KR20190019623A - 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법 - Google Patents

네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법 Download PDF

Info

Publication number
KR20190019623A
KR20190019623A KR1020170104802A KR20170104802A KR20190019623A KR 20190019623 A KR20190019623 A KR 20190019623A KR 1020170104802 A KR1020170104802 A KR 1020170104802A KR 20170104802 A KR20170104802 A KR 20170104802A KR 20190019623 A KR20190019623 A KR 20190019623A
Authority
KR
South Korea
Prior art keywords
encryption
session
data
list
network switch
Prior art date
Application number
KR1020170104802A
Other languages
English (en)
Other versions
KR102023416B1 (ko
Inventor
서지훈
Original Assignee
(주)한드림넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)한드림넷 filed Critical (주)한드림넷
Priority to KR1020170104802A priority Critical patent/KR102023416B1/ko
Publication of KR20190019623A publication Critical patent/KR20190019623A/ko
Application granted granted Critical
Publication of KR102023416B1 publication Critical patent/KR102023416B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법이 개시된다. 본 발명에 따른 네트워크 스위치에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법은, 출발지 호스트와 암호 포트를 통해 연결된 네트워크 스위치인 송신자가, 수신자로 요청 프레임을 전송하는 단계, 상기 송신자가 목적지 호스트와 연결된 상기 수신자로부터 응답 프레임을 수신하는 단계, 상기 송신자가 상기 수신자와의 세션 상태를 초기 상태에서 준비 상태로 변경하는 단계, 그리고 상기 송신자가 상기 출발지 호스트와 상기 목적지 호스트 간의 세션을 데이터 링크 계층에서의 암호화 구간으로 설정하는 단계를 포함한다.

Description

네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법{NETWORK SWITCH AND METHOD FOR SETTING ENCRYPTION SECTION IN DATA LINK LAYER USING THE SAME}
본 발명은 데이터 링크 계층에서의 암호화 구간을 설정하는 기술에 관한 것으로, 특히 데이터 링크 계층에서의 암호화 구간을 설정하고, 암호화 구간에 상응하는 암호화 대상 데이터를 암호화하여 목적지 호스트 측의 수신자로 전달하는 기술에 관한 것이다.
가상 사설망(Virtual Private Network, VPN) 등의 네트워크 암호화 프로토콜은 네트워크 계층(Layer 3)의 IP 주소를 기반으로 하는 점대점(Point-to-Point) 통신을 바탕으로 구성된다. 이러한 연결 구성은 대상의 수에 비례하여 구성 및 관리가 복잡해지며, IP 주소에 관여하지 않는 데이터 링크 계층(Layer 2) 구간에서는 적용이 불가능하다.
데이터 링크 계층(Later 2) 구간에서의 암호화를 지원하는 프로토콜 표준으로는 MACsec이 있다. 그러나 MACsec은 구성 단계에서 암호화를 시작하고 종료하는 구간인 스위치 포트의 MAC 주소를 입력해야 하는 등 구성 체계가 복잡하다.
따라서, 데이터 링크 계층 구간에서 암호화 구간을 결정(설정)하고, 별도의 추가적인 설정 없이 호스트들 간의 데이터 암호화를 수행하는 기술의 개발이 필요하다.
한국 등록 특허 제10-1421399호, 2014년 07월 18일 공고(명칭: 링크 계층 암호화/복호화 능력을 구비하는 단말 장치 및 그의 데이터 처리 방법)
본 발명의 목적은 IP 주소에 관여하지 않는 데이터 링크 계층(Layer 2) 구간에서의 암호화를 지원하는 것이다.
또한, 본 발명의 목적은 종래 기술에 따른 MACsec의 번거로운 MAC 주소 입력 과정 문제를 해결하여, 데이터 링크 계층 구간에서의 암호화 구간을 설정 과정을 간소화하는 것이다.
또한, 본 발명의 목적은 데이터 링크 계층 구간에서 암호화 구간을 스스로 결정할 수 있도록 하는 것이다.
또한, 본 발명의 목적은 암호 포트 지정으로, 별도의 추가적인 설정 없이 데이터 링크 계층의 네트워크 내에서 암호 포트와 연결되어 있는 호스트들 간의 데이터 암호화를 수행할 수 있도록 하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 네트워크 스위치에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법은, 출발지 호스트와 암호 포트를 통해 연결된 네트워크 스위치인 송신자가, 수신자로 요청 프레임을 전송하는 단계, 상기 송신자가 목적지 호스트와 연결된 상기 수신자로부터 응답 프레임을 수신하는 단계, 상기 송신자가 상기 수신자와의 세션 상태를 초기 상태에서 준비 상태로 변경하는 단계, 그리고 상기 송신자가 상기 출발지 호스트와 상기 목적지 호스트 간의 세션을 데이터 링크 계층에서의 암호화 구간으로 설정하는 단계를 포함한다.
이때, 상기 송신자가 상기 수신자로부터 기 설정된 대기 시간 이내에 상기 응답 프레임을 수신하지 못한 경우, 상기 수신자와의 세션 정보를 거부 리스트에 저장하는 단계를 더 포함할 수 있다.
이때, 상기 송신자와 상기 수신자 간의 세션 정보는, 상기 응답 프레임을 전송한 상기 수신자의 복호화 리스트에 저장될 수 있다.
이때, 상기 송신자가 상기 준비 상태로 변경한 후, 상기 수신자와의 세션 정보를 암호화 리스트에 저장하는 단계를 더 포함할 수 있다.
이때, 상기 거부 리스트, 상기 암호화 리스트 및 상기 복호화 리스트 중 적어도 어느 하나는, 상기 세션에 상응하는 출발지 IP, 목적지 IP 및 히트 타임(Hit Time) 중 적어도 어느 하나를 포함할 수 있다.
이때, 상기 송신자가 상기 출발지 호스트로부터 데이터를 수신하는 단계, 상기 송신자가 상기 데이터가 상기 데이터 링크 계층에서의 암호화 구간에 상응하는 암호화 대상인지 여부를 판단하는 단계, 그리고 상기 데이터가 상기 암호화 대상인 것으로 판단된 경우, 상기 송신자가 상기 데이터를 암호화하여 상기 수신자로 전송하는 단계를 더 포함할 수 있다.
이때, 상기 암호화 대상인지 여부를 판단하는 단계는, 상기 데이터가 상기 출발지 호스트와의 암호 포트를 통하여 수신된 것인지 여부를 판단하는 단계, 상기 데이터에 상응하는 세션이 암호화 세션인지 여부를 판단하는 단계, 그리고 상기 송신자가 상기 수신자와의 세션 상태가 상기 준비 상태인지 여부를 확인하는 단계를 포함할 수 있다.
이때, 상기 암호화 세션인지 여부를 판단하는 단계는, 상기 송신자가 기 설정된 필터 리스트 및 거부 리스트 중 적어도 어느 하나를 기반으로, 상기 데이터에 상응하는 세션이 상기 암호화 세션인지 여부를 판단할 수 있다.
이때, 상기 필터 리스트는, 출발지 IP, 목적지 IP, 프로토콜 및 암호화 여부 중 적어도 어느 하나를 포함하며, 상기 암호화 세션인지 여부를 판단하는 단계는, 상기 필터 리스트의 상기 암호화 여부를 기반으로, 상기 데이터에 상응하는 세션이 상기 암호화 세션인지 여부를 판단할 수 있다.
이때, 상기 준비 상태인지 여부를 확인하는 단계는, 상기 송신자가 상기 암호화 리스트를 기반으로 상기 데이터에 상응하는 세션이 상기 암호화 리스트에 포함되어 있는지 여부를 판단하여, 상기 세션 상태가 상기 준비 상태인지 여부를 확인할 수 있다.
이때, 상기 데이터를 수신한 상기 수신자는, 복호화 리스트를 기반으로 상기 데이터가 복호화 대상인지 여부를 판단하는 단계, 그리고 상기 복호화 대상인 것으로 판단된 경우, 상기 데이터를 복호화하여, 상기 목적지 호스트로 전송하는 단계를 더 포함할 수 있다.
이때, 상기 요청 프레임 및 상기 응답 프레임에 상응하는 프로토콜 데이터 유닛은, 세션의 IP 헤더, 오퍼레이션 코드, 아이디, 길이 및 파라미터 중 적어도 어느 하나의 필드를 포함할 수 있다.
이때, 상기 응답 프레임을 수신한 상기 송신자가, 상기 요청 프레임에 상응하는 상기 아이디 및 상기 응답 프레임에 상응하는 상기 아이디가 동일한지 여부를 판단하는 단계, 그리고 상기 아이디가 상이한 경우 상기 응답 프레임을 폐기하는 단계를 더 포함할 수 있다.
또한, 데이터 링크 계층에서의 암호화 구간을 설정하는 네트워크 스위치는, 출발지 호스트와 연결된 암호 포트를 포함하는 제1 포트, 암호화 구간을 설정하기 위하여, 목적지 호스트에 상응하는 수신자로 요청 프레임을 전송하고, 상기 수신자로부터 응답 프레임을 수신하는 제2 포트, 기 설정된 대기 시간 이내에 상기 응답 프레임 수신 시, 상기 수신자와의 세션 상태를 초기 상태에서 준비 상태로 변경하는 세션 상태 변경부, 그리고 상기 출발지 호스트와 상기 목적지 호스트 간의 세션을 데이터 링크 계층에서의 암호화 구간으로 설정하는 암호화 구간 설정부를 포함한다.
이때, 상기 제1 포트를 통하여 상기 출발지 호스트로부터 수신한 데이터가 상기 암호화 구간에 상응하는 암호화 대상인지 여부를 판단하는 암호화 대상 판단부, 그리고 상기 데이터가 상기 암호화 대상인 것으로 판단된 경우, 상기 제2 포트를 통해 상기 수신자로 전송할 상기 데이터를 암호화하는 암호화부를 더 포함할 수 있다.
이때, 상기 암호화 대상 판단부는, 상기 데이터가 상기 암호 포트를 통하여 수신된 것인지 여부를 판단하고, 상기 데이터에 상응하는 세션이 암호화 세션인지 여부를 판단하며, 상기 수신자와의 세션 상태가 상기 준비 상태인지 여부를 확인하여, 상기 데이터가 상기 암호화 구간에 상응하는 암호화 대상인지 여부를 판단할 수 있다.
이때, 상기 제2 포트가 상기 대기 시간 이내에 상기 응답 프레임을 수신하지 못한 경우 상기 수신자와의 세션 정보를 거부 리스트에 저장하거나, 상기 세션 상태를 상기 준비 상태로 변경한 후 상기 수신자와의 세션 정보를 암호화 리스트에 저장하는 리스트 저장부를 더 포함할 수 있다.
이때, 상기 암호화 대상 판단부는, 상기 리스트 저장부에 저장된 필터 리스트 및 상기 거부 리스트 중 적어도 어느 하나를 기반으로, 상기 데이터에 상응하는 세션이 상기 암호화 세션인지 여부를 판단할 수 있다.
이때, 상기 암호화 대상 판단부는, 상기 암호화 리스트를 기반으로 상기 데이터에 상응하는 세션이 상기 암호화 리스트에 포함되어 있는지 여부를 판단하여, 상기 세션 상태가 상기 준비 상태인지 여부를 확인할 수 있다.
이때, 상기 데이터를 수신한 상기 수신자는, 복호화 리스트를 기반으로 상기 데이터가 복호화 대상인지 여부를 판단하고, 상기 복호화 대상인 것으로 판단된 경우 상기 데이터를 복호화하여 상기 목적지 호스트로 전송할 수 있다.
본 발명에 따르면, IP 주소에 관여하지 않는 데이터 링크 계층(Layer 2) 구간에서의 암호화를 지원할 수 있다.
또한 본 발명에 따르면, 종래 기술에 따른 MACsec의 번거로운 MAC 주소 입력 과정 문제를 해결하여, 데이터 링크 계층 구간에서의 암호화 구간을 설정 과정을 간소화할 수 있다.
또한 본 발명에 따르면, 데이터 링크 계층 구간에서 암호화 구간을 스스로 결정할 수 있다.
또한 본 발명에 따르면, 암호 포트 지정으로, 별도의 추가적인 설정 없이 데이터 링크 계층의 네트워크 내에서 암호 포트와 연결되어 있는 호스트들 간의 데이터 암호화를 수행할 수 있다.
도 1은 본 발명의 일실시예에 따른 데이터 링크 계층에서의 암호화 구간 설정을 위한 네트워크 스위치가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 송신자 네트워크 스위치의 구성을 나타낸 도면이다.
도 3은 본 발명의 일실시예에 따른 수신자 네트워크 스위치의 구성을 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 데이터 링크 계층에서의 암호화 구간을 설정하고, 데이터 링크 계층에서의 데이터를 암호화하는 방법을 설명하기 위한 순서도이다.
도 5는 도 4의 S410 단계에서 데이터 링크 계층에서의 암호화 구간을 설정하는 과정을 설명하기 위한 순서도이다.
도 6은 도 4의 S430 단계에서 데이터가 암호화 대상인지 여부를 판단하는 과정을 설명하기 위한 순서도이다.
도 7은 도 4의 S440 단계에서 수신자 네트워크 스위치가 수신된 데이터를 복호화 및 전달하는 과정을 설명하기 위한 순서도이다.
도 8은 본 발명의 일실시예에 따른 송신자 네트워크 스위치와 수신자 네트워크 스위치 간에 교환되는 프로토콜 데이터 유닛을 나타낸 도면이다.
도 9는 본 발명의 일실시예에 따른 네트워크 스위치가 암호 포트 간의 세션에 대하여 암호화를 수행하는 경우를 설명하기 위한 도면이다.
도 10은 본 발명의 일실시예에 따른 네트워크 스위치가 일반 포트와의 세션에 대하여 암호화를 수행하지 않는 경우를 설명하기 위한 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 일실시예에 따른 데이터 링크 계층에서의 암호화 구간 설정을 위한 네트워크 스위치가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 1에 도시한 바와 같이, 데이터 링크 계층에서의 암호화 구간 설정을 위한 네트워크 스위치는 출발지 호스트(100)와 목적지 호스트(400) 사이에 위치한다. 그리고 출발지 호스트(100)와 연결된 송신자 네트워크 스위치(200)는 목적지 호스트(400)와 연결된 수신자 네트워크 스위치(300)와 요청 프레임 및 응답 프레임을 송수신하여 암호화 구간을 결정한다.
수신자 네트워크 스위치(300)는 수신된 요청 프레임에 상응하는 목적지 호스트(400)가 존재하는 경우, 송신자 네트워크 스위치(200)로 응답 프레임을 전송하고, 송신자 네트워크 스위치(200)와의 세션 정보를 복호화 리스트에 저장한다. 그리고 응답 프레임을 수신한 송신자 네트워크 스위치(200)는 세션 상태를 초기 상태에서 준비 상태로 전환하고, 수신자 네트워크 스위치(300)와의 세션 정보를 암호화 리스트에 저장한다.
송신자 네트워크 스위치(200)와 수신자 네트워크 스위치(300)는 암호화가 설정된 포트인 암호 포트 간의 세션에 대하여 암호화를 지원하며, 암호화가 설정되어 있지 않은 포트인 일반 포트 간의 세션에 대해서는 암호를 지원하지 않는다. 이때, 암호 포트는 사용자에 의해 설정 또는 해제될 수 있다.
그리고 송신자 네트워크 스위치(200)는 암호화 리스트를 기반으로 세션에 대한 암호화 여부를 결정할 수 있으며, 수신자 네트워크 스위치(200)는 복호화 리스트를 기반으로 세션에 대한 복호화 여부를 결정할 수 있다.
또한, 송신자 네트워크 스위치(200)와 수신자 네트워크 스위치(300)는 필터 리스트를 기반으로 필터링을 수행하여, 암호화하고자 하는 세션을 특정하거나, 제외할 수 있다.
여기서, 세션은 송신자 네트워크 스위치(200)가 암호 포트에 연결된 출발지 호스트(100)로부터 수신한 패킷의 출발지 IP 주소 및 목적지 IP 주소의 조합을 의미하며, 모든 암호화 대상의 기본 단위이다.
이하에서는 도 2 및 도 3을 통하여, 본 발명의 일실시예에 따른 송신자 네트워크 스위치 및 수신자 네트워크 스위치의 구성에 대하여 더욱 상세하게 설명한다.
도 2는 본 발명의 일실시예에 따른 송신자 네트워크 스위치의 구성을 나타낸 도면이다.
도 2에 도시한 바와 같이, 송신자 네트워크 스위치(200)는 제1 포트(210), 세션 상태 변경부(220), 암호화 구간 설정부(230), 리스트 저장부(240), 암호화 대상 판단부(250), 암호화부(260) 및 제2 포트(270)를 포함한다.
먼저, 제1 포트(210)는 출발지 호스트(100)와 연결되는 포트로, 일반 포트 및 암호 포트를 포함할 수 있다. 그리고 제2 포트(270)는 목적지 호스트(400)에 상응하는 수신자 네트워크 스위치(300)와 연결되는 포트로, 일반 포트를 포함할 수 있다. 제2 포트(270)는 암호화 구간을 설정하기 위하여, 수신자 네트워크 스위치(300)로 요청 프레임을 전송하며, 수신자 네트워크 스위치(300)로부터 응답 프레임을 수신한다.
즉, 송신자 네트워크 스위치(200)는 각각의 세션에 대하여 암호화를 수행할지 여부를 결정하기 위하여, 제2 포트(270)를 통해 수신자 네트워크 스위치(300)로 요청 프레임을 전송할 수 있다.
다음으로 세션 상태 변경부(220)는 목적지 호스트(400)에 상응하는 수신자 네트워크 스위치(300)로부터 응답 프레임을 수신하면 수신자 네트워크 스위치(300)와의 세션 상태를 초기 상태에서 준비 상태로 변경한다. 이때, 세션 상태 변경부(220)는 기 설정된 대기 시간 이내에 응답 프레임을 수신하였는지 판단하고, 대기 시간 이내에 응답 프레임을 수신한 경우에만 세션 상태를 준비 상태로 변경할 수 있다.
반면, 대기 시간 이내에 응답 프레임을 수신하지 못한 경우, 송신자 네트워크 스위치(200)는 기 설정된 시간(ex. 1초)을 대기한 후, 제2 포트(270)를 통하여 수신자 네트워크 스위치(300)로 다시 요청 프레임을 전송할 수 있다.
그리고 암호화 구간 설정부(230)는 요청 프레임에 상응하는 응답 프레임을 대기 시간 이내에 수신한 경우, 출발지 호스트(100)와 목적지 호스트 간의 세션을 데이터 링크 계층에서의 암호화 구간으로 설정한다.
리스트 저장부(240)는 거부 리스트(Deny List), 암호화 리스트(Encryption list) 및 필터 리스트(Filter list) 중 적어도 어느 하나를 저장할 수 있다.
특히, 리스트 저장부(240)는 제2 포트(270)를 통해 대기 시간 이내에 응답 프레임을 수신하지 못한 경우, 목적지 호스트(400)와의 세션 정보를 거부 리스트에 저장할 수 있다. 여기서, 거부 리스트에 저장된 세션은 비암호화 세션을 의미하며, 송신자 네트워크 스위치(200)는 거부 리스트에 저장된 세션에 대하여 암호화를 수행하지 않는다.
또한, 리스트 저장부(240)는 대기 시간 이내에 제2 포트(270)를 통해 응답 프레임을 수신한 경우, 목적지 호스트(400)와의 세션 상태를 암호화 리스트에 저장할 수 있다.
거부 리스트 및 암호화 리스트는, 세션에 상응하는 출발지 IP, 목적지 IP 및 히트 타임(Hit Time) 중 적어도 어느 하나를 포함할 수 있다. 출발지 IP 및 목적지 IP는 암호화 대상이 되지 못한 세션/암호화 대상이 되는 세션의 정보를 의미하고, 히트 타임은 해당 세션이 마지막으로 전송된 시간을 의미한다. 이때, 히트 타임이 일정 시간 갱신되지 않은 경우, 해당 세션의 정보는 리스트에서 삭제될 수 있다.
그리고 필터 리스트는 출발지 IP, 목적지 IP, 프로토콜 및 암호화 여부 중 적어도 어느 하나를 포함할 수 있다. 송신자 네트워크 스위치(200)는 필터 리스트를 이용하여 암호화 대상 세션에 대한 필터링을 수행할 수 있으며, 필터 리스트의 검색 결과를 기반으로 해당 세션의 암호화 여부를 결정할 수 있다.
다음으로 암호화 대상 판단부(250)는 제1 포트(210)를 통해 출발지 호스트(100)로부터 수신한 데이터가 암호화 구간에 상응하는 암호화 대상인지 여부를 판단한다. 이때, 암호화 대상 판단부(250)는 데이터가 암호 포트를 통해 출발지 호스트(100)로부터 수신된 것인지 여부를 판단하고, 데이터에 상응하는 세션이 암호화 세션인지 여부를 판단하며, 세션 상태가 준비 상태인지 여부를 확인하는 과정을 수행하여, 해당 데이터가 암호화 구간에 상응하는 암호화 대상인지 여부를 판단할 수 있다.
또한, 암호화 대상 판단부(250)는 리스트 저장부(240)에 저장된 필터 리스트, 거부 리스트 중 적어도 어느 하나를 기반으로 해당 세션이 암호화 세션인지 여부를 판단할 수 있다.
그리고 암호화 대상 판단부(250)는 암호화 리스트를 기반으로 데이터에 상응하는 세션이 암호화 리스트에 포함되어 있는지 여부를 판단하거나 세션 상태가 초기 상태인지 여부를 판단하여, 세션 상태가 준비 상태인지 확인할 수 있다.
암호화부(260)는 출발지 호스트(100)로부터 수신된 데이터가 암호화 대상인 것으로 판단된 경우, 해당 데이터를 암호화하며, 암호화된 데이터는 제2 포트(270)를 통하여 수신자 네트워크 스위치(300)로 전송된다.
도 3은 본 발명의 일실시예에 따른 수신자 네트워크 스위치의 구성을 나타낸 도면이다.
도 3과 같이, 수신자 네트워크 스위치(300)는 제3 포트(310), 복호화 리스트 저장부(320), 복호화 대상 판단부(330), 복호화부(340), 제4 포트(350)를 포함한다.
제3 포트(310)는 송신자 네트워크 스위치(200)의 제2 포트(270)로부터 요청 프레임을 수신하고, 제2 포트(270)로 응답 프레임을 전송한다. 또한, 제3 포트는 제2 포트(270)로부터 출발지 호스트(100)가 전송한 데이터를 수신할 수 있으며, 수신된 데이터는 제4 포트(350)를 통해 목적지 호스트(400)로 전송된다.
송신자 네트워크 스위치(200)의 제2 포트(270)로 응답 프레임을 전송한 후, 복호화 리스트 저장부(320)는 송신자 네트워크 스위치(200)와 수신자 네트워크 스위치(300) 간의 세션 정보를 복호화 리스트(Decryption List)에 저장한다.
그리고 복호화 대상 판단부(330)는 복화화 리스트 저장부(320)에 저장된 복호화 리스트를 기반으로, 수신된 데이터가 복호화 대상인지 여부를 판단한다. 또한, 복호화부(340)는 복호화 대상으로 판단된 데이터를 복호화하며, 복호화된 데이터는 제4 포트(350)를 통하여 목적지 호스트로 전송된다.
이하에서는 도 4 내지 도 6을 통하여 본 발명의 일실시예에 따른 송신자 네트워크 스위치가 데이터 링크 계층에서의 암호화 구간을 설정하고, 암호화 대상인지 여부를 판단하여 암호화를 수행하는 과정에 대하여 더욱 상세하게 설명한다.
도 4는 본 발명의 일 실시예에 따른 데이터 링크 계층에서의 암호화 구간을 설정하고, 데이터 링크 계층에서의 데이터를 암호화하는 방법을 설명하기 위한 순서도이다.
먼저, 송신자 네트워크 스위치(200)는 수신자 네트워크 스위치(300)와의 데이터 교환을 통하여, 데이터 링크 계층에서의 암호화 구간을 설정한다(S410).
여기서, 송신자 네트워크 스위치(200)와 수신자 네트워크 스위치(300)는 최초 패킷 발생지를 기반으로 구분되며, 최초 패킷을 수신한 암호 포트에 상응하는 네트워크 스위치가 송신자 네트워크 스위치(200)를 의미하고, 최초 패킷에 상응하는 목적지 호스트(400)와 연결된 암호 포트에 상응하는 네트워크 스위치가 수신자 네트워크 스위치(300)를 의미한다.
송신자 네트워크 스위치(200)는 수신자 네트워크 스위치(300)로 요청 프레임을 전송하고, 수신자 네트워크 스위치(300)로부터 응답 프레임을 수신하여, 데이터 링크 계층(Layer 2)에서의 암호화 구간을 설정할 수 있다. 즉, 송신자 네트워크 스위치(200)는 수신자 네트워크 스위치(300)와의 데이터 교환으로 스스로 암호화 구간을 결정할 수 있다. 송신자 네트워크 스위치(200)가 데이터 링크 계층에서의 암호화 구간을 설정하는 방법에 대해서는 후술할 도 5를 통하여 더욱 상세하게 설명한다.
도 5는 도 4의 S410 단계에서 데이터 링크 계층에서의 암호화 구간을 설정하는 과정을 설명하기 위한 순서도이다.
도 5에 도시한 바와 같이, 송신자 네트워크 스위치(200)는 수신자 네트워크 스위치(300)로 요청 프레임을 전송한다(S510).
송신자 네트워크 스위치(200)가 수신자 네트워크 스위치(300)로 요청 프레임을 전송할 때, 수신자 네트워크 스위치(300)와의 세션 상태는 초기 상태(Initial)이다.
그리고 송신자 네트워크 스위치(200)는 요청 프레임을 전송한 후로 경과된 시간을 카운팅하며, 경과된 시간이 기 설정된 대기 시간을 초과하였는지 여부를 판단한다(S520). 경과된 시간이 대기 시간을 초과하고, 대기 시간 내에 수신자 네트워크 스위치(300)로부터 응답 프레임을 수신하지 못한 경우, 송신자 네트워크 스위치(200)는 해당 수신자 네트워크 스위치(300)와의 세션 정보를 거부 리스트(Deny List)에 저장한다(S530).
반면, 경과된 시간이 대기 시간 이내인 경우, 송신자 네트워크 스위치(200)는 수신자 네트워크 스위치(300)로부터 응답 프레임을 수신하였는지 여부를 판단한다(S540).
대기 시간 이내에 응답 프레임을 수신하지 못한 경우, 송신자 네트워크 스위치(200)는 기 설정된 시간을 대기한 후(S550), 다시 S510 단계를 수행하여 수신자 네트워크 스위치(200)로 요청 프레임을 재전송한다.
대기 시간 이내에 수신자 네트워크 스위치(300)로부터 응답 프레임을 수신한 경우, 송신자 네트워크 스위치(200)는 세션 상태를 준비 상태(Ready)로 변경한다(S560). 그리고 송신자 네트워크 스위치(200)는 수신자 네트워크 스위치(300)와의 세션 정보를 암호화 리스트(Encryption list)에 저장한다(S570).
이때, 수신자 네트워크 스위치(300)는 수신된 요청 프레임에 상응하는 목적지 호스트가 존재하는 경우, 송신자 네트워크 스위치(200)로 응답 프레임을 전송한다. 그리고 수신자 네트워크 스위치(300)는 송신자 네트워크 스위치(200)로 응답 프레임을 전송한 후, 송신자 네트워크 스위치(200)와의 세션 정보를 복호화 리스트(Decryption list)에 저장한다. 수신자 네트워크 스위치(300)는 복호화 리스트에 상응하는 암호화된 프레임을 수신한 경우, 해당 프레임을 복호화한다.
여기서, 암호화 리스트에 저장된 세션 정보는 데이터 링크 계층에서의 암호화 구간을 의미한다. 그리고 송신자 네트워크 스위치(200)는 도 5의 과정을 통하여 데이터 링크 계층에서의 암호화 구간을 설정한 후, 암호 포트를 통하여 출발지 호스트로부터 수신된 데이터에 상응하는 세션이 암호화 리스트에 저장된 세션인 경우, 암호화를 수행한다. 다시 도 4에 대하여 설명하면, 송신자 네트워크 스위치(200)는 도 5의 과정을 통하여 데이터 링크 계층에서의 암호화 구간을 설정한 후, 출발지 호스트(100)로부터 데이터를 수신할 수 있다(S420).
그리고 송신자 네트워크 스위치(200)는 해당 데이터가 암호화 대상인지 여부를 판단한다(S430).
이때, 송신자 네트워크 스위치(200)는 출발지 호스트(100)와의 암호 포트를 통하여 수신된 데이터인지를 1차 판단하고, 암호화 세션에 상응하는 데이터인지 2차 판단하며, 현재 세션의 상태가 준비 상태인지 3차 판단하고, 1차 판단 내지 3차 판단의 결과를 기반으로 암호화 대상인지 여부를 판단할 수 있다. 송신자 네트워크 스위치(200)가 암호화 대상인지 여부를 판단하여, 데이터 암호화를 결정하는 과정은 후술할 도 6을 통하여 더욱 상세하게 설명한다.
도 6은 도 4의 S430 단계에서 데이터가 암호화 대상인지 여부를 판단하는 과정을 설명하기 위한 순서도이다.
도 6과 같이, 송신자 네트워크 스위치(200)는 수신된 데이터가 암호 포트로부터 수신된 데이터인지 여부를 판단한다(S610).
송신자 네트워크 스위치(200)는 수신된 데이터가 암호화된 포트인 암호 포트로부터 수신된 것인지 여부를 판단하며, 암호 포트를 통하여 수신된 데이터가 아닌 경우 도 4의 S450 단계를 수행할 수 있다.
즉, 송신자 네트워크스위치(200)는 해당 데이터에 상응하는 세션이 암호화 대상이 아닌 것으로 판단하고, 해당 데이터를 암호화하지 않고 수신자 네트워크 스위치(300)로 전송할 수 있다.
반면, 암호 포트로부터 수신된 데이터인 경우, 송신자 네트워크 스위치(200)는 데이터에 상응하는 세션이 암호화 세션인지 여부를 판단한다(S620).
송신자 네트워크 스위치(200)는 거부 리스트 및 필터 리스트 중 적어도 어느 하나를 기반으로, 데이터에 상응하는 세션이 암호화 세션인지 여부를 판단할 수 있다. 이때, 송신자 네트워크 스위치(200)는 필터 리스트를 검색하여, 필터 리스트에 저장된 세션의 암호화 여부를 기반으로, 해당 세션이 암호화 세션인지 여부를 판단할 수 있다.
암호화 세션이 아닌 것으로 판단된 경우, 송신자 네트워크 스위치(200)는 후술할 도 4의 S450 단계를 수행하여 해당 데이터를 암호화하지 않은 상태로 수신자 네트워크 스위치(300)로 전송할 수 있다.
필터 리스트를 검색하여 암호화 세션인지 여부를 판단한 후, 송신자 네트워크 스위치(200)는 거부 리스트를 검색하여 해당 세션의 정보가 거부 리스트에 포함되어 있는지 여부를 판단할 수 있다. 해당 세션의 정보가 거부 리스트에 포함되어 있는 경우, 송신자 네트워크 스위치(200)는 해당 세션이 암호화 세션이 아닌 것(비 암호화 세션)으로 판단하고, 도 4의 S450 단계를 수행할 수 있다.
설명의 편의상, 송신자 네트워크 스위치(200)가 필터 리스트를 검색한 후 거부 리스트를 검색하는 것으로 설명하였으나 이에 한정하지 않고, 송신자 네트워크 스위치(200)는 거부 리스트를 먼저 검색한 후, 거부 리스트에 해당 세션의 정보가 포함되지 않은 경우에만 필터 리스트를 검색하는 과정을 수행할 수 있다.
또한, 데이터가 암호 포트로부터 수신된 데이터이고, 데이터에 상응하는 세션이 암호화 세션인 경우, 송신자 네트워크 스위치(200)는 현재 세션의 상태가 준비 상태인지 여부를 판단한다(S630).
S620 단계에서, 필터 리스트를 검색한 결과 암호화 세션인 것으로 판단되고, 거부 리스트에 해당 세션의 정보가 포함되어 있지 않은 것으로 판단된 경우, 송신자 네트워크 스위치(200)는 암호화 리스트를 기반으로 해당 세션이 상태가 준비 상태(Ready)인지 여부를 확인할 수 있다.
이때, 세션의 상태가 준비 상태가 아닌 초기 상태(Initial)인 경우, 송신자 네트워크 스위치(200)는 수신자 네트워크 스위치(300)로 요청 프레임을 전송하여 암호화 여부를 판단할 수 있다(S640). 반면, 세션의 상태가 준비 상태인 경우, 송신자 네트워크 스위치(200)는 후술할 도 4의 S440 단계를 수행한다.
다시 도 4에 대하여 설명하면, S430 단계에서 암호화 대상인 것으로 판단된 경우 송신자 네트워크 스위치(200)는 해당 데이터를 암호화하고, 암호화된 데이터를 수신자 네트워크 스위치(300)로 전송한다(S440).
반면, 암호화 대상이 아닌 것으로 판단된 경우, 송신자 네트워크 스위치(200)는 해당 데이터를 그대로 수신자 네트워크 스위치(300)로 전송할 수 있다(S450).
그리고 데이터를 수신한 수신자 네트워크 스위치(300)는 해당 데이터가 복호화 대상인지 여부를 판단하며, 복호화 대상인 것으로 판단된 경우 해당 데이터를 복호화하여 목적지 호스트(400)로 전달한다. 송신자 네트워크 스위치(300)로부터 데이터를 수신한 수신자 네트워크 스위치(300)의 동작에 대해서는 후술할 도 7을 통하여 더욱 상세하게 설명한다.
이하에서는 도 7을 통하여 본 발명의 일실시예에 따른 수신자 네트워크 스위치가 수신된 데이터를 처리하는 과정에 대하여 더욱 상세하게 설명한다.
도 7은 도 4의 S440 단계에서 데이터를 수신한 수신자 네트워크 스위치가 데이터를 복호화 및 전달하는 과정을 설명하기 위한 순서도이다.
먼저, 수신자 네트워크 스위치(300)는 송신자 네트워크 스위치(200)로부터 데이터를 수신한다(S710). 그리고 수신자 네트워크 스위치(300)는 수신된 데이터가 암호 해제 대상인지 여부를 판단한다(S720).
수신자 네트워크 스위치(300)는 복호화 리스트를 검색하여, 수신된 데이터에 상응하는 세션이 복호화 리스트에 포함되어 있는지 여부를 판단하며, 복호화 리스트에 포함되어 있는 경우, 해당 데이터를 암호 해제 대상인 것으로 판단한다.
여기서, 복호화 리스트는, 수신자 네트워크 스위치(300)가 송신자 네트워크 스위치(200)로 응답 프레임을 전송한 후 생성한 것으로, 수신자 네트워크 스위치(300)는 요청 프레임에 상응하는 목적지 호스트가 존재하는 목적지 호스트(400)가 존재하는 경우, 송신자 네트워크 스위치(200)와의 세션을 복호화 리스트에 저장한다.
그리고 수신자 네트워크 스위치(300)는 수신된 데이터가 암호 해제 대상인 것으로 판단된 경우, 해당 데이터를 복호화하고(S730), 복호화된 데이터를 목적지 호스트(400)로 전송한다.
반면, 수신된 데이터가 암호 해제 대상이 아닌 것으로 판단된 경우, 수신자 네트워크 스위치(300)는 수신된 데이터를 그대로 목적지 호스트(400)로 전송할 수 있다.
이하에서는 도 8을 통하여 본 발명의 일실시예에 따른 송신자 네트워크 스위치와 수신자 네트워크 스위치 간에 교환되는 프로토콜 데이터 유닛에 대하여 더욱 상세하게 설명한다.
도 8은 본 발명의 일실시예에 따른 송신자 네트워크 스위치와 수신자 네트워크 스위치 간에 교환되는 프로토콜 데이터 유닛을 나타낸 도면이다.
도 8에 도시한 바와 같이, 프로토콜 데이터 유닛(Protocol Data Unit)(800)은 세션의 IP 헤더(810), 오퍼레이션 코드(820), 아이디(830), 길이(840) 및 파라미터(850)로 구성될 수 있다.
프로토콜 데이터 유닛(800)은 송신자 네트워크 스위치(200)와 수신자 네트워크 스위치(300) 간의 세션에 대한 암호화 여부를 결정하므로, 세션의 IP 헤더(810)는 해당 세션의 IP 헤더를 그대로 사용할 수 있으며, 프로토콜 번호는 특별한 사용처가 정의되지 않은 197번을 사용할 수 있다.
그리고 오퍼레이션 코드(820)는 16bit 길이의 Request(10)와 Response(20) 종류가 있으며, 아이디(830)는 송신자 네트워크 스위치(200)가 생성한 32bit의 랜덤 번호일 수 있다.
길이(840)는 프로토콜 데이터 유닛(800)의 길이를 나타내는 32bit 데이터이고, 파라미터(850)는 암호화에 필요한 추가적인 정보를 적재할 수 있으며, 파라미터(850)는 암호화 방식에 따라 그 내용 및 길이가 변경될 수 있다.
송신자 네트워크 스위치(200)가 아이디(830)를 생성하여 요청 프레임을 수신자 네트워크 스위치(300)로 전송하면, 수신자 네트워크 스위치(300)는 해당 아이디(830)를 포함하는 응답 프레임을 송신자 네트워크 스위치(200)로 전송한다.
그리고 응답 프레임을 수신한 송신자 네트워크 스위치(200)는 자신이 전송한 아이디와 응답 프레임에 포함된 아이디를 비교하며, 전송한 아이디와 수신한 아이디가 동일한 경우 수신자 네트워크 스위치(300)와의 세션 상태를 준비 상태로 변경한다.
반면, 송신자 네트워크 스위치(200)가 전송한 요청 프레임에 상응하는 아이디와 수신된 응답 프레임에 상응하는 아이디가 상이한 경우, 송신자 네트워크 스위치(200)는 응답 프레임을 폐기 처리한다.
이하에서는 도 9 및 도 10을 통하여 본 발명의 일 실시예에 따른 송신자 네트워크 스위치(200)가 암호화를 수행하는 경우에 대하여 더욱 상세하게 설명한다.
도 9는 본 발명의 일실시예에 따른 네트워크 스위치가 암호 포트 간의 세션에 대하여 암호화를 수행하는 경우를 설명하기 위한 도면이고, 도 10은 본 발명의 일실시예에 따른 네트워크 스위치가 일반 포트와의 세션에 대하여 암호화를 수행하지 않는 경우를 설명하기 위한 도면이다.
도 9에 도시한 바와 같이, 송신자 네트워크 스위치(200)가 암호 포트(211) 및 일반 포트(215) 중 어느 하나의 포트를 통하여 출발지 호스트(100)로부터 데이터를 수신하고, 수신자 네트워크 스위치(300)가 암호 포트(311) 및 일반 포트(315) 중 어느 하나의 포트를 이용하여 목적지 호스트(400)로 데이터를 전송하는 것으로 가정한다.
이때, 송신자 네트워크 스위치(200)가 출발지 호스트(100)로부터 암호 포트(211)를 통하여 수신된 데이터가 수신자 네트워크 스위치(300)의 암호 포트(351)를 통하여 목적지 호스트(400)로 전송되는 경우, 송신자 네트워크 스위치(200)는 암호화 포트들(211, 351) 간의 세션에 대한 암호화를 지원한다.
반면, 도 10과 같이 데이터가 암호 포트(351)가 아닌 일반 포트(355)를 통해 목적지 호스트(400)로 전송되는 경우, 송신자 네트워크 스위치(200)는 해당 세션에 대해서는 암호화를 수행하지 않는다.
이상에서와 같이 본 발명에 따른 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 출발지 호스트 200: 송신자 네트워크 스위치
210: 제1 포트 211: 암호 포트
215: 일반 포트 220: 세션 상태 변경부
230: 암호화 구간 설정부 240: 리스트 저장부
250: 암호화 대상 판단부 260: 암호화부
270: 제2 포트 300: 수신자 네트워크 스위치
310: 제3 포트 320: 복호화 리스트 저장부
330: 복호화 대상 판단부 340: 복호화부
350: 제4 포트 351: 암호 포트
355: 일반 포트 400: 목적지 호스트
800: 프로토콜 데이터 유닛 810: 세션의 IP 헤더
820: 오퍼레이션 코드 830: 아이디
840: 길이 850: 파라미터

Claims (20)

  1. 네트워크 스위치에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법에 있어서,
    출발지 호스트와 암호 포트를 통해 연결된 네트워크 스위치인 송신자가, 수신자로 요청 프레임을 전송하는 단계,
    상기 송신자가 목적지 호스트와 연결된 상기 수신자로부터 응답 프레임을 수신하는 단계,
    상기 송신자가 상기 수신자와의 세션 상태를 초기 상태에서 준비 상태로 변경하는 단계, 그리고
    상기 송신자가 상기 출발지 호스트와 상기 목적지 호스트 간의 세션을 데이터 링크 계층에서의 암호화 구간으로 설정하는 단계를 포함하는 데이터 링크 계층에서의 암호화 구간 설정 방법.
  2. 제1항에 있어서,
    상기 송신자가 상기 수신자로부터 기 설정된 대기 시간 이내에 상기 응답 프레임을 수신하지 못한 경우, 상기 수신자와의 세션 정보를 거부 리스트에 저장하는 단계를 더 포함하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.
  3. 제2항에 있어서,
    상기 송신자와 상기 수신자 간의 세션 정보는,
    상기 응답 프레임을 전송한 상기 수신자의 복호화 리스트에 저장되는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.
  4. 제3항에 있어서,
    상기 송신자가 상기 준비 상태로 변경한 후, 상기 수신자와의 세션 정보를 암호화 리스트에 저장하는 단계를 더 포함하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.
  5. 제4항에 있어서,
    상기 거부 리스트, 상기 암호화 리스트 및 상기 복호화 리스트 중 적어도 어느 하나는,
    상기 세션에 상응하는 출발지 IP, 목적지 IP 및 히트 타임(Hit Time) 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.
  6. 제1항에 있어서,
    상기 송신자가 상기 출발지 호스트로부터 데이터를 수신하는 단계,
    상기 송신자가 상기 데이터가 상기 데이터 링크 계층에서의 암호화 구간에 상응하는 암호화 대상인지 여부를 판단하는 단계, 그리고
    상기 데이터가 상기 암호화 대상인 것으로 판단된 경우, 상기 송신자가 상기 데이터를 암호화하여 상기 수신자로 전송하는 단계를 더 포함하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.
  7. 제6항에 있어서,
    상기 암호화 대상인지 여부를 판단하는 단계는,
    상기 데이터가 상기 출발지 호스트와의 암호 포트를 통하여 수신된 것인지 여부를 판단하는 단계,
    상기 데이터에 상응하는 세션이 암호화 세션인지 여부를 판단하는 단계, 그리고
    상기 송신자가 상기 수신자와의 세션 상태가 상기 준비 상태인지 여부를 확인하는 단계를 포함하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.
  8. 제7항에 있어서,
    상기 암호화 세션인지 여부를 판단하는 단계는,
    상기 송신자가 기 설정된 필터 리스트 및 거부 리스트 중 적어도 어느 하나를 기반으로, 상기 데이터에 상응하는 세션이 상기 암호화 세션인지 여부를 판단하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.
  9. 제8항에 있어서,
    상기 필터 리스트는,
    출발지 IP, 목적지 IP, 프로토콜 및 암호화 여부 중 적어도 어느 하나를 포함하며,
    상기 암호화 세션인지 여부를 판단하는 단계는,
    상기 필터 리스트의 상기 암호화 여부를 기반으로, 상기 데이터에 상응하는 세션이 상기 암호화 세션인지 여부를 판단하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.
  10. 제7항에 있어서,
    상기 준비 상태인지 여부를 확인하는 단계는,
    상기 송신자가 상기 암호화 리스트를 기반으로 상기 데이터에 상응하는 세션이 상기 암호화 리스트에 포함되어 있는지 여부를 판단하여, 상기 세션 상태가 상기 준비 상태인지 여부를 확인하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.
  11. 제6항에 있어서,
    상기 데이터를 수신한 상기 수신자는, 복호화 리스트를 기반으로 상기 데이터가 복호화 대상인지 여부를 판단하는 단계, 그리고
    상기 복호화 대상인 것으로 판단된 경우, 상기 데이터를 복호화하여, 상기 목적지 호스트로 전송하는 단계를 더 포함하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.
  12. 제1항에 있어서,
    상기 요청 프레임 및 상기 응답 프레임에 상응하는 프로토콜 데이터 유닛은,
    세션의 IP 헤더, 오퍼레이션 코드, 아이디, 길이 및 파라미터 중 적어도 어느 하나의 필드를 포함하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.
  13. 제12항에 있어서.
    상기 응답 프레임을 수신한 상기 송신자가, 상기 요청 프레임에 상응하는 상기 아이디 및 상기 응답 프레임에 상응하는 상기 아이디가 동일한지 여부를 판단하는 단계, 그리고
    상기 아이디가 상이한 경우 상기 응답 프레임을 폐기하는 단계를 더 포함하는 것을 특징으로 하는 데이터 링크 계층에서의 암호화 구간 설정 방법.
  14. 출발지 호스트와 연결된 암호 포트를 포함하는 제1 포트,
    암호화 구간을 설정하기 위하여, 목적지 호스트에 상응하는 수신자로 요청 프레임을 전송하고, 상기 수신자로부터 응답 프레임을 수신하는 제2 포트,
    기 설정된 대기 시간 이내에 상기 응답 프레임 수신 시, 상기 수신자와의 세션 상태를 초기 상태에서 준비 상태로 변경하는 세션 상태 변경부, 그리고
    상기 출발지 호스트와 상기 목적지 호스트 간의 세션을 데이터 링크 계층에서의 암호화 구간으로 설정하는 암호화 구간 설정부를 포함하는 것을 특징으로 하는 네트워크 스위치.
  15. 제14항에 있어서,
    상기 제1 포트를 통하여 상기 출발지 호스트로부터 수신한 데이터가 상기 암호화 구간에 상응하는 암호화 대상인지 여부를 판단하는 암호화 대상 판단부, 그리고
    상기 데이터가 상기 암호화 대상인 것으로 판단된 경우, 상기 제2 포트를 통해 상기 수신자로 전송할 상기 데이터를 암호화하는 암호화부를 더 포함하는 것을 특징으로 하는 네트워크 스위치.
  16. 제15항에 있어서,
    상기 암호화 대상 판단부는,
    상기 데이터가 상기 암호 포트를 통하여 수신된 것인지 여부를 판단하고, 상기 데이터에 상응하는 세션이 암호화 세션인지 여부를 판단하며, 상기 수신자와의 세션 상태가 상기 준비 상태인지 여부를 확인하여, 상기 데이터가 상기 암호화 구간에 상응하는 암호화 대상인지 여부를 판단하는 것을 특징으로 하는 네트워크 스위치.
  17. 제16항에 있어서,
    상기 제2 포트가 상기 대기 시간 이내에 상기 응답 프레임을 수신하지 못한 경우 상기 수신자와의 세션 정보를 거부 리스트에 저장하거나, 상기 세션 상태를 상기 준비 상태로 변경한 후 상기 수신자와의 세션 정보를 암호화 리스트에 저장하는 리스트 저장부를 더 포함하는 것을 특징으로 하는 네트워크 스위치.
  18. 제17항에 있어서,
    상기 암호화 대상 판단부는,
    상기 리스트 저장부에 저장된 필터 리스트 및 상기 거부 리스트 중 적어도 어느 하나를 기반으로, 상기 데이터에 상응하는 세션이 상기 암호화 세션인지 여부를 판단하는 것을 특징으로 하는 네트워크 스위치.
  19. 제17항에 있어서,
    상기 암호화 대상 판단부는,
    상기 암호화 리스트를 기반으로 상기 데이터에 상응하는 세션이 상기 암호화 리스트에 포함되어 있는지 여부를 판단하여, 상기 세션 상태가 상기 준비 상태인지 여부를 확인하는 것을 특징으로 하는 네트워크 스위치.
  20. 제15항에 있어서,
    상기 데이터를 수신한 상기 수신자는,
    복호화 리스트를 기반으로 상기 데이터가 복호화 대상인지 여부를 판단하고, 상기 복호화 대상인 것으로 판단된 경우 상기 데이터를 복호화하여 상기 목적지 호스트로 전송하는 것을 특징으로 하는 네트워크 스위치.
KR1020170104802A 2017-08-18 2017-08-18 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법 KR102023416B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170104802A KR102023416B1 (ko) 2017-08-18 2017-08-18 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170104802A KR102023416B1 (ko) 2017-08-18 2017-08-18 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법

Publications (2)

Publication Number Publication Date
KR20190019623A true KR20190019623A (ko) 2019-02-27
KR102023416B1 KR102023416B1 (ko) 2019-09-23

Family

ID=65560781

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170104802A KR102023416B1 (ko) 2017-08-18 2017-08-18 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법

Country Status (1)

Country Link
KR (1) KR102023416B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102212859B1 (ko) * 2020-01-28 2021-02-05 (주)모니터랩 비동기 이중화 환경에서 프록시 기반 보안 시스템의 트래픽 처리 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060071836A (ko) * 2004-12-22 2006-06-27 한국전자통신연구원 링크 보안을 위한 매체 접근 제어 보안 장치 및 송수신방법
KR20080053298A (ko) * 2005-09-12 2008-06-12 마이크로소프트 코포레이션 접속 프로세스의 비교적 초기에 인증함으로써 시큐어접속을 생성하는 방법 및 그 방법을 수행하게 하는 컴퓨터실행가능 명령어를 갖는 컴퓨터 프로그램 제품
KR101421399B1 (ko) 2010-12-20 2014-07-18 차이나 아이더블유엔콤 씨오., 엘티디 링크 계층 암호화/복호화 능력을 구비하는 단말 장치 및 그의 데이터 처리 방법
KR101643349B1 (ko) * 2015-01-14 2016-07-27 한국과학기술원 소프트웨어 정의 네트워크를 이용한 홈 네트워크 관리 방법 및 그 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060071836A (ko) * 2004-12-22 2006-06-27 한국전자통신연구원 링크 보안을 위한 매체 접근 제어 보안 장치 및 송수신방법
KR20080053298A (ko) * 2005-09-12 2008-06-12 마이크로소프트 코포레이션 접속 프로세스의 비교적 초기에 인증함으로써 시큐어접속을 생성하는 방법 및 그 방법을 수행하게 하는 컴퓨터실행가능 명령어를 갖는 컴퓨터 프로그램 제품
KR101421399B1 (ko) 2010-12-20 2014-07-18 차이나 아이더블유엔콤 씨오., 엘티디 링크 계층 암호화/복호화 능력을 구비하는 단말 장치 및 그의 데이터 처리 방법
KR101643349B1 (ko) * 2015-01-14 2016-07-27 한국과학기술원 소프트웨어 정의 네트워크를 이용한 홈 네트워크 관리 방법 및 그 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102212859B1 (ko) * 2020-01-28 2021-02-05 (주)모니터랩 비동기 이중화 환경에서 프록시 기반 보안 시스템의 트래픽 처리 방법

Also Published As

Publication number Publication date
KR102023416B1 (ko) 2019-09-23

Similar Documents

Publication Publication Date Title
US8914858B2 (en) Methods and apparatus for security over fibre channel
CN105917689B (zh) 以信息为中心的网络中的安全的点对点组
JP4081724B1 (ja) クライアント端末、中継サーバ、通信システム、及び通信方法
US8787572B1 (en) Enhanced association for access points
EP2396942B1 (en) Un-ciphered network operation solution
CN107005400B (zh) 业务处理方法及装置
CN102088441B (zh) 消息中间件的数据加密传输方法和系统
JP2006121510A (ja) 暗号化通信システム
WO2002065691A1 (en) Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols
JP2012213036A (ja) 通信装置及び通信システム
CN110191052B (zh) 一种跨协议网络传输方法及系统
WO2011041962A1 (zh) 一种支持合法监听的端到端会话密钥协商方法和系统
EP3787254A1 (en) Methods and apparatus for end-to-end secure communications
Florea et al. Challenges in security in Internet of Things
JP2004056762A (ja) 無線通信方法、無線通信装置、通信制御プログラム、通信制御装置、鍵管理プログラム、無線lanシステム、および記録媒体
WO2012024905A1 (zh) 一种移动通讯网中数据加解密方法、终端和ggsn
JP2010539839A (ja) サーバ基盤移動インターネットプロトコルシステムにおけるセキュリティ方法
CN112187757A (zh) 多链路隐私数据流转系统及方法
JP2006019975A (ja) 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム
CN110832806B (zh) 针对面向身份的网络的基于id的数据面安全
US10015208B2 (en) Single proxies in secure communication using service function chaining
Furukawa et al. Highly secure communication service architecture using SDN switch
KR20190019623A (ko) 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법
JPH07170280A (ja) ローカルエリアネットワーク
Petroni et al. The dangers of mitigating security design flaws: a wireless case study

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant