KR20130096320A - 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법 - Google Patents
링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법 Download PDFInfo
- Publication number
- KR20130096320A KR20130096320A KR1020137019230A KR20137019230A KR20130096320A KR 20130096320 A KR20130096320 A KR 20130096320A KR 1020137019230 A KR1020137019230 A KR 1020137019230A KR 20137019230 A KR20137019230 A KR 20137019230A KR 20130096320 A KR20130096320 A KR 20130096320A
- Authority
- KR
- South Korea
- Prior art keywords
- frame
- port
- field
- key
- data
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
본 발명은 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법을 제공한다. 상기 링크 계층 보안 전송을 지원하는 스위칭 장치는 스위칭 모듈 및 복수의 포트 모듈을 포함하며, 각 포트 모듈은 스위칭 모듈에 전기적으로 연결되며, 상기 포트 모듈은 링크 계층 키 관리 기능을 지원하며 상기 스위칭 장치와 다른 네트워크 노드 사이에 데이터 프레임의 암호화 및 암호 해독에 사용되는 공유 키를 확립한다.
Description
본 출원은 2010년 12월 20일에 중국 특허청에 출원된 출원 번호 제201010596665.5호, "링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법"을 발명 명칭으로 하는 중국 특허 출원을 토대로 하여 우선권을 주장하며, 상기 중국 특허 출원의 전체 내용은 인용으로 본 출원에 통합되어 본 출원의 일 부분으로 한다.
본 발명은 네트워크 보안 분야에 관한 것으로서 보다 상세하게는 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법에 관한 것이다.
유선 근거리 통신망은 통상적으로 브로드캐스트 타입의 네트워크이며, 하나의 노드로부터 발신된 데이터는 다른 노드에서 모두 수신 가능하다. 네트워크 상의 각 노드가 채널을 공유하므로 이는 네트워크 보안에 심각한 위협을 초래한다. 공격자가 네트워크에 액세스하여 감청하기만 하면 네트워크 상의 모든 데이터 패킷을 포착할 수 있다.
현유 국가 표준 GB/T 15629.3(IEEE 802.3 또는 ISO/IEC 8802-3에 대응됨)에서 정의된 근거리 통신망(LAN)은 데이터 보안 방법을 제공하지 않으므로 공격자가 용이하게 중요 정보를 절취할 수 있다. 국제 연구 분야에서 IEEE에서 제정된 IEEE 802.1AE 표준에 의하면 이더넷 보호를 위해 데이터 암호화 프로토콜을 제공하며, 홉별(hop by hop)로 암호화하는 보안 조치를 취하여 네트워크 노드 사이의 데이터의 안전 전송을 실현한다.
GB/T 15629.3을 지원하는 스위칭 장치는 모든 데이터 패킷을 직접 전송(轉送)하고 링크 계층 보안 전송 능력을 구비하지 않아, 전송되는 데이터 패킷 정보가 용이하게 도청된다. IEEE 802.1 AE를 지원하는 스위칭 장치는 단지 홉별 암호화만 지원하며 전송(轉送)되는 모든 암호화 데이터 패킷을 암호 해독하고·재차 암호화해야 하므로 스위칭 장치의 연산 부담이 가중됨과 아울러 네트워크 데이터의 전송 지연도 길어진다.
배경 기술에 나타난 상술한 기술적 문제를 해결하기 위해 본 발명에 따른 실시예는 스위칭 장치의 연산 부담을 절감할 수 있으며 네트워크 업그레이드 대가가 작은 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법을 제공하고자 한다.
본 발명에 따른 실시예는 링크 계층 보안 전송을 지원하는 스위칭 장치를 제공하며, 상기 스위칭 장치는 스위칭 모듈 및 복수의 포트 모듈을 포함한다. 각 포트 모듈은 스위칭 모듈에 전기적으로 연결되어 있다. 상기 포트 모듈은 링크 계층의 키 관리 기능을 지원하며, 상기 스위칭 장치와 다른 네트워크 노드 사이에, 데이터 프레임에 대한 암호화/암호 해독을 위한 공유 키를 확립하는 데 사용된다.
또한, 본 발명에 따른 실시예는 링크 계층 보안 전송을 지원하는 스위칭 장치의 데이터 처리 방법을 제공하며, 상기 방법은, 단계 1), 단계 2), 단계 3) 및 단계 4)를 포함한다.
상기 단계 1)에서, 스위칭 장치 포트 Port X의 인터페이스 모듈은 데이터 프레임 Frame A1을 수신하여 포트 Port X의 보안 처리 모듈에 제출한다. 여기서, 상기 데이터 프레임 Frame A1은 제1 프레임 헤드 및 제1 페이로드를 포함한다.
상기 단계 2)에서, 스위칭 장치 포트 Port X의 보안 처리 모듈은 Frame A1의 제1 프레임 헤드의 정보에 따라 포트 Port X의 키 관리 모듈 및 알고리즘 모듈과 결부하여 Frame A1을 처리함으로써 Frame A2를 구성하여 스위칭 장치의 스위칭 모듈에 제출하며, 상기 데이터 프레임 Frame A2는 제2 프레임 헤드 및 제2 페이로드를 포함한다.
상기 단계 3)에서, 스위칭 장치의 스위칭 모듈은 Frame A2의 제2 프레임 헤드의 정보를 추출하며, 만약 제2 프레임 헤드 내의 DA 필드와 스위칭 장치의 MAC 어드레스가 일치하면 스위칭 장치는 Frame A2의 제2 페이로드를 링크 계층의 상위 계층(예를 들어, 네트워크 계층, 응용 계층 등)에 제출하여 처리하도록 하며; 만약 제2 프레임 헤드 내의 DA 필드와 스위칭 장치의 MAC 어드레스가 일치하지 않으면 스위칭 장치는 로컬 MAC 어드레스 학습 정보(MAC address learning information)에 따라 Frame A2를 포트 Port Y의 보안 처리 모듈에 스위칭한다.
상기 단계 4)에서, 스위칭 장치 포트 Port Y의 보안 처리 모듈은 제2 프레임 헤드의 정보에 따라 포트 Port Y의 키 관리 모듈 및 알고리즘 모듈과 결부하여 Frame A2를 처리함으로써 Frame A3을 구성하여 포트 Port Y의 인터페이스 모듈을 통해 Frame A3을 출력한다. 상기 데이터 프레임 Frame A3은 제3 프레임 헤드 및 제3 페이로드를 포함한다.
여기서, Port X는 데이터 프레임 Frame A의 입력 포트로써 스위칭 장치의 제1 포트 모듈이다.
Port Y는 데이터 프레임 Frame A의 출력 포트로써 스위칭 장치의 제2 포트 모듈이다.
Frame A1는 포트 Port X의 인터페이스 모듈이 수신한 데이터 프레임을 표시한다.
Frame A2는 포트 Port X의 보안 처리 모듈이 스위칭 모듈에 제출한 데이터 프레임을 표시한다.
Frame A3는 포트 Port Y의 인터페이스 모듈이 최후에 출력한 데이터 프레임을 표시한다.
만약 스위칭 장치가 수신한 Frame A1이 암호화 데이터 프레임이면 스위칭 장치가 이 데이터 프레임에 대해 암호 해독 처리를 하고·재차 암호화 처리를 한 후 전송(轉送)해야 하는바 데이터 프레임 Frame A1에 대해 암호 해독 처리를 하여 Frame A2를 구성하는 데 사용되는 키를 KEY1이라 하고, 데이터 프레임 Frame A2에 대해 암호화 처리를 하여 Frame A3을 구성하는 데 사용되는 키를 KEY2라 하면, 스위칭 장치의 Port X는 KEY1을 사용하여 Frame A1에 대해 암호 해독 처리를 하여 Frame A2를 구성하며, Port Y는 KEY2를 사용하여 Frame A2에 대해 암호화 처리를 하여 Frame A3을 구성한다.
본 발명에 따른 실시예가 제공하는 링크 계층 보안 전송을 지원하는 스위칭 장치는 표준 ISO/IEC8802-3 데이터 프레임을 지원하며 IEEE802.1AE 프로토콜 데이터 프레임을 포함하는 다양한 링크 계층 암호화 프로토콜 데이터 프레임을 지원할 수도 있다. 본 발명에 의하면 순방향 호환성을 실현하는 동시에 각종 링크 계층 암호화 프로토콜을 지원할 수 있어 데이터 프레임의 링크 계층에서의 보안 전송을 실현하며 네트워크의 보안성을 향상시킨다. 본 발명에 따른 실시예가 제공하는 링크 계층 보안 전송을 지원하는 스위칭 장치는 IEEE802.1AE스위칭 장치에 비해 링크 계층 보안 전송을 지원하는 외에 MAClist 필드가 포함된 링크 계층 암호화 프로토콜 데이터 프레임을 처리하는 능력을 구비하므로 모든 전송(轉送)할 데이터 프레임을 암호 해독하고·재차 암호화한 후 다시 전송(轉送)하는 작업을 수행할 필요가 없기 때문에 스위칭 장치의 연산 부담이 절감될 수 있다. 또한, 본 발명에 따른 실시예의 스위칭 장치가 다양한 데이터 프레임을 지원할 수 있으므로 다른 스위칭 장치와의 하이브리드 네트워킹 능력을 갖게 되어 네트워크의 업그레이드 대가가 더 작게 된다.
도 1은 본 발명에 따른 실시예가 제공하는 링크 계층 보안 전송을 지원하는 스위칭 장치를 나타내는 도면.
도 2는 본 발명에 따른 실시예가 제공하는 링크 계층 보안 전송을 지원하는 스위칭 장치의 데이터 처리 흐름을 나타내는 도면.
도 2는 본 발명에 따른 실시예가 제공하는 링크 계층 보안 전송을 지원하는 스위칭 장치의 데이터 처리 흐름을 나타내는 도면.
도 1을 참조하면 본 발명에 따른 실시예가 제공하는 링크 계층 보안 전송을 지원하는 스위칭 장치는, 스위칭 모듈 및 복수의 포트 모듈을 포함한다. 여기서, 모든 포트 모듈과 스위칭 모듈 사이는 전기적으로 연결되며, 각 포트 모듈은 알고리즘 모듈, 인터페이스 모듈, 보안 처리 모듈 및 키 관리 모듈을 포함한다. 여기서, 보안 처리 모듈은 인터페이스 모듈, 알고리즘 모듈 및 키 관리 모듈과 각각 전기적으로 연결된다.
각 포트 모듈은 링크 계층 키 관리 기능을 지원하며 이 스위칭 장치와 다른 네트워크 노드 사이에 공유 키를 확립하여 데이터 프레임에 대한 암호화 및 암호 해독에 사용된다. 확립된 공유 키는 미리 공유된 것일 수도 있고, 노드 신분 인증에 성공한 후에 협상하여 확립될 수도 있다. 모든 공유 키는 포트 모듈의 키 관리 모듈에 의해 저장·관리된다.
알고리즘 모듈은 암호화/암호 해독 알고리즘 및/또는 무결성 검사 알고리즘과 관련되며 하드웨어를 통해 구현될 수도 있고 소프트웨어를 통해 구현될 수도 있다.
본 발명에 따른 실시예가 제공하는 링크 계층 보안 전송을 지원하는 스위칭 장치는 표준 ISO/IEC 8802-3데이터 프레임을 지원하며 링크 계층 암호화 프로토콜 데이터 프레임도 지원한다. 지원하는 링크 계층 암호화 프로토콜 데이터 프레임에는 프레임 헤드와 페이로드가 포함되며 하기 표 1에 도시된 바와 같다.
[표 1]
여기서 프레임 헤드는 하기 표 2에 도시된 바와 같다.
[표 2]
여기서, DA 필드는 목적 노드의 식별자를 표시하며 목적 노드의 MAC 어드레스 값을 취한다.
SA 필드는 소스 노드의 식별자를 표시하며 소스 노드의 MAC 어드레스 값을 취한다.
Ethertype 필드는 이더넷 타입 필드를 표시하며 링크 계층 암호화 프로토콜의 이더넷 타입 필드 값을 취하며, 그에 대응되는 링크 계층 암호화 프로토콜 및 프레임 구성을 식별하는 데 사용된다.
isE 필드는 암호화 플래그 비트를 표시하며 데이터 프레임의 페이로드가 사용자 데이터의 평문 정보인지 암호문 정보인지를 식별하는 데 사용되며, 데이터 패킷의 수신측은 이 필드의 암호 해독 필요 여부에 대한 하나의 판단 요소로 간주한다.
Keyindex 필드는 페이로드를 보호하는 키의 식별자를 표시한다.
MAClist 필드는 특정 MAC 어드레스 리스트 정보를 표시하며 이 필드는 선택적인 필드이다.
페이로드 필드는 사용자 데이터 정보를 표시하며 사용자 데이터의 평문 정보일 수도 있고 사용자 데이터의 암호문 정보일 수도 있다.
상기 MAClist 필드가 존재할 경우 상기 MAClist 필드에 주어진 특정 MAC 어드레스 리스트에 포함된 스위칭 장치가 만약 목적 노드이면 수신된 데이터 프레임을 암호 해독하여 수신해야 하며; 만약 목적 노드가 아니면 수신된 데이터 프레임에 대해 암호 해독한 후·재차 암호화하여·다시 전송(轉送)해야 한다. 상기 MAClist 필드에 주어진 특정 MAC 어드레스 리스트 외의 스위칭 장치가 만약 목적 노드이면 수신한 데이터 프레임을 암호 해독하여 수신해야 하며, 만약 목적 노드가 아니면 수신한 암호문 데이터 패킷을 직접 전송(轉送)하면 된다.
상기 MAClist 필드가 존재하지 않을 경우, 이 데이터 프레임을 수신한 스위칭 장치가 목적 노드이면, 수신한 데이터 프레임을 암호 해독하여 수신해야 하며, 만약 목적 노드가 아니면 수신한 데이터 프레임에 대해 암호 해독한 후·재차 암호화하여·다시 전송(轉送)해야 한다.
상기 MAClist가 존재할 경우, 이 필드에 주어진 특정 MAC 어드레스 리스트에 포함된 스위칭 장치가 암호문 데이터 패킷을 암호 해독하는 데 사용되는 키의 검색 정보는 MAClist, SA 및 Keyindex를 포함하며, 암호화에 사용되는 키의 검색 정보는 MAClist, DA를 포함한다.
상기 MAClist가 존재하지 않을 경우, 스위칭 장치는 모든 전송(轉送)할 암호문 데이터 패킷에 대해 암호 해독한 후 재차 암호화하여 다시 전송(轉送)해야 하며, 암호문 데이터 패킷을 암호 해독하는 데 사용되는 키의 검색 정보는 SA 및 Keyindex를 포함하며, 암호화에 사용되는 키의 검색 정보는 DA를 포함한다.
키 검색 정보의 구체적인 판단 방법은 본 발명에 따른 실시예에 국한되지 않으며, 스위칭 장치가 지원하는, Ethertype에 의해 식별되는 링크 계층 암호화 프로토콜에 따라 한정된다. 암호 해독의 경우, 키 검색 정보에 따라 유일한 키만 검출되지만, 암호화의 경우에는 키 검색 정보에 따라 복수의 키가 검색될 수 있으며, 스위칭 장치는 로컬 폴리시(local policy)에 따라 상기 복수의 키 중에서 하나를 선출하여 선출된 키의 Keyindex를 데이터 프레임의 프레임 헤드에 기입한다.
도 2를 참조하면, 링크 계층 보안 전송을 지원하는 스위칭 장치의 포트 모듈은 스위칭 장치의 입구일 수 있으며 스위칭 장치의 출구일 수도 있다.
데이터 프레임 Frame A의 예를 들어 설명하면, Frame A는 스위칭 장치의 포트 Port X로부터 입력되어 포트 Port Y를 통해 출력된다. 상이한 모듈 사이에서 전송되는 Frame A의 상이함을 구별하기 위해 각각 Frame A1 내지 Frame A3을 사용하여 표시한다.
여기서, Frame A1는 포트 Port X의 인터페이스 모듈이 수신한 데이터 프레임을 표시하며;
Frame A2은 포트 Port X의 보안 처리 모듈이 스위칭 모듈에 제출한 데이터 프레임을 표시하며;
Frame A3은 포트 Port Y의 인터페이스 모듈이 최후에 출력한 데이터 프레임을 표시한다.
만약 스위칭 장치가 수신한 Frame A1이 암호화 데이터 프레임이면 스위칭 장치는 이 데이터 프레임에 대해 암호 해독 처리를 하고·재차 암호화 처리를 한 후에 전송(轉送)해야 하는바 데이터 프레임 Frame A1에 대해 암호 해독 처리를 하여 Frame A2를 구성하는 데 사용되는 키를 KEY1라 하고, 데이터 프레임 Frame A2에 대해 암호화 처리를 하여 Frame A3을 구성하는 데 사용되는 키를 KEY2라 하면 스위칭 장치 Port X는 KEY1을 사용하여 Frame A1에 대해 암호 해독 처리를 하여 Frame A2를 구성하며, Port Y는 KEY2를 사용하여 Frame A2에 대해 암호화 처리를 하여 Frame A3을 구성한다.
본 발명에 따른 실시예의 링크 계층 보안 전송을 지원하는 스위칭 장치의 데이터 처리 흐름의 실시 방식은 이하와 같다.
단계 1): 스위칭 장치 포트 Port X의 인터페이스 모듈은 데이터 프레임 Frame A1을 수신하여 포트 Port X의 보안 처리 모듈에 제출한다.
단계 2): 스위칭 장치 포트 Port X의 보안 처리 모듈은 Frame A1의 프레임 헤드 1의 정보에 따라 포트 Port X의 키 관리 모듈 및 알고리즘 모듈과 결부하여 Frame A1을 처리하여 Frame A2를 구성하고 Frame A2를 스위칭 장치의 스위칭 모듈에 제출한다.
단계 3): 스위칭 장치의 스위칭 모듈은 Frame A2의 프레임 헤드 2 정보를 추출하여 만약 프레임 헤드 2 내의 DA 필드와 스위칭 장치의 MAC 어드레스가 일치하면 스위칭 장치는 Frame A2페이로드 2를 링크 계층의 상위 계층(예를 들어 네트워크 계층, 응용 계층 등)에 제출하여 처리하도록 하며, 그렇지 않으면 스위칭 장치는 로컬 MAC 어드레스 학습 정보에 따라 Frame A2를 포트 Port Y의 보안 처리 모듈에 정확히 스위칭한다.
단계 4): 스위칭 장치 포트 Port Y의 보안 처리 모듈은 프레임 헤드 2의 정보에 따라 포트 Port Y의 키 관리 모듈 및 알고리즘 모듈과 결부하여 Frame A2를 처리하며 Frame A3을 구조하고 포트 Port Y의 인터페이스 모듈을 통해 Frame A3을 출력한다.
여기서 상기 단계 2)의 구체적인 프로세스는 다음과 같이 설명한다.
단계 2.1): 포트 Port X 보안 처리 모듈은 데이터 프레임 Frame A1 내의 Ethertype 필드에 따라 데이터 캡슐화에 사용된 링크 계층 암호화 프로토콜을 확정하며, isE 필드에 따라 페이로드 1의 암호화 여부를 판단하여, 만약 암호화되어 있으면 단계 2.2)를 수행하며, 만약 암호화되어 있지 않으면 Frame A1을 직접 Frame A2로 간주하는바 즉, 프레임 헤드 2는 프레임 헤드 1과 동일하며, 페이로드 2는 페이로드 1과 동일하며 단계 2.6)을 수행한다.
단계 2.2): 만약 데이터 프레임 Frame A1에 MAClist 필드가 존재하면, MAClist필드에 주어진 특정 MAC 어드레스 리스트에 스위칭 장치의 MAC 어드레스가 존재하는지 여부를 판단하여 만약 이 리스트에 포함되어 있지 않으면 Frame A1을 직접 Frame A2로 간주하는바 즉, 프레임 헤드 2은 프레임 헤드 1과 동일하며 페이로드 2는 페이로드 1과 동일하며 단계 2.6)을 수행하며 만약 스위칭 장치의 MAC 어드레스가 이 리스트에 포함되어 있으면 단계 2.3)을 수행한다. 만약 데이터 프레임 Frame A1에 MAClist 필드가 포함되어 있지 않으면 직접 단계 2.3)을 수행한다.
단계 2.3): 포트 Port X 보안 처리 모듈은 데이터 프레임 Frame A1의 Keyindex 필드 및 SA 필드에 따라 또는 데이터 프레임 Frame A1의 Keyindex 필드, SA 필드 및 MAClist 필드에 따라 Frame A1을 보안 처리하는 키 KEY1의 검색 정보를 판단하여 키 KEY1의 검색 정보를 포트 Port X의 키 관리 모듈에 송신한다.
단계 2.4): 포트 Port X의 키 관리 모듈은 키 KEY1의 검색 정보에 따라 그에 대응되는 키 KEY1을 검출하여 키 KEY1을 포트 Port X의 보안 처리 모듈에 피드백한다.
단계 2.5): 포트 Port X의 보안 처리 모듈은 알고리즘 모듈을 인보크(invoke)하여 키 KEY1 및 Frame A1의 페이로드 1을 입력하며 암호 해독하여 Frame A1 페이로드 1의 평문 정보를 획득하며 Frame A2를 구성한다. Frame A1 페이로드 1의 평문 정보를 Frame A2의 페이로드 2로 하며, Frame A1의 프레임 헤드 1정보를 직접 Frame A2의 프레임 헤드 2정보로 간주하는바 즉, 프레임 헤드 2는 프레임 헤드 1과 동일하며, 페이로드 2는 페이로드 1의 평문 정보이다.
단계 2.6): 포트 Port X의 보안 처리 모듈은 Frame A2를 스위칭 모듈에 제출한다.
여기서 상기 단계 4)의 구체적인 프로세스는 이하와 같다.
단계 4.1): 포트 Port Y의 보안 처리 모듈은 Frame A2 내의 Ethertype 필드에 따라 데이터 캡슐화에 사용된 링크 계층 암호화 프로토콜을 확정하고, isE 필드에 따라 페이로드 2를 암호화하여 암호문 형식으로 네트워크에서 전송해야 하는지 여부를 판단하여, 암호화가 필요하면 단계 4.2)를 수행하며, 암호화할 필요가 없으면 Frame A2를 직접 Frame A3으로 간주하는바 즉, 프레임 헤드 3은 프레임 헤드 2와 동일하고 페이로드 3은 페이로드 2와 동일하며 단계 4.6)을 수행한다.
단계 4.2): 만약 데이터 프레임 Frame A2에 MAClist 필드가 존재하면 MAClist필드에 주어진 특정 MAC 어드레스 리스트에 스위칭 장치의 MAC 어드레스가 존재하는지 여부를 판단하여 만약 이 리스트에 존재하지 않으면 Frame A2를 직접 Frame A3으로 간주하는바 즉, 프레임 헤드 3은 프레임 헤드 2와 동일하고 페이로드 3은 페이로드 2와 동일하며 단계 4.6)을 직접 수행하며, 만약 스위칭 장치의 MAC 어드레스가 이 리스트에 존재하면 단계 4.3)을 수행한다. 만약 데이터 프레임 Frame A2에 MAClist 필드가 없으면 단계 4.3)을 수행한다.
단계 4.3): 포트 Port Y의 보안 처리 모듈은 데이터 프레임 Frame A2의 DA 필드 또는 데이터 프레임 Frame A2의 DA 필드 및 MAClist 필드에 따라 Frame A2를 보안 처리하는 키 KEY2의 검색 정보를 판단하며 키 KEY2의 검색 정보를 포트 Port Y의 키 관리 모듈에 송신하며 단계 4.4)를 수행한다.
단계 4.4): 포트 Port Y의 키 관리 모듈은, 키 KEY2의 검색 정보에 따라 사용 가능한 키를 검출하여 로컬 폴리시에 결부하여 하나의 키 KEY2를 선택하며 이 키 KEY2 및 키 KEY2의 식별자Keyindex를 포트 Port Y의 보안 처리 모듈에 피드백한다.
단계 4.5): 포트 Port Y의 보안 처리 모듈은 알고리즘 모듈을 인보크하여 키 KEY2 및 Frame A2의 페이로드 2를 입력하며 암호화하여 Frame A2의 페이로드 2의 암호문 정보를 획득하며 Frame A3을 구성한다. Frame A2의 페이로드 2의 암호문 정보를 Frame A3의 페이로드 3으로 간주하며 사용한 키 KEY2에 따라 KEY2의 Keyindex를 사용하여 Frame A2의 프레임 헤드 2 내의 Keyindex 필드를 업데이트하여 Frame A3의 프레임 헤드 3정보로 간주한다. 즉, 프레임 헤드 3은, KEY2의 Keyindex로 Keyindex 필드를 업데이트한 프레임 헤드 2이며, 페이로드 3은 페이로드 2의 암호문 정보이다.
단계 4.6): 포트 Port Y의 보안 처리 모듈은 인터페이스 모듈을 통해 Frame A3을 출력한다.
다른 실시 방식에서, 본 발명에 따른 실시예의 링크 계층 보안 전송을 지원하는 스위칭 장치가 지원하는 링크 계층 암호화 프로토콜 데이터 프레임은 MIC 필드(예를 들면 도 2 중의 MIC1, MIC2, MIC3)를 더 포함한다. 상기 MIC 필드는 무결성 검사 코드를 표시하며 데이터 프레임 Frame(예를 들면 도 2의 Frame A1, Frame A2, Frame A3)에 대한 계산을 통해 얻은 무결성 검사 값이다. 상기 무결성 검사 MIC 계산에 관련된 필드 범위는 스위칭 장치가 지원하는 Ethertype에 대응되는 링크 계층 암호화 프로토콜에 따라 확정된다. MIC 필드를 지원하는 실시 방식에서, 데이터 프레임을 보안 처리하는 키는 무결성 검사 키 및 세션 키 등 두 부분을 포함한다. 무결성 검사 키는 데이터 프레임에 대해 무결성 검사 코드 MIC를 계산하기 위한 것이고 세션 키는 데이터 프레임 페이로드를 암호화하기 위한 것이다.
링크 계층 보안 전송을 지원하는 스위칭 장치의 데이터 프레임에 대한 보안 처리는 우선 데이터 프레임에 대해 무결성 검사 코드를 계산하여 MIC 필드를 구성한 다음 데이터 프레임의 사용자 데이터에 대해 암호화 처리를 하여 페이로드 필드를 구성할 수 있다. 또한, 우선 데이터 프레임 사용자 데이터에 대해 암호화 처리를 하여 페이로드 필드를 구성한 다음 무결성 검사 코드를 계산하여 MIC 필드를 구성할 수도 있다.
수행하는 암호화 처리에 암호화 및 암호화하지 않음 등 두 가지 폴리시가 있으므로 우선 무결성 검사 코드를 계산하여 MIC 필드를 구성하는 방식에서는, 수신 시에 암호 해독의 필요 여부를 우선 고려하고 다음에 MIC 필드의 정확성을 확인하며;
나중에 무결성 검사 코드를 계산하여 MIC 필드를 구성하는 방식에서는, 수신 시에 우선 MIC 필드의 정확성을 확인한 다음 암호 해독 필요 여부를 고려한다.
(가) 데이터 프레임에 대해 우선 무결성 검사 코드를 계산하여 MIC 필드를 구성한 다음 데이터 프레임 사용자 데이터를 암호화하여 페이로드 필드를 구성하는 처리를 고려할 경우, 상기 단계 2)의 구체적인 프로세스는 이하와 같다.
단계 2.1): 포트 Port X의 보안 처리 모듈은 데이터 프레임 Frame A1 내의 Ethertype 필드에 따라 데이터 캡슐화에 사용된 링크 계층 암호화 프로토콜을 확정한다.
단계 2.2): 만약 데이터 프레임 Frame A1에 MAClist 필드가 존재하면 MAClist 필드에 주어진 특정 MAC 어드레스 리스트에 스위칭 장치의 MAC 어드레스가 있는지 여부를 판단하여 만약 이 리스트에 있지 않으면 Frame A1을 직접 Frame A2로 간주하는바 즉, 프레임 헤드 2는 프레임 헤드 1과 동일하고 페이로드 2는 페이로드 1과 동일하며 MIC2는 MIC1과 동일하며, 단계 2.9)를 수행한다. 만약 스위칭 장치의 MAC 어드레스가 이 리스트에 있으면 단계 2.3)을 수행한다. 만약 데이터 프레임 Frame A1에 MAClist 필드가 없으면 단계 2.3)을 직접 수행한다.
단계 2.3): 포트 Port X의 보안 처리 모듈은 데이터 프레임 Frame A1의 Keyindex 필드 및 SA 필드에 따라 또는 데이터 프레임 Frame A1의 Keyindex 필드, SA 필드 및 MAClist 필드에 따라 Frame A1에 대한 보안 처리에 필요한 키 KEY1의 검색 정보를 판단하며, 키 KEY1의 검색 정보를 포트 Port X의 키 관리 모듈에 송신한다.
단계 2.4): 포트 Port X의 키 관리 모듈은 키 KEY1의 검색 정보에 따라 그에 대응되는 키 KEY1을 검출하며 키 KEY1을 포트 Port X의 보안 처리 모듈에 피드백한다.
단계 2.5): 포트 Port X의 보안 처리 모듈은 isE 필드에 따라 페이로드 1이 암호화되어 있는지 여부를 판단하여 만약 암호화되어 있으면 단계 2.6)을 수행하며 만약 암호화되어 있지 않으면 Frame A1의 페이로드 1이 곧 페이로드 1의 평문 정보이며 단계 2.7)을 직접 수행한다.
단계 2.6): 포트 Port X의 보안 처리 모듈은 알고리즘 모듈을 인보크하여 키 KEY1의 세션 키 및 Frame A1의 페이로드 1을 입력하며 암호 해독하여 Frame A1 페이로드 1의 평문 정보를 획득한다.
단계 2.7): 포트 Port X의 보안 처리 모듈은 알고리즘 모듈을 인보크하여 키 KEY1의 무결성 검사 키와 Frame A1의 페이로드 1의 평문 정보를 입력하여 MIC1필드의 정확성을 검증한다. 만약 정확하면 단계 2.8)를 수행하며, 만약 정확하지 않으면 이 패킷을 포기한다.
단계 2.8): 포트 Port X의 보안 처리 모듈은 Frame A2를 구성하는바, Frame A1 페이로드 1의 평문 정보를 Frame A2의 페이로드 2로 간주하며, Frame A1의 프레임 헤드 1의 정보를 직접 Frame A2의 프레임 헤드 2의 정보로 간주한다. 즉, 프레임 헤드 2는 프레임 헤드 1과 동일하며, 페이로드 2는 페이로드 1의 평문이다.
단계 2.9): 포트 Port X의 보안 처리 모듈은 Frame A2를 스위칭 모듈에 제출한다.
상기 단계 4)의 구체적인 프로세스는 이하와 같다.
단계 4.1): 포트 Port Y의 보안 처리 모듈은 Frame A2 내의 Ethertype 필드에 따라 데이터 캡슐화에 사용된 링크 계층 암호화 프로토콜을 확정한다.
단계 4.2): 만약 데이터 프레임 Frame A2에 MAClist 필드가 존재하면 MAClist 필드에 주어진 특정 MAC 어드레스 리스트에 스위칭 장치의 MAC 어드레스가 있는지 여부를 판단하여 만약 이 리스트에 없으면 Frame A2를 직접 Frame A3로 간주하는바 즉, 프레임 헤드 3은 프레임 헤드 2와 동일하고 페이로드 3은 페이로드 2와 동일하고 MIC3은 MIC2와 동일하며, 단계 4.9)를 직접 수행한다. 만약 스위칭 장치의 MAC 어드레스가 이 리스트에 있으면 단계 4.3)을 수행하며, 만약 데이터 프레임 Frame A2에 MAClist 필드가 없으면 단계 4.3)을 수행한다.
단계 4.3): 포트 Port Y의 보안 처리 모듈은 데이터 프레임 Frame A2의 DA 필드에 따라 또는 데이터 프레임 Frame A2의 DA 필드 및 MAClist 필드에 따라 Frame A2에 대한 보안 처리에 필요한 키 KEY2의 검색 정보를 판단하며 키 KEY2의 검색 정보를 포트 Port Y의 키 관리 모듈에 송신하며 단계 4.4)를 수행한다.
단계 4.4): 포트 Port Y의 키 관리 모듈은 키 KEY2의 검색 정보에 따라 사용 가능한 키를 검출하며 로컬 폴리시에 결부하여 하나의 키 KEY2를 선출하여 이 키 KEY2 및 키 KEY2의 식별자Keyindex를 포트 Port Y의 보안 처리 모듈에 피드백한다.
단계 4.5): 포트 Port Y의 보안 처리 모듈은 알고리즘 모듈을 인보크하여 키 KEY2의 무결성 검사 키 및 Frame A2의 페이로드를 입력하여 무결성 검사 코드 MIC3 필드를 산출한다.
단계 4.6): 포트 Port X의 보안 처리 모듈은 데이터 프레임 Frame A2의 isE 필드에 따라 페이로드 2를 암호화하여 암호문 형식으로 네트워크에서 전송할 필요가 있는지 여부를 판단하여 만약 암호화해야 하면 단계 4.7)을 수행하며 만약 암호화할 필요가 없으면 단계 4.8)을 수행한다.
단계 4.7): 포트 Port Y의 보안 처리 모듈은 알고리즘 모듈을 인보크하여 키 KEY2의 세션 키 및 Frame A2의 페이로드 2를 입력하며 암호화하여 Frame A2의 페이로드 2의 암호문 정보를 획득하며 Frame A3을 구성하는바, Frame A2의 페이로드 2의 암호문 정보를 Frame A3의 페이로드 3로 간주하며 사용된 키 KEY2의 Keyindex정보에 따라 Frame A2의 프레임 헤드 2 내의 Keyindex 필드를 업데이트하여 Frame A3의 프레임 헤드 3 정보로 간주하며, 단계 4.5)에서 산출된 MIC3을 Frame A3의 MIC3필드로 간주하는바 즉, 프레임 헤드 3은, KEY2의 Keyindex를 사용하여 Keyindex 필드를 업데이트한 후의 프레임 헤드 2이며, 페이로드 3은 페이로드 2의 암호문 정보이며, MIC3은 단계 4.5)에서 산출된 MIC3이며, 단계 4.9)를 수행한다.
단계 4.8): 포트 Port Y의 보안 처리 모듈이 Frame A3을 구성하는바, Frame A2페이로드 2를 직접 Frame A3의 페이로드 3으로 간주하며 KEY2의 Keyindex정보를 사용하여Frame A2의 프레임 헤드 2 내의 Keyindex 필드를 업데이트하여 Frame A3의 프레임 헤드 3의 정보로 간주하며 단계 4.5)에서 산출된 MIC3을 Frame A3의 MIC3필드로 간주하는바 즉, 프레임 헤드 3은, KEY2의 Keyindex를 사용하여 Keyindex 필드를 업데이트한 후의 프레임 헤드 2이며, 페이로드 3은 페이로드 2와 동일하며, MIC3은 단계 4.5)에서 산출된 MIC3이며 단계 4.9)를 수행한다.
단계 4.9): 포트 Port Y의 보안 처리 모듈은 인터페이스 모듈을 통해 Frame A3을 출력한다.
(나) 데이터 프레임 사용자 데이터에 대해 우선 암호화 처리를 하여 페이로드 필드의 구성을 고려한 다음에 무결성 검사 코드를 계산하여 MIC 필드를 구성할 경우, 상기 단계 2)의 구체적인 프로세스는 이하와 같다.
단계 2.1): 포트 Port X 보안 처리 모듈은 데이터 프레임 Frame A1 내의 Ethertype 필드에 따라 데이터 캡슐화에 사용된 링크 계층 암호화 프로토콜을 확정한다.
단계 2.2): 만약 데이터 프레임 Frame A1에 MAClist 필드가 존재하면 MAClist 필드에 주어진 특정 MAC 어드레스 리스트에 스위칭 장치의 MAC 어드레스가 있는지 여부를 판단하며 만약 이 리스트에 없으면 Frame A1을 직접 Frame A2로 간주하는바 즉, 프레임 헤드 2는 프레임 헤드 1과 동일하며, 페이로드 2는 페이로드 1과 동일하며, MIC2는 MIC1과 동일하며 단계 2.9)를 수행한다. 만약 스위칭 장치의 MAC 어드레스가 이 리스트에 있으면 단계 2.3)을 수행하며 만약 데이터 프레임 Frame A1에 MAClist 필드가 없으면 단계 2.3)을 직접 수행한다.
단계 2.3): 포트 Port X 보안 처리 모듈은 데이터 프레임 Frame A1의 Keyindex 필드 및 SA 필드에 따라 또는 데이터 프레임 Frame A1의 Keyindex 필드, SA 필드 및 MAClist 필드에 따라 Frame A1에 대한 보안 처리에 필요한 키 KEY1의 검색 정보를 판단하며, 키 KEY1의 검색 정보를 포트 Port X의 키 관리 모듈에 송신한다.
단계 2.4): 포트 Port X의 키 관리 모듈은 키 KEY1의 검색 정보에 따라 그에 대응되는 키 KEY1을 검출하며 키 KEY1을 포트 Port X의 보안 처리 모듈에 피드백한다.
단계 2.5): 포트 Port X의 보안 처리 모듈은 알고리즘 모듈을 인보크하여 키 KEY1의 무결성 검사 키 및 Frame A1의 페이로드 1을 입력하며 MIC1필드의 정확성을 검증하여 만약 정확하면 단계 2.6)을 수행하며 만약 정확하지 않으면 이 패킷을 포기한다.
단계 2.6): 포트 Port X의 보안 처리 모듈은 isE 필드에 따라 페이로드 1이 암호화되어 있는지 여부를 판단하여 만약 암호화되어 있으면 단계 2.7)을 수행하며 만약 암호화되어 있지 않으면 Frame A1의 페이로드 1이 곧 페이로드 1의 평문 정보이며 단계 2.8)을 직접 수행한다.
단계 2.7): 포트 Port X의 보안 처리 모듈은 알고리즘 모듈을 인보크하여 키 KEY1의 세션 키 및 Frame A1의 페이로드 1을 입력하며 암호 해독하여 Frame A1 페이로드 1의 평문 정보를 획득한다.
단계 2.8): 포트 Port X의 보안 처리 모듈이 Frame A2를 구성하는 바, Frame A1 페이로드의 평문 정보를 Frame A2의 페이로드로 간주하며, Frame A1의 프레임 헤드 1 정보를 직접 Frame A2의 프레임 헤드 2 정보로 간주하는바 즉, 프레임 헤드 2는 프레임 헤드 1과 동일하며, 페이로드 2는 페이로드 1의 평문 정보와 동일하다.
단계 2.9): 포트 Port X의 보안 처리 모듈은 Frame A2를 스위칭 모듈에 제출한다.
상기 단계 4)의 구체적인 프로세스는 이하와 같다.
단계 4.1): 포트 Port Y의 보안 처리 모듈은 Frame A2 내의 Ethertype 필드에 따라 데이터 캡슐화에 사용된 링크 계층 암호화 프로토콜을 확정한다.
단계 4.2): 만약 데이터 프레임 Frame A2에 MAClist 필드가 존재하면 MAClist 필드에 주어진 특정 MAC 어드레스 리스트에 스위칭 장치의 MAC 어드레스가 있는지 여부를 판단하며 만약 이 리스트에 없으면 Frame A2를 직접 Frame A3으로 간주하는바 즉, 프레임 헤드 3은 프레임 헤드 2와 동일하며, 페이로드 3은 페이로드 2와 동일하며, MIC3은 MIC2와 동일하며 단계 4.9)를 직접 수행한다. 만약 스위칭 장치의 MAC 어드레스가 이 리스트에 있으면 단계 4.3)을 수행하며, 만약 데이터 프레임 Frame A2에 MAClist 필드가 없으면 단계 4.3)을 수행한다.
단계 4.3): 포트 Port Y의 보안 처리 모듈은 데이터 프레임 Frame A2의 DA 필드에 따라 또는 데이터 프레임 Frame A2의 DA 필드 및 MAClist 필드에 따라 Frame A2에 대한 보안 처리에 필요한 키 KEY2의 검색 정보를 판단하며 키 KEY2의 검색 정보를 포트 Port Y의 키 관리 모듈에 송신하여 단계 4.4)를 수행한다.
단계 4.4): 포트 Port Y의 키 관리 모듈은 키 KEY2의 검색 정보에 따라 사용 가능한 키를 검출하며 로컬 폴리시에 결부하여 하나의 키 KEY2를 선출하며 이 키 KEY2 및 키 KEY2의 식별자Keyindex를 포트 Port Y의 보안 처리 모듈에 피드백한다.
단계 4.5): 포트 Port X 보안 처리 모듈은 데이터 프레임 Frame A2의 isE 필드에 따라 페이로드 2를 암호화하여 암호문 형식으로 네트워크에서 전송하도록 할 필요가 있는지 여부를 판단하여 만약 암호화해야 하면 단계 4.6)을 수행하며 만약 암호화할 필요가 없으면 단계 4.8)을 수행한다.
단계 4.6): 포트 Port Y의 보안 처리 모듈은 알고리즘 모듈을 인보크하여 키 KEY2의 세션 키 및 Frame A2의 페이로드 2를 입력하며 암호화하여 Frame A2의 페이로드 2의 암호문 정보를 획득한다.
단계 4.7): 포트 Port Y의 보안 처리 모듈은 알고리즘 모듈을 인보크하여 키 KEY2의 무결성 검사 키 및 Frame A2의 페이로드 2의 암호문 정보를 입력하여 무결성 검사 코드 MIC3필드를 산출하며 Frame A3을 구성하는 바 Frame A2의 페이로드 2의 암호문 정보를 Frame A3의 페이로드 3으로 간주하며, 사용한 키 KEY2의 Keyindex정보에 따라 Frame A2의 프레임 헤드 2 내의 Keyindex 필드를 업데이트하여 Frame A3의 프레임 헤드 3 정보로 간주하며, 산출한 MIC3을 Frame A3의 MIC3필드로 간주하는바 즉, 프레임 헤드 3은, KEY2의 Keyindex를 사용하여 Keyindex 필드를 업데이트한 후의 프레임 헤드 2이며, 페이로드 3은 페이로드 2의 암호문 정보이며, MIC3은 단계 4.7)에서 산출된 MIC3이며, 단계 4.9)를 수행한다.
단계 4.8): 포트 Port Y의 보안 처리 모듈은 알고리즘 모듈을 인보크하고 키 KEY2의 무결성 검사 키와 Frame A2의 페이로드 2를 입력하여 무결성 검사 코드 MIC3 필드를 산출하며, Frame A3을 구성하는 바, Frame A2페이로드 2를 직접 Frame A3의 페이로드 3으로 간주하며, 사용한 키 KEY2의 Keyindex정보에 따라 Frame A2의 프레임 헤드 2 내의 Keyindex 필드를 업데이트하여 Frame A3의 프레임 헤드 3 정보로 간주하며 산출된 MIC3을 Frame A3의 MIC3으로 간주하는바 즉, 프레임 헤드 3은, KEY2的Keyindex를 사용하여 Keyindex 필드를 업데이트한 후의 프레임 헤드 2이며, 페이로드 3은 페이로드 2와 동일하며, MIC3은 단계 4.8)에서 산출된 MIC3이며, 단계 4.9)를 수행한다.
단계 4.9): 포트 Port Y의 보안 처리 모듈은 인터페이스 모듈을 통해 Frame A3을 출력한다.
Claims (10)
- 링크 계층 보안 전송을 지원하는 스위칭 장치에 있어서,
상기 스위칭 장치는 스위칭 모듈 및 복수의 포트 모듈을 포함하며,
각 포트 모듈은 스위칭 모듈에 전기적으로 연결되고, 상기 포트 모듈은 링크 계층 키 관리 기능을 지원하며 상기 스위칭 장치와 다른 네트워크 노드 사이에 데이터 프레임의 암호화 및 암호 해독을 위한 공유 키를 확립하는
것을 특징으로 하는 링크 계층 보안 전송을 지원하는 스위칭 장치.
- 제1항에 있어서,
상기 공유 키는 미리 공유되거나 또는 노드 신분 인증에 성공한 후 협상하여 확립되며,
상기 포트 모듈은 알고리즘 모듈, 인터페이스 모듈, 보안 처리 모듈 및 키 관리 모듈을 포함하며,
상기 보안 처리 모듈은 각각 인터페이스 모듈, 알고리즘 모듈 및 키 관리 모듈에 전기적으로 연결되며,
상기 키 관리 모듈은 상기 공유 키를 관리 및 저장하며,
상기 알고리즘 모듈은 암호화 및 암호 해독 알고리즘 및/또는 무결성 검사 알고리즘에 관련되며 하드웨어 방식으로 구현되거나 소프트웨어 방식으로 구현되는
것을 특징으로 하는 링크 계층 보안 전송을 지원하는 스위칭 장치.
- 링크 계층 보안 전송을 지원하는 스위칭 장치의 데이터 처리 방법에 있어서,
상기 처리 방법은 단계 1), 단계 2), 단계3) 및 단계 4)를 포함하며;
상기 단계 1)에서, 스위칭 장치의 포트 Port X의 인터페이스 모듈은 데이터 프레임 Frame A1을 수신하여 포트 Port X의 보안 처리 모듈에 제출하며, 상기 데이터 프레임 Frame A1은 제1 프레임 헤드 및 제1 페이로드를 포함하며,
상기 단계 2)에서, 스위칭 장치의 포트 Port X의 보안 처리 모듈은 Frame A1의 제1 프레임 헤드의 정보에 따라 포트 Port X의 키 관리 모듈 및 알고리즘 모듈과 결부하여 Frame A1을 처리함으로써 Frame A2를 구성하여 스위칭 장치의 스위칭 모듈에 제출하며, 상기 데이터 프레임 Frame A2는 제2 프레임 헤드 및 제2 페이로드를 포함하며,
상기 단계 3)에서, 스위칭 장치의 스위칭 모듈은 Frame A2의 제2 프레임 헤드의 정보를 추출하여, 만약 제2 프레임 헤드 내의 DA 필드와 스위칭 장치의 MAC 어드레스가 일치하면 스위칭 장치는 Frame A2의 제2 페이로드를 링크 계층의 상위 계층에 처리하도록 제출하며, 만약 일치하지 않으면 스위칭 장치는 로컬 MAC 어드레스 학습 정보(learning information)에 따라 Frame A2를 포트 Port Y의 보안 처리 모듈에 정확히 스위칭하며,
상기 단계 4)에서, 스위칭 장치 포트 Port Y의 보안 처리 모듈은 제2 프레임 헤드의 정보에 따라 포트 Port Y의 키 관리 모듈 및 알고리즘 모듈과 결부하여Frame A2를 처리함으로써 Frame A3을 구성하여 포트 Port Y의 인터페이스 모듈을 통해 Frame A3을 출력하며, 상기 데이터 프레임 Frame A3은 제3 프레임 헤드 및 제3 페이로드를 포함하며,
여기서, Port X는 스위칭 장치의 제1 포트 모듈인바 해당 Port X는 데이터 프레임 Frame A의 입력 포트이며,
Port Y는 스위칭 장치의 제2 포트 모듈인바 상기 Port Y는 데이터 프레임 Frame A의 출력 포트이며,
Frame A1은 포트 Port X의 인터페이스 모듈이 수신한 데이터 프레임을 표시하며,
Frame A2는 포트 Port X의 보안 처리 모듈이 스위칭 모듈에 제출한 데이터 프레임을 표시하며,
Frame A3은 포트 Port Y의 인터페이스 모듈이 최후에 출력한 데이터 프레임을 표시하며,
만약 스위칭 장치가 수신한 Frame A1이 암호화된 데이터 프레임이며 스위칭 장치가 이 데이터 프레임을 암호 해독하고·재차 암호화한 후 전송(轉送)해야 할 경우, 데이터 프레임 Frame A1에 대해 암호 해독 처리를 하여 Frame A2를 구성하는 데 사용되는 키를 KEY1라 하고 데이터 프레임 Frame A2에 대해 암호화 처리를 하여 Frame A3을 구성하는 데 사용되는 키를 KEY2라 하면, 스위칭 장치 Port X는 KEY1을 사용하여 Frame A1에 대해 암호 해독 처리를 하여 Frame A2를 구성하며, Port Y는 KEY2를 사용하여 Frame A2에 대해 암호화 처리를 하여 Frame A3을 구성하는
것을 특징으로 하는 링크 계층 보안 전송을 지원하는 스위칭 장치의 데이터 처리 방법.
- 제3항에 있어서,
상기 스위칭 장치는 표준 ISO/IEC8802-3데이터 프레임을 지원하거나 또는 링크 계층 암호화 프로토콜 데이터 프레임을 지원하는
것을 특징으로 하는 링크 계층 보안 전송을 지원하는 스위칭 장치의 데이터 처리 방법.
- 제4항에 있어서,
상기 스위칭 장치가 링크 계층 암호화 프로토콜 데이터 프레임을 지원할 경우, 상기 링크 계층 암호화 프로토콜 데이터 프레임에는 프레임 헤드 필드와 페이로드 필드가 포함되며,
프레임 헤드 필드는 DA 필드, SA 필드, Ethertype 필드, isE 필드, Keyindex 필드 및 MAClist 필드를 포함하며,
여기서, DA 필드는 목적 노드의 식별자를 표시하며 목적 노드의 MAC 어드레스 값을 취하며,
SA 필드는 소스 노드의 식별자를 표시하며 소스 노드의 MAC 어드레스 값을 취하며,
Ethertype 필드는 이더넷 타입 필드를 표시하며 링크 계층 암호화 프로토콜의 이더넷 타입 필드 값을 취하며, 그에 대응되는 링크 계층 암호화 프로토콜 및 프레임 구성을 식별하는 데 사용되며,
isE 필드는 암호화 플래그 비트를 표시하며 데이터 프레임의 페이로드가 사용자 데이터의 평문 정보인지 암호문 정보인지를 식별하는데 사용되며, 데이터 패킷의 수신측은 해당 필드를 암호 해독 필요 여부에 대한 하나의 판단 요소로 간주하며,
Keyindex 필드는 페이로드를 보호하는 키의 식별자를 표시하며;
MAClist 필드는 특정 MAC 어드레스 리스트 정보를 표시하며 해당 필드는 선택 가능한 필드이며;
페이로드 필드는 사용자 데이터 정보를 표시하며 상기 사용자 데이터 정보는 사용자 데이터의 평문 정보 또는 사용자 데이터의 암호문 정보인
것을 특징으로 하는 링크 계층 보안 전송을 지원하는 스위칭 장치의 데이터 처리 방법.
- 제5항에 있어서,
상기 MAClist 필드가 존재할 경우, 상기 MAClist필드에 주어진 특정 MAC 어드레스 리스트 내의 스위칭 장치가 만약 목적 노드이면 수신한 데이터 프레임을 암호 해독하여 수신해야 하며, 만약 목적 노드가 아니면 수신한 데이터 프레임을 암호 해독하고·재차 암호화한 후·전송(轉送)해야 하며, 상기 MAClist 필드에 주어진 특정 MAC 어드레스 리스트 외의 스위칭 장치가 만약 목적 노드이면 수신한 데이터 프레임을 암호 해독하여 수신해야 하며, 만약 목적 노드가 아니면 수신한 암호문 데이터 패킷을 직접 전송(轉送)하면 되며,
상기 MAClist 필드가 존재하지 않을 경우, 상기 데이터 프레임을 수신한 스위칭 장치가 만약 목적 노드이면 수신한 데이터 프레임을 암호 해독하여 수신해야 하며, 만약 목적 노드가 아니면 수신한 데이터 프레임을 암호 해독하고·재차 암호화한 후·전송(轉送)해야 하며,
상기 MAClist 필드가 존재할 경우, 상기 MAClist필드에 주어진 특정 MAC 어드레스 리스트 내의 스위칭 장치가 암호문 데이터 패킷을 암호 해독하는 데 사용되는 키의 검색 정보는 MAClist, SA 및 Keyindex를 포함하며; 암호화에 사용되는 키의 검색 정보는 MAClist 및 DA를 포함하며;
상기 MAClist 필드가 존재하지 않을 경우, 스위칭 장치가 전송(轉送)할 모든 암호문 데이터 패킷을 암호 해독하고 재차 암호화한 후·전송(轉送)해야 한다면, 암호문 데이터 패킷을 암호 해독하는 데 사용되는 키의 검색 정보는 SA 및 Keyindex를 포함하며, 암호화에 사용되는 키의 검색 정보는 DA를 포함하는
것을 특징으로 하는 링크 계층 보안 전송을 지원하는 스위칭 장치의 데이터 처리 방법.
- 제6항에 있어서,
상기 단계 2)는,
포트 Port X의 보안 처리 모듈이 데이터 프레임 Frame A1 내의 Ethertype 필드에 따라, 데이터 캡슐화에 사용된 링크 계층 암호화 프로토콜을 판단하며, isE 필드에 따라 제1 페이로드가 암호화되어 있는지 여부를 판단하여 만약 암호화되어 있으면 단계 2.1.2)를 수행하며 만약 암호화되어 있지 않으면 Frame A1을 Frame A2로 간주하고 단계 2.1.6)을 수행하는 단계 2.1.1);
만약 데이터 프레임 Frame A1에 MAClist 필드가 존재하면 MAClist 필드에 주어진 MAC 어드레스 리스트 내에 스위칭 장치의 MAC 어드레스가 있는지 여부를 판단하여 만약 상기 리스트 내에 없으면 Frame A1을 Frame A2로 간주하고 단계 2.1.6)를 수행하며 만약 스위칭 장치의 MAC 어드레스가 상기 리스트 내에 있으면 단계 2.1.3)을 수행하며, 만약 데이터 프레임 Frame A1에 MAClist 필드가 없으면 단계 2.1.3)을 수행하는 단계 2.1.2);
포트 Port X의 보안 처리 모듈이 데이터 프레임 Frame A1의 Keyindex 필드 및 SA 필드에 따라 또는 데이터 프레임 Frame A1의 Keyindex 필드, SA 필드 및 MAClist 필드에 따라, Frame A1의 보안 처리를 위한 키 KEY1의 검색 정보를 판단하며 키 KEY1의 검색 정보를 포트 Port X의 키 관리 모듈에 송신하는 단계 2.1.3);
포트 Port X의 키 관리 모듈이 키 KEY1의 검색 정보에 따라 그에 대응되는 키 KEY1을 검출하여 키 KEY1을 포트 Port X의 보안 처리 모듈에 피드백하는 단계 2.1.4);
포트 Port X의 보안 처리 모듈이 알고리즘 모듈을 인보크하고 키 KEY1 및 Frame A1의 제1 페이로드를 입력하여 암호 해독함으로써 Frame A1의 제1 페이로드의 평문 정보를 획득하여 Frame A2를 구성하는바 Frame A1의 제1 페이로드의 평문 정보를 Frame A2의 제2 페이로드로 간주하고 Frame A1의 제1 프레임 헤드 정보를 Frame A2의 제2 프레임 헤드 정보로 간주하는 단계 2.1.5); 및
포트 Port X의 보안 처리 모듈이 Frame A2를 스위칭 모듈에 제출하는 단계 2.1.6)를 포함하며.
상기 단계 4)는,
포트 Port Y의 보안 처리 모듈이 Frame A2 내의 Ethertype 필드에 따라, 데이터 캡슐화에 사용된 링크 계층 암호화 프로토콜을 확정하며, isE 필드에 따라 제2 페이로드를 암호화하여 암호문 형식으로 네트워크에서 전송해야 하는지 여부를 판단하여 만약 암호화해야 하면 단계 4.1.2)를 수행하며, 만약 암호화할 필요가 없으면 Frame A2를 Frame A3으로 간주하고 단계 4.1.6)을 수행하는 단계 4.1.1);
만약 데이터 프레임 Frame A2에 MAClist 필드가 존재하면 MAClist 필드 리스트 내에 스위칭 장치의 MAC 어드레스가 있는지 여부를 판단하여 만약 상기 리스트 내에 없으면 Frame A2를 Frame A3으로 간주하고 단계 4.1.6)을 수행하며 만약 스위칭 장치의 MAC 어드레스가 상기 리스트 내에 있으면 단계 4.1.3)을 수행하며, 만약 데이터 프레임 Frame A2에 MAClist 필드가 없으면 단계 4.1.3)을 수행하는 단계 4.1.2);
포트 Port Y의 보안 처리 모듈이 데이터 프레임 Frame A2의 DA 필드에 따라 또는 데이터 프레임 Frame A2의 DA 필드 및 MAClist 필드에 따라 Frame A2의 보안 처리를 위한 키 KEY2의 검색 정보를 판단하며 키 KEY2의 검색 정보를 포트 Port Y의 키 관리 모듈에 송신하는 단계 4.1.3);
포트 Port Y의 키 관리 모듈이 키 KEY2의 검색 정보에 따라 사용 가능한 키를 검출하며 로컬 폴리시에 결부하여 하나의 키 KEY2를 선출하며 키 KEY2 및 키 KEY2의 식별자Keyindex를 포트 Port Y의 보안 처리 모듈에 피드백하는 단계 4.1.4);
포트 Port Y의 보안 처리 모듈이 알고리즘 모듈을 인보크하고 키 KEY2 및 Frame A2의 제2 페이로드를 입력하여 암호화함으로써 Frame A2의 제2 페이로드의 암호문 정보를 획득하여 Frame A3을 구성하는바 Frame A2의 제2 페이로드의 암호문 정보를 Frame A3의 제3 페이로드로 간주하며 사용한 키 KEY2에 따라 KEY2의 Keyindex로 Frame A2의 제2 프레임 헤드 내의 Keyindex 필드를 업데이트하여 Frame A3의 제3 프레임 헤드 정보로 간주하는 단계 4.1.5) 및;
포트 Port Y의 보안 처리 모듈이 인터페이스 모듈을 통해 Frame A3을 출력하는 단계 4.1.6)을 포함하는
것을 특징으로 하는 링크 계층 보안 전송을 지원하는 스위칭 장치의 데이터 처리 방법.
- 제5항에 있어서,
상기 링크 계층 보안 전송을 지원하는 스위칭 장치가 링크 계층 암호화 프로토콜 데이터 프레임을 지원할 경우, 지원하는 상기 링크 계층 암호화 프로토콜 데이터 프레임 내의 프레임 헤드는 MIC 필드를 더 포함하며,
상기 MIC 필드는 무결성 검사 코드를 표시하고 데이터 프레임 Frame에 대한 산출을 통해 얻은 무결성 검사 값이며, 무결성 검사 MIC 계산에 관련된 필드 범위는, 스위칭 장치가 지원하는, Ethertype에 대응되는 링크 계층 암호화 프로토콜에 따라 확정되며, 상기 데이터 프레임을 보안 처리함에 있어서 상기 데이터 프레임의 보안 처리를 위한 키는 무결성 검사 키 및 세션 키 등 두 부분을 포함하며, 무결성 검사 키는 데이터 프레임에 대해 무결성 검사 코드 MIC를 계산하는 데 사용되고, 세션 키는 데이터 프레임 페이로드를 암호화하는 데 사용되며,
MIC1은 데이터 프레임 Frame A1에 대해 산출된 무결성 검사 값이며,
MIC2는 데이터 프레임 Frame A2에 대해 산출된 무결성 검사 값이며,
MIC3은 데이터 프레임 Frame A3에 대해 산출된 무결성 검사 값인
것을 특징으로 하는 링크 계층 보안 전송을 지원하는 스위칭 장치의 데이터 처리 방법.
- 제8항에 있어서,
상기 보안 처리에 있어서, 우선 데이터 프레임에 대해 무결성 검사 코드를 계산하여 MIC 필드를 구성한 다음에 데이터 프레임 사용자 데이터에 대해 암호화 처리를 하여 페이로드 필드를 구성할 경우,
상기 단계 2)는,
포트 Port X 보안 처리 모듈이 데이터 프레임 Frame A1 내의 Ethertype 필드에 따라, 데이터 캡슐화에 사용된 링크 계층 암호화 프로토콜을 확정하는 단계 2.2.1);
만약 데이터 프레임 Frame A1에 MAClist 필드가 존재하면 MAClist 필드 리스트 내에 스위칭 장치의 MAC 어드레스가 있는지 여부를 판단하여 만약 이 리스트 내에 없으면 Frame A1을 Frame A2로 간주하고 단계 2.2.9)를 수행하며, 만약 스위칭 장치의 MAC 어드레스가 상기 리스트 내에 있으면 단계 2.2.3)을 수행하며, 만약 데이터 프레임 Frame A1에 MAClist 필드가 없으면 단계 2.2.3)을 수행하는 단계 2.2.2);
포트 Port X 보안 처리 모듈이 데이터 프레임 Frame A1의 Keyindex 필드 및 SA 필드에 따라 또는 데이터 프레임 Frame A1의 Keyindex 필드, SA 필드 및 MAClist 필드에 따라, Frame A1의 보안 처리를 위한 키 KEY1의 검색 정보를 판단하며 키 KEY1의 검색 정보를 포트 Port X의 키 관리 모듈에 송신하는 단계 2.2.3);
포트 Port X의 키 관리 모듈이 키 KEY1의 검색 정보에 따라 그에 대응되는 키 KEY1을 검출하여 키 KEY1을 포트 Port X의 보안 처리 모듈에 피드백하는 단계 2.2.4);
포트 Port X의 보안 처리 모듈이 isE 필드에 따라 제1 페이로드가 암호화되어 있는지 여부를 판단하여 만약 암호화되어 있으면 단계 2.2.6)를 수행하며 만약 암호화되어 있지 않으면 Frame A1의 제1 페이로드가 곧 제1 페이로드의 평문 정보이며 단계 2.2.7)을 수행하는 단계 2.2.5);
포트 Port X의 보안 처리 모듈이 알고리즘 모듈을 인보크하고 키 KEY1의 세션 키 및 Frame A1的 제1 페이로드를 입력하여 암호 해독함으로써 Frame A1의 제1 페이로드의 평문 정보를 획득하는 단계 2.2.6);
포트 Port X의 보안 처리 모듈이 알고리즘 모듈을 인보크하고 키 KEY1의 무결성 검사 키 및 Frame A1의 제1 페이로드의 평문 정보를 입력하여 MIC1필드의 정확성을 검증하여 만약 정확하면 단계 2.2.8)을 수행하며 만약 정확하지 않으면 이 패킷을 포기하는 단계 2.2.7);
포트 Port X의 보안 처리 모듈이 Frame A1의 제1 페이로드의 평문 정보를 Frame A2의 제2 페이로드로 간주하고 Frame A1의 제1 프레임 헤드 정보를 Frame A2의 제2 프레임 헤드 정보로 간주하도록 Frame A2를 구성하는 단계 2.2.8); 및
포트 Port X의 보안 처리 모듈이 Frame A2를 스위칭 모듈에 제출하는 단계 2.2.9)를 포함하며;
상기 단계 4)는,
포트 Port Y의 보안 처리 모듈이 Frame A2 내의 Ethertype 필드에 따라 데이터 캡슐화에 사용된 링크 계층 암호화 프로토콜을 확정하는 단계 4.2.1);
만약 데이터 프레임 Frame A2에 MAClist 필드가 존재하면 MAClist 필드에 주어진 특정 MAC 어드레스 리스트에 스위칭 장치의 MAC 어드레스가 있는지 여부를 판단하여 만약 해당 리스트 내에 없으면 Frame A2를 Frame A3으로 간주하고 단계 4.2.9)를 수행하며 만약 스위칭 장치의 MAC 어드레스가 상기 리스트 내에 있으면 단계 4.2.3)을 수행하며, 만약 데이터 프레임 Frame A2에 MAClist 필드가 없으면 단계 4.2.3)을 수행하는 단계 4.2.2);
포트 Port Y의 보안 처리 모듈이 데이터 프레임 Frame A2의 DA 필드에 따라 또는 데이터 프레임 Frame A2의 DA 필드 및 MAClist 필드에 따라 Frame A2의 보안 처리를 위한 키 KEY2의 검색 정보를 판단하며 키 KEY2의 검색 정보를 포트 Port Y의 키 관리 모듈에 송신하는 단계 4.2.3);
포트 Port Y의 키 관리 모듈이 키 KEY2의 검색 정보에 따라 사용 가능한 키를 검출하며 로컬 폴리시에 결부하여 하나의 키 KEY2를 선출하며 상기 키 KEY2 및 키 KEY2의 식별자Keyindex를 포트 Port Y의 보안 처리 모듈에 피드백하는 단계 4.2.4);
포트 Port Y의 보안 처리 모듈이 알고리즘 모듈을 인보크하고 키 KEY2의 무결성 검사 키 및 Frame A2의 페이로드를 입력하여 무결성 검사 코드 MIC3필드를 산출하는 단계 4.2.5);
포트 Port X 보안 처리 모듈이 데이터 프레임 Frame A2의 isE 필드에 따라 제2 페이로드를 암호화하여 암호문 형식으로 네트워크에서 전송해야 하는지 여부를 판단하여 만약 암호화해야 하면 단계 4.2.7)을 수행하며, 만약 암호화할 필요가 없으면 단계 4.2.8)을 수행하는 단계 4.2.6);
포트 Port Y의 보안 처리 모듈이 알고리즘 모듈을 인보크하고 키 KEY2의 세션 키 및 Frame A2의 제2 페이로드를 입력하여 암호화함으로써 Frame A2의 제2 페이로드의 암호문 정보를 획득하여, Frame A2의 제2 페이로드의 암호문 정보를 Frame A3의 제3 페이로드로 간주하고 사용한 키 KEY2의 Keyindex정보에 따라 Frame A2의 제2 프레임 헤드 내의 Keyindex 필드를 업데이트하여 Frame A3의 제3 프레임 헤드 정보로 간주하고 단계 4.2.5)에서 산출된 MIC3을 Frame A3으로 간주하도록 Frame A3을 구성하는바 즉, 제3 프레임 헤드는, KEY2의 Keyindex를 사용하여 Keyindex 필드를 업데이트한 후의 제2 프레임 헤드이고, 제3 페이로드는 제2 페이로드의 암호문 정보이며, MIC3은 단계 4.2.5)에서 산출된 MIC3이며, 단계 4.2.9)를 수행하는 단계 4.2.7);
포트 Port Y의 보안 처리 모듈이 Frame A3을 구성하는바 Frame A2의 제2 페이로드를 Frame A3의 제3 페이로드로 간주하고 사용한 키 KEY2의 Keyindex정보에 따라 Frame A2의 제2 프레임 헤드 내의 Keyindex 필드를 업데이트하여 Frame A3의 제2 프레임 헤드 정보로 간주하고 단계 4.2.5)에서 산출된 MIC3을 Frame A3 내의 MIC3필드로 간주하는 것을 포함하는 단계 4.2.8); 및
포트 Port Y의 보안 처리 모듈이 인터페이스 모듈을 통해 Frame A3을 출력하는 단계 4.2.9)를 포함하는
것을 특징으로 하는 링크 계층 보안 전송을 지원하는 스위칭 장치의 데이터 처리 방법.
- 제8항에 있어서,
상기 보안 처리에 있어서, 우선 데이터 프레임 사용자 데이터에 대해 암호화 처리를 하여 페이로드 필드를 구성한 다음에 무결성 검사 코드를 계산하여 MIC 필드를 구성할 경우,
상기 단계 2)는,
포트 Port X 보안 처리 모듈이 데이터 프레임 Frame A1 내의 Ethertype 필드에 따라 데이터 캡슐화에 사용된 링크 계층 암호화 프로토콜을 확정하는 단계 2.3.1);
만약 데이터 프레임 Frame A1에 MAClist 필드가 존재하면 MAClist 필드에 주어진 특정 MAC 어드레스 리스트 내에 스위칭 장치의 MAC 어드레스가 있는지 여부를 판단하여 만약 상기 리스트 내에 없으면 Frame A1을 Frame A2로 간주하고 단계 2.3.9)를 수행하며 만약 스위칭 장치의 MAC 어드레스가 상기 리스트 내에 있으면 단계 2.3.3)를 수행하며, 만약 데이터 프레임 Frame A1에 MAClist 필드가 없으면 단계 2.3.3)을 수행하는 단계 2.3.2);
포트 Port X 보안 처리 모듈이 데이터 프레임 Frame A1의 Keyindex 필드 및 SA 필드에 따라 또는 데이터 프레임 Frame A1의 Keyindex 필드, SA 필드 및 MAClist 필드에 따라, Frame A1에 대한 보안 처리에 필요한 키 KEY1의 검색 정보를 판단하며 키 KEY1의 검색 정보를 포트 Port X의 키 관리 모듈에 송신하는 단계 2.3.3);
포트 Port X의 키 관리 모듈이 키 KEY1의 검색 정보에 따라 그에 대응되는 키 KEY1을 검출하여 키 KEY1을 포트 Port X의 보안 처리 모듈에 피드백하는 단계 2.3.4);
포트 Port X의 보안 처리 모듈이 알고리즘 모듈을 인보크하고 키 KEY1의 무결성 검사 키 및 Frame A1의 제1 페이로드를 입력하여 MIC1필드의 정확성을 검증하며 만약 정확하면 단계 2.3.6)을 수행하며, 만약 정확하지 않으면 이 패킷을 포기하는 단계 2.3.5);
포트 Port X의 보안 처리 모듈이 isE 필드에 따라, 제1 페이로드가 암호화되어 있는지 여부를 판단하여 만약 암호화되어 있으면 단계 2.3.7)을 수행하며, 만약 암호화되어 있지 않으면 Frame A1의 제1 페이로드는 제1 페이로드의 평문 정보이며 단계 2.3.8)을 수행하는 단계 2.3.6);
포트 Port X의 보안 처리 모듈이 알고리즘 모듈을 인보크하고 키 KEY1의 세션 키 및 Frame A1의 제1 페이로드 1을 입력하여 암호 해독함으로써 Frame A1의 제1 페이로드의 평문 정보를 획득하는 단계 2.3.7);
포트 Port X의 보안 처리 모듈이 Frame A1의 제1 페이로드의 평문 정보를 Frame A2의 제2 페이로드로 간주하고 Frame A1의 제1 프레임 헤드 정보를 Frame A2의 제2 프레임 헤드 정보로 간주함으로써 Frame A2를 구성하는 단계 2.3.8); 및
포트 Port X의 보안 처리 모듈이 Frame A2를 스위칭 모듈에 제출하는 단계 2.3.9)를 포함하며,
상기 단계 4)는,
포트 Port Y의 보안 처리 모듈이 Frame A2 내의 Ethertype 필드에 따라 데이터 캡슐화에 사용된 링크 계층 암호화 프로토콜을 확정하는 단계 4.3.1);
만약 데이터 프레임 Frame A2에 MAClist 필드가 존재하면 MAClist 필드 리스트 내에 스위칭 장치의 MAC 어드레스가 있는지 여부를 판단하여 만약 상기 리스트 내에 없으면 Frame A2를 Frame A3으로 간주하고 단계 4.3.9)를 수행하며 만약 스위칭 장치의 MAC 어드레스가 상기 리스트 내에 있으면 단계 4.3.3)를 수행하며, 만약 데이터 프레임 Frame A2에 MAClist 필드가 없으면 단계 4.3.3)을 수행하는 단계 4.3.2);
포트 Port Y의 보안 처리 모듈이 데이터 프레임 Frame A2의 DA 필드에 따라 또는 데이터 프레임 Frame A2의 DA 필드 및 MAClist 필드에 따라 Frame A2에 대한 보안 처리에 필요한 키 KEY2의 검색 정보를 판단하며 키 KEY2의 검색 정보를 포트 Port Y의 키 관리 모듈에 송신하며 단계 4.3.4)를 수행하는 단계 4.3.3);
포트 Port Y의 키 관리 모듈이 키 KEY2의 검색 정보에 따라 사용 가능한 키를 검출하며 로컬 폴리시에 결부하여 하나의 키 KEY2를 선출하며 상기 키 KEY2 및 키 KEY2의 식별자Keyindex를 포트 Port Y의 보안 처리 모듈에 피드백하는 단계 4.3.4);
포트 Port X 보안 처리 모듈이 데이터 프레임 Frame A2의 isE 필드에 따라, 페이로드 2를 암호화하여 암호문 형식으로 네트워크에서 전송해야 하는지 여부를 판단하여 만약 암호화해야 하면 단계 4.3.6)을 수행하며, 만약 암호화할 필요가 없으면 단계 4.3.8)을 수행하는 단계 4.3.5);
포트 Port Y의 보안 처리 모듈이 알고리즘 모듈을 인보크하고 키 KEY2의 세션 키 및 Frame A2의 제2 페이로드를 입력하여 암호화함으로써 Frame A2의 제2 페이로드의 암호문 정보를 획득하는 단계 4.3.6);
포트 Port Y의 보안 처리 모듈이 알고리즘 모듈을 인보크하고 키 KEY2의 무결성 검사 키 및 Frame A2의 제2 페이로드의 암호문 정보를 입력하여 무결성 검사 코드 MIC3필드를 산출하며 Frame A3를 구성하는바, Frame A2의 제2 페이로드의 암호문 정보를 Frame A3의 제3 페이로드로 간주하고 사용한 키 KEY2의 Keyindex정보에 따라 Frame A2의 제2 프레임 헤드 내의 Keyindex 필드를 업데이트하여 Frame A3의 제3 프레임 헤드 정보로 간주하고 산출된 MIC3을 Frame A3 내의 MIC3필드로 간주하며 단계 4.3.9)를 수행하는 단계 4.3.7);
포트 Port Y의 보안 처리 모듈이 알고리즘 모듈을 인보크하고 키 KEY2의 무결성 검사 키 및 Frame A2의 제2 페이로드를 입력하여 무결성 검사 코드 MIC3필드를 산출하며, Frame A2의 제2 페이로드를 Frame A3의 제3 페이로드로 간주하고 사용한 키 KEY2의 Keyindex정보에 따라 Frame A2의 제2 프레임 헤드 내의 Keyindex 필드를 업데이트하여 Frame A3의 제3 프레임 헤드 정보로 간주하고, 산출된 MIC3을 Frame A3 내의 MIC3필드로 간주함으로써 Frame A3을 구성하는 단계 4.3.8); 및
포트 Port Y의 보안 처리 모듈이 인터페이스 모듈을 통해 Frame A3을 출력하는 단계 4.3.9)를 포함하는
것을 특징으로 하는 링크 계층 보안 전송을 지원하는 스위칭 장치의 데이터 처리 방법.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010596665.5 | 2010-12-20 | ||
CN2010105966655A CN102035845B (zh) | 2010-12-20 | 2010-12-20 | 支持链路层保密传输的交换设备及其数据处理方法 |
PCT/CN2011/075856 WO2012083653A1 (zh) | 2010-12-20 | 2011-06-17 | 支持链路层保密传输的交换设备及其数据处理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20130096320A true KR20130096320A (ko) | 2013-08-29 |
KR101485279B1 KR101485279B1 (ko) | 2015-01-21 |
Family
ID=43888168
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020137019230A KR101485279B1 (ko) | 2010-12-20 | 2011-06-17 | 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9264405B2 (ko) |
JP (2) | JP2014505402A (ko) |
KR (1) | KR101485279B1 (ko) |
CN (1) | CN102035845B (ko) |
WO (1) | WO2012083653A1 (ko) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102035845B (zh) * | 2010-12-20 | 2012-07-18 | 西安西电捷通无线网络通信股份有限公司 | 支持链路层保密传输的交换设备及其数据处理方法 |
JP6062229B2 (ja) * | 2012-11-30 | 2017-01-18 | 株式会社東芝 | 通信装置、通信方法およびコンピュータプログラム |
CN103441983A (zh) * | 2013-07-11 | 2013-12-11 | 盛科网络(苏州)有限公司 | 基于链路层发现协议的信息保护方法和装置 |
CN103685247A (zh) * | 2013-12-04 | 2014-03-26 | 冯丽娟 | 安全通信方法、装置、系统以及安全主板 |
EP3100405A4 (en) * | 2014-01-29 | 2017-08-30 | Smart Security Systems LLC | Systems and methods for protecting communications |
US10080185B2 (en) * | 2015-04-10 | 2018-09-18 | Qualcomm Incorporated | Method and apparatus for securing structured proximity service codes for restricted discovery |
CN105897669A (zh) * | 2015-11-11 | 2016-08-24 | 乐卡汽车智能科技(北京)有限公司 | 数据发送、接收方法、发送端、接收端和can总线网络 |
US10708245B2 (en) * | 2017-12-06 | 2020-07-07 | Hewlett Packard Enterprise Development Lp | MACsec for encrypting tunnel data packets |
DE102019004790A1 (de) * | 2019-07-11 | 2021-01-14 | Infineon Technologies Ag | Authentizität und Sicherheit auf der Sicherungsschicht für Fahrzeugkommunikationssystem |
CN114389884B (zh) * | 2022-01-14 | 2023-11-24 | 北京光润通科技发展有限公司 | 一种单端口以太网隔离卡及其隔离方法 |
CN114666047A (zh) * | 2022-03-23 | 2022-06-24 | 北京从云科技有限公司 | 一种网络数据加密解密的装置和方法 |
CN115277200B (zh) * | 2022-07-27 | 2023-08-15 | 北京国领科技有限公司 | 一种链路层透明加密系统多节点密钥自动协商管理的方法 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100675836B1 (ko) | 2004-12-10 | 2007-01-29 | 한국전자통신연구원 | Epon 구간내에서의 링크 보안을 위한 인증 방법 |
US7917944B2 (en) * | 2004-12-13 | 2011-03-29 | Alcatel Lucent | Secure authentication advertisement protocol |
CN1667999A (zh) * | 2005-01-18 | 2005-09-14 | 中国电子科技集团公司第三十研究所 | 一种移动自组网络中移动节点间的保密通信方法 |
CN101056456A (zh) * | 2006-04-10 | 2007-10-17 | 华为技术有限公司 | 无线演进网络实现认证的方法及安全系统 |
KR100787128B1 (ko) | 2006-04-20 | 2007-12-21 | 한국정보통신주식회사 | 통신 프로토콜 스택의 스위칭 기능을 이용한 이종의 무선 통신망에 대한 종단간 보안 통신 방법 |
US7729276B2 (en) | 2006-11-29 | 2010-06-01 | Broadcom Corporation | Method and system for tunneling MACSec packets through non-MACSec nodes |
JP5060081B2 (ja) | 2006-08-09 | 2012-10-31 | 富士通株式会社 | フレームを暗号化して中継する中継装置 |
JP2008104040A (ja) | 2006-10-20 | 2008-05-01 | Fujitsu Ltd | 共通鍵生成装置および共通鍵生成方法 |
CN101588345A (zh) | 2008-05-23 | 2009-11-25 | 深圳华为通信技术有限公司 | 站与站之间信息发送、转发和接收方法、装置和通信系统 |
CN101394270B (zh) * | 2008-09-27 | 2011-01-19 | 上海交通大学 | 基于模块化路由的无线网状网络链路层加密方法 |
CN101741548B (zh) * | 2009-12-18 | 2012-02-01 | 西安西电捷通无线网络通信股份有限公司 | 交换设备间安全连接的建立方法及系统 |
CN101729249B (zh) * | 2009-12-21 | 2011-11-30 | 西安西电捷通无线网络通信股份有限公司 | 用户终端之间安全连接的建立方法及系统 |
CN101834722B (zh) * | 2010-04-23 | 2012-06-13 | 西安西电捷通无线网络通信股份有限公司 | 一种加密设备和非加密设备混合组网的通信方法 |
CN102035845B (zh) | 2010-12-20 | 2012-07-18 | 西安西电捷通无线网络通信股份有限公司 | 支持链路层保密传输的交换设备及其数据处理方法 |
-
2010
- 2010-12-20 CN CN2010105966655A patent/CN102035845B/zh active Active
-
2011
- 2011-06-17 WO PCT/CN2011/075856 patent/WO2012083653A1/zh active Application Filing
- 2011-06-17 KR KR1020137019230A patent/KR101485279B1/ko active IP Right Grant
- 2011-06-17 JP JP2013545016A patent/JP2014505402A/ja active Pending
- 2011-06-17 US US13/995,593 patent/US9264405B2/en active Active
-
2015
- 2015-03-27 JP JP2015067586A patent/JP5785346B1/ja active Active
Also Published As
Publication number | Publication date |
---|---|
US20130283044A1 (en) | 2013-10-24 |
JP2015181233A (ja) | 2015-10-15 |
CN102035845A (zh) | 2011-04-27 |
JP5785346B1 (ja) | 2015-09-30 |
JP2014505402A (ja) | 2014-02-27 |
US9264405B2 (en) | 2016-02-16 |
KR101485279B1 (ko) | 2015-01-21 |
CN102035845B (zh) | 2012-07-18 |
WO2012083653A1 (zh) | 2012-06-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101421399B1 (ko) | 링크 계층 암호화/복호화 능력을 구비하는 단말 장치 및 그의 데이터 처리 방법 | |
KR101485279B1 (ko) | 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법 | |
JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
EP1484856B1 (en) | Method for distributing encryption keys in wireless lan | |
US7774594B2 (en) | Method and system for providing strong security in insecure networks | |
EP3487146B1 (en) | Method of performing device to device communication between user equipments | |
EP3213488A1 (en) | End-to-end service layer authentication | |
WO2012019466A1 (zh) | 邻居用户终端间保密通信方法、终端、交换设备及系统 | |
US9872175B2 (en) | Packet processing method, apparatus, and system | |
JP2005184463A (ja) | 通信装置および通信方法 | |
CN101512537A (zh) | 在自组无线网络中安全处理认证密钥资料的方法和系统 | |
JP2013512643A (ja) | マルチ・バンド/マルチ・リンクの安全キー生成及び配信プロトコル | |
US8281134B2 (en) | Methods and apparatus for layer 2 and layer 3 security between wireless termination points | |
JP2018129793A (ja) | 聴覚システムの通信方法及び関連する装置 | |
US8094634B2 (en) | Sender and/or helper node modifications to enable security features in cooperative wireless communications | |
AU2004307420A1 (en) | Naming of 802.11 group keys to allow support of multiple broadcast and multicast domains | |
CN110650476B (zh) | 管理帧加密和解密 | |
WO2007061178A1 (en) | Method and system for protecting broadcast frame | |
CN115037504A (zh) | 通信方法及装置 | |
KR101837064B1 (ko) | 보안 통신 장치 및 방법 | |
KR20070031790A (ko) | 브로드캐스트 프레임 보호 방법 | |
Nawshin et al. | A Study of Security Protocols for Wireless Local Area Network | |
RATHNAKAR et al. | Wireless LAN Security–Challenges and Solutions | |
WO2012055171A1 (zh) | 通告式安全连接建立系统、方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20180105 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20190107 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20200103 Year of fee payment: 6 |