KR20190067046A - A security orchestration system - Google Patents

A security orchestration system Download PDF

Info

Publication number
KR20190067046A
KR20190067046A KR1020170167044A KR20170167044A KR20190067046A KR 20190067046 A KR20190067046 A KR 20190067046A KR 1020170167044 A KR1020170167044 A KR 1020170167044A KR 20170167044 A KR20170167044 A KR 20170167044A KR 20190067046 A KR20190067046 A KR 20190067046A
Authority
KR
South Korea
Prior art keywords
security
keeper
tower
box
orchestration system
Prior art date
Application number
KR1020170167044A
Other languages
Korean (ko)
Other versions
KR102034883B1 (en
Inventor
김종원
신준식
Original Assignee
광주과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 광주과학기술원 filed Critical 광주과학기술원
Priority to KR1020170167044A priority Critical patent/KR102034883B1/en
Publication of KR20190067046A publication Critical patent/KR20190067046A/en
Application granted granted Critical
Publication of KR102034883B1 publication Critical patent/KR102034883B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Abstract

According to one embodiment of the present invention, provided is a security orchestration system, which comprises: a tower, which is a logical entity managing the entire infrastructure; guard posts providing security for a plurality of boxes apart from the tower; a keeper connected to the guard posts and tower, and provided with instructions from the guard posts to provide security for the box; and a third party security manager managing only security of the infrastructure by using the guard posts and the keeper.

Description

보안 오케스트레이션 시스템 {A security orchestration system}A security orchestration system {

본 발명은 보안 오케스트레이션 시스템에 관한 발명이다. 구체적으로 본 발명은 계층화된 보안 오케스트레이션 시스템에 관한 발명이다.The present invention relates to a security orchestration system. Specifically, the present invention relates to a layered security orchestration system.

오케스트레이션이란 인프라/서비스 운영자가 정의한 정책 또는 프로파일에 따라 "모니터링-데이터연산-프로비저닝"의 사이클을 자동화하여 IT 인프라/서비스 전체를 지속적으로 개선해 나가는 기술을 말한다. An orchestration is a technology that continuously improves the entire IT infrastructure / service by automating the cycle of "monitoring - data operation - provisioning" according to the policy or profile defined by the infrastructure / service operator.

클라우드가 IT 인프라의 기반 핵심 기술이 되면서, IT 인프라의 규모가 거대/복잡해지고 있다. 날이 갈수록 거대/복잡해지는 IT 인프라를 소프트웨어 도구로 활용하여 모니터링-프로비저닝 절차를 연결함으로써, 자원을 보다 안정적이고 효율적으로 활용하는 오케스트레이션 기술이 매우 중요해지고 있다.As the cloud becomes the core technology of the IT infrastructure, the scale of the IT infrastructure is becoming huge / complicated. Orchestration technology, which uses resources more reliably and efficiently by linking monitoring and provisioning procedures by using IT infrastructure as a software tool as day by day becomes more important.

기존의 오케스트레이션 기술의 경우, 단일 타워와 다수의 서버 에이전트의 구도로 구성되어 있어 확장성에 제한이 있는 문제가 있었다. 각 에이전트는 서버의 호스트 운영체제에서 직접 실행되고, 따라서, 호스트 운영체제의 보안/안정성에 크게 의존하는 경향이 있었다. 또한, 서비스 자원에 대한 보안성만 강조하여 관리 개체에 대한 보안성은 고려하지 않았다.In the case of the existing orchestration technology, a single tower and a plurality of server agents are constituted, and there is a limitation in the scalability. Each agent runs directly on the host operating system of the server, and thus tends to rely heavily on the security / stability of the host operating system. Also, we did not consider the security of the management object by emphasizing only the security of the service resources.

서버-사용자의 연결을 위해 사용자 인증 뿐 아니라 서버의 접속 지점에 대한 보안도 필요한데, 따라서, IT 인프라의 확장에도 변경없이 동일하게 적용가능하며, 관리자/서버/사용자 입장에서 모두 보안을 보장할 수 있는 안전한 통한 오케스트레이션의 기술이 필요하다.In addition to user authentication for server-user connection, it is also necessary to secure the access point of the server. Therefore, it can be applied equally to the expansion of the IT infrastructure without change and can guarantee security from the manager / server / You need a secure orchestration technique.

본 발명은 서비스 환경과 독립적인 보안 셀 및 보안 셀에 배치되는 키퍼를 통해 경제성 및 유연성이 향상된 보안 오케스트레이션 시스템을 제공하는 것을 목적으로 한다.It is an object of the present invention to provide a security orchestration system which is improved in economy and flexibility through a security cell independent of the service environment and a keeper disposed in the security cell.

또한, 본 발명은 변조 불가능한 하드웨어 칩으로부터 인증된 도킹 포인트를 통해 서비스 환경의 감염을 차단하는 안전한 박스 접근 제어 방법을 제공하는 것을 목적으로 한다.It is another object of the present invention to provide a safe box access control method for blocking infection in a service environment through an authenticated docking point from a non-modifiable hardware chip.

본 발명의 일 실시 예에 따른 보안 오케스트레이션 시스템은 인프라 전체를 관리하는 논리적인 개체인 타워, 타워와는 별도로 복수의 박스들에 대한 보안성을 제공하는 감시초소, 상기 감시초소 및 타워와 연결되어 있으며 상기 감시초소로부터 지시를 받아 박스에 대한 보안성을 제공하기 위한 키퍼 및 상기 감시초소와 키퍼를 이용하여 인프라의 보안만을 관리하는 제3자 보안관리자를 포함한다.The security orchestration system according to an embodiment of the present invention is connected to a monitoring station, a monitoring station, and a tower that provide security for a plurality of boxes separately from a tower and a tower, which are logical entities that manage the entire infrastructure A keeper for receiving an instruction from the monitoring station and providing security for the box, and a third party security manager for managing only the security of the infrastructure using the monitoring station and the keeper.

본 발명은 서비스 환경과 독립적인 보안 셀 및 보안 셀에 배치되는 키퍼를 통해 경제성 및 유연성이 향상될 수 있다.The present invention can be improved economically and flexibly through a keeper which is placed in a security cell independent of the service environment and in a security cell.

또한, 본 발명은 변조 불가능한 하드웨어 칩으로부터 인증된 도킹 포인트를 통해 서비스 환경의 감염을 차단해 안전한 박스 접근 제어가 가능하다.In addition, the present invention is capable of safe box access control by blocking infection in a service environment through an authenticated docking point from a non-modifiable hardware chip.

도 1은 본 발명의 일 실시 예에 따른 클러스터 오케스트레이션의 전체적인 컨셉을 나타내는 블록도이다.
도 2는 본 발명의 일 실시 예에 따른 다계층 오케스트레이션 구조를 나타낸다.
도 3은 보안 셀 및 키퍼 구축 단계를 나타낸다.1 is a block diagram illustrating the overall concept of a cluster orchestration according to an embodiment of the present invention.
2 shows a multi-layer orchestration structure according to an embodiment of the present invention.
Figure 3 shows the security cell and keeper building steps.

이하에서는 도면을 참조하여 본 발명의 구체적인 실시예를 상세하게 설명한다. 그러나 본 발명의 사상은 이하의 실시예에 제한되지 아니하며, 본 발명의 사상을 이해하는 당업자는 동일한 사상의 범위 내에 포함되는 다른 실시예를 구성요소의 부가, 변경, 삭제, 및 추가 등에 의해서 용이하게 제안할 수 있을 것이나, 이 또한 본 발명 사상의 범위 내에 포함된다고 할 것이다. Hereinafter, specific embodiments of the present invention will be described in detail with reference to the drawings. It should be understood, however, that there is no intention to limit the invention to the embodiments described below, and that those skilled in the art, upon reading and understanding the spirit of the invention, It is to be understood that this is also included within the scope of the present invention.

첨부 도면은 발명의 사상을 이해하기 쉽게 표현하기 위하여 전체적인 구조를 설명함에 있어서는 미소한 부분은 구체적으로 표현하지 않을 수도 있고, 미소한 부분을 설명함에 있어서는 전체적인 구조는 구체적으로 반영되지 않을 수도 있다. 또한, 설치 위치 등 구체적인 부분이 다르더라도 그 작용이 동일한 경우에는 동일한 명칭을 부여함으로써, 이해의 편의를 높일 수 있도록 한다. 또한, 동일한 구성이 복수 개가 있을 때에는 어느 하나의 구성에 대해서만 설명하고 다른 구성에 대해서는 동일한 설명이 적용되는 것으로 하고 그 설명을 생략한다. The accompanying drawings are merely exemplary and are not to be construed as limiting the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. Further, even if specific parts such as installation positions are different, the same names are given when the functions are the same, so that the convenience of understanding can be improved. When there are a plurality of identical configurations, only one configuration will be described, and the same description will be applied to the other configurations, and a description thereof will be omitted.

본 발명을 설명하기에 앞서, 본 발명과 관련된 주요 배경 기술을 설명한다.Before describing the present invention, the main background art relating to the present invention will be described.

IO Visor: 리눅스 파운데이션의 공식 프로젝트로서, eBPF(enhance Berkeley packet filter) 기능을 활용하여, 박스의 I/O 이벤트를 처리하는 코드를 리눅스 실행 중에 동적으로 삽입, 실행할 수 있는 기술임. 주로 네트워킹, 트레이싱(모니터링), 보안을 주요 타겟으로 함IO Visor: A formal project for the Linux Foundation that utilizes the enhance Berkeley packet filter (eBPF) to dynamically insert and execute code that processes box I / O events during Linux execution. Mainly targeting networking, tracing (monitoring) and security

Landlock: 리눅스 커널의 eBPF 기능을 활용하여 특정 어플리케이션이 호출 가능한 시스템 콜을 강제하는 샌드박스 보안 기술임Landlock: A sandbox security technology that enforces the system call that a specific application can call using the Linux kernel's eBPF feature.

Multi-core Hypervisor: 가상화, 컨테이너와 달리 한 박스 내 하드웨어(CPU 코어, 네트워크 포트 등)를 여러 가상 머신에 "공유"하는 것이 아니라, 한 박스 내에 두 개 이상의 독립된 환경을 만들고 하드웨어를 "할당"하는 방식임Multi-core Hypervisors: Unlike virtualization, containers do not "share" hardware in a box (CPU core, network port, etc.) to multiple virtual machines, but rather create two or more isolated environments within a box and "allocate" Way

Block Chain: 모든 거래 건을 공개 장부에 기록하고 이 건을 블록체인 시스템에 포함된 다수의 노드로부터 공개적으로 검증받아 거래 내역의 위조, 부인을 방지하는 보안 기술Block Chain: A security technique that records all transactions on a public record book and publicly verifies this issue from a number of nodes in the block chain system to prevent counterfeiting and denial of transactions

도 1은 본 발명의 일 실시 예에 따른 클러스터 오케스트레이션의 전체적인 컨셉을 나타내는 블록도이다.1 is a block diagram illustrating the overall concept of a cluster orchestration according to an embodiment of the present invention.

본 발명의 일 실시 에에 따른 클러스터 오케스트레이션 시스템의 구성을 차례로 설명한다.The configuration of a cluster orchestration system according to an embodiment of the present invention will be described in turn.

타워(Tower, 1)는 인프라 전체를 중앙에서 관리하는 논리적인 개체이다. 타워(1)는 Provisioning(P)/ Orchestration(O)/ Visibility(V)/ Intelligence(I)/ Security(S) 센터들고 구성되며, 각 센터가 제공하는 기능들을 활용하여 인프라의 운영 및 관리를 수행한다.Tower (1) is a logical entity that manages the entire infrastructure centrally. Tower (1) is composed of Provisioning (P) / Orchestration (O) / Visibility (V) / Intelligence (I) / Security (S) centers and utilizes the functions provided by each center to manage and manage the infrastructure do.

결과적으로 여러 센터를 묶어 놓은 것이 타워(1)로서, 특정 장소에 모든 센터 박스들이 모여 있을 수도 있고(물리적 타워), 분산된 박스에 있는 센터들을 논리적으로 클러스터링한 형태가 될 수도 있다(논리적 타워). 일반적으로, 단일 또는 복수의 기능(P/O/V/I/S)을 제공하는 요소가 센터라고 지칭되나, 본 발명에서의 타워(1)는 5가지 모든 기능을 물리적/논리적으로 전부 묶은 것을 지칭하는 것으로 일반적인 의미의 센터의 사위 개념으로 정의할 수 있다.As a result, a plurality of centers are connected to each other as a tower 1, and all of the center boxes may be gathered in a specific place (physical tower), and the centers in the distributed box may be logically clustered (logical tower) . Generally, an element providing a single or multiple functions (P / O / V / I / S) is referred to as a center, but the tower 1 in the present invention is a physical / It can be defined as the concept of the obsession of the center in the general sense.

감시초소(Post, 2)는 인프라 운영/관리 주체와는 별도로, 다수의 박스들에 대한 보안성을 제공하는 개체이다. 타워(1)는 인프라를 직접 운영하는 주체가 구축/관리하는 것이나, 감시초소(2)는 보안 솔루션을 제공하는 제 3의 업체가 구축 및 관리하는 것이다.The monitoring post (Post, 2) is an entity that provides security for a large number of boxes, apart from the infrastructure operation / management entity. The tower (1) is constructed and managed by the entity that operates the infrastructure directly, and the monitoring station (2) is constructed and managed by the third party providing the security solution.

여기서 말하는 제3의 업체는 인프라의 운영주체와 독립적인 제3자로서, 각 박스(4)에 독립된 보안 셀(security cell, 6))을 확보하고, 키퍼(Keeper, 3)를 배포하는 역할을 수행한다. 그리고 제3의 업체는 키퍼(3)가 제공하는 보안 모니터링 및 프로비저닝을 활용하여 박스(4)의 보안성을 제공한다.Here, the third company is a third party independent of the operational entity of the infrastructure, securing a separate security cell (6) in each box (4), and distributing the keeper (3) . And the third party utilizes the security monitoring and provisioning provided by the keeper 3 to provide the security of the box 4. [

또한, 감시초소(2)는 타워(1)와는 협업/견제관계를 이루며, 키퍼(3)를 통해 수집한 모니터링 정보를 타워(1)에 제공하며, 동시에 박스(4)뿐 아니라, 타워(1)의 감염 여부를 실시간으로 확인한다.The monitoring station 2 has a cooperation / check relationship with the tower 1 and provides monitoring information collected through the keeper 3 to the tower 1 and at the same time not only the box 4 but also the tower 1 ) In real time.

또한, 감시초소(2)는 박스(4) 감염 시 이를 보안 센터로 보고하며, 타워(1) 감염 시 키퍼(3)를 통해 박스(4)와 타워(1)간의 상호작용을 차단하고 다른 대체 타워로 연결한다. 이 과정에서 감시초소(2)는 다른 타워와 연결될 때까지 임시 타워의 역할을 수행할 수도 있다.The monitoring station 2 reports the infection to the security center when the infection of the box 4 is infected and blocks the interaction between the box 4 and the tower 1 via the keeper 3 upon infection of the tower 1, Connect to tower. In this process, the monitoring station 2 may serve as a temporary tower until it is connected to another tower.

본 발명에서 설명하는 감시초소(2)와 유사한 것으로 기존의 보안 업체에서 제공하는 security operation center가 있는데, 이는 각 박스에 직접 설치되는 에이전트, 안티바이러스 등의 솔루션 업데이트, 보안 모니터링을 중앙에서 해주는 역할에 제한된다. 하지만, 본 발명에서 제안하는 감시초소(2)는 이러한 수동적인 기능에 더하여 원격 박스(4)에 보안 셀(6)을 구축하고, 키퍼(3)를 배포함과 동시에 키퍼(3)가 오케스트레이션도 관리한다. 더하여, 본 발명의 감시초소(2)는 중앙의 타워(1)와 협업/견제하는 역할을 수행하기 때문에, 기존의 security center를 크게 확장하는 개념으로 볼 수 있다.Similar to the monitoring point 2 described in the present invention, there is a security operation center provided by a conventional security company. This is a function of updating the solution installed directly in each box, anti-virus solution, Is limited. However, in addition to this passive function, the monitoring station 2 proposed in the present invention is constructed in such a manner that the security cell 6 is built in the remote box 4, and the keeper 3 is simultaneously orchestrated Management. In addition, since the monitoring station 2 of the present invention plays a role of collaborating / checking with the central tower 1, it can be seen that the existing security center is greatly expanded.

키퍼(3)는 서비스 셀(5)의 보안성을 제공하기 위한 모니터링/프로비저닝을 직접 수행하는 개체이다. 키퍼(3)는 박스 내에 안전하게 확보된 독립적인 공간인 보안 셀(6)에 위치하여, 상위 타워(1)/감시초소(2)와의 상호작용을 통해 박스의 오케스트레이션을 위한 모니터링/프로비저닝을 수행한다.The keeper 3 is an entity that directly performs monitoring / provisioning to provide security of the service cell 5. [ The keeper 3 is located in the security cell 6 which is an independent space securely secured in the box and performs monitoring / provisioning for orchestration of the box through interaction with the upper tower 1 / monitoring station 2 .

키퍼(3)는 타워(1) 및 감시초소(2)와 동시에 연결되어 있으며, 기본적으로는 감시초소의 지시를 받는다. 본 발명의 키퍼(3)는 일반적으로 사용하는 에이전트(관리/운영 기능을 박스안에서 대행함) 또는 보안 모듈(박스 안을 모니터링 하거나 보안 기능을 설정함)과 유사성이 있으나, 본 발명의 키퍼(3)는 서비스가 실행되는 박스와 독립된 공간인 보안 셀(6)에서 박스(4)를 안전하게 지켜주는 제3자 보안 기능을 제공한다.The keeper 3 is connected to the tower 1 and the monitoring station 2 at the same time, and basically receives an instruction of the monitoring station. The keeper 3 of the present invention is similar to a commonly used agent (acting as a management / operation function in a box) or a security module (monitoring a box or setting a security function) Provides a third party security function that safely protects the box 4 in the security cell 6, which is a space independent of the box in which the service is executed.

박스(4)는 외부 사용자(9)가 어플리케이션을 실행하기 위한 자원을 제공하는 장비이다(예를 들면, 서버, 스위치를 포함하는 IT 기기). 박스(4)는 본 발명에서 제안하는 보안 기술의 적용 대상이다.The box 4 is a device (for example, an IT device including a server and a switch) in which an external user 9 provides resources for executing an application. The box (4) is the application target of the security technology proposed in the present invention.

박스(4)는 키퍼(3)를 위해 내부 자원(예를 들어 CPU, Memory, NIC, 주변기기를 지칭함)의 일부를 독립적인 보안 셀(6)로 분할한다. 이를 통해 박스(4) 내에는 서비스 셀(5)과 보안 셀(6)이 함께 위치하게 되며, 서비스 셀(5)과 보안 셀(6)은 물리적으로 분리되어 있다.The box 4 divides part of the internal resources (for example, CPU, Memory, NIC, peripheral) into independent security cells 6 for the keeper 3. Thereby, the service cell 5 and the security cell 6 are located together in the box 4, and the service cell 5 and the security cell 6 are physically separated.

인프라 운영자(7)는 다수의 박스, 클러스터로 구성된 멀티사이트 인프라를 관리하는 주체이다. 인프라 운영자(7)는 사용자(9)가 개발한 어플리케이션(또는 서비스)를 실행/운영하기 위한 인프라 자원을 제공한다. 인프라 운영자(9)는 멀티사이트 인프라의 효율적인 운영을 위해 다양한 소프트웨어 도구들이 준비된 타워를 통해 인프라를 자동화 기반으로 운영한다. 인프라 운영자(9)는 타워(1)만 직접 상호 작용한다.The infrastructure operator 7 manages a multi-site infrastructure composed of a plurality of boxes and clusters. The infrastructure operator 7 provides infrastructure resources for executing / operating the application (or service) developed by the user 9. Infrastructure Operator (9) operates the infrastructure on an automated basis through towers equipped with various software tools for efficient operation of multi-site infrastructure. The infrastructure operator 9 interacts directly with the tower 1 only.

제3자 보안 관리자(8)는 인프라 운영자(7)와는 별개로 인프라의 보안 측면만을 관리하는 주체이다. 감시초소(2)와 키퍼(3)의 박스(4)에 대한 프로비저닝 권한은 보안을 위해 필요한 특정 범위/명령으로 제한되며, 이 외 서비스 환경에 영향을 미치는 프로비저닝 권한은 없다. 이에 반하여 제3자 보안관리자는 감시초소(2)와 키퍼(3)를 활용하여 박스(4)를 대상으로 보안 측면의 프로비저닝/모니터링을 수행하며, 수집한 모니터링 정보를 인프라 운영자(7)에게 제공한다. The third-party security manager 8 manages only the security aspects of the infrastructure separately from the infrastructure operator 7. The provisioning authority for the monitoring station 2 and the box 4 of the keeper 3 is limited to a specific range / command necessary for security and there is no provisioning authority affecting other service environments. On the other hand, the third-party security manager performs provisioning / monitoring on the security side with respect to the box 4 using the monitoring station 2 and the keeper 3, and provides the collected monitoring information to the infrastructure operator 7 do.

사용자(9)는 인프라 자원을 할당받아 사용하고자 하는 주체이다. 사용자(9)는 자원 할당 받을 때 운영자와 상호작용하며, 자원 할당 후에는 도킹 포인트(10)를 통해 박스 자원을 직접 사용한다.The user 9 is a subject who wants to use the infrastructure resources. The user 9 interacts with the operator when the resource is allocated, and directly uses the box resource via the docking point 10 after resource allocation.

제3자 보안(3rd-party security)는 인프라 관리주체인 타워(1)와는 다른 중립적인 제3자(감시초소, 키퍼)를 통해 관리대상(박스)의 외부에서 대상을 모니터링/프로비저닝함으로써 보안성을 제공하는 기술을 말한다.Third party security (3 rd -party security) monitors and / or provisiones objects outside the managed object (box) through a neutral third party (monitoring station, keeper) different from the tower (1) It is a technique that provides sex.

이때, 키퍼(3)는 단일 박스를, 감시초소(2)는 복수의 박스들의 집합인 단일 클러스터를, 타워(1)는 복수의 클러스터들의 집합인 인프라 전체를 관리한다. 키퍼(3), 감시초소(2), 타워(1)간 제어 네트워크는 모두 보안성이 확보된 네트워킹으로 연결되어 있다. 키퍼(3)는 서비스 셀(5), 감시초소(2)는 키퍼(3)/타워(1), 타워(1)는 감시초소(2)의 보안 상태를 감시한다. 타워(1) 감시초소(2)는 상호 협력/견제를 동시에 수행하며, 이를 통해 타워(1) 또는 감시초소(2)가 공격/감염되었을 때 감염되지 않은 다른 개체가 이를 신속하게 탐지 후 확산 방지 또는 복구가 가능하다. At this time, the keeper 3 manages a single box, the monitoring station 2 manages a single cluster, which is a set of a plurality of boxes, and the tower 1 manages the entire infrastructure, which is a collection of clusters. The control network between the keeper 3, the supervisory base 2 and the tower 1 are all connected by secure networking. The keeper 3 monitors the service cell 5, the monitoring station 2 monitors the security status of the monitoring station 2 and the tower 1 monitors the security status of the monitoring station 2. [ The tower (1) monitoring station (2) performs mutual cooperation / check simultaneously, so that when the tower (1) or the monitoring station (2) is attacked / infected, Or recovery is possible.

본 발명에서 제안하는 제3자 보안 기술을 적용하는 경우 아래서 설명하는 실시 예와 같이 박스, 키퍼, 감시초소, 타워 중 어느 요소가 감염되더라도 신속하게 이를 탐지하고 자동으로 대처할 수 있다.When the third party security technology proposed in the present invention is applied, it can quickly detect and automatically cope with any element such as a box, a keeper, a monitoring station, or a tower as in the embodiment described below.

일 실시 예에서, 서비스 셀(5)이 감염되는 경우, 키퍼(3)가 서비스 셀(5)의 감염을 방지하여 감시초소(2)로 알람을 전송한다. 감시초소(2)는 알람을 타워(1)의 보안 센터로 전송함으로써 운영자(7)가 이를 발견할 수 있도록 한다.In one embodiment, when the service cell 5 is infected, the keeper 3 prevents the infection of the service cell 5 and sends an alarm to the monitoring station 2. The monitoring station 2 transmits an alarm to the security center of the tower 1 so that the operator 7 can find it.

또 다른 실시 예에서, 키퍼(3)가 감염되었을 경우, 감시초소(2)가 키퍼(3)에 감염되었음을 감지하여 타워(1)의 보안 센터로 알람을 전송한다. 타워(1)는 키퍼(3)를 포함한 보안 셀을 제거한 후, 다시 보안 셀을 새롭게 구축하고 감시초소(2)를 통해 키퍼(3)를 재 배포 한다.In another embodiment, when the keeper 3 is infected, it detects that the watchdog 2 has been infected with the keeper 3 and sends an alarm to the security center of the tower 1. The tower 1 removes the security cell including the keeper 3, builds a new security cell again, and redistributes the keeper 3 via the monitoring base 2.

또 다른 실시 예에서, 감시초소(2)가 감염되었을 경우, 타워(1)의 보안 센터가 감시초소(2)의 감염여부를 탐지하고, 이를 운영자(7) 및 제3 보안 관리자(8)에게 알람 후 감염된 감시초소(2)에 연결된 키퍼(3)들을 다른 감시초소(2)에 연결한다.In another embodiment, when the surveillance station 2 is infected, the security center of the tower 1 detects whether the surveillance station 2 has been infected and sends it to the operator 7 and the third security manager 8 And connects the keeper (3) connected to the infected monitoring station (2) to another monitoring station (2) after the alarm.

또 다른 실시 예에서, 타워(1)가 감염되었을 경우, 감시초소(2)가 타워(1)의 감염여부를 탐지하고, 이를 운영자(7)에게 알람 후 키퍼(3)를 통해 박스(4)와 타워(1)간 연결을 강제로 차단한다.In another embodiment, when the tower 1 is infected, the watchdog 2 detects whether the tower 1 is infected and sends it to the operator 7 via the keeper 3 via the keeper 3, And the tower (1).

도킹 포인트(10)는 사용자(9)가 박스(4)의 자원을 활용하기 위한 접근 통로 개념이다. 본 발명에서 설명하는 도킹 포인트(10)는 단순한 원격 접속 인증/암호화가 아니라, 도킹 포인트(10)에 대한 인증, 접근, 사용자/서비스 권한 제어, 제3자 기반의 도킹 포인트 모니터링/프로비저닝 기술을 모두 포함한다. 도킹 포인트(10)가 위치한 환경인 서비스 셀과 독립적인 보안 셀에 위치한 키퍼(3)가 도킹 포인트(10)를 관리한다.The docking point 10 is an access path concept for the user 9 to utilize the resources of the box 4. [ The docking point 10 described in the present invention is not limited to simple remote access authentication / encryption but includes authentication, access, user / service rights control, and third party based docking point monitoring / provisioning techniques for docking point 10 . A keeper 3 located in a security cell independent of the service cell, which is an environment where the docking point 10 is located, manages the docking point 10.

본 발명의 일 실시 예에 따른 도킹 포인트 기반의 박스 접근 제어 방법은 원격 접속 인증/암호화를 이용한다. 원격 접속 인증/암호화는 박스에 접근하고자하는 사용자(9)가 정당한 사용자임을 확인하고, 인증된 사용자와의 데이터 전송을 암호화하는 기술이다. 일반적으로 SSH/PKI 등이 원격 접속 인증/암호화를 위해 널리 사용되고 있으나, 도킹 포인트 자체는 특정 기술로 제한되지 않는다.The docking point-based box access control method according to an embodiment of the present invention uses remote access authentication / encryption. The remote access authentication / encryption is a technique of confirming that the user 9 who wants to access the box is a legitimate user and encrypting the data transmission with the authenticated user. In general, SSH / PKI and the like are widely used for remote access authentication / encryption, but the docking point itself is not limited to a specific technology.

또한, 본 발명의 일 실시 예에 따른 도킹 포인트 기반의 박스 접근 제어 방법은 하드웨어 칩(11)으로부터 인증된 도킹 포인트를 사용한다. 변조 불가능한 하드웨어 칩을 기반으로 펌웨어->부트로더->OS를 순차적으로 인증하는 체인 인증서(chain of trust) 기술을 도킹 포인트까지 확장한다. 여기서 말하는 chain of trust 기술은 안전한 OS 부팅을 위해 널리 활용되는 기술로서, 키퍼(3)가 도킹 포인트 할당 시 chain of trust를 통해 도킹 포인트의 변조를 탐지 가능하며 변조된 도킹 포인트를 할당하지 않는다. 따라서, 하드웨어 칩(11)이 접속 지점인 도킹 포인트 자체의 안전성을 보장한다.In addition, the docking point-based box access control method according to an embodiment of the present invention uses an authorized docking point from the hardware chip 11. Based on a non-modifiable hardware chip, the firmware -> boot loader -> extends the chain of trust technology that sequentially authenticates the OS to the docking point. The chain of trust technology referred to herein is a widely used technique for secure OS booting, in that the keeper 3 can detect the modulation of the docking point through the chain of trust when assigning the docking point and does not assign the modulated docking point. Therefore, the hardware chip 11 assures the safety of the docking point itself, which is the connection point.

또한, 본 발명의 일 실시 예에 따른 도킹 포인트 기반의 박스 접근 제어 방법은 도킹 포인트 별 자원 접근 권한을 제어한다. 도킹 포인트(10)를 통해 사용자 또는 어플리케이션은 박스의 자원에 접근한다. 이때, 어플리케이션이 호출 가능한 시스템 콜을 제한하는 샌드박스 보안기술(예를 들면 Landlock) 기술이 적용되어 도킹 포인트 별로 사용된다. In addition, the docking point-based box access control method according to an embodiment of the present invention controls resource access authority for each docking point. The docking point 10 allows the user or application to access the resources of the box. At this time, a sandbox security technology (for example, Landlock) technology is applied to restrict the calls that the application can call, and is used for each docking point.

여기서 말하는 샌드박스 보안기술이란, (리눅스) 운영체제 상에서 동작하는 어플리케이션이 호출할 수 있는 시스템 콜의 범위를 제한하는 기술이다. 시스템 콜이란 어플리케이션이 운영체제 커널의 기능을 사용하기 위해 호출하는 함수로써, 시스템 콜을 제한한다는 의미는 운영체제가 관리하는 하드웨어 (CPU, RAM, 네트워크 인터페이스 카드 등등) / 소프트웨어 (파일, 다른 프로그램 등)에 대한 접근을 강력하게 제한할 수 있음을 뜻한다. 다만 본래 샌드박스 보안기술은 어플리케이션 단위로 적용하나, 본 발명에서는 적용 대상을 "도킹 포인트를 통해 접속한 유저" 단위로 변경하는 것에서 차이가 있다.Sandbox security technology is a technology that limits the scope of system calls that an application running on a (Linux) operating system can call. A system call is a function that an application calls to use the functions of the operating system kernel. The term "system call restriction" refers to the hardware (CPU, RAM, network interface card, etc.) This means that we can strongly restrict access to However, the sandbox security technology is applied to an application unit, but the present invention differs from the present invention in that the application is changed to a unit of "user connected through a docking point".

기존의 외부 접속 기술의 경우 신뢰할 수 있는 사용자인지 인증하고 안전한 커뮤니케이션을 제공하는 것에만 집중하고 있는바, 일단 인증된 사용자가 박스 내부에서 하는 동작을 제한할 수 없었다. 이에 따라 기존의 경우 인증만 통과하면 박스 내부에서 해킹이나 공격이 가능하였다.Conventional external access technologies have focused only on authenticating trusted users and providing secure communications, and once authenticated users could not limit their operations within the box. As a result, in the past, hacking or attack was possible inside the box only if authentication passes.

반면에 본 발명의 경우 샌드박스 보안 기술을 통해 운영자/보안관리자는 사용자의 행위를 보다 강력하게 제한할 수 있는데, 구체적으로, 신뢰할 수 있는 사용자만 선택적으로 연결하는 것 뿐 아니라, 사용자의 박스 내부 동작을 제한할 수 있다.On the other hand, in the case of the present invention, the administrator / security administrator can more strictly restrict the user's behavior through the sandbox security technology. More specifically, not only the trusted user selectively connects, Can be limited.

또한, 도킹 포인트 자체를 위조, 변조, 임의 생성함으로써 보안 매커니즘을 회피할 수도 있는데, 이를 방지하기 위해 변조 불가능한 하드웨어 칩으로부터 부트로더, 운영체제, 도킹 포인트를 단계적으로 인증하는 체인 인증이 함께 적용된다.In addition, the security mechanism can be avoided by forging, modulating, or arbitrarily generating the docking point itself. To prevent this, a chain authentication for stepwise authentication of the boot loader, the operating system, and the docking point is applied from the non-modifiable hardware chip.

다시 말해서, 시스템 콜의 제한은 박스 내에서 실행 가능한 커널 수준의 명령을 제한하는 것이고, 이는 자원 접근 권한을 강력하게 제어하는 효과를 제어하므로 원격 사용자 및 어플리케이션의 이상 행동을 원천 차단할 수 있다.In other words, the limitation of the system call is to limit the kernel level commands that can be executed in the box, which can control the effect of the strong control of the resource access authority, thus blocking the abnormal behavior of remote users and applications.

또한, 본 발명의 일 실시 예에 따른 도킹 포인트 기반의 박스 접근 제어 방법은 키퍼를 통해 도킹 포인트를 관제한다. 사용자(9)는 타워(1)/감시초소(2)에 도킹 포인트(10)를 요청하게 되고, 이 요청이 키퍼(3)에게 전달된다. 키퍼(3)는 자신이 관리하는 박스의 도킹 포인트(10)를 사용자에게 자동으로 할당한다. 키퍼(3)는 도킹 포인트 할당 내용, 도킹 포인트 상태 정보, 도킹 포인트를 통해 송수신되는 데이터를 포함하는 보안 데이터를 수집 가능하다. 다시 말해서, 운영자(7)와 제3자 보안 관리자(8)는 키퍼(3)를 통해 원격에 위치한 보안 셀(6)의 보안 상태를 실시간으로 확인하며, 손쉽게 새로운 사용자에게 도킹 포인트를 할당 가능하다.In addition, the docking point-based box access control method according to an embodiment of the present invention controls the docking point through the keeper. The user 9 requests the docking point 10 to the tower 1 / monitoring station 2 and the request is forwarded to the keeper 3. The keeper 3 automatically assigns the docking point 10 of the box managed by the keeper 3 to the user. The keeper 3 can collect security data including docking point assignment contents, docking point status information, and data transmitted and received through the docking point. In other words, the operator 7 and the third-party security manager 8 can confirm the security status of the security cell 6 remotely located via the keeper 3 in real time, and easily assign a docking point to a new user .

본 발명의 일 실시 예에 따른 도킹 포인트 기반의 박스 접근 제어 방법은 원격 사용자 인증 및 통신 암호화하고, 도킹 포인트 및 박스 내부 변조를 chain of trust를 통해 원천 차단하고, 사용자 어플리케이션의 박스 내 자원 접근을 제어하고, 키퍼를 통해 도킹 포인트의 프로비저닝/모니터링을 자동화 할 수 있는 기술적 효과가 있다.A docking point-based box access control method according to an embodiment of the present invention includes remote user authentication and communication encryption, source blocking of docking point and internal box modulation through a chain of trust, , And there is a technical effect to automate the provisioning / monitoring of the docking point through the keeper.

또한, 기존 보안 센터-에이전트로 구성된 보안 솔루션들은 다수 존재하나, 이 경우 에이전트가 서비스 실행 환경에 직접 배치되어 실행되므로, 서비스 환경이 감염되면 에이전트의 안정성을 보장할 수 없다. 하지만, 본 발명에서 제안하는 키퍼의 경우 서비스 셀과는 독립적인 보안 셀에서 동작하므로 서비스 환경이 감염되어도 보안 셀의 안정성을 보장할 수 있다.In addition, there are a number of security solutions composed of the existing security center-agent. In this case, since the agent is directly disposed and executed in the service execution environment, the stability of the agent can not be guaranteed when the service environment is infected. However, since the keeper proposed in the present invention operates in a security cell independent of the service cell, the stability of the security cell can be ensured even if the service environment is infected.

박스 밖에서 보안을 제공하는 방화벽, IDS, DPI 등의 솔루션들의 경우 보통 독립적인 전담 장비들을 미리 구매/확보/설치해야한다. 그러나 본 발명에서 제한하는 오케스트레이션 시스템의 경우 동적으로 박스 자원의 일부를 분할하여 독립적인 보안 셀로 확보한 후 키퍼를 배포하므로 추가 장비 구매를 필요할 없다. 따라서, 기존 솔루션 매커니즘을 그대로 유지하면서, 경제성/유연성을 크게 향상시킬 수 있다.Firewall, IDS, and DPI solutions that provide off-box security usually require the purchase, acquisition, and installation of stand-alone dedicated equipment. However, in the case of the orchestration system limited by the present invention, since a portion of the box resource is dynamically allocated as an independent security cell and then the keeper is distributed, purchase of additional equipment is not required. Therefore, economics / flexibility can be greatly improved while maintaining the existing solution mechanism.

도 2는 본 발명의 일 실시 예에 따른 다계층 오케스트레이션 구조를 나타낸다.2 shows a multi-layer orchestration structure according to an embodiment of the present invention.

도 2에 도시된 바와 같이, 본 발명의 일 실시 예에 따른 다계층 오케스트레이션 구조는 타워(1)-감시초소(2)-키퍼(3)로 구성되어 있다. 각각의 제어 주체는 서로 다른 대상을 관리하며, 각각의 제어 주제들은 서로 연결되어 상호 협력/견제를 수행한다.2, a multi-layer orchestration structure according to an embodiment of the present invention includes a tower 1, a monitoring station 2, and a keeper 3. Each control entity manages different objects, and each control subject is connected to perform mutual cooperation / check.

도 3은 보안 셀 및 키퍼 구축 단계를 나타낸다.Figure 3 shows the security cell and keeper building steps.

도 3에 도시된 바와 같이, 먼저 타워의 지시에 따라 감시초소와 박스간의 연결이 구성된다. 두번째로 감시초소를 통해 박스 내에 서비스 셀과 구분되는 보안 셀을 구성한다. 세번째로 보안 셀에 키퍼가 배포된다. As shown in Fig. 3, first, a connection between the monitoring station and the box is configured in accordance with the instruction of the tower. Secondly, a security cell is formed in the box, which is distinguished from the service cell through the monitoring station. Third, a keeper is deployed in the security cell.

전술한 본 발명은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. The present invention described above can be embodied as computer-readable codes on a medium on which a program is recorded. The computer readable medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of the computer readable medium include a hard disk drive (HDD), a solid state disk (SSD), a silicon disk drive (SDD), a ROM, a RAM, a CD-ROM, a magnetic tape, a floppy disk, , And may also be implemented in the form of a carrier wave (e.g., transmission over the Internet).

또한, 상기 컴퓨터는 단말기의 제어부를 포함할 수도 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.Also, the computer may include a control unit of the terminal. Accordingly, the above description should not be construed in a limiting sense in all respects and should be considered illustrative. The scope of the present invention should be determined by rational interpretation of the appended claims, and all changes within the scope of equivalents of the present invention are included in the scope of the present invention.

Claims (8)

인프라 전체를 관리하는 논리적인 개체인 타워;
타워와는 별도로 복수의 박스들에 대한 보안성을 제공하는 감시초소;
상기 감시초소 및 타워와 연결되어 있으며 상기 감시초소로부터 지시를 받아 박스에 대한 보안성을 제공하기 위한 키퍼; 및
상기 감시초소와 키퍼를 이용하여 인프라의 보안만을 관리하는 제3자 보안관리자를 포함하는
보안 오케스트레이션 시스템.A logical object that manages the entire infrastructure;
A surveillance station providing security for the plurality of boxes separately from the tower;
A keeper connected to the surveillance tower and the tower for receiving security instructions from the surveillance tower to provide security for the box; And
And a third party security manager that manages only the security of the infrastructure using the monitoring station and the keeper
Security orchestration system. 제 1 항에 있어서,
상기 박스는 어플리케이션이 실행되는 서비스 셀 및 박스에 대한 보안성을 제공하기 위한 보안 셀을 포함하며,
상기 서비스 셀과 보안 셀은 물리적으로 분리된
보안 오케스트레이션 시스템.The method according to claim 1,
The box includes a security cell for providing security for a service cell and a box in which an application is executed,
The service cell and the secure cell are physically separated
Security orchestration system. 제 2 항에 있어서,
상기 키퍼는 상기 보안 셀에 위치하는
보안 오케스트레이션 시스템.3. The method of claim 2,
The keeper may be located in the secure cell
Security orchestration system. 제 1 항에 있어서,
상기 키퍼는 서비스 셀의 보안 상태를 감시하고, 상기 감시초소는 상기 키퍼 및 타워의 보안 상태를 감시하고, 상기 타워는 감시초소의 보안 상태를 감시하는
보안 오케스트레이션 시스템.The method according to claim 1,
The keeper monitors the security status of the service cell, the monitoring terminal monitors the security status of the keeper and the tower, and the tower monitors the security status of the monitoring terminal
Security orchestration system. 제 1 항에 있어서,
사용자가 상기 박스의 자원을 활용하기 위한 접근 통로인 도킹 포인트를 더 포함하는
보안 오케스트레이션 시스템.The method according to claim 1,
Further comprising a docking point, the access path for the user to utilize the resources of the box
Security orchestration system. 제 5 항에 있어서,
상기 도킹 포인트는 체인 인증서를 통해 변조 불가능한 하드웨어 칩으로부터 순차적으로 인증되는
보안 오케스트레이션 시스템.6. The method of claim 5,
The docking point is sequentially authenticated from a non-modifiable hardware chip via a chain certificate
Security orchestration system. 제 5 항에 있어서,
상기 도킹 포인트별로 샌드박스 보안기술이 사용되어 어플리케이션이 호출 가능한 시스템 콜이 제한되는
보안 오케스트레이션 시스템.6. The method of claim 5,
A sandbox security technique is used for each of the docking points,
Security orchestration system. 제 5 항에 있어서,
상기 키퍼는 요청에 따라 박스의 도킹 포인트를 할당하는
보안 오케스트레이션 시스템.6. The method of claim 5,
The keeper may assign a docking point of the box upon request
Security orchestration system.
KR1020170167044A 2017-12-06 2017-12-06 A security orchestration system KR102034883B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170167044A KR102034883B1 (en) 2017-12-06 2017-12-06 A security orchestration system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170167044A KR102034883B1 (en) 2017-12-06 2017-12-06 A security orchestration system

Publications (2)

Publication Number Publication Date
KR20190067046A true KR20190067046A (en) 2019-06-14
KR102034883B1 KR102034883B1 (en) 2019-10-21

Family

ID=66846797

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170167044A KR102034883B1 (en) 2017-12-06 2017-12-06 A security orchestration system

Country Status (1)

Country Link
KR (1) KR102034883B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210072729A (en) * 2019-12-09 2021-06-17 광주과학기술원 A security system for edge-box, and manipulation method for the security system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160065618A1 (en) * 2014-09-02 2016-03-03 Symantec Corporation Method and Apparatus for Automating Security Provisioning of Workloads
WO2017178068A1 (en) * 2016-04-15 2017-10-19 Nokia Solutions And Networks Oy Mechanism for modyfying security setting of a network service including virtual network parts

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160065618A1 (en) * 2014-09-02 2016-03-03 Symantec Corporation Method and Apparatus for Automating Security Provisioning of Workloads
WO2017178068A1 (en) * 2016-04-15 2017-10-19 Nokia Solutions And Networks Oy Mechanism for modyfying security setting of a network service including virtual network parts

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210072729A (en) * 2019-12-09 2021-06-17 광주과학기술원 A security system for edge-box, and manipulation method for the security system

Also Published As

Publication number Publication date
KR102034883B1 (en) 2019-10-21

Similar Documents

Publication Publication Date Title
US11575712B2 (en) Automated enforcement of security policies in cloud and hybrid infrastructure environments
US9838361B2 (en) Secure migration of virtual machines from source to target and transfer of VM descriptor and keys between physical servers
Luo et al. Virtualization security for cloud computing service
KR101535502B1 (en) System and method for controlling virtual network including security function
Gholami et al. Security and privacy of sensitive data in cloud computing: a survey of recent developments
RU2679721C2 (en) Attestation of host containing trusted execution environment
Pattaranantakul et al. Secmano: Towards network functions virtualization (nfv) based security management and orchestration
US20070266433A1 (en) System and Method for Securing Information in a Virtual Computing Environment
CN111082940A (en) Internet of things equipment control method and device, computing equipment and storage medium
JP6293133B2 (en) Network-based management of protected data sets
Shtern et al. An architecture for overlaying private clouds on public providers
US10599856B2 (en) Network security for data storage systems
CN113614718A (en) Abnormal user session detector
EP3391275A1 (en) Trust based computing
CN113407949A (en) Information security monitoring system, method, equipment and storage medium
CN113132318A (en) Active defense method and system for information safety of power distribution automation system master station
RU2557476C2 (en) Robust and secure hardware-computer system in cloud computing environment
KR102229438B1 (en) Cloud computing and blockchain based smart home system
Muthunagai et al. Efficient access of cloud resources through virtualization techniques
CN111212077B (en) Host access system and method
CN105120010B (en) A kind of virtual machine Anti-theft method under cloud environment
KR102034883B1 (en) A security orchestration system
CN112446029A (en) Trusted computing platform
CN114978697A (en) Network information system endogenous security defense method, device, equipment and medium
Tariq et al. Information security framework for cloud and virtualization security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant