KR100617321B1 - Method and Apparatus for Protection to Link Security Attack - Google Patents

Method and Apparatus for Protection to Link Security Attack Download PDF

Info

Publication number
KR100617321B1
KR100617321B1 KR1020050037845A KR20050037845A KR100617321B1 KR 100617321 B1 KR100617321 B1 KR 100617321B1 KR 1020050037845 A KR1020050037845 A KR 1020050037845A KR 20050037845 A KR20050037845 A KR 20050037845A KR 100617321 B1 KR100617321 B1 KR 100617321B1
Authority
KR
South Korea
Prior art keywords
frame
security
attack
channel
value
Prior art date
Application number
KR1020050037845A
Other languages
Korean (ko)
Other versions
KR20060067099A (en
Inventor
김광옥
한경수
유태환
권율
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20060067099A publication Critical patent/KR20060067099A/en
Application granted granted Critical
Publication of KR100617321B1 publication Critical patent/KR100617321B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Abstract

본 발명은 링크 암호화를 제공하는 EPON (Ethernet Passive Optical Network)망에서 제 3자에 의해 가해지는 서비스 거부 공격과 재 전송 서비스 공격을 차단하는 장치 및 그 방법에 관한 것이다. 서비스 거부 공격 처리부는 입력 프레임이 브로드캐스트 보안채널로부터 전송된 프레임인지 유니캐스트 보안채널로부터 전송된 프레임인지 구분하고, 프레임의 종류가 암호화 프레임인지 평문 프레임인지 분류한다. The present invention relates to an apparatus and method for preventing denial of service attacks and retransmission service attacks by third parties in an Ethernet passive optical network (EPON) network providing link encryption. The denial of service attack processing unit distinguishes whether an input frame is a frame transmitted from a broadcast security channel or a frame transmitted from a unicast security channel, and classifies whether the frame type is an encryption frame or a plain text frame.

그리고 각 보안 채널에 설정된 프레임별 암호화 적용여부를 정의한 암호화 모드 파라미터 및 암호화 모드 정의에 위배된 입력 프레임들의 DoS공격 적용여부를 결정하는 DoS공격 프레임 적용 모드에 따라 서비스 거부 공격 프레임을 축출하고 처리한다. 재 전송 공격 차단부는 암호화된 프레임 내에 포함된 패킷 번호 (Packet Number)와 논리적인 보안 채널 식별자 AN (Association Number)값을 기반으로 동일한 AN값을 가진 프레임들에서 패킷 번호가 계속 증가하지 않고, 동일하거나 이전의 값이 다시 입력된 프레임에 대해 재 전송 공격으로 축출하고 처리한다. The denial of service attack frame is evicted and processed according to an encryption mode parameter defining whether to apply encryption for each frame set in each security channel and a DoS attack frame application mode that determines whether DoS attacks are applied to input frames that violate the encryption mode definition. The retransmission attack blocker does not continuously increase the packet number in frames having the same AN value based on the packet number included in the encrypted frame and the logical secure channel identifier (AN) value. Evict and process the retransmission attack for frames whose previous values have been re-entered.

DoS 공격 차단, 재전송 공격 차단 DoS attack blocking, replay attack blocking

Description

링크 암호화 공격을 차단하는 장치 및 그 방법{Method and Apparatus for Protection to Link Security Attack}Device and method for preventing link encryption attack {Method and Apparatus for Protection to Link Security Attack}

도 1 은 현재 IEEE802.1AE 작업그룹에서 표준화중인 SecY수신부 모듈 구조도이다.1 is a schematic diagram of a SecY receiver module being standardized in the IEEE802.1AE working group.

도 2 는 도 1 에 도시된 MACSecY 수신부로 입력되는 암호화된 프레임 구조를 도시한다. FIG. 2 illustrates an encrypted frame structure input to the MACSecY receiver shown in FIG. 1.

도 3 은 도 1 에 도시된 MACsecY수신부로 입출력 되는 암호화 되지 않은 평문 프레임 종류별 구조도이다.FIG. 3 is a structural diagram of unencrypted plaintext frame types inputted and outputted to the MACsecY receiver shown in FIG. 1.

도 4 는 서비스 거부 공격과 Replay공격을 차단하는 기능이 부가된 SecY수신부 모듈 구조도이다.4 is a schematic diagram of a SecY receiver module with a function of blocking a denial of service attack and a replay attack.

도 5 는 서비스 거부 공격 차단부의 내부 하드웨어 구성도이다.5 is an internal hardware configuration diagram of a denial of service attack blocker.

도 6 은 프레임의 종류와 이더넷 타입값에 대하여 도시한다.6 shows the types of frames and Ethernet type values.

도 7 은 서비스 거부 공격 차단부에서 처리과정을 도시한 흐름도이다. 7 is a flowchart illustrating a process in the denial of service attack blocking unit.

도 8 은 브로드캐스트 보안 채널에서 사용자 설정 암호화 모드 파라미터 및 DoS 공격 적용 파라미터를 통한 DoS공격 차단 처리의 일 실시예를 도시한다. FIG. 8 illustrates one embodiment of DoS attack blocking processing via a user set encryption mode parameter and a DoS attack application parameter in a broadcast secure channel.

도 9 는 재전송 공격 차단부의 내부 하드웨어 구성도이다.9 is an internal hardware configuration diagram of a retransmission attack blocker.

도 10 은 재전송 공격 차단 과정을 도시한 흐름도이다. 10 is a flowchart illustrating a retransmission attack blocking procedure.

본 발명은 서비스 거부(DoS)공격과 재 전송(Replay)공격을 필터링하여 이더넷 보안 서비스와 성능을 보장하는 차단 장치에 관한 것이다. 보다 상세히, 본 발명은 EPON ONU단말에서 MAC Security 서비스를 제공하는데 제 3자에 의해 가해지는 링크 암호화 공격, 즉 서비스 거부(DoS)공격과 재 전송(Replay)공격을 필터링하여 이더넷 보안 서비스와 성능을 보장하기 위한 장치 및 방법에 관한 것이다. The present invention relates to a blocking device that guarantees Ethernet security service and performance by filtering a denial of service (DoS) attack and a replay attack. In more detail, the present invention provides a MAC security service in the EPON ONU terminal to filter the link encryption attacks, such as denial of service (DoS) attacks and replay attacks by third parties to filter the Ethernet security services and performance. An apparatus and a method for ensuring the same are provided.

EPON망의 토폴로지상 하향 트래픽은 다른 ONU에 의한 도청의 위험이 존재하고, 상향 트래픽은 인증 받지 않은 ONU의 자원 접근이나 다른 ONU에 의한 변장의 위험이 존재한다. In the topology of the EPON network, there is a risk of eavesdropping by other ONUs in downlink traffic, and there is a risk of unauthorized resource access or disguise by other ONUs in upstream traffic.

가입자에겐 정보의 기밀성을 제공하고, 서비스 사업자에겐 콘텐츠(Contents)의 보호 및 가입자 접속에 따른 과금을 제공할 수 있어야 하므로, 가입자망인 EPON에서의 보안 문제는 가입자 트래픽의 무결성 제공, 비 인증 장치 및 가입자의 접속 차단을 목적으로 한다.Since the subscriber must be able to provide confidentiality of information, and service providers must be able to provide protection of contents and billing for subscriber access, the security problem in subscriber network EPON is to provide the integrity of subscriber traffic, non-authentication devices and subscribers. The purpose is to block access.

일반적으로 인터넷상에서 가장 널리 알려진 해킹 중의 하나가 DoS공격과 Replay 공격이며, TCP/IP구현상의 버그나 취약점을 악용하여 과도한 트래픽을 발생시킴으로서 인터넷에 연결된 단말기들을 공격한다.In general, one of the most well-known hacks on the Internet is DoS attack and Replay attack, and exploits bugs or vulnerabilities in TCP / IP implementation to generate excessive traffic to attack terminals connected to the Internet.

DoS (denial of service, 서비스 거부)공격은 사용자나 기관이 인터넷상에서 평소 잘 이용하던 자원에 대한 서비스를 더 이상 받지 못하게 되는 상황을 가리킨 다. A denial of service (DoS) attack is a situation in which a user or organization no longer receives services for resources that are commonly used on the Internet.

서비스 상실은 일반적으로 전자우편과 같이 특정 네트워크 서비스가 동작하지 않거나, 네트워크 접속 및 서비스 등이 일시적으로 제 기능을 발휘하지 못하게 되는 것을 가리키며, 최악의 경우 수백만 명이 접속하는 웹 사이트가 이따금씩 동작이 멈추는 경우도 생겨날 수 있다. DoS 공격은 컴퓨터 시스템 내의 프로그램이나 파일을 못 쓰게 만들 수도 있다.Loss of service generally indicates that certain network services, such as e-mail, are not working, or that network connections and services are temporarily inoperable. In the worst case, websites with millions of people occasionally stop working. It can also happen. DoS attacks can also disable programs or files on your computer system.

DoS 공격은 컴퓨터 시스템 보안을 침해하는 한 형태로서, 정보를 몰래 빼내가거나 그 외의 다른 보안 상실을 유발하지는 않지만 표적이 된 개인이나 기업에 시간과 비용 측면에서 커다란 희생을 요구한다. 이러한 인터넷상에서 가해지는 DoS공격에는 Brute-force공격, trinoo공격, SYN Flooding공격, Teardrop공격, LAND공격 등이 있다.DoS attacks are a form of computer system security breaches that do not steal information or cause other security loss, but require significant sacrifices in terms of time and cost to targeted individuals or businesses. These DoS attacks on the Internet include Brute-force attacks, trinoo attacks, SYN Flooding attacks, Teardrop attacks, and LAND attacks.

또 다른 해킹의 종류로서 Replay 공격은 이전에 전송된 메시지를 다시 사용하는 위장방법의 공격이다. Another type of hacking, the Replay attack is a spoofing attack that reuses previously sent messages.

보통 해킹은 시스템에 대한 전문적인 지식을 가진 사람이 여러 툴과 취약점을 이용하여 공격하는 반면, DoS공격이나 Replay공격은 전문적인 지식이 없어도 인터넷에 돌아다니는 DoS공격 프로그램을 이용하면 누구나 쉽게 인터넷상의 네트워크 장비나 시스템을 공격할 수 있다. In general, hacking is carried out by people with specialized knowledge of the system using various tools and vulnerabilities, while DoS or Replay attacks can be easily performed by anyone using the DoS attack program that roams the Internet without any specialized knowledge. Can attack equipment or systems.

DoS공격이나 Replay공격의 목적은 정보를 훔치는 것이 아니라 장비나 네트워크를 무력화 시켜서 사용자가 더 이상 네트워크 자원을 접근할 수 없게 만든다.The purpose of a DoS attack or a Replay attack is not to steal information, but to disable the device or network so that users can no longer access network resources.

이러한 DoS 공격을 차단하는 종래기술로서는 한국특허공개공보 제2003- 0009887호에서는 가입자 접속 단에서 목적지 주소를 분석하고 목적지 주소 및 패킷의 종류별 트래픽 볼륨을 측정하여, 측정 트래픽 볼륨과 기준치를 비교하여 패킷을 전송하거나 폐기함으로써, DoS공격을 차단하는 방법을 제시하고 있다. In the prior art for preventing such DoS attacks, Korean Patent Laid-Open Publication No. 2003-0009887 analyzes a destination address at a subscriber access stage, measures traffic volume for each destination address and packet type, and compares the measured traffic volume with a reference value. It suggests how to block DoS attacks by sending or discarding.

또한 최근 LAN의 확장성과 광대역화 그리고 이더넷 스위칭 기술이 고속화되면서 이더넷 장비들을 이용한 네트워크 전송서비스가 이루어진다. 이를 위해 IEEE802.1AE 작업그룹은 EPON을 포함한 LAN/MAN에서 MAC 이더넷 서비스에 대한 보안 기능을 제공하기 위해 MAC Security(MACSecY)모듈에 대한 표준화를 수행중이다.In addition, as LAN scalability, broadband, and Ethernet switching technology have been accelerated, network transmission services using Ethernet devices are provided. To this end, the IEEE802.1AE Working Group is working on standardizing the MAC Security (MACSecY) module to provide security for MAC Ethernet services in LAN / MAN, including EPON.

그러나 현재 표준화중인 MACSecY모듈도 마찬가지로 DoS공격이나 Replay공격에 대해 취약점을 가지고 있다. However, the MACSecY module, which is currently being standardized, is also vulnerable to DoS attacks or Replay attacks.

종래의 MACSecY모듈의 Uncontrolled Port는 DoS공격에 취약하고, Controlled Port는 Replay공격에 취약하다. 특히, 외부 해커로부터 많은 양의 이더넷 프레임이 계속적으로 Uncontrolled Port에 입력될 경우, 입력된 이더넷 프레임이 그대로 상위 프로세서들로 전송되어 자원들을 점유하게 됨으로서 종래의 MACSecY모듈을 사용하는 이더넷 장비들은 이런 DoS공격에 시스템이 정지해 버린다. The uncontrolled port of the conventional MACSecY module is vulnerable to DoS attack, and the controlled port is vulnerable to Replay attack. In particular, when a large amount of Ethernet frames are continuously input to an uncontrolled port from an external hacker, the input Ethernet frames are transmitted to the upper processors as they occupy resources, so that Ethernet devices using the conventional MACSecY module attack such DoS attacks. The system will stop.

따라서 종래의 MACSecY모듈을 사용하는 이더넷 시스템들은 해커로부터 가해지는 DoS공격이나 Replay공격을 체크하고 차단할 수 있는 방법 및 하드웨어 장치가 요구된다.  Therefore, Ethernet systems using the MACSecY module require a method and a hardware device capable of checking and blocking DoS attacks or Replay attacks from hackers.

본 발명이 이루고자 하는 기술적 과제는, 1Gbps EPON ONU단말에서 보안 기능을 제공하는 MAC Security모듈이 서비스 거부 공격(DoS 공격)에 대해 사용자 설정 에 따라 정의된 모드에 기초하여 프레임 단위로 필터링하고 차단하며, Replay공격에 대해 보안 연계(Security Association, SA)별로 필터링하고 차단하여 MAC서비스 및 MAC Security서비스를 제공하는 것이다. The technical problem to be achieved by the present invention is that the MAC Security module providing a security function in the 1Gbps EPON ONU terminal filters and blocks on a frame basis based on a mode defined according to a user setting for a denial of service attack (DoS attack), It is to provide MAC service and MAC Security service by filtering and blocking by Security Association (SA) for Replay attack.

상기 기술적 과제를 달성하기 위하여, 본 발명의 일 실시예에 따른 서비스 거부 공격 처리 장치는 프레임의 보안태그 필드 내의 이더넷 타입 값을 기초로 프레임의 종류가 암호화 프레임인지 평문 프레임인지 파악하는 프레임 분류부; 보안태그 필드 내의 SCB 플래그 값을 기초로 암호화 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하고 프레임의 논리적 링크 식별자(LLID) 필드 값을 기초로 평문 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하는 보안채널 분류부; 그리고, 보안채널 별로 프레임 종류별 보안기능 적용여부를 정의한 암호화 모드 파라미터 및 상기 프레임 종류별로 정의한 DoS 공격 적용 모드 파라미터를 기초로 상기 프레임에 대한 서비스 거부 공격을 처리하는 DoS 공격 차단부;를 포함한다.In order to achieve the above technical problem, the apparatus for denial of service attack according to an embodiment of the present invention comprises a frame classifier for determining whether a frame is an encrypted frame or a plain text frame based on an Ethernet type value in a security tag field of a frame; Security that determines whether an encrypted frame is a broadcast channel or a unicast channel based on the SCB flag value in the security tag field, and whether the plaintext frame is a broadcast channel or a unicast channel based on the logical link identifier (LLID) field value of the frame. A channel classifier; And a DoS attack blocking unit for processing a denial of service attack on the frame based on an encryption mode parameter defining whether to apply a security function for each frame type for each security channel and a DoS attack application mode parameter defined for the frame type.

상기 기술적 과제를 달성하기 위한 본 발명의 또 다른 일실시예에 따른 재 전송 공격 차단 장치는 프레임의 보안태그 필드 내의 SCB 플래그 값을 기초로 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악하는 보안채널 분류부; 보안채널별로 상기 프레임의 보안태그 필드 내의 AN Flag 값을 기초로 보안연계를 파악하고 상기 보안연계의 동일성을 판단하는 보안연계 비교부; 그리고 보안연계가 동일 상태를 나타내는 경우 상기 프레임이 재 전송 공격 프레임인지 여 부를 판단하고, 그렇지 않은 경우 상기 프레임을 바이패스 하는 Replay 공격 차단부;를 포함한다.Retransmission attack blocking device according to another embodiment of the present invention for achieving the technical problem is to determine whether the frame is a broadcast security channel or a unicast security channel based on the SCB flag value in the security tag field of the frame Secure channel classification unit; A security association comparing unit for identifying a security association based on an AN flag value in the security tag field of the frame for each security channel and determining the identity of the security association; And determining whether the frame is a retransmission attack frame when the security association indicates the same state, and if not, replay attack blocking unit bypassing the frame.

상기 기술적 과제를 달성하기 위한 본 발명의 또 다른 일실시예에 따른 MACSecY 수신부 장치는 프레임의 보안태크 필드 내의 이더넷 타입 값을 기초로 상기 프레임의 종류가 암호화 프레임인지 평문 프레임인지 파악하고 상기 프레임을 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악하여 프레임 종류별, 보안채널 별로 보안기능 적용여부를 정의한 암호화 모드 파라미터 및 상기 암호화 모드 파라미터 별로 정의한 DoS 공격 프레임 적용 모드 파라미터를 기초로 상기 프레임에 대한 서비스 거부 공격을 처리하는 서비스 거부 공격 처리부; 및 프레임을 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 분류하고 상기 암호화된 프레임 내의 AN Flag 필드 값에 기초하여 해당 보안채널에서 상기 프레임을 보안 연계별로 구분하고 보안 연계의 동일성을 판단하여 프레임의 재전송 공격 여부를 판단하는 재 전송 공격 차단부;를 포함한다.MACSecY receiver according to another embodiment of the present invention for achieving the technical problem is to determine whether the type of the frame is an encryption frame or plain text frame based on the Ethernet type value in the security tag field of the frame and broadcast the frame Determining whether it is a cast security channel or a unicast security channel and performing a denial of service attack on the frame based on an encryption mode parameter defining whether to apply a security function for each frame type and security channel and a DoS attack frame application mode parameter defined for each encryption mode parameter A denial of service attack processing unit; And classifying the frame as a broadcast security channel or a unicast security channel, classifying the frame by security association in the corresponding security channel based on the AN flag field value in the encrypted frame, and determining the identity of the security association to retransmit the frame. It includes; retransmission attack blocker to determine whether or not.

이하에서, 도면을 참조하여 본 발명의 실시예에 대하여 상세히 설명하기로 한다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1 은 현재 IEEE802.1AE 작업그룹에서 표준화중인 MACSecY수신부 모듈 구조도이다.1 is a schematic diagram of the MACSecY receiver module being standardized in the IEEE802.1AE working group.

EPON은 점 대 다중점 망구조이기 때문에, 동일한 망 내에 위치한 특정 ONU는 간단한 조작으로 다른 ONU들의 정보를 항상 도청할 수 있다. 또한, EPON망의 운영을 위해 사용되는 제어 프레임들인 OAM 과 MPCP 프레임은 discovery 상태, 이벤트 알림, 전송 허용 시작 시간과 같은 기밀 정보를 포함한다. 그러므로 EPON망에서의 링크 보안 기능은 ONU에 전달되는 프레임들을 보호한다.Because EPON is a point-to-multipoint network, certain ONUs located within the same network can always eavesdrop on other ONUs with a simple operation. In addition, OAM and MPCP frames, which are control frames used for the operation of the EPON network, contain confidential information such as discovery status, event notification, and transmission start start time. Therefore, link security in the EPON network protects the frames that are delivered to the ONU.

MACsecY 는 IEEE802.1AE WG에서 제안된 링크 보안 방법으로서, 현재 표준화 중이다. 본 발명은 IEEE802.1AE WG에 의해 제안된 draft2.0 에 기반을 두어 MACsecY 수신부를 구현하였다.  MACsecY is a link security method proposed by the IEEE802.1AE WG and is currently being standardized. The present invention implements MACsecY receiver based on draft2.0 proposed by IEEE802.1AE WG.

MACsecY 수신부는 EPON의 OLT 와 ONU 에서 사용자 데이터 복호화, 프레임 데이터의 무결성 검사, 데이터 근원 인증, 재 전송 공격 방지와 서비스 거부 공격 방지를 제공하며, 128 비트 GCM-AES 암호 메커니즘을 제공한다. The MACsecY receiver provides user data decryption, frame data integrity check, data source authentication, anti-replay attack and denial of service attack in EPON OLT and ONU, and provides 128-bit GCM-AES encryption mechanism.

또한 MACSecY 수신 장치는 SecY 송신장치에서 전송된 인증 암호화 MAC Frame을 인증 복호화 하여 평문 MAC 프레임으로 변환하는 기능을 한다. 도 1을 참조하면, MACSecY수신 장치(100)는 디멀티플렉서 모듈(120), 디코더 모듈(130), 암호화부(140), FCS 생성부(150)를 포함한다. In addition, the MACSecY receiver functions to decrypt and decrypt the authentication encrypted MAC frame transmitted from the SecY transmitter to a plain text MAC frame. Referring to FIG. 1, the MACSecY receiving apparatus 100 includes a demultiplexer module 120, a decoder module 130, an encryption unit 140, and an FCS generation unit 150.

MACSecY수신 장치(100)는 암호화되지 않은 Common Port(110)를 통해 MAC 계층으로부터 MAC프레임들을 입력받으며(a111), 입력된 MAC프레임(a111)의 암호화 유무에 따라 Uncontrolled Port(160)와 Controlled Port(170)로 평문 MAC프레임과 암호화된 MAC프레임을 전송한다.The MACSecY receiving apparatus 100 receives MAC frames from the MAC layer through the unencrypted common port 110 (a111), and according to whether the input MAC frame (a111) is encrypted, the Uncontrolled Port 160 and the Controlled Port ( 170) and transmits the plaintext MAC frame and the encrypted MAC frame.

MACSecY수신부 모듈은 Uncontrolled Port(160), Controlled Port(170), Common Port(110) 외부 인터페이스와 LMI인터페이스(180)를 포함한다. Uncontrolled Port(160)와 Common Port(110)는 비보안 서비스 액세스 포인트이고, Controlled Port(170)는 보안 서비스 액세스 포인트이다. The MACSecY receiver module includes an uncontrolled port 160, a controlled port 170, a common port 110 external interface, and an LMI interface 180. Uncontrolled Port 160 and Common Port 110 are non-secure service access points, and Controlled Port 170 is a secure service access point.

디멀티플렉서(120)는 MAC 계층으로부터 Common Port(110)를 통해 입력된 MAC프레임의 이더넷 타입을 기초로 평문 MAC프레임(a121)은 Uncontrolled Port(160)로 암호화된 MAC프레임은 Controlled Port(170)로 분류하며 암호화된 MAC프레임은 복호화하기 위해 디코더(130)로 전달한다. The demultiplexer 120 classifies the plaintext MAC frame a121 into the uncontrolled port 160 based on the Ethernet type of the MAC frame input from the MAC layer through the common port 110, and classifies the MAC frame into the controlled port 170. The encrypted MAC frame is transmitted to the decoder 130 for decryption.

또한 디멀티플렉서(120)는 암호화된 MAC프레임을 MAC 어드레스(DA, SA)(a122)와 MSDU(a123, MAC Service Protocol Data Unit)로 분리하여 전달한다. 이 때, 상기 MAC 어드레스(DA, SA)(a122)는 암호화부(140)에서 프레임 인증을 위해 인증키를 만들기 위한 파라미터로 사용된다. In addition, the demultiplexer 120 separates the encrypted MAC frame into a MAC address (DA, SA) a122 and an MSDU (a123, MAC Service Protocol Data Unit). At this time, the MAC address (DA, SA) (a122) is used as a parameter for creating an authentication key for frame authentication in the encryption unit 140.

Decoder모듈(130)은 수신된 MSDU(a123)로부터 SecTAG(a131), Secure DATA(a132), ICV(a133)로 프레임을 분리하여 전송한다. SecTAG(a131)는 이더넷 타입 필드와 TCI(Tag Control Information)값, PN(Packet Number) 등으로 구성된다. The decoder module 130 separates and transmits a frame from the received MSDU a123 to SecTAG (a131), Secure DATA (a132), and ICV (a133). SecTAG (a131) is composed of an Ethernet type field, a Tag Control Information (TCI) value, a Packet Number (PN), and the like.

암호화부(140)는 검증 파라미터 선택부(141), 무결성 검증부(142), 데이터 복호화부(143)를 포함한다.The encryption unit 140 includes a verification parameter selector 141, an integrity verifier 142, and a data decryptor 143.

검증 파라미터 선택부(141)는 암호화부(140)에서 사용될 128비트 KEY 나 IV(Initialization Vector)값 등의 파라미터들을 저장하고 디코더(130)로부터 입력된 SAI(Security Association Identifier, 보안 연계 식별자, a132)를 이용하여 검증 파라미터 세트를 선택한다. 즉, TCI 필드 내의 SCB(Single Copy Broadcast)비트를 이용하여 브로드캐스트 채널에 설정된 키를 요구하는지 유니캐스트 채널에 설정된 키를 요구하는지 결정하게 된다.The verification parameter selector 141 stores parameters such as a 128-bit KEY or Initialization Vector (IV) value to be used in the encryption unit 140 and inputs a security association identifier (SAI) input from the decoder 130. To select the verification parameter set. That is, the SCB bit in the TCI field is used to determine whether to request a key set for a broadcast channel or a key set for a unicast channel.

무결성 검증부(142)는 디코더(130)로부터 입력된 MAC Address(a133)와 Secure Data(a132)에 대한 ICV(Integrity Check Value, 무결성 검증값)을 계산하고, 디코더(130)로부터 입력된 ICV값(a133)과 비교하여 MAC Address(a133)와 Secure Data(a132)가 해커에 의해 변조되었는지 무결성을 체크한다. 이 때, 계산된 ICV 값과 입력된 ICV 값이 서로 다른 경우 인증 실패 신호와 함께 복호화 된 프레임을 전송한다(a145). The integrity verification unit 142 calculates the ICV (Integrity Check Value) for the MAC address (a133) and Secure Data (a132) input from the decoder 130, and the ICV value input from the decoder 130. Compared to (a133), the integrity of the MAC address (a133) and Secure Data (a132) is checked by the hacker. In this case, when the calculated ICV value and the input ICV value are different from each other, the decoded frame is transmitted together with the authentication failure signal (a145).

데이터 복호화부(143)는 디코더(130)에 의해 검증 파라미터 선택부에서 선택된 파라미터 세트(a144)를 이용하여 암호화된 데이터를 복호화 시킨다. The data decryption unit 143 decrypts the encrypted data using the parameter set a144 selected by the decoder 130 in the verification parameter selection unit.

FCS 생성부(150)는 암호화부(140)에서 암호화된 MAC 프레임을 평문 MAC 프레임으로 복호화하기 때문에 복호화가 끝난 후 평문 MAC 프레임에 대한 새로운 FCS 값을 계산한다(a151).Since the FCS generator 150 decrypts the encrypted MAC frame by the plaintext MAC frame, the FCS generator 150 calculates a new FCS value for the plaintext MAC frame after the decryption is finished (a151).

그 후 MAC 프레임은 디멀티플렉서(120)에서 나온 MAC 어드레스(a122)와 합해진 후 Controlled Port(170)에 전달된다. The MAC frame is then combined with the MAC address a122 from the demultiplexer 120 and forwarded to the controlled port 170.

다만, 이와 같은 MACSecY 수신부는 외부 해커로부터 Uncontrolled Port(160)를 통해 많은 정상 평문 MAC 프레임이 수신되는 경우, 상위 프로세서는 Uncontrolled Port(160)를 통해 입력된 평문 MAC 프레임을 처리하느라 많은 부하가 걸려 Controlled Port(110)에서 수행된 MAC 프레임의 처리가 미흡하게 되고, 결국엔 시스템의 과부하로 인해 시스템이 다운되는 결과를 가져온다. However, when the MACSecY receiver receives many normal plaintext MAC frames through the Uncontrolled Port 160 from an external hacker, the upper processor is controlled by processing a plaintext MAC frame input through the Uncontrolled Port 160. The processing of the MAC frame performed in the port 110 is insufficient, eventually resulting in a system down due to an overload of the system.

도 2 는 도 1 에 도시된 MACSecY 수신부로 입력되는 암호화된 프레임 구조를 도시한다. FIG. 2 illustrates an encrypted frame structure input to the MACSecY receiver shown in FIG. 1.

암호화된 MAC프레임(200)은 8 바이트의 SecTAG(보안태그)와 16 바이트의 ICV 필드(206)가 추가되어 캡슐화 된다. 8 바이트의 SecTAG(보안태그)은 2 바이트의 MACsecY Ethertype(ET)필드(201)와 1 바이트의 TCI필드(202), 1 바이트의 SL(Short Length)필드(203), 4바이트의 PN필드(204)로 구성된다. 즉, EPON망에서 MAC 보안 서비스를 제공하기 위해서는 기존의 MAC프레임에 최소한 24바이트가 추가된다.The encrypted MAC frame 200 is encapsulated by adding an 8-byte SecTAG (security tag) and an 16-byte ICV field 206. The 8-byte SecTAG (Security Tag) includes a 2-byte MACsecY Ethertype (ET) field 201, a 1-byte TCI field 202, a 1-byte SL (Short Length) field 203, and a 4-byte PN field ( 204). That is, at least 24 bytes are added to the existing MAC frame to provide MAC security service in the EPON network.

1 바이트의 TCI필드(202)는 1비트의 버전필드(207), 1비트 ES필드(208), 1비트의 SC필드(209), 1비트의 SCB필드(210), 1비트의 SH필드(211), 2비트의 AN필드(212)로 구성된다. SCB필드(210)는 Single Copy Broadcast 프레임인지 아닌지를 나타낸다. AN필드(212)는 보안연계(SA, Security Association)를 구분하는데 사용된다. SH필드(211)는 프레임의 사이즈가 64바이트보다 적은 경우에 표시되며 그 길이는 1바이트의 SL필드(203)에 나타낸다. The 1-byte TCI field 202 includes a 1-bit version field 207, a 1-bit ES field 208, a 1-bit SC field 209, a 1-bit SCB field 210, and a 1-bit SH field ( 211), and consists of a 2-bit AN field 212. The SCB field 210 indicates whether or not a single copy broadcast frame is present. The AN field 212 is used to distinguish a security association (SA). The SH field 211 is displayed when the size of the frame is less than 64 bytes, and the length thereof is indicated by the SL field 203 of one byte.

도 3 은 도 1에 도시된 MACsecY수신부로 입출력 되는 암호화 되지 않은 평문 프레임 종류별 구조도이다.FIG. 3 is a structural diagram of unencrypted plaintext frame types inputted and outputted to the MACsecY receiver shown in FIG. 1.

평문 프레임은 MAC DATA프레임(300), MPCP 프레임(310), OAM 프레임(320)을 포함한다. 상기 프레임들은 2바이트의 MAC 이더넷 타입(301,311,312) 필드를 통해 구분하게 된다. The plain text frame includes a MAC DATA frame 300, an MPCP frame 310, and an OAM frame 320. The frames are distinguished through the two-byte MAC Ethernet type fields 301, 311 and 312.

도 4 는 서비스 거부 공격과 Replay공격을 차단하는 기능이 부가된 MACSecY수신부 모듈 구조도이다.4 is a schematic diagram of a MACSecY receiver module with a function of blocking a denial of service attack and a replay attack.

도 4 는 도 1의 구성요소 외에 서비스 거부 공격 차단부(421) 및 재 전송 공격 차단부(422)를 더 포함한다.4 further includes a denial of service attack blocker 421 and a retransmission attack blocker 422 in addition to the components of FIG. 1.

도 4 의 MACSecY수신 장치(400)에서 디멀티플렉서 모듈(420), 디코더 모듈(430), 암호화부(440), FCS 생성부(450) 및 Uncontrolled Port(460), Controlled Port(470), Common Port(410) 외부 인터페이스와 LMI인터페이스(480)는 도 1의 대응하는 각 구성과 대응하는 기능을 수행하며, 기본적인 기능은 유사하다.In the MACSecY receiving apparatus 400 of FIG. 4, the demultiplexer module 420, the decoder module 430, the encryption unit 440, the FCS generator 450, the uncontrolled port 460, the controlled port 470, and the common port ( 410 The external interface and the LMI interface 480 perform functions corresponding to the corresponding components of FIG. 1, and the basic functions are similar.

서비스 거부 공격 차단부(421)는 디멀티플렉서(420)로부터 암호화 되지 않은 평문 MAC 프레임(a421)과 암호화된 MAC 프레임(a422)을 입력받으며, 프레임의 SecTAG(보안태그) 필드 내의 이더넷 타입 값을 기초로 상기 프레임의 종류를 파악하고, 상기 프레임이 암호화 프레임인 경우 SecTAG 내의 SCB Flag 값을 기초로 상기 프레임이 평문 프레임인 경우 Preamble 내의 LLID 값을 기초로 상기 프레임이 브로드캐스트 채널에 해당하는지 유니캐스트 채널에 해당하는지를 구분한다. The denial of service attack blocker 421 receives the unencrypted plaintext MAC frame a421 and the encrypted MAC frame a422 from the demultiplexer 420, and based on the Ethernet type value in the SecTAG field of the frame. Determine the type of the frame; and if the frame is an encrypted frame, if the frame corresponds to a broadcast channel based on the LLID value in the preamble based on the SCB Flag value in SecTAG, the frame corresponds to a unicast channel. Identify if applicable.

그 후, 보안채널 별로 프레임 종류별 보안기능 적용여부를 정의한 암호화 모드 파라미터 및 상기 프레임 종류별로 정의한 DoS 공격 프레임 적용 모드 파라미터를 기초로 서비스 거부 공격 프레임이면 입력된 프레임을 삭제하고, 서비스 거부 공격 프레임이 아니면 Controlled Port(470)와 Uncontrolled Port(460)로 입력 프레임을 전송한다. Then, if the denial of service attack frame is based on the encryption mode parameter defining whether to apply the security function by frame type for each security channel and the DoS attack frame application mode parameter defined by the frame type, the input frame is deleted. An input frame is transmitted to the controlled port 470 and the uncontrolled port 460.

따라서 외부 해커에 의해 Uncontrolled Port(460)나 Controlled Port(470)로 전송되는 서비스 거부 공격 MAC프레임을 입력 단에서 모두 제거함으로서 상위 프로세서들이 서비스 거부 공격 프레임에 의한 부하가 증가하지 않게 한다. 이에 대한 보다 상세한 설명은 후술하기로 한다.Therefore, by removing all the denial of service attack MAC frames transmitted to the uncontrolled port 460 or the controlled port 470 by the external hacker at the input terminal, the upper processors do not increase the load caused by the denial of service attack frame. A more detailed description thereof will be described later.

재 전송 공격 차단부(422)는 상기 서비스 거부 공격 차단부(421)로부터 서비 스 거부 공격 프레임에 해당하지 않는 암호화된 MAC 프레임(a422)을 입력받아 프레임의 이더넷 타입 값을 기초로 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악한다. 그 후 해당 채널에서 보안 연계별로 패킷 넘버 값을 비교하여, 동일한 보안 연계 상태에서 현재 입력된 프레임의 패킷 넘버 값이 이전 프레임에 입력된 패킷 넘버 값보다 적거나 같은 경우 재 전송 공격 프레임으로 간주하여 삭제하고, 그렇지 않은 프레임은 디코더(430)로 전송한다. 이에 대한 보다 상세한 설명은 후술하기로 한다. The retransmission attack blocking unit 422 receives an encrypted MAC frame (a422) that does not correspond to a service denial attack frame from the denial of service attack blocking unit 421 and broadcast security channel based on the Ethernet type value of the frame. Determine whether it is a unicast secure channel. After that, the packet number value is compared for each security association in the corresponding channel. If the packet number value of the currently input frame is less than or equal to the packet number value input in the previous frame in the same security association state, it is regarded as a retransmission attack frame and deleted. The other frame is transmitted to the decoder 430. A more detailed description thereof will be described later.

도 5 는 도 4에 도시된 서비스 거부 공격 차단부의 내부 하드웨어 구성도이다.FIG. 5 is a diagram illustrating an internal hardware configuration of a denial of service attack blocking unit shown in FIG. 4.

서비스 거부 공격 차단부(421)는 프레임 분류부(500), SCB 보안채널 분류부(510), Session 보안채널 분류부(520), 암호화 DoS 공격 처리부(530), 평문 DoS 공격 처리부(540), 보안관리부(550)를 포함한다.The denial of service attack blocking unit 421 includes a frame classifier 500, an SCB secure channel classifier 510, a session secure channel classifier 520, an encrypted DoS attack processor 530, a plain text DoS attack processor 540, Security management unit 550 is included.

프레임 분류부(500)는 Common Port(410)로부터 입력된 프레임에서 SecTAG(보안태크)필드 내의 2 바이트 이더넷 타입 값을 기초로 상기 프레임의 종류가 암호화 프레임인지 평문 프레임인지 구분하여 암호화된 프레임은 제 1 보안채널 분류부(510)로 전송하고, 평문 프레임은 제 2 보안채널 분류부(520)로 전송한다.The frame classifier 500 distinguishes whether the type of the frame is an encryption frame or a plain text frame based on a 2-byte Ethernet type value in a SecTAG field in a frame input from the common port 410. The first secure channel classifier 510 transmits the plain text frame to the second secure channel classifier 520.

Common Port(410)로부터 입력되는 프레임의 종류와 이더넷 타입이 도 6에 도시되었다. 암호화 MAC 프레임의 MACsecY 이더넷 타입은 현재 표준화에서 정의되지 않았으며, 이에 따라 본 발명에서는 사용자의 요구에 따라 정의된 값을 사용할 수 있도록 고안되었다. 도 6 에 도시된 바와 같이, 본 발명에서는 MACsecY 이더넷 타 입의 기본 값으로 "0x880a"를 사용한다. Types of frames and Ethernet types input from the common port 410 are illustrated in FIG. 6. The MACsecY Ethernet type of the encrypted MAC frame is not currently defined in the standardization, and accordingly, the present invention is designed to use a value defined according to a user's request. As shown in FIG. 6, the present invention uses "0x880a" as a default value of the MACsecY Ethernet type.

보안채널 분류부(510)는 제 1 보안채널 분류부(510)와 제 2 보안채널 분류부(520)를 포함한다. The secure channel classifier 510 includes a first secure channel classifier 510 and a second secure channel classifier 520.

제 1 보안채널 분류부(510)는 암호화된 프레임을 프레임 분류부(500)로부터 전송받아, 프레임의 SecTAG(보안 태그) 내의 SCB Flag 값을 기초로 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지를 파악한 후 암호화 DoS 공격 처리부(530)로 보안채널(SC) 선택 신호를 전송한다. The first secure channel classifier 510 receives the encrypted frame from the frame classifier 500 and determines whether the frame is a broadcast secure channel based on the SCB Flag value in the SecTAG of the frame. After identifying the identification, the encrypted DoS attack processor 530 transmits a security channel (SC) selection signal.

제 2 보안채널 분류부(520)는 평문 프레임을 프레임 분류부(500)로부터 전송받아, 프레임의 Preamble 내에 존재하는 LLID(Logical Link ID)정보를 이용하여 평문 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악한 후 평문 DoS 공격 처리부(540)로 보안채널(SC) 선택 신호를 전송한다.The second secure channel classifier 520 receives the plaintext frame from the frame classifier 500 and uses the LLID (Logical Link ID) information present in the preamble of the frame to determine whether the plaintext frame is a broadcast secure channel or unicast security. After determining whether the channel is transmitted to the plain text DoS attack processing unit 540 transmits a security channel (SC) selection signal.

DoS 공격 처리부(530,540)는 서비스 공격 거부 프레임인지를 처리하고, 암호화 DoS 공격 처리부(530)와 평문 DoS 공격 처리부(540)를 포함한다. The DoS attack processing unit 530, 540 processes whether the service attack denial frame is included, and includes an encrypted DoS attack processing unit 530 and a plain text DoS attack processing unit 540.

암호화 DoS 공격 처리부(530)는 브로드캐스트 보안채널과 유니캐스트 보안채널에 대하여 서비스 거부 공격을 차단하기 위해 브로드캐스트 보안채널 서비스 거부 공격 처리부(531)와 유니캐스트 보안채널 서비스 거부 공격 처리부(532)를 포함한다. The encryption DoS attack processing unit 530 uses the broadcast security channel denial of service attack processing unit 531 and the unicast security channel denial of service attack processing unit 532 to block denial of service attacks on the broadcast security channel and the unicast security channel. Include.

또한, 암호화 DoS 공격 처리부(530)는 암호화된 프레임만이 입력되므로, 보안관리부(550)로부터 사용자의 설정에 의해 정의된 1비트의 DATA MAC프레임의 암호화 모드 파라미터(a551)만을 수신한다. 상기 1비트의 DATA MAC프레임 암호화 모드 파라미터를 이용하여 Common Port(410)로부터 입력된 프레임에 대해 서비스 거부 공격을 적용할 것인지 여부를 결정한다. In addition, since only the encrypted frame is input, the encrypted DoS attack processing unit 530 receives only the encryption mode parameter a551 of the 1-bit DATA MAC frame defined by the user's setting from the security management unit 550. It is determined whether a denial of service attack is applied to a frame input from the common port 410 using the 1-bit DATA MAC frame encryption mode parameter.

평문 DoS 공격 처리부(540)는 브로드캐스트 보안채널과 유니캐스트 보안채널에 대하여 서비스 거부 공격을 차단하기 위해 브로드캐스트 보안채널 서비스 거부 공격 처리부(541)와 유니캐스트 보안채널 서비스 거부 공격 처리부(542)를 포함한다. The plaintext DoS attack processing unit 540 uses the broadcast security channel denial of service attack processing unit 541 and the unicast security channel denial of service attack processing unit 542 to block denial of service attacks on the broadcast security channel and the unicast security channel. Include.

또한, 평문 DoS 공격 처리부(540)는 평문 MAC 프레임, OAM 프레임, MPCP 프레임이 입력되므로, 보안관리부(550)로부터 사용자의 설정에 의해 정의된 3비트의 프레임별 암호화 모드 파라미터(a552)와 DoS 공격 프레임 적용모드 파라미터(s553)를 수신한다. 상기 프레임별 암호화 모드 파라미터(a552) 및 DoS 공격 프레임 적용모드 파라미터(a553)를 이용하여 Common Port(410)로부터 입력된 평문 프레임들에 대해 서비스 거부 공격을 적용할 것인지 여부를 결정한다.In addition, since the plain text DoS attack processing unit 540 receives a plain text MAC frame, an OAM frame, and an MPCP frame, a 3-bit frame-by-frame encryption mode parameter a552 defined by a user's setting from the security management unit 550 and a DoS attack The frame application mode parameter s553 is received. It is determined whether a denial of service attack is applied to the plain text frames input from the common port 410 using the frame-by-frame encryption mode parameter a552 and the DoS attack frame application mode parameter a553.

보안 관리부(550)는 사용자로부터 상기 프레임 암호화 모드 파라미터(a551, a552) 및 상기 DoS 공격 적용 모드 파라미터(a553)를 입력받아 암호화 DoS 공격 처리부(530) 또는 평문 DoS 공격 처리부(540)로 전송한다.The security manager 550 receives the frame encryption mode parameters a551 and a552 and the DoS attack application mode parameter a553 from the user and transmits the received frame encryption mode parameters a551 and a552 to the encrypted DoS attack processing unit 530 or the plain text DoS attack processing unit 540.

도 7 은 도 4 에 도시된 서비스 거부 공격 차단부에서 처리과정을 도시한 흐름도이다.FIG. 7 is a flowchart illustrating a process in the denial of service attack blocking unit shown in FIG. 4.

도 7 에 도시된 흐름도는 프레임에 대해 보안 채널별로 사용자의 설정에 의해 정의된 모드에 따라 서비스 거부 공격 프레임인지를 체크하고, 서비스 거부 공격에 해당하는 프레임은 삭제하며 서비스 거부 공격에 해당하지 않는 프레임은 전 송하는 동작에 관한 것으로서, 매 프레임이 입력될 때마다 서비스 공격 프레임 체크를 순환적으로 반복한다. The flowchart shown in FIG. 7 checks whether a frame is a denial of service attack frame according to a mode defined by a user's setting for each security channel for a frame, deletes a frame corresponding to a denial of service attack, and does not correspond to a denial of service attack. Regarding the transmission operation, the service attack frame check is cyclically repeated for each frame input.

Common Port(410)를 통해 프레임이 입력되면 MACSecY수신부(400)는 암호화부 (480)가 활성화 되었는지 체크 한다 (s700). 암호화부가 활성화 되어 있지 않으면 서비스 거부 공격 차단부는 동작하지 않는다. Common Port(410)로부터 입력된 프레임이 암호화된 프레임인지 평문 프레임인지를 프레임의 SecTAG 내의 이더넷 타입 값으로 구분한다(S710). 암호화 프레임인 경우 SecTAG 내의 SCB Flag 값을 이용하여 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지를 체크한다(S720). When the frame is input through the common port 410, the MACSecY receiver 400 checks whether the encryption unit 480 is activated (s700). If the encryption section is not activated, the denial of service attack blocker does not work. Whether the frame input from the common port 410 is an encrypted frame or a plain text frame is distinguished by an Ethernet type value in SecTAG of the frame (S710). In the case of an encrypted frame, it is checked whether the frame is a broadcast secure channel or a unicast secure channel using the SCB Flag value in SecTAG (S720).

브로드캐스트 보안채널에 해당되는 프레임인 경우 브로드캐스트 프레임별 암호화 모드 파라미터 값에 기초하여 어떤 프레임에 대해 암호화가 설정되었는지 여부를 판단하고, 암호화 모드로 설정되어 있는 경우는 정상 프레임으로 판단하여 디코더(430)로 전송한다(S750). 그렇지 않은 경우, 상기 프레임을 서비스 거부 공격 프레임으로 간주하여 삭제한다(s760).In the case of a frame corresponding to the broadcast security channel, it is determined whether encryption is set for a frame based on the encryption mode parameter value of each broadcast frame, and in the case of the encryption mode, the decoder determines that the frame is a normal frame. In step S750). If not, the frame is regarded as a denial of service attack frame and deleted (s760).

유니캐스트 보안채널에 해당되는 프레임인 경우 유니캐스트 프레임별 암호화 모드 파라미터 값에 기초하여 어떤 프레임에 대해 암호화가 설정되었는지 여부를 판단하고(s740), 암호화 모드로 설정되어 있는 경우 정상 프레임이므로 디코더(430)로 전송한다(s750). 그렇지 않은 경우, 상기 프레임을 서비스 거부 공격 프레임으로 간주하여 삭제한다(s770).In the case of a frame corresponding to a unicast secure channel, it is determined whether encryption is set for a frame based on an encryption mode parameter value of each unicast frame (s740). In step (s750). If not, the frame is regarded as a denial of service attack frame and deleted (S770).

암호화된 프레임이 아닌 평문 프레임인 경우, 프레임의 LLID정보를 이용하여 2바이트 상위 LLID 값이 “7FFF" 또는 "FFFF"인지 체크하여, 브로드캐스트 보안채널에 해당하는 프레임인지 구분한다(s721). 브로드캐스트 보안채널에 해당되는 프레임을 다시 이더넷 타입 값을 기초로 구분한다(s732). In the case of the plain text frame, not the encrypted frame, the LLID information of the frame is used to check whether the two-byte upper LLID value is “7FFF” or “FFFF” to distinguish whether the frame corresponds to the broadcast security channel (s721). Frames corresponding to the cast security channel are again classified based on the Ethernet type value (s732).

상기 구분된 프레임에 프레임별 암호화 모드 파라미터가 설정되었는지 체크한다(s733). 상기 프레임별 암호화 모드 파라미터는 각 프레임별로 설정된다. 각 프레임에 대해 암호화 모드 파라미터가 설정되어 있을 경우 해당 프레임은 암호화된 프레임으로 전송해야 한다. 따라서 각 프레임에 대한 암호화 모드 파라미터가 설정되었을 경우 암호화 되지 않은 프레임이 입력되면 비정상 입력 프레임으로 처리한다. It is checked whether an encryption mode parameter for each frame is set in the divided frame (s733). The encryption mode parameter for each frame is set for each frame. If the encryption mode parameter is set for each frame, the frame must be transmitted as an encrypted frame. Therefore, when the encryption mode parameter is set for each frame, if an unencrypted frame is input, it is treated as an abnormal input frame.

그 후, 암호화 모드 파라미터 체크 단계에서(s733) 비정상 프레임으로 처리된 프레임에 대해 서비스 거부 공격 프레임으로 처리할 것인지 정상 프레임으로 처리할 것인지 체크하기 위해 DoS공격 적용모드 파라미터를 확인한다(s734). 서비스 거부 공격 프레임에 해당되는 프레임은 삭제되고(s735), 그렇지 않은 프레임은 Uncontrolled Port(460)로 전달한다(s736).Thereafter, in the encryption mode parameter check step (s733), the DoS attack application mode parameter is checked to check whether the frame processed as the abnormal frame is treated as a denial of service attack frame or a normal frame (s734). The frame corresponding to the denial of service attack frame is deleted (s735), and the frame not transmitted to the uncontrolled port 460 (s736).

브로드캐스트 보안 채널에서 사용자 설정 프레임별 암호화 모드 파라미터 및 DoS 공격 적용 파라미터를 통한 DoS공격 차단 처리의 일 실시예가 도 8에 도시되었다.An embodiment of the DoS attack blocking process through the encryption mode parameter and the DoS attack application parameter for each user set frame in the broadcast security channel is illustrated in FIG. 8.

유니캐스트 보안 채널에 해당하는 프레임의 경우도, 상기 서술한 브로드캐스트 보안 채널에 해당하는 프레임의 처리 흐름도와 유사하며, 프레임의 LLID정보를 이용하여 2바이트 상위 LLID 값이 “7FFF" 또는 "FFFF"가 아닌 경우, 입력 프레임 의 종류에 따라 암호화 모드가 설정되었는지 체크하고, DoS 공격을 적용할 것인지 여부를 판단한다.In the case of a frame corresponding to a unicast secure channel, the processing flow of the frame corresponding to the broadcast secure channel is similar to that described above, and the two-byte higher LLID value is “7FFF” or “FFFF” using the LLID information of the frame. If not, it checks whether the encryption mode is set according to the type of input frame and determines whether to apply a DoS attack.

도 9 는 도 4 에 도시된 재 전송 공격 차단부의 내부 하드웨어 구성도이다.FIG. 9 is a diagram illustrating an internal hardware configuration of the retransmission attack blocking unit shown in FIG. 4.

재 전송 공격 차단부는 보안채널 분류부(900), 보안연계 비교부(910), Replay 공격 차단부(920), 다중화기(930)를 포함한다. The retransmission attack blocking unit includes a security channel classification unit 900, a security association comparison unit 910, a replay attack blocking unit 920, and a multiplexer 930.

보안채널 분류부(900)에는 서비스 공격 처리부(421)를 통과한 암호화된 프레임이 입력된다. 상기 암호화된 프레임의 보안태그(SecTAG) 내의 SCB Flag 값을 이용하여 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지를 파악하고 보안채널 선택신호(a901)를 전송한다. The encrypted channel passed through the service attack processor 421 is input to the secure channel classifier 900. The SCB Flag value in the security tag (SecTAG) of the encrypted frame is used to determine whether the frame is a broadcast security channel or a unicast security channel, and a security channel selection signal a901 is transmitted.

보안연계 비교부(910)는 브로드캐스트 보안연계 비교부(911)와 유니캐스트 보안연계 비교부(912)를 포함하며, 현재 입력 프레임의 AN Flag 값과 이전 프레임의 AN Flag 값이 동일한지를 판단하여 보안연계의 연속성을 판단한다. 즉 AN Flag 값이 동일한 경우는 보안연계가 연속임을 표시하고, 그렇지 않은 경우는 비연속인 상태이다. 이 때 2 비트의 AN Flag 값은 보안 연계(SA, Security Association)를 구분하는 식별자 파라미터이다.The security association comparison unit 910 includes a broadcast security association comparison unit 911 and a unicast security association comparison unit 912, and determines whether the AN flag value of the current input frame and the AN flag value of the previous frame are the same. Determine continuity of security association. That is, if the AN Flag value is the same, it indicates that the security association is continuous, otherwise it is a discontinuous state. In this case, the 2-bit AN flag value is an identifier parameter for identifying a security association (SA).

브로드캐스트 보안연계 비교부(911)는 브로드캐스트 보안 채널 내에 존재하는 보안 연계에 대하여 보안연계의 상태가 변화되었는지를 체크한다. 이는 Current Master Key SA, Next Master Key SA, Current Common Key SA, Next Common Key SA 등 4개의 보안연계를 포함하고, 상기 SA에 대한 AN Flag 값은 사용자의 설정에 의해 미리 정의된다. The broadcast security association comparison unit 911 checks whether the security association status has changed with respect to the security association existing in the broadcast security channel. It includes four security associations: Current Master Key SA, Next Master Key SA, Current Common Key SA, Next Common Key SA, and the AN Flag value for the SA is predefined by the user's setting.

유니캐스트 보안연계 비교부(912)는 유니캐스트 보안 채널 내에 존재하는 보안 연계에 대하여 보안연계의 상태가 변화되었는지를 체크한다. 이는 Current Master Key SA, Next Master Key SA, Current Session Key SA, Next Session Key SA등 4개의 SA를 포함한다.The unicast security association comparison unit 912 checks whether the security association status has changed with respect to the security association existing in the unicast security channel. This includes four SAs: Current Master Key SA, Next Master Key SA, Current Session Key SA, and Next Session Key SA.

Replay 공격 차단부(920)는 상기 보안연계 비교부(910)에서 AN Flag 값의 동일성 판단 결과 보안연계가 동일하지 않은 경우 프레임을 바이패스 하는 바이패스부(925)와 보안연계가 동일한 경우 상기 프레임이 재 전송 공격 프레임인지 판단하는 Replay 체크부(924)를 포함한다. The replay attack blocking unit 920 determines that the security association is the same as the AN flag value in the security association comparison unit 910, if the security association is the same, the bypass unit 925 bypasses the frame and the security association is the same. And a replay check unit 924 for determining whether the frame is a retransmission attack frame.

Replay 체크부(924)는 Common Key SA Replay 체크기(921), Master Key SA Replay 체크기(922), Session Key SA Replay 체크기(923)를 포함한다. The replay checker 924 includes a Common Key SA Replay checker 921, a Master Key SA Replay checker 922, and a Session Key SA Replay checker 923.

Common Replay 체크기(921)는 이전 프레임에 입력된 브로드캐스트 보안채널 프레임의 패킷넘버 값과 현재 입력된 브로드캐스트 보안채널 프레임의 패킷넘버 값을 비교하여 현재 입력된 상기 패킷 넘버 값이 이전 프레임에 입력된 상기 패킷넘버 값보다 적거나 같은 경우 동일 프레임이 재 전송된 것으로 판단하고 프레임을 삭제하기 위한 신호를 전송한다. 그렇지 않은 경우에는 입력 프레임을 전송하는 신호를 전송한다. The common replay checker 921 compares the packet number value of the broadcast secure channel frame input in the previous frame with the packet number value of the currently input broadcast secure channel frame, and inputs the currently input packet number value in the previous frame. If less than or equal to the packet number value, it is determined that the same frame is retransmitted and a signal for deleting the frame is transmitted. Otherwise, a signal for transmitting an input frame is transmitted.

Session Replay 체크기(923)는 이전 프레임에 입력된 유니캐스트 보안채널 프레임의 패킷넘버 값과 현재 입력된 유니캐스트 보안채널 프레임의 패킷넘버 값을 비교하여 현재 입력된 상기 패킷 넘버 값이 이전 프레임에 입력된 상기 패킷 넘버 값보다 적거나 같은 경우 동일 프레임이 재 전송된 것으로 판단하고 프레임을 삭제 하기 위한 신호를 전송한다. 그렇지 않은 경우에는 입력 프레임을 전송하는 신호를 전송한다. The Session Replay checker 923 compares the packet number value of the unicast secure channel frame input in the previous frame with the packet number value of the currently input unicast secure channel frame, and inputs the packet number value currently input in the previous frame. If less than or equal to the packet number, it is determined that the same frame is retransmitted and a signal for deleting the frame is transmitted. Otherwise, a signal for transmitting an input frame is transmitted.

Master Replay 체크기(922)는 이전 프레임에 입력된 브로드캐스트 보안채널 또는 유니캐스트 보안채널 프레임의 패킷넘버 값과 현재 입력된 브로드캐스트 보안채널 또는 유니캐스트 보안채널 프레임의 패킷넘버 값을 비교하여 현재 입력된 상기 패킷 넘버 값이 이전 프레임에 입력된 상기 패킷 넘버 값보다 적거나 같은 경우 동일 프레임이 재 전송된 것으로 판단하고 프레임을 삭제하기 위한 신호를 전송한다. 그렇지 않은 경우에는 입력 프레임을 전송하는 신호를 전송한다. The Master Replay checker 922 compares the packet number value of the broadcast secure channel or unicast secure channel frame input to the previous frame with the packet number value of the currently entered broadcast secure channel or unicast secure channel frame. When the packet number value is less than or equal to the packet number value input in the previous frame, it is determined that the same frame is retransmitted and a signal for deleting the frame is transmitted. Otherwise, a signal for transmitting an input frame is transmitted.

도 10 은 재 전송 공격 차단 과정을 도시한 흐름도이다. 10 is a flowchart illustrating a retransmission attack blocking process.

도 10에 도시된 흐름은 암호화된 프레임에 대하여 보안연계별로 현재 프레임의 패킷 넘버 값과 이전 프레임의 패킷 넘버 값을 비교하여 재 전송 공격인지 판단하고, 이에 해당하는 프레임은 삭제하고, 그렇지 않은 프레임은 전송하는 동작에 관한 것으로서 매 프레임이 입력될 때마다 재 전송 공격 프레임 체크를 반복적으로 수행한다.The flow shown in FIG. 10 compares the packet number value of the current frame with the packet number value of the previous frame for each security association with respect to the encrypted frame, and determines whether the packet is a retransmission attack, and deletes the corresponding frame. It is related to the operation of transmitting. Retransmission attack frame check is repeatedly performed every frame is input.

서비스 거부 공격 차단부로부터 암호화된 프레임이 입력되면 상기 프레임이 브로드캐스트 보안채널 프레임에 해당하는지 유니캐스트 보안채널 프레임에 해당하는지를 파악한다(s1000). When an encrypted frame is input from the denial of service attack blocking unit, it is determined whether the frame corresponds to a broadcast secure channel frame or a unicast secure channel frame (S1000).

브로드캐스트 보안채널에 해당하는 프레임인 경우, 현재 프레임의 AN Flag 값이 이전 프레임의 AN' Flag 값과 동일한지를 비교한다(s1100). In the case of a frame corresponding to the broadcast security channel, the AN flag value of the current frame is compared with the AN 'flag value of the previous frame (S1100).

AN Flag 값이 동일한 경우 보안연계는 동일한 상태로서 연속성이 인정된다 (s1200). 이 경우, 보안연계가 Master Key SA인지 Common Key SA인지를 구분한다(s1400). If the AN Flag value is the same, the security association is recognized as the same state (s1200). In this case, it is determined whether the security association is a Master Key SA or a Common Key SA (s1400).

상기 보안연계가 Master Key SA 이면, 현재 프레임에 입력된 패킷 넘버 값(PN)과 이전 Master Key SA 프레임에 입력된 패킷 넘버 값(MK_PN')을 비교하여 재 전송 공격 프레임인지를 판단한다(s1600). 상기 PN 값이 상기 MK_PN'보다 작거나 동일한 경우에는 재 전송 공격 프레임에 해당하여 프레임을 삭제하고(s1710), 그렇지 않은 경우에는 정상 프레임으로 판단하여 프레임을 전송한다. 그리고 현재 프레임에 입력된 PN 값을 MK_PN'값에 저장한다(S1800).If the security association is Master Key SA, it is determined whether the retransmission attack frame is compared by comparing the packet number value PN inputted in the current frame and the packet number value MK_PN 'inputted in the previous Master Key SA frame (s1600). . If the PN value is less than or equal to the MK_PN ', the frame is deleted in response to the retransmission attack frame (S1710). Otherwise, the frame is determined to be a normal frame and transmitted. The PN value input in the current frame is stored in the MK_PN 'value (S1800).

상기 보안연계가 Common Key SA 인 경우, 현재 프레임에 입력된 패킷 넘버(PN)값과 이전 Common Key SA 프레임에 입력된 패킷 넘버 값(CK_PN')을 비교하여 재전송 공격 프레임인지를 판단하고, 상기 PN 값이 상기 CK_PN'보다 작거나 동일한 경우에는 재전송 공격 프레임에 해당하여 프레임을 삭제하고, 그렇지 않은 경우에는 정상 프레임으로 판단하여 프레임을 전송한다. 그리고 현재 프레임에 입력된 PN 값을 CK_PN'값에 저장한다. When the security association is Common Key SA, it is determined whether a retransmission attack frame is made by comparing a packet number PN inputted in a current frame and a packet number value CK_PN 'inputted in a previous Common Key SA frame. If the value is smaller than or equal to CK_PN ', the frame is deleted in response to the retransmission attack frame. Otherwise, the frame is determined to be a normal frame, and the frame is transmitted. The PN value input in the current frame is stored in the CK_PN 'value.

반면 AN Flag 값이 다르면 보안연계는 연속성이 인정되지 않고, 현재 프레임의 AN Flag 값을 이전 프레임의 AN Flag 값을 저장하는 레지스터에 저장한다(s1300).On the other hand, if the AN Flag value is different, the security association does not recognize the continuity, and stores the AN Flag value of the current frame in a register that stores the AN Flag value of the previous frame (s1300).

유니캐스트 보안채널에 해당하는 프레임인 경우, 현재 프레임의 AN Flag 값이 이전 프레임의 AN' Flag 값과 동일한지를 비교한다(s1101). In the case of a frame corresponding to the unicast secure channel, the AN flag value of the current frame is compared with the AN 'flag value of the previous frame (S1101).

AN Flag 값이 동일한 경우 보안연계는 동일한 상태로서 연속성이 인정된다 (s1201). 이 경우, 보안연계가 Master Key SA인지 Session Key SA인지를 구분한다(s1401). If the AN Flag value is the same, the security association is recognized as the same state (s1201). In this case, it is determined whether the security association is a Master Key SA or a Session Key SA (s1401).

상기 보안연계가 Master Key SA 이면, 현재 프레임에 입력된 패킷 넘버 값(PN)과 이전 Master Key SA 프레임에 입력된 패킷 넘버 값(MK_PN')을 비교하여 재전송 공격 프레임인지를 판단한다(s1601). 상기 PN 값이 상기 MK_PN'보다 작거나 동일한 경우에는 재전송 공격 프레임에 해당하여 프레임을 삭제하고(s1710), 그렇지 않은 경우에는 정상 프레임으로 판단하여 프레임을 전송한다. 그리고 현재 프레임에 입력된 PN 값을 MK_PN'값에 저장한다(S1720).If the security association is Master Key SA, it is determined whether the retransmission attack frame is compared by comparing the packet number value PN inputted in the current frame and the packet number value MK_PN 'inputted in the previous Master Key SA frame (S1601). If the PN value is smaller than or equal to the MK_PN ', the frame is deleted in response to the retransmission attack frame (S1710). Otherwise, the frame is determined to be a normal frame and transmitted. The PN value input in the current frame is stored in the MK_PN 'value (S1720).

상기 보안연계가 Session Key SA 인 경우, 현재 프레임에 입력된 패킷 넘버 값과(PN)과 이전 Session Key SA 프레임에 입력된 패킷 넘버 값(SK_PN')을 비교하여 재전송 공격 프레임인지를 판단한다. 상기 PN 값이 상기 SK_PN'보다 작거나 동일한 경우에는 재전송 공격 프레임에 해당하여 프레임을 삭제하고, 그렇지 않은 경우에는 정상 프레임으로 판단하여 프레임을 전송한다. 그리고 현재 프레임에 입력된 PN 값을 SK_PN'값에 저장한다. If the security association is a Session Key SA, it is determined whether the retransmission attack frame is compared by comparing the packet number value (PN) input in the current frame and the packet number value (SK_PN ') input in the previous Session Key SA frame. If the PN value is less than or equal to the SK_PN ', the frame is deleted in response to the retransmission attack frame. Otherwise, the frame is determined to be a normal frame and the frame is transmitted. The PN value input in the current frame is stored in the SK_PN 'value.

반면 AN Flag 값이 다르면 보안연계는 연속성이 인정되지 않고, 현재 프레임의 AN Flag 값을 이전 프레임의 AN Flag 값을 저장하는 레지스터에 저장한다(s1301).On the other hand, if the AN Flag value is different, the security association does not recognize the continuity, and stores the AN Flag value of the current frame in a register that stores the AN Flag value of the previous frame (s1301).

본 발명은 EPON ONU 단말에서 링크 암호화 공격 차단장치로서 외부 해커로부터 공격당하기 쉽고 ONU 시스템 운영에 있어 치명적인 결과를 가져오는 서비스 거 부 공격 및 재 전송 공격 차단 기능을 제공한다.The present invention provides a service rejection attack and a retransmission attack blocking function that is easy to be attacked by an external hacker as a link encryption attack blocking device in the EPON ONU terminal and has a fatal result in the operation of the ONU system.

또한 사용자의 정의에 따라 설정된 파라미터 값에 따라 프레임별로 서비스 거부 공격 프레임을 선택하고 필터링하여 차단한다.In addition, denial of service attack frames are selected and filtered for each frame according to the parameter value set according to the definition of the user.

뿐만 아니라, 재 전송 공격에 대하여서 보안 연계별로 해킹 공격에 대하여 필터링하고 차단함으로서 이더넷 보안 서비스와 성능을 보장한다. In addition, Ethernet security services and performance are guaranteed by filtering and blocking hacking attacks by security association for retransmission attacks.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플라피 디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. Computer-readable recording media include all kinds of recording devices that store data that can be read by a computer system. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, which are also implemented in the form of carrier waves (for example, transmission over the Internet). It also includes. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

이상 도면과 명세서에서 최적 실시예들이 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.The best embodiments have been disclosed in the drawings and specification above. Although specific terms have been used herein, they are used only for the purpose of describing the present invention and are not used to limit the scope of the present invention as defined in the meaning or claims. Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible from this. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

Claims (26)

프레임의 보안태크 필드 내의 타입 값을 기초로 상기 프레임의 종류가 암호화 프레임인지 평문 프레임인지 파악하는 프레임 분류부;A frame classifying unit which determines whether the type of the frame is an encrypted frame or a plain text frame based on a type value in a security tag field of a frame; 상기 보안태그 필드 내의 SCB 플래그 값을 기초로 상기 암호화 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하고, 상기 프레임의 논리적 링크 식별자(LLID) 필드 값을 기초로 상기 평문 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하는 보안채널 분류부;Determine whether the encrypted frame is a broadcast channel or a unicast channel based on an SCB flag value in the security tag field, and unicast whether the plaintext frame is a broadcast channel based on a logical link identifier (LLID) field value of the frame Secure channel classification unit to determine whether the channel; 프레임 종류별, 보안채널 별로 보안기능 적용여부를 정의한 암호화 모드 파라미터 및 상기 암호화 모드 파라미터 별로 정의한 DoS 공격 적용 모드 파라미터를 기초로 상기 프레임에 대한 서비스 거부 공격을 처리하는 DoS 공격 차단부;를 포함하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 서비스 거부 공격 처리 장치.Defined whether to apply security function by frame type or security channel Denial of service attack processing to block a link encryption attack, comprising: a DoS attack blocking unit for processing a denial of service attack on the frame based on an encryption mode parameter and DoS attack application mode parameters defined for each of the encryption mode parameters Device. 제 1 항에 있어서, 상기 DoS 공격 차단부는The method of claim 1, wherein the DoS attack blocking unit 브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 암호화 프레임을 상기 암호화 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 암호화 DoS 공격 처리부; 및An encryption DoS attack processor configured to determine whether a denial of service attack is performed on a frame-by-frame basis based on the encryption mode parameter in a broadcast security channel or a unicast security channel; And 브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 평문 프레임을 상기 암호화 모드 파라미터 및 상기 DoS 공격 프레임 적용 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 평문 DoS 공격 처리부;를 포함하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 서비스 거부 공격 처리 장치. And a plain text DoS attack processor configured to determine whether a denial of service attack is performed on a frame-by-frame basis based on the encryption mode parameter and the DoS attack frame application mode parameter in a broadcast secure channel or a unicast secure channel. A denial of service attack processing device that blocks a link encryption attack. 제 1 항에 있어서, The method of claim 1, 사용자로부터 상기 프레임 암호화 모드 파라미터 및 상기 DoS 공격 적용 모드 파라미터를 입력받아 상기 DoS 공격 차단부로 전송하는 보안관리부;를 더 포함하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 서비스 거부 공격 처리 장치. And a security management unit which receives the frame encryption mode parameter and the DoS attack application mode parameter from a user and transmits the received frame encryption mode parameter to the DoS attack blocking unit. 프레임의 보안태그 필드 내의 SCB 플래그 값을 기초로 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악하는 보안채널 분류부;A secure channel classification unit for identifying whether the frame is a broadcast secure channel or a unicast secure channel based on an SCB flag value in a security tag field of a frame; 상기 보안채널별로 상기 프레임의 보안태그 필드 내의 AN Flag 값을 기초로 보안연계를 파악하고 상기 파악된 보안연계가 이전 프레임의 보안연계와 동일한지 파악하는 보안연계 비교부;A security association comparing unit for identifying a security association based on an AN flag value in a security tag field of the frame for each security channel and determining whether the identified security association is the same as the security association of a previous frame; 보안연계가 동일 상태를 나타내는 경우 상기 프레임이 재전송 공격 프레임인지 여부를 판단하는 Replay 공격 차단부;를 포함하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 재전송 공격 차단 장치.And a replay attack blocking unit for determining whether the frame is a retransmission attack frame when the security association indicates the same state. 제 4 항에 있어서, Replay 공격 차단부는 The method of claim 4, wherein the Replay attack blocking unit 상기 보안연계가 동일하지 않은 경우 상기 프레임을 바이패스하는 바이패스 부;Bypass unit bypassing the frame when the security association is not the same; 상기 보안연계가 동일한 경우 상기 AN Flag 값을 기초로 구분된 보안연계 내의 프레임의 패킷넘버 값이 이전 보안연계 내의 프레임의 패킷넘버 값보다 큰 경우 프레임을 전송하고 Replay 체크부;를 포함하는 것을 특징으로 하는 재전송 공격 차단 장치 .And if the security association is the same, if the packet number value of the frame in the security association divided based on the AN flag value is greater than the packet number value of the frame in the previous security association, the frame is transmitted and a replay checker. Replay Attack Blocker. 제 5 항에 있어서, 상기 바이패스부는The method of claim 5, wherein the bypass unit 이전 프레임의 AN Flag 값을 상기 프레임의 AN Flag 값으로 갱신하는 것을 특징으로 하는 재전송 공격 차단 장치.And retransmitting an AN flag value of a previous frame to an AN flag value of the frame. 제 5 항에 있어서, 상기 Replay 체크부는The method of claim 5, wherein the Replay check unit 상기 프레임 전송시 이전 프레임의 패킷넘버값을 상기 프레임의 상기 패킷넘버 값으로 갱신하는 것을 특징으로 하는 재전송 공격 차단 장치.And retransmit the packet number value of the previous frame to the packet number value of the frame when transmitting the frame. 프레임의 보안태그 필드를 기초로 프레임의 종류 및 보안 채널을 파악하고, 상기 파악된 프레임 종류 및 보안채널 별로 보안기능 적용여부를 정의한 사용자 설정 파라미터를 기초로 상기 프레임에 대한 서비스 거부 공격을 처리하는 서비스 거부 공격 처리부;A service for identifying a type and a security channel of a frame based on a security tag field of a frame and processing a denial of service attack on the frame based on a user setting parameter defining whether to apply a security function to each of the identified frame type and security channel. Reject attack processing unit; 상기 보안채널 별로, 상기 프레임 내의 AN Flag 값에 기초하여 상기 해당 보안채널에서 상기 프레임을 보안 연계별를 파악하고 상기 파악된 보안 연계의 동일 성 판단을 기초로 재전송 공격 여부를 판단하는 재전송 공격 차단부;For each security channel, a retransmission attack blocking unit for identifying a security association for the frame in the corresponding security channel based on an AN flag value in the frame, and determining whether to retransmit an attack based on determining the sameness of the identified security association; 상기 프레임을 파라미터 별로 분해하는 디코더;A decoder that decomposes the frame for each parameter; 상기 디코더로부터 수신한 파라미터를 기초로 상기 프레임을 평문 프레임으로 복호화 하고 무결성을 체크하는 암호화부;An encryption unit which decrypts the frame into a plain text frame and checks integrity based on a parameter received from the decoder; 상기 프레임에 대한 프레임 내의 FCS 값을 상기 복호화된 프레임에 대한 FCS 값으로 재생성하는 FCS생성부;를 포함하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 SecY 수신부 장치.And a FCS generator for regenerating the FCS value in the frame for the frame into the FCS value for the decrypted frame. 제 8 항에 있어서, 상기 서비스 거부 공격 처리부는The method of claim 8, wherein the denial of service attack processing unit 상기 보안 태그 필드 내의 타입 값을 기초로 상기 프레임이 암호화 프레임이지 평문 프레임인지 파악하고, 상기 보안 태그 필드 내의 SCB 태그를 기초로 상기 암호화 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악하며, 상기 프레임의 논리적 링크 식별자(LLID) 필드 값을 기초로 상기 평문 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 SecY 수신부 장치.Determine whether the frame is an encrypted frame or a plain text frame based on a type value in the security tag field, and determine whether the encrypted frame is a broadcast secure channel or a unicast secure channel based on an SCB tag in the secure tag field; SecY receiving apparatus for blocking a link encryption attack, characterized in that whether the plain text frame is a broadcast channel or a unicast channel based on the logical link identifier (LLID) field value of the frame. 제 9 항에 있어서, 상기 서비스 거부 공격 처리부는The method of claim 9, wherein the denial of service attack processing unit 상기 사용자 설정 파라미터로 상기 프레임 종류별, 보안채널 별로 보안기능 적용여부를 정의한 프레임 암호화 모드 파라미터 및 상기 DoS 공격 적용 모드 파라미터를 입력받아 상기 DoS 공격 차단부로 전송하는 보안관리부;를 더 포함 하는 것 을 특징으로 하는 링크 암호화 공격을 차단하는 SecY 수신부 장치.And a security management unit for receiving the frame encryption mode parameter and the DoS attack application mode parameter that define whether the security function is applied to each of the frame type and the security channel as the user setting parameter and transmitting the received DoS attack blocking unit to the DoS attack blocking unit. SecY receiver device that blocks a link encryption attack. 제 10 항에 있어서, 상기 서비스 거부 공격 처리부는 The system of claim 10, wherein the denial of service attack processing unit 브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 암호화 프레임을 상기 프레임 암호화 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 암호화 DoS 공격 처리부; 및An encryption DoS attack processor configured to determine whether a denial of service attack is performed on a frame-by-frame basis based on the frame encryption mode parameter in a broadcast secure channel or a unicast secure channel; And 브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 평문 프레임을 상기 프레임 암호화 모드 파라미터 및 상기 DoS 공격 프레임 적용 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 평문 DoS 공격 처리부;를 포함하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 SecY 수신부 장치.And a plain text DoS attack processor configured to determine whether a denial of service attack is performed on a frame-by-frame basis based on the frame encryption mode parameter and the DoS attack frame application mode parameter in a broadcast secure channel or a unicast secure channel. SecY receiver unit for blocking a link encryption attack. 제 8 항에 있어서, 상기 재전송 공격 차단부는The method of claim 8, wherein the retransmission attack blocking unit 상기 AN Flag 값을 기초로 파악된 보안연계가 이전 프레임의 보안연계와 동일한지 판단하고, It is determined whether the security association determined based on the AN Flag value is the same as the security association of the previous frame. 상기 보안연계가 동일하지 않은 경우 프레임을 바이패스하는 바이패스부;Bypass unit for bypassing the frame when the security association is not the same; 상기 보안연계가 동일한 경우 상기 AN Flag 값을 기초로 구분된 보안연계 내If the security association is the same, within the security association divided based on the AN Flag value 의 프레임의 패킷넘버 값이 이전 보안연계 내의 프레임의 패킷넘버 값보다 큰 경우 프레임을 전송하는 Replay 체크부;를 포함하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 SecY 수신부 장치.And a Replay check unit for transmitting the frame when the packet number value of the frame is greater than the packet number value of the frame in the previous security association. 제 12 항에 있어서, 상기 바이패스부는The method of claim 12, wherein the bypass unit 이전 프레임의 AN Flag 값을 상기 프레임의 AN Flag 값으로 갱신하는 것을 특징으로 하는 MACSecY 수신부 장치.MACSecY receiver unit characterized in that for updating the AN Flag value of the previous frame to the AN Flag value of the frame. 제 12 항에 있어서, 상기 Replay 체크부는The method of claim 12, wherein the Replay check unit 상기 프레임 전송시 이전 프레임의 패킷넘버값을 상기 프레임의 상기 패킷넘버 값으로 갱신하는 것을 특징으로 하는 MACSecY 수신부 장치.And the packet number value of the previous frame is updated to the packet number value of the frame when the frame is transmitted. 프레임의 보안태그 필드 내의 타입 값을 기초로 상기 프레임의 종류가 암호화 프레임인지 평문 프레임인지 파악하는 단계;Determining whether the type of the frame is an encrypted frame or a plain text frame based on a type value in a security tag field of the frame; 상기 보안태그 필드 내의 SCB 플래그 값을 기초로 상기 암호화 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하고, 상기 프레임의 논리적 링크 식별자(LLID) 필드 값을 기초로 상기 평문 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하는 단계;Determine whether the encrypted frame is a broadcast channel or a unicast channel based on an SCB flag value in the security tag field, and unicast whether the plaintext frame is a broadcast channel based on a logical link identifier (LLID) field value of the frame Determining whether it is a channel; 프레임 종류별, 보안채널 별로 보안기능 적용여부를 정의한 암호화 모드 파라미터 및 상기 암호화 모드 파라미터 별로 정의한 DoS 공격 적용 모드 파라미터를 기초로 상기 프레임에 대한 서비스 거부 공격을 처리하는 단계;를 포함하는 것을 특징으로 하는 서비스 거부 공격 차단 방법.Defined whether to apply security function by frame type or security channel And processing a denial of service attack on the frame based on an encryption mode parameter and a DoS attack application mode parameter defined for each of the encryption mode parameters. 제 15 항에 있어서, 상기 서비스 거부 공격을 처리하는 단계는16. The method of claim 15, wherein processing the denial of service attack 브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 암호화 프레임을 상기 프레임 암호화 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 단계; 및Determining whether a denial of service attack is performed on a frame-by-frame basis based on the frame encryption mode parameter in a broadcast secure channel or a unicast secure channel; And 브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 평문 프레임을 상기 프레임 암호화 모드 파라미터 및 상기 DoS 공격 프레임 적용 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 서비스 거부 공격 차단 방법.Determining whether the plaintext frame is a denial of service attack on a frame-by-frame basis based on the frame encryption mode parameter and the DoS attack frame application mode parameter in a broadcast secure channel or a unicast secure channel. How to block denial attacks. 프레임의 보안태그 필드 내의 SCB 플래그 값을 기초로 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악하는 단계;Determining whether the frame is a broadcast secure channel or a unicast secure channel based on an SCB flag value in a frame's security tag field; 상기 보안채널별로 상기 프레임의 보안태그 필드 내의 AN Flag 값을 기초로 보안연계를 파악하고 상기 파악된 보안연계가 이전 프레임의 보안연계와 동일한지 판단하는 단계;Identifying a security association based on an AN flag value in the security tag field of the frame for each security channel and determining whether the identified security association is the same as the security association of a previous frame; 상기 보안연계가 동일 상태를 나타내는 경우 상기 프레임이 재전송 공격 프레임인지 여부를 판단하는 단계;Determining whether the frame is a retransmission attack frame when the security association indicates the same state; 상기 보안연계가 동일 상태가 아닌 경우, 상기 프레임을 바이패스 하는 단계;를 포함하는 것을 특징으로 하는 재전송 공격 차단 방법.And bypassing the frame when the security association is not the same. 제 17 항에 있어서, 상기 프레임이 재전송 공격 프레임인지 여부를 판단하는 단계는 18. The method of claim 17, wherein determining whether the frame is a retransmission attack frame 상기 AN Flag 값을 기초로 구분된 보안연계 내의 프레임의 패킷넘버 값이 이전 보안연계 내의 프레임의 패킷넘버 값보다 큰 경우 프레임을 전송하고 그렇지 않은 경우 프레임을 삭제하는 것을 특징으로 하는 재전송 공격 차단 방법.And if the packet number of the frame in the security association divided based on the AN flag value is greater than the packet number value of the frame in the previous security association, transmitting the frame and deleting the frame. 제 17 항에 있어서, 상기 프레임을 바이패스하는 단계는18. The method of claim 17, wherein bypassing the frame 이전 프레임의 AN Flag 값을 상기 프레임의 AN Flag 값으로 갱신하는 것을 특징으로 하는 재전송 공격 차단 방법.And retransmitting an AN flag value of a previous frame to an AN flag value of the frame. 제 17 항에 있어서, The method of claim 17, 상기 프레임 전송시 이전 프레임의 패킷넘버값을 상기 프레임의 상기 패킷넘버 값으로 갱신하는 것을 특징으로 하는 재전송 공격 차단 방법.And retransmitting a packet number value of a previous frame to the packet number value of the frame when the frame is transmitted. (a)프레임의 보안태그 필드를 기초로 프레임의 종류 및 보안 채널을 파악하는 단계;(a) identifying a type and a security channel of the frame based on the security tag field of the frame; (b)상기 파악된 프레임 종류 및 보안채널 별로 보안기능 적용여부를 정의한 사용자 설정 파라미터를 기초로 상기 프레임에 대한 서비스 거부 공격을 처리하는 단계;(b) processing a denial of service attack on the frame based on a user setting parameter that defines whether to apply a security function for each identified frame type and security channel; (c)상기 보안채널 별로, 상기 프레임 내의 AN Flag 값에 기초하여 상기 해당 보안채널에서 상기 프레임을 보안 연계별를 파악하는 단계;(c) identifying, by the security channel, the security association for each of the frames in the corresponding security channel based on an AN flag value in the frame; (d)상기 파악된 보안 연계의 동일성 판단을 기초로 재전송 공격 여부를 판단 하는 단계;(d) determining whether a retransmission attack is made based on determining the identity of the identified security association; (e)상기 프레임을 파라미터 별로 분해하는 단계;(e) decomposing the frame for each parameter; (f)상기 디코더로부터 수신한 파라미터를 기초로 상기 프레임을 평문 프레임으로 복호화 하고 무결성을 체크하는 단계;(f) decoding the frame into a plain text frame and checking its integrity based on the parameter received from the decoder; (g)상기 프레임에 대한 프레임 내의 FCS 값을 상기 복호화된 프레임에 대한 FCS 값으로 재생성하는 단계;를 포함하는 것을 특징으로 하는 링크 암호화 공격 차단 방법.(g) regenerating the FCS value in the frame for the frame into the FCS value for the decrypted frame. 제 21 항에 있어서, 상기 (a) 단계는 The method of claim 21, wherein step (a) 상기 보안 태그 필드 내의 타입 값을 기초로 상기 프레임이 암호화 프레임이지 평문 프레임인지 파악하고, 상기 보안 태그 필드 내의 SCB 태그를 기초로 상기 암호화 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악하며, 상기 프레임의 논리적 링크 식별자(LLID) 필드 값을 기초로 상기 평문 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하는 것을 특징으로 하는 링크 암호화 공격 차단 방법. Determine whether the frame is an encrypted frame or a plain text frame based on a type value in the security tag field, and determine whether the encrypted frame is a broadcast secure channel or a unicast secure channel based on an SCB tag in the secure tag field; And determining whether the plaintext frame is a broadcast channel or a unicast channel based on a logical link identifier (LLID) field value of a frame. 제 22항에 있어서, 상기 (b) 단계는The method of claim 22, wherein step (b) 상기 사용자 설정 파라미터로 상기 프레임 종류별, 보안채널 별로 보안기능 적용여부를 정의한 프레임 암호화 모드 파라미터 및 상기 DoS 공격 적용 모드 파라미터를 입력받으며, Receiving a frame encryption mode parameter and a DoS attack application mode parameter that define whether to apply a security function for each frame type and security channel as the user setting parameter; (b1)브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 암호화 프레임을 상기 프레임 암호화 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 단계; 및(b1) determining whether a denial of service attack is performed on a frame-by-frame basis based on the frame encryption mode parameter in a broadcast secure channel or a unicast secure channel; And (b2)브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 평문 프레임을 상기 프레임 암호화 모드 파라미터 및 상기 DoS 공격 프레임 적용 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 링크 암호화 공격 차단 방법.(b2) determining whether a plaintext frame is a denial of service attack on a frame-by-frame basis based on the frame encryption mode parameter and the DoS attack frame application mode parameter in a broadcast secure channel or a unicast secure channel; and How to block link encryption attacks. 제 21 항에 있어서, 상기 (d) 단계에 있어서, The method of claim 21, wherein in step (d), 상기 AN Flag 값을 기초로 파악된 보안연계가 이전 프레임의 보안연계와 동일한지 판단하고, It is determined whether the security association determined based on the AN Flag value is the same as the security association of the previous frame. (d1)상기 보안연계가 동일하지 않은 경우 프레임을 바이패스하는 단계;(d1) bypassing the frame when the security association is not the same; (d2)상기 보안연계가 동일한 경우 상기 AN Flag 값을 기초로 구분된 보안연계 내의 프레임의 패킷넘버 값이 이전 보안연계 내의 프레임의 패킷넘버 값보다 큰 경우 프레임을 전송하는 단계;를 포함하는 것을 특징으로 하는 링크 암호화 공격 차단 방법.(d2) when the security association is the same, transmitting the frame when the packet number value of the frame in the security association divided based on the AN flag value is greater than the packet number value of the frame in the previous security association; How to block link encryption attacks. 제 24 항에 있어서, 상기 (d1) 단계는The method of claim 24, wherein step (d1) 이전 프레임의 AN Flag 값을 상기 프레임의 AN Flag 값으로 갱신하는 단계를 포함하는 것을 특징으로 하는 링크 암호화 공격 차단 방법.Updating an AN flag value of a previous frame with an AN flag value of the frame. 제 24 항에 있어서, 상기 (d2) 단계는The method of claim 24, wherein step (d2) 상기 프레임 전송시 이전 프레임의 패킷넘버값을 상기 프레임의 상기 패킷넘버 값으로 갱신하는 것을 특징으로 하는 링크 암호화 공격 차단 방법. And link packet update value of the previous frame to the packet number value of the frame during transmission of the frame.
KR1020050037845A 2004-12-14 2005-05-06 Method and Apparatus for Protection to Link Security Attack KR100617321B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20040105415 2004-12-14
KR1020040105415 2004-12-14

Publications (2)

Publication Number Publication Date
KR20060067099A KR20060067099A (en) 2006-06-19
KR100617321B1 true KR100617321B1 (en) 2006-08-30

Family

ID=37161715

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050037845A KR100617321B1 (en) 2004-12-14 2005-05-06 Method and Apparatus for Protection to Link Security Attack

Country Status (1)

Country Link
KR (1) KR100617321B1 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100798921B1 (en) * 2005-12-07 2008-01-29 한국전자통신연구원 A Method for controlling security channel in the MAC Security network and terminal device using the same
US7724899B2 (en) 2005-12-07 2010-05-25 Electronics And Telecommunications Research Insitute Method for controlling security channel in MAC security network and terminal using the same
KR100737527B1 (en) * 2005-12-08 2007-07-10 한국전자통신연구원 Method and device for controlling security channel in epon
CN101141241B (en) 2006-09-06 2010-08-18 华为技术有限公司 Method and network appliance for implementing MAC safety
KR100917601B1 (en) * 2007-07-03 2009-09-17 한국전자통신연구원 Method and attestation system for preventing attestation relay attack
CN116700110B (en) * 2023-06-30 2024-03-26 中汽院新能源科技有限公司 Distributed driving new energy automobile control method based on multi-module division

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001033317A1 (en) 1999-10-29 2001-05-10 Koninklijke Philips Electronics N.V. Assuring data integrity via a secure counter
KR20040041978A (en) * 2002-11-12 2004-05-20 엘지전자 주식회사 Method of Protecting Hacking in the Router/Switch System

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001033317A1 (en) 1999-10-29 2001-05-10 Koninklijke Philips Electronics N.V. Assuring data integrity via a secure counter
KR20040041978A (en) * 2002-11-12 2004-05-20 엘지전자 주식회사 Method of Protecting Hacking in the Router/Switch System

Also Published As

Publication number Publication date
KR20060067099A (en) 2006-06-19

Similar Documents

Publication Publication Date Title
US7051365B1 (en) Method and apparatus for a distributed firewall
US8379638B2 (en) Security encapsulation of ethernet frames
US7061899B2 (en) Method and apparatus for providing network security
US9461975B2 (en) Method and system for traffic engineering in secured networks
US7536715B2 (en) Distributed firewall system and method
Kent et al. RFC 4301: Security architecture for the Internet protocol
US8136152B2 (en) Method and system for securely scanning network traffic
TWI362859B (en)
US20080162922A1 (en) Fragmenting security encapsulated ethernet frames
KR100617321B1 (en) Method and Apparatus for Protection to Link Security Attack
KR100839941B1 (en) Abnormal ipsec packet control system using ipsec configuration and session data, and method thereof
US9015825B2 (en) Method and device for network communication management
US10841840B2 (en) Processing packets in a computer system
US20120163383A1 (en) Method and device for transmitting data between two secured ethernet-type networks through a routed network
CN110492994B (en) Trusted network access method and system
RU2163744C2 (en) Protective system for virtual channel of corporate- network using fiscal data access control and built around channels and switching facilities of shared communication network
EP1290852A2 (en) Distributed firewall system and method
Ahmed et al. Architecture based on tor network for securing the communication of northbound interface in sdn
KR102421722B1 (en) Network information security method and apparatus
JP2005065004A (en) Method, device and program for inspecting encrypted communication data
Sailer et al. History based distributed filtering-a tagging approach to network-level access control
Kundu Mitigation of Storage Covert Channels in IPSec for QoS Aware Applications
Nahi et al. Design and Implementation of a Holistic and Robust Wi-Fi Authentication and Authorization Framework for Secure Wireless Networks
Baltatu et al. IP security
KR20110087972A (en) Method for blocking abnormal traffic using session table

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee