KR102200857B1 - 다중 경로 환경에서 IPsec 터널들의 효율적인 사용 - Google Patents

다중 경로 환경에서 IPsec 터널들의 효율적인 사용 Download PDF

Info

Publication number
KR102200857B1
KR102200857B1 KR1020187002657A KR20187002657A KR102200857B1 KR 102200857 B1 KR102200857 B1 KR 102200857B1 KR 1020187002657 A KR1020187002657 A KR 1020187002657A KR 20187002657 A KR20187002657 A KR 20187002657A KR 102200857 B1 KR102200857 B1 KR 102200857B1
Authority
KR
South Korea
Prior art keywords
datagram
connections
metadata
ipsec
computing device
Prior art date
Application number
KR1020187002657A
Other languages
English (en)
Other versions
KR20180035813A (ko
Inventor
마르코 안토니오 무르지아
Original Assignee
사이트릭스 시스템스, 인크.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 사이트릭스 시스템스, 인크. filed Critical 사이트릭스 시스템스, 인크.
Publication of KR20180035813A publication Critical patent/KR20180035813A/ko
Application granted granted Critical
Publication of KR102200857B1 publication Critical patent/KR102200857B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

각각의 연결이 자신의 보안 연관을 요청하지 않고 컴퓨팅 장치에 대한 복수의 연결들을 통해 네트워크 트래픽을 보안하기 위한 시스템 및 방법이 제공된다. 시스템은 데이터그램을 획득하고 데이터그램을 인코딩하도록 구성되는 IPsec 인코더, - IPsec 인코더는 컴퓨팅 엔티티와 연관된 적어도 하나의 IPsec 보안 연관을 포함함 -, 메타데이터를 인코딩된 데이터그램과 연관시키도록 구성되는 패킷 분석기, 및 컴퓨팅 장치에 대한 복수의 연결들 중 하나를 이용하여 상기 인코딩된 데이터그램을 전송하는 게이트웨이를 포함한다.

Description

다중 경로 환경에서 IPsec 터널들의 효율적인 사용
본 발명은 다중 경로 환경에서 IPsec 터널들의 효율적인 사용에 관한 것이다.
모뎀 컴퓨팅 환경들에서, 네트워크를 이용하여 원격 컴퓨팅 시스템들을 서로 연결해야 하는 경우가 종종 있다. 예를 들어, 기업들과 같은 조직들은 종종 국내 및 전 세계의 여러 위치들에 분산된 지사들, 직원들 또는 계약자들을 갖는다. 현재의 네트워킹 기술들은 공용 및 사설 컴퓨터 네트워크들을 통해 이러한 이종 컴퓨터 환경들 사이의 통신을 허용한다. 종종, 분리된 컴퓨팅 환경들이 인터넷을 이용하여 서로 연결된다. 사무실들과 직원들이 서로 연결되게 함으로써 조직은 통합된 컴퓨팅 환경을 생성할 수 있다.
공용 및 사설 연결 네트워크들 모두를 통해 조직을 연결하는 것은 중요한 데이터에 대한 보안 위험을 제기할 수 있다. 데이터가 인터넷이나 다른 공용 네트워크들을 통해 전달되면, 여러 종류의 전기적 공격들에 취약해진다. 개별 애플리케이션들 또는 연결들은 보호들, 예를 들어, 암호화를 이용할 수 있지만, 조직은 모든 네트워크 트래픽에 대해 사무실들 또는 직원들 사이의 보안 링크를 제공하는데 관심을 갖는다. 다양한 기술들이 이러한 링크를 제공하기 위해 이용될 수 있다. 예를 들어, 조직들은 대중들에게 공개되지 않은 두 위치들 사이에 직접적인 물리적 연결을 구입하거나 임대할 수 있다. 또한, 조직들은 데이터를 암호화하는 애플리케이션들을 채용할 수 있다. 또는 조직들은 종래의 가상 사설 네트워크들을 이용하여 보안 통신을 허용할 수 있다.
보안 취약성에 대응하여 중요한 데이터를 보호하는 것 외에도, 조직들은 원격 컴퓨팅 환경들 사이의 연결들이 신뢰할 수 있고 효율적인 것을 보장해야 한다. 조직들은 상이한 인터넷 서비스 공급자들 또는 네트워크들을 통해 다중 연결을 이용하는 것을 포함하여 여러 가지 방법으로 신뢰성을 향상시킴으로써, 하나의 연결이 실패할 때, 다른 연결들을 이용하여 네트워크를 유지할 수 있는 것을 보장할 수 있다. 연결들은 공용 네트워크들, 예를 들어 인터넷을 횡단하거나 사설 링크의 두 엔드포인트들을 직접 연결할 수 있다. 조직들은 네트워크 트래픽을 다중 연결들을 통해 분산시켜 전체 대역폭을 증가시킴으로써, 또는 직접적인, 사설 링크들에서 이용될 때 효율성을 증가시킬 수 있는, 특정 네트워킹 프로토콜들을 이용함으로써 효율성을 증가시킬 수 있다. 경우에 따라, 조직들은 또한 그들의 일반적인 네트워크 트래픽과는 분리된 특정 애플리케이션들 또는 목적들에 대해 특정 유형의 연결들을 이용할 수 있다.
조직들은 보안 및 신뢰성 문제들을 개별적으로 해결하기 위해 다양한 기술들을 이용할 수 있지만, 두 가지 문제들을 동시에 해결하는 것은 기술적 어려움들을 야기할 수 있다. 조직들은, 이하에서 보다 상세하게 설명되는 IP 보안(Internet Protocol Security; "IPsec") 및 국제 인터넷 표준화 기구(Internet Engineering Task Force; "IETF")의 주석 요청서(Request For Comment; "RFC")와 같은 기술들을 이용하여, 특정 연결 상의 모든 네트워크 트래픽에 대한 보안 연결을 생성할 수 있다. 그러나 IPsec은 출발지(source)와 목적지(destination) 사이의 자격 증명들의 공유 세트의 생성을 요청함으로써 보안 통신을 허용한다. 이러한 자격 증명들은 반드시 인터넷 키 교환(Internet Key Exchange; "IKE")과 같은 기술을 이용하여 협상되어야 한다. IPsec 연결을 형성하는 자격 증명들 및 다른 보안 파라미터들은 보안 연관(Security Association; "SA")으로 지칭된다. 링크가 연결 해제될 때마다, 링크가 반환될 때 새로운 SA가 설정되어야 하며, 그에 따라 링크 유지에 대한 오버헤드가 추가된다. 또한, 각각의 단방향 연결은 자체 SA를 요구한다. 암호화와 인증을 모두 이용할 때, 이용되는 IPsec의 특정 변화에 의존하는 각각의 단방향 링크를 위해 적절한 보안을 보장하기 위한 공통된 접근 방법, 하나 또는 2개의 SA들이 필요하다. 따라서, 엔드포인트들 간의 모든 양방향 연결은 설정을 위해 2개 또는 4개의 SA들에 대한 협상이 요구된다. 일반적인 양방향 링크를 통해 IPsec 설정을 유지하는 것은 상당히 간단할 수 있다. 그러나 중복되거나 추가되는 링크들의 수가 늘어남에 따라, 협상 및 유지해야 하는 SA들의 수가 늘어난다. 현대의 컴퓨팅 네트워크들에서 다중 동시 IPsec 연결들을 유지하여 신뢰할 수 있고 보안된 통신을 보장하는 것은 상당한 네트워킹 오버헤드와 경영상의 어려움들을 초래한다.
각각의 연결이 자신의 보안 연관을 요청하지 않고 컴퓨팅 장치에 대한 복수의 연결들을 통해 네트워크 트래픽을 보안하기 위한 시스템 및 방법이 제공된다. 시스템은 데이터그램을 획득하고 데이터그램을 인코딩하도록 구성되는 IPsec 인코더, - IPsec 인코더는 컴퓨팅 엔티티와 연관된 적어도 하나의 IPsec 보안 연관을 포함함 -, 메타데이터를 인코딩된 데이터그램과 연관시키도록 구성되는 패킷 분석기, 및 컴퓨팅 장치에 대한 복수의 연결들 중 하나를 이용하여 상기 인코딩된 데이터그램을 전송하는 게이트웨이를 포함한다.
개시된 실시 예들에 의해 제공된 보안 통신은 다중 네트워크 경로들을 동시에 이용할 수 있고, 하나의 IPsec 연결에 대한 설정 및 유지만을 요구한다. 이러한 기술들은 다중 동시 링크들을 통해 IPsec 통신들을 관리하기 위한 오버헤드 및 유지 요구 사항들을 크게 감소시킬 수 있다. 또한, 여러 경로를 통해 IPsec 통신들을 제공하기 위하여 요구되는 많은 오버헤드를 제거함으로써, 이러한 기술들은 네트워크 효율성 및 대역폭을 향상시킨다. 개시된 실시 예들은 네트워크들을 통해 전송되는 각각의 데이터그램과 연관된 데이터를 기초로 사설 경로들의 지능적 선택을 추가로 제공할 수 있다.
이제 본 발명의 예시적인 실시 예들을 나타내는 첨부된 도면들이 설명된다.
도 1은 본 발명의 실시 예들에 따른 예시적인 네트워크 환경의 블록도이다.
도 2a 내지 도 2b는 본 발명의 실시 예에 따른 예시적인 컴퓨팅 장치의 블록도들이다.
도 3a 내지 도 3c는 본 발명의 실시 예들에 따른 예시적인 데이터그램들의 블록도들이다.
도 4는 본 발명의 실시 예들에 따른, 예시적인 네트워크 환경에서 제공되는 예시적인 어플라이언스의 블록도이다.
도 5는 본 발명의 실시 예들에 따라 데이터그램들을 전송하는 예시적인 방법을 나타내는 흐름도이다.
도 6은 본 발명의 실시 예들에 따라 데이터그램들을 수신하는 예시적인 방법을 나타내는 흐름도이다.
이하, 첨부된 도면들을 참조하여 본 발명에 따라 구현되는 예시적인 실시 예들을 보다 상세히 설명한다. 가능한, 도면 전체에 걸쳐 동일한 참조 번호들은 동일하거나 유사한 부분들을 나타내기 위해 사용될 것이다.
본 명세서에 개시된 실시 예들은 2개의 네트워크 엔드포인트들 간의 보안 통신을 제공한다. 이러한 엔드포인트들은 하나 이상의 네트워크 연결들을 통해 연결될 수 있다. 개시된 실시 예들에 의해 제공된 보안 통신은 다중 네트워크 경로들을 동시에 이용할 수 있고, 하나의 IPsec 연결에 대한 설정 및 유지만을 요구한다. 이러한 기술들은 다중 동시 링크들을 통해 IPsec 통신들을 관리하기 위한 오버헤드 및 유지 요구 사항들을 크게 감소시킬 수 있다. 또한, 여러 경로를 통해 IPsec 통신들을 제공하기 위하여 요구되는 많은 오버헤드를 제거함으로써, 이러한 기술들은 네트워크 효율성 및 대역폭을 향상시킨다. 개시된 실시 예들은 네트워크들을 통해 전송되는 각각의 데이터그램과 연관된 데이터를 기초로 사설 경로들의 지능적 선택을 추가로 제공할 수 있다.
도 1은 예시적인 네트워크 환경(100)의 블록도이다. 예시적인 네트워크 환경(100)은 가상 네트워크 환경에 관한 것이지만, 네트워크 환경은 패킷들을 이용하여 통신하는 임의의 유형의 네트워크일 수 있다는 것이 이해된다. 네트워크 환경(100)은 하나 이상의 클라이언트 장치들(102), 공용 네트워크(104), 하나 이상의 게이트웨이들(106), 하나 이상의 어플라이언스들(108), 사설 네트워크(110), 데이터 센터(120), 및 지사(140)를 포함할 수 있다.
하나 이상의 클라이언트 장치들(102)은 다양한 수단들을 통해 데이터 센터(120)로부터 원격 서비스들을 획득할 수 있는 장치이다. 클라이언트 장치들(102)은 공용 네트워크(104)를 통해(예를 들어, 클라이언트 장치들(102A-D)) 또는 사설 네트워크(110)를 통해(예를 들어, 클라이언트 장치(102F)) 직접적으로(예를 들어 클라이언트 장치(102E)) 또는 간접적으로 데이터 센터(120)와 통신할 수 있다. 클라이언트 장치(102)가 공용 네트워크(104) 또는 사설 네트워크(110)를 통해 통신할 때, 통신 링크가 설정될 수 있다. 예를 들어, 링크는 공용 네트워크(104), 게이트웨이(106A), 및 어플라이언스(108A)를 통해 설정될 수 있고, 그에 따라 클라이언트 장치(예를 들어 클라이언트 장치들(102A-D))에 데이터 센터(120)로의 액세스를 제공할 수 있다. 링크는 또한 어플라이언스(108C)를 포함하는 지사(140), 사설 네트워크(110), 및 어플라이언스(108A)에 의해 설정될 수 있고, 그에 따라 클라이언트 장치(예를 들어, 클라이언트 장치(102F))에 데이터 센터(120)로의 액세스를 제공할 수 있다. 추가 링크들은 또한 어플라이언스(108B), 게이트웨이(106B), 공용 네트워크(104), 게이트웨이(106A) 및 어플라이언스(108A)를 통해 제공되어 클라이언트 장치(102G)에 공용 네트워크(104)를 통한 데이터 센터(120)로의 액세스를 제공할 수 있다. 클라이언트 장치들(102)이 컴퓨터(예를 들어, 클라이언트 장치들(102A, 102E, 102F, 및 102G)), 랩탑(예를 들어, 클라이언트 장치(102B)), 태블릿(예를 들어, 클라이언트 장치(102C)), 및 모바일 스마트 폰(예를 들어, 클라이언트 장치(102D))으로 묘사되지만, 클라이언트 장치(102)는 데이터 센터(120)로 및 데이터 센터(120)로부터의 패킷들을 통신하는 임의의 유형의 장치(예를 들어, 웨어러블 스마트 시계)일 수 있다는 것이 이해된다.
공용 네트워크(104) 및 사설 네트워크(110)는 임의의 유형의 네트워크, 예를 들어 광역 통신망(wide area network; WAN), 근거리 통신망(local area network; LAN), 또는 도시권 통신망(metropolitan area network; MAN)일 수 있다. 예로써, WAN은 인터넷 또는 월드 와이드 웹(World Wide Web; WWW)일 수 있고, LAN은 기업의 인트라넷일 수 있다. 공용 네트워크(104) 및 사설 네트워크(110)는 유선 네트워크 또는 무선 네트워크일 수 있다.
게이트웨이들(106A-B)은 물리적 장치들 또는 소프트웨어일 수 있고, 소프트웨어는 상이한 프로토콜들을 갖는 2개의 네트워크들 사이를 인터페이스 하는 물리적 장치의 일부이다. 예를 들어, 게이트웨이들(106A-B)은 서버, 라우터, 호스트, 또는 프록시 서버일 수 있다. 일부 실시 예들에서, 게이트웨이들(106A-B)은 공용 네트워크(104)(예를 들어, 인터넷)로부터 게이트웨이들(106A-B)을 분리하는 방화벽을 포함하거나 또는 방화벽에 결합될 수 있다. 게이트웨이들(106A-B)은 클라이언트 장치(102)로부터 수신된 신호들을 어플라이언스들(108A-B) 및/또는 데이터 센터(120)가 이해할 수 있는 신호로 및 그 반대로 수정하는 능력을 갖는다.
어플라이언스(108A)는 광역 통신망(WAN) 트래픽을 최적화하고 제어할 수 있는 장치이다. 일부 실시 예들에서, 어플라이언스(108A)는 다른 유형의 네트워크 트래픽, 예를 들어 근거리 통신망(LAN) 트래픽, 도시권 통신망(MAN) 트래픽, 또는 무선 네트워크 트래픽을 최적화한다. 어플라이언스(108A)는 또한 많은 기업 네트워크들에서 공통으로 이용되는 다중 프로토콜 라벨 스위칭(Multiprotocol Label Switching; "MPLS")과 같은 상이한 네트워크를 처리할 수 있다. 어플라이언스(108A)는, 예를 들어, 설정된 통신 링크에서 데이터 패킷들을 스케줄링하여 데이터 패킷들이 스케줄링 된 시간 및 속도로 전송 또는 드롭될 수 있게 함으로써 네트워크 트래픽을 최적화할 수 있다. 일부 실시 예들에서, 어플라이언스(108A)는 물리적 장치, 예를 들어 시트릭스 시스템즈(Citrix Systems)의 브랜치 리피터(Branch Repeater), 넷스케일러(Netscaler), 또는 클라우드브릿지(CloudBridge)이다. 일부 실시 예들에서, 어플라이언스(108A)는 가상 어플라이언스일 수 있다. 일부 실시 예들에서, 어플라이언스(108A)는 가상 머신들(예를 들어, 가상 클라우드 브릿지)의 다수의 인스턴스들을 갖는 물리적 장치일 수 있다. 일부 실시 예들에서, 제1 어플라이언스(예를 들어, 어플라이언스(108A))는 제2 어플라이언스(예를 들어, 어플라이언스(108B) 또는 어플라이언스(108C))와 연계되거나 협력하여 동작함으로써 네트워크 트래픽을 최적화한다. 예를 들어, 제1 어플라이언스는 WAN과 기업 LAN(예를 들어, 데이터 센터(120)) 사이에 위치하고, 제2 어플라이언스(예를 들어, 어플라이언스(108C))는 지사(예를 들어 지사(140))와 WAN 연결 사이에 위치할 수 있다. 추가 어플라이언스(예를 들어, 어플라이언스(108B))는 또한 공용 네트워크(104)를 통해 연결될 수 있다. 일부 실시 예들에서, 게이트웨이(106A) 및 어플라이언스(108A)의 기능은 단일 물리적 장치에 위치될 수 있다. 어플라이언스들(108A, 108B, 및 108C)은 기능적으로 동일하거나 유사할 수 있다.
데이터 센터(120)는 특정 공용 또는 사설 엔티티에 관한 데이터 및 정보의 저장, 관리, 및 보급을 위한 물리적 또는 가상의 중앙 저장소이다. 데이터 센터(120)는 컴퓨터 시스템들 및 연관된 구성 요소들, 예를 들어 하나 이상의 물리적 서버들, 가상 서버들, 및 저장 시스템들을 수용하기 위해 이용될 수 있다. 데이터 센터(120)는, 특히, 하나 이상의 서버들(예를 들어, 서버(122)) 및 백엔드 시스템(130)을 포함할 수 있다. 일부 실시 예들에서, 데이터 센터(120)는 게이트웨이(106), 어플라이언스(108), 또는 이들의 조합을 포함할 수 있다.
서버(122)는 IP 주소에 의해 표현되는 엔티티이고, 단일 엔티티 또는 서버 팬(fann)의 멤버로서 존재할 수 있다. 서버(122)는 물리적 서버 또는 가상 서버일 수 있다. 일부 실시 예들에서, 서버(122)는 하드웨어 계층, 운영 시스템, 및 하나 이상의 가상 머신들을 생성하고 관리하는 하이퍼바이저를 포함할 수 있다. 서버(122)는 하나 이상의 서비스들을 엔드포인트에 제공한다. 이러한 서비스들은 하나 이상의 애플리케이션들(128)을 하나 이상의 엔드포인트들(예를 들어, 클라이언트 장치들(120A-G) 또는 지사(140))에 제공하는 것을 포함한다. 예를 들어, 애플리케이션들(128)은 WindowsTM 기반 애플리케이션들 및 컴퓨팅 자원들을 포함할 수 있다.
데스크톱 전달 제어기(124)는 서비스들의 전달, 예를 들어 가상 데스크톱들(126)을 클라이언트 장치들(예를 들어, 클라이언트 장치들(102A-G) 또는 지사(140))로 전달할 수 있게 하는 장치이다. 데스크톱 전달 제어기(124)는 모든 가상 데스크톱 통신들을 관리, 유지, 및 최적화하는데 요구되는 기능을 제공한다.
일부 실시 예들에서, 서비스들은 하나 이상의 애플리케이션들(128)을 제공할 수 있는 하나 이상의 가상 데스크톱들(126)을 제공하는 것을 포함한다. 가상 데스크톱들(126)은 다수의 사용자가 단일 공유 원격 데스크톱 서비스(Remote Desktop Services) 데스크톱에 액세스하는 것을 허용하는 호스팅된 공유 데스크톱들, 각각의 사용자가 자신의 가상 머신, 스트리밍 디스크 이미지들, 로컬 가상 머신, 개별 애플리케이션들(예를 들어, 하나 이상의 애플리케이션들(128)), 또는 이들의 조합을 갖는 것을 허용하는 가상 데스크톱 인프라 데스크톱들을 포함할 수 있다.
백엔드 시스템(130)은 컴퓨터 네트워킹 하드웨어, 어플라이언스들, 또는 서버 팜 또는 서버 뱅크 내의 서버들의 단일 또는 다중 인스턴스들이고 서버(122)와 직접적으로 또는 간접적으로 인터페이스 된다. 예를 들어, 백엔드 시스템(130)은 다수의 네트워크 서비스들을 제공할 수 있는 Microsoft™ Active Directory를 포함할 수 있고, 다수의 네트워크 서비스들은 경량 디렉토리 액세스 프로토콜(lightweight directory access protocol; LDAP) 디렉토리 서비스들, Kerberos 기반 인증, 도메인 네임 시스템(domain name system; DNS) 기반 명명 및 기타 네트워크 정보, 및 여러 서버들 간의 디렉토리 업데이트의 동기화를 포함한다. 백엔드 시스템(130)은 또한, 특히, 오라클 백엔드 서버, SQL 서버 백엔드, 및/또는 동적 호스트 구성 프로토콜(dynamic host configuration protocol; DHCP)을 포함할 수 있다. 백엔드 시스템(130)은 데이터, 서비스들, 또는 이들의 조합을 데이터 센터(120)에 제공할 수 있고, 그 정보를 다양한 형태를 통해 클라이언트 장치들(102) 또는 지사(140)로 제공할 수 있다.
지사(140)는 데이터 센터(120)를 갖는 WAN의 부분인 근거리 통신망(LAN)의 부분이다. 지사(140)는, 특히, 어플라이언스(108C) 및 원격 백엔드(142)를 포함할 수 있다. 일부 실시 예들에서, 어플라이언스(108C)는 지사(140)와 사설 네트워크(110) 사이에 위치할 수 있다. 상술한 바와 같이, 어플라이언스(108C)는 어플라이언스(108A)와 함께 동작할 수 있다. 원격 백엔드(142)는 데이터 센터(120)의 백엔드 시스템(130)과 유사한 방식으로 설정될 수 있다. 클라이언트 장치(102F)는 지사(140)에서 현장에 위치되거나 지사(140)로부터 원격에 위치할 수 있다.
어플라이언스들(108A-C) 및 게이트웨이들(106A-B)은 임의의 유형 및 형태의 컴퓨팅 장치, 예를 들어 본 명세서에 개시된 임의의 유형 및 형태의 네트워크상에서 통신할 수 있는 컴퓨터 또는 네트워킹 장치들로서 배치되거나 컴퓨팅 장치상에서 실행될 수 있다. 도 2a 내지 도 2b에 도시된 바와 같이, 각각의 컴퓨팅 장치(200)는 중앙 처리부(CPU)(221) 및 메인 메모리(222)를 포함한다. CPU(221)는 메인 메모리(222)로부터 페치된 명령들에 응답하고 명령들을 처리하는 임의의 논리 회로일 수 있다. CPU(221)는 메모리(예를 들어, 메인 메모리(222)) 또는 캐시(예를 들어, 캐시(240))에 저장된 명령들의 특정 세트들을 실행할 수 있는 단일 또는 다중 마이크로프로세서들, 필드 프로그래머블 게이트 어레이들(field-programmable gate arrays; FPGAs), 또는 디지털 신호 프로세서들(digital signal processors; DSPs)일 수 있다. 메모리는 유형의 및/또는 비일시적 컴퓨터 판독 가능 매체, 예를 들어, 플렉서블 디스크, 하드 디스크, CD-ROM (compact disk read-only memory), MO (magneto-optical) 드라이브, DVD-ROM(digital versatile disk read-only memory), DVD-RAM(digital versatile disk random-access memory), RAM, PROM, EPROM, FLASH-EPROM 또는 임의의 다른 플래시 메모리, 캐시, 레지스터, 임의의 다른 메모리 칩 또는 카트리지, 또는 반도체 메모리를 포함한다. 메인 메모리(222)는 데이터를 저장할 수 있고 임의의 저장 위치가 CPU(221)에 의해 직접 액세스 될 수 있게 하는 하나 이상의 메모리 칩들일 수 있다. 메인 메모리(222)는 임의의 유형의 랜덤 액세스 메모리(random access memory; RAM), 또는 본 명세서에서 개시된 바와 같이 동작할 수 있는 임의의 다른 이용 가능한 메모리 칩일 수 있다. 도 2a에 도시된 예시적인 실시 예에서, CPU(221)는 시스템 버스(250)를 통해 메인 메모리(222)와 통신한다. 컴퓨팅 장치(200)는 또한 시각적 디스플레이 장치(224) 및 I/O 제어기(223)를 통해 연결된 입력/출력(I/O) 장치(230)(예를 들어, 키보드, 마우스, 또는 포인팅 장치)를 포함할 수 있고, 이들 모두는 시스템 버스(250)를 통해 통신한다. CPU(221)가 또한 시스템 버스(250)를 통하는 것 이외의 방식들로, 예를 들어 직렬 통신 방식들 또는 점대점 통신 방식들로, 메모리(222) 및 다른 장치들과 통신할 수 있음은 당업자에게 이해될 것이다. 또한, I/O 장치(230)는 또한 컴퓨팅 장치(200)에 대한 저장 및/또는 설치 매체를 제공할 수 있다.
도 2b는 CPU(221)가 메모리 포트(203)를 통해 메인 메모리(222)와 직접 통신하는 예시적인 컴퓨팅 장치(200)의 일 실시 예를 도시한다. CPU(221)는 종종 후면 버스로 지칭되는 제2 버스를 통해 캐시(240)와 통신할 수 있다. 일부 다른 실시 예들에서, CPU(221)는 시스템 버스(250)를 통해 캐시(240)와 통신할 수 있다. 캐시(240)는 일반적으로 메인 메모리(222)보다 빠른 응답 시간을 갖는다. 일부 실시 예들에서, 도 2b에 도시된 실시 예와 같이, CPU(221)는 I/O 포트를 통해 I/O 장치(230)와 직접 통신할 수 있다. 추가 실시 예들에서, I/O 장치(230)는 시스템 버스(250)와 외부 통신 버스 사이의 브릿지(270)일 수 있고, 외부 통신 버스는, 예를 들어 USB 버스, 애플 데스크톱 버스, RS-232 시리얼 연결, SCSI 버스, 방화벽 버스, 방화벽 800 버스, 이더넷 버스, 애플토크 버스, 기가 비트 이더넷 버스, 비동기 전송 모드 버스, HIPPI 버스, 슈퍼 HIPPI 버스, 시리얼플러스 버스, SCI/LAMP 버스, FibreChannel 버스, 또는 직렬 부착(Serial Attached) 소형 컴퓨터 시스템 인터페이스 버스이다.
도 2a에 도시된 바와 같이, 컴퓨팅 장치(200)는 임의의 적합한 설치 장치(216), 예를 들어 3.5인치, 5.25인치 디스크들 또는 ZIP 디스크들과 같은 플로피 디스크들을 수용하는 플로피 디스크 드라이브; CD-R/RW 드라이브; DVD-ROM 드라이브; 다양한 포맷의 테이프 드라이브들; USB 장치; 하드 드라이브; 또는 임의의 클라이언트 에이전트(220)와 같은 소프트웨어 및 프로그램들을 설치하기에 적합한 다른 장치들, 또는 이들의 일부를 지원할 수 있다. 컴퓨팅 장치(200)는 저장 장치(228), 예를 들어 하나 이상의 하드 디스크 드라이브들 또는 독립 디스크들의 중복 어레이들을 더 포함하여 운영 체제 및 다른 관련 소프트웨어를 저장하고, 애플리케이션 소프트웨어 프로그램들, 예를 들어 클라이언트 에이전트(220)와 관련된 임의의 프로그램을 저장할 수 있다. 선택적으로, 임의의 설치 장치들(216)이 또한 저장 장치(228)로서 이용될 수 있다.
또한, 컴퓨팅 장치(200)는 네트워크 인터페이스(218)를 포함하여, 다양한 연결들을 통해 LAN, WAN, MAN 또는 인터넷에 인터페이스 할 수 있고, 다양한 연결들은 표준 전화 선로들(standard telephone lines), LAN 또는 WAN 링크들(예를 들어, 802.11, T1, T3, 56kb, X.25), 광대역 연결들(예를 들어, ISDN, 프레임 릴레이, ATM), 무선 연결들, 또는 상술한 것의 임의의 것들의 일부 조합 또는 전부를 포함하지만 이에 한정되지 않는다. 네트워크 인터페이스(218)는 내장형 네트워크 어댑터, 네트워크 인터페이스 카드, PCMCIA 네트워크 카드, 카드 버스 네트워크 어댑터, 무선 네트워크 어댑터, USB 네트워크 어댑터, 모뎀 또는 컴퓨팅 장치(200)를 통신할 수 있고 본 명세서에 개시된 동작들을 수행할 수 있는 임의의 유형의 네트워크에 인터페이스 하기에 적합한 임의의 다른 장치로 구성될 수 있다.
네트워킹은 둘 이상의 컴퓨팅 장치들, 시스템들, 또는 환경들을 연결하도록 설계된 여러 가지 기술들 및 프로토콜들을 포괄할 수 있다. 예를 들어, 인터넷 프로토콜(IP)은 인터넷 트래픽을 제어하고 라우팅하는데 일반적으로 이용되는 표준 통신 프로토콜이다. IP는 인터넷의 백 본 프로토콜로 널리 이용된다. 가장 일반적으로 이용되는 IP 버전들은 IP 버전 4("IPv4") 및 IP 버전 6("IPv6")이다. 이러한 프로토콜들은 IETF RFC 791 및 IETF RFC 2460에 각각 개시되어 있으며, 모두 당해 기술 분야에 잘 알려져 있다.
IP 데이터그램들(또한 일반적으로 패킷들로 지칭됨)을 전송하는 연결들은 IP를 기반으로 하는 프로토콜들의 묶음인, IPsec을 이용하여 보안될 수 있다. IPsec은 각각의 데이터그램이 네트워크를 통해 전송되기 전에 각각의 데이터그램을 수정하기 위한 프레임워크를 제공하여 컴퓨팅 엔티티들 사이의 보안 연결을 제공한다. 컴퓨팅 엔티티는 데이터그램들을 수신할 수 있는 하드웨어 구현 컴퓨팅 장치(예를 들어, 도 1의 게이트웨이들(106), 어플라이언스들(108), 클라이언트 장치들(102) 중 임의의 것) 또는 가상 컴퓨팅 장치(예를 들어, 어플라이언스들(108)에서 실행하는 소프트웨어 모듈)일 수 있다. IPsec 동작의 특정 모드들 및 변형들은 이하에서 상세히 설명된다. IPsec이 IP 데이터그램들을 캡슐화하기 위해 이용될 수 있기 이전에, IPsec 연결의 2개의 엔드포인트들은 전송된 데이터를 보호하기 위해 이용할 보안 파라미터들의 세트를 협상할 수 있다. 이러한 보안 파라미터들은 컴퓨터 네트워크 환경의 외부에서 생성 및 공유될 수 있다. 대안적으로, 이러한 보안 파라미터들은 알려진 방법들, 예를 들어 IKE를 이용하여 설정됨으로써 SA를 생성할 수 있다. 2개의 엔드포인트들 사이의 각각의 단방향 연결은 SA를 요구한다. 따라서, 인증 헤더(Authentication Header, "AH") 또는 IPsec의 변형인 캡슐화 보안 프로토콜(Encapsulating Security Protocol, "ESP")을 이용하는 양방향 IPsec 연결은 적어도 2개의 SA들을 요구한다. AH 및 ESP 모두가 조합으로 이용되는 일부 실시 예들에서, 4개만큼의 SA들이 엔드포인트들 사이의 양방향 통신을 위해 요구될 수 있다.
다중 연결들을 통해 IPsec을 지원하려는 시도가 있어 왔다. 예를 들어, ETCS '09. 제1회 국제 워크숍, 489-493 (2009)에서 장윤희, 3 Ecue, Tech 및 Computer Sci의 다중 링크 어그리게이트 IPsec 모델은 2개의 엔드포인트들 사이의 다중 연결들을 통해 IPsec을 자동으로 관리하는 소프트웨어 구성 요소를 제안했다. 이러한 접근 방법은 개발자들을 위해 IPsec 관리 및 오버헤드를 분리된 모듈로 추상화하여 다중 동시 연결들을 통해 IPsec을 이용하는 것을 단순화하지만, 다중 연결을 통한 IPsec의 근본적인 문제가 여전히 남아있다 - 즉 연결들의 수가 증가함에 따라, 소프트웨어 또는 하드웨어는 추상화 레벨에 관계없이 여전히 각각의 연결마다 SA들을 유지해야 하며 실패한 각각의 개별 링크를 다시 생성하기 위한 오버헤드를 초래한다. 또한, 이러한 접근 방법들은 SA들이 생성되는 시간에 지연 속도(latency) 및 다른 네트워크 특성들을 결정함으로써 다중 연결들을 통해 로드 밸런싱을 제공하고자 시도한다. 그러나 이러한 기존 모듈들은 각각의 연결의 속성들을 지속적으로 모니터링할 수 없기 때문에, 제공된 로드 밸런싱은 비효율적이다. 또한, 이러한 방법들은 암호화된 데이터그램들의 내용들을 분석할 수 없기 때문에 이들은 데이터 내용에 기초한 서비스 품질 이점들을 제공할 수 없다. 본 명세서에 따른 실시 예들은 이러한 근본적인 문제들을 해결한다. 이러한 실시 예들은 이하에서 보다 상세하게 설명된다.
도 3a 내지 도 3c는 본 발명에 따른 예시적인 데이터그램들의 블록도들이다. 도 3a는 본 발명의 실시 예에 따른 표준 IP 데이터그램(300)을 나타내는 블록도이다. IP 데이터그램(300)은 정보를 포함하는 네트워킹 패킹으로 인터넷 또는 다른 네트워크들을 통해 데이터를 라우팅할 수 있다. IP 데이터그램(300)은 IPv4 또는 IPv6에 따른 IP 데이터그램일 수 있다. IP 데이터그램(300)은 IP 헤더(301)를 포함할 수 있고, IP 헤더(301)는 IP 데이터그램(300)이 네트워크를 통해 어떻게 전송되는지를 제어하는 다양한 정보 및 설정들을 포함할 수 있다. 예를 들어, IP 헤더(301)는 IP 주소들의 형태로 호스트 정보를 포함하여 데이터그램에 대한 출발지 및 목적지를 나타낼 수 있다. IP 헤더(301)에 더하여, IP 데이터그램(300)은 IP 데이터(320)를 포함한다. IP 데이터(320)는 로우 데이터(raw data)를 포함하거나 잘 알려진 사용자 데이터그램 프로토콜 또는 전송 제어 프로토콜과 같은 프로토콜들의 데이터의 추가적인 캡슐화들을 포함할 수 있다.
도 3b의 데이터그램들은 전송(350) 모드와 터널(351) 모드 모두에서 IPsec AH 데이터그램을 포함한다. 도 3b에서와 같이, 도 3c에 도시된 데이터그램들은 전송(355) 모드 및 터널(356) 모드에서 IPsec ESP 데이터그램을 포함한다.
도 3b 내지 도 3c는 다양한 IPsec 동작 모드들을 따르도록 수정된 예시적인 IP 데이터그램들을 나타낸다. IPsec은 다양한 모드들에 따라 IP 데이터그램들을 인코딩할 수 있다. 특히 IPsec은 인증 헤더(Authentication Header, "AH") 데이터그램들 또는 캡슐화 보안 페이로드(Encapsulating Security Protocol, "ESP") 데이터그램들을 생성할 수 있다. 이러한 유형들의 캡슐화는 각각 전송 모드 또는 터널 모드에서 더 이용될 수 있다. 이러한 구성들의 각각에 대하여는 이하에서 보다 상세하게 설명된다.
IPsec AH는 데이터그램들의 수정을 허용하여 데이터그램이 인증될 수 있게 한다. 이러한 인증은, 특히, 데이터그램 출발지의 검증을 허용하고/허용하거나 데이터그램이 전송 중에 변경되지 않은 것을 보장한다. IPsec AH는 데이터그램의 암호화를 제공하지 않지만, 데이터그램에 캡슐화된 데이터는 수정 전에 다른 프로세스들 또는 애플리케이션을 이용하여 IPsec에 의해 암호화될 수 있다. IPsec AH는 데이터그램의 IP 헤더(예를 들어, IP 헤더(301)) 내의 일부 필드들에 대한 암호화 해시를 계산하고 계산된 해시를 데이터그램과 함께 전송함으로써 데이터를 검증할 수 있다.
IPsec ESP는 원본 IP 데이터그램(예를 들어, IP 데이터그램(300))을 포함하는 IPsec 페이로드의 암호화를 허용할 수 있다. IPsec ESP는 또한 IPsec AH와 유사한 다양한 헤더들 내의 필드들에 대한 암호화 해시를 이용하여 인증을 제공할 수 있다.
일반적으로, 전송 모드는 출발지 엔드포인트로부터 목적지 엔드포인트까지, AH 또는 ESP 형식으로, IPsec 보호를 제공한다. 전송 모드는 2개의 호스트들 사이의 직접 링크를 보안하기 위해 이용될 수 있다.
터널 모드는 2개의 엔드포인트들 사이의 연결의 부분을 따라 AH 또는 ESP 형식의 IPsec 보호를 제공한다. 터널 모드는 2개의 엔드포인트들 사이의 전체 경로를 보안하기 위해 이용될 수 있지만, 터널 모드는 일반적으로 분리된 보안 네트워크들 상에 있는 2개의 엔드포인트들이 인터넷과 같은 보안되지 않은 네트워크를 통해 통신할 때 이용된다. 터널 모드는 공용의, 보안되지 않은 네트워크를 통하는 연결 부분만 IPsec으로 캡슐화되도록 허용할 수 있다.
도 3b는 본 발명의 실시 예들에 따라, IPsec AH를 이용하여 캡슐화된 예시적인 IP 데이터그램(300)의 블록도이다. 전송(350) 모드에서, IPsec은 암호화 해시를 계산하고 계산된 해시를 AH 헤더(310)의 일부로 삽입할 수 있다. AH 헤더(310)는 IP 헤더(301)와 데이터(320) 사이에서 원본 IP 데이터그램 내에 삽입될 수 있다. IP 헤더(301)에서 특정된 목적지에서, 새로운 암호화 해시가 계산되고 AH 헤더(310)에 저장된 정보와 비교될 수 있다. 해시들이 일치하면, AH 헤더(310)는 데이터그램으로부터 제거되어, 원본 IP 데이터그램(300)만 남길 수 있다. IP 데이터그램(300)은 관련 프로세스 또는 애플리케이션에 제공될 수 있다.
터널(351) 모드에서, IPsec은 전송(350) 모드에서 수행될 수 있는 것과 동일한 방식으로 암호화 해시를 계산한다. 터널(351) 모드에서, AH 헤더(310)는 IP 헤더(301) 앞에 놓일 수 있다. 전체 데이터그램(예를 들어, AH 헤더(310), IP 헤더(301), 및 데이터(320))은 이후에 데이터그램에 대한 새로운 IP 필드들을 특정할 수 있는 새로운 IP 헤더에 캡슐화된다. 새로운 IP 헤더(330)에서 특정된 목적지에서, 목적지는 새로운 IP 헤더(330)를 제거하고, 전송(350) 모드에서 수행된 것처럼 AH 헤더(310)를 이용하여 동일한 인증 확인을 수행하고, AH 헤더(310)를 떼어내고, IP 헤더(301) 내의 새로운 목적지 및 필드들을 기초로 IP 데이터그램(300)을 라우팅할 수 있다.
도 3c는 본 발명의 실시 예들에 따라, IPsec ESP를 이용하여 캡슐화된 예시적인 IP 데이터그램(300)의 블록도이다. 전송(355) 모드에서, IPsec은 표준 암호화 알고리즘(예를 들어, DES, 트리플 DES, AES, 및 블로우피시) 및 기결정된 암호화 키들을 이용하여 데이터(320)를 암호화하고 ESP 헤더(340) 및 ESP 트레일러(341)를 데이터그램 및 주변 데이터(320)에 포함할 수 있다. ESP 헤더(340) 및 ESP 트레일러(341)는 복호화를 지원하기 위한 정보를 포함할 수 있다. 선택적으로, IPsec ESP는 IPsec AH에서와 유사한 방식으로 암호화 해시를 계산하는 인증을 포함할 수 있고 ESP auth(342)에 인증 세부 사항들을 포함할 수 있다. IP 헤더(301)에서 특정된 목적지에서, 인증 정보가 포함되어 있다면, 인증 정보는 검증될 수 있고 ESP auth(342)가 데이터그램으로부터 떼어내질 수 있다. 또한, 데이터(320)는 연관된 SA에 저장된 기결정된 암호화 키들 및 ESP 헤더(340)와 ESP 트레일러(341) 내의 정보를 이용하여 복호화될 수 있다. 목적지는 ESP 헤더(340)와 ESP 트레일러(341)를 떼어내어 복호화에 의해 IP 헤더(301)와 데이터(320)로 이루어진 원본 IP 데이터그램만을 남길 수 있다. 이후에 IP 데이터그램은 관련 프로세서 또는 애플리케이션에 제공될 수 있다.
터널(356) 모드에서, IPsec ESP는 IP 헤더(301)와 데이터(320)를 모두 포함하여 원본 IP 데이터그램 전체를 암호화한다. ESP 헤더(340)는 IP 헤더(301) 앞에 배치되고, ESP 트레일러(341)는 데이터(320) 뒤에 배치된다. 전송(355) 모드에서와 마찬가지로, 선택적 인증이 ESP auth(342)에 포함된 다양한 헤더 필드들의 암호화 해시를 이용하여 제공될 수 있다. IPsec ESP는 캡슐화된 데이터그램의 라우팅을 제어하기 위해 새로운 IP 헤더(330)를 생성하고 데이터그램의 시작 부분에 배치한다. 새로운 IP 헤더(330)에서 특정된 목적지에서, 목적지 장치는 ESP auth(342) 내의 정보를 검증하고, ESP 헤더(340), ESP 트레일러(341) 및 기결정된 키들의 정보를 이용하여 IP 헤더(301) 및 데이터(320)를 복호화하고, 새로운 IP 헤더(330), ESP 헤더(340), ESP 트레일러(341), 및 ESP auth(342)를 데이터그램으로부터 제거하고, IP 헤더(301) 내의 원본 정보에 따라 데이터그램을 라우팅할 수 있다.
도 4는 본 발명의 실시 예들에 따른, 예시적인 네트워크 환경에서 제공되는 예시적인 어플라이언스(410)의 블록도이다. 어플라이언스(410)는 도 1의 어플라이언스들(108A-C) 중 임의의 것일 수 있다. 어플라이언스(410)는 모듈일 수 있고, 모듈은 다른 구성 요소들과 함께 이용하도록 설계된 패키지된 기능적 하드웨어 유닛 또는 관련된 기능들의 특정 기능을 수행하는 프로그램의 일부일 수 있다. 일부 실시 예들에서, 어플라이언스(410)는 또한 도 1의 게이트웨이들(106A-B) 중 임의의 것일 수 있는 게이트웨이를 포함할 수 있다. 일반적으로, 어플라이언스(410)는 발신 패킷들을 처리할 수 있고 다른 네트워크들(예를 들어, 사설 네트워크(401)) 또는 클라이언트 장치들(예를 들어, 클라이언트(403))로부터 데이터그램들을 수신할 수 있다. 어플라이언스(410)는 데이터그램들을 처리하고, 그들의 내용들을 분석하여, IPsec 보호된 데이터그램을 생성하고, 이전에 분석된 정보를 기초로 다중 연결들 중 임의의 하나를 통해 이들 데이터그램들을 전송할 수 있다. 어플라이언스(410)는 IPsec을 지원하기 위해 SA들을 추가로 생성할 필요 없이 다중 동시 연결들을 지원할 수 있다.
사설 네트워크(401)는 추가적인 컴퓨팅 장치들에 부착된 임의의 사설 네트워크일 수 있다. 사설 네트워크는 도 1의 사설 네트워크(110)일 수 있다. 사설 네트워크(401)에 부착된 장치들 또는 다른 컴퓨팅 장치들은 처리를 위해 다른 네트워크 또는 장치에 대한 데이터그램들을 어플라이언스(410)로 전송할 수 있다.
유사하게, 클라이언트(403)는 처리를 위해 다른 네트워크들 또는 장치들에 관한 데이터그램들을 어플라이언스(410)에 제공할 수 있다. 클라이언트(403)는 클라이언트 장치들(102A-G) 중 하나일 수 있다. 클라이언트(403)는 중간 네트워크를 경유하지 않고 어플라이언스(410)에 직접 접속될 수 있다.
어플라이언스(410)는 사설 네트워크(401), 클라이언트(403), 또는 어플라이언스(410)에 의해 도달 가능한 네트워크 또는 컴퓨팅 장치로 데이터를 전송하는 임의의 다른 컴퓨팅 장치로부터 데이터그램들을 수신할 수 있다. 어플라이언스(410)는 각각 목적지들(D1-D3)에 연결된 다중 링크들에 대한 출발지(S1-S3)일 수 있다. 어플라이언스(410)가 네트워크 연결들의 출발지로서 도시되지만, 어플라이언스(410)는 또한 사설 네트워크(401) 또는 클라이언트(403)에 대한 다른 네트워크 장치들 또는 컴퓨터들로부터 데이터를 수신할 수 있다는 것이 이해된다. 어플라이언스(410)는 네트워크를 통해 단일 IPsec 채널을 제공하도록 설계된 다수의 구성 요소들로 구성될 수 있다. 일부 실시 예들에서, 어플라이언스(410)는 게이트웨이(420)와 결합된다. 다른 실시 예들에서, 게이트웨이(420)는 어플라이언스와 통신 가능하게 결합된 개별 구성 요소이다.
어플라이언스(410)는 분류기(411)를 포함한다. 분류기(411)는 어플라이언스(410)에 공급되는 데이터그램들을 분석할 수 있는 모듈이다. 분류기(411)는 데이터그램들을 검사하고 데이터그램과 연관된 메타데이터를 생성하여 라우팅 결정을 지원할 수 있다. 각각의 데이터그램과 연관된 메타데이터는 다양한 요소들(예를 들어, 출발지 또는 목적지 IP 주소, 기초 애플리케이션, 데이터그램에서 이용하는 추가 프로토콜들, 데이터그램 자체의 내용, 또는 데이터그램의 기타 속성들)에 기초할 수 있다. 이러한 메타데이터는 미리 설정된 규칙들에 따라 할당되거나 시스템의 변화하는 요구 사항들에 기초하여 동적일 수 있다. 예를 들어, IP 데이터그램 내의 데이터가 트래픽 유형에 대응하는 경우, 특정 DSCP 태그를 나타내는 메타데이터가 데이터그램에 추가될 수 있다. 이러한 실시 예에서, 메타데이터는 데이터그램이 DSCP 태그 Expedited Forwarding("EF")을 이용하여 분류된 Voice over IP ("VoIP") 트래픽을 포함한다는 것을 나타낼 수 있고, VoIP 트래픽은 다른 유형의 네트워크 트래픽보다 높은 우선순위를 요구할 수 있다. 라우팅 결정이 이루어지면, 특정 메타데이터가 상이한 유형의 트래픽에 대해 선택된 링크들에 영향을 미칠 수 있다. 예를 들어, DSCP 태그 EF와 연관된 데이터그램들은 이러한 유형의 트래픽에 가장 적합한 물리 링크를 이용하여 전송될 수 있다. 데이터그램이 VoIP 트래픽을 전송한다는 것을 나타내는 메타데이터를 갖는 데이터그램들은 낮은 레이턴시 및 낮은 지터(jitter) 연결들을 이용하여 전송됨으로써 더 높은 서비스 품질을 보장할 수 있다.
메타데이터가 IP 데이터그램과 연관된 이후에, 데이터그램은 IPsec(412)에 제공된다. IPsec(412)은 IPsec 사양에 따라, 그리고 SA(413) 내에 저장된 속성들을 기초로 IP 데이터그램을 인코딩하도록 설계된 모듈이다. SA(413)는 IKE와 같은 프로세스에 따라 생성된 SA로, 요청된 엔드포인트(예를 들어, 게이트웨이(421) 또는 어플라이언스(430))와의 IPsec 통신을 허용할 수 있다. SA(413)는 데이터그램들이 어플라이언스(410)에 의해 전송되기 전에 생성된다. 일반적으로 이용 가능한 많은 IPsec 모듈들은 어플라이언스(410)에 통합되어 IPsec(412)에 대해 개시된 기능들을 제공할 수 있다.
패킷 분석기(417)는 인코딩된 데이터그램들 및 연관된 메타데이터를 분석하여, 라우팅 정보를 제공하고, 데이터그램에 추가적인 필드들을 추가하도록 설계된 모듈이다. 예를 들어, 패킷 분석기는 분류기(411)에 의해 제공된 메타데이터를 기초로 데이터그램이 MPLS 연결을 이용하여 전송되어야 한다고 결정할 수 있다. 다른 실시 예에서, 패킷 분석기(417)는 데이터그램이 가장 빠른 경로에 따라 전송될 수 있다고 결정하거나 데이터그램이 낮은 중요도를 가지며 다른 네트워크 트래픽보다 우선순위가 낮을 수 있다고 결정할 것이다. 이러한 결정은 추가 메타데이터로서 인코딩된 데이터그램과 연관될 수 있다. 또한, 패킷 분석기(417)는 인코딩된 데이터그램에 타임스탬프 및 시퀀스 번호를 추가할 수 있다. 이러한 타임스탬프 및 시퀀스 번호는 수신 어플라이언스(예를 들어, 어플라이언스(430))에 의해, 상이한 물리 링크들을 통해 적절한 순서로 전송된 데이터그램들의 시퀀스를 재구성하는데 이용될 수 있다. 분석 이후에, 패킷 분석기는 데이터그램 및 연관된 메타데이터를 게이트웨이(420)에 제공할 수 있다.
게이트웨이(420)는 원격 네트워크들 및 장치들에 대한 라우팅 및 물리적 연결들을 처리하도록 설계된 모듈이다. 상술한 바와 같이, 일부 실시 예들에서, 게이트웨이(420)는 어플라이언스(410)의 부분이다. 다른 실시 예들에서 게이트웨이(420)는 별개의 모듈이다. 게이트웨이(420)는 다른 네트워크들 또는 컴퓨팅 장치들에 대한 물리 연결들을 제공한다. 또한, 게이트웨이(420)는 네트워크 트래픽을 라우팅하고 물리적 네트워크 링크들을 모니터링하도록 설계된 모듈들 또는 기능을 포함할 수 있다. 물리적 네트워크 링크들이 실패하면, 게이트웨이(420)는 연결을 재설정할 수 있다. SA가 게이트웨이(420) 이전의 가상 엔드포인트에서 설정되기 때문에, 물리 링크들을 재설정하는 것은 새로운 SA들을 생성하는 것과 연관된 오버헤드를 요구하지 않는다. 대신, 물리 링크들이 재설정되면, 새로운 SA에 대한 요구 없이 물리 링크들은 이미 IPsec 보호된 경로의 일부가 된다.
게이트웨이(420)는 패킷 라우터(421)를 포함할 수 있다. 패킷 라우터(421)는 이들 데이터그램들과 관련된 내용 및 메타데이터, 및 다양한 네트워크 연결들의 현재 상태에 따라 IP 데이터그램들을 라우팅하도록 설계된 모듈이다. 패킷 라우터(421)는 데이터그램의 메타데이터의 정보만을 라우팅 결정에 기초할 수 있거나 메타데이터 정보를 링크 평가기(422)에 의해 제공된 정보와 결합할 수 있다. 링크 평가기(422)는 이하에서 보다 상세하게 설명된다. 패킷 라우터(421)는 제공된 정보를 이용하여 특정 데이터그램에 대한 최적의 링크(예를 들어, 네트워크 출발지들(S1-S3)에 의해 표현된 네트워크 연결들 중 하나)를 선택할 수 있다. 예를 들어, 패킷 분석기(417)가 데이터그램이 DSCP 태그 EF로 분류된 데이터를 포함하도록 지정하면, 패킷 라우터(421)는 이러한 유형의 트래픽에 가장 적합한 전용 물리 링크를 선택할 수 있다. 다른 실시 예에서, 링크 평가기(422)에 의해 제공된 데이터가 특정 링크가 열화되거나 압도되었음을 나타내면, 패킷 라우터(421)는 그 물리 링크에 새로운 트래픽을 추가하는 것을 피할 수 있다. 패킷 라우터(421)가 링크를 선택한 이후에, 데이터그램은 선택된 연결 상에서 전송될 수 있다.
링크 평가기(422)는 활성 네트워크 연결들의 상태를 지속적으로 분석하도록 설계된 모듈이다. 출발지들(S1-S3)로부터 데이터그램들이 전송된 이후에, 출발지는 링크 평가기(422)에 전송 통계들을 제공할 수 있다. 여기에는 데이터그램이 목적지들(D1-D3) 중 하나에 도착하는 시간, 특정 연결의 에러율, 또는 네트워크 링크의 상태와 관련된 임의의 다른 통계가 포함될 수 있다. 링크 평가기(422)는 각각의 네트워크 연결들로부터의 정보를 결합하고 패킷 라우터(421)에 그 정보를 제공함으로써 라우팅 결정들을 지원할 수 있다. 또한, 링크 평가기(422)는 특정 연결이 실패한 것을 검출하고 게이트웨이(420)에 링크가 재설정되어야 한다는 것을 경고할 수 있다.
게이트웨이(420)에 의해 전송된 데이터그램들은 게이트웨이(421)의 목적지들(D1-D3)에서 수신될 수 있다. 게이트웨이(421)는 다중 물리 연결들 상에 도착하는 데이터그램들을 수신하고 디코딩을 위해 이들을 단일 데이터그램 스트림으로 결합하도록 설계된 모듈이다. 도 4에 도시되진 않았지만, 게이트웨이(421)는 데이터그램들을 전송하기 위한 게이트웨이(421)와 동일한 구성 요소들을 포함할 수 있다. 따라서, 일부 실시 예들에서, 게이트웨이(420)와 게이트웨이(421) 사이의 통신은 양방향이며, 이는 게이트웨이(421)가 목적지 및 출발지 모두로 동작할 수 있음을 의미한다. 게이트웨이(421)는 목적지들(D1-D3)에서 수신된 데이터그램들을 어플라이언스(430)로 포워딩할 수 있다.
어플라이언스(430)는 IPsec 모듈(432)을 포함할 수 있고, IPsec 모듈(432)은 IPsec 사양에 따라, 그리고 SA(433)에 저장된 속성들을 기초로 IP 데이터그램을 디코딩할 수 있다. SA(433)는 IKE와 같은 프로세스에 따른 SA 설정으로, 요구되는 엔드포인트(예를 들어, 게이트웨이(420) 또는 어플라이언스(410))와의 통신을 허용할 수 있다. SA(433)는 데이터그램들이 어플라이언스(430)에 의해 수신되기 이전에 생성된다. 일반적으로 이용 가능한 많은 IPsec 모듈들이 어플라이언스(430)에 통합되어 IPsec(432)에 대해 개시된 기능을 제공할 수 있다. IPsec(432)은 IPsec(412)와 동일한 구조 및 기능을 가질 수 있다(그리고 그 반대일 수 있다). 또한, SA(433)는 SA(413)와 일치하여 IPsec(412)으로 인코딩된 데이터그램들을 IPsec(432)이 디코딩하게 할 수 있다.
수신된 데이터그램들을 디코딩한 이후에, 어플라이언스(430)는 원본 IP 헤더들 내의 IP 주소들에 따라 데이터그램들을 라우팅할 수 있다. 데이터그램들은, 예를 들어, 클라이언트 장치들(405 또는 404)로 직접 라우팅될 수 있고, 클라이언트 장치들(405 또는 404)은 도 1의 클라이언트 장치(102)의 일 실시 예일 수 있다. 데이터그램들은 또한 추가 라우팅을 위해 사설 네트워크(402)로 포워딩될 수 있다. 사설 네트워크(402)는 도 1의 사설 네트워크(110)의 일 실시 예일 수 있다.
도 4의 블록도는, 예를 들어, 클라이언트 장치(예를 들어, 클라이언트 장치(403))가 원격 클라이언트 장치(예를 들어, 클라이언트 장치(405))와 보안 방식으로 통신할 수 있게 하는 본 발명에 따른 실시 예를 보여준다. 도 4에 도시된 바와 같이, 물리적 네트워크 링크들의 위치(예를 들어, S1-S3 내지 D1-D3) 대신에 어플라이언스(410) 및 어플라이언스(430)에서 IPsec 터널을 생성하는 것은, 2개의 엔드포인트들 사이에 다중 물리 링크들이 있을 수 있더라도, 네트워크 경로에 대해 SA들의 단일 집합이 협상될 수 있게 한다. 패킷들이 라우팅되기 전에 패킷들을 분석함으로써(예를 들어, 패킷 분석기(417)에서), 개시된 실시 예들은 트래픽을 지능적으로 라우팅하여 이용 가능한 네트워크 링크들을 최적화할 수 있다. 또한, IPsec 관리를 추상화하고 물리 링크들로부터 멀게 설정함으로써, 개시된 실시 예들은 각각의 물리 링크에 대해 개별 IPsec 터널을 관리하는 오버헤드 및 어려움의 대부분을 제거할 수 있다. 또한, 개시된 실시 예들은 다중 IPsec 연결들을 유지하는 것과 연관된 오버헤드 및 어려움을 감소시키거나 제거하지 않고, 다중-링크 IPsec 터널 관리를 개별 모둘 또는 구성 요소로 캡슐화하는 종래의 시스템들을 개선한다.
도 4에 개시된 실시 예 및 모듈들 또는 구성 요소들은 예시적인 것이다. 많은 구성 요소들이 결합되거나 분리되어 다른 구성 요소들로 배치될 수 있음이 이해된다. 도 4의 구조는 제한하려는 것이 아니다.
도 5는 다중 물리 링크들을 통해 원격 컴퓨팅 환경에 IPsec 인코딩된 데이터그램을 제공하기 위한 예시적인 방법(500)을 나타낸 흐름도이다. 도시된 절차는 단계를 삭제하거나 추가 단계들을 더 포함하도록 변경될 수 있다는 것이 쉽게 이해될 것이다. 초기 시작 단계(501) 이후에, 어플라이언스(예를 들어, 어플라이언스(410))는 원격 컴퓨팅 환경으로의 전송을 위한 IP 데이터그램을 획득할 수 있다(단계 510). 획득된 데이터그램은 로컬 클라이언트(예를 들어, 클라이언트(403)) 또는 어플라이언스에 통신 가능하게 연결된 일부 다른 컴퓨팅 장치에서 발생할 수 있다.
어플라이언스는 목적지 및 다른 특성들에 따라 데이터그램을 분류할 수 있다(단계 520). 예를 들어, 분류기(예를 들어, 분류기(411))는, 특히, 데이터그램의 유형, 데이터그램 내의 데이터 또는 프로토콜의 유형, 및 다른 네트워크 트래픽과 관련된 데이터그램의 상대적 중요도를 고려하는데 이용될 수 있다.
데이터그램을 분류한 이후에, 분류기는 분류를 기초로 메타데이터를 데이터그램과 연관시킬 수 있다(단계 530). 메타데이터는 이후에 라우팅 엔진에서 이용할 수 있도록 데이터그램의 내용들 또는 특성을 설명할 수 있다. 메타데이터는, 특히, 데이터그램 내의 데이터 유형, 데이터그램의 중요도, 및 캡슐화된 프로토콜들을 나타낼 수 있다.
메타데이터가 데이터그램과 연관된 이후에, 어플라이언스는 IPsec 정책들을 따르는 인코딩을 이용하여 데이터그램을 인코딩할 수 있다(단계 540). 어플라이언스는 임의의 표준 IPsec 모듈 또는 시스템을 이용할 수 있다. IPsec 모듈 또는 시스템에 의해 이용되는 SA는 일반적으로 이해되는 기술들, 예를 들어 IKE를 이용하여 미리 협상될 수 있다.
인코딩 이후에, 어플라이언스는 (예를 들어, 패킷 분석기(417)를 이용하여) 추가 제어 정보를 인코딩된 데이터그램에 연관시킬 수 있다(단계 550). 추가 정보는, 적어도, 타임스탬프 및 시퀀스 번호를 포함할 수 있다. 타임스탬프 및 시퀀스 번호는 목적지 엔드포인트에서 이용되어, 상이한 경로들을 취한 데이터그램들을 데이터그램들이 생성된 것과 동일한 시퀀스로 재구성하게 할 수 있다.
어플라이언스는 (예를 들어, 게이트웨이(420), 패킷 라우터(421), 및 목적지들(S1-S3)을 이용하여) 연관된 메타데이터 및 각각의 개별 네트워크 링크에 관한 어플라이언스의 지식을 기초로 인코딩된 데이터그램을 전송할 수 있다(단계 560). 어플라이언스는 대역폭을 최적화하기 위해 보다 빠른 응답 시간들을 갖는 링크들을 선호할 수 있다. 일부 실시 예들에서, 출발지(예를 들어 도 4의 S1-S3 중 하나)는 데이터그램과 연관된 메타데이터만을 기초로 결정될 것이다. 예를 들어, MPLS 데이터를 전송하는 데이터그램은 특정 네트워크 링크에 묶일 수 있다.
데이터그램이 전송된 이후에, 전송의 출발지는 이용된 특정 물리 연결에 관한 전송 통계들을 획득할 수 있다(단계 570). 이러한 통계들은, 예를 들어, 드롭된 패킷들의 수, 에러율, 레이턴시, 및 물리 링크와 관련된 다른 분석들을 포함할 수 있다. 이러한 접속 통계들은 (예를 들어, 링크 평가기(422)를 이용하여) 어플라이언스에 제공될 수 있다. 어플라이언스는 접속 통계들을 평가하고(단계 580), (예를 들어, 패킷 라우터(421)를 이용하여) 어플라이언스에 평가를 제공할 수 있다. 따라서, 평가들은 데이터그램들이 전송되고 네트워크 조건들이 변동함에 따라 주기적으로 업데이트된다.
도 6은 다중 물리 링크를 통해 원격 컴퓨팅 환경으로부터 IPsec 인코딩된 데이터그램을 수신하기 위한 예시적인 방법(600)을 나타내는 흐름도이다. 도시된 절차는 단계를 삭제하거나 추가 단계들을 더 포함하도록 변경될 수 있다는 것이 쉽게 이해될 것이다. 초기 시작 단계(601) 이후에, 어플라이언스(예를 들어, 어플라이언스(430))는 IPsec 호환 인코딩을 이용하여 인코딩된 IP 데이터그램을 획득할 수 있다(단계 610). 획득된 데이터그램은 원격 클라이언트(예를 들어, 클라이언트(403)) 또는 어플라이언스에 통신 가능하게 연결된 일부 다른 컴퓨팅 장치에서 발생할 수 있다.
데이터그램을 획득한 이후에, 어플라이언스는 데이터그램에 임베드된 타임스탬프 및 시퀀스 번호를 기초로 획득된 다른 데이터그램들 사이에 데이터그램을 조직화할 수 있다(단계 620). 각각의 데이터그램이 개별적으로 처리되지만, 데이터그램들이 많은 물리 링크들 중 임의의 하나를 통해 전송될 수 있기 때문에, 데이터그램들은 데이터그램들이 전송된 순서와 동일한 순서로 도달하지 않을 수 있다. 일부 실시 예들에서, 조직화는 데이터그램이 디코딩된 이후에 발생할 수 있다.
다른 관련 데이터그램들과 함께 데이터그램을 조직화한 이후에, 어플라이언스는 관련된 데이터그램들의 타임스탬프 및 시퀀스 번호를 기초로 데이터그램을 적절한 시퀀스로 (예를 들어, IPsec(432) 및 SA(433)를 이용하여) 디코딩할 수 있다(단계 630). 어플라이언스는 디코딩된 데이터그램을 원본 IP 헤더 목적지에 따라 컴퓨팅 장치(예를 들어, 클라이언트(405), 클라이언트(404), 또는 사설 네트워크(402)에 연결된 다른 장치)로 라우팅할 수 있다.
전술한 상세한 설명에서, 실시 예들은 구현마다 다를 수 있는 다수의 특정 세부 사항들을 참조하여 설명되었다. 설명된 실시 예들에 대해 어떠한 변형들 및 수정들이 이루어질 수 있다. 다른 실시 예들은 상세한 설명에 대한 고려 및 본 명세서에 개시된 실시 예들의 실시로부터 당업자에게 명백해질 수 있다. 상세한 설명 및 실시 예들은 단지 예시적인 것으로 간주되어야 한다. 도면들에 도시된 일련의 단계들은 단지 예시적인 목적을 위한 것이며, 임의의 특정 순서의 단계들로 제한되지 않는다. 이와 같이, 당업자들은 동일한 단계들을 구현하면서 이러한 단계들이 상이한 순서로 수행될 수 있음을 이해할 수 있다.

Claims (20)

  1. 복수의 연결들을 통해 제2 컴퓨팅 장치로 향하는 네트워크 트래픽을 보안하기 위한 시스템으로,
    제1 컴퓨팅 엔티티로부터 데이터그램을 획득하고, 상기 데이터그램을 인코딩하도록 구성되는 IPsec 인코더 - 상기 IPsec 인코더는 제2 컴퓨팅 엔티티와 연관된 IPsec 보안 연관들을 포함함 - ;
    메타데이터의 제1 세트를 상기 인코딩된 데이터그램과 연관시키도록 구성되는 패킷 분석기; 및
    상기 복수의 연결들 중 하나를 이용하여 상기 인코딩된 데이터그램을 상기 제2 컴퓨팅 장치로 전송하는 게이트웨이를 포함하되,
    상기 IPsec 보안 연관들의 단일 집합이, 상기 복수의 연결들에 대해 협상되는, 시스템.
  2. 제1항에 있어서,
    상기 데이터그램의 속성들을 기초로 메타데이터의 제2 세트를 상기 데이터그램과 연관시키도록 구성되는 분류기를 더 포함하는, 시스템.
  3. 제2항에 있어서,
    상기 데이터그램과 연관된 상기 메타데이터의 제2 세트에 적어도 기초하여 상기 복수의 연결들 중 하나를 선택하도록 구성되는 패킷 라우터를 더 포함하는 것을 특징으로 하는, 시스템.
  4. 제3항에 있어서,
    상기 복수의 연결들을 평가하도록 구성된 링크 평가기; 및
    상기 연관된 메타데이터의 제1 세트 및 상기 연관된 메타데이터의 제2 세트 중 하나, 및 상기 복수의 연결들의 평가에 적어도 기초하여 상기 인코딩된 데이터그램을 라우팅하도록 더 구성되는 상기 패킷 라우터를 더 포함하는, 시스템.
  5. 제1항에 있어서, 상기 인코딩된 데이터그램과 연관된 상기 메타데이터의 제1 세트는 타임스탬프 또는 시퀀스 번호 중 적어도 하나를 포함하는, 시스템.
  6. 제1항에 있어서, 상기 제2 컴퓨팅 장치는:
    하나 이상의 인코딩된 데이터그램들을 수신하고;
    상기 메타데이터의 제1 세트에 부분적으로 기초하여 상기 하나 이상의 인코딩된 데이터그램들을 조직화하고; 및
    상기 제2 컴퓨팅 엔티티와 연관된 상기 IPsec 보안 연관들을 이용하여 상기 하나 이상의 인코딩된 데이터그램들을 디코딩하도록 구성되는, 시스템.
  7. 제6항에 있어서, 상기 제2 컴퓨팅 장치는 상기 제2 컴퓨팅 엔티티를 포함하는, 시스템.
  8. 제7항에 있어서, 상기 제2 컴퓨팅 장치는 상기 제2 컴퓨팅 엔티티에 통신 가능하게 결합되는, 시스템.
  9. 복수의 연결들을 통해 제2 컴퓨팅 장치로 향하는 네트워크 트래픽을 보안하기 위한 방법으로 - 상기 방법은 하나 이상의 프로세서들에 의해 수행됨 - ,
    제1 컴퓨팅 엔티티로부터 데이터그램을 획득하는 단계;
    IPsec을 따르는 인코딩을 이용하여 데이터그램을 인코딩하는 단계 - IPsec 보안 연관들이 제2 컴퓨팅 엔티티에 연관됨 - ;
    메타데이터의 제1 세트를 상기 인코딩된 데이터그램과 연관시키는 단계; 및
    상기 복수의 연결들 중 하나를 통해 상기 인코딩된 데이터그램을 상기 제2 컴퓨팅 장치로 전송하는 단계를 포함하고,
    상기 IPsec 보안 연관들의 단일 집합이, 상기 복수의 연결들에 대해 협상되는, 방법.
  10. 제9항에 있어서,
    상기 데이터그램의 속성들을 기초로 메타데이터의 제2 세트를 상기 데이터그램과 연관시키는 단계를 더 포함하는, 방법.
  11. 제10항에 있어서,
    상기 데이터그램과 연관된 상기 메타데이터의 제2 세트에 적어도 기초하여 상기 복수의 연결들 중 하나를 선택하는 단계를 더 포함하는, 방법.
  12. 제11항에 있어서,
    상기 복수의 연결들을 평가하는 단계; 및
    상기 메타데이터의 제1 세트 및 상기 메타데이터의 제2 세트 중 하나 및 상기 복수의 연결들의 평가에 적어도 기초하여 상기 인코딩된 데이터그램을 라우팅하는 단계를 더 포함하는, 방법.
  13. 제9항에 있어서, 상기 인코딩된 데이터그램과 연관된 메타데이터의 제1 세트는 타임스탬프 또는 시퀀스 번호 중 적어도 하나를 포함하는, 방법.
  14. 제13항에 있어서, 상기 타임스탬프 또는 상기 시퀀스 번호 중 적어도 하나는 상기 제2 컴퓨팅 장치에서 상기 하나 이상의 인코딩된 데이터그램들을 조직화하는데 이용되는, 방법.
  15. 제1 컴퓨팅 장치의 하나 이상의 프로세서들에 의해 실행 가능한 명령어들을 저장하는 비 일시적 컴퓨터 판독 가능 저장 매체로서, 상기 제1 컴퓨팅 장치가 복수의 연결들을 통해 제2 컴퓨팅 장치로 향하는 네트워크 트래픽을 보안하기 위한 방법을 수행하게 하고, 상기 방법은,
    제1 컴퓨팅 엔티티로부터 데이터그램을 획득하는 단계;
    IPsec을 따르는 인코딩을 이용하여 상기 데이터그램을 인코딩하는 단계 - 복수의 IPsec 보안 연관들이 제2 컴퓨팅 엔티티와 연관됨 - ;
    메타데이터의 제1 세트를 상기 인코딩된 데이터그램과 연관시키는 단계; 및
    상기 인코딩된 데이터그램을 상기 복수의 연결들 중 하나를 통해 상기 제2 컴퓨팅 장치에 전송하는 단계를 포함하고,
    상기 IPsec 보안 연관들의 단일 집합이, 상기 복수의 연결들에 대해 협상되는, 컴퓨터 판독 가능 저장 매체.
  16. 제15항에 있어서, 상기 제1 컴퓨팅 장치의 상기 하나 이상의 프로세서들에 의해 실행 가능한 상기 명령어들의 세트는 상기 제1 컴퓨팅 장치가,
    상기 데이터그램의 속성들을 기초로 메타데이터의 제2 세트를 상기 데이터그램과 연관시키는 단계를 더 수행하게 하는, 컴퓨터 판독 가능 저장 매체.
  17. 제16항에 있어서, 상기 제1 컴퓨팅 장치의 상기 하나 이상의 프로세서들에 의해 실행 가능한 상기 명령어들의 세트는 상기 제1 컴퓨팅 장치가,
    상기 데이터그램과 연관된 상기 메타데이터의 제2 세트에 적어도 기초하여 상기 복수의 연결들 중 하나를 선택하는 단계를 더 수행하게 하는, 컴퓨터 판독 가능 저장 매체.
  18. 제17항에 있어서, 상기 제1 컴퓨팅 장치의 상기 하나 이상의 프로세서들에 의해 실행 가능한 상기 명령어들의 세트는, 상기 제1 컴퓨팅 장치가,
    상기 복수의 연결들을 평가하는 단계; 및
    상기 메타데이터의 제1 세트 및 상기 메타데이터의 제2 세트 중 하나 및 상기 복수의 연결들의 평가들에 적어도 기초하여 상기 인코딩된 데이터그램을 라우팅하는 단계를 더 수행하게 하는, 컴퓨터 판독 가능 저장 매체.
  19. 제15항에 있어서, 상기 인코딩된 데이터그램과 연관된 상기 메타데이터의 제1 세트는 타임스탬프 또는 시퀀스 번호 중 적어도 하나를 포함하는, 컴퓨터 판독 가능 저장 매체.
  20. 제19항에 있어서, 상기 타임스탬프 또는 상기 시퀀스 번호 중 적어도 하나는 상기 제2 컴퓨팅 장치에서 상기 하나 이상의 인코딩된 데이터그램들을 조직화하는 데 이용되는, 컴퓨터 판독 가능 저장 매체.
KR1020187002657A 2015-07-28 2016-07-27 다중 경로 환경에서 IPsec 터널들의 효율적인 사용 KR102200857B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/811,695 2015-07-28
US14/811,695 US10051000B2 (en) 2015-07-28 2015-07-28 Efficient use of IPsec tunnels in multi-path environment
PCT/US2016/044317 WO2017019798A1 (en) 2015-07-28 2016-07-27 Efficient use of ipsec tunnels in a multi-path environment

Publications (2)

Publication Number Publication Date
KR20180035813A KR20180035813A (ko) 2018-04-06
KR102200857B1 true KR102200857B1 (ko) 2021-01-13

Family

ID=56609989

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020187002657A KR102200857B1 (ko) 2015-07-28 2016-07-27 다중 경로 환경에서 IPsec 터널들의 효율적인 사용

Country Status (6)

Country Link
US (2) US10051000B2 (ko)
EP (1) EP3329651B1 (ko)
JP (1) JP7075216B2 (ko)
KR (1) KR102200857B1 (ko)
CN (1) CN107852411B (ko)
WO (1) WO2017019798A1 (ko)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11900090B2 (en) 2015-10-27 2024-02-13 Airwatch Llc Enforcement of updates for devices unassociated with a directory service
US10860304B2 (en) * 2015-10-27 2020-12-08 Airwatch Llc Enforcement of updates for devices unassociated with a directory service
CN106656914A (zh) * 2015-10-29 2017-05-10 阿里巴巴集团控股有限公司 防攻击数据传输方法及装置
US10250578B2 (en) * 2015-11-03 2019-04-02 Qualcomm Incorporated Internet key exchange (IKE) for secure association between devices
US20190036814A1 (en) * 2017-07-31 2019-01-31 Cisco Technology, Inc. Traffic steering with path ordering
US20190036842A1 (en) * 2017-07-31 2019-01-31 Cisco Technology, Inc. Traffic steering in fastpath
US10771435B2 (en) * 2018-11-20 2020-09-08 Netskope, Inc. Zero trust and zero knowledge application access system
EP3566393B1 (en) * 2018-12-28 2021-09-01 Advanced New Technologies Co., Ltd. Accelerating transaction deliveries in blockchain networks using transaction resending
JP2020516108A (ja) 2018-12-28 2020-05-28 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited グローバル加速ノードを用いたブロックチェーントランザクション速度の改善
WO2019072307A2 (en) 2018-12-28 2019-04-18 Alibaba Group Holding Limited ACCELERATION OF TRANSACTION DELIVERIES IN BLOCK CHAIN NETWORKS USING ACCELERATION NODES
US11477172B2 (en) * 2020-01-24 2022-10-18 International Business Machines Corporation Securing data compression
CN113691490A (zh) * 2020-05-19 2021-11-23 华为技术有限公司 一种校验SRv6报文的方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007103338A2 (en) * 2006-03-08 2007-09-13 Cipheroptics, Inc. Technique for processing data packets in a communication network
US20130263249A1 (en) * 2012-03-30 2013-10-03 Futurewei Technologies, Inc. Enhancing IPSEC Performance and Security Against Eavesdropping
WO2015047143A1 (en) * 2013-09-30 2015-04-02 Telefonaktiebolaget L M Ericsson (Publ) A method performed at an ip network node for ipsec establishment

Family Cites Families (127)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2798534B2 (ja) * 1991-10-01 1998-09-17 日本電気株式会社 マルチリンク制御方式
US6438612B1 (en) * 1998-09-11 2002-08-20 Ssh Communications Security, Ltd. Method and arrangement for secure tunneling of data between virtual routers
JP3540183B2 (ja) * 1999-01-21 2004-07-07 株式会社東芝 マルチリンク通信装置
US7996670B1 (en) * 1999-07-08 2011-08-09 Broadcom Corporation Classification engine in a cryptography acceleration chip
US20030014627A1 (en) * 1999-07-08 2003-01-16 Broadcom Corporation Distributed processing in a cryptography acceleration chip
US6941377B1 (en) * 1999-12-31 2005-09-06 Intel Corporation Method and apparatus for secondary use of devices with encryption
US7082530B1 (en) * 1999-12-31 2006-07-25 Intel Corporation Method and apparatus for accelerating hardware encryption with multiple networking interfaces
US7181012B2 (en) * 2000-09-11 2007-02-20 Telefonaktiebolaget Lm Ericsson (Publ) Secured map messages for telecommunications networks
US6839754B2 (en) * 2000-09-15 2005-01-04 Wm. Marsh Rice University Network tomography using closely-spaced unicast packets
JP3639208B2 (ja) * 2000-11-28 2005-04-20 株式会社東芝 移動通信システム、移動端末装置、aaahサーバ装置、認証課金サービス提供方法、認証課金サービス享受方法、移動端末装置情報提供方法及び相手端末確認方法
US7664119B2 (en) * 2001-03-30 2010-02-16 Intel Corporation Method and apparatus to perform network routing
US8477616B1 (en) * 2001-06-05 2013-07-02 Avaya Inc. Method for achieving high-availability of itineraries in a real-time network scheduled packet routing system
US7296155B1 (en) * 2001-06-08 2007-11-13 Cisco Technology, Inc. Process and system providing internet protocol security without secure domain resolution
US20030002676A1 (en) * 2001-06-29 2003-01-02 Stachura Thomas L. Method and apparatus to secure network communications
US7389412B2 (en) * 2001-08-10 2008-06-17 Interactive Technology Limited Of Hk System and method for secure network roaming
US20030031151A1 (en) * 2001-08-10 2003-02-13 Mukesh Sharma System and method for secure roaming in wireless local area networks
FI116027B (fi) * 2001-09-28 2005-08-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestien turvallisen lähettämisen varmistamiseksi
JP3678200B2 (ja) * 2002-01-11 2005-08-03 Kddi株式会社 通信内容の秘匿性向上のための経路分散装置
FI116017B (fi) * 2002-01-22 2005-08-31 Netseal Mobility Technologies Menetelmä viestien lähettämiseksi turvallisten mobiiliviestintäyhteyksien läpi
FI118170B (fi) * 2002-01-22 2007-07-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi
JP2003229798A (ja) * 2002-02-05 2003-08-15 Hitachi Ltd 無線中継システム
US6792534B2 (en) * 2002-03-22 2004-09-14 General Instrument Corporation End-to end protection of media stream encryption keys for voice-over-IP systems
US7287269B2 (en) * 2002-07-29 2007-10-23 International Buiness Machines Corporation System and method for authenticating and configuring computing devices
FR2844941B1 (fr) * 2002-09-24 2005-02-18 At & T Corp Demande d'acces securise aux ressources d'un reseau intranet
JP4346898B2 (ja) * 2002-12-09 2009-10-21 Necインフロンティア株式会社 クライアント・サーバ型分散システムにおける保守インタフェース利用者認証方法および装置
US20060155981A1 (en) * 2002-12-25 2006-07-13 Mizutanai Mika, Kamimaki Hideki, Ebina Akihiro Network device, network system and group management method
US7571463B1 (en) * 2003-01-24 2009-08-04 Nortel Networks Limited Method an apparatus for providing a scalable and secure network without point to point associations
EP1602214B1 (de) * 2003-03-04 2016-11-02 Lukas Wunner Verfahren, system und speichermedium um kompatibilität zwischen IPsec und dynamischem routing herzustellen
US7774593B2 (en) * 2003-04-24 2010-08-10 Panasonic Corporation Encrypted packet, processing device, method, program, and program recording medium
GB0312681D0 (en) * 2003-06-03 2003-07-09 Ericsson Telefon Ab L M IP mobility
US7421578B1 (en) * 2003-07-22 2008-09-02 Cisco Technology, Inc. Method and apparatus for electing a leader node in a computer network
US7333799B2 (en) * 2003-08-29 2008-02-19 Microsoft Corporation WAP XML extension to define VPN connections
US7685436B2 (en) * 2003-10-02 2010-03-23 Itt Manufacturing Enterprises, Inc. System and method for a secure I/O interface
US20050138380A1 (en) * 2003-12-22 2005-06-23 Fedronic Dominique L.J. Entry control system
US7305706B2 (en) * 2004-01-15 2007-12-04 Cisco Technology, Inc. Establishing a virtual private network for a road warrior
JP3955025B2 (ja) * 2004-01-15 2007-08-08 松下電器産業株式会社 移動無線端末装置、仮想私設網中継装置及び接続認証サーバ
JP4006403B2 (ja) * 2004-01-21 2007-11-14 キヤノン株式会社 ディジタル署名発行装置
EP1562346A1 (en) * 2004-02-06 2005-08-10 Matsushita Electric Industrial Co., Ltd. Method and system for reliably disconnecting IPSec security associations
JP3976324B2 (ja) * 2004-02-27 2007-09-19 株式会社日立製作所 セキュリティレベルに応じて記憶領域を計算機に割り当てるシステム
US7685434B2 (en) * 2004-03-02 2010-03-23 Advanced Micro Devices, Inc. Two parallel engines for high speed transmit IPsec processing
US8186026B2 (en) * 2004-03-03 2012-05-29 Rockstar Bidco, LP Technique for maintaining secure network connections
AU2005201275B2 (en) 2004-03-26 2007-09-20 Canon Kabushiki Kaisha Internet protocol tunnelling using templates
US7461152B2 (en) * 2004-03-31 2008-12-02 International Business Machines Corporation Apparatus and method for sharing a shared resource across logical partitions or systems
JP2005310025A (ja) * 2004-04-26 2005-11-04 Hitachi Ltd ストレージ装置、計算機システムおよびイニシエータ認可方法
EP1751945B1 (en) * 2004-05-31 2018-02-21 Telecom Italia S.p.A. Method and system for a secure connection in communication networks
US8364948B2 (en) * 2004-07-02 2013-01-29 Hewlett-Packard Development Company, L.P. System and method for supporting secured communication by an aliased cluster
DK1794973T3 (da) * 2004-09-30 2011-04-04 Telecom Italia Spa Fremgangsmåde og system til styring af mobiliteten i et kommunikationsnetværk, tilhørende netværk og computerprogramprodukt hertil
US9794237B2 (en) * 2005-01-31 2017-10-17 Unisys Corporation Secured networks and endpoints applying internet protocol security
US7577130B2 (en) * 2005-02-18 2009-08-18 Microsoft Corporation SyncML based OMA connectivity object to provision VPN connections
US8438629B2 (en) * 2005-02-21 2013-05-07 Samsung Electronics Co., Ltd. Packet security method and apparatus
US7505442B2 (en) * 2005-04-05 2009-03-17 Nokia Corporation Routing transformation, security, and authorization for delegated prefixes
US20060230446A1 (en) * 2005-04-06 2006-10-12 Vu Lan N Hybrid SSL/IPSec network management system
US20070006296A1 (en) * 2005-06-29 2007-01-04 Nakhjiri Madjid F System and method for establishing a shared key between network peers
TW200729892A (en) * 2005-11-16 2007-08-01 Nokia Corp System and method for establishing bearer-independent and secure connections
JP4592611B2 (ja) * 2006-02-03 2010-12-01 富士通株式会社 パケット通信システム
US8201233B2 (en) * 2006-02-06 2012-06-12 Cisco Technology, Inc. Secure extended authentication bypass
EP1997292B1 (en) * 2006-03-20 2018-11-07 British Telecommunications public limited company Establishing communications
WO2007120915A2 (en) * 2006-04-17 2007-10-25 Starent Networks Corporation System and method for traffic localization
GB2442044B8 (en) * 2006-05-11 2011-02-23 Ericsson Telefon Ab L M Addressing and routing mechanism for web server clusters.
US20080076425A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for resource management
JP2008035272A (ja) * 2006-07-28 2008-02-14 Canon Inc 情報処理システム及び当該システムにおけるデータ通信方法
US8036664B2 (en) * 2006-09-22 2011-10-11 Kineto Wireless, Inc. Method and apparatus for determining rove-out
US8073428B2 (en) * 2006-09-22 2011-12-06 Kineto Wireless, Inc. Method and apparatus for securing communication between an access point and a network controller
US7995994B2 (en) * 2006-09-22 2011-08-09 Kineto Wireless, Inc. Method and apparatus for preventing theft of service in a communication system
US20080076412A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for registering an access point
US8204502B2 (en) * 2006-09-22 2012-06-19 Kineto Wireless, Inc. Method and apparatus for user equipment registration
US20080076392A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for securing a wireless air interface
US20080076419A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for discovery
JP2008103988A (ja) * 2006-10-19 2008-05-01 Fujitsu Ltd 暗号通信システム、装置、方法及びプログラム
US8607302B2 (en) * 2006-11-29 2013-12-10 Red Hat, Inc. Method and system for sharing labeled information between different security realms
US8239706B1 (en) * 2007-01-03 2012-08-07 Board Of Governors For Higher Education, State Of Rhode Island And Providence Plantations Data retrieval system and method that provides retrieval of data to any point in time
KR100839941B1 (ko) * 2007-01-08 2008-06-20 성균관대학교산학협력단 IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법
US8549135B1 (en) * 2007-05-18 2013-10-01 Raytheon Company Method and apparatus for performing quality of service in secure networks
CN100596062C (zh) * 2007-08-16 2010-03-24 杭州华三通信技术有限公司 分布式报文传输安全保护装置和方法
JP5167759B2 (ja) * 2007-10-24 2013-03-21 日本電気株式会社 通信システム、通信方法、認証情報管理サーバおよび小型基地局
JP2009111437A (ja) * 2007-10-26 2009-05-21 Hitachi Ltd ネットワークシステム
US8763108B2 (en) * 2007-11-29 2014-06-24 Qualcomm Incorporated Flow classification for encrypted and tunneled packet streams
JP5316423B2 (ja) * 2007-12-19 2013-10-16 富士通株式会社 暗号化実施制御システム
CN101197664B (zh) * 2008-01-03 2010-12-08 杭州华三通信技术有限公司 一种密钥管理协议协商的方法、系统和装置
US20090262703A1 (en) * 2008-04-18 2009-10-22 Amit Khetawat Method and Apparatus for Encapsulation of RANAP Messages in a Home Node B System
ES2404045T3 (es) * 2008-05-13 2013-05-23 Telefonaktiebolaget Lm Ericsson (Publ) Manejo del tipo de usuario en una red de acceso inalámbrica
JP2010034860A (ja) * 2008-07-29 2010-02-12 Fujitsu Ltd セキュリティ機能を有するipネットワーク通信方法及び通信システム
US7801161B2 (en) * 2008-10-20 2010-09-21 Broadlight, Ltd. Gigabit passive optical network (GPON) residential gateway
US8612582B2 (en) * 2008-12-19 2013-12-17 Openpeak Inc. Managed services portals and method of operation of same
US8788655B2 (en) * 2008-12-19 2014-07-22 Openpeak Inc. Systems for accepting and approving applications and methods of operation of same
US8856322B2 (en) * 2008-12-19 2014-10-07 Openpeak Inc. Supervisory portal systems and methods of operation of same
US8745213B2 (en) * 2008-12-19 2014-06-03 Openpeak Inc. Managed services platform and method of operation of same
US8615581B2 (en) * 2008-12-19 2013-12-24 Openpeak Inc. System for managing devices and method of operation of same
US8650290B2 (en) * 2008-12-19 2014-02-11 Openpeak Inc. Portable computing device and method of operation of same
CN101478755B (zh) * 2009-01-21 2011-05-11 中兴通讯股份有限公司 一种网络安全的http协商的方法及其相关装置
US8548171B2 (en) * 2009-02-27 2013-10-01 Cisco Technology, Inc. Pair-wise keying for tunneled virtual private networks
US9301191B2 (en) * 2013-09-20 2016-03-29 Telecommunication Systems, Inc. Quality of service to over the top applications used with VPN
CN101998494B (zh) * 2009-08-21 2016-02-03 华为技术有限公司 业务流共享资源的方法、系统和接入网关
CA2789291A1 (en) * 2010-02-26 2011-09-01 General Instrument Corporation Dynamic cryptographic subscriber-device identity binding for subscriber mobility
JP2011199340A (ja) * 2010-03-17 2011-10-06 Fujitsu Ltd 通信装置及び方法、並びに通信システム
US8671273B2 (en) * 2010-04-15 2014-03-11 The University Of Maryland Method of performance-aware security of unicast communication in hybrid satellite networks
WO2011143094A2 (en) * 2010-05-09 2011-11-17 Citrix Systems, Inc. Systems and methods for allocation of classes of service to network connections corresponding to virtual channels
WO2011151924A1 (ja) * 2010-06-04 2011-12-08 富士通株式会社 処理装置,処理方法及び処理プログラム
CN102006294B (zh) * 2010-11-25 2014-08-20 中兴通讯股份有限公司 Ims多媒体通信方法和系统、终端及ims核心网
US8654723B2 (en) * 2011-03-04 2014-02-18 Rogers Communications Inc. Method and device for re-using IPSec tunnel in customer premises equipment
US10637782B2 (en) * 2011-03-23 2020-04-28 Hughes Network Systems, Llc System and method for policy-based multipath WAN transports for improved quality of service over broadband networks
US8855301B2 (en) * 2011-08-12 2014-10-07 Cisco Technology, Inc. Coordinating compression information for unreliable encrypted streams through key establishment protocols
US8909918B2 (en) * 2011-10-05 2014-12-09 Cisco Technology, Inc. Techniques to classify virtual private network traffic based on identity
US9264397B2 (en) * 2011-10-18 2016-02-16 Bluecat Networks (Usa) Inc. Method and system for implementing a user network identity address provisioning server
US8745381B2 (en) * 2011-10-19 2014-06-03 Ixia Methods, systems, and computer readable media for performing encapsulating security payload (ESP) rehashing
JP5906896B2 (ja) * 2012-03-29 2016-04-20 富士通株式会社 ネットワークシステム及び通信制御方法
US9065802B2 (en) * 2012-05-01 2015-06-23 Fortinet, Inc. Policy-based configuration of internet protocol security for a virtual private network
WO2013164378A1 (en) * 2012-05-04 2013-11-07 Altobridge Limited Optimizing mobile network bandwidth
US8862883B2 (en) * 2012-05-16 2014-10-14 Cisco Technology, Inc. System and method for secure cloud service delivery with prioritized services in a network environment
JP2013247447A (ja) * 2012-05-24 2013-12-09 Nec Corp サービス制御装置、中継装置、フェムトセル用基地局、通信システム、制御方法、および、プログラム
JP6151906B2 (ja) * 2012-10-10 2017-06-21 キヤノン株式会社 通信装置及びその制御方法
US10091102B2 (en) * 2013-01-09 2018-10-02 Cisco Technology, Inc. Tunnel sub-interface using IP header field
US9602470B2 (en) * 2013-05-23 2017-03-21 Sercomm Corporation Network device, IPsec system and method for establishing IPsec tunnel using the same
US20150149220A1 (en) * 2013-11-26 2015-05-28 Verizon Patent And Licensing Inc. Methods and Procedures for a Travel Assistance Platform
WO2015084878A1 (en) * 2013-12-02 2015-06-11 Akamai Technologies, Inc. Virtual private network (vpn)-as-a-service with delivery optimizations while maintaining end-to-end data security
US9813343B2 (en) * 2013-12-03 2017-11-07 Akamai Technologies, Inc. Virtual private network (VPN)-as-a-service with load-balanced tunnel endpoints
US9294461B2 (en) * 2014-01-08 2016-03-22 Dell Software, Inc. Virtual private network dead peer detection
US9444796B2 (en) * 2014-04-09 2016-09-13 Cisco Technology, Inc. Group member recovery techniques
US9871691B2 (en) * 2014-09-16 2018-01-16 CloudGenix, Inc. Methods and systems for hub high availability and network load and scaling
US9847875B1 (en) * 2016-06-20 2017-12-19 Verizon Patent And Licensing Inc. Methods and systems for bootstrapping an end-to-end application layer session security keyset based on a subscriber identity master security credential
US20170374025A1 (en) * 2016-06-28 2017-12-28 Fortinet, Inc. Internet protocol security (ipsec) interface configuration and management
US11463527B2 (en) * 2016-11-11 2022-10-04 Telefonaktiebolaget L M Ericsson (Publ) User plane model for non-3GPP access to fifth generation core network
US10721097B2 (en) * 2018-04-24 2020-07-21 Microsoft Technology Licensing, Llc Dynamic scaling of virtual private network connections
US10951478B2 (en) * 2018-04-30 2021-03-16 Cisco Technology, Inc. User plane group
US10812370B2 (en) * 2018-08-03 2020-10-20 Arista Networks, Inc. Unified control plane over MPLS and internet interfaces through BGP
US11349653B2 (en) * 2018-12-18 2022-05-31 Hewlett Packard Enterprise Development Lp Multiple-site private network secured by IPsec using blockchain network for key exchange
US11265714B2 (en) * 2018-12-28 2022-03-01 Cable Television Laboratories, Inc. Systems and methods for subscriber certificate provisioning

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007103338A2 (en) * 2006-03-08 2007-09-13 Cipheroptics, Inc. Technique for processing data packets in a communication network
US20130263249A1 (en) * 2012-03-30 2013-10-03 Futurewei Technologies, Inc. Enhancing IPSEC Performance and Security Against Eavesdropping
WO2015047143A1 (en) * 2013-09-30 2015-04-02 Telefonaktiebolaget L M Ericsson (Publ) A method performed at an ip network node for ipsec establishment

Also Published As

Publication number Publication date
KR20180035813A (ko) 2018-04-06
CN107852411A (zh) 2018-03-27
US20180316723A1 (en) 2018-11-01
JP7075216B2 (ja) 2022-05-25
JP2018522481A (ja) 2018-08-09
US10992709B2 (en) 2021-04-27
WO2017019798A1 (en) 2017-02-02
CN107852411B (zh) 2021-08-10
EP3329651B1 (en) 2021-04-14
EP3329651A1 (en) 2018-06-06
US20170034213A1 (en) 2017-02-02
US10051000B2 (en) 2018-08-14

Similar Documents

Publication Publication Date Title
KR102200857B1 (ko) 다중 경로 환경에서 IPsec 터널들의 효율적인 사용
US11870753B2 (en) System, apparatus and method for providing a unified firewall manager
US20210352017A1 (en) Virtual private network (vpn)-as-a-service with load- balanced tunnel endpoints
US10305904B2 (en) Facilitating secure network traffic by an application delivery controller
US10027761B2 (en) Facilitating a secure 3 party network session by a network device
US9467454B2 (en) Systems and methods for network filtering in VPN
Arregoces et al. Data center fundamentals
US10009336B2 (en) Network security system to validate a server certificate
US10412050B2 (en) Protect applications from session stealing/hijacking attacks by tracking and blocking anomalies in end point characteristics throughout a user session
US11303614B2 (en) System and method for providing improved optimization for secure session connections
US8230214B2 (en) Systems and methods for optimizing SSL handshake processing
US10447591B2 (en) Executing multiple virtual private network (VPN) endpoints associated with an endpoint pool address
US10250637B2 (en) System and method of pre-establishing SSL session connections for faster SSL connection establishment
WO2016044413A1 (en) Methods and systems for business intent driven policy based network traffic characterization, monitoring and control
US11924491B2 (en) Securing an overlay network against attack
AU2013266624A1 (en) Multi-tunnel virtual private network
US10498529B1 (en) Scalable node for secure tunnel communications
CN114095195A (zh) 安全套接字层代理的自适应控制

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant