KR100479345B1 - Method and apparatus for network security and management - Google Patents

Method and apparatus for network security and management Download PDF

Info

Publication number
KR100479345B1
KR100479345B1 KR10-2003-0028571A KR20030028571A KR100479345B1 KR 100479345 B1 KR100479345 B1 KR 100479345B1 KR 20030028571 A KR20030028571 A KR 20030028571A KR 100479345 B1 KR100479345 B1 KR 100479345B1
Authority
KR
South Korea
Prior art keywords
security
programmable
packet
policy
security policy
Prior art date
Application number
KR10-2003-0028571A
Other languages
Korean (ko)
Other versions
KR20040094985A (en
Inventor
김명은
오승희
김광식
남택용
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2003-0028571A priority Critical patent/KR100479345B1/en
Publication of KR20040094985A publication Critical patent/KR20040094985A/en
Application granted granted Critical
Publication of KR100479345B1 publication Critical patent/KR100479345B1/en

Links

Classifications

    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01FMAGNETS; INDUCTANCES; TRANSFORMERS; SELECTION OF MATERIALS FOR THEIR MAGNETIC PROPERTIES
    • H01F27/00Details of transformers or inductances, in general
    • H01F27/02Casings
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01FMAGNETS; INDUCTANCES; TRANSFORMERS; SELECTION OF MATERIALS FOR THEIR MAGNETIC PROPERTIES
    • H01F30/00Fixed transformers not covered by group H01F19/00
    • H01F30/06Fixed transformers not covered by group H01F19/00 characterised by the structure

Abstract

본 발명은 네트워크 보안과 관리장치 및 방법에 관한 것으로, 네트워크 상의 보안 장비의 프로파일을 이용하여 보안 장비에 적용할 추상화된 보안 정책을 생성하고, 생성된 보안 정책을 프로그래머블 보안 정책으로 변환하는 프로그래머블 정책 관리 툴; 프로그래머블 보안 정책을 IP 패킷의 페이로드 부분에 채워 넣는 프로그래머블 정책 처리부; IP 패킷을 암호화하는 프로그래머블 정책 인증부; IP 패킷을 프로그래머블 패킷으로 변환하고, 프로그래머블 패킷의 라우팅, 스케줄링 및 자원을 모니터링하는 프로그래머블 패킷 관리부; 수신된 프로그래머블 패킷을 IP 패킷으로 변환하고 다음 보안 장치로 라우팅하는 프로그래머블 패킷 관리부; IP 패킷에 포함된 인증 헤더를 이용하여 IP 패킷의 송신자와 송신지를 확인하고, 송신자가 인증된 경우에 IP 패킷을 복호화하는 프로그래머블 정책 인증부; 복호화된 IP 패킷에 포함된 프로그래머블 보안 정책을 실행하는 프로그래머블 정책 처리부; 프로그래머블 보안 정책이 기존의 프로그래머블 보안정책과 충돌되는지 검사하는 보안 감시부; 및 프로그래머블 보안 정책을 일시적으로 보관하는 지역 정책 저장소를 구비한다. 따라서, 네트워크 상에 존재하는 이기종 보안 장비를 관리할 때 관리자가 다양한 보안 장비의 실행 커맨드나 환경 설정값을 알 필요 없이 보안 정책을 각 보안 장비에서 수행되는 커맨드로 변환하여 배포하므로, 관리상의 이점을 제공하며, 프로그래머블 패킷을 이용하여 보안 정책을 전송하여 관리 장치와 보안 장비간의 통신 부하를 줄일 수 있는 효과가 있다. The present invention relates to a network security and management apparatus and method, using the profile of the security equipment on the network to generate an abstracted security policy to be applied to the security equipment, programmable policy management for converting the generated security policy into a programmable security policy Tools; A programmable policy processor that fills the programmable security policy in the payload portion of the IP packet; A programmable policy authentication unit that encrypts an IP packet; A programmable packet manager for converting an IP packet into a programmable packet and monitoring routing, scheduling, and resources of the programmable packet; A programmable packet manager for converting the received programmable packet into an IP packet and routing to the next security device; A programmable policy authentication unit for verifying a sender and a destination of the IP packet by using an authentication header included in the IP packet, and decoding the IP packet when the sender is authenticated; A programmable policy processor that executes a programmable security policy included in the decrypted IP packet; A security monitoring unit checking whether the programmable security policy conflicts with an existing programmable security policy; And a local policy repository that temporarily stores programmable security policies. Therefore, when managing heterogeneous security devices existing on the network, administrators do not need to know the execution commands or environment settings of various security devices, and convert the security policy into commands executed in each security device to distribute the security benefits. In addition, it is possible to reduce the communication load between the management device and the security device by transmitting a security policy using a programmable packet.

Description

네트워크 보안과 관리장치 및 방법{METHOD AND APPARATUS FOR NETWORK SECURITY AND MANAGEMENT}Network security and management device and method {METHOD AND APPARATUS FOR NETWORK SECURITY AND MANAGEMENT}

본 발명은 네트워크 보안과 관리장치 및 방법에 관한 것으로, 특히 프로그래머블 패킷이 실행 가능한 프로그래머블 네트워크 기반 보안 프레임워크(framework) 상에 분산되어 설치된 보안 장비에 프로그래머블 패킷을 이용하여 보안 정책을 배포하여 보다 다양하게 보안 관리할 수 있도록 하는 장치 및 방법에 관한 것이다. The present invention relates to network security and management apparatus and method, and more particularly, to distribute the security policy using a programmable packet to the security equipment distributed and installed on a programmable network-based security framework (framework) executable programmable packets An apparatus and method for enabling security management.

통상적으로, 네트워크 보안 분야에 있어서 보안 기술의 변화와 다양한 보안 요구사항을 반영하기 위해 다양한 네트워크 보안 장비가 분산 설치되며, 이러한 보안 장비들을 관리하기 위해 보안 관리 시스템이 사용된다. Typically, a variety of network security equipment is distributed to reflect changes in security technology and various security requirements in the field of network security, and a security management system is used to manage such security equipment.

초기의 보안 관리 시스템은 단일 기능 보안 장비만을 관리하였으나, 해킹 기술이 발달함에 따라 이에 대응할 수 있는 다양한 기능의 보안 장비를 연동하는 것을 필요로 하게 되었다.Early security management systems managed only single function security equipment, but as hacking technology developed, it became necessary to link various functions of security equipment to cope with this.

이에, 각 보안 업체는 자사에서 개발한 보안 장비를 통합하여 관리할 수 있는 보안 관리 시스템을 개발하여 다양한 기능의 보안 장비간 연동이 가능하게 되었다. 그러나 네트워크의 개념이 점차 확대됨에 따라 한 보안업체의 제품만으로 네트워크의 구성이 어렵게 되고, 다양한 보안 업체의 보안 장비들이 네트워크 내에 분산 설치됨으로써, 이기종 보안 장비를 통합 관리할 수 있는 통합 보안 관리 시스템에 대한 요구사항이 대두되었다.Therefore, each security company has developed a security management system that can integrate and manage the security equipment developed by the company, it is possible to interoperate between security equipment of various functions. However, as the concept of the network is gradually expanded, it is difficult to construct a network with only one security company's products, and security devices of various security companies are distributed and installed in the network, thereby providing an integrated security management system for integrated management of heterogeneous security devices. Requirements have emerged.

이러한, 요구사항에 따라 많은 보안 업체들이 파트너쉽을 맺고, 파트너쉽 멤버인 보안 업체의 보안 장비간의 연동을 위한 프레임워크를 만들어 통합적인 보안 환경을 제공하고자 연구하고 있으나, 이러한 프레임워크는 특정 프로토콜과 애플리케이션을 통해서만 제품간의 연동이 가능하다는 문제점을 갖고 있다. According to these requirements, many security companies have formed partnerships and have developed a framework for interworking with security devices of security companies that are members of the partnership to provide an integrated security environment. However, these frameworks provide specific protocols and applications. There is a problem that can be linked only between products.

한편, 네트워크 보안과 관련하여 공개된 다른 종래 기술로는 2001년 7월 3일자 제 2001-0039513 호로 출원된 "제한조건 동안 특정 보안 정책을 적용할 수 있는 네트워크 보안장치 및 네트워크 보안방법"과, 2001년 10월 정보처리학회 논문지로 게재된 "이종의 보안시스템 관리를 위한 정책 기반의 통합보안관리시스템의 계층적 정책모델에 관한 연구" 등에 개시되어 있다. Meanwhile, other conventional technologies disclosed in connection with network security include "network security apparatus and network security method which can apply a specific security policy during the limitation condition" filed on July 3, 2001, 2001-0039513, and 2001 This paper is published in the Journal of the Korea Information Processing Society, "A Study on the Hierarchical Policy Model of Policy-based Integrated Security Management System for Heterogeneous Security System Management.

이와 같이, 개시된 선행기술과 본원 발명과의 차이점에 대하여 상세하게 설명하면, "제한조건 동안 특정 보안 정책을 적용할 수 있는 네트워크 보안장치 및 네트워크 보안방법"은 보안 정책에 시간 개념을 도입하여 특정 시간동안 보안 정책을 적용하고 자동으로 해제하기 위한 목적을 갖는 반면에, 본 발명은 이기종 보안 시스템간의 연동 및 효율적인 관리를 위해 프로그래머블 패킷을 이용한 정책 배포 및 변환함으로써 빠르게 보안 정책을 적용하기 위한 목적의 차이를 갖는 점에서 차이가 있다. As described above, in detail with respect to the difference between the disclosed prior art and the present invention, "a network security device and a network security method that can apply a specific security policy during the constraints" is introduced by introducing the concept of time to the security policy specific time While the present invention has an object of applying and automatically releasing a security policy, the present invention is directed to a difference in the purpose of quickly applying a security policy by distributing and converting a policy using programmable packets for interworking and efficient management between heterogeneous security systems. There is a difference in having.

그리고, 선행기술은 보안 정책 편집 프로그램을 통해 임시보안정책을 생성하고 타이머 모듈에 의해 보안정책 삭제 이벤트를 통해 적용되었던 보안 정책을 해제하는 기능을 갖는 반면에, 본 발명은 보안서버와 보안 시스템간에 프로그래머블 패킷을 이용하여 모든 보안 시스템에 정책을 배포하는 기능을 수행하는 점에서 차이를 갖는다.In addition, while the prior art has a function of generating a temporary security policy through a security policy editing program and releasing a security policy applied through a security policy deletion event by a timer module, the present invention is programmable between a security server and a security system. The difference is that it uses a packet to distribute a policy to all security systems.

그리고, 선행기술은 일시적으로 적용되는 보안 정책을 효율적으로 관리 및 배포할 수 있는데 반해, 본 발명은 프로그래머블 패킷을 사용함으로써 제어 트래픽을 줄일 수 있으며, 관리자가 다양한 보안 장비의 개별적인 실행커맨드나 환경 설정값을 알 필요가 없어 관리상의 부하를 줄일 수 있는 잇점이 있다.In addition, while the prior art can efficiently manage and distribute a temporarily applied security policy, the present invention can reduce the control traffic by using a programmable packet, and the administrator can set individual execution commands or configuration values of various security devices. There is an advantage in reducing the administrative load because there is no need to know.

다음으로, "이종의 보안시스템 관리를 위한 정책 기반의 통합보안관리시스템의 계층적 정책모델에 관한 연구"는 이기종의 보안 시스템을 관리하기 위해 정책을 계층적으로 모델링하기 위한 목적을 갖는 것으로, 이기종 보안 시스템간의 연동 및 효율적인 관리를 위해 프로그래머블 패킷을 이용한 정책 배포 및 변환함으로써 빠르게 보안 정책을 적용하기 위한 본 발명의 목적과 차이를 갖는다.Next, "a study on the hierarchical policy model of policy-based integrated security management system for heterogeneous security system management" has the purpose of hierarchically modeling policies to manage heterogeneous security systems. It is different from the object of the present invention for quickly applying a security policy by distributing and converting a policy using a programmable packet for interworking and efficient management between security systems.

그리고, 선행기술은 관리서버와 보안 시스템간에 계속 통신을 유지하면서 보안 시스템에 존재하는 에이전트를 통해 정책을 적용하는 방식을 사용하지만, 본 발명은 보안서버와 보안 시스템간의 지속적인 통신을 유지할 필요 없이 프로그래머블 패킷을 이용하여 모든 보안 시스템에 정책을 배포하는 방식을 사용한다.The prior art uses a method of applying a policy through an agent existing in the security system while maintaining communication between the management server and the security system, but the present invention provides a programmable packet without the need to maintain continuous communication between the security server and the security system. Use to distribute the policy to all security systems.

그리고, 선행기술은 이기종 보안 시스템을 관리시 서버와 보안 시스템간의 지속적인 통신을 통해 보안 시스템에 정책을 적용하는데 반해, 본 발명은 프로그래머블 패킷을 사용함으로써 제어 트래픽을 줄일 수 있으며, 보다 빠르게 보안 정책을 적용함으로써 보안 시스템간의 연동을 통해 유해 트래픽에 의한 침입에 빠르게 대응할 수 있다.And, while the prior art manages the heterogeneous security system, the policy is applied to the security system through continuous communication between the server and the security system, while the present invention can reduce the control traffic by using the programmable packet, and apply the security policy more quickly. By interlocking between security systems, it is possible to respond quickly to intrusion by harmful traffic.

따라서, 특정 프로토콜과 애플리케이션에 제한 받지 않고 다양한 이기종 보안 장비를 손쉽게 관리할 수 있다면, 보안 장비간의 연동을 통해 보다 효과적으로 유해한 트래픽을 차단할 수 있다. 즉 관리 서버에서 각 보안 장비에서 실행 가능한 보안 정책을 생성하여 적용할 수 있다면 이기종 보안 장비간의 연동이 가능하다. 이러한 기능을 실현하기 위해서는 프로그래머블 네트워크 기술을 적용한 정책기반 보안 관리 메커니즘이 필요하다.Therefore, if various heterogeneous security devices can be easily managed without being limited to a specific protocol and application, harmful traffic can be blocked more effectively through interworking between the security devices. That is, if a management server can generate and apply a security policy that can be executed on each security device, interworking between heterogeneous security devices is possible. To realize this function, a policy-based security management mechanism using programmable network technology is required.

이에, 본 발명은 상술한 필요성에 의해 안출된 것으로서, 그 목적은 프로그래머블 패킷이 실행 가능한 프로그래머블 네트워크 기반 보안 프레임워크 상에 분산되어 설치된 보안 장비에 프로그래머블 패킷을 이용하여 보안 정책을 배포하여 보다 다양하게 보안 관리할 수 있도록 하는 네트워크 보안과 관리장치 및 방법을 제공함에 있다. Accordingly, the present invention has been made in view of the above-mentioned needs, the object of the present invention is to distribute the security policy by using the programmable packet to the security equipment distributed on the programmable network-based security framework that can be executed by the programmable packet more secure It is to provide a network security and management apparatus and method for managing.

상술한 목적을 달성하기 위한 본 발명의 일실시 예에 따른 네트워크 보안과 관리장치는 네트워크 상의 보안 장비의 프로파일을 이용하여 보안 장비에 적용할 추상화된 보안 정책을 생성하고, 생성된 보안 정책을 프로그래머블 보안 정책으로 변환하는 프로그래머블 정책 관리 툴; 프로그래머블 보안 정책을 IP 패킷의 페이로드 부분에 채워 넣는 프로그래머블 정책 처리부; IP 패킷을 암호화하는 프로그래머블 정책 인증부; IP 패킷을 프로그래머블 패킷으로 변환하고, 프로그래머블 패킷의 라우팅, 스케줄링 및 자원을 모니터링하는 프로그래머블 패킷 관리부; 수신된 프로그래머블 패킷을 IP 패킷으로 변환하고 다음 보안 장치로 라우팅하는 프로그래머블 패킷 관리부; IP 패킷에 포함된 인증 헤더를 이용하여 IP 패킷의 송신자와 송신지를 확인하고, 송신자가 인증된 경우에 IP 패킷을 복호화하는 프로그래머블 정책 인증부; 복호화된 IP 패킷에 포함된 프로그래머블 보안 정책을 실행하는 프로그래머블 정책 처리부; 프로그래머블 보안 정책이 기존의 프로그래머블 보안정책과 충돌되는지 검사하는 보안 감시부; 및 프로그래머블 보안 정책을 일시적으로 보관하는 지역 정책 저장소를 구비하는 것을 특징으로 한다. Network security and management apparatus according to an embodiment of the present invention for achieving the above object is to create an abstracted security policy to be applied to the security equipment using the profile of the security equipment on the network, and the generated security policy programmable security A programmable policy management tool for converting to a policy; A programmable policy processor that fills the programmable security policy in the payload portion of the IP packet; A programmable policy authentication unit that encrypts an IP packet; A programmable packet manager for converting an IP packet into a programmable packet and monitoring routing, scheduling, and resources of the programmable packet; A programmable packet manager for converting the received programmable packet into an IP packet and routing to the next security device; A programmable policy authentication unit for verifying a sender and a destination of the IP packet by using an authentication header included in the IP packet, and decoding the IP packet when the sender is authenticated; A programmable policy processor that executes a programmable security policy included in the decrypted IP packet; A security monitoring unit checking whether the programmable security policy conflicts with an existing programmable security policy; And a local policy repository that temporarily stores the programmable security policy.

그리고, 상술한 목적을 달성하기 위한 본 발명의 다른 실시예에 따른 네트워크 보안과 관리방법은 보안 정책을 생성하고, 생성된 보안 정책을 보안 장비에서 수행 가능한 프로그래머블 보안 정책으로 변환하는 단계; 생성된 프로그래머블 보안 정책을 IP 패킷의 페이로드 부분에 채워 넣는 단계; IP 패킷에 인증을 위한 인증 헤더를 붙이고, IP 패킷을 암호화 알고리즘으로 사용하여 암호화하는 단계; IP 패킷을 프로그래머블 패킷으로 변환하여 보안 장비에 제공하는 단계를 포함하는 것을 특징으로 한다.In addition, the network security and management method according to another embodiment of the present invention for achieving the above object comprises the steps of generating a security policy, and converts the generated security policy into a programmable security policy that can be executed in the security equipment; Filling the generated programmable security policy into the payload portion of the IP packet; Attaching an authentication header for authentication to the IP packet and encrypting the IP packet using the encryption algorithm; And converting the IP packet into a programmable packet and providing the same to the security equipment.

이하, 첨부된 도면을 참조하여 본 발명에 따른 실시 예를 상세하게 설명하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 네트워크 보안과 관리장치에 대한 블록 구성도로서, 프로그래머블 정책 관리 툴(10), 프로그래머블 정책 처리부(20), 프로그래머블 정책 인증부(30), 프로그래머블 패킷 관리부(40)를 각각 구비하는 관리장치(S1-1 내지 S1-4)와, 프로그래머블 정책 처리부(20-1), 프로그래머블 정책 인증부(30-1)와, 프로그래머블 패킷 관리부(40-1), 보안 감시부(50), 지역 정책 저장소(60)를 각각 구비하는 보안장비(S2-1 내지 S2-4)를 포함한다.1 is a block diagram of a network security and management apparatus according to the present invention, each of the programmable policy management tool 10, the programmable policy processing unit 20, the programmable policy authentication unit 30, and the programmable packet management unit 40, respectively. Management apparatuses S1-1 to S1-4 to be provided, the programmable policy processing unit 20-1, the programmable policy authentication unit 30-1, the programmable packet management unit 40-1, and the security monitoring unit 50 , Security equipment (S2-1 to S2-4) each having a regional policy repository (60).

프로그래머블 정책 관리 툴(10)은 프로그래머블 패킷을 인식하고 그것이 실행 가능한 네트워크 상에서 프로그래머블 패킷을 이용하여 보안 정책을 전달하며, 모든 보안 장비에 적용할 추상화된 보안 정책을 생성하여 지역 정책 저장소(60)에 저장하고, 관리장치(S1-1)내 정책 저장소(도시되지 않음)로부터 보안 장비 프로파일을 읽어 생성된 보안 정책을 각각의 보안장비(S2-1 내지 S2-4)에서 수행 가능한 프로그래머블 보안 정책으로 변환한다. The programmable policy management tool 10 recognizes the programmable packet and delivers the security policy using the programmable packet on the network where it is executable, creates an abstracted security policy for all security devices, and stores it in the local policy store 60. And reads the security device profile from the policy storage (not shown) in the management device S1-1 to convert the generated security policy into a programmable security policy that can be executed by each of the security devices S2-1 to S2-4. .

프로그래머블 정책 처리부(20, 20-1)는 관리 장치(S1-1 내지 S1-4)로부터 제공받은 프로그래머블 보안 정책을 실행하고, 각각의 보안장비(S2-1 내지 S2-4)로 전송할 프로그래머블 보안 정책을 패킷의 페이로드 부분에 채워 넣는다.The programmable policy processing unit 20, 20-1 executes the programmable security policy provided from the management apparatuses S1-1 through S1-4, and transmits the programmable security policy to each of the security devices S2-1 through S2-4. In the payload portion of the packet.

프로그래머블 정책 인증부(30, 30-1)는 패킷을 암호화하거나 복호화한다.The programmable policy authentication unit 30, 30-1 encrypts or decrypts the packet.

프로그래머블 패킷 관리부(40, 40-1)는 인터넷 프로토콜(Internet Protocol, IP) 패킷을 프로그래머블 패킷으로 변환하고 프로그래머블 패킷의 라우팅, 스케줄링 및 자원을 모니터링한다. The programmable packet managers 40 and 40-1 convert Internet Protocol (IP) packets into programmable packets and monitor routing, scheduling, and resources of the programmable packets.

보안 감시부(50)는 보안 정책이 기존의 보안정책과 충돌되는지 검사하며, 지역 정책 저장소(60)는 프로그래머블 보안 정책을 일시적으로 보관한다. The security monitoring unit 50 checks whether the security policy conflicts with the existing security policy, and the local policy store 60 temporarily stores the programmable security policy.

도 2의 흐름도를 참조하면, 상술한 구성을 바탕으로, 본 발명에 따른 네트워크 보안과 관리방법에 대하여 보다 상세하게 설명한다. Referring to the flowchart of FIG. 2, the network security and management method according to the present invention will be described in more detail based on the above-described configuration.

먼저, 관리 장치(S1-1)내의 프로그래머블 정책 관리 툴(10)은 해당 보안 장비(S2-1)에 적용할 보안 정책을 생성하여 정책 저장소에 저장하고, 관리장치(S1-1)내 정책 저장소로부터 보안 장비 프로파일을 읽어 생성된 보안 정책을 각 보안 장비에서 수행 가능한 프로그래머블 보안 정책으로 변환한다(단계 201). First, the programmable policy management tool 10 in the management device S1-1 generates a security policy to be applied to the security device S2-1, stores it in the policy store, and stores the policy in the management device S1-1. The security policy profile is read from the security policy, and the generated security policy is converted into a programmable security policy that can be executed by each security device (step 201).

이후, 프로그래머블 정책 처리부(20)는 프로그래머블 정책 관리 툴(10)에 의해 생성된 프로그래머블 보안 정책을 IP 패킷의 페이로드 부분에 채워넣는다(단계 202). Thereafter, the programmable policy processing unit 20 fills the payload portion of the IP packet with the programmable security policy generated by the programmable policy management tool 10 (step 202).

이어서, 프로그래머블 정책 인증부(30)는 인증 헤더를 통해 송진지와 송신자를 확인한 후, 패킷 인증을 위해 IP 패킷에 인증 헤더를 붙이고, 패킷의 보호를 위해 암호화 알고리즘으로 사용하여 IP 패킷을 암호화한다(단계 203). Subsequently, the programmable policy authenticator 30 checks the origin and sender through the authentication header, attaches the authentication header to the IP packet for packet authentication, and encrypts the IP packet using an encryption algorithm for protecting the packet ( Step 203).

이어서, 프로그래머블 패킷 관리부(40)는 IP 패킷을 프로그래머블 패킷으로 변환하여 보안 장비(S2-1)에 제공한다(단계 204).The programmable packet manager 40 then converts the IP packet into a programmable packet and provides it to the security equipment S2-1 (step 204).

다음으로, 보안 장비(S2-1)내의 프로그래머블 패킷 관리부(40-1)는 프로그래머블 패킷을 IP 패킷으로 변환하고 다음 보안 장비로 라우팅, 즉 다수의 보안 장비(S2-2 내지 S2-4)중 임의의 보안 장비로 패킷을 복사하여 전송한다(단계 205). Next, the programmable packet management unit 40-1 in the security device S2-1 converts the programmable packet into an IP packet and routes it to the next security device, that is, any of the plurality of security devices S2-2 to S2-4. The packet is copied and transmitted to the security device of step 205.

이후, 보안 장비(S2-1)내의 프로그래머블 정책 인증부(30-1)는 인증 헤더를 통해 송신자와 송신지를 확인하고 합법적인 사용자일 경우, 암호화된 패킷을 복호화한다(단계 206). Thereafter, the programmable policy authentication unit 30-1 in the security equipment S2-1 checks the sender and the transmission destination through the authentication header and decrypts the encrypted packet if the user is a legitimate user (step 206).

이어서, 보안 장비(S2-1)내의 프로그래머블 정책 처리부(20-1)는 해당 보안장비에서 실행 가능한 복호화된 패킷에 포함된 프로그래머블 보안 정책을 실행한다(단계 207).Then, the programmable policy processing unit 20-1 in the security equipment S2-1 executes the programmable security policy included in the decrypted packet executable in the security equipment (step 207).

이와 같이, 프로그래머블 패킷이 관리하는 모든 보안 장비(S2-1,2,3,4)를 방문하여 상술한 과정을 반복 수행한다. In this way, all security equipment (S2-1, 2, 3, 4) managed by the programmable packet is visited and the above-described process is repeated.

이때, 보안 장비 내의 지역 정책 저장소(60)는 프로그래머블 보안 정책을 일시적으로 보관하여 재 전송시 혹은 재수행시 사용한다. 그리고, 보안 감시부(50)는 새로 수행되는 보안 정책이 기존의 보안 정책과 충돌을 일으키는지 감시하여 충돌이 일어날 경우 관리장치(S1-1)에게 경고 메시지를 보낸다.At this time, the local policy store 60 in the security equipment temporarily stores the programmable security policy and uses it when retransmitting or performing again. The security monitoring unit 50 monitors whether the newly executed security policy is in conflict with the existing security policy, and sends a warning message to the management device S1-1 when a collision occurs.

상기와 같이 설명한 본 발명은 프로그래머블 패킷이 실행 가능한 프로그래머블 네트워크 기반 보안 프레임워크 상에 분산되어 설치된 보안 장비에 프로그래머블 패킷을 이용하여 보안 정책을 배포하여 보다 다양하게 보안 관리함으로써, 네트워크 상에 존재하는 이기종 보안 장비를 관리할 때 관리자가 다양한 보안 장비의 실행 커맨드나 환경 설정값을 알 필요 없이 보안 정책을 각 보안 장비에서 수행되는 커맨드로 변환하여 배포하므로, 관리상의 이점을 제공하며, 프로그래머블 패킷을 이용하여 보안 정책을 전송하여 관리 장치와 보안 장비간의 통신 부하를 줄일 수 있는 효과가 있다. As described above, the present invention distributes a security policy using a programmable packet to a security device that is distributed on a programmable network-based security framework in which a programmable packet is executable, and thereby more securely manages the heterogeneous security existing on the network. When managing a device, administrators do not need to know the execution commands or environment settings of various security devices, and then distribute and distribute the security policy to commands that are executed on each security device. This provides administrative benefits and secures using programmable packets. By transmitting the policy, it is possible to reduce the communication load between the management device and the security device.

도 1은 본 발명에 따른 네트워크 보안과 관리장치에 대한 블록 구성도이며,1 is a block diagram of a network security and management device according to the present invention,

도 2는 본 발명에 따른 네트워크 보안과 관리방법에 대한 상세 흐름도이다. 2 is a detailed flowchart of a network security and management method according to the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

10 : 프로그래머블 정책 관리 툴 20, 20-1 : 프로그래머블 정책 처리부10: programmable policy management tool 20, 20-1: programmable policy processing unit

30, 30-1 : 프로그래머블 정책 인증부 40, 40-1 : 프로그래머블 패킷 관리부30, 30-1: programmable policy authentication unit 40, 40-1: programmable packet management unit

50 : 보안 감시부 60 : 지역 정책 저장소50: Security Watchdog 60: Local Policy Store

S1-1 내지 S1-4 : 관리장치S1-1 to S1-4: management device

S2-1 내지 S1-4 : 보안장비S2-1 to S1-4: Security Equipment

Claims (7)

네트워크 보안 및 관리장치에 있어서,In the network security and management device, 상기 네트워크 상의 보안 장비의 프로파일을 이용하여 상기 보안 장비에 적용할 추상화된 보안 정책을 생성하고, 상기 생성된 보안 정책을 프로그래머블 보안 정책으로 변환하는 프로그래머블 정책 관리 툴;A programmable policy management tool that generates an abstracted security policy to be applied to the security device by using the profile of the security device on the network, and converts the generated security policy into a programmable security policy; 상기 프로그래머블 보안 정책을 IP 패킷의 페이로드 부분에 채워 넣는 프로그래머블 정책 처리부;A programmable policy processor that fills the programmable security policy in a payload portion of an IP packet; 상기 IP 패킷을 암호화하는 프로그래머블 정책 인증부;A programmable policy authenticator for encrypting the IP packet; 상기 IP 패킷을 프로그래머블 패킷으로 변환하고, 상기 프로그래머블 패킷의 라우팅, 스케줄링 및 자원을 모니터링하는 프로그래머블 패킷 관리부;A programmable packet manager converting the IP packet into a programmable packet and monitoring routing, scheduling, and resources of the programmable packet; 를 포함하는 것을 특징으로 하는 네트워크 보안 및 관리장치.Network security and management device comprising a. 네트워크 보안 장치에 있어서,A network security device, 수신된 프로그래머블 패킷을 IP 패킷으로 변환하고 다음 보안 장치로 라우팅하는 프로그래머블 패킷 관리부;A programmable packet manager for converting the received programmable packet into an IP packet and routing to the next security device; 상기 IP 패킷에 포함된 인증 헤더를 이용하여 상기 IP 패킷의 송신자와 송신지를 확인하고, 상기 송신자가 인증된 경우에 상기 IP 패킷을 복호화하는 프로그래머블 정책 인증부; A programmable policy authentication unit which checks a sender and a destination of the IP packet by using an authentication header included in the IP packet, and decrypts the IP packet when the sender is authenticated; 상기 복호화된 IP 패킷에 포함된 프로그래머블 보안 정책을 실행하는 프로그래머블 정책 처리부;A programmable policy processor that executes a programmable security policy included in the decrypted IP packet; 상기 프로그래머블 보안 정책이 기존의 프로그래머블 보안정책과 충돌되는지 검사하는 보안 감시부; 및A security monitoring unit that checks whether the programmable security policy conflicts with an existing programmable security policy; And 상기 프로그래머블 보안 정책을 일시적으로 보관하는 지역 정책 저장소;A local policy repository that temporarily stores the programmable security policy; 를 포함하는 것을 특징으로 하는 네트워크 보안 장치.Network security device comprising a. 네트워크 보안 및 관리방법에 있어서,In the network security and management method, 보안 정책을 생성하고, 상기 생성된 보안 정책을 보안 장비에서 수행 가능한 프로그래머블 보안 정책으로 변환하는 단계; Generating a security policy and converting the generated security policy into a programmable security policy executable in a security device; 상기 생성된 프로그래머블 보안 정책을 IP 패킷의 페이로드 부분에 채워 넣는 단계; Filling the generated programmable security policy into a payload portion of an IP packet; 상기 IP 패킷에 인증을 위한 인증 헤더를 붙이고, 상기 IP 패킷을 암호화 알고리즘으로 사용하여 암호화하는 단계; Attaching an authentication header for authentication to the IP packet and encrypting the IP packet using an encryption algorithm; 상기 IP 패킷을 프로그래머블 패킷으로 변환하여 상기 보안 장비에 제공하는 단계; Converting the IP packet into a programmable packet and providing it to the security equipment; 를 포함하는 것을 특징으로 하는 네트워크 보안 및 관리방법.Network security and management method comprising a. 제 3 항에 있어서,The method of claim 3, wherein 상기 보안 장비에서 수신된 상기 프로그래머블 패킷을 IP 패킷으로 변환하고 다음 보안 장비로 라우팅하는 단계; Converting the programmable packet received at the security device into an IP packet and routing to a next security device; 상기 IP 패킷에 포함된 인증 헤더를 통해 상기 IP 패킷의 송신자와 송신지를 확인하고 상기 송신자가 합법적인 사용자일 경우, 상기 IP 패킷을 복호화하는 단계;Confirming the sender and the sender of the IP packet through an authentication header included in the IP packet, and if the sender is a legitimate user, decrypting the IP packet; 상기 복호화된 IP 패킷에 포함된 상기 보안장비에서 실행 가능한 프로그래머블 보안 정책을 실행하는 단계;Executing a programmable security policy executable in the security device included in the decrypted IP packet; 를 더 포함하는 것을 특징으로 하는 네트워크 보안 및 관리방법.Network security and management method further comprising. 제 4 항에 있어서, 상기 라우팅하는 단계, 상기 IP 패킷을 복호화하는 단계 및 상기 프로그래머블 보안 정책을 실행하는 단계를 상기 다음 보안 장비에 대하여 반복 수행하는 것을 특징으로 하는 네트워크 보안과 관리방법.5. The method of claim 4, wherein said routing, decrypting said IP packet and executing said programmable security policy are repeated for said next security device. 제 3 항에 있어서, 상기 프로그래머블 보안 정책을 일시적으로 상기 보안 장비에 구비된 지역 정책 저장소에 보관하여 재 전송시 혹은 재수행시 사용하는 것을 특징으로 하는 네트워크 보안과 관리방법.4. The method of claim 3, wherein the programmable security policy is temporarily stored in a local policy repository provided in the security equipment for use in retransmission or re-execution. 제 3 항에 있어서, 상기 보안 정책이 기존의 보안 정책과 충돌이 일어날 경우, 사용자에게 경고 메시지를 제공하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 보안과 관리방법.4. The method of claim 3, further comprising providing a warning message to the user if the security policy conflicts with an existing security policy.
KR10-2003-0028571A 2003-05-06 2003-05-06 Method and apparatus for network security and management KR100479345B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2003-0028571A KR100479345B1 (en) 2003-05-06 2003-05-06 Method and apparatus for network security and management

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2003-0028571A KR100479345B1 (en) 2003-05-06 2003-05-06 Method and apparatus for network security and management

Publications (2)

Publication Number Publication Date
KR20040094985A KR20040094985A (en) 2004-11-12
KR100479345B1 true KR100479345B1 (en) 2005-03-31

Family

ID=37374233

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2003-0028571A KR100479345B1 (en) 2003-05-06 2003-05-06 Method and apparatus for network security and management

Country Status (1)

Country Link
KR (1) KR100479345B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009148263A3 (en) * 2008-06-03 2010-03-18 Samsung Electronics Co., Ltd. A system and method of reducing encryption overhead by concatenating multiple connection packets associated with a security association

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6098173A (en) * 1997-11-27 2000-08-01 Security-7 (Software) Ltd. Method and system for enforcing a communication security policy
JP2001127822A (en) * 1999-10-01 2001-05-11 Nortel Networks Ltd Switching method between network access techniques
KR20020088728A (en) * 2001-05-21 2002-11-29 한국전자통신연구원 Method for transmitting and receiving of security provision IP packet in IP Layer
KR20030016500A (en) * 2001-08-20 2003-03-03 한국전자통신연구원 Policy-based Network Security System and Method for Security and Security Policy
KR20030021338A (en) * 2001-09-05 2003-03-15 한국전자통신연구원 Security System against intrusion among networks and the method
KR20030055715A (en) * 2001-12-27 2003-07-04 한국전자통신연구원 Improved method for securing packets providing multi-security services in ip layer

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6098173A (en) * 1997-11-27 2000-08-01 Security-7 (Software) Ltd. Method and system for enforcing a communication security policy
JP2001127822A (en) * 1999-10-01 2001-05-11 Nortel Networks Ltd Switching method between network access techniques
KR20020088728A (en) * 2001-05-21 2002-11-29 한국전자통신연구원 Method for transmitting and receiving of security provision IP packet in IP Layer
KR20030016500A (en) * 2001-08-20 2003-03-03 한국전자통신연구원 Policy-based Network Security System and Method for Security and Security Policy
KR20030021338A (en) * 2001-09-05 2003-03-15 한국전자통신연구원 Security System against intrusion among networks and the method
KR20030055715A (en) * 2001-12-27 2003-07-04 한국전자통신연구원 Improved method for securing packets providing multi-security services in ip layer

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009148263A3 (en) * 2008-06-03 2010-03-18 Samsung Electronics Co., Ltd. A system and method of reducing encryption overhead by concatenating multiple connection packets associated with a security association
US9906627B2 (en) 2008-06-03 2018-02-27 Samsung Electronics Co., Ltd. System and method of reducing encryption overhead by concatenating multiple connection packets associated with a security association

Also Published As

Publication number Publication date
KR20040094985A (en) 2004-11-12

Similar Documents

Publication Publication Date Title
CN110996318B (en) Safety communication access system of intelligent inspection robot of transformer substation
JP4674502B2 (en) Information communication system, information communication apparatus, information communication method, and computer program
EP1635502B1 (en) Session control server and communication system
US8108670B2 (en) Client apparatus and method with key manager
US20100011412A1 (en) Method for managing cryptographic equipment with a unified administration
Bicaku et al. Towards trustworthy end-to-end communication in industry 4.0
Kukkala et al. SEDAN: Security-aware design of time-critical automotive networks
Maerien et al. SecLooCI: A comprehensive security middleware architecture for shared wireless sensor networks
KR100850506B1 (en) System and method for secure web service using double enforcement of user authentication
Friesen et al. A comparative evaluation of security mechanisms in DDS, TLS and DTLS
CN100349448C (en) EPA network safety management entity ad safety processing method
US10158610B2 (en) Secure application communication system
Yang et al. Service and network management middleware for cooperative information systems through policies and mobile agents
CN116545706B (en) Data security transmission control system, method and device and electronic equipment
JP3700671B2 (en) Security management system
KR100479345B1 (en) Method and apparatus for network security and management
Oberti et al. Taurum p2t: Advanced secure can-fd architecture for road vehicle
KR101421241B1 (en) Security system and method in network
Hatefi et al. A new framework for secure network management
CN102148704A (en) Software implementation method for universal network management interface of safe switch
KR100521405B1 (en) A automated security service method for centralized remote control system using internet
KR100507761B1 (en) System and method for harmful traffic detection and response
CN116866090B (en) Network security management system and network security management method of industrial control network
Guidry et al. A trusted computing architecture for secure substation automation
KR100489216B1 (en) Network management system using Simple Network Management Protocol and method for exchanging information in the network management system

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130304

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20140303

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20150226

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee