KR100617321B1 - Method and Apparatus for Protection to Link Security Attack - Google Patents
Method and Apparatus for Protection to Link Security Attack Download PDFInfo
- Publication number
- KR100617321B1 KR100617321B1 KR1020050037845A KR20050037845A KR100617321B1 KR 100617321 B1 KR100617321 B1 KR 100617321B1 KR 1020050037845 A KR1020050037845 A KR 1020050037845A KR 20050037845 A KR20050037845 A KR 20050037845A KR 100617321 B1 KR100617321 B1 KR 100617321B1
- Authority
- KR
- South Korea
- Prior art keywords
- frame
- security
- attack
- channel
- value
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Abstract
본 발명은 링크 암호화를 제공하는 EPON (Ethernet Passive Optical Network)망에서 제 3자에 의해 가해지는 서비스 거부 공격과 재 전송 서비스 공격을 차단하는 장치 및 그 방법에 관한 것이다. 서비스 거부 공격 처리부는 입력 프레임이 브로드캐스트 보안채널로부터 전송된 프레임인지 유니캐스트 보안채널로부터 전송된 프레임인지 구분하고, 프레임의 종류가 암호화 프레임인지 평문 프레임인지 분류한다. The present invention relates to an apparatus and method for preventing denial of service attacks and retransmission service attacks by third parties in an Ethernet passive optical network (EPON) network providing link encryption. The denial of service attack processing unit distinguishes whether an input frame is a frame transmitted from a broadcast security channel or a frame transmitted from a unicast security channel, and classifies whether the frame type is an encryption frame or a plain text frame.
그리고 각 보안 채널에 설정된 프레임별 암호화 적용여부를 정의한 암호화 모드 파라미터 및 암호화 모드 정의에 위배된 입력 프레임들의 DoS공격 적용여부를 결정하는 DoS공격 프레임 적용 모드에 따라 서비스 거부 공격 프레임을 축출하고 처리한다. 재 전송 공격 차단부는 암호화된 프레임 내에 포함된 패킷 번호 (Packet Number)와 논리적인 보안 채널 식별자 AN (Association Number)값을 기반으로 동일한 AN값을 가진 프레임들에서 패킷 번호가 계속 증가하지 않고, 동일하거나 이전의 값이 다시 입력된 프레임에 대해 재 전송 공격으로 축출하고 처리한다. The denial of service attack frame is evicted and processed according to an encryption mode parameter defining whether to apply encryption for each frame set in each security channel and a DoS attack frame application mode that determines whether DoS attacks are applied to input frames that violate the encryption mode definition. The retransmission attack blocker does not continuously increase the packet number in frames having the same AN value based on the packet number included in the encrypted frame and the logical secure channel identifier (AN) value. Evict and process the retransmission attack for frames whose previous values have been re-entered.
DoS 공격 차단, 재전송 공격 차단 DoS attack blocking, replay attack blocking
Description
도 1 은 현재 IEEE802.1AE 작업그룹에서 표준화중인 SecY수신부 모듈 구조도이다.1 is a schematic diagram of a SecY receiver module being standardized in the IEEE802.1AE working group.
도 2 는 도 1 에 도시된 MACSecY 수신부로 입력되는 암호화된 프레임 구조를 도시한다. FIG. 2 illustrates an encrypted frame structure input to the MACSecY receiver shown in FIG. 1.
도 3 은 도 1 에 도시된 MACsecY수신부로 입출력 되는 암호화 되지 않은 평문 프레임 종류별 구조도이다.FIG. 3 is a structural diagram of unencrypted plaintext frame types inputted and outputted to the MACsecY receiver shown in FIG. 1.
도 4 는 서비스 거부 공격과 Replay공격을 차단하는 기능이 부가된 SecY수신부 모듈 구조도이다.4 is a schematic diagram of a SecY receiver module with a function of blocking a denial of service attack and a replay attack.
도 5 는 서비스 거부 공격 차단부의 내부 하드웨어 구성도이다.5 is an internal hardware configuration diagram of a denial of service attack blocker.
도 6 은 프레임의 종류와 이더넷 타입값에 대하여 도시한다.6 shows the types of frames and Ethernet type values.
도 7 은 서비스 거부 공격 차단부에서 처리과정을 도시한 흐름도이다. 7 is a flowchart illustrating a process in the denial of service attack blocking unit.
도 8 은 브로드캐스트 보안 채널에서 사용자 설정 암호화 모드 파라미터 및 DoS 공격 적용 파라미터를 통한 DoS공격 차단 처리의 일 실시예를 도시한다. FIG. 8 illustrates one embodiment of DoS attack blocking processing via a user set encryption mode parameter and a DoS attack application parameter in a broadcast secure channel.
도 9 는 재전송 공격 차단부의 내부 하드웨어 구성도이다.9 is an internal hardware configuration diagram of a retransmission attack blocker.
도 10 은 재전송 공격 차단 과정을 도시한 흐름도이다. 10 is a flowchart illustrating a retransmission attack blocking procedure.
본 발명은 서비스 거부(DoS)공격과 재 전송(Replay)공격을 필터링하여 이더넷 보안 서비스와 성능을 보장하는 차단 장치에 관한 것이다. 보다 상세히, 본 발명은 EPON ONU단말에서 MAC Security 서비스를 제공하는데 제 3자에 의해 가해지는 링크 암호화 공격, 즉 서비스 거부(DoS)공격과 재 전송(Replay)공격을 필터링하여 이더넷 보안 서비스와 성능을 보장하기 위한 장치 및 방법에 관한 것이다. The present invention relates to a blocking device that guarantees Ethernet security service and performance by filtering a denial of service (DoS) attack and a replay attack. In more detail, the present invention provides a MAC security service in the EPON ONU terminal to filter the link encryption attacks, such as denial of service (DoS) attacks and replay attacks by third parties to filter the Ethernet security services and performance. An apparatus and a method for ensuring the same are provided.
EPON망의 토폴로지상 하향 트래픽은 다른 ONU에 의한 도청의 위험이 존재하고, 상향 트래픽은 인증 받지 않은 ONU의 자원 접근이나 다른 ONU에 의한 변장의 위험이 존재한다. In the topology of the EPON network, there is a risk of eavesdropping by other ONUs in downlink traffic, and there is a risk of unauthorized resource access or disguise by other ONUs in upstream traffic.
가입자에겐 정보의 기밀성을 제공하고, 서비스 사업자에겐 콘텐츠(Contents)의 보호 및 가입자 접속에 따른 과금을 제공할 수 있어야 하므로, 가입자망인 EPON에서의 보안 문제는 가입자 트래픽의 무결성 제공, 비 인증 장치 및 가입자의 접속 차단을 목적으로 한다.Since the subscriber must be able to provide confidentiality of information, and service providers must be able to provide protection of contents and billing for subscriber access, the security problem in subscriber network EPON is to provide the integrity of subscriber traffic, non-authentication devices and subscribers. The purpose is to block access.
일반적으로 인터넷상에서 가장 널리 알려진 해킹 중의 하나가 DoS공격과 Replay 공격이며, TCP/IP구현상의 버그나 취약점을 악용하여 과도한 트래픽을 발생시킴으로서 인터넷에 연결된 단말기들을 공격한다.In general, one of the most well-known hacks on the Internet is DoS attack and Replay attack, and exploits bugs or vulnerabilities in TCP / IP implementation to generate excessive traffic to attack terminals connected to the Internet.
DoS (denial of service, 서비스 거부)공격은 사용자나 기관이 인터넷상에서 평소 잘 이용하던 자원에 대한 서비스를 더 이상 받지 못하게 되는 상황을 가리킨 다. A denial of service (DoS) attack is a situation in which a user or organization no longer receives services for resources that are commonly used on the Internet.
서비스 상실은 일반적으로 전자우편과 같이 특정 네트워크 서비스가 동작하지 않거나, 네트워크 접속 및 서비스 등이 일시적으로 제 기능을 발휘하지 못하게 되는 것을 가리키며, 최악의 경우 수백만 명이 접속하는 웹 사이트가 이따금씩 동작이 멈추는 경우도 생겨날 수 있다. DoS 공격은 컴퓨터 시스템 내의 프로그램이나 파일을 못 쓰게 만들 수도 있다.Loss of service generally indicates that certain network services, such as e-mail, are not working, or that network connections and services are temporarily inoperable. In the worst case, websites with millions of people occasionally stop working. It can also happen. DoS attacks can also disable programs or files on your computer system.
DoS 공격은 컴퓨터 시스템 보안을 침해하는 한 형태로서, 정보를 몰래 빼내가거나 그 외의 다른 보안 상실을 유발하지는 않지만 표적이 된 개인이나 기업에 시간과 비용 측면에서 커다란 희생을 요구한다. 이러한 인터넷상에서 가해지는 DoS공격에는 Brute-force공격, trinoo공격, SYN Flooding공격, Teardrop공격, LAND공격 등이 있다.DoS attacks are a form of computer system security breaches that do not steal information or cause other security loss, but require significant sacrifices in terms of time and cost to targeted individuals or businesses. These DoS attacks on the Internet include Brute-force attacks, trinoo attacks, SYN Flooding attacks, Teardrop attacks, and LAND attacks.
또 다른 해킹의 종류로서 Replay 공격은 이전에 전송된 메시지를 다시 사용하는 위장방법의 공격이다. Another type of hacking, the Replay attack is a spoofing attack that reuses previously sent messages.
보통 해킹은 시스템에 대한 전문적인 지식을 가진 사람이 여러 툴과 취약점을 이용하여 공격하는 반면, DoS공격이나 Replay공격은 전문적인 지식이 없어도 인터넷에 돌아다니는 DoS공격 프로그램을 이용하면 누구나 쉽게 인터넷상의 네트워크 장비나 시스템을 공격할 수 있다. In general, hacking is carried out by people with specialized knowledge of the system using various tools and vulnerabilities, while DoS or Replay attacks can be easily performed by anyone using the DoS attack program that roams the Internet without any specialized knowledge. Can attack equipment or systems.
DoS공격이나 Replay공격의 목적은 정보를 훔치는 것이 아니라 장비나 네트워크를 무력화 시켜서 사용자가 더 이상 네트워크 자원을 접근할 수 없게 만든다.The purpose of a DoS attack or a Replay attack is not to steal information, but to disable the device or network so that users can no longer access network resources.
이러한 DoS 공격을 차단하는 종래기술로서는 한국특허공개공보 제2003- 0009887호에서는 가입자 접속 단에서 목적지 주소를 분석하고 목적지 주소 및 패킷의 종류별 트래픽 볼륨을 측정하여, 측정 트래픽 볼륨과 기준치를 비교하여 패킷을 전송하거나 폐기함으로써, DoS공격을 차단하는 방법을 제시하고 있다. In the prior art for preventing such DoS attacks, Korean Patent Laid-Open Publication No. 2003-0009887 analyzes a destination address at a subscriber access stage, measures traffic volume for each destination address and packet type, and compares the measured traffic volume with a reference value. It suggests how to block DoS attacks by sending or discarding.
또한 최근 LAN의 확장성과 광대역화 그리고 이더넷 스위칭 기술이 고속화되면서 이더넷 장비들을 이용한 네트워크 전송서비스가 이루어진다. 이를 위해 IEEE802.1AE 작업그룹은 EPON을 포함한 LAN/MAN에서 MAC 이더넷 서비스에 대한 보안 기능을 제공하기 위해 MAC Security(MACSecY)모듈에 대한 표준화를 수행중이다.In addition, as LAN scalability, broadband, and Ethernet switching technology have been accelerated, network transmission services using Ethernet devices are provided. To this end, the IEEE802.1AE Working Group is working on standardizing the MAC Security (MACSecY) module to provide security for MAC Ethernet services in LAN / MAN, including EPON.
그러나 현재 표준화중인 MACSecY모듈도 마찬가지로 DoS공격이나 Replay공격에 대해 취약점을 가지고 있다. However, the MACSecY module, which is currently being standardized, is also vulnerable to DoS attacks or Replay attacks.
종래의 MACSecY모듈의 Uncontrolled Port는 DoS공격에 취약하고, Controlled Port는 Replay공격에 취약하다. 특히, 외부 해커로부터 많은 양의 이더넷 프레임이 계속적으로 Uncontrolled Port에 입력될 경우, 입력된 이더넷 프레임이 그대로 상위 프로세서들로 전송되어 자원들을 점유하게 됨으로서 종래의 MACSecY모듈을 사용하는 이더넷 장비들은 이런 DoS공격에 시스템이 정지해 버린다. The uncontrolled port of the conventional MACSecY module is vulnerable to DoS attack, and the controlled port is vulnerable to Replay attack. In particular, when a large amount of Ethernet frames are continuously input to an uncontrolled port from an external hacker, the input Ethernet frames are transmitted to the upper processors as they occupy resources, so that Ethernet devices using the conventional MACSecY module attack such DoS attacks. The system will stop.
따라서 종래의 MACSecY모듈을 사용하는 이더넷 시스템들은 해커로부터 가해지는 DoS공격이나 Replay공격을 체크하고 차단할 수 있는 방법 및 하드웨어 장치가 요구된다. Therefore, Ethernet systems using the MACSecY module require a method and a hardware device capable of checking and blocking DoS attacks or Replay attacks from hackers.
본 발명이 이루고자 하는 기술적 과제는, 1Gbps EPON ONU단말에서 보안 기능을 제공하는 MAC Security모듈이 서비스 거부 공격(DoS 공격)에 대해 사용자 설정 에 따라 정의된 모드에 기초하여 프레임 단위로 필터링하고 차단하며, Replay공격에 대해 보안 연계(Security Association, SA)별로 필터링하고 차단하여 MAC서비스 및 MAC Security서비스를 제공하는 것이다. The technical problem to be achieved by the present invention is that the MAC Security module providing a security function in the 1Gbps EPON ONU terminal filters and blocks on a frame basis based on a mode defined according to a user setting for a denial of service attack (DoS attack), It is to provide MAC service and MAC Security service by filtering and blocking by Security Association (SA) for Replay attack.
상기 기술적 과제를 달성하기 위하여, 본 발명의 일 실시예에 따른 서비스 거부 공격 처리 장치는 프레임의 보안태그 필드 내의 이더넷 타입 값을 기초로 프레임의 종류가 암호화 프레임인지 평문 프레임인지 파악하는 프레임 분류부; 보안태그 필드 내의 SCB 플래그 값을 기초로 암호화 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하고 프레임의 논리적 링크 식별자(LLID) 필드 값을 기초로 평문 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하는 보안채널 분류부; 그리고, 보안채널 별로 프레임 종류별 보안기능 적용여부를 정의한 암호화 모드 파라미터 및 상기 프레임 종류별로 정의한 DoS 공격 적용 모드 파라미터를 기초로 상기 프레임에 대한 서비스 거부 공격을 처리하는 DoS 공격 차단부;를 포함한다.In order to achieve the above technical problem, the apparatus for denial of service attack according to an embodiment of the present invention comprises a frame classifier for determining whether a frame is an encrypted frame or a plain text frame based on an Ethernet type value in a security tag field of a frame; Security that determines whether an encrypted frame is a broadcast channel or a unicast channel based on the SCB flag value in the security tag field, and whether the plaintext frame is a broadcast channel or a unicast channel based on the logical link identifier (LLID) field value of the frame. A channel classifier; And a DoS attack blocking unit for processing a denial of service attack on the frame based on an encryption mode parameter defining whether to apply a security function for each frame type for each security channel and a DoS attack application mode parameter defined for the frame type.
상기 기술적 과제를 달성하기 위한 본 발명의 또 다른 일실시예에 따른 재 전송 공격 차단 장치는 프레임의 보안태그 필드 내의 SCB 플래그 값을 기초로 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악하는 보안채널 분류부; 보안채널별로 상기 프레임의 보안태그 필드 내의 AN Flag 값을 기초로 보안연계를 파악하고 상기 보안연계의 동일성을 판단하는 보안연계 비교부; 그리고 보안연계가 동일 상태를 나타내는 경우 상기 프레임이 재 전송 공격 프레임인지 여 부를 판단하고, 그렇지 않은 경우 상기 프레임을 바이패스 하는 Replay 공격 차단부;를 포함한다.Retransmission attack blocking device according to another embodiment of the present invention for achieving the technical problem is to determine whether the frame is a broadcast security channel or a unicast security channel based on the SCB flag value in the security tag field of the frame Secure channel classification unit; A security association comparing unit for identifying a security association based on an AN flag value in the security tag field of the frame for each security channel and determining the identity of the security association; And determining whether the frame is a retransmission attack frame when the security association indicates the same state, and if not, replay attack blocking unit bypassing the frame.
상기 기술적 과제를 달성하기 위한 본 발명의 또 다른 일실시예에 따른 MACSecY 수신부 장치는 프레임의 보안태크 필드 내의 이더넷 타입 값을 기초로 상기 프레임의 종류가 암호화 프레임인지 평문 프레임인지 파악하고 상기 프레임을 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악하여 프레임 종류별, 보안채널 별로 보안기능 적용여부를 정의한 암호화 모드 파라미터 및 상기 암호화 모드 파라미터 별로 정의한 DoS 공격 프레임 적용 모드 파라미터를 기초로 상기 프레임에 대한 서비스 거부 공격을 처리하는 서비스 거부 공격 처리부; 및 프레임을 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 분류하고 상기 암호화된 프레임 내의 AN Flag 필드 값에 기초하여 해당 보안채널에서 상기 프레임을 보안 연계별로 구분하고 보안 연계의 동일성을 판단하여 프레임의 재전송 공격 여부를 판단하는 재 전송 공격 차단부;를 포함한다.MACSecY receiver according to another embodiment of the present invention for achieving the technical problem is to determine whether the type of the frame is an encryption frame or plain text frame based on the Ethernet type value in the security tag field of the frame and broadcast the frame Determining whether it is a cast security channel or a unicast security channel and performing a denial of service attack on the frame based on an encryption mode parameter defining whether to apply a security function for each frame type and security channel and a DoS attack frame application mode parameter defined for each encryption mode parameter A denial of service attack processing unit; And classifying the frame as a broadcast security channel or a unicast security channel, classifying the frame by security association in the corresponding security channel based on the AN flag field value in the encrypted frame, and determining the identity of the security association to retransmit the frame. It includes; retransmission attack blocker to determine whether or not.
이하에서, 도면을 참조하여 본 발명의 실시예에 대하여 상세히 설명하기로 한다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1 은 현재 IEEE802.1AE 작업그룹에서 표준화중인 MACSecY수신부 모듈 구조도이다.1 is a schematic diagram of the MACSecY receiver module being standardized in the IEEE802.1AE working group.
EPON은 점 대 다중점 망구조이기 때문에, 동일한 망 내에 위치한 특정 ONU는 간단한 조작으로 다른 ONU들의 정보를 항상 도청할 수 있다. 또한, EPON망의 운영을 위해 사용되는 제어 프레임들인 OAM 과 MPCP 프레임은 discovery 상태, 이벤트 알림, 전송 허용 시작 시간과 같은 기밀 정보를 포함한다. 그러므로 EPON망에서의 링크 보안 기능은 ONU에 전달되는 프레임들을 보호한다.Because EPON is a point-to-multipoint network, certain ONUs located within the same network can always eavesdrop on other ONUs with a simple operation. In addition, OAM and MPCP frames, which are control frames used for the operation of the EPON network, contain confidential information such as discovery status, event notification, and transmission start start time. Therefore, link security in the EPON network protects the frames that are delivered to the ONU.
MACsecY 는 IEEE802.1AE WG에서 제안된 링크 보안 방법으로서, 현재 표준화 중이다. 본 발명은 IEEE802.1AE WG에 의해 제안된 draft2.0 에 기반을 두어 MACsecY 수신부를 구현하였다. MACsecY is a link security method proposed by the IEEE802.1AE WG and is currently being standardized. The present invention implements MACsecY receiver based on draft2.0 proposed by IEEE802.1AE WG.
MACsecY 수신부는 EPON의 OLT 와 ONU 에서 사용자 데이터 복호화, 프레임 데이터의 무결성 검사, 데이터 근원 인증, 재 전송 공격 방지와 서비스 거부 공격 방지를 제공하며, 128 비트 GCM-AES 암호 메커니즘을 제공한다. The MACsecY receiver provides user data decryption, frame data integrity check, data source authentication, anti-replay attack and denial of service attack in EPON OLT and ONU, and provides 128-bit GCM-AES encryption mechanism.
또한 MACSecY 수신 장치는 SecY 송신장치에서 전송된 인증 암호화 MAC Frame을 인증 복호화 하여 평문 MAC 프레임으로 변환하는 기능을 한다. 도 1을 참조하면, MACSecY수신 장치(100)는 디멀티플렉서 모듈(120), 디코더 모듈(130), 암호화부(140), FCS 생성부(150)를 포함한다. In addition, the MACSecY receiver functions to decrypt and decrypt the authentication encrypted MAC frame transmitted from the SecY transmitter to a plain text MAC frame. Referring to FIG. 1, the MACSecY receiving
MACSecY수신 장치(100)는 암호화되지 않은 Common Port(110)를 통해 MAC 계층으로부터 MAC프레임들을 입력받으며(a111), 입력된 MAC프레임(a111)의 암호화 유무에 따라 Uncontrolled Port(160)와 Controlled Port(170)로 평문 MAC프레임과 암호화된 MAC프레임을 전송한다.The MACSecY receiving
MACSecY수신부 모듈은 Uncontrolled Port(160), Controlled Port(170), Common Port(110) 외부 인터페이스와 LMI인터페이스(180)를 포함한다. Uncontrolled Port(160)와 Common Port(110)는 비보안 서비스 액세스 포인트이고, Controlled Port(170)는 보안 서비스 액세스 포인트이다. The MACSecY receiver module includes an
디멀티플렉서(120)는 MAC 계층으로부터 Common Port(110)를 통해 입력된 MAC프레임의 이더넷 타입을 기초로 평문 MAC프레임(a121)은 Uncontrolled Port(160)로 암호화된 MAC프레임은 Controlled Port(170)로 분류하며 암호화된 MAC프레임은 복호화하기 위해 디코더(130)로 전달한다. The
또한 디멀티플렉서(120)는 암호화된 MAC프레임을 MAC 어드레스(DA, SA)(a122)와 MSDU(a123, MAC Service Protocol Data Unit)로 분리하여 전달한다. 이 때, 상기 MAC 어드레스(DA, SA)(a122)는 암호화부(140)에서 프레임 인증을 위해 인증키를 만들기 위한 파라미터로 사용된다. In addition, the
Decoder모듈(130)은 수신된 MSDU(a123)로부터 SecTAG(a131), Secure DATA(a132), ICV(a133)로 프레임을 분리하여 전송한다. SecTAG(a131)는 이더넷 타입 필드와 TCI(Tag Control Information)값, PN(Packet Number) 등으로 구성된다. The
암호화부(140)는 검증 파라미터 선택부(141), 무결성 검증부(142), 데이터 복호화부(143)를 포함한다.The encryption unit 140 includes a
검증 파라미터 선택부(141)는 암호화부(140)에서 사용될 128비트 KEY 나 IV(Initialization Vector)값 등의 파라미터들을 저장하고 디코더(130)로부터 입력된 SAI(Security Association Identifier, 보안 연계 식별자, a132)를 이용하여 검증 파라미터 세트를 선택한다. 즉, TCI 필드 내의 SCB(Single Copy Broadcast)비트를 이용하여 브로드캐스트 채널에 설정된 키를 요구하는지 유니캐스트 채널에 설정된 키를 요구하는지 결정하게 된다.The
무결성 검증부(142)는 디코더(130)로부터 입력된 MAC Address(a133)와 Secure Data(a132)에 대한 ICV(Integrity Check Value, 무결성 검증값)을 계산하고, 디코더(130)로부터 입력된 ICV값(a133)과 비교하여 MAC Address(a133)와 Secure Data(a132)가 해커에 의해 변조되었는지 무결성을 체크한다. 이 때, 계산된 ICV 값과 입력된 ICV 값이 서로 다른 경우 인증 실패 신호와 함께 복호화 된 프레임을 전송한다(a145). The
데이터 복호화부(143)는 디코더(130)에 의해 검증 파라미터 선택부에서 선택된 파라미터 세트(a144)를 이용하여 암호화된 데이터를 복호화 시킨다. The
FCS 생성부(150)는 암호화부(140)에서 암호화된 MAC 프레임을 평문 MAC 프레임으로 복호화하기 때문에 복호화가 끝난 후 평문 MAC 프레임에 대한 새로운 FCS 값을 계산한다(a151).Since the
그 후 MAC 프레임은 디멀티플렉서(120)에서 나온 MAC 어드레스(a122)와 합해진 후 Controlled Port(170)에 전달된다. The MAC frame is then combined with the MAC address a122 from the
다만, 이와 같은 MACSecY 수신부는 외부 해커로부터 Uncontrolled Port(160)를 통해 많은 정상 평문 MAC 프레임이 수신되는 경우, 상위 프로세서는 Uncontrolled Port(160)를 통해 입력된 평문 MAC 프레임을 처리하느라 많은 부하가 걸려 Controlled Port(110)에서 수행된 MAC 프레임의 처리가 미흡하게 되고, 결국엔 시스템의 과부하로 인해 시스템이 다운되는 결과를 가져온다. However, when the MACSecY receiver receives many normal plaintext MAC frames through the
도 2 는 도 1 에 도시된 MACSecY 수신부로 입력되는 암호화된 프레임 구조를 도시한다. FIG. 2 illustrates an encrypted frame structure input to the MACSecY receiver shown in FIG. 1.
암호화된 MAC프레임(200)은 8 바이트의 SecTAG(보안태그)와 16 바이트의 ICV 필드(206)가 추가되어 캡슐화 된다. 8 바이트의 SecTAG(보안태그)은 2 바이트의 MACsecY Ethertype(ET)필드(201)와 1 바이트의 TCI필드(202), 1 바이트의 SL(Short Length)필드(203), 4바이트의 PN필드(204)로 구성된다. 즉, EPON망에서 MAC 보안 서비스를 제공하기 위해서는 기존의 MAC프레임에 최소한 24바이트가 추가된다.The encrypted MAC frame 200 is encapsulated by adding an 8-byte SecTAG (security tag) and an 16-
1 바이트의 TCI필드(202)는 1비트의 버전필드(207), 1비트 ES필드(208), 1비트의 SC필드(209), 1비트의 SCB필드(210), 1비트의 SH필드(211), 2비트의 AN필드(212)로 구성된다. SCB필드(210)는 Single Copy Broadcast 프레임인지 아닌지를 나타낸다. AN필드(212)는 보안연계(SA, Security Association)를 구분하는데 사용된다. SH필드(211)는 프레임의 사이즈가 64바이트보다 적은 경우에 표시되며 그 길이는 1바이트의 SL필드(203)에 나타낸다. The 1-
도 3 은 도 1에 도시된 MACsecY수신부로 입출력 되는 암호화 되지 않은 평문 프레임 종류별 구조도이다.FIG. 3 is a structural diagram of unencrypted plaintext frame types inputted and outputted to the MACsecY receiver shown in FIG. 1.
평문 프레임은 MAC DATA프레임(300), MPCP 프레임(310), OAM 프레임(320)을 포함한다. 상기 프레임들은 2바이트의 MAC 이더넷 타입(301,311,312) 필드를 통해 구분하게 된다. The plain text frame includes a MAC DATA frame 300, an MPCP frame 310, and an OAM frame 320. The frames are distinguished through the two-byte MAC Ethernet type fields 301, 311 and 312.
도 4 는 서비스 거부 공격과 Replay공격을 차단하는 기능이 부가된 MACSecY수신부 모듈 구조도이다.4 is a schematic diagram of a MACSecY receiver module with a function of blocking a denial of service attack and a replay attack.
도 4 는 도 1의 구성요소 외에 서비스 거부 공격 차단부(421) 및 재 전송 공격 차단부(422)를 더 포함한다.4 further includes a denial of service attack blocker 421 and a
도 4 의 MACSecY수신 장치(400)에서 디멀티플렉서 모듈(420), 디코더 모듈(430), 암호화부(440), FCS 생성부(450) 및 Uncontrolled Port(460), Controlled Port(470), Common Port(410) 외부 인터페이스와 LMI인터페이스(480)는 도 1의 대응하는 각 구성과 대응하는 기능을 수행하며, 기본적인 기능은 유사하다.In the MACSecY receiving apparatus 400 of FIG. 4, the
서비스 거부 공격 차단부(421)는 디멀티플렉서(420)로부터 암호화 되지 않은 평문 MAC 프레임(a421)과 암호화된 MAC 프레임(a422)을 입력받으며, 프레임의 SecTAG(보안태그) 필드 내의 이더넷 타입 값을 기초로 상기 프레임의 종류를 파악하고, 상기 프레임이 암호화 프레임인 경우 SecTAG 내의 SCB Flag 값을 기초로 상기 프레임이 평문 프레임인 경우 Preamble 내의 LLID 값을 기초로 상기 프레임이 브로드캐스트 채널에 해당하는지 유니캐스트 채널에 해당하는지를 구분한다. The denial of service attack blocker 421 receives the unencrypted plaintext MAC frame a421 and the encrypted MAC frame a422 from the
그 후, 보안채널 별로 프레임 종류별 보안기능 적용여부를 정의한 암호화 모드 파라미터 및 상기 프레임 종류별로 정의한 DoS 공격 프레임 적용 모드 파라미터를 기초로 서비스 거부 공격 프레임이면 입력된 프레임을 삭제하고, 서비스 거부 공격 프레임이 아니면 Controlled Port(470)와 Uncontrolled Port(460)로 입력 프레임을 전송한다. Then, if the denial of service attack frame is based on the encryption mode parameter defining whether to apply the security function by frame type for each security channel and the DoS attack frame application mode parameter defined by the frame type, the input frame is deleted. An input frame is transmitted to the controlled
따라서 외부 해커에 의해 Uncontrolled Port(460)나 Controlled Port(470)로 전송되는 서비스 거부 공격 MAC프레임을 입력 단에서 모두 제거함으로서 상위 프로세서들이 서비스 거부 공격 프레임에 의한 부하가 증가하지 않게 한다. 이에 대한 보다 상세한 설명은 후술하기로 한다.Therefore, by removing all the denial of service attack MAC frames transmitted to the
재 전송 공격 차단부(422)는 상기 서비스 거부 공격 차단부(421)로부터 서비 스 거부 공격 프레임에 해당하지 않는 암호화된 MAC 프레임(a422)을 입력받아 프레임의 이더넷 타입 값을 기초로 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악한다. 그 후 해당 채널에서 보안 연계별로 패킷 넘버 값을 비교하여, 동일한 보안 연계 상태에서 현재 입력된 프레임의 패킷 넘버 값이 이전 프레임에 입력된 패킷 넘버 값보다 적거나 같은 경우 재 전송 공격 프레임으로 간주하여 삭제하고, 그렇지 않은 프레임은 디코더(430)로 전송한다. 이에 대한 보다 상세한 설명은 후술하기로 한다. The retransmission
도 5 는 도 4에 도시된 서비스 거부 공격 차단부의 내부 하드웨어 구성도이다.FIG. 5 is a diagram illustrating an internal hardware configuration of a denial of service attack blocking unit shown in FIG. 4.
서비스 거부 공격 차단부(421)는 프레임 분류부(500), SCB 보안채널 분류부(510), Session 보안채널 분류부(520), 암호화 DoS 공격 처리부(530), 평문 DoS 공격 처리부(540), 보안관리부(550)를 포함한다.The denial of service attack blocking unit 421 includes a
프레임 분류부(500)는 Common Port(410)로부터 입력된 프레임에서 SecTAG(보안태크)필드 내의 2 바이트 이더넷 타입 값을 기초로 상기 프레임의 종류가 암호화 프레임인지 평문 프레임인지 구분하여 암호화된 프레임은 제 1 보안채널 분류부(510)로 전송하고, 평문 프레임은 제 2 보안채널 분류부(520)로 전송한다.The
Common Port(410)로부터 입력되는 프레임의 종류와 이더넷 타입이 도 6에 도시되었다. 암호화 MAC 프레임의 MACsecY 이더넷 타입은 현재 표준화에서 정의되지 않았으며, 이에 따라 본 발명에서는 사용자의 요구에 따라 정의된 값을 사용할 수 있도록 고안되었다. 도 6 에 도시된 바와 같이, 본 발명에서는 MACsecY 이더넷 타 입의 기본 값으로 "0x880a"를 사용한다. Types of frames and Ethernet types input from the
보안채널 분류부(510)는 제 1 보안채널 분류부(510)와 제 2 보안채널 분류부(520)를 포함한다. The
제 1 보안채널 분류부(510)는 암호화된 프레임을 프레임 분류부(500)로부터 전송받아, 프레임의 SecTAG(보안 태그) 내의 SCB Flag 값을 기초로 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지를 파악한 후 암호화 DoS 공격 처리부(530)로 보안채널(SC) 선택 신호를 전송한다. The first
제 2 보안채널 분류부(520)는 평문 프레임을 프레임 분류부(500)로부터 전송받아, 프레임의 Preamble 내에 존재하는 LLID(Logical Link ID)정보를 이용하여 평문 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악한 후 평문 DoS 공격 처리부(540)로 보안채널(SC) 선택 신호를 전송한다.The second
DoS 공격 처리부(530,540)는 서비스 공격 거부 프레임인지를 처리하고, 암호화 DoS 공격 처리부(530)와 평문 DoS 공격 처리부(540)를 포함한다. The DoS attack processing unit 530, 540 processes whether the service attack denial frame is included, and includes an encrypted DoS attack processing unit 530 and a plain text DoS attack processing unit 540.
암호화 DoS 공격 처리부(530)는 브로드캐스트 보안채널과 유니캐스트 보안채널에 대하여 서비스 거부 공격을 차단하기 위해 브로드캐스트 보안채널 서비스 거부 공격 처리부(531)와 유니캐스트 보안채널 서비스 거부 공격 처리부(532)를 포함한다. The encryption DoS attack processing unit 530 uses the broadcast security channel denial of service attack processing unit 531 and the unicast security channel denial of service attack processing unit 532 to block denial of service attacks on the broadcast security channel and the unicast security channel. Include.
또한, 암호화 DoS 공격 처리부(530)는 암호화된 프레임만이 입력되므로, 보안관리부(550)로부터 사용자의 설정에 의해 정의된 1비트의 DATA MAC프레임의 암호화 모드 파라미터(a551)만을 수신한다. 상기 1비트의 DATA MAC프레임 암호화 모드 파라미터를 이용하여 Common Port(410)로부터 입력된 프레임에 대해 서비스 거부 공격을 적용할 것인지 여부를 결정한다. In addition, since only the encrypted frame is input, the encrypted DoS attack processing unit 530 receives only the encryption mode parameter a551 of the 1-bit DATA MAC frame defined by the user's setting from the
평문 DoS 공격 처리부(540)는 브로드캐스트 보안채널과 유니캐스트 보안채널에 대하여 서비스 거부 공격을 차단하기 위해 브로드캐스트 보안채널 서비스 거부 공격 처리부(541)와 유니캐스트 보안채널 서비스 거부 공격 처리부(542)를 포함한다. The plaintext DoS attack processing unit 540 uses the broadcast security channel denial of service attack processing unit 541 and the unicast security channel denial of service attack processing unit 542 to block denial of service attacks on the broadcast security channel and the unicast security channel. Include.
또한, 평문 DoS 공격 처리부(540)는 평문 MAC 프레임, OAM 프레임, MPCP 프레임이 입력되므로, 보안관리부(550)로부터 사용자의 설정에 의해 정의된 3비트의 프레임별 암호화 모드 파라미터(a552)와 DoS 공격 프레임 적용모드 파라미터(s553)를 수신한다. 상기 프레임별 암호화 모드 파라미터(a552) 및 DoS 공격 프레임 적용모드 파라미터(a553)를 이용하여 Common Port(410)로부터 입력된 평문 프레임들에 대해 서비스 거부 공격을 적용할 것인지 여부를 결정한다.In addition, since the plain text DoS attack processing unit 540 receives a plain text MAC frame, an OAM frame, and an MPCP frame, a 3-bit frame-by-frame encryption mode parameter a552 defined by a user's setting from the
보안 관리부(550)는 사용자로부터 상기 프레임 암호화 모드 파라미터(a551, a552) 및 상기 DoS 공격 적용 모드 파라미터(a553)를 입력받아 암호화 DoS 공격 처리부(530) 또는 평문 DoS 공격 처리부(540)로 전송한다.The
도 7 은 도 4 에 도시된 서비스 거부 공격 차단부에서 처리과정을 도시한 흐름도이다.FIG. 7 is a flowchart illustrating a process in the denial of service attack blocking unit shown in FIG. 4.
도 7 에 도시된 흐름도는 프레임에 대해 보안 채널별로 사용자의 설정에 의해 정의된 모드에 따라 서비스 거부 공격 프레임인지를 체크하고, 서비스 거부 공격에 해당하는 프레임은 삭제하며 서비스 거부 공격에 해당하지 않는 프레임은 전 송하는 동작에 관한 것으로서, 매 프레임이 입력될 때마다 서비스 공격 프레임 체크를 순환적으로 반복한다. The flowchart shown in FIG. 7 checks whether a frame is a denial of service attack frame according to a mode defined by a user's setting for each security channel for a frame, deletes a frame corresponding to a denial of service attack, and does not correspond to a denial of service attack. Regarding the transmission operation, the service attack frame check is cyclically repeated for each frame input.
Common Port(410)를 통해 프레임이 입력되면 MACSecY수신부(400)는 암호화부 (480)가 활성화 되었는지 체크 한다 (s700). 암호화부가 활성화 되어 있지 않으면 서비스 거부 공격 차단부는 동작하지 않는다. Common Port(410)로부터 입력된 프레임이 암호화된 프레임인지 평문 프레임인지를 프레임의 SecTAG 내의 이더넷 타입 값으로 구분한다(S710). 암호화 프레임인 경우 SecTAG 내의 SCB Flag 값을 이용하여 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지를 체크한다(S720). When the frame is input through the
브로드캐스트 보안채널에 해당되는 프레임인 경우 브로드캐스트 프레임별 암호화 모드 파라미터 값에 기초하여 어떤 프레임에 대해 암호화가 설정되었는지 여부를 판단하고, 암호화 모드로 설정되어 있는 경우는 정상 프레임으로 판단하여 디코더(430)로 전송한다(S750). 그렇지 않은 경우, 상기 프레임을 서비스 거부 공격 프레임으로 간주하여 삭제한다(s760).In the case of a frame corresponding to the broadcast security channel, it is determined whether encryption is set for a frame based on the encryption mode parameter value of each broadcast frame, and in the case of the encryption mode, the decoder determines that the frame is a normal frame. In step S750). If not, the frame is regarded as a denial of service attack frame and deleted (s760).
유니캐스트 보안채널에 해당되는 프레임인 경우 유니캐스트 프레임별 암호화 모드 파라미터 값에 기초하여 어떤 프레임에 대해 암호화가 설정되었는지 여부를 판단하고(s740), 암호화 모드로 설정되어 있는 경우 정상 프레임이므로 디코더(430)로 전송한다(s750). 그렇지 않은 경우, 상기 프레임을 서비스 거부 공격 프레임으로 간주하여 삭제한다(s770).In the case of a frame corresponding to a unicast secure channel, it is determined whether encryption is set for a frame based on an encryption mode parameter value of each unicast frame (s740). In step (s750). If not, the frame is regarded as a denial of service attack frame and deleted (S770).
암호화된 프레임이 아닌 평문 프레임인 경우, 프레임의 LLID정보를 이용하여 2바이트 상위 LLID 값이 “7FFF" 또는 "FFFF"인지 체크하여, 브로드캐스트 보안채널에 해당하는 프레임인지 구분한다(s721). 브로드캐스트 보안채널에 해당되는 프레임을 다시 이더넷 타입 값을 기초로 구분한다(s732). In the case of the plain text frame, not the encrypted frame, the LLID information of the frame is used to check whether the two-byte upper LLID value is “7FFF” or “FFFF” to distinguish whether the frame corresponds to the broadcast security channel (s721). Frames corresponding to the cast security channel are again classified based on the Ethernet type value (s732).
상기 구분된 프레임에 프레임별 암호화 모드 파라미터가 설정되었는지 체크한다(s733). 상기 프레임별 암호화 모드 파라미터는 각 프레임별로 설정된다. 각 프레임에 대해 암호화 모드 파라미터가 설정되어 있을 경우 해당 프레임은 암호화된 프레임으로 전송해야 한다. 따라서 각 프레임에 대한 암호화 모드 파라미터가 설정되었을 경우 암호화 되지 않은 프레임이 입력되면 비정상 입력 프레임으로 처리한다. It is checked whether an encryption mode parameter for each frame is set in the divided frame (s733). The encryption mode parameter for each frame is set for each frame. If the encryption mode parameter is set for each frame, the frame must be transmitted as an encrypted frame. Therefore, when the encryption mode parameter is set for each frame, if an unencrypted frame is input, it is treated as an abnormal input frame.
그 후, 암호화 모드 파라미터 체크 단계에서(s733) 비정상 프레임으로 처리된 프레임에 대해 서비스 거부 공격 프레임으로 처리할 것인지 정상 프레임으로 처리할 것인지 체크하기 위해 DoS공격 적용모드 파라미터를 확인한다(s734). 서비스 거부 공격 프레임에 해당되는 프레임은 삭제되고(s735), 그렇지 않은 프레임은 Uncontrolled Port(460)로 전달한다(s736).Thereafter, in the encryption mode parameter check step (s733), the DoS attack application mode parameter is checked to check whether the frame processed as the abnormal frame is treated as a denial of service attack frame or a normal frame (s734). The frame corresponding to the denial of service attack frame is deleted (s735), and the frame not transmitted to the uncontrolled port 460 (s736).
브로드캐스트 보안 채널에서 사용자 설정 프레임별 암호화 모드 파라미터 및 DoS 공격 적용 파라미터를 통한 DoS공격 차단 처리의 일 실시예가 도 8에 도시되었다.An embodiment of the DoS attack blocking process through the encryption mode parameter and the DoS attack application parameter for each user set frame in the broadcast security channel is illustrated in FIG. 8.
유니캐스트 보안 채널에 해당하는 프레임의 경우도, 상기 서술한 브로드캐스트 보안 채널에 해당하는 프레임의 처리 흐름도와 유사하며, 프레임의 LLID정보를 이용하여 2바이트 상위 LLID 값이 “7FFF" 또는 "FFFF"가 아닌 경우, 입력 프레임 의 종류에 따라 암호화 모드가 설정되었는지 체크하고, DoS 공격을 적용할 것인지 여부를 판단한다.In the case of a frame corresponding to a unicast secure channel, the processing flow of the frame corresponding to the broadcast secure channel is similar to that described above, and the two-byte higher LLID value is “7FFF” or “FFFF” using the LLID information of the frame. If not, it checks whether the encryption mode is set according to the type of input frame and determines whether to apply a DoS attack.
도 9 는 도 4 에 도시된 재 전송 공격 차단부의 내부 하드웨어 구성도이다.FIG. 9 is a diagram illustrating an internal hardware configuration of the retransmission attack blocking unit shown in FIG. 4.
재 전송 공격 차단부는 보안채널 분류부(900), 보안연계 비교부(910), Replay 공격 차단부(920), 다중화기(930)를 포함한다. The retransmission attack blocking unit includes a security
보안채널 분류부(900)에는 서비스 공격 처리부(421)를 통과한 암호화된 프레임이 입력된다. 상기 암호화된 프레임의 보안태그(SecTAG) 내의 SCB Flag 값을 이용하여 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지를 파악하고 보안채널 선택신호(a901)를 전송한다. The encrypted channel passed through the service attack processor 421 is input to the
보안연계 비교부(910)는 브로드캐스트 보안연계 비교부(911)와 유니캐스트 보안연계 비교부(912)를 포함하며, 현재 입력 프레임의 AN Flag 값과 이전 프레임의 AN Flag 값이 동일한지를 판단하여 보안연계의 연속성을 판단한다. 즉 AN Flag 값이 동일한 경우는 보안연계가 연속임을 표시하고, 그렇지 않은 경우는 비연속인 상태이다. 이 때 2 비트의 AN Flag 값은 보안 연계(SA, Security Association)를 구분하는 식별자 파라미터이다.The security
브로드캐스트 보안연계 비교부(911)는 브로드캐스트 보안 채널 내에 존재하는 보안 연계에 대하여 보안연계의 상태가 변화되었는지를 체크한다. 이는 Current Master Key SA, Next Master Key SA, Current Common Key SA, Next Common Key SA 등 4개의 보안연계를 포함하고, 상기 SA에 대한 AN Flag 값은 사용자의 설정에 의해 미리 정의된다. The broadcast security association comparison unit 911 checks whether the security association status has changed with respect to the security association existing in the broadcast security channel. It includes four security associations: Current Master Key SA, Next Master Key SA, Current Common Key SA, Next Common Key SA, and the AN Flag value for the SA is predefined by the user's setting.
유니캐스트 보안연계 비교부(912)는 유니캐스트 보안 채널 내에 존재하는 보안 연계에 대하여 보안연계의 상태가 변화되었는지를 체크한다. 이는 Current Master Key SA, Next Master Key SA, Current Session Key SA, Next Session Key SA등 4개의 SA를 포함한다.The unicast security association comparison unit 912 checks whether the security association status has changed with respect to the security association existing in the unicast security channel. This includes four SAs: Current Master Key SA, Next Master Key SA, Current Session Key SA, and Next Session Key SA.
Replay 공격 차단부(920)는 상기 보안연계 비교부(910)에서 AN Flag 값의 동일성 판단 결과 보안연계가 동일하지 않은 경우 프레임을 바이패스 하는 바이패스부(925)와 보안연계가 동일한 경우 상기 프레임이 재 전송 공격 프레임인지 판단하는 Replay 체크부(924)를 포함한다. The replay attack blocking unit 920 determines that the security association is the same as the AN flag value in the security
Replay 체크부(924)는 Common Key SA Replay 체크기(921), Master Key SA Replay 체크기(922), Session Key SA Replay 체크기(923)를 포함한다. The replay checker 924 includes a Common Key SA Replay checker 921, a Master Key SA Replay checker 922, and a Session Key SA Replay checker 923.
Common Replay 체크기(921)는 이전 프레임에 입력된 브로드캐스트 보안채널 프레임의 패킷넘버 값과 현재 입력된 브로드캐스트 보안채널 프레임의 패킷넘버 값을 비교하여 현재 입력된 상기 패킷 넘버 값이 이전 프레임에 입력된 상기 패킷넘버 값보다 적거나 같은 경우 동일 프레임이 재 전송된 것으로 판단하고 프레임을 삭제하기 위한 신호를 전송한다. 그렇지 않은 경우에는 입력 프레임을 전송하는 신호를 전송한다. The common replay checker 921 compares the packet number value of the broadcast secure channel frame input in the previous frame with the packet number value of the currently input broadcast secure channel frame, and inputs the currently input packet number value in the previous frame. If less than or equal to the packet number value, it is determined that the same frame is retransmitted and a signal for deleting the frame is transmitted. Otherwise, a signal for transmitting an input frame is transmitted.
Session Replay 체크기(923)는 이전 프레임에 입력된 유니캐스트 보안채널 프레임의 패킷넘버 값과 현재 입력된 유니캐스트 보안채널 프레임의 패킷넘버 값을 비교하여 현재 입력된 상기 패킷 넘버 값이 이전 프레임에 입력된 상기 패킷 넘버 값보다 적거나 같은 경우 동일 프레임이 재 전송된 것으로 판단하고 프레임을 삭제 하기 위한 신호를 전송한다. 그렇지 않은 경우에는 입력 프레임을 전송하는 신호를 전송한다. The Session Replay checker 923 compares the packet number value of the unicast secure channel frame input in the previous frame with the packet number value of the currently input unicast secure channel frame, and inputs the packet number value currently input in the previous frame. If less than or equal to the packet number, it is determined that the same frame is retransmitted and a signal for deleting the frame is transmitted. Otherwise, a signal for transmitting an input frame is transmitted.
Master Replay 체크기(922)는 이전 프레임에 입력된 브로드캐스트 보안채널 또는 유니캐스트 보안채널 프레임의 패킷넘버 값과 현재 입력된 브로드캐스트 보안채널 또는 유니캐스트 보안채널 프레임의 패킷넘버 값을 비교하여 현재 입력된 상기 패킷 넘버 값이 이전 프레임에 입력된 상기 패킷 넘버 값보다 적거나 같은 경우 동일 프레임이 재 전송된 것으로 판단하고 프레임을 삭제하기 위한 신호를 전송한다. 그렇지 않은 경우에는 입력 프레임을 전송하는 신호를 전송한다. The Master Replay checker 922 compares the packet number value of the broadcast secure channel or unicast secure channel frame input to the previous frame with the packet number value of the currently entered broadcast secure channel or unicast secure channel frame. When the packet number value is less than or equal to the packet number value input in the previous frame, it is determined that the same frame is retransmitted and a signal for deleting the frame is transmitted. Otherwise, a signal for transmitting an input frame is transmitted.
도 10 은 재 전송 공격 차단 과정을 도시한 흐름도이다. 10 is a flowchart illustrating a retransmission attack blocking process.
도 10에 도시된 흐름은 암호화된 프레임에 대하여 보안연계별로 현재 프레임의 패킷 넘버 값과 이전 프레임의 패킷 넘버 값을 비교하여 재 전송 공격인지 판단하고, 이에 해당하는 프레임은 삭제하고, 그렇지 않은 프레임은 전송하는 동작에 관한 것으로서 매 프레임이 입력될 때마다 재 전송 공격 프레임 체크를 반복적으로 수행한다.The flow shown in FIG. 10 compares the packet number value of the current frame with the packet number value of the previous frame for each security association with respect to the encrypted frame, and determines whether the packet is a retransmission attack, and deletes the corresponding frame. It is related to the operation of transmitting. Retransmission attack frame check is repeatedly performed every frame is input.
서비스 거부 공격 차단부로부터 암호화된 프레임이 입력되면 상기 프레임이 브로드캐스트 보안채널 프레임에 해당하는지 유니캐스트 보안채널 프레임에 해당하는지를 파악한다(s1000). When an encrypted frame is input from the denial of service attack blocking unit, it is determined whether the frame corresponds to a broadcast secure channel frame or a unicast secure channel frame (S1000).
브로드캐스트 보안채널에 해당하는 프레임인 경우, 현재 프레임의 AN Flag 값이 이전 프레임의 AN' Flag 값과 동일한지를 비교한다(s1100). In the case of a frame corresponding to the broadcast security channel, the AN flag value of the current frame is compared with the AN 'flag value of the previous frame (S1100).
AN Flag 값이 동일한 경우 보안연계는 동일한 상태로서 연속성이 인정된다 (s1200). 이 경우, 보안연계가 Master Key SA인지 Common Key SA인지를 구분한다(s1400). If the AN Flag value is the same, the security association is recognized as the same state (s1200). In this case, it is determined whether the security association is a Master Key SA or a Common Key SA (s1400).
상기 보안연계가 Master Key SA 이면, 현재 프레임에 입력된 패킷 넘버 값(PN)과 이전 Master Key SA 프레임에 입력된 패킷 넘버 값(MK_PN')을 비교하여 재 전송 공격 프레임인지를 판단한다(s1600). 상기 PN 값이 상기 MK_PN'보다 작거나 동일한 경우에는 재 전송 공격 프레임에 해당하여 프레임을 삭제하고(s1710), 그렇지 않은 경우에는 정상 프레임으로 판단하여 프레임을 전송한다. 그리고 현재 프레임에 입력된 PN 값을 MK_PN'값에 저장한다(S1800).If the security association is Master Key SA, it is determined whether the retransmission attack frame is compared by comparing the packet number value PN inputted in the current frame and the packet number value MK_PN 'inputted in the previous Master Key SA frame (s1600). . If the PN value is less than or equal to the MK_PN ', the frame is deleted in response to the retransmission attack frame (S1710). Otherwise, the frame is determined to be a normal frame and transmitted. The PN value input in the current frame is stored in the MK_PN 'value (S1800).
상기 보안연계가 Common Key SA 인 경우, 현재 프레임에 입력된 패킷 넘버(PN)값과 이전 Common Key SA 프레임에 입력된 패킷 넘버 값(CK_PN')을 비교하여 재전송 공격 프레임인지를 판단하고, 상기 PN 값이 상기 CK_PN'보다 작거나 동일한 경우에는 재전송 공격 프레임에 해당하여 프레임을 삭제하고, 그렇지 않은 경우에는 정상 프레임으로 판단하여 프레임을 전송한다. 그리고 현재 프레임에 입력된 PN 값을 CK_PN'값에 저장한다. When the security association is Common Key SA, it is determined whether a retransmission attack frame is made by comparing a packet number PN inputted in a current frame and a packet number value CK_PN 'inputted in a previous Common Key SA frame. If the value is smaller than or equal to CK_PN ', the frame is deleted in response to the retransmission attack frame. Otherwise, the frame is determined to be a normal frame, and the frame is transmitted. The PN value input in the current frame is stored in the CK_PN 'value.
반면 AN Flag 값이 다르면 보안연계는 연속성이 인정되지 않고, 현재 프레임의 AN Flag 값을 이전 프레임의 AN Flag 값을 저장하는 레지스터에 저장한다(s1300).On the other hand, if the AN Flag value is different, the security association does not recognize the continuity, and stores the AN Flag value of the current frame in a register that stores the AN Flag value of the previous frame (s1300).
유니캐스트 보안채널에 해당하는 프레임인 경우, 현재 프레임의 AN Flag 값이 이전 프레임의 AN' Flag 값과 동일한지를 비교한다(s1101). In the case of a frame corresponding to the unicast secure channel, the AN flag value of the current frame is compared with the AN 'flag value of the previous frame (S1101).
AN Flag 값이 동일한 경우 보안연계는 동일한 상태로서 연속성이 인정된다 (s1201). 이 경우, 보안연계가 Master Key SA인지 Session Key SA인지를 구분한다(s1401). If the AN Flag value is the same, the security association is recognized as the same state (s1201). In this case, it is determined whether the security association is a Master Key SA or a Session Key SA (s1401).
상기 보안연계가 Master Key SA 이면, 현재 프레임에 입력된 패킷 넘버 값(PN)과 이전 Master Key SA 프레임에 입력된 패킷 넘버 값(MK_PN')을 비교하여 재전송 공격 프레임인지를 판단한다(s1601). 상기 PN 값이 상기 MK_PN'보다 작거나 동일한 경우에는 재전송 공격 프레임에 해당하여 프레임을 삭제하고(s1710), 그렇지 않은 경우에는 정상 프레임으로 판단하여 프레임을 전송한다. 그리고 현재 프레임에 입력된 PN 값을 MK_PN'값에 저장한다(S1720).If the security association is Master Key SA, it is determined whether the retransmission attack frame is compared by comparing the packet number value PN inputted in the current frame and the packet number value MK_PN 'inputted in the previous Master Key SA frame (S1601). If the PN value is smaller than or equal to the MK_PN ', the frame is deleted in response to the retransmission attack frame (S1710). Otherwise, the frame is determined to be a normal frame and transmitted. The PN value input in the current frame is stored in the MK_PN 'value (S1720).
상기 보안연계가 Session Key SA 인 경우, 현재 프레임에 입력된 패킷 넘버 값과(PN)과 이전 Session Key SA 프레임에 입력된 패킷 넘버 값(SK_PN')을 비교하여 재전송 공격 프레임인지를 판단한다. 상기 PN 값이 상기 SK_PN'보다 작거나 동일한 경우에는 재전송 공격 프레임에 해당하여 프레임을 삭제하고, 그렇지 않은 경우에는 정상 프레임으로 판단하여 프레임을 전송한다. 그리고 현재 프레임에 입력된 PN 값을 SK_PN'값에 저장한다. If the security association is a Session Key SA, it is determined whether the retransmission attack frame is compared by comparing the packet number value (PN) input in the current frame and the packet number value (SK_PN ') input in the previous Session Key SA frame. If the PN value is less than or equal to the SK_PN ', the frame is deleted in response to the retransmission attack frame. Otherwise, the frame is determined to be a normal frame and the frame is transmitted. The PN value input in the current frame is stored in the SK_PN 'value.
반면 AN Flag 값이 다르면 보안연계는 연속성이 인정되지 않고, 현재 프레임의 AN Flag 값을 이전 프레임의 AN Flag 값을 저장하는 레지스터에 저장한다(s1301).On the other hand, if the AN Flag value is different, the security association does not recognize the continuity, and stores the AN Flag value of the current frame in a register that stores the AN Flag value of the previous frame (s1301).
본 발명은 EPON ONU 단말에서 링크 암호화 공격 차단장치로서 외부 해커로부터 공격당하기 쉽고 ONU 시스템 운영에 있어 치명적인 결과를 가져오는 서비스 거 부 공격 및 재 전송 공격 차단 기능을 제공한다.The present invention provides a service rejection attack and a retransmission attack blocking function that is easy to be attacked by an external hacker as a link encryption attack blocking device in the EPON ONU terminal and has a fatal result in the operation of the ONU system.
또한 사용자의 정의에 따라 설정된 파라미터 값에 따라 프레임별로 서비스 거부 공격 프레임을 선택하고 필터링하여 차단한다.In addition, denial of service attack frames are selected and filtered for each frame according to the parameter value set according to the definition of the user.
뿐만 아니라, 재 전송 공격에 대하여서 보안 연계별로 해킹 공격에 대하여 필터링하고 차단함으로서 이더넷 보안 서비스와 성능을 보장한다. In addition, Ethernet security services and performance are guaranteed by filtering and blocking hacking attacks by security association for retransmission attacks.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플라피 디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. Computer-readable recording media include all kinds of recording devices that store data that can be read by a computer system. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, which are also implemented in the form of carrier waves (for example, transmission over the Internet). It also includes. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
이상 도면과 명세서에서 최적 실시예들이 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.The best embodiments have been disclosed in the drawings and specification above. Although specific terms have been used herein, they are used only for the purpose of describing the present invention and are not used to limit the scope of the present invention as defined in the meaning or claims. Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible from this. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.
Claims (26)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20040105415 | 2004-12-14 | ||
KR1020040105415 | 2004-12-14 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060067099A KR20060067099A (en) | 2006-06-19 |
KR100617321B1 true KR100617321B1 (en) | 2006-08-30 |
Family
ID=37161715
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020050037845A KR100617321B1 (en) | 2004-12-14 | 2005-05-06 | Method and Apparatus for Protection to Link Security Attack |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100617321B1 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100798921B1 (en) * | 2005-12-07 | 2008-01-29 | 한국전자통신연구원 | A Method for controlling security channel in the MAC Security network and terminal device using the same |
US7724899B2 (en) | 2005-12-07 | 2010-05-25 | Electronics And Telecommunications Research Insitute | Method for controlling security channel in MAC security network and terminal using the same |
KR100737527B1 (en) * | 2005-12-08 | 2007-07-10 | 한국전자통신연구원 | Method and device for controlling security channel in epon |
CN101141241B (en) | 2006-09-06 | 2010-08-18 | 华为技术有限公司 | Method and network appliance for implementing MAC safety |
KR100917601B1 (en) * | 2007-07-03 | 2009-09-17 | 한국전자통신연구원 | Method and attestation system for preventing attestation relay attack |
CN116700110B (en) * | 2023-06-30 | 2024-03-26 | 中汽院新能源科技有限公司 | Distributed driving new energy automobile control method based on multi-module division |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001033317A1 (en) | 1999-10-29 | 2001-05-10 | Koninklijke Philips Electronics N.V. | Assuring data integrity via a secure counter |
KR20040041978A (en) * | 2002-11-12 | 2004-05-20 | 엘지전자 주식회사 | Method of Protecting Hacking in the Router/Switch System |
-
2005
- 2005-05-06 KR KR1020050037845A patent/KR100617321B1/en not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001033317A1 (en) | 1999-10-29 | 2001-05-10 | Koninklijke Philips Electronics N.V. | Assuring data integrity via a secure counter |
KR20040041978A (en) * | 2002-11-12 | 2004-05-20 | 엘지전자 주식회사 | Method of Protecting Hacking in the Router/Switch System |
Also Published As
Publication number | Publication date |
---|---|
KR20060067099A (en) | 2006-06-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7051365B1 (en) | Method and apparatus for a distributed firewall | |
US8379638B2 (en) | Security encapsulation of ethernet frames | |
US7061899B2 (en) | Method and apparatus for providing network security | |
US9461975B2 (en) | Method and system for traffic engineering in secured networks | |
US7536715B2 (en) | Distributed firewall system and method | |
Kent et al. | RFC 4301: Security architecture for the Internet protocol | |
US8136152B2 (en) | Method and system for securely scanning network traffic | |
TWI362859B (en) | ||
US20080162922A1 (en) | Fragmenting security encapsulated ethernet frames | |
KR100617321B1 (en) | Method and Apparatus for Protection to Link Security Attack | |
KR100839941B1 (en) | Abnormal ipsec packet control system using ipsec configuration and session data, and method thereof | |
US9015825B2 (en) | Method and device for network communication management | |
US10841840B2 (en) | Processing packets in a computer system | |
US20120163383A1 (en) | Method and device for transmitting data between two secured ethernet-type networks through a routed network | |
CN110492994B (en) | Trusted network access method and system | |
RU2163744C2 (en) | Protective system for virtual channel of corporate- network using fiscal data access control and built around channels and switching facilities of shared communication network | |
EP1290852A2 (en) | Distributed firewall system and method | |
Ahmed et al. | Architecture based on tor network for securing the communication of northbound interface in sdn | |
KR102421722B1 (en) | Network information security method and apparatus | |
JP2005065004A (en) | Method, device and program for inspecting encrypted communication data | |
Sailer et al. | History based distributed filtering-a tagging approach to network-level access control | |
Kundu | Mitigation of Storage Covert Channels in IPSec for QoS Aware Applications | |
Nahi et al. | Design and Implementation of a Holistic and Robust Wi-Fi Authentication and Authorization Framework for Secure Wireless Networks | |
Baltatu et al. | IP security | |
KR20110087972A (en) | Method for blocking abnormal traffic using session table |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |