KR102158424B1 - 가상 사설 망 연결 장치 및 방법 - Google Patents

가상 사설 망 연결 장치 및 방법 Download PDF

Info

Publication number
KR102158424B1
KR102158424B1 KR1020190015339A KR20190015339A KR102158424B1 KR 102158424 B1 KR102158424 B1 KR 102158424B1 KR 1020190015339 A KR1020190015339 A KR 1020190015339A KR 20190015339 A KR20190015339 A KR 20190015339A KR 102158424 B1 KR102158424 B1 KR 102158424B1
Authority
KR
South Korea
Prior art keywords
vpn
header
client terminal
data packet
vpn communication
Prior art date
Application number
KR1020190015339A
Other languages
English (en)
Other versions
KR20200097919A (ko
Inventor
김한수
Original Assignee
김한수
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김한수 filed Critical 김한수
Priority to KR1020190015339A priority Critical patent/KR102158424B1/ko
Publication of KR20200097919A publication Critical patent/KR20200097919A/ko
Application granted granted Critical
Publication of KR102158424B1 publication Critical patent/KR102158424B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 VPN(Virtual Private Network, 가상 사설 망)을 이용하는 통신과 관련된 것으로서, VPN 통신으로 송수신 되는 모든 데이터 패킷(Data Packet)에 있어서, 데이터 패킷의 특정 부분을 기존의 구성과 다르게 재구성하여 데이터 패킷의 정보를 변경하고, 변경된 데이터 패킷을 송수신하여 통신함으로써 VPN 통신의 차단을 회피할 수 있는 가상 사설 망 연결 장치 및 방법에 관한 것이다.

Description

가상 사설 망 연결 장치 및 방법{APPATURUS AND METHOD FOR VIRTUAL PRIVATE NETWORK CONNECTION}
본 발명은 VPN(Virtual Private Network, 가상 사설 망)을 이용하는 통신과 관련된 것으로서, VPN 통신으로 송수신 되는 모든 데이터 패킷(Data Packet)에 있어서, 데이터 패킷의 특정 부분을 기존의 구성과 다르게 재구성하여 데이터 패킷의 정보를 변경하고, 변경된 데이터 패킷을 송수신하여 통신함으로써 VPN 통신의 차단을 회피할 수 있는 가상 사설 망 연결 장치 및 방법에 관한 것이다.
근래에는 다양한 기업들이 사업을 다각화하고 글로벌화 하고 있으며, 이에 따라서 타지에서 회사에서 수행되는 업무를 파악하고 이에 접근할 수 있는 서비스에 대한 관심이 높아지고 있다. 타지에서 회사의 업무를 처리하거나, 외근이 잦은 직종의 경우에는 회사의 서버를 이용하여 업무를 볼 수 있도록 VPN(Virtual Private Network, 가상 사설 망)을 이용하는 경우가 많아지고 있다.
VPN은 기존의 사설 네트워크 구조의 고비용과 비효율적인 관리를 해소하기 위해 인터넷과 같은 공중망을 마치 전용선으로 사설 네트워크를 구축한 것과 같이 사용할 수 있는 가상의 사설 네트워크이다.
여기에서, VPN을 통해 송수신되는 데이터 패킷은 크게 보면 헤더와 페이로드로 구성되는데, 헤더(Header)는 전송되는 데이터 패킷의 앞 부분으로, 통신 프로토콜에 따라 구성이 다르게 정해질 수 있으며, 데이터의 형식에 대한 정보, 시간 정보, 주소 정보 등으로 구성되어 있다. 또한, 페이로드(Payload)는 데이터 패킷의 바디(Body) 부분으로, 전송의 근본적인 목적이 되는 실질적인 정보를 담고 있는 부분이다.
이러한 VPN의 형태는 다양하게 존재하지만, 기존의 VPN은 사용하는 통신 프로토콜(규격)에 따라서 데이터 패킷의 헤더 부분에 구별 가능한 정보가 명시된다는 특징 때문에 특정 국가 또는 장소에서 기술적으로 쉽게 차단될 수 있다는 문제점이 있었다. 또한, 지정된 포트만 사용하는 VPN의 경우 해당 포트가 막혀있는 경우 사용이 불가하거나, 특정 VPN들은 보안을 고려하지 않고 설계되어 중간에 데이터가 탈취되는 경우 해당 데이터를 쉽게 해독 가능하여 정보가 유출될 수 있다는 문제점이 있다.
한국등록특허 제10-1922980호
본 발명은 상술된 문제점을 해결하기 위해 도출된 것으로서, VPN 통신으로 송수신 되는 모든 데이터 패킷에 있어서, 데이터 패킷의 바디(Payload) 부분에 VPN용 헤더(Header)를 추가적으로 할당한 후, 할당된 헤더를 재구성하여 데이터 패킷의 정보를 변경함으로써, 정보가 변경된 데이터 패킷을 송수신하여 이루어지는 VPN 통신을 통해서 VPN 통신 차단을 회피할 수 있으며, 또한, 데이터 패킷이 VPN 통신 과정에서 탈취되더라도 해독을 불가능하게 할 수 있도록 하는 가상 사설 망 연결 장치 및 방법을 전달하고자 한다.
본 발명의 일 실시예에 따른 가상 사설 망 연결 장치는 VPN 통신으로 송수신 되는 데이터 패킷(Data Packet)의 바디(Payload)에 VPN 헤더(Header)를 추가적으로 할당하는 VPN 헤더 할당부, 상기 VPN 헤더를 구성하는 데이터의 조합 순서를 무작위로 변경하여 상기 VPN 헤더를 재구성하는 VPN 헤더 변환부 및 상기 재구성된 VPN 헤더가 할당되어 있는 상기 데이터 패킷을 클라이언트 단말로 전송하는 VPN 통신부를 포함할 수 있다.
일 실시예에서, 상기 VPN 통신부는 L7(Layer 7, 응용 계층) 프로토콜(Protocol)을 통해 통신할 수 있다.
일 실시예에서, 상기 VPN 통신부는 상기 VPN 통신을 하기 위한 VPN 접속 에이전트가 설치되는 상기 클라이언트 단말과 통신할 수 있다.
일 실시예에서, 상기 클라이언트 단말은 상기 VPN 접속 에이전트를 통해 VPN 통신 가능 포트를 결정하고, 상기 VPN 통신 가능 포트를 사용하여 상기 VPN 통신부와 접속할 수 있다.
일 실시예에서, 상기 VPN 통신부는 상기 VPN 통신부와 접속된 적어도 하나의 클라이언트 단말 각각과 통신하되, 상기 적어도 하나의 클라이언트 단말 각각 마다 상이하게 재구성된 VPN 헤더가 할당되어 있는 데이터 패킷을 송수신하여 통신할 수 있다.
본 발명의 다른 실시예에 따른 가상 사설 망 연결 방법은 VPN 헤더 할당부를 통해, VPN 통신으로 송수신 되는 데이터 패킷(Data Packet)의 바디(Payload)에 VPN 헤더(Header)를 추가적으로 할당하는 단계, VPN 헤더 변환부를 통해, 상기 VPN 헤더를 구성하는 데이터의 조합 순서를 무작위로 변경하여 상기 VPN 헤더를 재구성하는 단계 및 VPN 통신부를 통해, 상기 재구성된 VPN 헤더가 할당되어 있는 상기 데이터 패킷을 클라이언트 단말로 전송하는 단계를 포함할 수 있다.
본 발명의 일 실시예에 따른 가상 사설 망 연결 장치 및 방법은 VPN 통신으로 송수신 되는 모든 데이터 패킷에 있어서, 데이터 패킷의 바디(Payload) 부분에 VPN용 헤더(Header)를 추가적으로 할당한 후, 할당된 헤더를 재구성하여 데이터 패킷의 정보를 변경함으로써, UTM(Unified Threat Management)과 같이 특정 룰(Rule)이나 패턴(Pattern)을 통해 VPN 통신을 차단하는 방식 및 일반적으로 방화벽(Firewall)이 데이터 패킷의 헤더 정보를 인식하여 VPN 통신을 감지하고 차단하는 방식을 회피할 수 있다. 또한, 본 발명의 일 실시예에 따른 가상 사설 망 연결 장치 및 방법은 L7(Layer 7)의 프로토콜(Protocol)을 이용하는 VPN 통신이 이루어지기 때문에 강도 높은 암호화가 가능하고, 추가적으로 VPN 헤더를 재구성함으로써 데이터 패킷이 VPN 통신 과정에서 탈취되더라도 해독을 불가능하게 만들 수 있으며, VPN 통신이 가능한 포트를 검색하여 접속할 수 있는 이점을 가진다.
도 1은 본 발명의 일 실시예에 따른 가상 사설 망 연결 장치(100)가 적용될 수 있는 종래의 VPN 통신 시스템(1)의 구성을 개략적으로 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 가상 사설 망 연결 장치(100)의 구성을 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 가상 사설 망 연결 장치(100)에 의해 데이터 패킷이 재구성되는 과정의 설명을 돕기 위한 데이터 패킷의 구성도이다.
도 4는 본 발명의 일 실시예에 따른 가상 사설 망 연결 장치(100)의 VPN 통신 과정을 설명하기 위한 순서도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
명세서 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.
또한, 명세서에 기재된 "...부"의 용어는 하나 이상의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
도 1은 본 발명의 일 실시예에 따른 가상 사설 망 연결 장치(100)가 적용될 수 있는 종래의 VPN 통신 시스템(1)의 구성을 개략적으로 도시한 도면이다.
도 1을 살펴보면, 종래의 VPN 통신 시스템(1)은 크게 클라이언트 단말(10)과 VPN 서버(20)로 구성될 수 있으며, VPN 서버(20) 간의 통신 연결은 인터넷과 같은 공중망을 이용해 구현될 수 있다.
여기에서, 같은 VPN을 사용하는 VPN 서버(20) 간에 통신을 하거나 또는 클라이언트 단말(10)과 VPN 서버(20) 간에 통신을 하는 경우, 서로 같은 프로토콜(Protocol)을 사용하여 통신을 하게 되는데, 통신 프로토콜에 대한 정보, 데이터의 형식에 대한 정보, 시간 정보 및 주소 정보 등이 송수신 되는 데이터 패킷의 헤더(Header) 부분에 명시된다. 이 때문에 이러한 특징을 이용한(헤더의 패턴 파악을 통한) VPN 통신 차단 방식이 존재하며, 또한 헤더 분석을 통해 데이터 암호화 해독이 가능할 수 있어 VPN 통신 과정에서 중요한 정보가 유출될 수 있다는 문제점이 있었다.
도 2는 본 발명의 일 실시예에 따른 가상 사설 망 연결 장치(100)의 구성을 도시한 도면이다.
도 2를 살펴보면, 본 발명의 일 실시예에 따른 가상 사설 망 연결 장치(100)는 VPN 헤더 할당부(101), VPN 헤더 변환부(102) 및 VPN 통신부(103)를 포함하여 구성될 수 있다. 도 2에 도시된 가상 사설 망 연결 장치(100)는 일 실시예에 따른 것이고, 그 구성요소들이 도 2에 도시된 실시예에 한정되는 것은 아니며, 필요에 따라 일부 구성요소가 부가, 변경 또는 삭제될 수 있다.
먼저, VPN 헤더 할당부(101)는 VPN 통신으로 송수신 되는 데이터 패킷의 바디(Payload)에 VPN 헤더를 추가적으로 할당할 수 있다. 일반적으로 데이터 패킷은 헤더 부분과 바디 부분으로 나눌 수 있으며, 본 발명의 일 실시예에 따른 가상 사설 망 연결 장치(100)는 도 3과 같이 데이터 패킷의 바디 부분에 VPN 헤더를 추가 할당할 수 있다.
도 3은 본 발명의 일 실시예에 따른 가상 사설 망 연결 장치(100)에 의해 데이터 패킷이 재구성되는 과정의 설명을 돕기 위한 데이터 패킷의 구성도이다.
도 3을 살펴보면, 상술한 VPN 헤더는 구성 요소로 MAGIC, TYPE, ENCRYPT 및 SIZE 파트를 포함할 수 있으며, 상술한 구성 요소들은 변경될 수 있다. 먼저, MAGIC 파트는 본 발명의 일 실시예에 따른 가상 사설 망 연결 장치(100)와 통신하게 되는 클라이언트 단말(10)에게 부여되는 고유 번호를 포함할 수 있다. 다음으로, TYPE 파트는 VPN 통신으로 전송되는 데이터 패킷의 데이터 형식에 대한 정보를 포함할 수 있다. 다음으로, ENCRYPT 파트는 VPN 통신으로 전송되는 데이터 패킷의 암호화 여부와 암호화의 종류에 대한 정보를 포함할 수 있다. 다음으로, SIZE 파트는 VPN 통신으로 전송되는 데이터 패킷의 바디 부분의 데이터 크기에 대한 정보를 포함할 수 있다.
다음으로, VPN 헤더 변환부(102)는 VPN 헤더를 구성하는 데이터의 조합 순서를 무작위로 변경하여 VPN 헤더를 재구성할 수 있다. 일반적으로 데이터 패킷의 헤더 부분은 상기 헤더를 구성하는 파트가 일정한 순서로 조합되어 만들어지게 되는데, 도 3을 참조하면, 본 발명의 일 실시예에 따른 가상 사설 망 연결 장치(100)는 상술한 MAGIC, TYPE, ENCRYPT 및 SIZE 파트의 순서를 무작위로 변경해 조합하거나 또는 각 파트를 더 세분화한 데이터의 순서를 무작위로 변경해 조합하여 헤더의 패턴이 일정하지 않도록 할 수 있다.
다음으로, VPN 통신부(103)는 재구성된 VPN 헤더가 할당되어 있는 데이터 패킷을 클라이언트 단말로 전송할 수 있다.
여기에서, VPN 통신부(103)는 VPN 통신을 하기 위한 VPN 접속 에이전트가 설치되는 클라이언트 단말(10)과 통신할 수 있다.
또한, 클라이언트 단말(10)은 VPN 접속 에이전트를 통해서 VPN 헤더 변환부(102)가 재구성한 VPN 헤더의 정보를 제공받을 수 있고, 제공받은 VPN 헤더를 데이터 패킷에 추가 할당하여 VPN 통신부(103)로 전송함으로써 VPN 통신부(103)와 정해진 프로토콜에 따라 데이터 패킷을 주고 받아 통신할 수 있다.
또한, 클라이언트 단말(10)은 VPN 접속 에이전트를 통해 VPN 통신 가능 포트를 결정하고, 상기 VPN 통신 가능 포트를 사용하여 VPN 통신부(103)와 접속할 수 있다.
구체적으로 설명하면, 어떤 VPN은 일정한 포트를 통해 통신을 하게 되는데 이러한 VPN은 해당 포트가 차단되어 있을 경우 통신이 제한되는 일이 발생하게 된다. 그러나 본 발명의 일 실시예에 따른 가상 사설 망 연결 장치(100)는 클라이언트 단말(10)에 설치되는 VPN 접속 에이전트를 통해 열려 있는 모든 포트를 찾을 수 있고, 그 중 하나를 통하여 VPN 통신부(103)와 접속이 가능하며 예를 들어, 클라이언트 단말(10)은 대부분의 경우에서 개방되어 있는 HTTP 80 포트 또는 DNS 53 포트를 통해서 VPN 통신부(103)와 접속할 수 있다.
또한, VPN 통신부(103)는 상기 VPN 통신부(103)와 접속된 적어도 하나의 클라이언트 단말(10) 각각과 통신하되, 상기 적어도 하나의 클라이언트 단말(10) 각각 마다 상이하게 재구성된 VPN 헤더가 할당되어 있는 데이터 패킷을 송수신하여 통신할 수 있다.
구체적으로 예를 들면, VPN 통신부(103)와 접속된 각각의 클라이언트 단말(10)은 VPN 통신을 하기 위한 VPN 헤더 정보를 제공받게 되는데, 접속된 각각의 클라이언트 단말(10)은 서로 다른 VPN 헤더 정보를 제공받게 되며, 각 클라이언트 단말(10)이 제공받는 VPN 헤더 정보는 해당 클라이언트 단말(10)과 VPN 통신부(103)와의 접속 상태가 끊어지고 다시 연결되어 갱신될 때 마다 변경될 수 있다. 이러한 방식은 같은 VPN 서버 내에서 통신 중인 클라이언트 단말(10) 하나에 대한 데이터가 유출되어 해독이 가능하다고 하더라도, 다른 클라이언트 단말(10)의 데이터에 대해서는 또 다른 해독 방법이 필요할 수 있다.
또한, VPN 통신부(103)는 L7(Layer 7, 응용 계층) 프로토콜(Protocol)을 통해 통신할 수 있다.
구체적으로, VPN은 모두 특정 프로토콜을 통해 통신이 이루어지는데 본 발명의 일 실시예에 따른 가상 사설 망 연결 장치(100)는 L7 프로토콜을 이용한 통신을 할 수 있으며, 일반적으로 L7 프로토콜을 이용한 VPN 통신은 그 통신 과정에서 송수신되는 데이터 패킷의 헤더 부분과 바디 부분 모두를 암호화 처리 할 수 있다.
다음으로는, 도 4를 참조해 이러한 가상 사설 망 연결 장치를 통한 VPN 통신 과정을 살펴보기로 한다.
도 4는 본 발명의 일 실시예에 따른 가상 사설 망 연결 장치의 VPN 통신 과정을 설명하기 위한 순서도이다.
도 4를 살펴보면, 먼저 VPN 헤더 할당부는 해당 프로토콜에 따라 송수신하게 되는 데이터 패킷에 VPN 헤더를 할당하게 된다(S501).
다음으로, VPN 헤더 변환부는 VPN 헤더 할당부가 할당한 VPN 헤더의 데이터 조합 순서를 무작위로 변경하여 VPN 헤더를 재구성하게 된다(S502).
다음으로, VPN 통신부는 재구성된 VPN 헤더가 적용된 데이터 패킷을 클라이언트 단말로 전송함으로써 VPN 통신이 시작 되며, 클라이언트 단말 또한 VPN 접속 에이전트를 통해서 재구성된 VPN 헤더가 적용된 데이터 패킷을 VPN 통신부로 전송함으로써 통신이 이루어지게 된다(S503).
전술한 가상 사설 망 연결 방법은 도면에 제시된 순서도를 참조로 하여 설명되었다. 간단히 설명하기 위하여 상기 방법은 일련의 블록들로 도시되고 설명되었으나, 본 발명은 상기 블록들의 순서에 한정되지 않고, 몇몇 블록들은 다른 블록들과 본 명세서에서 도시되고 기술된 것과 상이한 순서로 또는 동시에 일어날 수도 있으며, 동일한 또는 유사한 결과를 달성하는 다양한 다른 분기, 흐름 경로, 및 블록의 순서들이 구현될 수 있다. 또한, 본 명세서에서 기술되는 방법의 구현을 위하여 도시된 모든 블록들이 요구되지 않을 수도 있다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
1: 종래의 VPN 통신 시스템
10: 클라이언트 단말
20: VPN 서버
100: 가상 사설 망 연결 장치
101: VPN 헤더 할당부
102: VPN 헤더 변환부
103: VPN 통신부

Claims (6)

  1. VPN 통신으로 송수신 되는 데이터 패킷(Data Packet)의 바디(Payload)에 VPN 헤더(Header)를 추가적으로 할당하는 VPN 헤더 할당부;
    상기 VPN 헤더의 할당 후, 상기 VPN 헤더를 구성하는 데이터의 조합 순서를 무작위로 변경하여 상기 VPN 헤더를 재구성하는 VPN 헤더 변환부; 및
    상기 재구성된 VPN 헤더가 할당되어 있는 상기 데이터 패킷을 클라이언트 단말로 전송하는 VPN 통신부;를 포함하고,
    상기 VPN 통신부는,
    L7(Layer 7, 응용 계층) 프로토콜(Protocol)을 통해 통신하며,
    상기 VPN 통신부는,
    상기 VPN 통신을 하기 위한 VPN 접속 에이전트가 설치되는 상기 클라이언트 단말과 통신하고,
    상기 VPN 통신부는,
    상기 VPN 통신부와 접속된 적어도 하나의 클라이언트 단말 각각과 통신하되, 상기 적어도 하나의 클라이언트 단말 각각 마다 상이하게 재구성된 VPN 헤더가 할당되어 있는 데이터 패킷을 송수신하여 통신하며,
    상기 VPN 통신부는,
    상기 클라이언트 단말과의 통신 과정에서 송수신되는 데이터 패킷의 헤더 부분과 바디 부분 모두를 암호화 처리하고,
    상기 클라이언트 단말은,
    상기 VPN 접속 에이전트를 통해 VPN 통신 가능 포트를 결정하며, 상기 VPN 통신 가능 포트를 사용하여 상기 VPN 통신부와 접속하고,
    상기 클라이언트 단말은,
    HTTP 80 포트 또는 DNS 53 포트를 통해서 상기 VPN 통신부와 접속하며,
    상기 VPN 헤더는,
    상기 클라이언트 단말에게 부여되는 고유 번호를 포함하는 MAGIC 파트;
    VPN 통신으로 전송되는 데이터 패킷의 데이터 형식에 대한 정보를 포함하는 TYPE 파트;
    VPN 통신으로 전송되는 데이터 패킷의 암호화 여부와 암호화의 종류에 대한 정보를 포함하는 ENCRYPT 파트; 및
    VPN 통신으로 전송되는 데이터 패킷의 바디 부분의 데이터 크기에 대한 정보를 포함하는 SIZE 파트;로 구성되고,
    상기 VPN 헤더 변환부는,
    상기 MAGIC 파트, TYPE 파트, ENCRYPT 파트 및 SIZE 파트의 순서를 무작위로 변경해 조합하거나 또는 상기 MAGIC 파트, TYPE 파트, ENCRYPT 파트 및 SIZE 파트 각각이 포함하는 데이터의 순서를 무작위로 변경해 조합하여 상기 VPN 헤더의 패턴이 일정하지 않도록 재구성하는 것을 특징으로 하는, 가상 사설 망 연결 장치.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. VPN 헤더 할당부를 통해, VPN 통신으로 송수신 되는 데이터 패킷(Data Packet)의 바디(Payload)에 VPN 헤더(Header)를 추가적으로 할당하는 단계;
    VPN 헤더 변환부를 통해, 상기 VPN 헤더의 할당 후, 상기 VPN 헤더를 구성하는 데이터의 조합 순서를 무작위로 변경하여 상기 VPN 헤더를 재구성하는 단계; 및
    VPN 통신부를 통해, 상기 재구성된 VPN 헤더가 할당되어 있는 상기 데이터 패킷을 클라이언트 단말로 전송하는 단계;를 포함하고,
    상기 데이터 패킷을 클라이언트 단말로 전송하는 단계는,
    L7(Layer 7, 응용 계층) 프로토콜(Protocol)을 통해 통신하는 단계;를 포함하고,
    상기 데이터 패킷을 클라이언트 단말로 전송하는 단계는,
    상기 VPN 통신을 하기 위한 VPN 접속 에이전트가 설치되는 상기 클라이언트 단말과 통신하는 단계;를 포함하며,
    상기 데이터 패킷을 클라이언트 단말로 전송하는 단계는,
    상기 VPN 통신부와 접속된 적어도 하나의 클라이언트 단말 각각과 통신하되, 상기 적어도 하나의 클라이언트 단말 각각 마다 상이하게 재구성된 VPN 헤더가 할당되어 있는 데이터 패킷을 송수신하여 통신하는 단계;를 포함하고,
    상기 데이터 패킷을 클라이언트 단말로 전송하는 단계는,
    상기 클라이언트 단말과의 통신 과정에서 송수신되는 데이터 패킷의 헤더 부분과 바디 부분 모두를 암호화 처리하는 단계;를 포함하며,
    상기 클라이언트 단말은,
    상기 VPN 접속 에이전트를 통해 VPN 통신 가능 포트를 결정하고, 상기 VPN 통신 가능 포트를 사용하여 상기 VPN 통신부와 접속하고,
    상기 클라이언트 단말은,
    HTTP 80 포트 또는 DNS 53 포트를 통해서 상기 VPN 통신부와 접속하며,
    상기 VPN 헤더는,
    상기 클라이언트 단말에게 부여되는 고유 번호를 포함하는 MAGIC 파트;
    VPN 통신으로 전송되는 데이터 패킷의 데이터 형식에 대한 정보를 포함하는 TYPE 파트;
    VPN 통신으로 전송되는 데이터 패킷의 암호화 여부와 암호화의 종류에 대한 정보를 포함하는 ENCRYPT 파트; 및
    VPN 통신으로 전송되는 데이터 패킷의 바디 부분의 데이터 크기에 대한 정보를 포함하는 SIZE 파트;로 구성되고,
    상기 VPN 헤더를 재구성하는 단계는,
    상기 MAGIC 파트, TYPE 파트, ENCRYPT 파트 및 SIZE 파트의 순서를 무작위로 변경해 조합하거나 또는 상기 MAGIC 파트, TYPE 파트, ENCRYPT 파트 및 SIZE 파트 각각이 포함하는 데이터의 순서를 무작위로 변경해 조합하여 상기 VPN 헤더의 패턴이 일정하지 않도록 재구성하는 단계;를 포함하는 것을 특징으로 하는, 가상 사설 망 연결 방법.
KR1020190015339A 2019-02-11 2019-02-11 가상 사설 망 연결 장치 및 방법 KR102158424B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190015339A KR102158424B1 (ko) 2019-02-11 2019-02-11 가상 사설 망 연결 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190015339A KR102158424B1 (ko) 2019-02-11 2019-02-11 가상 사설 망 연결 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20200097919A KR20200097919A (ko) 2020-08-20
KR102158424B1 true KR102158424B1 (ko) 2020-09-21

Family

ID=72292889

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190015339A KR102158424B1 (ko) 2019-02-11 2019-02-11 가상 사설 망 연결 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102158424B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024071715A1 (ko) * 2022-09-26 2024-04-04 삼성전자주식회사 네트워크 레벨을 조정하기 위한 전자 장치 및 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140090011A1 (en) * 1998-08-19 2014-03-27 Wayne Richard Howe Stealth packet switching

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9735943B2 (en) * 2015-05-11 2017-08-15 Citrix Systems, Inc. Micro VPN tunneling for mobile platforms
KR101922980B1 (ko) 2017-02-02 2018-11-28 주식회사 시큐아이 네트워크 장치 및 그의 패킷 송신 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140090011A1 (en) * 1998-08-19 2014-03-27 Wayne Richard Howe Stealth packet switching

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024071715A1 (ko) * 2022-09-26 2024-04-04 삼성전자주식회사 네트워크 레벨을 조정하기 위한 전자 장치 및 방법

Also Published As

Publication number Publication date
KR20200097919A (ko) 2020-08-20

Similar Documents

Publication Publication Date Title
US8713305B2 (en) Packet transmission method, apparatus, and network system
US9712504B2 (en) Method and apparatus for avoiding double-encryption in site-to-site IPsec VPN connections
CN114402574A (zh) 用于提供多租户软件定义的广域网(sd-wan)节点的方法、系统和计算机可读介质
US8019850B2 (en) Virtual private network management
US8041824B1 (en) System, device, method and software for providing a visitor access to a public network
US6438612B1 (en) Method and arrangement for secure tunneling of data between virtual routers
CN103188351B (zh) IPv6环境下IPSec VPN通信业务处理方法与系统
EP3425886B1 (en) Dynamic vpn address allocation
US20020083344A1 (en) Integrated intelligent inter/intra networking device
US20130182651A1 (en) Virtual Private Network Client Internet Protocol Conflict Detection
KR20150020530A (ko) 다중 터널 가상 사설 네트워크
CN111385259B (zh) 一种数据传输方法、装置、相关设备及存储介质
US7984293B2 (en) Secure host network address configuration
CN109450905B (zh) 传输数据的方法和装置及系统
CN105052106B (zh) 用于接收和传输互联网协议(ip)数据包的方法和系统
US8146144B2 (en) Method and system for the transparent transmission of data traffic between data processing devices, corresponding computer program product, and corresponding computer-readable storage medium
KR102158424B1 (ko) 가상 사설 망 연결 장치 및 방법
CN108924157B (zh) 一种基于IPSec VPN的报文转发方法及装置
EP3354114B1 (en) Method and apparatus for a radio node and a controlling gateway
CN102447626A (zh) 具有策略驱动路由的主干网
US20160316021A1 (en) Remote out of band management
US11870797B2 (en) Isolating internet-of-things (IoT) devices using a secure overlay network
CN106027508A (zh) 一种认证加密的数据传输方法及装置
CN111903105A (zh) 多路复用安全隧道
US20040037284A1 (en) Method for secure packet-based communication between two units via an intermedia unit

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant