KR20190074912A - End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same - Google Patents

End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same Download PDF

Info

Publication number
KR20190074912A
KR20190074912A KR1020180009171A KR20180009171A KR20190074912A KR 20190074912 A KR20190074912 A KR 20190074912A KR 1020180009171 A KR1020180009171 A KR 1020180009171A KR 20180009171 A KR20180009171 A KR 20180009171A KR 20190074912 A KR20190074912 A KR 20190074912A
Authority
KR
South Korea
Prior art keywords
host
mac address
communication controller
authentication
switch
Prior art date
Application number
KR1020180009171A
Other languages
Korean (ko)
Other versions
KR102071707B1 (en
Inventor
민성기
최주호
차정환
윤현기
김일웅
김태윤
이승훈
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to US16/170,373 priority Critical patent/US11075907B2/en
Publication of KR20190074912A publication Critical patent/KR20190074912A/en
Application granted granted Critical
Publication of KR102071707B1 publication Critical patent/KR102071707B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network

Abstract

An end-to-end security communication method includes: a step of generating a security key for end-to-end communication between first and second hosts if a communication controller receives a security key generation request packet from the first host; a step of transmitting the generated security key to the first and second hosts; and a step of setting a forwarding rule for transmitting a packet, of which destination is a MAC address of the first host or a MAC address of the second host, to first and second switches connected to the first and second hosts, respectively. According to the end-to-end security communication method, since software-defined networking is used to enable the communication controller to conduct a process of generating a security key shared between hosts, MAC security communication technology can be applied to communication between hosts belonging to different networks.

Description

소프트웨어 정의 네트워킹을 활용한 MAC 프로토콜 기반의 종단간 보안 통신 방법과 이를 위한 통신 컨트롤러 및 컴퓨터 프로그램{END-TO-END SECURITY COMMUNICATION METHOD BASED ON MAC PROTOCOL USING SOFTWARE DEFINED-NETWORKING, AND COMMUNICATION CONTROLLER AND COMPUTER PROGRAM FOR THE SAME}TECHNICAL FIELD [0001] The present invention relates to an end-to-end secure communication method based on a MAC protocol using software defined networking, a communication controller and a computer program for the same, and a communication controller and a computer program therefor SAME}

본 발명은 소프트웨어 정의 네트워킹(Software Defined-Networking; SDN)을 활용한 MAC(Media Access Control) 프로토콜 기반의 종단간(end-to-end) 보안 통신 방법과 이를 위한 통신 컨트롤러 및 컴퓨터 프로그램에 대한 것으로, 네트워크 상에서 종단 단말간의 보안 통신을 MAC 레이어 수준에서 가능하게 하는 기술에 대한 것이다.The present invention relates to an end-to-end secure communication method based on a Media Access Control (MAC) protocol using Software Defined-Networking (SDN), a communication controller and a computer program therefor, And to enable secure communication between end terminals on the network at the MAC layer level.

MAC(Media Access Control) 보안 통신 기술, 소위 MACsec은 레이어(layer) 2에서 동작하는 암호화 기능으로, IEEE 802.1AE에서 정의하고 있는 통신 프로토콜로 이루어진 국제 표준이다. 기존의 네트워크 보안 기술들은 IP 보안 통신 기술(또는, IPsec)과 같이 레이어 3에서 이루어지는 경우가 많았다. 그러나 최근 트래픽이 급격히 증가하고 복잡해지는 상황에 특정 응용이나 프로토콜에 대한 보안 대신 트래픽 전체를 보호하는 기능에 대한 관심이 증가하였으며. 이러한 기술로 등장한 것이 레이어 2에서 트래픽 전체를 보호하는 MAC 보안 통신 기술이다. MAC (Media Access Control) security communication technology, so-called MACsec, is an encryption function operating in layer 2 and is an international standard composed of communication protocols defined in IEEE 802.1AE. Existing network security technologies are often performed at layer 3, such as IP security communication technology (or IPsec). However, as traffic has increased and become more complex in recent years, there has been an increased interest in the ability to protect all traffic instead of security for specific applications or protocols. This technology is MAC security communication technology that protects the whole traffic at Layer 2.

종래의 MAC 보안 기술에서는 동일한 유선 네트워크에 물려 있는 노드(node)들끼리 보안키를 만들어 통신을 수행하였으며, 이에 따라 동일한 네트워크 상에 존재하는 노드들 사이에서만 보안 통신이 구현될 수 있었다. In the conventional MAC security technology, nodes connected to the same wired network have created security keys to communicate with each other, thereby enabling secure communication only between nodes existing on the same network.

도 1은 종래의 MAC(Media Access Control) 보안 통신 방법에서 종단 단말 간에 데이터 패킷이 전송되는 과정을 설명하기 위한 개념도이다. FIG. 1 is a conceptual diagram illustrating a process of transmitting a data packet between end terminals in a conventional MAC (Media Access Control) secure communication method.

도 1을 참조하면, 하나의 호스트(101)는 하나 또는 복수의 스위치(103, 104, 105)를 경유하여 다른 호스트(102)에 통신 연결된다. 스위치(103, 104, 105)는 호스트(101, 102) 또는 네트워크 분석기(100) 등의 장비를 네트워크에 연결하기 위한 오픈 가상 스위치(open virtual switch)이다. 이때, 서로 상이한 네트워크에 속한 호스트(101, 102)가 MAC 보안 통신을 하기 위해서는, 전송되는 메시지가 각 스위치(103, 104, 105)를 통과할 때마다 메시지의 암호화 및 복호화가 수행되어야 한다.Referring to FIG. 1, one host 101 is communicatively coupled to another host 102 via one or more switches 103, 104, and 105. The switches 103, 104, and 105 are open virtual switches for connecting the devices such as the hosts 101 and 102 or the network analyzer 100 to the network. At this time, in order for the hosts 101 and 102 belonging to different networks to perform MAC secure communication, the message must be encrypted and decrypted each time the transmitted message passes through each of the switches 103, 104, and 105.

즉, 종래의 MAC 보안 통신에서는 호스트(101)와 스위치(103)의 보안 통신을 위한 보안키, 스위치(103)와 스위치(104)의 보안 통신을 위한 보안키, 스위치(104)와 스위치(105)의 보안 통신을 위한 보안키, 및 스위치(105)와 호스트(102)의 보안 통신을 위한 보안키 등이 각각 별도로 생성된다. 호스트(101)에서 호스트(101)가 스위치(103)와 공유하는 보안키를 이용하여 데이터 패킷을 암호화하여 전송하면, 스위치(103)를 제외한 다른 스위치(104, 105)에서는 패킷의 목적지를 확인하는 것이 불가능하다. 따라서, 먼저 스위치(103)는 데이터를 복호화한 후 스위치(103)와 스위치(104)가 공유하는 보안키를 이용하여 데이터 패킷을 재암호화한 후에야 데이터 패킷을 스위치(104)에 전송한다. 이는 MAC 보안 표준의 목적 자체가 동일한 로컬 영역 네트워크(Local Area Network; LAN) 상에서의 보안을 제공하는 것이기 때문이다. 이후 동일한 복호화 및 재암호화 과정이 스위치(104)와 스위치(105) 사이에서도 동일하게 수행되며, 최종적으로 스위치(105)에서 스위치(105)가 호스트(102)와 공유하는 보안키를 이용하여 데이터 패킷을 암호화하여 호스트(102)에 전송한다. That is, in the conventional MAC secure communication, a security key for secure communication between the host 101 and the switch 103, a security key for secure communication between the switch 103 and the switch 104, a switch 104 and a switch 105 And a security key for secure communication between the switch 105 and the host 102 are separately generated. When the host 101 encrypts and transmits a data packet using the secret key shared with the switch 103 by the host 101, the switches 104 and 105 except for the switch 103 check the destination of the packet It is impossible. Therefore, the switch 103 first decrypts the data, and then transmits the data packet to the switch 104 only after re-encrypting the data packet using the secret key shared by the switch 103 and the switch 104. [ This is because the purpose of the MAC security standard itself is to provide security on the same Local Area Network (LAN). Thereafter, the same decryption and re-encryption process is performed between the switch 104 and the switch 105. Finally, in the switch 105, the switch 105 uses the secret key shared with the host 102, And transmits it to the host 102.

따라서, 종래의 MAC 보안 통신 방법에서는 도 1에 도시된 것과 같은 간단한 토폴로지(topology)에서도 데이터 패킷의 암호화 및 복호화가 각각 4회씩 이루어져야 하며, MAC 보안 통신 방법이 더 큰 영역의 네트워크에 적용될 경우 이는 과도한 리소스 낭비로 이어지게 되는 문제점이 있었다. Accordingly, in the conventional MAC security communication method, the data packet must be encrypted and decrypted four times, respectively, even in a simple topology as shown in FIG. 1. When the MAC secure communication method is applied to a larger area network, Which leads to a waste of resources.

KR 2010-0092768 AKR 2010-0092768 A

이에, 본 발명의 기술적 과제는 이러한 점에서 착안된 것으로 본 발명의 목적은, 소프트웨어 정의 네트워킹(Software Defined-Networking; SDN)을 활용하여 호스트들 사이에 공유할 보안키의 생성 과정을 통신 컨트롤러가 수행함으로써, 서로 상이한 네트워크에 속한 호스트들 사이의 통신에 MAC(Media Access Control) 보안 통신 기술을 적용할 수 있게 하는 종단간(end-to-end) 보안 통신 방법을 제공하는 것이다.SUMMARY OF THE INVENTION Accordingly, the present invention has been made in view of the above problems, and it is an object of the present invention to provide a method and apparatus for a communication controller to perform a process of generating a security key to be shared among hosts using Software Defined-Networking (SDN) To-end secure communication method that allows MAC (Media Access Control) secure communication technology to be applied to communication between hosts belonging to different networks.

본 발명의 다른 목적은 상기 종단간 보안 통신 방법을 수행하도록 구성된 통신 컨트롤러를 제공하는 것이다.It is another object of the present invention to provide a communication controller configured to perform the end-to-end secure communication method.

본 발명의 또 다른 목적은 상기 종단간 보안 통신 방법을 실행하도록 컴퓨터로 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램을 제공하는 것이다.It is still another object of the present invention to provide a computer program stored in a computer-readable recording medium for executing the end-to-end secure communication method.

상기한 본 발명의 목적을 실현하기 위한 일 실시예에 따른 종단간(end-to-end) 보안 통신 방법은, 통신 컨트롤러가 제1 호스트 및 제2 호스트의 인증을 수행하는 단계; 상기 통신 컨트롤러가 상기 제2 호스트로부터 상기 제1 호스트의 MAC(Media Access Control) 주소를 포함하는 보안키 생성 요청 패킷을 수신하는 단계; 상기 통신 컨트롤러가 상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하는 단계; 상기 통신 컨트롤러가 상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하는 단계; 상기 통신 컨트롤러가 생성된 상기 보안키를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계; 및 상기 통신 컨트롤러가, 상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰(forwarding rule)을 설정하는 단계를 갖는다.According to an aspect of the present invention, there is provided an end-to-end secure communication method including: a step in which a communication controller performs authentication of a first host and a second host; The communication controller receiving a secure key generation request packet including a Media Access Control (MAC) address of the first host from the second host; The communication controller transmitting the security key generation request packet to the first host; Generating a security key for end-to-end secure communication between the first host and the second host when the communication controller receives a secure key generation request packet from the first host; Transmitting the security key generated by the communication controller to the first host and the second host, respectively; And the communication controller transmits, to the first switch and the second switch respectively connected to the first host and the second host, a packet having a MAC address of the first host or a MAC address of the second host as a destination And setting a forwarding rule for the forwarding rule.

본 발명의 실시예에서, 상기 제1 호스트 및 제2 호스트의 인증을 수행하는 단계는, 상기 통신 컨트롤러가 상기 제1 호스트의 인증을 수행하는 단계; 상기 통신 컨트롤러가 상기 제1 호스트의 인증 후 상기 제2 호스트의 인증 요청을 수신하는 단계; 및 상기 통신 컨트롤러가, 상기 제2 호스트의 인증에 성공할 경우, 성공 패킷 및 상기 제1 호스트의 MAC 주소를 상기 제2 호스트에 전송하는 단계를 포함할 수 있다.In an embodiment of the present invention, the step of performing authentication of the first host and the second host includes the steps of the communication controller performing authentication of the first host; The communication controller receiving an authentication request of the second host after authentication of the first host; And transmitting the success packet and the MAC address of the first host to the second host when the communication controller succeeds in authentication of the second host.

본 발명의 실시예에서, 상기 종단간 보안 통신 방법은, 상기 통신 컨트롤러가 하나 이상의 제3 호스트의 인증을 수행하는 단계; 및 상기 통신 컨트롤러가 상기 제3 호스트의 인증 성공 시 상기 제3 호스트의 MAC 주소를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계를 더 포함할 수 있다.In an embodiment of the present invention, the end-to-end secure communication method comprises: the communication controller performing authentication of one or more third hosts; And transmitting the MAC address of the third host to the first host and the second host when the communication controller succeeds in authentication of the third host.

본 발명의 실시예에서, 상기 포워딩 룰을 설정하는 단계는, 상기 통신 컨트롤러가, 상기 제1 호스트의 MAC 주소를 출발지로 하고 상기 제2 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제2 스위치로 직접 전송하도록 상기 제1 스위치의 포워딩 룰을 설정하는 단계를 포함할 수 있다.In the embodiment of the present invention, the step of setting the forwarding rule may be such that the communication controller transmits a packet having the MAC address of the first host as a departure point and the MAC address of the second host as a destination to the second switch And setting the forwarding rule of the first switch to directly transmit the forwarding rule.

본 발명의 실시예에서, 상기 포워딩 룰을 설정하는 단계는, 상기 통신 컨트롤러가, 상기 제2 호스트의 MAC 주소를 출발지로 하고 상기 제1 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제1 스위치로 직접 전송하도록 상기 제2 스위치의 포워딩 룰을 설정하는 단계를 포함할 수 있다. In the embodiment of the present invention, the step of setting the forwarding rule may be such that the communication controller sends a packet having the MAC address of the second host as a source and the MAC address of the first host as a destination, to the first switch And setting a forwarding rule of the second switch to directly transmit the forwarding rule.

상기한 본 발명의 목적을 실현하기 위한 다른 실시예에 따른 통신 컨트롤러는, 인증 서버와 통신하여 하나 이상의 호스트의 인증을 수행하도록 구성된 인증부; 상기 인증부에 의하여 인증된 호스트의 MAC 주소를 저장하는 정책 데이터베이스; 제1 호스트의 MAC 주소를 포함하는 보안키 생성 요청 패킷을 제2 호스트로부터 수신하고, 상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하며, 상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하여 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하도록 구성된 키 생성부; 및 상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰을 설정하도록 구성된 포워딩 룰 설정부를 갖는다.According to another aspect of the present invention for realizing the object of the present invention, there is provided a communication controller including an authentication unit configured to communicate with an authentication server to perform authentication of one or more hosts; A policy database storing a MAC address of a host authenticated by the authentication unit; Receiving a security key generation request packet including a MAC address of a first host from a second host, transmitting the security key generation request packet to the first host, receiving a security key generation request packet from the first host, A key generation unit configured to generate a security key for end-to-end secure communication between the first host and the second host and transmit the generated security key to the first host and the second host, respectively; And a forwarding rule for forwarding a MAC address of the first host or a MAC address of the second host to a first switch and a second switch respectively connected to the first host and the second host And a forwarding rule setting unit configured to set a forwarding rule.

본 발명의 실시예에서, 상기 정책 데이터베이스는 상기 제1 호스트의 MAC 주소를 포함하며, 상기 인증부는, 상기 제2 호스트의 인증 요청을 수신하고, 상기 제2 호스트의 인증에 성공할 경우 성공 패킷 및 상기 제1 호스트의 MAC 주소를 상기 제2 호스트에 전송할 수 있다. In the embodiment of the present invention, the policy database includes the MAC address of the first host, and the authentication unit receives the authentication request of the second host, and when the authentication of the second host is successful, And may transmit the MAC address of the first host to the second host.

본 발명의 실시예에서, 상기 인증부는, 하나 이상의 제3 호스트의 인증을 수행하며, 상기 제3 호스트의 인증 성공 시 상기 제3 호스트의 MAC 주소를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송할 수 있다. In an embodiment of the present invention, the authentication unit performs authentication of one or more third hosts, and when authentication of the third host is successful, transmits the MAC address of the third host to the first host and the second host, respectively .

본 발명의 실시예에서, 상기 포워딩 룰 설정부는, 상기 제1 호스트의 MAC 주소를 출발지로 하고 상기 제2 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제2 스위치로 직접 전송하도록 상기 제1 스위치의 포워딩 룰을 설정할 수 있다. In the embodiment of the present invention, the forwarding rule setting unit may set the forwarding rule of the first switch such that the forwarding rule setting unit directly transmits, to the second switch, a packet having the MAC address of the first host as a source and the MAC address of the second host as its destination You can set forwarding rules.

본 발명의 실시예에서, 상기 포워딩 룰 설정부는, 상기 제2 호스트의 MAC 주소를 출발지로 하고 상기 제1 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제1 스위치로 직접 전송하도록 상기 제2 스위치의 포워딩 룰을 설정할 수 있다.In the embodiment of the present invention, the forwarding rule setting unit sets the forwarding rule of the second switch such that the MAC address of the second host is used as a source and the packet having the MAC address of the first host as its destination is directly transmitted to the first switch You can set forwarding rules.

상기한 본 발명의 목적을 실현하기 위한 또 다른 실시예에 따른 컴퓨터 프로그램은, 통신 컨트롤러와 결합되어, 제1 호스트 및 제2 호스트의 인증을 수행하는 단계; 상기 제2 호스트로부터 상기 제1 호스트의 MAC 주소를 포함하는 보안키 생성 요청 패킷을 수신하는 단계; 상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하는 단계; 상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하는 단계; 생성된 상기 보안키를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계; 및 상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰을 설정하는 단계를 실행하며, 컴퓨터로 판독 가능한 기록 매체에 저장된다.According to another aspect of the present invention, there is provided a computer program for performing authentication of a first host and a second host in combination with a communication controller. Receiving a secure key generation request packet including the MAC address of the first host from the second host; Transmitting the secure key generation request packet to the first host; Generating a security key for end-to-end secure communication between the first host and the second host when receiving a secure key generation request packet from the first host; Transmitting the generated security key to the first host and the second host, respectively; And a forwarding rule for forwarding a MAC address of the first host or a MAC address of the second host to a first switch and a second switch respectively connected to the first host and the second host , And is stored in a computer-readable recording medium.

본 발명의 일 측면에 따른 종단간(end-to-end) 보안 통신 방법은, 종래의 MAC(Media Access Control) 보안 통신 방법과 달리 보안 통신의 영역을 크게 확대시킬 수 있으므로, 예컨대, 차량용 이더넷(Ethernet) 또는 사물 인터넷(Internet of Things; IoT) 환경 등 다양한 분야에 적용될 수 있다. 차량용 이더넷 장비나 IoT 장치의 경우 성능 상의 제약으로 인하여 기존의 IP 보안 통신 기술과 같은 레이어(layer) 3 보안 기법이 적용되기 힘들고 레이어 2 보안 기법이 적용되어야 하는데, 종래의 레이어 2 보안 대책인 MAC 보안 통신 기술은 서로 상이한 네트워크 상의 호스트에는 적용되기 힘들기 때문에 커버리지(coverage)가 작은 한계를 갖는다. 이때 본 발명의 일 측면에 따른 종단간 보안 통신 방법을 이용하면, 서로 상이한 네트워크로 확장된 MAC 보안 통신 기법을 적용함으로써 차량용 이더넷이나 소규모의 IoT 네트워크 등에서 보안 기술의 활용 가능성을 증가시킬 수 있는 이점이 있다.The end-to-end secure communication method according to an aspect of the present invention can greatly expand the area of secure communication unlike the conventional MAC (Media Access Control) secure communication method. Therefore, for example, Ethernet) or internet of things (IoT) environment. In the case of automotive Ethernet equipment or IoT devices, it is difficult to apply layer 3 security techniques such as existing IP security communication technology due to performance limitations, and layer 2 security techniques must be applied. In the conventional layer 2 security measures, MAC security Since the communication technology is difficult to apply to hosts on different networks, coverage has a small limitation. At this time, by using the end-to-end secure communication method according to one aspect of the present invention, it is possible to increase the possibility of using the security technology in the automotive Ethernet or the small-scale IoT network by applying the MAC secure communication method extended to different networks have.

도 1은 종래의 MAC(Media Access Control) 보안 통신 방법에서 종단 단말 간에 데이터 패킷이 전송되는 과정을 설명하기 위한 개념도이다.
도 2는 본 발명의 일 실시예에 따른 종단간(end-to-end) 보안 통신 방법을 실행하기 위한 통신 컨트롤러가 포함된 네트워크 토폴로지(topology)의 개념도이다.
도 3은 본 발명의 일 실시예에 따른 통신 컨트롤러의 블록이다.
도 4는 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 피어 리스트(peer list)를 공유하는 과정의 각 단계를 나타내는 순서도이다.
도 5는 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 통신 컨트롤러에 의한 보안키 생성 과정의 각 단계를 나타내는 순서도이다.
도 6은 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 인증 서버를 통한 인증 과정의 각 단계를 나타내는 순서도이다. FIG. 1 is a conceptual diagram illustrating a process of transmitting a data packet between end terminals in a conventional MAC (Media Access Control) secure communication method.
2 is a conceptual diagram of a network topology including a communication controller for implementing an end-to-end secure communication method in accordance with an embodiment of the present invention.
3 is a block diagram of a communication controller according to an embodiment of the present invention.
4 is a flowchart illustrating each step of sharing a peer list in the end-to-end secure communication method according to an embodiment of the present invention.
FIG. 5 is a flowchart illustrating each step of a security key generation process by a communication controller in an end-to-end secure communication method according to an embodiment of the present invention.
FIG. 6 is a flowchart illustrating each step of the authentication process by the authentication server in the end-to-end secure communication method according to an embodiment of the present invention.

후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.The following detailed description of the invention refers to the accompanying drawings, which illustrate, by way of illustration, specific embodiments in which the invention may be practiced. These embodiments are described in sufficient detail to enable those skilled in the art to practice the invention. It should be understood that the various embodiments of the present invention are different, but need not be mutually exclusive. For example, certain features, structures, and characteristics described herein may be implemented in other embodiments without departing from the spirit and scope of the invention in connection with an embodiment. It is also to be understood that the position or arrangement of the individual components within each disclosed embodiment may be varied without departing from the spirit and scope of the invention. The following detailed description is, therefore, not to be taken in a limiting sense, and the scope of the present invention is to be limited only by the appended claims, along with the full scope of equivalents to which such claims are entitled, if properly explained. In the drawings, like reference numerals refer to the same or similar functions throughout the several views.

이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다. Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the drawings.

도 2는 본 발명의 일 실시예에 따른 종단간(end-to-end) 보안 통신 방법을 실행하기 위한 통신 컨트롤러가 포함된 네트워크 토폴로지(topology)의 개념도이다. 2 is a conceptual diagram of a network topology including a communication controller for implementing an end-to-end secure communication method in accordance with an embodiment of the present invention.

도 2를 참조하면, 일 실시예에 따른 통신 컨트롤러(20)는 인증 서버(30) 및 하나 이상의 호스트(50, 60)와 통신하며 동작하도록 구성된다. 호스트(50, 60)는 네트워크를 통하여 데이터 패킷을 송수신하고자 하는 서버, 워크스테이션 또는 사용자 단말 등일 수 있으며 특정 형태로 한정되지 않는다. 각각의 호스트(50, 60)는 상응하는 스위치(55, 65)를 통하여 통신 컨트롤러(20) 및 인증 서버(30)에 통신 가능하게 연결된다. 스위치(55, 65)는 호스트(50, 60) 등 장비를 네트워크에 연결하기 위한 오픈 가상 스위치(open virtual switch)일 수 있다. 또한, 통신 컨트롤러(20)는 광대역 라우터(router) 등 하나 이상의 라우터(40)를 통하여 호스트(50, 60)에 통신 연결될 수도 있다. 2, a communication controller 20 in accordance with one embodiment is configured to communicate with and operate with an authentication server 30 and one or more hosts 50, 60. As shown in FIG. The hosts 50 and 60 may be a server, a workstation, a user terminal, and the like, which are intended to transmit and receive data packets through a network. Each host 50, 60 is communicatively coupled to the communication controller 20 and the authentication server 30 via corresponding switches 55, 65. The switches 55 and 65 may be open virtual switches for connecting devices such as the hosts 50 and 60 to the network. The communication controller 20 may also be communicatively coupled to the hosts 50 and 60 via one or more routers 40, such as a broadband router.

인증 서버(30)는 네트워크를 통한 보안 통신을 실현하기 위하여 각각의 호스트(50, 60)의 사용자 이름, 암호, 권한 등을 대상으로 하는 인증(Authentication), 권한부여(Authorization) 및 계정관리(Accounting) 기능을 가지는 AAA 프레임워크일 수 있다. 예를 들어, 인증 서버(30)는 RADIUS(Remote Access Dial-In User Service) 프로토콜 기반의 AA 프레임워크를 포함할 수 있으나, 이에 한정되는 것은 아니다. The authentication server 30 performs authentication, authorization and accounting for the user names, passwords, and privileges of the respective hosts 50 and 60 in order to realize secure communication through the network. ) Function. ≪ / RTI > For example, the authentication server 30 may include an AA framework based on a RADIUS (Remote Access Dial-In User Service) protocol, but is not limited thereto.

통신 컨트롤러(20)는, 인증 서버(30)와의 통신을 통하여 하나 이상의 호스트(50, 60)의 인증을 수행하도록 구성된다. 통신 컨트롤러(20)에 의하여 수행되는, 인증 서버(30) 와의 통신을 통한 인증 과정은 종래의 MAC 보안 통신 표준은 IEEE 802.1X 표준의 절차를 동일하게 채용할 수 있다. The communication controller 20 is configured to perform authentication of one or more hosts 50 and 60 through communication with the authentication server 30. [ The authentication process through communication with the authentication server 30 performed by the communication controller 20 may adopt the same IEEE 802.1X standard as the conventional MAC security communication standard.

또한 통신 컨트롤러(20)는, 인증된 제1 호스트(50) 및 제2 호스트(60)가 통신을 수행함에 있어서 소프트웨어 정의 네트워킹(Software Defined-Networking; SDN)을 활용하여, 각각의 호스트(50, 60)가 서로 상이한 네트워크에 속해있다는 사실은 숨기고 각 호스트(50, 60)가 공유할 보안키를 생성하여 각 호스트(50, 60)에 전송하는 기능을 한다. 통신 컨트롤러(20)에 의하여 SDN를 활용함으로써 제1 호스트(50)와 제2 호스트(60) 사이의 종단간 통신에 MAC 보안을 적용할 수 있다. The communication controller 20 also utilizes Software Defined-Networking (SDN) in the communication between the authenticated first host 50 and the second host 60, 60 are different from each other and hide the fact that they belong to different networks, and generate a security key to be shared by the hosts 50, 60 and transmit them to the hosts 50, 60. The SDN can be utilized by the communication controller 20 to apply MAC security to the end-to-end communication between the first host 50 and the second host 60. [

도 3은 도 2에 도시된 통신 컨트롤러(20)의 블록도이다. 3 is a block diagram of the communication controller 20 shown in FIG.

도 3을 참조하면, 일 실시예에서 통신 컨트롤러(20)는 인증부(201), 정책 데이터베이스(202), 키 생성부(203) 및 포워딩 룰 설정부(204)를 포함한다. 실시예들에 따른 통신 컨트롤러(20) 및 이에 포함된 각 부(unit)(201-204)는, 전적으로 하드웨어이거나, 또는 부분적으로 하드웨어이고 부분적으로 소프트웨어인 측면을 가질 수 있다. 또한, 통신 컨트롤러(20)를 구성하는 각 부(201-204)는 반드시 서로 물리적으로 구분되는 별개의 장치를 지칭하는 것으로 의도되지 않는다. 즉, 도 3에 도시된 인증부(201), 정책 데이터베이스(202), 키 생성부(203) 및 포워딩 룰 설정부(204)는 통신 컨트롤러(20)를 구성하는 하드웨어 및 소프트웨어를 이에 의해 수행되는 동작에 따라 기능적으로 구분한 것일 뿐, 반드시 각각의 부가 서로 독립적으로 구비되어야 하는 것이 아니다. 3, the communication controller 20 includes an authentication unit 201, a policy database 202, a key generation unit 203, and a forwarding rule setting unit 204 in one embodiment. The communication controller 20 and each of the units 201-204 included therein according to embodiments may be entirely hardware, or may be partially hardware, and partially software. In addition, each of the units 201-204 constituting the communication controller 20 is not necessarily intended to refer to a separate device that is physically separated from each other. That is, the authentication unit 201, the policy database 202, the key generation unit 203, and the forwarding rule setting unit 204 shown in FIG. 3 perform hardware and software constituting the communication controller 20 But they are not necessarily provided independently of each other.

인증부(201)는, 인증 서버(30)와 통신하면서 제1 호스트(50) 및 제2 호스트(60)의 인증을 수행하도록 구성된다. 또한 인증부(201)는, 도면에 도시되지 않은 하나 이상의 다른 호스트(또는, 제3 호스트로 지칭함)의 인증 과정을 수행할 수도 있다. 구체적인 인증 과정에 대해서는 도 6을 참조하여 상세히 후술한다.The authentication unit 201 is configured to perform authentication of the first host 50 and the second host 60 while communicating with the authentication server 30. [ The authentication unit 201 may also perform authentication of one or more other hosts (also referred to as a third host) not shown in the figure. The specific authentication process will be described later in detail with reference to FIG.

정책 데이터베이스(202)는, 인증부(201)에 의하여 인증된 하나 또는 복수의 호스트의 MAC 주소를 저장한다. 정책 데이터베이스(202)에 저장된, 인증된 호스트들의 MAC 주소는, 다른 추가적인 호스트가 인증부(201)에 의하여 인증되는 경우 피어 리스트(peer list)의 형태로 기존 인증된 호스트들에 전송될 수 있다. The policy database 202 stores MAC addresses of one or a plurality of hosts authenticated by the authentication unit 201. The MAC addresses of the authorized hosts stored in the policy database 202 may be transmitted to existing authenticated hosts in the form of a peer list if other additional hosts are authenticated by the authentication unit 201. [

키 생성부(203)는, 정책 데이터베이스(202)에 MAC 주소가 저장되어 있는 특정 호스트(예컨대, 제1 호스트(50))와 보안키를 맺고자 하는 보안키 생성 요청 패킷을 다른 호스트(예컨대, 제2 호스트(60))로부터 수신할 경우, 제1 호스트(50) 및 제2 호스트(60)가 공유하기 위한 보안키를 생성할 수 있다. 또한 키 생성부(203)는, 생성된 보안키를 제1 호스트(50) 및 제2 호스트(60)에 각각 전송할 수 있다. The key generation unit 203 transmits a security key generation request packet for establishing a security key with a specific host (for example, the first host 50) in which the MAC address is stored in the policy database 202, The first host 50 and the second host 60 may generate a secret key for sharing by the first host 50 and the second host 60, respectively. Also, the key generation unit 203 may transmit the generated security key to the first host 50 and the second host 60, respectively.

포워딩 룰(forwarding rule) 설정부(204)는, 보안키를 공유하는 제1 호스트(50) 및 제2 호스트(60)가 보안키로 암호화된 데이터 패킷으로 상호 간에 통신할 수 있도록, 제1 호스트(50)에 연결된 제1 스위치(55) 및 제2 호스트(60)에 연결된 제2 스위치(65)의 포워딩 룰을 설정하는 기능을 한다. 포워딩 룰 설정부(204)는, 제1 호스트(50) 및 제2 호스트(60)가 상호 간에 전송하는 데이터 패킷이 다른 스위치 등 노드를 경유할 필요 없이 직접 목적지에 전송될 수 있도록 포워딩 룰을 생성하고 이를 제1 스위치(55) 및 제2 호스트(60)에 전송하여 제1 스위치(55) 및 제2 호스트(60)의 포워딩 룰을 생성하거나 오버라이트(overwrite)할 수 있다. The forwarding rule setting unit 204 sets a forwarding rule for the first host 50 and the second host 60 that share the security key with the first host 50 and the second switch 65 connected to the second host 60. The first switch 55 and the second switch 65 are connected to each other. The forwarding rule setting unit 204 generates a forwarding rule so that the data packets transmitted between the first host 50 and the second host 60 can be directly transmitted to the destination without having to pass through other nodes such as switches And transmits it to the first switch 55 and the second host 60 to generate or overwrite the forwarding rule of the first switch 55 and the second host 60. [

이하에서는, 설명의 편의를 위하여, 도 2의 네트워크 토폴로지 및 도 3의 통신 컨트롤러의 블록도를 참조하여 실시예들에 따른 종단간 보안 통신 방법에 대하여 설명한다. Hereinafter, for convenience of description, an end-to-end secure communication method according to embodiments will be described with reference to the network topology of FIG. 2 and the block diagram of the communication controller of FIG.

도 4는 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 피어 리스트를 공유하는 과정의 각 단계를 나타내는 순서도이다.4 is a flowchart illustrating each step of sharing a peer list in an end-to-end secure communication method according to an embodiment of the present invention.

도 4를 참조하면, 통신 컨트롤러(20)는 먼저 제1 호스트(50)에 대한 인증을 수행하고(S11), 인증된 제1 호스트(50)의 MAC 주소를 통신 컨트롤러(20)의 정책 데이터베이스(202)에 저장할 수 있다(S12). 통신 컨트롤러(20)에 의한 인증 과정은 인증 서버(30) 와의 통신을 수반하여 수행될 수 있으며, 구체적인 인증 절차에 대해서는 도 6을 참조하여 상세히 후술한다. 4, the communication controller 20 first authenticates the first host 50 (S11), and transmits the MAC address of the authenticated first host 50 to the policy database (not shown) of the communication controller 20 202 (S12). The authentication process by the communication controller 20 can be performed by communicating with the authentication server 30. The specific authentication procedure will be described later in detail with reference to FIG.

이상과 같이 제1 호스트(50)가 인증된 상태에서, 아직 인증되지 않은 제2 호스트(60)로부터 인증 요청이 수신되는 경우(S13), 통신 컨트롤러(20)는 제1 호스트(50)의 인증과 동일한 방식으로 제2 호스트(60)의 인증을 수행한다(S14). 제2 호스트(60)의 인증이 성공할 경우, 통신 컨트롤러(20)는 제2 호스트(60)에 인증에 대한 성공 패킷을 전송하면서 동시에 정책 데이터베이스(202)에 저장된 제1 호스트(50)의 MAC 주소를 전송한다(S15). 전송된 MAC 주소는 제2 호스트(60)가 제1 호스트(50)와 보안키를 맺고자 하는 경우 보안키 생성 요청 패킷에 사용되며, 이는 도 5를 참조하여 상세히 후술한다. When the first host 50 is authenticated and the authentication request is received from the second host 60 that has not yet been authenticated (S13), the communication controller 20 authenticates the first host 50 The authentication of the second host 60 is performed (S14). When the authentication of the second host 60 is successful, the communication controller 20 transmits a success packet for authentication to the second host 60 while simultaneously transmitting the MAC address of the first host 50 stored in the policy database 202 (S15). The transmitted MAC address is used in the security key generation request packet when the second host 60 intends to establish a security key with the first host 50, which will be described later in detail with reference to FIG.

일 실시예에서, 통신 컨트롤러(20)는 추가적인 호스트가 인증에 성공할 때마다 새로 인증된 호스트의 MAC 주소를 포함하는 잠재적인 피어 리스트(peer list)를 기존 인증된 호스트에 전송한다. 예를 들어, 통신 컨트롤러(20)는, 제2 호스트(60)의 MAC 주소를 먼저 인증된 제1 호스트(50)에 전송할 수 있다. 또한 통신 컨트롤러(20)는, 추가적으로 하나 이상의 제3 호스트(미도시)의 인증에 성공할 경우(S16), 제3 호스트의 MAC 주소를 정책 데이터베이스(202)에 저장하며(S17), 제3 호스트의 MAC 주소를 제1 호스트(50) 및 제2 호스트(60)에 전송할 수 있다(S18). In one embodiment, the communication controller 20 sends a potential peer list containing the MAC address of the newly authenticated host to the existing authenticated host whenever an additional host successfully authenticates. For example, the communication controller 20 may transmit the MAC address of the second host 60 to the authenticated first host 50 first. In addition, if the authentication of the third host (not shown) is successful (S16), the communication controller 20 stores the MAC address of the third host in the policy database 202 (S17) MAC address to the first host 50 and the second host 60 (S18).

도 5는 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 통신 컨트롤러에 의한 보안키 생성 과정의 각 단계를 나타내는 순서도이다.FIG. 5 is a flowchart illustrating each step of a security key generation process by a communication controller in an end-to-end secure communication method according to an embodiment of the present invention.

도 5를 참조하면, 도 4를 참조하여 전술한 과정에 의하여 제1 호스트(50)의 MAC 주소를 수신한 제2 호스트(60)가, 제1 호스트(50)와 MAC 보안 통신을 위한 보안키를 맺고자 하는 경우, 제2 호스트(60)는 통신 컨트롤러(20)에 보안키 생성 요청 패킷을 전송할 수 있다(S21). 예컨대, 보안키 생성 요청 패킷은 IEEE 802.1X 표준에서 정의하는 EAPOL(Encapsulation over LAN)-MKA(MACsec Key Agreement) 패킷일 수 있다. 이때, 제2 호스트(60)는 인증에 대한 성공 패킷과 함께 수신된 제1 호스트(50)의 MAC 주소를 가지고 있으므로, 보안키를 맺고자 하는 제1 호스트(50)의 MAC 주소 및 제2 호스트(60)의 정보를 포함하여 EAPOL-MKA 패킷을 생성하고 이를 통신 컨트롤러(20)에 전송할 수 있다. 5, when the second host 60 receives the MAC address of the first host 50 according to the procedure described above with reference to FIG. 4, the second host 60 transmits a security key for MAC security communication with the first host 50 The second host 60 may transmit a security key generation request packet to the communication controller 20 (S21). For example, the secure key generation request packet may be an Encapsulation over LAN (EAPOL) -MKA (MACsec Key Agreement) packet defined in the IEEE 802.1X standard. At this time, since the second host 60 has the MAC address of the first host 50 received together with the authentication success packet, the MAC address of the first host 50 to which the security key is to be established, MKA packet including the information of the EAPOL-MKA 60 and transmit it to the communication controller 20.

제2 호스트(60)로부터의 보안키 생성 요청 패킷의 전송은 제2 호스트(60)에 상응하는 제2 스위치(65)를 통하여 수행될 수도 있으며, 이는 제1 호스트(50) 및/또는 제2 호스트(60)로부터 송수신되는 다른 패킷의 송수신에 있어서도 마찬가지이다. The transmission of the secure key generation request packet from the second host 60 may be performed through the second switch 65 corresponding to the second host 60 and this may be performed by the first host 50 and / The same is true for transmission and reception of other packets transmitted and received from the host 60.

제2 호스트(60)로부터 보안키 생성을 요청하는 EAPOL-MKA 패킷을 수신한 통신 컨트롤러(20)는 이를 제1 호스트(50)에 전송한다(S22). 보안키 생성 요청 패킷을 수신한 제1 호스트(50)에서는, 제2 호스트(60)와 보안키를 맺는 것에 동의할 경우, 마찬가지로 보안키 생성을 요청하는 EAPOL-MKA 패킷을 통신 컨트롤러(20)에 전송한다(S23). 제2 스위치(65)와 관련하여 전술한 것과 마찬가지로, 제1 호스트(50)로부터의 데이터 패킷의 송수신은 제1 호스트(50)에 상응하는 제1 스위치(55)를 통하여 이루어질 수도 있다. The communication controller 20, which has received the EAPOL-MKA packet requesting the security key generation from the second host 60, transmits it to the first host 50 (S22). When the first host 50 having received the secure key generation request packet agrees to establish a security key with the second host 60, the first host 50 transmits an EAPOL-MKA packet requesting the security key generation to the communication controller 20 (S23). Transmission and reception of data packets from the first host 50 may be made via the first switch 55 corresponding to the first host 50, as described above in connection with the second switch 65. [

통신 컨트롤러(20)는, 제2 호스트(60)의 EAPOL-MKA 패킷을 제1 호스트(50)에 전송한 후 제1 호스트(50)로부터도 EAPOL-MKA 패킷이 수신될 경우(S23), 제1 호스트(50)와 제2 호스트(60)가 공유하기 위한 보안키를 생성할 수 있다(S24). 통신 컨트롤러(20)는 제1 호스트(50) 및 제2 호스트(60) 각각의 정보와 MAC 주소를 저장하고 있으므로, 제1 호스트(50) 및 제2 호스트(60) 사이에서 MAC 보안 통신의 보안키로 동작할 보안 연관키(Secure Association Key; SAK)를 보안키로서 생성할 수 있다. When the EAPOL-MKA packet is received from the first host 50 (S23) after the EAPOL-MKA packet of the second host 60 is transmitted to the first host 50, The first host 50 and the second host 60 may generate a secret key for sharing (S24). The communication controller 20 stores the information and the MAC address of each of the first host 50 and the second host 60 so that the security of the MAC secure communication between the first host 50 and the second host 60 A security association key (SAK) to be operated as a key can be generated as a security key.

일 실시예에서 통신 컨트롤러(20)는, 보안키에 해당하는 SAK와 함께 연결 연관키(Connectivity Association Key; CAK)를 더 생성한다. CAK는 보안키가 IEEE 802.1X 프레임워크에 의하여 인증되어 네트워크에 사용되기 위한 것임을 인증하기 위한 마스터 보안 키로서, 통신 컨트롤러(20)에 의하여 보관된다. In one embodiment, the communication controller 20 further generates a connection association key (CAK) together with a SAK corresponding to the security key. The CAK is a master secret key for authenticating that the security key is to be authenticated by the IEEE 802.1X framework for use in a network, and is stored by the communication controller 20.

다음으로, 생성된 보안키 SAK는 통신 컨트롤러(20)에 의하여 제1 호스트(50) 및 제2 호스트(60)에 각각 전송된다(S25, S26). 제1 호스트(50) 및 제2 호스트(60)는, 통신 컨트롤러(20)에 의하여 수신된 보안키를 이용하여 데이터 패킷을 암호화하고 상대방을 목적지로 지정한 데이터 패킷을 전송함으로써 상호 간에 MAC 통신 보안 기술 기반의 통신을 수행할 수 있다. Next, the generated security key SAK is transmitted to the first host 50 and the second host 60 by the communication controller 20 (S25, S26), respectively. The first host 50 and the second host 60 encrypt the data packet using the security key received by the communication controller 20 and transmit the data packet designated as the destination to the other, Based communication can be performed.

이때, 암호화된 데이터 패킷이 제1 호스트(50) 및 제2 호스트(60) 사이에서 정상적으로 전송될 수 있도록 하기 위하여, 통신 컨트롤러(20)는 제1 호스트(50) 및 제2 호스트(60)가 각각 연결되어 있는 제1 스위치(55) 및 제2 스위치(65)에 포워딩 룰을 설정한다(S27, S28). 포워딩 룰은 제1 호스트(50) 및 제2 호스트(60)가 공유하는 보안키를 기반으로 암호화되어 전송되는 데이터 패킷이 제1 호스트(50) 및 제2 호스트(60) 사이에서 직접 전송됨으로써 다른 노드들과의 통신을 위한 추가적인 암호화 또는 복호화 과정을 배제하기 위한 것이다. At this time, in order for the encrypted data packet to be normally transmitted between the first host 50 and the second host 60, the first controller 50 and the second host 60 A forwarding rule is set for the first switch 55 and the second switch 65, which are connected to each other (S27, S28). The forwarding rule is such that a data packet encrypted and transmitted based on the security key shared by the first host 50 and the second host 60 is transmitted directly between the first host 50 and the second host 60, To exclude additional encryption or decryption processes for communication with the nodes.

구체적으로, 통신 컨트롤러(20)는 제1 호스트(50)의 MAC 주소를 출발지(source)로 하고 제2 호스트(60)의 MAC 주소를 도착지(destination)로 하는 패킷은 바로 제2 스위치(65)에 포워딩하도록 제1 스위치(55)의 포워딩 룰을 설정할 수 있다. 마찬가지로, 통신 컨트롤러(20)는 제2 호스트(60)의 MAC 주소를 출발지로 하고 제1 호스트(50)의 MAC 주소를 도착지로 하는 패킷은 바로 제1 스위치(55)에 포워딩하도록 제2 스위치(65)의 포워딩 룰을 설정할 수 있다. Specifically, the communication controller 20 directly transmits the packet having the MAC address of the first host 50 as a source and the MAC address of the second host 60 as a destination to the second switch 65, The forwarding rule of the first switch 55 can be set. Similarly, the communication controller 20 controls the second switch 60 to forward the packet having the MAC address of the second host 60 as a source and the MAC address of the first host 50 as a destination to the first switch 55 65 can be set.

따라서, 제1 호스트(50) 및 제2 호스트(60) 사이에서 MAC 주소를 기반으로 패킷을 전송함에 있어서 종래의 MAC 보안 통신과 달리 추가적인 노드들에 의한 데이터 패킷의 암호화 및 복호화 과정이 필요치 않은 이점이 있다. Accordingly, unlike the conventional MAC secure communication, there is no need to encrypt and decrypt data packets by additional nodes in transmitting packets based on the MAC address between the first host 50 and the second host 60 .

도 6은 본 발명의 일 실시예에 따른 종단간 보안 통신 방법에서 인증 서버를 통한 인증 과정의 각 단계를 나타내는 순서도이다. FIG. 6 is a flowchart illustrating each step of the authentication process by the authentication server in the end-to-end secure communication method according to an embodiment of the present invention.

도 6을 참조하면, 통신 컨트롤러(20)는 통신 컨트롤러(20)와 통신 가능한 제1 호스트(50)를 식별할 수 있다(S31). 식별 과정은 통신 컨트롤러(20)의 식별 요청에 대한 제1 호스트(50)의 응답을 통하여 이루어질 수 있으며, 식별 요청과 응답은 EAPOL-EAP(Extensible Authentication Protocol) 기반의 데이터 패킷을 포함할 수 있다. Referring to FIG. 6, the communication controller 20 can identify the first host 50 that can communicate with the communication controller 20 (S31). The identification process may be performed through the response of the first host 50 to the identification request of the communication controller 20, and the identification request and the response may include an EAPOL-Extensible Authentication Protocol (EAP) -based data packet.

식별 후 통신 프로토콜(20)을 통하여 인증 서버(30)와 제1 호스트(50) 사이의 통신 파라미터 설정 등을 위한 핸드셰이크(handshake)과정이 이루어지며, 제1 호스트(50)는 인증 서버(30)에 인증 요청을 전송할 수 있다(S32). 인증 요청은 EAP 프로토콜 기반의 패킷을 포함할 수 있다. A handshake process for establishing communication parameters between the authentication server 30 and the first host 50 is performed through the communication protocol 20 after the identification and the first host 50 sends a handshake message to the authentication server 30 (S32). ≪ / RTI > The authentication request may include an EAP protocol-based packet.

인증 요청을 수신한 인증 서버(30)는, 제1 호스트(50)에 인증 서버(30)의 서버 정보 및 서버 키를 EAPOL-EAP 데이터 패킷 형태로 전송할 수 있다(S33). 또한, 서버 정보 및 서버 키를 수신한 제1 호스트(50)는, 서버 정보 및 키의 유효성 여부에 대한 검증 후 유효한 것으로 결정될 경우 인증 서버(30)에 제1 호스트(50)의 정보 및 클라이언트 키를 EAPOL-EAP 데이터 패킷의 형태로 전송할 수 있다(34). 이때 전송되는 EAPOL-EAP 데이터 패킷은 암호화 스펙(Cipher spec)에 대한 변경 정보를 포함할 수 있다. The authentication server 30 having received the authentication request can transmit the server information of the authentication server 30 and the server key to the first host 50 in the form of an EAPOL-EAP data packet (S33). If it is determined that the server information and the server key are valid after verifying the validity of the server information and the key, the first host 50 receives the information of the first host 50 and the client key (34) in the form of an EAPOL-EAP data packet. The EAPOL-EAP data packet transmitted at this time may include change information for a cipher spec.

다음으로, 제1 호스트(50)와 인증 서버(30)는 암호화 스펙의 변경 정보 등을 기반으로 전송계층보안(Transport Layer Security; TLS)을 달성하고 제1 호스트(50)와 인증 서버(30) 사이의 암호화 채널을 생성할 수 있다(S35). Next, the first host 50 and the authentication server 30 achieve Transport Layer Security (TLS) based on the encryption specification change information and the like and transmit the TLS to the first host 50 and the authentication server 30, Lt; RTI ID = 0.0 > (S35). ≪ / RTI >

암호화 채널의 생성 후 제1 호스트(50)는 암호화 채널을 통하여 수신한 마스터 세션 키(Master Session Key; MSK)를 저장할 수 있다(S36). 또한, 제1 호스트(50)는 인증 응답을 인증 서버(30)에 전송할 수 있다(S37). 인증 응답은 EAPOL-EAP 프로토콜에서 정의하는 EAP-PEAP(Protected Extensible Authentication Protocol) 기반의 데이터 패킷을 포함할 수 있다. After the encryption channel is created, the first host 50 may store the master session key (MSK) received through the encryption channel (S36). Further, the first host 50 may transmit an authentication response to the authentication server 30 (S37). The authentication response may include an EAP-PEAP (Protected Extensible Authentication Protocol) -based data packet as defined in the EAPOL-EAP protocol.

인증 서버(30)는 인증 응답을 수신할 경우 인증에 대한 성공 패킷을 통신 컨트롤러(20)에 전송할 수 있다(S38). 통신 컨트롤러(20)는 인증 서버(30)로부터 수신된 MSK를 통신 컨트롤러(20)의 정책 데이터베이스(202)에 저장하며, 인증 성공을 나타내는 성공 패킷을 제1 호스트(50)에 전송한다(S40). 이때, 전술한 것과 같이, 통신 컨트롤러(20)는 SDK를 활용한 MAC 보안 통신을 위하여 네트워크 상의 통신 가능한 다른 호스트들의 MAC 주소를 포함하는 피어리스트를 성공 패킷과 함께 제1 호스트(50)에 전송할 수 있다. When the authentication server 30 receives the authentication response, it can transmit a success packet for authentication to the communication controller 20 (S38). The communication controller 20 stores the MSK received from the authentication server 30 in the policy database 202 of the communication controller 20 and transmits a success packet indicating successful authentication to the first host 50 (S40) . At this time, as described above, the communication controller 20 may transmit the peer list including MAC addresses of other hosts that can communicate on the network to the first host 50 together with the success packets for MAC secure communication using the SDK have.

도 6에서는 설명의 편의를 위하여 제1 호스트(50)를 대상으로 한 인증 절차에 대하여 설명하였으나, 동일한 인증 절차가 제2 호스트(60) 또는 하나 이상의 다른 추가적인 호스트의 인증 과정에 동일하게 적용될 수 있다는 점이 통상의 기술자에게 용이하게 이해될 것이다. Although the authentication procedure for the first host 50 has been described with reference to FIG. 6 for the sake of convenience, the same authentication procedure may be equally applied to the authentication process of the second host 60 or one or more additional hosts Point will be readily appreciated by those of ordinary skill in the art.

이와 같은, 종단간 보안 통신 방법은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. Such an end-to-end secure communication method may be implemented in an application or may be implemented in the form of program instructions that may be executed through various computer components and recorded in a computer-readable recording medium. The computer-readable recording medium may include program commands, data files, data structures, and the like, alone or in combination.

상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. The program instructions recorded on the computer-readable recording medium may be ones that are specially designed and configured for the present invention and are known and available to those skilled in the art of computer software.

컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floptical disks, media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like.

프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of program instructions include machine language code such as those generated by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules for performing the processing according to the present invention, and vice versa.

이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the present invention as defined by the following claims. You will understand.

100: 네트워크 분석기
101, 102, 50, 60: 호스트
103, 104, 105, 55, 65: 스위치
20: 통신 컨트롤러
201: 인증부
202: 정책 데이터베이스
203: 키 생성부
204: 포워딩 룰 생성부
30: 인증 서버
40: 라우터100: Network Analyzer
101, 102, 50, 60: Host
103, 104, 105, 55, 65: switch
20: Communication controller
201: Authentication section
202: Policy database
203:
204: forwarding rule generation unit
30: Authentication server
40: Router

Claims (11)

통신 컨트롤러가 제1 호스트 및 제2 호스트의 인증을 수행하는 단계;
상기 통신 컨트롤러가 상기 제2 호스트로부터 상기 제1 호스트의 MAC 주소를 포함하는 보안키 생성 요청 패킷을 수신하는 단계;
상기 통신 컨트롤러가 상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하는 단계;
상기 통신 컨트롤러가 상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하는 단계;
상기 통신 컨트롤러가 생성된 상기 보안키를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계; 및
상기 통신 컨트롤러가, 상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰을 설정하는 단계를 포함하는 종단간(end to end) 보안 통신 방법.
The communication controller performing authentication of the first host and the second host;
The communication controller receiving a secure key generation request packet including the MAC address of the first host from the second host;
The communication controller transmitting the security key generation request packet to the first host;
Generating a security key for end-to-end secure communication between the first host and the second host when the communication controller receives a secure key generation request packet from the first host;
Transmitting the security key generated by the communication controller to the first host and the second host, respectively; And
Wherein the communication controller has a first switch and a second switch respectively connected to the first host and the second host for transmitting a MAC address of the first host or a packet having a MAC address of the second host as a destination And establishing a forwarding rule for the end-to-end secure communication.
제1항에 있어서,
상기 제1 호스트 및 제2 호스트의 인증을 수행하는 단계는,
상기 통신 컨트롤러가 상기 제1 호스트의 인증을 수행하는 단계;
상기 통신 컨트롤러가 상기 제1 호스트의 인증 후 상기 제2 호스트의 인증 요청을 수신하는 단계; 및
상기 통신 컨트롤러가, 상기 제2 호스트의 인증에 성공할 경우, 성공 패킷 및 상기 제1 호스트의 MAC 주소를 상기 제2 호스트에 전송하는 단계를 포함하는 종단간 보안 통신 방법.
The method according to claim 1,
Wherein performing authentication of the first host and the second host comprises:
The communication controller performing authentication of the first host;
The communication controller receiving an authentication request of the second host after authentication of the first host; And
And if the communication controller succeeds in authenticating the second host, sending a success packet and a MAC address of the first host to the second host.
제1항에 있어서,
상기 통신 컨트롤러가 하나 이상의 제3 호스트의 인증을 수행하는 단계; 및
상기 통신 컨트롤러가 상기 제3 호스트의 인증 성공 시 상기 제3 호스트의 MAC 주소를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계를 더 포함하는 종단간 보안 통신 방법.
The method according to claim 1,
The communication controller performing authentication of one or more third hosts; And
Further comprising the step of the communication controller transmitting the MAC address of the third host to the first host and the second host, respectively, when authentication of the third host is successful.
제1항에 있어서,
상기 포워딩 룰을 설정하는 단계는, 상기 통신 컨트롤러가, 상기 제1 호스트의 MAC 주소를 출발지로 하고 상기 제2 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제2 스위치로 직접 전송하도록 상기 제1 스위치의 포워딩 룰을 설정하는 단계를 포함하는 종단간 보안 통신 방법.
The method according to claim 1,
Wherein the setting of the forwarding rule is performed by the communication controller such that the communication controller directly transmits a packet having the MAC address of the first host as a departure point and the MAC address of the second host as a destination to the second switch, And establishing a forwarding rule of the end-to-end secure communication.
제1항에 있어서,
상기 포워딩 룰을 설정하는 단계는, 상기 통신 컨트롤러가, 상기 제2 호스트의 MAC 주소를 출발지로 하고 상기 제1 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제1 스위치로 직접 전송하도록 상기 제2 스위치의 포워딩 룰을 설정하는 단계를 포함하는 종단간 보안 통신 방법.
The method according to claim 1,
Wherein the setting of the forwarding rule is performed by the communication controller such that the communication controller directly transmits a packet having the MAC address of the second host as a departure point and the MAC address of the first host as a destination to the first switch, And establishing a forwarding rule of the end-to-end secure communication.
인증 서버와 통신하여 하나 이상의 호스트의 인증을 수행하도록 구성된 인증부;
상기 인증부에 의하여 인증된 호스트의 MAC 주소를 저장하는 정책 데이터베이스;
제1 호스트의 MAC 주소를 포함하는 보안키 생성 요청 패킷을 제2 호스트로부터 수신하고, 상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하며, 상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하여 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하도록 구성된 키 생성부; 및
상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰을 설정하도록 구성된 포워딩 룰 설정부를 포함하는 통신 컨트롤러.
An authentication unit configured to communicate with an authentication server and perform authentication of one or more hosts;
A policy database storing a MAC address of a host authenticated by the authentication unit;
Receiving a security key generation request packet including a MAC address of a first host from a second host, transmitting the security key generation request packet to the first host, receiving a security key generation request packet from the first host, A key generation unit configured to generate a security key for end-to-end secure communication between the first host and the second host and transmit the generated security key to the first host and the second host, respectively; And
A forwarding rule for forwarding a packet having a MAC address of the first host or a MAC address of the second host as a destination is set in the first switch and the second switch respectively connected to the first host and the second host And a forwarding rule setting unit configured.
제6항에 있어서,
상기 정책 데이터베이스는 상기 제1 호스트의 MAC 주소를 포함하며,
상기 인증부는, 상기 제2 호스트의 인증 요청을 수신하고, 상기 제2 호스트의 인증에 성공할 경우 성공 패킷 및 상기 제1 호스트의 MAC 주소를 상기 제2 호스트에 전송하도록 더 구성된 통신 컨트롤러.
The method according to claim 6,
Wherein the policy database includes a MAC address of the first host,
Wherein the authentication unit is further configured to receive an authentication request of the second host, and send a success packet and a MAC address of the first host to the second host when authentication of the second host is successful.
제6항에 있어서,
상기 인증부는, 하나 이상의 제3 호스트의 인증을 수행하며, 상기 제3 호스트의 인증 성공 시 상기 제3 호스트의 MAC 주소를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송 하도록 더 구성된 통신 컨트롤러.
The method according to claim 6,
Wherein the authentication unit is further configured to perform authentication of one or more third hosts and to transmit the MAC address of the third host to the first host and the second host respectively upon authentication of the third host.
제6항에 있어서,
상기 포워딩 룰 설정부는, 상기 제1 호스트의 MAC 주소를 출발지로 하고 상기 제2 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제2 스위치로 직접 전송하도록 상기 제1 스위치의 포워딩 룰을 설정하는 통신 컨트롤러.
The method according to claim 6,
Wherein the forwarding rule setting unit sets a forwarding rule of the first switch to directly forward a packet having the MAC address of the first host as a source and the MAC address of the second host as a destination to the second switch, .
제6항에 있어서,
상기 포워딩 룰 설정부는, 상기 제2 호스트의 MAC 주소를 출발지로 하고 상기 제1 호스트의 MAC 주소를 도착지로 하는 패킷을 상기 제1 스위치로 직접 전송하도록 상기 제2 스위치의 포워딩 룰을 설정하는 통신 컨트롤러.
The method according to claim 6,
Wherein the forwarding rule setting unit sets a forwarding rule of the second switch so that a packet having the MAC address of the second host as a source and the MAC address of the first host as a destination is directly transmitted to the first switch, .
통신 컨트롤러와 결합되어,
제1 호스트 및 제2 호스트의 인증을 수행하는 단계;
상기 제2 호스트로부터 상기 제1 호스트의 MAC 주소를 포함하는 보안키 생성 요청 패킷을 수신하는 단계;
상기 제1 호스트로 상기 보안키 생성 요청 패킷을 전송하는 단계;
상기 제1 호스트로부터 보안키 생성 요청 패킷을 수신하는 경우, 상기 제1 호스트와 상기 제2 호스트 사이의 종단간 보안 통신을 위한 보안키를 생성하는 단계;
생성된 상기 보안키를 상기 제1 호스트 및 상기 제2 호스트에 각각 전송하는 단계; 및
상기 제1 호스트 및 상기 제2 호스트에 각각 연결된 제1 스위치 및 제2 스위치에, 상기 제1 호스트의 MAC 주소 또는 상기 제2 호스트의 MAC 주소를 목적지로 하는 패킷의 전송을 위한 포워딩 룰을 설정하는 단계를 실행하도록 컴퓨터로 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램.
Combined with the communication controller,
Performing authentication of the first host and the second host;
Receiving a secure key generation request packet including the MAC address of the first host from the second host;
Transmitting the secure key generation request packet to the first host;
Generating a security key for end-to-end secure communication between the first host and the second host when receiving a secure key generation request packet from the first host;
Transmitting the generated security key to the first host and the second host, respectively; And
A forwarding rule for forwarding a MAC address of the first host or a MAC address of the second host to a first switch and a second switch respectively connected to the first host and the second host is set A computer program stored in a computer-readable medium for executing steps.
KR1020180009171A 2017-12-20 2018-01-25 End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same KR102071707B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US16/170,373 US11075907B2 (en) 2017-12-20 2018-10-25 End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020170176096 2017-12-20
KR20170176096 2017-12-20

Publications (2)

Publication Number Publication Date
KR20190074912A true KR20190074912A (en) 2019-06-28
KR102071707B1 KR102071707B1 (en) 2020-01-30

Family

ID=67066266

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180009171A KR102071707B1 (en) 2017-12-20 2018-01-25 End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same

Country Status (1)

Country Link
KR (1) KR102071707B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100092768A (en) 2009-02-13 2010-08-23 삼성전자주식회사 Method for providing mac protocol for data communication security in wireless network communication
KR20140051802A (en) * 2012-10-23 2014-05-02 한국전자통신연구원 Method for setting packet forwarding rule and control apparatus using the method
KR20170012161A (en) * 2015-07-23 2017-02-02 주식회사 투아이피 METHOD FOR OPERATING COMMUNICATION CLIENT INSTALLED IN IoT DEVICE AND IoT DEVICE INCLUDING THE CLIENT
KR20170014852A (en) * 2015-07-31 2017-02-08 에스케이텔레콤 주식회사 Apparatus and method for processing traffic based on sdn

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100092768A (en) 2009-02-13 2010-08-23 삼성전자주식회사 Method for providing mac protocol for data communication security in wireless network communication
KR20140051802A (en) * 2012-10-23 2014-05-02 한국전자통신연구원 Method for setting packet forwarding rule and control apparatus using the method
KR20170012161A (en) * 2015-07-23 2017-02-02 주식회사 투아이피 METHOD FOR OPERATING COMMUNICATION CLIENT INSTALLED IN IoT DEVICE AND IoT DEVICE INCLUDING THE CLIENT
KR20170014852A (en) * 2015-07-31 2017-02-08 에스케이텔레콤 주식회사 Apparatus and method for processing traffic based on sdn

Also Published As

Publication number Publication date
KR102071707B1 (en) 2020-01-30

Similar Documents

Publication Publication Date Title
US11075907B2 (en) End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same
US20230070104A1 (en) Secure connections establishment
US9461975B2 (en) Method and system for traffic engineering in secured networks
US7028186B1 (en) Key management methods for wireless LANs
US20060259759A1 (en) Method and apparatus for securely extending a protected network through secure intermediation of AAA information
US20090175454A1 (en) Wireless network handoff key
US20070006296A1 (en) System and method for establishing a shared key between network peers
US20020090089A1 (en) Methods and apparatus for secure wireless networking
US20080141360A1 (en) Wireless Linked Computer Communications
US20130283050A1 (en) Wireless client authentication and assignment
US20160261414A1 (en) Secure authentication of remote equipment
WO2009082950A1 (en) Key distribution method, device and system
JP2010539839A (en) Security method in server-based mobile Internet protocol system
EP3340530B1 (en) Transport layer security (tls) based method to generate and use a unique persistent node identity, and corresponding client and server
WO2018060163A1 (en) Method to generate and use a unique persistent node identity, corresponding initiator node and responder node
Gao et al. SecT: A lightweight secure thing-centered IoT communication system
Niemiec et al. Authentication in virtual private networks based on quantum key distribution methods
KR102071707B1 (en) End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same
Alhumrani et al. Cryptographic protocols for secure cloud computing
Hauser et al. P4sec: Automated Deployment of 802.1 X, IPsec, and MACsec Network Protection in P4-Based SDN
WO2021032304A1 (en) Gateway devices and methods for performing a site-to-site communication
Sithirasenan et al. EAP-CRA for WiMAX, WLAN and 4G LTE Interoperability
JP2008199420A (en) Gateway device and authentication processing method
Boire et al. Credential provisioning and device configuration with EAP
Jiang et al. Network Security in RWNs

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant