KR100472739B1 - 가상사설망용아키텍쳐 - Google Patents

가상사설망용아키텍쳐 Download PDF

Info

Publication number
KR100472739B1
KR100472739B1 KR1019970053802A KR19970053802A KR100472739B1 KR 100472739 B1 KR100472739 B1 KR 100472739B1 KR 1019970053802 A KR1019970053802 A KR 1019970053802A KR 19970053802 A KR19970053802 A KR 19970053802A KR 100472739 B1 KR100472739 B1 KR 100472739B1
Authority
KR
South Korea
Prior art keywords
packet
data packet
virtual private
private network
data
Prior art date
Application number
KR1019970053802A
Other languages
English (en)
Other versions
KR19990006260A (ko
Inventor
헨크 제이. 보츠
존 로러
윌리암 이. 헌트
데렉 팔마
Original Assignee
브이피이네트 테크놀로지스 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 브이피이네트 테크놀로지스 인코포레이티드 filed Critical 브이피이네트 테크놀로지스 인코포레이티드
Publication of KR19990006260A publication Critical patent/KR19990006260A/ko
Application granted granted Critical
Publication of KR100472739B1 publication Critical patent/KR100472739B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/04Protocols for data compression, e.g. ROHC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

안전한 가상 사설망을 위한 프로토콜 및 구성이 개시된다. 기업 내 데이터 통신은 안전한 가상 사설망의 구현에 의하여, 인터넷 또는 기타 공중망 스페이스를 거쳐 안전하게 지원된다. 가상 사설망 그룹의 멤버들은 그룹의 멤버들 사이에 데이터를 교환하는 경우에는, 압축, 암호화 및 인증 데이터를 교환한다.

Description

가상 사설망용 아키텍쳐
전술한 바로, 단일 조직이나 기업이 안전한 기업 내 전자 데이터 통신용으로공중망 스페이스를 신뢰할 수 있게 하는 프로토콜 및 아키텍처를 개발하는 것이 바람직하고 유리하다는 것을 알 수 있다. 따라서, 본 발명은 인터넷 또는 기타 공중 망 시스템을 거쳐 안전한 VPN을 구현하는 프로토콜 및 아키텍처에 관한 것이다. 본발명의 아키텍처는 특정의 VPN 그룹의 구성원 사이의 데이터통신을 원활하게 하는 사이트 프로텍터(site protector) 또는 VPN 유닛을 도입한다. 본 발명의 일실시예에 의하여, 사이트 프로텍터는 기업사이트를 인터넷에 접속시키는데 이용되는 사이트의 라우터(router) 또는 라우팅 장치의 WAN측에 존재한다. 대안적 실시예에서는,사이트 프로텍터는 라우터의 LAN측에 존재한다. 이러한 실시예의 요점은 사이트 프로텍터가 경로 내 또는 모든 관련 데이터 트래픽(data traffic) 내에 있다는 것이다.
동일한 VPN 그룹의 구성원 사이의 안전한 데이터통신을 보장하기 위하여, 패 킷이 그룹 구성원들 사이에 송신되는 때, 사이트 프로텍터 또는 VPN유닛은 데이터 패킷처리를 위한 기술들을 조합한다. 패킷처리과정에는 압축(compression), 암호화(encryption) 및 인증(authentication)의 여러 가지 조합이 포함되며, 이러한 압축, 암호화 및 인증에 대한 규칙은, 서로 다른 그룹의 구성원에 대하여는 변경할 수 있다. VPN으로서 정의된 각 그룹에 대하여는, 압축, 암호화 및 인증을 정의하는 각종 파라미터가 관련 VPN 유닛 내의 검색 테이블에 유지된다. 검색 테이블은 그룹의 고정 어드레스 멤버에 관한 정보를 유지할 뿐 아니라, 원격 플라이언트(remote client)에 대한 지원도 제공한다. 이러한 능력은 원격사용자로 하여금 지역 인터넷서비스 제공자(local Internet Service Provider)에 다이얼 호출을 할 수 있게 하면서, 인터넷을 거쳐 그룹의 다른 멤버와의 안전한 통신을 위하여 VPN내의 멤버쉽도 유지하게 한다. 원격 클라이언트의 경우, 일실시예에 따르면, 원격 클라이언트상에서 실행되는 소프트웨어에 의하여 사이트 프로텍터를 시뮬레이션 할 수 있다.
본 발명의 다른 양상에서, VPN 유닛 또는 사이트 프로텍터는 VPN 그룹으로부터 멤버를 가감(加減)하거나, 그 이동을 인식하거나, 그룹에 영향을 주는 기타의 파라미터를 변경하도록 동적으로 구성된다. 본 발명의 여러 가지 다른 패킷 처리 양상에는, 암호화 및 인증 정보의 포함으로 인하여 과대하여지는 일부 데이터 패킷의 문제에 대처하는 것이 포함된다. 또 다른 패킷 처리 양상은 데이터 패킷의 소스및 수신처를 식별하는 정보를 숨기는 인터넷 통신용 메커니즘을 제공한다. 본 발명의 이러한 양태에서는, VPN 유닛은 인터넷 통신 데이터 패킷용의 소스 및 수신처로서 다루어지며, 이 VPN 유닛은 단말국(endstation)의 소스 어드레스 및 수신처의 어드레스를 밀폐(encapsulating)한다.
본 발명의 목적, 특징 및 장점은 다음의 세부 설명에 의하여 명백하게 될 것이다.
[실시예]
인터넷 또는 기타 공중망 스페이스를 거쳐 기업 통신을 위한 안전한 VPN을 구현하기 위한 프로토콜 및 아키텍처가 개시된다. 본 발명은 주로 통신 매체로서 인터넷을 이용하는 것에 관계하여 설명되고 있으나, 그 개념과 방법은 다른 공중 통신 매체나 불안전 통신 매체를 거쳐 안전한 VPN을 구현할 수 있을 만큼 광의이다. 이 실시예 전반에 걸쳐, 본 발명을 완전하게 이해시키기 위하여, 특별한 암호화 또는 주요관리프로토콜과 같은 세부설명이 많이 나오지만, 이 기술 분야의 당업자는 이러한 세부설명 없이도, 본 발명을 실시할 수 있을 것이다. 다른 예에서는, 본 발명을 모호하게 하지 않기 위하여, 잘 알려진 제어구조 및 시스템의 구성요소는 상세히 도시하지 아니하였다.
많은 예에서는, 본 발명에 의하여 구현되는 구성요소들을 구성적 및 기능적수준에서 설명한다. 이러한 요소 중 대다수, 특히 여러 가지 압축 또는 암호화기술에 관계되는 것으로 지정된 요소는 잘 알려진 구조를 이용하여 구성될 수 있다. 또한, 본 발명의 시스템 내에 논리를 포함하기 위하여, 이 기술 분야의 당업자라면 누구든지 과도한 실험 없이 특정방법을 구현할 수 있도록, 그 기능과 흐름도를 설명한다. 본 발명의 방법은 여러 가지 기술을 이용하여 구현할 수 있다는 점도 이해하여야 한다. 예를 들면, 이후 더 설명하게 될 VPN 유닛이나 사이트 프로텍터는 컴퓨터 시스템에서 운영중인 소프트웨어로 구현되거나, 마이크로프로세서 또는 특별히 설계된 다른 주문형 집적회로, 프로그램가능 논리회로 또는 그들의 각종 조합을 이용하는 하드웨어 내에서 구현될 수 있다. 이 기술 분야의 당업자는 본 발명이 어느 한 가지 특별한 실시방법에 한정된 것이 아니라는 것을 이해할 것이며, 이러한 구성요소에 의하여 실행되는 기능에 대한 설명이 주어진 이상, 과도한 실험 없이,여러 가지 기술을 이용하여 본 발명을 실시할 수 있을 것이다.
도 1에는 분산 기업용 기업 내 데이터 통신을 위한 통상적인 방법이 도시되어 있다. 예시적 기업구성에 관한 이 예에서, 기업은 추가 사이트들 또는 지사들(branch)(110, 112)을 가진 본사 위치(105)로 구성되어 있다. 도 1에 도시된 것과같은 현대 기업에서는, 본사의 사이트(105)뿐 아니라, 지사 사이트(110)도 각각 다수의 직원을 포함할 수 있고, 그 중 대부분에게 네트워크 액세스를 가진 컴퓨터 또는 워크스테이션이 제공된다. 본사에서의 지사용 내부 네트워크 구성은 하나 또는 복수의 근거리 통신망(LAN)을 포함하는 여러 가지 형태를 취할 수 있다. 본사와 지사 사이의 사이트간 통신을 위하여, 전용 통신회선(115, 120)이 제공될 수 있다. 그 외에도, 지사(110, 112) 사이에는 선택에 따라 채택할 수 있는(이하, "선택적" 이라 칭함) 전용 통신 경로(125)가 제공될 수 있다. 지사들 사이의 선택적 전용 통신 회선(125)에 대한 대안으로서, 지사(110)와 지사(112)와의 사이의 데이터 패킷이 본사의 네트워크 메커니즘을 통하여 라우팅 될 수 있다.
오늘날에는, 본사와 여러 지사 사이의 전용 통신회선 이외에, 기업 내의 컴퓨터 사용자에게, 인터넷에 액세스하여 외부 인에 전자우편을 송신함과 동시에, 월드 와이드 웹(World Wide Web) 등과 같은 도구를 이용하여 인터넷을 거쳐 각종 조사 등을 행할 수 있다. 도 1에 도시된 바와 같이, 본사의 사이트(105)와 지사들(110, 112)은 각각 개별적으로 인터넷 서비스 제공자(130, 133, 136)에 직접 액세스할 수 있다. 이에 의하여, 여러 사이트에 있는 사용자가 전술한 목적으로 인터넷에 용이하게 액세스하게 된다. 대안적 구성에서는, 본사 사이트(105)만 인터넷 서비스 제공자(130)에 대해 액세스할 수 있고, 지사 사이트(110, 112)의 컴퓨터 사용자는 그 전용통신경로(115, 120)를 경유하여 본사를 통해 인터넷에 접속된다. 이 대안적 구성의 하부에서는 전용 회선 상에서의 대역폭 이용이 아마도 포화점까지 크게 증가하게 된다. 그 장점은 외부와의 접속에 대한 보안상의 제약을 간소화하는 기업에 대하여는, 인터넷에 대한 단 하나만의 게이트웨이(gateway)를 제공할 필요가 있다는 점이다.
예시적인 기업(100)에서, 어떤 환경에서는 고객이나 기타 사업파트너가 기업의 컴퓨터망에 직접 다이얼-인(dial-in)하게 하는 것이 바람직한 것으로 보여진다.도 1에는, 고객(140)이 실제로 고객의 편의를 위하여 고객과 기업 사이에 제공된 전용회선인 통신경로(145)를 거쳐 이러한 통신을 수행할 수 있음을 도시하고 있다.경로(145)는 고객이 이따금씩만 사용하는 다이얼 호출 회선으로도 될 수 있다. 인터넷의 새로운 용도와 그 대중성에 따라, 고객(140)은 그 자신의 ISP(Internet connection through)(148)를 거쳐 그 스스로 자체의 인터넷 접속을 가진다.
끝으로, 도 1에는, 집으로부터 떨어져 또는 원거리 지역에서 이동하거나 작업을 하고 있는 기업의 일 멤버들이 기업의 타 멤버들과 데이터를 교환하는 것이 바람직한 경우가 많다는 것을 도시하고 있다. 따라서, 도 1에는, 장거리 전화선(157, 158)을 통하여 본사와 통신을 하고 있는 원격 클라이언트(150, 155)를 도시하고 있다. 이 예는 원격 클라이언트는 본사로부터 정말로 먼 위치에 있다고 가정한다. 이러한 원격 클라이언트(150, 155)도 각각 지역 ISP(160, 165)를 통하여 인터넷에 대한 지역 액세스를 가지는 것으로 도시되어 있다,
도 1에 의한 기업 데이터 통신 구성에 관한 위의 설명은 전술한 단점을 실례를 들어 설명한다. 이러한 단점은 도 2에 도시된 바와 같이, 본 발명의 구현에 의하여 제거된다. 도 2에 도시된 기업 네트워크 통신 구성(200)에서는, 기업의 본사(105), 제 1지사(110) 및 제 2지사(112)가 도 1에 도시된 것보다 더 상세하게 논리적으로 도시되어 있다. 따라서, 본사(105)는 각각의 단말국이 근거리 통신망(LAN)(205)을 거쳐 데이터 패킷을 전달하도록 연결되어 있는 3개의 단말국들(201, 202, 203)을 가지고 있다. 이와 마찬가지로, 지사(110)는 각각 데이터를 지역적으로 LAN(215)을 거쳐 통신할 수 있게 연결되어 있는 복수의 단말국들(211, 212, 213)을 가지고 있는 것으로 도시되어 있다. 마지막으로, 제 2지사 사이트(112)는LAN(225)을 거쳐 통신할 수 있게 접속되어 있는 컴퓨터 스테이션(221, 222, 223)들의 세트를 가지는 것으로 도시되어 있다. 도 2에서는, 고객 사이트(140)도 고객의LAN(235)을 거쳐 통신할 수 있게 연결되어 있는 복수의 컴퓨터(331, 332)를 포함하는 것으로 도시되어 있다. 본사, 고객 및 지사 사이트 내에서의 데이터 통신에 이용되는 근거리 통신망은 다양한 네트워크 프로토콜에 따르며, 그 중 통상적인 것이 이서넷(Ethernet) 및 토큰 링(Token Ring)이다.
도 2에서 볼 수 있는 바와 같이, 본사 사이트(105)와 지사 사이트(110, 112)와의 사이뿐만 아니라 본사 사이트(105)와 고객 사이트(140) 사이의 전용통신회선이 제거되었다. 대신에, 본 발명에 따르면 기업의 멤버 사이의 데이터 통신이 인터넷 또는 공중망 스페이스를 거쳐 수행될 수 있게 되어 있다. 본 발명의 목적을 위하여, 기업의 멤버 사이의 데이터 패킷 전송을 위한 매체가 될 수 있는 것은 바로광범위하게 보급되고 있는 인터넷이라고 생각된다.
도 2에 도시된 특정 사이트용 LAN은 궁극적으로는 라우터들(240, 242, 244, 246)로서 식별되는 관련 라우팅 장치나 게이트웨이 장치를 통하여 인터넷(250)에 상호 접속된다. 여러 사이트(200) 사이로 전달되는 데이터 패킷틀은 많은 경우에서, 패킷 소스(발신) 사이트와 패킷 수신 사이트 사이에서의 그들의 경로에서 복수의 추가적인 라우팅 장치들을 거치게 된다. 인터넷을 거쳐 데이터 패킷을 전송하는메커니즘은 널리 알려져 있기 때문에, 여기에서는 더 상세히 설명하지 아니한다. 데이터 패킷은 인터넷 프로토콜(IP)에 따라 어셈블되는데, 이를 여기에서는 현재 시행되고 있는 인터넷 프로토콜의 버전(version)과는 관계없이, IP 패킷이라 한다.도 2에 도시된 원격 클라이언트(150, 155)의 경우에는, 이러한 클라이언트는 그 자체가 인터넷(250)을 거치는 통신에 필요한 게이트웨이를 제공하는 지역 인터넷 서비스 제공자를 다이얼 호출하기 위하여 통신 소프트웨어를 이용한다.
전술한 바와 같이, 종래에는 안전한 데이터통신을 위하여 인터넷을 이용하려면, 단말국에서의 안전수칙을 알거나, 이를 이행하여야 한다. 이것은 최종 사용자에 대한 투명성(transparency)이 바람직한 때에는 불리하다. 반면에, 본 발명은 인터넷을 거쳐 데이터통신을 전과 같이 하고 있는 최종사용자에 대하여 투명성을 가진다. 그러나, 동일한 VPN의 멤버로서 식별되는 사용자에 있어서는, 데이터 통신은 데이터 패킷의 안전성과 완전성을 보장할 수 있도록 처리된다. 도 2에 도시된 바와같이, 인터넷(250)과 라우터(240, 242, 244, 246)들 각각과의 사이에 VPN 유닛(VPNU)(250, 252, 254, 256)이 있다. 본 발명의 특정 실시예에서, VPNU는 그 사이트의 라우터와 인터넷으로의 경로 사이에 존재한다. 전체적인 시스템 아키텍처에VPNU를 이와 같이 배치하는 것은 하나의 배치 옵션에 지나지 않는 것으로 이해하여야 한다. 이하의 내용으로부터, VPNU 배치에 관한 중요한 점이 VPNU가 데이터 트래픽의 경로 내에 존재한다는 점이라는 것이 명백해진다. 많은 실시예에 있어서, VPHU를 사이트 라우터의 LAN측에 위치하게 하는 것이 사실상 바람직하다는 것을 알수 있다. 이하에서 더 상세히 설명하는 바와 같이, VPNU는 특정 VPN 그룹의 멤버를 식별하기 위한 검색 테이블을 유지한다.
데이터 패킷이 동일한 VPN 그룹의 멤버인 소스 어드레스와 수신처 어드레스사이로 송신되는 때에, VPNU는 송신측으로부터의 데이트 패킷을 암호화 및 인증하고, 선택적으로 압축 처리한다. 이와 마찬가지로, 같은 수신처 어드레스가 위치한 사이트에 서비스를 제공하는 VPNU는 하나의 패킷이 동일한 VPN 그룹의 멤버 사이에 전달되고 있는가를 검출한다. 수신 VPNU는 패킷을 수신처 단말국으로 전송하기 전에 패킷을 해독 및 인증하는 과정을 다룬다. 이러한 방식으로, 최종 사용자들 사이의 안전한 데이터 통신은 최종 사용자에게 투명하도록 행하여진다. 원격 클라이언트(150, 155)의 경우에는, VPNU는 이러한 원격클라이언트를 관련 지역 인터넷 서비스 제공자에게 접속시키기 위한 통신 소프트웨어와 연계하여 동작하는 소프트웨어로 시뮬레이션될 수 있다.
VPN의 기능을 도 3의 흐름도를 시작으로, 이하의 도면에 의하여 설명하면 다음과 같다. 하나의 데이터 패킷이 사이트(105)에 있는 LAN(205)의 단말국(202)과 같은 하나의 단말국으로부터 발생하고 그리고 그 수신처가 본사 사이트(105)가 아닌 원격 사이트인 경우에는, 이 데이터 패킷은 먼저 통상적인 인터넷 데이터 패킷 전송으로서 처리된다. 이어서, 이 패킷은 단말국(202)으로부터 LAN(205)을 거쳐 라 우팅장치(240)로 진행하고, 라우팅장치(240)는 데이터 패킷을 인터넷 프로토콜에 따라 밀폐하여 아웃바운드(outbound) IP 패킷으로 형성한다. 그 다음, IP 패킷은 관련 VPNU를 통과하여 사이트 쪽으로 간다. 도 3에 도시된 흐름도는 VPNU에 의하여 수신된 아웃바운드 패킷에 대한 VPNU의 기능적 동작을 보여준다. 단계(300)에서 패킷 전송이 수행되고, 아웃바운드 데이터 패킷이 VPNU에 수신된다(단계 310). 판단박스(decision box)(320)에서, 데이터 패킷에 대한 소스 어드레스와 수신처 어드레스가 동일한 VPN 그룹의 멤버인가의 여부가 결정된다. 이러한 결정은 VPNU에 의하여 유지되는 검색 테이블 또는 기타 메모리 메커니즘을 참조하여 행할 수 있다. 이단계는 특정 사이트와 그 사이트의 데이터 패킷을 전달하는 VPNU 사이에 전송되는 데이터 패킷에 대한 멤버 필터링(filtering)이라고 생각할 수 있다. 데이터 패킷의 소스 어드레스와 수신처 어드레스가 동일한 VPN 그룹의 멤버가 아닌 경우, 단계(330)에서, 패킷은 마치 VPNU과 관련이 없는 것처럼, 사이트로부터의 통상적인 인터넷 트래픽으로서 인터넷에 전송된다. 이 경우, 과정은 단계(335)에서 종료된다. 대안적 실시예에서, VPN 그룹의 멤버 사이에서 진행되지 않는 데이터 트래픽은 불안전한 트래픽으로서 전송하는 것이 아니라 차라리 제거하는 것이 바람직하다. 또다른 대안적 실시예에서, 비VPN 그룹 데이터 트래픽을 통과시킬지 아니면 제거시킬 지의 옵션을 제공하는 것이 바람직하다.
멤버 필터인 판단박스(320)에서, 데이터 패킷 소스 어드레스와 수신처 어드레스가 동일한 VPN그룹의 멤버라고 결정되는 경우에는, 데이터 패킷은 단계(340)에서, 압축, 암호화 및 인증의 여러 조합을 거치면서 처리된다. VPNU(250) 및 모든VPNU들에 의하여 유지되는 검색 테이블은, 특정 VPN 그룹의 멤버를 식별하는 것 이외에, 특정 VPN 그룹의 멤버 사이에 전송된 데이터 패킷이 압축되었는가의 여부를 식별하고, 압축된 경우에는, 압축에 어느 알고리즘이 이용되었는가를 식별한다. 많은 가능한 압축 알고리즘이 공지되어 있으나, 본 발명의 일실시예에서는, LZW압축이 실시된다. 소스 어드레스 및 수신처 어드레스가 그 멤버인 VPN 그룹에 대한 검색 테이블은 이러한 VPN 그룹을 위하여 인터넷을 통과하는 데이터 패킷용으로 이용될 수 있는 특정한 암호화 알고리즘과 이에 의하여 이용될 수 있는 인증 및 주요 관리 프로토콜 정보도 식별한다. 검색 테이블에 대한 대안으로서, VPNU는 모든 VPN그룹에 대하여 동일한 알고리즘을 항시 사용할 수 있도록 프로그램으로 편성될 수 있다.
송신 VPN 및 수신 VPN 양자의 검색 테이블이 동일한 압축, 암호화 및 인증 규칙을 식별하고, 동일한 그룹의 멤버를 위하여 이를 실시하거나 실시해제 할 수 있는 한, VPN 트래픽 용으로 이용될 수 있는 특정한 패킷 처리 알고리즘을 변경할 수 있다. 단일의 VPNU가 복수의 VPN 그룹에 대하여 서비스를 제공할 수 있고, 특정 어드레스가 다중 그룹의 멤버일 수 있다는 것이 이해될 것이다. 따라서, 단계(340)에서, 하나의 패킷이 VPN 그룹의 한 멤버로부터 또 다른 멤버로 전송될 예정인 때에는, 패킷은 당해 특정 VPN그룹용 VPNU 테이블로 식별되는 압축 규칙, 암호화 규칙 및 인증 규칙에 따라 처리된다. 그 다음, 단계(350)에서, 상기 처리된 패킷은 인터넷을 거쳐 수신처 어드레스로 전송된다. 그 다음, 단계(355)에서 송신 VPNU의 절차가 종료된다.
도 4의 흐름도에 도시된 바와 같이, 수신 VPNU는 VPN 트래픽에 대한 상기의과정을 반대로 한다. 패킷 수신 절차(400)는 단계(410)에서, 하나의 인바운드 데이터 패킷이 인터넷으로부터 수신 VPNU에 수신된 때에 개시된다. 판단박스(420)에서는, 인바운드 데이터 패킷을 검토하여, 데이터 패킷의 소스 어드레스 및 수신처 어드레스가 모두 동일한 VPN 그룹의 멤버인지를 결정한다. 모든 VPNU에 의하여 유지되는 검색 테이블은 고정되고 일관적이라고 가정한다. 인바운드 데이터 패킷이 VPN트래픽이 아니라고 결정되는 경우에, 패킷은 단계(430)에서, 통상적인 인터넷 데이터 트래픽과 같이, 수신 사이트 쪽으로 전송된다. 이러한 경우에, 과정은 단계(435)에서 종료된다. 대안적 실시예에서, VPNU에 의하여 지원을 받는 VPN 그룹의 식별된 멤버로부터 나오는 것이 아닌 데이터 트래픽은 폐기하는 것이 바람직하다.
판단 박스(420)에서, VPN 트래픽이라고 결정된 데이터 패킷에 대하여는, VPNU는 소스 단말국으로부터 제공받은 최초의 데이터 패킷을 복구하기위해 인바운드 패킷을 처리한다. 수신 VPNU에 의하여 유지되는 검색 테이블은 VPN 그룹용으로 이용된 압축 규칙, 암호화 규칙 및 인증 규칙을 식별하고, 단계(440)에서, 이러한 규칙에 따라 최초의 IP 패킷을 재구성한다. 그 다음에, 단계(450)에서, 이와 같이 재구성된 패킷은 수신처 어드레스의 사이트로 전달되고, 절차는 단계(455)에서 종료된다.
도 5는 동일한 VPN그룹의 2명의 멤버 사이에 송신되는 데이터 패킷의 라이프사이클을 도시한다. 데이터 패킷은 소스(500)로부터 송신되고, 소스 사이트로부터 이 사이트에 관계하는 라우터를 통하여 전파되어 IP 데이터 패킷(510)을 생성한다.데이터 패킷(510)은 완전한 IP 데이터 패킷에 관련된 모든 필드를 도시하는 것으로 의도된 것이 아니라, 패킷의 소스 어드레스, 수신처 어드레스 및 페이로드(payload)정보를 포함하는 관련 부분만 도시되어 있다. 그 다음에, 데이터 패킷(510)은 VPNU에 의하여 검토되며, 이 VPNU는 데이터 패킷이 식별된 VPN 그룹의 멤버들 사이의 트래픽인지를 결정한다. VPNU(520)는 도 3에서 설명한 패킷 처리 절차에 따라 패킷을 처리하고, 그 결과로 생겨나는 패킷은 패킷(530)으로 도시되어 있다. 패킷(530)은 여전히 데이트 패킷의 수신처 어드레스 및 소스 어드레스를 나타내지만, 패킷의 나머지는 부분은 암호화되어, 선택적으로 압축된다.
아웃바운드 VPNU에 의한 처리를 거친 후, 데이터 패킷은 인터넷의 관련 라우터에 대하여 패킷이 그 수신처에 도달하기 위하여 궁극적으로 취하여야 할 경로를 식별하는 수신처 및 소스 정보와 함께, 인터넷을 통하여 수신 VPNU(550)로 전파된다. 패킷은 인터넷으로부터 수신처의 진영(edge)에, 본질적으로 데이터 패킷(530)과 거의 동일한 데이터 패킷(540)으로서 나타난다. 패킷은 수신 VPNU(550)에 의하여 처리 해제(deprocess)되어, 수신 VPNU는 최초의 패킷을 그 형식(560)으로 복원하여, 수신처(570)에 있는 수신 사이트의 관련 라우터를 거쳐 최종 수신처로 전달한다.
전술한 바와 같이, VPN에 대한 본 발명의 액세스 방법은 데이터 패킷의 선택적 압축뿐 아니라, 암호화 기술 및 인증 기술도 지원한다. 인증을 이용하는 인터넷프로토콜 데이터 전송에 관련하여 새로이 생긴 하나의 키 관리에 관한 새로운 표준은 마운틴 뷰(Mountain View)의 선 마이크로시스템(Sun Microsystems)회사에 양도된 미국특허 제5,588,060호에 기술된 인터넷 프로토콜용 단순키 관리(SKIP)라 한다. SKIP을 사용하는 인증된 데이터 전송은 터널 모드(tunnel mode)라고 하는 데이터 전송 모드를 지원한다. 도 5에 대하여 전술한 데이터 전송은 데이터 패킷이 인터넷을 통과함에 따라 데이터 및 소스 어드레스가 노출되는 트랜스포트 연산모드를 설명한다. 터널 모드에서는, 데이터 패킷 전체를 VPNU에 대하여서만 소스 어드레스및 수신처 어드레스를 식별하는 또 다른 패킷 내에 밀폐시킴으로써, 보다 높은 정도의 보안 조치를 제공할 수 있다. 이것은 통과중인 최후의 소스 어드레스 및 수신처 어드레스를 숨긴다.
도 6은 터널모드를 이용하여, 소스(600)로부터 수신처(670)로 전파되고 있는 데이터 패킷의 라이프 사이클을 도시한 것이다. 이 동작 모드에서는, 데이터 패킷(610)이 아웃바운드 VPNU(620)에 의하여 처리되며, VPNU(620)는 그 결과로 패킷(630)을 생성한다. 이러한 결과적인 패킷(630)은 패킷의 데이터 페이로드뿐 아니라, 단말국의 수신처 어드레스 및 소스 어드레스도 암호화 및 (선택적으로)압축 한다. 그 다음에, 밀폐된 패킷예는 추가적인 헤더(header)가 제공되고, 이 헤더는 패 킷의 소스가 아웃바운드 VPNU(620)이고, 수신처가 인바운드 VPNU(650)라는 것을 식별한다. 따라서, 인터넷으로부터 나타나는 패킷(640)은 그 소스 어드레스 및 어드레스정보와 밀폐된 페이로드에 관하여는 패킷(630)과 동일하다. 패킷은 인바운드VPNU(650)에 의하여 분해되어, 660에서 최초의 데이터 패킷으로 재구성되어 수신처(670)에 전달된다.
본 발명의 전체적인 구성은 건실(robust)하다. 본 발명의 구성은 최종 사용자에게 인터넷과 같은 공중망 스페이스를 거쳐 독자적인 데이터 통신을 실시하는 편의를 제공한다. 본 발명의 구성은 트랜잭션의 각 말단에 있는 VPNU가 관련 프로토콜을 지원하는 한, 다양한 압축, 암호화 및 인중 기술도 구현할 수 있게 한다. 본 발명은 또한 기업 방화벽(corporate firewall)과 같은 통상적인 인터넷 보안 메커니즘과 협동할 수 있다. 하나의 방화벽은 소정 사이트에서 VPNU와 직렬로 작동할수 있거나, 병렬 방화벽 및 VPNU 보안 기능을 제공하기 위하여 VPNU와 함께 단일 박스 내에 지능적으로 구성할 수 있다.
지금까지, 안전한 사설망 데이터통신을 위하여 공중망 스페이스를 이용할 수 있는 VPN을 구현하기 위한 프로토콜과 구성을 설명하였다. 본 발명을 특정한 실시예에 관하여 설명하였으나, 당업자에게는 본 발명의 여러 가지로 변경할 수 있음을 알 수 있을 것으로 이해된다. 따라서, 본 발명의 정신과 범위는 이하의 특허청구범위에 의하여 정의되어야 한다.
도 1은 예시적인 기업 내 통신 아키텍처에 관한 종래 기술에 의한 구성을 도시한다.
도 2는 VPN의 멤버들 사이에 메시지를 전달하기 위한 전달수단으로서 인터넷 또는 기타 공중망 스페이스를 이용하는 본 발명에 따른 기업 통신 방법을 도시한다.
도 3은 VPN 그룹의 한 멤버로부터 다른 멤버로 인터넷을 통하여 전송되는 패 킷의 처리에 관한 흐름도이다.
도 4는 VPN 그룹의 한 멤버에 의해 인터넷을 통하여 다른 멤버로부터 수신되는 데이터 패킷 처리를 나타낸다.
도 5는 VPN 그룹의 한 멤버로부터 다른 멤버에게 인터넷을 통하여 송신되는 데이터 패킷의 라이프 사이클을 나타낸다.
도 6은 그룹 멤버의 소스 어드레스 및 수신처 어드레스가 숨겨져 있는, VPN그룹의 한 멤버로부터 다른 멤버에게 인터넷을 통하여 송신되는 데이터 패킷의 대안적 라이프 사이클을 도시한다.
[기술분야]
본 발명은 데이터 통신 분야에 관한 것으로, 특히 공공 데이터 통신 기반시설(infrastructure) 또는 기타 불안전 데이터 통신 기반 시설을 거쳐 안전한 가상 사설망(Virtual Private Network : VPN)을 구현하기 위한 방법에 관한 것이다.
[배경기술]
최근에는, 기업이 주로 기업구성원 사이에 전자데이터를 전송할 수 있는 능력에 의존하게 되었다. 이러한 데이터에는 전형적으로 전자우편 및 파일 공유 또는 파일전송이 포함된다. 중앙 집중형 단일사이트 기업의 경우, 기업애 의하여 설치 및 운영되는 근거리통신망(LAN)에 의하여 이러한 전자데이터의 전송이 대부분 용이하게 이루어진다. 기업의 LAN을 경유하는 데이터에 대한 허가되지 않은 액세스를 방지하는 것은 비교적 간단하다. 이는 기업의 구성원에 의한 허가되지 않은 액세스뿐만 아니라, 더 중요하게 외부의 제3자에 대하여 적용된다. 지능적 네트워크관리가 유지되는 한, 기업의 내부 LAN을 경유하는 데이터에 대한 허가되지 않은 액세스는 비교적 용이하게 피할 수 있다. 기업이 다중사이트(multiple site)를 보유하고있는 경우, 안전에 대한 외부로부터 위협이 큰 문제가 된다.
전술한 전자데이터 전송에 편의를 얻고자 하는 분산 기업(distributed enterprise)을 위하여, 오늘날 몇 가지 옵션이 존재하나, 각 옵션마다 단점이 있다. 제 1옵션은 사무실이나 여러 사이트를 전용회선(leased line)이라고 하는 전용 또는 사설통신접속(private communications connection)으로 상호 접속시키는 것이 다. 이것은 기업이 하나의 광역망(WAN)을 구현하는데 이용하는 전통적인 방법이다. 기업이 소유 및 제어하는 WAN을 구현하는 것이 불리하다는 것은 명백하다. 그 단점으로는 비용이 많이 소요되고, 다루기가 힘들며, 기업의 피크용량요건을 다루도록 설치되어 있는 경우에는, 이용도가 낮아지는 것이 많다는 점이다. 이러한 방법의 명백한 장점은 회선이 기업에 의하여 전용되고, 따라서 안전하며, 중간 제 3자에의한 도청이나 부정조작으로부터 상당히 안전하다는 점이다.
광역망 내에서 전용통신회선을 사용할 수 있는 또 다른 방법은, 기업이 신생 공중망 공간에 걸쳐 사이트 간 데이터 분배를 처리하는 것이다. 최근 수년 사이에,인터넷(Internet)은 최초에는 과학자와 대학교수의 연구도구이던 것이 이제는 광범위한 사업이라는 의미를 내포하는 광역통신용 메커니즘으로 바뀌었다. 인터넷은 수백만의 컴퓨터가 존재하는 각종 네트워크를 상호 접속시킴으로써, 이러한 수많은 컴퓨터 사이의 전자 통신 경로를 제공한다. 이제는 기업뿐 아니라, 경우에 따라서는 비 기술분야의 기업이, 기업 내의 컴퓨터 중 적어도 일부에 인터넷 액세스(Internet access)를 제공하는 것이 일반화되고, 일상적인 것으로까지 되었다. 이에 따라, 많은 업무에 있어서, 기업의 분산된 각 구성원뿐 아니라, 고객과 잠재적거래처와의 통신이 용이하게 되었다.
분산형 기업은 인터넷이 기업의 구성원 사이의 전자통신을 제공하는 편리한 수단이라는 것을 알게 되었다. 예를 들면, 기업 내의 2개 원격사이트 각각은 지역인터넷 서비스 공급자(ISP: Internet Service Provider)를 거쳐 인터넷에 접속할 수 있다. 이에 의하여, 기업의 여러 멤버가 그 기업 내부의 사이트를 포함한 인터넷상의 다른 사이트와 통신할 수 있다. 이와 같이 인터넷을 기업 내 통신용으로 사용하는 것의 단점은, 인터넷이 공중망 스페이스(public network space)라는 것이 다. 각 지점 사이의 데이터통신을 실시하는 경로는 패킷 마다 달라서 본질적으로는 불확정적인 것이다. 더구나, 인터넷의 여러 네트워크를 거쳐 정보를 전송하기 위한 데이터 프로토콜(data protocol)은 널리 알려져 있어서, 전자통신이 차단되거나 도청을 받기 쉽고, 대부분의 중간 홉(intermediate hop)으로 패킷이 복제된다. 통신이 사기꾼에 의하여 전송 중 변경되거나, 개시되는 때에는 더 큰 문제가 생긴다. 이러한 혼란을 일으키는 위험이 많기 때문에, 대부분의 기업은 그 재산 및 기밀에 속하는 내부 통신을 공중 통신망에 노출시키는 것을 원하지 않는다. 오늘날, 많은기업에서는 전술한 모든 결점을 수반한 채, 각 사이트에서 인터넷 액세스를 제공받고 있을 뿐 아니라, 기업 내부 통신을 위한 전용 통신 경로도 유지하고 있다.
이제까지 데이터 통신을 위하여 여러 가지의 암호화 및 기타 보호 메커니즘이 개발되었으나, 어느 것도 기업으로 하여금 안전한 기업 내 데이터통신을 위하여 공중망 스페이스를 전적으로 신뢰할 수 있도록 해주지는 못하였다. 그러므로, 분산형 기업으로 하여금 현재 존재하고 있는 안전상의 위험에 대한 우려 없이, 기업 내 통신용으로서 공중망 스페이서를 신뢰하게 할 수 있는 메커니즘(mechanism)을 제공하는 것이 바람직하며, 이것이 본 발명의 목적이다.

Claims (16)

  1. 데이터 패킷을 가상 사설망의 제 1멤버로부터, 상기 가상 사설망의 제 2멤버로 송신하기 위한 방법으로서,
    상기 제 2멤버에게 송신되는 상기 데이터 패킷을 수신하는 단계와;
    상기 데이터 패킷이 상기 가상 사설망의 멤버들 사이에 송신되고 있는가를 결정하는 단계와;
    상기 가상 사설망의 멤버들 사이에 송신되는 패킷에 대한 패킷 조작 규칙을 결정하는 단계와;
    데이터 패킷에 관한 패킷조작 규칙을 실행함으로써 안전한 데이터 패킷을 형성하는 단계와; 그리고
    상기 안전한 데이터 패킷을 상기 가상 사설망의 제 2 멤버에게 전송하는 단계를 포함하는 방법.
  2. 제 1 항에 있어서, 상기 데이터 패킷이 상기 가상 사설망의 멤버들 사이에 송신되고 있는가를 결정하는 단계는 상기 데이터 패킷의 소스 어드레스 및 수신처어드레스를 가상 사설망 어드레스 테이블에 저장된 어드레스와 비교하는 단계를 포함하는 것을 특징으로 방법.
  3. 제 1 항에 있어서, 상기 패킷 조작 규칙을 결정하는 단계는 가상 사설망의 멤버들 사이에 송신되는 데이터 패킷에 대해 이용될 압축 알고리즘, 암호화 알고리즘 및 인증 알고리즘을 식별하는 정보를 유지하는 검색 테이블에 액세스하는 단계를 포함하는 것을 특징으로 하는 방법.
  4. 제 3 항에 있어서, 상기 안전한 데이터 패킷을 형성하는 단계는,
    상기 식별된 암호 알고리즘에 따라, 상기 데이터 패킷 중 적어도 페이로드부분을 암호화하는 단계과;
    상기 식별된 인증 알고리즘에 따라, 데이터 패킷에 관한 인증 정보를 생성하는 단계를 포함하는 것을 특징으로 하는 방법.
  5. 제 4 항에 있어서, 상기 안전한 데이터 패킷을 형성하는 단계는 식별된 압축알고리즘에 따라 데이터 패킷 중 상기 페이로드 부분을 압축하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  6. 제 5 항에 있어서, 상기 압축 단계가 상기 암호화 단계에 앞서 행하여지는 것을 특징으로 하는 방법.
  7. 제 3 항에 있어서, 상기 안전한 데이터 패킷을 형성하는 단계는 식별된 패킷 조작 규칙에 따라 데이터 패킷의 소스 어드레스 및 수신처 어드레스를 숨기는 단계를 포함하는 것을 특징으로 하는 방법.
  8. 가상 사설망의 멤버 사이에 송신된 안전한 데이터 패킷으로부터 최초의 데이터 패킷을 복구하는 방법에 있어서,
    상기 안전한 데이터 패킷을 수신하는 단계와;
    상기 가상 사설망의 멤버들 사이에 송신되는 패킷에 관한 패킷 조작 규칙을 결정하는 단계와;
    식별된 패킷 조작 규칙을 역으로 하여, 안전한 데이터 패킷을 조작함으로써,최초의 데이터 패킷을 복구하는 단계와; 그리고
    복구된 데이터 패킷을 그 수신처로 전송하는 단계를 포함하는 것을 특징으로 하는 방법.
  9. 제 8 항에 있어서, 상기 패킷 조작 규칙을 결정하는 단계는 가상 사설망의 멤버 사이에 송신되는 데이터 패킷에 사용해야할 압축 알고리즘, 암호화 알고리즘 및 인중 알고리즘을 식별하는 정보를 유지하는 검색 테이블에 액세스하는 단계를 포함하는 것을 특징으로 하는 방법.
  10. 제 9 항에 있어서, 상기 회복단계는 최초의 데이터 패킷의 소스 어드레스 및 수신처 어드레스가 숨겨진 때에, 이를 회복하는 단계를 포함하는 것을 특징으로 하는 방법.
  11. 가상 사설망의 멤버에 의해 데이터 패킷을 안전하게 교환하는 방법에 있어서,
    소스 어드레스, 수신처 어드레스 및 데이터 페이로드 부분을 포함하는 제 1데이터 패킷을 생성하는 단계와;
    상기 제 1데이터 패킷을 수신처 어드레스로 전송하는 단계와;
    제 1데이터 패킷을 상기 수신처 어드레스로 전송되는 도중에 차단하는 단계와;
    제 1데이터 패킷이 가상 사설망 그룹의 멤버들 사이에 송신되고 있는가를 검증하는 단계와;
    상기 가상 사설망 그룹의 멤버들 사이에 송신되는 패킷에 관한 패킷 조작 규칙을 결정하는 단계와;
    상기 제 1데이터 패킷에 관한 상기 패킷 규칙을 수행함으로써 제 2데이터 패 킷을 생성하는 단계와;
    상기 제 2데이터 패킷을 상기 수신처 어드레스로 전송하는 단계와;
    상기 제 2데이터 패킷을 수신하는 단계와;
    상기 제 2데이터 패킷이 상기 가상 사설망 그룹의 멤버 사이에 송신되고 있는가를 검증하는 단계와;
    상기 가상 사설망 그룹의 멤버들 사이에 송신되는 패킷에 관한 패킷 조작 규칙을 결정하는 단계와;
    식별된 패킷 조작 규칙을 역으로 함으로써 상기 데이터 페이로드 부분을 포함하는 제 3패킷을 생성하는 단계와; 그리고
    상기 제 3패킷을 상기 수신처 어드레스로 전달하는 단계를 포함하는 것을 특징으로 하는 방법.
  12. 제 11 항에 있어서, 상기 제 2패킷은 상기 소스 어드레스 및 수신처 어드레스를 숨기는 것을 특징으로 하는 방법.
  13. 제 11 항에 있어서, 상기 제 3패킷을 생성하는 상기 단계는 상기 제 3패킷에포함할 수 있는 상기 소스 어드레스 및 수신처 어드레스를 회복하는 단계를 포함하는 것을 특징으로 하는 방법.
  14. 가상 사설망 그룹의 멤버 사이에 데이터 패킷을 안전하게 교환하기 위한 시스템에 있어서,
    제 1 사이트에 있어 제 1네트워크 어드레스를 구비하는 제 1 컴퓨터와;
    제 1 컴퓨터로부터 공중망을 거쳐 송신된 데이터 패킷을 라우팅하기 위해서 상기 제 1사이트와 관계하는 제 1라우터와;
    가상 사설망 그룹 데이터 트래픽을 식별하고, 가상 사설망 유닛에 의하여 유지되는 패킷 조작 규칙에 따라 상기 데이터 트래픽을 조작함으로써 상기 데이터 트래픽을 보호하기 위하여, 상기 라우터와 공중망과의 사이에 배치되는 제 1 가상 사 설망 유닛과;
    제 2사이트를 공중망에 연결시키기 위하여 상기 제 2사이트와 관계하는 제 2 라우터와;
    상기 제 2사이트로 향하는 네트워크 트래픽을 차단하고, 가상 사설망 그룹 트래픽을 검출하며, 최초의 패킷 데이터를 복구시키기 위하여, 상기 제 2라우터와 공중망과의 사이에 배치되는 제 2가상 사설망 유닛과;
    상기 제 2사이트에 배치되며, 상기 패킷 데이터를 수신하기 위한 제 2 네트워크 어드레스를 구비하는 제 2컴퓨터를 포함하는 것을 특징으로 하는 시스템.
  15. 제 14 항에 있어서, 상기 제 1 및 제 2 가상 사설망 유닛이 상기 제 1 및 제2 네트워크 어드레스가 상기 가상 사설망 그룹의 멤버인지를 검증하기 위한 수단을 포함하는 것을 특징으로 하는 시스템.
  16. 상기 제 1 및 제 2가상 사설망 유닛은 각각 관련된 네트워크 어드레스를 가지며, 상기 네트워크 트래픽은 가상 사설망 어드레스를 이용하여 제 1 및 제 2네트워크 어드레스를 숨기는 것을 특징으로 하는 시스템.
KR1019970053802A 1997-06-12 1997-10-20 가상사설망용아키텍쳐 KR100472739B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US08/874,090 US6226748B1 (en) 1997-06-12 1997-06-12 Architecture for virtual private networks
US08/874,090 1997-06-12
US8/874,090 1997-06-12

Publications (2)

Publication Number Publication Date
KR19990006260A KR19990006260A (ko) 1999-01-25
KR100472739B1 true KR100472739B1 (ko) 2005-07-21

Family

ID=25362956

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1019970053802A KR100472739B1 (ko) 1997-06-12 1997-10-20 가상사설망용아키텍쳐

Country Status (9)

Country Link
US (3) US6226748B1 (ko)
EP (2) EP1515491B1 (ko)
JP (1) JP2002504286A (ko)
KR (1) KR100472739B1 (ko)
AT (1) ATE281035T1 (ko)
AU (1) AU7837998A (ko)
CA (1) CA2293419C (ko)
DE (1) DE69827252T2 (ko)
WO (1) WO1998057465A1 (ko)

Families Citing this family (129)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3839932B2 (ja) * 1996-09-26 2006-11-01 キヤノン株式会社 プロセスカートリッジ及び電子写真画像形成装置及び電子写真感光体ドラム及びカップリング
US6226748B1 (en) * 1997-06-12 2001-05-01 Vpnet Technologies, Inc. Architecture for virtual private networks
CA2228687A1 (en) * 1998-02-04 1999-08-04 Brett Howard Secured virtual private networks
US7095740B1 (en) * 1998-06-30 2006-08-22 Nortel Networks Limited Method and apparatus for virtual overlay networks
US6502135B1 (en) * 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
AU765914B2 (en) * 1998-10-30 2003-10-02 Virnetx Inc. An agile network protocol for secure communications with assured system availability
US6826616B2 (en) * 1998-10-30 2004-11-30 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network
US10511573B2 (en) 1998-10-30 2019-12-17 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US7418504B2 (en) 1998-10-30 2008-08-26 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US6453348B1 (en) 1998-11-06 2002-09-17 Ameritech Corporation Extranet architecture
US7194554B1 (en) 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US8713641B1 (en) 1998-12-08 2014-04-29 Nomadix, Inc. Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
US8266266B2 (en) 1998-12-08 2012-09-11 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US6542508B1 (en) * 1998-12-17 2003-04-01 Watchguard Technologies, Inc. Policy engine using stream classifier and policy binding database to associate data packet with appropriate action processor for processing without involvement of a host processor
US7307990B2 (en) * 1999-01-19 2007-12-11 Cisco Technology, Inc. Shared communications network employing virtual-private-network identifiers
AU2565200A (en) 1999-02-19 2000-09-04 Nokia Networks Oy Network arrangement for communication
US6640251B1 (en) 1999-03-12 2003-10-28 Nortel Networks Limited Multicast-enabled address resolution protocol (ME-ARP)
GB2348778A (en) * 1999-04-08 2000-10-11 Ericsson Telefon Ab L M Authentication in mobile internet access
US20020019932A1 (en) * 1999-06-10 2002-02-14 Eng-Whatt Toh Cryptographically secure network
US20020101998A1 (en) * 1999-06-10 2002-08-01 Chee-Hong Wong Fast escrow delivery
US6988199B2 (en) * 2000-07-07 2006-01-17 Message Secure Secure and reliable document delivery
US6275470B1 (en) * 1999-06-18 2001-08-14 Digital Island, Inc. On-demand overlay routing for computer-based communication networks
GB2352370B (en) * 1999-07-21 2003-09-03 Int Computers Ltd Migration from in-clear to encrypted working over a communications link
US7072964B1 (en) * 1999-08-31 2006-07-04 Science Applications International Corporation System and method for interconnecting multiple virtual private networks
EP1222548A4 (en) * 1999-08-31 2009-04-22 Anxebusiness Corp SYSTEM AND METHOD FOR INTERCONNECTING MULTIPLE VIRTUAL PRIVATE NETWORKS
US7117526B1 (en) 1999-10-22 2006-10-03 Nomadix, Inc. Method and apparatus for establishing dynamic tunnel access sessions in a communication network
WO2001031855A2 (en) * 1999-10-22 2001-05-03 Nomadix, Inc. Establishing dynamic tunnel access sessions in a communication network
US7117530B1 (en) * 1999-12-07 2006-10-03 Watchguard Technologies, Inc. Tunnel designation system for virtual private networks
GB9929050D0 (en) * 1999-12-08 2000-02-02 Nokia Networks Oy Communication method
SE517217C2 (sv) * 1999-12-29 2002-05-07 Ericsson Telefon Ab L M Metod och system för kommunikation mellan olika nätverk
DE10004811A1 (de) * 2000-02-04 2001-08-09 Ericsson Telefon Ab L M Kommunikationssystem, Verfahren und Steuereinrichtung zum Leiten von Anrufen innerhalb von privaten Netzen, die über geographische beabstandete Zonen verteilt sind
US7130629B1 (en) 2000-03-08 2006-10-31 Cisco Technology, Inc. Enabling services for multiple sessions using a single mobile node
US7089240B2 (en) * 2000-04-06 2006-08-08 International Business Machines Corporation Longest prefix match lookup using hash function
US7181542B2 (en) * 2000-04-12 2007-02-20 Corente, Inc. Method and system for managing and configuring virtual private networks
US7020718B2 (en) 2000-05-15 2006-03-28 Hewlett-Packard Development Company, L.P. System and method of aggregating discontiguous address ranges into addresses and masks using a plurality of repeating address blocks
US20010037384A1 (en) * 2000-05-15 2001-11-01 Brian Jemes System and method for implementing a virtual backbone on a common network infrastructure
US7263719B2 (en) 2000-05-15 2007-08-28 Hewlett-Packard Development Company, L.P. System and method for implementing network security policies on a common network infrastructure
US7024686B2 (en) 2000-05-15 2006-04-04 Hewlett-Packard Development Company, L.P. Secure network and method of establishing communication amongst network devices that have restricted network connectivity
EP2288083B1 (en) * 2000-06-16 2013-07-31 Fujitsu Limited Communication device having VPN accomodation function
DE60018913T2 (de) * 2000-06-30 2006-05-18 Alcatel Verfahren und Apparat um mit Apparate zu kommunizieren die nicht zum selben virtuellen privaten Netzwerk (VPN) gehören
US7251728B2 (en) 2000-07-07 2007-07-31 Message Secure Corporation Secure and reliable document delivery using routing lists
EP1299989A2 (en) * 2000-07-07 2003-04-09 Science Applications International Corporation A system or method for calling a vanity number using speech recognition
US7111163B1 (en) * 2000-07-10 2006-09-19 Alterwan, Inc. Wide area network using internet with quality of service
US6697858B1 (en) * 2000-08-14 2004-02-24 Telephony@Work Call center
US6823462B1 (en) * 2000-09-07 2004-11-23 International Business Machines Corporation Virtual private network with multiple tunnels associated with one group name
US20020048372A1 (en) * 2000-10-19 2002-04-25 Eng-Whatt Toh Universal signature object for digital data
US7403980B2 (en) * 2000-11-08 2008-07-22 Sri International Methods and apparatus for scalable, distributed management of virtual private networks
US6894999B1 (en) * 2000-11-17 2005-05-17 Advanced Micro Devices, Inc. Combining VLAN tagging with other network protocols allows a user to transfer data on a network with enhanced security
US6760330B2 (en) * 2000-12-18 2004-07-06 Sun Microsystems, Inc. Community separation control in a multi-community node
US7296291B2 (en) * 2000-12-18 2007-11-13 Sun Microsystems, Inc. Controlled information flow between communities via a firewall
US8266677B2 (en) * 2000-12-20 2012-09-11 Intellisync Corporation UDP communication with a programmer interface over wireless networks
US7124189B2 (en) * 2000-12-20 2006-10-17 Intellisync Corporation Spontaneous virtual private network between portable device and enterprise network
US7127742B2 (en) * 2001-01-24 2006-10-24 Microsoft Corporation Establishing a secure connection with a private corporate network over a public network
US20030115480A1 (en) * 2001-12-17 2003-06-19 Worldcom, Inc. System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks
US6778498B2 (en) * 2001-03-20 2004-08-17 Mci, Inc. Virtual private network (VPN)-aware customer premises equipment (CPE) edge router
US7599351B2 (en) * 2001-03-20 2009-10-06 Verizon Business Global Llc Recursive query for communications network data
US20020138635A1 (en) * 2001-03-26 2002-09-26 Nec Usa, Inc. Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations
GB0109299D0 (en) * 2001-04-12 2001-05-30 British Telecomm Hybrid network
US7536715B2 (en) * 2001-05-25 2009-05-19 Secure Computing Corporation Distributed firewall system and method
US8385342B2 (en) 2001-05-31 2013-02-26 Fujitsu Limited System and method of virtual private network route target filtering
US8014283B2 (en) * 2001-06-01 2011-09-06 Fujitsu Limited System and method for topology constrained QoS provisioning
US20020184388A1 (en) * 2001-06-01 2002-12-05 Nimer Yaseen Layered approach to virtual private routing
US7450505B2 (en) * 2001-06-01 2008-11-11 Fujitsu Limited System and method for topology constrained routing policy provisioning
US7194766B2 (en) 2001-06-12 2007-03-20 Corrent Corporation Method and system for high-speed processing IPSec security protocol packets
KR20010107790A (ko) * 2001-07-06 2001-12-07 김인규 가상 사설망 구축 방법 및 이를 이용한 가상사설망게이트웨이
US7533410B1 (en) * 2001-09-06 2009-05-12 At & T Corp. Architecture to support public voice VPN services over an IP network
US7036143B1 (en) * 2001-09-19 2006-04-25 Cisco Technology, Inc. Methods and apparatus for virtual private network based mobility
US7076797B2 (en) * 2001-10-05 2006-07-11 Microsoft Corporation Granular authorization for network user sessions
US7380016B1 (en) * 2002-06-28 2008-05-27 Sarao Jeremy A Deterministic triggering over an ethernet network
US7970924B2 (en) * 2001-12-14 2011-06-28 Cognex Technology And Investment Corporation Deterministic triggering over an ethernet network
US7610332B2 (en) * 2002-01-15 2009-10-27 Nortel Networks Limited Overlay networks
CN1301607C (zh) * 2002-02-01 2007-02-21 联想网御科技(北京)有限公司 实现支持虚拟局域网防火墙的方法
US7471661B1 (en) 2002-02-20 2008-12-30 Cisco Technology, Inc. Methods and apparatus for supporting proxy mobile IP registration in a wireless local area network
JP2003268872A (ja) * 2002-03-13 2003-09-25 Mia:Kk 立体トラス
US7962644B1 (en) 2002-03-18 2011-06-14 Oracle International Corporation Systems and methods for handling a plurality of communications
US7574737B1 (en) * 2002-05-31 2009-08-11 Novatel Wireless, Inc. Systems and methods for secure communication over a wireless network
US7246232B2 (en) * 2002-05-31 2007-07-17 Sri International Methods and apparatus for scalable distributed management of wireless virtual private networks
US7937471B2 (en) 2002-06-03 2011-05-03 Inpro Network Facility, Llc Creating a public identity for an entity on a network
US7680102B2 (en) * 2002-06-14 2010-03-16 Flash Networks, Inc. Method and system for connecting manipulation equipment between operator's premises and the internet
KR100923394B1 (ko) * 2002-06-25 2009-10-23 주식회사 케이티 가상사설망에서의 네트워크 저장공간 구현 방법
US7194767B1 (en) * 2002-06-28 2007-03-20 Sprint Communications Company L.P. Screened subnet having a secured utility VLAN
US7421736B2 (en) * 2002-07-02 2008-09-02 Lucent Technologies Inc. Method and apparatus for enabling peer-to-peer virtual private network (P2P-VPN) services in VPN-enabled network
US8234358B2 (en) 2002-08-30 2012-07-31 Inpro Network Facility, Llc Communicating with an entity inside a private network using an existing connection to initiate communication
US7231664B2 (en) * 2002-09-04 2007-06-12 Secure Computing Corporation System and method for transmitting and receiving secure data in a virtual private group
US7596806B2 (en) * 2002-09-06 2009-09-29 O2Micro International Limited VPN and firewall integrated system
US20100138909A1 (en) * 2002-09-06 2010-06-03 O2Micro, Inc. Vpn and firewall integrated system
GB2407464B (en) * 2002-09-06 2005-12-14 O2Micro Inc VPN and firewall integrated system
WO2004036834A1 (en) * 2002-10-17 2004-04-29 Nokia Corporation Secured virtual private network with mobile nodes
US20040083290A1 (en) * 2002-10-25 2004-04-29 Zesen Chen Software implemented virtual private network service
US7308706B2 (en) * 2002-10-28 2007-12-11 Secure Computing Corporation Associative policy model
US7574738B2 (en) * 2002-11-06 2009-08-11 At&T Intellectual Property Ii, L.P. Virtual private network crossovers based on certificates
US7457289B2 (en) 2002-12-16 2008-11-25 Cisco Technology, Inc. Inter-proxy communication protocol for mobile IP
US7362742B1 (en) 2003-01-28 2008-04-22 Cisco Technology, Inc. Methods and apparatus for synchronizing subnet mapping tables
JP4173517B2 (ja) * 2003-03-05 2008-10-29 インテリシンク コーポレイション コンピューティング・ネットワークとリモート装置との間のバーチャル・プライベート・ネットワーク
US7949785B2 (en) * 2003-03-31 2011-05-24 Inpro Network Facility, Llc Secure virtual community network system
US7505432B2 (en) * 2003-04-28 2009-03-17 Cisco Technology, Inc. Methods and apparatus for securing proxy Mobile IP
US9032095B1 (en) 2004-01-06 2015-05-12 Juniper Networks, Inc. Routing device having multiple logical routers
DE102004016582A1 (de) * 2004-03-31 2005-10-27 Nec Europe Ltd. Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz
US7447188B1 (en) 2004-06-22 2008-11-04 Cisco Technology, Inc. Methods and apparatus for supporting mobile IP proxy registration in a system implementing mulitple VLANs
US8179784B2 (en) * 2004-07-16 2012-05-15 Hewlett-Packard Development Company, L.P. Method and apparatus for recovering a communications connection
US7647492B2 (en) * 2004-09-15 2010-01-12 Check Point Software Technologies Inc. Architecture for routing and IPSec integration
KR100645517B1 (ko) 2004-12-16 2006-11-15 삼성전자주식회사 가입자 등급에 따른 브이오아이피 호 처리 방법 및 그시스템
US7532579B1 (en) * 2004-12-22 2009-05-12 At&T Corp. Method and apparatus for assessing the installation of a component in a packet-switched network
US8885812B2 (en) 2005-05-17 2014-11-11 Oracle International Corporation Dynamic customer satisfaction routing
US8583466B2 (en) * 2005-08-09 2013-11-12 Oracle International Corporation System and method for routing workflow items based on workflow templates in a call center
US20070097970A1 (en) * 2005-11-01 2007-05-03 Georgios Margaritis Packet retransmitter
JP4038221B2 (ja) * 2005-12-08 2008-01-23 フリービット株式会社 中継装置及びクライアント機器とサーバとの接続方法
US8000344B1 (en) * 2005-12-20 2011-08-16 Extreme Networks, Inc. Methods, systems, and computer program products for transmitting and receiving layer 2 frames associated with different virtual local area networks (VLANs) over a secure layer 2 broadcast transport network
US7614080B2 (en) * 2005-12-28 2009-11-03 Panasonic Electric Works Co., Ltd. Systems and methods for providing secure access to embedded devices using a trust manager and a security broker
US20070214502A1 (en) * 2006-03-08 2007-09-13 Mcalister Donald K Technique for processing data packets in a communication network
US20070271606A1 (en) * 2006-05-17 2007-11-22 Amann Keith R Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN
FR2902587B1 (fr) * 2006-06-16 2008-10-17 Alcatel Sa Dispositif de mise en communication de reseaux locaux par un commutateur exclusif et systeme de mise en communication correspondant ainsi qu'un support d'informations et un programme d'ordinateur
US8694684B2 (en) * 2006-08-21 2014-04-08 Citrix Systems, Inc. Systems and methods of symmetric transport control protocol compression
US7809820B2 (en) * 2007-07-17 2010-10-05 Microsoft Corporation Optimizing encrypted wide area network traffic
US8391148B1 (en) * 2007-07-30 2013-03-05 Rockstar Consortion USLP Method and apparatus for Ethernet data compression
US20100332641A1 (en) * 2007-11-09 2010-12-30 Kulesh Shanmugasundaram Passive detection of rebooting hosts in a network
US8495357B2 (en) * 2007-12-19 2013-07-23 International Business Machines Corporation Data security policy enforcement
EP2134055B1 (de) * 2008-06-10 2012-12-12 secunet Security Networks Aktiengesellschaft Verfahren zur Konfiguration von sicheren Übertragungen von Daten zwischen sicheren Netzwerken
US20100186072A1 (en) * 2009-01-21 2010-07-22 Akshay Kumar Distributed secure telework
US8369345B1 (en) * 2009-11-13 2013-02-05 Juniper Networks, Inc. Multi-router system having shared network interfaces
US8396954B2 (en) * 2010-06-24 2013-03-12 Aryaka Networks, Inc. Routing and service performance management in an application acceleration environment
US9473506B1 (en) * 2013-10-15 2016-10-18 Progress Software Corporation Secure file transfer and notification server
US9531678B1 (en) 2013-10-15 2016-12-27 Progress Software Corporation On-premises data access and firewall tunneling
US9503428B2 (en) 2014-10-10 2016-11-22 Zanguli Llc Secure device and proxy for secure operation of a host data processing system
US10270591B2 (en) 2015-06-30 2019-04-23 Activevideo Networks, Inc. Remotely managed trusted execution environment for digital-rights management in a distributed network with thin clients
US10893313B2 (en) * 2015-09-11 2021-01-12 Active Video Networks, Inc. Secure bridging of third-party digital rights management to local security
WO2017131767A1 (en) * 2016-01-29 2017-08-03 Hewlett Packard Enterprise Development Lp Mobile virtual private network configuration
CN106534153B (zh) * 2016-11-30 2023-06-13 广东科达洁能股份有限公司 基于互联网建立桥接专线系统
US10616182B1 (en) 2017-11-30 2020-04-07 Progress Software Corporation Data access and firewall tunneling using a custom socket factory

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS59154849A (ja) * 1983-02-23 1984-09-03 Nec Corp パケツト交換網における簡易形暗号化装置
JPH06209313A (ja) * 1993-01-12 1994-07-26 Fujikura Ltd 機密保持装置およびその方法
WO1997000471A2 (en) * 1993-12-15 1997-01-03 Check Point Software Technologies Ltd. A system for securing the flow of and selectively modifying packets in a computer network
KR970024734A (ko) * 1995-10-26 1997-05-30 리 패치 안전 네트워크 프로토콜 시스템 및 방법

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4897874A (en) * 1988-03-31 1990-01-30 American Telephone And Telegraph Company At&T Bell Laboratories Metropolitan area network arrangement for serving virtual data networks
US4908528A (en) 1988-07-21 1990-03-13 Vlsi Technology, Inc. Input circuit having improved noise immunity
GB8927623D0 (en) * 1989-12-06 1990-02-07 Bicc Plc Repeaters for secure local area networks
US5239584A (en) * 1991-12-26 1993-08-24 General Electric Corporation Method and apparatus for encryption/authentication of data in energy metering applications
US5809281A (en) 1993-03-30 1998-09-15 Altera Corporation Field programmable gate array with high speed SRAM based configurable function block configurable as high performance logic or block of SRAM
US5394402A (en) * 1993-06-17 1995-02-28 Ascom Timeplex Trading Ag Hub for segmented virtual local area network with shared media access
US5400334A (en) * 1993-08-10 1995-03-21 Ungermann-Bass, Inc. Message security on token ring networks
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5588060A (en) * 1994-06-10 1996-12-24 Sun Microsystems, Inc. Method and apparatus for a key-management scheme for internet protocols
US5416842A (en) * 1994-06-10 1995-05-16 Sun Microsystems, Inc. Method and apparatus for key-management scheme for use with internet protocols at site firewalls
US5548646A (en) * 1994-09-15 1996-08-20 Sun Microsystems, Inc. System for signatureless transmission and reception of data packets between computer networks
US5621727A (en) * 1994-09-16 1997-04-15 Octel Communications Corporation System and method for private addressing plans using community addressing
US5828846A (en) * 1995-11-22 1998-10-27 Raptor Systems, Inc. Controlling passage of packets or messages via a virtual connection or flow
AU1829897A (en) * 1996-01-16 1997-08-11 Raptor Systems, Inc. Transferring encrypted packets over a public network
US5781550A (en) * 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5818750A (en) 1996-07-31 1998-10-06 Micron Technology, Inc. Static memory cell
US6101543A (en) * 1996-10-25 2000-08-08 Digital Equipment Corporation Pseudo network adapter for frame capture, encapsulation and encryption
US5935245A (en) * 1996-12-13 1999-08-10 3Com Corporation Method and apparatus for providing secure network communications
US5805496A (en) 1996-12-27 1998-09-08 International Business Machines Corporation Four device SRAM cell with single bitline
US6055575A (en) * 1997-01-28 2000-04-25 Ascend Communications, Inc. Virtual private network system and method
US6173399B1 (en) * 1997-06-12 2001-01-09 Vpnet Technologies, Inc. Apparatus for implementing virtual private networks
US6226748B1 (en) 1997-06-12 2001-05-01 Vpnet Technologies, Inc. Architecture for virtual private networks
US6397330B1 (en) * 1997-06-30 2002-05-28 Taher Elgamal Cryptographic policy filters and policy control method and apparatus
US6079020A (en) 1998-01-27 2000-06-20 Vpnet Technologies, Inc. Method and apparatus for managing a virtual private network
US6226751B1 (en) 1998-04-17 2001-05-01 Vpnet Technologies, Inc. Method and apparatus for configuring a virtual private network
US6154839A (en) 1998-04-23 2000-11-28 Vpnet Technologies, Inc. Translating packet addresses based upon a user identifier
US6175917B1 (en) 1998-04-23 2001-01-16 Vpnet Technologies, Inc. Method and apparatus for swapping a computer operating system
US7421583B1 (en) * 2000-06-19 2008-09-02 Xerox Corp System, method and article of manufacture for determining a price of cryptograph IC services based on a computational burden thereof
US20080056494A1 (en) * 2001-01-12 2008-03-06 Van Jacobson System and method for establishing a secure connection
US7334124B2 (en) * 2002-07-22 2008-02-19 Vormetric, Inc. Logical access block processing protocol for transparent secure file storage
US7277431B2 (en) * 2002-10-31 2007-10-02 Brocade Communications Systems, Inc. Method and apparatus for encryption or compression devices inside a storage area network fabric
US20040088538A1 (en) * 2002-10-31 2004-05-06 Brocade Communications Systems, Inc. Method and apparatus for allowing use of one of a plurality of functions in devices inside a storage area network fabric specification
KR100949420B1 (ko) * 2002-10-31 2010-03-24 파나소닉 주식회사 통신장치, 통신 시스템 및 알고리즘 선택방법
US7337314B2 (en) * 2003-04-12 2008-02-26 Cavium Networks, Inc. Apparatus and method for allocating resources within a security processor
JP4136812B2 (ja) * 2003-07-01 2008-08-20 キヤノン株式会社 画像暗号化方法及び画像暗号復号方法及びそれらの装置、並びにコンピュータプログラム及びコンピュータ可読記憶媒体
US7546460B2 (en) * 2005-03-30 2009-06-09 Oracle International Corporation Secure communications across multiple protocols
US8127130B2 (en) * 2006-04-18 2012-02-28 Advanced Communication Concepts, Inc. Method and system for securing data utilizing reconfigurable logic

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS59154849A (ja) * 1983-02-23 1984-09-03 Nec Corp パケツト交換網における簡易形暗号化装置
JPH06209313A (ja) * 1993-01-12 1994-07-26 Fujikura Ltd 機密保持装置およびその方法
WO1997000471A2 (en) * 1993-12-15 1997-01-03 Check Point Software Technologies Ltd. A system for securing the flow of and selectively modifying packets in a computer network
KR970024734A (ko) * 1995-10-26 1997-05-30 리 패치 안전 네트워크 프로토콜 시스템 및 방법

Also Published As

Publication number Publication date
DE69827252T2 (de) 2005-10-13
EP1515491A3 (en) 2006-05-17
EP0988735A1 (en) 2000-03-29
EP0988735B1 (en) 2004-10-27
US20060129792A1 (en) 2006-06-15
JP2002504286A (ja) 2002-02-05
CA2293419A1 (en) 1998-12-17
US7617527B2 (en) 2009-11-10
US6226748B1 (en) 2001-05-01
US7010702B1 (en) 2006-03-07
WO1998057465A1 (en) 1998-12-17
EP1515491A2 (en) 2005-03-16
DE69827252D1 (de) 2004-12-02
AU7837998A (en) 1998-12-30
ATE281035T1 (de) 2004-11-15
EP1515491B1 (en) 2016-08-24
KR19990006260A (ko) 1999-01-25
CA2293419C (en) 2007-03-13

Similar Documents

Publication Publication Date Title
KR100472739B1 (ko) 가상사설망용아키텍쳐
EP0988736B1 (en) An apparatus for implementing virtual private networks
US6154839A (en) Translating packet addresses based upon a user identifier
US6226751B1 (en) Method and apparatus for configuring a virtual private network
US7051365B1 (en) Method and apparatus for a distributed firewall
US6079020A (en) Method and apparatus for managing a virtual private network
US8239960B2 (en) Method for network traffic mirroring with data privacy
US7086086B2 (en) System and method for maintaining N number of simultaneous cryptographic sessions using a distributed computing environment
US7536715B2 (en) Distributed firewall system and method
US6931529B2 (en) Establishing consistent, end-to-end protection for a user datagram
US7231664B2 (en) System and method for transmitting and receiving secure data in a virtual private group
WO1997000471A2 (en) A system for securing the flow of and selectively modifying packets in a computer network
US20140122876A1 (en) System and method for providing a secure book device using cryptographically secure communications across secure networks
US20130219172A1 (en) System and method for providing a secure book device using cryptographically secure communications across secure networks
EP0807347B1 (en) A system for securing the flow of and selectively modifying packets in a computer network
EP1290852A2 (en) Distributed firewall system and method
Kagan Virtual private networks-new strategies for secure enterprise networking
Sheela IPSEC-Based Virtual Private Network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee