KR102023416B1 - Network switch and method for setting encryption section in data link layer using the same - Google Patents

Network switch and method for setting encryption section in data link layer using the same Download PDF

Info

Publication number
KR102023416B1
KR102023416B1 KR1020170104802A KR20170104802A KR102023416B1 KR 102023416 B1 KR102023416 B1 KR 102023416B1 KR 1020170104802 A KR1020170104802 A KR 1020170104802A KR 20170104802 A KR20170104802 A KR 20170104802A KR 102023416 B1 KR102023416 B1 KR 102023416B1
Authority
KR
South Korea
Prior art keywords
encryption
data
session
receiver
list
Prior art date
Application number
KR1020170104802A
Other languages
Korean (ko)
Other versions
KR20190019623A (en
Inventor
서지훈
Original Assignee
(주)한드림넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)한드림넷 filed Critical (주)한드림넷
Priority to KR1020170104802A priority Critical patent/KR102023416B1/en
Publication of KR20190019623A publication Critical patent/KR20190019623A/en
Application granted granted Critical
Publication of KR102023416B1 publication Critical patent/KR102023416B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법이 개시된다. 본 발명에 따른 네트워크 스위치에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법은, 출발지 호스트와 암호 포트를 통해 연결된 네트워크 스위치인 송신자가, 수신자로 요청 프레임을 전송하는 단계, 상기 송신자가 목적지 호스트와 연결된 상기 수신자로부터 응답 프레임을 수신하는 단계, 상기 송신자가 상기 수신자와의 세션 상태를 초기 상태에서 준비 상태로 변경하는 단계, 그리고 상기 송신자가 상기 출발지 호스트와 상기 목적지 호스트 간의 세션을 데이터 링크 계층에서의 암호화 구간으로 설정하는 단계를 포함한다. Disclosed is a method for establishing an encryption interval in a network switch and a data link layer performed by the same. In the data link layer setting method performed by the network switch according to the present invention, the sender, which is a network switch connected through a cryptographic port with a source host, transmitting a request frame to a receiver, wherein the sender is connected with a destination host. Receiving a response frame from the connected receiver, the sender changing a session state with the receiver from an initial state to a ready state, and wherein the sender establishes a session between the source host and the destination host at a data link layer And setting the encryption section.

Description

네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법{NETWORK SWITCH AND METHOD FOR SETTING ENCRYPTION SECTION IN DATA LINK LAYER USING THE SAME}NETWORK SWITCH AND METHOD FOR SETTING ENCRYPTION SECTION IN DATA LINK LAYER USING THE SAME}

본 발명은 데이터 링크 계층에서의 암호화 구간을 설정하는 기술에 관한 것으로, 특히 데이터 링크 계층에서의 암호화 구간을 설정하고, 암호화 구간에 상응하는 암호화 대상 데이터를 암호화하여 목적지 호스트 측의 수신자로 전달하는 기술에 관한 것이다.The present invention relates to a technique for setting an encryption section in the data link layer, and more particularly, a technology for setting an encryption section in the data link layer, encrypting the data to be encrypted corresponding to the encryption section, and delivering the data to the receiver of the destination host. It is about.

가상 사설망(Virtual Private Network, VPN) 등의 네트워크 암호화 프로토콜은 네트워크 계층(Layer 3)의 IP 주소를 기반으로 하는 점대점(Point-to-Point) 통신을 바탕으로 구성된다. 이러한 연결 구성은 대상의 수에 비례하여 구성 및 관리가 복잡해지며, IP 주소에 관여하지 않는 데이터 링크 계층(Layer 2) 구간에서는 적용이 불가능하다. Network encryption protocols such as virtual private networks (VPNs) are based on point-to-point communication based on IP addresses of the network layer (Layer 3). This connection configuration is complicated to configure and manage in proportion to the number of targets, and is not applicable in the data link layer (Layer 2) section that is not involved in the IP address.

데이터 링크 계층(Later 2) 구간에서의 암호화를 지원하는 프로토콜 표준으로는 MACsec이 있다. 그러나 MACsec은 구성 단계에서 암호화를 시작하고 종료하는 구간인 스위치 포트의 MAC 주소를 입력해야 하는 등 구성 체계가 복잡하다. MACsec is a protocol standard that supports encryption in the data link layer (Later 2) section. However, MACsec has a complicated configuration scheme in which the MAC address of the switch port, which is a period of starting and ending encryption at the configuration stage, must be entered.

따라서, 데이터 링크 계층 구간에서 암호화 구간을 결정(설정)하고, 별도의 추가적인 설정 없이 호스트들 간의 데이터 암호화를 수행하는 기술의 개발이 필요하다. Therefore, it is necessary to develop a technology for determining (setting) an encryption section in the data link layer section and performing data encryption between hosts without additional setting.

한국 등록 특허 제10-1421399호, 2014년 07월 18일 공고(명칭: 링크 계층 암호화/복호화 능력을 구비하는 단말 장치 및 그의 데이터 처리 방법)Korean Registered Patent No. 10-1421399, published on July 18, 2014 (Name: Terminal device having a link layer encryption / decryption capability and its data processing method)

본 발명의 목적은 IP 주소에 관여하지 않는 데이터 링크 계층(Layer 2) 구간에서의 암호화를 지원하는 것이다. An object of the present invention is to support encryption in a data link layer (Layer 2) section that does not participate in an IP address.

또한, 본 발명의 목적은 종래 기술에 따른 MACsec의 번거로운 MAC 주소 입력 과정 문제를 해결하여, 데이터 링크 계층 구간에서의 암호화 구간을 설정 과정을 간소화하는 것이다. In addition, an object of the present invention is to solve the cumbersome MAC address input process of MACsec according to the prior art, to simplify the process of setting the encryption interval in the data link layer interval.

또한, 본 발명의 목적은 데이터 링크 계층 구간에서 암호화 구간을 스스로 결정할 수 있도록 하는 것이다. In addition, an object of the present invention is to be able to determine the encryption interval in the data link layer interval by itself.

또한, 본 발명의 목적은 암호 포트 지정으로, 별도의 추가적인 설정 없이 데이터 링크 계층의 네트워크 내에서 암호 포트와 연결되어 있는 호스트들 간의 데이터 암호화를 수행할 수 있도록 하는 것이다. In addition, an object of the present invention is to designate a cipher port, to enable data encryption between hosts connected to the cipher port in a network of a data link layer without additional setting.

상기한 목적을 달성하기 위한 본 발명에 따른 네트워크 스위치에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법은, 출발지 호스트와 암호 포트를 통해 연결된 네트워크 스위치인 송신자가, 수신자로 요청 프레임을 전송하는 단계, 상기 송신자가 목적지 호스트와 연결된 상기 수신자로부터 응답 프레임을 수신하는 단계, 상기 송신자가 상기 수신자와의 세션 상태를 초기 상태에서 준비 상태로 변경하는 단계, 그리고 상기 송신자가 상기 출발지 호스트와 상기 목적지 호스트 간의 세션을 데이터 링크 계층에서의 암호화 구간으로 설정하는 단계를 포함한다. In order to achieve the above object, an encryption interval setting method in a data link layer performed by a network switch according to an embodiment of the present invention includes: transmitting a request frame to a receiver by a sender, which is a network switch connected through a source host and an encryption port; Receiving, by the sender, a response frame from the receiver connected with a destination host, the sender changing a session state with the receiver from an initial state to a ready state, and wherein the sender is between the source host and the destination host. Setting the session to an encryption interval at the data link layer.

이때, 상기 송신자가 상기 수신자로부터 기 설정된 대기 시간 이내에 상기 응답 프레임을 수신하지 못한 경우, 상기 수신자와의 세션 정보를 거부 리스트에 저장하는 단계를 더 포함할 수 있다. In this case, when the sender does not receive the response frame within the preset waiting time from the receiver, the method may further include storing session information with the receiver in a reject list.

이때, 상기 송신자와 상기 수신자 간의 세션 정보는, 상기 응답 프레임을 전송한 상기 수신자의 복호화 리스트에 저장될 수 있다. In this case, session information between the sender and the receiver may be stored in a decryption list of the receiver that transmitted the response frame.

이때, 상기 송신자가 상기 준비 상태로 변경한 후, 상기 수신자와의 세션 정보를 암호화 리스트에 저장하는 단계를 더 포함할 수 있다. In this case, after the sender changes to the ready state, the method may further include storing session information with the receiver in an encrypted list.

이때, 상기 거부 리스트, 상기 암호화 리스트 및 상기 복호화 리스트 중 적어도 어느 하나는, 상기 세션에 상응하는 출발지 IP, 목적지 IP 및 히트 타임(Hit Time) 중 적어도 어느 하나를 포함할 수 있다. In this case, at least one of the reject list, the encryption list, and the decryption list may include at least one of a source IP, a destination IP, and a hit time corresponding to the session.

이때, 상기 송신자가 상기 출발지 호스트로부터 데이터를 수신하는 단계, 상기 송신자가 상기 데이터가 상기 데이터 링크 계층에서의 암호화 구간에 상응하는 암호화 대상인지 여부를 판단하는 단계, 그리고 상기 데이터가 상기 암호화 대상인 것으로 판단된 경우, 상기 송신자가 상기 데이터를 암호화하여 상기 수신자로 전송하는 단계를 더 포함할 수 있다. In this case, the sender receives data from the source host, the sender determines whether the data is an encryption target corresponding to an encryption section in the data link layer, and determines that the data is the encryption target. If so, the sender may further include encrypting the data and transmitting the encrypted data to the receiver.

이때, 상기 암호화 대상인지 여부를 판단하는 단계는, 상기 데이터가 상기 출발지 호스트와의 암호 포트를 통하여 수신된 것인지 여부를 판단하는 단계, 상기 데이터에 상응하는 세션이 암호화 세션인지 여부를 판단하는 단계, 그리고 상기 송신자가 상기 수신자와의 세션 상태가 상기 준비 상태인지 여부를 확인하는 단계를 포함할 수 있다. In this case, the step of determining whether the encryption target is, determining whether the data is received through the encryption port with the source host, determining whether the session corresponding to the data is an encrypted session, And checking, by the sender, whether the session state with the receiver is the ready state.

이때, 상기 암호화 세션인지 여부를 판단하는 단계는, 상기 송신자가 기 설정된 필터 리스트 및 거부 리스트 중 적어도 어느 하나를 기반으로, 상기 데이터에 상응하는 세션이 상기 암호화 세션인지 여부를 판단할 수 있다. In this case, the determining of whether the session is an encryption session may include determining whether a session corresponding to the data is the encryption session based on at least one of a preset filter list and a reject list.

이때, 상기 필터 리스트는, 출발지 IP, 목적지 IP, 프로토콜 및 암호화 여부 중 적어도 어느 하나를 포함하며, 상기 암호화 세션인지 여부를 판단하는 단계는, 상기 필터 리스트의 상기 암호화 여부를 기반으로, 상기 데이터에 상응하는 세션이 상기 암호화 세션인지 여부를 판단할 수 있다. In this case, the filter list includes at least one of a source IP, a destination IP, a protocol, and whether encryption is performed, and determining whether the filter list is the encryption session is performed based on whether the filter list is encrypted or not. It may be determined whether the corresponding session is the encryption session.

이때, 상기 준비 상태인지 여부를 확인하는 단계는, 상기 송신자가 상기 암호화 리스트를 기반으로 상기 데이터에 상응하는 세션이 상기 암호화 리스트에 포함되어 있는지 여부를 판단하여, 상기 세션 상태가 상기 준비 상태인지 여부를 확인할 수 있다. In this case, the checking of whether the session is in the ready state may include determining whether a session corresponding to the data is included in the encryption list, based on the encryption list. You can check.

이때, 상기 데이터를 수신한 상기 수신자는, 복호화 리스트를 기반으로 상기 데이터가 복호화 대상인지 여부를 판단하는 단계, 그리고 상기 복호화 대상인 것으로 판단된 경우, 상기 데이터를 복호화하여, 상기 목적지 호스트로 전송하는 단계를 더 포함할 수 있다. In this case, the receiver receiving the data determines whether the data is a decoding target based on a decryption list, and if it is determined that the data is the decoding target, decoding the data and transmitting the data to the destination host. It may further include.

이때, 상기 요청 프레임 및 상기 응답 프레임에 상응하는 프로토콜 데이터 유닛은, 세션의 IP 헤더, 오퍼레이션 코드, 아이디, 길이 및 파라미터 중 적어도 어느 하나의 필드를 포함할 수 있다. In this case, the protocol data unit corresponding to the request frame and the response frame may include at least one of an IP header, an operation code, an ID, a length, and a parameter of the session.

이때, 상기 응답 프레임을 수신한 상기 송신자가, 상기 요청 프레임에 상응하는 상기 아이디 및 상기 응답 프레임에 상응하는 상기 아이디가 동일한지 여부를 판단하는 단계, 그리고 상기 아이디가 상이한 경우 상기 응답 프레임을 폐기하는 단계를 더 포함할 수 있다. In this case, the sender receiving the response frame determines whether the ID corresponding to the request frame and the ID corresponding to the response frame are the same, and discards the response frame if the ID is different. It may further comprise a step.

또한, 데이터 링크 계층에서의 암호화 구간을 설정하는 네트워크 스위치는, 출발지 호스트와 연결된 암호 포트를 포함하는 제1 포트, 암호화 구간을 설정하기 위하여, 목적지 호스트에 상응하는 수신자로 요청 프레임을 전송하고, 상기 수신자로부터 응답 프레임을 수신하는 제2 포트, 기 설정된 대기 시간 이내에 상기 응답 프레임 수신 시, 상기 수신자와의 세션 상태를 초기 상태에서 준비 상태로 변경하는 세션 상태 변경부, 그리고 상기 출발지 호스트와 상기 목적지 호스트 간의 세션을 데이터 링크 계층에서의 암호화 구간으로 설정하는 암호화 구간 설정부를 포함한다. The network switch for setting an encryption section in the data link layer may include a first port including an encryption port connected to a source host, and a request frame to a receiver corresponding to a destination host to set an encryption section, and A second port for receiving a response frame from a receiver, a session state changing unit for changing a session state with the receiver from an initial state to a ready state when receiving the response frame within a preset waiting time, and the source host and the destination host And an encryption section setting unit for setting an intersession session as an encryption section in the data link layer.

이때, 상기 제1 포트를 통하여 상기 출발지 호스트로부터 수신한 데이터가 상기 암호화 구간에 상응하는 암호화 대상인지 여부를 판단하는 암호화 대상 판단부, 그리고 상기 데이터가 상기 암호화 대상인 것으로 판단된 경우, 상기 제2 포트를 통해 상기 수신자로 전송할 상기 데이터를 암호화하는 암호화부를 더 포함할 수 있다. In this case, an encryption object determination unit that determines whether data received from the source host through the first port is an encryption object corresponding to the encryption section, and when it is determined that the data is the encryption object, the second port It may further include an encryption unit for encrypting the data to be transmitted to the receiver through.

이때, 상기 암호화 대상 판단부는, 상기 데이터가 상기 암호 포트를 통하여 수신된 것인지 여부를 판단하고, 상기 데이터에 상응하는 세션이 암호화 세션인지 여부를 판단하며, 상기 수신자와의 세션 상태가 상기 준비 상태인지 여부를 확인하여, 상기 데이터가 상기 암호화 구간에 상응하는 암호화 대상인지 여부를 판단할 수 있다. In this case, the encryption target determination unit determines whether the data is received through the encryption port, determines whether the session corresponding to the data is an encrypted session, and whether the session state with the receiver is the ready state. By checking whether the data is an encryption target corresponding to the encryption section, it may be determined.

이때, 상기 제2 포트가 상기 대기 시간 이내에 상기 응답 프레임을 수신하지 못한 경우 상기 수신자와의 세션 정보를 거부 리스트에 저장하거나, 상기 세션 상태를 상기 준비 상태로 변경한 후 상기 수신자와의 세션 정보를 암호화 리스트에 저장하는 리스트 저장부를 더 포함할 수 있다. In this case, when the second port does not receive the response frame within the waiting time, the session information with the receiver is stored in the reject list or the session information with the receiver is changed after changing the session state to the ready state. The apparatus may further include a list storage unit for storing the encrypted list.

이때, 상기 암호화 대상 판단부는, 상기 리스트 저장부에 저장된 필터 리스트 및 상기 거부 리스트 중 적어도 어느 하나를 기반으로, 상기 데이터에 상응하는 세션이 상기 암호화 세션인지 여부를 판단할 수 있다. In this case, the encryption target determination unit may determine whether the session corresponding to the data is the encryption session based on at least one of the filter list and the reject list stored in the list storage unit.

이때, 상기 암호화 대상 판단부는, 상기 암호화 리스트를 기반으로 상기 데이터에 상응하는 세션이 상기 암호화 리스트에 포함되어 있는지 여부를 판단하여, 상기 세션 상태가 상기 준비 상태인지 여부를 확인할 수 있다. In this case, the encryption object determination unit may determine whether the session state is the ready state by determining whether a session corresponding to the data is included in the encryption list based on the encryption list.

이때, 상기 데이터를 수신한 상기 수신자는, 복호화 리스트를 기반으로 상기 데이터가 복호화 대상인지 여부를 판단하고, 상기 복호화 대상인 것으로 판단된 경우 상기 데이터를 복호화하여 상기 목적지 호스트로 전송할 수 있다. In this case, the receiver receiving the data may determine whether the data is a decryption target based on a decryption list, and if it is determined that the data is the decryption target, decode the data and transmit it to the destination host.

본 발명에 따르면, IP 주소에 관여하지 않는 데이터 링크 계층(Layer 2) 구간에서의 암호화를 지원할 수 있다. According to the present invention, it is possible to support encryption in a data link layer (Layer 2) section not involved in the IP address.

또한 본 발명에 따르면, 종래 기술에 따른 MACsec의 번거로운 MAC 주소 입력 과정 문제를 해결하여, 데이터 링크 계층 구간에서의 암호화 구간을 설정 과정을 간소화할 수 있다. In addition, according to the present invention, solving the cumbersome MAC address input process of MACsec according to the prior art, it is possible to simplify the process of setting the encryption interval in the data link layer interval.

또한 본 발명에 따르면, 데이터 링크 계층 구간에서 암호화 구간을 스스로 결정할 수 있다. In addition, according to the present invention, the encryption interval in the data link layer interval can determine by itself.

또한 본 발명에 따르면, 암호 포트 지정으로, 별도의 추가적인 설정 없이 데이터 링크 계층의 네트워크 내에서 암호 포트와 연결되어 있는 호스트들 간의 데이터 암호화를 수행할 수 있다. In addition, according to the present invention, with encryption port designation, data encryption between hosts connected to the encryption port in the network of the data link layer can be performed without additional setting.

도 1은 본 발명의 일실시예에 따른 데이터 링크 계층에서의 암호화 구간 설정을 위한 네트워크 스위치가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 송신자 네트워크 스위치의 구성을 나타낸 도면이다.
도 3은 본 발명의 일실시예에 따른 수신자 네트워크 스위치의 구성을 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 데이터 링크 계층에서의 암호화 구간을 설정하고, 데이터 링크 계층에서의 데이터를 암호화하는 방법을 설명하기 위한 순서도이다.
도 5는 도 4의 S410 단계에서 데이터 링크 계층에서의 암호화 구간을 설정하는 과정을 설명하기 위한 순서도이다.
도 6은 도 4의 S430 단계에서 데이터가 암호화 대상인지 여부를 판단하는 과정을 설명하기 위한 순서도이다.
도 7은 도 4의 S440 단계에서 수신자 네트워크 스위치가 수신된 데이터를 복호화 및 전달하는 과정을 설명하기 위한 순서도이다.
도 8은 본 발명의 일실시예에 따른 송신자 네트워크 스위치와 수신자 네트워크 스위치 간에 교환되는 프로토콜 데이터 유닛을 나타낸 도면이다.
도 9는 본 발명의 일실시예에 따른 네트워크 스위치가 암호 포트 간의 세션에 대하여 암호화를 수행하는 경우를 설명하기 위한 도면이다.
도 10은 본 발명의 일실시예에 따른 네트워크 스위치가 일반 포트와의 세션에 대하여 암호화를 수행하지 않는 경우를 설명하기 위한 도면이다. 1 is a diagram schematically illustrating an environment to which a network switch for setting an encryption interval in a data link layer according to an embodiment of the present invention is applied.
2 is a diagram illustrating a configuration of a sender network switch according to an embodiment of the present invention.
3 is a diagram illustrating a configuration of a receiver network switch according to an embodiment of the present invention.
4 is a flowchart illustrating a method for setting an encryption section in a data link layer and encrypting data in the data link layer according to an embodiment of the present invention.
5 is a flowchart illustrating a process of setting an encryption section in a data link layer in step S410 of FIG. 4.
FIG. 6 is a flowchart illustrating a process of determining whether data is an encryption target in operation S430 of FIG. 4.
FIG. 7 is a flowchart illustrating a process of decrypting and transferring data received by a receiver network switch in operation S440 of FIG. 4.
8 is a diagram illustrating a protocol data unit exchanged between a sender network switch and a receiver network switch according to an embodiment of the present invention.
FIG. 9 is a diagram illustrating a case where a network switch performs encryption on a session between cryptographic ports according to an embodiment of the present invention.
FIG. 10 illustrates a case in which a network switch does not perform encryption for a session with a general port according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.As the inventive concept allows for various changes and numerous embodiments, particular embodiments will be illustrated in the drawings and described in detail in the written description.

그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular example embodiments only and is not intended to be limiting of the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art and shall not be construed in ideal or excessively formal meanings unless expressly defined in this application. Do not.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, with reference to the accompanying drawings, it will be described in detail a preferred embodiment of the present invention. In the following description of the present invention, the same reference numerals are used for the same elements in the drawings and redundant descriptions of the same elements will be omitted.

도 1은 본 발명의 일실시예에 따른 데이터 링크 계층에서의 암호화 구간 설정을 위한 네트워크 스위치가 적용되는 환경을 개략적으로 나타낸 도면이다. 1 is a diagram schematically illustrating an environment to which a network switch for setting an encryption interval in a data link layer according to an embodiment of the present invention is applied.

도 1에 도시한 바와 같이, 데이터 링크 계층에서의 암호화 구간 설정을 위한 네트워크 스위치는 출발지 호스트(100)와 목적지 호스트(400) 사이에 위치한다. 그리고 출발지 호스트(100)와 연결된 송신자 네트워크 스위치(200)는 목적지 호스트(400)와 연결된 수신자 네트워크 스위치(300)와 요청 프레임 및 응답 프레임을 송수신하여 암호화 구간을 결정한다. As shown in FIG. 1, a network switch for setting an encryption interval in a data link layer is located between a source host 100 and a destination host 400. The sender network switch 200 connected to the source host 100 transmits and receives a request frame and a response frame with the receiver network switch 300 connected to the destination host 400 to determine an encryption section.

수신자 네트워크 스위치(300)는 수신된 요청 프레임에 상응하는 목적지 호스트(400)가 존재하는 경우, 송신자 네트워크 스위치(200)로 응답 프레임을 전송하고, 송신자 네트워크 스위치(200)와의 세션 정보를 복호화 리스트에 저장한다. 그리고 응답 프레임을 수신한 송신자 네트워크 스위치(200)는 세션 상태를 초기 상태에서 준비 상태로 전환하고, 수신자 네트워크 스위치(300)와의 세션 정보를 암호화 리스트에 저장한다. If there is a destination host 400 corresponding to the received request frame, the receiver network switch 300 transmits a response frame to the sender network switch 200, and transmits session information with the sender network switch 200 to the decryption list. Save it. The sender network switch 200 receiving the response frame switches the session state from the initial state to the ready state, and stores the session information with the receiver network switch 300 in the encryption list.

송신자 네트워크 스위치(200)와 수신자 네트워크 스위치(300)는 암호화가 설정된 포트인 암호 포트 간의 세션에 대하여 암호화를 지원하며, 암호화가 설정되어 있지 않은 포트인 일반 포트 간의 세션에 대해서는 암호를 지원하지 않는다. 이때, 암호 포트는 사용자에 의해 설정 또는 해제될 수 있다. The sender network switch 200 and the receiver network switch 300 support encryption for a session between a cipher port, which is an encryption port, and no encryption for a session between a general port, a port where encryption is not set. At this time, the password port may be set or released by the user.

그리고 송신자 네트워크 스위치(200)는 암호화 리스트를 기반으로 세션에 대한 암호화 여부를 결정할 수 있으며, 수신자 네트워크 스위치(200)는 복호화 리스트를 기반으로 세션에 대한 복호화 여부를 결정할 수 있다. The sender network switch 200 may determine whether to encrypt the session based on the encryption list, and the receiver network switch 200 may determine whether to decrypt the session based on the decryption list.

또한, 송신자 네트워크 스위치(200)와 수신자 네트워크 스위치(300)는 필터 리스트를 기반으로 필터링을 수행하여, 암호화하고자 하는 세션을 특정하거나, 제외할 수 있다. In addition, the sender network switch 200 and the receiver network switch 300 may perform filtering based on the filter list to specify or exclude a session to be encrypted.

여기서, 세션은 송신자 네트워크 스위치(200)가 암호 포트에 연결된 출발지 호스트(100)로부터 수신한 패킷의 출발지 IP 주소 및 목적지 IP 주소의 조합을 의미하며, 모든 암호화 대상의 기본 단위이다. Here, the session means a combination of the source IP address and the destination IP address of the packet received by the sender network switch 200 from the source host 100 connected to the cipher port, and is a basic unit of all encryption targets.

이하에서는 도 2 및 도 3을 통하여, 본 발명의 일실시예에 따른 송신자 네트워크 스위치 및 수신자 네트워크 스위치의 구성에 대하여 더욱 상세하게 설명한다. Hereinafter, the configuration of a sender network switch and a receiver network switch according to an embodiment of the present invention will be described in more detail with reference to FIGS. 2 and 3.

도 2는 본 발명의 일실시예에 따른 송신자 네트워크 스위치의 구성을 나타낸 도면이다. 2 is a diagram illustrating a configuration of a sender network switch according to an embodiment of the present invention.

도 2에 도시한 바와 같이, 송신자 네트워크 스위치(200)는 제1 포트(210), 세션 상태 변경부(220), 암호화 구간 설정부(230), 리스트 저장부(240), 암호화 대상 판단부(250), 암호화부(260) 및 제2 포트(270)를 포함한다. As shown in FIG. 2, the sender network switch 200 includes a first port 210, a session state changing unit 220, an encryption section setting unit 230, a list storage unit 240, and an encryption target determination unit ( 250, an encryption unit 260, and a second port 270.

먼저, 제1 포트(210)는 출발지 호스트(100)와 연결되는 포트로, 일반 포트 및 암호 포트를 포함할 수 있다. 그리고 제2 포트(270)는 목적지 호스트(400)에 상응하는 수신자 네트워크 스위치(300)와 연결되는 포트로, 일반 포트를 포함할 수 있다. 제2 포트(270)는 암호화 구간을 설정하기 위하여, 수신자 네트워크 스위치(300)로 요청 프레임을 전송하며, 수신자 네트워크 스위치(300)로부터 응답 프레임을 수신한다. First, the first port 210 is a port that is connected to the source host 100, and may include a general port and a cryptographic port. The second port 270 is a port connected to the receiver network switch 300 corresponding to the destination host 400, and may include a general port. The second port 270 transmits a request frame to the receiver network switch 300 and receives a response frame from the receiver network switch 300 to set an encryption section.

즉, 송신자 네트워크 스위치(200)는 각각의 세션에 대하여 암호화를 수행할지 여부를 결정하기 위하여, 제2 포트(270)를 통해 수신자 네트워크 스위치(300)로 요청 프레임을 전송할 수 있다. That is, the sender network switch 200 may transmit a request frame to the receiver network switch 300 through the second port 270 to determine whether to perform encryption for each session.

다음으로 세션 상태 변경부(220)는 목적지 호스트(400)에 상응하는 수신자 네트워크 스위치(300)로부터 응답 프레임을 수신하면 수신자 네트워크 스위치(300)와의 세션 상태를 초기 상태에서 준비 상태로 변경한다. 이때, 세션 상태 변경부(220)는 기 설정된 대기 시간 이내에 응답 프레임을 수신하였는지 판단하고, 대기 시간 이내에 응답 프레임을 수신한 경우에만 세션 상태를 준비 상태로 변경할 수 있다. Next, when receiving a response frame from the receiver network switch 300 corresponding to the destination host 400, the session state changing unit 220 changes the session state with the receiver network switch 300 from the initial state to the ready state. In this case, the session state changing unit 220 may determine whether a response frame is received within a preset waiting time, and change the session state to a ready state only when the response frame is received within the waiting time.

반면, 대기 시간 이내에 응답 프레임을 수신하지 못한 경우, 송신자 네트워크 스위치(200)는 기 설정된 시간(ex. 1초)을 대기한 후, 제2 포트(270)를 통하여 수신자 네트워크 스위치(300)로 다시 요청 프레임을 전송할 수 있다. On the other hand, if the response frame is not received within the waiting time, the sender network switch 200 waits for a predetermined time (ex. 1 second), and then returns to the receiver network switch 300 through the second port 270. Request frame can be sent.

그리고 암호화 구간 설정부(230)는 요청 프레임에 상응하는 응답 프레임을 대기 시간 이내에 수신한 경우, 출발지 호스트(100)와 목적지 호스트 간의 세션을 데이터 링크 계층에서의 암호화 구간으로 설정한다. When receiving a response frame corresponding to the request frame within a waiting time, the encryption section setting unit 230 sets a session between the source host 100 and the destination host as an encryption section in the data link layer.

리스트 저장부(240)는 거부 리스트(Deny List), 암호화 리스트(Encryption list) 및 필터 리스트(Filter list) 중 적어도 어느 하나를 저장할 수 있다. The list storage unit 240 may store at least one of a deny list, an encryption list, and a filter list.

특히, 리스트 저장부(240)는 제2 포트(270)를 통해 대기 시간 이내에 응답 프레임을 수신하지 못한 경우, 목적지 호스트(400)와의 세션 정보를 거부 리스트에 저장할 수 있다. 여기서, 거부 리스트에 저장된 세션은 비암호화 세션을 의미하며, 송신자 네트워크 스위치(200)는 거부 리스트에 저장된 세션에 대하여 암호화를 수행하지 않는다. In particular, when the list storage unit 240 does not receive a response frame within the waiting time through the second port 270, the list storage unit 240 may store session information with the destination host 400 in the reject list. Here, the session stored in the reject list means an unencrypted session, and the sender network switch 200 does not perform encryption on the session stored in the reject list.

또한, 리스트 저장부(240)는 대기 시간 이내에 제2 포트(270)를 통해 응답 프레임을 수신한 경우, 목적지 호스트(400)와의 세션 상태를 암호화 리스트에 저장할 수 있다. In addition, when receiving a response frame through the second port 270 within the waiting time, the list storage unit 240 may store the session state with the destination host 400 in an encrypted list.

거부 리스트 및 암호화 리스트는, 세션에 상응하는 출발지 IP, 목적지 IP 및 히트 타임(Hit Time) 중 적어도 어느 하나를 포함할 수 있다. 출발지 IP 및 목적지 IP는 암호화 대상이 되지 못한 세션/암호화 대상이 되는 세션의 정보를 의미하고, 히트 타임은 해당 세션이 마지막으로 전송된 시간을 의미한다. 이때, 히트 타임이 일정 시간 갱신되지 않은 경우, 해당 세션의 정보는 리스트에서 삭제될 수 있다. The deny list and the encrypted list may include at least one of a source IP, a destination IP, and a hit time corresponding to the session. The source IP and the destination IP mean information of a session / encryption session that is not encrypted, and hit time means a time when the session was last transmitted. At this time, if the hit time is not updated for a predetermined time, the information of the corresponding session may be deleted from the list.

그리고 필터 리스트는 출발지 IP, 목적지 IP, 프로토콜 및 암호화 여부 중 적어도 어느 하나를 포함할 수 있다. 송신자 네트워크 스위치(200)는 필터 리스트를 이용하여 암호화 대상 세션에 대한 필터링을 수행할 수 있으며, 필터 리스트의 검색 결과를 기반으로 해당 세션의 암호화 여부를 결정할 수 있다. The filter list may include at least one of a source IP, a destination IP, a protocol, and whether encryption is performed. The sender network switch 200 may perform filtering on the session to be encrypted using the filter list, and may determine whether to encrypt the session based on a search result of the filter list.

다음으로 암호화 대상 판단부(250)는 제1 포트(210)를 통해 출발지 호스트(100)로부터 수신한 데이터가 암호화 구간에 상응하는 암호화 대상인지 여부를 판단한다. 이때, 암호화 대상 판단부(250)는 데이터가 암호 포트를 통해 출발지 호스트(100)로부터 수신된 것인지 여부를 판단하고, 데이터에 상응하는 세션이 암호화 세션인지 여부를 판단하며, 세션 상태가 준비 상태인지 여부를 확인하는 과정을 수행하여, 해당 데이터가 암호화 구간에 상응하는 암호화 대상인지 여부를 판단할 수 있다. Next, the encryption target determination unit 250 determines whether the data received from the source host 100 through the first port 210 is an encryption target corresponding to the encryption section. In this case, the encryption target determination unit 250 determines whether the data is received from the source host 100 through the encryption port, determines whether the session corresponding to the data is an encrypted session, and whether the session state is in a ready state. A process of checking whether the data is encrypted may be determined whether the corresponding data is an encryption target corresponding to the encryption section.

또한, 암호화 대상 판단부(250)는 리스트 저장부(240)에 저장된 필터 리스트, 거부 리스트 중 적어도 어느 하나를 기반으로 해당 세션이 암호화 세션인지 여부를 판단할 수 있다. In addition, the encryption target determination unit 250 may determine whether the corresponding session is an encryption session based on at least one of the filter list and the reject list stored in the list storage unit 240.

그리고 암호화 대상 판단부(250)는 암호화 리스트를 기반으로 데이터에 상응하는 세션이 암호화 리스트에 포함되어 있는지 여부를 판단하거나 세션 상태가 초기 상태인지 여부를 판단하여, 세션 상태가 준비 상태인지 확인할 수 있다. The encryption target determination unit 250 may determine whether the session state is in a ready state by determining whether a session corresponding to data is included in the encryption list or determining whether the session state is an initial state based on the encryption list. .

암호화부(260)는 출발지 호스트(100)로부터 수신된 데이터가 암호화 대상인 것으로 판단된 경우, 해당 데이터를 암호화하며, 암호화된 데이터는 제2 포트(270)를 통하여 수신자 네트워크 스위치(300)로 전송된다. If it is determined that the data received from the source host 100 is an encryption target, the encryption unit 260 encrypts the data, and the encrypted data is transmitted to the receiver network switch 300 through the second port 270. .

도 3은 본 발명의 일실시예에 따른 수신자 네트워크 스위치의 구성을 나타낸 도면이다. 3 is a diagram illustrating a configuration of a receiver network switch according to an embodiment of the present invention.

도 3과 같이, 수신자 네트워크 스위치(300)는 제3 포트(310), 복호화 리스트 저장부(320), 복호화 대상 판단부(330), 복호화부(340), 제4 포트(350)를 포함한다. As shown in FIG. 3, the receiver network switch 300 includes a third port 310, a decryption list storage unit 320, a decryption target determination unit 330, a decryption unit 340, and a fourth port 350. .

제3 포트(310)는 송신자 네트워크 스위치(200)의 제2 포트(270)로부터 요청 프레임을 수신하고, 제2 포트(270)로 응답 프레임을 전송한다. 또한, 제3 포트는 제2 포트(270)로부터 출발지 호스트(100)가 전송한 데이터를 수신할 수 있으며, 수신된 데이터는 제4 포트(350)를 통해 목적지 호스트(400)로 전송된다. The third port 310 receives a request frame from the second port 270 of the sender network switch 200 and transmits a response frame to the second port 270. In addition, the third port may receive data transmitted from the source host 100 from the second port 270, and the received data is transmitted to the destination host 400 through the fourth port 350.

송신자 네트워크 스위치(200)의 제2 포트(270)로 응답 프레임을 전송한 후, 복호화 리스트 저장부(320)는 송신자 네트워크 스위치(200)와 수신자 네트워크 스위치(300) 간의 세션 정보를 복호화 리스트(Decryption List)에 저장한다. After transmitting the response frame to the second port 270 of the sender network switch 200, the decryption list storage unit 320 decrypts the session information between the sender network switch 200 and the receiver network switch 300. List).

그리고 복호화 대상 판단부(330)는 복화화 리스트 저장부(320)에 저장된 복호화 리스트를 기반으로, 수신된 데이터가 복호화 대상인지 여부를 판단한다. 또한, 복호화부(340)는 복호화 대상으로 판단된 데이터를 복호화하며, 복호화된 데이터는 제4 포트(350)를 통하여 목적지 호스트로 전송된다. The decoding target determination unit 330 determines whether the received data is a decoding target based on the decoding list stored in the decoding list storage 320. In addition, the decoder 340 decodes the data determined to be a decoding target, and the decoded data is transmitted to the destination host through the fourth port 350.

이하에서는 도 4 내지 도 6을 통하여 본 발명의 일실시예에 따른 송신자 네트워크 스위치가 데이터 링크 계층에서의 암호화 구간을 설정하고, 암호화 대상인지 여부를 판단하여 암호화를 수행하는 과정에 대하여 더욱 상세하게 설명한다. Hereinafter, a process in which the sender network switch according to an embodiment of the present invention sets an encryption section in the data link layer and determines whether to be an encryption target will be performed in detail with reference to FIGS. 4 to 6. do.

도 4는 본 발명의 일 실시예에 따른 데이터 링크 계층에서의 암호화 구간을 설정하고, 데이터 링크 계층에서의 데이터를 암호화하는 방법을 설명하기 위한 순서도이다. 4 is a flowchart illustrating a method for setting an encryption section in a data link layer and encrypting data in the data link layer according to an embodiment of the present invention.

먼저, 송신자 네트워크 스위치(200)는 수신자 네트워크 스위치(300)와의 데이터 교환을 통하여, 데이터 링크 계층에서의 암호화 구간을 설정한다(S410). First, the sender network switch 200 sets an encryption section in the data link layer through data exchange with the receiver network switch 300 (S410).

여기서, 송신자 네트워크 스위치(200)와 수신자 네트워크 스위치(300)는 최초 패킷 발생지를 기반으로 구분되며, 최초 패킷을 수신한 암호 포트에 상응하는 네트워크 스위치가 송신자 네트워크 스위치(200)를 의미하고, 최초 패킷에 상응하는 목적지 호스트(400)와 연결된 암호 포트에 상응하는 네트워크 스위치가 수신자 네트워크 스위치(300)를 의미한다. Here, the sender network switch 200 and the receiver network switch 300 are classified based on the original packet origin, and a network switch corresponding to the cipher port that received the first packet means the sender network switch 200, and the first packet. The network switch corresponding to the cryptographic port connected to the destination host 400 corresponding to the receiver network switch 300 means.

송신자 네트워크 스위치(200)는 수신자 네트워크 스위치(300)로 요청 프레임을 전송하고, 수신자 네트워크 스위치(300)로부터 응답 프레임을 수신하여, 데이터 링크 계층(Layer 2)에서의 암호화 구간을 설정할 수 있다. 즉, 송신자 네트워크 스위치(200)는 수신자 네트워크 스위치(300)와의 데이터 교환으로 스스로 암호화 구간을 결정할 수 있다. 송신자 네트워크 스위치(200)가 데이터 링크 계층에서의 암호화 구간을 설정하는 방법에 대해서는 후술할 도 5를 통하여 더욱 상세하게 설명한다. The sender network switch 200 may transmit a request frame to the receiver network switch 300, receive a response frame from the receiver network switch 300, and set an encryption section in the data link layer Layer 2. That is, the sender network switch 200 may determine an encryption section by exchanging data with the receiver network switch 300. A method of setting an encryption section in the data link layer by the sender network switch 200 will be described in more detail with reference to FIG. 5 to be described later.

도 5는 도 4의 S410 단계에서 데이터 링크 계층에서의 암호화 구간을 설정하는 과정을 설명하기 위한 순서도이다. 5 is a flowchart illustrating a process of setting an encryption section in a data link layer in step S410 of FIG. 4.

도 5에 도시한 바와 같이, 송신자 네트워크 스위치(200)는 수신자 네트워크 스위치(300)로 요청 프레임을 전송한다(S510). As shown in FIG. 5, the sender network switch 200 transmits a request frame to the receiver network switch 300 (S510).

송신자 네트워크 스위치(200)가 수신자 네트워크 스위치(300)로 요청 프레임을 전송할 때, 수신자 네트워크 스위치(300)와의 세션 상태는 초기 상태(Initial)이다. When the sender network switch 200 sends a request frame to the receiver network switch 300, the session state with the receiver network switch 300 is Initial.

그리고 송신자 네트워크 스위치(200)는 요청 프레임을 전송한 후로 경과된 시간을 카운팅하며, 경과된 시간이 기 설정된 대기 시간을 초과하였는지 여부를 판단한다(S520). 경과된 시간이 대기 시간을 초과하고, 대기 시간 내에 수신자 네트워크 스위치(300)로부터 응답 프레임을 수신하지 못한 경우, 송신자 네트워크 스위치(200)는 해당 수신자 네트워크 스위치(300)와의 세션 정보를 거부 리스트(Deny List)에 저장한다(S530).The sender network switch 200 counts the elapsed time after transmitting the request frame, and determines whether the elapsed time exceeds the preset waiting time (S520). If the elapsed time exceeds the waiting time and the response frame is not received from the receiver network switch 300 within the waiting time, the sender network switch 200 rejects the session information with the receiver network switch 300. List) (S530).

반면, 경과된 시간이 대기 시간 이내인 경우, 송신자 네트워크 스위치(200)는 수신자 네트워크 스위치(300)로부터 응답 프레임을 수신하였는지 여부를 판단한다(S540). On the other hand, when the elapsed time is within the waiting time, the sender network switch 200 determines whether a response frame is received from the receiver network switch 300 (S540).

대기 시간 이내에 응답 프레임을 수신하지 못한 경우, 송신자 네트워크 스위치(200)는 기 설정된 시간을 대기한 후(S550), 다시 S510 단계를 수행하여 수신자 네트워크 스위치(200)로 요청 프레임을 재전송한다. If the response frame is not received within the waiting time, the sender network switch 200 waits for a preset time (S550), and performs the step S510 again to retransmit the request frame to the receiver network switch 200.

대기 시간 이내에 수신자 네트워크 스위치(300)로부터 응답 프레임을 수신한 경우, 송신자 네트워크 스위치(200)는 세션 상태를 준비 상태(Ready)로 변경한다(S560). 그리고 송신자 네트워크 스위치(200)는 수신자 네트워크 스위치(300)와의 세션 정보를 암호화 리스트(Encryption list)에 저장한다(S570). When the response frame is received from the receiver network switch 300 within the waiting time, the sender network switch 200 changes the session state to ready state (S560). The sender network switch 200 stores session information with the receiver network switch 300 in an encryption list (S570).

이때, 수신자 네트워크 스위치(300)는 수신된 요청 프레임에 상응하는 목적지 호스트가 존재하는 경우, 송신자 네트워크 스위치(200)로 응답 프레임을 전송한다. 그리고 수신자 네트워크 스위치(300)는 송신자 네트워크 스위치(200)로 응답 프레임을 전송한 후, 송신자 네트워크 스위치(200)와의 세션 정보를 복호화 리스트(Decryption list)에 저장한다. 수신자 네트워크 스위치(300)는 복호화 리스트에 상응하는 암호화된 프레임을 수신한 경우, 해당 프레임을 복호화한다.At this time, when there is a destination host corresponding to the received request frame, the receiver network switch 300 transmits a response frame to the sender network switch 200. The receiver network switch 300 transmits the response frame to the sender network switch 200 and stores session information with the sender network switch 200 in a decryption list. When the receiver network switch 300 receives an encrypted frame corresponding to the decryption list, the receiver network switch 300 decrypts the frame.

여기서, 암호화 리스트에 저장된 세션 정보는 데이터 링크 계층에서의 암호화 구간을 의미한다. 그리고 송신자 네트워크 스위치(200)는 도 5의 과정을 통하여 데이터 링크 계층에서의 암호화 구간을 설정한 후, 암호 포트를 통하여 출발지 호스트로부터 수신된 데이터에 상응하는 세션이 암호화 리스트에 저장된 세션인 경우, 암호화를 수행한다. 다시 도 4에 대하여 설명하면, 송신자 네트워크 스위치(200)는 도 5의 과정을 통하여 데이터 링크 계층에서의 암호화 구간을 설정한 후, 출발지 호스트(100)로부터 데이터를 수신할 수 있다(S420).Here, the session information stored in the encryption list means an encryption section in the data link layer. After the sender network switch 200 sets an encryption section in the data link layer through the process of FIG. 5, if the session corresponding to the data received from the source host through the encryption port is a session stored in the encryption list, the encryption is performed. Perform Referring to FIG. 4 again, the sender network switch 200 may receive data from the source host 100 after setting the encryption section in the data link layer through the process of FIG. 5 (S420).

그리고 송신자 네트워크 스위치(200)는 해당 데이터가 암호화 대상인지 여부를 판단한다(S430). The sender network switch 200 determines whether the corresponding data is an encryption target (S430).

이때, 송신자 네트워크 스위치(200)는 출발지 호스트(100)와의 암호 포트를 통하여 수신된 데이터인지를 1차 판단하고, 암호화 세션에 상응하는 데이터인지 2차 판단하며, 현재 세션의 상태가 준비 상태인지 3차 판단하고, 1차 판단 내지 3차 판단의 결과를 기반으로 암호화 대상인지 여부를 판단할 수 있다. 송신자 네트워크 스위치(200)가 암호화 대상인지 여부를 판단하여, 데이터 암호화를 결정하는 과정은 후술할 도 6을 통하여 더욱 상세하게 설명한다. At this time, the sender network switch 200 first determines whether the data received through the encryption port with the source host 100, the second determination whether the data corresponding to the encryption session, and whether the state of the current session is ready 3 The second determination may be performed, and the determination may be made based on the result of the first to third determinations. The process of determining whether the sender network switch 200 is an encryption target and determining data encryption will be described in more detail with reference to FIG. 6 to be described later.

도 6은 도 4의 S430 단계에서 데이터가 암호화 대상인지 여부를 판단하는 과정을 설명하기 위한 순서도이다. FIG. 6 is a flowchart illustrating a process of determining whether data is an encryption target in operation S430 of FIG. 4.

도 6과 같이, 송신자 네트워크 스위치(200)는 수신된 데이터가 암호 포트로부터 수신된 데이터인지 여부를 판단한다(S610). As shown in FIG. 6, the sender network switch 200 determines whether the received data is data received from an encryption port (S610).

송신자 네트워크 스위치(200)는 수신된 데이터가 암호화된 포트인 암호 포트로부터 수신된 것인지 여부를 판단하며, 암호 포트를 통하여 수신된 데이터가 아닌 경우 도 4의 S450 단계를 수행할 수 있다. The sender network switch 200 determines whether the received data is received from an encrypted port, which is an encrypted port, and if the data is not received through the encrypted port, the transmitter network switch 200 may perform step S450 of FIG. 4.

즉, 송신자 네트워크스위치(200)는 해당 데이터에 상응하는 세션이 암호화 대상이 아닌 것으로 판단하고, 해당 데이터를 암호화하지 않고 수신자 네트워크 스위치(300)로 전송할 수 있다. That is, the sender network switch 200 may determine that the session corresponding to the data is not the encryption target, and transmit the data to the receiver network switch 300 without encrypting the data.

반면, 암호 포트로부터 수신된 데이터인 경우, 송신자 네트워크 스위치(200)는 데이터에 상응하는 세션이 암호화 세션인지 여부를 판단한다(S620). On the other hand, if the data is received from the encryption port, the sender network switch 200 determines whether the session corresponding to the data is an encrypted session (S620).

송신자 네트워크 스위치(200)는 거부 리스트 및 필터 리스트 중 적어도 어느 하나를 기반으로, 데이터에 상응하는 세션이 암호화 세션인지 여부를 판단할 수 있다. 이때, 송신자 네트워크 스위치(200)는 필터 리스트를 검색하여, 필터 리스트에 저장된 세션의 암호화 여부를 기반으로, 해당 세션이 암호화 세션인지 여부를 판단할 수 있다. The sender network switch 200 may determine whether the session corresponding to the data is an encrypted session based on at least one of the reject list and the filter list. In this case, the sender network switch 200 may search the filter list and determine whether the session is an encrypted session based on whether the session stored in the filter list is encrypted.

암호화 세션이 아닌 것으로 판단된 경우, 송신자 네트워크 스위치(200)는 후술할 도 4의 S450 단계를 수행하여 해당 데이터를 암호화하지 않은 상태로 수신자 네트워크 스위치(300)로 전송할 수 있다. If it is determined that the session is not an encrypted session, the sender network switch 200 may perform step S450 of FIG. 4 to be described later and transmit the data to the receiver network switch 300 without encrypting the corresponding data.

필터 리스트를 검색하여 암호화 세션인지 여부를 판단한 후, 송신자 네트워크 스위치(200)는 거부 리스트를 검색하여 해당 세션의 정보가 거부 리스트에 포함되어 있는지 여부를 판단할 수 있다. 해당 세션의 정보가 거부 리스트에 포함되어 있는 경우, 송신자 네트워크 스위치(200)는 해당 세션이 암호화 세션이 아닌 것(비 암호화 세션)으로 판단하고, 도 4의 S450 단계를 수행할 수 있다. After searching the filter list to determine whether the session is an encrypted session, the sender network switch 200 may search the reject list to determine whether information on the session is included in the reject list. If the information of the session is included in the deny list, the sender network switch 200 may determine that the session is not an encrypted session (non-encrypted session), and may perform step S450 of FIG. 4.

설명의 편의상, 송신자 네트워크 스위치(200)가 필터 리스트를 검색한 후 거부 리스트를 검색하는 것으로 설명하였으나 이에 한정하지 않고, 송신자 네트워크 스위치(200)는 거부 리스트를 먼저 검색한 후, 거부 리스트에 해당 세션의 정보가 포함되지 않은 경우에만 필터 리스트를 검색하는 과정을 수행할 수 있다. For convenience of explanation, the sender network switch 200 searches for the reject list after searching the filter list. However, the present invention is not limited thereto, and the sender network switch 200 searches the reject list first, and then the corresponding session in the reject list. The filter list can be searched only if the information of the is not included.

또한, 데이터가 암호 포트로부터 수신된 데이터이고, 데이터에 상응하는 세션이 암호화 세션인 경우, 송신자 네트워크 스위치(200)는 현재 세션의 상태가 준비 상태인지 여부를 판단한다(S630). In addition, when the data is data received from the cryptographic port, and the session corresponding to the data is an encrypted session, the sender network switch 200 determines whether the state of the current session is ready (S630).

S620 단계에서, 필터 리스트를 검색한 결과 암호화 세션인 것으로 판단되고, 거부 리스트에 해당 세션의 정보가 포함되어 있지 않은 것으로 판단된 경우, 송신자 네트워크 스위치(200)는 암호화 리스트를 기반으로 해당 세션이 상태가 준비 상태(Ready)인지 여부를 확인할 수 있다. In step S620, if it is determined that the encrypted session is found as a result of the search for the filter list, and it is determined that the information of the session is not included in the reject list, the sender network switch 200 states that the session is based on the encrypted list. It can be checked whether is in the Ready state.

이때, 세션의 상태가 준비 상태가 아닌 초기 상태(Initial)인 경우, 송신자 네트워크 스위치(200)는 수신자 네트워크 스위치(300)로 요청 프레임을 전송하여 암호화 여부를 판단할 수 있다(S640). 반면, 세션의 상태가 준비 상태인 경우, 송신자 네트워크 스위치(200)는 후술할 도 4의 S440 단계를 수행한다. In this case, when the state of the session is not the ready state (Initial), the sender network switch 200 may determine whether to encrypt by transmitting a request frame to the receiver network switch 300 (S640). On the other hand, when the state of the session is in the ready state, the sender network switch 200 performs step S440 of FIG. 4 to be described later.

다시 도 4에 대하여 설명하면, S430 단계에서 암호화 대상인 것으로 판단된 경우 송신자 네트워크 스위치(200)는 해당 데이터를 암호화하고, 암호화된 데이터를 수신자 네트워크 스위치(300)로 전송한다(S440). Referring back to FIG. 4, when it is determined that the encryption target is in operation S430, the sender network switch 200 encrypts the corresponding data and transmits the encrypted data to the receiver network switch 300 (S440).

반면, 암호화 대상이 아닌 것으로 판단된 경우, 송신자 네트워크 스위치(200)는 해당 데이터를 그대로 수신자 네트워크 스위치(300)로 전송할 수 있다(S450).On the other hand, if it is determined that the encryption target is not, the sender network switch 200 may transmit the data to the receiver network switch 300 as it is (S450).

그리고 데이터를 수신한 수신자 네트워크 스위치(300)는 해당 데이터가 복호화 대상인지 여부를 판단하며, 복호화 대상인 것으로 판단된 경우 해당 데이터를 복호화하여 목적지 호스트(400)로 전달한다. 송신자 네트워크 스위치(300)로부터 데이터를 수신한 수신자 네트워크 스위치(300)의 동작에 대해서는 후술할 도 7을 통하여 더욱 상세하게 설명한다. The receiver network switch 300 receiving the data determines whether the data is a decryption target, and if it is determined that the data is the decryption target, the receiver network switch 300 decrypts the data and transfers the data to the destination host 400. An operation of the receiver network switch 300 that receives data from the sender network switch 300 will be described in more detail with reference to FIG. 7 to be described later.

이하에서는 도 7을 통하여 본 발명의 일실시예에 따른 수신자 네트워크 스위치가 수신된 데이터를 처리하는 과정에 대하여 더욱 상세하게 설명한다. Hereinafter, a process of processing the received data by the receiver network switch according to an embodiment of the present invention will be described in more detail with reference to FIG. 7.

도 7은 도 4의 S440 단계에서 데이터를 수신한 수신자 네트워크 스위치가 데이터를 복호화 및 전달하는 과정을 설명하기 위한 순서도이다. FIG. 7 is a flowchart illustrating a process of decoding and transferring data by a receiver network switch receiving data in step S440 of FIG. 4.

먼저, 수신자 네트워크 스위치(300)는 송신자 네트워크 스위치(200)로부터 데이터를 수신한다(S710). 그리고 수신자 네트워크 스위치(300)는 수신된 데이터가 암호 해제 대상인지 여부를 판단한다(S720). First, the receiver network switch 300 receives data from the sender network switch 200 (S710). The receiver network switch 300 determines whether the received data is a decryption target (S720).

수신자 네트워크 스위치(300)는 복호화 리스트를 검색하여, 수신된 데이터에 상응하는 세션이 복호화 리스트에 포함되어 있는지 여부를 판단하며, 복호화 리스트에 포함되어 있는 경우, 해당 데이터를 암호 해제 대상인 것으로 판단한다. The receiver network switch 300 searches the decryption list to determine whether a session corresponding to the received data is included in the decryption list. If the receiver network switch 300 is included in the decryption list, the receiver network switch 300 determines that the data is to be decrypted.

여기서, 복호화 리스트는, 수신자 네트워크 스위치(300)가 송신자 네트워크 스위치(200)로 응답 프레임을 전송한 후 생성한 것으로, 수신자 네트워크 스위치(300)는 요청 프레임에 상응하는 목적지 호스트가 존재하는 목적지 호스트(400)가 존재하는 경우, 송신자 네트워크 스위치(200)와의 세션을 복호화 리스트에 저장한다. Here, the decryption list is generated after the receiver network switch 300 transmits a response frame to the sender network switch 200, and the receiver network switch 300 includes a destination host (the destination host corresponding to the request frame). If 400 exists, the session with the sender network switch 200 is stored in a decryption list.

그리고 수신자 네트워크 스위치(300)는 수신된 데이터가 암호 해제 대상인 것으로 판단된 경우, 해당 데이터를 복호화하고(S730), 복호화된 데이터를 목적지 호스트(400)로 전송한다. If it is determined that the received data is the target of decryption, the receiver network switch 300 decrypts the data (S730) and transmits the decrypted data to the destination host 400.

반면, 수신된 데이터가 암호 해제 대상이 아닌 것으로 판단된 경우, 수신자 네트워크 스위치(300)는 수신된 데이터를 그대로 목적지 호스트(400)로 전송할 수 있다. On the other hand, if it is determined that the received data is not the target of decryption, the receiver network switch 300 may transmit the received data to the destination host 400 as it is.

이하에서는 도 8을 통하여 본 발명의 일실시예에 따른 송신자 네트워크 스위치와 수신자 네트워크 스위치 간에 교환되는 프로토콜 데이터 유닛에 대하여 더욱 상세하게 설명한다. Hereinafter, a protocol data unit exchanged between a sender network switch and a receiver network switch according to an embodiment of the present invention will be described in more detail with reference to FIG. 8.

도 8은 본 발명의 일실시예에 따른 송신자 네트워크 스위치와 수신자 네트워크 스위치 간에 교환되는 프로토콜 데이터 유닛을 나타낸 도면이다. 8 is a diagram illustrating a protocol data unit exchanged between a sender network switch and a receiver network switch according to an embodiment of the present invention.

도 8에 도시한 바와 같이, 프로토콜 데이터 유닛(Protocol Data Unit)(800)은 세션의 IP 헤더(810), 오퍼레이션 코드(820), 아이디(830), 길이(840) 및 파라미터(850)로 구성될 수 있다. As shown in FIG. 8, the protocol data unit 800 consists of an IP header 810, an operation code 820, an ID 830, a length 840, and a parameter 850 of the session. Can be.

프로토콜 데이터 유닛(800)은 송신자 네트워크 스위치(200)와 수신자 네트워크 스위치(300) 간의 세션에 대한 암호화 여부를 결정하므로, 세션의 IP 헤더(810)는 해당 세션의 IP 헤더를 그대로 사용할 수 있으며, 프로토콜 번호는 특별한 사용처가 정의되지 않은 197번을 사용할 수 있다. Since the protocol data unit 800 determines whether to encrypt the session between the sender network switch 200 and the receiver network switch 300, the IP header 810 of the session may use the IP header of the session as it is, and the protocol The number may use 197, where no special use is defined.

그리고 오퍼레이션 코드(820)는 16bit 길이의 Request(10)와 Response(20) 종류가 있으며, 아이디(830)는 송신자 네트워크 스위치(200)가 생성한 32bit의 랜덤 번호일 수 있다. The operation code 820 has a 16-bit request 10 and response 20 type, and the ID 830 may be a 32-bit random number generated by the sender network switch 200.

길이(840)는 프로토콜 데이터 유닛(800)의 길이를 나타내는 32bit 데이터이고, 파라미터(850)는 암호화에 필요한 추가적인 정보를 적재할 수 있으며, 파라미터(850)는 암호화 방식에 따라 그 내용 및 길이가 변경될 수 있다. The length 840 is 32-bit data indicating the length of the protocol data unit 800, the parameter 850 can load additional information necessary for encryption, the parameter 850 is changed in its content and length according to the encryption scheme Can be.

송신자 네트워크 스위치(200)가 아이디(830)를 생성하여 요청 프레임을 수신자 네트워크 스위치(300)로 전송하면, 수신자 네트워크 스위치(300)는 해당 아이디(830)를 포함하는 응답 프레임을 송신자 네트워크 스위치(200)로 전송한다. When the sender network switch 200 generates an ID 830 and transmits a request frame to the receiver network switch 300, the receiver network switch 300 transmits a response frame including the ID 830 to the sender network switch 200. To send).

그리고 응답 프레임을 수신한 송신자 네트워크 스위치(200)는 자신이 전송한 아이디와 응답 프레임에 포함된 아이디를 비교하며, 전송한 아이디와 수신한 아이디가 동일한 경우 수신자 네트워크 스위치(300)와의 세션 상태를 준비 상태로 변경한다. The sender network switch 200 receiving the response frame compares the transmitted ID with the ID included in the response frame. If the transmitted ID is identical to the received ID, the sender network switch 200 prepares a session state with the receiver network switch 300. Change to the state.

반면, 송신자 네트워크 스위치(200)가 전송한 요청 프레임에 상응하는 아이디와 수신된 응답 프레임에 상응하는 아이디가 상이한 경우, 송신자 네트워크 스위치(200)는 응답 프레임을 폐기 처리한다. On the other hand, when the ID corresponding to the request frame transmitted by the sender network switch 200 and the ID corresponding to the received response frame are different, the sender network switch 200 discards the response frame.

이하에서는 도 9 및 도 10을 통하여 본 발명의 일 실시예에 따른 송신자 네트워크 스위치(200)가 암호화를 수행하는 경우에 대하여 더욱 상세하게 설명한다. Hereinafter, a case in which the sender network switch 200 performs encryption according to an embodiment of the present invention will be described in more detail with reference to FIGS. 9 and 10.

도 9는 본 발명의 일실시예에 따른 네트워크 스위치가 암호 포트 간의 세션에 대하여 암호화를 수행하는 경우를 설명하기 위한 도면이고, 도 10은 본 발명의 일실시예에 따른 네트워크 스위치가 일반 포트와의 세션에 대하여 암호화를 수행하지 않는 경우를 설명하기 위한 도면이다. FIG. 9 is a diagram illustrating a case in which a network switch performs encryption for a session between cipher ports according to an embodiment of the present invention, and FIG. 10 is a diagram illustrating a network switch in connection with a general port according to an embodiment of the present invention. A diagram for describing a case where encryption is not performed for a session.

도 9에 도시한 바와 같이, 송신자 네트워크 스위치(200)가 암호 포트(211) 및 일반 포트(215) 중 어느 하나의 포트를 통하여 출발지 호스트(100)로부터 데이터를 수신하고, 수신자 네트워크 스위치(300)가 암호 포트(311) 및 일반 포트(315) 중 어느 하나의 포트를 이용하여 목적지 호스트(400)로 데이터를 전송하는 것으로 가정한다. As shown in FIG. 9, the sender network switch 200 receives data from the source host 100 through one of the encryption port 211 and the general port 215, and the receiver network switch 300. It is assumed that the data is transmitted to the destination host 400 using one of the cipher port 311 and the general port 315.

이때, 송신자 네트워크 스위치(200)가 출발지 호스트(100)로부터 암호 포트(211)를 통하여 수신된 데이터가 수신자 네트워크 스위치(300)의 암호 포트(351)를 통하여 목적지 호스트(400)로 전송되는 경우, 송신자 네트워크 스위치(200)는 암호화 포트들(211, 351) 간의 세션에 대한 암호화를 지원한다. At this time, when the sender network switch 200 is transmitted from the source host 100 through the encryption port 211 is transmitted to the destination host 400 through the encryption port 351 of the receiver network switch 300, The sender network switch 200 supports encryption for a session between encryption ports 211, 351.

반면, 도 10과 같이 데이터가 암호 포트(351)가 아닌 일반 포트(355)를 통해 목적지 호스트(400)로 전송되는 경우, 송신자 네트워크 스위치(200)는 해당 세션에 대해서는 암호화를 수행하지 않는다. On the other hand, when data is transmitted to the destination host 400 through the general port 355, not the encryption port 351, as shown in Figure 10, the sender network switch 200 does not perform encryption for the session.

이상에서와 같이 본 발명에 따른 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다. As described above, the method of setting an encryption interval in the network switch and the data link layer performed by the present invention is not limited to the configuration and method of the embodiments described as described above. All or part of each of the embodiments may be selectively combined to enable various modifications.

100: 출발지 호스트 200: 송신자 네트워크 스위치
210: 제1 포트 211: 암호 포트
215: 일반 포트 220: 세션 상태 변경부
230: 암호화 구간 설정부 240: 리스트 저장부
250: 암호화 대상 판단부 260: 암호화부
270: 제2 포트 300: 수신자 네트워크 스위치
310: 제3 포트 320: 복호화 리스트 저장부
330: 복호화 대상 판단부 340: 복호화부
350: 제4 포트 351: 암호 포트
355: 일반 포트 400: 목적지 호스트
800: 프로토콜 데이터 유닛 810: 세션의 IP 헤더
820: 오퍼레이션 코드 830: 아이디
840: 길이 850: 파라미터100: source host 200: sender network switch
210: first port 211: password port
215: general port 220: session state change unit
230: encryption section setting unit 240: list storage unit
250: Encryption target determination unit 260: Encryption unit
270: second port 300: receiver network switch
310: third port 320: decryption list storage unit
330: decoding target determination unit 340: decoding unit
350: fourth port 351: password port
355: general port 400: destination host
800: protocol data unit 810: IP header of the session
820: operation code 830: ID
840: Length 850: Parameter

Claims (20)

네트워크 스위치에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법에 있어서,
출발지 호스트와 암호 포트를 통해 연결된 네트워크 스위치인 송신자가, 수신자로 요청 프레임을 전송하는 단계,
상기 송신자가 목적지 호스트와 연결된 상기 수신자로부터 응답 프레임을 수신하는 단계,
상기 송신자가 상기 수신자와의 세션 상태를 초기 상태에서 준비 상태로 변경하는 단계,
상기 송신자가 상기 출발지 호스트와 상기 목적지 호스트 간의 세션을 데이터 링크 계층에서의 암호화 구간으로 설정하는 단계, 그리고
상기 송신자가 상기 수신자로부터 기 설정된 대기 시간 이내에 상기 응답 프레임을 수신하지 못한 경우, 상기 수신자와의 세션 정보를 거부 리스트에 저장하는 단계를 포함하고,
상기 송신자와 상기 수신자 간의 세션 정보는, 상기 응답 프레임을 전송한 상기 수신자의 복호화 리스트에 저장되는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.In the encryption interval setting method in the data link layer performed by a network switch,
A sender, which is a network switch connected through a cryptographic port with a source host, transmitting a request frame to a receiver;
The sender receiving a response frame from the receiver connected with a destination host,
Changing, by the sender, a session state with the receiver from an initial state to a ready state,
Setting, by the sender, a session between the source host and the destination host to an encryption interval in a data link layer, and
If the sender does not receive the response frame from the receiver within a preset waiting time, storing session information with the receiver in a reject list,
The session information between the sender and the receiver is stored in a decryption list of the receiver that has transmitted the response frame. 삭제delete 삭제delete 제1항에 있어서,
상기 송신자가 상기 준비 상태로 변경한 후, 상기 수신자와의 세션 정보를 암호화 리스트에 저장하는 단계를 더 포함하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법. The method of claim 1,
And after the sender changes to the ready state, storing session information with the receiver in an encryption list. 제4항에 있어서,
상기 거부 리스트, 상기 암호화 리스트 및 상기 복호화 리스트 중 적어도 어느 하나는,
상기 세션에 상응하는 출발지 IP, 목적지 IP 및 히트 타임(Hit Time) 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.The method of claim 4, wherein
At least one of the reject list, the encrypted list, and the decryption list,
And at least one of a source IP, a destination IP, and a hit time corresponding to the session. 제1항에 있어서,
상기 송신자가 상기 출발지 호스트로부터 데이터를 수신하는 단계,
상기 송신자가 상기 데이터가 상기 데이터 링크 계층에서의 암호화 구간에 상응하는 암호화 대상인지 여부를 판단하는 단계, 그리고
상기 데이터가 상기 암호화 대상인 것으로 판단된 경우, 상기 송신자가 상기 데이터를 암호화하여 상기 수신자로 전송하는 단계를 더 포함하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법. The method of claim 1,
The sender receiving data from the source host,
Determining, by the sender, whether the data is an encryption target corresponding to an encryption section in the data link layer, and
And if it is determined that the data is the object of encryption, encrypting the data and transmitting the data to the receiver. 제6항에 있어서,
상기 암호화 대상인지 여부를 판단하는 단계는,
상기 데이터가 상기 출발지 호스트와의 암호 포트를 통하여 수신된 것인지 여부를 판단하는 단계,
상기 데이터에 상응하는 세션이 암호화 세션인지 여부를 판단하는 단계, 그리고
상기 송신자가 상기 수신자와의 세션 상태가 상기 준비 상태인지 여부를 확인하는 단계를 포함하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법. The method of claim 6,
Determining whether or not the encryption target,
Determining whether the data has been received via a cryptographic port with the source host,
Determining whether the session corresponding to the data is an encrypted session, and
And confirming, by the sender, whether a session state with the receiver is in the ready state. 제7항에 있어서,
상기 암호화 세션인지 여부를 판단하는 단계는,
상기 송신자가 기 설정된 필터 리스트 및 거부 리스트 중 적어도 어느 하나를 기반으로, 상기 데이터에 상응하는 세션이 상기 암호화 세션인지 여부를 판단하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.The method of claim 7, wherein
Determining whether or not the encrypted session,
And determining whether a session corresponding to the data is the encryption session based on at least one of a preset filter list and a reject list. 제8항에 있어서,
상기 필터 리스트는,
출발지 IP, 목적지 IP, 프로토콜 및 암호화 여부 중 적어도 어느 하나를 포함하며,
상기 암호화 세션인지 여부를 판단하는 단계는,
상기 필터 리스트의 상기 암호화 여부를 기반으로, 상기 데이터에 상응하는 세션이 상기 암호화 세션인지 여부를 판단하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.The method of claim 8,
The filter list,
At least one of a source IP, a destination IP, a protocol, and encryption,
Determining whether or not the encrypted session,
And determining whether the session corresponding to the data is the encrypted session based on the encryption of the filter list. 제7항에 있어서,
상기 준비 상태인지 여부를 확인하는 단계는,
상기 송신자가 암호화 리스트를 기반으로 상기 데이터에 상응하는 세션이 상기 암호화 리스트에 포함되어 있는지 여부를 판단하여, 상기 세션 상태가 상기 준비 상태인지 여부를 확인하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법. The method of claim 7, wherein
Checking whether or not the ready state,
The sender determines whether a session corresponding to the data is included in the encryption list based on an encryption list, and determines whether the session state is the ready state. How to set up. 제6항에 있어서,
상기 데이터를 수신한 상기 수신자는, 복호화 리스트를 기반으로 상기 데이터가 복호화 대상인지 여부를 판단하는 단계, 그리고
상기 복호화 대상인 것으로 판단된 경우, 상기 데이터를 복호화하여, 상기 목적지 호스트로 전송하는 단계를 더 포함하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.The method of claim 6,
The receiver receiving the data, determining whether the data is a decoding target based on a decoding list, and
And if it is determined that the object is the target of decryption, decrypting the data and transmitting the decrypted data to the destination host. 제1항에 있어서,
상기 요청 프레임 및 상기 응답 프레임에 상응하는 프로토콜 데이터 유닛은,
세션의 IP 헤더, 오퍼레이션 코드, 아이디, 길이 및 파라미터 중 적어도 어느 하나의 필드를 포함하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법. The method of claim 1,
Protocol data unit corresponding to the request frame and the response frame,
And a field including at least one of an IP header, an operation code, an ID, a length, and a parameter of the session. 제12항에 있어서.
상기 응답 프레임을 수신한 상기 송신자가, 상기 요청 프레임에 상응하는 상기 아이디 및 상기 응답 프레임에 상응하는 상기 아이디가 동일한지 여부를 판단하는 단계, 그리고
상기 아이디가 상이한 경우 상기 응답 프레임을 폐기하는 단계를 더 포함하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.The method of claim 12.
Determining, by the sender receiving the response frame, whether the ID corresponding to the request frame and the ID corresponding to the response frame are the same; and
And discarding the response frame if the IDs are different. 출발지 호스트와 연결된 암호 포트를 포함하는 제1 포트,
암호화 구간을 설정하기 위하여, 목적지 호스트에 상응하는 수신자로 요청 프레임을 전송하고, 상기 수신자로부터 응답 프레임을 수신하는 제2 포트,
기 설정된 대기 시간 이내에 상기 응답 프레임 수신 시, 상기 수신자와의 세션 상태를 초기 상태에서 준비 상태로 변경하는 세션 상태 변경부,
상기 출발지 호스트와 상기 목적지 호스트 간의 세션을 데이터 링크 계층에서의 암호화 구간으로 설정하는 암호화 구간 설정부,
상기 제1 포트를 통하여 상기 출발지 호스트로부터 수신한 데이터가 상기 암호화 구간에 상응하는 암호화 대상인지 여부를 판단하는 암호화 대상 판단부, 그리고
상기 데이터가 상기 암호화 대상인 것으로 판단된 경우, 상기 제2 포트를 통해 상기 수신자로 전송할 상기 데이터를 암호화하는 암호화부를 포함하고,
상기 데이터를 수신한 상기 수신자는, 복호화 리스트를 기반으로 상기 데이터가 복호화 대상인지 여부를 판단하고, 상기 복호화 대상인 것으로 판단된 경우 상기 데이터를 복호화하여 상기 목적지 호스트로 전송하는 것을 특징으로 하는 것을 특징으로 하는 네트워크 스위치.A first port including a cryptographic port associated with a source host,
A second port for transmitting a request frame to a receiver corresponding to a destination host and receiving a response frame from the receiver to set an encryption interval;
A session state changing unit for changing a session state with the receiver from an initial state to a ready state when the response frame is received within a preset waiting time;
An encryption section setting unit configured to set a session between the source host and the destination host as an encryption section in a data link layer;
An encryption object determination unit that determines whether data received from the source host through the first port is an encryption object corresponding to the encryption period, and
An encryption unit for encrypting the data to be transmitted to the receiver through the second port when the data is determined to be the encryption target;
The receiver receiving the data determines whether the data is a decoding target based on a decoding list, and if it is determined that the data is the decoding target, decodes the data and transmits the data to the destination host. Network switch. 삭제delete 제14항에 있어서,
상기 암호화 대상 판단부는,
상기 데이터가 상기 암호 포트를 통하여 수신된 것인지 여부를 판단하고, 상기 데이터에 상응하는 세션이 암호화 세션인지 여부를 판단하며, 상기 수신자와의 세션 상태가 상기 준비 상태인지 여부를 확인하여, 상기 데이터가 상기 암호화 구간에 상응하는 암호화 대상인지 여부를 판단하는 것을 특징으로 하는 네트워크 스위치. The method of claim 14,
The encryption target determination unit,
It is determined whether the data is received through the encryption port, whether or not the session corresponding to the data is an encrypted session, and whether or not the session state with the receiver is the ready state, And determining whether to be an encryption target corresponding to the encryption section. 제16항에 있어서,
상기 제2 포트가 상기 대기 시간 이내에 상기 응답 프레임을 수신하지 못한 경우 상기 수신자와의 세션 정보를 거부 리스트에 저장하거나, 상기 세션 상태를 상기 준비 상태로 변경한 후 상기 수신자와의 세션 정보를 암호화 리스트에 저장하는 리스트 저장부를 더 포함하는 것을 특징으로 하는 네트워크 스위치. The method of claim 16,
If the second port does not receive the response frame within the waiting time, the session information with the receiver is stored in the reject list or the session information with the receiver is changed after changing the session state to the ready state. The network switch further comprises a list storage for storing in the. 제17항에 있어서,
상기 암호화 대상 판단부는,
상기 리스트 저장부에 저장된 필터 리스트 및 상기 거부 리스트 중 적어도 어느 하나를 기반으로, 상기 데이터에 상응하는 세션이 상기 암호화 세션인지 여부를 판단하는 것을 특징으로 하는 네트워크 스위치. The method of claim 17,
The encryption target determination unit,
And determining whether the session corresponding to the data is the encryption session based on at least one of the filter list and the reject list stored in the list storage unit. 제17항에 있어서,
상기 암호화 대상 판단부는,
상기 암호화 리스트를 기반으로 상기 데이터에 상응하는 세션이 상기 암호화 리스트에 포함되어 있는지 여부를 판단하여, 상기 세션 상태가 상기 준비 상태인지 여부를 확인하는 것을 특징으로 하는 네트워크 스위치.The method of claim 17,
The encryption target determination unit,
And determining whether the session state is in the ready state by determining whether a session corresponding to the data is included in the encryption list based on the encryption list. 삭제delete
KR1020170104802A 2017-08-18 2017-08-18 Network switch and method for setting encryption section in data link layer using the same KR102023416B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170104802A KR102023416B1 (en) 2017-08-18 2017-08-18 Network switch and method for setting encryption section in data link layer using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170104802A KR102023416B1 (en) 2017-08-18 2017-08-18 Network switch and method for setting encryption section in data link layer using the same

Publications (2)

Publication Number Publication Date
KR20190019623A KR20190019623A (en) 2019-02-27
KR102023416B1 true KR102023416B1 (en) 2019-09-23

Family

ID=65560781

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170104802A KR102023416B1 (en) 2017-08-18 2017-08-18 Network switch and method for setting encryption section in data link layer using the same

Country Status (1)

Country Link
KR (1) KR102023416B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102212859B1 (en) * 2020-01-28 2021-02-05 (주)모니터랩 Proxy-based security system and traffic processing method in Asynchronous Redundancy Environment

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101643349B1 (en) * 2015-01-14 2016-07-27 한국과학기술원 Method and apparatus for administrating home network by using software defined network

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100723832B1 (en) * 2004-12-22 2007-05-31 한국전자통신연구원 MAC security entity for link security and sending and receiving method therefor
US8220042B2 (en) * 2005-09-12 2012-07-10 Microsoft Corporation Creating secure interactive connections with remote resources
CN102130768B (en) 2010-12-20 2012-11-07 西安西电捷通无线网络通信股份有限公司 Terminal equipment having capability of encrypting and decrypting link layer and data processing method thereof

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101643349B1 (en) * 2015-01-14 2016-07-27 한국과학기술원 Method and apparatus for administrating home network by using software defined network

Also Published As

Publication number Publication date
KR20190019623A (en) 2019-02-27

Similar Documents

Publication Publication Date Title
CN113271579B (en) Bluetooth device control method, client, computer device and readable storage medium
US7729331B2 (en) Home terminal apparatus and communication system
JP4081724B1 (en) Client terminal, relay server, communication system, and communication method
JP3343064B2 (en) Pseudo network adapter for capturing, encapsulating and encrypting frames
JP4407452B2 (en) Server, VPN client, VPN system, and software
US20170359344A1 (en) Network-visitability detection control
US10419411B2 (en) Network-visitability detection
US11736304B2 (en) Secure authentication of remote equipment
JP2005184463A (en) Communication apparatus and communication method
JP2006121510A (en) Encryption communications system
CN109845214A (en) A kind of methods, devices and systems transmitting data
JP2013518522A (en) Method for establishing at least partly a secure communication channel between nodes allowing to at least partly test encrypted communications performed between at least some nodes
TW200534653A (en) Communication system using TCP/IP protocols
US11368334B1 (en) Providing a split-configuration virtual private network
JP2003087289A (en) Electronic equipment having relay function for radio data communication
JP2004056762A (en) Wireless communication method and equipment, communication control program and controller, key management program, wireless lan system, and recording medium
CN110832806B (en) ID-based data plane security for identity-oriented networks
US10015208B2 (en) Single proxies in secure communication using service function chaining
KR102023416B1 (en) Network switch and method for setting encryption section in data link layer using the same
WO2014201783A1 (en) Encryption and authentication method, system and terminal for ad hoc network
JP4933286B2 (en) Encrypted packet communication system
JP2006196996A (en) Communications system and communication method
JPH11243388A (en) Cipher communication system
JP2008199420A (en) Gateway device and authentication processing method
JP2009081710A (en) Communication apparatus and communication method used for communication apparatus

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant