KR100456622B1 - 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템함수를 이용한 정책 제공 및 실행방법 - Google Patents

정책기반의 네트워크 보안 관리 시스템에 있어서 시스템함수를 이용한 정책 제공 및 실행방법 Download PDF

Info

Publication number
KR100456622B1
KR100456622B1 KR10-2002-0029146A KR20020029146A KR100456622B1 KR 100456622 B1 KR100456622 B1 KR 100456622B1 KR 20020029146 A KR20020029146 A KR 20020029146A KR 100456622 B1 KR100456622 B1 KR 100456622B1
Authority
KR
South Korea
Prior art keywords
policy
system function
network security
client
function
Prior art date
Application number
KR10-2002-0029146A
Other languages
English (en)
Other versions
KR20030091257A (ko
Inventor
김숙연
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0029146A priority Critical patent/KR100456622B1/ko
Publication of KR20030091257A publication Critical patent/KR20030091257A/ko
Application granted granted Critical
Publication of KR100456622B1 publication Critical patent/KR100456622B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법에 대한 것이다. 본 발명은 정책기반의 네트워크 보안 관리 시스템내 정책을 생성, 편집, 저장 및 관리하는 정책 서버에서 적어도 하나 이상의 정책 클라이언트에 정책을 제공하고 정책 클라언트를 통해서 정책을 실행하는 방법에 있어서, 정책 서버와 정책 클라이언트 사이에서 시스템 함수를 상호 인식하는 단계와, 정책 서버에서 시스템 함수를 참조하는 네트워크 보안 정책을 생성, 편집 또는 저장하는 단계와, 정책 서버에서 네트워크 보안 정책을 정책 클라이언트에게 전달하는 단계와, 정책 클라이언트에서 네트워크 보안 정책의 시스템 함수가 리턴하는 실제 값으로 시스템 함수를 치환하는 단계와, 정책 클라이언트에서 네트워크 보안 정책을 실행하는 단계를 포함한다. 따라서, 본 발명은 정책 클라이언트마다 서로 구별되는 고유한 값을 가지는 시스템 함수를 참조하는 네트워크 보안 정책을 단일 표현 방식으로 정책 서버가 생성, 편집할 수 있게 하고, 표현된 정책을 다수개의 정책 클라이언트에게 단일 형식으로 제공할 수 있게 하기 때문에 시스템의 확장성을 증대시킬 뿐만 아니라, 한가지 네트워크 보안 정책을 각 정책 클라이언트에서 서로 다르게 적용될 수 있게 하기 때문에 시스템의 유연성도 증가시키는 효과가 있다.

Description

정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법{METHOD FOR PROVIDING AND EXECUTING POLICY USING SYSTEM FUNCTION IN A POLICY BASED NETWORK SECURITY MANAGEMENT SYSTEM}
본 발명은 네트워크 보안 관리기술에 관한 것으로서, 특히 정책기반의 네트워크 보안 관리 시스템의 정책 서버에서 정책 클라이언트로 시스템 함수를 참조하는 네트워크 보안 정책을 제공하고 이를 정책 클라이언트에서 실행하는 방법에 관한 것이다.
인터넷의 확산과 더불어 네트워크 침해 및 피해 사례가 급증하였고 이에 따른 네트워크 보안의 필요성에 부응하여 방화벽, 침입탐지 시스템 및 가상 사설망 등의 기술들이 급속한 발전을 하고 있다. 그러나 아직까지 각 기술들이 개별적인 서비스에 머물고 있는 네트워크 보안 분야에서는 이러한 요소 기술들을 통합적으로 적용 및 관리하기 위한 해결책을 모색 중이다.
그 해결책 중의 하나로 정책기반 네트워크 보안 관리의 개념이 제시되었다. 정책기반의 네트워크 보안 관리의 기본 프레임워크는 IETF(Internet Engineering Task Force) PBNM(Policy-Based Network Management)와 같으나 적용 정책이 네트워크 보안이라는 특정 목적을 갖는다. 여기서 PBNM이란 IT기반의 수익구조를 갖춘 업체들의 사업계획과 가격정책, 과금 등 전반적인 사업정책을 네트워크 인프라에 구현해 대역폭 조절, 품질보장(QoS), 보안 등 네트워크 운용의 핵심요소들을 자동적으로 조절해주는 일련의 관리기술을 일컫는 것이다.
도 1은 일반적인 정책기반의 네트워크 관리 시스템을 도시한 구성도이다. 도 1에서 네트워크 망(20)에 구현된 정책기반의 네트워크 관리 시스템은 정책 서버(12)와, 적어도 하나 이상의 정책 클라이언트들(10)로 구성된다. 여기서 정책 서버(12)는 네트워크 정책을 생성, 편집, 저장 및 관리하는 네트워크 장치로서, 정책 관리 도구(Policy Management Tool), 정책 결정 모듈(Policy Decision Point) 등을 포함한다. 그리고 정책 클라이언트(10)는 이러한 네트워크 정책을 실행하는 네트워크 장치이다.
한편, 정책기반의 네트워크 관리 시스템 구조에서 네트워크 정책을 표현, 편집, 저장, 재사용 및 전달하기 위한 정책 정보 모델링은 DMTF(Distributed Management Task Force)의 PCIM(Policy Core Information Model)으로 표준화 되었다[PCIM(J.Strassnger, E.Ellesson, B.Moore, and A. Westerinen, "Policy Core Information Model--Version 1 Specification", RFC 3060, February 2001) 참조, PCIMe(B.Moore, L.Raberg, Y.Snir, J.strassner, A.Westerinen, R.Chdha, M.Brunner, and R.Cohen, "Policy Core Information Model Extensions", work in progress, <draft-ietf-policy-pcim-ext-07.txt>, February, 2002) 참조]. 여기서 PCIM은 객체 지향 모델링(object-oriented modeling) 기반으로 설계되었으므로 클래스 계층 상속 구조를 갖는다. PCIM에서 정책은 규칙 객체와 이와 연관 관계를 갖는 조건 객체 및 동작 객체 등으로 구성된다.
그런데 도 1에 도시된 정책기반의 네트워크 보안 관리 시스템의 정책 서버는 네트워크 보안 정책을 생성, 편집, 저장 및 관리함에 있어서 확장성 및 유연성 있는 구조를 가져야 한다. 그 이유는 정책 서버가 정책 클라이언트들에게 다양하고도 변동하기 쉬운 네트워크 보안 정책을 제공해야 하기 때문이다. 이와 더불어 다양한정책 클라이언트가 정책 서버에 쉽게 접속할 수 있도록 하기 위해서 단순한 형식으로 네트워크 보안 정책을 전달할 수 있어야 한다.
한편 어떤 종류의 네트워크 보안 정책들은 각 정책 클라이언트의 고유 값, 혹은 각 정책 클라이언트가 유지 및 관리하는 값을 참조해야만 올바른 실행이 가능하다. 만약 정책 서버가 이러한 값들을 참조하는 네트워크 보안 정책을 각 정책 클라이언트에게 전달해야 한다면 정책 서버는 정책 클라이언트별로 구분해서 네트워크 보안 정책을 생성, 편집, 저장 및 관리해야 하므로 확장성 및 유연성이 떨어지는 문제점이 있었다. 게다가 정책 클라이언트별로 상이한 네트워크 보안 정책을 정책 서버가 전달해야 하므로 정책 전달 형식의 단순화도 어려워진다.
본 발명의 목적은 상기와 같은 종래 기술의 문제점을 해결하기 위하여 정책 서버에서 정책 클라이언트별로 고유한 값, 혹은 각 정책 클라이언트마다 다른 값을 참조해야만 올바른 실행이 가능한 네트워크 보안 정책을 생성하되, 클라이언트의 시스템 함수를 참조하여 네트워크 보안 정책을 생성하고 이를 해당 정책 클라이언트에게 제공함으로써 정책 서버의 확장성 및 유연성을 높일 수 있는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법을 제공하는데 있다.
상기 목적을 달성하기 위하여 본 발명의 방법은 정책기반의 네트워크 보안 관리 시스템내 네트워크 보안 정책을 생성, 편집, 저장 및 관리하는 정책 서버에서 적어도 하나 이상의 정책 클라이언트에 네트워크 보안 정책을 제공하고 정책 클라언트를 통해서 정책을 실행하는 방법에 있어서, 정책 서버와 정책 클라이언트 사이에서 시스템 함수를 상호 인식하되, 시스템 함수의 입력 파라매터의 개수 및 종류와, 시스템 함수가 리턴하는 값의 종류를 서로 약정하는 단계와, 정책 서버에서 시스템 함수를 참조하는 네트워크 보안 정책을 생성, 편집 또는 저장하는 단계와, 정책 서버에서 네트워크 보안 정책을 정책 클라이언트에게 전달하는 단계와, 정책 클라이언트에서 네트워크 보안 정책의 시스템 함수가 리턴하는 실제 값으로 시스템 함수를 치환하는 단계와, 정책 클라이언트에서 네트워크 보안 정책을 실행하는 단계를 포함한다.
도 1은 일반적인 정책기반의 네트워크 보안 관리 시스템을 도시한 구성도,
도 2는 본 발명의 방법이 적용될 수 있는 정책기반의 네트워크 보안 관리 시스템의 일 실시예,
도 3은 본 발명에 따른 시스템 함수를 이용한 정책 제공 및 실행방법을 순차적으로 도시한 흐름도,
도 4는 본 발명의 일 실시예에 따른 정책 클라이언트가 담당하는 네트워크 IP 주소를 나타내는 시스템 함수의 활용 예를 도시한 도면,
도 5는 본 발명의 다른 실시예에 따른 라우팅 테이블 정보를 나타내는 시스템 함수의 활용 예를 도시한 도면,
도 6a 내지 도 6e는 PCIM 기반으로 표현된 정책중 시스템 함수를 참조하는 조건의 여러 가지 예들을 나타낸 도면들,
도 7은 본 발명에 따른 정책기반의 네트워크 보안 관리 시스템에서 네트워크 보안 정책을 전달하고 이를 실행하는 예를 나타내는 도면.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대해 설명하고자 한다.
도 2는 본 발명의 방법이 적용될 수 있는 정책기반의 네트워크 보안 관리 시스템의 일 실시예이다. 도 2를 참조하면, 본 발명이 적용될 수 있는 정책기반의 네트워크 보안 관리 시스템의 상세한 일 실시예의 구조는 사이버 순찰 제어 시스템(Cyber Patrol Control System)(120)과, 이에 연결된 적어도 하나 이상의 보안 게이트웨이 시스템(Security Gateway System)(110)으로 구성된다. 여기서 사이버 순찰 제어 시스템(120)은 정책 서버 역할을 하며, 보안 게이트웨이 시스템(110)은 정책 클라이언트의 역할을 하게 된다.
도 2에 도시된 정책기반의 네트워크 보안 관리 시스템에 있어서, 보안 게이트웨이 시스템(110)은 센서(112), 분석기(114), 사이버 순찰 에이전트(116) 등의 모듈로 구성되며 사이버 순찰 제어 시스템(120)은 정책 관리 도구(Policy Management Tool)(121), 정책 결정 모듈(Policy Decision Point)(122), 경보 관리기(Alert Manager)(123), 상위 레벨 분석기(High Level Analyzer)(124) 등의 모듈로 구성된다. 그리고 도면 부호 130은 데이터베이스(DB: DataBase)이며, 도면 부호 140과 160은 정책 저장부(Policy Repository) 및 경보 DB이다. 또한 도면 부호 150은 뷰어(Viewer)이다.
각 보안 게이트웨이 시스템(110)의 센서(112)는 외부 네트워크에서 내부 네트워크로 들어오는 패킷들을 복사하고, 복사된 패킷에서 필요한 정보만을 추출하는 기능을 수행한다. 분석기(114)는 사이버 순찰 제어 시스템(120)으로부터 전송되어 DB(130)에 저장된 네트워크 보안 정책의 정보와 센서(112)에 의해 추출된 정보를 비교 분석하여 전송된 패킷이 내부 네트워크로의 침입을 목적으로 하는가를 결정한다. 사이버 순찰 에이전트(116)는 분석기(114)에 의해 탐지된 침입 정보를 구성하여 사이버 순찰 제어 시스템(120)에 전송하거나, 차단기(미도시됨)에게 해당 패킷 또는 해당 패킷이 포함된 세션을 차단하는 동작을 하도록 지시한다. 또한 사이버 순찰 에이전트(116)는 사이버 순찰 제어 시스템(120)으로부터 전송된 네트워크 보안 정책에서 시스템 함수를 실제 값으로 치환하고 이를 DB(130)에 저장시킨다.
한편 사이버 순찰 제어 시스템(120)의 사용자가 정책 관리 도구(121)를 이용하여 네트워크 보안 정책을 표현해서 입력하면, 상기 네트워크 보안 정책은 정책 저장부(Policy Repository)(140)에 저장된다. 또한 사용자는 정책 관리 도구(121)를 통해서 정책 저장부(140)에 저장된 네트워크 보안 정책을 편집할 수도 있다. 정책 관리 도구(121)에서는 이러한 기능을 수행할 때마다 그 결과를 정책 결정 모듈(122)에 알려준다. 그리고 정책 결정 모듈(122)은 현재 수행되어야 할 네트워크보안 정책을 결정하고, 이렇게 결정된 네트워크 보안 정책을 정책 저장부(140)에서 해당 보안 게이트웨이 시스템(110)으로 전달하는 역할을 수행한다. 또한 본 발명이 적용된 정책 관리 도구(121)는 정책 결정 모듈(122)과, 보안 게이트웨이 시스템(110)의 사이버 순찰 에이전트(116)와 함께 시스템 함수를 상호 인식하여 처리하는 역할도 한다.
경보 관리기(123)는 여러 보안 게이트웨이 시스템(110)에서 전송된 경보 데이터를 경보 DB(160)에 저장하고, 저장된 경보 데이터를 분석하여 그 결과를 뷰어(150)를 통하여 사용자에게 알려준다. 그리고 사이버 순찰 제어 시스템(120)의 상위레벨 분석기(124)는 보안 게이트웨이 시스템(110)으로부터 전송된 경보, 트래픽 정보와 로그 정보를 이용하여 각 보안 게이트웨이 시스템(110)에서 탐지할 수 없는 보안 상황을 탐지하는 역할을 수행한다.
도 3은 본 발명에 따른 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법을 순차적으로 도시한 흐름도이다. 도 2와 도 3을 참조하여 본 발명의 방법에 대해 설명한다.
우선, 정책 서버인 사이버 순찰 제어 시스템(120)과 정책 클라이언트인 보안 게이트웨이 시스템(110)에서 시스템 함수를 상호 인식한다.(S10) 좀 더 상세하게는, 사이버 순찰 제어 시스템(120)의 정책 관리 도구(121), 정책 결정 모듈(122)에서 보안 게이트웨이 시스템(110)의 사이버 순찰 에이전트(116)와 함께 시스템 함수를 상호 인식하고 처리할 수 있게 된다.
여기서 시스템 함수는 각 정책 클라이언트마다 다른 값을 리턴할 수 있도록각 클라이언트가 상기 값을 유지 및 관리하는 것을 특징으로 한다. 예를 들어, 시스템 함수는 정책 클라이언트의 식별자, 정책 클라이언트의 시스템 현재 시각, 정책 클라이언트가 정책 서버에 접속한 시각, 정책 클라이언트의 운영체제의 종류, 정책 클라이언트가 보안을 담당하는 네트워크 주소, 정책 클라이언트가 접속된 라우터의 인터페이스에 대한 IP 주소, 정책 클라이언트가 접속된 라우터의 인터페이스에 대한 Mac 주소, 또는 정책 클라이언트가 접속된 라우터의 라우팅 테이블의 정보를 나타낸다.
본 발명에서 시스템 함수를 상호 인식한다는 것은 정책 서버와 정책 클라이언트 사이에서 시스템 함수의 입력 파라매터의 개수 및 종류와, 시스템 함수가 리턴하는 값의 종류를 서로 약정한다는 것이다. 이때 시스템 함수가 나타내는 값은 단일 값, 값의 집합 또는 값의 범위이다. 예를 들어, IP 주소를 리턴하는 시스템 함수는 단일 IP 주소를 리턴할 수도 있지만 IP 주소의 집합이나 IP 주소의 범위도 리턴할 수 있다.
한편 정책 서버와 정책 클라이언트 사이의 시스템 함수를 상호 인식하는 단계(S10)는 정책 기반의 네트워크 보안 관리 시스템의 설계시와 같이 정책 클라리언트가 정책 서버에 접속하기 전에 이루어질 수 있다. 혹은 정책 클라이언트가 정책 서버에 접속할 때 정책 클라이언트가 정책 서버에 자신이 처리할 수 있는 시스템 함수의 종류 및 특성을 알려줄 수도 있다.
S10의 단계 이후에, 사이버 순찰 제어 시스템(120)은 정책 관리 도구(121)를 이용하여 시스템 함수를 참조하는 네트워크 보안 정책을 생성, 편집하고 이를 정책저장부(140)에 저장한다.(S20)
그리고 사이버 순찰 제어 시스템(120)은 정책 결정 모듈(122)을 통해서 클라이언트에 송신할 네트워크 보안 정책을 결정하고, 정책 저장부(140)에 저장된 해당 정책을 찾아 이를 보안 게이트웨이 시스템(110)에 전달한다.(S30)
S30의 단계 이후에, 보안 게이트웨이 시스템(110)의 사이버 순찰 에이전트(116)는 사이버 순찰 제어 시스템(120)으로부터 전달된 네트워크 보안 정책에서 시스템 함수가 리턴하는 실제 값으로 시스템 함수를 치환한다.(S40) 만약 정책이 PCIM 기반으로 표현 및 전달되었다면, 보안 게이트웨이 시스템(110)은 네트워크 보안 정책에서 시스템 함수를 나타내는 객체를 시스템 함수가 리턴하는 실제 값의 값 객체로 치환한다. S40 단계 이후에, 사이버 순찰 에이전트(116)는 치환된 네트워크 보안 정책을 DB(130)에 저장시킨다.
그런 다음 보안 게이트웨이 시스템(110)의 분석기(114)는 DB(130)에 저장된 네트워크 보안 정책을 실행한다.(S50) 이에 센서(112)를 통해 외부 네트워크에서 내부 네트워크로 들어오는 패킷에 대하여 분석기(114)는 센서(112)에서 추출된 패킷의 정보와 DB(130)에 저장된 정책의 정보를 비교 분석하여 전송된 패킷이 침입을 목적으로 하고 있는지 판단하고, 침입으로 판단되면 사이버 순찰 에이전트(116)를 통해 사이버 순찰 제어 시스템(120)에 이 침입 사실을 전송하거나, 차단기(미도시됨)를 통해 해당 패킷 또는 해당 패킷이 포함된 세션을 차단하도록 지시한다.
도 4는 본 발명의 일 실시예에 따라 정책기반의 네트워크 보안 관리 시스템에서 정책 클라이언트가 담당하는 네트워크 IP 주소를 나타내는 시스템 함수의 활용 예를 도시한 도면으로서, 이를 참조하면 본 발명의 일 실시예는 다음과 같다.
정책 클라이언트(110a, 110b)가 보안을 담당하는 네트워크를 나타내는 시스템 함수인 'homenet()'를 정책 서버(120')와 정책 클라이언트(110a, 110b)가 상호 인식한다. 이러한 상호 인식 단계는 'homenet()'이라는 함수가 IP 주소, IP 주소의 집합, 또는 IP 주소의 범위를 리턴함을 약정하는 과정을 포함한다.
예를 들어, 정책 클라이언트 A(110a)가 보안을 담당하는 네트워크를129.254.122.00/24이라 하고 다른 정책 클라이언트 B(110b)가 보안을 담당하는 네트워크를 138.96.58.00/24이라고 정의하자. 그러면 정책 클라이언트 A(110a)는 'homenet()'이라는 함수에 대한 값을 129.254.122.00/24로 가지고, 정책 클라이언트 B는 'homenet()'이라는 함수에 대한 값을 138.96.58.00/24로 가지게 된다. 정책 서버는 다음과 같이 시스템 함수 'homenet()'를 활용하는 네트워크 보안 정책의 규칙을 양 클라이언트A, B(110a, 110b)에게 전달할 수 있다: "소스 주소가 129.56.189.41이고 목적지 주소가 'homenet()'이고 TCP를 사용하며 목적지 포트가 80인 패킷을 차단하라". 그러면 정책 서버로부터 상기 정책을 전달받은 정책 클라이언트 A(110a)는 이 정책의 'homenet()' 함수를 자신의 리턴 값으로 치환하여 다음과 같은 정책으로 변환한 후 실행한다: "소스 주소가 129.56.189.41이고 목적지 주소가 129.254.122.00/24이고 TCP를 사용하며 목적지 포트가 80인 패킷을 차단하라". 한편 정책 클라이언트 B(110b)는 이 정책의 'homenet()' 함수를 자신의 리턴 값으로 치환하여 다음과 같은 정책으로 변환한 후 실행한다: "소스 주소가 129.56.189.41이고 목적지 주소가 138.96.58.00/24이고 TCP를 사용하며 목적지 포트가 80인 패킷을 차단하라".
도 5는 본 발명의 다른 실시예에 따라 정책기반의 네트워크 보안 관리 시스템에서 라우팅 테이블 정보를 나타내는 시스템 함수의 활용 예를 도시한 도면으로서, 이를 참조하면 본 발명의 다른 실시예는 다음과 같다. 단, 이 실시 예는 정책 클라이언트가 라우터에 설치되어 있음을 전제로 한다.
정책 서버(120')와 정책 클라이언트(110a, 110b)가 목적지 주소를 입력 파라매터로 하는 시스템 함수인 'nextHop(DestinationIPAddress)'를 상호 인식한다. 정책 클라이언트 A(110a)의 라우팅 테이블에 목적지 주소 129.254.122.70에 대한 next hop이 129.254.122.01라고 적혀 있고, 정책 클라이언트 B(110b)의 라우팅 테이블에 목적지 주소 129.254.122.70에 대한 next hop이 138.96.58.01라 적혀 있다고 하자. 그러면 정책 클라이언트 A(110a)는 'nextHop(129.254.122.70)'이라는 시스템 함수에 대한 리턴 값을 129.254.122.01로 가지고 있고, 정책 클라이언트 B(110b)는 138.96.58.01로 가지게 된다. 이에 정책 서버(120')는 다음과 같이 시스템 함수를 활용하는 네트워크 보안 정책의 규칙을 기술하여 양 클라이언트A, B(110a, 110b)에 전달할 수 있다: "소스 주소가 129.56.189.41이고 목적지 주소가 nextHop(129.254.122.70)인 패킷을 차단하라". 그러면 정책 클라이언트 A(110a)는 이 정책의 nextHop(129.254.122.70) 함수를 자신의 리턴 값으로 치환하여 다음과 같은 네트워크 보안 정책으로 변환한 후에 실행한다: "소스 주소가 129.56.189.41이고 목적지 주소가 129.254.122.01인 패킷을 차단하라". 한편 정책 클라이언트 B(110b)는 이 정책의 nextHop(129.254.122.70)인 시스템 함수를 자신의 리턴 값으로 치환하여 다음과 같은 정책으로 변환한 후 실행한다: "소스 주소가 129.56.189.41이고 목적지 주소가 138.96.58.01인 패킷을 차단하라".
어떤 정책이 시스템 함수를 참조한다고 함은 그 시스템 함수와 다른 변수 사이의 대소를 비교하거나, 상기 시스템 함수와 다른 변수가 동일한지를 확인하는 조건을 그 정책이 포함함을 의미한다. 만약 시스템 함수가 스트링(string)이거나 IP 주소의 범위일 경우에는 어떤 정책이 그 시스템 함수를 참조한다고 함은 상기 시스템 함수가 어떤 변수에 포함되는지 확인하거나, 상기 변수가 상기 시스템 함수에 포함되는지 확인하는 조건을 그 정책이 포함함을 의미할 수도 있다.
시스템 함수를 참조하는 정책을 표현하는 방법은 다양할 수 있으나, PCIM을 기반으로 정책을 표현할 경우 위에서 설명한 정책의 조건 예는 도 6a와 같이 표현될 수 있다. 도 6a에 도시된 정책 조건은 연산자를 속성으로 하는 비교 조건 객체(Operator)(301)와, 이와 연관 관계를 갖는 두 개의 객체로써 표현된다. 여기서 두 개의 객체는 시스템 함수(예를 들어 함수 A)를 나타내는 제 1객체(303)와, 변수를 나타내는 제 2객체(305)이다. 연산자는 "==", "<", ">", "≤", "≥", "include", "be included" 등이다. 시스템 함수를 나타내는 제 1객체(303)는 시스템 함수의 종류별로 정의된 클래스의 인스턴스이며, 그 클래스는 각 시스템 함수의 입력 파라매터1, 2 등을 나타내는 속성을 가진다. 상기 변수를 나타내는 제 2객체(305)는 PCIM에 정의되어 있는 변수 클래스 혹은 변수 클래스의 확장 클래스의 인스턴스를 의미하는 것이다.
도 5에 나타난 바와 같이, 조건이 "목적지 주소가 nextHop(129.254.122.70)이면" 일 경우 도 6b와 같이 표현된다. 여기서 시스템 함수를 참조하는 조건 중에서 비교 조건 객체(307)는 ComparisonCondition이라는 클래스의 인스턴스이며, 이 객체(307)의 연산자 속성은 "=="이다. 시스템 함수를 나타내는 제 1객체(309)는 NextHop이라는 클래스의 인스턴스이며, 이 객체(309)의 destinationIPAddress라는 속성은 129.254.122.70이다. 상기 시스템 함수와 비교되는 변수 객체인 제 2객체(311)는 DestinationIPVariable이라는 클래스의 인스턴스이다.
한편 시스템 함수의 입력 파라매터가 없는 경우 시스템 함수의 클래스는 입력 파라매터를 나타내는 속성이 없다. 예를 들어 도 4에 나타난 바와 같이 조건이 "목적지 주소가 homenet()이면"일 경우 도 6c와 같이 표현된다. 도 6c의 조건에서 비교 조건 객체(313)와, 변수 객체를 나타내는 제 2객체(317)는 도 6b와 동일하나, 시스템 함수를 나타내는 제 1객체(315)는 상이하다. 제 1객체(315)는 Homenet이라는 클래스의 인스턴스이며, 이 객체(315)의 속성은 없다. 이러한 속성이 없는 시스템 함수 클래스는 PCIM에 정의되어 있는 변수 클래스의 확장 클래스로 정의하여도 무방하다.
한편 어떤 정책이 시스템 함수를 참조한다고 함은 상기 시스템 함수와 이와는 다른 값의 대소를 비교하거나, 상기 시스템 함수와 다른 값이 동일한지를 확인하는 조건을 그 정책이 포함함을 의미할 수 있다. 만약 상기 시스템 함수가 스트링이거나 IP 주소의 범위일 경우 어떤 정책이 시스템 함수를 참조한다고 함은 상기 시스템 함수가 다른 값에 포함되는지를 확인하거나, 다른 값이 시스템 함수에 포함되는지 확인하는 조건을 그 정책이 포함함을 의미하기도 한다. PCIM을 기반으로이러한 정책의 조건을 표현할 경우 도 6d와 같이 표현된다. 도 6d에서의 조건은 연산자("==", "<", ">", "≤", "≥", "include", "be included" 등)를 속성으로 하는 비교 조건 객체(319)와, 이와 연관 관계를 갖는 두 개의 객체, 즉 시스템 함수(예를 들어 함수 A)를 나타내는 제 1객체(321)와, 값 객체를 나타내는 제 2객체(323)로 표현된다. 여기서 제 1객체(321)는 시스템 함수의 종류별로 정의된 클래스의 인스턴스이며, 그 클래스는 각 시스템 함수의 입력 파라매터1, 2 등을 나타내는 속성을 가지는 것으로 표현하였다. 값 객체를 나타내는 제 2객체(323)는 PCIM에 정의되어 있는 값 클래스의 인스턴스 혹은 값 클래스의 확장 클래스의 인스턴스를 의미하는 것이다.
한편 어떤 정책이 시스템 함수를 참조한다고 함은 그 시스템 함수를 나타내는 제 1시스템 함수와 이와는 다른 제 2시스템 함수의 대소를 비교하거나, 상기 제 1시스템 함수와 제 2시스템 함수가 동일한지를 확인하는 조건을 그 정책이 포함함을 의미할 수도 있다. 만약 상기 시스템 함수가 리턴하는 값이 스트링이거나 IP 주소의 범위일 경우 어떤 정책이 시스템 함수를 참조한다고 함은 상기 시스템 함수를 나타내는 제 1시스템 함수가 제 2시스템 함수에 포함되는지를 확인하거나, 제 2시스템 함수가 제 1시스템 함수에 포함되는지 확인하는 조건을 그 정책이 포함함을 의미할 수도 있다. PCIM을 기반으로 정책을 표현할 경우 상기 조건은 도 6e와 같이 표현된다. 도 6e에서의 조건은 연산자("==", "<", ">", "≤", "≥", "include", "be included" 등)를 속성으로 하는 비교 조건 객체(325)와, 이와 연관 관계를 갖는 두 개의 객체, 즉 제 1시스템 함수(예를 들어 함수 A)를 나타내는 제1객체(327)와, 제 2시스템 함수(예를 들어 함수 B)를 나타내는 제 2객체(329)로 표현된다. 여기서 제 1객체(321)는 시스템 함수의 종류별로 정의된 클래스의 인스턴스이며, 그 클래스는 해당 시스템 함수의 입력 파라매터1, 2 등을 나타내는 속성을 가지는 것으로 표현하였다. 제 2객체(323)는 시스템 함수의 종류별로 정의된 클래스의 인스턴스이며, 그 클래스는 해당 시스템 함수의 입력 파라매터를 나타내는 속성을 가지는 것으로 표현될 수 있다.
한편 PCIM 기반으로 표현된 정책은 네트워크 보안 관리 시스템의 정책 관리 도구를 이용하여 편집되거나 정책 저장부에 저장될 수 있다. 따라서 시스템 함수를 참조하는 조건은 비교 조건 객체와 이와 연관 관계를 갖는 두 개의 객체로써 편집되거나 저장될 수 있다.
도 7은 본 발명에 따른 정책기반의 네트워크 보안 관리 시스템에서 네트워크 보안 정책을 전달하고 이를 실행하는 예를 나타내는 도면이다. 도 7의 예에서는 정책 서버와 정책 클라이언트간에 PCIM 기반으로 정책 전달이 이루어지고 정책 전달의 단위를 객체라고 가정한다. 그리고 정책 서버가 정책 클라이언트에게 시스템 함수를 참조하는 정책을 전달할 때 비교 조건 객체와 이와 연관 관계를 갖는 두 개의 객체로써 전달한다고 가정한다.
도 7을 참조하여 본 발명에 따라 정책 전달 및 실행하는 과정은 다음과 같다.
우선 정책 서버(120')는 우선 비교 조건 객체(301)와 이와 연관 관계를 갖는 두 개의 객체, 즉 시스템 함수(303)와 변수 객체(305)로 표현되는 조건을 가지는네트워크 보안 정책을 생성, 편집한다. 그리고 정책 서버(120')는 이러한 비교 조건 객체(301)와 시스템 함수(303) 및 변수 객체(305)로 표현되는 조건을 가지는 네트워크 보안 정책을 정책 클라이언트(110')에게 전달한다. 그러면 정책 클라이언트(110)는 정책 서버(120')로부터 전달된 네트워크 보안 정책의 시스템 함수를 실제 값으로 치환하고 상기 정책을 실행한다. 즉 정책 클라이언트(110')는 정책의 조건 중에서 시스템 함수를 나타내는 객체(303)를 시스템 함수가 리턴하는 실제 값을 나타내는 값 객체(304)로 치환하고 네트워크 보안 정책을 실행한다.
이상 설명한 바와 같이, 본 발명은 정책 서버가 다수의 정책 클라이언트에 대해 서로 구별되는 고유한 시스템 함수를 참조하는 네트워크 보안 정책을 생성, 편집할 수 있고 단일 표현방식으로 표현된 정책을 다수개의 정책 클라이언트에게 제공하기 때문에 시스템의 확장성을 제공하고, 각 정책 클라이언트에서 치환되는 시스템 함수의 리턴 값이 다르기 때문에 각 클라이언트에서 서로 다르게 네트워크 보안 정책을 적용할 수 있는 유연성을 제공하는 효과가 있다.
그리고 정책 서버가 정책 클라이언트에게 시스템 함수를 참조하는 네트워크 보안 정책을 PCIM 기반으로 전달할 경우 시스템 함수를 참조하는 조건은 비교 조건 객체와 이와 연관을 갖는 두 개의 객체를 갖는 단일한 형식으로 표현할 수 있어 정책 서버와 정책 클라이언트 사이에서 정책 전달 형식을 단순화하는 효과가 있다.
한편 본 발명은 상술한 실시예에 국한되는 것이 아니라 후술되는 청구범위에 기재된 본 발명의 기술적 사상과 범주내에서 당업자에 의해 여러 가지 변형이 가능하다.

Claims (23)

  1. 정책기반의 네트워크 보안 관리 시스템내 네트워크 보안 정책을 생성, 편집, 저장 및 관리하는 정책 서버에서 적어도 하나 이상의 정책 클라이언트에 네트워크 보안 정책을 제공하고 상기 정책 클라언트를 통해서 상기 정책을 실행하는 방법에 있어서,
    상기 정책 서버와 상기 정책 클라이언트 사이에서 상기 정책 클라이언트별로 유지 및 관리하는 값이 상이한 시스템 함수를 상호 인식하되, 상기 시스템 함수의 입력 파라매터의 개수 및 종류와, 상기 시스템 함수가 리턴하는 값의 종류를 서로 약정하는 단계;
    상기 정책 서버에서 상기 시스템 함수를 참조하는 네트워크 보안 정책을 생성, 편집 또는 저장하는 단계;
    상기 정책 서버에서 상기 네트워크 보안 정책을 상기 정책 클라이언트에게 전달하는 단계;
    상기 정책 클라이언트에서 상기 네트워크 보안 정책의 시스템 함수가 리턴하는 실제 값으로 상기 시스템 함수를 치환하는 단계; 및
    상기 정책 클라이언트에서 네트워크 보안 정책을 실행하는 단계를 포함하는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  2. 삭제
  3. 제 1항에 있어서, 상기 시스템 함수를 참조하는 네트워크 보안 정책은 상기 시스템 함수와 다른 변수 사이의 대소 또는 동일을 확인하는 조건을 포함하는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  4. 제 1항에 있어서, 상기 시스템 함수를 참조하는 네트워크 보안 정책은 상기 시스템 함수와 다른 변수가 서로 포함되는지를 확인하는 조건을 포함하는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  5. 제 3항 또는 제 4항에 있어서, 상기 조건은 연산자를 속성으로 갖는 비교 조건 객체와, 이와 연관 관계를 갖는 상기 시스템 함수를 나타내는 제 1객체와, 상기 변수를 나타내는 제 2객체로 표현되는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  6. 제 5항에 있어서, 상기 시스템 함수를 나타내는 제 1객체는 상기 시스템 함수의 종류별로 정의된 클래스의 인스턴스이며, 상기 클래스는 각 시스템 함수의 입력 파라매터를 나타내는 속성을 갖는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  7. 제 5항에 있어서, 상기 시스템 함수를 나타내는 제 1객체는 상기 시스템 함수의 종류별로 정의된 클래스의 인스턴스이며, 상기 시스템 함수는 입력 파라매터가 없으며 상기 클래스는 입력 파라매터를 나타내는 속성이 없는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  8. 제 5항에 있어서, 상기 시스템 함수를 나타내는 제 1객체는 변수를 나타내는 클래스의 확장 클래스의 인스턴스인 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  9. 제 1항에 있어서, 상기 시스템 함수를 참조하는 네트워크 보안 정책은 상기 시스템 함수와 이와는 다른 값 사이의 대소 또는 동일을 확인하는 조건을 포함하는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  10. 제 1항에 있어서, 상기 시스템 함수를 참조하는 네트워크 보안 정책은 상기시스템 함수와 이와는 다른 값이 서로 포함되는지를 확인하는 조건을 포함하는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  11. 제 9항 또는 제 10항에 있어서, 상기 조건은 연산자를 속성으로 하는 비교 조건 객체와, 이와 연관 관계를 갖는 상기 시스템 함수를 나타내는 제 1객체와, 상기 다른 값을 나타내는 제 2객체로 표현되는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  12. 제 11항에 있어서, 상기 시스템 함수를 나타내는 제 1객체는 상기 시스템 함수의 종류별로 정의된 클래스의 인스턴스이며, 상기 클래스는 각 시스템 함수의 입력 파라매터를 나타내는 속성을 갖는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  13. 제 11항에 있어서, 상기 시스템 함수를 나타내는 제 1객체는 상기 시스템 함수의 종류별로 정의된 클래스의 인스턴스이며, 상기 시스템 함수는 입력 파라매터가 없으며 상기 클래스는 입력 파라매터를 나타내는 속성이 없는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  14. 제 11항에 있어서, 상기 시스템 함수를 나타내는 제 1객체는 변수를 나타내는 클래스의 확장 클래스의 인스턴스인 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  15. 제 1항에 있어서, 상기 시스템 함수를 참조하는 네트워크 보안 정책은 상기 시스템 함수를 나타내는 제 1시스템 함수와 이와는 다른 제 2시스템 함수 사이의 대소 또는 동일을 확인하는 조건을 포함하는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  16. 제 1항에 있어서, 상기 시스템 함수를 참조하는 네트워크 보안 정책은 상기 시스템 함수를 나타내는 제 1시스템 함수와 이와는 다른 제 2시스템 함수가 서로 포함되는지를 확인하는 조건을 포함하는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  17. 제 15항 또는 제 16항에 있어서, 상기 조건은 연산자를 속성으로 하는 비교 조건 객체와, 이와 연관 관계를 갖는 상기 제 1시스템 함수를 나타내는 제 1객체와, 상기 제 2시스템 함수를 나타내는 제 2객체로 표현되는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  18. 제 17항에 있어서, 상기 시스템 함수를 나타내는 제 1객체는 상기 시스템 함수의 종류별로 정의된 클래스의 인스턴스이며, 상기 클래스는 각 시스템 함수의 입력 파라매터를 나타내는 속성을 갖는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  19. 제 17항에 있어서, 상기 시스템 함수를 나타내는 제 1객체는 상기 시스템 함수의 종류별로 정의된 클래스의 인스턴스이며, 상기 시스템 함수는 입력 파라매터가 없으며 상기 클래스는 입력 파라매터를 나타내는 속성이 없는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  20. 제 17항에 있어서, 상기 시스템 함수를 나타내는 제 1객체는 변수를 나타내는 클래스의 확장 클래스의 인스턴스인 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  21. 제 1항에 있어서, 상기 네트워크 보안 정책의 시스템 함수가 리턴하는 실제 값으로 상기 시스템 함수를 치환하는 단계는, 상기 시스템 함수를 나타내는 객체를 상기 시스템 함수가 리턴하는 실제 값의 값 객체로 치환하는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  22. 제 1항에 있어서, 상기 네트워크 보안 정책의 시스템 함수가 리턴하는 실제 값으로 상기 시스템 함수를 치환하는 단계 이후, 상기 실제 값으로 치환된 네트워크 보안 정책을 저장하는 단계를 더 포함하는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
  23. 제 1항에 있어서, 상기 정책 클라이언트의 시스템 함수는,
    상기 정책 클라이언트의 식별자, 상기 정책 클라이언트의 시스템 현재 시각, 상기 정책 클라이언트가 상기 정책 서버에 접속한 시각, 상기 정책 클라이언트의 운영체제의 종류, 상기 정책 클라이언트가 보안을 담당하는 네트워크 주소, 상기 정책 클라이언트가 접속된 라우터의 인터페이스에 대한 IP 주소, 상기 정책 클라이언트가 접속된 라우터의 인터페이스에 대한 Mac 주소, 또는 상기 정책 클라이언트가 접속된 라우터의 라우팅 테이블의 정보를 나타내는 것을 특징으로 하는 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템 함수를 이용한 정책 제공 및 실행방법.
KR10-2002-0029146A 2002-05-27 2002-05-27 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템함수를 이용한 정책 제공 및 실행방법 KR100456622B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0029146A KR100456622B1 (ko) 2002-05-27 2002-05-27 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템함수를 이용한 정책 제공 및 실행방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0029146A KR100456622B1 (ko) 2002-05-27 2002-05-27 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템함수를 이용한 정책 제공 및 실행방법

Publications (2)

Publication Number Publication Date
KR20030091257A KR20030091257A (ko) 2003-12-03
KR100456622B1 true KR100456622B1 (ko) 2004-11-10

Family

ID=32384405

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0029146A KR100456622B1 (ko) 2002-05-27 2002-05-27 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템함수를 이용한 정책 제공 및 실행방법

Country Status (1)

Country Link
KR (1) KR100456622B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101082744B1 (ko) * 2009-03-31 2011-11-10 주식회사 케이티 일반전화와 인터넷전화 서비스를 모두 제공하는 게이트웨이장치 및 그 방법

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7430760B2 (en) * 2003-12-05 2008-09-30 Microsoft Corporation Security-related programming interface
KR100696083B1 (ko) * 2005-02-22 2007-03-19 주식회사 어니언소프트웨어 It 서비스의 품질개선을 위한 it 서비스 관리 방법
KR100785804B1 (ko) * 2005-12-02 2007-12-13 한국전자통신연구원 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치 및그 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990038044A (ko) * 1997-11-03 1999-06-05 정선종 분산 객체 시스템 자원에 대한 보안 정보 관리 방법
JP2000316025A (ja) * 1999-03-03 2000-11-14 Hitachi Ltd 通信品質保証型ネットワークシステム
KR20010047997A (ko) * 1999-11-24 2001-06-15 이계철 디렉토리 기반의 통합관리를 통한 네트워크 보안 유지 방법
KR20010090297A (ko) * 2000-03-24 2001-10-18 강상훈 보안 정책 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990038044A (ko) * 1997-11-03 1999-06-05 정선종 분산 객체 시스템 자원에 대한 보안 정보 관리 방법
JP2000316025A (ja) * 1999-03-03 2000-11-14 Hitachi Ltd 通信品質保証型ネットワークシステム
KR20010047997A (ko) * 1999-11-24 2001-06-15 이계철 디렉토리 기반의 통합관리를 통한 네트워크 보안 유지 방법
KR20010090297A (ko) * 2000-03-24 2001-10-18 강상훈 보안 정책 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101082744B1 (ko) * 2009-03-31 2011-11-10 주식회사 케이티 일반전화와 인터넷전화 서비스를 모두 제공하는 게이트웨이장치 및 그 방법

Also Published As

Publication number Publication date
KR20030091257A (ko) 2003-12-03

Similar Documents

Publication Publication Date Title
US11683214B2 (en) Network operating system for managing and securing networks
US9407557B2 (en) Methods and systems to split equipment control between local and remote processing units
EP2241058B1 (en) Method for configuring acls on network device based on flow information
US7710900B2 (en) Method and system for providing network management based on defining and applying network administrative intents
CA2525343C (en) Security checking program for communication between networks
CN110785963B (zh) 从网络收集网络模型和节点信息
CN104115463A (zh) 用于处理网络元数据的流式传输方法和系统
CN106789637B (zh) 一种跨域业务互通的路径建立方法、控制器及系统
US11743206B2 (en) Systems and methods for intelligent application grouping
KR100439177B1 (ko) 네트워크 보안 정책의 표현,저장 및 편집 방법
CN110741602A (zh) 响应于网络意图形式对等性失败的事件生成
Amin et al. Auto-configuration of ACL policy in case of topology change in hybrid SDN
KR100456622B1 (ko) 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템함수를 이용한 정책 제공 및 실행방법
Sharma et al. Self-healing topology for DDoS attack identification & discovery protocol in software-defined networks
Polyrakis et al. The meta-policy information base
Choudhary Policy‐based network management
Halder et al. A graph based formalism for detecting flow conflicts in software defined network
KR100401064B1 (ko) 네트워크 보안정책 관리도구에서 정책 편집시 충돌 확인방법
AU2013257420B2 (en) Network operating system for managing and securing networks
TW201526588A (zh) 用於本地與遠端處理時之設備控制分隔的系統及其方法
Arora The Heart and Brain of SDN: SDN Controllers
Ahn et al. Security policy decision for automation of security network configuration
Agbariah Automated policy compliance and change detection managed service in data networks
Paul et al. AMÉLIORATION DES TECHNIQUES DE GESTION DES ROUTEURS FILTRANTS AU MOYEN DE MÉTHODES AUTOMATIQUES ET DYNAMIQUES
Krombi et al. A Formal Composition of a Distributed System with its Security Policy

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20081104

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee