KR20070059884A - Epon의 보안서비스를 위한 키 관리 방법 및 보안 채널제어 장치 - Google Patents

Epon의 보안서비스를 위한 키 관리 방법 및 보안 채널제어 장치 Download PDF

Info

Publication number
KR20070059884A
KR20070059884A KR1020060062680A KR20060062680A KR20070059884A KR 20070059884 A KR20070059884 A KR 20070059884A KR 1020060062680 A KR1020060062680 A KR 1020060062680A KR 20060062680 A KR20060062680 A KR 20060062680A KR 20070059884 A KR20070059884 A KR 20070059884A
Authority
KR
South Korea
Prior art keywords
key
encryption
encryption key
epon
frame
Prior art date
Application number
KR1020060062680A
Other languages
English (en)
Other versions
KR100832530B1 (ko
Inventor
은지숙
권율
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060062680A priority Critical patent/KR100832530B1/ko
Priority to CNA200680046129XA priority patent/CN101326758A/zh
Priority to JP2008544249A priority patent/JP2009518932A/ja
Priority to PCT/KR2006/005212 priority patent/WO2007066959A1/en
Priority to US12/083,332 priority patent/US20090161874A1/en
Publication of KR20070059884A publication Critical patent/KR20070059884A/ko
Application granted granted Critical
Publication of KR100832530B1 publication Critical patent/KR100832530B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2858Access network architectures
    • H04L12/2861Point-to-multipoint connection from the data network to the subscribers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/2878Access multiplexer, e.g. DSLAM
    • H04L12/2879Access multiplexer, e.g. DSLAM characterised by the network type on the uplink side, i.e. towards the service provider network
    • H04L12/2885Arrangements interfacing with optical systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 이더넷 수동형 광가입자망(Ethernet PON)에 보안 서비스를 제공하는데 있어서, 암호 키 변경을 보안 연관의 연관 번호의 변경을 통해 감지하는 경우에 고의로 연관 번호를 변경한 프레임을 보내는 보안 공격을 정확하게 차단함으로써 수신측의 정상 동작을 보장하기 위한 EPON에서의 보안 서비스를 위한 키 관리 방법 및 이를 이용한 EPON 보안 채널 제어 장치에 관한 것으로, 키 정보 테이블을 이용하여 현재 분배되어 있으면서, 현재 사용중인 키의 매개변수와 다음에 사용할 키의 매개변수를 관리하고, 연관 번호(AN)이 변경된 프레임이 수신되는 경우, 상기 연관번호에 대한 유효성을 키 정보 테이블에 기재된 정보에 근거하여 판단하도록 함으로서, 복호화를 수행하지 않고도 DoS 공격 프레임을 검출할 수 있다.
IEEE802.1ae, IEEE802.1af, EPON, 보안, KaY, SecY, MACsec, 키 관리, 암호화, 연관 번호(Association Number)

Description

EPON의 보안서비스를 위한 키 관리 방법 및 보안 채널 제어 장치{Key management methode for security and device for controlling security channel in EPON}
도 1은 이더넷 수동 광 통신망의 기본 구조를 나타낸 도면이다.
도 2는 IEEE 802.1ae에서 제안된 MAC 보안 프레임의 구조를 보인 프레임 구조도이다.
도 3은 본 발명에 의한 키 관리 방법을 나타낸 플로우챠트이다.
도 4는 종래에 서비스 거부(DoS) 공격 프레임이 수신되는 경우의 오동작 상태를 나타낸 모식도이다.
도 5는 본 발명에 있어서, 서비스 거부 공격 프레임 수신시의 동작 상태를 보인 모식도이다.
도 6은 본 발명에 의한 이더넷 수동 광 통신망의 보안 모듈의 기능 블록도이다.
* 도면의 주요 부분에 대한 부호의 설명 *
11: 광 회선 종단 장치 (OLT: Optical Line Terminal)
12: 광 망 종단 장치 (ONU: Optical Network Unit)
61: 키 관리 모듈
62: 키 정보 테이블
63: 암호화 모듈
본 발명은 이더넷 수동형 광가입자망에서의 프레임을 암호화하기 위해 필요한 키 관리 방법에 관한 것으로서, 더욱 상세하게는 보안 공격중에서 키 재사용 공격을 막기 위한 EPON의 보안 서비스를 위한 키 관리 방법 및 보안 채널 제어 장치에 관한 것이다.
이더넷 수동형 광가입자망(EPON: Ethernet Passive Optical Network)은 도 1에 도시된 바와 같이, 하나의 광선로 종단 장치(OLT: Optical Line Terminal)(11)과, 다수의 광망종단장치(ONU: Optical Network Unit)(12)로 이루어진다. 상기 OLT(11)는 외부 망, 예를 들어, IP망, ATM 망, PSTN등에 접속되며, 상기 ONU(12)는 사용자 장치에 접속되며, 상기 OLT(11)와 ONU(12)가 상호 광섬유로 연결되는 것으로서, 상기 EPON은 사용자 장치를 상기 IP망, ATM 망, PSTN 망과 같은 외부망과 연결하는 수동형 광 가입자망을 말한다.
이러한 EPON에 있어서 상기 OLT(11)와 ONU(12)간에 전송되는 프레임들에 대한 보안 기능 및 인증 기능을 제공하기 위해, IEEE 802에서 데이터 링크 계층의 MAC 시큐리티(Security) 기술에 대한 방안 및 구조에 대해 표준화를 진행하고 있 다.
상기 보안 기술은, 프레임을 암호화하는 기술과, 상기 프레임을 암호화하기 위해 필요한 매개 변수를 관리하는 키 관리 기술로 나누어지며, 이 중에서 프레임의 암호화 부분은 IEEE 802.1ae에서 논의되고 있으며, 키 관리 기술은 IEEE 802.1af에서 논의되고 있다.
도 2를 참조하면, 상기 IEEE 802.1ae에서 제안된 MAC 보안 프레임은, 해당 프레임이 전송될 목적지를 나타내는 목적지 주소(destination address)와 해당 패킷이 발송된 곳을 나타내는 근원지 주소(Source address)를 포함한 MAC 주소와, 사용자 데이터(user data)로 이루어진 일반적인 이더넷 프레임에 대해서, 상기 사용자 데이터를 암호화 슈트를 이용하여 암호화 데이터(secure data)로 암호화하고, 상기 암호화 데이터(secure data)와 MAC 주소의 사이에 보안 태그(secTAG)를 삽입하여 암호화를 위한 매개변수를 전달하도록 하고, 상기 보안 데이터(secure data)의 뒤에는 해당 프레임에 대한 무결성을 검사하기 위한 무결성 검사 값(ICV: Integrity Check Value)을 첨부한다.
상기 암호화 데이터는 암호 키와 초기화 벡터를 이용하여 설정된 암호화 알고리즘에 의해 암호화되며, 이때 암호화 매개 변수인 암호키와 초기화 벡터의 상위 비트값은 키 분배 알고리즘 등에 의하여 송수신측간에 공유되며, 초기화 벡터의 나머지 비트값은 상기 MAC 보안 프레임내의 보안 태그에 정의되는 패킷 번호로 구성한다. 따라서, 인증된 수신측에서만 공유된 암호키와 초기화 벡터의 상위 비트값 및 상기 수신 프레임의 패킷 번호를 이용하여 해당 보안 프레임의 복호화할 수 있 도록 한다.
또한, IEEE 802.1ae에서 규정한 데이터 링크 계층의 암호화 알고리즘 GCM-AES(Galois/Counter Mode of Operation-Advanced Encryption Standard)를 사용하는 EPON에서는, 동일한 패킷번호(PN: Packet Number)을 가진 프레임을 같은 암호 키로 암호화하는 경우 안전성을 제공하지 못하기 때문에, 사용가능한 패킷번호가 소진되면 새로운 암호 키를 생성하여 분배하여야 한다. 또한, IEEE 802.1ae에서 제안한 하나의 보안 채널은 연관 번호(AN)에 따라 구별되며, 상기 AN은 2비트로 0~3의 값을 갖는다. 즉, 하나의 보안 접속(SC: Secure Connectivity)에 4개의 보안 연관(SA:Security Association)이 연관번호(AN)로 구별되며, 연관 번호가 변경되면 암호키도 변경된다. 따라서, AN에 따라 SAK를 상이하게 설정하고, 사용이 만료된 SAK는 변경한다.
이러한 매개변수를 이용하여, 수신측에서는 수신된 프레임의 보안 태그내의 연관 번호(AN)와 패킷번호(PN)을 검사하여, DoS(Denial of Service) 공격을 감지한다. 이와 관련하여 IEEE 802.1ae에서는 수신된 암호화 프레임의 PN이 동일한 AN을 갖고 수신되었던 이전의 암호화 프레임의 PN보다 작거나 같은 값을 갖게 되면 키 재사용 공격으로 감지하는 방법을 제안하고 있으며, IEEE 802.1af에서는 키 분배 후 키 갱신에 대한 참조 값으로 키의 수명을 확인하도록 제안하여, 키가 생성되면서부터 키에 대한 수명을 관리하여, 공격자의 데이터 지연 공격을 방지하는 방법을 제안하고 있다.
그러나 이 방법만으로는 고의로 AN의 값을 변경한 프레임을 송신하는 경우에 발생하는 DoS 공격은 감지할 수 없다.
예를 들어, 도 3에 도시된 바와 같이, 수신측에서 AN이 2인 암호화 프레임(F1~F4)을 수신하던 중 AN이 3으로 변경된 암호화 프레임(F5~F8)을 수신하면(S11), 사용하는 암호키(SAK)가 변경된 것으로 감지하여 AN이 3에 대응하는 암호키를 이용하여 복호화를 실시한다.
이때 상기 AN=3인 프레임(F5~F8)이 이전에 보안 채널을 지나간 프레임을 이용한 DoS 공격인 경우, 암호키가 맞지 않게 되므로, 상기 프레임(F5~F8)에 대한 복호화가 실패(S12)할 뿐만 아니라, AN=3인 프레임을 수신하는 시점에서 암호키를 변경하게 되므로, 다시 AN이 2인 정상 프레임(F9~F12)이 수신되더라도(S12), 이미 암호키가 다음 값으로 변경되어, 복호화가 실패한다(S14).
본 발명은 상술한 문제점을 해결하기 위하여 제안된 것으로서, 그 목적은 암호 키 변경을 보안 연관의 연관 번호의 변경을 통해 감지하는 경우에 고의로 연관 번호를 변경한 프레임을 보내는 보안 공격을 정확하게 차단함으로써 수신측의 정상 동작을 보장하기 위한 EPON에서의 보안 서비스를 위한 키 관리 방법 및 이를 이용한 EPON 보안 채널 제어 장치를 제공하는 것이다.
더하여, 본 발명의 다른 목적은, 키 관리 모듈에서 키를 분배하는 시점과 분배한 키를 암호화 모듈에 전달하는 시점을 정확하게 제어함으로써, 수신측의 정상 동작을 보장할 수 있는 EPON에서의 보안 서비스를 위한 키 관리 방법 및 이를 이용한 EPON 보안 채널 제어 장치를 제공하는 것이다.
본 발명은 상술한 목적을 달성하기 위한 구성수단으로서, 키 정보 테이블을 구성하여 보안 채널별로 현재 사용중이거나 다음에 사용할 암호키 및 연관 번호를 포함하는 암호화 매개변수를 관리하는 제1 단계; 연관 번호가 변경된 암호화 프레임이 수신되면, 상기 키 정보 테이블을 참조하여 상기 수신된 암호화 프레임의 연관 번호에 대한 유효성 여부를 판단하는 제2 단계; 및 상기 판단 결과, AN이 유효한 경우 암호키를 변경하고, AN이 유효하지 않는 경우 암호키를 변경하지 않는 제3 단계를 포함하는 EPON의 보안 서비스를 위한 키 관리 방법을 제공한다.
더하여, 본 발명에 의한 EPON의 보안 서비스를 위한 키 관리 방법에 있어서, 상기 키 정보 테이블은 분배된 암호 키 값을 기록하는 필드와, 상기 암호키와 대응하여 암호화 알고리즘에 사용되는 초기화 벡터(IV)값을 기록하는 필드와, 상기 암호키가 사용되는 연관 번호(AN)와, 해당 암호키가 현재 사용중인 키인지 다음에 사용할 키인지를 나타내는 상태 필드를 포함하여 이루어지는 것을 특징으로 한다.
또한, 본 발명에 의한 EPON의 보안 서비스를 위한 키 관리 방법에 있어서, 상기 제1단계는 초기화 상태에서 암호키가 분배되면, 해당 암호키의 키 값과 연관 번호 및 초기화 벡터를 기록하면서 상태필드에 현재 사용 중인 키로 표시하고, 암호화 서비스 중에 새로운 암호키가 분배되면, 해당 암호키의 키 값과 연관번호와 초기화벡터를 기록하면서 상태필드에 다음에 사용할 키로 표시하여 관리하는 것을 특징으로 한다.
또한, 본 발명에 의한 EPON의 보안 서비스를 위한 키 관리 방법에 있어서, 상기 제1 단계는 동일 암호키 내에서 사용가능한 패킷 번호(PN)가 소진되거나, 해당 연관 번호가 변경된 정상적인 암호화 프레임이 수신되면, 상기 키 정보 테이블에서 현재 사용 중인 키로 표시된 엔트리를 삭제하고, 다음에 사용할 키에 해당하는 엔트리의 상태 값을 현재 사용 중인 키로 변경하는 것을 특징으로 한다.
더하여, 본 발명에 의한 키 관리 방법은, 상기 제2 단계에서, 수신된 암호화 프레임의 보안 태그에 기록된 연관 번호(AN)가 상기 키 정보 테이블에 다음에 사용할 매개변수로 기록된 연관번호와 일치하는지를 비교하여, 일치하면 유효한 것으로 판단하고, 일치하지 않으면 유효하지 않은 것으로 판단하는 것을 특징으로 한다.
또한, 본 발명에 의한 EPON의 보안 서비스를 위한 키 관리 방법에 있어서, 상기 암호키 분배는 동일 암호키내에서 사용되는 패킷 번호의 임계값 도달 여부를 확인하여, 패킷 번호가 임계값이 도달되었을 때 이루어지는 것을 특징으로 한다.
또한, 본 발명에 의한 EPON의 보안 서비스를 위한 키 관리 방법에 있어서, 상기 패킷 번호의 임계값 도달 여부의 확인은 프레임 누락이 발생하지 않는 송신측에서 이루어지는 것이 바람직하다.
더하여, 본 발명에 의한 EPON의 보안 서비스를 위한 키 관리 방법에 있어서, 상기 암호키 분배는 링크의 전송속도와 프레임의 사이즈에 비례하여 산출된 주 기마다 이루어지는 것이 바람직하다.
더하여, 본 발명은 상술한 목적을 달성하기 위한 다른 구성수단으로서, 보안채널에 사용될 암호키를 분배하며, 키 정보 테이블을 구성하여 각 보안 채널의 분배된 암호키 및 연관 번호를 포함하는 매개변수의 정보와, 해당 매개변수가 현재 사용중인지 다음에 사용할 것인지를 나타내는 사용 상태를 관리하고, 수신프레임의 연관 번호가 변경된 경우 상기 키 정보 테이블을 참조하여 변경된 연관 번호의 유효성을 판단하여 암호 키의 변경을 제어하는 키 관리 모듈; 및 상기 키 관리 모듈에서 제공되는 키를 이용하여 송신/수신 프레임의 암호화/복호화를 수행하는 암호화 모듈을 포함하는 EPON 보안 채널 제어 장치를 제공한다.
상기 본 발명에 의한 EPON 보안 채널 제어 장치에 있어서, 상기 키 정보 테이블은 분배된 암호 키 값을 기록하는 필드와, 상기 암호키와 대응하여 암호화 알고리즘에 사용되는 초기화 벡터(IV)값을 기록하는 필드와, 상기 암호키가 사용되는 연관 번호(AN)와, 해당 암호키가 현재 사용중인 키인지 다음에 사용할 키인지를 나타내는 상태 필드를 포함하여 이루어지며, 상기 키 관리 모듈은 초기화 상태에서 암호키가 분배되면, 상기 키 정보 테이블에 해당 암호키의 키 값과 연관 번호 및 초기화 벡터가 기록되고 상태필드에 현재 사용 중인 키로 표시하고, 암호화 서비스 중에 새로운 암호키가 분배되면, 해당 암호키의 키 값과 연관번호와 초기화벡터가 기록되면서 상태필드에 다음에 사용할 키로 표시하며, 이후, 동일 암호키내에서 사용가능한 패킷 번호(PN)가 소진되거나, 해당 연관 번호가 변경된 정상적인 암호화 프레임이 수신되면, 상기 키 정보 테이블에서 현재 사용 중인 키로 표시된 엔트리 를 삭제하고, 다음에 사용할 키에 해당하는 엔트리의 상태 값을 현재 사용 중인 키로 변경한다.
더하여, 상기 본 발명의 EPON 보안 채널 제어 장치에 있어서, 상기 키 관리 모듈은 수신 프레임의 보안 태그에 기록된 연관 번호(AN)가 상기 키 정보 테이블에 다음에 사용할 매개변수로 기록된 연관번호와 일치하는지를 비교하여, 일치하면 유효한 것으로 판단하고, 일치하지 않으면 유효하지 않은 것으로 판단하는 것을 특징으로 한다.
더하여, 본 발명에 의한 EPON 보안 채널 제어 장치에 있어서, 상기 키 관리 모듈은 상기 암호화 모듈로부터 사용되는 패킷번호(PN)의 임계값 도달 여부를 전달받아, 이에 근거하여 암호키의 분배 시기를 결정하거나, 해당 보안 채널의 전송 속도와 송수신되는 프레임의 크기 및 사용가능한 패킷 번호을 고려하여 타이머 시간이 설정된 타이머를 내장하고, 상기 타이머 동작에 따라서 암호키의 분배 시기를 결정하는 것을 특징으로 한다. 이때, 상기 임계값은 키 관리 모듈에서 암호화 모듈로 분배된 암호키 및 매개변수가 전달되는데 소요되는 시간을 고려하여, 패킷 번호의 완전한 소진 전에 상기 새로 분배된 암호키 및 매개변수가 전달될 수 있도록 설정된다.
더하여, 상기 암호키의 분배시기의 결정은 프레임이 손실될 염려가 없어, 패킷 번호의 관리가 더 정확한 송신측에서 이루어지는 것이 바람직하다.
이하, 첨부한 도면을 참조하여 본 발명에 의한 EPON의 보안 서비스를 위한 키 관리 방법에 대하여 구체적으로 설명한다. 이하의 설명에서 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 기능을 갖는 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 표현함을 유의해야 한다.
더하여, 이하의 설명에서 사용하는 암호 키는 암호화 키와 복호화 키를 통칭하는 의미로 사용된다.
본 발명은 보안 연관(SA)의 연관 번호(AN)의 변경과, 암호 키(SAK)의 변경을 동일하게 인식하는 EPON 시스템에 있어서, 이전의 보안채널을 통해 전송된 프레임을 재전송하거나, 이전에 전송된 프레임의 연관 번호를 변경하여 전송하는 공격을 감지하기 위해, 또한 키 관리 모듈에서 암호화 모듈로 변경될 AN에 대한 매개변수를 모두 전달하였는지도 확인하기 위하여, 분배된 암호키의 정보를 관리하는 키 정보 테이블을 이용한다.
도 4는 본 발명의 바람직한 실시 예에 따른 EPON 보안서비스를 위한 키 관리 방법을 나타낸 플로우챠트이다.
먼저, 본 발명은 IEEE 802.1ae와 IEEE 802.1af에 따른 보안 서비스를 제공하는데 있어서, 각 보안 채널별로 키 정보 테이블을 구성하여, 해당 보안 채널에서 현재 사용되는 암호화 매개 변수 및 다음에 사용할 암호화 매개 변수를 관리한다(100). 더 구체적으로 상기 키 정보 테이블은 해당 보안 채널에서 사용되는 현재 암호키 및 연관 번호와, 다음에 사용할 암호키 및 연관 번호를 관리하기 위한 것으로서, 바람직하게 상기 키 정보 테이블의 각 엔트리는 분배된 암호 키 값을 기록하 는 필드와, 상기 암호키와 대응하여 암호화 알고리즘에 사용되는 초기화 벡터(IV)값을 기록을 필드와, 상기 암호키가 사용되는 연관 번호(AN)와, 해당 암호키가 현재 사용중인 키인지 다음에 사용할 키인지를 나타내는 상태 필드를 포함한다. 상기 키정보 테이블의 각 필드는 설정 이전에는 Null로 초기화된다.
다음의 표 1에 초기화 상태인 키 정보 테이블의 일 예를 나타낸다.
키(128bits) 초기화 벡터(IV) 연관 번호(AN) 상태
Null Null Null Null
Null Null Null Null
상기 키 정보 테이블에 있어서, 상태 필드는 해당 암호화 매개변수가 현재 사용중인지 다음에 사용되는 것인지를 나타내는 것으로서, 현재 사용중인 경우 CK(Current Key)로 표시되고, 다음에 사용할 키인 경우에는 NK(Next Key)로 표시된다. 여기서, OLT(11)와 ONU(12)사이에 아무런 보안 채널이 형성되지 않고, 어떤 키 분배도 없는 경우 모든 필드는 초기화값 Null로 설정된다.
키 정보 테이블은 표 1과 같은 초기화 상태에서, 송수신측간에, 즉, EPON 시스템의 OLT(11)와 ONU(12) 사이에 보안 채널이 설정되고, 연관 번호(AN)가 2인 암호키(SAK)가 분배되고 그 매개변수가 모두 암호화 모듈로 전달된 경우, 아래의 표 2와 같은 상태로 변경된다.
키(128bits) 초기화벡터(IV) 연관번호(AN) 상태
0x…. 0x…. 2 CK
Null Null Null Null
즉, 키 정보 테이블내의 임의 엔트리내 키 필드에 분배된 암호키 값이 기록되고, 초기화 벡터에 그에 상응하는 초기화 벡터값이 기록되고, 연관 번호(AN) 필드에 2가 기록되며, 상태값으로 현재 사용중임을 나타내는 CK가 표시된다.
이어서, 해당 보안 채널을 통해 프레임이 송신 또는 수신되어 패킷 번호(PN)가 소진되어가면, 키 분배 절차에 따라서 OLT(11)와 ONU(12)간에 다음에 사용할 연관번호(AN)가 3인 새로운 암호키가 분배되고, 그 매개 변수가 모두 암호화 모듈로 전달된 경우, 상기 키 정보 테이블은 다음의 표 3과 같이 변경된다.
키(128비트) 초기화벡터(IV) 연관 번호(AN) 상태
0x…. 0x…. 2 CK
0x…. 0x…. 3 NK
즉, 새로이 분배된 키 정보(키값, 초기화 벡터값 및 연관 번호)가 다른 비어있는 엔트리에 기록되고, 그 엔트리의 상태필드에 NK가 표시된다.
이어서, 현재 사용중인 암호키에서 사용가능한 패킷 번호(PN)가 모두 소진되어 암호키가 변경되거나, AN=3인 정상 프레임이 수신되면, 상기 키 정보 테이블은 다음의 표 4와 같은 상태로 변경된다.
키(128비트) 초기화벡터(IV) 연관 번호(AN) 상태
Null Null Null Null
0x…. 0x…. 3 CK
즉, 상태값이 CK로 표시된 암호키는 이미 사용이 만료되었으므로, 상기 CK로 표시된 엔트리의 각 필드값(즉, 키 값, 초기화 벡터값, 연관 번호, 상태값)이 모두 초기값 Null로 변경되고, 다음 엔트리의 상태값이 NK에서 CK로 변경된다. 여기서, 다시 새로운 암호키의 분배 및 암호키의 변경에 따라서, 본 발명에서 제안된 키 정보 테이블은 상술한 표 1 내지 표 3의 상태를 반복한다.
상기 OLT(11)와 ONU(12)는 상술한 바와 같은 키 정보 테이블에서 키 정보가 관리되는 보안 채널을 통해 해당 암호키로 암호화된 암호화 프레임을 송신하거나, 수신된 암호화 프레임을 해당 암호키로 복호화한다.
이때, 수신측에서는 암호화 프레임의 수신시 해당 프레임의 보안 태그에 기록된 연관 번호(AN)의 변경여부를 확인한다.
상기에서, 연관 번호(AN)가 다른 암호화 프레임이 수신되면(110), 상기 키 정보 테이블을 참조하여, 해당 수신프레임의 연관 번호(AN)가 유효한 것인지를 판단한다(130).
더 구체적으로, 상기 수신 프레임에서 추출된 연관 번호가 키 정보 테이블내에 기록되어 있는지를 확인하고, 해당 연관 번호에 대응하는 암호키의 상태가 CK인지 NK인지를 확인한다. 예를 들어, 키 정보 테이블이 도 2와 같은 상태에서 AN=3인 암호화 프레임이 수신된 경우, 현재 키 정보 테이블에 AN=3이 기록되어 있지 않으므로, 아직 암호키가 분배되어 암호화 모듈로 전달된 상태가 아니며, 이 경우 수신된 프레임은 이전에 전송되었던 프레임일 수가 있다. 이 경우, 해당 수신 프레임의 공격 프레임으로 인지한다. 반대로, 표 4와 같은 상태에서, AN=3인 암호화 프레임이 수신되었으, 해당 프레임을 정상 프레임으로 판단한다.
상기와 같이 키 정보 테이블을 운용하면, 복호화 과정을 거치지 않아도 정상 프레임인지를 확인할 수 있으며, 특히 DoS 공격 감지 시간을 프레임 복호화 시간만큼 단축할 수 있다.
상기 판단 결과, AN이 변경된 암호화 프레임이 정상 프레임으로 판단되면, 암호키의 변경을 수행하고, 그렇지 않을 경우 현재의 암호키를 그대로 유지시킨다(140~160).
예를 들어, 도 5에 도시된 바와 같이, AN=2인 암호화 프레임(F1~F4)를 수신하던 중에, AN=3인 공격 프레임(F5~F8)이 수신되는 경우(S21), 본 발명에 의하면, 키 정보 테이블을 참조함으로써, 해당 프레임이 공격프레임임을 인식할 수 있으며, 암호화 키를 변경하지 않는다. 이때, 해당 공격 프레임(F5~F8)의 복호화는 실패하지만(S22), 이후 다시 정상적인 AN=2인 프레임이 수신되면(S23), AN=2인 암호키가 현재 공유되어 있는 상태이므로, 수신된 프레임이 정상적으로 복호화될 수 있다(S24).
도 6은 본 발명에 의한 키 관리 방법이 적용된 EPON 보안 채널 제어 장치를 도시한 기능 블록도이다.
상기 EPON 보안 채널 제어 장치는, 보안 채널에서 사용되는 키를 관리하는 키 관리 모듈(61)과, 상기 키 관리 모듈(61)에서 제공되는 키를 이용하여 송신/수신 프레임의 암호화/복호화를 수행하는 암호화 모듈(63)을 포함한다.
더하여, 상기 키 관리 모듈(61)은 상기 도 4를 참조한 설명에서 제시한 바와 같이 키 정보 테이블(62)을 운용한다.
이때, 상기 키 관리 모듈(61)에 의해서 OLT(11)와 ONU(12)간에 암호 키를 분배하는 시기는 암호화 모듈(63)에 의존하거나, 자체 내장한 타이머에 의존할 수 있다. 전자의 경우는, 상기 암호화 모듈(62)에서 현재 송신되거나 수신되는 프레임에 사용되는 패킷번호(PN)를 상기 키 관리 모듈(61)에 알려주면, 키 관리 모듈(61)에서 상기 전달받은 패킷 번호(PN)와 사전에 설정된 임계값을 비교하여, 임계값에 도달했을 때, 새로운 암호키를 분배하여 상기 암호화 모듈(63)로 전달하는 방법이다. 여기서 상기 키 관리 모듈(61)의 새로운 암호키를 분배할 시기의 결정은 프레임 손실 가능성이 없어 패킷번호(PN)의 소진시기를 정확히 알 수 있는 송신측에서 이루어지는 것이 바람직하다.
상기 키 관리 모듈(61)은 미리 OLT(11)와 ONU(12)간에 분배한 다음에 사용할 새로운 암호키를 보유하고 있다가, 암호화 모듈(63)로부터 전달된 패킷 번호(PN)가 임계 값에 도달되었을 때 암호화 모듈(63)로 전달하거나, 암호키가 분배된 즉시 암호화 모듈(63)로 전달할 수 있다. 전자의 방법과 같이, 임계 값에 도달하기를 기다렸다가 암호화 모듈에 키를 전달하는 경우, 키 분배 이후부터 키 전달 이전까지의 시간 동안에 발생하는 DoS 공격의 감지 시간을 프레임 복호화 시간만큼 단축할 수 있다. 이때, 패킷번호(PN)에 대한 임계 값 결정은 상기 키 관리 모듈(61)에 의해 이루어지며, 이는 키 관리 모듈(61)에서 암호화 모듈(63)로 실제 새로운 암호키의 매개변수가 전달되는데 소용되는 시간을 고려하여 설정되는 것이 바람직하며, 더 구체적으로는 실제 패킷 번호가 소진되는 시간에서 새로운 암호키가 전달되는데 걸리는 시간만큼을 빼어 설정한다.
또한, 키 분배 결정을 상기 키 관리 모듈(61)에서 내장된 타이머에 의존하는 경우, 상기 키 관리 모듈(61)에 링크의 전송속도와 프레임의 크기에 의해 결정되는 암호키의 수명에 맞추어 타이머를 설정하고, 상기 타이머가 종료되는 시점마다 주기적으로 암호키를 분배받아 암호화 모듈(63)에 전달하도록 할 수 있다. 예를 들어, 1 Gbps의 전송 속도를 가지는 링크에서 64바이트 프레임을 기준으로 했을 때, 암호 키는 약 232/{1Gbps/(64+24)*8}초에 한 번씩 분배되어야 한다.
상술한 바에 의하면, 본 발명은 EPON을 통해 데이터 송수신시, 보안을 위하여, 암호키의 변경을 해당 연관 번호(AN)의 변경과 동일하게 인식하는 경우에 발생할 수 있는 DoS 공격을 효과적으로 검출하여 방지함으로써, 수신측의 안정적인 동작을 보장할 수 있다.
더하여, 수신측에서 수신프레임을 복호화하지 않고도 연관 번호를 변경한 공격 프레임을 감지할 수 있으므로, DoS 공격 감지를 위해 소요되는 시간 및 처리 용량을 단축시켜, 수신측의 부담을 경감시키면서 안정적인 동작을 도모할 수 있다.

Claims (17)

  1. 키 정보 테이블을 구성하여 보안 채널별로 현재 사용중이거나 다음에 사용할 암호키 및 연관 번호를 포함하는 암호화 매개변수를 관리하는 제1 단계;
    연관 번호가 변경된 암호화 프레임이 수신되면, 상기 키 정보 테이블을 참조하여 상기 수신된 암호화 프레임의 연관 번호에 대한 유효성 여부를 판단하는 제2 단계; 및
    상기 판단 결과, AN이 유효한 경우 암호키를 변경하고, AN이 유효하지 않는 경우 암호키를 변경하지 않는 제3 단계를 포함하는 EPON의 보안서비스를 위한 키 관리 방법.
  2. 제1항에 있어서,
    상기 키 정보 테이블은 분배된 암호 키 값을 기록하는 필드와, 상기 암호키와 대응하여 암호화 알고리즘에 사용되는 초기화 벡터(IV)값을 기록을 필드와, 상기 암호키가 사용되는 연관 번호(AN)와, 해당 암호키가 현재 사용중인 키인지 다음에 사용할 키인지를 나타내는 상태 필드를 포함하는 것을 특징으로 하는 EPON의 보안 서비스를 위한 키 관리 방법.
  3. 제2항에 있어서,
    상기 제1단계는 초기화 상태에서 암호키가 분배되면, 해당 암호키의 키 값 과 연관 번호 및 초기화 벡터를 기록하면서 상태필드에 현재 사용 중인 키로 표시하고, 암호화 서비스 중에 새로운 암호키가 분배되면, 해당 암호키의 킷값과 연관번호와 초기화벡터를 기록하면서 상태필드에 다음에 사용할 키로 표시하는 것을 특징으로 하는 EPON의 보안 서비스를 위한 키 관리 방법.
  4. 제3항에 있어서,
    제1 단계는 동일 암호키내에서 사용가능한 패킷 번호(PN)가 소진되거나, 해당 연관 번호가 변경된 정상적인 암호화 프레임이 수신되면, 상기 키 정보 테이블에서 현재 사용 중인 키로 표시된 엔트리를 삭제하고, 다음에 사용할 키에 해당하는 엔트리의 상태 값을 현재 사용 중인 키로 변경하는 것을 특징으로 하는 EPON의 보안 서비스를 위한 키 관리 방법.
  5. 제1항 내지 제3항에 있어서,
    상기 제2 단계는 수신된 암호화 프레임의 보안 태그에 기록된 연관 번호(AN)가 상기 키 정보 테이블에 다음에 사용할 매개변수로 기록된 연관번호와 일치하는지를 비교하여, 일치하면 유효한 것으로 판단하고, 일치하지 않으면 유효하지 않은 것으로 판단하는 것을 특징으로 하는 EPON의 보안 서비스를 위한 키 관리 방법.
  6. 제1항에 있어서,
    상기 암호키 분배는 동일 암호키내에서 사용되는 패킷 번호의 임계값 도달 여부를 확인하여, 패킷 번호가 임계값이 도달되었을 때 이루어지는 것을 특징으로 하는 EPON의 보안 서비스를 위한 키 관리 방법.
  7. 제6항에 있어서,
    상기 패킷 번호의 임계값 도달 여부의 확인은 송신측에서 이루어지는 것을 특징으로 하는 EPON의 보안 서비스를 위한 키 관리 방법.
  8. 제1항에 있어서,
    상기 암호키 분배는 링크의 전송속도와 프레임의 사이즈에 비례하여 산출된 일정 주기마다 이루어지는 것을 특징으로 하는 EPON의 보안 서비스를 위한 키 관리 방법.
  9. 보안채널에 사용될 암호키를 분배하며, 키 정보 테이블을 구성하여 각 보안 채널의 분배된 암호키 및 연관 번호를 포함하는 매개변수의 정보와, 해당 매개변수가 현재 사용중인지 다음에 사용할 것인지를 나타내는 사용 상태를 관리하고, 수신프레임의 연관 번호가 변경된 경우 상기 키 정보 테이블을 참조하여 변경된 연관 번호의 유효성을 판단하여 암호 키의 변경을 제어하는 키 관리 모듈; 및
    상기 키 관리 모듈에서 제공되는 키를 이용하여 송신/수신 프레임의 암호화/복호화를 수행하는 암호화 모듈을 포함하는 EPON 보안 채널 제어 장치.
  10. 제9항에 있어서,
    상기 키 정보 테이블은 분배된 암호 키 값을 기록하는 필드와, 상기 암호키와 대응하여 암호화 알고리즘에 사용되는 초기화 벡터(IV)값을 기록을 필드와, 상기 암호키가 사용되는 연관 번호(AN)와, 해당 암호키가 현재 사용중인 키인지 다음에 사용할 키인지를 나타내는 상태 필드를 포함하는 것을 특징으로 하는 EPON 보안 채널 제어 장치.
  11. 제10항에 있어서,
    상기 키 관리 모듈은 초기화 상태에서 암호키가 분배되면, 해당 암호키의 키 값과 연관 번호 및 초기화 벡터를 기록하면서 상태필드에 현재 사용 중인 키로 표시하고, 암호화 서비스 중에 새로운 암호키가 분배되면, 해당 암호키의 킷값과 연관번호와 초기화벡터를 기록하면서 상태필드에 다음에 사용할 키로 표시하는 것을 특징으로 하는 EPON 보안 채널 제어 장치.
  12. 제11항에 있어서,
    상기 키 관리 모듈은, 동일 암호키내에서 사용가능한 패킷 번호(PN)가 소진되거나, 해당 연관 번호가 변경된 정상적인 암호화 프레임이 수신되면, 상기 키 정보 테이블에서 현재 사용 중인 키로 표시된 엔트리를 삭제하고, 다음에 사용할 키에 해당하는 엔트리의 상태 값을 현재 사용 중인 키로 변경하는 것을 특징으로 하는 EPON 보안 채널 제어 장치.
  13. 제9항 내지 제12항 중 어느 한 항에 있어서,
    상기 키 관리 모듈은 수신 프레임의 보안 태그에 기록된 연관 번호(AN)가 상기 키 정보 테이블에 다음에 사용할 매개변수로 기록된 연관번호와 일치하는지를 비교하여, 일치하면 유효한 것으로 판단하고, 일치하지 않으면 유효하지 않은 것으로 판단하는 것을 특징으로 하는 EPON 보안 채널 제어 장치.
  14. 제9항에 있어서,
    상기 키 관리 모듈은 상기 암호화 모듈로부터 사용되는 패킷번호(PN)의 임계값 도달 여부를 전달받아, 이에 근거하여 암호키의 분배 시기를 결정하는 것을 특징으로 하는 EPON 보안 채널 제어 장치.
  15. 제14항에 있어서,
    상기 암호키의 분배시기의 결정은 해당 보안 채널의 송신측에서 이루어지는 것을 특징으로 하는 EPON 보안 채널 제어 장치.
  16. 제14항에 있어서,
    상기 임계값은 키 관리 모듈에서 암호화 모듈로 분배된 암호키 및 매개변수가 전달되는데 소요되는 시간을 고려하여, 패킷 번호의 완전한 소진 전에 상기 새로 분배된 암호키 및 매개변수가 전달될 수 있도록 설정되는 것을 특징으로 하는 EPON 보안 채널 제어 장치.
  17. 제9항에 있어서,
    상기 키 관리 모듈은 해당 보안 채널의 전송 속도와 송수신되는 프레임의 크기 및 사용가능한 패킷 번호를 고려하여 타이머 시간이 설정된 타이머를 내장하고, 상기 타이머 동작에 따라서 암호키의 분배 시기를 결정하는 것을 특징으로 하는 EPON 보안 채널 제어 장치.
KR1020060062680A 2005-12-07 2006-07-04 Epon의 보안서비스를 위한 키 관리 방법 및 보안 채널제어 장치 KR100832530B1 (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR1020060062680A KR100832530B1 (ko) 2005-12-07 2006-07-04 Epon의 보안서비스를 위한 키 관리 방법 및 보안 채널제어 장치
CNA200680046129XA CN101326758A (zh) 2005-12-07 2006-12-05 以太网无源光网络中用于安全的密钥管理方法以及控制安全信道的设备
JP2008544249A JP2009518932A (ja) 2005-12-07 2006-12-05 Eponにおける保安用キー管理方法および保安チャンネル制御装置
PCT/KR2006/005212 WO2007066959A1 (en) 2005-12-07 2006-12-05 Key management method for security and device for controlling security channel in epon
US12/083,332 US20090161874A1 (en) 2005-12-07 2006-12-05 Key Management Method for Security and Device for Controlling Security Channel In Epon

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR20050118804 2005-12-07
KR1020050118804 2005-12-07
KR1020060062680A KR100832530B1 (ko) 2005-12-07 2006-07-04 Epon의 보안서비스를 위한 키 관리 방법 및 보안 채널제어 장치

Publications (2)

Publication Number Publication Date
KR20070059884A true KR20070059884A (ko) 2007-06-12
KR100832530B1 KR100832530B1 (ko) 2008-05-27

Family

ID=38123058

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060062680A KR100832530B1 (ko) 2005-12-07 2006-07-04 Epon의 보안서비스를 위한 키 관리 방법 및 보안 채널제어 장치

Country Status (5)

Country Link
US (1) US20090161874A1 (ko)
JP (1) JP2009518932A (ko)
KR (1) KR100832530B1 (ko)
CN (1) CN101326758A (ko)
WO (1) WO2007066959A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120093169A (ko) * 2009-09-02 2012-08-22 마벨 월드 트레이드 리미티드 무선 네트워크에서 갈루아/카운터 모드 암호화

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009082356A1 (en) * 2007-12-24 2009-07-02 Nanyang Polytechnic Method and system for securing wireless systems and devices
US8812833B2 (en) 2009-06-24 2014-08-19 Marvell World Trade Ltd. Wireless multiband security
BR112012000715A2 (pt) * 2009-07-13 2016-02-16 Siemens Ag mensagem de atualização de associação e método para atualizar associações em uma rede em malha
GB2472580A (en) 2009-08-10 2011-02-16 Nec Corp A system to ensure that the input parameter to security and integrity keys is different for successive LTE to UMTS handovers
US8839372B2 (en) 2009-12-23 2014-09-16 Marvell World Trade Ltd. Station-to-station security associations in personal basic service sets
US8718281B2 (en) * 2010-04-08 2014-05-06 Cisco Technology, Inc. Rekey scheme on high speed links
DE102010040688A1 (de) * 2010-09-14 2012-03-15 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Authentisieren von Multicast-Nachrichten
JP5368519B2 (ja) * 2011-08-03 2013-12-18 日本電信電話株式会社 光回線終端装置および鍵切替方法
US8751800B1 (en) * 2011-12-12 2014-06-10 Google Inc. DRM provider interoperability
US9107193B2 (en) 2012-01-13 2015-08-11 Siemens Aktiengesellschaft Association update message and method for updating associations in a mesh network
JP5875441B2 (ja) 2012-03-29 2016-03-02 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation データを暗号化する装置及び方法
US9800401B2 (en) * 2014-04-23 2017-10-24 International Business Machines Corporation Initialization vectors generation from encryption/decryption
TWI581599B (zh) * 2015-04-30 2017-05-01 鴻海精密工業股份有限公司 金鑰生成系統、資料簽章與加密系統和方法
CN106357388A (zh) * 2016-10-10 2017-01-25 盛科网络(苏州)有限公司 自适应切换密钥的方法及装置
US10778662B2 (en) * 2018-10-22 2020-09-15 Cisco Technology, Inc. Upstream approach for secure cryptography key distribution and management for multi-site data centers
US11347895B2 (en) * 2019-12-03 2022-05-31 Aptiv Technologies Limited Method and system of authenticated encryption and decryption
CN111953454A (zh) * 2020-07-16 2020-11-17 西安万像电子科技有限公司 丢包重传方法、设备及存储介质
CN114513371B (zh) * 2022-04-19 2022-07-12 广州万协通信息技术有限公司 一种基于交互数据的攻击检测方法及系统

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4578530A (en) * 1981-06-26 1986-03-25 Visa U.S.A., Inc. End-to-end encryption system and method of operation
JP2565814B2 (ja) * 1991-10-14 1996-12-18 旭精工株式会社 ピロー型包装体送出装置
US6295361B1 (en) * 1998-06-30 2001-09-25 Sun Microsystems, Inc. Method and apparatus for multicast indication of group key change
KR100281402B1 (ko) * 1998-11-26 2001-02-01 정선종 비동기 전송 모드-폰 시스템의 광 선로 종단장치에서의 하향메시지 할당 방법
JP4201430B2 (ja) * 1999-04-16 2008-12-24 富士通株式会社 光加入者線終端装置
JP2000330943A (ja) 1999-05-24 2000-11-30 Nec Corp セキュリティシステム
JP2002217896A (ja) * 2001-01-23 2002-08-02 Matsushita Electric Ind Co Ltd 暗号通信方法およびゲートウエイ装置
US7200227B2 (en) * 2001-07-30 2007-04-03 Phillip Rogaway Method and apparatus for facilitating efficient authenticated encryption
JP2003101533A (ja) * 2001-09-25 2003-04-04 Toshiba Corp 機器認証管理システム及び機器認証管理方法
JP2003298566A (ja) * 2002-04-03 2003-10-17 Mitsubishi Electric Corp 暗号鍵交換システム
KR100594023B1 (ko) * 2002-05-14 2006-07-03 삼성전자주식회사 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법
KR100933167B1 (ko) * 2002-10-02 2009-12-21 삼성전자주식회사 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법
JP2004180183A (ja) * 2002-11-29 2004-06-24 Mitsubishi Electric Corp 局側装置、加入者側装置、ポイント・マルチポイント通信システム及びポイント・マルチポイント通信方法
JP2004186814A (ja) * 2002-11-29 2004-07-02 Fujitsu Ltd 共通鍵暗号化通信システム
JP3986956B2 (ja) * 2002-12-27 2007-10-03 三菱電機株式会社 親局及び子局及び通信システム及び通信プログラム及び通信プログラムを記録したコンピュータ読み取り可能な記録媒体
JP2004260556A (ja) * 2003-02-26 2004-09-16 Mitsubishi Electric Corp 局側装置、加入者側装置、通信システムおよび暗号鍵通知方法
KR100594024B1 (ko) * 2003-03-10 2006-07-03 삼성전자주식회사 Epon에서의 인증 방법과 인증 장치과 인증 장치 및상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로읽을 수 있는 기록매체
KR100523357B1 (ko) * 2003-07-09 2005-10-25 한국전자통신연구원 이더넷 기반 수동형 광네트워크의 보안서비스 제공을 위한키관리 장치 및 방법
WO2005086950A2 (en) 2004-03-11 2005-09-22 Teknovus, Inc., Method for data encryption in an ethernet passive optical network
JP2005318281A (ja) * 2004-04-28 2005-11-10 Mitsubishi Electric Corp 通信システムおよび通信装置
JP2006019975A (ja) * 2004-06-30 2006-01-19 Matsushita Electric Ind Co Ltd 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム
KR100675836B1 (ko) * 2004-12-10 2007-01-29 한국전자통신연구원 Epon 구간내에서의 링크 보안을 위한 인증 방법
JP2007158962A (ja) * 2005-12-07 2007-06-21 Mitsubishi Electric Corp Ponシステム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120093169A (ko) * 2009-09-02 2012-08-22 마벨 월드 트레이드 리미티드 무선 네트워크에서 갈루아/카운터 모드 암호화

Also Published As

Publication number Publication date
CN101326758A (zh) 2008-12-17
US20090161874A1 (en) 2009-06-25
KR100832530B1 (ko) 2008-05-27
WO2007066959A1 (en) 2007-06-14
JP2009518932A (ja) 2009-05-07

Similar Documents

Publication Publication Date Title
KR100832530B1 (ko) Epon의 보안서비스를 위한 키 관리 방법 및 보안 채널제어 장치
KR100675836B1 (ko) Epon 구간내에서의 링크 보안을 위한 인증 방법
KR100933167B1 (ko) 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법
US8490159B2 (en) Method for increasing security in a passive optical network
EP2697931B1 (en) Qkd key management system
RU2507691C2 (ru) Улучшение безопасности пассивной оптической сети, основанной на интерфейсе административного управления терминалом оптической сети
US8914858B2 (en) Methods and apparatus for security over fibre channel
US20150180662A1 (en) Software key updating method and device
US20130160083A1 (en) Method and device for challenge-response authentication
EP3422630B1 (en) Access control to a network device from a user device
US7930412B2 (en) System and method for secure access
CN111080299A (zh) 一种交易信息的防抵赖方法及客户端、服务器
KR20090012248A (ko) 암호 키의 조작­방지 생성 방법 및 시스템
US8942378B2 (en) Method and device for encrypting multicast service in passive optical network system
CN101778311A (zh) 光网络单元标识的分配方法以及光线路终端
US20090232313A1 (en) Method and Device for Controlling Security Channel in Epon
WO2013090073A1 (en) Replay attack protection with small state for use in secure group communication
KR20190040443A (ko) 스마트미터의 보안 세션 생성 장치 및 방법
KR101837150B1 (ko) 프록시 서비스 제공을 위한 프록시 인증시스템 및 인증방법
US20230064441A1 (en) Secured communication between a device and a remote server
CN111093193B (zh) 一种适用于Lora网络的MAC层安全通信的方法
KR101451163B1 (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
Roh et al. Design of authentication and key exchange protocol in Ethernet passive optical networks
KR102357375B1 (ko) 보안이 강화된 원전 네트워크의 광 전송 시스템 및 그의 데이터 전송 방법
EP2641208B1 (en) Method to detect cloned software

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110511

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee