KR20180041977A - 링크 검출 서비스에 대한 인증을 지원하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 - Google Patents
링크 검출 서비스에 대한 인증을 지원하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 Download PDFInfo
- Publication number
- KR20180041977A KR20180041977A KR1020160134427A KR20160134427A KR20180041977A KR 20180041977 A KR20180041977 A KR 20180041977A KR 1020160134427 A KR1020160134427 A KR 1020160134427A KR 20160134427 A KR20160134427 A KR 20160134427A KR 20180041977 A KR20180041977 A KR 20180041977A
- Authority
- KR
- South Korea
- Prior art keywords
- message
- link
- controller
- link discovery
- software defined
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
- 238000000034 method Methods 0.000 claims description 5
- 238000004891 communication Methods 0.000 claims description 4
- 238000001514 detection method Methods 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000002354 daily effect Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
링크 검출 서비스에 대한 인증을 지원하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러가 개시된다. 개시된 소프트웨어 정의 네트워크는 OFDP(OpenFlow Discovery Protocol)를 통해 링크 검색을 수행하는 소프트웨어 정의 네트워크로서, 상기 소프트웨어 정의 네트워크의 데이터 평면에 위치하는 복수의 스위치; 및 상기 소프트웨어 정의 네트워크의 컨트롤 평면에 위치하며, 상기 복수의 스위치를 제어하는 컨트롤러;를 포함하되, 상기 컨트롤러는 링크 검색 메시지를 상기 복수의 스위치 각각으로 전송하고, 상기 복수의 스위치 각각은, 상기 컨트롤러부터 전송된 링크 검색 메시지를 수신하여 다른 스위치로 전달하며, 상기 다른 스위치에서 전송된 링크 검색 메시지를 상기 컨트롤러로 전송하며, 상기 링크 검색 메시지는 상기 링크 검색 메시지의 인증을 위한 메시지 인증 코드가 포함된다.
Description
본 발명의 실시예들은 링크 검출 서비스에 대한 인증을 지원하는 소프트웨어 정의 네트워크(SDN: Software Defined Network) 및 이에 포함되는 컨트롤러(controller)에 관한 것이다.
인터넷은 우리의 일상에서 이제 불가분의 중요한 역할을 하고 있으며 사물 인터넷이 본격적으로 일상에 적용될 시에는 이 역할은 더욱 커질 것이라 예상한다. 하지만 종래의 네트워크 장비는 미리 정해진 룰에 따라 작동이 되는 시스템으로서, 관리 시 어려움이 있으며, 새로운 기능을 추가 할 시에는 연관된 모든 장비를 업데이트 또는 교체해야 하는 불편함이 존재한다. 그리고, 각종 새로운 악성 공격으로부터도 보안 상의 취약성을 보이고 있다.
따라서, 이를 해결하고자 등장한 것이 소프트웨어 정의 네트워크(SDN: Software Defined Network)이다. 소프트웨어 정의 네트워크는 기존의 네트워크 장비와는 달리 컨트롤 평면(control plane)과 데이터 평면(data plane)이 분리된다. 이 때, 컨트롤 평면에는 컨트롤러가 위치하고, 데이터 평면에는 복수의 스위치가 위치하며, 복수의 스위치는 컨트롤러에 의해 제어된다. 따라서, 네트워크 구조가 단순화되어 있고, 네트워크 관리를 유연하게 해주며, 기존 네트워크보다 악성 공격에 대하여 일부 강점이 있다. 하지만, 소프트웨어 정의 네트워크도 보안에 관하여는 완벽한 해결책이 없으며 여전히 취약한 면이 있는 것도 사실이다.
이와 관련하여, 소프트웨어 정의 네트워크는 링크 검출 서비스(link discovery service)를 제공한다. 링크 검출 서비스는 컨트롤러에서 시작되며, 링크 검색을 하기 위한 사실상의 표준으로 OFDP(OpenFlow Discovery Protocol)가 사용되고 있으며, LLDP(Link Layer Discovery Protocol)에서 정의한 프레임 형식을 사용한다.
그러나, 기존의 링크 검출 서비스에는 보안상에서의 허점이 있었다. 즉, 스위치들 간의 내부 링크를 검출하기 위해 사용되는 OFDP의 제어 메시지에 인증하기 위한 구성요소가 없기 때문에 공격자는 링크 탐색 과정에서 OFDP 패킷의 전파를 조작함으로써 가짜 링크를 만들려고 시도할 수 있다. 그 결과, 변조된 연결로 인해 정상적인 패킷의 흐름이 다른 경로로 이동하여, 공격자와 대응되는 악성 호스트로 패킷이 이동할 수 있게 되어 심각한 위험을 초래할 수 있으며, 특히 특정한 제어 패킷을 크래프팅(crafting)하고, 하나 이상의 손상된 호스트를 통해 네트워크 내로 제어 패킷을 주입함으로써 스푸핑된 링크를 만들 수 있다.
상기한 바와 같은 종래기술의 문제점을 해결하기 위해, 본 발명에서는 링크 검출 서비스에 대한 인증을 지원하는 소프트웨어 정의 네트워크(SDN: Software Defined Network) 및 이에 포함되는 컨트롤러(controller)를 제공하고자 한다.
본 발명의 다른 목적들은 하기의 실시예를 통해 당업자에 의해 도출될 수 있을 것이다.
상기한 목적을 달성하기 위해 본 발명의 바람직한 일 실시예에 따르면, OFDP(OpenFlow Discovery Protocol)를 통해 링크 검색을 수행하는 소프트웨어 정의 네트워크에 있어서, 상기 소프트웨어 정의 네트워크의 데이터 평면에 위치하는 복수의 스위치; 및 상기 소프트웨어 정의 네트워크의 컨트롤 평면에 위치하며, 상기 복수의 스위치를 제어하는 컨트롤러;를 포함하되, 상기 컨트롤러는 링크 검색 메시지를 상기 복수의 스위치 각각으로 전송하고, 상기 복수의 스위치 각각은, 상기 컨트롤러부터 전송된 링크 검색 메시지를 수신하여 다른 스위치로 전달하며, 상기 다른 스위치에서 전송된 링크 검색 메시지를 상기 컨트롤러로 전송하며, 상기 링크 검색 메시지는 상기 링크 검색 메시지의 인증을 위한 메시지 인증 코드가 포함되는 것을 특징으로 하는 소프트웨어 정의 네트워크가 제공된다.
상기 링크 검색 메시지는 LLDP 패킷 및 상기 메시지 인증 코드로 구성될 수 있다.
상기 메시지 인증 코드는 아래의 수학식과 같이 표현될 수 있다.
여기서, HMAC는 암호화 해쉬 함수를 이용한 상기 메시지 인증 코드, h( )는 상기 암호화 해쉬 함수, K는 비밀키, m는 LLDP 패킷의 인증을 위한 메시지, |는 연결 연산자, 
는 XOR 연산자, opad 및 ipad는 기 설정된 패딩 값(padding values)를 의미함.
또한, 본 발명의 다른 실시예에 따르면, OFDP(OpenFlow Discovery Protocol)를 통해 링크 검색을 수행하는 소프트웨어 정의 네트워크의 컨트롤 평면에 위치하는 컨트롤러에 있어서, 링크 검색 메시지를 생성하는 메시지 생성부; 및 상기 링크 검색 메시지를 상기 소프트웨어 정의 네트워크의 데이터 평면에 위치하는 복수의 스위치로 전송하는 통신부;를 포함하되, 상기 링크 검색 메시지는 상기 링크 검색 메시지의 인증을 위한 메시지 인증 코드가 포함되는 것을 특징으로 하는 컨트롤러가 제공된다.
본 발명에 따른 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러는 각각의 링크 검출을 위한 패킷에 암호화된 메시지 인증 코드를 추가하여 효과적으로 링크 토폴로지를 보호할 수 있는 장점이 있다.
도 1은 소프트웨어 정의 네트워크(SDN: Software Defined Network)의 기본 구조를 도시한 도면이다.
도 2는 소프트웨어 정의 네트워크에 사용되는 OpenFlow의 구조를 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 소프트웨어 정의 네트워크(SDN: Software Defined Network)의 개략적인 구조를 도시한 도면이다.
도 4는 종래의 링크 검색 서비스에서 수행되는 공격자의 가짜 링크를 생성하기 위한 과정을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 컨트롤러의 개략적은 구성을 도시한 도면이다.
도 2는 소프트웨어 정의 네트워크에 사용되는 OpenFlow의 구조를 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 소프트웨어 정의 네트워크(SDN: Software Defined Network)의 개략적인 구조를 도시한 도면이다.
도 4는 종래의 링크 검색 서비스에서 수행되는 공격자의 가짜 링크를 생성하기 위한 과정을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 컨트롤러의 개략적은 구성을 도시한 도면이다.
본 명세서에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "구성된다" 또는 "포함한다" 등의 용어는 명세서상에 기재된 여러 구성 요소들, 또는 여러 단계들을 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다. 또한, 명세서에 기재된 "...부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.
이하, 본 발명의 대상이 되는 소프트웨어 정의 네트워크에 대해 간략하게 설명하기로 한다.
도 1은 소프트웨어 정의 네트워크(SDN: Software Defined Network)의 기본 구조를 도시한 도면이고, 도 2는 소프트웨어 정의 네트워크에 사용되는 OpenFlow의 구조를 도시한 도면이다.
도 1을 참조하면, 소프트웨어 정의 네트워크는 크게 데이터 평면(data plane)과 대응되는 인프라스트럭처 계층(infrastructure layer)과, 컨트롤 평면(control plane)과 대응되는 컨트롤 계층(control layer)과, 애플리케이션 계층(application layer)으로 나뉜다. 데이터 계층은 소프트웨어 정의 네트워크의 특정 인터페이스를 통해 제어를 받는 계층으로서, 데이터 흐름의 전송을 담당한다. 컨트롤 계층은 데이터의 흐름을 제어하는 계층으로서 애플리케이션과 네트워크 서비스를 통하여 데이터 흐름을 라우팅 할 것인지, 전달을 할 것인지, 거절할 것인지를 결정한다. 또한 데이터 계층의 동작들을 정리하여 API(Application Programming Interface) 형태로 애플리케이션 계층에 전달한다. 마지막으로 애플리케이션 계층은 제어 계층에서 제공한 API들을 이용하여 네트워크의 다양한 기능들을 수행 할 수 있도록 한다.
한편, 전통적인 네트워크에서 라우터, 스위치와 같은 네트워크 장비는 트래픽 제어와 규칙을 담당한다. 그러므로 네트워크의 라우팅 정보는 스위치와 라우터에서 저장한다. 이와 같은 네트워크 구조는 네트워크가 변화할 때마다 관리자가 관련 인터넷 설비를 배치해야 한다는 문제가 있고, 데이터 센터나 그룹 네트워크 환경은 잦은 네트워크 변화로 자원을 낭비한다.
OpenFlow은 위와 같은 전통적인 네트워크의 단점을 보완하는 컨트롤러와 네트워크 장치간의 인터페이스 규격으로 사용되고 있는 기술이다. 도 2를 참조하면, OpenFlow는 제어 평면과 데이터 평면을 분리하여 네트워크를 운용할 수 있게 함으로써 네트워크 트래픽을 제어할 수 있는 기능과 전달할 수 있는 기능을 분리하며 소프트웨어를 제작하여 네트워크를 제어할 수 있도록 해준다. OpenFlow 프로토콜을 사용하면, 제어 및 데이터 평면을 하드웨어가 아닌 소프트웨어로도 구현할 수 있으며, 이 소프트웨어를 범용 서버에 설치하여 신속하게 새로운 기능을 구현할 수 있다.
OpenFlow는 프로토콜 계층 1~4까지의 헤더 정보를 하나로 조합하여 패킷(프레임)의 동작을 지정할 수 있다. 제어 평면의 프로그램을 수정하면 계층 4까지의 범위에서 사용자가 자유롭게 새로운 프로토콜을 만들 수 있고, 특정 서비스나 애플리케이션에 최적화된 네트워크를 사용자가 구현할 수도 있다. 즉, OpenFlow는 패킷을 제어하는 기능과 전달하는 기능을 분리하고 프로그래밍을 통해 네트워크를 제어하는 기술이다.
상기에서 설명된 내용을 참조하여 본 발명의 일 실시예에 따른 악성 애플리케이션을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 판단 장치를 상세하게 설명한다.
도 3은 본 발명의 일 실시예에 따른 소프트웨어 정의 네트워크(SDN: Software Defined Network)의 개략적인 구조를 도시한 도면이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 소프트웨어 정의 네트워크(300)는, 컨트롤러(310) 및 복수의 스위치(320)를 포함한다.
컨트롤러(310)는 OpenFlow 인터페이스를 따르는 OF 컨트롤러일 수 있고, 컨트롤 평면에 위치하며, 네트워크의 모든 제어 명령, 데이터 트래픽의 전달을 수행하며, 전체 네트워크를 직접적으로 제어한다.
복수의 스위치(320) 각각은 OpenFlow 인터페이스를 따르는 OF 스위치일 수 있고, 데이터 평면에 위치하며, 컨트롤러(310)에 의해 동작이 제어된다. 스위치(320) 각각에는 적어도 하나의 호스트가 연결된다.
즉, 컨트롤러(310)는 복수의 스위치(320) 각각에 명령을 전송하고, 각각의 스위치(320)는 수신된 명령에 따라 패킷을 목적지로 전송하거나 수정, 폐기하는 등의 처리를 한다. 일례로, OpenFlow 프로토콜을 이용하여, 컨트롤러(310)는 패킷의 포워딩 방법이나 VLAN 우선순위 값 등을 스위치(320)에 전달하여 수행되도록 하며, 스위치(320)는 장애정보와 사전에 등록된 플로우 엔트리가 없는 패킷에 대한 정보를 컨트롤러에 문의하고 그 결정을 받아 처리한다.
특히, 컨트롤러(310)는 경로 계산을 주 역할로 수행하는 것으로서, 패킷을 전송할 때 몇 가지 매개 변수를 기반으로 경로를 결정한다. 사용하는 매개 변수로는 최단경로(SPF)나 회선 속도 외에 사용자가 지정한 경로의 가중치나 부하 분산 조건 등이 있다. 컨트롤러(310)가 계산한 경로 정보는 TLS(Transport Layer Security) 또는 일반 TCP 연결을 통해 스위치(320)에 보내지며 플로우 테이블에 저장된다. 이후 스위치(320)는 패킷을 수신할 때마다 플로우 테이블을 확인하고 그 프레임을 지정된 경로로 전송한다.
한편, 소프트웨어 정의 네트워크(300)는 상기에서 언급한 링크 검출 서비스(link discovery service)를 제공한다. 이하, 도 3을 참조하여 종래의 링크 검출 서비스의 동작을 설명하기로 한다.
먼저, 컨트롤러(310)는 복수의 스위치(320) 각각의 포트에 대한 LLDP 패킷을 생성한다. 여기서, LLDP(Link Layer Discovery Protocol)는 해당 장비와 연결된 링크 상의 장비의 정보를 발견하는 프로토콜이고, LLDP 패킷은 링크 검색을 위한 패킷이다.
그 후, 컨트롤러(310)는 OpenFlow 패킷-아웃(Packet-Out) 메시지를 통해 복수의 스위치(320) 각각에 LLDP 패킷을 전송한다. 이 때, 도 3에서는 하나의 스위치(Switch 1)에 대해서만 패킷-아웃(Packet-Out) 메시지를 전송하는 것으로 도시하였으나, 이는 설명의 편의를 위한 것으로서 2개의 스위치 모두에 패킷-아웃 메시지를 전송한다.
다음으로, 복수의 스위치(320) 각각은 수신 포트를 제외한 모든 포트를 통해 LLDP 패킷을 전달한다. 따라서, 이웃한 모든 스위치(320)가 LLDP 패킷을 전달받는다.
계속하여, 다른 스위치로부터 LLDP 패킷을 전달받는 경우, 복수의 스위치(320) 각각은 이를 패킷-인(Packet-In) 메시지를 통해 컨트롤러(310)에게 전달한다. 따라서, 컨트롤러(310)는 LLDP 패킷으로 링크를 확인한다.
그러나, 상기에서 설명한 바와 같이, 종래의 링크 검색 서비스에서는 OFDP(OpenFlow Discovery Protocol)의 제어 메시지에 인증하기 위한 구성요소가 없기 때문에 공격자는 가짜 링크를 만들려고 시도할 수 있다(도 4 참조).
따라서, 도 3 및 도 5를 참조하여 상기에서 설명한 문제점을 해결할 수 있는 컨트롤러(320) 및 이를 포함하는 소프트웨어 정의 네트워크(300)를 상세하게 설명한다.
도 5는 본 발명의 일 실시예에 따른 컨트롤러(310)의 개략적인 구성을 도시한 도면이다.
도 5를 참조하면, 본 발명의 컨트롤러(310)는 메시지 생성부(311) 및 통신부(312)를 포함한다.
이하, 도 3 및 도 5를 참조하여 OFDP(OpenFlow Discovery Protocol)를 통해 링크 검색 서비스에 대한 인증을 지원하는 소프트웨어 정의 네트워크(300)의 동작을 설명한다.
먼저, 컨트롤러(310)의 메시지 생성부(311)는 링크 검색 메시지를 생성한다.
이 때, 링크 검색 메시지는 LLDP(Link Layer Discovery Protocol)에서 정의한 프레임 형식으로서 링크 검색을 위한 LLDP 패킷을 포함하며, 링크 검색 메시지의 인증, 즉 LLDP 패킷을 인증하기 위한 메시지 인증 코드를 추가적으로 포함할 수 있다.
보다 상세하게, LLDP 패킷은 LLDP를 지원하는 장비끼리 어떤 장비가 연결되었는지, LLDP에서 설정한 Fileld 값들에 대해 정보를 알려주거나 받는 기능을 수행한다.
그리고, 메시지 인증 코드는 해쉬 코드로 암호화된 메시지 인증 코드(cryptographic Message Authentication Code)로서, 이를 통해 인증 및 패킷의 무결성을 제공한다. 본 발명의 일 실시예에 따르면, 암호화된 메시지 인증 코드는 아래의 수학식 1과 같이 표현될 수 있다.
여기서, HMAC는 암호화 해쉬 함수를 이용한 상기 메시지 인증 코드, h( )는 암호화 해쉬 함수, K는 비밀키, m는 LLDP 패킷의 인증을 위한 메시지로서, LLDP의 TLV(Type Length Value, 유형 길이 값), |는 연결 연산자, 
는 XOR 연산자, opad 및 ipad는 기 설정된 패딩 값(padding values)를 의미한다.
여기서, TLV는 네트워크 상에서 이기종 시스템간에 주고받는 복잡한 데이트 구조를 3가지 형태의 Filed 값으로 표현하는 규칙, 즉 LLDP안에 포함되어 있는 장비들의 정보를 표시하는 Filed의 내용을 의미한다. 일례로, TLV는 Chassis ID(고유 스위치 식별자) 및 포트 ID를 포함한다.
그리고, 보안 강화를 위해 동적 값 Ki ,j 대신에 정적 값인 K를 비밀키로 사용한다. 이 때, i는 LLDP 패킷의 인식자(Identified)이고, j는 주기적으로 네트워크 토폴로지를 갱신하는데 필요한 특정 주기 번호를 의미하며, Ki ,j는 매 LLDP 패킷당, 매 네트워크 토폴로지 갱신 주기당으로 변하게 된다.
다음으로, 컨트롤러(310)의 통신부(312)는 링크 검색 메시지를 복수의 스위치(320)로 전송한다.
그리고, 복수의 스위치(320) 각각은 컨트롤러(310)부터 전송된 링크 검색 메시지를 수신하여 이를 다른 스위치로 전달하며, 이와 함께 다른 스위치에서 전송된 링크 검색 메시지를 수신하여 이를 컨트롤러(310)로 전송한다.
계속하여, 컨트롤러(310)는 복수의 스위치(320) 각각으로부터 전달된 링크 검색 메시지를 수신하며, 링크 검색 메시지에 포함된 암호화된 메시지 인증 코드를 복호화한다. 이에 따라, 공격자가 가짜 링크를 만들려고 시도하는지 여부 등을 확인할 수 있다.
요컨대, 본 발명의 일 실시예에 따른 소프트웨어 정의 네트워크(300) 및 이에 포함되는 컨트롤러(310)는 링크 검출을 위한 패킷에 암호화된 메시지 인증 코드를 추가하여 효과적으로 링크 토폴로지를 보호할 수 있는 장점이 있다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
Claims (4)
- OFDP(OpenFlow Discovery Protocol)를 통해 링크 검색을 수행하는 소프트웨어 정의 네트워크에 있어서,
상기 소프트웨어 정의 네트워크의 데이터 평면에 위치하는 복수의 스위치; 및
상기 소프트웨어 정의 네트워크의 컨트롤 평면에 위치하며, 상기 복수의 스위치를 제어하는 컨트롤러;를 포함하되,
상기 컨트롤러는 링크 검색 메시지를 상기 복수의 스위치 각각으로 전송하고,
상기 복수의 스위치 각각은, 상기 컨트롤러부터 전송된 링크 검색 메시지를 수신하여 다른 스위치로 전달하며, 상기 다른 스위치에서 전송된 링크 검색 메시지를 상기 컨트롤러로 전송하며,
상기 링크 검색 메시지는 상기 링크 검색 메시지의 인증을 위한 메시지 인증 코드가 포함되는 것을 특징으로 하는 소프트웨어 정의 네트워크. - 제1항에 있어서,
상기 링크 검색 메시지는 LLDP 패킷 및 상기 메시지 인증 코드로 구성되는 것을 특징으로 하는 소프트웨어 정의 네트워크. - 제2항에 있어서,
상기 메시지 인증 코드는 아래의 수학식과 같이 표현되는 것을 특징으로 하는 소프트웨어 정의 네트워크.
여기서, HMAC는 암호화 해쉬 함수를 이용한 상기 메시지 인증 코드, h( )는 상기 암호화 해쉬 함수, K는 비밀키, m는 LLDP 패킷의 인증을 위한 메시지, |는 연결 연산자,는 XOR 연산자, opad 및 ipad는 기 설정된 패딩 값(padding values)를 의미함.
- OFDP(OpenFlow Discovery Protocol)를 통해 링크 검색을 수행하는 소프트웨어 정의 네트워크의 컨트롤 평면에 위치하는 컨트롤러에 있어서,
링크 검색 메시지를 생성하는 메시지 생성부; 및
상기 링크 검색 메시지를 상기 소프트웨어 정의 네트워크의 데이터 평면에 위치하는 복수의 스위치로 전송하는 통신부;를 포함하되,
상기 링크 검색 메시지는 상기 링크 검색 메시지의 인증을 위한 메시지 인증 코드가 포함되는 것을 특징으로 하는 컨트롤러.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160134427A KR20180041977A (ko) | 2016-10-17 | 2016-10-17 | 링크 검출 서비스에 대한 인증을 지원하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160134427A KR20180041977A (ko) | 2016-10-17 | 2016-10-17 | 링크 검출 서비스에 대한 인증을 지원하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20180041977A true KR20180041977A (ko) | 2018-04-25 |
Family
ID=62088742
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160134427A Ceased KR20180041977A (ko) | 2016-10-17 | 2016-10-17 | 링크 검출 서비스에 대한 인증을 지원하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20180041977A (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20200031799A (ko) * | 2018-09-17 | 2020-03-25 | 숭실대학교산학협력단 | Sdn 컨트롤러, sdn 환경에서의 보안 강화 시스템 및 sdn 환경에서의 보안 강화 방법 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101404491B1 (ko) * | 2013-06-05 | 2014-06-10 | 한국과학기술정보연구원 | 오픈플로우 망 기반의 서브넷별 동적 대역폭 설정 시스템 및 방법 |
| US20150003259A1 (en) * | 2012-01-30 | 2015-01-01 | Nec Corporation | Network system and method of managing topology |
| KR20160056191A (ko) * | 2014-11-11 | 2016-05-19 | 한국전자통신연구원 | 가상 네트워크 기반 분산 다중 도메인 라우팅 제어 시스템 및 라우팅 제어 방법 |
| KR20160072718A (ko) * | 2014-12-15 | 2016-06-23 | 주식회사 케이티 | 소프트웨어 정의 네트워크에서 인접 네트워크 장비 발견 시스템 및 방법 |
-
2016
- 2016-10-17 KR KR1020160134427A patent/KR20180041977A/ko not_active Ceased
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150003259A1 (en) * | 2012-01-30 | 2015-01-01 | Nec Corporation | Network system and method of managing topology |
| KR101404491B1 (ko) * | 2013-06-05 | 2014-06-10 | 한국과학기술정보연구원 | 오픈플로우 망 기반의 서브넷별 동적 대역폭 설정 시스템 및 방법 |
| KR20160056191A (ko) * | 2014-11-11 | 2016-05-19 | 한국전자통신연구원 | 가상 네트워크 기반 분산 다중 도메인 라우팅 제어 시스템 및 라우팅 제어 방법 |
| KR20160072718A (ko) * | 2014-12-15 | 2016-06-23 | 주식회사 케이티 | 소프트웨어 정의 네트워크에서 인접 네트워크 장비 발견 시스템 및 방법 |
Non-Patent Citations (1)
| Title |
|---|
| Talal Alharbi et al., "The (In)Security of Topology Discovery in Software Defined Networks", Local Computer Networks (LCN), 2015 IEEE 40th Conference on, (2015.10.29.) * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20200031799A (ko) * | 2018-09-17 | 2020-03-25 | 숭실대학교산학협력단 | Sdn 컨트롤러, sdn 환경에서의 보안 강화 시스템 및 sdn 환경에서의 보안 강화 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101907752B1 (ko) | 인공지능을 이용하여 DDoS 공격을 탐지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 | |
| CN109565500B (zh) | 按需安全性架构 | |
| KR101900154B1 (ko) | DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치 | |
| Rawat et al. | Software defined networking architecture, security and energy efficiency: A survey | |
| US9413718B1 (en) | Load balancing among a cluster of firewall security devices | |
| US20140143854A1 (en) | Load balancing among a cluster of firewall security devices | |
| CN108092934A (zh) | 安全服务系统及方法 | |
| CN110099046B (zh) | 超融合服务器的网络跳变方法和系统 | |
| CN105591754B (zh) | 一种基于sdn的验证头验证方法和系统 | |
| CN110383280A (zh) | 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置 | |
| CN117811840B (zh) | 多网络靶场协同的数据传输方法、装置、设备及介质 | |
| Abdou et al. | A framework and comparative analysis of control plane security of SDN and conventional networks | |
| CN105743863A (zh) | 一种对报文进行处理的方法及装置 | |
| CN113556282A (zh) | 一种路由处理方法及设备 | |
| CN118677705B (zh) | 一种基于逐跳路由的安全加密方法 | |
| CN101674206B (zh) | 一种环路检测方法和网络设备 | |
| KR20180041977A (ko) | 링크 검출 서비스에 대한 인증을 지원하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 | |
| KR101629089B1 (ko) | 레거시 네트워크 프로토콜 기능과 sdn 기능이 하이브리드하게 동작하는 오픈플로우 동작 방법 | |
| CN109039612B (zh) | 软件定义光网络的安全交互方法及系统 | |
| Babbar et al. | Qos based security architecture for software-defined wireless sensor networking | |
| CN106487751A (zh) | 一种数据传输方法、相关装置及系统 | |
| US10257087B2 (en) | Communication device and communication method | |
| KR101914831B1 (ko) | 호스트 추적 서비스에 대한 공격을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 | |
| CN105812274B (zh) | 一种业务数据的处理方法和相关设备 | |
| KR101948984B1 (ko) | 스위치 손상을 감지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20161017 |
|
| PA0201 | Request for examination | ||
| PG1501 | Laying open of application | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20180530 Patent event code: PE09021S01D |
|
| E601 | Decision to refuse application | ||
| PE0601 | Decision on rejection of patent |
Patent event date: 20181101 Comment text: Decision to Refuse Application Patent event code: PE06012S01D Patent event date: 20180530 Comment text: Notification of reason for refusal Patent event code: PE06011S01I |