KR102073552B1 - 근거리 통신에 있어 암호화가 필요한 데이터 패킷의 생성방법 및 장치 - Google Patents

근거리 통신에 있어 암호화가 필요한 데이터 패킷의 생성방법 및 장치 Download PDF

Info

Publication number
KR102073552B1
KR102073552B1 KR1020140150128A KR20140150128A KR102073552B1 KR 102073552 B1 KR102073552 B1 KR 102073552B1 KR 1020140150128 A KR1020140150128 A KR 1020140150128A KR 20140150128 A KR20140150128 A KR 20140150128A KR 102073552 B1 KR102073552 B1 KR 102073552B1
Authority
KR
South Korea
Prior art keywords
field
packet
data packet
preset
merging
Prior art date
Application number
KR1020140150128A
Other languages
English (en)
Other versions
KR20160050928A (ko
Inventor
김민형
Original Assignee
아이디 퀀티크 에스.에이.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아이디 퀀티크 에스.에이. filed Critical 아이디 퀀티크 에스.에이.
Priority to KR1020140150128A priority Critical patent/KR102073552B1/ko
Publication of KR20160050928A publication Critical patent/KR20160050928A/ko
Application granted granted Critical
Publication of KR102073552B1 publication Critical patent/KR102073552B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • H04L49/9057Arrangements for supporting packet reassembly or resequencing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

근거리 통신에 있어 암호화가 필요한 데이터 패킷의 생성방법 및 장치를 개시한다.
본 실시예의 일 측면에 의하면, 데이터 패킷을 암호화하여 전송함에 있어, 동일한 패킷 헤더를 갖는 복수의 데이터 패킷을 병합하는 장치를 제공하는 데 주된 목적이 있다.

Description

근거리 통신에 있어 암호화가 필요한 데이터 패킷의 생성방법 및 장치{Method and Apparatus for Generating Data Packet Requiring Encryption in Short Distance Communications}
본 실시예는 근거리 통신에 있어서 암호화가 필요한 데이터 패킷을 생성하기 위한 방법 및 장치에 관한 것이다.
이 부분에 기술된 내용은 단순히 본 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.
도 1는 기존의 근거리 통신의 암호화 시스템을 도시한 블럭도이다.
도 1를 참조하면, 송신 장치는 송신하고자 하는 데이터 패킷을 암호화하여 암호화된 데이터 패킷을 전송한다. 이는 송신 장치가 그대로 데이터 패킷을 전송한다면, 도청자에 의해 송신하는 데이터 패킷을 도청당할 우려가 있어, 근거리 통신 시스템은 전송하고자 하는 데이터를 암호화하기 위한 암호화 장치를 포함한다. 근거리 통신 암호화 시스템(100)은 근거리 통신 암호화 송신 장치(110) 및 근거리 통신 암호화 수신 장치(120)를 포함한다.
근거리 통신 암호화 송신 장치(110)는 근거리 통신 시스템의 전송 장치가 전송하고자 하는 일반 데이터 패킷을 수신하여, 암호화하는 장치를 가리킨다. 즉, 일반 데이터 패킷을 입력 받아, 이를 암호화하여 암호화된 데이터 패킷을 출력한다.
근거리 통신 암호화 수신 장치(120)는 근거리 통신 암호화 송신 장치가 출력한 암호화된 데이터 패킷을 수신하여 이를 복호화한다. 수신한 암호화된 데이터 패킷을 복호화하여, 근거리 통신 시스템의 전송 장치가 전송하고자 했던 일반 데이터 패킷을 얻는다.
도 2a는 기존의 MAC 프레임의 구성을 도시한 도면이고, 도 2b는 기존의 MACsec 프레임의 구성을 도시한 도면이다.
도 2a에 도시된 기존의 MAC(Media Access Control) 프레임(210)은 기존의 근거리 통신 시스템에서 전송 장치가 전송하고자 하는 일반 데이터 패킷의 일 예이다. 기존의 MAC 프레임(210)이 근거리 통신 암호화 송신 장치(110)에 의해 암호화되는 경우, 도 2b에 도시된 MACSec(MAC Security) 프레임(220)이 된다. 기존의 MACSec 프레임(220)은 기존의 MAC 프레임(210)과 대비할 때, SecTAG 필드(224)와 ICV(228)필드가 추가된다.
SecTAG 필드(224)는 보안 태그 필드라고 하며, 송신되는 프레임이 MACSec 프레임임을 나타내는 역할을 한다. 송신되는 MACSec프레임의 프로토콜 버전을 결정하는데 사용될 수 있는 정보를 포함할 수 있으며, 무결성 검사 값 필드의 길이를 나타내는 정보를 포함할 수 있다. 또한 평문(Plaintext) 각각을 고유하게 만드는 역할을 하는 초기화 벡터(Initialization Vector)를 포함한다. SecTAG 필드는 8 또는 16 Byte의 크기를 가질 수 있다.
ICV(Integrity Check Value) 필드(228)는 무결성 검사 값 필드라고 하며, 송신되는 MACSec프레임의 무결성을 확인하기 위한 역할을 하는 필드이다. 수신장치에서 상기 암호화된 데이터 패킷을 수신하면 암호화된 데이터 패킷을 복호화한 후에 ICV 필드(228) 값이 유효한지를 판단하여 복호화한 데이터 패킷의 무결성을 검사하게 된다. ICV 필드(228)는 8 또는 16 Byte의 크기를 가질 수 있다. 무결성을 확인하기 위해 인증 태그(Authentication Tag)를 포함한다.
기존의 MAC 프레임을 암호화하여 전송하기 위해서는, 즉 MACSec 프레임은 매 프레임마다 SecTAG 필드와 ICV필드를 추가하여 암호화 정보를 추가하여 전송하여야 한다. 그러나 MACSec 프레임의 매 프레임마다 SecTAG 필드와 ICV 필드를 추가해야 한다면 전송효율이 떨어지게 된다. SecTAG 필드와 ICV 필드가 추가될 경우, 매 MACSec 프레임마다 최대 32 Byte가 증가하게 된다. 기 설정된 전송속도를 제공하는 근거리 통신 시스템에 있어서, 데이터 패킷을 암호화하면 기존의 데이터 패킷보다 패킷의 크기가 증가하게 되어, 암호화 장치가 암호화된 데이터 패킷을 한번에 전송하지 못하게 될 가능성이 있다. 이에 따라 암호화 장치에 오버헤드(Overhead)가 발생할 수 있어 전송효율이 떨어지는 문제점이 있다.
본 실시예는, 데이터 패킷을 암호화하여 전송함에 있어, 동일한 패킷 헤더를 갖는 복수의 데이터 패킷을 병합하는 장치를 제공하는 데 주된 목적이 있다.
본 실시예의 일 측면에 의하면, 근거리 통신에서 데이터 패킷을 암호화하기 위한 암호화장치에 있어, 상기 암호화장치가 수신한 복수의 데이터 패킷의 페이로드(Payload) 필드를 병합하여 병합 패킷 필드를 생성하는 패킷 병합모듈; 상기 병합 패킷 필드를 수신하고 이를 암호화하여 암호화된 병합 패킷 필드를 생성하는 암호화모듈; 상기 암호화된 병합 패킷 필드를 포함하는 데이터 패킷에 암호화된 데이터 패킷임을 나타내는 패킷 헤더를 추가하여 패킷헤더를 생성하는 패킷헤더 생성모듈; 및 상기 데이터 패킷이 기 설정된 조건을 만족하는 지에 따라 상기 패킷 병합모듈이 상기 복수의 데이터 패킷의 페이로드 필드를 병합할지 여부를 제어하는 신호를 생성하고, 상기 병합 패킷 필드에 포함된 상기 복수의 데이터 패킷의 페이로드 필드 모두를 암호화하도록 상기 암호화모듈에 암호화 단위의 제어신호를 전송하는 패킷병합 계산모듈을 포함하되, 상기 패킷병합 계산모듈에서 상기 기 설정된 조건의 만족 여부 판단시, 상기 데이터 패킷의 길이가 기 설정된 길이보다 작은지 여부, IFG(Inter Frame Gap)의 시간이 기 설정된 기준보다 작은지 여부, 및 패킷의 최초 병합으로부터 기 설정된 시간 이내인지 여부를 판단하여, 이 중 적어도 어느 하나가 만족되면 상기 기 설정된 조건이 만족되는 것으로 판단하는 것을 특징으로 하는 암호화장치를 제공한다.
본 실시예의 다른 측면에 의하면, 근거리 통신에서 데이터 패킷을 암호화하는 방법에 있어서, 데이터 패킷을 수신하고 상기 데이터 패킷이 기 설정된 조건을 만족하는지 여부를 판단하는 단계; 상기 데이터 패킷이 상기 기 설정된 조건을 만족하는 경우, 복수의 데이터 패킷의 페이로드 필드를 상기 기 설정된 조건에 만족하지 않을 때까지 병합하여 병합된 복수의 페이로드 필드를 생성하는 단계; 상기 데이터 패킷이 상기 기 설정된 조건을 만족하지 않는 경우, 상기 병합된 복수의 페이로드 필드를 암호화하여 암호화된 복수의 페이로드 필드를 생성하는 단계; 및 상기 암호화된 복수의 페이로드 필드를 포함하는 데이터 패킷에 암호화된 데이터 패킷임을 나타내는 패킷 헤더를 추가하는 단계를 포함하되,상기 기 설정된 조건의 만족 여부 판단시, 상기 데이터 패킷의 길이가 기 설정된 길이보다 작은지 여부, IFG(Inter Frame Gap)의 시간이 기 설정된 기준보다 작은지 여부, 및 패킷의 최초 병합으로부터 기 설정된 시간 이내인지 여부를 판단하여, 이 중 적어도 어느 하나가 만족되면 상기 기 설정된 조건이 만족되는 것으로 판단하는 것을 특징으로 하는 암호화방법을 제공한다.
삭제
이상에서 설명한 바와 같이 본 실시예에 의하면, 동일한 패킷 헤더를 갖는 복수의 데이터 패킷을 병합함으로써, 프로토콜의 변경 없이도 암호화 장치에 발생하는 오버헤드를 줄여 전송효율을 높일 수 있다.
도 1은 기존의 근거리 통신의 암호화 시스템을 도시한 블럭도이다
도 2a는 기존의 MAC 프레임의 구성을 도시한 도면이다.
도 2b는 기존의 MACSec 프레임의 구성을 도시한 도면이다.
도 3a는 본 발명의 일 실시예에 따른 암호화 장치의 구성을 도시한 블럭도이다.
도 3b는 본 발명의 일 실시예에 따른 복호화 장치의 구성을 도시한 블럭도이다.
도 4는 본 발명의 일 실시예에 따른 MACSec 프레임의 구성을 도시한 도면이다.
도 5는 본 발명의 일 실시예에 따른 암호화된 데이터 패킷을 생성하는 방법을 도식적으로 나타낸 순서도이다.
이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 '포함', '구비'한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 '…부', '모듈' 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
도 3a는 본 발명의 일 실시예에 따른 암호화 장치의 구성을 도시한 블럭도이다.
도 3a를 참조하면, 본 발명의 일 실시예에 따른 암호화 장치는 패킷병합 계산모듈(310), 패킷 병합모듈(320), 암호화모듈(330) 및 패킷헤더 생성모듈(340)을 포함한다.
패킷병합 계산모듈(310)은 암호화되지 않은 일반 데이터 패킷을 수신하여 패킷을 통합할지 여부를 결정하여 패킷 병합모듈(320) 및 암호화모듈(330)에 각각 필요한 신호를 전송하는 역할을 한다.
수신한 일반 데이터 패킷의 길이가 기 설정된 길이 이상인 경우, 패킷 병합모듈(320)이 복수의 데이터 패킷을 병합하지 않도록 제어하는 신호를 패킷 병합모듈(320)에 송신한다. 또한 병합되지 않은 하나의 데이터 패킷만을 암호화하도록 암호화모듈에 암호화 단위의 제어신호를 송신한다.
수신한 일반 데이터 패킷의 길이가 기 설정된 길이보다 작고, 일반 데이터 패킷 간의 시간 간격이 작은 경우, 패킷을 기 설정된 길이 이상이 될 때까지 병합하도록 제어하는 신호를 패킷 병합모듈에 송신한다. 또한 병합된 복수의 데이터 패킷 모두를 암호화하도록 암호화 모듈에 암호화 단위의 제어신호를 송신한다.
패킷 병합모듈(320)은 패킷병합 계산모듈로부터 수신한 신호를 이용하여 수신한 일반 데이터 패킷의 페이로드(Payload) 필드을 병합하는 역할을 한다. 각각의 패킷의 페이로드 필드를 병합하여 하나의 병합된 페이로드 필드를 생성한다.
패킷병합 계산모듈로부터 병합하도록 제어하는 신호를 수신하는 경우, 앞선 과정을 거쳐 복수의 일반 데이터 패킷의 페이로드 필드를 병합하여 병합된 페이로드 필드를 생성한다. 반대로 패킷병합 계산모듈로부터 병합하지 않도록 제어하는 신호를 수신한 경우, 수신한 일반 데이터 패킷을 그대로 암호화모듈에 전달한다.
암호화모듈(330)은 패킷병합 계산모듈로부터 수신한 신호를 이용하여 수신한 데이터 패킷을 암호화하는 역할을 한다. 데이터 패킷의 페이로드 필드를 암호화하며, 무결성을 확인하기 위한 인증 정보를 생성한다. 패킷병합 계산모듈로부터 수신한 암호화 단위의 제어신호에 따라 하나의 페이로드 필드 또는 병합된 복수의 페이로드 필드를 암호화한다.
패킷헤더 생성모듈(340)은 암호화된 데이터 패킷의 형태를 갖도록 패킷헤더를 생성한다. 패킷헤더 생성모듈(340)은 암호화된 데이터 패킷임을 나타내도록 일반 데이터 패킷의 패킷 헤더에 암호화 장치와 복호화 장치가 공유하는 암호화 정보를 포함하는 필드를 추가하여 암호화된 패킷의 헤더를 생성한다.
도 3b는 본 발명의 일 실시예에 따른 복호화 장치의 구성을 도시한 블럭도이다.
도 3b를 참조하면, 본 발명의 일 실시예에 따른 복호화 장치(350)는 패킷헤더 분석모듈(360), 복호화모듈(370) 및 패킷 분리모듈(380)을 포함한다.
패킷헤더 분석모듈(360)은 암호화 장치로부터 수신한 암호화된 데이터 패킷을 분석하는 역할을 한다. 암호화된 데이터 패킷의 패킷 헤더 필드, 페이로드 필드, 인증 정보를 포함하고 있는 필드 및 기타 필드 각각을 분석한다. 패킷 헤더 필드로부터 암호화 장치와 복호화 장치가 공유하는 암호화 정보를 분석한다.
복호화모듈(370)은 패킷헤더 분석모듈로부터 수신한 암호화 정보를 이용하여 암호화된 페이로드 필드를 복호화하는 역할을 한다. 패킷헤더 분석모듈이 분석하여 송신한 암호화정보를 이용하여 암호화된 페이로드 필드를 복호화한다. 이때, 복호화모듈은 암호화된 데이터 패킷에 포함된 인증 정보를 포함하고 있는 필드 값이 유효한지를 판단하여 복호화한 페이로드 필드의 무결성을 검사한다. 이로부터 복호화가 정확하게 되었는지 여부를 판단할 수 있다.
복호화모듈은 암호화 장치로부터 수신한 암호화된 데이터 패킷이 병합되지 않은 페이로드 필드를 갖는 데이터 패킷이라면, 복호화모듈의 복호화로부터 일반 데이터 패킷을 획득할 수 있다.
복호화모듈은 암호화 장치로부터 수신한 암호화된 데이터 패킷이 복수의 페이로드 필드가 병합된 데이터 패킷이라면, 병합된 페이로드 필드 전체를 복호화한다.
패킷 분리모듈(380)은 복호화모듈이 복호화한 병합된 페이로드 필드를 분리하는 역할을 한다. 복호화모듈로부터 복호화한 병합된 페이로드 필드를 수신하여, 이를 각각의 일반 페이로드 필드로 분리한다.
도 3a에 도시된 암호화장치 및 도 3b에 도시된 복호화장치에 포함된 각 구성요소는 장치 내부의 소프트웨어적인 모듈 또는 하드웨어적인 모듈을 연결하는 통신 경로에 연결되어 상호 간에 유기적으로 동작한다. 이러한 구성요소는 하나 이상의 통신 버스 또는 신호선을 이용하여 통신한다.
도 4는 본 발명의 일 실시예에 따른 MACSec 프레임의 구성을 도시한 도면이다.
도 4를 참조하면, 기존의 복수의 MAC 프레임(220, 225)이 병합된 본 발명의 일 실시예에 따른 MACSec 프레임(400)은 다음의 필드를 포함할 수 있다.
Pre(Preamble, 402) 필드는 프레임 전송의 시작을 나타내는 필드로서, 10101010(1byte)이 반복되는 7 Byte(10101010 101010......)의 크기를 갖는다. 수신 장치에 프레임이 전송된다는 것을 알리고 0과 1을 제대로 구분할 수 있게 동기신호를 제공하는 역할을 한다.
SOF(Start of Frame Delimiter, 404) 필드는 프레임 개시 필드로서, 프리앰블 필드의 뒤에 이어지는 1 Byte의 크기를 갖는 필드로 프레임의 시작을 알리는 역할을 한다.
DA(Destination Address, 406) 필드는 MAC 프레임을 수신할 노드를 식별하는데 사용될 수 있는 정보를 포함하는 필드로 6 Byte의 크기를 갖는다.
SA(Source Address, 408) 필드는 MAC 프레임을 발생시키는 노드를 확인하는데 사용될 수 있는 정보를 포함하는 필드로 6 Byte의 크기를 갖는다.
DA 필드와 SA 필드는 추가적 인증 데이터(AAD: Additional Authenticated Data) 정보를 포함한다. 다만, 병합된 모든 이더넷(Ethernet) 패킷 필드가 동일한 DA 및 SA 필드를 갖는다면, 이더넷 패킷 내의 DA 필드와 SA 필드로 DA(406) 필드와 SA(408) 필드를 대체할 수 있다. 즉, DA(406) 필드와 SA(408) 필드를 대체함으로써, MACSec 프레임의 크기를 보다 줄여 전송 효율을 높일 수 있다.
SecHeader(Security Header, 410) 필드는 수신한 MACSec 프레임의 종류를 나타내는 역할을 한다. 본 발명의 일 실시예에 따라 병합된 MACSec 프레임의 종류를 신규로 정의하여 수신한 프레임이 어떠한 종류의 MACSec 프레임인지 여부를 판단한다. 또한 평문 각각을 고유하게 만드는 역할을 하는 초기화 벡터(Initialization Vector)를 포함한다. SecHeader(410) 필드는 송신되는 MACSec 프레임의 프로토콜 버전을 결정하는데 사용될 수 있는 정보를 포함할 수 있으며, ICV 필드의 길이를 나타내는 정보를 포함할 수 있다.
T(Tag, 412) 필드는 복수의 이더넷 패킷 필드 각각에 포함된 DA 필드 및 SA 필드의 포함 여부를 나타내는 역할을 한다. 복수의 이더넷 패킷 필드 중에서 이더넷 패킷 필드 내에 포함된 DA 필드 및 SA 필드의 값이 동일한 이더넷 패킷 필드가 존재할 수 있고, 동일한 DA 필드 및 SA 필드의 값을 갖는 두 번째 이후의 이더넷 패킷 필드는 DA 필드 및 SA 필드를 제외할 수 있다. 이에 따라 이더넷 패킷 필드는 이더넷 패킷 필드 내에 DA 필드 및 SA 필드를 갖는 필드와 DA 필드 및 SA 필드를 가지지 않는 필드로 구분되는데, T 필드는 이를 서로 구분하기 위해 존재한다. 즉, T 필드로부터 이더넷 패킷 필드 내에 DA 필드 및 SA 필드가 포함되었는지 여부를 파악할 수 있다.
L(Length, 414) 필드는 이더넷 패킷 필드의 길이를 나타내는 역할을 한다.
이더넷 패킷 필드(416)는 암호화장치가 수신한 MAC 프레임의 DA 필드, SA 필드 및 MSDU(MAC Service Data Unit) 필드를 포함한다. MSDU 필드는 MAC 계층의 상위계층으로부터 수신한 데이터 패킷을 포함하고 있는 필드로서, 암호화장치가 복호화장치로 전송하고자 하는 데이터를 포함하고 있는 필드에 해당한다.
앞선 언급대로 이더넷 패킷 필드는 이더넷 패킷 필드 내에 포함된 DA 필드 및 SA 필드의 값이 앞선 이더넷 패킷 필드의 그것과 동일한 경우, DA 필드 및 SA 필드를 제외할 수 있다. 이더넷 패킷 필드 내의 DA 필드 및 SA 필드를 제외할 수 있기 때문에, 이더넷 패킷 필드는 48 Byte부터 1512 Byte의 크기를 가질 수 있다.
ICV(Integrity Check Value, 418) 필드는 무결성 검사 값 필드로서, 무결성을 확인하기 위해 인증 태그(Authentication Tag)를 포함할 수 있다. ICV 필드에 포함된 인증 태그 값을 이용해 유효한지 여부를 판단하여 수신장치가 복호화한 데이터 패킷의 무결성을 검사한다.
FCS(Frame Check Sequence, 420) 필드는 오류를 검사하기 위한 필드로서, 전송된 프레임이 문제가 있는지 없는지 검사하는 역할을 한다. FCS 필드는 4 Byte의 크기를 갖는다.
IFG(Inter Frame Gap, 422) 필드는 프레임 사이에 일정한 시간을 두기 위해 규정된 필드로서, 프레임의 송신을 완료한 장치는 연속으로 프레임을 전송하지 못하고, 특정한 시간으로 정의된 시간 이후에만 다시 송신할 수 있도록 규정되어 있다. IFG(422) 필드는 12 Byte 이상의 크기를 갖는다.
병합 패킷(430) 필드는 복수의 이더넷 패킷 필드와 각각의 이더넷 패킷 필드의 성질을 나타내는 T 필드 및 L 필드를 포함하는 필드를 의미한다.
본 발명의 일 실시예에 따른 MACSec 프레임(400)을 도 3a에 도시된 암호화장치와 대응하여 설명하면 다음과 같다.
패킷 병합모듈(320)은 패킷병합 계산모듈(310)로부터 데이터 패킷의 병합신호를 수신하는 경우, 암호화장치가 수신한 복수의 MAC 프레임 각각의 DA 필드, SA 필드 및 MSDU 필드를 병합한 복수의 이더넷 패킷 필드와 각각의 이더넷 패킷 필드의 성질을 나타낸 T 필드 및 L 필드를 포함하는 병합 패킷(430)을 생성한다. 이때, 각각의 이더넷 패킷 필드의 DA 필드는 SA 필드 존재할 수도 있고, 제외되었을 수 있다.
암호화모듈(330)은 패킷 병합모듈(320)로부터 생성된 병합 모듈(430)을 수신하여 병합 모듈의 이더넷 패킷 필드를 암호화한다. 암호화 모듈(330)은 이더넷 패킷 필드를 암호화하며, ICV(418) 필드를 생성한다.
패킷헤더 생성모듈(340)은 MACSec 프레임의 헤더에 SecHeader(410) 필드를 추가함으로써 본 발명의 일 실시예에 따른 MACSec 프레임(400)을 생성한다.
도 4를 설명함에 있어, 본 발명을 편의상 근거리 통신을 이더넷으로 한정하여 이더넷의 MAC 프레임으로 데이터 패킷을 한정하여 설명을 하고 있으나, 반드시 이에 한정하는 것은 아니고 근거리 통신의 모든 데이터 패킷에 적용 가능하다.
도 5는 본 발명의 일 실시예에 따른 암호화된 데이터 패킷을 생성하는 방법을 도식적으로 나타낸 순서도이다.
수신한 데이터 패킷이 기 설정된 조건을 만족하는지 여부를 판단한다(S510). 암호화 장치가 수신한 일반 데이터 패킷이 기 설정된 조건을 만족하는지 여부를 판단한다. 여기서, 기 설정된 조건은 수신한 일반 데이터 패킷의 길이가 기 설정된 길이보다 작은지 여부, 패킷 간의 시간간격이 기 설정된 기준 이하인지 여부를 판단하고, 병합된 패킷이 수신된 경우 전술한 조건에 더불어 병합된 패킷이 최초 병합을 시작한 시간으로부터 기 설정된 시간이 지나지 않았는지 여부도 함께 판단할 수 있다.
수신한 데이터 패킷이 기 설정된 조건을 만족하는 경우, 복수의 데이터 패킷을 병합한다(S520). 일반 데이터 패킷의 길이가 기 설정된 길이보다 작고 패킷 간의 시간간격이 기 설정된 기준보다 짧은 경우, 기 설정된 길이를 만족할 때까지 일반 데이터 패킷을 병합할 수 있다. 이때, 병합된 패킷이 기 설정된 길이를 넘어가거나 최초 병합을 시작한 시간으로부터 일정 시간이 지난 경우에도 병합을 중지한다.
데이터 패킷을 암호화한다(S530). 수신한 데이터 패킷이 기 설정된 조건을 만족하여 병합한 데이터 패킷이나 기 설정된 조건을 만족하지 않은 수신한 데이터 패킷을 암호화하며, 무결성을 확인하기 위한 인증 정보를 생성하여 데이터 패킷에 포함시킬 수 있다.
암호화한 데이터 패킷임을 나타내는 패킷 헤더를 생성한다(S540). 패킷 헤더를 생성함에 있어 패킷 헤더에 암호화한 데이터 패킷이 병합한 데이터 패킷임을 나타내는 정보를 포함할 수 있다.
도 5에서는 과정 S510 내지 과정 S540을 순차적으로 실행하는 것으로 기재하고 있으나, 이는 본 발명의 일 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것이다. 다시 말해, 본 발명의 일 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 일 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 도 5에 기재된 순서를 변경하여 실행하거나 과정 S510 내지 과정 S540 중 하나 이상의 과정을 병렬적으로 실행하는 것으로 다양하게 수정 및 변형하여 적용 가능할 것이므로, 도 5는 시계열적인 순서로 한정되는 것은 아니다.
한편, 도 5에 도시된 과정들은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 즉, 컴퓨터가 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등) 및 캐리어 웨이브(예를 들면, 인터넷을 통한 전송)와 같은 저장매체를 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 근거리 통신 암호화 시스템 110: 암호화장치
120: 복호화장치 210, 215: MAC 프레임
220: MACSec 프레임 224: SecTag 필드
228: ICV 필드 300: 암호화장치
310: 패킷병합 계산모듈 320: 패킷 병합모듈
330: 암호화모듈 340: 패킷헤더 생성모듈
350: 복호화장치 360: 패킷헤더 분석모듈
370: 복호화모듈 380: 패킷 분리모듈
400: MACSec 프레임 402: Pre 필드
404: SOF 필드 406: DA 필드
408: SA 필드 410: SecHeader 필드
412: T 필드 414: L 필드
416: 이더넷 패킷 필드 418: ICV 필드
420: FCS 필드 422: IFG 필드
430: 병합 패킷

Claims (10)

  1. 근거리 통신에서 데이터 패킷을 암호화하기 위한 암호화장치에 있어,
    상기 암호화장치가 수신한 복수의 데이터 패킷의 페이로드(Payload) 필드를 병합하여 병합 패킷 필드를 생성하는 패킷 병합모듈;
    상기 병합 패킷 필드를 수신하고 이를 암호화하여 암호화된 병합 패킷 필드를 생성하는 암호화모듈;
    상기 암호화된 병합 패킷 필드를 포함하는 데이터 패킷에 암호화된 데이터 패킷임을 나타내는 패킷 헤더를 추가하여 패킷헤더를 생성하는 패킷헤더 생성모듈; 및
    상기 데이터 패킷이 기 설정된 조건을 만족하는 지를 판단하고, 상기 판단에 따라 상기 패킷 병합모듈이 상기 복수의 데이터 패킷의 페이로드 필드를 병합할지 여부를 제어하는 신호를 생성하고, 상기 병합 패킷 필드에 포함된 상기 복수의 데이터 패킷의 페이로드 필드 모두를 암호화하도록 상기 암호화모듈에 암호화 단위의 제어신호를 전송하는 패킷병합 계산모듈을 포함하되,
    상기 패킷병합 계산모듈은 상기 데이터 패킷의 길이가 기 설정된 길이보다 작은지 여부를 판단하는 수단, IFG(Inter Frame Gap)의 시간이 기 설정된 기준보다 작은지 여부를 판단하는 수단, 및 패킷의 최초 병합으로부터 기 설정된 시간 이내인지 여부를 판단하는 수단을 포함하고,
    상기 패킷병합 계산모듈은 상기 데이터 패킷의 길이가 상기 기 설정된 길이보다 작은지 여부, 상기 IFG의 시간이 상기 기 설정된 기준보다 작은지 여부, 및 상기 패킷의 최초 병합으로부터 상기 기 설정된 시간 이내인지 여부 중 적어도 어느 하나가 만족되면 상기 기 설정된 조건이 만족되는 것으로 판단하는 것을 특징으로 하는 암호화장치.
  2. 삭제
  3. 삭제
  4. 제1항에 있어서,
    상기 페이로드 필드는,
    상기 복수의 데이터 패킷 중에서 페이로드 필드에 포함된 DA(Destination Address) 필드 및 SA(Source Address) 필드의 값이 서로 동일한 복수의 데이터 패킷이 존재하는 경우, 상기 DA 필드 및 SA 필드의 값이 서로 동일한 복수의 데이터 패킷 중 어느 하나의 데이터 패킷의 페이로드 필드에만 DA 필드 및 SA 필드를 포함하는 것을 특징으로 하는 암호화장치.
  5. 제4항에 있어서,
    상기 병합 패킷 필드는,
    상기 데이터 패킷의 페이로드 필드에 DA 필드 및 SA 필드가 포함되었는지 여부를 나타내는 T(Tag) 필드 및 상기 페이로드 필드의 길이를 나타내는 L(Length) 필드를 포함하는 것을 특징으로 하는 암호화장치.
  6. 제1항에 있어서,
    상기 암호화모듈은,
    상기 병합 패킷 필드를 수신하여 암호화하며, 상기 병합 패킷 필드를 포함하는 데이터 패킷에 무결성을 확인하기 위한 인증 정보를 나타내는 필드를 포함시키는 것을 특징으로 하는 암호화장치.
  7. 근거리 통신에서 데이터 패킷을 암호화하는 방법에 있어서,
    데이터 패킷을 수신하고 상기 데이터 패킷이 기 설정된 조건을 만족하는지 여부를 판단하는 단계;
    상기 데이터 패킷이 상기 기 설정된 조건을 만족하는 경우, 복수의 데이터 패킷의 페이로드 필드를 상기 기 설정된 조건에 만족하지 않을 때까지 병합하여 병합된 복수의 페이로드 필드를 생성하는 단계;
    상기 데이터 패킷이 상기 기 설정된 조건을 만족하지 않는 경우, 상기 병합된 복수의 페이로드 필드를 암호화하여 암호화된 복수의 페이로드 필드를 생성하는 단계; 및
    상기 암호화된 복수의 페이로드 필드를 포함하는 데이터 패킷에 암호화된 데이터 패킷임을 나타내는 패킷 헤더를 추가하는 단계를 포함하되,
    상기 기 설정된 조건의 만족 여부를 판단하는 단계는,
    상기 데이터 패킷의 길이가 기 설정된 길이보다 작은지 여부를 판단하는 과정, IFG(Inter Frame Gap)의 시간이 기 설정된 기준보다 작은지 여부를 판단하는 과정, 및 패킷의 최초 병합으로부터 기 설정된 시간 이내인지 여부를 판단하는 과정을 포함하고,
    상기 데이터 패킷의 길이가 상기 기 설정된 길이보다 작은지 여부, 상기 IFG의 시간이 상기 기 설정된 기준보다 작은지 여부, 및 상기 패킷의 최초 병합으로부터 상기 기 설정된 시간 이내인지 여부 중 적어도 어느 하나가 만족되면 상기 기 설정된 조건이 만족되는 것으로 판단하는 것을 특징으로 하는 암호화방법.

  8. 삭제
  9. 삭제
  10. 삭제
KR1020140150128A 2014-10-31 2014-10-31 근거리 통신에 있어 암호화가 필요한 데이터 패킷의 생성방법 및 장치 KR102073552B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140150128A KR102073552B1 (ko) 2014-10-31 2014-10-31 근거리 통신에 있어 암호화가 필요한 데이터 패킷의 생성방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140150128A KR102073552B1 (ko) 2014-10-31 2014-10-31 근거리 통신에 있어 암호화가 필요한 데이터 패킷의 생성방법 및 장치

Publications (2)

Publication Number Publication Date
KR20160050928A KR20160050928A (ko) 2016-05-11
KR102073552B1 true KR102073552B1 (ko) 2020-02-05

Family

ID=56025791

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140150128A KR102073552B1 (ko) 2014-10-31 2014-10-31 근거리 통신에 있어 암호화가 필요한 데이터 패킷의 생성방법 및 장치

Country Status (1)

Country Link
KR (1) KR102073552B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100946904B1 (ko) 2006-08-11 2010-03-09 삼성전자주식회사 통신시스템의 집합 패킷 생성 방법
JP2011171826A (ja) * 2010-02-16 2011-09-01 Nippon Telegr & Teleph Corp <Ntt> パケット転送装置およびパケット転送方法
KR101284584B1 (ko) * 2011-06-30 2013-07-11 에스케이텔레콤 주식회사 시그널링 트래픽 관리 시스템 및 그 방법
KR101319023B1 (ko) 2011-12-07 2013-10-17 경상대학교산학협력단 패킷 구조, 패킷 송신 장치 및 패킷 수신 장치

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2283603B1 (en) * 2008-06-03 2020-02-19 Samsung Electronics Co., Ltd. A device and method of reducing encryption overhead by concatenating multiple connection packets associated with a security association

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100946904B1 (ko) 2006-08-11 2010-03-09 삼성전자주식회사 통신시스템의 집합 패킷 생성 방법
JP2011171826A (ja) * 2010-02-16 2011-09-01 Nippon Telegr & Teleph Corp <Ntt> パケット転送装置およびパケット転送方法
KR101284584B1 (ko) * 2011-06-30 2013-07-11 에스케이텔레콤 주식회사 시그널링 트래픽 관리 시스템 및 그 방법
KR101319023B1 (ko) 2011-12-07 2013-10-17 경상대학교산학협력단 패킷 구조, 패킷 송신 장치 및 패킷 수신 장치

Also Published As

Publication number Publication date
KR20160050928A (ko) 2016-05-11

Similar Documents

Publication Publication Date Title
US10095634B2 (en) In-vehicle network (IVN) device and method for operating an IVN device
US11606341B2 (en) Apparatus for use in a can system
US9755826B2 (en) Quantum key distribution device, quantum key distribution system, and quantum key distribution method
US8112622B2 (en) Chaining port scheme for network security
US10749667B2 (en) System and method for providing satellite GTP acceleration for secure cellular backhaul over satellite
KR101704569B1 (ko) 시동 기반 동적 차량 보안 통신 제어 방법 및 그를 위한 장치 및 시스템
KR101608815B1 (ko) 폐쇄형 네트워크에서 암복호화 서비스 제공 시스템 및 방법
CN106165353A (zh) 使用点对点认证协议对加密流进行高效路由
KR101675332B1 (ko) 차량용 데이터 통신 방법 및 그를 이용하는 차량용 전자 제어 장치 및 시스템
KR20180046758A (ko) 사물인터넷 기반의 DUSS(Different Units Same Security) 장치
US11436350B2 (en) Protecting media content
US20200045540A1 (en) Method and system for securing communication links using enhanced authentication
KR20110040753A (ko) 보안연계와 관련된 다수 연결 패킷들 결합하여 암호화 오버헤드를 줄이기 위한 시스템 및 방법
EP2811715B1 (en) Systems and methods for intermediate message authentication in a switched-path network
WO2020133085A1 (zh) 信息传输方法、存储介质、信息传输系统及无人飞行器
KR101457455B1 (ko) 클라우드 네트워크 환경에서의 데이터 보안 장치 및 방법
KR102073552B1 (ko) 근거리 통신에 있어 암호화가 필요한 데이터 패킷의 생성방법 및 장치
WO2022091544A1 (ja) 情報検証装置、電子制御装置、及び情報検証方法
US11595367B2 (en) Selectively disclosing content of data center interconnect encrypted links
JP2693881B2 (ja) 通信ネットワークで使用される暗号処理装置及び方法
US10993175B1 (en) Spectrum information query system and a secured query proxy device
JP5302360B2 (ja) 信号処理装置
US11956160B2 (en) End-to-end flow control with intermediate media access control security devices
KR102252314B1 (ko) 데이터 보안 전송 방법
CN115442305B (zh) 具有中间介质访问控制安全设备的端到端流量控制

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant