KR20060071836A - Mac security entity for link security and sending and receiving method therefor - Google Patents
Mac security entity for link security and sending and receiving method therefor Download PDFInfo
- Publication number
- KR20060071836A KR20060071836A KR1020050049681A KR20050049681A KR20060071836A KR 20060071836 A KR20060071836 A KR 20060071836A KR 1020050049681 A KR1020050049681 A KR 1020050049681A KR 20050049681 A KR20050049681 A KR 20050049681A KR 20060071836 A KR20060071836 A KR 20060071836A
- Authority
- KR
- South Korea
- Prior art keywords
- frame
- authentication
- value
- security
- algorithm
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
본 발명은 본 발명은 MAC 서비스를 제공하는 EPON망에서 OLT와 ONU간에 전송되는 프레임들의 보안 기능을 제공하는 장치 및 방법에 관한 것으로, 프레임의 종류를 구별하고 구별된 프레임의 논리적 식별 비교자(LLID)값을 기초로 보안기능을 적용할 보안 링크인지를 판단하는 프레임 분류기; 프레임 분류기에서 분류된 보안 기능 적용 프레임이 암호화 프레임으로 변환되는 처리 시간과 보안 기능 비적용 프레임의 처리시간이 동일하도록 보안 기능 비적용 프레임을 지연시키는 바이패스부; 논리적 식별 비교자(LLID)별로 상기 프레임의 암호화, 복호화 및 인증시 사용되는 보안기능 적용 설정 신호, 프레임 복호화 신호, 암호화 모드 선택 신호 및 인증 강도 조정 신호를 포함하는 파라미터 세트 값을 전송하는 파라미터 생성부;를 포함한다.The present invention relates to an apparatus and method for providing a security function of frames transmitted between an OLT and an ONU in an EPON network providing a MAC service. A frame classifier for determining whether the security link is to be secured based on a value of; A bypass unit for delaying a non-security function-applied frame such that a processing time for converting a security function-applied frame classified by a frame classifier into an encryption frame and a processing time of a security function-free frame are the same; A parameter generator for transmitting a parameter set value including a security function application setting signal, a frame decryption signal, an encryption mode selection signal, and an authentication strength adjustment signal for each logical identification comparator (LLID) to encrypt, decrypt, and authenticate the frame. It includes;
링크 암호화, MAC 보안, GCM-AES. MACsecY Link Encryption, MAC Security, GCM-AES. MACsecY
Description
도 1 은 보안 서비스를 지원하는 EPON 망의 레이어 구조를 도시한다. 1 illustrates a layer structure of an EPON network supporting a security service.
도 2 는 본 발명에 따른 매체 접근 제어 보안 장치의 상세 블록도이다. 2 is a detailed block diagram of a media access control security device according to the present invention.
도 3은 매체 접근 제어 보안 장치 송신부(210)의 프레임 분류기(211)에서의 처리과정이다.3 is a process of processing by the
도 4 는 본 발명에 따른 매체 접근 제어 보안 장치 수신부의 상세 블록도이다.4 is a detailed block diagram of a media access control security device receiver according to the present invention.
도 5 는 암호화부의 내부 구조도이다.5 is an internal structure diagram of an encryption unit.
도 6 은 매체 접근 제어 보안 장치에서 프레임이 암호화 및 복호화 되는 과정을 도시한다.6 illustrates a process of encrypting and decrypting a frame in a media access control security device.
도 7 은 도 4 에 도시된 매체 접근 제어 보안 장치 수신부로 입력되는 암호화된 프레임 구조도이다. FIG. 7 is an encrypted frame structure diagram input to the media access control security device receiver shown in FIG. 4.
도 8 은 도 4에 도시된 매체 접근 제어 보안 장치 수신부로 입출력 되는 암호화 되지 않은 평문 프레임 종류별 구조도이다.FIG. 8 is a structural diagram of an unencrypted plain text frame type inputted and outputted to a media access control security device receiver shown in FIG. 4.
도 9 는 매체 접근 제어 보안 장치 수신부의 전체 동작 수순을 보여주는 흐름도이다.9 is a flowchart showing the overall operation procedure of the medium access control security device receiving unit.
도 10 은 프레임별 사용자 설정 서비스 거부 공격 적용 파라미터 값에 따라 입력 프레임의 처리를 설정한 표를 도시한다.FIG. 10 shows a table in which processing of an input frame is set according to a user-set denial of service attack parameter value per frame.
도 11 은 도 9에 도시된 흐름도에서 KEY와 IV를 선택하는 세부 동작 수순을 도시한다.FIG. 11 shows a detailed operation procedure of selecting KEY and IV in the flowchart shown in FIG.
본 발명은 MAC 서비스를 제공하는 EPON(Ethernet Passive Optical Network)망에서 OLT(Optical Network Termination)와 ONU(Optical Network Unit)간에 전송되는 프레임들의 보안 기능을 제공하는 장치 및 방법에 관한 것이다. The present invention relates to an apparatus and method for providing a security function of frames transmitted between an optical network termination (OLT) and an optical network unit (ONU) in an Ethernet passive optical network (EPON) network providing a MAC service.
보다 상세히 본 발명의 MACsecY(MAC Security Entity, 매체 접근 제어 보안 장치)는 EPON망에서 프레임 별로 보안정책을 운용하며, 프레임의 기밀성, 인증성 및 무결성 체크 및 암호화 공격에 대응하고, 매체 접근 제어 보안 장치를 통과하는 프레임을 레인징 시키는 장치 및 방법에 관한 것이다. In more detail, MACsecY (MAC Security Entity, Medium Access Control Security Device) of the present invention operates a security policy for each frame in the EPON network, responds to the confidentiality, authentication and integrity check and encryption attack of the frame, and media access control security device An apparatus and method for ranging a frame passing through the same are provided.
네트워크 계층에서는 전송되는 프레임들의 보안 기능 및 인증 기능을 제공하기 위해 IPSec(IP Security)이나 어플리케이션 레벨의 보안(Password) 기능들을 사용한다. At the network layer, IPSec (application security) or application level password (Password) functions are used to provide security and authentication of transmitted frames.
그러나 최근 LAN의 확장성과 광대역화 그리고 L2 스위칭 기술의 고속화가 이루어지면서, 데이터 링크 계층만을 이용한 통신 서비스에서 프레임들의 보안 기능 및 인증 기능이 요구되고 있다.However, as the scalability, broadband, and L2 switching technology of the LAN have been recently increased, security and authentication of frames are required in a communication service using only the data link layer.
이러한 요구에 따라 IEEE802은 IEEE 802.1AE 작업 그룹을 만들고, 데이터 링크 계층에서 요구되는 MAC Security 제공 기술에 대한 방안 및 매체 접근 제어 보안 장치(MAC Security Entity) 구조에 대해 표준화 중에 있으며,현재 Draft2.0을 발표한 상태이다.In response to these demands, IEEE802 has established an IEEE 802.1AE working group, standardizing the MAC Security provisioning technology and the MAC Security Entity structure required by the data link layer. It has been announced.
IEEE 802.3ah EFM(Ethernet in the First Mile)은 EPON망에서 보안 기능 및 인증 기능을 제공하기 위해 IEEE P802.1AE 작업 그룹에서 표준화 중인 방안 및 구조를 사용한다.The IEEE 802.3ah Ethernet in the First Mile (EMF) uses a scheme and structure that is being standardized by the IEEE P802.1AE Working Group to provide security and authentication capabilities in the EPON network.
EPON망은 매체 공유형 점 대 다중점 구조이기 때문에 보안에 취약점을 가지고 있으므로 보안 기능이 더욱 요구된다. EPON망의 토폴로지상 하향 트래픽은 다른 ONU에 의한 도청의 위험이 존재하고, 상향 트래픽은 인증받지 않은 ONU의 자원 접근이나 다른 ONU에 의한 변장의 위험이 존재한다. The EPON network has a weak point in security because it is a media-sharing point-to-multipoint structure. In the topology of the EPON network, there is a risk of eavesdropping by other ONUs in downlink traffic, and there is a risk of unauthorized resource access or disguise by other ONUs in upstream traffic.
따라서, 가입자에겐 정보의 기밀성을 제공하고, 서비스 사업자에겐 콘텐츠(Contents)의 보호 및 가입자 접속에 따른 과금을 제공할 수 있어야 하므로, 가입자망인 EPON에서의 보안 문제는 가입자 트래픽의 무결성 제공, 비인증 장치 및 가입자의 접속 차단을 목적으로 한다.Therefore, since it is necessary to provide subscribers with confidentiality of information and to provide service providers with protection of contents and charging according to subscriber access, the security problem in subscriber network EPON is to provide subscriber traffic integrity, unauthorized devices and The purpose is to block access of subscribers.
따라서 EPON ONU에서 프레임 보안 기능 및 프레임 인증 기능을 제공하기 위해서는 GCM-AES(Galois/Counter Mode - Advanced Encryption Standard) 알고리즘을 이용한 매체 접근 제어 보안 장치 구조가 요구되며, 기존의 EPON 구조에 용이하게 호환되도록 구현되어야 한다. 그리고 다양한 암호화 공격에 대해 방지 기능이 제공되어야 한다.Therefore, in order to provide frame security and frame authentication in EPON ONU, a media access control security device structure using the Galois / Counter Mode-Advanced Encryption Standard (GCM-AES) algorithm is required. Should be implemented. And protection against various cryptographic attacks should be provided.
본 발명이 이루고자 하는 기술적 과제는, IEEE 802.1AE 작업 그룹에서 표준화 중인 MAC Security 기술을 EPON 링크에서 제공할 수 있는 매체 접근 제어 보안 송신, 수신 장치에서 프레임들의 보안 기능을 제공하는 장치 및 방법을 제공하는 것이다.SUMMARY OF THE INVENTION The present invention provides an apparatus and method for providing a security function of frames in a media access control security transmission and reception apparatus that can provide MAC security technology standardized in an IEEE 802.1AE working group in an EPON link. will be.
상기의 과제를 이루기 위하여, 본 발명에 따른 일 실시예에 따른 매체 접근 제어 보안 장치는 논리적 식별 비교자(LLID)값 및 프레임 종류를 기초로 프레임을 분류하고, LLID를 기초로 프레임 종류별로 보안기능 적용여부를 설정 또는 해지하는 제 1 파라미터 세트를 생성하여 프레임에 대한 보안 기능 적용여부를 판단하며 보안 기능 적용 프레임이 암호화 프레임으로 변환되는 처리 시간과 보안 기능 비적용 프레임의 처리시간이 동일하도록 보안 기능 비적용 프레임을 지연시키는 매체 접근 제어 보안 송신부 장치; 및 LLID 값을 기초로 프레임의 암호화 모드 설정 여부를 체크하며 상기 프레임의 타입값을 기초로 프레임이 암호화 프레임인지 암호화 되지 않은 평문 프레임인지 구분하고 프레임 타입값을 기초로 프레임 별로 서비스 거부 공격 프레임을 처리하며 프레임의 인증 및 복호화에 사용되는 제 2 파라미터 세트값을 생성하고 암호화 프레임이 복호화 되는 처리시간과 평문 프레임의 처리시간이 동일하도록 평문 프레임을 지연시키는 매체 접근 제어 보안 수신부 장치;를 포함한다. In order to achieve the above object, the media access control security device according to an embodiment of the present invention classifies frames based on logical identification comparator (LLID) values and frame types, and a security function for each frame type based on the LLID. Creates a first parameter set that sets or cancels the application to determine whether the security function is applied to the frame, and applies the security function so that the processing time of the security function applying frame is converted to the encrypted frame and the processing time of the non-security function frame is the same. A media access control security transmitter device for delaying a frame; And determining whether to set an encryption mode of the frame based on the LLID value, and distinguishing whether the frame is an encrypted frame or an unencrypted plain text frame based on the frame type value, and processing a denial of service attack frame for each frame based on the frame type value. And a media access control security receiver for generating a second parameter set value used for authentication and decryption of a frame, and delaying the plain text frame so that the processing time for decrypting the encrypted frame is the same as the processing time for the plain text frame.
상기 기술적 과제를 달성하기 위한, 본 발명의 또 다른 일실시예는 논리적 식별 비교자(LLID)값 및 프레임 종류를 기초로 프레임을 분류하고 보안기능 적용여부를 판단하는 단계; 논리적 식별 비교자(LLID)별로 프레임의 암호화, 복호화 및 인증시 사용되는 보안기능 적용 설정 신호, 프레임 복호화 신호, 암호화 모드 선택 신호 및 인증 강도 조정 신호를 포함하는 파라미터 세트 값을 전송하는 단계; 보안 기능 적용 프레임이 암호화 프레임으로 변환되는 처리 시간과 보안 기능 비적용 프레임의 처리시간이 동일하도록 보안 기능 비적용 프레임을 지연시키는 단계; 프레임의 인증 복호화 또는 인증화 단계; LLID 값을 기초로 프레임의 암호화 모드 설정 여부 파악 단계; 프레임의 타입값을 기초로 프레임이 암호화 프레임인지 암호화 되지 않은 평문 프레임인지 구분하고 프레임 타입값을 기초로 프레임 별로 서비스 거부 공격 프레임을 처리 단계; 암호화 프레임이 복호화 되는 처리시간과 상기 평문 프레임의 처리시간이 동일하도록 상기 평문 프레임을 지연시키는 단계;및 프레임의 인증 및 복호화에 사용되는 제 2 파라미터 세트값을 전송하는 단계;를 포함한다.Another embodiment of the present invention for achieving the above technical problem comprises the steps of classifying a frame based on a logical identification comparator (LLID) value and the frame type and determining whether to apply a security function; Transmitting a parameter set value including a security function application setting signal, a frame decryption signal, an encryption mode selection signal and an authentication strength adjustment signal for each logical identification comparator (LLID); Delaying the non-security function applying frame so that the processing time for converting the security function applying frame into the encryption frame and the processing time of the security function non-applying frame are the same; Authentication decryption or authentication of the frame; Determining whether to set an encryption mode of a frame based on the LLID value; Distinguishing whether the frame is an encrypted frame or an unencrypted plain text frame based on the type value of the frame, and processing a denial of service attack frame for each frame based on the frame type value; Delaying the plain text frame such that a processing time at which an encrypted frame is decrypted is equal to a processing time of the plain text frame; and transmitting a second parameter set value used for authentication and decryption of the frame.
이하에서, 도면을 참조하여 본 발명의 실시예에 대하여 상세히 설명하기로 한다. 도면들 중 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 참조번호들 및 부호들로 나타내고 있음에 유의해야 한다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. It should be noted that the same elements among the drawings are denoted by the same reference numerals and symbols as much as possible even though they are shown in different drawings.
하기에서 본 발명을 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.In the following description of the present invention, if it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.
도 1 은 보안 서비스를 지원하는 EPON 망의 레이어 구조를 도시한다. 1 illustrates a layer structure of an EPON network supporting a security service.
해커는 LLID를 수정함으로써 수신된 프레임을 변조할 수 있다. 따라서 EPON 망에서 전송되는 모든 프레임들은 반드시 암호화 되어야 한다. 그 경우 해커는 특정 ONU의 프레임을 수신할 지라도 프레임을 해독할 수 없게 된다. The hacker can modulate the received frame by modifying the LLID. Therefore, all frames transmitted in the EPON network must be encrypted. In that case, even if a hacker receives a frame of a specific ONU, the hacker cannot decrypt the frame.
EPON 망에서 모든 프레임을 암호화 하기 위해, 매체 접근 제어 보안 장치(100)는 MAC 레이어(110)와 MPCP(Multi Point Control Protocol)(120) 레이어 사이에 위치하여야 한다. In order to encrypt all frames in the EPON network, the media access
이 때, 매체 접근 제어 보안 장치는 사용자 구현에 따라 선택적으로 PON Bridge(130), MPCP 프레임(140), OAM 프레임(150)중에서 데이터 프레임을 암호화 할 수 있다. At this time, the media access control security device may selectively encrypt the data frame among the PON Bridge 130,
클라이언트(170)로부터 입력되는 KaY(160, 운용자에 의해 설정된 보안기능 적용 정책)는 매체 접근 제어 보안 장치의 암호키 관리 및 상태 관리를 제공한다. KaY (160, a security function application policy set by an operator) input from the
도 2 는 본 발명에 따른 매체 접근 제어 보안 장치의 상세 블록도이다. 2 is a detailed block diagram of a media access control security device according to the present invention.
본 발명의 바람직한 일실시예에 따른 매체 접근 제어 보안 장치(200)는 1Gbps 또는 2Gbps 속도로 입력되는 프레임에 대해 인증 암호화/복호화 및 프레임 인증 기능을 수행하는 것을 특징으로 하며, 매체 접근 제어 보안 장치 송신부(210)와 매체 접근 제어 보안 장치 수신부(220)로 구성된다. The media access
매체 접근 제어 보안 장치 송신부(210)는 프레임 분류기(211), 바이패스부(212), 송신 FCS 제거부(213), 송신 프레임 인코더 (214), 암호화부(215), 송신 프레임 조립부(216), 송신 프레임 다중화부(217), 파라미터 생성부(218)를 포함한다.The medium access control
매체 접근 제어 보안 장치 수신부(220)는 프레임 분류기(221), 바이패스부(222), 수신 FCS 제거부(223), 수신 프레임 디코더(224), 암호화부(225), 수신 프 레임 조립부(226), 수신 FCS 생성부(227), 수신 프레임 다중화부(228), 파라미터 검증부(229)를 포함한다.The media access control
매체 접근 제어 보안 송신부(210)의 동작은 다음과 같다. The operation of the medium access
프레임 분류기(211)는 운용자에 의해 설정된 보안기능 적용 정책에 따라 입력되는 프레임의 종류를 확인하고, 해당 프레임에 보안 기능을 적용할지를 결정하여 보안기능 적용할 프레임은 송신 FCS 제거기(213)로 보내고, 비보안 기능 적용 프레임은 바이패스부(212)로 보낸다. The
상기 프레임 분류기(211)는 프레임이 입력되면 상기 프레임의 논리적 식별 비교자 값(LLID)을 파라미터 생성부(218)로 전송한다. The
상기 파라미터 생성부(218)는 해당 LLID 의 보안기능 적용여부 신호를 송신 프레임 분류기로 보내며, 프레임 분류기(211)는 입력된 프레임에 보안기능을 적용할지 여부를 이 신호를 보고 판단한다. 상기 신호는 CPU를 통해 파라미터 생성부(218)에 설정할 수 있다. The
또한, 상기 프레임 분류기(211)는 프레임 종류를 3가지로 구분하여 MAC클라이언트로부터 온 프레임, MPCP 프레임, 기타 클라이언트로부터 온 프레임을 구분하여 각 프레임의 보안기능 적용여부를 결정한다. 프레임 종류를 구분하기 위하여 송신 프레임 분류기는 프레임 입력시 프레임 종류를 나타내는 신호를 함께 입력받는다.In addition, the
이와 같은 동작을 통해 프레임 분류기(211)는 입력되는 프레임을 각 LLID별 및 프레임 종류별로 보안기능 적용여부를 선택할 수 있다. 이에 대하여는 도 3에 도시되어 있으며, 관련 설명은 후술하기로 한다.Through this operation, the
바이패스부(212)는 상기 프레임 분류기(211)에서 분류된 보안 기능 적용 프레임이 암호화 프레임으로 변환되는 처리시간과 보안 기능이 적용되지 않는 프레임의 처리시간이 동일하도록 상기 보안 기능 비적용 프레임을 지연시키는 기능을 수행한다. The
보안 기능 적용 프레임이나 보안 기능 비적용 프레임이 동일한 지연 시간을 갖게 됨으로서 EPON에서 정확한 Ranging 과 상향 전송시간 할당을 정확하게 할 수 있도록 한다. 바이패스부(212)에서 처리되는 지연 시간은 다음과 같다.Security-enforced frames and non-security-enforced frames have the same delay time, allowing EPON to correctly allocate Ranging and Uplink Transmission Time. The delay time processed by the
프레임 바이패스 지연시간 = 송신 FCS제거기 처리시간 + 송신 프레임 디코더 처리시간 + 암호화 인증 암호화 처리시간 + 송신 프레임 조립 처리시간 Frame Bypass Delay Time = Transmit FCS Eliminator Processing Time + Transmit Frame Decoder Processing Time + Encryption Authentication Encryption Processing Time + Transmit Frame Assembly Processing Time
다만 상기 지연시간은 본 발명의 바람직한 일 실시예로서, 상기에 제한되는 것은 아니며, 발명의 기술적 사상을 벗어나지 않는 범위 내에서 변형, 변조 및 수정이 가능하다는 점을 유의하여야 한다.However, the delay time is a preferred embodiment of the present invention, and is not limited to the above, and it should be noted that modifications, modulations, and modifications can be made without departing from the technical spirit of the present invention.
송신 FCS제거기(213)는 프레임 분류기(211)로부터 입력된 프레임의 끝에 첨부된 4바이트의 FCS를 제거한다. The transmitting
송신 프레임 인코더(214)는 송신 FCS 제거기(213)로부터 입력된 프레임을 파라미터 생성부(218)로부터 받은 해당 프레임에 대한 정보를 이용하여 SECTag (Security Tag) 및 PN 등을 추가하여 MACsec 프레임 구조로 만들고, IV 값과 암호키, AAD 와 MSDU 로 분리하여 암호화부(215)로 전달한다. The
암호화부(215)는 입력되는 프레임을 인증하거나 인증 암호화한다.The
송신 프레임 조립기(216)는 암호화부(215)를 거쳐 인증 또는 인증 암호화된 프레임에 그 프레임의 LLID 및 헤더를 덧붙여 송신 다중화기(217)로 전송한다. The
송신 다중화기(217)는 송신 프레임 조립기(216)와 바이패스부(212)로부터 온 프레임을 다중화하여 송신한다.The
파라미터 생성부(218)는 각 LLID (Logical Link ID)에 대해 암호키, IV, PN, 보안정책 및 옵션 등에 대한 파라미터 값을 저장하고 있으며, 매 프레임마다 해당하는 LLID 에 대해 저장된 파라미터를 다른 블록으로 전달한다. The
도 2 에서 매체 접근 제어 보안 수신부(220)의 각 구성요소에 대하여서는 도 4에서 보다 자세히 설명하기로 한다.Each component of the media access
도 3은 매체 접근 제어 보안 송신부(210)의 프레임 분류기(211)에서의 처리과정이다.3 is a process of processing by the
프레임이 입력되면(300) 상기 프레임의 LLID 값을 보고 상기 프레임이 보안 기능을 적용할 링크인지를 판단한다(310). 보안 기능을 적용할 링크가 아닌 경우에는 바이패스부로 전송하고(330), 그렇지 않은 경우에는 상기 프레임 별로 보안 기능 적용여부를 판단한다(320).When the frame is input (300), the LLID value of the frame is viewed to determine whether the frame is a link to which a security function is applied (310). If it is not the link to apply the security function is transmitted to the bypass unit (330), otherwise it is determined whether to apply the security function for each frame (320).
상기 보안 기능 적용 프레임은 상기 프레임의 LLID 마다 Session Key를 사용할지 Master Key를 사용할지 결정한다. 도 1을 참고하면 EPON 망에서 ONU와 OLT는 암호화 운용시 PON Bridge(130)로부터 프레임이 온 경우 Session Key를 사용하고, Kay(160)로부터 프레임이 온 경우 Master Key 또는 Session Key를 사용하기로 설정한다(340). The security function application frame determines whether to use a session key or a master key for each LLID of the frame. Referring to FIG. 1, in the EPON network, ONU and OLT are set to use a session key when a frame comes from the
사용할 암호키의 선택은 KaY 에 의해 결정되며, KaY에서 그 필요에 따라 두 암호키 중 하나를 선택할 수 있다. 암호화 송신부 및 수신부는 두 개의 암호키를 동시에 운용할 수 있다. 그 후 상기 프레임을 인코더로 전송한다(350).The choice of encryption key to use is determined by KaY, which allows KaY to choose one of the two encryption keys. The encryption transmitter and receiver can operate two encryption keys at the same time. Thereafter, the frame is transmitted to the encoder (350).
도 4 는 본 발명에 따른 매체 접근 제어 보안 수신부의 상세 블록도이다. 4 is a detailed block diagram of a media access control security receiver according to the present invention.
프레임 분류기(410)는 KaY(Key Agreement Entity for MAC Security)를 통해 운용자에 의해 설정된 검증 파라미터 블록의 MACsecY 암호화 동작 유무에 따라서 입력되는 프레임을 암호화 블록으로 전송하거나 수신 프레임 바이패스 블록으로 전달하며, 또는 동작 모드에 따라 프레임을 폐기한다. The
다시 말해, 프레임의 LLID 값을 기초로 보안 기능 적용여부를 파악하고 수신된 프레임의 이더넷 타입 필드를 이용해 상기 프레임이 암호화된 프레임인지 암호화되지 않은 프레임인지 구분한다.In other words, whether the security function is applied or not is determined based on the LLID value of the frame, and whether the frame is an encrypted frame or an unencrypted frame using the Ethernet type field of the received frame.
프레임 분류기(410)는 또한 암호화 되지 않은 평문 프레임이 보안 기능 모드에 입력된 경우, 암호화 프레임이 비보안 기능 모드에 입력된 경우, 서비스 거부 공격 프레임과 같은 프레임을 삭제한다. The
즉, 프레임 분류기(410)는 입력 프레임 종류별로 DOS공격 프레임으로 설정할 수 있다(s491). That is, the
프레임의 보안태그 필드 내의 16비트 이더넷 타입 값을 기초로 상기 프레임의 종류가 암호화 프레임인지 평문 프레임인지 파악하고 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악하여 프레임 종류별, 보안채널 별로 보안기능 적용여부를 정의한 사용자 설정 파라미터 및 상기 사용자 설정 파라미터 별로 정의한 DoS 공격 프레임 적용 모드 파라미터를 기초로 상기 프레임에 대한 서비스 거부 공격을 처리한다. Based on the 16-bit Ethernet type value in the security tag field of the frame, determine whether the frame is an encrypted frame or a plain text frame and determine whether the frame is a broadcast security channel or a unicast security channel. A denial of service attack is performed on the frame based on a user setting parameter defining whether to apply it and a DoS attack frame applying mode parameter defined for each user setting parameter.
FCS 제거기 모듈(420)은 프레임 분류기(410)로부터 입력된 암호화된 프레임에서 4바이트의 FCS값을 제거하는 기능을 수행한다. 암호화부(450)는 암호화된 프레임을 평문 프레임으로 복호화하기 때문에 복호화가 끝난 후 평문 MAC프레임에 대한 새로운 FCS값을 계산해야 한다. 따라서 암호화부(450)에 암호화된 프레임을 입력하기 전에 FCS값을 제거한다.The
수신 바이패스부(430)는 암호화된 프레임이 복호화 되면서 처리되는 시간과 암호화되지 않은 평문 MAC프레임이 수행되는 시간이 동일하도록 상기 평문 MAC 프레임을 지연시키는 기능을 수행한다. The
암호화된 프레임이나 암호화되지 않은 프레임이 동일한 지연 시간을 갖게 됨으로서 EPON에서 OLT의 Multi Point MAC Control모듈이 모든 프레임에 대해 동일한 시간을 통해 정확한 Ranging이나 ONU의 전송시간 할당을 정확하게 할 수 있도록 한다. 수신 바이패스부(430) 에서 처리되는 지연 시간은 다음과 같다.Encrypted or unencrypted frames have the same delay time, allowing EPON's Multi Point MAC Control module to make accurate Ranging or ONU transmission time assignments exactly the same for all frames. The delay time processed by the
수신 프레임 바이패스 지연시간 = 수신 FCS제거기 처리시간 + 수신 프레임 디코더 처리시간 + 암호화부에서 인증 복호화 처리시간 + 수신 프레임 조립 처리시간 + FCS생성기 처리시간Receive Frame Bypass Delay Time = Receive FCS Eliminator Processing Time + Receive Frame Decoder Processing Time + Encrypt Decryption Processing Time + Receive Frame Assembly Processing Time + FCS Generator Processing Time
다만 상기 지연 시간은 본 발명의 일 실시예에 따른 바람직한 실시예로서, 발명의 기술적 사상이 동일한 범위 내에서 발명의 구성이 변화, 변경, 수정되는 경우 변경 될 수 있음이 명확함을 유의하여야 한다. However, the delay time is a preferred embodiment according to an embodiment of the present invention, it should be noted that the technical spirit of the invention can be changed if the configuration of the invention is changed, changed, modified within the same range.
프레임 디코더(440)는 FCS제거기 모듈(420)로부터 입력된 암호화된 프레임에 대해 4비트의 데이터 카운터를 이용하여 프레임 복호화에 필요한 정보를 추출하는 기능을 수행한다. The
프레임 디코더(440)에서 암호화된 프레임은 4비트 데이터 카운터 값에 따라 MAC Header, SecTAG(Security Tag), PN(Packet Number)(s305), AAD(Additional Authentication Data), Secure MSDU(MAC Service Data Unit)로 프레임을 분리되어 전송된다. Frames encrypted by the
상기 MAC Header는 8바이트의 Preamble과 6바이트의 Destination Address, 6바이트의 Source Address를 포함한다. SecTAG은 MACsecY Ethertype필드와 TCI(Tag Control Information)값(s304) 등으로 구성된다. PN값은 전송되는 패킷 순서를 나타내는 Sequence Number이다. The MAC header includes 8 bytes of preamble, 6 bytes of destination address, and 6 bytes of source address. SecTAG consists of a MACsecY Ethertype field and a Tag Control Information (TCI) value s304. The PN value is a sequence number indicating the packet order to be transmitted.
또한 프레임 디코더 모듈(440)은 TCI필드(s304)내의 AN(Association Number)값을 이전에 프레임에 입력된 AN값과 비교하여 Replay 체크를 수행하는 재전송 공격 처리부를 포함한다. In addition, the
상기 재전송 공격 처리부는 상기 프레임 분류기(410)로부터 서비스 거부 공격(DoS) 프레임에 해당하지 않는 암호화된 MAC 프레임을 입력받아 프레임의 이더넷 타입 값을 기초로 브로드캐스트 보안채널인지 유니캐스트 보안채널인지 파악한다.The retransmission attack processor receives an encrypted MAC frame that does not correspond to a denial of service attack (DoS) frame from the
그 후 해당 채널에서 보안 연계별(Security Association, SA)로 패킷 넘버 값을 비교하여, 동일한 보안 연계 상태에서 현재 입력된 프레임의 패킷 넘버 값이 이전 프레임에 입력된 패킷 넘버 값보다 적거나 같은 경우 재 전송 공격 프레임으 로 간주하여 삭제하고, 그렇지 않은 프레임은 디코더(440)로 전송한다.After that, the packet number value is compared by the Security Association (SA) in the corresponding channel, and if the packet number value of the frame currently input in the same security association state is less than or equal to the packet number value input in the previous frame, the packet number value is compared again. It is regarded as a transmission attack frame and deleted. Otherwise, the frame is transmitted to the
그러나 이전 프레임에 입력된 AN Flag값과 현재 프레임에 입력된 AN Flag값이 다르면 키의 주기가 바뀌었으므로 재전송 공격을 체크하지 않는다. 프레임 디코더(440)은 입력된 프레임이 재 전송 프레임이 아닌 경우 AAD값과 Secure MSDU를 암호화부(450)로 전송한다. However, if the AN Flag value input in the previous frame and the AN Flag value input in the current frame are different, the period of the key is changed so that the retransmission attack is not checked. The
암호화부(450)는 상기 프레임 디코더(440)로부터 입력된 AAD와 MSDU 그리고 파라미터 검증부(490)로부터 입력된 KEY(s495)와 IV(s496)를 이용하여 인증 복호화및 인증 체크기능을 수행한다. The
매체 접근 제어 보안 수신부(400)에 사용되는 암호화부(450)는 KaY 설정에 따라 인증 복호화 모드와 인증 체크 모드로 동작하며, 1Gbps 또는 2Gbps모드로 동작한다. The
인증 복호화 모드(451, 452)는 프레임 디코더(440)로부터 입력된 Secure MSDU를 KEY(s495)와 IV(s496)를 이용하여 평문 프레임으로 복호화하는 기능을 수행한다.The
또한 프레임 디코더(440)로부터 입력된 AAD값과 Secure MSDU에 대한 ICV(Integrity Check Value)값을 계산하고, Secure MSDU에 포함된 ICV값과 비교하여 암호화된 프레임이 전송도중 변조되었는지 체크하는 기능을 수행한다. In addition, the AAD value input from the
만약 계산된 ICV값과 입력된 ICV값이 서로 다를 경우 인증 실패 신호와 함께 복호화된 프레임을 전송하게 된다. 암호화된 프레임에 포함된 ICV값은 송신부에서 프레임 암호화시 계산된 ICV값이 된다. If the calculated ICV value and the input ICV value are different, the decoded frame is transmitted together with the authentication failure signal. The ICV value included in the encrypted frame becomes the ICV value calculated when the frame is encrypted by the transmitter.
인증 체크 모드(452)는 MSDU에 대해 복호화 기능을 수행하지 않고, 단지 입력된 프레임에 대해 ICV값을 계산하고 MSDU에 포함된 ICV값과 비교하여 입력 MAC 프레임이 전송도중 변조되었는지 체크한다. The
또한 인증 체크 강도를 위해 ICV길이는 사용자의 정의에 따라 4, 8, 12, 16바이트 중에 하나로 설정한다. Also, for authentication check strength, the ICV length is set to 4, 8, 12, or 16 bytes according to the user's definition.
인증 강도는 ICV 길이에 따라 달라진다. ICV 의 길이가 길수록 인증 강도는 높아지고, ICV 의 길이가 짧을수록 인증 강도는 낮아진다. 인증 강도를 높이기 위해 ICV 길이를 길게 하면 전송 처리량이 줄어들게 되고, 전송 처리량을 늘리기 위해 ICV 길이를 짧게 하면 인증 강도는 낮아지게 된다. Authentication strength depends on the ICV length. The longer the ICV, the higher the authentication strength, and the shorter the ICV, the lower the authentication strength. If the ICV length is increased to increase the authentication strength, the transmission throughput is reduced. If the ICV length is shortened to increase the transmission throughput, the authentication strength is lowered.
ICV 값은 Hash 값으로써, 긴 프레임을 암호키를 이용하여 짧은 메시지로 만든 것이다. ICV 값이 짧아질수록 서로 다른 프레임에 대해 같은 ICV 로 계산될 확률이 높아지게 되고, ICV 값이 길수록 서로 다른 프레임에 대해 같은 ICV 로 계산될 확률이 낮아지게 된다. The ICV value is a hash value, which makes a long frame a short message using an encryption key. The shorter the ICV value, the higher the probability of calculating the same ICV for different frames, and the longer the ICV value, the lower the probability of calculating the same ICV for different frames.
그러므로 프레임의 변조가 발생되었을 때, ICV 값의 길이가 짧으면 확률적으로 변조를 체크하지 못할 가능성이 커진다.Therefore, when the modulation of the frame occurs, if the ICV value is short in length, there is a high probability that the modulation cannot be checked.
암호화부(450)에 대한 상세한 설명은 도 5에서 보다 상세히 후술하기로 한다.A detailed description of the
프레임 조립부(460)은 암호화부(450)로부터 입력된 평문 MSDU와 프레임 디코더(440)로부터 입력된 MAC헤더(s441)를 조립하여 하나의 MAC 프레임을 생성하는 기능을 수행한다. The
암호화부(450)로부터 평문 MSDU가 입력되기 전에 프레임 디코더(440)로부터 MAC 헤더(s441)가 입력되어 내부 레지스터에 저장된다. 평문 MSDU가 입력되면 평문 MSDU는 5클록을 쉬프트 시키고, 프레임 조립부(460)은 내부 레지스터에 저장된 값 중 Preamble부터 순서적으로 전달한다. Before the plain text MSDU is input from the
이러한 동작은 3비트의 데이터 카운터에 따라 수행된다. 3비트의 데이터 카운터는 입력되는 평문 MSDU의 Enable신호에 동기 되어 0에서 5까지 카운트된다. 즉, 카운터가 0이면 첫 번째 Preamble을 전송하고, 1이면 LLID가 포함된 Preamble를 전달한다. 그리고 2이면 Destination Address[47:16]를 3이면 Destination Address[15:0]와 Source Address[47:32]를 4이면 Source Address[31:0]을 전송한다. 그 이후 5클럭 쉬프트된 평문 MSDU가 전송된다. This operation is performed in accordance with a 3-bit data counter. The 3-bit data counter is counted from 0 to 5 in synchronization with the enable signal of the input plaintext MSDU. That is, if the counter is 0, the first preamble is transmitted. If the counter is 1, the preamble including the LLID is transmitted. If 2, Destination Address [47:16] is 3, Destination Address [15: 0] is 3, Source Address [47:32] is 4, and Source Address [31: 0] is transmitted. Thereafter, a 5 clock shifted plaintext MSDU is transmitted.
FCS 생성부(470)은 프레임 조립부(460)로부터 입력된 평문 MAC프레임에 대해 4바이트 FCS를 계산하여 MAC프레임 끝에 첨부하는 기능을 수행한다. The
FCS계산은 "G(x) = X32 + X26 + X23 + X22 + X16 + X12 + X11 + X10 + X8 + X7 + X5 + X4 + X2 + X + 1" CRC-32(B)순항 다항식을 이용한다. 프레임 조립부(460)로부터 입력된 MAC프레임의 길이가 가변이므로 바이트 단위로 FCS가 계산된다. The FCS calculation uses the CRC-32 (B) cyclic polynomial "G (x) = X32 + X26 + X23 + X22 + X16 + X12 + X11 + X10 + X8 + X7 + X5 + X4 + X2 + X + 1". Since the length of the MAC frame input from the
프레임 조립부(460)로부터 매 클록마다 입력되는 32비트 데이터들은 프레임 조립부(460)에서 사용하는 31.25MHz 주파수 보다 4배 빠른 125MHz 클록 주파수를 사용하며 32비트 입력을 8비트로 나눈 후 바이트 단위로 FCS를 계산한다.32-bit data input from the
상기 계산된 4개의 1바이트 FCS값들은 프레임 다중화 모듈(312)의 31.25MHz 주파수를 이용하여 8비트 데이터를 32비트로 모아 출력한다.The four single-byte FCS values calculated above are used to collect and output 8-bit data into 32 bits using the 31.25 MHz frequency of the frame multiplexing module 312.
프레임 다중화부(480)는 바이패스부(430)로부터 입력된 MAC프레임(s431)과 FCS생성부(470)로부터 입력된 MAC프레임(s312)을 다중화 하여 상위로 전달(s313)하는 기능을 수행한다. The
프레임 바이패스 모듈(303)을 통과하는 처리시간과 복호화를 통해 처리된 시간이 동일하므로 어느 시점에 있어서 항상 하나의 프레임만이 입력된다. 또한 프레임 다중화 모듈(312)은 입력된 MAC프레임이 복호화된 프레임인지 복호화 되지 않은 MAC프레임인지를 상위에 알려준다.Since the processing time passing through the frame bypass module 303 and the processing time through decoding are the same, only one frame is input at any time. The frame multiplexing module 312 also informs a higher level whether an input MAC frame is a decoded frame or an undecoded MAC frame.
도 5 는 암호화부의 내부 구조도이다.5 is an internal structure diagram of an encryption unit.
암호화부는 CTR-AES 모듈(510)과 Galois Message Authentication Code(GMAC)(520)모듈 및 두 개의 컨버터 (530, 540)로 구성된다. The encryption unit includes a CTR-
암호화부(450)는 CTR-AES알고리즘을 이용하여 프레임 복호화를 수행하고, 4-Digit Serial방식의 GF(2128)을 이용한 GMAC을 이용하여 인증 체크한다. AES알고리즘은 Key Expander모듈을 포함하고 있으며, NIST(National Institute of Standards and Technology)의 FIPS(Federal Information Processing Standard)197을 만족한다. The
상기 Key Expander모듈은 확장되지 않은 128비트 키를 입력받아 FIPS197에 기술된 KEY Expanding 알고리즘에 의해 1408비트의 확장키를 생성하고, AES의 각 라운드에 128비트씩 11개의 라운드 키를 공급한다. The Key Expander module receives an unexpanded 128-bit key and generates an 1408-bit expansion key by the KEY Expanding algorithm described in FIPS197, and supplies 11 round keys of 128 bits for each round of the AES.
1Gbps 성능의 MACsecY기능(300)을 구현하기 위해 암호화부(450)은 62.5MHz 클럭에 동작하고, 2Gbps 성능의 MACsecY기능을 구현하기 위해 암호화부(450)는 125MHz 클럭에 동작한다. The
따라서 암호화부는 31.25MHz(1Gbps)로 또는 62.5MHz(2Gbps) 동작하는 프레임 디코더 및 프레임 조립부와 인터페이스하기 위해 이들 클록간의 동기를 위한 입출력 인터페이스가 포함된다. 암호화부는 프레임 디코더가 31.25MHz클록으로 동작할 때 8사이클마다 프레임 인증 복호화 및 인증체크를 수행한다. Therefore, the encryption unit includes an input / output interface for synchronization between these clocks to interface with the frame decoder and frame assembly operating at 31.25 MHz (1 Gbps) or 62.5 MHz (2 Gbps). The encryption unit performs frame authentication decryption and authentication check every 8 cycles when the frame decoder operates at a 31.25 MHz clock.
상기 CTR-AES 블락은 암호화 및 복호화 기능을 이용하여 데이터 기밀성 및 데이터 무결성을 제공한다. 상기 GMAC 모듈은 데이터 인증을 제공한다. The CTR-AES block provides data confidentiality and data integrity by using encryption and decryption functions. The GMAC module provides data authentication.
두 개의 컨버터 블락(530, 540)은 32 비트 데이터 를 128 데이터 비트로 또는 128 비트 데이터를 32비트로 전환하는 기능을 제공한다. CTR-AES 및 GMAC 모듈에서의 데이터 및 키의 사이즈는 128 비트이다. Two converter blocks 530 and 540 provide the ability to convert 32-bit data to 128 data bits or 128-bit data to 32 bits. The size of data and keys in the CTR-AES and GMAC modules is 128 bits.
상기 암호화부는 KaY에서 정한 모드값에 따라 인증 암호화 모드 또는 인증 모드로 작동한다. LLID 별로 해당 채널을 인증 암호화 모드로 운용할 것인지, 인증 모드로 운용할 것인지를 KaY에서 설정가능하고, 프레임 분류기에서 입력 프레임의 LLID를 파라미터 생성부로 전달하면 파라미터 생성부는 KaY에서 설정한 모드를 알려준다.The encryption unit operates in an authentication encryption mode or an authentication mode according to the mode value determined by KaY. It is possible to set whether to operate the corresponding channel in the authentication encryption mode or the authentication mode for each LLID in KaY. If the LLID of the input frame is transmitted to the parameter generator from the frame classifier, the parameter generator informs the mode set in KaY.
도 6 은 매체 접근 제어 보안 장치에서 프레임이 암호화 및 복호화 되는 과정을 도시한다.6 illustrates a process of encrypting and decrypting a frame in a media access control security device.
도 7 은 도 4 에 도시된 매체 접근 제어 보안 수신부로 입력되는 암호화된 프레임 구조도이다. FIG. 7 is an encrypted frame structure diagram input to the media access control security receiver shown in FIG. 4.
MAC모듈로부터 입력되는 암호화된 MAC프레임은 8 바이트의 SecTAG과 16 바이트의 ICV 필드(706)가 추가되어 Encapsulation된다. 8 바이트의 SecTAG은 2 바이트의 매체 접근 제어 보안 장치의 Ethertype(ET)필드(701)와 1 바이트의 TCI필드(702), 1 바이트의 SL(Short Length)필드(703), 4바이트의 PN필드(704)로 구성된다. The encrypted MAC frame input from the MAC module is encapsulated by adding an 8-byte SecTAG and an 16-
즉, EPON망에서 MAC Security서비스를 제공하기 위해서는 기존의 MAC프레임에 최소한 24바이트가 추가된다. 일반 MAC프레임의 암호화는 MAC헤더를 제외한 MAC Ethertype부터 FCS전단의 데이터(705)까지 암호화된다.That is, at least 24 bytes are added to the existing MAC frame to provide MAC security service in the EPON network. Encryption of the general MAC frame is encrypted from the MAC Ethertype excluding the MAC header to the
1 바이트의 TCI필드(702)는 1비트의 버전필드(711), 1비트 ES필드(712), 1비트의 SC필드(713), 1비트의 SCB필드(714), 1비트의 SH필드(715), 2비트의 AN필드(716)로 구성된다. The 1-
SCB필드(714)는 Single Copy Broadcast 프레임인지 아닌지를 나타내고, AN필드(716)는 4개의 SA를 구분하는데 사용된다. SH필드(715)는 프레임의 사이즈가 64바이트보다 적은 경우에 표시되며 그 길이는 1바이트의 SL필드(703)에 나타낸다.The
도 8 은 도 4에 도시된 MACsecY수신부로 입출력 되는 암호화 되지 않은 평문 프레임 종류별 구조도이다. MACsecY수신부에는 MAC모듈로부터 도 7에 도시된 암호화된 프레임(700)이 입력되거나 도 8에 도시된 암호화 되지 않은 여러 종류의 프레임(800, 810, 820, 830)이 입력된다. FIG. 8 is a structural diagram of unencrypted plaintext frame types inputted and outputted to the MACsecY receiver shown in FIG. 4. The MACsecY receiving unit receives an
MAC모듈로부터 입력된 암호화 되지 않은 프레임에는 MAC 데이터 프레임(800), MPCP 프레임(810), OAM프레임(820), KEY프레임(830)이 있다. 이들 프레임들 은 2바이트의 MAC Ethertype(802, 811, 821, 831) 필드를 통해 구분하게 된다.The unencrypted frame input from the MAC module includes a
MPCP프레임(810)의 이더 타입값(811)은 0x8808이며, OAM프레임(820)의 이더 타입값(821)은 0x8809이다. 현재 KEY프레임(830)의 이더 타입값(831)은 0x8808을 사용하나 아직 결정되지 않았으므로 사용자의 정의에 따라 값을 설정한다. 그 외 프레임의 이더 타입은 데이터 프레임(800)으로 고려된다.The
도 7 에 도시된 암호화 프레임(700)은 매체 접근 제어 보안 장치에서 복호화 되면 도 8에 도시된 프레임(800. 810, 820, 830)중의 하나의 형태로 Multi Point MAC Control모듈로 전달된다. When the
도 9 는 매체 접근 제어 보안 장치 수신부의 전체 동작 수순을 보여주는 흐름도이다.9 is a flowchart showing the overall operation procedure of the medium access control security device receiving unit.
도 9 의 흐름도는 암호화 프레임(700) 또는 암호화 되지 않은 프레임(800, 810, 820, 830)에 대해 바이패스 또는 인증 복호화 처리를 통해 평문 MAC 프레임으로 전송하는 동작에 관한 것으로, 매 프레임이 입력될 때마다 바이패스 또는 인증 복호화 과정을 순환적으로 반복한다. The flowchart of FIG. 9 relates to an operation of transmitting an
MAC모듈로부터 암호화 프레임(700) 또는 암호화 되지 않은 프레임(800, 810, 820, 830)이 입력된다. 매체 접근 제어 보안 수신부는 파라미터 검증부로부터 받은 파라미터 세트와 암호화부의 작동 모드를 먼저 저장한다. 그렇지 않은 경우, 매체 접근 제어 보안 장치는 보안 서비스를 지원하지 않는 디폴트 모드에서 작동한다(910). An
매체 접근 제어 보안 수신부가 비 암호화 설정인 경우 입력 프레임이 암호화 프레임(700)인지 암호화 되지 않은 프레임(800, 810, 820, 830)인지 구분한다(920). When the media access control security receiver is set to non-encryption, it is determined whether the input frame is an
암호화 프레임(700)이 입력되면 매체 접근 제어 보안 수신부 모듈이 비 암호화 모드이므로 입력된 프레임을 삭제한다(921). When the
암호화 되지 않은 프레임(800, 810, 820, 830)이 입력된 경우, 복호화 과정에서 소용되는 처리시간 만큼 입력 프레임을 지연시킨 후 바이패스한다(922). 상기 바이패스 된 프레임은 복호화된 프레임과 다중화 하기 위해 프레임 다중화부로 전송된다(980).When the
매체 접근 제어 보안 수신부가 암호화 모드로 설정된 경우 프레임 별로 상기 프레임이 사용자 설정 파라미터값에 기초할 때 서비스 거부 공격 프레임인지 여부를 판단한다. When the medium access control security receiver is set to the encryption mode, it is determined whether the frame is a denial of service attack frame based on a user setting parameter value for each frame.
도 10에 본 발명의 바람직한 일 실시예로서 도시된 프레임별 사용자 설정 서비스 거부 공격 적용 파라미터 값에 따라 서비스 거부 공격 프레임에 해당하는 경우 프레임을 삭제하는 일 실시예가 제시되고 있다. 다만 이는 본 발명의 일 실시예에 해당하는 것으로 본 발명의 기술적 사상을 제한하는 것이 아님을 유의하여야 한다.An embodiment of deleting a frame when a service denial attack frame corresponds to a user set denial of service attack parameter value shown in FIG. 10 as a preferred embodiment of the present invention is shown. It should be noted that this does not limit the technical spirit of the present invention as it corresponds to an embodiment of the present invention.
서비스 거부 공격 프레임에 해당하지 않는 경우, 프레임의 이더넷 타입 값을 기초로 상기 프레임이 암호화 프레임인지 평문 프레임인지 구분한다(940). If it does not correspond to the denial of service attack frame, it is determined whether the frame is an encrypted frame or a plain text frame based on the Ethernet type value of the frame (940).
암호화 되지 않은 평문 프레임인 경우 암호화 프레임이 복호화 과정에서 소요되는 처리시간만큼 프레임을 지연시킨후 바이패스 한다(922). If the plain text frame is not encrypted, the frame is delayed by a processing time required for the decryption process and then bypassed (922).
암호화 프레임인 경우 인증 복호화 과정을 수행하기 위해 암호화된 프레임의 끝에 삽입된 4바이트 FCS 값을 삭제한다(942). 4바이트의 FCS가 제거된 암호화된 프레임은 AN FLAG 값을 기초로 현재의 보안 연계를 판단하고, 현재의 보안 연계와 이전에 입력된 프레임의 보안 연계가 동일한 경우 프레임의 패킷 넘버 값을 비교하여 재전송 공격을 체크한다(950).In the case of the encrypted frame, the 4-byte FCS value inserted at the end of the encrypted frame is deleted to perform the authentication decryption process (942). The encrypted frame with 4 bytes of FCS removed determines the current security association based on the AN FLAG value, and if the security association of the current security association and the previously entered frame is the same, compares the packet number value of the frame and retransmits it. The attack is checked (950).
즉 현재 프레임에 입력된 프레임의 패킷 넘버(PN)가 이전 프레임의 패킷넘버(PN')보다 작거나 동일한 경우에는 재 전송 공격 프레임에 해당한다고 판단하여 프레임을 삭제하고 KaY로 인터럽트 신호를 전송한다(951). That is, if the packet number (PN) of the frame input to the current frame is less than or equal to the packet number (PN ') of the previous frame, it is determined that it corresponds to a retransmission attack frame, and the frame is deleted and an interrupt signal is transmitted to KaY ( 951).
재 전송 공격 프레임이 아닌 경우에는 정상 프레임으로 판단하여 프레임을 전송한다. 그리고 현재 프레임에 입력된 패킷 넘버(PN)값은 PN'에 저장하며, 4바이트의 FCS가 제거된 암호화된 프레임을 MAC주소, SecTAG, PN, AAD, Secure MSDU로 디코딩한다(960). 디코딩된 SecTAG의 TCI값과 PN을 이용하여 인증 복호화에 사용할 KEY와 IV를 선택한다(961).If it is not a retransmission attack frame, it determines that the frame is normal and transmits the frame. The packet number (PN) input to the current frame is stored in PN ', and the encoded frame from which the 4-byte FCS is removed is decoded into a MAC address, SecTAG, PN, AAD, and Secure MSDU (960). A KEY and an IV to be used for authentication decryption are selected using the TCI value and the PN of the decoded SecTAG (961).
암호화부는 KEY와 IV, AAD, Secure MSDU를 통해 암호화된 DATA를 인증하고, 평문 MSDU로 복호화 한다(962). 인증에 실패하면 복호화된 평문 DATA의 다음 클록에서 Fail신호를 활성화하고 CPU로 인터럽트를 전송한다(963). The encryption unit authenticates the encrypted data through the KEY and IV, AAD, Secure MSDU, and decrypts it to plain text MSDU (962). If the authentication fails, the Fail signal is activated at the next clock of the decrypted plain text DATA and an interrupt is transmitted to the CPU (963).
인터럽트 발생 주기는 KaY를 통해 제어된다. 복호화된 평문 MSDU는 디코딩된 MAC주소(s610)와 함께 조립되어 복호화된 평문 MAC프레임을 만든다(964).Interrupt generation period is controlled by KaY. The decrypted plain text MSDU is assembled with the decoded MAC address s610 to create a decrypted plain text MAC frame (964).
복호화된 평문 MAC프레임은 전송 도중의 에러를 검사하기 위하여 4바이트의 FCS값을 생성하여 추가한다(970). The decoded plaintext MAC frame generates and adds a 4-byte FCS value to check for errors during transmission (970).
매체 접근 제어 보안 수신부는 바이패스된 프레임과 복호화된 평문 프레임을 MAC Control 부계층으로 전송하기 위하여 프레임을 다중화 하고, 다중화된 프레임은 Multi Point MAC Control모듈로 전달된다(980).The media access control security receiver multiplexes the frame to transmit the bypassed frame and the decrypted plaintext frame to the MAC Control sublayer, and the multiplexed frame is transmitted to the Multi Point MAC Control module (980).
도 10 은 프레임별 사용자 설정 서비스 거부 공격 적용 파라미터 값에 따라 입력 프레임의 처리를 설정한 표를 도시한다.FIG. 10 shows a table in which processing of an input frame is set according to a user-set denial of service attack parameter value per frame.
도 11 은 도 9에 도시된 흐름도에서 KEY와 IV를 선택하는 세부 동작 수순을 도시한다. 도 11 에 도시된 처리과정은 프레임의 인증 복호화에 사용되는 KEY와 IV를 선택하기 위한 동작에 관한 것으로서, 매 암호화 프레임이 입력될 때 마다 수행된다.FIG. 11 shows a detailed operation procedure of selecting KEY and IV in the flowchart shown in FIG. The process shown in FIG. 11 relates to an operation for selecting a KEY and an IV used for authentication decryption of a frame, and is performed every time an encrypted frame is input.
KaY는 MACsecY수신부에 각 보안 연계별로 Current KEY와 Random IV값을 저장한다(1100). KaY로부터 입력된 KEY와 Random IV값(s1101)이 없으면 KEY와 IV는 선택되지 않는다(1101). KaY stores the Current KEY and Random IV values for each security association in the MACsecY receiver (1100). If there is no KEY and Random IV value s1101 inputted from KaY, KEY and IV are not selected (1101).
KaY로부터 Current Master, Current Session, Current Common KEY와 Random IV값이 입력되면 매체 접근 제어 보안 수신부 내부 레지스터에 저장한다(1102).When the Current Master, Current Session, Current Common KEY and Random IV values are input from KaY, they are stored in the internal register of the media access control security receiver (1102).
KaY는 MACsecY수신부에 Current KEY와 Random IV값을 저장한 후(701) Next KEY와 Random IV값을 저장할 수도 있다(1110). KaY로부터 Next Master, Next Session, Next Common KEY와 Random IV값이 입력되면 MACsecY수신부 내부 레지스터에 저장한다(1112). KaY may store the current key and the random IV value in the MACsecY receiver (701) and then store the next key and the random IV value (1110). When Next Master, Next Session, Next Common KEY and Random IV values are input from KaY, they are stored in the internal register of the MACsecY receiver (1112).
KaY로부터 Next Master, Next Session, Next Common KEY와 Random IV값이 입력되지 않으면 MACsecY수신부 내부 레지스터에는 KEY와 Random IV가 존재하지 않는 다(1111).If the Next Master, Next Session, Next Common KEY and Random IV values are not input from KaY, KEY and Random IV do not exist in the MACsecY receiver internal register (1111).
암호화된 프레임이 디코딩 되어 SCB 정보와 AN Flag 정보 및 PN 값이 입력된다(1120). SecTAG 내의 SCB Flag 값을 이용하여 상기 프레임이 브로드캐스트 보안채널인지 유니캐스트 보안채널인지를 체크한다. The encrypted frame is decoded and SCB information, AN flag information, and PN value are input (1120). The SCB Flag value in SecTAG is used to check whether the frame is a broadcast secure channel or a unicast secure channel.
SCB Flag 값이 1이면 상기 프레임은 브로드캐스트 보안채널에 해당되는 프레임이면, Common KEY와 IV를 선택한다(1130). 입력된 AN값이 KaY로부터 설정된 Current Common AN값과 같으면 Current Common KEY와 IV 레지스터의 값을 선택한다(1141).그렇지 않고 입력된 AN값이 KaY로부터 설정된 Next Common AN값과 같으면(1142) Next Common KEY와 IV 레지스터의 값을 선택한다(1143).If the SCB Flag value is 1, if the frame corresponds to a broadcast security channel, the common key and the IV are selected (1130). If the input AN value is equal to the Current Common AN value set from KaY, select the value of the Current Common KEY and IV register (1141); otherwise, if the input AN value is equal to the Next Common AN value set from KaY (1142) Next Common Select the value of the KEY and IV registers (1143).
SCB정보가 0이면, 즉 입력된 프레임이 유니캐스트 보안채널에 해당되는 프레임이면 Session KEY와 IV를 선택한다. 입력된 AN값이 KaY로부터 설정된 Current Session AN값과 같으면(1150) Current Session KEY와 IV 레지스터의 값을 선택한다(1151). 그렇지 않고 입력된 AN값이 KaY로부터 설정된 Next Session AN값과 같으면(1152) Next Session KEY와 IV 레지스터의 값을 선택한다(1153).If the SCB information is 0, that is, if the input frame is a frame corresponding to the unicast secure channel, the session key and the IV are selected. If the input AN value is equal to the Current Session AN value set from KaY (1150), the value of the Current Session KEY and IV register is selected (1151). Otherwise, if the input AN value is equal to the Next Session AN value set from KaY (1152), the value of the Next Session KEY and IV register is selected (1153).
그리고 SCB정보에 상관없이 입력된 AN값이 KaY로부터 설정된 Current Master AN값과 같으면(1144, 1154) Current Master KEY와 IV 레지스터의 값을 선택한다. 그렇지 않고 입력된 AN값이 KaY로부터 설정된 Next Master AN값과 같으면 Next Master KEY와 IV 레지스터의 값을 선택한다.Regardless of the SCB information, if the input AN value is equal to the Current Master AN value set from KaY (1144, 1154), the values of the current master key and the IV register are selected. Otherwise, if the AN value entered is equal to the Next Master AN value set from KaY, select the value of Next Master KEY and IV register.
입력된 프레임이 Master KEY와 IV를 요구하는 프레임이고(1144, 1145, 1154, 1155) PN값이 Almost PN Expire상태이면(1160), 내부 레지스터에 다음 키 주기에 사용할 Next Master KEY와 Random IV가 있는지 확인한 후(1170) Next Master KEY와 Random IV가 없으면 KaY에게 키 요구 인터럽트 신호를 전송한다(1171).If the input frame is a frame that requires Master Key and IV (1144, 1145, 1154, and 1155) and the PN value is Almost PN Expire state (1160), the internal register contains the Next Master KEY and Random IV to use for the next key period. After checking (1170), if there is no Next Master KEY and Random IV, a key request interrupt signal is transmitted to KaY (1171).
Next Master KEY와 Random IV가 존재하는 경우 키 요구 인터럽트는 발생하지 않는다. 입력된 프레임이 Session KEY와 IV를 요구하는 프레임이고(1150, 1152) PN값이 Almost PN Expire상태이면(1156) 내부 레지스터에 다음 키 주기에 사용할 Next Session KEY와 Random IV가 있는지 확인한 후(1157) Next Session KEY와 Random IV가 없으면 KaY에게 키 요구 인터럽트 신호를 전송한다(1158).If the Next Master KEY and the Random IV are present, no key request interrupts will occur. If the input frame is a frame requesting Session KEY and IV (1150, 1152) and the PN value is Almost PN Expire state (1156), check if there is a Next Session KEY and Random IV to use for the next key cycle in the internal register (1157). If there is no Next Session KEY and Random IV, it sends a key request interrupt signal to KaY (1158).
Next Session KEY와 Random IV가 존재하는 경우 키 요구 인터럽트는 발생하지 않는다. 입력된 프레임이 Common KEY와 IV를 요구하는 프레임이고(1140, 1142) PN값이 Almost PN Expire상태이면(1146) 내부 레지스터에 다음 키 주기에 사용할 Next Common KEY와 Random IV가 있는지 확인한 후(1147) Next Common KEY와 Random IV가 없으면 KaY에게 키 요구 인터럽트 신호를 전송한다(1148). If a Next Session KEY and a Random IV are present, no key request interrupts will occur. If the input frame is a frame requesting common key and IV (1140, 1142) and the PN value is Almost PN Expire state (1146), check if there is Next Common KEY and Random IV to use for the next key cycle in internal register (1147). If there is no Next Common KEY and Random IV, a key request interrupt signal is transmitted to KaY (1148).
Next Common KEY와 Random IV가 존재하는 경우 키 요구 인터럽트는 발생하지 않는다. Almost PN Expire범위는 KaY에 의해 설정된다.If there is Next Common KEY and Random IV, key request interrupt is not generated. Almost PN Expire range is set by KaY.
입력된 PN값이 Key Exchange상태이면(1180) 현재 키 사용 주기가 완료되고 다음 키를 사용한다는 인터럽트를 KaY에게 전달한다(1181). Next KEY와 Random IV를 사용하면 다음 주기에 사용할 Next KEY와 Random IV값이 존재하지 않음을 표시한다(1182). If the input PN value is Key Exchange state (1180), an interrupt is transmitted to KaY indicating that the current key use cycle is completed and the next key is used (1181). Using Next KEY and Random IV indicates that there is no Next KEY and Random IV value to use for the next cycle (1182).
KaY로부터 다음 주기에 사용할 Next KEY와 Random IV값이 입력되는 경우(1110) 다음 주기에 사용할 Next KEY와 Random IV값이 존재함을 표시한다(1112).When the Next KEY and the Random IV value to be used for the next period are input from KaY (1110), it indicates that there is a Next KEY and the Random IV value to be used for the next period (1112).
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. The invention can also be embodied as computer readable code on a computer readable recording medium. Computer-readable recording media include all kinds of recording devices that store data that can be read by a computer system.
컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플라피 디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, which are also implemented in the form of carrier waves (for example, transmission over the Internet). It also includes. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
이상 도면과 명세서에서 최적 실시예들이 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. The best embodiments have been disclosed in the drawings and specification above. Although specific terms have been used herein, they are used only for the purpose of describing the present invention and are not used to limit the scope of the present invention as defined in the meaning or claims.
그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible from this. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.
본 발명은 가입자에겐 정보의 기밀성을 제공하고, 서비스 사업자에겐 콘텐츠의 보호 및 가입자 접속에 따른 과금을 제공하며, 가입자망인 EPON에서의 보안 문 제는 가입자 트래픽의 무결성 제공, 비인증 장치 및 가입자의 접속 차단을 가능케 하는 매체 접근 제어 보안 장치 및 그 곳에서의 링크 보안을 위한 송신, 수신 방법을 제공한다.The present invention provides subscribers with confidentiality of information, provides service providers with content protection and billing according to subscriber access, and security issues in subscriber network EPON provide subscriber traffic integrity, unauthorized devices and subscriber access blocking. It provides a media access control security device that enables the transmission and the transmission, reception method for link security there.
또한, EPON ONU에서 프레임 보안 기능 및 프레임 인증 기능을 제공하며, 기존의 EPON 구조에 용이하게 호환되도록 구현되는 기능과 다양한 암호화 공격에 대해 방지 기능이 제공된다.In addition, the EPON ONU provides frame security and frame authentication, and features to be easily compatible with existing EPON architectures and protection against various encryption attacks.
즉, 본 발명에 의한 매체 접근 제어 보안 장치는 EPON망에서의 프레임의 기밀성, 인증성 및 무결성 체크를 제공하며, 암호화 공격방지 기능 등을 제공하며, EPON 에서의 레인징 및 상향 대역 할당을 용이하게 하며 LLID 및 프레임별로 보안정책을 각각 다르게 운용하도록 하는 효과를 제공한다. In other words, the media access control security device according to the present invention provides the confidentiality, authentication and integrity check of the frame in the EPON network, provides encryption attack prevention function, and facilitates ranging and uplink allocation in the EPON. It also provides the effect of different security policies for each LLID and frame.
Claims (16)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/266,627 US7797745B2 (en) | 2004-12-22 | 2005-11-03 | MAC security entity for link security entity and transmitting and receiving method therefor |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040110354 | 2004-12-22 | ||
KR20040110354 | 2004-12-22 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060071836A true KR20060071836A (en) | 2006-06-27 |
KR100723832B1 KR100723832B1 (en) | 2007-05-31 |
Family
ID=37165206
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020050049681A KR100723832B1 (en) | 2004-12-22 | 2005-06-10 | MAC security entity for link security and sending and receiving method therefor |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100723832B1 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100737527B1 (en) * | 2005-12-08 | 2007-07-10 | 한국전자통신연구원 | Method and device for controlling security channel in epon |
KR100798921B1 (en) * | 2005-12-07 | 2008-01-29 | 한국전자통신연구원 | A Method for controlling security channel in the MAC Security network and terminal device using the same |
US7724899B2 (en) | 2005-12-07 | 2010-05-25 | Electronics And Telecommunications Research Insitute | Method for controlling security channel in MAC security network and terminal using the same |
KR101049301B1 (en) * | 2009-08-14 | 2011-07-13 | 인하대학교 산학협력단 | A network device and a network control device using a medium access control frame, wake-up frame, and the medium access control frame and the wake-up frame of a WAN |
KR101421399B1 (en) * | 2010-12-20 | 2014-07-18 | 차이나 아이더블유엔콤 씨오., 엘티디 | Terminal apparatus having link layer encryption and decryption capabilities and method for processing data thereof |
KR20190019623A (en) * | 2017-08-18 | 2019-02-27 | (주)한드림넷 | Network switch and method for setting encryption section in data link layer using the same |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100594023B1 (en) * | 2002-05-14 | 2006-07-03 | 삼성전자주식회사 | Method of encryption for gigabit ethernet passive optical network |
KR100594153B1 (en) * | 2002-08-07 | 2006-06-28 | 삼성전자주식회사 | Formation of Logical Link and Its Secure Communication Method in Network of Point-to-Manage Topology |
KR100594024B1 (en) * | 2003-03-10 | 2006-07-03 | 삼성전자주식회사 | Authentication Method And Apparatus in Ethernet Passive Optical Network |
KR100523357B1 (en) * | 2003-07-09 | 2005-10-25 | 한국전자통신연구원 | Key management device and method for providing security service in epon |
-
2005
- 2005-06-10 KR KR1020050049681A patent/KR100723832B1/en not_active IP Right Cessation
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100798921B1 (en) * | 2005-12-07 | 2008-01-29 | 한국전자통신연구원 | A Method for controlling security channel in the MAC Security network and terminal device using the same |
US7724899B2 (en) | 2005-12-07 | 2010-05-25 | Electronics And Telecommunications Research Insitute | Method for controlling security channel in MAC security network and terminal using the same |
KR100737527B1 (en) * | 2005-12-08 | 2007-07-10 | 한국전자통신연구원 | Method and device for controlling security channel in epon |
KR101049301B1 (en) * | 2009-08-14 | 2011-07-13 | 인하대학교 산학협력단 | A network device and a network control device using a medium access control frame, wake-up frame, and the medium access control frame and the wake-up frame of a WAN |
KR101421399B1 (en) * | 2010-12-20 | 2014-07-18 | 차이나 아이더블유엔콤 씨오., 엘티디 | Terminal apparatus having link layer encryption and decryption capabilities and method for processing data thereof |
KR20190019623A (en) * | 2017-08-18 | 2019-02-27 | (주)한드림넷 | Network switch and method for setting encryption section in data link layer using the same |
Also Published As
Publication number | Publication date |
---|---|
KR100723832B1 (en) | 2007-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7797745B2 (en) | MAC security entity for link security entity and transmitting and receiving method therefor | |
KR100715679B1 (en) | System and method for providing authenticated encryption in gpon network | |
CN102037663B (en) | For the method and apparatus of data privacy in passive optical networks | |
US7305551B2 (en) | Method of transmitting security data in an ethernet passive optical network system | |
US8447968B2 (en) | Air-interface application layer security for wireless networks | |
KR100594153B1 (en) | Formation of Logical Link and Its Secure Communication Method in Network of Point-to-Manage Topology | |
US20050177749A1 (en) | Method and architecture for security key generation and distribution within optical switched networks | |
US20060177056A1 (en) | Secure seed generation protocol | |
WO2009115017A1 (en) | Network certifying service system and method | |
JP5467574B2 (en) | Method for performing IEEE 802.1AE and 802.1af security in EPON (1GEPON and 10GEPON) networks | |
KR100723832B1 (en) | MAC security entity for link security and sending and receiving method therefor | |
EP1830517A1 (en) | A method, communication system, central and peripheral communication unit for packet oriented transfer of information | |
WO2011137819A1 (en) | Time message processing method, apparatus and system | |
Hajduczenia et al. | On EPON security issues | |
KR100594023B1 (en) | Method of encryption for gigabit ethernet passive optical network | |
WO2014101084A1 (en) | Authentication method, device and system | |
CN111935112B (en) | Cross-network data security ferrying device and method based on serial | |
Hayden et al. | Multi-channel security through data fragmentation | |
Meng et al. | Analysis and solutions of security issues in Ethernet PON | |
CN111093193A (en) | MAC layer communication security mechanism suitable for Lora network | |
KR100798921B1 (en) | A Method for controlling security channel in the MAC Security network and terminal device using the same | |
Ansari et al. | WiMAX Security: Privacy Key Management | |
JP6040631B2 (en) | Encryption apparatus and encryption system | |
KR20050107537A (en) | Method and apparatus for encrypting authorization message of user and method for generating a secure key using the same | |
Eren et al. | WiMAX-Security–Assessment of the Security Mechanisms in IEEE 802.16 d/e |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |