KR102643187B1 - 시간 인식 엔드-투-엔드 패킷 흐름 네트워크들에 사이버 보안을 제공하기 위한 방법들 및 디바이스들 - Google Patents

Abstract

패킷 처리를 수행하는 복수의 패킷 엔진 (61-64) 을 포함하는 시간 결정적 패킷 네트워크에서 엔드-투-엔드 데이터 경로 또는 엔드-투-엔드 경로의 세그먼트를 통한 보안 통신을 제공하기 위해, 암호 엔진 (71-74) 은 패킷 엔진과 별도로 제공된다. 암호 엔진 (71-74) 은 적어도 하나의 사이버 보안 기능을 수행하도록 동작한다. 암호 엔진 및 키 관리자 (44) 는 복수의 암호 엔진 (71-74) 에 대한 중앙 제어를 제공한다. 중앙 집중식 데이터 흐름 경로 관리자 (PFPM) (42) 는 엔드포인트 노드 및 패킷 네트워크의 엔드-투-엔드 데이터 경로의 중간 트랜짓 노드를 설정할 수도 있다.

Description

시간 인식 엔드-투-엔드 패킷 흐름 네트워크들에 사이버 보안을 제공하기 위한 방법들 및 디바이스들

본 발명은 패킷 네트워크에서의 데이터 송신에 관한 것이다. 본 발명은 특히 보호된 시간 인식 패킷 흐름 네트워크에서 데이터 트래픽의 엔드-투-엔드 및/또는 세그먼트 암호화 및/또는 인증을 위한 방법 및 디바이스에 관한 것이다.

다른 산업 자동화 제어 시스템 (IACS) 의 고전압 라인 또는 네트워크의 모니터링과 같은 미션 크리티컬 시스템의 네트워크에서, 많은 애플리케이션들은 여전히 레거시 접속 지향 기술에 의존한다. 상위 계층의 애플리케이션 설계에서, 전송자와 수신자 간의 관계는 직접 유선 데이터 링크와 유사하게 간주될 수 있다. 고속 열차 조향, 항공 교통 제어 또는 고전압 라인 자동화와 같은 애플리케이션을 조사할 때, 액터와 리액터 간의 직접적인 결정론적 관계는 시스템 설계의 상위 계층을 실질적으로 단순화하고 오늘날의 높은 전체 시스템 신뢰도에 기여한다.

유연성 증가와 같은 다양한 이유로, 미션 크리티컬 네트워크에 대해서도 패킷 네트워크를 통해 데이터 송신을 수행하는 것이 요구될 수도 있다. 이 경우, 시분할 멀티플렉싱된 (TDM) 네트워크에 내재 된 데이터 무결성이 더 이상 존재하지 않을 수도 있다. 비-적대적인 환경에 대하여 어느 정도까지, MPLS-TP (Multipath Label Switching Transport Profile) 는 접속 지향 패러다임의 일부 장점이 활용되게 한다. 그럼에도 불구하고, 과부하 상황과 오작동 중에, 엔드-투-엔드 데이터 경로 또는 링크는 직접 유선 접속으로 보여질 수 없다. 패킷을 스트림에서 삭제, 스트림으로 복제 및 스트림으로 추가하는 것과 같은 패킷 네트워크의 강력한 조작 능력들은 사이버 공격과 관련하여 매우 중요한 위험을 제공한다.

강화된 보안으로, MPLS-TP 와 같은 시간 결정적 패킷 네트워크를 통해 엔드-투-엔드 경로를 제공하는 것이 바람직할 것이다.

본 발명의 목적은 강화된 보안을 제공하는 패킷 네트워크에서 데이터 송신을 위한 개선된 방법, 디바이스, 및 시스템을 제공하는 것이다. 사이버 공격에 대해 높은 견고성을 제공하면서, 시간 결정적 패킷 네트워크에서 암호화 및/또는 인증된 데이터 송신을 제공하도록 동작하는 개선된 방법, 디바이스 및 시스템을 제공하는 것이 특히 목적이다.

예시적인 실시형태에 따르면, 복잡하고 메쉬형의 네트워크 토폴로지를 통해 암호화되고 인증된 데이터 패킷을 결정적으로 트랜짓하기 위한 방법 및 디바이스가 제공된다. MPLS-TP (Multipath Label Switching Transport Profile) 네트워크와 같은 그러한 네트워크의 경우, 보호된 엔드-투-엔드 경로와 각각의 사이버 보안 중복 데이터 링크 엔드포인트들의 코히어런트 연관이 제공된다.

보안상의 이유로, 2 개의 서브시스템들 - 패킷 네트워크를 통한 경로를 담당하는 패킷 스위칭 서브시스템과 사이버 보안 (또는 암호화) 서브시스템 - 은 강하게 분리되어 있지만 동기화되지 않을 수도 있다. 동적 프로토콜은 사이버 보안 서브시스템으로부터 패킷 스위칭 서브시스템으로의 제한된 정보 교환을 지원하는데 사용될 수도 있다. 이를 통해 모든 표준 및 예외적인 네트워크 동작 상태 동안 2 개의 서브시스템을 동기화하여 유지되게 한다.

예시적인 실시형태에서, 패킷 추가가 필요하지 않으며, 암호화 단계 동안 모든 패킷에 대해 동일한 지연이 유지될 수 있다. 암호화/복호화 및/또는 인증을 수행하는 암호 엔진은 암호 엔진과 분리된 패킷 엔진에 의해 이전에 생성된 더미 패킷에 제어 정보를 추가할 수도 있다. 패킷 엔진은 또한, 패킷들을 암호화하기 위해 암호 엔진 암호화 정보 삽입 요구에 의해 야기될 수도 있는 임의의 방해를 회피하기 위해, 필요할 경우 패킷간 갭들을 확대할 수도 있다. 이를 통해 MPLS (Multipath Label Switching) 와 같은 프로토콜 또는 시간 결정적 패킷 전송을 위한 다른 프로토콜이 진정한 사이버 보안이 되도록 강화한다.

예시적인 실시형태에서, 보호된 MPLS-TP 엔드-투-엔드 서비스 설정은 암호 엔진으로도 지칭되는 각각의 사이버 보안 중복 암호화 엔드포인트와 링크될 수도 있다. MPLS 와 사이버 보안 서브시스템 간의 정보 교환을 제한할 수도 있는, 하드웨어를 통한 사이버 보안 관리와 MPLS 경로 관리 및 설계된 제한의 명확한 분리는 클라이언트 노드에서 암호 엔진 또는 사이버 보안 서브시스템의 다른 컴포넌트로의 임의의 침입을 피할 수도 있다.

본 발명의 일 양태에 따르면, 패킷 네트워크에서 엔드-투-엔드 데이터 경로 (MPLS 터널에 의해 제공될 수도 있음) 를 통한 보안 통신을 제공하는 방법이 제공된다. 패킷 네트워크는 패킷 처리를 수행하는 복수의 패킷 엔진을 포함하는 시간 결정적 패킷 네트워크이다. 이 방법은 복수의 암호 엔진에 의해, 적어도 하나의 사이버 보안 기능을 수행하는 단계를 포함하고, 복수의 암호 엔진의 각각의 암호 엔진은 복수의 패킷 엔진의 개별 패킷 엔진과 각각 연관되고 개별 패킷 엔진과 별도로 제공된다. 암호화 엔진들 중 적어도 일부는 각각, 패킷 네트워크의 엔드포인트 노드와 연관된 개별 패킷 엔진과 엔드포인트 노드의 네트워크 대면 포트 사이에서, 또는 엔드포인트 노드와 연관된 각각의 패킷 엔진과 엔드포인트 노드에 접속된 제 1 트랜짓 노드 사이에서 제공된다. 이 방법은 암호 엔진 및 키 관리자 (CEKM) 에 의해, 복수의 암호 엔진을 중앙 제어하는 단계를 더 포함한다.

이 방법은 엔드-투-엔드 암호화 및/또는 인증을 수행하거나, 엔드-투-엔드 데이터 경로의 하나 또는 수 개의 세그먼트를 따라 암호화 및/또는 인증을 위해 사용될 수도 있다.

복수의 암호 엔진을 제어하는 것은 구성 정보를 복수의 암호 엔진들에 제공하는 것 및/또는 네트워크에서 복수의 암호 엔진에 의해 어떤 키들이 사용되는지를 조정하는 것을 포함할 수도 있다.

네트워크에서 모든 암호 엔진의 동작을 조정하기 위해 중앙 제어를 사용함으로써 및 패킷 엔진과 물리적으로 분리된 암호 엔진을 사용함으로써, 높은 보안을 얻을 수 있다.

패킷 엔진 및 연관된 암호 엔진은 MPLS 네트워크의 LER (Label Edge Router) 또는 LSR (Label Switch Router) 에서 각각 제공될 수도 있다.

패킷 네트워크는 복수의 LER들을 포함할 수도 있다. 각각의 LER 은 적어도 2 개의 패킷 엔진 및 적어도 4 개의 암호 엔진을 포함할 수도 있다. 2 개의 패킷 엔진은 각각 MPLS 네트워크를 통한 상이한 경로일 수도 있는 작업 및 보호 경로를 위해 제공될 수도 있다. 2 개의 암호 엔진은 LER 의 제 1 패킷 엔진에 접속되어 작업 경로를 따라 2 개의 대향하는 전송 방향에 대해 MPLS 네트워크를 통한 작업 경로를 따라 엔드-투-엔드 또는 세그먼트 암호화 및/또는 인증을 제공할 수도 있다. 2 개의 추가의 암호 엔진은 LER 의 제 2 패킷 엔진에 접속되어 보호 경로를 따라 2 개의 대향하는 송신 방향에 대해, 보호 경로를 따라 엔드-투-엔드 또는 세그먼트 암호화 및/또는 인증을 제공할 수도 있다.

이 방법은 중앙 집중식 패킷 흐름 경로 관리자 (PFPM) 에 의해, 패킷 네트워크의 엔드-투-엔드 데이터 경로의 엔드포인트 노드 및 중간 트랜짓 노드를 설정하는 단계를 더 포함할 수도 있다.

PFPM 은 MPLS 네트워크의 엔드포인트 노드에 대한 예들인 LER들에서 패킷 엔진을 설정할 수도 있다.

PFPM 은 MPLS 네트워크의 중간 트랜짓 노드에 대한 예들인 LSR들에서 패킷 엔진을 설정할 수도 있다.

PFPM 은 패킷 네트워크의 모든 엔드포인트 노드 (예를 들어, 모든 LER 의 패킷 엔진) 및 모든 중간 트랜짓 노드 (예를 들어, 모든 LSR 의 패킷 엔진) 에 통신 가능하게 접속될 수도 있다.

CEKM 은 제 1 서버에서 실행될 수도 있고, PFPM 은 제 1 서버와 상이한 제 2 서버에서 실행될 수도 있다. 경로 제어 및 사이버 보안을 위한 제어 시스템을 분리함으로써, 추가적인 보안 이점을 획득한다.

그 방법은 제 1 서버에 의해 제공되는 정보를 제 2 서버로 제한하는 단계를 더 포함할 수도 있다. 이에 의해 추가적인 보안 이점이 획득된다.

그 방법은 CEKM 에 의해, 복수의 암호 엔진의 하드웨어 정의된 식별자를 발견하는 단계 및 CEKM 에 의해, 하드웨어 정의된 식별자를 PFPM 에 제공하는 단계를 더 포함할 수도 있다.

CEKM 은 오직 하드웨어 정의된 식별자 및 알람만을 PFPM 에 제공할 수도 있다. 알람은 비정상적인 동작 조건을 나타낼 수도 있다.

CEKM 은 복수의 암호 엔진을 구성하기 위해 PFPM 으로부터 엔드-투-엔드 데이터 경로의 데이터 흐름 토폴로지에 관한 정보를 수신할 수도 있다. 정보는 터널 식별자, MPLS 라벨 또는 라벨 스택 및 유사한 정보를 포함할 수도 있다.

CEKM 및 PFPM 은 보안 채널을 통해 통신할 수도 있다.

CEKM 은 복수의 암호 엔진들 각각에 통신가능하게 접속될 수도 있다.

CEKM 은 암호 엔진을 구성하기 위해 및/또는 통지를 위해 보안 프로토콜을 통해 복수의 암호 엔진들의 각각과 통신할 수도 있다.

방법은 복수의 암호 엔진들 중의 암호 엔진에 의해, 비트 윈도우를 사용하여 데이터 패킷으로부터 비트들을 선택하는 단계를 더 포함할 수도 있으며, 비트 윈도우는 프로그램가능하다. 프로그램가능한 비트 윈도우에 따라 선택된 비트는 암호 엔진에 의해 프로세싱될 데이터 패킷을 식별할 수도 있다.

비트 윈도우는 엔드-투-엔드 데이터 경로의 진입 노드 및 진출 노드에서 상이할 수도 있다.

CEKM 과 PFPM 간에 교환되는 정보는 비트 윈도우를 구성하기 위해 사용될 수도 있다.

방법은 CEKM 에 의해, 각각 PFPM 으로부터의 정보에 기초하여, 엔드-투-엔드 터널의 제 1 엔드포인트 노드와 연관된 제 1 암호 엔진 및 제 1 엔드포인트 노드와 연관된 제 2 암호 엔진을 구성하는 단계를 더 포함할 수도 있다. 제 1 및 제 2 암호 엔진은 MPLS 네트워크를 통한 보호 터널의 작업 및 보호 경로를 위해, 암호화 또는 인증과 같은 사이버 보안 기능을 각각 수행할 수도 있다.

방법은 CEKM 에 의해, 엔드-투-엔드 터널 상의 역방향 송신 방향을 위해 제 1 엔드포인트 노드와 연관된 제 3 암호 엔진 및 제 1 엔드포인트 노드와 연관된 제 4 암호 엔진을 구성하는 단계를 더 포함할 수도 있다. 제 3 암호 엔진 및 제 4 암호 엔진은 각각 역 흐름 방향에 대해, MPLS 네트워크를 통한 작업 및 보호 경로에 대해 암호화 또는 인증과 같은 사이버 보안 기능을 각각 수행할 수도 있다.

패킷 네트워크는 복수의 LER (label edge router) 을 포함할 수도 있다. 라벨 에지 라우터는 MPLS (Multi Label Protocol Switching) 터널의 작업 경로를 위한 제 1 암호 엔진 및 보호된 터널에 대해 보호를 제공하는 보호 경로를 위한 제 2 암호 엔진을 포함할 수도 있다.

LER 은 작업 경로상의 역 송신 방향을 위한 제 3 암호 엔진 및 보호 경로상의 역 송신 방향을 위한 제 4 암호 엔진을 포함할 수도 있다.

LER 은 적어도 2 개의 패킷 엔진을 포함할 수도 있다.

패킷 네트워크는 복수의 LSR (label switch router) 을 포함할 수도 있다. LSR 은 적어도 2 개의 패킷 엔진을 포함할 수도 있다. 각각의 LSR 은 적어도 2 개의 암호 엔진 또는 적어도 4 개의 암호 엔진을 포함할 수도 있다. 암호 엔진은 섹션 암호화에 필요할 수도 있으며 하나의 노드가 하이브리드 LER 및 LSR 모드에서 작업할 수 있기 때문이다.

그 방법은 패킷 엔진에 의해, 트래픽 흐름에서 데이터 패킷의 위치들이 변하지 않고 유지되고 모든 패킷이 암호 엔진을 통과할 시 동일한 지연을 경험하도록 보장하기 위해 암호 엔진에 진입하는 데이터 패킷의 흐름을 사전 성형하는 단계를 더 포함할 수도 있다.

데이터 패킷들의 흐름은 데이터 패킷들이 암호 엔진을 떠날 때 암호 엔진에 진입하는 데이터 패킷의 타임 스탬핑 정보가 여전히 유효하도록 사전 성형될 수도 있다.

데이터 패킷들의 흐름을 사전 성형하는 단계는 패킷 엔진에 의해, 데이터 패킷의 흐름이 암호 엔진으로 진입하기 전에 패킷간 갭을 확대하는 단계를 포함할 수도 있다.

데이터 패킷들의 흐름을 사전 성형하는 단계는 패킷 엔진에 의해, 데이터 패킷의 흐름이 암호 엔진으로 진입하기 전에 더미 패킷들을 데이터 패킷들의 흐름 내로 삽입하는 단계를 포함할 수도 있다. 암호 엔진은 제어 정보를 내부에 삽입하기 위해 더미 패킷을 사용할 수도 있다.

복수의 패킷 엔진 및 복수의 암호 엔진은 공통의 글로벌 정보 엔티티를 사용하여 동일한 트래픽 흐름에 속하는 데이터 패킷의 글로벌 식별을 보장할 수도 있다.

글로벌 정보 엔티티는 MPLS (Multiprotocol Label Switching) 경로를 나타낼 수도 있다.

데이터 패킷들은 연관된 패킷 엔진을 떠난 직후에 암호 엔진에 의해 암호화될 수도 있다. 데이터 패킷들은 연관된 패킷 엔진에 진입하기 직전에 암호 엔진에 의해 복호화될 수도 있다.

데이터 패킷은 표준화된 프로토콜, 특히 AES, DES, 트리플-DES 로 구성된 그룹으로부터 선택된 표준화된 프로토콜, 또는 오픈 프로토콜, 특히 Blowfish, Twofish, MARS, RC6, Rijndael 및 Serpent 로 구성된 그룹으로부터 선택된 오픈 프로토콜을 사용하여 암호화 또는 복호화될 수도 있다.

방법은 CEKM 에 의해, 데이터 패킷을 암호화 및 복호화하기 위한 키를 분배하는 단계를 더 포함할 수도 있다.

복수의 암호 엔진은 메시지 인증을 수행할 수도 있다.

메시지 인증은 해시 함수에 기초하는 표준화된 프로토콜, 특히 MD5, SHA-1, SHA-2 및 SHA-3 으로 구성된 그룹으로부터 선택된 표준화된 프로토콜, 또는 오픈 소스 프로토콜을 사용하여 수행될 수도 있다.

이 방법은 암호 엔진에 의해, 트래픽 전환을 트리거하기 위해 연관된 패킷 엔진의 인터페이스에 트래픽 손실 정보를 전파하는 단계를 더 포함할 수도 있다.

트래픽 손실 정보를 전파하는 단계는 광역 네트워크 (WAN) 대면 라인 인터페이스에 의해 검출된 광학 데이터 접속의 실패에 의해 트리거될 수도 있다.

방법은 데이터 흐름의 상태 (health) 를 모니터링하는 단계를 더 포함할 수도 있다.

데이터 흐름의 상태를 모니터링하는 단계는 패킷 엔진에 의해 데이터 패킷들의 추가 스트림을 전송하는 것을 포함할 수도 있다.

데이터 패킷들의 추가의 스트림은 암호 엔진에 의해 암호화되는 패킷들, 및/또는 암호화되지 않고 남아있는 핑 및 추적 루트 메시지를 모니터링하는 것을 포함할 수도 있다.

각각의 암호 엔진은 패킷 추가 없이 그리고 암호 엔진에 의해 수행된 패킷간 갭 확대 없이 암호화 및/또는 인증과 같은 사이버 보안 기능을 각각 수행할 수도 있다.

복수의 패킷 엔진은 예를 들어 패킷 엔진들의 포트에서 타임 스탬핑을 수행할 수도 있다.

복수의 패킷 엔진은 타임 스탬핑 컨텍스트 내부에서 동작할 수도 있고, 복수의 암호 엔진은 패킷 네트워크의 타임 스탬핑 컨텍스트 외부에서 동작할 수도 있다. 타임 스탬핑 프로토콜을 인식하지 않은 암호 엔진을 사용함으로써, 복잡성이 감소될 수 있다.

암호 엔진은 데이터 패킷의 타임 스탬핑과 독립적으로 동작할 수도 있다.

암호 엔진은 시간 인식되지 않고 토폴로지 인식되지 않은 암호 엔진일 수도 있다.

패킷 네트워크는 산업 자동화 제어 네트워크일 수도 있다.

패킷 네트워크는 고전압 라인의 자동화, 고속 열차 스티어링 또는 항공 교통 제어를 위한 패킷 네트워크일 수도 있다.

CEKM 은 암호 엔진 및 키 관리 기능을 수행하는 제 1 서버일 수도 있다.

PFPM 은 패킷 흐름 경로 관리 기능을 수행하는 제 2 서버일 수도 있다.

본 발명의 다른 양태에 따르면, 패킷 처리를 수행하는 패킷 엔진을 갖는 시간 결정적 패킷 네트워크에서 엔드-투-엔드 데이터 경로를 통한 통신을 보안하기 위한 암호 엔진 및 키 관리자 (CEKM) 가 제공되며, 패킷 네트워크는 패킷 네트워크의 트래픽 흐름 노드를 구성하는 패킷 흐름 경로 관리자 (PFPM) 를 포함한다. CEKM 은 PFPM 으로부터 엔드-투-엔드 데이터 경로의 데이터 흐름 토폴로지에 관한 정보를 수신하기 위한 제 1 인터페이스, 개별 패킷 엔진과 각각 연관되고 별도로 제공되는 복수의 암호 엔진에 구성 정보를 제공하기 위한 제 2 인터페이스로서, 상기 복수의 암호 엔진들은 적어도 하나의 사이버 보안 기능을 수행하도록 구성되는, 상기 제 2 인터페이스, 및 데이터 흐름 토폴로지에 기초하여 구성 정보를 생성하도록 구성된 적어도 하나의 프로세서를 포함한다.

CEKM 은 복수의 암호 엔진의 하드웨어 정의된 식별자를 발견하고, 하드웨어 정의된 식별자를 PFPM 에 제공하도록 구성될 수도 있다.

CEKM 은 하드웨어 정의된 식별자 및 알람 이외의 정보의 PFPM 으로의 송신을 차단하도록 구성될 수도 있다.

CEKM 은 PFPM 이 실행되는 제 2 서버와 상이한 제 1 서버에서 실행될 수도 있다.

CEKM 은 보안 채널을 통해 PFPM 과 통신하도록 동작할 수도 있다.

CEKM 은 복수의 암호 엔진을 구성하기 위해 PFPM 으로부터 엔드-투-엔드 데이터 경로의 데이터 흐름 토폴로지에 관한 정보를 수신하도록 동작할 수도 있다.

CEKM 은 복수의 암호 엔진들 각각에 통신가능하게 접속될 수도 있다.

CEKM 은 암호 엔진을 구성하기 위해 및/또는 통지를 위해 보안 프로토콜을 통해 복수의 암호 엔진 중 각각의 하나와 통신하도록 동작할 수도 있다.

CEKM 과 PFPM 간에 교환되는 정보는 비트 윈도우를 구성하기 위해 사용될 수도 있다.

CEKM 은 각각의 암호 엔진에 대해 각각 비트 윈도우를 구성하도록 동작할 수도 있으며, 여기서 암호 엔진은 데이터 패킷이 암호 엔진에 의해 프로세싱될지 여부를 결정하기 위해 프로그램가능 비트 윈도우에 따라 데이터 패킷의 비트들을 선택한다.

CEKM 은 상이한 암호 엔진에 대해 상이하게 비트 윈도우를 구성하도록 동작할 수도 있다. 예시를 위해, 비트 윈도우는 암호화된 엔드-투-엔드 경로의 2 개의 엔드포인트에 대해 상이하게 구성될 수도 있다.

CEKM 은 각각 PFPM 으로부터 수신된 정보에 기초하여, 복수의 암호 엔진에 대한 비트 윈도우를 구성하도록 동작할 수도 있다.

CEKM 은 각각 PFPM 으로부터의 정보에 기초하여, 엔드-투-엔드 터널의 제 1 엔드포인트 노드와 연관된 제 1 암호 엔진 및 제 1 엔드포인트 노드와 연관된 제 2 암호 엔진을 구성하도록 동작할 수도 있다. 제 1 및 제 2 암호 엔진은 MPLS 네트워크를 통한 작업 및 보호 경로를 위해, 암호화 또는 인증과 같은 사이버 보안 기능을 각각 수행할 수도 있다.

CEKM 은 엔드-투-엔드 터널 상의 역 송신 방향을 위해 제 1 엔드포인트 노드와 연관된 제 3 암호 엔진 및 제 1 엔드포인트 노드와 연관된 제 4 암호 엔진을 구성하도록 동작할 수도 있다. 제 3 암호 엔진 및 제 4 암호 엔진은 각각 제 1 및 제 2 암호 엔진들보다 역 흐름 방향에 대해, MPLS 네트워크를 통한 작업 및 보호 경로에 대해 암호화 또는 인증과 같은 사이버 보안 기능을 각각 수행할 수도 있다.

CEKM 은 엔드-투-엔드 터널의 제 2 엔드포인트 노드와 연관된 2 개 또는 4 개의 암호 엔진을 구성하도록 동작할 수도 있다.

CEKM 은 데이터 패킷들을 암호화 및 복호화하기 위한 키를 복수의 암호 엔진에 분배하도록 동작할 수도 있다.

CEKM 은 암호 엔진 및 키 관리 기능을 수행하는 제 1 서버일 수도 있다.

다른 실시형태에 따르면, 암호 엔진이 제공된다. 암호 엔진은 시간 결정적 패킷 네트워크에 대한 패킷 처리를 수행하는 패킷 엔진에 직접 접속되도록 구성된 제 1 인터페이스를 포함한다. 암호 엔진은 엔드포인트 노드의 네트워크 대면 포트 또는 엔드포인트 노드에 접속된 트랜짓 노드에 접속되도록 구성된 제 2 인터페이스를 포함한다. 암호 엔진은 암호 엔진 및 키 관리자 (CEKM) 로부터 구성 정보를 수신하도록 구성된 제 3 인터페이스를 포함한다. 암호 엔진은 트래픽 흐름에서 데이터 패킷의 순서를 변경하지 않고 암호 엔진을 통한 트래픽 흐름의 데이터 패킷에 암호화/복호화 및/또는 인증과 같은 사이버 보안 기능을 수행하도록 동작한다.

암호 엔진은 패킷 추가 없이 그리고 모든 패킷에 대해 동일한 지연을 유지함으로써 사이버 보안 기능을 수행하도록 동작할 수도 있다.

암호 엔진은 데이터 네트워크의 토폴로지에 관한 정보를 갖지 않고 (즉, 비-토폴로지-인식으로) 그리고 데이터 패킷의 타임 스탬핑 정보를 사용하지 않고 (즉, 비-시간-인식으로) 보안 기능을 수행하도록 동작할 수도 있다.

암호 엔진은 데이터 패킷이 연관된 패킷 엔진을 떠난 직후에 데이터 패킷을 암호화하거나 또는 연관된 패킷 엔진에 진입하기 직전에 데이터 패킷을 복호화하도록 동작할 수도 있다.

암호 엔진은 표준화된 프로토콜, 특히 AES, DES, 트리플-DES 로 구성된 그룹으로부터 선택된 표준화된 프로토콜, 또는 오픈 프로토콜, 특히 Blowfish, Twofish, MARS, RC6, Rijndael 및 Serpent 로 구성된 그룹으로부터 선택된 오픈 프로토콜을 사용하여 암호화 및/또는 복호화를 수행하도록 동작할 수도 있다.

암호 엔진은 메시지 인증을 수행하도록 동작할 수도 있다. 메시지 인증은 해시 함수에 기초하는 표준화된 프로토콜, 특히 MD5, SHA-1, SHA-2 및 SHA-3 으로 구성된 그룹으로부터 선택된 표준화된 프로토콜, 또는 오픈 소스 프로토콜을 사용하여 수행될 수도 있다.

암호 엔진은 트래픽 전환을 트리거하기 위해 연관된 암호 엔진의 인터페이스에 트래픽 손실 정보를 전파하도록 동작할 수도 있다.

암호 엔진은 광역 네트워크 (WAN) 대면 라인 인터페이스에 의해 검출된 광학 데이터 접속의 실패에 응답하여 트래픽 손실 정보를 전파하도록 동작할 수도 있다.

암호 엔진의 제 1 인터페이스는 적어도 하나의 광 케이블 또는 적어도 하나의 이더넷 케이블을 통해 패킷 엔진에 직접 접속될 수도 있다.

본 발명의 일 양태에 따른 네트워크는 시간 결정적 패킷 네트워크에서 패킷 처리를 수행하는 복수의 패킷 엔진; 패킷 네트워크의 트래픽 흐름 노드에 구성 정보를 제공하도록 동작하는 패킷 흐름 경로 관리자 (PFPM); 일 실시형태에 따른 복수의 암호 엔진으로서, 상기 암호 엔진은 각각 연관된 패킷 엔진으로부터 트래픽 흐름의 데이터 패킷을 수신하거나 또는 연관된 패킷 엔진에 트래픽 흐름의 데이터 패킷을 제공하도록 동작하는, 상기 복수의 암호 엔진들; 및 PFPM 서버 및 복수의 암호 엔진에 커플링되는 일 실시형태에 따른 암호 엔진 및 키 관리자 (CEKM) 를 포함한다.

네트워크는 산업 자동화 제어 시스템 (IACS) 의 네트워크일 수도 있다.

PFPM 은 엔드포인트 노드 및 패킷 네트워크의 엔드-투-엔드 데이터 경로의 중간 트랜짓 노드를 설정하도록 동작할 수도 있다.

PFPM 은 MPLS 네트워크의 엔드포인트 노드에 대한 예들인 LER들에서 패킷 엔진을 설정하도록 동작할 수도 있다.

PFPM 은 MPLS 네트워크의 중간 트랜짓 노드에 대한 예들인 LSR들에서 패킷 엔진을 설정하도록 동작할 수도 있다.

PFPM 은 패킷 네트워크의 모든 엔드포인트 노드 (예를 들어, 모든 LER 의 패킷 엔진) 및 모든 중간 트랜짓 노드 (예를 들어, 모든 LSR 의 패킷 엔진) 에 통신 가능하게 접속될 수도 있다.

PFPM 은 패킷 흐름 경로 관리 기능을 수행하는 제 2 서버일 수도 있다.

CEKM 은 PFPM 에 제공되는 정보를 복수의 암호 엔진 및 알람의 하드웨어 식별자로 제한하도록 동작할 수도 있다.

각각의 암호 엔진은 각각 비트 윈도우를 사용하여 데이터 패킷으로부터 비트를 선택하도록 동작할 수도 있으며, 여기서 프로그램가능한 비트 윈도우에 따라 선택된 비트는 암호 엔진에 의해 프로세싱될 데이터 패킷을 식별한다.

CEKM 은 프로그램가능 비트 윈도우를 구성하도록 동작할 수도 있다.

프로그램가능 비트 윈도우는 엔드-투-엔드 데이터 경로의 진입 노드 및 진출 노드에서 상이할 수도 있다.

네트워크는 LER (label edge router) 을 포함할 수도 있다. 라벨 에지 라우터는 MPLS (Multi Label Protocol Switching) 터널의 작업 경로를 위한 제 1 암호 엔진 및 작업 경로에 대해 보호를 제공하는 보호 경로를 위한 제 2 암호 엔진을 포함할 수도 있다.

LER 은 작업 경로상의 역 송신 방향을 위한 제 3 암호 엔진 및 보호 경로상의 역 송신 방향을 위한 제 4 암호 엔진을 포함할 수도 있다.

LER 은 적어도 2 개의 패킷 엔진을 포함할 수도 있다.

패킷 네트워크는 복수의 LSR (label switch router) 을 포함할 수도 있다. LSR 은 적어도 2 개의 패킷 엔진 및 적어도 4 개의 암호 엔진을 포함할 수도 있다.

복수의 패킷 엔진은 각각 트래픽 흐름에서 데이터 패킷의 위치들이 암호 엔진을 통과할 시 변화되지 않고 유지되도록 보장하기 위해 암호 엔진에 진입하는 데이터 패킷의 흐름을 사전 성형하도록 구성될 수도 있다.

패킷 엔진은 데이터 패킷들이 암호 엔진을 떠날 때 암호 엔진에 진입하는 데이터 패킷의 타임 스탬핑 정보가 여전히 유효하도록 데이터 패킷들의 흐름을 사전 성형하도록 동작할 수도 있다.

패킷 엔진은 데이터 패킷의 흐름이 암호 엔진으로 진입하기 전에 패킷간 갭을 확대하도록 동작할 수도 있다.

패킷 엔진은 데이터 패킷의 흐름이 암호 엔진으로 진입하기 전에 더미 패킷들을 데이터 패킷들의 흐름으로 삽입하도록 동작할 수도 있다.

암호 엔진은 제어 정보를 내부에 삽입하기 위해 더미 패킷을 사용하도록 동작할 수도 있다.

복수의 패킷 엔진 및 복수의 암호 엔진은 공통의 글로벌 정보 엔티티를 사용하여 동일한 트래픽 흐름에 속하는 데이터 패킷의 글로벌 식별을 보장하도록 동작할 수도 있다.

글로벌 정보는 MPLS (Multiprotocol Label Switching) 경로를 나타낼 수도 있다.

네트워크는 데이터 흐름의 상태 모니터링을 수행하도록 동작할 수도 있다. 데이터 흐름의 상태를 모니터링하는 단계는 데이터 패킷들의 추가 스트림을 전송하는 단계를 포함할 수도 있다. 데이터 패킷들의 추가의 스트림은 암호 엔진에 의해 암호화되는 패킷들, 및/또는 암호화되지 않고 남아있는 핑 및 추적 루트 메시지를 모니터링하는 단계를 포함할 수도 있다.

각각의 암호 엔진은 각각 패킷 추가 없이 그리고 암호 엔진에 의해 모든 패킷들에 대해 동일한 지연을 유지함으로써 암호화 및/또는 인증과 같은 사이버 보안 기능을 수행하도록 동작할 수도 있다.

복수의 패킷 엔진은 각각 예를 들어 패킷 엔진들의 포트에서 타임 스탬핑을 수행하도록 동작할 수도 있다.

복수의 패킷 엔진은 각각 타임 스탬핑 컨텍스트 내부에서 동작할 수도 있고, 복수의 암호 엔진은 패킷 네트워크의 타임 스탬핑 컨텍스트 외부에서 동작할 수도 있다. 타임 스탬핑 프로토콜을 인식하지 않은 암호 엔진을 사용함으로써, 복잡성이 감소될 수 있다.

암호 엔진은 데이터 패킷의 타임 스탬핑과 독립적으로 동작할 수도 있다.

암호 엔진은 시간 비인식 및 토폴로지 비인식 암호 엔진일 수도 있다.

패킷 네트워크는 IACS 의 네트워크일 수도 있다.

패킷 네트워크는 고전압 라인의 자동화, 고속 열차 스티어링 또는 항공 교통 제어를 위한 패킷 네트워크일 수도 있다.

다른 실시형태에 따르면, 네트워크와 연관하여 설명된 바와 같이 동작하는 PFPM 이 제공된다.

복잡한 메쉬형 패킷 네트워크 토폴로지를 통해 암호화 및/또는 인증된 데이터의 송신을 위한 방법, 디바이스 및 시스템은 타이밍된 네트워크에 대한 강화된 보안을 제공한다.

본 발명의 실시형태는 이에 제한되지 않고, 고전압 라인의 자동화와 같은 미션 크리티컬 패킷 네트워크에 채용될 수도 있다.

본 발명의 주제는 첨부 도면에 도시된 바람직한 예시적인 실시형태를 참조하여 보다 상세하게 설명될 것이다.
도 1 은 일 실시형태에 따른 패킷 엔진 및 암호 엔진을 포함하는 네트워크의 개략적 표현이다.
도 2 는 일 실시형태에 따른 패킷 엔진 및 암호 엔진을 포함하는 네트워크의 개략적 표현이다.
도 3 은 일 실시형태에 따른 네트워크의 컴포넌트들의 블록도이다.
도 4 는 암호화 동작 이전 및 이후의 데이터 패킷을 나타내는 도면이다.
도 5 는 암호화 및 인증 동작 이전 및 이후의 데이터 패킷을 나타내는 도면이다.
도 6 은 실시형태들에 따른 패킷 엔진 및 암호 엔진을 포함하는 LSR (label switch router) 의 블록도이다.
도 7 은 실시형태들에 따른 패킷 엔진 및 암호 엔진을 포함하는 LER (label edge router) 의 블록도이다.
도 8 은 데이터 패킷 또는 데이터 패킷의 흐름이 프로세싱될지 여부를 결정하는데 사용될 수도 있는 라벨 스택 인코딩을 나타내는 도면이다.
도 9 는 일 실시형태에 따른 패킷 엔진 및 암호 엔진을 포함하는 네트워크의 개략도이다.
도 10 은 일 실시형태에 따른 암호 엔진의 블록도이다.
도 11 은 일 실시형태에 따른 방법의 흐름도이다.
도 12 는 일 실시형태에 따른 방법의 흐름도이다.

본 발명의 예시적인 실시형태는 동일하거나 유사한 참조 부호가 동일하거나 유사한 요소를 나타내는 도면을 참조하여 설명될 것이다. 일부 실시형태는 MPLS (Multiprotocol Label Switching) 네트워크 또는 MPLS-TP (MPLS-Transport Profile) 네트워크와 같은 예시적인 네트워크와 관련하여 설명될 것이지만, 아래에서 상세히 설명되는 방법 및 디바이스는 일반적으로 메시형의 복잡한 패킷 네트워크 토폴로지를 통해 암호화된 및 인증된 데이터의 송신을 위해 사용될 수도 있다.

엔드-투-엔드 암호화 및/또는 인증이 수행되는 실시형태들이 설명될 것이지만, 여기에 개시된 기술들은 또한, 엔드-투-엔드 경로의 세그먼트들을 따라 암호화 및/또는 인증을 위해 사용될 수도 있다.

본원에 개시된 실시형태들에서, 양방향 보호 터널을 형성하기 위해, 작업 경로와 보호 경로 양자가 확립될 수도 있다. 본 명세서에서 사용되는 바와 같이, "MPLS-TP Rosetta Stone" (2013 년 12 월) 이라는 제목의 RFC 7087, 섹션 3.42.1 및 3.42.2 및 "MPLS-TP Survivability Framework" (2011 년 9 월) 이라는 제목의 RFC 6372 에 따라, "작업 경로" 라는 용어는 특히 정상 네트워크 동작 동안 트래픽을 운반하는 경로를 지칭할 수도 있고, "보호 경로" 라는 용어는 특히 작업 경로가 실패할 때 트래픽을 보호 및 전송하는데 사용되는 경로를 지칭할 수도 있다. 작업 경로를 따르는 패킷 또는 암호 엔진과 같은 엔티티는 "MPLS-TP Rosetta Stone" (2013 년 12 월) 이라는 제목의 RFC 7087, 섹션 3.42.1 에 따른 작업 엔티티들이다. 보호 경로를 따르는 패킷 또는 암호 엔진과 같은 엔티티는 "MPLS-TP Rosetta Stone" (2013 년 12 월) 이라는 제목의 RFC 7087, 섹션 3.42.2 에 따른 보호 엔티티들이다.

본원에 사용되는 것과 같이, 용어 "패킷" 은 패킷화된 데이터 구조를 지칭한다. 본원에 사용되는 것과 같이, 용어 "패킷" 은 데이터 프레임을 포함할 수도 있다. 패킷은 데이터 프레임이거나 데이터 프레임을 포함할 수도 있다.

본 명세서에 설명되는 것과 같이, "암호 엔진" 은 암호 엔진 인스턴스로서 구현될 수도 있다. 암호 엔진의 하나의 하드웨어 구현은 복수의 암호 엔진 인스턴스, 예를 들어 포트 및 방향당 인스턴스를 제공할 수도 있다. 그러나, 암호 엔진 하드웨어는 임의의 경우에 각각의 패킷 엔진과 분리될 수도 있다.

달리 구체적으로 언급되지 않는 한, 실시형태의 특징은 서로 조합될 수도 있다.

도 1 은 네트워크 (10) 의 개략적 표현이다. 네트워크 (10) 는 시간 결정적 패킷 네트워크를 포함할 수도 있다. 패킷 네트워크는 복수의 노드 (11, 21, 31) 를 가질 수도 있다. 복수의 노드 (11, 21, 31) 는 각각 MPLS-TP 네트워크 (16, 17, 18) 를 통해 통신가능하게 커플링될 수도 있다. 복수의 노드 (11, 21, 31) 는 송신 경로의 엔드포인트 노드 및 중간 노드 (또는 홉) 를 포함할 수도 있다. MPLS-TP 네트워크의 경우, 엔드포인트 노드는 LER들 (label edge routers) 일 수도 있고 중간 노드는 LSR들 (label switch routers) 일 수도 있다. 패킷 네트워크는 타이밍 네트워크일 수도 있고, 타임 스탬핑은 노드 (11, 21, 31) 의 패킷 엔진에 의해 수행된다.

노드들 (11, 21, 31) 은 각각 연관된 패킷 엔진 (12, 22, 32) 과 물리적으로 분리된 패킷 엔진 (12, 22, 32) 및 암호 엔진 (14, 24, 34) 을 포함할 수도 있다. 각각의 암호 엔진 (14, 24, 34) 은 예를 들어 이더넷 케이블 또는 광 케이블을 통해 연관된 패킷 엔진 (12, 22, 32) 에 직접 결합될 수도 있다. 이더넷 케이블 또는 광 케이블의 대향 단부들은 패킷 엔진 (12, 22, 32) 및 암호 엔진 (14, 24, 34) 에 직접 부착될 수도 있다.

본원에서 사용되는 것과 같이, 용어 "암호 엔진" 은 암호화/복호화 및/또는 인증 동작을 수행하도록 동작하는 디바이스를 지칭한다. 암호 엔진은 옵션적으로 암호화/복호화 및/또는 인증 동작을 수행하기 위한 물리적 난수 생성기와 같은 전용 컴포넌트를 가질 수도 있다.

각각의 암호 엔진 하드웨어 (14, 24, 34) 는 상이한 포트 또는 개별 노드에서 상이한 포트 및 패킷 흐름 방향에 대응할 수도 있는, 복수의 암호 엔진 인스턴스를 가질 수도 있음이 인식될 것이다.

본원에서 사용되는 것과 같이, 용어 "패킷 엔진" 은 패킷 처리를 수행하도록 동작하는 디바이스를 지칭한다. 패킷 엔진은 패킷 스위치를 포함할 수도 있고, 더미 패킷을 데이터 패킷의 흐름에 삽입할 수도 있다. 패킷 엔진은 시간 인식되고, 패킷 엔진의 입구 포트 또는 출구 포트에서 타임 스탬핑을 수행하도록 동작할 수도 있다.

본 명세서에 사용된 바와 같이, 엔티티가 2 개의 다른 엔티티들 (예를 들어, 패킷 엔진과 트랜짓 노드 사이에 배치된 암호 엔진) 사이에 배치된다는 진술은 데이터 흐름 경로를 따르는 배열, 즉 패킷이 엔티티를 통과하는 순서를 기술한다.

각각의 패킷 엔진 (12, 22, 32) 은 복수의 포트들 (13, 23, 33) 을 각각 가질 수도 있다. 각각의 암호 엔진 (14, 24, 34) 은 복수의 포트들 (15, 25, 35) 을 각각 가질 수도 있다. 암호 엔진 (14, 24, 34) 의 입구 포트는 각각 연관된 패킷 엔진 (12, 22, 32) 의 출구 포트와 연결될 수도 있다. 암호 엔진 (14, 24, 34) 의 입구 포트는 각각 연관된 패킷 엔진 (12, 22, 32) 의 출구 포트와 연결될 수도 있다. 각각의 암호 엔진 (14, 24, 34) 은 암호화되지 않은 링크를 통해 연관된 패킷 엔진 (12, 22, 32) 에 커플링될 수도 있다.

상이한 암호 엔진 (14, 24, 34) 은 암호화된 경로를 통해, 예를 들어 MPLS-TP 네트워크를 통해 데이터 트래픽을 송신할 수도 있다.

패킷 엔진 (12, 22, 32) 은 각각 패킷 처리를 담당한다. 패킷 엔진 (12, 22, 32) 은 패킷 포워딩, 개별 스위칭을 담당할 수도 있다. 모든 패킷 처리, 필터링 및 큐잉은 패킷 엔진 (12, 22, 32) 에서 실행된다.

암호 엔진 (14, 24, 34) 은 암호화 및/또는 인증 동작을 수행한다. 본 명세서에서 사용되는 것과 같은 용어 "암호화 동작" 은 일반적으로 암호화된 송신과 연관된 동작을 포함하고, 따라서 보안 엔드-투-엔드 경로의 수신 엔드포인트에서 복호화를 포함할 수도 있는 것이 이해될 것이다.

암호 엔진 (14, 24, 34) 은 각각 암호화/복호화 및/또는 인증 동작을 수행하기 위한 물리적 난수 생성기와 같은 전용 컴포넌트를 가질 수도 있다.

아래에서 보다 상세히 설명되는 바와 같이, 패킷 엔진 (12, 22, 32) 및 암호 엔진 (14, 24, 34) 은 복잡한 메시형 패킷 네트워크 토폴로지를 통해 암호화된 및/또는 인증된 데이터를 송신하는 동시에, 엔드-투-엔드 또는 세그먼트 암호화 및/또는 인증을 제공하도록 동작한다.

패킷 엔진 (12, 22, 32) 은 중앙 제어, 예를 들어 패킷 흐름 경로 관리자 (PFPM) (42) 의해 제어될 수도 있다. 암호 엔진 (14, 24, 34) 은 암호 엔진 및 키 관리자 (CEKM) (44) 에 의해 제어될 수도 있다. PFPM (42) 및 CEKM (44) 의 기능은 보안 강화를 위해 별도의 서버에서 수행될 수도 있다. PFPM (42) 는 MLPS 경로를 설정하기 위해 패킷 엔진을 구성할 수도 있다. CEKM (44) 은 PFPM (42) 에 의해 설정되는 경로에 대한 정보를 이용하여 암호 엔진을 구성할 수도 있다. 암호 엔진 (14, 24, 34) 은 네트워크를 통한 경로에 대한 엔드-투-엔드 또는 세그먼트 암호화 및/또는 인증을 각각 보장할 수도 있다. CEKM (44) 은 예를 들어 보안 채널을 통해, 모든 암호 엔진 (14, 24, 34) 에 통신 가능하게 커플링될 수도 있다.

PFPM (42) 및 복수의 패킷 엔진 (12, 22, 32) 에 의해 형성된 제 1 서브시스템은, 예를 들어 흐름 경로를 설정함으로써 패킷 처리를 담당한다. CEKM (44) 및 복수의 암호 엔진 (14, 24, 34) 에 의해 형성된 제 2 서브시스템은 사이버 보안 기능을 담당한다. PFPM (42) 과 복수의 패킷 엔진 (12, 22, 32) 을 접속하는 제 1 서브시스템의 제 1 관리 네트워크는 CEKM (44) 및 복수의 암호 엔진 (14, 24, 34) 을 접속하는 제 2 서브시스템의 제 2 관리 네트워크와 분리 될 수도 있다.

네트워크 와이드를 사용함으로써, 네트워크, 엔드-투-엔드 또는 세그먼트 터널 페이로드 암호화 및/또는 인증에서 복수의 암호 엔진 (14, 24, 34) 의 중앙 조정이 실현될 수 있다.

각각의 연관된 패킷 엔진 (12, 22, 32) 과 별개의 디바이스로서 제공되는 암호 엔진 (14, 24, 34) 을 사용함으로써, 암호 엔진 (14, 24, 34) 은 타임 스탬핑 및 스위칭을 담당하는 디바이스와 별도로 제공된다. 암호 엔진 (14, 24, 34) 은 네트워크의 토폴로지 및/또는 그 안에 설정된 엔드-투-엔드 경로를 인식할 필요가 없다. 암호 엔진 (14, 24, 34) 은 임의의 타임 스탬핑 프로토콜을 인식할 필요가 없다. 하드웨어 수준에서 무허가 침입이 방지될 수도 있다.

PFPM (42) 와 CEKM (44) 는 별도의 서버에서 실행되고 별도의 관리 네트워크를 사용하므로, 보안이 강화될 수 있다.

도 2 는 네트워크 (10) 의 블록도 표현이다. 네트워크 (10) 는 상이한 서버에서 실행될 수도 있는 PFPM (42) 및 CEKM (44) 을 포함한다.

패킷 네트워크는 데이터 네트워크 기술로서 MPLS-TP 를 사용할 수도 있다. 패킷 네트워크는 각각 클라이언트 노드 (51, 52) 에 접속된 LER들 (label edge routers) (53, 54) 을 포함할 수도 있다. LER들 (53, 54) 은 암호화된 엔드-투-엔드 터널의 엔드포인트들이다. 패킷 네트워크는 LSR들 (label switch routers) (55, 56, 57, 58) 을 포함할 수도 있다. LSR들 (55, 56) 을 통해 LER들 (53, 54) 사이에 작업 경로가 설정될 수도 있다. LSR들 (57, 58) 을 통해 LER들 (53, 54) 사이에 상이한 보호 경로가 설정될 수도 있다. 보호 경로는 예를 들어 "MPLS-TP Survivability Framework" (September 2011) 라는 제목의 RFC 6372 및 "MPLS-TP Rosetta Stone" (December 2013) 라는 제목의 RFC 7087, 섹션 3.42.1 및 3.42.2 에 자세히 설명된 바와 같이, 작업 경로를 보호하기 위해, 데이터 송신들에 대한 리던던시를 제공할 수도 있다.

보안될 엔드-투-엔드 경로의 엔드포인트 노드인 LER (53) 은 적어도 하나의 패킷 엔진 (PE) 및 적어도 하나의 암호 엔진 (CE) 을 포함한다. 설명된 것과 같이, LER (53) 은 적어도 2 개의 패킷 엔진들 (61, 62) 을 포함할 수도 있다. LER (53) 은 2 개의 암호 엔진 (71, 72) 또는 2 초과의 암호 엔진을 포함할 수도 있다. 도 2 에는 오직 2 개의 암호 엔진 (71, 72) 만이 도시되어 있지만, LER (53) 은 도 7 을 참조하여 보다 상세하게 설명되는 바와 같이 적어도 4 개의 암호 엔진을 포함할 수도 있다.

보안될 엔드-투-엔드 경로의 다른 엔드포인트 노드인 LER (54) 은 적어도 하나의 패킷 엔진 (PE) 및 적어도 하나의 암호 엔진 (CE) 을 포함한다. 설명된 것과 같이, LER (54) 은 적어도 2 개의 패킷 엔진들 (63, 64) 을 포함할 수도 있다. LER (53) 은 2 개의 암호 엔진 (73, 74) 또는 2 초과의 암호 엔진을 포함할 수도 있다. 도 2 에는 오직 2 개의 암호 엔진 (73, 74) 만이 도시되지만, LER (54) 은 도 7 을 참조하여 보다 상세하게 설명되는 바와 같이, 적어도 4 개의 암호 엔진 (적어도 일부가 암호 엔진 인스턴스들일 수도 있음) 을 포함할 수도 있다.

각각의 LSR (55, 56, 57, 58) 은 적어도 하나의 패킷 엔진 및 적어도 하나의 암호 엔진을 각각 포함할 수도 있다. 각각의 LSR (55, 56, 57, 58) 은 도 6 을 참조하여 보다 상세히 설명되는 바와 같이, 적어도 2 개의 패킷 엔진 및 적어도 4 개의 암호 엔진을 포함할 수도 있다.

동작에서, PFPM (42) 은 패킷 네트워크의 엔드포인트 노드 및 중간 노드의 패킷 엔진을 설정할 수도 있다. 암호 엔진은 토폴로지를 인식할 필요가 없다. 오히려, CEKM (44) 은 모든 암호 엔진의 하드웨어 식별자를 검출하고 PFPM (42) 에 하드웨어 식별자를 제공할 수 있다. PFPM (42) 은 설정 경로와 관련된 정보를 CEKM (44) 에 제공할 수 있다. CEKM (44) 은 암호 엔진을 구성할 때 설정 경로에 대한 정보를 사용할 수 있다.

엔드포인트 노드 (53) 의 암호 엔진 (71, 72) 은 각각의 패킷 엔진 (61, 62) 과 엔드포인트 노드 (53) 의 네트워크 대면 인터페이스 사이에서, 엔드포인트 노드 (53) 내부에 배치된다. 암호 엔진 (71, 72) 은 일반적으로 패킷 엔진 (61, 62) 과 제 1 중간 노드 (MPLS-TP 에 대한 제 1 홉이라고 함) (55, 57) 사이에 제공될 수도 있다. 유사하게, 엔드포인트 노드 (54) 의 암호 엔진 (73, 74) 은 각각의 패킷 엔진 (63, 64) 과 엔드포인트 노드 (54) 의 네트워크 대면 인터페이스 사이에서, 엔드포인트 노드 (54) 내부에 배치된다. 암호 엔진 (73, 74) 은 일반적으로 패킷 엔진 (63, 64) 과 제 1 중간 노드 (MPLS-TP 에 대한 제 1 홉이라고 함) (56, 58) 사이에 제공될 수도 있다. 제 1 중간 노드 또는 제 1 홉은 각각, 작업 경로 또는 보호 경로를 따라 엔드포인트 노드에 가장 가까운 노드이다.

타임 스탬핑은 패킷 엔진 (61, 62, 63, 64) 에 의해 수행된다. 예시를 위해, 암호 엔진 (71, 72, 73, 74) 에 접속된 패킷 엔진 (61, 62, 63, 64) 의 포트는 PTP (Precision Time Protocol), IEEE 15888 에 따라 타임 스탬핑을 수행할 수도 있다.

추가의 암호 엔진 (71, 72, 73, 74) 의 중앙 제어 및 네트워크 와이드 조정을 활용하는 것을 통해, 타이밍된 (예를 들어, PTP 를 활용함), 보호된 및 결정적 패킷 네트워크 (MPLS 와 같은) 는 엔드-투-엔드 트래픽 암호화 및/또는 패킷 인증과 같은 사이버 보안 기능을 통해 강화될 수 있다. 암호 엔진 (71, 72, 73, 74) 은 토폴로지 인식되지 않고 시간 인식되지 않을 수도 있으며, 패킷 엔진 (61, 62, 63, 64) 과 다음 홉 사이에서, 따라서 (MPSL, 예를 들어 LER (54) 에 대한) 패킷 흐름의 엔드포인트 노드와 (MPLS, 예를 들어 LSR (56, 58) 에 대한) 패킷 흐름의 제 1 트랜짓 노드 사이에서 타임 스탬핑 컨텍스트 외부에, 또는 패킷 엔진과 네트워크 대면 포트 사이에서 엔드포인트 노드 (53, 54) 내부에 위치될 수도 있다.

패킷 네트워크에서 데이터 송신의 무결성 및 인증을 확보하기 위해, 프레임 데이터는 암호 엔진 (71, 72, 73, 74) 에 의해 암호화 및/또는 인증된다. 결과적으로, 데이터 스트림에서 패킷의 주요 부분은 암호화 및/또는 인증된 대응물로 대체될 수도 있다. 암호화/인증은 패킷 엔진 (61, 62, 63, 64) 과 분리되어 패킷 포워딩, 각각의 스위칭을 담당하는 암호 엔진 (71, 72, 73, 74) 에서 수행된다. 모든 패킷 처리, 필터링 및 큐잉은 패킷 엔진 (61, 62, 63, 64) 에서 수행될 수도 있으며, 이는 또한 최종 결과로서 모든 노드에서 정확한 시간/클록을 확립하는 PTP 패킷의 타임 스탬핑을 수행할 수 있다. 암호 엔진 (71, 72, 73, 74) 은 각각 중앙 카드의 네트워크 대면 포트에 접속될 수도 있으며, 그 후 자체적으로 네트워크에 접속하고 있다.

보안을 최대화하기 위해, 사이버 보안 서브시스템 (44, 71, 72, 73, 74) 과 패킷 네트워크 서브시스템 (42, 61, 62, 63, 64) 간의 상호 작용이 감소될 수도 있다. 암호 엔진 (71, 72, 73, 74) 에 관한 패킷 네트워크 서브시스템 (42, 61, 62, 63, 64) 에 이용가능한 유일한 정보는 하드웨어 정의된 식별자와 같은 단위 재고 정보 및 옵션적으로 비정상 동작 상태를 나타내는 알람으로 제한될 수도 있다. 오직 MPLS 라벨, 터널 ID 및 암호화 프로파일-id 만이 PFPM 42 에 의해 엔진, 터널 및 보안 링크, 예컨대 보안 SSH 링크를 통한 방향으로 CEKM (44) 에 제공된다.

동작시, 초기 MPLS 라벨은 LER (54) 에 의해 설정되며, 이는 또한 제공자 에지 라우터로 지칭될 수도 있다. 이 라벨링된 패킷은 포트를 하나의 암호 엔드포인트로서 기능하는 암호 엔진 (73, 74) 에 부착되게 할 수 있다. LSR 로부터 LSR 로의 후속 홉은 패킷을 포워딩한다.

중간 트랜짓 노드들, 즉 LSR들 (55, 56, 57, 58) 의 암호 엔진은 엔드-투-엔드 암호화가 수행될 때 LER (53, 54) 의 암호 엔진에 의해 출력된 암호화된 데이터 패킷의 복호화 또는 암호화를 수행하지 않도록 CEKM (44) 에 의해 구성된다. 예를 들어, 중간 홉들, 즉 LSR들 (55, 56, 57, 58) 의 암호 엔진은 암호화/복호화가 수행될 경로를 식별하는 룩업 테이블을 가질 수도 있다. 중간 홉의 룩업 테이블은 엔드-투-엔드 암호화가 제공될 때, 단지 LSR 을 통과하는 MPLS 엔드-투-엔드 터널의 경로가 복호화 또는 암호화를 트리거하지 않도록 CEKM (44) 에 의해 구성된다.

아래에서 더 상세히 설명되는 바와 같이, 암호 엔진은 각각 데이터 패킷이 프로세싱될지 여부를 결정하기 위해 프로그램가능 비트 윈도우에 따라 데이터 패킷으로부터 비트를 선택할 수도 있다. 프로그램가능 비트 윈도우는 CEKM (42) 에 의해 구성될 수도 있다. 중간 홉, 즉 LSR들 (55, 56, 57, 58) 의 암호 엔진의 룩업 테이블은 최종 홉에 도달할 때까지 복호화 또는 암호화가 트리거되지 않도록 설정될 수도 있다.

오직 엔드-투-엔드 경로의 세그먼트들에 대해서만 암호화가 수행되는 경우, LSR들 (55, 56, 57, 58) 은 또한 세그먼트의 단부에서에서 복호화가 수행될 수 있도록 프로그래밍될 수도 있다.

데이터 패킷이 최종 홉, 즉 LER (53, 54) 의 암호 엔진에 도달하면 복호화를 위한 검색은 성공적이다. 패킷은 복호화되어 LER 라우터의 패킷 엔진으로 전송된다. 암호 엔진 (71, 72) 이 특정 터널에 속하는 데이터 패킷을 복호화하게 하기 위해, CEKM (44) 은 암호 엔진 (71, 72) 이 엔드포인트 노드 (53) 에서 종료하는 각각의 터널의 데이터 패킷이 복호화되게 하는 룩업 테이블 정보를 갖도록 구성할 수도 있다.

중간 노드, 즉 LSR들 (55, 56, 57, 58) 에서, 암호 엔진의 구성은 페이로드가 터치되지 않고 유지되도록 한다. L2-MAC 어드레스들, 다음 홉 MPLS 라벨, TTL 필드 및 FCS 필드는 도 4 및 도 5 를 참조하여 보다 상세하게 설명될 것이며, 변경되는 유일한 정보이다.

작업 경로와 보호 경로가 있는 보호된 MPLS 터널은 2 개의 암호화된 접속들로서 처리된다. MPLS 터널 쌍마다, 보안 터널의 엔드포인트로서 역할을 하는 4 개의 암호 엔진이 존재한다. 4 개의 암호 엔진은 사이버 보안 서브시스템 (44, 71, 72, 73, 74) 과 패킷 네트워크 서브시스템 (42, 61, 62, 63, 64) 사이에서 식별되고 동기화된 상태를 유지한다.

PFPM (42), CEKM (44), 패킷 엔진 및 암호 엔진의 동작은 도 3 내지 도 12 를 참조하여 보다 상세하게 설명될 것이다.

도 3 은 네트워크의 컴포넌트들의 개략적인 블록도이다.

PFPM (42) 은 MPLS 경로 관리자 (MPM) 일 수도 있다. PFPM (42) 은 제 2 서버에서 실행되는 소프트웨어 또는 다른 컴퓨터 판독가능 명령 코드에 의해 구현될 수도 있다. PFPM (42) 은 토폴로지, 경로 및 암호 프로파일 관리자 (45) 를 포함할 수도 있다. PFPM (42) 은 동작 및 유지보수 및 디바이스 모니터링 모듈 (46) 을 포함할 수도 있다.

중앙 집중식 PFPM (42) 는 중간 트랜짓 포인트들 (55, 56, 57, 58) 과 함께 데이터 트래픽 엔드포인트들 (53, 54) 을 설정한다. PFPM (42) 은 네트워크의 모든 노드를 제어하기위한 구성 및/또는 통지를 위해 접속될 수도 있다.

패킷 포워딩을 처리하기 위해, PFPM (42) 은,

- 부착 회로를 통한 MPLS 라벨 대 VLAN 태그 매핑, 네트워크 엔드-투-엔드 터널로의 내부/외부 라벨 설정/매핑, 서비스 클래스 식별자와 같은 데이터 포워딩 및 종료 파라미터들, 및

- 터널들, 의사 와이어들, 가상 사설 네트워크들과 같은 개별 네트워크 토폴로지 정보

에 대한 정보 모델을 보유할 수도 있다.

CEKM (44) 은 구성 및/또는 통지를 위한 보안 프로토콜을 통해 모든 암호 엔진과 통신할 수도 있다. 암호 엔진의 구성에 필요한 데이터 흐름 토폴로지에 관한 필요한 정보 (112) 는 PFPM (42) 에 의해 CEKM (44) 에 제공된다.

CEKM (44) 은 마스터 키 생성기 (47), 키 관리자 (48) 및 경로 엔드포인트 관리자 (49) 를 포함할 수도 있다. CEKM (44) 은 각각의 암호화 엔드포인트 정보를 보유 및 관리할 수도 있다:

- 세션 키를 생성하는데 사용되는 마스터 키.

- 세션 키가 적용되어야 하는 패킷을 식별하는데 사용되는 라벨 정보.

- 엔진 id 는 위의 정보가 적용되어야 하는 엔진을 식별한다.

정상적인 사용에서, 즉 네트워크가 설정되고 유지 보수 또는 테스트가 수행되지 않으면, 사용자는 CEKM (44) 에 액세스하지 않는다. PFPM (42) 에 액세스하는 사용자는 사이버 보안 서브시스템에서 임의의 보호된 정보에 액세스하지 않을 것이며, 솔루션의 전반적인 보안 및 견고성이 증가된다.

LER 은 복수의 패킷 엔진들, 예를 들어, 작업 (w) 경로 (117) 를 위한 제 1 패킷 엔진 (63) 및 보호 (p) 경로 (118) 를 위한 제 2 패킷 엔진 (64) 을 포함할 수도 있다. 패킷 엔진 (63, 64) 은 각각 연관된 암호 엔진 (73, 74) 에 접속된 포트 (83, 87) 를 포함할 수도 있다. 포트 (83, 87) 는 타임 스탬핑을 수행하도록 동작할 수도 있다. 포트 (83, 87) 는 PTP 에 따라 타임 스탬핑을 수행하도록 인식된 IEEE 15888 일 수도 있다.

패킷 엔진 (63, 64) 은 각각 패킷 스위치 (82, 86) 를 포함할 수도 있다. 패킷 스위치 (82, 86) 는 데이터 패킷의 흐름의 사전 성형을 수행하도록 동작할 수도 있다. 사전 성형은 암호 엔진 (73, 74) 이 데이터 패킷을 패킷간 갭으로 성장시킬 수 있고 따라서 암호 엔진 (73, 74) 에 의한 패킷 순서의 변경 없이 모든 패킷에 대해 동일한 지연을 유지할 수 있도록 보장하기 위해 패킷간 갭을 확대하는 것을 포함할 수도 있다. 사전 성형은 암호 엔진 (73, 74) 으로 출력되는 데이터 패킷의 흐름에 삽입되는 더미 패킷을 생성하는 것을 포함할 수도 있다. 더미 패킷은 빈 섹션을 가질 수 있으며, 이것은 암호 엔진 (73, 74) 에 의해 제어 정보로 충진될 수도 있다. 이것은 암호 엔진 (73, 74) 에 의해 추가적인 패킷을 생성할 필요 없이 관리 채널 정보가 암호 엔진 (73, 74) 에 의해 송신되게 한다.

패킷 엔진의 중앙 프로세싱 유닛 (81) 은 더미 패킷 제어기 (DPC) 로서 동작할 뿐만 아니라, 소프트웨어 구성 관리 (SCM), 동작 및 유지보수 (OAM) 및 경로 제어기와 같은 추가 기능을 각각 수행할 수도 있다.

LER 의 중앙 제어 (60) 는 각각 PFPM (42) 으로부터 수신된 PE (packet engine) 구성 정보 (113) 에 기초하여, 복수의 패킷 엔진에 대한 제어 및/또는 관리 기능을 수행할 수도 있다. 중앙 제어 (60) 는 패킷 엔진 (PE) 통지 (114) 를 PFPM (42) 에 제공할 수도 있다. 중앙 제어 (60) 는 예를 들어, 경로 제어 및/또는 더미 패킷 생성에 사용하기 위해 PE 구성 정보 (113) 를 CPU (81, 85) 로 전달할 수도 있다.

작업 및 보호 경로를 위한 암호 엔진 (73, 74) 은 각각 패킷 엔진에 직접 연결된 포트 (94, 104) 및 네트워크 대면 포트 (97, 107) 를 포함할 수도 있다. 암호 엔진 (73, 74) 은 각각 암호화 (95, 105) 및/또는 복호화 (96, 106) 를 위한 컴포넌트 및/또는 인증을 위한 컴포넌트를 포함할 수도 있다. 암호 엔진 (73, 74) 은 양자 난수 생성기 (QRNG) 일 수도 있는 물리 난수 생성기 (91) 를 각각 포함할 수도 있다. 암호 엔진 (73, 74) 은 각각 키 저장 엘리먼트 (92) 를 포함할 수도 있다. 암호 엔진 (73, 74) 은 각각의 암호 엔진의, 네트워크에서 고유한 보드-id 와 같은 하드웨어 식별자를 저장하는 식별자 저장엘리먼트 (93) 를 각각 포함할 수도 있다.

암호 엔진 (73, 74) 은 데이터 패킷으로부터 비트를 선택하는 프로그램가능 비트 윈도우를 사용할 수도 있다. 이 메커니즘은 암호 엔진에 의해 프로세싱될 트래픽 흐름으로부터 데이터 패킷들을 식별할 수 있다. 암호 엔진은 룩업 테이블을 사용하고, 선택된 비트를 룩업 테이블의 정보와 비교하여 데이터 패킷이 프로세싱될지 여부를 결정할 수도 있다.

네트워크 엔트리에서, 동일한 식별자를 갖는 패킷은 동일한 데이터 흐름에 속하도록 동일한 키 및/또는 프로세스를 통해 암호화/인증될 것이다. MPLS 에서, 이러한 데이터 흐름은 양방향 라벨 스위칭된 경로 쌍이라고 한다. 동일한 메커니즘을 기반으로 종료시, 트래픽이 복호화/식별될 것이다. 일반적으로, 흐름 식별자는 모든 홉마다 변경될 수 있다. MPLS 에서, MPLS 라벨들은 모든 홉마다 변경될 수 있다. 따라서, 비트 윈도우 및 윈도우 컨텐츠는 진입 또는 종료 시에 상이한 것으로 간주되어야 한다. PFPM (42) 및 CEKM (44) 는 CEKM (44) 기능에 적절한 출입 진입 및 종료 식별자들 및, 옵션적으로 보조 정보 (112) 를 공급하는 것을 통해 이를 보장한다.

MPLS 패킷은 패킷 엔진 (63) 에서 발신된다. 데이터 패킷은 데이터 링크 (117) 를 통해 암호 엔진 (73) 으로 전송된다. 패킷의 미리 정의된 섹션을 관찰하고 로컬 룩업 테이블에서 패턴을 발견함으로써, 암호 엔진 (73) 은 암호화 및/또는 인증을 수행하기 위해 필요한 키 및 보조 정보를 획득한다. 룩업이 실패하는 경우에, 데이터 패킷은 터치되지 않고 남아있는다. 원거리 단부에서, (현재 복호화 모드에서) 암호 엔진은 데이터 패킷을 복호화하기 위한 개별 키를 획득하기 위해 룩업 테이블과의 비교시 패킷을 검사한다.

동일한 엔진에서 동일한 비트 벡터를 갖는 데이터 패킷들 (예를 들어, 동일한 보드 식별자) 은 동일한 키를 사용하여 암호화되며, 따라서 동일한 데이터 흐름에 속한다. MPLS 에서, 이러한 데이터 흐름은 보호된 터널에 속할 수도 있는 양방향 라벨 스위칭된 경로라고 한다. 터널-식별자 (tunnel-id) 는 MPLS 터널과 암호화 접속을 전체적으로 식별한다.

암호화 검색을 위한 비트 패턴은 스택 상부 라벨 (경로 식별자) 및 추가 비트 (스택 상부 TTL 값, 스택 하부 라벨) 를 포함할 수도 있다. 이로 인해 중간 홉을 어드레싱하는 OAM 패킷들에 대한 매치를 방지할 수도 있다. 이러한 방식으로, 추적 루트와 같이 암호화되지 않아야 하는 OAM 패킷들은 중간 홉에서 암호화되지 않은 상태로 유지되는 것이 보장된다.

복호화 검색을 위한 비트 패턴은 암호화되지 않은 OAM 패킷들, 예를 들어 추적 루트로부터 암호화된 패킷들을 구별하기 위해 스택 상부 라벨 (경로 식별자) 및 추가 비트 (스택 상부 S-비트, 스택 하부 라벨) 를 포함할 수도 있다.

라벨 스택 인코딩에 대한 일 예가 이하 도 8 을 참조하여 보다 상세하게 설명될 것이다.

CEKM (44) 및 PFPM (42) 은 보안 채널 (111, 112) 을 통해 정보를 교환한다. 정보는 컨텐츠 및 위치에서 비트 윈도우를 설정하는데 사용될 수도 있다. 하나의 보호된 터널에 대해, PFPM (42) 은 작업 및 보호 경로에 대해 각각, 진입/암호화 및 진출/복호화 엔진을 구성할 수도 있다. 이는 각 트래픽 방향에 대해 수행되어야 한다. 동일한 암호 엔진이 양자의 방향을 처리하는 경우, 각각의 양방향 터널 쌍에 대해 엔드포인트 노드에서 2 개의 암호 엔진을 구성해야 한다. 별도의 암호 엔진이 2 개의 방향에 대해 제공되는 경우, 각각의 양방향 터널 쌍에 대해 하나의 엔드포인트 노드에서 4 개의 암호 엔진을 구성해야 한다. 통지 인터페이스 (111) 는 CEKM (44) 로부터 PFPM (42) 으로 알람, 또는 고장, 및 재고 정보를 제공한다.

PFPM (42) 및 CEKM (44) 에서의 2 개의 정보 모델은 구성 인터페이스 (112) 및 알람/통지 인터페이스 (111) 를 통해, 각각의 암호 엔진에 대하여 PFPM (42) 에서 CEKM (44) 으로 최소 구성 데이터를 전송함으로써 일관성을 유지한다. PFPM (42) 이 MPLS 경로 관리를 수행하는 경우에, MPLS-터널은 엔드포인트 노드 및/또는 중간 트랜짓 노드에 대해 모든 필요한 정보가 준비된다. 이는 엔드포인트를 지정할 때 최종 사용자가에 의해 트리거될 수도 있다. CEKM (44) 의 긍정 확인응답을 수신한 이후에만, PFPM (42) 은 패킷 엔진에서 경로를 적용한다.

부착된 암호 엔진에서 코히어런트 동작을 설정하기 위해, PFPM (42) 은 다음 단계를 수행하여, 암호화된 엔드-투-엔드 경로를 설정하는 흐름을 제어할 수도 있다:

- 사용자가 엔드포인트를 선택하고 암호화 프로파일 및 중간 홉 제한을 지정하는 것을 통해 PFPM 에서 보호 터널을 설정하면, 시스템은 초기에 시뮬레이션된 작업 및 보호 경로를 중앙에서 자동 라우팅한다. 이에 의해, 엔드포인트들이 식별된다.

- 보호된 터널에 대해, PFPM (42) 은 작업 및 보호 경로에 대해 진입/암호화 및 진출/복호화 엔진을 구성하기 위해 필요한 정보를 제공한다. 이는 각 트래픽 방향에 대해 수행되어야 한다. 각각의 엔드포인트 노드에서 4 개의 엔진이 2 개의 방향 각각에 대해 2 회 구성될 수도 있다. MPLS-TP 터널 내에서 데이터 흐름이 암호화되더라도, 암호화되지 않은 외부 라벨들은 모든 홉마다 변경된다. 터널-id 는 한편으로는 PFPM (42) 과 패킷 엔진에 의해 그리고 다른 한편으로는 CEKM (44) 과 암호 엔진에 의해 양자의 터널의 글로벌 식별자로서 사용될 수 있다.

다음 단계가 수행될 수도 있다:

○ 단계 A: 보호된 터널의 하나의 경로에 대해 모든 암호 엔진을 구성하기 위해, PFPM (42) 와 CEKM (44) 간에 다음과 같은 튜플이 교환된다: 글로벌 엔진 어드레스 (즉, 암호 엔진의 하드웨어 정의된 식별자); 터널-id; MPLS 라벨; 방향; 및 프로파일-id. 프로파일-id 는 터치되지 않고 남아있어야 하는 트래픽 유형과 같은 일련의 보조 정보의 세트를 식별할 수도 있다.

○ 단계 B: 암호 엔진의 구성의 성공적인 적용을 검증한 경우, 패킷 흐름의 적절한 타이밍 및 순서를 보장하기 위해 사전 성형 파라미터 구성이 패킷 엔진에 적용될 수도 있다.

○ 단계 C: 상기 구성을 성공적으로 적용한다는 CEKM (44) 으로부터의 긍정적인 확인을 수신한 후에, PFPM (42) 은 그 구성을 패킷 엔진에 적용함으로써 경로를 설정하고; 긍정적인 확인이 수신되지 않으면, PFPM (42) 의 시뮬레이션이 롤백될 수도 있고, 구성이 적용되지 않는다.

- 경로를 테이크 다운하는 것은 동일한 확인응답을 수반하며, 이제 경로는 단계 C 에서 단계 A 로 역순으로 테이크 다운될 것이다.

데이터 흐름이 엔드-투-엔드 컨텍스트 내에서 (MPLS-TP 이라 불리는 터널에서) 암호화됨에 따라 라벨은 모든 홉마다 변경된다. PFPM 과 이에 접속된 패킷 엔진 양자 및 CEKM 과 개별 암호 엔진과의 엔드-투-엔드 또는 세그먼트 암호화 또는 사이버 보안 접속을 위해 특수한 글로벌 정보 엔터티가 사용된다. MPLS 에서, 보안 도메인 및 동작/사용자 도메인 양자에 의해 사용될 수도 있는 글로벌 정보 엔티티는 터널을 식별할 수도 있다. 이것은 홉에 대한 글로벌 식별을 보장하며, 암호화 또는 사이버 보안 토폴로지 및 MPLS 토폴로지를 의미한다.

PFPM (42) 은 데이터 서비스, 의사 와이어 및 터널에 대한 정보를 라벨 스위칭된 경로와 함께 보유할 수도 있다. MPLS 서비스를 가산하거나 감산하여, 네트워크 정보 모델의 아이템이 변경될 수도 있으며, 패킷 엔진 및 암호 엔진과 일관성이 유지되어야 한다. 네트워크 정보 모델은 데이터 링크 (113) 를 통해 직접 패킷 엔진과 일관성이 유지될 수 있다. 네트워크 정보 모델은 CEKM (44) 을 통해 개별 암호 엔진과의 일관성이 유지될 수 있다.

예시를 위해, CEKM (44) 는 암호화/복호화를 위한 양자의 단부들에서 식별된 MPLS 양방향 터널에 적절한 키가 사용되는 것을 보장할 것이다. CEKM (44) 은 하드웨어 정의된 보드-id 를 통해 모든 엔진을 발견할 수도 있다. 이것은 PFPM (42) 와 CEKM (44) 양자에서 사용가능한 암호 엔진에 대한 유일한 정보이다. 보드-id 또는 다른 하드웨어 정의된 식별자는 네트워크에서 고유하며 개별 암호 엔진에서 네트워크 와이드를 식별한다. 엔드-투-엔드 양방향 터널을 설정하는 동안 확립되는 터널-id 는 사이버 보안 서브시스템 (CEKM 및 암호 엔진) 과 패킷 흐름 서브시스템 (PFPM 및 패킷 엔진) 양자에 대한 엔드-투-엔드 접속에 대한 식별자의 역할을 한다. 글로벌 엔진 어드레스 (보드-id) 및 터널-id, 방향당 MPLS 라벨을 CEKM (44) 에 제공함으로써, PFPM (42) 은 가능하게 하드웨어-정의된 식별자들 이외의 암호 엔진에 대한 임의의 지식 없이 및 간섭 없이, 암호화를 조종할 수도 있다. 사전 정의된 엔진 파라미터들의 세트 중 하나를 선택하는 프로파일 id 와 함께, 보드-id, 터널-id, MPLS 라벨 및 방향의 교환은 사이버 보안 서브시스템 (즉, CEKM 및 암호 엔진) 의 거동을 완전히 결정한다.

키 분배 및 다른 필요한 구성 정보 (115) 는 CEKM (44) 이 인터페이스 (112) 를 통해 경로 관리 기능으로부터 토폴로지 정보를 수신한 후에, 작업 또는 보호 경로를 위해 각각의 암호 엔진 (73, 74) 으로 CEKM (44) 에 의해 제공될 수도 있다.

이를 통해 MPLS-TP 및 암호 엔진 동작의 코히어런트 처리를 허용한다. CEKM 과 PFPM 은 각각 중앙 집중식으로 동작하지만, 암호 엔진의 관리는 패킷 엔진의 관리와 디커플링된다.

고 가용성 요구를 고려하여, 2 개의 암호 엔진 (73, 74) 이 제공될 수도 있으며, 제 1 암호 엔진 (73) 은 작업 경로에 사용되고 제 2 암호 엔진 (74) 은 보호된 터널 쌍의 보호 경로에 사용된다. 2 개의 인터페이스는 각각의 중앙 카드에 접속할 수도 있고, 2 개의 인터페이스는 네트워크의 통합 계층에 접속할 수도 있다. 전용 논리 링크 (115, 116) 를 통해, 암호 엔진 (73, 74) 은 PFPM (42) 과 잠재적으로 나란히 CEKM (44) 에 접속한다. 또한 엔진 당 전면 인터페이스는 초기 소환 (bring up) 을 위해 수행될 수도 있다.

패킷은 패킷 엔진 (63, 64) 을 떠난 직후에 암호 엔진 (73, 74) 에서 암호화되거나, 또는 패킷 엔진 (63, 64) 에 진입하기 직전에 암호 엔진 (73, 74) 에서 복호화된다. 암호화 및 복호화는 AES, DES 또는 Triple-DES 로서의 표준화된 암호화/복호화 프로토콜 또는 Blowfish, Twofish, MARS, RC6, Rijndael und Serpent 와 같은 오픈 프로토콜을 통해 수행될 수도 있다. 해시 기반 메시지 인증은 MD5, SHA-1, SHA-2, SHA-3 또는 오픈 소스 카운터 파트와 같은 해시 기능을 사용하는 표준화된 프로토콜을 사용하여 수행된다.

와이어 속도 암호화된 데이터 경로를 구현하기 위해, 인입하는 패킷의 타이밍 또는 순서를 방해하지 않는 와이어 속도 암호 엔진 (73, 74) 은 예를 들어, 각각의 개별 데이터 패킷에 대한 AES 128/256 비트 암호화 및 복호화를 제공할 수도 있다.

패킷 암호화/복호화를 수행하기 위해, 키는 CEKM (44) 에 의해 인터페이스 (115) 를 통해 암호 엔진 (73, 74) 으로 분배될 수도 있다. 재고, 알람 및 실패에 대한 통지는 암호 엔진으로부터 CEKM (44) 으로의 인터페이스 (116) 를 통해 수행될 수도 있다.

CEKM (44) 은 관리되는 암호 엔진의 리스트를 유지할 수도 있다. CEKM (44) 은 구성가능한 인터벌로 마스터 키의 업데이트를 스케줄링할 수도 있다. 마스터 키는 CEKM (44) 에 의해 생성될 수도 있다.

CEKM (44) 에 의한 키의 생성 및/또는 키의 분배는 종래의 메커니즘을 사용하여 수행될 수도 있다.

암호 엔진 활동, 알람 및 통지는 CEKM (44) 에 의해 수집될 수도 있고, PFPM (42) 로 포워딩될 수도 있다.

작업 또는 보호 경로를 위해 암호 엔진의 WAN 대면 라인 인터페이스에 의해 검출된 광 데이터 접속의 실패는 각각의 노드 대면 인터페이스 (94, 104) 로 전파될 수도 있다. 이것은 트래픽 손실 정보를 패킷 엔진 (63, 64) 의 인터페이스 (83, 87) 로 전파한다. 패킷 엔진 (63, 64) 은 링크 손실 신호를 수신할 때 트래픽 전환을 트리거할 수도 있다.

신호의 손실은 WAN 대면 라인 인터페이스를 구현하는 SFP (Small Form Pluggable) 디바이스에 의해 검출될 수도 있고, 물리적 입력 신호를 통해 암호 엔진 (73, 74) 으로 시그널링될 수도 있다. 패킷 엔진 (63, 64) 을 향한 매칭 경로 (117, 118) 가 식별될 수도 있고, 대응하는 SPF 디바이스는 전용 물리 신호를 통해 송신 신호를 스위치 오프하도록 지시될 수도 있다.

데이터 흐름의 상태를 모니터링하기 위해, 패킷의 추가 스트림이 전송될 수도 있다. 패킷의 추가 스트림은 데이터 트래픽과 나란히 전송될 수도 있다. 다음의 2 개의 옵션을 사용할 수 있다:

- 엔드-투-엔드 모니터링 패킷은 다른 페이로드와 같이 암호화되므로 동일한 과정을 공유한다. 특히, 암호화된 이러한 모니터링 패킷은 규칙적인 데이터 패킷처럼 프로세싱될 수도 있다.

- 다른 한편으로, 핑 및 추적 루트 메시지는 중간 홉에서 문제를 나타낼 수도 있으므로 암호화되지 않고 남아있는다.

위에서 설명한 2 가지 옵션은 앞서 설명한 것과 같이, 적절히 구성된 비트 윈도우 메커니즘을 사용하여 암호 엔진에 의해 식별될 수 있다. MPLS 의 경우에, 의사 와이어 id 가 식별될 수 있고, "TTL (time to live)" 바이트가 판독될 수 있다. 이 TTL 바이트의 사전 정의된 값 또는 범위는 2 개의 사용 옵션, 즉 암호화/복호화될 엔드-투-엔드 모니터링 패킷과 암호화되지 않고 남아있는 핑 및 추적 루트 메시지를 구별하는데 사용될 수도 있다.

MPLS-TP 에서, 연속성 점검을 수행하기 위해 OAM/양방향 포워딩 검출 (BFD) 모니터링 패킷의 추가 스트림이 규칙적인 인터벌로 전송될 수도 있다. 이들 패킷은 다른 페이로드와 같이 암호화되므로 동일한 과정을 공유한다. 핑 및 추적 루트 메시지와 같은 다른 OAM 패킷은 중간 노드의 장애에 대한 검출 메커니즘으로 기능하며 암호화되지 않고 남아있어서 중간 포인트가 가용성을 시그널링하게 한다.

OAM 메시지는 상술한 바와 같이 적절히 구성된 비트 윈도우 메커니즘을 갖는 암호 엔진 (73, 74) 에 의해 식별된다. 비트 윈도우 메커니즘은 라벨 (13) (스택 하부 라벨) 을 찾을 수도 있다. 특정 TTL 값 또는 범위를 설정함으로써, "연속성 점검" 의 모드들 개별 "디버깅 모드" 가 구별될 수 있고, 암호 엔진은 따라서 OAM 패킷이 암호화될지의 여부를 알 수 있다.

암호 엔진 (73, 74) 은 토폴로지 인식되지 않고 시간 인식되지 않을 수도 있다. 암호 엔진 (73, 74) 은 설정되고 있는 경로에 대한 임의의 지식을 가질 필요가 없다. 암호 엔진 (73, 74) 은 타임 스탬핑 정보 및/또는 임의의 타임 스탬핑 프로토콜에 대한 임의의 지식을 가질 필요가 없다. 패킷 순서 및 상대적 타이밍이 암호 엔진 (73, 74) 에 의해 수행되는 사이버 보안 기능(들)의 영향을 받지 않도록 하기 위해, 트래픽은 패킷 엔진 (63, 64) 을 떠나 암호 엔진 (73, 74) 에 들어가기 전에 미리 성형될 수도 있다. 이에 의해, 암호 엔진에 들어가기 전에 패킷이 패킷의 위치와 비교하여 데이터 흐름의 위치에서 방해받지 않도록 할 수 있다. 이것은 포트 (83, 87) 에서의 패킷의 타임 스탬핑이 암호 엔진 (73, 74) 을 통과 할 때 여전히 유효하다는 것을 보장한다.

암호 엔진 (73, 74) 이 암호화를 수행할 때, 시퀀스 번호가 각각의 데이터 패킷에 추가되어, 도 4 를 참조하여 설명될 바와 같이 길이를 예를 들어 8 바이트만큼 증가시킨다. 암호 엔진 (73, 74) 이 인증을 수행할 때, 도 5 를 참조하여 설명되는 바와 같이, 메시지 인증 코드를 위한 추가의 16 바이트가 추가된다. 패킷 흐름에 변화가 없는 것을 보장하기 위해, 패킷 엔진 (63, 64) 은 패킷간 갭 내의 바이트 수를 충분히 크게 유지한다. 이것은 바이트가 암호 엔진 (73, 74) 에 의해 패킷에 추가될 때 필요한 패킷 길이의 증가를 보상한다. 사전 성형은 패킷 엔진 (63, 64) 에 의해 수행될 수도 있고, 이에 따라 패킷의 순서 및 상대적 타이밍이 시간 인식되지 않고 네트워크의 타임 스탬핑 컨텍스트의 외부에 배치되는 암호 엔진 (73, 74) 에 의해 변경되는 위험을 제거한다.

도 4 및 도 5 는 패킷 엔진 (63, 64) 으로부터 수신된 데이터 패킷 (120) 에 암호화 및/또는 인증 동작을 수행할 때 암호 엔진 (73, 74) 의 동작을 도시한다. 패킷 엔진 (63, 64) 은 패킷간 갭 (129) 을 예를 들어 36 바이트의 값으로 확대하였다. 데이터 패킷 (120) 은 암호화되지 않은 MPSL 데이터 패킷일 수도 있다. 데이터 패킷 (120) 은 프리앰블 및 SFD (start frame delimiter) (121) 를 포함할 수도 있다. 데이터 패킷 (120) 은 목적지 어드레스 미디어 액세스 제어 (MAC) 어드레스 (122) 를 포함할 수도 있다. 데이터 패킷 (120) 은 소스 어드레스 미디어 액세스 제어 (MAC) 어드레스 (123) 를 포함할 수도 있다. 데이터 패킷 (120) 은 MPLS LSP (MPLS Label Switched Path) (124) 를 포함할 수도 있다. 데이터 패킷 (120) 은 MPLS PW (MPLS Pseudo-Wire) (125) 를 포함할 수도 있다. 데이터 패킷 (120) 은 암호화되지 않은 의사-와이어 페이로드 (126) 를 포함한다. 데이터 패킷 (120) 은 FCS (Frame Check Sequence) (127) 를 포함할 수도 있다.

도 4 는 암호화된 데이터 패킷 (130) 을 도시하며, 이는 데이터 패킷 (120) 에 적용될 때 암호 엔진 (73, 74) 의 암호화 동작으로부터 발생한다. 암호화된 데이터 패킷 (130) 에는 암호화 코드 (131) 가 추가될 수도 있다. 암호화된 데이터 패킷 (130) 은 MPLS PW (125) 및 PW 페이로드 (126) 로부터 생성될 수도 있는 암호화된 페이로드 (132) 를 포함한다. 암호화된 페이로드 (132) 는 암호화된 서비스 데이터를 정의할 수도 있다.

암호화는 암호화된 데이터 패킷 (130) 이 그 암호화되지 않은 대응물 (120) 의 크기를 초과하는 크기를 갖도록 한다. 그러나, 패킷간 갭 (129) 은 암호화되지 않은 데이터 패킷 (120) 에 비해, 암호화된 데이터 패킷 (130) 의 크기 증가가 확대된 패킷간 갭 (129) 을 초과하지 않도록, 패킷 엔진 (63, 64) 에 의해 확대된다. 암호 엔진 (63, 64) 은 데이터 패킷을 확대된 패킷간 갭 (129) 내로 성장시키지만, 그를 넘어서는 안 된다. 연속적인 암호화된 데이터 패킷들 사이에 유한의 패킷간 갭 (138) 이 남아있을 수도 있다. 예시를 위해, 패킷간 갭 (138) 은 암호화 코드 (131) 가 8 바이트를 가질 때, 28 바이트를 가질 수도 있다.

도 5 는 인증과 함께 암호화된 데이터 패킷 (135) 을 도시하며, 이는 데이터 패킷 (120) 에 적용될 때 암호 엔진 (73, 74) 의 암호화 동작 및 인증 동작으로부터 발생한다. 암호화된 데이터 패킷 (135) 에는 인증 코드 (133) 가 포함될 수도 있다. 암호화된 페이로드 (132) 및 인증 코드 (133) 는 암호화된 서비스 데이터를 정의할 수도 있다.

암호화 및 인증은 인증과 함께 암호화된 데이터 패킷 (135) 이 그 암호화되지 않은 대응물 (120) 의 크기를 초과하는 크기를 갖도록 한다. 그러나, 패킷간 갭 (129) 은 암호화되지 않은 데이터 패킷 (120) 에 비해, 인증과 함께 암호화된 데이터 패킷 (135) 의 크기 증가가 확대된 패킷간 갭 (129) 을 초과하지 않도록, 패킷 엔진 (63, 64) 에 의해 확대된다. 암호 엔진 (63, 64) 은 데이터 패킷을 확대된 패킷간 갭 (129) 내로 성장시키지만, 그를 넘어서는 안 된다. 인증과 함께 연속적인 암호화된 데이터 패킷들 사이에 유한의 패킷간 갭 (139) 이 남아있을 수도 있다. 예시를 위해, 패킷간 갭 (139) 은 인증 코드 (133) 가 16 바이트를 가질 때, 12 바이트를 가질 수도 있다.

패킷간 갭 크기를 증가시키는 것에 부가하여, 패킷 엔진 (63, 64) 은 더미 패킷을 생성할 수도 있고, 더미 패킷을 암호 엔진 (73, 74) 에 제공된 데이터 패킷의 흐름에 삽입할 수도 있다. 암호 엔진 (73, 74) 은 제어 정보를 내부에 삽입하기 위해 더미 패킷을 사용할 수도 있다. 이것은 새로운 패킷을 생성하여 트래픽에 삽입하는 암호 엔진 (73, 74) 에 대한 필요성을 제거한다. 오히려, 패킷 엔진 (63) 에 의해 생성된 기존 더미 패킷은 도 10 을 참조하여 설명될 바와 같이, 암호 엔진 (73, 74) 에 의해 제어 정보로 충진될 수도 있다.

도 10 은 암호 엔진 (73) 의 블록도 표현이다. 연관된 패킷 엔진은 데이터 흐름 내로의 삽입을 위해 더미 패킷 (241) 을 생성할 수도 있다. 더미 패킷 (241) 은 페이로드 데이터를 포함하지 않고, 단지 예컨대, 암호 키 교환을 위해 제어 데이터를 내부에 삽입하기 위해 암호 엔진 (73) 에 의해 사용될 수 있는, 암호 엔진 (73) 에 의해 수신된 사전 성형된 데이터 트래픽에 포함된 패킷들을 제공하도록 생성될 수도 있다. 패킷 엔진 (63) 은 더미 패킷 (241) 을 데이터 흐름 (즉, 페이로드 데이터를 포함하는 데이터 패킷들의 시퀀스) 내로 삽입한다. 더미 패킷 (241) 은 SCC 패킷일 수도 있다.

스트림 내의 더미 패킷들 (241) 의 적어도 부분은 암호 엔진 (73) 에 의한 관리 채널 송신들을 위해 충진되고 사용될 수도 있다.

암호 엔진 (73) 은, 암호 엔진 (73) 이 암호 키 교환과 같은 관리 채널 송신을 위한 제어 패킷을 생성할 필요가 있을 때, 더미 패킷 (59) 을 제어기 (243) 또는 다른 집적 반도체 회로에 제공하기 위한 디바이스 (242) 를 포함할 수도 있다. 디바이스 (242) 는 인입하는 사전-성형 데이터 트래픽으로부터 더미 패킷을 선택할 수도 있다. 이를 위해, 암호 엔진 (73) 은 페이로드 데이터를 포함하는 규칙적인 데이터 트래픽으로부터 더미 패킷을 구별하기 위해 모든 패킷 헤더를 스캔할 수도 있다.

관리 채널 송신에 필요하지 않은 더미 패킷 (241) 은 암호 엔진 (73) 에 의해 사전 성형된 데이터 트래픽으로부터 제거될 수도 있다.

제어기 (243) 는 더미 패킷 (241) 의 적어도 부분을 특히 암호화 및/또는 인증과 관련된 관리 채널 관련 제어 데이터로 충진할 수도 있다. 제어기 (63) 는 예를 들어, 암호화 키 교환을 위해 더미 패킷 (241) 중 적어도 일부를 사용할 수도 있다. 더미 패킷 (241) 의 적어도 부분을 보안 관련 관리 채널 제어 데이터로 충진함으로써, 제어 패킷 (244) 이 생성된다. 디바이스 (242) 는 더미 패킷 (241) 의 위치에서 사전 성형된 데이터 트래픽에 제어 패킷 (244) 을 재삽입할 수도 있다.

도 6 은 트랜짓 트래픽을 도시하는 LSR (160) 의 블록도이다. 네트워크 (10) 의 복수의 LSR들 (55, 56, 57, 58) 의 각각은 도 6 을 참조하여 설명된 바와 같은 구성을 가질 수도 있다. 데이터 패킷은 LSR 경우에 대한 LSP 경로에서 4 개의 암호 엔진 인스턴스를 트랜짓할 수도 있다.

LSR (140) 은 제 1 패킷 엔진 (141) 및 제 2 패킷 엔진 (142) 을 포함할 수도 있다. LSR (140) 이 MPLS 경로의 중간 홉인 경우, 제 1 패킷 엔진 (141) 및 제 2 패킷 엔진 (142) 양자가 사용될 수도 있다. 그러나, 패킷 스위치 (도 3 의 패킷 스위치 (82, 86) 에 대해 설명된 바와 같이 일반적으로 구성되고 동작함) 는 스탠바이 동작일 수도 있고 오직 포트 포워더로서 기능할 수도 있다.

LSR (140) 은 복수의 암호 엔진 (162, 164, 165, 166) 을 포함할 수도 있다.

제 1 패킷 엔진 (141) 은 포트 A (151) 및 포트 B (152) 를 가질 수도 있다. 제 2 패킷 엔진 (142) 은 포트 A (153) 및 포트 B (154) 를 가질 수도 있다. 암호 엔진 (143) 은 포트 A (155) 및 포트 B (156) 를 가질 수도 있다. 암호 엔진 (146) 은 포트 A (157) 및 포트 B (158) 를 가질 수도 있다.

암호 엔진 (146) 의 포트 A (157) 에서 수신된 인터페이스 (109) 로부터의 트래픽은 암호 엔진 (146) 을 통해 암호 엔진 (146) 의 포트 B (158) 를 경유하여 제 2 패킷 엔진 (142) 의 포트 B (154) 로 흐를 수도 있다. 제 2 패킷 엔진 (142) 은 오직 데이터 패킷을 제 1 패킷 엔진 (141) 으로 포워딩하는 패킷 스위치를 가질 수도 있다. 제 1 패킷 엔진 (141) 은 포트 A (151) 를 통해 제 1 암호 엔진 (143) 의 포트 A (155) 로 데이터 트래픽을 출력할 수도 있다. 트래픽 흐름은 암호 엔진 (143) 의 포트 B (156) 를 통해 인터페이스 (108) 로 출력될 수도 있다.

하나의 노드가 하이브리드 LER 및 LSR 모드에서 작동할 수 있음이 인식될 것이다. 따라서, LSR 의 패킷 엔진 (141, 142) 및 암호 엔진 (143, 144, 145, 146) 과 LER 의 패킷 엔진 (141, 142) 및 암호 엔진 (143, 144, 145, 146) 사이에는 일대일 대응이 존재한다. 따라서, 암호 엔진 (144, 145) 은 예를 들어 노드가 LER 모드에서 동작될 때, 암호 엔진 (143, 146) 보다 역방향 흐름 방향에 대한 암호화/복호화 및/또는 인증 동작을 수행할 수도 있다.

노드가 LSR 모드에서 동작할 때, 암호 엔진 (143, 146) 은 비트 윈도우 메커니즘을 사용하여 암호화된 데이터 패킷이 복호화될 것인지 여부를 결정할 수도 있다. 암호화된 엔드-투-엔드 경로의 경우, LSR (140) 은 암호 엔진 (143, 146) 이 양방향 데이터 경로의 중간 홉에서 암호화된 데이터 패킷을 복호화하지 않도록 설정된다. 복호화 검색을 위한 비트 패턴은 암호화되지 않은 OAM 패킷들, 예를 들어 추적 루트로부터 암호화된 패킷들을 구별하기 위해 스택 상부 라벨 (경로 식별자) 및 추가 비트 (스택 상부 S-비트, 스택 하부 라벨) 를 포함할 수도 있다. 핑 및 추적 루트 메시지와 같은 OAM 패킷은 중간 노드의 장애에 대한 검출 메커니즘으로 기능하며, 적절히 구성된 비트 윈도우에 의해 표시된 것과 같이, 암호화되지 않고 남아있는다.

도 7 은 LER (160) 의 블록도이다. 네트워크 (10) 의 복수의 LER들 (53, 54) 의 각각은 도 7 을 참조하여 설명된 바와 같은 구성을 가질 수도 있다. MPLS 트래픽 및 암호화 세션 양자는 LER (160) 에서 시작할 수도 있다.

LER (160) 은 작업 (w) 경로를 위한 제 1 패킷 엔진 (PE) (161) 및 보호 (p) 경로를 위한 제 2 패킷 엔진 (162) 을 포함할 수도 있다. 제 1 패킷 엔진 (161) 에는 작업 경로를 위한 터널 시작 (181) 이 제공된다. 도 7 에 점선으로 표시된 보호 흐름 (182) 은 제 1 패킷 엔진 (161) 에서 시작될 수도 있다.

LER (160) 은 복수의 암호 엔진 (163, 164, 165, 166) 을 포함할 수도 있다.

LER (160) 은 라인 카드 (168) 를 포함할 수도 있다. 라인 카드 (168) 는 포트들 (169) 을 가질 수도 있다.

제 1 패킷 엔진 (161) 은 포트 A (171) 및 포트 B (172) 를 가질 수도 있다. 제 2 패킷 엔진 (162) 은 포트 A (173) 및 포트 B (174) 를 가질 수도 있다. 암호 엔진 (163) 은 포트 A (175) 및 포트 B (176) 를 가질 수도 있다. 암호 엔진 (166) 은 포트 A (177) 및 포트 B (178) 를 가질 수도 있다. 암호 엔진 (163 및 166) 은 양방향 터널 쌍에서 제 1 방향에 대한 암호화 및/또는 인증을 수행한다. 암호 엔진 (163) 과 동일한 제 1 패킷 엔진 (161) 에 접속될 수도 있는 각각의 연관된 암호 엔진 (164), 및 암호 엔진 (166) 과 동일한 제 2 패킷 엔진 (162) 에 접속될 수도 있는 암호 엔진 (165) 은 제 1 방향과 반대 인 양방향 터널 쌍에 제 2 방향에 대한 복호화 및/또는 인증을 수행할 수도 있다.

라인 카드 (168) 로부터의 트래픽은 제 1 패킷 엔진 (161) 에 의해 포트 A (171) 를 통해 암호 엔진 (163) 의 포트 A (175) 로 제공될 수도 있다. 암호 엔진 (163) 은 암호화 및/또는 인증 동작을 수행할 수도 있다. 각각의 데이터 패킷의 중요 부분이 암호화된 대응물으로 대체된다. 암호화된 트래픽은 암호 엔진 (163) 의 포트 B (176) 를 통해 인터페이스 (108) 로 출력된다.

보호 경로는 제 2 패킷 엔진 (162) 을 통해 연장할 수도 있다. 트래픽은 패킷 엔진 (162) 의 포트 B (174) 를 통해 암호 엔진 (166) 의 포트 B (178) 로 출력될 수도 있다. 암호 엔진 (166) 은 암호화 및/또는 인증 동작을 수행할 수도 있다. 보호 경로의 트래픽은 암호 엔진 (166) 의 포트 B (156) 를 통해 인터페이스 (109) 로 출력될 수도 있다.

암호 엔진 (163, 166) 은 비트 윈도우 메커니즘을 사용하여 어떤 데이터 패킷이 암호화될 것인지를 결정할 수도 있다. 암호화 검색을 위한 비트 패턴은 스택 상부 라벨 (경로 식별자) 및 추가 비트 (스택 상부 TTL 값, 스택 하부 라벨) 를 포함할 수도 있다.

암호 엔진 (164, 165) 은 비트 윈도우 메커니즘을 사용하여 어떤 데이터 패킷이 복호화될 것인지를 결정할 수도 있다. 복호화 검색을 위한 비트 패턴은 암호화되지 않은 OAM 패킷들, 예를 들어 추적 루트로부터 암호화된 패킷들을 구별하기 위해 스택 상부 라벨 (경로 식별자) 및 추가 비트 (스택 상부 S-비트, 스택 하부 라벨) 를 포함할 수도 있다.

도 8 은 예를 들어, RFC 3032 에 따른 라벨 스택 인코딩을 나타내는 데이터 (190) 를 도시한다. 예시적인 데이터는 라벨 값, 스택 하부 비트 및 TTL (Time to Live) 을 포함한다. 암호 엔진은 프로그램 가능한 비트 윈도우를 사용하여 구성되어, 데이터 패킷이 각각의 암호 엔진에 의해 프로세싱될 것인지 여부 또는 데이터 패킷이 터치되지 않고 남아있을 것인지 여부를 결정할 수도 있다. 예시를 위해, 암호화 검색을 위한 비트 패턴은 스택 상부 라벨 (경로 식별자) 및 추가 비트 (스택 상부 TTL 값, 스택 하부 라벨) 를 포함할 수도 있다. 복호화 검색을 위한 비트 패턴은 암호화되지 않은 OAM 패킷들, 예를 들어 추적 루트로부터 암호화된 패킷들을 구별하기 위해 스택 상부 라벨 (경로 식별자) 및 추가 비트 (스택 상부 S-비트, 스택 하부 라벨) 를 포함할 수도 있다.

비트 윈도우 메커니즘을 사용하여 암호 엔진에 의해 트래픽 상태 모니터링을 수행하는 다양한 옵션을 식별 할 수 있다. 예시를 위해, 의사 와이어 id 가 식별될 수 있고, "TTL (time to live)" 바이트가 판독될 수 있다. 이 TTL 바이트의 사전 정의된 값 또는 범위는 각각 트래픽 상태 모니터링을 위해, 암호화/복호화될 엔드-투-엔드 모니터링 패킷과 암호화되지 않고 남아있는 핑 및 추적 루트 메시지 간을 구별하는데 사용될 수도 있다.

도 9 는 네트워크 (10) 에 대한 관리 기능들의 계위를 도시하는 블록도이다. PFPM (42) 는 패킷 흐름을 제어한다. CEKM (44) 은 암호화 경로, 즉 사이버 보안 경로의 엔드포인트 노드 및 중간 노드에서의 암호 엔진을 제어하고 각각의 키를 제공한다. 네트워크 (10) 는 각각 패킷 엔진 (211, 212, 213, 214) 및 암호 엔진 (221, 222, 223, 224) 을 포함하는, 복수의 LER들 (201, 202, 203, 204) 을 포함할 수도 있다. 오직 하나의 패킷 엔진 및 하나의 암호 엔진만이 도 9 에 도시되어 있지만, 각각의 LER 은 전술한 바와 같이 복수의 패킷 엔진 및 복수의 암호 엔진을 포함할 수도 있음이 인식될 것이다. 예시를 위해, 각각의 LER (201, 202, 203, 204) 은 각각 작업 및 보호 경로를 위한 2 개의 패킷 엔진, 및 작업 및 보호 경로 양자의 2 개의 방향에 사용되는 4 개의 암호 엔진을 포함할 수도 있다.

CEKM (44) 은 암호 엔진으로부터 하드웨어 정의된 식별자 (233) 를 수신할 수도 있다. 하드웨어 정의된 식별자 (233) 는 예를 들어, 보드 식별자일 수도 있다. 각 암호 엔진에는 네트워크에서 고유한 하드웨어 정의된 식별자가 있을 수도 있다. 하드웨어 정의된 식별자는 인터페이스 (232) 를 통해 PFPM (42) 에 제공될 수도 있다.

다음 제어 단계가 수행될 수도 있다:

단계 A: CEKM (44) 및 PFPM (42) 은 각각의 경로에 대해 다음의 튜플 (231, 232) 을 각각 교환할 수도 있다:

ⅰ. 하드웨어 정의된 식별자 (즉, 글로벌 엔진 어드레스)

ⅱ. 터널-id,

ⅲ. MPLS 라벨,

ⅳ. 방향,

ⅴ. 프로필-id.

프로파일-id 는 터치되지 않고 남아있어야 하는 트래픽 유형과 같은 보조 정보의 세트를 식별할 수도 있다.

단계 B: 암호 엔진 구성의 성공적인 적용을 검증한 경우, PFPM 은 패킷 흐름의 적절한 타이밍 및 순서를 보장하기 위해 사전 성형 파라미터 구성 (234) 을 적용한다. 사전 성형 파라미터 구성 (234) 은 패킷 엔진의 더미 패킷 제어기 (215, 216) 에 제공될 수도 있다.

단계 C: 사전 형성 파라미터 구성이 성공적으로 적용되었다는 긍정적 확인을 수신한 후, PFPM (42) 은 경로 구성 (235) 을 패킷 엔진에 적용한다. 사전 성형 파라미터 구성이 성공적이지 않은 경우, PFPM (42) 의 시뮬레이션이 롤백될 수도 있고 구성이 적용되지 않을 수도 있다.

경로를 테이크다운하는 것은 동일한 확인응답을 수반한다. 경로는 단계 C 에서 단계 A 로 역순으로 테이크다운된다.

도 11 는 일 실시형태에 따른 방법 (250) 의 흐름도이다.

단계 (251) 에서, 각각의 패킷 엔진과 별도로 제공되는 복수의 암호 엔진은 중앙 CEKM 을 사용하여 제어될 수도 있다. 복수의 암호 엔진을 제어하는 것은 암호 엔진으로의 암호화를 위한 키를 제공하는 것을 포함할 수도 있다. 복수의 암호 엔진을 제어하는 것은 CEKM 에 의해, PFPM에 의해 설정된 경로에 의존하여 프로그램가능 비트 윈도우를 구성하는 것을 포함할 수도 있다.

단계 (252) 에서, 패킷 엔진과 별도로 제공된 암호 엔진은 적어도 하나의 사이버 보안 관련 기능을 수행할 수도 있다. 사이버 보안 관련 기능은 암호화/복호화를 포함할 수도 있다. 사이버 보안 관련 기능은 인증을 포함할 수도 있다.

도 12 는 일 실시형태에 따른 방법 (260) 의 흐름도이다. 방법 (260) 은 일 실시형태에 따라 CEKM 에 의해 수행될 수도 있다.

단계 (261) 에서, CEKM 은 암호 엔진의 하드웨어 식별자를 PFPM 에 제공할 수도 있다. CEKM 은 이 재고 정보 이외의 사이버 보안 시스템에 대한 정보를 PFPM 에 제공하지 않을 수도 있다.

단계 (262) 에서, CEKM 은 PFPM 으로부터, 경로에 관한 정보 또는 토폴로지 정보를 수신할 수도 있다. 경로에 관한 정보는 예를 들어, 터널-id, MPLS 라벨 또는 라벨 스택 및 방향을 포함할 수도 있다.

단계 (263) 에서, CEKM 은 암호 엔진을 구성하기 위한 보안 프로토콜을 통해 모든 암호 엔진과 통신할 수도 있다. 암호 엔진을 구성하는 것은 데이터 패킷이 사이버 보안 기능을 받을지 여부를 결정하기 위해 암호 엔진에 의해 사용되는 프로그램가능 비트 윈도우를 프로그래밍하는 것을 포함할 수도 있다.

단계 (264) 에서, CEKM 은 네트워크의 동작 동안 암호 엔진으로부터 통지를 수신할 수도 있다. CEKM 은 PFPM 에 경보를 제공할 수도 있다.

실시형태들에 따른 방법, 디바이스 및 시스템은 복잡한 메시형 네트워크를 통해 트랜짓하는 경우에도, 보안 통신 및 와이어 유사 결정을 제공한다.

예시적인 실시형태가 도면을 참조하여 설명되었지만, 다른 실시형태에서 수정 및 변경이 구현될 수도 있다. 방법, 디바이스 및 시스템은 MPLS 네트워크에 사용될 수도 있지만, 이에 제한되지는 않는다.

실시형태들에 따른 방법들, 디바이스들 및 시스템들은 복잡하고 메시형의 네트워크 토폴로지들을 통해 암호화되고 인증된 데이터 패킷들을 결정적으로 트랜짓하기 위해 사용될 수도 있다. MPLS-TP 네트워크와 같은 이들 네트워크의 경우, 보호된 엔드-투-엔드 터널의 사이버 보안 중복 데이터 링크 엔드포인트들, 즉 암호 엔진과의 코히어런트 연관이 제공된다. 보안상의 이유로, 2 개의 서브시스템은 강력하게 분리되어 있지만 동기화될 수도 있다. 동적 프로토콜은 엄격하게 제한된 정보 교환을 지원하는 데 사용될 수도 있다. 이를 통해 모든 표준 및 예외적인 네트워크 동작 상태 동안 2 개의 중복 시스템을 서로 부합하여 유지되게 한다.

엔드-투-엔드 암호화 및/또는 인증이 수행되는 실시형태들이 설명될 것이지만, 여기에 개시된 기술들은 또한, 엔드-투-엔드 경로의 세그먼트들을 따라 암호화 및/또는 인증을 위해 사용될 수도 있다.

방법, 디바이스 및 시스템은 패킷 추가를 필요로 하지 않으며, 암호화 단계 동안 모든 패킷에 대해 동일한 지연이 유지되게 한다. 패킷을 스트림에 추가하기 위한 암호 엔진의 잠재적 요구는 암호 엔진과 분리된 패킷 엔진에 의해 더미 패킷을 추가함으로써 회피된다. 결국 암호 엔진 제어 패킷 교환 요구로 인한 임의의 방해를 회피하기 위해, 필요할 때 패킷 엔진에서 패킷간 갭이 확대될 수 있다.

본 발명의 실시형태는 MPLS 와 같은 프로토콜을 진정한 사이버 보안으로 향상시킨다.

당업자가 이해하는 바와 같이, 본 명세서에 개시된 실시 형태는 더 나은 이해를 위해 제공되며 단지 예시일 뿐이다. 청구범위에 의해 정의된 바와 같은 본 발명의 범위를 벗어나지 않으면서 당업자에게 다양한 수정 및 변경이 발생할 것이다.

Claims (26)

1. 패킷 네트워크에서 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법으로서,
   상기 패킷 네트워크는 패킷 처리를 수행하는 복수의 패킷 엔진들 (12, 22, 32; 61-64; 141, 142; 161, 162; 211-214) 을 포함하는 시간 결정적 패킷 네트워크이며,
   상기 방법은,
   복수의 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 에 의해, 적어도 하나의 사이버 보안 기능을 수행하는 단계로서, 상기 복수의 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 의 각각의 암호 엔진은 각각 상기 복수의 패킷 엔진들 (12, 22, 32; 61-64; 141, 142; 161, 162; 211-214) 의 개별 패킷 엔진과 연관되고 상기 개별 패킷 엔진과 별도로 제공되며, 상기 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 중 적어도 일부가 각각,
   상기 패킷 네트워크의 엔드포인트 노드와 연관되는 개별 패킷 엔진 (12, 22, 32; 61-64; 141, 142; 161, 162; 211-214) 과 상기 엔드포인트 노드의 네트워크 대면 포트 사이에서, 또는
   상기 엔드포인트 노드와 연관되는 상기 개별 패킷 엔진 (12, 22, 32; 61-64; 141, 142; 161, 162; 211-214) 과 상기 엔드포인트 노드에 접속된 제 1 트랜짓 노드 (55-58) 사이에서
   제공되는, 상기 적어도 하나의 사이버 보안 기능을 수행하는 단계; 및
   암호 엔진 및 키의 관리자 (CEKM) (44) 에 의해, 상기 복수의 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 을 중앙 제어하는 단계를 포함하는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
2. 제 1 항에 있어서,
   중앙 집중식 패킷 흐름 경로 관리자 (PFPM) (42) 에 의해, 상기 패킷 네트워크의 상기 엔드-투-엔드 데이터 경로들의 엔드포인트 노드들 (140; 53, 54) 및 중간 트랜짓 노드들 (160; 55-58) 을 설정하는 단계를 더 포함하는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
3. 제 2 항에 있어서,
   상기 PFPM (42) 은 상기 패킷 네트워크의 모든 엔드포인트 노드들 (140; 53, 54) 및 중간 트랜짓 노드들 (160; 55-58) 에 통신가능하게 접속되는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
4. 제 2 항에 있어서,
   상기 CEKM (44) 은 제 1 서버에서 실행되고, 상기 PFPM (42) 은 상기 제 1 서버와 상이한 제 2 서버에서 실행되는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
5. 제 2 항에 있어서,
   상기 CEKM (44) 에 의해 제공된 정보를 상기 PFPM (42) 으로 제한하는 단계를 더 포함하는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
6. 제 4 항에 있어서,
   상기 CEKM (44) 에 의해, 상기 복수의 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 의 하드웨어 정의된 식별자들을 발견하는 단계; 및
   상기 CEKM (44) 에 의해, 상기 하드웨어 정의된 식별자들을 상기 PFPM (42) 에 제공하는 단계를 더 포함하며,
   상기 CEKM (44) 은 오직 상기 하드웨어 정의된 식별자들 및 알람들만을 상기 PFPM (42) 에 제공하는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
7. 제 2 항 내지 제 6 항 중 어느 한 항에 있어서,
   상기 CEKM (44) 은 상기 복수의 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 을 구성하기 위해 상기 PFPM (42) 으로부터 엔드-투-엔드 데이터 경로의 데이터 흐름 토폴로지에 관한 정보를 수신하는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
8. 제 7 항에 있어서,
   상기 데이터 흐름 토폴로지에 관한 상기 정보는 터널 식별자, MPLS 라벨 및 방향을 포함하는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
9. 제 2 항 내지 제 6 항 중 어느 한 항에 있어서,
   상기 CEKM (44) 및 상기 PFPM (42) 은 보안 채널을 통해 통신하는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
10. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    상기 CEKM (44) 은 상기 복수의 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 의 각각에 통신가능하게 접속되고, 상기 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 을 구성하기 위해 및/또는 통지를 위해 보안 프로토콜을 통해 상기 복수의 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 의 각각과 통신하는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
11. 제 2 항에 있어서,
    상기 복수의 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 의 암호 엔진에 의해, 비트 윈도우를 사용하여 데이터 패킷으로부터 비트들을 선택하는 단계를 더 포함하고, 상기 비트 윈도우는 프로그램가능하며,
    프로그램가능한 상기 비트 윈도우에 따라 선택된 상기 비트들은 상기 암호 엔진에 의해 프로세싱될 데이터 패킷들을 식별하는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
12. 제 11 항에 있어서,
    상기 비트 윈도우는 엔드-투-엔드 데이터 경로의 진입 노드 및 진출 노드에서 상이하고, 상기 비트 윈도우를 구성하기 위해 상기 CEKM (44) 과 상기 PFPM (42) 사이에서 교환되는 정보가 사용되는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
13. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    패킷 엔진 (12, 22, 32; 61-64; 141, 142; 161, 162; 211-214) 에 의해, 트래픽 흐름에서 데이터 패킷들의 위치들이 암호 엔진을 통과할 시 변화되지 않고 유지되도록 하기 위해 상기 암호 엔진에 진입하는 상기 데이터 패킷들을 사전 성형하는 단계를 더 포함하며, 상기 데이터 패킷들은 상기 암호 엔진에 진입하는 상기 데이터 패킷들의 타임 스탬핑 정보가 상기 데이터 패킷들이 상기 암호 엔진을 떠날 때 여전히 유효하도록 사전 성형되는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
14. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    상기 복수의 패킷 엔진들 (12, 22, 32; 61-64; 141, 142; 161, 162; 211-214) 및 상기 복수의 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 은 공통의 글로벌 정보 아이덴티티를 사용하여 동일한 트래픽 흐름에 속하는 데이터 패킷들의 글로벌 식별을 보장하는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
15. 제 14 항에 있어서,
    상기 글로벌 정보 아이덴티티는 멀티프로토콜 라벨 스위칭 (MPLS) 터널을 표시하는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
16. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    데이터 패킷들은 연관된 패킷 엔진 (12, 22, 32; 61-64; 161, 162; 201, 204) 을 떠난 직후에 암호 엔진 (14, 24, 43; 71-74; 163-166; 221, 224) 에 의해 암호화되거나, 또는 상기 데이터 패킷들은 상기 연관된 패킷 엔진 (12, 22, 32; 61-64; 161, 162; 201, 204) 에 진입하기 직전에 상기 암호 엔진에 의해 복호화되는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
17. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    상기 복수의 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 은 메세지 인증을 수행하는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
18. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    암호 엔진 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 에 의해, 트래픽 전환을 트리거하기 위해 연관된 패킷 엔진의 인터페이스에 트래픽 손실 정보를 전파하는 단계를 더 포함하며,
    상기 트래픽 손실 정보를 전파하는 단계는 광역 네트워크 (WAN) 대면 라인 인터페이스에 의해 검출된 광학 데이터 접속의 실패에 의해 트리거되는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
19. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    데이터 패킷들의 추가 스트림을 전송하는 것을 포함하는, 데이터 흐름의 상태를 모니터링하는 단계를 더 포함하며,
    상기 데이터 패킷들의 추가 스트림은,
    상기 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 에 의해 암호화되는 엔드-투-엔드 모니터링 패킷들; 및/또는
    암호화되지 않고 남아있는 핑 및 추적 루트 메시지를 포함하는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
20. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    상기 패킷 엔진들 (12, 22, 32; 61-64; 141, 142; 161, 162; 211-214) 은 타임 스탬핑을 수행하고, 상기 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 는 시간 인식되지 않고 토폴로지 인식되지 않는, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
21. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    상기 패킷 네트워크는 고전압 라인들의 자동화를 위한 패킷 네트워크인, 엔드-투-엔드 데이터 경로들을 통한 보안 통신을 제공하는 방법.
22. 패킷 처리를 수행하는 패킷 엔진들 (12, 22, 32; 61-64; 141, 142; 161, 162; 211-214) 을 갖는 시간 결정적 패킷 네트워크에서 엔드-투-엔드 데이터 경로들을 통한 통신을 보안하기 위한 암호 엔진 및 키의 관리자 (CEKM) (44) 로서,
    상기 패킷 네트워크는 상기 패킷 네트워크의 트래픽 흐름 노드들을 구성하는 패킷 흐름 경로 관리자 (PFPM) 를 포함하고,
    상기 CEKM (44) 는,
    상기 PFPM (42) 으로부터 엔드-투-엔드 데이터 경로의 데이터 흐름 토폴로지에 관한 정보를 수신하도록 동작하는 제 1 인터페이스;
    개별 패킷 엔진과 각각 연관되고 별도로 제공되는 복수의 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 에 구성 정보를 제공하도록 동작하는 제 2 인터페이스로서, 상기 복수의 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 은 적어도 하나의 사이버 보안 기능을 수행하도록 구성되는, 상기 제 2 인터페이스; 및
    상기 데이터 흐름 토폴로지에 기초하여 상기 구성 정보를 생성하도록 동작하는 적어도 하나의 프로세서를 포함하는, 암호 엔진 및 키의 관리자.
23. 제 22 항에 있어서,
    상기 CEKM (44) 은 상기 복수의 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 의 하드웨어 정의된 식별자들을 발견하고, 오직 상기 하드웨어 정의된 식별자들 및 알람들만을 상기 PFPM (42) 에 제공하도록 동작하는, 암호 엔진 및 키의 관리자.
24. 암호 엔진으로서,
    시간 결정적 패킷 네트워크에 대한 패킷 처리를 수행하는 패킷 엔진 (12, 22, 32; 61-64; 141, 142; 161, 162; 211-214) 에 직접 접속되도록 동작하는 제 1 인터페이스;
    엔드포인트 노드의 네트워크 대면 포트 또는 상기 엔드포인트 노드에 접속된 제 1 트랜짓 노드에 접속되도록 동작하는 제 2 인터페이스; 및
    암호 엔진 및 키의 관리자 (CEKM) (44) 로부터 구성 정보를 수신하도록 동작하는 제 3 인터페이스를 포함하며,
    상기 암호 엔진 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 은 상기 CEKM (44) 으로부터 수신된 상기 구성 정보에 기초하여 상기 암호 엔진 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 을 통한 트래픽 흐름의 데이터 패킷들에 사이버 보안 기능을 수행하도록 동작하는, 암호 엔진.
25. 제 24 항에 있어서,
    상기 암호 엔진 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 은 상기 보안 기능이 수행되는 엔드-투-엔드 경로의 토폴로지에 관한 정보를 갖지 않고 상기 데이터 패킷들의 타임 스탬핑 정보를 사용하지 않고 상기 보안 기능을 수행하도록 동작하는, 암호 엔진.
26. 네트워크로서,
    시간 결정적 패킷 네트워크에서 패킷 처리를 수행하도록 동작하는 복수의 패킷 엔진들 (12, 22, 32; 61-64; 141, 142; 161, 162; 211-214);
    상기 패킷 네트워크의 트래픽 흐름 노드들에 구성 정보를 제공하도록 동작하는 패킷 흐름 경로 관리자 (PFPM) (42);
    각각 연관된 패킷 엔진 (12, 22, 32; 61-64; 141, 142; 161, 162; 211-214) 으로부터 트래픽 흐름의 데이터 패킷들을 수신하거나 또는 상기 연관된 패킷 엔진 (12, 22, 32; 61-64; 141, 142; 161, 162; 211-214) 에 상기 트래픽 흐름의 데이터 패킷들을 제공하도록 동작하는, 제 24 항 또는 제 25 항에 기재된 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224); 및
    상기 PFPM (42) 및 상기 복수의 암호 엔진들 (14, 24, 43; 71-74; 143-146; 163-166; 221-224) 에 커플링된, 제 22 항 또는 제 23 항에 기재된 암호 엔진 및 키의 관리자 (CEKM) (44) 를 포함하는, 네트워크.

Images