[go: up one dir, main page]

KR101712922B1 - 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치 - Google Patents

동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치 Download PDF

Info

Publication number
KR101712922B1
KR101712922B1 KR1020160072703A KR20160072703A KR101712922B1 KR 101712922 B1 KR101712922 B1 KR 101712922B1 KR 1020160072703 A KR1020160072703 A KR 1020160072703A KR 20160072703 A KR20160072703 A KR 20160072703A KR 101712922 B1 KR101712922 B1 KR 101712922B1
Authority
KR
South Korea
Prior art keywords
tunnel end
virtual router
terminal
information
tunnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020160072703A
Other languages
English (en)
Inventor
김형환
Original Assignee
주식회사 아라드네트웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아라드네트웍스 filed Critical 주식회사 아라드네트웍스
Priority to KR1020160072703A priority Critical patent/KR101712922B1/ko
Priority to CN201610716440.6A priority patent/CN107528778A/zh
Application granted granted Critical
Publication of KR101712922B1 publication Critical patent/KR101712922B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/58Association of routers
    • H04L45/586Association of routers of virtual routers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/28Flow control; Congestion control in relation to timing considerations
    • H04L47/286Time to live
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치에 관한 것으로서, 단일의 가상 라우터가 복수의 터널엔드를 사용할 수 있도록 하되, 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 단말 및 가상 라우터에 제공하고, 정해진 룰에 의하여 터널엔드를 동적으로 선택하여 터널링 속성을 동적으로 변경한다. 따라서, VPN 통신마다 터널링 속성이 동적으로 변화되기 때문에, 일반적인 VPN 시스템과 비교할 때, 외부 해킹이 어렵고 따라서 데이터 송수신의 보안성이 향상될 수 있다.

Description

동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치 {Virtual Private Network System of Dynamic Tunnel End Type, Manager Apparatus and Virtual Router for the same}
본 발명은 가상 사설 네트워크(Virtual Private Network; 이하 'VPN'이라 함), 더 구체적으로는 동적 터널엔드 방식의 가상 사설 네트워크 시스템 및 그를 위한 매니저 장치 등에 관한 것이다.
일반적인 통신 시스템의 경우, 클라이언트 단말과 서비스 제공 서버 및 그를 연결하는 통신 네트워크로 구성된다.
또한, 금융, 홈 오토메이션 등 여러 통신 서비스를 제공하기 위하여, 하나의 단말을 이용하여 여러 서비스 제공서버에 접속할 필요가 있으며, 이러한 다중 접속을 위하여 통신 네트워크 역시 적절한 망분리가 이루어져야 한다.
한편, 인터넷과 같은 공용통신 네트워크를 전용선처럼 사용할 수 있도록, VPN이 사용되고 있다.
이러한 VPN은 통신 연결되는 2개의 종단 장비(End Equipment) 사이에 별도의 게이트웨이 또는 라우터를 배치하고, 게이트웨이 또는 라우터 사이 또는, 종단 장비와 게이트웨이 사이에 특수 통신체계와 암호화 기법을 제공하는 체계인 터널링(Tunneling)을 정의함으로써 구현될 수 있다.
이때, 터널링은 하위층 통신 규약의 패킷을 상위층 통신 규약으로 캡슐화하는 것으로, 통신망상의 두 점 간에 통신이 되도록 하는 것을 의미한다.
즉, 통신망상에서는 통상의 패킷과 캡슐화된 패킷을 구별할 수 없으나 캡슐화를 해제할 수 있는 양단의 기기, 즉 터널의 양단 장치는 본래의 패킷을 선별할 수 있는 특징이 있다.
인터넷과 같은 공용통신망의 2개의 장비 사이에 눈에 보이지 않는 통로를 만들어 통신할 수 있으므로 '터널'이라고 표현하고 있으며, 이러한 터널의 종단을 터녈 엔드(Tunnel End)로 정의할 수 있다.
한편, 종래의 VPN 시스템에서는 한 개 이상의 서버(Server)에 연동된 게이트웨이 내부에 정의되는 가상 라우터(Virtual Router)가 각각 1개의 독립적인 터널 엔드로 사용되었다.
따라서, VPN 시스템에서는 단말과 특정 서버사이의 통신을 위해서는, 해당 서버와 연동된 가상 라우터(VR) 사이에 터널이 형성되어야 하며, 이 때 해당되는 가상 라우터가 터널엔드가 된다.
이 상태에서, 단말은 일반적인 5-튜플(Tuples)로 정의되는 홈어드레스인 HoA를 포함하는 데이터 구조의 패킷을 생성하고, 터널링에 의한 데이터 송수신을 위하여 별도의 확장헤더 주소인 CoA(Care-Of-Address)를 더 붙여서 가상 라우터로 전송한다.
해당 가상 라우터에서는 CoA를 제거한 후 해당되는 서버로 패킷을 전달함으로써 데이터 송신이 수행된다.
한편, 이러한 일반적인 VPN 통신에서는 1 이상의 가상 라우터(VR)가 게이트웨이 내부에 정의되며, 각각의 가상 라우터는 1개의 주소만을 터널엔드로 구성할 수 있다.
예를 들어, 한국공개특허 2006-0037556 등에는 사용자 노드와 1개의 터널엔드 포인트 사이에 터널링을 형성하는 구성이 개시되어 있다.
즉, 종래 기술에 의하면, 가상 라우터는 1개의 공인 IP 주소와 1개의 포트(Port)만으로 정의되는 1개의 터널엔드를 구성할 수 있으며, 결과적으로 특정한 단말 1개의 가상 라우터사이에는 1개의 주소를 사용한 터널만 형성될 수 있었다.
삭제
따라서, VPN 시스템을 이용하더라도 특정한 단말과 서버 사이에 송수신되는 데이터는 일정한 1개의 터널엔드를 경유하게 되므로, 해킹에 취약하다는 단점이 있었다.
즉, 기존의 VPN에서는 단말과 서버 사이에 터널링이 한번 형성되면, 터널엔드를 규정하는 목적지 주소(Dest. Address), 포트번호(Port No.) 등이 변경되지 않고 항상 동일하게 사용되기 때문에, 비록 CoA를 사용하더라도 터널엔드의 주소가 일정하게 유지되어 해킹이 용이하다는 단점이 있었다.
이에 본 발명에서는 VPN시스템에서 가상 라우터가 다수의 터널엔드를 가져서 특정 단말과 다수의 터널링이 가능하도록 하되, 특정 단말과 가상라우터 사이의 터널엔드 정보를 동적으로 변경하는 방안을 제안한다.
이에 본 발명의 실시예들의 목적은, 단일의 가상 라우터에 복수의 터널엔드 설정이 가능한 VPN 시스템을 제공하는 것이다.
본 발명의 다른 목적은 단일의 가상 라우터와 단말 사이에 복수의 터널 설정이 가능하며, 특정 단말과 연결되는 가상 라우터의 터널엔드를 동적으로 변경하는 VPN 시스템을 제공하는 것이다.
본 발명의 다른 목적은 매니저 장치(Manager)가 게이트웨이 내부에 정의되는 각각의 가상 라우터가 가지는 다수의 터널엔드들의 설정 순서를 표시하는 동적 터널엔드 테이블(Dynamic Tunnel End Table; DTE Table)을 생성하여 단말 에이전트와 해당 게이트웨이로 전달하고, 해당 가상 라우터는 DTE 테이블을 이용하여 단말 에이전트와 복수의 터널링을 동적으로 가변 설정하는 VPN 시스템용 매니저 장치를 제공하는 것이다.
이러한 목적을 달성하기 위하여 본 발명의 일 실시예에 의하면, 단말과 터널링에 의하여 연결되되, 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있는 가상 라우터와, 상기 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 생성하여 상기 단말 및 상기 가상라우터로 전달하는 매니저 장치를 포함하며, 상기 가상 라우터는 상기 터널엔드 테이블을 저장하고, 상기 터널엔드 테이블을 기초로 상기 단말과 연결되는 터널링의 터널엔드를 일정 간격으로 동적으로 변경하는 가상 사설 네트워크 시스템을 제공한다.
본 발명의 다른 실시예에 의하면, 단말과 터널링에 의하여 연결되어 상기 단말과 VPN 통신을 하는 가상 라우터로서, 상기 가상라우터는 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있고, 외부의 매니저 장치로부터 상기 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 수신하여 저장하며, 상기 터널엔드 테이블을 기초로 상기 단말과 연결되는 터널링의 터널엔드를 일정 간격으로 동적으로 변경하는 가상 라우터를 제공한다.
본 발명의 또다른 실시예에 의하면, 단말 및 가상라우터와 연결되어 상기 단말 및 가상라우터를 제어하는 매니저 장치로서, 상기 가상 라우터는 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있으며, 상기 매니저 장치는 상기 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 생성하여 상기 단말 및 상기 가상라우터로 전달하여, 상기 가상 라우터와 상기 단말로 하여금 상기 터널엔드 테이블을 기초로 상기 단말과 가상 라우터 사이에 연결되는 터널링의 터널엔드를 일정 간격으로 동적으로 변경하도록 하는매니저 장치를 제공한다.
도 1은 일반적인 VPN 통신 네트워크의 일 예를 도시한다.
도 2는 도 1과 같은 VPN에서 단말과 서버 사이에 송수신되는 패킷의 데이터구조의 일 예를 도시한다.
도 3은 일반적인 네트워크 주소 변환(Network Address Translation; NAT) 방식의 통신 네트워크의 일 예를 도시한다.
도 4는 본 발명의 일실시예에 의한 VPN 시스템의 전체 구성을 도시한다.
도 5는 본 발명의 실시예에 의한 VPN 시스템에서의 동적 터널엔드(DTE) 설정 과정을 도시한다.
도 6은 본 발명의 실시예에 의한 VPN 시스템에서 매니저 장치(Manager)와 게이트웨이(가상 라우터) 사이에서 수행되는 장비 등록 및 터널엔드 변경 과정을 도시한다.
도 7은 본 발명의 실시예에 의한 VPN 시스템에 사용되는 매니저 장치의 세부 구성을 도시한다.
이하, 본 발명의 일부 실시예들을 예시적인 도면을 참조하여 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가질 수 있다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 수 있다.
또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질, 차례, 순서 또는 개수 등이 한정되지 않는다. 어떤 구성 요소가 다른 구성요소에 "연결", "결합" 또는 "접속"된다고 기재된 경우, 그 구성 요소는 그 다른 구성요소에 직접적으로 연결되거나 또는 접속될 수 있지만, 각 구성 요소 사이에 다른 구성 요소가 "개재"되거나, 각 구성 요소가 다른 구성 요소를 통해 "연결", "결합" 또는 "접속"될 수도 있다고 이해되어야 할 것이다.
도 1은 일반적인 VPN 통신 네트워크의 일 예를 도시한다.
도 2는 도 1과 같은 VPN에서 단말과 서버 사이에 송수신되는 패킷의 데이터구조의 일 예를 도시한다.
도 1과 같이 일반적인 VPN 시스템은 단말(10)과, 다수의 가상 라우터(Virtual Router; 22)들을 포함하는 게이트웨이(20)와, 게이트웨이에 연동되어 있는 다수의 서버(30)들로 구성된다.
이러한 VPN 시스템에서는 단말(10)에 설치된 에이전트가 특정한 서버로 패킷을 전송하기 위하여, 전송할 데이터인 페이로드(Payload)에 5-튜플(Tuples)로 이루어지는 이너 헤더(Inner Header)인 부가하여 기본 패킷을 생성한다.
이 때, 이너 헤더는 도 2a에 도시한 바와 같이, 프로토콜(Protocol)과, 자신의 소스 주소(Source Address) 및 소스 포트번호(Source Port No.)와, 해당 서버인 목적지 주소(Dest. Addr.) 및 목적지 포트번호(Dest. Port No.)를 포함하며, 이러한 이너 헤더를 HoA(Home Address)로 표현할 수 있다.
또한, 단말 에이전트는 기본 패킷 구조에 확장 헤더 또는 아우터 헤더(Outer Header)를 더 부가하여 확장 패킷을 생성하며, 아우터 헤더는 프로토콜(Protocol)과, 자신의 소스 주소(Source Address) 및 소스 포트번호(Source Port No.)와, 목적지인 가상 라우터(22)의 주소 및 포트번호인 목적지 주소(Dest. Addr.) 및 목적지 포트번호(Dest. Port No.)를 포함한다.
이 때, 확장헤더 또는 아우터 헤더를 CoA(Care of Address)로 표현할 수 있다.
한편, 단말과 가상 라우터 사이에는 전용통신로인 터널(Tunnel)이 형성되어 있으며, 단말은 이러한 터널을 통하여 확장 패킷을 게이트웨이 내부의 가상 라우터로 전달한다.
그러면, 해당되는 가상 라우터는 확장 패킷으로부터 CoA를 제거한 후 페이로드와 HoA만으로 이루어지는 기본 패킷을 해당 서버로 전송함으로써, 패킷 전송이 완료된다.
본 명세서에서 VPN(Virtual Private Network)은 가상 사설 네트워크의 약자로서, 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계를 제공하는 통신 서비스를 의미한다.
즉, 범용 통신망을 이용하여 클라이언트와 특정 서버가 연결된 후, 양 장치가 미리 정해진 통신체계(프로토콜)를 이용하여 전용통신과 동일한 효과를 나타내도록 하는 통신 기법이다.
이러한 VPN을 위해서는 단말(클라이언트)측에서는 일정한 VPN 프로그램 또는 단말 에이전트가 설치되어 있어야 하며, 이러한 단말 에이전트를 실행한 상태에서 데이터를 정해진 프로토콜로 처리하여 게이트웨이 및 서버측으로 전송하면, 게이트웨이 또는 서버는 그를 인식하게 되는 것이다.
이 때, 단말과 서버측 사이에 전용선과 유사하게 형성되는 통신 채널을 VPN이라 표현할 수 있으며, 특히 단말과 가상 라우터 사이에 형성되는 통신 채널을 터널로 표현할 수 있다. 단말과 가상 라우터 사이의 터널링 설정을 위한 프로토콜은 공중망을 통한 PPTP(Point-to-Point Tunneling Protocol)나 L2TP(Layer 2 Tunneling Protocol) 등을 이용할 수 있다.
이러한 VPN 시스템에서 단말과 서버 사이의 VPN 통신을 가능하게 하는 엔티티를 가상 라우터(VR)로 정의할 수 있으며, 다수의 가상 라우터를 포함하는 물리적 단위를 게이트웨이(Gateway; G/W)로 정의할 수 있다.
즉, 도 1과 같이, 게이트웨이(20) 내부에는 다수의 가상 라우터(22)가 함되어 있으며, 각각의 가상 라우터에는 1 이상의 서버(30) 또는 서버팜이 연동되어 있다.
이 때, 각 가상 라우터는 1개의 공인 IP주소와 1개의 포트를 사용하여 식별되며, 이러한 가상 라우터의 공인 IP주소와 포트번호를 터널엔드 정보로 표현할 수 있다.
한편, 도 1과 같은 일반적인 VPN 시스템에서는 각 가상 라우터는 특정 단말과 자신 사이에 1개의 터널만 설정할 수 있다.
예를 들어, 도 1과 같이, 단말(10)은 가상 라우터1과 제1터널(T1)을 형성하고, 가상 라우터 2와는 제2터널(T2)을 형성하며, 이때 각 터널의 가상 라우터측 종단이 터널엔드이며, 터널엔드는 해당 가상 라우터의 IP주소와 포트번호로 정의되는 터널엔드 정보로서 식별될 수 있다.
단말(10)이 서버 1(30)과 VPN 통신을 하는 것을 예로서 설명하면 다음과 같다.
우선, 기존의 VPN 시스템에서는 단말(10)과 가상 라우터 1(VR1) 사이 1개의 터널엔드로 정의되는 단일 터널 T1(40)만이 형성된다.
이 터널 T1을 이용하여, 단말에서는 CoA를 포함하는 확장패킷(52)을 생성하여 해당 가상 라우터(22)로 전송하며, 가상 라우터에서는 CoA를 제거한 기본 패킷(54)을 해당되는 서버로 전송하는 것이다.
이 때, 전송되는 패킷의 HoA 또는 이너 헤더는 도 2a에 도시한 바와 같이, 프로토콜(Protocol)과, 단말의 IP 주소 및 포트 번호인 소스 주소(Source Address) 및 소스 포트번호(Source Port No.)와, 서버 1의 IP 주소 및 포트 번호인 목적지 주소(Dest. Addr.) 및 목적지 포트번호(Dest. Port No.)를 포함하며, CoA 또는 확장 헤더에는 프로토콜(Protocol)과, 단말의 IP 주소 및 포트 번호인 소스 주소(Source Address) 및 소스 포트번호(Source Port No.)와, 가상 라우터 1(VR1)의 IP 주소 및 포트 번호인 목적지 주소(Dest. Addr.) 및 목적지 포트번호(Dest. Port No.)를 포함한다.
이 때, 터널 1의 가상 라우터측 터널엔드는 가상 라우터 1의 IP 주소 및 포트번호인 VR1(IP, PortNo)로 정의될 수 있다.
도 1과 같은 일반적인 VPN 시스템에서는, 가상 라우터는 1개의 공인 IP 주소와 1개의 포트(Port)만으로 정의되는 1개의 터널엔드를 구성할 수 있으며, 결과적으로 특정한 단말과 1개의 가상 라우터사이에는 1개의 터널만 형성될 수 있었다.
따라서, VPN 시스템을 이용하더라도 특정한 단말과 서버 사이에 송수신되는 데이터는 일정한 1개의 터널엔드를 경유하게 되므로, 해킹에 취약하다는 단점이 있었다.
즉, 도 1과 같은 VPN 시스템에서는 단말과 서버 사이에 터널링이 한번 형성되면, 터널엔드를 규정하는 목적지 주소(Dest. Address), 포트번호(Port No.) 등이 변경되지 않고 항상 동일하게 사용되기 때문에, 비록 CoA를 사용하더라도 터널엔드의 주소가 일정하게 유지되어 해킹이 용이하다는 단점이 있었다.
도 3은 일반적인 네트워크 주소 변환(Network Address Translation; NAT) 방식의 통신 네트워크의 일 예를 도시한다.
NAT 시스템은 사설 IP주소를 공인 IP주소로 바꿔주는데 사용하는 통신망의 주소 변환기 시스템을 의미한다.
이러한, NAT 통신 시스템에서는 외부 단말(60)과, 인터넷과 같은 공용 통신망(62)와, 주소변환기(70) 및 주소변환기에 연결된 다수의 대응단말(Terminal; 80)을 포함하여 구성된다.
외부 단말(60)에서는 수신할 대응단말 중 하나 또는 주소변환기의 공인 IP 주소를 이용하여 도 2a와 같은 기본 패킷을 생성하여 전송한다.
주소변환기(70)는 기본 패킷의 이너 헤더 또는 HoA에 포함된 목적지 주소(Dest. Addr.)를 공인 IP 주소에서 해당되는 대응 단말에 할당된 사설 IP 주소 또는 유동IP 주소로 변환하여 해당 대응단말로 전송하는 기능을 하는 장치로서, 공유기 등 다른 용어로 표현될 수 있다.
이러한 NAT 통신 시스템을 이용하면 한정된 하나의 공인 IP를 여러개의 내부 사설 IP로 변환함으로써 공인 IP를 절약할 수 있는 장점과, 내부 사설 IP를 사용함으로서 외부 침입에 대한 보안성을 높이고 장비에 연결된 대응 단말들의 관리가 용이하다는 장점이 있다.
그러나, 이러한 NAT 시스템에서는 대응단말 자체가 공인 IP 주소를 가지지 못하기 때문에, 대응 단말이 독립적인 공인된 통신 주체가 될 수 없다는 단점이 있다.
즉, 대응단말은 주소변환기에 연동되어 주소변환기의 제어에 의한 사설 IP 주소를 할당받을 뿐 대응단말마다 공인 IP 주소가 할당되지 않기 때문에, 공용통신망에서 외부의 통신 주체가 각 대응단말 자체를 독립적인 통신노드로 인식할 수 없고, 각 대응단말은 반드시 주소변환기에 연동되어서만 사용될 수 있게 된다.
따라서, NAT 시스템에서 주소변환기에 연동된 단말은 개인 PC, 모바일 단말 등 클라이언트 단말에 한정되며, 서버장치는 NAT 시스템으로 구현할 수 없다는 단점이 있다.
이에 본 발명의 실시예에서는 도 1과 같은 일반적인 VPN 시스템 또는 도 3과 같은 NAT 시스템의 단점을 해결하여, 단일의 가상 라우터에 다수의 터널엔드를 정의할 수 있도록 하고, 터널엔드를 동적으로 변경시키기 위한 동적 정보인 동적 터널엔드 테이블을 생성하여 가상 라우터와 단말에 저장해두고, 일정한 룰에 따라 동적 터널엔드 테이블에 포함된 터널엔드 정보를 추출하여 터널링을 수행하는 시스템을 제공하고자 한다.
이러한 본 발명을 이용하면, 특정 단말과 특정 가상 라우터 사이의 VPN 통신을 위한 터널이 동적으로 변경되기 때문에 해킹 등 외부 침입 또는 패킷 유출 위험성을 감소시키면서도, 가상 라우터 및 그에 연동된 대응단말이 공인 IP주소를 사용하기 때문에 서버-클라이언트 시스템에도 적용할 수 있는 장점이 있다.
도 4는 본 발명의 일실시예에 의한 VPN 시스템의 전체 구성을 도시한다.
도 4에 도시된 바와 같이, 본 발명에 의한 VPN 시스템은 단말(100)과, 단말과 터널링에 의하여 연결되는 1 이상의 가상 라우터(VR; 210)를 포함하는 게이트웨이(200)와, 가상 라우터와 연동되는 서버(410) 또는 서버팜(400)과, 단말 및 가상 라우터들과 연결되어 단말과 가상 라우터 사이의 터널링 설정을 제어하는 매니저 장치(300)를 포함하여 구성될 수 있다.
본 발명에 사용되는 단말(100)은 일반적인 모바일 통신단말,PC, 서버용 컴퓨터 등 여하한 통신 수단일 수 있으며, 단말에는 본 발명에 의한 VPN 통신 기능을 수행하기 위한 소프트웨어인 에이전트가 설치되어 있다.
단말 에이전트는 매니저장치로부터 각 가상 라우터별로 생성되는 터널엔드 테이블 정보를 수신하여 단말 내부의 동적 터널엔드 DB(110)에 저장하는 기능과, 매니저장치로부터 수신하거나 자체적으로 보유한 룰정보에 따라서 터널엔드 테이블에 있는 다수의 터널엔드 정보로부터 하나를 선택한 후 선택된 터널엔드에 따라서 해당 가상라우터와 터널링을 설정하는 기능 등을 보유한다.
본 발명에 의한 게이트웨이(200)는 1 이상의 가상 라우터(210)를 포함하는 통신노드의 의미이며, 홈게이트웨이, 공유기 등 다른 용어로 표현될 수 있을 것이다.
게이트웨이에 포함된 가상 라우터(VR; 210) 각각은 단말과 서버(팜) 사이에 위치하는 통신 노드로서, 단말과 터널링에 의하여 연결되어 단말과 서버(팜) 사이의 VPN 통신을 중개하는 장치를 의미한다.
VPN 통신 시스템은 리눅스 기반의 MPLS L3 VPN 기술은 라우터나 이더넷 스위치에서 IPVPN 서비스를 제공하기 위해 사용하는 통신 프로토콜 소프트웨어를 이용하여 구축될 수 있다. 이러한 L3 VPN 기술은 인터넷 표준기구(IETF)에서 규정한 표준을 기반으로 IP 네트워크 환경에서 다중 프로토콜 레이블 스위칭(MPLS) 가상사설망(VPN) 서비스를 제공할 수 있다.
한편, 본 발명에 의하면, 1개의 가상 라우터는 다수의 공인 IP 주소와 다수의 포트번호를 포함하며, 다수의 공인 IP 주소 중 선택되는 하나의 공인 IP 주소와 다수의 포트번호 중 선택되는 하나의 포트번호를 이용하여 단말과 VPN 터널링을 설정할 수 있다.
즉, 도 1에 도시된 일반적인 가상 라우터가 1개의 공인 IP 주소와 1개의 포트번호를 가짐으로써 단말과 자신 사이에 1개의 터널엔드만 설정할 수 있는 것과 달리, 본 실시예에 의한 가상 라우터 각각은 다수의 공인 IP 주소와 다수의 포트번호를 보유하고 있어서 그 중 선택되는 공인 IP 주소와 포트번호 조합을 이용하여 단말과 다수의 터널엔드를 설정할 수 있는 점에서 차이가 있다.
이 때, 다수의 공인 IP 주소 중 선택되는 하나의 공인 IP 주소와 다수의 포트번호 중 선택되는 하나의 포트번호가 터널엔드 또는 터널엔드 정보로 정의될 수 있다.
또한, 터널엔드는 가상 라우터와 단말 사이에 형성되는 터널링의 속성(Attribute) 중 하나를 구성하며, 터널엔드가 변경되는 경우에도 해당 가상 라우터와 단말 사이의 터널링을 동일하게 유지되며, 다만 해당 터널링의 속성만 변경되는 것이다.
예를 들어, 가상 라우터 1(VR1)이 총i개(i>1)의 공인 IP와 총j개(j>1)의 포트번호를 가지고 있다면, 가상 라우터 1에게 생성될 수 있는 터널엔드 정보는 총 i*j개가 된다.
즉, 가상라우터 1은 단말을 포함한 네트워크와 자신 사이에 하나의 터널링에 i*j개의 터널엔드를 설정할 수 있다.
예를 들어, 터널엔드 정보 TE(IP 1, 포트번호 2)는 가상 라우터 1이 단단과 설정한 터널링의 속성 중 하나가 된다.
또한, 가상 라우터(210) 각각은 매니저장치로부터 수신한 터널엔드 테이블 정보를 저장하는 동적 터널엔드 DB(220)를 포함한다.
즉, 본 발명에 의한 가상 라우터(210)는 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있고, 외부의 매니저 장치로부터 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 수신하여 저장하는 기능을 수행한다.
또한, 가상 라우터(210)는 매니저장치로부터 수신한 터널엔드 테이블을 기초로 단말과 연결되는 터널링의 터널엔드를 일정 간격으로 동적으로 변경하여 단말 사이에 형성된 터널링의 속성을 변경하는 기능을 가진다.
본 명세서에서 터널엔드 테이블 정보는 각 가상라우터별로 생성되며 해당 가상 라우터가 설정할 수 있는 다수의 터널엔드 정보의 집합을 의미한다.
만일, 해당 가상 라우터가 보유한 공인 IP 주소 및 포트번호가 각각 Ii개 및 j개인 경우, i*j개로 정의되는 터널엔드 정보들을 테이블 형태로 구성한 것이 터널엔드 테이블 정보가 될 수 있다.
가상 라우터(210)는 일정 간격으로 수신한 터널엔드 테이블에 포함된 다수의 터널엔드 정보 중 하나를 선택한 후, 선택된 터널엔드 정보에 맞도록 단말과의 터널링 속성을 변경할 수 있다.
또한, 가상 라우터(210)는 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 선택하기 위한 룰정보를 매니저 장치로부터 더 수신하는 기능을 할 수 있으며, 이 때 수신한 룰정보에 따라 일정 간격으로 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 동적으로 선택하여 터널링 속성을 변경할 수 있다.
이 때, 터널엔드 정보의 변경 및 터널링 변경을 위한 룰(Rule)은 순차방식(제1룰), 랜덤방식(제2룰), 혼합방식(제3룰 및 제4룰) 등에 의하여 수행될 수 있으며, 이에 대해서는 아래에서 더 상세하게 설명한다.
물론, 터널엔드 정보의 변경 및 터널링 변경을 위한 룰정보는 반드시 매니저장치로부터 수신될 필요는 없다.
한편, 본 발명에 의한 가상라우터와 단말 사이의 터널링 변경은 매 패킷 전송시마다 이루어지거나, 미리 지정된 패킷 송수신 회수가 만족되거나, 일정 주기별로 이루어질 수 있다.
도 4를 기준으로 예를 들면, 순차방식의 제1룰이 적용되는 경우라면, 첫 번째 패킷 전송 또는 일정회수/시간 동안에는 터널엔드 테이블에 포함된 제1 터널엔드 정보(예를들면, 공인 IP 주소 1번과, 포트번호 1번으로 정의될 수 있음)에 따라 단말과 가상 라우터 1 사이에 설정되는 제1터널링 속성을 가지는 터널링을 통해 패킷을 전송하고, 두 번째 패킷 전송 또는 다음 회수/주기 동안에는 다음의 터널엔드 정보인 제2 터널엔드 정보(예를들면, 공인 IP 주소 1번과, 포트번호 2번으로 정의될 수 있음)에 따라 단말과 가상 라우터 1 사이에 설정되는 제2터널링 속성을 가지는 터널링을 통해 패킷을 전송할 수 있다.
이 때, 단말이 가상 라우터로 전송하는 패킷은 도 2a와 같이 페이로드와 HoA 이외에, 선택된 터널엔드 정보로 정의되는 해당 가상 라우터의 IP 주소(Dest. Addr.)와 포트번호(Port No)를 포함하는 아우터헤더 또는 CoA를 포함하는 확장 패킷이다.
물론, 이 때 기본 패킷의 이너 헤더 또는 HoA는 도 2b와 같이, 프로토콜(Protocol)과, 단말의 소스 주소(Source Address) 및 소스 포트번호(Source Port No.)와, 패킷을 수신할 서버의 목적지 주소(Dest. Addr.) 및 목적지 포트번호(Dest. Port No.)를 포함한다.
즉, 단말은 룰정보에 따라 저장된 터널엔드 테이블로부터 특정한 터널엔드 정보를 추출한 후, 그 선택된 터널엔드 정보에 포함된 가상 라우터의 공인 IP 주소 및 포트번호를 각각 CoA의 목적지 주소(Dest. Addr.) 및 목적지 포트번호(Dest. Port No)로 설정한다.
이와 같이 생성된 아우터헤더 또는 CoA를 기본 패킷 헤더(HoA) 외부에 더 부가하여 확장패킷을 생성한 후 터널링을 통하여 가상 라우터로 전송한다.
한편, 본 실시예에서 HoA 및 CoA에 포함되는 프로토콜은 UDP(User Datagram Protocol)일 수 있으나 그에 한정되는 것은 아니다.
가상 라우터(210)에서는 단말과 동일한 룰에 의하여 선택된 터널엔드로 설정된 터널링을 통하여 확장 패킷을 수신하고, CoA를 제거한 후에 기본패킷을 목적지인 서버로 전송한다.
한편, 가상 라우터(210) 각각은 설정된 터널링을 통하여 해당 단말로부터 수신한 패킷 수신 회수나 패킷 수신용량 또는 터널링 설정후 경과시간 정보를 이용하여 일정 간격으로 터널엔드 테이블 정보의 업데이트를 매니저 장치에 요청할 수 있다.
더 구체적으로, 가상 라우터(210)는 단말로부터의 패킷 수신 회수가 임계회수 이상이 되거나, 터널링 설정 후 지속시간이 임계시간 이상인 경우, 터널엔드 테이블 업데이트 요청 신호를 생성하여 매니저 장치로 전송하고, 새로운 터널엔드 테이블을 매니저 장치로부터 수신하여 저장할 수 있다.
그 후의 단말과의 터널링 설정은 새롭게 업데이트된 터널엔드 테이블과 룰정보에 의하여 수행된다.
본 발명에 사용되는 매니저 장치(300)는 단말 및 가상라우터와 연결되어 단말 및 가상라우터를 제어하는 장치로서, 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 생성하여 단말 및 상기 가상라우터로 전달하는 기능을 수행한다.
또한, 매니저 장치(300)는 터널엔드 테이블 정보 생성 및 전달 기능 이외에, 단말을 인증하는 기능과, 게이트웨이 또는 가상 라우터의 최초 장비 등록 기능을 더 구비할 수 있으며, 이에 대해서는 도 6을 참고로 아래에서 더 상세하게 설명한다.
더 구체적으로, 매니저장치(300)는 가상 라우터 또는 그를 포함하는 게이트웨이의 장비 등록에 따라 가상 라우터별로 해당 가상 라우터가 설정할 수 있는 다수의 터널엔드 정보 목록인 터널엔드 테이블을 생성한 후 그를 단말과 해당 가상 라우터로 전달한다.
또한, 매니저 장치(300)는 단말 또는 가상 라우터로부터 터널엔드 테이블 업데이트 요청이 전송되는 경우, 또는 기설정된 터널엔드 테이블 업데이트 조건이 만족하는 경우, 가상 라우터별로 새로운 터널엔드 테이블을 생성하여 단말과 가상 라우터로 전송할 수 있다.
또한, 매니저 장치(300)는 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 동적으로 선택하기 위한 룰(Rule)에 대한 정보인 룰정보를 생성하여 단말 및 가상 라우터로 전달하는 기능을 더 포함할 수 있다.
단말 및 가상 라우터는 이러한 룰정보에서 규정하는 룰에 따라서, 기저장한 가상 라우터별 터널엔드 테이블에 포함되는 다수의 터널엔드 중 하나의 터널엔드를 선택하고, 그 선택된 터널엔드를 기초로 단말과 가상 라우터 사이의 터널링의 속성을 변경할 수 있다.
물론, 터널엔드 테이블에 포함되는 다수의 터널엔드 정보 중 하나를 선택하는 룰은 단말과 가상라우터가 적용할 수 있도록 미리 결정되어 있을 수 있으며, 이 경우에는 룰정보를 매니저 장치로부터 수신할 필요 없이 미리 정해진 룰에 따라 터널링 변경을 위한 터널엔드 정보 선택 과정을 수행할 수도 있을 것이다.
아래에서는 터널엔드 테이블에 포함되는 다수의 터널엔드 정보 중 하나를 선택하는 룰에 대하여 설명한다.
터널엔드 테이블에 포함되는 다수의 터널엔드 정보 중 하나를 선택하는 방식으로는 순차방식(제1룰), 랜덤방식(제2룰), 혼합방식(제3룰 및 제4룰) 등이 가능하지만, 그에 한정되는 것은 아니다.
첫 번째로 순차방식인 제1룰은, 터널엔드 테이블에 포함된 다수의 터널엔드 정보를 순방향 또는 역방향으로 순차적으로 선택하여 적용하는 것이다.
예를 들면, 터널엔드 테이블에는 (IP_1, PortNo_1)부터 (IP_i, PortNo_j)까지 총 i*j개의 터널엔드가 포함되어 있는 경우, 첫 번째 패킷 전송 또는 최초 n개의 패킷 전송 또는 제1주기 동안의 패킷 전송시에는 테이블의 첫 번째 터널엔드인 (IP_1, PortNo_1)으로 정의되는 제1터널링 속성에 의하여 형성되는 터널링을 통해 통신하고, 두번째 패킷 전송 또는 n~2n개의 패킷 전송 또는 제2주기 동안의 패킷 전송시에는 테이블의 두 번째 터널엔드인 (IP_1, PortNo_2)로 정의되는 제2터널링 속성을 가지는 터널링을 이용하는 것이다.
이러한 순차방식의 제1룰에 의하면, 데이터 송수신 과정에서 최초 1번만 터널엔드 테이블을 참조하면 되기 때문에 시스템 오버헤드가 작다는 장점이 있으나, 터널엔드 테이블이 노출된 경우 보안성이 약할 수 있다.
두 번째, 랜덤방식인 제2룰은, 터널엔드 테이블에 포함된 다수의 터널엔드 정보를 랜덤하게 선택하여 적용하는 것이다.
이 때, 제2룰을 적용하는 경우 룰정보는 터널엔드 테이블의 버전을 나타내는 테이블 버전정보(Table Version)와, 가상 라우터의 식별자인 가상 라우터 번호(VR No), 다음으로 선택될 터널엔드 정보를 나타내는 터널엔드 선택정보(n{IP, PortNo}) 등이 포함될 수 있다.
이러한 룰정보는 매니저 장치(300)에서 생성되어 단말 및 가상 라우터로 전송됨으로써 2개의 노드가 동일한 룰을 적용할 수도 있으나, 패킷을 송신하는 측에서 룰정보를 패킷의 헤더 등으로 포함시켜 전송하고 수신측에서 그 룰정보에 따라서 터널엔드 정보를 선택할 수도 있을 것이다.
즉, 단말과 가상 라우터는 매니저 장치로부터 동일한 터널엔드 테이블을 수신하여 저장하고 있으므로, 매니저 장치 또는 송신측에서 전송되는 룰정보를 이용하면 단말과 가상 라우터가 동일한 룰에 의하여 동일한 터널엔드를 선택하여 적용할 수 있는 것이다.
이러한 랜덤방식의 제2룰에 의하면, 터널엔드 테이블이 노출되더라도 룰을 알 수 없는한 보안성이 유지된다는 점에서 장점이 있으나, 데이터 송수신 과정마다 터널엔드 테이블을 참조하여야 하므로 시스템 오버헤드가 다소 증가할 수 있다.
세 번째로 혼합방식인 제3룰은, 하나의 공인 IP 주소를 이용하여 순차방식을 적용하다가, 일정 스킵 파라미터에 의하여 터널엔드 테이블의 다른 터널엔드로 이동하여 선택하는 방식이다.
제3룰을 적용하는 경우 룰정보는 터널엔드 테이블의 버전을 나타내는 테이블 버전정보(Table Version)와, 가상 라우터의 식별자인 가상 라우터 번호(VR No), 사용될 1개의 공인 IP 주소 정보(IP)와, 다음으로 선택될 터널엔드 정보를 나타내는 터널엔드 스킵정보(n{skip point or skip count}) 등이 포함될 수 있다.
예를 들어, 터널엔드 테이블에는 (IP_1, PortNo_1)부터 (IP_i, PortNo_j)까지 총 i*j개의 터널엔드가 포함되어 있고, 제3룰에 의한 룰정보에 포함된 공인 IP 주소인 IP=1, 터널엔드 스킵정보 n{skip point or skip count}=2{3}인 경우, n=2개의 터널엔드인 (IP_1, PortNo_1), (IP_1, PortNo_2)을 순차적으로 선택하다가, 다음에는 skip count=3개를 이동하여 (IP_1, PortNo_5)로 정의되는 터널엔드를 선택하여 이용하는 것이다.
또다른 혼합방식인 제4룰에 의하면, 일정한 회수까지는 순차방식을 적용하다가, 일정 스킵 파라미터에 의하여 터널엔드 테이블의 다른 터널엔드로 이동하여 선택하는 방식이다.
제4룰을 적용하는 경우 룰정보는 터널엔드 테이블의 버전을 나타내는 테이블 버전정보(Table Version)와, 가상 라우터의 식별자인 가상 라우터 번호(VR No), 다음으로 선택될 터널엔드 정보를 나타내는 터널엔드 스킵정보(n{IP, skip point or skip count}) 등이 포함될 수 있다.
예를 들어, 제4룰에 의한 룰정보에 포함된 터널엔드 스킵정보 n{IP, skip point or skip count}=2{2, 3}인 경우, n=2개의 터널엔드인 (IP_1, PortNo_1), (IP_1, PortNo_2)을 순차적으로 선택하다가, 다음에는 2번째 공인 IP 주소인 IP_2와 그로부터의 skip point=3개로 정의되는 (IP_2, PortNo_3)의 터널엔드를 선택하여 이용하는 것이다.
혼합방식의 제3룰 및 제4룰을 이용하면, 순차방식과 랜덤방식의 단점을 보완할 수 있다.
즉, 매번 터널엔드 테이블을 참조하지 않고 터널엔드 스킵조건이 만족한 경우에만 참조하면 되므로 시스템 오버헤드를 감소시킬 수 있으면서도, 터널엔드 스킵조건에 의하여 순차방식의 보안성 약화를 보완할 수 있게 된다.
이러한 터널엔드 선택 룰은 매니저 장치가 특정 정책에 따라 일정한 주기에 따라 변경될 수 있으며, 변경된 룰정보는 단말 및 가상 라우터로 전달되어야 한다.
이 경우, 룰정보가 송수신측 모두에서 동기화되어 변경되지 못한 경우를 대비하여, 룰정보가 변경된 경우 일정시간 동안에는 바로 직전 룰버전을 인정할 수 있다.
예를 들면, 룰정보가 변경된 상태에서 송신측에서는 변경될 룰에 의하여 선택된 터널엔드로 데이터를 전송하지만 수신측에서는 이전 버전의 룰이 적용되고 있다면, 룰 변경 이후 일정 시간동안 수신측에서는 이전 버전의 룰이 적용되도록 할 수 있다.
물론, 이 경우 일정 시간 경과한 이후에도 상대방의 룰이 변경되지 않는 경우에는 해당 상대방으로부터의 데이터 수신을 거부할 수 있다.
이상과 같이, 본발명의 실시예에 의하면, 단일의 가상 라우터가 복수의 터널엔드 설정이 가능하도록 하되, 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 단말 및 가상 라우터에 제공하고, 정해진 룰에 의하여 터널엔드를 동적으로 선택하여 터널링 속성을 변경한다.
따라서, 도 1과 같은 일반적인 VPN 시스템과 달리, VPN 통신마다 터널링 속성이 동적으로 변화되기 때문에, 외부 해킹이 어렵고 따라서 데이터 송수신의 보안성이 향상될 수 있다.
또한, 기존의 네트워크 주소 변환(NAT) 시스템에서는 공유기에 연동된 장치가 공인 IP를 가지지 못하는 클라이언트 단말로 한정되는 것에 비하여, 본 발명에 의하면 가상 라우터에 연동된 장치가 공인 IP 주소를 가지는 서버가 될 수 있음으로써, 서버-클라이언트 통신에도 활용할 수 있다는 장점이 있다.
즉, 기존의 NAT 시스템에서는 공유기 또는 주소변환기에 연동된 상대 단말이 공인 IP 주소를 가지지 못하기 때문에 독립적인 통신 주체가 되지 못하지만, 본 발명에 서버를 가상 라우터에 연동시켜서 보안성이 향상된 VPN 통신을 할 수 있는 장점이 있다.
도 5는 본 발명의 실시예에 의한 VPN 시스템에서의 동적 터널엔드(DTE) 설정 과정을 도시한다.
우선 게이트웨이 또는 가상 라우터가 매니저 장치에 장비등록 과정을 수행한다.(S510)
이러한 장비등록 과정은 매니저 장치로 하여금 게이트웨이 또는 가상 라우터를 식별하게 한 후, 해당 가상 라우터를 위한 터널엔드 테이블 정보를 생성할 기본 정보를 제공하기 위하여 수행된다.
이러한 장비등록 과정에서 게이트웨이는 자신의 가용자원 정보(공인 IP 주소 개수 등)를 매니저 장치에 제공하며, 그에 따라 매니저 장치가 해당 게이트웨이가 운용할 가상 라우터의 개수 등에 대한 정보(VR 정보) 및 가상 라우터별 터널엔드 테이블 정보를 생성하는 과정이 수행될 수 있다.
이러한 장비등록 과정은 도 6을 참고로 더 상세하게 설명한다.
장비 등록이 완료되면, 매니저장치는 단말로부터의 단말 인증 요청을 수신한 후 해당 단말을 인증한다.(S520)
단말 인증과 게이트웨이(가상 라우터)의 장비등록 과정이 완료되면, 매니저 장치는 단말과 해당 가상라우터 사이에 설정될 수 있는 다수의 터널엔드 정보를 포함하는 터널엔드 테이블 정보인 VR(DTE Table)을 생성한다.(S530)
물론 이 과정에서 터널엔드 테이블에 포함된 다수의 터널엔드 정보 중 하나를 선택하기 위한 룰정보를 함께 생성할 수 있다.
다음으로, 매니저 장치는 생성된 가상 라우터별 터널엔드 테이블 정보 VR(DTE Table)를 인증된 단말과 해당 가상 라우터(게이트웨이)로 각각 전송하고, 단말 및 가상 라우터는 수신한 터널엔드 테이블 정보 VR(DTE Table)를 터널엔드 DB에 저장한다.(S535, S540)
이후에는 단말과 가상 라우터는 정해진 룰과 터널엔드 테이블을 이용하여 일정 간격마다 새롭게 선택되는 터널엔드를 이용하여 터널링 속성을 변경한 후. 변경된 터널엔드로 정의되는 터널링을 통해서 VPN에 의한 데이터 송수신을 수행한다.(S550)
이후, 가상 라우터는 터널엔드 테이블의 갱신 조건이 만족하는지 모니터링하다가(S555), 터널엔드 테이블의 갱신 조건이 만족하는 경우 터널엔드 테이블 재생성 요청을 매니저 장치로 전송한다.(S560)
이 때, 터널엔드 테이블의 갱신 조건은 현재 터널링 설정이 유지된 이후 경과한 시간이 임계시간 이상인 경우, 또는 현재 터널링으로 수신한 패킷의 수신회수가 임계회수 이상이 되는 경우 등이 될 수 있으나 그에 한정되는 것은 아니다.
이러한 가상 라우터의 터널엔드 테이블의 재생성 요청에 따라, 매니저 장치는 새로운 터널엔드 테이블을 생성하여 해당 단말 및 가상 라우터로 다시 전송하여, 기존의 터널엔드 테이블을 갱신하도록 한다.(S575, S580)
도 6은 본 발명의 실시예에 의한 VPN 시스템에서 매니저 장치(Manager)와 게이트웨이(가상 라우터) 사이에서 수행되는 장비 등록 및 터널엔드 변경 과정을 도시한다.
도 6과 같이, 가상 라우터를 운용할 게이트웨이가 자신의 식별정보(G/W ID)와 자신의 공인 IP 주소 정보인 CoA 정보를 포함하는 장비등록 요청을 매니저 장치로 전송한다.(S610)
그에 따라 매니저 장치는 해당 게이트웨이 정보를 저장하고, 해당 게이트웨이가 운용할 가상 라우터 정보(VR 정보)를 생성한 후 게이트웨이로 전송한다.(S615, S620)
가상 라우터 정보(VR 정보)는 해당 게이트웨이가 운용할 수 있는 가상 라우터의 개수, 각 가상 라우터에 연동되는 서버(팜)에 대한 정보 등을 포함할 수 있다.
즉, 복수의 서버(팜)을 라우팅하기 위한 각 게이트웨이의 기능 및 보유 가상 라우터 개수 등을 매니저 장치가 결정하도록 하는 것이다.
이로써, 다수의 게이트웨이와 서버(팜)이 존재하는 경우 그들 사이의 VPN 통신을 위한 시스템 구성을 매니저 장치가 통합하여 수행함으로써, 시스템 구성요소의 변동시에도 효과적으로 대처할 수 있게 된다.
다음으로, 게이트웨이는 자신이 보유한 공인 IP 주소의 개수와 포트개수 등의 가용자원 정보를 매니저 장치로 전송한다.(S625)
매니저 장치는 S615과정에서 자신이 생성한 가상 라우터 정보(VR정보)와 게이트웨이로부터 수신한 가용자원정보를 이용하여 각 가상 라우터별로 터널엔드 테이블을 생성한다.(S630)
만일, 장비등록한 게이트웨이가 담당할 가상 라우터가 2개이고, 게이트웨이로부터 전송된 가용자원 정보 중 공인 IP주소가 6개, 포트개수가 j개라면, 매니저 장치는 해당 게이트웨이에 가상 라우터 1(VR1) 및 가상 라우터 2(VR2)를 할당하고, 가상 라우터 1(VR1)을 위해서는 공인 IP주소 1~3을, 가상 라우터 2(VR2)를 위해서는 공인 IP주소 4~6을 할당할 수 있다.
이 경우, 매니저 장치는 가상 라우터 1(VR1)을 위한 터널엔드 정보인 TE(IP_1, PortNo_1), TE(IP_1, PortNo_2),..., TE(IP_3, PortNo_j)의 총3*j개의 터널엔드 정도를 포함하는 터널엔드 테이블 VR1(TE Table)을 생성하여 가상 라우터 1(VR1) 및 단말로 전송한다.(S635)
물론, 가상 라우터별 터널엔드 테이블을 생성하는 과정 또는 그 전후에 터널엔드 테이블에 포함된 다수의 터널엔드 정보 중 하나를 선택하기 위한 룰정보를 더 생성하고, 그를 단말 및 가상 라우터로 전송할 수 있다.
이러한 룰정보는 반드시 매니저 장치가 생성하여 제공할 필요는 없으며, 단말과 해당 가상 라우터가 동일한 룰정보를 식별할 수 있는 한 다른 장치가 생성하여 제공하거나, 미리 단말과 가상라우터에 저장되어 있을 수도 있다.
터널엔드 테이블 정보를 수신한 가상 라우터는 터널엔드 테이블 정보 및/또는 룰정보를 터널엔드 DB에 저장한다.(S640)
이 때 단말에도 동일한 가상 라우터별 터널엔드 테이블 및/또는 룰정보가 제공되므로, 가상 라우터는 룰정보에 의하여 터널엔드 테이블에서 선택되는 하나의 터널엔드에 따라 터널링을 형성한 후 데이터를 송수신한다.(S645)
물론, 터널링 설정을 위하여 선택되는 터널엔드 정보는 일정 간격에 따라 동적으로 가변됨으로써, 특정한 단말과 가상 라우터 사이에서도 일정 간격마다 상이한 터널엔드로 정의되는 터널링을 통하여 데이터가 송수신된다.
도 7은 본 발명의 실시예에 의한 VPN 시스템에 사용되는 매니저 장치의 세부 구성을 도시한다.
본 발명에 의한 매니저 장치는 장비등록/인증부(320)와, 게이트웨이의 요청에 따라 가상 라우터 정보를 생성하여 전달하는 VR 관리부(330)와, 가상 라우터별 터널엔드 테이블을 생성하여 단말 및 해당 가상 라우터로 전송하는 DTE 테이블 관리부(340) 및 관리하는 모든 가상 라우터에 대한 터널엔드 테이블 등을 저장하는 DTE DB(310) 등을 포함하여 구성될 수 있다.
또한, 가상 라우터 또는 단말의 요청 등에 따라 일정한 간격에 따라 새로운 터널엔드 테이블을 생성하여 제공하는 DTE 테이블 갱신부(350)을 더 포함할 수 있다.
장비등록/인증부(320)는 게이트웨이의 장비등록 요청과 단말의 인증 요청을 수신한 후, 게이트웨이에 대한 정보를 저장하여 장비 등록 과정을 수행하고, 단말의 ID 등을 이용하여 정당한 단말을 인증하는 과정을 수행한다.
VR 관리부(330)는 장비 등록을 요청한 게이트웨이가 운용할 가상 라우터 정보(VR 정보)를 생성한 후 게이트웨이로 전송하는 기능을 수행하는 것으로, 이 때 가상 라우터 정보(VR 정보)는 해당 게이트웨이가 운용할 수 있는 가상 라우터의 개수, 각 가상 라우터에 연동되는 서버(팜)에 대한 정보 등을 포함할 수 있다.
이와 같이, VR 관리부(330)는 복수의 서버(팜)을 라우팅하기 위한 각 게이트웨이의 기능 및 보유 가상 라우터 개수 등을 설정하고 관리하는 기능을 한다.
DTE 테이블 관리부(340)는 게이트웨이가 제공한 가용자원 정보를 기초로 각 가상 라우터가 사용할 공인 IP 주소 및 포트개수를 결정하고, 그를 기초로 각 가상 라우터별로 복수의 터널엔드 정보를 포함하는 터널엔드 테이블 정보를 생성하여 단말 및 해당 가상 라우터로 전송하는 기능을 수행한다.
DTE 테이블 관리부(340)는 상기 기능 이외에, 터널엔드 테이블에 포함된 다수의 터널엔드 정보 중 하나를 동적으로 선택하기 위한 룰정보를 더 생성하고, 그를 단말 및 가상 라우터로 전송하는 기능도 수행할 수 있다.
또한, DTE 테이블 관리부(340)는 각 가상 라우터별 터널엔드 테이블 및/또는 룰정보를 DTE DB(310)에 저장한다.
DTE 테이블 갱신부(350)는 일정한 갱신 조건이 만족하거나, 단말 또는 가상 라우터로부터 테이블 재생성 요청이 전송된 경우, 해당 가상 라우터를 위한 새로운 터널엔드 테이블을 생성하여 단말 및 해당 가상 라우터로 전송하는 기능을 수행한다.
이상과 같은 본 발명의 실시예에 의하면, 단일의 가상 라우터가 복수의 터널링 설정이 가능하도록 하되, 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 단말 및 가상 라우터에 제공하고, 정해진 룰에 의하여 터널엔드를 동적으로 선택하여 터널링 속성을 동적으로 변경한다.
따라서, VPN 통신마다 터널링 속성이 동적으로 변화되기 때문에, 도 1과 같은 일반적인 VPN 시스템과 비교할 때, 외부 해킹이 어렵고 따라서 데이터 송수신의 보안성이 향상될 수 있다.
또한, 기존의 네트워크 주소 변환(NAT) 시스템에서는 공유기에 연동된 장치가 공인 IP를 가지지 못하는 클라이언트 단말로 한정되는 것이 비하여, 본 발명에 의하면 가상 라우터에 연동된 장치가 공인 IP 주소를 가지는 서버가 될 수 있음으로써, 서버-클라이언트 통신에도 활용할 수 있다는 장점이 있다.
이상에서의 설명 및 첨부된 도면은 본 발명의 기술 사상을 예시적으로 나타낸 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 구성의 결합, 분리, 치환 및 변경 등의 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 단말(에이전트) 110, 220 : DTE 테이블 DB
200 : 게이트웨이 210 : 가상 라우터(VR)
300 : 매니저 장치 310 : DTE DB
330 : VR 관리부 340 : DTE 테이블 관리부
400 : 서버팜 410 : 서버

Claims (11)

  1. 단말과 터널링에 의하여 연결되되, 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있는 가상 라우터;
    상기 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 생성하여 상기 단말 및 상기 가상라우터로 전달하는 매니저 장치;
    를 포함하며,
    상기 가상 라우터는 상기 터널엔드 테이블을 저장하고, 상기 터널엔드 테이블을 기초로 상기 단말과 연결되는 터널링의 터널엔드를 일정 간격으로 동적으로 변경하여 상기 터널링의 속성을 변경하며,
    상기 매니저 장치는 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 선택하기 위한 룰정보를 생성하여 상기 단말 또는 가상 라우터로 전송하고,
    상기 가상 라우터는 상기 룰정보에 따라 일정 간격으로 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 동적으로 선택하여 상기 터널링의 속성을 변경하며,
    상기 룰정보는 터널엔드 테이블에 포함된 복수의 터널엔드 정보를 순차적으로 선택하는 제1룰정보와, 상기 터널엔드 테이블에 포함된 복수의 터널엔드 정보 중 하나를 랜덤하게 선택하는 제2룰정보와, 하나의 공인 IP 주소에서 상기 포트번호를 순차적으로 변경하다가 기설정 위치에서 다른 포트번호로 스킵하도록 터널엔드 정보를 선택하는 제3룰정보와, 공인 IP 주소와 포트번호를 순차적으로 변경하다가 기설정 위치에서 다른 공인 IP 주소와 다른 포트번호로 스킵하도록 터널엔드 정보를 선택하는 제4룰정보 중 하나 이상을 포함하는 것을 특징으로 하는 가상 사설 네트워크 시스템.
  2. 삭제
  3. 제1항에 있어서,
    상기 가상 라우터는 패킷 수신 회수가 임계회수 이상이 되거나, 터널링 설정 후 지속시간이 임계시간 이상인 경우, 터널엔드 테이블 업데이트 요청 신호를 생성하여 매니저 장치로 전송하고, 상기 매니저 장치는 새로운 터널엔드 테이블을 생성하여 상기 단말 및 가상 라우터로 전송하는 것을 특징으로 하는 가상 사설 네트워크 시스템.
  4. 삭제
  5. 삭제
  6. 삭제
  7. 단말과 터널링에 의하여 연결되어 상기 단말과 VPN 통신을 하는 가상 라우터로서,
    상기 가상라우터는 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있고,
    외부의 매니저 장치로부터 상기 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 수신하여 저장하며,
    상기 터널엔드 테이블을 기초로 상기 단말과 연결되는 터널링의 터널엔드를 일정 간격으로 동적으로 변경하여 상기 터널링의 속성을 변경하며,
    상기 가상 라우터는 상기 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 선택하기 위한 룰정보를 상기 매니저 장치로부터 더 수신하고,
    수신한 상기 룰정보에 따라 일정 간격으로 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 동적으로 선택하여 상기 터널링의 속성을 변경하고,
    상기 가상 라우터는 상기 단말로부터의 패킷 수신 회수가 임계회수 이상이 되거나, 터널링 변경 후 지속시간이 임계시간 이상인 경우, 터널엔드 테이블 업데이트 요청 신호를 생성하여 매니저 장치로 전송하고, 새로운 터널엔드 테이블을 상기 매니저 장치로부터 수신하여 저장하는 것을 특징으로 하는 가상 라우터.
  8. 삭제
  9. 삭제
  10. 단말 및 가상라우터와 연결되어 상기 단말 및 가상라우터를 제어하는 매니저 장치로서,
    상기 가상 라우터는 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있으며,
    상기 매니저 장치는 상기 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 생성하여 상기 단말 및 상기 가상라우터로 전달하여, 상기 가상 라우터와 상기 단말로 하여금 상기 터널엔드 테이블을 기초로 상기 단말과 가상 라우터 사이에 연결되는 터널링의 속성인 터널엔드를 일정 간격으로 동적으로 변경하도록 하며,
    상기 매니저 장치는 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 선택하기 위한 룰정보를 생성하여 상기 단말 또는 가상 라우터로 전송하고,
    상기 매니저 장치는 상기 터널링을 통한 패킷 송수신 회수가 임계회수 이상이 되거나, 터널링 설정 후 지속시간이 임계시간 이상인 경우, 상기 가상 라우터로부터 전송되는 터널엔드 테이블 업데이트 요청 신호에 따라 새로운 터널엔드 테이블을 생성하여 상기 단말 및 가상 라우터로 전송하는 것을 특징으로 하는 매니저 장치.
  11. 단말 및 가상라우터와 연결되어 상기 단말 및 가상라우터를 제어하는 매니저 장치로서,
    상기 가상 라우터는 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있으며,
    상기 매니저 장치는 상기 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 생성하여 상기 단말 및 상기 가상라우터로 전달하여, 상기 가상 라우터와 상기 단말로 하여금 상기 터널엔드 테이블을 기초로 상기 단말과 가상 라우터 사이에 연결되는 터널링의 속성인 터널엔드를 일정 간격으로 동적으로 변경하도록 하며,
    상기 매니저 장치는 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 선택하기 위한 룰정보를 생성하여 상기 단말 또는 가상 라우터로 전송하고,
    상기 룰정보는 터널엔드 테이블에 포함된 복수의 터널엔드 정보를 순차적으로 선택하는 제1룰정보와, 상기 터널엔드 테이블에 포함된 복수의 터널엔드 정보 중 하나를 랜덤하게 선택하는 제2룰정보와, 하나의 공인 IP 주소에서 상기 포트번호를 순차적으로 변경하다가 기설정 위치에서 다른 포트번호로 스킵하도록 터널엔드 정보를 선택하는 제3룰정보와, 공인 IP 주소와 포트번호를 순차적으로 변경하다가 기설정 위치에서 다른 공인 IP 주소와 다른 포트번호로 스킵하도록 터널엔드 정보를 선택하는 제4룰정보 중 하나 이상을 포함하는 것을 특징으로 하는 매니저 장치.
KR1020160072703A 2016-06-10 2016-06-10 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치 Active KR101712922B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020160072703A KR101712922B1 (ko) 2016-06-10 2016-06-10 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치
CN201610716440.6A CN107528778A (zh) 2016-06-10 2016-08-24 动态隧道端方式的vpn系统、用于其的虚拟路由器及管理器装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160072703A KR101712922B1 (ko) 2016-06-10 2016-06-10 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020160114610A Division KR20170140051A (ko) 2016-09-06 2016-09-06 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치

Publications (1)

Publication Number Publication Date
KR101712922B1 true KR101712922B1 (ko) 2017-03-08

Family

ID=58404146

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160072703A Active KR101712922B1 (ko) 2016-06-10 2016-06-10 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치

Country Status (2)

Country Link
KR (1) KR101712922B1 (ko)
CN (1) CN107528778A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190005368A (ko) * 2017-07-06 2019-01-16 주식회사 아라드네트웍스 동적 vpn 관리 방법 및 장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101206637B1 (ko) * 2008-07-18 2012-11-29 알까뗄 루슨트 패킷 교환식 네트워크에서 가상 회선을 수립하는 방법 및 네트워크 노드
JP2015177430A (ja) * 2014-03-17 2015-10-05 日本電気株式会社 トンネルエンドポイント装置、通信装置、通信システム、通信方法及びプログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7489700B2 (en) * 2002-11-20 2009-02-10 Hitachi Communication Technologies, Ltd. Virtual access router
DE60234479D1 (de) * 2002-11-27 2009-12-31 Research In Motion Ltd Zuweisen einer temporären IPv6-Adresse zu einer temporären IPv4-Adresse, um in einem IPv4-Netzwerk mit einem schnurlosen Gerät zu kommunizieren
TWI310275B (en) * 2004-10-19 2009-05-21 Nec Corp Virtual private network gateway device and hosting system
US20080281978A1 (en) * 2007-05-10 2008-11-13 Motorola, Inc. Methods for utilizing multiple tunnels within a communication network
KR101358846B1 (ko) * 2008-11-17 2014-02-06 퀄컴 인코포레이티드 로컬 네트워크에 대한 원격 액세스
CN101753401A (zh) * 2008-12-03 2010-06-23 北京天融信科技有限公司 一种实现IPSec虚拟专用网隧道备份和负载的方法
KR101308089B1 (ko) * 2011-12-29 2013-09-12 주식회사 시큐아이 고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법
KR20150116170A (ko) * 2014-04-07 2015-10-15 한국전자통신연구원 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법
CN104869118B (zh) * 2015-05-15 2018-07-31 北京云杉世纪网络科技有限公司 一种基于动态隧道技术实现DDoS防御的方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101206637B1 (ko) * 2008-07-18 2012-11-29 알까뗄 루슨트 패킷 교환식 네트워크에서 가상 회선을 수립하는 방법 및 네트워크 노드
JP2015177430A (ja) * 2014-03-17 2015-10-05 日本電気株式会社 トンネルエンドポイント装置、通信装置、通信システム、通信方法及びプログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190005368A (ko) * 2017-07-06 2019-01-16 주식회사 아라드네트웍스 동적 vpn 관리 방법 및 장치
KR101947170B1 (ko) * 2017-07-06 2019-05-08 주식회사 아라드네트웍스 동적 vpn 관리 방법 및 장치

Also Published As

Publication number Publication date
CN107528778A (zh) 2017-12-29

Similar Documents

Publication Publication Date Title
US10862863B2 (en) Session identifier for a communication session
CN107995052B (zh) 用于针对有线和无线节点的公共控制协议的方法和设备
CN106878253B (zh) Mac(l2)层认证、安全性和策略控制
US8295285B2 (en) Method and apparatus for communication of data packets between local networks
US20160380966A1 (en) Media Relay Server
JP5987122B2 (ja) デバイス固有のトラフィックフローステアリングのためのネットワークアドレス変換されたデバイスの特定
CN103812960A (zh) 用于订户感知服务的应用的网络地址转换
US20130182651A1 (en) Virtual Private Network Client Internet Protocol Conflict Detection
US10298616B2 (en) Apparatus and method of securing network communications
WO2016210202A1 (en) Media relay server
CN110290093A (zh) Sd-wan网络架构及组网方法、报文转发方法
CN103188351A (zh) IPv6 环境下IPSec VPN 通信业务处理方法与系统
CN101902482B (zh) 基于IPv6自动配置实现终端安全准入控制的方法和系统
CN107733764B (zh) 虚拟可扩展局域网隧道的建立方法、系统以及相关设备
CN106878259B (zh) 一种报文转发方法及装置
CN106537885A (zh) 接入节点
JP2004328029A (ja) ネットワークアクセスシステム
Abdulla Survey of security issues in IPv4 to IPv6 tunnel transition mechanisms
CN104158756B (zh) 一种集群系统对报文进行负载分担的方法和系统
KR101712922B1 (ko) 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치
EP3264710A1 (en) Securely transferring the authorization of connected objects
KR20170140051A (ko) 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치
CN101572729A (zh) 一种虚拟专用网节点信息的处理方法及相关设备、系统
JP5947763B2 (ja) 通信システム、通信方法、および、通信プログラム
Komal Performance Evaluation of Tunneling Mechanisms in IPv6 Transition: A Detailed Review

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20160610

PA0201 Request for examination
PN2301 Change of applicant

Patent event date: 20160617

Comment text: Notification of Change of Applicant

Patent event code: PN23011R01D

PA0302 Request for accelerated examination

Patent event date: 20160627

Patent event code: PA03022R01D

Comment text: Request for Accelerated Examination

Patent event date: 20160610

Patent event code: PA03021R01I

Comment text: Patent Application

PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20160719

Patent event code: PE09021S01D

PN2301 Change of applicant

Patent event date: 20160829

Comment text: Notification of Change of Applicant

Patent event code: PN23011R01D

PA0107 Divisional application

Comment text: Divisional Application of Patent

Patent event date: 20160906

Patent event code: PA01071R01D

PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20161128

N231 Notification of change of applicant
PN2301 Change of applicant

Patent event date: 20170111

Comment text: Notification of Change of Applicant

Patent event code: PN23011R01D

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20170228

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20170228

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20200227

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20200227

Start annual number: 4

End annual number: 4

PR1001 Payment of annual fee

Payment date: 20210302

Start annual number: 5

End annual number: 5

PR1001 Payment of annual fee

Payment date: 20220228

Start annual number: 6

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20230228

Start annual number: 7

End annual number: 7