[go: up one dir, main page]

KR100958098B1 - Virtual private network service method and system - Google Patents

Virtual private network service method and system Download PDF

Info

Publication number
KR100958098B1
KR100958098B1 KR1020080092689A KR20080092689A KR100958098B1 KR 100958098 B1 KR100958098 B1 KR 100958098B1 KR 1020080092689 A KR1020080092689 A KR 1020080092689A KR 20080092689 A KR20080092689 A KR 20080092689A KR 100958098 B1 KR100958098 B1 KR 100958098B1
Authority
KR
South Korea
Prior art keywords
vpn
packet
user terminal
remote user
main unit
Prior art date
Application number
KR1020080092689A
Other languages
Korean (ko)
Other versions
KR20100033698A (en
Inventor
김기수
Original Assignee
주식회사 시큐위즈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐위즈 filed Critical 주식회사 시큐위즈
Priority to KR1020080092689A priority Critical patent/KR100958098B1/en
Publication of KR20100033698A publication Critical patent/KR20100033698A/en
Application granted granted Critical
Publication of KR100958098B1 publication Critical patent/KR100958098B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명은 가상사설망 서비스방법 및 시스템에 관한 것으로, 원격지 사용자단말기에서 공중망 네트워크를 통하여 기업 내 사설 네트워크에 접속하기 위한 가상사설망(VPN) 구현방법에 있어서, 상기 원격지 사용자단말기에서 공중망 네트워크를 통하여 상기 공중망 네트워크와 기업 내 사설 네트워크를 연결하는 VPN 메인유닛에 접속하면 상기 VPN 메인유닛에서 상기 원격지 사용자단말기로 가상사설망(VPN) 설치정보를 전송하는 제1단계와; 상기 원격지 사용자단말기로부터 가상사설망(VPN) 설치요청 신호가 수신되는 경우, 상기 VPN 메인유닛에서 인증모듈과 VPN 터널링유닛을 상기 원격지 사용자단말기로 다운로드 하는 제2단계와; 상기 원격지 사용자단말기에 상기 인증모듈과 VPN 터널링유닛이 설치되는 제3단계와; 상기 VPN 메인유닛에서 상기 인증모듈을 통해 상기 원격지 사용자단말기의 접속을 인증하는 제4단계와; 상기 원격지 사용자단말기에서 상기 기업 내 사설 네트워크와 연결된 소정 내부단말기를 향하는 패킷이 생성되는 경우, 상기 VPN 터널링유닛이 TDI계층을 통과하는 상기 패킷을 후킹(Hooking)하고, 상기 후킹된 패킷을 암호화하여 상기 VPN 메인유닛으로 전송하는 제5단계와; 상기 VPN 메인유닛에서 상기 수신된 패킷을 복호화하여 상기 소정 내부단말기로 전송하고, 상기 원격지 사용자단말기로 응답패킷을 암호화하여 전송함으로써 상기 원격지 사용자단말기와 내부단말기가 상호 접속되는 제6단계;를 포함하는 것을 특징으로 한다.

이에 의해, 언제 어디서나 공중망 네트워크를 통하여 웹상에서 원격지 사용 자단말기로 가상사설망 시스템을 다운받아 설치할 수 있어 별도의 VPN 장비를 구비하거나 아키텍처의 변경 없이 시간과 장소에 구애받지 않고 가상사설망(VPN)을 구현할 수 있다.

Figure R1020080092689

The present invention relates to a virtual private network service method and system, and to a virtual private network (VPN) implementation method for accessing a private network in an enterprise through a public network in a remote user terminal, wherein the public network is provided through a public network in the remote user terminal. A first step of transmitting virtual private network installation information from the VPN main unit to the remote user terminal when connecting to a VPN main unit connecting a network and a private network in the enterprise; A second step of downloading an authentication module and a VPN tunneling unit from the VPN main unit to the remote user terminal when a VPN installation request signal is received from the remote user terminal; A third step of installing the authentication module and a VPN tunneling unit in the remote user terminal; A fourth step of authenticating a connection of the remote user terminal through the authentication module in the VPN main unit; When a packet for a predetermined internal terminal connected to the private network in the enterprise is generated at the remote user terminal, the VPN tunneling unit hooks the packet passing through a TDI layer, encrypts the hooked packet, and A fifth step of transmitting to the VPN main unit; A sixth step of decrypting the received packet from the VPN main unit and transmitting the received packet to the predetermined internal terminal, and encrypting and transmitting a response packet to the remote user terminal to interconnect the remote user terminal and the internal terminal; It is characterized by.

As a result, the virtual private network system can be downloaded and installed from a remote user terminal on the web anytime, anywhere through a public network network, so that a virtual private network (VPN) can be implemented regardless of time and place without having a separate VPN device or architecture change. Can be.

Figure R1020080092689

Description

가상사설망 서비스방법 및 그 시스템 {VIRTUAL PRIVATE NETWORK SERVICE METHOD AND ITS SYSTEM }Virtual private network service method and system {VIRTUAL PRIVATE NETWORK SERVICE METHOD AND ITS SYSTEM}

본 발명은 가상사설망 서비스방법 및 그 시스템에 관한 것으로, 보다 자세하게는, 공중망 네트워크를 통하여 웹상에서 원격지 사용자단말기로 가상사설망 시스템을 다운받아 설치할 수 있어 별도의 VPN 장비를 구비할 필요 없이 가상사설망 구현이 가능한 가상사설망 서비스방법 및 시스템에 관한 것이다.The present invention relates to a virtual private network service method and a system thereof, and more particularly, to implement a virtual private network without having to provide a separate VPN equipment by installing and installing a virtual private network system to a remote user terminal on a web through a public network. It relates to a possible virtual private network service method and system.

통상적으로, 분산된 기업환경에서 본사와 지사를 연결하는 대표적인 방식은 전용회선(leased line)이나 프레임 릴레이(Frame relay)를 이용하여 망을 구축하는 것이다.Typically, the representative way to connect the headquarters and branch offices in a distributed enterprise environment is to build a network using leased lines or frame relays.

그런데, 이와 같은 전용회선(leased line)이나 프레임 릴레이(Frame relay)는 회선비용이 상대적으로 비싼 문제점이 있었다.However, such a leased line or a frame relay has a relatively expensive line cost.

따라서, 전용회선이나 프레임 릴레이에 비하여 비용이 저렴하고 널리 사용되는 인터넷(공중망)을 이용한 새로운 망 서비스로 가상사설망 VPN(Virtual Private Network) 기술이 부각되었다.Therefore, virtual private network VPN (Virtual Private Network) technology has emerged as a new network service using the Internet (public network), which is inexpensive and widely used compared to a leased line or a frame relay.

가상사설망 VPN(Virtual Private Network) 기술은 기존의 공중망을 이용하여 원거리 단말기(지사)와 본사를 연결하여 외부와 안전한 통신을 할 수 있도록 가상으로 사설 통신망을 구축하는 기술이다.Virtual private network VPN (Virtual Private Network) technology is a technology that establishes a virtual private network so that a safe communication with the outside is possible by connecting a remote terminal (branch office) and a main office using an existing public network.

그러나, 종래의 가상사설망(VPN) 시스템은 도 1에 도시된 바와 같이, 공중망 네트워크상에서 가상사설망(VPN)의 시작점과 끝점에 '터널'이라는 가상의 통신선로를 구축하기 위해 원격지 클라이언트(401)측, 지사/분사의 LAN(301)측 그리고 기업 내 사설네트워크와 연결된 내부단말기PC측 LAN(201)에도 VPN 유닛(200,300,400)이 필요하였다.However, the conventional virtual private network (VPN) system, as shown in Figure 1, the remote client 401 to build a virtual communication line called 'tunnel' at the start and end points of the virtual private network (VPN) on the public network network In addition, VPN units 200, 300, and 400 were also required on the LAN 201 side of the branch office / injection LAN and the internal terminal PC side connected to the private network in the enterprise.

그러므로, 원격지의 사용자는 VPN 유닛(200,300,400)이 설치된 장소에서만 정보 및 데이타를 송/수신할 수밖에 없고, 사용자가 직접 VPN 유닛(200,300,400)을 소지해야만 했기 때문에 이동과 장소에 제약이 많은 문제점이 있었다.Therefore, the remote user has no choice but to transmit / receive information and data only at the place where the VPN units 200, 300, and 400 are installed, and the user has to carry the VPN units 200, 300, and 400 directly.

또한, VPN 유닛(200,300,400)은 일반 사용자가 설치하는 데 용이하지 않을 뿐만 아니라 각기 다른 네트워크 및 시스템과의 호환에 문제점이 있었다.In addition, VPN units 200, 300, and 400 are not only easy to install by general users, but also have problems in compatibility with different networks and systems.

따라서, 본 발명의 목적은, 별도의 VPN장비 없이 언제 어디서나 웹상에서 가상사설망 시스템을 다운받아 용이하게 설치할 수 있는 가상사설망(VPN) 서비스방법 및 그 시스템을 제공하는 데 있다.Accordingly, an object of the present invention is to provide a virtual private network (VPN) service method and a system that can be easily installed by downloading a virtual private network system on the web anytime and anywhere without a separate VPN equipment.

상기 목적은, 본 발명의 일실시예에 따라, 원격지 사용자단말기(20)에서 공중망 네트워크(10)를 통하여 공중망 네트워크(10)와 기업 내 사설네트워크(40)를 연결하는 VPN 메인유닛(50)에 접속하면 VPN 메인유닛(50)에서 원격지 사용자단말기(20)로 가상사설망(VPN) 설치정보(51)를 전송하는 제1단계(S10)와, 원격지 사용자단말기(20)로부터 가상사설망(VPN) 설치요청 신호가 수신되는 경우, VPN 메인유닛(50)에서 인증모듈(55)과 VPN 터널링유닛(53)을 원격지 사용자단말기(20)로 다운로드 하는 제2단계(S15)와, 원격지 사용자단말기(20)에 인증모듈(55)과 VPN 터널링유닛(53)이 설치되는 제3단계(S17)와, VPN 메인유닛(50)에서 인증모듈(55)을 통해 원격지 사용자단말기(20)의 접속을 인증하는 제4단계(S18)와, 원격지 사용자단말기(20)에서 기업 내 사설네트워크(40)와 연결된 소정 내부단말기(30)를 향하는 패킷(60)이 생성되는 경우, VPN 터널링유닛(53)이 TDI계층(31)을 통과하는 패킷(60)을 후킹(Hooking)하고, 후킹된 패킷(60)을 암호화하여 VPN 메인유닛(50)으로 전송하는 제5단계와(S21)와, VPN 메인유닛(50)에서 패킷(60)을 복호화하여 소정 내부단말기(30)로 전송하고, 원격지 사용자단말기(20)로 응답패킷(66)을 암호화하여 전송함으로써 원격지 사용자단말기(20)와 내부단말기(30)가 상호 접속되는 제6단계(S26~S28)에 의해 달성된다.According to an embodiment of the present invention, the remote user terminal 20 to the VPN main unit 50 that connects the public network 10 and the private network 40 in the enterprise through the public network 10 in the network (10) The first step (S10) of transmitting the virtual private network (VPN) installation information 51 from the VPN main unit 50 to the remote user terminal 20, and installing the virtual private network (VPN) from the remote user terminal 20. When the request signal is received, the second step (S15) and the remote user terminal 20 to download the authentication module 55 and the VPN tunneling unit 53 from the VPN main unit 50 to the remote user terminal 20; A third step (S17) in which the authentication module 55 and the VPN tunneling unit 53 are installed in the authentication module 55, and the VPN main unit 50 authenticates the connection of the remote user terminal 20 through the authentication module 55. Step 4 (S18) and the predetermined internal end connected to the private network 40 in the enterprise in the remote user terminal 20 When the packet 60 directed to the device 30 is generated, the VPN tunneling unit 53 hooks the packet 60 passing through the TDI layer 31, and encrypts the hooked packet 60. The fifth step (S21) of transmitting to the VPN main unit 50 and the VPN main unit 50 decrypts the packet 60 and transmits it to a predetermined internal terminal 30, and responds to the remote user terminal 20. By encrypting and transmitting the packet 66, a sixth step (S26 to S28) in which the remote user terminal 20 and the internal terminal 30 are interconnected is achieved.

한편, VPN 터널링유닛(53)은, 필터(Filter)(531)와, 리다이렉터(Redirector)모듈(533)과 에이전트(Agent)모듈(535)을 포함하여, 제5단계(S21)는 필터(Filter)(531)에서 원격지 사용자단말기(20)의 TDI계층(31)을 통과하는 모든 패킷(60) 중 소정 내부단말기(30)로 향하는 패킷(60)을 필터링(Filtering)하는 A단계와, 리다이렉터모듈(533)에서 필터링(Filtering)된 패킷(60)을 후킹(Hooking)하여 에이전트모듈(535)로 전송하는 B단계와, 에이전트모듈(535)에서 후킹(Hooking)된 패킷(60)을 암호화하여 VPN 메인유닛(50)으로 전송하는 C단계가 더 포함될 수 있다.Meanwhile, the VPN tunneling unit 53 includes a filter 531, a redirector module 533, and an agent module 535, and the fifth step S21 includes a filter. Step (A) for filtering the packet 60 destined for a predetermined internal terminal 30 of all packets 60 passing through the TDI layer 31 of the remote user terminal 20 in the (531), and the redirector module Hooking the filtered packet 60 at 533 and transmitting it to the agent module 535, and encrypting the hooked packet 60 at the agent module 535 to encrypt the VPN. Step C may be further transmitted to the main unit 50.

여기서, A단계는, 원격지 사용자단말기(20)의 TDI계층(31)을 통과하는 모든 패킷(60)의 목적지IP(63)와 기업 내 사설 네트워크(40)와 연결된 각 내부단말기(PC1~PCn)들의 IP(70)를 비교하여, 패킷(60)의 목적지IP(63)와 내부단말기(PC1~PCn)들의 IP(70)가 일치되는 경우 패킷(60)을 필터링(Filtering)할 수 있다.Here, in step A, each of the internal terminals PC1 to PCn connected to the destination IP 63 of all packets 60 passing through the TDI layer 31 of the remote user terminal 20 and the private network 40 in the enterprise By comparing the IP 70 of the packets, the packet 60 may be filtered when the destination IP 63 of the packet 60 and the IP 70 of the internal terminals PC1 ˜ PCn match.

여기서, B단계는, 리다이렉터모듈(533)에서 후킹(Hooking)된 패킷(60)의 목적지IP(63)를 에이전트모듈(535)의 에이전트모듈IP(90)로 변환하는 단계와, 패킷(60)을 에이전트(Agent)모듈(535)로 전송하는 단계를 더 포함할 수 있다.here, Step B, converting the destination IP 63 of the packet 60 hooked in the redirector module 533 to the agent module IP 90 of the agent module 535, and converts the packet 60 agent The method may further include transmitting to the (Agent) module 535.

여기서, C단계는, 에이전트모듈(535)에서 후킹(Hooking)된 패킷(60)이 수신되는 경우, 에이전트모듈(535)은 후킹(Hooking)된 패킷(60)의 에이전트모듈IP(90)를 VPN 메인유닛IP(100)로 변환하는 단계와, 원격지 사용자단말기(20)에서 최초 접속하고자 한 목적지IP(70)를 패킷(60)의 컨텐츠(65)에 추가하는 단계와, 패킷(60)을 VPN 메인유닛(50)으로 전송하는 단계를 더 포함할 수 있다.Here, in step C, when the packet 60 hooked by the agent module 535 is received, the agent module 535 VPNs the agent module IP 90 of the hooked packet 60. Converting to the main unit IP 100, adding the destination IP 70 to the content 65 of the packet 60 to be initially accessed by the remote user terminal 20, and converting the packet 60 into a VPN. The method may further include transmitting to the main unit 50.

여기서 제6단계는, VPN 메인유닛(50)으로 수신된 패킷(60)이 복호화되는 단계와, 수신된 패킷(60)의 VPN 메인유닛IP(100)를 내부단말기(30)의 최초 목적지IP(63)로 재변환하고 내부단말기(30)로 전송하는 단계와, 원격지 사용자단말기(20)로 응답패킷(66)을 암호화하여 역순으로 전송하는 단계를 더 포함할 수 있다.Here, the sixth step is a step of decoding the packet 60 received by the VPN main unit 50, and the VPN main unit IP (100) of the received packet 60 to the first destination IP (internal terminal 30) ( 63) and may further include transmitting to the internal terminal 30, and encrypting the response packet 66 to the remote user terminal 20 in the reverse order.

여기서, VPN 메인유닛(50)은 SSL(Secure Sockets Layer) 암호화 통신이 가능 하게 마련될 수 있다.Here, the VPN main unit 50 may be provided to enable SSL (Secure Sockets Layer) encrypted communication.

한편, 상기 목적은, 본 발명의 일실시예에 따라, 원격지의 사용자단말기(20)와, 사용자단말기(20)를 통해 접속되는 경우 가상사설망(VPN) 설치정보(51)를 원격지 사용자단말기(20)로 전송하고, 사용자의 설치요청 신호가 수신되는 경우 VPN 터널링유닛(53)과 인증모듈(55)을 원격지 사용자단말기(20)로 제공하는 VPN 메인유닛(50)과, 원격지 사용자단말기(20)가 접근하고자 하는 기업 내 사설네트워크(40)와 연결된 내부단말기(30)와, 원격지 사용자단말기(20)의 TDI계층(31)을 통과하는 모든 패킷의 목적지IP(63)와 각 내부단말기(PC1~PCn)들의 IP(70)를 비교하여 일치되는 패킷을 필터링(Filtering)하는 필터(Filter)(531)와, 필터링(Filtering)된 패킷(60)을 후킹(Hooking)하고, 후킹(Hooking)된 패킷(60)의 목적지IP(63)를 에이전트모듈IP(90)로 변환하여 에이전트모듈(535)로 전송하는 리다이렉터모듈(533)과, 리다이렉터모듈(533)에서 전송된 패킷(60)의 에이전트모듈IP(90)를 VPN 메인유닛IP(100)로 변환하고, 암호화하여 VPN 메인유닛(50)으로 전송하는 에이전트모듈(535)을 갖는 VPN 터널링유닛(53)과, 원격지 사용자단말기(20)의 VPN 메인유닛(50)에 접속을 인증하는 인증모듈(55)과, 에이전트모듈(535)로부터 암호화된 패킷(60)이 수신되는 경우, 패킷(60)의 VPN 메인유닛IP(100)를 원격지 사용자단말기(20)에서 최초 접속하고자 한 목적지IP(70)로 변환하고, 복호화하여 기업 내 사설 네트워크(40)와 연결된 내부단말기(30)로 전송하고, 응답패킷(66)을 암호화하여 원격지 사용자단말기(20)로 역순으로 전송하는 VPN 메인유닛(50)을 포함하여, 사용자단말기(20)와 내부단말기(30)가 상호 접속되는 시스템에 의해서도 달성된다.On the other hand, the above object, according to an embodiment of the present invention, when connected via the remote user terminal 20, the user terminal 20, the virtual private network (VPN) installation information 51 to the remote user terminal 20 And a VPN main unit 50 for providing the VPN tunneling unit 53 and the authentication module 55 to the remote user terminal 20 when the user's installation request signal is received, and the remote user terminal 20. The destination IP (63) and each internal terminal (PC1 ~) of all packets passing through the TDI layer 31 of the remote user terminal 20, the internal terminal 30 connected to the private network 40 in the enterprise A filter 531 for filtering the matching packet by comparing the IP 70 of the PCn, and hooking the filtered packet 60, and the hooked packet The redirector converts the destination IP 63 of 60 into the agent module IP 90 and transmits it to the agent module 535. The module 533 and the agent module IP 90 of the packet 60 transmitted from the redirector module 533 are converted into the VPN main unit IP 100, encrypted, and transmitted to the VPN main unit 50. A VPN tunneling unit 53 having a 535, an authentication module 55 for authenticating a connection to the VPN main unit 50 of the remote user terminal 20, and an encrypted packet 60 from the agent module 535. Is received, the VPN main unit IP (100) of the packet 60 is converted to the destination IP (70) to be initially connected from the remote user terminal 20, and decrypted to the internal connection with the private network 40 in the enterprise Including the VPN main unit 50 to transmit to the terminal 30, the response packet 66 is encrypted in reverse order to the remote user terminal 20, the user terminal 20 and the internal terminal 30 mutually This is also achieved by the systems to which they are connected.

따라서, 전술한 본 발명의 일실시예에 의한 가상사설망 서비스방법 및 그 시스템에 의하면, 원격지 사용자단말기 측에 별도의 VPN 장비 없이 언제 어디서나 공중망 네트워크를 통하여 웹상에서 가상사설망 시스템을 다운받아 가상사설망(VPN)을 용이하게 설치 및 이용할 수 있다.Therefore, according to the virtual private network service method and system according to an embodiment of the present invention described above, the virtual private network (VPN) by downloading the virtual private network system on the web anytime, anywhere through the public network network without a separate VPN equipment on the remote user terminal side ) Can be easily installed and used.

또한, 어플리케이션(Application) 계층에서 가상사설망시스템이 구현되어 시스템에 무리가 없고 전송속도가 향상된다.In addition, the virtual private network system is implemented in the application layer, so that the system has no difficulty and the transmission speed is improved.

또한, 패킷이 TDI계층에서 후킹됨으로써 시스템의 변경 및 부담이 없고, 타 어플리케이션과의 충동 가능성이 적어진다.In addition, since the packet is hooked at the TDI layer, there is no change and burden on the system, and the possibility of impulse with other applications is reduced.

이하, 첨부된 도면을 참조하여 본 발명의 일실시예에 대하여 상세히 설명하기로 한다.Hereinafter, with reference to the accompanying drawings will be described in detail an embodiment of the present invention.

도 1은 종래 가상사망에 대한 구성블록도, 도 2는 본 발명의 일실시예에 따른 VPN(Virtual Private Network) 가상사설망에 대한 구성블록도, 도 3은 본 발명의 일실시예에 따른 가상사설망의 VPN 터널링유닛(53)에 대한 블록도이다.1 is a block diagram illustrating a conventional virtual network, FIG. 2 is a block diagram illustrating a virtual private network (VPN) virtual network according to an embodiment of the present invention, and FIG. 3 is a virtual private network according to an embodiment of the present invention. Is a block diagram of the VPN tunneling unit 53.

도 2 및 도 3을 참조하면, 본 발명의 일실시예에 따른 가상사설망(VPN) 서비스 시스템(1)은, 원격지 사용자단말기(20), 공중망 네트워크(10), 기업 내 사설네트워크(40), VPN 메인유닛(50), VPN 터널링유닛(53) 및 내부단말기(30)를 포함한다.2 and 3, a virtual private network (VPN) service system 1 according to an embodiment of the present invention includes a remote user terminal 20, a public network network 10, an internal corporate network 40, The VPN main unit 50, the VPN tunneling unit 53, and the internal terminal 30 are included.

여기서, VPN 터널링유닛(53)은 필터(Filter)(531), 리다이렉터모 듈(Redirector module)(533) 및 에이전트모듈(Agent module)(535)을 더 포함할 수 있다. Here, the VPN tunneling unit 53 may further include a filter 531, a redirector module 533, and an agent module 535.

원격지 사용자단말기(20)는 공중망 네트워크(10)를 통하여 공중망 네트워크(10)와 기업 내 사설네트워크(40)를 연결하는 VPN 메인유닛(50)에 접속한다.The remote user terminal 20 connects to the VPN main unit 50 connecting the public network 10 and the private network 40 in the enterprise through the public network 10.

원격지 사용자단말기(20)는 도 2에 도시된 바와 같이, 인터넷 또는 공중망 네트워크(10)로 접속이 가능한 컴퓨터로 마련될 수 있다.As illustrated in FIG. 2, the remote user terminal 20 may be provided as a computer that can be connected to the Internet or the public network network 10.

여기서, 인터넷 또는 공중망 네트워크(10)는 무선 또는 유선을 이용한 다양한 방법의 이용이 가능하다. Here, the Internet or public network network 10 may use a variety of methods using wireless or wired.

내부단말기(30)는 도 2에 도시된 바와 같이, VPN 메인유닛(50)과 연결된 기업 내 사설네트워크(40)에 연결된다.As shown in Figure 2, the internal terminal 30 is connected to the private network 40 in the enterprise connected to the VPN main unit 50.

VPN 메인유닛(50)은 에이전트모듈(535)과 SSL(Secure Sockets Layer) WEB 표준 암호화 통신을 한다.The VPN main unit 50 communicates with the agent module 535 by SSL (Secure Sockets Layer) WEB standard encryption.

SSL(Secure Sockets Layer) WEB 표준 암호화 통신이란, 웹서버 인증으로 브라우저와 서버간의 통신에서 정보를 암호화함으로써 도중에 해킹을 통해 정보가 유출되더라도 정보의 내용을 보호할 수 있는 통신기술이다.SSL (Secure Sockets Layer) WEB standard encrypted communication is a communication technology that protects the contents of information even if information is leaked through hacking by encrypting the information in the communication between the browser and the server by web server authentication.

따라서, VPN 메인유닛(50)은 기존 네트워크의 성능 저하를 최소화하면서 물리적 장비보호기능, 내부 보안정보 보호기능, 가상사설망(VPN)기능을 제공할 수 있는 장점이 있다.Therefore, the VPN main unit 50 has the advantage of providing a physical device protection function, internal security information protection function, virtual private network (VPN) function while minimizing performance degradation of the existing network.

또한, VPN 메인유닛(50)은 통신보안을 위해 RSA(4096), RC5, 3DES, SHA-1과 같은 다양한 알고리즘과, SSL v2, v3, TLS v1, WTLS와 같은 프로토콜을 지원할 수 있다.In addition, the VPN main unit 50 may support various algorithms such as RSA (4096), RC5, 3DES, SHA-1, and protocols such as SSL v2, v3, TLS v1, and WTLS for communication security.

또한, VPN 메인유닛(50)은 High Availability(H/A)가 가능하므로 장애발생시 Failover를 통하여 안정된 서비스를 위한 구성이 가능하다.In addition, since the VPN main unit 50 is capable of High Availability (H / A), it is possible to configure for a stable service through Failover when a failure occurs.

또한, VPN 메인유닛(50)은 시스템간 load balance(L/B)가 가능하여 부하분산 운영이 가능하다.In addition, the VPN main unit 50 is capable of load balancing operation between the system (L / B) is possible.

VPN 터널링유닛(53)은 도 3에 도시된 바와 같이, 필터(531), 리다이렉터모듈(533) 및 에이전트모듈(535)을 포함할 수 있다.As illustrated in FIG. 3, the VPN tunneling unit 53 may include a filter 531, a redirector module 533, and an agent module 535.

필터(531)는 도 3에 도시된 바와 같이, 원격지 사용자단말기(20)의 TDI계층(31)을 통과하는 모든 패킷(60)을 검사하되, TDI계층(31)을 통과하는 패킷(60) 중에서 소정 내부단말기(30)로 향하는 패킷(60)을 필터링한다.As shown in FIG. 3, the filter 531 inspects all the packets 60 passing through the TDI layer 31 of the remote user terminal 20, and among the packets 60 passing through the TDI layer 31. The packet 60 destined for the predetermined internal terminal 30 is filtered.

여기서, TDI계층(31)은 도 3에 도시된 바와 같이, 윈도우의 유저모드(33)와 커널모드(35) 사이에 표준으로 위치한다.Here, the TDI layer 31 is located as a standard between the user mode 33 and the kernel mode 35 of the window, as shown in FIG.

PC의 모든 전송 패킷(60)들은 원칙적으로 윈도우의 유저모드(33)를 통과하여 커널모드(35)를 지나면서 접근 가능성 여부를 판단 받게 되고, 물리적으로 불가능 영역이라 판단되는 경우는 커널모드(35)영역으로 흘려보내게 되는데, TDI계층(31)에 필터(531)를 설치하여 불가능한 영역(기업 내 사설네트워크)으로 향하는 패킷(60)을 필터링할 수 있다.In general, all the transmission packets 60 of the PC pass through the user mode 33 of the window and pass through the kernel mode 35 to determine whether or not the accessibility is possible. The filter 531 is installed in the TDI layer 31 to filter the packet 60 destined for an impossible area (private network in the enterprise).

따라서, TDI계층(31)에서 패킷(60)을 후킹 함으로써, 시스템을 변경하지 않아도 되며 시스템에 부담이 없고 타 어플리케이션과의 충동 가능성도 적어지게 된다.Therefore, by hooking the packet 60 in the TDI layer 31, there is no need to change the system, there is no burden on the system and the possibility of impulse with other applications is reduced.

이하, 필터링하는 조건 및 방법에 대하여 후술하기로 한다.Hereinafter, filtering conditions and methods will be described later.

리다이렉터모듈(533)은 도 3에 도시된 바와 같이, 필터(531)에서 필터링된 패킷(60a)을 후킹하여 에이전트모듈(535)로 전송한다.As shown in FIG. 3, the redirector module 533 hooks the packet 60a filtered by the filter 531 to the agent module 535.

에이전트모듈(535)은 리다이렉터모듈(533)로부터 패킷(60b)을 수신받는 경우, VPN 메인유닛(50)과 SSL통신연결을 맺는다. When the agent module 535 receives the packet 60b from the redirector module 533, the agent module 535 establishes an SSL communication connection with the VPN main unit 50.

에이전트모듈(535)은 유저모드(33)의 어플리케이션 계층에서 VPN 메인유닛(50)과 SSL 통신을 맺기 때문에 시스템에 무리가 없고 전송속도가 증가하는 장점이 있다.Since the agent module 535 establishes SSL communication with the VPN main unit 50 in the application layer of the user mode 33, the agent module 535 has an advantage that the transmission speed is increased without difficulty in the system.

전술한, 가상사설망 서비스 방법(1)을 도 3 내지 도 8을 참조하여 자세히 설명하면 다음과 같다.The virtual private network service method 1 described above will be described in detail with reference to FIGS. 3 to 8 as follows.

본발명의 일실시예에 따른 가상사설망 서비스 시스템(1)은 원격지 사용자단말기(20)와 에이전트모듈(535), 에이전트모듈(535)과 VPN 메인유닛(50) 및 VPN 메인유닛(50)과 기업 내 사설네트워크(40)와 연결된 내부단말기(30)의 서버와 각각 3번의 연결이 된다.The virtual private network service system 1 according to an embodiment of the present invention includes a remote user terminal 20 and an agent module 535, an agent module 535, a VPN main unit 50, a VPN main unit 50, and an enterprise. It is connected to the server of the internal terminal 30 connected to my private network 40 three times.

본발명의 일실시예에 따른 가상사설망 서비스 시스템(1)은 도 4에 도시된 바와 같이, 원격지 사용자단말기(20), 에이전트모듈(535), VPN 메인유닛(50) 및 내부단말기(30)는 각각의 IP주소(70,80,90,100)를 가질 수 있다.Virtual private network service system 1 according to an embodiment of the present invention is shown in Figure 4, the remote user terminal 20, the agent module 535, the VPN main unit 50 and the internal terminal 30 Each IP address may have 70, 80, 90, and 100.

따라서, 원격지 사용자단말기(20)에서 발생된 패킷(60)은 각 IP주소(70,80,90,100)를 통하여 목적지로 전송/수신될 수 있다. Therefore, the packet 60 generated in the remote user terminal 20 can be transmitted / received to the destination through each IP address 70, 80, 90, 100.

사용자는 원격지 사용자단말기(20)를 이용하여 공중망 네트워크(10)를 통해 VPN 메인유닛(50)에 접속한다.(S10)The user connects to the VPN main unit 50 through the public network 10 using the remote user terminal 20. (S10)

사용자는 VPN 메인유닛(50)에 접속하기 위해서 원격지 사용자단말기(20)를 사용하여 웹브라우저를 실행시키고, WEB 주소창에 VPN 메인유닛(50)의 관리자가 설정한 IP주소를 입력할 수 있다.The user may run a web browser using the remote user terminal 20 to access the VPN main unit 50, and input the IP address set by the administrator of the VPN main unit 50 in the WEB address bar.

원격지 사용자단말기(20)는 도 4에 도시된 바와 같이, 공중망 네트워크(10)와 연결된 각각의 할당된 공인IP(80)주소를 가질 수 있다.As shown in FIG. 4, the remote user terminal 20 may have each assigned public IP 80 address connected to the public network 10.

예를 들어, 원격지 사용자단말기(20)는 도 4에 도시된 바와 같이, 사용자 단말기IP(80) 192.168.1.1 를 가질 수 있다.For example, the remote user terminal 20 may have a user terminal IP 80 192.168.1.1, as shown in FIG.

원격지 사용자단말기(20)가 VPN 메인유닛(50)에 접속하면, VPN 메인유닛(50)은 원격지 사용자단말기(20)로 가상사설망 설치정보(51)를 전송한다.(S11)When the remote user terminal 20 is connected to the VPN main unit 50, the VPN main unit 50 transmits the virtual private network installation information 51 to the remote user terminal 20 (S11).

원격지 사용자단말기(20)가 VPN 메인유닛(50)에 접속되면, VPN 메인유닛(50)은 도 7에 도시된 바와 같이, 가상사설망 설치정보(51)를 원격지 사용자단말기(20)로 전송한다. When the remote user terminal 20 is connected to the VPN main unit 50, the VPN main unit 50 transmits the virtual private network installation information 51 to the remote user terminal 20, as shown in FIG.

가상사설망 설치정보(51)는 도 7에 도시된 바와 같이, 가상사설망 설치여부를 묻는 어플리케이션 창으로 전송될 수 있다.As shown in FIG. 7, the virtual private network installation information 51 may be transmitted to an application window asking whether to install the virtual private network.

사용자는 도 7에 도시된 바와 같이, 설치도구(52)를 클릭함으로써 가상사설망(VPN) 소프트웨어를 설치할 수 있다.As shown in FIG. 7, the user can install the virtual private network (VPN) software by clicking the installation tool 52.

여기서, 설치도구(52)는 다양한 형태로 가능한 바, 예를 들어, ActiveX컨트롤 드라이버설치를 이용할 수 있다. Here, the installation tool 52 is available in various forms, for example, ActiveX control driver installation can be used.

따라서, 사용자는 도 1에 도시된 바와 같이 사용자단말기 측에 별도의 VPN유닛(300,400)을 구비하지 않아도, 언제 어디서나 공중망 네트워크(10)를 통하여 가상사설망 소프트웨어를 다운받아 용이하게 설치 및 이용할 수 있는 장점이 있다. Therefore, the user can easily install and use the virtual private network software anytime, anywhere through the public network network 10 without having to provide a separate VPN unit (300,400) on the user terminal side as shown in FIG. There is this.

사용자는 원격지 사용자단말기(20)를 통하여 VPN 메인유닛(50)으로 가상사설망 설치 여부의 응답신호를 전송한다.(S13)The user transmits a response signal of whether the virtual private network is installed to the VPN main unit 50 through the remote user terminal 20. (S13)

사용자는 도 7에 도시된 바와 같이, 가상사설망 설치정보(51)에서 설치도구(52)를 클릭함으로써 VPN 메인유닛(50)으로 응답신호를 전송할 수 있다.As shown in FIG. 7, the user may transmit a response signal to the VPN main unit 50 by clicking the installation tool 52 in the virtual private network installation information 51.

여기서, 사용자가 설치도구(52)를 선택을 하지 않을 경우에는 VPN 메인유닛(50)은 접속을 해제할 수 있고 다시 한번 설치 여부를 물을 수 있다.In this case, when the user does not select the installation tool 52, the VPN main unit 50 may release the connection and may ask whether to install it again.

사용자가 설치도구(52)를 선택하는 경우, VPN 메인유닛(50)은 원격지 사용자단말기(20)로 VPN 터널링유닛(53)과 인증모듈(55)을 다운로드한다.(S15)When the user selects the installation tool 52, the VPN main unit 50 downloads the VPN tunneling unit 53 and the authentication module 55 to the remote user terminal 20. (S15)

사용자는 원격지 사용자단말기(20)로 다운로드된 VPN 터널링유닛(53)과 인증모듈(55)을 설치한다.(S17)The user installs the VPN tunneling unit 53 and the authentication module 55 downloaded to the remote user terminal 20. (S17)

원격지 사용자단말기(20)에 VPN 터널링유닛(53)과 인증모듈(55)이 설치되면, 도 8에 도시된 바와 같이, VPN 터널링을 맺기 위한 인증모듈(55) 어플리케이션 창이 원격지 사용자단말기(20)로 전송되고, 사용자는 인증모듈(55)을 통해 원격지 사용자단말기(20)의 접속을 인증받는다.(S18)When the VPN tunneling unit 53 and the authentication module 55 are installed in the remote user terminal 20, as shown in FIG. 8, the authentication module 55 application window for establishing the VPN tunneling to the remote user terminal 20. The user is authenticated to access the remote user terminal 20 through the authentication module 55. (S18)

인증모듈(55)을 통한 로그인 방식은 다양하게 마련될 수 있는 바, 예를 들어, 도 8에 도시된 바와 같이, 아이디/비밀번호, 인증서, 아이디/비밀번호/인증서 또는 핸드폰 SMS 인증방식을 사용할 수 있다.The login method through the authentication module 55 may be provided in various ways. For example, as shown in FIG. 8, an ID / password, a certificate, an ID / password / certificate, or a mobile phone SMS authentication method may be used. .

사용자는 아이디/패스워드 및 인증서를 통하여 인증이 허가되면, 원격지 사용자단말기(20)는 VPN 메인유닛(50)에 접속된다.(S19)If the user is authorized through the ID / password and certificate, the remote user terminal 20 is connected to the VPN main unit 50 (S19).

원격지 사용자단말기(20)에서 패킷(60)이 생성되어 유저모드(33), TDI계층 및 커널모드(35)를 통과한다.(S20)The packet 60 is generated in the remote user terminal 20 and passes through the user mode 33, the TDI layer, and the kernel mode 35. (S20)

원격지 사용자단말기(20)의 어플리케이션에서 발생되는 모든 패킷(60)은 도 3에 도시된 바와 같이, 유저모드(33)에서 TDI계층(31)을 통과하고 커널모드(35)로 향한다. All packets 60 generated in the application of the remote user terminal 20 pass through the TDI layer 31 in the user mode 33 and go to the kernel mode 35, as shown in FIG. 3.

여기서, 필터(531)는 TDI계층(31)을 통과하는 모든 패킷(60) 중 패킷의 목적지IP(63)가 기업 내 사설네트워크(40)와 연결된 내부단말기(PC1~PCn)들의 IP(70)와 일치여부를 비교한다.(S21)Here, the filter 531 is the IP 70 of the internal terminals (PC1 ~ PCn) connected to the private network 40 in the enterprise of the destination IP (63) of the packet among all the packets 60 passing through the TDI layer 31 Compare or not with (S21).

필터(531)는 다양한 위치에 설치될 수 있는 바, 예를 들어 도 3에 도시된 바와 같이, TDI계층(31)에 설치될 수 있다.The filter 531 may be installed at various positions. For example, as illustrated in FIG. 3, the filter 531 may be installed at the TDI layer 31.

따라서, 시스템의 변경 및 부담이 없고, 타 어플리케이션과의 충동 가능성이 적어진다.Therefore, there is no change and burden of the system, and the possibility of impulse with other applications is reduced.

필터(531)는 TDI계층(31)을 통과하는 모든 패킷(60)의 목적지IP(63)를 기업 내 사설 네트워크(40)와 연결된 소정 내부단말기(PC1~PCn)들의 IP(70)와 비교한다.The filter 531 compares the destination IP 63 of all packets 60 passing through the TDI layer 31 with the IP 70 of predetermined internal terminals PC1 to PCn connected to the private network 40 in the enterprise. .

필터(531)는 다양한 필터링 조건을 가지고 수행될 수 있는 바, 예를 들어, TDI계층(31)을 통과하는 모든 패킷(60)의 목적지IP(63)를 기업 내 사설네트워크(40)와 연결된 소정 내부단말기(PC1~PCn)들의 IP(70)와 비교할 수 있다.The filter 531 may be performed with various filtering conditions. For example, the filter 531 may be configured to connect the destination IP 63 of all packets 60 passing through the TDI layer 31 to the private network 40 in the enterprise. It can be compared with the IP 70 of the internal terminals (PC1 ~ PCn).

또한, 필터(531)는 송/수신하는 패킷을 제어할 때, 단순한 규칙으로 필터링 하는 것이 아니라 네트워크 상태에 따라 변화하는 세션을 관리하는 상태테이블을 통해 지능적으로 필터링하는 상황분석방식으로 구현할 수 있다.In addition, the filter 531 may be implemented as a situation analysis method that intelligently filters through a state table managing sessions that change according to network conditions, instead of filtering by simple rules when controlling packets to be transmitted / received.

따라서, 필터(531)는 도 3에 도시된 바와 같이, 원격지 사용자단말기(20)의 TDI계층(31)을 통과하는 모든 패킷(60) 중에서 패킷(60)의 목적지IP(63)와 소정 내부단말기(PC1~PCn)들의 IP(70)를 비교하고, 패킷(60)의 목적지IP(63)와 소정 내부단말기(PC1~PCn)들의 IP(70)가 일치되는 경우, 일치되는 패킷(60)은 필터링하고, 나머지 패킷(60)은 커널모드(35)로 흘려 보낸다. Accordingly, the filter 531 is the destination IP 63 of the packet 60 and the predetermined internal terminal among all the packets 60 passing through the TDI layer 31 of the remote user terminal 20, as shown in FIG. When the IP 70 of the PC1 to PCn is compared, and the destination IP 63 of the packet 60 and the IP 70 of the predetermined internal terminals PC1 to PCn are matched, the matching packet 60 is After filtering, the remaining packet 60 flows to kernel mode 35.

필터(531)는 패킷(60)의 목적지IP(63)가 소정 내부단말기(PC1~PCn)들의 IP(70)와 일치되지 않는경우, 패킷(60)을 커널모드(35)로 그냥 흘려보낸다.(S22) The filter 531 simply flows the packet 60 into the kernel mode 35 when the destination IP 63 of the packet 60 does not match the IP 70 of the predetermined internal terminals PC1 to PCn. (S22)

필터(531)는 도 3에 도시된 바와 같이, 패킷(60)의 목적지IP(63)와 내부단말기(PC1~PCn)들의 IP(70)가 일치되는 경우, 패킷(60a)을 필터링하게 된다.As shown in FIG. 3, the filter 531 filters the packet 60a when the destination IP 63 of the packet 60 and the IP 70 of the internal terminals PC1 to PCn match.

이때, 리다이렉터모듈(533)은 필터(531)에서 필터링된 패킷(60a)을 후킹하여 패킷(60a)의 목적지IP(63)를 에이전트모듈IP(90)로 변환하여 에이전트모듈(535)로 전송한다.(S23)At this time, the redirector module 533 hooks the packet 60a filtered by the filter 531, converts the destination IP 63 of the packet 60a into the agent module IP 90, and sends the packet 60a to the agent module 535. (S23)

리다이렉터모듈(533)은 도 3에 도시된 바와 같이, 패킷(60a)을 후킹하여 에이전트모듈(535)로 전송한다. As shown in FIG. 3, the redirector module 533 hooks the packet 60a and transmits it to the agent module 535.

이때, 패킷(60)의 목적지IP(63)가 10.10.0.1 로 생성되었을 때, 출발지 포트가 임의의 포트를 할당하게 되고, 리다이렉터모듈(533)은 메모리에 할당된 임의의 포트(출발지포트)와 10.0.0.1 이라는 목적지주소와 목적지 포트를 메모리에 저장한다.At this time, when the destination IP (63) of the packet 60 is generated as 10.10.0.1, the source port is assigned an arbitrary port, the redirector module 533 is a random port (originating port) assigned to the memory The destination address and destination port 10.0.0.1 are stored in memory.

그리고, 리다이렉터모듈(533)은 도 5에 도시된 바와 같이, 패킷(60a)의 목적지IP(63)를 에이전트모듈(535)의 에이전트모듈IP(90)로 변환하고 변환된 패킷(60b)을 에이전트모듈(535)로 전송하게 된다. Then, the redirector module 533 converts the destination IP 63 of the packet 60a to the agent module IP 90 of the agent module 535 and converts the converted packet 60b as shown in FIG. Send to module 535.

즉, 리다이렉터모듈(533)에서는 도 5에 도시된 바와 같이 목적지IP(63)가 10.10.0.1/80 에서 127.0.0.1/31081 로 변환되어 에이전트모듈(535)로 전송된다.That is, in the redirector module 533, the destination IP 63 is converted from 10.10.0.1/80 to 127.0.0.1/31081 and transmitted to the agent module 535 as shown in FIG. 5.

패킷(60b)을 수신받은 에이전트모듈(535)은 패킷(60b)의 에이전트모듈IP(90)를 VPN 메인유닛IP(100)로 변환한다.(S24)Upon receiving the packet 60b, the agent module 535 converts the agent module IP 90 of the packet 60b into the VPN main unit IP 100 (S24).

에이전트모듈(535)은 패킷(60b)을 수신받는 경우, VPN 메인유닛(50)과 SSL 통신을 연결하고, 수신받은 패킷(60b)을 VPN 메인유닛(50)으로 전송한다.When receiving the packet 60b, the agent module 535 connects the SSL main unit 50 with SSL communication, and transmits the received packet 60b to the VPN main unit 50.

에이전트모듈(535)로 패킷(60b)이 수신되면, 에이전트모듈(535)은 원격지 사용자단말기(20)의 유저모드(33)에 설치되어 VPN 메인유닛(50)과 SSL 통신을 맺는다.When the packet 60b is received by the agent module 535, the agent module 535 is installed in the user mode 33 of the remote user terminal 20 to establish SSL communication with the VPN main unit 50.

에이전트모듈(535)은 리다이렉터모듈(533)로부터 전송된 패킷(60c)을 VPN 메인유닛(50)으로 전송한다.The agent module 535 transmits the packet 60c transmitted from the redirector module 533 to the VPN main unit 50.

이때, 에이전트모듈(535)은 수신된 패킷(60b)의 목적지IP(63)를 VPN 메인유닛IP(100)로 변환한다.At this time, the agent module 535 converts the destination IP 63 of the received packet 60b into the VPN main unit IP 100.

즉, 도 5에 도시된 바와 같이, 에이전트모듈(535)에서 수신된 패킷(60b)의 목적지IP(63) 127.0.0.1/31081은 211.1.1.1/8080으로 변환되어 VPN 메인유닛(50)으로 전송된다. That is, as shown in FIG. 5, the destination IP 63 127.0.0.1/31081 of the packet 60b received by the agent module 535 is converted into 211.1.1.1/8080 and transmitted to the VPN main unit 50. do.

에이전트모듈(535)은 패킷(60c)의 컨텐츠(65)에 최초 접속하고자 한 목적지 IP 10.10.0.1/80을 추가하여 전송한다.The agent module 535 adds and transmits the destination IP 10.10.0.1/80 for the first access to the content 65 of the packet 60c.

즉, 에이전트모듈(535)은 패킷(60b)이 수신되면 메모리에서 출발지 포트를 검색하여 저장된 목적지IP(10.10.0.1)와 목적지포트를 찾아내어 컨텐츠(65)에 추가하게 된다.That is, when the packet 60b is received, the agent module 535 searches for the source port in the memory, finds the stored destination IP 10.10.0.1 and the destination port, and adds it to the content 65.

에이전트모듈(535)은 패킷(60c)을 암호화하여 VPN 메인유닛(50)으로 전송한다.(S25) The agent module 535 encrypts the packet 60c and transmits the encrypted packet 60c to the VPN main unit 50 (S25).

패킷(60c)을 수신받은 VPN 메인유닛(50)은 패킷(60c)의 VPN 메인유닛IP(100)를 원격지 사용자단말기(20)에서 최초 접속하고자 한 목적지IP(70)로 변환한다.(S26) The VPN main unit 50 receiving the packet 60c converts the VPN main unit IP 100 of the packet 60c into a destination IP 70 to be initially accessed by the remote user terminal 20 (S26).

VPN 메인유닛(50)은 에이전트모듈(535)로부터 패킷(60c)을 수신받은 경우, 최초 접속하고자 한 사설네트워크(40)와 연결된 내부단말기(30)와 새로운 접속을 하게 되고 수신된 패킷(60c)을 내부단말기(30)로 전송한다.When the VPN main unit 50 receives the packet 60c from the agent module 535, the VPN main unit 50 makes a new connection with the internal terminal 30 connected to the private network 40 to be initially connected and receives the received packet 60c. To transmit to the internal terminal (30).

이때, VPN 메인유닛(50)은 수신된 패킷(60c)의 목적지IP(63)를 원격지 사용자단말기가 최초 접속하고자 한 내부단말기(30)의 IP(70)로 변환한다.At this time, the VPN main unit 50 converts the destination IP 63 of the received packet 60c into the IP 70 of the internal terminal 30 to which the remote user terminal initially attempts to connect.

즉, 수신받은 패킷(60c)의 목적지IP(63)는 도 5에 도시된 바와 같이, 211.1.1.1/8080에서 10.10.0.0/80으로 변환된다.That is, the destination IP 63 of the received packet 60c is converted from 211.1.1.1/8080 to 10.10.0.0/80, as shown in FIG.

VPN 메인유닛(50)은 패킷(60d)을 복호화하여 내부단말기(30)로 전송한다.(S27)The VPN main unit 50 decrypts the packet 60d and transmits the packet to the internal terminal 30 (S27).

패킷(60d)을 수신받은 내부단말기(30)는 VPN 메인유닛(50)으로 응답패킷(66)을 전송하고, VPN 메인유닛(50)은 응답패킷(66)을 원격지 사용자단말기(20)로 전송 한다.(S28)The internal terminal 30 receiving the packet 60d transmits the response packet 66 to the VPN main unit 50, and the VPN main unit 50 transmits the response packet 66 to the remote user terminal 20. (S28)

VPN 메인유닛(50)은 도 4에 도시된 바와 같이, 응답을 기다리는 원격지 사용자단말기(20)로 응답패킷(66)을 암호화하여, 패킷(60)을 전달받은 역순으로 전송하게 된다.As shown in FIG. 4, the VPN main unit 50 encrypts the response packet 66 with the remote user terminal 20 waiting for a response, and transmits the packet 60 in the reverse order.

원격지 사용자단말기(20)에서 응답패킷(66)이 수신되면 원격지 사용자단말기(20)와 내부단말기(30)는 상호 접속이 된다.(S29) When the response packet 66 is received from the remote user terminal 20, the remote user terminal 20 and the internal terminal 30 are interconnected (S29).

이에 의해, 사용자는 공중망 네트워크(10)를 통하여 웹상에서 원격지 사용자단말기(20)로 가상사설망 시스템(1)을 다운받아 설치할 수 있어 별도의 VPN 장비를 구비하지 않아도 언제 어디서나 가상사설망 시스템(1)을 설치 및 이용할 수 있다.As a result, the user can download and install the virtual private network system 1 to the remote user terminal 20 on the web through the public network network 10 so that the virtual private network system 1 can be installed anytime and anywhere without the need for a separate VPN device. Can be installed and used.

도 1은 종래 가상사설망(vpn) 서비스 시스템에 대한 구성블록도,1 is a block diagram of a conventional virtual private network (vpn) service system,

도 2는 본 발명의 일실시예에 따른 가상사설망 서비스 시스템의 구성블록도,2 is a block diagram of a virtual private network service system according to an embodiment of the present invention;

도 3은 본 발명의 일실시예에 따른 가상사설망 서비스 시스템의 VPN 터너링유닛의 구성블록도,3 is a block diagram of a VPN turning unit of a virtual private network service system according to an embodiment of the present invention;

도 4는 본 발명의 일실시예에 따른 가상사설망 서비스 시스템의 각 구성이 가지는 IP주소를 나타낸 블록도,4 is a block diagram showing an IP address of each component of the virtual private network service system according to an embodiment of the present invention;

도 5는 본 발명의 일실시예에 따른 가상사설망 서비스 시스템의 패킷의 변환 과정을 도시한 블록도,5 is a block diagram illustrating a packet conversion process of a virtual private network service system according to an embodiment of the present invention;

도 6은 본 발명의 일실시예에 따른 가상사설망 서비스 시스템의 흐름도,6 is a flowchart of a virtual private network service system according to an embodiment of the present invention;

도 7은 본 발명의 일실시예에 있어서, 사용자에게 제공되는 가상사설망 설치정보를 나타낸 화면예,7 is a screen example showing virtual private network installation information provided to a user according to one embodiment of the present invention;

도 8은 본 발명의 일실시예에 있어서, 사용자에게 제공되는 인증모듈을 나타낸 화면예이다.8 is a screen example showing an authentication module provided to a user according to an embodiment of the present invention.

**도면의 주요부분에 대한 부호의 설명**                   ** Description of the symbols for the main parts of the drawings **

1: 가상사설망(VPN) 서비스 시스템 및 그 방법,1: Virtual private network (VPN) service system and method,

10: 공중망 네트워크, 20: 원격지 사용자단말기,10: public network network, 20: remote user terminal,

30: 내부단말기, 31: TDI계층,30: internal terminal, 31: TDI layer,

33: 유저모드, 35: 커널모드,33: user mode, 35: kernel mode,

40: 사설네트워크, 50: VPN 메인유닛,40: private network, 50: VPN main unit,

51: 가상사설망 설치정보, 52: 설치도구,51: virtual private network installation information, 52: installation tool,

53: VPN 터널링유닛, 55: 인증모듈, 60(60a,60b,60c,60d): 패킷, 53: VPN tunneling unit, 55: authentication module, 60 (60a, 60b, 60c, 60d): packet,

61: 출발지IP, 63: 목적지IP, 65: 컨텐츠, 66: 응답패킷, 70: 내부단말기 IP, 80: 원격지 사용자단말기IP, 90: 에이전트IP, 100: VPN 메인유닛IP, 531: 필터, 533: 리다이렉터모듈, 535: 에이전트모듈.61: source IP, 63: destination IP, 65: content, 66: response packet, 70: internal terminal IP, 80: remote user terminal IP, 90: agent IP, 100: VPN main unit IP, 531: filter, 533: Redirector module, 535: Agent module.

Claims (8)

원격지 사용자단말기에서 공중망 네트워크를 통하여 기업 내 사설 네트워크에 접속하기 위한 가상사설망(VPN) 구현방법에 있어서,A method for implementing a virtual private network (VPN) for accessing a private network in an enterprise through a public network in a remote user terminal, 상기 원격지 사용자단말기에서 공중망 네트워크를 통하여 상기 공중망 네트워크와 기업 내 사설 네트워크를 연결하는 VPN 메인유닛에 접속하면 상기 VPN 메인유닛에서 상기 원격지 사용자단말기로 가상사설망(VPN) 설치정보를 전송하는 제1단계와;A first step of transmitting virtual private network (VPN) installation information from the VPN main unit to the remote user terminal when the remote user terminal connects to the VPN main unit connecting the public network network and the private network within the enterprise through a public network network; ; 상기 원격지 사용자단말기로부터 가상사설망(VPN) 설치요청 신호가 수신되는 경우, 상기 VPN 메인유닛에서 인증모듈과 VPN 터널링유닛을 상기 원격지 사용자단말기로 다운로드 하는 제2단계와;A second step of downloading an authentication module and a VPN tunneling unit from the VPN main unit to the remote user terminal when a VPN installation request signal is received from the remote user terminal; 상기 원격지 사용자단말기에 상기 인증모듈과 VPN 터널링유닛이 설치되는 제3단계와;A third step of installing the authentication module and a VPN tunneling unit in the remote user terminal; 상기 VPN 메인유닛에서 상기 인증모듈을 통해 상기 원격지 사용자단말기의 접속을 인증하는 제4단계와;A fourth step of authenticating a connection of the remote user terminal through the authentication module in the VPN main unit; 상기 원격지 사용자단말기에서 상기 기업 내 사설 네트워크와 연결된 소정 내부단말기를 향하는 패킷이 생성되는 경우, 상기 VPN 터널링유닛이 TDI계층을 통과하는 상기 패킷을 후킹(Hooking)하고, 상기 후킹된 패킷을 암호화하여 상기 VPN 메인유닛으로 전송되는 제5단계와;When the remote user terminal generates a packet directed to a predetermined internal terminal connected to the private network in the enterprise, the VPN tunneling unit hooks the packet passing through a TDI layer, encrypts the hooked packet, and A fifth step of transmitting to the VPN main unit; 상기 VPN 메인유닛에서 상기 수신된 패킷을 복호화하여 상기 소정 내부단말기로 전송하고, 상기 원격지 사용자단말기로 응답패킷을 암호화하여 전송함으로써 상기 원격지 사용자단말기와 내부단말기가 상호 접속되는 제6단계;를 포함하는 가상사설망(VPN) 서비스방법.A sixth step of decrypting the received packet from the VPN main unit and transmitting the received packet to the predetermined internal terminal, and encrypting and transmitting a response packet to the remote user terminal to interconnect the remote user terminal and the internal terminal; Virtual private network (VPN) service method. 제1항에 있어서,The method of claim 1, 상기 VPN 터널링모듈은, 필터(Filter)와, 리다이렉터(Redirector)모듈과 에이전트(Agent)모듈을 포함하여, The VPN tunneling module includes a filter, a redirector module, and an agent module. 상기 제5단계는 상기 필터(Filter)에서 상기 원격지 사용자단말기의 TDI계층을 통과하는 모든 패킷 중 상기 소정 내부단말기로 향하는 패킷을 필터링(Filtering)하는 A단계와; 상기 리다이렉터(Redirector)모듈에서 상기 필터링(Filtering)된 패킷을 후킹(Hooking)하여 상기 에이전트(Agent)모듈로 전송하는 B단계와; 상기 에이전트(Agent)모듈에서 상기 후킹(Hooking)된 패킷을 암호화하여 상기 VPN 메인유닛으로 전송하는 C단계;를 포함하는 것을 특징으로 하는 가상사설망(VPN) 서비스방법.The fifth step includes: filtering, from the filter, packets destined for the predetermined internal terminal among all packets passing through the TDI layer of the remote user terminal; Hooking the filtered packet in the redirector module and transmitting the hooked packet to the agent module; And encrypting the hooked packet in the agent module and transmitting the encrypted packet to the VPN main unit. 제2항에 있어서,The method of claim 2, 상기 A단계는, 상기 원격지 사용자 단말기의 TDI계층을 통과하는 모든 패킷의 목적지IP와 상기 기업 내 사설 네트워크와 연결된 각 내부단말기들의 IP를 비교하여, 상기 패킷의 목적지IP와 상기 내부단말기들의 IP가 일치되는 경우 상기 패킷이 필터링(Filtering)되는 것을 특징으로 하는 가상사설망(VPN) 서비스방법.In step A, a destination IP of all packets passing through the TDI layer of the remote user terminal is compared with IPs of respective internal terminals connected to the private network in the enterprise, and the destination IP of the packet is identical to the IP of the internal terminals. If the packet is filtered (Virtual Private Network (VPN)), characterized in that the filtering (Filtering). 제2항 또는 제3항에 있어서,The method according to claim 2 or 3, 상기 B단계는, 상기 리다이렉터(Redirector)모듈에서 상기 후킹(Hooking)된 패킷의 목적지IP를 상기 에이전트모듈의 에이전트IP로 변환하는 단계와; 상기 패킷을 상기 에이전트(Agent)모듈로 전송하는 단계;를 포함하는 것을 특징으로 하는 가상사설망(VPN) 서비스방법.remind Step B may include converting a destination IP of the hooked packet into an agent IP of the agent module in the redirector module; And transmitting the packet to the agent module. 제4항에 있어서,The method of claim 4, wherein 상기 C단계는, 상기 에이전트(Agent)모듈에서 상기 후킹(Hooking)된 패킷이 수신되는 경우, 상기 에이전트(Agent)모듈은 상기 후킹(Hooking)된 패킷의 상기 에이전트IP를 VPN 메인유닛IP로 변환하는 단계와; 상기 원격지 사용자단말기에서 최 초 접속하고자 한 목적지IP를 상기 패킷의 컨텐츠에 추가하는 단계와; 상기 패킷을 상기 VPN 메인유닛으로 전송하는 단계;를 포함하는 것을 특징으로 하는 가상사설망(VPN) 서비스방법.In step C, when the hooked packet is received by the agent module, the agent module converts the agent IP of the hooked packet into a VPN main unit IP. Steps; Adding a destination IP to the contents of the packet to be accessed first by the remote user terminal; Transmitting the packet to the VPN main unit; a virtual private network (VPN) service method comprising a. 제5항에 있어서,The method of claim 5, 상기 제6단계는, 상기 VPN 메인유닛으로 수신된 패킷이 복호화되는 단계와; 상기 수신된 패킷의 VPN 메인유닛IP를 상기 내부단말기의 최초 목적지IP로 재변환하고 상기 내부단말기로 전송하는 단계와; 상기 원격지 사용자단말기로 응답패킷을 암호화하여 역순으로 전송하는 단계;를 포함하는 것을 특징으로 하는 가상사설망(VPN) 서비스방법.The sixth step may include: decrypting a packet received by the VPN main unit; Reconverting the VPN main unit IP of the received packet to the first destination IP of the internal terminal and transmitting the converted packet to the internal terminal; And encrypting a response packet to the remote user terminal in reverse order. 제1항에 있어서,The method of claim 1, 상기 VPN 메인유닛은 SSL(Secure Sockets Layer) 암호화 통신이 가능한 것을 특징으로 하는 가상사설망(VPN) 서비스방법.The VPN main unit is a virtual private network (VPN) service method characterized in that the SSL (Secure Sockets Layer) encrypted communication is possible. 원격지의 사용자단말기와;A remote user terminal; 상기 사용자단말기를 통해 접속되는 경우 가상사설망(VPN) 설치정보를 상기 원격지 사용자단말기로 전송하고, 사용자의 설치요청 신호가 수신되는 경우 VPN 터널링유닛과 인증모듈을 상기 원격지 사용자단말기로 제공하는 VPN 메인유닛과; The VPN main unit transmits the VPN installation information to the remote user terminal when connected through the user terminal, and provides a VPN tunneling unit and an authentication module to the remote user terminal when a user's installation request signal is received. and; 상기 원격지 사용자단말기가 접근하고자 하는 기업 내 사설망 네트워크와 연결된 내부단말기와;An internal terminal connected to an intra-company private network network to which the remote user terminal is to access; 상기 원격지 사용자단말기의 TDI 계층을 통과하는 모든 패킷의 목적지IP와 상기 각 내부단말기들의 IP를 비교하여 일치되는 패킷을 필터링(Filtering)하는 필터(Filter)와, 상기 필터링(Filtering)된 패킷을 후킹(Hooking)하고 상기 후킹(Hooking)된 패킷의 목적지IP를 에이전트IP로 변환하는 리다이렉터(Redirector)모듈과, 상기 리다이렉터(Redirector)모듈에서 변환된 패킷을 전송받아 상기 에이전트IP를 VPN 메인유닛IP로 변환하고 상기 원격지 사용자단말기에서 최초 접속하고자 한 목적지IP를 상기 패킷의 컨텐츠에 추가하고 암호화하여 상기 VPN 메인유닛으로 전송하는 에이전트(Agent)모듈을 갖는 VPN 터널링유닛과;A filter for filtering matching packets by comparing destination IPs of all packets passing through the TDI layer of the remote user terminal and IPs of the respective internal terminals, and hooking the filtered packets ( A redirector module for hooking and converting the destination IP of the hooked packet into an agent IP, and receiving the converted packet from the redirector module to convert the agent IP into a VPN main unit IP. A VPN tunneling unit having an agent module for adding a destination IP to the content of the packet to be initially accessed by the remote user terminal, encrypting the packet, and transmitting the encrypted IP to the VPN main unit; 상기 원격지 사용자단말기의 VPN 메인유닛에 접속을 인증하는 인증모듈과;An authentication module for authenticating access to the VPN main unit of the remote user terminal; 상기 에이전트(Agent)모듈로부터 암호화된 패킷이 수신되는 경우, 상기 패킷의 VPN 메인유닛IP를 상기 원격지 사용자단말기에서 최초 접속하고자 한 목적지IP로 변환하고 복호화하여 상기 기업 내 사설 네트워크와 연결된 내부단말기로 전송하고, 응답패킷을 암호화하여 상기 원격지 사용자단말기로 역순으로 전송하는 VPN 메인유닛;을 포함하여,When the encrypted packet is received from the agent module, the VPN main unit IP of the packet is converted into the destination IP to be initially accessed by the remote user terminal, and then decrypted and transmitted to the internal terminal connected to the private network in the enterprise. And a VPN main unit encrypting the response packet and transmitting the reverse packet to the remote user terminal in reverse order. 상기 사용자단말기와 내부단말기가 상호 접속되는 것을 특징으로 하는 가상사설망(VPN) 서비스 시스템. Virtual private network (VPN) service system, characterized in that the user terminal and the internal terminal is interconnected.
KR1020080092689A 2008-09-22 2008-09-22 Virtual private network service method and system KR100958098B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080092689A KR100958098B1 (en) 2008-09-22 2008-09-22 Virtual private network service method and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080092689A KR100958098B1 (en) 2008-09-22 2008-09-22 Virtual private network service method and system

Publications (2)

Publication Number Publication Date
KR20100033698A KR20100033698A (en) 2010-03-31
KR100958098B1 true KR100958098B1 (en) 2010-05-17

Family

ID=42182496

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080092689A KR100958098B1 (en) 2008-09-22 2008-09-22 Virtual private network service method and system

Country Status (1)

Country Link
KR (1) KR100958098B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101988205B1 (en) * 2019-02-10 2019-06-12 김기수 Virtual private network service system
KR20210138901A (en) 2020-05-13 2021-11-22 (주)지에이씨 Terminal selectable charging gender assembly
KR102672637B1 (en) * 2023-11-14 2024-06-05 주식회사 스타버킷 A system for providing high-security virtual private network services

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6158011A (en) 1997-08-26 2000-12-05 V-One Corporation Multi-access virtual private network
US20040039827A1 (en) 2001-11-02 2004-02-26 Neoteris, Inc. Method and system for providing secure access to private networks with client redirection
KR20070074465A (en) * 2004-06-30 2007-07-12 사이트릭스 어플리케이션 네트워킹, 엘엘씨. Virtual Private Network Construction System and Method
US20080034416A1 (en) 2006-08-03 2008-02-07 Arkesh Kumar Methods and systems for routing packets in a vpn-client-to-vpn-client connection via an ssl/vpn network appliance

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6158011A (en) 1997-08-26 2000-12-05 V-One Corporation Multi-access virtual private network
US20040039827A1 (en) 2001-11-02 2004-02-26 Neoteris, Inc. Method and system for providing secure access to private networks with client redirection
KR20070074465A (en) * 2004-06-30 2007-07-12 사이트릭스 어플리케이션 네트워킹, 엘엘씨. Virtual Private Network Construction System and Method
US20080034416A1 (en) 2006-08-03 2008-02-07 Arkesh Kumar Methods and systems for routing packets in a vpn-client-to-vpn-client connection via an ssl/vpn network appliance

Also Published As

Publication number Publication date
KR20100033698A (en) 2010-03-31

Similar Documents

Publication Publication Date Title
JP4928539B2 (en) Device for secure remote access
CA2912608C (en) Selectively performing man in the middle decryption
US7890759B2 (en) Connection assistance apparatus and gateway apparatus
US7685633B2 (en) Providing consistent application aware firewall traversal
CN102014122B (en) IP Camera service system of point-to-point protocol based on two-way safety authentication
US7734647B2 (en) Personal remote firewall
US20050277434A1 (en) Access controller
EP1701510B1 (en) Secure remote access to non-public private web servers
WO2009037700A2 (en) Remote computer access authentication using a mobile device
US20140289826A1 (en) Establishing a communication session
JP2002523973A (en) System and method for enabling secure access to services in a computer network
CN101938485A (en) Bidirectional safety certification based IP (internet protocol) Camera service realization method of point-to-point protocol
KR100958098B1 (en) Virtual private network service method and system
JP4340848B2 (en) Remote access system and remote access method
US20050086533A1 (en) Method and apparatus for providing secure communication
KR20190009497A (en) Apparatus for splitting networks using wireless security access point
US7822857B2 (en) Methods and systems for sharing remote access
RU2422886C2 (en) Providing coordinated passage of firewall having application information
US20060294595A1 (en) Component selector
JP2008227626A (en) Communication system and communication method of network camera
EP3200420B1 (en) Providing communications security to an end-to-end communication connection
JP4928990B2 (en) Firewall device
KR20100057839A (en) Methods and apparatus for intermediary device roaming
JP6073120B2 (en) Connection authentication system and connection authentication method
Martin Create a Linux VPN for a Nokia E61 with openswan

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20080922

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20100222

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20100503

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20100507

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20100507

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20130430

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20130430

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20140430

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20140430

Start annual number: 5

End annual number: 5

FPAY Annual fee payment

Payment date: 20150227

Year of fee payment: 6

PR1001 Payment of annual fee

Payment date: 20150227

Start annual number: 6

End annual number: 6

FPAY Annual fee payment

Payment date: 20160502

Year of fee payment: 7

PR1001 Payment of annual fee

Payment date: 20160502

Start annual number: 7

End annual number: 7

FPAY Annual fee payment

Payment date: 20170405

Year of fee payment: 8

PR1001 Payment of annual fee

Payment date: 20170405

Start annual number: 8

End annual number: 8

PR1001 Payment of annual fee

Payment date: 20210222

Start annual number: 12

End annual number: 12

PR1001 Payment of annual fee

Payment date: 20220223

Start annual number: 13

End annual number: 13

PR1001 Payment of annual fee

Payment date: 20230227

Start annual number: 14

End annual number: 14