KR102319089B1 - 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법 - Google Patents

모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법 Download PDF

Info

Publication number
KR102319089B1
KR102319089B1 KR1020200144410A KR20200144410A KR102319089B1 KR 102319089 B1 KR102319089 B1 KR 102319089B1 KR 1020200144410 A KR1020200144410 A KR 1020200144410A KR 20200144410 A KR20200144410 A KR 20200144410A KR 102319089 B1 KR102319089 B1 KR 102319089B1
Authority
KR
South Korea
Prior art keywords
packet
security
security module
controller
slicing
Prior art date
Application number
KR1020200144410A
Other languages
English (en)
Inventor
주은영
진용식
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020200144410A priority Critical patent/KR102319089B1/ko
Application granted granted Critical
Publication of KR102319089B1 publication Critical patent/KR102319089B1/ko
Priority to US17/561,868 priority patent/US11991522B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/289Intermediate processing functionally located close to the data consumer application, e.g. in same machine, in same home or in same sub-network
    • H04L67/322
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/06Optimizing the usage of the radio link, e.g. header compression, information sizing, discarding information
    • H04W28/065Optimizing the usage of the radio link, e.g. header compression, information sizing, discarding information using assembly or disassembly of packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)

Abstract

본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치는, 모바일 엣지 컴퓨팅의 슬라이싱 보안에 맞는 보안 기능을 각각 수행하기 위하여 수신되는 패킷을 분석하는 복수의 보안 모듈; 상기 모바일 엣지 컴퓨팅 내의 슬라이싱 보안 모듈 리스트를 관리하는 컨트롤러; 및 상기 슬라이싱 보안 모듈 리스트에 기반하여 수신된 패킷을 분석하여 수행되어야 할 보안 기능 및 수행되어야 할 보안 기능의 우선 순위를 결정하는 메인 보안 모듈을 포함하고, 상기 컨트롤러는, 상기 메인 보안 모듈에 의해 결정된 수행되어야 할 보안 기능의 우선 순위에 따라, 수신된 패킷을 상기 복수의 보안 모듈 중 해당하는 적어도 하나의 보안 모듈에 전달하는 것을 특징으로 한다.

Description

모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법{APPARATUS AND METHOD FOR TRAFFIC SECURITY PROCESSING IN 5G MOBILE EDGE COMPUTING SLICING SERVICE}
본 발명은 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법에 관한 것이다.
5G 모바일의 특징인 초저지연, 초고속, 초접근의 처리를 위해, 지역 가입자에 보다 빠른 서비스를 제공하기 위하여 모바일 엣지 컴퓨팅(MEC: Mobile Edge Computing) 기술을 활용한 초접근 네트워크가 구성되고 있다.
MEC 서비스의 보안이 점진적으로 중요해지고 있기 때문에, 초저지연 및 초고속 처리를 위한 보다 빠른 보안 처리 방법이 요구되고 있다.
MEC의 네트워크 슬라이싱(network slicing)은 도 1에 도시된 바와 같이 스마트 팩토리, CCTV, 자율 차량, 일반 사용자 및 게임 등의 서비스의 트래픽을 분리하여, 보다 빠른 트래픽을 처리하기 위한 기술이다.
트래픽을 각각의 서비스에 맞게 나누고, 우선 순위를 분리하여, 품질에 민감한 서비스의 트래픽을 우선 처리하고, 덜 민감한 서비스는 품질의 우선 순위를 낮추어 나중에 처리하는 개념이다.
MEC 네트워크 슬라이싱은 MEC 자체의 보안 모듈 기능을 각 서비스에 맞게 동작시켜 보안 기능을 강화하는 목적이 있다.
하지만, 이러한 보안 모듈 기능들은 가상화 환경에서 여러 단계를 거쳐 수행됨에 따라, 모바일 네트워크의 지연 현상이 불가피하게 발생한다.
방화벽(firewall), IPS, DDOS, 스마트 팩토리 분석 시스템 등의 보안 모듈들을 순차적으로 통과할 경우, 각각의 보안 모듈의 분석 시간에 따라 보안 모듈 기능의 분석 시간만큼 지연이 발생하게 된다.
MEC 내의 보안 기술에서, 패킷을 여러 단계로 처리하기 위하여, 가상 스위치(vSwitch: Virtual Switch) 등을 이용한, 서비스 라우팅(routing) 기술을 이용하여 보안 기능을 순차적으로 수행하였다. 여러 보안 모듈들을 패킷이 거칠수록, 지연 시간은 지속적으로 증가할 수 밖에 없고, 연관 처리가 어렵다.
도 2에 도시된 바와 같이 MEC 내의 보안 기술이 각 서비스에 맞게 여러 개의 보안 모듈들(200, 202, 204, 206, 208)로 구성되어 있다면, 각 보안 모듈의 보안 기능을 수행하기 위하여, 패킷의 흐름을 변경하여 수행해야 한다.
예를 들어, 보안 모듈(200)에서 패킷을 처리한 후, 라우팅 작업을 통해, 목적지 IP 또는 VLAN ID를 변경하여, 보안 모듈(202)에 도달할 수 있도록 수정, 라우팅 변조 작업을 지속적으로 수행하여, 보안 모듈(208)까지 도달하도록 변경 작업을 통해 여러 홉(HoP)을 거치며 보안 작업을 수행해야 한다.
종래 기술에 있어서 서비스 체이닝(service chaining) 기술 등을 구현하기 위해서는, 패킷별 VLAN, VXLAN ID와 같은 헤더를 통해, 같은 터널 ID를 가지고 있다는 것을 명시적으로 분리만 가능하였으며, 각 보안 기능을 분리하여 처리하는 것이 어렵고, 패킷을 분산, 동시 역할을 판단할 수 없었다.
또한, 각 보안 모듈은, 슬라이싱 트래픽에 대한 보안 특징을 파악하기 위하여, 모든 패킷을 전수 조사하는 부담이 존재한다. 이렇게 분석을 수행함으로써 반복적인 패킷 분석과 패킷 처리 지연 시간이 가중되는 문제가 존재하였다.
상기와 같이 종래에는 보안 어플리케이션 마다 패킷을 전체적으로 모니터링하고, 처리하여야 하는 구조로 모바일망에서 보안은 중요하나, 지연 시간 증가로 기능적 최소화, 후처리 형태의 소극적 보안 형태를 띄고 있다.
KR 10-2030764 B1
본 발명이 해결하고자 하는 과제는 보안 어플리케이션 간의 서비스 체이닝 모델을 응용하여 분석 우선 순위 및 보안 어플리케이션 간의 보안 엔진 순서를 보장하여 보안 처리 속도를 향상시킬 수 있는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법을 제공하는 것이다.
또한, 본 발명이 해결하고자 하는 과제는 모바일 엣지 컴퓨팅(MEC)의 슬라이싱 서비스 관점에서 보안 탐지 성능과 지연 시간을 최소화할 수 있는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법을 제공하는 것이다.
또한, 본 발명이 해결하고자 하는 과제는 MEC 안의 슬라이싱 서비스 보안 어플리케이션 간의 우선 탐지 패킷에 대한 처리 방법을 제공하여, 보다 빠른 연관 보안 취약점을 분석하고 분석 지연 시간을 최소화할 수 있는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법을 제공하는 것이다.
상기 과제를 해결하기 위한 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치는,
모바일 엣지 컴퓨팅의 슬라이싱 보안에 맞는 보안 기능을 각각 수행하기 위하여 수신되는 패킷을 분석하는 복수의 보안 모듈;
상기 모바일 엣지 컴퓨팅 내의 슬라이싱 보안 모듈 리스트를 관리하는 컨트롤러; 및
상기 슬라이싱 보안 모듈 리스트에 기반하여 수신된 패킷을 분석하여 수행되어야 할 보안 기능 및 수행되어야 할 보안 기능의 우선 순위를 결정하는 메인 보안 모듈을 포함하고,
상기 컨트롤러는, 상기 메인 보안 모듈에 의해 결정된 수행되어야 할 보안 기능의 우선 순위에 따라, 수신된 패킷을 상기 복수의 보안 모듈 중 해당하는 적어도 하나의 보안 모듈에 전달한다.
본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치에 있어서,
상기 컨트롤러는 네트워크 인터페이스 카드를 통해 패킷을 수신하고 패킷 헤더 정보 테이블을 생성하여 상기 패킷의 헤더 앞에 삽입하며, 상기 패킷 헤더 정보 테이블, 상기 패킷을 포함하는 패킷 정보 및 상기 슬라이싱 보안 모듈 리스트를 상기 메인 보안 모듈에 전달하고,
상기 메인 보안 모듈은, 상기 컨트롤러로부터 상기 패킷 헤더 정보 테이블, 상기 패킷을 포함하는 패킷 정보 및 상기 슬라이싱 보안 모듈 리스트를 수신하고, 상기 패킷을 분석하여 수행되어야 할 적어도 하나의 보안 기능 및 수행되어야 할 적어도 하나의 보안 기능의 우선 순위를 결정하며, 결정된 보안 기능의 우선 순위를 상기 패킷 헤더 정보 테이블에 기록한 후 상기 패킷 헤더 정보 테이블을 상기 컨트롤러에 전달할 수 있다.
또한, 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치에 있어서,
상기 컨트롤러는, 상기 메인 보안 모듈로부터 수행될 보안 기능의 우선 순위가 기록된 패킷 헤더 정보 테이블을 수신하는 경우, 상기 수신된 패킷 헤더 정보 테이블에 기반하여 상기 패킷을 포함하는 패킷 정보를 상기 복수의 보안 모듈 중 다음 보안 기능이 수행될 적어도 하나의 보안 모듈에 전달하며,
상기 복수의 보안 모듈 중 상기 컨트롤러로부터 상기 패킷을 포함하는 패킷 정보를 수신하는 적어도 하나의 보안 모듈은, 해당 보안 기능을 수행하여 패킷을 차단할 지 또는 통과시킬 지를 판단한 후 판단 결과를 상기 컨트롤러에 전달할 수 있다.
또한, 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치는,
상기 패킷을 저장하기 위한 메시지 큐를 더 포함하고,
상기 메시지 큐는 패킷 큐를 포함하며,
상기 패킷 큐는 드롭 플래그(drop flag), 헤더 정보 및 패킷을 포함하는 패킷 정보를 포함하고,
상기 드롭 플래그는 상기 패킷의 폐기 여부를 나타내고,
상기 헤더 정보는 상기 복수의 보안 모듈의 개수와 동일한 개수의 비트로 구성되며,
상기 헤더 정보의 각 비트는 상기 복수의 보안 모듈 각각에 대응되고,
상기 헤더 정보의 각 비트는 보안 기능을 수행할 보안 모듈의 지정 여부를 나타내며,
상기 메인 보안 모듈에 의해 수행되어야 할 적어도 하나의 보안 기능이 결정된 경우, 상기 메인 보안 모듈은 상기 헤더 정보의 대응하는 비트에 보안 기능을 수행할 보안 모듈의 지정을 표시하고,
상기 복수의 보안 모듈 중 상기 컨트롤러로부터 상기 패킷 정보를 수신하는 적어도 하나의 보안 모듈은, 해당 보안 기능을 수행하여 패킷을 차단할 지 또는 통과시킬 지를 판단한 후 패킷을 차단하는 것으로 결정한 경우, 상기 드롭 플래그의 상태를 폐기로 표시할 수 있다.
또한, 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치에 있어서, 상기 컨트롤러는 상기 패킷 큐의 인덱스를 상기 메인 보안 모듈 및 상기 복수의 보안 모듈 중 해당하는 적어도 하나의 보안 모듈에 전달하며, 상기 메인 보안 모듈 및 상기 복수의 보안 모듈 중 해당하는 적어도 하나의 보안 모듈은 상기 패킷 큐의 인덱스에 기반하여 상기 패킷 큐에 저장된 데이터에 액세스할 수 있다.
또한, 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치에 있어서, 상기 보안 기능을 수행하는 보안 모듈들 모두가 상기 패킷이 정상적이라고 판단하는 경우, 상기 컨트롤러는 상기 패킷을 슬라이싱 서비스로 전송하고, 상기 보안 기능을 수행하는 보안 모듈들 중 적어도 하나가 상기 패킷이 비정상적이라고 판단하는 경우, 상기 컨트롤러는 상기 패킷을 폐기할 수 있다.
또한, 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치에 있어서, 상기 보안 모듈들은 컨테이너 기반의 모듈화된 침입 방지 시스템(IPS: intrusion prevention system)을 포함할 수 있다.
또한, 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치에 있어서, 상기 메인 보안 모듈이 수신된 패킷을 분석한 결과 상기 패킷이 정상적이라고 판단하는 경우, 상기 컨트롤러는 상기 패킷을 슬라이싱 서비스로 전송할 수 있다.
또한, 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치에 있어서, 상기 메인 보안 모듈은, 상기 패킷의 프로토콜 정보, 세션 정보, 소스 IP 주소 및 목적지 IP 주소를 포함하는 IP 주소 정보, 목적지 포트를 포함하는 서비스 포트 정보, 서비스 타입 정보 및 애플리케이션 레이어 정보 중 적어도 하나에 기반하여, 수행되어야 할 보안 기능 및 수행되어야 할 보안 기능의 우선 순위를 결정할 수 있다.
상기 과제를 달성하기 위한 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법은,
(A) 모바일 엣지 컴퓨팅 내의 슬라이싱 보안 모듈 리스트를 관리하는 컨트롤러가, 상기 슬라이싱 보안 모듈 리스트 및 수신된 패킷을 메인 보안 모듈에 전달하는 단계;
(B) 상기 메인 보안 모듈이, 상기 컨트롤러로부터 수신된 패킷을 분석하여 수행되어야 할 보안 기능 및 수행되어야 할 보안 기능의 우선 순위를 결정하는 단계;
(C) 상기 컨트롤러가, 상기 메인 보안 모듈에 의해 결정된 수행되어야 할 보안 기능의 우선 순위에 따라, 상기 패킷을 복수의 보안 모듈 중 해당하는 적어도 하나의 보안 모듈에 전달하는 단계를 포함한다.
본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법에 있어서,
상기 단계 (A)에서, 상기 컨트롤러는 패킷 헤더 정보 테이블을 생성하여 상기 패킷의 헤더 앞에 삽입하며, 상기 패킷 헤더 정보 테이블, 상기 패킷을 포함하는 패킷 정보 및 상기 슬라이싱 보안 모듈 리스트를 상기 메인 보안 모듈에 전달하고,
상기 단계 (B)에서, 상기 메인 보안 모듈은, 상기 컨트롤러로부터 상기 패킷 헤더 정보 테이블, 상기 패킷을 포함하는 패킷 정보 및 상기 슬라이싱 보안 모듈 리스트를 수신하고, 상기 패킷을 분석하여 수행되어야 할 적어도 하나의 보안 기능 및 수행되어야 적어도 하나의 보안 기능의 우선 순위를 결정하며, 결정된 보안 기능의 우선 순위를 상기 패킷 헤더 정보 테이블에 기록한 후 상기 패킷 헤더 정보 테이블을 상기 컨트롤러에 전달할 수 있다.
또한, 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법에 있어서,
상기 단계 (C)에서, 상기 컨트롤러는, 상기 메인 보안 모듈로부터 수행될 보안 기능의 우선 순위가 기록된 패킷 헤더 정보 테이블을 수신하는 경우, 상기 수신된 패킷 헤더 정보 테이블에 기반하여 상기 패킷을 상기 복수의 보안 모듈 중 다음 보안 기능이 수행될 적어도 하나의 보안 모듈에 전달하며,
상기 단계 (C) 이후에, (D) 상기 복수의 보안 모듈 중 상기 컨트롤러로부터 상기 패킷을 포함하는 패킷 정보를 수신하는 적어도 하나의 보안 모듈이, 해당 보안 기능을 수행하여 패킷을 차단할 지 또는 통과시킬 지를 판단한 후 판단 결과를 상기 컨트롤러에 전달하는 단계를 더 포함할 수 있다.
또한, 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법에 있어서,
상기 컨트롤러는, 상기 패킷을 메시지 큐에 저장하며,
상기 메시지 큐는 패킷 큐를 포함하며,
상기 패킷 큐는 드롭 플래그(drop flag), 헤더 정보 및 패킷을 포함하는 패킷 정보를 포함하고,
상기 드롭 플래그는 상기 패킷의 폐기 여부를 나타내고,
상기 헤더 정보는 상기 복수의 보안 모듈의 개수와 동일한 개수의 비트로 구성되며,
상기 헤더 정보의 각 비트는 상기 복수의 보안 모듈 각각에 대응되고,
상기 헤더 정보의 각 비트는 보안 기능을 수행할 보안 모듈의 지정 여부를 나타내며,
상기 메인 보안 모듈에 의해 수행되어야 할 적어도 하나의 보안 기능이 결정된 경우, 상기 메인 보안 모듈은 상기 헤더 정보의 대응하는 비트에 보안 기능을 수행할 보안 모듈의 지정을 표시하고,
상기 복수의 보안 모듈 중 상기 컨트롤러로부터 상기 패킷 정보를 수신하는 적어도 하나의 보안 모듈은, 해당 보안 기능을 수행하여 패킷을 차단할 지 또는 통과시킬 지를 판단한 후 패킷을 차단하는 것으로 결정한 경우, 상기 드롭 플래그의 상태를 폐기로 표시할 수 있다.
또한, 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법에 있어서, 상기 컨트롤러는 상기 패킷 큐의 인덱스를 상기 메인 보안 모듈 및 상기 복수의 보안 모듈 중 해당하는 적어도 하나의 보안 모듈에 전달하며, 상기 메인 보안 모듈 및 상기 복수의 보안 모듈 중 해당하는 적어도 하나의 보안 모듈은 상기 패킷 큐의 인덱스에 기반하여 상기 패킷 큐에 저장된 데이터에 액세스할 수 있다.
또한, 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법은,
상기 단계 (D) 이후에, (E) 상기 보안 기능을 수행하는 보안 모듈들 모두가 상기 패킷이 정상적이라고 판단하는 경우, 상기 컨트롤러는 상기 패킷을 슬라이싱 서비스로 전송하고, 상기 보안 기능을 수행하는 보안 모듈들 중 적어도 하나가 상기 패킷이 비정상적이라고 판단하는 경우, 상기 컨트롤러는 상기 패킷을 폐기하는 단계를 더 포함할 수 있다.
또한, 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법에 있어서, 상기 보안 모듈들은 컨테이너 기반의 모듈화된 침입 방지 시스템(IPS: intrusion prevention system)을 포함할 수 있다.
또한, 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법에 있어서, 상기 메인 보안 모듈이 수신된 패킷을 분석한 결과 상기 패킷이 정상적이라고 판단되는 경우, 상기 컨트롤러는 상기 패킷을 슬라이싱 서비스로 전송할 수 있다.
또한, 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법에 있어서, 상기 메인 보안 모듈은, 상기 패킷의 프로토콜 정보, 세션 정보, 소스 IP 주소 및 목적지 IP 주소를 포함하는 IP 주소 정보, 목적지 포트를 포함하는 서비스 포트 정보, 서비스 타입 정보 및 애플리케이션 레이어 정보 중 적어도 하나에 기반하여, 수행되어야 할 보안 기능 및 수행되어야 할 보안 기능의 우선 순위를 결정할 수 있다.
본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법에 의하면, 각각의 모듈화된 보안 모듈을 분리하고, 컨트롤러를 통해 각 패킷을 분산, 분리, 격리할 수 있다.
또한, 각각의 모듈화된 보안 모듈은 메시지 큐를 통해, 패킷의 정보와 의심 정보를 교환함에 따라, 다음 분석 엔진 행위를 요청할 수 있어, 좀 더 세밀한 분석을 진행할 수 있다.
또한, 정상적이라고 판단된 세션 및 패킷 정보는 처음 분석 보안 모듈에서 바로 패킷을 저장하여 지연 시간(latency)이 최소화될 수 있다.
또한, 분석 우선 순위 및 보안 어플리케이션 간의 보안 엔진 순서를 보장하여 보안 처리 속도를 향상시킬 수 있고, 모바일 엣지 컴퓨팅(MEC)의 슬라이싱 서비스 관점에서 보안 탐지 성능과 지연 시간을 최소화할 수 있으며, MEC 안의 슬라이싱 서비스 보안 어플리케이션 간의 우선 탐지 패킷에 대한 처리 방법을 제공하여, 보다 빠른 연관 보안 취약점을 분석하고 분석 지연 시간을 최소화할 수 있다.
도 1은 모바일 엣지 컴퓨팅 네트워크 슬라이싱의 개념도.
도 2는 종래 기술에 의한 모바일 엣지 컴퓨팅 내부의 슬라이싱을 위한 보안 모듈의 패킷 처리 흐름을 도시한 도면.
도 3은 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치의 블록도.
도 4는 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법의 흐름도.
도 5는 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법을 설명하기 위한 도면.
도 6은 컨트롤러와 보안 모듈 간의 패킷 전달 과정을 설명하기 위한 도면.
본 발명의 목적, 특정한 장점들 및 신규한 특징들은 첨부된 도면들과 연관되어지는 이하의 상세한 설명과 바람직한 실시예들로부터 더욱 명백해질 것이다.
이에 앞서 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이고 사전적인 의미로 해석되어서는 아니되며, 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있는 원칙에 입각하여 본 발명의 기술적 사상에 부합되는 의미와 개념으로 해석되어야 한다.
본 명세서에서 각 도면의 구성요소들에 참조번호를 부가함에 있어서, 동일한 구성 요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 번호를 가지도록 하고 있음에 유의하여야 한다.
또한, "제1", "제2", "일면", "타면" 등의 용어는, 하나의 구성요소를 다른 구성요소로부터 구별하기 위해 사용되는 것으로, 구성요소가 상기 용어들에 의해 제한되는 것은 아니다.
이하, 본 발명을 설명함에 있어, 본 발명의 요지를 불필요하게 흐릴 수 있는 관련된 공지 기술에 대한 상세한 설명은 생략한다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시형태를 상세히 설명하기로 한다.
도 3은 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치의 블록도이고, 도 4는 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법의 흐름도이다.
도 3을 참조하면, 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치는, 모바일 엣지 컴퓨팅(MEC)의 슬라이싱(slicing) 보안에 맞는 보안 기능을 각각 수행하기 위하여 수신되는 패킷을 분석하는 제1 내지 제10 보안 모듈(306_1 내지 306_10), 상기 모바일 엣지 컴퓨팅 내의 슬라이싱 보안 모듈 리스트를 관리하는 컨트롤러(300), 상기 슬라이싱 보안 모듈 리스트에 기반하여 수신된 패킷을 분석하여 수행되어야 할 보안 기능 및 수행되어야 할 보안 기능의 우선 순위를 결정하는 메인 보안 모듈(304), 및 상기 패킷 및 관련 정보를 저장하기 위한 메시지 큐(302)를 포함한다.
상기 메인 보안 모듈(304)은 세션 분석, 패킷 디코딩, 슬라이싱 트래픽 서비스 분석 및 패킷 정보(메시지 헤더) 처리를 수행한다.
상기 제1 보안 모듈(306_1) 내지 상기 제10 보안 모듈(306_10)은 각각은 모바일 엣지 컴퓨팅(MEC)의 네트워크 슬라이싱 구성에 맞는 각각의 보안 기능을 수행한다.
예를 들어, 상기 보안 모듈(306_1 내지 306_10)은 5G 코어와 관련된 보안 모듈들로서 GTP 디코딩, GTP 세션 분석, GTP취약점 분석, 모바일 단말기 취약점 분석 및 비인가 단말기 분석을 수행하는 보안 모듈들을 포함하고, DDoS 처리를 위한 보안 모듈들로서 플러딩(Flooding) 탐지 엔진, 스푸핑 IP(Spoofed IP) 인증 엔진, L2, L3 레이어 DDoS 분석 엔진 및 TCP/UDP DDoS 탐지 엔진을 포함하는 보안 모듈들을 포함하며, 스마트 팩토리 관련 보안 모듈들로서 OPC UA 프로토콜 분석 엔진, OPC CMD 분석 엔진 및 비인가 IP 분석 엔진을 포함하는 보안 모듈들을 포함하고, TLS 관련 보안 모듈들로서 QUIC 프로토콜 분석 엔진, TLS 세션 분석 엔진, SNI 분석 엔진, 인증서 분석 엔진 및 TLS 세션 의심 행위 분석 엔진을 포함하는 보안 모듈들을 포함하며, cFW(Convergent Firewall) 관련 보안 모듈들로서 액세스 제어 리스트 및 허용/비허용 IP 세션 처리 엔진을 포함하는 보안 모듈들을 포함하고, IP CCTV 관련 보안 모듈로서 IP CCTV 관련 보안 모듈, 자율주행 자동차 관련 보안 모듈 및 게임 관련 보안 모듈 등을 포함하는데, 본 발명은 이에 한정되지 않는다.
상기 컨트롤러(300)는 상기 패킷을 수신하고 패킷 헤더 정보 테이블을 생성하여 상기 패킷의 헤더 앞에 삽입하며, 상기 패킷 헤더 정보 테이블, 상기 패킷을 포함하는 패킷 정보 및 상기 슬라이싱 보안 모듈 리스트를 상기 메인 보안 모듈(304)에 전달한다.
상기 메인 보안 모듈(304)은, 상기 컨트롤러(300)로부터 상기 패킷 헤더 정보 테이블, 상기 패킷을 포함하는 패킷 정보 및 상기 슬라이싱 보안 모듈 리스트를 수신하고, 상기 패킷을 분석하여 수행되어야 할 적어도 하나의 보안 기능 및 수행되어야 할 적어도 하나의 보안 기능의 우선 순위를 결정하며, 결정된 수행되어야 할 적어도 하나의 보안 기능 및 수행되어야 할 적어도 하나의 보안 기능의 우선 순위를 상기 패킷 헤더 정보 테이블에 기록한 후 상기 패킷 헤더 정보 테이블을 상기 컨트롤러(300)에 전달한다.
상기 메인 보안 모듈(304)은, 상기 패킷의 프로토콜 정보, 세션 정보, 소스 IP 주소 및 목적지 IP 주소를 포함하는 IP 주소 정보, 목적지 포트를 포함하는 서비스 포트 정보, 서비스 타입 정보 및 애플리케이션 레이어 정보 중 적어도 하나에 기반하여, 수행되어야 할 보안 기능 및 수행되어야 할 보안 기능의 우선 순위를 결정한다.
또한, 상기 컨트롤러(300)는, 상기 메인 보안 모듈(304)로부터 수행될 보안 기능의 우선 순위가 기록된 패킷 헤더 정보 테이블을 수신하는 경우, 상기 수신된 패킷 헤더 정보 테이블에 기반하여 상기 패킷을 상기 제1 내지 제10 보안 모듈(306_1 내지 306_10) 중 다음 보안 기능이 수행될 적어도 하나의 보안 모듈에 전달한다.
또한, 상기 제1 내지 제10 보안 모듈(306_1 내지 306_10) 중 상기 컨트롤러(300)로부터 상기 패킷을 수신하는 적어도 하나의 보안 모듈은, 해당 보안 기능을 수행하여 패킷을 차단할 지 또는 통과시킬 지를 판단한 후 판단 결과를 상기 컨트롤러(300)에 전달한다.
또한, 각각 보안 기능을 수행하는 상기 제1 내지 제10 보안 모듈(306_1 내지 306_10) 모두가 상기 패킷이 정상적이라고 판단하는 경우, 상기 컨트롤러(300)는 상기 패킷을 슬라이싱 서비스로 전송하고, 각각 보안 기능을 수행하는 상기 제1 내지 제10 보안 모듈(306_1 내지 306_10) 중 적어도 하나가 상기 패킷이 비정상적이라고 판단하는 경우, 상기 컨트롤러(300)는 상기 패킷을 폐기하기 위하여 상기 메시지 큐(302)에서 상기 패킷을 제거한다.
상기 메인 보안 모듈(304) 및 제1 내지 상기 제10 보안 모듈(306_1 내지 304_10)은 컨테이너 기반의 모듈화된 침입 방지 시스템(IPS: intrusion prevention system)을 포함한다.
상기와 같이 구성된 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치의 동작을 도 4에 도시된 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법의 흐름도를 참조하여 하기에 설명하기로 한다.
모듈화된 IPS(침입 방지 시스템)인 상기 메인 보안 모듈(304) 및 상기 제1 내지 상기 제10 보안 모듈들(306_1 내지 306_10)과 컨트롤러(300) 간에는 메시지 큐(302) 행태의 패킷 정보가 분석되고, 이를 통해 각각의 모듈화된 IPS(침입 방지 시스템)인 메인 보안 모듈(304) 및 제1 내지 제10 보안 모듈(306_1 내지 306_10)은 자신에 맞는 보안 기능 동작을 수행한다.
우선, 단계 S400에서, 모바일 엣지 컴퓨팅 내의 슬라이싱 보안 모듈 리스트를 관리하는 컨트롤러(300)가, 네트워크 인터페이스 카드(308)를 통해 수신된 패킷을 메시지 큐(302)에 저장하고, 패킷 헤더 정보 테이블을 생성하여 상기 패킷의 헤더 앞에 삽입하며, 상기 패킷 헤더 정보 테이블, 상기 패킷을 포함하는 패킷 정보 및 상기 슬라이싱 보안 모듈 리스트를 상기 메인 보안 모듈(304)에 전달한다. 도 3에서 점선 화살표(F101 내지 F106)는 패킷의 흐름을 나타낸다.
단계 S402에서, 상기 메인 보안 모듈(304)은, 상기 컨트롤러(300)로부터 상기 패킷 헤더 정보 테이블, 상기 패킷을 포함하는 패킷 정보 및 상기 슬라이싱 보안 모듈 리스트를 수신하고, 상기 패킷을 분석하여 수행되어야 할 적어도 하나의 보안 기능 및 수행되어야 할 보안 기능의 우선 순위를 결정하며, 수행되어야 할 보안 기능의 우선 순위를 상기 패킷 헤더 정보 테이블에 기록한 후 상기 보안 기능의 우선 순위가 기록된 패킷 헤더 정보 테이블(312) 및 결정된 수행되어야 할 적어도 하나의 보안 기능에 대한 정보를 상기 컨트롤러(300)에 전달한다.
상기 결정된 수행되어야 할 적어도 하나의 보안 기능에 대한 정보는 추후에 도 6을 참조하여 설명되는 바와 같이 상기 패킷 정보의 특정 비트들의 플래그를 갱신함으로써 반영될 수 있다.
상기 메인 보안 모듈(304)은 각 패킷의 프로토콜 정보, 세션 정보, 소스 IP 주소 및 목적지 IP 주소를 포함하는 IP 주소 정보, 목적지 포트를 포함하는 서비스 포트 정보, 서비스 타입 정보 및 애플리케이션 레이어 정보 중 적어도 하나에 기반하여, 패킷을 분석하여, 다음 보안 위협 분석이 필요한 보안 모듈을 태깅하여 컨트롤러(300)에 전달한다.
예시적으로, 본 발명의 일실시예에서는, 패킷 헤더 정보 테이블(312)에 표시된 바와 같이, 제1 보안 모듈(306_1) 및 제9 보안 모듈(306_9)의 우선 순위는 1순위이고, 제2 보안 모듈(306_2)의 우선 순위는 2순위이며, 제10 보안 모듈(306_10)의 우선 순위는 3순위이다.
한편, 상기 메인 보안 모듈(304)이 수신된 패킷을 분석한 결과 상기 패킷이 정상적이라고 판단하는 경우, 상기 패킷을 컨트롤러(300)를 통해, 슬라이싱 서비스로 전송한다. 이렇게 함으로써 지연 시간(latency)이 최소화될 수 있다.
단계 S404에서, 상기 컨트롤러(300)는, 상기 메인 보안 모듈(304)로부터 수행될 보안 기능의 우선 순위가 기록된 패킷 헤더 정보 테이블(310)을 수신하는 경우, 상기 수신된 패킷 헤더 정보 테이블(310)에 기반하여 상기 메시지 큐(302)에 저장된 패킷을 상기 제1 내지 제10 보안 모듈(306_1 내지 306_10) 중 다음 보안 기능이 수행될 적어도 하나의 보안 모듈로 전달한다.
본 발명의 일실시예에서는, 예시적으로, 패킷 헤더 정보 테이블(312)에 표시된 바와 같이, 제1 보안 모듈(306_1) 및 제9 보안 모듈(306_9)의 우선 순위는 1순위이고, 제2 보안 모듈(306_2)의 우선 순위는 2순위이며, 제10 보안 모듈(306_10)의 우선 순위는 3순위이다.
따라서, 컨트롤러(300)는 우선 상기 메시지 큐(302)에 저장된 패킷을 제1 보안 모듈(306_1) 및 제9 보안 모듈(306_9)에 전달한다(F103).
단계 S406에서, 제1 보안 모듈(306_1) 및 제9 보안 모듈(306_9)은 각각의 보안 기능을 수행하여 패킷을 차단할 지, 아니면 통과시킬 지를 판단한 후 판단 결과를 컨트롤러(300)에 제공한다.
예시적으로 제1 보안 모듈(306_1)은 5G 코어와 관련된 보안 모듈인 GTP(GPRS 터널링 프로토콜) 보안 모듈을 통해 GTP 생성 세션의 의심 공격을 분석하고, 제9 보안 모듈(306_9)은 VoIP 보안 모듈을 통해, 제1 보안 모듈(306_1)과 동시에, 음성 통신의 취약점 공격도 같이 분석한다.
제1 보안 모듈(306_1) 및 제9 보안 모듈(306_9)로부터 각각의 보안 기능을 수행한 결과 패킷이 정상적이어서 통과시켜도 좋다는 판단 결과를 수신한 경우, 컨트롤러(300)는 패킷 헤더 정보 테이블(312)에 기반하여, 우선 순위가 2인 제2 보안 모듈(306_2)로 상기 메시지 큐(302)에 저장된 패킷을 전달한다(F104).
제2 보안 모듈(306_2)은 자신의 보안 기능을 수행하여 패킷을 차단할 지, 아니면 통과시킬 지를 판단한 후 판단 결과를 컨트롤러(300)에 제공한다.
예시적으로 제2 보안 모듈(306_2)은 취약점 패턴 및 패킷 조합을 통해 취약점을 분석하는 취약점 분석 보안 모듈이다.
제2 보안 모듈(306_2)로부터 보안 기능을 수행한 결과 패킷이 정상적이어서 통과시켜도 좋다는 판단 결과를 수신한 경우, 컨트롤러(300)는 패킷 헤더 정보 테이블(312)에 기반하여, 우선 순위가 3인 제10 보안 모듈(306_10)로 상기 메시지 큐(302)에 저장된 패킷을 전달한다(F105).
제10 보안 모듈(306_10)은 자신의 보안 기능을 수행하여 패킷을 차단할 지, 아니면 통과시킬 지를 판단한 후 판단 결과를 컨트롤러(300)에 제공한다.
제10 보안 모듈(306_10)로부터 보안 기능을 수행한 결과 패킷이 정상적이어서 통과시켜도 좋다는 판단 결과를 수신한 경우, 단계 S408에서, 컨트롤러(300)는 패킷 헤더 정보 테이블(312)에 기반하여 모든 보안 기능이 정상적으로 통과되었는지를 판단한다.
단계 S408에서, 모든 보안 기능이 정상적으로 통과되었다고 결정된 경우, 컨트롤러(300)는 메시지 큐(302)에 저장된 패킷을 네트워크 인터페이스 카드(310)로 출력하여 모바일 엣지 컴퓨팅의 슬라이싱 서비스로 전송한다(F106).
반면에, 상기 보안 기능을 수행하는 보안 모듈들 중 적어도 하나가 상기 패킷이 비정상적이라고 판단하는 경우, 단계 S412에서, 상기 컨트롤러(300)는 패킷을 폐기하기 위하여 상기 메시지 큐(302)에서 패킷을 제거한다.
상기와 같이 컨트롤러(300)는 패킷의 헤더를 통해, 패킷이 전달되어야 하는 보안 모듈에 전달하고, 서비스 체인 구조를 가지게 한다.
이를 통해, 일부 보안 모듈을 통해 보안 기능이 수행되므로, 지연 시간을 최소화할 수 있다.
또한, 특정 프로토콜 분석이 더 필요한 경우, 컨테이너(container)를 통해, 특정 보안 모듈의 보안 엔진을 활성화하여, 패킷을 동시에 분석할 수 있도록 분산 처리가 가능하다.
한편, 도 6은 컨트롤러(600)와 보안 모듈(604, 606_1 내지 606_10) 간의 패킷 전달 과정을 상세히 설명하기 위한 도면이다.
상기 메시지 큐(602)는 드롭 플래그(drop flag)(610), 헤더 정보(612) 및 패킷(614)을 다수 포함하는 패킷 큐(603)를 포함한다.
상기 드롭 플래그(610)는 상기 패킷(614)의 폐기 여부를 나타내고, 상기 헤더 정보(612)는 보안 모듈들(606_1 내지 606_10)의 개수와 동일한 개수의 비트로 구성된다. 즉, 헤더 정보(612)는 컨트롤러(600)에서 메인 보안 모듈(604)에 제공하는 보안 모듈들(606_1 내지 606_10)의 보안 기능 리스트 인덱스 정보와 동일한 동일한 비트 마스크 정보 개수 만큼으로 구성된다.
예시적으로, 본 발명의 일 실시예에서, 보안 모듈들(606_1 내지 606_10)의 개수는 10이므로, 상기 헤더 정보(612)는 10 비트로 구성된다.
상기 헤더 정보(612)의 각 비트는 제1 내지 제10 보안 모듈(604, 606_1 내지 606_10) 각각에 대응되고, 상기 헤더 정보(612)의 각 비트는 보안 기능을 수행할 보안 모듈의 지정 여부를 나타낸다.
상기 메인 보안 모듈(604)이 상기 패킷(614)의 프로토콜 정보, 세션 정보, 소스 IP 주소 및 목적지 IP 주소를 포함하는 IP 주소 정보, 목적지 포트를 포함하는 서비스 포트 정보, 서비스 타입 정보 및 애플리케이션 레이어 정보 중 적어도 하나를 분석하여 슬라이싱 네트워크에 맞는 분석 보안 모듈이 필요한 경우, 수행되어야 할 적어도 하나의 보안 기능을 결정하고, 상기 메인 보안 모듈(604)은 상기 헤더 정보(612)의 대응하는 비트에 보안 기능을 수행할 보안 모듈의 지정을 표시한다.
도 6에 도시된 바와 같이, 본 발명의 일 실시예에서, 제1 보안 모듈(606_1), 제2 보안 모듈(606_2), 제9 보안 모듈(606_9) 및 제10 보안 모듈(606_10)에 의해 보안 기능들이 수행되어야 하는 경우, 메인 보안 모듈(604)은 헤더 정보(612)의 대응하는 비트인 첫번째 비트, 두번째 비트, 아홉번째 비트 및 열번째 비트 각각의 플래그를 설정한다.
한편, 수행되어야 할 적어도 하나의 보안 기능의 우선 순위는 헤더 정보(612)의 비트 마스크 인덱스와 동일한 크기의 분석 우선 순위를 설정할 수 있는 변수들에 의해 표시될 수 있다. 예시적으로, 본 발명의 일 실시예에서, 제1 내지 제10 보안 모듈(604, 606_1 내지 606_10) 각각에 대해 10개의 변수를 사용하여 우선 순위가 표시될 수 있다.
그리고, 분석 순서가 필요없는 경우에는 동일한 분석 순서 값으로 우선 순위가 설정되고, 분석 순서가 필요한 경우에는 다음 보안 모듈의 우선 순위가 설정된다.
상기 컨트롤러(600)는 상기 패킷 큐(603)의 패킷 큐 인덱스를 상기 메인 보안 모듈(604) 및 상기 제1 내지 제10 보안 모듈(606_1 내지 606_10) 중 분석이 수행되어야 할 적어도 하나의 보안 모듈에 전달하며, 상기 메인 보안 모듈(604) 및 상기 제1 내지 제10 보안 모듈(606_1 내지 606_10) 중 해당하는 적어도 하나의 보안 모듈은 상기 패킷 큐(603)의 패킷 큐 인덱스에 기반하여 상기 패킷 큐(603)에 저장된 데이터에 액세스한다.
본 발명의 일 실시예에서, 모바일 엣지 컴퓨팅 내의 슬라이싱 보안 모듈 리스트를 관리하는 컨트롤러(600)는, 네트워크 인터페이스 카드(도 3의 308)를 통해 수신된 패킷을 메시지 큐(602) 내부의 패킷 큐(603)에 패킷(614)으로서 저장한다.
컨트롤러(600)는, 패킷(603)의 앞부분에 1 비트의 드롭 플래그(610)와 10 비트의 헤더 정보(612)를 추가하고, 패킷 헤더 정보 테이블을 생성하여, 상기 드롭 플래그(610), 헤더 정보(612) 및 패킷(614)을 포함하는 패킷 정보(605)의 패킷 큐(603) 내의 위치를 나타내는 패킷 큐 인덱스, 패킷 헤더 정보 테이블 및 슬라이싱 보안 모듈 리스트를 메인 보안 모듈(604)에 전달한다.
메인 보안 모듈(604)은, 상기 컨트롤러(600)로부터 수신된 패킷 큐 인덱스에 기반하여 패킷(614)을 읽어, 패킷(614)의 프로토콜 정보, 세션 정보, 소스 IP 주소 및 목적지 IP 주소를 포함하는 IP 주소 정보, 목적지 포트를 포함하는 서비스 포트 정보, 서비스 타입 정보 및 애플리케이션 레이어 정보 중 적어도 하나에 기반하여, 패킷(614)을 분석하여, 슬라이싱 네트워크에 맞는 분석 보안 모듈이 필요한 경우, 수행되어야 할 적어도 하나의 보안 기능 및 수행되어야 할 적어도 하나의 보안 기능의 우선 순위를 결정한다.
그리고, 메인 보안 모듈(604)은, 결정된 수행되어야 할 적어도 하나의 보안 기능에 기반하여 헤더 정보(612)의 대응하는 비트의 플래그를 갱신하여 소정의 값으로 설정한다.
도 6에 도시된 바와 같이, 본 발명의 일 실시예에서, 제1 보안 모듈(606_1), 제2 보안 모듈(606_2), 제9 보안 모듈(606_9) 및 제10 보안 모듈(606_10)에 의해 보안 기능들이 수행되어야 하는 경우, 메인 보안 모듈(604)은 헤더 정보(612)의 대응하는 비트인 첫번째 비트, 두번째 비트, 아홉번째 비트 및 열번째 비트 각각의 플래그를 갱신하여 소정의 값으로 설정한다. 예를 들어, 헤더 정보(612)의 대응하는 비트인 첫번째 비트, 두번째 비트, 아홉번째 비트 및 열번째 비트 각각은 "1"로 설정될 수 있다.
또한, 메인 보안 모듈(604)은 수행되어야 할 보안 기능의 우선 순위를 패킷 헤더 정보 테이블(도 3의 312)에 기록한 후 상기 보안 기능의 우선 순위가 기록된 패킷 헤더 정보 테이블(312)을 상기 컨트롤러(600)에 전달한다.
상기 컨트롤러(600)는 헤더 정보(612)가 갱신된 패킷 큐(603)의 패킷 정보(605)를 읽어, 다음 분석이 필요한 보안 모듈에게 패킷 정보(605)의 패킷 큐 인덱스를 알려준다.
도 3의 패킷 헤더 정보 테이블(312)과 같이 우선 순위가 결정된 경우, 컨트롤러(600)는 우선 제1 보안 모듈(606_1)과 제9 보안 모듈(606_9)에게 패킷 정보(605)의 패킷 큐 인덱스를 알려주고, 그다음 제2 보안 모듈(606_2)에 패킷 정보(605)의 패킷 큐 인덱스를 알려주며, 마지막으로 제10 보안 모듈(606_10)에 패킷 정보(605)의 패킷 큐 인덱스를 알려주어, 각각의 보안 모듈에서 대응하는 보안 기능을 수행하도록 한다.
제1 보안 모듈(606_1)과 제9 보안 모듈(606_9), 제2 보안 모듈(606_2) 그리고 제10 보안 모듈(606_10)은 패킷 정보(605)의 패킷 큐 인덱스에 기반하여 패킷(614)을 읽어, 해당 보안 기능을 수행하여 패킷을 차단할 지 또는 통과시킬 지를 판단한 후 패킷(614)을 차단하는 것으로 결정한 경우, 상기 드롭 플래그(610)의 상태를 폐기로 표시하고, 패킷(614)을 통과시키기로 결정한 경우, 상기 드롭 플래그(610)의 상태를 갱신하지 않고 그대로 둔다.
또한, 각각의 보안 기능을 수행하는 제1 보안 모듈(606_1)과 제9 보안 모듈(606_9), 제2 보안 모듈(606_2) 그리고 제10 보안 모듈(606_10)은 보안 기능의 수행을 완료한 경우, 보안 기능의 수행을 완료했다고 컨트롤러(600)에 알린다.
상기 보안 기능을 수행하는 보안 모듈들 모두가 상기 패킷(614)이 정상적이라고 판단하는 경우, 상기 컨트롤러(600)는 상기 패킷(614)을 슬라이싱 서비스로 전송한다.
하지만, 상기 보안 기능을 수행하는 보안 모듈들 중 적어도 하나가 상기 패킷(614)이 비정상적이라고 판단하는 경우, 즉 드롭 플래그(610)가 폐기로 설정된 경우, 상기 컨트롤러(600)는 드롭 플래그(610)가 폐기로 설정된 패킷(614)을 패킷 큐(603)에서 삭제하여 상기 패킷(614)을 폐기한다.
도 5는 본 발명의 일 실시예에 의한 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법을 설명하기 위한 도면이다.
도 5를 참조하면, 컨트롤러(500)는 MEC 내의 슬라이싱 보안 모듈 리스트를 관리하고(1), 패킷 정보, 패킷 헤더 정보 테이블 및 보안 모듈 리스트를 메인 보안 모듈(502)에 전달한다(2).
메인 보안 모듈(502)은 슬라이싱 보안에 맞는 보안 기능을 수행하기 위하여 분석 작업을 수행한다.
메인 보안 모듈(502)은 패킷의 기본 정보를 분석하여 정상 세션 접속인지 분석하고(3), 슬라이싱 네트워크에 맞는 프로토콜인지 검사하며(4), 패킷 정보를 갱신하고 패킷 헤더 정보 테이블에 다음 보안 기능이 수행되어야 하는 보안 모듈 순서를 기록한다(5). 메인 보안 모듈(502)에 의해 분석된 패킷은 의심 패킷에 적합한 엔진 정보, 즉 보안 모듈의 정보를 태깅해 준다.
메인 보안 모듈(502)은 작성된 패킷 헤더 정보 테이블을 컨트롤러(500)에 전달한다(6).
컨트롤러(500)는 패킷 헤더 정보 테이블을 통해, 패킷이 다음에 처리되어야 하는 보안 모듈로 패킷을 전송한다(7, 8).
전송된 패킷을 전달 받은 보안 모듈(504)은 보안 기능을 수행하여, 패킷을 차단할 지, 아니면 통과시킬 지를 판단한 후, 판단 결과를 컨트롤러(500)에 전달한다(9).
마지막으로, 컨트롤러(500)는 보안 모듈(504)로부터 수신한 판단 결과에 기반하여, 악성 행위가 없는 정상 패킷을 슬라이싱 서비스로 전달하고, 악성 행위가 분석된 경우 해당 패킷을 폐기하기 위하여 제거한다.
이상 본 발명을 구체적인 실시예를 통하여 상세하게 설명하였으나, 이는 본 발명을 구체적으로 설명하기 위한 것으로, 본 발명은 이에 한정되지 않으며, 본 발명의 기술적 사상 내에서 당 분야의 통상의 지식을 가진 자에 의해 그 변형이나 개량이 가능함은 명백하다고 할 것이다.
본 발명의 단순한 변형 내지 변경은 모두 본 발명의 영역에 속하는 것으로, 본 발명의 구체적인 보호 범위는 첨부된 청구범위에 의하여 명확해질 것이다.
200 내지 208 : 보안 모듈
300, 500, 600 : 컨트롤러 302, 602 : 메시지 큐
304, 502, 604 : 메인 보안 모듈
306_1 내지 306_10 : 제1 내지 제10 보안 모듈
606_1 내지 606_10 : 제1 내지 제10 보안 모듈
308, 310 : 네트워크 인터페이스 카드
312 : 패킷 헤더 정보 테이블
504 : 보안 모듈
603 : 패킷 큐 605 : 패킷 정보
610 : 드롭 플래그 612 : 헤더 정보
614 : 패킷

Claims (18)

  1. 모바일 엣지 컴퓨팅의 슬라이싱 보안에 맞는 보안 기능을 각각 수행하기 위하여 수신되는 패킷을 분석하는 복수의 보안 모듈;
    상기 모바일 엣지 컴퓨팅 내의 슬라이싱 보안 모듈 리스트를 관리하는 컨트롤러; 및
    상기 슬라이싱 보안 모듈 리스트에 기반하여 수신된 패킷을 분석하여 수행되어야 할 보안 기능 및 수행되어야 할 보안 기능의 우선 순위를 결정하는 메인 보안 모듈을 포함하고,
    상기 컨트롤러는, 상기 메인 보안 모듈에 의해 결정된 수행되어야 할 보안 기능의 우선 순위에 따라, 수신된 패킷을 상기 복수의 보안 모듈 중 해당하는 적어도 하나의 보안 모듈에 전달하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치.
  2. 청구항 1에 있어서,
    상기 컨트롤러는 네트워크 인터페이스 카드를 통해 패킷을 수신하고 패킷 헤더 정보 테이블을 생성하여 상기 패킷의 헤더 앞에 삽입하며, 상기 패킷 헤더 정보 테이블, 상기 패킷을 포함하는 패킷 정보 및 상기 슬라이싱 보안 모듈 리스트를 상기 메인 보안 모듈에 전달하고,
    상기 메인 보안 모듈은, 상기 컨트롤러로부터 상기 패킷 헤더 정보 테이블, 상기 패킷을 포함하는 패킷 정보 및 상기 슬라이싱 보안 모듈 리스트를 수신하고, 상기 패킷을 분석하여 수행되어야 할 적어도 하나의 보안 기능 및 수행되어야 할 적어도 하나의 보안 기능의 우선 순위를 결정하며, 결정된 보안 기능의 우선 순위를 상기 패킷 헤더 정보 테이블에 기록한 후 상기 패킷 헤더 정보 테이블을 상기 컨트롤러에 전달하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치.
  3. 청구항 2에 있어서,
    상기 컨트롤러는, 상기 메인 보안 모듈로부터 수행될 보안 기능의 우선 순위가 기록된 패킷 헤더 정보 테이블을 수신하는 경우, 상기 수신된 패킷 헤더 정보 테이블에 기반하여 상기 패킷을 포함하는 패킷 정보를 상기 복수의 보안 모듈 중 다음 보안 기능이 수행될 적어도 하나의 보안 모듈에 전달하며,
    상기 복수의 보안 모듈 중 상기 컨트롤러로부터 상기 패킷을 포함하는 패킷 정보를 수신하는 적어도 하나의 보안 모듈은, 해당 보안 기능을 수행하여 패킷을 차단할 지 또는 통과시킬 지를 판단한 후 판단 결과를 상기 컨트롤러에 전달하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치.
  4. 청구항 3에 있어서,
    상기 패킷을 저장하기 위한 메시지 큐를 더 포함하고,
    상기 메시지 큐는 패킷 큐를 포함하며,
    상기 패킷 큐는 드롭 플래그(drop flag), 헤더 정보 및 패킷을 포함하는 패킷 정보를 포함하고,
    상기 드롭 플래그는 상기 패킷의 폐기 여부를 나타내고,
    상기 헤더 정보는 상기 복수의 보안 모듈의 개수와 동일한 개수의 비트로 구성되며,
    상기 헤더 정보의 각 비트는 상기 복수의 보안 모듈 각각에 대응되고,
    상기 헤더 정보의 각 비트는 보안 기능을 수행할 보안 모듈의 지정 여부를 나타내며,
    상기 메인 보안 모듈에 의해 수행되어야 할 적어도 하나의 보안 기능이 결정된 경우, 상기 메인 보안 모듈은 상기 헤더 정보의 대응하는 비트에 보안 기능을 수행할 보안 모듈의 지정을 표시하고,
    상기 복수의 보안 모듈 중 상기 컨트롤러로부터 상기 패킷 정보를 수신하는 적어도 하나의 보안 모듈은, 해당 보안 기능을 수행하여 패킷을 차단할 지 또는 통과시킬 지를 판단한 후 패킷을 차단하는 것으로 결정한 경우, 상기 드롭 플래그의 상태를 폐기로 표시하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치.
  5. 청구항 4에 있어서,
    상기 컨트롤러는 상기 패킷 큐의 인덱스를 상기 메인 보안 모듈 및 상기 복수의 보안 모듈 중 해당하는 적어도 하나의 보안 모듈에 전달하며, 상기 메인 보안 모듈 및 상기 복수의 보안 모듈 중 해당하는 적어도 하나의 보안 모듈은 상기 패킷 큐의 인덱스에 기반하여 상기 패킷 큐에 저장된 데이터에 액세스하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치.
  6. 청구항 1에 있어서,
    상기 보안 기능을 수행하는 보안 모듈들 모두가 상기 패킷이 정상적이라고 판단하는 경우, 상기 컨트롤러는 상기 패킷을 슬라이싱 서비스로 전송하고, 상기 보안 기능을 수행하는 보안 모듈들 중 적어도 하나가 상기 패킷이 비정상적이라고 판단하는 경우, 상기 컨트롤러는 상기 패킷을 폐기하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치.
  7. 청구항 1에 있어서,
    상기 보안 모듈들은 컨테이너 기반의 모듈화된 침입 방지 시스템(IPS: intrusion prevention system)을 포함하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치.
  8. 청구항 1에 있어서,
    상기 메인 보안 모듈이 수신된 패킷을 분석한 결과 상기 패킷이 정상적이라고 판단하는 경우, 상기 컨트롤러는 상기 패킷을 슬라이싱 서비스로 전송하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치.
  9. 청구항 1에 있어서,
    상기 메인 보안 모듈은, 상기 패킷의 프로토콜 정보, 세션 정보, 소스 IP 주소 및 목적지 IP 주소를 포함하는 IP 주소 정보, 목적지 포트를 포함하는 서비스 포트 정보, 서비스 타입 정보 및 애플리케이션 레이어 정보 중 적어도 하나에 기반하여, 수행되어야 할 보안 기능 및 수행되어야 할 보안 기능의 우선 순위를 결정하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치.
  10. (A) 모바일 엣지 컴퓨팅 내의 슬라이싱 보안 모듈 리스트를 관리하는 컨트롤러가, 상기 슬라이싱 보안 모듈 리스트 및 수신된 패킷을 메인 보안 모듈에 전달하는 단계;
    (B) 상기 메인 보안 모듈이, 상기 컨트롤러로부터 수신된 패킷을 분석하여 수행되어야 할 보안 기능 및 수행되어야 할 보안 기능의 우선 순위를 결정하는 단계;
    (C) 상기 컨트롤러가, 상기 메인 보안 모듈에 의해 결정된 수행되어야 할 보안 기능의 우선 순위에 따라, 상기 패킷을 복수의 보안 모듈 중 해당하는 적어도 하나의 보안 모듈에 전달하는 단계를 포함하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법.
  11. 청구항 10에 있어서,
    상기 단계 (A)에서, 상기 컨트롤러는 패킷 헤더 정보 테이블을 생성하여 상기 패킷의 헤더 앞에 삽입하며, 상기 패킷 헤더 정보 테이블, 상기 패킷을 포함하는 패킷 정보 및 상기 슬라이싱 보안 모듈 리스트를 상기 메인 보안 모듈에 전달하고,
    상기 단계 (B)에서, 상기 메인 보안 모듈은, 상기 컨트롤러로부터 상기 패킷 헤더 정보 테이블, 상기 패킷을 포함하는 패킷 정보 및 상기 슬라이싱 보안 모듈 리스트를 수신하고, 상기 패킷을 분석하여 수행되어야 할 적어도 하나의 보안 기능 및 수행되어야 적어도 하나의 보안 기능의 우선 순위를 결정하며, 결정된 보안 기능의 우선 순위를 상기 패킷 헤더 정보 테이블에 기록한 후 상기 패킷 헤더 정보 테이블을 상기 컨트롤러에 전달하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법.
  12. 청구항 11에 있어서,
    상기 단계 (C)에서, 상기 컨트롤러는, 상기 메인 보안 모듈로부터 수행될 보안 기능의 우선 순위가 기록된 패킷 헤더 정보 테이블을 수신하는 경우, 상기 수신된 패킷 헤더 정보 테이블에 기반하여 상기 패킷을 상기 복수의 보안 모듈 중 다음 보안 기능이 수행될 적어도 하나의 보안 모듈에 전달하며,
    상기 단계 (C) 이후에, (D) 상기 복수의 보안 모듈 중 상기 컨트롤러로부터 상기 패킷을 포함하는 패킷 정보를 수신하는 적어도 하나의 보안 모듈이, 해당 보안 기능을 수행하여 패킷을 차단할 지 또는 통과시킬 지를 판단한 후 판단 결과를 상기 컨트롤러에 전달하는 단계를 더 포함하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법.
  13. 청구항 12에 있어서,
    상기 컨트롤러는, 상기 패킷을 메시지 큐에 저장하며,
    상기 메시지 큐는 패킷 큐를 포함하며,
    상기 패킷 큐는 드롭 플래그(drop flag), 헤더 정보 및 패킷을 포함하는 패킷 정보를 포함하고,
    상기 드롭 플래그는 상기 패킷의 폐기 여부를 나타내고,
    상기 헤더 정보는 상기 복수의 보안 모듈의 개수와 동일한 개수의 비트로 구성되며,
    상기 헤더 정보의 각 비트는 상기 복수의 보안 모듈 각각에 대응되고,
    상기 헤더 정보의 각 비트는 보안 기능을 수행할 보안 모듈의 지정 여부를 나타내며,
    상기 메인 보안 모듈에 의해 수행되어야 할 적어도 하나의 보안 기능이 결정된 경우, 상기 메인 보안 모듈은 상기 헤더 정보의 대응하는 비트에 보안 기능을 수행할 보안 모듈의 지정을 표시하고,
    상기 복수의 보안 모듈 중 상기 컨트롤러로부터 상기 패킷 정보를 수신하는 적어도 하나의 보안 모듈은, 해당 보안 기능을 수행하여 패킷을 차단할 지 또는 통과시킬 지를 판단한 후 패킷을 차단하는 것으로 결정한 경우, 상기 드롭 플래그의 상태를 폐기로 표시하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법.
  14. 청구항 13에 있어서,
    상기 컨트롤러는 상기 패킷 큐의 인덱스를 상기 메인 보안 모듈 및 상기 복수의 보안 모듈 중 해당하는 적어도 하나의 보안 모듈에 전달하며, 상기 메인 보안 모듈 및 상기 복수의 보안 모듈 중 해당하는 적어도 하나의 보안 모듈은 상기 패킷 큐의 인덱스에 기반하여 상기 패킷 큐에 저장된 데이터에 액세스하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법.
  15. 청구항 10에 있어서,
    상기 단계 (D) 이후에, (E) 상기 보안 기능을 수행하는 보안 모듈들 모두가 상기 패킷이 정상적이라고 판단하는 경우, 상기 컨트롤러는 상기 패킷을 슬라이싱 서비스로 전송하고, 상기 보안 기능을 수행하는 보안 모듈들 중 적어도 하나가 상기 패킷이 비정상적이라고 판단하는 경우, 상기 컨트롤러는 상기 패킷을 폐기하는 단계를 더 포함하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법.
  16. 청구항 10에 있어서,
    상기 보안 모듈들은 컨테이너 기반의 모듈화된 침입 방지 시스템(IPS: intrusion prevention system)을 포함하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법.
  17. 청구항 10에 있어서,
    상기 메인 보안 모듈이 수신된 패킷을 분석한 결과 상기 패킷이 정상적이라고 판단되는 경우, 상기 컨트롤러는 상기 패킷을 슬라이싱 서비스로 전송하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법.
  18. 청구항 10에 있어서,
    상기 메인 보안 모듈은, 상기 패킷의 프로토콜 정보, 세션 정보, 소스 IP 주소 및 목적지 IP 주소를 포함하는 IP 주소 정보, 목적지 포트를 포함하는 서비스 포트 정보, 서비스 타입 정보 및 애플리케이션 레이어 정보 중 적어도 하나에 기반하여, 수행되어야 할 보안 기능 및 수행되어야 할 보안 기능의 우선 순위를 결정하는 것을 특징으로 하는 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 방법.
KR1020200144410A 2020-11-02 2020-11-02 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법 KR102319089B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020200144410A KR102319089B1 (ko) 2020-11-02 2020-11-02 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법
US17/561,868 US11991522B2 (en) 2020-11-02 2021-12-24 Apparatus and method for traffic security processing in 5G mobile edge computing slicing service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200144410A KR102319089B1 (ko) 2020-11-02 2020-11-02 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법

Publications (1)

Publication Number Publication Date
KR102319089B1 true KR102319089B1 (ko) 2021-10-29

Family

ID=78231159

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200144410A KR102319089B1 (ko) 2020-11-02 2020-11-02 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법

Country Status (2)

Country Link
US (1) US11991522B2 (ko)
KR (1) KR102319089B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4037361A1 (en) * 2021-01-29 2022-08-03 Adaptive Mobile Security Limited System and method for securing a communication network
US11956188B1 (en) * 2022-12-13 2024-04-09 Infineon Technologies Ag Security aware routing in an in-vehicle communication network

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060126557A (ko) * 2004-02-20 2006-12-07 비악세스 M 개의 조건 접근 제어 카드로 n 개의 수신 단말기를매칭시키는 방법
KR20180004612A (ko) * 2016-07-04 2018-01-12 삼성전자주식회사 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치
KR102030764B1 (ko) 2017-10-11 2019-10-10 에스케이텔레콤 주식회사 가상 네트워크 보안 장치 및 가상 네트워크 보안 방법
CN110392370A (zh) * 2018-04-19 2019-10-29 上海华为技术有限公司 一种安全算法的协商方法及装置
KR102053596B1 (ko) * 2018-11-30 2019-12-10 한국과학기술정보연구원 Sdn 기반의 동적 네트워크 트래픽 분석을 통한 네트워크 슬라이싱 방법 및 장치

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7525958B2 (en) * 2004-04-08 2009-04-28 Intel Corporation Apparatus and method for two-stage packet classification using most specific filter matching and transport level sharing
WO2018076298A1 (zh) * 2016-10-28 2018-05-03 华为技术有限公司 一种安全能力协商方法及相关设备
US10268474B2 (en) * 2017-07-18 2019-04-23 Cisco Technology, Inc. Network slice selection in a mobile network
US10944796B2 (en) * 2018-09-27 2021-03-09 Palo Alto Networks, Inc. Network slice-based security in mobile networks
US11711267B2 (en) * 2019-02-25 2023-07-25 Intel Corporation 5G network slicing with distributed ledger traceability and resource utilization inferencing
EP4179756A1 (en) * 2020-07-08 2023-05-17 Lenovo (Singapore) Pte. Ltd. Slice-specific security requirement information
US11659397B2 (en) * 2020-10-21 2023-05-23 Dell Products, Lp System and method of orchestrating distribution of network slices based on endpoint computing device security profiles

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060126557A (ko) * 2004-02-20 2006-12-07 비악세스 M 개의 조건 접근 제어 카드로 n 개의 수신 단말기를매칭시키는 방법
KR20180004612A (ko) * 2016-07-04 2018-01-12 삼성전자주식회사 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치
KR102030764B1 (ko) 2017-10-11 2019-10-10 에스케이텔레콤 주식회사 가상 네트워크 보안 장치 및 가상 네트워크 보안 방법
CN110392370A (zh) * 2018-04-19 2019-10-29 上海华为技术有限公司 一种安全算法的协商方法及装置
KR102053596B1 (ko) * 2018-11-30 2019-12-10 한국과학기술정보연구원 Sdn 기반의 동적 네트워크 트래픽 분석을 통한 네트워크 슬라이싱 방법 및 장치

Also Published As

Publication number Publication date
US20220295283A1 (en) 2022-09-15
US11991522B2 (en) 2024-05-21

Similar Documents

Publication Publication Date Title
EP3707880B1 (en) Nic with programmable pipeline
JP3954385B2 (ja) 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法
US6513122B1 (en) Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
KR102319089B1 (ko) 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법
US20050076228A1 (en) System and method for a secure I/O interface
US10567426B2 (en) Methods and apparatus for detecting and/or dealing with denial of service attacks
US9515992B2 (en) Network environment separation
US20080151887A1 (en) Method and Apparatus For Inter-Layer Binding Inspection
CA2432322A1 (en) Packet encrypton system and method
US8438641B2 (en) Security protocol processing for anti-replay protection
CN109510785B (zh) 一种镜像报文的方法和装置
CN112422567B (zh) 一种面向大流量的网络入侵检测方法
US20200145456A1 (en) Method and System for Improving Network and Software Security Using Shared Trust and an Egress Man-in-the-Middle (MITM) Algorithm for Performing Clandestine Traffic Modification
US8340090B1 (en) Interconnecting forwarding contexts using u-turn ports
Van et al. An anomaly-based intrusion detection architecture integrated on openflow switch
CN111385228B (zh) 一种基于openflow交换机端口混淆的移动目标防御方法
US8050266B2 (en) Low impact network debugging
CN111030976A (zh) 一种基于密钥的分布式访问控制方法、装置及存储设备
EP3059911A1 (en) A router
KR100564753B1 (ko) 네트워크 프로세서의 아이피 보안 프로토콜 처리 장치 및그 방법
US11044197B2 (en) System and method for protecting resources using network devices
US8351341B1 (en) Filtering to protect class of service
CN115225297B (zh) 一种阻断网络入侵的方法及装置
KR20080083511A (ko) 패킷 처리 시스템의 패킷 처리 방법 및 그 장치
CN116846657A (zh) 一种防火墙实现方法、装置、设备及存储介质

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant