KR102201221B1 - 네트워크 보안 장치 및 그의 라이선스 관리 방법 - Google Patents

네트워크 보안 장치 및 그의 라이선스 관리 방법 Download PDF

Info

Publication number
KR102201221B1
KR102201221B1 KR1020190066854A KR20190066854A KR102201221B1 KR 102201221 B1 KR102201221 B1 KR 102201221B1 KR 1020190066854 A KR1020190066854 A KR 1020190066854A KR 20190066854 A KR20190066854 A KR 20190066854A KR 102201221 B1 KR102201221 B1 KR 102201221B1
Authority
KR
South Korea
Prior art keywords
license
virtual
master
information
network security
Prior art date
Application number
KR1020190066854A
Other languages
English (en)
Other versions
KR20200140086A (ko
Inventor
홍송지
김종덕
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020190066854A priority Critical patent/KR102201221B1/ko
Publication of KR20200140086A publication Critical patent/KR20200140086A/ko
Application granted granted Critical
Publication of KR102201221B1 publication Critical patent/KR102201221B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/105Arrangements for software license management or administration, e.g. for managing licenses at corporate level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 적어도 하나의 관리자 장치 및 복수의 단말들과 통신하는 통신부, 상기 복수의 단말들에 대한 보안 기능의 제공을 제한하는 마스터 라이선스를 저장하는 메모리 및 적어도 하나의 단말들 각각에 대하여 네트워크 보안을 수행하는 복수의 가상 컨테이너들을 생성하고, 상기 마스터 라이선스에 기초하여 상기 복수의 가상 컨테이너들 각각을 위한 개별 라이선스들을 설정하고, 상기 마스터 라이선스 및 상기 개별 라이선스들에 기초하여 상기 복수의 가상 컨테이너들 각각을 위한 가상 라이선스들을 발급하는 프로세서를 포함하되, 상기 개별 라이선스들은, 상기 마스터 라이선스에 포함된 라이선스 정보 중 적어도 하나에 대한 개별 설정된 라이선스 정보를 포함하고, 상기 가상 라이선스는, 상기 개별 설정된 라이선스 정보가 요구되면 상기 개별 라이선스를 로드하고, 개별 설정되지 않은 라이선스 정보가 요구되면 상기 마스터 라이선스를 로드하도록 설정되는 네트워크 보안 장치 및 방법에 관한 것이다.

Description

네트워크 보안 장치 및 그의 라이선스 관리 방법{Network security device and license managing method of the network security device}
본 발명은 네트워크 보안 장치 및 그의 라이선스 관리 방법에 관한 것으로, 특히 호스트 단말들을 위한 복수의 가상 컨테이너들 이용하는 네트워크 보안 장치가 각각의 가상 컨테이너를 위한 라이선스를 관리하는 방법에 관한 것이다.
최근 하나의 물리 장비를 이용하여 복수의 호스트 단말들에 대해 독립적인 네트워크 보안을 제공하기 위하여, 가상 컨테이너(container) 기반의 네트워크 보안 장치(이하, 보안 장치)가 개발되고 있다. 이러한 보안 장치는 다수의 호스트 단말들을 위하여 적어도 하나의 가상 컨테이너를 생성한다. 가상 컨테이너들은 호스트 단말들에 대한 네트워크 보안을 개별적으로 수행할 수 있다.
이러한 물리 장비에는 네트워크 보안 서비스 제공자에 의한 마스터 라이선스가 발급될 수 있다. 마스터 라이선스와 별개로 물리 장비에서 생성된 가상 컨테이너들에 대하여 개별적인 라이선스가 발급될 수 있다. 가상 컨테이너들에 대한 라이선스는 마스터 라이선스의 내용을 기반으로 하며, 마스터 라이선스에 의해 허여된 보안 기능 범위 내에서 가상 컨테이너들에 대한 보안 기능 범위를 제한하게 한다. 가상 컨테이너들은 개별적으로 설정된 라이선스의 범위 내에서 호스트 단말들에게 보안 기능을 제공할 수 있다.
이와 같이 가상 컨테이너들에 대한 라이선스는 마스터 라이선스에 기반하여 생성되기 때문에, 마스터 라이선스의 내용이 변경되는 경우, 가상 컨테이너들에 대한 라이선스들이 마스터 라이선스의 변경 내용에 기반하여 재생성되어야 한다.
이러한 라이선스 갱신 방식은 마스터 라이선스의 변경 내용을 가상 컨테이너들에 대하여 적용하기까지 시간 지연을 발생시키며, 라이선스 갱신을 위한 시스템 자원의 소모를 증가시킨다.
본 발명은 상기한 문제점을 해결하기 위한 것으로, 가상 컨테이너를 이용하는 네트워크 보안 장치에 있어서 가상 컨테이너들을 위한 가상 라이선스를 설정하는 라이선스 관리 방법을 제공한다.
본 발명은 가상 컨테이너에 대해 개별 설정되지 않은 보안 기능의 라이선스는 마스터 라이선스를 로드하고, 개별 설정된 보안 기능의 라이선스는 개별 라이선스를 로드하여 가상 컨테이너의 가상 라이선스를 구성하는 네트워크 보안 장치 및 그의 라이선스 관리 방법을 제공한다.
상술한 과제를 해결하기 위한 본 발명에 따른 네트워크 보안 장치는, 적어도 하나의 관리자 장치 및 복수의 단말들과 통신하는 통신부, 상기 복수의 단말들에 대한 보안 기능의 허여 범위를 정의하는 마스터 라이선스를 저장하는 메모리 및 어도 하나의 단말들 각각에 대하여 네트워크 보안을 수행하는 복수의 가상 컨테이너들을 생성하고, 상기 마스터 라이선스에 기초하여 상기 복수의 가상 컨테이너들 각각을 위한 개별 라이선스들을 설정하고, 상기 마스터 라이선스 및 상기 개별 라이선스들에 기초하여 상기 복수의 가상 컨테이너들 각각을 위한 가상 라이선스들을 발급하는 프로세서를 포함하되, 상기 개별 라이선스들은, 상기 마스터 라이선스에 포함된 라이선스 정보 중 적어도 하나에 대한 개별 설정된 라이선스 정보를 포함하고, 상기 가상 라이선스는, 상기 개별 설정된 라이선스 정보가 요구되면 상기 개별 라이선스를 로드하고, 개별 설정되지 않은 라이선스 정보가 요구되면 상기 마스터 라이선스를 로드하도록 설정될 수 있다.
또한, 상기 프로세서는, 상기 복수의 가상 컨테이너들 각각에 대하여 상기 메모리를 포함하는 시스템 리소스를 독립적으로 할당할 수 있다.
또한, 상기 메모리는, 상기 복수의 가상 컨테이너들에 할당되지 않은 제1 영역에 상기 마스터 라이선스를 저장할 수 있다.
또한, 상기 프로세서는, 임의의 가상 컨테이너에 대하여 할당된 상기 메모리의 제2 영역에 상기 임의의 가상 컨테이너의 개별 라이선스를 저장하고, 상기 제1 영역의 상기 마스터 라이선스 및 상기 제2 영역의 상기 개별 라이선스에 기초하여 상기 임의의 가상 컨테이너에 대한 상기 가상 라이선스를 발급할 수 있다.
또한, 상기 가상 라이선스는, 상기 보안 기능의 제공 시에, 상기 개별 설정된 라이선스 정보에 대하여는 상기 제2 영역을 로드하고, 상기 개별 설정되지 않은 라이선스 정보가 요구되면 상기 제1 영역을 로드하도록 설정되는 로드 정보를 가질 수 있다.
또한, 상기 프로세서는, 상기 마스터 라이선스에 대한 갱신이 요구되면, 상기 제1 영역에 대한 상기 마스터 라이선스의 갱신을 수행하고, 상기 마스터 라이선스에 대한 상기 가상 라이선스의 상기 로드 정보를 재설정할 수 있다.
또한, 상기 프로세서는, 상기 마스터 라이선스에 대한 갱신에 의해 상기 보안 기능의 상기 허여 범위가 축소되었으면, 상기 제2 영역에 대한 상기 개별 라이선스의 갱신을 수행하고, 상기 가상 라이선스의 상기 로드 정보를 재설정할 수 있다.
또한, 상기 개별 설정된 라이선스 정보는, 적어도 하나의 보안 기능에 대한 허여 여부, 허여 옵션, 허여 기간 중 적어도 하나를 포함할 수 있다.
또한, 상기 개별 설정되지 않은 라이선스 정보는, 마스터 인증키, 시리얼 넘버, 라이선스 이용 기간, 라이선스 키 중 적어도 하나를 포함할 수 있다.
또한, 본 발명의 일 실시 예에 따른 네트워크 보안 장치의 네트워크 보안 방법은, 복수의 단말들에 대한 보안 기능의 허여 범위를 정의하는 마스터 라이선스를 저장하는 단계, 적어도 하나의 단말들 각각에 대하여 네트워크 보안을 수행하는 복수의 가상 컨테이너들을 생성하는 단계, 상기 마스터 라이선스에 기초하여 상기 복수의 가상 컨테이너들 각각을 위한 개별 라이선스들을 설정하는 단계 및 상기 마스터 라이선스 및 상기 개별 라이선스들에 기초하여 상기 복수의 가상 컨테이너들 각각을 위한 가상 라이선스들을 발급하는 단계를 포함하되, 상기 마스터 라이선스에 포함된 라이선스 정보 중 적어도 하나에 대한 개별 설정된 라이선스 정보를 포함하고, 상기 가상 라이선스는, 상기 개별 설정된 라이선스 정보가 요구되면 상기 개별 라이선스를 로드하고, 개별 설정되지 않은 라이선스 정보가 요구되면 상기 마스터 라이선스를 로드하도록 설정될 수 있다.
또한, 상기 복수의 가상 컨테이너들을 생성하는 단계는, 상기 복수의 가상 컨테이너들 각각에 대하여 메모리를 포함하는 시스템 리소스를 독립적으로 할당하는 단계를 포함할 수 있다.
또한, 상기 마스터 라이선스를 저장하는 단계는, 상기 복수의 가상 컨테이너들에 할당되지 않도록 설정된 상기 메모리의 제1 영역에 상기 마스터 라이선스를 저장하는 단계를 포함할 수 있다.
또한, 상기 개별 라이선스들을 설정하는 단계는, 임의의 가상 컨테이너에 대하여 할당된 상기 메모리의 제2 영역에 상기 임의의 가상 컨테이너의 개별 라이선스를 저장하는 단계를 포함할 수 있다.
또한, 상기 가상 라이선스를 발급하는 단계는, 상기 보안 기능의 제공 시에, 상기 개별 설정된 라이선스 정보에 대하여는 상기 제2 영역을 로드하고, 상기 개별 설정되지 않은 라이선스 정보가 요구되면 상기 제1 영역을 로드하도록 설정되는 로드 정보를 상기 가상 라이선스로 생성하는 단계를 포함할 수 있다.
또한, 상기 방법은, 상기 마스터 라이선스에 대한 갱신이 요구되면, 상기 제1 영역에 대한 상기 마스터 라이선스의 갱신을 수행하는 단계 및 상기 마스터 라이선스에 대한 상기 가상 라이선스의 상기 로드 정보를 재설정하는 단계를 더 포함할 수 있다.
또한, 상기 방법은, 상기 마스터 라이선스에 대한 갱신에 의해 상기 보안 기능의 상기 허여 범위가 축소되었으면, 상기 제2 영역에 대한 상기 개별 라이선스의 갱신을 수행하는 단계 및 상기 가상 라이선스의 상기 로드 정보를 재설정하는 단계를 더 포함할 수 있다.
본 발명에 따른 네트워크 보안 장치 및 그의 라이선스 관리 방법은, 가상 컨테이너들을 위한 가상 라이선스를 개별적으로 발급하며 용이하고 효율적으로 관리할 수 있게 한다.
또한, 본 발명에 따른 네트워크 보안 장치 및 그의 라이선스 관리 방법은, 가상 컨테이너들을 위한 가상 라이선스의 저장 공간을 최소화하고, 효율적으로 갱신할 수 있게 한다.
도 1은 본 발명에 따른 네트워크 보안 장치가 동작하는 네트워크를 나타낸 도면이다.
도 2는 본 발명에 따른 네트워크 보안 장치의 하드웨어 구성을 나타낸 블록도이다.
도 3은 본 발명에 따른 네트워크 보안 장치의 소프트웨어 구성을 나타낸 블록도이다.
도 4는 본 발명에 따른 네트워크 보안 장치의 가상 라이선스 설정 방법을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시 예에 따른 라이선스 관리 방법을 나타낸 순서도이다.
도 6은 본 발명의 다른 실시 예에 따른 라이선스 관리 방법을 나타낸 순서도이다.
도 7은 본 발명의 또 다른 실시 예에 따른 라이선스 관리 방법을 나타낸 순서도이다.
본 명세서의 실시 예를 설명함에 있어 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 명세서의 요지를 흐릴 수 있다고 판단되는 경우, 그 상세한 설명은 생략될 수 있다.
본 명세서에서 사용되는 "포함한다," "포함할 수 있다." 등의 표현은 개시된 해당 기능, 동작, 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작, 구성요소 등을 제한하지 않는다. 또한, 본 명세서에서, "포함하다." 또는 "가지다." 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
이하, 첨부된 도면을 참조하여 본 발명을 설명한다.
도 1은 본 발명에 따른 네트워크 보안 장치가 동작하는 네트워크를 나타낸 도면이다.
도 1을 참조하면, 본 발명에 따른 네트워크 보안 장치(100)는 네트워크에서 동작하는 보안 장비로, 예를 들어, 방화벽(Firewall), IDS(Instrusion Detection System), IPS(Instrusion Prevention System), UTM(Unified Threat Management), PMS(Patch Management System), ESM(Enterprise Security Management), WAF(Web Application Firewall), XTM(eXtensible unified Threat Management) 등일 수 있다. 그러나 본 발명에 따른 네트워크 보안 장치(100)가 상술한 실시 예들로 한정되는 것은 아니며, 네트워크 보안 장치(100)는 네트워크에서 동작하는 임의의 서버 및 전자 장치 등을 포함할 수 있다.
네트워크 보안 장치(100)는 내부에 마련되는 호스트 OS(140) 등에 의해 제어될 수 있다. 호스트 OS(140)는 네트워크 보안 장치(100)의 적어도 하나의 구성 요소들의 제어 및/또는 통신에 관한 연산이나 데이터 처리를 실행할 수 있다.
네트워크 보안 장치(100)는 관리자 장치(200)와 네트워크를 통해 연결될 수 있다. 구체적으로, 호스트 OS(140)는 관리자 장치(200)와 네트워크를 통해 연결될 수 있다.
일 실시 예에서, 네트워크 보안 장치(100)는 관리자 장치(200)로부터 네트워크 보안 설정 및 관리 등을 위한 다양한 데이터(요청)를 수신하고, 관리자 장치(200)로 네트워크 보안 상태에 관한 정보(예를 들어, 가상 컨테이너에 관한 정보, 호스트 단말들(301 내지 306)에 관한 정보, 공격 탐지와 관련된 정보, 패킷 송수신 상태와 관련된 정보, 네트워크 상태와 관련된 정보 등)를 송신할 수 있다. 그러나, 네트워크 보안 장치(100)와 관리자 장치(200) 사이에 교환되는 정보 및/또는 데이터는 상술한 것들로 한정되지 않는다.
관리자 장치(200)는 네트워크 보안 장치(100)의 동작을 제어할 수 있다. 관리자 장치(200)는 예를 들어, 호스트 단말들(301 내지 306)에 대한 네트워크 보안을 수행하기 위한 가상 컨테이너들(110 내지 130)을 생성하도록 네트워크 보안 장치(100)를 제어할 수 있다.
다양한 실시 예에서, 관리자 장치(200)는 네트워크 보안 장치(100)를 이용하는 사용자로부터 사용자 입력을 수신하기 위한 입력 인터페이스 등, 및/또는 사용자에게 네트워크 보안 장치(100)에 관련된 정보를 출력(예를 들어, 표시)하기 위한 출력 인터페이스(예를 들어, 디스플레이 등)를 구비할 수 있다. 관리자 장치(200)의 구성에 대하여는 특별히 한정하지 않는다.
호스트 단말들(301 내지 306)과 네트워크 보안 장치(100)는 네트워크를 통해 연결될 수 있다. 구체적으로, 호스트 단말들(301 내지 106)과 네트워크 보안 장치(100) 내부에 생성된 가상 컨테이너들(110 내지 130)은 네트워크를 통해 연결될 수 있다.
호스트 단말들(301 내지 306)은 가상 컨테이너들(110 내지 130)을 하나의 독립적인 네트워크 보안 장치인 것으로 식별할 수 있다. 호스트 단말들(301 내지 306)은 네트워크 보안 장치(100)에서 생성된 가상 컨테이너들(110 내지 130)을 통해 네트워크 보안 서비스를 제공받을 수 있다. 구체적으로, 가상 컨테이너들(110 내지 130)은 네트워크로부터 대응되는 호스트 단말들(301 내지 306)로 수신되는 패킷들 및/또는 대응되는 호스트 단말들(301 내지 306)로부터 네트워크로 송신되는 패킷들을 먼저 수신하여 분석하고, 보안 정책에 따라 패킷들을 목적지로 전달하거나 차단할 수 있다.
다양한 실시 예에서, 관리자 장치(200)를 대신하여, 또는 관리자 장치(200)에 대해 보조적으로 호스트 단말들(301 내지 306)에 의해 가상 컨테이너들(110 내지 130)이 제어되거나 관리될 수 있다.
본 발명의 다양한 실시 예에서, 네트워크 보안 장치(100)에는 관리자 장치(200) 등에 의해 설정되는 마스터 라이선스가 발급될 수 있다. 마스터 라이선스는, 네트워크 보안 장치(100)에 의해 호스트 단말들(301 내지 306)에 제공될 수 있는 보안 기능에 대한 라이선스 정보를 포함할 수 있다. 마스터 라이선스는 예를 들어, 호스트 OS(140)가 사용하는 메모리의 영역에 저장될 수 있다.
마스터 라이선스는 예를 들어 네트워크 보안 장치(100)를 통해 제공이 허여되는 보안 기능의 범위를 정의하기 위해 발급될 수 있다. 즉, 마스터 라이선스는 네트워크 보안 장치(100)에서 보안 기능을 이용하기 위한 필수 정보 및 보안 기능의 범위를 정의하기 위한 선택 정보를 포함할 수 있다.
필수 정보는 예를 들어 마스터 인증키, 시리얼 넘버, 라이선스 이용 기간, 라이선스 키 등과 같이 라이선스의 사용처(예를 들어, 가상 컨테이너들(110 내지 130))에 대하여 개별 설정이 가능하지 않은 정보로써, 보안 기능을 이용하기 위한 필수적인 정보를 포함할 수 있다.
또한, 선택 정보는 예를 들어 네트워크 보안 장치(100)를 통해 제공될 수 있는 보안 기능에 관한 허여 정보로써 허여/불허 여부, 허여 기간, 기능 이용 옵션 등과 같이 라이선스에 대하여 개별 설정이 가능한 정보를 포함할 수 있다. 네트워크 보안 장치(100)를 통해 제공될 수 있는 보안 기능은 예를 들어, 방화벽 기능, IDS 기능, IPS 기능, UTM 기능, PMS 기능, ESM 기능, WAF 기능, XTM 기능, 장비 제어 기능, SSL(Secure Sockets Layer) VPN 기능 등을 포함할 수 있으나, 이로써 한정되지 않는다.
다양한 실시 예에서, 마스터 라이선스의 선택 정보는 해당 네트워크 보안 장치(100)에 대하여 허여된 보안 기능에 대한 정보만을 포함하도록 구성될 수 있다. 또한, 다양한 실시 예에서, 마스터 라이선스의 선택 정보는 해당 네트워크 보안 장치(100)에 대하여 라이선스의 발급 없이도 제공 가능한 보안 기능에 대한 정보는 생략될 수도 있다.
여기서 필수 정보 및 선택 정보는 사용처에 대하여 개별 설정이 가능한 정보 및 가능하지 않은 정보를 구분하기 위하여 임의로 정의되는 용어로, 다른 다양한 용어들로 대체될 수 있다.
본 발명에서 마스터 라이선스에 포함될 수 있는 정보는 상술한 것들로 한정되지 않는다. 또한, 본 발명에서 사용처에 대하여 개별 설정이 가능한 정보 및 개별 설정이 가능하지 않은 정보는 상술한 것으로 제한되지 않으며, 상기에서 사용처에 대하여 개별 설정이 가능하지 않은 정보 중 적어도 일부가 사용처에 대하여 개별 설정될 수 있고, 반대로 상기에서 사용처에 대하여 개별 설정이 가능한 정보 중 적어도 일부가 사용처에 대하여 개별 설정될 수 없도록 설정될 수 있다.
가상 컨테이너들(110 내지 130)을 생성할 때, 네트워크 보안 장치(100)는 가상 컨테이너들(110 내지 130) 각각에 대한 개별 라이선스를 설정할 수 있다. 개별 라이선스는 가상 컨테이너들(110 내지 130) 각각에 대하여 할당된 메모리의 영역에 저장될 수 있다.
개별 라이선스는 관리자 장치(200)에 의하여 입력되는 허여 정보에 기초하여 설정될 수 있다. 즉, 관리자 장치(200)는 가상 컨테이너들(110 내지 130) 각각에 대하여 사용을 허여할 보안 기능의 범위를 설정하고 그에 따른 개별 라이선스를 발급할 수 있다.
가상 컨테이너들(110 내지 130)을 위한 개별 라이선스들은 마스터 라이선스에서 허여된 보안 기능의 범위 내에서 설정될 수 있다. 예를 들어, 개별 라이선스들은 마스터 라이선스에 포함된 정보들 중 선택 정보의 전부 또는 일부에 대하여 생성될 수 있다. 즉, 개별 라이선스들은 마스터 라이선스의 선택 정보에 의하여 허여된 보안 기능에 대하여, 해당 보안 기능을 가상 컨테이너들(110 내지 130)에 대해 개별적으로 허여 또는 불허하도록 설정할 수 있다. 또는 개별 라이선스들은 마스터 라이선스들의 선택 정보에 의하여 허여된 보안 기능에 대하여, 해당 보안 기능에 대한 적어도 하나의 옵션을 개별적으로 설정할 수 있다.
본 발명의 다양한 실시 예에서 가상 컨테이너들(110 내지 130)을 위한 최종 라이선스는 필수 정보에 대하여는 마스터 라이선스를 로드하고, 선택 정보에 대하여는 개별 라이선스를 로드하도록 설정되는 가상 라이선스로 구성될 수 있다. 일 실시 예에서 모든 선택 정보에 대해 개별 라이선스가 발급되는 경우, 가상 라이선스는 필수 정보는 마스터 라이선스를 참조하고, 선택 정보는 개별 라이선스를 참조하도록 설정될 수 있다. 일 실시 예에서, 선택 정보 중 일부에 대하여 개별 설정이 이루어지고, 그에 따른 개별 라이선스가 발급되는 경우, 가상 라이선스는 필수 정보 및 개별 설정되지 않은 선택 정보에 대하여는 마스터 라이선스를 참조하고, 개별 설정된 선택 정보에 대하여는 개별 라이선스를 참조하도록 설정될 수 있다.
호스트 OS(140)는 가상 컨테이너들(110 내지 130) 각각에 대하여 상기와 같이 구성되는 가상 라이선스를 발급하고, 발급된 가상 라이선스에 기초하여 가상 컨테이너들(110 내지 130)에 대한 보안 기능의 사용을 허여 또는 불허할 수 있다.
상기와 같은 본 발명에 있어서, 마스터 라이선스에 대한 갱신 및/또는 변경이 있는 경우, 네트워크 보안 장치(100)는 가상 컨테이너들(110 내지 130) 각각에 대한 라이선스를 갱신 및/또는 변경할 필요없이, 호스트 OS(140)의 메모리 영역에 저장된 마스터 라이선스만을 갱신 및/또는 변경할 수 있다. 가상 컨테이너들(110 내지 130)이 라이선스의 필수 정보를 필요로 할 때, 가상 컨테이너들(110 내지 130)은 호스트 OS(140)의 메모리 영역에서 갱신 및/또는 변경된 마스터 라이선스를 로드함으로써, 갱신 및/또는 변경된 라이선스 내용에 따라 네트워크 보안 기능을 수행할 수 있다.
도 2는 본 발명에 따른 네트워크 보안 장치의 하드웨어 구성을 나타낸 블록도이다. 도 2를 참조하면, 본 발명에 따른 네트워크 보안 장치(100)는 통신부(101), 메모리(102) 및 프로세서(103)를 포함하여 구성될 수 있다.
통신부(101)는 외부의 장치들, 예를 들어 관리자 장치(200) 및 호스트 단말들(301 내지 306)과 네트워크를 통하여 통신을 수행할 수 있다. 예를 들어, 통신부(101)는 외부 장치로부터 수신되는 패킷을 처리하여 프로세서(103)로 전달하거나, 프로세서(103)로부터 요청된 패킷을 처리하여 외부 장치로 전송할 수 있다.
메모리(102)는 네트워크 보안 장치(100)의 동작을 위한 운영 체제(Operating System), 모듈, 응용 프로그램 등을 저장하거나, 네트워크 보안 장치(100)에서 입출력되거나 생성되는 데이터들을 임시 또는 영구적으로 저장할 수 있다.
메모리(102)는 예를 들어 휘발성 메모리(예: DRAM, SRAM, 또는 SDRAM 등), 비휘발성 메모리(예: OTPROM(one time programmable ROM), PROM, EPROM, EEPROM, mask ROM, flash ROM, 플래시 메모리, 하드 드라이브, 또는 솔리드 스테이트 드라이브 (SSD) 중 적어도 하나를 포함할 수 있다.
본 발명의 다양한 실시 예에서, 메모리(102)는 네트워크 보안 장치(100)에 대해 할당된 마스터 라이선스를 임시 또는 영구적으로 저장하고 관리할 수 있다. 또한, 메모리(102)는 가상 컨테이너들(110 내지 130)에 대해 할당된 개별 라이선스들을 임시 또는 영구적으로 저장하고 관리할 수 있다. 다양한 실시 예에서, 메모리(102)는 호스트 OS(140)에 대하여 할당된 영역에 마스터 라이선스를 저장하고, 가상 컨테이너들(110 내지 130) 각각에 대해 할당된 영역에, 개별 라이선스들을 저장할 수 있다.
프로세서(103)는 본 발명에 따른 네트워크 보안 방법을 수행하기 위하여 네트워크 보안 장치(100)의 각 구성 요소들을 제어할 수 있다. 예를 들어, 프로세서(103)는 메모리(102)에 저장된 운영 체제 또는 응용 프로그램을 구동하여 프로세서(103)에 연결된 다수의 하드웨어 또는 소프트웨어(예를 들어, 가상 컨테이너들(110 내지 130)) 구성 요소들을 제어할 수 있고, 각종 데이터 처리 및 연산을 수행할 수 있다.
프로세서(103)는 통신부(101)를 통해 관리자 장치(200)와 통신할 수 있다. 프로세서(103)는 관리자 장치(200)로부터 수신되는 요청들에 대응하여 프로세서(103)에 연결된 구성 요소들, 예를 들어 가상 컨테이너들(110 내지 130)을 제어할 수 있다.
프로세서(103)는 예를 들어 관리자 장치(200) 등의 요청에 의해 호스트 단말들(301 내지 306)을 위한 가상 컨테이너들(110 내지 130)을 생성하고 구동할 수 있다. 가상 컨테이너들(110 내지 130)은 호스트 단말들(301 내지 306)에 대해 독립적이고 개별적으로 구동되는 하나의 네트워크 보안 장치인 것으로 식별되고 동작할 수 있다. 가상 컨테이너들(110 내지 130)의 구조에 대해서는 이하에서 도 3을 참조하여 보다 구체적으로 설명한다.
가상 컨테이너들(110 내지 130)이 생성될 때, 프로세서(103)는 가상 컨테이너들(110 내지 130)에 대한 개별 라이선스를 설정할 수 있다. 프로세서(103)는 개별 라이선스를 해당 가상 컨테이너에 할당된 메모리(102)의 영역에 저장할 수 있다. 여기서 개별 라이선스는 가상 컨테이너들(110 내지 130)이 보안 기능을 제공하기 위해 필요로 하는, 라이선스의 선택 정보를 포함할 수 있다.
프로세서(103)는 가상 컨테이너들(110 내지 130)이 보안 기능을 제공하기 위해 필요로 하는 라이선스의 필수 정보는 마스터 라이선스를 로딩하도록 설정하고, 선택 정보는 개별 라이선스를 로딩하도록 설정할 수 있다. 프로세서(103)는 이와 같이 설정된 가상 라이선스를 가상 컨테이너들(110 내지 130)에 대해 할당할 수 있다.
도 3은 본 발명에 따른 네트워크 보안 장치의 소프트웨어 구성을 나타낸 블록도이다. 도 3을 참조하면, 본 발명에 따른 네트워크 보안 장치(100)는 호스트 OS(140) 및 호스트 OS(140) 상에 생성되는 가상 컨테이너들(110 내지 130)을 포함할 수 있다.
호스트 OS(140)는 운영 시스템으로, 예를 들어 프로세서(103)의 동작을 실질적으로 제어할 수 있다. 이러한 호스트 OS(140)는 예를 들어, 커널 및 미들웨어를 포함할 수 있다.
커널은 다른 프로그램들(예를 들어, 미들웨어, 가상 컨테이너들(110 내지 130) 등)에 구현된 동작 또는 기능을 실행하는데 사용되는 시스템 리스소들(예를 들어, 메모리(102), 프로세서(103) 등)을 제어 또는 관리할 수 있다. 또한, 커널은 미들웨어, 가상 컨테이너들(110 내지 130)에서 네트워크 보안 장치(100)의 개별 구성 요소에 접근함으로써, 시스템 리소스들을 제어 또는 관리할 수 있는 인터페이스를 제공할 수 있다.
미들웨어는 가상 컨테이너들(110 내지 130)이 커널과 통신하여 데이터를 주고받을 수 있도록 중개 역할을 수행할 수 있다. 미들웨어는 가상 컨테이너들(110 내지 130) 등으로부터 수신되는 하나 이상의 작업 요청들을 우선 순위에 따라 처리할 수 있다. 예를 들어, 미들웨어는 가상 컨테이너들(110 내지 130) 중 적어도 하나에 네트워크 보안 장치(100)의 시스템 리소스(예를 들어 메모리(102), 프로세서(103) 등)를 사용할 수 있는 우선 순위를 부여하고, 하나 이상의 작업 요청들을 처리할 수 있다.
호스트 OS(140) 상에는 복수개의 가상 컨테이너들(110 내지 130)이 생성될 수 있다. 복수 개의 가상 컨테이너들(110 내지 130)은 네트워크 보안 장치(100)의 시스템 리소스(예를 들어, 메모리(102), 프로세서(103) 등)의 적어도 일부분을 개별적으로 할당받아 사용할 수 있도록 생성되는 가상 머신의 일종일 수 있다. 호스트 OS(140)는 시스템 리소스를 가상으로 분리하여 각각의 가상 컨테이너들(110 내지 130)에 할당하고, 가상 컨테이너들(110 내지 130)이 시스템 리소스를 독립적으로 사용할 수 있도록 설정할 수 있다.
가상 컨테이너들(110 내지 130)은 독립적인 어플리케이션(APP)을 설치하여 구동할 수 있다. 어플리케이션(APP)은 예를 들어 방화벽(Firewall), IDS(Instrusion Detection System), IPS(Instrusion Prevention System), UTM(Unified Threat Management), PMS(Patch Management System), ESM(Enterprise Security Management), WAF(Web Application Firewall) 또는 XTM(eXtensible unified Threat Management) 중 적어도 하나의 기능을 제공하는 프로그램일 수 있다. 그러나 본 발명이 이로써 한정되지 않는다.
가상 컨테이너들(110 내지 130)은 별도의 게스트 OS를 포함하지 않으며, 필요한 경우 호스트 OS(140)에 직접 접근하여 필요한 시스템 리소스를 이용할 수 있다. 그에 따라, 본 발명에 따른 네트워크 보안 장치(100)의 시스템 효율이 향상될 수 있다.
도 4는 본 발명에 따른 네트워크 보안 장치의 가상 라이선스 설정 방법을 설명하기 위한 도면이다.
도 4를 참조하면, 본 발명에 따른 네트워크 보안 장치(100)의 호스트 OS(140)를 위한 메모리(102)의 제1 영역(102-1)에 마스터 라이선스가 저장된다.
마스터 라이선스는 예를 들어 네트워크 보안 장치(100)를 통해 제공이 허여되는 보안 기능의 범위를 정의하기 위해 발급될 수 있다. 이러한 마스터 라이선스는 마스터 인증키(PGP Sign), 시리얼 넘버("SWSerial"), 라이선스 이용 기간("TERM"), 라이선스 키("LicenseKey") 등과 같이 라이선스의 사용처(예를 들어, 가상 컨테이너(110)에 대하여 개별 설정이 가능하지 않은 필수 정보를 포함할 수 있다.
또한, 마스터 라이선스는 네트워크 보안 장치(100)를 통해 제공될 수 있는 보안 기능에 관한 허여 정보와 같이 라이선스에 대하여 개별 설정이 가능한 선택 정보를 포함할 수 있다. 네트워크 보안 장치(100)를 통해 제공될 수 있는 보안 기능은 예를 들어, 방화벽 기능, IDS 기능, IPS 기능, UTM 기능, PMS 기능, ESM 기능, WAF 기능, XTM 기능, 장비 제어 기능, SSL VPN 기능 등을 포함할 수 있으나, 이로써 한정되지 않는다.
다양한 실시 예에서, 마스터 라이선스의 선택 정보는 해당 네트워크 보안 장치(100)에 대하여 허여된 보안 기능에 대한 정보만을 포함하도록 구성될 수 있다. 또한, 다양한 실시 예에서, 마스터 라이선스의 선택 정보는 해당 네트워크 보안 장치(100)에 대하여 라이선스의 발급 없이도 제공 가능한 보안 기능에 대한 정보는 생략될 수도 있다.
도 4에서는, 선택 정보가 네트워크 보안 장치(100)에 대하여 허여("Use": true)된 보안 기능에 대한 정보로써, 장비 제어 기능("Device control")에 대한 정보 및 SSL VPN 기능("SSL VPN")에 대한 정보를 포함하는 예가 도시된다.
다양한 실시 예에서, 선택 정보는 제공되는 보안 기능의 종류, 개수, 강도 중 적어도 하나를 정의하는 동작 모드("SWType")에 관한 정보를 더 포함할 수 있다. 동작 모드는 예를 들어, 파워 모드, 베이직 모드 등을 포함할 수 있으나, 이로써 한정되지 않는다.
도 4에서는, 동작 모드("SWType")로써, 파워 모드가 설정된 예가 도시된다.
가상 컨테이너(110)가 생성될 때, 해당 가상 컨테이너(110)를 위해 할당된 메모리(102)의 제2 영역(102-2)에 해당 가상 컨테이너(110)를 위한 개별 라이선스가 저장된다.
개별 라이선스는 마스터 라이선스에서 허여된 보안 기능의 범위 내에서 개별 설정되는 정보들을 포함할 수 있다. 예를 들어, 개별 라이선스는 마스터 라이선스에 포함된 정보들 중 선택 정보에 대하여 생성될 수 있다. 즉, 개별 라이선스들은 마스터 라이선스의 선택 정보에 의하여 허여된 보안 기능에 대하여, 해당 보안 기능을 가상 컨테이너(110)에 대해 개별적으로 허여 또는 불허하도록 개별 설정할 수 있다.
도 4에서는 마스터 라이선스에 의해 허여("Use": true)된 장비 제어 기능("Device control")을 불허("Use": false)하고, 마스터 라이선스에 의해 허여되며 옵션이 설정("Option": "100, 80, 20")된 SSL VPN 기능("SSN VPL")을 허여("Use": true)하고 옵션을 일부 제한하도록 설정("Option": "0, 0, 0")하는 개별 라이선스를 예로써 도시한다. 또한, 도 4에서는 마스터 라이선스에 의해 파워 모드("Power")로 설정된 동작 모드("SWType")를 베이직 모드("Basic")로 일부 제한하는 개별 라이선스를 예로써 도시한다.
가상 컨테이너(110)에 대한 가상 라이선스는, 필수 정보에 대하여 메모리(102)의 제1 영역(102-1)에 저장된 마스터 라이선스를 로드하고 개별 설정된 선택 정보에 대하여 메모리(102)의 제2 영역(102-2)에 저장된 개별 라이선스를 로드하도록 설정된다.
일 실시 예에서, 마스터 라이선스, 예를 들어 필수 정보에 대한 갱신 및/또는 변경이 발생하면, 네트워크 보안 장치(100)는 메모리(102)의 제1 영역(102-1)에 저장된 마스터 라이선스만을 갱신 및/또는 변경할 수 있다. 이때, 갱신 및/또는 변경된 마스터 라이선스에 대한 가상 라이선스의 로드 설정은 유지되거나 재설정된다. 가상 컨테이너(110)는 필수 정보에 대한 라이선스 정보가 요구될 경우, 제1 영역(102-1)으로부터 마스터 라이선스를 로드함으로써 갱신 및/또는 변경된 정보를 적용할 수 있다.
일 실시 예에서, 마스터 라이선스, 예를 들어 선택 정보에 대한 갱신 및/또는 변경이 발생하면, 네트워크 보안 장치(100)는 메모리(102)의 제1 영역(102-1)에 저장된 마스터 라이선스를 갱신 및/또는 변경할 수 있다. 갱신 및/또는 변경에 의해 선택 정보에 의해 보안 기능의 허여된 범위가 감소된 경우, 가상 컨테이너(110)에 대한 라이선스의 재설정이 요구될 수 있다. 라이선스의 재설정은 예를 들어 관리자 장치(200) 등에 의해 수행될 수 있다. 이러한 실시 예에서, 네트워크 보안 장치(100)는 재설정된 정보에 기초하여 메모리(102)의 제2 영역(102-2)에 저장된 개별 라이선스를 갱신 및/또는 변경할 수 있다.
선택 정보에 의해 보안 기능의 허여된 범위가 감소되지 않은 경우, 가상 컨테이너(110)에 대한 라이선스의 재설정은 요구되지 않을 수 있으며, 네트워크 보안 장치(100)는 개별 라이선스에 대한 갱신 및/또는 변경을 수행하지 않을 수 있다.
상기와 같이 본 발명에서는, 마스터 라이선스의 갱신 및/또는 변경이 발생할 때, 실질적으로 모든 가상 컨테이너들(110 내지 130)에 대한 라이선스를 갱신 및/또는 변경할 필요 없이, 마스터 라이선스만을 갱신 및/또는 변경한 후 로드 설정만을 재설정함으로써, 효율적으로 라이선스를 갱신 및/또는 변경할 수 있다.
또한, 본 발명에서는 마스터 라인선스의 갱신 및/또는 변경 범위에 기초하여 필요한 경우에만 개별 라이선스의 갱신 및/또는 변경을 수행하므로, 라이선스 갱신 및/또는 변경에 의한 지연 및 시스템 리소스의 소모를 최소화할 수 있다.
도 5는 본 발명의 일 실시 예에 따른 네트워크 보안 방법을 나타낸 순서도이다. 도 5는 네트워크 보안 장치(100)에서 가상 컨테이너에 대한 가상 라이선스를 발급하는 구체적인 실시 예를 도시한다.
도 5를 참조하면, 네트워크 보안 장치(100)는 마스터 라이선스를 저장할 수 있다(501). 네트워크 보안 장치(100)는 외부 장치(예를 들어, 관리자 장치(200) 또는 라이선스 발급 기관의 서버 등) 등을 통하여 마스터 라이선스를 발급받을 수 있다. 네트워크 보안 장치(100)는 발급된 마스터 라이선스를 메모리(102)의 제1 영역에 저장 또는 설치할 수 있다.
이후에, 네트워크 보안 장치(100)는 가상 컨테이너 생성 요청을 수신할 수 있다(502). 가상 컨테이너 생성 요청은, 네트워크 보안 장치(100)에 마련되는 시스템 자원 중 적어도 일부를 이용하여 네트워크 보안 기능을 이용하고자 하는 사용자의 요청에 의해 발생할 수 있다. 가상 컨테이너 생성 요청은 예를 들어 관리자 장치(200)로부터 수신될 수 있다.
다양한 실시 예에서, 가상 컨테이너 생성 요청은 해당 가상 컨테이너를 통해 이용할 네트워크 보안 기능 및 해당 네트워크 보안 기능을 제공할 적어도 하나의 호스트 단말에 대한 정보 등을 포함할 수 있다. 그러나 본 발명의 기술적 사상이 이로써 한정되지 않는다.
네트워크 보안 장치(100)는 가상 컨테이너 생성 요청에 응답하여, 가상 컨테이너를 생성할 수 있다(503). 예를 들어, 네트워크 보안 장치(100)는 시스템 리소스(예를 들어, 메모리(102), 프로세서(103) 등)의 적어도 일부를 가상 컨테이너를 위해 할당하고, 해당 가상 컨테이너가 할당된 시스템 리소스를 독립적으로 이용할 수 있도록 설정할 수 있다.
네트워크 보안 장치(100)는 생성된 가상 컨테이너에 대하여 개별 라이선스를 저장할 수 있다(504). 네트워크 보안 장치(100)는 외부 장치(예를 들어, 관리자 장치(200) 등) 등을 통하여 수신되거나 입력되는 정보에 기초하여 개별 라이선스를 설정할 수 있다. 여기서 개별 라이선스 설정의 기초가 되는 정보는, 가상 컨테이너에 대한 보안 기능의 이용 허여 범위에 대한 정보일 수 있다.
입력 정보에 따라, 가상 컨테이너에 대한 개별 라이선스 설정이 필요한 경우, 즉 예를 들어 가상 컨테이너에 대하여 마스터 라이선스에서 허용한 보안 기능의 이용 허여 범위보다 좁은 범위의 보안 기능 이용 허여가 요구되는 경우, 네트워크 보안 장치(100)는 가상 컨테이너에 대한 개별 라이선스를 설정할 수 있다. 이러한 개별 라이선스의 설정은, 허용 범위의 개별 설정이 가능한 정보, 예를 들어 선택 정보에 대해 설정될 수 있다. 만약 개별 라이선스의 설정이 요구되지 않는 경우, 개별 라이선스 설정은 생략될 수 있다.
네트워크 보안 장치(100)는 설정된 개별 라이선스를, 마스터 라이선스가 저장된 제1 영역과 상이한 메모리(102)의 제2 영역에 저장할 수 있다.
네트워크 보안 장치(100)는 마스터 라이선스 및 개별 라이선스에 기초하여 가상 컨테이너에 대한 최종 가상 라이선스를 발급할 수 있다(505). 네트워크 보안 장치(100)는 개별 설정된 정보에 대하여는 제2 영역에 저장된 개별 라이선스를 로드하고, 개별 설정되지 않은 정보에 대하여는 제1 영역에 저장된 마스터 라이선스를 로드하도록, 가상 컨테이너를 설정할 수 있다. 일 실시 예에서, 이러한 설정은 가상 컨테이너에 대하여 라이선스의 로드 경로를 저장함으로써 이루어질 수 있다.
네트워크 보안 장치(100)는 상기와 같이 로드 경로가 설정된 최종 라이선스를 가상 라이선스로 생성하고, 가상 컨테이너에 대하여 할당할 수 있다.
도 6은 본 발명의 다른 실시 예에 따른 네트워크 보안 방법을 나타낸 순서도이다. 도 6은 네트워크 보안 장치(100)에서 가상 라이선스를 이용하여 가상 컨테이너의 보안 기능 이용을 허여 또는 불허하는 구체적인 실시 예를 도시한다.
도 6을 참조하면, 네트워크 보안 장치(100)는 라이선스 정보 요청을 수신할 수 있다(601). 라이선스 정보 요청은 라이선스의 유효성 검증이 요구되거나 보안 기능 제공의 허여/불허 여부의 결정을 요구하는 임의의 이벤트에 따라 발생할 수 있다. 예를 들어 라이선스 요청은, 가상 컨테이너 이용이 유효한지 여부에 대한 검증, 특정 보안 기능에 대한 이용 요청 등에 의해 발생할 수 있다.
네트워크 보안 장치(100)는 요청된 라이선스 정보가 개별 라이선스에 관한 것인지 판단할 수 있다(602). 예를 들어, 네트워크 보안 장치(100)는 요청된 라이선스 정보가 필수 정보에 관한 것인지 아니면 선택 정보에 관한 것인지 판단할 수 있다. 또는, 예를 들어, 네트워크 보안 장치(100)는 요청된 라이선스 정보가 가상 컨테이너에 대해 개별 설정된 선택 정보인지 여부를 판단할 수 있다.
요청된 라이선스 정보가 필수 정보에 관한 것이면, 네트워크 보안 장치(100)는 요청된 라이선스 정보가 마스터 라이선스에 관한 것으로 판단할 수 있다. 요청된 라이선스 정보가 선택 정보에 관한 것이거나, 가상 컨테이너에 대해 개별 설정된 선택 정보에 관한 것이면, 네트워크 보안 장치(100)는 요청된 라이선스 정보가 개별 라이선스에 관한 것으로 판단할 수 있다.
요청된 정보가 개별 라이선스에 관한 것이면, 네트워크 보안 장치(100)는 메모리(102)의 제2 영역을 로드한다(603). 네트워크 보안 장치(100)는 메모리(102)의 제2 영역으로부터 개별 라이선스를 로드하여 라이선스 정보를 추출할 수 있다. 네트워크 보안 장치(100)는 추출된 라이선스 정보를 이용하여 보안 기능에 대한 이용을 허여하거나 불허할 수 있다. 또는, 네트워크 보안 장치(100)는 추출된 라이선스 정보를 다른 구성 요소 또는 외부의 다른 장치로 제공할 수 있다.
요청된 정보가 개별 라이선스에 관한 것이 아니면, 네트워크 보안 장치(100)는 메모리(102)의 제1 영역을 로드한다(604). 네트워크 보안 장치(100)는 메모리(102)의 제1 영역으로부터 마스터 라이선스를 로드하여 라이선스 정보를 추출할 수 있다. 네트워크 보안 장치(100)는 추출된 라이선스 정보를 이용하여 라이선스의 유효성을 검증하거나 보안 기능에 대한 이용을 허여 또는 불허할 수 있다. 또는, 네트워크 보안 장치(100)는 추출된 라이선스 정보를 다른 구성 요소 또는 외부의 다른 장치로 제공할 수 있다.
도 7은 본 발명의 또 다른 실시 예에 따른 라이선스 관리 방법을 나타낸 순서도이다. 도 7은 네트워크 보안 장치(100)에서 마스터 라이선스의 갱신 및/또는 변경이 발생했을 때, 가상 컨테이너를 위한 가상 라이선스를 업데이트하는 방법을 구체적으로 도시한다.
도 7을 참조하면, 네트워크 보안 장치(100)는 마스터 라이선스의 갱신 및/또는 변경을 감지할 수 있다(701). 마스터 라이선스의 갱신 및/또는 변경은 관리자 장치(200) 등과 같은 외부 장치 또는 라이선스 발급 기관의 서버 등으로부터 수신되는 정보에 의해 감지될 수 있다.
네트워크 보안 장치(100)는 감지된 마스터 라이선스의 갱신 및/또는 변경에 기초하여 마스터 라이선스를 갱신 및/또는 변경할 수 있다(702). 네트워크 보안 장치(100)는 마스터 라이선스가 저장된 메모리(102)의 제1 영역에 대하여 갱신 및/또는 변경을 수행할 수 있다.
실시 예에 따라, 네트워크 보안 장치(100)는 마스터 라이선스의 갱신 및/또는 변경에 의해 개별 라이선스의 갱신 및/또는 변경이 요구되는지를 판단할 수 있다(703). 예를 들어, 네트워크 보안 장치(100)는 마스터 라이선스의 갱신 및/또는 변경이 필수 정보에 관한 것인지 아니면 선택 정보에 관한 것인지를 판단할 수 있다. 마스터 라이선스의 갱신 및/또는 변경이 필수 정보에 관한 것이면, 네트워크 보안 장치(100)는 개별 라이선스의 갱신 및/또는 변경이 요구되지 않는 것으로 판단할 수 있다.
예를 들어, 네트워크 보안 장치(100)는 마스터 라이선스의 갱신 및/또는 변경이 선택 정보에 관한 것인지 및/또는 가상 컨테이너에 대하여 개별 설정된 선택 정보에 관한 것인지를 판단할 수 있다. 마스터 라이선스의 갱신 및/또는 변경이 선택 정보에 관한 것이거나/것이고 가상 컨테이너에 대하여 개별 설정된 선택 정보에 관한 것이면, 네트워크 보안 장치(100)는 개별 라이선스의 갱신 및/또는 변경이 요구되는 것으로 판단할 수 있다.
또는, 예를 들어 네트워크 보안 장치(100)는 마스터 라이선스의 갱신 및/또는 변경이 허여 범위를 확장시키는 것인지 아니면 축소시키는 것인지 여부를 판단할 수 있다. 마스터 라이선스의 갱신 및/또는 변경이 허여 범위를 확장시키는 것이면, 네트워크 보안 장치(100)는 개별 라이선스의 갱신 및/또는 변경이 요구되지 않는 것으로 판단할 수 있다. 반대로, 마스터 라이선스의 갱신 및/또는 변경이 허여 범위를 축소시키는 것이면, 네트워크 보안 장치(100)는 개별 라이선스의 갱신 및/또는 변경이 요구되는 것으로 판단할 수 있다.
개별 라이선스의 갱신 및/또는 변경이 요구되면, 네트워크 보안 장치(100)는 마스터 라이선스의 갱신 및/또는 변경 사항을 반영하여 개별 라이선스의 갱신 및/또는 변경을 수행할 수 있다(704). 네트워크 보안 장치(100)는 메모리(102)의 제2 영역에 대하여 갱신 및/또는 변경을 수행할 수 있다. 예를 들어, 네트워크 보안 장치(100)는 마스터 라이선스에 의해 이용이 더 제한된 보안 기능에 대하여, 개별 라이선스에 의해서도 이용이 제한되도록 개별 라이선스를 변경할 수 있다.
한편, 상기에서는 마스터 라이선스의 갱신 및/또는 변경의 경우만을 예로 들어 설명하였으나, 본 발명의 기술적 사상은 이로써 한정되지 않는다. 다양한 실시 예에서, 개별 라이선스의 갱신 및/또는 변경이 발생하는 경우에 네트워크 보안 장치(100)는 메모리(102)의 제2 영역에 대하여 갱신 및/또는 변경을 수행할 수 있다.
상기와 같이 본 발명은 가상 컨테이너를 위한 가상 라이선스가 메모리(102)의 제1 영역에 저장된 마스터 라이선스를 직접 참조하도록 설정함으로써, 마스터 라이선스의 갱신 및/또는 변경이 있을 때 가상 컨테이너들을 위한 가상 라이선스를 개별적으로 갱신 및/또는 변경할 필요 없이, 제1 영역에 저장된 마스터 라이선스만을 갱신 및/또는 변경함으로써, 라이선스 갱신 및/또는 변경을 위해 소요되는 시간과 시스템 리소스를 최소화할 수 있다.
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 그리고 본 명세서와 도면에 개시된 실시 예들은 본 발명의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 따라서 본 발명의 범위는 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 네트워크 보안 장치
101: 통신부
102: 메모리
103: 프로세서

Claims (16)

  1. 적어도 하나의 관리자 장치 및 복수의 단말들과 통신하는 통신부;
    상기 복수의 단말들에 대한 보안 기능의 허여 범위를 정의하는 마스터 라이선스를 저장하는 메모리; 및
    적어도 하나의 단말들 각각에 대하여 네트워크 보안을 수행하는 복수의 가상 컨테이너들을 생성하고, 상기 마스터 라이선스에 기초하여 상기 복수의 가상 컨테이너들 각각을 위한 개별 라이선스들을 설정하고, 상기 마스터 라이선스 및 상기 개별 라이선스들에 기초하여 상기 복수의 가상 컨테이너들 각각을 위한 가상 라이선스들을 발급하는 프로세서를 포함하되,
    상기 개별 라이선스들은,
    상기 마스터 라이선스에 포함된 라이선스 정보 중 적어도 하나에 대한 개별 설정된 라이선스 정보를 포함하고,
    상기 가상 라이선스는,
    상기 개별 설정된 라이선스 정보가 요구되면 상기 개별 라이선스를 로드하고, 개별 설정되지 않은 라이선스 정보가 요구되면 상기 마스터 라이선스를 로드하도록 설정되고,
    상기 프로세서는,
    상기 복수의 가상 컨테이너들 각각에 대하여 상기 메모리를 포함하는 시스템 리소스를 독립적으로 할당하는, 네트워크 보안 장치.
  2. 삭제
  3. 제1항에 있어서, 상기 메모리는,
    상기 복수의 가상 컨테이너들에 할당되지 않은 제1 영역에 상기 마스터 라이선스를 저장하는, 네트워크 보안 장치.
  4. 제3항에 있어서, 상기 프로세서는,
    임의의 가상 컨테이너에 대하여 할당된 상기 메모리의 제2 영역에 상기 임의의 가상 컨테이너의 개별 라이선스를 저장하고, 상기 제1 영역의 상기 마스터 라이선스 및 상기 제2 영역의 상기 개별 라이선스에 기초하여 상기 임의의 가상 컨테이너에 대한 상기 가상 라이선스를 발급하는, 네트워크 보안 장치.
  5. 제4항에 있어서, 상기 가상 라이선스는,
    상기 보안 기능의 제공 시에, 상기 개별 설정된 라이선스 정보에 대하여는 상기 제2 영역을 로드하고, 상기 개별 설정되지 않은 라이선스 정보가 요구되면 상기 제1 영역을 로드하도록 설정되는 로드 정보를 갖는, 네트워크 보안 장치.
  6. 제5항에 있어서, 상기 프로세서는,
    상기 마스터 라이선스에 대한 갱신이 요구되면, 상기 제1 영역에 대한 상기 마스터 라이선스의 갱신을 수행하고, 상기 마스터 라이선스에 대한 상기 가상 라이선스의 상기 로드 정보를 재설정하는, 네트워크 보안 장치.
  7. 제6항에 있어서, 상기 프로세서는,
    상기 마스터 라이선스에 대한 갱신에 의해 상기 보안 기능의 상기 허여 범위가 축소되었으면, 상기 제2 영역에 대한 상기 개별 라이선스의 갱신을 수행하고, 상기 가상 라이선스의 상기 로드 정보를 재설정하는, 네트워크 보안 장치.
  8. 제1항에 있어서, 상기 개별 설정된 라이선스 정보는,
    적어도 하나의 보안 기능에 대한 허여 여부, 허여 옵션, 허여 기간 중 적어도 하나를 포함하는, 네트워크 보안 장치.
  9. 제1항에 있어서, 상기 개별 설정되지 않은 라이선스 정보는,
    마스터 인증키, 시리얼 넘버, 라이선스 이용 기간, 라이선스 키 중 적어도 하나를 포함하는, 네트워크 보안 장치.
  10. 네트워크 보안 장치의 네트워크 보안 방법으로,
    복수의 단말들에 대한 보안 기능의 허여 범위를 정의하는 마스터 라이선스를 저장하는 단계;
    적어도 하나의 단말들 각각에 대하여 네트워크 보안을 수행하는 복수의 가상 컨테이너들을 생성하는 단계;
    상기 마스터 라이선스에 기초하여 상기 복수의 가상 컨테이너들 각각을 위한 개별 라이선스들을 설정하는 단계; 및
    상기 마스터 라이선스 및 상기 개별 라이선스들에 기초하여 상기 복수의 가상 컨테이너들 각각을 위한 가상 라이선스들을 발급하는 단계를 포함하되,
    상기 마스터 라이선스에 포함된 라이선스 정보 중 적어도 하나에 대한 개별 설정된 라이선스 정보를 포함하고,
    상기 가상 라이선스는,
    상기 개별 설정된 라이선스 정보가 요구되면 상기 개별 라이선스를 로드하고, 개별 설정되지 않은 라이선스 정보가 요구되면 상기 마스터 라이선스를 로드하도록 설정되고,
    상기 복수의 가상 컨테이너들을 생성하는 단계는,
    상기 복수의 가상 컨테이너들 각각에 대하여 메모리를 포함하는 시스템 리소스를 독립적으로 할당하는 단계를 포함하는, 방법.
  11. 삭제
  12. 제10항에 있어서, 상기 마스터 라이선스를 저장하는 단계는,
    상기 복수의 가상 컨테이너들에 할당되지 않도록 설정된 상기 메모리의 제1 영역에 상기 마스터 라이선스를 저장하는 단계를 포함하는, 방법.
  13. 제12항에 있어서, 상기 개별 라이선스들을 설정하는 단계는,
    임의의 가상 컨테이너에 대하여 할당된 상기 메모리의 제2 영역에 상기 임의의 가상 컨테이너의 개별 라이선스를 저장하는 단계를 포함하는, 방법.
  14. 제13항에 있어서, 상기 가상 라이선스를 발급하는 단계는,
    상기 보안 기능의 제공 시에, 상기 개별 설정된 라이선스 정보에 대하여는 상기 제2 영역을 로드하고, 상기 개별 설정되지 않은 라이선스 정보가 요구되면 상기 제1 영역을 로드하도록 설정되는 로드 정보를 상기 가상 라이선스로 생성하는 단계를 포함하는, 방법.
  15. 제14항에 있어서,
    상기 마스터 라이선스에 대한 갱신이 요구되면, 상기 제1 영역에 대한 상기 마스터 라이선스의 갱신을 수행하는 단계; 및
    상기 마스터 라이선스에 대한 상기 가상 라이선스의 상기 로드 정보를 재설정하는 단계를 더 포함하는, 방법.
  16. 제15항에 있어서,
    상기 마스터 라이선스에 대한 갱신에 의해 상기 보안 기능의 상기 허여 범위가 축소되었으면, 상기 제2 영역에 대한 상기 개별 라이선스의 갱신을 수행하는 단계; 및
    상기 가상 라이선스의 상기 로드 정보를 재설정하는 단계를 더 포함하는, 방법.
KR1020190066854A 2019-06-05 2019-06-05 네트워크 보안 장치 및 그의 라이선스 관리 방법 KR102201221B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190066854A KR102201221B1 (ko) 2019-06-05 2019-06-05 네트워크 보안 장치 및 그의 라이선스 관리 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190066854A KR102201221B1 (ko) 2019-06-05 2019-06-05 네트워크 보안 장치 및 그의 라이선스 관리 방법

Publications (2)

Publication Number Publication Date
KR20200140086A KR20200140086A (ko) 2020-12-15
KR102201221B1 true KR102201221B1 (ko) 2021-01-12

Family

ID=73780219

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190066854A KR102201221B1 (ko) 2019-06-05 2019-06-05 네트워크 보안 장치 및 그의 라이선스 관리 방법

Country Status (1)

Country Link
KR (1) KR102201221B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008501177A (ja) * 2004-05-28 2008-01-17 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ プライバシーを保護する情報配布システムにおけるライセンス管理
US20160180063A1 (en) * 2014-12-23 2016-06-23 Intel Corporation Licensing in the cloud

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008033799A2 (en) * 2006-09-13 2008-03-20 Sandisk Corporation Transferring licensed digital content between users
KR101882685B1 (ko) * 2016-07-29 2018-08-24 주식회사 스패로우 클라우드 기반의 서비스 제공 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008501177A (ja) * 2004-05-28 2008-01-17 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ プライバシーを保護する情報配布システムにおけるライセンス管理
US20160180063A1 (en) * 2014-12-23 2016-06-23 Intel Corporation Licensing in the cloud

Also Published As

Publication number Publication date
KR20200140086A (ko) 2020-12-15

Similar Documents

Publication Publication Date Title
EP3516513B1 (en) Application token through associated container
US20220224726A1 (en) Distribution and Management of Services in Virtual Environments
US11599626B1 (en) Fast reconfiguring environment for mobile computing devices
EP3414699B1 (en) Secure provisioning of operating systems
US10503545B2 (en) Universal security agent
US10176020B2 (en) Dynamic management of computing platform resources
US10397352B2 (en) Network infrastructure management
US9503475B2 (en) Self-adaptive and proactive virtual machine images adjustment to environmental security risks in a cloud environment
US8661505B2 (en) Policy evaluation in controlled environment
EP3513544B1 (en) Credential management in cloud-based application deployment
US8948399B2 (en) Dynamic key management
KR20170062529A (ko) 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온
US10318747B1 (en) Block chain based authentication
CN112789841A (zh) 在远程访问或基于云的网络环境中访问资源
US10228978B2 (en) Dynamic management of computing platform resources
KR101219662B1 (ko) 클라우드 서비스 보안 시스템 및 그 방법
US10243874B2 (en) Dynamic management of computing platform resources
KR102201221B1 (ko) 네트워크 보안 장치 및 그의 라이선스 관리 방법
US9473462B2 (en) Method and system for configuring and securing a device or apparatus, a device or apparatus, and a computer program product
KR102400471B1 (ko) Sdp 기반의 접속 제어 장치 및 방법
CN113179285B (zh) 视频物联网高性能密码服务方法、装置和系统
KR102203828B1 (ko) 네트워크 보안 장치 및 방법
KR102472556B1 (ko) 네트워크시스템 및 네트워크시스템에서 수행하는 클라이언트 사이의 횡적이동을 통한 공격을 차단하기 위한 방법
US20230161864A1 (en) Cloud key management for system management
US11356438B2 (en) Access management system with a secret isolation manager

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant