WO2018169287A1 - 보안 서비스를 제공하기 위한 방법, 시스템 및 이를 위한 장치 - Google Patents

보안 서비스를 제공하기 위한 방법, 시스템 및 이를 위한 장치 Download PDF

Info

Publication number
WO2018169287A1
WO2018169287A1 PCT/KR2018/002948 KR2018002948W WO2018169287A1 WO 2018169287 A1 WO2018169287 A1 WO 2018169287A1 KR 2018002948 W KR2018002948 W KR 2018002948W WO 2018169287 A1 WO2018169287 A1 WO 2018169287A1
Authority
WO
WIPO (PCT)
Prior art keywords
nsf
security
i2nsf
information
function
Prior art date
Application number
PCT/KR2018/002948
Other languages
English (en)
French (fr)
Inventor
정재훈
현상원
여윤석
우상욱
Original Assignee
성균관대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 성균관대학교 산학협력단 filed Critical 성균관대학교 산학협력단
Publication of WO2018169287A1 publication Critical patent/WO2018169287A1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Definitions

  • the present invention relates to a method and a system for providing a security service, and an apparatus therefor, and more particularly, to an I2NSF registration interface between a security controller and a developer's management system in an I2NSF system.
  • the present invention relates to a method, a system for providing a security service and an apparatus therefor.
  • I2NSF Interface to Network Security Functions
  • the data model is required for Network Security Functions (NSF) instance registration and dynamic life-cycle management of NSF instances.
  • NSF Network Security Functions
  • NSFs network security functions
  • security solution vendors There is a need to define a standardized interface for heterogeneous network security functions (NSFs) provided by a number of security solution vendors.
  • NSFs network security functions
  • the user without having to consider the management of the NSF in detail, the user needs to define a protection policy for protecting network resources in the user network system.
  • a security controller for translating a high-level security policy to a low-level security policy for a specific network security function;
  • a developer's management system for transmitting information of the network security function or providing a security service;
  • a registration interface for defining the network security function, wherein a message is transmitted between the security controller and the developer management system through the registration interface.
  • said registration interface defines said different network security functions provided by a number of security solution vendors.
  • the security service providing system is modeled using the YANG language.
  • the registration interface manages a pool of the instance through life-cycle management of the instance of the network security function
  • the instance includes function information specifying the type of security service provided by the network security function.
  • the capability of said network security function is retrieved through said registration interface.
  • the registration interface Preferably, the registration interface, registration request information for requesting registration of the instance; And / or instance management request information for requesting management of the instance.
  • the registration request information Preferably, the registration request information, NSF function information associated with the function of the network security function; And / or NSF access information associated with access of the network security function.
  • said instance management request information includes instantiation request information or deinstantiation request information, wherein said instantiation request information and said deinstantiation request information are associated with said instance of said network security function.
  • the NSF function information includes: an I2NSF NSF function related to the function of the network security function and an I2NSF function; And / or an NSF performance function related to the performance function of the network security function.
  • said NSF access information comprises: an NSF address representing an address of said network security function; And / or an NSF port address representing the port address of the network security function.
  • said NSF performance function comprises processing information and / or bandwidth information associated with traffic of information transmitted over said registration interface.
  • a security controller for translating a high-level security policy to a low-level security policy for a specific network security function;
  • a developer's management system for transmitting information of the network security function or providing a security service;
  • a registration interface for defining the network security function, wherein the security service providing method performed by the registration interface comprises: generating a request message associated with the network security function; step; Transmitting the generated request message to the security controller or the developer management system.
  • a memory for storing data; And a processor including the memory, wherein the processor is configured to convert a high-level security policy into a low-level security policy for a specific network security function.
  • Controlling a translating security controller controlling a developer's management system for transmitting information of the network security function or providing a security service, and defining the network security function Control the registration interface (registration interface) for.
  • a registration interface located between the security controller and the developer management system can automate a process that utilizes various types of security capabilities provided by different vendors.
  • vendors can use a dedicated interface for defining their NSF functions.
  • NSF capabilities can be dynamically searched through the registration interface, and newly added NSF capabilities can be registered in the I2NSF registry through the registration interface.
  • FIG 1 illustrates an I2NSF (Interface to Network Security Functions) system according to an embodiment of the present invention.
  • I2NSF Interface to Network Security Functions
  • FIG 2 illustrates the architecture of an I2NSF system in accordance with an embodiment of the present invention.
  • FIG. 3 is a diagram illustrating an information model of a registration interface according to an embodiment of the present invention.
  • FIG. 4 is a diagram illustrating an instance management sub-model according to an embodiment of the present invention.
  • FIG. 5 is a diagram illustrating a Registration Sub-Model according to an embodiment of the present invention.
  • FIG. 6 is a diagram schematically illustrating NSF capability information according to an embodiment of the present invention.
  • FIG. 7 is a diagram schematically illustrating performance capability information according to an embodiment of the present invention.
  • ACL role-based access control list
  • FIG. 10 illustrates a high-level YANG of the I2NSF Registration Interface, according to one embodiment of the invention.
  • FIG. 11 illustrates a high level YANG of an I2NSF Registration Request, in accordance with an embodiment of the present invention.
  • FIG. 12 illustrates a high level YANG of an I2NSF Instance Mgnt Request, in accordance with an embodiment of the present invention.
  • FIG. 13 illustrates high level YANG of I2NSF NSF Capability Information according to an embodiment of the present invention.
  • FIG. 14 illustrates a high level YANG of I2NSF NSF Access Informantion, according to an embodiment of the present invention.
  • FIG. 16 illustrates a Role-Based ACL (or Access Control List), according to one embodiment of the invention.
  • 17A-17E illustrate examples of YANG module code for a registration interface data model, according to one embodiment of the invention.
  • 18A and 18B illustrate examples of XML code of a registration interface data model, according to one embodiment of the invention.
  • FIG. 19 illustrates a block diagram of a network device according to an embodiment of the present invention.
  • 20 is a flowchart illustrating a security service providing method performed in a registration interface according to an embodiment of the present invention.
  • first, second, A, B, etc. may be used to describe various components, but the components are not limited by the terms, but merely for distinguishing one component from other components. Only used as For example, the first component may be referred to as the second component, and similarly, the second component may be referred to as the first component without departing from the scope of the technology described below.
  • each process constituting the method may occur differently from the stated order unless the context clearly indicates a specific order. That is, each process may occur in the same order as specified, may be performed substantially simultaneously, or may be performed in the reverse order.
  • I2NSF Interface to Network Security Functions
  • the purpose of the I2NSF is to define a standardized interface for heterogeneous network security function (NSF) provided by a number of security solution vendors.
  • NSF network security function
  • FIG 1 illustrates an I2NSF (Interface to Network Security Functions) system according to an embodiment of the present invention.
  • I2NSF Interface to Network Security Functions
  • an I2NSF system includes an I2NSF user, a Network Operator Management System, a Developer's Management System, and / or at least one Network Security Function (NSF).
  • NSF Network Security Function
  • I2NSF users communicate with a network operator management system through an I2NSF Consumer-Facing Interface.
  • the network operator management system communicates with the NSF (s) via an I2NSF NSF-Facing Interface.
  • the developer management system communicates with the network operator management system through the I2NSF Registration Interface.
  • I2NSF component each component (I2NSF component) and each interface (I2NSF interface) of the I2NSF system will be described.
  • An I2NSF user requests information (eg, information from NSF) from another I2NSF component (eg, network operator management system) and / or a security service (eg, network security) provided by another I2NSF component (eg, developer management system). Service) is an I2NSF component.
  • the I2NSF user may be an overlay network management system, an enterprise network administrator system, another network domain administrator, or the like. I2NSF users may be referred to as I2NSF clients.
  • the object performing the role assigned to this I2NSF user component may be referred to as an I2NSF consumer.
  • An example of an I2NSF consumer is the need to dynamically inform an underlay network to allow, rate-limit, or reject flow based on a particular field of a packet over a time span.
  • Video-conference network manager, enterprise network administrators and management systems that need to request provider networks to enforce specific I2NSF policies for specific flows,
  • An IoT management system may be included that sends a request to the underlay network to block flows that match a set of specific conditions.
  • I2NSF users can create and deploy high-level security policies. Specifically, the I2NSF user needs to use a network security service to protect network traffic from various malicious attacks. To request this security service, an I2NSF user can create a user perspective security policy for the desired security service and notify the network operator management system.
  • the I2NSF user in preparing the user perspective security policy, the I2NSF user considers the types of NSF (s) required to realize a security service or security policy rule configuration for each NSF (s). You can't.
  • the I2NSF user may be informed of the security event (s) occurring in the underlying NSF (s) by the network operator management system.
  • security event s
  • I2NSF users can identify new attacks and update (or create) user perspective security policies to cope with the new attacks.
  • I2NSF users can define, manage, and monitor security policies.
  • a network operator management system is a component that serves as a collection and distribution point for providing security, monitoring, and other operations.
  • the network operator management system may correspond to a security controller or may be a component that includes a security controller.
  • Such a network operator management system may be managed by a network operator and may be referred to as an I2NSF management system.
  • network operator management systems or security controllers
  • the network operator management system may receive the user perspective security policy from the I2NSF user and then first determine the type of NSF (s) required to enforce the policy required by the I2NSF user.
  • the network operator management system can then create a low-level security policy for each NSF (s) required.
  • the network operator management system may set the generated low level security policy to each NSF (s).
  • the network operator management system (or security controller) monitors the running NSF (s) in the I2NSF system and provides various information about each NSF (s) (e.g., network access information and workloads). ), Etc.) can be maintained.
  • network operator management systems (or security controllers) can dynamically manage pools of NSF instances through dynamic life-cycle management of NSF instances with the help of developer management systems. have.
  • NSF is a logical entity or software component that provides security related services.
  • NFC eg, a firewall
  • the developer management system is an I2NSF component that sends information (eg, NSF's information) to other I2NSF components (eg, network operator management system) and / or provides security services (eg, network security services).
  • the developer management system may be referred to as Vendor's Management System.
  • An object performing a role assigned to such a developer management system may be referred to as an I2NSF producer.
  • the developer management system may be managed by a third-party security vendor that provides NSF (s) to network operators. There may be multiple developer management system (s) from various security vendors.
  • I2NSF Consumer-facing interface (simply, consumer-facing interface) CFI )
  • the CFI is an interface to the user's I2NSF system, located between the I2NSF user and the network operations management system. By designing this, the I2NSF system can hide the details of the underlying NSF (s) and provide only an abstract view of the NSF (s) to the user.
  • This CFI can be used to allow different users of a given I2NSF system to define, manage, and monitor security policies for specific flows in an administrative domain.
  • User perspective security policies (or policy rules) created by I2NSF users may be communicated to the network operator management system via this CFI.
  • security alerts by the NSF (s) may be communicated from the network operator management system to the I2NSF user via this CFI.
  • NFI is an interface located between the network operator management system (or security controller) and the NSF (s).
  • NFI The main purpose of NFI is to provide a standardized interface for controlling and managing NSF (s) from various security solution vendors by decoupled security management techniques from NSF (s).
  • NFI is independent of the details of the NSF (s) (eg, vendor, form factor, etc.).
  • This NFI is a flow-based approach enforced by one or more NSFs. flow-based) can be used to specify and monitor security policies.
  • the network operator management system may deliver a flow-based security policy to each flow-based NSF via an NFI interface in order to enforce a user perspective security policy by an I2NSF user.
  • flow-based NSF is an NSF that examines network flow according to a set of policies to enhance security characteristics.
  • This flow-based security by flow-based NSF means that packets are examined in the order in which they are received, and there is no modification to the packets according to the inspection process.
  • Interfaces for flow-based NSF can be classified as follows:
  • NSF Operational and Administrative Interface group of interfaces used by the I2NSF management system to program the operational state of the NSF; This interface group also includes administrative control functions. I2NSF policy rules represent one way of changing this interface group in a consistent manner. Since applications and I2NSF components need to dynamically control the behavior of the traffic they send and receive, much of the I2NSF effort is concentrated in this group of interfaces.
  • Monitoring Interface group of interfaces used by the I2NSF management system to obtain monitoring information from one or more selected NSFs; Each interface in this interface group can be a query or report based interface. The difference between the two is that the query based interface is used by the I2NSF management system to obtain the information, while the report based interface is used by the NSF to provide the information.
  • the functionality of this interface group can also be defined by other protocols such as SYSLOG and DOTS.
  • the I2NSF management system may take one or more actions based on the receipt of the information. This should be specified by the I2NSF policy rule. This interface group does not change the operational state of the NSF.
  • NFI may be developed using a flow-based paradigm.
  • a common trait of flow-based NSF is to process packets based on the content (eg header / payload) and / or context (eg session state and authentication state) of the received packet. This feature is one of the requirements for defining the behavior of an I2NSF system.
  • the I2NSF management system does not need to use all the functions of a given NSF, nor need to use all available NSFs.
  • this abstraction allows NSF features to be treated as building blocks by the NSF system.
  • developers are free to use the security features defined by NSF, which are vendor and technology independent.
  • I2NSF Registration interface (simply, registration interface (RI))
  • RI is an interface located between the network operations management system and the developer management system. NSFs provided by different vendors may have different capabilities. Thus, in order to automate processes that take advantage of the different types of security capabilities offered by different vendors, it is necessary for vendors to have a dedicated interface for defining the functionality of their NSF. This dedicated interface may be referred to as an I2NSF Registration Interface (RI).
  • RI I2NSF Registration Interface
  • the NSF's capabilities can be preconfigured or dynamically retrieved through the I2NSF registration interface. If new features exposed to consumers are added to the NSF, the capabilities of those new features need to be registered in the I2NSF registry through this RI so that interested management and control entities know them. .
  • FIG. 2 illustrates the architecture of an I2NSF system in accordance with another embodiment of the present invention.
  • the I2NSF system of FIG. 2 illustrates the configuration of an I2NSF user and network operator management system more specifically than the I2NSF system of FIG. 1.
  • FIG. 2 descriptions overlapping with those described above in FIG. 1 will be omitted.
  • the I2NSF system includes an I2NSF user, a security management system, and an NSF instance layer.
  • the I2NSF user layer includes Application Logic, Policy Updater, and Event Collector as components.
  • the security management system layer includes a security controller and a developer management system.
  • the security controller of the security management system layer includes a security policy manager and an NSF capability manager as components.
  • the I2NSF user layer communicates with the security management system layer via a consumer-facing interface.
  • the policy updater and event collector of the I2NSF user layer communicate with the security controller of the security management system layer via a consumer-facing interface.
  • the security management system layer also communicates with the NFC instance layer via the NSF-direct interface.
  • the security controller of the security management system layer communicates with the NSF instance (s) of the NFC instance layer via an NSF-direct interface.
  • the developer management system of the security management system layer communicates with the security controller of the security management system layer through a registration interface.
  • the I2NSF user layer, the security controller component of the security management system layer, the developer management system component of the security management system layer, and the NSF instance layer of FIG. Corresponds to the component.
  • the consumer-facing interface, the NSF-facing interface and the registration interface of FIG. 2 correspond to the consumer-facing interface, the NSF-facing interface and the registration interface of FIG. 1.
  • the I2NSF user layer includes three components: Application Logic, Policy Updater, and Event Collector. Each role and operation are described as follows.
  • Application logic is a component that creates a user perspective security policy.
  • the application logic receives an event for updating (or creating) a user perspective policy from an event collector and updates (or creates) a user perspective policy based on the collected event. After that, the user perspective policy is sent to the policy updater for distribution to the security controller.
  • the event collector receives the events sent by the security collector and sends them to the application logic. Based on this feedback, application logic can update (or create) a user perspective security policy.
  • each is a logical component, and may be implemented as one or a plurality of components in the I2NSF system.
  • it may be implemented by a single I2NSF user component as shown in FIG.
  • the security controller of the security management system layer includes two components: a security policy manager and an NSF capability manager. Each role and operation are described as follows.
  • the Security Policy Manager can receive user perspective policies from the policy updater through CFI and map these policies to multiple low-level policies. This low level policy relates to a given NSF capability registered with the NSF capability manager. In addition, the security policy manager may forward this policy to the NSF (s) via NFI.
  • the NSF capability manager can specify the capabilities of the NSF registered by the developer management system and share it with the security policy manager to create a low level policy associated with a given NSF capability. Each time a new NSF is registered, the NSF capability manager may request the developer management system to register the NSF's capabilities / capabilities in the management table of the NSF capability manager via the registration interface. The developer management system is another part of the security management system for registering new NSF capabilities as NSF capability managers.
  • each is a logical component, and may be implemented as one component in the I2NSF system.
  • the NSF instance layer includes NSFs. At this time, all NSFs are located in this NSF instance layer.
  • the security policy manager forwards the policy to the NSF (s) via NFI.
  • NFC can detect, block or mitigate malicious network traffic based on the received low level security policy.
  • the security controller transmits an instantiation request message to the developer management system (S301).
  • the security controller and the developer management system represent components of the I2NSF framework described above with reference to FIG. 2.
  • the developer management system can create the corresponding NSF instance. For example, prior to step S301, the security controller can recognize the signature of a particular NSF or a set of capabilities (ie, NSF profile) required in the current system. In addition, the security controller may transmit an instantiation request message including the recognized information to the developer management system. The developer management system may match the received information with the NSF based on the information model definition and generate an NSF instance that matches the received information.
  • the security controller can recognize the signature of a particular NSF or a set of capabilities (ie, NSF profile) required in the current system.
  • the security controller may transmit an instantiation request message including the recognized information to the developer management system.
  • the developer management system may match the received information with the NSF based on the information model definition and generate an NSF instance that matches the received information.
  • the security controller can send a deinstantiation request message to the developer management system.
  • the developer management system can remove the corresponding NSF instance.
  • the security controller can recognize the signature of a particular NSF or a set of capabilities (i.e., NSF profile) that are unnecessary in the current system.
  • the security controller may send a deinstantiation request message containing the recognized information to the developer management system.
  • the developer management system may match the received information with the NSF based on the information model definition and remove the NSF instance that matches the received information.
  • the security controller receives a registration message for registration of the NSF instance from the developer management system (S302).
  • the security controller may add the NSF instance to the list of available NSF instances of the system after receiving the registration message.
  • the security controller in step S301 may receive a deletion message from the developer management system. In this case, the security controller may remove the corresponding NSF instance from the list of available NSF instances of the system.
  • the developer management system may register an NSF instance. Specifically, some NSFs may be required by default depending on the security requirements of the system. In this case, the developer management system can create this default NSF instance without requesting the security controller. After creating the NSF instances, the developer management system may notify the security controller of the NSF instance (or information related to the NSF instance) via the registration interface.
  • an NSF instance may be created that provides advanced checks / actions triggered by other NSFs through a registration interface.
  • the NSF can trigger other types of NSF for advanced security inspection of traffic.
  • the next NSF may be determined by the inspection result of the current NSF and the I2NSF user policy.
  • the security controller can request the developer management system through the registration interface to create the NSF instance.
  • an NSF instance may be created that is required to enforce security policy rules received from I2NSF users. That is, in the I2NSF framework, I2NSF users can determine the security services required for the system. If there is no NSF instance to enforce the security policy requested by the I2NSF user, the security controller may request the developer management system through the registration interface to create the required NSF instance.
  • NSF instances that are no longer needed can be deleted.
  • Various types of NSF instances can run in the I2NSF framework, and some types of NSF instances may no longer be needed depending on the dynamic changes in the security policy to be implemented in the system.
  • the security controller may request the developer management system to destroy the NSF instance via the registration interface.
  • FIG. 3 is a diagram illustrating an information model of a registration interface according to an embodiment of the present invention.
  • the information model of the registration interface may include an instance management submodel (or a submodel) and / or a registration submodel.
  • the NSF profile can be used for the purpose of instance management and registration.
  • the NSF profile represents a capability object that describes and / or defines the inspection capabilities that an NSF instance can provide.
  • an NSF instance may be created / removed through an instance management submodel among registration interface information models, and detailed information constituting an NSF profile may be defined in the registration submodel.
  • NSF Instance Management mechanism Instance Managment Mechanism
  • FIG. 4 is a diagram illustrating an instance management sub-model according to an embodiment of the present invention.
  • the security controller of the I2NSF framework may perform an instantiation request and / or a deinstantiation request for instance management of the NSF.
  • the security controller may transmit an instantiation request message to the developer control system if necessary.
  • the developer control system receiving the request from the security controller may generate a corresponding NSF instance based on the NSF capability information and transmit a response message including information related to the processing result to the security controller.
  • the security controller may transmit a de-instantiation request message to the developer control system if necessary.
  • the developer control system may remove the corresponding NSF instance based on the NSF access information and transmit a response message including information related to the processing result to the security controller.
  • FIG. 5 is a diagram illustrating a Registration Sub-Model according to an embodiment of the present invention.
  • the developer management system may send (or create) a registration message to the security controller to register a new NSF instance.
  • the registration message may include an NSF profile (or NSF capability information) and NSF access information.
  • the NSF profile (or NSF capability information) indicates the inspection capability of the new NSF instance.
  • NSF access information represents information that enables network access to a new instance of another component. The detailed information model of the NSF profile and the NSF access information will be described later in detail.
  • the I2NSF capability interface can control and monitor the newly registered NSF instance.
  • NSF access information represents information required for performing communication with the NSF.
  • the NSF access information is an Internet Protocol version 4 (IPv4) address, an Internet Protocol version 6 (IPv6) address, a port number and / or a supported transport protocol. It may include.
  • Transport protocols supported here include, for example, Virtual Extensible LAN (VXLAN), Generic Protocol Extension for VXLAN (VXLAN-GPE (Generic Protocol Extension)), Generic Route Encapsulation (GRE), Ethernet, and the like.
  • VXLAN Virtual Extensible LAN
  • VXLAN-GPE Generic Protocol Extension for VXLAN
  • GRE Generic Route Encapsulation
  • NSF access information represents the signature (or unique identifier) of an NSF instance within the overall system (or NSF instance list). NSF access information can be used to identify a particular NSF instance.
  • FIG. 6 is a diagram schematically illustrating NSF capability information according to an embodiment of the present invention.
  • NSF capability information indicating the security capability of an NSF instance may include capability objects of various NSF instances.
  • the NSF capability information may include Network-Security Capabilities, Content-Security Capabilities, Attack Mitigation Capabilities, Performance Capabilities, and / or It may include a role-based access control list (ACL).
  • ACL role-based access control list
  • Network security capabilities represent the ability to inspect and process network traffic using predefined security policies.
  • Content Security Capability Indicates the ability to analyze the traffic content delivered by the application layer.
  • Attack mitigation capabilities also represent the ability to detect and mitigate various types of network attacks.
  • FIG. 7 is a diagram schematically illustrating performance capability information according to an embodiment of the present invention.
  • the performance information may include a processing and / or bandwidth field.
  • the performance information indicates the processing capability of the NSF.
  • Performance information may be used to determine whether the NSF is in a congestion state by comparing the workload currently in charge with the NSF.
  • performance information may be used to specify the available amount of each type of resource, such as the capacity available in the NSF.
  • the processing information indicates the available processing power of the NSF.
  • Bandwidth represents information about the amount of network available in two cases, outbound and inbound. The processing information and bandwidth information may be used for an instance (or instantiation) request of the NSF by the security controller.
  • the registration interface proposed in this specification can control the use and restriction of the generated instance, and can perform an appropriate request according to the status.
  • Role-based ACL Role-based Access Control List
  • Role-based ACL information may specify the access policy of the NSF to determine whether to allow or deny entity access to the NSF according to the role assigned to the entity.
  • Each NSF may be associated with a role-based ACL to determine whether to allow or deny an access request from an entity.
  • ACL role-based access control list
  • a role-based ACL may include one or more role IDs.
  • the role ID represents information used to identify a role of an entity (eg, administrator, developer, etc.).
  • each role ID included in the role-based ACL may include access types classified as allow / deny.
  • a role-based ACL may consist of a set of access types that are allowed or denied on each role ID.
  • the access type may be used to identify a particular type of access request, such as NSF rule configuration, NSF rule update, and / or NSF monitoring.
  • the information model of the registration interface proposed in this specification may be based on the I2NSF framework without an architecture change.
  • this document can share the security considerations of the I2NSF framework specified in the IETF draft document (eg rfc8329.txt) described above to achieve secure communication between components in the proposed architecture.
  • the data model may be a YANG data model based on the [RFC6020] reference.
  • the present specification proposes a YANG data model for a registration interface.
  • the YANG data model for the registration interface proposed in the present specification may be referred to as a data model.
  • the registration interface data model is required for NSF instance registration and dynamic life-cycle management of NSF instances.
  • the data model defines the data required for the registration interface between the security controller and the developer's management system (see Figure 2).
  • the registration interface is for dynamically managing a pool (billiard) of NSF instances.
  • the data model of the present invention may be based on the above-described information model (in2nsf-reg-inf-im).
  • NSF Network Security Function
  • the network security function is responsible for the specific processing of received packets.
  • NSF can act at various layers of the protocol stack.
  • the NSF may operate in a network layer or another OSI layer.
  • the functions of the sample NSF include firewalls, Intrusion Prevention / Detection System (IPS / IDS), Deep Packet Inspection (DPI), Application Visibility and Control AVC, network virus and malware scanning, sandbox, Data Loss Prevention (DLP), Distributed Denial of Service (DDoS) mitigation, and TLS proxy It includes.
  • IPS / IDS Intrusion Prevention / Detection System
  • DPI Deep Packet Inspection
  • AVC Application Visibility and Control AVC
  • DLP Data Loss Prevention
  • DLP Distributed Denial of Service
  • TLS proxy It includes.
  • Advanced inspection / action Like the I2NSF information model for NSF facing interfaces, advanced inspection / action means that one security function invokes another security function for further inspection based on the results of its own inspection. do.
  • NST Function Information specifies the associated NSF inspection function.
  • Each NSF instance has its own NSF capability information that specifies the type of security service and resource capacity it provides.
  • Data model The data model is concerned with the environment in a form that depends on data repository, data definition language, query language, implementation language and protocol. It is a representation of the concept.
  • the information model represents the concept of interest in the environment in a form that is independent of the data store, data definition language, query language, implementation language, and protocol.
  • 10 to 16 show that the registration interface data model proposed herein is represented in a simplified graphic. 10 to 16 are represented by a YANG tree diagram. The meanings of the symbols used in the drawings of the present invention are as follows.
  • Square brackets "[" and "]” enclose the list keys.
  • the abbreviation 'rw' in front of the data node name means that the data node (or data field) is readable or writeable (read-write), and 'ro' means that the data node is read-only state data (read -only).
  • '?' Indicates that the data node is an optional node, and '*' indicates a list and a leaf-list.
  • Parentheses enclose the selection and case nodes, and the case nodes are represented by colons (':').
  • Ellipses ' ⁇ ' indicate the contents of a subtree not shown in the figure. In other words, the ellipsis ' ⁇ ' indicates that the contents of the subtree are omitted.
  • each line represents a data node or a grouped data node.
  • the grouped data nodes may be referred to as sections (or fields).
  • 'uses' indicates that the node is a grouped data node (ie, a section).
  • data nodes may include one or more other data nodes and / or grouped data nodes (sections), and grouped data nodes (sections) may also include one or more data nodes and / or grouped data nodes. It may include.
  • a higher level data node may include a plurality of lower level data nodes, each of which may include a section (see FIG. 11).
  • FIGS. 10 to 16 may correspond to those disclosed in the above-described information model. Therefore, for details of each information, refer to the description of the information disclosed in FIG. 3 to FIG. 9 described above.
  • 'data node' or 'section' may be omitted.
  • 'data node' and 'data field' may be used interchangeably, and names of each section and data node may be changed.
  • FIG. 10 illustrates a high-level YANG of the I2NSF Registration Interface, according to one embodiment of the invention.
  • the registration interface model module includes a registration request 'regs-req' and an instance management request 'instance-mgnt-req'.
  • the registration request and the instance management request have the same level.
  • the registration interface model information (or field, module, data node, message) includes registration request information and / or instance management request information.
  • the registration request 'regs-req' includes an I2NSF registration request section 'i2nsf-regs-req'.
  • I2NSF registration request section 'i2nsf-regs-req'
  • the instance management request ('instance-mgnt-req') includes an I2NSF instance management request section ('i2nsf-instance-mgnt-req').
  • I2NSF instance management request section ('i2nsf-instance-mgnt-req')
  • the data node (or section) included in the I2NSF registration interface may mirror the data nodes (or sections) of the registration interface (eg, i2nsf-reg-inf-im) described in the above-described information model. That is, the registration request and the instance management request of the data model may be the same as the registration request and the instance management of the information model, respectively.
  • FIG. 11 illustrates a high level YANG of an I2NSF Registration Request, in accordance with an embodiment of the present invention.
  • FIG. 11 illustrates the registration request 'regs-req' of FIG. 10 in detail.
  • 'Registration Request' indicates a registration request ('regs-req') of FIG. 10.
  • the registration request ('regs-req') includes an I2NSF registration request ('i2nsf-regs-req') section.
  • the I2NSF registration request ('i2nsf-regs-req') includes NSF capability information ('nsf-capability-information') and NSF access information ('nsf-access-info').
  • NSF capability information ('nsf-capability-information') and NSF access information section ('nsf-access-info') have the same level.
  • the registration request information (or field, module, data node, message) includes I2NSF NSF function information and / or I2NSF NSF access information.
  • the registration request includes function information for notifying the security controller of the newly created NSF.
  • the NSF capability information ('nsf-capability-information') includes an I2NSF NSF capability information section ('i2nsf-nsf-capability-information').
  • I2NSF NSF capability information section ('i2nsf-nsf-capability-information').
  • NSF access information ('nsf-access-info') includes an I2NSF NSF access information section ('i2nsf-nsf-access-info').
  • the registration request includes network access information so that the security controller can access the NSF.
  • I2NSF NSF access information section ('i2nsf-nsf-access-info') refer to the description regarding FIG. 14 to be described later.
  • FIG. 12 illustrates a high level YANG of an I2NSF Instance Mgnt Request, in accordance with an embodiment of the present invention.
  • FIG. 12 illustrates the instance management request 'instance-mgnt-req' of FIG. 10 in detail.
  • the instance management request ('instance-mgnt-req') includes an I2NSF instance management request section ('i2nsf-instance-mgnt-req').
  • Instance management requests include two types of requests. One is an instantiation-request and the other is a deinstanciation-request.
  • instance management information (or field, module, data node, message) includes instantiation request information and / or non-instantiation request information.
  • the I2NSF instance management request section 'i2nsf-instance-mgnt-req' includes a request level 'req-level', a request ID 'req-id', and a request type 'req-type'.
  • the request level indicates the level of the request.
  • the data type of the request level may be unit16.
  • the request ID indicates an identifier (ID) of the request.
  • the data type of the request ID may be unit64.
  • the request type indicates the type of request.
  • the request level, request ID, and request type have the same level.
  • one of the instantiation request and the de-instantiation request is selected (or determined).
  • NSF capability information is selected ('nsf-capability-information').
  • the instantiation request is used to request the creation of a new NSF instance.
  • the new NSF instance has NSF function information specifying the required NSF function information.
  • the NSF capability information ('nsf-capability-information') includes an I2NSF NSF capability information section ('i2nsf-nsf-capability-information').
  • the I2NSF NSF function information section of FIG. 12 is the same as the 'i2nsf-nsf-capability-information' disclosed in FIG. 11 described above. For details regarding the I2NSF NSF function information section ('i2nsf-nsf-capability-information'), refer to the description regarding FIG. 13 described later.
  • NSF access information is selected ('nsf-access-info').
  • the deinstantiation request is used to remove an existing NSF with NSF access information.
  • NSF access information ('nsf-access-info') includes an I2NSF NSF access information section ('i2nsf-nsf-access-info').
  • the I2NSF NSF Access Information section ('i2nsf-nsf-access-info') of FIG. 12 is the same as the 'i2nsf-nsf-access-info' disclosed in FIG. 11 described above. For details regarding the I2NSF NSF access information section ('i2nsf-nsf-access-info'), refer to the description regarding FIG. 14 to be described later.
  • FIG. 13 illustrates high level YANG of I2NSF NSF Capability Information according to an embodiment of the present invention.
  • FIG. 13 specifically illustrates I2NSF NSF capability information ('i2nsf-nsf-capability-information') of the NSF capability information ('nsf-capability-information') disclosed in FIGS. 11 and 12.
  • the NSF capability information includes an I2NSF NSF capability information section ('i2nsf-nsf-capability-information').
  • the I2NSF NSF Capability Information section includes the I2NSF capability ('i2nsf-capability') and the performance capability ('performance-capability').
  • the NSF function information (or field, module, data node, message) includes I2NSF function and / or performance function information.
  • the I2NSF capability ('i2nsf-capability') includes the IETF I2NSF capability section ('ietf-i2nsf-capability').
  • the IETF I2NSF Capability section ('ietf-i2nsf-capability') may represent an IETF I2NSF Capability (ie, ietf-i2nsf-capability) module in the I2NSF Capability Data Model (ie, i2nsf-capability-dm). If there is no I2NSF capability data model ([i2nsf-capability-dm]) and the NETMOD ACL model ([netmod-acl-model]), performance capabilities may be added.
  • the performance capability includes the I2NSF NSF performance capability section ('i2nsf-nsf-performance-caps').
  • I2NSF NSF performance capability section includes the I2NSF NSF performance capability section ('i2nsf-nsf-performance-caps').
  • I2NSF NSF performance function section includes the description regarding FIG. 15 to be described later.
  • FIG. 14 illustrates a high level YANG of I2NSF NSF Access Informantion, according to an embodiment of the present invention.
  • FIG. 14 specifically illustrates the I2NSF NSF access information section 'i2nsf-nsf-access-info' of the NSF access information 'nsf-access-info' disclosed in FIGS. 11 and 12.
  • the NSF access information 'nsf-access-info' includes an I2NSF NSF Access Information section ('i2nsf-nsf-access-info').
  • the I2NSF NSF Access Information section ('i2nsf-nsf-access-info') includes an NSF address ('nsf-address') and an NSF port address ('nsf-port-address').
  • NSF access information (or field, module, data node, message) includes NSF address information and / or NSF port address information.
  • the NSF address 'nsf-address' may be inet: ipv4-address and the NSF port address 'nsf-port-address' may be inet: port-number.
  • NSF access information is used by other components to access the NSF.
  • FIG. 15 specifically shows the I2NSF NSF performance function section ('i2nsf-nsf-performance-caps') of FIG. 13.
  • the NSF performance capability ('NSF Performance Capability') is the same as the performance capability ('performance-capability') of FIG. 13.
  • the performance function is used to specify the performance requirements of the new instance.
  • the NSF performance function includes the I2NSF NSF performance function section ('i2nsf-nsf-performance-caps').
  • the I2NSF NSF Performance Functions section contains 'processing' and 'bandwidth'.
  • NSF performance function information (or field, module, data node, message) includes processing information and / or bandwidth information.
  • 'Processing' includes 'processing-average' and 'processing-peak'.
  • the treatment-average is related to the average value of the traffic
  • the treatment-peak is related to the peak value of the traffic.
  • the bandwidth 'bandwidth' includes 'outbound' and 'inbound'. Bandwidth is related to the range of traffic. 'Outbound' includes 'outbound-average' and 'outbound-peak'. Outbound-average is related to the average value of the traffic outbound, and outbound-peak is related to the peak value of the traffic outbound of the outbound.
  • 'Inbound' includes 'inbound-average' and 'inbound-peak'. Inbound-average is related to the average value of traffic inbound, and inbound-peak is related to the peak value of traffic inbound.
  • data types of process-average, process-peak, outbound-average, outbound-peak, inbound-average, and inbound-peak may be unit16.
  • FIG. 16 illustrates a Role-Based ACL (or Access Control List), according to one embodiment of the invention.
  • FIG. 16 illustrates the IETF NETMOD ACL model ('ietf-netmod-acl-model') of the NETMOD ACL model [netmod-acl-model] in detail.
  • Role-based ACLs include 'role-based-acl'.
  • 'role-based-acl' contains the IETF NETMOD ACL model section ('ietf-netmod-acl-model').
  • the IETF NETMOD ACL Model ('ietf-netmod-acl-model') represents the IETF NETMOD ACL Model ('ietf-netmod-acl-model') module of the NETMOD ACL Model ([netmod-acl-model]).
  • Role-based ACLs are added because there are no role-based ACLs in the I2NSF Capability Data Model ([i2nsf-capability-dm]).
  • 17A-17E illustrate examples of YANG module code for a registration interface data model, according to one embodiment of the invention.
  • the code disclosed in FIGS. 17A through 17E includes the contents corresponding to the high level YANG of FIGS. 10 through 16.
  • the disclosed code is an example and may be changed.
  • the names used in the code disclosed in FIGS. 17A-17E correspond to the names of data nodes or sections used in the YANG tree diagrams of FIGS. 10-16.
  • 'i2nsf-nsf-performance-caps' in the middle of FIG. 17B corresponds to the I2NSF NSF performance function ('i2nsf-nsf-performance-cap') of FIG. 15 described above.
  • 17A-17E disclose a YANG data module for an information model of data required for a registration interface between a required security controller and a developer management system.
  • information on the information model of data required for the registration interface refer to the description of the information model (ie, i2nsf-reg-inf-im) of FIGS. 3 to 9 described above.
  • 17A shows the beginning of the code and discloses an editor list and contacts.
  • FIG. 17B includes code of grouped I2NSF NSF performance functions ('i2nsf-nsf-performance-caps') and code regarding bandwidth ('bandwith') included in the I2NSF NSF performance function.
  • 17C illustrates the code of the outbound section included in the I2NSF NSF performance function disclosed in FIG. 17B, the code of grouped I2NSF NSF capability information (i2nsf-nsf-capability-information), and the grouped IETF NETMOD.
  • the code of the ACL model ('ietf-netmod-acl-model'), and some code of the I2NSF NSF access information ('i2nsf-nsf-access-info') are disclosed.
  • FIG. 17D illustrates the remaining code of the I2NSF NSF access information ('i2nsf-nsf-access-info') disclosed in FIG. 17C, the code of the grouped I2NSF registration request ('i2nsf-regs-req'), and the grouped I2NSF instance management request. Some code of ('i2nsf-instance-mgnt-req') is disclosed.
  • FIG. 17E discloses the remaining code of the I2NSF instance management request ('i2nsf-instance-mgnt-req') disclosed in FIG. 17D.
  • 18A and 18B illustrate examples of XML code of a registration interface data model, according to one embodiment of the invention.
  • the XML code disclosed in FIGS. 18A and 18B corresponds to an example, and is an XML code in which actual data is input to the registration interface YANG data model described above.
  • FIGS. 18A and 18B correspond to the names of data nodes or sections used in the YANG tree diagrams of FIGS. 10-16 described above, or the names used in the codes disclosed in FIGS. 17A-17E. .
  • 'i2nsf-regs-req' in FIG. 18A corresponds to 'i2nsf-regs-req' in FIG. 10.
  • FIG. 19 illustrates a block diagram of a network device according to an embodiment of the present invention.
  • the network device may correspond to the above-described I2NSF system or may be a device included in the I2NSF system.
  • Examples of devices included in the I2NSF system may include the above-described I2NSF, security controller, developer management system, NSF, and the like.
  • a network device 1900 includes a processor 1910, a memory 1920, and a communication module 1930.
  • the processor 1910 implements the functions, processes, and / or methods proposed in FIGS. 1 to 18B.
  • the memory 1920 is connected to the processor 1910 and stores various information for driving the processor 1910.
  • the communication module 1930 is connected to the processor 1910 to transmit and / or receive wired / wireless signals.
  • the memory 1920 may be inside or outside the processor 1910 and may be connected to the processor 1910 by various well-known means.
  • the processor 1910 may control each module included in the above-described drawings, generate and transmit a message, or perform a function performed by each module.
  • processor 1910 may be a security controller that translates a high-level security policy into a low-level security policy for a particular network security function. Control a developer, a developer's management system for transmitting information of the network security function or providing a security service, and control a registration interface for defining the network security function. have.
  • the processor may perform a method (eg, generation and transmission of NSF related messages, etc.) performed by a registration interface (RI) related to the description of FIGS. 10 to 20 described above.
  • a method eg, generation and transmission of NSF related messages, etc.
  • RI registration interface
  • 20 is a flowchart illustrating a security service providing method performed in a registration interface according to an embodiment of the present invention.
  • the security service providing method performed by the registration interface may be performed by the registration interface.
  • the registration interface generates a request message associated with a network security function (ie, NSF) (S20010).
  • the request message may be the I2NSF registration request message (i2nsf-regs-req) or the instance management request message (i2nsf-instance-mgnt-req) of FIG. 10 described above.
  • the registration interface transmits the generated request message to the security controller or the developer management system (S20020).
  • the generated request message may determine a destination to be transmitted according to the purpose.
  • Embodiments according to the present invention may be implemented by various means, for example, hardware, firmware, software, or a combination thereof.
  • an embodiment of the present invention may include one or more application specific integrated circuits (ASICs), digital signal processors (DSPs), digital signal processing devices (DSPDs), programmable logic devices (PLDs), FPGAs ( field programmable gate arrays), processors, controllers, microcontrollers, microprocessors, and the like.
  • ASICs application specific integrated circuits
  • DSPs digital signal processors
  • DSPDs digital signal processing devices
  • PLDs programmable logic devices
  • FPGAs field programmable gate arrays
  • processors controllers, microcontrollers, microprocessors, and the like.
  • an embodiment of the present invention is implemented in the form of a module, a procedure, a function, etc. for performing the functions or operations described above, so that Can be recorded.
  • the recording medium may include a program command, a data file, a data structure, etc. alone or in combination.
  • Program instructions recorded on the recording medium may be those specially designed and constructed for the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts.
  • the recording medium may be magnetic media such as hard disks, floppy disks and magnetic tapes, optical disks such as Compact Disk Read Only Memory (CD-ROM), digital video disks (DVD), Magnetic-Optical Media, such as a Disk, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, Flash Memory, and the like.
  • program instructions may include high-level language code that can be executed by a computer using an interpreter as well as machine code such as produced by a compiler.
  • Such hardware devices may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
  • the device or the terminal according to the present invention may be driven by a command that causes one or more processors to perform the functions and processes described above.
  • such instructions may include interpreted instructions, such as script instructions such as JavaScript or ECMAScript instructions, or executable instructions or other instructions stored on a computer readable medium.
  • the device according to the present invention may be implemented in a distributed manner over a network, such as a server farm, or may be implemented in a single computer device.
  • a computer program (also known as a program, software, software application, script or code) mounted on an apparatus according to the invention and executing a method according to the invention comprises a compiled or interpreted language or a priori or procedural language. It can be written in any form of programming language, and can be deployed in any form, including stand-alone programs or modules, components, subroutines, or other units suitable for use in a computer environment. Computer programs do not necessarily correspond to files in the file system.
  • a program may be in a single file provided to the requested program, in multiple interactive files (eg, a file that stores one or more modules, subprograms, or parts of code), or part of a file that holds other programs or data. (Eg, one or more scripts stored in a markup language document).
  • the computer program may be deployed to run on a single computer or on multiple computers located at one site or distributed across multiple sites and interconnected by a communication network.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

보안 서비스를 제공하기 위한 방법, 시스템, 및 이를 위한 장치를 제안한다. 보안 서비스 제공 시스템은 고수준(high-level) 보안 정책을 특정한 네트워크 보안 기능(network security function)을 위한 저수준(low-level) 보안 정책으로 번역(translate)하는 보안 제어기(security controller); 상기 네트워크 보안 기능의 정보를 전송하거나 보안 서비스를 제공하는 개발자 관리 시스템(developer's management system); 및 상기 네트워크 보안 기능을 정의하기 위한 등록 인터페이스(registration interface);를 포함하며, 상기 등록 인터페이스를 통해 상기 보안 제어기와 상기 개발자 관리 시스템 사이에 메시지가 전송된다.

Description

보안 서비스를 제공하기 위한 방법, 시스템 및 이를 위한 장치
본 발명은 보안 서비스를 제공하기 위한 방법 및 시스템, 이를 위한 장치 에 관한 것으로, 보다 상세하게는 I2NSF 시스템 내의 보안 제어기(Security controller)와 개발자 관리 시스템(Developer's Management System) 사이의 I2NSF 등록 인터페이스(I2NSF Registration Interface)에 관한 보안 서비스를 제공하기 위한 방법, 시스템 및 이를 위한 장치에 관한 것이다.
최근에는, NFV-based security function을 위한 기본 표준 인터페이스가 I2NSF(Interface to Network Security Functions) 워킹 그룹에 의해 개발되고 있다. 이는 인터넷 엔지니어링 태스크 포스(IETF: Internet Engineering Task Force)로 불리는 국제 인터넷 표준 기구의 일부이다.
데이터 모델은 NSF(Network Security Functions) 인스턴스 등록 및 NSF 인스턴스의 동적인 수명 주기(life-cycle) 관리에 필요하다.
다수의 보안 솔루션 벤더(security solution vendor)들에 의해 제공되는 이종(heterogeneous)의 네트워크 보안 기능(NSF: network security function)을 위한 표준화된 인터페이스를 정의할 필요가 있다. 또한, NSF의 관리에 대하여 상세히 고려할 필요 없이, 사용자는 사용자 네트워크 시스템 내 네트워크 자원을 보호하기 위한 보호 정책을 정의할 필요가 있다. 또한, 다수의 벤더들로부터 제공된 이종의 NSF에 대한 태스크(task)의 설정 및 관리를 단순화할 필요가 있다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
상술한 기술적 과제 해결을 위하여, 고수준(high-level) 보안 정책을 특정한 네트워크 보안 기능(network security function)을 위한 저수준(low-level) 보안 정책으로 번역(translate)하는 보안 제어기(security controller); 상기 네트워크 보안 기능의 정보를 전송하거나 보안 서비스를 제공하는 개발자 관리 시스템(developer's management system); 및 상기 네트워크 보안 기능을 정의하기 위한 등록 인터페이스(registration interface);를 포함하는 보안 서비스 제공 시스템에 있어서, 상기 등록 인터페이스를 통해 상기 보안 제어기와 상기 개발자 관리 시스템 사이에 메시지가 전송된다.
바람직하게, 상기 등록 인터페이스는, 다수의 보안 솔루션 벤더(vendor)에 의해 제공되는 서로 다른 상기 네트워크 보안 기능을 정의한다.
바람직하게, 상기 보안 서비스 제공 시스템은 YANG 언어를 이용하여 모델링된다.
바람직하게, 상기 등록 인터페이스는, 상기 네트워크 보안 기능의 인스턴스의 수명시간(life-cycle) 관리를 통해 상기 인스턴스의 풀(pool)을 관리하되,
상기 인스턴스는 상기 네트워크 보안 기능이 제공하는 보안 서비스의 유형을 명시하는 기능 정보를 포함한다.
바람직하게, 상기 네트워크 보안 기능의 능력은 상기 등록 인터페이스를 통해 검색된다.
바람직하게, 상기 등록 인터페이스는, 상기 인스턴스의 등록을 요청하는 등록 요청 정보; 및/또는 상기 인스턴스의 관리를 요청하는 인스턴스 관리 요청 정보를 포함한다.
바람직하게, 상기 등록 요청 정보는, 상기 네트워크 보안 기능의 기능과 관련되는 NSF 기능 정보; 및/또는 상기 네트워크 보안 기능의 액세스와 관련되는 NSF 접근 정보를 포함한다.
바람직하게, 상기 인스턴스 관리 요청 정보는, 인스턴스화(instantiation) 요청 정보 또는 역인스턴스화(deinstantiation) 요청 정보를 포함하되, 상기 인스턴스화 요청 정보와 상기 역인스턴스화 요청 정보는 상기 네트워크 보안 기능의 상기 인스턴스와 관련된다.
바람직하게, 상기 NSF 기능 정보는, 상기 네트워크 보안 기능의 기능과 I2NSF 기능과 관련되는 I2NSF NSF 기능; 및/또는 상기 네트워크 보안 기능의 퍼포먼스 기능과 관련되는 NSF 퍼포먼스 기능을 포함한다.
바람직하게, 상기 NSF 접근 정보는, 상기 네트워크 보안 기능의 주소를 나타내는 NSF 주소; 및/또는 상기 네트워크 보안 기능의 포트 주소를 나타내는 NSF 포트 주소를 포함한다.
바람직하게, 상기 NSF 퍼포먼스 기능은, 상기 등록 인터페이스를 통해 전송되는 정보의 트래픽과 관련되는 처리 정보 및/또는 대역폭 정보를 포함한다.
상술한 기술적 과제 해결을 위하여, 고수준(high-level) 보안 정책을 특정한 네트워크 보안 기능(network security function)을 위한 저수준(low-level) 보안 정책으로 번역(translate)하는 보안 제어기(security controller); 상기 네트워크 보안 기능의 정보를 전송하거나 보안 서비스를 제공하는 개발자 관리 시스템(developer's management system); 및 상기 네트워크 보안 기능을 정의하기 위한 등록 인터페이스(registration interface)를 포함하는 보안 서비스 제공 시스템에 있어서, 상기 등록 인터페이스에 의해 수행되는 보안 서비스 제공 방법은, 상기 네트워크 보안 기능과 관련되는 요청 메시지를 생성하는 단계; 상기 생성된 요청 메시지를 상기 보안 제어기 또는 상기 개발자 관리 시스템으로 전송하는 단계를 포함한다.
상술한 기술적 과제 해결을 위하여, 데이터를 저장하는 메모리; 및 상기 메모리를 포함하는 프로세서를 포함하는 보안 서비스 제공 장치에 있어서, 상기 프로세서는, 고수준(high-level) 보안 정책을 특정한 네트워크 보안 기능(network security function)을 위한 저수준(low-level) 보안 정책으로 번역(translate)하는 보안 제어기(security controller)를 제어하고, 상기 네트워크 보안 기능의 정보를 전송하거나 보안 서비스를 제공하는 개발자 관리 시스템(developer's management system)을 제어하고, 및, 상기 네트워크 보안 기능을 정의하기 위한 등록 인터페이스(registration interface)를 제어한다.
본 발명에 따르면, 보안 제어기와 개발자 관리 시스템 사이에 위치하는 등록 인터페이스를 통해 상이한 벤더에 의해 제공되는 여러 유형의 보안 능력을 이용하는 프로세스를 자동화 할 수 있다.
또한, 본 발명에 따르면, 벤더가 그들의 NSF 기능을 정의하기 위한 전용 인터페이스를 이용할 수 있다.
또한, 본 발명에 따르면, 등록 인터페이스를 통해 NSF 능력이 동적으로 검색될 수 있고, 새롭게 추가된 NSF 능력이 등록 인터페이스를 통해 I2NSF 레지스트리에 등록될 수 있다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 I2NSF(Interface to Network Security Functions) 시스템을 예시한다.
도 2는 본 발명의 일 실시예에 따른 I2NSF 시스템의 아키텍처를 예시한다.
도 3은 본 발명의 일 실시예에 따른 등록 인터페이스의 정보 모델을 예시하는 도면이다.
도 4는 본 발명의 일 실시예에 따른 인스턴스 관리 서브 모델(Instance Management Sub-Model)을 예시하는 도면이다.
도 5는 본 발명의 일 실시예에 따른 등록 서브 모델(Registration Sub-Model)을 예시하는 도면이다.
도 6은 본 발명의 일 실시예에 따른, NSF 능력 정보(Capability Information)를 개략적으로 나타내는 도면이다.
도 7은 본 발명의 일 실시예에 따른, 수행 능력(Performance Capabilities) 정보를 개략적으로 나타내는 도면이다.
도 8 및 도 9는 본 발명의 일 실시예에 따른 역할 기반 ACL(Role-based Access Control List)을 예시하는 도면이다.
도 10은 본 발명의 일 실시예에 따른, I2NSF 등록 인터페이스(I2NSF Registration Interface)의 고수준(high-level) YANG을 나타낸다.
도 11은 본 발명의 일 실시예에 따른, I2NSF 등록 요청(I2NSF Registration Request)의 고수준 YANG을 나타낸다.
도 12는 본 발명의 일 실시예에 따른, I2NSF 인스턴스 관리 요청(I2NSF Instance Mgnt Request)의 고수준 YANG을 나타낸다.
도 13은 본 발명의 일 실시예에 따른, I2NSF NSF 기능 정보(I2NSF NSF Capability Information)의 고수준 YANG을 나타낸다.
도 14는 본 발명의 일 실시예에 따른, I2NSF NSF 접근 정보(I2NSF NSF Access Informantion)의 고수준 YANG을 나타낸다.
도 15는 본 발명의 일 실시예에 따른, I2NSF NSF 퍼포먼스 기능 (I2NSF NSF Performance Capability)의 고수준 YANG을 나타낸다.
도 16은 본 발명의 일 실시예에 따른, 역할 기반(Role-Based) ACL(또는 접근 제어 리스트(Access control list))을 나타낸다.
도 17a 내지 도 17e는 본 발명의 일 실시예에 따른, 등록 인터페이스 데이터 모델에 대한 YANG 모듈 코드의 예를 나타낸다.
도 18a 및 도 18b는 본 발명의 일 실시예에 따른, 등록 인터페이스 데이터 모델의 XML 코드의 예를 나타낸다.
도 19는 본 발명의 일 실시예에 따른, 네트워크 장치의 블록 구성도를 예시한다.
도 20은 본 발명의 일 실시예에 따른, 등록 인터페이스에서 수행되는 보안 서비스 제공 방법의 순서도를 나타낸다.
이하 설명하는 기술은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 이하 설명하는 기술을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 이하 설명하는 기술의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 해당 구성요소들은 상기 용어들에 의해 한정되지는 않으며, 단지 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 이하 설명하는 기술의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
본 명세서에서 사용되는 용어에서 단수의 표현은 문맥상 명백하게 다르게 해석되지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함한다" 등의 용어는 설시된 특징, 개수, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 의미하는 것이지, 하나 또는 그 이상의 다른 특징들이나 개수, 단계 동작 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 배제하지 않는 것으로 이해되어야 한다.
도면에 대한 상세한 설명을 하기에 앞서, 본 명세서에서의 구성부들에 대한 구분은 각 구성부가 담당하는 주기능 별로 구분한 것에 불과함을 명확히 하고자 한다. 즉, 이하에서 설명할 2개 이상의 구성부가 하나의 구성부로 합쳐지거나 또는 하나의 구성부가 보다 세분화된 기능별로 2개 이상으로 분화되어 구비될 수도 있다. 그리고 이하에서 설명할 구성부 각각은 자신이 담당하는 주기능 이외에도 다른 구성부가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성부 각각이 담당하는 주기능 중 일부 기능이 다른 구성부에 의해 전담되어 수행될 수도 있음은 물론이다.
또, 방법 또는 동작 방법을 수행함에 있어서, 상기 방법을 이루는 각 과정들은 문맥상 명백하게 특정 순서를 기재하지 않은 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 과정들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
이하에서는 본 발명과 관련되는 프레임 워크, 정보 모델에 대해 먼저 설명한 후, 본 발명에 해당하는 데이터 모델에 대해 설명한다.
1. 프레임 워크
최근에는, NFV-based security function을 위한 기본 표준 인터페이스가 I2NSF(Interface to Network Security Functions) 워킹 그룹에 의해 개발되고 있다. 이는 인터넷 엔지니어링 태스크 포스(IETF: Internet Engineering Task Force)로 불리는 국제 인터넷 표준 기구의 일부이다.
I2NSF의 목적은 다수의 보안 솔루션 벤더(security solution vendor)들에 의해 제공되는 이종의(heterogeneous) 네트워크 보안 기능(들)(NSF: network security function)을 위한 표준화된 인터페이스를 정의하기 위함이다.
I2NSF 아키텍처(architecture)에서, NSF(들)의 관리에 대하여 상세히 고려할 필요 없이(NSF의 관리는 결국 보안 정책의 시행(enforce)을 요구한다), 사용자는 사용자의 네트워크 시스템 내 네트워크 자원을 보호하기 위한 보호 정책을 정의할 수 있다. 또한, 다수의 vendor들로부터 NSF(들)로의 표준화된 인터페이스는 이종의 NSF(들)에 대한 태스크(task)의 설정 및 관리를 단순화할 수 있다.
도 1은 본 발명의 일 실시예에 따른 I2NSF(Interface to Network Security Functions) 시스템을 예시한다.
도 1을 참조하면, I2NSF 시스템은 I2NSF 사용자(user), 네트워크 운영자 관리 시스템(Network Operator Management System), 개발자 관리 시스템(Developer's Management System) 및/또는 적어도 하나의 NSF(Network Security Function)을 포함한다.
I2NSF 사용자는 I2NSF 소비자-직면 인터페이스(I2NSF Consumer-Facing Interface)를 통해 네트워크 운영자 관리 시스템과 통신한다. 네트워크 운영자 관리 시스템은 I2NSF NSF-직면 인터페이스(I2NSF NSF-Facing Interface)를 통해 NSF(들)과 통신한다. 개발자 관리 시스템은 I2NSF 등록 인터페이스(I2NSF Registration Interface)를 통해 네트워크 운영자 관리 시스템과 통신한다. 이하에서는 I2NSF 시스템의 각 컴포넌트(I2NSF 컴포넌트) 및 각 인터페이스(I2NSF 인터페이스)에 설명한다.
I2NSF 사용자
I2NSF 사용자는 다른 I2NSF 컴포넌트(예컨대, 네트워크 운영자 관리 시스템)에서 정보(예컨대, NSF의 정보)를 요청하거나 및/또는 다른 I2NSF 컴포넌트(예컨대, 개발자 관리 시스템)에 의해 제공되는 보안 서비스(예컨대, 네트워크 보안 서비스)를 사용하는 I2NSF 컴포넌트이다. 예를 들면, I2NSF 사용자는 오버레이 네트워크 관리 시스템, 기업 네트워크 관리자 시스템, 다른 네트워크 도메인 관리자 등일 수 있다. I2NSF 사용자는 I2NSF 클라이언트로 지칭될 수 있다.
이러한 I2NSF 사용자 컴포넌트에 할당된 역할을 수행하는 대상은 I2NSF 소비자로 지칭될 수 있다. I2NSF 소비자의 예로는, 일정 기간(time span) 동안 패킷의 특정 필드에 기초하여 흐름을 허용, 속도-제한(rate-limit), 또는 거부하기 위해 언더레이 네트워크(underlay network)에 동적으로 알릴 필요가 있는 화상 회의 네트워크 관리자(video-conference network manager), 특정 흐름에 대한 특정 I2NSF 정책을 시행(enforce)하기 위해 제공자 네트워크를 요청할 필요가 있는 기업 네트워크 관리자(Enterprise network administrators) 및 관리 시스템(management systems), 특정 조건의 세트와 일치하는 흐름을 차단하기 위해 언더레이 네트워크에 요청을 전송하는 IoT 관리 시스템(IoT management system)이 포함될 수 있다.
I2NSF 사용자는 사용자 관점(high-level) 보안 정책(security policy)을 생성 및 배포할 수 있다. 구체적으로 설명하면, I2NSF 사용자는 다양한 악의적인(malicious) 공격으로부터 네트워크 트래픽(traffic)을 보호하기 위하여 네트워크 보안 서비스(network security service)를 이용할 필요가 있다. 이 보안 서비스를 요청하기 위하여, I2NSF 사용자는 자신이 원하는 보안 서비스에 대한 사용자 관점 보안 정책을 생성하고 네트워크 운영자 관리 시스템에게 이를 알릴 수 있다.
한편, 사용자 관점 보안 정책을 준비하는 과정에서, I2NSF 사용자는 각 NSF(들)를 위한 보안 서비스 또는 보안 정책 규칙 구성(security policy rule configuration)을 실현하기 위하여 요구되는 NSF(들)의 타입에 대하여 고려하지 않을 수 있다.
또한, I2NSF 사용자는 네트워크 운영자 관리 시스템에 의해 기본적인(underlying) NSF(들) 내에서 발생되는 보안 이벤트(들)(security event)를 통지 받을 수 있다. 이들의 보안 이벤트(들)을 분석함으로써, I2NSF 사용자는 새로운 공격을 식별하고, 새로운 공격에 대처하기 위한 사용자 관점 보안 정책을 업데이트(또는 생성)할 수 있다. 이와 같이, I2NSF 사용자는 보안 정책을 정의, 관리 및 모니터링할 수 있다.
네트워크 운영 관리 시스템
네트워크 운영자 관리 시스템은 보안 제공, 모니터링 및 기타 동작을 위한 수집(collection) 및 배포(distribution) 지점(point)의 역할을 수행하는 컴포넌트이다. 예를 들면, 네트워크 운영자 관리 시스템은 보안 제어기(Security Controller)에 해당하거나, 또는 보안 제어기를 포함하는 컴포넌트일 수 있다. 이러한 네트워크 운영자 관리 시스템은 네트워크 운영자에 의해 관리될 수 있고, I2NSF 관리 시스템으로 지칭될 수도 있다.
네트워크 운영자 관리 시스템(또는 보안 제어기)의 주요한 역할 중 하나는 I2NSF 사용자로부터의 사용자 관점 보안 정책(또는 정책 규칙)을 특정 NSF(들)을 위한 저수준(low-level) 보안 정책 규칙으로 번역(translate)하는 것이다. 네트워크 운영자 관리 시스템(또는 보안 제어기)은 사용자 관점 보안 정책을 I2NSF 사용자로부터 수신한 후, 우선 I2NSF 사용자에 의해 요구되는 정책을 시행하기 위하여 요구되는 NSF(들)의 타입을 결정할 수 있다. 그리고, 네트워크 운영자 관리 시스템(또는 보안 제어기)은 요구되는 각 NSF(들)을 위한 저수준(low-level) 보안 정책을 생성할 수 있다. 결국, 네트워크 운영자 관리 시스템(또는 보안 제어기)는 생성된 저수준 보안 정책을 각 NSF(들)에게 설정할 수 있다.
또한, 네트워크 운영자 관리 시스템(또는 보안 제어기)은 I2NSF 시스템 내 구동 중인 NSF(들)을 모니터링하고, 각 NSF(들)에 대한 다양한 정보(예를 들어, 네트워크 액세스(access) 정보 및 작업로드(workload) 상태 등)를 유지할 수 있다. 또한, 네트워크 운영자 관리 시스템(또는 보안 제어기)은 개발자 관리 시스템의 도움을 받아 NSF 인스턴스의 동적인 수명시간(life-cycle) 관리를 통해 NSF 인스턴스(instance)의 풀(pool)을 동적으로 관리할 수 있다.
NSF
NSF는 보안 관련 서비스를 제공하는 논리적 엔티티(logical entity) 또는 소프트웨어 컴포넌트이다. 예를 들면, NFC(예컨대, 방화벽)는 저수준 보안정책을 수신하고, 이에 기초하여 악의적인 네트워크 트래픽을 감지하고, 이를 차단하거나 완화할 수 있다. 이를 통해, 네트워크 통신 스트림의 무결성(integrity) 및 기밀성(confidentiality)이 보장될 수 있다.
개발자 관리 시스템
개발자 관리 시스템은 다른 I2NSF 컴포넌트(예컨대, 네트워크 운영자 관리 시스템)으로 정보(예컨대, NSF의 정보)를 보내거나, 및/또는 보안 서비스(예컨대, 네트워크 보안 서비스)를 제공하는 I2NSF 컴포넌트이다. 개발자 관리 시스템은 벤더 관리 시스템(Vendor's Management System)으로 지칭될 수도 있다. 이러한 개발자 관리 시스템에 할당된 역할을 수행하는 대상은 I2NSF 생산자(producer)로 지칭될 수 있다.
개발자 관리 시스템은 네트워크 운영자에게 NSF(들)을 제공하는 제3자(third-party) 보안 벤더에 의해 관리될 수 있다. 다양한 보안 벤더의 다수의 개발자 관리 시스템(들)이 존재할 수 있다.
I2NSF 소비자-직면 인터페이스(간단히, 소비자-직면 인터페이스( CFI ))
CFI는 I2NSF 사용자와 네트워크 운영 관리 시스템 사이에 위치하는, 사용자의 I2NSF 시스템으로의 인터페이스이다. 이렇게 설계됨으로써, I2NSF 시스템은 하위(underlying) NSF(들)의 상세한 내용을 숨기고, 사용자에게 NSF(들)의 추상적인 시각(abstract view)만을 제공할 수 있다.
이 CFI는 주어진 I2NSF 시스템의 상이한 사용자가 관리 도메인 내의 특정 흐름(flow)에 대한 보안 정책을 정의, 관리 및 모니터링할 수 있게 하기 위해 사용될 수 있다. I2NSF 사용자에 의해 생성된 사용자 관점 보안 정책(또는 정책 규칙)은 이 CFI를 통해 네트워크 운영자 관리 시스템으로 전달될 수 있다. 또한, NSF(들)에 의한 보안 경보(alert)는 이 CFI를 통해 네트워크 운영자 관리 시스템으로부터 I2NSF 사용자로 전달될 수 있다.
I2NSF NSF-직면 인터페이스(간단히, NSF-직면 인터페이스( NFI ))
NFI는 네트워크 운영자 관리 시스템(또는 보안 제어기)과 NSF(들) 사이에 위치하는 인터페이스이다.
NFI의 주요한 목적은 NSF(들)로부터 보안 관리 기법을 분리(decouple)함으로써 다양한 보안 솔루션 벤더들의 NSF(들)을 제어하고 관리하기 위한 표준화된 인터페이스를 제공하기 위함이다. NFI는 NSF(들)의 상세한 내용(예를 들어, 벤더, 유형 인자(form factor) 등)과 독립된다. 따라서, 보안 정책 규칙을 NSF에게 설정할 때, 네트워크 운영자 관리 시스템은 벤더 특정한 차이 및/또는 NSF의 폼 팩터(form factor)를 고려할 필요가 없다.이 NFI는 하나 이상의 NSF에 의해 시행되는 흐름-기반(flow-based) 보안 정책을 지정하고 모니터링하기 위해 사용될 수 있다. 예를 들면, 네트워크 운영자 관리 시스템은 I2NSF 사용자에 의한 사용자 관점 보안 정책을 시행하기 위하여 흐름-기반(flow-based) 보안 정책을 NFI 인터페이스를 통해, 각 흐름-기반 NSF에게 전달할 수 있다. 여기서, 흐름-기반 NSF는 보안 특성을 강화하기 위해 정책의 세트에 따라 네트워크 흐름을 검사하는 NSF이다. 이러한 흐름-기반 NSF에 의한 흐름-기반 보안은 수신된 순서대로 패킷들이 검사되고, 검사 프로세스에 따라 패킷에 대한 수정이 없는 것을 의미한다. 흐름-기반 NSF에 대한 인터페이스는 다음과 같이 분류될 수 있다:
- NSF 운영 및 관리 인터페이스(NSF Operational and Administrative Interface): NSF의 운영 상태를 프로그래밍하기 위해 I2NSF 관리 시스템에 의해 사용되는 인터페이스 그룹; 이 인터페이스 그룹은 또한 관리 제어 기능을 포함한다. I2NSF 정책 규칙은 일관된 방식으로 이 인터페이스 그룹을 변경하는 한가지 방법을 나타낸다. 어플리케이션 및 I2NSF 컴포넌트가 그들이 송신 및 수신하는 트래픽의 동작을 동적으로 제어할 필요가 있기 때문에, I2NSF 노력(effort)의 대부분이 이 인터페이스 그룹에 집중된다.
- 모니터링 인터페이스(Monitoring Interface): 하나 이상의 선택된 NSF로부터의 모니터링 정보를 획득하기 위해 I2NSF 관리 시스템에 의해 시용되는 인터페이스 그룹; 이 인터페이스 그룹의 각 인터페이스는 쿼리 또는 리포트 기반 인터페이스일 수 있다. 둘 사이의 차이점은 쿼리 기반 인터페이스는 정보를 획득하기 위해 I2NSF 관리 시스템에 의해 사용되고, 이에 반하여 리포트 기반 인터페이스는 정보를 제공하기 위해 NSF에 의해 사용된다는 것이다. 이 인터페이스 그룹의 기능은 또한 SYSLOG 및 DOTS와 같은 다른 프로토콜에 의해 정의될 수 있다. I2NSF 관리 시스템은 정보의 수신에 기초하여 하나 이상의 동작(action)을 취할 수 있다. 이는 I2NSF 정책 규칙에 의해 지정되어야 한다. 이 인터페이스 그룹은 NSF의 운영 상태를 변경하지 않는다.
이와 같이, NFI는 흐름-기반 패러다임을 사용하여 개발될 수 있다. 흐름-기반 NSF의 공동 특성(common trait)은 수신된 패킷의 컨텐츠(예컨대, 헤더/페이로드) 및/또는 컨텍스트(예컨대, 세션 상태 및 인증 상태)에 기초하여 패킷을 처리하는 것이다. 이 특징은 I2NSF 시스템의 동작을 정의하기 위한 요구사항(requirement) 중 하나이다.
한편, I2NSF 관리 시스템은 주어진 NSF의 모든 기능들을 사용할 필요가 없으며, 모든 사용 가능한 NSF들을 사용할 필요도 없다. 따라서, 이 추상화(abstraction)는 NSF 특징(feature)을 NSF 시스템에 의해 빌딩 블록(building block)으로 취급될 수 있게 해준다. 그러므로, 개발자는 벤더 및 기술에 독립적인 NSF에 의해 정의되는 보안 기능을 자유롭게 사용할 수 있게 된다.
I2NSF 등록 인터페이스(간단히, 등록 인터페이스(RI))
RI는 네트워크 운영 관리 시스템 및 개발자 관리 시스템 사이에 위치하는 인터페이스이다. 상이한 벤더에 의해 제공되는 NSF는 상이한 능력(capability)을 가질 수 있다. 따라서, 상이한 벤더에 의해 제공되는 여러 유형의 보안 능력을 이용하는 프로세스를 자동화하기 위해, 벤더가 그들의 NSF의 기능을 정의하기 위한 전용 인터페이스를 가질 필요가 있다. 이러한 전용 인터페이스는 I2NSF 등록 인터페이스(RI)로 지칭될 수 있다.
NSF의 능력은 미리 구성되거나 또는 I2NSF 등록 인터페이스를 통해 동적으로 검색될 수 있다. 만일 소비자에게 노출되는 새로운 기능이 NSF에 추가된다면, 관심 있는(interested) 관리 및 제어 엔티티가 그것들을 알 수 있도록, 그 새로운 기능의 능력이 이 RI를 통해 I2NSF 레지스트리(registry)에 등록될 필요가 있다.
도 2는 본 발명의 다른 실시예에 따른 I2NSF 시스템의 아키텍처를 예시한다. 도 2의 I2NSF 시스템은 도 1의 I2NSF 시스템에 비하여 I2NSF 사용자 및 네트워크 운영자 관리 시스템의 구성을 더 구체적으로 나타낸다. 도 2에서는 도 1에서 상술한 설명과 중복된 설명은 생략한다.
도 2를 참조하면, I2NSF 시스템은 I2NSF 사용자, 보안 관리 시스템(Security Management System), 및 NSF 인스턴스(instances) 계층을 포함한다. I2NSF 사용자 계층은 어플리케이션 로직(Application Logic), 정책 업데이터(Policy Updater), 및 이벤트 수집기(Event Collector)을 컴포넌트로서 포함한다. 보안 관리 시스템 계층은 보안 제어기 및 개발자 관리 시스템을 포함한다. 보안 관리 시스템 계층의 보안 제어기는 보안 정책 관리자(Security policy manager) 및 NSF 기능 관리자(NSF capability manager)를 컴포넌트로서 포함한다.
I2NSF 사용자 계층은 소비자-직면 인터페이스를 통해 보안 관리 시스템 계층과 통신한다. 예를 들면, I2NSF 사용자 계층의 정책 업데이터 및 이벤트 수집기는 소비자-직면 인터페이스를 통해 보안 관리 시스템 계층의 보안 제어기와 통신한다. 또한, 보안 관리 시스템 계층은 NSF-직면 인터페이스를 통해 NFC 인스턴스 계층과 통신한다. 예를 들면, 보안 관리 시스템 계층의 보안 제어기는 NSF-직면 인터페이스를 통해 NFC 인스턴스 계층의 NSF 인스턴스(들)과 통신한다. 또한, 보안 관리 시스템 계층의 개발자 관리 시스템은 등록 인터페이스를 통해 보안 관리 시스템 계층의 보안 제어기와 통신한다.
도 2의 I2NSF 사용자 계층, 보안 관리 시스템 계층의 보안 제어기 컴포넌트, 보안 관리 시스템 계층의 개발자 관리 시스템 컴포넌트 및 NSF 인스턴스 계층은 각각 도 1의 I2NSF 사용자 컴포넌트, 네트워크 운영 관리 시스템 컴포넌트, 개발자 관리 시스템 컴포넌트 및 NSF 컴포넌트에 대응된다. 또한, 도 2의 소비자-직면 인터페이스, NSF-직면 인터페이스 및 등록 인터페이스는 도 1의 소비자-직면 인터페이스, NSF-직면 인터페이스 및 등록 인터페이스에 대응된다. 이하에서는, 각 계층에 포함된 새로 정의된 컴포넌트들에 대하여 설명한다.
I2NSF 사용자
상술한 것처럼, I2NSF 사용자 계층은 다음 3 개의 컴포넌트를 포함한다: 어플리케이션 로직(Application Logic), 정책 업데이터(Policy Updater), 및 이벤트 수집기(Event Collector). 각각의 역할 및 동작을 설명하면 다음과 같다.
어플리케이션 로직은 사용자 관점 보안 정책을 생성하는 컴포넌트이다. 이를 위해, 어플리케이션 로직은 이벤트 수집기로부터 사용자 관점 정책을 업데이트(또는 생성)하기 위한 이벤트를 수신하고, 수집된 이벤트에 기초하여 사용자 관점 정책을 업데이트(또는 생성)한다. 그 이후에, 사용자 관점 정책은 보안 제어기로 배포하기 위해 정책 업데이터로 보내진다. 사용자 관점 정책을 업데이트(또는 생성)하기 위해, 이벤트 수집기는 보안 수집기에 의해 보내진 이벤트를 수신하고, 그들을 어플리케이션 로직으로 보낸다. 이 피드백에 기초하여, 어플리케이션 로직은 사용자 관점 보안 정책을 업데이트(또는 생성)할 수 있다.
도 2에서는, 어플리케이션 로직, 정책 업데이터 및 이벤트 수집기를 각각 별도의 구성으로 도시하고 있으나, 본 발명의 이에 한정되지 않는다. 다시 말해, 각각은 논리적인 컴포넌트로서, I2NSF 시스템에서 하나 또는 복수의 컴포넌트로 구현될 수도 있다. 예를 들면, 도 1과 같이 단일의 I2NSF 사용자 컴포넌트에 의해 구현될 수 있다.
보안 관리 시스템
상술한 것처럼, 보안 관리 시스템 계층의 보안 제어기는 다음 2개의 컴포넌트를 포함한다: 보안 정책 관리자(Security policy manager) 및 NSF 능력 관리자(NSF capability manager). 각각의 역할 및 동작을 설명하면 다음과 같다.
보안 정책 관리자는 CFI를 통해 정책 업데이터로부터 사용자 관점 정책을 수신하고, 이 정책을 여러 저수준 정책으로 맵핑할 수 있다. 이 저수준 정책은 NSF 능력 관리자에 등록된 주어진 NSF 능력과 관련된다. 또한, 보안 정책 관리자는 이 정책을 NFI를 통해 NSF(들)로 전달할 수 있다.
NSF 능력 관리자는 주어진 NSF 능력과 관련된 저수준 정책을 생성하기 위해, 개발자 관리 시스템에 의해 등록된 NSF의 능력을 지정하고, 그것을 보안 정책 관리자와 공유할 수 있다. 새로운 NSF가 등록될 때마다, NSF 능력 관리자는 등록 인터페이스를 통해 NSF 능력 관리자의 관리 테이블에 NSF의 기능/능력을 등록하도록 개발자 관리 시스템에 요청할 수 있다. 개발자 관리 시스템은 새로운 NSF의 능력을 NSF 능력 관리자로 등록하기 위한 보안 관리 시스템의 다른 부분에 해당한다.
도 2에서는, 보안 정책 관리자 및 NSF 능력 관리자를 각각 별도의 구성으로 도시하고 있으나, 본 발명의 이에 한정되지 않는다. 다시 말해, 각각은 논리적인 컴포넌트로서, I2NSF 시스템에서 하나의 컴포넌트로 구현될 수도 있다.
NSF 인스턴스 (NSF Instances)
도 2에 도시된 것처럼, NSF 인스턴스 계층은 NSF들을 포함한다. 이때, 모든 NSF들은 이 NSF 인스턴스 계층에 위치된다. 한편, 사용자 관점 정책을 저수준 정책에 맵핑한 후에, 보안 정책 관리자는 NFI를 통해 정책을 NSF(들)로 전달한다. 이 경우, NFC는 수신된 저수준 보안 정책에 기초하여 악의적인 네트워크 트래픽을 감지하고, 이를 차단하거나 완화할 수 있다.
2. 정보 모델
본 발명이 적용되는 실시예로서, 등록 인터페이스를 통해 NSF 인스턴스를 등록하는 방법을 설명한다.
보안 제어기는 인스턴스화 요청 메시지를 개발자 관리 시스템으로 전송한다(S301). 보안 제어기 및 개발자 관리 시스템은 앞서 도 2에서 설명한 I2NSF 프레임 워크의 구성 요소를 나타낸다.
보안 제어기로부터 인스턴스화 요청 메시지를 수신하면, 개발자 관리 시스템은 해당 NSF 인스턴스를 생성할 수 있다. 예를 들어, S301 단계에 앞서, 보안 제어기는 현재 시스템에서 필요한 능력들 세트(즉, NSF 프로파일) 또는 특정 NSF의 서명을 인식할 수 있다. 그리고, 보안 제어기는 인식된 정보를 포함하는 인스턴스화 요청 메시지를 개발자 관리 시스템으로 전송할 수 있다. 개발자 관리 시스템은 수신된 정보를 정보 모델 정의에 기반한 NSF와 일치시키고, 상기 수신된 정보와 일치하는 NSF 인스턴스를 생성할 수 있다.
또는, 보안 제어기는 역인스턴스화 요청 메시지를 개발자 관리 시스템으로 전송할 수 있다. 보안 제어기로부터 역인스턴스화 요청 메시지를 수신하면, 개발자 관리 시스템은 해당 NSF 인스턴스를 제거할 수 있다.
예를 들어, S301 단계에 앞서, 보안 제어기는 현재 시스템에서 불필요한 능력들 세트(즉, NSF 프로파일) 또는 특정 NSF의 서명을 인식할 수 있다. 보안 제어기는 인식된 정보를 포함하는 역인스턴스화 요청 메시지를 개발자 관리 시스템으로 전송할 수 있다. 개발자 관리 시스템은 수신된 정보를 정보 모델 정의에 기반한 NSF와 일치시키고, 상기 수신된 정보와 일치하는 NSF 인스턴스를 제거할 수 있다.
보안 제어기는 NSF 인스턴스의 등록을 위한 등록 메시지를 개발자 관리 시스템으로부터 수신한다(S302). 이 경우, 보안 제어기는 등록 메시지를 수신한 후 해당 NSF 인스턴스를 시스템의 사용 가능한 NSF 인스턴스 목록에 추가할 수 있다.
만약 S301 단계에서 보안 제어기가 인스턴스화 요청 메시지가 아닌 역인스턴스화 요청 메시지를 전송한 경우, 보안 제어기는 개발자 관리 시스템으로부터 삭제 메시지를 수신할 수 있다. 이 경우, 보안 제어기는 해당 NSF 인스턴스를 시스템의 사용 가능한 NSF 인스턴스 목록에서 제거할 수 있다.
또한, 일 실시예에서, 개발자 관리 시스템은 NSF 인스턴스를 등록할 수 있다. 구체적으로, 시스템의 보안 요구 사항에 따라 일부 NSF가 기본적으로 요구될 수 있다. 이 경우, 개발자 관리 시스템은 보안 제어기의 요청 없이 이러한 기본 NSF 인스턴스를 생성할 수 있다. 개발자 관리 시스템은 NSF 인스턴스들을 생성한 후, 등록 인터페이스를 통해 보안 제어기에 NSF 인스턴스(또는 NSF 인스턴스에 관련된 정보)를 통지할 수 있다.
또한, 일 실시예에서, 등록 인터페이스를 통해 다른 NSF에 의해 트리거된 고급 검사/조치를 제공하는 NSF 인스턴스가 생성될 수 있다. 즉, I2NSF 프레임 워크에서 NSF는 트래픽(traffic)의 고급 보안 검사를 위하여 다른 유형의 NSF를 트리거할 수 있다. 이때, 다음 NSF는 현재 NSF의 검사 결과 및 I2NSF 사용자 정책에 의해 결정될 수 있다. 그러나, 만약 이전 NSF에 의해 트리거된 고급 검사/조치를 제공할 수 있는 NSF 인스턴스가 없는 경우, 보안 제어기는 등록 인터페이스를 통해 개발자 관리 시스템에 요청하여 NSF 인스턴스를 생성할 수 있다.
또한, 일 실시예에서, I2NSF 사용자로부터 수신된 보안 정책 규칙을 시행함에 있어서 필요한 NSF 인스턴스가 생성될 수 있다. 즉, I2NSF 프레임 워크에서 I2NSF 사용자는 시스템에 필요한 보안 서비스를 결정할 수 있다. 만약 I2NSF 사용자가 요청한 보안 정책을 시행할 NSF 인스턴스가 없는 경우, 보안 제어기는 등록 인터페이스를 통해 개발자 관리 시스템에 요청하여 필요한 NSF 인스턴스를 생성할 수 있다.
또한, 일 실시예에서, 더 이상 필요하지 않은 NSF 인스턴스는 삭제될 수 있다. 다양한 유형의 NSF 인스턴스가 I2NSF 프레임 워크에서 실행될 수 있고, 시스템에서 수행될 보안 정책의 동적 변경에 따라 일부 유형의 NSF 인스턴스가 더 이상 필요하지 않을 수 있다. 이 경우, 보안 제어기는 등록 인터페이스를 통해 NSF 인스턴스를 파기하도록 개발자 관리 시스템에 요청할 수 있다.
도 3은 본 발명의 일 실시예에 따른 등록 인터페이스의 정보 모델을 예시하는 도면이다.
도 3을 참조하면, 등록 인터페이스의 정보 모델은 인스턴스 관리 서브 모델(또는 하위 모델) 및/또는 등록 서브 모델을 포함할 수 있다. 인스턴스 관리 기능 및 등록 기능은 목적 달성을 위하여 NSF 프로파일이 사용될 수 있다. 여기서, NSF 프로파일은 NSF 인스턴스가 제공할 수 있는 검사 능력을 설명 및/또는 규정하는 능력 객체를 나타낸다.
즉, 등록 인터페이스 정보 모델 중에서 인스턴스 관리 서브 모델을 통해 NSF 인스턴스가 생성/제거될 수 있고, 등록 서브 모델에서 NSF 프로파일을 구성하는 세부 정보들이 정의될 수 있다.
NSF 인스턴스 관리 메커니즘(Instance Managment Mechanism)
도 4는 본 발명의 일 실시예에 따른 인스턴스 관리 서브 모델(Instance Management Sub-Model)을 예시하는 도면이다.
도 4를 참조하면, I2NSF 프레임 워크의 보안 제어기는 NSF의 인스턴스 관리를 위해 인스턴스화 요청 및/또는 역인스턴스화(Deinstantiation) 요청을 수행할 수 있다.
도 4(a)를 참조하면, 보안 제어기는 필요한 경우 개발자 제어 시스템에 인스턴스화 요청 메시지를 전송할 수 있다. 보안 제어기로부터 요청을 수신한 개발자 제어 시스템은 NSF 능력 정보에 기반하여 해당 NSF 인스턴스를 생성하고 보안 제어기에 처리 결과에 관련된 정보를 포함하는 응답 메시지를 전송할 수 있다.
도 4(b)를 참조하면, 보안 제어기는 필요한 경우 개발자 제어 시스템에 역인스턴스화 요청 메시지를 전송할 수 있다. 보안 제어기로부터 요청을 수신한 개발자 제어 시스템은 NSF 접근 정보에 기반하여 해당 NSF 인스턴스를 제거하고 보안 제어기에 처리 결과에 관련된 정보를 포함하는 응답 메시지를 전송할 수 있다.
NSF 등록 메커니즘(Registration Mechanism)
도 5는 본 발명의 일 실시예에 따른 등록 서브 모델(Registration Sub-Model)을 예시하는 도면이다.
도 5를 참조하면, 개발자 관리 시스템은 새로운 NSF 인스턴스를 등록하기 위하여 보안 제어기에 등록 메시지를 전송(또는 생성)할 수 있다. 이때, 상기 등록 메시지는 NSF 프로파일(또는 NSF 능력 정보) 및 NSF 접근 정보(Access Information) 를 포함할 수 있다.
NSF 프로파일(또는 NSF 능력 정보)은 새로운 NSF 인스턴스의 검사 능력을 나타낸다. 그리고, NSF 접근 정보는 다른 구성 요소의 새로운 인스턴스에 대한 네트워크 접근을 가능하게 하는 정보를 나타낸다. NSF 프로파일과 NSF 접근 정보의 세부 정보 모델은 자세히 후술한다.
위와 같은 등록 프로세스 이후, I2NSF 능력 인터페이스(capability interface)는 새롭게 등록된 NSF 인스턴스를 제어하고 모니터링할 수 있다.
NSF 접근 정보(Access Information)
NSF 접근 정보는 NSF와 통신을 수행하기 위하여 요구되는 정보를 나타낸다. 본 발명의 일 실시예에서, NSF 접근 정보는 IPv4(Internet Protocol version 4) 주소(address), IPv6(Internet Protocol version 6) 주소, 포트 번호(port number) 및/또는 지원되는 전송 프로토콜(transport protocol)을 포함할 수 있다.
여기서 지원되는 전송 프로토콜은, 예를 들어, 가상 확장(Virtual Extensible) LAN(VXLAN), VXLAN를 위한 일반 프로토콜 확장(VXLAN-GPE(Generic Protocol Extension)), 일반 경로 캡슐화(GRE: Generic Route Encapsulation), 이더넷(Ethernet) 등을 포함할 수 있다.
NSF 접근 정보는 전반적인 시스템(또는 NSF 인스턴스 리스트) 내에서 NSF 인스턴스의 서명(또는 고유 식별자)를 나타낸다. NSF 접근 정보는 특정 NSF 인스턴스를 식별하는 데 사용될 수 있다.
NSF 능력 정보(Capability Information)
도 6은 본 발명의 일 실시예에 따른, NSF 능력 정보(Capability Information)를 개략적으로 나타내는 도면이다.
도 6을 참조하면, NSF 인스턴스의 보안 능력을 나타내는 NSF 능력 정보는 다양한 NSF 인스턴스의 능력 객체 (capability object)들을 포함할 수 있다.
구체적으로, NSF 능력 정보(또는 능력 객체)는 네트워크 보안 능력(Network-Security Capabilities), 컨텐츠 보안 능력(Content-Security Capabilities), 공격 완화 능력(Attack Mitigation Capabilities), 수행 능력(performance capabilities) 및/또는 역할 기반(role-Based) 접근 제어 리스트(ACL: Access Control List)를 포함할 수 있다.
네트워크 보안 능력은 미리 정의된 보안 정책을 사용하여 네트워크 트래픽을 검사하고 처리하는 능력을 나타낸다. 컨텐츠 보안 능력 어플리케이션(application) 레이어에서 전달되는 트래픽 내용을 분석하는 능력을 나타낸다. 또한, 공격 완화 능력은 다양한 유형의 네트워크 공격을 탐지하고 완화하는 능력을 나타낸다.
수행 능력과 역할 기반 ACL은 이하에서 상세히 설명한다.
수행 능력(Performance Capabilities)
도 7은 본 발명의 일 실시예에 따른, 수행 능력(Performance Capabilities) 정보를 개략적으로 나타내는 도면이다.
도 7을 참조하면, 수행 능력 정보는 처리(Processing) 및/또는 대역폭(Bandwidth) 필드를 포함할 수 있다. 여기서, 수행 능력 정보는 NSF의 처리 능력(processing capability)을 나타낸다.
수행 능력 정보는 NSF가 현재 담당하는 작업량(workload)과 해당 정보의 비교를 통해 NSF가 정체(congestion) 상태인지 여부를 결정하는 데 사용될 수 있다. 또한, 수행 능력 정보는 NSF에서 이용 가능한 능력과 같은 각각의 유형의 자원의 이용 가능한 양을 지정하는 데 사용될 수 있다.
또한, 처리 정보는 NSF의 사용 가능한 처리 능력(processing power)를 나타낸다. 대역폭은 아웃 바운드(outbound), 인바운드(inbound)의 두 가지 경우에 사용 가능한 네트워크 양에 대한 정보를 나타낸다. 처리 정보 및 대역폭 정보는 보안 제어기에 의한 NSF의 인스턴스(또는 인스턴스화) 요청에 사용될 수 있다.
본 명세서 제안하는 등록 인터페이스는 생성된 인스턴스의 사용 및 제한을 제어할 수 있으며, 상태(status)에 따라 적절한 요청을 수행할 수 있다.
역할 기반 ACL (Role-based Access Control List)
역할 기반 ACL 정보는 엔티티(entity)에 부여된 역할에 따라 NSF에 대한 엔티티 접근을 허용할지 또는 거부할지 결정하기 위하여 NSF의 접근 정책을 지정할 수 있다. 각각의 NSF는 역할 기반 ACL과 연결되어 엔티티의 접근 요청을 허용할지 또는 거부할지 결정할 수 있다.
도 8 및 도 9는 본 발명의 일 실시예에 따른 역할 기반 ACL(Role-based Access Control List)을 예시하는 도면이다.
도 8를 참조하면, 역할 기반 ACL는 하나 이상의 역할 ID를 포함할 수 있다. 여기서, 역할 ID는 엔티티(예: 관리자, 개발자 등)의 역할을 식별하는데 이용되는 정보를 나타낸다.
도 9를 참조하면, 역할 기반 ACL에 포함되는 각각의 역할 ID는 허용/거부로 분류되는 접근 유형들을 포함할 수 있다. 즉, 역할 기반 ACL은 각각의 역할 ID에서 허용되거나 거부되는 접근 유형들의 집합으로 구성될 수 있다. 여기서, 접근 유형은 NSF 규칙(rule) 구성(configuration), NSF 규칙 업데이트(update) 및/또는 NSF 모니터링(monitoring)과 같은 특정 유형의 접근 요청을 식별하는데 사용될 수 있다.
본 명세서에서 제안하는 등록 인터페이스의 정보 모델은 아키텍처 변경없이 I2NSF 프레임 워크를 기반으로 할 수 있다. 따라서, 이 문서는 제안된 아키텍처에서 컴포넌트 간 안전한 통신을 달성하기 위하여 상술한 IETF 드래프트 문서(예컨대, rfc8329.txt)에서 명시된 I2NSF 프레임 워크의 보안 고려 사항을 공유할 수 있다.
3. 데이터 모델
등록 인터페이스 YANG 데이터 모델
이하에서는, 본 명세서에서 제안하는 YANG 데이터 모델에 대해 설명한다. 일 예로, 상기 데이터 모델은 [RFC6020] 참고문헌을 기반으로 하는 YANG 데이터 모델일 수 있다. 구체적으로, 본 명세서에서는 등록 인터페이스를 위한 YANG 데이터 모델을 제안한다. 이하에서는 편의를 위해 본 명세서에서 제안하는 등록 인터페이스를 위한 YANG 데이터 모델을 데이터 모델로 지칭할 수 있다. 등록 인터페이스 데이터 모델은 NSF 인스턴스 등록 및 NSF 인스턴스들의 동적인 수명시간(life-cycle) 관리를 위해 요구된다.
데이터 모델은 보안 제어기(security controller)와 개발자 관리 시스템(developer's management system) 사이의 등록 인터페이스를 위해 요구되는 데이터를 정의한다(도 2 참조). 상기 등록 인터페이스는 NSF 인스턴스의 풀(당구)을 동적으로(dynamically) 관리하기 위한 것이다. 본 발명의 데이터 모델은 상술한 정보 모델(in2nsf-reg-inf-im)을 기반으로 할 수 있다.
-네트워크 보안 기능(Network Security Function, NSF): 네트워크 보안 기능은 수신된 패킷의 특정 처리를 담당하는 기능이다. NSF는 프로토콜 스택의 다양한 레이어에서 작동(act)할 수 있다. 일 예로, NSF는 네크워크 레이어 또는 다른 OSI 레이어에서 작동할 수 있다. 또한, 일 예로써, 샘플 NSF의 기능들은 방화벽, 침입 방지/탐지 시스템(Intrusion Prevention/Detection System; IPS/IDS), 딥 패킷 검사(Deep Packet Inspection; DPI), 애플리케이션 가시성 및 제어 (Application Visibility and Control; AVC), 네트워크 바이러스 및 악성 코드 검사(network virus and malware scanning), 샌드박스(sandbox), 데이터 손실 방지 (Data Loss Prevention; DLP), DDoS(Distributed Denial of Service) 완화(mitigation) 및 TLS 프록시 등을 포함한다.
- 고급 검사/조치(advanced inspection/action): NSF 직면 인터페이스를 위한 I2NSF 정보 모델과 같이, 고급 검사/조치는 하나의 보안 기능은 자체 검사 결과에 기초한 추가적인 검사를 위해 다른 보안 기능을 호출하는 것을 의미한다.
- 네트워크 보안 기능 프로파일(NST 기능 정보): NST 기능 정보는 연관된 NSF 검사 기능의 명시(specify)한다. 각 NSF 인스턴스는 자신이 제공하는 보안 서비스 유형과 리소스 용량 등을 명시하는 자체 NSF 기능 정보를 갖는다.
- 데이터 모델: 데이터 모델은 데이터 저장소(data repository), 데이터 정의 언어(data definition language), 쿼리 언어(query language), 구현 언어(implementation language) 및 프로토콜에 의존적인 형태(form)로 환경에 대한 관심 개념을 표현한 것이다.
- 정보 모델: 정보 모델은 데이터 모델과 달리, 데이터 저장소, 데이터 정의 언어, 쿼리 언어, 구현 언어 및 프로토콜과 독립적인 형태로 환경에 대한 관심 개념을 표현한 것이다.
이하의 도 10 내지 도 16은 본 명세서에서 제안하는 등록 인터페이스 데이터 모델이 단순화된 그래픽으로 표현된 것을 나타낸다. 도 10 내지 도 16은 YANG 트리 다이어그램(YANG tree diagram)으로 표현되었다. 본 발명의 도면들에서 사용된 기호(symbols)의 의미는 다음과 같다.
대괄호 "[" 과 "]"는 목록 키들(list keys)을 묶는다(enclose). 데이터 노드 이름의 앞의 약어 'rw'는 데이터 노드(또는 데이터 필드)가 읽거나 쓸 수 있는 구성임을 의미하고(read-write), 'ro'는 데이터 노드가 읽기만 가능한 상태 데이터임을 의미한다(read-only). 데이터 노드 이름의 뒤에 위치하는 기호 중, '?'는 해당 데이터 노드가 선택적인 노드임을 나타내고,'*'는 목록(list)과 리프 목록(leaf-list)을 나타낸다. 괄호는 선택 노드와 사례 노드를 묶고, 사례 노드는 콜론 (':')으로 표시된다. 줄임표 '쪋'는 도면에 표시되지 않은 하위 트리의 내용을 나타낸다. 즉, 줄임표 '쪋'는 하위 트리의 내용이 생략되었음을 나타낸다.
또한, 이하의 YANG 트리 다이어그램 도면에서 각 라인은 데이터 노드 또는 그룹핑된 데이터 노드를 나타낸다. 이하에서는 그룹핑된 데이터 노드를 섹션(또는 필드)으로 지칭하여 설명할 수 있다. 구체적으로, 도 10 내지 도 16의 YANG tree diagram 에서, 'uses'는 해당 노드가 그룹핑된 데이터 노드(즉, 섹션)임을 나타낸다.
섹션과 데이터 노드의 용어 구분은 설명의 편의를 위해 임의로 설정한 것에 불과하다. YANG 트리 다이어그램에서, 데이터 노드는 하나 이상의 다른 데이터 노드 및/또는 그룹핑된 데이터 노드(섹션)를 포함할 수 있고, 또한, 그룹핑된 데이터 노드(섹션)도 하나 이상의 데이터 노드 및/또는 그룹핑된 데이터 노드를 포함할 수 있다. 예를 들어, 상위 레벨의 데이터 노드는 하위 레벨의 복수의 데이터 노드를 포함하되, 상기 복수의 데이터 노드는 각각 섹션을 포함할 수 있다(도 11 참조).
이하 도 10 내지 도 16의 정보(또는 필드, 모듈, 데이터 노드, 섹션)는 상술한 정보 모델에 개시된 것과 대응될 수 있다. 따라서, 각 정보에 대한 자세한 사항은 상술한 도 3 내지 도9에 개시된 정보에 관한 설명을 참조한다.
편의를 위해 '데이터 노드'는 또는 '섹션'은 생략될 수도 있다. 또한, '데이터 노드'와 '데이터 필드'는 혼용되어 사용될 수 있으며, 각 섹션 및 데이터 노드의 이름은 변경될 수 있다.
도 10은 본 발명의 일 실시예에 따른, I2NSF 등록 인터페이스(I2NSF Registration Interface)의 고수준(high-level) YANG을 나타낸다.
도 10을 참조하면, 등록 인터페이스 모델 모듈은 등록 요청('regs-req')과 인스턴스 관리 요청('instance-mgnt-req')을 포함한다. 등록 요청과 인스턴스 관리 요청은 동일한 수준(level)을 갖는다.
등록 인터페이스 모델 정보(또는 필드, 모듈, 데이터 노드, 메시지)는 등록 요청 정보 및/또는 인스턴스 관리 요청 정보를 포함한다.
등록 요청('regs-req')은 I2NSF 등록 요청 섹션('i2nsf-regs-req')을 포함한다. I2NSF 등록 요청 섹션('i2nsf-regs-req')에 관한 자세한 사항은 후술하는 도 11에 관한 설명을 참조한다.
인스턴스 관리 요청('instance-mgnt-req')은 I2NSF 인스턴스 관리 요청 섹션('i2nsf-instance-mgnt-req')을 포함한다. I2NSF 인스턴스 관리 요청 섹션('i2nsf-instance-mgnt-req')에 관한 자세한 사항은 후술하는 도 12에 관한 설명을 참조한다.
I2NSF 등록 인터페이스에 포함된 데이터 노드(또는 섹션)는 상술한 정보 모델에서 서술된 등록 인터페이스(일 예로, i2nsf-reg-inf-im)의 데이터 노드(또는 섹션)들을 미러링할 수 있다. 즉, 데이터 모델의 등록 요청과 인스턴스 관리 요청 은 각각 정보 모델의 등록 요청 및 인스턴스 관리와 동일할 수 있다.
도 11은 본 발명의 일 실시예에 따른, I2NSF 등록 요청(I2NSF Registration Request)의 고수준 YANG을 나타낸다.
도 11은 도 10의 등록 요청('regs-req')을 구체적으로 나타낸다.
도 11에서, 'Registration Request'는 도 10의 등록 요청('regs-req')을 나타낸다. 등록 요청('regs-req')은 I2NSF 등록 요청('i2nsf-regs-req') 섹션을 포함한다. I2NSF 등록 요청('i2nsf-regs-req')은 NSF 기능 정보('nsf-capability-information')와 NSF 접근 정보('nsf-access-info')를 포함한다. NSF 기능 정보('nsf-capability-information')와 NSF 접근 정보 섹션('nsf-access-info')은 동일한 수준(level)을 갖는다.
즉, 등록 요청 정보(또는 필드, 모듈, 데이터 노드, 메시지)는 I2NSF NSF 기능 정보 및/또는 I2NSF NSF 접근 정보를 포함한다.
등록 요청(Registration Request)은 보안 제어기에게 새롭게 생성된 NSF의 기능을 알리기(notify) 위한 기능 정보를 포함한다. NSF 기능 정보('nsf-capability-information')는 I2NSF NSF 기능 정보 섹션('i2nsf-nsf-capability-information')을 포함한다. I2NSF NSF 기능 정보 섹션('i2nsf-nsf-capability-information')에 관한 자세한 사항은 후술하는 도 13에 관한 설명을 참조한다.
NSF 접근 정보('nsf-access-info')는 I2NSF NSF 접근 정보 섹션('i2nsf-nsf-access-info')을 포함한다. 등록 요청은 보안 제어기가 NSF에 접근(access) 할 수 있도록 네트워크 접근 정보를 포함한다. I2NSF NSF 접근 정보 섹션('i2nsf-nsf-access-info')에 관한 자세한 사항은 후술하는 도 14에 관한 설명을 참조한다.
도 12는 본 발명의 일 실시예에 따른, I2NSF 인스턴스 관리 요청(I2NSF Instance Mgnt Request)의 고수준 YANG을 나타낸다.
도 12는 도 10의 인스턴스 관리 요청('instance-mgnt-req')을 구체적으로 나타낸다. 인스턴스 관리 요청('instance-mgnt-req')은 I2NSF 인스턴스 관리 요청 섹션('i2nsf-instance-mgnt-req')을 포함한다.
인스턴스 관리 요청은 두가지 타입의 요청을 포함한다. 하나는 인스턴스화 요청(instanciation-request)이고, 다른 하나는 역인스턴스화 요청(deinstanciation-request)이다.
즉, 인스턴스 관리 정보(또는 필드, 모듈, 데이터 노드, 메시지)는 인스턴스화 요청 정보 및/또는 비인스턴화 요청 정보를 포함한다.
I2NSF 인스턴스 관리 요청 섹션('i2nsf-instance-mgnt-req')은 요청 레벨('req-level'), 요청 아이디('req-id') 및 요청 타입('req-type')을 포함한다. 요청 레벨은 요청의 레벨을 나타낸다. 일 예로, 요청 레벨의 데이터 타입은 unit16일 수 있다. 요청 아이디는 요청의 식별자(ID)를 나타낸다. 일 예로, 요청 아이디의 데이터 타입은 unit64일 수 있다. 요청 타입은 요청의 타입을 나타낸다 요청 레벨, 요청 아이디 및 요청 타입은 동일한 수준(level)을 갖는다.
요청 타입('req-type')에서, 인스턴스화 요청 및 역인스턴스화 요청 중 하나가 선택(또는 결정)된다.
인스턴스화 요청이 선택되거나 또는 요청 타입(req-type)이 인스턴스화 요청을 나타내면, NSF 기능 정보가 선택된다('nsf-capability-information'). 인스턴스화 요청은 새로운 NSF 인스턴스의 생성을 요청하는데 사용된다. 상기 새로운 NSF 인스턴스는 필요한 NSF 기능 정보를 명시하는 NSF 기능 정보를 갖는다. NSF 기능 정보('nsf-capability-information')는 I2NSF NSF 기능 정보 섹션('i2nsf-nsf-capability-information')을 포함한다. 도 12의 I2NSF NSF 기능 정보 섹션은 상술한 도 11에 개시된 'i2nsf-nsf-capability-information'과 동일하다. I2NSF NSF 기능 정보 섹션('i2nsf-nsf-capability-information')에 관한 자세한 사항은 후술하는 도 13에 관한 설명을 참조한다.
역인스턴스화 요청이 선택되거나 또는 요청 타입(req-type)이 역인스턴스화 요청을 나타내면, NSF 접근 정보가 선택된다('nsf-access-info'). 역인스턴스화 요청은 NSF 액세스 정보를 갖는 기존 NSF를 제거하는데 사용된다. NSF 접근 정보('nsf-access-info')는 I2NSF NSF 접근 정보 섹션('i2nsf-nsf-access-info')을 포함한다. 도 12의 I2NSF NSF 접근 정보 섹션('i2nsf-nsf-access-info')은 상술한 도 11에 개시된 'i2nsf-nsf-access-info'와 동일하다. I2NSF NSF 접근 정보 섹션('i2nsf-nsf-access-info')에 관한 자세한 사항은 후술하는 도 14에 관한 설명을 참조한다.
도 13은 본 발명의 일 실시예에 따른, I2NSF NSF 기능 정보(I2NSF NSF Capability Information)의 고수준 YANG을 나타낸다.
도 13은, 도 11 및 도 12에 개시된 NSF 기능 정보('nsf-capability-information')의 I2NSF NSF 기능 정보('i2nsf-nsf-capability-information')를 구체적으로 나타낸다.
NSF 기능 정보는 I2NSF NSF 기능 정보 섹션('i2nsf-nsf-capability-information')을 포함한다. I2NSF NSF 기능 정보 섹션은 I2NSF 기능('i2nsf-capability') 및 퍼포먼스 기능('performance-capability')을 포함한다.
즉, NSF 기능 정보(또는 필드, 모듈, 데이터 노드, 메시지)는 I2NSF 기능 및/또는 퍼포먼스 기능 정보를 포함한다.
I2NSF 기능('i2nsf-capability')은 IETF I2NSF 기능 섹션('ietf-i2nsf-capability')을 포함한다. IETF I2NSF 기능 섹션('ietf-i2nsf-capability')은 I2NSF 기능 데이터 모델(즉, i2nsf-capability-dm) 에서의 IETF I2NSF 기능(즉, ietf-i2nsf-capability) 모듈을 나타낼 수 있다. I2NSF 기능 데이터 모델([i2nsf-capability-dm]) 및 NETMOD ACL 모델([netmod-acl-model])이 없는 경우, 퍼포먼스 기능이 추가될 수 있다.
퍼포먼스 기능('performance-capability')은 I2NSF NSF 퍼포먼스 기능 섹션('i2nsf-nsf-performance-caps')을 포함한다. I2NSF NSF 퍼포먼스 기능 섹션('i2nsf-nsf-performance-caps')에 관한 자세한 사항은 후술하는 도 15에 관한 설명을 참조한다.
도 14는 본 발명의 일 실시예에 따른, I2NSF NSF 접근 정보(I2NSF NSF Access Informantion)의 고수준 YANG을 나타낸다.
도 14는, 도 11 및 도 12에 개시된 NSF 접근 정보('nsf-access-info')의 I2NSF NSF 접근 정보 섹션('i2nsf-nsf-access-info') 을 구체적으로 나타낸다..
NSF 액세스 정보('nsf-access-info')는 I2NSF NSF 접근 정보 섹션('i2nsf-nsf-access-info') 을 포함한다. I2NSF NSF 접근 정보 섹션('i2nsf-nsf-access-info')은 NSF 주소('nsf-address') 및 NSF 포트 주소('nsf-port-address')를 포함한다.
즉, NSF 접근 정보(또는 필드, 모듈, 데이터 노드, 메시지)는 NSF 주소 정보 및/또는 NSF 포트 주소 정보를 포함한다.
일 예로, NSF 주소('nsf-address')는 inet:ipv4-address 일 수 있고, NSF 포트 주소('nsf-port-address')는 inet:port-number 일 수 있다.
NSF 접근 정보(NSF acess information)는 NSF에 접근하기 위해 다른 컴포넌트에 의해 사용된다.
도 15는 본 발명의 일 실시예에 따른, I2NSF NSF 퍼포먼스 기능 (I2NSF NSF Performance Capability)의 고수준 YANG을 나타낸다.
도 15는, 도 13의 I2NSF NSF 퍼포먼스 기능 섹션('i2nsf-nsf-performance-caps')을 구체적으로 나타낸다. 도 15에서, NSF 퍼포먼스 기능('NSF Performance Capability')은 도 13의 퍼포먼스 기능('performance-capability')과 동일하다.
보안 제어기가 개발자 관리 시스템에게 새로운 NSF 인스턴스의 생성을 요청할 때, 퍼포먼스 기능은 상기 새로운 인스턴스의 퍼포먼스 요구사항을 명시하는데 사용된다.
NSF 퍼포먼스 기능은 I2NSF NSF 퍼포먼스 기능 섹션('i2nsf-nsf-performance-caps')을 포함한다. I2NSF NSF 퍼포먼스 기능 섹션은 처리('processing') 및 대역폭('bandwidth')을 포함한다.
즉, NSF 퍼포먼스 기능 정보(또는 필드, 모듈, 데이터 노드, 메시지)는 처리 정보 및/또는 대역폭 정보를 포함한다.
처리와 대역폭은 모두 새로운 인스턴스의 퍼포먼스 요구사항과 관련된다. 처리('processing')는 처리-평균('processing-average') 및 처리-피크 ('processing-peak')를 포함한다. 처리-평균은 트래픽의 평균값과 관련되고, 처리-피크는 트래픽의 피크값과 관련된다.
대역폭('bandwidth')은 아웃바운드('outbound') 및 인바운드('inbound')를 포함한다. 대역폭은 트래픽의 범위와 관련된다. 아웃바운드('outbound')는 아웃바운드-평균('outbound-average')과 아웃바운드-피크('outbound-peak')를 포함한다. 아웃바운드-평균은 트래픽 아웃바운드의 평균값과 관련되고, 아웃바운드-피크는 아웃바운드의 트래픽 아웃바운드의 피크값과 관련된다.
인바운드('inbound')는 인바운드-평균('inbound-average')과 인바운드-피크('inbound-peak')를 포함한다. 인바운드-평균은 트래픽 인바운드의 평균값과 관련되고, 인바운드-피크는 트래픽 인바운드의 피크값과 관련된다.
일 예로, 처리-평균, 처리-피크, 아웃바운드-평균, 아웃바운드-피크, 인바운드-평균 및 인바운드-피크의 데이터 타입은 unit16일 수 있다.
도 16은 본 발명의 일 실시예에 따른, 역할 기반(Role-Based) ACL(또는 접근 제어 리스트(Access control list))을 나타낸다.
도 16은 NETMOD ACL 모델([netmod-acl-model])의 IETF NETMOD ACL 모델('ietf-netmod-acl-model')을 구체적으로 나타낸다. 역할 기반 ACL은 'role-based-acl'을 포함한다. 'role-based-acl'은 IETF NETMOD ACL 모델 섹션('ietf-netmod-acl-model')을 포함한다.
IETF NETMOD ACL 모델('ietf-netmod-acl-model')은 NETMOD ACL 모델([netmod-acl-model])의 IETF NETMOD ACL 모델('ietf-netmod-acl-model') 모듈을 나타낸다. I2NSF 기능 데이터 모델([i2nsf-capability-dm])에 역할 기반 ACL이 없기 때문에, 역할 기반 ACL이 추가된다.
도 17a 내지 도 17e는 본 발명의 일 실시예에 따른, 등록 인터페이스 데이터 모델에 대한 YANG 모듈 코드의 예를 나타낸다.
도 17a 내지 도 17e에 개시된 코드는 도 10 내지 도16의 고수준 YANG와 대응되는 내용을 포함한다. 또한, 개시된 코드는 일 예시이며, 변경될 수 있다.
도 17a 내지 도 17e에 개시된 코드에서 사용된 명칭은 도 10 내지 도 16의 YANG 트리 다이어그램에서 사용된 데이터 노드 또는 섹션의 명칭과 대응된다. 예를 들어, 도 17b의 가운데의 'i2nsf-nsf-performance-caps'은 상술한 도 15의 I2NSF NSF 퍼포먼스 기능('i2nsf-nsf-performance-cap')과 대응된다.
도 17a 내지 도 17e는 요구되는 보안 제어기와 개발자 관리 시스템 사이의 등록 인터페이스에 요구되는 데이터의 정보 모델(information model)을 위한 YANG 데이터 모듈을 개시한다. 등록 인터페이스에 요구되는 데이터의 정보 모델에 관한 정보는 상술한 도 3 내지 도 9의 정보 모델(즉, i2nsf-reg-inf-im)에 관한 설명을 참조한다.
도 17a는 코드의 시작 부분을 나타내며, 편집자(editor) 리스트 및 연락처를 개시한다.
도 17b는, 그룹핑된 I2NSF NSF 퍼포먼스 기능('i2nsf-nsf-performance-caps')의 코드 및 상기 I2NSF NSF 퍼포먼스 기능에 포함된 대역폭('bandwith')에 관한 코드를 포함한다.
도 17c는, 도 17b에 개시된 I2NSF NSF 퍼포먼스 기능에 포함된 아웃바운드('outbound') 섹션의 코드, 그룹핑된 I2NSF NSF 기능 정보('i2nsf-nsf-capability-information')의 코드, 그룹핑된 IETF NETMOD ACL 모델('ietf-netmod-acl-model')의 코드, 및 I2NSF NSF 접근 정보('i2nsf-nsf-access-info') 일부 코드를 개시한다.
도 17d는, 도 17c에 개시된 I2NSF NSF 접근 정보('i2nsf-nsf-access-info')의 나머지 코드, 그룹핑된 I2NSF 등록 요청('i2nsf-regs-req')의 코드 및 그룹핑된 I2NSF 인스턴스 관리 요청('i2nsf-instance-mgnt-req')의 일부 코드를 개시한다.
도 17e는, 도 17d에 개시된 I2NSF 인스턴스 관리 요청('i2nsf-instance-mgnt-req')의 나머지 코드를 개시한다.
도 18a 및 도 18b는 본 발명의 일 실시예에 따른, 등록 인터페이스 데이터 모델의 XML 코드의 예를 나타낸다.
도 18a 및 도 18b에 개시된 XML 코드는 일 예시에 해당하며, 상술한 등록 인터페이스 YANG 데이터 모델에 실제 데이터를 입력한 XML 코드이다.
본 XML 코드와 관련하여, 등록 인터페이스를 사용하여 IDS NSF에 VoIP/VoLTE 보안 기능을 등록하는 것이 요구될 수 있다. 또한, 도 18a 및 도 18b에서 사용된 데이터 값은 변경될 수 있다.
도 18a 및 도 18b에 개시된 변수는 상술한 도 10 내지 16의 YANG 트리 다이어그램에서 사용된 데이터 노드 또는 섹션의 명칭과 대응되거나, 또는 도 17 도 17a 내지 도 17e에 개시된 코드에서 사용된 명칭과 대응된다. 예를 들어, 도 18a에서 'i2nsf-regs-req'는 도 10의 'i2nsf-regs-req'과 대응된다.
도 19는 본 발명의 일 실시예에 따른, 네트워크 장치의 블록 구성도를 예시한다.
네트워크 장치는 상술한 I2NSF 시스템에 해당하거나, I2NSF 시스템 내에 포함되는 장치일 수 있다. I2NSF 시스템 내에 포함되는 장치의 예로는 상술한 I2NSF, 보안 제어기, 개발자 관리 시스템, NSF 등이 포함될 수 있다.
도 19를 참조하면, 네트워크 장치(1900)는 프로세서(processor, 1910), 메모리(memory, 1920) 및 통신 모듈(communication module, 1930)을 포함한다.
프로세서(1910)는 앞서 도 1 내지 도 18b에서 제안된 기능, 과정 및/또는 방법을 구현한다. 메모리(1920)는 프로세서(1910)와 연결되어, 프로세서(1910)를 구동하기 위한 다양한 정보를 저장한다. 통신 모듈(1930)은 프로세서(1910)와 연결되어, 유/무선 신호를 송신 및/또는 수신한다.
메모리(1920)는 프로세서(1910) 내부 또는 외부에 있을 수 있고, 잘 알려진 다양한 수단으로 프로세서(1910)와 연결될 수 있다.
프로세서(1910)는, 상술한 도면에 포함된 각 모듈을 제어하거나, 메시지를 생성 및 전송하거나, 각 모듈이 수행하는 기능을 수행할 수 있다. 예를 들어, 프로세서(1910)는, 고수준(high-level) 보안 정책을 특정한 네트워크 보안 기능(network security function)을 위한 저수준(low-level) 보안 정책으로 번역(translate)하는 보안 제어기(security controller)를 제어하고, 상기 네트워크 보안 기능의 정보를 전송하거나 보안 서비스를 제공하는 개발자 관리 시스템(developer's management system)을 제어하고, 및, 상기 네트워크 보안 기능을 정의하기 위한 등록 인터페이스(registration interface)를 제어할 수 있다.
특히, 프로세서는 상술한 도면 10 내지 20의 설명과 관련되는 등록 인터페이스(RI)에 의해 수행되는 방법(예를 들어, NSF 관련 메시지 생성 및 전송 등)을 수행할 수 있다.
도 20은 본 발명의 일 실시예에 따른, 등록 인터페이스에서 수행되는 보안 서비스 제공 방법의 순서도를 나타낸다.
등록 인터페이스에 의해 수행되는 보안 서비스 제공 방법은 등록 인터페이스에 의해 수행될 수 있다.
등록 인터페이스는, 네트워크 보안 기능(즉, NSF)과 관련되는 요청 메시지를 생성한다(S20010). 예를 들어, 상기 요청 메시지는 상술한 도 10의 I2NSF 등록 요청 메시지(i2nsf-regs-req) 또는 인스턴스 관리 요청 메시지(i2nsf-instance-mgnt-req)일 수 있다.
이후, 등록 인터페이스는, 생성된 요청 메시지를 보안 제어기 또는 개발자 관리 시스템으로 전송한다(S20020). 생성된 요청 메시지는 그 목적에 따라 전송되는 목적지가 결정될 수 있다.
본 발명에 따른 실시예는 다양한 수단, 예를 들어, 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다. 하드웨어에 의한 구현의 경우, 본 발명의 일 실시예는 하나 또는 그 이상의 ASICs(application specific integrated circuits), DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays), 프로세서, 콘트롤러, 마이크로 콘트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.
또한, 펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 일 실시예는 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차, 함수 등의 형태로 구현되어, 다양한 컴퓨터 수단을 통하여 판독 가능한 기록매체에 기록될 수 있다. 여기서, 기록매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 기록매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 예컨대 기록매체는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CD-ROM(Compact Disk Read Only Memory), DVD(Digital Video Disk)와 같은 광 기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광 매체(Magneto-Optical Media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함한다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다. 이러한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
아울러, 본 발명에 따른 장치나 단말은 하나 이상의 프로세서로 하여금 앞서 설명한 기능들과 프로세스를 수행하도록 하는 명령에 의하여 구동될 수 있다. 예를 들어 그러한 명령으로는, 예컨대 JavaScript나 ECMAScript 명령 등의 스크립트 명령과 같은 해석되는 명령이나 실행 가능한 코드 혹은 컴퓨터로 판독 가능한 매체에 저장되는 기타의 명령이 포함될 수 있다. 나아가 본 발명에 따른 장치는 서버 팜(Server Farm)과 같이 네트워크에 걸쳐서 분산형으로 구현될 수 있으며, 혹은 단일의 컴퓨터 장치에서 구현될 수도 있다.
또한, 본 발명에 따른 장치에 탑재되고 본 발명에 따른 방법을 실행하는 컴퓨터 프로그램(프로그램, 소프트웨어, 소프트웨어 어플리케이션, 스크립트 혹은 코드로도 알려져 있음)은 컴파일 되거나 해석된 언어나 선험적 혹은 절차적 언어를 포함하는 프로그래밍 언어의 어떠한 형태로도 작성될 수 있으며, 독립형 프로그램이나 모듈, 컴포넌트, 서브루틴 혹은 컴퓨터 환경에서 사용하기에 적합한 다른 유닛을 포함하여 어떠한 형태로도 전개될 수 있다. 컴퓨터 프로그램은 파일 시스템의 파일에 반드시 대응하는 것은 아니다. 프로그램은 요청된 프로그램에 제공되는 단일 파일 내에, 혹은 다중의 상호 작용하는 파일(예컨대, 하나 이상의 모듈, 하위 프로그램 혹은 코드의 일부를 저장하는 파일) 내에, 혹은 다른 프로그램이나 데이터를 보유하는 파일의 일부(예컨대, 마크업 언어 문서 내에 저장되는 하나 이상의 스크립트) 내에 저장될 수 있다. 컴퓨터 프로그램은 하나의 사이트에 위치하거나 복수의 사이트에 걸쳐서 분산되어 통신 네트워크에 의해 상호 접속된 다중 컴퓨터나 하나의 컴퓨터 상에서 실행되도록 전개될 수 있다.
본 실시예 및 본 명세서에 첨부된 도면은 전술한 기술에 포함되는 기술적 사상의 일부를 명확하게 나타내고 있는 것에 불과하며, 전술한 기술의 명세서 및 도면에 포함된 기술적 사상의 범위 내에서 당업자가 용이하게 유추할 수 있는 변형 예와 구체적인 실시예는 모두 전술한 기술의 권리범위에 포함되는 것이 자명하다고 할 것이다.
이상, 전술한 본 발명의 바람직한 실시예는, 예시의 목적을 위해 개시된 것으로, 당업자라면 이하 첨부된 특허청구범위에 개시된 본 발명의 기술적 사상과 그 기술적 범위 내에서, 다양한 다른 실시예들을 개량, 변경, 대체 또는 부가 등이 가능할 것이다.

Claims (13)

  1. 고수준(high-level) 보안 정책을 특정한 네트워크 보안 기능(network security function)을 위한 저수준(low-level) 보안 정책으로 번역(translate)하는 보안 제어기(security controller);
    상기 네트워크 보안 기능의 정보를 전송하거나 보안 서비스를 제공하는 개발자 관리 시스템(developer's management system); 및
    상기 네트워크 보안 기능을 정의하기 위한 등록 인터페이스(registration interface);를 포함하는 보안 서비스 제공 시스템에 있어서,
    상기 등록 인터페이스를 통해 상기 보안 제어기와 상기 개발자 관리 시스템 사이에 메시지가 전송되는, 보안 서비스 제공 시스템.
  2. 제1항에 있어서,
    상기 등록 인터페이스는, 다수의 보안 솔루션 벤더(vendor)에 의해 제공되는 서로 다른 상기 네트워크 보안 기능을 정의하는, 보안 서비스 제공 시스템.
  3. 제1항에 있어서,
    상기 보안 서비스 제공 시스템은 YANG 언어를 이용하여 모델링되는, 보안 서비스 제공 시스템.
  4. 제1항에 있어서,
    상기 등록 인터페이스는, 상기 네트워크 보안 기능의 인스턴스의 수명시간(life-cycle) 관리를 통해 상기 인스턴스의 풀(pool)을 관리하되,
    상기 인스턴스는 상기 네트워크 보안 기능이 제공하는 보안 서비스의 유형을 명시하는 기능 정보를 포함하는, 보안 서비스 제공 시스템.
  5. 제1항에 있어서,
    상기 네트워크 보안 기능의 능력은 상기 등록 인터페이스를 통해 검색되는, 보안 서비스 제공 시스템.
  6. 제4항에 있어서,
    상기 등록 인터페이스는,
    상기 인스턴스의 등록을 요청하는 등록 요청 정보; 및/또는
    상기 인스턴스의 관리를 요청하는 인스턴스 관리 요청 정보를 포함하는, 보안 서비스 제공 시스템.
  7. 제6항에 있어서,
    상기 등록 요청 정보는,
    상기 네트워크 보안 기능의 기능과 관련되는 NSF 기능 정보; 및/또는
    상기 네트워크 보안 기능의 액세스와 관련되는 NSF 접근 정보를 포함하는, 보안 서비스 제공 시스템.
  8. 제6항에 있어서,
    상기 인스턴스 관리 요청 정보는,
    인스턴스화(instantiation) 요청 정보 또는 역인스턴스화(deinstantiation) 요청 정보를 포함하되,
    상기 인스턴스화 요청 정보와 상기 역인스턴스화 요청 정보는 상기 네트워크 보안 기능의 상기 인스턴스와 관련되는, 보안 서비스 제공 시스템.
  9. 제7항에 있어서,
    상기 NSF 기능 정보는,
    상기 네트워크 보안 기능의 기능과 I2NSF 기능과 관련되는 I2NSF NSF 기능; 및/또는
    상기 네트워크 보안 기능의 퍼포먼스 기능과 관련되는 NSF 퍼포먼스 기능을 포함하는, 보안 서비스 제공 시스템.
  10. 제7항에 있어서,
    상기 NSF 접근 정보는,
    상기 네트워크 보안 기능의 주소를 나타내는 NSF 주소; 및/또는
    상기 네트워크 보안 기능의 포트 주소를 나타내는 NSF 포트 주소,를 포함하는, 보안 서비스 제공 시스템.
  11. 제9항에 있어서,
    상기 NSF 퍼포먼스 기능은,
    상기 등록 인터페이스를 통해 전송되는 정보의 트래픽과 관련되는 처리
    정보 및/또는 대역폭 정보를 포함하는, 보안 서비스 제공 시스템.
  12. 고수준(high-level) 보안 정책을 특정한 네트워크 보안 기능(network security function)을 위한 저수준(low-level) 보안 정책으로 번역(translate)하는 보안 제어기(security controller);
    상기 네트워크 보안 기능의 정보를 전송하거나 보안 서비스를 제공하는 개발자 관리 시스템(developer's management system); 및
    상기 네트워크 보안 기능을 정의하기 위한 등록 인터페이스(registration interface);를 포함하는 보안 서비스 제공 시스템에 있어서,
    상기 등록 인터페이스에 의해 수행되는 보안 서비스 제공 방법은,
    상기 네트워크 보안 기능과 관련되는 요청 메시지를 생성하는 단계;
    상기 생성된 요청 메시지를 상기 보안 제어기 또는 상기 개발자 관리 시스템으로 전송하는 단계;를 포함하는, 보안 서비스 제공 방법.
  13. 데이터를 저장하는 메모리; 및
    상기 메모리를 포함하는 프로세서를 포함하는 보안 서비스 제공 장치에 있어서, 상기 프로세서는,
    고수준(high-level) 보안 정책을 특정한 네트워크 보안 기능(network security function)을 위한 저수준(low-level) 보안 정책으로 번역(translate)하는 보안 제어기(security controller)를 제어하고,
    상기 네트워크 보안 기능의 정보를 전송하거나 보안 서비스를 제공하는 개발자 관리 시스템(developer's management system)을 제어하고, 및,
    상기 네트워크 보안 기능을 정의하기 위한 등록 인터페이스(registration interface)를 제어하는, 보안 서비스 제공 장치.
PCT/KR2018/002948 2017-03-13 2018-03-13 보안 서비스를 제공하기 위한 방법, 시스템 및 이를 위한 장치 WO2018169287A1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20170031425 2017-03-13
KR10-2017-0031425 2017-03-13

Publications (1)

Publication Number Publication Date
WO2018169287A1 true WO2018169287A1 (ko) 2018-09-20

Family

ID=63522241

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2018/002948 WO2018169287A1 (ko) 2017-03-13 2018-03-13 보안 서비스를 제공하기 위한 방법, 시스템 및 이를 위한 장치

Country Status (1)

Country Link
WO (1) WO2018169287A1 (ko)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040042609A1 (en) * 2002-09-04 2004-03-04 Tekelec Methods and systems for enhancing network security in a telecommunications signaling network
US20080040790A1 (en) * 2004-06-28 2008-02-14 Jen-Wei Kuo Security Protection Apparatus And Method For Endpoint Computing Systems
US20120110028A1 (en) * 2010-11-01 2012-05-03 Athreya Arjun P Translating an object-oriented data model to a yang data model
US20150207813A1 (en) * 2012-02-01 2015-07-23 Vorstack, Inc. Techniques for sharing network security event information
US9521115B1 (en) * 2016-03-24 2016-12-13 Varmour Networks, Inc. Security policy generation using container metadata

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040042609A1 (en) * 2002-09-04 2004-03-04 Tekelec Methods and systems for enhancing network security in a telecommunications signaling network
US20080040790A1 (en) * 2004-06-28 2008-02-14 Jen-Wei Kuo Security Protection Apparatus And Method For Endpoint Computing Systems
US20120110028A1 (en) * 2010-11-01 2012-05-03 Athreya Arjun P Translating an object-oriented data model to a yang data model
US20150207813A1 (en) * 2012-02-01 2015-07-23 Vorstack, Inc. Techniques for sharing network security event information
US9521115B1 (en) * 2016-03-24 2016-12-13 Varmour Networks, Inc. Security policy generation using container metadata

Similar Documents

Publication Publication Date Title
WO2021060857A1 (ko) 원격 실행 코드 기반 노드의 제어 플로우 관리 시스템 및 그에 관한 방법
WO2020190016A1 (en) Method and device for providing authentication in network-based media processing (nbmp) system
WO2018101565A1 (ko) 네트워크 가상화 환경에서 보안 관리를 위한 구조
WO2013085281A1 (ko) 클라우딩 컴퓨팅 서비스에서의 보안을 위한 방법 및 장치
WO2019098678A1 (ko) 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치
WO2014185754A1 (ko) M2m 통신 시스템에서 구독 및 통지를 위한 방법 및 이를 위한 장치
WO2012141556A2 (en) Machine-to-machine node erase procedure
WO2013048111A2 (ko) 클라우드 컴퓨팅 서비스로의 침입을 탐지하는 방법 및 장치
WO2013065915A1 (ko) 보안 영역과 비보안 영역 사이의 보안 연동 방법 및 보안 어플리케이션 다운로드 관리방법, 관리서버, 단말기, 및 이를 적용한 관리시스템
WO2014209075A1 (ko) 인터넷 프로토콜을 이용한 서비스를 위한 다중 연결 시스템 및 방법
WO2019088671A1 (ko) 네트워크 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치
WO2016023148A1 (zh) 报文的控制方法、交换机及控制器
WO2016013846A1 (ko) 무선 통신 시스템에서 요청 메시지를 처리하기 위한 방법 및 이를 위한 장치
WO2016195199A1 (ko) 무선 통신 시스템에서 폴링 채널을 통해 요청을 처리하기 위한 방법 및 이를 위한 장치
WO2016064235A2 (ko) 무선 통신 시스템에서 그룹 멤버의 자식 자원을 관리하기 위한 방법 및 이를 위한 장치
WO2021261728A1 (ko) 다기능을 가지는 보안 연결을 제공하는 보안 통신 장치 및 그 동작 방법
WO2023033588A1 (ko) 가상화 단말에서 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
WO2022114689A1 (ko) 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템
WO2023211124A1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023146304A1 (ko) 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
WO2017131285A1 (ko) 컨테이너 네트워크 관리 시스템 및 컨테이너 네트워킹 방법
WO2024177386A1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2013129804A1 (ko) 무선 네트워크 부하 저감 정책 분석 방법 및 시스템과 기록매체
WO2024177382A1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2024177380A1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18768523

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 18768523

Country of ref document: EP

Kind code of ref document: A1