KR101541350B1 - Method and system for providing cloud security service using traffic control in cloud service network - Google Patents
Method and system for providing cloud security service using traffic control in cloud service network Download PDFInfo
- Publication number
- KR101541350B1 KR101541350B1 KR1020140025482A KR20140025482A KR101541350B1 KR 101541350 B1 KR101541350 B1 KR 101541350B1 KR 1020140025482 A KR1020140025482 A KR 1020140025482A KR 20140025482 A KR20140025482 A KR 20140025482A KR 101541350 B1 KR101541350 B1 KR 101541350B1
- Authority
- KR
- South Korea
- Prior art keywords
- virtual machine
- arp
- gateway
- packet
- service
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/742—Route cache; Operation thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 가상화된 컴퓨팅 자원(resource)이 할당된 복수의 가상 머신을 통해 가상화된 컴퓨팅 환경을 제공하는 클라우드 서비스에 관한 것이다.The present invention relates to a cloud service providing a virtualized computing environment through a plurality of virtual machines to which virtualized computing resources are allocated.
네트워크 상에서 발생하는 모든 트래픽의 보안 검사는 물리적으로 별도의 보안 네트워크 장비를 설치하여 네트워크 보안 구성을 하였다. The security check of all the traffic occurring on the network was performed by physically installing a separate security network equipment.
다양한 종류의 네트워크 서비스가 점차 많아지게 되어 서비스 트래픽도 함께 증가되어 이를 처리해야 하는 물리적인 서버 수도 함께 증가 되었고, 그 서버들에 대한 관리 비용증가 등의 여러 문제점이 발생하여 점차 물리적인 수를 줄이고 클라우드 환경으로 논리적인 서버로 운영방식이 변경되고 있는 추세이다. 한 대의 물리적인 서버에 논리적으로 구성된 여러 개의 가상 머신을 설치하여 한 대의 서버에 여러 종류의 서비스가 가능한 기술인 클라우드 기술이 보편화되고 있다. As the number of various types of network services increases, the number of physical servers that need to be processed increases due to an increase in service traffic, and various problems such as an increase in the management cost for the servers are increasing. Accordingly, The environment is changing from a logical server to an operating system. Cloud technology, which is a technology enabling multiple types of services on a single server, is becoming commonplace by installing multiple virtual machines logically configured on one physical server.
하지만 가상 OS의 보안은 일반 OS의 보안처리와는 달라 클라우드 환경에 적합한 네트워크 보안 기술이 필요하게 되었다. 클라우드 환경에서는 가입자 또는 관리자의 선택에 따라 가상 머신별 유해성 감사/제어하는 기능이 적용되거나 또는 미적용을 선택할 수 있어야 하며, 이러한 방식의 네트워크 보안 서비스가 되기 위해서는 외부에 별도의 물리적인 네트워크 보안 장비를 클라우드 환경의 게이트웨이 구간에 설치해야 하기 때문에, 내부 가상머신 간의 보안 기능을 수행할 수 없다.However, the security of virtual OS is different from that of general OS, and network security technology suitable for cloud environment is needed. In the cloud environment, the ability to audit / control harmfulness of each virtual machine according to the subscriber or administrator's choice should be applied or not selected. In order to become such a network security service, a separate physical network security device needs to be installed in the cloud Since it must be installed in the gateway section of the environment, security functions between the internal virtual machines can not be performed.
가상 머신 간 트래픽을 보호하기 위한 보안 기능을 제공하기 위해서 모든 가상 머신 내부에 백신 또는 보안프로그램이 윈도우, 리눅스 운영체제를 지원하여 설치되어야 하기 때문에 여러 형태의 보안 프로그램 개발이 요구되어 진다.In order to provide security function to protect the traffic between virtual machines, various security programs are required because vaccines or security programs must be installed in all virtual machines to support Windows and Linux operating systems.
따라서 본 발명은 물리적으로 외부에 설치되는 네트워크 보안 장비에서 서버 내부에 있는 다수의 가상 머신들 간 네트워크 보안서비스를 제공할 수 없는 한계성 때문에 보안을 담당하는 가상 머신을 내부에 설치하여 다수의 가상 머신 간의 트래픽을 모니터링하고자 한다.Therefore, in the present invention, a network security device installed in the outside physically can not provide a network security service between a plurality of virtual machines in the server, and therefore, a virtual machine responsible for security is installed inside, We want to monitor traffic.
또한, ARP 테이블을 변경하도록 유도하여 내부와 외부 간 가상 머신으로 전송되는 양방향 서비스 트래픽 경로를 하나의 가상 머신을 경유하도록 하여 경유지 역할을 하는 가상 머신에서는 트래픽의 유해성을 모니터링/제어하고, 모니터링 완료된 트래픽은 IP 정보에 맞는 MAC 정보로 복원하여 원래 목적지인 가상 머신들이 정상적으로 트래픽이 수신될 수 있는 서비스를 제공하고자 한다.In addition, a virtual machine serving as a transit point monitors and controls the harmfulness of traffic by guiding the ARP table to change and passing the bidirectional service traffic path to the virtual machine between the inside and the outside via one virtual machine, To MAC information corresponding to the IP information, and to provide a service in which the virtual machines as the original destinations can receive traffic normally.
본 발명의 일 견지에 따르면, 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법에 있어서, 가상화된 컴퓨팅 자원(resource)이 할당된 복수의 가상 머신을 통해 가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크에서 가상 머신별 발생된 ARP(Address Resolution Protocol) 패킷이 브로드캐스팅되는 과정과, 상기 브로드캐스팅된 ARP 패킷으로부터 IP 주소와 MAC 주소를 수집하고, 수집된 상기 IP 주소와 MAC 주소 기반 ARP 테이블 DB를 생성하는 과정과, 상기 내부 네트워크의 인그래스(ingress)/이그레스(egress) 패킷을 관리하는 경로 우회 가상 머신을 통해 상기 경로 우회 가상 머신의 MAC 주소에 대응되는 ARP 패킷을 기설정된 주기별로 가상 OS 기반 네트워크로 전송하여 상기 가상 OS를 기반으로 생성된 가상 머신과, 상기 가상 머신과 인터랙션을 수행하는 통신 기기에서 발생된 트래픽을 기설정된 정책(policy) 정보에 따라 제어하는 과정을 포함함을 특징으로 한다.According to an aspect of the present invention, there is provided a method of providing a cloud security service through traffic control in a cloud service network, the method comprising: providing a virtualized computing environment through a plurality of virtual machines to which virtualized computing resources are allocated; The method comprising the steps of broadcasting an ARP (Address Resolution Protocol) packet generated by a virtual machine in an internal network of the ARP server, collecting an IP address and a MAC address from the broadcasted ARP packet, (ARP) packet corresponding to the MAC address of the path bypass virtual machine through a path bypass virtual machine for managing an ingress / egress packet of the internal network by a predetermined cycle A virtual machine based on the virtual OS, It characterized in that it comprises the step of controlling according to the virtual machine and policies (policy) set group the traffic occurs in a communication device that performs information interaction.
본 발명의 다른 견지에 따르면, 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 시스템에 있어서, 가상화된 컴퓨팅 자원(resource)이 할당된 복수의 가상 머신을 통해 가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크에서 브로드캐스팅된 가상 머신별 ARP(Address Resolution Protocol) 패킷으로부터 IP 주소와 MAC 주소를 수집하고, 수집된 상기 IP 주소와 MAC 주소 기반 ARP 테이블 DB를 생성하고, 자신의 MAC 주소에 대응되는 ARP 변경 요청 패킷을 기설정된 주기별로 가상 OS 기반 네트워크로 전송하여 상기 가상 OS를 기반으로 생성된 가상 머신과, 상기 가상 머신과 인터랙션을 수행하는 통신 기기에서 발생된 트래픽을 기설정된 정책(policy) 정보에 따라 제어하는 경로 우회 가상 머신과, 가상 OS를 기반으로 생성되어 상기 경로 우회 가상 머신으로부터 전송된 ARP 변경 요청 패킷에 따라 게이트웨이 간 인터랙션을 통해 생성된 ARP 캐쉬가 ARP 테이블에서 폐기되는 가상 머신과, 상기 가상 머신과 인터랙션을 통해 생성된 ARP 캐쉬를 기반으로 ARP 테이블이 생성되고, 상기 경로 우회 가상 머신으로부터 전송된 ARP 변경 요청 패킷에 따라 상기 ARP 캐쉬가 ARP 테이블에서 폐기되는 게이트웨이를 포함함을 특징으로 한다.According to another aspect of the present invention, there is provided a cloud security service providing system for traffic control in a cloud service network, comprising: a cloud server system providing a virtualized computing environment through a plurality of virtual machines to which virtualized computing resources are allocated; The IP address and the MAC address are collected from the ARP (Address Resolution Protocol) packet according to the virtual machine broadcasted in the internal network of the mobile terminal, the ARP table DB based on the IP address and the MAC address is collected, An ARP change request packet is transmitted to the virtual OS-based network in a predetermined period, and the virtual machine generated based on the virtual OS and the traffic generated in the communication device performing the interaction with the virtual machine are transmitted to the virtual OS- And a path bypass virtual machine for controlling the virtual path based on the virtual OS A virtual machine in which an ARP cache generated through interaction between gateways is discarded in an ARP table according to an ARP change request packet transmitted from the path bypass virtual machine and an ARP table based on an ARP cache generated through interaction with the virtual machine And wherein the ARP cache is discarded in an ARP table according to an ARP change request packet transmitted from the path bypass virtual machine.
본 발명은 클라우드 환경의 내부 가상 머신에서 발생하는 모든 트래픽에 대한 유해성 감사/제어를 수행하기 위한 경로 우회 트래픽 가상 머신을 제공함으로써 운용자는 내부 네트워크 구성 변경이나 사용 설정 없이 클라우드 환경의 내부 가상머신들의 보안서비스를 제공할 수 있는 효과가 있다.The present invention provides a path bypass traffic virtual machine for performing harmful audit / control on all traffic generated in an internal virtual machine of a cloud environment, so that an operator can manage security of internal virtual machines in a cloud environment The service can be provided.
또한, 본 발명은 유해성 모니터링/제어 서비스 제공을 선택적으로 사용가능하여 클라우드 사업자는 클라우드 환경에서의 가입자별로 선택적으로 보안 서비스를 제공할 수 있어 유해성 모니터링/제어 가입자 유료서비스로 적용할 수 있는 기반기술을 제공하는 효과가 있다.In addition, since the present invention can selectively use harmful monitoring / control service provisioning, a cloud provider can selectively provide security service for each subscriber in a cloud environment, thereby providing a base technology applicable to a harmfulness monitoring / control subscriber paid service There is an effect to provide.
그리고, 본 발명은 경로우회트래픽감사머신의 서비스 이상 발생시에는 게이트웨이장비와 보호가상머신의 ARP 테이블이 자동적으로 원래의 서비스 패킷 흐름으로 복원될 수 있어 클라우드 환경에서의 서비스 연속성을 유지할 수 있는 효과가 있다.The present invention has an effect of maintaining service continuity in a cloud environment because an ARP table of a gateway device and a protection virtual machine can be automatically restored to an original service packet flow when an error occurs in a service of a bypass bypass traffic audit machine .
도 1은 본 발명의 일 실시 예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법에 대한 전체 흐름도.
도 2는 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템의 구성도.
도 3은 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템에 있어서, 경로 우회 가상 머신 내 ARP 처리부에 관한 구성도.
도 4는 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템에 있어서, 외부망으로부터 경로 우회 가상 머신을 경유하여 내부 가상 머신으로 전송되는 트래픽 처리에 관한 구성도.
도 5는 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템에 있어서, 내부 가상 머신으로부터 경로 우회 가상 머신을 경유하여 외부망으로 전송되는 트래픽 처리에 관한 예시도.FIG. 1 is a flowchart illustrating a method for providing a cloud security service through traffic control in a cloud service network according to an embodiment of the present invention. Referring to FIG.
BACKGROUND OF THE
BACKGROUND OF THE
FIG. 4 is a block diagram of traffic processing to be transmitted from an external network to an internal virtual machine via a path bypass virtual machine in a cloud security service providing system through traffic control in a cloud service network according to an embodiment of the present invention. FIG.
FIG. 5 is a diagram illustrating traffic processing to be transmitted from an internal virtual machine to a foreign network via a path bypass virtual machine in a cloud security service providing system through traffic control in a cloud service network according to an embodiment of the present invention.
이하 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기 설명에서는 구체적인 구성 소자 등과 같은 특정 사항들이 나타나고 있는데 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐 이러한 특정 사항들이 본 발명의 범위 내에서 소정의 변형이나 혹은 변경이 이루어질 수 있음은 이 기술 분야에서 통상의 지식을 가진 자에게는 자명하다 할 것이다.
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. It will be appreciated that those skilled in the art will readily observe that certain changes in form and detail may be made therein without departing from the spirit and scope of the present invention as defined by the appended claims. To those of ordinary skill in the art.
본 발명은 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공에 관한 것으로, 보다 상세하게는 클라우드 환경 내부에 있는 하나의 가상 머신으로 함께 설치되어 있는 다수의 가상 머신들의 네트워크 구성 또는 설정 없이 특정 가상 머신 설치만으로 내부에서 외부 또는 외부에서 내부 간의 트래픽 흐름을 제어하기 위해 가상 OS 내부에서 발생되는 ARP(Address Resolution Protocol)패킷의 IP와 MAC주소를 일정시간 동안 수집하고, 지속적으로 경로 우회 트래픽 가상 머신의 MAC으로 된 ARP 패킷을 가상 OS 내부로 전송하여, 다수의 가상 머신들이 목적지 IP의 MAC주소를 항상 경로 우회 트래픽 가상 머신으로 인지하도록 하여 경로 우회 트래픽 가상 머신의 MAC을 포함하는 ARP 패킷을 지속적으로 전송하고, 패킷의 유해성을 감사하고 제어하고, 패킷의 IP 정보에 맞는 MAC 정보로 변경하여 원래의 목적지로 전송되도록 함으로써 클라우드 환경의 내부 가상 머신에서 발생하는 모든 트래픽에 대한 유해성 감사/제어를 수행하여 운용자는 내부네트워크 구성 변경이나 사용 설정 없이 클라우드 환경의 내부 가상 머신들의 보안서비스를 제공할 수 있을 뿐만 아니라, 유해성 감사/제어 서비스 제공을 선택적으로 사용가능하여 클라우드 사업자는 클라우드 환경에서의 가입자별로 선택적으로 보안 서비스를 제공할 수 있어 유해성 감사/제어 가입자 유료서비스로 적용할 수 있는 기반기술을 제공 가능하며, 경로 우회 트래픽 머신의 서비스 이상 발생 시에는 게이트웨이장비와 보호 가상 머신의 ARP 테이블이 자동적으로 원래의 서비스 패킷 흐름으로 복원될 수 있어 클라우드 환경에서의 서비스 연속성을 유지할 수 있는 기술을 제공하고자 한다.
The present invention relates to providing a cloud security service through traffic control in a cloud service network. More specifically, the present invention relates to a method and system for providing cloud security service through a specific virtual machine without a network configuration or setting of a plurality of virtual machines installed together as one virtual machine in a cloud environment. In order to control traffic flow from inside to outside or from outside to inside only by installation, we collect IP and MAC address of ARP (Address Resolution Protocol) packet generated within the virtual OS for a certain period of time, Is transmitted to the inside of the virtual OS, so that a plurality of virtual machines always recognize the MAC address of the destination IP as the bypassed traffic virtual machine, and continuously transmit the ARP packet including the MAC of the path-bypass traffic virtual machine , Audit and control packet hazards, The MAC information corresponding to the IP information of the kit is transmitted to the original destination so that harmfulness audit / control is performed on all traffic generated in the internal virtual machine of the cloud environment. Thus, The cloud service provider can selectively provide the security service for each subscriber in the cloud environment by selectively providing the harmfulness audit / control service, as well as providing the security service of the internal virtual machines of the cloud service provider, The ARP table of the gateway device and the protection virtual machine can be automatically restored to the original service packet flow in the event of a bypass bypass traffic machine malfunction, Service continuity To provide a technology that can stop.
이하, 본 발명의 일 실시 예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법에 대해 도 1을 참조하여 자세히 살펴보기로 한다.Hereinafter, a method for providing a cloud security service through traffic control in a cloud service network according to an embodiment of the present invention will be described in detail with reference to FIG.
도 1은 본 발명의 일 실시 예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법에 대한 전체 흐름도이다.1 is a flowchart illustrating a method for providing a cloud security service through traffic control in a cloud service network according to an embodiment of the present invention.
도 1을 참조하면, 먼저 110 과정에서는 가상화된 컴퓨팅 자원(resource)이 할당된 복수의 가상 머신을 통해 가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크에서 가상 머신별 발생된 ARP(Address Resolution Protocol) 패킷이 브로드캐스팅된다.Referring to FIG. 1, in
이때, 상기 ARP 패킷은, 물리적 주소인 MAC 주소와 논리적인 IP 주소를 매핑하는 목적으로 사용되는 것으로, 예컨대, 상기 가상 머신 혹은 게이트웨이에서 데이터 통신을 위한 IP 패킷 전송 시 상대편의 IP 주소는 알고 있으나, L2주소(이더넷 주소)는 모르는 경우 상기 L2 주소를 알기 위해서 ARP 패킷을 브로드캐스팅하여 네트워크 내 모든 노드에게 전달하여 해당 IP 주소의 상대편에서 L2주소(MAC 주소, 이더넷 주소)를 ARP 응답(response)를 주어 응답하는 인터랙션(interaction)을 통해 전송된다.In this case, the ARP packet is used for mapping a MAC address, which is a physical address, and a logical IP address. For example, although the IP address of the other party is known when an IP packet is transmitted for data communication in the virtual machine or the gateway, If the L2 address (Ethernet address) is not known, the ARP packet is broadcasted to all nodes in the network in order to know the L2 address, and an ARP response is sent to the L2 address (MAC address, Ethernet address) It is transmitted through interaction that responds to the subject.
112 과정에서는 상기 내부 네트워크의 인그래스(ingress)/이그레스(egress) 패킷을 관리하는 경로 우회 가상 머신을 통해 상기 브로드캐스팅된 ARP 패킷으로부터 IP 주소와 MAC 주소를 수집한다.In
114 과정에서는 상기 경로 우회 가상 머신에서 수집된 상기 IP 주소와 MAC 주소 기반 ARP 테이블 DB를 생성한다.In
여기서, 상기 ARP 테이블 DB는, 상기 내부 네트워크의 인그래스(ingress)/이그레스(egress) 패킷별 IP 주소 및 MAC 주소가 매칭되어 테이블링된 것으로, 내부와 외부 간 가상 머신으로 전송되는 양방향 서비스 수행 시 발생된 ARP 패킷이 기설정된 순서별로 정렬되어 관리된다.Here, the ARP table DB is a table in which an IP address and a MAC address of each ingress / egress packet of the internal network are matched to each other and is transmitted to a virtual machine between the inside and the outside. ARP packets are managed in a predetermined order.
그리고, 상기 가상 머신 혹은 게이트웨이에서는 상호 데이터 통신을 위한 패킷 송수신 시 발생되는 ARP 패킷 요청(request) 및 응답(response)에 기반한 인터랙션별 ARP 캐쉬를 각각 자신의 ARP 테이블에서 관리한다.The virtual machine or gateway manages the ARP cache for each interaction based on an ARP packet request and a response generated when transmitting and receiving a packet for mutual data communication in its own ARP table.
즉, 상기 내부 네트워크에서 가상 머신으로부터 ARP 요청 패킷이 스캐터링된 경우, 게이트웨이에서는 기설정된 정책 정보에 따라 할당된 IP 주소와 MAC 주소가 포함된 ARP 응답을 수행하고, 상기 가상 머신의 ARP 요청 패킷으로 게이트웨이에서의 ARP 응답을 통해 생성된 가상 머신과 게이트웨이별 ARP 캐쉬를 이용하여 상기 게이트웨이와 가상 머신 간의 패킷 전송을 위한 인터랙션(interaction)을 수행하고, 상기 인터랙션을 통해 생성된 게이트웨이 및 가상 머신별 ARP 캐쉬 기반 각 ARP 테이블이 통합적으로 ARP 테이블 DB에 구축되어 상기 경로 우회 가상 머신에서 관리된다.That is, when the ARP request packet is scattered from the virtual machine in the internal network, the gateway performs an ARP response including the IP address and the MAC address allocated according to the preset policy information, and transmits the ARP request packet Performs an interaction for packet transmission between the gateway and the virtual machine using the virtual machine generated through the ARP response at the gateway and the ARP cache for each gateway and transmits the ARP cache for each gateway and virtual machine generated through the interaction Based ARP tables are integrally constructed in the ARP table DB and managed in the path bypass virtual machine.
계속해서, 116 과정에서는 상기 클라우드 서버 시스템의 내부 네트워크 서비스 트래픽 타입에 따라 경로 우회 트래픽 서비스인지 여부를 판단하여, 경로 우회 트래픽 서비스인 경우 118 과정으로 이동한다.In
여기서, 상기 서비스 트래픽 타입은, 게이트웨이와 가상 머신이 직접 인터페이스되어 기설정된 패킷 전송을 위한 정책에 따라 패킷 전송을 수행하는 서비스 트래픽과, 게이트웨이와 가상 머신이 패킷 전송을 위한 인터랙션 수행 시 초기 경로 정책에 반하여 해당 경로를 경로 우회 가상 머신으로 우회하는 서비스 트래픽을 포함하는 것으로, 상기 116 과정에서의 경로 우회 트래픽 서비스 여부를 체크하여 아닌 경우 117 과정으로 이동하여 초기 경로 정책에 따른 동작을 수행한다.Herein, the service traffic type includes service traffic in which a gateway and a virtual machine are directly interfaced with each other to perform packet transmission according to a policy for packet transmission, and an initial path policy when a gateway and a virtual machine perform an interaction for packet transmission If it is determined that the path bypass traffic service is not checked in
118 과정에서는 게이트웨이와 신규 생성된 혹은 기존 가상 머신 간 인터렉션을 통해 생성된 ARP 캐쉬를 경로 우회 가상 머신으로의 경유를 위해 각 ARP 테이블에서 폐기하기 위하여 ARP 변경 요청 패킷을 기설정된 주기별로 상기 게이트웨이 및 신규 생성된 혹은 기존 가상 머신에 각각 전송한다.In
다시 말해, MAC 주소가 경로 우회 머신으로 변경된 ARP 변경 요청 패킷을 인터랙션을 수행하는 게이트웨이 및 가상 머신에 전송하여 해당 게이트웨이 및 가상 머신이 경로 우회 머신의 MAC 주소를 통해 상기 경로 우회 머신으로 패킷이 우회되도록 한다.In other words, the ARP change request packet whose MAC address is changed to the path bypassing machine is transmitted to the gateway and the virtual machine performing the interaction, so that the gateway and the virtual machine can bypass the path bypassing machine via the MAC address of the bypass bypassing machine do.
이때, 상기 ARP 변경 요청 패킷은, 상기 게이트웨이와 가상 머신 간 패킷 전송을 위한 인터렉션을 통해 생성된 ARP 캐쉬에서 IP 주소 및 MAC 주소를 폐기하도록 유도하는 것으로, 클라우드 서비스 네트워크에서 내부 및 외부 네트워크 인그래스/이그레스 트래픽 중 소정 서비스 트래픽 흐름에 대하여 초기 경로 정책(예컨대, 패킷을 교환하는 네트워크 장비 간 일대일 페이징(paging)되어 패킷을 전송하는 일반적인 인터페이스 경로)에 반하여 해당 경로를 우회하기 위해 상기 경로 우회 가상 머신으로부터 전송되는 것으로, 해당 ARP 변경 요청 패킷은 인터랙션되어 상호 패킷을 송수신하는 상대측 MAC 주소가 아닌 자신의 MAC 주소(경로 우회 가상 머신)으로 변경되어 해당 패킷이 우회하도록 한다.At this time, the ARP change request packet induces an IP address and a MAC address to be discarded in an ARP cache generated through an interaction for packet transmission between the gateway and the virtual machine. In the cloud service network, In order to bypass the path of the service traffic flow against the predetermined service traffic flow among the esgress traffic in contrast to the initial path policy (for example, a general interface path in which packets are paged one-to-one between network devices exchanging packets) The corresponding ARP change request packet is interchanged and changed to its own MAC address (path bypass virtual machine) instead of the MAC address of the other party transmitting and receiving packets, so that the packet is bypassed.
120 과정에서는 상기 ARP 변경 요청 패킷에 따라 상기 각 가상 머신과 게이트웨이에서 발생된 ARP 캐쉬가 ARP 테이블에서 갱신된다.In
상기 ARP 테이블 DB는, 상기 경로 우회 가상 머신을 통해 관리되는 것으로, 클라우드 서비스 네트워크에 기설정된 정책 정보에 따라 가상 OS 기반 복수의 가상 머신과 게이트웨이 간 데이터 통신을 위해 상기 게이트웨이와 가상 머신별로 출력되는 IP 주소와 MAC 주소가 매핑되어 주기별 서비스 트래픽 타입에 따라 유지되거나 갱신된다.The ARP table DB is managed through the path bypass virtual machine. The ARP table DB is used for data communication between the gateway and a plurality of virtual machines based on the virtual OS based on the policy information set in the cloud service network. Address and MAC address are mapped and maintained or updated according to the service traffic type for each period.
122 과정에서 가상 머신과 게이트웨이에서의 발생 트래픽이 MAC 주소에 대응되게 경로 우회 가상 머신으로 우회한다.In
즉, 상기 경로 우회 가상 머신의 MAC 주소에 대응되는 ARP 패킷을 기설정된 주기별로 가상 OS 기반 네트워크로 전송하여 상기 가상 OS를 기반으로 생성된 가상 머신과, 상기 가상 머신과 인터랙션을 수행하는 통신 기기에서 발생된 트래픽을 기설정된 정책(policy) 정보에 따라 제어한다.That is, the ARP packet corresponding to the MAC address of the path-bypassing virtual machine is transmitted to the virtual OS-based network in a predetermined period, and the virtual machine created based on the virtual OS and the communication device performing the interaction with the virtual machine And controls the generated traffic according to predetermined policy information.
상기 기설정된 정책 정보는, 클라우드 서비스 네트워크 내 게이트웨이에서 가상 머신으로 소정 패킷을 전송하는 경우, 상기 가상 머신 혹은 게이트웨이로부터 ARP 요청 패킷의 응답으로 수신된 ARP 응답을 기반으로 초기 경로 정책에 반하여 설정된 서비스 트래픽 타입에 따라 갱신된 ARP 테이블 DB를 참조하여 해당 패킷의 이더넷 프레임을 변경하여 전송하면, 상기 이더넷 프레임의 MAC 주소에 대응되는 경로 우회 가상 머신으로 경로가 경유되도록 제어한다.The preset policy information includes information on a service traffic set in response to an initial path policy based on an ARP response received in response to an ARP request packet from the virtual machine or gateway when a predetermined packet is transmitted from a gateway in a cloud service network to a virtual machine, Referring to the updated ARP table DB according to the type, if the Ethernet frame of the packet is changed and transmitted, control is passed to the path bypass virtual machine corresponding to the MAC address of the Ethernet frame.
이후, 상기 기설정된 정책 정보에 따라 우회되어 게이트웨이로부터 수신된 패킷의 이더넷 프레임을 ARP 테이블 DB를 참조하여 인터랙션이 수행된 MAC 주소로 변경되어 재전송된다.Thereafter, the Ethernet frame of the packet received from the gateway is bypassed according to the preset policy information, and the MAC address is changed to the MAC address on which the interaction is performed by referring to the ARP table DB.
이때, 상기 게이트웨이로부터 수신된 패킷의 유해성 여부를 기설정된 정책 정보에 따라 판단하여 판단 결과에 따라 해당 패킷의 재전송 여부를 결정한다.
At this time, it is determined whether or not the packet received from the gateway is harmful according to predetermined policy information, and it is determined whether to retransmit the packet according to the determination result.
이와 같이, 본 발명에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법에 따라 내부 네트워크에서 발생되는 ARP 패킷 브로드케스트 정보를 받아서 내부의 IP와 MAC 주소를 수집하여 내부 네트워크의 ARP 테이블을 관리하고, 경유지 역할을 하는 경로 우회 가상 머신의 MAC을 포함하는 ARP 패킷을 주기적으로 가상 OS 내부 네트워크로 전송하여 원하는 서비스 트래픽 흐름의 경로로 우회되도록 ARP 테이블 DB를 변경 및 유지하고, 우회된 트래픽 패킷에 대한 유해성을 모니터링/제어한 후, 패킷의 IP정보에 맞는 MAC 정보로 복원하여 원래의 목적지로 전송되도록 한다.
As described above, according to the cloud security service providing method through the traffic control in the cloud service network according to the present invention, the ARP packet broadcast information generated in the internal network is received and the internal IP and MAC address are collected to manage the ARP table of the internal network And the ARP packet including the MAC of the path bypass virtual machine serving as a transit point is periodically transmitted to the virtual OS internal network to change and maintain the ARP table DB so as to be bypassed to the path of the desired service traffic flow, Monitors and controls the harmfulness of the packet, and restores the MAC information according to the IP information of the packet to be transmitted to the original destination.
이상 본 발명의 일 실시 예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법에 대해 살펴보았다.The method of providing cloud security service through traffic control in the cloud service network according to an embodiment of the present invention has been described.
이하에서는, 본 발명의 일 실시 예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템에 도 2 내지 도 5를 참조하여 자세히 살펴보기로 한다.
Hereinafter, a system for providing a cloud security service through traffic control in a cloud service network according to an embodiment of the present invention will be described in detail with reference to FIG. 2 to FIG.
우선, 도 2는 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템의 구성도이다.2 is a block diagram of a system for providing cloud security service through traffic control in a cloud service network according to an embodiment of the present invention.
도 2를 참조하면, 본 발명이 적용된 시스템(200)은 복수의 가상 머신#1, 2, 3, 경로 우회 가상 머신(210), 게이트웨이(220)을 포함한다.Referring to FIG. 2, a
상기 경로 우회 가상 머신(210)은 가상화된 컴퓨팅 자원(resource)이 할당된 복수의 가상 머신(가상 머신#1, 2, 3)을 통해 가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크(202)에서 브로드캐스팅된 가상 머신별 ARP(Address Resolution Protocol) 패킷으로부터 IP 주소와 MAC 주소를 수집하고, 수집된 상기 IP 주소와 MAC 주소 기반 ARP 테이블 DB(207)를 생성하고, 자신의 MAC 주소에 대응되는 ARP 변경 요청 패킷을 기설정된 주기별로 가상 OS 기반 네트워크로 전송하여 상기 가상 OS를 기반으로 생성된 가상 머신과, 상기 가상 머신과 인터랙션을 수행하는 통신 기기에서 발생된 트래픽을 기설정된 정책(policy) 정보에 따라 제어한다.The path-bypass
또한, 상기 경로 우회 가상 머신(210)은, 가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크(202)에서 상기 내부 네트워크(202)의 인그래스(ingress)/이그레스(egress) 패킷을 통합 관리한다.The path bypass
이때, 상기 경로 우회 가상 머신(210)은, 서비스 트래픽 타입에 따라 게이트웨이(220)와 신규 생성된 가상 머신(#3) 간 인터렉션을 통해 생성된 ARP 캐쉬를 폐기하기 위해 ARP 변경 요청 패킷을 기설정된 주기별로 상기 게이트웨이 및 신규 생성된 가상 머신(#3)에 각각 전송하고, 상기 ARP 변경 요청 패킷에 따라 상기 ARP 캐쉬가 갱신되어 게이트웨이(220)와 신규 생성된 가상 머신별 발생 트래픽이 상기 ARP 변경 요청 패킷의 MAC 주소에 대응되게 경로가 우회되도록 제어하는 ARP 처리부(212) 및 상기 기설정된 정책 정보에 따라 게이트웨이(220)로부터 수신된 패킷의 이더넷 프레임을 ARP 테이블 DB(207)를 참조하여 변경하여 해당 가상 머신으로 재전송하되, 상기 게이트웨이(220)로부터 수신된 패킷의 유해성 여부를 기설정된 정책 정보에 따라 판단하여 판단 결과에 따라 해당 패킷의 재전송 여부를 결정하는 트래픽 모니터링부(214)를 포함한다.At this time, the path bypass
즉, 상기 ARP 처리부(212)는 가상머신과 외부 게이트웨이(220)사이의 경유지를 통한 서비스 패킷 흐름, 클라우드 환경 내부(202)에서 서비스 패킷이 우회되도록 ARP 패킷을 전송하고, 클라우드 내부 네트워크(202)에서 발생되는 브로드캐스트 정보를 받아서 내부 가상 머신들의 아이피와 MAC을 수집하여 ARP 테이블을 관리하는 브로드캐스트처리모듈(219)을 더 포함한다.That is, the ARP processing unit 212 transmits a service packet flow through the intermediate network between the virtual machine and the
상기 트래픽 모니터링부(214)는 트래픽의 유해성을 확인하는 트래픽 모니터링 모듈(215), MAC을 가상머신#N에서 게이트웨이(220) 또는 게이트웨이(220)에서 가상머신(#1, #2, #3)으로 패킷 전송시 변경하기 전 MAC으로 복원하는 MAC변경모듈(217)을 포함한다.The
그리고, 상기 ARP 변경 요청 패킷은, 상기 ARP 처리부(212)를 통해 생성되어 게이트웨이(220)와 가상 머신 간 패킷 전송을 위한 인터렉션을 통해 생성된 ARP 캐쉬에서 IP 주소 및 MAC 주소를 폐기하도록 유도하는 것으로, 클라우드 서비스 네트워크(202)에서 내부 및 외부 네트워크 인그래스/이그레스 트래픽 중 소정 서비스 트래픽 흐름에 대하여 초기 경로 정책에 반하여 해당 경로를 우회하기 위해 상기 경로 우회 가상 머신(210)으로부터 전송된다.The ARP change request packet is generated through the ARP processor 212 and induces an IP address and a MAC address to be discarded in an ARP cache generated through an interaction for packet transmission between the
상기 기설정된 정책 정보는, 경로 우회 가상 머신(210)에서 설정되어, 클라우드 서비스 네트워크(202) 내 게이트웨이(220)에서 가상 머신으로 소정 패킷을 전송하는 경우 혹은 가상 머신에서 게이트웨이(220)로 소정 패킷을 전송하는 경우, 상기 가상 머신(#1, 2, 3) 혹은 게이트웨이(220)로부터 ARP 요청 패킷의 응답으로 수신된 ARP 응답을 기반으로 초기 경로 정책에 반하여 설정된 서비스 트래픽 타입에 따라 갱신된 ARP 테이블 DB(207)를 참조하여 해당 패킷의 이더넷 프레임을 변경하여 전송하면, 상기 이더넷 프레임의 MAC 주소에 대응되는 경로 우회 가상 머신(210)으로 경로가 경유되도록 제어한다.The predetermined policy information is set in the path bypass
이때, 상기 ARP 테이블 DB(207)는 경로 우회 가상 머신(210)을 통해 관리되는 것으로, 클라우드 서비스 네트워크(202)에 기설정된 정책 정보에 따라 가상 OS 기반 복수의 가상 머신((#1, #2, #3)과 게이트웨이(220) 간 데이터 통신을 위해 상기 게이트웨이(220)와 가상 머신(#1, #2, #3)별로 출력되는 IP 주소와 MAC 주소가 매핑되어 주기별 서비스 트래픽 타입에 따라 유지되거나 갱신된다.The
한편, 상기 서비스 트래픽 타입은, 클라우드 서비스 내부 네트워크(202)에서 원하는 트래픽 서비스에 따라 설정되는 것으로, 게이트웨이(220)와 가상 머신((#1, #2, #3)이 직접 인터페이스되어 기설정된 패킷 전송을 위한 정책에 따라 패킷 전송을 수행하는 서비스 트래픽과, 게이트웨이(220)와 가상 머신(#1, #2, #3)이 패킷 전송을 위한 인터랙션 수행 시 초기 경로 정책에 반하여 해당 경로를 경로 우회 가상 머신(210)으로 우회하는 서비스 트래픽을 포함한다.The service traffic type is set according to a desired traffic service in the cloud service
상기 클라우드 서비스 내부 네트워크(202) 내 경로 우회 가상 머신(210)에서 강제적 혹은 자동적으로 전원이 차단되는 경우 상기 ARP 변경 요청 패킷 전송이 중지되고, 게이트웨이(220)와 소정 가상 머신이 직접 인터페이스되어 기설정된 패킷 전송을 위한 정책에 따라 패킷 전송을 수행한다.When the power is turned off forcibly or automatically in the path bypass
계속해서, 상기 복수의 가상 머신(가상 머신#1, 2, 3)은 가상 OS(204, 206)를 기반으로 생성되어 상기 경로 우회 가상 머신(210)으로부터 전송된 ARP 변경 요청 패킷에 따라 게이트웨이(220) 간 인터랙션을 통해 생성된 ARP 캐쉬가 ARP 테이블(203)에서 폐기된다.Then, the plurality of virtual machines (
상기 게이트웨이(220)는 소정의 가상 머신과 인터랙션을 통해 생성된 ARP 캐쉬를 기반으로 ARP 테이블(205)이 생성되고, 상기 경로 우회 가상 머신(210)으로부터 전송된 ARP 변경 요청 패킷에 따라 상기 ARP 캐쉬가 ARP 테이블(209)에서 폐기된다.
The ARP table 205 is generated based on the ARP cache generated through the interaction with a predetermined virtual machine and the
도 3은 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템에 있어서, 경로 우회 가상 머신 내 ARP 처리부에 관한 것이다.FIG. 3 is a flow chart illustrating a method of providing a cloud security service through traffic control in a cloud service network according to an exemplary embodiment of the present invention.
도 3을 참조하면, 가상머신 #3은 클라우드 서비스 네트워크에서 신규로 추가된 가상머신(#3)은 클라우드 서비스 네트워크에서 신규로 추가된 가상머신으로 ARP처리부(312)는 3단계 처리단계로 동작된다.3, the
1단계는 신규로 생성된 가상머신#3에서 ARP 요청을 하고, 게이트웨이(320)는 게이트웨이(320)는 IP, MAC (10.1.1.11, a) 으로 응답을 하게 된다. In the first step, an ARP request is made in the newly created
반대로 게이트웨이(320)에서 ARP 요청을 하고, 가상머신#3은 IP, MAC (10.01.1.102, d) 로 응답을 하게 된다. Conversely, the
2단계에서는 1단계 ARP 수행과정에서 내부 네트워크로 브로드캐스트 되는 정보를 ARP 테이블 DB(30)에 저장 및 관리된다.In the second step, the information broadcast to the internal network in the first step ARP process is stored and managed in the
3단계는 가상머신#3 과 게이트웨이(320)의 서로 간의 MAC 을 사용하지 않고 경로 우회 가상 머신(310)으로 경유하도록 하기 위한 방법으로 ARP 변경요청을 가상머신#3 과 게이트웨이(320)로 전송하는 단계이다. The third step is to send an ARP change request to the
더욱 상세하게는, ARP 처리모듈(314)은 가상머신#3 ARP 캐쉬 기반 ARP 테이블(31) 및 게이트웨이(320)의 ARP 테이블(32)를 변경시키기 위해, 가상머신#3 에 ARP 응답 패킷을 아이피, MAC(10.1.1.11, f) 전송하여 ARP 테이블(31)에 등록된 IP, MAC(10.0.1.11, a)을 폐기하도록 유도하고, 게이트웨이(320)에 ARP 요청패킷을 가지고 있는 IP, MAC(10.1.1.102, f) 를 전송하여 ARP 테이블(31)에 등록된 IP, MAC(10.1.1.102, d)폐기하도록 한다. More specifically, the
이와 같은 폐기 동작은 게이트웨이(320)와 가상머신#3 에서 정상적으로 보내는 ARP 응답을 할 경우가 발생할 수 있으므로 주기적으로 ARP 변경이 실행되어야 한다. 서비스 패킷 흐름의 경로가 유지되지 않는 상황이 되면 ARP 요청 및 응답을 관여하지 않기 때문에 우회되지 않은 구성으로 복구된다. 이런 기능은 경로 우회 가상 머신(310)이 다운되는 경우에도 가상 머신들과 외부망의 연속성을 유지시켜 줄 수 있는 특징이 될 수 있다.
Such a dismounting operation may occur when an ARP response is normally transmitted from the
도 4는 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템에 있어서, 외부망으로부터 경로 우회 가상 머신을 경유하여 내부 가상 머신으로 전송되는 트래픽 처리에 관한 예시도이다.FIG. 4 is a diagram illustrating traffic processing to be transmitted from an external network to an internal virtual machine via a path bypass virtual machine in a cloud security service providing system through traffic control in a cloud service network according to an embodiment of the present invention .
도 4는 상술한 도 3에서 실시되는 ARP 처리부에 의해서 서비스 흐름이 변경된 상태로, 도 4을 참조하면, 게이트웨이(420)에 의해 ARP 테이블(42)를 사용하여 목적지MAC(f), 소스MAC(a), 목적지 아이피 (10.1.1.100), 소스 아이피(100. 1. 1. 11) 로 이더넷 프레임이 변경되어 전송된다.4, the service flow is changed by the ARP processing unit of FIG. 3. Referring to FIG. 4, the destination MAC (f), the source MAC a), the destination IP (10.1.1.100), and the source IP (100. 1.1.11).
일반적인 레이어2(L2) 스위치 기능을 통해 목적지 MAC(f) 는 MAC값이 f를 갖는 경로 우회 가상 머신(410)으로 트래픽이 전달된다.Through the general layer 2 (L2) switch function, the destination MAC (f) carries traffic to the path bypass
트래픽 모니터링부(414)의 MAC 변경 모듈(417)은 ARP 테이블 DB(40)를 참조하여 목적지MAC(b), 소스MAC(f), 목적지 아이피 (10.1.1.100), 소스 아이피(100. 1. 1. 11)로 변경하고 재전송한다. The
재전송전 트래픽 모니터링 모듈(415)에서는 해당 패킷의 유해성을 확인하고, 보안에 위배되는 패킷인 경우는 재전송하지 않도록 하여 가상머신#1 을 보호하는 기능을 할 수 있다. 따라서 외부망에서 가상머신으로 전달되는 패킷은 항상 경로우회트래픽감사가상머신으로 수신되어 처리될 수 있다.
The
도 5는 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템에 있어서, 내부 가상 머신으로부터 경로 우회 가상 머신을 경유하여 외부망으로 전송되는 트래픽 처리에 관한 예시도이다.5 is a diagram illustrating an example of traffic processing that is transmitted from an internal virtual machine to a foreign network via a path bypass virtual machine in a cloud security service providing system through traffic control in a cloud service network according to an embodiment of the present invention .
도 5는 상술한 도 3에서 실시되는 ARP 처리부에 의해서 서비스 흐름이 변경된 상태로서, 가상머신#1는 ARP 테이블(53)를 참조하여 목적지MAC(f), 소스MAC(b), 목적지 아이피 (100.1.1.11), 소스 아이피(10. 1. 1. 100) 로 이더넷 프레임으로 전송된다. 목적지 MAC(f) 는 MAC값이 f를 갖는 경로 우회 가상 머신으로 항상 수신된다. 트래픽 모니터링부(514)의 MAC 변경모듈(517)은 ARP 테이블 DB(50)를 참조하여 목적지MAC(a), 소스MAC(f), 목적지 아이피 (100.1.1.11), 소스 아이피(10. 1. 1. 100)로 변경하고 재전송한다. 5 is a state in which the service flow is changed by the ARP processor implemented in the above-described FIG. 3. The
재전송전에는 트래픽 모니터링 모듈(515)에서는 해당 패킷의 유해성을 확인하고, 보안에 위배되는 패킷인 경우는 재전송하지 않도록 하여 가상 머신#1에서의 정보 유출을 보호할 수 있다. 목적지MAC(a) 는 MAC값이 a를 갖는 게이트웨이 장비가 수신된다. 따라서 클라우드 내부의 가상머신에서 외부망으로 전달되는 패킷은 항상 경로 우회 가상 머신(510)으로 수신되어 처리될 수 있다.
Before the retransmission, the
상기와 같이 본 발명에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법 및 시스템에 관한 동작이 이루어질 수 있으며, 한편 상기한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나 여러 가지 변형이 본 발명의 범위를 벗어나지 않고 실시될 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 청구범위와 청구범위의 균등한 것에 의하여 정하여져야 할 것이다.As described above, the method and system for providing cloud security service through traffic control in the cloud service network according to the present invention can be performed. Meanwhile, while the present invention has been described with respect to specific embodiments, And can be practiced without departing from the scope of the invention. Accordingly, the scope of the present invention should not be limited by the illustrated embodiments, but should be determined by equivalents of the claims and the claims.
202: 클라우드 서비스 네트워크 210: 경로 우회 가상 머신 212: ARP 처리부 214: 트래픽 모니터링부 215: 트래픽 모니터링 모듈 217: MAC 변경 모듈
219: 브로트케스트처리 모듈 220: 게이트웨이202: a cloud service network 210: a path bypass virtual machine 212: an ARP processing unit 214: a traffic monitoring unit 215: a traffic monitoring module 217:
219: Broadcast processing module 220: Gateway
Claims (16)
가상화된 컴퓨팅 자원(resource)이 할당된 복수의 가상 머신을 통해 가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크에서 가상 머신별 발생된 ARP(Address Resolution Protocol) 패킷이 브로드캐스팅되는 과정과,
상기 브로드캐스팅된 ARP 패킷으로부터 IP 주소와 MAC 주소를 수집하고, 수집된 상기 IP 주소와 MAC 주소 기반 ARP 테이블 DB를 생성하는 과정과,
상기 내부 네트워크의 인그래스(ingress)/이그레스(egress) 패킷을 관리하는 경로 우회 가상 머신을 통해 상기 경로 우회 가상 머신의 MAC 주소에 대응되는 ARP 패킷을 기설정된 주기별로 가상 OS 기반 네트워크로 전송하여 상기 가상 OS를 기반으로 생성된 가상 머신과, 상기 가상 머신과 인터랙션을 수행하는 통신 기기에서 발생된 트래픽을 기설정된 정책(policy) 정보에 따라 제어하는 과정을 포함하고,
상기 기설정된 정책 정보는,
클라우드 서비스 네트워크 내 게이트웨이에서 가상 머신으로 소정 패킷을 전송하는 경우 혹은 가상 머신에서 게이트웨이로 소정 패킷을 전송하는 경우, 상기 가상 머신 혹은 게이트웨이로부터 ARP 요청 패킷의 응답으로 수신된 ARP 응답을 기반으로 초기 경로 정책에 반하여 설정된 서비스 트래픽 타입에 따라 갱신된 ARP 테이블 DB를 참조하여 해당 패킷의 이더넷 프레임을 변경하여 전송하면, 상기 이더넷 프레임의 MAC 주소에 대응되는 경로 우회 가상 머신으로 경로가 경유되도록 제어함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 방법.A method for providing a cloud security service through traffic control in a cloud service network,
The method comprising: broadcasting an ARP (Address Resolution Protocol) packet generated by a virtual machine in an internal network of a cloud server system providing a virtualized computing environment through a plurality of virtual machines to which virtualized computing resources are allocated;
Collecting an IP address and a MAC address from the broadcasted ARP packet and generating an IP address and a MAC address based ARP table DB;
The ARP packet corresponding to the MAC address of the path-bypassing virtual machine is transmitted to the virtual OS-based network in a predetermined cycle through a path bypass virtual machine for managing an ingress / egress packet of the internal network Controlling a traffic generated in a virtual machine created based on the virtual OS and a communication device performing an interaction with the virtual machine according to preset policy information,
Wherein the predetermined policy information comprises:
When a predetermined packet is transmitted from a gateway in a cloud service network to a virtual machine or a packet is transmitted from a virtual machine to a gateway, an initial path policy based on an ARP response received in response to an ARP request packet from the virtual machine or gateway When the Ethernet frame of the corresponding packet is changed by referring to the updated ARP table DB according to the service traffic type set in response to the set service traffic type, the path is routed to the path bypass virtual machine corresponding to the MAC address of the Ethernet frame. A method of providing a cloud security service for traffic control in a cloud service network.
상기 내부 네트워크에서 가상 머신으로부터 ARP 요청 패킷이 스캐터링된 경우, 게이트웨이에서 기설정된 정책 정보에 따라 할당된 IP 주소와 MAC 주소가 포함된 ARP 응답을 수행하고, 상기 게이트웨이의 ARP 응답을 통해 생성된 ARP 캐쉬를 이용하여 상기 게이트웨이와 가상 머신 간의 패킷 전송을 위한 인터랙션(interaction)을 수행하는 과정과,
상기 인터랙션을 통해 생성된 ARP 캐쉬 기반 ARP 테이블 DB를 구축하여 관리하는 과정과,
서비스 트래픽 타입에 따라 게이트웨이와 가상 머신 간 인터렉션을 통해 생성된 ARP 캐쉬를 폐기하기 위해 ARP 변경 요청 패킷을 기설정된 주기별로 상기 게이트웨이 및 가상 머신에 각각 전송하는 과정과,
상기 ARP 변경 요청 패킷에 따라 상기 ARP 캐쉬가 갱신되어 게이트웨이와 신규 생성된 가상 머신별 발생 트래픽이 MAC 주소에 대응되는 경로 우회 가상 머신으로 우회하는 과정을 포함함을 특징으로 하는 클라우스 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법.The method according to claim 1,
When an ARP request packet is scattered from a virtual machine in the internal network, an ARP response including an IP address and a MAC address allocated according to the policy information set in the gateway is performed, and the ARP response generated by the ARP response of the gateway Performing an interaction for packet transmission between the gateway and the virtual machine using a cache,
Constructing and managing an ARP cache-based ARP table DB generated through the interaction;
Transmitting an ARP change request packet to the gateway and the virtual machine at predetermined intervals in order to discard the ARP cache generated through the interaction between the gateway and the virtual machine according to the service traffic type;
The ARP cache is updated according to the ARP change request packet, and the generated traffic for each virtual machine generated by the gateway is bypassed to a path bypass virtual machine corresponding to the MAC address. To provide cloud security services.
상기 내부 네트워크 내 경로 우회 가상 머신에서 강제적 혹은 자동적으로 전원이 차단되는 경우 상기 ARP 변경 요청 패킷 전송이 중지되고, 게이트웨이와 가상 머신이 직접 인터페이스되어 기설정된 패킷 전송을 위한 정책에 따라 패킷 전송을 수행하는 과정을 더 포함함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 방법.3. The method of claim 2,
When the power is forcibly or automatically turned off in the path bypassing virtual machine in the internal network, the ARP change request packet transmission is stopped, and the gateway and the virtual machine are directly interfaced to perform packet transmission according to a policy for the predetermined packet transmission The method of claim 1, further comprising the steps of:
상기 게이트웨이와 가상 머신 간 패킷 전송을 위한 인터렉션을 통해 생성된 ARP 캐쉬에서 IP 주소 및 MAC 주소를 폐기하도록 유도하는 것으로, 클라우드 서비스 네트워크에서 내부 및 외부 네트워크 인그래스/이그레스 트래픽 중 소정 서비스 트래픽 흐름에 대하여 초기 경로 정책에 반하여 해당 경로를 우회하기 위해 상기 경로 우회 가상 머신으로부터 전송됨을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 방법.The method of claim 2, wherein the ARP change request packet includes:
The method comprising the steps of: (a) in the ARP cache created through the interaction between the gateway and the virtual machine, discarding an IP address and a MAC address from the ARP cache; Wherein the path is bypassed from the path bypass virtual machine in order to bypass the path against the initial path policy in the cloud service network.
상기 기설정된 정책 정보에 따라 우회되어 게이트웨이로부터 수신된 패킷의 이더넷 프레임을 ARP 테이블 DB를 참조하여 인터랙션이 수행된 MAC 주소로 변경하여 재전송함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 방법.The method according to claim 1,
Wherein the network control unit changes the Ethernet frame of the packet received from the gateway according to the preset policy information to the MAC address on which the interaction has been performed by referring to the ARP table DB and retransmits the MAC address to the MAC address of the cloud service network. Delivery method.
상기 경로 우회 가상 머신을 통해 관리되는 것으로, 클라우드 서비스 네트워크에 기설정된 정책 정보에 따라 가상 OS 기반 복수의 가상 머신과 게이트웨이 간 데이터 통신을 위해 상기 게이트웨이와 가상 머신별로 출력되는 IP 주소와 MAC 주소가 매핑되어 주기별 서비스 트래픽 타입에 따라 유지되거나 갱신됨을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 방법.3. The method of claim 2, wherein the ARP table (DB)
The IP address and the MAC address output by the gateway and the virtual machine are mapped for data communication between the plurality of virtual machines based on the virtual OS and the gateway according to the policy information set in the cloud service network, Wherein the service traffic type is maintained or updated according to a service traffic type for each cycle.
게이트웨이와 가상 머신이 직접 인터페이스되어 기설정된 패킷 전송을 위한 정책에 따라 패킷 전송을 수행하는 서비스 트래픽과, 게이트웨이와 가상 머신이 패킷 전송을 위한 인터랙션 수행 시 초기 경로 정책에 반하여 해당 경로를 경로 우회 가상 머신으로 우회하는 서비스 트래픽을 포함함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 방법.3. The method of claim 2,
The service traffic that performs packet transmission according to the policy for the packet transmission that is directly interfaced with the gateway and the virtual machine, and the bypass route when the gateway and the virtual machine perform the interaction for packet transmission, The method of claim 1, wherein the service traffic includes a service traffic that is bypassed to the cloud service network.
가상화된 컴퓨팅 자원(resource)이 할당된 복수의 가상 머신을 통해 가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크에서 브로드캐스팅된 가상 머신별 ARP(Address Resolution Protocol) 패킷으로부터 IP 주소와 MAC 주소를 수집하고, 수집된 상기 IP 주소와 MAC 주소 기반 ARP 테이블 DB를 생성하고, 자신의 MAC 주소에 대응되는 ARP 변경 요청 패킷을 기설정된 주기별로 가상 OS 기반 네트워크로 전송하여 상기 가상 OS를 기반으로 생성된 가상 머신과, 상기 가상 머신과 인터랙션을 수행하는 통신 기기에서 발생된 트래픽을 기설정된 정책(policy) 정보에 따라 제어하는 경로 우회 가상 머신과,
가상 OS를 기반으로 생성되어 상기 경로 우회 가상 머신으로부터 전송된 ARP 변경 요청 패킷에 따라 게이트웨이 간 인터랙션을 통해 생성된 ARP 캐쉬가 ARP 테이블에서 폐기되는 가상 머신과,
상기 가상 OS를 기반으로 생성된 가상 머신과 인터랙션을 통해 생성된 ARP 캐쉬를 기반으로 ARP 테이블이 생성되고, 상기 경로 우회 가상 머신으로부터 전송된 ARP 변경 요청 패킷에 따라 상기 ARP 캐쉬가 ARP 테이블에서 폐기되는 게이트웨이를 포함하고,
상기 기설정된 정책 정보는,
클라우드 서비스 네트워크 내 게이트웨이에서 가상 머신으로 소정 패킷을 전송하는 경우 혹은 가상 머신에서 게이트웨이로 소정 패킷을 전송하는 경우, 상기 가상 머신 혹은 게이트웨이로부터 ARP 요청 패킷의 응답으로 수신된 ARP 응답을 기반으로 초기 경로 정책에 반하여 설정된 서비스 트래픽 타입에 따라 갱신된 ARP 테이블 DB를 참조하여 해당 패킷의 이더넷 프레임을 변경하여 전송하면, 상기 이더넷 프레임의 MAC 주소에 대응되는 경로 우회 가상 머신으로 경로가 경유되도록 제어함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 시스템.A cloud security service providing system for traffic control in a cloud service network,
The IP address and the MAC address from the ARP (Address Resolution Protocol) packet for each virtual machine broadcasted in the internal network of the cloud server system that provides a virtualized computing environment through a plurality of virtual machines to which virtualized computing resources are allocated Generates an ARP table DB based on the collected IP address and MAC address, transmits an ARP change request packet corresponding to the MAC address of the ARP change request packet to the virtual OS based network according to a predetermined period, A path bypass virtual machine for controlling traffic generated in a communication device performing an interaction with the virtual machine according to predetermined policy information;
A virtual machine that is created based on a virtual OS and that is created in an ARP change request packet transmitted from the path bypass virtual machine,
An ARP table is generated based on an ARP cache generated through interaction with a virtual machine created based on the virtual OS, and the ARP cache is discarded in the ARP table according to an ARP change request packet transmitted from the path bypass virtual machine Gateway,
Wherein the predetermined policy information comprises:
When a predetermined packet is transmitted from a gateway in a cloud service network to a virtual machine or a packet is transmitted from a virtual machine to a gateway, an initial path policy based on an ARP response received in response to an ARP request packet from the virtual machine or gateway When the Ethernet frame of the corresponding packet is changed by referring to the updated ARP table DB according to the service traffic type set in response to the set service traffic type, the path is routed to the path bypass virtual machine corresponding to the MAC address of the Ethernet frame. A cloud security service providing system for traffic control in a cloud service network.
가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크에서 상기 내부 네트워크의 인그래스(ingress)/이그레스(egress) 패킷을 통합 관리함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 시스템.11. The virtual machine according to claim 10,
A method for providing a cloud security service for traffic control in a cloud service network, characterized by integrating and managing ingress / egress packets of the internal network in an internal network of a cloud server system providing a virtualized computing environment .
서비스 트래픽 타입에 따라 게이트웨이와 신규 생성된 가상 머신 간 인터렉션을 통해 생성된 ARP 캐쉬를 폐기하기 위해 ARP 변경 요청 패킷을 기설정된 주기별로 상기 게이트웨이 및 신규 생성된 가상 머신에 각각 전송하고, 상기 ARP 변경 요청 패킷에 따라 상기 ARP 캐쉬가 갱신되어 게이트웨이와 신규 생성된 가상 머신별 발생 트래픽이 상기 ARP 변경 요청 패킷의 MAC 주소에 대응되게 경로가 우회되도록 제어하는 ARP 처리부 및
상기 기설정된 정책 정보에 따라 게이트웨이로부터 수신된 패킷의 이더넷 프레임을 ARP 테이블 DB를 참조하여 변경하여 해당 가상 머신으로 재전송하되, 상기 게이트웨이로부터 수신된 패킷의 유해성 여부를 기설정된 정책 정보에 따라 판단하여 판단 결과에 따라 해당 패킷의 재전송 여부를 결정하는 트래픽 모니터링부를 포함함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 시스템.11. The virtual machine according to claim 10,
An ARP change request packet is transmitted to the gateway and the newly created virtual machine in order to discard the ARP cache generated through the interaction between the gateway and the newly created virtual machine according to the service traffic type, An ARP processing unit for updating the ARP cache according to the packet and controlling the generated traffic for each virtual machine generated by the gateway to bypass the path corresponding to the MAC address of the ARP change request packet;
Determines whether or not the packet received from the gateway is harmful according to predetermined policy information, and transmits the Ethernet frame to the corresponding virtual machine by referring to the ARP table DB according to the preset policy information, And a traffic monitoring unit for determining whether to retransmit the packet according to a result of the determination.
상기 ARP 처리부를 통해 생성되어 게이트웨이와 가상 머신 간 패킷 전송을 위한 인터렉션을 통해 생성된 ARP 캐쉬에서 IP 주소 및 MAC 주소를 폐기하도록 유도하는 것으로, 클라우드 서비스 네트워크에서 내부 및 외부 네트워크 인그래스/이그레스 트래픽 중 소정 서비스 트래픽 흐름에 대하여 초기 경로 정책에 반하여 해당 경로를 우회하기 위해 상기 경로 우회 가상 머신으로부터 전송됨을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 시스템.13. The method of claim 12, wherein the ARP change request packet comprises:
The ARP cache is generated through the ARP processing unit and generated through the interaction for the packet transmission between the gateway and the virtual machine. In this way, in the cloud service network, the Grass / Wherein the route guidance is transmitted from the path bypass virtual machine to bypass the path in response to the initial path policy for the predetermined service traffic flow.
상기 경로 우회 가상 머신을 통해 관리되는 것으로, 클라우드 서비스 네트워크에 기설정된 정책 정보에 따라 가상 OS 기반 복수의 가상 머신과 게이트웨이 간 데이터 통신을 위해 상기 게이트웨이와 가상 머신별로 출력되는 IP 주소와 MAC 주소가 매핑되어 주기별 서비스 트래픽 타입에 따라 유지되거나 갱신됨을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 시스템.11. The method of claim 10, wherein the ARP table DB comprises:
The IP address and the MAC address output by the gateway and the virtual machine are mapped for data communication between the plurality of virtual machines based on the virtual OS and the gateway according to the policy information set in the cloud service network, And is maintained or updated according to the type of service traffic for each cycle. The system for providing cloud security service for traffic control in a cloud service network.
게이트웨이와 가상 머신이 직접 인터페이스되어 기설정된 패킷 전송을 위한 정책에 따라 패킷 전송을 수행하는 서비스 트래픽과, 게이트웨이와 가상 머신이 패킷 전송을 위한 인터랙션 수행 시 초기 경로 정책에 반하여 해당 경로를 경로 우회 가상 머신으로 우회하는 서비스 트래픽을 포함함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 시스템.
13. The method of claim 12,
The service traffic that performs packet transmission according to the policy for the packet transmission that is directly interfaced with the gateway and the virtual machine, and the bypass route when the gateway and the virtual machine perform the interaction for packet transmission, And a service traffic to be detoured to the cloud service network. The system for providing a cloud security service for traffic control in a cloud service network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140025482A KR101541350B1 (en) | 2014-03-04 | 2014-03-04 | Method and system for providing cloud security service using traffic control in cloud service network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140025482A KR101541350B1 (en) | 2014-03-04 | 2014-03-04 | Method and system for providing cloud security service using traffic control in cloud service network |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101541350B1 true KR101541350B1 (en) | 2015-08-05 |
Family
ID=53886323
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140025482A KR101541350B1 (en) | 2014-03-04 | 2014-03-04 | Method and system for providing cloud security service using traffic control in cloud service network |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101541350B1 (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180068514A (en) | 2016-12-14 | 2018-06-22 | 한국전자통신연구원 | Apparatus and method for providing virtual security service based on cloud |
CN109783188A (en) * | 2017-11-10 | 2019-05-21 | 英特尔公司 | Encryption memory ownership table for safe public cloud |
KR20190135128A (en) | 2018-05-28 | 2019-12-06 | (주)유엠로직스 | Security policy synchronization system and method based on meta data of 4-tier type CASB |
KR20190136305A (en) | 2018-05-30 | 2019-12-10 | (주)유엠로직스 | Load balancing system and method based on artificial intelligence for security control of 4-tier type CASB |
KR20190136329A (en) | 2018-05-30 | 2019-12-10 | (주)유엠로직스 | Access control management system and method of 4-tier type CASB |
KR102437825B1 (en) * | 2021-07-27 | 2022-08-30 | 지니언스(주) | Virtual inliine gateway apparatus, traffic control method and network system for providing dynamic network access control through it |
CN117176479A (en) * | 2023-11-02 | 2023-12-05 | 北京安博通科技股份有限公司 | Bypass decryption national cipher flow auditing method and device and electronic equipment |
-
2014
- 2014-03-04 KR KR1020140025482A patent/KR101541350B1/en active IP Right Grant
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180068514A (en) | 2016-12-14 | 2018-06-22 | 한국전자통신연구원 | Apparatus and method for providing virtual security service based on cloud |
CN109783188A (en) * | 2017-11-10 | 2019-05-21 | 英特尔公司 | Encryption memory ownership table for safe public cloud |
CN109783188B (en) * | 2017-11-10 | 2024-04-09 | 英特尔公司 | Cryptographic memory ownership table for secure public cloud |
KR20190135128A (en) | 2018-05-28 | 2019-12-06 | (주)유엠로직스 | Security policy synchronization system and method based on meta data of 4-tier type CASB |
KR20190136305A (en) | 2018-05-30 | 2019-12-10 | (주)유엠로직스 | Load balancing system and method based on artificial intelligence for security control of 4-tier type CASB |
KR20190136329A (en) | 2018-05-30 | 2019-12-10 | (주)유엠로직스 | Access control management system and method of 4-tier type CASB |
KR102437825B1 (en) * | 2021-07-27 | 2022-08-30 | 지니언스(주) | Virtual inliine gateway apparatus, traffic control method and network system for providing dynamic network access control through it |
CN117176479A (en) * | 2023-11-02 | 2023-12-05 | 北京安博通科技股份有限公司 | Bypass decryption national cipher flow auditing method and device and electronic equipment |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101541350B1 (en) | Method and system for providing cloud security service using traffic control in cloud service network | |
CN110677379B (en) | Method and apparatus for blocking, detecting and/or preventing malicious traffic | |
US11336696B2 (en) | Control access to domains, servers, and content | |
US11165869B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
TWI727059B (en) | Method and device for processing network traffic | |
CN105634998B (en) | Method and system for unified monitoring of physical machine and virtual machine in multi-tenant environment | |
EP2632115B1 (en) | A gateway for communication in a tactical network | |
JP6037016B2 (en) | Method and apparatus for determining virtual machine migration | |
WO2015058626A1 (en) | Virtual network function network elements management method, device and system | |
US10389628B2 (en) | Exposing a subset of hosts on an overlay network to components external to the overlay network without exposing another subset of hosts on the overlay network | |
US20190297057A1 (en) | Dynamic firewall configuration and control for accessing services hosted in virtual networks | |
US20140297774A1 (en) | System for managing configuration updates in cluster of computational devices | |
US20200252334A1 (en) | Methods and Apparatuses for Flexible Mobile Steering in Cellular Networks | |
CN109617753B (en) | Network platform management method, system, electronic equipment and storage medium | |
KR20160002260A (en) | SDN-based network monitoring virtualization system and method therefor | |
EP3982600A1 (en) | Qos policy method, device, and computing device for service configuration | |
KR102376493B1 (en) | NFV based messaging service security providing method and system for the same | |
KR20160118813A (en) | Gateway device being connected to remote server through mobile network and ip management method thereof | |
JP2013134711A (en) | Medical cloud system | |
Cisco | Frame Relay Commands | |
Cisco | Frame Relay Commands | |
Cisco | Frame Relay Commands | |
US20180123913A1 (en) | Method and network entity for control of value added service (vas) | |
KR20170006950A (en) | Network flattening system based on sdn and method thereof | |
CN114095357B (en) | Service system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20180730 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20190729 Year of fee payment: 5 |