ホーム > 特許ランキング > ペンタ・セキュリティ株式会社
知財求人 - 知財ポータルサイト「IP Force」
▶ ペンタ・セキュリティ・システムズ・インコーポレーテッドの特許一覧
特開2024-70806船舶ネットワークの差分セキュリティサービスのためのユーザ認証に基づくパケット分類方法及び装置
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024070806
(43)【公開日】2024-05-23
(54)【発明の名称】船舶ネットワークの差分セキュリティサービスのためのユーザ認証に基づくパケット分類方法及び装置
(51)【国際特許分類】
G06F 21/62 20130101AFI20240516BHJP
G06F 21/31 20130101ALI20240516BHJP
【FI】
G06F21/62 309
G06F21/31
【審査請求】有
【請求項の数】16
【出願形態】OL
(21)【出願番号】P 2023131743
(22)【出願日】2023-08-14
(31)【優先権主張番号】10-2022-0150123
(32)【優先日】2022-11-11
(33)【優先権主張国・地域又は機関】KR
(71)【出願人】
【識別番号】505112037
【氏名又は名称】ペンタ・セキュリティ株式会社
(74)【代理人】
【識別番号】100121728
【弁理士】
【氏名又は名称】井関 勝守
(74)【代理人】
【識別番号】100165803
【弁理士】
【氏名又は名称】金子 修平
(74)【代理人】
【識別番号】100179648
【弁理士】
【氏名又は名称】田中 咲江
(74)【代理人】
【識別番号】100222885
【弁理士】
【氏名又は名称】早川 康
(74)【代理人】
【識別番号】100140338
【弁理士】
【氏名又は名称】竹内 直樹
(74)【代理人】
【識別番号】100227695
【弁理士】
【氏名又は名称】有川 智章
(74)【代理人】
【識別番号】100170896
【弁理士】
【氏名又は名称】寺薗 健一
(74)【代理人】
【識別番号】100219313
【弁理士】
【氏名又は名称】米口 麻子
(74)【代理人】
【識別番号】100161610
【弁理士】
【氏名又は名称】藤野 香子
(72)【発明者】
【氏名】呉珍赫
(72)【発明者】
【氏名】尹健
(72)【発明者】
【氏名】尹▲ソン▼佑
(72)【発明者】
【氏名】李相旻
(72)【発明者】
【氏名】林明哲
(72)【発明者】
【氏名】沈相奎
(72)【発明者】
【氏名】金泰均
(57)【要約】
【課題】船舶ネットワークにおいて差分セキュリティサービスを提供するためのユーザ認証に基づくパケット分類方法及び装置が開示される。
【解決手段】ユーザ認証に基づくパケット分類方法は、クライアントを含むユーザ端末から認証コード要請メッセージを受け取るステップと、認証コード要請メッセージに基づいてクライアントのユーザに対する認証及び権限を承認するステップと、認証コード要請メッセージに対応して認証コード応答メッセージをユーザ端末に伝達するステップと、ユーザ端末から認証コード応答メッセージに基づいたアクセストークン要請メッセージを受け取るステップと、アクセストークン要請メッセージに対応してアクセストークンを含むアクセストークン応答メッセージをユーザ端末に伝達するステップと、を含む。
【選択図】図1
【解決手段】ユーザ認証に基づくパケット分類方法は、クライアントを含むユーザ端末から認証コード要請メッセージを受け取るステップと、認証コード要請メッセージに基づいてクライアントのユーザに対する認証及び権限を承認するステップと、認証コード要請メッセージに対応して認証コード応答メッセージをユーザ端末に伝達するステップと、ユーザ端末から認証コード応答メッセージに基づいたアクセストークン要請メッセージを受け取るステップと、アクセストークン要請メッセージに対応してアクセストークンを含むアクセストークン応答メッセージをユーザ端末に伝達するステップと、を含む。
【選択図】図1
【特許請求の範囲】
【請求項1】
プロセッサを含むサービス提供者によって行われる船舶ネットワークの差分セキュリティサービスのためのユーザ認証に基づくパケット分類方法であって、
クライアントを含むユーザ端末から認証コード要請メッセージを受け取るステップと、
前記認証コード要請メッセージに基づいて前記クライアントのユーザに対する認証及び権限を承認するステップと、
前記認証コード要請メッセージに対応して前記ユーザ端末に認証コード応答メッセージを伝達するステップと、
前記ユーザ端末から前記認証コード応答メッセージに基づいたアクセストークン要請メッセージを受け取るステップと、
前記アクセストークン要請メッセージに対応してアクセストークンを含むアクセストークン応答メッセージを前記ユーザ端末に伝達するステップと、
を含む、ユーザ認証に基づくパケット分類方法。
クライアントを含むユーザ端末から認証コード要請メッセージを受け取るステップと、
前記認証コード要請メッセージに基づいて前記クライアントのユーザに対する認証及び権限を承認するステップと、
前記認証コード要請メッセージに対応して前記ユーザ端末に認証コード応答メッセージを伝達するステップと、
前記ユーザ端末から前記認証コード応答メッセージに基づいたアクセストークン要請メッセージを受け取るステップと、
前記アクセストークン要請メッセージに対応してアクセストークンを含むアクセストークン応答メッセージを前記ユーザ端末に伝達するステップと、
を含む、ユーザ認証に基づくパケット分類方法。
【請求項2】
前記ユーザ端末から前記アクセストークンを含むリソース要請メッセージを受け取るステップと、
前記リソース要請メッセージに対応してリソース又はリソース情報を含むリソース応答メッセージを前記ユーザ端末に伝送するステップと、をさらに含む、請求項1に記載のユーザ認証に基づくパケット分類方法。
前記リソース要請メッセージに対応してリソース又はリソース情報を含むリソース応答メッセージを前記ユーザ端末に伝送するステップと、をさらに含む、請求項1に記載のユーザ認証に基づくパケット分類方法。
【請求項3】
前記リソース要請メッセージ内の拡張パラメータに定義されたユーザクラスに基づいて、差分セキュリティサービスを提供するためのユーザクラス管理テーブルを参照するステップと、
前記ユーザクラス管理テーブルに定義された前記ユーザクラスによるアクションに基づいて、前記ユーザ端末のパケットに差分セキュリティサービスを適用するステップと、
をさらに含む、請求項2に記載のユーザ認証に基づくパケット分類方法。
前記ユーザクラス管理テーブルに定義された前記ユーザクラスによるアクションに基づいて、前記ユーザ端末のパケットに差分セキュリティサービスを適用するステップと、
をさらに含む、請求項2に記載のユーザ認証に基づくパケット分類方法。
【請求項4】
前記ユーザクラスによる優先順位キューに基づいてパケットデータの処理手順を変更するステップをさらに含む、請求項3に記載のユーザ認証に基づくパケット分類方法。
【請求項5】
前記ユーザクラス管理テーブルは、クラス(class)フィールド、優先順位(priority)フィールド、及びアクション(action)フィールドを含み、
前記クラスフィールドは、ユーザクラスを表示するクラスタッグ(class tag)であり、サービス提供者によって定義され、
前記アクションフィールドは、該当のトラフィックに実行されるべきセキュリティサービスの種類又は予め設定されたクラス毎のアクションを定義する、請求項3に記載のユーザ認証に基づくパケット分類方法。
前記クラスフィールドは、ユーザクラスを表示するクラスタッグ(class tag)であり、サービス提供者によって定義され、
前記アクションフィールドは、該当のトラフィックに実行されるべきセキュリティサービスの種類又は予め設定されたクラス毎のアクションを定義する、請求項3に記載のユーザ認証に基づくパケット分類方法。
【請求項6】
前記拡張パラメータは、ユーザクラスと優先順位を定義するユーザクラスフィールド、ユーザクラス管理テーブルのバージョン情報を表示するクラス情報フィールド、及び制約事項フィールドを含む、請求項3に記載のユーザ認証に基づくパケット分類方法。
【請求項7】
前記サービス提供者の認証サーバの前記アクセストークン応答メッセージに対応するHTTP(hypertext transfer protocol)応答に、ユーザクラスを指定する拡張パラメータを定義するステップをさらに含む、請求項1に記載のユーザ認証に基づくパケット分類方法。
【請求項8】
前記クライアントからクライアントサービスの事前登録を受け取るステップをさらに含む、請求項1に記載のユーザ認証に基づくパケット分類方法。
【請求項9】
船舶ネットワークの差分セキュリティサービスのために、ユーザ認証に基づいてパケットを分類するための少なくとも1つの命令を記憶するメモリと、
前記メモリに接続されて前記少なくとも1つの命令を行うプロセッサと、
を含み、
前記少なくとも1つの命令によって、前記プロセッサが、
クライアントを含むユーザ端末から認証コード要請メッセージを受け取るステップと、
前記認証コード要請メッセージに基づいて前記クライアントのユーザに対する認証及び権限を承認するステップと、
前記認証コード要請メッセージに対応して前記ユーザ端末に認証コード応答メッセージを伝達するステップと、
前記ユーザ端末から前記認証コード応答メッセージに基づいたアクセストークン要請メッセージを受け取るステップと、
前記アクセストークン要請メッセージに対応してアクセストークンを含むアクセストークン応答メッセージを前記ユーザ端末に伝達するステップと、
を行う、ユーザ認証に基づくパケット分類装置。
前記メモリに接続されて前記少なくとも1つの命令を行うプロセッサと、
を含み、
前記少なくとも1つの命令によって、前記プロセッサが、
クライアントを含むユーザ端末から認証コード要請メッセージを受け取るステップと、
前記認証コード要請メッセージに基づいて前記クライアントのユーザに対する認証及び権限を承認するステップと、
前記認証コード要請メッセージに対応して前記ユーザ端末に認証コード応答メッセージを伝達するステップと、
前記ユーザ端末から前記認証コード応答メッセージに基づいたアクセストークン要請メッセージを受け取るステップと、
前記アクセストークン要請メッセージに対応してアクセストークンを含むアクセストークン応答メッセージを前記ユーザ端末に伝達するステップと、
を行う、ユーザ認証に基づくパケット分類装置。
【請求項10】
前記プロセッサが、前記ユーザ端末から前記アクセストークンを含むリソース要請メッセージを受け取るステップと、前記リソース要請メッセージに対応してリソース又はリソース情報を含むリソース応答メッセージを前記ユーザ端末に伝送するステップと、をさらに行う、請求項9に記載のユーザ認証に基づくパケット分類装置。
【請求項11】
前記プロセッサが、前記リソース要請メッセージ内の拡張パラメータに定義されたユーザクラスに基づいて、差分セキュリティサービスを提供するためのユーザクラス管理テーブルを参照するステップと、前記ユーザクラス管理テーブルに定義された前記ユーザクラスによるアクションに基づいて、前記ユーザ端末のパケットに差分セキュリティサービスを適用するステップと、をさらに行う、請求項10に記載のユーザ認証に基づくパケット分類装置。
【請求項12】
前記プロセッサが、前記ユーザクラスによる優先順位キューに基づいてパケットデータの処理手順を変更するステップをさらに行う、請求項11に記載のユーザ認証に基づくパケット分類装置。
【請求項13】
前記ユーザクラス管理テーブルは、クラス(class)フィールド、優先順位(priority)フィールド、及びアクション(action)フィールドを含み、
前記クラスフィールドは、ユーザクラスを表示するクラスタッグ(class tag)であり、サービス提供者によって定義され、
前記アクションフィールドは、該当のトラフィックに実行されるべきセキュリティサービスの種類又は予め設定されたクラス毎のアクションを定義する、請求項11に記載のユーザ認証に基づくパケット分類装置。
前記クラスフィールドは、ユーザクラスを表示するクラスタッグ(class tag)であり、サービス提供者によって定義され、
前記アクションフィールドは、該当のトラフィックに実行されるべきセキュリティサービスの種類又は予め設定されたクラス毎のアクションを定義する、請求項11に記載のユーザ認証に基づくパケット分類装置。
【請求項14】
前記拡張パラメータは、ユーザクラスと優先順位を定義するユーザクラスフィールド、ユーザクラス管理テーブルのバージョン情報を表示するクラス情報フィールド、及び制約事項フィールドを含む、請求項11に記載のユーザ認証に基づくパケット分類装置。
【請求項15】
前記プロセッサが、前記クライアントからクライアントサービスの事前登録を受け取るステップをさらに行う、請求項9に記載のユーザ認証に基づくパケット分類装置。
【請求項16】
前記プロセッサが、前記サービス提供者の認証サーバの前記アクセストークン応答メッセージに対応するHTTP(hypertext transfer protocol)応答に、ユーザクラスを指定する拡張パラメータを定義するステップをさらに行う、請求項9に記載のユーザ認証に基づくパケット分類装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザ認証に基づくパケット分類技術に関し、より具体的には、船舶ネットワークで差分セキュリティサービスを提供するためのユーザ認証に基づくパケット分類方法及び装置に関する。
【背景技術】
【0002】
造船海洋及び海運港湾分野内における最先端デジタル技術と人工知能を適用した自律運航船の導入のような環境変化に従い、船舶ネットワークにも自律運航船時代の到来のためのセキュリティシステムの準備に対する必要性が急増している。また、船舶と陸上との間、また、船舶内の主なシステム間の様々なネットワーク接続及び情報共有の増加によるサイバーセキュリティの必要性も急増している。
【0003】
実際、海洋事故被害の深刻性は道路交通に対して6倍以上であり、よって、事故発生時の待避空間である海での二次被害発生の恐れが非常に高い。2017年以後運営技術(operation technology、OT)システムに対するサイバー攻撃が900%増加した。また、2020年2月から5月まで海洋産業全体にわたるサイバー攻撃が4倍増加したと報告された。
【0004】
このように、船舶の特性上、限定された資源でサイバーセキュリティ装置を駆動しなければならないため、これに適した船舶最適化セキュリティシステムに対する研究が必要な実情である。船舶は、一定期間、川や海で航海する特性があるため、限定されたネットワーク装置と資源でサイバーセキュリティシステムを運営できるように設計されなければならない。よって、従来の地上で用いていたサイバーセキュリティゲートウェイなどを船舶ネットワークに使用するためには、その効率性を改善する必要があり、さらに進化する次世代セキュリティ技術のサービス融合化が必要である。
【0005】
次世代セキュリティ技術は、1つのセキュリティ製品においてネットワーク階層からアプリケーション階層までセキュリティ技術の適用範囲が広がっている。すなわち、次世代セキュリティ技術は、単一のサービスではなく複合的な統合セキュリティサービスを提供するように構成される。
【0006】
しかし、通常、全てのネットワークパケットが全てのセキュリティサービスを用いる必要がないので、次世代セキュリティ技術において、ユーザクラス毎の差分セキュリティサービスを提供することで効率性を向上させる必要がある。また、単にシステムのアクセス権限を制御するだけでなく、パケットのセキュリティクラス、感度、出所などに応じた差分的なネットワーク及びセキュリティサービスを提供する必要もある。特に、最初許可されたアドレスの繰り返しアクセスに対する冗長検査などのように従来の次世代セキュリティ技術の非効率性を改善する必要がある。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】韓国公開特許第10-2021-0001728号公報(2021.01.06)
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明は、従来技術の要求に応えるために導出されたものであり、本発明の目的は、船舶ネットワーク環境で使用するセキュリティゲートウェイの動作効率性を改善できる、ユーザ認証に基づくパケット分類方法及び装置を提供することである。
【0009】
本発明の他の目的は、権限付与(authorization)のためのオープンスタンダードプロトコルを活用する統合認証に基づくパケット分類によって差分的なセキュリティサービスを提供できる、ユーザ認証に基づくパケット分類方法及び装置を提供することである。
【課題を解決するための手段】
【0010】
上記の技術的課題を解決するための本発明の一態様によるユーザ認証に基づくパケット分類方法は、プロセッサを含むサービス提供者によって行われる船舶ネットワークの差分セキュリティサービスのためのユーザ認証に基づくパケット分類方法であって、クライアントを含むユーザ端末から認証コード要請メッセージを受け取るステップと、前記認証コード要請メッセージに基づいて前記クライアントのユーザに対する認証及び権限を承認するステップと、前記認証コード要請メッセージに対応して前記ユーザ端末に認証コード応答メッセージを伝達するステップと、前記ユーザ端末から前記認証コード応答メッセージに基づいたアクセストークン要請メッセージを受け取るステップと、前記アクセストークン要請メッセージに対応してアクセストークンを含むアクセストークン応答メッセージを前記ユーザ端末に伝達するステップと、を含む。
【0011】
前記ユーザ認証に基づくパケット分類方法は、前記ユーザ端末から前記アクセストークンを含むリソース要請メッセージを受け取るステップと、前記リソース要請メッセージに対応してリソース又はリソース情報を含むリソース応答メッセージを前記ユーザ端末に伝送するステップと、をさらに含んでもよい。
【0012】
前記ユーザ認証に基づくパケット分類方法は、前記リソース要請メッセージ内の拡張パラメータに定義されたユーザクラスに基づいて、差分セキュリティサービスを提供するためのユーザクラス管理テーブルを参照するステップと、前記ユーザクラス管理テーブルに定義された前記ユーザクラスによるアクションに基づいて、前記ユーザ端末のパケットに差分セキュリティサービスを適用するステップと、をさらに含んでもよい。
【0013】
前記ユーザ認証に基づくパケット分類方法は、前記ユーザクラスによる優先順位キューに基づいてパケットデータの処理手順を変更するステップをさらに含んでもよい。
【0014】
前記ユーザ認証に基づくパケット分類方法は、前記クライアントからクライアントサービスの事前登録を受け取るステップをさらに含んでもよい。
【0015】
前記ユーザ認証に基づくパケット分類方法は、前記サービス提供者の認証サーバの前記アクセストークン応答メッセージに対応する(hypertext transfer protocol)応答に、ユーザ認証に基づく差分セキュリティサービスのためにユーザクラスを指定する拡張パラメータを定義するステップをさらに含んでもよい。
【0016】
上記の技術的課題を解決するための本発明の他の態様によるユーザ認証に基づくパケット分類装置は、船舶ネットワークの差分セキュリティサービスのために、ユーザ認証に基づいてパケットを分類するための少なくとも1つの命令を記憶するメモリと、前記メモリに接続されて前記少なくとも1つの命令を行うプロセッサと、を含む。前記少なくとも1つの命令によって、前記プロセッサは、クライアントを含むユーザ端末から認証コード要請メッセージを受け取るステップと、前記認証コード要請メッセージに基づいて前記クライアントのユーザに対する認証及び権限を承認するステップと、前記認証コード要請メッセージに対応して前記ユーザ端末に認証コード応答メッセージを伝達するステップと、前記ユーザ端末から前記認証コード応答メッセージに基づいたアクセストークン要請メッセージを受け取るステップと、前記アクセストークン要請メッセージに対応してアクセストークンを含むアクセストークン応答メッセージを前記ユーザ端末に伝達するステップと、を行う。
【0017】
前記ユーザ認証に基づくパケット分類装置は、前記プロセッサが、前記ユーザ端末から前記アクセストークンを含むリソース要請メッセージを受け取るステップと、前記リソース要請メッセージに対応してリソース又はリソース情報を含むリソース応答メッセージを前記ユーザ端末に伝送するステップと、をさらに行うように構成されてもよい。
【0018】
前記ユーザ認証に基づくパケット分類装置は、前記プロセッサが、前記リソース要請メッセージ内の拡張パラメータに定義されたユーザクラスに基づいて、差分セキュリティサービスを提供するためのユーザクラス管理テーブルを参照するステップと、前記ユーザクラス管理テーブルに定義された前記ユーザクラスによるアクションに基づいて、前記ユーザ端末のパケットに差分セキュリティサービスを適用するステップと、をさらに行うように構成されてもよい。
【0019】
前記ユーザ認証に基づくパケット分類装置は、前記プロセッサが、前記ユーザクラスによる優先順位キューに基づいてパケットデータの処理手順を変更するステップをさらに行うように構成されてもよい。
【0020】
前記ユーザクラス管理テーブルは、クラス(class)フィールド、優先順位(priority)フィールド、及びアクション(action)フィールドを含んでもよい。前記クラスフィールドは、ユーザクラスを表示するクラスタッグ(class tag)であり、サービス提供者によって定義することができる。また、前記アクションフィールドは、該当のトラフィックに実行されるべきセキュリティサービスの種類又は予め設定されたクラス毎のアクションを定義することができる。
【0021】
前記拡張パラメータは、ユーザクラスと優先順位を定義するユーザクラスフィールド、ユーザクラス管理テーブルのバージョン情報を表示するクラス情報フィールド、及び制約事項フィールドを含んでもよい。
【0022】
前記ユーザ認証に基づくパケット分類装置は、前記プロセッサが、前記クライアントからクライアントサービスの事前登録を受け取るステップをさらに行うように構成されてもよい。
【0023】
前記ユーザ認証に基づくパケット分類装置は、前記プロセッサが、前記サービス提供者の認証サーバの前記アクセストークン応答メッセージに対応するHTTP(hypertext transfer protocol)応答に、ユーザ認証に基づく差分セキュリティサービスのためにユーザクラスを指定する拡張パラメータを定義するステップをさらに行うように構成されてもよい。
【発明の効果】
【0024】
本発明によると、認証のためのオープンスタンダードプロトコルを活用する統合認証に基づくパケット分類によって差分的なセキュリティサービスを提供することで、パケット検出及び対応速度を向上させることができ、ネットワークリソース活用の効率性を改善することができる。
【0025】
また、本発明によると、ユーザ認証に基づく差分セキュリティサービスの運営機能を簡便に設計することができ、船舶ネットワークにおけるユーザクラスの管理のためのセキュリティゲートウェイの機能を効率的に定義することができる。
【0026】
また、本実施例によると、個々の船舶システムのセキュリティ要求事項に応じて船舶ネットワークの接続者の統合認証(SSO)によって発行されるトークン(token)にユーザを区分できる拡張パラメータを定義し、拡張パラメータによって定義されたユーザクラスと、ユーザクラスによって決定されるアクションに対する設定を含むユーザクラス管理テーブルに基づいて、差分セキュリティサービスのための予め定義されたアクション(action)を効果的に行うことができる。
【0027】
さらに、本実施例によると、制限されたリソースの船舶ネットワーク環境において、ユーザクラスによる差分セキュリティサービスを提供することでリソースを節約することができ、ユーザクラスによる優先順位キューに基づくデータ処理プロセスによって、パケットを正確かつ迅速に検出することができ、これによってセキュリティ対応速度を向上させることができる。
【図面の簡単な説明】
【0028】
【図1】本発明の一実施例による船舶ネットワークの差分セキュリティサービスのためのユーザ認証に基づくパケット分類方法(以下、単に「パケット分類方法」という)を説明するためのフローチャートである。
【図5】本発明の他の実施例による船舶ネットワークの差分セキュリティサービスのためのユーザ認証に基づくパケット分類装置(以下、単に「パケット分類装置」という)の構成に対する概略的なブロック図である。
【図6】本発明のまた他の実施例によるパケット分類装置を採用できる船舶ネットワークのアクセス制御手順を説明するための例示図である。
【発明を実施するための形態】
【0029】
本発明は様々な変更を加えることができ、種々の実施例を有することができるところ、特定の実施例を図面に例示して詳細に説明する。しかし、これは、本発明を特定の実施例に対して限定しようとするものでなく、本発明の思想及び技術範囲に含まれる全ての変更、均等物ないし代替物を含むものと理解されるべきである。
【0030】
第1、第2などの用語は、様々な構成要素を説明するために使用することができるが、上記構成要素は、上記用語によって限定されてはならない。上記用語はある構成要素を他の構成要素から区別する目的でのみ使用することができる。例えば、本発明の権利範囲を逸脱することなく、第1構成要素は第2構成要素と命名されてもよく、同様に第2構成要素も第1構成要素に命名されてもよい。「及び/又は」という用語は、複数の関連する記載項目の組み合わせ又は複数の関連する記載項目のうちのいずれかの項目を含む。
【0031】
本出願の実施例において、「A及びBのうちの少なくとも1つ」は、「A又はBのうちの少なくとも1つ」又は「A及びBのうちの1つ以上の組み合わせのうちの少なくとも1つ」を意味することができる。また、本出願の実施例において、「A及びBのうちの1つ以上」は、「A又はBのうちの1つ以上」又は「A及びBのうちの1つ以上の組み合わせのうちの1つ以上」を意味することができる。
【0032】
ある構成要素が他の構成要素に「連結されて」いるか「接続されて」いると言及された場合は、他の構成要素に直接的に連結されているか又は接続されていることもできるが、それらの間にまた他の構成要素が存在することもできると理解すべきである。一方、ある構成要素が他の構成要素に「直接連結されて」いるか「直接接続されて」いると言及された場合は、それらの間にまた他の構成要素が存在しないと理解すべきである。
【0033】
本出願で使用した用語は、単に特定の実施例を説明するために使用されたものであり、本発明を限定しようとする意図でない。単数の表現は、文脈上明白に異なるように意味しない限り、複数の表現を含む。本出願において、「含む」又は「有する」などの用語は、明細書に記載された特徴、数字、ステップ、動作、構成要素、部品又はこれらを組み合わせたものが存在することを指定しようとするものであり、1つ又はそれ以上の他の特徴や数字、ステップ、動作、構成要素、部品又はこれらを組み合わせたものなどの存在又は付加の可能性を予め排除しないものと理解されるべきである。
【0034】
異なるように定義されない限り、技術的または科学的な用語を含んでここで使用される全ての用語は、本発明が属する技術分野における通常の知識を有する者が一般に理解するものと同一の意味を有している。一般に使用される予め定義されているような用語は、関連技術の文脈上有する意味と一致する意味を有するものと解釈されるべきであり、本出願で明白に定義しない限り、理想的や過度に形式的な意味として解釈されない。
【0035】
以下、添付の図面を参照して、本発明の好ましい実施例をより詳細に説明する。以下の詳細な説明は単に例示的な目的で提供されるものであり、本発明の概念を任意の特定された物理的構成に限定するものと解釈されてはならない。本発明を説明するにあたって、全体的な理解を容易にするために、図面上の同一の構成要素に対しては同一の参照符号を使用し、同一の構成要素に対して重複する説明は省略する。
【0036】
図1は、本発明の一実施例による船舶ネットワークの差分セキュリティサービスのためのユーザ認証に基づくパケット分類方法(以下、単に「パケット分類方法」という)を説明するためのフローチャートである。
【0037】
本実施例のパケット分類方法は、送信元ユーザ(source owner、100)、クライアント(client、200)、認証サーバ(authorization server、300)、及びリソースサーバ(resource server、400)の相互作用によって行われてもよい。
【0038】
ここで、送信元ユーザ(100)は、特定の送信元に該当する船舶ネットワークの内部に位置するユーザ(user)や、特定の送信元に該当する船舶外部のユーザを指称するか、又はこのようなユーザが使用するユーザ端末を指称することができる。ユーザ端末は、パーソナルコンピュータ、個人用携帯通信機器、モバイル端末などを含んでもよい。
【0039】
クライアント(200)は、ユーザ端末、及びユーザ端末に搭載されて予め設定された手順やプロトコルによってサービス提供者(500)と信号及びデータを送受信できる手段、例えばソフトウェアを指称し、又はこのような手段に対応する機能を行う構成部、例えばハードウェアを指称することができる。
【0040】
送信元ユーザ(100)とクライアント(200)との組み合わせは、船舶ネットワークにアクセスするか、又は船舶ネットワーク内の他のユーザ端末やデータにアクセスするユーザとして、単にユーザ端末ということができる。
【0041】
また、認証サーバ(300)とリソースサーバ(400)は、アクセストークン(access token)に基づく統合認証(single sign-on、SSO)サービスと、これを用いたユーザ認証に基づくパケット分類サービスとを提供するサービス提供者(500)ということができる。認証サーバは権限付与サーバということができ、サービス提供者(500)は船舶ネットワーク管理者を含んでもよい。
【0042】
図1を参照すると、パケット分類方法に採用できる統合認証過程において、クライアント(200)は、認証サーバ(300)にクライアントサービスの事前登録を行うことができる(S10)。
【0043】
次いで、送信元ユーザ(100)は、クライアント(200)にサービスを要請することができる(S11)。クライアント(200)は、送信元ユーザ(100)のサービス要請に対するアクセス(access)を確認(check)することができる。
【0044】
次いで、クライアント(200)は、認証サーバ(300)に認証コード(authorization code)を要請することができる(S12)。認証サーバ(300)は、クライアント(200)の認証コード要請に対するアクセスを確認することができる。
【0045】
次いで、認証サーバ(300)は、送信元ユーザ(100)との通信によって送信元ユーザ(100)を認証し、その権限承認に対する情報を共有することができる(S13)。また、認証サーバ(300)は、認証コード要請に対する認証コード応答をクライアント(200)に伝送することができる(S14)。
【0046】
次いで、クライアント(200)は、認証サーバ(300)の認証コード応答によって、認証サーバ(300)にアクセストークン(access token)を要請することができる(S15)。
【0047】
次いで、認証サーバ(300)は、クライアント(200)のアクセストークン要請によってアクセストークン応答をクライアント(200)に伝送することができる(S16)。アクセストークン応答メッセージは拡張パラメータを含んでもよい。拡張パラメータは、差分セキュリティサービスの運用のために、ユーザクラスを管理できる認証サーバのパラメータ定義を含む。拡張パラメータは、HTTP(hypertext transfer protocol)応答の本文(body)に含まれる形態で定義することができる。
【0048】
次いで、クライアント(200)は、アクセストークン内の拡張パラメータに定義された認証ユーザ及びその権限によって、リソースサーバ(400)にリソース(resource)を要請することができる(S17)。リソース要請メッセージは、アクセストークン(access token)を含んでもよい。
【0049】
次いで、リソースサーバ(400)は、クライアント(200)からのアクセストークンを含むリソース要請メッセージに対する要請(request)応答メッセージをクライアント(200)に伝送することができる(S18)。要請応答メッセージには要請されたリソースが含まれてもよい。
【0050】
次いで、クライアント(200)は、リソースサーバ(400)から受け取った要請応答メッセージやこれに対応するサービス応答を送信元ユーザ(100)に伝達することができる。サービス応答メッセージは、リソース及びリソースに対する情報を含んでもよい。
【0051】
【0052】
図2を参照すると、本実施例の認証サーバは、クライアントのアクセストークン要請によって有効なアクセストークンを発行することができる。このとき、認証サーバは、アクセストークン応答メッセージ(20)に含まれたアクセストークンに拡張パラメータ(22)を定義することができる。
【0053】
アクセストークン応答メッセージ(20)は、HTTP応答メッセージの形態を備えることができる。例えば、アクセストークン応答メッセージ(20)は、ステータスライン(status line)、ヘッダー(header)及び本文(body)を備えることができ、拡張パラメータ(22)は、本文に加えられる形態で定義することができる。
【0054】
例えば、本実施例では、アクセストークン応答メッセージ(20)のステータスラインを“Content-Type: application/json;charset=UTF-8”で表示し、ヘッダーを2つラインの“Cache-Control: no-stroe”及び“Pragma: no-cache”で表示し、また、拡張パラメータ(22)を含んだ本文を8つのラインで表示している。
【0055】
本文の5つのラインは、下記のように記載された順に表示することができる。
“access_token”:“2YotnFZFEjr1zCsicMWpAA”,
“token-type”:“bearer”,
“expires_in”:3600,
“refresh_token”:“tGzv3JOkF0XG5Qx2TIKWIA”,
“scope”:“create”,
“access_token”:“2YotnFZFEjr1zCsicMWpAA”,
“token-type”:“bearer”,
“expires_in”:3600,
“refresh_token”:“tGzv3JOkF0XG5Qx2TIKWIA”,
“scope”:“create”,
【0056】
また、本文に定義された拡張パラメータ(22)の3つのラインは、下記のように定義することができる。
“user_class”:1,
“class_info”:3,
“constraint”:“!location:boston”
“user_class”:1,
“class_info”:3,
“constraint”:“!location:boston”
【0057】
拡張パラメータ(22)の項目のうちの、ユーザクラス(user class)は、ユーザクラスと優先順位を定義したものであり、認証サーバで定義したユーザクラス管理テーブルでクラスタッグ(class tag)の返還(return)値によるアクションを定義する。
【0058】
また、拡張パラメータ(22)の項目のうちの、クラス情報(class info.)は、ユーザクラス管理テーブルのバージョン情報、すなわちユーザクラスのクラス値が決定するユーザクラス管理テーブルのバージョン情報を定義したものであって、最新のクラステーブルに合わせてクラスのアップデート有無に対する管理を支援するためのものである。
【0059】
また、拡張パラメータ(22)の項目のうちで、制約事項(constraint)は、さらなる遵守が必要な事項を定義したものであって、ユーザクラスで定義したユーザクラス情報に加え、さらに遵守が必要な制約事項に対する内容を定義する。
【0060】
このように、本実施例によると、ユーザ認証に基づいて差分セキュリティサービスを提供するために、ユーザクラス管理のための拡張パラメータを定義して使用することができる。言い換えると、統合脅威管理(unified threat management、UTM)などの複数のセキュリティサービスを提供するセキュリティゲートウェイにおいて、ユーザクラスによって差分的にセキュリティサービスを運営及び管理するために、本実施例では拡張パラメータを定義して用いることができる。
【0061】
次いで、前述の差分セキュリティサービスを提供するためのユーザクラス管理テーブルについてさらに詳しく説明する。
【0062】
サービス提供者、例えば、船舶ネットワーク管理者は、ネットワークに接続するユーザを管理するために、予めクラス管理フィールドを定義することができる。すなわち、認証サーバは、ユーザのアクセス制御レベルを管理するためのクラス管理テーブルを定義するか備えることができる。例えば、認証サーバは、別のセキュリティチェックを必要としない特定のユーザに対するリストを備えることができる。
【0063】
また、認証サーバは、サービス提供者のセキュリティ要求事項に応じて、IP(internet protocol)アドレス(address)、ポート番号(port number)、プロトコル(protocol)を基準としてクラステーブルを作成することができる。
【0064】
ユーザクラス管理テーブルは、送信元アドレス(source address)、送信元ポート(source port)、受信先アドレス(destination address)、受信先ポート(destination port)、プロトコル(protocol)、クラス(class)又は返還(return)値、優先順位(priority)、及びアクション(action)に対するフィールドを含んでもよい。
【0065】
ユーザクラス管理テーブルのフィールド(fields)と、その説明(description)及び例示(example)を要すると、下記の表1のようである。
【0066】
【表1】
【0067】
表1において、クラス(class)フィールドは、ユーザクラスを表示するクラスタッグ(class tag)であり、サービス提供者によって定義することができる。例えば、クラスタッグの返還値が0の場合、該当クラスは、優先順位が与えられていない基本(basic)状態で全てのユーザのトラフィックに対して全てのセキュリティサービスを行うものと定義することができる。また、クラスタッグの返還値が1などの正数の場合、該当クラスは、サービス提供者のセキュリティ要求事項に応じてユーザの優先順位とアクションを定義するように使用することができる。
【0068】
また、表1において、アクション(action)フィールドは、該当のトラフィックに実行されるべきセキュリティサービスの種類、例えば、ファイアウォール(firewall)、侵入検知システム(intrusion detection system、IDS)などのように予め設定されたクラス(class)毎のアクションを定義するように使用することができる。
【0069】
図3は、図1のパケット分類方法に採用できるセキュリティゲートウェイの優先順位キューに基づくデータ処理プロセスを説明するための例示図である。また、図4は、図3の優先順位キューに基づくデータ処理プロセスに採用できるパケット処理過程に対する詳細例示図である。
【0070】
本実施例において、セキュリティゲートウェイは、サービス提供者又は船舶ネットワーク管理者の少なくとも一部の構成部であってもよい。
【0071】
図3を参照すると、セキュリティゲートウェイ(30)は、船舶外部のユーザ(40)と船舶ネットワークとの間、及び船舶ネットワークの内部ユーザ(31、32)間に設けられ、ネットワーキング及びセキュリティサービス(networking & security services)を提供し、優先順位キューに基づいてデータを処理することができる。また、セキュリティゲートウェイ(30)は、船舶ネットワークに属した特定のサーバ(50)に接続されてもよい。特定のサーバ(50)は、業務用サーバということができ、船舶ネットワーク管理者の少なくとも一部の構成部であってもよい。
【0072】
業務用サーバ(50)は、ユーザクラス管理テーブルに基づいてクラスタッグ(72)を返還するユーザインターフェース(70)を備えることができる。ユーザインターフェース(70)は、船舶の内部又は外部のユーザ(users)の統合認証(single sign-on、SSO)を支援するように構成されてもよい。ユーザは、第1ないし第4のユーザ(user1、user2、user3、user4)を含んでもよい。
【0073】
ユーザインターフェース(70)は、統合認証によってアクセスしたユーザが、ユーザ認証完了後に受けたアクセストークン(access token)に基づいて該当ユーザのクラスタッグを生成して返還することができる。
【0074】
本実施例において、第1ユーザのクラスタッグ(class tag)は0であり、第2ユーザのクラスタッグは3であり、第3ユーザのクラスタッグは1であり、また、第4ユーザのクラスタッグは2でそれぞれ例示されている。
【0075】
前述の場合、業務用サーバ(50)は、図4に示したように、予め設定又は記憶されたクラスタッグ毎の優先順位リスト(42)によって該当のデータ又は該当のパケットを処理することができる(S43)。すなわち、優先順位キューに基づくパケット処理によって、パケット処理順序は、パケットが入った手順、すなわちユーザ1のパケット、ユーザ2のパケット、ユーザ3のパケット及びユーザ4のパケットと記載された手順とは異なり、ユーザ3のパケット、ユーザ4のパケット、ユーザ2のパケット及びユーザ1のパケットと記載された手順に変更されてもよい。
【0076】
このように、業務用サーバ(50)は、クラスタッグに応じて、業務実行例えば船舶ネットワークのデータを処理することができる。すなわち、業務用サーバ(50)は、複数のサービスを全て順に処理するが、船舶ネットワーク内のセキュリティゲートウェイ(30)で動作するラウター又はスイッチにおいて、該当のクラスタッグ情報によって、ユーザのパケットの通過有無、又は先通過有無や後通過有無を確認して処理するように機能することができる。
【0077】
図5は、本発明の他の実施例による船舶ネットワークの差分セキュリティサービスのためのユーザ認証に基づくパケット分類装置(「パケット分類装置」)の構成に対する概略的なブロック図である。
【0078】
図5を参照すると、パケット分類装置(500)は、サービス提供者又は船舶ネットワーク管理者の少なくとも一部の機能部や構成部から構成されてもよい。サービス提供者又は船舶ネットワーク管理者は、業務用サーバの一部の機能部や構成部から構成されてもよく、具現例によって、船舶ネットワーク内のラウター又はスイッチの機能を備え、特定のラウターや特定のスイッチとして具現することができる。
【0079】
このようなパケット分類装置(500)は、少なくとも1つのプロセッサ(510)、メモリ(520)、及び船舶ネットワークのラウターやスイッチなどに搭載されるセキュリティゲートウェイに接続されて通信を行う送受信装置(530)を含んでもよい。また、パケット分類装置(500)は、入力インターフェース装置(540)、出力インターフェース装置(550)、及び記憶装置(560)などをさらに含んでもよい。パケット分類装置(500)に含まれたそれぞれの構成要素は、バス(bus、570)によって接続されて互いに通信を行うことができる。
【0080】
また、パケット分類装置(500)に含まれたそれぞれの構成要素は、共通バス(570)でなく、プロセッサ(510)を中心に個々のインターフェース又は個々のバスを介して接続されてもよい。例えば、プロセッサ(510)は、メモリ(520)、送受信装置(530)、入力インターフェース装置(540)、出力インターフェース装置(550)、及び記憶装置(560)のうちの少なくとも1つと専用インターフェースを介して接続されてもよい。
【0081】
プロセッサ(510)は、中央処理装置(central processing unit、CPU)、グラフィック処理装置(graphics processing unit、GPU)、又は本発明の実施例による方法が行われる専用のプロセッサを意味することができる。
【0082】
メモリ(520)及び記憶装置(560)のそれぞれは、揮発性の記憶媒体及び不揮発性の記憶媒体のうちの少なくとも一方から構成されてもよい。例えば、メモリ(520)は、読取専用メモリ(read only memory、ROM)及びランダムアクセスメモリ(random access memory、RAM)のうちの少なくとも一方から構成されてもよい。
【0083】
送受信装置(530)は、セキュリティゲートウェイと通信を行うためのサブ通信システムを含んでもよい。サブ通信システムは、有線及び/又は無線通信方式を支援するように構成されてもよい。
【0084】
入力インターフェース装置(540)は、キーボード、マイク、タッチパッド、タッチスクリーンなどの入力手段から選択される少なくとも1つと、少なくとも1つの入力手段により入力される信号を予め記憶された命令とマッピング又は処理する入力信号処理部を含んでもよい。
【0085】
出力インターフェース装置(550)は、プロセッサ(510)の制御によって出力される信号を予め記憶された信号形態やレベルにマッピング又は処理する出力信号処理部と、出力信号処理部の信号によって振動、光などの形態で信号や情報を出力する少なくとも1つの出力手段を含んでもよい。少なくとも1つの出力手段は、スピーカー、ディスプレイ装置、プリンター、光出力装置、振動出力装置などの出力手段から選択される少なくとも1つを含んでもよい。
【0086】
前述のプロセッサ(510)は、メモリ(520)及び記憶装置(560)のうちの少なくとも1つに記憶されたプログラム命令(program command)を行うことができる。プログラム命令は、アクセストークンに基づく統合認証手順(図1を参照)による少なくとも1つの命令、優先順位キュー(priority queue)に基づくデータ処理手順(図3及び図4を参照)による少なくとも1つの命令などを含んでもよい。
【0087】
本実施例のパケット分類装置(500)によると、OAuth 2.0のためのIETF(Internet Engineering Task Force) RFC(Request for Comments)6749標準などで提示する権限付与のためのオープンスタンダードプロトコルの認証フレームワークを拡張することによって、ユーザクラス管理のためのクラスタッグ(class tag)を定義することができる。例えば、従来のOAuth 2.0 IETF RFC 6749に定義された認証サーバ(authorization server)のHTTP応答エンティティ本文(response entity-body)内に差分セキュリティサービスの提供のための拡張パラメータをさらに定義し、サイバーセキュリティゲートウェイの動作効率性を向上させることができる。
【0088】
また、前述の実施例によると、ユーザ認証に基づく差分セキュリティサービスの運営機能を簡便に設計することができ、船舶ネットワークにおけるユーザクラス管理のためのセキュリティゲートウェイの機能を効率的に定義することができる。
【0089】
また、前述の実施例によると、個々の船舶システムのセキュリティ要求事項に応じて船舶ネットワークの接続者の統合認証(SSO)によって発行されるトークン(token)にユーザを区分できる拡張パラメータを定義し、拡張パラメータによって定義されたユーザクラスと、ユーザクラスによって決定されるアクションに対する設定を含むユーザクラス管理テーブルに基づいて、差分セキュリティサービスのための予め定義されたアクション(action)を効果的に行うことができる。
【0090】
さらに、前述の実施例によると、制限されたリソースの船舶ネットワーク環境において、ユーザクラスによる差分セキュリティサービスを提供することでリソースを節約することができ、ユーザクラスによる優先順位キューに基づくデータ処理プロセスによってパケットを正確かつ迅速に検出することができ、これによってセキュリティ対応速度を向上させることができる。
【0091】
図6は、本発明のまた他の実施例によるパケット分類装置を採用できる船舶ネットワークのアクセス制御手順を説明するための例示図である。
【0092】
図6を参照すると、船舶ネットワークは、船舶内の下部ネットワーク間のアクセス制御のための装置(以下、単に「アクセス制御装置」)(600)を含むように構成されてもよい。下部ネットワークは、運営技術(operational technology、OT)ネットワーク(610)、情報技術(information technology、IT)ネットワーク(620)、クルー(crew)ネットワーク(630)などを含んでもよい。
【0093】
ここで、OTネットワーク(610)は、第1ゲートウェイ(G/W、611)、複数のユーザ端末(user devices、614)、特定のユーザ端末に接続されるセンサー(sensor、612)、特定のユーザ端末に接続されるアクチュエータ(actuator、613)などを含んでもよい。ITネットワーク(620)は、第2ゲートウェイ(G/W、621)、複数のユーザ端末(624)などを含んでもよい。また、クルーネットワーク(630)は、第3ゲートウェイ(G/W、631)、複数のユーザ端末(634)などを含んでもよい。
【0094】
前述のアクセス制御装置(600)は、船舶ネットワークに存在する下部ネットワーク間のデータトラフィックを制御できるようにユーザ認証に基づくネットワーク制御装置で具現することができ、下部ネットワークの上位層に設けられてもよい。具体的に、アクセス制御装置(600)は、サービス提供者又は船舶ネットワーク管理者のためのコンピュータ装置で具現することができ、OTネットワーク(610)、ITネットワーク(620)及びクルーネットワーク(630)の間、又はこれら内部ネットワークと外部ユーザとの間でデータを交換するときに、ユーザ認証に基づいて差分セキュリティサービスを提供することができる。
【0095】
例えば、アクセス制御装置(600)は、外部ネットワーク(external network、700)又は船舶内部のユーザによる特定の下部ネットワークのアクセスがあるとき、該当ユーザのユーザ認証と、認証後に与えられたアクセストークンに基づいてセキュリティゲートウェイ(G/W)を制御することで(「制御装置によるデータフロー」を参照)、差分セキュリティサービス環境でパケットデータに対する許可されたデータフロー(「許可されたフロー」)を形成することができる。また、アクセス制御装置(600)は、ユーザ認証に失敗したパケットに対して通過処理を遮断するか、又は該当の下部ネットワークに対するアクセスを拒否することで、許可されていないデータフロー(「許可されていないフロー」)が発生しないように動作することができる。
【0096】
OTネットワーク(610)、ITネットワーク(620)及びクルーネットワーク(630)は、それぞれのゲートウェイ(G/W)(611、621、631)を介して船舶ネットワークアクセス制御装置(以下、単にアクセス制御装置)(600)、又はアクセス制御装置(600)によって制御されるユーザ認証に基づくネットワークアクセス制御チャネルに接続することができる。
【0097】
本発明の実施例による方法の動作は、コンピュータで読み取り可能な記録媒体にコンピュータが読み取り可能なプログラム又はコードとして具現することが可能である。コンピュータが読み取り可能な記録媒体は、コンピュータシステムによって読み取り可能な情報が記憶されるあらゆる種類の記録装置を含む。また、コンピュータが読み取り可能な記録媒体は、ネットワークで接続されたコンピュータシステムに分散され、分散方式でコンピュータで読み取り可能なプログラム又はコードを記憶して実行することができる。
【0098】
また、コンピュータが読み取り可能な記録媒体は、ROM、RAM、フラッシュメモリ(flash memory)などのようにプログラム命令を記憶して実行するように特に構成されたハードウェア装置を含んでもよい。プログラム命令は、コンパイラ(compiler)によって作成されるような機械語コードだけでなく、インタプリタ(interpreter)などを用いてコンピュータによって実行できる高級言語コードを含んでもよい。
【0099】
本発明の一部の態様は装置の文脈で説明されたが、それは対応する方法による説明も示すことができ、ここで、ブロック又は装置は方法ステップ又は方法ステップの特徴と対応する。同様に、方法の文脈で説明された態様は、対応するブロック又はアイテム、或いは対応する装置の特徴として示すことができる。方法ステップの一部又は全部は、例えばマイクロプロセッサ、プログラム可能なコンピュータ又は電子回路のようなハードウェア装置によって(又は用いて)実行することができる。いくつかの実施例において、最も重要な方法ステップの少なくとも1つ以上は、このような装置によって実行することができる。
【0100】
実施例において、プログラム可能なロジッグ装置(例えば、フィールドプログラマブルゲートアレイ)を、ここで説明された方法の機能の一部又は全部を行うために使用することができる。実施例において、フィールドプログラマブルゲートアレイ(field-programmable gate array)は、ここで説明された方法のうちの1つを行うためのマイクロプロセッサ(microprocessor)と共に作動することができる。一般に、方法は、任意のハードウェア装置によって行われることが好ましい。
【0101】
以上、本発明の好ましい実施例を参照して説明したが、該当の技術分野における熟練した当業者であれば、下記の特許請求の範囲に記載された本発明の思想及び領域から逸脱しない範囲内で本発明を多様に修正及び変更可能なことを理解できるであろう。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
