KR20190074912A - End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same - Google Patents
End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same Download PDFInfo
- Publication number
- KR20190074912A KR20190074912A KR1020180009171A KR20180009171A KR20190074912A KR 20190074912 A KR20190074912 A KR 20190074912A KR 1020180009171 A KR1020180009171 A KR 1020180009171A KR 20180009171 A KR20180009171 A KR 20180009171A KR 20190074912 A KR20190074912 A KR 20190074912A
- Authority
- KR
- South Korea
- Prior art keywords
- host
- mac address
- communication controller
- authentication
- switch
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
본 발명은 소프트웨어 정의 네트워킹(Software Defined-Networking; SDN)을 활용한 MAC(Media Access Control) 프로토콜 기반의 종단간(end-to-end) 보안 통신 방법과 이를 위한 통신 컨트롤러 및 컴퓨터 프로그램에 대한 것으로, 네트워크 상에서 종단 단말간의 보안 통신을 MAC 레이어 수준에서 가능하게 하는 기술에 대한 것이다.The present invention relates to an end-to-end secure communication method based on a Media Access Control (MAC) protocol using Software Defined-Networking (SDN), a communication controller and a computer program therefor, And to enable secure communication between end terminals on the network at the MAC layer level.
MAC(Media Access Control) 보안 통신 기술, 소위 MACsec은 레이어(layer) 2에서 동작하는 암호화 기능으로, IEEE 802.1AE에서 정의하고 있는 통신 프로토콜로 이루어진 국제 표준이다. 기존의 네트워크 보안 기술들은 IP 보안 통신 기술(또는, IPsec)과 같이 레이어 3에서 이루어지는 경우가 많았다. 그러나 최근 트래픽이 급격히 증가하고 복잡해지는 상황에 특정 응용이나 프로토콜에 대한 보안 대신 트래픽 전체를 보호하는 기능에 대한 관심이 증가하였으며. 이러한 기술로 등장한 것이 레이어 2에서 트래픽 전체를 보호하는 MAC 보안 통신 기술이다.
MAC (Media Access Control) security communication technology, so-called MACsec, is an encryption function operating in
종래의 MAC 보안 기술에서는 동일한 유선 네트워크에 물려 있는 노드(node)들끼리 보안키를 만들어 통신을 수행하였으며, 이에 따라 동일한 네트워크 상에 존재하는 노드들 사이에서만 보안 통신이 구현될 수 있었다. In the conventional MAC security technology, nodes connected to the same wired network have created security keys to communicate with each other, thereby enabling secure communication only between nodes existing on the same network.
도 1은 종래의 MAC(Media Access Control) 보안 통신 방법에서 종단 단말 간에 데이터 패킷이 전송되는 과정을 설명하기 위한 개념도이다. FIG. 1 is a conceptual diagram illustrating a process of transmitting a data packet between end terminals in a conventional MAC (Media Access Control) secure communication method.
도 1을 참조하면, 하나의 호스트(101)는 하나 또는 복수의 스위치(103, 104, 105)를 경유하여 다른 호스트(102)에 통신 연결된다. 스위치(103, 104, 105)는 호스트(101, 102) 또는 네트워크 분석기(100) 등의 장비를 네트워크에 연결하기 위한 오픈 가상 스위치(open virtual switch)이다. 이때, 서로 상이한 네트워크에 속한 호스트(101, 102)가 MAC 보안 통신을 하기 위해서는, 전송되는 메시지가 각 스위치(103, 104, 105)를 통과할 때마다 메시지의 암호화 및 복호화가 수행되어야 한다.Referring to FIG. 1, one
즉, 종래의 MAC 보안 통신에서는 호스트(101)와 스위치(103)의 보안 통신을 위한 보안키, 스위치(103)와 스위치(104)의 보안 통신을 위한 보안키, 스위치(104)와 스위치(105)의 보안 통신을 위한 보안키, 및 스위치(105)와 호스트(102)의 보안 통신을 위한 보안키 등이 각각 별도로 생성된다. 호스트(101)에서 호스트(101)가 스위치(103)와 공유하는 보안키를 이용하여 데이터 패킷을 암호화하여 전송하면, 스위치(103)를 제외한 다른 스위치(104, 105)에서는 패킷의 목적지를 확인하는 것이 불가능하다. 따라서, 먼저 스위치(103)는 데이터를 복호화한 후 스위치(103)와 스위치(104)가 공유하는 보안키를 이용하여 데이터 패킷을 재암호화한 후에야 데이터 패킷을 스위치(104)에 전송한다. 이는 MAC 보안 표준의 목적 자체가 동일한 로컬 영역 네트워크(Local Area Network; LAN) 상에서의 보안을 제공하는 것이기 때문이다. 이후 동일한 복호화 및 재암호화 과정이 스위치(104)와 스위치(105) 사이에서도 동일하게 수행되며, 최종적으로 스위치(105)에서 스위치(105)가 호스트(102)와 공유하는 보안키를 이용하여 데이터 패킷을 암호화하여 호스트(102)에 전송한다. That is, in the conventional MAC secure communication, a security key for secure communication between the
따라서, 종래의 MAC 보안 통신 방법에서는 도 1에 도시된 것과 같은 간단한 토폴로지(topology)에서도 데이터 패킷의 암호화 및 복호화가 각각 4회씩 이루어져야 하며, MAC 보안 통신 방법이 더 큰 영역의 네트워크에 적용될 경우 이는 과도한 리소스 낭비로 이어지게 되는 문제점이 있었다. Accordingly, in the conventional MAC security communication method, the data packet must be encrypted and decrypted four times, respectively, even in a simple topology as shown in FIG. 1. When the MAC secure communication method is applied to a larger area network, Which leads to a waste of resources.
이에, 본 발명의 기술적 과제는 이러한 점에서 착안된 것으로 본 발명의 목적은, 소프트웨어 정의 네트워킹(Software Defined-Networking; SDN)을 활용하여 호스트들 사이에 공유할 보안키의 생성 과정을 통신 컨트롤러가 수행함으로써, 서로 상이한 네트워크에 속한 호스트들 사이의 통신에 MAC(Media Access Control) 보안 통신 기술을 적용할 수 있게 하는 종단간(end-to-end) 보안 통신 방법을 제공하는 것이다.SUMMARY OF THE INVENTION Accordingly, the present invention has been made in view of the above problems, and it is an object of the present invention to provide a method and apparatus for a communication controller to perform a process of generating a security key to be shared among hosts using Software Defined-Networking (SDN) To-end secure communication method that allows MAC (Media Access Control) secure communication technology to be applied to communication between hosts belonging to different networks.
본 발명의 다른 목적은 상기 종단간 보안 통신 방법을 수행하도록 구성된 통신 컨트롤러를 제공하는 것이다.It is another object of the present invention to provide a communication controller configured to perform the end-to-end secure communication method.
본 발명의 또 다른 목적은 상기 종단간 보안 통신 방법을 실행하도록 컴퓨터로 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램을 제공하는 것이다.It is still another object of the present invention to provide a computer program stored in a computer-readable recording medium for executing the end-to-end secure communication method.
상기한 본 발명의 목적을 실현하기 위한 일 실시예에 따른 종단간(end-to-end) 보안 통신 방법은, 통신 컨트롤러가 제1 호스트 및 제2 호스트의 인증을 수행하는 단계; 상기 통신 컨트롤러가 상기 제2 호스트로부터 상기 제1 호스트의 MAC(Media Access Control) 주소를 포함하는 보안키 생성 요청 패킷을 수신하는 단계; 상기 통신 컨트롤러가 상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하는 단계; 상기 통신 컨트롤러가 상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하는 단계; 상기 통신 컨트롤러가 생성된 상기 보안키를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계; 및 상기 통신 컨트롤러가, 상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰(forwarding rule)을 설정하는 단계를 갖는다.According to an aspect of the present invention, there is provided an end-to-end secure communication method including: a step in which a communication controller performs authentication of a first host and a second host; The communication controller receiving a secure key generation request packet including a Media Access Control (MAC) address of the first host from the second host; The communication controller transmitting the security key generation request packet to the first host; Generating a security key for end-to-end secure communication between the first host and the second host when the communication controller receives a secure key generation request packet from the first host; Transmitting the security key generated by the communication controller to the first host and the second host, respectively; And the communication controller transmits, to the first switch and the second switch respectively connected to the first host and the second host, a packet having a MAC address of the first host or a MAC address of the second host as a destination And setting a forwarding rule for the forwarding rule.
본 발명의 실시예에서, 상기 제1 호스트 및 제2 호스트의 인증을 수행하는 단계는, 상기 통신 컨트롤러가 상기 제1 호스트의 인증을 수행하는 단계; 상기 통신 컨트롤러가 상기 제1 호스트의 인증 후 상기 제2 호스트의 인증 요청을 수신하는 단계; 및 상기 통신 컨트롤러가, 상기 제2 호스트의 인증에 성공할 경우, 성공 패킷 및 상기 제1 호스트의 MAC 주소를 상기 제2 호스트에 전송하는 단계를 포함할 수 있다.In an embodiment of the present invention, the step of performing authentication of the first host and the second host includes the steps of the communication controller performing authentication of the first host; The communication controller receiving an authentication request of the second host after authentication of the first host; And transmitting the success packet and the MAC address of the first host to the second host when the communication controller succeeds in authentication of the second host.
본 발명의 실시예에서, 상기 종단간 보안 통신 방법은, 상기 통신 컨트롤러가 하나 이상의 제3 호스트의 인증을 수행하는 단계; 및 상기 통신 컨트롤러가 상기 제3 호스트의 인증 성공 시 상기 제3 호스트의 MAC 주소를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계를 더 포함할 수 있다.In an embodiment of the present invention, the end-to-end secure communication method comprises: the communication controller performing authentication of one or more third hosts; And transmitting the MAC address of the third host to the first host and the second host when the communication controller succeeds in authentication of the third host.
본 발명의 실시예에서, 상기 포워딩 룰을 설정하는 단계는, 상기 통신 컨트롤러가, 상기 제1 호스트의 MAC 주소를 출발지로 하고 상기 제2 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제2 스위치로 직접 전송하도록 상기 제1 스위치의 포워딩 룰을 설정하는 단계를 포함할 수 있다.In the embodiment of the present invention, the step of setting the forwarding rule may be such that the communication controller transmits a packet having the MAC address of the first host as a departure point and the MAC address of the second host as a destination to the second switch And setting the forwarding rule of the first switch to directly transmit the forwarding rule.
본 발명의 실시예에서, 상기 포워딩 룰을 설정하는 단계는, 상기 통신 컨트롤러가, 상기 제2 호스트의 MAC 주소를 출발지로 하고 상기 제1 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제1 스위치로 직접 전송하도록 상기 제2 스위치의 포워딩 룰을 설정하는 단계를 포함할 수 있다. In the embodiment of the present invention, the step of setting the forwarding rule may be such that the communication controller sends a packet having the MAC address of the second host as a source and the MAC address of the first host as a destination, to the first switch And setting a forwarding rule of the second switch to directly transmit the forwarding rule.
상기한 본 발명의 목적을 실현하기 위한 다른 실시예에 따른 통신 컨트롤러는, 인증 서버와 통신하여 하나 이상의 호스트의 인증을 수행하도록 구성된 인증부; 상기 인증부에 의하여 인증된 호스트의 MAC 주소를 저장하는 정책 데이터베이스; 제1 호스트의 MAC 주소를 포함하는 보안키 생성 요청 패킷을 제2 호스트로부터 수신하고, 상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하며, 상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하여 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하도록 구성된 키 생성부; 및 상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰을 설정하도록 구성된 포워딩 룰 설정부를 갖는다.According to another aspect of the present invention for realizing the object of the present invention, there is provided a communication controller including an authentication unit configured to communicate with an authentication server to perform authentication of one or more hosts; A policy database storing a MAC address of a host authenticated by the authentication unit; Receiving a security key generation request packet including a MAC address of a first host from a second host, transmitting the security key generation request packet to the first host, receiving a security key generation request packet from the first host, A key generation unit configured to generate a security key for end-to-end secure communication between the first host and the second host and transmit the generated security key to the first host and the second host, respectively; And a forwarding rule for forwarding a MAC address of the first host or a MAC address of the second host to a first switch and a second switch respectively connected to the first host and the second host And a forwarding rule setting unit configured to set a forwarding rule.
본 발명의 실시예에서, 상기 정책 데이터베이스는 상기 제1 호스트의 MAC 주소를 포함하며, 상기 인증부는, 상기 제2 호스트의 인증 요청을 수신하고, 상기 제2 호스트의 인증에 성공할 경우 성공 패킷 및 상기 제1 호스트의 MAC 주소를 상기 제2 호스트에 전송할 수 있다. In the embodiment of the present invention, the policy database includes the MAC address of the first host, and the authentication unit receives the authentication request of the second host, and when the authentication of the second host is successful, And may transmit the MAC address of the first host to the second host.
본 발명의 실시예에서, 상기 인증부는, 하나 이상의 제3 호스트의 인증을 수행하며, 상기 제3 호스트의 인증 성공 시 상기 제3 호스트의 MAC 주소를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송할 수 있다. In an embodiment of the present invention, the authentication unit performs authentication of one or more third hosts, and when authentication of the third host is successful, transmits the MAC address of the third host to the first host and the second host, respectively .
본 발명의 실시예에서, 상기 포워딩 룰 설정부는, 상기 제1 호스트의 MAC 주소를 출발지로 하고 상기 제2 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제2 스위치로 직접 전송하도록 상기 제1 스위치의 포워딩 룰을 설정할 수 있다. In the embodiment of the present invention, the forwarding rule setting unit may set the forwarding rule of the first switch such that the forwarding rule setting unit directly transmits, to the second switch, a packet having the MAC address of the first host as a source and the MAC address of the second host as its destination You can set forwarding rules.
본 발명의 실시예에서, 상기 포워딩 룰 설정부는, 상기 제2 호스트의 MAC 주소를 출발지로 하고 상기 제1 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제1 스위치로 직접 전송하도록 상기 제2 스위치의 포워딩 룰을 설정할 수 있다.In the embodiment of the present invention, the forwarding rule setting unit sets the forwarding rule of the second switch such that the MAC address of the second host is used as a source and the packet having the MAC address of the first host as its destination is directly transmitted to the first switch You can set forwarding rules.
상기한 본 발명의 목적을 실현하기 위한 또 다른 실시예에 따른 컴퓨터 프로그램은, 통신 컨트롤러와 결합되어, 제1 호스트 및 제2 호스트의 인증을 수행하는 단계; 상기 제2 호스트로부터 상기 제1 호스트의 MAC 주소를 포함하는 보안키 생성 요청 패킷을 수신하는 단계; 상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하는 단계; 상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하는 단계; 생성된 상기 보안키를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계; 및 상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰을 설정하는 단계를 실행하며, 컴퓨터로 판독 가능한 기록 매체에 저장된다.According to another aspect of the present invention, there is provided a computer program for performing authentication of a first host and a second host in combination with a communication controller. Receiving a secure key generation request packet including the MAC address of the first host from the second host; Transmitting the secure key generation request packet to the first host; Generating a security key for end-to-end secure communication between the first host and the second host when receiving a secure key generation request packet from the first host; Transmitting the generated security key to the first host and the second host, respectively; And a forwarding rule for forwarding a MAC address of the first host or a MAC address of the second host to a first switch and a second switch respectively connected to the first host and the second host , And is stored in a computer-readable recording medium.
본 발명의 일 측면에 따른 종단간(end-to-end) 보안 통신 방법은, 종래의 MAC(Media Access Control) 보안 통신 방법과 달리 보안 통신의 영역을 크게 확대시킬 수 있으므로, 예컨대, 차량용 이더넷(Ethernet) 또는 사물 인터넷(Internet of Things; IoT) 환경 등 다양한 분야에 적용될 수 있다. 차량용 이더넷 장비나 IoT 장치의 경우 성능 상의 제약으로 인하여 기존의 IP 보안 통신 기술과 같은 레이어(layer) 3 보안 기법이 적용되기 힘들고 레이어 2 보안 기법이 적용되어야 하는데, 종래의 레이어 2 보안 대책인 MAC 보안 통신 기술은 서로 상이한 네트워크 상의 호스트에는 적용되기 힘들기 때문에 커버리지(coverage)가 작은 한계를 갖는다. 이때 본 발명의 일 측면에 따른 종단간 보안 통신 방법을 이용하면, 서로 상이한 네트워크로 확장된 MAC 보안 통신 기법을 적용함으로써 차량용 이더넷이나 소규모의 IoT 네트워크 등에서 보안 기술의 활용 가능성을 증가시킬 수 있는 이점이 있다.The end-to-end secure communication method according to an aspect of the present invention can greatly expand the area of secure communication unlike the conventional MAC (Media Access Control) secure communication method. Therefore, for example, Ethernet) or internet of things (IoT) environment. In the case of automotive Ethernet equipment or IoT devices, it is difficult to apply layer 3 security techniques such as existing IP security communication technology due to performance limitations, and
도 1은 종래의 MAC(Media Access Control) 보안 통신 방법에서 종단 단말 간에 데이터 패킷이 전송되는 과정을 설명하기 위한 개념도이다.
도 2는 본 발명의 일 실시예에 따른 종단간(end-to-end) 보안 통신 방법을 실행하기 위한 통신 컨트롤러가 포함된 네트워크 토폴로지(topology)의 개념도이다.
도 3은 본 발명의 일 실시예에 따른 통신 컨트롤러의 블록이다.
도 4는 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 피어 리스트(peer list)를 공유하는 과정의 각 단계를 나타내는 순서도이다.
도 5는 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 통신 컨트롤러에 의한 보안키 생성 과정의 각 단계를 나타내는 순서도이다.
도 6은 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 인증 서버를 통한 인증 과정의 각 단계를 나타내는 순서도이다. FIG. 1 is a conceptual diagram illustrating a process of transmitting a data packet between end terminals in a conventional MAC (Media Access Control) secure communication method.
2 is a conceptual diagram of a network topology including a communication controller for implementing an end-to-end secure communication method in accordance with an embodiment of the present invention.
3 is a block diagram of a communication controller according to an embodiment of the present invention.
4 is a flowchart illustrating each step of sharing a peer list in the end-to-end secure communication method according to an embodiment of the present invention.
FIG. 5 is a flowchart illustrating each step of a security key generation process by a communication controller in an end-to-end secure communication method according to an embodiment of the present invention.
FIG. 6 is a flowchart illustrating each step of the authentication process by the authentication server in the end-to-end secure communication method according to an embodiment of the present invention.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.The following detailed description of the invention refers to the accompanying drawings, which illustrate, by way of illustration, specific embodiments in which the invention may be practiced. These embodiments are described in sufficient detail to enable those skilled in the art to practice the invention. It should be understood that the various embodiments of the present invention are different, but need not be mutually exclusive. For example, certain features, structures, and characteristics described herein may be implemented in other embodiments without departing from the spirit and scope of the invention in connection with an embodiment. It is also to be understood that the position or arrangement of the individual components within each disclosed embodiment may be varied without departing from the spirit and scope of the invention. The following detailed description is, therefore, not to be taken in a limiting sense, and the scope of the present invention is to be limited only by the appended claims, along with the full scope of equivalents to which such claims are entitled, if properly explained. In the drawings, like reference numerals refer to the same or similar functions throughout the several views.
이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다. Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the drawings.
도 2는 본 발명의 일 실시예에 따른 종단간(end-to-end) 보안 통신 방법을 실행하기 위한 통신 컨트롤러가 포함된 네트워크 토폴로지(topology)의 개념도이다. 2 is a conceptual diagram of a network topology including a communication controller for implementing an end-to-end secure communication method in accordance with an embodiment of the present invention.
도 2를 참조하면, 일 실시예에 따른 통신 컨트롤러(20)는 인증 서버(30) 및 하나 이상의 호스트(50, 60)와 통신하며 동작하도록 구성된다. 호스트(50, 60)는 네트워크를 통하여 데이터 패킷을 송수신하고자 하는 서버, 워크스테이션 또는 사용자 단말 등일 수 있으며 특정 형태로 한정되지 않는다. 각각의 호스트(50, 60)는 상응하는 스위치(55, 65)를 통하여 통신 컨트롤러(20) 및 인증 서버(30)에 통신 가능하게 연결된다. 스위치(55, 65)는 호스트(50, 60) 등 장비를 네트워크에 연결하기 위한 오픈 가상 스위치(open virtual switch)일 수 있다. 또한, 통신 컨트롤러(20)는 광대역 라우터(router) 등 하나 이상의 라우터(40)를 통하여 호스트(50, 60)에 통신 연결될 수도 있다. 2, a
인증 서버(30)는 네트워크를 통한 보안 통신을 실현하기 위하여 각각의 호스트(50, 60)의 사용자 이름, 암호, 권한 등을 대상으로 하는 인증(Authentication), 권한부여(Authorization) 및 계정관리(Accounting) 기능을 가지는 AAA 프레임워크일 수 있다. 예를 들어, 인증 서버(30)는 RADIUS(Remote Access Dial-In User Service) 프로토콜 기반의 AA 프레임워크를 포함할 수 있으나, 이에 한정되는 것은 아니다. The
통신 컨트롤러(20)는, 인증 서버(30)와의 통신을 통하여 하나 이상의 호스트(50, 60)의 인증을 수행하도록 구성된다. 통신 컨트롤러(20)에 의하여 수행되는, 인증 서버(30) 와의 통신을 통한 인증 과정은 종래의 MAC 보안 통신 표준은 IEEE 802.1X 표준의 절차를 동일하게 채용할 수 있다. The
또한 통신 컨트롤러(20)는, 인증된 제1 호스트(50) 및 제2 호스트(60)가 통신을 수행함에 있어서 소프트웨어 정의 네트워킹(Software Defined-Networking; SDN)을 활용하여, 각각의 호스트(50, 60)가 서로 상이한 네트워크에 속해있다는 사실은 숨기고 각 호스트(50, 60)가 공유할 보안키를 생성하여 각 호스트(50, 60)에 전송하는 기능을 한다. 통신 컨트롤러(20)에 의하여 SDN를 활용함으로써 제1 호스트(50)와 제2 호스트(60) 사이의 종단간 통신에 MAC 보안을 적용할 수 있다. The
도 3은 도 2에 도시된 통신 컨트롤러(20)의 블록도이다. 3 is a block diagram of the
도 3을 참조하면, 일 실시예에서 통신 컨트롤러(20)는 인증부(201), 정책 데이터베이스(202), 키 생성부(203) 및 포워딩 룰 설정부(204)를 포함한다. 실시예들에 따른 통신 컨트롤러(20) 및 이에 포함된 각 부(unit)(201-204)는, 전적으로 하드웨어이거나, 또는 부분적으로 하드웨어이고 부분적으로 소프트웨어인 측면을 가질 수 있다. 또한, 통신 컨트롤러(20)를 구성하는 각 부(201-204)는 반드시 서로 물리적으로 구분되는 별개의 장치를 지칭하는 것으로 의도되지 않는다. 즉, 도 3에 도시된 인증부(201), 정책 데이터베이스(202), 키 생성부(203) 및 포워딩 룰 설정부(204)는 통신 컨트롤러(20)를 구성하는 하드웨어 및 소프트웨어를 이에 의해 수행되는 동작에 따라 기능적으로 구분한 것일 뿐, 반드시 각각의 부가 서로 독립적으로 구비되어야 하는 것이 아니다. 3, the
인증부(201)는, 인증 서버(30)와 통신하면서 제1 호스트(50) 및 제2 호스트(60)의 인증을 수행하도록 구성된다. 또한 인증부(201)는, 도면에 도시되지 않은 하나 이상의 다른 호스트(또는, 제3 호스트로 지칭함)의 인증 과정을 수행할 수도 있다. 구체적인 인증 과정에 대해서는 도 6을 참조하여 상세히 후술한다.The
정책 데이터베이스(202)는, 인증부(201)에 의하여 인증된 하나 또는 복수의 호스트의 MAC 주소를 저장한다. 정책 데이터베이스(202)에 저장된, 인증된 호스트들의 MAC 주소는, 다른 추가적인 호스트가 인증부(201)에 의하여 인증되는 경우 피어 리스트(peer list)의 형태로 기존 인증된 호스트들에 전송될 수 있다. The
키 생성부(203)는, 정책 데이터베이스(202)에 MAC 주소가 저장되어 있는 특정 호스트(예컨대, 제1 호스트(50))와 보안키를 맺고자 하는 보안키 생성 요청 패킷을 다른 호스트(예컨대, 제2 호스트(60))로부터 수신할 경우, 제1 호스트(50) 및 제2 호스트(60)가 공유하기 위한 보안키를 생성할 수 있다. 또한 키 생성부(203)는, 생성된 보안키를 제1 호스트(50) 및 제2 호스트(60)에 각각 전송할 수 있다. The
포워딩 룰(forwarding rule) 설정부(204)는, 보안키를 공유하는 제1 호스트(50) 및 제2 호스트(60)가 보안키로 암호화된 데이터 패킷으로 상호 간에 통신할 수 있도록, 제1 호스트(50)에 연결된 제1 스위치(55) 및 제2 호스트(60)에 연결된 제2 스위치(65)의 포워딩 룰을 설정하는 기능을 한다. 포워딩 룰 설정부(204)는, 제1 호스트(50) 및 제2 호스트(60)가 상호 간에 전송하는 데이터 패킷이 다른 스위치 등 노드를 경유할 필요 없이 직접 목적지에 전송될 수 있도록 포워딩 룰을 생성하고 이를 제1 스위치(55) 및 제2 호스트(60)에 전송하여 제1 스위치(55) 및 제2 호스트(60)의 포워딩 룰을 생성하거나 오버라이트(overwrite)할 수 있다. The forwarding
이하에서는, 설명의 편의를 위하여, 도 2의 네트워크 토폴로지 및 도 3의 통신 컨트롤러의 블록도를 참조하여 실시예들에 따른 종단간 보안 통신 방법에 대하여 설명한다. Hereinafter, for convenience of description, an end-to-end secure communication method according to embodiments will be described with reference to the network topology of FIG. 2 and the block diagram of the communication controller of FIG.
도 4는 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 피어 리스트를 공유하는 과정의 각 단계를 나타내는 순서도이다.4 is a flowchart illustrating each step of sharing a peer list in an end-to-end secure communication method according to an embodiment of the present invention.
도 4를 참조하면, 통신 컨트롤러(20)는 먼저 제1 호스트(50)에 대한 인증을 수행하고(S11), 인증된 제1 호스트(50)의 MAC 주소를 통신 컨트롤러(20)의 정책 데이터베이스(202)에 저장할 수 있다(S12). 통신 컨트롤러(20)에 의한 인증 과정은 인증 서버(30) 와의 통신을 수반하여 수행될 수 있으며, 구체적인 인증 절차에 대해서는 도 6을 참조하여 상세히 후술한다. 4, the
이상과 같이 제1 호스트(50)가 인증된 상태에서, 아직 인증되지 않은 제2 호스트(60)로부터 인증 요청이 수신되는 경우(S13), 통신 컨트롤러(20)는 제1 호스트(50)의 인증과 동일한 방식으로 제2 호스트(60)의 인증을 수행한다(S14). 제2 호스트(60)의 인증이 성공할 경우, 통신 컨트롤러(20)는 제2 호스트(60)에 인증에 대한 성공 패킷을 전송하면서 동시에 정책 데이터베이스(202)에 저장된 제1 호스트(50)의 MAC 주소를 전송한다(S15). 전송된 MAC 주소는 제2 호스트(60)가 제1 호스트(50)와 보안키를 맺고자 하는 경우 보안키 생성 요청 패킷에 사용되며, 이는 도 5를 참조하여 상세히 후술한다. When the
일 실시예에서, 통신 컨트롤러(20)는 추가적인 호스트가 인증에 성공할 때마다 새로 인증된 호스트의 MAC 주소를 포함하는 잠재적인 피어 리스트(peer list)를 기존 인증된 호스트에 전송한다. 예를 들어, 통신 컨트롤러(20)는, 제2 호스트(60)의 MAC 주소를 먼저 인증된 제1 호스트(50)에 전송할 수 있다. 또한 통신 컨트롤러(20)는, 추가적으로 하나 이상의 제3 호스트(미도시)의 인증에 성공할 경우(S16), 제3 호스트의 MAC 주소를 정책 데이터베이스(202)에 저장하며(S17), 제3 호스트의 MAC 주소를 제1 호스트(50) 및 제2 호스트(60)에 전송할 수 있다(S18). In one embodiment, the
도 5는 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 통신 컨트롤러에 의한 보안키 생성 과정의 각 단계를 나타내는 순서도이다.FIG. 5 is a flowchart illustrating each step of a security key generation process by a communication controller in an end-to-end secure communication method according to an embodiment of the present invention.
도 5를 참조하면, 도 4를 참조하여 전술한 과정에 의하여 제1 호스트(50)의 MAC 주소를 수신한 제2 호스트(60)가, 제1 호스트(50)와 MAC 보안 통신을 위한 보안키를 맺고자 하는 경우, 제2 호스트(60)는 통신 컨트롤러(20)에 보안키 생성 요청 패킷을 전송할 수 있다(S21). 예컨대, 보안키 생성 요청 패킷은 IEEE 802.1X 표준에서 정의하는 EAPOL(Encapsulation over LAN)-MKA(MACsec Key Agreement) 패킷일 수 있다. 이때, 제2 호스트(60)는 인증에 대한 성공 패킷과 함께 수신된 제1 호스트(50)의 MAC 주소를 가지고 있으므로, 보안키를 맺고자 하는 제1 호스트(50)의 MAC 주소 및 제2 호스트(60)의 정보를 포함하여 EAPOL-MKA 패킷을 생성하고 이를 통신 컨트롤러(20)에 전송할 수 있다. 5, when the
제2 호스트(60)로부터의 보안키 생성 요청 패킷의 전송은 제2 호스트(60)에 상응하는 제2 스위치(65)를 통하여 수행될 수도 있으며, 이는 제1 호스트(50) 및/또는 제2 호스트(60)로부터 송수신되는 다른 패킷의 송수신에 있어서도 마찬가지이다. The transmission of the secure key generation request packet from the
제2 호스트(60)로부터 보안키 생성을 요청하는 EAPOL-MKA 패킷을 수신한 통신 컨트롤러(20)는 이를 제1 호스트(50)에 전송한다(S22). 보안키 생성 요청 패킷을 수신한 제1 호스트(50)에서는, 제2 호스트(60)와 보안키를 맺는 것에 동의할 경우, 마찬가지로 보안키 생성을 요청하는 EAPOL-MKA 패킷을 통신 컨트롤러(20)에 전송한다(S23). 제2 스위치(65)와 관련하여 전술한 것과 마찬가지로, 제1 호스트(50)로부터의 데이터 패킷의 송수신은 제1 호스트(50)에 상응하는 제1 스위치(55)를 통하여 이루어질 수도 있다. The
통신 컨트롤러(20)는, 제2 호스트(60)의 EAPOL-MKA 패킷을 제1 호스트(50)에 전송한 후 제1 호스트(50)로부터도 EAPOL-MKA 패킷이 수신될 경우(S23), 제1 호스트(50)와 제2 호스트(60)가 공유하기 위한 보안키를 생성할 수 있다(S24). 통신 컨트롤러(20)는 제1 호스트(50) 및 제2 호스트(60) 각각의 정보와 MAC 주소를 저장하고 있으므로, 제1 호스트(50) 및 제2 호스트(60) 사이에서 MAC 보안 통신의 보안키로 동작할 보안 연관키(Secure Association Key; SAK)를 보안키로서 생성할 수 있다. When the EAPOL-MKA packet is received from the first host 50 (S23) after the EAPOL-MKA packet of the
일 실시예에서 통신 컨트롤러(20)는, 보안키에 해당하는 SAK와 함께 연결 연관키(Connectivity Association Key; CAK)를 더 생성한다. CAK는 보안키가 IEEE 802.1X 프레임워크에 의하여 인증되어 네트워크에 사용되기 위한 것임을 인증하기 위한 마스터 보안 키로서, 통신 컨트롤러(20)에 의하여 보관된다. In one embodiment, the
다음으로, 생성된 보안키 SAK는 통신 컨트롤러(20)에 의하여 제1 호스트(50) 및 제2 호스트(60)에 각각 전송된다(S25, S26). 제1 호스트(50) 및 제2 호스트(60)는, 통신 컨트롤러(20)에 의하여 수신된 보안키를 이용하여 데이터 패킷을 암호화하고 상대방을 목적지로 지정한 데이터 패킷을 전송함으로써 상호 간에 MAC 통신 보안 기술 기반의 통신을 수행할 수 있다. Next, the generated security key SAK is transmitted to the
이때, 암호화된 데이터 패킷이 제1 호스트(50) 및 제2 호스트(60) 사이에서 정상적으로 전송될 수 있도록 하기 위하여, 통신 컨트롤러(20)는 제1 호스트(50) 및 제2 호스트(60)가 각각 연결되어 있는 제1 스위치(55) 및 제2 스위치(65)에 포워딩 룰을 설정한다(S27, S28). 포워딩 룰은 제1 호스트(50) 및 제2 호스트(60)가 공유하는 보안키를 기반으로 암호화되어 전송되는 데이터 패킷이 제1 호스트(50) 및 제2 호스트(60) 사이에서 직접 전송됨으로써 다른 노드들과의 통신을 위한 추가적인 암호화 또는 복호화 과정을 배제하기 위한 것이다. At this time, in order for the encrypted data packet to be normally transmitted between the
구체적으로, 통신 컨트롤러(20)는 제1 호스트(50)의 MAC 주소를 출발지(source)로 하고 제2 호스트(60)의 MAC 주소를 도착지(destination)로 하는 패킷은 바로 제2 스위치(65)에 포워딩하도록 제1 스위치(55)의 포워딩 룰을 설정할 수 있다. 마찬가지로, 통신 컨트롤러(20)는 제2 호스트(60)의 MAC 주소를 출발지로 하고 제1 호스트(50)의 MAC 주소를 도착지로 하는 패킷은 바로 제1 스위치(55)에 포워딩하도록 제2 스위치(65)의 포워딩 룰을 설정할 수 있다. Specifically, the
따라서, 제1 호스트(50) 및 제2 호스트(60) 사이에서 MAC 주소를 기반으로 패킷을 전송함에 있어서 종래의 MAC 보안 통신과 달리 추가적인 노드들에 의한 데이터 패킷의 암호화 및 복호화 과정이 필요치 않은 이점이 있다. Accordingly, unlike the conventional MAC secure communication, there is no need to encrypt and decrypt data packets by additional nodes in transmitting packets based on the MAC address between the
도 6은 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 인증 서버를 통한 인증 과정의 각 단계를 나타내는 순서도이다. FIG. 6 is a flowchart illustrating each step of the authentication process by the authentication server in the end-to-end secure communication method according to an embodiment of the present invention.
도 6을 참조하면, 통신 컨트롤러(20)는 통신 컨트롤러(20)와 통신 가능한 제1 호스트(50)를 식별할 수 있다(S31). 식별 과정은 통신 컨트롤러(20)의 식별 요청에 대한 제1 호스트(50)의 응답을 통하여 이루어질 수 있으며, 식별 요청과 응답은 EAPOL-EAP(Extensible Authentication Protocol) 기반의 데이터 패킷을 포함할 수 있다. Referring to FIG. 6, the
식별 후 통신 프로토콜(20)을 통하여 인증 서버(30)와 제1 호스트(50) 사이의 통신 파라미터 설정 등을 위한 핸드셰이크(handshake)과정이 이루어지며, 제1 호스트(50)는 인증 서버(30)에 인증 요청을 전송할 수 있다(S32). 인증 요청은 EAP 프로토콜 기반의 패킷을 포함할 수 있다. A handshake process for establishing communication parameters between the
인증 요청을 수신한 인증 서버(30)는, 제1 호스트(50)에 인증 서버(30)의 서버 정보 및 서버 키를 EAPOL-EAP 데이터 패킷 형태로 전송할 수 있다(S33). 또한, 서버 정보 및 서버 키를 수신한 제1 호스트(50)는, 서버 정보 및 키의 유효성 여부에 대한 검증 후 유효한 것으로 결정될 경우 인증 서버(30)에 제1 호스트(50)의 정보 및 클라이언트 키를 EAPOL-EAP 데이터 패킷의 형태로 전송할 수 있다(34). 이때 전송되는 EAPOL-EAP 데이터 패킷은 암호화 스펙(Cipher spec)에 대한 변경 정보를 포함할 수 있다. The
다음으로, 제1 호스트(50)와 인증 서버(30)는 암호화 스펙의 변경 정보 등을 기반으로 전송계층보안(Transport Layer Security; TLS)을 달성하고 제1 호스트(50)와 인증 서버(30) 사이의 암호화 채널을 생성할 수 있다(S35). Next, the
암호화 채널의 생성 후 제1 호스트(50)는 암호화 채널을 통하여 수신한 마스터 세션 키(Master Session Key; MSK)를 저장할 수 있다(S36). 또한, 제1 호스트(50)는 인증 응답을 인증 서버(30)에 전송할 수 있다(S37). 인증 응답은 EAPOL-EAP 프로토콜에서 정의하는 EAP-PEAP(Protected Extensible Authentication Protocol) 기반의 데이터 패킷을 포함할 수 있다. After the encryption channel is created, the
인증 서버(30)는 인증 응답을 수신할 경우 인증에 대한 성공 패킷을 통신 컨트롤러(20)에 전송할 수 있다(S38). 통신 컨트롤러(20)는 인증 서버(30)로부터 수신된 MSK를 통신 컨트롤러(20)의 정책 데이터베이스(202)에 저장하며, 인증 성공을 나타내는 성공 패킷을 제1 호스트(50)에 전송한다(S40). 이때, 전술한 것과 같이, 통신 컨트롤러(20)는 SDK를 활용한 MAC 보안 통신을 위하여 네트워크 상의 통신 가능한 다른 호스트들의 MAC 주소를 포함하는 피어리스트를 성공 패킷과 함께 제1 호스트(50)에 전송할 수 있다. When the
도 6에서는 설명의 편의를 위하여 제1 호스트(50)를 대상으로 한 인증 절차에 대하여 설명하였으나, 동일한 인증 절차가 제2 호스트(60) 또는 하나 이상의 다른 추가적인 호스트의 인증 과정에 동일하게 적용될 수 있다는 점이 통상의 기술자에게 용이하게 이해될 것이다. Although the authentication procedure for the
이와 같은, 종단간 보안 통신 방법은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. Such an end-to-end secure communication method may be implemented in an application or may be implemented in the form of program instructions that may be executed through various computer components and recorded in a computer-readable recording medium. The computer-readable recording medium may include program commands, data files, data structures, and the like, alone or in combination.
상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. The program instructions recorded on the computer-readable recording medium may be ones that are specially designed and configured for the present invention and are known and available to those skilled in the art of computer software.
컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floptical disks, media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like.
프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of program instructions include machine language code such as those generated by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules for performing the processing according to the present invention, and vice versa.
이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the present invention as defined by the following claims. You will understand.
100: 네트워크 분석기
101, 102, 50, 60: 호스트
103, 104, 105, 55, 65: 스위치
20: 통신 컨트롤러
201: 인증부
202: 정책 데이터베이스
203: 키 생성부
204: 포워딩 룰 생성부
30: 인증 서버
40: 라우터100: Network Analyzer
101, 102, 50, 60: Host
103, 104, 105, 55, 65: switch
20: Communication controller
201: Authentication section
202: Policy database
203:
204: forwarding rule generation unit
30: Authentication server
40: Router
Claims (11)
상기 통신 컨트롤러가 상기 제2 호스트로부터 상기 제1 호스트의 MAC 주소를 포함하는 보안키 생성 요청 패킷을 수신하는 단계;
상기 통신 컨트롤러가 상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하는 단계;
상기 통신 컨트롤러가 상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하는 단계;
상기 통신 컨트롤러가 생성된 상기 보안키를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계; 및
상기 통신 컨트롤러가, 상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰을 설정하는 단계를 포함하는 종단간(end to end) 보안 통신 방법.
The communication controller performing authentication of the first host and the second host;
The communication controller receiving a secure key generation request packet including the MAC address of the first host from the second host;
The communication controller transmitting the security key generation request packet to the first host;
Generating a security key for end-to-end secure communication between the first host and the second host when the communication controller receives a secure key generation request packet from the first host;
Transmitting the security key generated by the communication controller to the first host and the second host, respectively; And
Wherein the communication controller has a first switch and a second switch respectively connected to the first host and the second host for transmitting a MAC address of the first host or a packet having a MAC address of the second host as a destination And establishing a forwarding rule for the end-to-end secure communication.
상기 제1 호스트 및 제2 호스트의 인증을 수행하는 단계는,
상기 통신 컨트롤러가 상기 제1 호스트의 인증을 수행하는 단계;
상기 통신 컨트롤러가 상기 제1 호스트의 인증 후 상기 제2 호스트의 인증 요청을 수신하는 단계; 및
상기 통신 컨트롤러가, 상기 제2 호스트의 인증에 성공할 경우, 성공 패킷 및 상기 제1 호스트의 MAC 주소를 상기 제2 호스트에 전송하는 단계를 포함하는 종단간 보안 통신 방법.
The method according to claim 1,
Wherein performing authentication of the first host and the second host comprises:
The communication controller performing authentication of the first host;
The communication controller receiving an authentication request of the second host after authentication of the first host; And
And if the communication controller succeeds in authenticating the second host, sending a success packet and a MAC address of the first host to the second host.
상기 통신 컨트롤러가 하나 이상의 제3 호스트의 인증을 수행하는 단계; 및
상기 통신 컨트롤러가 상기 제3 호스트의 인증 성공 시 상기 제3 호스트의 MAC 주소를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계를 더 포함하는 종단간 보안 통신 방법.
The method according to claim 1,
The communication controller performing authentication of one or more third hosts; And
Further comprising the step of the communication controller transmitting the MAC address of the third host to the first host and the second host, respectively, when authentication of the third host is successful.
상기 포워딩 룰을 설정하는 단계는, 상기 통신 컨트롤러가, 상기 제1 호스트의 MAC 주소를 출발지로 하고 상기 제2 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제2 스위치로 직접 전송하도록 상기 제1 스위치의 포워딩 룰을 설정하는 단계를 포함하는 종단간 보안 통신 방법.
The method according to claim 1,
Wherein the setting of the forwarding rule is performed by the communication controller such that the communication controller directly transmits a packet having the MAC address of the first host as a departure point and the MAC address of the second host as a destination to the second switch, And establishing a forwarding rule of the end-to-end secure communication.
상기 포워딩 룰을 설정하는 단계는, 상기 통신 컨트롤러가, 상기 제2 호스트의 MAC 주소를 출발지로 하고 상기 제1 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제1 스위치로 직접 전송하도록 상기 제2 스위치의 포워딩 룰을 설정하는 단계를 포함하는 종단간 보안 통신 방법.
The method according to claim 1,
Wherein the setting of the forwarding rule is performed by the communication controller such that the communication controller directly transmits a packet having the MAC address of the second host as a departure point and the MAC address of the first host as a destination to the first switch, And establishing a forwarding rule of the end-to-end secure communication.
상기 인증부에 의하여 인증된 호스트의 MAC 주소를 저장하는 정책 데이터베이스;
제1 호스트의 MAC 주소를 포함하는 보안키 생성 요청 패킷을 제2 호스트로부터 수신하고, 상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하며, 상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하여 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하도록 구성된 키 생성부; 및
상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰을 설정하도록 구성된 포워딩 룰 설정부를 포함하는 통신 컨트롤러.
An authentication unit configured to communicate with an authentication server and perform authentication of one or more hosts;
A policy database storing a MAC address of a host authenticated by the authentication unit;
Receiving a security key generation request packet including a MAC address of a first host from a second host, transmitting the security key generation request packet to the first host, receiving a security key generation request packet from the first host, A key generation unit configured to generate a security key for end-to-end secure communication between the first host and the second host and transmit the generated security key to the first host and the second host, respectively; And
A forwarding rule for forwarding a packet having a MAC address of the first host or a MAC address of the second host as a destination is set in the first switch and the second switch respectively connected to the first host and the second host And a forwarding rule setting unit configured.
상기 정책 데이터베이스는 상기 제1 호스트의 MAC 주소를 포함하며,
상기 인증부는, 상기 제2 호스트의 인증 요청을 수신하고, 상기 제2 호스트의 인증에 성공할 경우 성공 패킷 및 상기 제1 호스트의 MAC 주소를 상기 제2 호스트에 전송하도록 더 구성된 통신 컨트롤러.
The method according to claim 6,
Wherein the policy database includes a MAC address of the first host,
Wherein the authentication unit is further configured to receive an authentication request of the second host, and send a success packet and a MAC address of the first host to the second host when authentication of the second host is successful.
상기 인증부는, 하나 이상의 제3 호스트의 인증을 수행하며, 상기 제3 호스트의 인증 성공 시 상기 제3 호스트의 MAC 주소를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송 하도록 더 구성된 통신 컨트롤러.
The method according to claim 6,
Wherein the authentication unit is further configured to perform authentication of one or more third hosts and to transmit the MAC address of the third host to the first host and the second host respectively upon authentication of the third host.
상기 포워딩 룰 설정부는, 상기 제1 호스트의 MAC 주소를 출발지로 하고 상기 제2 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제2 스위치로 직접 전송하도록 상기 제1 스위치의 포워딩 룰을 설정하는 통신 컨트롤러.
The method according to claim 6,
Wherein the forwarding rule setting unit sets a forwarding rule of the first switch to directly forward a packet having the MAC address of the first host as a source and the MAC address of the second host as a destination to the second switch, .
상기 포워딩 룰 설정부는, 상기 제2 호스트의 MAC 주소를 출발지로 하고 상기 제1 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제1 스위치로 직접 전송하도록 상기 제2 스위치의 포워딩 룰을 설정하는 통신 컨트롤러.
The method according to claim 6,
Wherein the forwarding rule setting unit sets a forwarding rule of the second switch so that a packet having the MAC address of the second host as a source and the MAC address of the first host as a destination is directly transmitted to the first switch, .
제1 호스트 및 제2 호스트의 인증을 수행하는 단계;
상기 제2 호스트로부터 상기 제1 호스트의 MAC 주소를 포함하는 보안키 생성 요청 패킷을 수신하는 단계;
상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하는 단계;
상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하는 단계;
생성된 상기 보안키를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계; 및
상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰을 설정하는 단계를 실행하도록 컴퓨터로 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램.
Combined with the communication controller,
Performing authentication of the first host and the second host;
Receiving a secure key generation request packet including the MAC address of the first host from the second host;
Transmitting the secure key generation request packet to the first host;
Generating a security key for end-to-end secure communication between the first host and the second host when receiving a secure key generation request packet from the first host;
Transmitting the generated security key to the first host and the second host, respectively; And
A forwarding rule for forwarding a MAC address of the first host or a MAC address of the second host to a first switch and a second switch respectively connected to the first host and the second host is set A computer program stored in a computer-readable medium for executing steps.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/170,373 US11075907B2 (en) | 2017-12-20 | 2018-10-25 | End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20170176096 | 2017-12-20 | ||
KR1020170176096 | 2017-12-20 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190074912A true KR20190074912A (en) | 2019-06-28 |
KR102071707B1 KR102071707B1 (en) | 2020-01-30 |
Family
ID=67066266
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180009171A KR102071707B1 (en) | 2017-12-20 | 2018-01-25 | End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102071707B1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100092768A (en) | 2009-02-13 | 2010-08-23 | 삼성전자주식회사 | Method for providing mac protocol for data communication security in wireless network communication |
KR20140051802A (en) * | 2012-10-23 | 2014-05-02 | 한국전자통신연구원 | Method for setting packet forwarding rule and control apparatus using the method |
KR20170012161A (en) * | 2015-07-23 | 2017-02-02 | 주식회사 투아이피 | METHOD FOR OPERATING COMMUNICATION CLIENT INSTALLED IN IoT DEVICE AND IoT DEVICE INCLUDING THE CLIENT |
KR20170014852A (en) * | 2015-07-31 | 2017-02-08 | 에스케이텔레콤 주식회사 | Apparatus and method for processing traffic based on sdn |
-
2018
- 2018-01-25 KR KR1020180009171A patent/KR102071707B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100092768A (en) | 2009-02-13 | 2010-08-23 | 삼성전자주식회사 | Method for providing mac protocol for data communication security in wireless network communication |
KR20140051802A (en) * | 2012-10-23 | 2014-05-02 | 한국전자통신연구원 | Method for setting packet forwarding rule and control apparatus using the method |
KR20170012161A (en) * | 2015-07-23 | 2017-02-02 | 주식회사 투아이피 | METHOD FOR OPERATING COMMUNICATION CLIENT INSTALLED IN IoT DEVICE AND IoT DEVICE INCLUDING THE CLIENT |
KR20170014852A (en) * | 2015-07-31 | 2017-02-08 | 에스케이텔레콤 주식회사 | Apparatus and method for processing traffic based on sdn |
Also Published As
Publication number | Publication date |
---|---|
KR102071707B1 (en) | 2020-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20230070104A1 (en) | Secure connections establishment | |
US11075907B2 (en) | End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same | |
US9461975B2 (en) | Method and system for traffic engineering in secured networks | |
US7028186B1 (en) | Key management methods for wireless LANs | |
US20060259759A1 (en) | Method and apparatus for securely extending a protected network through secure intermediation of AAA information | |
CN103188351B (en) | IPSec VPN traffic method for processing business and system under IPv6 environment | |
US20090175454A1 (en) | Wireless network handoff key | |
US20070006296A1 (en) | System and method for establishing a shared key between network peers | |
US20020090089A1 (en) | Methods and apparatus for secure wireless networking | |
US20080141360A1 (en) | Wireless Linked Computer Communications | |
US20130283050A1 (en) | Wireless client authentication and assignment | |
WO2009082950A1 (en) | Key distribution method, device and system | |
JP2010539839A (en) | Security method in server-based mobile Internet protocol system | |
WO2021032304A1 (en) | Gateway devices and methods for performing a site-to-site communication | |
Hauser et al. | P4sec: Automated deployment of 802.1 X, IPsec, and MACsec network protection in P4-based SDN | |
EP3340530B1 (en) | Transport layer security (tls) based method to generate and use a unique persistent node identity, and corresponding client and server | |
WO2018060163A1 (en) | Method to generate and use a unique persistent node identity, corresponding initiator node and responder node | |
Gao et al. | SecT: A lightweight secure thing-centered IoT communication system | |
Niemiec et al. | Authentication in virtual private networks based on quantum key distribution methods | |
KR102071707B1 (en) | End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same | |
Alhumrani et al. | Cryptographic protocols for secure cloud computing | |
CN113890761A (en) | Partition operation system-oriented lightweight secure communication method and system | |
JP2008199420A (en) | Gateway device and authentication processing method | |
Boire et al. | Credential provisioning and device configuration with EAP | |
Jiang et al. | Network Security in RWNs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |