서비스 기능 체인 보안 정책 검증을 위한 형식 모델

초록

본 논문은 SDN·NFV 기반 서비스 기능 체인(SFC)에서 개별 서비스 기능(SF)의 정책 충돌과 순서 오류를 형식적으로 모델링하고, 이를 자동 검증할 수 있는 수학적 프레임워크를 제시한다. 패킷, 상태, 규칙, 행동을 정형화하여 체인 전체의 트래픽 변환을 추론하고, 사전 정의된 보안 요구사항과 비교함으로써 잘못된 구성이나 보안 결함을 탐지한다.

상세 분석

논문은 먼저 SDN과 NFV가 제공하는 동적 서비스 기능 체인의 장점을 설명하고, 이러한 환경에서 정책 충돌·순서 오류가 발생할 위험성을 강조한다. 기존 연구가 방화벽·IPSec 등 단일 보안 장치에 국한된 분석에 머물렀던 반면, 저자는 SFC 전체를 하나의 시스템으로 보고 형식 모델을 구축한다. 모델의 핵심은 네 가지 요소로 구성된다. 첫째, 패킷을 네트워크 필드 집합 N 의 값 쌍으로 정의하고, 널 패킷 ∅ 을 드롭을 나타내는 특수 객체로 포함한다. 둘째, 서비스 기능 SF 는 정책 P 과 상태 S 의 쌍으로 표현되며, 정책은 순서가 있는 규칙 집합 R, 충돌 해결 전략 R (예: 첫 매칭 규칙), 그리고 기본 동작 ad 로 구성된다. 셋째, 각 규칙은 조건 C (네트워크 필드 혹은 상태 필드와 관계 연산)과 행동 A (패킷 변형·상태 업데이트)의 순서쌍으로 모델링된다. 넷째, SFC는 순서가 있는 SF 리스트