KR20190079186A - Nfv 환경에서 보안 통신 방법 및 그 시스템 - Google Patents

Nfv 환경에서 보안 통신 방법 및 그 시스템 Download PDF

Info

Publication number
KR20190079186A
KR20190079186A KR1020170181217A KR20170181217A KR20190079186A KR 20190079186 A KR20190079186 A KR 20190079186A KR 1020170181217 A KR1020170181217 A KR 1020170181217A KR 20170181217 A KR20170181217 A KR 20170181217A KR 20190079186 A KR20190079186 A KR 20190079186A
Authority
KR
South Korea
Prior art keywords
vnf
hash chain
hash
chain
vnfs
Prior art date
Application number
KR1020170181217A
Other languages
English (en)
Other versions
KR102020357B1 (ko
Inventor
류재철
김현진
Original Assignee
충남대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충남대학교산학협력단 filed Critical 충남대학교산학협력단
Priority to KR1020170181217A priority Critical patent/KR102020357B1/ko
Priority to PCT/KR2018/014994 priority patent/WO2019132270A1/ko
Priority to US16/473,082 priority patent/US11146385B2/en
Publication of KR20190079186A publication Critical patent/KR20190079186A/ko
Application granted granted Critical
Publication of KR102020357B1 publication Critical patent/KR102020357B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • H04L2209/38

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

NFV 환경에서 보안 통신 방법 및 그 시스템이 개시된다.
상기한 기술적 과제를 해결하기 위하여, 본 발명의 일 실시예에 따른 NFV 환경에서 보안 통신 방법은 NFV(network function virtualization) 환경에서 VNF(virtualized network function)간 보안 통신 방법에 있어서, 요소 관리자는 해시체인을 이용하여 제1 VNF와 제2 VNF간 인증을 수행하는 단계, 상기 인증 완료된 제1 VNF와 제2 VNF는 자신의 해시체인을 기반으로 비밀키를 각각 생성하는 단계, 상기 제1 VNF와 제2 VNF는 자신의 비밀키를 이용하여 통신을 수행하는 단계를 포함한다.

Description

NFV 환경에서 보안 통신 방법 및 그 시스템{Method for security communication in Network Functional Virtualization and System thereof}
본 발명은 NFV 환경에서 보안 통신 방법 및 그 시스템에 관한 것으로, 특히 NFV 환경에서 테넌트 내 VNF 간의 인증을 수행하고, 트래픽을 제어하여 VNF 간 안전한 통신을 보장하는 NFV 환경에서 보안 통신 방법 및 그 시스템에 관한 것이다.
최근 세계 네트워크 동향은 하드웨어에 의존하지 않고, 자원을 보다 효율적으로 활용하기 위해서 가상화 기술을 도입하고 있다. 조직 및 기업이 가상화 기술을 도입함으로써, 효율적인 자원 활용과 인프라의 구축 및 관리의 간소화에 따라서 비용 절감 효과를 얻을 수 있기 때문이다.
NFV(Network Functional Virtualization) 기술은 이러한 요구를 반영하기 위한 차세대 네트워크 가상화 기술이다. NFV는 네트워크 장비 내 여러 기능을 분리시켜, 소프트웨어적으로 제어 및 관리가 가능한 가상 시스템인 VNF(virtual network function)를 서버의 운영체제에 업로드시켜 활용한다. 물리적인 네트워크 장비의 기능을 가상화하여 가상 머신 서버 혹은 범용 프로세서를 탑재한 하드웨어에서 실행하는 방식을 사용한다. NFV 기술을 이용하면 논리적으로 네트워크를 구축할 수 있기 때문에 기존의 네트워크 변화에 유연하게 대응하는 것이 가능하다.
하지만 가상화된 기기의 수가 증가함에 따라서, NFV내 테넌트(Tenant)의 구성 및 설정이 변경될 때마다 각각의 가상화된 VNF의 설정 정보들을 관리자가 EM(Element Manager)을 이용하여 직접 관리하는 것은 인력과 CAPEX(capital expenditure) 및 OPEX(operating expense) 등의 소요 비용이 크다.
또한, 테넌트에 로드되는 VNF는 별도의 인증 과정을 거치지 않기 때문에 악의적인 목적을 가진 사용자가 악성 VNF를 로드시켜 전체 테넌트를 오염시킬 수 있다.
이에, 네트워크 변경에 따라 VNF 설정을 자동으로 관리해주고, 동적으로 구성된 테넌트 내 VNF 간의 인증을 수행하고 VNF 간 트래픽을 제어할 수 있는 기술 개발이 요구되고 있다.
한국 공개특허공보 제10-2012-0065347호
본 발명이 해결하고자 하는 기술적 과제는 테넌트 내 VNF 간의 인증을 수행하고, VNF 간 트래픽을 제어할 수 있는 NFV 환경에서 보안 통신 방법 및 그 시스템을 제공하는 것이다.
본 발명이 해결하고자 하는 다른 기술적 과제는 VNF 간의 안전한 통신을 보장할 수 있는 NFV 환경에서 보안 통신 방법 및 그 시스템을 제공하는 것이다.
본 발명이 해결하고자 하는 과제는 이상에서 언급한 과제(들)로 제한되지 않으며, 언급되지 않은 또 다른 과제(들)은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기한 기술적 과제를 해결하기 위하여, 본 발명의 일 실시예에 따른 NFV 환경에서 보안 통신 방법은 NFV(network function virtualization) 환경에서 VNF(virtualized network function)간 보안 통신 방법에 있어서, 요소 관리자는 해시체인을 이용하여 제1 VNF와 제2 VNF간 인증을 수행하는 단계, 상기 인증 완료된 제1 VNF와 제2 VNF는 자신의 해시체인을 기반으로 비밀키를 각각 생성하는 단계, 상기 제1 VNF와 제2 VNF는 자신의 비밀키를 이용하여 통신을 수행하는 단계를 포함하는 NFV 환경에서 보안 통신 방법이 제공된다.
바람직하게는, 상기 인증을 수행하는 단계 이전에, VIM(Virtualized Infrastructure Manager)은 테넌트(Tenant)내의 VNF가 인스턴화될 때 VNF 이미지의 해시체인을 생성하여 상기 요소 관리자와 공유하는 단계를 더 포함할 수 있다.
바람직하게는, 상기 공유하는 단계는, 테넌트 식별정보, VNF 식별정보, 인스턴스 식별정보 중 적어도 하나를 조합하여 상기 테넌트내 VNF 식별정보(VNFID)를 계산하는 단계, 상기 계산된 테넌트내 VNF 식별정보(VNFID)를 해시함수에 적용하여 해시체인을 계산하고, 상기 계산된 해시체인을 상기 요소 관리자와 공유하는 단계, 상기 계산된 해시체인이 업데이트된 경우, 상기 업데이트된 해시체인을 상기 요소 관리자와 공유하는 단계를 포함할 수 있다.
바람직하게는, 상기 업데이트된 해시체인을 상기 요소 관리자와 공유하는 단계는, 해당 VNF 이미지가 수정/변경되거나 또는 주기적으로 이전 해시체인에 해시함수를 적용하여 해시체인을 업데이트하는 단계, 상기 업데이트된 해시체인을 상기 요소 관리자로 전송하는 단계를 포함할 수 있다.
바람직하게는, 상기 업데이트된 해시체인을 상기 요소 관리자로 전송하는 단계는, 상기 업데이트된 해시채널을 이전 해시체인을 암호화 키로 사용하는 대칭 암호화 알고리즘으로 암호화하여 상기 요소 관리자로 전송하는 것을 특징으로 할 수 있다.
바람직하게는, 상기 인증을 수행하는 단계는, 상기 제1 VNF로부터 초기(Initi) 메시지 수신 시, 상기 제2 VNF에 해시체인을 요청하여 수신하는 단계, 상기 수신된 제2 VNF의 해시체인을 기 저장된 제2 VNF 해시체인과 비교하여 상기 제2 VNF를 인증하는 단계, 상기 제2 VNF의 인증 완료시 상기 제1 VNF에 해시체인을 요청하여 수신하는 단계, 상기 수신된 제1 VNF의 해시체인을 기 저장된 제1 VNF 해시체인과 비교하여 상기 제1 VNF를 인증하는 단계, 상기 제1 VNF와 제2 VNF의 인증결과를 상기 제1VNF로 전송하는 단계를 포함할 수 있다.
바람직하게는, 상기 제2 VNF의 해시체인이, 상기 제2 VNF가 가장 최근 자신에게 할당된 해시체인을 암호화키로 사용하여 현재 자신에게 할당된 해시체인을 암호화한 해시체인인 경우, 상기 제2 VNF를 인증하는 단계는, 기 저장된 제2 VNF의 가장 최근 해시체인을 이용하여 상기 제2 VNF의 암호화된 해시체인을 복호화하고, 상기 복호화된 해시체인을 기 저장된 제2 VNF 해시체인과 비교하여 제2 VNF를 인증하고,
상기 제1 VNF의 해시체인이, 상기 제1 VNF가 가장 최근 자신에게 할당된 해시체인을 암호화키로 사용하여 현재 자신에게 할당된 해시체인을 암호화한 해시체인인 경우, 상기 제1 VNF를 인증하는 단계는, 기 저장된 제1 VNF의 가장 최근 해시체인을 이용하여 상기 제1 VNF의 암호화된 해시체인을 복호화하고, 상기 복호화된 해시체인을 기 저장된 제1 VNF 해시체인과 비교하여 제1 VNF를 인증할 수 있다.
바람직하게는, 상기 비밀키는, 해시체인을 기반으로 디피-헬만(Diffie-Hellman(D-H)) 알고리즘을 이용하여 생성될 수 있다.
바람직하게는, 상기 비밀키를 각각 생성하는 단계는, 상기 제1 VNF 및 제2 VNF는 각각 요소 관리자로부터 제1 정수(p) 및 제2 정수(q)를 수신하는 단계, 상기 제1 VNF 및 제2 VNF는 상기 수신된 제1 정수(p), 제2 정수(q) 및 자신의 해시체인을 이용하여 제1 공개키 및 제2 공개키를 생성하는 단계, 상기 제1 VNF는 제1 공개키를 상기 제2 VNF로 전달하고, 상기 제2 VNF는 제2 공개키를 상기 제1 VNF로 전달하는 단계, 상기 제1 VNF는 자신의 해시체인과 제2 공개키를 이용하여 제1 비밀키를 생성하고, 상기 제2 VNF는 자신의 해시체인과 제1 공개키를 이용하여 제2 비밀키를 생성하는 단계를 포함하되, 상기 해시체인이 개인키일 수 있다.
바람직하게는, 상기 통신을 수행하는 단계는, 상기 제1 VNF는 상기 제1 비밀키를 이용하여 메시지를 암호화하고, 상기 암호화된 메시지를 VNF-게이트웨이로 전송하는 단계, 상기 VNF-게이트웨이는 상기 메시지에 대한 설정정보를 획득하고, 상기 획득된 설정정보를 기 저장된 보안정책정보와 비교하여 두 정보가 일치하는 경우 상기 암호화된 메시지를 상기 제2 VNF로 전송하는 단계; 및
상기 제2 VNF는 상기 제2 비밀키를 이용하여 상기 암호화된 메시지를 복호화하는 단계를 포함할 수 있다.
바람직하게는, 상기 VNF-게이트웨이는 두 정보가 일치하지 않은 경우, 상기 암호화된 메시지를 차단할 수 있다.
상기한 기술적 과제를 해결하기 위하여, 본 발명의 다른 실시예에 따른 NFV 환경에서 보안 통신 시스템은, NFV(network function virtualization) 환경에서 복수의 VNF를 포함하는 테넌트(Tenant)내의 VNF 간 보안 통신을 위한 시스템에서 있어서, 상기 복수의 VNF에 각각 할당된 해시체인을 관리하며, 통신을 원하는 VNF들의 해시체인을 이용하여 해당 VNF들을 인증하는 요소 관리자, 상기 테넌트내 복수의 VNF 사이에 위치하고, VNF 트래픽에 대한 보안정책정보가 설정된 Sec-catalog를 설정하여 VNF 간의 트래픽을 제어하는 VFN 게이트웨이를 포함하며, 상기 요소 관리자에서 인증 완료된 VNF는 자신의 해시체인을 기반으로 비밀키를 생성하고, 상기 생성된 비밀키로 메시지를 암호화하여 상기 VNF 게이트웨이로 전송하며, 상기 VNF 게이트웨이로부터 암호화된 메시지 수신 시, 상기 비밀키를 이용하여 상기 암호화된 메시지를 복호화하고, 상기 VNF-게이트웨이는 상기 메시지에 대한 설정정보를 획득하고, 상기 획득된 설정정보를 상기 보안정책정보와 비교하여 두 정보가 일치하는 경우 상기 암호화된 메시지를 상대 VNF로 전송하는 것을 특징으로 한다.
바람직하게는, 상기 테넌트(Tenant)내의 VNF가 인스턴화될 때 VNF 이미지의 해시체인을 생성하여 상기 요소 관리자와 공유하는 VIM을 더 포함할 수 있다.
바람직하게는, 상기 VIM은, 상기 VNF 이미지가 수정/변경되거나 또는 주기적으로 이전 해시체인에 해시함수를 적용하여 해시체인을 업데이트하고, 상기 업데이트된 해시체인을 상기 요소 관리자와 공유할 수 있다.
본 발명에 따르면, 테넌트내 VNF들이 통신을 수행하기 전에 해시체인을 이용하여 VNF간을 인증함으로써, 인증되지 않은 VNF를 식별할 수 있고, 이로 인해 테넌트가 오염되는 것을 막을 수 있다.
또한, 본 발명에 따르면, VPN 게이트웨이가 Sec-catalog의 보안정책정보를 이용하여 VNF간 트래픽을 제어함으로써, VNF간 악성 트래픽 전파 문제를 해결할 수 있으므로, 안전한 NFV 환경을 보장할 수 있다.
본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 NFV 환경에서 보안 통신을 위한 시스템을 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 VNF 게이트웨이의 위치를 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 NFV 환경에서 보안 통신 방법을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 VIM이 해시체인을 생성 및 공유하는 방법을 나타낸 도면이다.
도 5는 본 발명의 일 실시예에 따른 VNF간 인증 방법을 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시예에 따른 비밀키 생성 방법을 설명하기 위한 도면이다.
도 7은 본 발명의 일 실시예에 따른 VNF 게이트웨이의 트래픽 제어 방법을 설명하기 위한 도면이다.
도 8은 본 발명의 일 실시예에 따른 패킷 전송에 따른 CPU 사용률의 비교 그래프이다.
도 9는 본 발명의 일 실시예에 따른 VNF간 패킷 전송률을 비교한 그래프이다.
도 10은 본 발명의 일 실시예에 따른 TCP 패킷 flooding에 대한 VNF-게이트웨이의 shaping 시험 결과를 나타낸 그래프이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하에서는 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 NFV 환경에서 보안 통신을 위한 시스템을 설명하기 위한 도면, 도 2는 본 발명의 일 실시예에 따른 VNF 게이트웨이의 위치를 설명하기 위한 도면이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 NFV 환경에서 보안 통신을 위한 시스템은 테넌트 내 VNF 간의 인증과 VNF간 트래픽 제어를 통해 보안 통신을 가능하게 하는 시스템으로, OSS(Operation Service Systems)/BSS(Business Service Systems), Sec-EM(Element Manager), 적어도 하나 이상의 VNF(Virtual Network Function)를 포함하는 적어도 하나 이상의 테넌트(Tenant), NFVI(Network Function Virtualization Infrastructure) 및 NFV MANO(Management & Orchestration)를 포함한다.
VNF는 서버 상의 가상 머신(VM)에서 동작하는 애플리케이션(들) 등에 대응하며, 네트워크 기능을 소프트웨어적으로 실현한다. VNF로서, 예를 들면 LTE(Long Term Evolution) 네트워크의 코어 망인 EPC(Evolved Packet Core)에 있어서의 MME(Mobility Management Entity)나 S-GW(Serving Gateway), P-GW(PDN Gateway) 등을 소프트웨어(가상 머신)로 실현하도록 해도 된다.
OSS(Operation Service Systems)는, 예를 들면 통신사업자(캐리어)가 서비스를 구축하고, 운영해 가기 위해서 필요한 시스템(기기나 소프트웨어, 구조 등)을 총칭한 것이다. BSS(Business Service Systems)는, 예를 들면 통신사업자(캐리어)가 이용료 등의 과금, 청구, 고객 대응 등을 위해 사용하는 정보 시스템(기기나 소프트웨어, 구조 등)의 총칭이다.
Sec-EM은 테넌트에 포함된 VNF들을 관리한다.
구체적으로, Sec-EM은 VNF 이미지의 해시체인(Hash-Chain)을 사용하여 테넌트 내 VNF간의 인증을 수행하여 악성 VNF를 식별한다. 즉, Sec-EM은 테넌트에 포함된 VNF들의 해시체인을 VIM으로부터 수신하여 저장하고 있으므로, 통신을 원하는 제1 VNF와 제2 VNF의 해시체인을 이용하여 제1 VNF와 제2 VNF를 인증한다.
이처럼 Sec-EM은 VNF 통신 수행 전에 해시체인의 보관 여부를 통해서 통신을 수행하는 각 VNF가 악성 VNF인지 식별한다.
인증완료된 VNF는 자신의 해시체인을 기반으로 비밀키를 생성하고, 그 비밀키를 이용하여 메시지를 암호화하여 VNF간 통신을 수행한다. 이때, VNF는 VNF 게이트웨이를 통해 통신을 수행하는데, VNF 게이트웨이는 기 저장된 보안정책정보를 이용하여 VNF간의 트래픽을 제어한다.
VNF 게이트웨이(VNF-G/W)는 도 2에 도시된 바와 같이 각 테넌트 내의 VNF 사이에 위치하고, VNF 트래픽에 대한 보안 정책이 설정된 Sec-catalog를 설정하여 VNF 간의 악성 트래픽을 이용한 DDoS 공격을 화이트리스트 기반으로 탐지 및 예방한다.
VNF-게이트웨이는 Sec-catalog에서 트래픽 정보를 수신하고 VNF간에 전송되는 트래픽을 제어한다. Sec-catalog가 VNF-게이트웨이에 반영될 때, Sec-catalog에 설정된 보안정책정보와 다른 트래픽은 공격으로 간주될 수 있고 QoS(Quality of Service) 레벨은 낮아질 수 있으며, 전송 대역폭 트래픽을 줄일 수 있다. 따라서, VNF-게이트웨이의 보안정책을 이용한 트래픽 제어 기술을 이용함으로써, VNF간의 비정상적인 트래픽 패턴을 탐지하고 정보 유출 사고를 예방할 수 있다. 예를들어 공격자가 제1 VNF에서 제2 VNF로 많은 양의 트래픽을 전송하여 플러딩 공격으로 제2 VNF에서 실행중인 서버를 중단시키면, VNF-게이트웨이가 트래픽을 제어함으로써 사고를 예방할 수 있다. 또한 개인 ID 또는 주소 등 중요한 정보가 VNF를 사용하는 서버에 저장된 경우, VNF 게이트웨이는 해당 VNF로부터 외부로 많은 양의 트래픽 흐름을 감지하고, 새벽에 데이터를 전송하는 것과 같은 비정상적인 패턴을 분석함으로써, 정보 유출을 방지할 수 있다.
NFVI(Network Function Virtualization Infrastructure)는 VNF의 실행 인프라스트럭쳐로, 컴퓨팅, 스토리지, 네트워크 기능 등, 물리 머신(서버)의 하드웨어 자원을 하이퍼바이저 등의 가상화 레이어로 가상화한 가상화 컴퓨팅, 가상화 스토리지, 가상화 네트워크 등의 가상화 하드웨어 자원으로서 유연하게 취급할 수 있도록 한 인프라스트럭쳐이다.
NFV-MANO는 NFVI를 관리하고 VNF 인스턴스에 대한 자원들의 할당을 편성하도록 기능을 수행한다. 이러한 NFV MANO(Management & Orchestration)는 NFVO(NFV-Orchestrator), VNFM(VNF-Manager), VIM(Virtualized Infrastructure Manager)을 포함한다.
NFVO(NFV-Orchestrator)는 NFVI 리소스의 오케스트레이션, 및 NS(Network Service)의 라이프 사이클 관리(NS 인스턴스의 인스턴시에이션, 스케일링, 종료, 갱신 등)을 행한다. 또한, NFVO는 VNF 카탈로그와 Sec-카탈로그의 관리를 행한다.
VNF 카탈로그(VNF catalog)는 VNF 패키지의 리포지토리를 나타내는 것으로, VNFD(VNF Descriptor), 소프트웨어 이미지, 매니페스트 파일 등의 VNF 패키지의 생성과 관리의 지원을 행한다. Sec-catalog에는 인스턴스화된(또는 등록된) VNF의 프로토콜, 포트 번호, Ingress Policing rate, Ingress Policing Burst 등의 정보가 저장된다.
NFVO는 VNF 인스턴스화 프로세스 중에 VNFD(VNF Descriptor)를 VNF 카탈로그에 등록하고, VNFD가 VNF 카탈로그에 등록되면 Sec-카탈로그를 등록한다. 이때 등록된 VNF 카탈로그와 Sec-카탈로그의 설정정보는 VNF 게이트웨이에 적용된다.
VNFM(VNF-Manager)은 VNF의 라이프 사이클 관리(인스턴시에이션, 갱신, 검색, 스케일링, 종료, (어시스티드/오토) 힐링 등) 및 이벤트 통지를 행한다.
VIM(Virtualized Infrastructure Manager)은 가상화 레이어를 통해, NFVI를 제어한다(컴퓨팅, 스토리지, 네트워크의 리소스 관리, NFV의 실행 인프라스트럭쳐인 NFVI의 장해 감시, 리소스 정보의 감시 등).
VIM는 테넌트 내의 각 VNF가 인스턴스화될 때, VNF 이미지의 해시체인을 생성한다. 또한, VIM은 VNF의 해시체인을 주기적으로 업데이트하거나, 해당 VNF가 수정/변경될 때 업데이트한다. 이때, VIM은 바로 직전(최신)에 생성된 해시체인에 해시함수를 적용하여 해시체인을 업데이트할 수 있다. VIM은 생성 또는 업데이트된 VNF의 해시체인을 Sec-EM과 공유한다.
참조 포인트 Os-Ma는 OSS(Operation Service Systems)/BSS(Business Service Systems)와 NFVO간의 참조 포인트이며, 네트워크 서비스의 라이프 사이클 관리 요구, VNF 라이프 사이클 관리 요구, NFV 관련 상태 정보의 전송, 폴리시 관리 정보의 교환 등에 이용된다.
참조 포인트 Vi-Vnfm는 VNFM으로부터의 리소스 할당 요구, 가상화 리소스의 구성과 상태 정보의 교환에 이용된다.
참조 포인트 Ve-Vnfm은 EM과 VNFM간에서의 VNF 인스턴시에이션, VNF 인스턴스 검색, 갱신, 종료, 스케일 아웃/인, 스케일 업/다운, EM으로부터 VNFM에의 구성, 이벤트의 전송, VNFM으로부터 VNF에의 VNF의 구성, 이벤트의 통지 등에 이용된다.
참조 포인트 Nf-Vi는 컴퓨팅, 스토리지, 네트워크 리소스 관리의 지시와 함께 VM의 할당, VM 리소스 할당의 갱신, VM 마이그레이션, VM 종료, VM간의 접속의 생성·제거 등, 리소스 할당 요구에 대한 가상화 리소스의 할당, 가상화 리소스의 상태 정보의 전송, 하드웨어 자원의 구성과 상태 정보의 교환 등에 이용된다.
참조 포인트 Or-Vnfm은 VNFM(VNF-Manager)에 의한 리소스 관련 요구(인증, 예약, 할당 등), VNFM에의 구성 정보의 전송, VNF의 상태 정보의 수집에 이용된다.
이하, 상기와 같이 구성된 시스템에서 VNF를 등록하는 과정에 대해 설명하기로 한다.
NFVO는 송신자 인증 및/또는 인스턴스화 파라미터를 점검함으로써 요청을 유효화하고, 실행가능성 점검을 실행할 수 있다. 요청이 성공적으로 유효화되면, NFVO는 VNF를 인스턴스화하기 위해 VNFM을 호출한다. VNFM는 요청을 유효화하고 인스턴스화 파라미터를 프로세싱한다. VNFM은 이어서 리소스 할당을 위한 요청을 NFVO에 송신한다. NFVO는 임의의 요구된 리소스 사전할당을 실행하고, 이어서 리소스 할당을 위해 VIM에 요청을 송신한다. 예를 들어, 프로세서 사용량 카운터가 사전결정된 임계치를 초과하면, VIM은 더 많은 컴퓨팅 및 저장 리소스를 할당한다.
리소스 할당을 위한 요청에 응답하여, VIM은 요청된 컴퓨팅, 저장 및/또는 네트워킹 리소스를 할당하고, 확인응답(acknowledgement)을 NFVO에 송신한다. NFVO는 리소스 할당의 완료를 지시하기 위해 VNFM에 확인응답을 송신한다. VNFM은 이어서 VNF를 인스턴스화하고, 임의의 VNF 특정 수명주기 파라미터를 갖는 VNF를 구성한다. VNFM은 새로운 VNF를 Sec-EM에 통지한다. Sec-EM은 이어서 해당 VM 동작을 위해 요구된 정보를 갖는 VNF를 구성한다. VNFM은 NFV로의 새로운 VNF 인스턴스의 성공적인 추가를 보고한다. NFVO는 새로운 인스턴스 기술자로 VNF 카탈로그와 Sec-카탈로그를 업데이트한다. Sec-EM은 새로운 VNF를 OSS/BSS에 통지한다. OSS/BSS는 새로운 VNF의 성공적인 인스턴스화를 확인응답한다.
한편, VIM는 테넌트 내의 각 VNF가 인스턴스화될 때, VNF 이미지의 해시체인을 생성하고, 생성된 해시체인을 Sec-EM 또는 해당 VFM과 공유한다.
본 발명은 상기와 같이 등록된 VNF가 해당 테넌트 내의 다른 VNF와 통신을 수행하고자 하는 경우 VNF 간의 인증을 수행하고, 보안통신을 가능하게 한다.
이하, 테넌트내 제1 VNF가 제2 VNF와 통신을 원한다고 가정하여 VNF 간 보안 통신 방법에 대해 설명하기로 한다.
도 3은 본 발명의 일 실시예에 따른 NFV 환경에서 보안 통신 방법을 설명하기 위한 도면이다.
도 3을 참조하면, 제1 VNF는 제2 VNF와 통신을 수행하기 전에 Sec-EM을 통해 제1 VNF와 제2 VNF간 인증을 수행한다(S310). 즉, VIM은 테넌트 내의 각 VNF가 인스턴화될 때 VNF 이미지의 해시체인을 생성하여 Sec-EM와 공유한다. 그러면, Sec-EM은 테넌트에 포함된 VNF들의 해시체인을 VIM으로부터 수신하여 저장하고 있으므로, 통신을 원하는 제1 VNF와 제2 VNF의 해시체인을 이용하여 테넌트의 제1 VNF와 제2 VNF간 인증을 수행하여 악성 VNF를 식별할 수 있다.
VIM이 해시체인을 생성하여 Sec-EM과 공유하는 방법에 대한 상세한 설명은 도 4를 참조하기로 하고, Sec-EM이 제1 VNF와 제2 VNF간 인증하는 방법에 대한 상세한 설명은 도 5를 참조하기로 한다.
단계 S310이 수행되면, 제1 VNF는 자신의 해시체인을 기반으로 비밀키를 생성하고(S320), 그 비밀키를 이용하여 메시지를 암호화하며(S330), 암호화된 메시지를 VNF-게이트웨이로 전송한다(S340). 이때, 제1 VNF는 해시체인을 기반으로 비밀키 암호화 알고리즘을 이용하여 비밀키를 생성할 수 있고, 비밀키 암호화 알고리즘은 예컨대, 디피-헬만 알고리즘(Diffie-Hellman Algorithm)일 수 있다. 디피-헬만 알고리즘은 두 VNF가 사전에 어떠한 비밀 교환 없이도 공중 통신망 환경에서 공통키를 교환하게 해주는 알고리즘으로, 공개키(Public Key)와 개인키(Private Key)를 이용하여 비밀키(Secret Key)를 생성한다. 공개키(Public Key)는 외부로 공개되는 키이고, 개인키(Private Key)는 개인이 소유하고 외부로는 알리지 않는 키로, 자신의 해시체인일 수 있다. 비밀키(Secret Key)는 실제 암호화에 사용하는 키로, 두 VNF는 동일한 비밀키를 이용하여 특정 데이터를 암호화하여 서로 송수신할 수 있다.
제1 VNF가 비밀키를 생성할 때 제2 VNF도 자신의 해시체인을 기반으로 비밀키를 생성한다. VNF가 해시체인을 기반으로 비밀키를 생성하는 방법에 대한 상세한 설명은 도 6을 참조하기로 한다.
단계 S340이 수행되면, VNF-게이트웨이는 암호화된 메시지의 설정정보를 획득하고(S350), 획득된 설정정보를 기 저장된 보안정책정보와 비교하여(S360), 두 정보의 동일 여부를 판단한다(S370). 이때, VNF-게이트웨이는 제1 VNF에 대한 보안정책이 설정된 Sec-catalog로부터 보안정책정보를 수신하고, 그 보안정책정보를 메시지의 설정정보와 비교할 수 있다.
단계 S370의 판단결과 두 정보가 동일한 경우 VNF-게이트웨이는 암호화된 메시지를 제2 VNF로 전송한다(S380). 그러면, 제2 VNF는 제1 VNF가 비밀키를 생성할 때 함께 생성한 비밀키를 이용하여 암호화된 메시지를 복호화한다(S390).
만약, 단계 S370의 판단결과 두 정보가 동일하지 않으면, VNF-게이트웨이는 암호화된 메시지를 차단한다(S385). 이처럼 VNF-게이트웨이는 두 설정정보가 일치하는 트래픽은 허용하고, 일치하지 않은 트래픽은 제어한다. VNF 게이트웨이가 보안정책정보에 따라 트래픽을 제어하는 방법에 대한 상세한 설명은 도 7을 참조하기로 한다.
상술한 과정을 통해, 인증되지 않은 VNF를 식별할 수 있고, VNF간 악성 트래픽 전파 문제를 해결할 수 있으므로, 안전한 NFV 환경을 보장할 수 있다.
도 4는 본 발명의 일 실시예에 따른 VIM이 해시체인을 생성 및 공유하는 방법을 나타낸 도면이다.
도 4를 참조하면, VIM은 VNF 식별을 위해 테넌트내 VNF 식별정보(VNFID)를 계산한다(S410). 이때, VIM은 해당 VNF가 포함된 테넨트 식별정보(Tenant_ID), VNF 식별정보(VNF ID), 인스턴스 식별정보(Instance_ID) 등을 조합하여 해당 테넨트내 VNF 식별정보(VNFID)를 계산한다.
그런 후, VIM은 테넨트내 VNF 식별정보(VNFID)를 이용하여 VNF 이미지의 해시값을 계산한다(S420). 즉, VIM은 테넨트내 VNF 식별정보(VNFID)를 해시함수에 적용하여 VNF 이미지의 해시값을 계산할 수 있다. 해시값은 바로 직전(가장 최신)의 해시값을 이용하여 업데이트되므로, 해시값은 해시체인과 동일한 의미일 수 있다.
해시함수는 임의 길이의 데이터를 고정 길이의 데이터에 매핑하는 것이고, 하나의 함수가 아니기 때문에, 작업을 되돌릴 수 없다. 따라서 해시값을 알고있는 사람일지라도 해시함수의 입력을 찾을 수 없다. 또한 동일한 해시값을 가진 경우라도 동일한 입력값이라고 보증할 수 없다. 원 입력의 한 비트만 변경 되더라도 해시값은 해시함수로 인해 크게 달라지게 된다. 이러한 해시함수에는 예컨대, MD5, CRC32, SHA-type 등 다양할 수 있다.
해시체인(Hash-Chain)은 클라이언트가 설정한 임의의 값인 'seed'를 연속적으로 사용하여 해시값을 계산하는 방식이다. 즉, 길이 n을 갖는 해시체인을 생성하기 위해, x(시드)는 해시함수 h(x)의 입력으로 사용된다. 이 프로세스를 반복적으로 사용하여 루트 값 hn + 1(x)를 계산할 수 있다. 따라서 해시체인으로 패스워드를 생성하는 프로그램이 해시체인을 서버에 송신하면, 공격자는 전송 프로세스를 도청하여 hn(x)을 알고 있더라도 hn -1(x)을 계산할 수 없다. 이러한 해시의 보안 특성을 사용하면 클라이언트-서버 인증 과정에서 One-Time Password의 해시체인이 생성된다.
단계 S420의 수행 후, 해시체인이 업데이트되면(S430), VIM은 업데이트된 해시체인을 Sec-EM와 공유한다(S440). VIM은 해당 VNF 이미지가 수정/변경될 때 해시체인을 업데이트한다. 즉, VIM은 초기에 VNFID를 이용하여 해쉬값(Hash(VNFID))를 생성한 후, VM의 정지/중지 등이 발생하게 되면, VNF 이미지를 다시 등록해야 하고, VNF 이미지를 다시 등록해야 하는 상황은 VNF 이미지가 수정/변경된 경우라 할수 있다. 따라서, VIM은 VNF 이미지가 수정/변경되면, 아래 수학식 1과 같이 이전(최신)의 해시체인(Hash(VNFID))에 해시함수를 적용하여 해시체인을 업데이트한다.
[수학식 1]
Figure pat00001
이처럼, VIM은 이전에 계산된 해시체인을 해시함수에 적용하여 해시체인을 업데이트할 수 있다. 이는 아래 수학식 2과 같이 표현할 수 있다.
[수학식 2]
Figure pat00002
여기서, n은 0보다 큰 정수일 수 있다. 수학식 2를 보면, n번째 해시체인을 생성하기 위해서는 n-1번째 해시체인이 있어야 한다.
살핀바와 같이 VIM은 VNF 이미지의 해시체인을 생성하고, VIM과 Sec-EM은 VNF 이미지 등록(on-boarding) 및 인스턴스화 후 VNF의 해시값을 공유한다.
또한, VNF가 실행 중일 때 VNF 이미지의 해시값은 변경된다. 따라서 VIM은 아래 수학식 3과 같이 VNF의 해시체인을 주기적으로 업데이트한다.
[수학식 3]
Figure pat00003
업데이트된 해시체인을 Sec-EM과 공유하기 위해 업데이트된 해시체인은 이전 해시체인을 암호화 키로 사용하는 대칭 암호화 알고리즘(symmetric encipherment algorithm)을 사용하여 공유된다. 대칭 암호화 알고리즘은 암호화와 복호화에 동일한 키를 사용하는 암호 알고리즘으로, 비밀키(이전 해시체인)를 모르면 암호화된 데이터를 복호화하는 것이 계산적으로 불가능하다.
또한, VNF 이미지는 VIM로부터 VNFM를 통해 업데이트된 해시체인을 공유하게 된다.
살핀바와 같이 VIM은 VNF 이미지가 수정/변경되거나 또는 주기적으로 VNF의 해시채널을 업데이트하고, 업데이트된 해시채널을 이전 해시체인을 암호화 키로 사용하는 대칭 암호화 알고리즘을 사용하여 Sec-EM과 공유한다. 이처럼, 대칭 암호화 알고리즘을 사용하여 해시체인을 공유함으로써, 이전 해쉬체인을 알지 못하면 업데이트된 해시체인을 복호화할수 없다.
도 5는 본 발명의 일 실시예에 따른 VNF간 인증 방법을 설명하기 위한 도면이다.
도 5를 참조하면, 제1 VNF가 제2 VNF와 통신을 원한 경우 제1 VNF는 초기(Initi) 메시지를 Sec-EM으로 전송한다(S510). 즉, 제1 VNF는 통신을 수행하기 전에 제1 VNF와 제2 VNF가 악성 VNF인지 판단하기 위해 Sec-EM으로 초기 메시지를 전송한다. 이때, 초기 메시지는 자신의 ID(IDVNF1), 제2 VNF의 식별정보(IDVNF2), 인증에 필요한 챌린지값(CH) 등을 포함할 수 있다.
단계 S510이 수행되면, Sec-EM은 제2 VNF 해시체인 요청 메시지를 제2 VNF로 전송하고(S520), 제2 VNF는 제2 VNF 해시체인을 Sec-EM로 전송한다(S530). 여기서, 제2 VNF 해시체인 요청 메시지는 제2 VNF 식별정보(IDVNF2), 챌린지(CH) 등을 포함한다. 제2 VNF는 업데이트된 해시체인을 보관하고 있으므로, 자신의 해시체인인 EHashn -1{Hashn(VNF2)}를 Sec-EM으로 전송할 수 있다. 이때, EHashn -1{Hashn(VNF2)}는 가장 최근에 업데이트되어 VIM으로부터 공유된 해시체인일 수 있다.
단계 S530이 수행되면, Sec-EM은 수신된 제2 VNF의 해시체인을 기 저장된 제2 VNF 해시체인과 비교하여 제2 VNF를 인증한다(S540). 즉, Sec-EM은 수신된 제2 VNF의 해시체인이 기 저장된 제2 VNF 해시체인과 동일한 경우 인증된 VNF로 식별하고, 동일하지 않은 경우 악성 VNF로 식별할 수 있다. 제2 VNF의 n번째 해시체인은 n-1번째 해시체인으로 암호화되므로, 해시체인이 주기적으로 업데이트되지 않으면 n번째 해시체인을 복호화할 수 없다.
제2 VNF의 인증이 완료되면, Sec-EM은 제1 VNF 해시체인 요청 메시지를 제1 VNF로 전송하고(S550), 제1 VNF는 제1 VNF 해시체인을 Sec-EM으로 전송한다(S560). 여기서, 제1 VNF 해시체인 요청 메시지는 제1 VNF 식별정보(IDVNF1), 챌린지(CH) 등을 포함한다. 제1 VNF는 업데이트된 해시체인을 보관하고 있으므로, 자신의 해시체인인 EHashn -1{Hashn(VNF1)}를 Sec-EM으로 전송할 수 있다. 이때, EHashn -1{Hashn(VNF1)}는 가장 최근에 업데이트되어 VIM으로부터 공유된 해시체인일 수 있다.
단계 S560이 수행되면, Sec-EM은 수신된 제1 VNF의 해시체인을 기 저장된 제1 VNF 해시체인과 비교하여 제1 VNF를 인증한다(S570). 즉, Sec-EM은 수신된 제1 VNF의 해쉬체인이 기 저장된 제1 VNF 해쉬체인과 동일한 경우 인증된 VNF로 식별하고, 동일하지 않은 경우 악성 VNF로 식별할 수 있다. 제1 VNF의 n번째 해시체인은 n-1번째 해시체인으로 암호화되므로, 해시체인이 주기적으로 업데이트되지 않으면 n번째 해시체인을 복호화할 수 없다.
단계 S570이 수행되면, Sec-EM은 인증 결과를 제1 VNF로 전송한다(S580). 여기서, 인증 결과는 제1 VNF의 악성 여부, 제2 VNF의 악성 여부 등을 포함할 수 있다. 따라서, 제1 VNF는 제1 VNF와 제2 VNF가 모두 인증된 VNF인 경우 제2 VNF와 통신을 수행하고, 제1 VNF와 제2 VNF 중 하나라도 악성 VNF로 식별된 경우 제2 VNF와 통신을 수행할 수 없다.
한편, 제1 VNF와 제2 VNF는 이전 해시체인을 암호화키로 사용하여 현재 자신의 해시체인을 암호화하여 Sec-EM으로 전송할 수 있고, Sec-EM은 이전 해시체인을 이용하여 암호화된 해시체인을 복호화할 수 있다. 따라서, 해시체인이 주기적으로 업데이트되지 않으면 현재의 해시체인을 복호화할 수 없다.
상술한 과정을 통해 Sec-EM과 VNF사이 뿐만아니라 VNF 사이에서도 인증을 수행할 수 있다.
도 6은 본 발명의 일 실시예에 따른 비밀키 생성 방법을 설명하기 위한 도면이다. 여기서는 디피-헬만(D-H) 알고리즘을 이용하여 비밀키를 생성하는 경우에 대해 설명하기로 한다.
도 6을 참조하면, 제1 및 제2 VNF는 각각 Sec-EM으로부터 임의의 제1 정수(p) 및 제2 정수(q)를 수신한다(S610). 여기서, p는 D-H 연산에 사용되는 소수로, 300보다 큰 정수 일 수 있고, q는 D-H 연산에 사용되는 기본값을 나타내는 특별한 수로, 1과 (p-1) 사이의 정수일 수 있다.
단계 S610이 수행되면, 제1 및 제2 VNF는 각각 자신의 해시체인을 이용하여 공개키를 생성한다(S620). 디피-헬만 알고리즘에서 공개키는 p, q 및 개인키를 이용하여 생성된 것이고, VNF의 개인키는 해시체인일 수 있다. 즉, 제1 VNF의 개인키는 자신의 해시체인이고, 제2 VNF의 개인키는 자신의 해시체인일 수 있다. 제1 및 제2 VNF의 해시체인은 100디지트 보다 더 큰 정수일 수 있다.
따라서, 제1 VNF는 p 및 q, 자신의 해쉬체인을 이용하여 제1 공개키(Ri)을 생성하고, 제2 VNF는 p 및 q, 자신의 해쉬체인을 이용하여 제2 공개키(Rj)를 생성한다. 여기서, i와 j는 VNF를 식별하는 번호이나, 이하에서는 설명의 편의를 위해 i는 제1 VNF, j는 제2 VNF로 칭하여 설명하기로 한다.
제1 VNF는 아래 수학식 4를 이용하여 제1 공개키(Ri)를 생성하고, 제2 VNF는 아래 수학식 5를 이용하여 제2 공개키(Rj)를 생성한다.
[수학식 4]
Figure pat00004
여기서,
Figure pat00005
는 제1 VNF의 해쉬체인을 의미한다.
[수학식 5]
Figure pat00006
여기서,
Figure pat00007
는 제2 VNF의 해쉬체인을 의미한다.
단계 S620이 수행되면, 제1 및 제2 VNF는 각각 자신의 공개키를 공유한다(S630). 즉, 제1 VNF는 제1 공개키를 제2 VNF에 전달하고, 제2 VNF는 제2 공개키를 제1 VNF에 전달한다.
단계 S630이 수행되면, 제1 및 제2 VNF는 각각 전달받은 상대 공개키와 자신의 해시체인(개인키)를 이용하여 비밀키를 생성한다(S640). 즉, 제1 VNF는 제2 VNF로부터 전달받은 제2 공개키와 자신의 해쉬체인을 이용하여 제1 비밀키를 생성하고, 제2 VNF는 제1 VNF로부터 전달받은 제1 공개키와 자신의 해쉬체인을 이용하여 제2 비밀키를 생성한다.
제1 VNF는 아래 수학식 6을 이용하여 제1 비밀키(
Figure pat00008
)를 생성하고, 제2 VNF는 아래 수학식 7을 이용하여 제2 비밀키(
Figure pat00009
)를 생성한다.
[수학식 6]
Figure pat00010
[수학식 7]
Figure pat00011
수학식 6과 수학식 7을 살펴보면, 두 수학식이 동일하다. 이를 통해 제1 비밀키와 제2 비밀키는 동일하다는 것을 알 수 있다. 따라서, 제1 VNF가 제1 비밀키를 이용하여 메시지를 암호화하여 제2 VNF로 전송하면, 제2 VNF는 제2 비밀키를 이용하여 암호화된 메시지를 복호화할 수 있다.
한편, p가 충분히 크기 때문에, 공격자가 암호화된 메시지를 복호화하기 위한 키를 찾으려는 경우 제1 공개키(
Figure pat00012
) 또는 제2 공개키(
Figure pat00013
)를 통해 비밀키를 찾을 수 없다. 따라서, 이러한 제1 VNF와 제2 VNF는 비밀키(KVNF _ ij)를 사용하여 보안 통신을 보장할 수 있다. 결론적으로, 제1 VNF와 제2 VNF가 D-H 알고리즘으로 생성한 비밀키는 동일하기 때문에 이를 암호화에 사용할 수 있다.
도 7은 본 발명의 일 실시예에 따른 VNF 게이트웨이의 트래픽 제어 방법을 설명하기 위한 도면이다.
도 7을 참조하면, VNF 게이트웨이는 제1 VNF로부터 암호화된 메시지가 수신되면(S710), 그 메시지에 대한 설정정보를 획득한다(S720). 이때, VNF 게이트웨이는 기 설정된 보안정책정보에 해당하는 설정정보를 획득한다. 보안정책정보는 Sec-카달로그에 설정된 정보로, 예컨대, 프로토콜, 포트번호, Ingress Ploicing Rate 등을 포함할 수 있다.
단계 S720이 수행되면, VNF 게이트웨이는 획득된 포트 번호가 Sec-카달로그내의 포트번호와 동일한지를 판단한다(S730).
단계 S730의 판단결과 포트번호가 동일하면, VNF 게이트웨이는 획득된 프로토콜이 Sec-카달로그내의 프로토콜과 동일한지를 판단한다(S740).
단계 S740의 판단결과 프로토콜이 동일하면, VNF 게이트웨이는 획득된 Ingress Policing Rate이 Sec-카달로그내의 Ingress Policing Rate와 동일한지를 판단한다(S750).
단계 S750의 판단결과 두 Ingress Policing Rate가 동일하면, VNF 게이트웨이는 암호화된 메시지를 제2 VNF로 전송한다(S760).
만약, 단계 S730의 판단결과 포트번호가 동일하지 않으면, VNF 게이트웨이는 암호화된 메시지를 제2 VNF로 전송하지 않는다(S770). 즉, 포트번호가 동일하지 않으면, VNF 게이트웨이는 그 메시지를 악성 트래픽으로 판단하여 제어할 수 있다.
단계 S740의 판단결과 프로토콜이 동일하지 않으면, VNF 게이트웨이는 암호화된 메시지를 제2 VNF로 전송하지 않는다(S770). 즉, 프로토콜이 동일하지 않으면, VNF 게이트웨이는 그 메시지를 악성 트래픽으로 판단하여 제어할 수 있다.
단계 S750의 판단결과 두 Ingress Policing Rate가 동일하지 않으면, VNF 게이트웨이는 암호화된 메시지를 제2 VNF로 전송하지 않는다(S770). 즉, 두 Ingress Policing Rate이 동일하지 않으면, VNF 게이트웨이는 그 메시지를 악성 트래픽으로 판단하여 제어할 수 있다.
상술한 바와 같이 VNF-게이트웨이는 Sec-catalog에서 보안정책정보를 수신하고 VNF간에 전송되는 트래픽을 제어할 수 있다. Sec-catalog가 VNF-게이트웨이에 반영될 때, Sec-catalog에 설정된 보안정책정보와 다른 트래픽은 공격으로 간주될 수 있고 QoS(Quality of Service) 레벨은 낮아질 수 있으며, 전송 대역폭 트래픽을 줄일 수 있다. 따라서, VNF-게이트웨이의 보안 정책을 이용한 트래픽 제어 기술을 이용함으로써, VNF간의 비정상적인 트래픽 패턴을 탐지하고 정보 유출 사고를 예방할 수 있다. 예를들어 공격자가 제1 VNF에서 제2 VNF로 많은 양의 트래픽을 전송하여 플러딩 공격으로 제2 VNF에서 실행중인 서버를 중단시키면, VNF-게이트웨이가 트래픽을 제어함으로써 사고를 예방할 수 있다. 또한 개인 ID 또는 주소 등 중요한 정보가 VNF를 사용하는 서버에 저장된 경우, VNF 게이트웨이는 해당 VNF로부터 외부로 많은 양의 트래픽 흐름을 감지하고, 새벽에 데이터를 전송하는 것과 같은 사용자의 비정상적인 패턴을 분석함으로써, 정보 유출을 방지할 수 있다.
이하, 본 발명에 따른 시스템 성능에 대해 실험 결과를 이용하여 설명하기로 한다. 본 발명의 시스템(이하 ASMN라 칭함)의 성능 평가를 위해 하나의 테넌트에 VNF-게이트웨이 및 VNF 클라이언트, VNF 서버를 구성하였다.
도 8은 본 발명의 일 실시예에 따른 패킷 전송에 따른 CPU 사용률의 비교 그래프이다. 도 8은 ICMP, TCP 및 UDP 프로토콜에서 25초동안 패킷을 전송하여 CPU 사용률을 체크한 것이다. 도 8을 참조하면, ICMP, TCP, UDP의 경우 ASMN의 총 CPU 사용률이 일반적인 NFV 환경에서의 CPU 사용률보다 대략 1 % 미만으로 증가하였음을 확인할 수 있다. 따라서 VNF에서 VNF로의 통신은 마이크로 초 내에 성능 저하가 없음을 확인할 수 있다.
도 9는 본 발명의 일 실시예에 따른 VNF간 패킷 전송률을 비교한 그래프이다.
이때, 테스트 데이트는 표 1과 같다.
[표 1]
Figure pat00014
클라이언트는 ICMP 프로토콜에 대해 64바이트와 4,096바이트의 임의 패킷을 생성하고, ASMN을 사용하는 동일 테넌트의 VNF 사이의 RTT(왕복 시간)를 측정하기 위해 서버로 패킷을 전송한 것이다.
도 9를 참조하면, RTT 증가는 5m/s보다 더 작은 것을 확인할 수 있다. 이를 통해 본 발명의 시스템은 성능의 저하 없이 서비스를 제공할 수 있음을 확인할 수 있다.
도 10은 본 발명의 일 실시예에 따른 TCP 패킷 flooding에 대한 VNF-게이트웨이의 shaping 시험 결과를 나타낸 그래프이다.
ASMN에는 VNF의 악성 트래픽에 대한 방어 메커니즘이 포함된다. VNF의 트래픽을 사용하는 일반적인 악성 공격은 플러딩 공격이다. 방어 테스트의 데이터는 아패 표 2와 같다.
[표 2]
Figure pat00015
VNF 서버에 대한 TCP SYN 플러딩 공격을 100초동안 시도하였다. 그런 다음 공격 시작 11초 후 VNF-게이트웨이에 10Mbit/s의 트래픽 쉐이핑 룰을 포함하는 Sec-catalog를 적용하였다.
도 10에서 280Mbit/s의 트래픽을 VNF 서버에 전송하였다. Sec-catalog을 적용한 후, 트래픽은 룰 적용 후 1초 이내에 9.76Mbit/s로 제한되었음을 알 수 있다. 즉, 들어오는 트래픽 제어를 통해 플러딩 공격을 예방할 수 있음을 확인할 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (14)

  1. NFV(network function virtualization) 환경에서 VNF(virtualized network function)간 보안 통신 방법에 있어서,
    요소 관리자는 해시체인을 이용하여 제1 VNF와 제2 VNF간 인증을 수행하는 단계;
    상기 인증 완료된 제1 VNF와 제2 VNF는 자신의 해시체인을 기반으로 비밀키를 각각 생성하는 단계; 및
    상기 제1 VNF와 제2 VNF는 자신의 비밀키를 이용하여 통신을 수행하는 단계
    를 포함하는 NFV 환경에서 보안 통신 방법.
  2. 제1항에 있어서,
    상기 인증을 수행하는 단계 이전에,
    VIM(Virtualized Infrastructure Manager)은 테넌트(Tenant)내의 VNF가 인스턴화될 때 VNF 이미지의 해시체인을 생성하여 상기 요소 관리자와 공유하는 단계를 더 포함하는 NFV 환경에서 보안 통신 방법.
  3. 제2항에 있어서,
    상기 공유하는 단계는,
    테넌트 식별정보, VNF 식별정보, 인스턴스 식별정보 중 적어도 하나를 조합하여 상기 테넌트내 VNF 식별정보(VNFID)를 계산하는 단계;
    상기 계산된 테넌트내 VNF 식별정보(VNFID)를 해시함수에 적용하여 해시체인을 계산하고, 상기 계산된 해시체인을 상기 요소 관리자와 공유하는 단계; 및
    상기 계산된 해시체인이 업데이트된 경우, 상기 업데이트된 해시체인을 상기 요소 관리자와 공유하는 단계를 포함하는 것을 특징으로 하는 NFV 환경에서 보안 통신 방법.
  4. 제3항에 있어서,
    상기 업데이트된 해시체인을 상기 요소 관리자와 공유하는 단계는,
    해당 VNF 이미지가 수정/변경되거나 또는 주기적으로 이전 해시체인에 해시함수를 적용하여 해시체인을 업데이트하는 단계; 및
    상기 업데이트된 해시체인을 상기 요소 관리자로 전송하는 단계를 포함하는 것을 특징으로 하는 NFV 환경에서 보안 통신 방법.
  5. 제4항에 있어서,
    상기 업데이트된 해시체인을 상기 요소 관리자로 전송하는 단계는,
    상기 업데이트된 해시채널을 이전 해시체인을 암호화 키로 사용하는 대칭 암호화 알고리즘으로 암호화하여 상기 요소 관리자로 전송하는 것을 특징으로 하는 NFV 환경에서 보안 통신 방법.
  6. 제1항에 있어서,
    상기 인증을 수행하는 단계는,
    상기 제1 VNF로부터 초기(Initi) 메시지 수신 시, 상기 제2 VNF에 해시체인을 요청하여 수신하는 단계;
    상기 수신된 제2 VNF의 해시체인을 기 저장된 제2 VNF 해시체인과 비교하여 상기 제2 VNF를 인증하는 단계;
    상기 제2 VNF의 인증 완료시 상기 제1 VNF에 해시체인을 요청하여 수신하는 단계;
    상기 수신된 제1 VNF의 해시체인을 기 저장된 제1 VNF 해시체인과 비교하여 상기 제1 VNF를 인증하는 단계; 및
    상기 제1 VNF와 제2 VNF의 인증결과를 상기 제1VNF로 전송하는 단계를 포함하는 것을 특징으로 하는 NFV 환경에서 보안 통신 방법.
  7. 제6항에 있어서,
    상기 제2 VNF의 해시체인이, 상기 제2 VNF가 가장 최근 자신에게 할당된 해시체인을 암호화키로 사용하여 현재 자신에게 할당된 해시체인을 암호화한 해시체인인 경우,
    상기 제2 VNF를 인증하는 단계는,
    기 저장된 제2 VNF의 가장 최근 해시체인을 이용하여 상기 제2 VNF의 암호화된 해시체인을 복호화하고, 상기 복호화된 해시체인을 기 저장된 제2 VNF 해시체인과 비교하여 제2 VNF를 인증하고,
    상기 제1 VNF의 해시체인이, 상기 제1 VNF가 가장 최근 자신에게 할당된 해시체인을 암호화키로 사용하여 현재 자신에게 할당된 해시체인을 암호화한 해시체인인 경우,
    상기 제1 VNF를 인증하는 단계는,
    기 저장된 제1 VNF의 가장 최근 해시체인을 이용하여 상기 제1 VNF의 암호화된 해시체인을 복호화하고, 상기 복호화된 해시체인을 기 저장된 제1 VNF 해시체인과 비교하여 제1 VNF를 인증하는 것을 특징으로 하는 NFV 환경에서 보안 통신 방법.
  8. 제1항에 있어서,
    상기 비밀키는,
    해시체인을 기반으로 디피-헬만(Diffie-Hellman(D-H)) 알고리즘을 이용하여 생성되는 것을 특징으로 하는 NFV 환경에서 보안 통신 방법.
  9. 제8항에 있어서,
    상기 비밀키를 각각 생성하는 단계는,
    상기 제1 VNF 및 제2 VNF는 각각 요소 관리자로부터 제1 정수(p) 및 제2 정수(q)를 수신하는 단계;
    상기 제1 VNF 및 제2 VNF는 상기 수신된 제1 정수(p), 제2 정수(q) 및 자신의 해시체인을 이용하여 제1 공개키 및 제2 공개키를 생성하는 단계;
    상기 제1 VNF는 제1 공개키를 상기 제2 VNF로 전달하고, 상기 제2 VNF는 제2 공개키를 상기 제1 VNF로 전달하는 단계;
    상기 제1 VNF는 자신의 해시체인과 제2 공개키를 이용하여 제1 비밀키를 생성하고, 상기 제2 VNF는 자신의 해시체인과 제1 공개키를 이용하여 제2 비밀키를 생성하는 단계를 포함하되,
    상기 해시체인이 개인키인 것을 특징으로 하는 것을 특징으로 하는 NFV 환경에서 보안 통신 방법.
  10. 제9항에 있어서,
    상기 통신을 수행하는 단계는,
    상기 제1 VNF는 상기 제1 비밀키를 이용하여 메시지를 암호화하고, 상기 암호화된 메시지를 VNF-게이트웨이로 전송하는 단계;
    상기 VNF-게이트웨이는 상기 메시지에 대한 설정정보를 획득하고, 상기 획득된 설정정보를 기 저장된 보안정책정보와 비교하여 두 정보가 일치하는 경우 상기 암호화된 메시지를 상기 제2 VNF로 전송하는 단계; 및
    상기 제2 VNF는 상기 제2 비밀키를 이용하여 상기 암호화된 메시지를 복호화하는 단계를 포함하는 것을 특징으로 하는 NFV 환경에서 보안 통신 방법.
  11. 제10항에 있어서,
    상기 VNF-게이트웨이는 두 정보가 일치하지 않은 경우, 상기 암호화된 메시지를 차단하는 것을 특징으로 하는 NFV 환경에서 보안 통신 방법.
  12. NFV(network function virtualization) 환경에서 복수의 VNF를 포함하는 테넌트(Tenant)내의 VNF 간 보안 통신을 위한 시스템에서 있어서,
    상기 복수의 VNF에 각각 할당된 해시체인을 관리하며, 통신을 원하는 VNF들의 해시체인을 이용하여 해당 VNF들을 인증하는 요소 관리자; 및
    상기 테넌트내 복수의 VNF 사이에 위치하고, VNF 트래픽에 대한 보안정책정보가 설정된 Sec-catalog를 설정하여 VNF 간의 트래픽을 제어하는 VFN 게이트웨이를 포함하며,
    상기 요소 관리자에서 인증 완료된 VNF는 자신의 해시체인을 기반으로 비밀키를 생성하고, 상기 생성된 비밀키로 메시지를 암호화하여 상기 VNF 게이트웨이로 전송하며, 상기 VNF 게이트웨이로부터 암호화된 메시지 수신 시, 상기 비밀키를 이용하여 상기 암호화된 메시지를 복호화하고,
    상기 VNF-게이트웨이는 상기 메시지에 대한 설정정보를 획득하고, 상기 획득된 설정정보를 상기 보안정책정보와 비교하여 두 정보가 일치하는 경우 상기 암호화된 메시지를 상대 VNF로 전송하는 것을 특징으로 하는 NFV 환경에서 보안 통신 시스템.
  13. 제12항에 있어서,
    상기 테넌트(Tenant)내의 VNF가 인스턴화될 때 VNF 이미지의 해시체인을 생성하여 상기 요소 관리자와 공유하는 VIM을 더 포함하는 단계를 더 포함하는 NFV 환경에서 보안 통신 시스템.
  14. 제13항에 있어서,
    상기 VIM은,
    상기 VNF 이미지가 수정/변경되거나 또는 주기적으로 이전 해시체인에 해시함수를 적용하여 해시체인을 업데이트하고, 상기 업데이트된 해시체인을 상기 요소 관리자와 공유하는 것을 특징으로 하는 NFV 환경에서 보안 통신 시스템.
KR1020170181217A 2017-12-27 2017-12-27 Nfv 환경에서 보안 통신 방법 및 그 시스템 KR102020357B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020170181217A KR102020357B1 (ko) 2017-12-27 2017-12-27 Nfv 환경에서 보안 통신 방법 및 그 시스템
PCT/KR2018/014994 WO2019132270A1 (ko) 2017-12-27 2018-11-29 Nfv 환경에서 보안 통신 방법 및 그 시스템
US16/473,082 US11146385B2 (en) 2017-12-27 2018-11-29 Security communication method in NFV environment and system thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170181217A KR102020357B1 (ko) 2017-12-27 2017-12-27 Nfv 환경에서 보안 통신 방법 및 그 시스템

Publications (2)

Publication Number Publication Date
KR20190079186A true KR20190079186A (ko) 2019-07-05
KR102020357B1 KR102020357B1 (ko) 2019-10-18

Family

ID=67067663

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170181217A KR102020357B1 (ko) 2017-12-27 2017-12-27 Nfv 환경에서 보안 통신 방법 및 그 시스템

Country Status (3)

Country Link
US (1) US11146385B2 (ko)
KR (1) KR102020357B1 (ko)
WO (1) WO2019132270A1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020252052A1 (en) * 2019-06-10 2020-12-17 Apple Inc. End-to-end radio access network (ran) deployment in open ran (o-ran)
WO2021160409A1 (en) * 2020-02-11 2021-08-19 Telefonaktiebolaget Lm Ericsson (Publ) Creating services in a virtualised network environment
JP7422593B2 (ja) * 2020-04-02 2024-01-26 キヤノン株式会社 認証システム、被認証装置、認証装置、画像形成装置および交換部品
US11522721B2 (en) * 2020-04-07 2022-12-06 Verizon Patent And Licensing Inc. System and method for establishing dynamic trust credentials for network functions
US11611517B2 (en) * 2020-05-29 2023-03-21 Equinix, Inc. Tenant-driven dynamic resource allocation for virtual network functions

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120065347A (ko) 2009-12-14 2012-06-20 ?코 덴키 가부시키가이샤 액체 공급 장치, 가동 상황 관리 장치 및 냉각수 상태 판단 장치

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100042841A1 (en) * 2008-08-15 2010-02-18 Neal King Updating and Distributing Encryption Keys
KR101319586B1 (ko) 2012-06-19 2013-10-16 경기대학교 산학협력단 클라우드 컴퓨팅 시스템 및 클라이언트 인증방법
US11271948B2 (en) * 2017-05-22 2022-03-08 Amdocs Development Limited System, method, and computer program for verifying virtual network function (VNF) package and/or network service definition integrity
US10237354B2 (en) * 2014-09-25 2019-03-19 Intel Corporation Technologies for offloading a virtual service endpoint to a network interface card
CN104580208B (zh) 2015-01-04 2018-11-30 华为技术有限公司 一种身份认证方法及装置
US9578008B2 (en) * 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
US10341384B2 (en) * 2015-07-12 2019-07-02 Avago Technologies International Sales Pte. Limited Network function virtualization security and trust system
KR102512346B1 (ko) * 2016-04-07 2023-03-22 싱클레어 브로드캐스트 그룹, 인코포레이티드 인터넷과 연계되고 신흥 5g 네트워크 아키텍처들을 향하는 차세대 지상 브로드캐스팅 플랫폼
US20180288101A1 (en) * 2017-03-29 2018-10-04 Hewlett Packard Enterprise Development Lp Verifying that usage of virtual network function (vnf) by a plurality of compute nodes comply with allowed usage rights
US11070432B2 (en) * 2017-07-20 2021-07-20 Cisco Technology, Inc. Dynamic and customizable virtual network functions
US20190058709A1 (en) * 2017-08-16 2019-02-21 Telefonaktiebolaget Lm Ericsson (Publ) Tenant management method and system in a cloud computing environment
US10348488B1 (en) * 2017-08-25 2019-07-09 Sprint Communications Company L.P. Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120065347A (ko) 2009-12-14 2012-06-20 ?코 덴키 가부시키가이샤 액체 공급 장치, 가동 상황 관리 장치 및 냉각수 상태 판단 장치

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Ian Oliver et al., "Experiences in Trusted Cloud Computing" International Conference on Network and System Security (2017.07.26.)* *
Ranjeet Pawar, Vidya Chitre, "MKAuth: Multikey Authentication For Multicast MANET" (2015.)* *
Vyshnavi Bandaru, "Virtual VPN in the Cloud: Design and Modeling of an IPSec VPN in Virtualized Environment" (2015.)* *

Also Published As

Publication number Publication date
WO2019132270A1 (ko) 2019-07-04
KR102020357B1 (ko) 2019-10-18
US20210028923A1 (en) 2021-01-28
US11146385B2 (en) 2021-10-12

Similar Documents

Publication Publication Date Title
US11258780B2 (en) Securing a data connection for communicating between two end-points
US11558372B2 (en) Authentication of a client device based on entropy from a server or other device
US11381396B2 (en) System, apparatus and method for migrating a device having a platform group
KR102020357B1 (ko) Nfv 환경에서 보안 통신 방법 및 그 시스템
Hernandez-Ramos et al. Toward a lightweight authentication and authorization framework for smart objects
KR101722631B1 (ko) 프록시를 사용하여 자원들에의 보안 액세스
US20170214664A1 (en) Secure connections for low power devices
WO2017020452A1 (zh) 认证方法和认证系统
US10601590B1 (en) Secure secrets in hardware security module for use by protected function in trusted execution environment
JP2019526993A (ja) ネットワーク機能仮想化システム及び検証方法
KR20230078706A (ko) 포스트 양자 암호화를 사용하는 인증서 기반 보안
WO2018112482A1 (en) Method and system for distributing attestation key and certificate in trusted computing
Rizzardi et al. Analysis on functionalities and security features of Internet of Things related protocols
US10887095B2 (en) Allocating security parameter index values using time-based one-time passwords
US11032708B2 (en) Securing public WLAN hotspot network access
CN116599719A (zh) 一种用户登录认证方法、装置、设备、存储介质
CN113206815A (zh) 用于加解密的方法、可编程交换机和计算机程序产品
US10601802B2 (en) Method for distributed application segmentation through authorization
CN104717235B (zh) 一种虚拟机资源检测方法
WO2018040095A1 (zh) 一种生成安全凭证的方法和设备
US20230239138A1 (en) Enhanced secure cryptographic communication system
CN118432826A (zh) 群组设备的注册与身份认证方法、系统、设备及存储介质
Sawant et al. A^ sup 3^(Authenticate Auditor & Avail) for Preserving Integrity of Data in Cloud Computing

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant