KR101969209B1 - Access control method and apparatus in SFC - Google Patents

Access control method and apparatus in SFC Download PDF

Info

Publication number
KR101969209B1
KR101969209B1 KR1020170030060A KR20170030060A KR101969209B1 KR 101969209 B1 KR101969209 B1 KR 101969209B1 KR 1020170030060 A KR1020170030060 A KR 1020170030060A KR 20170030060 A KR20170030060 A KR 20170030060A KR 101969209 B1 KR101969209 B1 KR 101969209B1
Authority
KR
South Korea
Prior art keywords
packet
service function
information
sfc
function module
Prior art date
Application number
KR1020170030060A
Other languages
Korean (ko)
Other versions
KR20180068832A (en
Inventor
김영한
부안부
양현식
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Publication of KR20180068832A publication Critical patent/KR20180068832A/en
Application granted granted Critical
Publication of KR101969209B1 publication Critical patent/KR101969209B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

SFC(service function chaining)에서의 접근 제어 방법 및 그 장치가 개시된다. SFC(service function chaining)에서의 접근 제어를 수행하는 장치는, 각각의 서비스 기능 모듈에 대한 접근 허가 정책에 대한 룰을 저장하는 저장부; 패킷을 수신하는 수신부; 및 상기 패킷을 분석하여 상기 패킷이 전달될 서비스 기능 모듈에 대응하는 룰에 따라 상기 패킷에 대해 특정 액션을 적용하는 패킷 처리부를 포함한다. Disclosed are a method and apparatus for access control in service function chaining (SFC). An apparatus for performing access control in service function chaining (SFC) includes: a storage unit which stores a rule for an access permission policy for each service function module; Receiving unit for receiving a packet; And a packet processing unit for analyzing the packet and applying a specific action to the packet according to a rule corresponding to a service function module to which the packet is to be delivered.

Description

SFC(service function chaining)에서의 접근 제어 방법 및 그 장치{Access control method and apparatus in SFC}Access control method and apparatus in service function chaining (SFC)

본 발명은 SFC(service function chaining)에서의 접근 제어 방법 및 그 장치에 관한 것이다.The present invention relates to a method and apparatus for access control in service function chaining (SFC).

NFV(Network Functions Virtualization) 시스템은 네트워크 기능을 소프트웨어적으로 가상화하여 제어 및 관리하는 기술이다. 특히 이러한 가상 네트워크 기능들을 순서화하여 연결 및 실행하는 서비스 기능 체이닝(SFC: Service Function Chaining) 기술은 주요 네트워크 서비스들의 자동화 및 커스터마이징을 가능케 한다는 점에서 NFV의 차기 연구 이슈로 주목을 받고 있다. 서비스 기능 체이닝 기술은 ETSI NFV ISG에서 VNF 포워딩 그래프라는 이름으로 기능 모델이 개발 중이며, IETF SFC WG에서 세부 기능 구조 및 프로토콜의 표준화가 진행 중이다.Network Functions Virtualization (NFV) system is a technology that controls and manages network functions by software virtualization. In particular, Service Function Chaining (SFC), which orders and connects and executes these virtual network functions, is drawing attention as the next research issue of NFV in that it enables automation and customization of major network services. Service function chaining technology is being developed under the name of VNF forwarding graph in ETSI NFV ISG and standardization of detailed function structure and protocol in IETF SFC WG.

서비스 기능 체이닝은 가상화된 환경에서 네트워크 오퍼레이터가 새로운 서비스 기능(SF: Service Function)을 동적으로 만들 수 있고, 서비스 기능에 대한 설정 복잡성을 줄일 수 있다. 서비스 기능 체이닝은 서비스 기능들의 순서화된 집합이고, 서비스 기능은 stateful SF 및 stateless SF으로 분류된다. 여기서, stateful SF는 state 정보들을 가지고 있어야 동작하는 SF를 의미하고, stateless SF는 state 정보들이 없이도 동작할 수 있는 SF를 의미한다. Service function chaining allows network operators to dynamically create new service functions (SFs) in a virtualized environment and reduce the complexity of setting up service functions. Service function chaining is an ordered set of service functions, and service functions are classified into stateful SFs and stateless SFs. Here, stateful SF refers to SF that operates only with state information, and stateless SF refers to SF that can operate without state information.

이러한, SFC는 NSH 헤더에 SFC 동작과 관련된 정보들을 추가하고 캡슐화할 수 있다. 그러나, NSH 헤더에는 유저와 관련된 중요정보도 포함되므로 감염된 SF나 확인되지 않은 3rd 서비스 제공자의 기능에 의해서 정보들이 감염되거나 유출되는 문제점이 있다. Such an SFC may add and encapsulate information related to the SFC operation in the NSH header. However, NSH header, there is a problem that the information that the infection or leakage of important information by including so-infected SF or unverified 3 rd service provider functions associated with the user.

본 발명은 SFC(service function chaining)에서의 접근 제어 방법 및 그 장치를 제공하기 위한 것이다.The present invention is to provide a method and apparatus for access control in service function chaining (SFC).

또한, 본 발명은 SFC에 속한 SF들이 정해진 정책에 따라 정보에 접근이 가능토록 할 수 있는 SFC(service function chaining)에서의 접근 제어 방법 및 그 장치를 제공하기 위한 것이다.Another object of the present invention is to provide a method and apparatus for controlling access in service function chaining (SFC), in which SFs belonging to an SFC can access information according to a predetermined policy.

본 발명의 일 측면에 따르면, SFC(service function chaining)에서의 서비스 기능 체이닝에 따른 접근을 제어하는 장치가 제공된다.According to an aspect of the present invention, an apparatus for controlling access according to service function chaining in service function chaining (SFC) is provided.

본 발명의 일 실시예에 따르면, SFC상의 네트워크 장치에 있어서, 각각의 서비스 기능 모듈에 대한 접근 허가 정책에 대한 룰을 저장하는 저장부; 패킷을 수신하는 수신부; 및 상기 패킷을 분석하여 상기 패킷이 전달될 서비스 기능 모듈에 대응하는 룰에 따라 상기 패킷에 대해 특정 액션을 적용하는 패킷 처리부를 포함하는 네트워크 장치가 제공될 수 있다.According to an embodiment of the present invention, a network device on an SFC, comprising: a storage unit which stores a rule for an access permission policy for each service function module; Receiving unit for receiving a packet; And a packet processing unit for analyzing the packet and applying a specific action to the packet according to a rule corresponding to a service function module to which the packet is to be delivered.

상기 특정 액션은 상기 룰에 따라 상기 패킷의 일부 정보를 삭제하는 동작일 수 있다.The specific action may be an operation of deleting some information of the packet according to the rule.

상기 패킷 처리부는, 상기 패킷을 분석하여 상기 패킷이 전달될 서비스 기능 모듈로의 플로우 정보를 저장하되, 상기 플로우 정보는 SFC 컨트롤러를 통해 다른 네트워크 장치로 전송될 수 있다.The packet processor may analyze the packet and store flow information to a service function module to which the packet is to be delivered, and the flow information may be transmitted to another network device through an SFC controller.

상기 플로우 정보에 기반하여 상기 특정 액션이 적용된 패킷을 상기 서비스 기능 모듈로 전달하는 송신부를 더 포함할 수 있다.The apparatus may further include a transmitter configured to transmit the packet to which the specific action is applied based on the flow information to the service function module.

본 발명의 다른 실시예에 따르면, SFC상의 네트워크 장치에 있어서, 서비스 기능 모듈(SF: service function)로부터 패킷을 수신하는 수신부; 및 저장된 플로우 정보에 상기 패킷이 매칭되는 경우, 상기 플로우 정보를 참조하여 상기 패킷에 대한 복원 액션을 수행하는 패킷 처리부를 포함하는 네트워크 장치가 제공될 수 있다.According to another embodiment of the present invention, a network device on an SFC, comprising: a receiving unit for receiving a packet from a service function module (SF); And a packet processor configured to perform a recovery action on the packet by referring to the flow information when the packet matches the stored flow information.

상기 복원 액션은 상기 패킷에 대응하는 접근 허가 정책에 따라 삭제된 일부 정보를 복원하는 동작일 수 있다.The restoration action may be an operation of restoring deleted information according to an access permission policy corresponding to the packet.

상기 프로세서는, 상기 패킷 처리부는, 상기 패킷이 상기 플로우 정보에 매칭되지 않으면 상기 패킷을 폐기할 수 있다.The processor may discard the packet if the packet does not match the flow information.

본 발명의 다른 측면에 따르면, SFC(service function chaining)에서의 접근 제어 방법이 제공된다. According to another aspect of the present invention, an access control method in service function chaining (SFC) is provided.

본 발명의 일 실시예에 따르면, SFC의 접근 제어 방법에 있어서, 패킷을 수신하는 단계; 및 상기 패킷의 다음 홉이 특정 서비스 기능 모듈인 경우, 상기 특정 서비스 기능 모듈에 대응하는 룰에 따라 상기 패킷에 대해 특정 액션을 적용하는 단계를 포함하는 SFC 접근 제어 방법이 제공될 수 있다.According to an embodiment of the present invention, an SFC access control method includes: receiving a packet; And when the next hop of the packet is a specific service function module, applying a specific action to the packet according to a rule corresponding to the specific service function module.

본 발명의 다른 측면에 따르면, SFC의 접근 제어 방법에 있어서, 패킷을 수신하는 단계; 및 저장된 플로우 정보에 상기 패킷이 매칭되는 경우, 상기 플로우 정보를 참조하여 상기 패킷에 대한 복원 액션을 수행하는 단계를 포함하는 SFC 접근 제어 방법이 제공될 수 있다. According to another aspect of the present invention, an access control method of an SFC, the method comprising: receiving a packet; And when the packet is matched with the stored flow information, performing a recovery action on the packet with reference to the flow information.

본 발명의 일 실시예에 따른 SFC(service function chaining)에서의 접근 제어 방법 및 그 장치를 제공함으로써, SFC에 속한 SF들이 정해진 정책에 따라 정보에 접근이 가능하도록 할 수 있다.By providing a method and an apparatus for controlling access in service function chaining (SFC) according to an embodiment of the present invention, SFs belonging to the SFC can be accessed to the information according to a predetermined policy.

이를 통해, 본 발명은 감염된 SF나 미확인 서비스 제공자의 기능에 의해 중요 정보들이 감염되거나 유출되는 것을 방지할 수 있는 이점이 있다. Through this, the present invention has the advantage of preventing the infection or leakage of important information by the function of infected SF or unidentified service provider.

도 1은 본 발명의 일 실시예에 따른 네트워크 시스템을 개략적으로 도시한 도면.
도 2는 본 발명의 일 실시예에 따른 접근 허가 정책에 대한 계층적 구조를 설명하기 위해 도시한 도면.
도 3은 본 발명의 일 실시예에 따른 SFC에서의 패킷 처리 방법을 나타낸 순서도.
도 4은 본 발명의 일 실시예에 따른 SFF 장치의 내부 구성을 개략적으로 도시한 블록도.
도 5는 본 발명의 일 실시예에 따른 포워딩 룰에 따라 패킷에 상응하는 특정 동작을 수행하는 방법에 대해 설명하기 위해 도시한 도면.1 schematically illustrates a network system according to an embodiment of the invention.
2 is a diagram illustrating a hierarchical structure for an access permission policy according to an embodiment of the present invention.
3 is a flowchart illustrating a packet processing method in an SFC according to an embodiment of the present invention.
4 is a block diagram schematically illustrating an internal configuration of an SFF apparatus according to an embodiment of the present invention.
5 is a diagram illustrating a method of performing a specific operation corresponding to a packet according to a forwarding rule according to an embodiment of the present invention.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.As the invention allows for various changes and numerous embodiments, particular embodiments will be illustrated in the drawings and described in detail in the written description. However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all transformations, equivalents, and substitutes included in the spirit and scope of the present invention. In the following description of the present invention, if it is determined that the detailed description of the related known technology may obscure the gist of the present invention, the detailed description thereof will be omitted.

본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.In describing the present invention, when it is determined that the detailed description of the related known technology may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. In addition, numerals (eg, first, second, etc.) used in the description process of the present specification are merely identification symbols for distinguishing one component from another component.

또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.In addition, in the present specification, when one component is referred to as "connected" or "connected" with another component, the one component may be directly connected or directly connected to the other component, but in particular It is to be understood that, unless there is an opposite substrate, it may be connected or connected via another component in the middle.

이하, 첨부된 도면들을 참조하여 본 발명의 실시예를 상세히 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 네트워크 시스템을 개략적으로 도시한 도면이고, 도 2는 본 발명의 일 실시예에 따른 접근 허가 정책에 대한 계층적 구조를 설명하기 위해 도시한 도면이다.1 is a diagram schematically illustrating a network system according to an embodiment of the present invention, and FIG. 2 is a diagram illustrating a hierarchical structure for an access permission policy according to an embodiment of the present invention.

SFC(service function chaining)는 네트워크 이용자의 트래픽이 NAT, Firewall, IPS 등과 같은 네트워크 서비스 중에서 이용자에게 필요한 기능들만 선택적으로 경유하도록 하는 개념이다. 여기서, 서비스들은 물리적인 서버에서 동작할 수도 있고 가상머신 상에서 동작할 수도 있다.Service function chaining (SFC) is a concept that allows traffic of a network user to selectively pass only functions required by the user among network services such as NAT, firewall, and IPS. Here, the services may operate on a physical server or on a virtual machine.

본 발명의 일 실시예에 따른 SFC에서 가상의 서비스 기능들은 클라우드상에 설치되며, 이용자에게 필요한 기능들만 선택적으로 경유되도록 경로를 생성할 수 있다. In the SFC according to an embodiment of the present invention, the virtual service functions are installed on the cloud, and a path may be generated such that only functions required by the user are selectively passed through.

이해와 설명의 편의를 도모하기 위해 SFC를 구현하기 위한 개념을 간단히 정리하기로 한다.For ease of understanding and explanation, we will briefly summarize the concepts for implementing SFC.

서비스 기능(SF: service function)은 네트워크 서비스를 구성하는 컴포넌트 기능으로서 단일 패킷 혹은 트래픽을 처리한다. 해당 컴포넌트는 각 기능에 따른 논리적 개체를 지칭할 뿐, 실제 동작을 위한 인스턴스(instance)는 소프트웨어적으로 공유된 네트워크 자원, 혹은 물리적 전용 장비에 탑재되어 실행되며 단일 서비스 기능에 대해 하나 이상의 인스턴스가 존재할 수 있다. Service function (SF) is a component function that composes a network service and processes a single packet or traffic. The component only refers to a logical entity for each function, and an instance for actual operation is executed by being installed on a network resource or physical dedicated device that is shared by software, and one or more instances exist for a single service function. Can be.

서비스 기능 체인(SFC: service function chain)은 수신한 패킷 혹은 트래픽을 어떤 서비스 기능이 어떠한 순서로 처리할 것인지를 나타내는 논리적 경로이다. 서비스 기능 체인은 네트워크 서비스 정책에 따라 정의되며, 각 체인은 트래픽별 분류(traffic classification) 기능에 따라 선택된다.A service function chain (SFC) is a logical path that indicates in which order a service function processes received packets or traffic. The service function chain is defined according to the network service policy, and each chain is selected according to the traffic classification function.

서비스 기능 전달 장치(SFF: service function forwarder)는 수신된 패킷을 SF 모듈에 전달하는 기능을 수행한다. SFF는 SFC encapsulation에서 전달된 정보에 따라 적어도 하나의 SF에 트래픽 또는 패킷을 전달할 수 있다. 또한, SFF는 패킷을 다른 SFF에 전달하는 기능을 수행할 수도 있다. 서비스 기능 전달 장치는 네트워크 장치로, 하기에서는 SFF 장치로 통칭하여 설명하기로 한다. The service function forwarder (SFF) performs a function of delivering the received packet to the SF module. The SFF may deliver traffic or packets to at least one SF according to information transmitted in SFC encapsulation. In addition, the SFF may perform a function of delivering a packet to another SFF. The service function delivery device is a network device, which will be collectively described as an SFF device.

도 1을 참조하면, 본 발명의 일 실시예에 따른 SFC는 SFC 컨트롤러(110), 적어도 하나의 서비스 기능 전달 장치(SFF: service function forwarder, 이하 SSF 장치라 칭함)(120) 및 적어도 하나의 서비스 기능 모듈(SF: service function, 이하 SF 모듈이라 칭함)(130)을 포함하여 구성된다. 여기서, SFC 컨트롤러(110)는 SFC상의 제어 평면에 위치하고 있으며, 적어도 하나의 SFF 장치(120) 및 적어도 하나의 SF 모듈(130)은 각각 SPC 데이터 평면에 위치된다. Referring to FIG. 1, an SFC according to an embodiment of the present invention may include an SFC controller 110, at least one service function forwarder (SFF) 120, and at least one service. It is configured to include a function module (SF: service function, hereinafter referred to as SF module) (130). Here, the SFC controller 110 is located in the control plane on the SFC, at least one SFF device 120 and at least one SF module 130 are each located in the SPC data plane.

SFC 컨트롤러(110)는 SFC에 속한 SF들이 정해진 정책에 따라 정보에 접근이 가능하도록 하는 제어하는 기능을 수행한다. The SFC controller 110 performs a function of controlling SFs belonging to the SFC to access information according to a predetermined policy.

SFC 컨트롤러(110)는 서비스 기능 체이닝 전체 또는 일부에 대한 접근 허가 정책을 외부에서 제공받은 후 이를 포워딩 룰로 변환하여 SFF 장치들로 전달할 수 있다. The SFC controller 110 may receive an access permission policy for all or part of the service function chaining from the outside and convert the SFC controller to a forwarding rule and transfer the same to the SFF devices.

SFC 컨트롤러(110)는 도 1에 도시된 바와 같이, 정책 API부(101), 허가 제어 전달 모듈(PCE: permission control enforcer)(102), 정책 보증 모듈(PA: policy assurance)(103), 드라이버 모듈(104)을 포함하여 구성된다. As shown in FIG. 1, the SFC controller 110 includes a policy API unit 101, a permission control enforcer (PCE) 102, a policy assurance module (PA) 103, and a driver. Module 104.

정책 API부(101)는 정책을 할당할 때 사용하는 일반적인 API들을 저장/관리하기 위한 수단이다.The policy API unit 101 is a means for storing / managing general APIs used when allocating a policy.

허가 제어 전달 모듈(102)은 SPC 데이터베이스 저장소에서 SPC 정보를 가져오고, 해당 SPC 정보를 이용하여 접근 허가 정책을 해석하여 포워딩 룰로 변환하는 기능을 수행한다. 도 1에는 별도로 도시되어 있지 않으나, 허가 제어 전달 모듈(102)은 SPC 데이터 평면상에도 존재할 수 있으며, 포워딩 룰 구성을 전달하는 기능을 수행한다.The admission control transfer module 102 takes the SPC information from the SPC database repository, interprets the access permission policy using the SPC information, and converts the access permission policy into a forwarding rule. Although not separately illustrated in FIG. 1, the admission control transfer module 102 may also exist on the SPC data plane and performs a function of transferring the forwarding rule configuration.

정책 보증 모듈(103)은 데이터 평면으로부터 모니터링 정보를 수집하고 허가 정책 적용에 대한 정확성을 확인하는 기능을 수행한다. 즉, 정책 보증 모듈(103)은 모니터링 정보를 SF의 정책 위반을 탐지하기 위해 분석한다. 또한, 포워딩 룰 구성 조성을 위해 분석 결과를 허가 제어 전달 모듈(102)로 전달할 수 있다.The policy assurance module 103 collects monitoring information from the data plane and checks the accuracy of the application of the permission policy. That is, the policy assurance module 103 analyzes the monitoring information to detect policy violations of the SF. In addition, the analysis result may be passed to the admission control transfer module 102 for the forwarding rule configuration.

드라이버 모듈(104)은 허가 제어 전달 모듈(102)로부터 제공된 포워딩 룰을 분석해서 데이터 평면에 전달하는 기능을 수행한다. The driver module 104 analyzes the forwarding rules provided from the admission control transfer module 102 and transfers them to the data plane.

예를 들어, 드라이버 모듈(104)은 허가 제어 전달 모듈(102)로부터 접근 허가 정책에 대한 포워딩 룰을 SFF 장치(120)로 전달할 수 있다.For example, the driver module 104 may forward the forwarding rule for the access permission policy from the permission control delivery module 102 to the SFF device 120.

도 1에서는 드라이버 모듈(104)이 SFC상의 데이터 평면으로 포워딩 룰을 전달하는 것으로 도시되어 있으나, 이외에도 다양한 데이터 평면과의 접점 역할을 수행할 수 있다. Although the driver module 104 transmits the forwarding rule to the data plane on the SFC in FIG. 1, the driver module 104 may also serve as a contact point with various data planes.

다시 정리하면, SFC 컨트롤러(110)는 서비스 기능 체인을 위한 접근 허가 정책에 대한 룰을 각 SFF 장치(120)로 전달할 수 있다. 여기서, 접근 허가 정책은 계층적으로 지정될 수 있으며, 서비스 기능 체인 전체 또는 부분적으로 적용될 수도 있다. In summary, the SFC controller 110 may transmit a rule on an access permission policy for the service function chain to each SFF device 120. Here, the access permission policy may be hierarchically designated, and may be applied in whole or in part to the service function chain.

SFF 장치(120)는 패킷에 명시된 경로를 따라 패킷을 다수의 SF 모듈로 전달하는 기능을 수행한다. 또한, SFF 장치(120)는 SFC 컨트롤러(110)로부터 서비스 기능 체인을 위한 접근 허가 정책에 대한 룰을 제공받아 저장하고 있으며, 이를 이용하여 각 SF 모듈로 전송되는 패킷에 대해 특정 액션 또는 복원 액션을 적용하여 패킷을 처리할 수 있다. 이에 대해서는 하기에서 관련 도면을 참조하여 보다 상세히 설명하기로 한다.The SFF device 120 performs a function of delivering a packet to a plurality of SF modules along a path specified in the packet. In addition, the SFF device 120 receives and stores a rule about an access permission policy for the service function chain from the SFC controller 110, and uses the same to perform a specific action or a restoration action on a packet transmitted to each SF module. Can be applied to process packets. This will be described in more detail with reference to the accompanying drawings below.

SF 모듈(130)은 서비스 기능 체이닝을 구성하며, 네트워크 패킷에 대한 특정 처리를 수행한다. SF 모듈(130)은 네트워크 서비스를 구성하는 컴포넌트 기능으로서 단일 패킷 혹은 트래픽을 처리할 수 있다. The SF module 130 configures service function chaining, and performs specific processing on network packets. The SF module 130 may process a single packet or traffic as a component function of configuring a network service.

SFC상에서 SF 모듈 중 일부는 정보에 대한 읽기 권한만 가질 수 있으며, 일부 SF 모듈은 읽기와 쓰기 권한을 모두 가질 수 있으며, 일부 SF 모듈은 아무런 권한을 가지지 않을 수도 있다. SF 모듈에 이러한 권한이 정해져 있으나, SF 모듈은 권한에 상관 없이 패킷을 변경할 수 있다. 그러나, SF 모듈이 권한 없는 특정 행동(패킷 변경)을 수행하는 경우, SFF 장치(120)가 이를 확인하여 패킷을 원래대로 복원할 수 있다. On the SFC, some SF modules may only have read permission on information, some SF modules may have both read and write permission, and some SF modules may not have any permission. Although these permissions are defined in the SF module, the SF module can change packets regardless of the permissions. However, when the SF module performs a specific unauthorized action (packet change), the SFF device 120 may check this to restore the packet.

도 2는 접근 허가 정책에 대한 계층적 구조를 설명하기 위해 도시한 도면이다.2 is a diagram illustrating a hierarchical structure for an access permission policy.

도 2에 도시된 바와 같이 패킷이 캡슐화되어 있다고 가정하기로 한다. 도 2에 도시된 바와 같이 서비스 기능 체인을 위한 접근 허가 정책에 따른 권한이 계층적으로 설정될 수 있다. Assume that the packet is encapsulated as shown in FIG. As shown in FIG. 2, rights according to an access permission policy for a service function chain may be hierarchically set.

도 3은 본 발명의 일 실시예에 따른 SFC에서의 패킷 처리 방법을 나타낸 순서도이다. 3 is a flowchart illustrating a packet processing method in an SFC according to an embodiment of the present invention.

단계 310에서 SFF 장치(120)는 패킷을 수신한다.In operation 310, the SFF device 120 receives a packet.

여기서, 패킷은 도 2와 같이 SFC 캡슐화되어 있으며, 패킷의 일부 데이터에 대해 접근 권한 정책이 각각 설정되어 있을 수 있다.Here, the packet is SFC encapsulated as shown in FIG. 2, and access rights policies may be set for some data of the packet.

단계 315에서 SFF 장치(120)는 수신된 패킷을 분석하여 패킷의 다음 홉을 결정한다.In step 315 SFF device 120 analyzes the received packet to determine the next hop of the packet.

예를 들어, SFF 장치(120)는 패킷 헤더를 분석하여 해당 패킷의 다음 홉(hop)을 결정할 수 있다. 이어, SFF 장치(120)는 도착 지점에 대한 적절한 VXLAN 주소를 설정한다. For example, the SFF device 120 may analyze the packet header to determine the next hop of the packet. The SFF device 120 then sets the appropriate VXLAN address for the arrival point.

단계 320에서 SFF 장치(120)는 패킷이 SF 모듈(130)로부터 수신되었는지 여부를 판단한다.In operation 320, the SFF device 120 determines whether a packet is received from the SF module 130.

만일 패킷이 SF 모듈(130)로부터 수신되지 않은 경우, 단계 325에서 SFF 장치(120)는 패킷 플로우 정보를 저장한다. 예를 들어, SFF 장치(120)는 FLOWSTATE_IN_TABLE에 패킷 플로우 정보를 저장할 수 있다.If the packet is not received from the SF module 130, the SFF device 120 stores the packet flow information in step 325. For example, the SFF device 120 may store packet flow information in FLOWSTATE_IN_TABLE.

단계 330에서 SFF 장치(120)는 패킷 플로우 정보에 매칭되는 포워딩 룰이 존재하면, 해당 패킷에 대해 특정 액션을 수행한다. 여기서, 특정 액션은 포워딩 룰에 따라 패킷 중 일부를 삭제(또는 히든(hidden))하는 동작일 수 있다. In step 330, if there is a forwarding rule matching the packet flow information, the SFF device 120 performs a specific action on the packet. Here, the specific action may be an operation of deleting (or hidden) some of the packets according to the forwarding rule.

예를 들어, SFF 장치(120)는 패킷 플로우 정보에 상응하여 해당 패킷이 전달될 SF 모듈(130)에 대응하는 포워딩 룰이 테이블에 존재하는 경우, 해당 포워딩 룰에 따라 패킷에서 일부 정보를 삭제할 수 있다.For example, when the forwarding rule corresponding to the SF module 130 to which the packet is to be transmitted corresponds to the packet flow information, the SFF apparatus 120 may delete some information from the packet according to the forwarding rule. have.

포워딩 룰은 서비스 기능 체인을 위한 접근 허가 정책에 따른 권한으로, 각 SF 모듈에 대해 개별적으로 설정될 수도 있으며, 전체 서비스 기능 체인에 대해 설정되어 있을 수도 있다.The forwarding rule is an authority according to an access permission policy for a service function chain, and may be individually set for each SF module or may be set for the entire service function chain.

각 SF 모듈은 접근 허가 정책에 따라 각각 두가지 레벨로 패킷의 NSH에 대한 접근 권한이 정의될 수 있다. 여기서, 두가지 레벨은 "read-only" 및 "write" 일 수 있다.Each SF module can define access rights to NSH of a packet at two levels according to an access permission policy. Here, two levels may be "read-only" and "write".

특정 SF 모듈이 "read-only"로 접근 권한이 설정된 경우, 해당 SF 모듈은 오직 패킷(또는 정보)에 대해 읽기 권한만 가질 수 있으며, 특정 위치에 대한 정보를 가져올 수 있다. 여기서, 특정 SF 모듈이 "read-only"로 접근 권한이 설정되어 있는 경우, 해당 SF 모듈은 패킷에서 특정 정보만을 읽을 수 있다. 그러나, 해당 SF 모듈이 "read-only"로 접근 권한이 설정되어 있을지라도 패킷의 일부 내용을 수정할 수 있음은 당연하다. 다만, "read-only"로 접근 권한이 설정된 특정 SF 모듈이 패킷의 일부 내용을 수정한 경우(즉 수정 권한 없이 패킷의 일부 내용을 수정한 경우), SFF 장치가 수정한 패킷의 일부 내용을 원래대로 복원할 수 있다. When a specific SF module has access authority set to "read-only", the SF module can only have read permission on a packet (or information), and can obtain information on a specific location. In this case, when an access right is set to "read-only" by a specific SF module, the SF module may read only specific information from a packet. However, even if the SF module is set to "read-only" access rights, it is natural that some contents of the packet can be modified. However, if a certain SF module with access permission set to "read-only" has modified some contents of the packet (that is, if some contents of the packet have been modified without modification authority), some contents of the modified packet by the SFF device are not original. Can be restored as it is.

특정 SF 모듈이 "write"로 접근 권한이 설정된 경우, SF 모듈은 패킷(정보)에 대해 읽기 및 쓰기 권한을 모두 가지며, 특정 위치에 대한 정보를 가져오고 이를 수정할 수 있는 권한을 가지는 것을 의미한다.When a specific SF module has access authority set to "write", it means that the SF module has both read and write authority for the packet (information), and has authority to get and modify information on a specific location.

상술한 SF 모듈의 두가지 권한은 이해와 설명의 편의를 위해 도시한 일 예일 뿐이며, 반드시 이에 제한되는 것은 아니다.The two rights of the above-described SF module are just examples for convenience of explanation and explanation, but are not necessarily limited thereto.

SFF 장치(120)는 패킷이 전달될 SF 모듈이 아무런 권한을 가지고 있지 않은 경우, 패킷에서 중요한 정보를 삭제한 후 해당 패킷을 SF 모듈로 전달할 수 있다. If the SF module to which the packet is to be forwarded does not have any authority, the SFF device 120 may delete the important information from the packet and then forward the packet to the SF module.

기본적으로 각 SF 모듈은 "write" 권한을 가질 수 있다. 그러나, SFC상에서 미인가된 SF 모듈은 아무런 권한이 설정되지 않을 수 있다. Basically, each SF module can have "write" permission. However, the unauthorized SF module on the SFC may not be set any rights.

이와 같이, 각 SF 모듈의 접근 허가에 대한 권리를 통해 각 패킷의 NSH 헤더내의 정보들에 대한 권한을 지정할 수 있다. 정보 접근에 대한 허가 권리는 계층적으로 지정될 수도 있으며, 서비스 체인 전체 혹은 부분적으로 적용될 수도 있다. In this way, the authority for the information in the NSH header of each packet can be designated through the right for the access permission of each SF module. Authorization rights for access to information may be assigned hierarchically and may be applied in whole or in part to the service chain.

따라서, SFF 장치(120)는 패킷이 전달될 SF 모듈에 상응하는 포워딩 룰에 기초하여 패킷에 대해 특정 액션을 수행할 수 있다. 즉, SFF 장치(120)는 패킷 플로우에 매칭되는 포워딩 룰이 존재하는 경우, 해당 포워딩 룰에 따라 패킷 중 일부를 삭제할 수 있다.Accordingly, the SFF device 120 may perform a specific action on the packet based on a forwarding rule corresponding to the SF module to which the packet is to be delivered. That is, when there is a forwarding rule matching the packet flow, the SFF apparatus 120 may delete some of the packets according to the forwarding rule.

이후, 단계 335에서 SFF 장치(120)는 특정 액션이 수행된 패킷을 해당 SF 모듈로 전송한다. In operation 335, the SFF device 120 transmits the packet on which the specific action is performed to the corresponding SF module.

보다 상세히 설명하면, SF 모듈의 접근 허가에 따른 권한에 상응하여 패킷에 특정 액션이 수행된 이후 패킷에는 flow-state ID가 저장된다. 여기서, flow-state ID는 SFC 컨트롤러로부터 부여받은 후 NSH 내의 메타데이터에 저장될 수 있다. In more detail, the flow-state ID is stored in the packet after a specific action is performed on the packet corresponding to the authority according to the access permission of the SF module. Here, the flow-state ID may be stored in metadata in the NSH after being granted from the SFC controller.

패킷이 새로운 패킷인 경우, 오픈플로우에서 정의한 PACKET_IN 메시지를 통해 SFC 컨트롤러(110)로 전달될 수 있다. When the packet is a new packet, the packet may be delivered to the SFC controller 110 through a PACKET_IN message defined in OpenFlow.

단계 320의 판단 결과 패킷이 SF 모듈로부터 수신된 경우, 단계 340에서 SFF 장치(120)는 패킷에 상응하는 포워딩 룰에 기초하여 패킷에 대한 복원 액션을 수행한다. 즉, SFF 장치(120)는 패킷이 수신된 SF 모듈에 상응하는 룰(접근 허가 정책에 관한 포워딩 룰)에 기초하여 해당 패킷에서 삭제된 정보를 복원할 수 있다. As a result of the determination in step 320, if the packet is received from the SF module, in step 340, the SFF device 120 performs a recovery action on the packet based on a forwarding rule corresponding to the packet. That is, the SFF device 120 may restore information deleted from the packet based on a rule (forwarding rule regarding an access permission policy) corresponding to the SF module in which the packet is received.

패킷의 NSH 헤더에는 flow-state에 대한 flow-state ID가 저장되어 있다. 이로 인해, SFF 장치(120)는 패킷에 상응하는 플로우 정보를 FLOWSTATE_OUT_TABLE의 각 필드에 적합하도록 저장할 수 있다. FLOWSTATE_OUT_TABLE에는 MATCHES 필드와 ACTION 필드를 포함할 수 있다.The flow-state ID for the flow-state is stored in the NSH header of the packet. For this reason, the SFF device 120 may store flow information corresponding to the packet so as to be suitable for each field of FLOWSTATE_OUT_TABLE. FLOWSTATE_OUT_TABLE may include a MATCHES field and an ACTION field.

MATCHES 필드는 패킷의 flow-state에 대한 flow-state ID가 저장될 수 있다. 이로 인해, SFF 장치(120)는 SF 모듈로부터 수신된 패킷의 NSH 헤더에서 flow-state ID를 추출한 후 대응하는 flow-state ID가 MATCHES 필드에 저장되어 있는지(즉, 수신된 패킷의 flow-state ID에 매치되는 플로우가 FLOWSTATE_OUT_TABLE에 저장되어 있는지) 여부를 판단할 수 있다.The MATCHES field may store a flow-state ID for a flow-state of a packet. For this reason, the SFF apparatus 120 extracts the flow-state ID from the NSH header of the packet received from the SF module and then checks whether the corresponding flow-state ID is stored in the MATCHES field (that is, the flow-state ID of the received packet). Can be determined whether or not the flow matching the is stored in FLOWSTATE_OUT_TABLE).

만일 FLOWSTATE_OUT_TABLE에 패킷에 상응하여 매칭된 플로우 정보가 없는 경우, SFF 장치(120)는 해당 패킷을 폐기할 수도 있다.If there is no flow information matched to the packet in FLOWSTATE_OUT_TABLE, the SFF device 120 may discard the packet.

단계 345에서 SFF 장치(120)는 해당 복원된 패킷을 서비스 체이닝에 따라 다른 SFF 장치로 전송한다.In step 345, the SFF device 120 transmits the restored packet to another SFF device according to service chaining.

도 4은 본 발명의 일 실시예에 따른 SFF 장치의 내부 구성을 개략적으로 도시한 블록도이고, 도 5는 본 발명의 일 실시예에 따른 포워딩 룰에 따라 패킷에 상응하는 특정 동작을 수행하는 방법에 대해 설명하기 위해 도시한 도면이다.4 is a block diagram schematically illustrating an internal configuration of an SFF apparatus according to an embodiment of the present invention, and FIG. 5 is a method of performing a specific operation corresponding to a packet according to a forwarding rule according to an embodiment of the present invention. It is a figure shown for demonstrating.

도 4를 참조하면, 본 발명의 일 실시예에 따른 SFF 장치(120)는 수신부(410), 송신부(415), 패킷 처리부(420), 메모리(425) 및 프로세서(430)를 포함하여 구성된다.Referring to FIG. 4, the SFF apparatus 120 according to an embodiment of the present invention includes a receiver 410, a transmitter 415, a packet processor 420, a memory 425, and a processor 430. .

본 발명의 일 실시예에 따른 SFF 장치(120)는 인그레스(ingress) SFF 장치로 동작될 수도 있으며, 이그레스(egress) SFF 장치로 동작될 수도 있다. The SFF device 120 according to an embodiment of the present invention may be operated as an ingress SFF device or may be operated as an egress SFF device.

인그레스 SFF 장치는 패킷을 수신받아 SF 모듈로 전달하는 장치를 지칭하며, 이그레스 SFF 장치는 SF 모듈로부터 패킷을 수신받아 다른 SFF 장치로 전달하는 장치를 지칭한다.An ingress SFF device refers to a device that receives a packet and delivers it to an SF module, and an egress SFF device refers to a device that receives a packet from an SF module and delivers the packet to another SFF device.

물론, 하나의 SFF 장치(120)는 인그레스 SFF 장치와 이그레스 SFF 장치로서 동작될 수도 있으며, 어느 하나로 동작될 수도 있음은 당연하다.Of course, one SFF device 120 may be operated as an ingress SFF device and an egress SFF device, and may be operated as either.

수신부(410)는 패킷을 수신받기 위한 수단이다.The receiver 410 is a means for receiving a packet.

송신부(415)는 패킷 처리부(420)의 제어에 따라 패킷을 목적지로 전송하기 위한 수단이다.The transmitter 415 is a means for transmitting a packet to a destination under the control of the packet processor 420.

본 명세서에서는 이해와 설명의 편의를 도모하기 위해 수신부(410)와 송신부(415)를 개별 구성으로 설명하고 있으나, 수신부(410)와 송신부(415)는 하나의 통신 모듈로서 포함될 수도 있음은 당연하다. In the present specification, the receiver 410 and the transmitter 415 are described in separate configurations for the purpose of convenience of understanding and explanation. However, it is obvious that the receiver 410 and the transmitter 415 may be included as one communication module. .

패킷 처리부(420)는 SFC에 속한 SF 모듈들이 정해진 정책에 따라 정보에 접근하도록 패킷을 처리하기 위한 수단이다.The packet processor 420 is a means for processing a packet such that SF modules belonging to the SFC access information according to a predetermined policy.

예를 들어, 패킷 처리부(420)는 패킷을 분석하여 플로우 정보를 생성한 후 해당 패킷이 전송될 서비스 기능 모듈에 대응하는 포워딩 룰(즉, 접근 허가 정책)에 따라 패킷에 대해 특정 액션을 적용한 후 해당 패킷을 서비스 기능 모듈로 전달할 수 있다. 여기서, 특정 액션은 이미 전술한 바와 같이 서비스 기능 모듈에 대한 접근 허가 정책에 따른 포워딩 룰에 따라 일부 정보를 삭제하는 동작이다. For example, the packet processor 420 analyzes the packet to generate flow information, and then applies a specific action to the packet according to a forwarding rule (ie, an access permission policy) corresponding to the service function module to which the packet is to be transmitted. The packet can be delivered to the service function module. Here, the specific action is an operation of deleting some information according to the forwarding rule according to the access permission policy for the service function module as described above.

또한, 패킷 처리부(420)는 패킷에 대한 플로우 정보를 SFC 컨트롤러(110)를 통해 다른 네트워크 장치(SFF)로 전달할 수도 있다. In addition, the packet processor 420 may transfer flow information about the packet to another network device SFF through the SFC controller 110.

또한, 패킷 처리부(420)는 패킷이 서비스 기능 모듈로부터 수신된 경우, 해당 패킷에 상응하는 포워딩 룰(즉, 접근 허가 정책)에 따른 복원 액션을 수행한 후 해당 패킷을 다른 네트워크 장치(즉, 서비스 기능 전달 장치)로 전송할 수 있다. 여기서, 복원 액션은 서비스 기능 모듈로의 패킷 전달시 삭제된 패킷을 복원하는 동작이다.In addition, when a packet is received from the service function module, the packet processor 420 performs a restoration action according to a forwarding rule (ie, an access permission policy) corresponding to the packet, and then transmits the packet to another network device (ie, a service). Function delivery device). Here, the restoration action is an operation of restoring the dropped packet when the packet is delivered to the service function module.

예를 들어, "read-only" 접근 권한을 가진 SF 모듈이 패킷을 수정하는 경우, 원래대로(즉, SF 모듈로 전송되기 이전의 패킷) 패킷을 복원할 수 있다. 또한, SF 모듈로 전달되기 전에 SF 모듈에서의 노출을 방지하기 위해(숨기기 위해) 삭제처리된 패킷의 일부 내용을 복원할 수 있다. For example, if an SF module with "read-only" access rights modifies a packet, the packet may be restored as it is (i.e., before the packet is sent to the SF module). Also, some contents of the discarded packet may be restored to prevent (hide) the exposure in the SF module before being delivered to the SF module.

이와 같이, SFF 장치(120)는 패킷이 전달될 서비스 기능 모듈에 따른 접근 허가 정책에 따라 패킷에서 일부 정보를 삭제하여 해당 서비스 기능 모듈로 전달하고, 다른 네트워크 장치로 전달시에는 해당 패킷을 원래의 형태로 복원하여 전달하도록 할 수 있다.As such, the SFF device 120 deletes some information from the packet according to an access permission policy according to the service function module to which the packet is delivered, and delivers the information to the corresponding service function module. It can be restored to form and delivered.

이를 통해, SFF 장치(120)는 패킷에서 중요한 정보가 서비스 기능 모듈로 전달되는 것을 방지할 수 있을 뿐만 아니라 검증되지 않은 서비스 기능 모듈에 의해 사용자의 중요한 정보가 외부로 유출되는 것을 방지할 수 있는 이점이 있다. 또한, 전술한 바와 같이, 권한을 가지지 않은 SF 모듈에 의해 변경된 내용을 원래대로 복원할 수도 있다. Through this, the SFF device 120 may not only prevent the important information from being transmitted to the service function module but also prevent the important information of the user from leaking to the outside by the unvalidated service function module. There is this. In addition, as described above, the contents changed by the SF module having no authority may be restored.

또한, 패킷 처리부(420)는 SF 모듈로부터 수신된 패킷에 상응하는 룰에 따라 해당 패킷을 원래 상태로 복원한 후 이를 다른 SFF 장치로 전송하도록 제어할 수도 있다. 이는 이미 전술한 바와 동일하므로 중복되는 설명은 생략하기로 한다. In addition, the packet processor 420 may control to restore the packet to its original state according to a rule corresponding to the packet received from the SF module, and then transmit the packet to another SFF device. Since this is the same as already described above, redundant description will be omitted.

또한, 패킷 처리부(420)는 수신된 패킷이 신규 패킷인 경우, 패킷을 SFC 컨트롤러(110)로 전송하여 플로우를 등록한 후 서비스 기능 체이닝에 따라 처리되도록 제어할 수도 있다.In addition, when the received packet is a new packet, the packet processor 420 may transmit the packet to the SFC controller 110 to register the flow and then control the packet to be processed according to the service function chaining.

도 5를 참조하여 본 발명의 일 실시예에 따른 포워딩 룰에 따라 패킷에 상응하는 특정 동작을 수행하는 방법에 대해 설명하기로 한다. A method of performing a specific operation corresponding to a packet according to a forwarding rule according to an embodiment of the present invention will be described with reference to FIG. 5.

도 5에 도시된 바와 같이, 하나의 패킷이 A, B, C, D, E로 구성되어 있다고 가정하기로 한다. 제1 SFF 장치(120)가 제1 SF 모듈에 대한 제1 포워딩 룰을 저장하고 있다고 가정하기로 한다. As shown in FIG. 5, it is assumed that one packet includes A, B, C, D, and E. It is assumed that the first SFF device 120 stores the first forwarding rule for the first SF module.

제1 SFF 장치는 제1 패킷이 수신됨에 따라 제1 패킷을 분석하여 패킷의 다음 홉(hop)을 결정한다. 예를 들어, 제1 패킷의 다음 홉이 제1 SF 모듈이라고 가정하기로 한다. 제1 SFF 장치는 제1 패킷의 다음 홉이 제1 SF 모듈이므로, 제1 포워딩 룰에 따라 제1 패킷에서 C 및 D를 히든(hidden)하여 제1 SF 모듈로 전송한다.The first SFF device analyzes the first packet and determines the next hop of the packet as the first packet is received. For example, assume that the next hop of the first packet is the first SF module. Since the first hop of the first packet is the first SF module, the first SFF device hides C and D from the first packet according to the first forwarding rule and transmits the C and D to the first SF module.

이때, 제1 SFF 장치는 제1 패킷의 다음 홉이 제1 SF 모듈이므로, 이에 대한 플로우 정보를 생성한 후 이를 저장할 수 있다. 이어, 제1 SFF 장치는 해당 플로우 정보를 SFC 컨트롤러(110)를 통해 다른 SFF 장치(편의상 제2 SFF 장치라 칭하기로 함)로 전달할 수 있다.In this case, since the next hop of the first packet is the first SF module, the first SFF apparatus may generate and store flow information about the first hop module. Subsequently, the first SFF device may transmit the flow information to another SFF device (hereinafter referred to as a second SFF device for convenience) through the SFC controller 110.

이에 따라 제1 SFF 장치 또는 제2 SFF 장치는 제1 SF 모듈로부터 제1 패킷이 수신되면, 기저장된 플로우 정보를 참조하여 제1 포워딩 룰에 따라 C 및 D를 복원하여 제1 패킷을 복원할 수 있다.Accordingly, when the first SFF device or the second SFF device receives the first packet from the first SF module, the first SFF device or the second SFF device may restore the first packet by restoring C and D according to the first forwarding rule with reference to the stored flow information. have.

이어, 제1 SFF 장치 또는 제2 SFF 장치는 제1 패킷을 분석하여 다른 SFF 장치 또는 다른 SF 모듈로 전달할 수 있다. Subsequently, the first SFF device or the second SFF device may analyze the first packet and transmit the first packet to another SFF device or another SF module.

본 발명의 일 실시예에 따른 SFC에서 SF들이 정해진 정책에 따라 정보에 접근할 수 있는 방법을 수행하기 위해 필요한 다양한 알고리즘, 어플리케이션, 해당 과정에서 파생된 다양한 정보들이 저장된다.In the SFC according to an embodiment of the present invention, various algorithms, applications, and various information derived from a corresponding process required for performing a method in which SFs can access information according to a predetermined policy are stored.

또한, 메모리(425)는 각 서비스 기능 모듈에 대한 접근 허가 정책에 따른 포워딩 룰을 저장할 수 있다.In addition, the memory 425 may store forwarding rules according to an access permission policy for each service function module.

프로세서(430)는 본 발명의 일 실시예에 따른 SFF 장치(120)의 내부 구성 요소들(예를 들어, 수신부(410), 송신부(415), 패킷 처리부(420), 메모리(425) 등)을 제어하기 위한 수단이다.The processor 430 is an internal component of the SFF device 120 according to an embodiment of the present invention (for example, the receiver 410, the transmitter 415, the packet processor 420, the memory 425, etc.) Means for controlling.

상술한 본 발명에 따른 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. The method according to the present invention described above can be embodied as computer readable code on a computer readable recording medium. Computer-readable recording media include all kinds of recording media having data stored thereon that can be decrypted by a computer system. For example, there may be a read only memory (ROM), a random access memory (RAM), a magnetic tape, a magnetic disk, a flash memory, an optical data storage device, and the like. The computer readable recording medium can also be distributed over computer systems connected over a computer network, stored and executed as readable code in a distributed fashion.

이상에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 쉽게 이해할 수 있을 것이다.Although the above has been described with reference to embodiments of the present invention, those skilled in the art may variously modify the present invention without departing from the spirit and scope of the present invention as set forth in the claims below. And can be changed easily.

110: SFC 컨트롤러
120: SFF 장치
130: SF 모듈110: SFC controller
120: SFF device
130: SF module

Claims (11)

SFC상의 네트워크 장치에 있어서,
각각의 서비스 기능 모듈에 대한 포워딩 룰을 각각 저장하는 저장부;
패킷을 수신하는 수신부; 및
상기 패킷을 분석하여 상기 패킷이 전달될 타겟 서비스 기능 모듈에 대응하는 포워딩 룰에 따라 상기 패킷에 대한 특정 액션을 적용하는 패킷 처리부를 포함하되,
상기 특정 액션은 상기 타겟 서비스 기능 모듈의 접근 허가 정책에 대한 포워딩 룰에 따라 선별된 정보만 접근할 수 있도록 상기 패킷의 일부 정보를 삭제하는 동작이되,
상기 패킷 처리부는,
상기 일부 정보가 삭제된 패킷을 다른 네트워크로 전송시 상기 포워딩 룰에 기초하여 삭제된 일부 정보를 복원하는 것을 특징으로 하는 네트워크 장치.
In the network device on the SFC,
A storage unit which stores forwarding rules for each service function module, respectively;
Receiving unit for receiving a packet; And
A packet processor configured to analyze the packet and apply a specific action to the packet according to a forwarding rule corresponding to a target service function module to which the packet is to be delivered;
The specific action may include deleting some information of the packet so that only selected information is accessible according to a forwarding rule of an access permission policy of the target service function module.
The packet processing unit,
And restoring the deleted partial information based on the forwarding rule when transmitting the packet from which the partial information has been deleted to another network.
삭제delete 제1 항에 있어서,
상기 패킷 처리부는,
상기 패킷을 분석하여 상기 패킷이 전달될 서비스 기능 모듈로의 플로우 정보를 저장하되,
상기 플로우 정보는 SFC 컨트롤러를 통해 다른 네트워크 장치로 전송되는 것을 특징으로 하는 네트워크 장치.
According to claim 1,
The packet processing unit,
Analyze the packet and store flow information to a service function module to which the packet is to be delivered;
The flow information is transmitted to the other network device via the SFC controller.
제3 항에 있어서,
상기 플로우 정보에 기반하여 상기 특정 액션이 적용된 패킷을 상기 서비스 기능 모듈로 전달하는 송신부를 더 포함하는 네트워크 장치.
The method of claim 3, wherein
And a transmitter configured to transmit the packet to which the specific action is applied based on the flow information to the service function module.
SFC상의 네트워크 장치에 있어서,
서비스 기능 모듈(SF: service function)로부터 패킷을 수신하는 수신부; 및
저장된 플로우 정보에 상기 패킷이 매칭되는 경우, 상기 플로우 정보를 참조하여 상기 패킷에 대한 복원 액션을 수행하는 패킷 처리부를 포함하되,
상기 복원 액션은 상기 패킷에 대응하는 접근 허가 정책에 따라 삭제된 일부 정보를 복원하는 동작인 것을 특징으로 하는 네트워크 장치.
In the network device on the SFC,
A receiver for receiving a packet from a service function module (SF); And
When the packet is matched with the stored flow information, the packet processing unit for performing a recovery action for the packet with reference to the flow information,
And the restoring action restores some deleted information according to an access permission policy corresponding to the packet.
삭제delete 제5 항에 있어서,
상기 패킷 처리부는, 상기 패킷이 상기 플로우 정보에 매칭되지 않으면 상기 패킷을 폐기하는 것을 특징으로 하는 네트워크 장치.
The method of claim 5,
The packet processing unit discards the packet if the packet does not match the flow information.
제5 항에 있어서,
상기 패킷 처리부는,
상기 수신된 패킷의 일부 내용이 권한 없이 상기 서비스 기능 모듈에 의해 수정된 경우, 상기 수정된 일부 내용을 상기 서비스 기능 모듈로 전달되기 이전으로 복원하는 것을 특징으로 하는 네트워크 장치.
The method of claim 5,
The packet processing unit,
And when the partial content of the received packet has been modified by the service function module without permission, restoring the modified partial content to before it is delivered to the service function module.
SFC의 접근 제어 방법에 있어서,
패킷을 수신하는 단계; 및
상기 패킷의 다음 홉이 특정 서비스 기능 모듈인 경우, 상기 특정 서비스 기능 모듈에 대응하는 포워딩 룰에 따라 상기 패킷에 대해 특정 액션을 적용하는 단계를 포함하되,
상기 특정 액션은 타겟 서비스 기능 모듈의 접근 허가 정책에 대한 포워딩 룰에 따라 선별된 정보만 접근할 수 있도록 상기 패킷의 일부 정보를 삭제하는 동작이되,
상기 특정 액션을 적용하는 단계 이후에,
상기 일부 정보가 삭제된 패킷을 다른 네트워크로 전송시 상기 포워딩 룰에 기초하여 삭제된 일부 정보를 복원하는 것을 특징으로 하는 SFC 접근 제어 방법.
In the access control method of the SFC,
Receiving a packet; And
If the next hop of the packet is a specific service function module, applying a specific action to the packet according to a forwarding rule corresponding to the specific service function module,
The specific action may include deleting some information of the packet so that only selected information is accessible according to a forwarding rule of an access permission policy of a target service function module.
After applying the specific action,
And transmitting the deleted part information to another network based on the forwarding rule.
SFC의 접근 제어 방법에 있어서,
패킷을 수신하는 단계; 및
저장된 플로우 정보에 상기 패킷이 매칭되는 경우, 상기 플로우 정보를 참조하여 상기 패킷에 대한 복원 액션을 수행하는 단계를 포함하되,
상기 복원 액션은 상기 패킷에 대응하는 접근 허가 정책에 따라 삭제된 일부 정보를 복원하는 동작인 것을 특징으로 하는 SFC 접근 제어 방법.
In the access control method of the SFC,
Receiving a packet; And
If the packet is matched with the stored flow information, performing a recovery action for the packet with reference to the flow information,
And the restoring action restores some deleted information according to an access permission policy corresponding to the packet.
제9항 또는 제10항의 방법을 수행하기 위한 프로그램 코드를 기록한 컴퓨터로 판독 가능한 기록매체 제품.

A computer readable recording medium product having recorded thereon a program code for carrying out the method of claim 9.

KR1020170030060A 2016-12-14 2017-03-09 Access control method and apparatus in SFC KR101969209B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20160170335 2016-12-14
KR1020160170335 2016-12-14

Publications (2)

Publication Number Publication Date
KR20180068832A KR20180068832A (en) 2018-06-22
KR101969209B1 true KR101969209B1 (en) 2019-08-13

Family

ID=62768763

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170030060A KR101969209B1 (en) 2016-12-14 2017-03-09 Access control method and apparatus in SFC

Country Status (1)

Country Link
KR (1) KR101969209B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016011616A1 (en) 2014-07-23 2016-01-28 华为技术有限公司 Service message forwarding method and apparatus

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5590126B2 (en) * 2010-12-01 2014-09-17 日本電気株式会社 COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM
KR101788402B1 (en) * 2014-10-23 2017-10-19 주식회사 케이티 Method and system for performing service function chaining
KR102203734B1 (en) * 2015-02-27 2021-01-15 에스케이텔레콤 주식회사 Service chaining control apparatus and method, service chaining executive method by using the same

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016011616A1 (en) 2014-07-23 2016-01-28 华为技术有限公司 Service message forwarding method and apparatus

Also Published As

Publication number Publication date
KR20180068832A (en) 2018-06-22

Similar Documents

Publication Publication Date Title
US9602307B2 (en) Tagging virtual overlay packets in a virtual networking system
US10003649B2 (en) Systems and methods to improve read/write performance in object storage applications
US8990560B2 (en) Multiple independent levels of security (MILS) host to multilevel secure (MLS) offload communications unit
US20150379287A1 (en) Containerized applications with security layers
US20190141022A1 (en) On-premise and off-premise communication
US20150347773A1 (en) Method and system for implementing data security policies using database classification
US20170118174A1 (en) Communication tunneling in application container environments
CN107317792B (en) Method and equipment for realizing access control in virtual private network
CN106506515B (en) Authentication method and device
US11558353B2 (en) Method, apparatus, and computer readable medium for providing security service for data center
US9838359B2 (en) Separation of IoT network thing identification data at a network edge device
US9215251B2 (en) Apparatus, systems, and methods for managing data security
US20140282523A1 (en) Scalable policy management in an edge virtual bridging (evb) environment
US20220188437A1 (en) Data Access Monitoring and Control
US9641611B2 (en) Logical interface encoding
US9218145B2 (en) Print job management
CN113067824B (en) Data scheduling method, system, virtual host and computer readable storage medium
KR101522139B1 (en) Method for blocking selectively in dns server and change the dns address using proxy
US11017029B2 (en) Data transfer system, data transfer apparatus, data transfer method, and computer-readable recording medium
KR20160150583A (en) Transport stack name scheme and identity management
US20200213280A1 (en) Switch-based data anonymization
EP3613228A1 (en) Regulation based switching system for electronic message routing
KR101969209B1 (en) Access control method and apparatus in SFC
EP3462709B1 (en) A network interface device
KR102038193B1 (en) Method, systtem and computer program for permission modeling of software defined network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant