KR100932924B1 - Mac하드웨어 전처리장치 및 방법 - Google Patents

Mac하드웨어 전처리장치 및 방법 Download PDF

Info

Publication number
KR100932924B1
KR100932924B1 KR1020070132731A KR20070132731A KR100932924B1 KR 100932924 B1 KR100932924 B1 KR 100932924B1 KR 1020070132731 A KR1020070132731 A KR 1020070132731A KR 20070132731 A KR20070132731 A KR 20070132731A KR 100932924 B1 KR100932924 B1 KR 100932924B1
Authority
KR
South Korea
Prior art keywords
encryption
information
decryption
address
nonce
Prior art date
Application number
KR1020070132731A
Other languages
English (en)
Other versions
KR20090065252A (ko
Inventor
박태준
김내수
표철식
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070132731A priority Critical patent/KR100932924B1/ko
Publication of KR20090065252A publication Critical patent/KR20090065252A/ko
Application granted granted Critical
Publication of KR100932924B1 publication Critical patent/KR100932924B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 패킷 네트워크 시스템에서 암호화 및 복호화 전처리 장치 및 그 방법에 관한 것이다. 본 발명의 MAC 하드웨어 전처리장치는 응용소프트웨어에서 전송된 패킷의 헤더를 추출하여 FCF필드, 어드레스필드 및 Aux Security 필드를 순차적으로 검색하는 암호화전처리검색부; 암호화전처리검색부에서 검색된 정보를 기초로 Nonce 정보, 인증데이터 정보 및 암호화데이터 정보를 포함하는 암호화입력정보를 생성하는 암호화정보생성부; 물리계층에서 전송된 패킷의 헤더를 추출하여 FCF필드, 어드레스필드 및 Aux Security 필드를 순차적으로 검색하는 복호화전처리검색부;및 복호화전처리검색부에서 검색된 정보를 기초로 Nonce 정보, 인증데이터 정보 및 복호화데이터 정보를 포함하는 복호화입력정보를 생성하는 복호화정보생성부;를 포함한다.
MAC, 암호화, 복호화

Description

MAC하드웨어 전처리장치 및 방법{Method and Apparatus for preprocessing of encyription and decription at MAC system}
본 발명은 패킷 네트워크 시스템에서 암호화 및 복호화 전처리 장치 및 그 방법에 관한 것이다. 보다 상세히, 본 발명은 MAC계층의 암호화 및 복호화 기능을 타 계층 및 MCU의 소프트웨어에 의존하지 않고 독자적으로 이루어지도록 단일계층에서 처리하는 MAC 하드웨어에서 암호화 및 복호화 수행을 위한 전처리 장치 및 방법에 관한 것이다.
본 발명은 정보통신부의 IT성장동력핵심기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2005-S-106-03, 과제명: RFID/USN용 센서 태그 및 센서 노드 기술 개발].
보안이 중요해짐에 따라 암호화 및 복호화의 기능이 폭넓게 사용되고 있다. 암호화 및 복호화 기능은 많은 연산이 요구된다. 이러한 많은 연산을 처리하기 위해, DSP와 같은 별도의 고성능 프로세서를 사용하거나, 별도의 고성능 프로세서의 장착이 어려운 경우와 높은 성능이 필요한 경우의 계산과정은 하드웨어를 사용한다. 특히, MCU 연산 능력이 제한적이거나, 고속의 실시간 처리가 필요하여 하드웨 어로 처리하는 것이 유리하다.
암호화 및 복호화 기능은 많은 연산이 필요하므로 DSP와 같은 별도의 고성능 프로세서를 사용하거나, 별도의 고성능 프로세서의 장착이 어려운 경우와 높은 성능이 필요한 경우의 계산과정은 하드웨어를 사용한다.
그러나, 통신 서비스 패킷을 MAC계층에서 암호/복호화 처리하기 위해서는 암호/복호화에 필요한 정보 생성과 선택사양 등의 결정 과정이 필요하다. 통상 이 과정은 MCU에서 동작하는 소프트웨어 기능에 의존한다. 이와 같은 방법은 수신 패킷의 경우 패킷 흐름과 무관한 MCU와 통신 수요가 발생하여, 패킷처리 효율을 떨어뜨리는 문제점이 있다.
현재 MAC계층에서는 통신 서비스 패킷의 암호화 및 복호화에 필요한 정보 생성과 선택사양 결정을 위해 MCU에서 동작하는 소프트웨어 기능에 의존하고 있다. 그러나, 이와 같은 방법은 패킷을 수신하는 경우 패킷의 흐름과 일치하지 않아 성능과 효율을 떨어뜨리는 문제점이 있다.
본 발명에서 제시하는 MAC계층에서 암호화 및 복호화 전처리 장치를 통해 상위계층의 정보와 별도의 프로세서 또는 소프트웨어에 의존하지 않고 독립적으로 MAC계층에서 하드웨어에 의해 모든 동작이 일괄 처리가 가능하다.
본 발명을 사용함에 따라 프로세서에 의한 별도 처리가 필요치 않아, 성능과 전력 효율이 향상되며, 데이터 흐름과 처리 구조가 간단해 지므로, 소프트웨어에 의한 처리 방법에 비하여 전송지연이 감소하고, 전력 효율이 향상된다. 전송 지연은 성능과 관련이 있으며, 특히 지연에 민감한 동기식 전송기법을 사용하는 경우에는 중요한 요소가 된다.
본 발명의 바람직한 일 실시예로서, MAC 하드웨어 전처리장치는 응용소프트웨어에서 전송된 패킷의 헤더를 추출하여 FCF필드, 어드레스필드 및 Aux Security 필드를 순차적으로 검색하는 암호화전처리검색부; 상기 암호화전처리검색부에서 검 색된 정보를 기초로 Nonce 정보, 인증데이터 정보 및 암호화데이터 정보를 포함하는 암호화입력정보를 생성하는 암호화정보생성부; 물리계층에서 전송된 패킷의 헤더를 추출하여 FCF필드, 어드레스필드 및 Aux Security 필드를 순차적으로 검색하는 복호화전처리검색부;및 상기 복호화전처리검색부에서 검색된 정보를 기초로 Nonce 정보, 인증데이터 정보 및 복호화데이터 정보를 포함하는 복호화입력정보를 생성하는 복호화정보생성부;를 포함한다.
본 발명의 또 다른 바람직한 일 실시예로서, 암호화전처리부 및 복호화전처리부를 포함하는 MAC 하드웨어에서 전처리수행방법은 암호화전처리부에서 응용소프트웨어에서 전송된 패킷의 헤더를 추출하여 FCF필드, 어드레스필드 및 Aux Security 필드를 순차적으로 검색하는 암호화전처리검색단계; 상기 검색된 정보를 기초로 Nonce 정보, 인증데이터 정보 및 암호화데이터 정보를 포함하는 암호화입력정보를 생성하는 암호화정보생성단계; 복호화전처리부에서 물리계층에서 전송된 패킷의 헤더를 추출하여 FCF필드, 어드레스필드 및 Aux Security 필드를 순차적으로 검색하는 복호화전처리검색단계;및 상기 복호화전처리검색단계에서 검색된 정보를 기초로 Nonce 정보, 인증데이터 정보 및 복호화데이터 정보를 포함하는 복호화입력정보를 생성하는 복호화정보생성단계;를 포함한다.
이하에서, 도면을 참조하여 본 발명의 실시예에 대하여 상세히 설명하기로 한다. 도면들 중 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 참조번호들 및 부호들로 나타내고 있음에 유의해야 한다.
하기에서 본 발명을 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구 체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
또한, 본 발명에 보다 더 충실하도록 하기 위해서, 본 발명의 취지를 벗어나지 않는 범위 내에서 당업자 수준의 변경이나 변형이 있을 수 있음을 명기하는 바이다.
도 1 은 본 발명의 일 실시예로서, 암호화 및 복호화 전처리 기능이 적용된 MAC 하드웨어의 내부 구성을 도시한다.
도 2는 MAC 하드웨어에서 본 발명의 암호화 및 복호화 전처리 기능을 적용할 것인지를 판단하는 흐름도를 도시한다. 도 2 의 흐름도를 통해 알 수 있듯이, 본 발명은 구조적으로 소프트웨어에 의한 처리 기능을 선택적으로 사용할 수 있으므로 하드웨어로 처리함에도 불구하고 기존의 기능과의 호환이 가능하다.
도 2 에 도시된 바와 같이, MAC하드웨어는 MAC 메시지를 수신한 후(S210), 제어레지스터를 기초로 암호화 및 복호화 전처리 기능을 활성화할 것인지를 판단한다(S220).
전처리 기능이 없거나 비활성상태인 경우, 기존에 사용하던 소프트웨어에 의한 처리 기능을 이용하여 암호화를 수행한다(S230). 제어레지스터가 전처리기능을 활성한 상태로 파악되는 경우에는 본 발명에서 제시하는 암호화 및 복호화 전처리 기능을 적용한다.
본 발명에서 암호화 및 복호화 전처리 기능을 위해 사용되는 NONCE 결정 방법은 크게 두 가지이다(S241, S242). 이에 대해서는 도 8 및 9 와 관련하여 이후에 서 상세히 설명하기로 한다.
다시 도 1을 살펴보면, 본 발명의 MAC 하드웨어는 암호화전처리부(110) 및 복호화전처리부(150)를 포함함으로써 암호화 및 복호화 기능을 위한 별도의 응용 소프트웨어 기능 없이도 MAC계층의 하드웨어만으로 MAC계층에서 암호화 및 복호화 동작이 가능하다.
응용소프트웨어(100)에서 하향전송된 패킷은 송신패킷메모리(130)를 통해 물리계층(140)으로 전달된다. 패킷이 암호화가 필요한 경우 수신한 MAC 메시지를 통해 암호화 전처리 기능이 요구되는지를 판단하여(S220) 암호화전처리 기능이 필요하지 않은 경우(S230)에는 암호화부(120)에서 암호화 과정을 수행한 후 송신패킷메모리(130)를 통해 물리계층으로 전송한다.
암호화전처리 기능이 요구되는 경우에는, 암호화전처리부(110)에서는 응용소프트웨어(100)에서 송신패킷메모리(130)로 하향전송되는 패킷을 훔쳐보기(snooping)하여 암호화 기능을 적용하기 전에 암호화 전처리 작업을 수행한다. 암호화 전처리 작업에 대하여서는 도 3 및 도 4 과 관련된 부분에서 보다 상세히 설명하겠다.
물리계층(140)에서 응용소프트웨어(100)로 상향전송되는 수신패킷이 MAC 하드웨어에 도착한 경우 수신패킷메모리(170)를 통해 응용소프트웨어(100)로 수신패킷 전송된다.
수신패킷메모리(170)에서는 수신패킷이 복호화가 요구되는 경우 복호화 과정을 수행한 후 응용소프트웨어(100)로 전송한다. 이 경우, 복호화전처리부(150)에 서는 수신패킷을 훔쳐보기(snooping)하여 복호화부(160)에서 복호화 기능을 적용하기 전에 필요한 복호화 전처리 작업을 수행한다. 복호화 전처리 작업에 대하여서는 도 5 및 도 6 와 관련된 부분에서 보다 상세히 설명하겠다.
AES-CCM을 이용한 암호화 및 복호화를 위한 입력 정보로는 암호키와 암호화 대상인 평문, 복호화 대상인 암호문과 더불어 NONCE 정보가 필요하다. 암호키는 기설정된 값이므로 이에 대한 설명은 생략하고, 이하에서는 IEEE802.15.4 규격과 이때 사용되는 패킷을 예로 암호화 전처리 과정으로 암호화입력정보 NONCE를 생성하는 과정을 도 3 및 도 4를 참고하여 , 복호화 전처리 과정으로 복호화입력정보 NONCE를 생성하는 과정을 도 5 및 도 6을 참고하여 서술하겠다.
도 3 및 도 4 는 암호화전처리부에서 암호화에 필요한 정보를 검색하여 암호화 입력정보 NONCE와 aData/mData를 생성하는 과정을 도시한다.
먼저, 도 3 은 암호화전처리부에서 암호화 입력 정보를 생성하기 위해 수행되는 검색단계를 도시한다.
응용소프트웨어(100)에서 물리계층(140)으로 하향송신된 패킷이 암호화 전처리가 필요한 경우, 송신 패킷의 헤더에서 암호화 입력정보를 생성하기 위해 필요한 정보를 추출하기 위해 다음의 세 단계의 검색이 순차적으로 수행한다.
송신패킷의 FCF필드 검색(S310), 어드레스필드 검색(S320), Aux 보안필드 검색(S330)이다. 각 검색단계는 다음과 같은 특징을 지닌다.
FCF(Frame Control Field) 필드검색(S310)단계에서는 암호화기능선택여부 확인,PAN ID확인 및 Source 와 Destination 주소 모드 확인을 수행한다.
FCF필드의 security enabled 서브필드 값이 ‘1’인 경우 암호화 기능 선택의 사용을 의미한다. PAN ID압축 서브필드가 ‘1’인 경우는 Source & Destination 주소가 모두 사용됨에도 불구하고, Source & Destination 주소에 대응하는 PAN ID가 동일하여 하나의 PAN ID만을 사용함을 나타낸다. Source & Destination 주소모드 서브필드는 각각에 대해 PAN ID와 주소가 생략되어 사용되지 않는 경우, 16비트 주소를 사용하는 경우 그리고 64비트 주소를 사용하는 경우를 나타낸다.
어드레스필드 검색(S320)단계에서는 FCF필드검색 단계(S310)에서 확인한 Source 주소모드를 기초로 NONCE 조립을 위한 Source 주소를 확인한다. Source 주소가 8바이트인 경우에는 IEEE802.15.4에 나타난 방법에 의해 nonce 조립을 한다. 그러나 패킷에 포함된 Source 주소가 간략화된 2바이트 주소인 경우, 2바이트 주소를 8바이트 주소로 변환하여 사용하는 제 1방법에 의한 Nonce조립 방법(S321)과, 도 9의 방법(S921)에 의해 nonce를 조립하는 제 2방법에 의한 Nonce를 조립하는 방법이 있다.
제 1방법에 의한 NONCE의 조립 방법은(S321) 8 바이트의 주소와 2바이트로 단축된 주소간의 변환이 필요하다. 따라서 송신 단말은 자신의 소스 주소8 바이트의 주소와 2 바이트의 단축주소간 변환대응표(S321)를 유지하여, 직접 변환 기능을 선택적으로 제공한다.
Aux 보안필드 검색(S330)단계에서는 암호화(보안)수준서브필드 값 3비트와 프레임계수 서브필드를 확인한다. 보안수준 서브필드 값으로 인증정보의 생성/검사를 하는 인증기능과, 암호/복호화 기능의 조합을 결정하게 된다. 본 발명은 인증정 보생성과 암호화 모두를 암호화라 하고, 인증정보 검사 및 복호화 모두를 복호화라 하며, 이들 조합 모두에 사용할 수 있다. 프레임계수 서브필드는 프레임에 따라 할당하는 4바이트의 연속하는 값으로 Nonce조립에 사용한다.
도 4 는 암호화전처리부에서 도 3의 검색단계를 통해 얻어진 검색정보를 이용하여 암호화입력정보를 생성하는 단계를 도시한다. 암호화입력정보를 생성하는 단계는 NONCE 정보를 생성하고(S410), 그 후 암호화 정보인 aData/mData를 생성한다.
NONCE 정보를 생성하는 단계(S410)에서는 도 3에 도시된 바와 관련하여 설명된 검색단계에서 파악된 소스주소가 8바이트소스주소 인 경우와 2바이트소스주소인 경우가 다르다.
도 3에 도시된 바와 관련하여 설명된 검색단계에서 파악된 소스주소가 8바이트소스주소 인 경우는, IEEE802.15.4 MAC security 기능에서 8바이트 주소를 사용하여 nonce를 구성하는 방법으로 제안하고 있는 (Source 주소(411), 8 바이트)||(프레임계수(412), 4 바이트)|| (암호화수준(413), 1바이트)의 13바이트로 구성한다.
도 3에 도시된 바와 관련하여 설명된 검색단계에서 파악된 소스주소가 8바이트소스주소가 아니고 2바이트의 단축된 소스주소인 경우는, 다음의 두 가지 방법으로 Nonce 정보를 생성할 수 있다. 제 1 NONCE 정보생성방법을 이용할 것인지 제 2 NONCE 정보생성방법을 이용할지 여부는 시스템에서 기설정된 사항으로 가정한다.
1) 제 1 NONCE 정보생성방법
도 3에 도시된 바와 관련하여 설명된 검색단계에서 파악된 8바이트소스어드레스주소(411), 프레임계수(412), 암호화수준(413) 이용하여 Nonce를 다음과 같이 구성한다. 제 1 NONCE 정보생성방법을 사용하는 경우, MAC 하드웨어는 2바이트와 8바이트 주소변환대응표를 포함한다. 보다 상세한 설명은 도 8을 참고한다.
즉, IEEE802.15.4 MAC security 기능에서 8바이트 주소를 사용하는 nonce 구성은 (Source 주소(411), 8 바이트)||(프레임계수(412), 4 바이트)|| (암호화수준(413), 1바이트)의 13바이트로 구성된다.
2) 제 2 NONCE 정보생성방법
Source 주소가 8 바이트인 경우는 현재와 동일하게 IEEE802.15.4 MAC security 규격에서 권고하는 방법을 사용하나 2 바이트인 경우는 8 바이트의 Source 주소를 사용치 않고, nonce 구성은 (프레임 길이, 1octet)|(순서번호, 1octet)|(Dest.Addr, 2바이트)|(Src. PAN ID, 2바이트)|(Src.Addr, 2바이트)로 구성된다.
제 1 NONCE 정보생성방법은 변환을 위한 별도 주소변환대응표를 유지하기 위해 별도의 저장장소를 관리하고, MAC계층에서 주소 변환 정보를 관리해야 하나, 제 2 NONCE 정보생성방법은 이러한 불편함을 덜어주는 이점이 있다. 보다 상세한 설명은 도 9을 참고한다.
인증을 위한 플래그값(414) 및 암호화를 위한 플래그값(415)과 nonce 정보와 조합하여 내부 동작에 필요한 B값(416)을 생성한다.
암호화 정보인 aData/mData를 생성하는 단계(S420)에서는 암호화수준(413)에 기초하여 변조가 발생하였는지를 파악하기 위한 인증데이터 aData(421)와 암호화(encryption) 데이터인 mData(422)를 생성한다.
도 5 및 도 6 는 복호화전처리부에서 암호화에 필요한 정보를 검색하여 복호화 입력정보 NONCE와 aData/cData를 생성하는 과정을 도시한다.
먼저, 도 5 는 복호화전처리부에서 복호화 입력 정보를 생성하기 위해 수행되는 검색단계를 도시한다. 물리계층(140)에서 응용소프트웨어(100)로 수신된 패킷이 복호화 전처리가 필요한 경우, 수신 패킷의 헤더에서 복호화 입력정보를 생성하기 위해 필요한 정보를 추출하기 위해 다음의 세 단계의 검색이 순차적으로 수행한다. 수신패킷의 FCF필드 검색(S510), 어드레스필드 검색(S520), Aux 보안필드 검색(S530)이다. 각 검색단계는 도 3에서 설명한 것과 수행하는 기능이 실질적으로 대응되거나 유사하므로 도 3 부분을 참고한다.
통신하는 노드간 상호 접속 과정이 완료되면 2 바이트의 단축 주소를 사용한다. 따라서 NONCE의 조합을 위해서는 8 바이트의 주소와 2바이트로 단축된 주소간의 변환이 필요하다. 따라서 다만, 어드레스필드 검색(S520)단계에서 주소가 2바이트인 경우는 도 7의 절차에서 확보한 정보를 기초로 주소변환을 수행한다(S521).
IEEE802.15.4와 같이 스타(star) 구조의 망에서 각 단말은 자신과 접속하는 코디네이터 소스의 주소만을 알면 되므로 별 문제가 없으나, 코디네이터는 단축 주소를 사용하여 접속하는 모든 단말의 8바이트 주소를 알아야 한다. 따라서 8 바이트의 주소와 2 바이트의 단축주소간 변환이 가능한 상위 응용계층 기능의 도움을 받아야 하는 번거로움이 발생한다. 이러한 번거로움을 피하기 위해 MAC 계층에서 별도 주소변환대응표를 유지하여, 직접 변환할 수 있는 기능을 선택적으로 제공하는 것이다.
도 6 은 복호화전처리부에서 도 5의 검색단계를 통해 얻어진 검색정보를 이용하여 복호화입력정보를 생성하는 단계를 도시한다. 도 6에서 복호화입력정보는 Nonce 정보를 생성하는 단계(S510)와 복호화정보인 aData/cData를 생성하는 단계(S520)으로 구성된다. 도 6 의 각 단계는 도 4와 실질적으로 대응되는 단계로서 구체적인 설명은 도 4를 참고한다.
다만, Nonce에서 생성단계(S610)에서 생성되는 플래그 값이 인증을 위한 플래그값과, 복호화를 위한 플래그값이란 점과, 복호화입력정보로서 aData/cData를 생성하는 단계(S620)에서는 변조가 발생하였는지를 파악하기 위한 인증데이터 aData와 복호화(decryption) 데이터인 cData를 생성한다는 차이가 있다.
도 7 은 IEEE 802.15.4 규격에 정의된 도면으로서, 8바이트 주소와 2바이트 주소간 변환이 발생하는 단말과 코디네이터간 접속과정의 메시지 흐름을 도시한다.
본 발명은 8 바이트의 주소와 2 바이트의 주소변환대응표 관리를 위해 결합확인 메시지(MLME-ASSOCIATE.response (DeviceAddress, AssocShortAddress, status, SecurityLevel, KeyIdMode, KeySource, KeyIndex )) 훔쳐보기 방법을 사용한다.
주소변환대응표는 단순히 8바이트와 2바이트의 변환을 하는 표로서, 순환표를 사용하여 자연적으로 최대 연결수와 연결시간을 제한하는 효과를 나타낼 수 있다. 그러나 본 발명에서는 표는 다양한 구현방법을 통해 구현이 가능하다.
도 8 은 본 발명의 바람직한 일 실시예로서, 제 1 NONCE 정보생성방법의 흐름도를 도시한다.
응용소프트웨어에서 물리계층으로 하향송신된 메시지인 경우(S810), 8바이트 자신의 주소를 참조하여 NONCE 정보를 생성하고(S811) 암호화 기능을 시작한다(S812). 8바이트 주소를 사용하는 nonce 구성은 (Source 주소(411), 8 바이트)||(프레임계수(412), 4 바이트)|| (암호화수준(413), 1바이트)의 13바이트로 구성된다.
물리계층에서 응용소프트웨어로 상향수신된 메시지인 경우(S820), 소스주소가 8바이트인지 판단한다(S830). 소스 주소가 2바이트인 경우, 주소변환대응표(S521)에 등록되어 있는 주소인지를 확인한다. 주소변환대응표(S521)에 등록되어 있는 주소인 경우에는 주소를 변환한 이후, 복호화 기능을 시작한다. 주소변환대응표(S521)에 등록되어 있는 주소가 아닌 경우에는, 기존 방법에 따라 암호화를 수행하거나 또는 폐기한다(S842).
소스주소가 8바이트인 경우, 메시지가 결합확인메시지(도 7의 Association response)포맷인지 판단(S850)한다. 결합확인메시지포맷인 경우, 주소변환대응표에 수신 패킷의 소스의 주소값을 갱신한 후(S851) 복호화 기능을 수행한다. 결합확인메시지포맷이 아닌 경우에는 바로 복호화 기능을 수행한다(S852).
도 9 는 본 발명의 바람직한 일 실시예로서, 제 2 NONCE 정보생성방법의 흐름도를 도시한다.
응용소프트웨어에서 물리계층으로 하향송신된 메시지인 경우(S910), 소스주 소가 8바이트인지 판단한다(S920). 8바이트주소가 아닌 경우, 8 바이트의 Source 주소를 사용치 않고, nonce 구성은 (프레임 길이, 1octet)|(순서번호, 1octet)|(Dest.Addr, 2바이트)|(Src. PAN ID, 2바이트)|(Src.Addr, 2바이트)로 구성된다(S921). 8바이트주소인 경우에는 소스 주소를 이용하여 IEEE 802.15.4 표준에 따라 암호화 기능을 시작한다(S922).
물리계층에서 응용소프트웨어로 상향수신된 메시지인 경우(S930), 소스주소가 8바이트인지 판단한다(S940). 소스 주소가 2바이트인 경우, nonce 구성은 (프레임 길이, 1octet)|(순서번호, 1octet)|(Dest.Addr, 2바이트)|(Src. PAN ID, 2바이트)|(Src.Addr, 2바이트)로 구성된다(S941). 8바이트주소인 경우에는 소스 주소를 이용하여 IEEE 802.15.4 표준에 따라 복호화 기능을 시작한다(S942).
본 발명에서 제안하고 있는 제1 방법 및 제 2 방법에 의한 NONCE조립방법이외에도, Nonce 구성은 (프레임 길이, 1octet)|(순서번호, 1octet)|(Dest.Addr, 2바이트)|(Src. PAN ID, 2바이트)|(Src.Addr, 2바이트)와 같이 사용할 수 있다.
이 경우, 중복된 NONCE는 사용할 수 없으므로, NONCE가 중복될 경우 key의 변경이 필요하다. 따라서 중복없이 사용할 수 있는 NONCE의 영역을 확대하는 것은 Key의 수명 연장과 같다. 이 방법은 선택적으로 (순서번호, 1바이트)의 증가로 동일한 값이 나타나게 되는 경우 (프레임계수, 4 바이트)를 증가시키는 방법을 사용하면 key의 수명을 연장할 수 있는 장점도 있다.
또 다른 일 실시예로는, 수명 연장이 필요치 않은 경우는 단순화하여 source와 destination의 주소를 사용하여 Nonce 구성을 (Dest PAN ID, 2바이트 )|(Dest.Addr, 2바이트)|(Src. PAN ID, 2바이트)|(Src.Addr, 2바이트)로 대체하여 사용할 수 있다.
Nonce의 사용은 암호화에 필요한 정보의 반복을 피하기 위해 사용하므로 8바이트 주소를 대신하여 단축주소를 사용하는 경우 발생할 수 있는 문제점은 동일한 암호key를 사용하는 지역적인 유일성의 보장 문제이다.
따라서, 또 다른 실시예로서 통상 동일 지역에서 Nonce 구성을 [(Source PAN ID, 2octets)||(Source Address, 2octets)]로 하여 제한된 영역에서의 지역적인 유일성은 보장하면서 사용이 가능하다.
도 10은 본 발명의 바람직한 일 실시예로서, MAC 하드웨어 전처리장치의 구성을 도시한다.
MAC 하드웨어 전처리장치는 암호화전처리부(1020)와 복호화전처리부(1030)를 포함한다. 또한, 암호화전처리부(1020)는 암호화전처리검색부(1021)와 암호화정보생성부(1022)를 포함하고, 복호화전처리부(1030)는 복호화전처리검색부(1031)와 복호화정보생성부(1032)를 포함한다.
암호화전처리검색부(1021)는 응용소프트웨어에서 전송된 패킷의 헤더를 추출하여 FCF필드, 어드레스필드 및 Aux Security 필드를 순차적으로 검색한다. 암호화전처리검색부(1021)의 구체적인 기능은 도 3과 관련된 설명을 참고한다.
암호화정보생성부(1022)는 암호화전처리검색부(1021)에서 검색된 정보를 기초로 Nonce 정보, 인증데이터 정보 및 암호화데이터 정보를 포함하는 암호화입력정보를 생성한다. 암호화정보생성부(1022)의 구체적인 기능은 도 4와 관련된 설명을 참고한다.
복호화전처리검색부(1031)는 물리계층에서 전송된 패킷의 헤더를 추출하여 FCF필드, 어드레스필드 및 Aux Security 필드를 순차적으로 검색한다. 복호화전처리검색부(1031)의 구체적인 기능은 도 5와 관련된 설명을 참고한다.
복호화정보생성부(1032)는 복호화전처리검색부(1031)에서 검색된 정보를 기초로 Nonce 정보, 인증데이터 정보 및 복호화데이터 정보를 포함하는 복호화입력정보를 생성한다. 복호화정보생성부(1032)의 구체적인 기능은 도 6과 관련된 설명을 참고한다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다.
컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플라피 디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이상 도면과 명세서에서 최적 실시예들이 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것 은 아니다.
그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
도 1 은 본 발명의 일 실시예로서, 암호화 및 복호화 전처리 기능이 적용된 MAC 하드웨어의 내부 구성을 도시한다.
도 2는 MAC 하드웨어에서 본 발명의 암호화 및 복호화 전처리 기능을 적용할 것인지를 판단하는 흐름도를 도시한다.
도 3 은 암호화전처리부에서 암호화를위한 입력 정보를 생성하기 위해 수행하는 검색단계를 도시한다.
도 4 는 암호화전처리부에서 도 3의 검색단계를 통해 얻어진 검색정보를 이용하여 암호화 전처리기능을 수행하기 위해 암호화 입력정보를 생성하는 단계를 도시한다.
도 5 는 복호화전처리부에서 복호화 입력 정보를 생성하기 위해 수행되는 검색단계를 도시한다.
도 6 은 복호화전처리부에서 도 5의 검색단계를 통해 얻어진 검색정보를 이용하여 복호화입력정보를 생성하는 단계를 도시한다.
도 7 은 IEEE 802.15.4 규격에 정의된 도면으로서, 8바이트 주소와 2바이트 주소간 변환이 발생하는 단말과 코디네이터간 접속과정의 메시지 흐름을 도시한다.
도 8 은 본 발명의 바람직한 일 실시예로서, 제 1 NONCE 정보생성방법의 흐름도를 도시한다.
도 9 는 본 발명의 바람직한 일 실시예로서, 제 2 NONCE 정보생성방법의 흐름도를 도시한다.
도 10은 본 발명의 바람직한 일 실시예로서, MAC 하드웨어 전처리장치의 구성을 도시한다.

Claims (20)

  1. 응용소프트웨어에서 전송된 패킷의 헤더를 추출하여 FCF필드, 어드레스필드 및 Aux Security 필드를 순차적으로 검색하는 암호화전처리검색부;
    상기 암호화전처리검색부에서 검색된 정보를 기초로 Nonce 정보, 인증데이터 정보 및 암호화데이터 정보를 포함하는 암호화입력정보를 생성하는 암호화정보생성부;
    물리계층에서 전송된 패킷의 헤더를 추출하여 FCF필드, 어드레스필드 및 Aux Security 필드를 순차적으로 검색하는 복호화전처리검색부;및
    상기 복호화전처리검색부에서 검색된 정보를 기초로 Nonce 정보, 인증데이터 정보 및 복호화데이터 정보를 포함하는 복호화입력정보를 생성하는 복호화정보생성부;를 포함하는 것을 특징으로 하는 MAC 하드웨어 전처리장치.
  2. 제 1 항에 있어서, 상기 Nonce 정보는 IEEE802.15.4 규격에 따라
    ((Source 주소(411), 8 바이트)||(프레임계수(412), 4 바이트)|| (암호화수준(413), 1바이트))로 구성되는 것을 특징으로 하는 MAC 하드웨어 전처리장치.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 어드레스필드는 2바이트로 단축된소스주소와 8바이트 소스주소간 대응되는 주소를 변환한 표인 주소변환대응표를 포함하는 것을 특징으로 하는 MAC 하드 웨어 전처리장치.
  4. 제 2 항에 있어서,
    상기 Nonce 정보 구성시 결합확인메시지 훔쳐보기(snooping)를 이용하는 것을 특징으로 하는 MAC 하드웨어 전처리장치.
  5. 제 1 항에 있어서,
    소스주소가 8바이트주소가 아닌 경우, 상기 Nonce 정보는 ((프레임 길이, 1octet)|(순서번호, 1octet)|(Dest.Addr, 2바이트)|(Src. PAN ID, 2바이트)|(Src.Addr, 2바이트))로 구성되는 것을 특징으로 하는 MAC 하드웨어 전처리장치.
  6. 제 1 항에 있어서,
    상기 암호화전처리검색부에서 상기 FCF필드는 암호화전처리 기능이 선택되었는지 여부, PAN(영어원문) ID 압축확인 및 소스와 목적지 주소모드를 확인하고
    상기 복호화전처리검색부에서 상기 FCF필드는 복호화전처리 기능이 선택되었는지 여부, PAN ID 압축확인 및 소스와 목적지 주소모드를 확인하는 것을 특징으로 하는 MAC 하드웨어 전처리장치.
  7. 제 1 항에 있어서,
    상기 어드레스필드는 Nonce조립을 위해 소스 주소를 확인하는 것을 특징으로 하는 MAC 하드웨어 전처리장치.
  8. 제 1 항에 있어서, 상기 암호화전처리검색부에서 상기 Aux Security필드는 암호화수준 및 Nonce를 위한 프레임계수를 확인하고상기 복호화전처리검색부에서 상기 Aux Security필드는 복호화수준 및 Nonce를 위한 프레임계수를 확인하는 것을 특징으로 하는 MAC 하드웨어 전처리장치.
  9. 제 1 항에 있어서,
    상기 인증데이터 정보 및 상기 암호화데이터 정보는 각각 aData 및 mData인 것을 특징으로 하는 MAC 하드웨어 전처리장치.
  10. 제 1 항에 있어서,
    상기 인증데이터 정보 및 상기 복호화데이터 정보는 각각 aData 및 cData인 것을 특징으로 하는 MAC 하드웨어 전처리장치.
  11. 암호화전처리부 및 복호화전처리부를 포함하는 MAC 하드웨어에서 전처리수행방법으로서,
    암호화전처리부에서 응용소프트웨어에서 전송된 패킷의 헤더를 추출하여 FCF필드, 어드레스필드 및 Aux Security 필드를 순차적으로 검색하는 암호화전처리검색단계;
    상기 검색된 정보를 기초로 Nonce 정보, 인증데이터 정보 및 암호화데이터 정보를 포함하는 암호화입력정보를 생성하는 암호화정보생성단계;
    복호화전처리부에서 물리계층에서 전송된 패킷의 헤더를 추출하여 FCF필드, 어드레스필드 및 Aux Security 필드를 순차적으로 검색하는 복호화전처리검색단계;및
    상기 복호화전처리검색단계에서 검색된 정보를 기초로 Nonce 정보, 인증데이터 정보 및 복호화데이터 정보를 포함하는 복호화입력정보를 생성하는 복호화정보생성단계;를 포함하는 것을 특징으로 하는 MAC하드웨어에서 전처리수행방법.
  12. 제 11 항에 있어서, 상기 Nonce 정보는 IEEE802.15.4 규격에 따라
    ((Source 주소(411), 8 바이트)||(프레임계수(412), 4 바이트)|| (암호화수준(413), 1바이트))로 구성되는 것을 특징으로 하는 MAC하드웨어에서 전처리수행방법.
  13. 제 11 항 또는 제 12 항에 있어서,
    상기 어드레스필드는 2바이트로 단축된소스주소와 8바이트 소스주소간 대응되는 주소를 변환한 표인 주소변환대응표를 포함하는 것을 특징으로 하는 MAC하드웨어에서 전처리수행방법.
  14. 제 12 항에 있어서,
    상기 Nonce 정보 구성시 결합확인메시지 훔쳐보기(snooping)를 이용하는 것을 특징으로 하는 MAC하드웨어에서 전처리수행방법.
  15. 제 11 항에 있어서,
    소스주소가 8바이트주소가 아닌 경우, 상기 Nonce 정보는 ((프레임 길이, 1octet)|(순서번호, 1octet)|(Dest.Addr, 2바이트)|(Src. PAN ID, 2바이트)|(Src.Addr, 2바이트))로 구성되는 것을 특징으로 하는 MAC하드웨어에서 전처리수행방법.
  16. 제 11 항에 있어서,
    상기 암호화전처리검색단계에서 상기 FCF필드는 암호화전처리 기능이 선택되었는지 여부, PAN(영어원문) ID 압축확인 및 소스와 목적지 주소모드를 확인하고
    상기 복호화전처리검색단계에서 상기 FCF필드는 복호화전처리 기능이 선택되었는지 여부, PAN ID 압축확인 및 소스와 목적지 주소모드를 확인하는 것을 특징으로 하는 MAC하드웨어에서 전처리수행방법.
  17. 제 11 항에 있어서,
    상기 어드레스필드는 Nonce조립을 위해 소스 주소를 확인하는 것을 특징으로 하는 MAC하드웨어에서 전처리수행방법.
  18. 제 11 항에 있어서, 상기 암호화전처리검색단계에서 상기 Aux Security필드는 암호화수준 및 Nonce를 위한 프레임계수를 확인하고 상기 복호화전처리검색단계에서 상기 Aux Security필드는 복호화수준 및 Nonce를 위한 프레임계수를 확인하는 것을 특징으로 하는 MAC하드웨어에서 전처리수행방법.
  19. 제 11 항에 있어서,
    상기 인증데이터 정보 및 상기 암호화데이터 정보는 각각 aData 및 mData인 것을 특징으로 하는 MAC하드웨어에서 전처리수행방법.
  20. 제 11 항에 있어서,
    상기 인증데이터 정보 및 상기 복호화데이터 정보는 각각 aData 및 cData인 것을 특징으로 하는 MAC하드웨어에서 전처리수행방법.
KR1020070132731A 2007-12-17 2007-12-17 Mac하드웨어 전처리장치 및 방법 KR100932924B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070132731A KR100932924B1 (ko) 2007-12-17 2007-12-17 Mac하드웨어 전처리장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070132731A KR100932924B1 (ko) 2007-12-17 2007-12-17 Mac하드웨어 전처리장치 및 방법

Publications (2)

Publication Number Publication Date
KR20090065252A KR20090065252A (ko) 2009-06-22
KR100932924B1 true KR100932924B1 (ko) 2009-12-21

Family

ID=40993647

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070132731A KR100932924B1 (ko) 2007-12-17 2007-12-17 Mac하드웨어 전처리장치 및 방법

Country Status (1)

Country Link
KR (1) KR100932924B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230027369A (ko) * 2021-08-18 2023-02-28 한국전자통신연구원 무인 이동체, 무인 이동체의 중요 정보 보호 기능을 제공하는 소스 파일을 생성하는 장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050055118A (ko) * 2003-12-05 2005-06-13 삼성전자주식회사 고속 개인용 무선 네트워크에서의 브릿지 디바이스를선정하기 위한 프레임 구조와 그에 따른 선정 방법
KR20060030874A (ko) * 2006-03-21 2006-04-11 주식회사 아이웨어 아이이이이 802.15.4 네트워크의 확인 프레임용 장치 인증프로토콜

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050055118A (ko) * 2003-12-05 2005-06-13 삼성전자주식회사 고속 개인용 무선 네트워크에서의 브릿지 디바이스를선정하기 위한 프레임 구조와 그에 따른 선정 방법
KR20060030874A (ko) * 2006-03-21 2006-04-11 주식회사 아이웨어 아이이이이 802.15.4 네트워크의 확인 프레임용 장치 인증프로토콜

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230027369A (ko) * 2021-08-18 2023-02-28 한국전자통신연구원 무인 이동체, 무인 이동체의 중요 정보 보호 기능을 제공하는 소스 파일을 생성하는 장치
KR102592874B1 (ko) * 2021-08-18 2023-10-25 한국전자통신연구원 무인 이동체, 무인 이동체의 중요 정보 보호 기능을 제공하는 소스 파일을 생성하는 장치

Also Published As

Publication number Publication date
KR20090065252A (ko) 2009-06-22

Similar Documents

Publication Publication Date Title
EP3739850B1 (en) Device identifier dependent operation processing of packet based data communication
US8996626B2 (en) Terminal and intermediate node in content oriented networking environment and communication method of terminal and intermediate node
EP1517513A2 (en) Communication apparatus and method, and program for applying security policy
US9679022B2 (en) Name database server, name resolution system, entry search method and entry search program
RU2012127571A (ru) Способ и устройство для передачи кадра в системе беспроводной ran (сети радиодоступа)
CN103765847A (zh) 用于媒体访问控制头部压缩的装置和方法
JP2002502188A (ja) ネットワーク上のデスティネーションへ送信されたデータの経路決めをするドメイン名を使用するためのシステムおよび方法
JP2006121510A (ja) 暗号化通信システム
US20190394305A1 (en) Apparatus for managing sdn-based in-vehicle network and control method thereof
US7228131B2 (en) IPv6/IPv4 tunneling method
US20080172467A1 (en) Store-and-forward messaging channel for occasionally connected mobile applications
US20170155650A1 (en) Method, Device and System for Obtaining Local Domain Name
CN114339632B (zh) 一种基于sm4分组加密算法的北斗短报文加解密方法
CN105119900A (zh) 信息安全传输方法、联网接入方法及相应的终端
CN102238059A (zh) 数据报文处理方法、系统及接入服务节点
KR100896438B1 (ko) IPv6를 IPv4네트워크망으로 터널링하기 위한 시스템및 IPv6패킷 변환방법
JP3296514B2 (ja) 暗号通信端末
CN107979619B (zh) 一种twamp会话协商方法、客户端及服务端
CN102447626A (zh) 具有策略驱动路由的主干网
KR100932924B1 (ko) Mac하드웨어 전처리장치 및 방법
Dua et al. Covert communication using address resolution protocol broadcast request messages
CN106685979B (zh) 基于STiP模型的安全终端标识及认证方法及系统
CN116566897A (zh) 一种寻址路由方法、装置、设备及介质
WO2023061158A1 (zh) 加解密方法、装置及计算机可读存储介质
CN106470156B (zh) 一种转发报文的方法和装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121129

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20131128

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee