KR19990079826A - 이더넷 랜 시스템 - Google Patents

이더넷 랜 시스템 Download PDF

Info

Publication number
KR19990079826A
KR19990079826A KR1019980012634A KR19980012634A KR19990079826A KR 19990079826 A KR19990079826 A KR 19990079826A KR 1019980012634 A KR1019980012634 A KR 1019980012634A KR 19980012634 A KR19980012634 A KR 19980012634A KR 19990079826 A KR19990079826 A KR 19990079826A
Authority
KR
South Korea
Prior art keywords
data frame
data
address
client
lan system
Prior art date
Application number
KR1019980012634A
Other languages
English (en)
Other versions
KR100261155B1 (ko
Inventor
양석태
Original Assignee
김영환
현대반도체 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김영환, 현대반도체 주식회사 filed Critical 김영환
Priority to KR1019980012634A priority Critical patent/KR100261155B1/ko
Publication of KR19990079826A publication Critical patent/KR19990079826A/ko
Application granted granted Critical
Publication of KR100261155B1 publication Critical patent/KR100261155B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/351Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)

Abstract

본 발명은 이더넷 랜 시스템에 관한 것으로, 특히 보안성이 향상된 이더넷 랜 시스템에 관한 것이다. 본 발명의 이더넷 랜 시스템은 데이터 프레임을 전송받을 목적 클라이언트의 어드레스를 키(key)로 하여 데이터 프레임을 암호화하는 단계, 암호화된 데이터 프레임을 출력하는 단계, 데이터 프레임을 처리할 노드 클라이언트의 어드레스를 키로 하여 외부에서 암호화된 데이터 프레임을 복호하는 단계, 복호된 데이터 프레임을 입력받는 단계를 포함하여 구성되어 있다.

Description

이더넷 랜 시스템
본 발명은 이더넷 랜(LAN)에 관한 것으로, 특히 보안이 요구되는 이더넷 랜 시스템에 관한 것이다.
랜(LAN : Local Area Network)은 근거리 통신망으로서 학교와 회사 등에 내부 데이터 통신이 가능한 통신망이다. 특히 이더넷은 미국의 DEC, 인텔(Intel), 제록스(Xerox)가 공동으로 개발한 랜으로서, IEEE 표준을 구현한 CSMA/CD 방식의 통신망이다.
CSMA/CD(Carrier Sense Multiple Access / Collision Detection)는 복수개의 콘트롤러에서 송출된 신호가 중복됨으로 말미암아 발생되는 패킷간의 충돌을 감소시키기 위한 통신방식이다. CSMA/CD 방식은 먼저 패킷을 송출하기 전에 송출하려는 채널의 사용여부를 조사하여 채널이 미사용될 때까지 송출을 지연시킨다.
이러한 CSMA/CD 방식의 특징은 각 채널로 송출된 패킷을 모든 클라이언트에서 수신받을 수 있는 것이다. 그리고, CSMA/CD 방식은 각 클라이언트가 독립적으로 데이터를 억세스할 수 있는 특징이 있다. 게다가 모든 클라이언트가 대등하게 데이터를 억세스 할 수 있다.
종래의 이더넷 통신망에서 프레임(frame)(11)의 구성은 도 1에 도시된 것과 같이 7바이트의 전제부(preamble)와, 1바이트의 SFD(Start Frame Delimiter)와, 6바이트의 DA(Destination Address)와 SA(Start Address), 2바이트의 길이(length)정보, 또, 1500 바이트 이내의 데이터(data), PAD, 그리고 4바이트의 CRC로 이루어진다.
전제부는 7바이트의 크기를 가지도록 구성되어 있고, SFD는 1바이트로 구성되어 있으며, SFD의 비트값은 10101011 이다. 그리고, DA는 프레임을 전송받는 위치의 어드레스를 나타내고, SA는 프레임을 전송하는 위치의 어드레스를 나타낸다. 이 DA와 SA는 고유한 것으로서, IEEE 의 표준에 의해 지정되는 3바이트와 제조사에 의해 설정되는 3바이트로 구성된다.
길이(length)정보는 2바이트의 크기를 가지고 있고 전송되는 데이터의 총 길이(total length)를 나타낸다. 데이터는 그 길이가 0 내지 1500 바이트로서 탄력적인 크기를 갖으며, 그 정확한 길이는 2바이트의 길이정보에 나타내어진다. 그리고, PAD는 데이터가 46 바이트 이내의 크기를 가질 때, 0 으로 표시된다. 또 CRC는 전제부와 SFD 및 CRC 자체를 제외한 나머지 바이트에 대한 순회여분검사로서, 순회적인 알고리즘에 의해 오류발생여부를 검사하는 것이다.
종래의 이더넷 랜 시스템의 동작원리는 도 2에 도시된 것과 같다. 먼저 이더넷 표준에 맞는 미디어(media)(23, 26)를 통해 수신된 프레임을 PHY 레이어(22, 25)에서 상위 MAC 레이어(21, 24)로 전달한다. 10 메가비피에스(이하 Mbps) 이더넷의 경우 10Base7, 10Base5(Thick), 10Base2(Thin) 등의 PHY 레이어(22)가 있고, 100 Mbps 이더넷의 경우 100Base-Tx, 100Base-T4, 100Base-Fx 등의 PHY 레이어(25)가 있다.
10 Mbps 이더넷의 경우, PHY 레이어에서 MAC 레이어로 데이터가 전송되는 경로는 AUI(Attachment Unit Interface)이고, 100 Mbps 이더넷의 경우, PHY 레이어에서 MAC 레이어로 데이터가 전송되는 경로는 MII(Media Independent Interface)이다.
종래의 이더넷 랜 시스템은 도 1에 도시된 것과 같은 데이터 프레임이 MAC 레이어에서 형성된다.
그런데, 종래의 이더넷 랜 시스템은 미디어에 흐르는 데이터 프레임이 비정상적인 방법으로 적당한 프로그램 혹은 랜 분석기(LAN Analyzer)에 의해 유출될 우려가 있어 보안성이 약하다. 그 이유는 데이터 프레임이 이더넷 표준에 맞게 구성되어 있기 때문이다. 따라서, 누구든지 이더넷 표준의 데이터 프레임을 분석할 수 있는 프로그램만 있으면, 중간에서 얼마든지 종래의 이더넷 랜 시스템에 의해 전송되는 데이터 프레임을 해킹(hacking)할 수 있는 것이다. 즉, 종래의 이더넷 랜 시스템은 해커(hacker), 흑은 산업스파이의 데이터 프레임 유출가능성에 의한 보안이 불완전하다는 문제점이 있다.
본 발명은 이러한 문제점을 해결하기 위한 것으로, 이더넷 랜 시스템에서 데이터 프레임에 대한 보안성을 높이는 데에 그 목적이 있다.
도 1은 일반적인 이더넷 랜 시스템에서 사용되는 데이터 프레임의 구조를 개략적으로 도시한 도면.
도 2는 일반적인 이더넷 랜 시스템에서 사용되는 MAC 레이어와 PHY 레이어를 도시한 블록도.
도 3a는 본 발명에 의한 이더넷 랜 시스템의 송신블록을 도시한 블록도.
도 3b는 본 발명에 의한 이더넷 랜 시스템의 수신블록을 도시한 블록도.
도 4는 본 발명에 의한 이더넷 랜 시스템의 구조를 도시한 블록도.
도면의 주요부분에 대한 부호의 설명
100 : 입출력부 110 : 데이터 암호부
110' : 암호화된 데이터 프레임 110'' : 암호화되지 않은 데이터 프레임
120 : 멀티플렉서부 130 : 데이터 선택부
120' : 소스어드레스의 첫번째 비트가 1 로 된 데이터 프레임
130' : 암호화된 데이터 프레임 130'' : 암호화되지 않은 데이터 프레임
140 : 데이터 복호부 140' : 복호화된 원래의 데이터 프레임
200 : 데이터 처리부
본 발명은 데이터 프레임을 전송받을 클라이언트의 어드레스를 암호키(key)로 하여 데이터 프레임을 암호화하고, 데이터 프레임을 처리할 클라이언트가 자신의 어드레스를 복호키(key)로 하여 암호화된 데이터 프레임을 복호하는 것이 특징이다.
본 발명의 이더넷 랜 시스템은 데이터 프레임을 전송받을 목적 클라이언트의 어드레스를 키(key)로 하여 상기 데이터 프레임을 암호화하는 단계와, 암호화된 데이터 프레임을 출력하는 단계와, 데이터 프레임을 처리할 노드 클라이언트의 어드레스를 키로 하여 외부에서 암호화된 데이터 프레임을 복호하는 단계와, 복호된 데이터 프레임을 입력받는 단계를 포함하도록 구성된다.
그러면, 본 발명의 구성에 대하여 첨부된 도 3, 도 4를 참조하여 설명하도록 한다. 도 3a는 본 발명에 의한 이더넷 랜 시스템의 송신블록을 도시한 것이고, 도 3b는 본 발명에 의한 이더넷 랜 시스템의 수신블록을 도시한 것이다. 본 발명의 송신블록은 데이터 암호부(110)와, 멀티플렉서부(120)로 구성되어 있고, 본 발명의 수신블록은 데이터 선택부(130)와, 데이터 복호부(140)로 구성되어 있다.
본 발명에 의한 이더넷 랜 시스템의 송신블록은 다음과 같이 동작한다. 먼저, 이더넷 시스템에서 송신될 데이터의 보안 필요도에 따라 데이터 프레임의 암호화 여부를 결정한다. 그래서, 데이터 프레임에 암호화를 실시하지 않기로 결정되면 본래의 데이터 프레임(110'')이 멀티플렉서(110)를 통해 출력되고, 데이터 프레임에 암호화를 실시하기로 결정되면 본래의 데이터 프레임을 데이터 암호부에 의해 암호화한다.
데이터 암호부(110)는 데이터 프레임이 송신될 목적 클라이언트의 어드레스를 암호키로 하여 데이터 프레임을 암호화한다. 즉, 암호화된 데이터 프레임(110')은 암호키로 사용된 어드레스와 동일한 어드레스를 가진 클라이언트에서만 복호화 되는 것이다. 데이터 암호부의 암호 로직은 기존에 발표된 암호화 프로그램을 채용하여 사용해도 된다. 그리고, 암호화 인에이블 블록(Enable block)(150)은 암호화된 데이터 프레임에서 소스 어드레스의 첫번째 비트를 '1'로 대치한다. 그러면, 소스 어드레스의 첫번째 비트가 '1'로 대치된 데이터 프레임(120')이 멀티플렉서(120)를 통해 출력된다.
본 발명의 송신블록에서 출력된 데이터 프레임(160)은 MAC 레이어에서 이더넷 프레임으로 구성된다. MAC 레이어는 종래의 이더넷 랜 시스템에 구성된 것과 동일하다.
본 발명에 의한 이더넷 랜 시스템의 수신블록은 다음과 같이 동작한다. 먼저, 데이터 선택부(130)는 통신망에 의해 수신된 이더넷 프레임의 소스 어드레스의 첫번째 비트값을 검사한다. 만약, 소스 어드레스의 첫번째 비트값이 '0'이면 암호화가 안된 데이터 프레임(130'')이므로, 그 데이터 프레임은 데이터 입력부에 직접 입력된다. 그리고, 소스 어드레스의 첫번째 비트값이 '1'이면 암호화된 데이터 프레임(130')이므로, 그 암호화된 데이터 프레임은 데이터 복호부에 의해 원래의 데이터(140')로 복호된다. 이 때, 데이터 복호부(140)는 수신받은 노드 클라이언트의 어드레스를 복호화 키(key)로 하여 데이터 프레임을 복호한다. 만약, 이 데이터 프레임을 수신받은 노드 클라이언트의 어드레스와 데이터 프레임의 암호키인 목적 클라이언트의 어드레스가 다르면, 데이터 프레임은 올바르게 복호되지 않는다. 이 암호화된 데이터 프레임이 올바르게 복호되려면, 노드 클라이언트의 어드레스와 데이터 프레임의 암호키인 목적 클라이언트의 어드레스가 동일해야 한다. 즉, 송신측에서 설정한 수신측 외의 어드레스를 가진 클라이언트는 데이터 프레임을 복호화 할 수 없다는 것이다.
이더넷 랜 시스템에서 각 클라이언트의 어드레스는 고유한 값을 가지고 있다. 따라서, 이 고유한 어드레스를 복호화 키로 하여 데이터 프레임을 암호화하면, 그 고유한 어드레스를 가진 클라이언트만 데이터 프레임을 복호화 할 수 있다.
도 4는 본 발명의 송신블록과 수신블록이 포함된 이더넷 랜 시스템의 각 클라이언트의 구조를 간략히 도시한 블록도이다. 본 발명의 이더넷 랜 시스템은 데이터 프레임을 입출력하는 입출력부(100)와, 입출력부를 통해 입력된 데이터 프레임의 암호화 여부를 판단하는 데이터 선택부(130), 암호화된 데이터 프레임을 고유의 노드 어드레스를 복호화 키로 하여 원래의 데이터로 복호하는 데이터 복호부(140), 원래의 데이터를 처리하는 데이터 처리부(200)와, 외부의 클라이언트로 송신하고자 하는 데이터 프레임을 그 클라이언트의 어드레스를 암호화 키로 하여 암호화하는 데이터 암호부(110), 그리고 암호화된 데이터 프레임 또는, 원래의 데이터를 선택하여 출력하는 멀티플렉서부(120)가 포함되어 있다.
본 발명의 이더넷 랜 시스템의 입출력부(100)는 데이터 프레임을 입력 또는, 출력시킬 수 있다. 그리고, 데이터 선택부(130)는 입출력부(100)를 통해 외부에서 입력된 데이터 프레임의 암호화 여부를 판단한다. 그 기준은 데이터 프레임의 소스 어드레스의 첫번째 비트값을 검사한다. 소스 어드레스의 첫번째 비트값이 '0'이면, 암호화되지 않은 데이터 프레임이고, 첫번째 비트값이 '1'이면, 암호화된 데이터 프레임이다.
데이터 복호부(140)는 암호화된 데이터 프레임을 고유의 노드 어드레스를 복호화 키로 하여 원래의 데이터로 복호한다. 이 때, 노드 어드레스는 데이터 프레임을 입력받은 클라이언트 자신의 어드레스이다. 데이터 처리부(200)는 데이터 복호부(140)에서 복호된 원래의 데이터 또는, 암호화되지 않은 데이터를 선택적으로 입력받아 처리한다. 데이터 처리부(200)는 또, 특정 어드레스로 송신하고자 하는 데이터를 데이터 암호부(110)에 인가한다.
데이터 암호부(110)는 데이터 처리부(200)로부터 데이터 프레임을 인가받아 수신받을 클라이언트의 어드레스를 암호화 키로 하여 그 데이터 프레임을 암호화한다. 그리고, 암호화된 데이터 프레임의 소스 어드레스의 첫번째 비트값을 '1'로 대치한다. 멀티플렉서부(120)는 데이터 암호부(110)에서 소스 어드레스의 첫번째 비트값이 '1'로 대치된 데이터 프레임과 암호화되지 않은 데이터 프레임을 선택하여 출력한다.
상술한 입출력부(100)와 데이터 선택부(130)와 데이터 복호부(140), 그리고 데이터 처리부(200)가 본 발명의 이더넷 랜 시스템의 수신블록이고, 입출력부(100)와 멀티플렉서부(120)와 데이터 암호부(110), 그리고 데이터 처리부(200)가 본 발명의 이더넷 랜 시스템의 송신블록이다.
본 발명은 종래의 이더넷 랜 시스템에서 사용된 데이터 프레임의 형태를 유지하면서 데이터를 암호화할 수 있으므로, 별도의 비용없이 종래의 시스템보다 보안성을 높일 수 있다. 그리고, 이더넷 랜 시스템에서 클라이언트마다 고유한 값을 가지고 있는 노드 어드레스를 암호화 키로 사용함으로써, 종래의 시스템에 비해 데이터의 보안성이 높아지는 효과가 있다. 게다가 본 발명은 종래의 MAC 레이어에 암호화블록과 복호화블록만 추가하면 기존의 이더넷 랜 시스템의 변형없이 새로운 암호화 기능을 사용할 수 있으므로, 상품적 가치가 높아진다.

Claims (6)

  1. 이더넷 랜 시스템에서,
    데이터 프레임을 전송받을 목적 클라이언트의 어드레스를 키(key)로 하여 상기 데이터 프레임을 암호화하는 단계;
    상기 암호화된 데이터 프레임을 출력하는 단계;
    상기 데이터 프레임을 처리할 노드 클라이언트의 어드레스를 키로 하여 외부에서 암호화된 데이터 프레임을 복호하는 단계;
    상기 복호된 데이터 프레임을 입력받는 단계를 포함하는 이더넷 랜 시스템의 데이터 입출력 방법.
  2. 제 1 항에 있어서, 상기 데이터 프레임을 암호화하는 단계는 상기 데이터 프레임과 상기 목적 클라이언트의 어드레스를 입력받는 단계;
    상기 목적 클라이언트의 어드레스를 키(key)로 하여 상기 데이터 프레임을 암호화하는 단계;
    상기 단계에서 암호화된 데이터 프레임에 포함된 소스 어드레스의 첫번째 비트를 1 로 대치하는 단계;
    상기 소스 어드레스의 첫번째 비트가 1로 대치된 데이터 프레임과 원래의 데이터 프레임의 출력여부를 선택하는 단계로 구성된 것을 특징으로 하는 이더넷 랜 시스템의 데이터 입출력 방법.
  3. 제 1 항에 있어서, 상기 암호화된 데이터 프레임을 복호하는 단계는 외부에서 데이터 프레임을 입력받는 단계;
    상기 데이터 프레임의 소스 어드레스의 첫번째 비트가 1 인지의 여부를 판단하는 단계; 그리고,
    상기 소스 어드레스의 첫번째 비트가 1 이면 상기 노드 클라이언트의 어드레스(Node Address)를 키(key)로 하여 상기 데이터 프레임을 복호하는 단계로 구성된 것을 특징으로 하는 이더넷 랜 시스템의 데이터 입출력 방법.
  4. 데이터 프레임을 입출력하는 입출력부;
    상기 입출력부를 통해 입력된 데이터 프레임의 암호화 여부를 판단하는 데이터 선택부;
    상기 데이터 선택부에서 선택된 암호화 데이터 프레임을 고유의 노드 어드레스를 복호키(key)로 하여 복호하는 데이터 복호부;
    상기 데이터 복호부에서 복호된 데이터 프레임 또는, 상기 데이터 선택부에서 선택된 비암호화 데이터 프레임의 출력을 선택하여 처리하는 데이터 처리부;
    상기 데이터 처리부에서 처리된 데이터 프레임을 소정의 목적 어드레스를 암호키(key)로 하여 암호화하는 데이터 암호부; 그리고,
    상기 데이터 암호부에서 암호화된 데이터 프레임 또는, 상기 데이터 처리부에서 출력된 비암호화 데이터 프레임을 선택하여 출력하는 멀티플렉스부를 포함하여 구성된 이더넷 랜 시스템.
  5. 제 4 항에 있어서, 상기 노드 어드레스는 클라이언트 고유의 주소값인 것을 특징으로 하는 이더넷 랜 시스템.
  6. 제 4 항에 있어서, 상기 목적 어드레스는 상기 데이터 프레임을 전송받을 클라이언트 고유의 주소값인 것을 특징으로 하는 이더넷 랜 시스템.
KR1019980012634A 1998-04-09 1998-04-09 이더넷 랜 시스템 KR100261155B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1019980012634A KR100261155B1 (ko) 1998-04-09 1998-04-09 이더넷 랜 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1019980012634A KR100261155B1 (ko) 1998-04-09 1998-04-09 이더넷 랜 시스템

Publications (2)

Publication Number Publication Date
KR19990079826A true KR19990079826A (ko) 1999-11-05
KR100261155B1 KR100261155B1 (ko) 2000-07-01

Family

ID=19536035

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1019980012634A KR100261155B1 (ko) 1998-04-09 1998-04-09 이더넷 랜 시스템

Country Status (1)

Country Link
KR (1) KR100261155B1 (ko)

Also Published As

Publication number Publication date
KR100261155B1 (ko) 2000-07-01

Similar Documents

Publication Publication Date Title
US8983061B2 (en) Method and apparatus for cryptographically processing data
US5161193A (en) Pipelined cryptography processor and method for its use in communication networks
US5235644A (en) Probabilistic cryptographic processing method
US5594869A (en) Method and apparatus for end-to-end encryption of a data packet in a computer network
US5442708A (en) Computer network encryption/decryption device
US5086469A (en) Encryption with selective disclosure of protocol identifiers
US5444782A (en) Computer network encryption/decryption device
US5070528A (en) Generic encryption technique for communication networks
US8775790B2 (en) System and method for providing secure network communications
US8112622B2 (en) Chaining port scheme for network security
US5099517A (en) Frame status encoding for communication networks
US20060078108A1 (en) Hardware-based encryption/decryption employing dual ported memory and fast table initialization
US20050071628A1 (en) Method and apparatus of communicating security/encryption information to a physical layer transceiver
US7039190B1 (en) Wireless LAN WEP initialization vector partitioning scheme
KR20050017350A (ko) 입력 장치가 없는 시스템에서의 암호키 생성 방법 및 이에적합한 장치
Chavez et al. Achieving confidentiality security service for can
US20020116606A1 (en) Encryption and decryption system for multiple node network
JP2693881B2 (ja) 通信ネットワークで使用される暗号処理装置及び方法
KR100261155B1 (ko) 이더넷 랜 시스템
JP2007500481A (ja) Desアルゴリズムに基づく暗号化方法。
WO2023228623A1 (ja) 暗号化システムおよび暗号化方法
KR100438180B1 (ko) 선택적인 암호화기능을 갖는 tcp/ip기반 네트워크용고속 암/복호화 장치 및 방법
Chandramathi et al. Fuzzy based dynamic WEP keymanagement for WLAN security enhancement
Chávez et al. Security services in fieldbuses: at what cost?
JP2003143127A (ja) セキュリティ保持方法及びその実施システム並びにその処理プロセス

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20050322

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee