KR20020051599A - 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법 - Google Patents

분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법 Download PDF

Info

Publication number
KR20020051599A
KR20020051599A KR1020000080995A KR20000080995A KR20020051599A KR 20020051599 A KR20020051599 A KR 20020051599A KR 1020000080995 A KR1020000080995 A KR 1020000080995A KR 20000080995 A KR20000080995 A KR 20000080995A KR 20020051599 A KR20020051599 A KR 20020051599A
Authority
KR
South Korea
Prior art keywords
policy
security
kernel
spdb
new
Prior art date
Application number
KR1020000080995A
Other languages
English (en)
Inventor
김건우
이종태
손승원
Original Assignee
오길록
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 오길록, 한국전자통신연구원 filed Critical 오길록
Priority to KR1020000080995A priority Critical patent/KR20020051599A/ko
Publication of KR20020051599A publication Critical patent/KR20020051599A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 대규모의 분산 네트워크 환경에서 안전한 단대단 통신 채널을 원하는 보안 도메인에서 효율적인 보안 정책의 관리 및 적용 방식에 관한 것으로, 어플리케이션 영역의 파일 시스템과 메모리에 존재하는 보안 정책 데이터베이스(SPDB : Security Policy Database)의 selectors 부분을 커널 메모리에 로드시킴으로써, 커널 영역에서 직접적인 보안 정책 접근을 가능하게 한다. 또한, 커널 영역에 보안 정책 시스템을 제공하기 위해서 어플리케이션 영역의 메모리에 접근해서 커널 영역으로 로드하기 보다는 직접 커널 영역에 존재하는 보안 정책에 접근하는 것이 바람직하며, 이러한 방식을 통해서 보다 실시간적이고 효율적으로 보안 정책을 제공한다.

Description

분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법 {Security Policy System and Method in Distributed Computing Environment}
본 발명은 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법에 관한 것으로서, 보다 상세하게 설명하면, 정책 정보를 저장하는 SPDB를 커널 메모리와 어플리케이션 메모리에 분할하여 시스템 효율성을 증가시킨 보안 정책 시스템 및 그 방법에 관한 것이다.
이와 관련한 종래의 기술들은 크게 패킷 필터링을 위한 보안 정책 시스템 및 IPsec및 IDS와 같은 보안 정책 시스템의 두 가지로 구별할 수 있는데, 이를 상세히 살펴 보면, 다음과 같다.
(1) 패킷 필터링을 위한 보안 정책 시스템
패킷 필터링을 위한 보안 정책 시스템은 방화벽과 같이 패킷 필터링을 이용하여 네트워크 접근을 제어하는 보안 시스템에서 사용하는 방식으로서, 네트워크의 패킷을 캡쳐해서 이를 폐기 처리한 후, 넷 링크(NetLink)나 다이버트 소켓(Divert Raw Socket)등을 이용해서 어플리케이션에 있는 보안 정책 데이터베이스를 조회한다.
이때, 어플리케이션의 SPDB의 내용에 따라 폐기, 통과 또는 패킷을 수정해서 전송할 것인지를 결정하는데, SPDB가 어플리케이션에만 존재하므로 동시에 많은 패킷을 필터링하고자 하는 경우, 커널과 어플리케이션간의 통신 지연으로 인하여 네트워크 효율이 극도로 저하되는 경향이 있으며 SPDB에 대한 내부 또는 외부로부터의 불법 접근으로 인한 보안 취약성을 가질 수 있다. 이러한 패킷 필터링 방식은 네트워크 공격 방법에도 많이 사용된다.
(2) IPsec및 IDS와 같은 보안 정책 시스템
IPsec(IP SECurity)의 경우, IPsec 엔진이 커널의 IP 레벨에서 기능이 구현되며, 정책을 적용하는 PEP 또한 커널이 된다. 하지만, IPsec에서 사용되는 보안 정책 시스템은 현재 IETF(Internet Engineering Task Force)에서 워킹 드래프트(Working Draft) 형태로 연구 중이며, 정책 모델이나 SPSL(Security Policy Specification Language)에 관한 문서가 거의 전부이며, 다른 네트워크 보안 모듈, 즉, IPsec 엔진이나 IKE(Internet Key Exchange)등과의 인터페이스에 대해서는 전혀 언급이 없는 실정이다.
IPsec Working Group의 RFC2401에서 보면 보안 정책 데이터베이스(SPDB : Security Policy Database)와 보안 연계 데이터베이스(SADB : Security Association Database)의 링크에 대한 문맥적 언급이 있는데, 실제 SA(Security Association)의 구현을 위한 PF_KEY 문서에서는 SA를 커널에 저장하는 방안을 확정하였다.
IDS(Intrusion Detection System)는 어플리케이션 레벨에서 정책을 제공하고 있으며, 계층적 구조를 가지는 침입 탐지 시스템이 연구 및 구현 중에 있으며, 보안 정책 시스템간의 연동 메커니즘에 관한 연구가 활발히 진행되고 있다.
이러한 종래의 보안 관리 시스템은 기본적으로 어플리케이션 레벨로 운용되었기 때문에 시스템의 효율성에 막대한 지장을 초래하였다. 이러한 어플리케이션 레벨의 보안 시스템에 제공되는 보안 정책 또한 어플리케이션에 상주하였으며, 그 내용 또한 매우 단순하여 기능성과 효율성을 동시에 요구하는 대규모 네트워크 보안 관리에는 부적합하였다.
이러한 취약성을 보완하기 위해서 보안 관리 시스템들은 점점 하위 레벨 중심으로 연구되고 있지만, 여전히 보안 정책은 어플리케이션에 로드되어 시스템에 많은 과부하를 초래하고 있다. 또한, 대규모 패킷을 전송하기 위해서 보안 채널을 설정할 경우, 보안 정책 시스템에 의한 효율성 저하로 인하여 네트워크 상에서 통신 채널의 제 기능을 제대로 담당하지 못하여 시스템 자원을 낭비하고 있는 실정이다.
따라서, 본 발명은 상기와 같은 종래 기술의 문제점을 해결하기 위한 것으로서, 본 발명은 다양한 보안 기술에 적용할 수 있도록 유동성, 확장성 등을 고려하여 설계되었고, 보안 정책 적용 단계에서의 지연을 최소화하여 보안 관리 시스템의효율성 저하를 극소화하는 것을 목적으로 한다.
도 1은 본 발명의 일 실시예에 따른 보안 정책 관리 및 적용 시스템의 구성을 간략하게 나타낸 블록도이고,
도 2는 본 발명의 일 실시예에 따른 SPDB 스키마 및 자료 구조 연관 관계를 도시한 구조도이고,
도 3은 본 발명의 일 실시예에 따른 커널 메모리와 어플리케이션간의 통신을 위한 메시지 형태를 도시한 개념도이고,
도 4는 도 3에 도시된 커널 메모리와 어플리케이션간의 통신을 상세하게 보여 주는 도면이고,
도 5는 본 발명의 일 실시예에 따른 보안 정책 시스템의 운용 흐름을 나타낸 흐름도이다.
※ 도면의 주요부분에 대한 부호의 설명 ※
101 : 어플리케이션 SPDB(Security Policy DataBase)
102 : SPDB_API 103 : 정책 어댑터
104 : selDB_API 105 : selDB
106 : 정책 리스너 108 : PEP(Policy Enforcement Point)
상기한 목적을 달성하기 위한 본 발명에 따르면, 어플리케이션 영역 및 커널 영역으로 나누어져 있는 분산 컴퓨팅 환경에서의 보안 정책 시스템에 있어서, 상기 어플리케이션 영역은, 상기 어플리케이션 영역과 상기 커널 영역간의 통신 채널의 읽기 영역에서 상기 커널의 정책 요청을 쓰면서, 블록 상태로 대기하고, 이에 대한 응답으로 새로운 정책 협상 및 SA(Security Association) 협상을 요구하거나 EAM(Existence Assuraance Message)을 커널에 리턴하는 정책 리스너; 상기 정책 리스너에 의하여 정책 요청이 있으면, IPsec(IP security) 엔진 등의 정책 집행 시스템 또는 IKE(Internet Key Exchange) 등의 키 관련 시스템을 위한 정책 자원을 포함하여 방어벽 또는 패킷 필터링 모듈을 위한 패킷 제어 관련 보안 정책 정보를 저장하는 어플리케이션 SPDB(Security Policy DataBase); 및 상기 정책 리스너에 의하여 새로운 정책이나 SA가 협상되면, 이에 해당하는 정책 필드값들을 수집하고, 새로운 SA의 보안 정책에 관련한 정보들을 상기 커널로 전송하는 정책 어댑터;를 포함하고, 상기 커널 영역은, 상기 어플리케이션 SPDB에서 사용하는 필드들을 제외한 커널에서 사용하는 필드들을 저장하고, 상기 정책 어댑터에 의하여 전송된 새로운 SA의 보안 정책에 관련한 정보들을 저장하는 selDB; 및 요청에 해당하는 보안 정책을 상기 selDB로부터 읽어 들여, 이를 적용 및 집행하는 PEP(Policy Enforcement Point);를 포함하고, 상기 어플리케이션 영역 및 상기 커널 영역이 보안 정책과 관련된 메시지를 송수신할 때에는 INET(full name 및 한국어 번역 부탁합니다.) 레벨에서 이루어지고, 그 이외의 경우에는 TCP/IP 레벨로 플로우가 이동되는 것을 특징으로 하는 보안 정책 시스템이 제공된다.
또한, 어플리케이션 영역 및 커널 영역으로 나누어져 있는 분산 컴퓨팅 환경에서의 보안 정책 방법에 있어서, IPsec(IP security) 엔진 등의 정책 집행 시스템 또는 IKE(Internet Key Exchange) 등의 키 관련 시스템을 위한 정책 자원을 포함하여 방어벽 또는 패킷 필터링 모듈을 위한 패킷 제어 관련 보안 정책 정보를 상기 어플리케이션 영역의 SPDB(Security Policy DataBAse)에 저장하는 제 1 단계; 상기 어플리케이션 영역과 상기 커널 영역간의 통신 채널의 읽기 영역에서 상기 커널의 정책 요청을 쓰면서, 블록 상태로 대기하고, 이에 대한 응답으로 새로운 정책 협상 및 SA(Security Association) 협상을 요구하거나 EAM(Existence Assuraance Message)을 커널에 리턴하는 제 2 단계; 상기 제 2 단계에서 새로운 정책이나 SA가 협상되면, 이에 해당하는 정책 필드값들을 수집하고, 새로운 SA의 보안 정책에 관련한 정보들을 상기 커널로 전송하는 제 3 단계; 상기 어플리케이션 SPDB에서 사용하는 필드들을 제외한 커널에서 사용하는 필드들을 저장하고, 상기 정책 어댑터에 의하여 전송된 새로운 SA의 보안 정책에 관련한 정보들을 저장하는 제 4 단계; 및 요청에 해당하는 보안 정책을 상기 제 4 단계에서 저장한 정보로부터 읽어 들여, 이를 적용 및 집행하는 제 5 단계;를 포함하여 이루어진 것을 특징으로 하는 보안 정책 방법이 제공된다.
또한, 컴퓨터에, IPsec(IP security) 엔진 등의 정책 집행 시스템 또는IKE(Internet Key Exchange) 등의 키 관련 시스템을 위한 정책 자원을 포함하여 방어벽 또는 패킷 필터링 모듈을 위한 패킷 제어 관련 보안 정책 정보를 상기 어플리케이션 영역의 SPDB(Security Policy DataBAse)에 저장하는 제 1 단계; 상기 어플리케이션 영역과 상기 커널 영역간의 통신 채널의 읽기 영역에서 상기 커널의 정책 요청을 쓰면서, 블록 상태로 대기하고, 이에 대한 응답으로 새로운 정책 협상 및 SA(Security Association) 협상을 요구하거나 EAM(Existence Assurance Message)을 커널에 리턴하는 제 2 단계; 상기 제 2 단계에서 새로운 정책이나 SA가 협상되면, 이에 해당하는 정책 필드값들을 수집하고, 새로운 SA의 보안 정책에 관련한 정보들을 상기 커널로 전송하는 제 3 단계; 상기 어플리케이션 SPDB에서 사용하는 필드들을 제외한 커널에서 사용하는 필드들을 저장하고, 상기 정책 어댑터에 의하여 전송된 새로운 SA의 보안 정책에 관련한 정보들을 저장하는 제 4 단계; 및 요청에 해당하는 보안 정책을 상기 제 4 단계에서 저장한 정보로부터 읽어 들여, 이를 적용 및 집행하는 제 5 단계;를 포함하여 이루어진 것을 실행시킬 수 있는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체가 제공된다.
먼저, 본 발명의 특징을 간단히 요약하면, 다음과 같다.
어플리케이션 영역의 파일 시스템(FS : File System) 및 메모리에 상주하는 SPDB의 필드 중 SA selectors를 커널영역의 메모리에 로드시킴으로써 수행 속도를 높여, 이를 사용하는 보안 관리 시스템의 성능 향상을 가져 오게 된다.
커널 영역의 메모리로 로드시킨 후에도 어플리케이션 SPDB의 내용이 변하면, 이를 동적으로 커널 영역의 selDB에 적용시킴으로써, 실시간으로 두 정책간일관성(Consistency)을 유지할 수 있다.
폐기, 통과 등만을 지원하는 단순한 정책 시스템이 아니라 다양한 보안 기술에 적용할 수 있는 필드들을 정의함으로써, 대규모의 복잡한 네트워크 상에서 보다 효율적으로 정책을 적용할 수 있으며 유동성, 확장성을 지원한다.
커널 레벨의 보안 관리 시스템이 사용하는 정책 필드들을 정의하고, 이 정책들을 커널 메모리로 로드 시키는 자료 타입을 정의함으로써, 커널 레벨의 보안 정책에 대한 완벽한 투명성을 제공한다.
이하, 첨부된 도면을 참조하면서 본 발명의 일 실시예에 따른 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법을 보다 상세하게 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 보안 정책 관리 및 적용 시스템의 구성을 간략하게 나타낸 블록도로서, 본 발명에 따른 보안 정책 시스템은 크게 어플리케이션 SPDB(101), 커널 selDB(105), SPDB_API(102) 및 주변 모듈들로 구성된다.
즉, 본 발명에 따른 보안 정책 시스템은 크게 커널 레벨의 모듈들과 어플리케이션 레벨의 모듈들로 구분되는데, 어플리케이션 레벨의 모듈은 SPDB(101), SPDB_API(102), 정책 리스너(106), 정책 어댑터(103)로 구성되고, 커널 레벨의 모듈은 정책 요청(107), selDB(105), selDB_APT(104) 및 PEP(Policy Enforcement Point)(108)로 구성된다.
상기 어플리케이션 SPDB(101)는 IPsec 엔진과 같은 정책 집행 시스템이나 IKE(Internet Key Exchange)와 같은 키 관련 시스템을 위한 정책 자원을 포함하여기존의 방화벽이나 패킷 필터링 모듈을 위한 패킷 제어 관련 보안 정책 정보를 저장한다.
상기 SPDB_API(102)는 시스템 환경 설정 단계에서 파일 시스템의 SPDB를 어플리케이션 메모리의 SPDB로 로드하고 이에 대한 입/출력을 담당한다. 또한, 주소, 포트, 프로토콜 등을 기본 selectors로 포함하여 새로운 정책을 생성하거나 조회, 수정, 삭제의 기능을 제공하며 동적으로 SPDB 메모리 linked list 형태의 자료 구조를 변환하고, SPDB에 대한 동시 접속을 제어하는 잠금 기능을 포함한다.
상기 정책 리스너(106)는 커널과 어플리케이션간의 통신 채널의 읽기 영역에서 커널의 정책 요청을 쓰면서 블록 상태로 대기하고, 이에 대한 응답으로 새로운 정책 협상 및 SA 협상을 요구하거나 EAM(Existence Assurance Message)을 커널에 리턴한다.
상기 정책 어댑터(103)는 새로운 정책이나 SA가 협상되면, 해당하는 정책 필드값들을 상기 커널 영역의 selDB(105)와 비교해서 발췌하고, 새로운 SA의 보안 정책 인덱스, 액션, 모드, 전송 프로토콜 값들을 상기 커널 영역의 selDB로 매핑한다.
상기 커널 영역의 selDB(105)는 상기 어플리케이션 SPDB(101)의 일부 필드들을 발췌한 데이터베이스로서, 어플리케이션에서 사용하는 필드들을 제외한 커널에서 사용하는 필드들을 저장하는데, 정책 적용시 불필요한 지연을 감소시켜서 보안 시스템의 효율성을 증가시킨다.
상기 selDB_API(104)는 커널 레벨에서 효율적으로 동적 보안 정책을 적용하기 위하여 어플리케이션에 존재하는 상기 SPDB(101)의 존재 여부 및 협상을 요구할 수 있는 루틴이다. 한편 이러한 루틴은 커널의 네트워크 INET 레벨에서 이 역할을 담당한다. 또한, 상기 정책 리스너(106)에서 존재 여부에 대한 응답이나 새로운 정책 및 SA 설정 응답을 수신하기 위해서 대기하는데, 이러한 과정에서 최소한의 지연을 가지도록 구현되어야 한다. 어플리케이션과의 모든 통신이 완료되면, INET 레벨에서 TCP/IP 레벨로 플로우는 이동되고 INET레벨에서 설정된 selDB를 기본으로 상기 PEP(108)에서 보안 정책을 적용해서 집행한다.
이러한 개개의 모듈간의 상호 연동은 동기 방식과 비동기 방식을 혼합한 방식을 사용한다.
도 2는 본 발명의 일 실시예에 따른 SPDB 스키마 및 자료 구조 연관 관계를 도시한 구조도로서, 대부분의 정책들의 일반적인 보안 형태로 볼 수 있는 조건부(201)와 실행부(202)로 구분될 수 있다.
조건부는 SPDB(101)에서 인덱스로 사용하는 필드들의 구조로서, 소스 ID(211), 목적 ID(212) 및 네트워크 요소(213) 등이 있는데, 상기 소스 ID(211)는 소스 IP 주소, 소스 호스트 네임, 소스 포트 번호 및 사용자 ID등을 이용하고, 소스 IP 주소와 소스 포트 번호는 기본 필드로 포함되며, 모든 필드들에는 '*' 나 '?'와 같은 와일드 카드(Wild Card)를 모두 사용할 수 있다.
상기 목적 ID(212)도 상기 소스 ID(211)와 같은 필드를 저장하고 있으며, 네트워크 요소로는 전송 프로토콜과 시간 영역 등이 사용되는데, 전송 프로토콜은 기본 필드로 포함된다.
상기 실행부(202)는 IKE와 같은 키 교환 프로토콜, 즉, 키 규칙(214) 및 IPsec이나 방화벽, 기타 패킷 필터링 모듈, 즉, 패킷 규칙(215)에서 사용될 수 있는데, 상기 키 규칙(214)은 IKE와 같은 키 교환 프로토콜에서 phase1 협상을 위해서 사용되는 키 자원, 요소 및 제안서 등을 제공하고, 상기 패킷 규칙(215)은 phase1 협상을 통해서 안전한 통신 채널이 설정되면, 이를 기반으로 키를 교환하는 phase2 협상을 위한 정책 자원들을 포함할 뿐 아니라, IPsec과 같은 패킷 보호를 위한 정책 적용에도 사용된다.
도 3은 본 발명의 일 실시예에 따른 커널 메모리와 어플리케이션간의 통신을 위한 메시지 형태를 도시한 개념도로서, 정책 클라이언트에 해당하는 커널이 소스 IP 주소, 목적 IP 주소, 소스 포트 번호, 목적 포트 번호 프로토콜 등을 포함하는 정책 요청 메시지를 양방향 통신 채널을 통해서 전송하면, 정책 서버에 해당하는 어플리케이션은 이에 해당하는 액션, 전송 프로토콜, 모드, 보안 정책 인덱스 등을 추가한 메시지를 동일한 통신 채널을 통해서 응답한다. 이러한 과정에서 커널은 어플리케이션의 응답을 대기해야 하는데, 이를 용이하기 하기 위해서 INET 레벨을 사용하되, 실제 정책을 적용하는 레벨은 TCP/IP 레벨이다.
도 4는 도 3에 도시된 커널 메모리와 어플리케이션간의 통신을 상세하게 보여 주는 도면으로서, 이를 설명하면, 다음과 같다.
먼저, 상기 selDB(105)의 스키마는 상기 어플리케이션 SPDB(101)의 필드들 중 커널에서 사용되는 필드들만 발췌하여 저장한 것으로서, 한 개의 레코드가 총 9개의 필드를 가지고, 각각의 필드들은 적절한 정책을 적용하기 위한 selectors 값들로 사용된다. 상기 selDB_API(104)는 크게 get_selDB()와 set_selDB()로 구분되는데, INET 레벨의 요청에 의해서 상기 어플리케이션 SPDB(101)의 내용을 매핑하기 위한 함수가 set_selDB() 함수이고, 이렇게 설정된 selDB의 내용을 TCP/IP 레벨의 PEP(108)에서 적용하기 위한 함수가 get_selDB() 함수이다. 따라서, 상기 PEP(108) 전단계의 모든 패킷은 일반 패킷으로서, 어떠한 보안성도 제공하지 않지만, 상기 PEP(108)를 통과한 모든 패킷은 상기 selDB(105)에 적합한 보안성을 제공받은 안전한 패킷이다.
도 5는 본 발명의 일 실시예에 따른 보안 정책 시스템의 운용 흐름을 나타낸 흐름도로서, 이를 상세히 설명하면, 다음과 같다.
먼저, 스텝 S501에서, 상기 정책 요청(107)이 있으면, 보안 요청 메시지를 수신하여, 상기 스텝 S502에서, 정책 존재 여부를 검사한 후, 스텝 S503에서, 해당하는 정책이 존재하는 여부를 판단한다.
상기 스텝 S503에서의 판단 결과, 정책이 존재하면, 스텝 S504에서, TCP/IP 레벨로 이동한 후, 스텝 S505에서, 정책을 조회한 후, 종료한다.
한편, 상기 스텝 S502에서, 정책 존재 여부 메시지는 상기 어플리케이션 SPDB(101)에 저장하고, 상기 스텝 S505에서, 조회된 정책은 커널의 selDB(105)에저장된다.
한편, 상기 스텝 S503에서의 판단 결과, 해당하는 정책이 존재하지 아니하면, 스텝 S503에서, 새로운 정책 협상을 수행하고, 스텝 S507에서, 새로운 SPDB를 설정하여, 스텝 S508에서, 어플리케이션 SPDB(101)를 갱신한 후, 스텝 S509에서 selDB를 설정하여, 스텝 S510에서, 이를 저장한다.
위에서 양호한 실시예에 근거하여 이 발명을 설명하였지만, 이러한 실시예는 이 발명을 제한하려는 것이 아니라 예시하려는 것이다. 이 발명이 속하는 분야의 숙련자에게는 이 발명의 기술 사상을 벗어남이 없이 위 실시예에 대한 다양한 변화나 변경 또는 조절이 가능함이 자명할 것이다. 그러므로, 이 발명의 보호 범위는 첨부된 청구 범위에 의해서만 한정될 것이며, 위와 같은 변화예나 변경예 또는 조절예를 모두 포함하는 것으로 해석되어야 할 것이다.
상기와 같이 이루어지는 본 발명은 다음과 같은 효과를 가진다.
첫째, 보안 정책을 사용하는 모든 보안 시스템에서 보안 정책 데이터베이스를 어플리케이션은 물론 커널에도 이를 매핑함으로써, 정책 적용 단계의 지연을 최소화하여 시스템 효율성을 증가시키고 성능 향상을 가져 온다.
둘째, 방화벽과 같이 단순한 패킷 동작만을 정의했던 정책 데이터베이스를 포함해서 IPsec과 같이 복잡한 정책을 요구하는 보안 시스템의 정책 데이터베이스로도 사용할 수 있는 유동성을 가지며, 새로운 정책 정의에 따르는 데이터베이스의 변화에도 쉽게 대응하는 확장성을 제공한다.
셋째, 커널에 적용되는 정책의 스키마를 정의함으로써, 커널 레벨, 특히, TCP/IP 레벨에서의 보안 정책 적용에 대한 사용자 및 시스템에 보안 정책 투명성을 제공하여 자동화된 정책 적용 및 인터페이스 설계가 용이하다
넷째, 어플리케이션 SPDB의 정책 변화에 따르는 커널 selDB의 정책을 동적으로 구성하여 양 데이터베이스간 일관성(consistency) 문제를 완벽하게 해결함으로써, 사용자 및 관리자의 추가적인 접근을 방지할 수 있으며 외부 불법 접근으로부터 커널 selDB를 안전하기 보호할 수 있다.

Claims (9)

  1. 어플리케이션 영역 및 커널 영역으로 나누어져 있는 분산 컴퓨팅 환경에서의 보안 정책 시스템에 있어서,
    상기 어플리케이션 영역은,
    상기 어플리케이션 영역과 상기 커널 영역간의 통신 채널의 읽기 영역에서 상기 커널의 정책 요청을 쓰면서, 블록 상태로 대기하고, 이에 대한 응답으로 새로운 정책 협상 및 SA(Security Association) 협상을 요구하거나 EAM(Existence Assuraance Message)을 커널에 리턴하는 정책 리스너;
    상기 정책 리스너에 의하여 정책 요청이 있으면, IPsec(IP security) 엔진 등의 정책 집행 시스템 또는 IKE(Internet Key Exchange) 등의 키 관련 시스템을 위한 정책 자원을 포함하여 방어벽 또는 패킷 필터링 모듈을 위한 패킷 제어 관련 보안 정책 정보를 저장하는 어플리케이션 SPDB(Security Policy DataBase); 및
    상기 정책 리스너에 의하여 새로운 정책이나 SA가 협상되면, 이에 해당하는 정책 필드값들을 수집하고, 새로운 SA의 보안 정책에 관련한 정보들을 상기 커널로 전송하는 정책 어댑터;를 포함하고,
    상기 커널 영역은,
    상기 어플리케이션 SPDB에서 사용하는 필드들을 제외한 커널에서 사용하는 필드들을 저장하고, 상기 정책 어댑터에 의하여 전송된 새로운 SA의 보안 정책에 관련한 정보들을 저장하는 selDB; 및
    요청에 해당하는 보안 정책을 상기 selDB로부터 읽어 들여, 이를 적용 및 집행하는 PEP(Policy Enforcement Point);를 포함하고,
    상기 어플리케이션 영역 및 상기 커널 영역이 보안 정책과 관련된 메시지를 송수신할 때에는 INET 레벨에서 이루어지고, 그 이외의 경우에는 TCP/IP 레벨로 플로우가 이동되는 것을 특징으로 하는 보안 정책 시스템.
  2. 제 1 항에 있어서,
    상기 어플리케이션 영역은,
    시스템 환경 설정 단계에서 파일 시스템의 상기 SPDB를 어플리케이션 메모리의 SPDB로 로드하고, 이에 대한 입출력을 수행하는 SPDB_API를 더 포함하여 이루어진 것을 특징으로 하는 보안 정책 시스템.
  3. 제 2 항에 있어서,
    상기 SPDB_API는,
    주소, 포트 및 프로토콜을 기본 selectors로 포함하여 새로운 정책을 생성하거나 조회, 수정 및 삭제의 기능을 제공하고, 동적으로 상기 SPDB 메모리 linked list 형태의 자료 구조를 반환하며, 상기 SPDB에 대한 동시 접속을 제어하는 잠금 기능을 수행하는 것을 특징으로 하는 보안 정책 시스템.
  4. 제 1 항에 있어서,
    상기 정책 어댑터는,
    새로운 정책이나 SA가 협상되면, 해당하는 정책 필드값들을 상기 selDB와 비교해서 발췌하고, 새로운 SA의 보안 정책 인덱스, 액션, 모드 및 전송 프로토콜 값들을 상기 selDB로 매핑하는 것을 특징으로 하는 보안 정책 시스템.
  5. 제 1 항에 있어서,
    상기 커널 영역은,
    상기 어플리케이션에 존재하는 상기 SPDB의 존재 여부 및 협상을 요구하는 selDB_API를 더 포함하여 이루어진 것을 특징으로 하는 보안 정책 시스템.
  6. 어플리케이션 영역 및 커널 영역으로 나누어져 있는 분산 컴퓨팅 환경에서의 보안 정책 방법에 있어서,
    IPsec(IP security) 엔진 등의 정책 집행 시스템 또는 IKE(Internet Key Exchange) 등의 키 관련 시스템을 위한 정책 자원을 포함하여 방어벽 또는 패킷 필터링 모듈을 위한 패킷 제어 관련 보안 정책 정보를 상기 어플리케이션 영역의SPDB(Security Policy DataBAse)에 저장하는 제 1 단계;
    상기 어플리케이션 영역과 상기 커널 영역간의 통신 채널의 읽기 영역에서 상기 커널의 정책 요청을 쓰면서, 블록 상태로 대기하고, 이에 대한 응답으로 새로운 정책 협상 및 SA(Security Association) 협상을 요구하거나 EAM(Existence Assurance Message)을 커널에 리턴하는 제 2 단계;
    상기 제 2 단계에서 새로운 정책이나 SA가 협상되면, 이에 해당하는 정책 필드값들을 수집하고, 새로운 SA의 보안 정책에 관련한 정보들을 상기 커널로 전송하는 제 3 단계;
    상기 어플리케이션 SPDB에서 사용하는 필드들을 제외한 커널에서 사용하는 필드들을 저장하고, 상기 정책 어댑터에 의하여 전송된 새로운 SA의 보안 정책에 관련한 정보들을 저장하는 제 4 단계; 및
    요청에 해당하는 보안 정책을 상기 제 4 단계에서 저장한 정보로부터 읽어 들여, 이를 적용 및 집행하는 제 5 단계;
    를 포함하여 이루어진 것을 특징으로 하는 보안 정책 방법.
  7. 제 6 항에 있어서,
    상기 어플리케이션 영역 및 상기 커널 영역이 보안 정책과 관련된 메시지를 송수신할 때에는 INET 레벨에서 이루어지고, 그 이외의 경우에는 TCP/IP 레벨로 플로우가 이동되는 것을 특징으로 하는 보안 정책 방법.
  8. 제 6 항에 있어서,
    상기 SPDB의 실행부는 키 협상의 phase 1 에 사용되는 키 규칙 부분과 키 협상의 phase 2 및 패킷 정책 적용에 사용되는 패킷 규칙 부분을 총괄하여 관리하는 것을 특징으로 하는 보안 정책 방법.
  9. 컴퓨터에,
    IPsec(IP security) 엔진 등의 정책 집행 시스템 또는 IKE(Internet Key Exchange) 등의 키 관련 시스템을 위한 정책 자원을 포함하여 방어벽 또는 패킷 필터링 모듈을 위한 패킷 제어 관련 보안 정책 정보를 상기 어플리케이션 영역의 SPDB(Security Policy DataBAse)에 저장하는 제 1 단계;
    상기 어플리케이션 영역과 상기 커널 영역간의 통신 채널의 읽기 영역에서 상기 커널의 정책 요청을 쓰면서, 블록 상태로 대기하고, 이에 대한 응답으로 새로운 정책 협상 및 SA(Security Association) 협상을 요구하거나 EAM(Existence Assurance Message)을 커널에 리턴하는 제 2 단계;
    상기 제 2 단계에서 새로운 정책이나 SA가 협상되면, 이에 해당하는 정책 필드값들을 수집하고, 새로운 SA의 보안 정책에 관련한 정보들을 상기 커널로 전송하는 제 3 단계;
    상기 어플리케이션 SPDB에서 사용하는 필드들을 제외한 커널에서 사용하는 필드들을 저장하고, 상기 정책 어댑터에 의하여 전송된 새로운 SA의 보안 정책에 관련한 정보들을 저장하는 제 4 단계; 및
    요청에 해당하는 보안 정책을 상기 제 4 단계에서 저장한 정보로부터 읽어 들여, 이를 적용 및 집행하는 제 5 단계;
    를 포함하여 이루어진 것을 실행시킬 수 있는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체.
KR1020000080995A 2000-12-23 2000-12-23 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법 KR20020051599A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020000080995A KR20020051599A (ko) 2000-12-23 2000-12-23 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020000080995A KR20020051599A (ko) 2000-12-23 2000-12-23 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR20020051599A true KR20020051599A (ko) 2002-06-29

Family

ID=27685173

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020000080995A KR20020051599A (ko) 2000-12-23 2000-12-23 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR20020051599A (ko)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100422807B1 (ko) * 2001-09-05 2004-03-12 한국전자통신연구원 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법
KR100447511B1 (ko) * 2001-12-26 2004-09-07 한국전자통신연구원 역할기반 접근제어 방법
KR100501210B1 (ko) * 2002-12-03 2005-07-18 한국전자통신연구원 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그방법
KR100853721B1 (ko) * 2006-12-21 2008-08-25 주식회사 레드게이트 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법
KR100976602B1 (ko) * 2008-01-24 2010-08-18 (주)닥터소프트 파일 전송 보안 방법 및 장치
KR101026558B1 (ko) * 2003-06-06 2011-03-31 마이크로소프트 코포레이션 네트워크 방화벽을 구현하기 위한 다층 기반 방법
KR101026635B1 (ko) * 2003-06-06 2011-04-04 마이크로소프트 코포레이션 방화벽 프레임 워크, 통신 방법 및 컴퓨터 판독가능 매체
US8336093B2 (en) 2007-01-08 2012-12-18 Sungkyunkwan University Foundation For Corporate Collaboration Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100422807B1 (ko) * 2001-09-05 2004-03-12 한국전자통신연구원 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법
KR100447511B1 (ko) * 2001-12-26 2004-09-07 한국전자통신연구원 역할기반 접근제어 방법
KR100501210B1 (ko) * 2002-12-03 2005-07-18 한국전자통신연구원 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그방법
KR101026558B1 (ko) * 2003-06-06 2011-03-31 마이크로소프트 코포레이션 네트워크 방화벽을 구현하기 위한 다층 기반 방법
KR101026635B1 (ko) * 2003-06-06 2011-04-04 마이크로소프트 코포레이션 방화벽 프레임 워크, 통신 방법 및 컴퓨터 판독가능 매체
KR100853721B1 (ko) * 2006-12-21 2008-08-25 주식회사 레드게이트 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법
US8336093B2 (en) 2007-01-08 2012-12-18 Sungkyunkwan University Foundation For Corporate Collaboration Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof
KR100976602B1 (ko) * 2008-01-24 2010-08-18 (주)닥터소프트 파일 전송 보안 방법 및 장치

Similar Documents

Publication Publication Date Title
US8635686B2 (en) Integrated privilege separation and network interception
Shepler et al. Network file system (NFS) version 4 minor version 1 protocol
KR100999236B1 (ko) 프레임워크 내의 설치된 필터 집합에 새로운 필터를 추가하는 방법 및 컴퓨터 판독가능 기록 매체
US6381602B1 (en) Enforcing access control on resources at a location other than the source location
US6772348B1 (en) Method and system for retrieving security information for secured transmission of network communication streams
US6981143B2 (en) System and method for providing connection orientation based access authentication
US7200862B2 (en) Securing uniform resource identifier namespaces
US20070006294A1 (en) Secure flow control for a data flow in a computer and data flow in a computer network
US20050273858A1 (en) Stackable file systems and methods thereof
KR101948049B1 (ko) 강제적 접근 제어 컴퓨팅 환경에서 네트워크 제어의 개선
US20070101124A1 (en) Secure provisioning of digital content
US20120331097A1 (en) Bilateral communication using multiple one-way data links
US20080148342A1 (en) Management of application specific data traffic
JP2004530968A (ja) ネットワークアダプタ管理
IL211823A (en) Methods and systems for security and protection of repositories and folders
KR20020051599A (ko) 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법
US7774847B2 (en) Tracking computer infections
Liu et al. Working mechanism of eternalblue and its application in ransomworm
US20220385596A1 (en) Protecting integration between resources of different services using service-generated dependency tags
Xu et al. Earp: Principled storage, sharing, and protection for mobile apps
Susilo et al. Personal firewall for Pocket PC 2003: design & implementation
He et al. Enforcing enterprise-wide policies over standard client-server interactions
Dimitrov et al. Challenges and new technologies for addressing security in high performance distributed environments
Mufti et al. Data provenance in the internet of things: Views and challenges
Suzuki et al. Capability-based egress network access control for transferring access rights

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application