KR100910818B1 - 비-macsec 노드들을 통해 macsec 패킷들을터널링하기 위한 방법 및 시스템 - Google Patents

비-macsec 노드들을 통해 macsec 패킷들을터널링하기 위한 방법 및 시스템 Download PDF

Info

Publication number
KR100910818B1
KR100910818B1 KR1020070122854A KR20070122854A KR100910818B1 KR 100910818 B1 KR100910818 B1 KR 100910818B1 KR 1020070122854 A KR1020070122854 A KR 1020070122854A KR 20070122854 A KR20070122854 A KR 20070122854A KR 100910818 B1 KR100910818 B1 KR 100910818B1
Authority
KR
South Korea
Prior art keywords
macsec
packet
header information
additional header
macsec packet
Prior art date
Application number
KR1020070122854A
Other languages
English (en)
Other versions
KR20080048972A (ko
Inventor
보라 에이쿄올
Original Assignee
브로드콤 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 브로드콤 코포레이션 filed Critical 브로드콤 코포레이션
Publication of KR20080048972A publication Critical patent/KR20080048972A/ko
Application granted granted Critical
Publication of KR100910818B1 publication Critical patent/KR100910818B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • H04L12/465Details on frame tagging wherein a single frame includes a plurality of VLAN tags
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

비-MACSec 가능 노드들을 통해 MACSec 패킷들을 터널링하기 위한 방법 및 시스템의 측면들이 제공된다. 이러한 면에서, 본 발명의 측면들은 MACSec 내지 비-MACSec 가능 네트워크 노드들을 통해 MACSec 이더넷 패킷들을 전송하기 위해 사용될 수 있다. 본 발명의 일실시예에서, 부가 헤더 정보는 MACSec 패킷을 비-MACSec 가능 노드에게 전송하기 전에 MACSec 패킷내에 삽입될 수 있다. 따라서, 본 발명의 측면들은 이더타입(Ethertype)을 구별하는 것을 포함할 수 있는 삽입된 부가 헤더 정보를 포함하는 패킷들을 구별하기 위해, 비-MACSec 가능 노드로부터 수신된 패킷으로부터 상기 부가 헤더 정보를 제거할 수 있다.
MACSec, 터널링, 부가 헤더, 네트워크, 파싱, 계층

Description

비-MACSEC 노드들을 통해 MACSEC 패킷들을 터널링하기 위한 방법 및 시스템{METHOD AND SYSTEM FOR TUNNELING MACSEC PACKETS THROUGH NON-MACSEC NODES}
본 발명의 몇몇 실시예들은 컴퓨터 네트워킹에 관한 것이다. 좀더 상세하게는 본 발명의 몇몇 실시예들은 비-MACSec 노드들을 통해 MACSec 패킷들을 터널링하기 위한 방법 및 시스템에 관한 것이다.
컴퓨터 네트워크는 전송 매체를 통해 통신가능하게 연결되고, 정보를 전송하기 위해 사용되는 둘 또는 그 이상의 컴퓨팅 노드들의 집합이다. 대부분의 네트워크들은 OSI 참조 모델에 의해 제공된 계층별 접근을 고수한다. 상기 OSI 참조는 애플리케이션 계층(계층 7), 프리젠테이션 계층(계층 6), 세션 계층(계층 5), 전송 계층(계층 4), 네트워크 계층(계층 3), 데이터 링크 계층(계층 2), 물리 계층(계층 1)을 포함하는 7 계층의 접근을 제공한다. 계층 7에서 계층 5까지는 상위 계층 프로토콜들을 포함할 수 있는 반면, 계층 4에서 계층 1까지는 하위 계층 프로토콜들을 포함할 수 있다. 몇몇 네트워크들은 7개의 계층들 중 몇 개(subset)만을 이용할 수 있다. 예를 들면, TCP/IP 모델 또는 인터넷 참조 모델은 일반적으로 애플리케이 션 계층(계층 7), 전송 계층(계층 4), 네트워크 계층(계층 3), 데이터 링크 계층(계층 2), 물리 계층(계층 1)을 포함하는 5개 계층 모델을 이용할 수 있다. 이들 5개의 계층들은 그들이 제공하는 책임 또는 서비스들의 아주 특정한 세트로 분류될 수 있다.
계층 7(애플리케이션 계층)은 전형적으로 웹브라우저들 및 이메일 클라이언트와 같은 네트워크 애플리케이션들을 지원하는 책임을 지고 있으며, 전형적으로 개인용 컴퓨터들 및 서버들과 같은 엔드 시스템들에 소프트웨어로 구현될 수 있다. 전형적인 계층 5 프로토콜들은 월드 와이드 웹(World Wide Web)을 지원하기 위한 HTTP와, 전자 메일을 지원하는 SMTP를 포함한다.
계층 6(프리젠테이션 계층)은 전형적으로 비유사 또는 다른 시스템들 사이에서 발생되는 데이터 포맷들에서 어떤 차이점들을 마스킹하는 것을 책임진다. 상기 프리젠테이션 계층은 아키텍쳐 독립 데이터 전송 포맷들을 규정하며, 데이터의 인코딩, 디코딩, 암호화, 암호해제, 압축 내지 압축해제를 가능하게 할 수 있다.
계층 5(세션 계층)는 전형적으로 사용자 세션 대화들을 관리하는 책임을 진다. 이러한 면에서, 상기 세션 계층은 사용자들 사이에 논리적 링크들의 수립 내지 종료를 제어하는 것이 가능하게 될 수 있다. 상기 세션 계층은 상위 계층 오류들의 핸들링 및 보고를 제공하는 것이 가능하게 될 수 있다.
계층 4(전송 계층)는 전형적으로 애플리케이션의 클라이언트와 서버측들 사이에서 애플리케이션 계층 메시지들을 전달하는 책임을 진다. 이러한 면에서, 상기 전송 계층은 상기 네트워크에서 메시지의 엔드-to-엔드 전달을 관리하는 것이 가능 하게 된다. 상기 전송 계층은 메시지들의 신뢰할만한 전달을 제공할 수 있는 다양한 오류 복구 내지 흐름 제어 메커니즘들을 포함할 수 있다. 계층 4 프로토콜들의 가장 일반적인 2개는 인터넷에서 사용되는 전송 제어 프로토콜(transmission control protocol: TCP)과 사용자 데이터그램 프로토콜(user datagram protocol: UDP)이다.
계층 3(네트워크 계층)은 전형적으로 네트워크 디바이스들 사이에서 데이터가 어떻게 전송될 것인지를 결정하는 것을 책임진다. 데이터는 유일한 네트워크 주소에 따라 라우팅된다. 이러한 면에서, 상기 네트워크 계층은 엔드 시스템들 사이에서, 예를 들면 데이터 그램을 라우팅할 수 있다. 예를 들면 인터넷 프로토콜(internet protocol: IP)은 상기 데이터그램들의 형식과 콘텐츠를 정의하며, 하나의 엔드 시스템에서 다른 엔드 시스템으로의 데이터그램 경로를 따라 다양한 노드들(브리지와 라우터와 같은 디바이스들)에서 구현될 수 있는 어떠한 개수의 라우팅 프로토콜과도 협력하여 계층 3에 구현될 수 있다.
계층 2(데이터 링크 계층)는 전형적으로 하나의 노드에서 또 다른 노드로 데이터의 패킷을 이동시키는 것을 책임진다. 상기 데이터 링크 계층은 통신 링크들을 오퍼레이팅하기 위한 다양한 절차들과 메커니즘을 정의하며, 예를 들면 네트워크 내에서 패킷들의 프레임화(framing)를 가능하게 할 수 있다. 상기 데이터 링크 계층은 패킷 오류들의 검출 내지 정정을 가능하게 할 수 있다. 이더넷(IEEE 802.3) 프로토콜은 현대 컴퓨터 네트워크들에서 사용되는 하나의 흔한 링크 계층 프로콜이다.
계층 1(물리 계층)은 전형적으로 통신 매체를 통해 네트워크 디바이스를 통해 데이터를 통신하기 위한 광학적, 전기적 내지 기계적인 수단들을 포함할 수 있는 물리 수단들을 정의하는 것과, 상기 계층 2의 비트 스트림을 매체를 통한 전송을 위해 일련의 물리적인 신호들로 변환하는 것을 책임진다. 이더넷과 같은 계층 2 기술들은 상기 신호가 예를 들면 TP(twisted-pair) 케이블링이나 공중전파(over-the-air)를 통해 전송될 수 있는지 여부에 따라 많은 수의 계층 1 프로토콜을 구현할 수 있다.
계층 2에서, 오늘날의 기업 네트워크들은 주로 IEEE 802.3 이더넷 기술에 근거하고 있다. 이더넷이 기업에 유비쿼터스와 저렴한 비용의 연결을 제공하는 반면, 그 네트워크에 접속하는 것을 제어하는 것에는 부분적으로 강하지 못하다. IEEE은 IEEE 802.1x 표준을 가지는 유선 이더넷에 대한 접속 제어를 개선하기 위해 시도해왔는데, 이 표준은 많은 이유로 인해 세계적인 채택을 받지 못했다. IEEE 802.1x 배치에 관련된 좋지 않은 요인들 중의 하나는 802.1x는 사용자들이 네트워크상에서 서명함에 따라 사용자들을 확인할 수 있고, 포트당 한 디바이스(one device per port model) 모델을 고수한다는 사실이다. 패킷별 확인이 없으며, 포트당 하나의 디바이스 이상을 지원하는 동안 접속 제어를 구현하기 위한 어떤 표준화된 방법도 없다. 납품업체들은 후자를 제공하기 위해 비표준화된 수단을 제공했으며, 전자들은 구현되지 못한 상태이다.
IEEE 표준들(802.1ae, 802.1af, 및 802.1ar)은 이더넷 네트워크들에 대한 네트워크 접속 제어를 위한 새로운 아키텍처의 기반을 형성할 수 있다. 이들 3개의 표준들은 현존하는 IEEE 802.1x 기반 접속 제어 메커니즘들에 대한 대체물을 형성할 수 있다. 상기 IEEE 802.1ae(MACSec) 표준은 데이터 링크 계층 암호화와 인증 메커니즘들을 정의한다. IEEE 802.af(현재 개발중임)는 802.1ae에 대한 제어 평면(control plane)과 키잉 프로토콜들(keying protocols)을 정의한다. IEEE 802.1ar(현재 개발중임)은 네트워크와 상기 네트워크에 연결된 디바이스들이 각각 다른 아이덴티티들(identities)을 어떻게 식별(identify)하고 확인(validate)하는지를 정의한다.
MACSec은 LAN에 연결될 디바이스들을 식별하고 상기 디바이스들을 인증된 것과 인증되지 않은 것으로 구별함으로써 유선 이더넷에 보안을 통합한다. 식별되고 구별될 수 있는 대표적인 네트워크 디바이스들은 컴퓨터들, 무선 액세스 포인트들, 서버들, VoIP 전화기들, 라우터들, 스위치들, 브리지들 및 허브들을 포함한다.
비록 MACSec이 더 큰 네트워크 보안 및 신뢰성을 제공하지만, 현존하는 네트워크를 MACSec 호환되게 업그레이드하는 것은 문제점들을 나타낼 수 있다. 이러한 면에서, MACSec은 이더넷 프레임을 암호화함으로써, 소스 MACSec 주소와 상기 암호화된 데이터 사이에 헤더(SecTAG)를 삽입함으로써, 암호화된 데이터 뒤에 무결성 검사값(integrity check value: ICV)을 붙임으로써 데이터 링크 계층에서 네트워크 보호를 제공할 수 있다. 결론적으로 MACSec 프레임의 SecTAG는 전통적인 이더넷 프레임에 하나 또는 그 이상의 가상 랜(virtual local network: VLAN) 태그들을 위해 일반적으로 사용되는 비트 위치들을 차지하기 때문에, 상기 SecTAG는 VLAN 태그로서 적절하지 않게 파싱됨에 따라, 비-MACSec 가능 네트워크 노드들은 MACSec 프레 임들을 처리할 수 없을 수 있다.
나아가, 종래의 전형적인 접근들이 가지는 한계점들과 단점들은 종래의 시스템들과 본 출원의 나머지 부분들에서 도면들을 참조하여 전개될 본 발명의 몇몇 측면들의 비교를 통해 당해 기술분야의 숙련된 자에게 명백해질 것이다.
본 발명은 비-MACSec 노드들을 통해 MACSec 패킷들을 터널링하기 위한 방법 및 시스템을 제공하는데 있다.
본 발명에 따른 비-MACSec 노드들을 통해 MACSec 패킷들을 터널링하기 위한 시스템 내지 방법은 실질적으로 적어도 하나의 도면들과 연관하여 보여지거나 설명되는 것처럼 청구범위에서 좀더 완전하게 전개될 것이다.
본 발명의 측면에 따른 컴퓨터 네트워킹을 위한 방법은,
MACSec 패킷의 목적지가 하나 또는 그 이상의 비-MACSec 가능 네트워크 노드들을 트래버싱하는 것을 요구하는지 여부를 결정하는 단계; 및
상기 MACSec 패킷이 상기 하나 또는 그 이상의 비-MACSec 가능 노드들을 트래버스할 때, 상기 MACSec 패킷이 확인될 수 있도록 하기 위해 상기 결정에 근거하여 부가 헤더 정보를 상기 MACSec 패킷에 삽입하는 단계를 포함한다.
바람직하게는, 상기 방법은 소스 MAC 주소 필드와 상기 MACSec 패킷의 SecTAG 사이에 상기 부가 헤더 정보를 삽입하는 것을 더 포함한다.
바람직하게는, 상기 부가 헤더 정보는 하나 또는 그 이상의 VLAN 태그들을 포함한다.
바람직하게는, 상기 방법은 상기 MACSec 패킷에 상기 삽입된 부가 헤더 정보를 파싱하는 단계를 더 포함한다.
바람직하게는, 상기 방법은 상기 파싱된 상기 MACSec 패킷의 삽입된 부가 헤더와 연관된 이더타입(Ethertype)을 식별하는 단계를 더 포함한다.
바람직하게는, 상기 방법은 상기 이더타입에 근거하여, 소스 MAC 주소 필드와 상기 MACSec 패킷의 SecTAG 사이로부터 상기 삽입된 부가 헤더 정보를 제거하는 단계를 더 포함한다.
바람직하게는, 상기 방법은 상기 제거된 부가 헤더 정보에 근거하여 하나 또는 그 이상의 제어 비트를 발생시키는 단계를 더 포함한다.
바람직하게는, 상기 방법은 상기 발생된 하나 또는 그 이상의 제어 비트들에 근거하여 상기 MACSec 패킷을 처리하는 단계를 더 포함한다.
바람직하게는, 상기 방법은 하나 또는 그 이상의 제어 비트들에 근거하여 상기 MACSec 패킷에 삽입된 상기 부가 헤더 정보를 발생시키는 단계를 더 포함한다.
바람직하게는, 상기 삽입된 부가 헤더 정보를 포함하는 상기 MACSec 패킷은 MACSec 가능 노드에 의해 식별가능하다.
본 발명의 측면에 의하면, 기계에 의해 실행가능하며 컴퓨터 네트워킹을 가능하게 하기 위한 적어도 하나의 코드 섹션(code section)을 포함하는 컴퓨터 프로그램을 가지며, 그에 의해 상기 기계가, MACSec 패킷의 목적지가 하나 또는 그 이 상의 비-MACSec 가능 네트워크 노드들을 트래버싱하는 것을 요구하는지 여부를 결정하는 단계; 및 상기 MACSec 패킷이 상기 하나 또는 그 이상의 비-MACSec 가능 노드들을 트래버스할 때, 상기 MACSec 패킷이 확인될 수 있도록 하기 위해 상기 결정에 근거하여 부가 헤더 정보를 상기 MACSec 패킷에 삽입하는 단계를 포함하는 단계들을 수행할 수 있게 하는 기계 가독 스토리지를 제공한다.
바람직하게는, 상기 적어도 하나의 코드 섹션은 소스 MAC 주소 필드와 상기 MACSec 패킷의 SecTAG 사이에 상기 부가 헤더 정보의 삽입을 가능하게 한다.
바람직하게는, 상기 부가 헤더 정보는 하나 또는 그 이상의 VLAN 태그들을 포함한다.
바람직하게는, 상기 부가 헤더 정보는 상기 MACSec 패킷의 식별을 가능하게 하는 이더타입 필드(Ethertype field)를 포함한다.
바람직하게는, 상기 적어도 하나의 코드 섹션은 상기 MACSec 패킷에 상기 삽입된 부가 헤더 정보의 파싱을 가능하게 한다.
바람직하게는, 상기 적어도 하나의 코드 섹션은 상기 파싱된 상기 MACSec 패킷에 삽입된 부가 헤더 정보와 연관된 이더타입(Ethertype)의 식별을 가능하게 한다.
바람직하게는, 상기 적어도 하나의 코드 섹션은 상기 이더타입에 근거하여 소스 MAC 주소 필드와 상기 MACSec 패킷의 SecTAG 사이로부터 상기 삽입된 부가 헤더 정보의 제거를 가능하게 한다.
바람직하게는, 상기 적어도 하나의 코드 섹션은 상기 제거된 부가 헤더 정보 에 근거하여 하나 또는 그 이상의 제어 비트의 발생을 가능하게 한다.
바람직하게는, 상기 적어도 하나의 코드 섹션은 상기 발생된 하나 또는 그 이상의 제어 비트들에 근거하여 상기 MACSec 패킷의 처리를 가능하게 한다.
바람직하게는, 상기 적어도 하나의 코드 섹션은 하나 또는 그 이상의 제어 비트들에 근거하여 상기 MACSec 패킷에 삽입된 상기 부가 헤더 정보의 발생을 가능하게 한다.
바람직하게는, 상기 삽입된 부가 헤더 정보를 포함하는 상기 MACSec 패킷은 MACSec 가능 노드에 의해 식별가능하다.
본 발명의 측면에 따르면, MACSec 패킷의 목적지가 하나 또는 그 이상의 비-MACSec 가능 네트워크 노드들을 트래버싱하는 것을 요구하는지 여부를 결정하는 적어도 하나의 프로세서를 포함하며; 상기 적어도 하나의 프로세서는, 상기 MACSec 패킷이 상기 하나 또는 그 이상의 비-MACSec 가능 노드들을 트래버스할 때, 상기 MACSec 패킷이 확인될 수 있도록 하기 위해 상기 결정에 근거하여 부가 헤더 정보를 상기 MACSec 패킷에 삽입하는 컴퓨터 네트워킹을 위한 시스템이 제공된다.
바람직하게는, 상기 적어도 하나의 프로세서는 소스 MAC 주소 필드와 상기 MACSec 패킷의 SecTAG 사이에 상기 부가 헤더 정보의 삽입을 가능하게 한다.
바람직하게는, 상기 부가 헤더 정보는 하나 또는 그 이상의 VLAN 태그들을 포함한다.
바람직하게는, 상기 부가 헤더 정보는 상기 MACSec 패킷의 식별을 가능하게 하는 이더타입 필드(Ethertype)를 포함한다.
바람직하게는, 상기 적어도 하나의 프로세서는 상기 MACSec 패킷에 삽입된 부가 헤더 정보의 파싱을 가능하게 한다.
바람직하게는, 상기 적어도 하나의 프로세서는 상기 파싱된 상기 MACSec 패킷의 삽입된 부가 헤더 정보와 연관된 이더타입(Ethertype)의 식별을 가능하게 한다.
바람직하게는, 상기 적어도 하나의 프로세서는 소스 MAC 주소 필드와 상기 MACSec 패킷의 SecTAG의 사이에서 상기 삽입된 부가 헤더 정보의 제거를 가능하게 한다.
바람직하게는, 상기 적어도 하나의 프로세서는 상기 제거된 부가 헤더 정보에 근거하여 하나 또는 그 이상의 제어 비트의 발생을 가능하게 한다.
바람직하게는, 상기 적어도 하나의 프로세서는 하나 또는 그 이상의 제어 비트들에 근거하여 상기 MACSec 패킷의 처리를 가능하게 한다.
바람직하게는, 상기 적어도 하나의 프로세서는 하나 또는 그 이상의 제어 비트들에 근거하여 상기 MACSec 패킷에 삽입된 상기 부가 헤더 정보의 발생을 가능하게 한다.
바람직하게는, 상기 삽입된 부가 헤더 정보를 포함하는 상기 MACSec 패킷은 MACSec 가능 노드에 의해 식별가능하다.
본 발명의 이러한 장점들 및 다른 장점들과 신규한 특징들은 본 발명의 도시된 실시예들의 상세한 사항들뿐만 아니라 하기의 상세한 설명 및 도면으로부터 더 잘 이해될 것이다.
본 발명에 의하면, 비-MACSec 노드들을 통해 MACSec 패킷들을 터널링할 수 있다.
본 발명의 몇몇 실시예들은 비-MACSec 네트워크 노드들을 통해 비-MACSec 패킷들을 터널링하기 위한 방법 및 시스템에 관한 것이다. 이러한 면에서, 본 발명의 측면들은 MACSec 및 비-MACSec 가능 네트워크 노드들을 통해 MACSec 이더넷 패킷들의 전송을 가능하게 하기 위해 사용될 수 있다. 본 발명의 일 실시예에서, 부가 헤더 정보는 상기 MACSec 패킷이 비-MACSec 가능 노드에 전송되기 전에 MACSec 패킷들 내에 삽입될 수 있다. 따라서, 본 발명의 다양한 측면들은 비-MACSec 가능 노드로부터 수신된 패킷으로부터 부가 헤더 정보를 제거하는 것을 가능하게 할 수 있다. 삽입된 부가 헤더 정보를 포함하는 패킷들을 구별하기 위해, 태그들은 구별 이더타입(distinguishing Ethertype)을 포함할 수 있다.
도 1a는 본 발명의 실시예에 연관된 대표적인 이더넷 패킷(100a)의 도면이다. 도 1a를 참조하면, 상기 이더넷 패킷은 목적지 MAC 주소 필드(102), 소스 MAC 주소 필드(104), 이더타입 필드(Ethertype)(106), 데이터 필드(108), 및 프레임 검사 시퀀스(frame check sequence: FCS)(110)를 포함한다.
목적지 MAC 주소 필드(102)는 상기 패킷이 전송될 노드를 식별하는데 사용될 수 있는 정보를 포함할 수 있다. 상기 소스 MAC 주소 필드(104)는 상기 패킷을 발생시키는 노드를 확인하는데 사용될 수 있는 정보를 포함한다. 상기 이더타입 필 드(106)는 패킷으로 전송되는 프로토콜(예를 들면, IPv3 또는 IPv6)을 확인하는데 사용될 수 있는 정보를 포함할 수 있다. 상기 데이터 필드(108)는 전송되고 있는 데이터를 포함할 수 있다. FCS(110)는 패킷에 대한 에러 검출을 제공하기 위해 사용될 수 있는 정보를 포함할 수 있다.
동작에서, 100a와 같은 패킷이 네트워크 노드에 동작할 때, 상기 노드는 상기 패킷과 취할 동작들을 결정하기 위해 상기 하나 또는 그 이상의 상기 필드들을 파싱할 수 있다. 이러한 면에서, 상기 노드는 네트워크 스위치가 될 수 있으며, 상기 스위치는 상기 패킷을 전달(forward)하기 위한 인터페이스를 결정하기 위해 소스 MAC 주소(102) 및 목적지 MAC 주소(104)를 파싱할 수 있다. 또한, 상기 노드는 엔드 시스템(end system)이 될 수 있으며, 올릴 데이터를 전달하기 위한 네트워크 프로토콜을 결정하기 위해 이더타입 필드(Ethertype field)를 파싱할 수 있다. 대표적인 이더타입들은 IPv4(Internet protocol Version 4)에 대한 0x0800, ARP(Address Resolution Protocol)에 대한 0x0806, 및 IPv6에 대하여서는 0x86DD를 포함한다.
도 1b는 본 발명의 일실시예에 연관된 대표적인 VLAN 태그된 이더넷 패킷(100b)의 도면이다. 도 2a를 참조하면, 상기 VLAN 태그된 이더넷 패킷은 소스 MAC 어드레스의 뒤에 그리고 이더타입 필드의 앞에 삽입된 VLAN 태그(112)를 포함할 수 있다.
상기 VLAN 태그(112)는 VLAN 이더타입(114) 및 태그 제어 정보(TCI)필드(116)를 포함할 수 있다. 상기 VLAN 이더타입(114)은 상기 패킷이 VLAN 태그되 고, 따라서 파싱된 것일 수 있는 것을 지시할 수 있는 수치 식별자(numerical identifier)를 포함할 수 있다. 대표적인 수치 식별자는 0x8100을 포함할 수 있다. 상기 TCI 필드(116)는 상기 패킷에 대한 우선순위 레벨, 이더넷 및 토큰-링 네트워크들에 대한 패킷의 호환성을 결정하기 사용될 수 있는 두 바이트의 정보를 포함할 수 있으며, 상기 패킷이 가지고 있는 상기 VLAN의 수치 식별자를 포함할 수 있다.
이러한 점에서, 상기 VLAN 태그된 패킷(110b)은 100a와 비교하여 변경된 구조를 가지며, 따라서 네트워크 노드는 상기 패킷이 적절하게 파싱되기 위해, 수신된 패킷의 형식을 식별하기 위한 방법을 필요로 한다. 따라서, 상기 VLAN 이더타입(114)은 상기 패킷이 VLAN 태그된 패킷일 수 있음을 상기 네트워크 노드에 지시하기 위해 사용될 수 있다.
도 1c는 본 발명의 실시예에 연관된 대표적인 MACSec 패킷(110c)의 도면이다. 도 1c를 참조하면, 상기 MACSec 패킷(100c)은 보안 태그(security tag : Sec TAG)(118), 보안 데이터 필드(130), 및 무결성 검사 값(integrity check value : ICV)(140)을 포함할 수 있다.
상기 보안 태그(SecTAG)는 소스 MAC 주소 필드의 뒤에 삽입될 수 있으며, MACSec 이더타입(120), TCI/AN 필드(122), SL 필드(124), 패킷 넘버 필드(126), 보안 채널 식별자(SCI) 필드(128)를 포함할 수 있다. 상기 MACSec 이더타입(120)은 상기 패킷이 MACSec 패킷이고 따라서 파싱될 수 있음을 지시할 수 있는 수치 식별자, 0x88E5를 포함할 수 있다. 상기 TCI/AN 필드(122)는 상기 패킷에 사용된 상기 MACSec 프로토콜의 버전을 결정하기 위해 사용될 수 있는 정보를 포함할 수 있으 며, 보안 채널을 통해 상기 패킷을 전송할 수 있는데 사용될 수 있는 정보를 포함할 수 있다. 상기 SL 필드(124)는 상기 SecTAG의 마지막 바이트와 상기 ICV(140)의 첫 번째 바이트 사이 바이트들의 수를 결정하는데 사용될 수 있는 정보를 포함할 수 있다. 상기 패킷 넘버 필드(126)는 리플레이(replay) 공격들에 대한 방지를 위해 단조롭게 증가하는 값을 포함할 수 있다. SCI 필드(128)는 패킷을 전송한 소스 주소와 포트를 확인하는데 사용될 수 있는 정보를 포함할 수 있다.
상기 보안 데이터 필드(130)는 VLAN 태그(132), 이더타입(Ethertype)(134), 및 데이터 필드(136)를 포함할 수 있다. 상기 VLAN 태그(132)는 도 1a에 도시된 VLAN 태그(104)의 정보와 유사한 정보를 포함할 수 있는데, VLAN 태그(132)가 암호화되었다는 차이점을 가진다. 상기 이더타입(134)은 도 1a에 도시된 이더타입(106)의 정보와 유사한 정보를 포함할 수 있는데, 상기 이더타입(134)은 암호화되었다는 차이점을 가진다. 상기 데이터 필드(136)는 도 1a에 도시된 데이터 필드(108)의 정보와 유사한 정보를 포함할 수 있는데, 상기 데이터 필드(136)는 암호화되었다는 차이점을 가진다.
상기 무결성 검사 값(integrity check value: ICV)(140)은 상기 패킷(100c)의 무결성을 확인시키는데 사용될 수 있는 정보를 포함할 수 있다. 상기 FCS(138)는 도 1a에 도시된 FCS(110)의 정보와 유사한 정보를 포함할 수 있다.
상기 MACSec 패킷(100c)은 상기 패킷들(100a 및 100b)과 비교하여 다른 형식을 가질 수 있으며, 따라서, 네트워크 노드는 상기 패킷이 적절하게 파싱될 수 있도록 수신된 패킷의 형식을 확인하기 위한 방법이 필요할 수 있다. 따라서, 상기 MACSec 이더타입(120)은 상기 패킷이 MACSec 패킷이라는 것을 상기 네트워크 노드에 지시할 수 있다. 그러나, 상기 MACSec 프로토콜은 최근에서야 표준화되었기 때문에, 현존하는 네트워크에서 채용된 큰 퍼센트의 네트워킹 하드웨어는 MACSec 과 호환되지 않는다. 이러한 면에서, 상기 하드웨어는 예를 들면 0x88E5와 같은, 상기 MACSec 이더타입(120)을 유효한 이더타입으로 인식할 수 없고, MACSec 패킷(100c)과 같은 MACSec 패킷들을 적절하게 파싱할 수 없을 수 있다.
도 1d는 본 발명의 실시예에 따른, MACSec 및 비-MACSec 가능 노드들을 트래버스할 수 있도록 수정된 대표적인 MACSec 패킷(100d)의 도면이다. 도 1d를 참조하면, 상기 패킷은 상기 소스 MAC 주소 필드의 뒤에 삽입되는 부가 헤더 정보(142)를 포함할 수 있다.
본 발명의 일실시예에서, 상기 삽입된 부가 헤더 정보(142)는 예를 들면, 0x8100의 이더타입을 가지는, VLAN 태그(112)와 같은 하나 또는 그 이상의 VLAN 태그들을 포함할 수 있다. 이러한 방식으로, 상기 패킷(100d)이 비-MACSec 가능 네트워크 노드에 도달한 경우, 상기 노드는 상기 08x100 이더타입을 파싱할 것이며, 상기 패킷을 VLAN 태그된 이더넷 패킷으로서 확인할 것이며, 따라서, 상기 패킷을 전달(forward)할 수 있다. 상기 패킷이 MACSec 가능 노드에 도달한 경우, 상기 노드는 상기 0x8100 이더타입을 파싱할 수 있으며, 상기 패킷이 비-MACSec 가능 노드를 트래버스하기 위해 수정되었음을 인식할 수 있다. 따라서, 상기 MACSec 가능 노드는, 상기 MACSec 패킷을 추가로 파싱하고 처리하기 전에 부가 헤더 정보를 벗겨 버릴 수 있다.
도 2a는 본 발명의 실시예에 따른 MACSec 및 비-MACSec 가능 노드들을 걸쳐서 MACSec 패킷들을 전송 및 수신가능하게 할 수 있는 대표적인 네트워크의 도면이다. 도 2a를 참조하면, 상기 대표적인 네트워크(200)는 복수의 MACSec 가능 네트워크들(202) 및 비-MACSec 가능 네트워크(204)를 포함할 수 있다. 도 2a에 도시된 대표적인 네트워크들(202, 204)의 각각은 컴퓨터(210), 서버(212), 및 스위치(214)를 포함할 수 있다. 또한 전송 경로들(220, 222, 224)이 도시되어 있다. 전송 경로(220)는 스위치들(214a 및 214c)을 통해 상기 네트워크(202a)를 상기 네트워크(202c)에 통신가능하게 결합할 수 있다. 전송 경로(222)는 스위치들(214a 및 214b)을 통해 상기 네트워크(202a)를 네트워크(204)에 통신가능하게 결합할 수 있다. 전송 경로(224)는 스위치들(214b 및 214c)을 통해 상기 네트워크(204)를 상기 네트워크(202c)에 통신가능하게 결합할 수 있다. 단지 세 개의 대표적인 집합들이 도시되었지만, 상기 네트워크는 네트워크의 어떠한 개수 및 조합이라도 포함할 수 있다. 또한, 각 네트워크는 어떠한 개수의 컴퓨터, 서버들, 스위치들, 라우터들, 허브들, 또는 어떤 다른 네트워크 노드들이라도 포함할 수 있다.
상기 컴퓨터들(210) 및 서버들(212)은 상기 네트워크를 통해 메시지들의 발생 및 교환을 가능하게 할 수 있는 적절한 로직, 회로, 내지 코드를 포함할 수 있다. 이러한 면에서, 상기 컴퓨터들(210) 및 서버들(212)은, 상기 네트워크를 걸쳐서 상기 네트워크 추상화 계층들(abstraction layers)에 하위 전달될 수 있는 애플리케이션 계층 메시지들을 발생시킬 수 있다. 마찬가지로 상기 컴퓨터들(210) 및 서버들(212)은 상기 네트워크로부터 데이터를 수신하는 것을 가능하게 할 수 있으 며, 상기 데이터를 파싱하고 그것을 상기 네트워크 추상화 계층들에 올려 전달하는 것을 가능하게 할 수 있다.
상기 스위치들(214)은 상기 네트워크로부터 이더넷 패킷들을 수신하기 위한, 상기 패킷들에 대하여 하나 또는 그 이상의 목적지 노드들을 결정하기 위해 상기 패킷들을 파싱하기 위한, 그리고 상기 패킷들을 상기 네트워크의 하나 또는 그 이상의 노드들에 전달하기 위한 적절한 로직, 회로, 내지 코드를 포함할 수 있다. 이러한 면에서, 상기 스위치들(214)은 상기 물리 매체를 통해 이들 패킷들의 비트들을 수신 및 전송하는 계층 1 함수 뿐만 아니라, 이더넷 패킷들을 파싱 및 캡슐화하는 계층 2 함수들을 구현할 수 있다.
동작에서, 대표적인 네트워크 통신은 메시지를 발생시키고, 그 메시지를 상기 서버(212c)를 지향하는 하나 또는 그 이상의 MACSec 패킷들의 형식으로 상기 네트워크 내로 전송하는 컴퓨터(210a)를 포함할 수 있다. 이 대표적인 통신에서, 상기 스위치(214a)에 도달하는 상기 MACSec 패킷들은 상기 서버(214c)에 도달하기 위해 두 가지 루트 중 하나를 고를 수 있다. 상기 제1 루트(경로 220)는 상기 MACSec 가능 스위치(214a)로부터 상기 MACSec 가능 스위치(214c)까지 직접 지나가는 상기 MACSec 패킷들을 포함한다. 상기 제2 루트(경로들(222 및 224))는 상기 MACSec 가능 스위치(214a)로부터 비-MACSec 가능 스위치(214b)까지 그리고 상기 MACSec 가능 스위치(214c)까지 지나가는 상기 MACSec 패킷들을 포함한다.
상기 경로(220)를 통해 상기 스위치들(214a 및 214c) 사이에서 하나 또는 그 이상의 MACSec 패킷들을 전송하는 경우, 본 발명의 측면들은 상기 스위치(214a)로 하여금 상기 스위치(214c)는 MACSec 가능 노드인지를 결정하는 것을 가능하게 할 수 있으며, 상기 스위치(214a)로 하여금 상기 패킷들에 어떠한 부가 헤더 정보도 삽입하지 않고 상기 MACSec 패킷을 전송하는 것을 가능하게 할 수 있다. 이러한 면에서, 상기 경로(220)를 통해 전송된 상기 패킷들은 상기 패킷(100c)의 형태일 수 있다. 또한, 본 발명의 측면들은 스위치(214c)로 하여금, 상기 스위치(214a)로부터 수신된 패킷들이 상기 패킷(100c)의 형태일 수 있는지를 결정하는 것을 가능하게 할 수 있으며, 따라서 상기 스위치(214c)는 상기 패킷들을 파싱할 수 있다.
상기 경로들(222 및 224)을 통해 상기 스위치들(214a 및 214c) 사이에서 하나 또는 그 이상의 MACSec 패킷들을 전송하는 경우, 본 발명의 측면들은 상기 스위치(214a)로 하여금, 상기 스위치(214b)가 비-MACSec 가능 스위치인지를 결정하는 것을 가능하게 할 수 있으며, 상기 스위치(214a)로 하여금, 상기 패킷들을 스위치(214b)에 전송하기 전에, 도 1d에 도시된 헤더 정보(142)와 같은 부가 헤더 정보를 상기 패킷들에 삽입하는 것을 가능하게 할 수 있다. 이러한 면에서, 경로들(222 및 224)을 통해 상기 스위치(214a)로부터 상기 스위치(214c)로 전송된 상기 패킷들은 패킷(100d)의 형식일 수 있다. 또한, 본 발명의 측면들은 상기 스위치(214c)로 하여금 상기 스위치(214b)로부터 수신된 패킷들이 상기 패킷(100d)의 형식일 수 있는지를 결정하는 것을 가능하게 할 수 있다. 이러한 면에서, 본 발명의 다양한 측면들은 상기 스위치(214c)로 하여금, 상기 스위치(214b)로부터 수신된 상기 패킷들을 추가로 파싱하고 처리하기 전에, 상기 패킷들에서 부가 헤더 정보를 벗겨내는 것을 가능하게 할 수 있다. 본 발명의 대표적인 실시예들에서, 상기 부가 헤더 정 보는 하나 또는 그 이상의 VLAN 태그들을 포함할 수 있다.
도 2b는 본 발명의 실시예에 따른 MACSec 패킷들을 전송 및 송신하는 것을 가능하게 하는 노드들(250)을 포함하는, 네트워크(200)와 유사한 대표적인 네트워크의 도면이다. 이러한 면에서, 상기 노드들(250)은 도 2a의 스위치들(214)과 같은 스위치들을 나타낸다. 도 2b를 참조하면, 상기 대표적인 노드(250)는 메모리(252), 네트워크 인터페이스 하드웨어 디바이스(254), 및 프로세서(256)를 포함할 수 있다.
상기 메모리(252)는 패킷들의 처리를 위해 사용될 수 있는 정보를 저장하는 것을 가능하게 할 수 있다. 이러한 면에서, 상기 메모리는 네트워크 노드가 MACSec 호환가능한지를 결정하는 것을 가능하게 하는 하나 또는 그 이상의 룩업 테이블들/데이터베이스들, MACSec 패킷에 삽입할 부가 헤더 정보를 결정하는 것을 가능하게 하는 하나 또는 그 이상의 룩업 테이블/데이터베이스들, 및 상기 패킷들을 처리하고 전달하기 위해 상기 프로세서(256)에 의해 사용될 수 있는 하나 또는 그 이상의 제어 비트들을 발생시키는 것을 가능하게 할 수 있는 하나 또는 그 이상의 룩업 테이블들/데이터 베이스들을 포함할 수 있다.
상기 NIHW 디바이스(254)는 네트워크에서 패킷들의 수신 내지 전송을 가능하게 할 수 있는 적절한 로직, 회로, 내지 코드를 포함할 수 있다. 이러한 면에서, 상기 NIHW 디바이스(254)는 물리 매체를 통해 비트들의 수신 및 전송을 가능하게 할 수 있으며, 상기 수신된 비트들을 상기 프로세서(256) 내지 상기 메모리(252)에 통신하는 것을 가능하게 할 수 있다.
상기 프로세서(256)는, 상기 프로세서(256)가 패킷들을 수신, 처리, 전달하기 위해 상기 메모리(252) 및 상기 NIHW 디바이스(254)와 인터페이스하는 것을 가능하게 하는 적절한 로직, 회로, 내지 코드를 포함할 수 있다. 이러한 면에서, 상기 프로세서는 메모리(252) 및 상기 NIHW 디바이스(254)에, 상기 노드(250)가 도 1의 패킷들(100b, 100c, 100d)에서 설명된 형식들로 패킷들을 수신하고 전송하는 것을 가능하게 할 수 있는 제어 신호들 내지 명령들(instructions)을 제공할 수 있다.
동작에서, 패킷은 노드(250)에 물리 매체를 통해 비트 스트림의 형식으로 도달할 수 있다. 상기 NIHW 디바이스(254)는 상기 비트들을 수신하고, 그 비트들을 상기 프로세서(256) 내지 상기 메모리(252)에 통신할 수 있다. 상기 프로세서(256)는 상기 수신된 패킷의 상기 이더타입 필드를 파싱하고 상기 패킷이 상기 패킷(100c)과 같은 MACSec 패킷, 또는 패킷(110d)과 같은 수정된 MACSec 패킷을 포함하고 있는지를 결정할 수 있다. 상기 패킷의 소스가 MACSec 가능인 경우이면, 상기 이더타입 필드는 상기 필드가 패킷(100c)의 형식임을 표시할 수 있다. 따라서, 상기 프로세서는 상기 패킷을 추가로 파싱하고 처리할 수 있다. 상기 패킷의 소스가 비-MACSec 가능인 경우이면, 상기 이더타입 필드는 상기 패킷이 상기 패킷(100d)의 형식임을 표시할 수 있다. 따라서, 상기 프로세서는 상기 패킷을 추가로 파싱하고 처리하기 전에 상기 패킷으로부터 태그를 벗겨낼 수 있다. 따라서, 상기 프로세서는 상기 패킷으로부터 제거된 상기 부가 헤더 정보를, 상기 패킷을 추가로 파싱하고 처리하기 위해 사용될 수 있는 하나 또는 그 이상의 제어 비트들로 변환할 수 있다.
패킷이 전달되는 경우, 상기 프로세서는 상기 메모리(252)를 검색하여, 상기 목적지에 도달하는 것이 네트워크에서 비-MACSec 가능 노드를 트래버싱하는 것을 필요로 하는지를 결정할 수 있다. 이러한 면에서, 예를 들면 상기 프로세서는 상기 패킷의 목적지 MAC 주소 내지 상기 패킷이 전송될 수 있는 배출 포트에 대하여 상기 메모리(252)를 검색할 수 있다. 상기 목적지가 비-MACSec 가능 노드를 트래버싱하는 것을 필요로 하지 않으면, 상기 프로세서는 상기 패킷(100c)과 유사한 패킷을 포맷할 수 있고, 상기 NIHW 디바이스(254)는 상기 패킷을 상기 네트워크내로 전송할 수 있다. 상기 목적지가 비-MACSec 가능 노드를 트래버싱하는 것을 필요로 하면, 상기 프로세서는 상기 패킷(100d)에 상기 헤더 정보(142)와 같은 부가 헤더 정보를 삽입할 수 있고, 상기 NIHW 디바이스(254)는 상기 패킷을 상기 네트워크내로 전송할 수 있다. 이러한 면에서, 상기 프로세서는, 상기 패킷이 수신되었을 때 상기 하나 또는 그 이상의 제어 비트들을 사용함으로써, 내지 상기 메모리(252)를 사용함으로써 삽입할 상기 부가 헤더 정보를 결정할 수 있다. 본 발명의 대표적인 실시예에서, 상기 부가 헤더 정보는 하나 또는 VLAN 태그들을 포함할 수 있다.
도 3은 본 발명의 실시예에 따른, 도 2a의 네트워크(200)와 같이, MACSec 가능 노드들 및 비-MACSec 가능 노드들을 포함할 수 있는 네트워크를 통해 MACSec 패킷들을 전송하는데 사용될 수 있는 대표적인 과정들을 보여주는 흐름도이다. 도 3을 참조하면, 상기 프로세스는 패킷이 도 2a의 컴퓨터(210a)와 같은 네트워크 노드에 의해 전송을 위해 준비되는 단계 304로 시작되며, 상기 프로세스는 단계 306으 로 진행한다. 단계 306에서 목적지에 도달하는 것이 네트워크에서 스위치(214b)와 같은 비-MACSec 가능 노드를 트래버싱하는 것을 필요로 하는지 여부가 결정될 수 있다. 상기 목적지에 도달하는 것이 비-MACSec 가능 노드를 트래버싱하는 것을 필요로 하지 않는 경우, 상기 프로세스는 도 1b에 설명된 패킷의 형식을 가지는 패킷이 상기 네트워크내로 전송되는 단계 310으로 진행한다.
상기 단계 306으로 돌아가면, 상기 목적지가 스위치(214b)와 같은 비-MACSec 가능 노드를 트래버싱하는 것을 필요로 하는 경우, 상기 프로세스는 예를 들면 하나 또는 그 이상의 VLAN 태그들과 같은 부가 헤더 정보가, 도 1d의 부가 헤더 정보에 의해 보여진 바와 같이, 소스 MAC 주소 필드 뒤에 삽입될 수 있다. 단계 308의 이후에 상기 프로세스는 단계 310으로 진행한다.
도 4는 본 발명의 실시예에 따른, 도 2a에 도시된 네트워크(200)와 같이, MACSec 가능 노드들 및 비-MACSec 가능 노드들을 포함할 수 있는 네트워크로부터 MACSec 패킷들을 수신하는데 사용될 수 있는 대표적인 과정들을 보여주는 흐름도이다. 도 4를 참조하면, 상기 프로세스는 스위치(214c)와 같은 네트워크 노드에서 패킷이 수신되는 단계 404로 시작될 수 있으며, 상기 단계는 단계 406으로 진행할 수 있다. 단계 406에서 상기 패킷의 이더타입에 근거하여, 상기 패킷이 스위치(214a)와 같은 MACSec 가능 노드로부터 도달되었는지 여부가 결정될 수 있다. 상기 패킷이 MACSec 가능 노드로부터 도달되고, 도 1c에 설명된 상기 패킷의 형식인 것으로 결정되는 경우, 상기 프로세스는 상기 MACSec 패킷이 처리될 수 있는 단계 412로 진행할 수 있다. 이러한 면에서, 상기 패킷의 처리는 상기 패킷을 파싱하는 것, 상 기 패킷을 암호 해제하는 것, 상기 패킷을 인증하는 것, 상기 패킷을 유효하게 하는 것, 내지 전달을 위해 상기 패킷을 준비하는 것을 포함할 수 있다.
단계 406으로 돌아가면, 상기 패킷이 스위치(214c)와 같은 비-MACSec 가능 노드로부터 도달되고, 도 1d에서 설명된 패킷의 형식인 것으로 결정된 경우, 프로세스는 단계 408로 진행한다. 단계 408에서, 부가 헤더 정보가 상기 패킷으로부터 제거되고, 프로세스는 단계 410으로 진행한다. 단계 410에서 상기 제거된 부가 헤더 정보는 하나 또는 그 이상의 제어 비트들로 변환되고, 이들은 상기 제거된 부가 헤더 정보를 포함하는 정보를 보존하는데 사용될 수 있으며, 프로세스는 단계 412로 진행한다.
본 발명의 측면들은 패킷(100c)와 같은 MACSec 패킷의 목적지가 스위치(214b)와 같은 하나 또는 그 이상의 비-MACSec 가능 네트워크 노드들을 트래버싱할 필요가 있는지 여부를 결정하는 것과, 상기 결정에 근거하여 상기 MACSec 패킷에, 상기 패킷(100d)의 헤더(142)와 같은 부가 헤더 정보를 삽입하는 것을 위한 방법 및 시스템에 관한 것이다. 상기 삽입된 부가 헤더 정보(142)는 하나 또는 그 이상의 수신된 패킷들로부터 발생된 하나 또는 그 이상의 제어 비트들에 근거하여 발생될 수 있다. 상기 삽입된 부가 헤더 정보는 MACSec 및 비-MACSec 가능 노드들에 의해 MACSec 패킷의 확인을 허용할 수 있다. 이러한 면에서, 본 발명의 대표적인 실시예에서, 상기 부가 헤더 정보는 도 1b의 VLAN 태그(112)와 유사한 하나 또는 그 이상의 VLAN 태그들, 내지 MACSec 패킷의 확인을 가능하게 할 수 있는 도 1에 도시된 하나 또는 그 이상의 이더타입 필드들(106, 114, 134)과 유사한 이더타입 필드를 포함할 수 있다.
본 발명의 다양한 실시예들에서, 상기 부가 헤더 정보는 패킷(100d)에 보여지는 바와 같이, MACSec 패킷의 소스 MAC 주소 필드(104)와 SecTAG(118) 사이에 삽입될 수 있다. 상기 MACSec 패킷의 상기 삽입된 부가 헤더 정보는 네트워크에 의해 파싱될 수 있으며, 상기 삽입된 헤더 정보를 식별하는 Ethertype을 포함할 수 있다. 이러한 방식으로 본 발명의 다양한 실시예들은 상기 이더타입을 식별하는 것에 근거하여 상기 삽입된 헤더(142)의 제거를 가능하게 할 수 있다. 상기 제거된 헤더 정보는 상기 MACSec 패킷의 처리를 가능하게 할 수 있는 하나 또는 그 이상의 제어 비트로 변환될 수 있다.
따라서, 본 발명은 하드웨어, 또는 소프트웨어, 또는 하드웨어 및 소프트웨어 둘 다의 조합으로 구현될 수 있다. 본 발명은 적어도 하나의 컴퓨터 시스템을 가지는 중앙 방식(centralized fashion)으로 구현될 수 있거나, 다른 구성요소들이 몇몇 서로 연결된 컴퓨터 시스템들에 흩어져 있는 분산 방식(distributed fashion)으로 구현될 수도 있다. 여기에서 기술된 방법들을 실행하기 위해 채택된 어떠한 종류의 컴퓨터 시스템이나 다른 장치도 적절하다. 하드웨어 및 소프트웨어의 전형적인 조합에는 컴퓨터 시스템에서 로딩되어 실행되었을 때, 여기에서 기술된 방법들을 실행하도록 컴퓨터 시스템을 제어하기 위한 컴퓨터 프로그램을 가지는 범용 컴퓨터 시스템이 있을 수 있다.
본 발명은 여기에서 기술된 방법들의 실행을 가능하게 하는 모든 특징들을 포함하고, 컴퓨터 시스템에 로딩되었을 때 이 방법들을 실행할 수 있는 컴퓨터 프 로그램 제품에 임베디드(embedded)될 수 있다. 여기에서, 컴퓨터 프로그램은 임의의 언어, 또는 코드(code), 또는 기호(notation)에서 명령들 집합을 표현하는 어떤 것이라도 의미한다. 이 명령들 집합의 표현들은 직접적으로, 또는 a) 다른 언어, 코드, 또는 기호로의 변환(conversion) b) 다른 매체 형태로의 재생(reproduction)중에서 어느 하나 또는 둘 모두를 수행한 후에 시스템이 특정한 기능을 수행하기 위한 정보 처리 능력을 가지도록 의도된 것이다. 그러나, 당해 기술 분야에서 숙련된 자들의 이해 범위내에 있는 컴퓨터 프로그램의 다른 의미들도 본 발명에 의해 또한 예상될 수 있을 것이다.
본 발명은 몇몇 실시예들을 참조하여 설명되었지만, 본 발명의 범주로부터 벗어나지 않고 다양한 변형이 이루어질 수 있으며, 균등물들이 대신될 수 있음은 당해 기술 분야에 숙련된 자들에게 이해될 것이다. 또한, 본 발명의 범주를 벗어나지 않고 특정한 상황 또는 매체를 본 발명의 기술들에 채택하기 위하여 많은 변형들이 있을 수 있다. 따라서, 본 발명은 개시된 특정 실시예들에 한정되지 않아야 하며, 첨부되는 청구항들의 범위내에 있는 모든 실시예들을 포함할 것이다.
도 1a는 본 발명의 실시예에 연관된 대표적인 이더넷 패킷의 도면이다.
도 1b는 본 발명의 실시예에 연관된 대표적인 VLAN 태그된 이더넷 패킷의 도면이다.
도 1c는 본 발명의 실시예에 연관된 대표적인 MACSec 패킷의 도면이다.
도 1d는 본 발명의 실시예에 따른, MACSec 및 비-MACSec 가능 노드들을 트래버스할 수 있도록 수정된 대표적인 MACSec 패킷의 도면이다.
도 2a는 본 발명의 실시예에 따른 MACSec 및 비-MACSec 노드들을 걸쳐서 MACSec 패킷들을 전송 및 수신가능하게 할 수 있는 대표적인 네트워크의 도면이다.
도 2b는 본 발명의 실시예에 따른 MACSec 및 비-MACSec 노드들을 걸쳐서 MACSec 패킷들을 전송 및 송신하는 것을 가능하게 하는 노드들(250)을 포함하는, 네트워크(200)와 유사한 대표적인 네트워크의 도면이다.
도 3은 본 발명의 실시예에 따른, MACSec 노드들 및 비-MACSec 가능 노드들을 포함할 수 있는 네트워크에 MACSec 패킷들을 전송하는데 사용될 수 있는 대표적인 과정들을 보여주는 흐름도이다.
도 4는 본 발명의 실시예에 따른, MACSec 및 비-MACSec 가능 노드들을 포함할 수 있는 네트워크로부터 MACSec 패킷들을 수신하는데 사용될 수 있는 대표적인 과정들을 보여주는 흐름도이다.

Claims (10)

  1. MACSec 패킷의 목적지가 하나 또는 그 이상의 비-MACSec 가능 네트워크 노드들을 트래버싱하는 것을 요구하는지 여부를 결정하는 단계; 및
    상기 MACSec 패킷이 상기 하나 또는 그 이상의 비-MACSec 가능 노드들을 트래버스할 때, 상기 MACSec 패킷이 확인될 수 있도록 하기 위해 상기 결정에 근거하여 부가 헤더 정보를 상기 MACSec 패킷에 삽입하는 단계를 포함하며;
    MACSec 패킷이 수신되면 상기 MACSec 패킷내의 상기 삽입된 부가 헤더 정보를 파싱하는 단계;
    상기 삽입된 부가 헤더 정보를 제거하고 상기 제거된 부가 헤더 정보에 근거하여 하나 또는 그 이상의 제어 비트를 발생시키는 단계; 및
    상기 발생된 하나 또는 그 이상의 제어 비트들에 근거하여 상기 MACSec 패킷을 처리하는 단계를 더 포함하며;
    상기 부가 헤더 정보는 MACSec 및 비-MECSec 가능 노드들에 의해 상기 MACSec 패킷의 확인을 허용하도록 결정되는 컴퓨터 네트워킹을 위한 방법.
  2. 청구항 1에 있어서,
    소스 MAC 주소 필드와 상기 MACSec 패킷의 SecTAG 사이에 상기 부가 헤더 정보를 삽입하는 것을 포함하는 컴퓨터 네트워킹을 위한 방법.
  3. 청구항 1에 있어서,
    상기 부가 헤더 정보는 하나 또는 그 이상의 VLAN 태그들을 포함하는 컴퓨터 네트워킹을 위한 방법.
  4. 청구항 1에 있어서,
    상기 부가 헤더 정보는 상기 MACSec 패킷의 식별을 가능하게 하는 이더타입 필드(Ethertype field)를 포함하는 컴퓨터 네트워킹을 위한 방법.
  5. 삭제
  6. 기계에 의해 실행가능하며 컴퓨터 네트워킹을 가능하게 하기 위한 적어도 하나의 코드 섹션(code section)을 포함하는 컴퓨터 프로그램을 가지며, 그에 의해 상기 기계가,
    MACSec 패킷의 목적지가 하나 또는 그 이상의 비-MACSec 가능 네트워크 노드들을 트래버싱하는 것을 요구하는지 여부를 결정하는 단계; 및
    상기 MACSec 패킷이 상기 하나 또는 그 이상의 비-MACSec 가능 노드들을 트래버스할 때, 상기 MACSec 패킷이 확인될 수 있도록 하기 위해 상기 결정에 근거하여 부가 헤더 정보를 상기 MACSec 패킷에 삽입하는 단계를 포함하며;
    MACSec 패킷이 수신되면 상기 MACSec 패킷내의 상기 삽입된 부가 헤더 정보를 파싱하는 단계;
    상기 삽입된 부가 헤더 정보를 제거하고 상기 제거된 부가 헤더 정보에 근거하여 하나 또는 그 이상의 제어 비트를 발생시키는 단계; 및
    상기 발생된 하나 또는 그 이상의 제어 비트들에 근거하여 상기 MACSec 패킷을 처리하는 단계를 더 포함하는 단계를 수행할 수 있게 하며;
    상기 부가 헤더 정보는 MACSec 및 비-MECSec 가능 노드들에 의해 상기 MACSec 패킷의 확인을 허용하도록 결정되는 기계 가독 스토리지.
  7. MACSec 패킷의 목적지가 하나 또는 그 이상의 비-MACSec 가능 네트워크 노드들을 트래버싱하는 것을 요구하는지 여부를 결정하는 적어도 하나의 프로세서를 포함하며;
    상기 적어도 하나의 프로세서는, 상기 MACSec 패킷이 상기 하나 또는 그 이상의 비-MACSec 가능 노드들을 트래버스할 때, 상기 MACSec 패킷이 확인될 수 있도록 하기 위해 상기 결정에 근거하여 부가 헤더 정보를 상기 MACSec 패킷에 삽입하며;
    MACSec 패킷이 수신되면 상기 MACSec 패킷내의 상기 삽입된 부가 헤더 정보를 파싱하고;
    상기 삽입된 부가 헤더 정보를 제거하고 상기 제거된 부가 헤더 정보에 근거하여 하나 또는 그 이상의 제어 비트를 발생시키고;
    상기 발생된 하나 또는 그 이상의 제어 비트들에 근거하여 상기 MACSec 패킷을 처리하는 것을 더 포함하며;
    상기 부가 헤더 정보는 MACSec 및 비-MECSec 가능 노드들에 의해 상기 MACSec 패킷의 확인을 허용하도록 결정되는 컴퓨터 네트워킹을 위한 시스템.
  8. 청구항 7에 있어서,
    상기 적어도 하나의 프로세서는 소스 MAC 주소 필드와 상기 MACSec 패킷의 SecTAG 사이에 상기 부가 헤더 정보의 삽입을 가능하게 하는 컴퓨터 네트워킹을 위한 시스템.
  9. 청구항 7에 있어서,
    상기 부가 헤더 정보는 하나 또는 그 이상의 VLAN 태그들을 포함하는 컴퓨터 네트워킹을 위한 시스템.
  10. 청구항 7에 있어서,
    상기 부가 헤더 정보는 상기 MACSec 패킷의 식별을 가능하게 하는 이더타입 필드(Ethertype field)를 포함하는 컴퓨터 네트워킹을 위한 시스템.
KR1020070122854A 2006-11-29 2007-11-29 비-macsec 노드들을 통해 macsec 패킷들을터널링하기 위한 방법 및 시스템 KR100910818B1 (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US86776506P 2006-11-29 2006-11-29
US60/867,765 2006-11-29
US11/685,554 2007-03-13
US11/685,554 US7729276B2 (en) 2006-11-29 2007-03-13 Method and system for tunneling MACSec packets through non-MACSec nodes

Publications (2)

Publication Number Publication Date
KR20080048972A KR20080048972A (ko) 2008-06-03
KR100910818B1 true KR100910818B1 (ko) 2009-08-04

Family

ID=38626738

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070122854A KR100910818B1 (ko) 2006-11-29 2007-11-29 비-macsec 노드들을 통해 macsec 패킷들을터널링하기 위한 방법 및 시스템

Country Status (6)

Country Link
US (1) US7729276B2 (ko)
EP (1) EP1928127B1 (ko)
KR (1) KR100910818B1 (ko)
CN (1) CN101193064B (ko)
HK (1) HK1121883A1 (ko)
TW (1) TWI410088B (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101621717B1 (ko) 2015-01-30 2016-05-17 아토리서치(주) 소프트웨어 정의 데이터 센터의 네트워크 자원을 가상화 하는 방법, 장치 및 컴퓨터 프로그램

Families Citing this family (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7729276B2 (en) * 2006-11-29 2010-06-01 Broadcom Corporation Method and system for tunneling MACSec packets through non-MACSec nodes
US8752131B2 (en) * 2008-04-30 2014-06-10 Fujitsu Limited Facilitating protection of a maintenance entity group
US8700891B2 (en) * 2008-05-09 2014-04-15 Broadcom Corporation Preserving security association in MACsec protected network through VLAN mapping
US8918631B1 (en) 2009-03-31 2014-12-23 Juniper Networks, Inc. Methods and apparatus for dynamic automated configuration within a control plane of a switch fabric
US8707020B1 (en) * 2010-05-13 2014-04-22 ClearCrypt, Inc. Selective exposure of feature tags in a MACSec packet
US8880869B1 (en) 2010-11-22 2014-11-04 Juniper Networks, Inc. Secure wireless local area network (WLAN) for data and control traffic
CN102035845B (zh) * 2010-12-20 2012-07-18 西安西电捷通无线网络通信股份有限公司 支持链路层保密传输的交换设备及其数据处理方法
WO2012107074A1 (en) * 2011-02-07 2012-08-16 Abb Research Ltd Device and method for securing ethernet communication
US8966240B2 (en) * 2011-10-05 2015-02-24 Cisco Technology, Inc. Enabling packet handling information in the clear for MACSEC protected frames
WO2013068505A1 (en) * 2011-11-09 2013-05-16 Nec Europe Ltd. Method and system for supporting transport of data packets in a network
CN104205764A (zh) * 2012-03-26 2014-12-10 惠普发展公司,有限责任合伙企业 基于以太网类型的帧传送
US20150207793A1 (en) * 2012-07-31 2015-07-23 Parvez Syed Mohamed Feature Enablement or Disablement Based on Discovery Message
US8635392B1 (en) * 2012-10-12 2014-01-21 Broadcom Corporation Media access control security (MACsec) management with a layer management interface (LMI) configured to communication over management data input/output (MDIO) protocol
US10397221B2 (en) * 2013-01-31 2019-08-27 Hewlett Packard Enterprise Development Lp Network controller provisioned MACsec keys
US10230698B2 (en) 2013-03-08 2019-03-12 Hewlett Packard Enterprise Development Lp Routing a data packet to a shared security engine
WO2014143025A1 (en) 2013-03-15 2014-09-18 Hewlett-Packard Development Company, L.P. Secure path determination between devices
US10924470B2 (en) * 2013-03-27 2021-02-16 Nokia Solutions And Networks Oy Secured network architecture
CN111865906A (zh) * 2015-07-17 2020-10-30 华为技术有限公司 报文传输的方法、装置和系统
US9967372B2 (en) 2015-10-13 2018-05-08 Cisco Technology, Inc. Multi-hop WAN MACsec over IP
CN105635154A (zh) * 2016-01-05 2016-06-01 盛科网络(苏州)有限公司 灵活的MACSec报文加密认证的芯片实现方法及实现装置
US10454928B2 (en) * 2016-10-25 2019-10-22 Cisco Technology, Inc. Apparatus and method for inssec packet generation
US10476910B2 (en) * 2017-06-21 2019-11-12 Mastercard International Incorporated Systems and methods for secure network communication
US20190007302A1 (en) * 2017-06-29 2019-01-03 Cisco Technology, Inc. Mechanism for Dual Active Detection Link Monitoring in Virtual Switching System with Hardware Accelerated Fast Hello
CN108173769B (zh) * 2017-12-28 2021-01-05 盛科网络(苏州)有限公司 一种报文传输方法、装置及计算机可读存储介质
KR102464126B1 (ko) 2018-09-12 2022-11-07 삼성전자주식회사 인쇄회로기판 체결 장치
US20210092103A1 (en) * 2018-10-02 2021-03-25 Arista Networks, Inc. In-line encryption of network data
US11316869B2 (en) * 2019-12-10 2022-04-26 Cisco Technology, Inc. Systems and methods for providing attestation of data integrity
US11997076B2 (en) 2020-08-25 2024-05-28 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing secure communication in an electric power distribution system
US11677268B2 (en) 2020-09-01 2023-06-13 Schweitzer Engineering Laboratories, Inc. Media access control security (MACsec) application cryptographic fingerprinting
US11233635B1 (en) 2020-09-01 2022-01-25 Schweitzer Engineering Laboratories, Inc. Media access control security (MACSEC) application cryptographic fingerprinting
US11777931B2 (en) 2020-10-08 2023-10-03 Schweitzer Engineering Laboratories, Inc. Systems and methods for authorizing access to a component in an electric power distribution system
US11470059B2 (en) 2020-10-14 2022-10-11 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing secure communication in an electric power distribution system
US11489554B2 (en) 2020-10-30 2022-11-01 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing secure communication in an electric power distribution system with software defined network
US11502825B2 (en) * 2020-11-17 2022-11-15 Schweitzer Engineering Laboratories, Inc. Systems and methods for using entropy data in an electric power distribution system
US11764969B2 (en) 2020-12-01 2023-09-19 Schweitzer Engineering Laboratories, Inc. Media access control security (MACsec) sandboxing for suspect devices
US11283835B1 (en) 2020-12-18 2022-03-22 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing a secure communication link in an electric power distribution system
US11843583B2 (en) 2021-01-05 2023-12-12 Schweitzer Engineering Laboratories, Inc. Systems and methods for adjusting a secure communication link in an electric power distribution system
US11637444B2 (en) 2021-01-13 2023-04-25 Schweitzer Engineering Laboratories, Inc. Systems and methods for configuring a secure communication link in an electric power distribution system
US11570179B2 (en) 2021-01-18 2023-01-31 Schweitzer Engineering Laboratories, Inc. Secure transfer using media access control security (MACsec) key agreement (MKA)
US11677494B2 (en) * 2021-01-19 2023-06-13 Avago Technologies International Sales Pte. Limited Enhanced error protection of payload using double CRC
US11425167B1 (en) 2021-03-15 2022-08-23 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing a secure communication link in an electric power distribution system
US11722501B2 (en) 2021-03-17 2023-08-08 Schweitzer Engineering Laboratories. Inc. Device management in power systems using media access control security (MACsec)
US11843479B2 (en) 2021-03-23 2023-12-12 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing a secure communication link in an electric power distribution system
US11552822B2 (en) 2021-03-24 2023-01-10 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing a backup secure communication link in an electric power distribution system
US11601278B2 (en) 2021-03-25 2023-03-07 Schweitzer Engineering Laboratories, Inc. Authentication of intelligent electronic devices (IEDs) using secure association keys (SAKs)
US11550285B1 (en) 2021-06-30 2023-01-10 Schweitzer Engineering Laboratories, Inc. Systems and methods for enabling a maintenance mode of protection devices in digital secondary systems
US11895152B2 (en) 2021-08-12 2024-02-06 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing a secure communication link in an electric power delivery system
US11436109B1 (en) 2021-08-31 2022-09-06 Schweitzer Engineering Laboratories, Inc. Systems and methods for communicating data securely for an electric power delivery system
US11811947B2 (en) 2021-08-31 2023-11-07 Schweitzer Engineering Laboratories, Inc. Systems and methods for communicating data securely for an electric power delivery system
US11831529B2 (en) 2022-02-04 2023-11-28 Schweitzer Engineering Laboratories, Inc. Redundant generic object oriented substation event (GOOSE) messages
EP4231610A1 (en) * 2022-02-16 2023-08-23 Nxp B.V. An apparatus including a transceiver

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060112431A1 (en) * 2004-11-23 2006-05-25 Finn Norman W Method and system for including network security information in a frame
US20060248599A1 (en) 2004-12-30 2006-11-02 Oracle International Corporation Cross-domain security for data vault
US20060259759A1 (en) * 2005-05-16 2006-11-16 Fabio Maino Method and apparatus for securely extending a protected network through secure intermediation of AAA information

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6708218B1 (en) * 2000-06-05 2004-03-16 International Business Machines Corporation IpSec performance enhancement using a hardware-based parallel process
US7215667B1 (en) * 2001-11-30 2007-05-08 Corrent Corporation System and method for communicating IPSec tunnel packets with compressed inner headers
US7706302B2 (en) * 2004-09-14 2010-04-27 Alcatel Lucent Optimization of routing forwarding database in a network processor
US7797745B2 (en) * 2004-12-22 2010-09-14 Electronics And Telecommunications Research Institute MAC security entity for link security entity and transmitting and receiving method therefor
US7729276B2 (en) * 2006-11-29 2010-06-01 Broadcom Corporation Method and system for tunneling MACSec packets through non-MACSec nodes
CN101141241B (zh) * 2006-09-06 2010-08-18 华为技术有限公司 实现mac安全的方法以及网络设备
US8379638B2 (en) * 2006-09-25 2013-02-19 Certes Networks, Inc. Security encapsulation of ethernet frames
US7853691B2 (en) * 2006-11-29 2010-12-14 Broadcom Corporation Method and system for securing a network utilizing IPsec and MACsec protocols
US7886143B2 (en) * 2006-11-30 2011-02-08 Broadcom Corporation Multi-data rate cryptography architecture for network security
US8112622B2 (en) * 2006-12-08 2012-02-07 Broadcom Corporation Chaining port scheme for network security
US8700891B2 (en) * 2008-05-09 2014-04-15 Broadcom Corporation Preserving security association in MACsec protected network through VLAN mapping

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060112431A1 (en) * 2004-11-23 2006-05-25 Finn Norman W Method and system for including network security information in a frame
US20060248599A1 (en) 2004-12-30 2006-11-02 Oracle International Corporation Cross-domain security for data vault
US20060259759A1 (en) * 2005-05-16 2006-11-16 Fabio Maino Method and apparatus for securely extending a protected network through secure intermediation of AAA information

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101621717B1 (ko) 2015-01-30 2016-05-17 아토리서치(주) 소프트웨어 정의 데이터 센터의 네트워크 자원을 가상화 하는 방법, 장치 및 컴퓨터 프로그램

Also Published As

Publication number Publication date
US20080123652A1 (en) 2008-05-29
TWI410088B (zh) 2013-09-21
EP1928127B1 (en) 2012-08-15
EP1928127A1 (en) 2008-06-04
HK1121883A1 (en) 2009-04-30
CN101193064B (zh) 2012-10-03
TW200840279A (en) 2008-10-01
CN101193064A (zh) 2008-06-04
US7729276B2 (en) 2010-06-01
KR20080048972A (ko) 2008-06-03

Similar Documents

Publication Publication Date Title
KR100910818B1 (ko) 비-macsec 노드들을 통해 macsec 패킷들을터널링하기 위한 방법 및 시스템
US7853691B2 (en) Method and system for securing a network utilizing IPsec and MACsec protocols
RU2735725C1 (ru) Способ и устройство обработки и отправки пакетов, узел pe и узел
US11979322B2 (en) Method and apparatus for providing service for traffic flow
US9571283B2 (en) Enabling packet handling information in the clear for MACSEC protected frames
US10382309B2 (en) Method and apparatus for tracing paths in service function chains
US7899048B1 (en) Method and apparatus for remotely monitoring network traffic through a generic network
US7480292B2 (en) Methods of processing data packets at layer three level in a telecommunication equipment
US9654303B2 (en) Method and apparatus for emulating network devices
CN1938982B (zh) 通过认证因特网控制消息协议分组来防止网络攻击的方法和装置
US20090129389A1 (en) Method for managing frames in a global-area communications network, corresponding computer-readable storage medium and tunnel endpoint
US20100223657A1 (en) Method and system for including network security information in a frame
WO2016000513A1 (zh) 更新业务流报文的处理方式的方法及装置
US11855888B2 (en) Packet verification method, device, and system
US11297037B2 (en) Method and network device for overlay tunnel termination and mirroring spanning datacenters
EP2071808A1 (en) Methods and a system and devices for ipv6 datagram transmission in the ethernet
Wadhwa et al. Protocol for Access Node Control Mechanism in Broadband Networks
JP7322088B2 (ja) パケット検出方法および第1のネットワーク機器
KR101200875B1 (ko) 웹 서비스 기반 관리를 위한 경량 soap 전송을 위한방법 및 시스템
US11924095B1 (en) Utilizing network routing to communicate covert message
JP3834157B2 (ja) サービス属性割り当て方法とネットワーク機器
Davies Windows server 2008 TCP/IP protocols and services
Haag et al. Internet Engineering Task Force (IETF) S. Wadhwa Request for Comments: 6320 Alcatel-Lucent Category: Standards Track J. Moisand
Wadhwa et al. RFC 6320: Protocol for Access Node Control Mechanism in Broadband Networks
Ginoza Request for Comments Summary RFC Numbers 3500-3599

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120720

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20130722

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee