KR100675836B1 - Epon 구간내에서의 링크 보안을 위한 인증 방법 - Google Patents

Epon 구간내에서의 링크 보안을 위한 인증 방법 Download PDF

Info

Publication number
KR100675836B1
KR100675836B1 KR1020040104347A KR20040104347A KR100675836B1 KR 100675836 B1 KR100675836 B1 KR 100675836B1 KR 1020040104347 A KR1020040104347 A KR 1020040104347A KR 20040104347 A KR20040104347 A KR 20040104347A KR 100675836 B1 KR100675836 B1 KR 100675836B1
Authority
KR
South Korea
Prior art keywords
authentication
olt
onu
frame
key
Prior art date
Application number
KR1020040104347A
Other languages
English (en)
Other versions
KR20060065863A (ko
Inventor
은지숙
한경수
유태환
권율
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040104347A priority Critical patent/KR100675836B1/ko
Priority to US11/119,246 priority patent/US7730305B2/en
Publication of KR20060065863A publication Critical patent/KR20060065863A/ko
Application granted granted Critical
Publication of KR100675836B1 publication Critical patent/KR100675836B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/25Arrangements specific to fibre transmission
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q11/0067Provisions for optical access or distribution networks, e.g. Gigabit Ethernet Passive Optical Network (GE-PON), ATM-based Passive Optical Network (A-PON), PON-Ring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q2011/0088Signalling aspects

Abstract

본 발명은 EPON의 광회선단말(Optical Line Terminal, OLT)과 새로 접속되는 광망종단장치(Optical Network Unit, ONU) 간에 이루어지는 인증방법으로서, 암호화기술과 동일한 계층인 데이터 링크 계층에서 구현되는 EPON 구간내에서의 링크 보안을 위한 인증 방법에 관한 것이다. 본 발명은 EPON의 OLT 및 ONU 양측에 인증키를 분배한 후, OLT(또는 ONU)에서 임의의 제1,2랜덤값를 설정하고, 상기 제1,2랜덤값이 포함된 인증 요구 프레임을 생성하여 ONU(또는 OLT)에 전송하면, 해당 ONU(또는 OLT)가 상기 인증 요구 프레임의 제1,2랜덤 값과 분배된 인증키를 이용하여 소정의 함수에 따라 결과값을 생성하고, 생성된 결과값을 인증 응답 프레임에 실어 OLT(또는 ONU)로 전송하고, 상기 OLT(또는 ONU)가 인증 응답 프레임에 실린 결과값을 상기 제1,2랜덤값 및 자신이 분배받은 인증키로부터 소정 함수에 따라 생성된 결과값을 비교하여, 인증 성공 여부를 판단하고, 그 결과를 인증 확인 프레임에 실어 ONU(또는 OLT)로 전송하는 것이다.
EPON, OLT, ONU, 마스터 키, 슬로우 프로토콜(slow protocol), PRF(Pseudo Random Function) ,인증

Description

EPON 구간내에서의 링크 보안을 위한 인증 방법{Authentication method for a link protection in EPON}
도 1은 EPON 광가입자망의 일반적인 구성도이다.
도 2의 (a),(b)는 본 발명에 의한 EPON 구간에서의 링크 보안을 위한 인증 방법을 나타낸 플로우챠트이다.
도 3은 MAC 프레임의 구조도이다.
도 4는 본 발명에 의한 인증 프레임의 기본 구조도이다.
도 5는 본 발명에 있어서 인증 요구를 위한 인증 프레임의 구조도이다.
도 6은 본 발명에 있어서 인증 응답을 위한 인증 프레임의 구조도이다.
도 7은 본 발명에 있어서 인증 확인을 위한 인증 프레임의 구조도이다.
본 발명은 이더넷 수동광가입자망((Ethernet Passive Optical Network, EPON)에 있어서 광회선단말(Optical Line Terminal, OLT)과 새로 접속되는 광망종단장치(Optical Network Unit, ONU)간의 인증 방법에 관한 것으로서, 보다 상세하 게는 데이터 링크 계층에서 적용되어 링크 보안을 지지할 수 있는 EPON 구간내에서의 링크 보안을 위한 인증 방법에 관한 것이다.
일반적으로 보안이 적용된 망에 새로운 장비가 접속을 시도하는 경우, 망의 접속 지점에서는 해당 장비에 대한 인증을 수행한다. 즉, 망의 안전성을 유지하기 위해서 새로 망에 접속하는 장비에 대한 안전성을 확인할 필요가 있으며, 인증은 이때 해당 장비가 허가받은 개체인지를 확인하는 것이며, 인증이 완료된 후에는 인증 정보를 기반으로 망 접속 지점과 장비사이에 연결된 링크에 암호화기술이 적용되며, 장비는 안전한 망으로의 접속이 완료되어 통신을 시작할 수 있다.
상기 인증은 보통 망 내의 인증 서버를 통해서 이루어지며, 망 접속을 시도한 장비는 인증서버와 다양한 인증프로토콜을 이용하여 인증을 실시한다. 이때 이용되는 인증 프로토콜들은 패스워드 기반 식별방식, 시도 및 응답 방식, 영지식 증명방식 등을 기반으로 한다.
상기 방법들 중에서, 패스워드 기반 식별방식에 따른 인증 방법은, 가장 일반적으로 사용되는 방식으로서, 인증받기를 원하는 장비 측에서 ID와 패스워드를 입력하면, 인증 서버는 장비가 입력한 ID 및 패스워드를 통해 서버 내에 저장된 정보와 일치하는 지를 확인하고, 해당 장비가 요구하는 자원이 접근 가능한 지를 확인한다. 상기에서 패스워드는 6~8바이트의 길이를 갖는 장비와 인증서버 간에 설정된 비밀정보로서, 공격자가 쉽게 알아낼 수 없도록 생성되어야 하며, 주기적으로 변경하도록 하며, 공개된 해쉬 함수에 의해 생성한 해쉬값으로 패스워드를 변경하 여 전송한다. 패스워드 기반 식별 방식중의 일예로서, 일회용 패스워드를 사용하는 방법이 있는데, 이는 장비가 인증을 수행할 때마다 패스워드가 달라지는 것으로서, 장비는 비밀정보로서 초기값 x0를 설정하고 공개된 일방향 해쉬함수 h(xi)를 이용하여 xi=h(xi-1) (여기서, i는 1부터 n까지의 정수이다)를 계산하며, 계산된 xn-1 을 자신의 패스워드로 인증서버에 전송하며, 인증서버를 이를 해쉬값으로 변경하여 장비의 ID와 일치하는지를 확인하고, 수신된 xn-1을 장비의 ID로 갱신한다.
그리고, 시도 및 응답 방식은 장비가 자신이 정당한 사용자임을 서버에게 증명해 보이기 위하여 자신만이 소유한 비밀정보를 보여주는 방법으로서, 서버가 장비에게 랜덤값을 생성하여 시도(challenge) 메시지를 보내면, 이를 받은 장비가 시도 메시지를 공유키로 암호화하여 자신의 신원 확인 데이터와 함께 서버로 보낸다. 서버는 전송된 신원 확인 데이터를 기반으로 장비에게 전송한 시도메시지를 찾아 해당 공유키로 암호화하여 수신메시지와 비교함에 의하여 장비를 인증한다.
마지막으로, 영지식 증명 방법은 자신이 비밀 정보를 가지고 있음을 비밀 정보에 대한 어떤 내용도 노출시키지 않으면서 서버에 확인시키는 방법이다. 상기 방법은 대화형 증명 방식으로서, 장비와 서버는 시도와 응답에 해당하는 다수의 메시지를 교환하며, 교환되는 다수의 메시지는 보통 난수에 의존한다. 상기 영지식 증명 방법의 예를 들면, 인증서버는 초기에 n=pq를 선택하여, 소수 p와 q는 저장하고, n을 공개한다. 장비는 n과 서로 소인 비밀정보 s를 선택하여
Figure 112006052878178-pat00001
을 계산한 후, v를 서버에 자신의 공개키로 등록한다. 다시 장비는 난수 r을 선택하고,
Figure 112006052878178-pat00002
을 생성하여 서버에게 x를 전달하며, 서버는 e=0,1을 선택하여 장비에게 전송하고, 장비는 이에 대한 응답으로
Figure 112006052878178-pat00014
을 서버로 전달하며, 서버는
Figure 112006052878178-pat00015
인지를 계산하여, 맞으면 수락하고, 틀리면 거절한다.
상기에서 열거한 바와 같이, 대부분의 종래 인증 기술들은 인증 서버가 존재해야 하는데, 이에 따라서 각 서버간의 통신 기술 및 관리 기술이 요구된다. 결과적으로 종래의 인증 기술은 망을 구성하기 위한 별도의 비용이 발생된다는 문제점이 있다.
또한, 종래의 인증 방법들은, 인증서버와 장비 간에 통신이 요구되기 때문에, 네트워크 계층에서 이루어지며, 데이터 링크 계층에 적용되는 암호화 기술과 적용되는 계층이 달라진다. 이러한 적용계층의 차이는, 장비가 인증만을 원하고 암호화기술을 요구하지 않는다면 문제가 되지 않지만, 대부분의 경우 인증이 완료되면 장비는 암호화 기술에 제공할 수 있는 키를 얻게 되며, 이러한 키는 데이터 링크 계층에 제공된다. 따라서, 종래의 인증 방법을 적용시 해당 인증 수행 모듈이 데이터 링크 계층에 적용되는 프레임과 네트워크 계층에 적용되는 프레임을 함께 제어하여야 하기 때문에, 계층간의 인터페이스가 요구되어 통신 프로토콜과 제어 기술이 복잡해진다는 문제점이 있다.
또한, 종래의 인증 방법들은, 주로 망 접속 지점에서 새롭게 접속한 장비를 인증하는 방법을 사용하기 위해 일방향성 인증 방법을 사용함으로써 인증을 위 한 프로세스가 비대칭 구조를 가진다. 따라서, 새롭게 망에 접속하는 장비는 다음 접속 장비를 위해 두개의 프로세스를 모두 가지고 있어야 할 수도 있다. 이것은 자원의 낭비뿐만 아니라 장비가 암호화 기술을 사용할 때 반드시 필요한 키 분배 기술도 비대칭이 되어 키 갱신에도 일방향성이 부가되므로 키 관리 기술에 융통성을 떨어뜨리는 요인이 될 수 있다.
본 발명은 상술한 종래의 문제점을 해결하기 위하여 제안된 것으로서, 그 목적은 EPON의 광회선단말(Optical Line Terminal, OLT)과 새로 접속되는 광망종단장치(Optical Network Unit, ONU) 간에 이루어지는 인증방법으로서, 암호화기술과 동일한 계층인 데이터 링크 계층에서 구현되는 EPON 구간내에서의 링크 보안을 위한 인증 방법을 제공하는 것이다.
상술한 본 발명의 목적을 달성하기 위한 구성수단으로서, 본 발명은 다른 네트워크 시스템과 연결되는 OLT와 가입자측에 위치하는 복수의 ONU로 이루어지는 EPON 구간에서 링크 보안을 위해 적용되는 인증 방법에 있어서, EPON의 OLT 및 ONU 양측에 인증키를 분배하는 단계; OLT(또는 ONU)에서 임의의 제1,2랜덤값를 설정하고, 상기 제1,2랜덤값이 포함된 인증 요구 프레임을 생성하여 ONU(또는 OLT)에 전송하는 단계; ONU(또는 OLT)가 상기 인증 요구 프레임의 제1,2랜덤 값과 분배된 인 증키를 이용하여 소정의 함수에 따라 결과값을 생성하고, 생성된 결과값을 인증 응답 프레임에 실어 OLT(또는 ONU)로 전송하는 단계; 및 상기 OLT(또는 ONU)는 인증 응답 프레임에 실린 결과값을 상기 제1,2랜덤값 및 자신이 분배받은 인증키로부터 소정 함수에 따라 생성된 결과값을 비교하고, 그 결과를 인증 확인 프레임에 실어 ONU(또는 OLT)로 전송하는 단계를 포함하는 것을 특징으로 한다.
이하, 첨부한 도면을 참조하여 본 발명에 따른 EPON 구간내에서의 링크 보안을 위한 인증 방법에 대하여 설명한다. 하기 기능 및 첨부된 도면의 설명에 있어서, 본 발명의 기술적 요지를 흐릴 수 있는 공지 기능에 대한 상세한 설명은 생략한다.
암호화 기술은 대칭키 암호화와 공개키 암호화로 구별되는데, 대칭키 암호화 기술은 암호화 키와 복호화 키가 동일하고, 공개키 암호화 기술은 암호화 키와 복호화 키가 다르다. 대칭키 암호화에서 사용되는 암호키는 망에 노출되어서는 안되고, 공개키 암호화에서 사용되는 암호화 키는 공개되는 것으로 망에 노출되어도 무방하다.
보통 암호화 기술과 인증 기술은 별개의 기능 모듈이므로, 암호화 기술이 인증 기술에 항상 영향을 주진 않지만, 데이터 링크 계층에서 암호화 기술로 대칭키 암호화 기술을 사용하는 경우, 망 접속 지점과 접속을 시도하는 장비간의 공유키를 확인하는 것으로 간단히 인증을 수행할 수 있다. 즉, 인증 서버로부터 인증서 를 발부 받는 복잡한 절차는 피할 수 있으며, 인증 서버도 필요하지 않다. 또한, 기존의 복잡한 프로토콜을 대치하는 간단한 인증 프로토콜을 고안할 수 있다.
도 1은 EPON 광가입자망의 개략적인 구성도로서, 이더넷을 기반으로 하는 EPON은 광가입자망을 다른 시스템, 예를 들어, IP망, 방송망(broadcating network), TDM망과 연결시키는 광종단장치인 OLT(11)와, 광 가입자망의 가입자측 종단에 위치하고 가입자 단말(13), 예를 들어, STB, PC등에 연결되는 ONU(12)로 이루어진다.
본 발명은 상술한 EPON 광가입자망에 있어서, OLT(11)와 ONU(12)간의 인증 방법으로서, 상기 OLT(11)와 ONU(12)는 공유키를 구비하고 있으며, 본 발명에 의한 인증 방법은 인증 서버 없이 상기 구비된 공유키를 확인하는 과정으로 이루어지며, 공유키를 확인하기 위하여 인증프로토콜을 사용한다.
상기 OLT(11)와 ONU(12)간의 인증은, 암호화기술이 데이터 링크 계층에서만 적용되는 것을 의미하므로, 보안 기술은 단일 링크로 한정된다. 즉, 안전한 망에 접속을 원하는 장비가 있다면 장비는 망 접속 지점에 있는 장비와 안전한 채널을 설정할 것을 요구받게 된다. 이를 마치면, 장비는 망 접속 지점에 있는 장비 간에 설정된 안전한 채널만을 사용하게 된다. 망 접속 지점에 있는 장비와 망 내의 다른 장비와의 통신은 장비와는 독립적으로 구성되는 보안 채널이 되는 것이다. 따라서, 인증은 망 접속 지점에 있는 장비와 망에 접속을 원하는 장비 사이에 구성된 링크만을 통해 이루어질 수 있으며, 따라서 상기 EPON 광가입자망에서도 OLT(11)와 ONU(12)간의 인증으로 볼 수 있다.
또한, 대칭키 암호화 기술과 공개키 암호화 기술은 키의 길이에 따라 메시지 처리시간에 큰 영향을 받는데, 대칭키 암호화 기술의 키가 128비트인 반면, 공개키 암호화 기술의 키는 1024비트 이상이므로 대부분의 보안 기술은 메시지를 암호화하는 기술로 통신 속도에 지장을 적게 주는 대칭키 암호화 기술을 사용한다. 따라서, EPON에서 암호화 기술로 대칭키 암호화 기술을 사용하는 경우 OLT(11)와 ONU(12)간의 공유키를 확인하면 인증은 완료된다. 따라서, 인증 서버가 반드시 필요하지 않게 되며, OLT(11)와 ONU(12)간의 공유키를 확인하는 간단한 방법으로 안전한 통신을 수행할 수 있다.
또한, EPON 광 가입자망에 있어서, OLT(11)와 ONU(12)는 서로 동일한 키로 마스터 키(MK:Master Key)를 하나씩 가지고 있는데, 이것은 EPON이 구성되면서 미리 분배 된다.
본 발명은 상기와 같이, EPON의 망 구성시 분배된 마스터 키(MK)로부터 생성된 인증키를 확인함으로써 인증을 수행하는 방법으로서, 여기서, 마스터 키를 분배하거나, 마스터 키로부터 인증키를 생성하기 위한 기술은 본 발명의 기술적 요지에 해당되지 않는다.
상기 마스터 키로부터 인증키를 생성하는 기술은 키 관리 모듈의 키 관리 프로토콜로 이루어진다. 키 관리 프로토콜이란 EPON에 있어서, OLT(11)와 ONU(12)사이에서 사용하는 키를 관리하는 프로토콜로서, 키 생성, 분배, 저장, 갱신 등을 수행한다. 이런 키 관리 프로토콜은 키를 생성하기 위해 키에 계층 구조를 두었다. 따라서, 마스터 키(MK)는 PMK(Pairwise Master Key)를 생성하고, PMK는 인증 키를 생성한다.
본 발명에 있어서, 인증을 하기 위해 마스터 키를 확인 하지 않고, 인증키를 확인하는 것은 마스터 키는 거의 변경되지 않는 키로 채널에 마스터 키가 노출 되는 것을 막음으로써 마스터 키의 보안성을 높이기 위해서이다.
도 2의 (a) 및 (b) 는 본 발명에 의하여 OLT(11)와 ONU(12) 간에 이루어지는 인증 방법의 절차를 나타낸 플로우챠트이다.
상기 도 2에 있어서, 예를 들어 OLT(11)가 ONU(12)를 인증하는 경우, (a)는 OLT(11)에서 이루어는 인증 절차를 나타내고, (b)는 ONU(12)에서 이루어지는 인증 절차를 나타낸다. 반대로, ONU(12)가 OLT(11)를 인증하는 경우는, (a)가 ONU(12)의 인증절차를 나타내고, (b)가 OLT(11)의 인증절차를 나타낸다.
앞서 설명한 바와 같이, EPON 광가입자망에 있어서, 키 관리 프로토콜을 통해 AK(Authentication Key)를 생성하면, OLT(11)와 ONU(12)는 동일한 AK를 갖게 된다. 상기 AK는 마스터키로부터 생성된 PMK(Pairwise Master Key)로부터 생성된다. 이때, AK의 키 생성 프로토콜은 일반적으로 알려져 있는 것을 사용할 수 있다. 다른 경우로서, 암호화 기술이 사용되지 않는 경우 마스터 키로부터 키 분배가 이루어지지 않으므로, 상기 AK는 마스터 키로 사용한다.
본 발명은 이렇게 키 관리 프로토콜을 통해 분배된 AK를 확인하는 것으로 서, 이때 본 발명은 인증 알고리즘으로 잘 알려진 해쉬 함수인 PRF(Pseudo Random Function)을 이용한다.
PRF는 임의의 유한 길이의 입력 비트 스트링 x를 고정된 길이의 출력 비트 스트링 H(x)로 변환하며, 주어진 H와 x에 대하여, H(x)를 계산하기 쉽다는 장점이 있다. 또한, 주어진 출력에 대하여 입력 값을 구하는 것이 계산상 불가능하고, 주어진 입력에 대하여 같은 출력을 내는 또 다른 입력을 찾아내는 것이 계산상 불가능하며, 같은 출력을 내는 임의의 서로 다른 두 입력 메시지를 찾는 것이 계산상 불가능하다는 특징을 갖고 있다.
이런 PRF의 일방향성과 충돌회피성에 160 bit이상의 출력 값을 사용하면, 키 값을 찾아내기 위해 모든 경우의 수를 대입해서 계산하는 전수 공격을 통해서도 키를 찾아내기가 어려워지므로 강한 보안성을 갖게 된다. 특히, 공격자가 계산결과로부터 AK를 찾기 위해서는 평균 280이상의 시도가 필요하다.
PRF를 이용하여 결과 값 Y를 생성하는 식은 다음의 수학식 1과 같다.
Figure 112006052878178-pat00016
상기에서, Nonce1과 Nonce2는 OLT(11)에서 생성한 첫 번째와 두 번째의 임의 랜덤 값(16 바이트)이다.
삭제
다음으로 OLT(11)가 ONU(12)를 인증하는 경우를 예로 들어 본 발명의 인증 방법을 설명한다. ONU(12)가 OLT(11)를 인증하는 경우는, 동작의 주체가 변경될 뿐 동일한 방법으로 이루어지므로, 이하의 설명으로 쉽게 이해될 수 있다.
먼저, 도 2의 (a)를 참조하여, EPON의 OLT(11)는 새로운 ONU(12)가 발생되어 인증을 수행하여야 할 경우, 임의의 제1,2 랜덤값(예를 들어, 16 바이트) Nonce 1, Nonce 2를 생성하여, 인증 요구 인증 프레임에 실어 ONU(12)로 전송한다(214). 그리고, 상기 생성된 제1,2 랜덤값과, 분배된 AK를 상기 수학식 1에 대입하여, 상기 제1,2랜덤값에 대응하는 Y를 산출하여 저장한 후, 요구에 대한 응답 프레임의 도착을 대기한다(217).
이때, ONU(12)는 도 2의 (b)에 도시된 바와 같이, OLT(11)로부터 인증 요구를 위한 인증 프레임이 도착되면(223), 수신된 제1,2 랜덤값 Nonce 1, Nonce2 과, 자신이 분배받은 AK 를 상기 수학식 1에 대입하여, Y를 생성하고, 생성된 Y를 인증응답을 위한 인증 프레임에 실어 OLT(11)로 전송한다(224).
상기 인증 응답 인증 프레임을 수신한 OLT(11)는 도 2의 (a)에 도시한 단계 218과 같이, 자신이 저장하고 있는 AK와 상기의 제1,2랜덤 값 Nonce 1, Nonce 2를 수학식 1로 연산하여 구해진 Y와, 상기 수신된 인증 응답 인증 프레임내에 실린 ONU(12)의 Y가 일치하는 지를 비교하여(218), 일치하는 경우 인증을 수락하는 인증 확인용 인증 프레임을 ONU(12)에 전송한다(219,220).
이에, ONU(12)는 상기 인증 확인용 인증 프레임을 수신하고(227), 수신된 인증프레임에 실린 결과값을 체크하여, 인증 성공여부를 확인하여, 인증이 성공된 경우 인증 절차를 종료하고, 인증이 성공되지 않으면 상기 인증 절차를 반복한다(228).
더하여, 본 발명에 의한 인증 방법은 인증 절차의 반복 횟수를 제한함으로서, 인증 프로세스를 가지고 있지 않은 장비와의 인증이 시도 되었을 때 무한의 인증 시도를 피할 수 있는 방법을 제공한다.
즉, 도 2의 (a)에 도시된 바와 같이, 시도 횟수를 체크하는 단계들(211,212,213)을 더 포함하여, 인증 절차의 수행 전 인증 카운터에 시도 횟수를 초기화하고(211), 인증 절차가 시작될 때마다 상기 인증 카운터를 1씩 감산시켜(212), 인증 카운터가 0인 경우, 즉 설정된 시도횟수만큼 시도된 경우 인증 절차를 종료시킨다(213).
또한, 인증 요구 프레임의 전송 후(214), 수신대기시간을 설정하고(215), 상기 수신 대기 시간 내에 ONU(12)로부터 응답용 인증 프레임이 수신되지 않은 경우, 다시 상기 단계212부터 반복하도록 함으로서, 응답지연으로 인해 인증 절차가 무한정 지연되는 것을 방지한다.
마찬가지로, 도 2의 (b)에 있어서도, 인증 처리를 위한 소요시간을 인증대기시간으로 설정하고(221), 상기 설정기간이 경과할 경우, 인증이 실패한 것으로 판단하여 절차를 종료하도록 함으로서(222), 인증 절차로 인한 시간 지연을 방지하 고, 인증 응답 프레임을 전송한 후(224), 수신대기시간을 설정하고(225), 상기 수신대기시간이 경과된 후에도 인증 확인용 인증 프레임이 수신되지 않을 경우, 인증 확인용 인증 프레임의 수신을 무한정 기다리지 않고, 단계222로 진행하여 새로운 인증 요구 프레임을 수신토록 함으로서, 인증 절차가 무한정 이루어지는 것을 방지한다.
이와 같이, 본 발명의 인증 방법은, 인증 수행 동안 OLT(11)와 ONU(12)간에 여러 종류의 인증 메시지가 교환되는데, 이러한 인증 프로토콜에 사용하는 메시지의 내용은 공격자의 위장 공격에 취약하지 않아야 한다.
상기에서 OLT(11)가 ONU(12)의 AK를 확인하기 위해 요구 메시지를 보내면 ONU(12)는 응답 메시지를 보낸다. 이 때, 요구 메시지에 대한 응답 메시지는 단 하나만 존재하므로, 공격자는 요구 메시지와 응답 메시지의 쌍을 저장하고 있다가, OLT(11)가 동일한 요구 메시지를 보내면 그에 맞는 응답 메시지를 보냄으로써 위장할 수 있다. 이를 막기 위하여 OLT(11)의 인증 요구 메시지는 항상 다른 내용을 담고 있어야 하며, 이에 대한 응답 메시지도 달라져야 한다.
본 발명은 이러한 점을 해결하기 위하여, 상기 OLT(11)에서 ONU(12)로 전송되는 인증 요구 인증 프레임을 생성할 때, 제1,2랜덤값 Nonce 1, Nonce 2를 항상 다른 값으로 사용토록 함으로서, 위장 공격에 방어할 수 있다. 따라서, ONU(12)로부터 OLT(11)로 전송되는 응답 메시지의 결과값도 달라진다. 또한 본 발명에 의한 인증 방법은, OLT(11)와 ONU(12)에 분배된 MK를 이용하여, AK를 생성함으로서, 키 분배 프로토콜을 통해 키가 갱신될 때마다 AK도 함께 갱신되어 보안면에서 더욱 강력한 효과를 나타낼 수 있다.
더불어, 본 발명의 인증방법은 OLT(11)와 ONU(12)간에 인증을 위해 교환되는 메시지를 암호화할 필요가 없다. 왜냐하면, 상술한 바와 같이 OLT(11)와 OLU(12)간에 교환되는 메시지의 내용이 매번 변경되어 자체의 보안성이 강력해졌기 때문이다.
또 다른 이유는 상기 결과값 Y를 얻기 위해 요구되는 인자중 AK를 공격자가 쉽게 알 수 없기 때문이다. 구체적으로 설명하면, 상기 OLT(11)와 ONU(12) 간에 분배된 AK는 PMK로부터 생성되며, 이러한 PMK는 통신 채널상에서 노출되지 않으므로, 공격자는 AK를 생성할 수 없다. 공격자가 AK를 찾아내기 위해서는 PMK를 찾아야 하고, PMK를 찾기 위해서는 280의 시도가 필요하므로, 계산적으로 불가능함을 알 수 있다. 따라서 본 발명에 의한 인증 방법에서 사용하는 AK는 안전하다. 따라서, 상기 수학식 1에서, 결과값 Y를 생성하기 위해 필요한 인자 중, 하나를 공격자가 알 수 없으므로, OLT(11)가 ONU(12)로 전달하는 제1,2 랜덤 값이 공개되더라도, 공격자는 ONU(12)를 위장할 수 없게 된다.
그리고, 본 발명에 의한 인증 방법은, 데이타 링크 계층에서 사용되는 키 관리 프로토콜의 키 관리 프레임을 이용한다.
일반적으로 키 관리 프로토콜은 OLT(11)와 ONU(12) 사이에서 생성되고 소멸되는 프레임을 정의한 것으로서, OLT(11)와 ONU(12) 간의 필요한 정보를 전달하기 위해 EPON 구간에서 생성되고 소멸되는 MAC 프레임을 사용한다.
기존에 EPON 구간에서 생성되고 소멸되는 MAC 프레임으로서 OAM 프레임이 존재하는데, 상기 키 관리 프로토콜은 상기 OAM 프레임과 같이 슬로우 프로토콜(Slow Protocol)을 이용한다.
따라서, 본 발명에 의한 인증 방법은 키 관리 프로토콜의 키 관리 프레임을 이용한 인증 프로토콜로서 슬로우 프로토콜(Slow Protocol)이 적용된다.
일반적으로 데이터 링크 계층에서 사용하는 MAC 프레임은 도 3과 같은 형식의 프레임 구조를 갖는다.
본 발명에 의한 인증방법은, OLT(11)와 ONU(12) 구간에서 인증처리동안 생성되고 소멸되는 인증프레임으로서, 상기 도 3의 MAC 프레임을 변형한 도 4 ~ 도 7과 같은 구조의 인증 프레임을 사용한다.
첨부 도면중, 도 4는 본 발명에 인증방법의 수행을 위하여 OLT(11)와 ONU(12) 구간에서 생성되고 소멸되는 인증 프레임의 기본 구조를 나타낸 것이고, 도 5는 제1,2 랜덤 값 전송시 사용되는 OLT(11)에서 ONU(12)로 전달되는 인증 요구 프레임의 구조도이고, 도 6은 상기 인증 요구 프레임의 응답으로서 결과값 Y을 ONU(12)에서 OLT(11)로 전송시 사용되는 인증 응답 인증 프레임의 구조도이고, 도 7은 상기 응답에 따라서 인증 수락 여부를 확인하기 위해 OLT(11)에서 ONU(12)로 전송되는 인증 확인 프레임의 구조도를 나타낸다.
먼저, 도 4를 참조하면, 본 발명에서 사용되는 인증 프레임은 6바이트로 이루어진 목적지의 MAC 주소 필드(DA : Destination Address), 6바이트로 이루어진 송신지의 MAC 주소 필드(SA : Source Address), 2바이트로 이루어진 길이와 타입정보 필드(Length/Type), 1바이트의 서브 타입 정보 필드(subtype), 키 관리 프로토콜이 필요로 하는 정보로서 키 관리 프레임이 전송될 때마다 반드시 확인해야 하는 내용을 정의하는 1 바이트의 플래그(Flag) 필드, 프레임의 종류를 구별하는 1 바이트의 코드 필드(code), 최대 107바이트의 가변 길이로 이루어지며 인증 프레임에서 전송하는 메시지의 내용을 정의하는 데이터/패드필드(Data/Pad), 4바이트로 이루어지며 프레임의 전송 오류를 확인하기 위한 값을 정의하는 체크필드(FCS)로 이루어진다.
상기에서, 서브 타입 정보 필드(subtype)와, 플래그(flag)필드와, 코드(code) 필드는 기존의 MAC 프레임구조에 있어서, 데이터/패드(data/pad)필드로 할당된 110 바이트중 3 바이트를 이용하여 구성하고, 데이터/패드(data/pad) 필드의 크기는 최대 107 바이트로 설정한다.
슬로우 프로토콜(slow Protocol)의 규칙에 따라서, 상기 인증 프레임의 필드중, 목적지의 MAC 주소필드(DA) 값으로 "01-80-c2-00-00-02" 을 가지며, 길이와 타입정보필드(Length/Type) 값으로 "88-09" 을 가지며, 서브타입(Subtype) 값은 기존에 사용되는 1~3의 값을 제외한 나머지 4~10 중 하나(예를 들어, "4")를 사용한 다. 이는 OLT(11)와 ONU(12)간에 인증수행을 위해 교환되는 모든 프레임에 공통적으로 적용된다.
그리고 MAC 프레임의 최소 길이는 64바이트이므로, 상기 데이터/패드 필드(Data/Pad)는 최소 43바이트 이상 최대 107 바이트 이하 범위의 가변 길이를 갖는다. 여기서, MAC 프레임의 최대 길이가 1522바이트라 하더라도 슬로우 프로토콜(Slow Protocol)에 사용되는 프레임의 최대 길이는 128바이트 제한되어 있기 때문에, 상기 인증 프레임은 107바이트까지만 정보를 확장 할 수 있다.
상기 플래그(Flag) 필드는 암호화기술을 사용하지 않고, 단지 인증만을 수행하는 경우 "Null"로 채울 수 있으며, 암호화 기술이 사용되는 경우 키 관리 프로토콜에서 설정한 값을 채운다. 플래그(Flag) 필드의 비트별 기능은 다음의 표 1과 같다.
비트 이름 설명
0 로컬설정 Local set done 0 = Local 장치에 암호화 모듈이 없거나, 설정 안 됨 1 = Local 장치에 암호화 모듈이 있고, 설정 됨
1 원격 설정 Remote set done 0 = Remote 장치에 암호화 모듈이 없거나, 설정 안 됨 1 = Remote 장치에 암호화 모듈이 있고, 설정됨
2~7 reserved
상기 표 1에 보인 바와 같이, 플래그(falg) 필드의 설정(set Done)비트는 로컬(Local)과 원격(Remote)으로 구별되는데, OLT(11)가 ONU(12)에게 키 관리 프레 임을 전송하는 경우 로컬설정(Local Set done)은 OLT(11)의 암호화 모듈 정보를 가리키고, 원격설정(Remote Set done)은 ONU(12)의 암호화 모듈 정보를 나타내는 것으로서, 비트 0과 1의 값이 "0"인 경우는 암호화 모듈이 없거나 서로 간의 설정이 안 맞는 등의 이유로 암호화 동작을 하지 않는 경우를 가리킨다. 암호화 모듈이 없는 경우 키 관리 모듈이 있거나 없을 수 있다. 키 관리 모듈이 없는 경우 요구에 대한 응답은 없고, 키 관리 모듈이 있는 경우 비트 0과 1의 값을 "0"으로 채우고 나머지는 "Null"로 채울 것이다. 이 두 가지 경우가 모두 암호화 모듈이 정상 동작 할 수 없는 상태이므로 동일한 상태인 "0"으로 처리된다. 비트 0과 1의 값이 "1"인 경우는 암호화 모듈이 있고 서로간의 설정이 맞아 암호화 모듈이 동작 가능한 상태를 가리킨다. 따라서, 상기 로컬설정(Local Set done)비트와 원격설정(Remote Set done)비트의 값이 동시에 "1"인 경우에 암호화 모듈을 실제로 동작시킬 수 있다. 이러한 플래그(Flag) 필드는 OLT(11)와 ONU(12)간에 전송되는 모든 키 관리 프레임에 포함되어 프레임에 대한 첫 정보로 처리된다. 이는 키 관리 모듈이 플래그(Flag) 필드의 두 비트 값이 "1"인 상태에서 정상 동작 하던 중 발생하는 암호화 모듈의 변경 사항에 대해 빠르게 대처할 수 있도록 한다. 즉, 로컬설정(Local Set done) 비트나 원격설정(Remote Set done) 비트가 "0"으로 변경되면 암호화 모듈의 동작을 정지 시켜야 한다. 또한, 프레임을 전송할 때마다 원격설정(Remote Set done)비트에 송신측에서 갖고 있는 수신측의 암호화 모듈의 상태 정보를 전달하므로, 수신된 프레임에서 송신측에서 수신측의 상태 정보를 바르게 관리하고 있는 지도 확인할 수 있게 된다.
다음으로, 상기 인증프레임에서 코드(Code) 필드는 1바이트로 해당 인증프레임의 종류를 구별하는 기능을 하며, 본 발명에 따른 인증방법에서 사용되는 인증프레임의 종류는 다음의 표 2와 같다. 여기서, 코드 값 1,2 는 이미 다른 키 관리 프레임에서 사용되고 있으므로, 아직 사용되지 않은 코드값 4,5,6을 사용한다.
코드값 이름 설명
4 인증 요구 프레임 인증 요구, Nonce1, Nonce2 를 전송한다.
5 인증 응답 프레임 인증 응답, Nonce1, Nonce2, AK를 입력값으로 하는 출력 값 Y를 전송한다.
6 인증 확인 프레임 인증 결과, 송신 측의 Y값과 수신 프레임의 Y값을 비교한 결과 값을 전송한다.
이하, 인증 프레임의 종류 별 구조 및 기능을 도 5 ~ 도 7을 참조하여 설명한다.
(인증 요구 프레임)
도 5를 참조하면, 도 2의 단계 214에서 생성되어 ONU(12)로 전달되는 인증 요구 프레임은 인증키를 확인하기 위해 임의로 생성된 제1,2 랜덤값 Nonce1, Nonce2 와, 인증키임을 알려주는 인덱스 값이 기재된 데이터/패드(data/pad) 필드를 포함한다. 예를 들어, 상기 키 인덱스 값에 1바이트, 제1,2랜덤값 Nonce1, Nonce2에 각각 16바이트로 기재된다.
(인증 응답 프레임)
상기와 같은 인증 요구 프레임을 수신한 ONU(12)는 수신된 인증 요구 프레 임에 기재된 제1,2랜덤값 Nonce1,2 과 자신이 분배받은 AK값을 상기 수학식 1과 같이 연산하여, Y를 산출하고, 상기 Y를 인증 응답 프레임에 실어 OLT(11)로 전송한다. 이때 이용되는 응답 프레임의 구조는 도 6과 같다.
도 6에 도시된 바와 같이, 인증 응답 프레임은 인증키임을 알려주는 키 인덱스와 상기 산출된 Y 가 실린 데이터/패드(data/pad) 필드를 포함한다.
(인증 확인 프레임)
상기와 같은 인증 응답 프레임을 수신한 OLT(11)는 수신된 프레임의 Y와 OLT(11)에서 계산한 값이 맞는지를 확인하여, 인증의 성공 여부를 나타내는 인증 확인 프레임을 ONU(12)에 보내야 한다. 도 7은 이러한 인증 확인 프레임을 나타낸 것으로서, 상술한 프레임 구조에 더하여 인증키임을 표시하는 키 인덱스와, 성공 여부를 나타내는 결과값 R 로 이루어진 데이터/패드 필드를 포함한다.
상기 결과값 R은 계산한 값과 Y의 일치를 나타내는 "OK"와 불일치를 가리키는 "NOK"로 구별된다. 상기 도 7과 같은 인증 확인 프레임을 수신한 ONU(12)는 데이터/패드 필드에 실린 결과값 R을 체크하여, "OK"인 경우 데이터의 전송을 시작하고, "NOK"인 경우 인증에 실패하였으므로, 인증 재시도를 위하여 인증 요구 프레임이 수신되기를 기다린다.
이상의 실시 예에서, 인증 요구 프레임은 OLT(11)측에서 생성하고 있으나, 상기 인증 요구 프레임은 OLT(11)가 아닌 ONU(12)에서 생성될 수 도 있고, OLT(11)와 ONU(12)가 동시에 생성할 수도 있다. 즉, 양방향 동시 인증이 가능하다.
본 발명에 의한 인증 방법은 네트워크 보안 기술의 일부로 EPON에 적용되어, EPON의 OLT와 ONU가 안전하고 간단한 절차를 통하여 인증을 실시할 수 있는 것으로서 다음과 같은 장점을 갖는다.
첫째, 본 발명에 의한 인증 방법은 일방향성과 충돌회피성을 갖으며 암호학적으로 안전성을 갖고 있는 PRF를 이용함으로써 인증을 위한 별도의 보안 채널을 구성할 필요가 없으면서, 인증을 위한 부가적인 기능 모듈을 요구하지 않는 우수한 효과가 있다.
둘째, 본 발명에 의한 인증방법은 슬로우 프로토콜(Slow protocol)을 이용함으로서, EPON구간 밖으로 키 관리 프레임이 유출되지 않으며, 따라서 EPON의 외부에서는 인증을 위한 프레임의 정보를 얻을 수 없으므로 보안성이 우수하다는 효과가 있다. 더불어, 슬로우 프로토콜(slow protocol)은 1초에 전송할 수 있는 프레임 수를 최대 10개, 프레임 길이를 128바이트로 제한하므로 EPON 내의 트래픽 양에 영향을 주지 않는다는 장점이 있다.
셋째, 인증을 수행하면서 인증 요구, 인증 응답, 인증 확인의 세 단계를 거치게 되는데, 인증을 위해 인증키를 확인하는 방법을 사용하는 본 발명에 의하여, 인증 프레임에서 전송하는 정보가 간단한 입력 값과 출력 값만을 가지는 단순한 알고리즘으로 구성되어 프로토콜의 복잡성이 줄어들기 때문에, 본 발명은 비교적 간단한 프로토콜로 인증 절차가 이루어질 수 있다.
넷째, 본 발명에 의한 인증방법은 인증 서버를 따로 두지 않고, OLT가 ONU 를 인증하도록 구현됨으로서, 외부에 다른 인증 서버를 요구하지 않으며, 인증서버와의 통신 프로토콜도 요구하지 않는 장점이 있다.
다섯째, 본 발명의 인증 프로토콜은 OLT와 ONU 어느쪽에서든지 인증을 요구할 수 있는 구조를 가지고 있는 대칭형 구조로, 인증자와 인증을 요구하는 자가 서로 다른 프로세스를 가지는 인증 방법과 달리 인증을 요구하는 자가 인증자가 되는 경우에도 부가적인 프로세스를 요구하지 않는다는 장점이 있다.
마지막으로, 본 발명은 일반 네트워크에서 데이터 링크 계층에 보안 기술을 적용하는 경우, 키 관리 모듈이 수행하는 키 분배 프로토콜과 통합되어 키 관리 프로토콜로 구성되거나, 키 분배 프로토콜과 별도로 인증 프로토콜로 구성되어 독립 모듈로 구성될 수 있는 확장성을 가지고 있다.

Claims (12)

  1. 다른 네트워크 시스템과 연결되는 OLT와 가입자측에 위치하는 복수의 ONU로 이루어지는 EPON 구간에서 링크 보안을 위해 적용되는 인증 방법에 있어서,
    EPON의 OLT 및 ONU 양측에 인증키를 분배하는 단계;
    OLT(또는 ONU)에서 임의의 제1,2랜덤값를 설정하고, 상기 제1,2랜덤값이 포함된 인증 요구 프레임을 생성하여 ONU(또는 OLT)에 전송하는 단계;
    ONU(또는 OLT)가 상기 인증 요구 프레임의 제1,2랜덤 값과 분배된 인증키를 이용하여 소정의 함수에 따라 Y를 생성하고, 생성된 Y를 인증 응답 프레임에 실어 OLT(또는 ONU)로 전송하는 단계; 및
    상기 OLT(또는 ONU)는 인증 응답 프레임에 실린 Y를 상기 제1,2랜덤값 및 자신이 분배받은 인증키로부터 소정 함수에 따라 산출한 값과 비교하고, 그 결과를 나타내는 R을 인증 확인 프레임에 실어 ONU(또는 OLT)로 전송하는 단계
    를 포함하는 EPON 구간내에서의 링크 보안을 위한 인증 방법.
  2. 제 1 항에 있어서, 상기 인증키는
    EPON의 구성시 OLT와 ONU에 설정된 마스터키로부터 생성된 PMK(Pairwise Master Key)로부터 키 관리 프로토콜에 따라서 생성되는 것을 특징으로 EPON 구간내에서의 링크 보안을 위한 인증 방법.
  3. 제 1 항에 있어서, 상기 인증키는
    OLT와 ONU 구간에서 암호화기술이 사용되지 않는 경우 EPON 구성시 ONU와 OLT에 분배된 마스터 키를 사용하는 것을 특징으로 하는 EPON 구간내에서의 링크 보안을 위한 인증 방법.
  4. 제 1 항에 있어서, 상기 Y값은
    PRF(Pseudo random function)함수
    Figure 112006052878178-pat00017
    (여기서, Y는 결과값이고, Nonce1, 2는 제1,2랜덤 값이며, AK는 인증키값이다)
    에 의하여 생성되는 것을 특징으로 하는 EPON 구간내에서의 링크 보안을 위한 인증 방법.
  5. 제 1 항에 있어서, 상기 인증 요구, 응답, 확인 프레임은
    목적지의 MAC 주소 필드(DA : Destination Address)와, 송신지의 MAC 주소 필드(SA : Source Address)와, 프레임의 길이 및 타입을 나타내는 길이와 타입정보 필드(Length/Type)와, 서브 타입 정보 필드(subtype)와, 키 관리 프로토콜에서 키 관리 프레임이 전송될 때마다 확인해야 하는 내용을 정의하는 플래그(Flag) 필드와, 해당 인증 요구, 응답 , 확인중 어떤 프레임인지를 구별하는 코드 필드(code)와, 최대 107바이트의 가변 길이로 이루어지며 인증 프레임에서 전송하는 메시지의 내용을 정의하는 데이터/패드필드(Data/Pad)와, 프레임의 전송 오류를 확인 하기 위한 값을 정의하는 체크필드(FCS)로 이루어지는 것을 특징으로 하는 EPON 구간내에서의 링크 보안을 위한 인증 방법.
  6. 제 4 항에 있어서, 상기 Y 값은 160비트 이상으로 생성하는 것을 특징으로 하는 EPON 구간내에서의 링크 보안을 위한 인증 방법.
  7. 제 5 항에 있어서, 상기 프레임의 필드값은 슬로우 프로토콜(slow protocol)의 규칙을 적용하여 설정하는 것을 특징으로 하는 EPON 구간내에서의 링크 보안을 위한 인증 방법.
  8. 제 5 항에 있어서, 상기 플래그 필드에는
    송신측의 암호화 모듈 정보를 가리키는 로컬설정(local set done) 정보와,
    수신측의 암호화 모듈정보를 가리키는 원격설정(remote set done) 정보가 포함되는 것을 특징으로 하는 EPON 구간내에서의 링크 보안을 위한 인증 방법.
  9. 제 5 항에 있어서, 상기 코드 필드는
    인증 요구, 응답, 확인 프레임 별로 코드값 4~6에서 설정되는 것을 특징으로 하는 EPON 구간내에서의 링크 보안을 위한 인증 방법.
  10. 제 5 항에 있어서, 상기 데이터/패드 필드는
    인증 요구 프레임인 경우 키 인덱스와, 제1,2 랜덤값으로 구성되는 것을 특징으로 하는 EPON 구간내에서의 링크 보안을 위한 인증 방법.
  11. 제 5 항에 있어서, 상기 데이터/패드 필드는
    인증 응답 프레임의 경우 키 인덱스와, 결과값 Y로 구성되는 것을 특징으로 하는 EPON 구간내에서의 링크 보안을 위한 인증 방법.
  12. 제 5 항에 있어서, 상기 데이터/패드 필드는
    인증 확인 프레임의 경우, 키 인덱스와, 인증의 성공여부를 나타내는 정보로 구성되는 것을 특징으로 하는 EPON 구간내에서의 링크 보안을 위한 인증 방법.
KR1020040104347A 2004-12-10 2004-12-10 Epon 구간내에서의 링크 보안을 위한 인증 방법 KR100675836B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020040104347A KR100675836B1 (ko) 2004-12-10 2004-12-10 Epon 구간내에서의 링크 보안을 위한 인증 방법
US11/119,246 US7730305B2 (en) 2004-12-10 2005-04-29 Authentication method for link protection in Ethernet passive optical network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040104347A KR100675836B1 (ko) 2004-12-10 2004-12-10 Epon 구간내에서의 링크 보안을 위한 인증 방법

Publications (2)

Publication Number Publication Date
KR20060065863A KR20060065863A (ko) 2006-06-14
KR100675836B1 true KR100675836B1 (ko) 2007-01-29

Family

ID=36585439

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040104347A KR100675836B1 (ko) 2004-12-10 2004-12-10 Epon 구간내에서의 링크 보안을 위한 인증 방법

Country Status (2)

Country Link
US (1) US7730305B2 (ko)
KR (1) KR100675836B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101485279B1 (ko) * 2010-12-20 2015-01-21 차이나 아이더블유엔콤 씨오., 엘티디 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8068414B2 (en) * 2004-08-09 2011-11-29 Cisco Technology, Inc. Arrangement for tracking IP address usage based on authenticated link identifier
US7949873B2 (en) * 2005-06-30 2011-05-24 Microsoft Corporation Secure instant messaging
US7949138B2 (en) * 2005-06-30 2011-05-24 Microsoft Corporation Secure instant messaging
US8069475B2 (en) * 2005-09-01 2011-11-29 Alcatel Lucent Distributed authentication functionality
KR100715679B1 (ko) * 2005-12-05 2007-05-09 한국전자통신연구원 인증 암호화를 통해 보안 전송을 가능하게 하는 gpon시스템 및 그 인증 암호화 방법
KR100832530B1 (ko) * 2005-12-07 2008-05-27 한국전자통신연구원 Epon의 보안서비스를 위한 키 관리 방법 및 보안 채널제어 장치
US8510596B1 (en) * 2006-02-09 2013-08-13 Virsec Systems, Inc. System and methods for run time detection and correction of memory corruption
CN1968089A (zh) * 2006-09-29 2007-05-23 华为技术有限公司 一种无源光网络的用户认证方法
KR100882507B1 (ko) * 2007-11-14 2009-02-06 한국전자통신연구원 보안모듈을 포함하는 디지털케이블 방송수신기 및 그 인증방법
US8549296B2 (en) * 2007-11-28 2013-10-01 Honeywell International Inc. Simple authentication of messages
CN101677414A (zh) * 2008-09-18 2010-03-24 华为技术有限公司 一种实现用户侧终端获取密码的方法、系统和设备
KR100982017B1 (ko) * 2008-10-02 2010-09-14 한국전자통신연구원 기가비트 수동형 광 통신망 장치에서 동일한 시리얼 넘버를가진 비 정상적인 광 가입자장치의 차단방법
WO2010060456A1 (en) * 2008-11-03 2010-06-03 Telecom Italia S.P.A. Method for increasing security in a passive optical network
KR101021708B1 (ko) * 2009-01-20 2011-03-15 성균관대학교산학협력단 그룹키 분배 방법 및 이를 위한 서버 및 클라이언트
CN101902447B (zh) * 2009-05-28 2012-12-26 华为技术有限公司 无源光网络中的认证方法、装置及一种无源光网络
US8850197B2 (en) * 2009-07-31 2014-09-30 Futurewei Technologies, Inc. Optical network terminal management control interface-based passive optical network security enhancement
WO2011017847A1 (zh) * 2009-08-14 2011-02-17 华为技术有限公司 交换密钥的方法及设备
KR101167938B1 (ko) * 2009-09-22 2012-08-03 엘지전자 주식회사 컨텐츠에 대한 권리 이용 방법
EP2330755A1 (en) * 2009-12-07 2011-06-08 Nokia Siemens Networks Oy Method and device for data processing in an optical network
US8312275B2 (en) * 2010-01-06 2012-11-13 Calix, Inc. Network device authentication
US8495371B2 (en) * 2010-01-06 2013-07-23 Calix, Inc. Network device authentication
US9185555B2 (en) * 2010-04-22 2015-11-10 Futurewei Technologies, Inc. Method for authentication of a wireless backup system for an optical network unit
US20110302283A1 (en) * 2010-06-03 2011-12-08 Niclas Nors Methods And Arrangements In A Passive Optical Network
US8700908B2 (en) * 2010-08-24 2014-04-15 Qualcomm Incorporated System and method for managing secure information within a hybrid portable computing device
US8677468B2 (en) 2011-01-19 2014-03-18 Telefonaktiebolaget L M Ericsson (Publ) Service activation in a passive optical network (PON)
AR084155A1 (es) 2011-12-05 2013-04-24 Inst Tecnologico De Buenos Aires Dispositivo y metodo para transmision segura de datos sobre canales z mediante cdma
WO2014101084A1 (zh) * 2012-12-28 2014-07-03 华为技术有限公司 一种认证方法、设备和系统
EP3044719B1 (en) 2013-09-12 2019-08-28 Virsec Systems Inc. Automated runtime detection of malware
AU2015279920B2 (en) 2014-06-24 2018-03-29 Virsec Systems, Inc. Automated root cause analysis of single or N-TIERED applications
CA2953793C (en) 2014-06-24 2021-10-19 Virsec Systems, Inc. System and methods for automated detection of input and output validation and resource management vulnerability
US10531370B2 (en) * 2015-02-24 2020-01-07 Lg Electronics Inc. Method and apparatus for transmitting data in wireless communication system
CN105407093B (zh) * 2015-11-05 2019-09-13 上海斐讯数据通信技术有限公司 一种网络访问认证方法及系统
KR101838511B1 (ko) * 2016-05-17 2018-03-14 현대자동차주식회사 암호화를 적용한 제어기 보안 방법 및 그 장치
KR102419574B1 (ko) 2016-06-16 2022-07-11 버섹 시스템즈, 인코포레이션 컴퓨터 애플리케이션에서 메모리 손상을 교정하기 위한 시스템 및 방법
CN112887312B (zh) 2016-12-29 2022-07-22 华为技术有限公司 一种慢协议报文处理方法及相关装置
CN108092820B (zh) * 2017-12-27 2020-12-01 广州芯德通信科技股份有限公司 一种利用license实现OLT对ONU接入数量进行限制的方法
CN110138552B (zh) * 2019-05-08 2021-07-20 北京邮电大学 多用户量子密钥供应方法及装置
US11196731B2 (en) * 2019-06-28 2021-12-07 T-Mobile Usa, Inc. Network-authentication control
CN112995803B (zh) * 2019-12-18 2022-06-07 中国电信股份有限公司 认证信息的修改方法、光网络单元及无源光网络系统
CN112787801A (zh) * 2021-01-21 2021-05-11 深圳市西迪特科技有限公司 基于md5算法的pon设备间认证的方法

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7334127B2 (en) * 1995-04-21 2008-02-19 Certicom Corp. Key agreement and transport protocol
US7480939B1 (en) * 2000-04-28 2009-01-20 3Com Corporation Enhancement to authentication protocol that uses a key lease
JP4280439B2 (ja) * 2000-11-17 2009-06-17 キヤノン株式会社 画像検証システム、検証データ変換装置、プログラム及び記録媒体
US20030177187A1 (en) * 2000-11-27 2003-09-18 Butterfly.Net. Inc. Computing grid for massively multi-player online games and other multi-user immersive persistent-state and session-based applications
US20020150097A1 (en) * 2001-02-21 2002-10-17 Wei Yen Method and apparatus for secured multicasting
US20020120758A1 (en) * 2001-02-23 2002-08-29 Glory Telecommunications C0., Ltd. IP packetized frame format in a passive optical network
US20020138554A1 (en) * 2001-03-26 2002-09-26 Motorola, Inc. Method for remotely verifying software integrity
US20030072059A1 (en) * 2001-07-05 2003-04-17 Wave7 Optics, Inc. System and method for securing a communication channel over an optical network
US20060143453A1 (en) * 2002-06-19 2006-06-29 Secured Communications, Inc Inter-authentication method and device
GB2390270A (en) * 2002-06-27 2003-12-31 Ericsson Telefon Ab L M Escrowing with an authority only part of the information required to reconstruct a decryption key
US20080313282A1 (en) * 2002-09-10 2008-12-18 Warila Bruce W User interface, operating system and architecture
US7395427B2 (en) * 2003-01-10 2008-07-01 Walker Jesse R Authenticated key exchange based on pairwise master key
DE10307403B4 (de) * 2003-02-20 2008-01-24 Siemens Ag Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem
GB0309161D0 (en) * 2003-04-23 2003-05-28 Hewlett Packard Development Co Cryptographic method and apparatus
US7380138B2 (en) * 2003-04-23 2008-05-27 Hewlett-Packard Development Company, L.P. Cryptographic method and apparatus
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
US7676814B2 (en) * 2004-03-25 2010-03-09 Globalfoundries Inc. Four layer architecture for network device drivers
US7502474B2 (en) * 2004-05-06 2009-03-10 Advanced Micro Devices, Inc. Network interface with security association data prefetch for high speed offloaded security processing
US20050254653A1 (en) * 2004-05-14 2005-11-17 Proxim Corporation Pre-authentication of mobile clients by sharing a master key among secured authenticators
EP1746760A1 (en) * 2004-05-14 2007-01-24 Mitsubishi Electric Corporation Pon system having encryption function and encryption method of the pon system
WO2006062345A1 (en) * 2004-12-07 2006-06-15 Electronics And Telecommunications Research Institute Method of distributing keys over epon

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101485279B1 (ko) * 2010-12-20 2015-01-21 차이나 아이더블유엔콤 씨오., 엘티디 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법
US9264405B2 (en) 2010-12-20 2016-02-16 China Iwncomm Co., Ltd. Switch equipment and data processing method for supporting link layer security transmission

Also Published As

Publication number Publication date
KR20060065863A (ko) 2006-06-14
US7730305B2 (en) 2010-06-01
US20060129814A1 (en) 2006-06-15

Similar Documents

Publication Publication Date Title
KR100675836B1 (ko) Epon 구간내에서의 링크 보안을 위한 인증 방법
RU2406251C2 (ru) Способ и устройство для установления безопасной ассоциации
JP5366108B2 (ja) 光ネットワーク終端装置管理制御インターフェースベースの受動光ネットワークセキュリティ強化
EP2356772B1 (en) Quantum key distribution
US8144874B2 (en) Method for obtaining key for use in secure communications over a network and apparatus for providing same
CN108599925B (zh) 一种基于量子通信网络的改进型aka身份认证系统和方法
FI115098B (fi) Todentaminen dataviestinnässä
EP2984782B1 (en) Method and system for accessing device by a user
US9917692B2 (en) Key exchange system, key exchange method, key exchange device, control method thereof, and recording medium for storing control program
US20110072265A1 (en) System And Method Of Non-Centralized Zero Knowledge Authentication For A Computer Network
Chattaraj et al. A new two-server authentication and key agreement protocol for accessing secure cloud services
JP7440026B2 (ja) 分散化認証方法
US8144875B2 (en) Method and system for establishing real-time authenticated and secured communications channels in a public network
CN111080299B (zh) 一种交易信息的防抵赖方法及客户端、服务器
CN110020524A (zh) 一种基于智能卡的双向认证方法
CN101577620A (zh) 一种以太网无源光网络(epon)系统认证方法
JP4783340B2 (ja) 移動ネットワーク環境におけるデータトラフィックの保護方法
CN115865320A (zh) 一种基于区块链的安全服务管理方法及系统
KR100553792B1 (ko) 단말 대 단말간의 인증기능을 구비한 통신장치 및 방법
CN114826593B (zh) 量子安全的数据传输方法及数字证书认证系统
CN100589384C (zh) 一种用户终端接入软交换系统的安全交互方法
KR19990038925A (ko) 분산 환경에서 안전한 양방향 인증 방법
CN111682936B (zh) 一种基于物理不可克隆函数的Kerberos鉴权方法
WO2006062345A1 (en) Method of distributing keys over epon
Roh et al. Design of authentication and key exchange protocol in Ethernet passive optical networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110104

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee