KR20220033195A - 노드 간 암호화 통신을 지원하는 sdn 제어기 및 sdn 제어기의 동작 방법 - Google Patents

노드 간 암호화 통신을 지원하는 sdn 제어기 및 sdn 제어기의 동작 방법 Download PDF

Info

Publication number
KR20220033195A
KR20220033195A KR1020200115300A KR20200115300A KR20220033195A KR 20220033195 A KR20220033195 A KR 20220033195A KR 1020200115300 A KR1020200115300 A KR 1020200115300A KR 20200115300 A KR20200115300 A KR 20200115300A KR 20220033195 A KR20220033195 A KR 20220033195A
Authority
KR
South Korea
Prior art keywords
random number
node
quantum random
switch
message
Prior art date
Application number
KR1020200115300A
Other languages
English (en)
Inventor
강효성
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020200115300A priority Critical patent/KR20220033195A/ko
Publication of KR20220033195A publication Critical patent/KR20220033195A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

SDN 기반 네트워크 환경에서 가상 사설망 구축과 같은 노드 간 암화 통신에서 1개의 양자 난수 생성기를 통해 각 노드에서 암호화 통신을 위한 대킹 키를 생성할 수 있도록 지원하는 SDN 제어기 및 그 SDN 제어기의 동작 방법이 개시된다. 일 실시예에 따른 제1노드와 제2노드 간의 대칭 키 기반의 암호화 통신을 지원하는 SDN 제어기는, 양자 난수를 생성하는 양자 난수 생성기; 및 상기 제1노드로부터 상기 제2노드로 향하는 유사 난수를 포함하는 메시지를 수신한 스위치로부터 최적 경로 설정을 위한 요청 메시지를 수신하고, 최적 경로를 계산하여 상기 스위치에 플로우 룰을 설정하며, 상기 스위치로 상기 유사 난수를 교체할 상기 양자 난수를 전송하는 제어부를 포함한다.

Description

노드 간 암호화 통신을 지원하는 SDN 제어기 및 SDN 제어기의 동작 방법{SDN controller for supporting encrypted communication between nodes and operating method of SDN controller}
본 발명은 노드 간 암호화 통신을 지원하는 소프트웨어 정의 네트워킹(SDN:Software Defined Networking, 이하 SDN) 제어기 및 그 SDN 제어기의 동작 방법에 관한 것으로, 보다 구체적으로 노드 간 양자 난수 기반의 암호화 통신을 지원하는 SDN 제어기 및 그 SDN 제어기의 동작 방법에 관한 것이다.
SDN(Software Defined Networking)은 종래의 네트워크 장비를 구성하는 제어 평면(Control Plane)과 데이터 평면(Data Plane)을 서로 분리하여 제어 평면이 네트워크에 대한 관리, 모니터링, 제어에 관련 전반적인 처리를 담당하는 중앙 집중식 구조의 네트워킹을 말한다. 이때 제어 평면을 SDN 제어기라고 칭하며, SND 제어기는 OpenFlow, NetConf와 같이 표준화된 제어 평면 인터페이스를 통해 데이터 평면에 해당하는 네트워크 장비들을 제어할 수 있다.
가상 사설망(VPN:Virtual Private Network)은 두개의 서로 다른 네트워크에 속하는 호스트가 서로 통신이 가능하도록 가상으로 묶어 제공되는 네트워크이다. 도 1은 가상 사설망의 물리적 연결 구조를 나타낸 도면이고, 도 2는 가상 사설망의 논리적 연결 구조를 나타낸 도면이다. 예를 들어 서로 다른 사설망(Private Network)에 속하는 2개의 클라이언트(예, 퍼스널 컴퓨터)(111, 112)가 서로 통신이 가능하도록 가상 사설망을 구축할 경우, 물리적인 연결 구조는 도 1에 도시된 바와 같다. 도 1에서 서로 다른 원격지의 사설망에 위치하는 VPN 클라이언트(Client)1(111)와 VPN 클라이언트(Client)2(112)는 서로 다른 사설망에 속하기 때문에 공중망(Public Network)(130)과 같은 외부망을 통해 VPN 서버(140)와 통신하여 인증 과정을 거쳐 암호화 방식을 결정한다. 이 과정이 완료되면, 도 2에 도시된 바와 같은 논리적인 형태의 가상 사설망(VPN)이 구축된다. 논리적으로 구축된 도 2의 가상 사설망(VPN)의 연결 구조를 보면 실제로는 도 1과 같이 다른 사설망에 속하는 VPN 클라이언트1(111)과 VPN 클라이언트2(112)가 동일한 가상 사설망(210)으로 묶여 통신이 이루어지는 것을 알 수 있다.
가상 사설망은 주로 재택 근무와 같은 원거리 업무 수행을 위해 활용되고 있다. 집과 같은 회사 외부에서 사내 업무망으로 접속하는 용도로 많이 활용되고 있다. 회사 외부에 위치하는 호스트를 사내 업무망과 동일한 가상 사설망으로 묶어 회사 외부에서 사내 업무망으로 접속할 수 있도록 한다. 그런데 단순히 외부 호스트를 사내 업무망과 묶어버리면 사내 내부망 데이터가 외부로 유출될 우려가 있기 때문에 가상 사설망에서는 외부 호스트에 대한 인증 절차와 가상 사설망 세션을 통해 주고받는 데이터를 대칭키 기반으로 암호화하여 송수신하도록 한다.
가상 사설망 구축시 VPN 서버와 VPN 클라이언트는 SSL 핸드세이크(handshake) 과정을 통해 인증 절차를 진행하고 데이터를 암호화 및 복호화하기 위한 세션 키를 생성한다. VPN 서버와 VPN 클라이언트는 각각 대킹 키인 세션 키를 생성하기 위해 Hello 메시지를 통해 난수를 서로 교환한다. 이러한 난수는 유사 난수이다. 유사 난수는 말그대로 컴퓨터가 난수처럼 보이게끔 유사하게 만든 수이다. 완전한 난수가 아니라 소정의 수식을 통해 컴퓨터가 생성한 수이기 때문에 확률은 낮지만 일정한 주기성과 패턴을 가지고 수가 생성되어 어느 정도 유사 난수의 생성 패턴이 파악된다면 앞으로 생성될 난수의 예측도 가능해진다. 즉, VPN 서버와 VPN 클라이언트가 각각 생성하는 유사 난수를 유추하고 이를 이용하여 세션 키를 생성하는 것이 가능하다.
이러한 유사 난수의 문제점을 해결하기 위해 유사 난수 대신에 예측이 불가능한 완전한 난수인 양자 난수를 활용할 수 있다. 다만 비용이 많이 소요되는 문제점이 있다. 소형화되어 제공되는 양자 난수 생성기(QRNG:Quantum Random Number Generator)는 개당 가격이 수십만원 정도인데 하나의 VPN 서버에 여러 개의 VPN 클라이언트가 연결되어 중앙집중식 구조를 이루는 가상 사설망의 특성상 세션 키를 생성하기 위해서는 VPN 서버뿐만 아니라, 모든 VPN 클라이언트에 양자 난수 생성기(QRNG)를 탑재해야 한다. 전용 회선을 통한 사설망 구축 비용을 줄이기 위해 가상 사설망을 통신사 입장에서는 오히려 양자 난수 생성기를 VPN 서버와 VPN 클라이언트의 수만큼 설치해야 되기 때문에 가상 사설망을 구축하는 비용보다 오히려 더 많은 구축 비용이 발생되는 문제가 생긴다.
본 발명은 상술한 문제점을 해결하기 위해 제안된 것으로, SDN 기반 네트워크 환경에서 가상 사설망 구축과 같은 노드 간 암호화 통신에서 1개의 양자 난수 생성기를 통해 각 노드에서 암호화 통신을 위한 대킹 키를 생성할 수 있도록 지원하는 SDN 제어기 및 그 SDN 제어기의 동작 방법을 제공하는데 그 목적이 있다.
일 실시예에 따른 제1노드와 제2노드 간의 대칭 키 기반의 암호화 통신을 지원하는 SDN 제어기는, 양자 난수를 생성하는 양자 난수 생성기; 및 상기 제1노드로부터 상기 제2노드로 향하는 유사 난수를 포함하는 메시지를 수신한 스위치로부터 최적 경로 설정을 위한 요청 메시지를 수신하고, 최적 경로를 계산하여 상기 스위치에 플로우 룰을 설정하며, 상기 스위치로 상기 유사 난수를 교체할 상기 양자 난수를 전송하는 제어부를 포함한다.
상기 제어부는, 상기 요청 메시지에 암호화 통신에 관한 필드가 포함되어 있고 해당 필드에 미리 정의된 값이 포함되어 있는 경우에 상기 양자 난수를 상기 스위치로 전송할 수 있다.
상기 요청 메시지에는 상기 유사 난수의 길이 값이 포함되고, 상기 제어부는, 상기 양자 난수 생성기로 상기 길이 값에 대응하는 길이의 양자 난수의 생성을 요청할 수 있다.
상기 암호화 통신에 관한 필드는, SSL(Secure Socket Layer) 필드이고, 상기 미리 정의된 값은, 상기 SSL 필드의 Handshake Type 값일 수 있다.
상기 요청 메시지는, Packet-In 메시지이고, 상기 제어부는, 상기 양자 난수를 Flow Modify 메시지 또는 Packet-Out 메시지에 포함하여 상기 스위치로 전송할 수 있다.
상기 스위치는, 상기 유사 난수를 포함하는 메시지의 상기 유사 난수를 상기 양자 난수로 교체한 후 상기 플로우 룰에 기초하여 전송할 수 있다.
상기 제어부는, 상기 요청 메시지에 포함된 제2노드의 MAC 주소를 이용하여 제2노드의 연결 상태 및 연결된 스위치의 포트 정보를 확인하여 상기 최적 경로를 계산할 수 있다.
상기 제1노드 및 상기 제2노드는, 서버-클라이언트 구조이며, VPN(Virtual Private Network) 터널링을 구축할 수 있다.
일 실시예에 따른 SDN 제어기에서 제1노드와 제2노드 간의 대칭 키 기반의 암호화 통신을 지원하는 동작 방법은, 상기 제1노드로부터 상기 제2노드로 향하는 유사 난수를 포함하는 메시지를 수신한 스위치로부터 최적 경로 설정을 위한 요청 메시지를 수신하는 단계; 양자 난수를 생성하는 단계; 및 최적 경로를 계산하여 상기 스위치에 플로우 룰을 설정하며, 상기 스위치로 상기 유사 난수를 교체할 상기 양자 난수를 전송하는 단계를 포함한다.
상기 전송하는 단계는, 상기 요청 메시지에 암호화 통신에 관한 필드가 포함되어 있고 해당 필드에 미리 정의된 값이 포함되어 있는 경우에 상기 양자 난수를 상기 스위치로 전송할 수 있다.
상기 요청 메시지에는 상기 유사 난수의 길이 값이 포함되고, 상기 양자 난수를 생성하는 단계는, 상기 길이 값에 대응하는 길이의 양자 난수를 생성할 수 있다.
상기 암호화 통신에 관한 필드는, SSL(Secure Socket Layer) 필드이고, 상기 미리 정의된 값은, 상기 SSL 필드의 Handshake Type 값일 수 있다.
상기 요청 메시지는, Packet-In 메시지이고, 상기 전송하는 단계는, 상기 양자 난수를 Flow Modify 메시지 또는 Packet-Out 메시지에 포함하여 상기 스위치로 전송할 수 있다.
상기 스위치는, 상기 유사 난수를 포함하는 메시지의 상기 유사 난수를 상기 양자 난수로 교체한 후 상기 플로우 룰에 기초하여 전송할 수 있다.
상기 전송하는 단계는, 상기 요청 메시지에 포함된 제2노드의 MAC 주소를 이용하여 제2노드의 연결 상태 및 연결된 스위치의 포트 정보를 확인하여 상기 최적 경로를 계산할 수 있다.
일 실시예에 따르면, 노드 간 대칭키 기반의 암호화 통신을 하는데 있어서 대칭키인 세션 키의 유추가 불가능하여 대칭키 기반의 암호화 통신의 보안성을 높일 수 있다.
일 실시예에 따르면, 하나의 양자 난수 생성기를 이용하여 양자 난수를 노드들에게 제공하기 때문에 종래에 비해 저비용으로 양자 난수 기반의 암호화 통신을 위한 망 구축이 가능해진다.
일 실시예에 따르면 기존의 SSL(Secure Socket Layer) 프로토콜의 수정없이 양자 난수 기반의 암호화 통신을 가능하게 하여 SDN 기반의 네트워크 환경에 모두 적용할 수 있는 호환성을 확보할 수 있다.
도 1은 가상 사설망의 물리적 연결 구조를 나타낸 도면이다.
도 2는 가상 사설망의 논리적 연결 구조를 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른 SND 기반의 네트워크 환경을 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 SDN 제어기의 구성을 나타낸 도면이다.
도 5는 본 발명의 일 실시예에 따른 SDN 제어기의 동작 방법을 설명하는 흐름도이다.
도 6 및 도 7은 본 발명의 일 실시예에 따른 클라이언트 Hello 메시지를 처리하는 과정을 나타낸 도면이다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.
도 3은 본 발명의 일 실시예에 따른 SND 기반의 네트워크 환경을 나타낸 도면이다. 도 3을 참조하면, 두 노드(310, 320)는 SDN 기반의 네트워크에서 적어도 하나 이상의 SDN 스위치(330)를 통해 연결되어 통신하고, SDN 스위치(330)는 SDN 제어기(340)를 통해 제어된다. 본 실시예에서 제1노드(310)는 VPN 서버이고 제2노드(320)는 VPN 클라이언트로 설명한다. VPN 클라이언트는 예를 들어 퍼스널 컴퓨터나, 태블릿 PC, 스마트폰 등과 같은 통신이 가능한 전자 기기이다.
VPN 서버(310)와 VPN 클라이언트(320)는, SDN 네트워크를 통해 서로 통신하고, SSL 핸드세이크(handshake) 과정을 통해 인증 절차를 진행하며, 데이터를 암호화 및 복호화하기 위한 대킹 키인 세션 키를 생성하고, VPN 세션을 생성한다. VPN 서버(310)와 VPN 클라이언트(320)는, 세션 키를 생성하기 위해 각각 유사 난수를 생성하여 서로 교환한다. 즉, VPN 서버(310)는, VPN 클라이언트(320)에서 생성되어 전송되는 제1난수를 수신하고, 자신이 생성한 제2난수를 VPN 클라이언트(320)로 전송한다. 통상적으로 VPN 서버(310)와 VPN 클라이언트(320)에 각각 공유되는 세션 키는 상기 제1난수와 상기 제2난수를 이용하여 생성된다. 본 실시예에서, VPN 서버(310)와 VPN 클라이언트(320)는 각각 종래와 동일하게 유사 난수를 생성하여 상대방에게 전송하지만, SDN 제어기(340)의 제어에 따라 SDN 스위치(330)에 의해 유사 난수 대신에 양자 난수가 포함된 메시지를 수신한다. 따라서 VPN 서버(310)와 VPN 클라이언트(320)는 유사 난수가 양자 난수로 바뀐 것을 인지하지 못하고 종래와 동일한 과정을 통해 세션 키를 생성하지만, 유사 난수가 아닌 양자 난수를 기반으로 세션 키가 생성된다.
SDN 제어기(340)는 네트워크에 대한 관리, 모니터링, 제어에 관련 전반적인 처리를 담당한다. SDN 제어기(340)는, OpenFlow, NetConf와 같이 표준화된 제어 평면(Control Plane) 인터페이스를 통해 연결된 데이터 평면(Data Plane)에 해당하는 네트워크 장비들, 예를 들어 본 실시예의 SDN 스위치(330)를 제어할 수 있다. SDN 제어기(340)는, 복수의 SDN 스위치(330)를 중앙 집중형으로 관리 및 제어한다. SDN 제어기(340)는 토폴로지 관리, 패킷 처리와 관련된 경로 관리, 링크 디스커버리, 패킷 흐름인 플로우 관리 등의 기능을 수행하는 소프트웨어가 탑재된 형태로 구현될 수 있다.
SDN 제어기(340)는 SDN 스위치(330)와 ONF(Open Networking Foundation)에서 정의한 오픈플로우(OpenFlow) 프로토콜에 따라 정보를 송수신할 수 있다. SDN 제어기(340)는 연결된 네트워크 장비로부터 일괄 취합된 추상화된 네트워크 자원정보를 사용자에게 제공하며, 이런 추상화된 네트워크 정보를 기반으로 기존의 네트워크 보다 성능 최적화된 유연한 네트워크 운용을 가능하게 한다. 예를 들어, 대량의 패킷이 SDN 스위치(330)로 유입될 때 SDN 제어기(340)는 이를 감지하고 로드 밸런싱(Load balancing)을 수행하거나, 악성코드가 포함된 패킷이 SDN 스위치(330)를 통해 내부에 유입되는 경우에도 이를 분석하고 사전에 차단할 수 있다.
SDN 제어기(340)는 네트워크 장비들의 연결 정보 자원을 활용해 토폴로지 맵(Topology Map)을 작성하여 네트워크 관리자에게 빠른 장애 탐지, 효율적인 자원 관리 및 정책 적용 등 네트워크 전체에 대한 높은 가시성을 제공한다. SDN 제어기(340)의 경우 다양한 벤더 솔루션, 오픈소스가 존재한다. OpenFlow 표준에서 SDN 제어기(340)는 SDN 스위치(330)와 별도의 제어 채널을 성립하고, SDN 스위치(330)로 유입되는 데이터 패킷 처리를 위한 별도의 플로우 룰(Flow Rule)들을 SDN 스위치(330)의 플로우 테이블(Flow Table)에 등록하여 SDN 스위치(330)의 트래픽을 제어한다.
SDN 제어기(340)는 SDN 스위치(330)로부터 패킷 전달을 위한 최적 경로 설정을 위한 요청 메시지(예, 패킷-인(Packet-In) 메시지)를 수신하면, 최적 경로를 계산하여 SDN 스위치(330)에 플로우 룰을 설정하고, 패킷 전달을 위한 착신지 설정 메시지(예, 패킷-아웃(Packet-out) 메시지)를 SDN 스위치(330)로 전송한다. 바람직하게, SDN 제어기(340)는 Flow Modify 메시지를 통해 SDN 스위치(330)에 플로우 룰을 설정할 수 있다.
SDN 제어기(340)는, 양자 난수 생성기를 포함하고, SDN 스위치(330)로부터 수신된 상기 최적 경로 설정을 위한 요청 메시지(예, 패킷-인(Packet-In) 메시지)에 암호화 통신에 관한 필드가 포함되어 있고 해당 필드에 미리 정의된 값이 포함되어 있는 경우에 상기 양자 난수 생성기에서 생성된 양자 난수를 SDN 스위치(330)로 전송한다. SDN 제어기(340)는, 상기 양자 난수를 Flow Modify 메시지 또는 Packet-Out 메시지에 포함하여 SDN 스위치(330)로 전송할 수 있다. 바람직하게, 상기 요청 메시지에는 유사 난수가 포함되거나 또는 해당 유사 난수의 길이 값이 포함될 수 있고, SDN 제어기(340)의 양자 난수 생성기는 상기 유사 난수의 길이에 대응하는 길이를 갖는 양자 난수를 생성할 수 있다. 또한, 상기 암호화 통신에 관한 필드는, SSL(Secure Socket Layer) 필드일 수 있고, 상기 미리 정의된 값은 상기 SSL 필드의 Handshake Type 값일 수 있다. 예를 들어, Handshake Type이 1이면 VPN 클라이언트(320)가 VPN 서버(310)로 전송하는 Client Hello 메시지를 나타내고, Handshake Type이 2이면 VPN 서버(310)가 VPN 클라이언트(320)로 전송하는 Server Hello 메시지를 나타낼 수 있다.
SDN 스위치(330)는, 상기 SDN 제어기(340)의 제어에 따라 패킷을 처리한다. SDN 스위치(330)는, 네트워크를 구성하는 개체(Entity)로서, 이동통신기지국, 기지국 제어기, 게이트웨이, 라우터 등을 포함하는 것으로서 특별히 종류를 제한하지 않고, SDN 기반의 네트워크 환경에서 패킷을 처리하는 장비는 모두 포함한다. 본 실시예에서는 설명의 편의를 위해 SDN 스위치(330)는 오픈플로우 스위치인 경우를 중심으로 설명한다. SDN 스위치(330)는 연결된 통신 장비로부터 패킷을 수신하면 그 수신된 패킷의 처리를 위한 플로우 정책이 있는지 확인한다. SDN 스위치(330)는 플로우 정책이 없으면 해당 패킷을 어디로 보내야 하는지를 문의하기 위해 해당 패킷을 우선 버퍼에 저장하고 해당 패킷의 헤더를 포함한 일부 데이터를 패킷-인 메시지를 통해 SDN 제어기(340)에 전송한다. SDN 스위치(330)는 SDN 제어기(340)로부터 수신되는 플로우 룰을 플로우 테이블에 등록하고 버퍼에 저장된 패킷을 처리한다.
SDN 스위치(330)는, 연결된 통신 장비로부터 패킷을 수신하면 패킷의 일부 데이터를 추출하여 최적 경로 설정을 위한 요청 메시지인 패킷-인 메시지에 포함하여 SDN 제어기(340)로 전송한다. 본 실시예에서, SDN 스위치(330)는, VPN 클라이언트(320) 또는 VPN 서버(310)로부터 패킷을 수신하면, 패킷에 포함된 출발지와 목적지의 MAC 주소, IP 주소, TCP 포트 번호와, SSL Handshke Type, 그리고 유사 난수 또는 유사 난수의 길이를 패킷-인 메시지에 포함하여 SDN 제어기(340)로 전송한다. SDN 스위치(330)는, SDN 제어기(340)로부터 양자 난수를 포함하는 패킷-아웃 메시지, 또는 플로우 룰 설정을 위한 Modify 메시지를 수신하면, 버퍼에 저장되어 있는 패킷의 유사 난수를 양자 난수로 변경하여 VPN 서버(310) 또는 VPN 클라이언트(320) 측으로 전송한다.
도 4는 본 발명의 일 실시예에 따른 SDN 제어기의 구성을 나타낸 도면이다. 도 4를 참조하면, SDN 제어기(340)는, 저장부(410), 양자 난수 생성기(420) 및 제어부(430)를 포함한다.
저장부(410)는, 고속 랜덤 액세스 메모리, 자기 디스크 저장 장치, 플래시 메모리 장치와 같은 불휘발성 메모리, 또는 다른 불휘발성 반도체 메모리 장치를 포함할 수 있다. 저장부(410)는, 프로세서에 의해 실행 가능한 명령어들을 저장할 수 있다. 본 실시예에서 저장부(410)는, SDN 스위치(330)에 연결되는 통신 장비, 예를 들어, VPN 서버(310) 및 VPN 클라이언트(320)의 정보를 저장할 수 있다. 통신 장비의 정보는, 통신 장비의 고유 식별정보(예, MAC 주소, IP 주소), 연결 상태 정보 및, 위치 정보를 포함할 수 있다. 연결 상태 정보는 enable 또는 disable 상태를 포함하고, 위치 정보는 통신 장비가 연결된 SDN 스위치(330)의 물리 포트의 정보를 포함한다.
양자 난수 생성기(420)는, 방사성 동위 원소를 활용하여 난수를 생성한다. 방사성 동위 원소는 반감기 동안 알파라는 입자를 방출하는데 이때 입자가 발생되는 시간격은 양자역학적으로 불확정성을 따르기 때문에 완전한 난수성을 가진다고 정의한다. 그리고 이런 불확정성을 가지는 시간격을 측정하여 수치로 변환한 값이 바로 양자 난수이다. 양자 난수 생성기(420)는 방사성 동위 원소의 반감기 동안 발생하는 알파 입자의 시간격을 다이오드로 측정하여 양자 난수를 생성한다. 양자 난수 생성기(420)는 제어부(430)에서 요청하는 길이를 갖는 양자 난수를 생성한다.
제어부(430)는, 적어도 하나 이상의 프로세서를 포함할 수 있다. 적어도 하나 이상의 프로세서는 저장부(410)에 저장된 명령어 세트를 실행하여 시스템을 위한 여러 기능을 수행하고 데이터를 처리할 수 있다. 도 4에 도시되지 않았지만, SDN 제어기(340)는 통신부를 포함할 수 있다. 통신부는 SDN 스위치(330)와 통신하여 패킷을 송수신할 수 있다. 통신부는 외부 포트를 통한 통신 또는 RF 신호에 의한 통신을 수행할 수 있다.
제어부(430)는, 통신부를 통해 SDN 스위치(330)와 별도의 제어 채널을 성립하고, SDN 스위치(330)로 유입되는 데이터 패킷 처리를 위한 별도의 플로우 룰(Flow Rule)들을 SDN 스위치(330)의 플로우 테이블(Flow Table)에 등록하여 SDN 스위치(330)의 트래픽 전송을 제어한다.
제어부(430)는, SDN 스위치(330)로부터 패킷 전달을 위한 최적 경로 설정을 위한 요청 메시지(예, 패킷-인(Packet-In) 메시지)를 수신하면, 최적 경로를 계산하여 SDN 스위치(330)에 플로우 룰을 설정하고, 패킷 전달을 위한 착신지 설정 메시지(예, 패킷-아웃(Packet-out) 메시지)를 SDN 스위치(330)로 전송한다. 바람직하게, 제어부(430)는, Flow Modify 메시지를 통해 SDN 스위치(330)에 플로우 룰을 설정할 수 있다.
제어부(430)는, 최적 경로를 계산하는데 있어서, 상기 요청 메시지에 포함된 목적지의 MAC 주소를 이용하여 저장부(410)에서 목적지의 연결 상태 정보 및 위치 정보를 확인한다. 제어부(430)는, 목적지가 enable 상태이고, 위치 정보로부터 목적지의 통신 장비가 연결된 SDN 스위치(330)의 물리적 포트 정보가 확인되면, 그 확인된 물리적 포트 정보를 기초로 최적 경로를 계산한다.
제어부(430)는, SDN 스위치(330)로부터 수신된 상기 최적 경로 설정을 위한 요청 메시지(예, 패킷-인(Packet-In) 메시지)에 암호화 통신에 관한 필드가 포함되어 있고 해당 필드에 미리 정의된 값이 포함되어 있는 경우에 상기 양자 난수 생성기(420)로 양자 난수의 생성을 요청한다. 제어부(430)는, 상기 요청 메시지에 포함된 유사 난수의 길이 값에 대응하는 길이의 양자 난수 생성을 양자 난수 생성기(420)로 요청한다. 상기 암호화 통신에 관한 필드는, SSL(Secure Socket Layer) 필드일 수 있고, 상기 미리 정의된 값은 상기 SSL 필드의 Handshake Type 값일 수 있다. 예를 들어, Handshake Type이 1이면 VPN 클라이언트(320)가 VPN 서버(310)로 전송하는 Client Hello 메시지를 나타내고, Handshake Type이 2이면 VPN 서버(310)가 VPN 클라이언트(320)로 전송하는 Server Hello 메시지를 나타낼 수 있다.
제어부(430)는, 양자 난수 생성기(420)에 의해 생성된 양자 난수를 SDN 스위치(330)로 전송한다. 제어부(430)는, 양자 난수를 Flow Modify 메시지 또는 Packet-Out 메시지에 포함하여 SDN 스위치(330)로 전송할 수 있다.
도 5는 본 발명의 일 실시예에 따른 SDN 제어기의 동작 방법을 설명하는 흐름도이다. 도 5를 참조한 실시예에서, VPN 서버(310)와 VPN 클라이언트(320) 간에 VPN 터널링 세션을 맺을 때 SDN 제어기(340)의 제어부(430)의 동작 방법을 설명한다.
도 5를 참조하면, 단계 S501에서, 제어부(430)는, VPN 서버(310) 또는 VPN 클라이언트(320)에 연결된 SDN 스위치(330)로부터 패킷 전달을 위한 최적 경로 설정을 위한 요청 메시지, 본 실시예에서 패킷-인(Packet-In) 메시지가 수신되는지 확인한다.
패킷-인 메시지가 수신되는 경우, 단계 S502에서 제어부(430)는 해당 패킷-인(Packet-In) 메시지에 암호화 통신에 관한 필드, 즉 SSL(Secure Socket Layer) 프로토콜 필드가 포함되어 있는지 확인한다.
SSL 프로토콜 필드가 포함되어 있는 경우, 단계 S503에서 제어부(430)는 SSL 프로토콜 필드의 Handshake Type 값이 1 또는 2인지 확인한다. 예를 들어, Handshake Type이 1이면 VPN 클라이언트(320)가 VPN 서버(310)로 전송하는 Client Hello 메시지를 나타내고, Handshake Type이 2이면 VPN 서버(310)가 VPN 클라이언트(320)로 전송하는 Server Hello 메시지를 나타낼 수 있다.
Handshake Type 값이 1 또는 2인 경우, 단계 S504에서 제어부(430)는 SSL 프로토콜 필드, 보다 구체적으로는 SSL Handshake 프로토콜 필드에 기록된 유사 난수의 길이를 확인한다. 그리고 단계 S505에서 제어부(430)는 확인된 길이에 대응하는 양자 난수를 생성한다. 즉, 제어부(430)는 양자 난수 생성기(420)로 상기 확인된 길이에 대응하는 양자 난수의 생성을 요청하고 양자 난수 생성기(420)로부터 생성된 양자 난수를 수신한다.
단계 S506에서 제어부(430)는 상기 패킷-인 메시지에 포함된 목적지 호스트의 MAC 주소가 SDN 스위치(330)에 연결된 호스트들의 MAC 주소 중에 있는지 저장부(410)에서 확인한다.
MAC 주소가 저장부(410)에 저장되어 있는 경우, 단계 S507에서 제어부(430)는 저장부(410)에서 해당 목적지 호스트(VPN 서버(310) 또는 VPN 클라이언트(320)의 연결 상태 정보를 확인한다. 즉, 제어부(430)는 해당 목적지 호스트가 연결된 SDN 스위치(330)의 물리적 포트가 enable 상태인지 확인한다.
enable 상태인 경우, 단계 S508에서 제어부(430)는 목적지까지의 최적 경로를 생성하고 플로우 룰을 설정하기 위한 Flow Modify 메시지를 생성한다. 그리고 단계 S509에서 제어부(430)는 해당 Flow Modify 메시지에 상기 단계 S505에서 생성된 양자 난수를 포함하여 SDN 스위치(330)로 전송한다.
단계 S510에서 제어부(430)는 SDN 스위치(330)의 버퍼에 저장된 패킷의 전송을 위한 패킷-아웃(Packet-out) 메시지를 SDN 스위치(330)로 전송한다. 따라서, SDN 스위치(330)는 VPN 서버(310) 또는 VPN 클라이언트(320)로부터 수신되는 Hello 메시지에 포함된 VPN 서버(310) 또는 VPN 클라이언트(320)가 생성한 유사 난수를 SDN 제어기(340)로부터 전달받은 양자 난수로 교체하여 전송한다.
도 5를 참조한 실시예에서 양자 난수가 Flow Modify 메시지를 통해 SDN 스위치(330)로 전송되는 것으로 설명하였지만 여기에 제한되는 것은 아니며 패킷-아웃 메시지를 통해 SDN 스위치(330)로 전달될 수도 있다.
도 6 및 도 7은 본 발명의 일 실시예에 따른 클라이언트 Hello 메시지를 처리하는 과정을 나타낸 도면이다.
도 6을 참조하면, VPN 클라이언트(320)는 VPN 서버(310)와 VPN 세션 성립을 위해 SSL Handshake 과정의 클라이언트 Hello 메시지(610)를 SDN 스위치(330)로 전송한다. 도 6에 도시된 바와 같이, 클라이언트 Hello 메시지(610)는 이더넷 헤더, IP 헤더, TCP 헤더, SSL 레코드 프로토콜 필드, SSL Handshake 프로토콜 필드를 포함한다. 이더넷 헤더에는 출발지 MAC 주소와 목적지 MAC 주소를 포함하고, IP 헤더에는 출발지 IP 주소와 목적지 IP 주소를 포함한다. 그리고 TCP 헤더에는 출발지 포트 번호와 목적지 포트 번호를 포함한다. 그리고 SSL Handshake 프로토콜 필드에는 Handshake Type 정보와, 유사 난수(random) 값이 포함된다. 본 실시예에서 Handshake Type 정보는, 클라이언트 Hello 메시지임을 나타내는 1을 포함한다.
클라이언트 Hello 메시지(610)를 수신한 SDN 스위치(330)는, 클라이언트 Hello 메시지(610)에서 출발지/목적지의 MAC 주소와 IP 주소, 그리고 포트 번호, SSL Handshke Type 정보, 그리고 유사 난수의 길이 값을 추출하고, 이를 포함하는 패킷-인 메시지(Packet-In message)(620)를 SDN 제어기(340)로 전송한다.
SDN 제어기(340)는, 패킷-인 메시지에 포함된 목적지 MAC 주소와 IP 주소 그리고 포트 번호를 이용하여 클라이언트 Hello 메시지가 전달되기 위한 최적 경로를 계산한다. SDN 제어기(340)는, 패킷-인 메시지에 SSL 프로토콜 필드가 포함되어 있고, SSL 프로토콜 필드의 Handshake Type 값이 1이므로, 유사 난수의 길이에 대응하는 길이를 갖는 양자 난수(711)를 생성한다. 그리고 SDN 제어기(340)는 도 7에 도시된 바와 같이, 최적 경로 설정을 위한 Flow Modify 메시지(710, 720)를 경로 상에 존재하는 SDN 스위치(330)에 전송하여 플로우 룰을 등록한다. 이때, SDN 제어기(340)는 VPN 클라이언트(320)로부터 클라이언트 Hello 메시지를 수신한 SDN 스위치(330)로 전송하는 Flow Modify 메시지(710)에 상기 양자 난수(711)를 포함시킨다.
따라서, 도 7에 도시된 바와 같이, SDN 스위치(330)는, VPN 클라이언트(320)로부터 수신된 클라이언트 Hello 메시지(610)에 포함되어 있던 유사 난수를 상기 양자 난수(711)로 변경하고, 양자 난수(711)를 포함하는 클라이언트 Hello 메시지(610)를 Flow Modify 메시지(710)에 의해 등록된 플로우 룰에 따라 다른 SDN 스위치로 전송한다.
이상의 도 6 및 도 7를 참조하여 설명한 실시예는 VPN 클라이언트(320)로부터 VPN 서버(310)로 전달되는 클라이언트 Hello 메시지(610)에 포함된 유사 난수를 양자 난수로 변경하는 방법을 설명하였으나, 동일한 방식으로 VPN 서버(310)로부터 VPN 클라이언트(320)로 전달되는 서버 Hello 메시지도 처리되어 서버 Hello 메시지에 포함된 유사 난수는 양자 난수로 변경되어 VPN 클라이언트(320)로 전달된다.
이와 같이 VPN 클라이언트(320)와 VPN 서버(310)는 Handshake 과정을 거치게 되고, 이에 따라 VPN 클라이언트(320)는 자신이 생성한 유사 난수와, VPN 서버(310) 측으로부터 수신되는 양자 난수를 갖게 된다. VPN 클라이언트(320)는 자신이 생성한 유사 난수와 VPN 서버(310) 측으로부터 수신된 양자 난수를 이용하여 프리 마스터 키를 생성하고, 이를 VPN 서버(310)의 공개키로 암호화하여 VPN 서버(310)로 전송한다. 따라서, VPN 클라이언트(320)와 VPN 서버(310)는 각각 동일한 프리 마스터 키를 공유하고, 프리 마스터 키로부터 각각 동일한 세션 키를 생성하여 보유하게 된다.
프리 마스터 키는 VPN 클라이언트(320)에서 생성하지 않고 VPN 서버(310)에서 생성한 후 VPN 클라이언트(320)로 전송하여 공유할 수 있다. VPN 서버(310)는 자신이 생성한 유사 난수와, VPN 클라이언트(320) 측으로부터 수신된 양자 난수를 이용하여 프리 마스터 키를 생성하고, 이를 VPN 클라이언트(320)의 공개키로 암호화하여 VPN 클라이언트(320)로 전송한다. 따라서, VPN 클라이언트(320)와 VPN 서버(310)는 각각 동일한 프리 마스터 키를 공유하고, 프리 마스터 키로부터 각각 동일한 세션 키를 생성하여 보유할 수 있다.
이상과 같이 VPN 서버(310)와 VPN 클라이언트(320)가 VPN 세션을 성립하는데 있어서 세션 키의 기초가 되는 난수 중 적어도 하나가 양자 난수이기 때문에, 세션 키의 유추가 불가능하다. 따라서, 안전한 대칭키 기반의 암호화 통신이 가능하다. 또한, 각 노드, 즉 VPN 서버(310)와 VPN 클라이언트(320)가 각각 양자 난수 생성기를 가지고 있지 않아도 되고, SDN 제어기(340)에만 하나의 양자 난수 생성기가 있으므로, 저비용으로 양자 난수 기반의 암호화 통신이 가능해진다. 또한, 공식 SSL 프로토콜의 수정없이 양자 난수 기반의 암호화 통신이 가능해지고 SDN 기반 네트워크 환경이라면 어디든 적용할 수 있는 높은 호환성을 확보하게 된다.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
111, 112, 320 : VPN 클라이언트
140, 310 : VPN 서버
330 : SDN 스위치
340 : SDN 제어기
410 : 저장부
420 : 양자 난수 생성기
430 : 제어부

Claims (17)

  1. 제1노드와 제2노드 간의 대칭 키 기반의 암호화 통신을 지원하는 SDN 제어기에 있어서,
    양자 난수를 생성하는 양자 난수 생성기; 및
    상기 제1노드로부터 상기 제2노드로 향하는 유사 난수를 포함하는 메시지를 수신한 스위치로부터 최적 경로 설정을 위한 요청 메시지를 수신하고, 최적 경로를 계산하여 상기 스위치에 플로우 룰을 설정하며, 상기 스위치로 상기 유사 난수를 교체할 상기 양자 난수를 전송하는 제어부를 포함하는 SDN 제어기.
  2. 제1항에 있어서,
    상기 제어부는,
    상기 요청 메시지에 암호화 통신에 관한 필드가 포함되어 있고 해당 필드에 미리 정의된 값이 포함되어 있는 경우에 상기 양자 난수를 상기 스위치로 전송하는 것을 특징으로 하는 SDN 제어기.
  3. 제2항에 있어서,
    상기 요청 메시지에는 상기 유사 난수의 길이 값이 포함되고,
    상기 제어부는,
    상기 양자 난수 생성기로 상기 길이 값에 대응하는 길이의 양자 난수의 생성을 요청하는 것을 특징으로 하는 SDN 제어기.
  4. 제2항에 있어서,
    상기 암호화 통신에 관한 필드는, SSL(Secure Socket Layer) 필드이고,
    상기 미리 정의된 값은, 상기 SSL 필드의 Handshake Type 값인 것을 특징으로 하는 SDN 제어기.
  5. 제1항에 있어서,
    상기 요청 메시지는, Packet-In 메시지이고,
    상기 제어부는, 상기 양자 난수를 Flow Modify 메시지 또는 Packet-Out 메시지에 포함하여 상기 스위치로 전송하는 것을 특징으로 하는 SDN 제어기.
  6. 제1항에 있어서,
    상기 스위치는, 상기 유사 난수를 포함하는 메시지의 상기 유사 난수를 상기 양자 난수로 교체한 후 상기 플로우 룰에 기초하여 전송하는 것을 특징으로 하는 SDN 제어기.
  7. 제1항에 있어서,
    상기 제어부는,
    상기 요청 메시지에 포함된 제2노드의 MAC 주소를 이용하여 제2노드의 연결 상태 및 연결된 스위치의 포트 정보를 확인하여 상기 최적 경로를 계산하는 것을 특징으로 하는 SDN 제어기.
  8. 제1항에 있어서,
    상기 제1노드 및 상기 제2노드는, 서버-클라이언트 구조이며, VPN(Virtual Private Network) 터널링을 구축하는 것을 특징으로 하는 SDN 제어기.
  9. SDN 제어기에서 제1노드와 제2노드 간의 대칭 키 기반의 암호화 통신을 지원하는 동작 방법으로서,
    상기 제1노드로부터 상기 제2노드로 향하는 유사 난수를 포함하는 메시지를 수신한 스위치로부터 최적 경로 설정을 위한 요청 메시지를 수신하는 단계;
    양자 난수를 생성하는 단계; 및
    최적 경로를 계산하여 상기 스위치에 플로우 룰을 설정하며, 상기 스위치로 상기 유사 난수를 교체할 상기 양자 난수를 전송하는 단계를 포함하는 동작 방법.
  10. 제9항에 있어서,
    상기 전송하는 단계는,
    상기 요청 메시지에 암호화 통신에 관한 필드가 포함되어 있고 해당 필드에 미리 정의된 값이 포함되어 있는 경우에 상기 양자 난수를 상기 스위치로 전송하는 것을 특징으로 하는 동작 방법.
  11. 제10항에 있어서,
    상기 요청 메시지에는 상기 유사 난수의 길이 값이 포함되고,
    상기 양자 난수를 생성하는 단계는,
    상기 길이 값에 대응하는 길이의 양자 난수를 생성하는 것을 특징으로 하는 동작 방법.
  12. 제10항에 있어서,
    상기 암호화 통신에 관한 필드는, SSL(Secure Socket Layer) 필드이고,
    상기 미리 정의된 값은, 상기 SSL 필드의 Handshake Type 값인 것을 특징으로 하는 동작 방법.
  13. 제9항에 있어서,
    상기 요청 메시지는, Packet-In 메시지이고,
    상기 전송하는 단계는,
    상기 양자 난수를 Flow Modify 메시지 또는 Packet-Out 메시지에 포함하여 상기 스위치로 전송하는 것을 특징으로 하는 동작 방법.
  14. 제9항에 있어서,
    상기 스위치는, 상기 유사 난수를 포함하는 메시지의 상기 유사 난수를 상기 양자 난수로 교체한 후 상기 플로우 룰에 기초하여 전송하는 것을 특징으로 하는 동작 방법.
  15. 제9항에 있어서,
    상기 전송하는 단계는,
    상기 요청 메시지에 포함된 제2노드의 MAC 주소를 이용하여 제2노드의 연결 상태 및 연결된 스위치의 포트 정보를 확인하여 상기 최적 경로를 계산하는 것을 특징으로 하는 동작 방법.
  16. 제9항에 있어서,
    상기 제1노드 및 상기 제2노드는, 서버-클라이언트 구조이며, VPN(Virtual Private Network) 터널링을 구축하는 것을 특징으로 하는 동작 방법.
  17. 제 9 항 내지 제 16 항 중 어느 한 항에 따른 방법을 컴퓨터 시스템을 통해 실행하는 컴퓨터 프로그램으로서 컴퓨터로 판독 가능한 기록매체에 저장된 컴퓨터 프로그램.
KR1020200115300A 2020-09-09 2020-09-09 노드 간 암호화 통신을 지원하는 sdn 제어기 및 sdn 제어기의 동작 방법 KR20220033195A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200115300A KR20220033195A (ko) 2020-09-09 2020-09-09 노드 간 암호화 통신을 지원하는 sdn 제어기 및 sdn 제어기의 동작 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200115300A KR20220033195A (ko) 2020-09-09 2020-09-09 노드 간 암호화 통신을 지원하는 sdn 제어기 및 sdn 제어기의 동작 방법

Publications (1)

Publication Number Publication Date
KR20220033195A true KR20220033195A (ko) 2022-03-16

Family

ID=80937921

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200115300A KR20220033195A (ko) 2020-09-09 2020-09-09 노드 간 암호화 통신을 지원하는 sdn 제어기 및 sdn 제어기의 동작 방법

Country Status (1)

Country Link
KR (1) KR20220033195A (ko)

Similar Documents

Publication Publication Date Title
US11082304B2 (en) Methods, systems, and computer readable media for providing a multi-tenant software-defined wide area network (SD-WAN) node
US11316677B2 (en) Quantum key distribution node apparatus and method for quantum key distribution thereof
US8713305B2 (en) Packet transmission method, apparatus, and network system
US8418244B2 (en) Instant communication with TLS VPN tunnel management
US10447591B2 (en) Executing multiple virtual private network (VPN) endpoints associated with an endpoint pool address
US11683324B2 (en) Verification of in-situ network telemetry data in a packet-switched network
US20200092302A1 (en) Data Packet Sending Method, Network Device, Control Device, and Network System
CN110830351B (zh) 基于SaaS服务模式的租户管理及服务提供方法、装置
Puthal et al. A synchronized shared key generation method for maintaining end-to-end security of big data streams
Farinacci et al. Locator/ID separation protocol (LISP) data-plane confidentiality
Tennekoon et al. Prototype implementation of fast and secure traceability service over public networks
CN102447626A (zh) 具有策略驱动路由的主干网
EP3635909B1 (en) Id-based data plane security for identity-oriented networks
Deshmukh et al. Design of IPSec virtual private network for remote access
Cho et al. Secure open fronthaul interface for 5G networks
Meier et al. itap: In-network traffic analysis prevention using software-defined networks
KR20220033195A (ko) 노드 간 암호화 통신을 지원하는 sdn 제어기 및 sdn 제어기의 동작 방법
CN117375862A (zh) 报文转发方法、系统、网络设备、存储介质及程序产品
KR101329968B1 (ko) IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템
Nunes et al. Namespace tunnels in content-centric networks
EP4111661A1 (en) Encrypted overlay network for physical attack resiliency
Khamsaeng et al. Providing an end-to-end privacy preservation over LoRa WanPlatforms
US9264294B2 (en) HAIPE peer discovery using BGP
Oberle et al. Integrity based relationships and trustworthy communication between network participants
CN117857527A (zh) 基于http协议的本地代理实现虚拟机访问元数据服务的方法

Legal Events

Date Code Title Description
A201 Request for examination