[go: up one dir, main page]

KR102234210B1 - Security method for ethernet based network - Google Patents

Security method for ethernet based network Download PDF

Info

Publication number
KR102234210B1
KR102234210B1 KR1020150105155A KR20150105155A KR102234210B1 KR 102234210 B1 KR102234210 B1 KR 102234210B1 KR 1020150105155 A KR1020150105155 A KR 1020150105155A KR 20150105155 A KR20150105155 A KR 20150105155A KR 102234210 B1 KR102234210 B1 KR 102234210B1
Authority
KR
South Korea
Prior art keywords
communication node
address
message
end node
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020150105155A
Other languages
Korean (ko)
Other versions
KR20170011826A (en
Inventor
윤진화
이의동
김동옥
Original Assignee
현대자동차주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 현대자동차주식회사 filed Critical 현대자동차주식회사
Priority to KR1020150105155A priority Critical patent/KR102234210B1/en
Publication of KR20170011826A publication Critical patent/KR20170011826A/en
Application granted granted Critical
Publication of KR102234210B1 publication Critical patent/KR102234210B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

이더넷 기반의 네트워크를 위한 보안 방법이 개시된다. 제1 통신 노드 동작 방법은, 제1 통신 노드와 연결된 적어도 하나의 통신 노드와 인증 절차를 수행하는 단계, 인증된 통신 노드의 식별 정보를 포함하는 테이블을 생성하는 단계, 및 식별 정보를 인증된 통신 노드에 전송하는 단계를 포함할 수 있다. 따라서, 차량 네트워크의 성능이 향상될 수 있다.A security method for an Ethernet-based network is disclosed. The first communication node operation method includes: performing an authentication procedure with at least one communication node connected to the first communication node, generating a table including identification information of the authenticated communication node, and authenticating the identification information. It may include transmitting to the node. Accordingly, the performance of the vehicle network can be improved.

Figure R1020150105155
Figure R1020150105155

Description

이더넷 기반의 네트워크를 위한 보안 방법{SECURITY METHOD FOR ETHERNET BASED NETWORK}Security method for Ethernet-based network {SECURITY METHOD FOR ETHERNET BASED NETWORK}

본 발명은 네트워크 보안 기술에 관한 것으로, 더욱 상세하게는 이더넷 기반의 네트워크를 위한 보안 방법에 관한 것이다.The present invention relates to a network security technology, and more particularly, to a security method for an Ethernet-based network.

차량용 부품의 전자화가 급속도로 진행됨에 따라 차량에 탑재되는 전자 장치의 종류와 수가 크게 증가되고 있다. 전자 장치는 크게 파워트레인(power train) 제어 시스템, 바디(body) 제어 시스템, 새시(chassis) 제어 시스템, 차량 네트워크(network), 멀티미디어(multimedia) 시스템 등에서 사용될 수 있다. 파워트레인 제어 시스템은 엔진 제어 시스템, 자동 변속 제어 시스템 등을 의미할 수 있다. 바디 제어 시스템은 바디 전장품 제어 시스템, 편의 장치 제어 시스템, 램프(lamp) 제어 시스템 등을 의미할 수 있다. 새시 제어 시스템은 조향 장치 제어 시스템, 브레이크(brake) 제어 시스템, 서스팬션(suspension) 제어 시스템 등을 의미할 수 있다. 차량 네트워크는 CAN(controller area network), 플렉스레이(FlexRay) 기반의 네트워크, MOST(media oriented system transport) 기반의 네트워크 등을 의미할 수 있다. 멀티미디어 시스템은 항법 장치 시스템, 텔레메틱스(telematics) 시스템, 인포테이먼트(infortainment) 시스템 등을 의미할 수 있다.[0003] As the electronicization of vehicle components proceeds rapidly, the types and numbers of electronic devices mounted on vehicles are greatly increasing. Electronic devices can be used in a power train control system, a body control system, a chassis control system, a vehicle network, a multimedia system, and the like. The powertrain control system may mean an engine control system, an automatic shift control system, or the like. The body control system may mean a body electronic component control system, a convenience device control system, a lamp control system, and the like. The chassis control system may mean a steering device control system, a brake control system, a suspension control system, and the like. The vehicle network may mean a controller area network (CAN), a FlexRay-based network, a media oriented system transport (MOST)-based network, and the like. The multimedia system may mean a navigation system system, a telematics system, an infotainment system, and the like.

이러한 시스템들 및 시스템들 각각을 구성하는 전자 장치들은 차량 네트워크를 통해 연결되어 있으며, 전자 장치들 각각의 기능을 지원하기 위한 차량 네트워크가 요구되고 있다. CAN은 최대 1Mbps의 전송 속도를 지원할 수 있으며, 충돌된 메시지의 자동 재전송, CRC(cycle redundancy interface) 기반의 오류 검출 등을 지원할 수 있다. 플렉스레이 기반의 네트워크는 최대 10Mbps의 전송 속도를 지원할 수 있으며, 2채널을 통한 데이터의 동시 전송, 동기 방식의 데이터 전송 등을 지원할 수 있다. MOST 기반의 네트워크는 고품질의 멀티미디어를 위한 통신 네트워크로, 최대 150Mbps의 전송 속도를 지원할 수 있다.These systems and electronic devices constituting each of the systems are connected through a vehicle network, and a vehicle network is required to support the functions of each of the electronic devices. CAN can support a transmission rate of up to 1Mbps, automatic retransmission of collided messages, and error detection based on cycle redundancy interface (CRC). A FlexRay-based network can support a transmission rate of up to 10Mbps, and can support simultaneous data transmission through two channels, synchronous data transmission, and the like. The MOST-based network is a communication network for high-quality multimedia and can support a transmission speed of up to 150Mbps.

한편, 차량의 텔레메틱스 시스템, 인포테이먼트 시스템, 향상된 안전 시스템 등은 높은 전송 속도, 시스템 확장성 등을 요구하며, CAN, 플렉스레이 기반의 네트워크 등은 이를 충분히 지원하지 못한다. MOST 기반의 네트워크는 CAN 및 플렉스레이 기반의 네트워크에 비해 높은 전송 속도를 지원할 수 있으나, 차량의 모든 네트워크에 MOST 기반의 네트워크가 적용되기 위해서는 많은 비용이 소모된다. 이러한 문제들에 의해, 차량 네트워크로 이더넷(ethernet) 기반의 네트워크가 고려될 수 있다. 이더넷 기반의 네트워크는 한 쌍의 권선을 통한 양방향 통신을 지원할 수 있으며, 최대 10Gbps의 전송 속도를 지원할 수 있다.On the other hand, vehicle telematics systems, infotainment systems, and improved safety systems require high transmission speeds and system scalability, and CAN and FlexRay-based networks do not support them sufficiently. MOST-based networks can support higher transmission rates than CAN and FlexRay-based networks, but it is expensive to apply MOST-based networks to all networks of vehicles. Due to these problems, an Ethernet-based network may be considered as a vehicle network. An Ethernet-based network can support bidirectional communication through a pair of windings, and can support a maximum transmission rate of 10 Gbps.

이더넷 기반의 차량 네트워크는 고정(fixed) 네트워크이며, 이러한 특성에 기초한 네트워크 보안 방법이 필요하다.The Ethernet-based vehicle network is a fixed network, and a network security method based on these characteristics is required.

상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 이더넷 기반의 네트워크를 위한 보안 방법을 제공하는 데 있다.An object of the present invention for solving the above problems is to provide a security method for an Ethernet-based network.

상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 이더넷 기반의 네트워크를 위한 보안 장치를 제공하는 데 있다.An object of the present invention for solving the above problems is to provide a security device for an Ethernet-based network.

상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 네트워크를 구성하는 제1 통신 노드 동작 방법은, 상기 제1 통신 노드와 연결된 적어도 하나의 통신 노드와 인증 절차를 수행하는 단계, 인증된 통신 노드의 식별 정보를 포함하는 테이블을 생성하는 단계, 및 상기 식별 정보를 상기 인증된 통신 노드에 전송하는 단계를 포함할 수 있다.A method of operating a first communication node constituting a network according to an embodiment of the present invention for achieving the above object includes the steps of performing an authentication procedure with at least one communication node connected to the first communication node, and an authenticated communication node. Generating a table including identification information of, and transmitting the identification information to the authenticated communication node.

여기서, 상기 제1 통신 노드는 스위치 또는 브릿지이고, 상기 제1 통신 노드에 연결된 상기 적어도 하나의 통신 노드는 엔드 노드일 수 있다.Here, the first communication node may be a switch or a bridge, and the at least one communication node connected to the first communication node may be an end node.

여기서, 상기 인증된 통신 노드의 식별 정보는 MAC 주소, IP 주소 및 포트 번호 중 적어도 하나를 포함할 수 있다.Here, the identification information of the authenticated communication node may include at least one of a MAC address, an IP address, and a port number.

여기서, 상기 MAC 주소는 상기 인증 절차를 통해 획득될 수 있다.Here, the MAC address may be obtained through the authentication procedure.

여기서, 상기 제1 통신 노드의 동작 방법은 상기 제1 통신 노드에 연결된 제2 통신 노드로부터 메시지를 수신하는 단계, 및 상기 메시지에 포함된 출발지 주소가 상기 테이블에 존재하는 경우, 상기 메시지에 포함된 목적지 주소에 의해 지시되는 제3 통신 노드로 상기 메시지를 전송하는 단계를 더 포함할 수 있다.Here, the method of operating the first communication node includes receiving a message from a second communication node connected to the first communication node, and when a source address included in the message exists in the table, It may further include transmitting the message to a third communication node indicated by the destination address.

여기서, 상기 제1 통신 노드의 동작 방법은, 상기 메시지에 포함된 출발지 주소가 상기 테이블에 존재하지 않으면, 상기 메시지를 폐기하는 단계를 더 포함할 수 있다.Here, the method of operating the first communication node may further include discarding the message if the source address included in the message does not exist in the table.

여기서, 상기 제1 통신 노드의 동작 방법은 상기 제1 통신 노드에 연결된 제2 통신 노드로부터 메시지를 수신하는 단계, 및 상기 메시지에 포함된 출발지 주소 및 상기 출발지 주소에 대응하는 포트 번호가 상기 테이블에 존재하는 경우, 상기 메시지에 포함된 목적지 주소에 의해 지시되는 제3 통신 노드로 상기 메시지를 전송하는 단계를 더 포함할 수 있다.Here, the method of operating the first communication node includes receiving a message from a second communication node connected to the first communication node, and a source address included in the message and a port number corresponding to the source address in the table. If present, transmitting the message to a third communication node indicated by the destination address included in the message.

여기서, 상기 제1 통신 노드의 동작 방법은 상기 출발지 주소 및 상기 출발지 주소에 대응하는 상기 포트 번호가 상기 테이블에 존재하지 않으면, 상기 메시지를 폐기하는 단계를 더 포함할 수 있다.Here, the method of operating the first communication node may further include discarding the message if the source address and the port number corresponding to the source address do not exist in the table.

상기 목적을 달성하기 위한 본 발명의 다른 실시예에 따른 네트워크를 구성하는 제1 통신 노드의 동작 방법은, 상기 제1 통신 노드와 연결된 제2 통신 노드와 인증 절차를 수행하는 단계, 상기 제2 통신 노드로부터 인증된 통신 노드의 식별 정보를 수신하는 단계, 상기 식별 정보에 의해 지시되는 적어도 하나의 통신 노드와 IP 주소 획득 절차를 수행하는 단계, 및 상기 식별 정보 및 획득된 IP 주소를 포함하는 테이블(table)을 생성하는 단계를 포함할 수 있다.In order to achieve the above object, a method of operating a first communication node constituting a network according to another embodiment of the present invention includes: performing an authentication procedure with a second communication node connected to the first communication node, the second communication Receiving identification information of an authenticated communication node from a node, performing a procedure for obtaining an IP address with at least one communication node indicated by the identification information, and a table including the identification information and the obtained IP address ( table).

여기서, 상기 제2 통신 노드는 스위치 또는 브릿지이고, 상기 제1 통신 노드 및 상기 적어도 하나의 통신 노드는 상기 제2 통신 노드에 연결된 엔드 노드일 수 있다.Here, the second communication node may be a switch or a bridge, and the first communication node and the at least one communication node may be an end node connected to the second communication node.

여기서, 상기 인증된 통신 노드의 식별 정보는 MAC 주소 및 포트 번호 중 적어도 하나를 포함할 수 있다.Here, the identification information of the authenticated communication node may include at least one of a MAC address and a port number.

여기서, 상기 IP 주소 획득 절차는 ARP에 기초하여 수행될 수 있다.Here, the IP address acquisition procedure may be performed based on ARP.

여기서, 상기 제1 통신 노드의 동작 방법은 상기 제2 통신 노드로부터 메시지를 수신하는 단계, 및 상기 메시지에 포함된 출발지 주소가 상기 테이블에 존재하는 경우, 상기 메시지에 포함된 데이터를 디코딩하는 단계를 더 포함할 수 있다.Here, the method of operating the first communication node includes receiving a message from the second communication node, and decoding data included in the message when the source address included in the message is present in the table. It may contain more.

여기서, 상기 제1 통신 노드의 동작 방법은 상기 메시지에 포함된 출발지 주소가 상기 테이블에 존재하지 않으면, 상기 메시지를 폐기하는 단계를 더 포함할 수 있다.Here, the method of operating the first communication node may further include discarding the message if the source address included in the message does not exist in the table.

여기서, 상기 제1 통신 노드의 동작 방법은 상기 제2 통신 노드로부터 메시지를 수신하는 단계, 및 상기 메시지에 포함된 출발지 주소 및 상기 출발지 주소에 대응하는 IP 주소가 상기 테이블에 존재하는 경우, 상기 메시지에 포함된 데이터를 디코딩하는 단계를 더 포함할 수 있다.Here, the method of operating the first communication node includes receiving a message from the second communication node, and when a source address included in the message and an IP address corresponding to the source address exist in the table, the message It may further include the step of decoding the data included in the.

여기서, 상기 제1 통신 노드의 동작 방법은 상기 메시지에 포함된 출발지 주소(SA) 및 상기 출발지 주소(SA)에 대응하는 상기 IP 주소가 상기 테이블에 존재하지 않으면, 상기 메시지를 폐기하는 단계를 더 포함할 수 있다.Here, the operation method of the first communication node further comprises the step of discarding the message if the source address (SA) included in the message and the IP address corresponding to the source address (SA) do not exist in the table. Can include.

본 발명에 의하면, 차량 네트워크에 존재할 수 없는 통신 노드에 의해 발생되는 트래픽(traffic)은 차단될 수 있으므로, 차량 네트워크에서 보안이 향상될 수 있다. 따라서, 차량 네트워크의 성능이 향상될 수 있다.According to the present invention, since traffic generated by a communication node that cannot exist in the vehicle network can be blocked, security in the vehicle network can be improved. Accordingly, the performance of the vehicle network can be improved.

도 1은 차량 네트워크의 토폴로지에 대한 일 실시예를 도시한 블록도이다.
도 2는 차량 네트워크를 구성하는 통신 노드의 일 실시예를 도시한 블록도이다.
도 3은 네트워크 보안 방법을 설명하기 위한 네트워크 토폴로지의 일 실시예를 도시한 블록도이다.
도 4는 본 발명의 일 실시예에 따른 인증된 통신 노드의 식별 정보를 포함하는 테이블을 생성하는 방법을 도시한 순서도이다.
도 5는 본 발명의 일 실시예에 따른 네트워크의 보안 방법을 도시한 흐름도이다.
도 6은 본 발명의 다른 실시예에 따른 네트워크의 보안 방법을 도시한 흐름도이다.
도 7은 이더넷 기반의 네트워크에서 사용되는 프레임의 일 실시예를 도시한 블록도이다.1 is a block diagram illustrating an embodiment of a topology of a vehicle network.
2 is a block diagram showing an embodiment of a communication node constituting a vehicle network.
3 is a block diagram illustrating an embodiment of a network topology for explaining a network security method.
4 is a flowchart illustrating a method of generating a table including identification information of an authenticated communication node according to an embodiment of the present invention.
5 is a flowchart illustrating a method of securing a network according to an embodiment of the present invention.
6 is a flowchart illustrating a network security method according to another embodiment of the present invention.
7 is a block diagram showing an embodiment of a frame used in an Ethernet-based network.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.In the present invention, various modifications may be made and various embodiments may be provided, and specific embodiments will be illustrated in the drawings and described in detail. However, this is not intended to limit the present invention to a specific embodiment, it should be understood to include all changes, equivalents, and substitutes included in the spirit and scope of the present invention.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.Terms such as first and second may be used to describe various elements, but the elements should not be limited by the terms. The above terms are used only for the purpose of distinguishing one component from another component. For example, without departing from the scope of the present invention, a first element may be referred to as a second element, and similarly, a second element may be referred to as a first element. The term and/or includes a combination of a plurality of related listed items or any of a plurality of related listed items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When a component is referred to as being "connected" or "connected" to another component, it is understood that it may be directly connected or connected to the other component, but other components may exist in the middle. It should be. On the other hand, when a component is referred to as being "directly connected" or "directly connected" to another component, it should be understood that there is no other component in the middle.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in the present application are only used to describe specific embodiments, and are not intended to limit the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In the present application, terms such as "comprise" or "have" are intended to designate the presence of features, numbers, steps, actions, components, parts, or combinations thereof described in the specification, but one or more other features. It is to be understood that the presence or addition of elements or numbers, steps, actions, components, parts, or combinations thereof does not preclude in advance.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless otherwise defined, all terms used herein including technical or scientific terms have the same meaning as commonly understood by one of ordinary skill in the art to which the present invention belongs. Terms as defined in a commonly used dictionary should be interpreted as having a meaning consistent with the meaning in the context of the related technology, and should not be interpreted as an ideal or excessively formal meaning unless explicitly defined in this application. Does not.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the accompanying drawings. In describing the present invention, in order to facilitate an overall understanding, the same reference numerals are used for the same elements in the drawings, and duplicate descriptions for the same elements are omitted.

도 1은 차량 네트워크의 토폴로지(topology)에 대한 일 실시예를 도시한 블록도이다.1 is a block diagram showing an embodiment of the topology of a vehicle network.

도 1을 참조하면, 차량 네트워크를 구성하는 통신 노드(communication node)는 게이트웨이(gateway), 스위치(switch)(또는, 브릿지(bridge)) 또는 엔드 노드(end node) 등을 의미할 수 있다. 게이트웨이(100)는 적어도 하나의 스위치(110, 110-1, 110-2, 120, 130)와 연결될 수 있으며, 서로 다른 네트워크를 연결할 수 있다. 예를 들어, 게이트웨이(100)는 CAN(controller area network)(또는, 플렉스레이(FlexRay), MOST(media oriented system transport), LIN(local interconnect network) 등) 프로토콜을 지원하는 스위치와 이더넷(ethernet) 프로토콜을 지원하는 스위치 간을 연결할 수 있다. 스위치들(110, 110-1, 110-2, 120, 130) 각각은 적어도 하나의 엔드 노드(111, 112, 113, 121, 122, 123, 131, 132, 133)와 연결될 수 있다. 스위치들(110, 110-1, 110-2, 120, 130) 각각은 엔드 노드(111, 112, 113, 121, 122, 123, 131, 132, 133)를 상호 연결할 수 있고, 자신과 연결된 엔드 노드(111, 112, 113, 121, 122, 123, 131, 132, 133)를 제어할 수 있다.Referring to FIG. 1, a communication node constituting a vehicle network may mean a gateway, a switch (or, a bridge), or an end node. The gateway 100 may be connected to at least one switch 110, 110-1, 110-2, 120, 130, and may connect different networks. For example, the gateway 100 is a switch that supports a controller area network (CAN) (or FlexRay, media oriented system transport (MOST), a local interconnect network (LIN), etc.) protocol and an Ethernet. You can connect between switches that support the protocol. Each of the switches 110, 110-1, 110-2, 120, and 130 may be connected to at least one end node 111, 112, 113, 121, 122, 123, 131, 132, 133. Each of the switches 110, 110-1, 110-2, 120, and 130 can interconnect end nodes 111, 112, 113, 121, 122, 123, 131, 132, and 133, and are connected to the end nodes. Nodes 111, 112, 113, 121, 122, 123, 131, 132, 133 can be controlled.

엔드 노드(111, 112, 113, 121, 122, 123, 131, 132, 133)는 차량에 포함된 각종 장치를 제어하는 ECU(electronic control unit)를 의미할 수 있다. 예를 들어, 엔드 노드(111, 112, 113, 121, 122, 123, 131, 132, 133)는 인포테인먼트(infortainment) 장치(예를 들어, 디스플레이(display) 장치, 내비게이션(navigation) 장치, 어라운드 뷰 모니터링(around view monitoring) 장치) 등을 구성하는 ECU를 의미할 수 있다.The end nodes 111, 112, 113, 121, 122, 123, 131, 132, and 133 may refer to an electronic control unit (ECU) that controls various devices included in the vehicle. For example, the end nodes 111, 112, 113, 121, 122, 123, 131, 132, 133 are infotainment devices (e.g., display devices, navigation devices, around view devices). It may refer to an ECU constituting a monitoring (around view monitoring) device) or the like.

한편, 차량 네트워크를 구성하는 통신 노드들(즉, 게이트웨이, 스위치, 엔드 노드 등)은 스타(star) 토폴로지, 버스(bus) 토폴로지, 링(ring) 토폴로지, 트리(tree) 토폴로지, 메쉬(mesh) 토폴로지 등으로 연결될 수 있다. 또한, 차량 네트워크를 구성하는 통신 노드들 각각은 CAN 프로토콜, 플렉스레이 프로토콜, MOST 프로토콜, LIN 프로토콜, 이더넷 프로토콜 등을 지원할 수 있다. 본 발명에 따른 실시예들은 앞서 설명된 네트워크 토폴로지에 적용될 수 있으며, 본 발명에 따른 실시예들이 적용되는 네트워크 토폴로지는 이에 한정되지 않고 다양하게 구성될 수 있다.
Meanwhile, communication nodes (ie, gateways, switches, end nodes, etc.) constituting the vehicle network are star topology, bus topology, ring topology, tree topology, and mesh. It can be connected by topology or the like. In addition, each of the communication nodes constituting the vehicle network may support CAN protocol, FlexRay protocol, MOST protocol, LIN protocol, Ethernet protocol, and the like. The embodiments according to the present invention may be applied to the network topology described above, and the network topology to which the embodiments according to the present invention are applied is not limited thereto and may be configured in various ways.

도 2는 차량 네트워크를 구성하는 통신 노드의 일 실시예를 도시한 블록도이다.2 is a block diagram showing an embodiment of a communication node constituting a vehicle network.

도 2를 참조하면, 네트워크를 구성하는 통신 노드(200)는 PHY 계층 블록(210) 및 컨트롤러(220)를 포함할 수 있다. 이때, 컨트롤러(220)는 MAC(medium access control) 계층을 포함하여 구현될 수 있다. PHY 계층 블록(210)은 다른 통신 노드로부터 신호를 수신할 수 있거나, 다른 통신 노드로 신호를 전송할 수 있다. 컨트롤러(220)는 PHY 계층 블록(210)을 제어할 수 있고, 다양한 기능들(예를 들어, 인포테인먼트 기능 등)을 수행할 수 있다. PHY 계층 블록(210)과 컨트롤러(220)는 하나의 SoC(System on Chip)로 구현될 수도 있고, 별도의 칩으로 구성될 수도 있다.Referring to FIG. 2, a communication node 200 constituting a network may include a PHY layer block 210 and a controller 220. In this case, the controller 220 may be implemented including a medium access control (MAC) layer. The PHY layer block 210 may receive a signal from another communication node or may transmit a signal to another communication node. The controller 220 may control the PHY layer block 210 and may perform various functions (eg, an infotainment function, etc.). The PHY layer block 210 and the controller 220 may be implemented as one SoC (System on Chip), or may be configured as separate chips.

PHY 계층 블록(210)과 컨트롤러(220)는 매체 독립 인터페이스(media independent interface, MII)(230)를 통해 연결될 수 있다. MII(230)는 IEEE 802.3에 규정된 인터페이스를 의미할 수 있으며, PHY 계층 블록(210)과 컨트롤러(220) 간의 데이터 인터페이스 및 관리 인터페이스로 구성될 수 있다. MII(230) 대신에 RMII(reduced MII), GMII(gigabit MII), RGMII(reduced GMII), SGMII(serial GMII), XGMII(10 GMII) 중 하나의 인터페이스가 사용될 수 있다. 데이터 인터페이스는 전송 채널(channel) 및 수신 채널을 포함할 수 있으며, 채널들 각각은 독립적인 클럭(clock), 데이터 및 제어 신호를 가질 수 있다. 관리 인터페이스는 2-신호 인터페이스로 구성될 수 있으며, 하나는 클럭을 위한 신호이고 다른 하나는 데이터를 위한 신호일 수 있다.The PHY layer block 210 and the controller 220 may be connected through a media independent interface (MII) 230. The MII 230 may mean an interface specified in IEEE 802.3, and may be configured as a data interface and a management interface between the PHY layer block 210 and the controller 220. Instead of the MII 230, one of RMII (reduced MII), GMII (gigabit MII), RGMII (reduced GMII), SGMII (serial GMII), and XGMII (10 GMII) interfaces may be used. The data interface may include a transmission channel and a reception channel, and each of the channels may have independent clocks, data, and control signals. The management interface may be composed of a two-signal interface, and one may be a signal for a clock and the other may be a signal for data.

PHY 계층 블록(210)은 PHY 계층 인터페이스부(211), PHY 계층 프로세서(212) 및 PHY 계층 버퍼(213) 등을 포함할 수 있다. PHY 계층 블록(210)의 구성은 이에 한정되지 않으며, PHY 계층 블록(210)은 다양하게 구성될 수 있다. PHY 계층 인터페이스부(211)는 컨트롤러(220)로부터 수신된 신호를 PHY 계층 프로세서(212)로 전송할 수 있고, PHY 계층 프로세서(212)로부터 수신된 신호를 컨트롤러(220)에 전송할 수 있다. PHY 계층 프로세서(212)는 PHY 계층 인터페이스부(211) 및 PHY 계층 버퍼(213) 각각의 동작을 제어할 수 있다. PHY 계층 프로세서(212)는 전송할 신호의 변조 또는 수신된 신호의 복조를 수행할 수 있다. PHY 계층 프로세서(212)는 신호를 입력 또는 출력하도록 PHY 계층 버퍼(213)를 제어할 수 있다. PHY 계층 버퍼(213)는 수신된 신호를 저장할 수 있고, PHY 계층 프로세서(212)의 요청에 따라 저장된 신호를 출력할 수 있다.The PHY layer block 210 may include a PHY layer interface unit 211, a PHY layer processor 212, and a PHY layer buffer 213. The configuration of the PHY layer block 210 is not limited thereto, and the PHY layer block 210 may be configured in various ways. The PHY layer interface unit 211 may transmit a signal received from the controller 220 to the PHY layer processor 212 and may transmit a signal received from the PHY layer processor 212 to the controller 220. The PHY layer processor 212 may control the operation of each of the PHY layer interface unit 211 and the PHY layer buffer 213. The PHY layer processor 212 may perform modulation of a signal to be transmitted or demodulation of a received signal. The PHY layer processor 212 may control the PHY layer buffer 213 to input or output a signal. The PHY layer buffer 213 may store the received signal and may output the stored signal according to the request of the PHY layer processor 212.

컨트롤러(220)는 MII(230)를 통해 PHY 계층 블록(210)에 대한 모니터링 및 제어를 수행할 수 있다. 컨트롤러(220)는 컨트롤러 인터페이스부(221), 코어(222), 주 메모리(memory)(223) 및 보조 메모리(224) 등을 포함할 수 있다. 컨트롤러(220)의 구성은 이에 한정되지 않으며, 컨트롤러(220)는 다양하게 구성될 수 있다. 컨트롤러 인터페이스부(221)는 PHY 계층 블록(210)(즉, PHY 계층 인터페이스부(211)) 또는 상위 계층(미도시)으로부터 신호를 수신할 수 있고, 수신된 신호를 코어(222)에 전송할 수 있고, 코어(222)로부터 수신된 신호를 PHY 계층 블록(210) 또는 상위 계층에 전송할 수 있다. 코어(222)는 컨트롤러 인터페이스부(221), 주 메모리(223) 및 보조 메모리(224)를 제어하기 위한 독립된 메모리 컨트롤 로직(control logic) 또는 통합 메모리 컨트롤 로직을 더 포함할 수 있다. 메모리 컨트롤 로직은 주 메모리(223) 및 보조 메모리(224)에 포함되어 구현될 수도 있으며, 또는 코어(222)에 포함되어 구현될 수도 있다.The controller 220 may monitor and control the PHY layer block 210 through the MII 230. The controller 220 may include a controller interface unit 221, a core 222, a main memory 223, an auxiliary memory 224, and the like. The configuration of the controller 220 is not limited thereto, and the controller 220 may be configured in various ways. The controller interface unit 221 may receive a signal from the PHY layer block 210 (ie, the PHY layer interface unit 211) or an upper layer (not shown), and transmit the received signal to the core 222. In addition, the signal received from the core 222 may be transmitted to the PHY layer block 210 or an upper layer. The core 222 may further include independent memory control logic or integrated memory control logic for controlling the controller interface unit 221, the main memory 223, and the auxiliary memory 224. The memory control logic may be implemented by being included in the main memory 223 and the auxiliary memory 224, or may be implemented by being included in the core 222.

주 메모리(223) 및 보조 메모리(224) 각각은 코어(222)에 의해 처리된 신호를 저장할 수 있고, 코어(222)의 요청에 따라 저장된 신호를 출력할 수 있다. 주 메모리(223)는 코어(222)의 동작을 위해 필요한 데이터를 일시 저장하는 휘발성 메모리(예를 들어, RAM(random access memory) 등)를 의미할 수 있다. 보조 메모리(224)는 운영체제 코드(operating system code)(예를 들어, 커널(kernel) 및 디바이스 드라이버(device driver))와 컨트롤러(220)의 기능을 수행하기 위한 응용 프로그램(application program) 코드 등이 저장되는 비휘발성 메모리를 의미할 수 있다. 비휘발성 메모리로 빠른 처리 속도를 가지는 플래쉬 메모리(flash memory)가 사용될 수 있고, 또는 대용량의 데이터 저장을 위한 하드 디스크 드라이브(hard disc drive, HDD), CD-ROM(compact disc-read only memory) 등이 사용될 수 있다. 코어(222)는 통상적으로 적어도 하나의 프로세싱 코어를 포함하는 로직 회로로 구성될 수 있다. 코어(222)로 ARM(Advanced RISC Machines Ltd.) 계열의 코어, 아톰(atom) 계열의 코어 등이 사용될 수 있다.Each of the main memory 223 and the auxiliary memory 224 may store a signal processed by the core 222 and may output the stored signal according to the request of the core 222. The main memory 223 may refer to a volatile memory (eg, random access memory (RAM)) that temporarily stores data necessary for the operation of the core 222. The auxiliary memory 224 includes operating system code (eg, a kernel and device driver) and an application program code for performing functions of the controller 220. It may mean a nonvolatile memory that is stored. Flash memory with high processing speed can be used as non-volatile memory, or hard disk drive (HDD), compact disc-read only memory (CD-ROM), etc. for storing large amounts of data Can be used. The core 222 may typically be composed of a logic circuit including at least one processing core. As the core 222, an ARM (Advanced RISC Machines Ltd.) series core, an atom series core, and the like may be used.

아래에서는, 차량 네트워크에 속하는 통신 노드와 이에 대응하는 상대(counterpart) 통신 노드에서 수행되는 방법이 설명될 것이다. 이하에서, 제1 통신 노드에서 수행되는 방법(예를 들어, 신호의 전송 또는 수신)이 설명되는 경우에도 이에 대응하는 제2 통신 노드는 제1 통신 노드에서 수행되는 방법과 상응하는 방법(예를 들어, 신호의 수신 또는 전송)을 수행할 수 있다. 즉, 제1 통신 노드의 동작이 설명된 경우에 이에 대응하는 제2 통신 노드는 제1 통신 노드의 동작과 상응하는 동작을 수행할 수 있다. 반대로, 제2 통신 노드의 동작이 설명된 경우에 이에 대응하는 제1 통신 노드는 스위치의 동작과 상응하는 동작을 수행할 수 있다.
In the following, a method performed by a communication node belonging to the vehicle network and a counterpart communication node corresponding thereto will be described. Hereinafter, even when a method performed in the first communication node (for example, transmission or reception of a signal) is described, the corresponding second communication node is a method corresponding to the method performed in the first communication node (for example, For example, signal reception or transmission) can be performed. That is, when the operation of the first communication node is described, the second communication node corresponding thereto may perform an operation corresponding to the operation of the first communication node. Conversely, when the operation of the second communication node is described, the first communication node corresponding thereto may perform an operation corresponding to the operation of the switch.

도 3은 네트워크 보안 방법을 설명하기 위한 네트워크 토폴로지의 일 실시예를 도시한 블록도이다.3 is a block diagram illustrating an embodiment of a network topology for explaining a network security method.

도 3을 참조하면, 스위치들(310, 320, 330) 및 엔드 노드들(311, 312, 313, 321, 322, 323, 331, 332, 333)은 도 1을 참조하여 설명된 차량 네트워크를 구성할 수 있고, 이더넷 프로토콜을 지원할 수 있다. 스위치들(310, 320, 330) 및 엔드 노드들(311, 312, 313, 321, 322, 323, 331, 332, 333) 각각은 도 2를 참조하여 설명된 통신 노드(200)를 의미할 수 있다. 스위치 1(310)은 포트 1을 통해 엔드 노드 1(311)과 연결될 수 있고, 포트 2를 통해 엔드 노드 2(312)와 연결될 수 있고, 포트 3을 통해 엔드 노드 3(313)과 연결될 수 있고, 포트 4를 통해 스위치 2(320)와 연결될 수 있다. 여기서, 엔드 노드 3(313)은 차량 네트워크에 불법적으로 침입한 노드를 의미할 수 있으며, 엔드 노드 3(313)에 의해 차량 네트워크에 불필요한 트래픽(traffic)이 발생될 수 있다.3, switches 310, 320, 330 and end nodes 311, 312, 313, 321, 322, 323, 331, 332, 333 constitute the vehicle network described with reference to FIG. It can, and can support Ethernet protocols. Each of the switches 310, 320, 330 and end nodes 311, 312, 313, 321, 322, 323, 331, 332, 333 may mean the communication node 200 described with reference to FIG. have. The switch 1 310 may be connected to the end node 1 311 through port 1, may be connected to the end node 2 312 through port 2, and may be connected to the end node 3 313 through port 3, , It may be connected to the switch 2 (320) through the port 4. Here, the end node 3 313 may mean a node illegally invading the vehicle network, and unnecessary traffic may be generated in the vehicle network by the end node 3 313.

스위치 2(320)는 포트 1을 통해 스위치 1(310)과 연결될 수 있고, 포트 2를 통해 엔드 노드 4(321)와 연결될 수 있고, 포트 3을 통해 엔드 노드 5(322)와 연결될 수 있고, 포트 4를 통해 엔드 노드 6(323)과 연결될 수 있고, 포트 5를 통해 스위치 3(330)과 연결될 수 있다. 스위치 3(330)은 포트 1을 통해 스위치 2(320)와 연결될 수 있고, 포트 2를 통해 엔드 노드 7(331)과 연결될 수 있고, 포트 3을 통해 엔드 노드 8(332)과 연결될 수 있고, 포트 4를 통해 엔드 노드 9(333)와 연결될 수 있다.The switch 2 320 may be connected to the switch 1 310 through port 1, may be connected to the end node 4 321 through port 2, and may be connected to the end node 5 322 through port 3, It may be connected to the end node 6 (323) through port 4, it may be connected to the switch 3 (330) through port 5. The switch 3 330 may be connected to the switch 2 320 through port 1, may be connected to the end node 7 331 through port 2, and may be connected to the end node 8 332 through port 3, It may be connected to the end node 9 (333) through port 4.

스위치들(310, 320, 330) 및 엔드 노드들(311, 312, 321, 322, 323, 331, 332, 333) 각각은 차량 네트워크의 토폴로지 정보를 가질 수 있다. 예를 들어, 스위치들(310, 320, 330) 및 엔드 노드들(311, 312, 321, 322, 323, 331, 332, 333) 각각은 차량 네트워크에 전원이 인가되는 경우(예를 들어, 차량에 배터리(battery)가 장착되는 경우) 상위 통신 노드(예를 들어, 스위치, 게이트웨이 등)로부터 차량 네트워크의 토폴로지 정보를 포함한 메시지를 수신할 수 있고, 수신된 메시지를 통해 차량 네트워크의 토폴로지를 확인할 수 있다. 또는, 스위치들(310, 320, 330) 및 엔드 노드들(311, 312, 321, 322, 323, 331, 332, 333) 각각에 차량 네트워크의 토폴로지 정보가 미리 저장될 수 있으며, 차량 네트워크에 전원이 인가되는 경우 스위치들(310, 320, 330) 및 엔드 노드들(311, 312, 321, 322, 323, 331, 332, 333) 각각은 저장된 정보를 기초로 차량 네트워크의 토폴로지를 확인할 수 있다.Each of the switches 310, 320, 330 and end nodes 311, 312, 321, 322, 323, 331, 332 and 333 may have topology information of a vehicle network. For example, each of the switches 310, 320, 330 and end nodes 311, 312, 321, 322, 323, 331, 332, and 333 is when power is applied to the vehicle network (e.g., vehicle When a battery is installed in the device), a message including the topology information of the vehicle network can be received from an upper communication node (for example, a switch, a gateway, etc.), and the topology of the vehicle network can be checked through the received message. have. Alternatively, topology information of the vehicle network may be stored in advance in each of the switches 310, 320, and 330 and the end nodes 311, 312, 321, 322, 323, 331, 332, and 333, and power supply to the vehicle network. When this is applied, each of the switches 310, 320, 330 and the end nodes 311, 312, 321, 322, 323, 331, 332, and 333 can check the topology of the vehicle network based on the stored information.

엔드 노드들(311, 312, 321, 322, 323, 331, 332, 333) 각각은 고유의 IP(internet protocol) 주소를 가질 수 있다. 차량 네트워크에 전원이 인가되는 경우(예를 들어, 차량에 배터리가 장착되는 경우), 엔드 노드들(311, 312, 321, 322, 323, 331, 332, 333) 각각에 IP 주소가 설정될 수 있다. 예를 들어, 엔드 노드들(311, 312, 321, 322, 323, 331, 332, 333) 각각은 상위 통신 노드(예를 들어, 스위치, 게이트웨이 등)로부터 IP 주소를 포함한 메시지를 수신할 수 있고, 수신된 메시지에 포함된 IP 주소를 자신의 IP 주소로 설정할 수 있다. 또는, 엔드 노드들(311, 312, 321, 322, 323, 331, 332, 333) 각각에 IP 주소가 미리 저장될 수 있으며, 차량 네트워크에 전원이 인가되는 경우 엔드 노드들(311, 312, 321, 322, 323, 331, 332, 333) 각각은 저장된 IP 주소를 자신의 IP 주소로 설정할 수 있다. IP 주소는 "10.xxx.yyy.zz" 형태를 가질 수 있다. 엔드 노드들(311, 312, 321, 322, 323, 331, 332, 333) 각각은 서로 다른 IP 주소를 가질 수 있다. 예를 들어, 엔드 노드들(311, 312, 321, 322, 323, 331, 332, 333) 각각의 IP 주소는 다음의 표 1과 같이 설정될 수 있다.Each of the end nodes 311, 312, 321, 322, 323, 331, 332, and 333 may have a unique Internet Protocol (IP) address. When power is applied to the vehicle network (for example, when a vehicle is equipped with a battery), an IP address can be set for each of the end nodes 311, 312, 321, 322, 323, 331, 332, and 333. have. For example, each of the end nodes 311, 312, 321, 322, 323, 331, 332, 333 may receive a message including an IP address from an upper communication node (eg, switch, gateway, etc.) , You can set the IP address included in the received message as your own IP address. Alternatively, an IP address may be stored in advance in each of the end nodes 311, 312, 321, 322, 323, 331, 332, and 333, and when power is applied to the vehicle network, the end nodes 311, 312, 321 , 322, 323, 331, 332, 333) Each can set the stored IP address as its own IP address. The IP address may have the form "10.xxx.yyy.zz". Each of the end nodes 311, 312, 321, 322, 323, 331, 332, and 333 may have different IP addresses. For example, the IP addresses of each of the end nodes 311, 312, 321, 322, 323, 331, 332, and 333 may be set as shown in Table 1 below.

Figure 112015072232624-pat00001
Figure 112015072232624-pat00001

차량 네트워크를 구성하는 통신 노드의 IP 주소의 설정 방식은 앞서 설명된 내용에 한정되지 않으며, 통신 노드의 IP 주소는 다양한 방식을 통해 설정될 수 있다.
The method of setting the IP address of the communication node constituting the vehicle network is not limited to the above description, and the IP address of the communication node may be set through various methods.

도 4는 본 발명의 일 실시예에 따른 인증된 통신 노드의 식별 정보를 포함하는 테이블(table)을 생성하는 방법을 도시한 순서도이고, 도 5는 본 발명의 일 실시예에 따른 네트워크의 보안 방법을 도시한 흐름도이고, 도 6은 본 발명의 다른 실시예에 따른 네트워크의 보안 방법을 도시한 흐름도이다.4 is a flowchart illustrating a method of generating a table including identification information of an authenticated communication node according to an embodiment of the present invention, and FIG. 5 is a network security method according to an embodiment of the present invention. Fig. 6 is a flow chart showing a network security method according to another embodiment of the present invention.

도 4 내지 도 6을 참조하면, 스위치 1(310) 및 엔드 노드들(311, 312, 313)는 도 3을 참조하여 설명된 차량 네트워크를 구성할 수 있다. 즉, 스위치 1(310) 및 엔드 노드들(311, 312, 313) 각각은 도 3에 도시된 차량 네트워크 중에서 동일한 부호를 가지는 구성과 대응할 수 있다. 스위치 1(310) 및 엔드 노드들(311, 312) 각각은 차량 네트워크의 토폴로지 정보를 가지고 있을 수 있다. 여기서, 엔드 노드 3(313)은 차량 네트워크에 불법적으로 침입한 노드를 의미할 수 있으며, 엔드 노드 3(313)에 의해 불필요한 트래픽이 발생될 수 있다.4 to 6, the switch 1 310 and the end nodes 311, 312, 313 may configure the vehicle network described with reference to FIG. 3. That is, each of the switch 1 310 and the end nodes 311, 312, and 313 may correspond to a configuration having the same reference symbol among the vehicle networks shown in FIG. 3. Each of the switch 1 310 and the end nodes 311 and 312 may have topology information of the vehicle network. Here, the end node 3 313 may mean a node illegally invading the vehicle network, and unnecessary traffic may be generated by the end node 3 313.

본 발명의 실시예들에 따른 테이블 생성 방법 및 네트워크의 보안 방법들이 적용되는 네트워크는 도 3에 도시된 차량 네트워크에 한정되지 않으며, 본 발명의 실시예들에 따른 테이블 생성 방법 및 네트워크의 보안 방법들은 다양한 네트워크에 적용될 수 있다. 또한, 아래에서는 스위치 1(310) 및 스위치 1(310)에 연결된 엔드 노드들(311, 312)을 기준으로 본 발명의 실시예들에 따른 테이블 생성 방법 및 네트워크의 보안 방법들이 설명될 것이나, 아래에서 설명되는 방법들과 유사 또는 동일하게 스위치 2(320) 및 스위치 2(320)에 연결된 엔드 노드들(321, 322, 323)(또는, 스위치 3(330) 및 스위치 3(330)에 연결된 엔드 노드들(331, 332, 333)) 각각은 본 발명의 실시예들에 따른 테이블 생성 방법 및 네트워크의 보안 방법들을 수행할 수 있다.The network to which the table generation method and the network security methods according to the embodiments of the present invention are applied is not limited to the vehicle network shown in FIG. 3, and the table generation method and the network security methods according to the embodiments of the present invention are It can be applied to various networks. In addition, a table generation method and a network security method according to embodiments of the present invention will be described below based on the end nodes 311 and 312 connected to the switch 1 310 and the switch 1 310. End nodes 321, 322, 323 connected to switch 2 320 and switch 2 320 similar or identical to the methods described in (or, end connected to switch 3 330 and switch 3 330) Each of the nodes 331, 332, and 333 may perform a table generation method and a network security method according to embodiments of the present invention.

도 5에 도시된 네트워크 보안 방법 및 도 6에 도시된 네트워크 보안 방법 각각은 도 4에 도시된 테이블을 생성하는 방법에 의해 생성된 테이블을 기초로 수행될 수 있다. 도 5에 도시된 네트워크 보안 방법은 스위치 1(310)에 의해 수행될 수 있다. 도 6에 도시된 네트워크 보안 방법은 엔드 노드들(311, 312) 각각에 의해 수행될 수 있다. 한편, 본 발명의 실시예들에서 사용되는 메시지(예를 들어, 인증 절차의 수행을 위해 사용되는 메시지, 인증된 통신 노드의 식별 정보를 전송하기 위해 사용되는 메시지, IP 주소 획득 절차의 수행을 위해 사용되는 메시지 등)는 이더넷 프로토콜에 기초하여 생성된 메시지를 의미할 수 있다. 이더넷 프로토콜에 기초하여 생성된 메시지는 다음과 같을 수 있다.
Each of the network security method illustrated in FIG. 5 and the network security method illustrated in FIG. 6 may be performed based on a table generated by the method of generating the table illustrated in FIG. 4. The network security method shown in FIG. 5 may be performed by the switch 1 310. The network security method illustrated in FIG. 6 may be performed by each of the end nodes 311 and 312. Meanwhile, a message used in embodiments of the present invention (e.g., a message used to perform an authentication procedure, a message used to transmit identification information of an authenticated communication node, and an IP address acquisition procedure) The message to be used, etc.) may mean a message generated based on the Ethernet protocol. A message generated based on the Ethernet protocol may be as follows.

도 7은 이더넷 기반의 차량 네트워크에서 사용되는 메시지의 일 실시예를 도시한 블록도이다.7 is a block diagram illustrating an embodiment of a message used in an Ethernet-based vehicle network.

도 7을 참조하면, 이더넷 프로토콜 기반의 메시지(700)는 PHY(physical) 헤더(header), MAC 프레임(frame) 및 FCS(frame check sequence) 필드(field)(708)를 포함할 수 있다. MAC 프레임은 통신 노드(200)의 컨트롤러(220)에 의해 생성될 수 있다. PHY 헤더는 프리앰블(preamble)(701) 및 SFD(start frame delimiter) 필드(702)를 포함할 수 있다. 프리앰블(701)은 7옥텟(octets)의 크기를 가질 수 있으며, 타이밍(timing) 동기를 위해 사용될 수 있다. SFD 필드(702)는 "10101011" 시퀀스(sequence)를 가질 수 있다. Referring to FIG. 7, an Ethernet protocol-based message 700 may include a physical (PHY) header, a MAC frame, and a frame check sequence (FCS) field 708. The MAC frame may be generated by the controller 220 of the communication node 200. The PHY header may include a preamble 701 and a start frame delimiter (SFD) field 702. The preamble 701 may have a size of 7 octets and may be used for timing synchronization. The SFD field 702 may have a "10101011" sequence.

MAC 프레임은 SFD 필드(702) 뒤에 위치할 수 있다. MAC 프레임은 MAC 헤더만 포함할 수 있고, 또는 MAC 헤더 및 LLC(logic link control) 프레임을 포함할 수 있다. MAC 헤더는 DA(destination address) 필드(703), SA(source address) 필드(704) 및 길이/타입(length/type) 필드(705)를 포함할 수 있다. DA 필드(703)는 6옥텟의 크기를 가질 수 있으며, 해당 MAC 프레임을 수신하는 통신 노드의 식별 정보(예를 들어, MAC 주소)를 포함할 수 있다. SA 필드(704)는 6옥텟의 크기를 가질 수 있으며, 해당 MAC 프레임을 전송하는 통신 노드의 식별 정보(예를 들어, MAC 주소)를 포함할 수 있다.The MAC frame may be located after the SFD field 702. The MAC frame may include only the MAC header, or may include a MAC header and a logic link control (LLC) frame. The MAC header may include a destination address (DA) field 703, a source address (SA) field 704, and a length/type field 705. The DA field 703 may have a size of 6 octets, and may include identification information (eg, MAC address) of a communication node that receives the corresponding MAC frame. The SA field 704 may have a size of 6 octets, and may include identification information (eg, MAC address) of a communication node transmitting the corresponding MAC frame.

길이/타입 필드(705)는 2옥텟의 크기를 가질 수 있으며, 데이터 필드(706)의 길이 또는 해당 프로토콜 기반의 이더넷 프레임(700)을 전송한 통신 노드가 지원하는 이더넷 타입을 지시할 수 있다. 예를 들어, 길이/타입 필드(705)에 포함된 첫 번째 옥텟의 값이 십진수 1500 이하인 경우, 해당 길이/타입 필드(705)는 데이터 필드(706)의 길이를 지시할 수 있다. 길이/타입 필드(705)에 포함된 첫 번째 옥텟의 값이 십진수 1536 이상인 경우, 해당 길이/타입 필드(705)는 이더넷 타입을 지시할 수 있다. LLC 프레임은 데이터 필드(706)를 포함할 수 있고, 필요에 따라(예를 들어, 최소 MAC 프레임의 크기를 충족시키기 위해) 패드(pad) 필드(707)를 더 포함할 수 있다. 이때, 패드 필드(707)는 데이터 필드(706) 뒤에 추가될 수 있다.
The length/type field 705 may have a size of 2 octets, and may indicate the length of the data field 706 or the Ethernet type supported by the communication node that transmitted the Ethernet frame 700 based on the protocol. For example, when the value of the first octet included in the length/type field 705 is less than or equal to 1500 decimal, the corresponding length/type field 705 may indicate the length of the data field 706. When the value of the first octet included in the length/type field 705 is greater than or equal to 1536 decimal, the corresponding length/type field 705 may indicate the Ethernet type. The LLC frame may include a data field 706 and may further include a pad field 707 as needed (eg, to meet the size of the minimum MAC frame). In this case, the pad field 707 may be added after the data field 706.

다시 도 4 내지 도 6을 참조하면, 스위치 1(310)은 인증된 엔드 노드의 식별 정보를 포함하는 테이블(table)의 생성이 필요한지 판단할 수 있다. 예를 들어, 스위치 1(310)은 차량에 배터리가 장착(예를 들어, 차량 생산 공장에서 배터리가 차량에 최초로 장착되는 경우) 또는 재장착(예를 들어, 차량의 부품 교체 후에 배터리가 차량에 재장착되는 경우)되는 경우 인증된 엔드 노드의 식별 정보를 포함하는 테이블의 생성이 필요한 것으로 판단할 수 있다. 스위치 1(310)은 인증된 엔드 노드의 식별 정보를 포함하는 테이블의 생성이 필요한 것으로 판단된 경우 자신과 연결된 엔드 노드들(311, 312, 313) 각각과 인증 절차(authentication procedure)를 수행할 수 있다(S400, S410, S420). 스위치 1(310)은 IEEE 802.1X 표준에 규정된 인증 절차를 사용하여 엔드 노드들(311, 312, 313) 각각에 대한 인증을 수행할 수 있다. 예를 들어, 스위치 1(310)은 오픈 시스템 알고리즘(open system algorithm)을 기반으로 엔드 노드들(311, 312, 313) 각각과 메시지를 교환함으로써 인증을 수행할 수 있다. 또는, 스위치 1(310)은 공유 키(shared key) 알고리즘을 기반으로 엔드 노드들(311, 312, 313) 각각과 공유 키가 포함된 메시지를 교환함으로써 인증을 수행할 수 있다. 여기서, 인증 절차는 앞서 설명된 내용에 한정되지 않으며, 스위치 1(310)은 다양한 인증 절차를 사용하여 엔드 노드들(311, 312, 313) 각각과 인증을 수행할 수 있다.Referring back to FIGS. 4 to 6, the switch 1 310 may determine whether it is necessary to generate a table including identification information of an authenticated end node. For example, the switch 1 310 may be configured when the battery is installed in the vehicle (for example, when the battery is first installed in the vehicle in a vehicle manufacturing plant) or remounted (for example, the battery is installed in the vehicle after replacing the parts of the vehicle). If it is re-installed), it may be determined that it is necessary to create a table including identification information of the authenticated end node. When it is determined that it is necessary to create a table including identification information of an authenticated end node, the switch 1 310 may perform an authentication procedure with each of the end nodes 311, 312, and 313 connected to it. Yes (S400, S410, S420). The switch 1 310 may perform authentication for each of the end nodes 311, 312, and 313 using an authentication procedure specified in the IEEE 802.1X standard. For example, the switch 1 310 may perform authentication by exchanging messages with each of the end nodes 311, 312, and 313 based on an open system algorithm. Alternatively, the switch 1 310 may perform authentication by exchanging a message including the shared key with each of the end nodes 311, 312, and 313 based on a shared key algorithm. Here, the authentication procedure is not limited to the above-described contents, and the switch 1 310 may perform authentication with each of the end nodes 311, 312, and 313 using various authentication procedures.

엔드 노드 1(311) 및 엔드 노드 2(312)은 차량 네트워크에 존재하는 정상적인 통신 노드이므로, 스위치 1(310)은 엔드 노드 1(311) 및 엔드 노드 2(312) 각각에 대한 인증을 성공적으로 완료할 수 있다. 반면, 엔드 노드 3(313)은 차량 네트워크에 불법적으로 침입한 통신 노드이므로, 스위치 1(310)은 엔드 노드 3(313)에 대한 인증을 실패할 수 있다.Since end node 1 311 and end node 2 312 are normal communication nodes existing in the vehicle network, switch 1 310 successfully authenticates each of end node 1 311 and end node 2 312. You can complete it. On the other hand, since the end node 3 313 is a communication node illegally invading the vehicle network, the switch 1 310 may fail to authenticate to the end node 3 313.

한편, 인증 절차를 위해 송수신 되는 메시지는 해당 메시지의 출발지 주소(SA) 및 목적지 주소(DA)를 포함할 수 있다. 따라서, 스위치 1(310)은 인증 절차에 참여하는 엔드 노드들(311, 312, 313) 각각의 식별 정보(예를 들어, MAC 주소 등)를 획득할 수 있다. 스위치 1(310)은 인증 절차를 통해 획득된 식별 정보 중에서 인증된 엔드 노드들(즉, 엔드 노드 1(311) 및 엔드 노드 2(312))의 식별 정보를 포함하는 테이블을 생성할 수 있다(S403). 즉, 인증 절차에 의해 인증 절차에 참여한 모든 엔드 노드들(311, 312, 313) 각각의 식별 정보를 포함한 테이블이 생성될 수 있다. 이 경우, 스위치 1(310)은 인증된 엔드 노드들(311, 312)만의 식별 정보를 포함하도록 테이블을 재구성할 수 있다. 테이블은 인증된 엔드 노드(311, 312)의 MAC 주소 및 인증된 엔드 노드(311, 312)가 연결된 포트 번호를 포함할 수 있다. 예를 들어, 스위치 1(310)은 엔드 노드 1(311)의 MAC 주소를 엔드 노드 1(311)의 포트 번호(즉, 포트 1)에 매핑(mapping)시킬 수 있고, 매핑된 "엔드 노드 1(311)의 MAC 주소 - 포트 1"을 포함하는 테이블을 생성할 수 있다. 또한, 스위치 1(310)은 엔드 노드 2(312)의 MAC 주소를 엔드 노드 2(312)의 포트 번호(즉, 포트 2)에 매핑시킬 수 있고, 매핑된 "엔드 노드 2(312)의 MAC 주소 - 포트 2"를 포함하는 테이블을 생성할 수 있다. 스위치 1(310)은 생성된 테이블을 비휘발성 메모리(예를 들어, 보조 메모리(224))에 저장할 수 있고, 인증된 엔드 노드가 변경되는 경우 비휘발성 메모리에 저장된 테이블을 갱신할 수 있다. 이와 같은 절차를 통해 생성된 테이블은 아래 표 2와 같을 수 있다. 여기서, 테이블에 포함된 식별 정보의 종류는 이에 한정되지 않으며, 식별 정보는 다양하게 구성될 수 있다.Meanwhile, a message transmitted and received for the authentication procedure may include a source address (SA) and a destination address (DA) of the corresponding message. Accordingly, the switch 1 310 may obtain identification information (eg, MAC address, etc.) of each of the end nodes 311, 312, and 313 participating in the authentication procedure. The switch 1 310 may generate a table including identification information of authenticated end nodes (ie, end node 1 311 and end node 2 312) among the identification information obtained through the authentication procedure ( S403). That is, a table including identification information of each of the end nodes 311, 312, and 313 participating in the authentication procedure may be generated by the authentication procedure. In this case, the switch 1 310 may reconfigure the table to include identification information of only the authenticated end nodes 311 and 312. The table may include the MAC address of the authenticated end nodes 311 and 312 and the port number to which the authenticated end nodes 311 and 312 are connected. For example, the switch 1 310 may map the MAC address of the end node 1 311 to the port number (ie, port 1) of the end node 1 311, and the mapped "end node 1 A table including the MAC address of 311-port 1" may be created. In addition, the switch 1 310 may map the MAC address of the end node 2 312 to the port number (ie, port 2) of the end node 2 312, and the mapped "MAC of the end node 2 312" You can create a table containing "address-port 2". The switch 1 310 may store the generated table in a nonvolatile memory (for example, the auxiliary memory 224), and may update a table stored in the nonvolatile memory when an authenticated end node is changed. A table created through such a procedure may be shown in Table 2 below. Here, the type of identification information included in the table is not limited thereto, and the identification information may be configured in various ways.

Figure 112015072232624-pat00002
Figure 112015072232624-pat00002

한편, 스위치 2(320) 및 스위치 3(330) 각각은 위와 같이 자신과 연결된 엔드 노드들(321, 322, 323, 331, 332, 333)에 대한 인증 절차를 수행함으로써 인증된 엔드 노드들의 식별 정보를 포함하는 테이블을 생성할 수 있다. 스위치 2(320)는 테이블에 포함된 식별 정보를 포함하는 메시지를 생성할 수 있고, 생성된 메시지를 스위치 1(310), 스위치 3(330) 및 연결된 엔드 노드들(321, 322, 323)에 전송할 수 있다. 또한, 스위치 3(330)은 테이블에 포함된 식별 정보를 포함하는 메시지를 생성할 수 있고, 생성된 메시지를 스위치 1(310), 스위치 2(320) 및 연결된 엔드 노드들(331, 332, 333)에 전송할 수 있다. 여기서, 식별 정보는 메시지의 MAC 헤더 또는 데이터 필드 중 적어도 하나에 포함될 수 있다. 스위치 1(310)은 스위치 2(320) 및 스위치 3(330) 각각으로부터 식별 정보를 수신한 경우 표 2에 기재된 테이블에 스위치 2(320)로부터 수신된 식별 정보 및 스위치 3(330)으로부터 수신된 식별 정보를 추가할 수 있다.Meanwhile, each of the switch 2 320 and the switch 3 330 performs an authentication procedure for the end nodes 321, 322, 323, 331, 332, and 333 connected to itself as described above, thereby identifying information of the authenticated end nodes. You can create a table including. Switch 2 (320) may generate a message including identification information included in the table, and the generated message to switch 1 (310), switch 3 (330) and connected end nodes (321, 322, 323). Can be transmitted. In addition, the switch 3 330 may generate a message including the identification information included in the table, and the generated message may be converted to the switch 1 310, the switch 2 320 and the connected end nodes 331, 332, and 333. ). Here, the identification information may be included in at least one of the MAC header or the data field of the message. When the switch 1 310 receives the identification information from each of the switch 2 320 and the switch 3 330, the identification information received from the switch 2 320 and the identification information received from the switch 3 330 are displayed in the table shown in Table 2. Identification information can be added.

스위치 1(310)은 테이블에 포함된 식별 정보(즉, "엔드 노드 1(311)의 MAC 주소 - 포트 1" 및 "엔드 노드 2(312)의 MAC 주소 - 포트 2")를 포함하는 메시지를 생성할 수 있다. 또는, 스위치 1(310)은 스위치 2(320) 및 스위치 3(330) 각각으로부터 식별 정보를 수신한 경우, 표 2에 기재된 식별 정보 및 스위치 2(320) 및 스위치 3(330) 각각으로부터 수신된 식별 정보를 포함하는 메시지를 생성할 수 있다. 스위치 1(310)은 자신과 연결된 엔드 노드들(311, 312, 313) 중에서 인증된 엔드 노드들(311, 312)에 식별 정보를 포함하는 메시지를 전송할 수 있다(S404, S405). 여기서, 식별 정보는 메시지의 MAC 헤더 및 데이터 필드 중에서 적어도 하나에 포함될 수 있다.The switch 1 310 sends a message including the identification information included in the table (that is, "the MAC address of the end node 1 311-port 1" and "the MAC address of the end node 2 312-port 2"). Can be generated. Alternatively, when the switch 1 310 receives the identification information from each of the switch 2 320 and the switch 3 330, the identification information shown in Table 2 and the switch 2 320 and the switch 3 330 respectively A message containing identification information can be generated. The switch 1 310 may transmit a message including identification information to the authenticated end nodes 311 and 312 among the end nodes 311, 312, and 313 connected to it (S404, S405). Here, the identification information may be included in at least one of the MAC header and the data field of the message.

엔드 노드 1(311)은 스위치 1(310)로부터 메시지를 수신할 수 있고, 메시지를 디코딩함으로써 인증된 엔드 노드들의 식별 정보를 확인할 수 있다. 엔드 노드 1(311)은 인증된 엔드 노드(즉, 엔드 노드 2(312))의 IP 주소를 획득할 수 있다(S406). 예를 들어, 엔드 노드 1(311)은 ARP(address resolution protocol)를 기반으로 엔드 노드 2(312)와 메시지를 교환함으로써 엔드 노드 2(312)의 IP 주소를 획득할 수 있다. 여기서, IP 주소를 획득하는 절차는 ARP 기반의 절차에 한정되지 않으며, IP 주소는 다양한 방식을 통해 획득될 수 있다. 또한, 엔드 노드 2(312)는 스위치 1(310)로부터 메시지를 수신할 수 있고, 메시지를 디코딩함으로써 인증된 엔드 노드(즉, 엔드 노드 1(311))의 식별 정보를 확인할 수 있다. 엔드 노드 2(312)는 엔드 노드 1(311)과 IP 주소 획득 절차(예를 들어, ARP 기반의 절차)를 수행함으로써 엔드 노드 1(311)의 IP 주소를 획득할 수 있다(S407). 여기서, 엔드 노드 1(311)에서 IP 주소 획득 절차(S406)가 엔드 노드 2(312)에서 IP 주소 획득 절차(S407)보다 먼저 수행되는 것으로 설명되었으나, IP 주소 획득 절차의 수행 순서는 이에 한정되지 않는다. 예를 들어, 엔드 노드 2(312)에서 IP 주소 획득 절차(S407)는 엔드 노드 1(311)에서 IP 주소 획득 절차(S406)보다 먼저 수행되거나 동시에 수행될 수 있다.The end node 1 311 may receive a message from the switch 1 310 and may verify identification information of the authenticated end nodes by decoding the message. End node 1 311 may obtain the IP address of the authenticated end node (ie, end node 2 312) (S406). For example, the end node 1 311 may obtain the IP address of the end node 2 312 by exchanging messages with the end node 2 312 based on an address resolution protocol (ARP). Here, the procedure for obtaining the IP address is not limited to the ARP-based procedure, and the IP address can be obtained through various methods. In addition, the end node 2 312 may receive a message from the switch 1 310 and may verify identification information of an authenticated end node (ie, end node 1 311) by decoding the message. The end node 2 312 may acquire the IP address of the end node 1 311 by performing an IP address acquisition procedure (eg, an ARP-based procedure) with the end node 1 311 (S407). Here, it has been described that the IP address acquisition procedure (S406) at the end node 1 311 is performed prior to the IP address acquisition procedure (S407) at the end node 2 312, but the order of performing the IP address acquisition procedure is not limited thereto. Does not. For example, the IP address acquisition procedure S407 at the end node 2 312 may be performed prior to or concurrently with the IP address acquisition procedure S406 at the end node 1 311.

엔드 노드 1(311)은 인증된 엔드 노드의 IP 주소를 획득한 경우 인증된 엔드 노드의 식별정보를 포함하는 테이블을 생성할 수 있다(S408). 예를 들어, 테이블은 인증된 엔드 노드의 MAC 주소, 포트 번호 및 IP 주소를 포함할 수 있고, 또는 인증된 엔드 노드의 MAC 주소 및 IP 주소를 포함할 수 있다. 예를 들어, 엔드 노드 1(311)은 엔드 노드 2(312)의 IP 주소를 엔드 노드 2(312)의 "MAC 주소 - 포트 2" 또는 "MAC 주소"에 매핑시킬 수 있고, 매핑된 "MAC 주소 - 포트 2 - IP 주소" 또는 "MAC 주소 - IP 주소"를 포함하는 테이블을 생성할 수 있다. 엔드 노드 1(311)은 생성된 테이블을 비휘발성 메모리(예를 들어, 보조 메모리(224))에 저장할 수 있고, 인증된 엔드 노드가 변경되는 경우 비휘발성 메모리에 저장된 테이블을 갱신할 수 있다. 이와 같은 절차를 통해 생성된 테이블은 아래 표 3 또는 표 4와 같을 수 있다. 여기서, 테이블에 포함된 식별 정보의 종류는 이에 한정되지 않으며, 식별 정보는 다양하게 구성될 수 있다.When the end node 1 311 obtains the IP address of the authenticated end node, the end node 1 311 may generate a table including identification information of the authenticated end node (S408). For example, the table may include the MAC address, port number, and IP address of the authenticated end node, or may include the MAC address and IP address of the authenticated end node. For example, the end node 1 311 may map the IP address of the end node 2 312 to the "MAC address-port 2" or "MAC address" of the end node 2 312, and the mapped "MAC address" You can create a table containing "Address-Port 2-IP Address" or "MAC Address-IP Address". The end node 1 311 may store the generated table in the nonvolatile memory (eg, the auxiliary memory 224), and may update the table stored in the nonvolatile memory when the authenticated end node is changed. A table created through such a procedure may be shown in Table 3 or Table 4 below. Here, the type of identification information included in the table is not limited thereto, and the identification information may be configured in various ways.

Figure 112015072232624-pat00003
Figure 112015072232624-pat00003

Figure 112015072232624-pat00004
Figure 112015072232624-pat00004

또한, 엔드 노드 2(312)는 인증된 엔드 노드의 IP 주소를 획득한 경우 인증된 엔드 노드의 식별정보를 포함하는 테이블을 생성할 수 있다(S409). 예를 들어, 테이블은 인증된 엔드 노드의 MAC 주소, 포트 번호 및 IP 주소를 포함할 수 있고, 또는 인증된 엔드 노드의 MAC 주소 및 IP 주소를 포함할 수 있다. 예를 들어, 엔드 노드 2(312)는 엔드 노드 1(311)의 IP 주소를 엔드 노드 1(311)의 "MAC 주소 - 포트 1" 또는 "MAC 주소"에 매핑시킬 수 있고, 매핑된 "MAC 주소 - 포트 1 - IP 주소" 또는 "MAC 주소 - IP 주소"를 포함하는 테이블을 생성할 수 있다. 엔드 노드 2(312)는 생성된 테이블을 비휘발성 메모리(예를 들어, 보조 메모리(224))에 저장할 수 있고, 인증된 엔드 노드가 변경되는 경우 비휘발성 메모리에 저장된 테이블을 갱신할 수 있다. 여기서, 엔드 노드 1(311)에서 테이블 생성 단계(S408)가 엔드 노드 2(312)에서 테이블 생성 단계(S409)보다 먼저 수행되는 것으로 설명되었으나, 테이블 생성 단계의 수행 순서는 이에 한정되지 않는다. 예를 들어, 엔드 노드 2(312)에서 테이블 생성 단계(S409)는 엔드 노드 1(311)에서 테이블 생성 단계(S408)보다 먼저 수행되거나 동시에 수행될 수 있다.
In addition, when the end node 2 312 obtains the IP address of the authenticated end node, the end node 2 312 may generate a table including identification information of the authenticated end node (S409). For example, the table may include the MAC address, port number, and IP address of the authenticated end node, or may include the MAC address and IP address of the authenticated end node. For example, the end node 2 312 may map the IP address of the end node 1 311 to the "MAC address-port 1" or "MAC address" of the end node 1 311, and the mapped "MAC address" You can create a table containing "Address-Port 1-IP Address" or "MAC Address-IP Address". The end node 2 312 may store the generated table in the nonvolatile memory (eg, the auxiliary memory 224), and may update the table stored in the nonvolatile memory when the authenticated end node is changed. Here, it has been described that the table creation step S408 in the end node 1 311 is performed before the table creation step S409 in the end node 2 312, but the order of performing the table creation step is not limited thereto. For example, the step of creating a table (S409) in the end node 2 312 may be performed earlier than the step (S408) of creating the table in the end node 1 311 or may be performed simultaneously.

다음으로, 스위치에서 수행되는 네트워크 보안 방법이 설명될 것이다. 네트워크 보안 방법은 앞서 생성된 인증된 엔드 노드의 식별 정보를 포함하는 테이블을 기반으로 수행될 수 있다. 스위치 1(310)은 임의의 엔드 노드로부터 메시지를 수신할 수 있고(S500), 메시지의 MAC 헤더에 포함된 SA 필드를 확인함으로써 해당 메시지를 전송한 엔드 노드를 확인할 수 있다. 스위치 1(310)은 메시지를 전송한 엔드 노드의 MAC 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는지 판단할 수 있다(S501).Next, a network security method performed in the switch will be described. The network security method may be performed based on a table including identification information of an authenticated end node generated previously. The switch 1 310 may receive a message from any end node (S500), and may check the end node that transmitted the message by checking the SA field included in the MAC header of the message. The switch 1 310 may determine whether the MAC address of the end node that transmitted the message exists in a table including identification information of the authenticated end node (S501).

예를 들어, 스위치 1(310)은 메시지를 전송한 엔드 노드의 MAC 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는 경우 다음 단계로 단계 S502를 수행할 수 있다. 또는, 스위치 1(310)은 단계 S502을 생략하고 다음 단계로 단계 S503을 수행할 수 있다. 즉, 스위치 1(310)은 메시지의 MAC 헤더에 포함된 DA 주소에 의해 지시되는 엔드 노드에 해당 메시지를 전송할 수 있다. 반면, 스위치 1(310)은 메시지를 전송한 엔드 노드의 MAC 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하지 않으면 해당 메시지를 폐기(discard)할 수 있다(S504). 즉, 스위치 1(310)은 메시지가 인증되지 않은 엔드 노드 3(313)으로부터 전송된 경우 해당 메시지를 폐기할 수 있다.For example, when the MAC address of the end node that has transmitted the message exists in the table including the identification information of the authenticated end node, the switch 1 310 may perform step S502 as a next step. Alternatively, the switch 1 310 may skip step S502 and perform step S503 as a next step. That is, the switch 1 310 may transmit the message to the end node indicated by the DA address included in the MAC header of the message. On the other hand, switch 1 310 may discard the message if the MAC address of the end node that has transmitted the message does not exist in the table including the identification information of the authenticated end node (S504). That is, the switch 1 310 may discard the message when the message is transmitted from the unauthenticated end node 3 313.

스위치 1(310)은 메시지를 전송한 엔드 노드의 MAC 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는 경우 메시지를 전송한 엔드 노드의 포트 번호가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는지 판단할 수 있다(S502). 예를 들어, 스위치 1(310)은 메시지를 전송한 엔드 노드의 포트 번호가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는 경우 메시지의 MAC 헤더에 포함된 DA 주소에 의해 지시되는 엔드 노드에 해당 메시지를 전송할 수 있다(S503). 반면, 스위치 1(310)은 메시지를 전송한 엔드 노드의 포트 번호가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하지 않으면 해당 메시지를 폐기할 수 있다(S504). 즉, 스위치 1(310)은 메시지가 인증되지 않은 엔드 노드 3(313)으로부터 전송된 경우 해당 메시지를 폐기할 수 있다.If the MAC address of the end node that transmitted the message is present in the table including the identification information of the authenticated end node, the switch 1 310 includes the identification information of the end node where the port number of the end node that transmitted the message is authenticated. It can be determined whether it exists in the table to be used (S502). For example, switch 1 310 is an end node indicated by the DA address included in the MAC header of the message when the port number of the end node that transmitted the message exists in the table including the identification information of the authenticated end node. The message can be transmitted to (S503). On the other hand, switch 1 310 may discard the message if the port number of the end node that transmitted the message does not exist in the table including the identification information of the authenticated end node (S504). That is, the switch 1 310 may discard the message when the message is transmitted from the unauthenticated end node 3 313.

한편, 본 발명에서 단계 S501이 수행된 후에 단계 S502가 수행되는 것으로 설명되었으나, 단계 S501보다 단계 S502가 먼저 수행될 수 있다. 이 경우, 스위치 1(310)은 메시지를 전송한 엔드 노드의 포트 번호가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는지 먼저 판단하고, 그 결과에 따라 메시지를 전송한 엔드 노드의 MAC 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는지 판단할 수 있다.
Meanwhile, in the present invention, it has been described that step S502 is performed after step S501 is performed, but step S502 may be performed earlier than step S501. In this case, switch 1 310 first determines whether the port number of the end node that has transmitted the message exists in the table including the identification information of the authenticated end node, and according to the result, the MAC address of the end node that has transmitted the message. It can be determined whether is present in the table including the identification information of the authenticated end node.

다음으로, 엔드 노드에서 수행되는 네트워크 보안 방법이 설명될 것이다. 네트워크 보안 방법은 앞서 생성된 인증된 엔드 노드의 식별 정보를 포함하는 테이블을 기반으로 수행될 수 있다. 엔드 노드 1(311)은 임의의 엔드 노드로부터 메시지를 수신할 수 있고(S600), 메시지의 MAC 헤더에 포함된 SA 필드를 확인함으로써 해당 메시지를 전송한 엔드 노드를 확인할 수 있다. 엔드 노드 1(311)은 메시지를 전송한 엔드 노드의 MAC 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는지 판단할 수 있다(S601).Next, a network security method performed in an end node will be described. The network security method may be performed based on a table including identification information of an authenticated end node generated previously. End node 1 311 may receive a message from any end node (S600), and may check the end node that transmitted the message by checking the SA field included in the MAC header of the message. The end node 1 311 may determine whether the MAC address of the end node that has transmitted the message exists in the table including identification information of the authenticated end node (S601).

예를 들어, 엔드 노드 1(311)은 메시지를 전송한 엔드 노드의 MAC 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는 경우 다음 단계로 단계 S602를 수행할 수 있다. 또는, 엔드 노드 1(311)은 단계 S602을 생략하고 다음 단계로 단계 S603을 수행할 수 있다. 즉, 엔드 노드 1(311)은 메시지의 MAC 헤더에 포함된 DA 주소가 자신을 지시하는 경우 해당 메시지(예를 들어, 메시지에 포함된 데이터 필드 등)를 디코딩할 수 있다(S603). 반면, 엔드 노드 1(311)은 메시지를 전송한 엔드 노드의 MAC 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하지 않으면 해당 메시지를 폐기할 수 있다(S604). 즉, 엔드 노드 1(311)은 메시지가 인증되지 않은 엔드 노드 3(313)으로부터 전송된 경우 해당 메시지를 폐기할 수 있다.For example, the end node 1 311 may perform step S602 as a next step when the MAC address of the end node that has transmitted the message exists in the table including the identification information of the authenticated end node. Alternatively, the end node 1 311 may skip step S602 and perform step S603 as the next step. That is, when the DA address included in the MAC header of the message indicates itself, the end node 1 311 may decode a corresponding message (eg, a data field included in the message) (S603). On the other hand, the end node 1 311 may discard the message if the MAC address of the end node that transmitted the message does not exist in the table including the identification information of the authenticated end node (S604). That is, the end node 1 311 may discard the message when the message is transmitted from the unauthenticated end node 3 313.

엔드 노드 1(311)은 메시지를 전송한 엔드 노드의 MAC 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는 경우 메시지를 전송한 엔드 노드의 IP 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는지 판단할 수 있다(S602). 예를 들어, 엔드 노드 1(311)은 메시지를 전송한 엔드 노드의 IP 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는 경우 해당 메시지(즉, 메시지에 포함된 데이터 필드 등)를 디코딩할 수 있다(S603). 반면, 엔드 노드 1(311)은 메시지를 전송한 엔드 노드의 IP 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하지 않으면 해당 메시지를 폐기할 수 있다(S604). 즉, 엔드 노드 1(310)은 메시지가 인증되지 않은 엔드 노드 3(313)으로부터 전송된 경우 해당 메시지를 폐기할 수 있다.End node 1 (311), if the MAC address of the end node that transmitted the message exists in the table including the identification information of the authenticated end node, the IP address of the end node that transmitted the message is the identification information of the authenticated end node. It can be determined whether it exists in the included table (S602). For example, if the IP address of the end node that transmitted the message is present in the table containing the identification information of the authenticated end node, the end node 1 311 may display the message (i.e., a data field included in the message). It can be decoded (S603). On the other hand, the end node 1 311 may discard the message if the IP address of the end node that has transmitted the message does not exist in the table including the identification information of the authenticated end node (S604). That is, the end node 1 310 may discard the message when the message is transmitted from the unauthenticated end node 3 313.

한편, 본 발명에서 단계 S601이 수행된 후에 단계 S602가 수행되는 것으로 설명되었으나, 단계 S6501보다 단계 S602가 먼저 수행될 수 있다. 이 경우, 엔드 노드 1(311)은 메시지를 전송한 엔드 노드의 IP 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는지 먼저 판단하고, 그 결과에 따라 메시지를 전송한 엔드 노드의 MAC 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는지 판단할 수 있다. 한편, 본 발명에서 단계 S601은 생략될 수 있다. 즉, 단계 S600 후에 단계 S602가 수행될 수 있다. 이 경우, 엔드 노드 1(311)은 메시지를 전송한 엔드 노드의 MAC 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는지 판단하지 않고, 메시지를 전송한 엔드 노드의 MAC 주소에 대응하는 IP 주소가 인증된 엔드 노드의 식별 정보를 포함하는 테이블에 존재하는 경우 해당 메시지를 디코딩할 수 있다.
Meanwhile, in the present invention, it has been described that step S602 is performed after step S601 is performed, but step S602 may be performed earlier than step S6501. In this case, the end node 1 311 first determines whether the IP address of the end node that has transmitted the message exists in the table including the authentication information of the end node, and according to the result, the MAC of the end node that has transmitted the message. It can be determined whether the address exists in a table including identification information of an authenticated end node. Meanwhile, step S601 may be omitted in the present invention. That is, step S602 may be performed after step S600. In this case, the end node 1 311 does not determine whether the MAC address of the end node that has transmitted the message exists in the table including the identification information of the authenticated end node, but does not determine whether the MAC address of the end node that has transmitted the message. If the IP address exists in the table containing the identification information of the authenticated end node, the message can be decoded.

본 발명에 따른 방법들은 다양한 컴퓨터 수단을 통해 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 본 발명을 위해 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.The methods according to the present invention may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like alone or in combination. The program instructions recorded on the computer-readable medium may be specially designed and configured for the present invention, or may be known and usable to those skilled in computer software.

컴퓨터 판독 가능 매체의 예에는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함한다. 상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 적어도 하나의 소프트웨어 모듈로 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of computer-readable media include hardware devices specially configured to store and execute program instructions, such as rom, ram, flash memory, and the like. Examples of program instructions include machine language codes such as those produced by a compiler, as well as high-level language codes that can be executed by a computer using an interpreter or the like. The above-described hardware device may be configured to operate as at least one software module to perform the operation of the present invention, and vice versa.

이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described with reference to the above embodiments, those skilled in the art will understand that various modifications and changes can be made to the present invention without departing from the spirit and scope of the present invention described in the following claims. I will be able to.

Claims (16)

네트워크(network)를 구성하는 제1 통신 노드(communication node)의 동작 방법으로서,
상기 제1 통신 노드와 연결된 적어도 하나의 통신 노드와 인증 절차(authentication procedure)를 수행하는 단계;
인증된 통신 노드의 주소 및 상기 주소에 대응하는 포트(port) 번호를 포함하는 테이블(table)을 생성하는 단계;
상기 테이블의 정보를 상기 인증된 통신 노드에 전송하는 단계;
상기 제1 통신 노드에 연결된 제2 통신 노드로부터 메시지를 수신하는 단계;
상기 메시지의 출발지 주소(source address, SA)인 상기 제2 통신 노드의 주소가 상기 테이블에 존재하는지 여부를 확인하는 단계;
상기 제2 통신 노드의 주소가 상기 테이블에 존재할 경우, 상기 제2 통신 노드의 주소에 대응하는 포트 번호가 상기 테이블에 존재하는지 여부를 확인하는 단계; 및
상기 제2 통신 노드의 주소에 대응하는 상기 포트 번호가 상기 테이블에 존재할 경우, 상기 메시지에 포함된 목적지 주소(destination address, DA)에 의해 지시되는 제3 통신 노드로 상기 메시지를 전송하는 단계를 포함하는, 제1 통신 노드의 동작 방법.As a method of operating a first communication node constituting a network,
Performing an authentication procedure with at least one communication node connected to the first communication node;
Generating a table including an address of an authenticated communication node and a port number corresponding to the address;
Transmitting the information of the table to the authenticated communication node;
Receiving a message from a second communication node connected to the first communication node;
Checking whether an address of the second communication node, which is a source address (SA) of the message, exists in the table;
If the address of the second communication node exists in the table, checking whether a port number corresponding to the address of the second communication node exists in the table; And
If the port number corresponding to the address of the second communication node exists in the table, transmitting the message to a third communication node indicated by a destination address (DA) included in the message. A method of operating the first communication node. 청구항 1에 있어서,
상기 제1 통신 노드는 스위치(switch) 또는 브릿지(bridge)이고, 상기 제1 통신 노드에 연결된 상기 적어도 하나의 통신 노드는 엔드 노드(end node)인, 제1 통신 노드의 동작 방법.The method according to claim 1,
The first communication node is a switch or a bridge, and the at least one communication node connected to the first communication node is an end node. 청구항 1에 있어서,
상기 인증된 통신 노드의 주소는 MAC(medium access control) 주소, 또는 IP(internet protocol) 주소인 것을 특징으로 하는, 제1 통신 노드의 동작 방법.The method according to claim 1,
The address of the authenticated communication node is a medium access control (MAC) address or an internet protocol (IP) address. 청구항 3에 있어서,
상기 MAC 주소는 상기 인증 절차를 통해 획득되는, 제1 통신 노드의 동작 방법.The method of claim 3,
The MAC address is obtained through the authentication procedure, the operating method of the first communication node. 삭제delete 청구항 1에 있어서,
상기 제1 통신 노드의 동작 방법은,
상기 제2 통신 노드의 주소가 상기 테이블에 존재하지 않으면, 상기 메시지를 폐기(discard)하는 단계를 더 포함하는, 제1 통신 노드의 동작 방법.The method according to claim 1,
The operating method of the first communication node,
If the address of the second communication node does not exist in the table, further comprising the step of discarding the message (discard), the operating method of the first communication node. 삭제delete 청구항 1에 있어서,
상기 제1 통신 노드의 동작 방법은,
상기 제2 통신 노드의 주소가 상기 테이블에 존재할 경우, 상기 제2 통신 노드의 주소에 대응하는 상기 포트 번호가 상기 테이블에 존재하지 않으면, 상기 메시지를 폐기하는 단계를 더 포함하는, 제1 통신 노드의 동작 방법.The method according to claim 1,
The operating method of the first communication node,
If the address of the second communication node exists in the table, and if the port number corresponding to the address of the second communication node does not exist in the table, discarding the message, the first communication node Method of operation. 네트워크(network)를 구성하는 제1 통신 노드(communication node)의 동작 방법으로서,
상기 제1 통신 노드와 연결된 제2 통신 노드와 인증 절차(authentication procedure)를 수행하는 단계;
상기 제2 통신 노드로부터 인증된 통신 노드의 주소를 수신하는 단계;
상기 주소에 의해 지시되는 적어도 하나의 통신 노드와 IP(internet protocol) 주소 획득 절차를 수행하는 단계;
상기 주소 및 상기 주소에 대응하는 IP 주소를 포함하는 테이블(table)을 생성하는 단계;
제3 통신 노드에서 전송된 메시지를 상기 제2 통신 노드로부터 수신하는 단계;
상기 메시지의 출발지 주소(source address, SA)인 상기 제3 통신 노드의 주소가 상기 테이블에 존재하는지 여부를 확인하는 단계;
상기 제3 통신 노드의 주소가 상기 테이블에 존재할 경우, 상기 제3 통신 노드의 주소에 대응하는 IP 주소가 상기 테이블에 존재하는지 여부를 확인하는 단계; 및
상기 제3 통신 노드의 주소에 대응하는 상기 IP 주소가 상기 테이블에 존재할 경우, 상기 메시지를 디코딩하는 단계를 포함하는, 제1 통신 노드의 동작 방법.As a method of operating a first communication node constituting a network,
Performing an authentication procedure with a second communication node connected to the first communication node;
Receiving an address of an authenticated communication node from the second communication node;
Performing an IP (internet protocol) address acquisition procedure with at least one communication node indicated by the address;
Generating a table including the address and an IP address corresponding to the address;
Receiving a message transmitted from a third communication node from the second communication node;
Checking whether an address of the third communication node, which is a source address (SA) of the message, exists in the table;
If the address of the third communication node exists in the table, checking whether an IP address corresponding to the address of the third communication node exists in the table; And
And decoding the message when the IP address corresponding to the address of the third communication node exists in the table. 청구항 9에 있어서,
상기 제2 통신 노드는 스위치(switch) 또는 브릿지(bridge)이고, 상기 제1 통신 노드 및 상기 적어도 하나의 통신 노드는 상기 제2 통신 노드에 연결된 엔드 노드(end node)인, 제1 통신 노드의 동작 방법.The method of claim 9,
The second communication node is a switch or a bridge, and the first communication node and the at least one communication node are end nodes connected to the second communication node. How it works. 청구항 9에 있어서,
상기 주소는 MAC(medium access control) 주소이며,
상기 제2 통신 노드로부터 인증된 통신 노드의 주소를 수신하는 단계는,
상기 인증된 통신 노드의 포트(port) 번호를 더 수신하는 것을 특징으로 하는, 제1 통신 노드의 동작 방법.The method of claim 9,
The address is a medium access control (MAC) address,
Receiving the address of the authenticated communication node from the second communication node,
The method of operating a first communication node, characterized in that further receiving a port number of the authenticated communication node. 청구항 9에 있어서,
상기 IP 주소 획득 절차는 ARP(address resolution protocol)에 기초하여 수행되는, 제1 통신 노드의 동작 방법.The method of claim 9,
The IP address acquisition procedure is performed based on an address resolution protocol (ARP). 삭제delete 청구항 9에 있어서,
상기 제1 통신 노드의 동작 방법은,
상기 제3 통신 노드의 주소가 상기 테이블에 존재하지 않으면, 상기 메시지를 폐기(discard)하는 단계를 더 포함하는, 제1 통신 노드의 동작 방법.The method of claim 9,
The operating method of the first communication node,
If the address of the third communication node does not exist in the table, further comprising the step of discarding the message (discard), the operating method of the first communication node. 삭제delete 청구항 9에 있어서,
상기 제1 통신 노드의 동작 방법은,
상기 제3 통신 노드의 주소가 상기 테이블에 존재할 경우, 상기 제3 통신 노드의 주소에 대응하는 상기 IP 주소가 상기 테이블에 존재하지 않으면, 상기 메시지를 폐기하는 단계를 더 포함하는, 제1 통신 노드의 동작 방법.The method of claim 9,
The operating method of the first communication node,
When the address of the third communication node exists in the table, the first communication node further comprising the step of discarding the message if the IP address corresponding to the address of the third communication node does not exist in the table. Method of operation.
KR1020150105155A 2015-07-24 2015-07-24 Security method for ethernet based network Active KR102234210B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150105155A KR102234210B1 (en) 2015-07-24 2015-07-24 Security method for ethernet based network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150105155A KR102234210B1 (en) 2015-07-24 2015-07-24 Security method for ethernet based network

Publications (2)

Publication Number Publication Date
KR20170011826A KR20170011826A (en) 2017-02-02
KR102234210B1 true KR102234210B1 (en) 2021-03-30

Family

ID=58154078

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150105155A Active KR102234210B1 (en) 2015-07-24 2015-07-24 Security method for ethernet based network

Country Status (1)

Country Link
KR (1) KR102234210B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102472413B1 (en) 2022-01-25 2022-11-30 쌍용자동차 주식회사 Method for providing security on in vehicle network
KR20230097374A (en) 2021-12-24 2023-07-03 케이지모빌리티 주식회사 Method for providing security on in-vehicle network

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102075514B1 (en) 2018-11-23 2020-02-10 (주)티에이치엔 Network security unit for a vehicle
KR102179443B1 (en) * 2018-12-28 2020-11-16 주식회사 경신 Apparatus and method for controlling the connection of an ethernet switch
KR102638986B1 (en) * 2019-06-03 2024-02-22 현대자동차주식회사 Ethernet switch and controlling method thereof
KR102202902B1 (en) * 2020-09-02 2021-01-15 (주)티에이치엔 Method and apparatus of securing message in communication controller for a vehicle

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007312289A (en) * 2006-05-22 2007-11-29 Hitachi Communication Technologies Ltd Packet transfer device, packet transfer system, and packet transfer method
JP2013118668A (en) * 2004-06-29 2013-06-13 Damaka Inc System and method for peer-to-peer hybrid communications
JP2015050496A (en) * 2013-08-30 2015-03-16 アラクサラネットワークス株式会社 Communication system and authentication switch

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013118668A (en) * 2004-06-29 2013-06-13 Damaka Inc System and method for peer-to-peer hybrid communications
JP2007312289A (en) * 2006-05-22 2007-11-29 Hitachi Communication Technologies Ltd Packet transfer device, packet transfer system, and packet transfer method
JP2015050496A (en) * 2013-08-30 2015-03-16 アラクサラネットワークス株式会社 Communication system and authentication switch

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230097374A (en) 2021-12-24 2023-07-03 케이지모빌리티 주식회사 Method for providing security on in-vehicle network
KR102472413B1 (en) 2022-01-25 2022-11-30 쌍용자동차 주식회사 Method for providing security on in vehicle network

Also Published As

Publication number Publication date
KR20170011826A (en) 2017-02-02

Similar Documents

Publication Publication Date Title
CN107819736B (en) Communication method and device based on automobile safety integrity level in vehicle network
KR102234210B1 (en) Security method for ethernet based network
KR102337548B1 (en) Method for diagnosing network and apparatus for the same
KR102400730B1 (en) Method for time synchronization between communication nodes in network
KR102294634B1 (en) Operation method of communication node in network
CN107817779B (en) System and method for verifying unregistered device based on information of Ethernet switch
CN105388858B (en) Method of operating a communication node in a network
KR102452615B1 (en) Method for transmitting data based on priority in network
KR102352527B1 (en) Method for communication based on automotive safety integrity level in automotive network and apparatus for the same
KR102217255B1 (en) Operation method of communication node in network
CN114270328B (en) Intelligent controller and sensor network bus and system and method including multi-layered platform security architecture
KR102293037B1 (en) Operation method of communication node in network
CN113179321A (en) Network hub, transfer method, and vehicle-mounted network system
KR102300764B1 (en) Diagnostic methods and devices in vehicle network
KR102446092B1 (en) Method for diagnosing link status in network
KR102352504B1 (en) System for verification of non-registered device based on imformation of ethernet switch and method for the same
KR102262081B1 (en) Compliance test apparatus and method of communication node
KR102355085B1 (en) Operation method of communication node for selective wakeup in vehicle network
KR102390481B1 (en) Operation method of communication node in network
KR102362611B1 (en) Method for transmitting and receiving data in automotive network and apparatus for the same
KR102162288B1 (en) Communication method based on multi path in network
KR102342000B1 (en) Method and apparatus for playing contents based on presentation time in automotive network
EP4254880A1 (en) Hardware ethernet header verification
CN114208258B (en) Intelligent controller and sensor network bus and system and method including message retransmission mechanism
KR102228331B1 (en) Operation method of communication node in network

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20150724

PG1501 Laying open of application
A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20191002

Comment text: Request for Examination of Application

Patent event code: PA02011R01I

Patent event date: 20150724

Comment text: Patent Application

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20200911

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20210323

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20210325

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20210325

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20240226

Start annual number: 4

End annual number: 4