KR20180104376A - Method for supporting security function in software defined network, and network apparatus and controller for the same - Google Patents
Method for supporting security function in software defined network, and network apparatus and controller for the same Download PDFInfo
- Publication number
- KR20180104376A KR20180104376A KR1020170031025A KR20170031025A KR20180104376A KR 20180104376 A KR20180104376 A KR 20180104376A KR 1020170031025 A KR1020170031025 A KR 1020170031025A KR 20170031025 A KR20170031025 A KR 20170031025A KR 20180104376 A KR20180104376 A KR 20180104376A
- Authority
- KR
- South Korea
- Prior art keywords
- security
- terminal
- network device
- security function
- sdn controller
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 소프트웨어 정의 네트워크(SDN, Software-Defined Network)에 관한 것으로, 더욱 상세하게는 라우터, 스위치 또는 게이트웨이를 포함한 네트워크 장치와 SDN 컨트롤러로 구성된 SDN 환경에서 라우터, 스위치 및 게이트웨이 간에 전송되는 데이터를 암호화하고 터널링하여 전송하는 방법과 네트워크 장치 및 컨트롤러에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a software-defined network (SDN), and more particularly, to an apparatus and method for encrypting data transmitted between a router, a switch and a gateway in an SDN environment comprising a network device including a router, And to a network device and a controller.
최근 들어, 스위치의 트래픽 포워딩 기능(데이터 평면)과 스위치의 제어 기능(제어 평면)을 분리하여 통신 시스템을 효율적으로 운용하는 기술에 대한 표준화가 ONF(Open Networking Foundation), IETF(Internet Engineering Task Force), ETSI(European Telecommunications Standards Institute) ISG NFV(Network Function Virtualization) 및 ITU-T(International Telecommunications Union Telecommunication) 등을 중심으로 진행되고 있다.Recently, Open Networking Foundation (ONF), Internet Engineering Task Force (IETF), and Internet Engineering Task Force (IETF) have standardized on technologies to efficiently operate a communication system by separating the traffic forwarding function (data plane) , European Telecommunications Standards Institute (ETSI) ISG Network Function Virtualization (NFV), and International Telecommunications Union Telecommunication (ITU-T).
소프트웨어 정의 네트워킹(SDN: Software Defined Network)은 라우터나 스위치 등의 기본 네트워크 장치에 관계없이 사용자가 통제 권한을 가지며, 별도의 컨트롤러가 트래픽 흐름을 제어하는 사용자 중심의 네트워크를 의미한다.Software Defined Network (SDN) refers to a user-centric network in which a user has control over a basic network device such as a router or a switch, and a separate controller controls traffic flow.
특히, SDN은 기존의 일체형 네트워크에서 제어 평면(Control Plane)과 데이터 평면(Data Plane)을 분리하여 추상화(abstraction)함으로써 소프트웨어 프로그래밍이 가능한 중앙 집중식 제어(centralized control)를 제공할 수 있다. In particular, SDN can provide software programmable centralized control by separating control planes and data planes from existing integrated networks and abstraction.
SDN에서는 네트워크 장치들 간의 토폴로지 구성이 완료된 후 새로운 플로우가 유입되면 컨트롤러에게 해당 플로우를 어떻게 포워딩 할 것인지를 문의하게 되고, 컨트롤러는 해당 플로우에 대한 포워딩 정책을 네트워크 장치들에게 내려주게 된다. In SDN, after a topology configuration between network devices is completed, a new flow is inquired to the controller about how to forward the flow, and the controller sends the forwarding policy for the flow to the network devices.
이때 네트워크 장치는 네트워크 장치들 간의 통신에서 터널링이나 가상 네트워크 기능을 활용하여 다른 네트워크와 분리함으로써 보안성 향상을 추구한다. 좀 더 강력한 보안을 위하여 단말과 서버간에 SSL/TLS 기술을 활용하여 종단-대-종단(end-to-end) 보안이 되도록 하지만, 이러한 방법은 사용자 단말에 대해 많은 컴퓨팅 파워를 요구하게 되는 단점이 된다. At this time, the network device seeks to improve the security by separating the network devices from other networks by utilizing the tunneling function or the virtual network function in the communication between the network devices. End-to-end security using SSL / TLS technology between the terminal and the server for more robust security, but this method requires a lot of computing power for the user terminal do.
또한, IP단에서 보호된 통신을 위하여 IPSec 통신을 수행하기도 하지만, 성능 저하 문제로 많이 활용되지 못하는 경우가 발생하게 된다.In addition, although IPSec communication is performed for IP-protected communication, there are cases where the IPSec communication is not widely used because of performance degradation.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 단말에서 많은 컴퓨팅 파워가 요구되는 무거운 보안 기능이 수행되지 않아도 높은 수준의 보안이 가능하도록 하는, 소프트웨어 정의 네트워크 컨트롤러의 보안 기능 처리 방법을 제공하는데 있다.According to an aspect of the present invention, there is provided a method of processing a security function of a software defined network controller, which enables a high level of security even when a heavy security function requiring a large amount of computing power is not performed in a terminal have.
상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은, 단말에서 많은 컴퓨팅 파워가 요구되는 무거운 보안 기능이 수행되지 않아도 높은 수준의 보안이 가능하도록 하는, 네트워크 장치의 보안 기능 처리 방법을 제공하는데 있다.Another object of the present invention is to provide a method of processing a security function of a network device that enables a high level of security even when a heavy security function requiring a large amount of computing power is not performed in a terminal .
상기와 같은 문제점을 해결하기 위한 본 발명의 또 다른 목적은, 단말에서 많은 컴퓨팅 파워가 요구되는 무거운 보안 기능이 수행되지 않아도 높은 수준의 보안이 가능하도록 하는, 소프트웨어 정의 네트워크 환경의 보안 기능 처리 방법을 제공하는데 있다.Another object of the present invention is to provide a security function processing method of a software defined network environment that enables a high level of security even when a heavy security function requiring a large amount of computing power is not performed in a terminal, .
상기 목적을 달성하기 위한 본 발명은, 소프트웨어 정의 네트워크(SDN, Software-Defined Network) 환경에서 단말-대-단말 경로에 보안 기능을 적용하기 위한, SDN 컨트롤러의 보안 기능 처리 방법을 제공한다. 이에 따른 SDN 컨트롤러의 보안 기능 처리 방법은, 상기 SDN 환경을 구성하는 적어도 하나의 네트워크 장치로부터 각 네트워크 장치가 지원하는 보안 기능의 목록을 수신하는 단계; 상기 수신된 보안 기능의 목록들에 기초하여, 상기 단말-대-단말 경로의 단말들 중 적어도 하나의 보안 또는 서비스 등급에 따라서 요구되는 보안 수준을 충족하는 보안 기능, 및 해당 보안 기능을 제공하는 종단 네트워크 장치들을 선택하는 단계; 및 상기 선택된 종단 네트워크 장치들에게, 상기 단말-대-단말 경로의 트래픽에 대하여, 상기 선택된 보안 기능의 적용을 지시하는 단계를 포함하여 구성될 수 있다.According to an aspect of the present invention, there is provided a method of processing a security function of an SDN controller for applying a security function to a terminal-to-terminal path in a Software-Defined Network (SDN) environment. A method of processing a security function of an SDN controller includes receiving a list of security functions supported by each network device from at least one network device constituting the SDN environment; A security function that satisfies a security level required according to the security or service class of at least one of the terminals in the terminal-to-terminal path based on the list of the received security functions, Selecting network devices; And instructing the selected end-point network devices to apply the selected security function to the traffic on the terminal-to-terminal path.
상기 보안 기능의 목록은 상기 각 네트워크 장치의 동작 개시 시점에 수신되거나, 상기 각 네트워크 장치의 동작 중에 주기적으로 수신될 수 있다.The list of security functions may be received at the start of operation of each of the network devices or periodically received during operation of each of the network devices.
상기 보안 기능의 목록은 LLDP(Link Layer Discovery Protocol)를 이용하여 수신되거나, 상기 SDN 컨트롤러와 상기 적어도 하나의 네트워크 장치 간에 정의된 메시지를 이용하여 수신될 수 있다.The list of security functions may be received using a Link Layer Discovery Protocol (LLDP) or received using a message defined between the SDN controller and the at least one network device.
상기 적어도 하나의 네트워크 장치는, 라우터(router), 스위치(switch) 또는 게이트웨이(gateway) 장치일 수 있다.The at least one network device may be a router, a switch, or a gateway device.
상기 보안 기능은 상기 단말-대-단말 경로의 트래픽에 적용되는 암호화(encryption) 및 터널링(tunneling) 중 적어도 하나를 포함할 수 있다.The security function may include at least one of encryption and tunneling applied to the traffic on the terminal-to-terminal path.
한편, 상기 선택된 종단 네트워크 장치의 변경 또는 상기 선택된 보안 기능의 변경이 필요한 경우, 상기 보안 기능의 목록을 수신하는 단계 또는 상기 보안 기능 및 상기 종단 네트워크 장치들을 선택하는 단계부터 다시 진행될 수 있다.On the other hand, if the change of the selected end-point network device or the change of the selected security function is required, the step of receiving the list of the security functions or the step of selecting the security function and the end-point network devices may be performed again.
상기 다른 목적을 달성하기 위한 본 발명은, 소프트웨어 정의 네트워크(SDN, Software-Defined Network) 환경에서 단말-대-단말 경로에 보안 기능을 적용하기 위한, 네트워크 장치의 보안 기능 처리 방법을 제공한다. 이에 따른 네트워크 장치의 보안 기능 처리 방법은, 상기 네트워크 장치가 지원하는 보안 기능의 목록을 상기 SDN 환경의 SDN 컨트롤러에게 전송하는 단계; 상기 SDN 컨트롤러로부터, 상기 단말-대-단말 경로의 단말들 중 적어도 하나의 보안 또는 서비스 등급에 따라서 요구되는 보안 수준을 충족하는 보안 기능의 적용을 지시 받는 단계; 및 상기 단말-대-단말 경로의 트래픽에 대하여, 상기 요구되는 보안 수준을 충족하는 보안 기능을 상기 단말-대-단말 경로에 대한 종단 네트워크 장치로서 수행하는 단계를 포함하여 구성될 수 있다.According to another aspect of the present invention, there is provided a method of processing a security function of a network device for applying a security function to a terminal-to-terminal path in a Software Defined Network (SDN) environment. The method comprising: transmitting a list of security functions supported by the network device to an SDN controller in the SDN environment; Receiving from the SDN controller application of a security function satisfying a security level required according to a security or service class of at least one of the terminals in the terminal-to-terminal path; And performing, as an end-point network device for the terminal-to-terminal path, a security function that satisfies the required security level for the traffic on the terminal-to-terminal path.
상기 보안 기능의 목록은 상기 네트워크 장치의 동작 개시 시점에 전송되거나, 상기 네트워크 장치의 동작 중에 주기적으로 전송될 수 있다.The list of security functions may be transmitted at the start of operation of the network device, or may be periodically transmitted during operation of the network device.
상기 보안 기능의 목록은 LLDP(Link Layer Discovery Protocol)를 이용하여 전송되거나, 상기 SDN 컨트롤러와 상기 네트워크 장치 간에 정의된 메시지를 이용하여 전송될 수 있다.The list of security functions may be transmitted using a Link Layer Discovery Protocol (LLDP), or may be transmitted using a message defined between the SDN controller and the network device.
상기 네트워크 장치는, 라우터(router), 스위치(switch) 또는 게이트웨이(gateway) 장치일 수 있다.The network device may be a router, a switch, or a gateway device.
상기 보안 기능은 상기 단말-대-단말 경로의 트래픽에 적용되는 암호화(encryption) 및 터널링(tunneling) 중 적어도 하나를 포함할 수 있다.The security function may include at least one of encryption and tunneling applied to the traffic on the terminal-to-terminal path.
한편, 상기 요구되는 보안 수준을 충족하는 보안 기능의 변경이 필요한 경우 또는 상기 네트워크 장치의 역할 또는 상태가 변경된 경우, 상기 보안 기능의 목록을 전송하는 단계 또는 상기 보안 기능의 적용을 지시 받는 진행하는 단계부터 다시 진행될 수 있다.When the security function satisfying the required security level is required or when the role or status of the network device is changed, a step of transmitting a list of the security functions or a step of instructing application of the security function Can be resumed.
상기 또 다른 목적을 달성하기 위한 본 발명은, 소프트웨어 정의 네트워크(SDN, Software-Defined Network) 환경에서 단말-대-단말 경로에 보안 기능을 적용하는 방법을 제공한다. 이에 따른 방법은, 적어도 하나의 네트워크 장치가, 각 네트워크 장치가 지원하는 보안 기능의 목록을 SDN 컨트롤러로 전송하는 단계; 상기 SDN 컨트롤러가, 상기 적어도 하나의 네트워크 장치들 중에서, 상기 단말-대-단말 경로의 단말들 중 적어도 하나의 보안 또는 서비스 등급에 따라서 요구되는 보안 수준을 충족하는 보안 기능 및 해당 보안 기능을 제공하는 종단 네트워크 장치들을 선택하는 단계; 상기 SDN 컨트롤러가, 상기 선택된 종단 네트워크 장치들에게, 상기 단말-대-단말 경로의 트래픽에 대하여, 상기 선택된 보안 기능의 적용을 지시하는 단계; 및 상기 종단 네트워크 장치로 선택된 네트워크 장치가, 상기 적용을 지시 받은 보안 기능을 상기 단말-대-단말 경로의 트래픽에 대하여 적용하는 단계를 포함하여 구성될 수 있다.According to another aspect of the present invention, there is provided a method of applying a security function to a terminal-to-terminal path in a Software Defined Network (SDN) environment. The method comprises the steps of: at least one network device transmitting to the SDN controller a list of security functions supported by each network device; Wherein the SDN controller provides a security function that satisfies a security level required according to a security or service class of at least one of terminals of the terminal-to-terminal path among the at least one network devices, Selecting end-to-end network devices; The SDN controller instructing the selected end-to-end network devices to apply the selected security function to traffic of the terminal-to-terminal path; And applying the security function instructed by the network device selected as the terminal device to the traffic of the terminal-to-terminal path.
상기 보안 기능의 목록은, 상기 적어도 하나의 네트워크 장치의 동작 개시 시점에 상기 SDN 컨트롤러로 전송되거나, 상기 적어도 하나의 네트워크 장치의 동작 중에 주기적으로 상기 SDN 컨트롤러에 전송되거나, 상기 SDN 컨트롤러의 요청에 기초하여 상기 SDN 컨트롤러로 전송될 수 있다.Wherein the list of security functions is transmitted to the SDN controller at the start of operation of the at least one network device or periodically transmitted to the SDN controller during operation of the at least one network device, And transmitted to the SDN controller.
상기 보안 기능의 목록은 LLDP(Link Layer Discovery Protocol)를 이용하여 전송되거나, 상기 SDN 컨트롤러와 상기 적어도 하나의 네트워크 장치 간에 정의된 메시지를 이용하여 전송될 수 있다.The list of security functions may be transmitted using a Link Layer Discovery Protocol (LLDP) or transmitted using a message defined between the SDN controller and the at least one network device.
상기 적어도 하나의 네트워크 장치는, 라우터(router), 스위치(switch) 또는 게이트웨이(gateway) 장치일 수 있다.The at least one network device may be a router, a switch, or a gateway device.
상기 보안 기능은 상기 단말-대-단말 경로의 트래픽에 적용되는 암호화(encryption) 및 터널링(tunneling) 중 적어도 하나를 포함할 수 있다.The security function may include at least one of encryption and tunneling applied to the traffic on the terminal-to-terminal path.
한편, 상기 선택된 종단 네트워크 장치의 변경 또는 상기 선택된 보안 기능의 변경이 필요한 경우, 상기 보안 기능의 목록을 SDN 컨트롤러로 전송하는 단계 또는 상기 보안 기능의 적용을 지시하는 단계부터 다시 진행될 수 있다.On the other hand, if the change of the selected end-point network device or the change of the selected security function is required, the step of transmitting the list of security functions to the SDN controller or the step of instructing application of the security function may be performed again.
여기에서, 상기 선택된 종단 네트워크 장치의 변경이 필요한 경우는, 상기 선택된 종단 네트워크 장치로 동작하던 네트워크 장치에 오류가 발생된 경우, 동작이 중단된 경우, 및 부하가 커진 경우 중 적어도 하나일 수 있다.Here, when the selected end-point network device needs to be changed, it may be at least one of a case where an error has occurred in the network device operating as the selected end-point network device, a case where the operation is interrupted, and a case where the load becomes large.
여기에서, 상기 선택된 보안 기능의 변경이 필요한 경우는, 상기 단말-대-단말 경로의 적어도 하나의 단말의 보안 기능 요구 수준이 변경된 경우일 수 있다.Here, when the selected security function needs to be changed, it may be the case that the security functional requirement level of at least one terminal in the terminal-to-terminal path is changed.
상기와 같은 본 발명에 따른 보안 기능 처리 방법으로 이용할 경우, 단말이 아닌 네트워크 단(예컨대, 게이트웨이)에서 보안기능(암호화 및/또는 터널링)를 수행하도록 함으로써, 단말에서 무거운 보안 기능이 수행되지 않아도 높은 수준의 보안을 달성할 수 있다. 한편, 단말 수준에서 보안 기능을 병행하여 수행할 경우에도 트래픽의 전달을 담당하는 네트워크 장치 수준에서의 보안 기능 수준이 추가로 수행될 수 있으므로 더 강력한 수준의 보안을 달성할 수 있다. In the security function processing method according to the present invention as described above, a security function (encryption and / or tunneling) is performed at a network end (for example, a gateway) rather than a terminal so that even if a heavy security function is not performed in the terminal, Level security can be achieved. On the other hand, even when the security function is performed concurrently at the terminal level, the level of security function at the level of the network device responsible for the traffic transfer can be further performed, so that a stronger level of security can be achieved.
따라서, 본 발명에 따른 방법들은 단말-서버, 단말-서버-단말, 서버-서버와 같은 형태로 이루어지는 네트워크 전송에서 사용자의 보안에 대한 고민을 줄여 줄 수 있으며, 사용자의 권한이나 패킷의 종류에 따라 차등화된 암호 정책 적용이 가능하게 되고, 필요에 의한 동적인 보안 기능의 설정까지 가능하게 된다.Therefore, the methods according to the present invention can reduce the worry about the security of the user in network transmission in the form of terminal-server, terminal-server-terminal, server-server, It is possible to apply a differentiated password policy, and to set a dynamic security function according to need.
또한, 암호화나 터널링 등이 필요한 경우 네트워크 장치들을 관장하는 SDN 컨트롤러가 이러한 기능설정이 가능하도록 함으로써 소프트웨어 정의 네트워크의 특정 구간 혹은 특정 게이트웨이들 사이에서 보안 서비스를 동적으로 제공하는 것이 가능해진다.In addition, when encryption or tunneling is required, the SDN controller that manages network devices enables such function setting, thereby making it possible to dynamically provide security services between specific gateways or specific gateways of a software defined network.
도 1은 본 발명의 실시예들에 따른 보안 기능 처리 방법이 적용될 수 있는 SDN 환경을 설명하기 위한 개념도이다.
도 2는 본 발명의 일 실시예에 따른 SDN 환경에서의 보안 처리 방법에서 보안 기능 목록 정보 수집 절차를 설명하기 위한 개념도이다.
도 3은 본 발명의 일 실시예에 따른 SDN 환경에서의 보안 처리 방법에서 보안 기능 적용 지시 절차를 설명하기 위한 개념도이다.
도 4는 본 발명의 일 실시예에 따른 SDN 환경에서의 보안 처리 방법에서 보안 기능 적용의 다른 예를 설명하기 위한 개념도이다.
도 5는 본 발명의 일 실시예에 따른 SDN 환경에서의 보안 처리 방법을 지원하는 SDN 컨트롤러의 동작 방법을 설명하기 위한 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 SDN 환경에서의 보안 처리 방법을 지원하는 네트워크 장치의 동작 방법을 설명하기 위한 흐름도이다.1 is a conceptual diagram for explaining an SDN environment to which a security function processing method according to embodiments of the present invention can be applied.
2 is a conceptual diagram for explaining a security function list information collection procedure in a security processing method in an SDN environment according to an embodiment of the present invention.
3 is a conceptual diagram illustrating a security function application instruction procedure in a security processing method in an SDN environment according to an embodiment of the present invention.
4 is a conceptual diagram for explaining another example of security function application in the security processing method in the SDN environment according to an embodiment of the present invention.
5 is a flowchart illustrating an operation method of an SDN controller supporting a security processing method in an SDN environment according to an embodiment of the present invention.
6 is a flowchart illustrating an operation method of a network device supporting a security processing method in an SDN environment according to an embodiment of the present invention.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. Like reference numerals are used for like elements in describing each drawing.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. The terms first, second, A, B, etc. may be used to describe various elements, but the elements should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, But do not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as either ideal or overly formal in the sense of the present application Do not.
이하, 본 명세서에서 사용되는 용어를 간략히 정리하면 다음과 같다. Hereinafter, terms used in this specification will be briefly summarized as follows.
'컨트롤러'는 SDN 컨트롤러(SDN controller)로, 트래픽의 흐름을 제어하기 위해 관련 구성 요소(예를 들면, 스위치, 라우터 등)를 제어하는 기능 요소(entity)를 의미할 수 있다. A controller is an SDN controller and may refer to an entity that controls an associated component (e.g., a switch, a router, etc.) to control the flow of traffic.
또한, 컨트롤러는 물리적인 구현 형태나 구현 위치 등에 의해 한정되지 않는다. 예를 들어, 컨트롤러는 ONF(OpenFlow), IETF(Internet Engineering Task Force), ETSI(European Telecommunication Standards Institute) 및/또는 ITU-T(International Telecommunication Union Telecommunication) 등에서 정의하고 있는 컨트롤러 기능 요소(entity)를 의미할 수 있다. Further, the controller is not limited by the physical implementation form or the location of the implementation. For example, the controller means a controller functional entity defined by ONF (OpenFlow), IETF (Internet Engineering Task Force), ETSI (International Telecommunication Standards Institute) and / or ITU-T (International Telecommunication Union Telecommunication) can do.
'네트워크 장치'는 '스위치(switch)', '라우터(router)' 또는 '게이트웨이(gateway)'와 같이 트래픽(또는 패킷)을 실질적으로 포워딩하거나 스위칭 또는 라우팅하는 기능 요소를 의미할 수 있다. 따라서, 본 명세서에서 네트워크 장치는 스위치 또는 라우터로 명명될 수도 있다. A "network device" may refer to a functional element that substantially forwards, switches or routes traffic (or packets), such as a 'switch', a 'router' or a ' Thus, the network device may be referred to herein as a switch or a router.
예를 들어, 네트워크 장치는 ONF, IETF, ETSI 및/또는 ITU-T 등에서 정의하고 있는 스위치, 라우터, 스위치 요소(Switching Element), 라우터 요소(Routing Element), 포워딩 요소(Forwarding Element) 등을 의미할 수 있다.For example, a network device means a switch, a router, a switching element, a routing element, and a forwarding element defined in ONF, IETF, ETSI and / or ITU-T .
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 실시예들에 따른 보안 기능 처리 방법이 적용될 수 있는 SDN 환경을 설명하기 위한 개념도이다.1 is a conceptual diagram for explaining an SDN environment to which a security function processing method according to embodiments of the present invention can be applied.
도 1을 참조하면, SDN 환경에서는 데이터를 상호 교환하는 단말들(10, 40)과 이들 간을 연결하는 라우터 또는 스위치들(11~14, 31~34) 및 게이트웨이 장치(20, 30), 상기 라우터/스위치/게이트웨이 장치를 중앙집중 관리하는 SDN 컨트롤러(100)가 존재하게 된다. Referring to FIG. 1, in the SDN environment,
SDN 환경에서 SDN 컨트롤러(100)는 상기 네트워크 장치들(11~14, 31~34, 20, 30)을 중앙 집중 관리할 수 있다. 도 1에서는, SDN 컨트롤러(100)과 게이트웨이 장치들(20, 30) 간에만 연결 관계가 존재하는 것으로 도시되어 있으나, SDN 컨트롤러(100)는 라우터 또는 스위치들(11~14, 31~34)과도 연결 관계를 가진다. 이하에서, 라우터/스위치/게이트웨이 장치는 트래픽(또는 패킷)을 실질적으로 포워딩하거나 스위칭 또는 라우팅하는 구성요소들로서, 설명의 편의 상 '네트워크 장치'로 통칭된다. 또한, 이하의 설명에서 게이트웨이 장치(20, 30)의 동작으로 기술되는 부분에 대해서는, 라우터 또는 스위치들(11~14, 31~34)에 대해서도 적용될 수 있음에 유의하여야 한다.In the SDN environment, the
또한, 단말들(10, 40) 중 적어도 하나의 단말은 상대 단말에 대한 서비스를 제공한다는 의미에서 서버(server), 예컨대, 컨텐츠 서버 등으로 구성될 수도 있다. 즉, 도 1에서 사용된 단말은 데이터 교환의 종단을 의미한다는 의미에서의 단말로 호칭되는 것일 뿐, 단말-서버 구조에서의 단말을 한정적으로 지칭하는 것은 아니다.Also, at least one of the
SDN 환경이 아닌, 종래 기술의 네트워크 환경에서는 중앙 집중 제어를 수행하는 SDN 컨트롤러(100)가 존재하지 않는다. 따라서, 패킷 전달을 위한 네트워크 장치들(기존 스위치/라우터/게이트웨이 장치들)은 각각의 인터페이스에 할당된 IP 주소를 가지고 분산적으로 운용되며, 자율적인 라우팅 프로토콜을 이용하여 주변 네트워크 장치들과 통신함으로써 패킷들에 대한 포워딩 경로를 설정하게 된다. In the prior art network environment other than the SDN environment, there is no
반면, 도 1에서 예시된 바와 같은, SDN 환경에서는 네트워크 장치들 간의 토폴로지(topology) 구성이 완료된 후(예컨대, LLDP(Link Layer Discovery Protocol) 등의 프로토콜을 이용), 새로운 플로우(flow)의 패킷이 유입되면 네트워크 장치는 SDN 컨트롤러(100)에게 해당 플로우를 어떻게 포워딩 할 것인지를 문의하게 되고(packet_in), 컨트롤러는 해당 플로우에 대한 포워딩 정책(즉, 포워딩 룰(forwarding rule))을 네트워크 장치에게 내려주게 된다. 예컨대, 오픈 플로우(OpenFlow) 기반의 SDN 컨트롤러와 네트워크 장치의 경우, 네트워크 장치의 플로우 테이블(flow table)에 플로우 엔트리(flow entry)를 추가(add) 또는 수정(modify)하는 것에 의해서 포워딩 룰이 설정될 수 있다.On the other hand, in the SDN environment as illustrated in FIG. 1, after a topology configuration between network devices is completed (for example, using a protocol such as LLDP (Link Layer Discovery Protocol)), a packet of a new flow Upon ingestion, the network device asks the
한편, 상술된 SDN 환경에서, 단말(10)과 단말(40)이 교환하는 데이터에 대한 보안(security)은 하기와 같은 방법들 중 하나 또는 둘 이상의 방법의 조합으로 구현될 수 있다.Meanwhile, in the above-described SDN environment, the security of data exchanged between the terminal 10 and the terminal 40 can be implemented by one or more of the following methods.
첫째로, 네트워크 장치들은 네트워크 장치들 간의 통신에서 터널링(tunneling)이나 가상 네트워크(virtual network) 기능을 활용하여 다른 네트워크와 분리함으로써 보안성 향상을 추구할 수 있다.First, network devices can seek security enhancement by separating them from other networks by utilizing tunneling or virtual network functions in communication between network devices.
둘째로, 더 강력한 보안을 위하여 단말(10)과 단말(40) 간에 SSL(Security Sockets Layer) 또는 TLS(Transport Layer Security) 기술을 활용하여 종단-대-종단(end-to-end) 보안을 달성할 수 있다. 그러나, 이러한 방법은 단말들(10, 40) 대해 많은 컴퓨팅 파워(computing power)를 요구하게 되는 단점이 있다. 따라서, 컴퓨팅 파워가 약한 모바일 단말이나 소형 단말의 경우, 이와 같은 방법의 적용은 어려움이 있을 수 있다.Second, end-to-end security is achieved using SSL (Secure Sockets Layer) or TLS (Transport Layer Security) technology between the terminal 10 and the terminal 40 for stronger security can do. However, this method has a disadvantage in that it requires a large amount of computing power for the
셋째로, 더 강력한 보안을 위하여, 양 종단의 단말들(10, 40)의 IP단에서 IPSec(IP security Protocol) 통신을 수행할 수 있다. 그러나, 이 또한 성능 저하 문제로 활용의 제약이 많은 방안이다.Third, for stronger security, IPSec (IP security protocol) communication can be performed at the IP terminals of the
따라서, 본 발명의 실시예에서는, 상기한 보안 처리 방법들의 문제점을 해결하기 위해서 단말들(10, 40)이 아닌 네트워크 단에서 암호화를 수행하도록 함으로써, 단말들에서 높은 컴퓨팅 파워와 복잡한 절차의 수행을 요구하는 보안 기능을 직접 수행하지 않아도, 동일하거나 더 높은 수준의 보안이 가능하도록 하는 보안 처리 방법을 제공한다.Therefore, in the embodiment of the present invention, in order to solve the problem of the above-described security processing methods, encryption is performed at the network end rather than at the
먼저, SDN 컨트롤러(100)와 네트워크 장치(20, 30)의 연계 동작에 대해서 도 2 내지 도 4를 참조하여 본 발명의 실시예를 설명한다. 앞서 언급된 바와 같이, 설명의 편의를 위하여, 이하의 기술(description)에서는 네트워크 장치들 중 게이트웨이 장치들(20, 30)과 SDN 컨트롤러(100) 간의 동작으로 실시예를 설명하나, SDN 컨트롤러(100)가 게이트웨이 장치들(20, 30)이 아닌 라우터 또는 스위치(11~14, 31~34)와 연동하여 동작하는 실시예도 가능하다. 예컨대, 라우터 또는 스위치 또한 단말-대-단말 경로의 종단으로서 기능할 수 있다면 본 발명의 적용대상이 될 수 있다. First, an operation of the
도 2는 본 발명의 일 실시예에 따른 SDN 환경에서의 보안 처리 방법에서 보안 기능 목록 정보 수집 절차를 설명하기 위한 개념도이다. 2 is a conceptual diagram for explaining a security function list information collection procedure in a security processing method in an SDN environment according to an embodiment of the present invention.
도 2를 참조하면, 단말(10, 40), 네트워크 장치들(11~14, 20, 30, 31~34) 및 SDN 컨트롤러(100)가 존재하는 SDN 환경에서, 모든 네트워크 장치들(네트워크 장치(20, 30) 포함)는 SDN 컨트롤러(100)의 중앙 집중 제어(centralized control)를 받게 된다.2, in the SDN environment in which the
본 발명의 일 실시예에서, SDN 컨트롤러(100)는 단말(10)과 단말(40) 간의 특정 플로우/패킷에 대해서 보안 기능의 적용이 필요한 경우(이는, 단말(10, 40) 중 적어도 하나의 요청 또는 SDN 컨트롤러(100)의 결정에 따라 적용 여부를 결정할 수 있음), 게이트웨이 장치(20)에서 암호화(encryption) 기능을 수행하도록 하고 게이트웨이 (30)에서 복호화(decryption) 기능을 수행하도록 할 수 있다. 즉, 네트워크 장치들(11~14, 20, 30, 31~34)에서 게이트웨이(20, 30)가 종단 게이트웨이로서 기능하는 것을 의미한다.In an embodiment of the present invention, the
예컨대, 보안 기능과 관련하여 어떤 암호화/복호화 알고리즘을 적용할 것인지 결정하는 것과 암호화/복호화를 위한 키(key) 관리 등은 SDN 컨트롤러(100)에서 수행하도록 구성될 수 있다.For example, the
수행되어야 할 보안 기능(예컨대, 암호화)는 플로우/패킷의 종류 혹은 단말(10, 40)(또는, 단말 사용자)의 권한과 서비스 또는 보안 등급 등에 따라 다르게 적용하는 것이 가능하다. 이를 위하여 네트워크 장치들은 동작 개시 후 SDN 컨트롤러(100)에게 각자가 지원 가능한 보안 기능들에 대해서 통지하는 과정을 진행하게 된다. 예컨대, 각각의 게이트웨이 장치(20 및 30)는 자신이 서비스할 수 있는 보안 기능을 포함하는 보안 기능 목록(220, 230)을 SDN 컨트롤러(100)에게 전송할 수 있다. The security function (for example, encryption) to be performed can be applied differently depending on the type of the flow / packet or the rights of the
도 1에서 예시된 구성에서는, 게이트웨이 장치들(20, 30)이 동작 개시(예컨대, 부팅(booting) 또는 초기화(initialization) 과정) 시점에 SDN 컨트롤러(100)에게 보안 기능 목록을 제공하는 것으로 각각 도시되어 있다. 그러나, 상기 보안 기능 목록은 게이트웨이 장치들로부터 SDN 컨트롤러(100)로 미리 정해진 주기에 따라 또는 동적으로 변경되는 주기에 따라 전송될 수도 있다. 또한, 각 게이트웨이 장치는 자신이 지원하는 보안 기능의 변경이 발생되는 시점이나 특정 이벤트(event)가 발생된 경우에 SDN 컨트롤러(100)에게 해당 정보를 제공할 수도 있다. 또한, 각 게이트웨이 장치는 SDN 컨트롤러(100)로부터 각자의 보안 기능 목록의 제공을 요청 받고, 해당 요청에 기반하여 보안 기능 목록을 SDN 컨트롤러(100)에게 제공할 수도 있다. In the configuration illustrated in FIG. 1, the
한편, 상술된 보안 기능 목록(220, 230)은 앞서 언급된 네트워크 토폴로지 생성을 위해 사용되는 LLDP 등의 기존 프로토콜에 정의된 확장 필드(extension field) 또는 유보 필드(reserved field)를 이용하거나, SDN 컨트롤러(100)와 게이트웨이(20, 30) 간에 별도로 정의된 메시지(예컨대, Openflow message)를 이용하여 전송될 수 있다. The security function lists 220 and 230 described above may use extension fields or reserved fields defined in existing protocols such as the LLDP used for generating the network topology mentioned above, (E.g., an Openflow message) defined between the
도 3은 본 발명의 일 실시예에 따른 SDN 환경에서의 보안 처리 방법에서 보안 기능 적용 지시 절차를 설명하기 위한 개념도이다. 3 is a conceptual diagram illustrating a security function application instruction procedure in a security processing method in an SDN environment according to an embodiment of the present invention.
도 3을 참조하면, SDN 컨트롤러(100)는 양 게이트웨이(20, 30)로부터 수신한 보안 기능 목록(220, 230)을 활용하여 양 게이트웨이(20, 30)가 모두 지원이 가능한 보안 기능 중에서 단말(10, 40)의 요구 수준(권한 또는 보안 등급)에 맞는 보안 기능(예컨대, 암호화/복호화)을 적용할 것을 게이트웨이(20, 30)에게 지시할 수 있다(320, 330). 3, the
즉, SDN 컨트롤러(100)는 여러 네트워크 장치들로부터 수신한 보안 기능 목록 정보를 바탕으로 단말(10, 40)(또는, 단말(10, 40)의 사용자)의 보안/서비스 등급에 따라서, 요구 수준을 충족 가능한 보안 기능과, 여러 네트워크 장치들 중 선택된 보안 기능을 충족 가능한, 단말(10, 40) 간의 트래픽/패킷 전달 경로(300) 상에 위치한 게이트웨이들(20, 30)에게 보안 기능의 적용을 지시할 수 있다.That is, the
한편, 양 게이트웨이 장치(20, 30)가 지원하는 보안 기능에 차이가 발생할 경우는, SDN 컨트롤러(100)는 양 게이트웨이 장치(20, 30)가 공통적으로 지원하는 보안 기능들 중에서 단말(10, 40)의 권한 또는 보안 등급에 맞는 가장 높은 수준의 보안 기능을 선택할 수도 있다. 그러나, 이는 하나의 예시일뿐, 미리 설정된 정책에 따라서 SDN 컨트롤러(100)는 공통적으로 지원하는 보안 기능들 중 가장 낮은 수준의 보안 기능을 선택하거나, 보안 기능을 지원할 종단 게이트웨이를 재선정하는 절차를 진행할 수도 있을 것이다.On the other hand, when there is a difference in the security functions supported by the
양 게이트웨이 장치(20, 30)는 SDN 컨트롤러(100)가 적용을 지시한 보안 기능에 따라서, 지시된 암호화/복호화 알고리즘으로 단말들(10, 40) 간의 트래픽/패킷에 대한 암호화/복호화를 수행할 수 있다. 또한, 필요한 경우, 게이트웨이 장치들(10, 30)은 양자 간에 터널링 기능을 수행할 수도 있다.Both
도 4는 본 발명의 일 실시예에 따른 SDN 환경에서의 보안 처리 방법에서 보안 기능 적용의 다른 예를 설명하기 위한 개념도이다. 4 is a conceptual diagram for explaining another example of security function application in the security processing method in the SDN environment according to an embodiment of the present invention.
한편, 단말(10)과 단말(40) 간의 트래픽/패킷 전달 경로 상에 SDN 컨트롤러(100)의 제어를 받지 않는 게이트웨이가 존재할 수 있다. 이 경우, SDN 컨트롤러(100)는 보안 기능에 대해서 자신의 제어를 받는 게이트웨이 장치를 거쳐서 단말들(10, 40) 간에 트래픽이 전달될 수 있도록 경로를 재설정할 수도 있다.On the other hand, there may be a gateway that is not under the control of the
도 4를 참조하면, 단말(10)이 단말(40)과 연결되는 구조에서 단말(40)과 연결된 게이트웨이 장치(60)가 SDN 컨트롤러(100)의 제어를 받지 않는 경우, SDN 컨트롤러(100)는 해당 게이트웨이 장치(60)를 포함한 경로로는 보안 기능의 적용이 필요한 트래픽의 전송이 이루어지지 않도록 하기 위하여 다른 경로(게이트웨이 장치 20과 30이 종단으로 구성된 경로)를 선택할 수 있다. 여기에서, 게이트웨이 장치(60)가 SDN 컨트롤러(100)의 제어를 받지 않는다는 의미는, 게이트웨이 장치(60)가, 도 2 및 도 3을 참조하여 설명된 보안 기능 목록 정보의 수집 절차나 SDN 컨트롤러(100)로부터 적용될 보안 기능의 지시를 수신하는 것이 불가능한 네트워크 장치인 경우를 의미한다.4, when the
한편, SDN 컨트롤러(100)의 제어를 받는 두 종단 게이트웨이(20, 30)간에 설정된 경로에 SDN 컨트롤러(100)의 제어에 있지 않은 게이트웨이(50)가 있는 경우 SDN 컨트롤러(100)의 제어를 받는 두 종단 게이트웨이들(20, 30) 간에 터널이 구성되도록 할 수 있다.On the other hand, when there is a
상술된 종단 게이트웨이의 변경은 트래픽 전송 중간 또는 트래픽의 전송 개시 시점에 새로운 보안 방식을 사용하거나, 더 높은 보안 수준으로 변경하는 경우에도 적용이 가능하다.The above-described change of the end gateway can be applied to a case where a new security method is used at the time of starting the transmission of traffic or at the time of start of transmission of traffic, or when the security is changed to a higher security level.
또한, 도 2를 통해서 설명된 보안 기능 목록 정보의 수집 절차에서 보안 기능 목록을 참조하였을 때, 요구되는 수준의 보안 기능을 지원하도록 종단 게이트웨이 장치의 변경이 필요할 경우에도 상술된 절차의 적용이 가능하다. 예컨대, 게이트웨이(20)과 게이트웨이(30)가 단말(10)과 단말(40) 간의 종단 게이트웨이로 설정된 상태에서, 요구되는 수준의 보안기능을 게이트웨이(30)이 충족하지 못하는 경우, 요구되는 수준의 보안 기능을 지원하는 게이트웨이로 종단 게이트웨이를 변경하는 것도 가능하다.In addition, when the security function list is referred to in the collection procedure of the security function list information described in FIG. 2, it is possible to apply the above-described procedure even when the end gateway device needs to be changed to support the required level of security function . For example, when the
이하에서는, 상기 도 2 및 도 3을 통하여 설명된 SDN 컨트롤러와 네트워크 장치의 연계 동작을 실현하기 위해서, SDN 컨트롤러와 네트워크 장치 각각에서 수행되는 본 발명의 실시예에 따른 SDN 컨트롤러의 동작 방법 및 네트워크 장치의 동작 방법을 설명한다.Hereinafter, in order to realize the linking operation between the SDN controller and the network device described with reference to FIG. 2 and FIG. 3, an operation method of the SDN controller according to the embodiment of the present invention, which is performed in each of the SDN controller and the network device, Will be described.
도 5는 본 발명의 일 실시예에 따른 SDN 환경에서의 보안 처리 방법을 지원하는 SDN 컨트롤러의 동작 방법을 설명하기 위한 흐름도이다.5 is a flowchart illustrating an operation method of an SDN controller supporting a security processing method in an SDN environment according to an embodiment of the present invention.
도 5를 참조하면, SDN 컨트롤러(100)는 자신이 관리하는 SDN 환경에 속한 적어도 하나의 SDN 네트워크 장치들(예컨대, 11~14, 20, 30, 31~34)로부터 각 네트워크 장치가 지원하는 보안 기능들의 목록 정보를 수신할 수 있다(S510).Referring to FIG. 5, the
상기 보안 기능의 목록 정보는 각 네트워크 장치의 동작 개시 시점(예컨대, 부팅 이후 또는 초기화 절차)에서 수집될 수 있으며, 각 네트워크 장치의 동작 중에 주기적으로 수집될 수도 있다. 또한, SDN 컨트롤러(100)의 요청(명시적 또는 묵시적 요청)에 기초하여, 각 네트워크 장치로부터 SDN 컨트롤러(100)에 제공될 수도 있다. 여기에서, 보안 기능 목록의 수집은 네트워크 토폴로지 생성을 위해 사용되는 LLDP 등의 기존 프로토콜에 정의된 확장필드를 이용하거나, 별도로 정의된 메시지를 이용하여 수행될 수 있다. The list information of the security function may be collected at an operation start time (e.g., after booting or initialization procedure) of each network device, and may be periodically collected during operation of each network device. It may also be provided to the
상기 단계(S510)에서 수집된 각 네트워크 장치들이 지원 가능한 보안 기능에 대한 정보를 참조하여, SDN 컨트롤러는 트래픽의 전송이 필요한 단말-대-단말 경로 상에 존재하는 네트워크 장치들 중, 단말-대-단말 경로의 단말들 중 적어도 하나의 보안 또는 서비스 등급에 따라 요구되는 보안 수준을 충족하는 보안 기능을 제공 가능한 종단 네트워크 장치들을 선택할 수 있다(S520).The SDN controller refers to the information on the security functions that each network device collected in step S510 can support, and the SDN controller determines whether the network devices exist on the terminal-to- The end network devices capable of providing a security function meeting a required security level according to at least one security or service class among the terminals in the terminal path may be selected (S520).
도 4를 다시 참조하여 예를 들면, SDN 컨트롤러(100)는 게이트웨이 장치(20, 30, 50, 60) 중에서 보안 기능 목록의 수집 절차를 수행할 수 없는 게이트웨이 장치(60)을 제외하고, 게이트웨이 장치(20, 30, 50) 중에서 단말(10)과 단말(40)이 요구하는 보안 수준을 충족하는 보안 기능과 해당 보안 기능을 제공 가능한 게이트웨이 장치들(20, 30)을 종단 네트워크 장치로 선택할 수 있다.4 again, for example, the
다음으로, SDN 컨트롤러(100)는 선택된 종단 네트워크 장치들에게 단말-대-단말 경로의 단말들 중 적어도 하나의 보안 또는 서비스 등급에 따라 요구되는 보안 수준을 충족하는 보안 기능의 적용을 지시할 수 있다(S530). 상기 보안 기능 의 적용 지시 또한 종래 LLDP 등의 기존 프로토콜에 정의된 확장필드를 이용하거나, 별도로 정의된 메시지를 이용하여 수행될 수 있다.Next, the
선택된 종단 네트워크 장치들은 단계(S530)에서 지시된 보안 기능을 단말-대-단말 경로의 트래픽에 적용할 수 있다(S540). 이때, 적용되는 보안 기능은 트래픽에 대한 암호화/보안화 및/또는 종단 네트워크 장치들 간의 터널링 등을 포함할 수 있다.The selected end-point network devices may apply the security function indicated in step S530 to the traffic on the end-to-end path (S540). At this time, the security function applied may include encryption / securing of traffic and / or tunneling between end-point network devices.
한편, 단계(S540)에 따른 보안 기능의 적용 중에도, 단계(S520)와 단계(S530)에서 결정된 종단 네트워크 장치들 또는 보안 기능의 변경이 필요한 경우가 발생될 수 있다(S550). 예를 들면, 종단 네트워크 장치로 동작하던 네트워크 장치에 오류가 발생되었거나 동작이 중단된 경우, 종단 네트워크 장치의 부하가 커진 경우, 단말(또는 사용자)의 보안 기능 요구 수준이 변경된 경우 등의 이유에서 종단 네트워크 장치 또는 보안 기능의 변경이 필요해질 수 있다.Meanwhile, during the application of the security function according to the step S540, there may occur a case where the change of the end network devices or the security function determined in the steps S520 and S530 is required (S550). For example, when an error occurs in the network device operating as the end-point network device, when the operation is interrupted, when the load of the end-point network device becomes large, when the terminal (or the user) A change in the network device or the security function may be required.
이 경우, SDN 컨트롤러(100)는 자신이 관리하는 SDN 환경에 속한 네트워크 장치들의 보안 기능 목록을 다시 수집하도록 단계(S510)부터 다시 진행하거나, 보안 기능 목록은 주기적으로 이미 수집된 경우는 종단 네트워크 장치와 적용 보안 기능을 다시 결정하기 위해 단계(S520)부터 다시 진행할 수 있다.In this case, the
도 6은 본 발명의 일 실시예에 따른 SDN 환경에서의 보안 처리 방법을 지원하는 네트워크 장치의 동작 방법을 설명하기 위한 흐름도이다.6 is a flowchart illustrating an operation method of a network device supporting a security processing method in an SDN environment according to an embodiment of the present invention.
도 6을 참조하면, SDN 환경에 속한 적어도 하나의 SDN 네트워크 장치들(예컨대, 11~14, 20, 30, 31~34)은 각 네트워크 장치가 지원하는 보안 기능들의 목록 정보를 SDN 컨트롤러(100)에게 제공할 수 있다(S610).6, at least one SDN network device (for example, 11 to 14, 20, 30, 31 to 34) belonging to the SDN environment transmits list information of security functions supported by each network device to the
상기 보안 기능의 목록 정보는 각 네트워크 장치의 동작 개시 시점(예컨대, 부팅 이후 또는 초기화 절차)에서 SDN 컨트롤러(100)에게 전송될 수 있으나, 각 네트워크 장치의 동작 중에도 주기적으로 SDN 컨트롤러(100)에게 전송될 수 있다. 또한, SDN 컨트롤러(100)의 요청(명시적 또는 묵시적 요청)에 기초하여, 각 네트워크 장치로부터 SDN 컨트롤러(100)에 제공될 수도 있다. 여기에서, 보안 기능 목록의 수집은 네트워크 토폴로지 생성을 위해 사용되는 LLDP 등의 기존 프로토콜에 정의된 확장필드를 이용하거나, 별도로 정의된 메시지를 이용하여 수행될 수 있다.The list information of the security function may be transmitted to the
상기 단계(S610)에서 각 네트워크 장치들로부터 수집된 각 네트워크 장치들이 지원 가능한 보안 기능에 대한 정보를 참조하여, SDN 컨트롤러(100)는 트래픽의 전송이 필요한 단말-대-단말 경로 상에 존재하는 네트워크 장치들 중, 단말-대-단말 경로의 단말들 중 적어도 하나의 보안 또는 서비스 등급에 따라 요구되는 보안 수준을 충족하는 보안 기능을 제공 가능한 종단 네트워크 장치들을 선택하게 된다.In step S610, the
따라서, 상기 단말-대-단말 경로 상에서 트래픽에 대한 보안 기능을 처리할 종단 네트워크 장치로 결정된 네트워크 장치는, 상기 SDN 컨트롤러(100)로부터 요구되는 보안 수준을 충족하는 보안 기능을 상기 단말-대-단말 경로의 트래픽에 적용할 것으로 지시 받게 된다(S620). 상기 보안 기능 의 적용 지시 또한 종래 LLDP 등의 기존 프로토콜에 정의된 확장필드를 이용하거나, 별도로 정의된 메시지를 이용하여 수신될 수 있다.Accordingly, a network device determined as an end-to-end network device to process a security function for traffic on the terminal-to-terminal path may transmit a security function satisfying a security level required from the
한편, 단계(S610)에서 자신이 지원하는 보안 기능의 목록을 SDN 컨트롤러(100)에게 제공한 네트워크 장치들 중에서, 단계(S620)에 의해서 보안 기능의 적용을 지시 받는 네트워크 장치들은 상기 단말-대-단말 경로의 트래픽에 대한 종단 네트워크 장치로 선택된 네트워크 장치이다. 즉, 종단 네트워크 장치로 선택되지 않은 네트워크 장치는 단계(S610)에서 단계(S620)로 진행되지 않는다. 따라서, 도 6에 예시된 방법을 수행하는 네트워크 장치는 대상이 되는 단말-대-단말 경로에 대한 종단 네트워크 장치로 선택된 네트워크 장치를 의미한다.On the other hand, among the network devices providing the
단계(S620)에서 대상이 되는 단말-대-단말 경로에 대한 종단 네트워크 장치로 선택된 네트워크 장치는 지시 받은 보안 기능을 해당 단말-대-단말 경로의 트래픽에 대해서 적용한다(S630).In step S620, the network device selected as the end-point network device for the target terminal-to-terminal path applies the indicated security function to the traffic on the corresponding terminal-to-terminal path in operation S630.
이때, 단계(S630)에 따른 보안 기능의 적용은 SDN 컨트롤러(100)가 적용될 보안 기능의 변경 필요성을 파악하거나, 종단 네트워크 장치를 변경할 필요성을 파악할 때(S640)까지 지속적으로 수행될 수 있다.At this time, the application of the security function according to the step S630 can be continuously performed until the
예를 들면, SDN 컨트롤러(100)는 종단 네트워크 장치 또는 보안 기능의 변경의 필요성을 판단할 수 있다(S640). 예컨대, 종단 네트워크 장치로 동작하던 네트워크 장치에 오류가 발생되었거나 동작이 중단된 경우, 종단 네트워크 장치의 부하(load)가 커진 경우, 단말(또는 사용자)의 보안 기능 요구 수준이 변경된 경우 등을 보안 기능의 변경이나 종단 네트워크 장치의 변경이 필요한 상황의 예로 들 수 있다.For example, the
이 경우, SDN 컨트롤러(100)는 자신이 관리하는 SDN 환경에 속한 네트워크 장치들의 보안 기능 목록을 다시 수집하도록 단계(S610)부터 다시 진행하거나, 보안 기능 목록은 주기적으로 이미 수집된 경우는 종단 네트워크 장치와 적용 보안 기능을 다시 결정하기 위해 단계(S620)부터 다시 진행할 수 있다.In this case, the
본 발명에 따른 방법들은 다양한 컴퓨터 수단을 통해 수행될 수 있는 프로그램 명령(program instruction) 형태로 구현되어 컴퓨터 판독 가능 매체(메모리 또는 저장수단)에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 본 발명을 위해 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.The methods according to the present invention can be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium (memory or storage means). The computer readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the computer readable medium may be those specially designed and constructed for the present invention or may be available to those skilled in the computer software.
컴퓨터 판독 가능 매체의 예에는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함한다. 상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 적어도 하나의 소프트웨어 모듈로 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다. 따라서, 본 발명에 따른 방법들은 적어도 하나의 프로세서(processor)와 본 발명에 따른 방법들은 구현하는 프로그램 명령이 저장된 컴퓨터 판독 가능 매체(메모리 또는 저장수단)를 구비한 네트워크 장치 또는 SDN 컨트롤러에 의해서 수행될 수 있다.Examples of computer readable media include hardware devices that are specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those generated by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate with at least one software module to perform the operations of the present invention, and vice versa. Accordingly, the methods according to the present invention may be performed by a network device having a computer-readable medium (memory or storage means) or at least one SDN controller in which at least one processor and methods according to the present invention are stored .
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the present invention as defined by the following claims It can be understood that
10, 40: 단말
11~14, 31~34: 라우터 또는 스위치
20, 30: 게이트웨이
100: SDN 컨트롤러
220, 230: 보안 기능 목록
320, 330: 적용 보안 기능 지시10, 40: terminal
11-14, 31-34: Router or switch
20, 30: Gateway
100: SDN controller
220, 230: List of security functions
320, 330: Security function indication
Claims (20)
상기 SDN 환경을 구성하는 적어도 하나의 네트워크 장치로부터 각 네트워크 장치가 지원하는 보안 기능의 목록을 수신하는 단계;
상기 수신된 보안 기능의 목록들에 기초하여, 상기 단말-대-단말 경로의 단말들 중 적어도 하나의 보안 또는 서비스 등급에 따라서 요구되는 보안 수준을 충족하는 보안 기능, 및 해당 보안 기능을 제공하는 종단 네트워크 장치들을 선택하는 단계; 및
상기 선택된 종단 네트워크 장치들에게, 상기 단말-대-단말 경로의 트래픽에 대하여, 상기 선택된 보안 기능의 적용을 지시하는 단계를 포함하는, SDN 컨트롤러의 보안 기능 처리 방법.A security function processing method of an SDN controller for applying a security function to a terminal-to-terminal path in a Software-Defined Network (SDN) environment,
Receiving a list of security functions supported by each network device from at least one network device constituting the SDN environment;
A security function that satisfies a security level required according to the security or service class of at least one of the terminals in the terminal-to-terminal path based on the list of the received security functions, Selecting network devices; And
And instructing the selected end-to-end network devices to apply the selected security function to the traffic on the terminal-to-terminal path.
상기 보안 기능의 목록은 상기 각 네트워크 장치의 동작 개시 시점에 수신되거나, 상기 각 네트워크 장치의 동작 중에 주기적으로 수신되는, SDN 컨트롤러의 보안 기능 처리 방법.The method according to claim 1,
Wherein the list of security functions is received at the start of operation of each network device or periodically received during operation of each network device.
상기 보안 기능의 목록은 LLDP(Link Layer Discovery Protocol)를 이용하여 수신되거나, 상기 SDN 컨트롤러와 상기 적어도 하나의 네트워크 장치 간에 정의된 메시지를 이용하여 수신되는, SDN 컨트롤러의 보안 기능 처리 방법.The method according to claim 1,
Wherein the list of security functions is received using a Link Layer Discovery Protocol (LLDP) or received using a message defined between the SDN controller and the at least one network device.
상기 적어도 하나의 네트워크 장치는, 라우터(router), 스위치(switch) 또는 게이트웨이(gateway) 장치인, SDN 컨트롤러의 보안 기능 처리 방법.The method according to claim 1,
Wherein the at least one network device is a router, a switch, or a gateway device.
상기 보안 기능은 상기 단말-대-단말 경로의 트래픽에 적용되는 암호화(encryption) 및 터널링(tunneling) 중 적어도 하나를 포함하는, SDN 컨트롤러의 보안 기능 처리 방법.The method according to claim 1,
Wherein the security function includes at least one of encryption and tunneling applied to traffic of the terminal-to-terminal path.
상기 선택된 종단 네트워크 장치의 변경 또는 상기 선택된 보안 기능의 변경이 필요한 경우, 상기 보안 기능의 목록을 수신하는 단계 또는 상기 보안 기능 및 상기 종단 네트워크 장치들을 선택하는 단계부터 다시 진행되는, SDN 컨트롤러의 보안 기능 처리 방법.The method according to claim 1,
A step of receiving a list of the security functions or a step of selecting a security function and the termination network devices when a change of the selected end network device or a change of the selected security function is required, Processing method.
상기 네트워크 장치가 지원하는 보안 기능의 목록을 상기 SDN 환경의 SDN 컨트롤러에게 전송하는 단계;
상기 SDN 컨트롤러로부터, 상기 단말-대-단말 경로의 단말들 중 적어도 하나의 보안 또는 서비스 등급에 따라서 요구되는 보안 수준을 충족하는 보안 기능의 적용을 지시 받는 단계; 및
상기 단말-대-단말 경로의 트래픽에 대하여, 상기 요구되는 보안 수준을 충족하는 보안 기능을 상기 단말-대-단말 경로에 대한 종단 네트워크 장치로서 수행하는 단계를 포함하는, 네트워크 장치의 보안 기능 처리 방법.A method of processing a security function of a network device for applying a security function to a terminal-to-terminal path in a software-defined network (SDN) environment,
Transmitting a list of security functions supported by the network device to an SDN controller in the SDN environment;
Receiving from the SDN controller application of a security function satisfying a security level required according to a security or service class of at least one of the terminals in the terminal-to-terminal path; And
Performing a security function satisfying the required security level for the traffic on the terminal-to-terminal path as an end-point network device for the terminal-to-terminal path; .
상기 보안 기능의 목록은 상기 네트워크 장치의 동작 개시 시점에 전송되거나, 상기 네트워크 장치의 동작 중에 주기적으로 전송되는, 네트워크 장치의 보안 기능 처리 방법.The method of claim 7,
Wherein the list of security functions is transmitted at the start of operation of the network device or periodically transmitted during operation of the network device.
상기 보안 기능의 목록은 LLDP(Link Layer Discovery Protocol)를 이용하여 전송되거나, 상기 SDN 컨트롤러와 상기 네트워크 장치 간에 정의된 메시지를 이용하여 전송되는, 네트워크 장치의 보안 기능 처리 방법.The method of claim 8,
Wherein the list of security functions is transmitted using a Link Layer Discovery Protocol (LLDP) or transmitted using a message defined between the SDN controller and the network device.
상기 네트워크 장치는, 라우터(router), 스위치(switch) 또는 게이트웨이(gateway) 장치인, 네트워크 장치의 보안 기능 처리 방법.The method of claim 8,
Wherein the network device is a router, a switch, or a gateway device.
상기 보안 기능은 상기 단말-대-단말 경로의 트래픽에 적용되는 암호화(encryption) 및 터널링(tunneling) 중 적어도 하나를 포함하는, 네트워크 장치의 보안 기능 처리 방법.The method of claim 8,
Wherein the security function includes at least one of encryption and tunneling applied to traffic of the terminal-to-terminal path.
상기 요구되는 보안 수준을 충족하는 보안 기능의 변경이 필요한 경우 또는 상기 네트워크 장치의 역할 또는 상태가 변경된 경우, 상기 보안 기능의 목록을 전송하는 단계 또는 상기 보안 기능의 적용을 지시 받는 진행하는 단계부터 다시 진행되는, 네트워크 장치의 보안 기능 처리 방법.The method of claim 8,
When the security function satisfying the required security level is required or when the role or status of the network device is changed, the step of transmitting the list of the security functions or the step of instructing the application of the security function again A method for processing a security function of a network device, the method comprising:
적어도 하나의 네트워크 장치가, 각 네트워크 장치가 지원하는 보안 기능의 목록을 SDN 컨트롤러로 전송하는 단계;
상기 SDN 컨트롤러가, 상기 적어도 하나의 네트워크 장치들 중에서, 상기 단말-대-단말 경로의 단말들 중 적어도 하나의 보안 또는 서비스 등급에 따라서 요구되는 보안 수준을 충족하는 보안 기능 및 해당 보안 기능을 제공하는 종단 네트워크 장치들을 선택하는 단계;
상기 SDN 컨트롤러가, 상기 선택된 종단 네트워크 장치들에게, 상기 단말-대-단말 경로의 트래픽에 대하여, 상기 선택된 보안 기능의 적용을 지시하는 단계; 및
상기 종단 네트워크 장치로 선택된 네트워크 장치가, 상기 적용을 지시 받은 보안 기능을 상기 단말-대-단말 경로의 트래픽에 대하여 적용하는 단계를 포함한, SDN의 보안 기능 처리 방법.A method for applying a security function to a terminal-to-terminal path in a software-defined network (SDN) environment,
Transmitting at least one network device a list of security functions supported by each network device to an SDN controller;
Wherein the SDN controller provides a security function that satisfies a security level required according to a security or service class of at least one of terminals of the terminal-to-terminal path among the at least one network devices, Selecting end-to-end network devices;
The SDN controller instructing the selected end-to-end network devices to apply the selected security function to traffic of the terminal-to-terminal path; And
Wherein the network device selected as the end-point network device applies the security function instructed by the application to the traffic of the terminal-to-terminal path.
상기 보안 기능의 목록은, 상기 적어도 하나의 네트워크 장치의 동작 개시 시점에 상기 SDN 컨트롤러로 전송되거나, 상기 적어도 하나의 네트워크 장치의 동작 중에 주기적으로 상기 SDN 컨트롤러에 전송되거나, 상기 SDN 컨트롤러의 요청에 기초하여 상기 SDN 컨트롤러로 전송되는, SDN의 보안 기능 처리 방법.14. The method of claim 13,
Wherein the list of security functions is transmitted to the SDN controller at the start of operation of the at least one network device or periodically transmitted to the SDN controller during operation of the at least one network device, And transmitted to the SDN controller.
상기 보안 기능의 목록은 LLDP(Link Layer Discovery Protocol)를 이용하여 전송되거나, 상기 SDN 컨트롤러와 상기 적어도 하나의 네트워크 장치 간에 정의된 메시지를 이용하여 전송되는, SDN의 보안 기능 처리 방법.14. The method of claim 13,
Wherein the list of security functions is transmitted using a Link Layer Discovery Protocol (LLDP) or transmitted using a message defined between the SDN controller and the at least one network device.
상기 적어도 하나의 네트워크 장치는, 라우터(router), 스위치(switch) 또는 게이트웨이(gateway) 장치인, SDN의 보안 기능 처리 방법.14. The method of claim 13,
Wherein the at least one network device is a router, a switch, or a gateway device.
상기 보안 기능은 상기 단말-대-단말 경로의 트래픽에 적용되는 암호화(encryption) 및 터널링(tunneling) 중 적어도 하나를 포함하는, SDN의 보안 기능 처리 방법.14. The method of claim 13,
Wherein the security function includes at least one of encryption and tunneling applied to traffic of the terminal-to-terminal path.
상기 선택된 종단 네트워크 장치의 변경 또는 상기 선택된 보안 기능의 변경이 필요한 경우, 상기 보안 기능의 목록을 SDN 컨트롤러로 전송하는 단계 또는 상기 보안 기능의 적용을 지시하는 단계부터 다시 진행되는, SDN의 보안 기능 처리 방법.14. The method of claim 13,
If a change of the selected end-point network device or a change of the selected security function is required, the step of transmitting the list of the security functions to the SDN controller or the security function processing of the SDN Way.
상기 선택된 종단 네트워크 장치의 변경이 필요한 경우는, 상기 선택된 종단 네트워크 장치로 동작하던 네트워크 장치에 오류가 발생된 경우, 동작이 중단된 경우, 및 부하가 커진 경우 중 적어도 하나 인, SDN의 보안 기능 처리 방법.19. The method of claim 18,
And when it is necessary to change the selected terminating network device, the security function processing of the SDN, which is at least one of a case where an error occurs in a network device operating as the selected terminating network device, Way.
상기 선택된 보안 기능의 변경이 필요한 경우는, 상기 단말-대-단말 경로의 적어도 하나의 단말의 보안 기능 요구 수준이 변경된 경우인, SDN의 보안 기능 처리 방법.19. The method of claim 18,
Wherein when a change of the selected security function is required, a security functional requirement level of at least one terminal in the terminal-to-terminal path is changed.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170031025A KR102274204B1 (en) | 2017-03-13 | 2017-03-13 | Method for supporting security function in software defined network, and network apparatus and controller for the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170031025A KR102274204B1 (en) | 2017-03-13 | 2017-03-13 | Method for supporting security function in software defined network, and network apparatus and controller for the same |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20180104376A true KR20180104376A (en) | 2018-09-21 |
KR102274204B1 KR102274204B1 (en) | 2021-07-07 |
Family
ID=63720830
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170031025A KR102274204B1 (en) | 2017-03-13 | 2017-03-13 | Method for supporting security function in software defined network, and network apparatus and controller for the same |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102274204B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20200041021A (en) | 2018-10-11 | 2020-04-21 | 주식회사 케이티 | Method for controlling quantum cryptography communication network and system thereof |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20120123558A (en) * | 2010-03-16 | 2012-11-08 | 알까뗄 루슨트 | Method, system and apparatus providing secure infrastructure |
KR20150000152A (en) * | 2013-06-24 | 2015-01-02 | 한국전자통신연구원 | Method for controlling software defined networking network and apparatus for performing the same |
-
2017
- 2017-03-13 KR KR1020170031025A patent/KR102274204B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20120123558A (en) * | 2010-03-16 | 2012-11-08 | 알까뗄 루슨트 | Method, system and apparatus providing secure infrastructure |
KR20150000152A (en) * | 2013-06-24 | 2015-01-02 | 한국전자통신연구원 | Method for controlling software defined networking network and apparatus for performing the same |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20200041021A (en) | 2018-10-11 | 2020-04-21 | 주식회사 케이티 | Method for controlling quantum cryptography communication network and system thereof |
Also Published As
Publication number | Publication date |
---|---|
KR102274204B1 (en) | 2021-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108989194B (en) | Distributed IPSec gateway | |
US8971339B2 (en) | Contents base switching system and contents base switching method | |
CN107801249B (en) | Resource allocation method of wireless communication system, and apparatus and system thereof | |
CN113596191B (en) | Data processing method, network element equipment and readable storage medium | |
EP3101849A1 (en) | Flow table entry generation method and device | |
CN110896553B (en) | Multi-access edge computing method and platform and communication system | |
US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
WO2016210196A1 (en) | Media relay server | |
Song et al. | A congestion avoidance algorithm in SDN environment | |
KR20120052981A (en) | Method and system for deploying at least one virtual network on the fly and on demand | |
CN105830395A (en) | Session-based packet routing for facilitating analytics | |
WO2016210202A1 (en) | Media relay server | |
WO2019157968A1 (en) | Communication method, apparatus and system | |
CN108011754B (en) | Transfer control separation system, backup method and device | |
US9755909B2 (en) | Method, device and system for controlling network path | |
JP5679343B2 (en) | Cloud system, gateway device, communication control method, and communication control program | |
US20100046398A1 (en) | Method and system for automatically realizing connection between management device and managed device | |
CN106464596A (en) | Openflow communication method, system, controller, and service gateway | |
US20180302479A1 (en) | Handling at least one communication exchange between a telecommunications network and at least one user equipment | |
JP5983733B2 (en) | COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION DEVICE, INFORMATION RELAY METHOD, AND PROGRAM | |
EP2497324B1 (en) | Methods for address translator traversal in 3gpp networks | |
KR20180104376A (en) | Method for supporting security function in software defined network, and network apparatus and controller for the same | |
JP2013179494A (en) | Virtual network infrastructure control system and method | |
JP2012165172A (en) | Communication system, communication device and supervision control device | |
CN107005473B (en) | Communication path switching apparatus, method of controlling communication path switching apparatus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |