KR20140088437A - 암호화 및 인증 기반 네트워크 관리방법 및 그 장치 - Google Patents

암호화 및 인증 기반 네트워크 관리방법 및 그 장치 Download PDF

Info

Publication number
KR20140088437A
KR20140088437A KR1020130000305A KR20130000305A KR20140088437A KR 20140088437 A KR20140088437 A KR 20140088437A KR 1020130000305 A KR1020130000305 A KR 1020130000305A KR 20130000305 A KR20130000305 A KR 20130000305A KR 20140088437 A KR20140088437 A KR 20140088437A
Authority
KR
South Korea
Prior art keywords
network
attribute information
information
public key
database
Prior art date
Application number
KR1020130000305A
Other languages
English (en)
Inventor
박수명
변성혁
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130000305A priority Critical patent/KR20140088437A/ko
Priority to US14/084,572 priority patent/US20140189357A1/en
Publication of KR20140088437A publication Critical patent/KR20140088437A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5019Ensuring fulfilment of SLA

Abstract

암호화 및 인증 기반 네트워크 관리방법 및 그 장치가 개시된다. 본 발명의 일 실시 예에 따른 네트워크 관리방법은, 네트워크 서버에 위치한 가상 머신이 사용하는 네트워크 속성정보를 암호화 및 복호화하기 위해 공개키 및 개인키를 생성하고 생성된 공개키를 데이터베이스에 제공하는 단계와, 데이터베이스가 공개키를 이용하여 네트워크 속성정보를 암호화하면, 데이터베이스로부터 암호화된 네트워크 속성정보를 수신하는 단계와, 수신된 네트워크 속성정보를 개인키를 이용하여 복호화하여 네트워크 속성정보를 인증하는 단계를 포함한다.

Description

암호화 및 인증 기반 네트워크 관리방법 및 그 장치 {Method and apparatus for managing network state via encipherment and authentication}
본 발명은 클라우드 서비스를 제공하는 인터넷 데이터 센터(Internet Data Center: IDC) 네트워크에서의 네트워크 통합 자동관리 및 제어기술에 관한 것이다.
현재 급속히 확산되고 있는 클라우드 서비스의 변화 및 인터넷 데이터 센터(Internet Data Center: 이하 IDC라 칭함) 내 각 요소들의 기술 발전과 더불어, 서비스 변화에 따른 네트워크의 기능 요구사항을 수용하기 위하여, IDC 네트워크는 클라우드 서비스에 최적화된 네트워크 제어 기술, 네트워크 자원 활용 효율성 및 통신 효율성 향상을 위한 네트워크 제어 기술, 클라우드 및 네트워크 자원 통합 제어 기술 및 고신뢰 통합 네트워크 제어 기술 등이 요구되고 있다.
이와 관련하여, IETF Transparent Interconnection of Lots of Links: TRILL 표준화와, IEEE 802.1Qbh Bridge Port Extension 표준화와, IEEE802.1Qbg Edge Virtual Bridging(VSI discovery and configuration protocol: VDP, S-Channel Discovery and Configuration Protocol: CDCP, Edge Control Protocol: ECP) 표준화 등이 각각 진행되고 있는 단계이며, 주요 메이저 업체인 시스코 네트웍스, 쥬니퍼 및 브로캐이드 등의 해외 산업체에서 관련 표준을 바탕으로 제품을 개발하고 있는 단계이다.
IEEE802.1Qbg 기술은 Auto-Managed IDC 네트워크 제어 기술로서, 클라우드 서비스를 위한 IDC 네트워크의 규모가 방대해짐에 따라 클라우드 서버 영역과 네트워크 영역 간의 관리 영역에 대한 수동 설정 시에 복합하고 시간 소모적인 운용을 피할 수 있도록 클라우드 서버 영역과 네트워크 영역의 스마트한 설정을 지원한다.
일 실시 예에 따라, IDC 네트워크에서 클라우드 서비스의 연속성과 품질을 보정할 수 있는 암호화 및 인증 기반 네트워크 관리방법 및 그 장치를 제안한다.
일 실시 예에 따른 네트워크 장치의 네트워크 관리방법은, 네트워크 서버에 위치한 가상 머신이 사용하는 네트워크 속성정보를 암호화 및 복호화하기 위해 공개키 및 개인키를 생성하고 생성된 공개키를 데이터베이스에 제공하는 단계와, 데이터베이스가 공개키를 이용하여 네트워크 속성정보를 암호화하면, 데이터베이스로부터 암호화된 네트워크 속성정보를 수신하는 단계와, 수신된 네트워크 속성정보를 개인키를 이용하여 복호화하여 네트워크 속성정보를 인증하는 단계를 포함한다.
네트워크 속성정보는 가상 스테이션 인터페이스 타입 정보일 수 있는데, 가상 스테이션 인터페이스 타입 정보는 가상 랜 식별자, 맥 주소, 서비스 품질 제어정보, 접근 제어 리스트 및 보안 제어정보 중 적어도 하나를 포함할 수 있다.
네트워크 속성정보를 인증하는 단계에서 네트워크 장치는, 해킹된 시스템으로부터 해킹된 네트워크 속성정보를 수신하면, 수신된 네트워크 속성정보를 개인키를 이용하여 복호화하여 네트워크 속성정보의 적절성 여부를 판단한 후 폐기할 수 있다.
추가 실시 예에 따라 네트워크 장치가 인증된 네트워크 속성정보를 이용하여 가상 머신을 위한 네트워크를 설정하는 단계를 포함할 수 있다. 이때, 네트워크 장치는 가상 스테이션 인터페이스 디스커버리 및 구성 프로토콜을 이용하여 네트워크를 자동 설정할 수 있다.
추가 실시 예에 따라 네트워크 서버로부터 가상 머신이 사용할 네트워크에 대한 설정을 요청받으면 데이터베이스에 네트워크 속성정보를 요청하는 단계와, 데이터베이스로부터 공개키를 통해 암호화된 네트워크 속성정보를 응답받는 단계와, 응답받은 네트워크 속성정보를 개인키를 이용하여 복호화하여 네트워크 속성정보를 인증한 후 인증된 네트워크 속성정보를 이용하여 가상 머신을 위한 네트워크를 설정하는 단계를 포함할 수 있다.
네트워크 속성정보를 요청하는 단계는, 네트워크 서버의 네트워크 설정 요청메시지에 포함된 네트워크 속성정보가 로컬 데이터베이스에 있는지 여부를 판단하는 단계와, 네트워크 속성정보가 로컬 데이터베이스에 없는 경우 데이터베이스에 네트워크 속성정보를 요청하는 단계를 포함할 수 있다.
네트워크 서버와 연결된 네트워크 장치는 가상 머신들의 통신을 지원하기 위해 네트워크 서버의 외부에 존재할 수 있다.
다른 실시 예에 따른 데이터베이스의 네트워크 관리방법은, 네트워크 관리자에 의해 네트워크 속성정보가 업데이트되는 단계와, 가상 머신을 갖는 네트워크 서버와 연결된 네트워크 장치로부터 공개키를 수신하는 단계와, 네트워크 속성정보를 수신할 네트워크 장치 리스트와 공개키를 매핑한 테이블을 업데이트하는 단계와, 매핑 테이블의 업데이트에 따라, 업데이트된 네트워크 속성정보를 수신된 공개키를 이용하여 암호화한 후 네트워크 장치에 전송하는 단계를 포함한다.
추가 실시 예에 따라, 네트워크 서버의 요청에 따라 네트워크 장치로부터 네트워크 속성정보를 요청받는 단계와, 네트워크 속성정보 요청에 따라, 등록된 네트워크 장치 리스트와 요청된 네트워크 속성정보를 검색하는 단계와, 검색된 네트워크 속성정보를 공개키를 통해 암호화하여 네트워크 장치에 응답하는 단계를 포함한다.
또 다른 실시 예에 따른 네트워크 관리장치는, 네트워크 서버의 가상 머신이 사용할 네트워크 속성정보의 암호화 및 복호화를 위해 공개키 및 개인키를 생성하는 키 생성부와, 키 생성부에서 생성된 공개키를 데이터베이스에 제공하고, 데이터베이스가 공개키를 이용하여 네트워크 속성정보를 암호화하면, 데이터베이스로부터 암호화된 네트워크 속성정보를 수신하는 통신부와, 통신부를 통해 수신된 네트워크 속성정보를 개인키를 이용하여 복호화하여 네트워크 속성정보를 인증하는 인증부를 포함한다.
일 실시 예에 따르면, 인증 및 암호화 체계를 적용하여 안전하게 네트워크 속성정보를 전파하여, 해킹에 따른 네트워크 설정 등으로 인한 피해를 줄임으로써 클라우드 서비스의 연속성 및 품질 보장을 제고할 수 있다.
도 1은 본 발명이 적용되는 인터넷 데이터 센터(Internet Data Center: IDC) 네트워크의 구조도,
도 2는 본 발명의 일 실시 예에 따라 클라우드 서비스를 제공하는 IDC 센터의 제2 네트워크 장치와 VSI Type DB 간의 VSI Type 정보 전파를 위한 제어 메시지 흐름을 도시한 흐름도,
도 3은 본 발명의 다른 실시 예에 따라 클라우드 서비스를 제공하는 IDC 센터의 제2 네트워크 장치와 VSI Type DB 간의 VSI Type 정보 전파를 위한 제어 메시지 흐름을 도시한 흐름도,
도 4는 본 발명의 일 실시 예에 따른 제2 네트워크 장치의 구성도이다.
이하에서는 첨부한 도면을 참조하여 본 발명의 실시 예들을 상세히 설명한다. 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명이 적용되는 인터넷 데이터 센터(Internet Data Center: 이하 IDC라 칭함) 네트워크의 구조도이다.
도 1을 참조하면, IDC 네트워크는 제1 네트워크 장치(10)와 제2 네트워크 장치(12)를 포함한다.
제1 네트워크 장치(10)와 제2 네트워크 장치(12)는 다수의 채널(multi channels)을 통해 연결되는데, 제1 네트워크 장치(10)는 물리적 서버(physical server)인 것으로 가정될 수 있고, 제2 네트워크 장치(12)는 스위치(switch)인 것으로 가정될 수 있지만, 이에 한정되지는 않는다. 즉, 네트워크 장치들(10,12) 각각은 개인용 컴퓨터, 메인 프레임(mainframe), 이동장치(mobile device), 라우터(router), 브릿지(bridge), 스위치(switch), 셋톱 박스(set-top-box), 모뎀(modem) 및 헤드-엔드(head-end)를 포함하는 임의의 적당한 네트워크 장치일 수 있다.
제1 네트워크 장치(10)는 다수의 가상 머신(Virtual Machine: VM)과, 애플리케이션(Apps)과, 하이퍼바이저(hypervisor) 또는 네트워크 인터페이스 카드(network interface card: NIC)를 포함한다.
제1 네트워크 장치(10)는 가상 머신들 사이의 통신을 위해, 가상 이더넷 브리징(virtual ethernet bridging: 이하 VEB라 칭함)을 이용하여 트래픽을 내부적으로 처리할 수 있고, 가상 이더넷 포트 집합(VEPA: virtual ethernet port aggregation)과 같은 프로토콜들을 이용하여 외부의 제2 네트워크 장치(12)를 통해 트래픽을 처리할 수 있다.
제2 네트워크 장치(12)는 많은 점에서 제1 네트워크 장치(10)와 유사할 수 있다. 이와 관련하여, 제2 네트워크 장치(12)는 하나 이상의 네트워킹 표준들에 따라 네트워크 통신들에 참여하고 데이터를 처리하기 위한 로직, 회로, 인터페이스들 및 코드들을 포함할 수 있다. 제2 네트워크 장치(12)는 VEPA 또는 유사한 프로토콜들을 지원할 수 있다.
도 1은 세부적으로 IEEE802.1Qbg 에지 가상화 브릿징(Edge Virtual Bridging: 이하 EVB라 칭함) 기술에 기반한 네트워크 통합 자동관리 개념을 도시한 것이다.
도 1을 참조하면, IEEE802.1Qbg 기술은 IDC 네트워크의 자동화 제어 및 관리를 위한 핵심 기술로서, 클라우드 서버 영역과 네트워크 영역에 대한 수동 관리 시의 복합하고 시간 소모적인 운용을 피하기 위하여, 클라우드 서버 영역과 네트워크 영역에 대한 스마트한 네트워크 설정을 지원한다.
즉, 클라우드의 가상 자원과 네트워크 자원 간 실시간 통합 자동관리 및 제어를 통하여 물리적 자원의 장애 발생 시에도 클라우드 서비스의 연속성 및 품질을 보장한다. 예를 들어 가상 머신의 네트워크 서버 간 마이그레이션(migration)을 지원할 수 있다. 그리고, IDC 내 클라우드 자원 및 네트워크 자원의 활용률을 극대화하며, 일관된 운용을 통하여 운용 관리비용을 절감할 수 있다.
네트워크 관리자(2)는 클라우드 서비스를 제공하는 IDC 센터 내의 네트워크를 관리한다. 그리고, 제1 네트워크 장치(10)의 가상 머신이 사용할 네트워크 속성정보(network attribute information)인, 가상 스테이션 인터페이스 타입 정보(Virtual Station Interface type information: 이하 VSI Type 정보라 칭함)를 관리 및 제어한다. 이때, 네트워크 관리자(2)는 가상 머신이 사용하는 VSI Type 정보를 VSI Type DB(14)에 등록, 삭제 또는 업데이트한다. 예를 들어, VSI Type 속성 중 하나인 맥 주소(Mac Address)를 새로운 주소로 업데이트할 수 있다.
VSI Type 정보는 수동으로 관리될 수 있으나, 본 발명에 따르면 별도의 VSI Type DB(14)를 두어 VSI Type DB(14)를 통해 VSI Type 정보를 자동으로 관리한다. VSI Type DB(14)는 서버 형태일 수 있다. VSI Type 정보는 가상 랜 식별자(VLAN ID), 맥 주소(Mac Address), 서비스 품질(QoS) 제어정보, 접근 제어 리스트(Access Control List: ACL), 보안(security) 제어정보와 같이 가상 머신을 통한 가상화 서비스를 위해 필요한 다수의 속성을 포함한다.
도 1을 참조하면, VSI type 자동 관리 프로세스는, ① 네트워크 관리자(2)가, VSI 관리자(4)가 관리하는 VSI Type DB(14)에 가상 머신이 사용하는 VSI type정보를 생성하는 단계와, ② 가상머신 관리자(3)가 VSI Type DB(14)에서 가용 VSI Type 정보를 검색하여 획득하는 단계와, ③ 가상머신 관리자(3)가 VSI Type 정보와 가상머신을 설정하는 단계와, ④ 제1 네트워크 장치(10)와 제2 네트워크 장치 간 VSI 디스커버리 및 구성(VSI discovery & configuration) 단계와, ⑤ 제2 네트워크 장치(12)가, VSI 관리자(4)가 관리하는 VSI Type DB(14)에 가상 머신이 사용하는 VSI type 정보를 요청하여 수신한 후 이를 토대로 네트워크를 설정하는 단계로 구성된다.
특정 VSI Type 정보를 사용하는 제1 네트워크 장치(10)의 가상 머신은 제1 네트워크 장치(10)와 직접 연결된 제2 네트워크 장치(12)에 가상 머신 자신이 사용할 VSI Type에 대한 설정을 요청하고, 요청을 수신한 제2 네트워크 장치(12)는 VSI Type에 해당되는 속성을 기반으로 네트워크 서비스를 가상 머신에 제공한다. 이에 따라 가상 머신과 네트워크를 통합 자동관리 및 제어할 수 있으며, 가상 머신의 연속성과 품질을 보장할 수 있다.
그러나, 네트워크 장비의 설정은 매우 민감한 문제로, 잘못된 네트워크 설정은 가상 머신의 네트워크 연결성을 해칠 수 있으며, 이는 IDC에서 제공하는 클라우드 서비스의 중단을 초래할 수 있다. 분명히, 클라우드 관리자(1)와 네트워크 관리자(2)는 가상 머신의 상태 변경(예를 들어, 가상 머신의 부팅, 중지 및 마이그레이션) 등과 같은 이유에서도 네트워크 설정을 클라우드 서비스 중단 없이 품질을 보장하면서 효율적으로 운용해야 할 필요가 있다.
이러한 효율적인 운용을 위해 IEEE802.1Qbg Edge Virtual Bridging 표준 기술 중 하나인 VSI 디스커버리 및 구성 프로토콜(VSI discovery and configuration protocol: 이하 VDP라 칭함)을 제1 네트워크 장치(10)와 제2 네트워크 장치(12) 간에 사용한다. VDP는 가상 머신이 마이그레이션할 제1 네트워크 장치(10)와 인접한 제2 네트워크 장치(12) 간에 설정된 VSI Type 정보를 기반으로 네트워크 설정을 자동화하는 프로토콜 기술이다.
제2 네트워크 장치(12)는 제1 네트워크 장치(10)의 특정 가상 머신을 위해 VSI Type 정보를 VSI Type DB(14)에 요청하여, VSI Type DB(14)로부터 VSI Type 정보를 수신하며, 수신된 VSI Type 정보를 이용하여 가상 머신을 위한 네트워크를 설정한다.
만일, 제2 네트워크 장치(12)와 VSI Type DB(14) 간의 통신 중에 해킹과 같은 악의적인 목적에 의해, 제2 네트워크 장치(12)가 내용이 변질된 패킷을 수신하여 네트워크를 설정한다면, 커다란 네트워크 문제를 야기할 수 있고 궁극적으로 클라우드 서비스의 연속성 및 품질보장을 어렵게 할 것이다. 그렇다고, 해당 문제를 회피하기 위해 VSI Type DB(14)를 두지 않고 VSI Type 정보를 수동으로 설정하는 것은, 복잡할 뿐만 아니라 대규모 IDC 네트워크에 적절하지도 않다.
본 발명은 전술한 문제를 해결하고자 제2 네트워크 장치(12)와 VSI Type DB(14) 간에 VSI Type 정보를 안전하게 전파하는 방법에 대한 것이다. 안전한 전파방식을 통해 해킹 등과 같은 악의적 공격으로부터 네트워크 설정이 잘못되는 것을 사전에 방지할 수 있다. 후술되는 도 2와 도 3은 본 발명의 다양한 실시 예에 따라 VSI Type 정보를 안전하게 전파하기 위한 방법들을 설명하는 예시도 들이다. 물론, 이외에 다른 여러 방식을 통해 안전한 방법으로 VSI Type 정보를 전파할 수 있다.
도 2는 본 발명의 일 실시 예에 따라 클라우드 서비스를 제공하는 IDC 센터의 제2 네트워크 장치(12)와 VSI Type DB(14) 간의 VSI Type 정보 전파를 위한 제어 메시지 흐름을 도시한 흐름도이다.
도 1과 도 2를 참조하면, 네트워크 관리자(2)는 클라우드 서비스를 제공하는 IDC 센터 내의 네트워크를 관리하고, 가상 머신이 사용하는 VSI Type을 등록, 삭제 또는 업데이트하며 VSI Type DB(14)를 유지 및 보수한다.
VSI Type DB(14)는 네트워크 관리자(2)가 등록, 삭제 또는 업데이트하는 VSI Type 속성을 데이터베이스화하여 관리하며, 제2 네트워크 장치(12)의 요청에 응답하여 VSI Type 정보를 전송하거나, 업데이트된 VSI Type DB(14)에 등록된 제2 네트워크 장치(12)에 VSI Type 속성을 전파한다.
제2 네트워크 장치(12)는 가상 머신이 수행되는 제1 네트워크 장치(10)에 연결된 장비로, 가상 머신을 위해 필요한 네트워크 설정 요청을 수신하여 네트워크를 설정한다.
도 2는 세부적으로 네트워크 관리자(2)에 의해 VSI Type DB(14)의 VSI Type 정보의 속성이 변경될 때, VSI Type DB(14)에서 제2 네트워크 장치(12)로 속성이 변경된 VSI Type 정보를 안전하게 전파하기 위한 제어 흐름도를 도시한 것이다.
네트워크 관리자(2)는 VSI 관리자(4)의 VSI Type DB(14)에 VSI Type 정보를 등록, 삭제 또는 업데이트(201)하며, VSI 관리자(4)는 VSI Type DB(14)에 속성이 변경된 VSI Type 정보를 유지 및 보수한다(301). 제2 네트워크 장치(12)는 VSI Type 정보의 암호화 및 복호화를 위해 공개키와 개인키를 생성(401)하며, 제2 네트워크 장치(12)에 등록된 VSI Type DB(14)에 자신의 IP 주소와 공개키를 등록한다(402). VSI Type DB(14)는 VSI Type 정보를 전파할 제2 네트워크 장치(12) 리스트와 암호화할 공개키를 매핑한 테이블을 업데이트(302)하며, 속성이 변경된 VSI Type 정보를 제2 네트워크 장치(12)로부터 등록된 공개키를 이용하여 암호화하여, 암호화된 VSI Type 정보를 제2 네트워크 장치(12)에 전파한다(303).
제2 네트워크 장치(12)는 VSI Type DB(14)로부터 전파된 VSI Type 정보를 개인키를 이용하여 복호화하여 VSI Type 정보의 적절성을 판단한다. 판단 결과, 적절하지 않다면 이를 폐기한다. 이에 비해 적절한 것으로 판단되면 로컬 VSI Type DB에 해당 VSI Type 정보의 속성을 업데이트한다(403). 전술한 방법으로 네트워크 관리자(2)가 속성이 변경된 VSI Type 정보의 속성 변경 내용을 안전하게 제2 네트워크 장치(12)에 전파할 수 있다.
추가 실시 예에 따라, 제2 네트워크 장치(12)가 해킹된 시스템(16)으로부터 해킹된 네트워크 속성정보를 수신하면, 수신된 네트워크 속성정보를 개인키를 이용하여 복호화하여 네트워크 속성정보의 적절성 여부를 판단한 후 폐기한다(406).
도 3은 본 발명의 다른 실시 예에 따라 클라우드 서비스를 제공하는 IDC 센터의 제2 네트워크 장치(12)와 VSI Type DB(14) 간의 VSI Type 정보 전파를 위한 제어 메시지 흐름을 도시한 흐름도이다.
도 1 및 도 3을 참조하면, 네트워크 관리자(2)는 VSI 관리자(4)의 VSI Type DB(14)에 VSI Type 정보를 등록, 삭제 또는 업데이트(201)하며, VSI 관리자(4)는 VSI Type DB(14)에 속성이 변경된 VSI Type 정보를 유지 및 보수한다(301). 제2 네트워크 장치(12)는 VSI Type 정보의 암호화 및 복호화를 위해 공개키와 개인키를 생성하여 관리(401)하며, 제2 네트워크 장치(12)에 등록된 VSI Type DB(14)에 자신의 IP 주소와 공개키를 등록한다(402). VSI Type DB(14)는 VSI Type 정보를 전파할 제2 네트워크 장치(12) 리스트와 암호화할 공개키를 매핑한 테이블을 업데이트(302)하며, 속성이 변경된 VSI Type 정보를 제2 네트워크 장치(12)로부터 등록된 공개키를 이용하여 암호화한 후 암호화된 VSI Type 정보를 제2 네트워크 장치(12)에 전파한다(303).
제2 네트워크 장치(12)는 VSI Type DB(14)로부터 전파된 VSI Type 정보를 개인키를 이용하여 복호화하여 VSI Type 정보의 적절성을 판단한다. 판단 결과, 적절하지 않다면 이를 폐기한다. 이에 비해 적절한 것으로 판단되면 로컬 VSI Type DB에 해당 VSI Type 정보의 속성을 업데이트한다(403). 전술한 방법으로 네트워크 관리자(2)가 속성이 변경된 VSI Type 정보의 속성 변경 내용을 안전하게 제2 네트워크 장치(12)로 전파할 수 있다.
추가 실시 예에 따라, 제2 네트워크 장치(12)가 가상 머신을 갖는 제1 네트워크 장치(10)로부터 가상 머신을 위해 필요한 네트워크 설정을 요청하는 VDP 메시지를 수신하면, VDP 메시지에 있는 VSI Type 정보를 로컬 VSI Type DB에서 검색한다. 검색 결과, VSI Type 정보가 존재하면 해당 VSI Type 정보를 이용하여 네트워크 설정을 수행한다. 이에 비해, VSI Type 정보가 존재하지 않으면 VSI Type 정보를 획득하기 위해 VSI Type DB(14)에 이를 요청한다(404). 그러면, VSI Type DB(14)는 등록된 제2 네트워크 장치(12) 리스트와 VSI Type DB(14)에서 요청한 VSI Type 정보를 검색한다(303).
이어서, VSI Type DB(14)는 검색된 VSI Type 정보를 등록된 공개키로 암호화하여 제2 네트워크 장치(12)에 전송한다(304). 그러면, 제2 네트워크 장치(12)는 VSI Type 정보를 개인키를 이용하여 복호화한 후 VSI Type 정보를 이용하여 가상 머신을 위해 필요한 네트워크를 설정한다. 또한 로컬 VSI Type DB의 VSI Type 정보를 속성을 업데이트 한다(405).
도 4는 본 발명의 일 실시 예에 따른 제2 네트워크 장치(12)의 구성도이다.
도 1과 도 4를 참조하면, 제2 네트워크 장치(12)는 키 생성부(120), 통신부(122), 제어부(124), 인증부(126) 및 네트워크 설정부(128)를 포함한다.
키 생성부(120)는 제1 네트워크 장치(10)의 가상 머신이 사용할 네트워크 속성정보의 암호화 및 복호화를 위해 공개키 및 개인키를 생성한다. 네트워크 속성정보는 VSI type 정보로서, 가상 랜 식별자, 맥 주소, 서비스 품질 제어정보, 접근 제어 리스트 및 보안 제어정보 등을 포함한다.
통신부(122)는 키 생성부(120)에서 생성된 공개키를 VSI Type DB(14)에 제공하고, VSI Type DB(14)가 공개키를 이용하여 네트워크 속성정보를 암호화하면, VSI Type DB(14)부터 암호화된 네트워크 속성정보를 수신한다. 인증부(126)는 통신부(122)를 통해 수신된 네트워크 속성정보를 개인키를 이용하여 복호화하여 네트워크 속성정보의 적절성 여부를 판단한 후 로컬 VSI Type DB를 업데이트한다.
네트워크 설정부(128)는 인증부(126)를 통해 인증된 네트워크 속성정보를 이용하여 가상 머신을 위한 네트워크를 설정한다. 네트워크 설정부(128)는 VDP(VSI discovery and configuration protocol)를 이용하여 네트워크를 자동 설정할 수 있다. 제어부(124)는 각 구성요소를 제어한다.
일 실시 예에 따라 해킹 시스템으로부터 해킹된 네트워크 속성정보를 통신부(122)를 통해 수신하면, 인증부(126)는 개인키를 이용하여 수신된 네트워크 속성정보를 복호화하여 네트워크 속성정보의 적절성 여부를 판단한 후 적절하지 않은 것으로 판단되면 수신된 네트워크 속성정보를 폐기한다.
일 실시 예에 따라 통신부(122)는 제1 네트워크 장치(10)로부터 가상 머신이 사용할 네트워크에 대한 설정을 요청받으면 VSI Type DB(14)에 네트워크 속성정보를 요청한다. 그리고, VSI Type DB(14)로부터 공개키를 통해 암호화된 네트워크 속성정보를 수신한다. 이때, 인증부(126)는 수신된 네트워크 속성정보를 개인키를 이용하여 복호화하여 네트워크 속성정보의 적절성 여부를 판단한다.
이제까지 본 발명에 대하여 그 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
10 : 제1 네트워크 장치 12 : 제2 네트워크 장치
120 : 키 생성부 122 : 통신부
124 : 제어부 126 : 인증부
128 : 네트워크 설정부

Claims (18)

  1. 네트워크 서버와 연결된 네트워크 장치의 네트워크 관리방법에 있어서,
    상기 네트워크 서버에 위치한 가상 머신이 사용하는 네트워크 속성정보를 암호화 및 복호화하기 위해 공개키 및 개인키를 생성하여 생성된 공개키를 데이터베이스에 제공하는 단계;
    상기 데이터베이스가 공개키를 이용하여 네트워크 속성정보를 암호화하면, 상기 데이터베이스로부터 암호화된 네트워크 속성정보를 수신하는 단계; 및
    상기 수신된 네트워크 속성정보를 개인키를 이용하여 복호화하여 네트워크 속성정보를 인증하는 단계;
    를 포함하는 것을 특징으로 하는 네트워크 관리방법.
  2. 제 1 항에 있어서,
    상기 네트워크 속성정보는 가상 스테이션 인터페이스 타입 정보인 것을 특징으로 하는 네트워크 관리방법.
  3. 제 2 항에 있어서,
    상기 가상 스테이션 인터페이스 타입 정보는 가상 랜 식별자, 맥 주소, 서비스 품질 제어정보, 접근 제어 리스트 및 보안 제어정보 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크 관리방법.
  4. 제 1 항에 있어서, 상기 네트워크 속성정보를 인증하는 단계는,
    해킹된 시스템으로부터 해킹된 네트워크 속성정보를 수신하면, 수신된 네트워크 속성정보를 개인키를 이용하여 복호화하여 네트워크 속성정보의 적절성 여부를 판단한 후 폐기하는 것을 특징으로 하는 네트워크 관리방법.
  5. 제 1 항에 있어서,
    인증된 네트워크 속성정보를 이용하여 가상 머신을 위한 네트워크를 설정하는 단계;
    를 더 포함하는 것을 특징으로 하는 네트워크 관리방법.
  6. 제 5 항에 있어서, 상기 네트워크를 설정하는 단계는,
    가상 스테이션 인터페이스 디스커버리 및 구성 프로토콜을 이용하여 네트워크를 자동 설정하는 것을 특징으로 하는 네트워크 관리방법.
  7. 제 1 항에 있어서,
    상기 네트워크 서버로부터 가상 머신이 사용할 네트워크에 대한 설정을 요청받으면 상기 데이터베이스에 네트워크 속성정보를 요청하는 단계;
    상기 데이터베이스로부터 공개키를 통해 암호화된 네트워크 속성정보를 응답받는 단계; 및
    상기 응답받은 네트워크 속성정보를 개인키를 이용하여 복호화하여 네트워크 속성정보를 인증한 후 인증된 네트워크 속성정보를 이용하여 가상 머신을 위한 네트워크를 설정하는 단계;
    를 더 포함하는 것을 특징으로 하는 네트워크 관리방법.
  8. 제 7 항에 있어서, 상기 네트워크 속성정보를 요청하는 단계는,
    상기 네트워크 서버의 네트워크 설정 요청메시지에 포함된 네트워크 속성정보가 로컬 데이터베이스에 있는지 여부를 판단하는 단계; 및
    네트워크 속성정보가 로컬 데이터베이스에 없는 경우 상기 데이터베이스에 네트워크 속성정보를 요청하는 단계;
    를 포함하는 것을 특징으로 하는 네트워크 관리방법.
  9. 제 1 항에 있어서,
    상기 네트워크 서버와 연결된 네트워크 장치는 가상 머신들의 통신을 지원하기 위해 상기 네트워크 서버의 외부에 존재하는 것을 특징으로 하는 것을 특징으로 하는 네트워크 관리방법.
  10. 데이터베이스의 네트워크 관리방법에 있어서,
    네트워크 관리자에 의해 네트워크 속성정보가 업데이트되는 단계;
    가상 머신을 갖는 네트워크 서버와 연결된 네트워크 장치로부터 공개키를 수신하는 단계;
    네트워크 속성정보를 수신할 네트워크 장치 리스트와 공개키를 매핑한 테이블을 업데이트하는 단계; 및
    매핑 테이블의 업데이트에 따라, 업데이트된 네트워크 속성정보를 상기 수신된 공개키를 이용하여 암호화한 후 상기 네트워크 장치에 전송하는 단계;
    를 포함하는 것을 특징으로 하는 네트워크 관리방법.
  11. 제 10 항에 있어서,
    상기 네트워크 서버의 요청에 따라 상기 네트워크 장치로부터 네트워크 속성정보를 요청받는 단계;
    네트워크 속성정보 요청에 따라, 등록된 네트워크 장치 리스트와 요청된 네트워크 속성정보를 검색하는 단계; 및
    검색된 네트워크 속성정보를 공개키를 통해 암호화하여 상기 네트워크 장치에 응답하는 단계;
    를 더 포함하는 것을 특징으로 하는 네트워크 관리방법.
  12. 네트워크 서버의 가상 머신이 사용할 네트워크 속성정보의 암호화 및 복호화를 위해 공개키 및 개인키를 생성하는 키 생성부;
    상기 키 생성부에서 생성된 공개키를 데이터베이스에 제공하고, 상기 데이터베이스가 공개키를 이용하여 네트워크 속성정보를 암호화하면, 상기 데이터베이스로부터 암호화된 네트워크 속성정보를 수신하는 통신부; 및
    상기 통신부를 통해 수신된 네트워크 속성정보를 개인키를 이용하여 복호화하여 네트워크 속성정보를 인증하는 인증부;
    를 포함하는 것을 특징으로 하는 네트워크 관리장치.
  13. 제 12 항에 있어서,
    상기 네트워크 속성정보는 가상 스테이션 인터페이스 타입 정보인 것을 특징으로 하는 네트워크 관리장치.
  14. 제 13 항에 있어서,
    상기 가상 스테이션 인터페이스 타입 정보는 가상 랜 식별자, 맥 주소, 서비스 품질 제어정보, 접근 제어 리스트 및 보안 제어정보 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크 관리장치.
  15. 제 12 항에 있어서, 상기 인증부는,
    상기 통신부가 해킹된 시스템으로부터 해킹된 네트워크 속성정보를 수신하면, 개인키를 이용하여 수신된 네트워크 속성정보를 복호화하여 네트워크 속성정보의 적절성 여부를 판단한 후 폐기하는 것을 특징으로 하는 네트워크 관리장치.
  16. 제 12 항에 있어서,
    상기 통신부는 상기 네트워크 서버로부터 가상 머신이 사용할 네트워크 설정을 요청받아 상기 데이터베이스에 네트워크 속성정보를 요청하여, 상기 데이터베이스로부터 공개키를 통해 암호화된 네트워크 속성정보를 응답받으며,
    상기 인증부는 상기 통신부를 통해 응답받은 네트워크 속성정보를 개인키를 이용하여 복호화하여 네트워크 속성정보의 적절성 여부를 판단하는 것을 특징으로 하는 네트워크 관리장치.
  17. 제 12 항에 있어서,
    상기 인증부를 통해 인증된 네트워크 속성정보를 이용하여 가상 머신을 위한 네트워크를 설정하는 네트워크 설정부;
    를 더 포함하는 것을 특징으로 하는 네트워크 관리장치.
  18. 제 17 항에 있어서, 상기 네트워크 설정부는,
    가상 스테이션 인터페이스 디스커버리 및 구성 프로토콜을 이용하여 네트워크를 자동 설정하는 것을 특징으로 하는 네트워크 관리장치.
KR1020130000305A 2013-01-02 2013-01-02 암호화 및 인증 기반 네트워크 관리방법 및 그 장치 KR20140088437A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130000305A KR20140088437A (ko) 2013-01-02 2013-01-02 암호화 및 인증 기반 네트워크 관리방법 및 그 장치
US14/084,572 US20140189357A1 (en) 2013-01-02 2013-11-19 Encryption and authentication based network management method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130000305A KR20140088437A (ko) 2013-01-02 2013-01-02 암호화 및 인증 기반 네트워크 관리방법 및 그 장치

Publications (1)

Publication Number Publication Date
KR20140088437A true KR20140088437A (ko) 2014-07-10

Family

ID=51018721

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130000305A KR20140088437A (ko) 2013-01-02 2013-01-02 암호화 및 인증 기반 네트워크 관리방법 및 그 장치

Country Status (2)

Country Link
US (1) US20140189357A1 (ko)
KR (1) KR20140088437A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210063619A (ko) * 2019-11-25 2021-06-02 서강대학교산학협력단 속성을 기반으로 한 블록체인 네트워크에서의 접근 권한 제어 시스템 및 접근 권한 제어 방법

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104104692B (zh) * 2014-08-05 2017-03-08 中孚信息股份有限公司 一种虚拟机加密方法、解密方法及加解密控制系统
US10826875B1 (en) * 2016-07-22 2020-11-03 Servicenow, Inc. System and method for securely communicating requests
CN108737077B (zh) * 2017-04-13 2020-11-06 腾讯科技(深圳)有限公司 信息处理方法、装置和系统
CN107862560A (zh) * 2017-09-14 2018-03-30 湖北汽车工业学院 一种基于互联网的汽车服务系统
US10904330B2 (en) * 2018-07-10 2021-01-26 Vmware, Inc. Systems, methods and apparatus to manage services in distributed systems
CN111182006B (zh) * 2018-11-09 2022-11-29 阿里巴巴集团控股有限公司 一种物理集群映射为云计算资源的方法及装置
KR20210131114A (ko) 2020-04-23 2021-11-02 한국전자통신연구원 신경망 동기화에 기반한 비밀키 생성 방법 및 장치

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8352799B2 (en) * 2010-02-12 2013-01-08 Symantec Corporation Data corruption prevention during application restart and recovery
US8443365B2 (en) * 2010-11-03 2013-05-14 Hewlett-Packard Development Company, L.P. Methods and systems to clone a virtual machine instance
US8966581B1 (en) * 2011-04-07 2015-02-24 Vmware, Inc. Decrypting an encrypted virtual machine using asymmetric key encryption

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210063619A (ko) * 2019-11-25 2021-06-02 서강대학교산학협력단 속성을 기반으로 한 블록체인 네트워크에서의 접근 권한 제어 시스템 및 접근 권한 제어 방법

Also Published As

Publication number Publication date
US20140189357A1 (en) 2014-07-03

Similar Documents

Publication Publication Date Title
US11641361B2 (en) Dynamic access control to network resources using federated full domain logon
US10972452B2 (en) Secure access to virtual machines in heterogeneous cloud environments
AU2020203719B2 (en) Extension of network control system into public cloud
KR20140088437A (ko) 암호화 및 인증 기반 네트워크 관리방법 및 그 장치
US20230198837A1 (en) Stitching enterprise virtual private networks (vpns) with cloud virtual private clouds (vpcs)
US10333959B2 (en) Use of public cloud inventory tags to configure data compute node for logical network
US10826905B2 (en) Secure access to on-premises web services from multi-tenant cloud services
US20210297410A1 (en) Mec platform deployment method and apparatus
EP3152865B1 (en) Provisioning and managing slices of a consumer premises equipment device
TWI554905B (zh) 安全防護管理方法、電腦系統以及非暫態電腦可讀取存儲媒體
US11044238B2 (en) Secure communications among tenant virtual machines in a cloud networking environment
WO2019153701A1 (zh) 一种获得设备标识的方法及装置
WO2017143611A1 (zh) 用于处理vxlan报文的方法、设备及系统
US20100042834A1 (en) Systems and methods for provisioning network devices
US10187356B2 (en) Connectivity between cloud-hosted systems and on-premises enterprise resources
EP3288235B1 (en) System and apparatus for enforcing a service level agreement (sla) in a cloud environment using digital signatures
WO2012126432A2 (zh) 数据传输的方法、设备和系统
WO2019109942A1 (zh) 建立虚拟网络功能实例的方法和装置
CN116647425A (zh) 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质
CN113972995A (zh) 一种网络配置方法及装置
Nguyen et al. An SDN-based connectivity control system for Wi-Fi devices
US11171786B1 (en) Chained trusted platform modules (TPMs) as a secure bus for pre-placement of device capabilities
Tupakula et al. Implementation of techniques for enhancing security of southbound infrastructure in sdn
WO2019015563A1 (zh) 一种虚拟网络功能vnf的初始化凭据生成方法及设备
WO2023024540A1 (zh) 处理报文、获取sa信息的方法、装置、系统及介质

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid