KR20210012902A - I2nsf 등록 인터페이스 yang 데이터 모델 - Google Patents
I2nsf 등록 인터페이스 yang 데이터 모델 Download PDFInfo
- Publication number
- KR20210012902A KR20210012902A KR1020200073605A KR20200073605A KR20210012902A KR 20210012902 A KR20210012902 A KR 20210012902A KR 1020200073605 A KR1020200073605 A KR 1020200073605A KR 20200073605 A KR20200073605 A KR 20200073605A KR 20210012902 A KR20210012902 A KR 20210012902A
- Authority
- KR
- South Korea
- Prior art keywords
- nsf
- security
- registration
- capability
- management system
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 명세서는, 등록 인터페이스(Registration Interface)를 통해 네트워크 보안 기능(NSF: Network Secure Function)을 관리하는 보안 관리 시스템에서, 개발자 관리 시스템(Developer's Management System)에 의해 등록하는 방법에 있어서,
NSF 공급업체(vendor)로부터 제공되는 NSF에 근거하여, 보안 컨트롤러(Security Controller)로 상기 등록 인터페이스를 통해, 상기 제공된 NSF의 등록을 요청하기 위한 제1 등록 요청 메시지를 전송하는 단계; I2NSF(Interface to Network Security Functions) 사용자의 보안 서비스 요청에 근거하여, 상기 보안 컨트롤러로부터 등록된 NSF 중에서 필요한(required) 능력(capabilities)을 제공하는 NSF가 없는 경우, 상기 등록 인터페이스를 통해 상기 필요한 능력과 관련된 추가적인 NSF를 요청하기 위한, 요청 메시지를 수신하는 단계; 및
상기 보안 컨트롤러로, 상기 등록 인터페이스를 통해 상기 요청 메시지의 응답으로서 상기 추가적인 NSF의 등록을 요청하기 위한 제2 등록 요청 메시지를 전송하는 단계;
를 더 포함하며, 상기 등록 인터페이스는 1) 상기 보안 컨트롤러에 상기 NSF의 능력을 등록하기 위한 제1 모델 및 2) 상기 개발자 관리 시스템에 상기 추가적인 NSF를 요청하기 위한 제2 모델을 포함할 수 있다.
Description
본 명세서는 데이터 모델에 관한 것으로서, 보다 상세하게 I2NSF(Interface to Network Security Functions)에서 보안 제어기와 개발자 관리 시스템(Developer's Management System : DMS) 사이의 등록 인터페이스에 대한 정보 모델과 YANG 데이터 모델을 정의하기 위한 것이다.
네트워크를 전세계에 연결하면 지리적 거리에 관계없이 신속하게 정보에 액세스할 수 있다. 인터넷은 본질적으로 서로 다른 레벨들의 계층 구조가 서로 연결된 수많은 네트워크이다.
인터넷은 IETF (Internet Engineering Task Force)에서 공표 한 TCP / IP (전송 제어 프로토콜/인터넷 프로토콜)에 따라 운영되며, TCP/IP는 RFC (Request For Comments) 703 및 IETF에서 발행 한 RFC 791에서 찾을 수 있다.
본 명세서의 목적은, I2NSF(Interface to Network Security Functions)에서 보안 제어기와 개발자 관리 시스템(Developer's Management System : DMS) 사이의 등록 인터페이스에 대한 정보 모델과 YANG 데이터 모델을 정의하기 위한 방법을 제안한다.
또한, 본 명세서는 I2NSF 등록 인터페이스를 통한 NSF 기능 등록 및 쿼리를 지원하기 위한 방법을 제안한다.
본 명세서에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 명세서가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 명세서의 일 양상은, 등록 인터페이스(Registration Interface)를 통해 네트워크 보안 기능(NSF: Network Secure Function)을 관리하는 보안 관리 시스템에서, 개발자 관리 시스템(Developer's Management System)에 의해 등록하는 방법에 있어서,
NSF 공급업체(vendor)로부터 제공되는 NSF에 근거하여, 보안 컨트롤러(Security Controller)로 상기 등록 인터페이스를 통해, 상기 제공된 NSF의 등록을 요청하기 위한 제1 등록 요청 메시지를 전송하는 단계; I2NSF(Interface to Network Security Functions) 사용자의 보안 서비스 요청에 근거하여, 상기 보안 컨트롤러로부터 등록된 NSF 중에서 필요한(required) 능력(capabilities)을 제공하는 NSF가 없는 경우, 상기 등록 인터페이스를 통해 상기 필요한 능력과 관련된 추가적인 NSF를 요청하기 위한, 요청 메시지를 수신하는 단계; 및
상기 보안 컨트롤러로, 상기 등록 인터페이스를 통해 상기 요청 메시지의 응답으로서 상기 추가적인 NSF의 등록을 요청하기 위한 제2 등록 요청 메시지를 전송하는 단계;
를 더 포함하며, 상기 등록 인터페이스는 1) 상기 보안 컨트롤러에 상기 NSF의 능력을 등록하기 위한 제1 모델 및 2) 상기 개발자 관리 시스템에 상기 추가적인 NSF를 요청하기 위한 제2 모델을 포함할 수 있다.
또한, 상기 보안 컨트롤러로부터 상기 등록된 NSF 능력의 갱신을 요청하기 위한 갱신 요청 메시지를 수신하는 단계; 및 상기 보안 컨트롤러로 상기 등록 인터페이스를 통해, 상기 갱신 요청 메시지의 응답으로서, 갱신 메시지를 전송하는 단계;
를 더 포함할 수 있다.
또한,
상기 제1 모델은
1) 등록될 수 있는 NSF의 고유한 이름을 나타내는 NSF 이름, 2) 상기 등록될 수 있는 NSF의 능력 집합을 나타내는 NSF 능력 정보 및 3) 상기 등록될 수 있는 NSF가 네트워크와 통신하기 위한 NSF 엑세스 정보를 포함할 수 있다.
또한,
상기 NSF 능력 정보는 시간 능력, 이벤트 능력, 조건 능력, 동작 능력, 해결 전략 능력 및 기본 동작 능력을 포함할 수 있다.
또한,
상기 NSF 능력 정보는 상기 등록될 수 있는 NSF의 처리능력을 나타내기 위한 퍼포먼스(performance) 능력 정보를 더 포함할 수 있다.
또한, 상기 퍼포먼스 능력 정보는 상기 등록될 수 있는 NSF의 혼잡(congestion) 여부를 판단하기 위한, 1) 가용가능한 프로세싱 파워값 및 2) 이용가능한 네트워크와 관련된 대역폭(Bandwidth) 값을 포함할 수 있다.
또한, 상기 요청 메시지는 상기 보안 컨트롤러가 상기 NSF 능력 정보를 이용하여 생성하는 상기 필요한 능력에 근거할 수 있다.
또한,
상기 NSF 능력 정보는 상기 이용가능한 네트워크와 보안 통신을 위한 인터넷 키 교환(IKE) 지원 방법의 능력을 지정하기 위한 IPsec 메서드(method) 능력 정보를 더 포함할 수 있다.
본 명세서의 또 다른 일 양상은, 등록 인터페이스(Registration Interface)를 통해 네트워크 보안 기능(NSF: Network Secure Function)을 관리하는 보안 관리 시스템에서, 개발자 관리 시스템(Developer's Management System)에 있어서, 신호를 송수신하기 위한 송수신기; 데이터를 저장하는 메모리; 및 상기 송수신기 및 상기 메모리를 제어하는 프로세서;를 포함하고, 상기 프로세서는
상기 송수신기를 통해, NSF 공급업체(vendor)로부터 제공되는 NSF에 근거하여, 보안 컨트롤러(Security Controller)로 상기 등록 인터페이스를 통해, 상기 제공된 NSF의 등록을 요청하기 위한 제1 등록 요청 메시지를 전송하고, I2NSF(Interface to Network Security Functions) 사용자의 보안 서비스 요청에 근거하여, 상기 보안 컨트롤러로부터 등록된 NSF 중에서 필요한(required) 능력(capabilities)을 제공하는 NSF가 없는 경우, 상기 등록 인터페이스를 통해 상기 필요한 능력과 관련된 추가적인 NSF를 요청하기 위한, 요청 메시지를 수신하고, 상기 보안 컨트롤러로, 상기 등록 인터페이스를 통해 상기 요청 메시지의 응답으로서 상기 추가적인 NSF의 등록을 요청하기 위한 제2 등록 요청 메시지를 전송하며, 상기 등록 인터페이스는 1) 상기 보안 컨트롤러에 상기 NSF의 능력을 등록하기 위한 제1 모델 및 2) 상기 개발자 관리 시스템에 상기 추가적인 NSF를 요청하기 위한 제2 모델을 포함할 수 있다.
본 명세서를 통해, I2NSF(Interface to Network Security Functions)에서 보안 제어기와 개발자 관리 시스템(Developer's Management System : DMS) 사이의 등록 인터페이스에 대한 정보 모델과 YANG 데이터 모델을 정의할 수 있다.
또한, 본 명세서를 통해, I2NSF 등록 인터페이스를 통한 NSF 기능 등록 및 쿼리를 지원할 수 있다.
본 명세서에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 명세서가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 명세서에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 명세서에 대한 실시 예를 제공하고, 상세한 설명과 함께 본 명세서의 기술적 특징을 설명한다.
도 1은 본 명세서의 일 실시 예에 따른 I2NSF(Interface to Network Security Functions) 시스템을 예시한다.
도 2는 본 명세서의 일 실시 예에 따른 I2NSF 시스템의 아키텍처를 예시한다.
도 3은 본 명세서가 적용될 수 있는 I2NSF Registration Interface Information Model의 예시이다.
도 4는 본 명세서가 적용될 수 있는 NSF Capability Registration Sub-Model의 예시이다.
도 5는 본 명세서가 적용될 수 있는 NSF Capability Information의 예시이다.
도 6은 본 명세서의 일 실시 예에 따른 I2NSF Framework에서 NSF의 능력을 예시한다.
도 7은 본 명세서의 일 실시 예에 따른 NSF 능력을 위한 양 데이터 모델 구조를 예시한다.
도 8은 본 명세서가 적용될 수 있는 Performance Capability의 예시이다.
도 9는 본 명세서가 적용될 수 있는 YANG Tree of NSF Capability Registration Module의 예시이다.
도 10은 본 명세서가 적용될 수 있는 YANG Tree of NSF Capability Query Module의 예시이다.
도 11은 본 명세서가 적용될 수 있는 YANG Tree of I2NSF NSF Capability Information의 예시이다.
도 12는 본 명세서가 적용될 수 있는 YANG Tree of I2NSF NSF Performance Capability의 예시이다.
도 13은 본 명세서가 적용될 수 있는 YANG Tree of I2NSF NSF Access Informantion의 예시이다.
도 14는 본 명세서가 적용될 수 있는 Registration Interface YANG Data Model의 예시이다.
도 15는 본 명세서가 적용될 수 있는 일 실시예이다.
도 1은 본 명세서의 일 실시 예에 따른 I2NSF(Interface to Network Security Functions) 시스템을 예시한다.
도 2는 본 명세서의 일 실시 예에 따른 I2NSF 시스템의 아키텍처를 예시한다.
도 3은 본 명세서가 적용될 수 있는 I2NSF Registration Interface Information Model의 예시이다.
도 4는 본 명세서가 적용될 수 있는 NSF Capability Registration Sub-Model의 예시이다.
도 5는 본 명세서가 적용될 수 있는 NSF Capability Information의 예시이다.
도 6은 본 명세서의 일 실시 예에 따른 I2NSF Framework에서 NSF의 능력을 예시한다.
도 7은 본 명세서의 일 실시 예에 따른 NSF 능력을 위한 양 데이터 모델 구조를 예시한다.
도 8은 본 명세서가 적용될 수 있는 Performance Capability의 예시이다.
도 9는 본 명세서가 적용될 수 있는 YANG Tree of NSF Capability Registration Module의 예시이다.
도 10은 본 명세서가 적용될 수 있는 YANG Tree of NSF Capability Query Module의 예시이다.
도 11은 본 명세서가 적용될 수 있는 YANG Tree of I2NSF NSF Capability Information의 예시이다.
도 12는 본 명세서가 적용될 수 있는 YANG Tree of I2NSF NSF Performance Capability의 예시이다.
도 13은 본 명세서가 적용될 수 있는 YANG Tree of I2NSF NSF Access Informantion의 예시이다.
도 14는 본 명세서가 적용될 수 있는 Registration Interface YANG Data Model의 예시이다.
도 15는 본 명세서가 적용될 수 있는 일 실시예이다.
이하, 본 명세서에 따른 바람직한 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 명세서의 예시적인 실시형태를 설명하고자 하는 것이며, 본 명세서가 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다. 이하의 상세한 설명은 본 명세서의 완전한 이해를 제공하기 위해서 구체적 세부사항을 포함한다. 그러나, 당업자는 본 명세서가 이러한 구체적 세부사항 없이도 실시될 수 있음을 안다.
몇몇 경우, 본 명세서의 개념이 모호해지는 것을 피하기 위하여 공지의 구조 및 장치는 생략되거나, 각 구조 및 장치의 핵심능력을 중심으로 한 블록도 형식으로 도시될 수 있다.
이하의 설명에서 사용되는 특정 용어들은 본 명세서의 이해를 돕기 위해서 제공된 것이며, 이러한 특정 용어의 사용은 본 명세서의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다.
최근에는, NFV-based security function을 위한 기본 표준 인터페이스가 I2NSF(Interface to Network Security Functions) 워킹 그룹에 의해 개발되고 있다. 이는 인터넷 엔지니어링 태스크 포스(IETF: Internet Engineering Task Force)로 불리는 국제 인터넷 표준 기구의 일부이다.
I2NSF의 목적은 다수의 보안 솔루션 벤더(security solution vendor)들에 의해 제공되는 이종의(heterogeneous) 네트워크 보안 능력(들)(NSF: network security function)을 위한 표준화된 인터페이스를 정의하기 위함이다.
I2NSF 아키텍처(architecture)에서, NSF(들)의 관리에 대하여 상세히 고려할 필요 없이(NSF의 관리는 결국 보안 정책의 시행(enforce)을 요구한다), 사용자는 사용자의 네트워크 시스템 내 네트워크 자원을 보호하기 위한 보호 정책을 정의할 수 있다. 또한, 다수의 vendor들로부터 NSF(들)로의 표준화된 인터페이스는 이종의 NSF(들)에 대한 태스크(task)의 설정 및 관리를 단순화할 수 있다.
도 1은 본 명세서의 일 실시 예에 따른 I2NSF(Interface to Network Security Functions) 시스템을 예시한다.
도 1을 참조하면, I2NSF 시스템은 I2NSF 사용자(user), 네트워크 운영 관리 시스템(Network Operator Management System), 개발자 관리 시스템(Developer's Management System) 및/또는 적어도 하나의 NSF(Network Security Function)을 포함한다.
I2NSF 사용자는 I2NSF 소비자-직면 인터페이스(I2NSF Consumer-Facing Interface)를 통해 네트워크 운영 관리 시스템과 통신한다. 네트워크 운영 관리 시스템은 I2NSF NSF-직면 인터페이스(I2NSF NSF-Facing Interface)를 통해 NSF(들)과 통신한다. 개발자 관리 시스템은 I2NSF 등록 인터페이스(I2NSF Registration Interface)를 통해 네트워크 운영 관리 시스템과 통신한다. 이하에서는 I2NSF 시스템의 각 컴포넌트(I2NSF 컴포넌트) 및 각 인터페이스(I2NSF 인터페이스)에 설명한다.
I2NSF 사용자
I2NSF 사용자는 다른 I2NSF 컴포넌트(예컨대, 네트워크 운영 관리 시스템)에서 정보를 요청하거나 및/또는 다른 I2NSF 컴포넌트(예컨대, 개발자 관리 시스템)에 의해 제공되는 서비스(예컨대, 네트워크 보안 서비스)를 사용하는 I2NSF 컴포넌트이다. 예를 들면, I2NSF 사용자는 오버레이 네트워크 관리 시스템, 기업 네트워크 관리자 시스템, 다른 네트워크 도메인 관리자 등일 수 있다.
이러한 I2NSF 사용자 컴포넌트에 할당된 역할을 수행하는 대상은 I2NSF 소비자로 지칭될 수 있다. I2NSF 소비자의 예로는, 일정 기간(time span) 동안 패킷의 특정 필드에 기초하여 흐름을 허용, 속도-제한(rate-limit), 또는 거부하기 위해 언더레이 네트워크(underlay network)에 동적으로 알릴 필요가 있는 화상 회의 네트워크 관리자(video-conference network manager), 특정 흐름에 대한 특정 I2NSF 정책을 시행(enforce)하기 위해 제공자 네트워크를 요청할 필요가 있는 기업 네트워크 관리자(Enterprise network administrators) 및 관리 시스템(management systems), 특정 조건의 세트와 일치하는 흐름을 차단하기 위해 언더레이 네트워크에 요청을 전송하는 IoT 관리 시스템(IoT management system)가 포함될 수 있다.
I2NSF 사용자는 상위 레벨(high-level) 보안 정책(security policy)을 생성 및 배포할 수 있다. 구체적으로 설명하면, I2NSF 사용자는 다양한 악의적인(malicious) 공격으로부터 network 트래픽(traffic)을 보호하기 위하여 네트워크 보안 서비스(network security service)를 이용할 필요가 있다. 이 보안 서비스를 요청하기 위하여, I2NSF 사용자는 자신이 원하는 보안 서비스에 대한 상위 레벨 보안 정책을 생성하고 네트워크 운영 관리 시스템에게 이를 알릴 수 있다.
한편, 상위 레벨 보안 정책을 준비하는 과정에서, I2NSF 사용자는 각 NSF(들)를 위한 보안 서비스 또는 보안 정책 규칙 구성(security policy rule configuration)을 실현하기 위하여 요구되는 NSF(들)의 타입에 대하여 고려하지 않을 수 있다.
또한, I2NSF 사용자는 네트워크 운영 관리 시스템에 의해 기본적인(underlying) NSF(들) 내에서 발생되는 보안 이벤트(들)(security event)를 통지 받을 수 있다. 이들의 보안 이벤트(들)을 분석함으로써, I2NSF 사용자는 새로운 공격을 식별하고, 새로운 공격에 대처하기 위한 상위 레벨 보안 정책을 업데이트(또는 생성)할 수 있다. 이와 같이, I2NSF 사용자는 보안 정책을 정의, 관리 및 모니터링할 수 있다.
네트워크 운영 관리 시스템
네트워크 운영 관리 시스템은 보안 제공, 모니터링 및 기타 동작을 위한 수집(collection) 및 배포(distribution) 지점(point)의 역할을 수행하는 컴포넌트이다. 예를 들면, 네트워크 운영 관리 시스템은 보안 제어기(Security Controller)일 수 있다. 이러한 네트워크 운영 관리 시스템은 네트워크 보안 관리자에 의해 관리될 수 있고, I2NSF 관리 시스템으로 지칭될 수도 있다.
네트워크 운영 관리 시스템(또는 보안 제어기)의 주요한 역할 중 하나는 I2NSF 사용자로부터의 상위 레벨 보안 정책(또는 정책 규칙)을 특정 NSF(들)을 위한 하위 레벨(low-level) 보안 정책 규칙으로 번역(translate)하는 것이다. 네트워크 운영 관리 시스템(또는 보안 제어기)은 상위 레벨 보안 정책을 I2NSF 사용자로부터 수신한 후, 우선 I2NSF 사용자에 의해 요구되는 정책을 시행하기 위하여 요구되는 NSF(들)의 타입을 결정할 수 있다. 그리고, 네트워크 운영 관리 시스템(또는 보안 제어기)은 요구되는 각 NSF(들)을 위한 하위 레벨(low-level) 보안 정책을 생성할 수 있다. 결국, 네트워크 운영 관리 시스템(또는 보안 제어기)은 생성된 하위 레벨 보안 정책을 각 NSF(들)에게 설정할 수 있다.
또한, 네트워크 운영 관리 시스템(또는 보안 제어기)은 시스템 내 구동 중인 NSF(들)을 모니터링하고, 각 NSF(들)에 대한 다양한 정보(예를 들어, 네트워크 액세스(access) 정보 및 작업로드(workload) 상태 등)를 유지할 수 있다. 또한, 네트워크 운영 관리 시스템(또는 보안 제어기)은 개발자 관리 시스템의 도움을 받아 NSF 인스턴스의 동적인 수명시간(life-cycle) 관리를 통해 NSF 인스턴스(instance)의 풀(pool)을 동적으로 관리할 수 있다.
NSF
NSF는 보안 관련 서비스를 제공하는 논리적 엔티티(logical entity) 또는 소프트웨어 컴포넌트이다. 예를 들면, NSF는 하위 레벨 보안정책을 수신하고, 이에 기초하여 악의적인 네트워크 트래픽을 감지하고, 이를 차단하거나 완화할 수 있다. 이를 통해, 네트워크 통신 스트림의 무결성(integrity) 및 기밀성(confidentiality)이 보장될 수 있다.
개발자 관리 시스템
개발자 관리 시스템은 다른 I2NSF 컴포넌트(예컨대, I2NSF 사용자, 네트워크 운영 관리 시스템)으로 정보를 보내거나, 및/또는 서비스(예컨대, 네트워크 보안 서비스)를 제공하는 I2NSF 컴포넌트이다. 개발자 관리 시스템은 벤더 관리 시스템(Vendor's Management System)으로 지칭될 수도 있다. 이러한 개발자 관리 시스템에 할당된 역할을 수행하는 대상은 I2NSF 생산자(producer)로 지칭될 수 있다.
개발자 관리 시스템은 네트워크 운영 관리 시스템에게 NSF(들)을 제공하는 제3자(third-party) 보안 벤더에 의해 관리될 수 있다. 다양한 보안 벤더의 다수의 개발자 관리 시스템(들)이 존재할 수 있다.
I2NSF 소비자-직면 인터페이스(간단히, 소비자-직면 인터페이스(CFI))
CFI는 I2NSF 사용자와 네트워크 운영 관리 시스템 사이에 위치하는, 사용자의 I2NSF 시스템으로의 인터페이스이다. 이렇게 설계됨으로써, 하위(underlying) NSF(들)의 상세한 내용을 숨기고, 사용자에게 NSF(들)의 추상적인 시각(abstract view)만을 제공한다.
이 CFI는 주어진 I2NSF 시스템의 상이한 사용자가 관리 도메인 내의 특정 흐름(flow)에 대한 보안 정책을 정의, 관리 및 모니터링할 수 있게 하기 위해 사용될 수 있다. I2NSF 사용자에 의해 생성된 상위 레벨 보안 정책(또는 정책 규칙)은 이 CFI를 통해 네트워크 운영 관리 시스템으로 전달될 수 있다.
I2NSF NSF-직면 인터페이스(간단히, NSF-직면 인터페이스(NFI))
NFI는 네트워크 운영 관리 시스템(또는 보안 제어기)과 NSF(들) 사이에 위치하는 인터페이스이다.
NFI는 하나 이상의 NSF에 의해 시행되는 흐름-기반(flow-based) 보안 정책을 지정하고 모니터링하기 위해 사용될 수 있다. 예를 들면, I2NSF 시스템은 흐름-기반 NSF를 사용할 수 있다. 여기서, 흐름-기반 NSF는 보안 특성을 강화하기 위해 정책의 세트에 따라 네트워크 흐름을 검사하는 NSF이다. 이러한 흐름-기반 NSF에 의한 흐름-기반 보안은 수신된 순서대로 패킷들이 검사되고, 검사 프로세스에 따라 패킷에 대한 수정이 없는 것을 의미한다. 흐름-기반 NSF에 대한 인터페이스는 다음과 같이 분류될 수 있다:
- NSF 운영 및 관리 인터페이스(NSF Operational and Administrative Interface): NSF의 운영 상태를 프로그래밍하기 위해 I2NSF 관리 시스템에 의해 사용되는 인터페이스 그룹; 이 인터페이스 그룹은 또한 관리 제어 능력을 포함한다. I2NSF 정책 규칙은 일관된 방식으로 이 인터페이스 그룹을 변경하는 한가지 방법을 나타낸다. 어플리케이션 및 I2NSF 컴포넌트가 그들이 송신 및 수신하는 트래픽의 동작을 동적으로 제어할 필요가 있기 때문에, I2NSF 노력(effort)의 대부분이 이 인터페이스 그룹에 집중된다.
- 모니터링 인터페이스(Monitoring Interface): 하나 이상의 선택된 NSF로부터의 모니터링 정보를 획득하기 위해 I2NSF 관리 시스템에 의해 시용되는 인터페이스 그룹; 이 인터페이스 그룹의 각 인터페이스는 쿼리 또는 리포트 기반 인터페이스일 수 있다. 둘 사이의 차이점은 쿼리 기반 인터페이스는 정보를 획득하기 위해 I2NSF 관리 시스템에 의해 사용되고, 이에 반하여 리포트 기반 인터페이스는 정보를 제공하기 위해 NSF에 의해 사용된다는 것이다. 이 인터페이스 그룹의 능력은 또한 LOG[RFC 5424] 및 DOTS(Distributed Denial-of-Service Open Threat Signaling)[RFC 8782]와 같은 다른 프로토콜에 의해 정의될 수 있다. I2NSF 관리 시스템은 정보의 수신에 기초하여 하나 이상의 동작(action)을 취할 수 있다. 이는 I2NSF 정책 규칙에 의해 지정되어야 한다. 이 인터페이스 그룹은 NSF의 운영 상태를 변경하지 않는다.
이와 같이, NFI는 흐름-기반 패러다임을 사용하여 개발될 수 있다. 흐름-기반 NSF의 공동 특성(common trait)은 수신된 패킷의 콘텐츠(예컨대, 헤더/페이로드) 및/또는 컨텍스트(예컨대, 세션 상태 및 인증 상태)에 기초하여 패킷을 처리하는 것이다. 이 특징은 I2NSF 시스템의 동작을 정의하기 위한 요구사항(requirement) 중 하나이다.
한편, I2NSF 관리 시스템은 주어진 NSF의 모든 능력들을 사용할 필요가 없으며, 모든 사용 가능한 NSF들을 사용할 필요도 없다. 따라서, 이 추상화(abstraction)는 NSF 특징(feature)을 NSF 시스템에 의해 빌딩 블록(building block)으로 취급될 수 있게 해준다. 그러므로, 개발자는 벤더 및 기술에 독립적인 NSF에 의해 정의되는 보안 능력을 자유롭게 사용할 수 있게 된다.
I2NSF 등록 인터페이스(간단히, 등록 인터페이스(RI))
RI는 네트워크 운영 관리 시스템 및 개발자 관리 시스템 사이에 위치하는 인터페이스이다. 상이한 벤더에 의해 제공되는 NSF는 상이한 능력(capability)을 가질 수 있다. 따라서, 상이한 벤더에 의해 제공되는 여러 유형의 보안 능력을 이용하는 프로세스를 자동화하기 위해, 벤더가 그들의 NSF의 능력을 정의하기 위한 전용 인터페이스를 가질 필요가 있다. 이러한 전용 인터페이스는 I2NSF 등록 인터페이스(RI)로 지칭될 수 있다.
NSF의 능력은 미리 구성되거나 또는 I2NSF 등록 인터페이스를 통해 동적으로 검색될 수 있다. 만일 소비자에게 노출되는 새로운 능력이 NSF에 추가된다면, 관심 있는(interested) 관리 및 제어 엔티티가 그것들을 알 수 있도록, 그 새로운 능력의 capability가 I2NSF 등록 인터페이스를 통해 I2NSF 레지스트리(registry)에 등록될 필요가 있다.
도 2는 본 명세서의 일 실시예에 따른 I2NSF 시스템의 아키텍처를 예시한다. 도 2의 I2NSF 시스템은 도 1의 I2NSF 시스템에 비하여 I2NSF 사용자 및 네트워크 운영 관리 시스템의 구성을 더 구체적으로 나타낸다. 도 2에서는 도 1에서 상술한 설명과 중복된 설명은 생략한다.
도 2를 참조하면, I2NSF 시스템은 I2NSF 사용자, 보안 관리 시스템(Security Management System), 및 NSF 인스턴스(instances) 계층을 포함한다. I2NSF 사용자 계층은 어플리케이션 로직(Application Logic), 정책 업데이터(Policy Updater), 및 이벤트 수집기(Event Collector)을 컴포넌트로서 포함한다. 보안 관리 시스템 계층은 보안 제어기 및 개발자 관리 시스템을 포함한다. 보안 관리 시스템 계층의 보안 제어기는 보안 정책 관리자(Security policy manager) 및 NSF 능력 관리자(NSF capability manager)를 컴포넌트로서 포함한다.
I2NSF 사용자 계층은 소비자-직면 인터페이스를 통해 보안 관리 시스템 계층과 통신한다. 예를 들면, I2NSF 사용자 계층의 정책 업데이터 및 이벤트 수집기는 소비자-직면 인터페이스를 통해 보안 관리 시스템 계층의 보안 제어기와 통신한다. 또한, 보안 관리 시스템 계층은 NSF-직면 인터페이스를 통해 NSF 인스턴스 계층과 통신한다. 예를 들면, 보안 관리 시스템 계층의 보안 제어기는 NSF-직면 인터페이스를 통해 NSF 인스턴스 계층의 NSF 인스턴스(들)과 통신한다. 또한, 보안 관리 시스템 계층의 개발자 관리 시스템은 등록 인터페이스를 통해 보안 관리 시스템 계층의 보안 제어기와 통신한다.
도 2의 I2NSF 사용자 계층, 보안 관리 시스템 계층의 보안 제어기 컴포넌트, 보안 관리 시스템 계층의 개발자 관리 시스템 컴포넌트 및 NSF 인스턴스 계층은 각각 도 1의 I2NSF 사용자 컴포넌트, 네트워크 운영 관리 시스템 컴포넌트, 개발자 관리 시스템 컴포넌트 및 NSF 컴포넌트에 대응된다. 또한, 도 2의 소비자-직면 인터페이스, NSF-직면 인터페이스 및 등록 인터페이스는 도 1의 소비자-직면 인터페이스, NSF-직면 인터페이스 및 등록 인터페이스에 대응된다. 이하에서는, 각 계층에 포함된 새로 정의된 컴포넌트들에 대하여 설명한다.
I2NSF 사용자
상술한 것처럼, I2NSF 사용자 계층은 다음 3 개의 컴포넌트를 포함한다: 어플리케이션 로직(Application Logic), 정책 업데이터(Policy Updater), 및 이벤트 수집기(Event Collector). 각각의 역할 및 동작을 설명하면 다음과 같다.
어플리케이션 로직은 상위 레벨 보안 정책을 생성하는 컴포넌트이다. 이를 위해, 어플리케이션 로직은 이벤트 수집기로부터 상위 레벨 정책을 업데이트(또는 생성)하기 위한 이벤트를 수신하고, 수집된 이벤트에 기초하여 상위 레벨 정책을 업데이트(또는 생성)한다. 그 이후에, 상위 레벨 정책은 보안 제어기로 배포하기 위해 정책 업데이터로 보내진다. 상위 레벨 정책을 업데이트(또는 생성)하기 위해, 이벤트 수집기는 보안 수집기에 의해 보내진 이벤트를 수신하고, 그들을 어플리케이션 로직으로 보낸다. 이 피드백에 기초하여, 어플리케이션 로직은 상위 레벨 보안 정책을 업데이트(또는 생성)할 수 있다.
도 2에서는, 어플리케이션 로직, 정책 업데이터 및 이벤트 수집기를 각각 별도의 구성으로 도시하고 있으나, 본 명세서의 이에 한정되지 않는다. 다시 말해, 각각은 논리적인 컴포넌트로서, I2NSF 시스템에서 하나 또는 2 개의 컴포넌트로 구현될 수도 있다.
보안 관리 시스템
상술한 것처럼, 보안 관리 시스템 계층의 보안 제어기는 보안 정책 관리자(Security policy manager) 및 NSF 능력 관리자(NSF capability manager)와 같은 2개의 컴포넌트를 포함한다
보안 정책 관리자는 CFI를 통해 정책 업데이터로부터 상위 레벨 정책을 수신하고, 이 정책을 여러 하위 레벨 정책으로 맵핑할 수 있다. 이 하위 레벨 정책은 NSF 능력 관리자에 등록된 주어진 NSF 능력과 관련된다. 또한, 보안 정책 관리자는 이 정책을 NFI를 통해 NSF(들)로 전달할 수 있다.
NSF 능력 관리자는 주어진 NSF 능력과 관련된 하위 레벨 정책을 생성하기 위해, 개발자 관리 시스템에 의해 등록된 NSF의 능력을 지정하고, 그것을 보안 정책 관리자와 공유할 수 있다. 새로운 NSF가 등록될 때마다, NSF 능력 관리자는 등록 인터페이스를 통해 NSF 능력 관리자의 관리 테이블에 NSF의 능력을 등록하도록 개발자 관리 시스템에 요청할 수 있다. 개발자 관리 시스템은 새로운 NSF의 능력을 NSF 능력 관리자로 등록하기 위한 보안 관리 시스템의 다른 부분에 해당한다.
도 2에서는, 보안 정책 관리자 및 NSF 능력 관리자를 각각 별도의 구성으로 도시하고 있으나, 본 명세서의 이에 한정되지 않는다. 다시 말해, 각각은 논리적인 컴포넌트로서, I2NSF 시스템에서 하나의 컴포넌트로 구현될 수도 있다.
NSF 인스턴스(NSF Instances)
도 2에 도시된 것처럼, NSF 인스턴스 계층은 NSF들을 포함한다. 이때, 모든 NSF들은 이 NSF 인스턴스 계층에 위치된다. 한편, 상위 레벨 정책을 하위 레벨 정책에 맵핑한 후에, 보안 정책 관리자는 NFI를 통해 정책을 NSF(들)로 전달한다. 이 경우, NSF는 수신된 하위 레벨 보안 정책에 기초하여 악의적인 네트워크 트래픽을 감지하고, 이를 차단하거나 완화할 수 있다.
가상화 시스템의 신속한 개발을 위해서는 다양한 시나리오에서 고급 보안 능력이 필요하다(예를 들면, 엔터프라이즈 네트워크의 네트워크 장치, 모바일 네트워크의 사용자 장비, 인터넷의 장치 또는 거주자 액세스 사용자 등).
여러 보안 업체에서 생산한 NSF는 고객에게 다양한 보안 능력을 제공할 수 있다. 즉, NSF는 물리적 또는 가상 능력으로 구현되었는지 여부와 관계없이 여러 NSF가 함께 결합되어 주어진 네트워크 트래픽에 대한 보안 서비스를 제공 할 수 있다.
보안 능력은 보안 정책 시행 목적으로 사용할 수 있는 일련의 네트워크의 보안과 관련된 능력을 말한다. 보안 능력은 실제 구현되는 보안 제어 메커니즘과는 독립적이며, 모든 NSF는 NSF에서 제공할 수 있는 능력들의 세트가 등록되어 있다.
보안 능력은 특정 NSF가 제공하는 보안 능력을 모호하지 않게 설명함으로써 맞춤형 보안 보호를 정의 할 수 있는 방법을 제공하는 마켓 리더이다. 또한, 보안 능력을 통해 보안 능력의 공급 업체의 중립적인 방식으로 설명 할 수 있다.
즉, 네트워크를 설계할 때 특정 제품을 언급할 필요가 없으며, 능력별로 특징이 고려될 수 있다.
앞에서 살펴본 바와 같이 보안 정책 제공에 사용될 수 있는 I2NSF 인터페이스는 아래와 같이 두 가지 유형이 존재할 수 있다.
- I2NSF 사용자와 응용 프로그램 간의 인터페이스 및 보안 컨트롤러 (Consumer-Facing Interface): NSF 데이터 및 서비스 사용자와 네트워크 운영 관리시스템(또는 보안 제어기) 사이에 통신 채널을 제공하는 서비스 지향 인터페이스.
I2NSF Consumer-Facing Interface는 보안 정보가 다양한 애플리케이션(예를 들면: OpenStack 또는 다양한 BSS / OSS 구성 요소)과 보안 컨트롤러간의 교환에 사용될 수 있다. Consumer-Facing Interface의 설계 목표는 보안 서비스의 스펙을 구현과 분리하는데 있다.
- NSF 간의 인터페이스(예를 들면: 방화벽, 침입 방지 또는 안티 바이러스) 및 보안 컨트롤러 (NSF-Facing Interface): NSF-Facing Interface는 보안 관리 체계를 NSF 집합과 여러 가지 구현에서 분리하는 데 사용되며 NSF가 구현되는 방식(예를 들면: 가상 머신 또는 실제 appliances 등)에서 독립적이다.
이하, 연관된 I2NSF 정책 객체와 함께 네트워크 보안, 콘텐츠 보안 및 공격 완화 능력에 대한 객체 지향 정보 모델에 대해 살펴보도록 한다.
본 명세서에서 정보 모델에 사용되는 용어는 다음과 같이 정의될 수 있다
AAA: Access control, Authorization, Authentication
ACL: Access Control List
(D)DoD: (Distributed) Denial of Service (attack)
ECA: Event-Condition-Action
FMR: First Matching Rule (resolution strategy)
FW: Firewall
GNSF: Generic Network Security Function
HTTP: HyperText Transfer Protocol
I2NSF: Interface to Network Security Functions
IPS: Intrusion Prevention System
LMR: Last Matching Rule (resolution strategy)
MIME: Multipurpose Internet Mail Extensions
NAT: Network Address Translation
NSF: Network Security Function
RPC: Remote Procedure Call
SMA: String Matching Algorithm
URL: Uniform Resource Locator
VPN: Virtual Private Network
목적
NSF를 I2NSF 프레임워크에 등록 : I2NSF 프레임워크의 개발자 관리 시스템(DMS)은 일반적으로 NSF 공급업체에 의해 운영되며, 등록 인터페이스를 사용하여 NSF 공급업체에서 개발한 NSF를 보안 컨트롤러에 제공한다. DMS는 등록 인터페이스를 통해 NSF와 그 능력을 I2NSF 프레임워크에 등록한다. 등록된 NSF에 대해 보안 컨트롤러는 해당 NSF의 능력 카탈로그를 유지 관리한다.
등록된 NSF의 능력 업데이트: NSF가 보안 컨트롤러에 등록된 후에는 나중에 NSF의 능력에 대한 일부 수정이 필요할 수 있다. 이 경우 DMS는 등록 인터페이스를 사용하여 NSF의 능력을 업데이트하며, 이 업데이트를 NSF의 카탈로그에 반영해야 한다.
DMS에 필요한 몇 가지 능력 문의 : I2NSF 사용자의 보안 서비스 요청을 처리하기 위해 일부 보안 능력이 필요한 경우, Security Controller는 등록된 NSF를 검색하여 필요한 능력을 제공할 수 있는 NSF를 찾는다. 그러나 보안 컨트롤러는 등록된 NSF 중에서 필요한 능력을 가진 NSF를 찾지 못할 수 있다. 이 경우 보안 컨트롤러는 등록 인터페이스를 통해 필요한 보안 능력을 제공할 수 있는 추가 NSF를 DMS에 요청해야 한다.
도 3은 본 명세서가 적용될 수 있는 I2NSF Registration Interface Information Model의 예시이다.
I2NSF 등록 인터페이스는 I2NSF 프레임워크에서 보안 컨트롤러(Security Controller) 및 개발자 관리 시스템(Developer's Management System(DMS))에 의해 사용된다. 도 3을 참조하면, NSF 능력 등록과 NSF 능력 쿼리의 두 가지 하위 모듈로 구성된 I2NSF 등록 인터페이스의 정보의 모델 각 하위 모델은 위에 열거된 작업에 사용된다. 이하에서 각 하위 모델에 대한 심층적인 설명을 제공한다.
NSF Capability Registration
도 4는 본 명세서가 적용될 수 있는 NSF Capability Registration Sub-Model의 예시이다.
도 4를 참조하면, 이 하위 모델은 DMS가 NSF를 보안 컨트롤러에 등록하기 위해 사용한다. 도 4는 이러한 서브모듈이 어떻게 구성되는지를 보여준다. 도 4에서 가장 중요한 부분은 NSF 능력이며, 이는 등록될 NSF가 제공할 수 있는 능력의 집합을 명시한다. NSF 이름에는 지정된 능력의 집합을 가진 NSF의 고유한 이름이 포함되어 있다. NSF를 등록할 때, DMS는 NSF와의 네트워크 통신을 가능하게 하는 데 필요한 NSF의 네트워크 액세스 정보를 추가로 포함할 수 있다. 이하에서 NSF 능력 정보와 NSF 액세스 정보를 더 자세히 설명한다.
NSF Capability Information
도 5는 본 명세서가 적용될 수 있는 NSF Capability Information의 예시이다.
NSF 능력 정보는 기본적으로 NSF의 보안 능력을 설명한다. 도 5를 참조하면, SF의 능력 객체를 보여준다. [capability-dm]에 정의된 NSF 능력의 정보 모델에 따라 동일한 I2NSF 보안 능력을 공유한다: 시간 능력, 이벤트 능력, 조건 능력, 작업 능력, 해결 전략 능력, 기본 작업 능력 및 IPsec 방법 [i2nsf-ipsec]. 또한 NSF 능력 정보에는 도 5와 같이 NSF의 성능(performance) 능력이 추가적으로 포함되어 있다.
capability-dm
/
i2nsf-ipsec
도 6은 본 명세서의 일 실시 예에 따른 I2NSF Framework에서 NSF의 능력을 예시한다. 도 6은 본 명세서의 일 실시 예에 따른 I2NSF Framework에서 NSF의 능력을 예시한다.
도 6을 참조하면, NSF 개발자의 네트워크 운영 관리 (Network Operator Management, Mgmt) 시스템은 NSF와 네트워크 보안 장치가 지원할 수 있는 능력을 등록할 수 있다. 이러한 방식으로 NSF를 등록하기 위해 개발자 Mgmt 시스템은 등록 인터페이스를 통해 이 표준화된 능력의 양(YANG) 데이터 모델을 활용한다. 이러한 네트워크 보안 장치의 능력은 중앙에서 유지 관리를 함으로써, 보안 장치는 쉽게 관리될 수 있다.
NSF-Facing 인터페이스는 일반적인 네트워크 보안 능력[draft-ietf-i2nsf-nsf-nsf-face-dm]의 보안 정책 규칙을 구성하는 데 사용되며, NSF 모니터링 인터페이스는 각각 고급 네트워크 보안 능력[draft-dong-i2nsf-asf-asf-config]의 보안 정책 규칙을 구성하는 데 사용될 수 있다.
네트워크 관리자가 악의적인 사용자를 차단하기 위한 보안 정책 규칙을 적용하는 경우, 필요한 모든 규칙을 NSF에 하나씩 적용하는 것은 엄청난 부담이 될 수 있다. 이러한 문제는 NSF의 능력을 관리함으로써 해결될 수 있다.
예를 들어, 네트워크 관리자가 IPv6으로 악의적인 사용자를 차단하려는 경우, 네트워크 관리자는 I2NSF 사용자(즉, 웹 브라우저나 소프트웨어)를 사용하여 Mgmt 시스템으로 사용자를 차단하는 보안 정책 규칙을 전송할 수 있다.
네트워크 운영자 관리 시스템은 보안 정책 규칙을 수신하면, 해당 보안 정책 규칙을 적절한 NSF(즉, 개발자 관리 시스템 A의 NSF-m 및 개발자 관리 시스템 B의 NSF-1)에 자동으로 전송하여 필요한 능력을 지원할 수 있다(즉, IPv6). 따라서 I2NSF 사용자는 규칙이 적용되는 NSF를 고려할 필요가 없다.
만일, NSF가 악의적인 패킷과 마주치는 경우, 네트워크 관리자가 NSF에 악의적인 패킷을 하나씩 차단하는 규칙을 적용하는 것은 엄청난 부담이 될 수 있다. 이러한 문제는 NSF의 능력을 관리함으로써 해결될 수 있다.
예를 들어, NSF는 의심스러운 IPv4 패킷을 발견한 경우, 특정 규칙 및/또는 구성을 변경하기 위해 의심스러운 IPv4 패킷에 대한 정보를 네트워크 운영 관리 시스템에 요청할 수 있다. 네트워크 운영 관리 시스템은 상기 정보를 수신한 경우, 의심스러운 IPv4 패킷에 대한 정보를 검사할 수 있다.광범위한 패킷이 악의적인 패킷으로 결정되는 경우, Mgmt System은 보안 정책 규칙을 만들어 적절한 NSF(즉, Developer's Mgmt System A의 NSF-1과 Developer's Mgmt System B의 NSF-1과 NSF-n)에 전송하여, 이를 관리하기 위한 능력을 지원할 수 있다. 이를 통해, 악성 패킷을 차단하는 새로운 보안 정책 규칙은 사람의 개입없이 적절한 NSF에 적용될 수 있다.
도 7은 본 명세서의 일 실시 예에 따른 NSF 능력을 위한 양 데이터 모델 구조를 예시한다.
도 7을 참조하면, 양 데이터 모델에는 NSF 능력이 포함되어 있다. NSF 능력은 시간 능력, 이벤트 능력, 조건 능력, 동작 능력, 해결 전략 능력 및 기본 동작 능력을 포함한다.
시간 능력은 I2NSF 정책 규칙의 실행 시기를 지정하는 능력을 지정하는 데 사용된다. 시간 능력은 절대적인 시간과 주기적인 시간의 관점에서 정의된다. 절대적인 시간은 시작 또는 종료의 정확한 시간을 의미한다. 주기적인 시간은 낮, 주 또는 달과 같은 반복된 시간을 의미한다.
이벤트 능력은 I2NSF 정책 규칙의 조건(condition) 실행을 트리거하는 방법을 지정하기 위해, 사용된다.
이렇게 정의된 이벤트 능력은 시스템 이벤트 및 시스템 알람로 정의된다. 이벤트 능력은 특정 공급업체 조건 능력에 따라 확장될 수 있다. 이벤트 능력은 [draf-ietf-i2nsf-capability]에 자세히 설명되어 있다.
조건 능력은 해당 (발현된) I2NSF 정책 규칙과 관련된 동작 셋(set)을 실행할 수 있는지 여부를 결정하기 위해 알려진 속성, 특징 및/또는 값 집합과 비교할 속성, 특징 및/또는 값의 집합의 능력을 지정하는 데 사용된다. 조건 능력은 일반적인 네트워크 보안 능력과 고급 네트워크 보안 능력으로 분류된다.
일반적인 네트워크 보안 능력을 위한, 조건 능력은 IPv4 능력, IPv6 능력, TCP 능력, UDP 능력, ICMP 능력으로 정의될 수 있다. 고급 네트워크 보안 능력의 상태 능력은 안티바이러스 능력, 안티 디도스 능력, IPS 능력, HTTP 능력, VoIP/VoLTE 능력으로 정의 될 수 있다. 조건 능력은 특정 공급업체 조건 능력에 따라 확장될 수 있다. 조건 능력은 [draf-ietf-i2nsf-capability]에 자세히 설명되어 있다.
동작(Action) 능력은 이벤트 및 조건이 충족될 때, 흐름 기반 NSF의 측면을 제어하고 모니터링하는 방법의 능력을 지정하기 위해 사용된다. 동작 능력은 수신 작용 능력, 송신 작용 능력 및 로그 작용 능력으로 정의될 수 있다. 특정 공급업체의 동작 능력에 따라 동작 능력은 확장될 수 있다. 동작 능력은 [draft-ietf-i2nsf-1991]에 자세히 설명되어 있다.
해결 전략(Resolution strategy) 능력은 특정 NSF가 일치하거나, 특정 NSF에 포함된 동일하거나 다른 정책 규칙의 동작 사이에 발생하는 충돌을 해결하는 방법을 지정하는 데 사용된다. 해결 전략 능력은 FMR(First Matching Rule), LMR(Last Matching Rule), PMR(Priority Matching Rule), PMR(Priority Matching Rule) with Errors(PMRE) 및 PMRN(Priority Matching Rule with No Errors)으로 정의될 수 있다. 해결 전략 능력은 특정 공급업체의 동작 능력에 따라 확장될 수 있다. 해결 전략 능력은 [draf-ietf-i2nsf-capability]에 자세히 설명되어 있다.
수신한 패킷과 일치하는 규칙이 없을 때, I2NSF 정책 규칙을 실행하는 방법을 지정하기 위해, 기본 동작(Default action) 능력이 사용된다. 기본 동작 능력은 패스, 드롭, 거부, 경고 및 미러로 정의 될 수 있다. 기본 동작 능력은 특정 공급업체 동작 능력에 따라 확장될 수 있다. 기본 동작 능력은 [draf-ietf-i2nsf-capability]에 자세히 설명되어 있다.
IPsec 메서드(method) 능력은 보안 통신을 위한 인터넷 키 교환(IKE) 지원 방법의 능력을 지정하는 데 사용된다. 기본 동작 능력은 IKE 및 IKE-less로 정의될 수 있다. 기본 동작 능력은 특정 공급업체 동작 능력에 따라 확장될 수 있다. 기본 동작 능력은 [draft-ietf-i2nsf-sdn-ipsec-flow-protection]에 자세히 설명되어 있다.
Performance Capabilities
도 8은 본 명세서가 적용될 수 있는 Performance Capability의 예시이다. 도 8을 참조하면, 이 정보는 NSF의 처리 능력을 나타낼 수 있다. 각 NSF의 현재 작업부하 상태가 NSF 모니터링[i2nsf-monitoring]을 통해 수집되고 있다고 가정하는 경우, NSF의 이 능력 정보를 사용하여 NSF의 현재 작업부하와 비교하여 NSF가 혼잡 상태에 있는지 여부를 판단할 수 있다. 더욱이 이 정보는 NSF에서 이용할 수 있는 처리 능력 등 각 자원의 유형별 가용량을 명시할 수 있다(등록 인터페이스는 생성된 인스턴스의 사용량 및 한계를 제어하고 상태에 따라 적절한 요청을 할 수 있다). 도 8에서 설명한 바와 같이, 이 정보는 처리와 대역폭의 두 가지 항목으로 구성된다. 처리 정보는 NSF의 가용 처리 능력을 설명한다. 대역폭이 사용 가능한 네트워크에 대한 정보를 설명할 수 있다.
NSF Access Information
NSF 액세스 정보에는 NSF와 통신하는 데 필요한 IPv4 주소, IPv6 주소, 포트 번호 및 지원되는 전송 프로토콜(예: VXLAN(Virtual Extensible LAN) [RFC 7348], VXLAN용 일반 프로토콜 확장[VXLAN-GPE]이 포함되어 있다. 본 명세서에서 설 NSF 액세스 정보는 특정 NSF 인스턴스(즉, NSF 액세스 정보는 전체 시스템에서 NSF 인스턴스의 서명(유일한 식별자))를 식별하는 데 사용될 수 있다.
NSF Capability Query
보안 컨트롤러는 I2NSF 사용자의 보안 서비스 요청을 처리하기 위해 몇 가지 추가 능력을 요구할 수 있지만, 등록된 NSF 중 필요한 능력을 가진 것이 없을 수 있다. 이 경우 보안 컨트롤러는 NSF 능력 정보 하위 모델을 사용하여 필요한 능력에 대해 설명하고, DMS에 이러한 능력을 제공할 수 있는 NSF에 대한 쿼리를 전송할 수 있다.
Data Model
1. I2NSF Registration Interface
도 8은 본 명세서가 적용될 수 있는 YANG Tree of I2NSF Registration Interface의 예시이다.
도 8을 참조하면, I2NSF 등록 인터페이스는 다음과 같은 목적으로 사용된다. 개발자 관리 시스템(DMS)은 등록 인터페이스를 통해 NSF와 그 능력을 보안 컨트롤러에 등록한다. Security Controller가 일부 필요한 능력을 제공할 수 있는 등록된 NSF 중에서 NSF를 찾지 못하는 경우, Security Controller는 등록 인터페이스를 사용하여 필요한 능력을 가진 NSF에 대해 DMS를 쿼리한다. 다음 절에서는 이러한 운영을 지원하는 YANG 데이터 모델을 설명한다.
(1) NSF Capability Registration
도 9는 본 명세서가 적용될 수 있는 YANG Tree of NSF Capability Registration Module의 예시이다. 도 9를 참조하면, 보안 컨트롤러에 NSF를 등록할 때 DMS는 NSF가 제공할 수 있는 능력을 설명하기 위해 이 모듈이 사용될 수 있다. DMS는 NSF와 네트워크 연결을 위해 필요한 NSF의 네트워크 액세스 정보와 NSF의 능력 설명을 포함한다.
(2) NSF Capability Query
도 10은 본 명세서가 적용될 수 있는 YANG Tree of NSF Capability Query Module의 예시이다. 도 10을 참조하면, 보안 컨트롤러는 I2NSF 사용자가 요청한 보안 서비스를 제공하기 위해 몇 가지 추가 능력을 요구할 수 있지만, 등록된 NSF 중 필요한 능력을 가진 것이 없을 수 있다. 이 경우 보안 컨트롤러는 이 모듈을 사용하여 필요한 능력에 대해 설명한 다음 이러한 능력을 제공할 수 있는 NSF에 대해 DMS를 쿼리한다. NSF 능력 쿼리를 보내려면 NETCONF RPC를 사용할 수 있다. 입력 데이터는 query-i2nsf-capability-info이고 출력 데이터는 nsf-access-info이다. 도 10에서 ietf-i2nsf-capability는 [capability-dm]에 정의된 모듈을 가리킨다.
2. NSF Capability Information
도 11은 본 명세서가 적용될 수 있는 YANG Tree of I2NSF NSF Capability Information의 예시이다. 도 11을 참조하면, 전술한 nsf-capability-info의 확장된 구조가 예시된다. ietf-i2nsf-capability는 [capability-dm]에 정의된 모듈을 가리킨다. 성능 능력은 NSF의 성능 능력을 지정하는 데 사용된다.
도 12는 본 명세서가 적용될 수 있는 YANG Tree of I2NSF NSF Performance Capability의 예시이다. 도 12는 전술한 nsf-performance-capability의 예시이다.
도 12를 참조하면, 이 모듈은 NSF를 등록하거나 시작할 때 NSF의 성능 능력을 지정하는 데 사용된다.
3. NSF Access Information
도 13은 본 명세서가 적용될 수 있는 YANG Tree of I2NSF NSF Access Informantion의 예시이다.
도 13을 참조하면, 이 모듈에는 NSF와의 네트워크 통신을 활성화하는 데 필요한 NSF의 네트워크 액세스 정보가 포함되어 있다.
YANG Data Modules
도 14는 본 명세서가 적용될 수 있는 Registration Interface YANG Data Model의 예시이다. 도 14를 참조하면, 보안 컨트롤러와 개발자 관리 시스템 사이의 등록 인터페이스를 위한 데이터 모델의 YANG 모듈을 제공할 수 있다.
Security Considerations
본 명세서에 명시된 YANG 모듈은 NETCONF [RFC6241] 또는 RESTCONF[RFC8040]와 같은 네트워크 관리 프로토콜을 통해 접속하도록 설계된 데이터 스키마를 정의한다. 가장 낮은 NETCONF 계층은 보안 전송 계층이며, 필요한 보안 전송은 보안 쉘(SSH) [RFC6242]이다. 최저 RESTCONF 계층은 HTTPS이며, 필요한 보안 전송은 TLS [RFC8446]이다.
NETCONF 액세스 제어 모델 [RFC8341]은 이용 가능한 모든 NETCONF 또는 RESTCONF 프로토콜 운영 및 컨텐츠의 사전 구성된 하위 집합으로 특정 NETCONF 또는 RESTCONF 사용자에 대한 액세스를 제한하는 수단을 제공한다.
이 YANG 모듈에는 쓰기 가능/생성 가능/삭제 가능한 데이터 노드(즉, config true, 기본값)가 다수 정의되어 있다. 이러한 데이터 노드는 일부 네트워크 환경에서 민감하거나 취약한 것으로 간주될 수 있다. 적절한 보호 없이 이러한 데이터 노드에 대한 쓰기 작업(예: 편집-구성)은 네트워크 운영에 부정적인 영향을 미칠 수 있다. 다음은 하위 트리와 데이터 노드 및 민감도/취약성이다.
o nsf-registrations: 공격자는 이를 이용하여 보안 컨트롤러에 합법적인 NSF 대신 손상되거나 악의적인 NSF를 등록할 수 있다.
o nsf-performance-capability: 공격자는 이것을 불법적으로 수정함으로써 대상 NSF의 성능 능력에 대한 잘못된 정보를 제공할 수 있다.
o nsf-capability-info: 공격자는 이를 불법적으로 수정함으로써 대상 NSF의 보안 기능에 대한 잘못된 정보를 제공할 수 있다.
o nsf-access-info: 공격자는 이것을 불법적으로 수정함으로써 대상 NSF의 잘못된 네트워크 액세스 정보를 제공할 수 있다.
이 YANG 모듈의 일부 읽기 가능한 데이터 노드는 일부 네트워크 환경에서 민감하거나 취약한 것으로 간주될 수 있다. 따라서 이러한 데이터 노드에 대한 읽기 액세스(예: get, get-config 또는 알림을 통한)를 제어하는 것이 중요하다. 다음은 하위 트리와 데이터 노드 및 민감도/취약성이다.
o nsf-registrations: 공격자는 이것을 가로채 등록된 NSF의 민감한 정보를 수집하려고 할 수 있다.
o nsf-performance-capability: 공격자는 대상 NSF의 성능 능력 정보를 수집하고 후속 공격에 정보를 오용할 수 있다.
o nsf-capability-info: 공격자는 대상 NSF의 보안 기능 정보를 수집하고 후속 공격에 정보를 오용할 수 있다.
o nsf-access-info: 공격자는 대상 NSF의 네트워크 액세스 정보를 수집하고 후속 공격에 정보를 오용할 수 있다.
이 YANG 모듈의 RPC 작동은 일부 네트워크 환경에서 민감하거나 취약한 것으로 간주될 수 있다. 그러므로 이러한 동작에 대한 접근을 통제하는 것이 중요하다. 다음은 동작 및 그 민감도/취약성이다.
o nsf-capability-query: 공격자는 이 RPC 작업을 이용하여 DMS의 가용성을 저하시키거나 DMS로부터 일부 관련 NSF의 정보를 수집할 수 있다.
도 15는 본 명세서가 적용될 수 있는 일 실시예이다.
도 15를 참조하면, 네트워크 보안 기능(NSF: Network Secure Function)을 관리하는 보안 관리 시스템은 개발자 관리 시스템, I2NSF(Interface to Network Security Functions) 사용자 및 보안 컨트롤러를 포함한다. 개발자 관리 시스템과 보안 컨트롤러는 등록 인터페이스를 통해 연결될 수 있다. 보다 자세하게, 상기 등록 인터페이스는 1) 상기 보안 컨트롤러에 상기 NSF의 능력을 등록하기 위한 제1 모델 및 2) 상기 개발자 관리 시스템에 상기 추가적인 NSF를 요청하기 위한 제2 모델을 포함할 수 있다.
1. 개발자 관리 시스템은 NSF 공급업체(vendor)로부터 제공되는 NSF에 근거하여, 보안 컨트롤러(Security Controller)로 등록 인터페이스를 통해, 상기 제공된 NSF의 등록을 요청하기 위한 제1 등록 요청 메시지를 전송한다.
2. 개발자 관리 시스템은 I2NSF(Interface to Network Security Functions) 사용자의 보안 서비스 요청에 근거하여, 보안 컨트롤러로부터 등록된 NSF 중에서 필요한(required) 능력(capabilities)을 제공하는 NSF가 없는 경우, 등록 인터페이스를 통해 상기 필요한 능력과 관련된 추가적인 NSF를 요청하기 위한, 요청 메시지를 수신한다. 예를 들어, 보안 컨트롤러는 I2NSF 소비자-직면 인터페이스를 통해 I2NSF 사용자와 연결될 수 있다.
3. 보안 컨트롤러로, 상기 등록 인터페이스를 통해 상기 요청 메시지의 응답으로서 상기 추가적인 NSF의 등록을 요청하기 위한 제2 등록 요청 메시지를 전송한다.
추가적으로, 등록된 NSF 능력의 갱신이 요구될 경우, 개발자 관리 시스템은 상기 보안 컨트롤러로부터 상기 등록된 NSF 능력의 갱신을 요청하기 위한 갱신 요청 메시지를 수신하고, 상기 보안 컨트롤러로 상기 등록 인터페이스를 통해, 상기 갱신 요청 메시지의 응답으로서, 갱신 메시지를 전송할 수 있다.
이상에서 설명된 실시 예들은 본 명세서의 구성요소들과 특징들이 소정 형태로 결합된 것들이다. 각 구성요소 또는 특징은 별도의 명시적 언급이 없는 한 선택적인 것으로 고려되어야 한다. 각 구성요소 또는 특징은 다른 구성요소나 특징과 결합되지 않은 형태로 실시될 수 있다. 또한, 일부 구성요소들 및/또는 특징들을 결합하여 본 명세서의 실시 예를 구성하는 것도 가능하다. 본 명세서의 실시 예들에서 설명되는 동작들의 순서는 변경될 수 있다. 어느 실시예의 일부 구성이나 특징은 다른 실시 예에 포함될 수 있고, 또는 다른 실시예의 대응하는 구성 또는 특징과 교체될 수 있다. 특허청구범위에서 명시적인 인용 관계가 있지 않은 청구항들을 결합하여 실시 예를 구성하거나 출원 후의 보정에 의해 새로운 청구항으로 포함시킬 수 있음은 자명하다.
본 명세서에 따른 실시 예는 다양한 수단, 예를 들어, 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다. 하드웨어에 의한 구현의 경우, 본 명세서의 일 실시 예는 하나 또는 그 이상의 ASICs(application specific integrated circuits), DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays), 프로세서, 콘트롤러, 마이크로 콘트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.
펌웨어나 소프트웨어에 의한 구현의 경우, 본 명세서의 일 실시 예는 이상에서 설명된 능력 또는 동작들을 수행하는 모듈, 절차, 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드는 메모리에 저장되어 프로세서에 의해 구동될 수 있다. 상기 메모리는 상기 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 상기 프로세서와 데이터를 주고 받을 수 있다.
본 명세서는 본 명세서의 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있음은 당업자에게 자명하다. 따라서, 상술한 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니 되고 예시적인 것으로 고려되어야 한다. 본 명세서의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 명세서의 등가적 범위 내에서의 모든 변경은 본 명세서의 범위에 포함된다.
산업상 이용가능성
본 명세서는 다양한 보안 관리 시스템에 적용될 수 있다.
Claims (16)
- 등록 인터페이스(Registration Interface)를 통해 네트워크 보안 기능(NSF: Network Security Function)을 관리하는 보안 관리 시스템에서, 개발자 관리 시스템(Developer's Management System)에 의해 등록하는 방법에 있어서,
NSF 공급업체(Vendor)로부터 제공되는 NSF에 근거하여, 보안 컨트롤러(Security Controller)로 상기 등록 인터페이스를 통해, 상기 제공된 NSF의 등록을 요청하기 위한 제1 등록 요청 메시지를 전송하는 단계;
I2NSF(Interface to Network Security Functions) 사용자의 보안 서비스 요청에 근거하여, 상기 보안 컨트롤러로부터 등록된 NSF 중에서 필요한(required) 능력(capabilities)을 제공하는 NSF가 없는 경우, 상기 등록 인터페이스를 통해 상기 필요한 능력과 관련된 추가적인 NSF를 요청하기 위한, 요청 메시지를 수신하는 단계; 및
상기 보안 컨트롤러로, 상기 등록 인터페이스를 통해 상기 요청 메시지의 응답으로서 상기 추가적인 NSF의 등록을 요청하기 위한 제2 등록 요청 메시지를 전송하는 단계;
를 더 포함하며, 상기 등록 인터페이스는 1) 상기 보안 컨트롤러에 상기 NSF의 능력을 등록하기 위한 제1 모델 및 2) 상기 개발자 관리 시스템에 상기 추가적인 NSF를 요청하기 위한 제2 모델을 포함하는, 등록 방법.
- 제1 항에 있어서,
상기 보안 컨트롤러로부터 상기 등록된 NSF 능력의 갱신을 요청하기 위한 갱신 요청 메시지를 수신하는 단계; 및
상기 보안 컨트롤러로 상기 등록 인터페이스를 통해, 상기 갱신 요청 메시지의 응답으로서, 갱신 메시지를 전송하는 단계;
를 더 포함하는, 등록 방법.
- 제1 항에 있어서,
상기 제1 모델은
1) 등록될 수 있는 NSF의 고유한 이름을 나타내는 NSF 이름, 2) 상기 등록될 수 있는 NSF의 능력 집합을 나타내는 NSF 능력 정보 및 3) 상기 등록될 수 있는 NSF가 네트워크와 통신하기 위한 NSF 엑세스 정보를 포함하는, 등록 방법.
- 제3 항에 있어서,
상기 NSF 능력 정보는
시간 능력, 이벤트 능력, 조건 능력, 동작 능력, 해결 전략 능력 및 기본 동작 능력을 포함하는, 등록 방법.
- 제4 항에 있어서,
상기 NSF 능력 정보는
상기 등록될 수 있는 NSF의 처리능력을 나타내기 위한 퍼포먼스(performance) 능력 정보를 더 포함하는, 등록 방법.
- 제5 항에 있어서,
상기 퍼포먼스 능력 정보는
상기 등록될 수 있는 NSF의 혼잡(congestion) 여부를 판단하기 위한, 1) 가용가능한 프로세싱 파워값 및 2) 이용가능한 네트워크와 관련된 대역폭(Bandwidth) 값을 포함하는, 등록 방법.
- 제3 항에 있어서,
상기 요청 메시지는
상기 보안 컨트롤러가 상기 NSF 능력 정보를 이용하여 생성하는 상기 필요한 능력에 근거하는, 등록 방법.
- 제6 항에 있어서,
상기 NSF 능력 정보는
상기 이용가능한 네트워크와 보안 통신을 위한 인터넷 키 교환(IKE) 지원 방법의 능력을 지정하기 위한 IPsec 메서드(method) 능력 정보를 더 포함하는, 등록 방법.
- 등록 인터페이스(Registration Interface)를 통해 네트워크 보안 기능(NSF: Network Security Function)을 관리하는 보안 관리 시스템에서, 개발자 관리 시스템(Developer's Management System)에 있어서,
신호를 송수신하기 위한 송수신기;
데이터를 저장하는 메모리; 및
상기 송수신기 및 상기 메모리를 제어하는 프로세서;를 포함하고,
상기 프로세서는
상기 송수신기를 통해, NSF 공급업체(Vendor)로부터 제공되는 NSF에 근거하여, 보안 컨트롤러(Security Controller)로 상기 등록 인터페이스를 통해, 상기 제공된 NSF의 등록을 요청하기 위한 제1 등록 요청 메시지를 전송하고,
I2NSF(Interface to Network Security Functions) 사용자의 보안 서비스 요청에 근거하여, 상기 보안 컨트롤러로부터 등록된 NSF 중에서 필요한(required) 능력(capabilities)을 제공하는 NSF가 없는 경우, 상기 등록 인터페이스를 통해 상기 필요한 능력과 관련된 추가적인 NSF를 요청하기 위한, 요청 메시지를 수신하며,
상기 보안 컨트롤러로, 상기 등록 인터페이스를 통해 상기 요청 메시지의 응답으로서 상기 추가적인 NSF의 등록을 요청하기 위한 제2 등록 요청 메시지를 전송하며,
상기 등록 인터페이스는 1) 상기 보안 컨트롤러에 상기 NSF의 능력을 등록하기 위한 제1 모델 및 2) 상기 개발자 관리 시스템에 상기 추가적인 NSF를 요청하기 위한 제2 모델을 포함하는, 개발자 관리 시스템.
- 제9 항에 있어서,
상기 프로세서는
상기 송수신기를 통해, 상기 보안 컨트롤러로부터 상기 등록된 NSF 능력의 갱신을 요청하기 위한 갱신 요청 메시지를 수신하고, 상기 보안 컨트롤러로 상기 등록 인터페이스를 통해, 상기 갱신 요청 메시지의 응답으로서, 갱신 메시지를 전송하는, 개발자 관리 시스템.
- 제9 항에 있어서,
상기 제1 모델은
1) 등록될 수 있는 NSF의 고유한 이름을 나타내는 NSF 이름, 2) 상기 등록될 수 있는 NSF의 능력 집합을 나타내는 NSF 능력 정보 및 3) 상기 등록될 수 있는 NSF가 네트워크와 통신하기 위한 NSF 엑세스 정보를 포함하는, 개발자 관리 시스템.
- 제11 항에 있어서,
상기 NSF 능력 정보는
시간 능력, 이벤트 능력, 조건 능력, 동작 능력, 해결 전략 능력 및 기본 동작 능력을 포함하는, 개발자 관리 시스템.
- 제12 항에 있어서,
상기 NSF 능력 정보는
상기 등록될 수 있는 NSF의 처리능력을 나타내기 위한 퍼포먼스(performance) 능력 정보를 더 포함하는, 개발자 관리 시스템.
- 제13 항에 있어서,
상기 퍼포먼스 능력 정보는
상기 등록될 수 있는 NSF의 혼잡(congestion) 여부를 판단하기 위한, 1) 가용가능한 프로세싱 파워값 및 2) 이용가능한 네트워크와 관련된 대역폭(Bandwidth) 값을 포함하는, 개발자 관리 시스템.
- 제11 항에 있어서,
상기 요청 메시지는
상기 보안 컨트롤러가 상기 NSF 능력 정보를 이용하여 생성하는 상기 필요한 능력에 근거하는, 개발자 관리 시스템.
- 제14 항에 있어서,
상기 NSF 능력 정보는
상기 이용가능한 네트워크와 보안 통신을 위한 인터넷 키 교환(IKE) 지원 방법의 능력을 지정하기 위한 IPsec 메서드(method) 능력 정보를 더 포함하는, 개발자 관리 시스템.
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190089889 | 2019-07-24 | ||
KR20190089889 | 2019-07-24 | ||
KR20200028915 | 2020-03-09 | ||
KR1020200028915 | 2020-03-09 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20210012902A true KR20210012902A (ko) | 2021-02-03 |
Family
ID=74572438
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200073605A KR20210012902A (ko) | 2019-07-24 | 2020-06-17 | I2nsf 등록 인터페이스 yang 데이터 모델 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20210012902A (ko) |
-
2020
- 2020-06-17 KR KR1020200073605A patent/KR20210012902A/ko active Search and Examination
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Jangjou et al. | A comprehensive survey on security challenges in different network layers in cloud computing | |
US11463482B2 (en) | Adaptive access control management | |
US10721275B2 (en) | Automated enforcement of security policies in cloud and hybrid infrastructure environments | |
Yu et al. | PSI: Precise Security Instrumentation for Enterprise Networks. | |
US8874766B2 (en) | System and method for flexible network access control policies in a network environment | |
Lopez et al. | Framework for interface to network security functions | |
US20230269140A1 (en) | Dynamic segmentation management | |
US11388197B2 (en) | I2NSF NSF monitoring YANG data model | |
US10404750B2 (en) | Externally defined objects in security policy | |
KR102184114B1 (ko) | 네트워크 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치 | |
KR102250147B1 (ko) | 네트워크 보안 기능 인터페이스를 위한 보안 정책 번역 | |
Manzanares‐Lopez et al. | A virtualized infrastructure to offer network mapping functionality in SDN networks | |
Arivudainambi et al. | Performance analysis of security framework for software defined network architectures | |
US11736526B2 (en) | I2NSF consumer-facing interface YANG data model | |
Chandramouli et al. | Guide to a Secure Enterprise Network Landscape | |
KR102256641B1 (ko) | I2nsf 네트워크 보안 기능에 직면한 인터페이스 yang 데이터 모델 | |
US11792227B2 (en) | I2NSF network security function facing interface YANG data model | |
US11637865B2 (en) | I2NSF registration interface yang data model | |
KR20210012902A (ko) | I2nsf 등록 인터페이스 yang 데이터 모델 | |
KR102335012B1 (ko) | I2nsf 네트워크 보안 능력에 직면한 인터페이스 yang 데이터 모델 | |
US11516258B2 (en) | I2NSF capability YANG data model | |
US20230103979A1 (en) | Method and Apparatus for Security Management based on I2NSF Analytics Interface YANG Data Model | |
de Hoz Diego et al. | CMXsafe: A Proxy Layer for Securing Internet-of-Things Communications | |
MacFarland | Exploring host-based software defined networking and its applications | |
KR20190043105A (ko) | 효과적인 디도스 공격 완화를 위한 소프트웨어 정의 네트워킹 기반의 네트워크 보안 기능 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination |