KR20050016284A - 계층형 객체 및 구획 키의 능동적 침입 방지 환경 - Google Patents

계층형 객체 및 구획 키의 능동적 침입 방지 환경

Info

Publication number
KR20050016284A
KR20050016284A KR10-2004-7005326A KR20047005326A KR20050016284A KR 20050016284 A KR20050016284 A KR 20050016284A KR 20047005326 A KR20047005326 A KR 20047005326A KR 20050016284 A KR20050016284 A KR 20050016284A
Authority
KR
South Korea
Prior art keywords
node
digital network
network
communication
nodes
Prior art date
Application number
KR10-2004-7005326A
Other languages
English (en)
Inventor
댑마이클씨.
Original Assignee
록히드 마틴 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 록히드 마틴 코포레이션 filed Critical 록히드 마틴 코포레이션
Priority to KR10-2004-7005326A priority Critical patent/KR20050016284A/ko
Publication of KR20050016284A publication Critical patent/KR20050016284A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

디지털 네트워크에서, 하나의 노드에서 잠재적 공격 특성을 갖는 신호의 검출을 다른 노드로 통신하고, 사용자-투명 신호에 응답하여 상기 노드의 라우터에서 다른 노드로부터의 통신을 제어하기 위해, 사용자-투명 시그널링의 높은 보안성의 인프라스트럭처를 사용하여, 높은 수준의 보안성 및 장애 허용성이 제공된다. 프로세서는 암호화 엔진을 통해 라우터 및 네트워크에 접속되고, 위치상 더 낮은 계층의 노드로 제어 명령어를 발행하기 위한 관리자 객체 및 잠재적 공격을 검출하고 위치상 더 높은 계층의 노드로부터의 신호에 응답하여 라우터를 통해 제어를 수행하기 위한 피관리 객체를 포함한다.

Description

계층형 객체 및 구획 키의 능동적 침입 방지 환경{ACTIVE INTRUSION RESISTANT ENVIRONMENT OF LAYERED OBJECT AND COMPARTMENT KEYS}
본 발명은 일반적으로 디지털 통신 네트워크에 관한 것으로, 특히, 서비스의 거부(denial of service) 및 그 밖의 공격시에 네트워크 기능을 가능하게 하기 위해, 높은 수준의 보안성 및 장애 허용성(fault tolerance) 특징의 개발에 관한 것이다.
다수의 기술 개발 및 경제적인 영향은 분산 데이터 처리 시스템의 광범위한 사용을 이끌고 있는데, 여기서, 각각이 독립적으로 기능할 수 있는 다수의 데이터 프로세서는 데이터와 하드웨어 및 소프트웨어 리소스 모두를 공유하기 위해 네트워크에 의해 접속된다. 시스템의 접속은 근거리 통신망(LAN) 또는 원거리 통신망(WAN)을 통해 고정 배선되거나, 또는 다양한 하드웨어 인터페이스를 통해 주어진 프로세서에 대해 이용가능해질 수 있는 많은 공통 캐리어 통신 링크를 사용하는 인터넷과 같이 대중에게 액세스될 수 있는 링크를 사용할 수 있다. 그러나, TCP/IP 프로토콜의 개발과 같은 이러한 기술적 능력이 초기에 개발될 때에는, 상호접속의 유연성, 확장가능성(scalability) 및 데이터 교환의 용이성 및 신뢰도가 가장 중요한 것이였고, 보안 대책의 중요성은 충분히 이해되지 않고, 다른 접속 프로세서로부터의 액세스를 방지하기 위해 개별 프로세서 또는 개별 리소스에서 구현되도록 방치되었다.
물론, 임의의 프로세서가 하나 이상의 네트워크에 동시에 효과적으로 연결되어, 대중적으로 액세스 가능한 네트워크가 잠재적으로 일련의 프로세서를 통해 다른 네트워크를 액세스하는데 사용될 수 있다. 한편, 안전한 네트워크 또는 안전하지 않은 네트워크에 대해서만 프로세서의 액세스를 제한하는 것은 프로세서의 기능을, 액세스 가능한 리소스의 감소로 인해 허용될 수 없는 수준으로 저하시킨다. 또한, 데이터 프로세서의 다양한 속성에서, 고안될 수 있는 어떠한 보안 특징도 파괴될 수 있고, 중요한 리소스의 보호는 사용된 보안 대책을 파괴하는 곤란성에 전부 입각된다. 또한, 전술한 바와 같이, 액세스의 제한은 대개 네트워크 자체 내에서가 아니라 개별 프로세서 또는 리소스(예로, 애플리케이션)에서만 제공된다.
TCP/IP 네트워킹의 사용이 증가함에 따라, 보안성 결여를 이용한 기술들이 발견 및 발전되어, 광범위한 해커 집단에서 구현되어 널리 공유되고 있다. 이러한 상황은, 모든 네트워크 또는 접속 리소스의 보안이 이루어져야 하는 경우에 개선되어야 하는 글로벌 네트워크 인프라스트럭처에 대해 근본적인 위협을 나타낸다.
따라서, 군사용 및 상업용 컴퓨터 시스템에 대한 더욱 복잡해진 침입자 공격에 대한 여러 보고가 있다. 컴퓨터 공격은 개별 시스템에 존재하는 (그 컨텐츠를 습득하거나 또는 오류를 일으키기 위해) 중요한 데이터에 대한 액세스를 획득하는 형식, 또는 매우 무차별적인 방식으로 프로세서 또는 리소스를 손상시키거나 파괴하는 소위 바이러스 또는 웜(worm)의 형태로 이루어진다.
관심이 증가하고 있는 공격의 또 다른 형식은 "서비스의 거부(denial of service : DOS)" 공격인데, 여기서, 정상적인 네트워크 기능이 응답하는 시스템 용량에 근접하거나 초과하는 속도로 요구되어, 다른 요구자(requestors)에 대한 서비스를 거부하거나, 그렇지 않으면 과부하된 전화 또는 전력 분배 네트워크와 같이 다른 통신 또는 서비스를 두절시키게 된다. 또한, 이러한 많은 공격들은, 형식에 관계없이, 공격받는 시스템 또는 적어도 접속된 시스템에 대해 합법적으로 허가된 레벨을 갖는 사람들에 의해 시작된다고 여러 연구들에 의해 보고되고 있다.
네트워크는 본질적으로 네트워크 프로토콜 및 인프라스트럭처 구성요소에서의 보안성의 약점을 이용하여 공격을 받을 수 있다. 전술된 것과 같은 허가되지 않은 데이터의 습득 및 수정에 추가하여, 네트워크에 설치된 오퍼레이팅 시스템 및 애플리케이션의 보안 제어가 회피될 수 있고, (네트워크 경계에서 광범위하게 사용되는) 네트워크 방화벽이 침투될 수 있고, 네트워크 기능이 붕괴될 수 있고, (인증된 후에) 허가된 사용자의 세션이 도난될 수 있고, 네트워크의 라우팅 기능이 붕괴되어 네트워크 데이터를 잘못 지시하게 될 수 있다. 군사용 네트워크 인프라스트럭처의 계획된 공격은 군사 작전을 위협하거나 네트워크를 셧다운시킬 수 있다. 최근에 개발된 형식의 식별자(ID) 증명에 의해 제공되는 식별 및 인증(I&A) 능력은 네트워크 프로토콜에 대한 공격에 응답하는 기술적인 메커니즘을 제공하지 않는다.
통상적으로, 네트워크의 보호를 제공하기 위한 시도에서 3-계층형 접근법(three layered approach)이 수행된다. 제1 계층은 네트워크 외부로부터 네트워크로의 액세스를 제어하기 위한 방화벽의 광범위한 사용이다. 그러나, 방화벽은, 허가된 액세스의 수 및 종류가 증가함에 따라, 기하학적으로 점점 관리하기 어려워진다. 이러한 어려움은 특히, 설정된 액세스 제어 규칙의 구성에서의 에러를 이용하여 특히 침투되기 쉬운 군사용 네트워크에서 분명하게 나타난다.
그러나, TCP/IP가 패킷 단편(fragmentation)을 관리하는 방식은 방화벽의 패킷 필터링 시스템을 "뚫기(punching through)"위해 이용될 수 있기 때문에, 방화벽은 완전히 효과적이지 않다. "세션 하이잭킹(Session Hijacking)"은, 복잡하지만, 강력한 사용자 인증의 유효한 사용을 부정하도록 자동화될 수 있다. 또한, 모든 네트워크 액세스가 방화벽을 통해서만 이루어지는 것은 어렵다. 마이크로소프트 윈도우 소프트웨어에 포함되는 리모트 액세스 서버(Remote Access Server) 및 디지털 PBX 시스템과 인터페이스하는 상용 모뎀의 효용성은 방화벽을 통한 네트워크로의 다이얼-업 접속(dial-up connections)의 사용에 대한 제어를 불필요하게 만든다.
제2 계층의 보호는 바이오메트릭(biometric) 시스템 및 디지털 인증서와 같은 강력한 사용자 인증이다. 그러나, 이러한 시스템은 비용이 많이 들고, 대개 매우 중요한 시스템에만 구현되며, 그럼에도 불구하고, 세션 하이잭킹 공격에 의해 무효가 될 수 있는데, 이는 TCP/IP가 소스 어드레스 패킷을 인증하고, "반-개방(half-open)" 접속을 폐쇄하며, TCP 헤더에 포함된 세션 시퀀스 수를 보호할 수 없기 때문이다.
제3 계층의 보호는 각 레벨의 보안 분류 또는 액세스 인증의 등급에 대한 개별 네트워크를 유지하고, 인적 보안(personnel clearance)에 기반하는 것이다. 이러한 접근법은 매우 비용이 많이 들고, 각 개별 시스템의 기능을 제한하며, 데이터 무결성을 유지하는 문제점을 나타내고, 임의의 시스템에 대한 액세스를 갖는 사람에 의한 오용 및 피해로부터 보호를 제공할 수 없다. 또한, 액세스가 정보 또는 리소스의 분류에 기반하여 제어되는 강제 접근 제어(mandatory access control: MAC) 및 예상된 사용자 기능과 그 기능을 수행하는데 필요한 데이터의 속성의 상관관계에 기반하는 임의 접근 제어(discritionary access control: DAC) 모두를 수용할 수 있는 것이 바람직하다. MAC 및 DAC은 각각이 복잡할 수 있고, 훨씬 증가된 복잡성과 겹쳐져서, 데이터 무결성을 유지해야 하는데 필요한 개별 시스템의 수를 크게 증가시키게 된다는 것을 쉽게 알 수 있다.
실질적인 피해를 당하기 전에, 공격을 검출하는 것은 종종 어려울 수 있는데, 특히, 그 공격이 서비스 거부 형태일 때에 그러하다. 예를 들면, 바이러스는 그들의 기본 특징 중 적어도 일부(예로, 그것에 의해 실행되는 파일명)가 알려지기 전, 즉 바이러스가 널리 급속히 증가될 때까지 검출될 수 없어서, 그것이 도달된 각 컴퓨터에 어느 정도의 피해를 야기하게 된다. 서비스 거부 공격은, 그 속성에 의해, 그것을 나타내는 트랜잭션의 양 및 성공적인 공격에 필요한 요구량에 의해 수반되는 요구된 서비스의 가능한 유사성을 제외하면 시스템의 다른 의도된 기능으로부터 구별할 수 없다.
일반적으로, 공격이 검출되면, 적어도 네트워크 서비스의 대부분은 그 공격에 응답하여 파괴될 것이다. 그러므로, 공격이 피할 수 없는 시스템 파괴의 크기와 같은 정도로 진행되고 있다는 확신의 정도를 달성하는 것은 종종 동작을 허용 불가능하게 지연시키고, 이에 따라, 피해를 허용가능하게 제한하지 않거나 중요한 데이터 또는 리소스에 대한 액세스를 방지하지 못한다.
요약하면, 디지털 네트워크에서의 보안의 강화는 쉽게 변경될 수 없는 프로토콜에서의 약점의 관점에서 시도되고 있다. 현재까지 제안된 대부분의 접근법은, 쉽게 변경될 수 없는 복잡한 환경에서 구현되기 어려우면서도, 매우 비용이 많이 들고, 시스템의 기능 및 효용성을 떨어뜨린다. 현재까지의 보안 강화를 위한 제안은 또한 쉽게 스케일링되지 못하고, 다수의 네트워크에 걸쳐 잠재적으로 기능적이거나 광범위하게 잠재적인 공격에 대해 적절히 반응하지 못하거나, 장애 또는 공격을 정확하고 신속하게 방지하고 에러를 복구할 수 없거나, 또는 현재 시스템 공격의 가장 빈번한 소스인 허가된 사용자에 의한 공격에 대해 능동적으로 보호할 수 없었다.
도1은 본 발명에 따른 상이한 네트워크로부터의 통신을 제공하는 2개의 라우터를 포함한 로킹 회로를 포함하는 네트워크의 기본 엘리먼트를 개략적으로 도시한 도면.
도2는 VME 회로 카드에 내장되는 도1의 로킹 회로를 개략적으로 도시한 도면.
도3은 도2의 바람직한 형태의 보안 암호화 엔진을 개략적으로 도시한 도면.
도4는 본 발명에 따른 독립적으로 보안되는 보안 도메인의 여분의 계층구조(hierarchy)를 개략적으로 도시한 도면.
도5는 본 발명에 따른 시스템 및 소프트웨어 아키텍처를 개략적으로 도시한 도면.
도6은 본 발명에 따라 다수의 보안 세션으로서 수행되는 네트워크 트랜잭션을 개략적으로 도시한 도면.
도7은 도4의 여분의 계층구조의 예시적인 동작을 개략적으로 도시한 도면.
도8은 이종 디지털 네트워크의 신뢰 노드와 비신뢰 노드 모두에 대한 본 발명의 적용예를 도시한 도면.
그러므로, 본 발명의 목적은 임의의 속성 및 빈도의 공격 동안에 네트워크 기능을 유지할 수 있는 네트워크 보안 시스템 및 관리 방법을 제공하는 것이다.
본 발명의 다른 목적은 네트워크 보안성을 강화하고, 정확하고 신속한 장애 또는 공격의 차단, 및 신속하고 편리한 에러 복구를 제공하면서, 자체적으로 매우 안전한, 현재의 프로토콜 및 기술을 지원하는 네트워크 인프라스트럭처를 제공하는 것이다.
본 발명의 또 다른 목적은 잠재적인 공격이 검출되면, 네트워크 파괴를 최소화하도록 하여, 잠재적인 공격에 대한 증가된 감도가, 네트워크 기능에 실질적으로 영향을 주지 않게 유지하면서 적용될 수 있게 하는 것이다.
본 발명의 또 다른 목적은 모든 장애 또는 잠재적인 공격의 선택적인 구획화(compartmentalization)를 지원하기 위해, 디지털 통신 또는 데이터 처리 네트워크에서 미세한(fine-grained) 계층적 보안 도메인을 제공하는 것이다.
본 발명의 또 다른 목적은 다른 방법으로 식별되지 않은 사용자에게 암호화된 식별자(ID)를 할당하여 모든 사용자에 대한 동일한 처리를 제공하고, 공격을 추적하고 에러 복구를 용이하게 하는 것이다.
본 발명의 상기 및 그 밖의 목적을 달성하기 위하여, 디지털 네트워크의 다수의 노드 각각에 위치하는 적어도 2개의 로킹(locking) 장치, 정상적인 사용 특성과는 상이한 일부 특성을 갖는 네트워크 통신 또는 동작을 검출하고, 신호를 다른 네트워크 노드로 제공하기 위한 보안 정책 관리자 장치, 및 디지털 네트워크 내의 여분의 통신 경로를 선택하는 노드를 분리하여, 다른 네트워크 노드들 사이의 네트워크 통신을 유지하도록, 상기 로킹 장치를 제어하기 위해 다른 노드로부터의 사용자-투명 신호에 응답하는 라우팅 구성을 포함하는, 각각의 네트워크 노드 및 그에 따라 보안되는 네트워크에 대한 보안 장치가 제공된다.
본 발명의 다른 양태에 따르면, 디지털 네트워크의 노드에서 정상적인 사용 특성과는 상이한 특성을 갖는 통신을 검출하는 단계, 상기 검출 단계에 응답하는 다른 노드로 사용자-투명 신호를 전달하는 단계, 및 사용자-투명 신호를 이용하여 상기 노드에서 상기 다른 노드로부터의 통신을 제어하는 단계를 포함하는 디지털 네트워크를 동작시키는 방법이 제공된다.
이제, 도1을 참조하면, 본 발명에 따른 기본 네트워크 엘리먼트(103) 및 연결된 네트워크 노드를 볼 수 있다. 단일 라우터(임의수의 포트를 가질 수 있음)만이 보통 주어진 네트워크 노드에 연결될 수 있지만, 라우터들은 네트워크 노드들 사이의 통신을 제어하기 위한 잘 알려진 네트워크 엘리먼트라는 것이 이해되어야 한다. 라우터와의 조합시 로킹(lock)의 사용도 역시 이 기술분야에서 잘 알려져 있다. 그러나, 도면의 어느 부분도 본 발명에 대한 종래 기술로서 인정되지 않는다는 것이 이해되어야 한다.
다음의 논의로부터 명백해지는 바와 같이, 본 발명은 임의적으로 미세한 크기로 임의의 보안 정책을 구현할 수 있고, 다양한 하드웨어 장애 및 보안 침투 공격시에 서비스 제공을 지속할 수 있는 안전한 장애 허용성(fault-tolerant)의 네트워크를 제공한다. 이것은, 네트워크 아키텍처 및 소프트웨어의 현존 엘리먼트를 수용하고, 객체 지향적 프로그래밍 아키텍처의 장애 허용성 확장, 노드 및 데이터 패킷 레벨에서의 강력한 암호화 강력한 인증, 및 강화된 감도를 갖는 장애 및 공격의 검출에 대한 실시간적 능동 응답을 통합하는 강화를 포함하여, 네트워킹 서브시스템을 개발함으로써 달성된다.
또한, 본 발명의 바람직한 형태는 주지된 표준 프로토콜의 내용 및 바람직한 공통 객체 요구 매개자 구조(CORBA, 위에 포함된 미국 임시 특허 출원에서 요약된 바와 같이, 필요시 다른 노드로부터 소프트웨어 객체를 대체 또는 보상하는 것과 같이, 높은 장애 허용 정도를 개발하기 위해 "하드팩(Hardpack)"이라는 이름 아래 본 발명의 양수인에 의해 상업적으로 이용가능해진 것과 같은 확장(extensions)을 포함하고, 서로 통신하기 위한 "객체(objects)"로 알려진, 소프트웨어 모듈을 인에이블시키는 아키텍처) 및 공통 관리 정보 프로토콜(CMIP, 공통 관리 정보 서비스(CMIS) 표준 프로토콜과 사용되는 개방형 시스템간 상호접속(OSI) 표준 프로토콜)에 관해 논의되지만, 다른 아키텍처 및 프로토콜이 본 발명을 구현하는데 사용될 수 있다는 것이 이해되어야 한다.
후술되는 바와 같이, 본 발명의 기본 원리는, 장애 및 잠재적인 공격에 대한 효과적인 능동 응답을 지원하기 위해, 확장된 장애 허용성의 CORBA 아키텍처를 강력한 암호화, 강화된 침입 검출 및 효과적인 보안 정책과 통합하도록 정상 네트워크 트래픽을 재라우팅하면서, 장애 및 요구가능한 동작을 검출하고, 잠재적으로 손상되는 노드를 차단하거나 캡슐화할 수 있는 인접 노드에 대한 네트워크 노드의 잠재적 조건을, 안전하고 암호화된 형식으로 전달할 수 있는 높은 보안성의 사용자-투명 서브시스템의 사용이다. 이 리포팅은 네트워크 액세스의 미세한 제어 및 네트워크 동작 및 노드 상태에 관한 정보의 로깅(logging)을 지원하여, 광범위한 장애 및 공격으로부터의 손상을 제한하고, 검출을 향상시키며, 복구를 용이하게 한다.
도1에 도시된 바와 같이, 2개의 로킹 장치(109, 111) 및 2개의 라우터(105, 107)를 포함한 인터페이스 엘리먼트(103)의 전체적인 기능은 라우터(105, 107)를 통해 네트워크(115, 117) 사이 및 동일한 인터페이스 엘리먼트를 포함하거나 포함하지 않는 네트워크 노드(119)와의 통신을 지원하는 것이다. 따라서, 인터페이스 엘리먼트(103)는 3개의 네트워크 노드의 접속을 제어할 수 있다는 것이 이해될 것이다. 또한, 로킹 장치(109, 111)는 서로 통신하여, 네트워크(115, 117) 사이의 접속 뿐만 아니라 프로세서(119)와의 접속을 제공한다는 것을 알 수 있다. 따라서, 인터페이스 엘리먼트(103)는 네트워크, 노드 또는 특정 네트워크 노드에서의 단자들 사이의 통신을 차단하기 위한 로킹 장치로서 기능할 수 있다.
로킹 장치는 일반적으로 랙(rack) 또는 "머더보드" 구성 등을 통해 다른 회로와 접속할 수 있는 개별 카드(바람직한 형태는 VME 카드로 알려져 있음)상에 구현된다. 따라서, (예로, 공통 버스에 연결된) 2개의 로킹 장치 사이의 위치에 추가의 보안 구조를 제공하기 편리하다. 본 발명에 따르면, 이것은, 다른 네트워크 노드에서의 유사한 카드에 대한 잠재적인 장애 및 공격에 대한 데이터의 통신을 위해, 개별 카드(도1에서 참조번호(113)으로 표현됨)상의 프로세서를 이용하여, 장애 처리 및 침입 검출 객체 뿐만 아니라 암호화 및 복호화 알고리즘이 달성되는 것이 바람직하다. 따라서, 본 발명의 기본 엘리먼트는, 네트워크의 다른 부분 또는 정상 기능에 영향을 주지 않고, 간단하고 편리한 방식으로, 하나의 시스템에 기계적으로 조립 및 통합될 수 있다는 것을 알 수 있다. 따라서, 본 발명의 구현은 광범위한 구현을 포함한 모든 요구된 정도로 증가적이고 확장가능하게 수행될 수 있다.
기능상, 프로세서 배열(113)은 장애 또는 침입 검출을 위한 모든 객체수를 구현할 수 있고, 다수의 상업용 알고리즘을 포함하는 임의의 설계 중 하나일 수 있다는 것이 이해되어야 한다. 이러한 객체의 실행 결과는 정상 네트워크 링크를 통해 다른 노드로 전달되고, 로킹 장치를 통해 요구된 제어를 수행하고, 및/또는 어떤 노드의 상태 또는 동작에 관한 요구된 정보를 로깅하는데 사용될 수 있다.
이러한 모든 통신은, 변경될 수 있는 모든 요구된 암호화 알고리즘(DES, DES-3 또는 요구된 최고 속도를 위해 하드웨어에 구현되는 타입1 알고리즘), 및 모든 사용자들에게 완전히 투명하고, 이 기술분야에서 통상의 지식을 가진 자에게는 명백한 다수의 주지된 기술 중 하나에 의해 차단하기 어렵게 만들어지는 동일한 타입의 통신에 의해 임의적으로 교환 및 변경되는 키(keys)에 따라 암호화되는 것이 바람직하다. 또한, 사용자가 식별되지 않고, 에러 복구 및 검출된 잠재적 공격원의 판단 뿐만 아니라 지속적인 모니터링 및 데이터 패킷 레벨에 대한 잠재적인 모든 통신을 위한 소스 노드의 인증을 위해, 요구된 추적 또는 로깅 정보가 전송되더라도, 주어진 사용자에 대한 각각의 전송 또는 전송 그룹은 프로세서(113)에 의해 식별 정보(예로, 스탬프 등과 같은 형식으로)를 이용하여 공급될 수 있다.
이러한 검출 동작 및 통신이 실시간(필요한 실제 시간은 보안되는 노드수 로그의 고정 배수이기 때문에, 종종 로그 시간으로 언급되고, 노드수가 증가하고 보호의 크기가 더 미세해짐에 따라 천천히 증가함)으로 수행되고, 상이한 네트워크 노드에서 보드(113)가 호환되어야 하고, 서로 통신하거나 네트워크에 연결된 다른 프로세서로부터 완전히 독립적으로 통신하는데 필수적으로 필요하기 때문에, 10Gbps 정도 또는 그 이상의 높은 데이터 속도로 수행될 수 있다. 따라서, 프로세서 카드(113)는 보안 정책 관리자 카드로 언급된다. 높은 수준의 보안성(예로, 감사 지원 카드, MAC, DAC, 사용자 식별 및 인증 보안 기능)을 지원하는 라우터와의 조합시에 이러한 능력의 구현은, 후술되는 바와 같이, 실질적으로 실시간으로 손상되지 않는 노드로부터 손상된 노드의 분리 및 보안 경보에 대한 능동적인 네트워크 응답을 가능하게 한다.
보안 정책 관리자 카드(113)의 바람직한 형태(201)가 도2에 개략적으로 도시되어 있다. 프로세서(203)는 몇몇 상용화된 형태 중 하나일 수 있지만, 고속 통신 및 공격 검출에 대한 신속한 응답을 위해 300MHz 이상의 클럭 속도를 가지며, 전술된 CORBA 아키텍처(210)에 따라 서로 통신하는 객체로서 구성되는 것이 바람직한 장애 보고 소프트웨어를 갖는 프로세서가 바람직하다.
메시지는 모든 클럭 속도로 집합될 수 있고, 임의의 높은 비트 속도로 집중적으로 전송될 수 있기 때문에, 통신 비트 속도는 프로세서 클럭 속도보다 훨씬 높을 수 있다는 것이 이해되어야 한다. 장애 및 공격 검출 객체에 대한 특징은 본 발명의 실시에 중요하지 않으며, 많은 상용 애플리케이션이 본 발명을 실시하는데 사용될 수 있다. 이러한 객체들은 서로 통신하지만 특정 시퀀스로 실행되거나 실행되지 않는 필수적인 소프트웨어 모듈이기 때문에, 응답 시간을 강화하고, 이들 객체 실행의 효과적인 병행성을 달성하기 위해 높은 클럭 속도가 요구된다.
그러나, 도1의 아키텍처가 잠재적으로 손상될 수 있는 노드에 대한 매우 미세한 분리를 가능하게 하고, 이에 따라, 가능한 한 매우 짧은 주기 또는 가능한 한 눈에 띄지 않는 주기 동안이라도 시스템 파괴를 최소화할 수 있기 때문에, 실제 공격을 나타내는 정도의 가능성 또는 비교적 낮은 가능성을 가질 수 있는 동작을 검출할 수 있는 공격 검출 객체가 제공되는 것이 바람직하다. 즉, 실제 또는 잠재적인 공격에 응답하여 시스템 파괴의 범위 및 기간이 최소로 유지될 수 있기 때문에, 객체에 의해 검출되는 네트워크 동작에 나타날 수 있는 공격의 확실성 수준이 상당히 낮아져서, 임의적으로 작은 정도에 의한 정상적인 사용 특성과는 상이한 요구될 수 있는 통신 특성에 대해 임의적으로 높은 정도의 감도와, 매우 강화된 보안 수준 및 손상 회피를 가져오게 된다.
이러한 객체들은 내장된 보안 정책 관리자(SPM) 기능(205)으로서 집합적으로 묘사되고, 이 중 일부는 장애 보고 및 공격 검출 객체이고, 나머지는 이후부터 피관리 객체(managed objects)로 언급될 것이다. 보다 포괄적으로, 피관리 객체는 네트워크 인터페이스 피관리 객체, 침입 검출 피관리 객체 및 네트워크 서비스 피관리 객체를 포함한다. 본 발명에 따르면, 하나의 관리자 객체(215) 또는 다수의 관리자 객체가 제공될 수도 있다. 소프트웨어에서 객체의 명료도(articulation)는 본 발명의 실시에 특별히 중요하지 않지만, 관리자 및 피관리 객체의 개념은 본 발명의 원리를 이해하는데 도움이 될 것이다.
보안 정책 관리자(SPM) 카드는 또한 프로세서 프로그램을 저장하고, 프로세서 동작을 로깅하고, 전술된 바와 같이, 다른 노드로부터의 복사에 의해 객체가 손실되거나 손상될 때, 프로세서 초기화 또는 "필요시"에 관리자 객체를 포함한 내장된 객체 및 CORBA 랩퍼(wrapper)를 로딩하기 위해 특히 프로세서와 연결된 메모리(209)를 포함하는 것이 바람직하다. 주변 구성요소 상호접속(PCI) 브리지(207)가 네트워크 통신 인터페이스(211) 및 VME/PCI 인터페이스(213)과 프로세서(203)를 인터페이스하기 위해 제공될 수도 있고, 이것은 이후에, 모든 요구된 형태 또는 속성의 로컬 주변장치(223, 225, 227)에 대한 접속을 제공한다.
네트워크 통신 인터페이스는 프로세서(203)와 나머지 네트워크 인터페이스 사이에서 버퍼로서 역할하는 RAM(221)을 포함하는 것이 바람직하다. 2개 또는 그 이상의 통신 포트(217, 219)는 도1과 관련하여 전술된 것과 같이 제공된다. 네트워크 포트(217, 219)를 버퍼 RAM(221)과 접속시키기 위해 보안/암호화 엔진(231)이 제공된다. 이 엘리먼트는, 상이한 네트워크 노드에서 보안 제어기 카드 사이의 통신을 위한 매우 높은 비트 속도를 달성하기 위하여, 그 기능이 하드웨어에 내장되는 것이 바람직하기 때문에, 보안/암호화 엔진으로 언급된다. 이러한 높은 비트 속도는 특히, 전체 메시지가 매우 짧은 듀티 사이클로 전송되도록 하여, 차단의 곤란성을 증가시킬 뿐만 아니라 수신, 처리 또는 시뮬레이팅하는 소프트웨어-기반 프로세서의 용량을 초과하게 함으로써, 본 발명에 따른 시스템의 보안성에 실질적으로 기여하기 때문에, 특히 바람직하다. 그러나, 이러한 높은 비트 속도는 그 기본 원리에 따른 본 발명의 성공적인 실시에 중요하지 않다.
추가적으로, 암호화는, 알려진 시그널을 이용하여 SPM 카드 사이에 통신이 수행되는 본 발명의 구현시에 요구되고, 이러한 통신은 사용자들에게 완전히 투명하며, SPM 카드만이 통신하기 위해 호환되는 신호를 사용하고, 그 신호는 디코딩 또는 시뮬레이션에 대해 비교적 영향받지 않도록 요구된다. 그러므로, (EEPROM 등의 사용을 통해 하드웨어의 변경없이 필요에 따라 변경될 수 있는) 이러한 사용자-투명 통신에 사용되는 코딩된 신호가 비교적 안전하다면, 본 발명의 실시를 위해 추가의 암호화/복호화 처리가 필요하지 않다.
네트워크 통신 인터페이스(211)의 바람직한 형태 및 구조가 도3에 도시된다. 구체적으로, SPM 카드(201)의 이 모듈을 VME 모듈내의 PCI 중2층 카드(PCI mezzanine card)로서 바람직하게 구성되는 도우터 카드(daughter card)로서 구성하는 것이 바람직하다. 그러한 명료도(articulation)는 기술적인 발전이 보다 큰 데이터 전송율 가속(data rate acceleration)을 가능하게 함에 따라 이 카드의 교체가 용이하고, 암호화 하드웨어(또는 내부 코드, 객체등의 유지 및/또는 재 프로그래밍)의 변경을 용이하게 하여, PMC 카드에 의해 택일적으로 지원되는 보안 성능의 범위에 추가되는 것이 바람직하다.
보다 구체적으로, PMC 카드(301)는 PCI 버스 또는 보안 암호화 엔진으로부터 판독 및 기록 동작을 동시에 지원하는 이중 포트 RMA(309)을 포함한다. 보안/암호화 엔진(307)은 B2 또는 그 이상의 보안율(security rating)을 갖는 것이 바람직하며, SPM 보드 또는 엔진이 통신하는 네트워크 노드의 허가(authorization) 및 인증(authentication)을 요청하도록 구성된다. 이와 관련하여, SPM 카드는 보안 결합(association)/식별(indetification) 정보를, 식별이 소정 사용자에게 이루어졌는지와는 무관하게 데이터 패킷에 할당한다. 따라서, 각각의 노드를 통한 동작 또는 데이터 패킷은 네트워크의 알려진 노드로 발신되어 인증되고, 이렇게 수집된 정보는 "외래(foreign)" 데이터의 검출 및 접속 보안 네트워크의 적어도 경계에 대한 공격의 진원을 추적하는데 이용될 수 있다.
이러한 방식에서 이용가능하게 이루어진 보안 성능 대안의 범위는, SPM(또는 PMC) 카드가 각 네트워크와 호환가능하고, 소정 보호 크기로 설치되므로, 그 자체적으로 보안이 향상되는 것이 분명하다. 실제적으로, 상이한 네트워크 SPM 카드 사이의 비호환성 또는 통신 링크 내의 또는 통신 링크로 접속된 비인가 SPM 카드의 존재가 검출될 수 있고, 피관리 객체에 의해 잠재적 침입으로서 로깅되고 및/또는 공격동안 다른 네트워크를 통한 업스트림의 기록을 제한하거나, 추적의 근거로 되고, 복수의 네트워크를 통한 업스트림 공격에 능동적으로 대응한다.
임의의 노드에 대한 본 발명에 따른 전술한 인프라스트럭처를 가짐으로써, 네트워크 환경에서 높은 수준의 보안성과 장애 허용성(fault tolerance)을 제공하기 위한 가능(동작가능성을 유지하고, 하나 이상의 문제점, 에러, 고장 또는 공격하에서 실질적으로 모든 서비스를 제공하기 위한 시스템 능력)을 도4 내지 도7을 참조하여 설명하도록 한다.
계층들(tiers)의 계층구조(hierarchy)가 바람직하고, 이것은 명확성의 문제로서 각각 인접한 계층 사이에서 그들에 대해 제한된 통신 링크의 예시지만, 본 발명의 성공적인 수행을 위해 서는 소정 계층이 하나 이상의 노드 또는 그 계층을 지나가는 통신 경로 및 위치상 계층 레벨이 높은 계층을 가질 필요가 있다. 심지어 이러한 요구는 관리자 객체(manager object)와 피관리 객체(managed object) 사이에 순차적인 대응을 제공하는 범위(extent)에 필수적이고, 이 대응은 최상위 계층을 제외한 각각의 노드에 대하여 위치상 높은 계층의 노드를 제공하는 다른 방식으로 수용될 수 있다. 다른 네트워크 구성도 가능하고, 특정 환경하에서 또는 특정 애플리케이션에 대해 바람직할 것이다.
예를 들어, 점선(430)으로 나타낸 통신 링크는 계층(405)를 통해 계층(403)의 상위 계층(407)과의 통신 링크로서 이용될 수 있거나, 계층(403)의 노드를 계층적으로 계층(407)의 상위에 배치시킬 수 있다. 그러나, 점선(430)과 같은 통신 링크를 포함하는 조직은 여분의 통신 경로가 설정되고 및/또는 계층의 최상위 레벨이 공격의 최우선 대상으로 되는 것을 회피하는 등의 장점을 가지지만 부적합한 복잡성을 초래할 수 있다.
도4(링크(430)이 없음)에 나타낸 네트워크는 동일한 계층의 노드들 사이에 링크가 없더라도 네트워크의 모든 노드들 사이에 여분의 통신 링크를 제공하고, 이는 본 발명의 수행에 적합하다(그러나, 이와 관련하여, 소정 노드로의 소정 계층의 할당은 임의적이라는 것을 알아야 한다). 예를 들어, 노드(440)는 통신 링크(427,423,419 및 421; 427,415,418 및 425; 또는 427,419,417, 및 425)를 통해 노드(450)와 통신할 수 있다. 네트워크가 더 많은 계층 및/또는 더 많은 계층당 노드로 확장되면, 다른 여분의 경로가 존재할 것이다.
따라서, 네트워크상의 트래픽을 모니터링하는 라우터는 네트워크의 임의의 두 노드들 사이에 임의 수의 편리한 경로를 할당할 수 있다. 실제, 종래의 네트워크 프로토콜은 상이한 지연을 갖는 복수의 상이한 경로로 하여금, 의도된 목적지 노드에 의해 수신된 후 적당한 순서로 재조립된 비트 패킷을 갖는 소정 메시지에 채용되도록 한다. 본 발명은 그들을 공격하는 것은 물론 공격으로부터의 장애 또는 피해의 확산을 방지하면서 전 네트워크 기능성을 실질적으로 유지하기 위해, 의심스러운 분리 경로 또는 각 노드로의 포탈 또는 게이트웨이에서의 절충된 노드를 제거하고 대체하는 추가적인 기능을 제공한다.
전술한 바와 같은 위치적인 계층구조는, 노드가 동시적으로 공격당하지 않는 한, 하나의 노드상에서의 공격에 대한 응답이 정확하게 응답하는 다른 노드에 의해 제어되기 때문에, 네트워크를 통한 보안을 크게 향상시켰다(네트워크를 통한 이전의 장애는 미리 캡슐화되고 분리되었다). 그러한 경우, 위치상 높은 계층 레벨에서의 다른 노드에 있는 관리자 객체는 능동적 응답(active response)등을 제어하는 한편 신뢰성 있는 노드에서의 관리자 객체로부터 사용자-투명 통신(user transparent commuication)에 의해 제어가 실행될 수 있는 복수의 보안 세션 및 보안 도메인을 설정한다.
이들 통신 및 제어는 매우 신속하게 수행될 수 있고(계층당 20밀리세컨드 또는 그 이하), 따라서 잠재적 공격에 대한 능동적 응답이 실질적으로 실시간으로 이루어질 수 있다. 이는 일반적으로 공격후 뒤늦은 분석을 위해 공격동안 동작만을 로깅하고, 그에 따라 피해가 종료되는 종래의 네트워크에서의 보안 구성과는 매우 대조적이다.
동일한 토큰(token)에 의해, 공격의 소스 및 범위를 테스트하기 위해, 또는 공격을 차단하기 위해 네트워크 세그먼트 또는 섹터의 일시적인 접속해제가 오퍼레이터가 알 수 없을 만큼 짧게 이루어질 수도 있다. 그러한 통신단절(disruption)의 기간이 매우 짧고, 통신단절이 최소화되기 때문에, 비교적 낮은 초기 신뢰 레벨을 갖는 매우 민감한 검출 알고리즘이 잠재적 공격의 검출에 허용될 수 있고, 매우 고레벨의 보안성이 획득된다. 본 발명에 의해 제공되는 이러한 특성은, 그러한 공격이 진행되기 전에 트랜젝션의 크기 및 일부 유사성을 제외하면 정상적인 사용과 그 특성상 구별하기 곤란하고, 또한 이용가능한 리소스의 상당 부분을 차지하게 되는 서비스 거부 공격(denial of service attack)의 효과를 방지할 수 있기 때문에 매우 중요하다.
따라서, 연속적인 공격은 시스템의 가상적인 모든 노드, 즉 시스템에서의 계층적 최상위 계층의 모든 노드를 동시에 공격하거나, 또는 계층적 최상위 노드를 공격해야 할 것이다(그러한 단일 노드가 네트워크 설계에 허용된 경우, 네트워크에서의 관계(relationships) 및 종속성(dependencies)은 차단 및 높은 비트율, 낮은 듀티 사이클 전송 및 효과적인 암호화를 통한 분석이 곤란한 SPM 카드 사이에서 안정성이 높은 사용자-투명 통신에서만 식별되므로, 단일 노드는 상기의 것을 바람직하게 회피할 수 있지만, 어떠한 경우에도 네트워크내의 식별은 곤란하게 된다). SMP 프로세서의 관리자 객체 및 피관리 객체는 전술한 장애 허용성에 대한 가상 CORBA 확장(virtue of the CORBA extension)에 의해 효율적으로 자체-수리(self-repairing)되기 때문에, 동기화되지 않으면, 그러한 공격은 네트워크 접속 프로세서 레벨과 적어도 복수의 프로세서의 SMP 프로세서 레벨에서 모두 동시적으로 수행될 필요가 있다.
도5 및 도6을 참조하여, 본 발명에 의해 실시되는 예시적인 분리 동작(isolation operation)을 설명하도록 한다. 도5는 순차적으로 클라이언트 노드(503,505) 및 서버 노드(507)에 접속되어진 LAN에 접속된 노드(501)를 나타낸다. 노드(501)는 실질적으로 도2에 나타낸 것이며, SPM 보드(201/509), 프로세서(203) 및 PCM/인터페이스 카드(231/301)를 포함하고, 노드(501)와 LAN(511)은 각각 노드(460,409)와 같은 도4에서의 2개의 직접 통신 네트워크 노드를 나타낼 수도 있다. 내장 SPM(embeded SPM)의 일부는 CORBA 랩퍼(CORBA wrapper)에서 기능하는 반면, LAN(511)의 각각의 노드(503,505,507)에 내장된 피관리 객체(517,519,521) 및 SPM 관리자 객체(515)는 그들간 통신을 나타내기 위해 개별적으로 도시된다.
참조번호(203)과 같은 프로세서는 LAN(511) 및/또는 201A, 201B, 및 201C에 나타낸 바와 같이 각각의 노드에 제공되어, 메시지와 함께 어떤 특정 통신이 발신된 노드(예를 들어, A, B, C 및/또는 LAN(511))에 대응하는 식별자(identification)를 생성 및 전송한다. 또한, 이러한 식별자는 다운스트림으로부터의 유사한 식별자 또는 잠재적인 장애나 공격(예를 들어, 노드(503,505 또는 507)로의 기타 접속)을 지칭하는 기타 신호를 포함할 수 있다. 통신(예를 들어, 식별자, 기타 신호 및/또는 통신)이 복호화되고, 필요하다면, 메모리(209)에 로깅되어, 프로세서(203)로 전송되고, 여기서 CORBA 랩퍼는 피관리 객체(예를 들어, 참조번호(517), 통신이 클라이언트 노드 A로부터 이루어지면)로 하여금 메시지 컨텐츠를 모니터링하도록 하여, 프로세서를 인에이블시킨다. 택일적으로 또는 동시적으로, 노드(501)에서의 관리자 객체(515)는, 메모리(209)에도 로깅되는 각 노드(A,B 및/또는 C)의 프로세서에서 검출되는 장애의 검출 및/또는 잠재적 공격에 대응하는 노드(A,B 및/또는 C)로부터 전달되는 사용자-투명 신호(user transparent signal)를 모니터링할 수 있다.
후자의 시나리오에서, 클라이언트 노드(B)에서 발신되는 장애 또는 공격 메시지를 가정하면, 관리자 객체는 장애 또는 공격이 노드(B)에서 장애 또는 공격이 있었는가를 판정하고, 적당한 피관리 객체(예를 들어, 하나 또는 그 이상의 노드에서의 519 또는 그곳으로의 게이트웨이)를 호출함으로써 포트(531) 또는 SPM 보드(210B) 중 하나 또는 이들 모두로부터 클라이언트 노드(B)를 분리시키는 암호화되거나 기타 보안된 메시지(바람직하게 높은 비트율)를 송신한다. 노드(501)가 클라이언트 노드(A)와도 통신한다고 가정하면, 통상의 경우라면, 통신은 포트(532)를 통해 노드(A)로 재라우팅되고, 도4에 나타낸 바와 같은 기타 여분의 경로와 노드를 통해 라우터(513)로 재라우팅될 것이다.
전자의 시나리오에서, 노드(B)에서 발생하는 장애 또는 잠재적 공격은 노드(501)에서의 피관리 객체(B)에 의해 검출되고, 관리자 객체(515) 또는 계층적 업스트림 노드의 관리자 객체로 전해지고(잠재적 공격을 지칭하는 장애 또는 활동(activity)에 의존함), 유사한 분리 또는 재라우팅 작용이 노드(B) 또는 노드(501)에서 각각 취해진다. 따라서, 장애 또는 잠재적 공격이 검출되고, 최종 제어 작용은 여분(redunant)의 배수가 되어, 복수의 노드를 동시적으로 파괴하는 것이 어렵다.
본 발명에 의한 도4의 네트워크에서, 임의의 클라이언트와 임의의 서버 노드들 사이의 임의의 통신 경로의 명료도는 도6에서 일반화된 형태로 보여진다. 소정 노드의 직접 접속이 하드웨어 여건에 따라 제한되는 것이 바람직하기 때문에, 노드들 사이의 대부분의 통신 또는 세션이 복수의 노드를 통한 통신을 포함한다는 것이 도4로부터 명확해진다. 이 도면에서, 노드(611)는 클라이언트 노드이고, 노드(617)는 서버 노드이고, 이들 각각은 그 소유의 라우터 및 SPM 카드(611',617')를 갖는다. SPM 카드(601,603,605 및 607)는 라우터(613,615)에 따라 각각이 상이한 노드에 존재한다.
본 발명에 따르면, 보안 능력이 초래되고, SPM 및 CMIP 관리자 객체는, 계층구조에서의 레이어 또는 계층은 네트워크 환경 또는 그 소정 영역을 거쳐 (적어도 위치적으로) 확장되기 때문에, 신뢰되는 네트워크 구성요소를 엑세스하는 것을 선택적으로 허용하기 위해 시스템의 보안 도메인과 주요 사용자(다른 보안 도메인을 포함할 수도 있음)를 임의적으로 정의하는 권한(ability)을 갖게 된다. 레이어 또는 계층은 각각 정의된 보안 도메인에 대하여 송신 워크스테이션, 내장 SPM 장치, 및 타겟 워크스테이션을 포함하는 제약 자격(constraint capability)을 제공한다. 또한, 보안 세션 및 보안 도메인을 정의하고, 각 도메인을 거쳐 사용자-투명 통신(암호화되어 있음)을 이용함으로써, 각 통신의 발신 노드는 연속적으로 인증되고, 데이터 패킷 레벨에 대해 잠재적으로 알려지고 모니터링되어 잠재적 공격의 검출을 간단하고 신속하게 제공하고, 공격 추적 및 복구는 물론 "반-개방(half-open)"의 패쇄(closure)를 제공한다.
종래 네트워크에서, 일단 식별되거나 인증된 사용자는 그 사용자에 대한 인증이 지속되는 한 전체 네트워크를 엑세스하고, 세션은 클라이언트 노트로부터 서버 노드로 연장된다. 그러나, 본 발명에 의하면, 도6에 나타낸 바와 같이, 세션은 상이한 복수의 보안 세션으로 분할되고, 보안 도메인에 직렬로 접속된다. 그렇게 설정된 연결성에 포함되는 어떤 보안 도메인(예를 들어, 보안 도메인(A,B,C))이 검출가능한 방식으로 절충되거나, 장애가 발생하면, 그 절충 및/또는 장애는 기록 및 로그되고, 장애 또는 공격이 발생한 노드는 분리되고, 도7에 나타낸 바와 같이, 라우터는 여분의 통신 링크를 거쳐 다른 보안 세션을 설정하도록 제어된다.
즉, 사용자가 네트워크상에 서명하면, 키 정보(keying information)가 SPM 장치에 의해 제공되어 송신장치로 하여금, 안전한 통신에 참여하는데 필수적인 인증 및 암호화 키를 생성하는 것을 허용한다. 보안 침입(security breach)의 경우, CMIP 관리자는 SPM 장치로 하여금 네트워크 포트를 인에이블하고 디스에이블하도록 명령할 수 있는 권한을 갖게 되어, 네트워크 노드 또는 세그먼트/섹터를 분리하고, CMIP 관리자 및 피관리 객체 계층구조 내의 기타 신뢰되는 엔티티에게 잠재적으로 손상되거나 절충된 네트워크 장치에 대한 신뢰 변경을 통보하는 반면 네트워크의 잔여 신뢰(trusted) 장치는 도4 및 도7의 비교로부터 알 수 있듯이, 비신뢰(untrusted) 소스로부터의 접속 요청을 거부하면서 서비스를 계속한다. 따라서, 종래에 불가능하였던, 인가된 사용자에 의한 공격으로부터의 보호 및 세션 강탈 보호가 제공되고, 또한 다른 소스로부터의 다른 형태의 공격으로부터의 보호가 제공될 수 있다.
전술한 바와 같이, 장애 또는 공격의 위치를 분리하기 위해 네트워크의 일부를 구분하는 것은, 네트워크로 하여금 장애 허용성, 방해 또는 모방(simulate)이 어려운 사용자-투명 통신에 의한 강력한 암호화, 실시간 응답으로 인한 확실성/높은 레벨의 민감도 및 속도, 및 매우 유연한 보안 정책을 지원하는 확장 CORBA 아키텍처의 통합을 통해 가능하게 한 것으로, 그러한 장애 또는 공격에 대한 많은 형태의 능동적 응답의 일례일 뿐이다. 본 발명의 능력은 바람직한 동작의 설명과 상기 병합된 출원에 설명된 본 발명의 응용으로부터 보다 명확해 질 것이다.
도8은 신뢰 노드 및 비신뢰 노드를 모두 포함하는 이종 네트워크(heterogenous network)에 대한 본 발명의 응용을 나타낸다. 이러한 시스템은 현존하는 네트워크 시스템 또는 신뢰 및 비신뢰 노드를 모두 포함하도록 목적된 네트워크의 최종 구성으로의 본 발명의 점진적 리트로피트(reprofit)로 얻을 수 있다. 전자의 경우, 본 발명은, 전술한 바와 같이, 방화벽이 현 기술 상태에서 비교적 쉽게 침투되더라도 보안상 가장 중요하다고 고려되는 위치에 본 발명이 채용된다. 도1 및 도2와 관련하여 설명한 구조의 배치는 본 발명에 따라 보호되는 안전 네트워크의 에지에 복수의 표준 라우터 네트워크 인터페이스 제어기(NIC)(837)로서 라우터 인터페이스 장치(835)를 형성하는 것이 중요하다.
각각의 NIC는 비신뢰 노드로의 접속(839)에 관한 저부 계층 노드(도4 및 도7 참조)와 동일한 방식으로의 캡슐화를 제공하기 위한 기능을 포함한다. 전술한 방식에서, NIC(837)는, 다른 노드의 네트워크 보안 장치(201)로 접속되고, 그 노드로부터 다른 신뢰 노드로 접속될 때, 상부 계층 노드로서 기능한다. 따라서, 본 발명은 광범위하게 또는 임의 네트워크 시스템에서 조금 낮은 등급으로 구현되어, 임의 네트워크의 임의 소정 부위를 안전하게 하는데 이용될 수 있고, 보안의 요점은 설계 또는 현존 네트워크로의 점차적이고 점진적인 리트로피에 의해 이루어진다. 사용자-투명 시그널링의 상이한 프로토콜 및 상이한 비트율은 도8에 도시된 네트워크의 상이한 브랜치에 수용될 수 있다. 따라서 브랜치 사이의 완전 호환성은 필요치 않고, 본 발명을 채용하는 안전 네트워크부는 다른 블랜치의 업그레이드 또는 변경에 의해 보안성을 유지할 것이다.
전술한 관점에서, 본 발명은 인가되거나 인증된 사용자 및 강탈된 인증 세션을 포함할 수도 있는 소스로부터의 각종 공격에 대해 고도의 장애 허용성 및 고도의 보안 보호를 제공한다. 이러한 유용한 효과는 현존하는 하드웨어 및 소프트웨어 환경에서 현재의 프로토콜의 변경없이 달성될 수 있다. 임의의 장애 또는 잠재적 공격의 세밀한 구획화(compartmentalization)는 방해 또는 모방이 어렵고, 사용자에 대해 완전 투명한 방식으로 제공되며, 에러 복구 및 임의의 공격 소스의 추적에 기여하는 정보의 로깅을 제공한다.
본 발명은 하나의 바람직한 실시예로 설명하였지만, 이 기술분야에서 통상의 지식을 가진 자는 본 발명이 첨부된 청구범위의 사상과 범위 내에서 변경하여 실시될 수 있다는 것을 이해할 것이다.

Claims (24)

  1. 디지털 네트워크의 노드에서의 설치를 위한 보안 장치에 있어서,
    상기 디지털 네트워크의 다른 노드로 사용자-투명 통신(user transparent communications)을 제공하기 위한 보안/암호화 엔진; 및
    정상적인 사용 특성과는 상이한 특성을 포함하는 통신을 검출하고, 상기 사용자-투명 통신으로서 다른 노드로의 통신을 위해 상기 보안/암호화 엔진으로 경보를 전송하고, 상기 디지털 네트워크에서의 통신의 라우팅을 제어하기 위해, 상기 디지털 네트워크의 다른 노드로부터의 사용자-투명 통신에 응답하기 위한 내장된 보안 정책 관리자 기능을 포함하는 프로그램된 데이터 프로세서
    를 포함하는 보안 장치.
  2. 제1항에 있어서,
    상기 사용자-투명 통신에 대응하는 정보를 저장하기 위한 메모리
    를 더 포함하는 보안 장치.
  3. 제1항에 있어서,
    상기 통신의 라우팅은 상기 디지털 네트워크의 노드를 분리하는
    보안 장치.
  4. 제3항에 있어서,
    상기 디지털 네트워크의 노드를 분리하기 위한 상기 통신의 제어는 실시간으로 수행되는
    보안 장치.
  5. 제1항에 있어서,
    상기 노드 및 상기 다른 노드는 상기 디지털 네트워크 내에서 위치상 계층적으로 배열되는
    보안 장치.
  6. 제1항에 있어서,
    상기 노드와 상기 다른 노드들 사이에 보안 세션을 정의하기 위한 수단
    을 더 포함하는 보안 장치.
  7. 제6항에 있어서,
    상기 보안 세션을 정의하기 위한 수단은 인증된 사용자와 통신 노드의 식별자(identification) 중 하나에 대응하는 정보를 전송하기 위한 수단을 포함하는
    보안 장치.
  8. 제1항에 있어서,
    상기 정상적인 사용 특성과는 상이한 상기 특성은 잠재적 공격(potential attack) 특성인
    보안 장치.
  9. 제1항에 있어서,
    상기 정상적인 사용 특성과는 상이한 상기 특성은 상기 디지털 네트워크의 노드 또는 링크에서의 장애에 대응하는
    보안 장치.
  10. 제1항에 있어서,
    상기 프로그램된 데이터 프로세서는 각각의 접속된 노드에 대응하는 적어도 하나의 피관리 객체(managed object) 및 관리자 객체(manager object)를 포함하는
    보안 장치.
  11. 디지털 네트워크에 있어서,
    상기 디지털 네트워크의 다수의 노드 각각에 위치하는 적어도 2개의 로킹(locking) 장치;
    정상적인 사용 특성과는 상이한 일부 특성을 갖는 네트워크 통신 또는 동작을 검출하고, 다른 네트워크 노드로 신호를 제공하기 위한 보안 정책 관리자 장치; 및
    다른 노드로부터의 사용자-투명 신호에 응답하여, 상기 디지털 네트워크 내의 여분의 통신 경로를 선택하는 노드를 분리하여, 다른 네트워크 노드들 사이의 네트워크 통신을 유지하도록, 상기 적어도 2개의 로킹 장치를 제어하기 위한 수단
    을 포함하는 디지털 네트워크.
  12. 제11항에 있어서,
    상기 사용자-투명 통신에 대응하는 정보를 저장하기 위한 메모리
    를 더 포함하는 디지털 네트워크.
  13. 제11항에 있어서,
    상기 디지털 네트워크의 노드를 분리하기 위한 상기 로킹 장치의 제어는 실시간으로 수행되는
    디지털 네트워크.
  14. 제11항에 있어서,
    상기 노드 및 상기 다른 노드는 상기 디지털 네트워크 내에서 위치상 계층적으로 배열되는
    디지털 네트워크.
  15. 제11항에 있어서,
    상기 노드와 상기 다른 노드들 사이에 보안 세션을 정의하기 위한 수단
    을 더 포함하는 디지털 네트워크.
  16. 제15항에 있어서,
    상기 보안 세션을 정의하기 위한 수단은 인증된 사용자와 통신 노드의 식별자 중 하나에 대응하는 정보를 전송하기 위한 수단을 포함하는
    디지털 네트워크.
  17. 제11항에 있어서,
    상기 정상적인 사용 특성과는 상이한 상기 특성은 잠재적 공격 특성인
    디지털 네트워크.
  18. 제11항에 있어서,
    상기 정상적인 사용 특성과는 상이한 상기 특성은 상기 디지털 네트워크의 노드 또는 링크에서의 장애에 대응하는
    디지털 네트워크.
  19. 제11항에 있어서,
    상기 프로그램된 데이터 프로세서는 각각의 접속된 노드에 대응하는 적어도 하나의 피관리 객체 및 관리자 객체를 포함하는
    디지털 네트워크.
  20. 디지털 네트워크를 동작시키는 방법에 있어서,
    상기 디지털 네트워크의 노드에서 정상적인 사용 특성과는 상이한 특성을 갖는 통신을 검출하는 단계;
    상기 검출 단계에 응답하여 다른 노드로 사용자-투명 신호를 통신하는 단계; 및
    사용자-투명 신호를 이용하여 상기 노드에서 상기 다른 노드로부터의 통신을 제어하는 단계
    를 포함하는 방법.
  21. 제20항에 있어서,
    상기 통신을 제어하는 단계는,
    정상적인 사용 특성과는 상이한 특성을 갖는 상기 통신을 캡슐화하기 위해 상기 네트워크로부터 상기 노드를 분리하는 단계; 및
    상기 디지털 네트워크의 노드들 사이의 여분의 링크를 통해 상기 디지털 네트워크에서의 다른 통신을 라우팅하는 단계를 포함하는
    방법.
  22. 제20항에 있어서,
    상기 검출 단계는 상기 디지털 네트워크의 하나의 노드에서 피관리 객체에 의해 수행되고, 상기 제어 단계는 상기 디지털 네트워크의 다른 노드에서 피관리 객체에 응답하여 수행되는
    방법.
  23. 제20항에 있어서,
    상기 검출, 통신 및 제어 단계는 실질적으로 실시간으로 수행되는
    방법.
  24. 제20항에 있어서,
    상기 디지털 네트워크의 통신 경로에서 다수의 접속된 노드 쌍들 사이에 보안 세션을 정의하는 단계
    를 더 포함하는 방법.
KR10-2004-7005326A 2001-10-11 2002-08-07 계층형 객체 및 구획 키의 능동적 침입 방지 환경 KR20050016284A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2004-7005326A KR20050016284A (ko) 2001-10-11 2002-08-07 계층형 객체 및 구획 키의 능동적 침입 방지 환경

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/973,769 2001-10-11
KR10-2004-7005326A KR20050016284A (ko) 2001-10-11 2002-08-07 계층형 객체 및 구획 키의 능동적 침입 방지 환경

Publications (1)

Publication Number Publication Date
KR20050016284A true KR20050016284A (ko) 2005-02-21

Family

ID=41783282

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2004-7005326A KR20050016284A (ko) 2001-10-11 2002-08-07 계층형 객체 및 구획 키의 능동적 침입 방지 환경

Country Status (1)

Country Link
KR (1) KR20050016284A (ko)

Similar Documents

Publication Publication Date Title
US7225467B2 (en) Active intrusion resistant environment of layered object and compartment keys (airelock)
US7213265B2 (en) Real time active network compartmentalization
AU2002324631A1 (en) Active intrusion resistant environment of layered object and compartment keys
Chica et al. Security in SDN: A comprehensive survey
Scott-Hayward et al. A survey of security in software defined networks
Akhunzada et al. Securing software defined networks: taxonomy, requirements, and open issues
US7007301B2 (en) Computer architecture for an intrusion detection system
US7398389B2 (en) Kernel-based network security infrastructure
US7134141B2 (en) System and method for host and network based intrusion detection and response
US5940591A (en) Apparatus and method for providing network security
US9043589B2 (en) System and method for safeguarding and processing confidential information
EP0606401B1 (en) Apparatus and method for providing network security
US7930745B2 (en) Network security system and method
Holmberg et al. BACnet wide area network security threat assessment
CN110601889B (zh) 实现安全反溯源深度加密受控网络链路资源调度管理的系统及方法
Benjamin et al. Protecting IT systems from cyber crime
Siqueira et al. A fault tolerance mechanism for network intrusion detection system based on intelligent agents (NIDIA)
EP1280315B1 (en) Apparatus and method for providing network security
KR20050016284A (ko) 계층형 객체 및 구획 키의 능동적 침입 방지 환경
Powell et al. Conceptual model and architecture
US20030028799A1 (en) Processes and systems for secure access to information resources using computer hardware
Hofmann et al. Towards a security architecture for IP-based optical transmission systems
Lackorzynski et al. Switchbox-Low-latency Fail-safe Assurance of Availability in Industrial Environments
Gaur et al. Enhanced Framework for Energy Conservation and Overcoming Security Threats for Software-Defined Networks
CA2156015A1 (en) Computer firewall for use between a secure network and a potentially hostile network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application