KR101230009B1 - 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템 - Google Patents

클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템 Download PDF

Info

Publication number
KR101230009B1
KR101230009B1 KR1020110043169A KR20110043169A KR101230009B1 KR 101230009 B1 KR101230009 B1 KR 101230009B1 KR 1020110043169 A KR1020110043169 A KR 1020110043169A KR 20110043169 A KR20110043169 A KR 20110043169A KR 101230009 B1 KR101230009 B1 KR 101230009B1
Authority
KR
South Korea
Prior art keywords
network
flow
network information
cloud computing
interface card
Prior art date
Application number
KR1020110043169A
Other languages
English (en)
Other versions
KR20120125089A (ko
Inventor
이왕환
이호석
이제훈
백승엽
Original Assignee
(주) 시스메이트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 시스메이트 filed Critical (주) 시스메이트
Priority to KR1020110043169A priority Critical patent/KR101230009B1/ko
Publication of KR20120125089A publication Critical patent/KR20120125089A/ko
Application granted granted Critical
Publication of KR101230009B1 publication Critical patent/KR101230009B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템이 개시된다. 본 발명의 일 실시예에 따른 네트워크 정보보호 서비스 시스템은 가상화 환경을 제공하는 호스트와, 호스트로부터 적어도 하나의 네트워크 I/O 기능을 분리하고 분리된 적어도 하나의 네트워크 I/O 기능을 통합하여 가상화하는 네트워크 I/O 가상화 어플라이언스를 포함한다. 이에 따라 수요자의 필요에 따른 온-디맨드(On-Demand) 형태로 다양한 종류의 네트워크 정보보호 서비스를 동적으로 제공할 수 있다.

Description

클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템 {Network information security service system based on cloud computing}
본 발명의 일 양상은 네트워크 정보보호 기술에 관한 것으로, 보다 상세하게는 클라우드 컴퓨팅 서비스 환경에 적합한 네트워크 정보보호 시스템과 네트워크 정보보호 서비스 제공 기술에 관한 것이다.
한국정보보호산업협회에 의하면 정보보호 제품 및 서비스는 크게 '시스템 및 네트워크 정보보호 제품'과 '정보보호 서비스' 두 부분으로 구분된다. '시스템 및 네트워크 정보보호 제품'에는 침입차단 시스템, 침입방지 시스템, 통합보안 시스템, 가상사설망, Anti Virus, Anti Spam, DB/컨텐츠 보안, 접근관리 기술 등이 포함된다.
일반적인 네트워크 정보보호 기술은 하나의 시스템으로 하나의 기관을 전담하여, 필요로 하는 네트워크 정보보호 서비스만을 제공하기 위하여 단일 목적의 기능만을 수행하는 시스템 구조를 취하고 있다. 이는 수요자가 직접 침입차단 시스템 또는 침입방지 시스템을 구매하여 설치 및 관리하는 형태의 시장 수요 공급 모델이기 때문이다.
그러나, 고속 네트워크 인프라를 기반으로 기업 또는 개인이 필요로 하는 컴퓨팅 자원을 임대하여 사용하는 새로운 패러다임인 클라우드 컴퓨팅 서비스의 도래로 인하여 새로운 개념과 구조를 갖는 네트워크 정보보호 시스템을 필요로 하고 있다. 클라우드 컴퓨팅 서비스 환경은 기본적으로 인터넷을 통하여 여러 독립된 단체 또는 수요자가 동시에 서비스를 공유한다. 따라서, 네트워크 정보보호 시스템은 수요자의 필요에 따라 온-디맨드(On-Demand) 형태로 다양한 종류의 네트워크 정보보호 서비스를 제공할 수 있는 동적이면서도 확장성 있는 시스템 구조이어야 한다.
일 양상에 따라, 수요자의 필요에 따라 온-디맨드(On-Demand) 형태로 다양한 종류의 네트워크 정보보호 서비스를 제공할 수 있는 동적이면서도 확장성 있는 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템과 네트워크 정보보호 서비스 제공 방법을 제안한다.
일 양상에 따른 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템은, 가상화 환경을 제공하는 호스트와, 호스트로부터 적어도 하나의 네트워크 I/O 기능을 분리하고 분리된 적어도 하나의 네트워크 I/O 기능을 통합하여 가상화하는 네트워크 I/O 가상화 어플라이언스를 포함한다.
추가 양상에 따르면, 호스트와 네트워크 I/O 가상화 어플라이언스를 연결하는 케이블 형태의 PCI-E 버스를 더 포함한다.
일 양상에 따르면, 호스트는 적어도 하나의 가상머신과, 적어도 하나의 가상머신의 하드웨어에 대한 접근 동작을 제어하는 하이퍼바이저와, 적어도 하나의 가상머신에 네트워크 정보보호 기능을 제공하는 소프트웨어를 포함한다.
일 양상에 따르면, 네트워크 I/O 가상화 어플라이언스는 스위칭 파티션을 수행하는 PCI-E 스위칭 패브릭와, 호스트의 적어도 하나의 가상머신이 하드웨어 리소스를 분할 또는 공유하도록 가상화를 제공하는 네트워크 인터페이스 카드를 포함한다.
네트워크 인터페이스 카드는 표준화된 PCI-E I/O 가상화를 위한 단일 루트 I/O 가상화(SR-IOV)를 제공할 수 있다. 또한, 네트워크 인터페이스 카드는 인터넷에 연결된 사용자의 요청에 따라, 오픈 플로우 스위칭을 이용하여 클라우드 서비스가 생성되어 있는 동안에만 사용자의 플로우 정보가 네트워크 인터페이스 카드 내에 생성되도록 제어하여 사용자에게 동적으로 네트워크 정보보호 서비스를 제공하는 오픈 플로우 에이전트를 포함할 수 있다.
네트워크 인터페이스 카드는, 패킷을 입력받아 플로우 정보를 추출하고 추출된 플로우 정보로부터 플로우 식별자를 생성하고, 클라우드의 오픈 플로우 컨트롤러에 의하여 셋팅된 플로우 테이블을 참조하여 추출된 플로우 정보가 참조한 플로우 테이블의 플로우 규칙과 일치하는지를 판단하며, 판단 결과 일치하면 해당 플로우에서 정의된 액션에 따라 패킷을 처리할 수 있다.
일 실시예에 따르면, 네트워크 정보보호 시스템이 가상화 기술을 사용하고 있고, 이를 통하여 가상화된 네트워크 정보보호 시스템의 인프라 자원을 On-Demand 서비스 형태로 클라우드 컴퓨팅 서비스 사용자를 대상으로 필요한 만큼 동적으로 할당 가능하면서, 확장성 있는 네트워크 정보보호 서비스를 제공할 수 있다.
즉, 오픈 플로우 스위칭 기술을 이용하여, 사용자의 요청에 의하여 클라우드 서비스가 생성되어 있는 동안만 해당 서비스의 사용자에게 동적으로 네트워크 정보보호 서비스를 제공할 수 있다.
나아가, 서버 가상화 기술을 적용하여, 다양한(멀티 벤더) 네트워크 정보보호 서비스를 동시에 제공할 수 있다. 즉, 사용자에게 제공하고자 하는 클라우드 컴퓨팅 서비스 종류에 따라 Anti DDoS 서비스, 침입차단 서비스, 침입방지 서비스, 통합보안 서비스, 가상사설망 서비스, Anti Virus 서비스, Anti Spam 서비스, DB/컨텐츠 보안서비스, 접근관리 서비스와 같은 다양한 종류의 정보보호 서비스를 동시에 제공할 수 있다.
나아가, 서버 가상화 기술과 네트워크 I/O 가상화 기술을 이용하여, DDoS 등과 같은 네트워크 공격으로 인하여 공격개시 시점 이전에 이미 in-service 상태에 있는 단체 또는 수요자의 서비스를 최대한 보장할 수 있다.
나아가, 표준화된 PCI-E SR-IOV 기술을 적용하여, 많은 사용자에게 실시간에 가까운 정보보호 서비스를 제공할 수 있다.
나아가, 호스트(서버)로부터 분리된 네트워크 I/O 가상화 지원 어플라이언스을 갖는 구조에 의하여, 40 기가 또는 100 기가급 네트워크 인터페이스로부터 유입되는 고속의 네트워크 트래픽을 가상 머쉰 단위로 부하분산 할 수 있다.
도 1은 본 발명에 적용되는 서버 시스템에서의 네트워크 I/O 가상화를 도시한 개념도,
도 2는 본 발명에 적용되는 단일 서버 환경 하에서의 네트워크 I/O 가상화 기술의 적용 예를 도시한 참조도,
도 3은 본 발명에 적용되는 복수 개 이상의 서버군 환경 하에서의 네트워크 I/O 가상화 기술의 적용 예를 도시한 참조도,
도 4a는 가상화된 환경 하에서 서버 내의 프로세서에 위치하는 복수 개 이상의 시스템 이미지(또는 가상 머신)가 가상화된 단일 네트워크 인터페이스 카드를 공유하는 구조를 도시한 구조도,
도 4b는 본 발명에 적용되는 PCI-SIG IOV 표준화 기술인 SR-IOV 구조를 도시한 구조도,
도 4c 내지 도 4e는 본 발명에 적용되는 오픈 플로우 스위칭 기술을 설명하기 위한 참조도,
도 5a는 본 발명이 적용되는 클라우드 컴퓨팅(Cloud Computing)의 개념도,
도 5b는 본 발명이 적용되는 클라우드 컴퓨팅 아키텍쳐(Cloud Computing architecture)를 도시한 구조도,
도 6은 본 발명의 일 실시예에 따른 네트워크 I/O 가상화 기술을 적용한 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 구조 모델을 적용한 네트워크 정보보호 시스템을 도시한 구조도,
도 7은 본 발명의 일 실시예에 따른 네트워크 정보보호 시스템의 설치 예를 도시한 참조도,
도 8a 및 도 8b는 본 발명의 일 실시예에 따른 네트워크 정보보호 시스템에서 제공하는 정보보호 서비스의 기능 흐름도,
도 9는 본 발명의 일 실시예에 따른 네트워크 정보보호 시스템의 네트워크 I/O 가상화 지원 어플라이언스와 호스트(서버) 내의 프로세서와의 물리적 연결 관계를 도시한 구조도,
도 10은 본 발명의 일 실시예에 따른 네트워크 정보보호 시스템의 네트워크 I/O 가상화 지원 어플라이언스에 장착되는 네트워크 인터페이스 카드의 기능을 도시한 구조도,
도 11은 본 발명의 일 실시예에 따른 네트워크 인터페이스 카드의 오픈 플로우 에이전트와 클라우드에 위치하는 오픈플로우 컨트롤러 간 연결 구조를 도시한 참조도,
도 12는 본 발명의 일 실시예에 따른 네트워크 정보보호 시스템의 논리적 연관관계를 도시한 구조도이다.
이하에서는 첨부한 도면을 참조하여 본 발명의 실시예들을 상세히 설명한다. 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명은 클라우드 컴퓨팅(Cloud computing) 기반의 네트워크 정보보호 서비스 시스템과 네트워크 정보보호 서비스 제공 기술에 관한 것이다. 클라우드 컴퓨팅이란 인터넷 기술을 활용하여 가상화된 IT 자원을 서비스 형태로 제공하는 컴퓨팅으로, 사용자는 IT 자원(응용 서비스, 소프트웨어, 스토리지, 서버, 네트워크)을 필요한 만큼 빌려서 사용하고, 서비스 부하에 따라서 실시간 확장성을 지원받으며, 사용한 만큼 비용을 지불한다.
도 5a는 본 발명이 적용되는 클라우드 컴퓨팅(Cloud Computing)의 개념도이다.
도 5a를 참조하면, 클라우드 컴퓨팅은 인터넷 프로토콜 기반(The Cloud)(5)의 IT 서비스 제공 모델로서, IT 서비스 사용자는 서비스를 제공하고 있는 시스템의 물리적인 위치와 구성에 상관없이 언제, 어디서든, 필요시에 인터넷을 통하여 IT 서비스를 제공받을 수 있다.
도 5b는 본 발명이 적용되는 클라우드 컴퓨팅 아키텍쳐(Cloud Computing architecture)를 도시한 구조도이다.
도 5b를 참조하면, 물리적인 하드웨어 구성 측면에서 클라우드 컴퓨팅 아키텍쳐는 사용자에게 제공되는 컴퓨팅 리소스가 클라우드(Cloud)라 부르는 공유 풀(Pool) 형태로 네트워킹된 컴퓨터 시스템 구조를 취한다. 이의 대표적인 예로서 Beowulf cluster network scheme가 있는데, 이는 마스터 노드(50), 컴퓨팅 노드(서버, 스토리지 등)(52), 컴퓨팅 노드 간의 네트워킹을 위한 스위치(54)로 구성된다.
클라우드 컴퓨팅 아키텍쳐를 구성하는 공통적인 기술 요소들로는 분산 컴퓨팅, 가상화, 시스템 관리, 서비스 플랫폼, 정보보호, 과금, 사용자 인증 등과 같은 기술 등이 있다.
구체적으로, 분산 컴퓨팅은 클라우드 컴퓨팅 하드웨어를 구성함에 있어 인트라넷 또는 인터넷으로 연결된 다수의 컴퓨팅 자원(분산 파일 시스템, 분산 데이터베이스)을 하나로 연결하는 기술을 말한다. 가상화 기술은 서버, 스토리지, 네트워크와 같은 컴퓨터 자원에 대한 추상화 기능을 제공한다.
시스템 관리 기술에 따르면, 도 5b에서 마스터(Front-end) 노드(50)가 클라우드 컴퓨팅 이용자들에게 SLA에 기반한 사용자 가상 컴퓨팅 환경을 프로비저닝(provisioning)하고, 제공된 가상 시스템을 모니터링하며, 사용자 서비스별 자원 활용 정도에 따른 동적인 자원 할당 및 동적 스케줄링을 제공한다.
서비스 플랫폼은 사용자들이 클라우드 컴퓨팅 인프라에 사용자 고유의 응용 또는 인터넷 서비스를 구축하기 위한 인터페이스를 제공한다. 이외에도 클라우드 사용 용량에 따른 과금 및 사용자 인증 인터페이스를 제공하고, 사용자들의 데이터 또는 접근 등에 대한 신뢰성을 확보하기 위한 시스템 및 네트워크 정보보호 기능을 필수적으로 제공할 수 있어야 한다.
본 발명에 따르면, 시스코 클라우드 컴퓨팅 아키텍쳐 구성 예를 기준으로 보면 Peering, Core, Aggregation 영역에 위치하고 있는 다양한 종류의 네트워크 정보보호 시스템(56)을 통합하여 비용 효율적인 네트워크 정보보호 시스템의 기능 구조를 제공한다.
도 1은 본 발명에 적용되는 서버 시스템에서의 네트워크 I/O 가상화를 도시한 개념도이다.
도 1을 참조하면, 본 발명의 네트워크 정보보호 시스템은 클라우드 컴퓨팅 서비스 환경에 적합한 구조를 지원하기 위하여 네트워크 I/O를 포함한 서버 가상화 기술에 기반하고 있다. 도 1은 가상화 환경을 지원하는 서버 시스템에서 네트워크 I/O를 대상으로 하는 가상화 기술의 일반적인 개념을 도시한 것이다.
네트워크 I/O 가상화 기술은 서버 내에 복수 개 이상 네트워크 종류별로 중복 설치되어 있는 네트워크 I/O 기능들(12a)을 하나의 단일 네트워크 인터페이스 카드(NIC)(12b) 내에 병합(Consolidation)시키고, 가상화 환경 하의 복수 개 이상의 시스템 이미지(또는 가상머신)가 병합된 네트워크 인터페이스 카드를 형평성 있게 분할, 공유하기 위한 제반 기술들을 말한다. 이와 같은 네트워크 I/O 가상화 기술은 서버별로 중복 설치되어 있는 I/O 기능들을 통합한다. 이에 따라 서버의 네트워크 I/O 구축 비용 절감, 네트워크 컨넥션 이용 효율화, 시스템 차원의 MTBF 개선, 전원 및 공조비용 절감, 케이블링 단순화에 의한 공간 사용 효율화와 같은 서버 시스템의 전반적인 관리 효율화를 꾀할 수 있다.
도 2는 본 발명에 적용되는 단일 서버 환경 하에서의 네트워크 I/O 가상화 기술의 적용 예를 도시한 참조도이다.
도 2를 참조하면, 단일 서버(20) 환경에서 복수 개 이상 중복 설치되어 있는 네트워크 I/O 기능들(22a)을 단일 네트워크 인터페이스 카드(NIC)(22b) 내에 병합(Consolidation)한다.
도 3은 본 발명에 적용되는 복수 개 이상의 서버군 환경 하에서의 네트워크 I/O 가상화 기술의 적용 예를 도시한 참조도이다.
도 3을 참조하면, 복수 개의 서버군 환경에서 복수 개 이상 중복 설치되어 있는 네트워크 I/O 기능들을 분리(30)하고, 분리된 네트워크 I/O 기능들을 단일 네트워크 인터페이스 카드(NIC) 내에 병합(Consolidation)(32)한다. 그리고 병합된 네트워크 I/O 기능들을 가상화(34)한다.
도 4a는 가상화된 환경 하에서 서버 내의 프로세서에 위치하는 복수 개 이상의 시스템 이미지(또는 가상 머신)가 가상화된 단일 네트워크 인터페이스 카드를 공유하는 구조를 도시한 구조도이다.
도 4a를 참조하면, 네트워크 I/O 가상화는 서버(40)의 프로세서 내에 위치하는 소프트웨어(42)에 의하여 가상화 기능이 지원되는 이유로 인하여 I/O 성능 병목 현상이 발생할 수 있다.
도 4b는 본 발명에 적용되는 PCI-SIG IOV 표준화 기술인 SR-IOV 구조를 도시한 구조도이다.
도 4b를 참조하면, I/O 가상화와 관련하여 실시간 성능확보 및 기술 표준화 차원에서 일반적으로 적용되던 소프트웨어적인 기술에서 탈피하여 하드웨어적인 방법을 적용한 기술이 2007년도에 PCI-SIG I/O Virtualization(IOV) 워킹 그룹에 의하여 표준화되었다.
PCI-SIG IOV 기술은 PCI Express 버스 표준의 확장 기능으로서 Single Root I/O Virtualization and Sharing Specification(SR-IOV), Multi-Root I/O Virtualization and Sharing Specification(MR-IOV), Address Translation Services(ATS)로 규격화되어 있다.
SR-IOV 기술은 단일 서버 내에 위치하는 복수 개 이상의 시스템 이미지(SI)(또는 가상머신)가 PCI Express 버스에 접속된 하드웨어 리소스를 공유하게 하기 위한 방법들을 표준화하고 있으며, MR-IOV는 복수 개 이상의 서버로 구성되는 서버 브레이드 시스템 또는 서버 스태킹 시스템 구성을 대상으로 하고 있다. ATS는 PCI Express 버스 상에서 DMA I/O 동작시에 필수적으로 수반되는 어드레스 변환과 관련되는 성능 향상을 위한 방법들을 표준화하고 있다.
도 4c 내지 도 4e는 본 발명에 적용되는 오픈 플로우 스위칭 기술을 설명하기 위한 참조도이다.
본 발명의 네트워크 정보보호 시스템은 가상화된 네트워크 정보보호 서비스를 클라우드 컴퓨팅 서비스 사용자에게 On-Demand 서비스 형태로 필요한 만큼 동적으로 할당하기 위하여, 오픈 플로우 스위칭(OpenFlow Swtiching) 기술을 이용한다.
오픈 플로우 스위칭 기술은 스위치 또는 라우터와 같은 네트워크 노드에서 플로우 단위의 서로 다른 처리를 가능케 하는 기술로서, 본 발명에서는 클라우드 컴퓨팅 서비스 사용자와 오픈 플로우 스위칭 기술의 관리 대상인 플로우를 연관시켜 가상화된 네트워크 정보보호 서비스를 동적으로 할당하고 제거하는 방법으로 사용하고자 한다.
도 4c를 참조하면, 오픈 플로우 구성요소는 에이전트 기능을 수행하는 스위치 또는 라우터 시스템(400), 컨트롤러(410), 프로토콜(44), 보안이 보장되는 통신 채널(420) 및 에이전트가 관리하는 플로우 테이블(430)을 포함한다.
도 4d를 참조하면, 오픈 플로우 에이전트 기능을 수행하는 스위치 또는 라우터 시스템은 플로우 테이블 엔트리(Flow Table Entry)로 구성되는 플로우 테이블을 관리 및 유지한다. 이때 플로우 테이블 엔트리는 규칙(Rule)(432), 액션(Action)(434), 상태(Stats)(436)를 포함한다. 한편, 오픈 플로우 에이전트와 컨트롤러 사이의 프로토콜에 사용되는 메시지의 종류는 도 4e에 도시된 바와 같다.
이하 본 발명에 따른 클라우드 컴퓨팅 아키텍쳐에 적합한 네트워크 정보보호 시스템에 대하여 상세히 후술한다.
본 발명에 따르면, 클라우드 컴퓨팅 아키텍쳐에 적합한 네트워크 정보보호 시스템은 클라우드 컴퓨팅 서비스 모델에서와 같이 사용자의 요청에 의하여 클라우드 서비스가 생성되어 있는 동안만 해당 서비스의 사용자에게 동적으로 네트워크 정보보호 서비스를 제공한다.
클라우드 컴퓨팅 서비스 환경은 인터넷을 통하여 여러 독립된 단체 또는 수요자가 서로 다른 목적(서비스)으로 동시에 공유 가능한 환경을 제공한다. 본 발명의 클라우드 컴퓨팅 아키텍쳐 기반 네트워크 정보보호 시스템은 다양한(멀티 벤더) 네트워크 정보보호 서비스를 동시에 제공할 수 있는 멀티서비스 플랫폼 구조이다. 예를 들면, 사용자에게 제공하고자 하는 클라우드 컴퓨팅 서비스 종류에 따라 anti DDoS 서비스, 침입차단 서비스, 침입방지 서비스, 통합보안서비스, 가상사설망 서비스, Anti Virus 서비스, Anti Spam 서비스, DB/컨텐츠 보안서비스, 접근관리 서비스와 같은 다양한 종류의 정보보호 서비스를 비용 효율적으로 제공한다.
클라우드 컴퓨팅 서비스 환경은 인터넷을 통하여 여러 독립된 단체 또는 수요자가 서로 다른 목적(서비스)으로 동일 환경을 공유하는 구조이다. 따라서, 본 발명은 DDoS 등과 같은 네트워크 공격으로 인하여 공격개시 시점 이전에 이미 in-service 상태에 있는 단체 또는 수요자의 서비스를 최대한 보장할 수 있는 구조이다.
본 발명의 클라우드 컴퓨팅 아키텍쳐 기반 네트워크 정보보호 시스템은 가급적 보다 많은 사용자에게 실시간에 가까운 정보보호 서비스를 제공한다. 나아가, 본 발명은 40 기가 또는 100 기가급 네트워크 인터페이스로부터 유입되는 고속의 네트워크 트래픽을 가상머신 단위로 부하 분산할 수 있는 구조이다.
도 6은 본 발명의 일 실시예에 따른 네트워크 I/O 가상화 기술을 적용한 클라우드 컴퓨팅 기반 네트워크 정보보호 서비스 구조 모델을 적용한 네트워크 정보보호 시스템(6)을 도시한 구조도이다.
도 6을 참조하면, 클라우드 컴퓨팅 기반 네트워크 정보보호 시스템(6)은 호스트(서버)(60)와, 호스트(60)로부터 네트워크 I/O 기능만을 분리 및 병합하는 네트워크 I/O 어플라이언스(appliance)(62)를 포함한다. 이들 두 시스템(60,62) 간은 케이블 형태의 표준화된 PCI-E 시스템 버스(64)로 연결된다.
호스트(60)는 Xen, KVM, VMware와 같은 하이퍼바이저(hypervisor)를 탑재하여 시스템 이미지(또는 가상머신)를 가상화한다. 가상화된 복수 개 이상의 시스템 이미지(또는 가상머신)에는 네트워크 정보보호 기능을 제공할 수 있는 소프트웨어가 각각 탑재된다.
네트워크 I/O 어플라이언스(62)는 업스트림 포트(upstream port) 단위의 스위칭 플레인 파티션이 가능한 PCI-E 스위칭 패브릭(switching fabric)(620)에 표준화된 PCI-E IOV 기술인 SR-IOV 기능 지원 네트워크 인터페이스 카드(NIC)(622)를 장착하여 실시간 네트워크 I/O 가상화 기능을 제공한다.
도 7은 본 발명의 일 실시예에 따른 네트워크 정보보호 시스템의 설치 예를 도시한 참조도이다.
도 7을 참조하면, 본 발명의 네트워크 정보보호 시스템(6)은 인터넷(66)과 클라우드 컴퓨팅 환경(The Cloud)(68) 사이의 트래픽 집선 구간에 설치되며, 상방향인 클라우드(68) 방향의 네트워크 링크와 하방향인 인터넷(66) 방향의 네트워크 링크 사이에 인라인 형태로 설치된다.
도 8a 및 도 8b는 본 발명의 일 실시예에 따른 네트워크 정보보호 시스템에서 제공하는 정보보호 서비스의 기능 흐름도이다.
도 8a를 참조하면, 본 발명의 네트워크 정보보호 시스템은 가입자 또는 응용 프로토콜별 트래픽을 대상으로 통계 및 측정을 수행하고, 특정 응용 서비스에 대한 트래픽 대역폭을 측정 및 조절한다. 이에 따라 분산 서비스 거부(DDoS)와 같은 네트워크 공격을 차단할 수 있다.
도 8b를 참조하면, 본 발명의 네트워크 정보보호 시스템은 패킷의 헤더와 페이로드 정보를 이용하여 패턴(시그니처) 기반의 네트워크 공격 및 유해 트래픽을 찾아내기 위한 침입 차단 및 방지 서비스를 제공한다. 이를 위해 헤더 룰 매칭과 필터링, 플로우 매칭과 필터링, 페이로드 매칭과 필터링, 세션 조립과 컨텐츠 추출, 컨텐츠 필터링 프로세스를 수행한다.
도 9는 본 발명의 일 실시예에 따른 네트워크 정보보호 시스템의 네트워크 I/O 가상화 지원 어플라이언스와 호스트(서버) 내의 프로세서와의 물리적 연결 관계를 도시한 구조도이다.
도 9를 참조하면, I/O 가상화 지원 어플라이언스(62)는 PCI-E 스위칭 패브릭(620) 및 네트워크 인터페이스 카드(NIC)(622)를 포함한다. I/O 가상화 지원 어플라이언스(62)는 호스트(서버)(60)와 PCI-E 케이블로 연결된다. 또한 호스트(서버)(60)의 PCI-E 버스 어댑터는 서버 프로세서(가상화 환경의 네트워크 보안 응용 프로그램)과 PCI-E 버스로 연결된다.
도 10은 본 발명의 일 실시예에 따른 네트워크 정보보호 시스템의 네트워크 I/O 가상화 지원 어플라이언스에 장착되는 네트워크 인터페이스 카드의 기능을 도시한 구조도이다.
도 10을 참조하면, 네트워크 인터페이스 카드(622)는 PCI-E SR-IOV 기능을 지원하는 PCI-E 앤드포인트, 입출력 패킷 버퍼핑 및 Arbiter, 플로우 스위칭, MAC/PHY, 플로우 룩업 테이블 및 패킷 저장 메모리를 포함한다. 네트워크 인터페이스 카드(622)는 실시간 네트워크 I/O 가상화 기능 지원을 위하여 표준화된 PCI-E SR-IOV 기능을 지원한다.
도 11은 본 발명의 일 실시예에 따른 네트워크 인터페이스 카드의 오픈 플로우 에이전트와 클라우드에 위치하는 오픈플로우 컨트롤러 간 연결 구조를 도시한 참조도이다.
도 11을 참조하면, 네트워크 인터페이스 카드(622)는 클라우드 컴퓨팅 아키텍쳐에 적합한 네트워크 정보보호 시스템 구조가 되기 위하여 다음과 같은 오픈 플로우 스위칭 기능을 지원한다.
오픈 플로우 에이전트(6222)는 네트워크 인터페이스 카드(622) 내에 위치한다. 오픈 플로우 컨트롤러(6800)는 클라우드 컴퓨팅 환경(The Cloud)(68) 내의 마스터(Front-end) 노드에 위치한다. 오픈 플로우 에이전트(6222)와 오픈 플로우 컨트롤러(6800)는 표준화된 오픈 플로우 프로토콜을 사용하여 상호 통신한다. 이때, 오픈 플로우 에이전트(6222)는 사용자의 요청에 의하여 클라우드 서비스가 생성되어 있는 동안만 해당 사용자의 플로우 정보가 네트워크 인터페이스 카드(622) 내에 생성될 수 있도록 한다.
네트워크 인터페이스 카드(622)의 패킷 처리 절차는 다음과 같다. 즉, 패킷을 입력받아 플로우 정보를 추출하고 추출된 플로우 정보로부터 플로우 식별자를 생성한다. 그리고, 클라우드의 오픈 플로우 컨트롤러에 의하여 셋팅된 플로우 테이블을 참조하여 추출된 플로우 정보가 참조한 플로우 테이블의 플로우 규칙과 일치하는지를 판단한다. 그리고, 판단 결과 일치하면 해당 플로우에서 정의된 액션에 따라 패킷을 처리한다.
도 12는 본 발명의 일 실시예에 따른 네트워크 정보보호 시스템의 논리적 연관관계를 도시한 구조도이다.
도 12를 참조하면, 플로우는 클라우드 정보보호 서비스 단위로 서비스 개시시에 동적으로 생성되고 서비스 소멸시에 제거된다. 플로우는 SR-IOV 기능을 지원하는 NIC(622a,…,622n)의 가상 인터페이스(VIF)와 PCI-E 스위치 패브릭(620), 호스트(서버)(60a,…,60n)의 네트워크 정보보호 인스턴스 상에서 클라우드 서비스에 따라 처리된다.
이제까지 본 발명에 대하여 그 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
6 : 클라우드 컴퓨팅 기반 네트워크 정보보호 시스템
60 : 호스트(서버) 62 : 네트워크 I/O 어플라이언스
64 : PCI-E 시스템 버스 620 : PCI-E 스위칭 패브릭
622 : 네트워크 인터페이스 카드

Claims (8)

  1. 가상화 환경을 제공하는 호스트; 및
    상기 호스트로부터 적어도 하나의 네트워크 I/O 기능을 분리하고 상기 분리된 적어도 하나의 네트워크 I/O 기능을 통합하여 가상화하는 네트워크 I/O 가상화 어플라이언스; 를 포함하며,
    인터넷과 클라우드 사이의 트래픽 집선 구간의 상방향(클라우드 방향) 네트워크 링크와 하방향(인터넷 방향) 네트워크 링크 사이에 인라인 형태로 위치하는 것을 특징으로 하는 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템.
  2. 제 1 항에 있어서,
    상기 호스트와 상기 네트워크 I/O 가상화 어플라이언스를 연결하는 케이블 형태의 PCI-E 버스;
    를 더 포함하는 것을 특징으로 하는 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템.
  3. 제 1 항에 있어서, 상기 호스트는
    적어도 하나의 가상머신;
    상기 적어도 하나의 가상머신의 하드웨어에 대한 접근 동작을 제어하는 하이퍼바이저; 및
    상기 적어도 하나의 가상머신에 네트워크 정보보호 기능을 제공하는 소프트웨어;
    를 포함하는 것을 특징으로 하는 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템.
  4. 제 1 항에 있어서, 상기 네트워크 I/O 가상화 어플라이언스는
    스위칭 파티션을 수행하는 PCI-E 스위칭 패브릭; 및
    상기 호스트의 적어도 하나의 가상머신이 하드웨어 리소스를 분할 또는 공유하도록 가상화를 제공하는 네트워크 인터페이스 카드;
    를 포함하는 것을 특징으로 하는 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템.
  5. 제 4 항에 있어서, 상기 네트워크 인터페이스 카드는
    표준화된 PCI-E I/O 가상화를 위한 단일 루트 I/O 가상화(SR-IOV)를 제공하는 것을 특징으로 하는 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템.
  6. 제 4 항에 있어서, 상기 네트워크 인터페이스 카드는
    인터넷에 연결된 사용자의 요청에 따라, 오픈 플로우 스위칭을 이용하여 클라우드 서비스가 생성되어 있는 동안에만 상기 사용자의 플로우 정보가 상기 네트워크 인터페이스 카드 내에 생성되도록 제어하여 상기 사용자에게 동적으로 네트워크 정보보호 서비스를 제공하는 오픈 플로우 에이전트;
    를 포함하는 것을 특징으로 하는 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템.
  7. 제 4 항에 있어서, 상기 네트워크 인터페이스 카드는
    패킷을 입력받아 플로우 정보를 추출하고 추출된 플로우 정보로부터 플로우 식별자를 생성하고, 클라우드의 오픈 플로우 컨트롤러에 의하여 셋팅된 플로우 테이블을 참조하여 상기 추출된 플로우 정보가 상기 참조한 플로우 테이블의 플로우 규칙과 일치하는지를 판단하며, 판단 결과 일치하면 해당 플로우에서 정의된 액션에 따라 패킷을 처리하는 것을 특징으로 하는 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템.
  8. 삭제
KR1020110043169A 2011-05-06 2011-05-06 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템 KR101230009B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110043169A KR101230009B1 (ko) 2011-05-06 2011-05-06 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110043169A KR101230009B1 (ko) 2011-05-06 2011-05-06 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템

Publications (2)

Publication Number Publication Date
KR20120125089A KR20120125089A (ko) 2012-11-14
KR101230009B1 true KR101230009B1 (ko) 2013-02-13

Family

ID=47510320

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110043169A KR101230009B1 (ko) 2011-05-06 2011-05-06 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템

Country Status (1)

Country Link
KR (1) KR101230009B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102415567B1 (ko) * 2021-11-18 2022-07-05 프라이빗테크놀로지 주식회사 가상화 인스턴스의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090130802A (ko) * 2008-06-16 2009-12-24 삼성전자주식회사 가상화 환경에서 입출력 인터페이스를 적응시키는 장치 및 방법
KR100980599B1 (ko) * 2010-01-19 2010-09-07 코아인텍주식회사 입출력 공유장치를 이용한 클라우드 서비스 시스템
KR20110000752A (ko) * 2008-05-23 2011-01-05 브이엠웨어, 인코포레이티드 가상화된 컴퓨터 시스템들에 대한 분배된 가상 스위치
KR20110025728A (ko) * 2009-06-04 2011-03-11 유니시스 코포레이션 보안 맞춤형 애플리케이션 클라우드 컴퓨팅 아키텍처

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110000752A (ko) * 2008-05-23 2011-01-05 브이엠웨어, 인코포레이티드 가상화된 컴퓨터 시스템들에 대한 분배된 가상 스위치
KR20090130802A (ko) * 2008-06-16 2009-12-24 삼성전자주식회사 가상화 환경에서 입출력 인터페이스를 적응시키는 장치 및 방법
KR20110025728A (ko) * 2009-06-04 2011-03-11 유니시스 코포레이션 보안 맞춤형 애플리케이션 클라우드 컴퓨팅 아키텍처
KR100980599B1 (ko) * 2010-01-19 2010-09-07 코아인텍주식회사 입출력 공유장치를 이용한 클라우드 서비스 시스템

Also Published As

Publication number Publication date
KR20120125089A (ko) 2012-11-14

Similar Documents

Publication Publication Date Title
EP3932022B1 (en) Systems and methods for on-demand flow-based policy enforcement in multi-cloud environments
CN108964959B (zh) 一种用于虚拟化平台的网卡直通系统及数据包监管方法
US10587481B2 (en) Directing data flows in data centers with clustering services
CN108062482B (zh) 向虚拟云基础结构提供虚拟安全装置架构的方法和装置
EP3629162B1 (en) Technologies for control plane separation at a network interface controller
EP3404878B1 (en) Virtual network apparatus, and related method
US9727386B2 (en) Method and apparatus for network resource virtual partitioning
US20130315242A1 (en) Network Communication Method and Device
US11063856B2 (en) Virtual network function monitoring in a network function virtualization deployment
JP2010157226A (ja) ネットワークインタフェースコンポーネントに対するサブスクリプションリクエストを管理する装置及び方法
Rad et al. Low-latency software defined network for high performance clouds
US20160254958A1 (en) Method, apparatus and system for virtualizing a policy and charging rules function
Ram et al. sNICh: Efficient last hop networking in the data center
KR102020049B1 (ko) 멀티 테넌트 클라우드 서비스의 서비스 품질을 보장하기 위한 스위치, 방법 및 상기 스위치를 포함하는 시스템
KR102020046B1 (ko) 서버 가상화 환경에서의 플로우 관리 장치 및 방법, 서비스품질 정책 적용 방법
US10181031B2 (en) Control device, control system, control method, and control program
CN111818081A (zh) 虚拟加密机管理方法、装置、计算机设备和存储介质
KR101230009B1 (ko) 클라우드 컴퓨팅 기반의 네트워크 정보보호 서비스 시스템
Liu et al. An intelligent job scheduling system for web service in cloud computing
CN112714073A (zh) 基于sr-iov网卡的报文分流方法、系统及存储介质
KR101343595B1 (ko) 라우터에 대한 포워딩 가상화 방법
CN103118115B (zh) 面向云计算用户的虚拟机管理方法及装置
CN112751717B (zh) 一种业务流量的管理系统以及方法
KR102126213B1 (ko) 테넌트 기반의 동적 프로세서 할당 장치 및 방법
KR20180060353A (ko) 가상 머신 QoS 보장형 무손실 부하 분산 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160329

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170126

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190130

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20200130

Year of fee payment: 8