하여 공개 임시 아이덴티티 키를 AP(110)에 송신할 수 있다. 다른 예에서, 구성기(140)는, 메시지가 신뢰되는 소스로부터 비롯됨을 입증하기 위해 공개 임시 아이덴티티를 포함하는 메시지에 서명할 수 있다. 다음으로, AP(110)는 공개 임시 아이덴티티 키를 수신한다(610). 공개 임시 아이덴티티 키를 수신하는 것에 대한 응답으로, AP(110)는, AP(110)의 공개 키를 클라이언트 디바이스(130)에 송신한다(612). 일부 실시예들에서, AP(110)의 공개 키는, 적어도 부분적으로 공개 임시 아이덴티티 키를 사용하여 암호화될 수 있다.
[0062] 클라이언트 디바이스(130)는 AP(110)의 공개 키를 수신한다(614). 일부 실시예들에서, AP(110)의 공개 키를 포함하는 메시지는, 메시지가 신뢰될 수 있음을 보장하기 위해, 적어도 부분적으로 클라이언트 디바이스(130)의 공개 임시 아이덴티티 키를 사용하여 암호화될 수 있다.
[0063] 그런 다음, 클라이언트 디바이스(130) 및 AP(110)는 협력하여, 공유 PMK를 생성한다(616a 및 616b). 클라이언트 디바이스(130) 및 AP(110)는, 임시 아이덴티티 키 쌍(138) 및/또는 AP(110)의 공개/개인 키 쌍을 포함하는 그리고/또는 사용하는 하나 또는 그 초과의 메시지들을 교환함으로써 공유 PMK를 생성할 수 있다. 다음으로, 클라이언트 디바이스(130) 및 AP(110)는 협력하여, 공유 PTK를 생성한다(618a 및 618b). PTK는, 클라이언트 디바이스(130) 및 AP(110)가 공유 PMK를 포함하는 그리고/또는 사용하는 하나 또는 그 초과의 메시지들을 교환하는 경우 생성될 수 있다. 마지막으로, 클라이언트 디바이스(130) 및 AP(110)는 공유 PTK를 사용하여 서로 통신할 수 있다(620a 및 620b). 예컨대, 클라이언트 디바이스(130) 및 AP(110)는, 공유 PTK를 사용하여 암호화되고 그리고/또는 복호화되는 메시지들을 전송할 수 있다.
[0064] 도 7은, 도 1의 AP(110), 클라이언트 디바이스(130), 및/또는 구성기(140)의 실시예일 수 있는 예시적인 무선 디바이스(700)를 도시한다. 무선 디바이스(700)는 트랜시버(710), 프로세서(730), 메모리(740), 네트워크 인터페이스(750), 및 다수의 안테나들(760(1)-760(n))을 포함할 수 있다. 트랜시버(710)는 직접적으로 또는 안테나 선택 회로(간략화를 위해 도시되지 않음)를 통해 안테나들(760(1)-760(n))에 커플링될 수 있다. 무선 디바이스(700)는 선택적으로, Bluetooth 모듈(721), NFC 모듈(722), 광학 모듈(723), 및 디스플레이 모듈(724)을 포함할 수 있다(선택적 모듈들은 파선들로 도시됨). 트랜시버(710)는, 하나 또는 그 초과의 클라이언트 디바이스들, 하나 또는 그 초과의 다른 AP들, 및/또는 다른 적절한 디바이스들과 무선으로 통신하는 데 사용될 수 있다. 간략화를 위해 도 7에 도시되진 않지만, 트랜시버(710)는, 신호들을 프로세싱하여 안테나들(760(1)-760(n))을 통해 다른 무선 디바이스들에 송신하기 위한 임의의 수의 송신 체인들을 포함할 수 있고, 안테나들(760(1)-760(n))로부터 수신되는 신호들을 프로세싱하기 위한 임의의 수의 수신 체인들을 포함할 수 있다. 따라서, 예시적인 실시예들에 대해, 무선 디바이스(700)는, 예컨대 SU-MIMO 동작들 및 MU-MIMO 동작들을 포함하는 MIMO 동작들에 대해 구성될 수 있다.
[0065] 트랜시버(710)는 기저대역 프로세서(712)를 포함할 수 있다. 기저대역 프로세서(712)는, 프로세서(730) 및/또는 메모리(740)로부터 수신되는 신호들을 프로세싱하고 그리고 프로세싱된 신호들을 안테나들(760(1)-760(n)) 중 하나 또는 그 초과의 안테나를 통해 송신하는 데 사용될 수 있다. 부가적으로, 기저대역 프로세서(712)는, 안테나들(760(1)-760(n)) 중 하나 또는 그 초과의 안테나로부터 수신되는 신호들을 프로세싱하고 그리고 프로세싱된 신호들을 프로세서(730) 및/또는 메모리(740)에 포워딩하는 데 사용될 수 있다.
[0066] 네트워크 인터페이스(750)는 다른 네트워크들 및/또는 서비스들에 액세스할 수 있다. 일부 실시예들에서, 네트워크 인터페이스(750)는 유선 인터페이스를 포함할 수 있다. 네트워크 인터페이스(750)는 또한, 직접 또는 하나 또는 그 초과의 개재 네트워크들을 통해 WLAN 서버(간략화를 위해 도시되지 않음)와 통신할 수 있다.
[0067] 트랜시버(710), 네트워크 인터페이스(750), 및 메모리(740)에 커플링되는 프로세서(730)는, 무선 디바이스(700)에(예컨대, 메모리(740) 내에) 저장된 하나 또는 그 초과의 소프트웨어 프로그램들의 스크립트들 또는 명령들을 실행할 수 있는 임의의 적절한 하나 또는 그 초과의 프로세서들일 수 있다. 실제의 실시예들의 경우, 트랜시버(710), 프로세서(730), 메모리(740), 및/또는 네트워크 인터페이스(750)는 하나 또는 그 초과의 버스들(간략화를 위해 도시되지 않음)을 사용하여 함께 연결될 수 있다.
[0068] 일부 실시예들에서, Bluetooth 모듈(721)은 프로세서(730)에 커플링될 수 있다. Bluetooth 모듈(721)은 Bluetooth 및/또는 BLE 신호들을 송신 및/또는 수신할 수 있다. 수신된 Bluetooth 및/또는 BLE 신호들로부터 복원된 데이터는 메모리(740)에 저장될 수 있다. 일부 실시예들에서, 프로세서(730)는 송신할 데이터를 Bluetooth 모듈(721)에 제공할 수 있다.
[0069] 추가로, 일부 실시예들에서, NFC 모듈(722)이 프로세서(730)에 커플링될 수 있다. NFC 모듈(722)은 NFC 신호들을 송신 및/또는 수신할 수 있다. 수신된 NFC 신호들로부터 복원된 데이터는 메모리(740)에 저장될 수 있다. 일부 실시예들에서, 프로세서(730)는 송신할 데이터를 NFC 모듈(722)에 제공할 수 있다.
[0070] 더 추가로, 일부 실시예들에서, 광학 모듈(723)이 프로세서(730)에 커플링될 수 있다. 광학 모듈(723)은, QR 코드들 및 라벨들과 같은 시각적 이미지들을 수신 및 프로세싱하기 위한 광학기(optics) 및 회로를 포함할 수 있다. 광학 모듈(723)로부터의 데이터는 메모리(740)에 저장될 수 있다.
[0071] 더 추가로, 일부 실시예들에서, 디스플레이 모듈(724)이 프로세서(730)에 커플링될 수 있다. 디스플레이 모듈(724)은, QR 코드(135)(도 1 참조) 및 라벨들과 같은 이미지들을 디스플레이하는 데 사용될 수 있다. 디스플레이 모듈(724)에 제공되는 데이터는 처음에 메모리(740)에 저장될 수 있다.
[0072] 메모리(740)는, 공개, 개인, 및/또는 공유 키들을 저장하기 위한 키 메모리(742)를 포함할 수 있다. 일부 실시예들에서, 무선 디바이스(700)는, 공개, 개인, 및/또는 공유 키들을 생성할 수 있다. 다른 실시예들에서, 공개, 개인, 및/또는 공유 키들은 트랜시버(710), Bluetooth 모듈(721), NFC 모듈(722), 및/또는 광학 모듈(723)을 통해 수신될 수 있다. 일부 실시예들에서, 공개/개인 키 쌍(예컨대, 공개/개인 루트 아이덴티티 키 쌍(137))은 디바이스 제조 시에 키 메모리(742) 내에 저장될 수 있다.
[0073] 메모리(740)는 또한, 적어도 다음의 소프트웨어(SW) 모듈들을 저장할 수 있는 비-일시적인 컴퓨터-판독가능 매체(예컨대, 하나 또는 그 초과의 비휘발성 메모리 엘리먼트들, 이를테면 EPROM, EEPROM, 플래시 메모리, 하드 드라이브 등)를 포함할 수 있다:
● 트랜시버(710)를 통해 무선 데이터를 송신 및 수신하기 위한 트랜시버 제어기 소프트웨어 모듈(743);
● 공개, 개인, 및/또는 공유 암호화 키들을 생성하기 위한 키 생성 소프트웨어 모듈(744);
● 트랜시버(710)를 통해 송신 및/또는 수신되는 데이터를 암호화 및/또는 복호화하기 위한 암호화/복호화 소프트웨어 모듈(745);
● 구성기(140)와 연관된 동작들을 수행하기 위한 선택적 구성기 소프트웨어 모듈(746);
● AP(110)와 연관된 동작들을 수행하기 위한 선택적 액세스 포인트 소프트웨어 모듈(747); 및
● 클라이언트 디바이스(130)와 연관된 동작들을 수행하기 위한 선택적 스테이션 소프트웨어 모듈(748).
각각의 소프트웨어 모듈은, 프로세서(730)에 의해 실행되는 경우 무선 디바이스(700)로 하여금 대응하는 기능들을 수행하게 하는 명령들을 포함한다. 따라서, 메모리(740)의 비-일시적인 컴퓨터-판독가능 매체는 도 3, 도 4, 및 도 6과 관련하여 위에 설명된 동작들의 일부 또는 전부를 수행하기 위한 명령들을 포함한다.
[0074] 위에 언급된 바와 같이, 프로세서(730)는, 무선 디바이스(700)에(예컨대, 메모리(740) 내에) 저장된 하나 또는 그 초과의 소프트웨어 프로그램들의 스크립트들 또는 명령들을 실행할 수 있는 임의의 적절한 하나 또는 그 초과의 프로세서들일 수 있다. 예컨대, 프로세서(730)는, 무선 디바이스(700)와 다른 무선 디바이스들(간략화를 위해 도시되지 않음) 사이에서의 데이터의 송신 및/또는 수신을 가능하게 하기 위해, 트랜시버 제어기 소프트웨어 모듈(743)을 실행할 수 있다.
[0075] 프로세서(730)는, 무선 디바이스(700)가 사용하기 위한 키들을 생성하기 위해 키 생성 소프트웨어 모듈(744)을 실행할 수 있다. 예컨대, 키 생성 소프트웨어 모듈(744)은, 임시 아이덴티티 키 쌍(138) 및/또는 공유 키들, 이를테면 PMK 및 PTK를 생성할 수 있다. 키 생성 소프트웨어 모듈(744)에 의해 생성된 키들은 키 메모리(742)에 저장될 수 있다.
[0076] 프로세서(730)는, 트랜시버(710)를 통해 송신 및/또는 수신되는 메시지들을 암호화 및/또는 복호화하기 위해 암호화/복호화 소프트웨어 모듈(745)을 실행할 수 있다. 예컨대, 암호화/복호화 소프트웨어 모듈(745)은 공개/개인 키 암호화 및/또는 복호화를 수행할 수 있다. 부가하여, 프로세서(730)는, 인증서들 및 디지털 시그니쳐들을 검증 및/또는 생성하기 위해 암호화/복호화 소프트웨어 모듈(745)을 실행할 수 있다.
[0077] 프로세서(730)는, 구성기(140)와 연관된 동작들을 수행하기 위해 구성기 소프트웨어 모듈(746)을 선택적으로 실행할 수 있다. 예컨대, 프로세서(730)는, Bluetooth 모듈(721), NFC 모듈(722), 및/또는 광학 모듈(723)을 통해 클라이언트 디바이스(130)의 공개 루트 아이덴티티 키를 결정하기 위해 구성기 소프트웨어 모듈(746)을 실행할 수 있다. 일부 실시예들에서, 결정된 공개 루트 아이덴티티 키는 키 메모리(742)에 저장되거나 다른 무선 디바이스에 송신될 수 있다.
[0078] 프로세서(730)는, AP(110)와 연관된 동작들을 수행하기 위해 액세스 포인트 소프트웨어 모듈(747)을 선택적으로 실행할 수 있다. 예컨대, 프로세서(730)는, 구성기(140)로부터 공개 루트 아이덴티티 키를 수신하고, 클라이언트 디바이스(130)를 인증하기 위한 동작들을 수행하고, 무선 디바이스들 간에 데이터 및/또는 메시지들을 전송하고, 그리고 액세스 포인트 동작과 연관된 임의의 다른 태스크들을 행하기 위해, 액세스 포인트 소프트웨어 모듈(747)을 실행할 수 있다.
[0079] 프로세서(730)는, 클라이언트 디바이스(130)와 연관된 동작들을 수행하기 위해 스테이션 소프트웨어 모듈(748)을 선택적으로 실행할 수 있다. 예컨대, 프로세서(730)는, AP(110)와 인증하고, 임시 아이덴티티 키 쌍(138)을 생성하고, 데이터를 전송하고, 그리고 스테이션 동작과 연관될 수 있는 임의의 다른 태스크들을 수행하기 위해, 스테이션 소프트웨어 모듈(748)을 실행할 수 있다.
[0080] 정보 및 신호들이 다양한 상이한 기술들 및 기법들 중 임의의 기술 및 기법을 사용하여 표현될 수 있음을 당업자들은 인식할 것이다. 예컨대, 위의 설명 전반에 걸쳐 참조될 수 있는 데이터, 명령들, 커맨드들, 정보, 신호들, 비트들, 심볼들, 및 칩들은 전압들, 전류들, 전자기파들, 자기장들 또는 자기 입자들, 광학 필드들 또는 광학 입자들, 또는 이들의 임의의 결합에 의해 표현될 수 있다.
[0081] 추가로, 본원에 개시된 양상들과 관련하여 설명된 다양한 예시적인 로직 블록들, 모듈들, 회로들, 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 이 둘의 결합들로서 구현될 수 있음을 당업자들은 인식할 것이다. 하드웨어와 소프트웨어의 이러한 상호교환가능성을 명확히 예시하기 위해, 다양한 예시적인 컴포넌트들, 블록들, 모듈들, 회로들, 및 단계들은 그들의 기능의 관점들에서 일반적으로 위에 설명되었다. 그러한 기능이 하드웨어로서 구현되는지 또는 소프트웨어로서 구현되는지는 특정 애플리케이션 및 전체 시스템에 부과된 설계 제약들에 의존한다. 당업자들은 설명된 기능을 각각의 특정 애플리케이션에 대해 다양한 방식들로 구현할 수 있지만, 이러한 구현 결정들이 개시내용의 범위를 벗어나는 것으로 해석되어서는 안 된다.
[0082] 본원에 개시된 양상들과 관련하여 설명되는 방법들, 시퀀스들, 또는 알고리즘들은 직접적으로 하드웨어로, 프로세서에 의해 실행되는 소프트웨어 모듈로, 또는 이 둘의 결합으로 구현될 수 있다. 소프트웨어 모듈은, RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터들, 하드 디스크, 착탈식 디스크, CD-ROM, 또는 당업계에 알려져 있는 임의의 다른 형태의 저장 매체에 상주할 수 있다. 예시적인 저장 매체는, 프로세서가 저장 매체로부터 정보를 판독하고 저장 매체에 정보를 기입할 수 있도록 프로세서에 커플링된다. 대안으로, 저장 매체는 프로세서에 통합될 수 있다.
[0083] 전술한 명세서에서, 예시적인 실시예들은, 그들의 특정한 예시적인 실시예들을 참조하여 설명되었다. 그러나, 첨부된 청구항들에 기재된 본 개시내용의 더 넓은 범위를 벗어나지 않으면서 그에 대한 다양한 수정들 및 변경들이 이루어질 수 있다는 것이 명백할 것이다. 따라서, 명세서 및 도면들은 제한적인 의미보다는 예시적인 의미로 간주되어야 한다.

Claims (24)

  1. 무선 통신 방법으로서,
    액세스 포인트(AP)로부터 발견 메시지를, 제1 무선 디바이스에 의해, 수신하는 단계 ― 상기 발견 메시지는 상기 제1 무선 디바이스의 공개 루트 아이덴티티 키(public root identity key)를 사용하여 암호화됨 ―;
    상기 AP로부터 상기 발견 메시지를 수신하는 것에 응답하여, 제1 공개 및 개인 임시 아이덴티티 키 쌍(public and private transient identity key pair)을 생성하는 단계;
    상기 제1 공개 및 개인 임시 아이덴티티 키 쌍의 공개 키를 상기 AP에 송신하는 단계;
    상기 제1 공개 및 개인 임시 아이덴티티 키 쌍에 적어도 부분적으로 기초하여, 공유 쌍 방식 마스터 키(shared pairwise master key)를 생성하는 단계;
    상기 공유 쌍 방식 마스터 키에 적어도 부분적으로 기초하여, 공유 쌍 방식 임시 키(shared pairwise transient key)를 생성하는 단계;
    상기 공유 쌍 방식 임시 키에 적어도 부분적으로 기초하여 메시지를 암호화하는 단계; 및
    상기 암호화된 메시지를 상기 AP에 송신하는 단계를 포함하는, 무선 통신 방법.
  2. 제 1 항에 있어서,
    상기 AP로부터의 상기 발견 메시지는 상기 AP와 연관된 공개 키를 포함하는, 무선 통신 방법.
  3. 제 1 항에 있어서,
    상기 제1 무선 디바이스의 상기 공개 루트 아이덴티티 키를, 상기 AP와 구별되는 제2 무선 디바이스에 송신하는 단계를 더 포함하고,
    상기 AP로부터 상기 발견 메시지를 수신하는 것은, 상기 제1 무선 디바이스의 상기 공개 루트 아이덴티티 키를 상기 제2 무선 디바이스에 송신하는 것에 응답하는, 무선 통신 방법.
  4. 제 1 항에 있어서,
    상기 제1 무선 디바이스의 개인 루트 아이덴티티 키를 사용하여 상기 AP로부터의 상기 발견 메시지를 적어도 부분적으로 복호화하는 단계를 더 포함하는, 무선 통신 방법.
  5. 제 4 항에 있어서,
    상기 제1 무선 디바이스의 상기 개인 루트 아이덴티티 키는, 상기 제1 공개 및 개인 임시 아이덴티티 키 쌍과 구별되는, 무선 통신 방법.
  6. 제 4 항에 있어서,
    상기 제1 무선 디바이스의 상기 개인 루트 아이덴티티 키는, 디바이스 제조자(manufacturer)에 의해 상기 제1 무선 디바이스에 할당되는, 무선 통신 방법.
  7. 제 1 항에 있어서,
    상기 공유 쌍 방식 마스터 키는, 상기 AP와 연관된 공개 및 개인 키 쌍(public and private key pair)에 적어도 부분적으로 기초하는, 무선 통신 방법.
  8. 제 1 항에 있어서,
    상기 제1 무선 디바이스의 초기화(reset)에 응답하여, 제2 공개 및 개인 임시 아이덴티티 키 쌍을, 상기 제1 무선 디바이스에 의해, 동적으로 생성하는 단계를 더 포함하고,
    상기 제2 공개 및 개인 임시 아이덴티티 키 쌍은, 상기 제1 공개 및 개인 임시 아이덴티티 키 쌍과 구별되고, 그리고 상기 AP와 연관된 공개 키에 적어도 부분적으로 기초하는, 무선 통신 방법.
  9. 제1 무선 디바이스로서,
    트랜시버;
    프로세서; 및
    명령들을 저장하는 메모리를 포함하고,
    상기 명령들은 상기 프로세서에 의해 실행될 때 상기 제1 무선 디바이스로 하여금:
    액세스 포인트(AP)로부터 발견 메시지를 수신하도록 ― 상기 발견 메시지는 상기 제1 무선 디바이스의 공개 루트 아이덴티티 키를 사용하여 암호화됨 ―;
    상기 AP로부터 수신된 상기 발견 메시지에 응답하여, 제1 공개 및 개인 임시 아이덴티티 키 쌍을 생성하도록;
    상기 제1 공개 및 개인 임시 아이덴티티 키 쌍의 공개 키를 상기 AP에 송신하도록;
    상기 제1 공개 및 개인 임시 아이덴티티 키 쌍에 적어도 부분적으로 기초하여, 공유 쌍 방식 마스터 키를 생성하도록;
    상기 공유 쌍 방식 마스터 키에 적어도 부분적으로 기초하여, 공유 쌍 방식 임시 키를 생성하도록;
    상기 공유 쌍 방식 임시 키에 적어도 부분적으로 기초하여 메시지를 암호화하도록; 그리고
    상기 암호화된 메시지를 상기 AP에 송신하도록 하는, 제1 무선 디바이스.
  10. 제 9 항에 있어서,
    상기 AP로부터의 상기 발견 메시지는 상기 AP와 연관된 공개 키를 포함하는, 제1 무선 디바이스.
  11. 제 9 항에 있어서,
    상기 제1 무선 디바이스로 하여금 상기 제1 무선 디바이스의 상기 공개 루트 아이덴티티 키를, 상기 AP와 구별되는 제2 무선 디바이스에 송신하도록 하는 명령들을 더 포함하고,
    상기 AP로부터의 상기 발견 메시지는, 상기 제1 무선 디바이스의 송신된 공개 루트 아이덴티티 키에 응답하여 수신되는, 제1 무선 디바이스.
  12. 제 9 항에 있어서,
    상기 제1 무선 디바이스로 하여금 상기 제1 무선 디바이스의 개인 루트 아이덴티티 키를 사용하여 상기 AP로부터의 상기 발견 메시지를 적어도 부분적으로 복호화하도록 하는 명령들을 더 포함하는, 제1 무선 디바이스.
  13. 제 12 항에 있어서,
    상기 제1 무선 디바이스의 상기 개인 루트 아이덴티티 키는, 상기 제1 공개 및 개인 임시 아이덴티티 키 쌍과 구별되는, 제1 무선 디바이스.
  14. 제 12 항에 있어서,
    상기 제1 무선 디바이스의 상기 개인 루트 아이덴티티 키는, 디바이스 제조자에 의해 상기 제1 무선 디바이스에 할당되는, 제1 무선 디바이스.
  15. 제 9 항에 있어서,
    상기 공유 쌍 방식 마스터 키는, 상기 AP와 연관된 공개 및 개인 키 쌍에 적어도 부분적으로 기초하는, 제1 무선 디바이스.
  16. 제 9 항에 있어서,
    상기 제1 무선 디바이스로 하여금 상기 제1 무선 디바이스의 초기화에 응답하여, 제2 공개 및 개인 임시 아이덴티티 키 쌍을 동적으로 생성하게 하도록 하는 명령들을 더 포함하고,
    상기 제2 공개 및 개인 임시 아이덴티티 키 쌍은, 상기 제1 공개 및 개인 임시 아이덴티티 키 쌍과 구별되고, 그리고 상기 AP와 연관된 공개 키에 적어도 부분적으로 기초하는, 제1 무선 디바이스.
  17. 제1 무선 디바이스로서,
    액세스 포인트(AP)로부터 발견 메시지를 수신하기 위한 수단 ― 상기 발견 메시지는 상기 제1 무선 디바이스의 공개 루트 아이덴티티 키를 사용하여 암호화됨 ―;
    상기 AP로부터 상기 발견 메시지를 수신하는 것에 응답하여, 제1 공개 및 개인 임시 아이덴티티 키 쌍을 생성하기 위한 수단;
    상기 제1 공개 및 개인 임시 아이덴티티 키 쌍의 공개 키를 상기 AP에 송신하기 위한 수단;
    상기 제1 공개 및 개인 임시 아이덴티티 키 쌍에 적어도 부분적으로 기초하여, 공유 쌍 방식 마스터 키를 생성하기 위한 수단;
    상기 공유 쌍 방식 마스터 키에 적어도 부분적으로 기초하여, 공유 쌍 방식 임시 키를 생성하기 위한 수단;
    상기 공유 쌍 방식 임시 키에 적어도 부분적으로 기초하여 메시지를 암호화하기 위한 수단; 및
    상기 암호화된 메시지를 상기 AP에 송신하기 위한 수단을 포함하는, 제1 무선 디바이스.
  18. 제 17 항에 있어서,
    상기 AP로부터의 상기 발견 메시지는 상기 AP와 연관된 공개 키를 포함하는, 제1 무선 디바이스.
  19. 제 17 항에 있어서,
    상기 제1 무선 디바이스의 상기 공개 루트 아이덴티티 키를, 상기 AP와 구별되는 제2 무선 디바이스에 송신하기 위한 수단을 더 포함하고,
    상기 AP로부터의 상기 발견 메시지는, 상기 제1 무선 디바이스의 상기 공개 루트 아이덴티티 키를 상기 제2 무선 디바이스에 송신하는 것에 응답하여 수신되는, 제1 무선 디바이스.
  20. 제 17 항에 있어서,
    상기 제1 무선 디바이스의 개인 루트 아이덴티티 키를 사용하여 상기 AP로부터의 상기 발견 메시지를 적어도 부분적으로 복호화하기 위한 수단을 더 포함하는, 제1 무선 디바이스.
  21. 제 20 항에 있어서,
    상기 제1 무선 디바이스의 상기 개인 루트 아이덴티티 키는, 상기 제1 공개 및 개인 임시 아이덴티티 키 쌍과 구별되는, 제1 무선 디바이스.
  22. 제 20 항에 있어서,
    상기 제1 무선 디바이스의 상기 개인 루트 아이덴티티 키는, 디바이스 제조자에 의해 상기 제1 무선 디바이스에 할당되는, 제1 무선 디바이스.
  23. 제 17 항에 있어서,
    상기 공유 쌍 방식 마스터 키는, 상기 AP와 연관된 공개 및 개인 키 쌍에 적어도 부분적으로 기초하는, 제1 무선 디바이스.
  24. 제 17 항에 있어서,
    상기 제1 무선 디바이스의 초기화에 응답하여, 제2 공개 및 개인 임시 아이덴티티 키 쌍을 동적으로 생성하기 위한 수단을 더 포함하고,
    상기 제2 공개 및 개인 임시 아이덴티티 키 쌍은, 상기 제1 공개 및 개인 임시 아이덴티티 키 쌍과 구별되고, 그리고 상기 AP와 연관된 공개 키에 적어도 부분적으로 기초하는, 제1 무선 디바이스.
KR1020187014281A 2015-06-05 2016-05-05 무선 디바이스들의 플렉서블한 구성 및 인증 KR20180056809A (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US61/171,548 2009-04-22
US201561171548P 2015-06-05 2015-06-05
US15/065,608 2016-03-09
US15/065,608 US9706397B2 (en) 2015-06-05 2016-03-09 Flexible configuration and authentication of wireless devices
PCT/US2016/031036 WO2016195907A1 (en) 2015-06-05 2016-05-05 Flexible configuration and authentication of wireless devices

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020177034878A Division KR101861546B1 (ko) 2015-06-05 2016-05-05 무선 디바이스들의 플렉서블한 구성 및 인증

Publications (1)

Publication Number Publication Date
KR20180056809A true KR20180056809A (ko) 2018-05-29

Family

ID=62453045

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020187014281A KR20180056809A (ko) 2015-06-05 2016-05-05 무선 디바이스들의 플렉서블한 구성 및 인증

Country Status (1)

Country Link
KR (1) KR20180056809A (ko)

Similar Documents

Publication Publication Date Title
KR101861546B1 (ko) 무선 디바이스들의 플렉서블한 구성 및 인증
CN108781366B (zh) 用于5g技术的认证机制
US20160360407A1 (en) Distributed configurator entity
US10057766B2 (en) Methods and systems for authentication interoperability
US20160050565A1 (en) Secure provisioning of an authentication credential
US20180184428A1 (en) Associating and securitizing distributed multi-band link aggregation devices
KR20170080595A (ko) 인증 상호운용성을 위한 방법들 및 시스템들
US20160366124A1 (en) Configuration and authentication of wireless devices
US11206576B2 (en) Rapidly disseminated operational information for WLAN management
US11310724B2 (en) Key management for fast transitions
EP3629515A1 (en) Secure communication in a wireless network
CN107925874B (zh) 超密集网络安全架构和方法
US20160286390A1 (en) Flexible and secure network management
KR20180056809A (ko) 무선 디바이스들의 플렉서블한 구성 및 인증
CN106664559B (zh) 无线通信网络中设备配置的方法、装置及系统
CN117544947A (zh) 通信方法、装置及可读存储介质

Legal Events

Date Code Title Description
A107 Divisional application of patent