KR102400471B1 - Sdp 기반의 접속 제어 장치 및 방법 - Google Patents

Sdp 기반의 접속 제어 장치 및 방법 Download PDF

Info

Publication number
KR102400471B1
KR102400471B1 KR1020160141640A KR20160141640A KR102400471B1 KR 102400471 B1 KR102400471 B1 KR 102400471B1 KR 1020160141640 A KR1020160141640 A KR 1020160141640A KR 20160141640 A KR20160141640 A KR 20160141640A KR 102400471 B1 KR102400471 B1 KR 102400471B1
Authority
KR
South Korea
Prior art keywords
service
policy
sdp
access control
service providing
Prior art date
Application number
KR1020160141640A
Other languages
English (en)
Other versions
KR20180046476A (ko
Inventor
김동현
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020160141640A priority Critical patent/KR102400471B1/ko
Publication of KR20180046476A publication Critical patent/KR20180046476A/ko
Application granted granted Critical
Publication of KR102400471B1 publication Critical patent/KR102400471B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Abstract

본 발명의 일 실시예에 따른 SDP(Software Defined Perimeter) 기반의 접속 제어 시스템은 네트워크 서비스에 대한 요청을 SDP 기반 접속 제어 장치로 송신하는 서비스 요청 장치와, 네트워크 서비스를 제공하는 서비스 제공 장치에 적용할 접속에 관한 정책을 기 저장된 정책 정보를 기초로 결정하고, 결정된 정책을 서비스 제공 장치로 전송하는 SDP 기반 접속 제어 장치와, 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템에 의하여 구현되고, 전송된 정책에 따라 서비스 요청 장치에 네트워크 서비스를 제공하는 서비스 제공 장치를 포함한다.

Description

SDP 기반의 접속 제어 장치 및 방법{APPARATUS AND METHOD FOR CONTROLLING ACCESS BASED ON SOFTWARE DEFINED PERIMETER}
본 발명은 SDP 기반의 접속 제어 장치 및 방법에 관한 것으로서, 보다 자세하게는 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템에 의하여 생성된 서비스 제공 장치에 대한 가시성을 접근 권한이 있는 서비스 요청 장치에만 허용하는 SDP 기반의 접속 제어 장치 및 방법에 관한 것이다.
NFV (Network Function Virtualization) 란 네트워크 장비의 기능을 수행하는 네트워크 노드를 클라우드 (Cloud) 기반의 가상화된 공간에서 구현하여 네트워크 노드의 기능을 구동시키는 기술이다. 예컨대, EPS(Evolved Packet System)/LTE(Long Term Evolution) 시스템의 경우라면 MME(Mobility Management Entity), SGW(Serving Gateway), PGW(Packet Data Network Gateway) 등을 가상화된 공간 상에서 구현될 수 있다.
이러한 소프트웨어 정의 인프라 (SDI) 를 NFV 기반의 이동통신 서비스 시스템에 접목하면 각종 네트워크 노드 및 IT 서비스 노드들을 가상화 할 수 있으며, 그에 따라 이동통신 서비스 시스템의 유연성 및 민첩성이 향상될 수 있다.
그러나 가상화된 공간에서 인프라가 분산되고 네트워크 기능이 동적으로 구성됨에 따라 보안 취약점이 증가한다. 예를 들어, 네트워크 서비스를 제공하는 가상화된 네트워크 노드(이하, 서비스 제공 장치라고 지칭)에 대해 서비스 요청 장치가 네트워크 서비스를 요청하는 경우, 해당 서비스 제공 장치에 대한 접근은 아이디 및 패스워드 등의 서비스 접속 크리덴셜(Credential)과 보안 요소들에 의하여 통제된다. 이때 서비스 제공 장치는 서비스 요청 장치들에 대하여 가시적이기 때문에, 서비스 접속 크리덴셜(Credential)이 노출되기만 하면 악의의 서비스 요청 장치라도 서비스 제공 장치로의 접근이 허용된다는 문제점이 있다.
본 발명의 실시예에서 해결하고자 하는 과제는 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템에 의하여 생성된 서비스 제공 장치에 대한 서비스 요청 장치들의 접근을 제한하여 보안성을 향상시키는 기술을 제공하는 것이다.
다만, 본 발명의 실시예가 이루고자 하는 기술적 과제는 이상에서 언급한 과제로 제한되지 않으며, 이하에서 설명할 내용으로부터 통상의 기술자에게 자명한 범위 내에서 다양한 기술적 과제가 도출될 수 있다.
일 실시예에 따른 SDP 기반 접속 제어 시스템은 네트워크 서비스에 대한 요청을 SDP 기반 접속 제어 장치로 송신하는 서비스 요청 장치와, 상기 요청을 수신하고 상기 요청된 네트워크 서비스를 제공하는 서비스 제공 장치에 적용할 접속에 관한 정책을 기 저장된 정책 정보를 기초로 결정하고 상기 결정된 정책을 상기 서비스 제공 장치로 전송하는 SDP 기반 접속 제어 장치와, 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템에 의하여 구현되고, 상기 전송된 정책에 따라 상기 서비스 요청 장치에 상기 네트워크 서비스를 제공하는 서비스 제공 장치를 포함하고, 상기 기 저장된 정책 정보는 상기 SDP 기반 접속 제어 장치가 상기 소프트웨어 정의 인프라 시스템에서 관리하는 상기 서비스 요청 장치의 상기 서비스 제공 장치에 대한 접속 권한에 대한 정책을 전달받아 생성된다.
이때 상기 서비스 제공 장치는 상기 소프트웨어 정의 인프라 시스템에 의하여 생성되어 상기 네트워크 서비스를 제공하는 기능 제공부와, 상기 결정된 정책을 기초로 상기 서비스 요청 장치의 상기 기능 제공부에 대한 접속을 관리하는 게이트웨이를 포함할 수 있다.
일 실시예에 따른 SDP 기반 접속 제어 장치는 서비스 요청 장치와 통신을 수행하는 통신부와, 네트워크 서비스를 제공하는 서비스 제공 장치에 대한 상기 서비스 요청 장치의 접속을 제어하는데 사용되는 정책 정보를 저장하는 저장부와, 상기 통신부를 통하여 상기 서비스 요청 장치의 네트워크 서비스 요청이 수신되면, 상기 요청된 네트워크 서비스를 제공하는 서비스 제공 장치에 적용할 정책을 상기 저장된 정책 정보를 기초로 결정하고, 상기 통신부를 통하여 상기 결정된 정책이 상기 서비스 제공 장치로 전송되도록 제어하는 결정부를 포함하고, 상기 저장된 정책 정보는 소프트웨어 정의 인프라 시스템에서 관리하는 상기 서비스 요청 장치의 상기 서비스 제공 장치에 대한 접속 권한에 대한 정책을 전달받아 생성된다.
이때 상기 전달받은 정책 정보는 네트워크 서비스에 따라 연결되어야 하는 서비스 제공 장치에 대한 정책, 서비스 제공 장치에 대한 서비스 요청 장치의 인증에 대한 정책 및 인증된 서비스 요청 장치에 대한 서비스 제공 장치로의 접속 권한 설정 정책을 포함할 수 있다.
일 실시예에 따른 SDP 기반 접속 제어 방법은 서비스 요청 장치가 네트워크 서비스에 대한 요청을 SDP 기반 접속 제어 장치로 송신하는 단계와, 상기 SDP 기반 접속 제어 장치가 상기 요청을 수신하여 상기 네트워크 서비스를 제공하는 서비스 제공 장치에 적용할 접속에 관한 정책을 기 저장된 정책 정보를 기초로 결정하는 단계와, 상기 SDP 기반 접속 제어 장치가 상기 결정된 정책을 상기 서비스 제공 장치로 전송하는 단계와, 상기 SDP 기반 접속 제어 장치가 상기 서비스 제공 장치의 정보를 상기 서비스 요청 장치에 전송하는 단계를 포함하고, 상기 기 저장된 정책 정보는 상기 SDP 기반 접속 제어 장치가 상기 네 소프트웨어 정의 인프라 시스템에서 관리하는 상기 서비스 요청 장치의 상기 서비스 제공 장치에 대한 접속 권한에 대한 정책을 전달받아 생성된다.
이때 상기 전달받은 정책 정보는 네트워크 서비스에 따라 연결되어야 하는 서비스 제공 장치에 대한 정책, 서비스 제공 장치에 대한 서비스 요청 장치의 인증에 대한 정책 및 인증된 서비스 요청 장치에 대한 서비스 제공 장치로의 접속 권한 설정 정책을 포함할 수 있다.
일 실시예에 따르면, 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템에 SDP(software defined perimeter) 기반의 SDP 기반 접속 제어 장치를 접목하여 서비스 제공 장치에 대한 접근 권한이 있는 서비스 요청 장치에만 허용함으로써, 보안상의 취약점을 해결할 수 있다.
도 1은 일 실시예에 따른 SDP 기반 접속 제어 장치를 포함하는 전체 시스템의 구성을 나타낸 도면이다.
도 2는 서비스 요청 장치의 네트워크 서비스에 대해 SDP 기반 접속 제어 장치가 접근 권한을 허용한 경우, 서비스 요청 장치와 서비스 제공 장치의 접속 형태를 설명하기 위한 일 실시예에 따른 예시도다.
도 3는 일 실시예에 따른 SDP 기반 접속 제어 장치의 기능 블럭도이다.
도 4은 일 실시예에 따른 SDP 기반 접속 제어 방법을 나타내는 순서도이다.
본 발명의 목적과 기술적 구성 및 그에 따른 작용 효과에 관한 자세한 사항은 본 발명의 명세서에 첨부된 도면에 의거한 이하의 상세한 설명에 의해 보다 명확하게 이해될 것이다. 첨부된 도면을 참조하여 본 발명에 따른 실시예를 상세하게 설명한다.
본 명세서에서 개시되는 실시예들은 본 발명의 범위를 한정하는 것으로 해석되거나 이용되지 않아야 할 것이다. 이 분야의 통상의 기술자에게 본 명세서의 실시예를 포함한 설명은 다양한 응용을 갖는다는 것이 당연하다. 따라서, 본 발명의 상세한 설명에 기재된 임의의 실시예들은 본 발명을 보다 잘 설명하기 위한 예시적인 것이며 본 발명의 범위가 실시예들로 한정되는 것을 의도하지 않는다.
도면에 표시되고 아래에 설명되는 기능 블록들은 가능한 구현의 예들일 뿐이다. 다른 구현들에서는 상세한 설명의 사상 및 범위를 벗어나지 않는 범위에서 다른 기능 블록들이 사용될 수 있다. 또한, 본 발명의 하나 이상의 기능 블록이 개별 블록들로 표시되지만, 본 발명의 기능 블록들 중 하나 이상은 동일 기능을 실행하는 다양한 하드웨어 및 소프트웨어 구성들의 조합일 수 있다.
또한, 어떤 구성요소들을 포함한다는 표현은 개방형의 표현으로서 해당 구성요소들이 존재하는 것을 단순히 지칭할 뿐이며, 추가적인 구성요소들을 배제하는 것으로 이해되어서는 안 된다.
나아가 어떤 구성요소가 다른 구성요소에 연결되어 있다거나 접속되어 있다고 언급될 때에는, 그 다른 구성요소에 직접적으로 연결 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 한다.
또한 '제1, 제2' 등과 같은 표현은 복수의 구성들을 구분하기 위한 용도로만 사용된 표현으로써, 구성들 사이의 순서나 기타 특징들을 한정하지 않는다.
이하에서는 도면들을 참조하여 본 발명의 실시예들에 대해 설명하도록 한다.
도 1은 일 실시예에 따른 SDP 기반 접속 제어 장치(100)를 포함하는 전체 시스템의 구성을 나타낸 도면이다.
도 1을 참조하면, SDP 기반 접속 제어 장치(100)를 포함하는 전체 시스템은 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템(10), 서비스 요청 장치(20), 서비스 제공 장치(30), 및 SDP 기반 접속 제어 장치(100)를 포함한다.
NFV(Network Function Virtualization)이란 네트워크 장비의 기능을 수행하는 네트워크 노드 또는 IT 서비스 노드를 클라우드(Cloud) 기반의 가상화된 공간에서 구현하여 네트워크 노드 또는 IT 서비스 노드의 기능을 구동시키는 기술이다. 예컨대, 가상화된 공간 상에 가상 머신(Virtual Machine, VM), 호스트(HOST), 컨테이너(Container) 등을 가상화된 공간 상에 구현하여 데이터센터(edge data center, core date center) 등의 역할을 하도록 구동시킬 수 있다.
본 발명에서는 이러한 NFV를 포함하는 가상화 인프라를 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI)로 칭하고 이를 위한 관리자(manager)를 VIM(Virtual Infrastructure Manager) 이라고 정의하고 기재한다.
한편, 본 발명의 실시예에 따른 소프트웨어 정의 인프라 시스템(10)은 생성된 있는 가상 머신(Virtual Machine, VM), 호스트(HOST), 컨테이너(Container) 등에 대한 정보를 소프트웨어 정의 인프라 시스템(10)의 외부에 공개하지 않는다.
이러한 소프트웨어 정의 인프라 시스템(10)은 네트워크 장비 서비스 및 IT 서비스(예, Web, Was, DB, NoSQL, 및 사용자 작성 서비스 등)에 적용될 수 있으며, 본 명세서에서 기재된 네트워크 서비스의 용어는 IT 서비스의 개념을 포함한다.
서비스 요청 장치(20)는 제공받고자 하는 네트워크 서비스를 SDP 기반 접속 제어 장치(100)에게 요청하는 장치이다. 예컨대, 이러한 서비스 요청 장치(20)는 컴퓨터(computer), 스마트폰(smartphone), 태블릿 PC(tablet PC), 스마트 워치(smart watch) 등의 통신 장치를 포함할 수 있다.
서비스 제공 장치(30)는 소프트웨어 정의 인프라 시스템(10)에 의하여 구현되어, 서비스 요청 장치(20)가 요청하는 네트워크 서비스를 제공한다. 이때 서비스 제공 장치(30)는 소프트웨어 정의 인프라 시스템(10)에 의해 클라우드 기반의 가상화된 공간에서 생성된 기능 제공부 및 SDP 기반 접속 제어 장치(100)에서 결정된 정책을 기초로 기능 제공부에 대한 접속을 관리하는 게이트웨이를 포함할 수 있다.
이때 기능 제공부는 소프트웨어 정의 인프라 시스템(10)을 통하여 가상화된 공간 상에 구현된 가상 머신(Virtual Machine, VM), 호스트(HOST), 컨테이너(Container) 등을 포함하며, 데이터센터(edge data center, core date center) 등의 역할을 하도록 구동될 수 있다.
또한 서비스 제공 장치(30) 내에는 하나의 게이트웨이가 복수의 기능 제공부로의 접속을 관리할 수 있고, 또는 복수의 게이트웨이가 복수의 기능 제공부로의 접속을 관리할 수 있다.
SDP 기반 접속 제어 장치(100)는 서비스 요청 장치(20)의 네트워크 서비스 요청을 수신하면, 서비스 제공 장치(30)에 적용할 접속에 관한 정책을 기 저장된 정책 정보를 기초로 결정하고, 결정된 정책을 서비스 제공 장치(30)로 전송한다. 이때 기 저장된 정책 정보는 SDP 기반 접속 제어 장치(100)가 소프트웨어 정의 인프라 시스템(10)에서 관리하는 정책을 전달받음으로써 생성될 수 있다. 이하, 정책의 전달에 대해서는 후술하기로 한다.
도 2는 서비스 요청 장치(20)의 네트워크 서비스에 대해 SDP 기반 접속 제어 장치(100)가 접근 권한을 허용한 경우, 서비스 요청 장치(20)와 서비스 제공 장치(30)의 접속 형태를 설명하기 위한 일 실시예에 따른 예시도다.
상술한 바와 같이, 서비스 요청 장치(20)는 SDP 기반 접속 제어 장치(100)를 포함하는 전체 시스템에서 서비스 요청 장치(20)는 서비스 요청 장치(20)에 대하여 존재가 드러나지 않는다.
그러나 도 2를 참조하면, SDP 기반 접속 제어 장치(100)가 서비스 요청 장치(20)의 네트워크 서비스 요청에 따라 해당 네트워크 서비스를 제공하는 서비스 제공 장치(30)에 서비스 요청 장치(20)에 대한 접근 권한을 허용한 경우에는, 서비스 요청 장치(20)는 서비스 제공 장치(30)에 접속하기 위하여 필요한 정보(예를 들면, 서비스 제공 장치(30)에 포함된 게이트웨이의 주소)를 SDP 기반 접속 제어 장치(100)로부터 전송 받아, 이를 이용하여 서비스 제공 장치(30)에 대해 접속을 요청할 수 있고, 서비스 제공 장치(30)는 SDP 기반 접속 제어 장치(100)로부터 서비스 요청 장치(20)에 대한 접근을 허용하는 정책을 전송받아 해당 서비스 요청 장치(20)의 접속을 허용할 수 있다.
예를 들어, 서비스 제공 장치(30)의 게이트웨이는 접근 권한이 있는 서비스 요청 장치(20)의 접속 요청에 대해, 게이트웨이 앞단의 방화벽의 핀홀(pin-hole)을 오픈하여 게이트웨이로의 접속을 허용하고, 서비스 요청 장치(20)가 요청하는 네트워크 서비스를 제공하는 기능 제공부에 대한 포트를 오픈하여 기능 제공부와의 데이터 송수신을 허용할 수 있다.
도 3는 일 실시예에 따른 SDP 기반 접속 제어 장치(100)의 기능 블럭도이다.
도 3을 참조하면, SDP 기반 접속 제어 장치(100)는 통신부(110), 저장부(120) 및 결정부(130)를 포함한다.
통신부(110)는 서비스 요청 장치(20) 및 서비스 제공 장치(30)와 통신을 수행한다. 이러한 작업들을 수행하기 위하여 통신부(110)는 외부 장치와 데이터를 주고받기 위한 통신 모듈을 포함할 수 있다.
저장부(120)는 네트워크 서비스를 제공하는 서비스 제공 장치(30)에 대한 서비스 요청 장치(20)의 접속을 제어하는데 사용되는 정책 정보를 저장한다. 이때 SDP 기반 접속 제어 장치(100)는 소프트웨어 정의 인프라 시스템(10)의 정책을 전달받아 사용한다.
예를 들면, 소프트웨어 정의 인프라 시스템(10) 중 하나인 네트워크 기능 가상화 시스템의 VIM(Virtual Infrastructure Manager)에서 Compute/Storage/Network 등의 가상화된 자원을 생성하거나 또는 삭제하는 경우, 가상화된 자원의 생성 및 접속 권한 정보 설정에 대한 정책을 후킹하여 저장부(120)에 저장할 수 있다. 이러한 과정은 XACML에 따른 PEP(Policy Enforcement Point)에 의해 PIP(Policy Information Point, SDP 기반 접속 제어 장치(100)의 저장부(120)에 해당)에 저장될 수 있다.
따라서 기존의 소프트웨어 정의 인프라 시스템(10)의 구현을 바꾸지 않고도 SDP 기반 접속 제어 장치(100)를 연동하여 정책을 활용할 수 있으며, 서비스 요청 장치(20)의 SDP 기반의 접속 제어 장치(100) 호출 시 PIP, 즉, 저장부(120)의 정책 정보 기준으로 결정부(130)에서 판단하여 서비스 제공 장치(30)로 결정된 정책을 내릴 수 있다.
이때 전달받은 정책 정보는, 예를 들어 네트워크 서비스에 따라 연결되어야 하는 서비스 제공 장치(30)에 대한 정책, 서비스 제공 장치(30)에 대한 서비스 요청 장치(20)의 인증에 대한 정책 및 인증된 서비스 요청 장치(20)에 대한 서비스 제공 장치(30)로의 접속 권한 설정 정책을 포함할 수 있다.
결정부(130)는 통신부(110)를 통하여 서비스 요청 장치(20)의 네트워크 서비스 요청을 수신하면, 요청된 네트워크 서비스를 제공하는 서비스 제공 장치(30)에 적용할 정책을 저장부(120)에 저장된 정책 정보를 기초로 결정하고, 통신부(110)를 통하여 상기 결정된 정책을 서비스 제공 장치(30)로 전송한다.
예를 들어, 다시 도 2을 참조하면, SDP 기반 접속 제어 장치(100)의 통신부(110)가 서비스 요청 장치(20)로부터 네트워크 서비스를 제공받고자 하는 요청을 수신한 경우, 결정부(130)는 저장부(120)를 각각 상이한 네트워크 서비스를 제공하는 제1 서비스 제공 장치(31), 제2 서비스 제공 장치(32) 및 제3 서비스 제공 장치(33) 중, 서비스 요청 장치(20)가 요청한 네트워크 서비스를 제공할 수 있는 특정 서비스 제공 장치(30)를 결정할 수 있다.
또한 결정된 서비스 요청 장치(20)가 결정된 서비스 제공 장치(30)에 접속할 수 있는 권한이 있는지 인증할 수 있고, 인증이 된 경우 인증된 서비스 요청 장치(20)에 적용할 접속 권한에 대한 정책을 결정할 수 있다.
이후, 결정부(130)는 통신부(110)를 통해 결정된 정책을 해당 네트워크 서비스를 제공하는 서비스 제공 장치(30)에 전달하고, 해당 네트워크 서비스를 제공할 수 있는 서비스 제공 장치(30)에 대한 정보를 서비스 요청 장치(20)에 전달할 수 있다.
따라서 SDP 기반 접속 제어 장치(100)는 서비스 요청 장치(20)의 요청을 수신하였을 때, 서비스 요청 장치(20) 및 서비스 제공 장치(30)에 적용할 접속에 관한 정책을 소프트웨어 정의 인프라 시스템(10)에서 참조할 필요 없이, 미리 저장된 정책 정보를 통하여 해당 요청에 대해 적용할 정책을 직접 결정할 수 있다.
한편 상술한 실시예가 포함하는 통신부(110), 저장부(120) 및 결정부(130)는 이들의 기능을 수행하도록 프로그램된 명령어를 포함하는 메모리, 및 이들 명령어를 수행하는 마이크로프로세서를 포함하는 연산 장치에 의해 구현될 수 있다.
도 4은 일 실시예에 따른 SDP 기반 접속 제어 방법을 나타내는 순서도이다.
도 4를 참조하면, 우선 서비스 요청 장치(20)가 네트워크 서비스에 대한 요청을 SDP 기반 접속 제어 장치(100)로 송신한다(S410).
SDP 기반 접속 제어 장치(100)는 서비스 요청 장치(20)의 요청을 수신하여, 네트워크 서비스를 제공하는 서비스 제공 장치(30)에 적용할 접속에 관한 정책을 기 저장된 정책 정보를 기초로 결정한다(S420).
이후, SDP 기반 접속 제어 장치(100)는 결정된 정책을 서비스 제공 장치(30)로 전송하고(S430), SDP 기반 접속 제어 장치(100)가 상기 서비스 제공 장치(30)의 정보를 상기 서비스 요청 장치(20)에 전송한다(S440). 이때 S430과 S440 단계의 시계열적 순서는 한정되지 않고, 어떠한 단계를 먼저 실행해도 본 발명의 목적을 달성하는 실시예를 구현할 수 있다.
이에, 서비스 요청 장치(20)는 서비스 제공 장치(30)에 대한 정보를 얻어 서비스 제공 장치(30)에 대해 접속을 요청할 수 있고, 서비스 제공 장치(30)는 SDP 기반 접속 제어 장치(100)로부터 해당 서비스 요청 장치(20)에 대한 접근을 허용하는 정책을 전달받아 접속을 허용할 수 있다. 이에 따라 서비스 요청 장치(20)는 서비스 제공 장치(30)와 연결되어 네트워크 서비스를 제공받을 수 있다(S350).
따라서 상술한 실시예에 따르면, 소프트웨어 정의 인프라 시스템(10)에 SDP(software defined perimeter) 기반의 SDP 기반 접속 제어 장치(100)를 접목하여, 네트워크 서비스를 제공하는 서비스 제공 장치(30)에 대한 가시성을 접근 권한이 있는 서비스 요청 장치(20)에만 허용함으로써, 기존에 네트워크 노드의 존재가 외부에 드러남으로써 발생할 수 있는 다양한 보안상의 취약점을 해결할 수 있다.
상술한 실시예들은 다양한 수단을 통해 구현될 수 있다. 예를 들어, 본 발명의 실시예들은 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다.
하드웨어에 의한 구현의 경우, 본 발명의 실시예들에 따른 방법은 하나 또는 그 이상의 ASICs(Application Specific Integrated Circuits), DSPs(Digital Signal Processors), DSPDs(Digital Signal Processing Devices), PLDs(Programmable Logic Devices), FPGAs(Field Programmable Gate Arrays), 프로세서, 컨트롤러, 마이크로 컨트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.
펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 실시예들에 따른 방법은 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차 또는 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드는 메모리 유닛에 저장되어 프로세서에 의해 구동될 수 있다. 상기 메모리 유닛은 상기 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 상기 프로세서와 데이터를 주고 받을 수 있다.
이와 같이, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
10: 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템
20: 서비스 요청 장치
30: 서비스 제공 장치
31: 제1 서비스 제공 장치
32: 제2 서비스 제공 장치
33: 제3 서비스 제공 장치
100: SDP 기반 접속 제어 장치
110: 통신부
120: 저장부
130: 결정부
SDP GW: 게이트웨이

Claims (6)

  1. 네트워크 서비스에 대한 요청을 SDP(Software Defined Perimeter) 기반 접속 제어 장치로 송신하는 서비스 요청 장치와,
    상기 요청을 수신하고, 상기 요청된 네트워크 서비스를 제공하는 서비스 제공 장치에 적용할 접속에 관한 정책을 기 저장된 정책 정보를 기초로 직접 결정하고, 상기 결정된 정책을 상기 서비스 제공 장치로 전송하는 SDP 기반 접속 제어 장치와,
    소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템에 의하여 구현되고, 상기 전송된 정책에 따라 상기 서비스 요청 장치에 상기 네트워크 서비스를 제공하는 서비스 제공 장치를 포함하고,
    상기 기 저장된 정책 정보는,
    상기 SDP 기반 접속 제어 장치가 상기 소프트웨어 정의 인프라 시스템에서 관리하는 상기 서비스 요청 장치의 상기 서비스 제공 장치에 대한 접속 권한에 대한 정책을 전달받아 생성되며, 상기 소프트웨어 정의 인프라 시스템에서 가상화된 자원을 생성하거나 삭제하는 경우, 상기 접속 권한에 대한 정책을 후킹하여 생성되는
    SDP 기반 접속 제어 시스템.
  2. 제1항에 있어서,
    상기 서비스 제공 장치는,
    상기 소프트웨어 정의 인프라 시스템에 의하여 생성되어 상기 네트워크 서비스를 제공하는 기능 제공부와,
    상기 결정된 정책을 기초로 상기 서비스 요청 장치의 상기 기능 제공부에 대한 접속을 관리하는 게이트웨이를 포함하는
    SDP 기반 접속 제어 시스템.
  3. 서비스 요청 장치와 통신을 수행하는 통신부와,
    네트워크 서비스를 제공하는 서비스 제공 장치에 대한 상기 서비스 요청 장치의 접속을 제어하는데 사용되는 정책 정보를 저장하는 저장부와,
    상기 통신부를 통하여 상기 서비스 요청 장치의 네트워크 서비스 요청이 수신되면, 상기 요청된 네트워크 서비스를 제공하는 서비스 제공 장치에 적용할 정책을 상기 저장된 정책 정보를 기초로 직접 결정하고, 상기 통신부를 통하여 상기 결정된 정책이 상기 서비스 제공 장치로 전송되도록 제어하는 결정부를 포함하고,
    상기 저장된 정책 정보는,
    소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템에서 관리하는 상기 서비스 요청 장치의 상기 서비스 제공 장치에 대한 접속 권한에 대한 정책을 전달받아 생성되며, 상기 소프트웨어 정의 인프라 시스템에서 가상화된 자원을 생성하거나 삭제하는 경우, 상기 접속 권한에 대한 정책을 후킹하여 생성되는
    SDP 기반 접속 제어 장치.
  4. 제3항에 있어서,
    상기 생성되는 정책 정보는,
    네트워크 서비스에 따라 연결되어야 하는 서비스 제공 장치에 대한 정책, 서비스 제공 장치에 대한 서비스 요청 장치의 인증에 대한 정책 및 인증된 서비스 요청 장치에 대한 서비스 제공 장치로의 접속 권한 설정 정책을 포함하는
    SDP 기반 접속 제어 장치.
  5. 서비스 요청 장치가 네트워크 서비스에 대한 요청을 SDP(Software Defined Perimeter) 기반 접속 제어 장치로 송신하는 단계와,
    상기 SDP 기반 접속 제어 장치가 상기 요청을 수신하여, 상기 네트워크 서비스를 제공하는 서비스 제공 장치에 적용할 접속에 관한 정책을 기 저장된 정책 정보를 기초로 직접 결정하는 단계와,
    상기 SDP 기반 접속 제어 장치가 상기 결정된 정책을 상기 서비스 제공 장치로 전송하는 단계와,
    상기 SDP 기반 접속 제어 장치가 상기 서비스 제공 장치의 정보를 상기 서비스 요청 장치에 전송하는 단계를 포함하고,
    상기 기 저장된 정책 정보는,
    상기 SDP 기반 접속 제어 장치가 상기 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템에서 관리하는 상기 서비스 요청 장치의 상기 서비스 제공 장치에 대한 접속 권한에 대한 정책을 전달받아 생성되며, 상기 소프트웨어 정의 인프라 시스템에서 가상화된 자원을 생성하거나 삭제하는 경우, 상기 소프트웨어 정의 인프라 시스템으로부터 후킹하여 생성되는
    SDP 기반 접속 제어 방법.
  6. 제5항에 있어서,
    상기 생성되는 정책 정보는,
    네트워크 서비스에 따라 연결되어야 하는 서비스 제공 장치에 대한 정책, 서비스 제공 장치에 대한 서비스 요청 장치의 인증에 대한 정책 및 인증된 서비스 요청 장치에 대한 서비스 제공 장치로의 접속 권한 설정 정책을 포함하는
    SDP 기반 접속 제어 방법.
KR1020160141640A 2016-10-28 2016-10-28 Sdp 기반의 접속 제어 장치 및 방법 KR102400471B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160141640A KR102400471B1 (ko) 2016-10-28 2016-10-28 Sdp 기반의 접속 제어 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160141640A KR102400471B1 (ko) 2016-10-28 2016-10-28 Sdp 기반의 접속 제어 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20180046476A KR20180046476A (ko) 2018-05-09
KR102400471B1 true KR102400471B1 (ko) 2022-05-20

Family

ID=62201085

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160141640A KR102400471B1 (ko) 2016-10-28 2016-10-28 Sdp 기반의 접속 제어 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102400471B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102415998B1 (ko) * 2021-01-13 2022-07-05 한국전자통신연구원 소프트웨어 정의 경계 네트워크 시스템의 제어 채널의 부하분산이 가능한 sdp 컨트롤러 및 방법
CN116707807B (zh) * 2023-08-09 2023-10-31 中电信量子科技有限公司 分布式零信任微隔离访问控制方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101481337B1 (ko) * 2013-11-25 2015-01-21 숭실대학교산학협력단 소프트웨어 정의 네트워크 기반 이동통신 시스템 및 이의 단말 접속 처리 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101481337B1 (ko) * 2013-11-25 2015-01-21 숭실대학교산학협력단 소프트웨어 정의 네트워크 기반 이동통신 시스템 및 이의 단말 접속 처리 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"마크애니, 클라우드 환경 최적 네트워크 보안 기술 ‘블랙포트’ 발표", 통합관제특집, 2015.04.23. 1부.*

Also Published As

Publication number Publication date
KR20180046476A (ko) 2018-05-09

Similar Documents

Publication Publication Date Title
JP6782307B2 (ja) ホストされたアプリケーションへの動的アクセス
US9858428B2 (en) Controlling mobile device access to secure data
EP3353982B1 (en) Using derived credentials for enrollment with enterprise mobile device management services
KR102036758B1 (ko) 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온
JP6047685B2 (ja) 複数の操作モードを有するアプリケーションのデータ管理
EP3081022B1 (en) Systems and methods for securing sensitive data on a mobile device by self-destroying it
KR101722631B1 (ko) 프록시를 사용하여 자원들에의 보안 액세스
US10623446B1 (en) Multi-factor authentication for applications and virtual instance identities
US11711241B2 (en) Techniques for utilizing multiple network interfaces for a cloud shell
US11483399B2 (en) Systems and methods for maintaining and transferring SaaS session state
EP3127002B1 (en) Mobile device management broker
US10277713B2 (en) Role-based access to shared resources
KR102400471B1 (ko) Sdp 기반의 접속 제어 장치 및 방법
KR101730984B1 (ko) 다수의 동작 모드들을 가진 애플리케이션용 데이터 관리
KR102472556B1 (ko) 네트워크시스템 및 네트워크시스템에서 수행하는 클라이언트 사이의 횡적이동을 통한 공격을 차단하기 위한 방법
US20230100200A1 (en) Token exchange between bearer and pop tokens
WO2023055734A1 (en) Applications as resource principals or service principals
KR20180068513A (ko) 홈허브 단말의 암호 관리 방법, 그 방법을 수행하는 장치 및 컴퓨터 프로그램

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant