KR101970515B1 - 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치 - Google Patents

가상 네트워크 제공 시스템의 관리 방법 및 관리 장치 Download PDF

Info

Publication number
KR101970515B1
KR101970515B1 KR1020180005891A KR20180005891A KR101970515B1 KR 101970515 B1 KR101970515 B1 KR 101970515B1 KR 1020180005891 A KR1020180005891 A KR 1020180005891A KR 20180005891 A KR20180005891 A KR 20180005891A KR 101970515 B1 KR101970515 B1 KR 101970515B1
Authority
KR
South Korea
Prior art keywords
virtual
network
manager
information
virtual domain
Prior art date
Application number
KR1020180005891A
Other languages
English (en)
Inventor
주갑수
Original Assignee
주식회사 엑스게이트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엑스게이트 filed Critical 주식회사 엑스게이트
Priority to KR1020180005891A priority Critical patent/KR101970515B1/ko
Application granted granted Critical
Publication of KR101970515B1 publication Critical patent/KR101970515B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/3015Name registration, generation or assignment
    • H04L61/302Administrative registration, e.g. for domain names at internet corporation for assigned names and numbers [ICANN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 일 양상에 따른 가상 네트워크 제공 시스템의 관리 방법은 가상 네트워크 등록 요청을 수신하는 단계, 등록 요청에 따라 가상 네트워크 및 가상 도메인을 생성하고 생성된 가상 도메인에 대응하는 가상 도메인 ID를 부여하는 단계, 가상 도메인을 관리하기 위한 관리자 등록 요청을 수신하는 단계 및 가상 도메인의 가상 도메인 ID를 등록될 관리자에 맵핑하는 단계를 포함한다.

Description

가상 네트워크 제공 시스템의 관리 방법 및 관리 장치{MANAGING METHOD AND MANAGEMENT APPARATUS FOR VIRTUAL NETWORK PROVIDING SYSTEM}
본 발명은 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치에 관한 것으로서, 구체적으로는 가상 네트워크에 대응하는 가상 도메인별 관리자 등록, 권한 부여 및 접근 제어가 가능토록 하는 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치에 관한 것이다.
네트워크 가상화는 물리적인 하나의 네트워크 시스템을 논리적인 여러 네트워크로 구성하여 각 네트워크를 독립적으로 사용할 수 있는 시스템을 구축할 수 있다.
가상 네트워크 제공 시스템은 단일의 네트워크 시스템을 다수의 논리적인 네트워크로 분할하여 사용자에게 제공함으로써 전체 시스템 운영 비용을 절감하고 네트워크 자원 사용의 효율성을 높이고 서비스 대응이나 트래픽 변화에 신속히 대처할 수 있어 많은 관심을 받고 있다.
가상화된 네트워크는 논리적인 시스템 공간에 속하게 되는데 이 논리적인 시스템 공간을 가상 도메인(Virtual Domain)이라고 정의하여 가상 네트워크를 이용하는 사용자들에게 제공된다. 가상 도메인은 물리적인 하나의 시스템에서 다수의 논리적인 시스템을 제공할 수 있다.
가상화된 네트워크를 안정적이고 효율적으로 운영하기 위해서는 가상화된 네트워크별로 개별적인 관리자가 필요하고 각 관리자에 의해 가상 네트워크가 관리될 필요가 존재한다.
기존에 알려진 가상 네트워크 관리는 전체 네트워크를 관리하는 슈퍼 유저(super user)에 의해서 수행된다. 비록 개별적인 관리자가 각각의 가상 네트워크를 통해 할당되는 경우에도 이 관리자를 가상 네트워크에 매칭시켜 관리자를 인증하는 방안이 용이치 않다.
이와 같이, 기존 알려진 가상 네트워크 제공 시스템에서 각각의 가상 네트워크별로 관리자를 인증, 권한 부여 및 접근 제어하는 등의 관리 방안이 필요하다.
본 발명은, 상술한 문제점을 해결하기 위해서 안출한 것으로서, 가상 네트워크에 대응하는 가상 도메인별로 관리자를 할당하고 인증된 관리자에 의해 가상 도메인이 관리될 수 있도록 하는 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치를 제공하는 데 그 목적이 있다.
또한, 본 발명은 가상 네트워크에 관리자를 결합하여 정당한 가상 네트워크로부터 액세스한 관리자에 의해 대응하는 가상 도메인이 관리될 수 있도록 하는 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치를 제공하는 데 그 목적이 있다.
또한, 본 발명은 슈퍼 유저와 가상 도메인별 관리자를 분리하여 가상 도메인별 관리자에 의해 개별적인 가상 네트워크가 관리될 수 있고 가상 도메인 관리에 유연성을 제공할 수 있도록 하는 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치를 제공하는 데 그 목적이 있다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 양상에 따른 가상 네트워크 제공 시스템의 관리 방법은 가상 네트워크 등록 요청을 수신하는 단계, 등록 요청에 따라 가상 네트워크 및 가상 도메인을 생성하고 생성된 가상 도메인에 대응하는 가상 도메인 ID를 부여하는 단계, 가상 도메인을 관리하기 위한 관리자 등록 요청을 수신하는 단계 및 가상 도메인의 가상 도메인 ID를 등록될 관리자에 맵핑하는 단계를 포함한다.
상기한 관리 방법에 있어서, 가상 도메인은 가상 네트워크를 포함하고, 가상 네트워크는 네트워크 포트 정보를 포함한다.
상기한 관리 방법에 있어서, 네트워크 포트 정보는 IP 주소 및 인터페이스 이름을 포함한다.
상기한 관리 방법에 있어서, 가상 네트워크 등록 요청과 관리자 등록 요청은 슈퍼 유저로부터 수신되고, 관리자 등록 요청은 관리자 ID, 패스워드, 관리자에 부여될 권한 정보를 포함하며, 관리자에 부여되는 권한은 맵핑된 가상 도메인 ID로 식별 가능하다.
상기한 관리 방법에 있어서, 관리자 접근 요청을 수신하는 단계, 관리자 접근 요청으로부터 네트워크 포트 정보를 식별하는 단계 및 식별된 네트워크 포트 정보에 기초하여 관리자 접근 요청을 인증하는 단계를 더 포함한다.
상기한 관리 방법에 있어서, 관리자 접근 요청의 인증 단계는, 네트워크 포트 정보가 속한 가상 네트워크를 검색하는 단계, 검색된 가상 네트워크의 가상 도메인을 결정하는 단계 및 결정된 가상 도메인의 관리자 ID와 패스워드를 관리자 접근 요청의 ID 및 패스워드와 비교하는 단계를 포함한다.
상기한 관리 방법에 있어서, 관리자 접근 요청의 인증 이후에, 가상 도메인 ID에 따른 권한 범위 내에서 검색된 가상 도메인에 대한 권한을 관리자에게 부여하는 단계를 더 포함한다.
가상 네트워크 제공 시스템의 관리 장치는 가상 네트워크 등록 요청을 수신하고 가상 도메인을 관리하기 위한 관리자 등록 요청을 수신하는 통신 유닛, 가상 네트워크 등록 요청에 따라 가상 네트워크 및 가상 도메인을 생성하고 생성된 가상 도메인에 대응하는 가상 도메인 ID를 부여하며 관리자 등록 요청에 따라 가상 도메인의 가상 도메인 ID를 등록되는 관리자에 맵핑하는 제어 유닛 및 생성된 가상 네트워크 정보와 등록된 관리자 정보를 포함하는 가상 도메인 정보를 저장하는 저장 유닛을 포함한다.
상기한 관리 장치에 있어서, 가상 네트워크 정보는 네트워크 포트 정보를 포함하며, 네트워크 포트 정보는 IP 주소 및 인터페이스 이름을 포함한다.
상기한 관리 장치에 있어서, 가상 네트워크 등록 요청과 관리자 등록 요청은 슈퍼 유저로부터 수신되고, 관리자 등록 요청은 관리자 ID, 패스워드, 관리자에 부여될 권한 정보를 포함하며, 관리자에 부여되는 권한은 맵핑된 가상 도메인 ID로 식별 가능하다.
상기한 관리 장치에 있어서, 통신 유닛은 관리자 접근 요청을 수신하고, 제어 유닛은 관리자 접근 요청으로부터 네트워크 포트 정보를 식별하고 식별된 네트워크 포트 정보에 기초하여 관리자 접근 요청을 인증한다.
상기한 관리 장치에 있어서, 관리자 접근 요청의 인증을 위해, 제어 유닛은 저장 유닛에 저장되어 있는 정보를 이용하여 네트워크 포트 정보가 속한 가상 네트워크를 검색하고 검색된 가상 네트워크가 속하는 가상 도메인을 결정하며 결정된 가상 도메인의 관리자 ID와 패스워드를 관리자 접근 요청의 ID 및 패스워드와 비교한다.
상기와 같은 본 발명에 따른 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치는 가상 네트워크에 대응하는 가상 도메인별로 관리자를 할당하고 인증된 관리자에 의해 가상 도메인이 관리될 수 있도록 하는 효과가 있다.
또한, 상기와 같은 본 발명에 따른 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치는 가상 네트워크에 관리자를 결합하여 정당한 가상 네트워크로부터 액세스한 관리자에 의해 대응하는 가상 도메인이 관리될 수 있도록 하는 효과가 있다.
또한, 상기와 같은 본 발명에 따른 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치는 슈퍼 유저와 가상 도메인별 관리자를 분리하여 가상 도메인별 관리자에 의해 개별적인 가상 네트워크가 관리될 수 있고 가상 도메인 관리에 유연성을 제공할 수 있도록 하는 효과가 있다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 가상 네트워크 제공 시스템의 개념도를 나타낸다.
도 2는 관리 장치의 예시적인 블록도를 도시한 도면이다.
도 3은 다수의 장치를 활용하여 가상 도메인을 생성하고 맵핑된 관리자에 의해 관리가 이루어지는 제어 흐름을 도시한 도면이다.
상술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술 되어 있는 상세한 설명을 통하여 더욱 명확해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시 예를 상세히 설명하기로 한다.
도 1은 가상 네트워크 제공 시스템의 개념도를 나타낸다.
도 1에서 알 수 있는 바와 같이 가상 네트워크 제공 시스템은 전체 네트워크(네트워크 1 ~ N)를 다수의 논리적인 네트워크로 구성하여 각 가상 네트워크가 독립적으로 사용할 수 있도록 구성된다.
각각의 가상 도메인은 하나의 논리적인 가상 네트워크를 포함하고 각각의 가상 도메인은 설정된 대응 관리자에 의해 운영된다.
가상 도메인은 가상 네트워크를 운영 유지 및 관리하기 위한 프레임워크로서 예를 들어 시스템 관리, 네트워크 관리 및 정책구성 등에 필요한 각종 정보를 저장하고 저장된 정보에 기초하여 해당 가상 네트워크를 관리할 수 있도록 구성된다.
가상 도메인의 각각의 관리자는 자신이 속한 가상 도메인과 가상 네트워크만 운영할 수 있도록 그 권한이 부여되고 다른 관리자 접근 및 제어가 불가능하도록 그 가상 네트워크 제공 시스템이 구성될 필요가 존재한다.
전체 네트워크(네트워크 1 ~ N)는 네트워킹에 필요한 각종 구성요소를 포함한다. 예를 들어 전체 네트워크는 다수의 네트워크 인터페이스 카드(Network Interface Card : NIC), 다수의 라우터, 다수의 스위치 등을 포함한다.
각각의 가상 네트워크는 전체 네트워크를 분할하여 구성된다.
가상 네트워크 제공 시스템은 가상 도메인 생성, 가상 네트워크 생성, 관리자 생성, 관리자의 권한 부여, 관리자의 접근 제어를 위한 관리 장치(100)를 포함한다. 이 관리 장치(100)는 전체 네트워크의 일부를 구성하거나 전체 네트워크를 통해 액세스 가능한 장치이다. 관리 장치(100)는 전체 네트워크를 관리할 수 있는 장치로서 예를 들어, VPN(Virtual Private Network) 장치이거나 UTM(Unified Threat Management) 장치일 수 있다.
가상 네트워크에 연결된 기기(PC, 노트북, 서버 등)들은 연결된 가상 네트워크를 통해 각종 데이터를 송수신할 수 있고 가상 도메인은 가상 도메인별 통신, 보안 정책을 반영하여 각종 데이터의 송수신을 처리할 수 있도록 구성된다. 가상 도메인은 가상 네트워크 구성을 위한 각종 소프트웨어 모듈을 구비하여 가상 네트워크를 관리할 수 있도록 구성된다.
도 2는 관리 장치(100)의 예시적인 블록도를 도시한 도면이다.
도 2에 따르면 관리 장치(100)는 통신 유닛(110), 저장 유닛(130), 연결 유닛(150) 및 제어 유닛(170)을 포함한다. 도 2는 바람직하게는 기능 블록도를 나타내며 대응하는 하드웨어 블록을 각 기능 블록들은 구비한다. 도 2의 관리 장치(100)는 다양한 하드웨어를 이용하여 구성될 수 있다. 도 2에 도시되지 않은 다른 블록들이 설계 변형에 따라 이 블록도에 더 포함될 수도 있다. 도 2의 관리 장치(100)는 VPN 장치이거나 UTM 장치일 수 있다.
도 2를 통해 관리 장치(100)를 살펴보면, 통신 유닛(110)은 통신 칩셋(예를 들어, 유선랜용 및/또는 무선랜용 칩셋)을 구비하여 네트워크를 통해 네트워크 기기(단말)와 데이터를 송수신한다.
예를 들어 통신 유닛(110)은 가상 네트워크를 등록하기 위한 가상 네트워크 등록 요청, 특정 가상 도메인을 관리하기 위한 관리자 등록 요청, 특정 가상 도메인을 접근하고 관리하기 위한 관리자 접근 요청을 나타내는 통신 패킷을 수신하여 이를 제어 유닛(170)으로 전달한다.
가상 네트워크 등록 요청과 관리자 등록 요청은 전체 네트워크를 통합 관리하는 슈퍼 유저(최고 관리자)가 이용하는 기기(단말)로부터 수신되고 관리자 접근 요청은 특정 가상 도메인을 관리하는 관리자가 이용하는 기기(단말)로부터 수신된다.
저장 유닛(130)은 휘발성 메모리, 비휘발성 메모리 및/또는 하드디스크 등과 같은 대용량 저장매체를 포함하여 각종 데이터와 프로그램을 저장한다.
저장 유닛(130)은 관리 장치(100)에서 수행되는 각종 프로그램 모듈들과 가상 도메인들을 관리하기 위한 각종 가상 도메인 관련 데이터를 저장한다. 프로그램 모듈들은 제어 유닛(170)에서 구동되어 가상 도메인 및 가상 네트워크를 생성하고 관리자를 등록하며 등록된 관리자의 접속시에 관리자에 부여된 권한에 따라 가상 도메인을 수정 변경 등을 관리할 수 있도록 한다.
저장 유닛(130)은 생성된 복수의 가상 도메인별 정보를 저장한다. 가상 도메인 정보는 해당 가상 도메인을 특정하기 위한 각종 정보를 저장하고 예를 들어 가상 네트워크 정보, 하나 이상의 관리자 정보, 정책 정보 등을 저장한다.
가상 네트워크 정보는 전체 네트워크 중 논리적으로 할당된 네트워크를 특정하기 위한 정보를 포함한다. 예를 들어 가상 네트워크 정보는 가상 네트워크에 포함된 하나 이상의 네트워크 포트 정보, 라우터 정보, 스위치 정보 등의 구성요소에 대한 정보를 포함한다. 네트워크 포트 정보는 예를 들어 NIC 포트의 이름과 해당 포트(또는 해당 포트에 대응하는 논리 포트)에 할당되어 있는 IP 주소를 포함한다. 라우터 정보 및 스위치 정보는 가상 네트워크 내에서 라우터 및 스위치를 특정하기 위한 데이터를 포함한다.
관리자 정보는 특정 가상 도메인(또는 이 가상 도메인의 가상 네트워크)를 관리하는 관리자에 관련된 데이터를 저장한다. 관리자 정보는 관리자 ID, 패스워드, 권한 정보를 포함한다. 권한 정보는 가상 도메인에서 운영하거나 수행 가능한 각종 기능 중 해당 관리자에게 부여된 권한을 식별할 수 있다. 하나의 가상 도메인에 대해 적어도 한 관리자가 할당될 수 있고 나아가 여러 관리자가 등록될 수도 있다. 반대로 한 관리자가 여러 가상 도메인을 관리할 수도 있다.
만일, 복수의 관리자가 가상 도메인을 관리하는 경우 각각의 관리자는 부여된 권한 범위 내에서 해당 가상 도메인(의 가상 네트워크)을 관리할 수 있다.
정책 정보는 가상 도메인의 설정에 관련된 각종 정보를 포함한다. 예를 들어 정책 정보는 보안정책, 시스템관리 정책, 네트워크관리 정책에 관련된 각종 설정을 저장할 수 있다. 이 정책 정보에 따라 보안 레벨, 가상 네트워크의 속도, 외부 기기의 접속 허용 여부, 통신 패킷 필터링 방식 등의 네트워크 관련 각종 운영 조건 등을 설정할 수 있다.
정책 정보에 따라 이용 가능한 각종 기능들은 가상 도메인 ID에 맵핑되고 대응하는 프로그램 모듈에 맵핑된다. 정책 정보의 기능들은 복수의 필드(아이템)를 포함하는 리스트로 관리될 수 있다.
연결 유닛(150)은 관리 장치(100) 내의 블록 간 데이터를 송수신한다. 연결 유닛(150)는 근거리 네트워크, 병렬 버스, 시리얼 버스 등을 이용하여 구성된다.
제어 유닛(170)은 하나 이상의 실행 유닛을 구비하여 저장 유닛(130)에 저장된 프로그램 모듈 등을 실행 유닛에 로딩하고 프로그램의 명령어 코드의 수행을 통해 관리 장치(100)를 제어한다.
제어 유닛(170)에서 이루어지는 제어 과정을 살펴보면, 제어 유닛(170)은 통신 유닛(110)을 통해 슈퍼 유저의 단말로부터 가상 네트워크 등록 요청을 수신한다.
제어 유닛(170)은 가상 네트워크 등록 요청에 따라 가상 도메인 및 이 가상 도메인에 속하는 가상 네트워크를 생성한다. 예를 들어 제어 유닛(170)은 기존 가상 도메인 정보들 외에 가상 도메인 정보를 신규 생성하고 이를 저장 유닛(130)에 저장한다. 제어 유닛(170)은 신규 생성된 가상 도메인을 식별하기 위한 가상 도메인 ID를 신규 생성하고 생성된 가상 도메인에 부여한다. 예를 들어, 가상 도메인 ID는 가상 도메인 정보를 식별하기 위한 식별자로 맵핑되어 저장된다.
제어 유닛(170)은 가상 네트워크 정보 및 정책 정보를 생성하여 이 두 정보를 가상 도메인 정보 내에 포함시킨다. 예를 들어, 제어 유닛(170)은 알려진 자료 구조나 데이터베이스를 이용하여 가상 도메인 정보와 가상 네트워크 정보 및 정책 정보를 연결시킬 수 있다.
생성되는 가상 네트워크 정보는 하나 이상의 네트워크 포트 정보, 라우터 정보, 스위치 정보 등의 구성요소에 대한 정보를 포함한다. 네트워크 포트 정보는 가상 네트워트에 속하는 네트워크 인터페이스 카드의 인터페이스 이름과 이 인터페이스 카드(의 포트)에 할당된 IP 주소를 포함한다.
인터페이스 이름 및/또는 IP 주소는 가상 네트워크 등록 요청에 포함되거나 추출가능하고 나머지 정보는 제어 유닛(170)에 의해 결정될 수 있다.
제어 유닛(170)은 가상 네트워크 등록 요청의 설정 데이터에 따라 정책 정보를 구성하고 이를 가상 도메인 정보 내에 포함시켜 저장 유닛(130)에 저장한다. 정책 정보는 가상 도메인의 설정에 관련된 각종 정보를 포함한다. 예를 들어 정책 정보는 보안정책, 시스템관리 정책, 네트워크관리 정책에 관련된 각종 설정을 저장할 수 있다.
또한, 제어 유닛(170)은 관리자 등록 요청을 통신 유닛(110)을 통해 수신한다. 관리자 등록 요청은 관리자 ID, 패스워드, 이 관리자에 부여될 권한 정보와 관리자로 등록될 가상 도메인 식별자를 포함한다. 이 가상 도메인 식별자는 예를 들어 가상 도메인 ID일 수 있다.
제어 유닛(170)은 수신된 가상 도메인 식별자(ID)를 이용하여 다수의 가상 도메인 정보 중 관리자로 등록될 가상 도메인 정보를 검색하고 검색된 가상 도메인 정보에 신규로 생성되는 관리자 정보를 포함시킨다. 관리자 정보는 수신된 관리자 ID, 패스워드와 권한 정보를 포함한다. 이러한 과정을 통해 제어 유닛(170)은 관리자( 정보)를 가상 도메인 ID에 맵핑시키고, 관리자 정보를 포함하는 가상 도메인 정보를 저장 유닛(130)에 저장한다.
관리자에게 부여되는 권한 정보는 맵핑된 가상 도메인 ID로 식별 가능하도록 구성된다. 예를 들어, 관리자는 가상 도메인 ID에 맵핑되고 정책 정보의 각각의 기능도 가상 도메인 ID에 맵핑되어 그 대응 관계에 따라 관리자에 대한 권한이 결정된다.
이러한 과정을 통해, 제어 유닛(170)은 가상 도메인을 생성 및 그 정보를 저장 유닛(130)에 저장하고 가상 도메인을 관리할 관리자를 가상 도메인에 맵핑할 수 있다.
한편, 제어 유닛(170)은 통신 유닛(110)을 통해 네트워크로부터 관리자 접근 요청을 수신한다.
예를 들어, 관리자 접근 요청은 전체 네트워크를 구성하는 네트워크 인터페이스 카드를 통해 접속하여 특정 IP 주소로 수신된다. 네트워크 인터페이스 카드는 전체 네트워크를 구성하는 임의의 네트워크 카드이고 IP 주소는 이 네트워크 인터페이스 카드에 대응하는 인터넷 주소일 수 있다.
제어 유닛(170)은 관리자 접근 요청으로부터 추출되는 각종 정보(예를 들어 네트워크 포트 정보)에 기초하여 관리자(즉, 관리자 접근 요청)를 인증한다. 예를 들어, 제어 유닛(170)은 관리자 접근 요청을 전송하고 전체 네트워크에 접속한 네트워크 인터페이스 카드의 인터페이스 이름 및 네트워크 인터페이스 카드에 대응하는(맵핑된) IP 주소를 포함하는 네트워크 포트 정보를 식별한다.
제어 유닛(170)은 식별된 네트워크 포트가 속한 가상 네트워크를 저장 유닛(130)의 가상 도메인들의 가상 네트워크( 정보)들에서 검색하고 검색된 가상 네트워크가 속하는 가상 도메인( 정보)을 결정한다. 가상 네트워크 및 가상 도메인이 검색되고 결정되는 경우에 제어 유닛(170)은 관리자 접근 요청의 ID 및 패스워드를 가상 도메인 정보에 포함된 관리자 정보의 관리자 ID 및 패스워드와 비교하여 관리자를 인증한다.
복수의 관리자가 존재하는 경우 복수의 관리자 정보와 수신된 ID 및 패스워드를 비교하여 특정 관리자를 인증할 수 있다.
인증 결과에 따라, 임의의 가상 도메인에 대한 관리자로 판단된 경우, 제어 유닛(170)은 해당 관리자에 부여된 권한에 따라 그 가상 도메인에 대해 관리가 가능토록 한다.
관리 장치(100)에서 이루어지는 제어 흐름은 도 3을 통해서 좀 더 살펴보도록 한다.
도 3은 다수의 장치를 활용하여 가상 도메인을 생성하고 맵핑된 관리자에 의해 관리가 이루어지는 제어 흐름을 도시한 도면이다. 도 3의 제어 흐름은 슈퍼 유저 단말, (전체 )네트워크 상의 임의의 단말 및 관리 장치(100) 사이에서 이루어지는 처리 과정을 나타낸다. 관리 장치(100)의 각 과정은 도 2의 블록들을 이용하여 이루어지며 바람직하게는 제어 유닛(170)에 의한 제어로 수행된다.
슈퍼 유저 단말은 전체 네트워크를 관리하는 단말로서 슈퍼 유저가 이용하는 기기이다. 슈퍼 유저 단말은 가상 네트워크 등록 요청을 구성하고 이를 관리 장치(100)로 전송하며 관리 장치(100)는 이 가상 네트워크 등록 요청을 수신(① 참조)한다.
가상 네트워크 등록 요청의 수신에 따라, 관리 장치(100)는 가상 도메인 및 이 가상 도메인에 속하는(속할) 가상 네트워크를 생성(② 참조)한다. 예를 들어 관리 장치(100)는 기존 가상 도메인 정보들 외에 가상 도메인 정보를 신규 생성하고 이를 저장 유닛(130)에 저장한다. 관리 장치(100)는 신규 생성된 가상 도메인을 식별하기 위한 가상 도메인 ID를 신규 생성하고 생성된 가상 도메인에 부여한다. 예를 들어, 가상 도메인 ID는 가상 도메인 정보를 식별하기 위한 식별자로 맵핑되어 저장된다.
생성되는 가상 네트워크는 가상 네트워크 정보로 표현되고 가상 네트워크 정보는 하나 이상의 네트워크 포트 정보, 라우터 정보, 스위치 정보 등 전체 네트워크 상에서 특정 가능하고 가상 네트워크를 구성할 네트워킹 구성요소에 대한 정보를 포함한다. 네트워크 포트 정보, 라우터 정보 및/또는 스위치 정보 등은 가상 네트워크 등록 요청에 포함되거나 이로부터 특정 가능하다.
네트워크 포트 정보는 가상 네트워트에 속하는 네트워크 인터페이스 카드의 인터페이스 이름과 이 인터페이스 카드(의 포트)에 대응하는(할당된) IP 주소를 포함한다. 인터페이스 이름 및/또는 IP 주소는 가상 네트워크 등록 요청에 포함되거나 이 등록 요청으로부터 특정될 수 있다.
관리 장치(100)는 정책 정보를 구성한다. 정책 정보는 가상 도메인의 설정에 관련된 각종 정보를 포함한다. 예를 들어 정책 정보는 보안정책, 시스템관리 정책, 네트워크관리 정책에 관련된 각종 설정을 저장할 수 있다.
관리 장치(100)는 생성된 정책 정보, 생성된 가상 네트워크 정보를 신규의 가상 도메인 정보에 포함시켜 가상 도메인의 생성을 완료할 수 있다. 관리 장치(100)는 알려진 자료 구조나 데이터베이스를 이용하여 가상 도메인 정보 내에 가상 네트워크 정보 및 정책 정보가 포함되도록 연결관계를 설정할 수 있다. 이러한 연결관계를 통해, 가상 도메인은 특정 가상 네트워크를 포함하고 가상 네트워크는 전체 네트워크상에서 네트워킹 구성요소(예를 들어 네트워크 인터페이스 카드, IP 주소 등)를 특정할 수 있다.
또한, 슈퍼 유저 단말은 관리자 등록 요청을 구성하고 이를 관리 장치(100)로 전송하며 관리 장치(100)는 이 관리자 등록 요청을 수신(③ 참조)한다. 관리자 등록 요청은 관리자 ID, 패스워드, 이 관리자에 부여될 권한 정보와 관리자로 등록될 가상 도메인 식별자를 포함한다. 이 가상 도메인 식별자는 복수의 가상 도메인 정보 중 특정 가상 도메인(들)을 식별할 수 있는 식별자로서 예를 들어 가상 도메인 ID일 수 있다.
관리자 등록 요청의 수신에 따라 관리 장치(100)는 특정 가상 도메인을 관리할 관리자 정보를 생성하고 생성된 관리자에게 권한을 부여(④)한다.
구체적으로, 관리 장치(100)는 수신된 가상 도메인 식별자를 이용하여 저장 유닛(130)에 저장되어 있는 다수의 가상 도메인 정보 중 관리자로 등록될 가상 도메인 정보를 검색하고 검색된 가상 도메인 정보에 신규로 생성되는 관리자 정보를 포함시킨다. 관리자 정보는 수신된 관리자 ID, 패스워드와 권한 정보를 포함한다. 이러한 과정을 통해 관리 장치(100)는 등록될 관리자( 정보)를 가상 도메인 ID에 맵핑시키고, 관리자 정보를 포함하는 가상 도메인 정보를 저장 유닛(130)에 저장한다.
관리자에 부여되는 권한 정보는 맵핑된 가상 도메인 ID로 식별 가능하도록 구성된다. 예를 들어, 관리자는 가상 도메인 ID에 맵핑되고 정책 정보의 각각의 기능도 가상 도메인 ID에 맵핑되어 그 대응 관계에 따라 관리자에 대한 권한이 결정된다.
이러한 과정을 통해, 관리 장치(100)는 가상 도메인을 생성 및 그 정보를 저장 유닛(130)에 저장하고 가상 도메인을 관리할 관리자를 가상 도메인에 맵핑할 수 있다.
가상 도메인과 대응하는 관리자가 등록된 후에, 등록된 관리자에 의해 가상 도메인을 관리할 수 있다. 구체적으로 살펴보면, 관리 장치(100)는 네트워크로부터 관리자 접근 요청을 수신(⑤)한다.
관리자 접근 요청은 통신 유닛(110)을 통해 수신된다. 관리자 접근 요청은 전체 네트워크의 한 구성 요소인 네트워크 인터페이스 카드의 접속을 통해 특정 IP 주소로 수신된다. 네트워크 인터페이스 카드는 전체 네트워크를 구성하는 임의의 네트워크 카드이고 IP 주소는 이 네트워크 인터페이스 카드에 대응하는 인터넷 주소일 수 있다.
관리 장치(100)는 관리자 접근 요청을 전송한 네트워크 인터페이스 카드의 인터페이스 이름 및 네트워크 인터페이스 카드에 대응하는(맵핑된) IP 주소를 포함하는 네트워크 포트 정보를 식별(⑥ 참조)한다.
이후, 관리 장치(100)는 식별된 네트워크 포트 정보 등에 기초하여 관리자 접근 요청을 인증(⑦ 참조)한다.
구체적으로, 관리 장치(100)는 식별된 네트워크 포트 정보가 속하는 가상 네트워크를 저장 유닛(130)의 가상 네트워크( 정보)들에서 검색하고 검색된 가상 네트워크가 속하는 가상 도메인( 정보)을 결정한다. 가상 네트워크 및 가상 도메인이 검색되고 결정되는 경우에 제어 유닛(170)은 관리자 접근 요청의 ID 및 패스워드를 해당 가상 도메인 정보에 포함된 관리자 정보의 관리자 ID 및 패스워드와 비교하여 관리자를 인증한다.
복수의 관리자가 존재하는 경우 복수의 관리자 정보와 수신된 ID 및 패스워드를 비교하여 특정 관리자를 인증할 수 있다.
인증 결과에 따라, 임의의 가상 도메인에 대한 관리자로 판단된 경우, 관리 장치(100)는 해당 관리자에게 가상 도메인 ID로 식별되는 권한을 부여(⑧ 참조)하고 부여된 권한에 따라 가상 도메인을 관리하도록 한다. 예를 들어, 관리 장치(100)는 관리자에 맵핑되어 있는 가상 도메인 ID에 대응하는 정책 정보의 기능들을 가상 도메인 ID로 식별하여 해당 식별된 기능들을 접속한 관리자에 의해 수행되도록 한다.
이러한 과정을 통해, 가상 도메인별로 관리자를 별도로 등록할 수 있고 가상 도메인별 관리자가 관리가 이루어질 해당 가상 네트워크를 통해 직접 접속한 경우에만 그 관리가 이루어지도록 한다. 또한, 각 가상 도메인별로 관리자를 독립적으로 설정함으로써, 동일 관리자에 의해 다수의 가상 도메인을 공통으로 관리할 수도 있다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것이 아니다.
100 : 관리 장치
110 : 통신 유닛
130 : 저장 유닛
150 : 연결 유닛
170 : 제어 유닛

Claims (12)

  1. 관리 장치에서 수행되는 가상 네트워크 제공 시스템의 관리 방법으로서,
    가상 네트워크 등록 요청을 수신하는 단계;
    상기 등록 요청에 따라 가상 네트워크 및 가상 도메인을 생성하고 생성된 가상 도메인에 대응하는 가상 도메인 ID를 부여하는 단계;
    상기 가상 도메인을 관리하기 위한 관리자 등록 요청을 수신하는 단계; 및
    상기 가상 도메인의 가상 도메인 ID를 등록될 관리자에 맵핑하는 단계;를 포함하며,
    상기 가상 도메인은 상기 가상 네트워크를 포함하고, 상기 가상 네트워크는 네트워크 포트 정보를 포함하며,
    관리자 접근 요청을 수신하는 단계;
    관리자 접근 요청으로부터 네트워크 포트 정보를 식별하는 단계; 및
    식별된 네트워크 포트 정보에 기초하여 관리자 접근 요청을 인증하는 단계;를 더 포함하며,
    상기 관리자 접근 요청의 인증 단계는,
    상기 네트워크 포트 정보가 속한 가상 네트워크를 검색하는 단계, 검색된 가상 네트워크의 가상 도메인을 결정하는 단계 및 결정된 가상 도메인의 관리자 ID와 패스워드를 관리자 접근 요청의 ID 및 패스워드와 비교하는 단계;를 포함하며,
    상기 관리자 접근 요청의 인증 결과에 따라 임의의 가상 도메인에 대한 관리자로 판단된 경우, 해당 관리자에게 가상 도메인 ID로 식별되는 정책 정보의 기능들을 관리할 수 있는 권한을 부여하고 부여된 권한에 따라 가상 도메인을 관리하도록 함으로써, 해당 가상 네트워크를 통해 직접 접속한 경우에만 관리가 이루어지도록 하며, 동일 관리자에 의해서 복수의 가상 도메인을 관리할 수도 있으며,
    상기 정책 정보는 보안정책, 시스템관리 정책 및 네트워크관리 정책을 포함하는,
    관리 방법.
  2. 삭제
  3. 제1항에서 있어서,
    상기 네트워크 포트 정보는 IP 주소 및 인터페이스 이름을 포함하는,
    관리 방법.
  4. 제1항에 있어서,
    상기 가상 네트워크 등록 요청과 상기 관리자 등록 요청은 슈퍼 유저로부터 수신되고,
    상기 관리자 등록 요청은 관리자 ID, 패스워드, 관리자에 부여될 권한 정보를 포함하며,
    상기 관리자에 부여되는 권한은 맵핑된 가상 도메인 ID로 식별 가능한,
    관리 방법.
  5. 삭제
  6. 삭제
  7. 삭제
  8. 가상 네트워크 제공 시스템의 관리 장치로서,
    가상 네트워크 등록 요청을 수신하고 가상 도메인을 관리하기 위한 관리자 등록 요청을 수신하는 통신 유닛;
    상기 가상 네트워크 등록 요청에 따라 가상 네트워크 및 가상 도메인을 생성하고 생성된 가상 도메인에 대응하는 가상 도메인 ID를 부여하며 상기 관리자 등록 요청에 따라 상기 가상 도메인의 가상 도메인 ID를 등록되는 관리자에 맵핑하는 제어 유닛; 및
    생성된 가상 네트워크 정보와 등록된 관리자 정보를 포함하는 가상 도메인 정보를 저장하는 저장 유닛;을 포함하며,
    상기 가상 네트워크 정보는 네트워크 포트 정보를 포함하며, 상기 네트워크 포트 정보는 IP 주소 및 인터페이스 이름을 포함하며,
    상기 통신 유닛은 관리자 접근 요청을 수신하고,
    상기 제어 유닛은 관리자 접근 요청으로부터 네트워크 포트 정보를 식별하고 식별된 네트워크 포트 정보에 기초하여 관리자 접근 요청을 인증하며,
    상기 관리자 접근 요청의 인증을 위해, 상기 제어 유닛은 상기 저장 유닛에 저장되어 있는 정보를 이용하여 상기 네트워크 포트 정보가 속한 가상 네트워크를 검색하고 검색된 가상 네트워크가 속하는 가상 도메인을 결정하며 결정된 가상 도메인의 관리자 ID와 패스워드를 관리자 접근 요청의 ID 및 패스워드와 비교하며,
    상기 관리자 접근 요청을 인증하는 것은,
    상기 네트워크 포트 정보가 속한 가상 네트워크를 검색하고, 검색된 가상 네트워크의 가상 도메인을 결정하며, 결정된 가상 도메인의 관리자 ID와 패스워드를 관리자 접근 요청의 ID 및 패스워드와 비교하는 것을 포함하며,
    상기 관리자 접근 요청의 인증 결과에 따라 임의의 가상 도메인에 대한 관리자로 판단된 경우, 해당 관리자에게 가상 도메인 ID로 식별되는 정책 정보의 기능들을 관리할 수 있는 권한을 부여하고 부여된 권한에 따라 가상 도메인을 관리하도록 함으로써, 해당 가상 네트워크를 통해 직접 접속한 경우에만 관리가 이루어지도록 하며, 동일 관리자에 의해서 복수의 가상 도메인을 관리할 수도 있으며,
    상기 정책 정보는 보안정책, 시스템관리 정책 및 네트워크관리 정책을 포함하는,
    관리 장치.
  9. 삭제
  10. 제8항에 있어서,
    상기 가상 네트워크 등록 요청과 상기 관리자 등록 요청은 슈퍼 유저로부터 수신되고,
    상기 관리자 등록 요청은 관리자 ID, 패스워드, 관리자에 부여될 권한 정보를 포함하며,
    상기 관리자에 부여되는 권한은 맵핑된 가상 도메인 ID로 식별 가능한,
    관리 장치.
  11. 삭제
  12. 삭제
KR1020180005891A 2018-01-17 2018-01-17 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치 KR101970515B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180005891A KR101970515B1 (ko) 2018-01-17 2018-01-17 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180005891A KR101970515B1 (ko) 2018-01-17 2018-01-17 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치

Publications (1)

Publication Number Publication Date
KR101970515B1 true KR101970515B1 (ko) 2019-04-19

Family

ID=66283477

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180005891A KR101970515B1 (ko) 2018-01-17 2018-01-17 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치

Country Status (1)

Country Link
KR (1) KR101970515B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114006955A (zh) * 2021-10-28 2022-02-01 深信服科技股份有限公司 一种数据处理方法、装置、设备及可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070035502A (ko) * 2004-06-30 2007-03-30 텔레폰악티에볼라겟엘엠에릭슨(펍) 멀티도메인 가상 사설 네트워크에서 접속 결정을 위한 방법및 장치
KR20070035815A (ko) * 2005-09-28 2007-04-02 삼성전자주식회사 가상 랜 네트워크 및 그 서비스 제공 방법
KR101085077B1 (ko) * 2007-05-31 2011-11-21 후지제롯쿠스 가부시끼가이샤 가상 네트워크 접속 장치, 시스템, 가상 네트워크의 접속의제어를 위한 방법 및 기록 매체

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070035502A (ko) * 2004-06-30 2007-03-30 텔레폰악티에볼라겟엘엠에릭슨(펍) 멀티도메인 가상 사설 네트워크에서 접속 결정을 위한 방법및 장치
KR20070035815A (ko) * 2005-09-28 2007-04-02 삼성전자주식회사 가상 랜 네트워크 및 그 서비스 제공 방법
KR101085077B1 (ko) * 2007-05-31 2011-11-21 후지제롯쿠스 가부시끼가이샤 가상 네트워크 접속 장치, 시스템, 가상 네트워크의 접속의제어를 위한 방법 및 기록 매체

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114006955A (zh) * 2021-10-28 2022-02-01 深信服科技股份有限公司 一种数据处理方法、装置、设备及可读存储介质
CN114006955B (zh) * 2021-10-28 2023-09-05 深信服科技股份有限公司 一种数据处理方法、装置、设备及可读存储介质

Similar Documents

Publication Publication Date Title
US11962622B2 (en) Automated enforcement of security policies in cloud and hybrid infrastructure environments
US11451434B2 (en) System and method for correlating fabric-level group membership with subnet-level partition membership in a high-performance computing environment
US10230704B2 (en) System and method for providing key-encrypted storage in a cloud computing environment
US8813225B1 (en) Provider-arbitrated mandatory access control policies in cloud computing environments
US7500069B2 (en) System and method for providing secure access to network logical storage partitions
CN111698228A (zh) 系统访问权限授予方法、装置、服务器及存储介质
US8364842B2 (en) System and method for reduced cloud IP address utilization
US8990900B2 (en) Authorization control
US20120300940A1 (en) Dynamic key management
US10897467B2 (en) Method and arrangement for configuring a secure domain in a network functions virtualization infrastructure
US20100042722A1 (en) Method for sharing data
US20120317287A1 (en) System and method for management of devices accessing a network infrastructure via unmanaged network elements
US11048543B2 (en) Computer system and resource access control method for securely controlling access using roles with a plurality of users
KR101970515B1 (ko) 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치
KR20070076342A (ko) 그리드 환경에서 사용자 그룹 역할/권한 관리 시스템 및접근 제어 방법
KR100673329B1 (ko) 그리드 환경에서 인증서를 이용한 사용자 역할/권한 설정 시스템 및 그 방법
Vijaya Bharati et al. Data storage security in cloud using a functional encryption algorithm
CN102299836A (zh) 一种访问接入设备的方法以及装置
KR102214162B1 (ko) 서버 후킹을 통한 사용자 기반 객체 접근 제어 시스템
Han et al. An SDN-based wireless authentication and access control security solution
KR20230150581A (ko) 멀티테넌시 보안관제시스템 및 그 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant