MACsec 은 Layer 2에서 동작하는 암호화 기능으로, IEEE 802.1AE에서 정의하고 있는 국제 표준이다. 최근 주목을 받고 있는 IoT(사물인터넷) 와 같은 산업 분야의 장치들이 네트워크에 연결되면서 인터넷 트래픽이 급격히 증가하고 있으며, 다양한 인터넷 공격의 위기에 노출되고 있다. 기존의 네트워크 보안 기술들은 IPsec과 같이 Layer 3에서 이루어지는 경우가 많았다. 그러나 현재와 같이 트래픽이 급격히 증가하고 복잡해지는 상황에서는 특정 응용이나 프로토콜에 대한 보안 대신에 트래픽 전체를 보호하는 기능에 관심을 갖게 된다. 이러한 기술로 등장한 것이 Layer 2에서 트래픽 전체를 보호하는 기술인 MACsec 기술이다. 본 논문에서는 Layer 2 보안 기술인 MACsec을 기존 Layer 2 네트워크에 간편하고 쉽게 추가할 수 있는 기술로서 MACsec 어댑터를 제안한다. 그리고 MACsec의 특징 및 장점을 기술하고 실제 제품을 구현하여 시험을 진행한다.
MACsec 은 Layer 2에서 동작하는 암호화 기능으로, IEEE 802.1AE에서 정의하고 있는 국제 표준이다. 최근 주목을 받고 있는 IoT(사물인터넷) 와 같은 산업 분야의 장치들이 네트워크에 연결되면서 인터넷 트래픽이 급격히 증가하고 있으며, 다양한 인터넷 공격의 위기에 노출되고 있다. 기존의 네트워크 보안 기술들은 IPsec과 같이 Layer 3에서 이루어지는 경우가 많았다. 그러나 현재와 같이 트래픽이 급격히 증가하고 복잡해지는 상황에서는 특정 응용이나 프로토콜에 대한 보안 대신에 트래픽 전체를 보호하는 기능에 관심을 갖게 된다. 이러한 기술로 등장한 것이 Layer 2에서 트래픽 전체를 보호하는 기술인 MACsec 기술이다. 본 논문에서는 Layer 2 보안 기술인 MACsec을 기존 Layer 2 네트워크에 간편하고 쉽게 추가할 수 있는 기술로서 MACsec 어댑터를 제안한다. 그리고 MACsec의 특징 및 장점을 기술하고 실제 제품을 구현하여 시험을 진행한다.
MACsec is a cryptographic function that operates on Layer 2, the international standard defined in the IEEE 802.1AE. As industries such as IoT(Internet of Things) devices are receiving attention recently are connected to the network and Internet traffic is increasing rapidly, and is exposed to the r...
MACsec is a cryptographic function that operates on Layer 2, the international standard defined in the IEEE 802.1AE. As industries such as IoT(Internet of Things) devices are receiving attention recently are connected to the network and Internet traffic is increasing rapidly, and is exposed to the risk of a variety of Internet attacks. Traditional network security technologies were often made in Layer 3, such as IPsec. However, to be increased as rapidly as the current traffic situation is complicated, and became interested in the security function of protecting the entire traffic instead of for a specific application or protocol. It appeared as these technologies is technology MACsec technology to protect all traffic in Layer 2. In this paper, we propose a Layer 2 security technology adapter MACsec MACsec a technology that allows you to simply and easily add them to the existing Layer 2 networks.
MACsec is a cryptographic function that operates on Layer 2, the international standard defined in the IEEE 802.1AE. As industries such as IoT(Internet of Things) devices are receiving attention recently are connected to the network and Internet traffic is increasing rapidly, and is exposed to the risk of a variety of Internet attacks. Traditional network security technologies were often made in Layer 3, such as IPsec. However, to be increased as rapidly as the current traffic situation is complicated, and became interested in the security function of protecting the entire traffic instead of for a specific application or protocol. It appeared as these technologies is technology MACsec technology to protect all traffic in Layer 2. In this paper, we propose a Layer 2 security technology adapter MACsec MACsec a technology that allows you to simply and easily add them to the existing Layer 2 networks.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 MACsec 기능을 이용하여 L2에서 네트워크 트래픽 전체를 암호화 할 수 있는 어댑터 개발에 대한 내용을 다룬다.
이러한 시스템은 전체 시스템을 재구축해야하므로 많은 비용이 들어가게 된다. 본 논문에서는 MACsec을 지원하는 어댑터를 개발하여 기존 L2 네트워크에 장착하여 Layer 2 보안 기능을 제공할 수 있도록 하였다.
제안 방법
MACsec PHY의 이더넷 포트 중 2개는 L2스위치의 WAN 입력을 위한 MACsec이 적용되지 않는 Normal 포트로 사용되며, 나머지 2개의 포트는 암/복호화를 위한 MACsec 포트로 사용된다. 본 논문에서 구현된 MACsec 어댑터 장비는 최대 2개의 L2 스위치 장비에 연결 될 수 있으며, 관리용 포트는 로컬망에서 MACsec 어댑터 장비에 대한 상태 모니터링 및 MACsec PHY 칩을 제어한다.
본 논문에서는 MACsec 기능을 제공하는 PHY Chip을 이용하여 어댑터 형태로 MACsec 기능을 구현하고, 128bit/256bit 으로 MACsec 암호화 및 성능 시험을 진행하였다. 본 논문에서 개발한 MACsec 어댑터를 이용 하면 기존 L2 장비를 그대로 사용하면서 L2 보안을 위한 어댑터 형태로 MACsec 기능을 제공할 수 있음을 알수 있다.
MACsec_app 응용 프로그램은 MACsec PHY 칩을 초기화 한 후 보안키를 등록하고 SC(Secure Channel)를 생성한다. 생성된 SC에 대해서 보안키를 기반으로 데이터 암/복호화를 수행한다. 모든 MACsec PHY칩에 대한 설정이 완료되면 MACsec_app 제어 프로그램은 명령 대기 상태로 들어가 제어 및 상태 조회 등에 사용할수 있다.
그리고 WAN 포트를 노트북에 연결한다. 이때, 출력되는 패킷이 암호화된 패킷인지 확인하기 위해서 MACsec 포트의 LAN 선을 TAP(Test Access Point) 장비에 연결한 후 Wireshark과 같은 네트워크 모니터링 프로그램을 통해서 암호화가정상적으로 이루어지는지 확인한다. 그림 11은 실제 MACsec 동작 테스트 환경이다.
이를 해결하기 위해 기존의 L2 구축된 네트워크에서 L2의 보안 기능만을 향상시키기 위해서 적용할 수 있는 모델을 제안한다. 제안하는 모델은 추가적인 투자나 시스템 재설계를 진행하지 않아도 되는 이점이 있다.
전원이 인가되면 관리를 위한 이더넷 포트를 초기화 하고, MACsec PHY 칩 제어를 위한 MDIO-Bitbang 디바이스 드라이버를 초기화 한다. 다음으로 MACsec PHY 칩 제어 응용프로그램과 MDIO-Bitbang 드라이버를 연결하기 위한 PHY Bridge 디바이스 드라이버를 커널에 등록 시킨다.
이론/모형
그림 5에서 MACsec PHY를 기반으로 L2 암호화 통신을 위해서는 외부에서 PHY 칩에 대한 보안 설정이 가능해야 한다. 어댑터의 구현은 Cortex-M 계열 프로세서인 STM32F407을 사용한다. 리눅스 계열 운영체제를 사용하여 PHY 칩을 제어할 수 있도록 하고 PHY 칩을 제어하기 위해서는 MDIO 인터페이스가 필요하며, STM32 계열 프로세서는 1개의 MDIO 인터페이스를 지원하고 있다.
성능/효과
표 1은 MACsce 어댑터 실험 결과를 정리한 것이다. 본 논문에서 MACsec 어댑터는 128암호화 방식 (GCM-AES-128)과 256bit(GCM-AES-256)을 적용하여 Throughput을 통한 성능 검증을 하였으며, MAcsec 암호화를 통한 속도 저하 1~2% 수준으로 성능 저하가 거의 없음을 알 수 있다.
본 논문에서 개발하는 MACsec 어댑터는 그림 2의 기본적인 MACsec 암호화 기법 외에 VLAN(Virtual Local Area Network)환경에서도 end-to-end로 어댑터를 적용할 수 있도록 하는 VLAN Tag Bypass 기능을 지원하도록 한다.
본 논문에서는 MACsec 기능을 제공하는 PHY Chip을 이용하여 어댑터 형태로 MACsec 기능을 구현하고, 128bit/256bit 으로 MACsec 암호화 및 성능 시험을 진행하였다. 본 논문에서 개발한 MACsec 어댑터를 이용 하면 기존 L2 장비를 그대로 사용하면서 L2 보안을 위한 어댑터 형태로 MACsec 기능을 제공할 수 있음을 알수 있다.
후속연구
향후 연구로는 다양한 실험을 통해 효율성을 검증하고 상용화 진행이 필요한 것으로 사료된다.
질의응답
핵심어
질문
논문에서 추출한 답변
MACsec란?
MACsec 은 Layer 2에서 동작하는 암호화 기능으로, IEEE 802.1AE에서 정의하고 있는 국제 표준이다. 최근 주목을 받고 있는 IoT(사물인터넷) 와 같은 산업 분야의 장치들이 네트워크에 연결되면서 인터넷 트래픽이 급격히 증가하고 있으며, 다양한 인터넷 공격의 위기에 노출되고 있다.
Port 기반의 MACsec의 특징은?
전통적인 MACsec은 Port를 기반으로 네트워크를 보호한다. 즉, 네트워크 내부의 여러 장치들에 대해서 두 장치 사이에서만 기능을 지원한다. 이러한 기능을 Port 기반의 MACsec이라고 하며, hop-by-hop 보안 기능을 제공한다.
인터넷 트래픽이 급격하게 증가하게 된 이유는?
1AE에서 정의하고 있는 국제 표준이다. 최근 주목을 받고 있는 IoT(사물인터넷) 와 같은 산업 분야의 장치들이 네트워크에 연결되면서 인터넷 트래픽이 급격히 증가하고 있으며, 다양한 인터넷 공격의 위기에 노출되고 있다. 기존의 네트워크 보안 기술들은 IPsec과 같이 Layer 3에서 이루어지는 경우가 많았다.
참고문헌 (7)
Y. H. Kim, J. G. Yang and H. B. Kim, "Trends and threats of M2M / IoT," Korea Institute of Information Security & Cryptology, vol. 24, no. 6 pp. 48-59, Dec. 2014.
IEEE Std. 802.1AE, Media Access Control (MAC) Security, IEEE, 2006.
IEEE Std. 802.1AEbw, Media Access Control (MAC) Security, IEEE, 2013.
T. K. Kang, T. S. Jung, J. H. Yoo, "Carrier ethernet technology and standard status." ETRI ettrends, vol. 24, no. 3 pp. 78-90, June 2009.
H. Altunbasak, S. Krasser, H. Owen, J. Grimminger, H. Huth. and J. Sokol, "Securing Layer 2 in Local Area Networks," Networking-ICN 2005, vol. 3421 pp. 699-706, April 2005.
IEEE Std. 802.1X-2010, Standard for Local and metropolitan area networks - Port-Based Network Access Control, IEEE, 2010.
microsemi. Quad Port Dual Media QSGMII/SGMII GbE PHY with Intellisec and VeriTime[Internet]. Available: http://www.microsemi.com.
AI-Helper
※ AI-Helper는 부적절한 답변을 할 수 있습니다.