KR20060067099A - 링크 암호화 공격을 차단하는 장치 및 그 방법 - Google Patents

링크 암호화 공격을 차단하는 장치 및 그 방법 Download PDF

Info

Publication number
KR20060067099A
KR20060067099A KR1020050037845A KR20050037845A KR20060067099A KR 20060067099 A KR20060067099 A KR 20060067099A KR 1020050037845 A KR1020050037845 A KR 1020050037845A KR 20050037845 A KR20050037845 A KR 20050037845A KR 20060067099 A KR20060067099 A KR 20060067099A
Authority
KR
South Korea
Prior art keywords
frame
security
attack
channel
value
Prior art date
Application number
KR1020050037845A
Other languages
English (en)
Other versions
KR100617321B1 (ko
Inventor
김광옥
한경수
유태환
권율
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20060067099A publication Critical patent/KR20060067099A/ko
Application granted granted Critical
Publication of KR100617321B1 publication Critical patent/KR100617321B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Abstract

본 발명은 링크 암호화를 제공하는 EPON (Ethernet Passive Optical Network)망에서 제 3자에 의해 가해지는 서비스 거부 공격과 재 전송 서비스 공격을 차단하는 장치 및 그 방법에 관한 것이다. 서비스 거부 공격 처리부는 입력 프레임이 브로드캐스트 보안채널로부터 전송된 프레임인지 유니캐스트 보안채널로부터 전송된 프레임인지 구분하고, 프레임의 종류가 암호화 프레임인지 평문 프레임인지 분류한다.
그리고 각 보안 채널에 설정된 프레임별 암호화 적용여부를 정의한 암호화 모드 파라미터 및 암호화 모드 정의에 위배된 입력 프레임들의 DoS공격 적용여부를 결정하는 DoS공격 프레임 적용 모드에 따라 서비스 거부 공격 프레임을 축출하고 처리한다. 재 전송 공격 차단부는 암호화된 프레임 내에 포함된 패킷 번호 (Packet Number)와 논리적인 보안 채널 식별자 AN (Association Number)값을 기반으로 동일한 AN값을 가진 프레임들에서 패킷 번호가 계속 증가하지 않고, 동일하거나 이전의 값이 다시 입력된 프레임에 대해 재 전송 공격으로 축출하고 처리한다.
DoS 공격 차단, 재전송 공격 차단

Description

링크 암호화 공격을 차단하는 장치 및 그 방법{Method and Apparatus for Protection to Link Security Attack}
도 1 은 현재 IEEE802.1AE 작업그룹에서 표준화중인 SecY수신부 모듈 구조도이다.
도 2 는 도 1 에 도시된 MACSecY 수신부로 입력되는 암호화된 프레임 구조를 도시한다.
도 3 은 도 1 에 도시된 MACsecY수신부로 입출력 되는 암호화 되지 않은 평문 프레임 종류별 구조도이다.
도 4 는 서비스 거부 공격과 Replay공격을 차단하는 기능이 부가된 SecY수신부 모듈 구조도이다.
도 5 는 서비스 거부 공격 차단부의 내부 하드웨어 구성도이다.
도 6 은 프레임의 종류와 이더넷 타입값에 대하여 도시한다.
도 7 은 서비스 거부 공격 차단부에서 처리과정을 도시한 흐름도이다.
도 8 은 브로드캐스트 보안 채널에서 사용자 설정 암호화 모드 파라미터 및 DoS 공격 적용 파라미터를 통한 DoS공격 차단 처리의 일 실시예를 도시한다.
도 9 는 재전송 공격 차단부의 내부 하드웨어 구성도이다.
도 10 은 재전송 공격 차단 과정을 도시한 흐름도이다.
본 발명은 서비스 거부(DoS)공격과 재 전송(Replay)공격을 필터링하여 이더넷 보안 서비스와 성능을 보장하는 차단 장치에 관한 것이다. 보다 상세히, 본 발명은 EPON ONU단말에서 MAC Security 서비스를 제공하는데 제 3자에 의해 가해지는 링크 암호화 공격, 즉 서비스 거부(DoS)공격과 재 전송(Replay)공격을 필터링하여 이더넷 보안 서비스와 성능을 보장하기 위한 장치 및 방법에 관한 것이다.
EPON망의 토폴로지상 하향 트래픽은 다른 ONU에 의한 도청의 위험이 존재하고, 상향 트래픽은 인증 받지 않은 ONU의 자원 접근이나 다른 ONU에 의한 변장의 위험이 존재한다.
가입자에겐 정보의 기밀성을 제공하고, 서비스 사업자에겐 콘텐츠(Contents)의 보호 및 가입자 접속에 따른 과금을 제공할 수 있어야 하므로, 가입자망인 EPON에서의 보안 문제는 가입자 트래픽의 무결성 제공, 비 인증 장치 및 가입자의 접속 차단을 목적으로 한다.
일반적으로 인터넷상에서 가장 널리 알려진 해킹 중의 하나가 DoS공격과 Replay 공격이며, TCP/IP구현상의 버그나 취약점을 악용하여 과도한 트래픽을 발생시킴으로서 인터넷에 연결된 단말기들을 공격한다.
DoS (denial of service, 서비스 거부)공격은 사용자나 기관이 인터넷상에서 평소 잘 이용하던 자원에 대한 서비스를 더 이상 받지 못하게 되는 상황을 가리킨 다.
서비스 상실은 일반적으로 전자우편과 같이 특정 네트워크 서비스가 동작하지 않거나, 네트워크 접속 및 서비스 등이 일시적으로 제 기능을 발휘하지 못하게 되는 것을 가리키며, 최악의 경우 수백만 명이 접속하는 웹 사이트가 이따금씩 동작이 멈추는 경우도 생겨날 수 있다. DoS 공격은 컴퓨터 시스템 내의 프로그램이나 파일을 못 쓰게 만들 수도 있다.
DoS 공격은 컴퓨터 시스템 보안을 침해하는 한 형태로서, 정보를 몰래 빼내가거나 그 외의 다른 보안 상실을 유발하지는 않지만 표적이 된 개인이나 기업에 시간과 비용 측면에서 커다란 희생을 요구한다. 이러한 인터넷상에서 가해지는 DoS공격에는 Brute-force공격, trinoo공격, SYN Flooding공격, Teardrop공격, LAND공격 등이 있다.
또 다른 해킹의 종류로서 Replay 공격은 이전에 전송된 메시지를 다시 사용하는 위장방법의 공격이다.
보통 해킹은 시스템에 대한 전문적인 지식을 가진 사람이 여러 툴과 취약점을 이용하여 공격하는 반면, DoS공격이나 Replay공격은 전문적인 지식이 없어도 인터넷에 돌아다니는 DoS공격 프로그램을 이용하면 누구나 쉽게 인터넷상의 네트워크 장비나 시스템을 공격할 수 있다.
DoS공격이나 Replay공격의 목적은 정보를 훔치는 것이 아니라 장비나 네트워크를 무력화 시켜서 사용자가 더 이상 네트워크 자원을 접근할 수 없게 만든다.
이러한 DoS 공격을 차단하는 종래기술로서는 한국특허공개공보 제2003- 0009887호에서는 가입자 접속 단에서 목적지 주소를 분석하고 목적지 주소 및 패킷의 종류별 트래픽 볼륨을 측정하여, 측정 트래픽 볼륨과 기준치를 비교하여 패킷을 전송하거나 폐기함으로써, DoS공격을 차단하는 방법을 제시하고 있다.
또한 최근 LAN의 확장성과 광대역화 그리고 이더넷 스위칭 기술이 고속화되면서 이더넷 장비들을 이용한 네트워크 전송서비스가 이루어진다. 이를 위해 IEEE802.1AE 작업그룹은 EPON을 포함한 LAN/MAN에서 MAC 이더넷 서비스에 대한 보안 기능을 제공하기 위해 MAC Security(MACSecY)모듈에 대한 표준화를 수행중이다.
그러나 현재 표준화중인 MACSecY모듈도 마찬가지로 DoS공격이나 Replay공격에 대해 취약점을 가지고 있다.
종래의 MACSecY모듈의 Uncontrolled Port는 DoS공격에 취약하고, Controlled Port는 Replay공격에 취약하다. 특히, 외부 해커로부터 많은 양의 이더넷 프레임이 계속적으로 Uncontrolled Port에 입력될 경우, 입력된 이더넷 프레임이 그대로 상위 프로세서들로 전송되어 자원들을 점유하게 됨으로서 종래의 MACSecY모듈을 사용하는 이더넷 장비들은 이런 DoS공격에 시스템이 정지해 버린다.
따라서 종래의 MACSecY모듈을 사용하는 이더넷 시스템들은 해커로부터 가해지는 DoS공격이나 Replay공격을 체크하고 차단할 수 있는 방법 및 하드웨어 장치가 요구된다.
본 발명이 이루고자 하는 기술적 과제는, 1Gbps EPON ONU단말에서 보안 기능을 제공하는 MAC Security모듈이 서비스 거부 공격(DoS 공격)에 대해 사용자 설정 에 따라 정의된 모드에 기초하여 프레임 단위로 필터링하고 차단하며, Replay공격에 대해 보안 연계(Security Association, SA)별로 필터링하고 차단하여 MAC서비스 및 MAC Security서비스를 제공하는 것이다.
상기 기술적 과제를 달성하기 위하여, 본 발명의 일 실시예에 따른 서비스 거부 공격 처리 장치는 프레임의 보안태그 필드 내의 이더넷 타입 값을 기초로 프레임의 종류가 암호화 프레임인지 평문 프레임인지 파악하는 프레임 분류부; 보안태그 필드 내의 SCB 플래그 값을 기초로 암호화 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하고 프레임의 논리적 링크 식별자(LLID) 필드 값을 기초로 평문 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하는 보안채널 분류부; 그리고, 보안채널 별로 프레임 종류별 보안기능 적용여부를 정의한 암호화 모드 파라미터 및 상기 프레임 종류별로 정의한 DoS 공격 적용 모드 파라미터를 기초로 상기 프레임에 대한 서비스 거부 공격을 처리하는 DoS 공격 차단부;를 포함한다.
상기 기술적 과제를 달성하기 위한 본 발명의 또 다른 일실시예에 따른 재 전송 공격 차단 장치는 프레임의 보안태그 필드 내의 SCB 플래그 값을 기초로 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악하는 보안채널 분류부; 보안채널별로 상기 프레임의 보안태그 필드 내의 AN Flag 값을 기초로 보안연계를 파악하고 상기 보안연계의 동일성을 판단하는 보안연계 비교부; 그리고 보안연계가 동일 상태를 나타내는 경우 상기 프레임이 재 전송 공격 프레임인지 여 부를 판단하고, 그렇지 않은 경우 상기 프레임을 바이패스 하는 Replay 공격 차단부;를 포함한다.
상기 기술적 과제를 달성하기 위한 본 발명의 또 다른 일실시예에 따른 MACSecY 수신부 장치는 프레임의 보안태크 필드 내의 이더넷 타입 값을 기초로 상기 프레임의 종류가 암호화 프레임인지 평문 프레임인지 파악하고 상기 프레임을 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악하여 프레임 종류별, 보안채널 별로 보안기능 적용여부를 정의한 암호화 모드 파라미터 및 상기 암호화 모드 파라미터 별로 정의한 DoS 공격 프레임 적용 모드 파라미터를 기초로 상기 프레임에 대한 서비스 거부 공격을 처리하는 서비스 거부 공격 처리부; 및 프레임을 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 분류하고 상기 암호화된 프레임 내의 AN Flag 필드 값에 기초하여 해당 보안채널에서 상기 프레임을 보안 연계별로 구분하고 보안 연계의 동일성을 판단하여 프레임의 재전송 공격 여부를 판단하는 재 전송 공격 차단부;를 포함한다.
이하에서, 도면을 참조하여 본 발명의 실시예에 대하여 상세히 설명하기로 한다.
도 1 은 현재 IEEE802.1AE 작업그룹에서 표준화중인 MACSecY수신부 모듈 구조도이다.
EPON은 점 대 다중점 망구조이기 때문에, 동일한 망 내에 위치한 특정 ONU는 간단한 조작으로 다른 ONU들의 정보를 항상 도청할 수 있다. 또한, EPON망의 운영을 위해 사용되는 제어 프레임들인 OAM 과 MPCP 프레임은 discovery 상태, 이벤트 알림, 전송 허용 시작 시간과 같은 기밀 정보를 포함한다. 그러므로 EPON망에서의 링크 보안 기능은 ONU에 전달되는 프레임들을 보호한다.
MACsecY 는 IEEE802.1AE WG에서 제안된 링크 보안 방법으로서, 현재 표준화 중이다. 본 발명은 IEEE802.1AE WG에 의해 제안된 draft2.0 에 기반을 두어 MACsecY 수신부를 구현하였다.
MACsecY 수신부는 EPON의 OLT 와 ONU 에서 사용자 데이터 복호화, 프레임 데이터의 무결성 검사, 데이터 근원 인증, 재 전송 공격 방지와 서비스 거부 공격 방지를 제공하며, 128 비트 GCM-AES 암호 메커니즘을 제공한다.
또한 MACSecY 수신 장치는 SecY 송신장치에서 전송된 인증 암호화 MAC Frame을 인증 복호화 하여 평문 MAC 프레임으로 변환하는 기능을 한다. 도 1을 참조하면, MACSecY수신 장치(100)는 디멀티플렉서 모듈(120), 디코더 모듈(130), 암호화부(140), FCS 생성부(150)를 포함한다.
MACSecY수신 장치(100)는 암호화되지 않은 Common Port(110)를 통해 MAC 계층으로부터 MAC프레임들을 입력받으며(a111), 입력된 MAC프레임(a111)의 암호화 유무에 따라 Uncontrolled Port(160)와 Controlled Port(170)로 평문 MAC프레임과 암호화된 MAC프레임을 전송한다.
MACSecY수신부 모듈은 Uncontrolled Port(160), Controlled Port(170), Common Port(110) 외부 인터페이스와 LMI인터페이스(180)를 포함한다. Uncontrolled Port(160)와 Common Port(110)는 비보안 서비스 액세스 포인트이고, Controlled Port(170)는 보안 서비스 액세스 포인트이다.
디멀티플렉서(120)는 MAC 계층으로부터 Common Port(110)를 통해 입력된 MAC프레임의 이더넷 타입을 기초로 평문 MAC프레임(a121)은 Uncontrolled Port(160)로 암호화된 MAC프레임은 Controlled Port(170)로 분류하며 암호화된 MAC프레임은 복호화하기 위해 디코더(130)로 전달한다.
또한 디멀티플렉서(120)는 암호화된 MAC프레임을 MAC 어드레스(DA, SA)(a122)와 MSDU(a123, MAC Service Protocol Data Unit)로 분리하여 전달한다. 이 때, 상기 MAC 어드레스(DA, SA)(a122)는 암호화부(140)에서 프레임 인증을 위해 인증키를 만들기 위한 파라미터로 사용된다.
Decoder모듈(130)은 수신된 MSDU(a123)로부터 SecTAG(a131), Secure DATA(a132), ICV(a133)로 프레임을 분리하여 전송한다. SecTAG(a131)는 이더넷 타입 필드와 TCI(Tag Control Information)값, PN(Packet Number) 등으로 구성된다.
암호화부(140)는 검증 파라미터 선택부(141), 무결성 검증부(142), 데이터 복호화부(143)를 포함한다.
검증 파라미터 선택부(141)는 암호화부(140)에서 사용될 128비트 KEY 나 IV(Initialization Vector)값 등의 파라미터들을 저장하고 디코더(130)로부터 입력된 SAI(Security Association Identifier, 보안 연계 식별자, a132)를 이용하여 검증 파라미터 세트를 선택한다. 즉, TCI 필드 내의 SCB(Single Copy Broadcast)비트를 이용하여 브로드캐스트 채널에 설정된 키를 요구하는지 유니캐스트 채널에 설정된 키를 요구하는지 결정하게 된다.
무결성 검증부(142)는 디코더(130)로부터 입력된 MAC Address(a133)와 Secure Data(a132)에 대한 ICV(Integrity Check Value, 무결성 검증값)을 계산하고, 디코더(130)로부터 입력된 ICV값(a133)과 비교하여 MAC Address(a133)와 Secure Data(a132)가 해커에 의해 변조되었는지 무결성을 체크한다. 이 때, 계산된 ICV 값과 입력된 ICV 값이 서로 다른 경우 인증 실패 신호와 함께 복호화 된 프레임을 전송한다(a145).
데이터 복호화부(143)는 디코더(130)에 의해 검증 파라미터 선택부에서 선택된 파라미터 세트(a144)를 이용하여 암호화된 데이터를 복호화 시킨다.
FCS 생성부(150)는 암호화부(140)에서 암호화된 MAC 프레임을 평문 MAC 프레임으로 복호화하기 때문에 복호화가 끝난 후 평문 MAC 프레임에 대한 새로운 FCS 값을 계산한다(a151).
그 후 MAC 프레임은 디멀티플렉서(120)에서 나온 MAC 어드레스(a122)와 합해진 후 Controlled Port(170)에 전달된다.
다만, 이와 같은 MACSecY 수신부는 외부 해커로부터 Uncontrolled Port(160)를 통해 많은 정상 평문 MAC 프레임이 수신되는 경우, 상위 프로세서는 Uncontrolled Port(160)를 통해 입력된 평문 MAC 프레임을 처리하느라 많은 부하가 걸려 Controlled Port(110)에서 수행된 MAC 프레임의 처리가 미흡하게 되고, 결국엔 시스템의 과부하로 인해 시스템이 다운되는 결과를 가져온다.
도 2 는 도 1 에 도시된 MACSecY 수신부로 입력되는 암호화된 프레임 구조를 도시한다.
암호화된 MAC프레임(200)은 8 바이트의 SecTAG(보안태그)와 16 바이트의 ICV 필드(206)가 추가되어 캡슐화 된다. 8 바이트의 SecTAG(보안태그)은 2 바이트의 MACsecY Ethertype(ET)필드(201)와 1 바이트의 TCI필드(202), 1 바이트의 SL(Short Length)필드(203), 4바이트의 PN필드(204)로 구성된다. 즉, EPON망에서 MAC 보안 서비스를 제공하기 위해서는 기존의 MAC프레임에 최소한 24바이트가 추가된다.
1 바이트의 TCI필드(202)는 1비트의 버전필드(207), 1비트 ES필드(208), 1비트의 SC필드(209), 1비트의 SCB필드(210), 1비트의 SH필드(211), 2비트의 AN필드(212)로 구성된다. SCB필드(210)는 Single Copy Broadcast 프레임인지 아닌지를 나타낸다. AN필드(212)는 보안연계(SA, Security Association)를 구분하는데 사용된다. SH필드(211)는 프레임의 사이즈가 64바이트보다 적은 경우에 표시되며 그 길이는 1바이트의 SL필드(203)에 나타낸다.
도 3 은 도 1에 도시된 MACsecY수신부로 입출력 되는 암호화 되지 않은 평문 프레임 종류별 구조도이다.
평문 프레임은 MAC DATA프레임(300), MPCP 프레임(310), OAM 프레임(320)을 포함한다. 상기 프레임들은 2바이트의 MAC 이더넷 타입(301,311,312) 필드를 통해 구분하게 된다.
도 4 는 서비스 거부 공격과 Replay공격을 차단하는 기능이 부가된 MACSecY수신부 모듈 구조도이다.
도 4 는 도 1의 구성요소 외에 서비스 거부 공격 차단부(421) 및 재 전송 공격 차단부(422)를 더 포함한다.
도 4 의 MACSecY수신 장치(400)에서 디멀티플렉서 모듈(420), 디코더 모듈(430), 암호화부(440), FCS 생성부(450) 및 Uncontrolled Port(460), Controlled Port(470), Common Port(410) 외부 인터페이스와 LMI인터페이스(480)는 도 1의 대응하는 각 구성과 대응하는 기능을 수행하며, 기본적인 기능은 유사하다.
서비스 거부 공격 차단부(421)는 디멀티플렉서(420)로부터 암호화 되지 않은 평문 MAC 프레임(a421)과 암호화된 MAC 프레임(a422)을 입력받으며, 프레임의 SecTAG(보안태그) 필드 내의 이더넷 타입 값을 기초로 상기 프레임의 종류를 파악하고, 상기 프레임이 암호화 프레임인 경우 SecTAG 내의 SCB Flag 값을 기초로 상기 프레임이 평문 프레임인 경우 Preamble 내의 LLID 값을 기초로 상기 프레임이 브로드캐스트 채널에 해당하는지 유니캐스트 채널에 해당하는지를 구분한다.
그 후, 보안채널 별로 프레임 종류별 보안기능 적용여부를 정의한 암호화 모드 파라미터 및 상기 프레임 종류별로 정의한 DoS 공격 프레임 적용 모드 파라미터를 기초로 서비스 거부 공격 프레임이면 입력된 프레임을 삭제하고, 서비스 거부 공격 프레임이 아니면 Controlled Port(470)와 Uncontrolled Port(460)로 입력 프레임을 전송한다.
따라서 외부 해커에 의해 Uncontrolled Port(460)나 Controlled Port(470)로 전송되는 서비스 거부 공격 MAC프레임을 입력 단에서 모두 제거함으로서 상위 프로세서들이 서비스 거부 공격 프레임에 의한 부하가 증가하지 않게 한다. 이에 대한 보다 상세한 설명은 후술하기로 한다.
재 전송 공격 차단부(422)는 상기 서비스 거부 공격 차단부(421)로부터 서비 스 거부 공격 프레임에 해당하지 않는 암호화된 MAC 프레임(a422)을 입력받아 프레임의 이더넷 타입 값을 기초로 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악한다. 그 후 해당 채널에서 보안 연계별로 패킷 넘버 값을 비교하여, 동일한 보안 연계 상태에서 현재 입력된 프레임의 패킷 넘버 값이 이전 프레임에 입력된 패킷 넘버 값보다 적거나 같은 경우 재 전송 공격 프레임으로 간주하여 삭제하고, 그렇지 않은 프레임은 디코더(430)로 전송한다. 이에 대한 보다 상세한 설명은 후술하기로 한다.
도 5 는 도 4에 도시된 서비스 거부 공격 차단부의 내부 하드웨어 구성도이다.
서비스 거부 공격 차단부(421)는 프레임 분류부(500), SCB 보안채널 분류부(510), Session 보안채널 분류부(520), 암호화 DoS 공격 처리부(530), 평문 DoS 공격 처리부(540), 보안관리부(550)를 포함한다.
프레임 분류부(500)는 Common Port(410)로부터 입력된 프레임에서 SecTAG(보안태크)필드 내의 2 바이트 이더넷 타입 값을 기초로 상기 프레임의 종류가 암호화 프레임인지 평문 프레임인지 구분하여 암호화된 프레임은 제 1 보안채널 분류부(510)로 전송하고, 평문 프레임은 제 2 보안채널 분류부(520)로 전송한다.
Common Port(410)로부터 입력되는 프레임의 종류와 이더넷 타입이 도 6에 도시되었다. 암호화 MAC 프레임의 MACsecY 이더넷 타입은 현재 표준화에서 정의되지 않았으며, 이에 따라 본 발명에서는 사용자의 요구에 따라 정의된 값을 사용할 수 있도록 고안되었다. 도 6 에 도시된 바와 같이, 본 발명에서는 MACsecY 이더넷 타 입의 기본 값으로 "0x880a"를 사용한다.
보안채널 분류부(510)는 제 1 보안채널 분류부(510)와 제 2 보안채널 분류부(520)를 포함한다.
제 1 보안채널 분류부(510)는 암호화된 프레임을 프레임 분류부(500)로부터 전송받아, 프레임의 SecTAG(보안 태그) 내의 SCB Flag 값을 기초로 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지를 파악한 후 암호화 DoS 공격 처리부(530)로 보안채널(SC) 선택 신호를 전송한다.
제 2 보안채널 분류부(520)는 평문 프레임을 프레임 분류부(500)로부터 전송받아, 프레임의 Preamble 내에 존재하는 LLID(Logical Link ID)정보를 이용하여 평문 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악한 후 평문 DoS 공격 처리부(540)로 보안채널(SC) 선택 신호를 전송한다.
DoS 공격 처리부(530,540)는 서비스 공격 거부 프레임인지를 처리하고, 암호화 DoS 공격 처리부(530)와 평문 DoS 공격 처리부(540)를 포함한다.
암호화 DoS 공격 처리부(530)는 브로드캐스트 보안채널과 유니캐스트 보안채널에 대하여 서비스 거부 공격을 차단하기 위해 브로드캐스트 보안채널 서비스 거부 공격 처리부(531)와 유니캐스트 보안채널 서비스 거부 공격 처리부(532)를 포함한다.
또한, 암호화 DoS 공격 처리부(530)는 암호화된 프레임만이 입력되므로, 보안관리부(550)로부터 사용자의 설정에 의해 정의된 1비트의 DATA MAC프레임의 암호화 모드 파라미터(a551)만을 수신한다. 상기 1비트의 DATA MAC프레임 암호화 모드 파라미터를 이용하여 Common Port(410)로부터 입력된 프레임에 대해 서비스 거부 공격을 적용할 것인지 여부를 결정한다.
평문 DoS 공격 처리부(540)는 브로드캐스트 보안채널과 유니캐스트 보안채널에 대하여 서비스 거부 공격을 차단하기 위해 브로드캐스트 보안채널 서비스 거부 공격 처리부(541)와 유니캐스트 보안채널 서비스 거부 공격 처리부(542)를 포함한다.
또한, 평문 DoS 공격 처리부(540)는 평문 MAC 프레임, OAM 프레임, MPCP 프레임이 입력되므로, 보안관리부(550)로부터 사용자의 설정에 의해 정의된 3비트의 프레임별 암호화 모드 파라미터(a552)와 DoS 공격 프레임 적용모드 파라미터(s553)를 수신한다. 상기 프레임별 암호화 모드 파라미터(a552) 및 DoS 공격 프레임 적용모드 파라미터(a553)를 이용하여 Common Port(410)로부터 입력된 평문 프레임들에 대해 서비스 거부 공격을 적용할 것인지 여부를 결정한다.
보안 관리부(550)는 사용자로부터 상기 프레임 암호화 모드 파라미터(a551, a552) 및 상기 DoS 공격 적용 모드 파라미터(a553)를 입력받아 암호화 DoS 공격 처리부(530) 또는 평문 DoS 공격 처리부(540)로 전송한다.
도 7 은 도 4 에 도시된 서비스 거부 공격 차단부에서 처리과정을 도시한 흐름도이다.
도 7 에 도시된 흐름도는 프레임에 대해 보안 채널별로 사용자의 설정에 의해 정의된 모드에 따라 서비스 거부 공격 프레임인지를 체크하고, 서비스 거부 공격에 해당하는 프레임은 삭제하며 서비스 거부 공격에 해당하지 않는 프레임은 전 송하는 동작에 관한 것으로서, 매 프레임이 입력될 때마다 서비스 공격 프레임 체크를 순환적으로 반복한다.
Common Port(410)를 통해 프레임이 입력되면 MACSecY수신부(400)는 암호화부 (480)가 활성화 되었는지 체크 한다 (s700). 암호화부가 활성화 되어 있지 않으면 서비스 거부 공격 차단부는 동작하지 않는다. Common Port(410)로부터 입력된 프레임이 암호화된 프레임인지 평문 프레임인지를 프레임의 SecTAG 내의 이더넷 타입 값으로 구분한다(S710). 암호화 프레임인 경우 SecTAG 내의 SCB Flag 값을 이용하여 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지를 체크한다(S720).
브로드캐스트 보안채널에 해당되는 프레임인 경우 브로드캐스트 프레임별 암호화 모드 파라미터 값에 기초하여 어떤 프레임에 대해 암호화가 설정되었는지 여부를 판단하고, 암호화 모드로 설정되어 있는 경우는 정상 프레임으로 판단하여 디코더(430)로 전송한다(S750). 그렇지 않은 경우, 상기 프레임을 서비스 거부 공격 프레임으로 간주하여 삭제한다(s760).
유니캐스트 보안채널에 해당되는 프레임인 경우 유니캐스트 프레임별 암호화 모드 파라미터 값에 기초하여 어떤 프레임에 대해 암호화가 설정되었는지 여부를 판단하고(s740), 암호화 모드로 설정되어 있는 경우 정상 프레임이므로 디코더(430)로 전송한다(s750). 그렇지 않은 경우, 상기 프레임을 서비스 거부 공격 프레임으로 간주하여 삭제한다(s770).
암호화된 프레임이 아닌 평문 프레임인 경우, 프레임의 LLID정보를 이용하여 2바이트 상위 LLID 값이 “7FFF" 또는 "FFFF"인지 체크하여, 브로드캐스트 보안채널에 해당하는 프레임인지 구분한다(s721). 브로드캐스트 보안채널에 해당되는 프레임을 다시 이더넷 타입 값을 기초로 구분한다(s732).
상기 구분된 프레임에 프레임별 암호화 모드 파라미터가 설정되었는지 체크한다(s733). 상기 프레임별 암호화 모드 파라미터는 각 프레임별로 설정된다. 각 프레임에 대해 암호화 모드 파라미터가 설정되어 있을 경우 해당 프레임은 암호화된 프레임으로 전송해야 한다. 따라서 각 프레임에 대한 암호화 모드 파라미터가 설정되었을 경우 암호화 되지 않은 프레임이 입력되면 비정상 입력 프레임으로 처리한다.
그 후, 암호화 모드 파라미터 체크 단계에서(s733) 비정상 프레임으로 처리된 프레임에 대해 서비스 거부 공격 프레임으로 처리할 것인지 정상 프레임으로 처리할 것인지 체크하기 위해 DoS공격 적용모드 파라미터를 확인한다(s734). 서비스 거부 공격 프레임에 해당되는 프레임은 삭제되고(s735), 그렇지 않은 프레임은 Uncontrolled Port(460)로 전달한다(s736).
브로드캐스트 보안 채널에서 사용자 설정 프레임별 암호화 모드 파라미터 및 DoS 공격 적용 파라미터를 통한 DoS공격 차단 처리의 일 실시예가 도 8에 도시되었다.
유니캐스트 보안 채널에 해당하는 프레임의 경우도, 상기 서술한 브로드캐스트 보안 채널에 해당하는 프레임의 처리 흐름도와 유사하며, 프레임의 LLID정보를 이용하여 2바이트 상위 LLID 값이 “7FFF" 또는 "FFFF"가 아닌 경우, 입력 프레임 의 종류에 따라 암호화 모드가 설정되었는지 체크하고, DoS 공격을 적용할 것인지 여부를 판단한다.
도 9 는 도 4 에 도시된 재 전송 공격 차단부의 내부 하드웨어 구성도이다.
재 전송 공격 차단부는 보안채널 분류부(900), 보안연계 비교부(910), Replay 공격 차단부(920), 다중화기(930)를 포함한다.
보안채널 분류부(900)에는 서비스 공격 처리부(421)를 통과한 암호화된 프레임이 입력된다. 상기 암호화된 프레임의 보안태그(SecTAG) 내의 SCB Flag 값을 이용하여 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지를 파악하고 보안채널 선택신호(a901)를 전송한다.
보안연계 비교부(910)는 브로드캐스트 보안연계 비교부(911)와 유니캐스트 보안연계 비교부(912)를 포함하며, 현재 입력 프레임의 AN Flag 값과 이전 프레임의 AN Flag 값이 동일한지를 판단하여 보안연계의 연속성을 판단한다. 즉 AN Flag 값이 동일한 경우는 보안연계가 연속임을 표시하고, 그렇지 않은 경우는 비연속인 상태이다. 이 때 2 비트의 AN Flag 값은 보안 연계(SA, Security Association)를 구분하는 식별자 파라미터이다.
브로드캐스트 보안연계 비교부(911)는 브로드캐스트 보안 채널 내에 존재하는 보안 연계에 대하여 보안연계의 상태가 변화되었는지를 체크한다. 이는 Current Master Key SA, Next Master Key SA, Current Common Key SA, Next Common Key SA 등 4개의 보안연계를 포함하고, 상기 SA에 대한 AN Flag 값은 사용자의 설정에 의해 미리 정의된다.
유니캐스트 보안연계 비교부(912)는 유니캐스트 보안 채널 내에 존재하는 보안 연계에 대하여 보안연계의 상태가 변화되었는지를 체크한다. 이는 Current Master Key SA, Next Master Key SA, Current Session Key SA, Next Session Key SA등 4개의 SA를 포함한다.
Replay 공격 차단부(920)는 상기 보안연계 비교부(910)에서 AN Flag 값의 동일성 판단 결과 보안연계가 동일하지 않은 경우 프레임을 바이패스 하는 바이패스부(925)와 보안연계가 동일한 경우 상기 프레임이 재 전송 공격 프레임인지 판단하는 Replay 체크부(924)를 포함한다.
Replay 체크부(924)는 Common Key SA Replay 체크기(921), Master Key SA Replay 체크기(922), Session Key SA Replay 체크기(923)를 포함한다.
Common Replay 체크기(921)는 이전 프레임에 입력된 브로드캐스트 보안채널 프레임의 패킷넘버 값과 현재 입력된 브로드캐스트 보안채널 프레임의 패킷넘버 값을 비교하여 현재 입력된 상기 패킷 넘버 값이 이전 프레임에 입력된 상기 패킷넘버 값보다 적거나 같은 경우 동일 프레임이 재 전송된 것으로 판단하고 프레임을 삭제하기 위한 신호를 전송한다. 그렇지 않은 경우에는 입력 프레임을 전송하는 신호를 전송한다.
Session Replay 체크기(923)는 이전 프레임에 입력된 유니캐스트 보안채널 프레임의 패킷넘버 값과 현재 입력된 유니캐스트 보안채널 프레임의 패킷넘버 값을 비교하여 현재 입력된 상기 패킷 넘버 값이 이전 프레임에 입력된 상기 패킷 넘버 값보다 적거나 같은 경우 동일 프레임이 재 전송된 것으로 판단하고 프레임을 삭제 하기 위한 신호를 전송한다. 그렇지 않은 경우에는 입력 프레임을 전송하는 신호를 전송한다.
Master Replay 체크기(922)는 이전 프레임에 입력된 브로드캐스트 보안채널 또는 유니캐스트 보안채널 프레임의 패킷넘버 값과 현재 입력된 브로드캐스트 보안채널 또는 유니캐스트 보안채널 프레임의 패킷넘버 값을 비교하여 현재 입력된 상기 패킷 넘버 값이 이전 프레임에 입력된 상기 패킷 넘버 값보다 적거나 같은 경우 동일 프레임이 재 전송된 것으로 판단하고 프레임을 삭제하기 위한 신호를 전송한다. 그렇지 않은 경우에는 입력 프레임을 전송하는 신호를 전송한다.
도 10 은 재 전송 공격 차단 과정을 도시한 흐름도이다.
도 10에 도시된 흐름은 암호화된 프레임에 대하여 보안연계별로 현재 프레임의 패킷 넘버 값과 이전 프레임의 패킷 넘버 값을 비교하여 재 전송 공격인지 판단하고, 이에 해당하는 프레임은 삭제하고, 그렇지 않은 프레임은 전송하는 동작에 관한 것으로서 매 프레임이 입력될 때마다 재 전송 공격 프레임 체크를 반복적으로 수행한다.
서비스 거부 공격 차단부로부터 암호화된 프레임이 입력되면 상기 프레임이 브로드캐스트 보안채널 프레임에 해당하는지 유니캐스트 보안채널 프레임에 해당하는지를 파악한다(s1000).
브로드캐스트 보안채널에 해당하는 프레임인 경우, 현재 프레임의 AN Flag 값이 이전 프레임의 AN' Flag 값과 동일한지를 비교한다(s1100).
AN Flag 값이 동일한 경우 보안연계는 동일한 상태로서 연속성이 인정된다 (s1200). 이 경우, 보안연계가 Master Key SA인지 Common Key SA인지를 구분한다(s1400).
상기 보안연계가 Master Key SA 이면, 현재 프레임에 입력된 패킷 넘버 값(PN)과 이전 Master Key SA 프레임에 입력된 패킷 넘버 값(MK_PN')을 비교하여 재 전송 공격 프레임인지를 판단한다(s1600). 상기 PN 값이 상기 MK_PN'보다 작거나 동일한 경우에는 재 전송 공격 프레임에 해당하여 프레임을 삭제하고(s1710), 그렇지 않은 경우에는 정상 프레임으로 판단하여 프레임을 전송한다. 그리고 현재 프레임에 입력된 PN 값을 MK_PN'값에 저장한다(S1800).
상기 보안연계가 Common Key SA 인 경우, 현재 프레임에 입력된 패킷 넘버(PN)값과 이전 Common Key SA 프레임에 입력된 패킷 넘버 값(CK_PN')을 비교하여 재전송 공격 프레임인지를 판단하고, 상기 PN 값이 상기 CK_PN'보다 작거나 동일한 경우에는 재전송 공격 프레임에 해당하여 프레임을 삭제하고, 그렇지 않은 경우에는 정상 프레임으로 판단하여 프레임을 전송한다. 그리고 현재 프레임에 입력된 PN 값을 CK_PN'값에 저장한다.
반면 AN Flag 값이 다르면 보안연계는 연속성이 인정되지 않고, 현재 프레임의 AN Flag 값을 이전 프레임의 AN Flag 값을 저장하는 레지스터에 저장한다(s1300).
유니캐스트 보안채널에 해당하는 프레임인 경우, 현재 프레임의 AN Flag 값이 이전 프레임의 AN' Flag 값과 동일한지를 비교한다(s1101).
AN Flag 값이 동일한 경우 보안연계는 동일한 상태로서 연속성이 인정된다 (s1201). 이 경우, 보안연계가 Master Key SA인지 Session Key SA인지를 구분한다(s1401).
상기 보안연계가 Master Key SA 이면, 현재 프레임에 입력된 패킷 넘버 값(PN)과 이전 Master Key SA 프레임에 입력된 패킷 넘버 값(MK_PN')을 비교하여 재전송 공격 프레임인지를 판단한다(s1601). 상기 PN 값이 상기 MK_PN'보다 작거나 동일한 경우에는 재전송 공격 프레임에 해당하여 프레임을 삭제하고(s1710), 그렇지 않은 경우에는 정상 프레임으로 판단하여 프레임을 전송한다. 그리고 현재 프레임에 입력된 PN 값을 MK_PN'값에 저장한다(S1720).
상기 보안연계가 Session Key SA 인 경우, 현재 프레임에 입력된 패킷 넘버 값과(PN)과 이전 Session Key SA 프레임에 입력된 패킷 넘버 값(SK_PN')을 비교하여 재전송 공격 프레임인지를 판단한다. 상기 PN 값이 상기 SK_PN'보다 작거나 동일한 경우에는 재전송 공격 프레임에 해당하여 프레임을 삭제하고, 그렇지 않은 경우에는 정상 프레임으로 판단하여 프레임을 전송한다. 그리고 현재 프레임에 입력된 PN 값을 SK_PN'값에 저장한다.
반면 AN Flag 값이 다르면 보안연계는 연속성이 인정되지 않고, 현재 프레임의 AN Flag 값을 이전 프레임의 AN Flag 값을 저장하는 레지스터에 저장한다(s1301).
본 발명은 EPON ONU 단말에서 링크 암호화 공격 차단장치로서 외부 해커로부터 공격당하기 쉽고 ONU 시스템 운영에 있어 치명적인 결과를 가져오는 서비스 거 부 공격 및 재 전송 공격 차단 기능을 제공한다.
또한 사용자의 정의에 따라 설정된 파라미터 값에 따라 프레임별로 서비스 거부 공격 프레임을 선택하고 필터링하여 차단한다.
뿐만 아니라, 재 전송 공격에 대하여서 보안 연계별로 해킹 공격에 대하여 필터링하고 차단함으로서 이더넷 보안 서비스와 성능을 보장한다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플라피 디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이상 도면과 명세서에서 최적 실시예들이 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims (26)

  1. 프레임의 보안태크 필드 내의 타입 값을 기초로 상기 프레임의 종류가 암호화 프레임인지 평문 프레임인지 파악하는 프레임 분류부;
    상기 보안태그 필드 내의 SCB 플래그 값을 기초로 상기 암호화 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하고, 상기 프레임의 논리적 링크 식별자(LLID) 필드 값을 기초로 상기 평문 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하는 보안채널 분류부;
    프레임 종류별, 보안채널 별로 보안기능 적용여부를 정의한 암호화 모드 파라미터 및 상기 암호화 모드 파라미터 별로 정의한 DoS 공격 적용 모드 파라미터를 기초로 상기 프레임에 대한 서비스 거부 공격을 처리하는 DoS 공격 차단부;를 포함하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 서비스 거부 공격 처리 장치.
  2. 제 1 항에 있어서, 상기 DoS 공격 차단부는
    브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 암호화 프레임을 상기 암호화 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 암호화 DoS 공격 처리부; 및
    브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 평문 프레임을 상기 암호화 모드 파라미터 및 상기 DoS 공격 프레임 적용 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 평문 DoS 공격 처리부;를 포함하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 서비스 거부 공격 처리 장치.
  3. 제 1 항에 있어서,
    사용자로부터 상기 프레임 암호화 모드 파라미터 및 상기 DoS 공격 적용 모드 파라미터를 입력받아 상기 DoS 공격 차단부로 전송하는 보안관리부;를 더 포함하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 서비스 거부 공격 처리 장치.
  4. 프레임의 보안태그 필드 내의 SCB 플래그 값을 기초로 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악하는 보안채널 분류부;
    상기 보안채널별로 상기 프레임의 보안태그 필드 내의 AN Flag 값을 기초로 보안연계를 파악하고 상기 파악된 보안연계가 이전 프레임의 보안연계와 동일한지 파악하는 보안연계 비교부;
    보안연계가 동일 상태를 나타내는 경우 상기 프레임이 재전송 공격 프레임인지 여부를 판단하는 Replay 공격 차단부;를 포함하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 재전송 공격 차단 장치.
  5. 제 4 항에 있어서, Replay 공격 차단부는
    상기 보안연계가 동일하지 않은 경우 상기 프레임을 바이패스하는 바이패스 부;
    상기 보안연계가 동일한 경우 상기 AN Flag 값을 기초로 구분된 보안연계 내의 프레임의 패킷넘버 값이 이전 보안연계 내의 프레임의 패킷넘버 값보다 큰 경우 프레임을 전송하고 Replay 체크부;를 포함하는 것을 특징으로 하는 재전송 공격 차단 장치 .
  6. 제 5 항에 있어서, 상기 바이패스부는
    이전 프레임의 AN Flag 값을 상기 프레임의 AN Flag 값으로 갱신하는 것을 특징으로 하는 재전송 공격 차단 장치.
  7. 제 5 항에 있어서, 상기 Replay 체크부는
    상기 프레임 전송시 이전 프레임의 패킷넘버값을 상기 프레임의 상기 패킷넘버 값으로 갱신하는 것을 특징으로 하는 재전송 공격 차단 장치.
  8. 프레임의 보안태그 필드를 기초로 프레임의 종류 및 보안 채널을 파악하고, 상기 파악된 프레임 종류 및 보안채널 별로 보안기능 적용여부를 정의한 사용자 설정 파라미터를 기초로 상기 프레임에 대한 서비스 거부 공격을 처리하는 서비스 거부 공격 처리부;
    상기 보안채널 별로, 상기 프레임 내의 AN Flag 값에 기초하여 상기 해당 보안채널에서 상기 프레임을 보안 연계별를 파악하고 상기 파악된 보안 연계의 동일 성 판단을 기초로 재전송 공격 여부를 판단하는 재전송 공격 차단부;
    상기 프레임을 파라미터 별로 분해하는 디코더;
    상기 디코더로부터 수신한 파라미터를 기초로 상기 프레임을 평문 프레임으로 복호화 하고 무결성을 체크하는 암호화부;
    상기 프레임에 대한 프레임 내의 FCS 값을 상기 복호화된 프레임에 대한 FCS 값으로 재생성하는 FCS생성부;를 포함하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 SecY 수신부 장치.
  9. 제 8 항에 있어서, 상기 서비스 거부 공격 처리부는
    상기 보안 태그 필드 내의 타입 값을 기초로 상기 프레임이 암호화 프레임이지 평문 프레임인지 파악하고, 상기 보안 태그 필드 내의 SCB 태그를 기초로 상기 암호화 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악하며, 상기 프레임의 논리적 링크 식별자(LLID) 필드 값을 기초로 상기 평문 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 SecY 수신부 장치.
  10. 제 9 항에 있어서, 상기 서비스 거부 공격 처리부는
    상기 사용자 설정 파라미터로 상기 프레임 종류별, 보안채널 별로 보안기능 적용여부를 정의한 프레임 암호화 모드 파라미터 및 상기 DoS 공격 적용 모드 파라미터를 입력받아 상기 DoS 공격 차단부로 전송하는 보안관리부;를 더 포함 하는 것 을 특징으로 하는 링크 암호화 공격을 차단하는 SecY 수신부 장치.
  11. 제 10 항에 있어서, 상기 서비스 거부 공격 처리부는
    브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 암호화 프레임을 상기 프레임 암호화 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 암호화 DoS 공격 처리부; 및
    브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 평문 프레임을 상기 프레임 암호화 모드 파라미터 및 상기 DoS 공격 프레임 적용 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 평문 DoS 공격 처리부;를 포함하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 SecY 수신부 장치.
  12. 제 8 항에 있어서, 상기 재전송 공격 차단부는
    상기 AN Flag 값을 기초로 파악된 보안연계가 이전 프레임의 보안연계와 동일한지 판단하고,
    상기 보안연계가 동일하지 않은 경우 프레임을 바이패스하는 바이패스부;
    상기 보안연계가 동일한 경우 상기 AN Flag 값을 기초로 구분된 보안연계 내
    의 프레임의 패킷넘버 값이 이전 보안연계 내의 프레임의 패킷넘버 값보다 큰 경우 프레임을 전송하는 Replay 체크부;를 포함하는 것을 특징으로 하는 링크 암호화 공격을 차단하는 SecY 수신부 장치.
  13. 제 12 항에 있어서, 상기 바이패스부는
    이전 프레임의 AN Flag 값을 상기 프레임의 AN Flag 값으로 갱신하는 것을 특징으로 하는 MACSecY 수신부 장치.
  14. 제 12 항에 있어서, 상기 Replay 체크부는
    상기 프레임 전송시 이전 프레임의 패킷넘버값을 상기 프레임의 상기 패킷넘버 값으로 갱신하는 것을 특징으로 하는 MACSecY 수신부 장치.
  15. 프레임의 보안태그 필드 내의 타입 값을 기초로 상기 프레임의 종류가 암호화 프레임인지 평문 프레임인지 파악하는 단계;
    상기 보안태그 필드 내의 SCB 플래그 값을 기초로 상기 암호화 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하고, 상기 프레임의 논리적 링크 식별자(LLID) 필드 값을 기초로 상기 평문 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하는 단계;
    프레임 종류별, 보안채널 별로 보안기능 적용여부를 정의한 암호화 모드 파라미터 및 상기 암호화 모드 파라미터 별로 정의한 DoS 공격 적용 모드 파라미터를 기초로 상기 프레임에 대한 서비스 거부 공격을 처리하는 단계;를 포함하는 것을 특징으로 하는 서비스 거부 공격 차단 방법.
  16. 제 15 항에 있어서, 상기 서비스 거부 공격을 처리하는 단계는
    브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 암호화 프레임을 상기 프레임 암호화 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 단계; 및
    브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 평문 프레임을 상기 프레임 암호화 모드 파라미터 및 상기 DoS 공격 프레임 적용 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 서비스 거부 공격 차단 방법.
  17. 프레임의 보안태그 필드 내의 SCB 플래그 값을 기초로 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악하는 단계;
    상기 보안채널별로 상기 프레임의 보안태그 필드 내의 AN Flag 값을 기초로 보안연계를 파악하고 상기 파악된 보안연계가 이전 프레임의 보안연계와 동일한지 판단하는 단계;
    상기 보안연계가 동일 상태를 나타내는 경우 상기 프레임이 재전송 공격 프레임인지 여부를 판단하는 단계;
    상기 보안연계가 동일 상태가 아닌 경우, 상기 프레임을 바이패스 하는 단계;를 포함하는 것을 특징으로 하는 재전송 공격 차단 방법.
  18. 제 17 항에 있어서, 상기 프레임이 재전송 공격 프레임인지 여부를 판단하는 단계는
    상기 AN Flag 값을 기초로 구분된 보안연계 내의 프레임의 패킷넘버 값이 이전 보안연계 내의 프레임의 패킷넘버 값보다 큰 경우 프레임을 전송하고 그렇지 않은 경우 프레임을 삭제하는 것을 특징으로 하는 재전송 공격 차단 방법.
  19. 제 17 항에 있어서, 상기 프레임을 바이패스하는 단계는
    이전 프레임의 AN Flag 값을 상기 프레임의 AN Flag 값으로 갱신하는 것을 특징으로 하는 재전송 공격 차단 방법.
  20. 제 17 항에 있어서,
    상기 프레임 전송시 이전 프레임의 패킷넘버값을 상기 프레임의 상기 패킷넘버 값으로 갱신하는 것을 특징으로 하는 재전송 공격 차단 방법.
  21. (a)프레임의 보안태그 필드를 기초로 프레임의 종류 및 보안 채널을 파악하는 단계;
    (b)상기 파악된 프레임 종류 및 보안채널 별로 보안기능 적용여부를 정의한 사용자 설정 파라미터를 기초로 상기 프레임에 대한 서비스 거부 공격을 처리하는 단계;
    (c)상기 보안채널 별로, 상기 프레임 내의 AN Flag 값에 기초하여 상기 해당 보안채널에서 상기 프레임을 보안 연계별를 파악하는 단계;
    (d)상기 파악된 보안 연계의 동일성 판단을 기초로 재전송 공격 여부를 판단 하는 단계;
    (e)상기 프레임을 파라미터 별로 분해하는 단계;
    (f)상기 디코더로부터 수신한 파라미터를 기초로 상기 프레임을 평문 프레임으로 복호화 하고 무결성을 체크하는 단계;
    (g)상기 프레임에 대한 프레임 내의 FCS 값을 상기 복호화된 프레임에 대한 FCS 값으로 재생성하는 단계;를 포함하는 것을 특징으로 하는 링크 암호화 공격 차단 방법.
  22. 제 21 항에 있어서, 상기 (a) 단계는
    상기 보안 태그 필드 내의 타입 값을 기초로 상기 프레임이 암호화 프레임이지 평문 프레임인지 파악하고, 상기 보안 태그 필드 내의 SCB 태그를 기초로 상기 암호화 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악하며, 상기 프레임의 논리적 링크 식별자(LLID) 필드 값을 기초로 상기 평문 프레임이 브로드캐스트 채널인지 유니캐스트 채널인지 파악하는 것을 특징으로 하는 링크 암호화 공격 차단 방법.
  23. 제 22항에 있어서, 상기 (b) 단계는
    상기 사용자 설정 파라미터로 상기 프레임 종류별, 보안채널 별로 보안기능 적용여부를 정의한 프레임 암호화 모드 파라미터 및 상기 DoS 공격 적용 모드 파라미터를 입력받으며,
    (b1)브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 암호화 프레임을 상기 프레임 암호화 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 단계; 및
    (b2)브로드캐스트 보안채널 또는 유니캐스트 보안채널에서 상기 평문 프레임을 상기 프레임 암호화 모드 파라미터 및 상기 DoS 공격 프레임 적용 모드 파라미터를 기초로 프레임 단위로 서비스 거부 공격여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 링크 암호화 공격 차단 방법.
  24. 제 21 항에 있어서, 상기 (d) 단계에 있어서,
    상기 AN Flag 값을 기초로 파악된 보안연계가 이전 프레임의 보안연계와 동일한지 판단하고,
    (d1)상기 보안연계가 동일하지 않은 경우 프레임을 바이패스하는 단계;
    (d2)상기 보안연계가 동일한 경우 상기 AN Flag 값을 기초로 구분된 보안연계 내의 프레임의 패킷넘버 값이 이전 보안연계 내의 프레임의 패킷넘버 값보다 큰 경우 프레임을 전송하는 단계;를 포함하는 것을 특징으로 하는 링크 암호화 공격 차단 방법.
  25. 제 24 항에 있어서, 상기 (d1) 단계는
    이전 프레임의 AN Flag 값을 상기 프레임의 AN Flag 값으로 갱신하는 단계를 포함하는 것을 특징으로 하는 링크 암호화 공격 차단 방법.
  26. 제 24 항에 있어서, 상기 (d2) 단계는
    상기 프레임 전송시 이전 프레임의 패킷넘버값을 상기 프레임의 상기 패킷넘버 값으로 갱신하는 것을 특징으로 하는 링크 암호화 공격 차단 방법.
KR1020050037845A 2004-12-14 2005-05-06 링크 암호화 공격을 차단하는 장치 및 그 방법 KR100617321B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20040105415 2004-12-14
KR1020040105415 2004-12-14

Publications (2)

Publication Number Publication Date
KR20060067099A true KR20060067099A (ko) 2006-06-19
KR100617321B1 KR100617321B1 (ko) 2006-08-30

Family

ID=37161715

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050037845A KR100617321B1 (ko) 2004-12-14 2005-05-06 링크 암호화 공격을 차단하는 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR100617321B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100737527B1 (ko) * 2005-12-08 2007-07-10 한국전자통신연구원 이더넷 폰에서 보안 채널 제어 방법 및 장치
KR100798921B1 (ko) * 2005-12-07 2008-01-29 한국전자통신연구원 Mac 보안 서비스망에서의 보안 채널 제어 방법 및 이를구현하는 단말 장치
WO2008040196A1 (fr) * 2006-09-06 2008-04-10 Huawei Technologies Co., Ltd. Procédé de génération de sak, procédé réalisant la sécurité mac et dispositif de réseau
KR100917601B1 (ko) * 2007-07-03 2009-09-17 한국전자통신연구원 인증 재전송 공격 방지 방법 및 인증 시스템
US7724899B2 (en) 2005-12-07 2010-05-25 Electronics And Telecommunications Research Insitute Method for controlling security channel in MAC security network and terminal using the same
CN116700110A (zh) * 2023-06-30 2023-09-05 中汽院新能源科技有限公司 基于多模块划分的分布式驱动新能源汽车控制方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003513388A (ja) 1999-10-29 2003-04-08 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 安全性が確保されたカウンタによりデータ信頼性を保証するシステム及び方法
KR100787703B1 (ko) * 2002-11-12 2007-12-21 엘지노텔 주식회사 라우터/스위치 시스템에서 해킹 방지 방법

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100798921B1 (ko) * 2005-12-07 2008-01-29 한국전자통신연구원 Mac 보안 서비스망에서의 보안 채널 제어 방법 및 이를구현하는 단말 장치
US7724899B2 (en) 2005-12-07 2010-05-25 Electronics And Telecommunications Research Insitute Method for controlling security channel in MAC security network and terminal using the same
KR100737527B1 (ko) * 2005-12-08 2007-07-10 한국전자통신연구원 이더넷 폰에서 보안 채널 제어 방법 및 장치
WO2008040196A1 (fr) * 2006-09-06 2008-04-10 Huawei Technologies Co., Ltd. Procédé de génération de sak, procédé réalisant la sécurité mac et dispositif de réseau
US8386772B2 (en) 2006-09-06 2013-02-26 Huawei Technologies Co., Ltd. Method for generating SAK, method for realizing MAC security, and network device
KR100917601B1 (ko) * 2007-07-03 2009-09-17 한국전자통신연구원 인증 재전송 공격 방지 방법 및 인증 시스템
CN116700110A (zh) * 2023-06-30 2023-09-05 中汽院新能源科技有限公司 基于多模块划分的分布式驱动新能源汽车控制方法
CN116700110B (zh) * 2023-06-30 2024-03-26 中汽院新能源科技有限公司 基于多模块划分的分布式驱动新能源汽车控制方法

Also Published As

Publication number Publication date
KR100617321B1 (ko) 2006-08-30

Similar Documents

Publication Publication Date Title
US7051365B1 (en) Method and apparatus for a distributed firewall
US8379638B2 (en) Security encapsulation of ethernet frames
US7061899B2 (en) Method and apparatus for providing network security
US9461975B2 (en) Method and system for traffic engineering in secured networks
US7536715B2 (en) Distributed firewall system and method
Kent et al. RFC 4301: Security architecture for the Internet protocol
US8136152B2 (en) Method and system for securely scanning network traffic
TWI362859B (ko)
US20080162922A1 (en) Fragmenting security encapsulated ethernet frames
KR100617321B1 (ko) 링크 암호화 공격을 차단하는 장치 및 그 방법
KR100839941B1 (ko) IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법
US9015825B2 (en) Method and device for network communication management
US10841840B2 (en) Processing packets in a computer system
US20120163383A1 (en) Method and device for transmitting data between two secured ethernet-type networks through a routed network
CN110492994B (zh) 一种可信网络接入方法和系统
RU2163744C2 (ru) Система защиты виртуального канала корпоративной сети с фиксальным контролем доступа к информации, построенной на каналах и средствах коммутации сети связи общего пользования
WO2001091418A2 (en) Distributed firewall system and method
Ahmed et al. Architecture based on tor network for securing the communication of northbound interface in sdn
KR102421722B1 (ko) 네트워크 정보 보호 방법 및 장치
JP2005065004A (ja) 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム
Sailer et al. History based distributed filtering-a tagging approach to network-level access control
Kundu Mitigation of Storage Covert Channels in IPSec for QoS Aware Applications
Nahi et al. Design and Implementation of a Holistic and Robust Wi-Fi Authentication and Authorization Framework for Secure Wireless Networks
KR20110087972A (ko) 세션 테이블을 이용한 비정상 트래픽의 차단 방법
CN113114607A (zh) 一种终端设备

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee