KR102071707B1 - 소프트웨어 정의 네트워킹을 활용한 mac 프로토콜 기반의 종단간 보안 통신 방법과 이를 위한 통신 컨트롤러 및 컴퓨터 프로그램 - Google Patents

소프트웨어 정의 네트워킹을 활용한 mac 프로토콜 기반의 종단간 보안 통신 방법과 이를 위한 통신 컨트롤러 및 컴퓨터 프로그램 Download PDF

Info

Publication number
KR102071707B1
KR102071707B1 KR1020180009171A KR20180009171A KR102071707B1 KR 102071707 B1 KR102071707 B1 KR 102071707B1 KR 1020180009171 A KR1020180009171 A KR 1020180009171A KR 20180009171 A KR20180009171 A KR 20180009171A KR 102071707 B1 KR102071707 B1 KR 102071707B1
Authority
KR
South Korea
Prior art keywords
host
mac address
communication controller
authentication
security key
Prior art date
Application number
KR1020180009171A
Other languages
English (en)
Other versions
KR20190074912A (ko
Inventor
민성기
최주호
차정환
윤현기
김일웅
김태윤
이승훈
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to US16/170,373 priority Critical patent/US11075907B2/en
Publication of KR20190074912A publication Critical patent/KR20190074912A/ko
Application granted granted Critical
Publication of KR102071707B1 publication Critical patent/KR102071707B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

종단간(end-to-end) 보안 통신 방법은, 통신 컨트롤러가 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 제1 호스트와 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하고, 생성된 보안키를 제1 호스트 및 제2 호스트에 각각 전송하고, 제1 호스트 및 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 제1 호스트의 MAC 주소 또는 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰(forwarding rule)을 설정하는 단계를 포함할 수 있다. 이러한 종단간 보안 통신 방법에 의하면, 소프트웨어 정의 네트워킹(Software Defined-Networking; SDN)을 활용하여 호스트들 사이에 공유할 보안키의 생성 과정을 통신 컨트롤러가 수행함으로써, 서로 상이한 네트워크에 속한 호스트들 사이의 통신에 MAC 보안 통신 기술을 적용할 수 있다.

Description

소프트웨어 정의 네트워킹을 활용한 MAC 프로토콜 기반의 종단간 보안 통신 방법과 이를 위한 통신 컨트롤러 및 컴퓨터 프로그램{END-TO-END SECURITY COMMUNICATION METHOD BASED ON MAC PROTOCOL USING SOFTWARE DEFINED-NETWORKING, AND COMMUNICATION CONTROLLER AND COMPUTER PROGRAM FOR THE SAME}
본 발명은 소프트웨어 정의 네트워킹(Software Defined-Networking; SDN)을 활용한 MAC(Media Access Control) 프로토콜 기반의 종단간(end-to-end) 보안 통신 방법과 이를 위한 통신 컨트롤러 및 컴퓨터 프로그램에 대한 것으로, 네트워크 상에서 종단 단말간의 보안 통신을 MAC 레이어 수준에서 가능하게 하는 기술에 대한 것이다.
MAC(Media Access Control) 보안 통신 기술, 소위 MACsec은 레이어(layer) 2에서 동작하는 암호화 기능으로, IEEE 802.1AE에서 정의하고 있는 통신 프로토콜로 이루어진 국제 표준이다. 기존의 네트워크 보안 기술들은 IP 보안 통신 기술(또는, IPsec)과 같이 레이어 3에서 이루어지는 경우가 많았다. 그러나 최근 트래픽이 급격히 증가하고 복잡해지는 상황에 특정 응용이나 프로토콜에 대한 보안 대신 트래픽 전체를 보호하는 기능에 대한 관심이 증가하였으며. 이러한 기술로 등장한 것이 레이어 2에서 트래픽 전체를 보호하는 MAC 보안 통신 기술이다.
종래의 MAC 보안 기술에서는 동일한 유선 네트워크에 물려 있는 노드(node)들끼리 보안키를 만들어 통신을 수행하였으며, 이에 따라 동일한 네트워크 상에 존재하는 노드들 사이에서만 보안 통신이 구현될 수 있었다.
도 1은 종래의 MAC(Media Access Control) 보안 통신 방법에서 종단 단말 간에 데이터 패킷이 전송되는 과정을 설명하기 위한 개념도이다.
도 1을 참조하면, 하나의 호스트(101)는 하나 또는 복수의 스위치(103, 104, 105)를 경유하여 다른 호스트(102)에 통신 연결된다. 스위치(103, 104, 105)는 호스트(101, 102) 또는 네트워크 분석기(100) 등의 장비를 네트워크에 연결하기 위한 오픈 가상 스위치(open virtual switch)이다. 이때, 서로 상이한 네트워크에 속한 호스트(101, 102)가 MAC 보안 통신을 하기 위해서는, 전송되는 메시지가 각 스위치(103, 104, 105)를 통과할 때마다 메시지의 암호화 및 복호화가 수행되어야 한다.
즉, 종래의 MAC 보안 통신에서는 호스트(101)와 스위치(103)의 보안 통신을 위한 보안키, 스위치(103)와 스위치(104)의 보안 통신을 위한 보안키, 스위치(104)와 스위치(105)의 보안 통신을 위한 보안키, 및 스위치(105)와 호스트(102)의 보안 통신을 위한 보안키 등이 각각 별도로 생성된다. 호스트(101)에서 호스트(101)가 스위치(103)와 공유하는 보안키를 이용하여 데이터 패킷을 암호화하여 전송하면, 스위치(103)를 제외한 다른 스위치(104, 105)에서는 패킷의 목적지를 확인하는 것이 불가능하다. 따라서, 먼저 스위치(103)는 데이터를 복호화한 후 스위치(103)와 스위치(104)가 공유하는 보안키를 이용하여 데이터 패킷을 재암호화한 후에야 데이터 패킷을 스위치(104)에 전송한다. 이는 MAC 보안 표준의 목적 자체가 동일한 로컬 영역 네트워크(Local Area Network; LAN) 상에서의 보안을 제공하는 것이기 때문이다. 이후 동일한 복호화 및 재암호화 과정이 스위치(104)와 스위치(105) 사이에서도 동일하게 수행되며, 최종적으로 스위치(105)에서 스위치(105)가 호스트(102)와 공유하는 보안키를 이용하여 데이터 패킷을 암호화하여 호스트(102)에 전송한다.
따라서, 종래의 MAC 보안 통신 방법에서는 도 1에 도시된 것과 같은 간단한 토폴로지(topology)에서도 데이터 패킷의 암호화 및 복호화가 각각 4회씩 이루어져야 하며, MAC 보안 통신 방법이 더 큰 영역의 네트워크에 적용될 경우 이는 과도한 리소스 낭비로 이어지게 되는 문제점이 있었다.
KR 2010-0092768 A
이에, 본 발명의 기술적 과제는 이러한 점에서 착안된 것으로 본 발명의 목적은, 소프트웨어 정의 네트워킹(Software Defined-Networking; SDN)을 활용하여 호스트들 사이에 공유할 보안키의 생성 과정을 통신 컨트롤러가 수행함으로써, 서로 상이한 네트워크에 속한 호스트들 사이의 통신에 MAC(Media Access Control) 보안 통신 기술을 적용할 수 있게 하는 종단간(end-to-end) 보안 통신 방법을 제공하는 것이다.
본 발명의 다른 목적은 상기 종단간 보안 통신 방법을 수행하도록 구성된 통신 컨트롤러를 제공하는 것이다.
본 발명의 또 다른 목적은 상기 종단간 보안 통신 방법을 실행하도록 컴퓨터로 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램을 제공하는 것이다.
상기한 본 발명의 목적을 실현하기 위한 일 실시예에 따른 종단간(end-to-end) 보안 통신 방법은, 통신 컨트롤러가 제1 호스트 및 제2 호스트의 인증을 수행하는 단계; 상기 통신 컨트롤러가 상기 제2 호스트로부터 상기 제1 호스트의 MAC(Media Access Control) 주소를 포함하는 보안키 생성 요청 패킷을 수신하는 단계; 상기 통신 컨트롤러가 상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하는 단계; 상기 통신 컨트롤러가 상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하는 단계; 상기 통신 컨트롤러가 생성된 상기 보안키를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계; 및 상기 통신 컨트롤러가, 상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰(forwarding rule)을 설정하는 단계를 갖는다.
본 발명의 실시예에서, 상기 제1 호스트 및 제2 호스트의 인증을 수행하는 단계는, 상기 통신 컨트롤러가 상기 제1 호스트의 인증을 수행하는 단계; 상기 통신 컨트롤러가 상기 제1 호스트의 인증 후 상기 제2 호스트의 인증 요청을 수신하는 단계; 및 상기 통신 컨트롤러가, 상기 제2 호스트의 인증에 성공할 경우, 성공 패킷 및 상기 제1 호스트의 MAC 주소를 상기 제2 호스트에 전송하는 단계를 포함할 수 있다.
본 발명의 실시예에서, 상기 종단간 보안 통신 방법은, 상기 통신 컨트롤러가 하나 이상의 제3 호스트의 인증을 수행하는 단계; 및 상기 통신 컨트롤러가 상기 제3 호스트의 인증 성공 시 상기 제3 호스트의 MAC 주소를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계를 더 포함할 수 있다.
본 발명의 실시예에서, 상기 포워딩 룰을 설정하는 단계는, 상기 통신 컨트롤러가, 상기 제1 호스트의 MAC 주소를 출발지로 하고 상기 제2 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제2 스위치로 직접 전송하도록 상기 제1 스위치의 포워딩 룰을 설정하는 단계를 포함할 수 있다.
본 발명의 실시예에서, 상기 포워딩 룰을 설정하는 단계는, 상기 통신 컨트롤러가, 상기 제2 호스트의 MAC 주소를 출발지로 하고 상기 제1 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제1 스위치로 직접 전송하도록 상기 제2 스위치의 포워딩 룰을 설정하는 단계를 포함할 수 있다.
상기한 본 발명의 목적을 실현하기 위한 다른 실시예에 따른 통신 컨트롤러는, 인증 서버와 통신하여 하나 이상의 호스트의 인증을 수행하도록 구성된 인증부; 상기 인증부에 의하여 인증된 호스트의 MAC 주소를 저장하는 정책 데이터베이스; 제1 호스트의 MAC 주소를 포함하는 보안키 생성 요청 패킷을 제2 호스트로부터 수신하고, 상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하며, 상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하여 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하도록 구성된 키 생성부; 및 상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰을 설정하도록 구성된 포워딩 룰 설정부를 갖는다.
본 발명의 실시예에서, 상기 정책 데이터베이스는 상기 제1 호스트의 MAC 주소를 포함하며, 상기 인증부는, 상기 제2 호스트의 인증 요청을 수신하고, 상기 제2 호스트의 인증에 성공할 경우 성공 패킷 및 상기 제1 호스트의 MAC 주소를 상기 제2 호스트에 전송할 수 있다.
본 발명의 실시예에서, 상기 인증부는, 하나 이상의 제3 호스트의 인증을 수행하며, 상기 제3 호스트의 인증 성공 시 상기 제3 호스트의 MAC 주소를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송할 수 있다.
본 발명의 실시예에서, 상기 포워딩 룰 설정부는, 상기 제1 호스트의 MAC 주소를 출발지로 하고 상기 제2 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제2 스위치로 직접 전송하도록 상기 제1 스위치의 포워딩 룰을 설정할 수 있다.
본 발명의 실시예에서, 상기 포워딩 룰 설정부는, 상기 제2 호스트의 MAC 주소를 출발지로 하고 상기 제1 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제1 스위치로 직접 전송하도록 상기 제2 스위치의 포워딩 룰을 설정할 수 있다.
상기한 본 발명의 목적을 실현하기 위한 또 다른 실시예에 따른 컴퓨터 프로그램은, 통신 컨트롤러와 결합되어, 제1 호스트 및 제2 호스트의 인증을 수행하는 단계; 상기 제2 호스트로부터 상기 제1 호스트의 MAC 주소를 포함하는 보안키 생성 요청 패킷을 수신하는 단계; 상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하는 단계; 상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하는 단계; 생성된 상기 보안키를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계; 및 상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰을 설정하는 단계를 실행하며, 컴퓨터로 판독 가능한 기록 매체에 저장된다.
본 발명의 일 측면에 따른 종단간(end-to-end) 보안 통신 방법은, 종래의 MAC(Media Access Control) 보안 통신 방법과 달리 보안 통신의 영역을 크게 확대시킬 수 있으므로, 예컨대, 차량용 이더넷(Ethernet) 또는 사물 인터넷(Internet of Things; IoT) 환경 등 다양한 분야에 적용될 수 있다. 차량용 이더넷 장비나 IoT 장치의 경우 성능 상의 제약으로 인하여 기존의 IP 보안 통신 기술과 같은 레이어(layer) 3 보안 기법이 적용되기 힘들고 레이어 2 보안 기법이 적용되어야 하는데, 종래의 레이어 2 보안 대책인 MAC 보안 통신 기술은 서로 상이한 네트워크 상의 호스트에는 적용되기 힘들기 때문에 커버리지(coverage)가 작은 한계를 갖는다. 이때 본 발명의 일 측면에 따른 종단간 보안 통신 방법을 이용하면, 서로 상이한 네트워크로 확장된 MAC 보안 통신 기법을 적용함으로써 차량용 이더넷이나 소규모의 IoT 네트워크 등에서 보안 기술의 활용 가능성을 증가시킬 수 있는 이점이 있다.
도 1은 종래의 MAC(Media Access Control) 보안 통신 방법에서 종단 단말 간에 데이터 패킷이 전송되는 과정을 설명하기 위한 개념도이다.
도 2는 본 발명의 일 실시예에 따른 종단간(end-to-end) 보안 통신 방법을 실행하기 위한 통신 컨트롤러가 포함된 네트워크 토폴로지(topology)의 개념도이다.
도 3은 본 발명의 일 실시예에 따른 통신 컨트롤러의 블록이다.
도 4는 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 피어 리스트(peer list)를 공유하는 과정의 각 단계를 나타내는 순서도이다.
도 5는 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 통신 컨트롤러에 의한 보안키 생성 과정의 각 단계를 나타내는 순서도이다.
도 6은 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 인증 서버를 통한 인증 과정의 각 단계를 나타내는 순서도이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다.
도 2는 본 발명의 일 실시예에 따른 종단간(end-to-end) 보안 통신 방법을 실행하기 위한 통신 컨트롤러가 포함된 네트워크 토폴로지(topology)의 개념도이다.
도 2를 참조하면, 일 실시예에 따른 통신 컨트롤러(20)는 인증 서버(30) 및 하나 이상의 호스트(50, 60)와 통신하며 동작하도록 구성된다. 호스트(50, 60)는 네트워크를 통하여 데이터 패킷을 송수신하고자 하는 서버, 워크스테이션 또는 사용자 단말 등일 수 있으며 특정 형태로 한정되지 않는다. 각각의 호스트(50, 60)는 상응하는 스위치(55, 65)를 통하여 통신 컨트롤러(20) 및 인증 서버(30)에 통신 가능하게 연결된다. 스위치(55, 65)는 호스트(50, 60) 등 장비를 네트워크에 연결하기 위한 오픈 가상 스위치(open virtual switch)일 수 있다. 또한, 통신 컨트롤러(20)는 광대역 라우터(router) 등 하나 이상의 라우터(40)를 통하여 호스트(50, 60)에 통신 연결될 수도 있다.
인증 서버(30)는 네트워크를 통한 보안 통신을 실현하기 위하여 각각의 호스트(50, 60)의 사용자 이름, 암호, 권한 등을 대상으로 하는 인증(Authentication), 권한부여(Authorization) 및 계정관리(Accounting) 기능을 가지는 AAA 프레임워크일 수 있다. 예를 들어, 인증 서버(30)는 RADIUS(Remote Access Dial-In User Service) 프로토콜 기반의 AA 프레임워크를 포함할 수 있으나, 이에 한정되는 것은 아니다.
통신 컨트롤러(20)는, 인증 서버(30)와의 통신을 통하여 하나 이상의 호스트(50, 60)의 인증을 수행하도록 구성된다. 통신 컨트롤러(20)에 의하여 수행되는, 인증 서버(30) 와의 통신을 통한 인증 과정은 종래의 MAC 보안 통신 표준은 IEEE 802.1X 표준의 절차를 동일하게 채용할 수 있다.
또한 통신 컨트롤러(20)는, 인증된 제1 호스트(50) 및 제2 호스트(60)가 통신을 수행함에 있어서 소프트웨어 정의 네트워킹(Software Defined-Networking; SDN)을 활용하여, 각각의 호스트(50, 60)가 서로 상이한 네트워크에 속해있다는 사실은 숨기고 각 호스트(50, 60)가 공유할 보안키를 생성하여 각 호스트(50, 60)에 전송하는 기능을 한다. 통신 컨트롤러(20)에 의하여 SDN를 활용함으로써 제1 호스트(50)와 제2 호스트(60) 사이의 종단간 통신에 MAC 보안을 적용할 수 있다.
도 3은 도 2에 도시된 통신 컨트롤러(20)의 블록도이다.
도 3을 참조하면, 일 실시예에서 통신 컨트롤러(20)는 인증부(201), 정책 데이터베이스(202), 키 생성부(203) 및 포워딩 룰 설정부(204)를 포함한다. 실시예들에 따른 통신 컨트롤러(20) 및 이에 포함된 각 부(unit)(201-204)는, 전적으로 하드웨어이거나, 또는 부분적으로 하드웨어이고 부분적으로 소프트웨어인 측면을 가질 수 있다. 또한, 통신 컨트롤러(20)를 구성하는 각 부(201-204)는 반드시 서로 물리적으로 구분되는 별개의 장치를 지칭하는 것으로 의도되지 않는다. 즉, 도 3에 도시된 인증부(201), 정책 데이터베이스(202), 키 생성부(203) 및 포워딩 룰 설정부(204)는 통신 컨트롤러(20)를 구성하는 하드웨어 및 소프트웨어를 이에 의해 수행되는 동작에 따라 기능적으로 구분한 것일 뿐, 반드시 각각의 부가 서로 독립적으로 구비되어야 하는 것이 아니다.
인증부(201)는, 인증 서버(30)와 통신하면서 제1 호스트(50) 및 제2 호스트(60)의 인증을 수행하도록 구성된다. 또한 인증부(201)는, 도면에 도시되지 않은 하나 이상의 다른 호스트(또는, 제3 호스트로 지칭함)의 인증 과정을 수행할 수도 있다. 구체적인 인증 과정에 대해서는 도 6을 참조하여 상세히 후술한다.
정책 데이터베이스(202)는, 인증부(201)에 의하여 인증된 하나 또는 복수의 호스트의 MAC 주소를 저장한다. 정책 데이터베이스(202)에 저장된, 인증된 호스트들의 MAC 주소는, 다른 추가적인 호스트가 인증부(201)에 의하여 인증되는 경우 피어 리스트(peer list)의 형태로 기존 인증된 호스트들에 전송될 수 있다.
키 생성부(203)는, 정책 데이터베이스(202)에 MAC 주소가 저장되어 있는 특정 호스트(예컨대, 제1 호스트(50))와 보안키를 맺고자 하는 보안키 생성 요청 패킷을 다른 호스트(예컨대, 제2 호스트(60))로부터 수신할 경우, 제1 호스트(50) 및 제2 호스트(60)가 공유하기 위한 보안키를 생성할 수 있다. 또한 키 생성부(203)는, 생성된 보안키를 제1 호스트(50) 및 제2 호스트(60)에 각각 전송할 수 있다.
포워딩 룰(forwarding rule) 설정부(204)는, 보안키를 공유하는 제1 호스트(50) 및 제2 호스트(60)가 보안키로 암호화된 데이터 패킷으로 상호 간에 통신할 수 있도록, 제1 호스트(50)에 연결된 제1 스위치(55) 및 제2 호스트(60)에 연결된 제2 스위치(65)의 포워딩 룰을 설정하는 기능을 한다. 포워딩 룰 설정부(204)는, 제1 호스트(50) 및 제2 호스트(60)가 상호 간에 전송하는 데이터 패킷이 다른 스위치 등 노드를 경유할 필요 없이 직접 목적지에 전송될 수 있도록 포워딩 룰을 생성하고 이를 제1 스위치(55) 및 제2 호스트(60)에 전송하여 제1 스위치(55) 및 제2 호스트(60)의 포워딩 룰을 생성하거나 오버라이트(overwrite)할 수 있다.
이하에서는, 설명의 편의를 위하여, 도 2의 네트워크 토폴로지 및 도 3의 통신 컨트롤러의 블록도를 참조하여 실시예들에 따른 종단간 보안 통신 방법에 대하여 설명한다.
도 4는 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 피어 리스트를 공유하는 과정의 각 단계를 나타내는 순서도이다.
도 4를 참조하면, 통신 컨트롤러(20)는 먼저 제1 호스트(50)에 대한 인증을 수행하고(S11), 인증된 제1 호스트(50)의 MAC 주소를 통신 컨트롤러(20)의 정책 데이터베이스(202)에 저장할 수 있다(S12). 통신 컨트롤러(20)에 의한 인증 과정은 인증 서버(30) 와의 통신을 수반하여 수행될 수 있으며, 구체적인 인증 절차에 대해서는 도 6을 참조하여 상세히 후술한다.
이상과 같이 제1 호스트(50)가 인증된 상태에서, 아직 인증되지 않은 제2 호스트(60)로부터 인증 요청이 수신되는 경우(S13), 통신 컨트롤러(20)는 제1 호스트(50)의 인증과 동일한 방식으로 제2 호스트(60)의 인증을 수행한다(S14). 제2 호스트(60)의 인증이 성공할 경우, 통신 컨트롤러(20)는 제2 호스트(60)에 인증에 대한 성공 패킷을 전송하면서 동시에 정책 데이터베이스(202)에 저장된 제1 호스트(50)의 MAC 주소를 전송한다(S15). 전송된 MAC 주소는 제2 호스트(60)가 제1 호스트(50)와 보안키를 맺고자 하는 경우 보안키 생성 요청 패킷에 사용되며, 이는 도 5를 참조하여 상세히 후술한다.
일 실시예에서, 통신 컨트롤러(20)는 추가적인 호스트가 인증에 성공할 때마다 새로 인증된 호스트의 MAC 주소를 포함하는 잠재적인 피어 리스트(peer list)를 기존 인증된 호스트에 전송한다. 예를 들어, 통신 컨트롤러(20)는, 제2 호스트(60)의 MAC 주소를 먼저 인증된 제1 호스트(50)에 전송할 수 있다. 또한 통신 컨트롤러(20)는, 추가적으로 하나 이상의 제3 호스트(미도시)의 인증에 성공할 경우(S16), 제3 호스트의 MAC 주소를 정책 데이터베이스(202)에 저장하며(S17), 제3 호스트의 MAC 주소를 제1 호스트(50) 및 제2 호스트(60)에 전송할 수 있다(S18).
도 5는 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 통신 컨트롤러에 의한 보안키 생성 과정의 각 단계를 나타내는 순서도이다.
도 5를 참조하면, 도 4를 참조하여 전술한 과정에 의하여 제1 호스트(50)의 MAC 주소를 수신한 제2 호스트(60)가, 제1 호스트(50)와 MAC 보안 통신을 위한 보안키를 맺고자 하는 경우, 제2 호스트(60)는 통신 컨트롤러(20)에 보안키 생성 요청 패킷을 전송할 수 있다(S21). 예컨대, 보안키 생성 요청 패킷은 IEEE 802.1X 표준에서 정의하는 EAPOL(Encapsulation over LAN)-MKA(MACsec Key Agreement) 패킷일 수 있다. 이때, 제2 호스트(60)는 인증에 대한 성공 패킷과 함께 수신된 제1 호스트(50)의 MAC 주소를 가지고 있으므로, 보안키를 맺고자 하는 제1 호스트(50)의 MAC 주소 및 제2 호스트(60)의 정보를 포함하여 EAPOL-MKA 패킷을 생성하고 이를 통신 컨트롤러(20)에 전송할 수 있다.
제2 호스트(60)로부터의 보안키 생성 요청 패킷의 전송은 제2 호스트(60)에 상응하는 제2 스위치(65)를 통하여 수행될 수도 있으며, 이는 제1 호스트(50) 및/또는 제2 호스트(60)로부터 송수신되는 다른 패킷의 송수신에 있어서도 마찬가지이다.
제2 호스트(60)로부터 보안키 생성을 요청하는 EAPOL-MKA 패킷을 수신한 통신 컨트롤러(20)는 이를 제1 호스트(50)에 전송한다(S22). 보안키 생성 요청 패킷을 수신한 제1 호스트(50)에서는, 제2 호스트(60)와 보안키를 맺는 것에 동의할 경우, 마찬가지로 보안키 생성을 요청하는 EAPOL-MKA 패킷을 통신 컨트롤러(20)에 전송한다(S23). 제2 스위치(65)와 관련하여 전술한 것과 마찬가지로, 제1 호스트(50)로부터의 데이터 패킷의 송수신은 제1 호스트(50)에 상응하는 제1 스위치(55)를 통하여 이루어질 수도 있다.
통신 컨트롤러(20)는, 제2 호스트(60)의 EAPOL-MKA 패킷을 제1 호스트(50)에 전송한 후 제1 호스트(50)로부터도 EAPOL-MKA 패킷이 수신될 경우(S23), 제1 호스트(50)와 제2 호스트(60)가 공유하기 위한 보안키를 생성할 수 있다(S24). 통신 컨트롤러(20)는 제1 호스트(50) 및 제2 호스트(60) 각각의 정보와 MAC 주소를 저장하고 있으므로, 제1 호스트(50) 및 제2 호스트(60) 사이에서 MAC 보안 통신의 보안키로 동작할 보안 연관키(Secure Association Key; SAK)를 보안키로서 생성할 수 있다.
일 실시예에서 통신 컨트롤러(20)는, 보안키에 해당하는 SAK와 함께 연결 연관키(Connectivity Association Key; CAK)를 더 생성한다. CAK는 보안키가 IEEE 802.1X 프레임워크에 의하여 인증되어 네트워크에 사용되기 위한 것임을 인증하기 위한 마스터 보안 키로서, 통신 컨트롤러(20)에 의하여 보관된다.
다음으로, 생성된 보안키 SAK는 통신 컨트롤러(20)에 의하여 제1 호스트(50) 및 제2 호스트(60)에 각각 전송된다(S25, S26). 제1 호스트(50) 및 제2 호스트(60)는, 통신 컨트롤러(20)에 의하여 수신된 보안키를 이용하여 데이터 패킷을 암호화하고 상대방을 목적지로 지정한 데이터 패킷을 전송함으로써 상호 간에 MAC 통신 보안 기술 기반의 통신을 수행할 수 있다.
이때, 암호화된 데이터 패킷이 제1 호스트(50) 및 제2 호스트(60) 사이에서 정상적으로 전송될 수 있도록 하기 위하여, 통신 컨트롤러(20)는 제1 호스트(50) 및 제2 호스트(60)가 각각 연결되어 있는 제1 스위치(55) 및 제2 스위치(65)에 포워딩 룰을 설정한다(S27, S28). 포워딩 룰은 제1 호스트(50) 및 제2 호스트(60)가 공유하는 보안키를 기반으로 암호화되어 전송되는 데이터 패킷이 제1 호스트(50) 및 제2 호스트(60) 사이에서 직접 전송됨으로써 다른 노드들과의 통신을 위한 추가적인 암호화 또는 복호화 과정을 배제하기 위한 것이다.
구체적으로, 통신 컨트롤러(20)는 제1 호스트(50)의 MAC 주소를 출발지(source)로 하고 제2 호스트(60)의 MAC 주소를 도착지(destination)로 하는 패킷은 바로 제2 스위치(65)에 포워딩하도록 제1 스위치(55)의 포워딩 룰을 설정할 수 있다. 마찬가지로, 통신 컨트롤러(20)는 제2 호스트(60)의 MAC 주소를 출발지로 하고 제1 호스트(50)의 MAC 주소를 도착지로 하는 패킷은 바로 제1 스위치(55)에 포워딩하도록 제2 스위치(65)의 포워딩 룰을 설정할 수 있다.
따라서, 제1 호스트(50) 및 제2 호스트(60) 사이에서 MAC 주소를 기반으로 패킷을 전송함에 있어서 종래의 MAC 보안 통신과 달리 추가적인 노드들에 의한 데이터 패킷의 암호화 및 복호화 과정이 필요치 않은 이점이 있다.
도 6은 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 인증 서버를 통한 인증 과정의 각 단계를 나타내는 순서도이다.
도 6을 참조하면, 통신 컨트롤러(20)는 통신 컨트롤러(20)와 통신 가능한 제1 호스트(50)를 식별할 수 있다(S31). 식별 과정은 통신 컨트롤러(20)의 식별 요청에 대한 제1 호스트(50)의 응답을 통하여 이루어질 수 있으며, 식별 요청과 응답은 EAPOL-EAP(Extensible Authentication Protocol) 기반의 데이터 패킷을 포함할 수 있다.
식별 후 통신 프로토콜(20)을 통하여 인증 서버(30)와 제1 호스트(50) 사이의 통신 파라미터 설정 등을 위한 핸드셰이크(handshake)과정이 이루어지며, 제1 호스트(50)는 인증 서버(30)에 인증 요청을 전송할 수 있다(S32). 인증 요청은 EAP 프로토콜 기반의 패킷을 포함할 수 있다.
인증 요청을 수신한 인증 서버(30)는, 제1 호스트(50)에 인증 서버(30)의 서버 정보 및 서버 키를 EAPOL-EAP 데이터 패킷 형태로 전송할 수 있다(S33). 또한, 서버 정보 및 서버 키를 수신한 제1 호스트(50)는, 서버 정보 및 키의 유효성 여부에 대한 검증 후 유효한 것으로 결정될 경우 인증 서버(30)에 제1 호스트(50)의 정보 및 클라이언트 키를 EAPOL-EAP 데이터 패킷의 형태로 전송할 수 있다(34). 이때 전송되는 EAPOL-EAP 데이터 패킷은 암호화 스펙(Cipher spec)에 대한 변경 정보를 포함할 수 있다.
다음으로, 제1 호스트(50)와 인증 서버(30)는 암호화 스펙의 변경 정보 등을 기반으로 전송계층보안(Transport Layer Security; TLS)을 달성하고 제1 호스트(50)와 인증 서버(30) 사이의 암호화 채널을 생성할 수 있다(S35).
암호화 채널의 생성 후 제1 호스트(50)는 암호화 채널을 통하여 수신한 마스터 세션 키(Master Session Key; MSK)를 저장할 수 있다(S36). 또한, 제1 호스트(50)는 인증 응답을 인증 서버(30)에 전송할 수 있다(S37). 인증 응답은 EAPOL-EAP 프로토콜에서 정의하는 EAP-PEAP(Protected Extensible Authentication Protocol) 기반의 데이터 패킷을 포함할 수 있다.
인증 서버(30)는 인증 응답을 수신할 경우 인증에 대한 성공 패킷을 통신 컨트롤러(20)에 전송할 수 있다(S38). 통신 컨트롤러(20)는 인증 서버(30)로부터 수신된 MSK를 통신 컨트롤러(20)의 정책 데이터베이스(202)에 저장하며, 인증 성공을 나타내는 성공 패킷을 제1 호스트(50)에 전송한다(S40). 이때, 전술한 것과 같이, 통신 컨트롤러(20)는 SDK를 활용한 MAC 보안 통신을 위하여 네트워크 상의 통신 가능한 다른 호스트들의 MAC 주소를 포함하는 피어리스트를 성공 패킷과 함께 제1 호스트(50)에 전송할 수 있다.
도 6에서는 설명의 편의를 위하여 제1 호스트(50)를 대상으로 한 인증 절차에 대하여 설명하였으나, 동일한 인증 절차가 제2 호스트(60) 또는 하나 이상의 다른 추가적인 호스트의 인증 과정에 동일하게 적용될 수 있다는 점이 통상의 기술자에게 용이하게 이해될 것이다.
이와 같은, 종단간 보안 통신 방법은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.
상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.
프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: 네트워크 분석기
101, 102, 50, 60: 호스트
103, 104, 105, 55, 65: 스위치
20: 통신 컨트롤러
201: 인증부
202: 정책 데이터베이스
203: 키 생성부
204: 포워딩 룰 생성부
30: 인증 서버
40: 라우터

Claims (11)

  1. 통신 컨트롤러가 제1 호스트 및 제2 호스트의 인증을 수행하는 단계;
    상기 통신 컨트롤러가 상기 제2 호스트로부터 상기 제1 호스트의 MAC 주소를 포함하는 보안키 생성 요청 패킷을 수신하는 단계;
    상기 통신 컨트롤러가 상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하는 단계;
    상기 통신 컨트롤러가 상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하는 단계;
    상기 통신 컨트롤러가 생성된 상기 보안키를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계; 및
    상기 통신 컨트롤러가, 상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰을 설정하는 단계를 포함하며,
    상기 통신 컨트롤러가 제1 호스트 및 제2 호스트의 인증을 수행하는 단계는,
    상기 통신 컨트롤러가 상기 통신 컨트롤러와 통신하는 인증 서버와 상기 제1 호스트 및 제2 호스트 간에 암호화 스펙(Cipher spec)에 대한 변경 정보를 EAPOL-EAP 데이터 패킷으로 송수신하도록 제어하며, 상기 인증 서버와 상기 제1 호스트 및 제2 호스트 간에 상기 암호화 스펙에 대한 변경 정보를 기반으로 전송계층보안(Transport Layer Security; TLS)이 달성되면 상기 인증 서버와 상기 제1 호스트 및 제 2호스트 사이에 각각의 암호화 채널이 생성되도록 제어하는 것인, 종단간(end to end) 보안 통신 방법.
  2. 제1항에 있어서,
    상기 제1 호스트 및 제2 호스트의 인증을 수행하는 단계는,
    상기 통신 컨트롤러가 상기 제1 호스트의 인증을 수행하는 단계;
    상기 통신 컨트롤러가 상기 제1 호스트의 인증 후 상기 제2 호스트의 인증 요청을 수신하는 단계; 및
    상기 통신 컨트롤러가, 상기 제2 호스트의 인증에 성공할 경우, 성공 패킷 및 상기 제1 호스트의 MAC 주소를 상기 제2 호스트에 전송하는 단계를 포함하는 종단간 보안 통신 방법.
  3. 제1항에 있어서,
    상기 통신 컨트롤러가 하나 이상의 제3 호스트의 인증을 수행하는 단계; 및
    상기 통신 컨트롤러가 상기 제3 호스트의 인증 성공 시 상기 제3 호스트의 MAC 주소를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계를 더 포함하는 종단간 보안 통신 방법.
  4. 제1항에 있어서,
    상기 포워딩 룰을 설정하는 단계는, 상기 통신 컨트롤러가, 상기 제1 호스트의 MAC 주소를 출발지로 하고 상기 제2 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제2 스위치로 직접 전송하도록 상기 제1 스위치의 포워딩 룰을 설정하는 단계를 포함하는 종단간 보안 통신 방법.
  5. 제1항에 있어서,
    상기 포워딩 룰을 설정하는 단계는, 상기 통신 컨트롤러가, 상기 제2 호스트의 MAC 주소를 출발지로 하고 상기 제1 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제1 스위치로 직접 전송하도록 상기 제2 스위치의 포워딩 룰을 설정하는 단계를 포함하는 종단간 보안 통신 방법.
  6. 인증 서버와 통신하여 하나 이상의 호스트의 인증을 수행하도록 구성된 인증부;
    상기 인증부에 의하여 인증된 호스트의 MAC 주소를 저장하는 정책 데이터베이스;
    제1 호스트의 MAC 주소를 포함하는 보안키 생성 요청 패킷을 제2 호스트로부터 수신하고, 상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하며, 상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하여 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하도록 구성된 키 생성부; 및
    상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰을 설정하도록 구성된 포워딩 룰 설정부를 포함하며,
    상기 인증부는,
    상기 인증 서버와 상기 제1 호스트 및 상기 제2 호스트 간에 암호화 스펙(Cipher spec) 대한 변경 정보를 EAPOL-EAP 데이터 패킷으로 송수신하도록 제어하며, 상기 인증 서버와 상기 제1 호스트 및 제2 호스트 간에 상기 암호화 스펙에 대한 변경 정보를 기반으로 전송계층보안(Transport Layer Security; TLS)이 달성되면 상기 인증 서버와 상기 제1호스트 및 제2호스트 사이에 각각의 암호화 채널이 생성되도록 제어하는 것인, 통신 컨트롤러.
  7. 제6항에 있어서,
    상기 정책 데이터베이스는 상기 제1 호스트의 MAC 주소를 포함하며,
    상기 인증부는, 상기 제2 호스트의 인증 요청을 수신하고, 상기 제2 호스트의 인증에 성공할 경우 성공 패킷 및 상기 제1 호스트의 MAC 주소를 상기 제2 호스트에 전송하도록 더 구성된 통신 컨트롤러.
  8. 제6항에 있어서,
    상기 인증부는, 하나 이상의 제3 호스트의 인증을 수행하며, 상기 제3 호스트의 인증 성공 시 상기 제3 호스트의 MAC 주소를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송 하도록 더 구성된 통신 컨트롤러.
  9. 제6항에 있어서,
    상기 포워딩 룰 설정부는, 상기 제1 호스트의 MAC 주소를 출발지로 하고 상기 제2 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제2 스위치로 직접 전송하도록 상기 제1 스위치의 포워딩 룰을 설정하는 통신 컨트롤러.
  10. 제6항에 있어서,
    상기 포워딩 룰 설정부는, 상기 제2 호스트의 MAC 주소를 출발지로 하고 상기 제1 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제1 스위치로 직접 전송하도록 상기 제2 스위치의 포워딩 룰을 설정하는 통신 컨트롤러.
  11. 통신 컨트롤러와 결합되어,
    제1 호스트 및 제2 호스트의 인증을 수행하는 단계;
    상기 제2 호스트로부터 상기 제1 호스트의 MAC 주소를 포함하는 보안키 생성 요청 패킷을 수신하는 단계;
    상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하는 단계;
    상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하는 단계;
    생성된 상기 보안키를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계; 및
    상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰을 설정하는 단계를 실행하되,
    상기 제1 호스트 및 제2 호스트의 인증을 수행하는 단계는,
    상기 통신 컨트롤러가 상기 통신 컨트롤러와 통신하는 인증 서버와 상기 제1 호스트 및 제2 호스트 간에 암호화 스펙(Cipher spec)에 대한 변경 정보를 EAPOL-EAP 데이터 패킷으로 송수신하도록 제어하며, 상기 인증 서버와 상기 제1 호스트 및 제2 호스트 간에 상기 암호화 스펙에 대한 변경 정보를 기반으로 전송계층보안(Transport Layer Security; TLS)이 달성되면 상기 인증 서버와 상기 제1 호스트 및 제 2호스트 사이에 각각의 암호화 채널이 생성되도록 제어하여 실행하도록 컴퓨터로 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램.
KR1020180009171A 2017-12-20 2018-01-25 소프트웨어 정의 네트워킹을 활용한 mac 프로토콜 기반의 종단간 보안 통신 방법과 이를 위한 통신 컨트롤러 및 컴퓨터 프로그램 KR102071707B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US16/170,373 US11075907B2 (en) 2017-12-20 2018-10-25 End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20170176096 2017-12-20
KR1020170176096 2017-12-20

Publications (2)

Publication Number Publication Date
KR20190074912A KR20190074912A (ko) 2019-06-28
KR102071707B1 true KR102071707B1 (ko) 2020-01-30

Family

ID=67066266

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180009171A KR102071707B1 (ko) 2017-12-20 2018-01-25 소프트웨어 정의 네트워킹을 활용한 mac 프로토콜 기반의 종단간 보안 통신 방법과 이를 위한 통신 컨트롤러 및 컴퓨터 프로그램

Country Status (1)

Country Link
KR (1) KR102071707B1 (ko)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101602497B1 (ko) 2009-02-13 2016-03-21 삼성전자주식회사 무선 네트워크 통신 시스템에서 데이터 통신 보안을 위한 맥 프로토콜 제공 방법
KR20140051802A (ko) * 2012-10-23 2014-05-02 한국전자통신연구원 패킷 포워딩 룰 설정 방법 및 이를 이용한 제어 장치
KR101848300B1 (ko) * 2015-07-23 2018-05-28 주식회사 투아이피 IoT 디바이스의 통신 클라이언트의 동작 방법 및 상기 통신 클라이언트를 포함하는 IoT 디바이스
KR102165197B1 (ko) * 2015-07-31 2020-10-13 에스케이텔레콤 주식회사 Sdn 기반의 트래픽 처리 장치 및 그 방법

Also Published As

Publication number Publication date
KR20190074912A (ko) 2019-06-28

Similar Documents

Publication Publication Date Title
US11075907B2 (en) End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same
US20230070104A1 (en) Secure connections establishment
US7992193B2 (en) Method and apparatus to secure AAA protocol messages
US9461975B2 (en) Method and system for traffic engineering in secured networks
US10178181B2 (en) Interposer with security assistant key escrow
EP1706956B1 (en) Methods, apparatuses and computer program for enabling stateless server-based pre-shared secrets
US8539559B2 (en) System for using an authorization token to separate authentication and authorization services
EP1955511B1 (en) Method and system for automated and secure provisioning of service access credentials for on-line services
US20080222714A1 (en) System and method for authentication upon network attachment
US20070006296A1 (en) System and method for establishing a shared key between network peers
WO2005004418A1 (ja) リモートアクセスvpn仲介方法及び仲介装置
US20100161958A1 (en) Device for Realizing Security Function in Mac of Portable Internet System and Authentication Method Using the Device
US20080141360A1 (en) Wireless Linked Computer Communications
CN108353279A (zh) 一种认证方法和认证系统
US11968302B1 (en) Method and system for pre-shared key (PSK) based secure communications with domain name system (DNS) authenticator
Hauser et al. Establishing a session database for SDN using 802.1 X and multiple authentication resources
WO2018060163A1 (en) Method to generate and use a unique persistent node identity, corresponding initiator node and responder node
KR102071707B1 (ko) 소프트웨어 정의 네트워킹을 활용한 mac 프로토콜 기반의 종단간 보안 통신 방법과 이를 위한 통신 컨트롤러 및 컴퓨터 프로그램
Niemiec et al. Authentication in virtual private networks based on quantum key distribution methods
Alhumrani et al. Cryptographic protocols for secure cloud computing
JP2008199420A (ja) ゲートウェイ装置および認証処理方法
Boire et al. Credential provisioning and device configuration with EAP
US12015721B1 (en) System and method for dynamic retrieval of certificates with remote lifecycle management
KR102345093B1 (ko) 무선 인터넷의 보안 세션 제어 시스템 및 보안 세션 제어 방법
Degefa VPN Scenarios, Configuration and Analysis:-

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant