[go: up one dir, main page]

KR20170024032A - 소프트웨어 정의 네트워크에서의 보안 - Google Patents

소프트웨어 정의 네트워크에서의 보안 Download PDF

Info

Publication number
KR20170024032A
KR20170024032A KR1020177002277A KR20177002277A KR20170024032A KR 20170024032 A KR20170024032 A KR 20170024032A KR 1020177002277 A KR1020177002277 A KR 1020177002277A KR 20177002277 A KR20177002277 A KR 20177002277A KR 20170024032 A KR20170024032 A KR 20170024032A
Authority
KR
South Korea
Prior art keywords
security
security policy
policy
role
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020177002277A
Other languages
English (en)
Inventor
즈위안 후
쉐창 옌
즈강 뤄
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20170024032A publication Critical patent/KR20170024032A/ko
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

적어도 하나의 보안 정책이 SDN 네트워크의 제어기에서 정책 작성기로부터 획득된다. 보안 정책은 보안 정책의 특징, 보안 정책의 작성기의 역할, 및 보안 정책의 작성기의 역할의 보안 권한 레벨을 특정하는 하나 이상의 속성들에 기초하여, 제어기를 통해 SDN 네트워크에서 구현된다.

Description

소프트웨어 정의 네트워크에서의 보안{SECURITY IN SOFTWARE DEFINED NETWORK}
본 출원은 일반적으로 통신 네트워크들에 관한 것으로, 특히, 소프트웨어 정의 네트워킹-기반 통신 네트워크에서의 보안 기술들에 관한 것이다.
본 섹션은 본 발명의 더 양호한 이해를 용이하게 하는데 도울 수 있는 양태들을 소개한다. 이에 따라, 본 섹션의 서술들은 이러한 관점에서 읽어져야 하며, 종래 기술에 있는 것 또는 종래 기술에 없는 것에 관한 승인들로서 이해되어서는 안 된다.
소프트웨어 정의 네트워킹(SDN)은 네트워크 제어가 직접 프로그램가능하게 될 수 있도록 기본 네트워크 스위칭 인프라구조로부터 네트워크 제어를 분리하는 네트워크 아키텍처 프레임워크이다. 이러한 분리는 기본 네트워크 인프라구조가 네트워크상에서 구동하는 애플리케이션들 및 서비스들에 대해 추출되게 한다. SDN 네트워크에서 흐름 제어를 관리하기 위해 SDN 제어기가 사용된다. 예를 들어, SDN 제어기들은 제어 서버들이 패킷들을 전송할 네트워크 엘리먼트들(예를 들어, 스위치들)에 명령하게 하는 OpenFlow™ (Open Networking Foundation) 프로토콜과 같은 프로토콜들에 통상적으로 기초한다. 이러한 시나리오에서, SDN 제어기는 OpenFlow™ 제어기로 지칭되며, 스위치들은 OpenFlow™ 스위치들로 지칭된다. 이러한 제어기는 SDN 네트워크에 대한 운영 시스템의 타입으로서 작용한다. 제어 평면을 네트워크 하드웨어로부터 분리하고 소프트웨어 대신에 제어 평면을 구동함으로써, 제어기는 애플리케이션들 및 서비스들의 통합 및 관리, 뿐만 아니라 자동 네트워크 관리를 용이하게 한다.
그러나, 기존의 보안 메커니즘들에 의해 다루어지지 않은 SDN 네트워크에서의 어려운 보안 문제들이 존재한다.
예시적인 실시예들은 SDN 네트워크에서 사용하기 위한 보안 기술들을 제공한다.
예를 들어, 일 실시예에서, 방법은 다음의 단계들을 포함한다. 적어도 하나의 보안 정책이 SDN 네트워크의 제어기에서 정책 작성기로부터 획득된다. 보안 정책은 보안 정책의 특징, 보안 정책의 작성기의 역할, 및 보안 정책의 작성기의 역할의 보안 권한 레벨을 특정하는 하나 이상의 속성들에 기초하여, 제어기를 통해 SDN 네트워크에서 구현된다.
다른 실시예에서, 하나 이상의 소프트웨어 프로그램들의 실행가능 코드가 인코딩된 프로세서-판독가능 저장 매체를 포함하는 제조품이 제공된다. 하나 이상의 소프트웨어 프로그램들은 적어도 하나의 프로세싱 디바이스에 의해 실행될 때, 상술한 방법의 단계들을 구현한다.
또 다른 실시예에서, 장치가 상술한 방법의 단계들을 수행하도록 구성되는 메모리 및 프로세서를 포함한다.
유리하게는, 예시적인 실시예들은 네트워크 정책들을 흐름 규칙들로 정확하게 변환하는 것, 새로운 흐름 규칙들이 이전 흐름 규칙들과 충돌하는 시나리오들을 처리하는 것, 새로운 보안 공격들에 자동으로 그리고 즉시 반응하는 것, 및 패킷 데이터 스캔 검출을 지원하는 것을 포함하지만, 이에 제한되지 않는 보안 문제들을 다루는 SDN 네트워크에서의 기술들을 제공한다.
본 명세서에 설명하는 실시예들의 이들 및 다른 특징들 및 이점들은 첨부한 도면들 및 아래의 상세한 설명으로부터 더욱 명백해질 것이다.
도 1은 일 실시예에 따른 보안 아키텍처를 갖는 SDN 네트워크를 도시한다.
도 2는 일 실시예에 따른 SDN 네트워크에서 사용을 위한 보안 방법을 도시한다.
도 3은 보안 아키텍처를 갖는 SDN 네트워크가 하나 이상의 실시예들에 따라 구현되는 프로세싱 플랫폼을 도시한다.
예시적인 실시예들이 예시적인 컴퓨팅 시스템들, 데이터 저장 시스템들, 통신 네트워크들, 프로세싱 플랫폼들, 시스템들, 사용자 디바이스들, 네트워크 노드들, 네트워크 엘리먼트들, 클라이언트들, 서버들, 및 연관된 통신 프로토콜들을 참조하여 본 명세서에 설명될 것이다. 예를 들어, 예시적인 실시예들은 특히 소프트웨어 정의 네트워킹(SDN) 환경에서 사용에 매우 적합하다. 그러나, 실시예들이 설명한 특정한 장치들과의 사용에 제한되는 것이 아니라, 통신 네트워크에서 향상된 보안에 대한 메커니즘들 및 방법들을 제공하는 것이 바람직한 임의의 환경에 더욱 일반적으로 적용가능하다는 것을 이해해야 한다.
상기 언급한 바와 같이, 기존의 보안 메커니즘들 및 방법들을 사용함으로써 다루어지지 않은 SDN 네트워크에서의 어려운 보안 문제들이 존재한다. 예시적인 실시예들은 이러한 어려운 보안 문제들을 다룬다.
예를 들어, 본 명세서에서 다루는 하나의 보안 문제는 SDN 제어기가 네트워크 정책들을 보안 방식으로 수신할 수 있게 하는 방법이다. 정책 작성기들(예를 들어, 애플리케이션들, 네트워크 관리자들, 및 관리 서버들)이 인증된다는 것을 SDN 제어기가 보증해야 한다는 것이 인식된다. 더욱이, 기밀성(confidentiality) 및 무결성(integrity)이 송신에서 이들 정책들에 대해 보장되어야 한다. 아래에서 더 설명하는 바와 같이, 예시적인 실시예들은 이들 보증들을 제공한다.
본 명세서에서 다루는 다른 보안 문제는 네트워크 정책들을 흐름 규칙들로 정확하게 변환하는 방법이다. 네트워크 정책들(이러한 경우에, 보안 정책들)이 정책 작성기들의 아이덴티티, 역할 및 보안 권한 레벨과 같은 속성들에 기초하여 흐름 규칙들로 정밀하게 변환되어야 한다는 것이 인식된다. 이러한 방식으로, 하나 이상의 보안 대처들(countermeasures)이 바이패스 없이 동작될 수 있다. 아래에서 더 설명하는 바와 같이, 예시적인 실시예들은 이러한 정밀한 변환을 제공한다.
본 명세서에서 다루는 또 다른 보안 문제는 패킷 데이터 스캔 검출을 구현하는 방법이다. 현재, SDN 사우스바운드(southbound) 인터페이스 구현들 중 하나의 일부로서 OpenFlow™ 프로토콜은 패킷 헤더 스캔 검출만을 지원한다. OpenFlow™ 스위치에서, 흐름들은 패킷 헤더들을 OpenFlow™ 테이블에서의 매치 필드들과 매칭함으로써 포워딩(forward)되거나 드롭(drop)된다. 그러나, 패킷 데이터 스캔 검출이 웜(worm) 및 스팸(spam) 정보와 같은 일부 공격들을 방지하기 위해 수행되어야 한다는 것이 인식된다. 아래에서 더 설명하는 바와 같이, 예시적인 실시예들은 이들 문제들을 다루는 패킷 스캔 검출을 제공한다.
본 명세서에서 다루는 다른 보안 문제는 기존(old) 흐름 규칙들과 충돌하는 새로운 흐름 규칙들을 처리하는 방법이다. 예를 들어, 스위치_1에서 작성될 새로운 흐름 규칙이 VLAN_ID_4를 갖는 패킷들이 포트 5로 포워딩되어야 한다는 것을 특정하는 것을 가정한다. 또한, 새로운 흐름 규칙은 VLAN_ID_4를 갖는 패킷들이 포트 6으로 포워딩되어야 한다는 것을 특정하는 스위치_1에서의 기존 흐름 규칙을 대체한다. 그러나, 기존 흐름 규칙은 패킷 스캔 검출을 강제로 행하기 위해 보안 관리자에 의해 작성되었다. 이러한 기존 흐름 규칙은 새로운 흐름 규칙으로 대체되어서는 안 된다. 아래에서 더 설명하는 바와 같이, 예시적인 실시예들은 이들 타입의 충돌 문제들을 다룬다.
본 명세서에서 다루는 또 다른 보안 문제는 SDN 제어기로부터 네트워크 스위치로 전송된 흐름 규칙들을 보안하는 방법이다. OpenFlow™ 프로토콜에서, 전송층 보안(TLS)이 전송을 보안하기 위해 사용될 수 있다는 것이 언급된다. 그러나, 어느 버전 및 암호 모음들(suites)이 사용될 수 있는 지와 같은 구현의 상세들은 논의되지 않는다. 아래에서 더 설명하는 바와 같이, 예시적인 실시예들은 이러한 문제를 다룬다.
본 명세서에서 다루는 다른 보안 문제는 새로운 공격들에 자동으로 그리고 즉시 반응하는 방법이다. 아래에서 더 설명하는 바와 같이, 예시적인 실시예들은 이러한 문제를 다룬다.
본 명세서에서 다루는 또 다른 보안 문제는 SDN 제어기의 실행 환경이 보안되는 것을 보장하는 방법이다. 논리적으로 집중된 SDN 제어기가 오퍼레이터들이 그들의 네트워크를 더욱 유연하게 프로그래밍할 수 있게 한다. 그러나, 이것은 단일 하이-값 애셋(asset)을 공격자들에게 노출시킬 수 있다. 보안 실행 환경에서 SDN 제어기를 배치함으로써 위협들 중 일부를 완화하는 것이 오퍼레이터들에게 중요하다. 아래에서 더 설명하는 바와 같이, 예시적인 실시예들은 이러한 문제를 다룬다.
예시적인 실시예들은 상기 및 다른 보안 문제들을 다루는 SDN 보안 아키텍처를 제공한다. 특히, 예시적인 실시예들은 이러한 보안 문제들을 다루기 위해 SDN 제어기에서 흐름 규칙들과 연관된 속성들을 소개한다. 일 실시예에서, 이들 보안 속성들은 (ⅰ) 네트워크 정책의 특징; (ⅱ) 정책 작성기의 역할; 및 (ⅲ) 역할의 보안 권한 레벨을 포함한다. 이들 3개의 보안 특징들 각각이 본 명세서에 예시적으로 설명한 바와 같이 개별 속성들로서 특정되지만, 보안 특징들 중 하나 이상이 하나의 속성으로서 함께 특정될 수 있다는 것을 이해해야 한다.
네트워크 정책의 특징 속성은 새로운 네트워크 정책들이 실시간 정책들이거나 일부 지연으로 실시될 수 있는지를 설명하기 위해 사용된다. 실시간 정책에 대해, 정책은 흐름 규칙들로 변환되어야 하고, 흐름 테이블들에서 업데이트되어야 하며, 그 후, 어떠한 지연도 없이 SDN 스위치들과 동기화되어야 한다. 이들 실시간 정책들은 보안 기기들(예를 들어, 방화벽, DPI, 및 IDP)에 의해 온라인으로 검출된 보안 공격들에 대해 반응할 수 있다. 일부 지연으로 동작될 수 있는 이들 정책들에 대해, 정책들은 흐름 규칙들로 변환되고, 흐름 테이블들에서 업데이트되며, 그 후, 시스템 성능을 향상시키기 위해 배치들(batches)에서 SDN 스위치들과 주기적으로 동기화된다.
정책 작성기 속성의 역할은 주어진 네트워크 정책을 작성하는 관리자/애플리케이션의 역할을 정의하기 위해 사용된다. 작성기의 역할은 보안 관리자, 일반 관리자, 사용자, 또는 게스트일 수 있다.
역할 속성의 보안 권한 레벨은 정책 작성기들의 상이한 역할들에 대한 상이한 보안 권한 레벨들을 특정하기 위해 사용된다. 최고로부터 최저까지의 계층 레벨들은 L5, L4, L3, L2, L1, 및 L0일 수 있다. 상대적으로 더 높은 보안 권한 레벨을 갖는 역할에는 SDN 제어기에 액세스하는 더 많은 권리들이 제공된다. 예를 들어, 상대적으로 낮은 보안 권한 레벨을 갖는 작성기에 의해 작성된 정책은 더 높은 레벨을 갖는 작성기에 의해 작성된 정책으로 대체된다. 하나의 예시적인 실시예에서, 역할들의 보안 권한 레벨들은 보안 관리자 - L5(최고); 일반 관리자 - L4; 사용자 - L2; 및 게스트 - L1과 같이 설정될 수 있다. 이러한 예시적인 실시예에서, 보안 권한 레벨들(L3 및 L0)에 대한 전용 역할이 존재하지 않는다는 것에 유의해야 한다. 그러나, 보안 권한 레벨들의 수량 및 할당은 개발자에게 공개되고 SDN 네트워크 설계의 특정 요구들에 기초하여 예시될 수 있다.
예시적인 실시예들은 향상된 흐름 테이블 관리 기능을 또한 제공한다. 이러한 기능은 새로운 흐름 규칙들이 기존 흐름 규칙들과 충돌하는 이벤트에서의 상황을 처리하기 위해 사용된다. 현재, OpenFlow™ 테이블에서의 흐름 엔트리는 기존 규칙을 생성하는 애플리케이션과 새로운 흐름 규칙을 생성하는 애플리케이션을 구별하지 않는다. 따라서, 애플리케이션 서버에 하이잭킹(hijacking)하는 공격자가 보안 검출을 바이패스하기 위해 새로운 흐름 규칙을 작성하여 보안 관리자에 의해 작성된 흐름 규칙을 대체하는 것이 가능하다. SDN 제어기에서 정의된 상기 3개의 새로운 속성들에 기초하여, 상기 언급한 보안 문제는, 높은 보안 권한 레벨을 갖는 보안 관리자에 의해 작성된 흐름 규칙이 낮은 보안 권한 레벨을 갖는 새로운 흐름 규칙으로 대체될 수 없기 때문에 해결될 수 있다.
예시적인 실시예들은 향상된 패킷 데이터 스캔 검출을 또한 제공한다. 현재의 OpenFlow™ 프로토콜 v1.4에 따르면, 패킷 데이터 스캔 검출의 하나의 가능한 스키마(schema)는, 스캔 검출을 위한 흐름의 각각 n개의 연속 패킷들로부터 m개의 연속 패킷들을 선택하는 것이다. 이러한 스키마는 모든 흐름들 또는 특정한 목적지로의 패킷들, 및 특정 가상 로컬 영역 네트워크(VLAN) 식별자를 갖는 패킷들과 같은, 일부 조건들을 충족하는 흐름만을 위해 설계될 수 있다. 예시적인 실시예들에 따르면, OpenFlow™ 프로토콜은 패킷 데이터 스캔 검출을 지원하기 위해 확장된다. 아래에 더 상세히 설명하는 새로운 액션(OFPAT_DETECTION)이 보안 관리 기능들에 의해 설정된 조건들을 충족하는 모든 흐름들에 할당된다.
예시적인 실시예들은 새로운 보안 공격들에 대한 자동 및 즉시 반응을 또한 제공한다. 예를 들어, 네트워크의 데이터 포워딩 평면에 배치된 보안 기기들(예를 들어, 방화벽, 침입 검출 시스템(IDS), 침입 방지 시스템(IPS), 심층 패킷 검사(DPI))이 보안 공격들을 검출할 수 있고 이 보안 공격들을 보안 관리 기능들에 보고할 수 있다. 이들 공격들에 대해 반응하기 위해, 보안 관리 기능들은 SDN 제어기에서 흐름 규칙들로 변환된 후 SDN 스위치들과 동기화되는 대처들을 즉시 정의한다. 그 후, 이들 공격 패킷들은 드롭되거나 이들을 네트워크 외부로 포워딩하기 이전에 추가 검출을 위해 보안 기기에 포워딩된다. 이러한 방식으로, SDN 제어기는 보안 공격들에 대해 자동으로 반응할 수 있다.
이제 도 1을 참조하면, 예시적인 실시예에 따른 SDN 네트워크(100)에 대한 보안 아키텍처가 도시되어 있다. 이러한 예시적인 실시예에서, 제1 SDN 제어기(102-1), 즉, OpenFlow™ 제어기_1이 도시되어 있다. SDN 제어기(102-1)는 제2 SDN 제어기(102-2), 즉, OpenFlow™ 제어기_2, 뿐만 아니라 복수의 SDN 스위치들(104-1(OpenFlow™ 스위치_1), 104-2(OpenFlow™ 스위치_2), 및 104-3(OpenFlow™ 스위치_3))에 동작가능하게 결합된다. 호스트 컴퓨팅 디바이스들(106-1(호스트 1) 및 106-2(호스트 2))이 SDN 스위치들에 동작가능하게 결합된다. 호스트 컴퓨팅 디바이스들은 예를 들어, 데이터 서버 또는 종단 사용자의 컴퓨터일 수 있다. SDN 네트워크(100)가 도 1에 예시적으로 도시되어 있는 것들보다 많거나 적은 제어기들, SDN 스위치들, 및/또는 호스트 컴퓨팅 디바이스들을 포함할 수 있다는 것을 이해해야 한다. 예를 들어, SDN 제어기(102-2) 및/또는 추가의 SDN 제어기들(명백히 도시되지 않음)은 추가의 호스트 컴퓨팅 디바이스들(명백히 도시되지 않음)에 연결되는 추가의 SDN 스위치들(명백히 도시되지 않음)을 안전하게 제어하기 위해 SDN 제어기(102-1)와 유사하게 구성될 수 있다.
SDN 네트워크(100)는 하나 이상의 보안 기기들(108)을 또한 포함한다. 상기 언급한 바와 같이, 이러한 보안 기기들은 방화벽(FW), DPI, IPS, 및/또는 IDS 기능들을 SDN 네트워크에 제공한다. 또한, SDN 네트워크(100)는 자동 보안 관리 모듈(110), 하나 이상의 일반 애플리케이션들(112), 부하 밸런스 모듈(114), 관리자 관리 모듈(116), 네트워크 보안 모니터(118), 및 하나 이상의 다른 서버들(119)을 포함한다.
SDN 제어기(102-1)는 상기 언급한 보안 기능들 중 하나 이상을 제공하도록 구성된다. 이러한 기능들을 제공하기 위해, SDN 제어기(102-1)는 정책 변환 모듈(122), 정책 모듈(124), 정책의 특징 속성 모듈(126), 정책 작성기의 역할 속성 모듈(128), 역할의 보안 권한 레벨 속성 모듈(130), 흐름 테이블 매니저(132), 흐름 테이블들(134), 규칙 동기화 모듈(136), 네트워크 보안 모니터 지원 모듈(138), 인증 및 인가 모듈(140), 무결성 및 기밀성 모듈(142), 시스템 보안 관리 모듈(144), 로그 및 감사 모듈(146), 및 신뢰 실행 환경(148)을 포함한다.
정책 모듈(124)은 그것의 이웃 인터페이스(즉, 모듈들(110, 112, 및 114)) 및 그것의 관리 인터페이스(즉, 모듈들(116 및 118))로부터 (네트워크 정책들, 이러한 경우에는, 보안 정책들을 포함하는) 하나 이상의 정책들을 수신하도록 구성된다. 수신된 정책들이 보안된다는 것을 보장하기 위해, 정책 작성기들(예를 들어, 자동 보안 관리 모듈(110), 일반 애플리케이션들(112), 부하 밸런스 모듈(114), 및 관리자 관리 모듈(116))이 SDN 제어기(102-1)의 모듈(140)에 의해 인증된다. 더욱이, 기밀성 및 무결성 체크가 전송에서 이들 정책들에 대해 모듈(142)에 의해 제공된다.
정책의 특징 속성 모듈(126)은 정책이 SDN 제어기(102-1)로부터 SDN 스위치들(104-1, 104-2, 및 104-3)로 실시간으로 또는 주기적으로 전송되는지 여부를 특정하도록 구성된다. 예를 들어, 속성은 어전트(urgent) 조건, 일반 조건, 또는 디폴트 조건을 특정할 수 있다. 속성 어전트는 이러한 정책이 스위치와 지연 없이 실시간으로 동기화되어야 한다는 것을 특정한다. 예를 들어, 정책은 보안 기기(108)의 방화벽 또는 DPI 기능에 의해 검출된 보안 공격들을 중단시키거나 완화시키기 위한 보안 대처일 수 있다.
정책 작성기의 역할 속성 모듈(128)은 정책 작성기의 역할을 특정하도록 구성된다. 상기 언급한 바와 같이, 정책 작성기들은 자동 보안 관리 모듈(110), 하나 이상의 일반 애플리케이션들(112), 부하 밸런스 모듈(114), 및 관리자 관리 모듈(116)일 수 있다. 따라서, 작성기의 역할 속성은 보안 관리자, 일반 관리자, 사용자, 또는 게스트로서 설정될 수 있다. 일례에서, 자동 보안 관리 모듈(110)의 역할은 보안 관리자이고, 부하 밸런스 모듈(114)의 역할은 일반 관리자이고, 하나 이상의 일반 애플리케이션들(112)의 역할은 사용자이며, 하나 이상의 제3자 애플리케이션(명백히 도시되지 않음)의 역할은 게스트이다.
역할의 보안 권한 레벨 속성 모듈(130)은 모듈(128)에 의해 설정된 각각의 역할에 제공된 보안 권한 레벨을 특정하도록 구성된다. 예로서 상기 언급한 바와 같이, 역할들의 보안 권한 레벨에 대한 속성은 보안 권한 레벨들(L5, L4, L3, L2, L1, 및 L0) 중 하나로 설정될 수 있고, L5가 최고 보안 권한 레벨이며 L0가 최저 보안 권한 레벨이다. 하나의 예시적인 실시예에서, 역할들의 보안 권한 레벨들은 보안 관리자 - L5(최고); 일반 관리자 - L4; 사용자 - L2; 및 게스트 - L1과 같이 설정될 수 있다. 더 높은 보안 권한 레벨을 갖는 역할에는 SDN 제어기에 액세스하는 더 많은 권리들이 제공된다. 예를 들어, 게스트의 작성기 역할에 의해 작성된 정책이 보안 관리자의 작성기 역할에 의해 작성된 정책으로 대체된다.
정책 변환 모듈(122)에서, 보안 정책들이 새로운 흐름 규칙들로 컨버팅된다. 즉, 모듈(122)은 아래에서 더 설명하는 바와 같이, 노스바운드(northbound) 인터페이스 및/또는 관리 인터페이스로부터 수신된 정책을 정책의 특징, 정책 작성기의 역할, 및 보안 권한 레벨 속성들과 조합된 새로운 흐름 규칙들로 컨버팅(변환)하도록 구성된다.
흐름 테이블 매니저(132)는 흐름 테이블들(134)에서 흐름 엔트리들의 탐색, 추가, 업데이팅, 및 삭제를 관리하도록 구성된다. 흐름 테이블 매니저(132)는 새로운 흐름 규칙들이 흐름 테이블들(134)에 정확하게 삽입되었다는 것을 확인한다. 예를 들어, 특정된 데이터 흐름에 대해, 흐름 테이블 매니저(132)는 새로운 흐름 규칙이 새로운 흐름 규칙들을 삽입하기 이전에 기존(이전의) 흐름 규칙과 충돌하는지를 체크한다. 그러한 경우에, 상대적으로 높은 보안 권한 레벨을 갖는 작성기에 의해 설정된 새로운 흐름 규칙들만이 상대적으로 낮은 보안 권한 레벨을 갖는 작성기에 의해 설정된 충돌하는 기존 흐름 규칙들을 대체하는 것이 허용된다.
흐름 테이블들(134)은 SDN 스위치들(104-1, 104-2, 및 104-3)에 대한 흐름 규칙들을 저장한다.
규칙 동기화 모듈(136)은 모듈(126)에 의해 특정된 속성에 의존하여, 새로운 규칙들을 SDN 스위치들(104-1, 104-2, 및 104-3)과 주기적으로 또는 실시간으로 동기화한다. SDN 제어기(102-1)와 소정의 SDN 스위치 사이의 통신의 성능을 향상시키기 위해, 속성들 "일반" 또는 "디폴트"를 갖는 흐름 규칙들이 주기적으로 동기화된다. 그러나, 속성 "어전트"를 갖는 규칙들은, 이들 흐름 규칙들이 흐름 테이블들로 삽입되자 마자 스위치들에 푸쉬된다.
네트워크 보안 모니터 지원 모듈(138)은 특히, 보안 문제들에 관하여, 전체 SDN 네트워크를 모니터링하는데 있어서 관리자들을 지원하도록 구성된다. 예를 들어, 보안 관리자가 네트워크 보안 모니터(118)를 통해 특정된 데이터 흐름에 대한 보안 정책에 관한 상세들을 알기를 원한다고 가정한다. 네트워크 보안 모니터(118)는 네트워크 보안 모니터 지원 모듈(138)에 요청을 전송한다. 네트워크 보안 모니터 지원 모듈(138)은 흐름 테이블들(134)로부터 관련 정보(예를 들어, 흐름 규칙들, 흐름 규칙 생성기들 등)를 검색하고, 검색된 정보를 분석하며, 네트워크 보안 모니터(118)에 응답한다. 네트워크 보안 모니터(118)는 리포트를 생성하고 리포트를 보안 관리자에게 디스플레이한다.
인증 및 인가 모듈(140)은 SDN 네트워크(100)에 대한 상호 인증, 인증 및 인가 메커니즘들을 제공하도록 구성된다. 예를 들어, 모듈(140)은 사우스바운드 인터페이스를 통한 SDN 제어기(102-1)와 SDN 스위치들(104-1, 104-2, 및 104-3) 각각 사이; 노스바운드 인터페이스를 통한 SDN 제어기(102-1)와 하나 이상의 일반 애플리케이션들(112) 사이; 및 관리 인터페이스를 통한 SDN 제어기(102-1)와 관리자 관리 모듈(116) 및 네트워크 보안 모니터(118) 사이의 상호 인증을 제공한다. 인증 메커니즘들은 사용자네임/패스워드, 사전공유 키들, 인증서들 등의 검증을 포함하지만, 이에 제한되지 않는다. 인가 메커니즘들은 블랙/화이트 리스트, 액세스 제어 리스트들(ACL), 및 역할 기반 액세스 제어(RBAC)에 대한 검증을 포함하지만, 이에 제한되지 않는다.
무결성 및 기밀성 모듈(142)은 암호화/암호해독, 디지털 서명, 전송층 보안(TLS), 및 인터넷 프로토콜 보안(IPsec)을 포함하지만, 이에 제한되지 않는 기능들을 제공하도록 구성된다.
시스템 보안 관리 모듈(144)은 소프트웨어 패치들의 설치, 서비스 거부(DoS) 공격 검출 및 방지, 및 항바이러스(anti-virus) 및 멀웨어 검출 및 방지를 포함하지만, 이에 제한되지 않는 기능들을 제공하도록 구성된다.
로그 및 감사 모듈(146)은 관리자 활동(예를 들어, 로그인 활동, 파일 액세스들, 명령 구동 등)을 캡처하는 것 및 보안 정책 작성기 활동(예를 들어, 보안 정책을 설정하는 시간, 작성기, 작성기의 역할 등)을 캡처하는 것을 포함하지만, 이에 제한되지 않는 기능들을 제공하도록 구성된다.
신뢰 실행 환경(148)은 감지 데이터(예를 들어, SDN 제어기 운영 시스템, 소프트웨어, 흐름 테이블들, 보안 정책의 특징, 보안 정책의 작성기의 역할, 보안 정책의 작성기의 역할의 보안 권한 레벨, 인증 자격증명(credentials), 및 인가 정책들)가 신뢰 환경에서 저장되고, 프로세싱되며, 보호되는 것을 보장하도록 구성된다.
도 1의 문맥에서 상술한 SDN 네트워크(100)의 예시적인 보안 아키텍처를 가정하면, 이제 실시예들에 따라 다루어지는 4개의 보안 시나리오를 더 상세히 설명할 것이다.
시나리오 1: SDN 제어기(102-1)가 정책들을 새로운 규칙들로 변환하고 나서 SDN 스위치들(104-1, 104-2, 및 104-3)로 어떻게 변환하는가. 자동 보안 관리 모듈(110)이 호스트_1(106-1)로부터 호스트_2(106-2)로의 데이터 흐름들이 OpenFlow™ 스위치_2(104-2)를 통과하고 데이터 흐름들이 데이터 검출을 위해 보안 기기(108)(예를 들어, 방화벽)에 복사되고 포워딩되는 정책을 설정한다는 것을 가정한다. 이것은 넌-바이패스(non-bypass) 보안 정책이다. SDN 네트워크(100)에서 구현된 이러한 정책의 절차들은 다음과 같다:
1.1) 자동 보안 관리 모듈(110)이 정책을 SDN 제어기(102-1)에 전송하기 이전에, 이들 사이의 상호 인증이 수행된다. 인증 메커니즘들은 a) 인증서; b) 사전-공유키; c) 사용자네임/패스워드; 및 d) 물리층 보안 보호 중 하나 이상일 수 있다. 성공적인 상호 인증 이후에, 자동 보안 관리 모듈(110)과 SDN 제어기(102-1) 사이의 세션 키가 획득된다.
1.2) 자동 보안 관리 모듈(110)이 이러한 정책을 기밀성(암호화) 및 무결성 보호(메시지/데이터 서명)를 갖는 SDN 제어기(102-1)에 전송한다. 기밀성 키 및 무결성 키가 상기 단계 1.1)에서 획득된 세션 키로부터 생성된다.
1.3) 자동 보안 관리 모듈(110)이 행하는 것과 동일한 방식으로 생성된 키들을 사용한 데이터 무결성 검증 및 암호해독 이후에, SDN 제어기(102-1)는 자동 보안 관리 모듈(110)로부터 이러한 정책을 얻는다. SDN 제어기(102-1)는 자동 보안 관리 모듈(110)이 SDN 네트워크(100)에 대한 정책들을 설정할 권리를 갖는지(모듈(110)이 인가를 갖는다는 것을 의미함)를 체크한다. 예를 들어, 이러한 정책은, 자동 보안 관리 모듈(110)이 블랙 리스트에 있거나 정책들을 설정할 이러한 권리를 갖지 않으면 드롭된다. 인증, 인가, 무결성 검증, 및/또는 기밀성 검증은 SDN 제어기와 정책 작성기 사이의 통신 채널이 보안 통신 채널인 것으로 알려진 경우에는 수행되지 않는다는 것을 이해해야 한다.
1.4) SDN 제어기(102-1)는 이러한 정책을 아래의 추가의 속성들을 갖는 흐름 규칙으로 변환한다:
Figure pct00001
정책의 특징: 실시간(이러한 정책이 어떠한 지연도 없이 네트워크에 적용되어야 한다는 것을 의미함);
Figure pct00002
정책 작성기의 역할: 보안 관리자; 및
Figure pct00003
역할의 보안 권한 레벨: L5(최고 레벨).
따라서, SDN 제어기(102-1)에서의 현재 흐름 테이블 포맷은 적어도 상기 3개의 속성들을 반영하기 위해 확장된다. 그러나, SDN 스위치들(104-1, 104-2, 및 104-3) 중 임의의 것에서 흐름 테이블의 포맷에서의 변화가 없다.
1.5) 흐름 테이블 매니저(132)는 (예를 들어, 소스 인터넷 프로토콜(IP) 어드레스/포트 및 목적지 IP 어드레스/포트에 의해 식별된) 특정된 데이터 흐름에 대한 현재 흐름 테이블들(134)에서 기존의 또는 가용 흐름 규칙이 존재하는지를 체크하기 위해 트리거링된다. 호스트_1(106-1)로부터 호스트_2(106-2)로의 데이터 흐름에 대한 흐름 규칙은 존재하지 않는다는 것이 가정된다. 흐름 테이블 매니저(132)는 이러한 흐름 규칙을 흐름 테이블들(134)에 추가한다.
1.6) 규칙 동기화기 모듈(136)은 (이러한 흐름 규칙의 특징이 실시간으로 설정되기 때문에) 이러한 흐름 규칙을 어떠한 지연도 없이 관련 SDN 스위치들(104-1, 104-2, 및/또는 104-3)에 분포하기 위해 트리거링된다. 새로운 흐름 규칙들을 수신하기 이전에, 각각의 SDN 스위치는 SDN 제어기(102-1)와 상호 인증한다. 인증 메커니즘들은 a) 인증서; b) 사전-공유키; c) 사용자네임/패스워드; 및 d) 물리층 보안 보호 중 하나 이상일 수 있다. 성공적인 상호 인증 이후에, 각각의 SDN 스위치와 SDN 제어기 사이의 세션 키가 획득된다. 이러한 세션 키는 SDN 제어기로부터 각각의 SDN 스위치로 전송된 새로운 흐름 규칙에 대한 기밀성 및 무결성 보호를 제공하기 위해 사용된다. 인증, 인가, 무결성 검증, 및/또는 기밀성 검증은 SDN 제어기와 SDN 스위치 사이의 통신 채널이 보안 통신 채널인 것으로 알려진 경우에는 수행되지 않는다는 것을 이해해야 한다.
1.7) SDN 제어기(102-1)가 행하는 것과 동일한 방식으로 생성된 키들을 사용하여 데이터 무결성 및 암호해독을 체크한 이후에, 각각의 SDN 스위치는 이러한 새로운 흐름 규칙을 획득하고 흐름 테이블에 추가한다.
그 후, 호스트_1(106-1)로부터 호스트_2(106_2)로의 데이터 흐름이 자동 보안 관리 모듈(110)에 의해 설정된 이러한 새로운 정책에 따라 송신된다.
시나리오 2: SDN 제어기(102-1)가 기존 흐름 규칙들과 충돌하는 새로운 흐름 규칙들을 어떻게 처리하는가. 일반 애플리케이션(112)이 호스트_1(106-1)로부터 호스트_2(106-2)로의 데이터 흐름들이 더 높은 서비스 품질(QoS)을 위해 OpenFlow™ 스위치_1(104-1)로부터 OpenFlow™ 스위치_3(104-3)으로 가는 정책을 설정하는데, 그 이유는 이러한 경로가 짧기 때문이다. SDN 네트워크(100)에서 구현된 이러한 정책의 절차들은 다음과 같다:
2.1) 시나리오 1에서의 단계 1.1)과 동일.
2.2) 시나리오 1에서의 단계 1.2)와 동일.
2.3) 시나리오 1에서의 단계 1.3)과 동일.
2.4) SDN 제어기(102-1)는 이러한 정책을 아래의 추가의 속성들을 갖는 (제2 새로운 흐름 규칙이라 칭하는) 새로운 흐름 규칙으로 변환한다:
Figure pct00004
정책의 특징: 실시간;
Figure pct00005
정책 작성기의 역할: 사용자; 및
Figure pct00006
역할의 보안 권한 레벨: L2
2.5) 흐름 테이블 매니저(132)는 특정된 데이터 흐름(호스트_1로부터 호스트_2로의 데이터 흐름)에 대한 현재 흐름 테이블들(134)에서 기존의 또는 가용 흐름 규칙이 존재하는지를 체크하기 위해 트리거링된다. 이제, 흐름 테이블 매니저(132)는 흐름 테이블들(134)에서 특정된 데이터 흐름(호스트_1로부터 호스트_2로의 데이터 흐름)에 대한 기존의 흐름 규칙(시나리오 1에서 생성된 제1 새로운 흐름 규칙)이 존재하는지 여부를 결정한다. 그 후, 흐름 테이블 매니저(132)는 제1 새로운 흐름 규칙의 보안 권한 레벨이 제2 새로운 흐름 규칙의 보안 권한 레벨보다 높은지를 체크하고 결정한다. 따라서, 제2 새로운 흐름 규칙이 드롭된다. 실패 통지가 SDN 제어기(102-1)에 의해 일반 애플리케이션(112)에 전송된다.
따라서, 자동 보안 관리에 의해 설정된 넌-바이패스 보안 정책은 일반 애플리케이션에 의해 설정된 QoS 정책에 의해 덮어써지지 않는다.
시나리오 3: SDN 제어기(102-1)가 어떻게 새로운 보안 공격들에 자동으로 그리고 즉시 반응하는가. 이제 도 2의 방법(200)을 참조하면, 절차들이 아래와 같이 설명될 수 있다:
1) 단계(202)에서, 하나 이상의 보안 기기들(108)이 보안 사건들을 검출하여, 자동 보안 관리 모듈(110)에 보고한다.
2) 단계(204)에서, 자동 보안 관리 모듈(110)은 사건 보고를 수신하여 분석한다. 그 후, 자동 보안 관리 모듈(110)은 그 분석으로부터 학습된 지식에 기초하여 대처들 및 보안 정책들을 생성한다. 이들 보안 정책들은 SDN 제어기(102-1)에 전송된다.
3) 단계(204)에서, SDN 제어기(102-1)는 이들 보안 정책들을 수신하여, 새로운 흐름 규칙들로 변환한다. 이들 흐름 규칙들은 SDN 스위치들(206-1, 206-2, ..., 206-n)에 전달된다.
4) SDN 스위치들(206-1, 206-2, ... , 206-n)은 단계 1에서 언급한 보안 사건들 또는 위협들이 완화되거나 중단될 수 있도록 새로운 흐름 규칙들에 따라 흐름들을 처리한다(SDN 제어기에 포워딩하거나, 드롭하거나, 보고한다).
시나리오 4: 패킷 스캔 검출. 관리자 관리 모듈(116)이, 호스트_1로부터 호스트_2로의 흐름의 각각의 n개의 연속 패킷으로부터의 제1 m개의 연속 패킷이 데이터 검출을 위해 보안 기기들(108)(예를 들어, FW, DPI, IPS, IDS) 중 하나 이상으로 복사되고 포워딩되어야 한다는 정책을 작성한다는 것을 가정한다. SDN 네트워크(100)에서 구현된 이러한 정책의 절차들은 다음과 같다:
4.1) 시나리오 1에서의 단계 1.1)과 동일.
4.2) 시나리오 1에서의 단계 1.2)과 동일.
4.3) 시나리오 1에서의 단계 1.3)과 동일.
4.4) SDN 제어기(102-1)는 이러한 정책을 아래의 추가의 속성들을 갖는 (제2 새로운 흐름 규칙이라 칭하는) 새로운 흐름 규칙으로 변환한다:
Figure pct00007
정책의 특징: 주기적;
Figure pct00008
정책 작성기의 역할: 일반 관리자;
Figure pct00009
역할의 보안 권한 레벨: L4
Figure pct00010
조건들: 호스트_1로부터 호스트_2로의 데이터 흐름; 및
Figure pct00011
패턴들: 흐름의 각각의 n개의 연속 패킷으로부터 m개의 연속 패킷을 선택
따라서, 시나리오 4에서, SDN 제어기(102-1)에서의 현재 흐름 테이블 포맷은 적어도 상기 5개의 속성을 반영하기 위해 확장된다. 최종 속성, 즉, 패턴들이 SDN 스위치에서 흐름 테이블의 포맷에 반영될 수 있다.
그러나, 새로운 액션(OFPAT_DETECTION)이 상기 조건들을 충족하는 흐름에 할당된다.
4.5) 시나리오 1에서의 단계 1.5)과 동일.
4.6) 시나리오 1에서의 단계 1.6)과 동일하고, 하나의 차이점은 이러한 정책의 특징이 실시간이 아니라 주기적이라는 것이다.
4.7) 시나리오 1에서의 단계 1.7)과 동일.
예시적인 실시예에서, 일부 변화들이 SDN 스위치에서 구현될 수 있다. 예를 들어, 카운터가 패킷 수들을 카운팅하기 위해 사용되며, 패턴 속성이 흐름 테이블들의 포맷에 추가된다.
하나의 예시적인 실시예에서, 일부 변화들이 하나 이상의 실시예들을 구현하기 위해, 그 개시내용이 참조로 전체적으로 본원에 통합되는 ONF 사양 "OpenFlow™ Switch Specification version 1.4"에서 이루어질 수 있다. 더욱 구체적으로, ONF 사양의 단락 5.12 및 7.2.4는 후술하는 바와 같이 변경될 수 있다.
섹션 "5.12 액션들"에 대해, 옵션의 액션이 다음과 같이 추가될 수 있다:
옵션의 액션: 검출 액션은 패킷을 특정된 OpenFlow™ 포트로 포워딩하고 나서, 보안 기기들(예를 들어, FW, IDP, DPI 등)로 포워딩한다.
섹션 "7.2.4 액션 구조들"에 대해, 액션 구조가 다음과 같이 변화될 수 있다:
Figure pct00012
새로운 액션, 즉, 검출 액션은 아래의 구조 및 필드들을 사용한다:
Figure pct00013
이제 도 3으로 가면, 하나 이상의 실시예들에 따라 SDN 네트워크 및 보안 아키텍처(예를 들어, 도 1의 100)가 구현되는 프로세싱 플랫폼이 도시되어 있다. 본 실시예에서의 프로세싱 플랫폼(300)은 302-1, 302-2, 302-3, ..., 302-P로 표기된 복수의 프로세싱 디바이스들을 포함하고, 이들은 네트워크(304)를 통해 서로 통신한다. 따라서, SDN 네트워크(100)의 컴포넌트들 및/또는 모듈들(예를 들어, SDN 제어기들, SDN 스위치들, 호스트 컴퓨팅 디바이스들, 보안 기기들, 및 다양한 모듈들) 중 하나 이상이, 각각이 본원에서 "프로세싱 디바이스"로서 더욱 일반적으로 지칭되는 것의 예로서 보여질 수 있는 하나 이상의 컴퓨터들 또는 다른 프로세싱 플랫폼 엘리먼트들 상에서 각각 구동될 수 있다. 도 3에 예시되어 있는 바와 같이, 이러한 디바이스는 일반적으로, 적어도 하나의 프로세서 및 연관된 메모리를 포함하고, 본원에 설명한 시스템들 및 방법들의 특징들을 예시하고 그리고/또는 제어하는 하나 이상의 기능 모듈들을 구현한다. 다중의 엘리먼트들 또는 모듈들이 소정의 실시예에서 단일 프로세싱 디바이스에 의해 구현될 수 있다.
프로세싱 플랫폼(300)에서의 프로세싱 디바이스(302-1)는 메모리(312)에 결합된 프로세서(310)를 포함한다. 프로세서(310)는 마이크로프로세서, 마이크로제어기, 응용 주문형 집적 회로(ASIC), 필드 프로그램가능한 게이트 어레이(FPGA) 또는 다른 타입의 프로세싱 회로, 뿐만 아니라 이러한 회로 엘리먼트들의 일부 또는 조합을 포함할 수 있다. 본원에 개시된 바와 같은 시스템의 컴포넌트들은 메모리에 저장되고 프로세서(310)와 같은 프로세싱 디바이스의 프로세서에 의해 실행된 하나 이상의 소프트웨어 프로그램들의 형태로 적어도 부분적으로 구현될 수 있다. 이러한 프로그램 코드가 수록된 메모리(312)(또는 다른 저장 디바이스)는 본원에서 프로세서-판독가능 저장 매체로서 더욱 일반적으로 지칭되는 것의 예이다. 이러한 프로세서-판독가능 저장 매체를 포함하는 제조 물품들이 실시예들로 고려된다. 소정의 이러한 제조 물품은 예를 들어, 저장 디스크, 저장 어레이 또는 메모리를 포함하는 집적 회로와 같은 저장 디바이스를 포함할 수 있다. 본원에 사용되는 바와 같은 용어 "제조 물품"은 일시적, 전파하는 신호들을 배제하는 것으로 이해되어야 한다.
또한, 메모리(312)는 임의의 조합으로, 랜덤 액세스 메모리(RAM), 판독-전용 메모리(ROM) 또는 다른 타입의 메모리와 같은 전자 메모리를 포함할 수 있다. 하나 이상의 소프트웨어 프로그램들은, 프로세싱 디바이스(302-1)와 같은 프로세싱 디바이스에 의해 실행될 때, 디바이스로 하여금 시스템/방법(300)의 컴포넌트들/단계들 중 하나 이상과 연관된 기능들을 수행하게 한다. 본 기술분야의 통상의 기술자는 본원에 제공된 교시들을 고려하여 이러한 소프트웨어를 쉽게 구현할 수 있다. 프로세서-판독가능 저장 매체 수록 실시예들의 다른 예들은 예를 들어, 광학 또는 자기 디스크들을 포함할 수 있다.
프로세싱 디바이스를 네트워크(304) 및 다른 시스템 컴포넌트들과 인터페이스하기 위해 사용되는 네트워크 인터페이스 회로(314)가 프로세싱 디바이스(302-1)에 또한 포함된다. 이러한 회로는 종래 기술에 널리 공지된 타입의 종래의 트랜시버들을 포함할 수 있다.
프로세싱 플랫폼(300)의 다른 프로세싱 디바이스(302)는 도면에서 프로세싱 디바이스(302-1)에 대해 도시된 바와 유사한 방식으로 구성되는 것으로 가정된다.
도 3에 도시된 프로세싱 플랫폼(300)은 배치 프로세싱 시스템들, 병렬 프로세싱 시스템들, 물리적 머신들, 가상 머신들, 가상 스위치들, 저장 볼륨들, 논리 유닛들 등과 같은 추가의 공지된 컴포넌트들을 포함할 수 있다. 다시, 도 3에 도시된 특정한 프로세싱 플랫폼은 단지 예로서 제시되며, 도 1의 SDN 네트워크(100)는 추가의 또는 대안의 프로세싱 플랫폼들, 뿐만 아니라 임의의 조합의 다수의 개별 프로세싱 플랫폼들을 포함할 수 있다.
또한, 서버들, 컴퓨터들, 저장 디바이스들 또는 다른 컴포넌트들의 다수의 다른 배열들이 가능하다. 이러한 컴포넌트들은 광역 네트워크(WAN), 로컬 영역 네트워크(LAN), 위성 네트워크, 전화 또는 케이블 네트워크, 저장 네트워크, 통합 네트워크 또는 이들 또는 다른 타입의 네트워크들의 다양한 부분들 또는 조합들과 같은 임의의 타입의 네트워크를 통해 시스템의 다른 엘리먼트들과 통신할 수 있다.
또한, 도 3의 프로세싱 플랫폼(300)은 하이퍼바이저(hypervisor)를 사용하여 구현된 가상 머신들(VMs)을 포함할 수 있다. 하이퍼바이저는 "가상화 인프라구조"로서 본원에서 더욱 일반적으로 지칭되는 것의 예이다. 하이퍼바이저는 물리적 인프라구조상에서 구동한다. 프로세싱 플랫폼(300)은, 각각이 자체의 물리적 인프라구조상에서 구동하는 다중의 하이퍼바이저들을 또한 포함할 수 있다. 널리 공지되어 있는 바와 같이, VM들은 하나 이상의 물리적 프로세싱 엘리먼트들(예를 들어, 서버들, 컴퓨터들, 프로세싱 디바이스들)상에서 예시될 수 있는 논리 프로세싱 엘리먼트들이다. 즉, VM은 물리적 머신과 같이 프로그램들을 실행하는 머신(즉, 컴퓨터)의 소프트웨어 구현을 일반적으로 지칭한다. 따라서, 상이한 VM들이 동일한 물리적 컴퓨터상에서 상이한 운영 시스템들 및 다중의 애플리케이션들을 구동할 수 있다. 가상화는 물리적 컴퓨터의 하드웨어 자원들을 동적으로 그리고 투명하게 할당하기 위해 컴퓨터 하드웨어의 상부에 직접 삽입되는 하이퍼바이저에 의해 구현된다. 하이퍼바이저는 단일의 물리적 컴퓨터상에서 동시에 구동하고 하드웨어 자원들을 서로 공유하기 위한 다중의 운영 시스템들에 대한 능력을 부여한다.
특정한 예시적인 실시예들이 특정한 통신 프로토콜들을 활용하는 통신 네트워크들의 문맥에서 본원에 설명되지만, 다른 타입의 네트워크들이 다른 실시예들에서 사용될 수 있다. 따라서, 상기 언급한 바와 같이, 본원에 사용된 바와 같은 용어 "네트워크"는 넓게 해석되는 것으로 의도된다. 또한, 상술한 실시예들이 단지 예시 목적이고, 어떠한 방식으로든 제한하는 것으로 해석되지 않아야 한다는 것이 강조되어야 한다. 다른 실시예들이 부하 밸런싱 기능을 구현하는 상이한 타입의 네트워크, 디바이스 및 모듈 구성들, 및 대안의 통신 프로토콜들, 프로세스 단계들 및 동작들을 사용할 수 있다. 네트워크 노드들이 통신하는 특정한 방식이 다른 실시예들에서 변할 수 있다. 또한, 예시적인 실시예들을 설명하는 문맥에서 이루어진 특정한 가정들이 본 발명의 요건들로서 해석되지 않아야 한다는 것을 이해해야 한다. 본 발명은 이들 특정한 가정들이 적용되지 않는 다른 실시예들에서 구현될 수 있다. 첨부한 청구항들의 범위 내의 이들 및 다수의 다른 대안의 실시예들이 본 기술분야의 통상의 기술자에게 용이하게 명백할 것이다.

Claims (23)

  1. 방법으로서,
    소프트웨어 정의 네트워크(software defined network)의 제어기에서, 정책 작성기(policy creator)로부터 적어도 하나의 보안 정책을 획득하는 단계; 및
    상기 제어기를 통해, 상기 보안 정책의 특징, 상기 보안 정책의 작성기의 역할, 및 상기 보안 정책의 작성기의 역할의 보안 권한 레벨(security privilege level)을 특정하는 하나 이상의 속성들에 기초하여 상기 소프트웨어 정의 네트워크에서 상기 보안 정책을 구현하는 단계
    를 포함하고,
    상기 단계들 중 하나 이상은 프로세싱 디바이스에 의해 수행되는, 방법.
  2. 제1항에 있어서, 상기 보안 정책의 특징은, 상기 보안 정책이 상기 소프트웨어 정의 네트워크에서 구현되는 방식을 특정하는, 방법.
  3. 제2항에 있어서, 상기 보안 정책이 상기 소프트웨어 정의 네트워크에서 구현되는 방식은 실시간 구현을 포함하는, 방법.
  4. 제2항에 있어서, 상기 보안 정책이 상기 소프트웨어 정의 네트워크에서 구현되는 방식은 주기적 구현을 포함하는, 방법.
  5. 제2항에 있어서, 상기 보안 정책의 특징은 어전트(urgent), 일반, 및 디폴트 중 하나인, 방법.
  6. 제1항에 있어서, 상기 보안 정책의 작성기의 역할은 상기 보안 정책의 작성기에 할당된 네트워크 역할을 특정하는, 방법.
  7. 제6항에 있어서, 상기 보안 정책의 작성기의 역할은 보안 관리자, 일반 관리자, 사용자, 및 게스트 중 하나인, 방법.
  8. 제1항에 있어서, 상기 보안 정책의 작성기의 역할의 상기 보안 권한 레벨은 상기 정책 작성기에 할당가능한 각각의 상이한 역할에 대한 상이한 계층 보안 권한 레벨을 특정하는, 방법.
  9. 제8항에 있어서, 제1 역할에 할당된 상기 보안 권한 레벨이 제2 역할에 할당된 상기 보안 권한 레벨보다 계층적으로 낮다는 조건하에서, 상기 제2 역할과 연관된 보안 정책은 상기 제1 역할과 연관된 보안 정책에 대해 구현 우선순위를 갖는, 방법.
  10. 제9항에 있어서, 상기 제1 역할에 할당된 상기 보안 권한 레벨이 제2 역할에 할당된 상기 보안 권한 레벨보다 계층적으로 높다는 조건하에서, 상기 제1 역할과 연관된 보안 정책은 상기 제2 역할과 연관된 상기 보안 정책에 대해 구현 우선순위를 갖는, 방법.
  11. 제1항에 있어서, 상기 정책 작성기로부터 적어도 하나의 보안 정책을 획득하는 단계는, 상기 제어기가 상기 정책 작성기와 인증 동작(authentication operation), 인가 동작(authorization operation), 무결성 검증 동작(integrity validation operation), 및 기밀성 검증 동작(confidentiality validation operation) 중 적어도 하나를 수행하는 단계를 더 포함하는, 방법.
  12. 제11항에 있어서, 상기 정책 작성기로부터 적어도 하나의 보안 정책을 획득하는 단계는, 상기 제어기가 상기 인증 동작, 상기 인가 동작, 상기 무결성 검증 동작, 및 상기 기밀성 검증 동작 중 적어도 하나가 실패라는 조건하에서 상기 보안 정책을 드롭(drop)하는 단계를 더 포함하는, 방법.
  13. 제1항에 있어서, 상기 보안 정책을 구현하는 단계는, 상기 제어기가 상기 보안 정책의 특징, 상기 보안 정책의 작성기의 역할, 및 상기 보안 정책의 작성기의 역할의 보안 권한 레벨을 특정하는 하나 이상의 속성들에 기초하여 상기 보안 정책을 적어도 하나의 흐름 규칙(flow rule)으로 변환(translating)하는 단계를 더 포함하는, 방법.
  14. 제13항에 있어서, 상기 보안 정책을 구현하는 단계는, 상기 제어기가 상기 보안 정책으로부터 변환된 상기 흐름 규칙과 흐름 테이블(flow table)에서의 기존의 흐름 규칙 사이에 충돌이 존재하는지를 결정하는 단계를 더 포함하는, 방법.
  15. 제14항에 있어서, 상기 보안 정책을 구현하는 단계는, 상기 제어기가 상기 보안 정책의 작성기의 역할의 상기 보안 권한 레벨에 기초하여, 상기 보안 정책으로부터 변환된 상기 흐름 규칙과 상기 흐름 테이블에서의 상기 기존의 흐름 규칙 사이의 충돌을 해결하는 단계를 더 포함하는, 방법.
  16. 제13항에 있어서, 상기 보안 정책을 구현하는 단계는, 상기 제어기가 흐름 테이블을 상기 보안 정책으로부터 변환된 흐름 규칙으로 업데이트하는 단계를 더 포함하는, 방법.
  17. 제13항에 있어서, 상기 보안 정책을 구현하는 단계는, 상기 제어기가 상기 보안 정책으로부터 변환된 흐름 규칙을 상기 소프트웨어 정의 네트워크에서의 하나 이상의 스위치들에 분배하여, 상기 하나 이상의 스위치들이 상기 흐름 규칙에 따라 상기 소프트웨어 정의 네트워크에서 데이터 흐름을 유발하게 하는 단계를 더 포함하는, 방법.
  18. 제17항에 있어서, 상기 보안 정책을 구현하는 단계는, 상기 제어기가 상기 흐름 규칙을 하나 이상의 스위치들에 분배하기 이전에 상기 하나 이상의 스위치들과 인증 동작, 무결성 검증 동작, 및 기밀성 검증 동작 중 적어도 하나를 수행하는 단계를 더 포함하는, 방법.
  19. 제1항에 있어서, 상기 획득된 보안 정책은 상기 소프트웨어 정의 네트워크의 보안 기기(security appliance)에 의해 검출된 새로운 보안 위협(security threat)에 응답하여 개발된 보안 정책인, 방법.
  20. 제1항에 있어서, 상기 획득된 보안 정책은 패킷 스캔 검출 명령어(packet scan detection instruction)를 포함하는, 방법.
  21. 제20항에 있어서, 상기 보안 정책을 구현하는 단계는, 상기 제어기가 데이터 흐름 조건 및 패킷 스캔 패턴에 기초하여 상기 패킷 스캔 검출 명령어를 갖는 상기 보안 정책을 흐름 규칙으로 변환하여, 변환된 흐름 규칙이 분배되는 상기 소프트웨어 정의 네트워크에서의 하나 이상의 스위치들에게 상기 스위치들을 통과하는 하나 이상의 특정된 패킷들을 상기 소프트웨어 정의 네트워크에서의 보안 기기에 포워딩하도록 명령하게 하는 단계를 더 포함하는, 방법.
  22. 실행가능 프로그램 코드가 구현된 프로세서-판독가능 저장 매체를 포함하는 제조 물품으로서, 상기 실행가능 프로그램 코드는 프로세싱 디바이스에 의해 실행될 때, 상기 프로세싱 디바이스로 하여금:
    소프트웨어 정의 네트워크의 제어기에서, 정책 작성기로부터 적어도 하나의 보안 정책을 획득하는 단계; 및
    상기 제어기를 통해, 상기 보안 정책의 특징, 상기 보안 정책의 작성기의 역할, 및 상기 보안 정책의 작성기의 역할의 보안 권한 레벨을 특정하는 하나 이상의 속성들에 기초하여 상기 소프트웨어 정의 네트워크에서 상기 보안 정책을 구현하는 단계를 수행하게 하는, 제조 물품.
  23. 장치로서,
    메모리; 및
    상기 메모리에 동작가능하게 결합되어 소프트웨어 정의 네트워크의 제어기를 형성하는 프로세서
    를 포함하고, 상기 제어기는:
    정책 작성기로부터 적어도 하나의 보안 정책을 획득하며;
    상기 보안 정책의 특징, 상기 보안 정책의 작성기의 역할, 및 상기 보안 정책의 작성기의 역할의 보안 권한 레벨을 특정하는 하나 이상의 속성들에 기초하여 상기 소프트웨어 정의 네트워크에서 상기 보안 정책을 구현하도록 구성되는, 장치.
KR1020177002277A 2014-06-30 2014-06-30 소프트웨어 정의 네트워크에서의 보안 Ceased KR20170024032A (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2014/081235 WO2016000160A1 (en) 2014-06-30 2014-06-30 Security in software defined network

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020197021115A Division KR102136039B1 (ko) 2014-06-30 2014-06-30 소프트웨어 정의 네트워크에서의 보안

Publications (1)

Publication Number Publication Date
KR20170024032A true KR20170024032A (ko) 2017-03-06

Family

ID=55018248

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020197021115A Active KR102136039B1 (ko) 2014-06-30 2014-06-30 소프트웨어 정의 네트워크에서의 보안
KR1020177002277A Ceased KR20170024032A (ko) 2014-06-30 2014-06-30 소프트웨어 정의 네트워크에서의 보안

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020197021115A Active KR102136039B1 (ko) 2014-06-30 2014-06-30 소프트웨어 정의 네트워크에서의 보안

Country Status (7)

Country Link
US (1) US10666689B2 (ko)
EP (1) EP3162017B1 (ko)
JP (1) JP2017520194A (ko)
KR (2) KR102136039B1 (ko)
CN (2) CN113055369B (ko)
TW (1) TWI575921B (ko)
WO (1) WO2016000160A1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190004420A (ko) * 2017-07-04 2019-01-14 한국과학기술원 소프트웨어 정의 네트워크에서 퍼미션 모델링 방법, 시스템 및 컴퓨터 프로그램
KR20200058816A (ko) * 2018-11-20 2020-05-28 광주과학기술원 에스디엔의 방화벽 전개 장치, 에스디엔의 방화벽 전개 방법, 및 이 장치 또는 방법이 적용되는 네트워크
KR102197590B1 (ko) * 2020-06-19 2021-01-05 주식회사 이글루시큐리티 머신러닝을 이용한 대응 자동화 프로세스의 승인 절차 개선 시스템 및 그 방법

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580168B (zh) * 2014-12-22 2019-02-26 华为技术有限公司 一种攻击数据包的处理方法、装置及系统
CN105991588B (zh) * 2015-02-13 2019-05-28 华为技术有限公司 一种防御消息攻击的方法及装置
JP6569741B2 (ja) * 2015-05-11 2019-09-04 日本電気株式会社 通信装置、システム、方法、及びプログラム
US10020941B2 (en) * 2015-09-30 2018-07-10 Imperva, Inc. Virtual encryption patching using multiple transport layer security implementations
US9654465B2 (en) * 2015-10-01 2017-05-16 Sprint Communications Company L.P. Software-defined network threat control
EP3375138B1 (en) * 2015-11-09 2020-09-02 Telefonaktiebolaget LM Ericsson (publ) State synchronization between a controller and a switch in a communications network
CN106789860B (zh) 2016-03-02 2021-02-05 新华三技术有限公司 一种签名规则加载方法及装置
US10284428B2 (en) * 2016-06-09 2019-05-07 Fujitsu Limited Graphical policy interface for network control systems
EP3286900B1 (en) 2016-06-22 2019-03-27 Huawei Technologies Co., Ltd. System and method for detecting and preventing network intrusion of malicious data flows
WO2018014944A1 (en) * 2016-07-19 2018-01-25 Telefonaktiebolaget Lm Ericsson (Publ) Datapath provision in software defined networks
US11349881B2 (en) * 2016-08-05 2022-05-31 Alcatel Lucent Security-on-demand architecture
US11297070B2 (en) 2016-09-20 2022-04-05 Nec Corporation Communication apparatus, system, method, and non-transitory medium
US10778722B2 (en) * 2016-11-08 2020-09-15 Massachusetts Institute Of Technology Dynamic flow system
KR101863236B1 (ko) * 2016-12-01 2018-06-01 성균관대학교산학협력단 네트워크 가상화 환경에서 보안 관리를 위한 장치 및 방법
US10944733B2 (en) 2017-07-31 2021-03-09 Cisco Technology, Inc. Dynamic disassociated channel encryption key distribution
US10872145B2 (en) * 2017-10-25 2020-12-22 International Business Machines Corporation Secure processor-based control plane function virtualization in cloud systems
CN108306888B (zh) * 2018-02-05 2022-05-27 刘昱 一种基于sdn的网络防护方法、装置及存储介质
US10742607B2 (en) * 2018-02-06 2020-08-11 Juniper Networks, Inc. Application-aware firewall policy enforcement by data center controller
CN108809958A (zh) * 2018-05-23 2018-11-13 郑州云海信息技术有限公司 一种基于mdc管理系统的sdn控制器架构
US10812337B2 (en) 2018-06-15 2020-10-20 Vmware, Inc. Hierarchical API for a SDDC
US10942788B2 (en) 2018-06-15 2021-03-09 Vmware, Inc. Policy constraint framework for an sddc
US11086700B2 (en) 2018-08-24 2021-08-10 Vmware, Inc. Template driven approach to deploy a multi-segmented application in an SDDC
CN109525958A (zh) * 2018-12-22 2019-03-26 北京工业大学 一种软件定义的无人机集群网络控制器设计方法
JP6801046B2 (ja) * 2019-05-28 2020-12-16 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法
RU2714217C1 (ru) * 2019-07-05 2020-02-13 Максим Олегович Калинин Способ осуществления правил политики безопасности в одноранговых коммуникационных сетях киберфизических устройств
CN114223233B (zh) * 2019-08-13 2024-12-31 上海诺基亚贝尔股份有限公司 用于网络切片管理的数据安全性
KR102515790B1 (ko) * 2019-11-28 2023-03-30 경희대학교 산학협력단 연합 학습 기반 6g 아키텍처 네트워크 시스템 및 이의 실행 방법
CN111404947B (zh) * 2020-03-19 2023-04-18 李子钦 一种OpenFlow网络中的轻量级控制通道通信保护方法及系统
CN115380514B (zh) 2020-04-01 2024-03-01 威睿有限责任公司 为异构计算元件自动部署网络元件
US11075803B1 (en) * 2020-06-02 2021-07-27 Cisco Technology, Inc. Staging configuration changes with deployment freeze options
CN112367213B (zh) * 2020-10-12 2022-02-25 中国科学院计算技术研究所 面向sdn网络的策略异常检测方法、系统、装置及存储介质
US11659397B2 (en) * 2020-10-21 2023-05-23 Dell Products, Lp System and method of orchestrating distribution of network slices based on endpoint computing device security profiles
US12231398B2 (en) 2022-01-14 2025-02-18 VMware LLC Per-namespace IP address management method for container networks
EP4494314A1 (en) 2022-03-18 2025-01-22 VMware LLC Mapping vlan of container network to logical network in hypervisor to support flexible ipam and routing container traffic
US12107754B2 (en) * 2022-04-04 2024-10-01 Hewlett Packard Enterprise Development Lp Role information propagation in access switches
US11882002B2 (en) * 2022-06-22 2024-01-23 Schweitzer Engineering Laboratories, Inc. Offline test mode SDN validation
CN115333780B (zh) * 2022-07-15 2024-12-03 桂林电子科技大学 一种实现工业控制网络分布式控制与安全防护的方法
US12177124B2 (en) 2022-10-04 2024-12-24 VMware LLC Using CRDs to create externally routable addresses and route records for pods
US12199833B2 (en) 2022-11-29 2025-01-14 VMware LLC Network controller as a service (NCaaS) to define network policies for third-party container clusters
US12267212B2 (en) 2022-11-29 2025-04-01 VMware LLC Implementing defined service policies in a third-party container cluster
US11831511B1 (en) * 2023-01-17 2023-11-28 Vmware, Inc. Enforcing network policies in heterogeneous systems
WO2024254734A1 (en) 2023-06-12 2024-12-19 Vmware Information Technology (China) Co., Ltd. Layer 7 network security for container workloads

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140075498A1 (en) * 2012-05-22 2014-03-13 Sri International Security mediation for dynamically programmable network

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6839850B1 (en) * 1999-03-04 2005-01-04 Prc, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US20110238855A1 (en) * 2000-09-25 2011-09-29 Yevgeny Korsunsky Processing data flows with a data flow processor
US20030172291A1 (en) * 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US20060235973A1 (en) * 2005-04-14 2006-10-19 Alcatel Network services infrastructure systems and methods
CN100364280C (zh) 2005-12-15 2008-01-23 杭州华三通信技术有限公司 一种下发安全策略的方法
JP4819542B2 (ja) * 2006-03-24 2011-11-24 株式会社日立製作所 脆弱性検証付きのバイオメトリクス認証システムおよび方法
US8539545B2 (en) * 2010-07-22 2013-09-17 Juniper Networks, Inc. Domain-based security policies
US9065815B2 (en) * 2011-04-15 2015-06-23 Nec Corporation Computer system, controller, and method of controlling network access policy
US9235856B2 (en) * 2011-11-10 2016-01-12 Verizon Patent And Licensing Inc. Providing overlay networks via elastic cloud networking
US9419941B2 (en) * 2012-03-22 2016-08-16 Varmour Networks, Inc. Distributed computer network zone based security architecture
US8955093B2 (en) * 2012-04-11 2015-02-10 Varmour Networks, Inc. Cooperative network security inspection
US9331937B2 (en) 2012-04-18 2016-05-03 Nicira, Inc. Exchange of network state information between forwarding elements
US9374301B2 (en) 2012-05-18 2016-06-21 Brocade Communications Systems, Inc. Network feedback in software-defined networks
US9197548B2 (en) * 2012-08-15 2015-11-24 Dell Products L.P. Network switching system using software defined networking applications
US9306840B2 (en) 2012-09-26 2016-04-05 Alcatel Lucent Securing software defined networks via flow deflection
US9571507B2 (en) * 2012-10-21 2017-02-14 Mcafee, Inc. Providing a virtual security appliance architecture to a virtual cloud infrastructure
KR102067439B1 (ko) * 2012-10-22 2020-01-20 한국전자통신연구원 소프트웨어 정의 네트워킹 기반 네트워크에서 서비스 품질 제공 방법 및 그 장치
WO2014093900A1 (en) * 2012-12-13 2014-06-19 Huawei Technologies Co., Ltd. Content based traffic engineering in software defined information centric networks
CN103326884B (zh) * 2013-05-30 2016-06-01 烽火通信科技股份有限公司 Sdn网络中结合流检测和包检测的业务流感知系统及方法
CN103607379A (zh) * 2013-11-04 2014-02-26 中兴通讯股份有限公司 一种软件定义网络安全实施方法、系统及控制器

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140075498A1 (en) * 2012-05-22 2014-03-13 Sri International Security mediation for dynamically programmable network

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190004420A (ko) * 2017-07-04 2019-01-14 한국과학기술원 소프트웨어 정의 네트워크에서 퍼미션 모델링 방법, 시스템 및 컴퓨터 프로그램
KR20200058816A (ko) * 2018-11-20 2020-05-28 광주과학기술원 에스디엔의 방화벽 전개 장치, 에스디엔의 방화벽 전개 방법, 및 이 장치 또는 방법이 적용되는 네트워크
US11336622B2 (en) 2018-11-20 2022-05-17 Gwangju Institute Of Science And Technology Apparatus and method for deploying firewall on SDN and network using the same
KR102197590B1 (ko) * 2020-06-19 2021-01-05 주식회사 이글루시큐리티 머신러닝을 이용한 대응 자동화 프로세스의 승인 절차 개선 시스템 및 그 방법

Also Published As

Publication number Publication date
EP3162017A4 (en) 2017-12-20
KR20190088578A (ko) 2019-07-26
EP3162017A1 (en) 2017-05-03
WO2016000160A1 (en) 2016-01-07
TW201614990A (en) 2016-04-16
US20170324781A1 (en) 2017-11-09
US10666689B2 (en) 2020-05-26
KR102136039B1 (ko) 2020-07-20
JP2017520194A (ja) 2017-07-20
CN113055369B (zh) 2023-03-21
TWI575921B (zh) 2017-03-21
CN113055369A (zh) 2021-06-29
EP3162017B1 (en) 2021-11-24
CN106464659A (zh) 2017-02-22

Similar Documents

Publication Publication Date Title
KR102136039B1 (ko) 소프트웨어 정의 네트워크에서의 보안
Maleh et al. A comprehensive survey on SDN security: threats, mitigations, and future directions
US12153948B2 (en) Distributed zero trust network access
Sallam et al. On the security of SDN: A completed secure and scalable framework using the software-defined perimeter
US10986133B1 (en) Cloud over IP session layer network
Scott-Hayward et al. A survey of security in software defined networks
US11349881B2 (en) Security-on-demand architecture
Hu et al. A comprehensive security architecture for SDN
US10558798B2 (en) Sandbox based Internet isolation in a trusted network
Singh et al. Multilevel security framework for nfv based on software defined perimeter
CN115413409A (zh) 用于网络基础设施的可编程交换设备
JP6832990B2 (ja) ソフトウェア定義ネットワークにおけるセキュリティ
Varadharajan et al. Techniques for enhancing security in industrial control systems
Adam et al. Partially Trusting the Service Mesh Control Plane
WO2023069129A1 (en) Network appliances for secure enterprise resources
Chakraborti et al. Software-defined network vulnerabilities
Gaur et al. Enhanced Framework for Energy Conservation and Overcoming Security Threats for Software-Defined Networks
Rajendran Security analysis of a software defined wide area network solution
Thimmaraju From threats to solutions in data center networks
Bjarnestig et al. Improving the security of exposed safety critical systems using SDN
CN118432835A (zh) Ct云及边缘云安全平台
Haapajärvi Trusted Communication in SDN OpenFlow Channel: Investigating Assumed Trusted Communication between SDN Controller and Switch and Possible Attack Scenarios
Russo Industrial Demilitarized Zone and Zero Trust cybersecurity models for Industrial Control Systems

Legal Events

Date Code Title Description
A201 Request for examination
PA0105 International application

Patent event date: 20170125

Patent event code: PA01051R01D

Comment text: International Patent Application

PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20170125

Comment text: Request for Examination of Application

PG1501 Laying open of application
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20180614

Patent event code: PE09021S01D

E90F Notification of reason for final refusal
PE0902 Notice of grounds for rejection

Comment text: Final Notice of Reason for Refusal

Patent event date: 20181227

Patent event code: PE09021S02D

E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20190618

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20181227

Comment text: Final Notice of Reason for Refusal

Patent event code: PE06011S02I

Patent event date: 20180614

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I

PA0104 Divisional application for international application

Comment text: Divisional Application for International Patent

Patent event code: PA01041R01D

Patent event date: 20190718