Nothing Special   »   [go: up one dir, main page]

KR100933167B1 - 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법 - Google Patents

트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법 Download PDF

Info

Publication number
KR100933167B1
KR100933167B1 KR20020060176A KR20020060176A KR100933167B1 KR 100933167 B1 KR100933167 B1 KR 100933167B1 KR 20020060176 A KR20020060176 A KR 20020060176A KR 20020060176 A KR20020060176 A KR 20020060176A KR 100933167 B1 KR100933167 B1 KR 100933167B1
Authority
KR
South Korea
Prior art keywords
field
integrity check
frame
check
fcs
Prior art date
Application number
KR20020060176A
Other languages
English (en)
Other versions
KR20040029767A (ko
Inventor
김아정
김진희
임세윤
송재연
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR20020060176A priority Critical patent/KR100933167B1/ko
Priority to US10/677,461 priority patent/US7305551B2/en
Priority to JP2003344675A priority patent/JP3774455B2/ja
Publication of KR20040029767A publication Critical patent/KR20040029767A/ko
Application granted granted Critical
Publication of KR100933167B1 publication Critical patent/KR100933167B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/44Star or tree networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

가. 발명이 속하는 기술분야
본 발명은 점대다점 구조를 가지는 트리 구조 네트워크 상에서의 보안을 위한 전송 방법에 관한 것이다.
나. 발명이 해결하고자 하는 기술적 과제
본 발명의 목적은 점대다점의 트리 구조를 가지는 네트워크, 특히 이더넷 수동 광가입자망에서 보안을 위한 인증과정과 데이터의 암호화를 포함하는 전송 방법을 제공함에 있다.
다. 발명의 해결방법의 요지
본 발명은 정점이 되는 하나의 네트워크 장치와 상기 네트워크 장치에 접속하는 적어도 하나의 네트워크 장치로 구성되는 트리 구조 네트워크에서의 보안통신 방법에 있어서, 상기 각 네트워크 장치는 각각의 보안 개체를 구별하는 아이디를 설정하여 프레임에 추가하는 제 1과정과, 전송할 프레임의 패킷 데이터 유니트에 대하여 무결성 체크를 수행하는 제 2과정과, 상기 무결성 체크의 결과 값을 포함하는 무결성 체크 필드를 상기 전송할 프레임에 추가하는 제 3과정과, 상기 무결성 체크 필드를 포함하는 전송 프레임을 암호화하는 제 4과정과, 상기 암호화된 전송 프레임에 대한 FCS(Frame Check Sequence) 체크를 수행하는 제 5과정과, 상기 FCS 체크의 결과 값을 포함하는 FCS 필드를 상기 전송 프레임에 추가하는 과정을 포함함을 특징으로 한다.
라. 발명의 중요한 용도 EPON의 보안을 위해 사용된다.
EPON, 보안, 인증, LLID

Description

트리 구조 네트워크 상에서의 인증과 프라이버시 보장을 위한 전송 방법{TRANSMITTING METHOD FOR AUTHENTICATION AND PRIVACY SECURITY ON TREE STRUCTURE NETWORK}
도 1은 일반적인 PON의 구조를 도시하는 도면,
도 2는 메시지 구조의 한 예로서, 일반적인 이더넷 프레임 포맷을 도시하는 도면,
도 3은 본 발명의 실시 예에 따른 도면으로, EPON에서 암호화를 수행하는 계층을 프로토콜 스택 상에 표시한 도면,
도 4는 본 발명의 실시 예에 따른 도면으로, 암호화 기능을 수행할 수 있도록 구성된 이더넷 프레임 포맷을 도시하는 도면,
도 5는 본 발명의 실시 예에서 암호화되는 프레임 영역과 그 처리 결과에 대해 도시하는 도면.
본 발명은 점대다점 구조를 가지는 트리 구조 네트워크 상에서의 보안을 보장하는 방법에 관한 것으로, 특히 이더넷 수동 광가입자망 상에서 인증과 기밀 보장을 위한 전송 방법에 관한 것이다.
정점이 되는 하나의 네트워크 장치에 접속되는 다수의 네트워크 장치가 접속되는 네트워크를 트리 구조 네트워크라 한다. 상기 점대다점 구조의 트리 구조 네트워크의 예로서, 하나의 OLT(Optical Line Termination)와 상기 OLT에 접속되는 하나 이상, 다수의 ONU(Optical Network Unit)들로 이루어지는 수동형광가입자망(Passive Optical Network; PON, 이하 "PON"이라 칭한다)을 들 수 있다.
도 1은 일반적인 PON의 구조를 도시하는 도면이다.
도 1에 도시된 바와 같이, PON은 하나의 OLT(100)와, 상기 OLT(100)에 접속되는 ONU들(110-1 내지 110-3)과 상기 ONU들(110-1 내지 110-3)에 각각 접속되는 가입자 포트(Subscriber)들(120-1 내지 120-3)로 구성될 수 있다. 상기 도 1에는 각각의 ONU들(110-1 내지 110-3)에 하나씩의 가입자(120-1 내지 120-3)가 접속된 것으로 도시되어 있으나, 실제로는 하나의 ONU(110-1 내지 110-3)에 다수의 가입자(120-1 내지 120-3)가 접속될 수 있으며, 각각의 ONU(110-1 내지 110-3)와 가입자(120-1 내지 120-3)들의 조합 또한 점대다점의 트리 구조를 가지도록 구성될 수 있다.
한편, 현재 802.3 이더넷 프레임을 점대다점의 트리 구조의 네트워크를 통해 전송하는 이더넷 수동형광가입자망(Ethernet Passive Optical Network; EPON, 이하 "EPON"이라 칭한다)에서 상향 전송의 경우 TDM(Time Division Multiplexing)방식으로 각 ONU(110-1 내지 10-3)의 데이터를 액세스하게 되고, 하향 전송의 경우에는 'Broadcast and selection' 룰을 사용한다. 즉, 하향 전송의 경우, OLT(100)로부터 임의의 특정 ONU(110-1 내지 110-3)로 전송되는 하향의 메시지는 모든 ONU들(110-1 내지 110-3)에게 전송되고, 그 중 해당되는 ONU(110-1 내지 110-3)만이 메시지를 필터링해서 받는 구조이다. 이와 같은 구조에서는 메시지를 전송 받을 ONU(110-1 내지 110-3)가 아닌 다른 ONU(110-1 내지 110-3)가 상기 데이터를 전송 받을 수 있는 가능성이 있으므로, 프라이버시를 보장받을 수 없게 된다. 즉, 보안성이 취약하다.
또한, 상향 전송의 경우에도 인증 받지 않은 ONU(110-1 내지 110-3)가 접속하거나, PON의 임의의 한 ONU(110-1 내지 110-3)가 다른 ONU(110-1 내지 110-3)인 양 위장하여 'Denial of Service' 공격을 수행하거나 자료 및 자원에 접근할 수 있다. 이러한 일들을 방지하기 위해 인증의 절차가 필요하다. 따라서, 점대다점의 트리 구조의 네트워크에서 각 ONU(110-1 내지 110-3)에 대하여 인증절차를 통한 서로 다른 키를 분배하여 메시지를 암호화하는 절차를 통하여 하향신호에 대해 프라이버시를 보장하고, 상향 전송 시의 메시지에 대한 인증을 할 수 있다.
ATM PON용 암호의 기술은 이미 표준화가 완료되어 있는 상태로써 그 내용은 ITU-T G.983.1에 기술되어 있다. 그러나 이더넷 프레임을 PON이라는 피지컬 플랜트(physical plant)를 통해 전송하는 이더넷 PON의 암호기능 및 구현 방법은 현재 정의되어 있지 않다.
도 2는 메시지 구조의 한 예로서, 일반적인 이더넷 프레임 포맷을 도시하고 있다.
암호 알고리즘을 이용하여 메시지를 암호화하는데 있어 메시지의 인증을 위해 메시지뿐만 아니라 FCS(Frame Check Sequence)까지 암호화하는 방안이 제시되고 있다. 인증되지 않은 공격자(예컨대, 인증되지 않은 ONU)가 잘못된 키로 암호화하여 OLT(100)에 접속하여 메시지를 전송할 경우, 이를 OLT(100)가 인증된 키로 복호화 한 후 그 체크 비트들의 값을 비교해 보면 이 또한 FCS의 값과 틀리게 되어 FCS 체크 에러가 발생하게 되므로, 이를 통해 데이터나 데이터의 전송 근원지가 인증된 것인지 아닌지를 판단하게 된다. 그러나, 상기와 같이 FCS까지 암호화하는 경우, 링크의 결함으로 인해 링크 에러가 발생하는데 이 경우 그 암호문을 복호화한 후 그 체크 비트들의 값은 FCS의 값과 틀리게 되어 FCS 체크 에러가 발생하게 된다. 따라서, 에러가 존재하는 링크에 대해서는 FCS 체크 에러가 발생하였을 시 이 에러가 링크나 다른 디바이스 결함에 의한 에러인지, 아니면 인증되지 않은 메시지에서 오는 에러인지 구별이 불가능하게 되어 링크 관리상의 문제가 야기된다.
따라서 상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 점대다점의 트리 구조를 가지는 네트워크에서 비밀 보장을 위한 암호화 메커니즘을 포함하는 전송 방법을 제공함에 있다.
본 발명의 다른 목적은 점대다점의 트리 구조를 가지는 네트워크에서 상기 암호화된 프레임을 통해 데이터나 데이터의 전송 근원지의 인증 방법을 제공함에 있다.
본 발명의 또 다른 목적은 점대다점의 트리 구조를 가지는 네트워크인 이더넷 수동형광가입자망에서 암호화 메커니즘 및 인증을 포함하는 전송 방법을 제공함에 있다.
본 발명의 또 다른 목적은 점대다점의 트리 구조를 가지는 네트워크인 이더넷 수동형광가입자망에서 전송 상의 보안을 위한 프레임 포맷을 제공함에 있다.
본 발명의 또 다른 목적은 점대다점의 트리 구조를 가지는 네트워크인 이더넷 수동형광가입자망에서 전송 시 발생하는 링크 에러와 메시지 무결성을 구별함으로서 링크 관리가 가능한 암호화 방법을 제공함에 있다.
상기와 같은 목적들을 달성하기 위한 본 발명은; 정점이 되는 하나의 네트워크 장치와 상기 네트워크 장치에 접속되는 적어도 하나의 네트워크 장치로 구성되는 트리 구조 네트워크에서의 보안통신을 위한 전송방법에 있어서, 상기 각 네트워크 장치는 각각의 보안 개체를 구별하는 ID를 설정하여 프레임에 추가하는 제 1과정과, 전송할 프레임의 패킷 데이터 유니트에 대하여 무결성 체크를 수행하는 제 2과정과, 상기 무결성 체크의 결과 값을 포함하는 무결성 체크 필드를 상기 전송할 프레임에 추가하는 제 3정과, 상기 무결성 체크 필드를 포함하는 전송 프레임을 상기 보안 개체 ID에 따라 암호화하는 제 4과정과, 상기 암호화된 필드를 포함한 전송 프레임 전역에 대한 FCS(Frame Check Sequence) 체크를 수행하는 제 5과정과, 상기 FCS 체크의 결과 값을 포함하는 FCS 필드를 상기 전송 프레임에 추가하는 과 정을 포함함을 특징으로 한다.
이하 본 발명의 바람직한 일 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기에서 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다.
본 발명은 점대 다점의 트리 구조 네트워크에서 보안성을 높이기 위한, 인증과 프라이버시 보장을 위해 암호화하는 메커니즘에 대한 것이다. 이하 본 발명을 구체적인 실시 예를 들어 설명한다.
하기에서는 점대 다점의 트리 구조 네트워크의 대표적인 예로서, 하나의 OLT(Optical Line Terminal)(100)와 하나 이상, 다수의 ONU(Optical Network Unit)(110-1 내지 110-3)로 구성되는 PON을 예로 들어 설명하도록 한다. 하기에서 기술하는 실시 예는 PON 중에서도 특히 이더넷 PON(Ethernet Passive Optical Network)에 관한 것이다.
본 실시 예의 요지는 이더넷 프레임 내에 암호화에 대한 태그(tag)를 삽입하고, 무결성 체크(Integrity Check), 즉, 정당한 네트워크 장치가 송신한 프레임인지를 판단하기 위한 체크 필드를 삽입한 후, 메시지와 상기 IC 필드를 암호화한 후 이더넷의 MAC 계층의 기능을 수행하여 이 암호문에 대한 물리적 에러 발생 여부를 체크하는 FCS(Frame Check Sequence)를 부가하는 것이다. 하기에서는 이를 위한 절차와 메커니즘, 프레임 포맷 등을 정의한다.
도 3은 본 발명의 실시 예에 따른 도면으로, EPON에서 암호화를 수행하는 계층을 프로토콜 스택 상에 표시한 도면이다.
도 3에 도시된 바와 같이, 프로토콜 스택에는 MAC 클라이언트 계층(300-1, 300-2), MAC 제어 계층(302), MAC 계층(306), RS 계층(308), PCS(Physical Coding Sublayer, 물리 부호화 부계층, 이하 "PCS"라 칭하다) 계층(310), PMA(Physical Medium Attachment, 물리 매체 접속부, 이하 "PCS"라 칭한다) 계층(312), PMD(Physical Medium Dependent sublayer, 이하 "PMD"라 칭한다) 계층(314)이 있다. 본 발명이 수행되는 계층인 보안화 계층(304)은 MAC 클라이언트 계층(300-1, 300-2) 바로 아래 또는 MAC 제어 계층(302) 바로 아래에 위치할 수 있다.
먼저, 다수의 ONU(110-1 내지 110-3)는 등록과 인증의 절차를 거쳐 각각 다른 비밀 키(secret key)를 OLT(100)와 공유하고 있다. ONU(110-1 내지 110-3)와 OLT(100)는 비밀 마스터 키(secret master key)를 토대로 주기적으로 rekeying 절차를 통하여 가지고 있는 secret key를 새로 설정함으로서 보안성을 높일 수도 있다. 상기 절차들에 대해서는 그 설명을 생략한다.
각기 다른 키가 주어진 엔티티(entity)를 논리링크 아이디(Logical Link ID; LLID)로 구별지을 수 있다. 즉, LLID는 각 ONU(110-1 내지 110-3)들에 해당될 수 있다. 또, 하나의 ONU(110-1 내지 110-3)가 다수의 논리링크를 가지고 있을 경우, 각각의 논리링크에 해당할 수 있다. 즉, 도 1에 도시된 가입자 포트(120-1 내지 120-3)별로 LLID가 할당될 수도 있다. 즉, 인증과 키 분배가 이루어지는 단위를 LLID라 한다.
각각의 ONU(110-1 내지 110-3)나 논리링크는 서로 보관하고 있는 키를 이용하여 자신의 메시지를 암호화하게 된다. 먼저 메시지의 전송은 MAC 클라이언트 계층(300-1, 300-2)에서 트리거(trigger)되어 암호화 계층(304)으로 전송된다. 암호화 계층(304)에서는 암호화 사용/미사용(encryption enable/disable)여부에 따라 메시지에 대한 무결성 체크를 수행하여 그 결과에 대한 값인 ICV 필드를 삽입하고, 상기 ICV 필드와 메시지에 대한 암호화를 수행하고 암호 프레임 태그를 삽입하는 등의 과정을 수행한다. 이 때 암호화 프로세싱 타임으로 인해 실제 패킷이 왕복 전송을 하는데 걸리는 시간인 RTT값에 변화를 가져올 수 있다. 따라서 암호화 엔진(encryption engine)은 패킷의 길이에 무관하게 프로세싱 타임이 소요되도록 병렬 프로세싱(parallel processing)하는 것이 바람직하다. 또, 암호화 미사용 패킷(encryption-disable packet)의 경우도 고정 라운드 트립 타임(fixed round trip time)을 보장하기 위해 암호화 프로세스와 동일한 일정 지연을 초래하도록 조정됨이 바람직하다.
도 4는 본 발명의 실시 예에 따른 도면으로, 암호화 기능을 수행할 수 있도록 구성된 이더넷 프레임 포맷을 도시하는 도면이다.
도 4에 도시된 바와 같이, 본 실시 예에 따른 이더넷 포맷은 PA(PreAmble, 프리앰블) 필드(400), DA(Destination Address, 수신지 주소) 필드(402), SA(Source Address, 송신지 주소)(404) 필드, L/Type(Length/Type, 길이 타입) 필드(406), LLID tag 필드(408), Enc tag(Encryption tag, 암호화 태그) 필드(410), PDU(Packet Data Unit) 필드(412), IC(Integrity Check) 필드(414), FCS(Frame Check Sequence) 필드(416)들로 이루어진다.
LLID는 인증이나 키 배분 시 각 엔티티에 대한 식별자이다. LLID tag type을 포함하여 프레임 안에 LLID를 실어 전송할 수도 있고, 프리앰블에 넣어 전송한 후 태깅(tagging)기법으로 프레임 안에 포함되게 할 수도 있다. Enc tag 필드(410)는 프레임의 암호화의 여부를 나타낸다. 참조부호 420으로 표시된 블록은 Enc tag 필드(410)에 포함될 수 있는 것들을 보이고 있다. 상기 Enc tag 필드(410)는 암호화 태그 타입(Enc tag type)필드와 암호화 태그 정보(Enc tag info)필드로 구성될 수 있다. Enc tag info는 암호화/복호화하기 위해 필요한 정보를 가지고 있는 필드로서, 키 동기(key synchronization)나 버전 등을 포함할 수 있다. 암호화 수행 시의 어떤 모드들은 키의 시드(seed)역할을 하는 초기화 벡터(Initialization Vector; IV) 값을 필요로 하므로, Enc tag info는 이러한 IV를 포함할 수도 있다. 한편, Enc tag info를 OAM(Operation, Administration and Maintenance) 메시지나 다른 제어 메시지에 실어 전송한다면 이러한 상기 Enc tag 필드(410)는 Enc tag info 없이 태그 타입 필드로만 구성될 수 있다. Enc tag 필드(410)를 포함한 메시지는 암호화되어 있는 메시지를 의미하며, Enc tag 필드(410)를 포함하지 않은 메시지는 암호화되어 있지 않음을 의미한다. PDU 필드(412) 이후에 PDU 필드(412)에 포함된 메시지의 무결성 체크를 위한 IC 필드(414)가 존재한다. 예컨대, 암호화 알고리즘으로서 AES(advanced Encryption standard)를 사용한 OCB 모드를 적용할 경우, IC 필드(414)는 체크 섬에 해당하는 필드로 4byte나 10 byte의 크기가 될 수 있다. 따라서 암호화 태그드 프레임, 즉, 암호화된 프레임의 경우 Enc tag 길이 + IC 길이 만큼의 프레임 길이가 부가된다. FCS 필드(416)는 링크와 MAC 계층 상에서의 에러 여부를 측정하기 위해 사용된다.
MAC 클라이언트(300-1, 300-2)에서 트리거되어 암호화 계층으로 전송된 신호는 메시지와 그 외 암호화 사용/미사용 여부, 프레임 헤더(DA,SA), 에뮬레이션 계층에서 부가된 LLID tag 필드(408) 등을 포함한다.
송신할 신호에 대해 수행하는 암호화 절차는 다음과 같다.
먼저 암호화 계층(304)에서 암호화 사용/미사용 신호를 확인한다. 암호화 미사용인 메시지인 경우, 고정 라운드 트립 타임을 보장하기 위해 암호화 프로세스와 동일한 일정 지연을 초래하는 과정을 수행한다. 암호화를 사용한 메시지의 경우, 먼저 PDU 필드(412)부분에 대한 무결성 체크를 수행하여 그 값을 프레임에 첨가한다. 이러한 무결성 체크는 통상적으로 CRC(Cyclic Redundancy Check) 등의 체크 섬 등을 의미한다. 무결성 체크를 수행한 암호화 계층(304)은 LLID를 확인하여 인증 및 암호화 등에 사용하는 키를 관리하는 마스터의 레지스트리로부터 해당 LLID에 맞는 키를 가져온다. 상기 키 값을 암호 알고리즘의 input의 한 요소로 하여 PDU 필드(412)와 IC 필드(414)를 모두 암호화한다. 상기 PDU 필드(412) 앞에 암호화한 메시지로 지정된 tag type과 암호화에 대한 정보를 담은 정보 필드를 삽입하여 MAC 계층(306)으로 전송한다. MAC 계층(306)에서는 상기 암호화 계층(304)에서 암호화한 부분을 포함한 모든 프레임 영역에 대해 FCS를 수행하여 그 값에 대한 FCS 필드(416)를 첨가한다.
한편, 수신된 메시지에 대한 암호화 절차는 다음과 같다. 통상적으로, 수신된 메시지에 대한 복호화 과정은 상기 송신 메시지에 대한 암호화 과정과 반대로 수행된다. 먼저, MAC 계층(306)으로 전송된 프레임은 암호화한 부분을 포함한 모든 프레임 영역(DA 부터 IC)(400 내지 414)에 대해 FCS를 수행하여 그 결과 값과 FCS 필드(416)의 수치를 비교한 후 그 결과를 수신상태(receive_status) 신호로 상위 계층에 전달한다. 이때 상기 수신상태 신호와 함께 FCS 필드가 제거된 프레임이 상위 계층으로 전달된다. 암호화 계층(304)에서는 MAC 계층(306)으로부터 전달받은 프레임의 LLID tag 필드(408)에서 LLID를 확인하고, Enc tag 필드(410)에서 암호화 태그 타입을 확인한다. 암호화 태그 확인 결과, 암호화 미사용의 메시지인 경우고정 라운드 트립 타입을 보장하기 위해 복호화 프로세스와 동일한 일정 지연을 초래하는 과정을 수행한다. 암호화 사용의 메지시인 경우, LLID를 확인하고 키를 관리하는 마스터의 레지스트리로부터 해당 LLID에 맞는 키를 가져온다. Enc tag 필드(410)에 포함된 encryption tag info 필드 상의 정보와 상기 마스터의 레지스트리로부터 가져온 키를 토대로 복호 알고리즘과 연계하여 PDU 필드(412)와 IC 필드(414)를 모두 복호화 한다. 이때, 해당 LLID의 키 값이 아닌 다른 값을 이용하여 암호화 또는 복호화를 수행하게 되면 복호화한 필드의 값이 원래의 값과 틀려지게 된다. 따라서, 무결성 체크 결과 값이 프레임의 IC 필드(414)의 값과 달라지게 된다. 복호화된 PDU 필드(412)에 대해 무결성 체크를 수행한 후 그 결과 값을 IC 필드(414)의 값과 비교하여 일치하지 않을 경우, 즉, 상기 메시지가 해당 LLID를 가진 인증된 근원지로부터 전송된 것이 아니라고 판단되는 경우, 메시지 무결성 브 레이크 카운터에 기록한다. 일치할 경우는 암호화 타입 태그 필드를 제거한 프레임을 상위 계층으로 전송한다.
도 5는 본 발명의 실시 예에서 암호화되는 프레임 영역과 그 처리 결과에 대해 도시하고 있다.
프레임 중에서 암호화되는 영역은 DA 필드(400)에서 PDU 필드(412), IC 필드(414)까지이다. 먼저, 암호화된 DA 필드(400)∼IC 필드(414) 영역의 체크 섬 값이 FCS 필드(416)의 값과 일치하여 FCS 체크를 통과할 경우는 링크나 MAC 계층의 결함으로 인한 에러가 없음을 의미한다. 이후 복호화 과정을 거쳐 복호화된 평문의 PDU 필드(412)에 대한 체크 섬 값이 IC 필드(414)의 값과 일치할 경우 올바른 키로 암호화되었다는 것을 의미하므로 이는 메시지나 메시지 전송 근원지의 무결성을 입증하는 것이 된다. 따라서, 링크 에러와 잘못된 키 암호화가 구분되는 링크 관리가 가능해 진다.
즉, 상술한 바와 같이, 본 발명에서는 점대다 네트워크에서 공유 매체를 이용하는 다른 네트워크 장치(예컨대, ONU, Subscriber 등)들에 LLID를 부여하고 해당 LLID를 이용하여 수행함으로서 각 네트워크 장치들을 구분하고 이를 구별자로 보안 통신을 수행할 수 있다. 또, 메시지의 무결성 체크 후 전송할 프레임에 IC 필드(414)를 추가하고, 상기 IC 필드(414)까지를 포함하는 프레임에 대하여 암호화를 수행한 후, 암호화된 프레임에 대하여 FCS 체크를 수행한 후 FCS 필드(416)를 추가하여 전송함으로서 메시지의 무결성 여부 판단과 링크 에러 여부 판단의 구분이 가능하게 된다.
상술한 본 발명에 의해서 트리 구조의 네트워크에서 각각의 네트워크 모듈 단위나 이에 해당하는 논리링크에 대하여 다른 키를 부여하여 데이터를 암호화하여 전송함에 있어, 인증과 비밀 보장을 위한 암호화의 메커니즘을 정의함으로써 공유 매체 전송의 트리 구조의 네트워크가 가지는 보안의 취약성을 보완할 수 있다. 또한 메시지 무결성과 링크 에러를 구별하여 링크 관리가 가능한 두 개의 기능을 포함하는 암호화 방법을 구현할 수 있다.

Claims (17)

  1. 정점이 되는 하나의 네트워크 장치와 상기 네트워크 장치에 접속되는 적어도 하나의 네트워크 장치로 구성되는 트리 구조 네트워크에서의 보안통신을 위한 전송방법에 있어서, 송신 단계는
    상기 각 네트워크 장치는 전송할 프레임의 패킷 데이터 유니트에 대하여 무결성 체크를 수행하는 제 1과정과,
    상기 무결성 체크의 결과 값을 포함하는 무결성 체크 필드를 상기 전송할 프레임에 추가하는 제 2과정과,
    상기 무결성 체크 필드를 포함하는 패킷 데이터 유니트를 암호화하는 제 3과정과,
    상기 암호화된 필드를 포함한 전송 프레임 전체에 대한 FCS(Frame Check Sequence) 체크를 수행하는 제 4과정과,
    상기 FCS 체크의 결과 값을 포함하는 FCS 필드를 상기 전송 프레임에 추가하는 과정을 포함함을 특징으로 하는 보안 전송방법.
  2. 제 1항에 있어서,
    상기 송신단계는 송신지 네트워크 장치에 부여된 해당 논리링크 아이디를 적어도 포함하는 필드를 부가하는 과정을 더 포함함을 특징으로 하는 보안 전송방법.
  3. 제 1항에 있어서, 상기 제 3과정의 암호화는 해당 네트워크 장치의 논리링크 아이디를 적어도 포함하는 값을 이용하여 그에 해당하는 키로 암호화를 수행함을 특징으로 하는 보안 전송방법.
  4. 제 1항에 있어서, 상기 제 1과정의 무결성 체크는 체크 섬 방식으로 이루어짐을 특징으로 하는 보안 전송방법.
  5. 제 1항에 있어서, 상기 제 4과정의 FCS 체크는 체크 섬 방식으로 이루어짐을 특징으로 하는 트리 구조 네트워크에서의 보안 전송방법.
  6. 정점이 되는 하나의 네트워크 장치와 상기 네트워크 장치에 접속되는 적어도 하나의 네트워크 장치로 구성되는 트리 구조 네트워크에서의 보안통신을 위한 전송방법에 있어서 수신 단계는
    상기 각 네트워크 장치는 수신한 프레임에 대한 FCS 체크를 수행하는 제 1과정과,
    상기 FCS 체크를 수행한 수신 프레임의 FCS 필드를 제외하고 무결성 체크 필 드를 포함하여 암호화된 패킷 데이터 유니트를 복호화하는 제 2과정과,
    상기 복호화된 필드에 대하여 무결성 체크를 수행하는 제 3과정을 포함함을 특징으로 하는 보안 전송방법.
  7. 제 6항에 있어서, 상기 제 2과정의 복호화는,
    수신한 프레임에 포함된, 송신지 네트워크 장치에 부여된 해당 논리링크 아이디를 적어도 포함하는 필드를 이용하여 그 해당 논리링크 아이디에 부여된 키를 이용하여 복호화하는 과정을 포함함을 특징으로 하는 보안 전송방법.
  8. 제 7항에 있어서, 상기 제 1과정의 FCS 체크는 FCS 필드를 제외한 수신 프레임의 필드들에 대한 체크 섬 값과 상기 FCS 필드의 값의 일치 여부를 판단함으로서 이루어짐을 특징으로 하는 보안 전송방법.
  9. 제 7항에 있어서, 상기 제 3과정의 무결성 체크는 패킷 데이터 유니트 필드에 대한 체크 섬 값과 무결성 체크 필드의 값의 일치여부를 판단함으로서 이루어짐을 특징으로 하는 보안 전송방법.
  10. 제 1항에 있어서, 이더넷 수동 광가입자 네트워크에서 상기 전송 프레임은 PA(PreAmble) 필드, DA(Destination Address) 필드(402), SA(Source Address) 필드, L/Type(Length/Type) 필드, LLID tag 필드, Enc tag(Encryption tag) 필드, PDU(Packet Data Unit) 필드, IC(Integrity Check) 필드 및 FCS(Frame Check Sequence) 필드로 구성됨을 특징으로 하는 보안 전송방법.
  11. 제 10항에 있어서, 상기 Enc tag 필드는 암호화 태그 타입(Enc tag type) 필드 및 암호화 태그 정보(Enc tag info) 필드로 구성됨을 특징으로 하는 보안 전송방법.
  12. 한 점 대 다수점 통신 시스템에서, 소스점으로부터 목적점으로 전송되는 보안데이터를 전송하기 위한 방법에 있어서,
    상기 전송되는 데이터의 암호화를 나타내는 암호 태그 타입 정보와 상기 데이터를 암호화하는 정보를 나타내는 암호 태그 정보를 나타내는 암호화 태그 필드를 형성하는 과정과,
    상기 암호화 정보에 따라 상기 전송되는 데이터를 암호화한 암호화 데이터 정보를 나타내는 패킷 데이터 필드를 형성하는 과정과,
    상기 암호화 데이터의 CRC 체크섬을 나타내는 제1 무결성체크필드를 형성하는 과정과,
    상기 패킷 데이터 필드의 길이와 상기 제1 무결성체크필드의 길이의 합을 나타내는 길이 타입 필드를 형성하는 과정과,
    상기 형성된 필드들과 상기 소스점의 소스 어드레스를 나타내는 소스 어드레스 필드와 상기 목적점의 목적지 어드레스를 나타내는 목적지 어드레스 필드를 포함하는 하나의 전송프레임을 형성하는 과정을 포함함을 특징으로 하는 보안 전송방법.
  13. 제12항에 있어서, 상기 전송프레임 형성 과정에서 형성된 전송프레임 전체에 대한 CRC 체크섬을 나타내는 제2 무결성체크필드를 형성하여 상기 전송프레임에 추가하는 과정을 포함함을 특징으로 하는 보안 전송방법.
  14. 제13항에 있어서,
    상기 전송프레임을 수신하여 상기 제2 무결성체크필드를 이용한 제1 무결성체크를 수행하는 과정과,
    상기 제2 무결성체크필드를 제외한 전송프레임을 복호화하는 과정과,
    상기 제1 무결성체크필드를 이용하여 상기 복호화된 전송프레임의 제2 무결성체크를 수행하는 과정을 포함함을 특징으로 하는 보안 전송방법.
  15. 제14항에 있어서, 상기 복호화과정은
    상기 수신된 전송프레임에 포함된 목적지 어드레스 필드의 내용에 의거하여 복호화함을 특징으로 하는 보안 전송방법.
  16. 제14항에 있어서, 상기 제1 무결성 체크 과정은
    상기 제2 무결성체크필드를 제외한 전송프레임의 필드들에 대한 체크섬값과 상기 제2 무결성체크필드 값의 일치여부를 판단함을 특징으로 하는 보안 전송방법.
  17. 제14항에 있어서, 상기 제2 무결성 체크 과정은
    상기 수신된 전송프레임에 포함된 암호화 데이터의 체크섬값과 상기 제1 무결성체크필드 값의 일치여부를 판단함을 특징으로 하는 보안 전송방법.
KR20020060176A 2002-10-02 2002-10-02 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법 KR100933167B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR20020060176A KR100933167B1 (ko) 2002-10-02 2002-10-02 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법
US10/677,461 US7305551B2 (en) 2002-10-02 2003-10-02 Method of transmitting security data in an ethernet passive optical network system
JP2003344675A JP3774455B2 (ja) 2002-10-02 2003-10-02 イーサネット(登録商標)受動型光加入者網システムにおけるデータ転送方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20020060176A KR100933167B1 (ko) 2002-10-02 2002-10-02 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법

Publications (2)

Publication Number Publication Date
KR20040029767A KR20040029767A (ko) 2004-04-08
KR100933167B1 true KR100933167B1 (ko) 2009-12-21

Family

ID=32064899

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20020060176A KR100933167B1 (ko) 2002-10-02 2002-10-02 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법

Country Status (3)

Country Link
US (1) US7305551B2 (ko)
JP (1) JP3774455B2 (ko)
KR (1) KR100933167B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023128229A1 (ko) * 2021-12-27 2023-07-06 삼성전자주식회사 전자 장치 및 그 제어 방법

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100594024B1 (ko) * 2003-03-10 2006-07-03 삼성전자주식회사 Epon에서의 인증 방법과 인증 장치과 인증 장치 및상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로읽을 수 있는 기록매체
US7530112B2 (en) 2003-09-10 2009-05-05 Cisco Technology, Inc. Method and apparatus for providing network security using role-based access control
WO2005086950A2 (en) * 2004-03-11 2005-09-22 Teknovus, Inc., Method for data encryption in an ethernet passive optical network
US7609719B2 (en) 2004-10-12 2009-10-27 Electro Industries/Gauge Tech System and method for simultaneous communication on modbus and DNP 3.0 over Ethernet for electronic power meter
US7877796B2 (en) 2004-11-16 2011-01-25 Cisco Technology, Inc. Method and apparatus for best effort propagation of security group information
US7721323B2 (en) 2004-11-23 2010-05-18 Cisco Technology, Inc. Method and system for including network security information in a frame
KR100608906B1 (ko) * 2004-12-10 2006-08-08 한국전자통신연구원 Epon에서의 링크 보안을 위한 보안 모듈 발견 방법
EP1881068B1 (en) 2005-05-13 2011-01-26 Wako Pure Chemical Industries, Ltd. Primers, probes, methods and uses thereof for the detection of mycobacterium kansasii
US8069475B2 (en) * 2005-09-01 2011-11-29 Alcatel Lucent Distributed authentication functionality
KR100715679B1 (ko) * 2005-12-05 2007-05-09 한국전자통신연구원 인증 암호화를 통해 보안 전송을 가능하게 하는 gpon시스템 및 그 인증 암호화 방법
KR100832530B1 (ko) * 2005-12-07 2008-05-27 한국전자통신연구원 Epon의 보안서비스를 위한 키 관리 방법 및 보안 채널제어 장치
US8086872B2 (en) * 2005-12-08 2011-12-27 Electronics And Telecommunications Research Institute Method for setting security channel based on MPCP between OLT and ONUs in EPON, and MPCP message structure for controlling frame transmission
DE102006003167B3 (de) * 2006-01-23 2007-08-23 Siemens Ag Sichere Echtzeit-Kommunikation
US8607350B2 (en) * 2006-03-30 2013-12-10 International Business Machines Corporation Sovereign information sharing service
CN1968089A (zh) * 2006-09-29 2007-05-23 华为技术有限公司 一种无源光网络的用户认证方法
US7843897B2 (en) * 2006-10-30 2010-11-30 Schweitzer Engineering Laboratories, Inc. System, apparatus and method for mixed mode communication on a single network
US9014563B2 (en) * 2006-12-11 2015-04-21 Cisco Technology, Inc. System and method for providing an Ethernet interface
US8363541B2 (en) * 2006-12-22 2013-01-29 Pratt & Whitney Canada Corp. Serial digital communication protocol
US7840708B2 (en) 2007-08-13 2010-11-23 Cisco Technology, Inc. Method and system for the assignment of security group information using a proxy
US8335316B2 (en) * 2008-04-21 2012-12-18 Broadcom Corporation Method and apparatus for data privacy in passive optical networks
US8752131B2 (en) * 2008-04-30 2014-06-10 Fujitsu Limited Facilitating protection of a maintenance entity group
US20090313465A1 (en) * 2008-05-23 2009-12-17 Verma Pramode K Methods and apparatus for securing optical burst switching (obs) networks
US8848904B2 (en) * 2008-10-24 2014-09-30 University Of Maryland, College Park Method and implementation for information exchange using Markov models
US8249104B2 (en) 2008-10-30 2012-08-21 Futurewei Technologies, Inc. Optical network terminal management and control interface over Ethernet
US8677464B2 (en) 2011-06-22 2014-03-18 Schweitzer Engineering Laboratories Inc. Systems and methods for managing secure communication sessions with remote devices
US8929391B2 (en) 2011-06-22 2015-01-06 Schweitzer Engineering Laboratories, Inc. Systems and methods for communications devices having multiple interfaces
US9130945B2 (en) 2012-10-12 2015-09-08 Schweitzer Engineering Laboratories, Inc. Detection and response to unauthorized access to a communication device
US20160285834A1 (en) * 2014-11-10 2016-09-29 Qualcomm Incorporated Techniques for encrypting fields of a frame header for wi-fi privacy
KR102403462B1 (ko) * 2020-07-22 2022-05-27 경북대학교 산학협력단 랜덤 비트 변환 송신기, 수신기, 제어장치 및 제어방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000034000A (ko) * 1998-11-26 2000-06-15 정선종 비동기 전송 모드-폰 시스템의 광 선로 종단장치에서의 하향메시지 할당 방법
JP2002077212A (ja) * 2000-09-01 2002-03-15 Mitsubishi Electric Corp 光多分岐通信システム
KR20030088643A (ko) * 2002-05-14 2003-11-20 삼성전자주식회사 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법
KR20040013601A (ko) * 2002-08-07 2004-02-14 삼성전자주식회사 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6963982B1 (en) * 1999-10-28 2005-11-08 Lucent Technologies Inc. Method and apparatus for application-independent end-to-end security in shared-link access networks
US20020110245A1 (en) * 2001-02-13 2002-08-15 Dumitru Gruia Method and system for synchronizing security keys in a point-to-multipoint passive optical network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000034000A (ko) * 1998-11-26 2000-06-15 정선종 비동기 전송 모드-폰 시스템의 광 선로 종단장치에서의 하향메시지 할당 방법
JP2002077212A (ja) * 2000-09-01 2002-03-15 Mitsubishi Electric Corp 光多分岐通信システム
KR20030088643A (ko) * 2002-05-14 2003-11-20 삼성전자주식회사 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법
KR20040013601A (ko) * 2002-08-07 2004-02-14 삼성전자주식회사 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법
KR100594153B1 (ko) * 2002-08-07 2006-06-28 삼성전자주식회사 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023128229A1 (ko) * 2021-12-27 2023-07-06 삼성전자주식회사 전자 장치 및 그 제어 방법

Also Published As

Publication number Publication date
JP2004129272A (ja) 2004-04-22
KR20040029767A (ko) 2004-04-08
JP3774455B2 (ja) 2006-05-17
US7305551B2 (en) 2007-12-04
US20040073788A1 (en) 2004-04-15

Similar Documents

Publication Publication Date Title
KR100933167B1 (ko) 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법
US7853801B2 (en) System and method for providing authenticated encryption in GPON network
KR100594153B1 (ko) 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법
US8490159B2 (en) Method for increasing security in a passive optical network
US8442229B2 (en) Method and apparatus for providing security in a passive optical network
KR100675836B1 (ko) Epon 구간내에서의 링크 보안을 위한 인증 방법
KR100832530B1 (ko) Epon의 보안서비스를 위한 키 관리 방법 및 보안 채널제어 장치
US8948401B2 (en) Method for filtering of abnormal ONT with same serial number in a GPON system
US8397064B2 (en) Implementing IEEE 802.1AE and 802.1 af security in EPON (1GEPON and 10GEPON) networks
EP1830517B1 (en) A method, communication system, central and peripheral communication unit for secure packet oriented transfer of information
US8942378B2 (en) Method and device for encrypting multicast service in passive optical network system
US20090232313A1 (en) Method and Device for Controlling Security Channel in Epon
KR100594023B1 (ko) 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법
Roh et al. Security model and authentication protocol in EPON-based optical access network
KR100608906B1 (ko) Epon에서의 링크 보안을 위한 보안 모듈 발견 방법
KR20060063271A (ko) Epon구간내에서 링크 보안 기술 적용을 위한 키 분배기법
Roh et al. Design of authentication and key exchange protocol in Ethernet passive optical networks
KR100798921B1 (ko) Mac 보안 서비스망에서의 보안 채널 제어 방법 및 이를구현하는 단말 장치
Jin et al. Analysis of security vulnerabilities and countermeasures of ethernet passive optical network (EPON)

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee