KR102180038B1 - Wan node apparatus in tactical mesh network environment - Google Patents

Wan node apparatus in tactical mesh network environment Download PDF

Info

Publication number
KR102180038B1
KR102180038B1 KR1020190102316A KR20190102316A KR102180038B1 KR 102180038 B1 KR102180038 B1 KR 102180038B1 KR 1020190102316 A KR1020190102316 A KR 1020190102316A KR 20190102316 A KR20190102316 A KR 20190102316A KR 102180038 B1 KR102180038 B1 KR 102180038B1
Authority
KR
South Korea
Prior art keywords
tactical
wan node
traffic
tactical mesh
network environment
Prior art date
Application number
KR1020190102316A
Other languages
Korean (ko)
Inventor
박주만
권대훈
함재현
김종원
신준식
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Application granted granted Critical
Publication of KR102180038B1 publication Critical patent/KR102180038B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2491Mapping quality of service [QoS] requirements between different networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/31Flow control; Congestion control by tagging of packets, e.g. using discard eligibility [DE] bits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches
    • H04L67/28
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/16Obfuscation or hiding, e.g. involving white box

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

According to the present invention, a wide area network (WAN) node device for controlling traffic through networking with a control tower in a tactical mesh network environment comprises a tactical mesh WAN node performing real-time monitoring that collects packets and flows of traffic in real time and provides them to the control tower. The tactical mesh WAN node may include: an agent for managing the life cycle of a virtual entity constituting the interior of the tactical mesh WAN node; and a proxy for collecting the traffic transmitted and received through the tactical mesh WAN node, transmitting the traffic to the control tower, and performing conditioning to control traffic tagging and traffic distribution for monitoring individual packets targeting a virtual switch according to a quality of service (QoS) control message of the control tower.

Description

전술 메쉬망 환경에서의 WAN 노드 장치{WAN NODE APPARATUS IN TACTICAL MESH NETWORK ENVIRONMENT}WAN node device in a tactical mesh network environment {WAN NODE APPARATUS IN TACTICAL MESH NETWORK ENVIRONMENT}

본 발명은 WAN(Wide Area Network) 노드 장치에 관한 것으로, 더욱 상세하게는 트래픽의 패킷 및 플로우의 모니터링을 통해 전술 메쉬 트래픽의 서비스 품질(Quality of Service, QoS)을 조율할 수 있는 전술 메쉬망 환경에서의 WAN 노드 장치에 관한 것이다.The present invention relates to a WAN (Wide Area Network) node device, and more particularly, a tactical mesh network environment capable of tuning the quality of service (QoS) of tactical mesh traffic through monitoring of traffic packets and flows. It relates to a WAN node device in the.

알려진 바와 같이, 정보통신 기술의 발전으로 응용 서비스들을 IP(Internet Protocol) 기반으로 통합하는 All-IP 기반 미래형 전술망으로의 전환이 지속적으로 진행되고 있다.As is known, with the development of information and communication technology, the transition to an All-IP-based future tactical network in which application services are integrated based on Internet Protocol (IP) is continuously in progress.

전술 WAN 노드들이 메쉬 구조로 연결된 미래형 전술 메쉬망에서 응용 서비스의 서비스 품질(QoS) 보장을 위해, 인프라 계층과 응용 서비스 계층 사이에 존재하는 전술 서비스 메쉬(Tactical Service Mesh) 계층을 도입하는 것이 시도되고 있다.In order to guarantee the quality of service (QoS) of application services in a future tactical mesh network in which tactical WAN nodes are connected in a mesh structure, an attempt is made to introduce a tactical service mesh layer that exists between the infrastructure layer and the application service layer. have.

그러나, 기존 전술망을 구성하는 폐쇄형 네트워킹 박스들과 정적인 QoS 관제도구들은 전술 서비스 메쉬 계층에서 요구하는 지능형 QoS 조율을 위한 동적 QoS 관제를 지원하는 것이 전술 환경에서의 열악한 무선 환경 등으로 인해 어려운 실정이다.However, it is difficult to support dynamic QoS control for intelligent QoS coordination required by the tactical service mesh layer for closed networking boxes and static QoS control tools constituting the existing tactical network due to poor wireless environment in the tactical environment. Actually.

한국공개특허 제2019-0048595호(공개일: 2019. 05. 09.)Korean Patent Publication No. 2019-0048595 (Publication date: 2019. 05. 09.)

본 발명은, SDN/NFV(Software Defined Network/network function virtualization) 기반 다중-액세스 네트워킹 인터페이스와 가상화된 네트워킹 스위치를 포함하도록 하드웨어 및 소프트웨어를 통합시켜 전술 메쉬 WAN(Wide Area Network) 노드를 구성할 수 있는 전술 메쉬망 환경에서의 WAN 노드 장치를 제공하고자 한다.The present invention is capable of configuring a tactical mesh wide area network (WAN) node by integrating hardware and software to include a SDN/NFV (Software Defined Network/network function virtualization)-based multi-access networking interface and a virtualized networking switch. It is intended to provide a WAN node device in a tactical mesh network environment.

본 발명은, 전술 메쉬 WAN 노드에 eBPF(extended Berkeley Packet Filter) 기반의 트래픽 모니터링 방식을 연계시킴으로써, 전술 트래픽의 QoS 조율을 지원하는 트래픽 모니터링을 실현할 수 있는 전술 메쉬망 환경에서의 WAN 노드 장치를 제공하고자 한다.The present invention provides a WAN node device in a tactical mesh network environment capable of realizing traffic monitoring supporting QoS coordination of tactical traffic by linking a traffic monitoring method based on eBPF (extended Berkeley Packet Filter) to a tactical mesh WAN node. I want to.

본 발명이 해결하고자 하는 과제는 상기에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재들로부터 본 발명이 속하는 통상의 지식을 가진 자에 의해 명확하게 이해될 수 있을 것이다.The problem to be solved by the present invention is not limited to the ones mentioned above, and another problem to be solved that is not mentioned can be clearly understood by those of ordinary skill in the art from the following descriptions. will be.

본 발명은, 일 관점에 따라, 전술 메쉬망 환경에서 관제 타워와의 네트워킹을 통해 트래픽을 제어하는 WAN 노드 장치로서, 상기 트래픽의 패킷 및 플로우를 실시간으로 수집하여 상기 관제 타워에 제공하는 실시간 모니터링을 수행하는 전술 메쉬 WAN 노드를 포함하고, 상기 전술 메쉬 WAN 노드는, 상기 전술 메쉬 WAN 노드의 내부를 구성하는 가상화 개체의 생애주기를 관리하는 에이전트와, 상기 전술 메쉬 WAN 노드를 통해 송수신되는 트래픽을 수집하여 상기 관제 타워로 전송하고, 상기 관제 타워의 QoS 제어 메시지에 따라 가상 스위치를 대상으로 개별 트래픽의 모니터링을 위한 트래픽 태깅 및 트래픽 유통을 조절하는 컨디셔닝을 수행하는 프록시를 포함하는 전술 메쉬망 환경에서의 WAN 노드 장치를 제공할 수 있다.According to one aspect, the present invention is a WAN node device that controls traffic through networking with a control tower in a tactical mesh network environment, and provides real-time monitoring to the control tower by collecting packets and flows of the traffic in real time. Including a tactical mesh WAN node to perform, the tactical mesh WAN node, an agent managing the life cycle of a virtual entity constituting the interior of the tactical mesh WAN node, and collects traffic transmitted and received through the tactical mesh WAN node In a tactical mesh network environment including a proxy that transmits to the control tower and performs traffic tagging for monitoring individual traffic and conditioning for traffic distribution to a virtual switch according to the QoS control message of the control tower. WAN node devices can be provided.

본 발명의 상기 전술 메쉬 WAN 노드는, 화이트박스 서버 스위치로 동작할 수 있다.The aforementioned mesh WAN node of the present invention may operate as a white box server switch.

본 발명의 상기 화이트박스 서버 스위치는, 패킷 라우팅, 방화벽, 트래픽 모니터링을 포함하는 네트워킹 기능들을 응용 서비스로 실행할 수 있다.The white box server switch of the present invention may execute networking functions including packet routing, firewall, and traffic monitoring as an application service.

본 발명의 상기 화이트박스 서버 스위치는, 상기 관제 타워와 상기 에이전트 및 상기 프록시 간의 네트워킹 트래픽이 전송되는 모니터링 및 제어 평면과, 서비스 트래픽이 송수신되는 데이터 평면으로 구성되고, 상기 모니터링 및 제어 평면과 상기 데이터 평면은, 멀티 액세스 네트워킹 인터페이스를 통해 서로 분리될 수 있다.The white box server switch of the present invention comprises a monitoring and control plane through which networking traffic between the control tower and the agent and the proxy is transmitted, and a data plane through which service traffic is transmitted and received, and the monitoring and control plane and the data The planes can be separated from each other through a multi-access networking interface.

본 발명의 상기 에이전트와 상기 프록시는, 인가되지 않은 사용자의 접근 차단을 위해, 상기 전술 메쉬 WAN 노드 내의 다른 하드웨어 자원과 구조적으로 격리된 환경(trusted cell)에 배치될 수 있다.The agent and the proxy of the present invention may be deployed in a trusted cell that is structurally isolated from other hardware resources in the tactical mesh WAN node to block access by unauthorized users.

본 발명의 상기 가상화 개체는, 상기 가상 스위치, 네트워킹 슬라이싱이나 응용 서비스의 요소 기능을 포함하는 가상머신, 상기 프록시를 포함할 수 있다.The virtualization entity of the present invention may include the virtual switch, a virtual machine including an element function of networking slicing or application service, and the proxy.

본 발명의 상기 생애주기는, 상기 가상화 개체의 생성, 상태 확인, 업데이트, 제거, 복구를 포함할 수 있다.The life cycle of the present invention may include creation, status check, update, removal, and restoration of the virtualized object.

본 발명의 상기 프록시는, 전술 서비스 메쉬의 적용을 위해 네트워킹 박스 내에 사이드카 형태로 부착되는 소프트웨어 모듈로 구성될 수 있다.The proxy of the present invention may be configured as a software module attached in the form of a sidecar in a networking box for application of the tactical service mesh.

본 발명의 상기 관제 타워는, 상기 에이전트 및 상기 프록시와의 네트워킹을 통해 전술 메쉬망 전체의 응용 서비스 QoS와 네트워킹 노드들의 상태를 관리할 수 있다.The control tower of the present invention can manage the application service QoS of the entire tactical mesh network and the state of networking nodes through networking with the agent and the proxy.

본 발명의 상기 전술 메쉬 WAN 노드는 복수개이고, 상기 복수개의 전술 메쉬 WAN 노드는 각각에 포함된 상기 프록시에 의해 연결될 수 있다.The tactical mesh WAN node of the present invention may be a plurality, and the plurality of tactical mesh WAN nodes may be connected by the proxy included in each.

본 발명의 상기 실시간 모니터링을 통해 생성되는 모니터링 정보는, 상기 전술 메쉬망 환경에서 상기 관제 타워를 취합되어 모니터를 통해 표출될 수 있고, 상기 전술 메쉬 WAN 노드에 구비된 모니터를 통해 표출될 수 있다.Monitoring information generated through the real-time monitoring of the present invention may be displayed through a monitor by collecting the control tower in the tactical mesh network environment, and may be displayed through a monitor provided in the tactical mesh WAN node.

본 발명의 실시예에 따르면, SDN/NFV 기반 다중-액세스 네트워킹 인터페이스와 가상화된 네트워킹 스위치를 포함함으로써, 하드웨어 및 소프트웨어를 통합시키는 전술 메쉬 WAN 노드를 구성할 수 있다.According to an embodiment of the present invention, by including an SDN/NFV-based multi-access networking interface and a virtualized networking switch, a tactical mesh WAN node integrating hardware and software can be configured.

본 발명의 실시예에 따르면, 전술 메쉬 WAN 노드에 eBPF 기반의 트래픽 모니터링 방식을 연계시킴으로써, 전술 트래픽의 QoS 조율을 지원할 수 있다.According to an embodiment of the present invention, it is possible to support QoS coordination of tactical traffic by linking the eBPF-based traffic monitoring method to the tactical mesh WAN node.

도 1은 본 발명의 실시예에 따른 전술 메쉬망 환경에서의 WAN 노드 장치에 대한 블록 구성도이다.
도 2는 본 발명의 실시예에 따른 전술 메쉬 WAN 노드가 TEE 기반으로 보안되는 것을 설명하기 위한 구성도이다.
도 3은 본 발명의 실시예에 따른 전술 메쉬 WAN 노드를 위한 eBPF 기반 실시간 모니터링을 설명하기 위한 도면이다.1 is a block diagram of a WAN node device in a tactical mesh network environment according to an embodiment of the present invention.
2 is a block diagram illustrating a TEE-based security of a tactical mesh WAN node according to an embodiment of the present invention.
3 is a view for explaining eBPF-based real-time monitoring for a tactical mesh WAN node according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들이 한정되는 것이 아니라 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 범주는 청구항에 의해 정의될 뿐이다.Advantages and features of the present invention, and a method of achieving them will become apparent with reference to the embodiments described below in detail together with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but may be implemented in various forms, only these embodiments are intended to complete the disclosure of the present invention, and those of ordinary skill in the art to which the present invention pertains. It is provided to completely inform the scope of the invention, and the scope of the invention is only defined by the claims.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명은 본 발명의 실시예들을 설명함에 있어 실제로 필요한 경우 외에는 생략될 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In describing the embodiments of the present invention, detailed descriptions of known functions or configurations will be omitted except when actually necessary in describing the embodiments of the present invention. In addition, terms to be described later are terms defined in consideration of functions in an embodiment of the present invention, which may vary according to the intention or custom of users or operators. Therefore, the definition should be made based on the contents throughout this specification.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세하게 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 실시예에 따른 전술 메쉬망 환경에서의 WAN 노드 장치에 대한 블록 구성도이다.1 is a block diagram of a WAN node device in a tactical mesh network environment according to an embodiment of the present invention.

도 1을 참조하면, 본 실시예에 따른 WAN 노드 장치는 전술 메쉬망 환경에서 관제 타워(110)와의 제어 평면에 대한 것을 기술한 것이다. 구체적으로, 네트워킹을 통해 트래픽을 제어(예컨대, 트래픽이 목적지에 전송되도록 포워딩(forwarding)/라우팅(routing)하는 네트워킹 제어 등)하는 등의 기능(즉, 응용 서비스 트래픽들을 위한 게이트웨이 역할)을 제공할 수 있는 것으로, 이를 위해 트래픽의 패킷 및 플로우를 실시간으로 수집하여 관제 타워(110)에 제공하는 실시간 모니터링을 수행하는 전술 메쉬 WAN 노드(120)를 포함할 수 있다.Referring to FIG. 1, the WAN node device according to the present embodiment describes a control plane with the control tower 110 in a tactical mesh network environment. Specifically, it will provide a function (i.e., a gateway role for application service traffic) such as controlling traffic through networking (e.g., forwarding/routing networking control so that traffic is transmitted to the destination). For this purpose, it may include a tactical mesh WAN node 120 that collects packets and flows of traffic in real time and provides real-time monitoring to the control tower 110.

여기에서, 설명의 편의와 이해의 증진을 위해 단지 하나의 전술 메쉬 WAN 노드(120)만을 도시하였으나, 본 발명이 반드시 이에 한정되는 것은 아니며, 전술 메쉬 WAN 노드(120)는 복수개로 구성될 수 있으며, 복수개의 각 전술 메쉬 WAN 노드는 각각에 포함된 프록시에 의해 연결될 수 있다.Here, only one tactical mesh WAN node 120 is illustrated for convenience of explanation and enhancement of understanding, but the present invention is not necessarily limited thereto, and the tactical mesh WAN node 120 may be configured in plural. , Each of the plurality of tactical mesh WAN nodes may be connected by a proxy included in each.

그리고, 관제 타워(110)는 복수개의 전술 메쉬 WAN 노드에 대응할 수 있도록 대응하는 각 프록시에게 기 설정된 트래픽 제어 정책을 제공하는 등의 기능을 각각 수행할 수 있는 복수개의 컨트롤러를 포함할 수 있으며, 에이전트(121) 및 프록시(122)와의 네트워킹을 통해 전술 메쉬망 전체의 응용 서비스 QoS와 네트워킹 노드들의 상태를 관리하는 등의 기능을 제공할 수 있다.In addition, the control tower 110 may include a plurality of controllers each capable of performing functions such as providing a preset traffic control policy to each proxy corresponding to correspond to a plurality of tactical mesh WAN nodes. Through networking with the 121 and the proxy 122, functions such as managing the QoS of the application service of the entire tactical mesh network and the state of networking nodes may be provided.

또한, 관제 타워(110)는 전체 전술 메쉬망의 효율적인 통합 관제를 위한 인터페이스를 제공, 즉 모니터링 정보 가시화, 모니터링 및 제어 기능별 API 등의 서비스를 제공할 수 있다.In addition, the control tower 110 may provide an interface for efficient integrated control of the entire tactical mesh network, that is, provide services such as monitoring information visualization and API for each monitoring and control function.

한편, 전술 메쉬 WAN 노드(120)는, 예컨대 DANOS 기반의 화이트박스 서버 스위치로 동작할 수 있는데, DANOS는, 예컨대 패킷 라우팅, 방화벽, 트래픽 모니터링을 포함하는 네트워킹 기능들을 응용 서비스로 실행할 수 있다.Meanwhile, the mesh WAN node 120 may operate as, for example, a DANOS-based white box server switch, and the DANOS may execute networking functions including, for example, packet routing, firewall, and traffic monitoring as an application service.

여기에서, 화이트박스 서버 스위치는, 예컨대 관제 타워(110)와 에이전트(121) 및 프록시(122) 간의 네트워킹 트래픽이 전송되는 모니터링 및 제어 평면과, 서비스 트래픽이 송수신되는 데이터 평면으로 구성될 수 있는데, 모니터링 및 제어 평면과 데이터 평면은 멀티 액세스 네트워킹 인터페이스를 통해 서로 분리될 수 있다.Here, the white box server switch may be composed of, for example, a monitoring and control plane through which networking traffic is transmitted between the control tower 110 and the agent 121 and the proxy 122, and a data plane through which service traffic is transmitted and received. The monitoring and control plane and the data plane can be separated from each other through a multi-access networking interface.

그리고, 전술 메쉬 WAN 노드(120) 내의 에이전트(121)는, 전술 메쉬 WAN 노드(120)가 DANOS 기반의 화이트박스 서버 스위치로 동작할 수 있도록, 전술 메쉬 WAN 노드(120)의 내부를 구성하는 가상화 개체의 생애주기를 관리하는 등의 기능을 제공할 수 있다. 이러한 관점에서 에이전트(121)는 노드 관리 에이전트(node management agent)로 정의될 수 있다.In addition, the agent 121 in the tactical mesh WAN node 120 is a virtualization constituting the interior of the tactical mesh WAN node 120 so that the tactical mesh WAN node 120 can operate as a DANOS-based white box server switch. It can provide functions such as managing the life cycle of an object. From this point of view, the agent 121 may be defined as a node management agent.

여기에서, 가상화 개체는, 예컨대, 가상 스위치(123), 네트워킹 슬라이싱이나 응용 서비스의 요소 기능을 포함하는 가상머신(도시 생략), 프록시(122) 등을 포함할 수 있으며, 가상화 개체의 생애주기는, 예컨대 가상화 개체의 생성, 상태 확인, 업데이트, 제거, 복구 등을 포함할 수 있다.Here, the virtualized object may include, for example, a virtual switch 123, a virtual machine (not shown) including element functions of networking slicing or application service, a proxy 122, and the like, and the life cycle of the virtualized object is For example, it may include creation of a virtualized object, status check, update, removal, recovery, etc.

프록시(122)는 전술 메쉬 WAN 노드(120)를 통해 송수신되는 트래픽을 수집하여 관제 타워(110)로 전송하고, 관제 타워(110)로부터 제공되는 QoS 제어 메시지에 따라 가상 스위치(123)를 대상으로 개별 패킷의 모니터링을 위한 트래픽 태깅 및 트래픽 유통을 조절하는 컨디셔닝을 수행하는 등의 기능을 제공할 수 있다. 여기에서, 프록시(122)는 TSM 대응 프록시로 정의될 수 있는 것으로, 전술 서비스 메쉬의 적용을 위해 네트워킹 박스 내에 사이드카 형태로 부착되는 소프트웨어 모듈로 구성될 수 있다.The proxy 122 collects and transmits the traffic transmitted and received through the tactical mesh WAN node 120 to the control tower 110, and targets the virtual switch 123 according to the QoS control message provided from the control tower 110. Functions such as traffic tagging for monitoring individual packets and conditioning for controlling traffic distribution can be provided. Here, the proxy 122 may be defined as a TSM-adaptive proxy, and may be configured as a software module attached in the form of a sidecar in a networking box to apply the tactical service mesh.

여기에서, 실시간 모니터링을 통해 생성되는 모니터링 정보는 전술 메쉬망 환경에서 관제 타워(110)를 통해 취합되어 모니터를 통해 표출(확인 가능)될 수 있고, 전술 메쉬 WAN 노드(120)에 구비된 모니터를 통해 표출(확인 가능)될 수 있다.Here, monitoring information generated through real-time monitoring may be collected through the control tower 110 in the tactical mesh network environment and displayed (can be checked) through the monitor, and the monitor provided in the tactical mesh WAN node 120 It can be expressed (can be confirmed) through.

그리고, LAN 포트(124)는, 예컨대 다른 노드 또는 기기와 전술 메쉬 WAN 노드(120) 간을 연결하기 위한 포트일 수 있고, WAN 포트(125)는, 예컨대 전술 메쉬 WAN 노드(120)와 관제 타워(110)간을 연결하거나 혹은 전술 메쉬 WAN 노드들 간을 연결하기 위한 포트일 수 있다.In addition, the LAN port 124 may be a port for connecting between, for example, another node or device and the tactical mesh WAN node 120, and the WAN port 125 is, for example, a tactical mesh WAN node 120 and a control tower. It may be a port for connecting between (110) or connecting between tactical mesh WAN nodes.

도 2는 본 발명의 실시예에 따른 전술 메쉬 WAN 노드가 TEE 기반으로 보안되는 것을 설명하기 위한 구성도이다.2 is a block diagram illustrating a TEE-based security of a tactical mesh WAN node according to an embodiment of the present invention.

도 2를 참조하면, 전술 메쉬 WAN 노드(120)의 정상 동작을 보장하기 위해서는 노드 내의 트래픽 모니터링 및 컨디셔닝을 수행하는 프록시(122)와 가상화 개체(가상화 요소)들의 관리를 수행하는 에이전트(121)의 안전한 운용이 전제되는 것이 매우 중요하다.Referring to FIG. 2, in order to ensure normal operation of the tactical mesh WAN node 120, the proxy 122 for monitoring and conditioning traffic in the node and the agent 121 for managing virtualization entities (virtualization elements) It is very important that safe operation is premised.

이를 위해 전술 메쉬 WAN 노드(120)는 하드웨어 보안칩 또는 보안모듈로부터 단계별로 검증받은 트래픽의 유통을 허용할 수 있는 신뢰적인 실행 환경(trusted execution environment: TEE) 기술을 통해 프록시(122)와 에이전트(121)를 안전하게 격리된 환경(trusted cell)(210) 내에 배치할 수 있으며, 나머지 가상화 개체들은 비격리된 환경(untrusted cell)(220) 내에 배치될 수 있다.To this end, the tactical mesh WAN node 120 uses the proxy 122 and the agent through a trusted execution environment (TEE) technology capable of allowing distribution of traffic verified step by step from a hardware security chip or a security module. 121 may be placed in a securely isolated environment (trusted cell) 210, and the remaining virtualized objects may be placed in an un-isolated environment (untrusted cell) 220.

즉, 에이전트(121)와 프록시(122)는 인가되지 않은 사용자의 접근 차단을 위해, 전술 메쉬 WAN 노드(120) 내의 다른 하드웨어 자원(가상화 개체)과 구조적으로 격리된 환경에 배치될 수 있다.That is, the agent 121 and the proxy 122 may be disposed in an environment structurally isolated from other hardware resources (virtualized entities) in the tactical mesh WAN node 120 to block access by unauthorized users.

여기에서, TEE 기술은 인가되지 않은 사용자의 접근을 원천적으로 차단하기 때문에, 하드웨어 자원 수준의 격리를 통해 일반 환경(즉, 비격리된 구역) 내 가상 스위치 및 LAN/WAN 네트워킹 인터페이스에서 발생하는 장애의 영향을 전혀 받지 않게 된다.Here, since TEE technology fundamentally blocks access from unauthorized users, it is possible to prevent failures occurring in virtual switches and LAN/WAN networking interfaces in general environments (i.e., non-isolated areas) through hardware resource level isolation. It will not be affected at all.

따라서, 일반 환경에서 장애가 발생하더라도 프록시(122)와 에이전트(121)의 안정성은 보장되며, 나아가 에이전트(121)가 장애를 탐지하고 복구하는 기능을 제공함으로써, 더욱 높은 안정성을 보장할 수 있다.Therefore, even if a failure occurs in a general environment, the stability of the proxy 122 and the agent 121 is guaranteed, and further, by providing a function for the agent 121 to detect and recover from a failure, it is possible to guarantee a higher stability.

이와 동시에 관제 타워(110)와의 안전하고 안정적인(secured and reliable) 네트워킹을 위해, 관제 타워(110)와 프록시(122) 및 에이전트(121) 간 네트워킹 트래픽이 전송되는 모니터링/제어 평면을 서비스 트래픽이 흐르는 데이터 평면과 분리하기 위한 별도의 멀티액세스 네트워킹 인터페이스를 제공함으로써, 관제 타워(110)와의 신뢰성 있는 네트워킹을 수행할 수 있다.At the same time, for secure and reliable networking with the control tower 110, service traffic flows through the monitoring/control plane through which networking traffic is transmitted between the control tower 110 and the proxy 122 and the agent 121. By providing a separate multi-access networking interface for separating from the data plane, reliable networking with the control tower 110 can be performed.

이때, 해당 인터페이스들은 TEE 기반의 격리된 실행 환경에 위치한 프록시 및 에이전트만 접근 및 활용하도록 제한할 수 있다. 이를 통해 프록시 및 에이전트는 외부로부터 격리되어 위조 또는 변조 공격으로부터 안전을 담보할 수 있으며, 데이터 평면상의 트래픽 혼잡, 과도한 부하, 물리적인 장애 등이 발생하더라도 관제 타워(110)와 송수신하는 모니터링 및 제어 트래픽의 성능 및 안정성을 보장할 수 있다.At this time, the interfaces can be restricted to access and use only proxies and agents located in an isolated execution environment based on TEE. Through this, the proxy and agent are isolated from the outside to ensure safety from forgery or tampering attacks, and even if traffic congestion on the data plane, excessive load, or physical failure occurs, monitoring and control traffic transmitted and received with the control tower 110 Performance and stability can be guaranteed.

여기에서, TEE를 적용한 전술 메쉬 WAN 노드는 오픈소스 TEE 소프트웨어인 Linux Foundation의 ACRN hypervisor 또는 Jailhouse 등을 활용하여 구성할 수 있다.Here, the tactical mesh WAN node to which the TEE is applied can be configured by using the ACRN hypervisor or Jailhouse of the Linux Foundation, which is an open source TEE software.

도 3은 본 발명의 실시예에 따른 전술 메쉬 WAN 노드를 위한 eBPF 기반 실시간 모니터링을 설명하기 위한 도면이다.3 is a view for explaining eBPF-based real-time monitoring for a tactical mesh WAN node according to an embodiment of the present invention.

도 3을 참조하면, 전술 메쉬 WAN 노드(120)는 리눅스 eBPF(extended Berkeley packet filter) 기반의 단일화된 방식을 통해 기존 네트워킹 박스의 대표적인 관제 도구들의 기능을 포괄할 수 있으며, 관제 타워(110)의 요청에 따라 패킷 및 플로우 모니터링 및 제어의 범위 및 방법을 동적으로 변경 가능한 유연한 관제를 지원할 수 있다.Referring to FIG. 3, the tactical mesh WAN node 120 can cover the functions of typical control tools of the existing networking box through a unified method based on a Linux eBPF (extended Berkeley packet filter), and the control tower 110 It can support flexible control that can dynamically change the range and method of packet and flow monitoring and control according to request.

여기에서, 리눅스 eBPF(extended Berkeley packet filter)는 유닉스 서버를 대상으로 실시간 패킷 수집을 위해 개발된 BPF(Berkeley packet filter)를 현대 컴퓨터 구조에 맞추어 확장 개선한 기술이다.Here, Linux eBPF (extended Berkeley packet filter) is a technology that expands and improves BPF (Berkeley packet filter) developed for real-time packet collection for Unix servers in line with modern computer architecture.

그리고, 리눅스 eBPF는 기존에 패킷 필터링으로 제한되어 있던 기능을 크게 확장하여 네트워킹 뿐만 아니라 컴퓨트(예컨대 CPU, 프로세스 등), 스토리지(예컨대, 디스크, RAM 등)를 대상으로 한 모니터링, 트레이싱, 분석, 보안 등의 구현에 적용할 수 있다.In addition, Linux eBPF greatly expands the functions that were previously limited to packet filtering, such as monitoring, tracing, analysis, and targeting not only networking but also compute (eg, CPU, process, etc.) and storage (eg, disk, RAM, etc.). It can be applied to implementation such as security.

또한, 리눅스용 eBPF는 경량 프로그램으로 적은 CPU와 RAM 자원을 활용할 수 있으며, 저수준의 커널에서 바로 실행되므로 신속한 모니터링 및 컨디셔닝이 가능하기 때문에, 많은 양의 네트워킹 트래픽이 발생하는 상황에서도 네트워킹 또는 응용 서비스에 영향을 미치지 않는 실시간 모니터링이 가능하다.In addition, eBPF for Linux is a lightweight program that can utilize a small amount of CPU and RAM resources, and runs directly on a low-level kernel, enabling rapid monitoring and conditioning, so it can be used for networking or application services even in situations where a large amount of networking traffic occurs. Real-time monitoring without affecting is possible.

다시 도 3을 참조하면, TEE를 통해 격리된 구역(환경)에서 동작하는 프록시(122)는 eBPF 프로그램들을 템플릿 형태로 보유하고 있으며, 커널 내부에 이를 주입하고 물리 네트워킹 인터페이스, 가상 스위치(123) 등의 자원들과 관련된 소켓(socket), 트레이스포인트(tracepoints) 등의 훅(hook)들에 부착될 수 있다.Referring back to FIG. 3, the proxy 122 operating in an isolated area (environment) through TEE holds eBPF programs in the form of a template, injects them into the kernel, and provides a physical networking interface, a virtual switch 123, etc. It can be attached to hooks such as sockets and tracepoints related to the resources of

패킷의 송수신 이벤트들이 발생할 때마다 부착된 경량의 eBPF 바이트 코드는 커널의 저수준에서 실행되어 매개변수로 전달된 패킷의 로우(raw) 데이터를 바이트 연산을 통해 필요한 헤더 정보들을 실시간으로 수집하여 맵(map)을 통해 프록시(122)로 전달할 수 있다.Whenever packet transmission/reception events occur, the attached lightweight eBPF bytecode is executed at the low level of the kernel, and the raw data of the packet passed as a parameter is collected through byte operation to collect necessary header information in real time and map it. ) Can be delivered to the proxy 122.

반대로, 프록시(122)는 수집 메트릭 및 샘플링 주기를 맵을 통해 전달함으로써, eBPF 바이트 코드의 모니터링 방법을 실행 중에 실시간으로 조정하는 것이 가능하다.Conversely, the proxy 122 transmits the collection metric and the sampling period through the map, so that it is possible to adjust the eBPF bytecode monitoring method in real time during execution.

그리고, 동적인 QoS 제어를 지원하기 위하여 전술 메쉬 WAN 노드(120)는 eBPF 기반의 트래픽 태깅 및 컨디셔닝을 모니터링과 유사한 방법으로 수행할 수 있는데, 이때 eBPF 바이트 코드는 리눅스의 트래픽 태깅 및 컨디셔닝이 가능한 훅들에 부착된다.In addition, in order to support dynamic QoS control, the tactical mesh WAN node 120 may perform eBPF-based traffic tagging and conditioning in a manner similar to monitoring. In this case, the eBPF bytecode is hooks that enable traffic tagging and conditioning of Linux. Is attached to

이 훅들은 패킷의 고성능 데이터 평면을 eBPF로 구현하는 XDP, 패킷의 필터링 및 포워딩 등을 수행하는 bpfilter, 플로우 수준의 트래픽 조절(conditioning), 우선순위 조정 및 필터링 등을 수행하는 TC(traffic control)에 해당된다.These hooks are used for XDP, which implements the high-performance data plane of the packet with eBPF, bpfilter, which performs packet filtering and forwarding, and TC (traffic control) that performs flow-level traffic conditioning, priority adjustment, and filtering. Yes.

프록시(122)는 관제 타워(110)로부터 수신한 QoS 제어 메시지를 기반으로 트래픽 태깅 및 컨디셔닝을 위한 세부적인 규칙을 맵을 통해 전달하여 바이트 코드의 동작방식을 조정할 수 있다.The proxy 122 may transmit detailed rules for traffic tagging and conditioning through a map based on the QoS control message received from the control tower 110 to adjust the operation method of the byte code.

상술한 바와 같이, eBPF 기반으로 구현된 프로그램의 경량성으로 전술 메쉬 WAN 노드(120)를 구성함으로써, 실시간 모니터링 및 트래픽 컨디셔닝을 수행할 수 있으며, 관제 타워(110)와의 상호작용을 통해 전술 메쉬 WAN 노드(120)의 상황에 따라 모니터링 및 트래픽 컨디셔닝 방식을 조정하는 실시간성도 제공할 수 있다.As described above, by configuring the tactical mesh WAN node 120 with the light weight of the program implemented based on eBPF, real-time monitoring and traffic conditioning can be performed, and the tactical mesh WAN through interaction with the control tower 110 It is also possible to provide real-time capability of adjusting monitoring and traffic conditioning methods according to the situation of the node 120.

이상의 설명은 본 발명의 기술사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경 등이 가능함을 쉽게 알 수 있을 것이다. 즉, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것으로서, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다.The above description is merely illustrative of the technical idea of the present invention, and those of ordinary skill in the art to which the present invention pertains, various substitutions, modifications, and changes, etc., within the scope not departing from the essential characteristics of the present invention. It will be easy to see that this is possible. That is, the embodiments disclosed in the present invention are not intended to limit the technical idea of the present invention, but to explain the technical idea, and the scope of the technical idea of the present invention is not limited by these embodiments.

따라서, 본 발명의 보호 범위는 후술되는 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.Accordingly, the scope of protection of the present invention should be interpreted by the claims to be described later, and all technical thoughts within the scope equivalent thereto should be interpreted as being included in the scope of the present invention.

Claims (11)

전술 메쉬망 환경에서 관제 타워와의 네트워킹을 통해 트래픽을 제어하는 WAN 노드 장치로서,
상기 트래픽의 패킷 및 플로우를 실시간으로 수집하여 상기 관제 타워에 제공하는 실시간 모니터링을 수행하는 전술 메쉬 WAN 노드를 포함하고,
상기 전술 메쉬 WAN 노드는,
상기 전술 메쉬 WAN 노드의 내부를 구성하는 가상화 개체의 생애주기를 관리하는 에이전트와,
상기 전술 메쉬 WAN 노드를 통해 송수신되는 트래픽을 수집하여 상기 관제 타워로 전송하고, 상기 관제 타워의 QoS 제어 메시지에 따라 가상 스위치를 대상으로 개별 패킷의 모니터링을 위한 트래픽 태깅 및 트래픽 유통을 조절하는 컨디셔닝을 수행하는 프록시를 포함하고,
상기 관제 타워는,
상기 에이전트 및 상기 프록시와의 네트워킹을 통해 전술 메쉬망 전체의 응용 서비스 QoS와 네트워킹 노드들의 상태를 관리하는
전술 메쉬망 환경에서의 WAN 노드 장치.As a WAN node device that controls traffic through networking with a control tower in a tactical mesh network environment,
A tactical mesh WAN node for performing real-time monitoring that collects the packets and flows of the traffic in real time and provides them to the control tower,
The tactical mesh WAN node,
An agent for managing the life cycle of a virtual entity constituting the interior of the tactical mesh WAN node,
Traffic tagging for monitoring individual packets and conditioning for traffic distribution are collected and transmitted to the control tower by collecting traffic transmitted and received through the tactical mesh WAN node, and according to the QoS control message of the control tower. Contains a proxy to perform,
The control tower,
Managing the application service QoS of the entire tactical mesh network and the state of networking nodes through networking with the agent and the proxy
WAN node device in a tactical mesh network environment. 제 1 항에 있어서,
상기 전술 메쉬 WAN 노드는,
화이트박스 서버 스위치로 동작하는
전술 메쉬망 환경에서의 WAN 노드 장치.The method of claim 1,
The tactical mesh WAN node,
Whitebox server switch
WAN node device in a tactical mesh network environment. 제 2 항에 있어서,
상기 화이트박스 서버 스위치는,
패킷 라우팅, 방화벽, 트래픽 모니터링을 포함하는 네트워킹 기능들을 응용 서비스로 실행하는
전술 메쉬망 환경에서의 WAN 노드 장치.The method of claim 2,
The white box server switch,
Networking functions including packet routing, firewall, and traffic monitoring are implemented as application services.
WAN node device in a tactical mesh network environment. 제 2 항에 있어서,
상기 화이트박스 서버 스위치는,
상기 관제 타워와 상기 에이전트 및 상기 프록시 간의 네트워킹 트래픽이 전송되는 모니터링 및 제어 평면과,
서비스 트래픽이 송수신되는 데이터 평면으로 구성되고,
상기 모니터링 및 제어 평면과 상기 데이터 평면은,
멀티 액세스 네트워킹 인터페이스를 통해 서로 분리되는
전술 메쉬망 환경에서의 WAN 노드 장치.The method of claim 2,
The white box server switch,
A monitoring and control plane through which networking traffic between the control tower and the agent and the proxy is transmitted,
It is composed of a data plane through which service traffic is transmitted and received,
The monitoring and control plane and the data plane,
Separated from each other through a multi-access networking interface
WAN node device in a tactical mesh network environment. 제 1 항에 있어서,
상기 에이전트와 상기 프록시는,
인가되지 않은 사용자의 접근 차단을 위해, 상기 전술 메쉬 WAN 노드 내의 다른 하드웨어 자원과 구조적으로 격리된 환경(trusted cell)에 배치되는
전술 메쉬망 환경에서의 WAN 노드 장치.The method of claim 1,
The agent and the proxy,
In order to block access by unauthorized users, it is deployed in a structurally isolated environment (trusted cell) from other hardware resources in the tactical mesh WAN node.
WAN node device in a tactical mesh network environment. 제 1 항에 있어서,
상기 가상화 개체는,
상기 가상 스위치, 네트워킹 슬라이싱이나 응용 서비스의 요소 기능을 포함하는 가상머신, 상기 프록시를 포함하는
전술 메쉬망 환경에서의 WAN 노드 장치.The method of claim 1,
The virtualization entity,
The virtual switch, the virtual machine including the element function of the networking slicing or application service, including the proxy
WAN node device in a tactical mesh network environment. 제 1 항에 있어서,
상기 생애주기는,
상기 가상화 개체의 생성, 상태 확인, 업데이트, 제거, 복구를 포함하는
전술 메쉬망 환경에서의 WAN 노드 장치.The method of claim 1,
The life cycle is,
Including the creation, status check, update, removal, and recovery of the virtualized object
WAN node device in a tactical mesh network environment. 제 1 항에 있어서,
상기 프록시는,
전술 서비스 메쉬의 적용을 위해 네트워킹 박스 내에 사이드카 형태로 부착되는 소프트웨어 모듈로 구성되는
전술 메쉬망 환경에서의 WAN 노드 장치.The method of claim 1,
The proxy,
It is composed of software modules attached in the form of sidecars in the networking box for application of the tactical service mesh.
WAN node device in a tactical mesh network environment. 삭제delete 제 1 항에 있어서,
상기 전술 메쉬 WAN 노드는 복수개이고,
상기 복수개의 전술 메쉬 WAN 노드는 각각에 포함된 상기 프록시에 의해 연결되는
전술 메쉬망 환경에서의 WAN 노드 장치.The method of claim 1,
The tactical mesh WAN node is a plurality,
The plurality of tactical mesh WAN nodes are connected by the proxy included in each
WAN node device in a tactical mesh network environment. 제 1 항에 있어서
상기 실시간 모니터링을 통해 생성되는 모니터링 정보는,
상기 전술 메쉬망 환경에서 상기 관제 타워를 통해 취합되어 모니터를 통해 표출될 수 있고, 상기 전술 메쉬 WAN 노드에 구비된 모니터를 통해 표출될 수 있는
전술 메쉬망 환경에서의 WAN 노드 장치.The method of claim 1
Monitoring information generated through the real-time monitoring,
In the tactical mesh network environment, it may be collected through the control tower and displayed through a monitor, and may be displayed through a monitor provided in the tactical mesh WAN node.
WAN node device in a tactical mesh network environment.
KR1020190102316A 2019-06-27 2019-08-21 Wan node apparatus in tactical mesh network environment KR102180038B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20190077285 2019-06-27
KR1020190077285 2019-06-27

Publications (1)

Publication Number Publication Date
KR102180038B1 true KR102180038B1 (en) 2020-11-17

Family

ID=73642180

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190102316A KR102180038B1 (en) 2019-06-27 2019-08-21 Wan node apparatus in tactical mesh network environment

Country Status (1)

Country Link
KR (1) KR102180038B1 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140098430A (en) * 2013-01-31 2014-08-08 주식회사 시큐아이 Device and method for fowarding network frame in virtual execution environment
KR101485161B1 (en) * 2013-12-27 2015-01-22 주식회사 케이티 System and method for providing real time streaming service
KR101740391B1 (en) * 2016-01-15 2017-06-08 (주)케이스마텍 Online signature authentication apparatus and method based on trusted execution environment
KR20170115046A (en) * 2015-02-04 2017-10-16 인텔 코포레이션 Technology for a scalable security architecture for virtualized networks
KR101943002B1 (en) * 2018-10-24 2019-01-28 국방과학연구소 System and method for controlling traffic in tactical service mesh network
KR20190048595A (en) 2017-10-31 2019-05-09 국방과학연구소 Network management method and apparatus for enhencement of relative navigation performance in tactical data link

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140098430A (en) * 2013-01-31 2014-08-08 주식회사 시큐아이 Device and method for fowarding network frame in virtual execution environment
KR101485161B1 (en) * 2013-12-27 2015-01-22 주식회사 케이티 System and method for providing real time streaming service
KR20170115046A (en) * 2015-02-04 2017-10-16 인텔 코포레이션 Technology for a scalable security architecture for virtualized networks
KR101740391B1 (en) * 2016-01-15 2017-06-08 (주)케이스마텍 Online signature authentication apparatus and method based on trusted execution environment
KR20190048595A (en) 2017-10-31 2019-05-09 국방과학연구소 Network management method and apparatus for enhencement of relative navigation performance in tactical data link
KR101943002B1 (en) * 2018-10-24 2019-01-28 국방과학연구소 System and method for controlling traffic in tactical service mesh network

Similar Documents

Publication Publication Date Title
Nunes et al. A survey of software-defined networking: Past, present, and future of programmable networks
Molina et al. Using software defined networking to manage and control IEC 61850-based systems
Hu et al. A survey on software-defined network and openflow: From concept to implementation
US9407557B2 (en) Methods and systems to split equipment control between local and remote processing units
Liatifis et al. Advancing sdn from openflow to p4: A survey
US8654765B2 (en) Distributed network flow exporter
CN105683918B (en) Centralized networking configuration in distributed systems
Choi et al. SuVMF: Software-defined unified virtual monitoring function for SDN-based large-scale networks
US11888900B2 (en) Cryptographic security audit using network service zone locking
KR20160002260A (en) SDN-based network monitoring virtualization system and method therefor
CN109547257B (en) Network flow control method, device, equipment, system and storage medium
Shin et al. SmartX Multi-Sec: a visibility-centric multi-tiered security framework for multi-site cloud-native edge clusters
Monir et al. Comparative analysis of UDP traffic with and without SDN-based firewall
Wang et al. Novel architectures and security solutions of programmable software-defined networking: a comprehensive survey
EP3860046A1 (en) Prioritizing policy intent enforcement on network devices
KR102180038B1 (en) Wan node apparatus in tactical mesh network environment
Choi et al. Iris-coman: Scalable and reliable control and management architecture for sdn-enabled large-scale networks
Manzanares‐Lopez et al. A virtualized infrastructure to offer network mapping functionality in SDN networks
Tivig et al. Layer 3 forwarder application-implementation experiments based on Ryu SDN Controller
CN116346577A (en) Cloud platform-based network operation and maintenance method and system and computing device cluster
Gray et al. Evaluation of a distributed control plane for managing heterogeneous SDN-enabled and legacy networks
Thottoli Network Slicing in 5G Connected Data Network for Smart Grid Communications Using Programmable Data Plane
Liu et al. Software-defined networking in mobile access networks
Sankari et al. Network traffic analysis of cloud data centre
Saeed et al. SDN/NFV Enabled Security for an Enterprise Network using Commodity Hardware

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant