KR20160050928A - Method and Apparatus for Generating Data Packet Requiring Encryption in Short Distance Communications - Google Patents

Method and Apparatus for Generating Data Packet Requiring Encryption in Short Distance Communications Download PDF

Info

Publication number
KR20160050928A
KR20160050928A KR1020140150128A KR20140150128A KR20160050928A KR 20160050928 A KR20160050928 A KR 20160050928A KR 1020140150128 A KR1020140150128 A KR 1020140150128A KR 20140150128 A KR20140150128 A KR 20140150128A KR 20160050928 A KR20160050928 A KR 20160050928A
Authority
KR
South Korea
Prior art keywords
field
packet
data packet
payload
encryption
Prior art date
Application number
KR1020140150128A
Other languages
Korean (ko)
Other versions
KR102073552B1 (en
Inventor
김민형
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020140150128A priority Critical patent/KR102073552B1/en
Publication of KR20160050928A publication Critical patent/KR20160050928A/en
Application granted granted Critical
Publication of KR102073552B1 publication Critical patent/KR102073552B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • H04L49/9057Arrangements for supporting packet reassembly or resequencing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Abstract

Disclosed are a method and an apparatus for generating data packets requiring encryption in short-distance communication. According to an aspect of the present embodiment, provided is an apparatus which merges a plurality of data packets having the same packet header when encrypting and transmitting the data packets. An encryption apparatus for encrypting data packets in short-distance communication comprises a packet merging module, an encryption module, and a packet header generation module.

Description

근거리 통신에 있어 암호화가 필요한 데이터 패킷의 생성방법 및 장치{Method and Apparatus for Generating Data Packet Requiring Encryption in Short Distance Communications} [0001] The present invention relates to a method and apparatus for generating a data packet requiring encryption in short-

본 실시예는 근거리 통신에 있어서 암호화가 필요한 데이터 패킷을 생성하기 위한 방법 및 장치에 관한 것이다.The present embodiment relates to a method and apparatus for generating a data packet requiring encryption in short distance communication.

이 부분에 기술된 내용은 단순히 본 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.The contents described in this section merely provide background information on the present embodiment and do not constitute the prior art.

도 1는 기존의 근거리 통신의 암호화 시스템을 도시한 블럭도이다.FIG. 1 is a block diagram illustrating an existing short-range communication encryption system.

도 1를 참조하면, 송신 장치는 송신하고자 하는 데이터 패킷을 암호화하여 암호화된 데이터 패킷을 전송한다. 이는 송신 장치가 그대로 데이터 패킷을 전송한다면, 도청자에 의해 송신하는 데이터 패킷을 도청당할 우려가 있어, 근거리 통신 시스템은 전송하고자 하는 데이터를 암호화하기 위한 암호화 장치를 포함한다. 근거리 통신 암호화 시스템(100)은 근거리 통신 암호화 송신 장치(110) 및 근거리 통신 암호화 수신 장치(120)를 포함한다. Referring to FIG. 1, a transmitting apparatus transmits an encrypted data packet by encrypting a data packet to be transmitted. This is because if the transmitting apparatus transmits the data packet as it is, the data packet transmitted by the eavesdropper may be eavesdropped, and the local communication system includes an encrypting apparatus for encrypting the data to be transmitted. The local communication encryption system 100 includes a local communication encryption transmission apparatus 110 and a local communication encryption reception apparatus 120.

근거리 통신 암호화 송신 장치(110)는 근거리 통신 시스템의 전송 장치가 전송하고자 하는 일반 데이터 패킷을 수신하여, 암호화하는 장치를 가리킨다. 즉, 일반 데이터 패킷을 입력 받아, 이를 암호화하여 암호화된 데이터 패킷을 출력한다.The short-range communication encryption transmission apparatus 110 refers to a device that receives and encrypts a general data packet to be transmitted by a transmission apparatus of the short-range communication system. That is, it receives a general data packet, encrypts it, and outputs an encrypted data packet.

근거리 통신 암호화 수신 장치(120)는 근거리 통신 암호화 송신 장치가 출력한 암호화된 데이터 패킷을 수신하여 이를 복호화한다. 수신한 암호화된 데이터 패킷을 복호화하여, 근거리 통신 시스템의 전송 장치가 전송하고자 했던 일반 데이터 패킷을 얻는다.The local communication encryption receiving apparatus 120 receives the encrypted data packet output by the local communication encryption transmitting apparatus and decrypts the encrypted data packet. And decrypts the received encrypted data packet to obtain a general data packet that the transmission apparatus of the local area communication system intends to transmit.

도 2a는 기존의 MAC 프레임의 구성을 도시한 도면이고, 도 2b는 기존의 MACsec 프레임의 구성을 도시한 도면이다. FIG. 2A is a diagram illustrating a configuration of an existing MAC frame, and FIG. 2B is a diagram illustrating a configuration of an existing MACsec frame.

도 2a에 도시된 기존의 MAC(Media Access Control) 프레임(210)은 기존의 근거리 통신 시스템에서 전송 장치가 전송하고자 하는 일반 데이터 패킷의 일 예이다. 기존의 MAC 프레임(210)이 근거리 통신 암호화 송신 장치(110)에 의해 암호화되는 경우, 도 2b에 도시된 MACSec(MAC Security) 프레임(220)이 된다. 기존의 MACSec 프레임(220)은 기존의 MAC 프레임(210)과 대비할 때, SecTAG 필드(224)와 ICV(228)필드가 추가된다.The conventional MAC (Media Access Control) frame 210 shown in FIG. 2A is an example of a general data packet to be transmitted by a transmitting apparatus in a conventional short distance communication system. When the conventional MAC frame 210 is encrypted by the local communication encryption transmission apparatus 110, it becomes a MACSec (MAC Security) frame 220 shown in FIG. 2B. When the existing MACSec frame 220 is compared with the existing MAC frame 210, the SecTAG field 224 and the ICV 228 field are added.

SecTAG 필드(224)는 보안 태그 필드라고 하며, 송신되는 프레임이 MACSec 프레임임을 나타내는 역할을 한다. 송신되는 MACSec프레임의 프로토콜 버전을 결정하는데 사용될 수 있는 정보를 포함할 수 있으며, 무결성 검사 값 필드의 길이를 나타내는 정보를 포함할 수 있다. 또한 평문(Plaintext) 각각을 고유하게 만드는 역할을 하는 초기화 벡터(Initialization Vector)를 포함한다. SecTAG 필드는 8 또는 16 Byte의 크기를 가질 수 있다. The SecTAG field 224 is referred to as a security tag field, and serves to indicate that a frame to be transmitted is a MACSec frame. Information that can be used to determine the protocol version of the MACSec frame to be transmitted, and may include information indicating the length of the integrity check value field. It also includes an initialization vector that serves to make each plaintext unique. The SecTAG field may have a size of 8 or 16 Bytes.

ICV(Integrity Check Value) 필드(228)는 무결성 검사 값 필드라고 하며, 송신되는 MACSec프레임의 무결성을 확인하기 위한 역할을 하는 필드이다. 수신장치에서 상기 암호화된 데이터 패킷을 수신하면 암호화된 데이터 패킷을 복호화한 후에 ICV 필드(228) 값이 유효한지를 판단하여 복호화한 데이터 패킷의 무결성을 검사하게 된다. ICV 필드(228)는 8 또는 16 Byte의 크기를 가질 수 있다. 무결성을 확인하기 위해 인증 태그(Authentication Tag)를 포함한다.The ICV (Integrity Check Value) field 228 is referred to as an integrity check value field, and is a field for checking the integrity of the MACSec frame to be transmitted. Upon receipt of the encrypted data packet from the receiving device, it decrypts the encrypted data packet and determines whether the value of the ICV field 228 is valid, and checks the integrity of the decrypted data packet. The ICV field 228 may have a size of 8 or 16 Bytes. And includes an Authentication Tag to confirm integrity.

기존의 MAC 프레임을 암호화하여 전송하기 위해서는, 즉 MACSec 프레임은 매 프레임마다 SecTAG 필드와 ICV필드를 추가하여 암호화 정보를 추가하여 전송하여야 한다. 그러나 MACSec 프레임의 매 프레임마다 SecTAG 필드와 ICV 필드를 추가해야 한다면 전송효율이 떨어지게 된다. SecTAG 필드와 ICV 필드가 추가될 경우, 매 MACSec 프레임마다 최대 32 Byte가 증가하게 된다. 기 설정된 전송속도를 제공하는 근거리 통신 시스템에 있어서, 데이터 패킷을 암호화하면 기존의 데이터 패킷보다 패킷의 크기가 증가하게 되어, 암호화 장치가 암호화된 데이터 패킷을 한번에 전송하지 못하게 될 가능성이 있다. 이에 따라 암호화 장치에 오버헤드(Overhead)가 발생할 수 있어 전송효율이 떨어지는 문제점이 있다.In order to encrypt and transmit an existing MAC frame, i.e., a MACSec frame, a SecTAG field and an ICV field must be added to each frame to transmit encryption information. However, if the SecTAG field and the ICV field are added to every frame of the MACSec frame, the transmission efficiency is degraded. When the SecTAG field and the ICV field are added, a maximum of 32 bytes is increased for every MACSec frame. In a local area communication system providing a predetermined transmission rate, when a data packet is encrypted, the size of a packet increases compared to a conventional data packet, and there is a possibility that the encryption apparatus can not transmit the encrypted data packet at a time. Accordingly, an overhead may occur in the encryption apparatus, which results in a problem that the transmission efficiency is lowered.

본 실시예는, 데이터 패킷을 암호화하여 전송함에 있어, 동일한 패킷 헤더를 갖는 복수의 데이터 패킷을 병합하는 장치를 제공하는 데 주된 목적이 있다.The main object of the present embodiment is to provide an apparatus for merging a plurality of data packets having the same packet header in encrypting and transmitting data packets.

본 실시예의 일 측면에 의하면, 근거리 통신에서 데이터 패킷을 암호화하기 위한 암호화장치에 있어, 상기 암호화장치가 수신한 복수의 일반 데이터 패킷의 페이로드(Payload) 필드를 병합하여 병합 패킷 필드를 생성하는 패킷 병합모듈과 상기 패킷 병합모듈이 생성한 병합 패킷 필드를 수신하여 암호화하는 암호화모듈 및 상기 암호화모듈이 암호화한 병합 패킷 필드를 포함하는 데이터 패킷에 암호화한 데이터 패킷임을 나타내는 패킷 헤더를 추가하는 패킷헤더 생성모듈을 포함하는 것을 특징으로 하는 암호화장치를 제공한다.According to an aspect of the present invention, there is provided an encryption apparatus for encrypting a data packet in a short distance communication, the encryption apparatus comprising: a packet generation unit for generating a merge packet field by merging a payload field of a plurality of general data packets received by the encryption apparatus; A packet generation unit for generating a packet header for adding a packet header indicating a data packet encrypted to a data packet including a merge packet field encrypted by the encryption module; And an encryption module.

본 실시예의 다른 측면에 의하면, 근거리 통신에서 데이터 패킷을 암호화하는 방법에 있어서, 일반 데이터 패킷을 수신하여 수신한 일반 데이터 패킷이 기 설정된 조건을 만족하는지 여부를 판단하는 단계와 상기 일반 데이터 패킷이 상기 기 설정된 조건을 만족하지 않는 경우, 복수의 일반 데이터 패킷의 페이로드 필드를 상기 기 설정된 조건에 만족할 때까지 병합하는 단계와 병합한 복수의 페이로드 필드를 암호화하는 단계 및 암호화한 복수의 페이로드 필드를 포함하는 데이터 패킷에 암호화된 데이터 패킷임을 나타내는 패킷 헤더를 추가하는 단계를 포함하는 것을 특징으로 하는 암호화방법을 제공한다.According to another aspect of the present invention, there is provided a method of encrypting a data packet in short range communication, the method comprising: determining whether a general data packet received by receiving a general data packet satisfies a preset condition; Merging a payload field of a plurality of general data packets until a predetermined condition is satisfied, encrypting a plurality of payload fields merged with a payload field of a plurality of general data packets, And adding a packet header indicating that the data packet is an encrypted data packet.

또한, 본 실시예의 다른 측면에 의하면, 근거리 통신에서 데이터 패킷을 암호화하기 위한 암호화 시스템에 있어서, 수신한 데이터 패킷을 암호화하여 암호화된 데이터 패킷을 전송하는 암호화장치 및 상기 암호화장치가 전송하는 암호화된 데이터 패킷을 수신하여 복호화하는 복호화장치를 포함하되, 상기 암호화된 데이터 패킷은, 패킷 헤더 필드와 상기 데이터 패킷을 수신할 노드를 식별하는데 사용될 수 있는 정보를 포함하는 DA(Destination Address)필드와 상기 데이터 패킷을 발생시키는 노드를 확인하는데 사용될 수 있는 정보를 포함하는 SA(Source Address) 필드와 암호화 및 복호화에 관한 정보를 포함하며, 상기 데이터 패킷의 종류를 나타내는 SecHeader 필드와 복수의 데이터 패킷의 페이로드 필드를 병합하여 생성한 병합 패킷 필드와 상기 복호화장치가 복호화한 데이터 패킷의 무결성을 확인하기 위한 ICV(Integrity Check Value) 필드와 상기 송신되는 데이터 패킷이 문제가 있는지 없는지 검사하기 위한 FCS(frame Check Sequence) 필드 및 복수의 데이터 패킷 사이에 일정한 시간을 두기 위해 규정된 IFG(Inter Frame Gap) 필드를 포함하는 것을 특징으로 하는 암호화 시스템을 제공한다.According to another aspect of the present invention, there is provided an encryption system for encrypting a data packet in a short distance communication, the encryption system comprising: an encrypting device for encrypting a received data packet to transmit an encrypted data packet; Wherein the encrypted data packet includes a packet header field, a destination address (DA) field including information that can be used to identify a node to receive the data packet, and a decryption device that decrypts the data packet (SA) field including information that can be used to identify a node that generates a payload field, and encryption and decryption information, and includes a SecHeader field indicating the type of the data packet and a payload field of a plurality of data packets A merge packet field generated by merging a merge packet field An ICV (Integrity Check Value) field for confirming the integrity of the decoded data packet, a frame check sequence (FCS) field for checking whether the transmitted data packet has a problem and a predetermined time And an IFG (Inter Frame Gap) field defined therein.

이상에서 설명한 바와 같이 본 실시예에 의하면, 동일한 패킷 헤더를 갖는 복수의 데이터 패킷을 병합함으로써, 프로토콜의 변경 없이도 암호화 장치에 발생하는 오버헤드를 줄여 전송효율을 높일 수 있다.As described above, according to this embodiment, by merging a plurality of data packets having the same packet header, it is possible to reduce the overhead incurred in the encryption apparatus without changing the protocol, thereby increasing the transmission efficiency.

도 1은 기존의 근거리 통신의 암호화 시스템을 도시한 블럭도이다
도 2a는 기존의 MAC 프레임의 구성을 도시한 도면이다.
도 2b는 기존의 MACSec 프레임의 구성을 도시한 도면이다.
도 3a는 본 발명의 일 실시예에 따른 암호화 장치의 구성을 도시한 블럭도이다.
도 3b는 본 발명의 일 실시예에 따른 복호화 장치의 구성을 도시한 블럭도이다.
도 4는 본 발명의 일 실시예에 따른 MACSec 프레임의 구성을 도시한 도면이다.
도 5는 본 발명의 일 실시예에 따른 암호화된 데이터 패킷을 생성하는 방법을 도식적으로 나타낸 순서도이다.1 is a block diagram showing an existing short-distance communication encryption system
2A is a diagram illustrating a configuration of an existing MAC frame.
2B is a diagram showing a configuration of an existing MACSec frame.
FIG. 3A is a block diagram illustrating a configuration of an encryption apparatus according to an embodiment of the present invention.
FIG. 3B is a block diagram illustrating a configuration of a decoding apparatus according to an embodiment of the present invention. Referring to FIG.
4 is a diagram illustrating a configuration of a MACSec frame according to an embodiment of the present invention.
5 is a flow diagram schematically illustrating a method of generating an encrypted data packet according to an embodiment of the present invention.

이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.Hereinafter, some embodiments of the present invention will be described in detail with reference to exemplary drawings. It should be noted that, in adding reference numerals to the constituent elements of the drawings, the same constituent elements are denoted by the same reference symbols as possible even if they are shown in different drawings. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 '포함', '구비'한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 '…부', '모듈' 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.In describing the components of the present invention, terms such as first, second, A, B, (a), and (b) may be used. These terms are intended to distinguish the constituent elements from other constituent elements, and the terms do not limit the nature, order or order of the constituent elements. Throughout the specification, when an element is referred to as being "comprising" or "comprising", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise . In addition, '... Quot ;, " module ", and " module " refer to a unit that processes at least one function or operation, and may be implemented by hardware or software or a combination of hardware and software.

도 3a는 본 발명의 일 실시예에 따른 암호화 장치의 구성을 도시한 블럭도이다.FIG. 3A is a block diagram illustrating a configuration of an encryption apparatus according to an embodiment of the present invention.

도 3a를 참조하면, 본 발명의 일 실시예에 따른 암호화 장치는 패킷병합 계산모듈(310), 패킷 병합모듈(320), 암호화모듈(330) 및 패킷헤더 생성모듈(340)을 포함한다.3A, an encryption apparatus according to an exemplary embodiment of the present invention includes a packet merge calculation module 310, a packet merge module 320, an encryption module 330, and a packet header generation module 340.

패킷병합 계산모듈(310)은 암호화되지 않은 일반 데이터 패킷을 수신하여 패킷을 통합할지 여부를 결정하여 패킷 병합모듈(320) 및 암호화모듈(330)에 각각 필요한 신호를 전송하는 역할을 한다. The packet merge calculation module 310 determines whether to integrate the packet by receiving the unencrypted general data packet and transmits the necessary signals to the packet merge module 320 and the encryption module 330, respectively.

수신한 일반 데이터 패킷의 길이가 기 설정된 길이 이상인 경우, 패킷 병합모듈(320)이 복수의 데이터 패킷을 병합하지 않도록 제어하는 신호를 패킷 병합모듈(320)에 송신한다. 또한 병합되지 않은 하나의 데이터 패킷만을 암호화하도록 암호화모듈에 암호화 단위의 제어신호를 송신한다.When the length of the received general data packet is equal to or longer than a predetermined length, the packet merge module 320 transmits a signal for controlling the packet merge module 320 to not merge the plurality of data packets. And transmits a control unit of a cryptographic unit to the cryptographic module so as to encrypt only one data packet not merged.

수신한 일반 데이터 패킷의 길이가 기 설정된 길이보다 작고, 일반 데이터 패킷 간의 시간 간격이 작은 경우, 패킷을 기 설정된 길이 이상이 될 때까지 병합하도록 제어하는 신호를 패킷 병합모듈에 송신한다. 또한 병합된 복수의 데이터 패킷 모두를 암호화하도록 암호화 모듈에 암호화 단위의 제어신호를 송신한다.When the length of the received general data packet is smaller than the predetermined length and the time interval between general data packets is small, the signal for controlling merging is transmitted to the packet merge module. And also transmits a control unit of the encryption unit to the encryption module so as to encrypt all of the merged plural data packets.

패킷 병합모듈(320)은 패킷병합 계산모듈로부터 수신한 신호를 이용하여 수신한 일반 데이터 패킷의 페이로드(Payload) 필드을 병합하는 역할을 한다. 각각의 패킷의 페이로드 필드를 병합하여 하나의 병합된 페이로드 필드를 생성한다. The packet merge module 320 merges the payload field of the received general data packet using the signal received from the packet merge calculation module. The payload fields of each packet are merged to create a merged payload field.

패킷병합 계산모듈로부터 병합하도록 제어하는 신호를 수신하는 경우, 앞선 과정을 거쳐 복수의 일반 데이터 패킷의 페이로드 필드를 병합하여 병합된 페이로드 필드를 생성한다. 반대로 패킷병합 계산모듈로부터 병합하지 않도록 제어하는 신호를 수신한 경우, 수신한 일반 데이터 패킷을 그대로 암호화모듈에 전달한다.When receiving a signal to be merged from the packet merge calculation module, the payload field of a plurality of general data packets is merged through the above process to generate a merged payload field. Conversely, when receiving a signal for controlling not to merge from the packet merge calculation module, the received general data packet is directly transmitted to the encryption module.

암호화모듈(330)은 패킷병합 계산모듈로부터 수신한 신호를 이용하여 수신한 데이터 패킷을 암호화하는 역할을 한다. 데이터 패킷의 페이로드 필드를 암호화하며, 무결성을 확인하기 위한 인증 정보를 생성한다. 패킷병합 계산모듈로부터 수신한 암호화 단위의 제어신호에 따라 하나의 페이로드 필드 또는 병합된 복수의 페이로드 필드를 암호화한다. The encryption module 330 encrypts the received data packet using the signal received from the packet merge calculation module. Encrypts the payload field of the data packet, and generates authentication information for confirming integrity. And encrypts one payload field or a plurality of merged payload fields according to the control signal of the encryption unit received from the packet merge calculation module.

패킷헤더 생성모듈(340)은 암호화된 데이터 패킷의 형태를 갖도록 패킷헤더를 생성한다. 패킷헤더 생성모듈(340)은 암호화된 데이터 패킷임을 나타내도록 일반 데이터 패킷의 패킷 헤더에 암호화 장치와 복호화 장치가 공유하는 암호화 정보를 포함하는 필드를 추가하여 암호화된 패킷의 헤더를 생성한다.The packet header generation module 340 generates a packet header so as to have the form of an encrypted data packet. The packet header generation module 340 generates a header of the encrypted packet by adding a field including encryption information shared by the encryption apparatus and the decryption apparatus to the packet header of the general data packet to indicate that the packet is an encrypted data packet.

도 3b는 본 발명의 일 실시예에 따른 복호화 장치의 구성을 도시한 블럭도이다.FIG. 3B is a block diagram illustrating a configuration of a decoding apparatus according to an embodiment of the present invention. Referring to FIG.

도 3b를 참조하면, 본 발명의 일 실시예에 따른 복호화 장치(350)는 패킷헤더 분석모듈(360), 복호화모듈(370) 및 패킷 분리모듈(380)을 포함한다.3B, a decoding apparatus 350 according to an embodiment of the present invention includes a packet header analysis module 360, a decoding module 370, and a packet separation module 380. [

패킷헤더 분석모듈(360)은 암호화 장치로부터 수신한 암호화된 데이터 패킷을 분석하는 역할을 한다. 암호화된 데이터 패킷의 패킷 헤더 필드, 페이로드 필드, 인증 정보를 포함하고 있는 필드 및 기타 필드 각각을 분석한다. 패킷 헤더 필드로부터 암호화 장치와 복호화 장치가 공유하는 암호화 정보를 분석한다. The packet header analysis module 360 analyzes the encrypted data packet received from the encryption device. The packet header field, the payload field, the field containing the authentication information, and other fields of the encrypted data packet are analyzed. And analyzes the encryption information shared by the encryption apparatus and the decryption apparatus from the packet header field.

복호화모듈(370)은 패킷헤더 분석모듈로부터 수신한 암호화 정보를 이용하여 암호화된 페이로드 필드를 복호화하는 역할을 한다. 패킷헤더 분석모듈이 분석하여 송신한 암호화정보를 이용하여 암호화된 페이로드 필드를 복호화한다. 이때, 복호화모듈은 암호화된 데이터 패킷에 포함된 인증 정보를 포함하고 있는 필드 값이 유효한지를 판단하여 복호화한 페이로드 필드의 무결성을 검사한다. 이로부터 복호화가 정확하게 되었는지 여부를 판단할 수 있다. The decryption module 370 decrypts the encrypted payload field using the encryption information received from the packet header analysis module. And decrypts the encrypted payload field using the encrypted information analyzed and transmitted by the packet header analysis module. At this time, the decryption module determines whether the field value including the authentication information included in the encrypted data packet is valid, and checks the integrity of the decrypted payload field. From this, it can be determined whether or not the decoding is correct.

복호화모듈은 암호화 장치로부터 수신한 암호화된 데이터 패킷이 병합되지 않은 페이로드 필드를 갖는 데이터 패킷이라면, 복호화모듈의 복호화로부터 일반 데이터 패킷을 획득할 수 있다.The decryption module may obtain a generic data packet from the decryption of the decryption module if the encrypted data packet received from the encryption device is a data packet with a payload field that is not merged.

복호화모듈은 암호화 장치로부터 수신한 암호화된 데이터 패킷이 복수의 페이로드 필드가 병합된 데이터 패킷이라면, 병합된 페이로드 필드 전체를 복호화한다.The decryption module decrypts the entire merged payload field if the encrypted data packet received from the encryption device is a data packet in which a plurality of payload fields are merged.

패킷 분리모듈(380)은 복호화모듈이 복호화한 병합된 페이로드 필드를 분리하는 역할을 한다. 복호화모듈로부터 복호화한 병합된 페이로드 필드를 수신하여, 이를 각각의 일반 페이로드 필드로 분리한다.The packet separation module 380 separates the merged payload field decoded by the decoding module. Receives the decoded payload field decoded from the decoding module, and separates the merged payload field into a respective general payload field.

도 3a에 도시된 암호화장치 및 도 3b에 도시된 복호화장치에 포함된 각 구성요소는 장치 내부의 소프트웨어적인 모듈 또는 하드웨어적인 모듈을 연결하는 통신 경로에 연결되어 상호 간에 유기적으로 동작한다. 이러한 구성요소는 하나 이상의 통신 버스 또는 신호선을 이용하여 통신한다.Each of the components included in the encryption apparatus shown in FIG. 3A and the decryption apparatus shown in FIG. 3B is connected to a communication path connecting a software module or a hardware module in the apparatus and operates organically with each other. These components communicate using one or more communication buses or signal lines.

도 4는 본 발명의 일 실시예에 따른 MACSec 프레임의 구성을 도시한 도면이다.4 is a diagram illustrating a configuration of a MACSec frame according to an embodiment of the present invention.

도 4를 참조하면, 기존의 복수의 MAC 프레임(220, 225)이 병합된 본 발명의 일 실시예에 따른 MACSec 프레임(400)은 다음의 필드를 포함할 수 있다.Referring to FIG. 4, a MACSec frame 400 according to an embodiment of the present invention in which a plurality of existing MAC frames 220 and 225 are merged may include the following fields.

Pre(Preamble, 402) 필드는 프레임 전송의 시작을 나타내는 필드로서, 10101010(1byte)이 반복되는 7 Byte(10101010 101010......)의 크기를 갖는다. 수신 장치에 프레임이 전송된다는 것을 알리고 0과 1을 제대로 구분할 수 있게 동기신호를 제공하는 역할을 한다.The Pre (Preamble) field has a size of 7 bytes (10101010 101010, ...) in which 10101010 (1 byte) is repeated. Notifies the receiving apparatus that the frame is transmitted, and serves to provide a synchronization signal so as to properly distinguish between 0 and 1.

SOF(Start of Frame Delimiter, 404) 필드는 프레임 개시 필드로서, 프리앰블 필드의 뒤에 이어지는 1 Byte의 크기를 갖는 필드로 프레임의 시작을 알리는 역할을 한다.The Start of Frame Delimiter (SOF) field 404 is a field for starting a frame, and is a field having a size of 1 Byte following the preamble field to notify the start of a frame.

DA(Destination Address, 406) 필드는 MAC 프레임을 수신할 노드를 식별하는데 사용될 수 있는 정보를 포함하는 필드로 6 Byte의 크기를 갖는다.A field DA (Destination Address) 406 includes information that can be used to identify a node to receive a MAC frame, and has a size of 6 bytes.

SA(Source Address, 408) 필드는 MAC 프레임을 발생시키는 노드를 확인하는데 사용될 수 있는 정보를 포함하는 필드로 6 Byte의 크기를 갖는다.The SA (Source Address) field 408 includes a field including information that can be used to identify a node generating a MAC frame, and has a size of 6 bytes.

DA 필드와 SA 필드는 추가적 인증 데이터(AAD: Additional Authenticated Data) 정보를 포함한다. 다만, 병합된 모든 이더넷(Ethernet) 패킷 필드가 동일한 DA 및 SA 필드를 갖는다면, 이더넷 패킷 내의 DA 필드와 SA 필드로 DA(406) 필드와 SA(408) 필드를 대체할 수 있다. 즉, DA(406) 필드와 SA(408) 필드를 대체함으로써, MACSec 프레임의 크기를 보다 줄여 전송 효율을 높일 수 있다.The DA field and the SA field include additional authentication data (AAD) information. However, if all of the merged Ethernet packet fields have the same DA and SA fields, the DA field 406 and SA field 408 can be replaced with the DA field and the SA field in the Ethernet packet. That is, by replacing the DA (406) field and the SA (408) field, the MACSec frame size can be further reduced to improve the transmission efficiency.

SecHeader(Security Header, 410) 필드는 수신한 MACSec 프레임의 종류를 나타내는 역할을 한다. 본 발명의 일 실시예에 따라 병합된 MACSec 프레임의 종류를 신규로 정의하여 수신한 프레임이 어떠한 종류의 MACSec 프레임인지 여부를 판단한다. 또한 평문 각각을 고유하게 만드는 역할을 하는 초기화 벡터(Initialization Vector)를 포함한다. SecHeader(410) 필드는 송신되는 MACSec 프레임의 프로토콜 버전을 결정하는데 사용될 수 있는 정보를 포함할 수 있으며, ICV 필드의 길이를 나타내는 정보를 포함할 수 있다. A SecHeader (Security Header) field 410 serves to indicate the type of the received MACSec frame. According to an exemplary embodiment of the present invention, a type of a merged MACSec frame is newly defined, and it is determined whether a received frame is a MACSec frame of a certain type. It also includes an initialization vector that serves to make each plain text unique. The SecHeader 410 field may contain information that can be used to determine the protocol version of the MACSec frame to be transmitted and may include information indicating the length of the ICV field.

T(Tag, 412) 필드는 복수의 이더넷 패킷 필드 각각에 포함된 DA 필드 및 SA 필드의 포함 여부를 나타내는 역할을 한다. 복수의 이더넷 패킷 필드 중에서 이더넷 패킷 필드 내에 포함된 DA 필드 및 SA 필드의 값이 동일한 이더넷 패킷 필드가 존재할 수 있고, 동일한 DA 필드 및 SA 필드의 값을 갖는 두 번째 이후의 이더넷 패킷 필드는 DA 필드 및 SA 필드를 제외할 수 있다. 이에 따라 이더넷 패킷 필드는 이더넷 패킷 필드 내에 DA 필드 및 SA 필드를 갖는 필드와 DA 필드 및 SA 필드를 가지지 않는 필드로 구분되는데, T 필드는 이를 서로 구분하기 위해 존재한다. 즉, T 필드로부터 이더넷 패킷 필드 내에 DA 필드 및 SA 필드가 포함되었는지 여부를 파악할 수 있다.The T (Tag) field 412 indicates whether the DA field and the SA field included in each of the plurality of Ethernet packet fields are included. Of the plurality of Ethernet packet fields, an Ethernet packet field having the same value of the DA field and the SA field contained in the Ethernet packet field may exist, and the second and subsequent Ethernet packet fields having the same values of the DA field and the SA field may include a DA field, The SA field can be excluded. Accordingly, the Ethernet packet field is divided into a field having a DA field and an SA field, and a field having no DA field and an SA field in an Ethernet packet field. That is, it can be determined from the T field whether or not the DA field and the SA field are included in the Ethernet packet field.

L(Length, 414) 필드는 이더넷 패킷 필드의 길이를 나타내는 역할을 한다. The L (Length, 414) field indicates the length of the Ethernet packet field.

이더넷 패킷 필드(416)는 암호화장치가 수신한 MAC 프레임의 DA 필드, SA 필드 및 MSDU(MAC Service Data Unit) 필드를 포함한다. MSDU 필드는 MAC 계층의 상위계층으로부터 수신한 데이터 패킷을 포함하고 있는 필드로서, 암호화장치가 복호화장치로 전송하고자 하는 데이터를 포함하고 있는 필드에 해당한다. The Ethernet packet field 416 includes the DA field, the SA field, and the MAC Service Data Unit (MSDU) field of the MAC frame received by the encryption apparatus. The MSDU field is a field containing a data packet received from an upper layer of the MAC layer, and corresponds to a field including data to be transmitted to the decryption apparatus by the encryption apparatus.

앞선 언급대로 이더넷 패킷 필드는 이더넷 패킷 필드 내에 포함된 DA 필드 및 SA 필드의 값이 앞선 이더넷 패킷 필드의 그것과 동일한 경우, DA 필드 및 SA 필드를 제외할 수 있다. 이더넷 패킷 필드 내의 DA 필드 및 SA 필드를 제외할 수 있기 때문에, 이더넷 패킷 필드는 48 Byte부터 1512 Byte의 크기를 가질 수 있다. As mentioned above, the Ethernet packet field may exclude the DA field and the SA field when the values of the DA field and the SA field included in the Ethernet packet field are the same as those of the Ethernet packet field. Since the DA field and the SA field in the Ethernet packet field can be excluded, the Ethernet packet field can have a size of 48 bytes to 1512 bytes.

ICV(Integrity Check Value, 418) 필드는 무결성 검사 값 필드로서, 무결성을 확인하기 위해 인증 태그(Authentication Tag)를 포함할 수 있다. ICV 필드에 포함된 인증 태그 값을 이용해 유효한지 여부를 판단하여 수신장치가 복호화한 데이터 패킷의 무결성을 검사한다.The ICV (Integrity Check Value, 418) field is an integrity check value field, and may include an authentication tag for verifying integrity. It is determined by using the authentication tag value included in the ICV field whether it is valid or not, and the integrity of the data packet decrypted by the receiving apparatus is checked.

FCS(Frame Check Sequence, 420) 필드는 오류를 검사하기 위한 필드로서, 전송된 프레임이 문제가 있는지 없는지 검사하는 역할을 한다. FCS 필드는 4 Byte의 크기를 갖는다.The FCS (Frame Check Sequence) field 420 is a field for checking errors and serves to check whether there is a problem in the transmitted frame. The FCS field has a size of 4 bytes.

IFG(Inter Frame Gap, 422) 필드는 프레임 사이에 일정한 시간을 두기 위해 규정된 필드로서, 프레임의 송신을 완료한 장치는 연속으로 프레임을 전송하지 못하고, 특정한 시간으로 정의된 시간 이후에만 다시 송신할 수 있도록 규정되어 있다. IFG(422) 필드는 12 Byte 이상의 크기를 갖는다.The IFG (Inter Frame Gap) field 422 is a field defined for setting a certain time interval between frames. A device that has completed transmission of a frame can not transmit a frame continuously, but transmits again after a time defined by a specific time . The IFG 422 field has a size of 12 bytes or more.

병합 패킷(430) 필드는 복수의 이더넷 패킷 필드와 각각의 이더넷 패킷 필드의 성질을 나타내는 T 필드 및 L 필드를 포함하는 필드를 의미한다. The merge packet 430 field indicates a field including a T field and an L field indicating the properties of a plurality of Ethernet packet fields and respective Ethernet packet fields.

본 발명의 일 실시예에 따른 MACSec 프레임(400)을 도 3a에 도시된 암호화장치와 대응하여 설명하면 다음과 같다.A MACSec frame 400 according to an embodiment of the present invention will be described in correspondence with the encryption apparatus shown in FIG. 3A as follows.

패킷 병합모듈(320)은 패킷병합 계산모듈(310)로부터 데이터 패킷의 병합신호를 수신하는 경우, 암호화장치가 수신한 복수의 MAC 프레임 각각의 DA 필드, SA 필드 및 MSDU 필드를 병합한 복수의 이더넷 패킷 필드와 각각의 이더넷 패킷 필드의 성질을 나타낸 T 필드 및 L 필드를 포함하는 병합 패킷(430)을 생성한다. 이때, 각각의 이더넷 패킷 필드의 DA 필드는 SA 필드 존재할 수도 있고, 제외되었을 수 있다.When receiving the merge signal of the data packet from the packet merge calculation module 310, the packet merge module 320 may include a plurality of Ethernet A merge packet 430 including a packet field and a T field and an L field indicating the properties of each Ethernet packet field is generated. At this time, the DA field of each Ethernet packet field may or may not be an SA field.

암호화모듈(330)은 패킷 병합모듈(320)로부터 생성된 병합 모듈(430)을 수신하여 병합 모듈의 이더넷 패킷 필드를 암호화한다. 암호화 모듈(330)은 이더넷 패킷 필드를 암호화하며, ICV(418) 필드를 생성한다.The encryption module 330 receives the merge module 430 generated from the packet merge module 320 and encrypts the Ethernet packet field of the merge module. Encryption module 330 encrypts the Ethernet packet field and generates an ICV 418 field.

패킷헤더 생성모듈(340)은 MACSec 프레임의 헤더에 SecHeader(410) 필드를 추가함으로써 본 발명의 일 실시예에 따른 MACSec 프레임(400)을 생성한다.The packet header generation module 340 generates a MACSec frame 400 according to an embodiment of the present invention by adding a SecHeader field 410 to the header of the MACSec frame.

도 4를 설명함에 있어, 본 발명을 편의상 근거리 통신을 이더넷으로 한정하여 이더넷의 MAC 프레임으로 데이터 패킷을 한정하여 설명을 하고 있으나, 반드시 이에 한정하는 것은 아니고 근거리 통신의 모든 데이터 패킷에 적용 가능하다.In the description of FIG. 4, the present invention is limited to a Ethernet frame for Ethernet communication to restrict the data packet to an Ethernet MAC frame. However, the present invention is not limited to this and is applicable to all data packets of short-distance communication.

도 5는 본 발명의 일 실시예에 따른 암호화된 데이터 패킷을 생성하는 방법을 도식적으로 나타낸 순서도이다.5 is a flow diagram schematically illustrating a method of generating an encrypted data packet according to an embodiment of the present invention.

수신한 데이터 패킷이 기 설정된 조건을 만족하는지 여부를 판단한다(S510). 암호화 장치가 수신한 일반 데이터 패킷이 기 설정된 조건을 만족하는지 여부를 판단한다. 여기서, 기 설정된 조건은 수신한 일반 데이터 패킷의 길이가 기 설정된 길이보다 작은지 여부, 패킷 간의 시간간격이 기 설정된 기준 이하인지 여부를 판단하고, 병합된 패킷이 수신된 경우 전술한 조건에 더불어 병합된 패킷이 최초 병합을 시작한 시간으로부터 기 설정된 시간이 지나지 않았는지 여부도 함께 판단할 수 있다.It is determined whether the received data packet satisfies a predetermined condition (S510). It is determined whether the general data packet received by the encryption apparatus satisfies a predetermined condition. Here, the predetermined condition is to determine whether or not the length of the received general data packet is smaller than a predetermined length, whether the time interval between packets is less than a predetermined criterion, and when the merged packet is received, It is also possible to determine whether or not a predetermined time has passed from the time at which the first packet was merged.

수신한 데이터 패킷이 기 설정된 조건을 만족하는 경우, 복수의 데이터 패킷을 병합한다(S520). 일반 데이터 패킷의 길이가 기 설정된 길이보다 작고 패킷 간의 시간간격이 기 설정된 기준보다 짧은 경우, 기 설정된 길이를 만족할 때까지 일반 데이터 패킷을 병합할 수 있다. 이때, 병합된 패킷이 기 설정된 길이를 넘어가거나 최초 병합을 시작한 시간으로부터 일정 시간이 지난 경우에도 병합을 중지한다.If the received data packet satisfies the predetermined condition, the plurality of data packets are merged (S520). If the length of the general data packet is less than the predetermined length and the time interval between the packets is shorter than the preset reference, the general data packet can be merged until the predetermined length is satisfied. At this time, the merging is stopped even if the merged packet exceeds a predetermined length or a predetermined time elapses from the time when the first merging is started.

데이터 패킷을 암호화한다(S530). 수신한 데이터 패킷이 기 설정된 조건을 만족하여 병합한 데이터 패킷이나 기 설정된 조건을 만족하지 않은 수신한 데이터 패킷을 암호화하며, 무결성을 확인하기 위한 인증 정보를 생성하여 데이터 패킷에 포함시킬 수 있다.The data packet is encrypted (S530). It is possible to encrypt a data packet in which the received data packet satisfies a predetermined condition and a received data packet that does not satisfy the predetermined condition, and generate authentication information for confirming the integrity of the data packet.

암호화한 데이터 패킷임을 나타내는 패킷 헤더를 생성한다(S540). 패킷 헤더를 생성함에 있어 패킷 헤더에 암호화한 데이터 패킷이 병합한 데이터 패킷임을 나타내는 정보를 포함할 수 있다.And generates a packet header indicating that the packet is an encrypted data packet (S540). In generating the packet header, the packet header may include information indicating that the encrypted data packet is a merged data packet.

도 5에서는 과정 S510 내지 과정 S540을 순차적으로 실행하는 것으로 기재하고 있으나, 이는 본 발명의 일 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것이다. 다시 말해, 본 발명의 일 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 일 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 도 5에 기재된 순서를 변경하여 실행하거나 과정 S510 내지 과정 S540 중 하나 이상의 과정을 병렬적으로 실행하는 것으로 다양하게 수정 및 변형하여 적용 가능할 것이므로, 도 5는 시계열적인 순서로 한정되는 것은 아니다.Although it is described in FIG. 5 that the processes S510 to S540 are sequentially executed, this is merely illustrative of the technical idea of the embodiment of the present invention. In other words, those skilled in the art will understand that one of the processes from S510 to S540 may be performed by changing the order described in FIG. 5 without departing from the essential characteristics of an embodiment of the present invention. It is to be noted that FIG. 5 is not limited to the time-series order, since various modifications and variations can be made by executing the above-described processes in parallel.

한편, 도 5에 도시된 과정들은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 즉, 컴퓨터가 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등) 및 캐리어 웨이브(예를 들면, 인터넷을 통한 전송)와 같은 저장매체를 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.Meanwhile, the processes shown in FIG. 5 can be implemented as computer-readable codes on a computer-readable recording medium. A computer-readable recording medium includes all kinds of recording apparatuses in which data that can be read by a computer system is stored. That is, a computer-readable recording medium includes a magnetic storage medium (e.g., ROM, floppy disk, hard disk, etc.), an optical reading medium (e.g., CD ROM, And the like). The computer-readable recording medium may also be distributed over a networked computer system so that computer readable code can be stored and executed in a distributed manner.

이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The foregoing description is merely illustrative of the technical idea of the present embodiment, and various modifications and changes may be made to those skilled in the art without departing from the essential characteristics of the embodiments. Therefore, the present embodiments are to be construed as illustrative rather than restrictive, and the scope of the technical idea of the present embodiment is not limited by these embodiments. The scope of protection of the present embodiment should be construed according to the following claims, and all technical ideas within the scope of equivalents thereof should be construed as being included in the scope of the present invention.

100: 근거리 통신 암호화 시스템 110: 암호화장치
120: 복호화장치 210, 215: MAC 프레임
220: MACSec 프레임 224: SecTag 필드
228: ICV 필드 300: 암호화장치
310: 패킷병합 계산모듈 320: 패킷 병합모듈
330: 암호화모듈 340: 패킷헤더 생성모듈
350: 복호화장치 360: 패킷헤더 분석모듈
370: 복호화모듈 380: 패킷 분리모듈
400: MACSec 프레임 402: Pre 필드
404: SOF 필드 406: DA 필드
408: SA 필드 410: SecHeader 필드
412: T 필드 414: L 필드
416: 이더넷 패킷 필드 418: ICV 필드
420: FCS 필드 422: IFG 필드
430: 병합 패킷100: Local area communication encryption system 110: Encryption device
120: Decryption apparatus 210, 215: MAC frame
220: MACSec frame 224: SecTag field
228: ICV field 300: Encryption device
310: Packet merge calculation module 320: Packet merge module
330: Encryption module 340: Packet header generation module
350: Decryption unit 360: Packet header analysis module
370: Decryption module 380: Packet separation module
400: MACSec frame 402: Pre field
404: SOF field 406: DA field
408: SA field 410: SecHeader field
412: T field 414: L field
416: Ethernet packet field 418: ICV field
420: FCS field 422: IFG field
430: Merge packet

Claims (10)

근거리 통신에서 데이터 패킷을 암호화하기 위한 암호화장치에 있어,
상기 암호화장치가 수신한 복수의 데이터 패킷의 페이로드(Payload) 필드를 병합하여 병합 패킷 필드를 생성하는 패킷 병합모듈;
상기 병합 패킷 필드를 수신하고 이를 암호화하여 암호화된 병합 패킷 필드를 생성하는 암호화모듈; 및
상기 암호화된 병합 패킷 필드를 포함하는 데이터 패킷에 상기 암호화된 데이터 패킷임을 나타내는 패킷 헤더를 추가하여 패킷헤더를 생성하는 패킷헤더 생성모듈
을 포함하는 것을 특징으로 하는 암호화장치.In a cryptographic apparatus for encrypting data packets in short range communication,
A packet merge module for merging a payload field of a plurality of data packets received by the encryption device to generate a merge packet field;
An encryption module for receiving the merge packet field and encrypting it to generate an encrypted merge packet field; And
A packet header generation module for generating a packet header by adding a packet header indicating the encrypted data packet to a data packet including the encrypted merge packet field,
And an encryption unit. 제1항에 있어서,
상기 데이터 패킷이 기 설정된 조건을 만족하는 지에 따라 상기 패킷 병합모듈이 상기 복수의 데이터 패킷의 페이로드 필드를 병합할지 여부를 제어하는 신호를 생성하고,
상기 병합 패킷 필드에 포함된 상기 복수의 데이터 패킷의 페이로드 필드 모두를 암호화하도록 상기 암호화 모듈에 암호화 단위의 제어신호를 전송하는 패킷병합 계산모듈을 더 포함하는 것을 특징으로 하는 암호화장치.The method according to claim 1,
Wherein the packet merge module generates a signal for controlling whether or not to merge the payload field of the plurality of data packets according to whether the data packet satisfies a predetermined condition,
Further comprising a packet merge calculation module for transmitting a control signal of an encryption unit to the encryption module so as to encrypt all the payload fields of the plurality of data packets included in the merge packet field. 제2항에 있어서,
상기 기 설정된 조건은,
상기 데이터 패킷의 길이가 기 설정된 길이보다 작은지 여부, IFG(Inter Frame Gap)의 시간이 기 설정된 기준보다 작은지 여부 및 패킷의 최초 병합으로부터 기 설정된 시간 이내의 패킷을 병합하지 못하였는지 여부 중 적어도 어느 하나를 판단하는 것을 특징으로 하는 암호화장치3. The method of claim 2,
Preferably,
Whether or not the length of the data packet is less than a predetermined length, whether the time of the IFG (Inter Frame Gap) is less than a preset reference, and whether packets within a predetermined time from the initial merging of the packets can not be merged And judges which one of the encryption keys 제1항에 있어서,
상기 페이로드 필드는,
상기 복수의 데이터 패킷 중에서 페이로드 필드에 포함된 DA(Destination Address) 필드 및 SA(Source Address) 필드의 값이 서로 동일한 복수의 데이터 패킷이 존재하는 경우, 상기 DA 필드 및 SA 필드의 값이 서로 동일한 복수의 데이터 패킷 중 어느 하나의 데이터 패킷의 페이로드 필드에만 DA 필드 및 SA 필드를 포함하는 것을 특징으로 하는 암호화장치. The method according to claim 1,
Wherein the payload field comprises:
When a plurality of data packets having the same values of the DA (Destination Address) field and the SA (Source Address) field included in the payload field among the plurality of data packets are present, if the values of the DA field and the SA field are the same And the DA field and the SA field are included only in the payload field of any one of the plurality of data packets. 제4항에 있어서,
상기 병합 패킷 필드는,
상기 데이터 패킷의 페이로드 필드에 DA 필드 및 SA 필드가 포함되었는지 여부를 나타내는 T(Tag) 필드 및 상기 페이로드 필드의 길이를 나타내는 L(Length) 필드를 포함하는 것을 특징으로 하는 암호화장치.5. The method of claim 4,
The merged packet field includes:
(T) field indicating whether a DA field and an SA field are included in a payload field of the data packet, and an L (Length) field indicating a length of the payload field. 제1항에 있어서,
상기 암호화모듈은,
상기 병합 패킷 필드를 수신하여 암호화하며, 상기 병합 패킷 필드를 포함하는 데이터 패킷에 무결성을 확인하기 위한 인증 정보를 나타내는 필드를 포함시키는 것을 특징으로 하는 암호화장치.The method according to claim 1,
The encryption module includes:
And a field for indicating authentication information for confirming integrity in a data packet including the merge packet field. 근거리 통신에서 데이터 패킷을 암호화하는 방법에 있어서,
데이터 패킷을 수신하고 상기 데이터 패킷이 기 설정된 조건을 만족하는지 여부를 판단하는 단계;
상기 데이터 패킷이 상기 기 설정된 조건을 만족하지 않는 경우, 복수의 데이터 패킷의 페이로드 필드를 상기 기 설정된 조건에 만족할 때까지 병합하여 병합된 복수의 페이로드 필드를 생성하는 단계;
상기 데이터 패킷이 상기 기 설정된 조건을 만족하는 경우, 상기 병합된 복수의 페이로드 필드를 암호화하여 암호화된 복수의 페이로드 필드를 생성하는 단계; 및
상기 암호화된 복수의 페이로드 필드를 포함하는 데이터 패킷에 암호화된 데이터 패킷임을 나타내는 패킷 헤더를 추가하는 단계를 포함하는 것을 특징으로 하는 암호화방법.CLAIMS 1. A method for encrypting data packets in short-
Receiving a data packet and determining whether the data packet satisfies a predetermined condition;
Merging a payload field of a plurality of data packets until the data packet satisfies the pre-set condition, until a predetermined condition is satisfied; generating a merged plurality of payload fields;
Encrypting the merged plurality of payload fields to generate a plurality of encrypted payload fields if the data packet satisfies the predetermined condition; And
And adding a packet header indicating that the data packet is an encrypted data packet to a data packet including the encrypted plurality of payload fields. 제7항에 있어서,
상기 기 설정된 조건은,
상기 데이터 패킷의 길이가 기 설정된 길이보다 작고, IFG(Inter Frame Gap)의 시간이 기 설정된 기준보다 작은 경우인 것을 특징으로 하는 암호화방법.8. The method of claim 7,
Preferably,
Wherein a length of the data packet is smaller than a predetermined length, and a time of an IFG (Inter Frame Gap) is smaller than a preset reference. 근거리 통신에서 데이터 패킷을 암호화하기 위한 암호화 시스템에 있어서,
수신한 데이터 패킷을 암호화하여 암호화된 데이터 패킷을 전송하는 암호화장치; 및
상기 암호화된 데이터 패킷을 수신하여 복호화하는 복호화장치를 포함하되,
상기 암호화된 데이터 패킷은,
패킷 헤더 필드;
상기 데이터 패킷을 수신할 노드를 식별하는 데 사용될 수 있는 정보를 포함하는 DA(Destination Address)필드;
상기 데이터 패킷을 발생시키는 노드를 확인하는 데 사용될 수 있는 정보를 포함하는 SA(Source Address) 필드;
암호화 및 복호화에 관한 정보를 포함하며, 상기 데이터 패킷의 종류를 나타내는 세크헤더(SecHeader) 필드;
복수의 데이터 패킷의 페이로드 필드를 병합하여 생성한 병합 패킷 필드;
상기 복호화장치가 복호화한 데이터 패킷의 무결성을 확인하기 위한 ICV(Integrity Check Value) 필드;
전송되는 데이터 패킷이 문제가 있는지 없는지 검사하기 위한 FCS(frame Check Sequence) 필드; 및
복수의 데이터 패킷 사이에 일정한 시간을 두기 위해 규정된 IFG(Inter Frame Gap) 필드
를 포함하는 것을 특징으로 하는 암호화 시스템.CLAIMS 1. An encryption system for encrypting data packets in short range communication,
An encrypting device for encrypting the received data packet and transmitting the encrypted data packet; And
And a decoding device for receiving and decoding the encrypted data packet,
Wherein the encrypted data packet comprises:
Packet header field;
A Destination Address (DA) field containing information that can be used to identify a node to receive the data packet;
An SA (Source Address) field containing information that can be used to identify the node generating the data packet;
A SecHeader field including information on encryption and decryption, the SecHeader field indicating the type of the data packet;
A merged packet field generated by merging payload fields of a plurality of data packets;
An ICV (Integrity Check Value) field for confirming the integrity of the data packet decrypted by the decryption apparatus;
A frame check sequence (FCS) field for checking whether a data packet to be transmitted has a problem or not; And
Interframe Gap (IFG) fields defined to hold a certain amount of time between a plurality of data packets
And the encryption system. 제9항에 있어서,
상기 DA 필드 및 SA 필드는,
상기 병합 패킷 필드에 병합된 복수의 데이터 패킷의 페이로드 필드에 포함된 DA 필드 및 SA 필드가 모두 동일한 경우, 상기 복수의 데이터 패킷의 페이로드 필드로 대체가능한 것을 특징으로 하는 암호화 시스템.10. The method of claim 9,
The DA field and the SA field,
Wherein a payload field of the plurality of data packets is replaceable if the DA field and the SA field included in the payload field of the plurality of data packets merged into the merge packet field are all the same.
KR1020140150128A 2014-10-31 2014-10-31 Method and Apparatus for Generating Data Packet Requiring Encryption in Short Distance Communications KR102073552B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140150128A KR102073552B1 (en) 2014-10-31 2014-10-31 Method and Apparatus for Generating Data Packet Requiring Encryption in Short Distance Communications

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140150128A KR102073552B1 (en) 2014-10-31 2014-10-31 Method and Apparatus for Generating Data Packet Requiring Encryption in Short Distance Communications

Publications (2)

Publication Number Publication Date
KR20160050928A true KR20160050928A (en) 2016-05-11
KR102073552B1 KR102073552B1 (en) 2020-02-05

Family

ID=56025791

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140150128A KR102073552B1 (en) 2014-10-31 2014-10-31 Method and Apparatus for Generating Data Packet Requiring Encryption in Short Distance Communications

Country Status (1)

Country Link
KR (1) KR102073552B1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100946904B1 (en) * 2006-08-11 2010-03-09 삼성전자주식회사 Method for generating aggregated packet in a communication system
KR20110040753A (en) * 2008-06-03 2011-04-20 삼성전자주식회사 Method and system for encryption
JP2011171826A (en) * 2010-02-16 2011-09-01 Nippon Telegr & Teleph Corp <Ntt> Device and method for packet transfer
KR101284584B1 (en) * 2011-06-30 2013-07-11 에스케이텔레콤 주식회사 System and method for managing signaling traffic
KR101319023B1 (en) * 2011-12-07 2013-10-17 경상대학교산학협력단 A packet structure, a packet transmission apparatus and a packet receiving apparatus

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100946904B1 (en) * 2006-08-11 2010-03-09 삼성전자주식회사 Method for generating aggregated packet in a communication system
KR20110040753A (en) * 2008-06-03 2011-04-20 삼성전자주식회사 Method and system for encryption
JP2011171826A (en) * 2010-02-16 2011-09-01 Nippon Telegr & Teleph Corp <Ntt> Device and method for packet transfer
KR101284584B1 (en) * 2011-06-30 2013-07-11 에스케이텔레콤 주식회사 System and method for managing signaling traffic
KR101319023B1 (en) * 2011-12-07 2013-10-17 경상대학교산학협력단 A packet structure, a packet transmission apparatus and a packet receiving apparatus

Also Published As

Publication number Publication date
KR102073552B1 (en) 2020-02-05

Similar Documents

Publication Publication Date Title
US11606341B2 (en) Apparatus for use in a can system
US9755826B2 (en) Quantum key distribution device, quantum key distribution system, and quantum key distribution method
EP2817916B1 (en) Cryptographic transmission system using key encryption key
KR101704569B1 (en) Method, Apparatus and System For Controlling Dynamic Vehicle Security Communication Based on Ignition
CN102132530B (en) Method and apparatus for integrating precise time protocol and media access control security in network elements
CN102100031B (en) Apparatus and method for providing a security service in a user interface
CN104104510A (en) Method for recognizing a manipulation of a sensor and/or sensor data of the sensor
US9769664B1 (en) Nonce silent and replay resistant encryption and authentication wireless sensor network
KR20040033159A (en) Method for cryptographing wireless data and apparatus thereof
KR101608815B1 (en) Method and system for providing service encryption in closed type network
CN106165353A (en) Point-to-point authentication protocol is used to carry out high usage route to encryption stream
KR101675332B1 (en) Data commincaiton method for vehicle, Electronic Control Unit and system thereof
KR101651648B1 (en) Data communication method for vehicle, Electronic Control Unit and system thereof
KR20180046758A (en) Different units same security apparatus based on internet of things
JP2005117246A (en) Packet-discriminating apparatus
CN106973046B (en) Inter-gateway data transmission method, source gateway and destination gateway
EP2811715B1 (en) Systems and methods for intermediate message authentication in a switched-path network
CN106789963B (en) Asymmetric white-box password encryption method, device and equipment
KR101457455B1 (en) Apparatus and method for data security in cloud networks
US20150086015A1 (en) Cryptographically Protected Redundant Data Packets
KR102073552B1 (en) Method and Apparatus for Generating Data Packet Requiring Encryption in Short Distance Communications
WO2022091544A1 (en) Information verification device, electronic control device, and information verification method
KR20150109202A (en) Method and system for authenticating communication data of vehicle
US10993175B1 (en) Spectrum information query system and a secured query proxy device
KR101339013B1 (en) Method for processing multi security of dnp message in data link

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant