KR102136923B1 - Sdn 및 nfv를 이용한 도로 교통 네트워크의 보안 서비스 제공 시스템 및 그 방법 - Google Patents

Sdn 및 nfv를 이용한 도로 교통 네트워크의 보안 서비스 제공 시스템 및 그 방법 Download PDF

Info

Publication number
KR102136923B1
KR102136923B1 KR1020180038069A KR20180038069A KR102136923B1 KR 102136923 B1 KR102136923 B1 KR 102136923B1 KR 1020180038069 A KR1020180038069 A KR 1020180038069A KR 20180038069 A KR20180038069 A KR 20180038069A KR 102136923 B1 KR102136923 B1 KR 102136923B1
Authority
KR
South Korea
Prior art keywords
network
security
terminal
server
road traffic
Prior art date
Application number
KR1020180038069A
Other languages
English (en)
Other versions
KR20190115257A (ko
Inventor
신승원
우승원
김연근
Original Assignee
아토리서치(주)
한국과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아토리서치(주), 한국과학기술원 filed Critical 아토리서치(주)
Priority to KR1020180038069A priority Critical patent/KR102136923B1/ko
Publication of KR20190115257A publication Critical patent/KR20190115257A/ko
Application granted granted Critical
Publication of KR102136923B1 publication Critical patent/KR102136923B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/04Real-time or near real-time messaging, e.g. instant messaging [IM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 SDN 및 NFV를 이용한 도로 교통 네트워크의 보안 서비스 제공 시스템 및 그 방법에 관한 것으로, 동적인 네트워크와 동시에 동적인 네트워크 보안 기능을 실현함으로써, 빠르게 변화하는 도로 교통 네트워크에 적합한 네트워크 구조를 제안할 수 있다.

Description

SDN 및 NFV를 이용한 도로 교통 네트워크의 보안 서비스 제공 시스템 및 그 방법{SYSTEM AND METHOD FOR PROVIDING SECURITY SERVICE OF ROAD TRAFFIC NETWORK USING SOFTWARE DEFINED NETWORKING AND NETWORK FUNCTION VIRTUALIZATION}
본 발명은 SDN 및 NFV를 이용한 도로 교통 네트워크의 보안 서비스 제공 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 동적인 네트워크 보안 기능을 제공하여 빠르게 변하는 도로 교통 네트워크에 적합한 네트워크 구조를 제안한다.
기존의 도로 교통 네트워크의 경우, 보안 기능들이 충분히 설치되어 있지 않아 기본적으로 제공해야 하는 여러 보안 기술들을 제공하지 못하였다. 다만, 설치가 되어 있더라도 차량과 같은 이동성을 가지는 단말들이 존재하고, 단말 간 통신의 양이 많은 도로 교통 네트워크의 특성을 고려하지 않으며, 기존의 보안 장비들을 그대로 사용하기 때문에 효과적인 보안 상의 대응이 이루어지지 않는다는 한계가 존재하였다.
특히, 도로 교통 네트워크는 유선으로 연결된 고정된 토폴로지가 아닌 유동적이고 빠르게 변환하는 토폴로지를 구축하기 때문에, 네트워크 링크 사이에 물리적인 네트워크 보안 장비를 설치하는 기존의 방법으로는 한계가 명확하다.
본 발명의 목적은 하드웨어 기반의 네트워크 보안 장비의 한계점을 극복하기 위해, 네트워크 기능 가상화(Network Function Virtualization; NFV) 기법과 소프트웨어 정의 네트워크(Software Defined Networking; SDN)의 중앙 집중화 및 동적 네트워크 관리 기법, 그리고 프로그래밍 가능한 네트워크 환경을 활용하여 소프트웨어 기반의 유동적인 네트워크 보안 기능을 제공하고자 한다.
본 발명의 실시예에 따른 SDN(Software Defined Networking, 소프트웨어 정의 네트워크) 및 NFV(Network Function Virtualization, 네트워크 기능 가상화)를 이용하여 도로 교통 네트워크에서 보안 서비스를 제공하는 시스템에 있어서, NFV 플랫폼에서, 가상화된 네트워크 보안 기능의 공격, 오류 및 관리 중 적어도 어느 하나의 기능을 전달하기 위한 인스턴스 관리 메시지를 설정하는 메시지 설정부, SDN 컨트롤러와 상기 NFV 플랫폼 간의 관리 프로토콜(Management Protocol)을 통해 상기 인스턴스 관리 메시지를 통신하는 통신부 및 상기 SDN 컨트롤러에서, 상기 인스턴스 관리 메시지를 기반으로 상기 가상화된 네트워크 보안 기능을 관리하는 보안 관리부를 포함한다.
상기 메시지 설정부는 상기 SDN 컨트롤러 및 상기 NFV 플랫폼 간에 통신하기 위해, 상기 가상화된 네트워크 보안 기능의 인스턴스(Instance) 관리, 공격 탐지 대응 및 인스턴스 오류 대응 중 적어도 어느 하나의 기능을 생성, 삭제, 이동, 차단, 제외, 상태요청, 정상, 오류 등의 유형을 메시지 타입 필드에 설정하여 상기 인스턴스 관리 메시지를 생성할 수 있다.
상기 메시지 설정부는 상기 인스턴스 관리에 대한 생성, 삭제, 이동 등의 상기 인스턴스 관리 메시지, 상기 공격 탐지 대응에 대한 차단, 제외 등의 상기 인스턴스 관리 메시지, 상기 인스턴스 오류 대응에 대한 상태요청, 정상, 오류 등의 상기 인스턴스 관리 메시지를 설정할 수 있다.
상기 메시지 설정부는 상기 어느 하나의 기능에서 상기 유형에 따른 메시지 내용을 포함하는 상기 인스턴스 관리 메시지를 설정할 수 있다.
상기 통신부는 상기 SDN 컨트롤러와 상기 NFV 플랫폼 간의 NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol)을 통해 패킷을 통신하며, 상기 SDN 컨트롤러와 스위치(Switch) 간의 오픈플로우 프로토콜(OpenFlow Protocol)을 통해 제어 커맨드(Control Commend), 플로우 룰(Flow Rule)을 통신할 수 있다.
상기 보안 관리부는 상기 어느 하나의 기능에 대한 상기 유형을 기반으로 네트워크를 재설정하여 악성 트래픽을 차단하거나, 공격자의 단말을 네트워크에서 제외시키는 등의 네트워크를 관리할 수 있다.
상기 보안 관리부는 상기 SDN 컨트롤러를 통해 네트워크를 관리하고, 상기 NFV 플랫폼과 통신하여 트래픽이 상기 가상화된 네트워크 보안 기능을 수행하는 서버를 경유하도록 네트워크를 동적으로 설정할 수 있다.
또한, 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템은 최적 서버 알고리즘을 이용하여 네트워크에 진입하는 단말의 경로를 설정하는 경로 설정부 및 서버 선택 알고리즘을 이용하여 서버를 선택하는 서버 선택부를 더 포함할 수 있다.
상기 서버 선택부는 제1 단말에서 제2 단말로 트래픽을 전달할 때, 서버 선택 알고리즘을 이용하여 보안 기능이 동작하며, 패킷 전달 시간을 최소화하는 서버 또는 NFV 플랫폼을 선택할 수 있다.
상기 서버 선택부는 상기 서버 선택 알고리즘을 이용하여, 상기 제1 단말에서 상기 제2 단말까지의 거리 중 보안 기능을 수행하는 서버를 경유하는 최단거리를 제공하거나, 상기 제1 단말에서 상기 제2 단말까지의 최단거리에서 상기 보안 기능을 수행하는 서버 중 가장 근접한 서버를 경유하도록 제공할 수 있다.
본 발명의 일 실시예에 따른 SDN(Software Defined Networking, 소프트웨어 정의 네트워크) 및 NFV(Network Function Virtualization, 네트워크 기능 가상화)를 이용하여 도로 교통 네트워크에서 보안 서비스를 제공하는 시스템에 있어서, 네트워크 상에서 상기 NFV 플랫폼과 통신하며, 상기 NFV 플랫폼에 의해 가상화된 네트워크 보안 기능의 공격, 오류 및 관리 중 적어도 어느 하나의 기능을 포함하는 인스턴스 관리 메시지를 수신하고, 상기 인스턴스 관리 메시지를 기반으로 네트워크 재설정하여 상기 가상화된 네트워크 보안 기능을 관리하는 SDN 컨트롤러 및 상기 SDN 컨트롤러의 제어 커맨드에 따라 상기 가상화된 네트워크 보안 기능의 인스턴스를 생성, 삭제, 이동시키는 NFV 플랫폼을 포함한다.
상기 SDN 컨트롤러는 NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol)을 통해 상기 NFV 플랫폼과 상기 인스턴스 관리 메시지를 통신하며, 오픈플로우 프로토콜(OpenFlow Protocol)을 통해 스위치(Switch)와 제어 커맨드(Control Commend), 플로우 룰(Flow Rule) 등을 통신할 수 있다.
상기 SDN 컨트롤러는 네트워크를 관리하고, 상기 NFV 플랫폼과 통신하여 트래픽이 상기 가상화된 네트워크 보안 기능을 수행하는 서버를 경유하도록 네트워크를 동적으로 설정할 수 있다.
상기 SDN 컨트롤러는 제1 단말에서 제2 단말로 트래픽을 전달할 때, 서버 선택 알고리즘을 이용하여 보안 기능이 동작하며, 패킷 전달 시간을 최소화하는 서버 또는 NFV 플랫폼을 선택할 수 있다.
상기 SDN 컨트롤러는 상기 서버 선택 알고리즘을 이용하여, 상기 제1 단말에서 상기 제2 단말까지의 거리 중 보안 기능을 수행하는 서버를 경유하는 최단거리를 제공하거나, 상기 제1 단말에서 상기 제2 단말까지의 최단거리에서 상기 보안 기능을 수행하는 서버 중 가장 근접한 서버를 경유하도록 제공할 수 있다.
상기 NFV 플랫폼은 상기 SDN 컨트롤러 및 상기 NFV 플랫폼 간에 통신하기 위해, 상기 가상화된 네트워크 보안 기능의 인스턴스(Instance) 관리, 공격 탐지 대응 및 인스턴스 오류 대응 중 적어도 어느 하나의 기능을 생성, 삭제, 이동, 차단, 제외, 상태요청, 정상, 오류 등의 유형을 메시지 타입 필드에 설정하여 상기 인스턴스 관리 메시지를 생성할 수 있다.
상기 NFV 플랫폼은 상기 인스턴스 관리에 대한 생성, 삭제, 이동 등의 상기 인스턴스 관리 메시지, 상기 공격 탐지 대응에 대한 차단, 제외 등의 상기 인스턴스 관리 메시지, 상기 인스턴스 오류 대응에 대한 상태요청, 정상, 오류 등의 상기 인스턴스 관리 메시지를 설정할 수 있다.
본 발명의 실시예에 따른 SDN(Software Defined Networking, 소프트웨어 정의 네트워크) 및 NFV(Network Function Virtualization, 네트워크 기능 가상화)를 이용하여 도로 교통 네트워크에서 보안 서비스를 제공하는 시스템의 동작 방법에 있어서, NFV 플랫폼에서, 가상화된 네트워크 보안 기능의 공격, 오류 및 관리 중 적어도 어느 하나의 기능을 전달하기 위한 인스턴스 관리 메시지를 설정하는 단계, SDN 컨트롤러와 상기 NFV 플랫폼 간의 관리 프로토콜(Management Protocol)을 통해 상기 인스턴스 관리 메시지를 통신하는 단계 및 상기 SDN 컨트롤러에서, 상기 인스턴스 관리 메시지를 기반으로 상기 가상화된 네트워크 보안 기능을 관리하는 단계를 포함한다.
본 발명의 실시예에 따르면, SDN 및 NFV 기술을 적용하여 소프트웨어 기반의 네트워크 보안 기능들을 동적으로 설정함으로써, 하드웨어 기반의 네트워크 보안 장비의 한계점을 극복할 수 있고, 유동적인 네트워크 보안 기능을 제공할 수 있다.
또한, 본 발명의 실시예에 따르면, 동적인 네트워크와 동시에 동적인 네트워크 보안 기능을 실현함으로써, 빠르게 변화하는 도로 교통 네트워크에 적합한 네트워크 구조를 제안할 수 있다.
또한, 본 발명의 실시예에 따르면, 추가적인 인터페이스를 통해 시스템의 확장성 및 관리자의 편의성을 제공할 수 있다.
도 1은 본 발명의 일 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템의 구조를 도시한 것이다.
도 2는 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템의 세부 구성을 블록도로 도시한 것이다.
도 3은 본 발명의 실시예에 따른 NFV 플랫폼 관리 프로토콜의 예를 도시한 것이다.
도 4는 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 방법의 흐름도를 도시한 것이다.
이하, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 또한, 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
또한, 본 명세서에서 사용되는 용어(terminology)들은 본 발명의 바람직한 실시예를 적절히 표현하기 위해 사용된 용어들로서, 이는 시청자, 운용자의 의도 또는 본 발명이 속하는 분야의 관례 등에 따라 달라질 수 있다. 따라서, 본 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명은 네트워크 기능 가상화(Network Function Virtualization; NFV) 기법 및 소프트웨어 정의 네트워크(Software Defined Networking; SDN)을 활용하여 기존의 도로 교통 네트워크에서 발생 가능한 네트워크 취약점들을 방어할 수 있는 전체적인 시스템 아키텍처를 제공하는 것을 그 요지로 한다.
이하에서는, 도 1 내지 도 4를 참조하여 본 발명에 대해 보다 상세히 설명하고자 한다.
도 1은 본 발명의 일 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템의 구조를 도시한 것이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 동적인 네트워크 보안 기능을 제공하여 빠르게 변하는 도로 교통 네트워크에 적합한 네트워크 구조를 제안한다.
본 발명의 일 실시예에 따른 SDN(Software Defined Networking, 소프트웨어 정의 네트워크) 및 NFV(Network Function Virtualization, 네트워크 기능 가상화)를 이용하여 도로 교통 네트워크에서 보안 서비스를 제공하는 시스템(100)은 SDN 컨트롤러(SDN Controller, 110), NFV 플랫폼(NFV Platform, 120) 및 네트워크(200)를 포함하며, 네트워크(200) 내에서 NFV 플랫폼(120)이 동작하는 서버(210), SDN 컨트롤러(110)와 통신하는 스위치(Switch, 220) 및 이동성 단말(또는 차량, 230)을 포함한다.
SDN 컨트롤러(110)는 네트워크(200) 상에서 NFV 플랫폼(120)과 통신하며, NFV 플랫폼(120)에 의해 가상화된 네트워크 보안 기능의 공격, 오류 및 관리 중 적어도 어느 하나의 기능을 포함하는 인스턴스 관리 메시지를 수신하고, 인스턴스 관리 메시지를 기반으로 네트워크(200) 재설정하여 가상화된 네트워크 보안 기능을 관리한다.
NFV 플랫폼(120)은 중앙 집중화된 SDN 컨트롤러(110)의 제어 커맨드에 의해 동작하고 결과를 SDN 컨트롤러(110)에게 다시 전달하며, NFV 플랫폼(120)과 SDN 컨트롤러(110) 간의 통신은 NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol)을 기반으로 한다.
예를 들면, SDN 컨트롤러(110)은 NFV 플랫폼(120)과 NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol)로 인한 TCP/IP을 통해 패킷을 통신하고, 스위치(Switch, 220)와 NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol) 또는 오픈플로우 프로토콜(OpenFlow Protocol)을 통해 제어 커맨드(Control Commend), 플로우 룰(Flow Rule) 등을 통신할 수 있다.
NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol)은 가상화된 네트워크 보안 기능의 인스턴스(Instance) 관리, 공격 탐지 대응, 인스턴스 오류 대응 등으로 분류된 메시지 종류를 포함할 수 있으며, 2비트의 메시지 타입 필드, 2비트의 메시지 설정 필드 및 2비트의 메시지 내용 필드로 구성될 수 있다.
또한, SDN 컨트롤러(110)는 소프트웨어 정의 네트워크(Software Defined Networking; SDN)에서 가장 많이 사용되는 오픈플로우 프로토콜(OpenFlow Protocol)을 이용하여 스위치(220)를 제어할 수 있다. 예를 들면, SDN 컨트롤러(110)는 오픈플로우 프로토콜(OpenFlow Protocol)을 이용하여 스위치(220)의 플로우 테이블에 유연하게 플로우 룰(Flow Rule)을 설치 또는 제거할 수 있다.
이 때, 스위치(220)는 오픈플로우 프로토콜로 인한 플로우 룰(Flow Rule)을 기반으로 플로우 테이블을 생성하고, SDN 컨트롤러(110)로부터 플로우 룰(Flow Rule)을 설치하기 위한 오픈플로우 패킷을 수신하면, 플로우 테이블에 플로우 룰을 입력하여 플로우 테이블에 따라 패킷을 전달할 수 있다.
도 1를 참조하면, 본 발명의 일 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)에서 NFV 플랫폼(120)은 SDN 컨트롤러(110)의 제어 커맨드에 따라 가상화된 네트워크 보안 기능의 인스턴스를 생성, 삭제, 이동시킨다.
보다 구체적으로, NFV 플랫폼(120)은 가상화된 네트워크 보안 기능들의 이미지를 포함하고 있으며, SDN 컨트롤러(110)의 제어 커맨드(Control Commend)에 따라 특정 네트워크 보안 기능의 인스턴스를 생성, 삭제 또는 다른 서버에 위치한 NFV 플랫폼으로 이동시킬 수 있다.
이 때, 가상화된 네트워크 보안 기능은 방화벽(Firewall), 침입 탐지 시스템(Intrusion Detection System; IDS), 이상 탐지 시스템(Anomaly Detection System)일 수 있다.
서버(220) 또는 NFV 플랫폼(120)에서 다른 서버 또는 다른 NFV 플랫폼(120)으로의 패킷 전송은 SDN 컨트롤러(110)에 의해 선택 및 수행될 수 있다. 예를 들면, SDN 컨트롤러(110)는 서버 선택 알고리즘을 이용하여 보안 기능이 동작하며, 패킷 전달 시간을 최소화하는 서버(220) 또는 NFV 플랫폼(120)을 선택할 수 있다.
SDN 컨트롤러(110)에 의해 서버(220) 또는 NFV 플랫폼(120)이 선택되면, NFV 플랫폼(120)은 가상화된 네트워크 보안 기능의 인스턴스를 생성, 삭제 및 이동 중 적어도 어느 하나를 포함하는 인스턴스 관리 메시지를 설정할 수 있다.
예를 들면, NFV 플랫폼(120)은 선택된 서버(220) 또는 NFV 플랫폼(120)과 가상화된 네트워크 보안 기능의 인스턴스(Instance) 관리, 공격 탐지 대응 및 인스턴스 오류 대응 중 적어도 어느 하나의 기능을 통신하기 위해 생성, 삭제, 이동, 차단, 제외, 상태요청, 정상, 오류 등의 유형을 메시지 타입 필드에 설정하여 인스턴스 관리 메시지를 생성할 수 있다. 보다 상세하게, NFV 플랫폼(120)은 인스턴스 관리에 대한 생성, 삭제, 이동 등의 인스턴스 관리 메시지, 공격 탐지 대응에 대한 차단, 제외 등의 인스턴스 관리 메시지, 인스턴스 오류 대응에 대한 상태요청, 정상, 오류 등의 인스턴스 관리 메시지를 설정할 수 있다.
이에 따라서, NFV 플랫폼(120)은 선택된 서버(220) 또는 NFV 플랫폼(120)과 NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol)을 통해 인스턴스 관리 메시지를 주고받는 통신을 수행할 수 있다.
본 발명의 일 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 중앙 집중화된 SDN 컨트롤러(110)를 통해 전체 네트워크를 관리하고, NFV 플랫폼(120)과 통신함으로써, 트래픽이 보안 기능을 수행하는 서버(220)를 경유하도록 네트워크를 동적으로 설정할 수 있다.
예를 들면, 제1 단말(또는 특정 호스트)에서 제2 단말(다른 호스트) 또는 서버(220)로 트래픽을 전달할 때, 본 발명의 일 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 보안 기능을 수행하는 서버(220)를 경유하도록 서버 선택 알고리즘을 적용할 수 있다.
일 예로, SDN 컨트롤러(110)는 서버 선택 알고리즘을 이용하여, 제1 단말에서 제2 단말까지의 거리 중 보안 기능을 수행하는 서버를 경유하는 최단거리를 제공하여 제1 단말(또는 특정 호스트)에서 제2 단말(다른 호스트) 또는 서버(220)로 트래픽이 전달되도록 제공할 수 있다.
다른 예로, SDN 컨트롤러(110)는 서버 선택 알고리즘을 이용하여, 제1 단말에서 제2 단말까지의 최단거리에서 보안 기능을 수행하는 서버 중 가장 근접한 서버를 경유하도록 제공하여 제1 단말(또는 특정 호스트)에서 제2 단말(다른 호스트) 또는 서버(220)로 트래픽이 전달되도록 제공할 수 있다.
또 다른 예로, SDN 컨트롤러(110)는 전술한 두 가지 예를 모두 거쳐야 보안 기능을 수행하는 서버를 경유하도록 제공할 수 있으며, 네트워크 관리자에 의해 직접 선택될 수도 있다.
이에 따라서, 본 발명의 일 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 SDN 및 NFV 기술을 적용하여 소프트웨어 기반의 네트워크 보안 기능들을 동적으로 설정함으로써, 유동적인 네트워크 보안 기능을 제공할 수 있다.
또한, 본 발명의 일 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 추가적인 인터페이스를 제공할 수 있으며, 네트워크 관리자는 새로운 타입의 네트워크 보안 기능들을 추가 및 설치할 수 있다. 또한, 네트워크 관리자는 본 발명의 일 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)에서 제공되는 관리자 인터페이스를 통해 전체 네트워크 상황을 모니터링하고, 즉시 제어할 수도 있다.
도 2는 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템의 세부 구성을 블록도로 도시한 것이다.
도 2를 참조하면, 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 SDN(Software Defined Networking, 소프트웨어 정의 네트워크) 및 NFV(Network Function Virtualization, 네트워크 기능 가상화)를 이용하여 도로 교통 네트워크에서 보안 서비스를 제공한다.
이를 위해, 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 메시지 설정부(130), 통신부(140) 및 보안 관리부(150)를 포함한다. 또한, 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 경로 설정부(160) 및 서버 선택부(170)를 더 포함할 수 있다.
본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 SDN 컨트롤러(SDN Controller, 110), NFV 플랫폼(NFV Platform, 120)과 서버(210), 스위치(Switch, 220) 및 이동성 단말(또는 차량, 230)를 포함하는 네트워크 환경에서, 메시지 설정부(130), 통신부(140), 보안 관리부(150), 설정부(160) 및 서버 선택부(170)를 이용한 보안 서비스를 통해 도로 교통 네트워크를 대상으로 한 여러 공격에 대해 유연하고 동적으로 대응할 수 있다.
메시지 설정부(130)는 NFV 플랫폼에서, 가상화된 네트워크 보안 기능의 공격, 오류 및 관리 중 적어도 어느 하나의 기능을 전달하기 위한 인스턴스 관리 메시지를 설정한다.
예를 들면, 메시지 설정부(130)는 SDN 컨트롤러 및 NFV 플랫폼 간에 통신을 위해, NFV 플랫폼에서, 가상화된 네트워크 보안 기능의 인스턴스(Instance) 관리, 공격 탐지 대응 및 인스턴스 오류 대응 중 적어도 어느 하나의 기능을 생성, 삭제, 이동, 차단, 제외, 상태요청, 정상, 오류 등의 유형을 메시지 타입 필드에 설정하여 인스턴스 관리 메시지를 생성할 수 있다. 보다 상세하게, 메시지 설정부(130)는 인스턴스 관리에 대한 생성, 삭제, 이동 등의 인스턴스 관리 메시지, 공격 탐지 대응에 대한 차단, 제외 등의 인스턴스 관리 메시지, 인스턴스 오류 대응에 대한 상태요청, 정상, 오류 등의 인스턴스 관리 메시지를 설정할 수 있다.
이에 따라서, 메시지 설정부(130)는 어느 하나의 기능에서 유형에 따른 메시지 내용을 포함하는 인스턴스 관리 메시지를 설정할 수 있으며, 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 통신부(140)를 통해 인스턴스 관리 메시지를 통신할 수 있다.
통신부(140)는 SDN 컨트롤러와 NFV 플랫폼 간의 관리 프로토콜(Management Protocol)을 통해 인스턴스 관리 메시지를 통신한다.
예를 들면, 통신부(140)는 SDN 컨트롤러와 NFV 플랫폼 간의 NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol)로 인한 TCP/IP을 통해 패킷을 통신하고, SDN 컨트롤러와 스위치(Switch) 간의 오픈플로우 프로토콜(OpenFlow Protocol)을 통해 제어 커맨드(Control Commend), 플로우 룰(Flow Rule)을 통신할 수 있다.
SDN 컨트롤러는 소프트웨어 정의 네트워크(Software Defined Networking; SDN)에서 가장 많이 사용되는 오픈플로우 프로토콜(OpenFlow Protocol)을 이용하여 스위치를 제어할 수 있다. 또한, SDN 컨트롤러는 오픈플로우 프로토콜(OpenFlow Protocol)을 이용하여 스위치에 유연하게 플로우 룰(Flow Rule)을 설치하고 제거할 수 있다.
NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol)은 가상화된 네트워크 보안 기능의 인스턴스(Instance) 관리, 공격 탐지 대응, 인스턴스 오류 대응 등으로 분류된 메시지 종류를 포함할 수 있으며, 2비트의 메시지 타입 필드, 2비트의 메시지 설정 필드 및 2비트의 메시지 내용 필드로 구성될 수 있다.
이하에서는 도 3을 참조하여, 본 발명의 실시예에 따른 NFV 플랫폼 관리 프로토콜에 대해 상세히 설명하고자 한다.
도 3은 본 발명의 실시예에 따른 NFV 플랫폼 관리 프로토콜의 예를 도시한 것이다.
도 3에 도시된 패킷(Packet)을 참조하면, 패킷은 이더넷(Ethernet), IP 헤더(IP Header), TCP 헤더(TCP Header) 및 NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol, 300)을 포함한다.
NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol, 300)은 가상화된 네트워크 보안 기능 인스턴스(Instance) 관리, 공격 탐지 대응, 인스턴스 오류 대응 등으로 분류된 메시지 종류를 포함할 수 있으며, 2비트의 메시지 타입 필드(Type, 310), 2비트의 메시지 설정 필드(Config, 320) 및 2비트의 메시지 내용 필드(Payload, 330)로 구성될 수 있다.
도 3을 참조하면, NFV 플랫폼 관리 프로토콜(300)의 메시지 타입 필드(310)는 인스턴스 관리에 대한 생성, 삭제, 이동 등의 유형, 공격 탐지 대응에 대한 차단, 제외 등의 유형, 인스턴스 오류 대응에 대한 상태요청, 정상, 오류 등의 유형을 포함할 수 있다.
NFV 플랫폼 관리 프로토콜(300)의 메시지 설정 필드(320)는 인스턴스(Instance) 관리, 공격 탐지 대응 및 인스턴스 오류 대응 각각에 대한 설정값을 포함하며, 인스턴스(Instance) 관리, 공격 탐지 대응 및 인스턴스 오류 대응에 대한 유형에 따라 서로 다른 설정값을 포함할 수 있다.
NFV 플랫폼 관리 프로토콜(300)의 메시지 내용 필드(330)는 인스턴스(Instance) 관리, 공격 탐지 대응 및 인스턴스 오류 대응 중 적어도 어느 하나의 기능에 대한 유형에 따라 '보안 기능(FW, IDS, Anomaly Detection)', '이미지 파일', '단말 정보(IP, MAC 주소)', '없음' 등의 메시지 내용을 포함할 수 있다.
일 예로, 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 메시지 타입 필드(310)를 '인스턴스 관리'로 설정한 경우, 메시지 설정 필드(320)를 생성의 경우 1, 삭제의 경우 2, 이동의 경우 3으로 설정할 수 있다. 메시지 설정 필드(320)에서 생성과 삭제의 경우에는 메시지 내용 필드(330)에 원하는 보안 기능 예를 들면, FW, IDS, Anomaly Detection 등을 설정해 전달할 수 있다. 또한, 메시지 설정 필드(320)에서 이동의 경우에는 메시지 내용 필드(330)에 이미지 파일을 설정해 전달할 수 있다. 예를 들어, 이동의 경우, SDN 컨트롤러는 서버에게 이미지를 요청하면, 서버 또는 NFV 플랫폼은 응답으로 메시지 내용 필드(330)에 이미지 파일을 설정해 반환할 수 있으며, SDN 컨트롤러는 수신된 이미지 파일을 생성 메시지를 통해 원하는 서버에게 전달할 수 있다.
이 때, 보안 기능은 방화벽(Firewall), 침입 탐지 시스템(Intrusion Detection System; IDS), 이상 탐지 시스템(Anomaly Detection System) 등 3가지의 기능을 제공한다.
다른 예로, 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 메시지 타입 필드(310)를 '공격 탐지 대응'으로 설정한 경우, 메시지 설정 필드(320)를 차단의 경우 1, 제외의 경우 2로 설정할 수 있다. 메시지 설정 필드(320)에서 차단과 제외의 경우에는 메시지 내용 필드(330)에 차단 또는 제외를 원하는 단말의 구체적인 단말 정보 예를 들면, IP, MAC 주소 등을 설정해 전달할 수 있다.
예를 들어, 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)이 가상화된 네트워크 보안 기능의 공격을 탐지했을 경우, 공격에 대한 정보가 중앙 집중화된 SDN 컨트롤러에 전달될 수 있다. SDN 컨트롤러는 전달받은 내용을 기반으로 네트워크를 재설정하여 악성 트래픽을 차단하거나 공격자의 단말을 네트워크에서 제외시킴으로써, 공격을 방어할 수 있다.
이에 따라서, 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 메시지 타입 필드(310)를 '공격 탐지 대응'으로 설정하고, 메시지 설정 필드(320)를 차단의 경우 1, 제외의 경우 2로 설정할 수 있다. 이 때, 차단의 경우는 SDN 컨트롤러가 해당 이동성 단말의 트래픽은 차단하지만 이동성 단말의 존재를 인식하는 것이고, 제외의 경우는 해당 이동성 단말의 존재 자체를 인식하지 않고 연결을 차단하는 것을 의미한다.
또 다른 예로, 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 메시지 타입 필드(310)를 '인스턴스 오류 대응'으로 설정한 경우, 메시지 설정 필드(320)를 상태요청의 경우 1, 정상의 경우 2, 오류의 경우 3으로 설정할 수 있다. 메시지 설정 필드(320)에서 상태요청의 경우에는 메시지 내용 필드(330)를 비운 채(없음 또는 내용 무)로 설정해 전달할 수 있다. 또한, 메시지 설정 필드(320)에서 정상의 경우에는 메시지 내용 필드(330)에 서버에서 현재 동작 중인 보안 기능을 나열해 전달할 수 있으며, 오류의 경우에는 메시지 내용 필드(330)에 문제가 발생한 보안 기능을 설정해 전달할 수 있다.
이 때, 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 문제(오류)가 발생된 경우, SDN 컨트롤러에 의해 도로 교통 네트워크 관리자에게 알릴 수 있다.
즉, 본 발명의 실시예에 따른 인스턴스 관리 메시지는 메시지 타입 필드(310), 메시지 설정 필드(320) 및 메시지 내용 필드(330)를 포함한 것일 수 있으며, NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol, 300)에 의해 통신될 수 있다.
다시 도 2를 참조하면, 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)의 보안 관리부(150)는 SDN 컨트롤러에 의해 인스턴스 관리 메시지를 기반으로 가상화된 네트워크 보안 기능을 관리한다.
보안 관리부(150)는 SDN 컨트롤러에서, 가상화된 네트워크 보안 기능의 인스턴스(Instance) 관리, 공격 탐지 대응 및 인스턴스 오류 대응 중 적어도 어느 하나의 기능에 대한 생성, 삭제, 이동, 차단, 제외, 상태요청, 정상, 오류 등의 유형을 기반으로 네트워크를 재설정하여 악성 트래픽을 차단하거나, 공격자의 단말을 네트워크에서 제외시키는 등의 네트워크 관리를 수행할 수 있다.
또한, 보안 관리부(150)는 SDN 컨트롤러를 통해 네트워크를 관리하고, NFV 플랫폼과 통신하여 트래픽이 가상화된 네트워크 보안 기능을 수행하는 서버를 경유하도록 네트워크를 동적으로 설정할 수 있다.
본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)의 경로 설정부(160)는 최적 서버 알고리즘을 이용하여 네트워크에 진입하는 단말의 경로를 설정할 수 있다.
예를 들면, 새로운 이동성 단말이 네트워크에 진입하는 경우, 경로 설정부(160)는 최적 서버 알고리즘을 이용하여 네트워크에 진입하는 단말의 경로를 설정할 수 있다. 이로 인해, 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템(100)은 스위치에서 진입하는 단말의 경로에 맞는 플로우 룰(Flow Rule)이 설치되도록 제어할 수 있다.
서버 선택부(170)는 서버 선택 알고리즘을 이용하여 서버를 선택할 수 있다.
예를 들면, 제1 단말(또는 특정 호스트)에서 제2 단말(다른 호스트) 또는 서버로 트래픽을 전달할 때, 서버 선택부(170)는 보안 기능을 수행하는 서버를 경유하도록 서버 선택 알고리즘을 적용할 수 있다.
일 예로, 서버 선택부(170)는 서버 선택 알고리즘을 이용하여, 제1 단말에서 제2 단말까지의 거리 중 보안 기능을 수행하는 서버를 경유하는 최단거리를 제공하여 제1 단말(또는 특정 호스트)에서 제2 단말(다른 호스트) 또는 서버로 트래픽이 전달되도록 제공할 수 있다.
다른 예로, 서버 선택부(170)는 서버 선택 알고리즘을 이용하여, 제1 단말에서 제2 단말까지의 최단거리에서 보안 기능을 수행하는 서버 중 가장 근접한 서버를 경유하도록 제공하여 제1 단말(또는 특정 호스트)에서 제2 단말(다른 호스트) 또는 서버로 트래픽이 전달되도록 제공할 수 있다.
도 4는 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 방법의 흐름도를 도시한 것이다.
도 4의 방법은 도 2에 도시된 본 발명의 실시예에 따른 도로 교통 네트워크의 보안 서비스 제공 시스템에 의해 수행된다.
도 4를 참조하면, 단계 410에서, NFV 플랫폼에서, 가상화된 네트워크 보안 기능의 공격, 오류 및 관리 중 적어도 어느 하나의 기능을 전달하기 위한 인스턴스 관리 메시지를 설정한다.
예를 들면, 단계 410은 SDN 컨트롤러 및 NFV 플랫폼 간에 통신을 위해, NFV 플랫폼에서, 가상화된 네트워크 보안 기능의 인스턴스(Instance) 관리, 공격 탐지 대응 및 인스턴스 오류 대응 중 적어도 어느 하나의 기능을 생성, 삭제, 이동, 차단, 제외, 상태요청, 정상, 오류 등의 유형을 메시지 타입 필드에 설정하여 인스턴스 관리 메시지를 생성하는 단계일 수 있다. 보다 상세하게는, 단계 410은 인스턴스 관리에 대한 생성, 삭제, 이동 등의 인스턴스 관리 메시지, 공격 탐지 대응에 대한 차단, 제외 등의 인스턴스 관리 메시지, 인스턴스 오류 대응에 대한 상태요청, 정상, 오류 등의 인스턴스 관리 메시지를 설정할 수 있다.
단계 420에서, SDN 컨트롤러와 NFV 플랫폼 간의 관리 프로토콜(Management Protocol)을 통해 인스턴스 관리 메시지를 통신한다.
예를 들면, 단계 420은 SDN 컨트롤러와 NFV 플랫폼 간의 NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol)로 인한 TCP/IP을 통해 패킷을 통신하고, SDN 컨트롤러와 스위치(Switch) 간의 오픈플로우 프로토콜(OpenFlow Protocol)을 통해 제어 커맨드(Control Commend), 플로우 룰(Flow Rule)을 통신하는 단계일 수 있다.
SDN 컨트롤러는 소프트웨어 정의 네트워크(Software Defined Networking; SDN)에서 가장 많이 사용되는 오픈플로우 프로토콜(OpenFlow Protocol)을 이용하여 스위치를 제어할 수 있다. 또한, SDN 컨트롤러는 오픈플로우 프로토콜(OpenFlow Protocol)을 이용하여 스위치에 유연하게 플로우 룰(Flow Rule)을 설치하고 제거할 수 있다.
NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol)은 가상화된 네트워크 보안 기능의 인스턴스(Instance) 관리, 공격 탐지 대응, 인스턴스 오류 대응 등으로 분류된 메시지 종류를 포함할 수 있으며, 2비트의 메시지 타입 필드, 2비트의 메시지 설정 필드 및 2비트의 메시지 내용 필드로 구성될 수 있다.
단계 430에서, SDN 컨트롤러에 의해 인스턴스 관리 메시지를 기반으로 가상화된 네트워크 보안 기능을 관리한다.
단계 430은 SDN 컨트롤러에서, 가상화된 네트워크 보안 기능의 인스턴스(Instance) 관리, 공격 탐지 대응 및 인스턴스 오류 대응 중 적어도 어느 하나의 기능에 대한 생성, 삭제, 이동, 차단, 제외, 상태요청, 정상, 오류 등의 유형을 기반으로 네트워크를 재설정하여 악성 트래픽을 차단하거나, 공격자의 단말을 네트워크에서 제외시키는 등의 네트워크 관리를 수행하는 단계일 수 있다.
또한, 단계 430은 SDN 컨트롤러를 통해 네트워크를 관리하고, NFV 플랫폼과 통신하여 트래픽이 가상화된 네트워크 보안 기능을 수행하는 서버를 경유하도록 네트워크를 동적으로 설정하는 단계일 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD­ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기­광 매체(magneto­optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
100: 도로 교통 네트워크의 보안 서비스 제공 시스템
200: 네트워크
210: 서버
220: 스위치
230: 이동성 단말

Claims (18)

  1. SDN(Software Defined Networking, 소프트웨어 정의 네트워크) 및 NFV(Network Function Virtualization, 네트워크 기능 가상화)를 이용하여 도로 교통 네트워크에서 보안 서비스를 제공하는 시스템에 있어서,
    NFV 플랫폼에서, 가상화된 네트워크 보안 기능의 공격, 오류 및 관리 중 적어도 어느 하나의 기능을 전달하기 위한 인스턴스 관리 메시지를 설정하는 메시지 설정부;
    SDN 컨트롤러와 상기 NFV 플랫폼 간의 관리 프로토콜(Management Protocol)을 통해 상기 인스턴스 관리 메시지를 통신하는 통신부;
    상기 SDN 컨트롤러에서, 상기 인스턴스 관리 메시지를 기반으로 상기 가상화된 네트워크 보안 기능을 관리하는 보안 관리부;
    최적 서버 알고리즘을 이용하여 네트워크에 진입하는 단말의 경로를 설정하는 경로 설정부; 및
    서버 선택 알고리즘을 이용하여 서버를 선택하는 서버 선택부
    를 포함하되,
    상기 메시지 설정부는
    상기 NFV 플랫폼에서 상기 가상화된 네트워크 보안 기능의 인스턴스(Instance) 관리에 대한 생성, 삭제, 이동의 상기 인스턴스 관리 메시지, 공격 탐지 대응에 대한 차단, 제외의 상기 인스턴스 관리 메시지, 인스턴스 오류 대응에 대한 상태요청, 정상, 오류의 상기 인스턴스 관리 메시지를 설정하고,
    상기 통신부는
    상기 SDN 컨트롤러와 상기 NFV 플랫폼 간의 NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol)을 통해 패킷을 통신하며,
    상기 경로 설정부는
    새로운 이동성 단말이 네트워크에 진입하면, 상기 최적 서버 알고리즘을 통해 네트워크에 진입하는 단말의 경로를 설정하여 스위치에서 상기 진입하는 단말의 경로에 대응하는 플로우 룰(Flow Rule)의 설치를 요청하는 것을 특징으로 하는, 도로 교통 네트워크의 보안 서비스 제공 시스템.
  2. 삭제
  3. 제1항에 있어서,
    상기 메시지 설정부는
    상기 SDN 컨트롤러 및 상기 NFV 플랫폼 간에 통신하기 위해, 상기 가상화된 네트워크 보안 기능의 인스턴스(Instance) 관리, 공격 탐지 대응 및 인스턴스 오류 대응 중 적어도 어느 하나의 기능을 생성, 삭제, 이동, 차단, 제외, 상태요청, 정상 또는 오류 중 하나 이상의 유형을 메시지 타입 필드에 설정하여 상기 인스턴스 관리 메시지를 생성하는 도로 교통 네트워크의 보안 서비스 제공 시스템.
  4. 삭제
  5. 제3항에 있어서,
    상기 메시지 설정부는
    상기 어느 하나의 기능에서 상기 유형에 따른 메시지 내용을 포함하는 상기 인스턴스 관리 메시지를 설정하는 도로 교통 네트워크의 보안 서비스 제공 시스템.
  6. 제1항에 있어서,
    상기 통신부는
    상기 SDN 컨트롤러와 스위치(Switch) 간의 오픈플로우 프로토콜(OpenFlow Protocol)을 통해 제어 커맨드(Control Command), 또는 플로우 룰(Flow Rule)을 통신하는 도로 교통 네트워크의 보안 서비스 제공 시스템.
  7. 제3항에 있어서,
    상기 보안 관리부는
    상기 어느 하나의 기능에 대한 상기 유형을 기반으로 네트워크를 재설정하여 악성 트래픽을 차단하거나, 공격자의 단말을 네트워크에서 제외시키는 네트워크를 관리하는 도로 교통 네트워크의 보안 서비스 제공 시스템.
  8. 제1항에 있어서,
    상기 보안 관리부는
    상기 SDN 컨트롤러를 통해 네트워크를 관리하고, 상기 NFV 플랫폼과 통신하여 트래픽이 상기 가상화된 네트워크 보안 기능을 수행하는 서버를 경유하도록 네트워크를 동적으로 설정하는 것을 특징으로 하는 도로 교통 네트워크의 보안 서비스 제공 시스템.
  9. 제1항에 있어서,
    상기 서버 선택부는
    제1 단말에서 제2 단말로 트래픽을 전달할 때, 서버 선택 알고리즘을 이용하여 보안 기능이 동작하며, 패킷 전달 시간을 최소화하는 서버 또는 NFV 플랫폼을 선택하는 도로 교통 네트워크의 보안 서비스 제공 시스템.
  10. 제9항에 있어서,
    상기 서버 선택부는
    상기 서버 선택 알고리즘을 이용하여, 상기 제1 단말에서 상기 제2 단말까지의 거리 중 보안 기능을 수행하는 서버를 경유하는 최단거리를 제공하거나, 상기 제1 단말에서 상기 제2 단말까지의 최단거리에서 상기 보안 기능을 수행하는 서버 중 가장 근접한 서버를 경유하도록 제공하는 도로 교통 네트워크의 보안 서비스 제공 시스템.
  11. SDN(Software Defined Networking, 소프트웨어 정의 네트워크) 및 NFV(Network Function Virtualization, 네트워크 기능 가상화)를 이용하여 도로 교통 네트워크에서 보안 서비스를 제공하는 시스템에 있어서,
    네트워크 상에서 NFV 플랫폼과 통신하며, 상기 NFV 플랫폼에 의해 가상화된 네트워크 보안 기능의 공격, 오류 및 관리 중 적어도 어느 하나의 기능을 포함하는 인스턴스 관리 메시지를 수신하고, 상기 인스턴스 관리 메시지를 기반으로 네트워크 재설정하여 상기 가상화된 네트워크 보안 기능을 관리하는 SDN 컨트롤러; 및
    상기 SDN 컨트롤러의 제어 커맨드에 따라 상기 가상화된 네트워크 보안 기능의 인스턴스를 생성, 삭제, 이동시키는 NFV 플랫폼
    을 포함하되,
    상기 NFV 플랫폼은
    상기 가상화된 네트워크 보안 기능의 인스턴스(Instance) 관리에 대한 생성, 삭제, 이동의 상기 인스턴스 관리 메시지, 공격 탐지 대응에 대한 차단, 제외의 상기 인스턴스 관리 메시지, 인스턴스 오류 대응에 대한 상태요청, 정상, 오류의 상기 인스턴스 관리 메시지를 설정하고,
    상기 SDN 컨트롤러는
    NFV 플랫폼 관리 프로토콜(NFV Platform Management Protocol)을 통해 상기 NFV 플랫폼과 상기 인스턴스 관리 메시지를 통신하며,
    새로운 이동성 단말이 네트워크에 진입하면, 최적 서버 알고리즘을 통해 네트워크에 진입하는 단말의 경로를 설정하여 스위치에서 상기 진입하는 단말의 경로에 대응하는 플로우 룰(Flow Rule)의 설치를 제어하는 것을 특징으로 하는, 도로 교통 네트워크의 보안 서비스 제공 시스템.
  12. 제11항에 있어서,
    상기 SDN 컨트롤러는
    오픈플로우 프로토콜(OpenFlow Protocol)을 통해 스위치(Switch)와 제어 커맨드(Control Command), 또는 플로우 룰(Flow Rule)을 통신하는 도로 교통 네트워크의 보안 서비스 제공 시스템.
  13. 제12항에 있어서,
    상기 SDN 컨트롤러는
    네트워크를 관리하고, 상기 NFV 플랫폼과 통신하여 트래픽이 상기 가상화된 네트워크 보안 기능을 수행하는 서버를 경유하도록 네트워크를 동적으로 설정하는 것을 특징으로 하는 도로 교통 네트워크의 보안 서비스 제공 시스템.
  14. 제11항에 있어서,
    상기 SDN 컨트롤러는
    제1 단말에서 제2 단말로 트래픽을 전달할 때, 서버 선택 알고리즘을 이용하여 보안 기능이 동작하며, 패킷 전달 시간을 최소화하는 서버 또는 NFV 플랫폼을 선택하는 도로 교통 네트워크의 보안 서비스 제공 시스템.
  15. 제14항에 있어서,
    상기 SDN 컨트롤러는
    상기 서버 선택 알고리즘을 이용하여, 상기 제1 단말에서 상기 제2 단말까지의 거리 중 보안 기능을 수행하는 서버를 경유하는 최단거리를 제공하거나, 상기 제1 단말에서 상기 제2 단말까지의 최단거리에서 상기 보안 기능을 수행하는 서버 중 가장 근접한 서버를 경유하도록 제공하는 도로 교통 네트워크의 보안 서비스 제공 시스템.
  16. 제11항에 있어서,
    상기 NFV 플랫폼은
    상기 SDN 컨트롤러 및 상기 NFV 플랫폼 간에 통신하기 위해, 상기 가상화된 네트워크 보안 기능의 인스턴스(Instance) 관리, 공격 탐지 대응 및 인스턴스 오류 대응 중 적어도 어느 하나의 기능을 생성, 삭제, 이동, 차단, 제외, 상태요청, 정상 또는 오류 중 하나 이상의 유형을 메시지 타입 필드에 설정하여 상기 인스턴스 관리 메시지를 생성하는 도로 교통 네트워크의 보안 서비스 제공 시스템.
  17. 삭제
  18. 삭제
KR1020180038069A 2018-04-02 2018-04-02 Sdn 및 nfv를 이용한 도로 교통 네트워크의 보안 서비스 제공 시스템 및 그 방법 KR102136923B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180038069A KR102136923B1 (ko) 2018-04-02 2018-04-02 Sdn 및 nfv를 이용한 도로 교통 네트워크의 보안 서비스 제공 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180038069A KR102136923B1 (ko) 2018-04-02 2018-04-02 Sdn 및 nfv를 이용한 도로 교통 네트워크의 보안 서비스 제공 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20190115257A KR20190115257A (ko) 2019-10-11
KR102136923B1 true KR102136923B1 (ko) 2020-08-26

Family

ID=68210513

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180038069A KR102136923B1 (ko) 2018-04-02 2018-04-02 Sdn 및 nfv를 이용한 도로 교통 네트워크의 보안 서비스 제공 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102136923B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101661743B1 (ko) * 2015-04-07 2016-10-11 경기대학교 산학협력단 대용량 트래픽 방어를 위한 소프트웨어 정의 네트워크 시스템 및 방법
US20170187686A1 (en) 2015-12-25 2017-06-29 Sanctum Networks Limited Enhancing privacy and security on a SDN network using SND flow based forwarding control
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101767472B1 (ko) * 2014-11-26 2017-08-11 쿨클라우드(주) Sdn 기반의 제어기의 데이터 경로 변경 방법
KR101887544B1 (ko) * 2016-06-22 2018-08-10 (주)유미테크 Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101661743B1 (ko) * 2015-04-07 2016-10-11 경기대학교 산학협력단 대용량 트래픽 방어를 위한 소프트웨어 정의 네트워크 시스템 및 방법
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
US20170187686A1 (en) 2015-12-25 2017-06-29 Sanctum Networks Limited Enhancing privacy and security on a SDN network using SND flow based forwarding control

Also Published As

Publication number Publication date
KR20190115257A (ko) 2019-10-11

Similar Documents

Publication Publication Date Title
EP3737036B1 (en) Firewall configuration and message sending method and device
US10701103B2 (en) Securing devices using network traffic analysis and software-defined networking (SDN)
US10904137B2 (en) Loop avoidance for event-driven virtual link aggregation
EP2776925B1 (en) Dynamic policy based interface configuration for virtualized environments
US9491189B2 (en) Revival and redirection of blocked connections for intention inspection in computer networks
US20150341377A1 (en) Method and apparatus to provide real-time cloud security
US20170208147A1 (en) Network infrastructure management
US20160065454A1 (en) Reporting static flows to a switch controller in a software-defined network (sdn)
KR20150088492A (ko) 네트워크를 통해 연결된 세그먼트들을 관리하는 방법 및 장치
US10033758B2 (en) System and method for operating protection services
US11330017B2 (en) Method and device for providing a security service
KR101881061B1 (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
KR102184114B1 (ko) 네트워크 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치
KR102275065B1 (ko) 보안 통제 장치 및 방법
KR102136923B1 (ko) Sdn 및 nfv를 이용한 도로 교통 네트워크의 보안 서비스 제공 시스템 및 그 방법
KR101883712B1 (ko) 네트워크 기능 가상화 시스템을 운용하는 방법, 장치 및 컴퓨터 프로그램
KR102013044B1 (ko) 멀웨어 공격을 방지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
KR101800145B1 (ko) 네트워크 기능을 제공하는 소프트웨어 스위치 및 그 동작 방법
Lotlikar et al. A Defense Mechanism for DoS Attacks in SDN (Software Defined Network)
US11676045B2 (en) Network node with reconfigurable rule-based routing
US11641374B2 (en) Determine a trusted dynamic host configuration protocol (DHCP) server in a DHCP snooping environment
CN114363294B (zh) 一种租户服务器的管理方法、装置以及系统
KR102174421B1 (ko) 효과적인 디도스 공격 완화를 위한 소프트웨어 정의 네트워킹 기반의 네트워크 보안 기능
CN117081811A (zh) 容器化场景下的网络流量编排方法、系统及相关设备

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant