KR20180015959A - 스위칭 망에서의 데이터 패킷 전송 경로 제어 장치, 및 이를 이용한 보안 통신 방법 - Google Patents

스위칭 망에서의 데이터 패킷 전송 경로 제어 장치, 및 이를 이용한 보안 통신 방법 Download PDF

Info

Publication number
KR20180015959A
KR20180015959A KR1020160099629A KR20160099629A KR20180015959A KR 20180015959 A KR20180015959 A KR 20180015959A KR 1020160099629 A KR1020160099629 A KR 1020160099629A KR 20160099629 A KR20160099629 A KR 20160099629A KR 20180015959 A KR20180015959 A KR 20180015959A
Authority
KR
South Korea
Prior art keywords
path
data
transmission
switching
packet
Prior art date
Application number
KR1020160099629A
Other languages
English (en)
Inventor
김성주
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020160099629A priority Critical patent/KR20180015959A/ko
Publication of KR20180015959A publication Critical patent/KR20180015959A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

목적지 주소를 참조하여 출발 네트워크 장치에서 목적 네트워크 장치로 데이터를 전달하는 스위칭 망에서의 경로 제어 장치가 상기 데이터의 전달 경로를 설정하는 방법으로서, 상기 출발 네트워크 장치, 상기 목적 네트워크 장치, 그리고 상기 출발 네트워크 장치와 상기 목적 네트워크 장치 사이에 위치한 적어도 하나 이상의 스위치를 포함하는 스위치 정보를 제공받는 단계, 상기 스위치 정보를 이용하여 제공 가능한 모든 스위칭 경로를 탐색하는 단계, 상기 제공 가능한 스위칭 경로 중 제1 스위칭 경로를 선택하여 경로 정책을 설정하고, 상기 경로 정책을 제공하고, 일정 주기마다 상기 제1 스위칭 경로와 다른 제2 스위칭 경로를 선택하여 상기 경로 정책을 변경하며, 상기 변경된 경로 정책을 제공하는 단계를 포함한다.

Description

스위칭 망에서의 데이터 패킷 전송 경로 제어 장치, 및 이를 이용한 보안 통신 방법{APPARATUS FOR CONTROLLING TRANSMISSION PATH OF DATA PACKET AND METHOD FOR SECURE COMMUNICATION USING THE SAME}
본 발명은 데이터 패킷 전송 경로 제어 장치, 및 이를 이용한 보안 통신 방법에 관한 것이다.
일반적으로 네트워크상에서 패킷을 전송할 때, 최단 경로 탐색 알고리즘(예를 들어, Open Short Path First 등)을 이용 하여 데이터 전달 경로를 설정하는 방법을 채택하고 있다. 다만, 상기의 방법으로 데이터 전달 경로를 설정하면 외부의 공격자는 데이터의 전달 경로를 쉽게 파악할 수 있어 사용자 간 주고받는 패킷을 스니핑하거나, 데이터 내용을 악의적으로 조작하기 쉽다.
최근 인터넷 보급 확산으로 전자 상거래 등의 개인 정보 요청 서비스가 많아짐에 따라 네트워크 보안이 중요한 문제로 대두 되고 있다.
이에 네트워크 보안을 향상하기 위하여 SSL(Secure Sockets Layer), TLS(Transport Layer Security), IPSEC(IP security protocol)과 같은 암호화 규약이나 가상 사설망 서비스(Virtual Private Network, VPN) 등의 전용선을 구축하여 네트워크 보안을 강화하는 방법이 이용되고 있다.
그러나 상기 네트워크 보안 강화 방법은 네트워크 내부에 별도의 침해 탐지 및 차단 장치를 사용해야 하기 때문에 많은 비용이 소요되고, 라우터, NAS(Network Attached Storage), 이더넷 시스템의 패킷 필터링 기능 등의 사용이 장비 기능을 악화시키거나, 특정 포트를 모두 동일하게 차단할 수 있어 정상적인 사용자의 패킷도 차단할 수 있는 문제점이 있다.
이에, 통신 사업자가 외부의 공격자의 악의적인 공격에 대비하기 위한 보안 방법에 대한 연구가 필요하다.
본 발명이 해결하고자 하는 과제는 보안 성능이 향상된 데이터 패킷 전송 경로 제어 장치 및 이를 이용한 보안 통신 방법을 제공하는 것이다.
본 발명의 한 실시예에 따른 경로 제어 장치가 스위칭 망에서 데이터의 전달 경로를 설정하는 방법은 상기 데이터의 출발 네트워크 장치, 상기 데이터의 목적 네트워크 장치, 그리고 상기 출발 네트워크 장치와 상기 목적 네트워크 장치 사이에 위치한 적어도 하나 이상의 스위치를 포함하는 스위치 정보를 제공받는 단계, 상기 스위치 정보를 이용하여 상기 출발 네트워크 장치와 상기 목적 네트워크 장치를 연결하는 복수의 스위칭 경로를 탐색하는 단계, 그리고 상기 복수의 스위칭 경로에서 일정 주기마다 임의 스위칭 경로를 선택하여 상기 데이터의 전달 경로로 설정하는 단계를 포함한다.
상기 주기는 상기 데이터의 보안 등급에 따라 설정될 수 있다.
상기 주기는 상기 데이터의 보안 등급이 높으면 짧게 설정되고, 상기 데이터의 보안 등급이 낮으면 길게 설정될 수 있다.
상기 경로 정책을 제공하는 단계는 상기 복수의 스위칭 경로들의 전송 예상 속도를 계산하는 단계, 그리고, 상기 전송 예상 속도를 이용하여 상기 복수의 스위칭 경로들의 예상 패킷 전송 지연 시간을 계산하는 단계를 더 포함하며, 상기 데이터의 전달 경로는 상기 예상 패킷 전송 지연 시간이 임계치 이하인 적어도 하나의 스위칭 경로 중에서 선택된 경로일 수 있다.
상기 데이터 전달 경로를 설정하는 단계는 상기 일정 주기마다 이전 데이터 전달 경로의 전송 예상 속도와의 차이가 임계치 이하인 전송 예상 속도를 갖는 스위칭 경로 중에서 어느 하나를 선택하여 상기 데이터 전달 경로로 설정할 수 있다.
상기 데이터 전달 경로를 설정하는 단계는 상기 일정 주기마다 상기 이전 데이터 전달 경로와의 상관 계수(correlation coefficient)가 가장 작은 경로를 선택하여 상기 데이터 전달 경로로 설정할 수 있다.
본 발명의 한 실시예에 따른 경로 제어 장치는 네트워크 장치가 연결된 적어도 하나 이상의 노드로부터 스위치 정보를 수집하는 스위치 정보 관리부, 그리고 상기 스위치 정보에 따라 데이터 전달 경로를 설정하는 경로 제어부를 포함하고, 상기 경로 제어부는 데이터의 출발 네트워크 장치와 상기 데이터의 목적 네트워크 장치를 연결하는 복수의 스위칭 경로를 탐색하고, 상기 복수의 스위칭 경로에서 일정 주기마다 임의 스위칭 경로를 선택하여 상기 데이터 전달 경로로 설정한다.
상기 주기는 상기 데이터의 보안 등급에 따라 설정될 수 있다.
상기 경로 제어부는 상기 데이터의 보안 등급이 높으면 상기 주기를 짧게 설정하고, 상기 데이터의 보안 등급이 낮으면 상기 주기를 길게 설정하는 경로 변경 주기 설정부를 포함할 수 있다.
상기 경로 제어부는 상기 복수의 스위칭 경로들의 전송 예상 속도를 계산하고, 상기 전송 예상 속도를 이용하여 상기 복수의 스위칭 경로들의 예상 패킷 전송 지연 시간을 계산하는 는 전송 속도 계산부를 더 포함할 수 있다.
상기 경로 제어부는 상기 복수의 스위칭 경로들의 예상 패킷 전송 지연 시간이 임계치 이하인 적어도 하나의 스위칭 경로 중에서 상기 데이터 전달 경로를 선택하는 경로 결정부를 더 포함할 수 있다.
상기 경로 결정부는 상기 일정 주기마다 이전 데이터 전달 경로의 전송 속도와의 차이가 임계치 이하인 전송 속도를 갖는 스위칭 경로 중에서 어느 하나를 선택하여 상기 데이터 전달 경로로 설정할 수 있다.
상기 경로 결정부는 상기 일정 주기마다 상기 이전 데이터 전달 경로와의 상관 계수(correlation coefficient)가 가장 작은 경로를 선택하여 상기 데이터 전달 경로로 설정할 수 있다.
본 발명의 한 실시예에 따른 전송 경로 정책에 따라 데이터를 전송하는 시스템은 적어도 하나의 프로세서에 의해 동작하고, 상기 데이터를 전송하는 출발 네트워크 장치, 적어도 하나의 프로세서에 의해 동작하고, 상기 데이터를 수신하는 목적 네트워크 장치, 그리고 상기 출발 네트워크 장치와 상기 목적 네트워크 장치를 연결하는 복수의 스위칭 경로를 탐색하고, 상기 복수의 스위칭 경로에서 일정 주기마다 임의 스위칭 경로를 선택하여 상기 데이터의 전달 경로로 설정하는 경로 제어 장치를 포함한다.
상기 경로 제어 장치는 상기 데이터의 보안 등급이 높으면 상기 주기를 짧게 설정하고, 상기 데이터의 보안 등급이 낮으면 상기 주기를 길게 설정할 수 있다.
상기 경로 제어 장치는 상기 복수의 스위칭 경로들의 예상 패킷 전송 지연 시간을 계산하고, 상기 예상 패킷 전송 지연 시간이 임계치 이하인 적어도 하나의 스위칭 경로 중에서 상기 데이터의 전달 경로로 설정할 수 있다.
상기 경로 제어 장치는 상기 일정 주기마다 이전 데이터 전달 경로의 전송 예상 속도와의 차이가 임계치 이하인 전송 예상 속도를 갖는 스위칭 경로 중에서 어느 하나를 선택하여 상기 데이터 전달 경로로 설정할 수 있다.
상기 출발 네트워크 장치, 그리고 상기 목적 네트워크 장치는 물리 장치에 생성되어 특정 기능을 수행하는 가상 머신일 수 있다.
상기 출발 네트워크 장치는 상기 데이터 패킷을 송수신하기 위한 적어도 하나의 NIC(Network Interface Card), 상기 데이터 패킷을 임시로 저장하는 버퍼, 상기 전송 경로 정책에 따라 상기 버퍼에 저장된 데이터 패킷을 전송하기 위한 전송 스케쥴을 제어하는 패킷 스케쥴러, 그리고 상기 전송 스케쥴에 따라 상기 데이터 패킷을 상기 NIC에 분배하는 패킷 분배기를 포함할 수 있다.
본 발명의 실시예에 따르면 중간에서 외부의 공격자가 일부 스위치를 점유하여 패킷을 도청하더라도 특정 사용자가 전송하는 전체 패킷을 모두 수집할 수 없기 때문에 사용자에게 향상된 보안 성능을 갖는 서비스 기능을 제공할 수 있다.
도 1은 본 발명의 한 실시예에 따른 경로 제어 장치를 제공하기 위한 네트워크 망 환경의 예시도이다.
도 2는 본 발명의 한 실시예에 따른 경로 제어 장치의 구성도이다.
도 3은 본 발명의 한 실시예에 따른 경로 제어 장치가 네트워크 망에서 스위칭 경로를 제어하는 방법의 흐름도이다.
도 4는 본 발명의 제2 실시예에 따른 경로 제어 장치를 제공하기 위한 네트워크 망 환경의 예시도이다.
도 5는 본 발명의 제2 실시예에 따른 경로 제어 장치를 제공하기 위한 네트워크 망 환경에서의 서버의 예시적 구성도이다.
도 6은 본 발명의 제3 실시예에 따른 경로 제어 장치를 제공하기 위한 네트워크 망 환경의 예시도이다.
도 7은 본 발명의 제3 실시예에 따른 경로 제어 장치를 제공하기 위한 네트워크 망 환경에서의 목적 서버의 예시적 구성도이다.
도 8은 본 발명의 한 실시예에 따른 경로 제어 장치의 하드웨어 블록도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.
본 명세서에서 단말(terminal)은, 이동국(Mobile Station, MS), 이동 단말(Mobile Terminal, MT), 가입자국(Subscriber Station, SS), 휴대 가입자국(Portable Subscriber Station, PSS), 사용자 장치(User Equipment, UE), 접근 단말(Access Terminal, AT) 등을 지칭할 수도 있고, 이동 단말, 가입자국, 휴대 가입자 국, 사용자 장치 등의 전부 또는 일부의 기능을 포함할 수도 있다.
이하, 도면을 참조로 하여 본 발명의 실시예에 따른 통신 서비스 제공 시스템 및 방법에 대해 설명한다.
도 1은 본 발명의 한 실시예에 따른 경로 제어 장치를 제공하기 위한 네트워크 망 환경의 예시도이다.
도 1을 참조하면, 서버(30)에서 단말(40)로 인터넷 서비스를 제공하기 위한
네트워크 구조는 제어기(Controller)(10), 그리고 복수의 스위치(20)를 포함할 수 있다.
제어기(10)는 SDN 제어기(10A), 그리고 NFV 제어기(10B)를 포함할 수 있다.
SDN 제어기(10A)는 SDN 시스템을 제어하는 컨트롤러로서, 네트워크에 분포하는 SDN 스위치와 연결될 수 있다. SDN 제어기(10A)는 네트워크에 배치되어 복수의 스위치(20)를 제어하고, 라우팅 경로를 제어할 수 있다. 즉, SDN 제어기(10A)는 하위 계층의 복수의 스위치(20)를 통해 전송되는 패킷의 플로우를 정의할 수 있다.
NFV 제어기(10B)는 기존 하드웨어로 구현된 Route, NAT, Firewall, IDS, IPS, DNS, Caching 등의 다양한 기능이 소프트웨어 형태로 구현된 가상 머신(Virtual Machine) 내의 어플라이언스(Appliances)를 제어할 수 있다.
특히, NFV 제어기(10B)는 가상 머신 내의 네트워크 인터페이스 카드(Network Interface Card, NIC)의 경로를 제어할 수 있다.
스위치(20)는 오픈 플로우 프로토콜을 지원하는 물리적인 스위치 또는 가상 스위치일 수 있다. 스위치(20)는 수신한 패킷을 처리하여, 서버(30)와 단말(40) 사이의 플로우를 중계할 수 있다. 이를 위해 스위치(20)는 하나의 플로우 테이블 또는 다중 플로우 테이블을 구비할 수 있다. 플로우 테이블은 서버(30)의 플로우를 어떻게 처리할지의 규칙을 정의한 플로우 엔트리를 포함할 수 있다.
서버(30)는 사용자 단말 장치와 데이터나 정보를 주고받거나, 또는 특정 기능을 수행하는 물리 장치 또는 가상 장치를 포함할 수 있다. 하드웨어 관점에서 서버(30)는 PC, 클라이언트 단말, 워크스테이션, 수퍼 컴퓨터 중 어느 하나를 포함할 수 있다. 또한 서버(30)는 물리 장치상에 생성된 가상 머신(Virtual Machine, VM)일 수 있다.
서버(30)는 적어도 하나 이상의 네트워크 인터페이스 카드(Network Interface Card, NIC)를 포함할 수 있는데, 본 실시예에서는 서버(30)는 네트워크 인터페이스 카드를 통해 하나의 스위치(SW1)와 연결될 수 있다.
서버(30)는 여러 가지 네트워크상의 기능을 수행할 수 있다. 네트워크 기능은 안티(anti) DDoS, 침입 감지/차단 (IDS/IPS), 통합 보안 서비스, 가상 사설망 서비스, 안티 바이러스, 안티 스팸, 보안 서비스, 접근관리 서비스, 방화벽, 로드 밸런싱, QoS, 비디오 최적화 등을 포함할 수 있다. 이러한 네트워크 기능은 가상화 될 수 있다.
단말(40)은 서버(30)와 데이터나 정보를 주고받을 수 있는 장치로서, 단말(40)은 적어도 하나의 네트워크 인터페이스 카드(Network Interface Card, NIC)를 포함하고, 단말(40)은 네트워크 인터페이스 카드를 통해 하나의 스위치(SW7)와 연결될 수 있다.
일반적인 네트워크 환경에서 제어기(10)는 패킷의 플로우를 정의할 때, 패킷 제공 경로 알고리즘으로 최단 경로를 이용한다. 이로 인하여 패킷의 이동 경로 파악을 쉽게 할 수 있어 통신 사업자와 사용자 간 주고받는 패킷 교환을 도청하는 스니핑(Sniffing) 공격에 취약한 문제점이 있다.
이에 본 실시예에 따른 경로 제어 장치(100)는 네트워크 장치에서 초기 접속시 정상적인 인증 수행 후에 가입자 IP 트래픽이 발생하면, 사용자의 IP 정보 및 프로 파일에 따라 출발지인 서버(30)와 연결된 스위치(SW1)에서 목적지인 단말(40)과 연결된 스위치(SW7)까지의 패킷 경로 및 경로 변경 주기를 설정하며, 경로 변경 주기에 따라 패킷 경로를 주기적으로 변경한다.
또 다른 실시예에 따른 경로 제어 장치(100)는 복수의 네트워크 인터페이스 카드를 구비하는 서버(30)의 네트워크 인터페이스 카드의 경로 및 경로 변경 주기를 설정하고, 경로 변경 주기에 따라 네트워크 인터페이스 카드의 경로를 주기적으로 변경할 수 있다.
복수의 스위치(20)는 경로 제어 장치(100)에서 정의된 패킷 경로 정책에 따라 패킷을 전송하고, 일정 주기마다 변경된 패킷 경로 정책을 기초로 변경된 경로를 통하여 패킷을 전송할 수 있다.
이하, 도 2를 참고하여 본 발명의 한 실시예에 따른 경로 제어 장치의 경로 제어 기능을 더욱 상세히 살펴본다.
도 2는 본 발명의 한 실시예에 따른 경로 제어 장치의 구성도이다.
본 발명의 한 실시예에 따른 경로 제어 장치(100)는 제어기(10) 외부에 별도로 설치되어 데이터 전송 경로를 설정하고, 설정한 데이터 전송 경로를 제어기(10)로 전송할 수 있다. 그러나 본 발명은 반드시 이에 한하는 것은 아니며, 다른 실시예에 따른 경로 제어 장치(100)는 제어기(10)의 내부에 설치되어 패킷의 경로 정책을 정의하고, 이를 이용하여 복수의 스위치(20)를 제어할 수도 있다.
도 2를 참고하면, 경로 제어 장치(100)는 트래픽 정보 수집부(110), 토폴로지 관리부(120), 그리고 경로 제어부(130)를 포함할 수 있다.
트래픽 정보 수집부(110)는 네트워크에 연결된 적어도 하나 이상의 노드로부터 각각 트래픽 정보를 수집할 수 있다. 이때, 트래픽 정보 수집부(110)는 오픈 플로우 프로토콜을 이용하여 적어도 하나 이상의 노드와 신호를 주고받을 수 있다. 이때, 수집된 정보는 Northbound API(Application Programming Interface) 등의 응용프로그램에 의해 복수의 노드의 트래픽 제어, 모니터링 및 분석에 사용될 수 있다. 예를 들어, 트래픽 정보 수집부(110) 는 복수의 노드 각각으로 트래픽 정보 요청을 전송하고, 트래픽 정보 요청에대한 응답을 복수의 노드 각각으로부터 수신할 수 있다.
토폴로지 관리부(120)는 네트워크에 연결된 적어도 하나의 노드로부터 수집된 스위치(20)의 접속 관계를 기초로 네트워크 토폴로지 정보를 구축하고 관리할 수 있다. 네트워크 토폴로지 정보는 스위치들 사이의 토폴로지 및 각 스위치에 연결되어 있는 네트워크 디바이스 토폴로지를 포함할 수 있다.
경로 제어부(130)는 토폴로지 관리부(120)에서 구축된 네트워크 토폴로지 정보를 기초로 데이터 전송 경로 및 데이터 전송 경로 상의 스위치를 실행시키는 액션 열을 정의할 수 있다.
스위치(20)는 경로 제어부(130)에서 설정된 패킷 전송 경로 정책에 따라 플로우 테이블을 생성 및 관리할 수 있다. 플로우 테이블은 네트워크 장치의 플로우를 어떻게 처리할지의 규칙을 정의한 플로우 엔트리를 포함할 수 있다. 플로우(flow)는 하나의 스위치 관점에서 적어도 하나의 헤더 필드의 값을 공유하는 일련의 패킷들 또는 다중 스위치의 여러 플로우 엔트리(flow entry)들의 조합에 따른 특정 경로의 패킷 흐름을 의미할 수 있다. 오픈플로우 네트워크는 플로우 단위로 경로 제어, 장애 회복, 부하 분산 및 최적화를 행할 수 있다.
본 실시예에 따른 경로 제어부(130)는 경로 탐색부(132), 전송 속도 계산부(134), 경로 결정부(136), 그리고 경로 변경 주기 설정부(138)를 포함할 수 있다.
경로 탐색부(132)는 토폴로지 관리부(120)에서 구축된 네트워크 토폴로지 정보를 기초로 출발 네트워크 장치, 목적 네트워크 장치, 그리고 출발 네트워크 장치와 목적 네트워크 장치 사이에 위치한 적어도 하나의 스위치를 포함하는 스위치 정보를 제공받고, 스위치 정보를 이용하여 데이터 패킷 전송 가능한 모든 스위칭 경로를 탐색할 수 있다.
전송 속도 계산부(134)는 경로 탐색부(132)에서 탐색한 각 스위칭 경로의 전송 예상 속도를 계산할 수 있다. 전송 속도 계산부(134)는 스위치(20)의 각 포트 별로 입력되는 패킷량과 출력되는 패킷량을 비교하여 시간의 변화에 따른 입출력 량을 계산한 통계 정보를 기초로 각 스위칭 경로의 전송 예상 속도를 계산할 수 있다.
이 외에도, 전송 속도 계산부(134)는 스위치의 CPU 사용률, 메모리 사용률, 처리 및 폐기 패킷 수 중 적어도 하나 이상의 정보를 이용하여 각 스위칭 경로의 전송 예상 속도를 계산할 수 있다.
경로 결정부(136)는 전송 속도 계산부(134)에서 계산한 전송 예상 속도를 기초로 데이터 패킷의 스위칭 경로를 결정할 수 있다. 본 실시예에서 경로 결정부(136)는 전송 속도 계산부(134)에서 계산한 전송 예상 속도를 기초로 각 스위칭 경로들의 예상 패킷 전송 지연 시간을 계산하고, 예상 패킷 전송 지연 시간이 임계치 이하인 스위칭 경로 중에서 어느 하나를 선택하여 데이터의 전달 경로로 설정할 수 있다.
이때, 경로 결정부(136)는 경로 변경 주기 설정부(138)가 설정한 일정 주기에 마다 복수의 스위칭 경로에서 임의 스위칭 경로를 선택하여 데이터의 전달 경로로 설정할 수 있다. 이때, 변경된 데이터 전달 경로는 이전 스위칭 경로와의 전송 예상 속도와의 차이가 소정의 임계치 이하인 전송 예상 속도를 갖는 스위칭 경로 중에서 선택할 수 있다. 또한, 경로 결정부(136)는 변경된 데이터 전달 경로는 이전 스위칭 경로와의 상관 계수가 적은 스위칭 경로를 선택함으로써, 데이터 전송 경로 변경에 따른 패킷 전송 지연 시간 차이를 줄일 수 있다.
경로 변경 주기 설정부(138)는 경로 결정부(136)가 경로를 변경하는 주기를 설정할 수 있다. 본 실시예에서 경로 변경 주기 설정부(138)는 전송할 데이터 패킷의 보안 등급, 데이터 종류, 데이터 크기, 그리고 사용자의 설정 중 어느 하나 이상에 따라 경로 변경 주기를 제어할 수 있다.
예컨대, 경로 변경 주기 설정부(138)는 전송할 데이터 패킷의 보안 등급이 높은 경우 전송 주기를 짧게 설정하고, 전송할 데이터 패킷의 보안 등급이 낮은 경우 전송 주기를 길게 설정할 수 있다.
이와 같이 본 발명의 한 실시예에 따른 경로 제어 장치는 데이터의 특성에 따른 데이터 전송 경로 변경 주기에 따라 데이터 전송 경로를 변경함으로써, 데이터 전송 경로를 분산할 수 있다. 이에 따라 중간에서 해커가 일부 스위치를 점유하여 패킷을 도청하더라도 특정 사용자가 전송하는 전체 패킷은 전부 노출되지 않기 때문에 데이터 전송의 보안성을 높일 수 있다.
이상에서 설명한 경로 제어 장치가 네트워크 망 환경에서 스위칭 경로를 제어하는 방법에 대해 도 3을 참조로 설명한다.
도 3은 본 발명의 한 실시예에 따른 경로 제어 장치가 네트워크 망에서 스위칭 경로를 제어하는 방법의 흐름도이다.
도 3을 참고하면, 경로 제어 장치(100)는 DPI 장치(200)로부터 트래픽 헤더 정보를 수집한다(S101).
DPI(Deep Packet Inspection) 장치(200)는 사용자 레벨 및 커널 레벨에서 소프트웨어의 실행을 기반으로 데이터 패킷을 분석하고 제어 처리하여 출력하는 단말로, 네트워크 장치 간 출입 및 인입되는 트래픽 헤더 정보를 모니터링 하고, 이를 경로 제어 장치(100)로 전송한다.
경로 제어 장치(100)는 트래픽 헤더 정보를 수신하고, 트래픽 헤더 정보에 포함된 트래픽 IP 정보를 이용하여 해당 서비스를 이용할 수 있는 정당한 가입자인지를 판단한다(S102).
이때, 경로 제어 장치(100)는 가입자 정보 서버(300)로부터 보안 서비스 가입자 IP 정보를 주기적으로 또는 비주기적으로 제공받아 내부 저장 장치에 저장할 수 있고, 저장된 가입자 IP 정보와 트래픽 IP 정보를 비교하여 해당 서비스를 이용할 수 있는 정당한 가입자인지 판단할 수 있다.
경로 제어 장치(100)는 트래픽 IP 정보를 기초로 해당 서비스를 이용할 수 있는 정당한 가입자인 것으로 판단하면 가입자 정보 서버(300)로 가입자 프로파일 정보를 요청(S103)하며, 가입자 정보 서버(300)는 이에 응답하여 가입자 프로 파일 정보를 경로 제어 장치(100)로 제공한다(S104).
가입자 프로 파일 정보는 가입자의 식별, 관리, 그리고 보안 목적의 수단으로 생성되는 가입자 계정을 구성하는 레코드로, 가입자가 갖는 자원 접근 허가 사항, 접근 제한 사항, 단말의 종류, 그리고 단말의 네트워크 접속 환경 중 어느 하나 이상의 정보를 포함할 수 있다.
경로 제어 장치(100)는 출발 네트워크 장치와 목적 네트워크 장치를 연결하는 복수의 스위칭 경로를 탐색한다(S105).
이때, 경로 제어 장치(100)는 출발 네트워크 장치, 목적 네트워크 장치, 그리고 출발 네트워크 장치와 목적 네트워크 장치 사이에 위치한 적어도 하나의 스위치를 포함하는 스위치 정보를 이용하여 출발 네트워크 장치와 목적 네트워크 장치를 연결하는 복수의 스위칭 경로를 탐색할 수 있다.
이때, 경로 제어 장치는 트래픽 헤더 정보를 기초로 출발 네트워크 장치와 목적 네트워크 장치를 파악할 수 있다. 그리고 경로 제어 장치(100)는 가입자 프로파일 정보를 이용하여 토폴로지 관리부(120)에 구축된 네트워크 토폴로지 정보를 이용하여 스위치 정보를 파악할 수 있다.
그리고 경로 제어 장치(100)는 일정 주기마다 복수의 스위칭 경로에서 임의 스위칭 경로를 선택하여 데이터 패킷의 전달 경로로 설정할 수 있다(S106).
경로 제어 장치(100)는 복수의 스위칭 경로의 전송 예상 속도를 계산하고, 계산한 전송 예상 속도를 기초로 복수의 스위칭 경로 중 어느 하나의 스위칭 경로를 선택할 수 있다.
이때, 경로 제어 장치(100)는 스위치(20)로 입력되는 패킷량과 출력되는 패킷량을 비교하여 시간의 변화에 따른 입출력량을 계산한 통계 정보를 기초로 각 스위칭 경로의 전송 예상 속도를 계산할 수 있다.
또한, 경로 제어 장치(100)는 계산한 전송 예상 속도를 기초로 각 스위칭 경로들의 예상 패킷 전송 지연 시간을 계산하고, 예상 패킷 전송 지연 시간이 임계치 이하인 스위칭 경로 중에서 어느 하나의 스위칭 경로를 선택하여 데이터의 전달 경로로 설정할 수 있다.
그리고 경로 제어 장치(100)는 일정 주기마다 스위칭 경로를 선택하여 변경된 데이터 전달 경로를 설정할 수 있다. 일정 주기는 전송할 데이터 패킷의 보안 등급, 데이터 종류, 데이터 크기, 그리고 사용자의 설정 중 어느 하나 이상에 따라 변경될 수 있다.
경로 제어 장치(100)는 이전 데이터 전달 경로의 전송 예상 속도 차이가 임계치 이하인 스위칭 경로 중에서 어느 하나를 데이터 전달 경로로 설정할 수 있고, 본 실시예에서는 이전 데이터 전달 경로와 상관 계수(correlation coefficient)가 가장 작은 값을 갖는 스위칭 경로를 데이터 전달 경로로 설정할 수 있다.
경로 제어 장치(100)는 설정한 데이터 전송 경로를 제어기(10)로 전달한다(S107). 제어기(10)는 경로 제어 장치(100)에서 설정된 데이터 전송 경로에 따라 제어기(10)와 연결된 복수의 스위치(20)의 플로우 테이블을 변경함으로써 데이터 패킷 전송 경로를 제어할 수 있다.
이와 같이 본 발명의 한 실시예에 따른 보안 통신 방법은 경로 제어 장치(100)는 일정 주기마다 데이터 전송 경로를 변경함으로써, 하나의 스위치에 전체 데이터 패킷을 노출하지 않을 수 있어 보안성을 향상할 수 있다.
그리고 경로 제어 장치(100)는 전송 속도 차이가 적은 스위칭 경로, 그리고 변경 전의 데이터 전송 경로의 상관관계가 적은 전송 경로로 선택함으로써 수신 단의 버퍼의 부하를 줄이고 원활한 네트워크 서비스를 제공할 수 있도록 한다.
도 4는 본 발명의 제2 실시예에 따른 경로 제어 장치를 제공하기 위한 네트워크 망 환경의 예시도이다.
도 4를 참조하면, 서버(30A)에서 단말(40)로 인터넷 서비스를 제공하기 위한 네트워크 구조는 제어기(10), 그리고 복수의 스위치(20)를 포함할 수 있다.
제어기(10)는 SDN 제어기(10A), 그리고 NFV 제어기(10B)를 포함할 수 있다. SDN 제어기(10A), 그리고 NFV 제어기(10B)는 네트워크에 배치되어 서버(30A), 그리고 스위치(20)를 제어하고, 라우팅 경로를 제어할 수 있다. 즉, 제어기(10)는 하위 계층의 서버(30A), 그리고 복수의 스위치(20)를 통해 전송되는 패킷의 플로우를 정의할 수 있다.
스위치(20)는 오픈 플로우 프로토콜을 지원하는 물리적인 스위치 또는 가상 스위치일 수 있다. 스위치(20)는 수신한 패킷을 처리하여, 서버(30A)와 단말(40) 사이의 플로우를 중계할 수 있다. 이를 위해 스위치(20)는 하나의 플로우 테이블 또는 다중 플로우 테이블을 구비할 수 있다. 플로우 테이블은 서버(30 A)의 플로우를 어떻게 처리할지의 규칙을 정의한 플로우 엔트리를 포함할 수 있다.
서버(30A)는 사용자 단말 장치와 데이터나 정보를 주고받거나, 또는 특정 기능을 수행하는 가상 장치에 형성된 클라우드 서버일 수 있다. 본 실시예에서 서버(30A)는 데이터를 송수신하기 위한 NIC(Network Interface Card)를 복수 개 포함할 수 있다. 이때 각 네트워크 인터페이스 카드(NIC1, NIC2)는 각각 서로 다른 스위치(SW1, SW2)에 연결될 수 있다.
단말(40)은 서버(30A)와 데이터나 정보를 주고받을 수 있는 장치로서, 단말(40)은 적어도 하나의 네트워크 인터페이스 카드(Network Interface Card, NIC)를 포함하고, 단말(40)은 네트워크 인터페이스 카드를 통해 하나의 스위치(SW7)와 연결될 수 있다.
경로 제어 장치(100)는 서버(30), 그리고 단말(40)의 네트워크 접속 환경 정보를 포함하는 가입자 프로파일을 수집하고, 가입자 프로파일 정보 및 노드로부터 수집된 스위치(20)의 접속 관계를 기초로 네트워크 토폴로지 정보를 구축하고 관리할 수 있다.
경로 제어 장치(100)는 구축된 네트워크 토폴로지 정보를 기초로 서버(30A)와 단말(40)을 연결하는 복수의 스위칭 경로를 탐색한다.
이때, 스위칭 경로는 서버(30A)와 연결된 스위치 중에서 데이터를 전송하기 위한 출발 스위치 정보, 그리고 출발 스위치로부터 목적 스위치까지의 스위칭 경로를 포함할 수 있다.
경로 제어 장치(100)는 복수의 스위칭 경로 중에서 임의의 스위칭 경로를 선택하여 데이터 전송 경로로 설정할 수 있고, 일정 주기마다 이전 스위칭 경로와 다른 스위칭 경로를 선택함으로써, 데이터 전송 경로를 변경할 수 있다.
경로 제어 장치(100)는 SDN 제어기(10A), 그리고 NFV 제어기(10B)로 출발 스위치 정보 및 스위칭 경로를 전송한다. SDN 제어기(10A)는 수신한 스위칭 경로에 따라 복수의 스위치(20)의 패킷 경로를 제어하고, NFV 제어기(10B)는 서버(30A) 내의 복수의 네트워크 인터페이스 카드 중 어느 하나의 네트워크 인터페이스 카드를 이용하여 패킷을 송수신할 수 있다.
서버(30A), 그리고 복수의 스위치(20)는 경로 제어 장치(100)에서 설정된 데이터 전송 경로에 따라 데이터 패킷을 전송하고, 일정 주기마다 변경된 데이터 전송 경로를 통하여 데이터 패킷을 전송할 수 있다.
이와 같이 본 발명의 제2 실시예에 따른 경로 제어 장치는 일정 주기마다 가상 서버와 연결된 스위치 중에서 데이터를 전송하기 위한 출발 스위치를 선택하고, 출발 스위치와 목적 스위치를 연결하는 스위칭 경로 중에서 어느 하나의 스위칭 경로를 선택하여 데이터 설정 경로로 설정할 수 있다.
이에 따라 중간에서 해커가 일부 스위치를 점유하여 패킷을 도청하더라도 특정 사용자가 전송하는 전체 패킷은 전부 노출되지 않기 때문에 데이터 전송의 보안을 높일 수 있다.
도 5는 본 발명의 제2 실시예에 따른 경로 제어 장치를 제공하기 위한 네트워크 망 환경에서의 서버의 예시적 구성도이다.
도 5를 참고하면, 본 발명의 다른 실시예에 따른 경로 제어 장치를 제공하기 위한 네트워크 망 환경에서의 서버는 데이터를 송신하기 위한 복수의 NIC(Network Interface Card), 버퍼(31), 패킷 스케쥴러(32), 그리고 패킷 분배기(33)를 포함한다.
버퍼(31)는 네트워크 장치의 여러 가지 네트워크 상의 기능을 수행하는 네트워크 기능(network function)을 수행하기 위하여 송수신하는 데이터 패킷을 임시로 저장할 수 있다.
패킷 스케쥴러(32)는 경로 제어 장치(100)가 설정한 패킷 전송 경로 정책에 따라 버퍼(31)에 저장된 데이터 패킷을 전송하기 위한 스케쥴을 제어할 수 있다.
예컨대 패킷 스케쥴러(324)는 경로 제어 장치(100)에서 설정된 데이터 전송 경로에 따라 데이터 패킷의 전송 순서를 결정하고, NIC 채널 상태에 따라 전송할 데이터의 크기 및 변조 및 코딩 방법을 결정할 수 있다. 또한, 패킷 스케쥴러(32)는 패킷 전송 경로 정책에 따라 프레임별 송신할 데이터의 크기를 관리할 수도 있다.
패킷 분배기(33)는 패킷 스케쥴러(32)에서 결정한 전송 스케쥴에 따라 데이터 패킷을 적어도 하나의 NIC에 분배할 수 있다.
도 6은 본 발명의 제3 실시예에 따른 경로 제어 장치를 제공하기 위한 네트워크 망 환경의 예시도이다.
도 6을 참고하면, 서버(30B)에서 서버(30C)로 데이터를 전송하기 위한 네트워크 구조는 제어기(10), 그리고 복수의 스위치(20)를 포함할 수 있다.
제어기(10)는 SDN 제어기(10A), 그리고 NFV 제어기(10B)를 포함할 수 있다. SDN 제어기(10A), 그리고 NFV 제어기(10B)는 네트워크에 배치되어 서버(30B), 그리고 스위치(20)를 제어하고, 라우팅 경로를 제어할 수 있다. 즉, 제어기(10)는 하위 계층의 서버(30B), 그리고 복수의 스위치(20)를 통해 전송되는 패킷의 플로우를 정의할 수 있다.
스위치(20)는 오픈플로우 프로토콜을 지원하는 물리적인 스위치 또는 가상 스위치일 수 있다. 스위치(20)는 수신한 패킷을 처리하여, 서버(30B)와 단말(40) 사이의 플로우를 중계할 수 있다. 이를 위해 스위치(20)는 하나의 플로우 테이블 또는 다중 플로우 테이블을 구비할 수 있다. 플로우 테이블은 서버(30B)의 플로우를 어떻게 처리할지의 규칙을 정의한 플로우 엔트리를 포함할 수 있다.
서버(30B)는 사용자 단말 장치와 데이터나 정보를 주고 받거나, 또는 특정 기능을 수행하는 물리 장치 또는 가상 장치를 포함할 수 있다. 본 실시예에서 데이터를 송신하는 출발 서버(30B)는 데이터를 전송하기 위한 적어도 하나의 NIC를 포함하고, 이때 출발 서버(30B)는 하나의 스위치(SW1)에 연결될 수 있다. 그리고 데이터를 수신하는 목적 서버(30C)는 데이터를 수신하기 위한 복수의 NIC를 포함하고, 이때 목적 서버(30B)는 각 NIC 가 복수의 스위치(SW6, SW7)에 연결될 수 있다.
경로 제어 장치(100)는 출발 서버(30B), 그리고 도착 서버(30C)의 네트워크 접속 환경 정보를 포함하는 가입자 프로파일을 수집하고, 가입자 프로파일 정보 및 노드로부터 수집된 스위치(20)의 접속 관계를 기초로 네트워크 토폴로지 정보를 구축하고 관리할 수 있다.
경로 제어 장치(100)는 구축된 네트워크 토폴로지 정보를 기초로 출발 서버(30B)와 도착 서버(30C)를 연결하는 복수의 스위칭 경로를 탐색한다.
이때, 스위칭 경로는 목적 서버(30B)와 연결된 스위치 중에서 데이터를 전송하기 위한 목적 스위치 정보, 그리고 출발 스위치로부터 목적 스위치까지의 스위칭 경로를 포함할 수 있다.
경로 제어 장치(100)는 복수의 스위칭 경로 중에서 임의의 스위칭 경로를 선택하여 데이터 전송 경로로 설정할 수 있고, 일정 주기마다 이전 스위칭 경로와 다른 스위칭 경로를 선택함으로써, 데이터 전송 경로를 변경할 수 있다.
경로 제어 장치(100)는 SDN 제어기(10A), 그리고 NFV 제어기(10B)로 목적 스위치 정보 및 스위칭 경로를 전송할 수 있다. SDN 제어기(10A)는 수신한 스위칭 경로에 따라 복수의 스위치(20)의 패킷 경로를 제어하고, NFV 제어기(10B)는 서버(30B) 내의 복수의 네트워크 인터페이스 카드 중 어느 하나의 네트워크 인터페이스 카드를 이용하여 패킷을 송수신할 수 있다.
서버(30B), 그리고 복수의 스위치(20)는 경로 제어 장치(100)에서 설정된 데이터 전송 경로에 따라 데이터 패킷을 전송하고, 일정 주기마다 변경된 데이터 전송 경로를 통하여 데이터 패킷을 전송할 수 있다.
이와 같이 본 발명의 제3 실시예에 따른 경로 제어 장치는 일정 주기마다 가상 서버와 연결된 스위치 중에서 데이터를 수신하기 위한 목적 스위치를 선택하고, 출발 스위치와 목적 스위치를 연결하는 스위칭 경로 중에서 어느 하나의 스위칭 경로를 선택하여 데이터 설정 경로로 설정할 수 있다.
이에 따라 중간에서 해커가 일부 스위치를 점유하여 패킷을 도청하더라도 특정 사용자가 전송하는 전체 패킷은 전부 노출되지 않기 때문에 데이터 전송의 보안성을 높일 수 있다.
도 7은 본 발명의 제3 실시예에 따른 경로 제어 장치를 제공하기 위한 네트워크 망 환경에서의 목적 서버의 예시적 구성도이다.
도 7을 참고하면, 본 발명의 제3 실시예에 따른 경로 제어 장치를 제공하기 위한 네트워크 망 환경에서의 목적 서버는 데이터를 수신하기 위한 복수의 NIC(Network Interface Card), 버퍼(34), 패킷 분류기(35), 그리고 패킷 저장부(36)를 포함한다.
버퍼(34)는 네트워크 장치의 여러 가지 네트워크 상의 기능을 수행하는 네트워크 기능(network function)을 수행하기 위하여 송수신하는 데이터 패킷을 임시로 저장할 수 있다.
패킷 분류기(35)는 버퍼(34)에 저장된 데이터 패킷의 헤더 정보로부터 검색된 패킷 분류 규칙을 적용하여 데이터 패킷을 분류할 수 있다. 예컨대, 서로 다른 전송 경로를 통해 순차적으로 수신되지 않은 데이터 패킷을 시퀀스(Sequence)정보 등을 이용하여 데이터 패킷을 정렬할 수 있다.
패킷 저장부(36)는 패킷 분류기(35)에 의해 순차적으로 분류된 패킷을 저장할 수 있다.
도 8은 본 발명의 한 실시예에 따른 경로 제어 장치의 하드웨어 블록도이다.
도 8을 참고하면, 본 발명의 한 실시예에 따른 경로 제어 장치(100)는 프로세서(101), 메모리 장치(102), 저장 장치(103), 그리고 통신 장치(104) 등을 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합하여 실행되는 프로그램이 저장된다.
프로세서(101)는 메모리 장치(102). 저장 장치(103) 그리고 통신 장치(104)와 통신하고, 이들을 제어한다. 프로세서(101)는 메모리 장치(102)에 저장된 프로그램을 로드하여 저장 장치(103)에 필요한 데이터를 읽고 쓰면서 통신 장치(104)를 통해 연결되는 단말이 통신 서비스를 제공받도록 할 수 있다.
메모리 장치(102)는 프로세서(101)의 동작에 필요한 각종 정보를 저장하는 하드웨어이다. 메모리 장치(102)는 프로세서(101)의 구동을 위한 운영 체제(OS), 그리고 본 발명에서 설명하는 경로 제어 장치(100)의 각종 동작을 위한 프로그램을 저장할 수 있다.
통신 장치(104)는 외부 장치와의 물리적 연결을 위한 하드웨어이다. 본 실시예에서 통신 장치(104)는 데이터 패킷 경로를 설정하기 위하여 DPI 장치(200), 가입자 정보 서버(300) 그리고 제어기(10)를 포함하는 각종 장치와 연동하는 유/무선 통신 인터페이스를 포함할 수 있다.
이와 같이 본 발명의 한 실시예에 따른 경로 제어 장치 및 이를 이용한 데이터 패킷 경로 설정 방법은 데이터의 특성에 따라 데이터의 전송 경로 변경 주기를 설정하고, 전송 경로 변경 주기에 따라 데이터 패킷의 전송 경로를 변경함으로써, 데이터 전송의 보안성을 높일 수 있다.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구 범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리 범위에 속하는 것이다.

Claims (19)

  1. 경로 제어 장치가 스위칭 망에서 데이터의 전달 경로를 설정하는 방법으로서,
    상기 데이터의 출발 네트워크 장치, 상기 데이터의 목적 네트워크 장치, 그리고 상기 출발 네트워크 장치와 상기 목적 네트워크 장치 사이에 위치한 적어도 하나 이상의 스위치를 포함하는 스위치 정보를 제공받는 단계,
    상기 스위치 정보를 이용하여 상기 출발 네트워크 장치와 상기 목적 네트워크 장치를 연결하는 복수의 스위칭 경로를 탐색하는 단계, 그리고
    상기 복수의 스위칭 경로에서 일정 주기마다 임의 스위칭 경로를 선택하여 상기 데이터의 전달 경로로 설정하는 단계를 포함하는 데이터 전달 경로 설정 방법.
  2. 제1항에서,
    상기 주기는
    상기 데이터의 보안 등급에 따라 설정되는 데이터 전달 경로 설정 방법.
  3. 제2항에서,
    상기 주기는
    상기 데이터의 보안 등급이 높으면 짧게 설정되고,
    상기 데이터의 보안 등급이 낮으면 길게 설정되는 데이터 전달 경로 설정 방법.
  4. 제3항에서,
    상기 경로 정책을 제공하는 단계는
    상기 복수의 스위칭 경로들의 전송 예상 속도를 계산하는 단계, 그리고,
    상기 전송 예상 속도를 이용하여 상기 복수의 스위칭 경로들의 예상 패킷 전송 지연 시간을 계산하는 단계를 더 포함하며,
    상기 데이터의 전달 경로는
    상기 예상 패킷 전송 지연 시간이 임계치 이하인 적어도 하나의 스위칭 경로 중에서 선택된 경로인 데이터 전달 경로 설정 방법.
  5. 제4항에서,
    상기 데이터 전달 경로를 설정하는 단계는
    상기 일정 주기마다 이전 데이터 전달 경로의 전송 예상 속도와의 차이가 임계치 이하인 전송 예상 속도를 갖는 스위칭 경로 중에서 어느 하나를 선택하여 상기 데이터 전달 경로로 설정하는 데이터 전달 경로 설정 방법.
  6. 제5항에서,
    상기 데이터 전달 경로를 설정하는 단계는
    상기 일정 주기마다 상기 이전 데이터 전달 경로와의 상관 계수(correlation coefficient)가 가장 작은 경로를 선택하여 상기 데이터 전달 경로로 설정하는 데이터 전달 경로 설정 방법.
  7. 네트워크 장치가 연결된 적어도 하나 이상의 노드로부터 스위치 정보를 수집하는 스위치 정보 관리부,
    그리고 상기 스위치 정보에 따라 데이터 전달 경로를 설정하는 경로 제어부를 포함하고,
    상기 경로 제어부는 데이터의 출발 네트워크 장치와 상기 데이터의 목적 네트워크 장치를 연결하는 복수의 스위칭 경로를 탐색하고, 상기 복수의 스위칭 경로에서 일정 주기마다 임의 스위칭 경로를 선택하여 상기 데이터 전달 경로로 설정하는 경로 제어 장치.
  8. 제7항에서,
    상기 주기는
    상기 데이터의 보안 등급에 따라 설정되는 경로 제어 장치.
  9. 제8항에서,
    상기 경로 제어부는
    상기 데이터의 보안 등급이 높으면 상기 주기를 짧게 설정하고,
    상기 데이터의 보안 등급이 낮으면 상기 주기를 길게 설정하는 경로 변경 주기 설정부를 포함하는 경로 제어 장치.
  10. 제9항에서,
    상기 경로 제어부는
    상기 복수의 스위칭 경로들의 전송 예상 속도를 계산하고, 상기 전송 예상 속도를 이용하여 상기 복수의 스위칭 경로들의 예상 패킷 전송 지연 시간을 계산하는 는 전송 속도 계산부를 더 포함하는 경로 제어 장치.
  11. 제10항에서,
    상기 경로 제어부는
    상기 복수의 스위칭 경로들의 예상 패킷 전송 지연 시간이 임계치 이하인 적어도 하나의 스위칭 경로 중에서 상기 데이터 전달 경로를 선택하는 경로 결정부를 더 포함하는 경로 제어 장치.
  12. 제11항에서,
    상기 경로 결정부는
    상기 일정 주기마다 이전 데이터 전달 경로의 전송 속도와의 차이가 임계치 이하인 전송 속도를 갖는 스위칭 경로 중에서 어느 하나를 선택하여 상기 데이터 전달 경로로 설정하는 경로 제어 장치.
  13. 제12항에서,
    상기 경로 결정부는
    상기 일정 주기마다 상기 이전 데이터 전달 경로와의 상관 계수(correlation coefficient)가 가장 작은 경로를 선택하여 상기 데이터 전달 경로로 설정하는 경로 제어 장치.
  14. 전송 경로 정책에 따라 데이터를 전송하는 시스템으로서,
    적어도 하나의 프로세서에 의해 동작하고, 상기 데이터를 전송하는 출발 네트워크 장치,
    적어도 하나의 프로세서에 의해 동작하고, 상기 데이터를 수신하는 목적 네트워크 장치, 그리고
    상기 출발 네트워크 장치와 상기 목적 네트워크 장치를 연결하는 복수의 스위칭 경로를 탐색하고, 상기 복수의 스위칭 경로에서 일정 주기마다 임의 스위칭 경로를 선택하여 상기 데이터의 전달 경로로 설정하는 경로 제어 장치를 포함하는 데이터 전송 시스템.
  15. 제14항에서,
    상기 경로 제어 장치는
    상기 데이터의 보안 등급이 높으면 상기 주기를 짧게 설정하고,
    상기 데이터의 보안 등급이 낮으면 상기 주기를 길게 설정하는 데이터 전송 시스템.
  16. 제15항에서,
    상기 경로 제어 장치는
    상기 복수의 스위칭 경로들의 예상 패킷 전송 지연 시간을 계산하고, 상기 예상 패킷 전송 지연 시간이 임계치 이하인 적어도 하나의 스위칭 경로 중에서 상기 데이터의 전달 경로로 설정하는 데이터 전송 시스템.
  17. 제16항에서,
    상기 경로 제어 장치는
    상기 일정 주기마다 이전 데이터 전달 경로의 전송 예상 속도와의 차이가 임계치 이하인 전송 예상 속도를 갖는 스위칭 경로 중에서 어느 하나를 선택하여 상기 데이터 전달 경로로 설정하는 데이터 전송 시스템.
  18. 제14항에서,
    상기 출발 네트워크 장치, 그리고 상기 목적 네트워크 장치는
    물리 장치상에 생성되어 특정 기능을 수행하는 가상 머신인 데이터 전송 시스템.
  19. 제18항에서,
    상기 출발 네트워크 장치는
    상기 데이터 패킷을 송수신하기 위한 적어도 하나의 NIC(Network Interface Card),
    상기 데이터 패킷을 임시로 저장하는 버퍼,
    상기 전송 경로 정책에 따라 상기 버퍼에 저장된 데이터 패킷을 전송하기 위한 전송 스케쥴을 제어하는 패킷 스케쥴러, 그리고
    상기 전송 스케쥴에 따라 상기 데이터 패킷을 상기 NIC에 분배하는 패킷 분배기를 포함하는 데이터 전송 시스템.
KR1020160099629A 2016-08-04 2016-08-04 스위칭 망에서의 데이터 패킷 전송 경로 제어 장치, 및 이를 이용한 보안 통신 방법 KR20180015959A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160099629A KR20180015959A (ko) 2016-08-04 2016-08-04 스위칭 망에서의 데이터 패킷 전송 경로 제어 장치, 및 이를 이용한 보안 통신 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160099629A KR20180015959A (ko) 2016-08-04 2016-08-04 스위칭 망에서의 데이터 패킷 전송 경로 제어 장치, 및 이를 이용한 보안 통신 방법

Publications (1)

Publication Number Publication Date
KR20180015959A true KR20180015959A (ko) 2018-02-14

Family

ID=61229664

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160099629A KR20180015959A (ko) 2016-08-04 2016-08-04 스위칭 망에서의 데이터 패킷 전송 경로 제어 장치, 및 이를 이용한 보안 통신 방법

Country Status (1)

Country Link
KR (1) KR20180015959A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109240174A (zh) * 2018-10-30 2019-01-18 南宁学院 一种多路控制器可选的控制系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109240174A (zh) * 2018-10-30 2019-01-18 南宁学院 一种多路控制器可选的控制系统

Similar Documents

Publication Publication Date Title
JP5880560B2 (ja) 通信システム、転送ノード、受信パケット処理方法およびプログラム
KR101917062B1 (ko) 소프트웨어 정의 네트워크에서 링크 플러딩 공격을 완화하기 위한 허니넷 방법, 시스템 및 컴퓨터 프로그램
US9288162B2 (en) Adaptive infrastructure for distributed virtual switch
KR102536676B1 (ko) 패킷 처리 방법 및 장치, 및 관련 디바이스들
US9654395B2 (en) SDN-based service chaining system
EP2544417B1 (en) Communication system, path control apparatus, packet forwarding apparatus and path control method
US11283831B2 (en) Dynamic device isolation in a network
WO2017025021A1 (zh) 一种处理流表的方法及装置
Cui et al. PLAN: Joint policy-and network-aware VM management for cloud data centers
US20130148537A1 (en) Communication quality monitoring system, communication quality monitoring method and recording medium
JP6834768B2 (ja) 攻撃検知方法、攻撃検知プログラムおよび中継装置
Huang et al. Traffic scheduling for deep packet inspection in software‐defined networks
JP6422677B2 (ja) ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法
KR101527377B1 (ko) Sdn 기반의 서비스 체이닝 시스템
KR101746105B1 (ko) 서비스 체이닝이 가능한 오픈플로우 스위치
JP2011159247A (ja) ネットワークシステム、コントローラ、ネットワーク制御方法
JP5870995B2 (ja) 通信システム、制御装置、計算機、ノードの制御方法およびプログラム
JPWO2012081721A1 (ja) 通信システム、ノード、パケット転送方法およびプログラム
KR20180015959A (ko) 스위칭 망에서의 데이터 패킷 전송 경로 제어 장치, 및 이를 이용한 보안 통신 방법
Urayama et al. Virtual network construction with K‐shortest path algorithm and optimization problems for robust physical networks
KR101707073B1 (ko) Sdn 기반의 에러 탐색 네트워크 시스템
KR20170006950A (ko) Sdn 기반의 네트워크 플랫트닝 시스템 및 그 방법
KR101739100B1 (ko) 서비스 체이닝 가능한 오픈플로우 스위치 제어 방법 및 그 제어기
KR101739097B1 (ko) 오픈플로우 스위치의 서비스 체이닝 방법
Xu et al. SAFE-ME: scalable and flexible policy enforcement in middlebox networks