KR101081773B1 - Data encryption/decryption equipment and method in the physical layer of ethernet lan - Google Patents
Data encryption/decryption equipment and method in the physical layer of ethernet lan Download PDFInfo
- Publication number
- KR101081773B1 KR101081773B1 KR1020100057070A KR20100057070A KR101081773B1 KR 101081773 B1 KR101081773 B1 KR 101081773B1 KR 1020100057070 A KR1020100057070 A KR 1020100057070A KR 20100057070 A KR20100057070 A KR 20100057070A KR 101081773 B1 KR101081773 B1 KR 101081773B1
- Authority
- KR
- South Korea
- Prior art keywords
- ethernet frame
- encrypted
- frame
- data
- encryption
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0625—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Abstract
Description
본 발명은 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 장치 및 방법에 관한 것으로서, 더 상세하게는 이더넷 LAN 환경 하에서 물리 계층상의 데이터를 암호화하여 보안을 강화한 데이터 보안 장치 및 이를 이용한 데이터 보안 방법에 대한 것이다.
The present invention relates to a physical layer data security device and method for frame security in an Ethernet LAN, and more particularly, to a data security device for enhancing security by encrypting data on a physical layer in an Ethernet LAN environment, and a data security method using the same. will be.
일반적으로 IEEE 802.3의 이더넷 LAN에서 단말 상호간의 데이터 교환 시에는 프레임 형태로 전송하게 되는 데 이 프레임 전송에 있어서 물리 계층에서의 보안에 대한 규정은 없다. In general, when the data exchange between terminals in the Ethernet LAN of IEEE 802.3 is transmitted in the form of a frame, there is no provision for security at the physical layer in this frame transmission.
도 1은 일반적인 이더넷 LAN의 구조이다. 도 1에서 보듯이 이더넷 LAN은 단일망(130)에 여러 단말(110a 내지 110n, 120a 내지 120n) 및 서버(100)를 연결한 형태로 되어 있다. 1 is a structure of a general Ethernet LAN. As shown in FIG. 1, the Ethernet LAN has a form in which
이러한 이더넷 LAN 환경 하에서는 침입자가 망에 용이하게 접근할 수 있으며, 이로 인한 정보 유출의 가능성이 있다. 부연하면 보안에 취약한 단점이 있었다. In such an Ethernet LAN environment, an intruder can easily access the network, and there is a possibility of information leakage. In other words, there was a weakness in security.
따라서, 이러한 보안 취약성을 해소하기 위해서는 보안 기능의 추가적이 설치가 필수적이다. 또한, 유지보수를 고려하여 부가적인 장치가 요구된다.
Thus, additional installation of security features is essential to address these security vulnerabilities. In addition, an additional device is required in consideration of maintenance.
본 발명은 이더넷 LAN 환경 하에서 송수신되는 데이터에 대하여 물리 계층에서 이더넷 프레임 보안을 가능하게 하는 물리 계층 데이터 보안 장치를 제공하는데 그 목적이 있다. It is an object of the present invention to provide a physical layer data security device that enables Ethernet frame security at a physical layer for data transmitted and received under an Ethernet LAN environment.
또한, 본 발명은 이더넷 LAN 환경 하에서 송수신되는 이더넷 프레임을 암호화 및 복호화하는 방법을 제공하는데 다른 목적이 있다.
Another object of the present invention is to provide a method for encrypting and decrypting an Ethernet frame transmitted and received under an Ethernet LAN environment.
본 발명은 위에서 제기된 과제를 해결하기 위해, 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 장치를 제공한다. 이 물리 계층 데이터 보안 장치는, IEEE 802.3의 이더넷 프레임을 일시 저장하고 상기 이더넷 프레임의 물리 계층 헤더를 판별하기 위한 48-비트 시프트 레지스터부 및 16-비트 시프트 레지스터부; 상기 48-비트 시프트 및 16-비트 시프트 레지스터부가 상기 이더넷 프레임의 물리 계층 헤더의 비트 패턴을 읽어드려 상기 이더넷 프레임의 경계를 판별하고 상기 이더넷 프레임의 이더넷 프레임 경계 판별 신호를 생성하는 프레임 경계 판별 회로부; 상기 이더넷 프레임 경계 판별 신호에 준해 초기값이 설정되며 상기 이더넷 프레임의 수신 주소 필드, 발신 주소 필드 및 데이터 길이 필드의 비트가 입력될 때마다 상기 초기값으로부터 하향 계수하여 상기 초기값이 "0"이 되면 상기 이더넷 프레임의 데이터 필드에 대한 데이터 길이 판별 신호를 생성하여 상기 데이터 길이 판별 신호를 상기 16-비트 시프트 레지스터부에 전송하는 계수기부; 상기 데이터 길이 판별 신호에 따라 상기 이더넷 프레임의 데이터 길이 필드의 내용을 상기 제 16-비트 시프트 레지스터부로부터 입력받아 변환하고 상기 이더넷 프레임의 데이터 필드의 길이를 비트 단위로 환산한 값을 초기값으로 설정하여 하향 계수함으로써 상기 초기값이 "0"이 될 때까지 암호화 동작 신호를 생성하는 암호화 동작 신호 발생부; 상기 이더넷 프레임 경계 판별 신호에 따라 인가된 암호화 초기값을 이용하여 암호화 키를 생성하는 암호화 키 생성부; 상기 암호화 키와 암호화 동작 신호를 논리적(AND) 연산하여 상기 이더넷 프레임의 데이터 필드에서만 상기 암호화 키를 열어주는 역할을 하는 논리적(AND) 회로부; 및 상기 이더넷 프레임의 데이터 필드와 암호화 키를 배타적 논리합으로 암호화하여 암호화 이더넷 프레임을 생성하는 배타적 논리합(XOR) 회로부를 포함한다. The present invention provides a physical layer data security device for frame security in an Ethernet LAN, in order to solve the problems posed above. The physical layer data security device includes: a 48-bit shift register section and a 16-bit shift register section for temporarily storing an Ethernet frame of IEEE 802.3 and determining a physical layer header of the Ethernet frame; A frame boundary discrimination circuit unit configured to determine the boundary of the Ethernet frame by generating the Ethernet frame boundary determination signal of the Ethernet frame by reading the bit pattern of the physical layer header of the Ethernet frame by the 48-bit shift and 16-bit shift register unit; The initial value is set according to the Ethernet frame boundary determination signal, and the initial value is counted down from the initial value whenever the bits of the reception address field, the originating address field, and the data length field of the Ethernet frame are input. A counter unit for generating a data length determination signal for a data field of the Ethernet frame and transmitting the data length determination signal to the 16-bit shift register unit; According to the data length determination signal, the contents of the data length field of the Ethernet frame are inputted from the sixteen-bit shift register unit and converted, and a value obtained by converting the length of the data field of the Ethernet frame in bits is set as an initial value. An encryption operation signal generator for generating an encryption operation signal until the initial value becomes "0" by counting down; An encryption key generator configured to generate an encryption key using an encryption initial value applied according to the Ethernet frame boundary determination signal; A logical (AND) circuit unit configured to logically operate the encryption key and an encryption operation signal to open the encryption key only in a data field of the Ethernet frame; And an exclusive-OR circuit (XOR) for generating an encrypted Ethernet frame by encrypting the data field and the encryption key of the Ethernet frame with an exclusive-OR.
또한, 본 발명의 다른 실시예에 따른 물리 계층 데이터 보안 장치는, IEEE 802.3 표준에 따른 암호화된 암호화 이더넷 프레임을 일시 저장하고 상기 암호화 이더넷 프레임의 물리 계층 헤더를 판별하기 위한 48-비트 시프트 레지스터부 및 16-비트 시프트 레지스터부; 상기 48-비트 시프트 및 16-비트 시프트 레지스터부가 상기 암호화 이더넷 프레임의 물리 계층 헤더의 비트 패턴을 읽어드려 상기 암호화 이더넷 프레임의 경계를 판별하고 상기 암호화 이더넷 프레임의 이더넷 프레임 경계 판별 신호를 생성하는 프레임 경계 판별 회로부; 상기 이더넷 프레임 경계 판별 신호에 준해 초기값이 설정되며 상기 암호화 이더넷 프레임의 수신 주소 필드, 발신 주소 필드 및 데이터 길이 필드의 비트가 입력될 때마다 상기 초기값으로부터 하향 계수하여 상기 초기값이 "0"이 되면 상기 암호화 이더넷 프레임의 데이터 길이 필드에 대한 데이터 길이 판별 신호를 생성하여 상기 데이터 길이 판별 신호를 상기 16-비트 시프트 레지스터부에 전송하는 계수기부; 상기 데이터 길이 판별 신호에 따라 상기 암호화 이더넷 프레임의 데이터 길이 필드의 내용을 상기 제 16-비트 시프트 레지스터부로부터 입력받아 변환하고 상기 암호화 이더넷 프레임의 데이터 필드의 길이를 비트 단위로 환산한 값을 초기값으로 설정하여 하향 계수함으로써 상기 초기값이 "0"이 될 때까지 복호화 동작 신호를 생성하는 복호화 동작 신호 발생부; 상기 이더넷 프레임 경계 판별 신호에 따라 인가된 복호화 초기값을 이용하여 복호화 키를 생성하는 복호화 키 생성부; 상기 복호화 키와 복호화 동작 신호를 논리적(AND) 연산하여 상기 암호화 이더넷 프레임의 암호화된 데이터 영역에서 복호화 키를 열어주는 역할을 하는 논리적(AND) 회로부; 및 상기 암호화 이더넷 프레임의 암호화된 데이터 필드와 복호화 키를 배타적 논리합으로 복호화하여 암호화되지 않은 이더넷 프레임을 생성하는 배타적 논리합(XOR) 회로부를 포함한다. In addition, the physical layer data security apparatus according to another embodiment of the present invention, 48-bit shift register unit for temporarily storing the encrypted encrypted Ethernet frame according to the IEEE 802.3 standard and to determine the physical layer header of the encrypted Ethernet frame; A 16-bit shift register section; A frame boundary in which the 48-bit shift and 16-bit shift registers read the bit pattern of the physical layer header of the encrypted Ethernet frame to determine the boundary of the encrypted Ethernet frame and generate an Ethernet frame boundary determination signal of the encrypted Ethernet frame Discrimination circuit section; The initial value is set according to the Ethernet frame boundary determination signal, and the initial value is counted down from the initial value every time the bits of the reception address field, the source address field, and the data length field of the encrypted Ethernet frame are input. A counter unit for generating a data length determination signal for the data length field of the encrypted Ethernet frame and transmitting the data length determination signal to the 16-bit shift register; In accordance with the data length determination signal, the contents of the data length field of the encrypted Ethernet frame are inputted from the sixteen-bit shift register unit and converted, and the value obtained by converting the length of the data field of the encrypted Ethernet frame in units of bits is an initial value. A decoding operation signal generator for generating a decoding operation signal until the initial value becomes "0" by setting the coefficient to down count; A decryption key generation unit generating a decryption key using an decryption initial value applied according to the Ethernet frame boundary determination signal; A logical (AND) circuit unit configured to logically operate the decryption key and a decryption operation signal to open a decryption key in an encrypted data region of the encrypted Ethernet frame; And an exclusive-OR circuit (XOR) for generating an unencrypted Ethernet frame by decrypting the encrypted data field and the decryption key of the encrypted Ethernet frame with an exclusive-OR.
또한, 물리 계층 데이터 보안 장치는 암호화 동작 또는 복호화 동작 동안 정상 상태를 표시하는 발광소자 구동부를 더 포함할 수 있다. In addition, the physical layer data security device may further include a light emitting device driver for displaying a normal state during the encryption operation or decryption operation.
이때, 상기 발광소자 구동부는 인버터 및 소정 값의 풀업 저항을 더 포함하는 것을 특징으로 한다. In this case, the light emitting device driver further comprises an inverter and a pull-up resistor of a predetermined value.
이때, 상기 암호화 동작 신호 발생부 또는 복호화 동작 신호 발생부는, At this time, the encryption operation signal generator or decryption operation signal generator,
상기 바이트로 표시된 데이터 길이 필드의 내용을 비트 단위로 환산하여 환산 값을 생성하는 24-비트 레지스터; 및 상기 환산 값을 초기값으로 설정하여 상기 초기값으로부터 하향 계수하여 동기를 맞추는 내부 계수기를 더 포함할 수 있다. A 24-bit register for converting the contents of the data length field expressed in bytes into bit units to generate a converted value; And an internal counter configured to set the converted value as an initial value and count down from the initial value to synchronize.
이때, 상기 암호화 동작 신호 또는 복호화 동작 신호는 상기 데이터 필드의 길이에 해당하는 구간만 "1"로 유지되고, 나머지 구간은 "0"인 것을 특징으로 한다. At this time, only the section corresponding to the length of the data field is maintained as "1", and the remaining section is "0".
여기서, 상기 초기값은 십진수 값으로 "112"이며, 상기 하향 계수의 단위는 "1"이고, 상기 "112"는 상기 이더넷 프레임 또는 상기 암호화 이더넷 프레임의 경계 판별 후 14 번째 바이트에 위치하는 데이터 길이 필드의 비트 환산 값인 것을 특징으로 한다. Here, the initial value is a decimal value "112", the unit of the down coefficient is "1", and "112" is a data length located in the 14th byte after determining the boundary of the Ethernet frame or the encrypted Ethernet frame. Characterized in that the bit conversion value of the field.
이때, 상기 암호화 키 생성부는, 암호화 소자; 상기 암호화 소자에 64-비트 블록 단위의 암호화 데이터를 제공하며 상기 프레임 경계 판별 회로부의 프레임 경계 판별 신호로부터 초기값을 전달받아 동작하는 64-비트 계수기; 및 상기 64-비트 계수기의 출력을 암호화 데이터로 입력받고 대칭키 암호 알고리즘을 사용하는 DES(Data Encryption Standard) 소자를 포함하는 것을 특징으로 한다. In this case, the encryption key generation unit, an encryption element; A 64-bit counter for providing encrypted data in a 64-bit block unit to the encryption element and receiving an initial value from a frame boundary determination signal of the frame boundary determination circuit unit; And a Data Encryption Standard (DES) device that receives the output of the 64-bit counter as encryption data and uses a symmetric key encryption algorithm.
이때, 상기 48-비트 시프트 레지스터부는 상기 이더넷 프레임 또는 암호화 이더넷 프레임의 프리엠블 필드 패턴의 일부(6 바이트)를 읽어 들인다. At this time, the 48-bit shift register reads a part (6 bytes) of a preamble field pattern of the Ethernet frame or the encrypted Ethernet frame.
또한, 상기 16-비트 시프트 레지스터부는 상기 이더넷 프레임 또는 암호화 이더넷 프레임의 프리엠블 필드 패턴의 일부(1 바이트), 프레임 시작 구분자 필드의 패턴 및 데이터 길이 필드를 읽어 들인다.The 16-bit shift register reads a portion (1 byte) of a preamble field pattern of the Ethernet frame or an encrypted Ethernet frame, a pattern of a frame start delimiter field, and a data length field.
한편, 본 발명의 또 다른 실시예는 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 방법을 제공한다. 이 물리 계층 데이터 보안 방법은, 암호화되지 않은 IEEE 802.3의 이더넷 프레임이 직렬로 입력되는 단계; 상기 이더넷 프레임의 물리 계층 헤더의 비트 패턴을 읽어드려 상기 이더넷 프레임의 경계를 판별하고 상기 이더넷 프레임의 이더넷 프레임 경계 판별 신호를 생성하는 단계; 상기 이더넷 프레임 경계 판별 신호에 따라 초기값을 설정하고 상기 초기값으로부터 상기 이더넷 프레임의 수신 주소 필드, 발신 주소 필드 및 데이터 길이 필드의 비트가 입력될 때마다 하향 계수되는 단계; 상기 초기값이 "0"에 도달되었는지를 판단하는 단계; 상기 초기값이 "0"에 도달하면, 암호화 동작 신호가 생성되어 상기 암호화 동작 신호에 따라 암호화 키를 생성하는 단계; 상기 암호화 키를 이용하여 상기 이더넷 프레임의 데이터 필드 구간만을 개폐하는 구간 개폐된 암호화 키를 생성하는 단계; 상기 이더넷 프레임과 구간 개폐된 암호화 키를 배타적 논리합(XOR) 연산을 하여 상기 이더넷 프레임의 데이터 필드 구간만 암호화된 암호화 이더넷 프레임을 생성하고 수신측에 전송하는 단계를 포함한다. Meanwhile, another embodiment of the present invention provides a physical layer data security method for frame security in an Ethernet LAN. This physical layer data security method comprises the steps of: serially inputting an unencrypted IEEE 802.3 Ethernet frame; Reading a bit pattern of a physical layer header of the Ethernet frame to determine a boundary of the Ethernet frame and generating an Ethernet frame boundary determination signal of the Ethernet frame; Setting an initial value according to the Ethernet frame boundary determination signal and counting down each time a bit of a reception address field, an originating address field, and a data length field of the Ethernet frame is input from the initial value; Determining whether the initial value has reached "0"; When the initial value reaches "0", generating an encryption operation signal to generate an encryption key according to the encryption operation signal; Generating a section-opened encryption key that opens and closes only a data field section of the Ethernet frame using the encryption key; And performing an exclusive OR operation on the encryption key opened and closed with the Ethernet frame to generate an encrypted Ethernet frame encrypted only with a data field section of the Ethernet frame, and transmitting the encrypted Ethernet frame to a receiver.
한편, 본 발명의 또 다른 실시예에 따른, 물리 계층 데이터 보안 방법은, 암호화된 IEEE 802.3의 암호화 이더넷 프레임이 직렬로 입력되는 단계; 상기 암호화 이더넷 프레임의 물리 계층 헤더의 비트 패턴을 읽어드려 상기 암호화 이더넷 프레임의 경계를 판별하고 상기 암호화 이더넷 프레임의 이더넷 프레임 경계 판별 신호를 생성하는 단계; 상기 이더넷 프레임 경계 판별 신호에 따라 초기값을 설정하고 상기 초기값으로부터 상기 암호화 이더넷 프레임의 수신 주소 필드, 발신 주소 필드 및 데이터 길이 필드의 비트가 입력될 때마다 하향 계수되는 단계; 상기 초기값이 "0"에 도달되었는지를 판단하는 단계; 상기 초기값이 "0"에 도달하면, 복호화 동작 신호가 생성되어 상기 복호화 동작 신호에 따라 복호화 키를 생성하는 단계; 상기 복호화 키를 이용하여 상기 암호화 이더넷 프레임의 데이터 필드 구간만을 개폐하는 구간 개폐된 복호화 키를 생성하는 단계; 상기 구간 개폐된 복호화 키와 상기 암호화 이더넷 프레임을 배타적 논리합(XOR) 연산을 하여 암호화되지 않은 이더넷 프레임을 생성하고 전송하는 단계를 포함한다. On the other hand, the physical layer data security method according to another embodiment of the present invention, the encrypted Ethernet frame of IEEE 802.3 is input in serial; Reading a bit pattern of a physical layer header of the encrypted Ethernet frame to determine a boundary of the encrypted Ethernet frame and generating an Ethernet frame boundary determination signal of the encrypted Ethernet frame; Setting an initial value according to the Ethernet frame boundary determination signal and counting down each time a bit of a reception address field, an originating address field, and a data length field of the encrypted Ethernet frame is input from the initial value; Determining whether the initial value has reached "0"; When the initial value reaches "0", generating a decryption operation signal to generate a decryption key according to the decryption operation signal; Generating a section-opened decryption key that opens and closes only a data field section of the encrypted Ethernet frame using the decryption key; Generating and transmitting an unencrypted Ethernet frame by performing an exclusive OR operation on the interval-opened decryption key and the encrypted Ethernet frame.
이 물리 계층 데이터 보안 방법은, 암호화 동작 또는 복호화 동작 동안 정상 상태임을 발광으로 표시하는 단계를 더 포함하는 것을 특징으로 한다. The physical layer data security method further comprises the step of indicating that the light is in a normal state during the encryption operation or the decryption operation.
이때, 상기 초기값은 십진수 값으로 "112"이며, 상기 하향 계수의 단위는 "1"이고, 상기 "112"는 상기 이더넷 프레임 또는 상기 암호화 이더넷 프레임의 경계 판별 후 14 번째 바이트에 위치하는 데이터 길이 필드의 비트 환산 값인 것을 특징으로 한다. In this case, the initial value is a decimal value "112", the unit of the downlink coefficient is "1", and "112" is a data length located in the 14th byte after determining the boundary of the Ethernet frame or the encrypted Ethernet frame. Characterized in that the bit conversion value of the field.
이때, 상기 암호화 동작 신호 또는 복호화 동작 신호는 상기 데이터 필드의 길이에 해당하는 구간만 "1"로 유지되고, 나머지 구간은 "0"인 것을 특징으로 한다.
At this time, only the section corresponding to the length of the data field is maintained as "1", and the remaining section is "0".
본 발명에 따르면, 물리 계층 데이터 보안 장치를 시스템 보드(즉 마더 보드)에 간편하게 설치함으로써 물리 계층에서 이더넷 프레임에 대한 보안을 제공하는 것이 가능하다. According to the present invention, it is possible to provide security for an Ethernet frame at the physical layer by simply installing a physical layer data security device on a system board (ie, a motherboard).
또한, 본 발명의 다른 효과로서는 이더넷 프레임의 경계를 판별한 후 데이터 필드의 크기를 판별하여 이더넷 프레임의 여러 필드 중 프레임의 송수신에 관련한 필드 등을 제외한 데이터 필드만을 암호화/복호화함으로써 이더넷 LAN 환경의 물리 계층에서 보안을 구현하는 것이 가능하다는 점을 들 수 있다. In addition, another effect of the present invention is to determine the boundary of the Ethernet frame, and then determine the size of the data field to encrypt / decrypt only the data field except for the fields related to transmission and reception of frames among the various fields of the Ethernet frame. It is possible to implement security in a layer.
또한, 본 발명의 또 다른 효과로서는 이더넷 LAN 운용 중 보안이 요구되는 경우에 부가적으로 설치하여 기능 실현이 가능하게 하였음으로써 이더넷 LAN 시스템 운용의 효율성 및 시스템의 보안 측면에서 신뢰성을 향상시켰다는 점을 들 수 있다.
In addition, another effect of the present invention is to improve the reliability in terms of the efficiency of the Ethernet LAN system operation and the security of the system by additionally installing and enabling the function when the security is required during the operation of the Ethernet LAN. Can be.
도 1은 일반적인 이더넷 LAN의 구조를 보여주는 개념도이다.
도 2는 본 발명의 일 실시예에 따른 이더넷 프레임 보안을 위한 암호화 기능 블록도이다.
도 3은 본 발명의 일 실시예에 따른 이더넷 프레임의 구조이다.
도 4는 도 3의 이더넷 프레임 중 데이터 필드의 바이트 수를 그 내용으로 가지고 있는 데이터 길이 필드(340)의 내용을 전달받아 데이터 필드의 비트 수로 변환하는 내부 24-비트 레지스터의 구조이다.
도 5는 본 발명의 일 실시예에 따른 암호화하는 과정을 보여주는 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 암호화 동작 신호의 타이밍도이다.
도 7은 본 발명의 다른 일 실시예에 따른 암호화된 이더넷 프레임을 복호화하는 복호화 기능 블록도이다.
도 8은 본 발명의 다른 일 실시예에 따른 복호화하는 과정을 보여주는 흐름도이다. 1 is a conceptual diagram showing the structure of a general Ethernet LAN.
2 is a block diagram of an encryption function for Ethernet frame security according to an embodiment of the present invention.
3 is a structure of an Ethernet frame according to an embodiment of the present invention.
4 is a structure of an internal 24-bit register that receives the contents of the
5 is a flowchart illustrating a process of encrypting according to an embodiment of the present invention.
6 is a timing diagram of an encryption operation signal according to an embodiment of the present invention.
7 is a block diagram of a decryption function for decrypting an encrypted Ethernet frame according to another embodiment of the present invention.
8 is a flowchart illustrating a decoding process according to another embodiment of the present invention.
본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. The terms or words used in this specification and claims are not to be construed as limiting in their usual or dictionary meanings, and the inventors may appropriately define the concept of terms in order to best explain their invention in the best way possible. It should be interpreted as meaning and concept corresponding to the technical idea of the present invention based on the principle that the present invention.
따라서 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 실시예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 만족하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형 예들이 있을 수 있음을 이해하여야 한다.
Therefore, the embodiments described in the present specification and the configuration shown in the drawings are only the most preferred embodiments of the present invention, and do not satisfy all of the technical idea of the present invention, and various equivalents may be substituted for them at the time of the present application. It should be understood that there may be water and variations.
이하, 도면을 참조하며 본 발명의 일 실시예에 대하여 상세히 설명한다.Hereinafter, with reference to the drawings will be described in detail an embodiment of the present invention.
도 2는 본 발명의 일 실시예에 따른 이더넷 프레임 보안을 위한 암호화 기능 블록도이다. 도 2를 참조하면, 암호화 기능 블록도에는, 8 바이트(64 비트)인 이더넷 프레임을 일시 저장하고 이 이더넷 프레임의 헤더를 판별하기 위한 48-비트 시프트 레지스터부(210)와 16-비트 시프트 레지스터부(220), 64 비트로 구성된 시프트 레지스터(48-비트 시프트 레지스터와 16-비트 시프트 레지스터부를 더한 것임)의 비트 패턴을 판별하여 이더넷 프레임의 경계를 판별하기 위한 프레임 경계 판별 회로부(230), 상기 프레임 경계 판별 회로부(230)가 생성한 이더넷 프레임 경계 판별 신호에 준해 인가된 초기값으로 계수하여 데이터 길이 판별 신호를 발생시키는 계수기부(240), 상기 계수기부(240)가 생성한 데이터 길이 판별 신호의 동작 신호에 따라 이더넷 프레임의 데이터 필드만 암호화하여 주기 위한 신호 발생을 위한 암호화 동작 신호 발생부(250), 상기 프레임 경계 판별 회로부(230)가 생성한 이더넷 프레임 경계 판별 신호에 따라 인가된 암호화 초기값을 이용하여 암호화 키를 발생하여 주는 암호화 키 생성부(260), 암호화 키와 암호화 동작 신호를 논리적(AND) 연산하여 이더넷 프레임의 데이터 필드에서만 암호화 키를 열어주는 역할을 하는 논리적(AND) 회로부(270), 이더넷 프레임의 데이터 필드와 암호화 키를 배타적 논리합으로 암호화하여 주는 배타적 논리합(XOR) 회로부(280) 및 장치의 운용 중에 장치가 정상적으로 동작 중임을 운용자에게 알려주기 위한 발광소자 구동부(290) 등이 구성된다. 2 is a block diagram of an encryption function for Ethernet frame security according to an embodiment of the present invention. Referring to Fig. 2, in the encryption function block diagram, a 48-bit
여기서, 시프트 레지스터부(210 및 220)는 8-비트 레지스터를 복수 개로 사용하여 구성된다. Here, the
도 3은 본 발명의 일 실시예에 따른 이더넷 프레임의 구조이다. 도 3을 참조하면, 이더넷 프레임은 IEEE 802.3 표준 규격의 이더넷 프레임으로서, 프리엠블 필드(300)), 프레임 시작 구분자 필드(310), 수신 주소 필드(320), 발신 주소 필드(330), 데이터 길이 필드(340), 데이터 필드(350) 및 순환 여유 검사 필드(360) 등으로 구성된다. 입력되는 방향으로 이들 필드를 설명하면 다음과 같다.3 is a structure of an Ethernet frame according to an embodiment of the present invention. Referring to FIG. 3, the Ethernet frame is an Ethernet frame of the IEEE 802.3 standard and includes a preamble field 300), a frame
프리엠블 필드(300)는 0과 1이 반복되는 7 바이트(56 비트)로서 수신단에 이더넷 프레임의 입력을 알려주고 입력 데이터와 수신 타이밍을 동기화시키게 한다. The
시작 프레임 구분자(SFD: Start Frame Delimiter) 필드(310)는 IEEE 802.3 이더넷 프레임의 시작을 알리는 부분이며, 플래그(flag: 10101011)라고도 한다. 여기서, 마지막 2 비트가 11이면, 다음 필드는 수신 주소 필드(320)를 나타낸다.The Start Frame Delimiter (SFD)
수신 주소 필드(DA: Destination Address)(320)는 6 바이트이고, 수신할 단말기의 물리 주소가 들어 있다. A destination address field (DA) 320 is 6 bytes and contains a physical address of a terminal to be received.
발신 주소 필드(SA: Source Address)(330)는 6 바이트이고, 발신한 단말기의 물리 주소가 들어 있다. The source address field (SA) 330 is 6 bytes and contains the physical address of the originating terminal.
데이터 길이 필드(340)는 2 바이트로서 데이터 필드(350)의 길이를 나타낸다.
데이터 필드(350)는 상위 계층 프로토콜에서 캡슐화된 데이터를 전달하며, 보통 46 내지 1500 바이트가 된다. 물론 이는 가변 길이이며, 데이터 길이 필드(340)는 이 데이터 필드(350)의 바이트 수를 그 값으로 가지고 있다. The data field 350 carries data encapsulated in a higher layer protocol and is usually 46 to 1500 bytes. Of course, this is a variable length, and the
순환여유검사(cyclic redundancy check)(360)필드에는 망(예를 들면 도 1 의 130)을 통하여 데이터를 전송 시 수신단에서 수신한 데이터에 오류가 있는 지를 검사할 수 있도록 약정된 방식으로 계산한 검사값을 삽입한다.In the
여기서, 수신 주소 필드(320)와 발신 주소 필드(330) 및 데이터 길이 필드(340)가 합쳐져 14 바이트(303)가 된다. 또한, 프리엠블 필드(300), 프레임 시작 구분자 필드(310), 수신 주소 필드(320), 발신 주소 필드(330) 및 데이터 길이 필드(340)가 합쳐져 22 바이트(305)가 된다. Here, the
물론 물리 계층 헤더(301)는 프리엠블 필드(300)와 프레임 시작 구분자(310)가 합쳐져 8 바이트가 된다. Of course, the
도 4는 도 3의 이더넷 프레임 중 데이터 길이 필드(340)가 내용으로 가지고 있는 데이터 필드의 바이트 수를 데이터 필드의 비트 수로 변환하는 내부 24-비트 레지스터의 구조이다. 즉, 도 2에 도시된 암호화 동작 신호 발생부(250)에는 24-비트 레지스터(미도시)가 구비되는데, 이 24-비트 레지스터의 일정 영역(D3 내지 D18)에 16 비트의 데이터 길이 필드(도 3의 340)의 내용을 그대로 전달하여 24-비트 형식으로 변환한다. FIG. 4 is a structure of an internal 24-bit register for converting the number of bytes of a data field, which the
여기서 D0 내지 D2의 구간(430)과 D19 내지 D23의 구간(410)은 합이 8 비트로 "0"으로 고정되며, 나머지 D3 내지 D18의 구간(420)이 이더넷 프레임의 데이터 길이 필드의 내용을 전달받은 것이다.Here, the
도 4에 도시된 바와 같이, 16-비트 시프트 레지스터(220)의 내용을 내부 24-비트 레지스터의 D18-D3 의 D18에 16-비트 레지스터(220)의 최상위 비트(MSB)를 D3에 최하위 비트(LSB)를 배정하는 방식으로 비트 단위로 전달하고 비트 D23-D19 와 D2,D1,D0 비트의 내용을 "0"으로 하면 데이터 길이 필드의 내용을 좌측으로 3 번 시프트한 연산이 된다. 이는 바이트로 표시된 데이터 길이 필드(도 3의 340)를 곱하기 8 한 것과 동일한 연산이 되어 내부 24-비트 레지스터의 내용은 데이터 필드의 비트 수를 나타내는 값이 된다. As shown in FIG. 4, the contents of the 16-bit shift register 220 are stored in D18 of the internal 24-bit register in D18 of D18-D3 and the most significant bit (MSB) of the 16-bit register 220 in the least significant bit (D3). LSB) is transferred in bit units, and if the contents of bits D23-D19, D2, D1, and D0 are set to "0", the operation shifts the contents of the data length field three times to the left. This is the same operation as multiplying the data length field (340 in FIG. 3) expressed in bytes so that the contents of the internal 24-bit register is a value representing the number of bits in the data field.
도 5는 본 발명의 일 실시예에 따른 암호화하는 과정을 보여주는 흐름도이다. 이러한 암호화 과정은, 이더넷 프레임의 구조에서 이더넷 프레임의 경계를 알려주는 패턴인 물리 계층 헤더(도 3의 300 및 310)와 이더넷 프레임 송수신에 관련된 수신주소 필드(320)와 발신주소 필드(330) 및 순환여유검사 필드(360)를 제외한 데이터 필드만을 암호화하여야 한다. 즉, 도 5의 암호화 과정을 통하여 데이터 필드(도 3의 350) 만이 암호화된다. 5 is a flowchart illustrating a process of encrypting according to an embodiment of the present invention. The encryption process includes a physical layer header (300 and 310 in FIG. 3), a
도 5를 참조하면, 암호화되지 않은 이더넷 프레임()이 직렬로 입력된다(단계 S500). 즉, 이더넷 프레임()이 배타적 논리합 회로부(280)에 입력되며, 장치가 동작 전에는 초기 리셋 상태여서 암호화 동작신호가 0인 상태이므로 구간 개폐된 암호화 키()의 값은 0이 되어 이더넷 프레임()이 16-비트 시프트 레지스터부(220)와 48-비트 시프트 레지스터부(210)쪽으로 그대로 직렬 입력된다.Referring to FIG. 5, an unencrypted Ethernet frame ( ) Is input in series (step S500). That is, the Ethernet frame ( ) Is input to the exclusive-
48-비트 시프트 레지스터부(210)와 16-비트 시프트 레지스터부(220)는 비트 단위로 입력되는 이더넷 프레임의 통로 역할을 하며 이더넷 프레임()의 물리 계층 헤더(도 3의 301)에 해당하는 패턴을 검출한다(단계 S510). The 48-bit
부연하면, 패턴이 검출되면 프레임 경계 판별 회로부(230)가 이더넷 프레임()의 경계임을 판별하고 프레임 경계 판별 신호를 생성한다. 즉, 도 3에 도시된 바와 같이, 물리 계층 헤더(301)와 수신 주소 필드(320)의 경계를 판별하게 된다. In other words, when a pattern is detected, the frame
또한, 16-비트 시프트 레지스터부(220)는 비트 단위로 입력되는 이더넷 프레임()에서 데이터 길이 필드(도 3의 340)가 16-비트 시프트 레지스터(220)에 도달하였을 때 그 내용을 데이터 길이 판별 신호에 준해 암호화 동작 신호 발생부(250)내에 구비된 24-비트 레지스터로 도 4의 형식으로 전달하여 주는 역할을 한다.In addition, the 16-bit shift register unit 220 is an Ethernet frame input in units of bits ( When the
프레임 경계 판별 회로부(230)에 의해 프레임 경계 판별 신호가 생성되면, 이 프레임 경계 판별 신호에 대응하여 계수기부(240)는 십진수 값 "112"를 초기값으로 설정한다(단계 S520). When the frame boundary discrimination signal is generated by the frame
부연하면, 프레임 경계 판별 회로부(230)는 직렬로 입력되는 이더넷 프레임()의 헤더(도 3의 301)에 해당하는 패턴이 검출되면 프레임 경계 판별 신호를 발생시켜 계수기부(240)에 십진수 값 "112"를 로드하도록 하여 이더넷 프레임()의 각 비트가 입력될 때마다 1 씩 감소하도록 구성한다. In other words, the frame
이 십진수 값 "112"는 이더넷 경계 판별 후에 입력되는 이더넷 프레임()의 데이터 길이 필드(도 3의 340)의 2 바이트가 이더넷 프레임 경계 판별 후 14 번째 바이트에 위치하는 데 이를 비트로 환산하면 112 비트이다. 부연하면, 도 3에 도시된 수신 주소 필드(320), 발신 주소 필드(330) 및 데이터 길이 필드(340)를 비트수로 표시하면 "112"가 된다. This decimal value "112" represents the Ethernet frame that is entered after Ethernet boundary determination. 2 bytes of the data length field (340 of FIG. 3) are located in the 14th byte after the Ethernet frame boundary determination, which is 112 bits. In other words, the
이는 이더넷 프레임()의 경계 판별 후 이더넷 프레임의 21-22 번째 바이트에 위치하는 데이터 길이 필드(도 3의 340)가 16-비트 시프트 레지스터부(220)에 112 번째 클록(clock)에 도달하므로 계수기 값이 0이 될 때 발생한 데이터 길이 판별 신호에 준해 계수기부(240)에서 16-비트 시프트 레지스터부(220)에 입력된 데이터 길이 필드(340)의 값을 암호화 동작 신호 발생부(250)로 전달하여주기 위함이다. 여기서 클록은 클록 생성기에 의해 발생하는데, 이는 널리 공지되어 있는 기술이므로 더 이상의 설명은 생략하기로 한다.This is an Ethernet frame ( After the boundary is determined, the data length field (340 in FIG. 3) located in the 21st to 22nd bytes of the Ethernet frame reaches the 112th clock in the 16-bit shift register 220, so that the counter value is 0. The
한편, 프레임 경계 판별 신호에 동기를 맞추어 암호화 키 생성부(260)의 내부 계수기에 초기값을 로딩하여 암호화 키 생성부(260)를 동작시킨다. 이는 수신쪽에서 복호화 시에 프레임의 경계를 판별하여 복호화 키 생성부(도7의 760)를 동작시킴으로써 암호화 키와 복호화 키를 동일한 스트림을 갖는 형태로 하기 위함이다. 이에 해당하는 내용은 도 7의 복호화 기능 블록도에서 기술한다.Meanwhile, the
이후, 이더넷 프레임()의 수신 주소 필드(320), 발신 주소 필드(330) 및 데이터 길이 필드(340)의 각 비트가 입력될 때마다 1 씩 감소시킨다(단계 S530). After that, the Ethernet frame ( Each bit of the
단계 S530을 반복하여, 초기값 "112"가 "0"에 도달되었는지를 판단한다(단계 S540). By repeating step S530, it is determined whether the initial value "112" has reached "0" (step S540).
판단결과, "0"에 도달되었다면, 계수기부(240)는 데이터 길이 판별 신호를 발생시켜 이를 암호화 동작 신호 발생부(250)에 전달하면, 이 데이터 길이 판별 신호가 발생될 시점에 이더넷 프레임의 길이 필드가 16-비트 시프트 레지스터(220)의 내용으로 들어와 있으므로 16-비트 시프트 레지스터(220)의 내용을 암호화 동작 신호 발생부(250)로 전달하여 준다. If it is determined that "0" is reached, the
이에 따라, 암호화 동작 신호 발생부(250)에서는 데이터 길이 판별 신호에 준해 데이터 필드의 바이트 수를 나타내는 데이터 길이 필드(도 3의 340)의 내용을 읽어 24-비트로 변환하며 이 24-비트 레지스터의 내용은 데이터 필드의 비트 수를 나타낸다. 이를 보여주는 도면이 도 4에 도시된다.Accordingly, the encryption operation
이 값을 내부 계수기(미도시)의 초기값으로 설정한 후 이더넷 프레임()의 한 비트가 입력될 때마다 1 씩 감소시키며 내부 계수기의 값이 "0"이 될 때까지 암호화 동작 신호의 값을 "1"로 유지하며 그 외 구간은 "0"이 되는 암호화 동작 신호를 발생시킨다. 부연하면, 암호화 동작 신호 발생부(250)에서는 데이터 길이 필드(도 3의 340)에 표시된 데이터 필드(350)의 길이에 해당하는 동안만 암호화 동작 신호를 "1"로 유지하고 나머지 구간은 "0"이 되는 신호인 암호화 동작 신호를 생성한다.After setting this value to the initial value of the internal counter (not shown), the Ethernet frame ( Whenever one bit of) is input, it decreases by 1 and keeps the value of the encryption operation signal as "1" until the value of the internal counter becomes "0". Generate. In other words, the encryption
이렇게 생성된 암호화 동작 신호는 이더넷 프레임()의 데이터 필드(도 3의 350)에 해당하는 구간만 로직 "1"이고 그 외 구간은 로직 "0"을 유지한다. 도 6에 암호화 동작 신호의 타이밍 도를 도시하였다. 즉, 도 6은 데이터 필드(도 3의 350) 에 해당하는 구간(600)만 로직 "1"이고 그 외 구간은 로직 "0"을 유지한다.The encryption operation signal generated in this way is an Ethernet frame ( Only the section corresponding to the
암호화 키 생성부(260)에는 암호화 소자(미도시)에 64 비트 블록 단위의 암호화 데이터를 제공하기 위한 64 비트 계수기(미도시)와 대칭키 암호 알고리즘을 사용하는 DES(Data Encryption Standard) 소자(미도시) 등이 구성된다. 따라서, 프레임 경계 판별 회로부(230)의 프레임 경계 판별 신호에 초기값을 전달받아 계수기(미도시)가 동작하며 이 계수기의 출력을 DES 소자(미도시)의 암호화 입력 데이터로 한다. The
프레임 경계 판별 신호 발생 시에 암호화 키 생성부(260)가 동작하도록 한 것은 수신측에서 복호화 시에 암호화된 프레임의 경계 판별 신호 발생 시에 복호화 키 생성부(도 7의 760)가 동작하여 복호화 키를 생성함으로써 수신단의 복호화 키가 송신측의 암호화 키와 동일한 비트 스트림이 되도록 동기를 맞추기 위한 것이다. 이에 관련된 내용은 도 7을 참조한 복호화 과정에서 기술한다.The encryption
64 비트 블록 단위로 출력되는 DES 소자의 출력 중 한 비트(비트 1)만 취하여 이를 암호화 키로 하며 이를 암호화 동작 신호와 논리적(AND) 연산을 하여 구간 개폐된 암호화 키로 변환하여 이더넷 프레임과 비트 단위의 연산을 한다.Only one bit (bit 1) of the output of the DES device output in the 64-bit block unit is taken as an encryption key, which is converted into an encryption key that is opened and closed by performing an AND operation with the encryption operation signal and converted into an encryption key that is opened and closed. Do it.
논리적(AND) 회로부(270)에서는 암호화 키()가 암호화 동작 신호와 논리적(AND) 연산을 거치면 구간 개폐된 암호화 키()가 생성된다(단계 S550).In the AND
도 6에 도시된 바와 같이, 암호화 동작 신호는 이더넷 프레임()의 데이터 구간 동안만 로직 "1"이고 나머지 구간은 로직 "0"이므로 암호화 키()와 논리적 연산을 거친 구간 개폐된 암호화 키() 는 이더넷 프레임()의 데이터 필드(도 3의 350) 구간에서는 = 이고 나머지 구간에서는 =(로직 "0") 이다. 여기서, 는 이더넷 프레임()의 데이터 필드(350) 구간만 암호화하는 암호화 키이다. As shown in Figure 6, the encryption operation signal is an Ethernet frame ( Logic "1" only for the data interval of the) and logic "0" for the remaining intervals. ) And an open / closed encryption key that has been logically computed ( ) Is the Ethernet frame ( In the data field (350 in FIG. 3) = On the rest of the = (Logic "0") here, Is the Ethernet frame ( It is an encryption key for encrypting only the
배타적 논리합(XOR) 회로부(280)는 이더넷 프레임()과 구간 개폐된 암호화 키()를 비트 단위로 배타적 논리합(XOR) 연산을 수행한다. 구간 개폐된 암호화 키()는 이더넷 프레임()의 데이터 필드(도 3의 350) 구간에서는 = 이므로 이더넷 프레임의 데이터 필드(도 3의 350) 구간에서는 다음 수학식 1의 연산에 의해 암호화된다.Exclusive-
여기서, 는 암호화 이더넷 프레임을, 는 암호화되지 않은 이더넷 프레임을, 는 구간 개폐 암호화 키를 나타낸다. 따라서, 이들 이더넷 프레임을 구별하기 위해 암호화 이더넷 프레임은 로, 이더넷 프레임은 로 표시한다.here, Encrypt ethernet frames, Unencrypted ethernet frames, Denotes an interval open / close encryption key. Therefore, to distinguish between these Ethernet frames, encrypted Ethernet frames Ethernet frames are To be displayed.
이더넷 프레임()의 나머지 구간에서는 =(로직 0)이므로 수학식 1을 이용하면 다음 수학식 2와 같이 연산된다. Ethernet frame ( In the rest of) Since = (logic 0), using
따라서, = 이므로 이는 암호화되지 않은 것과 같다. 이더넷 프레임()과 구간 개폐된 암호화 키()는 프레임 경계 판별 신호에 동기가 맞은 상태이므로 이더넷 프레임()과 구간 개폐된 암호화 키()를 배타적 논리합(XOR) 연산을 하면 이는 이더넷 프레임() 중에서 데이터 필드만 암호화된 암호화 이더넷 프레임()이 전송됨을 의미한다(단계 S560).therefore, = This is equivalent to unencrypted. Ethernet frame ( ) And an open / closed encryption key ( ) Is in sync with the frame boundary determination signal, so Ethernet frames ( ) And an open / closed encryption key ( ) Can be used as an exclusive OR (XOR) operation. Of the encrypted Ethernet frames with only data fields encrypted ) Is transmitted (step S560).
한편, 본 발명의 다른 실시예로서, 발광소자 구동부(290)는 장치의 정상적인 동작 유무를 가시적으로 알려주기 위한 회로로서 암호화 동작 신호의 로직을 이용한다. 이더넷 프레임()의 정상적인 송신 중에는 암호화 동작 신호에 로직 "1" 과 로직 "0"인 구간이 반복적으로 나타나는 데 이를 이용하여 발광 소자를 구동한다. On the other hand, as another embodiment of the present invention, the light emitting
암호화 동작 신호의 로직 "1"인 구간은 인버터 소자(291)를 거치면 로직 "0"인 신호가 되는 데 로직 "0"인 신호 구간 동안에 4.7 k의 풀업 저항(미도시)에 연결된 발광 소자가 구동되어 보안 장치의 정상 동작 상태를 운용자에게 가시적으로 알려준다.Logic " 1 " section of the encryption operation signal becomes a logic " 0 " signal via the
도 7은 본 발명의 다른 일 실시예에 따른 암호화된 이더넷 프레임을 복호화하는 복호화 기능 블록도이다. 도 7을 참조하면, 복호화 기능 블록도에는 암호화 이더넷 프레임()을 일시 저장하고 이 암호화 이더넷 프레임()의 헤더를 판별하기 위한 48-비트 시프트 레지스터부(710)와 16-비트 시프트 레지스터부(720), 64 비트로 구성된 시프트 레지스터(48-비트 시프트 레지스터와 16-비트 시프트 레지스터부를 더한 것임)의 비트 패턴을 판별하여 암호화 이더넷 프레임()의 경계를 판별하기 위한 프레임 경계 판별 회로부(730), 상기 프레임 경계 판별 회로부(730)가 생성한 이더넷 프레임 경계 판별 신호에 준해 인가된 초기값으로 계수하여 개폐 신호 발생의 동작 신호를 발생시키는 계수기부(740), 상기 계수기부(740)가 생성한 개폐 신호 발생 동작 신호에 따라 암호화 이더넷 프레임()의 암호화된 데이터 필드를 복호화하여 주기 위한 복호화 동작 신호의 발생을 위한 복호화 동작 신호 발생부(750), 상기 프레임 경계 판별 회로부(730)가 생성한 이더넷 프레임 경계 판별 신호에 따라 인가된 복호화 초기값을 이용하여 복호화 키를 발생하여 주는 복호화 키 생성부(760), 복호화 키와 복호화 동작 신호를 논리적(AND) 연산하여 암호화 이더넷 프레임()의 암호화된 데이터 필드에서 복호화 키를 열어주는 역할을 하는 논리적(AND) 회로부(770), 암호화 이더넷 프레임()의 암호화된 데이터 필드와 복호화 키를 배타적 논리합으로 복호화하여 주는 배타적 논리합(XOR) 회로부(780) 등이 구성된다. 7 is a block diagram of a decryption function for decrypting an encrypted Ethernet frame according to another embodiment of the present invention. Referring to Figure 7, Decryption function block diagram encryption Ethernet frame ( ) Temporarily saves this encrypted Ethernet frame ( Bit of the 48-bit
도 7에는 도시되어 있지 않으나, 복호화 동작 동안에 복호화가 순조롭게 진행되는 것을 표시하기 위한 발광 소자 구동부(미도시)가 구성될 수 있다. 이에 해당하는 내용을 도 2에서 기술하였으므로 생략하기로 한다. Although not shown in FIG. 7, a light emitting device driver (not shown) may be configured to indicate that the decoding proceeds smoothly during the decoding operation. Since the corresponding content is described in FIG. 2, it will be omitted.
도 8은 본 발명의 다른 일 실시예에 따른 복호화하는 과정을 보여주는 흐름도이다. 도 8을 참조하면, 암호화 이더넷 프레임()이 직렬로 입력된다(단계 S800). 즉, 암호화 이더넷 프레임()이 배타적 논리합 회로부(780)에 입력되며, 장치가 동작 전에는 초기 리셋 상태로 복호화 동작 신호가 0 인 상태여서 구간 개폐된 복호화 키() 값도 0 이므로 암호화 이더넷 프레임()이 16-비트 시프트 레지스터부(720)와 48-비트 시프트 레지스터부(710)쪽으로 직렬 입력된다. 8 is a flowchart illustrating a decoding process according to another embodiment of the present invention. Referring to Figure 8, the encrypted Ethernet frame ( ) Is input in series (step S800). That is, encrypted Ethernet frames ( ) Is input to the exclusive-
48-비트 시프트 레지스터부(710)와 16-비트 시프트 레지스터부(720)는 비트 단위로 입력되는 암호화 이더넷 프레임()의 통로 역할을 하며 암호화 이더넷 프레임()의 물리 계층 헤더(도 3의 301)에 해당하는 패턴을 검출한다(단계 S810). The 48-bit
부연하면, 패턴이 검출되면 프레임 경계 판별 회로부(730)가 암호화 이더넷 프레임()의 경계임을 판별하고 프레임 경계 판별 신호를 생성한다. 즉, 도 3에 도시된 바와 같이, 물리 계층 헤더(301)와 수신 주소 필드(320)의 경계를 판별하게 된다. In other words, when a pattern is detected, the frame boundary
또한, 16-비트 시프트 레지스터부(720)는 바이트 단위로 입력되는 이더넷 프레임()에서 데이터 길이 필드(도 3의 340) 필드가 16-비트 시프트 레지스터(720)에 도달하였을 때 그 내용을 데이터 길이 판별 신호에 준해 복호화 동작 신호 발생부(750)로 전달하여 주는 역할을 한다.In addition, the 16-bit
프레임 경계 판별 회로부(730)에 의해 프레임 경계 판별 신호가 생성되면, 이 프레임 경계 판별 신호에 대응하여 계수기부(740)와 복호화 키 생성부(760)가 동작한다. 계수기부(740)는 십진수 값 "112"를 초기값으로 설정하여 동작한다.(단계 S820). When the frame boundary determination signal is generated by the frame boundary
초기값 "112"가 로딩됨에 따라 계수기부(740)는 암호화 이더넷 프레임()의 수신주소, 발신 주소 및 데이터 길이 필드(도 3의 303)의 각 비트가 입력될 때마다 1씩 감소시킨다(단계 S830).As the initial value "112" is loaded, the
이에 따라 계수기부(740)는 초기값 "112"가 "0"에 도달하는 지를 확인하게 된다(단계 S840). Accordingly, the
확인 결과, 초기값이 "0"에 도달하면 데이터 길이 판별 신호를 생성하여 이 신호에 따라 16-비트 레지스터(710)에 도달해 있는 암호화 이더넷 프레임(Ci)의 데이터 길이 필드의 내용을 복호화 동작 신호 발생부(750)로 전달하여 준다. 복호화 동작 신호 발생부(750)에서는 데이터 길이 필드의 내용인 데이터 필드의 바이트 수를 이용하여 복호화할 데이터 필드의 구간 동안은 로직 "1"이고 나머지 구간은 로직 "0"인 복호화 키 동작 신호를 생성하여 이 복호화 키 동작 신호와 복호화 키()를 논리적 회로부(770)에서 논리적 연산을 하여 구간 개폐된 복호화 키()를 생성한다.(단계 S850) As a result of the check, when the initial value reaches "0", a data length determination signal is generated and the contents of the data length field of the encrypted Ethernet frame C i reaching the 16-
구간 개폐된 복호화 키()와 수신되는 암호화된 암호화 이더넷 데이터 프레임(Ci)을 배타적 논리합 회로부(780)에서 배타적 논리합(XOR) 연산을 하면 다음 수학식 3에 의해 복호화된다. 따라서, 송신측에서 전송한 이더넷 프레임()이 생성된다(단계 S860).Interlocked decryption key ( ) And the received encrypted encrypted Ethernet data frame (C i ) by the exclusive logical OR
여기서, Ci는 암호화된 암호화 이더넷 프레임이고, 는 암호화가 안 된 이더넷 프레임이며, 구간 개폐된 복호화 키()는 구간 개폐된 암호화 키와 동일한 형태의 비트 스트림을 갖는다. Where C i is an encrypted encrypted Ethernet frame, Is an unencrypted Ethernet frame, and the decryption key ( ) Has a bit stream of the same type as an encryption key that is opened and closed.
본 발명의 일 실시예에서는 도 2에 도시된 암호화 과정의 기능 블록과 도 7에 도시된 복호화 과정의 기능 블록을 따로 구성하였으나, 하나의 보드 모듈에 구성하는 것도 가능하며, 이 경우 암호화/복호화 기능이 동시에 수행된다.
In an embodiment of the present invention, the functional block of the encryption process shown in FIG. 2 and the functional block of the decryption process shown in FIG. 7 are separately configured, but it may be configured in one board module. In this case, the encryption / decryption function may be used. This is done at the same time.
100: 서버
110a 내지 110n, 120a 내지 120n: 단말기
210, 710: 48-비트 시프트 레지스터부
220, 720: 16-비트 시프트 레지스터부
230, 730: 프레임 경계 판별 회로부
240, 740: 계수기부
250: 암호화 동작 신호 발생부 750: 복호화 동작 신호 발생부
260: 암호화 키 생성부 760: 복호화 키 생성부
270, 770: 논리적(AND) 회로부
280, 780: 배타적 논리합(XOR) 회로부
290: 발광소자 구동부100: server
110a to 110n, 120a to 120n: terminal
210, 710: 48-bit shift register section
220, 720: 16-bit shift register section
230, 730: frame boundary discrimination circuit section
240, 740: counter
250: encryption operation signal generator 750: decryption operation signal generator
260: encryption key generation unit 760: decryption key generation unit
270, 770: logical (AND) circuit
280, 780: exclusive OR circuit
290: light emitting device driver
Claims (13)
상기 48-비트 시프트 및 16-비트 시프트 레지스터부가 상기 이더넷 프레임의 물리 계층 헤더의 비트 패턴을 읽어드려 상기 이더넷 프레임의 경계를 판별하고 상기 이더넷 프레임의 이더넷 프레임 경계 판별 신호를 생성하는 프레임 경계 판별 회로부;
상기 이더넷 프레임 경계 판별 신호에 준해 초기값이 설정되며 상기 이더넷 프레임의 수신 주소 필드, 발신 주소 필드 및 데이터 길이 필드의 비트가 입력될 때마다 상기 초기값으로부터 하향 계수하여 상기 초기값이 "0"이 되면 상기 이더넷 프레임의 데이터 필드에 대한 데이터 길이 판별 신호를 생성하여 상기 데이터 길이 판별 신호를 상기 16-비트 시프트 레지스터부에 전송하는 계수기부;
상기 데이터 길이 판별 신호에 따라 상기 이더넷 프레임의 데이터 길이 필드의 값을 상기 16-비트 시프트 레지스터부로부터 입력받아 변환하고 상기 이더넷 프레임의 데이터 필드의 데이터 길이를 비트 단위로 환산한 값을 초기값으로 설정하여 하향 계수함으로써 상기 초기값이 "0"이 될 때까지 암호화 동작 신호를 생성하는 암호화 동작 신호 발생부;
상기 이더넷 프레임 경계 판별 신호에 따라 인가된 암호화 초기값을 이용하여 암호화 키를 생성하는 암호화 키 생성부;
상기 암호화 키와 암호화 동작 신호를 논리적(AND) 연산하여 상기 이더넷 프레임의 데이터 필드에서만 상기 암호화 키를 열어주는 역할을 하는 논리적(AND) 회로부; 및
상기 이더넷 프레임의 데이터 필드와 암호화 키를 배타적 논리합으로 암호화하여 암호화 이더넷 프레임을 생성하는 배타적 논리합(XOR) 회로부
을 포함하는 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 장치. A 48-bit shift register section and a 16-bit shift register section for temporarily storing an Ethernet frame of the IEEE 802.3 standard and for determining a physical layer header of the Ethernet frame;
A frame boundary discrimination circuit unit configured to determine the boundary of the Ethernet frame by generating the Ethernet frame boundary determination signal of the Ethernet frame by reading the bit pattern of the physical layer header of the Ethernet frame by the 48-bit shift and 16-bit shift register unit;
The initial value is set according to the Ethernet frame boundary determination signal, and the initial value is counted down from the initial value whenever the bits of the reception address field, the originating address field, and the data length field of the Ethernet frame are input. A counter unit for generating a data length determination signal for a data field of the Ethernet frame and transmitting the data length determination signal to the 16-bit shift register unit;
In response to the data length determination signal, the value of the data length field of the Ethernet frame is inputted from the 16-bit shift register and converted, and the data length of the data field of the Ethernet frame is converted into a bit unit as an initial value. An encryption operation signal generator for generating an encryption operation signal until the initial value becomes "0" by counting down;
An encryption key generator configured to generate an encryption key using an encryption initial value applied according to the Ethernet frame boundary determination signal;
A logical (AND) circuit unit configured to logically operate the encryption key and an encryption operation signal to open the encryption key only in a data field of the Ethernet frame; And
Exclusive logical OR (XOR) circuit unit for generating an encrypted Ethernet frame by encrypting the data field and the encryption key of the Ethernet frame with an exclusive logical OR.
Physical layer data security device for frame security on an Ethernet LAN comprising a.
상기 48-비트 시프트 및 16-비트 시프트 레지스터부가 상기 암호화 이더넷 프레임의 물리 계층 헤더의 비트 패턴을 읽어드려 상기 암호화 이더넷 프레임의 경계를 판별하고 상기 암호화 이더넷 프레임의 이더넷 프레임 경계 판별 신호를 생성하는 프레임 경계 판별 회로부;
상기 이더넷 프레임 경계 판별 신호에 준해 초기값이 설정되며 상기 암호화 이더넷 프레임의 수신 주소 필드, 발신 주소 필드 및 데이터 길이 필드의 비트가 입력될 때마다 상기 초기값으로부터 하향 계수하여 상기 초기값이 "0"이 되면 상기 암호화 이더넷 프레임의 데이터 필드에 대한 데이터 길이 판별 신호를 생성하여 상기 데이터 길이 판별 신호를 상기 16-비트 시프트 레지스터부에 전송하는 계수기부;
상기 데이터 길이 판별 신호에 따라 상기 암호화 이더넷 프레임의 데이터 길이 필드의 내용을 상기 16-비트 시프트 레지스터부로부터 입력받아 변환하고 상기 암호화 이더넷 프레임의 데이터 필드의 길이를 비트 단위로 환산한 값을 초기값으로 설정하여 하향 계수함으로써 상기 초기값이 "0"이 될 때까지 복호화 동작 신호를 생성하는 복호화 동작 신호 발생부;
상기 이더넷 프레임 경계 판별 신호에 따라 인가된 복호화 초기값을 이용하여 복호화 키를 생성하는 복호화 키 생성부;
상기 복호화 키와 복호화 동작 신호를 논리적(AND) 연산하여 상기 암호화 이더넷 프레임의 암호화된 데이터 영역에서 복호화 키를 열어주는 역할을 하는 논리적(AND) 회로부; 및
상기 암호화 이더넷 프레임의 암호화된 데이터 필드와 복호화 키를 배타적 논리합으로 복호화하여 암호화되지 않은 이더넷 프레임을 생성하는 배타적 논리합(XOR) 회로부
을 포함하는 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 장치. A 48-bit shift register section and a 16-bit shift register section for temporarily storing an encrypted encrypted Ethernet frame according to the IEEE 802.3 standard and for determining a physical layer header of the encrypted Ethernet frame;
A frame boundary in which the 48-bit shift and 16-bit shift registers read the bit pattern of the physical layer header of the encrypted Ethernet frame to determine the boundary of the encrypted Ethernet frame and generate an Ethernet frame boundary determination signal of the encrypted Ethernet frame Discrimination circuit section;
The initial value is set according to the Ethernet frame boundary determination signal, and the initial value is counted down from the initial value every time the bits of the reception address field, the source address field, and the data length field of the encrypted Ethernet frame are input. A counter unit for generating a data length determination signal for a data field of the encrypted Ethernet frame and transmitting the data length determination signal to the 16-bit shift register;
According to the data length determination signal, the content of the data length field of the encrypted Ethernet frame is inputted from the 16-bit shift register unit, converted, and the value of the length of the data field of the encrypted Ethernet frame converted into bits as an initial value. A decoding operation signal generator for generating a decoding operation signal until the initial value becomes "0" by setting and counting down;
A decryption key generation unit generating a decryption key using an decryption initial value applied according to the Ethernet frame boundary determination signal;
A logical (AND) circuit unit configured to logically operate the decryption key and a decryption operation signal to open a decryption key in an encrypted data region of the encrypted Ethernet frame; And
Exclusive logical OR (XOR) circuit unit for generating an unencrypted Ethernet frame by decrypting the encrypted data field and the decryption key of the encrypted Ethernet frame with an exclusive logical OR.
Physical layer data security device for frame security on an Ethernet LAN comprising a.
암호화 동작 또는 복호화 동작 동안 정상 상태를 표시하는 발광소자 구동부를 더 포함하되,
상기 발광소자 구동부는 인버터 및 소정 값의 풀업 저항을 더 포함하는 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 장치. The method according to claim 1 or 2,
Further comprising a light emitting device driver for displaying a normal state during the encryption operation or decryption operation,
The light emitting device driver further includes an inverter and a pull-up resistor having a predetermined value.
상기 암호화 동작 신호 발생부 또는 복호화 동작 신호 발생부는,
상기 데이터 필드의 바이트 수를 표시하는 데이터 길이 필드의 내용을 비트 단위로 환산하여 환산 값을 생성하는 24-비트 레지스터; 및
상기 환산 값을 초기값으로 설정하여 상기 초기값으로부터 하향 계수하여 동기를 맞추는 내부 계수기를 더 포함하는 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 장치. The method according to claim 1 or 2,
The encryption operation signal generator or decryption operation signal generator,
A 24-bit register for converting the contents of the data length field indicating the number of bytes of the data field by bit to generate a converted value; And
And an internal counter configured to set the converted value to an initial value and count down from the initial value to synchronize.
상기 암호화 동작 신호 또는 복호화 동작 신호는 상기 데이터 필드의 길이(데이터 필드의 비트 수)에 해당하는 구간만 "1"로 유지되고, 나머지 구간은 "0"인 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 장치. The method according to claim 1 or 2,
Only the section corresponding to the length (number of bits of the data field) of the data field is kept as "1", and the encryption section signal or decryption operation signal is physical layer data for frame security in an Ethernet LAN in which the remaining section is "0". Security device.
상기 초기값은 십진수 값으로 "112"이며, 상기 하향 계수의 단위는 "1"이고, 상기 "112"는 상기 이더넷 프레임 또는 상기 암호화 이더넷 프레임의 경계 판별 후 14 번째 바이트에 위치하는 데이터 길이 필드의 비트 환산 값인 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 장치. The method according to claim 1 or 2,
The initial value is a decimal value "112", the unit of the downlink coefficient is "1", and the "112" is a data length field of the 14th byte after the boundary determination of the Ethernet frame or the encrypted Ethernet frame. Physical layer data security device for frame security in Ethernet LAN, which is a bit conversion value.
상기 암호화 키 생성부는,
암호화 소자;
상기 암호화 소자에 64-비트 블록 단위의 암호화 데이터를 제공하며 상기 프레임 경계 판별 회로부의 프레임 경계 판별 신호로부터 초기값을 전달받아 동작하는 64-비트 계수기; 및
상기 64-비트 계수기의 출력을 암호화 데이터로 입력받고 대칭키 암호 알고리즘을 사용하는 DES(Data Encryption Standard) 소자를 포함하는 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 장치. The method of claim 1,
The encryption key generation unit,
Encryption element;
A 64-bit counter for providing encrypted data in a 64-bit block unit to the encryption element and receiving an initial value from a frame boundary determination signal of the frame boundary determination circuit unit; And
And a data encryption standard (DES) device for receiving the output of the 64-bit counter as encryption data and using a symmetric key encryption algorithm.
상기 48-비트 시프트 레지스터부는 상기 이더넷 프레임 또는 암호화 이더넷 프레임의 프리엠블 필드의 일부(6 바이트) 패턴을 읽어 들이고,
상기 16-비트 시프트 레지스터부는 상기 이더넷 프레임 또는 암호화 이더넷 프레임의 프리엠블 필드의 일부(1 바이트), 프레임 시작 구분자 및 데이터 길이 필드를 읽어 들이는 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 장치. The method according to claim 1 or 2,
The 48-bit shift register section reads a part (6 byte) pattern of a preamble field of the Ethernet frame or an encrypted Ethernet frame,
And the 16-bit shift register unit reads a portion (1 byte) of a preamble field of the Ethernet frame or an encrypted Ethernet frame, a frame start delimiter, and a data length field.
상기 이더넷 프레임의 물리 계층 헤더의 비트 패턴을 읽어드려 상기 이더넷 프레임의 경계를 판별하고 상기 이더넷 프레임의 이더넷 프레임 경계 판별 신호를 생성하는 단계;
상기 이더넷 프레임 경계 판별 신호에 따라 초기값을 설정하고 상기 초기값으로부터 상기 이더넷 프레임의 수신 주소 필드, 발신 주소 필드 및 데이터 길이 필드의 비트가 입력될 때마다 하향 계수되는 단계;
상기 초기값이 "0"에 도달되었는지를 판단하는 단계;
상기 초기값이 "0"에 도달하면, 암호화 동작 신호가 생성되어 상기 암호화 동작 신호에 따라 암호화 키를 생성하는 단계;
상기 암호화 키를 이용하여 상기 이더넷 프레임의 데이터 필드 구간만을 개폐하는 구간 개폐된 암호화 키를 생성하는 단계;
상기 이더넷 프레임과 구간 개폐된 암호화 키를 배타적 논리합(XOR) 연산을 하여 상기 이더넷 프레임의 데이터 필드 구간만 암호화된 암호화 이더넷 프레임을 생성하고 수신측에 전송하는 단계
을 포함하는 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 방법.Serially inputting an unencrypted IEEE 802.3 Ethernet frame;
Reading a bit pattern of a physical layer header of the Ethernet frame to determine a boundary of the Ethernet frame and generating an Ethernet frame boundary determination signal of the Ethernet frame;
Setting an initial value according to the Ethernet frame boundary determination signal and counting down each time a bit of a reception address field, an originating address field, and a data length field of the Ethernet frame is input from the initial value;
Determining whether the initial value has reached "0";
When the initial value reaches "0", generating an encryption operation signal to generate an encryption key according to the encryption operation signal;
Generating a section-opened encryption key that opens and closes only a data field section of the Ethernet frame using the encryption key;
Performing an exclusive OR operation on the encryption key opened and closed with the Ethernet frame to generate an encrypted Ethernet frame encrypted only in the data field section of the Ethernet frame and transmitting the encrypted Ethernet frame to a receiver;
Physical layer data security method for frame security on an Ethernet LAN comprising a.
상기 암호화 이더넷 프레임의 물리 계층 헤더의 비트 패턴을 읽어드려 상기 암호화 이더넷 프레임의 경계를 판별하고 상기 암호화 이더넷 프레임의 이더넷 프레임 경계 판별 신호를 생성하는 단계;
상기 이더넷 프레임 경계 판별 신호에 따라 초기값을 설정하고 상기 초기값으로부터 상기 암호화 이더넷 프레임의 수신 주소 필드, 발신 주소 필드 및 데이터 길이 필드의 비트가 입력될 때마다 하향 계수되는 단계;
상기 초기값이 "0"에 도달되었는지를 판단하는 단계;
상기 초기값이 "0"에 도달하면, 복호화 동작 신호가 생성되어 상기 복호화 동작 신호에 따라 복호화 키를 생성하는 단계;
상기 복호화 키를 이용하여 상기 암호화 이더넷 프레임의 데이터 필드 구간만을 개폐하는 구간 개폐된 복호화 키를 생성하는 단계;
상기 구간 개폐된 복호화 키와 상기 암호화 이더넷 프레임을 배타적 논리합(XOR) 연산을 하여 암호화되지 않은 이더넷 프레임을 생성하고 전송하는 단계
을 포함하는 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 방법.Inputting an encrypted IEEE 802.3 encrypted Ethernet frame serially;
Reading a bit pattern of a physical layer header of the encrypted Ethernet frame to determine a boundary of the encrypted Ethernet frame and generating an Ethernet frame boundary determination signal of the encrypted Ethernet frame;
Setting an initial value according to the Ethernet frame boundary determination signal and counting down each time a bit of a reception address field, an originating address field, and a data length field of the encrypted Ethernet frame is input from the initial value;
Determining whether the initial value has reached "0";
When the initial value reaches "0", generating a decryption operation signal to generate a decryption key according to the decryption operation signal;
Generating a section-opened decryption key that opens and closes only a data field section of the encrypted Ethernet frame using the decryption key;
Generating and transmitting an unencrypted Ethernet frame by performing an exclusive-OR operation on the section-opened decryption key and the encrypted Ethernet frame.
Physical layer data security method for frame security on an Ethernet LAN comprising a.
암호화 동작 또는 복호화 동작 동안 정상 상태임을 발광으로 표시하는 단계를 더 포함하는 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 방법.The method according to claim 9 or 10,
A method of physical layer data security for frame security in an Ethernet LAN further comprising the step of light emitting a normal state during an encryption operation or a decryption operation.
상기 초기값은 십진수 값으로 "112"이며, 상기 하향 계수의 단위는 "1"이고, 상기 "112"는 상기 이더넷 프레임 또는 상기 암호화 이더넷 프레임의 경계 판별 후 14 번째 바이트에 위치하는 데이터 길이 필드의 비트 환산 값인 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 방법.The method according to claim 9 or 10,
The initial value is a decimal value "112", the unit of the downlink coefficient is "1", and the "112" is a data length field of the 14th byte after the boundary determination of the Ethernet frame or the encrypted Ethernet frame. Physical layer data security method for frame security in Ethernet LAN which is bit conversion value.
상기 암호화 동작 신호 또는 복호화 동작 신호는 상기 데이터 필드의 길이에 해당하는 구간만 "1"로 유지되고, 나머지 구간은 "0"인 이더넷 LAN에서 프레임 보안을 위한 물리 계층 데이터 보안 방법.The method according to claim 9 or 10,
Only the section corresponding to the length of the data field is kept as "1" and the remaining section is "0", wherein the encryption operation signal or the decryption operation signal is physical layer data security method for frame security in an Ethernet LAN.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100057070A KR101081773B1 (en) | 2010-06-16 | 2010-06-16 | Data encryption/decryption equipment and method in the physical layer of ethernet lan |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100057070A KR101081773B1 (en) | 2010-06-16 | 2010-06-16 | Data encryption/decryption equipment and method in the physical layer of ethernet lan |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101081773B1 true KR101081773B1 (en) | 2011-11-09 |
Family
ID=45397435
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100057070A KR101081773B1 (en) | 2010-06-16 | 2010-06-16 | Data encryption/decryption equipment and method in the physical layer of ethernet lan |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101081773B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102012008860A1 (en) | 2012-05-03 | 2013-11-07 | Udo H. Kalinna | Electronic device for analysis of Ethernet signal in physical layer of international organization for standardization/open systems interconnection layer model, uncouples symmetric Ethernet transmission signal from high impedance signal |
-
2010
- 2010-06-16 KR KR1020100057070A patent/KR101081773B1/en active IP Right Grant
Non-Patent Citations (2)
Title |
---|
논문(정보처리학회학회지, 2006), Rijndael 알고리즘을 이용한 물리 계층 ATM 셀 보안 기법 |
논문(한국인터넷정보학회-춘계학술발표대회논문집, 2005), 블럭 암호 알고리즘을 이용한 ATM 셀 데이터 보안 기법에 관한 연구 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102012008860A1 (en) | 2012-05-03 | 2013-11-07 | Udo H. Kalinna | Electronic device for analysis of Ethernet signal in physical layer of international organization for standardization/open systems interconnection layer model, uncouples symmetric Ethernet transmission signal from high impedance signal |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7797536B1 (en) | Cryptographic device with stored key data and method for using stored key data to perform an authentication exchange or self test | |
US7242766B1 (en) | Method and system for encrypting and decrypting data using an external agent | |
US9596075B2 (en) | Transparent serial encryption | |
TWI531925B (en) | Data authentication method and apparatus thereof | |
US7757085B2 (en) | Method and apparatus for encrypting data transmitted over a serial link | |
JP4309765B2 (en) | Video and attached data transmission method and system using serial link | |
EP2290872B1 (en) | Device for generating a message authentication code for authenticating a message | |
CN110891061B (en) | Data encryption and decryption method and device, storage medium and encrypted file | |
EP1094634B1 (en) | Automatic resynchronization of crypto-sync information | |
JP2579440B2 (en) | Message confirmation method and communication system | |
MXPA06009235A (en) | Method and apparatus for cryptographically processing data. | |
JP2005514849A (en) | Method and system for transmitting video and packetized audio data in multiple formats using serial link | |
US5199072A (en) | Method and apparatus for restricting access within a wireless local area network | |
WO2005029765A1 (en) | Transmitting apparatus, receiving apparatus, and data transmitting system | |
US20040025040A1 (en) | Memory device and encryption/decryption method | |
KR20050022623A (en) | Interdependent parallel processing hardware cryptographic engine providing for enhanced self fault-detecting and hardware encryption processing method thereof | |
KR101081773B1 (en) | Data encryption/decryption equipment and method in the physical layer of ethernet lan | |
CN110213292B (en) | Data sending method and device and data receiving method and device | |
KR100745393B1 (en) | Video signal authentication system | |
KR100699469B1 (en) | System for regenerating a clock for data transmission | |
KR100699452B1 (en) | System for serial transmission of video and packetized audiodata in multiple formats | |
JP3606418B2 (en) | Random number generator | |
JP4519495B2 (en) | Communication apparatus and communication system | |
JPH06224897A (en) | Closed area broadcasting system | |
CN117640256B (en) | Data encryption method, recommendation device and storage medium of wireless network card |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20161025 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20171025 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20181030 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20191031 Year of fee payment: 9 |