KR101329968B1 - IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 - Google Patents

IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 Download PDF

Info

Publication number
KR101329968B1
KR101329968B1 KR1020110145785A KR20110145785A KR101329968B1 KR 101329968 B1 KR101329968 B1 KR 101329968B1 KR 1020110145785 A KR1020110145785 A KR 1020110145785A KR 20110145785 A KR20110145785 A KR 20110145785A KR 101329968 B1 KR101329968 B1 KR 101329968B1
Authority
KR
South Korea
Prior art keywords
vpn
vpn device
security policy
determining
ipsec
Prior art date
Application number
KR1020110145785A
Other languages
English (en)
Other versions
KR20130077202A (ko
Inventor
최홍민
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020110145785A priority Critical patent/KR101329968B1/ko
Publication of KR20130077202A publication Critical patent/KR20130077202A/ko
Application granted granted Critical
Publication of KR101329968B1 publication Critical patent/KR101329968B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

제 1 VPN 장치 및 상기 제 1 VPN 장치와 통신하는 적어도 하나의 제 2 VPN 장치를 포함하는 IPSec VPN에서, IPSec VPN 장치들 사이에서 보안 정책을 결정하기 위한 방법이 개시된다. 상기 방법은 상기 제 2 VPN 장치가 암호화 통신에 이용할 보안 정책을 상기 제 1 VPN 장치에 요청하는 단계; 상기 제 1 VPN 장치가 상기 제 2 VPN 장치의 요청에 응답하여, 상기 제 2 VPN 장치와의 통신에 적용할 보안 정책을 결정하는 단계; 및 상기 제 1 VPN 장치가 상기 결정된 보안 정책을 상기 제 2 VPN 장치에 전송하는 단계를 포함할 수 있다. 상기 요청하는 단계 내지 상기 전송하는 단계는 원격 접속(remote access) VPN의 인터넷 키 교환 프로토콜을 이용하여 수행된다.
본 발명은 센터 VPN 장치에서 보안 정책을 일괄적으로 관리하게 하고 지점 VPN 장치에서 보안정책을 임의로 편집하지 못하도록 방지함으로써 관리의 효율성과 보안성을 달성할 수 있다.

Description

IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템{METHOD AND SYSTEM FOR DETERMINING SECURITY POLICY AMONG IPSEC VPN DEVICES}
본 발명은 IPSec VPN 에 관한 것으로서, 더 구체적으로는, IPSec VPN의 터널링을 위한 보안 정책을 결정하기 위한 방법 및 장치에 관한 것이다.
도 1은 복수의 가상 사설망(virtual private network, VPN) 장치들이 통신 터널을 형성하고 있는 예시적인 VPN을 도시한다. 여기서 VPN은 원거리 네트워크 간에 공개된 인터넷과 같은 공중 교환 회선망(Public Switched Network)을 통해 전용망과 같이 안전하게 통신하게 하는 네트워크 서비스이다. 즉, VPN을 통해 물리적인 네트워크의 구성과는 무관하게 논리적인 회선을 설정함으로써, 별도의 전용망을 구축하지 않고도 공중 교환 회선에서의 안정성을 보장하기 위한 가상 사설 통신망을 구축할 수 있다. VPN 장치들은 터널링(Tunneling)을 통해, VPN 장치들 사이의 통신 터널을 형성하는데, 여기서 터널링은 외부로부터 어떠한 영향도 받지 않고 안전하게 정보를 전송할 수 있는 가상의 연결로서, 사전에 약속된 특별한 프로토콜로 세션을 구성, 타 사용자나 외부로부터 안전하게 보호받는 기술이다. 이러한 터널링을 구현하기 위해 두 개의 VPN 장치들은 VPN 서비스에 필요한 보안 정책을 협상하고, 이러한 협상 결과에 기초하여 암호화 통신을 수행한다. 특히, 네트워크 계층에서 암호화를 수행하는 VPN을 IPSec VPN이라 하는데, 여기서 IPSec는 보안에 취약한 IP 프로토콜에서 안정성 있는 서비스를 제공하기 위해 IETF 워킹그룹에서 표준(RFC2401-2412)으로 제정한 보안 프로토콜에 해당한다. IPSec은 네트워크 계층에서 암호화를 수행하기 때문에 원격지 VPN 구성뿐 아니라 원격 접속 VPN까지 완벽히 지원하며, 다른 VPN 프로토콜과는 달리 애플리케이션과 독립적으로 구현할 수 있다.
한편, 도 1에서 도시되는 바와 같이, 일반적인 IPSec VPN 구성에서 VPN 장치는 그 역할에 따라 센터 VPN 장치와 지점 VPN 장치로 구분될 수 있다. 여기서 센터 VPN 장치는 주로 본사(main office) 등에 위치하고, 지점 VPN 장치는 지점/지사(remote office), 고객사, 파트너사 등에 위치할 수 있다. 하나의 센터 VPN 장치 및 세 개의 지점 VPN 장치가 도시되었지만, 이는 예시적인 것으로서 보다 많은, 또는 보다 적은 VPN 장치가 이용될 수 있다.
센터 VPN 장치 및 지점 VPN 장치가 통신 터널을 형성하여 암호화 통신을 수행하기 위해, “인터넷 키 교환(internet key exchange)"이 선행되는데, 인터넷 키 교환 단계에서 IPSec VPN 장치들은 보안 정책을 협상하며, 이러한 협상 결과를 이용하여 암호화 통신을 수행한다. 여기서 보안 정책은 두 개의 네트워크 엔티티(entity) 사이에서 통신되는 데이터 패킷에 대해 어떠한 암호화 방법이 적용되어야 하는지를 특정하기 위한 보안 속성들의 집합을 의미한다. IPSec VPN 장치의 인터넷 키 교환은 하기와 같이 크게 두 개의 단계로 구분될 수 있다. 단계 1(phase 1)에서는 단계 2(phase 2)에서의 인터넷 키 교환을 보호하기 위한 암호화 알고리즘과 키를 생성하게 된다. 단계 1에서 생성된 암호화 알고리즘과 키를 이용하여 이후의 인터넷 키 교환을 수행하며, 단계 2에서는 IPSec 터널링에 사용할 암호화 알고리즘과 키를 생성하게 된다. 이후, 단계 2에서 생성된 암호화 알고리즘과 키를 이용하여 암호화 통신이 이루어진다.
일반적으로, 센터 VPN 장치에는 고정 IP가 할당되고, 지점 VPN 장치에는 동적 IP가 할당되기 때문에, 실무상 센터 VPN 장치가 먼저 지점 VPN 장치로 인터넷 키 교환을 요청하기는 쉽지 않다. 즉, 상기 단계 1 및 단계 2는 지점 VPN 장치에 의해 주도적으로 이루어진다. 따라서 보안 정책은 지점 VPN 장치에 의해 관리되고 인터넷 키 교환을 통해 센터 VPN 장치로 전송된다. 그러나, 이러한 구성에서는 보안 정책이 복수의 지점 VPN 장치 각각에 분산되어 관리되기 때문에 관리의 효율성이 떨어지고, 복수의 지점 VPN 장치에서 임의로 보안 정책을 편집할 수 있기 때문에 보안성이 떨어지는 단점이 있다. 따라서, 간이한 방식으로 보안 정책 관리의 편의성과 보안성을 향상시킬 수 있는 기술이 요구된다.
본 발명은 상기 문제점을 해결하기 위한 것으로서, IPSec VPN 장치들 간의 터널링을 위한 보안 정책 관리의 효율성과 보안성을 달성하는 것을 목적으로 한다.
일 실시예에서, 제 1 VPN 장치 및 상기 제 1 VPN 장치와 통신하는 적어도 하나의 제 2 VPN 장치를 포함하는 IPSec VPN에서, IPSec VPN 장치들 사이에서 보안 정책을 결정하기 위한 방법이 개시된다. 상기 방법은 상기 제 2 VPN 장치가 암호화 통신에 이용할 보안 정책을 상기 제 1 VPN 장치에 요청하는 단계; 상기 제 1 VPN 장치가 상기 제 2 VPN 장치의 요청에 응답하여, 상기 제 2 VPN 장치와의 통신에 적용할 보안 정책을 결정하는 단계; 및 상기 제 1 VPN 장치가 상기 결정된 보안 정책을 상기 제 2 VPN 장치에 전송하는 단계를 포함할 수 있다. 상기 요청하는 단계 내지 상기 전송하는 단계는 원격 접속(remote access) VPN의 인터넷 키 교환 프로토콜을 이용하여 수행될 수 있다.
일 실시예에서, IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 시스템이 개시된다. 상기 시스템은 제 1 VPN 장치; 및 상기 제 1 VPN 장치와 통신하는 적어도 하나의 제 2 VPN 장치를 포함할 수 있다. 상기 제 1 VPN 장치는, 상기 제 2 VPN 장치로부터 보안 정책의 요청을 수신하기 위한 수신부; 상기 수신부에 의해 수신된 제 2 VPN 장치의 요청에 응답하여 보안 정책을 결정하기 위한 결정부; 및 상기 결정부에 의해 결정된 보안 정책을 상기 제 2 VPN 장치에 전송하기 위한 송신부를 포함할 수 있다. 상기 제 2 VPN 장치는, 암호화 통신에 이용할 보안 정책을 제 1 VPN 장치에 요청하기 위한 송신부; 및 상기 제 1 VPN 장치로부터 결정된 보안 정책을 수신하기 위한 수신부를 포함할 수 있다. 상기 제 1 VPN 장치 및 상기 제 2 VPN 장치는 원격 접속 VPN의 인터넷 키 교환 프로토콜을 이용하여 동작할 수 있다.
본 발명은 센터 VPN 장치에서 보안 정책을 일괄적으로 관리하게 하고 지점 VPN 장치에서 보안정책을 임의로 편집하지 못하도록 방지함으로써 관리의 효율성과 보안성을 달성할 수 있으며, 원격 접속 VPN의 인터넷 키 교환 프로토콜을 이용함으로써, 종래의 VPN 장치들에 특별한 변형 또는 수정을 가하지 않고도 용이하게 본 발명에 따른 방법을 수행하게 할 수 있다.
도 1은 복수의 VPN 장치들이 통신 터널을 형성하고 있는 예시적인 VPN을 도시한다.
도 2는 본 발명의 실시예에 따라 IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 예시적인 방법을 도시한다.
도 3은 본 발명의 실시예에 따라 IPSec VPN 장치들 사이의 보안 정책을 분배하기 위한 예시적인 시스템을 도시한다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 도면에 기재된 내용을 참조하여야 한다.
본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 아래의 실시예들은 여러가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하며 본 발명이 속하는 기술분야의 통상의 지식을 가진 자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 설명함으로써, 본 발명을 상세히 설명하기로 한다.
도 2는 본 발명에 따라 IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법(200)을 도시한다. 상기 방법(200)은 제 1 VPN 장치 및 상기 제 1 VPN 장치와 통신하는 적어도 하나의 제 2 VPN 장치를 포함하는 IPSec VPN에서 이루어지는 것으로서, 여기서 제 1 VPN 장치는 도 1의 센터 VPN 장치에 대응하고, 제 2 VPN 장치는 도 1의 지점 VPN 장치에 대응하는 것이다. 따라서, 상기 제 1 VPN 장치에는 고정 IP 주소가 할당되고, 상기 제 2 VPN 장치에는 동적 IP 주소가 할당될 수 있다.
상기 방법(200)은 상기 제 2 VPN 장치가 암호화 통신에 이용할 보안 정책을 상기 제 1 VPN 장치에 요청하는 단계(210); 상기 제 1 VPN 장치가 상기 제 2 VPN 장치의 요청에 응답하여, 상기 제 2 VPN 장치와의 통신에 적용할 보안 정책을 결정하는 단계(220); 및 상기 제 1 VPN 장치가 상기 결정된 보안 정책을 상기 2 VPN 장치에 전송하는 단계(230)를 포함할 수 있다.
먼저, 단계(210)에서, 제 2 VPN 장치가 암호화 통신에 이용할 보안 정책을 제 1 VPN 장치에게 요청할 수 있다. 여기서 보안 정책은 두 개의 네트워크 엔티티(entity) 사이에서 통신되는 데이터 패킷에 대해 어떠한 암호화 방법이 적용되어야 하는지를 특정하기 위한 보안 속성들의 집합을 의미한다. 상기 보안 속성들은 IPSec 터널링에 이용되는 적어도 하나의 암호화 알고리즘, 해시 알고리즘 및 네트워크 플로우를 포함할 수 있다.
단계(202)에서, 제 1 VPN 장치는 제 2 VPN 장치의 요청에 응답하여, 제 2 VPN 장치와의 통신에 적용할 보안 정책을 결정할 수 있다. 구체적으로, 상기 보안 정책을 결정하는 단계는 상기 보안 정책을 요청한 제 2 VPN 장치를 식별하는 단계; 및 상기 제 1 VPN 장치 및 상기 식별된 제 2 VPN 장치 모두에 적용가능한 보안 정책을 결정하는 단계를 포함할 수 있다. 즉, 제 1 VPN 장치는 VPN에서 적용가능한 다수의 보안 정책에 관한 정보를 포함하며, 그 중에서, 제 1 VPN 장치 및 제 2 VPN 장치에 적용가능한 보안 정책에 관한 정보를 결정할 수 있다.
계속해서, 단계(230)에서, 제 1 VPN 장치는 결정된 보안 정책을 제 2 VPN 장치에게 전송할 수 있다. 종래의 방식에 따르면, 지점 VPN 장치에 대응하는 제 2 VPN 장치가 직접 암호화 통신에 이용되는 보안 정책을 결정한 후, 이를 센터 VPN 장치에 대응하는 제 1 VPN 장치에 전송함으로써, 보안 정책의 분배 및 관리 권한이 제 2 VPN 장치에게 속하였다. 이로 인해, 보안 정책이 복수의 제 2 VPN 장치 각각에 분산되어 관리되기 때문에 관리의 효율성이 떨어지고, 복수의 제 2 VPN 장치에서 임의로 보안 정책을 편집할 수 있기 때문에 보안성이 떨어지는 단점이 있었다. 그러나, 본 발명에서는 제 2 VPN 장치가 보안 정책을 요청하면, 이에 응답하여 제 1 VPN 장치가 보안 정책을 결정하고, 전송하기 때문에, 제 1 VPN 장치에서 일괄적으로 보안 정책을 관리하고 제 2 VPN 장치는 임의로 보안정책을 편집할 수 없다. 이를 통해, 보안 정책 관리의 효율성과 보안성을 달성할 수 있다.
일 실시예에서, 상기 제 1 VPN 장치 및 상기 제 2 VPN 장치는 원격 접속(remote access) VPN의 인터넷 키 교환 프로토콜을 이용하여 동작할 수 있다. 상기 기재된 바와 같이, 제 1 VPN 장치와 제 2 VPN 장치는 단계 1 및 단계 2로 이루어진 인터넷 키 교환을 수행하는데, 이는 랜-투-랜(LAN-to-LAN) 방식을 이용한 인트라넷(intranet) VPN에 이용되는 인터넷 키 교환 프로토콜이다. 이와 달리, 본사와 원격지의 허가받은 사용자 간의 클라이언트-투-랜(client-to-LAN) 방식을 이용한 원격 접속(remote access) VPN에 이용되는 인터넷 키 교환 프로토콜이 존재한다. 상기 원격 접속 VPN에 이용되는 인터넷 키 교환 프로토콜은 인트라넷 VPN과 동일하며, 다만 단계 1 및 단계 2 사이에 하나의 중간 단계가 부가된다. 이러한 중간 단계는 mode-cfg 단계로 지칭될 수 있다. 상기 mode-cfg 단계는 VPN 클라이언트 사용 시 외부 인증을 수행하거나 가상 IP 와 접근 네트워크를 분배하기 위해 사용되는 것으로서, 구체적으로 클라이언트가 임의의 속성 정보를 요청하면, 이에 응답하여 VPN 장치가 상기 임의의 속성 정보를 전송하는 것을 그 내용으로 한다. 본 발명은 상기 mode-cfg 단계에서의 요청 및 이에 대한 응답 프로세스를 이용하여 보안 정책을 요청하고, 이에 응답하여 보안 정책을 전송할 수 있다. 즉, 본 발명의 제 1 VPN 장치와 제 2 VPN 장치는 인트라넷 VPN을 형성하지만, 상기 원격 접속 VPN의 인터넷 키 교환 프로토콜을 이용함으로써, 종래의 VPN 장치들에 특별한 변형 또는 수정을 가하지 않고도 용이하게 본 발명에 따른 방법을 수행하게 할 수 있다.
계속해서 단계(240)에서, 상기 보안 정책에 기초하여, 상기 제 1 VPN 장치 및 상기 제 2 VPN 장치가 인터넷 키 교환을 통해 암호화 통신을 위해 구현할 암호화 알고리즘 및 암호화 키를 생성할 수 있다.
마지막으로 단계(250)에서, 상기 생성된 암호화 알고리즘 및 암호화 키에 기초하여, 상기 제 1 VPN 장치 및 상기 제 2 VPN 장치가 네트워크 패킷을 암호화 또는 복호화함으로써 암호화 통신을 수행할 수 있다.
도 3은 본 발명의 실시예에 따라 IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 예시적인 시스템(300)을 도시한다. 상기 시스템(200)은 제 1 VPN 장치 및 상기 제 1 VPN 장치와 통신하는 적어도 하나의 제 2 VPN 장치를 포함할 수 있다. 여기서 제 1 VPN 장치는 도 1의 센터 VPN 장치에 대응하고, 제 2 VPN 장치는 도 1의 지점 VPN 장치에 대응하는 것이다. 따라서, 상기 제 1 VPN 장치에는 고정 IP 주소가 할당되고, 상기 제 2 VPN 장치에는 동적 IP 주소가 할당될 수 있다.
상기 제 1 VPN 장치는 상기 제 2 VPN 장치로부터 보안 정책의 요청을 수신하기 위한 수신부; 상기 수신부에 의해 수신된 제 2 VPN 장치의 요청에 응답하여 보안 정책을 결정하기 위한 결정부; 및 상기 결정부에 의해 결정된 보안 정책을 상기 제 2 VPN 장치에 전송하기 위한 송신부를 포함할 수 있다. 또한, 상기 제 2 VPN 장치는 암호화 통신에 이용할 보안 정책을 제 1 VPN 장치에 요청하기 위한 송신부; 및 상기 제 1 VPN 장치로부터 결정된 보안 정책을 수신하기 위한 수신부를 포함할 수 있다.
일 실시예에서, 상기 제 1 VPN 장치 및 상기 제 2 VPN 장치는 원격 접속 VPN의 인터넷 키 교환 프로토콜을 이용하여 동작할 수 있다.
일 실시예에서, 상기 제 1 VPN 장치의 결정부는 상기 보안 정책을 요청한 제 2 VPN 장치를 식별하기 위한 식별부; 및 상기 제 1 VPN 장치 및 상기 식별된 제 2 VPN 장치 모두에 적용가능한 보안 정책을 선택하기 위한 선택부를 포함할 수 있다.
일 실시예에서, 상기 제 1 VPN 장치 및 상기 제 2 VPN 장치 각각은 상기 보안 정책에 기초하여 인터넷 키 교환을 통해 암호화 통신을 위해 구현할 암호화 알고리즘 및 암호화 키를 생성하기 위한 생성부를 더 포함할 수 있다.
일 실시예에서, 상기 제 1 VPN 장치 및 상기 제 2 VPN 장치 각각은 상기 생성된 암호화 알고리즘 및 암호화 키에 기초하여, 네트워크 패킷을 암호화 또는 복호화하기 위한 암호화부를 더 포함할 수 있다.
상기 시스템(300)는 본 발명의 실시예에 IPSec VPN 장치들 사이에서 보안 정책을 결정하기 위한 방법을 수행하기 위한 예시적인 실시예에 해당하며, 상기 실시예는 상기 방법을 수행하기 위한 모든 변형들 또는 수정들을 포함하는 것으로 의도된다.
본 발명의 센터 VPN 장치와 지점 VPN 장치는 인트라넷 VPN을 형성하지만, 상기 원격 접속 VPN의 인터넷 키 교환 프로토콜을 이용함으로써, 종래의 VPN 장치들에 특별한 변형 또는 수정을 가하지 않고도 용이하게 본 발명에 따른 방법을 수행하게 할 수 있다. 또한, 본 발명은 센터 VPN 장치에서 보안 정책을 일괄적으로 관리하게 하고 지점 VPN 장치에서 보안정책을 임의로 편집하지 못하도록 방지함으로써 관리의 효율성과 보안성을 달성하는 것을 목적으로 한다.
이상에서와 같이 도면과 명세서에서 최적 실시 예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims (12)

  1. 제 1 VPN 장치 및 상기 제 1 VPN 장치와 통신하는 적어도 하나의 제 2 VPN 장치를 포함하는 IPSec VPN에서, IPSec VPN 장치들 사이에서 IPSec 터널링에 이용되는 적어도 하나의 암호화 알고리즘, 해시 알고리즘 및 네트워크 플로우를 포함하는 보안 정책을 결정하기 위한 방법으로서,
    상기 제 2 VPN 장치가 암호화 통신에 이용할 보안 정책을 상기 제 1 VPN 장치에 요청하는 단계;
    상기 제 1 VPN 장치가 상기 제 2 VPN 장치의 요청에 응답하여, 상기 제 2 VPN 장치와의 통신에 적용할 보안 정책을 결정하는 단계;
    상기 제 1 VPN 장치가 상기 결정된 보안 정책을 상기 제 2 VPN 장치에 전송하는 단계; 및
    상기 결정된 보안 정책에 기초하여, 상기 제 1 VPN 장치 및 상기 제 2 VPN 장치가 인터넷 키 교환을 통해 암호화 통신을 위해 구현할 암호화 알고리즘 및 암호화 키를 생성하는 단계를 포함하고,
    상기 요청하는 단계 내지 상기 전송하는 단계는 원격 접속(remote access) VPN의 인터넷 키 교환 프로토콜을 이용하여 수행되는,
    IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 보안 정책을 결정하는 단계는,
    상기 보안 정책을 요청한 제 2 VPN 장치를 식별하는 단계; 및
    상기 제 1 VPN 장치 및 상기 식별된 제 2 VPN 장치 모두에 적용가능한 보안 정책을 결정하는 단계를 포함하는,
    IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법.
  4. 삭제
  5. 제 1 항에 있어서,
    상기 생성된 암호화 알고리즘 및 암호화 키에 기초하여, 상기 제 1 VPN 장치 및 상기 제 2 VPN 장치가 네트워크 패킷을 암호화 또는 복호화함으로써 암호화 통신을 수행하는 단계를 더 포함하는,
    IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법.
  6. 제 1 항에 있어서,
    상기 제 1 VPN 장치에는 고정 IP 주소가 할당되고, 상기 제 2 VPN 장치에는 동적 IP 주소가 할당되는,
    IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법.
  7. IPSec VPN 장치들 사이에서 IPSec 터널링에 이용되는 적어도 하나의 암호화 알고리즘, 암호화 키, 해시 알고리즘 및 네트워크 플로우를 포함하는 보안 정책을 결정하기 위한 시스템으로서,
    제 1 VPN 장치; 및
    상기 제 1 VPN 장치와 통신하는 적어도 하나의 제 2 VPN 장치를 포함하고,
    상기 제 1 VPN 장치는,
    상기 제 2 VPN 장치로부터 보안 정책의 요청을 수신하기 위한 수신부;
    상기 수신부에 의해 수신된 제 2 VPN 장치의 요청에 응답하여 보안 정책을 결정하기 위한 결정부;
    상기 결정부에 의해 결정된 보안 정책을 상기 제 2 VPN 장치에 전송하기 위한 송신부; 및
    상기 보안 정책에 기초하여 인터넷 키 교환을 통해 암호화 통신을 위해 구현할 암호화 알고리즘 및 암호화 키를 생성하기 위한 생성부를 포함하고,
    상기 제 2 VPN 장치는,
    암호화 통신에 이용할 보안 정책을 제 1 VPN 장치에 요청하기 위한 송신부;
    상기 제 1 VPN 장치로부터 결정된 보안 정책을 수신하기 위한 수신부; 및
    상기 보안 정책에 기초하여 인터넷 키 교환을 통해 암호화 통신을 위해 구현할 암호화 알고리즘 및 암호화 키를 생성하기 위한 생성부를 포함하고,
    상기 제 1 VPN 장치 및 상기 제 2 VPN 장치는 원격 접속 VPN의 인터넷 키 교환 프로토콜을 이용하여 동작하는,
    IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 시스템.
  8. 삭제
  9. 제 7 항에 있어서,
    상기 제 1 VPN 장치의 결정부는,
    상기 보안 정책을 요청한 제 2 VPN 장치를 식별하기 위한 식별부; 및
    상기 제 1 VPN 장치 및 상기 식별된 제 2 VPN 장치 모두에 적용가능한 보안 정책을 선택하기 위한 선택부를 포함하는,
    IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 시스템.
  10. 삭제
  11. 제 7 항에 있어서,
    상기 제 1 VPN 장치 및 상기 제 2 VPN 장치 각각은 상기 생성된 암호화 알고리즘 및 암호화 키에 기초하여, 네트워크 패킷을 암호화 또는 복호화하기 위한 암호화부를 더 포함하는,
    IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 시스템.
  12. 제 7 항에 있어서,
    상기 제 1 VPN 장치에는 고정 IP 주소가 할당되고, 상기 제 2 VPN 장치에는 동적 IP 주소가 할당되는,
    IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 시스템.
KR1020110145785A 2011-12-29 2011-12-29 IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 KR101329968B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110145785A KR101329968B1 (ko) 2011-12-29 2011-12-29 IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110145785A KR101329968B1 (ko) 2011-12-29 2011-12-29 IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20130077202A KR20130077202A (ko) 2013-07-09
KR101329968B1 true KR101329968B1 (ko) 2013-11-13

Family

ID=48990501

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110145785A KR101329968B1 (ko) 2011-12-29 2011-12-29 IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101329968B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102428444B1 (ko) 2021-02-05 2022-08-01 한전케이디엔주식회사 Ip정보를 활용한 vpn 보안관제 이상징후 탐지 시스템 및 방법

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102486480B1 (ko) 2022-08-17 2023-01-09 주식회사 에스케어 Vpn 접속을 처리하기 위한 방법, 장치, 시스템 및 컴퓨터 판독가능 저장매체
KR102605714B1 (ko) * 2022-09-16 2023-11-24 주식회사 안랩 통신 장치 및 그 원격접속 보안 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040028329A (ko) * 2002-09-30 2004-04-03 주식회사 케이티 차별화 서비스를 제공하는 가상 사설망 서비스 처리 방법
KR20050058625A (ko) * 2003-12-12 2005-06-17 한국전자통신연구원 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을이용한 가상사설망 서비스 장치 및 방법
KR20060108987A (ko) * 2005-04-14 2006-10-19 주식회사 케이티프리텔 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체
US20070186009A1 (en) 2006-02-09 2007-08-09 Guichard James N Methods and apparatus for providing multiple policies for a virtual private network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040028329A (ko) * 2002-09-30 2004-04-03 주식회사 케이티 차별화 서비스를 제공하는 가상 사설망 서비스 처리 방법
KR20050058625A (ko) * 2003-12-12 2005-06-17 한국전자통신연구원 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을이용한 가상사설망 서비스 장치 및 방법
KR20060108987A (ko) * 2005-04-14 2006-10-19 주식회사 케이티프리텔 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체
US20070186009A1 (en) 2006-02-09 2007-08-09 Guichard James N Methods and apparatus for providing multiple policies for a virtual private network

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102428444B1 (ko) 2021-02-05 2022-08-01 한전케이디엔주식회사 Ip정보를 활용한 vpn 보안관제 이상징후 탐지 시스템 및 방법

Also Published As

Publication number Publication date
KR20130077202A (ko) 2013-07-09

Similar Documents

Publication Publication Date Title
US9461975B2 (en) Method and system for traffic engineering in secured networks
US20220006627A1 (en) Quantum key distribution node apparatus and method for quantum key distribution thereof
US11165604B2 (en) Method and system used by terminal to connect to virtual private network, and related device
US8713305B2 (en) Packet transmission method, apparatus, and network system
US20170142100A1 (en) Secure distribution of session credentials from client-side to server-side traffic management devices
AU2005204576B2 (en) Enabling stateless server-based pre-shared secrets
US10938554B2 (en) Managing private key access in multiple nodes
US20080307110A1 (en) Conditional BGP advertising for dynamic group VPN (DGVPN) clients
US20170201382A1 (en) Secure Endpoint Devices
CN103188351B (zh) IPv6环境下IPSec VPN通信业务处理方法与系统
US10447591B2 (en) Executing multiple virtual private network (VPN) endpoints associated with an endpoint pool address
JP2006121510A (ja) 暗号化通信システム
US20170126623A1 (en) Protected Subnet Interconnect
CN105429962B (zh) 一种通用的面向加密数据的中间网络服务构建方法与体系
CN103227742B (zh) 一种IPSec隧道快速处理报文的方法
CN106209401B (zh) 一种传输方法及装置
CN107493294B (zh) 一种基于非对称加密算法的ocf设备的安全接入与管理控制方法
JP2007281919A (ja) アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
Shaheen et al. Source specific centralized secure multicast scheme based on IPSec
CN114143050B (zh) 一种视频数据加密系统
KR101329968B1 (ko) IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템
CN109361684B (zh) 一种vxlan隧道的动态加密方法和系统
KR101417927B1 (ko) IPSec VPN에서 로드 분산을 통해 암호화 통신을 수행하기 위한 방법 및 장치
WO2016082363A1 (zh) 用户数据管理方法及装置
CN112235318A (zh) 实现量子安全加密的城域网系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161102

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181106

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20191105

Year of fee payment: 7