KR20180046476A - Apparatus and method for controlling access based on software defined perimeter - Google Patents

Apparatus and method for controlling access based on software defined perimeter Download PDF

Info

Publication number
KR20180046476A
KR20180046476A KR1020160141640A KR20160141640A KR20180046476A KR 20180046476 A KR20180046476 A KR 20180046476A KR 1020160141640 A KR1020160141640 A KR 1020160141640A KR 20160141640 A KR20160141640 A KR 20160141640A KR 20180046476 A KR20180046476 A KR 20180046476A
Authority
KR
South Korea
Prior art keywords
service
policy
sdp
service providing
request
Prior art date
Application number
KR1020160141640A
Other languages
Korean (ko)
Other versions
KR102400471B1 (en
Inventor
김동현
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020160141640A priority Critical patent/KR102400471B1/en
Publication of KR20180046476A publication Critical patent/KR20180046476A/en
Application granted granted Critical
Publication of KR102400471B1 publication Critical patent/KR102400471B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A system for controlling access based on a software defined perimeter (SDP) according to an embodiment of the present invention includes: a service requesting device for transmitting a request for a network service to an SDP-based access control device; the SDP-based access control device for determining a policy on access to be applied to a service providing device for providing a network service based on pre-stored policy information, and transmitting the determined policy to the service providing device; and the service providing device which is implemented by a software defined infrastructure (SDI) system and provides the network service to the service requesting device according to the transmitted policy. Security can be improved.

Description

SDP 기반의 접속 제어 장치 및 방법{APPARATUS AND METHOD FOR CONTROLLING ACCESS BASED ON SOFTWARE DEFINED PERIMETER}BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention relates to an access control apparatus,

본 발명은 SDP 기반의 접속 제어 장치 및 방법에 관한 것으로서, 보다 자세하게는 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템에 의하여 생성된 서비스 제공 장치에 대한 가시성을 접근 권한이 있는 서비스 요청 장치에만 허용하는 SDP 기반의 접속 제어 장치 및 방법에 관한 것이다.The present invention relates to an SDP-based access control apparatus and method, and more particularly, to an SDP-based access control apparatus and method that permits only a service request apparatus having an access authority to visibility of a service provision apparatus created by a Software Defined Infrastructure (SDI) system SDP-based access control apparatus and method.

NFV (Network Function Virtualization) 란 네트워크 장비의 기능을 수행하는 네트워크 노드를 클라우드 (Cloud) 기반의 가상화된 공간에서 구현하여 네트워크 노드의 기능을 구동시키는 기술이다. 예컨대, EPS(Evolved Packet System)/LTE(Long Term Evolution) 시스템의 경우라면 MME(Mobility Management Entity), SGW(Serving Gateway), PGW(Packet Data Network Gateway) 등을 가상화된 공간 상에서 구현될 수 있다. Network Function Virtualization (NFV) is a technology that drives network node functions by implementing network nodes functioning as network devices in virtualized space based on cloud. For example, in the case of an EPS (Evolved Packet System) / LTE (Long Term Evolution) system, a Mobility Management Entity (MME), a Serving Gateway (SGW), a Packet Data Network Gateway (PGW)

이러한 소프트웨어 정의 인프라 (SDI) 를 NFV 기반의 이동통신 서비스 시스템에 접목하면 각종 네트워크 노드 및 IT 서비스 노드들을 가상화 할 수 있으며, 그에 따라 이동통신 서비스 시스템의 유연성 및 민첩성이 향상될 수 있다.By combining such software defined infrastructure (SDI) with NFV based mobile communication service system, various network nodes and IT service nodes can be virtualized, thereby improving the flexibility and agility of the mobile communication service system.

그러나 가상화된 공간에서 인프라가 분산되고 네트워크 기능이 동적으로 구성됨에 따라 보안 취약점이 증가한다. 예를 들어, 네트워크 서비스를 제공하는 가상화된 네트워크 노드(이하, 서비스 제공 장치라고 지칭)에 대해 서비스 요청 장치가 네트워크 서비스를 요청하는 경우, 해당 서비스 제공 장치에 대한 접근은 아이디 및 패스워드 등의 서비스 접속 크리덴셜(Credential)과 보안 요소들에 의하여 통제된다. 이때 서비스 제공 장치는 서비스 요청 장치들에 대하여 가시적이기 때문에, 서비스 접속 크리덴셜(Credential)이 노출되기만 하면 악의의 서비스 요청 장치라도 서비스 제공 장치로의 접근이 허용된다는 문제점이 있다. However, security vulnerabilities increase as the infrastructure is distributed and virtualized in a virtualized space. For example, when a service requesting device requests a network service for a virtualized network node (hereinafter, referred to as a service providing device) that provides a network service, the access to the service providing device may include a service connection such as an ID and a password It is controlled by credentials and security factors. At this time, since the service providing apparatus is visible to the service requesting apparatuses, only a malicious service requesting apparatus is allowed to access the service providing apparatus if the service access credentials are exposed.

본 발명의 실시예에서 해결하고자 하는 과제는 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템에 의하여 생성된 서비스 제공 장치에 대한 서비스 요청 장치들의 접근을 제한하여 보안성을 향상시키는 기술을 제공하는 것이다. A problem to be solved by an embodiment of the present invention is to provide a technology for improving security by restricting access of service requesting devices to a service providing device created by a software defined infrastructure (SDI) system.

다만, 본 발명의 실시예가 이루고자 하는 기술적 과제는 이상에서 언급한 과제로 제한되지 않으며, 이하에서 설명할 내용으로부터 통상의 기술자에게 자명한 범위 내에서 다양한 기술적 과제가 도출될 수 있다.It is to be understood that both the foregoing general description and the following detailed description are exemplary and explanatory and are intended to provide further explanation of the invention as claimed.

일 실시예에 따른 SDP 기반 접속 제어 시스템은 네트워크 서비스에 대한 요청을 SDP 기반 접속 제어 장치로 송신하는 서비스 요청 장치와, 상기 요청을 수신하고 상기 요청된 네트워크 서비스를 제공하는 서비스 제공 장치에 적용할 접속에 관한 정책을 기 저장된 정책 정보를 기초로 결정하고 상기 결정된 정책을 상기 서비스 제공 장치로 전송하는 SDP 기반 접속 제어 장치와, 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템에 의하여 구현되고, 상기 전송된 정책에 따라 상기 서비스 요청 장치에 상기 네트워크 서비스를 제공하는 서비스 제공 장치를 포함하고, 상기 기 저장된 정책 정보는 상기 SDP 기반 접속 제어 장치가 상기 소프트웨어 정의 인프라 시스템에서 관리하는 상기 서비스 요청 장치의 상기 서비스 제공 장치에 대한 접속 권한에 대한 정책을 전달받아 생성된다. The SDP-based access control system according to an embodiment includes a service requesting device for transmitting a request for a network service to an SDP-based access control device, a connection request receiving unit for receiving the request and applying the service to the service providing device for providing the requested network service (SDI) system for determining a policy for a service provider based on previously stored policy information and transmitting the determined policy to the service providing apparatus, and a software defined infrastructure (SDI) Wherein the SDP-based access control apparatus is configured to provide the network service to the service request apparatus according to a policy, To access the device It is generated by receiving the policy.

이때 상기 서비스 제공 장치는 상기 소프트웨어 정의 인프라 시스템에 의하여 생성되어 상기 네트워크 서비스를 제공하는 기능 제공부와, 상기 결정된 정책을 기초로 상기 서비스 요청 장치의 상기 기능 제공부에 대한 접속을 관리하는 게이트웨이를 포함할 수 있다. The service providing apparatus includes a function providing unit that is generated by the software defined infrastructure system and provides the network service, and a gateway that manages access to the function providing unit of the service requesting apparatus based on the determined policy can do.

일 실시예에 따른 SDP 기반 접속 제어 장치는 서비스 요청 장치와 통신을 수행하는 통신부와, 네트워크 서비스를 제공하는 서비스 제공 장치에 대한 상기 서비스 요청 장치의 접속을 제어하는데 사용되는 정책 정보를 저장하는 저장부와, 상기 통신부를 통하여 상기 서비스 요청 장치의 네트워크 서비스 요청이 수신되면, 상기 요청된 네트워크 서비스를 제공하는 서비스 제공 장치에 적용할 정책을 상기 저장된 정책 정보를 기초로 결정하고, 상기 통신부를 통하여 상기 결정된 정책이 상기 서비스 제공 장치로 전송되도록 제어하는 결정부를 포함하고, 상기 저장된 정책 정보는 소프트웨어 정의 인프라 시스템에서 관리하는 상기 서비스 요청 장치의 상기 서비스 제공 장치에 대한 접속 권한에 대한 정책을 전달받아 생성된다. The SDP-based connection control apparatus according to an embodiment includes a communication unit that communicates with a service requesting apparatus, a storage unit that stores policy information used to control connection of the service requesting apparatus to a service providing apparatus that provides a network service, And a control unit that determines a policy to be applied to the service providing apparatus providing the requested network service based on the stored policy information when the network service request of the service request apparatus is received through the communication unit, Wherein the policy information is generated by receiving a policy for access right of the service request apparatus managed by the software definition infrastructure system to the service provision apparatus.

이때 상기 전달받은 정책 정보는 네트워크 서비스에 따라 연결되어야 하는 서비스 제공 장치에 대한 정책, 서비스 제공 장치에 대한 서비스 요청 장치의 인증에 대한 정책 및 인증된 서비스 요청 장치에 대한 서비스 제공 장치로의 접속 권한 설정 정책을 포함할 수 있다. At this time, the received policy information includes a policy for the service providing device to be connected according to the network service, a policy for the authentication of the service requesting device for the service providing device, and a connection permission setting for the service providing device for the authenticated service requesting device Policy.

일 실시예에 따른 SDP 기반 접속 제어 방법은 서비스 요청 장치가 네트워크 서비스에 대한 요청을 SDP 기반 접속 제어 장치로 송신하는 단계와, 상기 SDP 기반 접속 제어 장치가 상기 요청을 수신하여 상기 네트워크 서비스를 제공하는 서비스 제공 장치에 적용할 접속에 관한 정책을 기 저장된 정책 정보를 기초로 결정하는 단계와, 상기 SDP 기반 접속 제어 장치가 상기 결정된 정책을 상기 서비스 제공 장치로 전송하는 단계와, 상기 SDP 기반 접속 제어 장치가 상기 서비스 제공 장치의 정보를 상기 서비스 요청 장치에 전송하는 단계를 포함하고, 상기 기 저장된 정책 정보는 상기 SDP 기반 접속 제어 장치가 상기 네 소프트웨어 정의 인프라 시스템에서 관리하는 상기 서비스 요청 장치의 상기 서비스 제공 장치에 대한 접속 권한에 대한 정책을 전달받아 생성된다. The SDP-based access control method according to an embodiment includes: a step in which a service requesting device transmits a request for a network service to an SDP-based access control device; and the SDP-based access control device receives the request to provide the network service Based on the pre-stored policy information, a policy regarding a connection to be applied to the service providing apparatus; transmitting the determined policy to the service providing apparatus by the SDP-based connection control apparatus; Wherein the SDP-based connection control unit is configured to transmit the service provision request from the service providing apparatus managed by the four software defined infrastructure system to the service request apparatus, Create and accept a policy for access rights to the device do.

이때 상기 전달받은 정책 정보는 네트워크 서비스에 따라 연결되어야 하는 서비스 제공 장치에 대한 정책, 서비스 제공 장치에 대한 서비스 요청 장치의 인증에 대한 정책 및 인증된 서비스 요청 장치에 대한 서비스 제공 장치로의 접속 권한 설정 정책을 포함할 수 있다. At this time, the received policy information includes a policy for the service providing device to be connected according to the network service, a policy for the authentication of the service requesting device for the service providing device, and a connection permission setting for the service providing device for the authenticated service requesting device Policy.

일 실시예에 따르면, 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템에 SDP(software defined perimeter) 기반의 SDP 기반 접속 제어 장치를 접목하여 서비스 제공 장치에 대한 접근 권한이 있는 서비스 요청 장치에만 허용함으로써, 보안상의 취약점을 해결할 수 있다.According to one embodiment, an SDP-based access control apparatus based on a software defined perimeter (SDP) is combined with a software defined infrastructure (SDI) system to permit only a service request apparatus having access authority to a service provision apparatus, Security vulnerabilities can be addressed.

도 1은 일 실시예에 따른 SDP 기반 접속 제어 장치를 포함하는 전체 시스템의 구성을 나타낸 도면이다.
도 2는 서비스 요청 장치의 네트워크 서비스에 대해 SDP 기반 접속 제어 장치가 접근 권한을 허용한 경우, 서비스 요청 장치와 서비스 제공 장치의 접속 형태를 설명하기 위한 일 실시예에 따른 예시도다.
도 3는 일 실시예에 따른 SDP 기반 접속 제어 장치의 기능 블럭도이다.
도 4은 일 실시예에 따른 SDP 기반 접속 제어 방법을 나타내는 순서도이다. FIG. 1 is a diagram illustrating a configuration of an overall system including an SDP-based connection control apparatus according to an embodiment.
FIG. 2 is an exemplary diagram for explaining a connection form between a service requesting apparatus and a service providing apparatus when an SDP-based access control apparatus permits an access right to the network service of the service requesting apparatus.
3 is a functional block diagram of an SDP-based connection control apparatus according to an embodiment.
4 is a flowchart illustrating an SDP-based connection control method according to an embodiment.

본 발명의 목적과 기술적 구성 및 그에 따른 작용 효과에 관한 자세한 사항은 본 발명의 명세서에 첨부된 도면에 의거한 이하의 상세한 설명에 의해 보다 명확하게 이해될 것이다. 첨부된 도면을 참조하여 본 발명에 따른 실시예를 상세하게 설명한다.DETAILED DESCRIPTION OF THE EMBODIMENTS Reference will now be made in detail to the preferred embodiments of the present invention, examples of which are illustrated in the accompanying drawings, wherein like reference numerals refer to the like elements throughout. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS An embodiment according to the present invention will be described in detail with reference to the accompanying drawings.

본 명세서에서 개시되는 실시예들은 본 발명의 범위를 한정하는 것으로 해석되거나 이용되지 않아야 할 것이다. 이 분야의 통상의 기술자에게 본 명세서의 실시예를 포함한 설명은 다양한 응용을 갖는다는 것이 당연하다. 따라서, 본 발명의 상세한 설명에 기재된 임의의 실시예들은 본 발명을 보다 잘 설명하기 위한 예시적인 것이며 본 발명의 범위가 실시예들로 한정되는 것을 의도하지 않는다.The embodiments disclosed herein should not be construed or interpreted as limiting the scope of the present invention. It will be apparent to those of ordinary skill in the art that the description including the embodiments of the present specification has various applications. Accordingly, any embodiment described in the Detailed Description of the Invention is illustrative for a better understanding of the invention and is not intended to limit the scope of the invention to embodiments.

도면에 표시되고 아래에 설명되는 기능 블록들은 가능한 구현의 예들일 뿐이다. 다른 구현들에서는 상세한 설명의 사상 및 범위를 벗어나지 않는 범위에서 다른 기능 블록들이 사용될 수 있다. 또한, 본 발명의 하나 이상의 기능 블록이 개별 블록들로 표시되지만, 본 발명의 기능 블록들 중 하나 이상은 동일 기능을 실행하는 다양한 하드웨어 및 소프트웨어 구성들의 조합일 수 있다.The functional blocks shown in the drawings and described below are merely examples of possible implementations. In other implementations, other functional blocks may be used without departing from the spirit and scope of the following detailed description. Also, although one or more functional blocks of the present invention are represented as discrete blocks, one or more of the functional blocks of the present invention may be a combination of various hardware and software configurations that perform the same function.

또한, 어떤 구성요소들을 포함한다는 표현은 개방형의 표현으로서 해당 구성요소들이 존재하는 것을 단순히 지칭할 뿐이며, 추가적인 구성요소들을 배제하는 것으로 이해되어서는 안 된다.In addition, the expression "including any element" is merely an expression of an open-ended expression, and is not to be construed as excluding the additional elements.

나아가 어떤 구성요소가 다른 구성요소에 연결되어 있다거나 접속되어 있다고 언급될 때에는, 그 다른 구성요소에 직접적으로 연결 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 한다. Further, when a component is referred to as being connected or connected to another component, it may be directly connected or connected to the other component, but it should be understood that there may be other components in between.

또한 '제1, 제2' 등과 같은 표현은 복수의 구성들을 구분하기 위한 용도로만 사용된 표현으로써, 구성들 사이의 순서나 기타 특징들을 한정하지 않는다. Also, the expressions such as 'first, second', etc. are used only to distinguish a plurality of configurations, and do not limit the order or other features between configurations.

이하에서는 도면들을 참조하여 본 발명의 실시예들에 대해 설명하도록 한다. Hereinafter, embodiments of the present invention will be described with reference to the drawings.

도 1은 일 실시예에 따른 SDP 기반 접속 제어 장치(100)를 포함하는 전체 시스템의 구성을 나타낸 도면이다.1 is a diagram illustrating a configuration of an overall system including an SDP-based connection control apparatus 100 according to an embodiment.

도 1을 참조하면, SDP 기반 접속 제어 장치(100)를 포함하는 전체 시스템은 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템(10), 서비스 요청 장치(20), 서비스 제공 장치(30), 및 SDP 기반 접속 제어 장치(100)를 포함한다.1, an overall system including an SDP-based connection control apparatus 100 includes a software defined infrastructure (SDI) system 10, a service requesting apparatus 20, a service providing apparatus 30, And an SDP-based connection control apparatus 100.

NFV(Network Function Virtualization)이란 네트워크 장비의 기능을 수행하는 네트워크 노드 또는 IT 서비스 노드를 클라우드(Cloud) 기반의 가상화된 공간에서 구현하여 네트워크 노드 또는 IT 서비스 노드의 기능을 구동시키는 기술이다. 예컨대, 가상화된 공간 상에 가상 머신(Virtual Machine, VM), 호스트(HOST), 컨테이너(Container) 등을 가상화된 공간 상에 구현하여 데이터센터(edge data center, core date center) 등의 역할을 하도록 구동시킬 수 있다. Network Function Virtualization (NFV) is a technology that drives the function of a network node or an IT service node by implementing a network node or an IT service node that performs the function of a network device in a virtualized space based on a cloud. For example, a virtual machine (VM), a host (HOST), a container, and the like are implemented in a virtualized space on a virtualized space to serve as a data center (core data center) Can be driven.

본 발명에서는 이러한 NFV를 포함하는 가상화 인프라를 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI)로 칭하고 이를 위한 관리자(manager)를 VIM(Virtual Infrastructure Manager) 이라고 정의하고 기재한다. In the present invention, a virtual infrastructure including the NFV is referred to as a software defined infrastructure (SDI), and a manager for the virtual infrastructure is defined as VIM (Virtual Infrastructure Manager).

한편, 본 발명의 실시예에 따른 소프트웨어 정의 인프라 시스템(10)은 생성된 있는 가상 머신(Virtual Machine, VM), 호스트(HOST), 컨테이너(Container) 등에 대한 정보를 소프트웨어 정의 인프라 시스템(10)의 외부에 공개하지 않는다. Meanwhile, the software defined infrastructure system 10 according to the embodiment of the present invention provides information on a created virtual machine (VM), a host (HOST), a container, and the like to the software definition infrastructure system 10 Do not make it public.

이러한 소프트웨어 정의 인프라 시스템(10)은 네트워크 장비 서비스 및 IT 서비스(예, Web, Was, DB, NoSQL, 및 사용자 작성 서비스 등)에 적용될 수 있으며, 본 명세서에서 기재된 네트워크 서비스의 용어는 IT 서비스의 개념을 포함한다.This software defined infrastructure system 10 can be applied to network equipment services and IT services (e.g., Web, Was, DB, NoSQL, and user creation services, etc.) .

서비스 요청 장치(20)는 제공받고자 하는 네트워크 서비스를 SDP 기반 접속 제어 장치(100)에게 요청하는 장치이다. 예컨대, 이러한 서비스 요청 장치(20)는 컴퓨터(computer), 스마트폰(smartphone), 태블릿 PC(tablet PC), 스마트 워치(smart watch) 등의 통신 장치를 포함할 수 있다. The service request apparatus 20 is a device for requesting the SDP-based connection control apparatus 100 for a network service to be provided. For example, the service requesting apparatus 20 may include a communication device such as a computer, a smartphone, a tablet PC, a smart watch, and the like.

서비스 제공 장치(30)는 소프트웨어 정의 인프라 시스템(10)에 의하여 구현되어, 서비스 요청 장치(20)가 요청하는 네트워크 서비스를 제공한다. 이때 서비스 제공 장치(30)는 소프트웨어 정의 인프라 시스템(10)에 의해 클라우드 기반의 가상화된 공간에서 생성된 기능 제공부 및 SDP 기반 접속 제어 장치(100)에서 결정된 정책을 기초로 기능 제공부에 대한 접속을 관리하는 게이트웨이를 포함할 수 있다. The service providing apparatus 30 is implemented by the software definition infrastructure system 10 and provides the network service requested by the service requesting apparatus 20. [ At this time, the service providing apparatus 30 receives the functions provided in the cloud-based virtualized space by the software definition infrastructure system 10 and accesses the function providing unit 30 based on the policy determined in the SDP- Lt; RTI ID = 0.0 > a < / RTI >

이때 기능 제공부는 소프트웨어 정의 인프라 시스템(10)을 통하여 가상화된 공간 상에 구현된 가상 머신(Virtual Machine, VM), 호스트(HOST), 컨테이너(Container) 등을 포함하며, 데이터센터(edge data center, core date center) 등의 역할을 하도록 구동될 수 있다. At this time, the function providing unit includes a virtual machine (VM), a host (HOST), a container, and the like implemented in a virtualized space through the software definition infrastructure system 10, core date center), and so on.

또한 서비스 제공 장치(30) 내에는 하나의 게이트웨이가 복수의 기능 제공부로의 접속을 관리할 수 있고, 또는 복수의 게이트웨이가 복수의 기능 제공부로의 접속을 관리할 수 있다. In the service providing apparatus 30, one gateway can manage the connection to the plurality of function providing units, or a plurality of gateways can manage the connection to the plurality of function providing units.

SDP 기반 접속 제어 장치(100)는 서비스 요청 장치(20)의 네트워크 서비스 요청을 수신하면, 서비스 제공 장치(30)에 적용할 접속에 관한 정책을 기 저장된 정책 정보를 기초로 결정하고, 결정된 정책을 서비스 제공 장치(30)로 전송한다. 이때 기 저장된 정책 정보는 SDP 기반 접속 제어 장치(100)가 소프트웨어 정의 인프라 시스템(10)에서 관리하는 정책을 전달받음으로써 생성될 수 있다. 이하, 정책의 전달에 대해서는 후술하기로 한다. Upon receiving the network service request of the service requesting apparatus 20, the SDP-based connection control apparatus 100 determines a policy on the connection to be applied to the service providing apparatus 30 based on the pre-stored policy information, To the service providing apparatus 30. The pre-stored policy information may be generated by receiving the policy managed by the SDP-based connection control apparatus 100 in the software defined infrastructure system 10. Hereinafter, the transmission of the policy will be described later.

도 2는 서비스 요청 장치(20)의 네트워크 서비스에 대해 SDP 기반 접속 제어 장치(100)가 접근 권한을 허용한 경우, 서비스 요청 장치(20)와 서비스 제공 장치(30)의 접속 형태를 설명하기 위한 일 실시예에 따른 예시도다.2 is a diagram for explaining a connection form between the service requesting apparatus 20 and the service providing apparatus 30 when the SDP-based connection controlling apparatus 100 permits access to the network service of the service requesting apparatus 20. [ FIG.

상술한 바와 같이, 서비스 요청 장치(20)는 SDP 기반 접속 제어 장치(100)를 포함하는 전체 시스템에서 서비스 요청 장치(20)는 서비스 요청 장치(20)에 대하여 존재가 드러나지 않는다. As described above, in the entire system including the SDP-based connection control apparatus 100, the service requesting apparatus 20 does not exist for the service requesting apparatus 20.

그러나 도 2를 참조하면, SDP 기반 접속 제어 장치(100)가 서비스 요청 장치(20)의 네트워크 서비스 요청에 따라 해당 네트워크 서비스를 제공하는 서비스 제공 장치(30)에 서비스 요청 장치(20)에 대한 접근 권한을 허용한 경우에는, 서비스 요청 장치(20)는 서비스 제공 장치(30)에 접속하기 위하여 필요한 정보(예를 들면, 서비스 제공 장치(30)에 포함된 게이트웨이의 주소)를 SDP 기반 접속 제어 장치(100)로부터 전송 받아, 이를 이용하여 서비스 제공 장치(30)에 대해 접속을 요청할 수 있고, 서비스 제공 장치(30)는 SDP 기반 접속 제어 장치(100)로부터 서비스 요청 장치(20)에 대한 접근을 허용하는 정책을 전송받아 해당 서비스 요청 장치(20)의 접속을 허용할 수 있다. 2, the SDP-based connection control apparatus 100 accesses the service providing apparatus 20 to the service providing apparatus 30 providing the network service according to the network service request of the service requesting apparatus 20 The service requesting apparatus 20 sends the information necessary for accessing the service providing apparatus 30 (for example, the address of the gateway included in the service providing apparatus 30) to the SDP- The service providing apparatus 30 can access the service requesting apparatus 20 from the SDP-based connection controlling apparatus 100. The service providing apparatus 30 can access the service providing apparatus 30 from the SDP- The service requesting apparatus 20 can receive the policy and allow the connection of the service requesting apparatus 20.

예를 들어, 서비스 제공 장치(30)의 게이트웨이는 접근 권한이 있는 서비스 요청 장치(20)의 접속 요청에 대해, 게이트웨이 앞단의 방화벽의 핀홀(pin-hole)을 오픈하여 게이트웨이로의 접속을 허용하고, 서비스 요청 장치(20)가 요청하는 네트워크 서비스를 제공하는 기능 제공부에 대한 포트를 오픈하여 기능 제공부와의 데이터 송수신을 허용할 수 있다. For example, the gateway of the service providing apparatus 30 opens a pin-hole of a firewall in the front end of the gateway to allow connection to the gateway for a connection request of the access requesting service request apparatus 20 , A port for a function providing unit that provides a network service requested by the service requesting apparatus 20 may be opened to allow data transmission / reception with the function providing unit.

도 3는 일 실시예에 따른 SDP 기반 접속 제어 장치(100)의 기능 블럭도이다.3 is a functional block diagram of an SDP-based connection control apparatus 100 according to an embodiment.

도 3을 참조하면, SDP 기반 접속 제어 장치(100)는 통신부(110), 저장부(120) 및 결정부(130)를 포함한다. Referring to FIG. 3, the SDP-based connection control apparatus 100 includes a communication unit 110, a storage unit 120, and a determination unit 130.

통신부(110)는 서비스 요청 장치(20) 및 서비스 제공 장치(30)와 통신을 수행한다. 이러한 작업들을 수행하기 위하여 통신부(110)는 외부 장치와 데이터를 주고받기 위한 통신 모듈을 포함할 수 있다.The communication unit 110 performs communication with the service requesting apparatus 20 and the service providing apparatus 30. [ In order to perform these operations, the communication unit 110 may include a communication module for exchanging data with an external device.

저장부(120)는 네트워크 서비스를 제공하는 서비스 제공 장치(30)에 대한 서비스 요청 장치(20)의 접속을 제어하는데 사용되는 정책 정보를 저장한다. 이때 SDP 기반 접속 제어 장치(100)는 소프트웨어 정의 인프라 시스템(10)의 정책을 전달받아 사용한다. The storage unit 120 stores policy information used to control connection of the service requesting apparatus 20 to the service providing apparatus 30 providing the network service. At this time, the SDP-based connection control apparatus 100 receives the policy of the software definition infrastructure system 10 and uses it.

예를 들면, 소프트웨어 정의 인프라 시스템(10) 중 하나인 네트워크 기능 가상화 시스템의 VIM(Virtual Infrastructure Manager)에서 Compute/Storage/Network 등의 가상화된 자원을 생성하거나 또는 삭제하는 경우, 가상화된 자원의 생성 및 접속 권한 정보 설정에 대한 정책을 후킹하여 저장부(120)에 저장할 수 있다. 이러한 과정은 XACML에 따른 PEP(Policy Enforcement Point)에 의해 PIP(Policy Information Point, SDP 기반 접속 제어 장치(100)의 저장부(120)에 해당)에 저장될 수 있다. For example, when creating or deleting virtualized resources such as Compute / Storage / Network in a Virtual Infrastructure Manager (VIM) of a network function virtualization system, which is one of the software defined infrastructure systems 10, It is possible to hook up the policy for setting the access authority information and store it in the storage unit 120. [ This process can be stored in the PIP (Policy Information Point, corresponding to the storage unit 120 of the SDP-based connection control apparatus 100) by the PEP (Policy Enforcement Point) according to XACML.

따라서 기존의 소프트웨어 정의 인프라 시스템(10)의 구현을 바꾸지 않고도 SDP 기반 접속 제어 장치(100)를 연동하여 정책을 활용할 수 있으며, 서비스 요청 장치(20)의 SDP 기반의 접속 제어 장치(100) 호출 시 PIP, 즉, 저장부(120)의 정책 정보 기준으로 결정부(130)에서 판단하여 서비스 제공 장치(30)로 결정된 정책을 내릴 수 있다. Therefore, it is possible to utilize the policy by interlocking the SDP-based connection control apparatus 100 without changing the implementation of the existing software definition infrastructure system 10, and to use the policy when the SDP-based connection control apparatus 100 of the service requesting apparatus 20 is called The determination unit 130 may determine a policy determined by the service providing apparatus 30 based on the PIP, that is, the policy information of the storage unit 120.

이때 전달받은 정책 정보는, 예를 들어 네트워크 서비스에 따라 연결되어야 하는 서비스 제공 장치(30)에 대한 정책, 서비스 제공 장치(30)에 대한 서비스 요청 장치(20)의 인증에 대한 정책 및 인증된 서비스 요청 장치(20)에 대한 서비스 제공 장치(30)로의 접속 권한 설정 정책을 포함할 수 있다. The received policy information includes, for example, a policy for the service providing apparatus 30 to be connected according to the network service, a policy for the authentication of the service requesting apparatus 20 to the service providing apparatus 30, And a permission setting policy for the requesting device 20 to the service providing device 30.

결정부(130)는 통신부(110)를 통하여 서비스 요청 장치(20)의 네트워크 서비스 요청을 수신하면, 요청된 네트워크 서비스를 제공하는 서비스 제공 장치(30)에 적용할 정책을 저장부(120)에 저장된 정책 정보를 기초로 결정하고, 통신부(110)를 통하여 상기 결정된 정책을 서비스 제공 장치(30)로 전송한다. Upon receiving the network service request of the service requesting apparatus 20 through the communication unit 110, the determining unit 130 transmits a policy to be applied to the service providing apparatus 30 providing the requested network service to the storage unit 120 Determines the policy based on the stored policy information, and transmits the determined policy to the service providing device (30) through the communication unit (110).

예를 들어, 다시 도 2을 참조하면, SDP 기반 접속 제어 장치(100)의 통신부(110)가 서비스 요청 장치(20)로부터 네트워크 서비스를 제공받고자 하는 요청을 수신한 경우, 결정부(130)는 저장부(120)를 각각 상이한 네트워크 서비스를 제공하는 제1 서비스 제공 장치(31), 제2 서비스 제공 장치(32) 및 제3 서비스 제공 장치(33) 중, 서비스 요청 장치(20)가 요청한 네트워크 서비스를 제공할 수 있는 특정 서비스 제공 장치(30)를 결정할 수 있다. 2, when the communication unit 110 of the SDP-based connection control apparatus 100 receives a request to receive a network service from the service requesting apparatus 20, the determining unit 130 Of the first service providing apparatus 31, the second service providing apparatus 32 and the third service providing apparatus 33 that provide different network services to the storage unit 120, It is possible to determine a specific service providing apparatus 30 capable of providing the service.

또한 결정된 서비스 요청 장치(20)가 결정된 서비스 제공 장치(30)에 접속할 수 있는 권한이 있는지 인증할 수 있고, 인증이 된 경우 인증된 서비스 요청 장치(20)에 적용할 접속 권한에 대한 정책을 결정할 수 있다. In addition, it is possible to authenticate whether the determined service request apparatus 20 has an authority to access the determined service providing apparatus 30, and if it is authenticated, determine a policy for the access authority to be applied to the authenticated service request apparatus 20 .

이후, 결정부(130)는 통신부(110)를 통해 결정된 정책을 해당 네트워크 서비스를 제공하는 서비스 제공 장치(30)에 전달하고, 해당 네트워크 서비스를 제공할 수 있는 서비스 제공 장치(30)에 대한 정보를 서비스 요청 장치(20)에 전달할 수 있다. The determination unit 130 then transmits the policy determined through the communication unit 110 to the service providing apparatus 30 providing the corresponding network service and transmits information about the service providing apparatus 30 capable of providing the network service To the service requesting device 20.

따라서 SDP 기반 접속 제어 장치(100)는 서비스 요청 장치(20)의 요청을 수신하였을 때, 서비스 요청 장치(20) 및 서비스 제공 장치(30)에 적용할 접속에 관한 정책을 소프트웨어 정의 인프라 시스템(10)에서 참조할 필요 없이, 미리 저장된 정책 정보를 통하여 해당 요청에 대해 적용할 정책을 직접 결정할 수 있다. Therefore, when the SDP-based connection control apparatus 100 receives a request from the service requesting apparatus 20, the SDP-based connection control apparatus 100 transmits a policy regarding the connection to be applied to the service requesting apparatus 20 and the service providing apparatus 30 to the software definition infrastructure system 10 ), It is possible to directly determine the policy to be applied to the request through the pre-stored policy information.

한편 상술한 실시예가 포함하는 통신부(110), 저장부(120) 및 결정부(130)는 이들의 기능을 수행하도록 프로그램된 명령어를 포함하는 메모리, 및 이들 명령어를 수행하는 마이크로프로세서를 포함하는 연산 장치에 의해 구현될 수 있다. Meanwhile, the communication unit 110, the storage unit 120, and the determination unit 130, which are included in the above-described embodiments, include a memory including instructions programmed to perform these functions, and a microprocessor Gt; device. ≪ / RTI >

도 4은 일 실시예에 따른 SDP 기반 접속 제어 방법을 나타내는 순서도이다. 4 is a flowchart illustrating an SDP-based connection control method according to an embodiment.

도 4를 참조하면, 우선 서비스 요청 장치(20)가 네트워크 서비스에 대한 요청을 SDP 기반 접속 제어 장치(100)로 송신한다(S410). Referring to FIG. 4, the service request apparatus 20 first transmits a request for the network service to the SDP-based connection control apparatus 100 (S410).

SDP 기반 접속 제어 장치(100)는 서비스 요청 장치(20)의 요청을 수신하여, 네트워크 서비스를 제공하는 서비스 제공 장치(30)에 적용할 접속에 관한 정책을 기 저장된 정책 정보를 기초로 결정한다(S420). The SDP-based connection control apparatus 100 receives the request of the service requesting apparatus 20 and determines a policy concerning the connection to be applied to the service providing apparatus 30 providing the network service based on the pre-stored policy information S420).

이후, SDP 기반 접속 제어 장치(100)는 결정된 정책을 서비스 제공 장치(30)로 전송하고(S430), SDP 기반 접속 제어 장치(100)가 상기 서비스 제공 장치(30)의 정보를 상기 서비스 요청 장치(20)에 전송한다(S440). 이때 S430과 S440 단계의 시계열적 순서는 한정되지 않고, 어떠한 단계를 먼저 실행해도 본 발명의 목적을 달성하는 실시예를 구현할 수 있다. Then, the SDP-based connection control apparatus 100 transmits the determined policy to the service providing apparatus 30 (S430), and the SDP-based connection control apparatus 100 transmits the information of the service providing apparatus 30 to the service request apparatus 30. [ (Step S440). At this time, the time series sequence of steps S430 and S440 is not limited, and embodiments that achieve the object of the present invention can be implemented even if any of the steps are executed first.

이에, 서비스 요청 장치(20)는 서비스 제공 장치(30)에 대한 정보를 얻어 서비스 제공 장치(30)에 대해 접속을 요청할 수 있고, 서비스 제공 장치(30)는 SDP 기반 접속 제어 장치(100)로부터 해당 서비스 요청 장치(20)에 대한 접근을 허용하는 정책을 전달받아 접속을 허용할 수 있다. 이에 따라 서비스 요청 장치(20)는 서비스 제공 장치(30)와 연결되어 네트워크 서비스를 제공받을 수 있다(S350). Accordingly, the service requesting apparatus 20 can acquire information about the service providing apparatus 30 and request a connection to the service providing apparatus 30, and the service providing apparatus 30 can access the SDP-based connection controlling apparatus 100 It is possible to receive the policy for allowing access to the service request apparatus 20 to allow the connection. Accordingly, the service requesting apparatus 20 may be connected to the service providing apparatus 30 to receive the network service (S350).

따라서 상술한 실시예에 따르면, 소프트웨어 정의 인프라 시스템(10)에 SDP(software defined perimeter) 기반의 SDP 기반 접속 제어 장치(100)를 접목하여, 네트워크 서비스를 제공하는 서비스 제공 장치(30)에 대한 가시성을 접근 권한이 있는 서비스 요청 장치(20)에만 허용함으로써, 기존에 네트워크 노드의 존재가 외부에 드러남으로써 발생할 수 있는 다양한 보안상의 취약점을 해결할 수 있다.Therefore, according to the embodiment described above, the SDP-based access control apparatus 100 based on software defined perimeter (SDP) is combined with the software defined infrastructure system 10, and the visibility of the service providing apparatus 30 providing the network service To the service requesting apparatus 20 having the access authority, it is possible to solve various security vulnerabilities that may be caused by the presence of the network node being exposed to the outside.

상술한 실시예들은 다양한 수단을 통해 구현될 수 있다. 예를 들어, 본 발명의 실시예들은 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다.The above-described embodiments may be implemented by various means. For example, embodiments of the present invention may be implemented by hardware, firmware, software, or a combination thereof.

하드웨어에 의한 구현의 경우, 본 발명의 실시예들에 따른 방법은 하나 또는 그 이상의 ASICs(Application Specific Integrated Circuits), DSPs(Digital Signal Processors), DSPDs(Digital Signal Processing Devices), PLDs(Programmable Logic Devices), FPGAs(Field Programmable Gate Arrays), 프로세서, 컨트롤러, 마이크로 컨트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.In the case of hardware implementation, the method according to embodiments of the present invention may be implemented in one or more Application Specific Integrated Circuits (ASICs), Digital Signal Processors (DSPs), Digital Signal Processing Devices (DSPDs), Programmable Logic Devices (PLDs) , FPGAs (Field Programmable Gate Arrays), processors, controllers, microcontrollers, microprocessors, and the like.

펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 실시예들에 따른 방법은 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차 또는 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드는 메모리 유닛에 저장되어 프로세서에 의해 구동될 수 있다. 상기 메모리 유닛은 상기 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 상기 프로세서와 데이터를 주고 받을 수 있다.In the case of an implementation by firmware or software, the method according to embodiments of the present invention may be implemented in the form of a module, a procedure or a function for performing the functions or operations described above. The software code can be stored in a memory unit and driven by the processor. The memory unit may be located inside or outside the processor, and may exchange data with the processor by various well-known means.

이와 같이, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.Thus, those skilled in the art will appreciate that the present invention may be embodied in other specific forms without departing from the spirit or essential characteristics thereof. It is therefore to be understood that the embodiments described above are to be considered in all respects only as illustrative and not restrictive. The scope of the present invention is defined by the appended claims rather than the detailed description and all changes or modifications derived from the meaning and scope of the claims and their equivalents are to be construed as being included within the scope of the present invention do.

10: 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템
20: 서비스 요청 장치
30: 서비스 제공 장치
31: 제1 서비스 제공 장치
32: 제2 서비스 제공 장치
33: 제3 서비스 제공 장치
100: SDP 기반 접속 제어 장치
110: 통신부
120: 저장부
130: 결정부
SDP GW: 게이트웨이10: Software Defined Infrastructure (SDI) System
20: Service request device
30: Service providing device
31: first service providing apparatus
32: second service providing apparatus
33: Third service providing apparatus
100: SDP based connection control device
110:
120:
130:
SDP GW: Gateway

Claims (6)

네트워크 서비스에 대한 요청을 SDP(Software Defined Perimeter) 기반 접속 제어 장치로 송신하는 서비스 요청 장치와,
상기 요청을 수신하고, 상기 요청된 네트워크 서비스를 제공하는 서비스 제공 장치에 적용할 접속에 관한 정책을 기 저장된 정책 정보를 기초로 결정하고, 상기 결정된 정책을 상기 서비스 제공 장치로 전송하는 SDP 기반 접속 제어 장치와,
소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템에 의하여 구현되고, 상기 전송된 정책에 따라 상기 서비스 요청 장치에 상기 네트워크 서비스를 제공하는 서비스 제공 장치를 포함하고,
상기 기 저장된 정책 정보는,
상기 SDP 기반 접속 제어 장치가 상기 소프트웨어 정의 인프라 시스템에서 관리하는 상기 서비스 요청 장치의 상기 서비스 제공 장치에 대한 접속 권한에 대한 정책을 전달받아 생성되는
SDP 기반 접속 제어 시스템.A service requesting device for transmitting a request for a network service to a SDP (Software Defined Perimeter)
Based on the stored policy information, a policy regarding a connection to be applied to the service providing apparatus providing the requested network service, and transmitting the determined policy to the service providing apparatus, [0001]
A service providing apparatus, which is implemented by a software defined infrastructure (SDI) system and provides the network service to the service request apparatus according to the transmitted policy,
The pre-
The SDP-based connection control apparatus receives the policy for the access right to the service providing apparatus of the service requesting apparatus managed by the software defined infrastructure system
SDP based access control system. 제1항에 있어서,
상기 서비스 제공 장치는,
상기 소프트웨어 정의 인프라 시스템에 의하여 생성되어 상기 네트워크 서비스를 제공하는 기능 제공부와,
상기 결정된 정책을 기초로 상기 서비스 요청 장치의 상기 기능 제공부에 대한 접속을 관리하는 게이트웨이를 포함하는
SDP 기반 접속 제어 시스템.The method according to claim 1,
The service providing apparatus includes:
A function providing unit that is generated by the software defined infrastructure system and provides the network service,
And a gateway for managing a connection to the function providing unit of the service requesting apparatus based on the determined policy
SDP based access control system. 서비스 요청 장치와 통신을 수행하는 통신부와,
네트워크 서비스를 제공하는 서비스 제공 장치에 대한 상기 서비스 요청 장치의 접속을 제어하는데 사용되는 정책 정보를 저장하는 저장부와,
상기 통신부를 통하여 상기 서비스 요청 장치의 네트워크 서비스 요청이 수신되면, 상기 요청된 네트워크 서비스를 제공하는 서비스 제공 장치에 적용할 정책을 상기 저장된 정책 정보를 기초로 결정하고, 상기 통신부를 통하여 상기 결정된 정책이 상기 서비스 제공 장치로 전송되도록 제어하는 결정부를 포함하고,
상기 저장된 정책 정보는,
소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템에서 관리하는 상기 서비스 요청 장치의 상기 서비스 제공 장치에 대한 접속 권한에 대한 정책을 전달받아 생성되는
SDP 기반 접속 제어 장치.A communication unit for performing communication with the service request apparatus,
A storage unit for storing policy information used to control connection of the service requesting apparatus to a service providing apparatus providing network services;
When the network service request of the service request apparatus is received through the communication unit, a policy to be applied to the service providing apparatus that provides the requested network service is determined based on the stored policy information, And a determination unit configured to control transmission to the service providing apparatus,
Wherein the stored policy information comprises:
A policy for access right to the service providing apparatus of the service requesting apparatus managed by a software defined infrastructure (SDI) system is received and generated
SDP based access control apparatus. 제3항에 있어서,
상기 전달받은 정책 정보는,
네트워크 서비스에 따라 연결되어야 하는 서비스 제공 장치에 대한 정책, 서비스 제공 장치에 대한 서비스 요청 장치의 인증에 대한 정책 및 인증된 서비스 요청 장치에 대한 서비스 제공 장치로의 접속 권한 설정 정책을 포함하는
SDP 기반 접속 제어 장치.The method of claim 3,
The received policy information may include,
A policy for authentication of the service requesting device with respect to the service providing device, and a policy for setting access authorization to the service providing device for the authenticated service requesting device,
SDP based access control apparatus. 서비스 요청 장치가 네트워크 서비스에 대한 요청을 SDP(Software Defined Perimeter) 기반 접속 제어 장치로 송신하는 단계와,
상기 SDP 기반 접속 제어 장치가 상기 요청을 수신하여, 상기 네트워크 서비스를 제공하는 서비스 제공 장치에 적용할 접속에 관한 정책을 기 저장된 정책 정보를 기초로 결정하는 단계와,
상기 SDP 기반 접속 제어 장치가 상기 결정된 정책을 상기 서비스 제공 장치로 전송하는 단계와,
상기 SDP 기반 접속 제어 장치가 상기 서비스 제공 장치의 정보를 상기 서비스 요청 장치에 전송하는 단계를 포함하고,
상기 기 저장된 정책 정보는,
상기 SDP 기반 접속 제어 장치가 상기 소프트웨어 정의 인프라 (Software Defined Infrastructure, SDI) 시스템에서 관리하는 상기 서비스 요청 장치의 상기 서비스 제공 장치에 대한 접속 권한에 대한 정책을 전달받아 생성되는
SDP 기반 접속 제어 방법.The service requesting device sending a request for a network service to a software defined perimeter (SDP) based access control device;
The SDP-based access control apparatus receiving the request and determining a connection-related policy to be applied to the service providing apparatus providing the network service based on pre-stored policy information;
The SDP-based connection control apparatus transmitting the determined policy to the service providing apparatus;
Wherein the SDP-based connection control apparatus transmits information of the service providing apparatus to the service request apparatus,
The pre-
The SDP-based access control apparatus receives a policy for access right to the service providing apparatus of the service requesting apparatus managed in the Software Defined Infrastructure (SDI) system
SDP based access control method. 제5항에 있어서,
상기 전달받은 정책 정보는,
네트워크 서비스에 따라 연결되어야 하는 서비스 제공 장치에 대한 정책, 서비스 제공 장치에 대한 서비스 요청 장치의 인증에 대한 정책 및 인증된 서비스 요청 장치에 대한 서비스 제공 장치로의 접속 권한 설정 정책을 포함하는
SDP 기반 접속 제어 방법. 6. The method of claim 5,
The received policy information may include,
A policy for authentication of the service requesting device with respect to the service providing device, and a policy for setting access authorization to the service providing device for the authenticated service requesting device,
SDP based access control method.
KR1020160141640A 2016-10-28 2016-10-28 Apparatus and method for controlling access based on software defined perimeter KR102400471B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160141640A KR102400471B1 (en) 2016-10-28 2016-10-28 Apparatus and method for controlling access based on software defined perimeter

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160141640A KR102400471B1 (en) 2016-10-28 2016-10-28 Apparatus and method for controlling access based on software defined perimeter

Publications (2)

Publication Number Publication Date
KR20180046476A true KR20180046476A (en) 2018-05-09
KR102400471B1 KR102400471B1 (en) 2022-05-20

Family

ID=62201085

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160141640A KR102400471B1 (en) 2016-10-28 2016-10-28 Apparatus and method for controlling access based on software defined perimeter

Country Status (1)

Country Link
KR (1) KR102400471B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102415998B1 (en) * 2021-01-13 2022-07-05 한국전자통신연구원 Sdp controller and method capable of load balancing of control channels in software-defined perimeter network system
CN116707807A (en) * 2023-08-09 2023-09-05 中电信量子科技有限公司 Distributed zero-trust micro-isolation access control method and system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101481337B1 (en) * 2013-11-25 2015-01-21 숭실대학교산학협력단 Mobile Communication System Based on Software Defined Networks and Method for Processing Access of Mobile Equipment thereof

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101481337B1 (en) * 2013-11-25 2015-01-21 숭실대학교산학협력단 Mobile Communication System Based on Software Defined Networks and Method for Processing Access of Mobile Equipment thereof

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"마크애니, 클라우드 환경 최적 네트워크 보안 기술 ‘블랙포트’ 발표", 통합관제특집, 2015.04.23. 1부.* *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102415998B1 (en) * 2021-01-13 2022-07-05 한국전자통신연구원 Sdp controller and method capable of load balancing of control channels in software-defined perimeter network system
CN116707807A (en) * 2023-08-09 2023-09-05 中电信量子科技有限公司 Distributed zero-trust micro-isolation access control method and system
CN116707807B (en) * 2023-08-09 2023-10-31 中电信量子科技有限公司 Distributed zero-trust micro-isolation access control method and system

Also Published As

Publication number Publication date
KR102400471B1 (en) 2022-05-20

Similar Documents

Publication Publication Date Title
US20210297410A1 (en) Mec platform deployment method and apparatus
US11258781B2 (en) Context and device state driven authorization for devices
JP6047685B2 (en) Data management for applications with multiple operating modes
US20200120166A1 (en) Virtual hosting device and service to provide software-defined networks in a cloud environment
KR102036758B1 (en) Fast smart card logon and federated full domain logon
US9326145B2 (en) System and method for application usage controls through policy enforcement
US10623446B1 (en) Multi-factor authentication for applications and virtual instance identities
US20180115611A1 (en) Control of network connected devices
JP6996824B2 (en) Key acquisition methods and devices, as well as communication systems
EP4250644A2 (en) Registering and requesting services in a service based architecture
JP2016526223A (en) Mobile application identity verification for mobile application management
US20170238183A1 (en) Mac address-bound wlan password
EP3127002B1 (en) Mobile device management broker
US20170238236A1 (en) Mac address-bound wlan password
KR101620254B1 (en) Method and apparatus for controlling access
US10931655B2 (en) Apparatus and method for supporting bidirectional communication using unidirectional communication
CN109496411B (en) Method and system for improving network security
JP2020514863A (en) Certificate acquisition method, authentication method and network device
JP2023552421A (en) Remote management of hardware security modules
US20140359696A1 (en) Interoperability between authorization protocol and enforcement protocol
WO2018133583A1 (en) Method, device and system for managing security space on equipment
US10277713B2 (en) Role-based access to shared resources
KR102058283B1 (en) Secure Interoperability Framework between diverse IoT Service Platforms and Apparatus
KR102400471B1 (en) Apparatus and method for controlling access based on software defined perimeter
KR101730984B1 (en) Data management for an application with multiple operation modes

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant