KR20180056895A - Sdn의 방화벽 응용의 검증시스템 및 그 검증방법 - Google Patents
Sdn의 방화벽 응용의 검증시스템 및 그 검증방법 Download PDFInfo
- Publication number
- KR20180056895A KR20180056895A KR1020160154810A KR20160154810A KR20180056895A KR 20180056895 A KR20180056895 A KR 20180056895A KR 1020160154810 A KR1020160154810 A KR 1020160154810A KR 20160154810 A KR20160154810 A KR 20160154810A KR 20180056895 A KR20180056895 A KR 20180056895A
- Authority
- KR
- South Korea
- Prior art keywords
- firewall
- sdn
- module
- packet
- flow table
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명에 따른 SDN 컨트롤러를 포함하는 SDN의 방화벽 응용의 검증시스템은 네트워크상의 방화벽 규칙(Firewal Policy)에 기초한 제1 프로세스와 상기 네트워크 토폴로지의 오픈 플로우 테이블에 기초하며 상기 제1 프로세스와 병렬적으로 수행되는 제2 프로세스의 동작상태를 비교하여, 상기 제1 프로세스와 상기 제2 프로세스 간의 교착상태(deadlock) 발생정보를 생성하는 방화벽 검증 프레임 모듈 및 상기 방화벽 규칙 등을 제어하며, 상기 방화벽 검증 프레임 모듈로부터 전송된 상기 제1 프로세스와 상기 제2 프로세스 간의 교착상태 발생정보를 기초로 하여, 상기 오픈 플로우 테이블이 상기 방화벽 규칙을 정상적으로 시행하고 있는지 여부를 판단하는 SDN 컨트롤러를 포함한다.
Description
본 발명은 SDN의 방화벽 응용의 검증시스템 및 그 검증방법에 관한 것이다.
SDN(Software Defined Networking, 이하 SDN이라 함.)은 오픈 플로우(OpenFlow)와 같은 오픈 API(Application programming interface)를 통해, 네트워크 장비의 제어부분을 데이터 전송부분과 분리하여 소프트웨어로 관리하는 기술이다.
본 발명은 방화벽 응용에서, SDN 컨트롤러에 내려진 방화벽 규칙이 깨어짐을 탐지하는 프레임워크를 통해, SDN 컨트롤러에 내려지는 방화벽 규칙들을 검증할 수 있는 SDN의 방화벽 응용의 검증시스템 및 그 검증방법을 제공한다.
본 발명에 따른 SDN 컨트롤러를 포함하는 SDN의 방화벽 응용의 검증시스템은 네트워크상의 방화벽 규칙(Firewal Policy)에 기초한 제1 프로세스와 상기 네트워크 토폴로지의 오픈 플로우 테이블에 기초하며 상기 제1 프로세스와 병렬적으로 수행되는 제2 프로세스의 동작상태를 비교하여, 상기 제1 프로세스와 상기 제2 프로세스 간의 교착상태(deadlock) 발생정보를 생성하는 방화벽 검증 프레임 모듈 및 상기 방화벽 규칙 등을 제어하며, 상기 방화벽 검증 프레임 모듈로부터 전송된 상기 제1 프로세스와 상기 제2 프로세스 간의 교착상태 발생정보를 기초로 하여 상기 오픈 플로우 테이블이 상기 방화벽 규칙을 정상적으로 시행하고 있는지 여부를 판단하는 SDN 컨트롤러를 포함한다.
본 발명에 따른 SDN의 방화벽 응용의 검증시스템의 제어방법은 방화벽 검증 프레임 모듈에서, 네트워크상의 방화벽 규칙에 기초한 제1 프로세스와 상기 네트워크 토폴로지의 오픈 플로우 테이블에 기초하며 상기 제1 프로세스와 병렬적으로 수행되는 제2 프로세스의 동작상태를 비교하여, 상기 제1 프로세스와 상기 제2 프로세스 간의 교착상태 발생정보를 생성하는 제1 단계 및 SDN 컨트롤러에서, 상기 방화벽 검증 프레임 모듈로부터 전송된 상기 제1 프로세스와 상기 제2 프로세스 간의 교착상태(deadlock) 발생정보를 기초로 하여, 상기 오픈 플로우 테이블이 상기 방화벽 규칙을 정상적으로 시행하고 있는지 여부를 판단하는 제2 단계를 포함한다.
본 발명에 따른 SDN의 방화벽 응용의 검증시스템은 패킷의 방화벽 규칙에 대한 제1 프로세스와 오픈 플로우 테이블에 대한 제2 프로세스를 병렬적으로 수행하여, 양 프로세스 간의 교착상태 전환여부를 판단함으로써, 방화벽 규칙이 오픈 플로우 테이블에서 정상적으로 시행되는지 여부를 판단할 수 있으며, 이를 통해 SDN 네트워크의 안전성과 일관성을 확보할 수 있다.
도 1은 본 발명의 일 실시 예에 따른 SDN의 방화벽 응용의 검증시스템의 기능을 나타낸 블록도이다.
도 2는 본 발명의 일 실시 예에 따른 SDN의 방화벽 응용의 검증시스템의 제어방법을 나타낸 흐름도이다.
도 3a는 SDN의 방화벽 규칙을 나타내며, 도 3b는 SDN 네트워크 상에서의 체인 토폴로지 형식으로 연결된 스위치를 나타내며, 도 3c는 체인 토폴로지 형식으로 연결된 스위치에 대한 오픈플로우 테이블을 나타내며, 도 3d는 SDN 방화벽 규칙을 변환한 FW 프로세스를 나타낸다.
도 2는 본 발명의 일 실시 예에 따른 SDN의 방화벽 응용의 검증시스템의 제어방법을 나타낸 흐름도이다.
도 3a는 SDN의 방화벽 규칙을 나타내며, 도 3b는 SDN 네트워크 상에서의 체인 토폴로지 형식으로 연결된 스위치를 나타내며, 도 3c는 체인 토폴로지 형식으로 연결된 스위치에 대한 오픈플로우 테이블을 나타내며, 도 3d는 SDN 방화벽 규칙을 변환한 FW 프로세스를 나타낸다.
본 발명의 목적, 특정한 장점들 및 신규한 특징들은 첨부된 도면들과 연관되어지는 이하의 상세한 설명과 바람직한 실시 예들로부터 더욱 명백해질 것이다. 본 명세서에서 각 도면의 구성요소들에 참조번호를 부가함에 있어서, 동일한 구성 요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 번호를 가지도록 하고 있음에 유의하여야 한다. 또한, "일면", "타면", "제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위해 사용되는 것으로, 구성요소가 상기 용어들에 의해 제한되는 것은 아니다.
본 발명을 설명함에 있어서, 본 발명의 요지를 불필요하게 흐릴 수 있는 관련된 공지 기술에 대한 상세한 설명은 생략하며, 실시 예가 다른 경우에도 동일 번호는 동일한 부품 또는 소재를 나타낸다.
이하, 도면을 참조하여, 본 발명인 SDN의 방화벽 응용의 검증시스템에 대해 보다 상세히 설명할 것이다. SDN(Software Defined Networking, 이하 SDN이라 함.)은 오픈 플로우(OpenFlow)와 같은 오픈 API(Application programming interface)를 통해, 네트워크 장비의 제어부분을 데이터 전송부분과 분리하여 소프트웨어로 관리하는 기술이다.
여기에서, SDN의 패킷 행위를 위한 모델(IMPL 이라함.)과 상기 IMPL이 만족해야 하는 속성(Property)을 위한 스펙(spec)을 명시하며, 스펙(spec)은 하기의 [수학식 1]의 방법으로 묘사되며, IMPL이 검증속성(Property)에 위반된다면 스펙(spec)은 IMPL의 프로세스를 멈추게 하고, 반면에 검증속성에 위반되지 않으면 스펙(spec)은 IMPL의 프로세스에 개입하지 않는다.
그리고, 스펙(spec)과 IMPL의 병행구성은 검증속성이 만족되면 계속 수행되며, 검증속성에 위배되면 교착상태(deadlock)가 발생한다.
여기에서, Sync는 스펙(SPEC)과 IMPL 사이의 synchronization channel의 집합이며, ALLR은 IMPL 안의 자원(Resources)의 집합이고, IDLE은 아무것도 수행하지 않는 idling 프로세스이다.
도 1은 본 발명의 일 실시 예에 따른 SDN의 방화벽 응용의 검증시스템의 기능을 나타낸 블록도이며, 도 2는 본 발명의 일 실시 예에 따른 SDN의 방화벽 응용의 검증시스템의 제어방법을 나타낸 흐름도이다.
본 발명의 일 실시 예에 따른 SDN의 방화벽 응용의 검증시스템(10, 실시예에 따라 방화벽 검증시스템으로 명명될 수도 있음)은 FW 프로세스(제1 프로세스)와 PATH 프로세스(제2 프로세스) 간의 교착상태(deadlock) 발생정보를 생성하는 방화벽 검증 프레임 모듈(110, 실시예에 따라 방화벽 검증 장치로 명명될 수도 있음)과 상기 교착상태 발생정보를 기초로 방화벽 규칙의 정상적 시행여부를 판단하는 SDN 컨트롤러(100)를 포함한다.
방화벽 검증 프레임 모듈(110)은 네트워크상의 방화벽 규칙에 기초한 FW 프로세스(제1 프로세스)와 상기 네트워크 토폴로지의 오픈 플로우 테이블에 기초하며 상기 FW 프로세스와 병렬적으로 수행되는 PATH 프로세스(제2 프로세스)의 동작상태를 비교하여 상기 FW 프로세스(제1 프로세스)와 상기 PATH 프로세스(제2 프로세스) 간의 교착상태(deadlock) 발생정보를 생성한다.
방화벽 검증 프레임 모듈(110)은 방화벽 규칙을 기설정된 프로그램 언어를 이용하여 FW 프로세스(제1 프로세스)로 변환하는 방화벽 변환모듈(111), 상기 프로그램 언어를 이용하여 오픈 플로우 테이블을 PATH 프로세스(제2 프로세스)로 변환하는 오픈 플로우 테이블 변환모듈(112) 및 상기 FW 프로세스(제1 프로세스)와 상기 PATH 프로세스(제2 프로세스) 간의 교착상태(deadlock) 발생여부에 대한 정보를 생성하는 검증모듈(113)을 포함한다.
여기에서, 상기 기설정된 프로그램 언어는 pACSR(packeted ACSR)일 수 있으며, pACSR은 통신채널에 SDN 네트워크상에서 패킷을 주고받는 데에 사용되는 언어로서, ACSR(Algebra of Communicating Shared Resource)을 SDN 네트워크 모델링에 맞추어 확장한 언어이다. ACSR은 CCS(Calculus for Communication system)에 기반한 프로세스 대수(Process Algebra)로서 시간, 자원, 우선순위, 동시간 등 실시간 시스템에 필요한 여러 개념을 포함한다.
pACSR은 SDN을 모델링하기 위해 ACSR의 문법을 개선하였으며, 개선된 문법은 하기의 [표 1] 및 [표 2]에 도시된 내용과 같다.
방화벽 변환모듈(111)은 방화벽 규칙을 pACSR 프로그램 언어를 이용하여 상기 FW 프로세스(제1 프로세스)로 변환하는 제1 변환모듈(111b)과 상기 FW 프로세스(제1 프로세스)를 수행하는 FW 프로세스 모듈(111c, 실시 예에 따라 제1 프로세스 모듈로 명명될 수도 있음)을 포함한다.
즉, 방화벽 변환모듈(111)에서 기설정된 프로그램 언어를 이용하여 상기 방화벽 규칙을 상기 FW 프로세스(제1 프로세스)로 변환하며(S110), 상기 패킷에 대한 상기 FW 프로세스(제1 프로세스)를 수행한다(제 1-1 단계)(S120).
보다 구체적으로, 제1 변환모듈(111b)에서 상기 방화벽 규칙을 상기 pACSR 프로그램 언어를 이용하여 하기의 [표 3]과 같이 상기 방화벽 규칙을 FW 프로세스(제1 프로세스)로 변환한다.
FW 프로세스 모듈(111c)에서, 상기 패킷이 상기 네트워크에 진입했을 때, 상호 동기화를 위해 오픈 플로우 테이블 변환모듈(112)로부터 전송된 상기 이벤트 in 신호(이벤트 입력 신호)를 기다리며, 상기 동기화 이후 상기 패킷에 대해 상기 FW 프로세스(제1 프로세스)를 수행한다.
여기에서, 방화벽 규칙들은 연속성을 갖으며, 순차적으로 적용되고, 각각의 규칙은 기본적으로 매칭조건과 'allow' 또는 'drop' 같은 액션(action)으로 구성되며, r1~ rn 은 0< i < n 과 packet(pkt)에 대해 순서가 있는 방화벽 규칙이다. ci(pkt)와 ai 조건 과 ri 의 액션에 각각 매칭된다.
여기서, FW 프로세스(제1 프로세스)는 channel in을 통하여 pkt을 받으면 T(ri , pkt)로 진행되며, T(ri , pkt) i 번째 규칙의 pACSR process로 대응된다. 만약, pkt가 ci 조건에 매치된다면 T(ri , pkt)는 Act(ai)가 되며, 그렇지 않을 경우에는 다음 규칙을 체크하기 위해, T(ri+ 1 , pkt) 상태가 된다.
프로세스 Act(ai)는 PATH 프로세스(제2 프로세스)에 'out'을 보낸다. 액션이 'allow'인 경우, SDN 네트워크에 패킷을 내보내기 위한 명령어로써, 'drop'의 경우에, Act(ai)는 단지 다음 패킷을 처리하기 위한 FW 프로세스(제1 프로세스)로 돌아간다.
오픈 플로우 테이블 변환모듈(112)은 오픈 플로우 테이블을 pACSR 프로그램 언어를 이용하여 PATH 프로세스(제2 프로세스)로 변환하는 제2 변환모듈(112b)과 상기 PATH 프로세스(제2 프로세스)를 수행하는 PATH 프로세스 모듈(112c, 실시 예에 다라 제2 프로세스 모듈로 명명될 수도 있음)을 포함한다.
즉, 오픈 플로우 테이블 변환모듈(112)에서, 기설정된 프로그램 언어를 이용하여 상기 오픈 플로우 테이블을 상기 PATH 프로세스(제2 프로세스)로 변환하며(S140), 상기 패킷에 대한 상기 PATH 프로세스(제2 프로세스)를 수행한다(제 1-2 단계)(S150).
보다 구체적으로, 제2 변환모듈(112b)에서, 상기 네트워크 토폴로지의 오픈 플로우 테이블을 pACSR 프로그램 언어를 이용하여 하기의 [표 4]와 같이 PATH 프로세스(제2 프로세스)로 변환한다.
그리고, PATH 프로세스 모듈(112c)에서, 상기 패킷을 상기 네트워크 토폴로지에 기초하여 구성된 적어도 하나 이상의 스위치에 순차적으로 전송하는 상기 PATH 프로세스(제2 프로세스)를 수행하며, 상기 패킷이 상기 네트워크에 진입했을 때 상호 동기화를 위해 in 채널을 통하여 이벤트 in 신호를 방화벽 변환모듈(111)에 전송한다.
여기에서, PATH 프로세스(제2 프로세스)는 pkt의 행위(act)를 묘사하기 위한 프로세스이며, SWf 는 pkt가 들어가는 첫번째 스위치이며, 스위치 i에 대해, mi1, mi2 ~ mik , 0<j<k 와 패킷(pkt)에 대한 i번째 스위치의 오픈 플로우 테이블 안에 순서가 있는 규칙들이다. cij 와 mij 의 ai 는 각각 매치조건과 액션이다.
오픈 플로우 테이블의 액션은 'out_port:l' 또는 'drop'으로 가정하며, 만약 포트 l 이 스위치 i에 연결되어 있다면 'out_port:l'을 (out_port,i)로 대체한다. 포트 l은 바깥 네트워크에 연결되어 있을 경우에, 'out_port:l'은 (out_port,nwout)로 대체한다.
PATH 프로세스(제2 프로세스)는 채널 'in'을 통해 패킷정보를 보내며, 그 다음 pkt을 위해 첫번째로 반응하는 SWf (pkt)가 된다. 오픈 플로우 테이블의 변환은 방화벽 규칙의 변환과 비슷하며, 다른 점은 규칙의 매치가 스위치의 소비를 야기하며, PATH 프로세스(제2 프로세스)는 one time unit 동안 스위치의 자원(SWi)을 소모한다. 그리고, PATH 프로세스(제2 프로세스)는 다음 스위치의 위치에 의존하는 SWK(pkt) 또는 NWOUT 된다.
예를 들면, 'in.{sw1}:{sw2}:{sw5}:out'는 패킷이 네트워크 안으로 유입에서부터 떠남에 까지 스위치 1, 2 그리고 5를 통과하는 것을 가리킨다. 'in.{sw1}:{sw2}:{}*' 동안, 패킷은 스위치 1과 그 다음 스위치 2에서 폐기된다.
검증모듈(113)에서, 상기 FW 프로세스(제1 프로세스)와 상기 PATH 프로세스(제2 프로세스) 간의 병렬적 동작상태를 비교하여, 상기 FW 프로세스(제1 프로세스)와 상기 PATH 프로세스(제2 프로세스) 간의 교착상태(deadlock) 발생여부에 대한 정보를 생성한다(제1-3 단계)(S160).
즉, 검증모듈(113)은 하기의 [표 5]에 따라 상기 FW 프로세스(제1 프로세스)와 상기 PATH 프로세스(제2 프로세스) 간의 불일치에 따른 교착상태 발생여부에 대한 정보를 생성한다.
SDN 컨트롤러(100)는 상기 방화벽 규칙(Firewal Policy) 등을 제어하며, 상기 방화벽 검증 프레임 모듈(110)로부터 전송된 상기 FW 프로세스(제1 프로세스)와 상기 PATH 프로세스(제2 프로세스) 간의 교착상태(deadlock) 발생정보를 기초로 하여, 상기 오픈 플로우 테이블이 상기 방화벽 규칙을 정상적으로 시행하고 있는지 여부를 판단한다.
SDN 컨트롤러(100)는 포워딩 및 패킷처리룰 등을 결정하여 하위 SDN 스위치(114~117)에 포워딩 룰을 내려주며, SDN 디바이스(120)는 SDN 컨트롤러(100)의 지시에 의해, 포워딩 룰에 따라 패킷전송을 수행한다.
SDN 컨트롤러(100)는 보안규칙(Security policy)(140), QoS(Quality of Service) 규칙(150), 방화벽 규칙(Firewall policy)(130) 등에 따라 SDN 네트워크를 제어하며, SDN 스위치들(114~117)은 트래픽에 대한 가시성, 테넌트 간 트래픽 분리, 트래픽에 대한 세밀한 제어 등의 기능을 제공한다.
이하, 도 3a 내지 도 3d를 참조하여, 본 발명에 따른 SDN의 방화벽 응용의 검증방법에 대해 보다 상세히 설명할 것이다.
도 3a는 SDN의 방화벽 규칙을 나타내며, 도 3b는 SDN 네트워크 상에서의 체인 토폴로지 형식으로 연결된 스위치를 나타내며, 도 3c는 체인 토폴로지 형식으로 연결된 스위치에 대한 오픈 플로우 테이블을 나타내며, 도 3d는 SDN 방화벽 규칙을 변환한 FW 프로세스를 나타낸다.
도 3a에 도시된 바와 같이, SDN 네트워크의 방화벽 규칙이 R1, R2 및 R3로 이루어진 경우, 첫번째 규칙(R1)은 패킷의 소스 IP(srcIP)가 'l'인 경우 패킷은 드랍(drop)되며, 두번째 규칙(R2)은 패킷의 목적 IP(dstIP)가 '2'인 경우 허용(allow)되고, 세번째 규칙(R3)은 다른 패킷들이 네트워크 상에서 허락되지 않는 것을 의미한다.
도 3d에 도시된 바와 같이, 도 3a의 방화벽 규칙은 제1 변환모듈(111b)을 통해 pACSR 언어를 이용하여 FW 프로세스(제1 프로세스)로 변환되어, FW 프로세스 모듈(111c)을 통해 패킷의 방화벽 규칙에 대한 FW 프로세스(제1 프로세스)를 수행한다.
그리고, 제2 변환모듈(112b)은 하기의 [표 6]에 도시된 바와 같이, SDN 컨트롤러(100)를 통해 생성된 도 3c의 오픈 플로우 테이블을 pACSR 언어를 이용하여 PATH 프로세스(제2 프로세스)로 변환하며, PATH 프로세스 모듈(112c)은 패킷에 대해 PATH 프로세스(제2 프로세스)를 수행한다.
예를 들면, srcIP= l, dstIP = 2인 패킷이 네트워크에 진입했을 때, PATH 프로세스(제2 프로세스)는 'event in'을 통해, 패킷을 FW 프로세스(제1 프로세스)로 보내어 상호 동기화하며, PATH 프로세스(제2 프로세스)는 SW1(114) 프로세스를 수행한다.
그리고, 패킷은 dstIP = 2 이기 때문에 SW2(115) 까지 이동할 수 있으며, SW2에서는 패킷의 srcIP= l 이기 때문에 SW2(115)에서는 드랍(drop)됨으로써 SW2는 'idle' 상태로 유지된다.
FW 프로세스(제1 프로세스)는 첫번째 규칙(R1)이 패킷의 srcIP가 'l'인 경우 드랍(drop)이기 때문에, 초기상태로 되돌아가서 'idle' 상태가 유지된다.
따라서, 패킷의 PATH 프로세스(제2 프로세스)와 FW 프로세스(제1 프로세스) 모두 'idle' 상태가 유지되며, 양 프로세스 간에 교착상태(deadlock)가 발생하지 않음으로써, SDN 컨트롤러(100)는 오픈 플로우 테이블이 방화벽 규칙을 정상적으로 수행하고 있다고 판단할 수 있다.
이상 본 발명을 구체적인 실시 예를 통하여 상세히 설명하였으나, 이는 본 발명을 구체적으로 설명하기 위한 것으로, 본 발명에 따른 SDN의 방화벽 응용의 검증시스템 및 그 검증방법은 이에 한정되지 않으며, 본 발명의 기술적 사상 내에서 당해 분야의 통상의 지식을 가진 자에 의해 그 변형이나 개량이 가능함은 명백하다고 할 것이다.
본 발명의 단순한 변형 내지 변경은 모두 본 발명의 영역에 속하는 것으로 본 발명의 구체적인 보호범위는 첨부된 특허청구범위에 의하여 명확해질 것이다. 또한, 본 발명에 관한 상세한 내용은 Miyoung KANG 등의 논문("A Verification Method of SDN Firewall Applications, IEICE TRANS. COMMUN., VOL.E99-B, NO.7 JULY 2016)이 참조될 수 있다.
10 : SDN의 방화벽 응용의 검증시스템
100 : SDN 컨트롤러
110 : 방화벽 검증 프레임 모듈
111 : 방화벽 변환모듈
112 : 오픈 플로우 테이블 변환모듈
100 : SDN 컨트롤러
110 : 방화벽 검증 프레임 모듈
111 : 방화벽 변환모듈
112 : 오픈 플로우 테이블 변환모듈
Claims (8)
- 네트워크상의 방화벽 규칙(Firewal Policy)에 기초한 제1 프로세스와 오픈 플로우 테이블에 기초하며 상기 제1 프로세스와 병렬적으로 수행되는 제2 프로세스의 동작상태를 비교하여, 상기 제1 프로세스와 상기 제2 프로세스 간의 교착상태(deadlock) 발생정보를 생성하는 방화벽 검증 프레임 모듈; 및
방화벽 규칙을 제어하며, 상기 방화벽 검증 프레임 모듈로부터 전송된 상기 제1 프로세스와 상기 제2 프로세스 간의 교착상태 발생정보를 기초로 하여 상기 오픈 플로우 테이블이 상기 방화벽 규칙을 정상적으로 시행하고 있는지 여부를 판단하는 SDN 컨트롤러를 포함하는,
SDN의 방화벽 응용의 검증시스템.
- 청구항 1에 있어서,
상기 방화벽 검증 프레임 모듈은,
기설정된 프로그램 언어를 이용하여 상기 방화벽 규칙을 상기 제1 프로세스로 변환하며, 패킷에 대한 상기 제1 프로세스를 수행하는 방화벽 변환모듈;
상기 기설정된 프로그램 언어를 이용하여 상기 오픈 플로우 테이블을 상기 제2 프로세스로 변환하며, 상기 패킷에 대한 제2 프로세스를 수행하는 오픈 플로우 테이블 변환모듈; 및
상기 제1 프로세스와 상기 제2 프로세스 간의 병렬적 동작상태를 비교하여 상기 제1 프로세스와 상기 제2 프로세스 간의 교착상태(deadlock) 발생여부에 대한 정보를 생성하는 검증모듈을 포함하는,
SDN의 방화벽 응용의 검증시스템.
- 청구항 2에 있어서,
상기 오픈 플로우 테이블 변환모듈은,
상기 오픈 플로우 테이블을 상기 기설정된 프로그램 언어를 이용하여 상기 제2 프로세스로 변환하는 제2 변환모듈; 및
상기 패킷을 적어도 하나 이상의 스위치에 순차적으로 전송하는 상기 제2 프로세스를 수행하며, 상기 패킷이 상기 네트워크에 진입했을 때 상호 동기화를 위해 이벤트 입력 신호를 상기 방화벽 변환모듈에 전송하는 제2 프로세스 모듈을 포함하는,
SDN의 방화벽 응용의 검증시스템.
- 청구항 3에 있어서,
상기 방화벽 변환모듈은,
상기 방화벽 규칙을 상기 기설정된 프로그램 언어를 이용하여 상기 제1 프로세스로 변환하는 제1 변환모듈; 및
상기 패킷이 상기 네트워크에 진입했을 때, 상호 동기화를 위해 상기 PATH 변환모듈로부터 전송된 상기 이벤트 입력 신호를 수신하며, 상기 동기화 이후 상기 패킷에 대해 상기 제1 프로세스를 수행하는 제1 프로세스 모듈을 포함하는,
SDN의 방화벽 응용의 검증시스템.
- 방화벽 검증 프레임 모듈에서, 네트워크상의 방화벽 규칙에 기초한 제1 프로세스와 오픈 플로우 테이블에 기초하며 상기 제1 프로세스와 병렬적으로 수행되는 제2 프로세스의 동작상태를 비교하여 상기 제1 프로세스와 상기 제2 프로세스 간의 교착상태(deadlock) 발생정보를 생성하는 제1 단계; 및
SDN 컨트롤러에서, 상기 방화벽 검증 프레임 모듈로부터 전송된 상기 제1 프로세스와 상기 제2 프로세스 간의 교착상태 발생정보를 기초로 하여 상기 오픈 플로우 테이블이 상기 방화벽 규칙을 정상적으로 시행하고 있는지 여부를 판단하는 제2 단계를 포함하는,
SDN의 방화벽 응용의 검증시스템의 검증방법.
- 청구항 5에 있어서,
상기 제1 단계는,
방화벽 변환모듈에서, 기설정된 프로그램 언어를 이용하여 상기 방화벽 규칙을 상기 제1 프로세스로 변환하며, 패킷에 대한 상기 제1 프로세스를 수행하는 제1-1 단계;
오픈 플로우 테이블 변환모듈에서, 상기 기설정된 프로그램 언어를 이용하여 상기 오픈 플로우 테이블을 상기 제2 프로세스로 변환하여, 상기 패킷에 대한 제2 프로세스를 수행하는 제1-2 단계; 및
검증모듈에서, 상기 제1 프로세스와 상기 제2 프로세스 간의 병렬적 동작상태를 비교하여, 상기 제1 프로세스와 상기 제2 프로세스 간의 교착상태 발생여부에 대한 정보를 생성하는 제1-3 단계를 포함하는,
SDN의 방화벽 응용의 검증시스템의 검증방법.
- 청구항 6에 있어서,
상기 제1-2 단계는,
제2 변환모듈에서, 상기 오픈 플로우 테이블을 상기 기설정된 프로그램 언어를 이용하여 상기 제2 프로세스로 변환하는 단계; 및
제2 프로세스 모듈에서, 상기 패킷을 적어도 하나 이상의 스위치에 순차적으로 전송하는 상기 제2 프로세스를 수행하며, 상기 패킷이 상기 네트워크에 진입했을 때 상호 동기화를 위해 이벤트 입력 신호를 상기 방화벽 변환모듈로 전송하는 단계를 포함하는,
SDN의 방화벽 응용의 검증시스템의 검증방법.
- 청구항 7에 있어서,
상기 제1-1 단계는,
제1 변환모듈에서, 상기 방화벽 규칙을 상기 기설정된 프로그램 언어를 이용하여, 상기 제1 프로세스로 변환하는 단계; 및
제1 프로세스 모듈에서, 상기 패킷이 상기 네트워크에 진입했을 때 상호 동기화를 위해 상기 제2 변환모듈로부터 전송된 상기 이벤트 입력 신호를 수신하며, 상기 동기화 이후 상기 패킷에 대해 상기 제1 프로세스를 수행하는 단계를 포함하는,
SDN의 방화벽 응용의 검증시스템의 검증방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160154810A KR20180056895A (ko) | 2016-11-21 | 2016-11-21 | Sdn의 방화벽 응용의 검증시스템 및 그 검증방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160154810A KR20180056895A (ko) | 2016-11-21 | 2016-11-21 | Sdn의 방화벽 응용의 검증시스템 및 그 검증방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20180056895A true KR20180056895A (ko) | 2018-05-30 |
Family
ID=62300278
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160154810A KR20180056895A (ko) | 2016-11-21 | 2016-11-21 | Sdn의 방화벽 응용의 검증시스템 및 그 검증방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20180056895A (ko) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130126730A (ko) * | 2011-04-04 | 2013-11-20 | 닛본 덴끼 가부시끼가이샤 | 네트워크 시스템, 스위치 및 접속 단말기 검지 방법 |
| KR20140139953A (ko) * | 2013-05-27 | 2014-12-08 | 한국전자통신연구원 | 소프트웨어 정의 네트워킹을 위한 정형 검증 장치 및 방법 |
| KR20150094260A (ko) * | 2014-02-11 | 2015-08-19 | 한국전자통신연구원 | 소프트웨어 정의 네트워킹 환경에서 네트워크 서비스 체인의 정형 검증을 위한 검증 지원 장치 및 방법과, 그 검증 지원 장치를 구비한 정형 검증 장치 |
-
2016
- 2016-11-21 KR KR1020160154810A patent/KR20180056895A/ko not_active Application Discontinuation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130126730A (ko) * | 2011-04-04 | 2013-11-20 | 닛본 덴끼 가부시끼가이샤 | 네트워크 시스템, 스위치 및 접속 단말기 검지 방법 |
| KR20140139953A (ko) * | 2013-05-27 | 2014-12-08 | 한국전자통신연구원 | 소프트웨어 정의 네트워킹을 위한 정형 검증 장치 및 방법 |
| KR20150094260A (ko) * | 2014-02-11 | 2015-08-19 | 한국전자통신연구원 | 소프트웨어 정의 네트워킹 환경에서 네트워크 서비스 체인의 정형 검증을 위한 검증 지원 장치 및 방법과, 그 검증 지원 장치를 구비한 정형 검증 장치 |
Non-Patent Citations (1)
| Title |
|---|
| 논문1:Scopus * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10454806B2 (en) | SDN controller, data center system, and routing connection method | |
| CN108809857B (zh) | 一种基于sdn的流量监控与业务服务质量保障策略的方法 | |
| CN107851109B (zh) | 软件定义网络的配置 | |
| US10972357B2 (en) | SDN network system, controller, and controlling method | |
| RU2589340C2 (ru) | Сетевая система и способ получения данных тега vlan | |
| KR102036056B1 (ko) | 중앙 제어기들에 의한 네트워크들에서의 지연-기반 트래픽 레이트 제어 | |
| US9705745B2 (en) | System and method for virtualizing software defined network (SDN)-based network monitoring | |
| JP5233504B2 (ja) | 経路制御装置およびパケット廃棄方法 | |
| KR101810340B1 (ko) | 정보 시스템, 제어 장치, 통신 방법 및 기록 매체 | |
| KR102067439B1 (ko) | 소프트웨어 정의 네트워킹 기반 네트워크에서 서비스 품질 제공 방법 및 그 장치 | |
| KR20150092351A (ko) | 정보 시스템, 제어 장치, 가상 네트워크의 제공 방법 및 프로그램 | |
| KR20160122226A (ko) | 통신 시스템, 제어 장치, 통신 제어 방법 및 프로그램 | |
| WO2013152569A1 (zh) | 网状网中的节点时钟同步规划方法 | |
| EP2797261B1 (en) | A method and a device for optimizing a configuration system of a network element of a software-defined network | |
| RU2623897C2 (ru) | Способ и устройство для управления пакетами | |
| CN106254274B (zh) | 变电站交换机goose报文传输减少线头阻塞的方法 | |
| CN105024934B (zh) | 一种实时流量调度方法和系统 | |
| US20130148512A1 (en) | Distributed control plane for link aggregation | |
| Khalaf et al. | An improved efficient bandwidth allocation using TCP connection for switched network | |
| Morel et al. | Network services management using programmable data planes for visual cloud computing | |
| KR101812856B1 (ko) | 스위치 장치, vlan 설정 관리 방법, 및 컴퓨터 판독가능 저장매체 | |
| KR101595160B1 (ko) | 소프트웨어 정의 네트워킹 네트워크에서 트랜잭션 관리 방법 | |
| KR20180056895A (ko) | Sdn의 방화벽 응용의 검증시스템 및 그 검증방법 | |
| EP3223455A1 (en) | Method for configuring and implementing operations, administration and maintenance function, and forwarding device | |
| CN106161065B (zh) | 路径的保护倒换处理方法、装置、系统及转发设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application |