KR101743559B1 - 가상 사설 네트워크 시스템, 그를 이용하는 pc방 네트워크, 및 그를 위한 매니저 장치 - Google Patents

가상 사설 네트워크 시스템, 그를 이용하는 pc방 네트워크, 및 그를 위한 매니저 장치 Download PDF

Info

Publication number
KR101743559B1
KR101743559B1 KR1020160119868A KR20160119868A KR101743559B1 KR 101743559 B1 KR101743559 B1 KR 101743559B1 KR 1020160119868 A KR1020160119868 A KR 1020160119868A KR 20160119868 A KR20160119868 A KR 20160119868A KR 101743559 B1 KR101743559 B1 KR 101743559B1
Authority
KR
South Korea
Prior art keywords
tunnel
game
client terminal
game server
dedicated
Prior art date
Application number
KR1020160119868A
Other languages
English (en)
Inventor
남성엽
Original Assignee
주식회사 아라드네트웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아라드네트웍스 filed Critical 주식회사 아라드네트웍스
Priority to KR1020160119868A priority Critical patent/KR101743559B1/ko
Application granted granted Critical
Publication of KR101743559B1 publication Critical patent/KR101743559B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 가상 사설 네트워크(Virtual Private Network; 이하 VPN) 에이전트가 마련된 클라이언트 단말과 연결되어 PC방 네트워크를 형성하는 엑세스 게이트웨이와 게임 서버와 연결되어 상기 엑세스 게이트웨이와 상기 게임 서버 간 데이터를 송수신을 처리하는 서비스 게이트웨이와 상기 VPN 에이전트로부터 수신된 게임 ID에 따라 상기 클라이언트 단말과 상기 게임 서버의 데이터 통신에 이용할 전용 서비스 터널을 할당하고, 상기 전용 서비스 터널의 터널엔드 정보를 상기 VPN 에이전트 및 상기 서비스 게이트웨이로 전송하는 매니저 장치로 구성된 가상 사설 네트워크 시스템을 제공하여, PC방 네트워크의 보안성을 향상시킨다.

Description

가상 사설 네트워크 시스템, 그를 이용하는 PC방 네트워크, 및 그를 위한 매니저 장치{VIRTUAL PRIVATE NETWORK, INTERNET CAFE NETWORK USING THE SAME, AND MANAGER APPARATUS FOR THE SAME}
본 발명은 가상 사설 네트워크(Virtual Private Network; 이하 'VPN'이라 함)에 관한 것으로, 더 구체적으로는 게임 ID에 따라 VPN을 설정하는 가상 사설 네트워크 시스템, 그를 이용하는 PC방 네트워크, 및 그를 위한 매니저 장치에 관한 것이다.
PC 방은 인터넷에서 정보를 검색하거나 혼자 또는 여럿이 게임을 즐길 수 있도록 통신회선에 여러 대의 PC를 연결시켜 놓은 장소로, PC 방에는 고속통신 회선이 설치되어 있어 사용자가 온라인 게임 또는 컴퓨터 관련 일반업무를 실행하기 위한 환경이 구비되어 있다.
일반적으로, PC방은 불특정 다수의 사용자 각각이 원하는 온라인 게임 또는 온라인 서비스를 제공하여야 하므로, 다양한 게임 서버 또는 클라이언트 서버와의 통신 연결이 가능하여야 한다. 이와 같은 PC방의 서비스 특성에 의하여 PC방 네트워크는 개방된 네트워크를 이용하여 다양한 서버와 통신을 수행하게 된다.
도 1은 일반적인 PC방 클라이언트 단말의 통신 네트워크의 일 예로, 일반적인 PC방 네트워크(110)는 복수의 클라이언트 단말(111)과 통신망과 복수의 클라이언트 단말의 통신할 수 있도록 하는 데이터 통신을 중계하는 중계기(115)로 구성된다.
즉, PC방에 마련된 복수의 클라이언트 단말(111)은 중계기(115)를 통해 공용통신 네트워크에 연결되고, 공용통신 네트워크를 통해 게임 서버(120)와 데이터를 통신하여 사용자에게 게임 서비스를 제공하거나, 온라인 서비스를 제공하는 클라우드 서버(130)와 통신하여 온라인 서비스를 제공한다.
이와 같이 공용통신 네트워크를 통해 송수신되는 데이터는 별도의 암호화를 거치지 않으므로, 클라이언트 단말(111) 외부로부터 해킹에 노출되는 문제점이 있으며, 다양한 사용자가 클라이언트 단말(111)을 이용하는 PC방의 특성에 따라 내부로부터 해킹에 노출되는 문제점이 있다.
이에, PC방 네트워크 사용자의 해킹 위험을 최소화하기 위해 PC방 네트워크(110)에 종래의 보안 기술이 적용될 수 있으나, 네트워크 보안을 위한 장치의 가격이 비싸고, 다양한 사용자가 다양한 서비스를 이용한 PC방 네트워크의 특성 및 빠른 인터넷 통신 속도의 제공이 필요한 게임 서비스의 특성으로 인하여 종래의 보안 기술의 적용이 용이하지 않은 문제점이 있다.
이에 본 발명의 실시예들의 목적은, 사용자의 게임 ID에 따라 전용 서비스 터널을 할당하는 VPN시스템을 제공하는 것이다.
본 발명의 다른 목적은 사용자 및 게임 서버에 따라 전용 서비스 터널을 제공하기 위한 엑세스 게이트웨이가 적용된 PC방 네트워크와 게임 ID에 따라 전용 서비스 터널을 할당하는 매니저 장치를 제공하는 것이다.
이러한 목적을 달성하기 위하여 본 발명의 실시예에 의하면, 가상 사설 네트워크(Virtual Private Network; 이하 VPN) 에이전트가 마련된 클라이언트 단말과 연결되어 PC방 네트워크를 형성하는 엑세스 게이트웨이;와 게임 서버와 연결되어 엑세스 게이트웨이와 게임 서버 간 데이터를 송수신을 처리하는 서비스 게이트웨이;와 VPN 에이전트로부터 수신된 게임 ID에 따라 클라이언트 단말과 게임 서버의 데이터 통신에 이용할 전용 서비스 터널을 할당하고, 전용 서비스 터널의 터널엔드 정보를 VPN 에이전트 및 서비스 게이트웨이로 전송하는 매니저 장치;를 제공한다.
또한, 복수의 클라이언트 단말;과 복수의 클라이언트 단말과 게임 서버와의 데이터 통신을 중계하는 엑세스 게이트웨이를 포함하되, 엑세스 게이트웨이는 미리 설정된 관리 전용 터널을 이용하여 사용자의 게임 ID를 매니저 장치에 전송하여 게임 서버와 통신을 위한 전용 서비스 터널 할당을 요청하고, 매니저 장치로부터 할당된 전용 서비스 터널에 대한 터널엔드 정보에 따라 게임 서버와 클라이언트 단말의 통신을 중계하는 PC방 네트워크를 제공한다.
또한, 게임 ID에 대응되는HoA 정보가 저장된 터널엔드 테이블;과 PC방 네트워크에 포함된 클라이언트 단말로부터 사용자의 게임 ID가 전송되면, 터널엔드 테이블을 이용하여 게임 ID에 대응되는 HoA를 탐색하여 전용 서비스 터널을 할당하고, 전용 서비스 터널에 대응되는 터널엔드 정보를 클라이언트 단말로 전송하는 터널 할당부;를 포함하는 매니저 장치를 제공한다.
상술한 것과 같이 게임 ID에 따라 전용 서비스 터널을 할당함으로써, 다수의 사용자가 이용하는 PC방 네트워크의 보안성을 향상시킬 수 있다.
또한, 게임 ID에 따라 할당된 전용 서비스 터널을 통해 게임 서버와 클라이언트 단말이 통신함으로써, 데이터 전송 속도의 손실 없이 내부 또는 외부에서 시도되는 해킹으로부터 PC방 네트워크 사용자를 보호할 수 있다..
또한, 전용 서비스 터널의 사용 종료 시에 터널엔드를 재할당함으로써, PC방 네트워크의 보안성을 더욱 향상할 수 있다.
도 1은 일방적인 PC방의 통신 네트워크 구조를 도시한다.
도 2는 본 발명의 일 실시예에 의한 가상 사설 네트워크 시스템의 전체 구성을 도시한다.
도 3은 VPN 통신에서 클라이언트 단말과 게임 서버 사이에 송수신되는 패킷의 데이터구조의 일 예를 도시한다.
도 4는 일 실시예에 의한 가상 사설 네트워크 시스템의 매니저 장치의 구성을 도시한다.
도 5는 일 실시예에 의한 가상 사설 네트워크 시스템에 의하여 제공되는 터널을 도시한다.
도 6은 일 실시예에 의한 가상 사설 네트워크 시스템의 전용 서비스 터널 생성 과정을 도시한다.
도 7은 일 실시예에 의한 가상 사설 네트워크 시스템의 전용 서비스 터널 반환 과정을 도시한다.
도 8은 본 발명의 다른 실시예에 의한 가상 사설 네트워크 시스템의 전체 구성을 도시한다.
도 9는 다른 실시예에 의한 가상 사설 네트워크 시스템의 전용 서비스 터널 반환 과정을 도시한다.
이하, 본 발명의 일부 실시예들을 예시적인 도면을 참조하여 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가질 수 있다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 수 있다.
또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질, 차례, 순서 또는 개수 등이 한정되지 않는다. 어떤 구성 요소가 다른 구성요소에 "연결", "결합" 또는 "접속"된다고 기재된 경우, 그 구성 요소는 그 다른 구성요소에 직접적으로 연결되거나 또는 접속될 수 있지만, 각 구성 요소 사이에 다른 구성 요소가 "개재"되거나, 각 구성 요소가 다른 구성 요소를 통해 "연결", "결합" 또는 "접속"될 수도 있다고 이해되어야 할 것이다.
도 2는 본 발명의 일 실시예에 의한 가상 사설 네트워크 시스템의 전체 구성을 도시한다.
도 3은 VPN 통신에서 클라이언트 단말과 게임 서버 사이에 송수신되는 패킷의 데이터구조의 일 예를 도시한다.
도 4는 일 실시예에 의한 가상 사설 네트워크 시스템의 매니저 장치의 구성을 도시한다.
도 2에 도시된 바와 같이, 본 발명에 의한 가상 사설 네트워크 시스템(20)은 복수의 클라이언트 단말(211) 및 그들과 연동하는 엑세스 게이트웨이(215)로 구성된 PC방 네트워크(210)와 복수의 게임 서버(230)와 연동하는 서비스 게이트웨이(220)와, 클라이언트 단말(211)과 게임 서버(230)의 VPN을 설정하는 매니저 장치(240)를 포함할 수 있다.
본 발명에서의, VPN(Virtual Private Network)은 가상 사설 네트워크의 약자로서, 공용통신 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화 기법을 제공하는 통신 서비스를 의미한다.
즉, VPN은 범용 통신망을 이용하여 종단 장비(End Equipment)를 연결하고, 양 장치가 미리 정해진 통신체계(프로토콜) 및 암호와 기법을 이용하여 전용통신과 동일한 효과를 나타내도록 하는 통신 기법이다.
본 발명의 VPN 통신은 리눅스 기반의 MPLS L3 VPN 기술 또는 라우터나 이더넷 스위치에서 IPVPN 서비스를 제공하기 위해 사용하는 통신 프로토콜 소프트웨어를 이용하여 구축될 수 있으나, 이에 한정되는 것은 아니다.
VPN은 통신 연결되는 2개의 종단 장비, 예컨대, 클라이언트 단말(211)과 게임 서버(230) 사이에 별도의 게이트웨이(215, 220)를 배치하고, 게이트웨이(215, 220) 사이 또는, 종단 장비(211, 230)와 게이트웨이(215, 220) 사이에 특수 통신체계와 암호화 기법을 제공하는 체계인 터널링(Tunneling)을 정의함으로써 구현될 수 있다.
이때, 터널링은 하위층 통신 규약의 패킷을 상위층 통신 규약으로 캡슐화하는 것으로, 터널링에 의하여 생성된 가상의 데이터 터널을 통해 엑세스 게이트웨이(215)와 서비스 게이트웨이(220)에 연결된 두 점 간에 통신이 되도록 하는 것을 의미한다.
즉, 통신망상에서는 통상의 패킷과 캡슐화된 패킷을 구별할 수 없으나 캡슐화를 해제할 수 있는 양단의 기기가 본래의 패킷을 선별할 수 있는 특징이 있으므로, 일 실시예에 따른 가상 사설 네트워크 시스템(20)의 클라이언트 단말(211)은 복잡한 암호화 과정 없이 암호화된 것과 같은 효과를 가진 패킷을 이용하여 통신하게 된다.
터널링에 의하여 생성되는 터널은 그 종단을 나타내는 터널엔드(Tunnel End)로 정의할 수 있다. 이때, 터널엔드는 종단 장치에 대응되는 HoA(Home Address)와 게이트웨이(215, 220)의 통신 노드에 대응되는 CoA(Care of Address)로 구성될 수 있다.
VPN 통신을 위해, 양단의 종단 장치(211ㅜ 230) 상호간 통신에 이용되는 VPN 패킷은 터널엔드 정보를 포함하도록 구성될 수 있다.
구체적으로, VPN 통신에 이용되는 VPN 패킷은 도 3a에 도시된 것과 같이 전송할 데이터인 페이로드(Payload)에 5-튜플(Tuples)로 이루어지는 이너 헤더(Inner Header)와 아우터 헤더(Outer Header)를 부가하여 생성될 수 있다.
이너 헤더는 도 3b에 도시한 바와 같이, 프로토콜(Protocol)과, 자신의 소스 주소(Source Address) 및 소스 포트번호(Source Port No.)와, 해당 서버인 목적지 주소(Dest. Addr.) 및 목적지 포트번호(Dest. Port No.)를 포함하며, 이러한 이너 헤더는 HoA를 표현할 수 있다.
또한, 아우터 헤더는 프로토콜(Protocol)과, 자신의 소스 주소(Source Address) 및 소스 포트번호(Source Port No.)와, 목적지인 가상 라우터의 주소 및 포트번호인 목적지 주소(Dest. Addr.) 및 목적지 포트번호(Dest. Port No.)를 포함하며, 이러한 아우터 헤더는 CoA를 표현할 수 있다.
한편, PC방 네트워크(210)를 구성하는 클라이언트 단말(211)은 여러 명의 사용자가 이용한다. 이와 같은 PC방 네트워크(210)의 특성에 따라 VPN 시스템에 의하여 형성되는 터널을 클라이언트 단말(211)에 따라 할당하면 여전히 내부 또는 외부의 해킹에 취약할 수밖에 없다.
이에, 본 발명의 의한 가상 사설 네트워크 시스템(20)은 클라이언트 단말(211)의 사용자에 따라 터널을 할당하여 PC방 네트워크(210)의 보안성을 향상시킨다.
사용자에 따른 터널 할당 방법의 구체적인 설명에 앞서, 도면을 참조하여 VPN을 이용한 통신을 위한 각 장치의 구성 및 동작에 대하여 더 상세히 설명한다.
도 2에 도시된 본 발명의 실시예에 의한 가상 사설 네트워크 시스템(20)은 PC방에 마련되어 클라이언트 단말(211)과 직접 연결된 엑세스 게이트웨이(215)와 복수의 게임 서버(230) 및 매니저 장치(240)와 연결된 서비스 게이트웨이(220)를 포함할 수 있다.
클라이언트 단말(211)은 일반적인 데스크탑 컴퓨터 또는 노트북 등 여하한 통신 수단일 수 있으며, 클라이언트 단말(211)는 PC방 내부에 구성된 유무선 통신망을 통해 엑세스 게이트웨이(215)와 통신할 수 있다.
클라이언트 단말(211)에는 VPN 통신 기능을 수행하기 위한 소프트웨어인 VPN 에이전트(VPN AG)가 설치될 수 있다.
VPN 에이전트(VPN AG)는 매니저 장치(240)에 게임 서버(230)와 데이터 통신을 위한 전용 서비스 터널의 할당을 요청하여, 매니저 장치(240)로부터 전용 서비스 터널에 대응되는 터널엔드 정보를 수신하여 저장하고, 저장된 터널엔드 정보를 이용하여 게임 서버(230)와 통신에 사용할 VPN 패킷을 생성할 수 있다.
본 발명의 게이트웨이(215, 220)는 적어도 하나의 통신 노드를 포함하여, 클라이언트 단말(211)과 게임 서버(230) 사이에 터널링을 설정하는 기능을 수행한다.
이때, 게이트웨이(215, 220)는 적어도 하나의 통신 노드를 포함할 수 있다. 통신 노드는 자산의 CoA에 대응되는 패킷을 선별하고, 이를 HoA에 대응되는 장치로 전송하는 기능을 수행한다.
통신 노드는 물리적으로 마련된 라우터 또는 논리적으로 정의된 가상 라우터일 수 있으며, 홈 게이트웨이, 공유기 등과 같은 다른 용어로 표현될 수도 있다. 다만, 이하 설명의 편의를 위하여 게이트웨이(215, 220)에 포함된 통신 노드는 논리적으로 정의된 가상 라우터인 것으로 설명한다.
구체적으로, 서비스 게이트웨이(220)에는 게임 서버(230) 각각에 대응되도록 복수의 가상 라우터가 정의될 수 있으며, 가상 라우터에 의하여 클라이언트 단말(211)과 각 게임 서버(230)간 VPN 패킷의 전송이 이루어질 수 있다.
또한, 엑세스 게이트웨이(215)에도 각 클라이언트 단말(211)에 대응되도록 복수의 가상 라우터가 정의되어, 게임 서버(230)와 각 클라이언트 단말(211)간 전송되는 VPN의 처리가 이루어질 수 있다.
각 클라이언트 단말(211)과 게임 서버(230)는 게이트웨이(215, 220)의 중계에 의하여 미리 설정된 전용 서비스 터널을 통해 통신하게 된다.
여기서, 전용 서비스 터널은 클라이언트 단말(211)과 게임 서버(230) 사이에 할당되는 가상의 전용통신망으로, 도 2에 도시된 것과 같이 각 클라이언트 단말(211)과 각 게임 서버(230)는 서로 다른 전용 서비스 터널을 통해 통신한다. 예컨대, 제2 클라이언트 단말(211-2)과 게임 서버(230)에는 제1 전용 서비스 터널(250)이 할당되고, 제3 클라이언트 단말 (211-3)과 게임 서버(230)에는 제N 전용 서비스 터널(260)이 할당된다.
이때, 각 클라이언트 단말(211)과 게임 서버(230)에 할당되는 전용 서비스 터널은 클라이언트 단말(211)을 이용하는 사용자에 따라 다르게 할당될 수 있다. 즉, 동일한 클라이언트 단말(211)과 게임 서버(230) 간의 통신이라도 그 사용자가 변경되면 통신에 이용되는 전용 서비스 터널이 달라진다.
전용 서비스 터널은 매니저 장치(240)에 의하여 할당되며, 상술한 것과 같이 전용 서비스 터널은 터널엔드 정보에 따라 정의될 수 있다.
매니저 장치(240)에 의하여 전용 서비스 터널이 할당되면, 클라이언트 단말(211)과 게임 서버(230)는 전용 서비스 터널에 대응되는 터널엔드 정보를 이용하여 VPN 패킷을 생성하여 데이터를 송수신할 수 있다.
구체적으로, VPN 에이전트는 매니저 장치(240)로부터 수신한 터널엔드 정보를 이용하여 전송할 데이터인 페이로드(Payload)에 터널엔드 정보에 대응되는 HoA(Home Address)를 이너 헤드로 부가하여 기본 패킷을 생성한다.
그리고, VPN 에이전트는 기본 패킷에 터널엔드 정보에 대응되는 CoA(Care of Address)를 아우터 헤더로 더 부가하여 VPN 패킷을 생성할 수 있다.
이때, CoA는 엑세스 게이트웨이(215)와 서비스 게이트웨이(220)에 포함된 통신 노드인 가상 라우터에 대한 것일 수 있으나, 이에 한정되는 것은 아니다.
이와 같이 생성된 VPN 패킷은 엑세스 게이트웨이(215)와 서비스 게이트웨이(220) 사이에 형성된 가상의 전용 서비스 터널을 통해 서비스 게이트웨이(220)로 전달된다.
더 구체적으로, VPN 패킷은 엑세스 게이트웨이(215)를 통해 CoA에 대응되는 서비스 게이트웨이(220)의 가상 라우터로 전달될 수 있다.
그러면, 해당되는 가상 라우터는 VPN 패킷으로부터 CoA를 제거한 한 후 페이로드와 HoA만으로 이루어지는 기본 패킷을 해당 게임 서버(230)로 전달함으로써, 패킷 전송을 완료할 수 있다.
이와 같이 패킷을 전송 받은 게임 서버(230)는 기본 패킷의 HoA에 기초하여 VPN 패킷을 송신한 클라이언트 단말(211)의 사용자를 특정하여 기본 패킷에 포함된 페이로드를 처리한다.
이와 유사하게 게임 서버(230)는 전송할 데이터인 페이로드(Payload)에 터널엔드 정보에 대응되는 HoA(Home Address)를 이너 헤드로 부가하여 기본 패킷을 생성하고, 기본 패킷에 터널엔드 정보에 대응되는 CoA(Care of Address)를 아우터 헤더로 더 부가하여 VPN 패킷을 생성할 수 있다.
이와 같이 생성된 VPN 패킷은 서비스 게이트웨이(220)를 통해 CoA에 대응되는 엑세스 게이트웨이(215)의 가상 라우터로 전달될 수 있다.
그러면, 해당되는 가상 라우터는 확장 패킷으로부터 Coa를 제거한 한 후 페이로드와 HoA만으로 이루어지는 기본 패킷을 해당 클라이언트 단말(211)의 VPN 에이전트(VPN AG)로 전달함으로써, 패킷 전송을 완료할 수 있다.
한편, VPN 에이전트(VPN AG)는 PC방 네트워크(210)에 포함된 복수의 클라이언트 단말(211)에 선택적으로 설치될 수 있다. 즉, VPN 에이전트(VPN AG)가 설치된 클라이언트 단말(211)은 상술한 것과 같이 VPN을 이용하여 통신하고, VPN 에이전트(VPN AG)가 설치되지 않은 클라이언트 단말(211)은 공용통신 네트워크를 통해 통신을 수행하게 된다.
즉, VPN 에이전트가 클라이언트 단말(211)에 선택적으로 설치됨으로써, PC방 네트워크(210)는 VPN 에이전트가 설치된 보안 영역(211-1 내지 211-3)과 VPN 에이전트가 설치되지 않은 비보안 영역(211-M)으로 구획될 수 있으며, 이와 같이 PC방 네트워크(210)를 보안 구역과 비보안 영역으로 구획하여 관리함으로써, PC방 네트워크(210)의 관리 효율을 향상시킬 수 있다.
또한, 경우에 따라 VPN 에이전트(VPN AG)는 각 클라이언트 단말(211)이 아닌 엑세스 게이트웨이(215)에 마련될 수도 있다.
한편, 매니저 장치(240)는 VPN에이전트의 요청에 따라 클라이언트 단말(211)과 게임 서버(230)의 통신에 이용될 전용 서비스 터널을 할당하고, 할당된 전용 서비스 터널에 대응되는 터널엔드 정보를 PC방 네트워크(210)에 전송할 수 있다.
이를 위해 매니저 장치(240)는 도 4에 도시된 것과 같이 사용자의 인증을 처리하는 인증 처리부(410)와 전용 서비스 터널을 할당하고 이에 대응되는 터널엔드 정보를 전송하는 터널 할당부(430)를 포함하여 클라이언트 단말(211)과 게임 서버(230)가 데이터에 통신에 이용할 전용 서비스 터널을 할당할 수 있다.
인증 처리부(410)는 VPN에이전트에서 전송된 인증 정보를 이용하여 클라이언트 단말(211)을 사용하는 사용자를 인증할 수 있다.
이때, 인증 정보는 클라이언트 단말(211)을 사용하는 사용자를 특정하기의 위한 정보를 의미하는 것으로, 인증 정보는 사용자의 게임 ID 또는 클라이언트 단말(211)에서 실행되고 있는 프로그램 정보 등을 포함할 수 있다.
사용자의 인증에는 미리 마련된 ID 정보 데이터베이스(420)가 이용될 수 있다.
여기서, ID 정보 데이터베이스(420)는 각 게임 서버(230)에 등록된 ID 정보를 저장한 데이터베이스로, 각 게임 서버(230)와 연동하여 각 게임 서버(230)에 미리 등록된 ID를 수집하여 생성될 수 있으며, 미리 설정된 주기 또는 클라이언트 단말(211)의 요청에 따라 ID 정보 데이터베이스(420)는 업데이트 될 수 있다.
구체적으로, 인증 처리부(410)는 인증 정보에 포함된 클라이언트 단말(211)에서 실행되고 있는 프로그램 정보에 기초하여 사용자가 통신을 요청하는 게임 서버(230)를 특정할 수 있다. 예컨대, 클라이언트 단말(211)에서 A 게임이 실행되고 있는 경우, A 게임 서버를 사용자가 통신을 요청하는 게임 서버(230)로 특정할 수 있다.
게임 서버가 특정되면. 인증 처리부(410)는 ID 정보 데이터베이스(420)를 이용하여 클라이언트 단말(211)이 통신을 요청한 게임 서버(230)에 인증 정보로 전송된 게임 ID 가 등록되었는지 조회하여 사용자의 접근 권한을 판단할 수 있다. 예컨대, 인증 처리부(410)는 ID 정보 데이터베이스(420)에 저장된 A게임 서버에 ID 정보에 사용자의 게임 ID가 포함되어 있으면 사용자가 접근 권한이 있는 것으로 판단할 수 있다.
사용자의 접근 권한이 있는 경우, 인증 처리부(410)는 접근 권한이 있는게임 서버(230)에 대해 사용자를 인증한다. 이때, 인증 처리부(410)는 필요에 따라 게임 서버(230)와 연동하여 추가 인증 절차를 더 수행할 수 있다.
추가 인증은 종래의 다양한 개인 인증 방법이 이용될 수 있으며, 경우에 따라 각 게임 서버(230)가 제공하는 인증 방법에 따라 인증이 수행될 수 있다. 다만, 사용자 인증은 경우에 따라 전용 서비스 터널이 생성된 이후에 전용 서비스 터널을 통해 이루어질 수도 있다.
한편, 사용자가 접속할 게임 서버(230)를 선택하지 않았거나, 클라이언트 단말(211)에서 실행되는 프로그램이 없는 경우, 인증 처리부(410)는 ID 정보 데이터베이스(420)를 이용하여 인증 정보로 전송된 게임 ID에 대응되는 ID가 등록된 게임 서버(230)를 탐색하여 접근 권한이 있는 게임 서버(230)를 탐색하고, 탐색된 게임 서버(230)에 대해 사용자를 인증할 수 있다.
이때, 사용자가 접근 권한을 가진 게임 서버(230)가 복수개인 경우, 인증 처리부(410)는 게임 ID 가 등록된 게임 서버(230)의 리스트를 클라이언트 단말(211)을 통해 제공하고, 클라이언트 단말(211)을 통해 선택된 게임 서버(230)에 대해서만 사용자를 인증할 수 있다.
사용자가 접근을 요청한 게임 서버(230)에 접근 권한이 없거나 사용자가 접근 권한을 가진 게임 서버(230)가 탐색되지 않은 경우, 인증 처리부(410)는 클라이언트 단말(211)에 오류 메시지를 전송할 수 있다. 이때, 인증 처리부(410)는 클라이언트 단말(211) 및 게임 서버(230)와 연동하여 사용자의 게임ID를 등록하는 절차를 수행할 수도 있다.
한편, 사용자의 인증이 완료되면, 터널 할당부(430)는 게임 서버(230)와 전용 서비스 터널 생성을 요청한 클라이언트 단말(211)의 데이터 통신에 이용할 전용 서비스 터널을 할당할 수 있다.
상술한 것과 같이 전용 서비스 터널은 HoA 또는 CoA와 같은 터널엔드 정보에 따라 정의되므로, 터널 할당부(430)는 전용 서비스 터널을 할당하기 위해 터널엔드 정보를 결정한다.
터널 할당부(430)는 클라이언트 단말(211)과 게임 서버(230)에 대응되는 HoA를 할당한다. 이때. 클라이언트 단말(211)에 대응되는 HoA는 사용자 인증에 사용된 게임 ID에 따라 결정될 수 있다.
구체적으로, 터널 할당부(430)는 미리 저장된 터널엔드 테이블(440)을 이용하여 클라이언트 단말(211)의 HoA를 결정할 수 있다.
여기서, 터널엔드 테이블(440)은 각 게임 ID별로 미리 할당된 HoA 정보를 저장하는 것으로, 터널엔드 테이블(440)은 미리 설정된 알고리즘에 따라 등록된 게임 ID 에 대응되는 HoA를 결정하고, 게임 ID와 HoA를 매핑하여 생성된 것일 수 있다.
즉, 터널 할당부(430)는 미리 저장된 터널엔드 테이블(440)에서 사용자의 게임 ID에 대응되는 HoA를 탐색하고, 탐색된 HoA 정보를 이용하여 클라이언트 단말(211)에 대응되는 HoA를 할당할 수 있다.
다만, 게임 ID에 대응되는 HoA 결정 방법이 이에 한정되는 것은 아니다. 예컨대, 터널 할당부(430)는 미리 설정된 알고리즘에 따라 동적으로 게임 ID에 대응되는 HoA 정보를 생성하고, 생성된 HoA 정보에 따라 터널엔드를 결정할 수 있다. 이때, 생성되는 HoA 정보는 동일한 PC방 네트워크(210)에 마련된 클라이언트 단말(211)과 중복되지 않도록 생성될 수 있다.
이와 같이 클라이언트 단말(211)을 사용하는 사용자에 따라 전용 서비스 터널을 할당함으로써, PC방 네트워크(210)의 보안성을 향상시킬 수 있다.
또한, 터널 할당부(430)는 클라이언트 단말(211)에 대응되는 엑세스 게이트웨이(215)의 통신 노드와 게임 서버(230)에 대응되는 서비스 게이트웨이(220)의 통신 노드에 따라 CoA를 결정한다.
그리고, 터널 할당부(430)는 할당된 HoA 정보 및 결정된 CoA 정보에 따라 터널엔드 정보를 생성하고, 이를 클라이언트 단말(211)의 VPN에이전트, 게임 서버(230) 및 각 게이트웨이(215, 220)에 전송한다.
클라이언트 단말(211)과 게임 서버(230)는 상술한 것과 같은 방법으로 터널 할당부(430)에서 전송된 터널엔드 정보를 이용하여 VPN패킷을 생성하여 데이터를 송수신함으로써, 터널 할당부(430)에서 할당된 전용 서비스 터널을 이용할 수 있다.
한편, 터널 할당부(430)는 전용 서비스 터널의 관리에 필요한 데이터 통신을 위해 별도의 관리 전용 터널을 할당하고, 관리 전용 터널을 이용하여 전용 서비스 터널에 관리에 필요한 데이터를 송수신할 수 있다.
여기서, 관리 전용 터널은 전용 서비스 터널과 별도로 마련된 터널로, 전용 서비스 터널의 관리를 위해 필요한 정보, 구체적으로, 전용 서비스 터널의 할당을 위해 필요한 인증 정보, 전용 서비스 터널에 대응되는 터널엔드 정보, 및 전용 서비스 터널의 반환 정보 등의 송수신에 이용된다. 이때, 관리 전용 터널은 별도의 도메인이 할당되어 관리될 수 있다.
이와 같은 데이터 송수신용 전용 서비스 터널과 관리를 위한 정보가 송수신되는 관리 전용 터널을 별도로 운영함으로써, 일 실시예에 따른 가상 사설 네트워크 시스템(20)의 보안성을 향상시킬 수 있다.
한편, 관리 전용 터널을 통해 송수신되는 데이터는 전용 서비스 터널의 관리를 위한 것으로, 전용 서비스 터널을 통해 송수신되는 데이터에 비하여 그 전송 속도의 중요도는 낮지만 보안의 중요도가 높다.
그러므로, 매니저 장치(240)와 클라이언트 단말(211)은 소정의 보안 정책에 따라 관리 전용 터널을 이용하여 송수신되는 데이터를 암호화할 수 있다.
예컨대, 관리 전용 터널을 통해 송수신되는 데이터에는 IPSec 암호화 기능이 적용되거나, 관리 전용 터널에 대응되는 게이트웨이(215, 220)의 통신 노드의 비정상적 트래픽 유형을 감지하고 이에 대응하여 외부 해킹으로부터 매니저 장치(240) 또는 클라이언트 단말(211)을 보호하는 인증 리다이렉션(Authentication Redirection) 기능이 적용될 수 있다.
이와 같이 전용 서비스 터널과 관리 전용 터널의 보안 정책을 다르게 적용함으로써, 클라이언트 단말(211)과 게임 서버(230)간의 데이터 송수신 속도를 보장하면서 전체 통신 시스템의 보안성을 향상시킬 수 있다.
한편, 도 2에서는 게임 서버(230)를 중심으로 전용 서비스 터널을 통한 데이터 송수신 방법을 설명하였으나, 클라우드 서버도 게임 서버(230)와 동일한 방법으로 전용 서비스 터널이 할당되고, 할당된 전용 서비스 터널을 통해 데이터를 송수신할 수 있다.
이하, 도 5 및 도 6을 참조하여 매니저 장치(240)의 전용 서비스 터널 할당 동작에 대하여 더 구체적으로 설명한다.
도 5는 일 실시예에 의한 가상 사설 네트워크 시스템에 의하여 제공되는 터널을 도시한다.
도 6은 일 실시예에 의한 가상 사설 네트워크 시스템의 전용 서비스 터널 생성 과정을 도시한다.
도 5 및 도 6을 참조하면, 클라이언트 단말(211)의 VPN 에이전트(VPN AG)가 실행되면(601), VPN 에이전트는 엑세스 게이트웨이(215)에 사용자 인증을 요청한다(602). 이때, VPN 에이전트는 사용자 인증을 위한 인증 정보, 예컨대, 사용자의 게임 ID 또는 클라이언트 단말(115)에 실행되고 있는 프로그램 정보를 인증 요청과 함께 전송할 수 있다.
엑세스 게이트웨이(215)는 클라이언트 단말로부터 전송된 인증 정보를 매니저 장치(240)에 전송하여 전용 서비스 터널의 할당을 요청할 수 있다(603).
이때, 인증 정보의 전송 및 전용 서비스 터널의 할당 요청은 도 5에 도시된 것과 같이 엑세스 게이트웨이(215)와 서비스 게이트웨이(220) 사이에 마련된 관리 전용 터널(510)이 이용될 수 있으며, 관리 전용 터널(510)을 통해 전송되는 데이터는 소정의 보안 정책에 따라 암호화될 수 있다.
인증 정보를 수신한 매니저 장치(240)는 사용자의 접근 권한을 판단할 수 있다(604).
구체적으로, 매니저 장치(240)는 접근 권한을 판단할 게임 서버(230)를 결정할 수 있다. 접근 권한을 판단할 게임 서버(230)는 VPN에이전트로부터 전용 서비스 채널의 할당이 요청된 게임에 대한 것일 수 있으나, 이에 한정되는 것은 아니다.
예컨대, 매니저 장치(240)는 클라이언트 단말(115)에 실행되고 있는 프로그램 정보를 이용하여 클라이언트 단말(115)에서 실행되고 있는 게임을 분석하고, 그에 대응되는 게임 서버를 접근 권한을 판단할 게임 서버(230)로 결정할 수 있다.
접근 권한을 판단할 게임 서버(230)가 결정되면, 매니저 장치(240)는 미리 저장된 ID 정보 데이터베이스(420)를 이용하여 게임 서버(230)에 인증 정보로 전송된 게임 ID가 등록되어 있는지 분석하여 사용자의 접근 권한을 판단할 수 있다.
또한, 전용 서비스 터널을 생성할 게임 서버(230)가 특정되지 않으면, 매니저 장치(230)는 게임 ID 가 등록된 게임 서버(230)의 리스트를 클라이언트 단말(211)을 통해 제공하고, 클라이언트 단말(211)을 통해 선택된 게임 서버(230)에 대해서만 접근 권한 분석을 수행할 수 있다.
한편, 매니저 장치(240)는 인증 정보로 전송된 게임 ID가 등록된 게임 서버(230)가 탐색되지 않으면, 사용자의 접근 권한이 없는 것으로 판단하여 클라이언트 단말(211)에 오류 메시지를 전송한다(605). 이때, 오류 메시지는 상술한 관리 전용 터널(510)을 통해 전송될 수 있다.
반면, 사용자의 접근 권한이 있는 것으로 판단되면, 매니저 장치(240)는 전용 서비스 터널(520)을 할당한다(606). 전용 서비스 터널(520)의 할당은 상술한 터널엔드 테이블(440)이 이용될 수 있다.
구체적으로, 매니저 장치(240)는 클라이언트 단말(211)과 접속 권한이 있는 게임 서버(230)에 대응되는 HoA 정보를 탐색하고, 클라이언트 단말(211)과 권한이 부여된 게임 서버(230)에 사이에 마련된 게이트웨이(215, 220)의 통신 노드에 대응되는 CoA 정보를 탐색하여 전용 서비스 터널(520)을 할당할 수 있다.
이때, 클라이언트 단말(211)에 대응되는 HoA는 상술한 것과 미리 저장된 터널엔드 테이블(440)에서 사용자의 게임 ID에 대응되는 HoA를 탐색하여 결정되거나, 미리 설정된 알고리즘에 따라 동적으로 결정될 수 있다.
한편, 매니저 장치(240)는 할당된 전용 서비스 터널(520)에 대응되는 터널엔드 정보를 서비스 게이트웨이(220)에 전송한다(607).
터널엔드 정보를 수신한 서비스 게이트웨이(220)는 수신한 터널엔드 정보를 저장하고, 터널엔드 정보를 클라이언트 단말(211) 및 게임 서버(230)(미도시)로 전송한다(608).
이때, 터널엔드 정보는 상술한 관리 전용 터널(510)을 통해 클라이언트 단말(211)에 전송될 수 있다.
이와 같이 터널엔드 정보가 각 클라이언트 단말(211)과 게임 서버(230)로 전송되면 각 클라이언트 단말(211)과 게임 서버(230)는 상술한 것과 같이 터널엔드 정보를 이용하여 VPN 패킷을 생성하여 이를 송수신할 수 있으며, 각 게이트웨이(215, 220)는 VPN 패킷에 포함된 터널엔드 정보에 따라 VPN패킷을 인식하고, 이를 처리하여 해당되는 장치로 기본 패킷을 전달할 수 있다.
도 7은 일 실시예에 의한 가상 사설 네트워크 시스템(20)의 전용 서비스 터널 반환 과정을 도시한다.
매니저 장치(240)는 클라이언트 단말(211)과 게임 서버(230)의 통신이 종료되면 클라이언트 단말(211)과 게임 서버(230) 사이에 할당된 전용 서비스 터널을 회수하고, 게임 ID에 대한 HoA를 재설정 할 수 있다. 이하, 도 7을 참조하여 HoA 재설정 과정에 대하여 상세히 설명한다.
도 7을 참조하면, VPN 에이전트의 실행이 종료되면(701), 클라이언트 단말(211)은 매니저 장치(240)에 전용 서비스 터널 반환 요청을 전송한다(702).
이때, 전용 서비스 터널 반환 요청은 상술한 것과 같이 전용 서비스 터널과 별도로 마련된 관리 전용 터널(510)을 통해 매니저 장치(240)로 전송될 수 있다.
전용 서비스 터널 반환 요청을 수신한 매니저 장치(240)는 엑세스 게이트웨이(215) 및 서비스 게이트웨이(220)에 반환 요청에 대응되는 전용 서비스 터널의 터널엔드의 파기를 요청한다(704, 705). 이때, 매니저 장치(240)는 게임 서버(미도시)에도 터널엔드의 파기를 요청할 수 있다.
한편, 매니저 장치(240)는 전용 서비스 터널에 대응되는 게임 ID의 HoA를 다시 할당하고(706), 재할당된 HoA 정보에 따라 터널엔드 테이블(440)을 업데이트 한다(707).
이와 같이, 전용 서비스 터널이 사용이 종료되면 전용 서비스 터널에 대응되는 게임 ID에 HoA를 재할당함으로써, 클라이언트 단말(211) 내부 또는 외부에 시도되는 해킹에 의해 터널엔드 정보가 노출 위험을 최소화할 수 있다.
즉, 본 발명의 실시예에 의하면, 더욱 보안성이 향상된 PC방 네트워크(210) 환경을 제공할 수 있다.
한편, 일 실시예에 따른 가상 사설 네트워크 시스템(20)에서는 매니저 장치(240)가 사용자 인증을 처리하는 것으로 설명하였으나, 사용자 인증은 별도로 마련된 인증 처리 장치에 의하여 수행될 수 있다. 이하, 도 8 및 9를 참조하여 인증 처리 장치를 포함한 가상 사설 네트워크 시스템(20)에 대하여 더 구체적으로 설명한다.
도 8은 본 발명의 다른 실시예에 의한 가상 사설 네트워크 시스템의 전체 구성을 도시한다. 도 9는 다른 실시예에 의한 가상 사설 네트워크 시스템의 전용 서비스 터널 반환 과정을 도시한다. 이하, 중복을 위해 일 실시예에 따른 가상 사설 네트워크 시스템과 동일한 구성과 동작에 대해서는 그 설명을 생략한다.
도 8을 참조하면, 다른 실시예에 따른 가상 사설 네트워크 시스템(80)은 인증중계서버(850)를 더 포함할 수 있다.
인증중계서버(850)는 복수의 게임 서버(830)와 연동하여 매니저 장치(840)에 전용 서비스 터널 생성을 요청한 클라이언트 단말(811)의 사용자를 인증한다.
사용자 인증을 위해, 인증중계서버(850)는 각 게임 서버(830)에 접속하여, 각 게임 서버(830)에 등록된 ID를 획득하고, 획득된 ID 정보에 따라 상술한 것과 같이 ID 정보 데이터베이스(420)를 생성하고 이를 관리할 수 있다.
이때, ID 정보 데이터베이스(420)는 미리 설정된 업데이트 주기 또는 클라이언트 단말(811)의 등록 요청에 따라 업데이트 될 수 있다.
한편, 인증중계서버(850)는 ID 정보 데이터베이스를 운영하지 않고, 각 사용자 인증 요청이 발생하면, 게임 서버(830)와 연동하여 인증 정보에 포함된 게임 ID의 등록 여부를 조회하여 사용자의 접근 권한을 판단할 수 있다.
또한, 인증중계서버(850)는 필요에 따라 게임 ID가 등록된 게임 서버(830)와 연동하여 추가적인 사용자 인증을 수행할 수 있다.
이하, 도 9를 참조하여, 다른 실시예에 따른 가상 사설 네트워크 시스템(80)의 전용 서비스 터널 할당 방법에 대하여 구체적으로 설명한다.
도 9에 도시된 것과 같이, 관리 전용 터널을 통해 클라이언트 단말(811)로부터 인증 정보가 전송되면(901 내지 903), 매니저 장치(840)는 수신한 인증 정보를 인증중계서버(850)에 전송한다(904).
인증 정보를 수신한 인증중계서버(850)는 게임 서버(830)와 연동하여 사용자의 접근 권한을 판단하고(905), 필요에 따라 게임 서버(830)와 연동하여 추가적인 사용자 인증을 수행할 수 있다.
이때, 사용자가 통신을 요청한 게임 서버(830)가 특정된 경우 인증중계서버(850)는 ID 정보 데이터베이스를 이용하여 클라이언트 단말(811)이 통신을 요청한 게임 서버(830)에 인증 정보로 전송된 게임 ID에 대응되는 ID가 등록되었는지 판단하여 사용자의 접근 권한을 판단할 수 있다.
반면, 게임 서버(830)가 특정되지 않은 경우, 인증중계서버(850)는 ID 정보 데이터베이스(420)를 이용하여 인증 정보로 전송된 게임 ID에 대응되는 ID가 등록된 게임 서버(830)를 탐색하여 접근 권한이 있는 게임 서버(830)를 탐색할 수 있다.
이때, 사용자가 접근 권한을 가진 게임 서버(830)가 복수개인 경우, 인증중계서버(850)는 인증 정보로 전송된 게임 ID에 대응되는 ID가 등록된 게임 서버(830)의 리스트를 클라이언트 단말(811)을 통해 제공하고, 클라이언트 단말(811)을 통해 선택된 게임 서버(830)에 대해서만 접근 권한을 설정할 수 있다.
한편, 사용자가 접근 권한이 없는 경우 인증중계서버(850)는 매니저 장치(840)에 오류 메시지를 전송한다(906). 오류 메시지를 수신한 매니저 장치(840)는 클라이언트 단말(811)에 오류 발생을 통지할 수 있다.
반면, 접근 권한이 있는 것으로 판단되면, 인증중계서버(850)는 매니저 장치(840)에 접근 권한 정보를 전송한다(907). 이때, 접근 권한 정보는 게임 ID가 등록된 게임 서버(830)에 대한 정보가 포함될 수 있다.
접근 권한 정보를 수신한 매니저 장치(840)는 접근 권한이 인정된 게임 서버(830)와 클라이언트 단말(811)의 데이터 통신을 위한 전용 서비스 터널을 할당하고(908), 게이트웨이(815, 220) 및 클라이언트 단말(811)로 전용 서비스 터널에 대응되는 터널엔드 정보를 전송할 수 있다(909, 910).
이상과 같이 본 발명의 다른 실시예에 의하면, 사용자의 인증을 위한 정보와 터널엔드 정보가 서로 다른 장치의 의하여 관리되므로, 해킹으로 인한 정보 노출 위험을 최소화할 수 있다.
또한, 인증을 위한 인증중계서버(850)를 별도로 마련함으로써, 서로 다른 운영자에 의하여 관리되는 복수의 게임 서버(830)와 연동을 더 효율적으로 처리할 수 있다.
이상에서의 설명 및 첨부된 도면은 본 발명의 기술 사상을 예시적으로 나타낸 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 구성의 결합, 분리, 치환 및 변경 등의 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
20: 가상 사설 네트워크 시스템
210: PC방 네트워크
211: 클라이언트 단말
215: 엑세스 게이트웨이
220: 서비스 게이트웨이
230: 게임서버
240: 매니저 장치

Claims (13)

  1. 가상 사설 네트워크(Virtual Private Network; 이하 VPN) 에이전트가 마련된 클라이언트 단말과 연결되어 PC방 네트워크를 형성하는 엑세스 게이트웨이;
    게임 서버와 연결되어 상기 엑세스 게이트웨이와 상기 게임 서버 간 데이터를 송수신을 처리하는 서비스 게이트웨이; 및
    상기 VPN 에이전트로부터 수신된 게임 ID에 따라 상기 클라이언트 단말과 상기 게임 서버의 데이터 통신에 이용할 전용 서비스 터널을 할당하고, 상기 전용 서비스 터널의 터널엔드 정보를 상기 VPN 에이전트 및 상기 서비스 게이트웨이로 전송하며, 상기 클라이언트 단말의 사용자가 인증되면 게임 ID별로 미리 저장된 터널엔드 테이블에 따라 상기 클라이언트 단말의 홈 주소(Home of Address; 이하 HoA)를 결정하는 매니저 장치;
    를 포함하는 가상 사설 네트워크 시스템.
  2. 제1항에 있어서,
    상기 매니저 장치는,
    상기 전용 서비스 터널의 관리와 관련된 데이터의 통신을 처리하는 관리 전용 터널을 통해 상기 VPN 에이전트로 상기 터널엔드 정보를 전송하는 가상 사설 네트워크 시스템.
  3. 삭제
  4. 제1항에 있어서,
    상기 매니저 장치는,
    게임 서버에 등록된 ID 정보와 상기 클라이언트 단말의 사용자의 인증 정보에 포함된 게임 ID를 비교하여 상기 클라이언트 단말의 사용자 접근 권한이 있는 적어도 하나의 게임 서버를 탐색하고,
    상기 게임 ID가 복수의 게임 서버에 등록되어 있으면, 상기 클라이언트 단말에 인증 가능한 게임 서버의 리스트를 제공하여 상기 전용 서비스 터널을 통해 데이터를 송수신할 게임 서버를 특정하는 가상 사설 네트워크 시스템.
  5. 제1항에 있어서,
    복수의 게임 서버와 연동하여 게임 서버에 등록된 ID 정보를 저장하고, 상기 매니저 장치의 요청에 따라 상기 ID 정보를 이용하여 상기 클라이언트 단말의 사용자를 인증하고 인증 결과를 상기 매니저 장치에 전송하는 인증중계서버;를 더 포함하는 가상 사설 네트워크 시스템.
  6. 제1항에 있어서,
    상기 매니저 장치는,
    상기 전용 서비스 터널의 사용이 종료되면, 상기 게임 ID에 대응되는 HoA 주소를 재할당하여 상기 터널엔드 테이블을 업데이트하는 가상 사설 네트워크 시스템.
  7. 제2항에 있어서,
    상기 매니저 장치는,
    상기 관리 전용 터널에 적어도 하나의 암호화 기능을 적용하여 상기 관리 전용 터널로 전송하는 가상 사설 네트워크 시스템.
  8. 복수의 클라이언트 단말;
    상기 복수의 클라이언트 단말과 게임 서버와의 데이터 통신을 중계하는 엑세스 게이트웨이로서, 미리 설정된 관리 전용 터널을 이용하여 사용자의 게임 ID를 매니저 장치로 전송하여 상기 게임 서버와 통신을 위한 전용 서비스 터널 할당을 요청하고, 상기 매니저 장치로부터 할당된 전용 서비스 터널에 대한 터널엔드 정보를 이용하여 상기 게임 서버와 상기 클라이언트 단말의 통신을 중계하는 상기 엑세스 게이트웨이; 및,
    상기 전용 서비스 터널의 할당을 요청하고, 상기 터널엔드 정보를 이용하여 상기 게임 서버로 전송할 VPN 패킷을 생성하는 VPN 에이전트;
    를 포함하는 PC방 네트워크.
  9. 삭제
  10. 제8항에 있어서,
    상기 VPN에이전트는 상기 복수의 클라이언트 단말 중 적어도 하나의 클라이언트 단말에 마련되거나, 상기 엑세스 게이트웨이에 마련되는 PC방 네트워크.
  11. PC방 네트워크와 게임 서버의 통신을 위한 전용 서비스 터널을 할당하는 매니저 장치로서,
    게임 ID에 대응되는HoA 정보가 저장된 터널엔드 테이블; 및
    상기 PC방 네트워크에 포함된 클라이언트 단말로부터 사용자의 게임 ID가 전송되면, 상기 터널엔드 테이블을 이용하여 상기 게임 ID에 대응되는 HoA를 탐색하여 상기 전용 서비스 터널을 할당하고, 상기 전용 서비스 터널에 대응되는 터널엔드 정보를 상기 클라이언트 단말로 전송하는 터널 할당부;를 포함하는 매니저 장치.
  12. 제11항에 있어서,
    상기 터널 할당부는,
    상기 전용 서비스 터널의 관리를 위한 데이터가 송수신되는 관리 전용 터널을 할당하고, 상기 관리 전용 터널을 통해 상기 터널엔드 정보를 전송하는 매니저 장치.
  13. 제12항에 있어서,
    상기 터널 할당부는,
    상기 PC방 네트워크에 마련된 엑세스 게이트웨이와 상기 게임 서버와 상기 엑세스 게이트웨이 사이에 마련된 서비스 게이트웨이의 통신 노드에 대응되는 CoA를 탐색하고, 상기 HoA 및 상기 CoA를 이용하여 상기 터널엔드 정보를 생성하는 매니저 장치.
KR1020160119868A 2016-09-20 2016-09-20 가상 사설 네트워크 시스템, 그를 이용하는 pc방 네트워크, 및 그를 위한 매니저 장치 KR101743559B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160119868A KR101743559B1 (ko) 2016-09-20 2016-09-20 가상 사설 네트워크 시스템, 그를 이용하는 pc방 네트워크, 및 그를 위한 매니저 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160119868A KR101743559B1 (ko) 2016-09-20 2016-09-20 가상 사설 네트워크 시스템, 그를 이용하는 pc방 네트워크, 및 그를 위한 매니저 장치

Publications (1)

Publication Number Publication Date
KR101743559B1 true KR101743559B1 (ko) 2017-06-05

Family

ID=59223011

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160119868A KR101743559B1 (ko) 2016-09-20 2016-09-20 가상 사설 네트워크 시스템, 그를 이용하는 pc방 네트워크, 및 그를 위한 매니저 장치

Country Status (1)

Country Link
KR (1) KR101743559B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102178003B1 (ko) * 2019-09-24 2020-11-13 프라이빗테크놀로지 주식회사 네트워크 접속 제어 시스템 및 그 방법
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
WO2022019611A1 (ko) * 2020-07-24 2022-01-27 (주)시큐어에이 Sdn 기반의 제로 월패드를 활용한 사이버 경계벽 시스템 및 그 동작 방법
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102178003B1 (ko) * 2019-09-24 2020-11-13 프라이빗테크놀로지 주식회사 네트워크 접속 제어 시스템 및 그 방법
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
WO2022019611A1 (ko) * 2020-07-24 2022-01-27 (주)시큐어에이 Sdn 기반의 제로 월패드를 활용한 사이버 경계벽 시스템 및 그 동작 방법
US12028183B2 (en) 2020-07-24 2024-07-02 Securea Co., Ltd. System for cyber boundary wall using SDN-based zero wall pad and operation method thereof

Similar Documents

Publication Publication Date Title
KR101743559B1 (ko) 가상 사설 네트워크 시스템, 그를 이용하는 pc방 네트워크, 및 그를 위한 매니저 장치
KR101680955B1 (ko) 다중 터널 가상 사설 네트워크
JP6479814B2 (ja) 仮想ネットワークにおけるアイデンティティ及びアクセス管理ベースのアクセス制御
US8984618B2 (en) System for managing virtual private network and method thereof
US9350608B2 (en) Method and system for using virtual tunnel end-point registration and virtual network identifiers to manage virtual extensible local area network access
US8041824B1 (en) System, device, method and software for providing a visitor access to a public network
US8856518B2 (en) Secure and efficient offloading of network policies to network interface cards
WO2017143611A1 (zh) 用于处理vxlan报文的方法、设备及系统
US20130182651A1 (en) Virtual Private Network Client Internet Protocol Conflict Detection
US10159101B2 (en) Using WLAN connectivity of a wireless device
US20060182103A1 (en) System and method for routing network messages
CN105940644A (zh) 在保持端对端数据安全的同时具有分发优化的虚拟专用网络(vpn)即服务
US20160277359A1 (en) Converting mobile traffic between ip vpn and transport level vpn
CN106506354B (zh) 一种报文传输方法和装置
CN103975552A (zh) 经由经认证的路由器的数据交换
CN112584393A (zh) 一种基站配置方法、装置、设备及介质
US10348687B2 (en) Method and apparatus for using software defined networking and network function virtualization to secure residential networks
CN114556868B (zh) 虚拟专用网络vpn客户端的专用子网络
CN102088438B (zh) 一种解决因特网协议安全性客户端地址冲突的方法及客户端
US20090097416A1 (en) Method and System for Addressing and Routing in Coded Communications Relationships
US12047351B2 (en) Network system architecture using a virtual private network (VPN) as a sidecar for containerized devices supporting containers
US10686711B2 (en) Enhanced quality of service management for inter-computing system communication
US12034707B2 (en) Randomizing server-side addresses
US20150381387A1 (en) System and Method for Facilitating Communication between Multiple Networks
CN113853776B (zh) 用于网络架构的方法、系统和计算机可读介质

Legal Events

Date Code Title Description
GRNT Written decision to grant