KR102059150B1 - IPsec 가상 사설 네트워크 시스템 - Google Patents

IPsec 가상 사설 네트워크 시스템 Download PDF

Info

Publication number
KR102059150B1
KR102059150B1 KR1020190051559A KR20190051559A KR102059150B1 KR 102059150 B1 KR102059150 B1 KR 102059150B1 KR 1020190051559 A KR1020190051559 A KR 1020190051559A KR 20190051559 A KR20190051559 A KR 20190051559A KR 102059150 B1 KR102059150 B1 KR 102059150B1
Authority
KR
South Korea
Prior art keywords
terminal
ipsec
authentication
gateway
manager device
Prior art date
Application number
KR1020190051559A
Other languages
English (en)
Inventor
최준환
Original Assignee
주식회사 스텔스솔루션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 스텔스솔루션 filed Critical 주식회사 스텔스솔루션
Priority to KR1020190051559A priority Critical patent/KR102059150B1/ko
Application granted granted Critical
Publication of KR102059150B1 publication Critical patent/KR102059150B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 선인증을 통해 허가된 단말로부터의 패킷을 IPsec(Internet Protocol security Protocol) 터널을 통해 암호화하여 전달하는 IPsec 가상 사설 네트워크 시스템을 제공한다. 이를 위한 시스템은 IPsec 가상 사설 네트워크를 통해 서버로의 접근을 요청하는 단말과, 단말과 서버 상호간을 적어도 하나 이상의 IPsec 터널에 의해 연결시키고 단말과 서버간 송수신하는 패킷을 IPsec 터널을 통해 암호화하여 전달하는 IPsec 게이트웨이, 및 단말을 선인증하는 관리자 장치를 포함하며, 본 발명의 단말은 IPsec 터널에 연결되기 이전에 관리자 장치로 선인증 과정을 요청하고, 본 발명의 IPsec 게이트웨이는 선인증 과정을 통해 인증된 단말의 패킷을 암호화하여 서버로 전달함으로써 단말이, 허가된 네트워크 및 서비스에만 접근할 수 있도록 한다.

Description

IPsec 가상 사설 네트워크 시스템{IPsec VIRTUAL PRIVATE NETWORK SYSTEM}
본 발명은 IPsec 가상 사설 네트워크에 관한 것으로, 사전 인증을 통해 허가된 단말로부터의 패킷만을 IPsec(Internet Protocol security Protocol) 터널을 통해 암호화하여 전달하는 IPsec 가상 사설 네트워크 시스템에 관한 것이다.
현재 IPsec 가상 사설 네트워크(Virtual Private Network; 이하 'VPN'라고 칭함) 기술은 IPsec 게이트웨이와 IPsec 게이트웨이간 IPsec 터널을 구성하는 Site-to-Site VPN 형태와, IPsec 단말과 IPsec 게이트웨이 간 IPsec 터널을 구성하는 Remote-Access VPN 형태로 제공된다.
Site-to-Site VPN은 본사와 지사간을 인터넷 등의 공공망을 통해 사설망을 구성하는 형태이고, Remote-Access VPN은 하나의 단말이 인터넷 등의 공공망을 통해 외부에서 내부로 접속하는 형태이다. 즉, 이들 VPN은 공공망을 경유하더라도 암호화된 터널을 통해 패킷 데이터를 암호화하여 내용을 알 수 없게 함으로써 보안을 강화하기 위한 기술이다.
한편, 네트워크 가상화를 통해 하나의 물리적인 망을 논리적으로 복수 개의 망으로 분리하여 서로 격리된 다중 네트워크를 제공하는 기술로는 NFV(Network Function Virtualization), VR(Virtual Router) 등이 있다. 이런 가상화 기술을 이용하여 하나의 물리적인 망(이하, 물리망)을 다양한 복수 개의 망으로 구축할 수도 있다.
일반적으로, IPsec VPN은 각 IPsec VPN 게이트웨이가 하나의 물리망을 기반으로 구성된다. 따라서, IPsec VPN 게이트웨이를 통해 접속 가능한 네트워크 및 서비스는 하나의 물리망에 존재하기 때문에, 보안을 강화하기 위해서는 별도의 방화벽을 통해 단말별로 접속 가능한 네트워크 및 서비스를 설정해야 하는 문제가 있다. 더욱이, 이러한 관리 방법은 단말이 많아지고 접속 가능한 네트워크 및 서비스가 많아질수록 관리가 복잡해진다. 따라서, 외부 방화벽을 관리하는 것이 운용상 부담이 된다.
또한, 기존 단말은 데이터 암호화를 위해 IPsec 게이트웨이와 직접 키교환 프로토콜(Internet Key Exchange: IKE)을 사용하는데, DDOS 공격과 같은 외부 공격에 취약하기 때문에 별도 대책이 수행되어야 한다.
대한민국 공개특허공보 제10-2017-0017860호
본 발명은 상기와 같은 문제점을 해결하기 위한 것으로서, 단말이 IPsec 터널에 연결하기 이전에 사전 인증 과정을 수행하고 인증 과정에 허가된 단말의 패킷만을 암호화하여 전달함으로써 단말이 허가된 네트워크 및 서비스에만 접근할 수 있도록 하는 IPsec 가상 사설 네트워크 시스템을 제공하는 데 그 목적이 있다. 즉, 허가되지 않은 네트워크 및 서비스로의 접근을 사전 차단하여 보안을 강화하는 데 목적이 있다.
이를 위하여 본 발명의 실시예에 따른 IPsec 가상 사설 네트워크 시스템은, IPsec 가상 사설 네트워크(Virtual Private Network: VPN)를 통해 서버로의 접근을 요청하는 단말; 상기 단말과 상기 서버 상호간을 적어도 하나 이상의 IPsec 터널에 의해 연결시키고 상기 단말과 상기 서버간 송수신하는 패킷을 상기 IPsec 터널을 통해 암호화하여 전달하는 IPsec 게이트웨이; 및 상기 단말과 연계되어 상기 단말을 인증하는 관리자 장치를 포함하고, 상기 단말은 상기 IPsec 터널에 연결되기 이전에 상기 관리자 장치로 선인증 과정을 요청하며, 상기 IPsec 게이트웨이는 상기 선인증 과정을 통해 인증된 단말의 패킷을 암호화하여 상기 서버로 전달한다.
상기 관리자 장치는, 상기 단말로부터 TLS(Transport Layer Security) 프로토콜을 통해 상기 선인증 과정을 요청받고, 상기 선인증 과정을 통해 인증된 단말의 정보를 상기 IPsec 게이트웨이에 전달할 수 있다.
또한, 상기 IPsec 게이트웨이는, 상기 관리자 장치로부터 상기 선인증 과정을 통해 인증된 단말의 정보를 전달받으면 상기 인증된 단말과의 인터넷 키 교환(Internet Key Exchange; IKE)을 통해 IPsec 터널을 생성하고, 선인증되지 않은 단말로부터의 인터넷 키 교환 요청은 폐기 처리하여 보안을 강화한다.
또한, 상기 단말이 상기 TLS 프로토콜을 통해 상기 관리자 장치로 선인증 과정을 요청하는 경우, 상기 단말은 상기 관리자 장치의 IP주소가 아닌 상기 IPsec 게이트웨이의 IP주소로 접속하고, 상기 IPsec 게이트웨이는 상기 IPsec 게이트웨이의 IP주소를 자신의 IP주소에 목적지로 지정되어 있는 상기 관리자 장치의 IP주소로 NAT(Network Address Translation) 변환하여 상기 관리자 장치로 상기 단말의 선인증 요청을 전달한다.
또한, 상기 IPsec 게이트웨이는, 상기 관리자 장치로부터 상기 선인증 과정을 통해 인증된 단말의 정보를 전달받으면, 이에 응답하여 상기 관리자 장치의 IP주소를 다시 NAT 변환한 후 상기 인증된 단말로 인증메시지를 전달한다.
이때, 상기 IPsec 게이트웨이는, 상기 관리자 장치의 IP주소를 상기 IPsec 게이트웨이의 IP주소로 변환하여 상기 인증메시지에 상기 관리자 장치의 IP주소가 아닌 해당 단말이 접속할 IPsec 게이트웨이의 IP주소가 포함되도록 한다.
상기 인증메시지에는 상기 관리자 장치로부터 전달받은 상기 인증된 단말의 정보가 포함되며, 상기 인증된 단말의 정보는 단말의 IP주소, 가상 네트워크 및 서브넷 주소, 화이트 리스트를 포함한다.
또한, 상기 IPsec 게이트웨이는, 적어도 하나 이상의 가상 라우터를 포함하고, 상기 IPsec 터널 내에 상기 적어도 하나 이상의 가상 라우터를 할당하여 상기 인증된 단말이 다중 경로를 통해 해당 서버에 접근하도록 하는 것을 특징으로 한다.
또한, 상기 IPsec 게이트웨이는, 상기 관리자 장치를 통해 인증된 단말로부터 IKE 초기 메시지를 수신하고 이에 IKE 인증 메시지를 송신하는 인터넷 키 교환(IKE)을 통해 상기 인증된 단말과 상기 서버 상호간 통신 터널을 생성하는 터널 생성부; 상기 터널 생성부에 의해 생성된 IPsec 터널을 통해 상기 인증된 단말로부터 전송되는 패킷을 해당 서버로 전송하는 패킷전송부를 더 포함하는 것을 특징으로 한다.
한편, 상기 단말은, 상기 관리자 장치로 선인증 과정을 요청하고 그 인증 결과로서 인증메시지를 수신하는 선인증부; 상기 인증메시지에 포함되어 있는 IPsec 게이트웨이로 접근하여 상기 IPsec 게이트웨이와의 키 교환을 통해 IPsec 터널을 생성하는 터널 생성부; 해당 서버로 전송하는 패킷을 상기 터널 생성부를 통해 생성된 IPsec 터널에 의해 전송하고 상기 서버로부터 패킷을 수신하는 패킷 전송부; 및 상기 단말에 허가된 네트워크 정보 및 서비스 정보를 관리하는 정책수행부를 포함한다.
이때, 상기 인증메시지는, 상기 단말이 접속할 IPsec 게이트웨이의 IP주소, 상기 단말이 사용할 네트워크 정보 및 서비스 정보를 적어도 포함한다.
한편, 상기 관리자 장치는, 상기 IPsec 게이트웨이를 통해 전달된 상기 단말의 선인증 요청을 수행하고, 수행 결과 상기 단말이 정상 단말이면 상기 IPsec 게이트웨이를 통해 해당 단말에 인증메시지를 전달하는 선인증부; 상기 IPsec 게이트웨이에 대한 인증 및 관리를 수행하는 게이트웨이 통신부를 포함한다.
상기 선인증부는, 상기 IPsec 게이트웨이를 통해 전달된 패킷의 출발지 IP가 기 등록되어 있는 IPsec 게이트웨이로부터의 패킷이 아닌 경우 폐기 처리하여 외부로부터 직접 공격받는 것을 회피하는 특징으로 한다.
이러한 본 발명에 따르면, IPsec 가상 사설 네트워크 시스템에서 단말이 VPN 통신을 수행하기 이전에 관리자 장치와 연계하여 사전 인증(선인증)을 거치고, 사전 인증을 통해 허가된 단말로부터의 패킷만을 암호화하여 전달함으로써, 허가되지 않은 네트워크 및 서비스로의 접근을 사전 차단하여 보안을 강화하는 효과가 있다.
또한, VPN 통신을 통해 단말과 서버간 연결하는 본 발명의 IPsec 게이트웨이에서, 사전 인증을 통해 허가된 단말로부터의 IKE 요청은 수행하고 인증되지 않은 단말로부터의 IKE 요청은 네트워크 레벨에서 폐기 처리함으로써 보안성을 더 향상시킬 수 있는 효과가 있다. 특히 이는 IPsec 게이트웨이에서 인증되지 않은 단말과의 키 교환을 수행하는 불필요한 처리 과정을 줄이게 함으로써 IPsec 게이트웨이의 성능 또한 향상시킬 수 있는 효과가 있다.
또한, 본 발명은 단말과 관리자 장치간 TLS 메시지를 통해 선인증 과정을 수행할 때 IPsec 게이트웨이를 매개로 TLS 메시지를 처리하여 마치 IPsec 게이트웨이를 통해 관리자 장치를 은닉시키는 것처럼, 관리자 장치가 외부망에 노출되지 않도록 구성함으로써, 관리자 장치가 외부로부터 직접 공격받는 것을 미연에 차단할 수 있다.
또한, 본 발명은 복수 개의 가상 네트워크를 생성하여 단말 별로 다른 가상 네트워크를 할당하여 세밀한 보안정책을 수행할 수 있다.
도 1은 일반적인 IPsec VPN 시스템의 IPsec 터널 생성을 위한 접속 절차를 나타낸 도면이다.
도 2는 일반적인 IPsec VPN 시스템의 Remote-access 구성을 나타낸 예시도이다.
도 3은 본 발명의 실시예에 따른 IPsec VPN 시스템의 구성을 나타낸 도면이다.
도 4는 본 발명의 실시예에 따른 IPsec VPN 시스템을 통해 다중 가상 라우터에서 접속한 예를 보여주는 도면이다.
도 5는 본 발명의 실시예에 따른 IPsec VPN 시스템에서 IPsec 단말의 구성을 구체적으로 나타낸 도면이다.
도 6은 본 발명의 실시예에 따른 IPsec VPN 시스템에서 IPsec 게이트웨이의 구성을 구체적으로 나타낸 도면이다.
도 7은 본 발명의 실시예에 따른 IPsec VPN 시스템에서 관리자 장치의 구성을 구체적으로 나타낸 도면이다.
도 8은 본 발명의 실시예에 따른 IPsec VPN 시스템에서 선인증을 통해 IPsec 터널을 생성하는 과정을 나타낸 흐름도이다.
도 9는 기존 IPsec ESP 터널 패킷 구조와 본 발명의 실시예에 따른 IPsec VPN 시스템에서의 IPsec ESP 터널 패킷 구조를 비교한 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상에 모두 대변하는 것은 아니므로, 본 출원 시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형 예들이 있을 수 있음을 이해하여야 한다.
또한, 본 명세서에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "구성된다" 또는 "포함한다" 등의 용어는 명세서 상에 기재된 여러 구성 요소들, 또는 여러 단계들을 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다.
특히, 본 명세서에서, "~부" 및 "~ 모듈" 이라는 용어는 IPSec 게이트웨이의 하드웨어적 구분을 의미하는 용어로 사용된 것이 아니다. 따라서 복수의 구성부가 하나의 구성부로 통합될 수도 있고, 하나의 구성부가 복수의 구성부로 분할될 수도 있다. 또한, 구성부는 하드웨어의 구성부를 의미할 수도 있지만, 소프트웨어의 구성부를 의미할 수도 있다. 따라서 본 발명은 "~부"라는 용어에 의해 특별히 한정되지 않음을 이해하여야 할 것이다.
우선 본 발명과 관련있는 IPsec VPN의 Remote-Access 서비스 제공 절차에 대하여 설명한다.
도 1은 일반적인 IPsec VPN 시스템의 IPsec 터널 생성을 위한 접속 절차를 나타낸 도면이다.
일반적으로, IPsec VPN에서 사용되는 키 교환 프로토콜은 IKE로서, IPsec 터널생성을 위한 SA(Security Association)을 생성, 수정 및 삭제하기 위한 절차 및 패킷 구조를 정의하고 있다. SA는 암호화 터널을 위한 정책 및 키의 집합으로, 이의 생성을 위해 메인모드 및 퀵모드로 메시지를 양 IKE 객체간 교환을 한다. INIT 및 AUTH 단계를 거쳐 정상적 처리가 되면 IPsec 터널이 생성된다.
다시 말해, Initiator는 Responder로 헤더(header: HDR)와 SAi1, KEi, Ni 등의 페이로드(payload)를 포함하는 IKE 초기 메시지(IKE-INIT) 요청을 전송하고, Responder(202)는 이를 수신하여 Initiator(201)로 HDR, SAr1, KEr, Nr 등을 포함하는 IKE 초기 메시지 응답을 전송한다.
이후, Initiator는 HDR과 SK{Idi, CERT, AUTH, CP, SAi2, TSi, TSr}등을 포함하는 IKE 인증 메시지(IKE-AUTH)를 Responder로 전송하여 요청하고, 이에 응답하여 Responder는 Initiator로 IKE 인증 메시지 응답을 전송한다.
이처럼, 메시지 요청 및 응답(request 및 response)은 쌍으로 이루어지므로, IKE 초기 메시지 및 IKE 인증 메시지의 교환 역시, Initiator과 Responder간의 요청 메시지와 응답 메시지의 교환으로 이루어 질 수 있다.
이때, Initiator는 Responder로 메시지를 직접 보내기 때문에 사전에 Responder의 정보를 가지고 있어야 한다.
도 2는 일반적인 IPsec VPN 시스템의 Remote-access 구성을 나타낸 예시도이다.
도 2에서는 IPsec 단말1(10), IPsec 단말2(11)가 각 사이트(60) 내 서버1(50), 서버2(51)와 통신하기 위해 IPsec 게이트웨이(30)와 IPsec 터널(20, 21)를 각각 생성한 예를 보여주고 있다.
통상 서브넷 단위의 TS를 지원하는 IPsec 게이트웨이(30)에서는 IPsec 터널(20, 21)에 각각 서버1(50), 서버2(51)를 접속할 수 있는 권한을 각각 줄 수 없는 경우가 있다. 이 경우 외부에 별도 방화벽(40)를 구비하여, 방화벽(40)에서 IPsec 단말1(10)-서버1(50)의 통신과, IPsec 단말2(11)-서버2(51)간의 통신은 허용하고 나머지는 차단하는 등의 보안 정책을 설정해 준다. 그런데, 이러한 방화벽(40)의 구성은 단말이 많아지고 대상 서버가 많아질수록 관리가 복잡해진다.
또한, 서버1(50)과 서버2(51)가 동일한 라우팅 도메인에 속해 있어 방화벽 정책이 완벽하지 않을 경우 IPsec 단말1(10)이 서버1(50)뿐만 아니라 서버2(51)로의 접근도 가능하게 되어 보안성이 떨어질 수 있다.
도 3은 본 발명의 실시예에 따른 IPsec VPN 시스템의 구성을 나타낸 도면이다.
본 발명의 실시예에 따른 IPsec VPN 시스템은 도 3에 도시한 바와 같이, IPsec 단말(100; 이하 '단말'이라고 칭하기도 함), IPsec 게이트웨이(320), 관리자 장치(400)를 포함하여 구성된다.
IPsec 단말(100)은 IPsec 가상 사설 네트워크(Virtual Private Network: VPN)를 통해 각 사이트(300) 내 서버(340)에 접속하고 이로부터 서비스를 제공받는다. 본 발명의 IPsec 단말(100)은 일반적인 모바일 통신단말, PC, 서버용 컴퓨터 등을 포함하는 적어도 하나 이상의 통신 수단을 의미하며, 각 통신 수단에는 본 발명에 의한 VPN 통신 기능을 수행하기 위한 에이전트가 마련될 수 있다. 또는, VPN 통신 기능을 수행하기 위한 에이전트가 IPsec 게이트웨이(320)에 마련될 수도 있다.
특히, 본 발명의 IPsec 단말(100)은 IPsec VPN 통신을 수행하기 이전에, 관리자 장치(400)와 연계하여 사전 인증(선인증)을 거친다. 즉, IPsec 단말(100)이 관리자 장치(400)로 선인증 과정을 요청하며, 요청한 결과 관리자 장치(400)로부터 단말에 대한 인증메시지를 수신한다. 수신한 이후 IPsec 단말(100)은 IPsec 게이트웨이(430)로 IPsec 터널(200)을 생성하고 생성된 IPsec 터널(200)을 통해 서버(340)와 패킷을 송수신한다. 이의 구체적인 내부 구성은 도 5에서 상세히 설명한다.
IPsec 게이트웨이(320)는 IPsec 단말(100)과 서버(340) 상호간을 적어도 하나 이상의 IPsec 터널(200)에 의해 연결시키고, IPsec 단말(100)과 서버(340)간 송수신하는 패킷을 IPsec 터널(200)을 통해 암호화하여 전달한다.
이때, IPsec 게이트웨이(320)는 선인증 과정을 통해 인증된 IPsec 단말(100)의 패킷만을 암호화하여 서버(340)로 전달한다. 선인증되지 않은 IPsec 단말(100)로부터의 패킷에 대해서는 IPsec 게이트웨이(320)가 폐기 처리한다.
또한, IPsec 게이트웨이(320)는 적어도 하나 이상의 가상라우터(330)를 포함할 수 있다. IPsec 게이트웨이(320)는 IPsec 터널(200) 내에 적어도 하나 이상의 가상 라우터(330)를 할당하여, 인증된 IPsec 단말(100)이 다중 경로를 통해 해당 서버(340)에 접근하도록 제공한다.
관리자 장치(400)는 IPsec 단말(100)이 IPsec VPN 통신을 수행하기 이전에, 다시 말해 IPsec 터널(200)에 연결되기 이전에, IPsec 단말(100)과 연계되어 IPsec 단말(100)을 인증한다.
이때, 관리자 장치(400)는 TLS(Transport Layer Security) 프로토콜을 통해 IPsec 단말(100)과 연계되는데, TLS 프로토콜은 SSL(Secure Sockets Layer)에 기반하여 에서의 정보를 암호화해서 송수신하는 이다. 쉽게 요약해서, 먼저 통신할 두 대상자가 서로 신뢰할 수 있는지 확인한 뒤 서로간의 통신에 쓸 암호를 교환하는 것이다. 그 다음부터는 상호간에 교환한 암호를 사용하여 제3자가 도청할 수 없는 암호화된 통신을 하는 것이다.
관리자 장치(400)는 먼저 TLS 프로토콜을 통해 IPsec 단말(100)로부터 선인증 과정을 요청받고, 선인증 과정을 통해 인증된 IPsec 단말(100)의 정보를 전달한다.
또한, 관리자 장치(400)는 IPsec 단말(100)과 직접적으로 연결될 수 있고, IPsec 게이트웨이(320)를 매개로 IPsec 단말(100)과 연계될 수 있다. 후자의 경우, 관리자 장치(400)는 IPsec 게이트웨이(320)를 통해 IPsec 단말(100)로부터 선인증 과정을 요청받고, 인증된 IPsec 단말(100)의 정보를 IPsec 게이트웨이(320)를 통해 인증된 단말로 전달한다. 이러한 구성에 의해 관리자 장치(400)는 마치 IPsec 게이트웨이(320) 뒤에서 은닉하는 것처럼, IPsec 단말(100) 및 외부망에 노출되지 않으며 외부로부터의 직접적인 공격 및 침입을 어렵게 하여 보안 강화를 극대화할 수 있다.
후자의 구성에 따르면, IPsec 단말(100)은 관리자 장치(400)의 IP 주소가 아닌 IPsec 게이트웨이(320)의 IP주소로 접속하고, 이에 따라 IPsec 게이트웨이(320)는 IPsec 게이트웨이(320)의 IP주소를 관리자 장치(400)의 IP주소로 NAT(Network Address Translation) 변환하여 해당 관리자 장치(400)로 IPsec 단말(100)의 선인증 요청을 전달해야 한다. 이후, IPsec 게이트웨이(320)가 관리자 장치(400)로부터 선인증 과정을 통해 인증된 단말의 정보를 전달받으면 이에 응답하여 관리자 장치(400)의 IP주소를 다시 IPsec 게이트웨이(320)의 IP주소로 NAT 변환한 후, 해당 IPsec 단말(100)로 인증메시지를 전달한다.
따라서, 본 발명의 실시예에 따른 IPsec VPN 시스템은, IPsec 단말(100)이 관리자 장치(400)에게 TLS 프로토콜 등으로 접속하여 선인증을 거치고, 관리자 장치(400)는 인증된 단말의 정보를 IPsec 게이트웨이(320)에 전달하여 IPsec 단말(100)이 IPsec 게이트웨이(320)로 IPsec 터널(200)을 생성하게 하며, 해당 IPsec 터널(200)의 내부에 다중 가상 라우터 정보를 포함하게 하여, IPsec 단말(100)이, 허가된 네트워크 및 서비스에만 접근할 수 있도록 제공하는 것에 특징이 있다.
도 4는 본 발명의 실시예에 따른 IPsec VPN 시스템을 통해 다중 가상 라우터에서 접속한 예를 보여주는 도면이다.
도 4는 IPsec 단말별 IPsec 터널생성과 해당 VR 매핑을 통해 IPsec 단말1(110)-IPsec 터널1(210)-VR1(331)-서버1(341), IPsec 단말1(110)-IPsec 터널1(210)-VR2(332)-서버2(342)로 IPsec 단말1(110)이 2개의 VR에 접속한 경우와, IPsec 단말2(120)-IPsec 터널2(220)-VR2(332)-서버2(342)로 IPsec 단말2(120)는 1개의 VR에 접속한 경우를 보여주고 있다.
도 5는 본 발명의 실시예에 따른 IPsec VPN 시스템에서 IPsec 단말의 구성을 구체적으로 나타낸 도면이다.
본 발명의 실시예에 따른 IPsec 단말(100)은 선인증부(101), 터널 생성부(103), 패킷 전송부(105), 정책 수행부(107)로 구성된다.
선인증부(101)는 TLS 프로토콜을 통해 관리자 장치로 선인증 과정을 요청하고 그 인증 결과로 인증메시지를 수신한다.
구체적으로, 선인증부(101)는 IPsec 게이트웨이(320)를 매개로 관리자 장치에 선인증 과정을 요청할 수 있다. 이 경우, IPsec 단말(100)은 미리 지정된 IPsec 게이트웨이(320)의 IP주소로 접속하는 구성을 더 포함한다.
인증 메시지에는 IPsec 단말(100)이 접속할 즉, IPsec 터널을 생성할 대상 IPsec 게이트웨이(320)의 IP주소, IPsec 단말(100)이 사용할 네트워크 정보 및 서비스 정보를 적어도 포함한다.
터널 생성부(103)는 선인증부(101)를 통해 수신한 인증메시지에 포함되어 있는 IPsec 게이트웨이(320)의 IP주소로 접근하여 IPsec 게이트웨이(320)와의 키 교환(IKE)을 통해 IPsec 터널을 생성한다.
패킷 전송부(105)는 해당 서버로 전송하는 패킷을 터널 생성부(103)를 통해 생성된 IPsec 터널에 의해 전송한다. 그리고 패킷 전송부(105)는 이에 응답하여 서버로부터 패킷을 수신한다.
정책 수행부(107)는 IPsec 단말(100)이 사용할 네트워크 정보 및 서비스 정보를 관리한다. 정책 수행부(107)는 선인증부(101)를 통해 수신한 인증 메시지로부터 자신이 접근할 가상 라우터 정보, 서브넷 정보, 화이트 리스트를 추출하여 패킷 처리 정책에 반영한다.
도 6은 본 발명의 실시예에 따른 IPsec VPN 시스템에서 IPsec 게이트웨이의 구성을 구체적으로 나타낸 도면이다.
IPsec 게이트웨이(320)는 선인증부(321), 인증 대리 전달부(322), 터널 생성부(323), 가상 라우터부(324), 패킷 전송부(325), 정책 수행부(326)를 포함하여 구성될 수 있다.
선인증부(321)는 IPsec 단말의 선인증 절차와 관련하여 IPsec 단말 및 관리자 장치와 TLS 메시지를 교환한다. 그리고, TLS 메시지 교환을 통해 인증 과정을 거친 후 시스템 초기화를 수행한다.
인증 대리 전달부(322)는 관리자 장치를 대리하여 IPsec 단말로부터의 선인증 요청 메시지를 관리자 장치로 전달하고, 관리자 장치로부터 전달받은 인증메시지를 해당 IPsec 단말로 전달한다.
특히, 본 발명의 인증 대리 전달부(322)는 IPsec 단말로부터 관리자 장치를 은닉하기 위한 구성으로, 관리자 장치의 IP주소가 노출되지 않도록 네트워크 주소를 변환해주는 NAT(Network Address Translation) 변환 구성을 더 포함할 수 있다.
이러한 구성에 의해 인증 대리 전달부(322)는, 선인증부(321)에서 IPsec 단말로부터의 선인증 요청 메시지가 수신되면 선인증 요청 메시지에 포함된 IPsec 게이트웨이의 IP주소를, 자신의 IP주소에 대하여 목적지로 지정되어 있는 관리자 장치의 IP주소로 NAT 변환한 후, 해당 관리자 장치로 선인증 요청 메시지를 전달할 수 있다. 특히, 인증 대리 전달부(322)는 자신의 지정된 IP주소를 목적지로 하면서 특정 TCP 포트(prot)(예: 25001)인 패킷에 대하여, 출발지 IP는 자신의 IP주소이고 목적지 IP는 실제 관리자 장치의 IP로 설정하고 NAT 변환할 수 있다.
그리고, 인증 대리 전달부(322)는 선인증부(321)를 통해 관리자 장치로부터 인증된 단말의 정보를 전달받으면, 이에 응답하여 관리자 장치의 IP주소를 다시 IPsec 게이트웨이의 IP주소로 NAT 변환하고 변환된 인증메시지를 해당 인증된 단말로 전달한다. 따라서, 인증된 단말로 전달되는 인증메시지에는 관리자 장치의 IP주소가 아닌, 추후에 해당 단말이 접속할 IPsec 게이트웨이의 IP주소가 포함된다.
즉, 인증메시지에는 관리자 장치로부터 전달받은 인증된 단말의 정보와 해당 단말이 접속할 IPsec 게이트웨이의 IP주소가 적어도 포함되며, 인증된 단말의 정보는 단말의 IP주소, 가상 네트워크 및 서브넷 주소, 화이트 리스트 등을 포함한다.
터널 생성부(323)는 관리자 장치를 통해 인증된 IPsec 단말로부터 IKE 초기 메시지를 수신하고 이에 응답하여 IKE 인증 메시지를 송신하는 일련의 인터넷 키 교환(IKE) 절차를 수행한다. 이를 통해 인증된 IPsec 단말과 서버 상호간 통신 터널을 생성한다.
또한, 터널 생성부(323)는 선인증되지 않은 IPsec 단말로부터 IKE 초기 메시지 수신과 함께 인터넷 키 교환 요청이 있으면 폐기 처리하여 IPsec 터널 자체가 형성되지 않게 한다. 이러한 구성에 의해 IPsec 게이트웨이(320)는 인증되지 않은 단말과의 키 교환을 수행하는 불필요한 처리 과정을 줄이게 됨으로써 IPsec 게이트웨이의 성능을 향상시킬 수 있으며, 보안성도 동시에 향상시킬 수 있다.
가상 라우터부(324)는 적어도 하나 이상의 가상 라우터를 포함하며, IPsec 터널 내에 적어도 하나 이상의 가상 라우터를 할당하여 인증된 IPsec 단말이 다중 경로를 통해 해당 서버에 접근하도록 한다.
패킷 전송부(325)는 터널 생성부(323)에 의해 생성된 IPsec 터널을 통해, 인증된 IPsec 단말로부터 전송되는 패킷을 해당 서버로 전송한다.
정책 수행부(326)는 IPsec 단말이 관리자 장치를 통해 정상적으로 인증된 경우 관리자 장치로부터 인증된 단말의 정보를 선인증부(321)를 통해 전달받아 인증된 단말에 대한 가상 라우터 정보, 서비스 정보를 관리한다.
도 7은 본 발명의 실시예에 따른 IPsec VPN 시스템에서 관리자 장치의 구성을 구체적으로 나타낸 도면이다.
본 발명의 실시예에 따른 관리자 장치(400)는 기본적으로 선인증부(401) 및 게이트웨이 통신부(403)를 포함한다.
선인증부(401)는 이미 앞서 설명한 바와 같이 IPsec 단말에 대하여 사전 인증(즉, 선인증)을 수행한다. 구체적으로, 선인증부(401)는 IPsec 게이트웨이를 매개로, IPsec 게이트웨이를 통해 전달된 IPsec 단말의 선인증 요청을 수행하고, 수행 결과 해당 IPsec 단말이 정상 단말이면 IPsec 게이트웨이를 통해 해당 IPsec 단말에 인증메시지를 전달한다. 정상 단말이 아니면 폐기 처리할 수 있다.
또한, 선인증부(401)는 IPsec 게이트웨이를 통해 전달받은 패킷의 출발지 IP가 기 등록되어 있는 IPsec 게이트웨이로부터의 패킷이 아닌 경우 폐기 처리한다. 이러한 구성은 관리자 장치(400)가 외부로부터 직접 공격받을 것을 회피할 수 있다.
게이트웨이 통신부(403)는 IPsec 게이트웨이에 대하여 인증 및 관리한다. 특히, 게이트웨이 통신부(403)는 IPsec 단말과의 선인증 시 IPsec 게이트웨이와의 통신을 처리하며, IPsec 게이트웨이를 통해 전달받은 패킷의 출발지 IP가 기 등록되어 있는 IPsec 게이트웨이의 IP인지를 확인한다.
따라서, 관리자 장치(400)는 IPsec 단말과의 선인증 시, 게이트웨이 통신부(403)에 의해 IPsec 게이트웨이와의 통신만을 수행함으로써 외부망에 직접 노출되지 않으며, 외부로부터의 직접적인 공격을 회피할 수 있다.
이상, 상기의 구성에 기초하여 IPsec VPN 시스템에서 단말의 선인증을 통해 IPsec 터널을 생성하는 일련의 과정에 대하여 도 8을 참조하여 구체적으로 설명하기로 한다.
도 8을 참조하면, 먼저 본 발명의 IPsec 단말(100)은 IPsec 게이트웨이(320)를 매개로 관리자 장치(400)와 연계되어 선인증 과정(점선 박스)을 수행한다.
구체적으로, 처음 S100 단계에서, IPsec 단말(100)이 관리자 장치(400)로 선인증 요청 메시지 즉, TLS 메시지(TLS-AUTH)를 전달하여 TLS 접속을 시작한다. 이때 목적지 주소는 실제 관리자 장치(400)의 IP주소가 아니고, IPsec 게이트웨이(320)의 IP주소가 된다.
즉, 외부적으로 볼 때 IPsec 단말(100)이 관리자 장치(400)에 직접 TLS 메시지(TLS-AUTH)를 전달하는 것으로 보여지지만, 실제 관리자 장치(400)에 접속하여 전달하는 것이 아니라, 내부의 IPsec 게이트웨이(320)에 접속하여 이를 통해 전달하는 것이다.
다음 S101 단계에서, IPsec 게이트웨이(320)가 IPsec 단말(100)로부터 전달받은 TLS 메시지에 대하여 IPsec 게이트웨이(320)의 IP주소를 자신의 IP주소와 대응하여 목적지로 지정되어 있는 관리자 장치(400)의 IP주소로 NAT 변환한다. 이때, IPsec 게이트웨이(320)는 자신의 지정된 IP주소를 목적지로 하고 특정 TCP Port(예: 25001)를 통해 전송되는 패킷에 대하여 출발지 IP는 자신의 IP주소, 목적지 IP는 실제 관리자 장치의 IP로 설정해 두고, 이에 기반하여 NAT 변환을 수행할 수 있다.
다음 S102 단계와 같이, IPsec 게이트웨이(320)가 NAT 변환된 TLS 메시지(TLS-AUTH)를 관리자 장치(400)로 전달한다.
다음 S103 단계에서, 관리자 장치(400)는 TLS 메시지를 검사하여 정상적인 단말인지를 확인한다. 이때, 정상 단말인지 여부는 TLS 메시지에 포함되어 있는 단말의 아이디 및 비밀번호 정보 등을 통해 판단할 수 있다. 그러나, 이에 한정하는 것은 아니며 단말을 식별할 수 있는 정보라면 정상 단말 여부를 판단하는 데 이용 가능할 것이다.
확인 결과, 정상 인증된 단말인 경우, S105 단계에서, 관리자 장치(400)가 해당 IPsec 게이트웨이(320)로 인증된 단말에 대한 정보를 TUN-ADD 메시지로 전달한다. 그러면, TUN-ADD 메시지를 전달받은 IPsec 게이트웨이(320)는 추후 해당 단말로부터 키 교환(IKE) 메시지를 받아들일 준비를 한다. 이 준비는 해당 단말의 IP로부터 수신된 IKE 메시지를 허용하는 정책을 수행한다는 것을 의미한다.
비정상 단말인 경우, S104 단계에서와 같이 관리자 장치(400)가 TLS 메시지를 폐기 처리한다.
여기서, 인증된 단말에 대한 정보는 단말의 IP주소, 가상네트워크 및 서브넷, 화이트 리스트 등을 포함할 수 있다.
한편, 상기 S103 단계에서, 관리자 장치(400)가 정상 단말인지를 확인하기 이전에, IPsec 게이트웨이(320)로부터 전달받은 TLS 메시지(패킷)를 검증하는 과정을 더 포함할 수 있다. 즉, 관리자 장치(400)가 IPsec 게이트웨이(320)로부터 전달받은 TLS 메시지(패킷)의 출발지 IP가 관리자 장치(400)에 기 등록되어 있는 IPsec 게이트웨이의 IP주소인지를 확인하고, 기 등록되어 있는 IPsec 게이트웨이의 IP주소가 아닌 경우 가 IPsec 게이트웨이(320)로부터 전달받은 TLS 메시지를 폐기 처리한다. 이의 동작은 관리자 장치(400)가 외부로부터 직접 공격 받은 것을 회피하게 한다.
다음 S106 단계에서, 관리자 장치(400)가 IPsec 게이트웨이(320)로 TUN-ADD 메시지를 전달한 후, TLS 응답 메시지(TLS-AUTH)에 해당 단말이 접속할 IKE 서버 주소, 서브넷 정보, 화이트 리스트 등을 포함하여 응답한다.
다음 S107 및 S108 단계에서, IPsec 게이트웨이(320)가 NAT 변환 후 해당 IPsec 단말(100)로 TLS 응답 메시지(TLS-AUTH)를 전달한다.
이후, TLS 응답 메시지(TLS-AUTH)를 수신한 IPsec 단말(100)은 해당 메시지로부터 자신이 접근할 가상 라우터 정보, 서브넷 정보, 화이트 리스트를 추출하여 IPsec 단말(100)의 패킷 처리 정책에 반영한다.
이후 S200 단계에서, IPsec단말(100)은 TLS 응답 메시지(TLS-AUTH)로부터 추출한 IKE 서버(실제로는 IPsec 게이트웨이 IP)주소로 IKE-INIT을 시작한다.
이후 S201 내지 S203 단계와 같은 IKE 키 교환 및 IPsec 터널 생성 절차는 일반 IPsec VPN과 동일하다.
도 9는 기존 IPsec ESP 터널 패킷 구조와 본 발명의 실시예에 따른 IPsec VPN 시스템에서의 IPsec ESP 터널 패킷 구조를 비교한 도면이다.
도 9에서는 보는 바와 같이 (a)는 표준 IPsec ESP 패킷의 형태를 나타내고, (b)는 IPsec ESP터널 내부에 추가로 VR Header를 추가하여 하나의 ESP 터널을 통해 다수의 가상 라우터로의 패킷을 멀티플렉싱할 수 있다. ESP의 Next Header로 지정되는 VR Header는 MPLS, GRE, UDP등 여러가지 프로토콜을 사용하여 구성할 수 있다.
이상의 설명은 본 발명을 예시적으로 설명한 것에 불과하며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술적 사상에서 벗어나지 않는 범위에서 다양한 변형이 가능할 것이다. 따라서 본 발명의 명세서에 개시된 실시예들은 본 발명을 한정하는 것이 아니다. 본 발명의 범위는 아래의 특허청구범위에 의해 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술도 본 발명의 범위에 포함되는 것으로 해석해야 할 것이다.
100, 110, 120: IPsec 단말 200, 210, 220: IPsec 터널
300: 사이트 320: IPsec 게이트웨이
330, 331, 332: 가상 라우터 340, 341, 342: 서버
400: 관리자 장치

Claims (13)

  1. IPsec 가상 사설 네트워크(Virtual Private Network: VPN)를 통해 서버로의 접근을 요청하는 단말;
    상기 단말과 상기 서버 상호간을 적어도 하나 이상의 IPsec 터널에 의해 연결시키고 상기 단말과 상기 서버간 송수신하는 패킷을 상기 IPsec 터널을 통해 암호화하여 전달하는 IPsec 게이트웨이; 및
    상기 단말과 연계되어 상기 단말을 인증하는 관리자 장치를 포함하고,
    상기 단말은 상기 IPsec 터널에 연결되기 이전에 상기 관리자 장치로 선인증 과정을 요청하며,
    상기 IPsec 게이트웨이는 상기 선인증 과정을 통해 인증된 단말의 패킷을 암호화하여 상기 서버로 전달하고,
    상기 관리자 장치는,
    상기 단말로부터 TLS(Transport Layer Security) 프로토콜을 통해 상기 선인증 과정을 요청받고, 상기 선인증 과정을 통해 인증된 단말의 정보를 상기 IPsec 게이트웨이에 전달하며,
    상기 단말이 상기 TLS 프로토콜을 통해 상기 관리자 장치로 선인증 과정을 요청하는 경우,
    상기 단말은 상기 관리자 장치의 IP주소가 아닌 상기 IPsec 게이트웨이의 IP주소로 접속하고,
    상기 IPsec 게이트웨이는 상기 IPsec 게이트웨이의 IP주소를 자신의 IP주소에 대하여 목적지로 지정되어 있는 상기 관리자 장치의 IP주소로 NAT(Network Address Translation) 변환하여 상기 관리자 장치로 상기 단말의 선인증 요청을 전달하며,
    상기 IPsec 게이트웨이는,
    복수의 가상 라우터를 포함하고, 상기 IPsec 터널 내에 상기 복수의 가상 라우터를 할당하여 상기 인증된 단말이 다중 경로를 통해 해당 서버에 접근하도록 하고,
    상기 관리자 장치로부터 상기 선인증 과정을 통해 인증된 단말의 정보를 전달받으면 상기 인증된 단말과의 인터넷 키 교환(Internet Key Exchange; IKE)을 통해 IPsec 터널을 생성하고, 선인증되지 않은 단말로부터의 인터넷 키 교환 요청은 폐기 처리하여 보안을 강화하며,
    상기 관리자 장치로부터 상기 선인증 과정을 통해 인증된 단말의 정보를 전달받으면, 이에 응답하여 상기 관리자 장치의 IP주소를 다시 NAT 변환한 후 상기 인증된 단말로 인증메시지를 전달하되,
    상기 관리자 장치의 IP주소를 상기 IPsec 게이트웨이의 IP주소로 변환하여 상기 인증메시지에 상기 관리자 장치의 IP주소가 아닌 해당 단말이 접속할 IPsec 게이트웨이의 IP주소가 포함되도록 하는 것을 특징으로 하는 IPsec 가상 사설 네트워크 시스템.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 제1항에 있어서,
    상기 인증메시지에는 상기 관리자 장치로부터 전달받은 상기 인증된 단말의 정보가 포함되며,
    상기 인증된 단말의 정보는 단말의 IP주소, 가상 네트워크 및 서브넷 주소, 화이트 리스트를 포함하는 것을 특징으로 하는 IPsec 가상 사설 네트워크 시스템.
  8. 삭제
  9. 제1항에 있어서,
    상기 IPsec 게이트웨이는,
    상기 관리자 장치를 통해 인증된 단말로부터 IKE 초기 메시지를 수신하고 이에 IKE 인증 메시지를 송신하는 인터넷 키 교환(IKE)을 통해 상기 인증된 단말과 상기 서버 상호간 통신 터널을 생성하는 터널 생성부;
    상기 터널 생성부에 의해 생성된 IPsec 터널을 통해 상기 인증된 단말로부터 전송되는 패킷을 해당 서버로 전송하는 패킷전송부;
    를 더 포함하는 것을 특징으로 하는 IPsec 가상 사설 네트워크 시스템.
  10. 제1항에 있어서,
    상기 단말은,
    상기 관리자 장치로 선인증 과정을 요청하고 그 인증 결과로서 인증메시지를 수신하는 선인증부;
    상기 인증메시지에 포함되어 있는 IPsec 게이트웨이로 접근하여 상기 IPsec 게이트웨이와의 키 교환을 통해 IPsec 터널을 생성하는 터널 생성부;
    해당 서버로 전송하는 패킷을 상기 터널 생성부를 통해 생성된 IPsec 터널에 의해 전송하고 상기 서버로부터 패킷을 수신하는 패킷 전송부; 및
    상기 단말에 허가된 네트워크 정보 및 서비스 정보를 관리하는 정책수행부를 포함하는 것을 특징으로 하는 IPsec 가상 사설 네트워크 시스템.
  11. 제10항에 있어서,
    상기 인증메시지는,
    상기 단말이 접속할 IPsec 게이트웨이의 IP주소, 상기 단말이 사용할 네트워크 정보 및 서비스 정보를 적어도 포함하는 것을 특징으로 하는 IPsec 가상 사설 네트워크 시스템.
  12. 제1항에 있어서,
    상기 관리자 장치는,
    상기 IPsec 게이트웨이를 통해 전달된 상기 단말의 선인증 요청을 수행하고, 수행 결과 상기 단말이 정상 단말이면 상기 IPsec 게이트웨이를 통해 해당 단말에 인증메시지를 전달하는 선인증부;
    상기 IPsec 게이트웨이에 대한 인증 및 관리를 수행하는 게이트웨이 통신부
    를 포함하는 것을 특징으로 하는 IPsec 가상 사설 네트워크 시스템.
  13. 제12항에 있어서,
    상기 선인증부는,
    상기 IPsec 게이트웨이를 통해 전달된 패킷의 출발지 IP가 기 등록되어 있는 IPsec 게이트웨이로부터의 패킷이 아닌 경우 폐기 처리하여 외부로부터 직접 공격받는 것을 회피하는 것을 특징으로 하는 IPsec 가상 사설 네트워크 시스템.
KR1020190051559A 2019-05-02 2019-05-02 IPsec 가상 사설 네트워크 시스템 KR102059150B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190051559A KR102059150B1 (ko) 2019-05-02 2019-05-02 IPsec 가상 사설 네트워크 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190051559A KR102059150B1 (ko) 2019-05-02 2019-05-02 IPsec 가상 사설 네트워크 시스템

Publications (1)

Publication Number Publication Date
KR102059150B1 true KR102059150B1 (ko) 2019-12-24

Family

ID=69006234

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190051559A KR102059150B1 (ko) 2019-05-02 2019-05-02 IPsec 가상 사설 네트워크 시스템

Country Status (1)

Country Link
KR (1) KR102059150B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220130438A (ko) * 2021-03-18 2022-09-27 주식회사 케이티 5g lan 서비스 제공 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060048485A (ko) * 2004-06-25 2006-05-18 가부시끼가이샤 도시바 인증 시스템, 인증 엔티티 장치, 검증 장치, 클라이언트장치, 기억 매체, 인증 방법, 검증 방법, 및 인증 중계방법
KR100687415B1 (ko) * 2005-04-14 2007-02-26 주식회사 케이티프리텔 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체
JP4737089B2 (ja) * 2004-10-19 2011-07-27 日本電気株式会社 Vpnゲートウェイ装置およびホスティングシステム
KR20130056648A (ko) * 2011-11-22 2013-05-30 한국전자통신연구원 가상 사설 망 관리 시스템 및 그 방법
KR20170017860A (ko) 2016-12-30 2017-02-15 주식회사 모바일컨버전스 네트워크 vpn 기반의 네트워크 가상화 시스템

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060048485A (ko) * 2004-06-25 2006-05-18 가부시끼가이샤 도시바 인증 시스템, 인증 엔티티 장치, 검증 장치, 클라이언트장치, 기억 매체, 인증 방법, 검증 방법, 및 인증 중계방법
JP4737089B2 (ja) * 2004-10-19 2011-07-27 日本電気株式会社 Vpnゲートウェイ装置およびホスティングシステム
KR100687415B1 (ko) * 2005-04-14 2007-02-26 주식회사 케이티프리텔 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체
KR20130056648A (ko) * 2011-11-22 2013-05-30 한국전자통신연구원 가상 사설 망 관리 시스템 및 그 방법
KR20170017860A (ko) 2016-12-30 2017-02-15 주식회사 모바일컨버전스 네트워크 vpn 기반의 네트워크 가상화 시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220130438A (ko) * 2021-03-18 2022-09-27 주식회사 케이티 5g lan 서비스 제공 방법
KR102558364B1 (ko) 2021-03-18 2023-07-20 주식회사 케이티 5g lan 서비스 제공 방법

Similar Documents

Publication Publication Date Title
US11870809B2 (en) Systems and methods for reducing the number of open ports on a host computer
US11190489B2 (en) Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
JP3457645B2 (ja) ネットワーク・アドレス変換とプロトコル変換が存在する場合のパケット認証の方法
Patel et al. Securing L2TP using IPsec
US7386889B2 (en) System and method for intrusion prevention in a communications network
US7809126B2 (en) Proxy server for internet telephony
CN102217270B (zh) 使用认证令牌来授权防火墙打开针孔
Frankel et al. Guide to IPsec VPNs:.
US20020162026A1 (en) Apparatus and method for providing secure network communication
US8402511B2 (en) LDAPI communication across OS instances
JP2023514736A (ja) 安全な通信のための方法及びシステム
Nowaczewski et al. Securing Future Internet and 5G using Customer Edge Switching using DNSCrypt and DNSSEC.
US20230336529A1 (en) Enhanced privacy preserving access to a vpn service
Younes Securing ARP and DHCP for mitigating link layer attacks
US20080133915A1 (en) Communication apparatus and communication method
WO2009082950A1 (fr) Procédé, dispositif et système de distribution de clés
Shete et al. DHCP protocol using OTP based two-factor authentication
KR102059150B1 (ko) IPsec 가상 사설 네트워크 시스템
EP1836559B1 (en) Apparatus and method for traversing gateway device using a plurality of batons
US20150381387A1 (en) System and Method for Facilitating Communication between Multiple Networks
Cisco Introduction to Cisco IPsec Technology
Cisco Introduction to Cisco IPsec Technology
KR20180099293A (ko) 신뢰 도메인간 통신 방법 및 이를 위한 게이트웨이
Есенжолов et al. Implementation of traffic protection based on ipsec vpn technology and network modeling on ensp software environment
US20220278960A1 (en) Systems and methods for dynamic access control for devices over communications networks

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant