[논문]프로그래머블 네트워크 기술을 이용한 네트워크 보안 관리 구조 제안

김명은; 오승희; 김광식; 남택용; 손승원

프로그래머블 네트워크 기술을 이용한 네트워크 보안 관리 구조 제안
Proposal of Network Security Management architecture using Programmable Network Technology 원문보기

한국통신학회논문지. The Journal of Korea Information and Communications Society. 통신이론 및 시스템, v.28 no.10C, 2003년, pp.1033 - 1044

김명은 (한국전자통신연구원 네트워크보안구조연구팀) , 오승희 (한국전자통신연구원 네트워크보안구조연구팀) , 김광식 (한국전자통신연구원 네트워크보안구조연구팀) , 남택용 (한국전자통신연구원 네트워크보안구조연구팀) , 손승원 (한국전자통신연구원 네트워크보안구조연구부)

초록
AI-Helper

본 논문에서는 이기종의 보안 장비를 보다 효율적으로 관리할 수 있는 보안 관리 구조와 관리 트래픽의 부하를 줄일 수 있는 프로그래머블 미들웨어를 제안하였다. 제안된 보안 관리 구조는 정책 기반 네트워크 관리 (Policy Based Network Management: PBNM) 구조에 프로그래머블 네트워크 기법을 접목한 것으로, 다양한 이기종의 보안 장비를 보안 정책을 통해 관리할 수 있으며, 보안 장비 간 연동을 제공한다. 또한, 미들웨어에서 보안 정책을 실행 가능한 형태로 변환해 줌으로써 관리상의 편이성을 제공하고 정책 서버의 부하를 줄일 수 있다. 본 논문에서는 제안된 구조와 PBNM 구조에서의 정책적용 및 변환시간과 메시지 전달시간을 비교함으로써 프로그래머블 미들웨어가 관리 트래픽의 부하를 줄일 수 있다는 것을 검증하였다.

Abstract ▼ AI-Helper

In this paper, we propose security management architecture that manages efficiently security systems that are produced by different companies and programmable middleware that can reduce the load of management traffic. The proposed architecture applies programmable networks technology to policy based network management (PBNM). The proposed architecture manages and cooperates various security systems using security policy. Also, the programmable middleware provides convenience of management and reduces the overhead of a policy server by translating security policy into execution command. In addition, using programmable middleware, an administrator can manage various security systems that are produced by different companies. We showed that the programmable middleware could reduce the load of management traffic by comparing processing time for enforcing and transferring of policies/messages between the proposed architecture and PBNM architecture.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

OPSECe Secure Virtual Network (SVN) 구조를 기반으로 Firewall-1, VPN-1 과의 호환성 확보를 통해 보안 환경을 제공한다. 1차적으로 침입탐지시스템, CA 서버 등을 통합하여 전사적인 보안 환경을 제공하고자 한다.
있다. OPSECe 침입차단시스템을 중심으로 하여 보안 시스템들을 상호 연동한 자율적 보안 관리를 목적으로 한다. OPSECe Secure Virtual Network (SVN) 구조를 기반으로 Firewall-1, VPN-1 과의 호환성 확보를 통해 보안 환경을 제공한다.
전달된 프로그래머블보안 정책은 미들웨어내의 PPP를 통해 실행되는 것을 볼 수 있다. 또한 보안 정책 실행시 SMP에서 정책 충돌여부를 확인하여 기존의 보안 정책과 충돌이 일어나는지 확인한다. SPMP에서 SPEP로 보안 정책을 전달할 때 오류가 발생할 경우 SPEP는 SPMP에게 전송실패를 알리고 재전송을 요구한다.
본 논문에서는 공중망에서 네트워크 보안을 위해 분산 설치된 이기종 보안 장비를 중앙에서 효율적으로 관리하기 위한 목적으로 보안 정책을 통해 제어하는 보안 관리 구조를 제안한다. 제안하는 구조는 프로그래머블 미들웨어를 이용함으로써 관리용 트래픽의 부하를 줄일 수 있고, 새롭게 추가되는 보안 기능을 쉽게 수용 가능하다.
본 논문에서는 이기종 보안 장비를 보다 손쉽게 관리하고 이기종 보안 장비간의 연동이 가능한 보안 관리 구조를 제안하였고 기존의 네트워크 위에프로그래머블 미들웨어를 관리계층으로 둠으로써 보다 지능화된 보안 관리 기법을 제안하였다. 제안된 보안 관리 구조를 사용하여 이기종 보안 장비간의 호환성을 제공할 수 있으며, PBNM 구조와 제안된 구조 간에 정책전달 및 메시지 전송시 소요되는 시간을 비교함으로써 프로그래머블 미들웨어를 통해 이기종 보안 장비 관리시 관리상의 부하를 줄일 수 있음을 검증하였다
본 논문에서는 이러한 문제를 해결하기 위해 기존의 네트워크 위에 프로그래머블 미들웨어를 기반으로 하는 관리 계층을 제공하고 미들웨어를 통해 보안 정책을 적용함으로써 이기종의 다양한 보안 장비간의 호환성을 제공할 뿐만 아니라 관리상의 부하를 줄일 수 있는 보안 관리 구조를 제안한다.
본 절에서는 정책 서버와 보안 장비간의 통신을 위해 SPMP와 SPEP 간의 인터페이스와 보안 장비 간의 통신을 위해서 SPEP 간의 신뢰성 있는 통신을 제공하기 위한 인터페이스에 대해 다룬다.
본 절에서는 제안된 관리구조를 사용하여 적용 가능한 수행 시나리오에 대하여 설명한다. 먼저 프로그래머블 미들웨어를 이용하여 이기종 보안 장비에 정책을 배포하는 시나리오에 대하여 설명하고 이기종 보안 장비의 연동을 통해 유해 트래픽을 차단하는 시나리오에 대하여 설명한다.

가설 설정

수 있다. 여기서 전송성공확률 Sh는 90%로 가정하고 모든 보안 장비에 보안 정책을 적용하기까지의 목표실패확률 Ft 는 5%로 가정한다
있다. 여기서 정책 서버는 관리자가 이기종 보안 장비의 커맨드를 직접 입력하여 정책을 생성하는 것으로 가정한다.
프로그래머블 노드가 위치하고 프로그래머블 패킷이 전송되어 실행되는 환경 역시 [9]에서 제안한 가정을 따른다.

제안 방법

- Credential: X.509 포맷의 Credential을 이용하여프로그래머블 패킷을 생성한 사용자의 신분을 검증하고 송신측 프로그래머블 노드를 검증하고 인증한다
OPSECe 이기종의 보안 시스템 간 상호 연동 및 정보 교환을 위한 프로토콜인 Content Vectoring Protocol (CVP), Suspicious Activity Monitoring Protocol (SAMP)와 관리자의 편의를 위한 Log Export API (LEA), User-to-Address Mapping (UAM) 등의 애플리케이션으로 구성되어 일관되고 효율적인 보안 관리를 제공한다. 그러나 OPSECe각각의 정보 보호 제품이 이러한 애플리케이션과 프로토콜을 수용해야 하는 단점과 인터페이스가 연결된 두 제품 사이에서만 통합 가능하다는 한계가 있다
OKI에서는 초기에 IP 네트워크에 PBNM 기법을 적용하였으나, SNMP (Simple Network Management Protocol), COPS (Common Open Policy Service), CLI (Command Line Interface) 등의 프로토콜을 이용한 경우 과도한 관리용 트래픽이 발생하는 문제점이 발견되었다. 따라서 이를 해결하기 위하여 정책 기반 네트워크 관리에 액티브 네트워크 기술을 적용하였다.
본 논문에서는 IP 헤더와 UDP 헤더 다음에 ANEP 헤더를 붙이고 ANEP 헤더의 기존 옵션(old option) 2로 근원지 식별자 (Source Identifier), 목적지 식별자 (Destination Identifier), 무결성 검사 (Integrity Checksum), 비협상 인증 (Non-Negotiation Authentication)의 네 가지 항목을 두고 새로운 옵션으로 아래의 4가지 항목을 추가한다
본 논문에서는 프로토콜 스택으로 IP 프로토콜과 UDP 프로토콜을 이용함에 따라 발생할 수 있는 신뢰성에 대한 취약 부분을 ANEP 패킷 포맷을 일부 수정함으로써 해결한다.
본 장에서는 이기종의 보안 장비를 관리할 때 기존의 PBNM 기반 관리 방식과 제안된 관리방식에서 정책 전달 및 메시지 전달시 필요한 시간을 비교함으로써 제안된 구조의 성능을 검증한다.
제안된 구조에서는 정책 서버에서 각 이기종 보안장비의 장비별로 실행 가능한 프로그래머블 보안정책을 생성함으로써, 동일 AMN내에 있는 보안 장비에 정책을 전송하면 프로그래머블 라우팅 기법을 사용하여 관리하고 있는 모든 AMN내의 보안 장비에 프로그래머블 정책이 전달되어 수행된다.
기법이 요구된다. 제안하는 프로그래머블라우팅은 네트워크 상에 존재하는 프로그래머블노드인 보안 장비들을 찾아갈 수 있도록 하는 방식이다. 본 논문에서는 IP 네트워크에서 프로그래머블 노드들이 네트워크 내의 다른 프로그래머블 노드의 위치와 특성을 알 수 있도록 하기 위하여 ALCATEL 에서 제안한 OSPFv2 Opaque LSA (Link State Advertisement) Option[8]을 이용한다.
이 때 보안 장비간의 정책 전달 과정은 다음과 같다. 해당 프로그래머블 패킷을 전달 받은 보안 장비는 이를 복사한 후에 다음 보안 장비에게 전달하고, 동시에 복사본 패킷에서 헤더를 제거한 ANEP 부분을 해당 도메인의 네트워크 장비가 이해할 수 있는 형태로 정책을 재구성한다. 이와 같은 과정이 모든 보안 장비에게 해당 패킷이 전달될 때까지 반복된다.

이론/모형

- 신뢰성 있는 보안 정책 전송을 위해서, 프로그래머블 보안 정책을 위한 프로그래머블 패킷 포맷으로 ANEP (Active Network Encapsulation Protocol) 패킷 구조[12]를 이용한다.
제안하는 프로그래머블라우팅은 네트워크 상에 존재하는 프로그래머블노드인 보안 장비들을 찾아갈 수 있도록 하는 방식이다. 본 논문에서는 IP 네트워크에서 프로그래머블 노드들이 네트워크 내의 다른 프로그래머블 노드의 위치와 특성을 알 수 있도록 하기 위하여 ALCATEL 에서 제안한 OSPFv2 Opaque LSA (Link State Advertisement) Option[8]을 이용한다. 이때 사용하는 Opaque LSA의 형식 중에서 일부 옵션은 [9]에 따라 아래와 같이 수정하였다.

성능/효과

PBANEM 에서 액티브 네트워크 기술을 기존의 PBNM에 적용함으로써 전달되는 액티브 패킷의 프로그래머블 가능한 특징을 통해서 효율적으로 정책을 전달 및 적용할 수 있다
그림 13에서 알 수 있듯이 AMN내에 보안 장비의 개수가 증가할수록 제안된 구조가 기존의 PBNM구조에 비해 정책전달 및 메시지 전송시 약 170% 정도의 성능향상이 있음을 알 수 있다. 또한 그림 14의 결고]를 살펴보면 제안된 구조가 ANM의 개수가 증가할수록 PBNM 구조에 비해 성능이 평균적으로 약 33% 향상된 것을 볼 수 있다
처리할 수 있도록 한다. 기존 라우터에는 컴퓨팅능력이 없었으므로 모든 처리가 종단 시스템 기반으로만 수행되었던 데 반해, 프로그래머블 네트워크 기술을 적용한 패킷을 이용하면 프로그래머블 노드에서 중간 처리를 수행함으로써 기존 종단 간 (end-to-end) 방식에 비해 성능의 향상을 얻을 수 있다. 또한, 프로그래머블 네트워크는 새로운 네트워크 서비스를 빠르고 효율적으로 배치하기 위해 제안된 구조로 기존의 IP 네트워크 서비스의 중단없이 새로운 서비스 적용이 가능하며 유연성, 성능향상, 보안 강화, 관리의 편리성과 같은 장점들을 제공할 수 있다
성능향상이 있음을 알 수 있다. 또한 그림 14의 결고]를 살펴보면 제안된 구조가 ANM의 개수가 증가할수록 PBNM 구조에 비해 성능이 평균적으로 약 33% 향상된 것을 볼 수 있다
기존 라우터에는 컴퓨팅능력이 없었으므로 모든 처리가 종단 시스템 기반으로만 수행되었던 데 반해, 프로그래머블 네트워크 기술을 적용한 패킷을 이용하면 프로그래머블 노드에서 중간 처리를 수행함으로써 기존 종단 간 (end-to-end) 방식에 비해 성능의 향상을 얻을 수 있다. 또한, 프로그래머블 네트워크는 새로운 네트워크 서비스를 빠르고 효율적으로 배치하기 위해 제안된 구조로 기존의 IP 네트워크 서비스의 중단없이 새로운 서비스 적용이 가능하며 유연성, 성능향상, 보안 강화, 관리의 편리성과 같은 장점들을 제공할 수 있다
제안된 보안 관리 구조를 사용하여 이기종 보안 장비간의 호환성을 제공할 수 있으며, PBNM 구조와 제안된 구조 간에 정책전달 및 메시지 전송시 소요되는 시간을 비교함으로써 프로그래머블 미들웨어를 통해 이기종 보안 장비 관리시 관리상의 부하를 줄일 수 있음을 검증하였다
보안 관리 구조를 제안한다. 제안하는 구조는 프로그래머블 미들웨어를 이용함으로써 관리용 트래픽의 부하를 줄일 수 있고, 새롭게 추가되는 보안 기능을 쉽게 수용 가능하다. 본 논문의 구성은 다음과 같다.

참고문헌 (13)

'Conceptual model description of Active Secuhty System for Next Generation Network V1.0,' Information Secuhty Research Div., ETRI, Korea, Jun. 2002
Y. Choi, 'White paper: The compass of information security ESM Introduction,' proceeding of 1st workshop on cyber terrors, Korea, 2002
OPSEC 개요, 'Intro to OPSEC: OPSEC Software Development Kit,' http://www.opsec.com/intro/sdkds.html
Gerhard Eschelbeck, 'Active Secuhty- A proactive approach for computer security systems,' Joumal of Network and Computer Applications 2000, pp.109-130, 2000
Alex Galis, et al., 'A Flexible IP Active Networks Architecture,' Proceedings of International Workshop on Active Networks, Oct. 2000
Alex Galis, et al., 'Policy-Based Network Management for Active Networks,' IEEE ICT 2001 Conference proceedings, Bucharest, Romania, 4-7 June 2001
Kei Kato, et al., 'Application of Active Networking to policy networking,' Japan
D. Galand, O. Marce, 'Active Router Information in Routing Protocols,' IETF Internet Draft, 2000
채기준, '최종보고서: 센서 통신 구조 최적화 모델링 연구', 이화여대, Funded by ETRI, 2002
J. Postel, 'Internet Protocol,' IETF RFC 791, 1981
S. Deering, R. Hinden, 'Internet Protocol, Version 6 (IPv6),' IETF RFC 2460, 1998
D. Scott Alexander, Bob Braden, Carl A. Gunter, Alden W. Jackson, Angelos D. Keromytis, Gary J. Minden, and David Wetherall, 'Active Network Encapsulation Protocol (ANEP),'http://www.cis.upenn.edu/switchware/ANEP/docs/ANEP.txt, 1997
Jiyoung Lim, 'Design of security enforcement engine for active nodes in active networks,' The International Conference on Information Networking (ICOIN) 2003, vo1.3, 2003

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증