KR20120106830A - 노드 간 보안 통신 방법 및 시스템 - Google Patents

노드 간 보안 통신 방법 및 시스템 Download PDF

Info

Publication number
KR20120106830A
KR20120106830A KR1020127018958A KR20127018958A KR20120106830A KR 20120106830 A KR20120106830 A KR 20120106830A KR 1020127018958 A KR1020127018958 A KR 1020127018958A KR 20127018958 A KR20127018958 A KR 20127018958A KR 20120106830 A KR20120106830 A KR 20120106830A
Authority
KR
South Korea
Prior art keywords
switching device
source
node
destination
switching
Prior art date
Application number
KR1020127018958A
Other languages
English (en)
Other versions
KR101485231B1 (ko
Inventor
만시아 티에
준 카오
친 리
리 게
전하이 황
Original Assignee
차이나 아이더블유엔콤 씨오., 엘티디
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 차이나 아이더블유엔콤 씨오., 엘티디 filed Critical 차이나 아이더블유엔콤 씨오., 엘티디
Publication of KR20120106830A publication Critical patent/KR20120106830A/ko
Application granted granted Critical
Publication of KR101485231B1 publication Critical patent/KR101485231B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/26Route discovery packet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Abstract

유선 로컬 영역 네트워크의 노드 간 보안 통신 방법 및 시스템에 관한 것으로서, 상기 유선 로컬 영역 네트워크의 노드 간 보안 통신 방법에는 공유 암호키의 설립, 스위칭 경로의 탐색, 데이터 통신의 분류 및 노드 간 보안 통신 등 단계가 포함된다. 본 발명에 의해 제공되는 노드 간 보안 통신 방법은 노드 사이의 상이한 통신 상황에 따라 분류를 진행하여 적합한 보안 통신 정책을 선택하며, 홉별 암호화에 비해, 스위칭 장치의 계산 부하를 줄여 데이터 패킷의 전송 시간 지연을 줄이고, 모든 노드의 매 두 개마다 국 간 암호키를 설립하여 통신의 기밀성을 보호하는 방법에 비해, 암호키의 수량을 줄여 암호키 관리를 단순화한다.

Description

노드 간 보안 통신 방법 및 시스템{METHOD AND SYSTEM FOR SECRET COMMUNICATION BETWEEN NODES}
본 출원은, 2009년 12월 18일에 중국 특허청에 출원된 출원 번호 제200910219572.8호, "노드 간 보안 통신 방법 및 시스템"을 발명 명칭으로 하는 중국 특허 출원의 우선권을 주장하며, 상기 중국 특허 출원의 전체 내용은 본 출원에 참조로서 통합된다.
본 발명은 네트워크 보안 분야에 관한 것으로서, 특히 노드 간 보안 통신 방법 및 시스템에 관한 것이다.
유선 로컬 영역 네트워크는 일반적으로 브로드캐스팅 타입의 네트워크로인바 하나의 노드에 의해 송신된 데이터를 기타 노드에서 모두 수신할 수 있다. 네트워크 내의 각 노드는 채널을 공유하므로 이는 네트워크의 보안에 매우 큰 위협을 가져다준다. 침입자는 네트워크에 접속하여 모니터링을 진행하기만 하면 네트워크 내의 모든 데이터 패킷을 포획할 수 있다. 기존 중국 국가 표준 GB/T15629.3(IEEE 802.3 또는 ISO/IEC 8802-3에 대응됨)에서 정의된 로컬 영역 네트워크(LAN, Local Area Network)에서는 데이터 보안 방법을 제공하지 않으므로 침입자들이 쉽게 중요 정보를 절취할 수 있게 된다.
유선 LAN에 있어서, IEEE는 IEEE 802.3에 대한 보안 강화를 진행하여 링크 계층의 보안을 실현한다. IEEE 802.1AE은 이더넷을 보호하기 위해 데이터 암호화 프로토콜을 제공하며 홉(hop)별로 암호화하는 보안 조치를 채용하여 네트워크 노드 간 데이터의 안전한 전달을 실현한다. 이러한 보안 조치는 LAN 내의 스위칭 장치에 막중한 계산 부하를 가져다주고 스위칭 장치에 대한 침입자의 침입을 쉽게 초래하며, 또한 데이터 패킷이 송신 소스 노드에서 목표 노드까지 전달됨에 있어서 시간 지연이 길어지게 되어 네트워크 전송 효율이 떨어진다.
유선 LAN의 토폴로지 구조가 비교적 복잡하고 관련되는 노드(여기서, 사용자 단말과 스위칭 장치 모두를 노드라 함)의 수량이 비교적 많으므로 네트워크 내의 데이터 통신이 비교적 복잡하다. 모든 노드의 매 두 개마다 공유 암호키를 설립할 경우 노드에 저장되어야 하는 공유 암호키 수량이 비교적 많게 되며, 인접 노드 사이의 공유 암호키를 이용하여 홉별로 암호화하는 보안 조치를 사용할 경우에는 또한 네트워크 스위칭 장치에 막대한 계산 부하를 가져다주게 된다.
따라서, 노드 간 보안 통신 과제를 해결하기 위한 한 가지 방법을 연구하여 한편으로는 데이터의 노드 간 보안 전송의 진행을 보장하고 다른 한편으로는 암호키의 수량과 암호키 설립 복잡도를 되도록 줄일 수 있도록 할 필요가 있으며 동시에 노드의 암호화/복호화 능력도 고려해야 한다.
종래 기술에 존재하는 상기 기술적 과제를 해결하기 위해, 본 발명은 노드 간 스위칭 경로(switching route) 정보를 기반으로 하여 데이터 통신의 타입을 분류하여 상이한 보안 통신 정책을 선택하는 노드 간 보안 통신 방법 및 시스템을 제공하고자 한다.
본 발명의 기술 해결안으로서, 본 발명은 노드 간 보안 통신 방법을 제공하는바, 하기 네 과정을 포함하는 것을 특징으로 한다.
1) 노드 사이에 공유 암호키를 설립하는바, 상기 노드 사이는 사용자 단말과 스위칭 장치 사이, 매 두 개의 스위칭 장치 사이 및 동일한 스위칭 장치에 직접 연결되는 두 개의 사용자 단말 사이를 포함한다.
2) 노드 사이에서 스위칭 경로 탐색에 따라 노드 사이의 스위칭 경로 정보를 획득한다.
3) 노드 사이에서 상기 스위칭 경로 정보에 따라 노드 사이의 데이터 통신 타입을 판단한다.
4) 노드 사이의 상이한 데이터 통신 타입에 따라 상이한 보안 통신 정책을 채용하여 노드 간 보안 통신을 진행한다.
바람직하게, 상기 과정 1)의 구체적인 실현 방식은 다음과 같다.
1.1) 인접 노드 사이에 유니캐스트 세션 암호키(USK, Unicast Session Key)로 불리는 공유 암호키를 설립하며,
1.2) 매 두 개의 스위칭 장치 사이에 스위칭 암호키(SWkey, SWitch key)로 불리는 공유 암호키를 설립하며,
1.3) 로컬 정책에 의한 선택에 따라 동일한 스위칭 장치에 직접 연결되는 두 개의 사용자 단말 사이에 국 간 암호키(STAkey, STAtion key)로 불리는 공유 암호키를 설립한다.
바람직하게, 송신 소스 노드 NSource에서 목표 노드 NDestination까지의 노드 간 스위칭 경로 정보를 하나의 4-튜플(Tuple) 식별자로 정의하는바, 상기 4-튜플 식별자에는 IDSource, IDSW - first, IDSW - last 및 IDDestination이 포함되며, 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 패킷을 수신하지만 스위칭 경로 정보 4-튜플 식별자 중에 나타나지 않는 스위칭 장치를 중간 스위칭 장치라 한다. 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 전송 과정에서 중간 스위칭 장치를 경과하지 않을 수도 있고 여러 개의 중간 스위칭 장치를 통과할 수도 있다.
바람직하게, 상기 과정 2)의 구체적인 실현 방식은 다음과 같다.
2.1) 송신 소스 노드 NSource가 목표 노드 NDestination에 스위칭 경로 탐색 패킷을 송신하는바, 상기 패킷에는 4-튜플 식별자가 포함되며 상기 4-튜플 식별자에는 IDSource, IDSW - first, IDSW - last 및 IDDestination이 포함된다.
여기서,
IDSource: 송신 소스 노드 NSource의 식별자를 표시하며,
IDSW - first: 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 패킷이 경과하는 제1 스위칭 장치 SW-first의 식별자를 표시하며, 송신 소스 노드 NSource가 스위칭 장치이면 IDSW - first는 곧 IDSource이며, 송신 소스 노드 NSource가 사용자 단말이면 IDSW - first는 송신 소스 노드 NSource에 직접 연결되는 스위칭 장치의 식별자이며,
IDSW - last: 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 패킷이 경과하는 마지막 스위칭 장치 SW-last의 식별자를 표시하며 스위칭 경로 탐색 패킷에서 해당 필드는 미지의 값이며,
IDDestination: 목표 노드 NDestination의 식별자를 표시한다.
2.2) 목표 노드 NDestination가 송신 소스 노드 NSource에 스위칭 경로 응답 패킷을 송신한다.
2.3) 각 노드가 스위칭 경로 응답 패킷을 수신한다.
바람직하게, 목표 노드 NDestination가 송신 소스 노드 NSource에 의해 송신된 스위칭 경로 탐색 패킷을 수신한 후, 상기 단계 2.2)의 구체적인 실현 방식은 다음과 같다.
2.2.1) 송신 소스 노드 NSource로부터 송신되어 온 데이터 패킷이 경과한 마지막 스위칭 장치 SW-last의 정보를 판단하는바, 목표 노드 NDestination가 스위칭 장치이면, IDSW - last는 곧 IDDestination이며, 목표 노드 NDestination가 사용자 단말이면 IDSW-last는 곧 사용자 단말에 직접 연결되는 스위칭 장치의 식별자이다.
2.2.2) IDSource, IDSW - first, IDSW - last 및 IDDestination을 포함하는 4-튜플 식별자를 기록하는바, IDSource, IDSW - first 및 IDDestination는 수신된 스위칭 경로 탐색 패킷 내의 각 필드의 값과 동일하며 이때 4-튜플의 모든 필드 값은 모두 확정된다.
2.2.3) 스위칭 경로 응답 패킷을 구성하여 송신 소스 노드 NSource에 송신하는바, 해당 패킷에는 모든 필드 값이 확정된 4-튜플 식별자가 포함되며, 상기 4-튜플 식별자에는 IDSource, IDSW - first, IDSW - last 및 IDDestination이 포함된다.
바람직하게, 각 노드가 목표 노드 NDestination으로부터 송신된 스위칭 경로 응답 패킷을 수신한 후 상기 단계 2.3)의 구체적인 실현 방식은 다음과 같다.
2.3.1) 스위칭 장치가 스위칭 경로 응답 패킷을 수신한 후, 만약 자신의 식별자가 해당 패킷 내의 4-튜플 식별자 중에 존재하면, 4-튜플 식별자를 기록하고 다시 전달하며, 만약 자신의 식별자가 해당 패킷 내의 4-튜플 식별자 중에 존재하지 않으면, 직접 해당 패킷을 전달하는바 상기 4-튜플 식별자에는 IDSource, IDSW-first, IDSW-last 및 IDDestination이 포함된다.
2.3.2) 송신 소스 노드 NSource가 스위칭 경로 응답 패킷을 수신한 후 4-튜플 식별자를 기록하고 이번 스위칭 경로 탐색 과정을 완성하는바 상기 4-튜플 식별자에는 IDSource, IDSW - first, IDSW - last 및 IDDestination이 포함된다.
바람직하게, 상기 과정 3)의 구체적인 실현 방식은 다음과 같다.
송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신 타입은 획득되는 스위칭 경로 4-튜플 정보에 따라 판단되는바 상기 4-튜플 정보에는 IDSource, IDSW - first, IDSW - last 및 IDDestination이 포함되며 그 구체적인 판단 방식은 다음과 같다.
3.1) IDSW - first = IDSource의 성립 여부를 판단하여, 만약 성립되면 송신 소스 노드 NSource는 스위칭 장치이며 단계 3.2)를 실행하며, 만약 성립되지 않으면 송신 소스 노드 NSource는 사용자 단말이며 단계 3.4)를 실행한다.
3.2) IDSW - last = IDDestination의 성립 여부를 판단하여, 만약 성립되면 목표 노드 NDestination는 스위칭 장치이며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 스위칭 장치에서 스위칭 장치로의 통신이며 스위칭 장치에서 스위칭 장치로의 통신 타입에 속하며, 만약 성립되지 않으면, 목표 노드 NDestination는 사용자 단말이며 단계 3.3)을 실행한다.
3.3) IDSW - last = IDSW - first의 성립 여부를 판단하여, 만약 성립되면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 하나의 스위칭 장치만 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 스위칭 장치에서 그와 직접 연결되는 사용자 단말로의 통신이며 스위칭 장치에서 그와 직접 연결되는 사용자 단말로의 통신 타입에 속하며, 만약 성립되지 않으면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 두 개 이상의 스위칭 장치를 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 스위칭 장치로부터 그와 직접 연결되지 않은 사용자 단말로의 통신이며 스위칭 장치에서 그와 직접 연결되지 않은 사용자 단말로의 통신 타입에 속한다.
3.4) IDSW - last = IDDestination의 성립 여부를 판단하여, 만약 성립되면 목표 노드 NDestination는 스위칭 장치이며 단계 3.5)를 실행하고, 만약 성립되지 않으면 목표 노드 NDestination는 사용자 단말이며 단계 3.6)을 실행한다.
3.5) IDSW - last = IDSW - first의 성립 여부를 판단하여, 만약 성립되면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 하나의 스위칭 장치만 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 사용자 단말에서 그와 직접 연결되는 스위칭 장치로의 통신이며 사용자 단말에서 그와 직접 연결되는 스위칭 장치로의 통신 타입에 속하며, 만약 성립되지 않으면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 두 개 이상의 스위칭 장치를 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 사용자 단말로부터 그와 직접 연결되지 않은 스위칭 장치로의 통신이며 사용자 단말에서 그와 직접 연결되지 않은 스위칭 장치로의 통신 타입에 속한다.
3.6) IDSW - last = IDSW - first의 성립 여부를 판단하여, 만약 성립되면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 하나의 스위칭 장치만 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 사용자 단말에서 그와 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말로의 통신이며 사용자 단말에서 그와 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말로의 통신 타입에 속하며, 만약 성립되지 않으면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 두 개 이상의 스위칭 장치를 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 사용자 단말로부터 상이한 스위칭 장치에 직접 연결되는 사용자 단말로의 통신이며 사용자 단말에서 상이한 스위칭 장치에 직접 연결되는 사용자 단말로의 통신 타입에 속한다.
바람직하게, 상기 과정 4)의 구체적인 실현 방식은 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 노드 간 데이터 통신에 있어서 데이터 통신 타입의 상이함에 따라 통신 과정에서 채용되는 보안 통신 정책도 상이하다.
바람직하게, 데이터 통신 타입이 스위칭 장치에서 스위칭 장치로의 데이터 통신 타입일 경우 상기 노드 간 보안 통신 정책의 구체적인 실현 방식은 다음과 같다.
4.1.1) 송신 소스 노드 NSource가 그와 목표 노드 NDestination사이의 스위칭 암호키를 이용하여 데이터 패킷을 암호화하는바, 상기 송신 소스 노드 NSource는 스위칭 장치이고 해당 스위칭 장치는 송신 소스 노드 NSource이면서 또한 제1 스위칭 장치 SW-first이며, 상기 목표 노드 NDestination는 스위칭 장치이고 해당 스위칭 장치는 목표 노드 NDestination이면서 또한 마지막 스위칭 장치 SW-last이다.
4.1.2) 만약 중간 스위칭 장치가 존재하면 중간 스위칭 장치가 스위칭 장치에서 스위칭 장치로의 타입인 통신 데이터 패킷을 수신하고 직접 전달한다.
4.1.3) 목표 노드 NDestination가 그와 송신 소스 노드 NSource 사이의 스위칭 암호키를 이용하여 데이터 패킷을 복호화한다.
바람직하게, 데이터 통신 타입이 스위칭 장치에서 그와 직접 연결된 사용자 단말로의 데이터 통신 타입일 경우, 상기 노드 간 보안 통신 정책의 구체적인 실현 방식은 다음과 같다.
4.2.1) 송신 소스 노드 NSource가 그와 목표 노드 NDestination 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화하는바, 상기 송신 소스 노드 NSource는 스위칭 장치이고 해당 스위칭 장치는 송신 소스 노드 NSource 이면서도 또한 제1 스위칭 장치 SW-first이며 동시에 마지막 스위칭 장치 SW-last이며, 상기 목표 노드 NDestination는 사용자 단말이다.
4.2.2) 목표 노드 NDestination가 그와 송신 소스 노드 NSource 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한다.
바람직하게, 데이터 통신 타입이 스위칭 장치에서 그와 직접 연결되지 않은 사용자 단말로의 데이터 통신 타입일 경우, 상기 노드 간 보안 통신 정책의 구체적인 실현 방식은 다음과 같다.
4.3.1) 송신 소스 노드 NSource가 그와 마지막 스위칭 장치 SW-last 사이의 스위칭 암호키를 이용하여 데이터 패킷을 암호화하는바, 상기 송신 소스 노드 NSource는 스위칭 장치이고 해당 스위칭 장치는 송신 소스 노드 NSource이면서도 또한 제1 스위칭 장치 SW-first이다.
4.3.2) 만약 중간 스위칭 장치가 존재하면 중간 스위칭 장치가 스위칭 장치로부터 그와 직접 연결되지 않은 사용자 단말로의 통신 타입인 데이터 패킷을 직접 전달한다.
4.3.3) 마지막 스위칭 장치 SW-last가 그와 송신 소스 노드 NSource 사이의 스위칭 암호키를 이용하여 데이터 패킷을 복호화한 다음 그와 목표 노드 NDestination 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화한 후 전달하는바 상기 목표 노드 NDestination는 사용자 단말이다.
4.3.4) 목표 노드 NDestination가 그와 마지막 스위칭 장치 SW-last 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한다.
바람직하게, 데이터 통신 타입이 사용자 단말에서 그와 직접 연결된 스위칭 장치로의 데이터 통신 타입일 경우, 상기 노드 간 보안 통신 정책의 구체적인 실현 방식은 다음과 같다.
4.4.1) 송신 소스 노드 NSource가 그와 목표 노드 NDestination사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화하는바, 상기 송신 소스 노드 NSource는 사용자 단말이고 상기 목표 노드 NDestination는 스위칭 장치이며 해당 스위칭 장치는 목표 노드 NDestination이면서도 또한 제1 스위칭 장치 SW-first이며 동시에 마지막 스위칭 장치 SW-last이다.
4.4.2) 목표 노드 NDestination가 그와 송신 소스 노드 NSource 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한다.
바람직하게, 데이터 통신 타입이 사용자 단말에서 그와 직접 연결되지 않은 스위칭 장치로의 데이터 통신 타입일 경우, 상기 노드 간 보안 통신 정책의 구체적인 실현 방식은 다음과 같다.
4.5.1) 송신 소스 노드 NSource가 그와 제1 스위칭 장치 SW-first 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화하는바, 상기 송신 소스 노드 NSource는 사용자 단말이다.
4.5.2) 제1 스위칭 장치 SW-first가 그와 송신 소스 노드 NSource 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한 후 그와 목표 노드 NDestination 사이의 스위칭 암호키를 이용하여 데이터 패킷을 암호화한 다음 전달하는바, 상기 목표 노드 NDestination는 스위칭 장치이고 해당 스위칭 장치는 목표 노드 NDestination이면서도 또한 마지막 스위칭 장치 SW-last이다.
4.5.3) 만약 중간 스위칭 장치가 존재하면 중간 스위칭 장치가 사용자 단말로부터 그와 직접 연결되지 않은 스위칭 장치로의 통신 타입인 데이터 패킷을 직접 전달한다.
4.5.4) 목표 노드 NDestination가 그와 제1 스위칭 장치 SW-first 사이의 스위칭 암호키를 이용하여 데이터 패킷을 복호화한다.
바람직하게, 데이터 통신 타입이 사용자 단말에서 그와 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말로의 데이터 통신 타입일 경우, 상기 노드 간 보안 통신 정책의 구체적인 실현 방식은 하기와 같다.
4.6.1) 국 간 암호키가 기 설립된, 사용자 단말에서 그와 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말로의 통신 타입에 채용되는 보안 통신 정책은 다음과 같다.
4.6.1.1) 송신 소스 노드 NSource가 그와 목표 노드 NDestination 사이의 국 간 암호키를 이용하여 데이터 패킷을 암호화하는바, 상기 목표 노드 NDestination는 사용자 단말이며,
4.6.1.2) 제1 스위칭 장치 SW-first가, 사용자 단말로부터 그와 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말로의 통신 타입의 데이터 패킷에 대해 직접 전달하는바, 상기 제1 스위칭 장치 SW-first는 또한 마지막 스위칭 장치 SW-last 이기도 하며,
4.6.1.3) 목표 노드 NDestination가 그와 송신 소스 노드 NSource 사이의 국 간 암호키를 이용하여 데이터 패킷을 복호화한다.
4.6.2) 국 간 암호키가 설립되지 않은, 사용자 단말로부터 그와 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말의 통신 타입에 채용되는 보안 통신 정책은 다음과 같다.
4.6.2.1) 송신 소스 노드 NSource가 그와 직접 연결되는 스위칭 장치 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화하며,
4.6.2.2) 제1 스위칭 장치 SW-first가 그와 송신 소스 노드 NSource 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한 후 그와 목표 노드 NDestination 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화한 다음 전달하는바, 상기 제1 스위칭 장치 SW-first는 또한 마지막 스위칭 장치 SW-last이기도 하며,
4.6.2.3) 목표 노드 NDestination가 그와 직접 연결되는 스위칭 장치 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한다.
바람직하게, 데이터 통신 타입이 사용자 단말로부터 상이한 스위칭 장치에 직접 연결되는 사용자 단말로의 데이터 통신 타입일 경우, 상기 노드 간 보안 통신 정책의 구체적인 실현 방식은 다음과 같다.
4.7.1) 송신 소스 노드 NSource가 그와 제1 스위칭 장치 SW-first 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화하는바, 상기 송신 소스 노드 NSource는 사용자 단말이다.
4.7.2) 제1 스위칭 장치 SW-first가 그와 송신 소스 노드 NSource 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한 후 그와 마지막 스위칭 장치 SW-last 사이의 스위칭 암호키를 이용하여 데이터 패킷을 암호화한 다음 전달한다.
4.7.3) 만약 중간 스위칭 장치가 존재하면 중간 스위칭 장치가 사용자 단말로부터 상이한 스위칭 장치에 직접 연결되는 사용자 단말로의 통신 타입의 데이터 패킷을 직접 전달한다.
4.7.4) 마지막 스위칭 장치 SW-last가 그와 제1 스위칭 장치 SW-first 사이의 스위칭 암호키를 이용하여 데이터 패킷을 복호화한 후 그와 목표 노드 NDestination 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화한 다음 전달하는바 상기 목표 노드 NDestination는 사용자 단말이다.
4.7.5) 목표 노드 NDestination가 그와 마지막 스위칭 장치 SW-last 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한다.
본 발명은 또한 노드 간 보안 통신 시스템을 제공하는바 상기 시스템에는 송신 소스 노드 NSource, 제1 스위칭 장치 SW-first, 제2 스위칭 장치 SW-last 및 목표 노드 NDestination가 포함되며,
송신 소스 노드 NSource는 목표 노드 NDestination에 스위칭 경로 탐색 패킷 및 암호화된 데이터 패킷을 송신하며, 목표 노드 NDestination에 의해 송신되는 스위칭 경로 응답 패킷을 수신하여 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보를 기록하고,
제1 스위칭 장치 SW-first는 송신 소스 노드 NSource로부터 목표 노드 NDestination로의 데이터 패킷을 전달하며 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보를 기록하고,
제2 스위칭 장치 SW-last는 송신 소스 노드 NSource로부터 목표 노드 NDestination로의 데이터 패킷을 전달하며 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보를 기록하고,
목표 노드 NDestination는 송신 소스 노드 NSource에 의해 송신되는 스위칭 경로 탐색 패킷 및 암호화된 데이터 패킷을 수신하며 송신 소스 노드 NSource에 스위칭 경로 응답 패킷을 송신하며 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보를 기록하며,
여기서, 상기 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보에는 IDSource, IDSW - first, IDSW - last 및 IDDestination이 포함된다.
상기 시스템에는, 송신 소스 노드 NSource로부터 목표 노드 NDestination로의 모든 데이터 패킷을 직접 투명하게 전송하기 위한 중간 스위칭 장치가 더 포함된다.
본 발명에 의해 제공되는 유선 LAN 노드 간 보안 통신 방법 및 시스템에 있어서 인접 노드 사이, 매 두 개의 스위칭 장치 사이, 동일한 스위칭 장치에 직접 연결되는 매 두 개의 사용자 단말 사이에 공유 암호키를 설립하여 스위칭 경로 탐색 과정을 통해 노드 간 스위칭 경로 정보를 획득하여 두 노드 사이의 데이터 통신 타입을 판단함으로써 대응되는 보안 통신 정책을 선택해야 한다. 본 발명에 의해 제공되는 방법 및 시스템은 스위칭 경로 정보를 기반으로 하여 데이터 통신의 타입을 분류하여 상이한 데이터 통신 타입에 대해 상이한 보안 통신 정책을 채용한다. 홉별 암호화에 비해, 스위칭 장치의 계산 부하를 줄여 데이터 패킷의 전송 시간 지연을 줄이며, 모든 노드의 매 두 개마다 국 간 암호키를 설립하여 통신의 기밀성을 보호하는 방법에 비해, 암호키의 수량을 줄여 암호키 관리를 단순화한다.
도1은 본 발명에 따른 LAN의 기본 프레임 예시도이며,
도2는 본 발명에 따른 노드 간 스위칭 경로의 네트워크 구성 예시도이며,
도3은 본 발명에 따른 스위칭 경로 탐색 프로토콜 예시도이며,
도4는 본 발명에 따른 노드 간 스위칭 경로 탐색 과정 예시도이며,
도5는 본 발명에 따른 노드 간 데이터 통신 타입의 판단 흐름 예시도이며,
도6a는 본 발명에 따른 스위칭 장치에서 스위칭 장치로의 통신(인접) 예시도이며,
도6b는 본 발명에 따른 스위칭 장치에서 스위칭 장치로의 통신(비 인접) 예시도이며,
도7은 본 발명에 따른 스위칭 장치에서 그와 직접 연결된 사용자 단말로의 통신 예시도이며,
도8은 본 발명에 따른 스위칭 장치에서 그와 직접 연결되지 않은 사용자 단말로의 통신 예시도이며,
도9는 본 발명에 따른 사용자 단말에서 그와 직접 연결된 스위칭 장치로의 통신 예시도이며,
도10은 본 발명에 따른 사용자 단말에서 그와 직접 연결되지 않은 스위칭 장치로의 통신 예시도이며,
도11a는 본 발명에 따른 사용자 단말에서 그와 동일한 스위칭 장치에 직접 연결된 다른 사용자 단말로의 통신(국 간 암호키 설립) 예시도이며,
도11b는 본 발명에 따른 사용자 단말에서 그와 동일한 스위칭 장치에 직접 연결된 다른 사용자 단말로의 통신(국 간 암호키 미 설립) 예시도이며,
도12는 본 발명에 따른 사용자 단말에서 상이한 스위칭 장치에 직접 연결된 사용자 단말로의 통신 예시도이다.
본 발명의 노드 N(Node)은 네트워크 내의 사용자 단말 STA(STAtion)과 스위칭 장치 SW(SWitch)를 의미한다. 허브(hub) 등 물리 계층 장치는 노드로 취급되어 처리되지 않는다.
본 발명에서 정의되는 직접 연결은 케이블 또는 허브(hub) 등 물리 계층 장치를 통해 스위칭 장치들 사이 또는 스위칭 장치와 사용자 단말 사이가 직접 상호 연결되는 연결 관계를 의미한다. 기타 장치를 통해 연결되는 노드 사이는 직접 연결 관계에 속하지 않는다.
도 1 내지 도 12에 도시된 바와 같이, 본 발명에 의해 제공되는 유선 LAN 노드 보안 통신 방법에는 주로 공유 암호키의 설립, 스위칭 경로의 탐색, 데이터 통신의 분류 및 노드 간 보안 통신 등 네 개의 과정이 포함되며, 그 구체적인 실시 방식은 다음과 같다.
1) 공유 암호키의 설립은 곧 노드 사이에 공유 암호키를 설립하는 것으로서, 상기 노드 사이는 사용자 단말과 스위칭 장치 사이, 매 두 개의 교환 장치 사이 및 동일한 스위칭 장치에 직접 연결되는 두 개의 사용자 단말 사이를 포함하는바, 구체적으로 하기와 같은 단계를 포함한다.
1.1) 인접 노드 사이에 유니캐스트 세션 암호키(USK, Unicast Session Key)로 불리는 공유 암호키를 설립하며,
1.2) 매 두 개의 스위칭 장치 사이에 스위칭 암호키(SWkey, SWitch key)로 불리는 공유 암호키를 설립하는바, 인접된 스위칭 장치 사이의 유니캐스트 세션 암호키가 바로 그들 사이의 스위칭 암호키이며,
1.3) 로컬 정책의 선택에 따라 동일한 스위칭 장치에 직접 연결되는 두 개의 사용자 단말 사이에 국 간 암호키(STAkey, STAtion key)로 불리는 공유 암호키를 설립한다.
LAN 기본 프레임은 도1에 도시된 바와 같다. 인접된 스위칭 장치 SW-A와 SW-B 사이, 인접된 스위칭 장치 SW-E와 사용자 단말 STA2 사이를 비롯한 모든 인접된 노드 사이에서는 모두 유니캐스트 세션 암호키 USK를 가진다. 인접된 스위칭 장치 SW-B와 SW-E 사이, 인접되지 않은 스위칭 장치 SW-E와 SW-G 사이를 비롯한 매 두 개의 스위칭 장치 사이에서는 모두 스위칭 암호키 SWkey를 가진다. 사용자 단말 STA1과 STA2 사이, 사용자 단말 STA7과 STA9 사이를 비롯한 동일한 스위칭 장치에 직접 연결되는 사용자 단말 STA 사이에서는 국 간 암호키 STAkey를 설립할 수 있다. 유니캐스트 세션 암호키와 스위칭 암호키는 노드가 성공적으로 네트워크에 접속될 때 설립되는 것이며, 국 간 암호키는 통신이 발생할 때 로컬 정책에 따라 송신 소스 노드 NSource에 의해 설립 여부가 결정된다. 일반적으로, 만약 사용자 단말 STA1이 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말 STA2에 송신하고자 하는 데이터 량이 비교적 크면 국 간 암호키를 설립해야 하며, 만약 단지 단순한 데이터 패킷 정보이면 국 간 암호키를 설립할 필요가 없다. 유니캐스트 세션 암호키, 스위칭 암호키 및 국 간 암호키는 사전 분배 또는 소정의 보안 메커니즘을 통해 설립될 수 있으며, 그 구체적인 설립 방법에 대해 본 발명에서는 한정과 정의를 내리지 않는다.
2) 스위칭 경로의 탐색은 곧 노드 사이에서 스위칭 경로 탐색을 통해 노드 사이의 스위칭 경로 정보를 획득하는바, 구체적으로 하기와 같은 단계를 포함한다.
송신 소스 노드 NSource에서 목표 노드 NDestination까지의 노드 간 스위칭 경로 정보를 하나의 4-튜플 식별자인 [IDSource, IDSW - first, IDSW - last, IDDestination]로 정의하며, 여기서,
IDSource: 송신 소스 노드 NSource의 식별자를 표시하는바, 송신 소스 노드 NSource는 사용자 단말일 수도 있고 스위칭 장치일 수도 있으며,
IDSW - first: 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 패킷이 경과하는 제1 스위칭 장치 SW-first의 식별자를 표시하며,
IDSW - last: 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 패킷이 경과하는 마지막 스위칭 장치 SW-last의 식별자를 표시하며,
IDDestination: 목표 노드 NDestination의 식별자를 표시하는바, 목표 노드 NDestination는 사용자 단말일 수도 있고 스위칭 장치일 수도 있다.
송신 소스 노드 NSource에서 목표 노드 NDestination까지의 스위칭 경로 정보 [IDSource, IDSW-first, IDSW - last, IDDestination]에 대응되는 네트워크 구성은 도2에 도시된 바와 같다. 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 패킷을 수신하지만 스위칭 경로 정보 4-튜플 식별자 중에 나타나지 않는 스위칭 장치를 중간 스위칭 장치라 한다. 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 전송 과정에서 중간 스위칭 장치를 경과하지 않을 수도 있고 여러 개의 중간 스위칭 장치를 통과할 수도 있다.
네트워크 내에서, 노드 NSource로부터 노드 NDestination으로의 스위칭 경로 정보를 알고자 할 경우 스위칭 경로 탐색 과정을 개시해야 한다. 도3에 도시된 바와 같이, 스위칭 경로 탐색에는 스위칭 경로 탐색 패킷과 스위칭 경로 응답 패킷이 포함된다. 스위칭 경로 탐색 과정에 대한 구체적인 설명은 도4에 도시된 바와 같다.
2.1) 송신 소스 노드 NSource가 목표 노드 NDestination에 스위칭 경로 탐색 패킷을 송신한다.
송신 소스 노드 NSource가 스위칭 경로 탐색 패킷을 구성하여 목표 노드 NDestination에 송신하는바, 상기 패킷에는 4-튜플 식별자인 [IDSource, IDSW - first, IDSW - last, IDDestination]가 포함되며,
여기서,
IDSource: 송신 소스 노드 NSource의 식별자를 표시하며,
IDSW - first: 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 패킷이 경과하는 제1 스위칭 장치 SW-first의 식별자를 표시하며, 송신 소스 노드 NSource가 스위칭 장치이면 IDSW - first는 곧 IDSource이며, 송신 소스 노드 NSource가 사용자 단말이면 IDSW - first는 송신 소스 노드 NSource에 직접 연결되는 스위칭 장치의 식별자이며,
IDSW - last: 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 패킷이 경과하는 마지막 스위칭 장치 SW-last의 식별자를 표시하며 스위칭 경로 탐색 패킷에서 해당 필드는 미지의 값(도 4에서와 같이 의문표('?')로 표시됨)이며,
IDDestination: 목표 노드 NDestination의 식별자를 표시한다.
2.2) 목표 노드 NDestination가 송신 소스 노드 NSource에 스위칭 경로 응답 패킷을 송신한다.
목표 노드 NDestination가 송신 소스 노드 NSource에 의해 송신된 스위칭 경로 탐색 패킷을 수신한 후, 하기와 같은 처리를 진행한다.
2.2.1) 송신 소스 노드 NSource로부터 송신되어 온 데이터 패킷이 경과한 마지막 스위칭 장치 SW-last의 정보를 판단하는바, 목표 노드 NDestination가 스위칭 장치이면, IDSW - last는 곧 IDDestination이며, 목표 노드 NDestination가 사용자 단말이면 IDSW - last는 사용자 단말에 직접 연결되는 스위칭 장치의 식별자이다.
2.2.2) 4-튜플 식별자 [IDSource, IDSW - first, IDSW - last, IDDestination]를 기록하는바, IDSource, IDSW-first 및 IDDestination는 수신된 스위칭 경로 탐색 패킷 내의 각 필드의 값과 동일하며 이때 4-튜플의 모든 필드 값은 모두 확정된다.
2.2.3) 스위칭 경로 응답 패킷을 구성하여 송신 소스 노드 NSource에 송신하는바, 해당 패킷에는 주로 모든 필드 값이 기 확정된 4-튜플 식별자 [IDSource, IDSW - first, IDSW - last, IDDestination]가 포함된다.
2.3) 각 노드가 스위칭 경로 응답 패킷을 수신한다.
2.3.1) 스위칭 장치가 스위칭 경로 응답 패킷을 수신한 후, 만약 자신의 식별자가 해당 패킷 내의 4-튜플 식별자 중에 존재하면, 4-튜플 식별자 [IDSource, IDSW - first, IDSW - last, IDDestination]를 기록한 다음 전달하며, 만약 자신의 식별자가 해당 패킷 내의 4-튜플 식별자 중에 존재하지 않으면, 직접 해당 패킷을 전달한다.
2.3.2) 송신 소스 노드 NSource가 스위칭 경로 응답 패킷을 수신한 후 4-튜플 식별자 [IDSource, IDSW - first, IDSW - last, IDDestination]를 기록하고 이로써 이번 스위칭 경로 탐색 과정이 완료된다.
전체 네트워크 내에서 오직 송신 소스 노드 NSource, 제1 스위칭 장치 SW-first, 마지막 스위칭 장치 SW-last 및 목표 노드 NDestination만 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보를 기록한다. 만약 송신 소스 노드 NSource가 스위칭 장치이면 송신 소스 노드 NSource로부터 목표 노드 NDestination로의 데이터 패킷이 경과하는 제1 스위칭 장치 SW-first가 곧 그 자신이며, 즉 SW-first는 곧 NSource이다. 만약 목표 노드 NDestination가 스위칭 장치이면 송신 소스 노드 NSource로부터 목표 노드 NDestination로의 데이터 패킷이 경과하는 마지막 스위칭 장치 SW-last가 곧 NDestination이며, 즉 SW-last는 곧 NDestination이다.
3) 데이터 통신 타입의 분류는 즉 노드 사이에서 상기 스위칭 경로 정보에 따라 노드 사이의 데이터 통신 타입을 판단하는 것으로서, 구체적으로 하기 단계를 포함한다.
송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 보안 통신은 노드 NSource와 노드 NDestination 사이의 물리적 연결 관계 및 그들 자신의 노드 타입에 따라 하기 7가지 타입(Type)으로 분류될 수 있다.
Type 1: 스위칭 장치에서 스위칭 장치로의 통신;
도1의 SW-A에서 SW-E로, SW-D에서 SW-B로의 데이터 통신을 예로 들 수 있다.
Type 2: 스위칭 장치에서 그와 직접 연결되는 사용자 단말로의 통신;
도1의 SW-E에서 STA1로, SW-G에서 STA9로의 데이터 통신을 예로 들 수 있다.
Type 3: 스위칭 장치에서 그와 직접 연결되지 않은 사용자 단말로의 통신;
도1의 SW-A에서 STA1로, SW-D에서 STA6으로의 데이터 통신을 예로 들 수 있다.
Type 4: 사용자 단말에서 그와 직접 연결되는 스위칭 장치로의 통신;
도1의 STA2에서 SW-E로, STA5에서 SW-F로의 데이터 통신을 예로 들 수 있다.
Type 5: 사용자 단말에서 그와 직접 연결되지 않은 스위칭 장치로의 통신;
도1의 STA2에서 SW-F로, STA5에서 SW-B로의 데이터 통신을 예로 들 수 있다.
Type 6: 사용자 단말에서 그와 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말로의 통신;
도1의 STA2에서 STA3으로, STA5에서 STA6으로의 데이터 통신을 예로 들 수 있다.
Type 7: 사용자 단말에서 상이한 스위칭 장치에 직접 연결되는 사용자 단말로의 통신;
도1의 STA2에서 STA6으로, STA5에서 STA9로의 데이터 통신을 예로 들 수 있다.
송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신 타입은 획득되는 스위칭 경로 4-튜플 정보 [IDSource, IDSW - first, IDSW - last, IDDestination]에 따라 판단되며 그 구체적인 판단 흐름은 도5에 도시된 바와 같다. 그 흐름에 대한 설명은 다음과 같다.
3.1) IDSW - first = IDSource의 성립 여부를 판단하여, 만약 성립되면 송신 소스 노드 NSource는 스위칭 장치이며 단계 3.2)를 실행하며, 만약 성립되지 않으면 송신 소스 노드 NSource는 사용자 단말이며 단계 3.4)를 실행한다.
3.2) IDSW - last = IDDestination의 성립 여부를 판단하여, 만약 성립되면 목표 노드 NDestination는 스위칭 장치이며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 스위칭 장치에서 스위칭 장치로의 통신이며 타입 Type 1에 속하며, 만약 성립되지 않으면, 목표 노드 NDestination는 사용자 단말이며 단계 3.3)을 실행한다.
3.3) IDSW - last = IDSW - first의 성립 여부를 판단하여, 만약 성립되면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 하나의 스위칭 장치만 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 스위칭 장치에서 그와 직접 연결되는 사용자 단말로의 통신이며 타입 Type 2에 속하며, 만약 성립되지 않으면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 두 개 이상의 스위칭 장치를 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 스위칭 장치로부터 그와 직접 연결되지 않은 사용자 단말로의 통신이며 타입 Type 3에 속한다.
3.4) IDSW - last = IDDestination의 성립 여부를 판단하여, 만약 성립되면 목표 노드 NDestination는 스위칭 장치이며 단계 3.5)를 실행하고, 만약 성립되지 않으면 목표 노드 NDestination는 사용자 단말이며 단계 3.6)을 실행한다.
3.5) IDSW - last = IDSW - first의 성립 여부를 판단하여, 만약 성립되면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 하나의 스위칭 장치만 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 사용자 단말에서 그와 직접 연결되는 스위칭 장치로의 통신이며 타입 Type 4에 속하며, 만약 성립되지 않으면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 두 개 이상의 스위칭 장치를 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 사용자 단말로부터 그와 직접 연결되지 않은 스위칭 장치로의 통신이며 타입 Type 5에 속한다.
3.6) IDSW - last = IDSW - first의 성립 여부를 판단하여, 만약 성립되면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 하나의 스위칭 장치만 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 사용자 단말에서 그와 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말로의 통신이며 타입 Type 6에 속하며, 만약 성립되지 않으면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 두 개 이상의 스위칭 장치를 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 사용자 단말로부터 상이한 스위칭 장치에 직접 연결되는 사용자 단말로의 통신이며 타입 Type 7에 속한다.
4) 노드 간 보안 통신은 곧 노드 사이의 상이한 데이터 통신 타입에 따라 상이한 보안 통신 정책을 채용하여 노드 간 보안 통신을 진행하는 것으로서, 구체적으로 하기 단계를 포함한다.
송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 노드 간 데이터 통신은 데이터 통신 타입의 상이함에 따라 통신 과정에서 채용하는 보안 통신 정책도 상이하게 되고 구체적으로 각 통신 타입에 의해 채용되는 보안 통신 정책에 대한 셜명은 다음과 같다.
4.1) Type 1: 스위칭 장치에서 스위칭 장치로의 통신
네트워크 내의 매 두 개의 스위칭 장치 사이에는 모두 스위칭 암호키(스위칭 암호키의 설립 과정에 대해 본 발명에서는 정의와 한정을 내리지 않는다)가 존재하며, Type 1 타입의 데이터 통신에서 채용되는 보안 통신 정책은 다음과 같다.
4.1.1) 송신 소스 노드 NSource(이때 송신 소스 노드 NSource는 스위칭 장치이며 또한 제1 스위칭 장치 SW-first이기도 함)가 그와 목표 노드 NDestination(이때 목표 노드 NDestination는 스위칭 장치이며 또한 마지막 스위칭 장치 SW-last이기도 함)사이의 스위칭 암호키를 이용하여 데이터 패킷을 암호화하며,
4.1.2) 만약 중간 스위칭 장치가 존재하면 중간 스위칭 장치가 타입 Type 1의 통신 데이터 패킷을 수신하고 직접 전달한다.
4.1.3) 목표 노드 NDestination가 그와 송신 소스 노드 NSource 사이의 스위칭 암호키를 이용하여 데이터 패킷을 복호화한다.
스위칭 장치에서 스위칭 장치로의 통신에는 스위칭 장치에서 인접 스위칭 장치로의 통신(예를 들면 도6a의 스위칭 장치 SW-B에서 스위칭 장치 SW-E로의 통신), 스위칭 장치에서 그와 인접되지 않은 스위칭 장치의 통신(예를 들면 도6b의 스위칭 장치 SW-B에서 스위칭 장치 SW-G로의 통신)이 포함된다. 도6a에서는 직접 스위칭 암호키 SWkeyB -E를 이용하여 데이터 패킷을 암호화하거나 복호화한다. 도6b에서는 직접 스위칭 암호키 SWkeyB -G를 이용하여 데이터 패킷을 암호화하거나 복호화하며 중간 스위칭 장치(예를 들면 스위칭 장치 SW-A, SW-D)을 통해 직접 전달하면 된다.
4.2) Type 2: 스위칭 장치에서 그와 직접 연결되는 사용자 단말로의 통신
네트워크 내의 스위칭 장치와 그와 직접 연결되는 사용자 단말 사이에는 유니캐스트 세션 암호키(유니캐스트 세션 암호키의 설립 과정에 대해 본 발명은 정의와 한정을 하지 않음)가 존재하며 타입 Type 2의 데이터 통신에 채용되는 보안 통신 정책은 다음과 같다.
4.2.1) 송신 소스 노드 NSource(이때 송신 소스 노드 NSource는 스위칭 장치이면서 또한 제1 스위칭 장치 SW-first와 마지막 스위칭 장치 SW-last이기도 함)가 그와 목표 노드 NDestination(이때 목표 노드 NDestination는 사용자 단말임)사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화한다.
4.2.2) 목표 노드 NDestination가 그와 송신 소스 노드 NSource 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한다.
도7에 도시된 바와 같이, 스위칭 장치 SW-E에서 사용자 단말 STA3으로의 통신은 Type 2에 속하며, 스위칭 장치 SW-E는 송신 소스 노드로서 유니캐스트 세션 암호키 USK3 -E를 이용하여 데이터 패킷을 암호화하며 사용자 단말 STA3은 목표 노드로서 유니캐스트 세션 암호키 USK3 -E를 이용하여 데이터 패킷을 복호화한다.
4.3) Type 3: 스위칭 장치에서 그와 직접 연결되지 않은 사용자 단말로의 통신
네트워크 내의 스위칭 장치와 그와 직접 연결되는 사용자 단말 사이에는 유니캐스트 세션 암호키가 존재하며, 스위칭 장치 사이에는 스위칭 암호키가 존재하며, 타입 Type 3의 데이터 통신에 의해 채용되는 보안 통신 정책은 다음과 같다.
4.3.1) 송신 소스 노드 NSource(이때 송신 소스 노드 NSource는 스위칭 장치이면서 또한 제1 스위칭 장치 SW-first이기도 함)가 그와 마지막 스위칭 장치 SW-last 사이의 스위칭 암호키를 이용하여 데이터 패킷을 암호화한다.
4.3.2) 만약 중간 스위칭 장치가 존재하면 중간 스위칭 장치가 타입 Type 3의 데이터 패킷을 직접 전달한다.
4.3.3) 마지막 스위칭 장치 SW-last가 그와 송신 소스 노드 NSource 사이의 스위칭 암호키를 이용하여 데이터 패킷을 복호화한 다음 그와 목표 노드 NDestination(이때 목표 노드 NDestination는 사용자 단말임) 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화한 후 전달한다.
4.3.4) 목표 노드 NDestination가 그와 마지막 스위칭 장치 SW-last 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한다.
도8에 도시된 바와 같이, 스위칭 장치 SW-A에서 사용자 단말 STA3으로의 통신은 Type 3에 속하며, SW-E는 마지막 스위칭 장치이다. 스위칭 장치 SW-A는 송신 소스 노드로서 그와 SW-E 사이의 스위칭 암호키 SWkeyA -E를 이용하여 데이터 패킷을 암호화하며, 스위칭 장치 SW-B는 중간 스위칭 장치에 속하므로 데이터 패킷을 직접 전달하며, 스위칭 장치 SW-E는 마지막 스위칭 장치로서 스위칭 암호키 SWkeyA -E를 이용하여 데이터 패킷을 복호화한 후 그와 사용자 단말 STA3 사이의 유니캐스트 세션 암호키 USK3 -E를 이용하여 데이터 패킷을 암호화한 다음 전달하며, 사용자 단말 STA3은 목표 노드로서 유니캐스트 세션 암호키 USK3 -E를 이용하여 데이터 패킷을 복호화한다.
4.4) Type 4: 사용자 단말에서 그와 직접 연결되는 스위칭 장치로의 통신
네트워크 내의 사용자 단말과 그와 직접 연결되는 스위칭 장치 사이에는 유니캐스트 세션 암호키가 존재하며, 타입 Type 4의 데이터 통신에 채용되는 보안 통신 정책은 다음과 같다.
4.4.1) 송신 소스 노드 NSource(이때 송신 소스 노드 NSource는 사용자 단말임)가 그와 목표 노드 NDestination(이때 목표 노드 NDestination는 스위칭 장치이면서 또한 제1 스위칭 장치 SW-first와 마지막 스위칭 장치 SW-last이기도 함)사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화한다.
4.4.2) 목표 노드 NDestination가 그와 송신 소스 노드 NSource 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한다.
도9에 도시된 바와 같이, 사용자 단말 STA3에서 스위칭 장치 SW-E로의 통신은 Type 4에 속하며 사용자 단말 STA3은 송신 소스 노드로서 유니캐스트 세션 암호키 USK3 -E를 이용하여 데이터 패킷을 암호화하며, 스위칭 장치SW-E는 목표 노드로서 유니캐스트 세션 암호키 USK3 -E를 이용하여 데이터 패킷을 복호화한다. 타입 Type 4의 통신과 타입 Type 2의 통신은 단지 방향만 상이할 뿐 모두 송신 소스 노드와 목표 노드 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화하거나 복호화한다.
4.5) Type 5: 사용자 단말에서 그와 직접 연결되지 않은 스위칭 장치로의 통신
네트워크 내의 사용자 단말과 그와 직접 연결되는 스위칭 장치 사이에는 유니캐스트 세션 암호키, 스위칭 장치 사이에는 스위칭 암호키가 존재하며 타입 Type 5의 데이터 통신에 채용되는 보안 통신 정책은 다음과 같다.
4.5.1) 송신 소스 노드 NSource(이때 송신 소스 노드 NSource는 사용자 단말임)가 그와 제1 스위칭 장치 SW-first 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화한다.
4.5.2) 제1 스위칭 장치 SW-first가 그와 송신 소스 노드 NSource 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한 후 그와 목표 노드 NDestination(이때 목표 노드 NDestination는 스위칭 장치이면서 또한 마지막 스위칭 장치 SW-last이기도 함)사이의 스위칭 암호키를 이용하여 데이터 패킷을 암호화한 다음 전달한다.
4.5.3) 만약 중간 스위칭 장치가 존재하면 중간 스위칭 장치가 타입 Type 5의 데이터 패킷을 직접 전달한다.
4.5.4) 목표 노드 NDestination가 그와 제1 스위칭 장치 SW-first 사이의 스위칭 암호키를 이용하여 데이터 패킷을 복호화한다.
도10에 도시된 바와 같이, 사용자 단말 STA3에서 스위칭 장치 SW-A로의 통신은 Type 5에 속하며, SW-E는 제1 스위칭 장치이다. 사용자 단말 STA3은 송신 소스 노드로서 유니캐스트 세션 암호키 USK3 -E를 이용하여 데이터 패킷을 암호화하며, 스위칭 장치 SW-E는 제1 스위칭 장치로서 유니캐스트 세션 암호키 USK3 -E를 이용하여 데이터 패킷을 복호화한 후 그와 목표 노드 SW-A 사이의 스위칭 암호키 SWkeyA -E를 이용하여 데이터 패킷을 암호화한 다음 전달한다. 스위칭 장치 SW-A는 목표 노드로서 그와 SW-E 사이의 스위칭 암호키 SWkeyA -E를 이용하여 데이터 패킷을 복호화한다. 타입 Type 5의 통신과 타입 Type 3의 통신은 단지 방향이 상이하고 과정이 상반될 뿐 중간 사용되는 암호키는 모두 동일하다.
4.6) Type 6: 사용자 단말에서 그와 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말로의 통신
네트워크 내의 사용자 단말과 그와 직접 연결되는 스위칭 장치 사이에는 유니캐스트 세션 암호키가 존재하고, 동일한 스위칭 장치에 직접 연결되는 사용자 단말 사이에는 로컬 정책에 따라 선택적으로 국 간 암호키(국 간 암호키의 설립 과정에 대해 본 발명은 정의와 한정을 하지 않음)를 설립한다. 국 간 암호키의 설립 여부에 따라 타입 Type 6의 데이터 통신에 채용되는 보안 통신은 상이하다.
4.6.1) 국 간 암호키가 기 설립된, 타입 Type 6의 데이터 통신에 채용되는 보안 통신 정책은 다음과 같다.
4.6.1.1) 송신 소스 노드 NSource가 그와 목표 노드 NDestination(이때 목표 노드 NDestination는 사용자 단말임)사이의 국 간 암호키를 이용하여 데이터 패킷을 암호화하며,
4.6.1.2) 제1 스위칭 장치 SW-first(이때 제1 스위칭 장치 SW-first는 또한 마지막 스위칭 장치이기도 함)가 타입 Type 6의 데이터 패킷에 대해 직접 전달하며,
4.6.1.3) 목표 노드 NDestination가 그와 송신 소스 노드 NSource 사이의 국 간 암호키를 이용하여 데이터 패킷을 복호화한다.
4.6.2) 국 간 암호키가 설립되지 않은, 타입 Type 6에서 채용되는 보안 통신 정책은 다음과 같다.
4.6.2.1) 송신 소스 노드 NSource가 그와 직접 연결되는 스위칭 장치 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화하며,
4.6.2.2) 제1 스위칭 장치 SW-first(이때 제1 스위칭 장치 SW-first는 또한 마지막 스위칭 장치이기도 함)가 그와 송신 소스 노드 NSource 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한 후 그와 목표 노드 NDestination 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화한 다음 전달하며,
4.6.2.3) 목표 노드 NDestination가 그와 직접 연결되는 스위칭 장치 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한다.
도11a, 11b에 도시된 바와 같이, 사용자 단말 STA1에서 STA3으로의 데이터 통신은 타입 Type 6에 속한다.
도11a는 국 간 암호키가 기 설립된 통신의 예시도로서, 사용자 단말 STA1은 송신 소스 노드로서 그와 STA3 사이의 국 간 암호키 STAkey1 -3을 이용하여 데이터 패킷을 암호화하며, 스위칭 장치 SW-E는 데이터 패킷을 직접 전달하며, 사용자 단말 STA3은 목표 노드로서 그와 STA1 사이의 국 간 암호키 STAkey1 -3을 이용하여 데이터 패킷을 복호화한다.
도11b는 국 간 암호키가 설립되지 않은 통신의 예시도로서, 사용자 단말 STA1은 송신 소스 노드로서 그와 스위칭 장치 SW-E 사이의 유니캐스트 세션 암호키 USK1 -E를 이용하여 데이터 패킷을 암호화하며, 스위칭 장치 SW-E는 유니캐스트 세션 암호키 USK1 -E를 이용하여 데이터 패킷을 복호화한 후 유니캐스트 세션 암호키 USK3 -E를 이용하여 데이터 패킷을 암호화한 다음 전달하며, 사용자 단말 STA3은 목표 노드로서 유니캐스트 세션 암호키 USK3 -E를 이용하여 데이터 패킷을 복호화한다.
4.7) Type 7: 사용자 단말에서 상이한 스위칭 장치에 직접 연결되는 사용자 단말로의 통신
네트워크 내의 사용자 단말과 그와 직접 연결되는 스위칭 장치 사이에는 유니캐스트 세션 암호키가 존재하며, 스위칭 장치 사이에는 스위칭 암호키가 존재하며, 타입 Type 7의 데이터 통신에 채용되는 보안 통신 정책은 다음과 같다.
4.7.1) 송신 소스 노드 NSource(이때 송신 소스 노드 NSource는 사용자 단말임)가 그와 제1 스위칭 장치 SW-first 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화한다.
4.7.2) 제1 스위칭 장치 SW-first가 그와 송신 소스 노드 NSource 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한 후 그와 마지막 스위칭 장치 SW-last 사이의 스위칭 암호키를 이용하여 데이터 패킷을 암호화한 다음 전달한다.
4.7.3) 만약 중간 스위칭 장치가 존재하면 중간 스위칭 장치가 타입 Type 7의 데이터 패킷을 직접 전달한다.
4.7.4) 마지막 스위칭 장치 SW-last가 그와 제1 스위칭 장치 SW-first 사이의 스위칭 암호키를 이용하여 데이터 패킷을 복호화한 후 그와 목표 노드 NDestination(이때 목표 노드 NDestination는 사용자 단말임)사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화한 다음 전달한다.
4.7.5) 목표 노드 NDestination가 그와 마지막 스위칭 장치 SW-last 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한다.
도12에 도시된 바와 같이, 사용자 단말 STA3에서 STA9로의 통신은 타입 Type 7에 속하며, 타입 Type 7의 데이터 통신은, 송신 소스 노드로부터 제1 스위칭 장치까지, 제1 스위칭 장치로부터 마지막 스위칭 장치까지, 마지막 스위칭 장치로부터 목표 노드까지인 세 개의 구간으로 나눌 수 있다. 도12에서, 사용자 단말 STA3은 송신 소스 노드로서 그와 스위칭 장치 SW-E 사이의 유니캐스트 세션 암호키 USK3 -E를 이용하여 데이터 패킷을 암호화하며, 스위칭 장치 SW-E는 제1 스위칭 장치로서 그와 송신 소스 노드 사이의 유니캐스트 세션 암호키 USK3 -E를 이용하여 데이터 패킷을 복호화한 후 다시 그와 마지막 스위칭 장치 SW-G 사이의 스위칭 암호키 SWkeyE -G를 이용하여 데이터 패킷을 암호화한 다음 전달하며, 스위칭 장치 SW-B, SW-A, SW-D는 중간 스위칭 장치로서 데이터 패킷을 직접 전달하며, 스위칭 장치 SW-G는 마지막 스위칭 장치로서 그와 제1 스위칭 장치 SW-E 사이의 스위칭 암호키 SWkeyE -G를 이용하여 데이터 패킷을 복호화한 후 다시 그와 목표 노드 사이의 유니캐스트 세션 암호키 USK9 -G를 이용하여 데이터 패킷을 암호화한 다음 전달하며, 사용자 단말 STA9는 목표 노드로서 그와 마지막 스위칭 장치 SW-G 사이의 유니캐스트 세션 암호키 USK9 -G를 이용하여 데이터 패킷을 복호화한다.
본 발명의 노드 간 보안 통신 시스템에는, 송신 소스 노드 NSource, 제1 스위칭 장치 SW-first, 제2 스위칭 장치 SW-last(즉 마지막 스위칭 장치 SW-last) 및 목표 노드 NDestination가 포함되며,
송신 소스 노드 NSource는 목표 노드 NDestination에 스위칭 경로 탐색 패킷 및 암호화된 데이터 패킷을 송신하며, 목표 노드 NDestination에 의해 송신되는 스위칭 경로 응답 패킷을 수신하여 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보 [IDSource, IDSW - first, IDSW - last, IDDestination]를 기록하고, 제1 스위칭 장치 SW-first는 송신 소스 노드 NSource로부터 목표 노드 NDestination로의 데이터 패킷을 전달하며 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보 [IDSource, IDSW - first, IDSW - last, IDDestination]를 기록하고, 제2 스위칭 장치 SW-last는 송신 소스 노드 NSource로부터 목표 노드 NDestination로의 데이터 패킷을 전달하며 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보 [IDSource, IDSW -first, IDSW - last, IDDestination]를 기록하고, 목표 노드 NDestination는 송신 소스 노드 NSource에 의해 송신되는 스위칭 경로 탐색 패킷 및 암호화된 데이터 패킷을 수신하며 송신 소스 노드 NSource에 스위칭 경로 응답 패킷을 송신하며 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보 [IDSource, IDSW - first, IDSW - last, IDDestination]를 기록하며, 여기서, 상기 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보에는 IDSource, IDSW - first, IDSW - last 및 IDDestination이 포함된다.
바람직하게, 상기 시스템에는, 송신 소스 노드 NSource로부터 목표 노드 NDestination로의 모든 데이터 패킷을 직접 투명하게 전송하기 위한 중간 스위칭 장치가 더 포함된다.
본 발명에 의해 제공되는 노드 간 보안 통신 방법은 노드 사이의 상이한 통신 상황에 따라 분류를 진행하여 적합한 보안 통신 정책을 선택한다. 홉별 암호화에 비해, 스위칭 장치의 계산 부하를 줄여 데이터 패킷의 전송 시간 지연을 줄이며, 모든 노드의 매 두 개마다 국 간 암호키를 설립하여 통신의 기밀성을 보호하는 방법에 비해, 암호키의 수량을 줄여 암호키 관리를 단순화한다.
상기 내용은 단지 본 발명의 바람직한 실시 방식이며, 해당 기술 분야의 통상적인 기술자에게 있어서, 본 발명의 원리를 벗어나지 않는 전제하에서 여러가지 개진과 수식을 할 수 있으며 이러한 개진과 수식도 본 발명의 보호범위로 간주해야 한다는 점은 자명한 것이다.

Claims (15)

1) 노드 사이에 공유 암호키를 설립하는 단계;
2) 노드 사이에서 스위칭 경로 탐색을 통해 노드 사이의 스위칭 경로 정보를 획득하는 단계;
3) 노드 사이에서 상기 스위칭 경로 정보에 따라 노드 사이의 데이터 통신 타입을 판단하는 단계; 및
4) 노드 사이의 상이한 데이터 통신 타입에 따라 상이한 보안 통신 정책을 채용하여 노드 간 보안 통신을 진행하는 단계가 포함되며,
상기 노드 사이는 사용자 단말과 스위칭 장치 사이, 매 두 개의 스위칭 장치 사이 및 동일한 스위칭 장치에 직접 연결되는 두 개의 사용자 단말 사이를 포함하는 것을 특징으로 하는,
유선 로컬 영역 네트워크의 노드 간 보안 통신 방법.
제 1 항에 있어서,
상기 단계 1)의 구체적인 실현 방식은,
1.1) 인접 노드 사이에 유니캐스트 세션 암호키(USK, Unicast Session Key)로 불리는 공유 암호키를 설립하며,
1.2) 로컬 영역 네트워크에서 매 두 개의 스위칭 장치 사이에 스위칭 암호키(SWkey, SWitch key)로 불리는 공유 암호키를 설립하며,
1.3) 로컬 정책에 의한 선택에 따라 동일한 스위칭 장치에 직접 연결되는 두 개의 사용자 단말 사이에 국 간 암호키(STAkey, STAtion key)로 불리는 공유 암호키를 설립하는 것을 특징으로 하는,
유선 로컬 영역 네트워크의 노드 간 보안 통신 방법.
제 1 항에 있어서,
송신 소스 노드 NSource에서 목표 노드 NDestination까지의 노드 간 스위칭 경로 정보를 하나의 4-튜플(Tuple) 식별자로 정의하며, 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 패킷을 수신하지만 스위칭 경로 정보 4-튜플 식별자 중에 나타나지 않는 스위칭 장치를 중간 스위칭 장치라 하며, 상기 단계 2)에는,
2.1) 송신 소스 노드 NSource가 목표 노드 NDestination에 스위칭 경로 탐색 패킷을 송신하는 단계;
2.2) 목표 노드 NDestination가 송신 소스 노드 NSource에 스위칭 경로 응답 패킷을 송신하는 단계; 및
2.3) 각 노드가 스위칭 경로 응답 패킷을 수신하는 단계가 포함되며,
상기 패킷에는 주로 4-튜플 식별자가 포함되고 상기 4-튜플 식별자에는 IDSource, IDSW-first, IDSW - last 및 IDDestination이 포함되며,
여기서,
IDSource: 송신 소스 노드 NSource의 식별자를 표시하며,
IDSW - first: 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 패킷이 경과하는 제1 스위칭 장치 SW-first의 식별자를 표시하며, 송신 소스 노드 NSource가 스위칭 장치이면 IDSW - first는 곧 IDSource이며, 송신 소스 노드 NSource가 사용자 단말이면 IDSW - first는 송신 소스 노드 NSource에 직접 연결되는 스위칭 장치의 식별자이며,
IDSW - last: 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 패킷이 경과하는 마지막 스위칭 장치 SW-last의 식별자를 표시하며 스위칭 경로 탐색 패킷에서 해당 필드는 미지의 값이며,
IDDestination: 목표 노드 NDestination의 식별자를 표시하며 목표 노드 NDestination는 사용자 단말 또는 스위칭 장치인 것을 특징으로 하는,
유선 로컬 영역 네트워크의 노드 간 보안 통신 방법.
제 3 항에 있어서,
목표 노드 NDestination가 송신 소스 노드 NSource에 의해 송신된 스위칭 경로 탐색 패킷을 수신한 후, 상기 단계 2.2)에는,
2.2.1) 송신 소스 노드 NSource로부터 송신되어 온 데이터 패킷이 경과한 마지막 스위칭 장치 SW-last의 정보를 판단하는바, 목표 노드 NDestination가 스위칭 장치이면 IDSW - last는 곧 IDDestination이며, 목표 노드 NDestination가 사용자 단말이면 IDSW - last는 곧 사용자 단말에 직접 연결되는 스위칭 장치의 식별자라고 판단하는 단계;
2.2.2) IDSource, IDSW - first, IDSW - last 및 IDDestination을 포함하는 4-튜플 식별자를 기록하는바, IDSource, IDSW - first 및 IDDestination는 수신된 스위칭 경로 탐색 패킷 내의 각 필드의 값과 동일하며 이때 4-튜플의 모든 필드 값이 모두 확정되는 단계; 및
2.2.3) 스위칭 경로 응답 패킷을 구성하여 송신 소스 노드 NSource에 송신하는 단계가 포함되며,
상기 스위칭 경로 응답 패킷에는 모든 필드 값이 확정된 4-튜플 식별자가 포함되며, 상기 4-튜플 식별자에는 IDSource, IDSW - first, IDSW - last 및 IDDestination이 포함되는 것을 특징으로 하는,
유선 로컬 영역 네트워크의 노드 간 보안 통신 방법.
제 4 항에 있어서,
각 노드가 목표 노드 NDestination으로부터 송신된 스위칭 경로 응답 패킷을 수신한 후 상기 단계 2.3)에는,
2.3.1) 스위칭 장치가 스위칭 경로 응답 패킷을 수신한 후, 만약 자신의 식별자가 상기 스위칭 경로 응답 패킷 내의 4-튜플 식별자 중에 존재하면 4-튜플 식별자를 기록한 다음 다시 전달하며, 만약 자신의 식별자가 상기 스위칭 경로 응답 패킷 내의 4-튜플 식별자 중에 존재하지 않으면 직접 상기 스위칭 경로 응답 패킷을 전달하는 단계; 및
2.3.2) 송신 소스 노드 NSource가 스위칭 경로 응답 패킷을 수신한 후 4-튜플 식별자를 기록하고 이번 스위칭 경로 탐색 과정을 완성하는 단계가 포함되며,
상기 4-튜플 식별자에는 IDSource, IDSW - first, IDSW - last 및 IDDestination이 포함되는 것을 특징으로 하는,
유선 로컬 영역 네트워크의 노드 간 보안 통신 방법.
제 5 항에 있어서,
상기 단계 3)에서 구체적으로,
송신 소스 노드 NSource에서 목표 노드 NDestination으로의 데이터 통신 타입은 획득되는 스위칭 경로 4-튜플 정보에 따라 판단되는바 상기 4-튜플 정보에는 IDSource, IDSW-first, IDSW-last 및 IDDestination이 포함되며 그 구체적인 판단 방식에는,
3.1) IDSW-first = IDSource의 성립 여부를 판단하여, 만약 성립되면 송신 소스 노드 NSource는 스위칭 장치이며 단계 3.2)를 실행하며, 만약 성립되지 않으면 송신 소스 노드 NSource는 사용자 단말이며 단계 3.4)를 실행하는 단계;
3.2) IDSW - last = IDDestination의 성립 여부를 판단하여, 만약 성립되면 목표 노드 NDestination는 스위칭 장치이며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 스위칭 장치에서 스위칭 장치로의 통신이며 스위칭 장치에서 스위칭 장치로의 통신 타입에 속하는 것으로 판단하고, 만약 성립되지 않으면 목표 노드 NDestination는 사용자 단말이며 단계 3.3)을 실행하는 단계;
3.3) IDSW - last = IDSW - first의 성립 여부를 판단하여, 만약 성립되면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 하나의 스위칭 장치만 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 스위칭 장치에서 그와 직접 연결되는 사용자 단말로의 통신이며 스위칭 장치에서 그와 직접 연결되는 사용자 단말로의 통신 타입에 속하는 것으로 판단하며, 만약 성립되지 않으면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 두 개 이상의 스위칭 장치를 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 스위칭 장치로부터 그와 직접 연결되지 않은 사용자 단말로의 통신이며 스위칭 장치에서 그와 직접 연결되지 않은 사용자 단말로의 통신 타입에 속하는 것으로 판단하는 단계;
3.4) IDSW - last = IDDestination의 성립 여부를 판단하여, 만약 성립되면 목표 노드 NDestination는 스위칭 장치이며 단계 3.5)를 실행하고, 만약 성립되지 않으면 목표 노드 NDestination는 사용자 단말이며 단계 3.6)을 실행하는 단계;
3.5) IDSW - last = IDSW - first의 성립 여부를 판단하여, 만약 성립되면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 하나의 스위칭 장치만 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 사용자 단말에서 그와 직접 연결되는 스위칭 장치로의 통신이며 사용자 단말에서 그와 직접 연결되는 스위칭 장치로의 통신 타입에 속하는 것으로 판단하고, 만약 성립되지 않으면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 두 개 이상의 스위칭 장치를 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 사용자 단말로부터 그와 직접 연결되지 않은 스위칭 장치로의 통신이며 사용자 단말에서 그와 직접 연결되지 않은 스위칭 장치로의 통신 타입에 속하는 것으로 판단하는 단계; 및
3.6) IDSW - last = IDSW - first의 성립 여부를 판단하여, 만약 성립되면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 하나의 스위칭 장치만 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 사용자 단말에서 그와 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말로의 통신이며 사용자 단말에서 그와 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말로의 통신 타입에 속하는 것으로 판단하고, 만약 성립되지 않으면 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터는 두 개 이상의 스위칭 장치를 경과하며 송신 소스 노드 NSource로부터 목표 노드 NDestination으로의 데이터 통신은 사용자 단말로부터 상이한 스위칭 장치에 직접 연결되는 사용자 단말로의 통신이며 사용자 단말에서 상이한 스위칭 장치에 직접 연결되는 사용자 단말로의 통신 타입에 속하는 것으로 판단하는 단계가 포함되는 것을 특징으로 하는,
유선 로컬 영역 네트워크의 노드 간 보안 통신 방법.
제 6 항에 있어서,
데이터 통신 타입이 스위칭 장치에서 스위칭 장치로의 데이터 통신 타입일 경우 노드 간 보안 통신 정책에는,
4.1.1) 송신 소스 노드 NSource가 그와 목표 노드 NDestination사이의 스위칭 암호키를 이용하여 데이터 패킷을 암호화하는 단계;
4.1.2) 만약 중간 스위칭 장치가 존재하면 중간 스위칭 장치가 스위칭 장치에서 스위칭 장치로의 타입인 통신 데이터 패킷을 수신하고 직접 전달하는 단계; 및
4.1.3) 목표 노드 NDestination가 그와 송신 소스 노드 NSource 사이의 스위칭 암호키를 이용하여 데이터 패킷을 복호화하는 단계가 포함되며,
상기 송신 소스 노드 NSource는 스위칭 장치 또는 제1 스위칭 장치 SW-first이며, 상기 목표 노드 NDestination는 스위칭 장치 또는 마지막 스위칭 장치 SW-last인 것을 특징으로 하는,
유선 로컬 영역 네트워크의 노드 간 보안 통신 방법.
제 6 항에 있어서,
데이터 통신 타입이 스위칭 장치에서 그와 직접 연결되는 사용자 단말로의 데이터 통신 타입일 경우, 노드 간 보안 통신 정책에는,
4.2.1) 송신 소스 노드 NSource가 그와 목표 노드 NDestination 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화하는 단계; 및
4.2.2) 목표 노드 NDestination가 그와 송신 소스 노드 NSource 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화하는 단계가 포함되며,
상기 송신 소스 노드 NSource는 스위칭 장치 또는 제1 스위칭 장치 SW-first 또는 마지막 스위칭 장치 SW-last이며, 상기 목표 노드 NDestination는 사용자 단말인 것을 특징으로 하는,
유선 로컬 영역 네트워크의 노드 간 보안 통신 방법.
제 6 항에 있어서,
데이터 통신 타입이 스위칭 장치에서 그와 직접 연결되지 않은 사용자 단말로의 데이터 통신 타입일 경우, 노드 간 보안 통신 정책에는,
4.3.1) 송신 소스 노드 NSource가 그와 마지막 스위칭 장치 SW-last 사이의 스위칭 암호키를 이용하여 데이터 패킷을 암호화하는 단계;
4.3.2) 만약 중간 스위칭 장치가 존재하면 중간 스위칭 장치가 스위칭 장치로부터 그와 직접 연결되지 않은 사용자 단말로의 통신 타입인 데이터 패킷을 직접 전달하는 단계;
4.3.3) 마지막 스위칭 장치 SW-last가 그와 송신 소스 노드 NSource 사이의 스위칭 암호키를 이용하여 데이터 패킷을 복호화한 다음 그와 목표 노드 NDestination 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화한 후 전달하는 단계; 및
4.3.4) 목표 노드 NDestination가 그와 마지막 스위칭 장치 SW-last 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화하는 단계가 포함되며,
상기 송신 소스 노드 NSource는 스위칭 장치 또는 제1 스위칭 장치 SW-first이며 상기 목표 노드 NDestination는 사용자 단말인 것을 특징으로 하는,
유선 로컬 영역 네트워크의 노드 간 보안 통신 방법.
제 6 항에 있어서,
데이터 통신 타입이 스위칭 장치에서 그와 직접 연결되지 않은 사용자 단말로의 데이터 통신 타입일 경우, 노드 간 보안 통신 정책에는,
4.3.1) 송신 소스 노드 NSource가 그와 마지막 스위칭 장치 SW-last 사이의 스위칭 암호키를 이용하여 데이터 패킷을 암호화하는 단계;
4.3.2) 만약 중간 스위칭 장치가 존재하면 중간 스위칭 장치가 스위칭 장치로부터 그와 직접 연결되지 않은 사용자 단말로의 통신 타입인 데이터 패킷을 직접 전달하는 단계;
4.3.3) 마지막 스위칭 장치 SW-last가 그와 송신 소스 노드 NSource 사이의 스위칭 암호키를 이용하여 데이터 패킷을 복호화한 다음 그와 목표 노드 NDestination 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화한 후 전달하는 단계; 및
4.3.4) 목표 노드 NDestination가 그와 마지막 스위칭 장치 SW-last 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화하는 단계가 포함되며,
상기 송신 소스 노드 NSource는 스위칭 장치 또는 제1 스위칭 장치 SW-first이며 상기 목표 노드 NDestination는 사용자 단말인 것을 특징으로 하는,
유선 로컬 영역 네트워크의 노드 간 보안 통신 방법.
제 6 항에 있어서,
데이터 통신 타입이 사용자 단말에서 그와 직접 연결되지 않은 스위칭 장치로의 데이터 통신 타입일 경우, 노드 간 보안 통신 정책에는,
4.5.1) 송신 소스 노드 NSource가 그와 제1 스위칭 장치 SW-first 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화하는 단계;
4.5.2) 제1 스위칭 장치 SW-first가 그와 송신 소스 노드 NSource 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한 후 그와 목표 노드 NDestination 사이의 스위칭 암호키를 이용하여 데이터 패킷을 암호화한 다음 전달하는 단계;
4.5.3) 만약 중간 스위칭 장치가 존재하면 중간 스위칭 장치가 사용자 단말로부터 그와 직접 연결되지 않은 스위칭 장치로의 통신 타입인 데이터 패킷을 직접 전달하는 단계; 및
4.5.4) 목표 노드 NDestination가 그와 제1 스위칭 장치 SW-first 사이의 스위칭 암호키를 이용하여 데이터 패킷을 복호화하는 단계가 포함되며,
상기 송신 소스 노드 NSource는 사용자 단말이고 상기 목표 노드 NDestination는 스위칭 장치 또는 마지막 스위칭 장치 SW-last인 것을 특징으로 하는,
유선 로컬 영역 네트워크의 노드 간 보안 통신 방법.
제 6 항에 있어서,
데이터 통신 타입이 사용자 단말에서 그와 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말로의 데이터 통신 타입일 경우, 노드 간 보안 통신 정책에는 구체적으로,
4.6.1) 국 간 암호키가 기 설립된, 사용자 단말에서 그와 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말로의 통신 타입에 채용되는 보안 통신 정책의 경우,
4.6.1.1) 송신 소스 노드 NSource가 그와 목표 노드 NDestination 사이의 국 간 암호키를 이용하여 데이터 패킷을 암호화하는 단계;
4.6.1.2) 제1 스위칭 장치 SW-first가, 사용자 단말로부터 그와 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말로의 통신 타입의 데이터 패킷에 대해 직접 전달하는 단계; 및
4.6.1.3) 목표 노드 NDestination가 그와 송신 소스 노드 NSource 사이의 국 간 암호키를 이용하여 데이터 패킷을 복호화하는 단계가 포함되는바,
상기 목표 노드 NDestination는 사용자 단말이며 상기 제1 스위칭 장치 SW-first는 또한 마지막 스위칭 장치 SW-last 이기도 하며,
4.6.2) 국 간 암호키가 설립되지 않은, 사용자 단말로부터 그와 동일한 스위칭 장치에 직접 연결되는 다른 사용자 단말로의 통신 타입에 채용되는 보안 통신 정책의 경우,
4.6.2.1) 송신 소스 노드 NSource가 그와 직접 연결되는 스위칭 장치 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화하는 단계;
4.6.2.2) 제1 스위칭 장치 SW-first가 그와 송신 소스 노드 NSource 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한 후 그와 목표 노드 NDestination 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화한 다음 전달하는 단계; 및
4.6.2.3) 목표 노드 NDestination가 그와 직접 연결되는 스위칭 장치 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화하는 단계가 포함되는바,
상기 제1 스위칭 장치 SW-first는 또한 마지막 스위칭 장치 SW-last이기도 한 것을 특징으로 하는,
유선 로컬 영역 네트워크의 노드 간 보안 통신 방법.
제 6 항에 있어서,
데이터 통신 타입이 사용자 단말로부터 상이한 스위칭 장치에 직접 연결되는 사용자 단말로의 데이터 통신 타입일 경우, 노드 간 보안 통신 정책에는,
4.7.1) 송신 소스 노드 NSource가 그와 제1 스위칭 장치 SW-first 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화하는 단계;
4.7.2) 제1 스위칭 장치 SW-first가 그와 송신 소스 노드 NSource 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화한 후 그와 마지막 스위칭 장치 SW-last 사이의 스위칭 암호키를 이용하여 데이터 패킷을 암호화한 다음 전달하는 단계;
4.7.3) 만약 중간 스위칭 장치가 존재하면 중간 스위칭 장치가 사용자 단말로부터 상이한 스위칭 장치에 직접 연결되는 사용자 단말로의 통신 타입인 데이터 패킷을 직접 전달하는 단계;
4.7.4) 마지막 스위칭 장치 SW-last가 그와 제1 스위칭 장치 SW-first 사이의 스위칭 암호키를 이용하여 데이터 패킷을 복호화한 후 그와 목표 노드 NDestination 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 암호화한 다음 전달하는 단계; 및
4.7.5) 목표 노드 NDestination가 그와 마지막 스위칭 장치 SW-last 사이의 유니캐스트 세션 암호키를 이용하여 데이터 패킷을 복호화하는 단계가 포함되며,
상기 송신 소스 노드 NSource는 사용자 단말이고 상기 목표 노드 NDestination는 사용자 단말인 것을 특징으로 하는,
유선 로컬 영역 네트워크의 노드 간 보안 통신 방법.
송신 소스 노드 NSource, 제1 스위칭 장치 SW-first, 제2 스위칭 장치 SW-last 및 목표 노드 NDestination이 포함되며,
송신 소스 노드 NSource는 목표 노드 NDestination에 스위칭 경로 탐색 패킷 및 암호화된 데이터 패킷을 송신하며 목표 노드 NDestination에 의해 송신되는 스위칭 경로 응답 패킷을 수신하여 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보를 기록하고,
제1 스위칭 장치 SW-first는 송신 소스 노드 NSource로부터 목표 노드 NDestination로의 데이터 패킷을 전달하며 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보를 기록하고,
제2 스위칭 장치 SW-last는 송신 소스 노드 NSource로부터 목표 노드 NDestination로의 데이터 패킷을 전달하며 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보를 기록하고,
목표 노드 NDestination는 송신 소스 노드 NSource로부터 송신되는 스위칭 경로 탐색 패킷 및 암호화된 데이터 패킷을 수신하며 송신 소스 노드 NSource에 스위칭 경로 응답 패킷을 송신하며 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보를 기록하며,
상기 송신 소스 노드 NSource로부터 목표 노드 NDestination까지의 스위칭 경로 정보에는 IDSource, IDSW - first, IDSW - last 및 IDDestination이 포함되는 것을 특징으로 하는,
유선 로컬 영역 네트워크의 노드 간 보안 통신 시스템.
제 14 항에 있어서,
송신 소스 노드 NSource로부터 목표 노드 NDestination로의 모든 데이터 패킷을 직접 투명하게 전송하기 위한 중간 스위칭 장치가 더 포함되는 것을 특징으로 하는,
유선 로컬 영역 네트워크의 노드 간 보안 통신 시스템.
KR1020127018958A 2009-12-18 2010-06-02 노드 간 보안 통신 방법 및 시스템 KR101485231B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200910219572.8 2009-12-18
CN2009102195728A CN101741547B (zh) 2009-12-18 2009-12-18 节点间保密通信方法及系统
PCT/CN2010/073454 WO2011072514A1 (zh) 2009-12-18 2010-06-02 节点间保密通信方法及系统

Publications (2)

Publication Number Publication Date
KR20120106830A true KR20120106830A (ko) 2012-09-26
KR101485231B1 KR101485231B1 (ko) 2015-01-28

Family

ID=42464488

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127018958A KR101485231B1 (ko) 2009-12-18 2010-06-02 노드 간 보안 통신 방법 및 시스템

Country Status (6)

Country Link
US (1) US8966257B2 (ko)
EP (1) EP2515469B1 (ko)
JP (1) JP5507705B2 (ko)
KR (1) KR101485231B1 (ko)
CN (1) CN101741547B (ko)
WO (1) WO2011072514A1 (ko)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101854244B (zh) * 2010-06-07 2012-03-07 西安西电捷通无线网络通信股份有限公司 一种三段式安全网络架构建立和保密通信方法及其系统
CN101917272B (zh) * 2010-08-12 2012-07-18 西安西电捷通无线网络通信股份有限公司 一种邻居用户终端间保密通信方法及系统
AU2013230989B2 (en) * 2012-03-07 2015-12-03 Google Technology Holdings LLC Policy for secure packet transmission using required node paths and cryptographic signatures
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US9590959B2 (en) 2013-02-12 2017-03-07 Amazon Technologies, Inc. Data security service
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US9286491B2 (en) 2012-06-07 2016-03-15 Amazon Technologies, Inc. Virtual service provider zones
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US9300464B1 (en) 2013-02-12 2016-03-29 Amazon Technologies, Inc. Probabilistic key rotation
US9367697B1 (en) 2013-02-12 2016-06-14 Amazon Technologies, Inc. Data security with a security module
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
US10210341B2 (en) * 2013-02-12 2019-02-19 Amazon Technologies, Inc. Delayed data access
US9832171B1 (en) 2013-06-13 2017-11-28 Amazon Technologies, Inc. Negotiating a session with a cryptographic domain
US9397835B1 (en) 2014-05-21 2016-07-19 Amazon Technologies, Inc. Web of trust management in a distributed system
US9438421B1 (en) 2014-06-27 2016-09-06 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US9866392B1 (en) 2014-09-15 2018-01-09 Amazon Technologies, Inc. Distributed system web of trust provisioning
CN105553951B (zh) * 2015-12-08 2019-11-08 腾讯科技(深圳)有限公司 数据传输方法和装置
CN105979570B (zh) * 2016-06-30 2019-02-15 中国传媒大学 一种基于wlan的多跳桥接自动建链的方法
CN107231211A (zh) * 2017-05-22 2017-10-03 四川长虹电器股份有限公司 应用于wdm业务疏导网络中的加密动态恢复方法
CN113542197A (zh) 2020-04-17 2021-10-22 西安西电捷通无线网络通信股份有限公司 一种节点间保密通信方法及网络节点
KR102202902B1 (ko) * 2020-09-02 2021-01-15 (주)티에이치엔 차량용 통신 제어 장치의 보안 방법 및 그 장치

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11239176A (ja) 1998-02-20 1999-08-31 Nippon Telegr & Teleph Corp <Ntt> アドホックネットワークのパケットルーティング方法
JP3597511B2 (ja) * 2002-02-22 2004-12-08 エヌ・ティ・ティ・コムウェア株式会社 無線装置およびその通信経路制御方法、コンピュータプログラム
GB0220660D0 (en) * 2002-09-05 2002-10-16 Nokia Corp Signal propogation delay routing
EP1475926B1 (en) * 2003-05-05 2009-04-22 Samsung Electronics Co., Ltd. Routing system for establishing optimal route in wireless personal area network (WPAN) and method thereof
JP2005236674A (ja) * 2004-02-19 2005-09-02 Matsushita Electric Ind Co Ltd 無線端末装置、無線通信システム、及び、パケットルーティング方法
CN1599357A (zh) * 2004-07-26 2005-03-23 南京邮电学院 自组网环境下协同能量保护和服务质量保证的模糊选路方法
JP4735157B2 (ja) * 2005-09-22 2011-07-27 ソニー株式会社 無線通信システム、無線通信装置及び無線通信方法、並びにコンピュータ・プログラム
CN101438256B (zh) * 2006-03-07 2011-12-21 索尼株式会社 信息处理设备、信息通信系统、信息处理方法
EP1843542A1 (en) * 2006-04-04 2007-10-10 Alcatel Lucent Method for transferring messages comprising extensible markup language information
US7948977B2 (en) * 2006-05-05 2011-05-24 Broadcom Corporation Packet routing with payload analysis, encapsulation and service module vectoring
JP4948054B2 (ja) * 2006-06-16 2012-06-06 三菱電機株式会社 管理装置及び通信端末装置及び通信システム及び通信管理方法
CN101141241B (zh) * 2006-09-06 2010-08-18 华为技术有限公司 实现mac安全的方法以及网络设备
CN101155024A (zh) 2006-09-29 2008-04-02 湖南大学 分簇结构传感器网络的有效密钥管理方法及其运行方法
JP2008104040A (ja) * 2006-10-20 2008-05-01 Fujitsu Ltd 共通鍵生成装置および共通鍵生成方法
JP2008154103A (ja) * 2006-12-19 2008-07-03 Ricoh Co Ltd 通信中継装置
JP4081724B1 (ja) * 2006-12-27 2008-04-30 日本電気株式会社 クライアント端末、中継サーバ、通信システム、及び通信方法
JP2008259148A (ja) * 2007-03-30 2008-10-23 Shimousa Systems:Kk 中継器の負荷を最小限に抑えた高強度暗号通信方式
CN100594691C (zh) * 2007-10-09 2010-03-17 华中科技大学 Manet网络的数据传递加密方法
CN101594271B (zh) * 2008-05-27 2011-08-10 华为技术有限公司 无线自组织网络组建和工作方法以及相关网络和设备
US10264029B2 (en) * 2009-10-30 2019-04-16 Time Warner Cable Enterprises Llc Methods and apparatus for packetized content delivery over a content delivery network

Also Published As

Publication number Publication date
EP2515469B1 (en) 2018-08-08
JP2013514682A (ja) 2013-04-25
WO2011072514A1 (zh) 2011-06-23
CN101741547B (zh) 2012-05-23
US20120278623A1 (en) 2012-11-01
CN101741547A (zh) 2010-06-16
EP2515469A4 (en) 2017-08-02
JP5507705B2 (ja) 2014-05-28
EP2515469A1 (en) 2012-10-24
KR101485231B1 (ko) 2015-01-28
US8966257B2 (en) 2015-02-24

Similar Documents

Publication Publication Date Title
KR101485231B1 (ko) 노드 간 보안 통신 방법 및 시스템
KR101421399B1 (ko) 링크 계층 암호화/복호화 능력을 구비하는 단말 장치 및 그의 데이터 처리 방법
US8386772B2 (en) Method for generating SAK, method for realizing MAC security, and network device
US7509491B1 (en) System and method for dynamic secured group communication
US8775790B2 (en) System and method for providing secure network communications
US20030145118A1 (en) Bridged cryptographic VLAN
KR101485279B1 (ko) 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법
KR20120105507A (ko) 사용자 단말기들 사이의 보안 연결을 확립하기 위한 방법 및 시스템
Aad et al. Packet coding for strong anonymity in ad hoc networks
WO2012019466A1 (zh) 邻居用户终端间保密通信方法、终端、交换设备及系统
KR101518438B1 (ko) 보안 네트워크 아키텍쳐를 확립하기 위한 방법, 보안 통신을 위한 방법 및 시스템
US8094634B2 (en) Sender and/or helper node modifications to enable security features in cooperative wireless communications
Liu et al. P4NIS: Improving network immunity against eavesdropping with programmable data planes
JPH06318939A (ja) 暗号通信システム
CN116015943B (zh) 一种基于多级隧道混淆的隐私保护方法
US20120216036A1 (en) Encryption methods and systems
US9137259B2 (en) Switch route exploring method, system and device
Yu et al. A secure communication protocol between sensor nodes and sink node in underwater acoustic sensor networks
Makda et al. Security implications of cooperative communications in wireless networks
KR20220148880A (ko) 노드간 프라이버시 통신 방법 및 네트워크 노드
Kao et al. Real-time anonymous routing for mobile ad hoc networks
CN207869118U (zh) 基于量子加密交换机装置的数据传输系统
EL YAZIDI et al. Black sdn for wsn
CN211860135U (zh) 一种基于标签交换的量子加密系统
Mehic et al. Quality of Service Requirements

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180105

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190107

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200103

Year of fee payment: 6