KR20070074465A

KR20070074465A - 가상 사설 네트워크 구축 시스템 및 방법

Info

Publication number: KR20070074465A
Application number: KR1020067027812A
Authority: KR
Inventors: 프라바카르 선다라잔; 준시아노 헤; 아제이 소니; 샤시드하라 난준대스웨미; 아르케쉬 쿠마르
Original assignee: 사이트릭스 어플리케이션 네트워킹, 엘엘씨.
Priority date: 2004-06-30
Filing date: 2005-06-24
Publication date: 2007-07-12
Also published as: EP1774438A2; US20100241846A1; WO2006004725A2; US20120317411A1; CA2583178A1; US7757074B2; EP1774438A4; US20060005240A1; US8726006B2; WO2006004725A3; US8261057B2; EP1774438B1; CN101416171A; CN101416171B; JP2008505545A

Abstract

클라이언트와 사설 데이터 통신 네트워크 사이에 가상 사설 네트워크(VPN)를 구축하는 시스템 및 방법이 제공된다. SSL(Secure Sockets Layer) 데이터 통신 세션과 같은 암호화된 데이터 통신 세션이 공중 데이터 통신 네트워크를 통해 게이트웨이와 클라이언트 사이에 설정된다. 다음에 게이트웨이는 프로그래밍 구성 요소를 클라이언트상에서의 자동 설치 및 실행을 위해 클라이언트에 전송한다. 상기 프로그래밍 구성 요소는 사설 데이터 통신 네트워크상의 자원을 위해 예정된 클라이언트 애플리케이션으로부터의 통신 신호를 인터셉트하고 상기 인터셉트된 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 상기 사설 데이터 통신 네트워크상의 자원 대신에 게이트웨이에 전송하도록 동작한다.

클라이언트, 가상 사설 네트워크, 데이터 통신 세션, 게이트웨이, 자원

Description

가상 사설 네트워크 구축 시스템 및 방법{SYSTEM AND METHOD FOR ESTABLISHING A VIRTUAL PRIVATE NETWORK}

본 발명은 일반적으로 데이터 통신 네트워크에 관한 것이다. 특히, 본 발명은 인터넷과 같은 공중 데이터 통신 네트워크를 통해 엔티티들(entities) 사이에 가상 사설 네트워크(VPN)를 구축하는 것에 관한 것이다.

기업들은 소유한 애플리케이션 및 데이터에 대한 액세스를 종업원 및 기업 네트워크 외부에 위치한 파트너들에게 제공할 것을 점점 요구받고 있다. 비용 효율이 높은 방식으로 상기 액세스를 제공하기 위해, 기업들은 원격 액세스를 제공하기 위한 인터넷과 같은 공중망을 이용하려고 한다. 그러나, 인터넷은 공개적으로 액세스 가능한 망이기 때문에, 네트워크 보안 문제가 생긴다.

SSL(Secure Sockets Layer) 암호화 또는 IPSec(Internet Protocol Security) 암호화에 의존하는 것(이에 한정되지 않음)을 포함한 안전한 인터넷 통신을 달성하기 위해 다수의 기술이 이용 가능하다. SSL 암호화는 오늘날의 인터넷 사용자들이 이용하는 대부분의 웹 브라우저에 통합되어 있으나 IPSec는 현재 통합되어 있지 않다.

그러나, SSL 기술은 SSL-암호화된 클라이언트가 도메인 네임 서버, WINS(Windows Internet Naming Service) 서버, 또는 기업 네트워크의 외부에서는 볼 수 없으나 기업 네트워크상의 자원에 도달하는데 필수적인 사설 네트워크의 다른 자원을 직접 액세스할 수 없다는 점에서 원격 액세스를 사설 네트워크에 제공하는 능력이 제한되어 있다. 또한, 방화벽은 일반적으로 각종 포트를 통해 트래픽을 차단하고, 각종 IP(Internet Protocol) 주소에 대한 액세스를 자동적으로 제한함으로써, SSL-암호화된 클라이언트가 기업 네트워크상의 목적지를 액세스하는 것을 방지한다. 마지막으로, 각종 클라이언트-서버 이메일 프로그램 및 다른 기업 애플리케이션 프로그램과 같은 중요한 애플리케이션은 본래 SSL 암호화를 지원하지 않고 있어 상기 자원에 대한 안전한 원격 액세스를 제공할 때 SSL의 유효성을 제한하고 있다.

가상 사설 네트워크(VPN) 접속으로, 원격 사용자 및 클라이언트 프로그램(바꾸어 말하면, 직접 접속되지 않은 사용자 및 클라이언트 프로그램)은 공중 인터네트워크(예컨대, 인터넷)를 통한 사설 데이터 망에 대한 암호화된 원격 액세스를 달성할 수 있다. VPN을 구축하기 위한 종래 접근법은 IPSec 표준 또는 SSL 및 웹 브라우저-기반 동적 SSL VPN 기술의 이전 버전에 기반을 둔 사전 설치된 "씩 클라이언트(thick client)"를 이용하여 원격 액세스를 설정하는 접근법을 포함한다. 각각에 대해서는 보다 상세하게 후술한다.

IPSec 기술 기반의 VPN 씩 클라이언트는 인터넷을 통해 전체 패킷을 암호화된 형태로 전송한다. IPSec 기술은 강하고 안전하나 상당한 제한이 있다. 이들 제한으로는 특히 원격 액세스 사용자용 VPN 클라이언트 소프트웨어를 구동, 관리, 및 유지함에 있어서 관리상의 문제를 들 수 있으며, 이는 사용자마다 IPSec 소프트웨어를 다운로드하여 자신의 컴퓨터에 설치하여야 하기 때문이다. 또한, IPSec VPN 기술을 이용해서는, 사용자는 교번하는 엔드포인트들(endpoints)(바꾸어 말하면, 사용자가 해당 소프트웨어를 설치하지 않은 디바이스)로부터의 중요 자원을 액세스할 수 없다. 또한, 방화벽에 의해 보호되는 사이트에 대한 사용자 액세스가 제한되거나, 일부 경우에는 허용되지 않는다.

씩 클라이언트의 종래 SSL 버전은, 방화벽이 일반적으로 열어두는 표준 SSL 포트를 이용하여 IPSec 씩 클라이언트의 방화벽 제한으로부터 벗어난다. 그러나, 이러한 구현은 액세스가 일어나는 경우에는 언제나 클라이언트 소프트웨어를 사전 설치해야 하는 단점들을 여전히 야기한다. 이들 단점으로는, 관리의 복잡성, 및 특수한 소프트웨어를 설치할 필요 없는 표준 웹 브라우저가 갖추어진 클라이언트 컴퓨터로부터의 액세스를 제공할 수 없다는 점을 들 수 있다.

종래 동적 포트 프록시 접근법은 SSL 씩 클라이언트의 방화벽 통과 능력이 있고, 웹 브라우저의 내장 암호화 능력들을 이용하여 IPSec 및 SSL 씩 클라이언트의 제한을 처리함으로써 특수한 클라이언트 소프트웨어를 설치할 필요가 없도록 한다. 이러한 접근법에 따라, 액세스 서버의 게이트웨이 디바이스 또는 프로그램은 암호화된 트래픽의 포트를 감시하기 위해 자바 애플릿을 다운로드한다. 암호화된 트래픽이 검출되는 경우, 암호화된 데이터를 전송한 클라이언트는 적용가능한 보안 포트를 통해 자신의 트래픽을 다시 전송하도록 구성된다. 그러나, 이 기술의 문제점은 네임을 가진 주소들에 대해서만 기능을 한다는 점이다. 바꾸어 말하면, 상기 기술은 정적 IP 주소인 경우에 또는 서버의 IP 주소 및/또는 포트가 동적으로 변하는 경우에는 기능을 하지 않을 것이다. 따라서, 이들 구현은 동적으로 할당된 IP 주소 또는 동적으로 변하는 포트를 이용하거나 네임이 없는 자원에 도달하기 위해 하드-코딩된 IP 주소를 이용하는 애플리케이션을 처리할 수 없다.

이때 필요한 것은 종래 솔루션들을 향상시키고 종래 솔루션들의 상기한 단점들을 처리하기 위해 인터넷과 같은 공중 데이터 통신 네트워크를 통해 기업 네트워크 내의 애플리케이션 및 데이터에 대한 안전한 원격 액세스를 제공하는 시스템 및 방법이다.

본 발명의 가장 넓은 응용에서, 본 발명은 클라이언트와 사설 데이터 통신 네트워크 사이에 가상 사설 네트워크(VPN)를 구축하는 시스템 및 방법에 관한 것으로, 클라이언트는 공중 데이터 통신 네트워크를 통해 사설 데이터 통신 네트워크에 안전하게 접속된다. 본 발명의 일실시예에 따라, 사설 데이터 통신 네트워크는 기업이 소유한 애플리케이션 및 데이터가 상주하는 기업 네트워크를 구비하고, 공중 데이터 통신 네트워크는 인터넷을 구비한다.

본 발명의 일실시예에 따른 방법에서, 공중 데이터 통신 네트워크를 통해 액세스 서버상의 게이트웨이 또는 프로그램과 클라이언트 사이에 암호화된 데이터 통신 세션이 설정된다. 상기 통신 세션은 SSL(Secure Sockets Layer) 프로토콜, 인터넷 프로토콜 보안(IPSec) 또는 다른 암호화 방법(이에 한정되지 않음)을 포함한 각종 방법을 통해 암호화될 수 있다.

상기 암호화된 데이터 통신 세션의 설정에 응답하여, 액세스 서버상의 게이트웨이 또는 프로그램은 프로그램을 다시 클라이언트에 전송한다. 일실시예에서, 상기 프로그램은 클라이언트 웹 브라우저에 의해 자동적으로 설치 및 실행되는 제어 또는 프로그래밍 구성 요소(즉, 네트워크 환경을 통해 구동될 수 있는 자급자족 가능(self-sufficient) 프로그램)를 구비한다. 일실시예에서, 일단 상기 프로그램이 클라이언트에 설치되면, 상기 프로그램은 클라이언트상의 운영 체제의 전송 계층에 "후크(hook)"로서 설치된 인터셉터(interceptor)의 역할을 함으로써 지정된 사설 데이터 통신 네트워크상의 자원을 위해 예정된 클라이언트 애플리케이션으로부터의 통신 신호를 동적으로 인터셉트하는 능력이 있다.

일실시예에서, 상기 프로그램은 또한 이러한 인터셉트된 통신 신호를 위한 엔드포인트를 제공함으로써 인터셉트된 통신 신호의 접속 프록시의 역할을 할 수 있다. 상기 프로그램은 또한, 암호화된 데이터 통신 세션에서 암호화 엔드포인트의 역할을 하는 능력을 도입할 수 있고 상기 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 게이트웨이 또는 액세스 서버에 전송할 수 있다. 대안적인 실시예에서, 상기 프로그램은 2개 이상의 별개의 프로그램, 즉 클라이언트상에서 동작 인터셉트 기능을 수행하는 프로그램과, 특히 네트워크 프록시 및 암호화 기능을 수행하는 프로그램으로 분리될 수 있다.

본 발명의 실시예는 상기 프로그램에 의한 네임 변환 및 접속 요청의 인터셉트를 포함한다. 이와 같은 실시예에 따라 VPN을 통해 통신하는 클라이언트와 서버는 선택한 IP 주소들을 자유롭게 이용할 뿐만 아니라, 런 타임에서 이들 주소를 자유롭게 동적으로 변경하는데, 이는 상기 실시예는 정적 네임-주소 변환에 의존하지 않기 때문이다.

게이트웨이 또는 액세스 서버가 암호화된 데이터 통신 세션을 통해 클라이언트로부터 암호화된 통신 신호를 수신할 때, 상기 게이트웨이 또는 액세스 서버는 상기 암호화된 통신 신호를 암호 해독하여 사설 데이터 통신 네트워크의 적합한 목적지 자원에 제공한다. 일실시예에서, 게이트웨이는 (프록시로서) 트래픽을 종료한 다음에, 단순히 사설 네트워크상의 목적지로 곧장 전송하지 않고 후술되는 바와 같은 요청을 처리할 수 있다. 이 실시예에서, 게이트웨이는 백-엔드(back-end) 암호화(이에 한정되지 않음)를 포함한 접속상에서의 추가적인 처리를 실행하여, 캐시, 로컬 네트워크 부하 균형, 글로벌 서비스 부하 균형 또는 압축에서 응답을 제공한다.

목적지 자원으로부터의 응답 통신 신호들이 있으면, 이들 응답 통신 신호는 상기 암호화된 데이터 통신 세션을 통해 상기 설치된 클라이언트 프로그램으로 전송되기 위해 게이트웨이로 전송된다(후술되는 바와 같이 백-엔드 암호화를 이용하는 경우에는 잠재적으로 암호화됨). 상기 설치된 클라이언트 프로그램은 응답 통신 신호를 암호 해독하여 적합한 클라이언트 애플리케이션에 전달한다.

본 발명의 일실시예에 따른 특정 방법에서는, SSL(Secure Sockets Layer) 세션과 같은 암호화된 데이터 통신 세션이 공중 데이터 통신 네트워크를 통해 게이트웨이와 클라이언트 사이에 설정된다. 다음에, 게이트웨이는 상기 암호화된 데이터 통신 세션의 설정에 응답하여 제 1 프로그램을 클라이언트에 전송한다. 일실시예에서, 상기 제 1 프로그램은 클라이언트 웹 브라우저에 의해 자동적으로 설치 및 실행되는 액티브엑스 컨트롤(Active X control)과 같은 동적으로 전달되는 프로그램 구성 요소들을 구비한다. 다른 이러한 구성 요소들은 자바 애플릿, 자바 스크립트, 동적 공유 라이브러리 또는 다른 이러한 프로그램 구성 요소들일 수 있다.

상기 제 1 프로그램이 클라이언트에 의해 실행될 때, 특히, 상기 제 1 프로그램은 제 2 프로그램을 클라이언트에 설치한다. 상기 제 2 프로그램은 사설 데이터 통신 네트워크상의 자원을 위해 예정된 클라이언트 애플리케이션으로부터의 통신 신호를 인터셉트하도록 동작한다. 상기 제 2 프로그램은 또한 상기 인터셉트된 통신 신호를 사설 데이터 통신 네트워크상의 자원에 직접 전송하지 않고 상기 암호화된 데이터 통신 세션을 통해 게이트웨이에 전송하기 위해 상기 제 1 프로그램에 제공하도록 동작한다. 일실시예에서, 제 2 프로그램은 클라이언트의 운영 체제의 전송 계층에 "후크"로서 설치되는 동적 인터셉터, 예컨대 필터 디바이스 드라이버를 구비한다.

일실시예에서, 제 1 프로그램은 인터셉트된 통신 신호를 위한 엔드포인트를 제공하는 접속 프록시의 역할을 한다. 포트 프록시를 포함하는 다른 사전 설치되지 않은 SSL VPN는 모든 접속을 위해 프록시의 역할을 하지 않고, 포트 프록시가 지원하도록 사전 구성된 네임이 있는 자원 및 포트만을 위한 엔드포인트의 역할을 한다.

게이트웨이가 프로그램 구성 요소들에 의해 설정된 암호화된 데이터 통신 세션을 통해 클라이언트로부터 암호화된 통신 신호를 수신할 때, 게이트웨이는 상기 암호화된 통신 신호를 암호 해독하여 사설 데이터 통신 네트워크상의 적합한 목적지 자원에 제공한다.

다른 실시예에서, 상기 게이트웨이는 VPN을 통해 전송되는 애플리케이션 트래픽의 중간 프록시의 역할을 할 수 있고, 단순히 사설 네트워크상의 목적지로 곧장 전송하지 않고 애플리케이션 요청을 처리할 수도 있다. 이 실시예에 따라, 상기 게이트웨이는 백-엔드 암호화와 같은 접속상에서의 추가적인 처리를 실행하여, 트래픽을 사설 데이터 통신 네트워크상의 적합한 목적지로 전달하기 전에 재암호화하여 사용자들이 추가적인 네트워크 보안을 달성할 수 있도록 한다. 또한, 이러한 처리는 목적지 자원의 추가적인 작업을 요구하지 않고 게이트웨이가 캐시에서 응답을 제공할 수 있도록 한다. 대안으로 또는 부가적으로, 게이트웨이는 접속 데이터에 대해 로컬 네트워크 부하 균형, 글로벌 서비스 부하 균형 또는 압축을 수행할 수 있다.

목적지 자원으로부터의 응답 통신 신호들이 있으면, 이들은 상기 암호화된 데이터 통신 세션을 통해 제 1 프로그램에 전송되기 위해 게이트웨이에 제공된다(종단 간 네트워크 보안을 제공하기 위해 백-엔드 암호화를 이용하는 일실시예에서는 상기 신호들을 게이트웨이에 전송하기 전에 목적지 자원에 의해 잠재적으로 암호화됨). 상기 제 1 프로그램은 응답 통신 신호를 암호 해독하여 제 2 프로그램을 통해 적합한 클라이언트 애플리케이션에 전달한다.

본 발명의 일실시예에 따라, 사용자는 클라이언트 시스템 또는 디바이스에 소프트웨어를 사전 설치할 필요가 없다. 대신에, 사용자가 게이트웨이에 로그인 결과, 필요한 구성 요소들이 클라이언트상에 동적으로 설치되고, 다음에 로그 아웃시 제거된다. 이는, 사용자가 소프트웨어를 클라이언트에 사전 설치해야 하는 IP Sec 기술 기반의 솔루션과 같은 종래 안전한 원격 액세스 솔루션보다 나은 다른 이점을 제공한다.

또한, 본 발명의 일실시예에 따라, 클라이언트 애플리케이션으로부터 사설 데이터 통신 네트워크에 상주하는 자원으로의 통신 신호는 상기 통신 신호의 인터셉트에 기초하여 게이트웨이에 다시 전송된다. 이는 동적 포트 프록시를 이용하는 종래 VPN 솔루션과는 직접적으로 대조를 이루며, 따라서 동작하기 위해 클라이언트상에서의 네임-주소 변환을 필요로 한다. 본 발명의 실시예는 포트 프록시가 아닌 네임 변환 및 접속 요청의 인터셉트에 기반을 두고 있기 때문에, 본 발명의 일실시예에 따라 VPN을 통해 통신하는 클라이언트와 서버는 선택한 IP 주소들을 자유롭게 이용할 뿐만 아니라, 런 타임에 이들 주소를 자유롭게 동적으로 변경하며, 이는 상기 실시예는 정적 네임-주소 변환에 의존하지 않기 때문이다. 따라서, 본 발명의 실시예에 따라 하드-코딩된 IP 주소, 유동 IP 주소, 및 동적 포트를 이용할 수 있다.

또한, 본 발명의 실시예는 프록싱 접속 기반의 VPN 솔루션을 제공한다. 예컨대, 본 발명의 실시예는, 접속을 종료시켜 원래 접속의 TCP 페이로드를 추출하고 이러한 애플리케이션 페이로드를 별도의 TCP 접속을 통해 전송되는 새로운 TCP 페이로드에 캡슐화할 수 있는 안전한 원격 액세스를 위한 접속 프록싱 기반 암호화된 터널을 제공한다. 종래 IPSec 솔루션은 모든 패킷을 암호화하고, 디바이스들 간의 통신을 위해 네트워크 패킷 계층에 설정된 터널을 사용한다. 다른 종래 SSL 솔루션에서, 다수의 애플리케이션으로부터의 트래픽은 포트 프록시 또는 다른 솔루션에 의해 구축된 새로운 TCP 접속 내부에서 모든 TCP 헤더를 포함한 완전한 TCP 패킷을 터널링함으로써 전송될 수 있다. 캡슐화 접속은 제 2 TCP 접속이며, 이 제 2 TCP 접속은 모든 헤더를 포함한 원래 접속을 수정 없이 그대로 게이트웨이에 전달하고, 게이트웨이는 캡슐 TCP 접속으로부터 원래 접속의 페이로드를 언랩핑(unwrap)하여 수정없이 최종 사설 네트워크 목적지로의 전달을 완료한다.

다른 접속 내부에서 완전한 TCP 접속을 행하는 접근법은 문제를 야기할 수 있다. TCP 프로토콜은 패킷 손실 또는 패킷 지연, 또는 인지된 패킷 손실 또는 지연 이후 감속, 재전송 및 확인 응답을 발생하기 때문에, 터널링 솔루션에 따른 이중 TCP 계층은 TCP 프로토콜이 추가적인 감속, 재전송 및 확인 응답을 발생할 때 이러한 패킷 손실 또는 패킷 지연을 증폭한다. 따라서, 새로운 레벨의 지연 및 재전송이 원래의 감속을 크게 증가시키고 TCP 상의 TCP(TCP-over-TCP) 접속 터널을 통한 다수의 TCP 페이로드의 전달을 크게 제한한다.

대조적으로, 본 발명의 일실시예에서는, 별도의 암호화 세션 터널이 각 애플리케이션 접속을 위해 생성된다. 이와 같은 실시예에서 각 접속은 종료 또는 프록싱되고 TCP 페이로드는 분리되어, 새롭게 생성된 TCP 접속을 통해 전달되기 때문에, 상기 실시예는 TCP 상의 TCP 문제를 피함으로써 종속 접속 지연을 쉽게 피할 수 있다. 애플리케이션 페이로드는 한 세트의 별도의 TCP 접속을 통해 전송되므로, 망에서의 패킷의 지연 손실은, 터널링되는 경우와는 달리, 하나의 접속에만 영향을 주고 종속 재전송을 야기하지 않는다. 이와 같은 실시예는 또한 터널에서의 애플리케이션 콘텐트 트래픽의 추가적인 접속-특정 처리와 쉽게 통합될 수 있다.

본 발명의 실시예는 이러한 데이터를 암호화하여 SSL 또는 다른 세션 터널을 통해 전송하기 전에 클라이언트에서의 접속을 종료시키는 프록시의 역할을 하는 VPN 솔루션을 제공하기 때문에, 이러한 인터셉트된 패킷의 추가적인 처리가 보다 효율적으로 수행될 수 있다. 이러한 처리는, 위에서 설명한 바와 같이 클라이언트 애플리케이션이 자신이 선택한 IP 주소들을 이용할 뿐만 아니라 런 타임에서 이들 주소를 동적으로 변경할 수 있도록 하기 위해 이러한 트래픽의 DNS 네임 분석을 포함할 수 있다. 또한, 이러한 추가적인 처리에 따라, 본 발명은 분산된 게이트웨이들 또는 서버들 사이에서 보다 높은 이용 가능성 및 보다 높은 효율을 달성하기 위해 글로벌 서비스 부하 균형과 같은 다른 기술과 효과적으로 통합될 수 있다. 또한, 상기 실시예 및 이에 의해 가능해진 접속 처리에 따라, 본 발명은 패킷에 관한 상세한 로그 및 통계를 유지할 수 있다.

애플리케이션 데이터의 다른 접속-특정 콘텐트 처리를 가능하게 함으로써, 본 발명의 실시예에 따라, SSL VPN 능력과 같은 VPN 능력들의, 게이트웨이에 의해 기업 네트워크에 제공될 수 있는 다른 유익한 기능과의 통합이 가능하다. 예컨대, 본 발명의 실시예에 따라, 게이트웨이에서 애플리케이션 계층 최적화, 스위칭 및 보안 특징들의 통합이 가능하다. 특히, 본 발명의 일실시예에 따른 단위 접속 터널링은, 애플리케이션 데이터 처리 능력들을 매우 높은 처리량으로 다수의 인터리빙된 데이터 스트림에 동시에 적용할 수 있는 요청 스위칭 기술(발명의 명칭이 "인터넷 클라이언트-서버 멀티플렉서(Internet Client-Server Multiplexer)"인 2002년 6월 25일자 미국 특허 제6,411,986호 및 발명의 명칭이 "클라이언트와 서버 간의 접속을 효율적으로 풀링하는 장치, 방법 및 컴퓨터 프로그램 제품(Apparatus, Method and Computer Program Product for Efficiently Pooling Connections Between Clients and Servers)"인 2000년 10월 18일자의 함께 계류중인 미국 특허 출원 제09/690,437호에 기재되어 있음. 이 공보들은 본원의 참고 문헌임)과의 VPN 특징들의 용이한 통합을 가능하게 한다. 본 발명의 일실시예의 VPN 특징은 또한, 요청 레벨 부하 균형, HTTP(Hypertext Transfer Protocol) 동적 애플리케이션 캐싱, HTTP 압축, TCP(Transmission Control Protocol) 압축, 서비스 공격의 TCP 및 HTTP 분산된 거절에 대한 방어, HTTP 바이러스 방어 스캐닝 등과 쉽게 통합될 수 있다.

마지막으로, 본 발명의 일실시예에서, VPN 특징들의 통합은 상술한 SSL 암호 해독 처리 및 엔드포인트 처리를, 부하 균형, HTTP 동적 애플리케이션 캐싱, HTTP 압축, TCP 압축, 서비스 공격의 TCP 및 HTTP 분산된 거절에 대한 방어, HTTP 바이러스 방어 스캐닝 등과 같은 상술한 것을 포함해서 게이트웨이에서 실행될 접속들의 다른 처리와 동기화시킴으로써 확장된다. 이 방식으로, 본 발명의 실시예는, 특정 순서의 처리 기능들의 조합(예컨대, 암호화전 캐싱전 압축)을 제공하기 위한 여러 상이한 시스템들의 상호 접속을 피함으로써 이루어지는 네트워크의 간단화, 애플리케이션 계층 데이터를 한번 검사하여 다수의 동작을 행함으로써 이루어지는 처리의 가속화, 행해질 동작을 표현하기 위해 통합된 정책 시스템을 사용함으로써 이루어지는 관리의 간단화 등을 포함한 상기와 같은 통합된 처리의 이점을 전달할 수 있다.

본 발명의 각종 실시예들의 구조 및 동작뿐만 아니라 본 발명의 다른 특징 및 이점에 대해 첨부 도면을 참조하여 상세히 설명한다. 본 발명은 여기서 설명된 특정 실시예들에 한정되지 않음에 주의한다. 이러한 실시예들은 여기서는 단지 예시를 위해 제시된다. 추가적인 실시예들은 여기에 포함된 내용에 기초하여 당업자에게 명백할 것이다.

여기에 포함되고 명세서의 부분을 형성하는 첨부 도면은 본 발명을 예시하는 것이고, 발명의 상세한 설명과 함께 본 발명의 원리를 설명하고 당업자가 본 발명을 제조 및 이용할 수 있도록 하는 역할을 한다.

도 1은 본 발명의 일실시예에 따라 가상 사설 네트워크(VPN)를 구축하기 위한 시스템을 나타낸다.

도 2는 본 발명의 일실시예에 따라 VPN을 구축하는 방법의 흐름도를 나타낸다.

도 3은 본 발명의 일실시예에 따라 클라이언트가 사설 데이터 통신 네트워크상의 자원과 통신하고 그 자원을 액세스하는 방법의 플로우차트를 나타낸다.

도 4는 본 발명의 실시예들에 따라 클라이언트, 서버 및/또는 게이트웨이의 컴퓨터 시스템-기반 구현예를 나타낸다.

본 발명의 특징 및 이점은 동일한 참조 문자들이 대응하는 구성 요소를 나타내는 첨부 도면과 함께 취해질 때 후술되는 상세한 설명으로부터 보다 명백해질 것이다. 도면에서, 동일한 참조 번호는 일반적으로 동일하거나, 기능이 유사하거나 구조가 유사한 요소를 나타낸다. 먼저 등장하는 요소는 대응 참조 번호에서 맨왼쪽 숫자(들)에 의해 나타낸다.

A. 본 발명의 일실시예에 따른 가상 사설 네트워크 구축 시스템

도 1은 본 발명의 일실시예에 따라 가상 사설 네트워크(VPN)를 구축하기 위한 예시적인 시스템(100)의 기본적인 요소들을 나타낸다. 도 1에 도시된 바와 같이, 시스템(100)은 사설 데이터 통신 네트워크(106), 및 공중 데이터 통신 네트워크(104)를 통해 사설 데이터 통신 네트워크(106)에 원격으로 통신 가능하게 연결된 복수의 클라이언트(102a-102n)를 포함한다. 일실시예에서, 사설 데이터 통신 네트워크(106)는 사설 사업체와 같은 기업의 소유인 애플리케이션 및 데이터가 상주하는 기업 네트워크를 구비하고, 및 공중 데이터 통신 네트워크(104)는 인터넷을 구비하며, 본 발명은 이에 한정되지 않는다.

또한, 도 1에 도시된 바와 같이, 사설 데이터 통신 네트워크(106)는 게이트웨이(108) 및 복수의 서버(11Oa-11On)를 구비한다. 게이트웨이(108)는 공중 데이터 통신 네트워크(104)상의 엔티티와 사설 데이터 통신 네트워크(106)상의 자원 사이에서 인터페이스 역할을 하는 시스템 또는 디바이스이다. 특히, 상세하게 후술되는 바와 같이, 게이트웨이(108)는 서버(11Oa-11On)상에서 구동되거나 서버(11Oa-11On)상 저장된 애플리케이션 및 데이터와 같은 자원에 대해 클라이언트(102a- 102n) 중 어느 하나가 원격의 안전한 액세스를 행하는 것을 용이하게 하도록 구성되어 있다.

일실시예에서, 게이트웨이(108)는 웹-기반 및/또는 클라이언트-서버 애플리케이션의 최적화, 트래픽 관리, 및 보안에 관한 각종 네트워크 작업 외에, 본 발명의 특징들을 수행하도록 구성된 네트워크 서버를 구비한다. 그러나, 본 발명은 이에 한정되지 않으며, 게이트웨이(108)는 본 발명의 특징들을 수행하도록 구성된 네트워크 시스템 또는 디바이스를 구비할 수 있다.

각 클라이언트(102a-102n)는 게이트웨이(108)(이에 한정되지 않음)를 포함하는 다른 엔티티와 공중 데이터 통신 네트워크(104)를 통해 통신하도록 된 시스템 또는 디바이스를 구비한다. 당업자에 의해 이해되는 바와 같이, 각 클라이언트(102a-102n)와 공중 데이터 통신 네트워크(104)상의 다른 엔티티 간의 통신을 구현하는데 다양한 종래 통신 프로토콜을 이용할 수 있다. 예컨대, 일실시예에서는, 링크를 구축하여 데이터를 전송하기 위해서 TCP/IP(Transmission Control Protocol/Internet Protocol) 스위트(suite)를 이용하고, 클라이언트-서버 통신을 위해서 HTTP(Hypertext Transfer Protocol) 또는 FTP(File Transfer Protocol) 애플리케이션 계층을 이용한다. 그러나, 이들 예는 예시적인 것이다. 본 발명은 특정 통신 프로토콜 또는 애플리케이션에 한정되도록 의도된 것이 아니며, 소유하거나 소유하지 않은 다른 네트워크 통신 프로토콜 및 애플리케이션을 이용할 수 있다.

일실시예에서, 각 클라이언트(102a-102n)는 운영 체제의 제어 하에서 구동되 고 네트워크 통신을 위해 상업적으로 이용가능한 웹 브라우저를 구현하는 개인용 컴퓨터(PC)를 구비한다. 예컨대, 각 클라이언트(102a-102n)는, 마이크로소프트 윈도우즈^® 운영 체제를 구동하고 마이크로소프트 인터넷 익스플로러^®웹 브라우저를 구현하는 PC를 구비할 수 있다. 대안으로, 각 클라이언트(102a-102n)는, 매킨토시^® 운영 체제를 구동하고 넷스케이프 네비게이터^® 웹 브라우저를 구현하는 PC를 구비할 수도 있다. 그러나, 본 발명은 이들 예에 한정되지 않고 다른 운영 체제 및 브라우저를 이용할 수도 있다. 또한, 본 발명은 개인용 컴퓨터에 한정되지 않으며, 각 클라이언트(102a-102n)는 랩톱 컴퓨터, 태블릿 컴퓨터, 셋톱 박스, 및 망-구동형 텔레비젼, 핸드헬드 컴퓨터 및 모바일 전화기(이에 한정되지 않음)를 포함해서 공중 데이터 통신 네트워크(104)를 통해 통신할 수 있는 임의 디바이스 또는 시스템을 구비할 수 있다.

B. 본 발명의 일실시예에 따른 가상 사설 네트워크 구축 방법

도 2는 본 발명의 일실시예에 따라 VPN을 구축하는 방법의 플로우차트(200)를 나타낸다. 그러나, 본 발명은 플로우차트(200)에 의해 제공되는 설명에 한정되지 않는다. 오히려, 다른 기능적 흐름들이 본 발명의 범위 및 취지 내에 속함을 여기서 제공된 내용으로부터 당업자에게 명백할 것이다. 플로우차트(200)는 도 1을 참조하여 위에서 설명한 예시적인 시스템(100)을 계속 참조하여 설명한다. 그러나, 본 발명은 이 실시예에 한정되지 않는다.

플로우차트(200)의 방법은 단계 202에서 시작되며, 이 단계에서 클라이언 트(102a-102n) 중 하나(이하, 전반적으로 클라이언트(102)라고 함)가 로그인 절차를 수행하고 공중 데이터 통신 네트워크(104)를 통해 게이트웨이(108)와의 암호화된 데이터 통신 세션을 설정한다. 여기서 보다 상세히 설명되는 바와 같이, 상기 암호화된 데이터 통신 세션은 클라이언트(102)로부터의 트래픽을 사설 데이터 통신 네트워크(106)의 게이트웨이(108) 뒤에 상주하는 서버들(11Oa-11On)에 연결하는 터널로 사용된다. 일실시예에서, 클라이언트(102)는, SSL(Secure Sockets Layer)을 이용하여 또는 IPSec 또는 다른 것을 포함한 다른 암호화 방법을 이용하여 로그인하고 게이트웨이(108)와 데이터 통신 세션을 설정하기 위해, 마이크로소프트 인터넷 익스플로러^® 또는 넷스케이프 네비게이터^®와 같은 상업적으로 이용가능한 웹 브라우저를 이용한다. 암호화된 데이터 통신 세션을 개시하기 위해 HTTPS(Hypertext Transfer Protocol over Secure Sockets Layer)와 같은 프로토콜을 이용할 수도 있다.

로그인 및 암호화된 데이터 통신 세션의 설정에 응답하여, 단계 204에 도시된 바와 같이, 게이트웨이(108)는 제 1 프로그램을 공중 데이터 통신 네트워크(104)를 통해 클라이언트(102)에 전송한다. 제 1 프로그램은 암호화된 데이터 통신 세션을 통한 통신을 위한 터널 엔드포인트의 역할을 하도록 구성된다. 일실시예에서, 제 1 프로그램은 클라이언트 웹 브라우저에 의해 자동적으로 설치 및 실행되는 플러그인 애플리케이션을 구비한다. 예컨대, 제 1 프로그램은 마이크로소프트 인터넷 익스플로러^® 웹 브라우저에 의해 실행될 플러그인으로서 제공되는 액 티브엑스 컨트롤을 구비할 수 있다. 대안으로, 제 1 프로그램은 넷스케이프 네비게이터^® 웹 브라우저에 의해 실행될 플러그인 또는 네트워크 환경을 통해 기능을 하는 다른 컨트롤 또는 프로그래밍 구성 요소로서 제공되는 자바 애플릿을 구비할 수 있다.

단계 206에서, 클라이언트(102)는 제 1 프로그램을 설치 및 실행하며, 제 1 프로그램의 실행은 클라이언트(102)에의 제 2 프로그램의 설치를 포함한다. 제 2 프로그램은 부분적으로는, 사설 데이터 통신 네트워크(106)의 자원을 위해 예정된 클라이언트(102)상에서 구동되는 애플리케이션으로부터의 통신 신호를 인터셉트하고 상기 인터셉트된 통신 신호를 암호화된 데이터 통신 세션을 통해 게이트웨이(108)에 전송하기 위해 상기 인터셉트된 통신을 제 1 프로그램에 제공하도록 구성된다. 제 2 프로그램은 또한, 인트라넷 네트워크 네임 분석 서비스 및 선택적으로 분할되는 네트워크 트래픽을 제공하도록 구성된다. 트래픽을 분할함으로써, 본 발명의 실시예는 어떤 트래픽을 SSL 터널로 채널링할지 그리고 전송 계층 스택에 의한 정규 처리를 위해 무엇을 계속할지를 결정할 수 있다.

일실시예에서, 제 2 프로그램은 클라이언트(102)의 운영 체제에 "후크"로서 삽입되는 동적 인터셉터(예컨대, 필터 디바이스 드라이버)를 구비한다. 예컨대, 제 2 프로그램은 마이크로소프트 윈도우즈^® 운영 체제의 전송 계층 스택과 같은 클라이언트 운영 체제의 전송 계층 스택에 부착되는 필터 디바이스 드라이버를 구비할 수 있다.

단계 208에 도시된 바와 같이, 일단 제 1 및 제 2 프로그램이 설치되면, 클라이언트(102)상에서 구동되는 애플리케이션은 설정된 암호화 데이터 통신 세션을 통해 사설 데이터 통신 네트워크(106) 상의 애플리케이션 및 데이터와 같은 자원과 통신하여 이 자원을 액세스할 수 있다. 이 통신이 일어나는 방식은 도 3을 참조하여 상세하게 후술된다. 대안적인 실시예에서, 위에서 설명한 제 1 프로그램 및 제 2 프로그램의 기능들은 클라이언트(102)에 의해 자동적으로 설치 및 실행되는 단일 컨트롤 또는 프로그래밍 구성 요소(즉, 네트워크 환경을 통해 구동될 수 있는 자급자족 가능 프로그램)에 의해 수행된다.

단계 210에서, 클라이언트(102)는 게이트웨이(108)와의 암호화된 데이터 통신 세션을 종료시키기 위해 사설 데이터 통신 네트워크(106)로부터 분리하는 로그 아웃 절차를 수행한다. 일실시예에서, 로그 아웃 시간에, 제 1 프로그램은 운영 체제를 그 원래 상태로 되돌리기 위해 클라이언트 운영 체제에 대해 행해진 수정을 자동적으로 없앤다.

도 3은 본 발명의 일실시예에 따라 클라이언트가 사설 데이터 통신 네트워크상의 자원과 통신하고 그 자원을 액세스하는 방법의 플로우차트(300)를 나타낸다. 특히, 플로우차트(300)의 방법은 플로우차트(200)의 단계(208)를 실행할 수 있는 한가지 방법을 나타낸다.

플로우차트(300)의 방법은 단계 302에서 시작되고, 이 단계 302에서 클라이언트 애플리케이션은 새로운 접속을 구축하거나 클라이언트 운영 체제의 전송 계층 스택에 대해 도메인 네임을 분석한다. 이 동작이 일어날 때, 단계 304에 도시된 바와 같이 제 2 프로그램의 기능은 어떤 전송 계층 기능이 개시되기 전에 자동적으로 호출된다. 위에서 설명한 바와 같이, 일실시예에서, 제 2 프로그램은 클라이언트 운영 체제의 전송 계층 스택에 부착된 필터 디바이스 드라이버와 같은 동적 인터셉터를 구비한다.

단계 306에서, 제 2 프로그램은 사설 데이터 통신 네트워크(106)의 자원을 위해 예정된 클라이언트 애플리케이션으로부터의 통신 신호를 인터셉트하여 제 1 프로그램에 다시 라우팅하며, 일실시예에서 제 1 프로그램은 액티브엑스 컨트롤 플러그인, 자바 애플릿, 또는 네트워크 환경을 통해 기능을 하는 다른 컨트롤 또는 프로그래밍 구성 요소를 구비한다.

단계 308에서, 각 인터셉트된 접속이 종료 또는 프록싱되고, 제 1 프로그램은 페이로드를 분리하고, 상기 설정된 암호화 데이터 통신 세션을 통한 전달을 위한 새로운 접속에 페이로드를 캡슐화한다. 이 실시예에서, 페이로드는 TCP 페이로드이고 새로운 TCP 접속에 캡슐화된다.

단계 310에서, 제 1 프로그램은 사전 설정된 암호화 데이터 통신 세션을 통해 상기 인터셉트된 통신 신호를 공중 데이터 통신 네트워크(104)를 통해 사설 데이터 통신 네트워크(106) 내의 게이트웨이(108)에 전송하며, 상기 세션은 인터셉트된 통신 신호의 암호화 및 암호화된 인터셉트 통신 신호의 게이트웨이(108)로의 전송을 포함한다. 일실시예에서, 암호화는 SSL 프로토콜에 따라 실행된다.

단계 312에서, 게이트웨이(108)는 제 1 프로그램에 의해 전송되는 접속을 종료시키는 프록시의 역할을 하고, 클라이언트(102)상의 제 1 프로그램으로부터 수신 되는 통신 신호를 암호 해독하고 암호 해독된 통신 신호를, 게이트웨이(108)가 사설 네트워크(106)상의 목적지 자원과 설정한 다른 접속을 통해, 사설 네트워크(106)상의 적합한 목적지 자원으로 전달한다. 일실시예에서, 암호 해독는 SSL 프로토콜 또는 다른 적용 가능 암호화 및 암호 해독 프로토콜에 따라 실행된다. 단계 314에서, 목적지 자원은 암호화된 통신 신호를 처리한다.

암호화된 통신 신호가 응답이 있는 요청을 포함하면, 단계 316에 도시된 바와 같이, 목적지 자원은 응답 통신 신호를 게이트웨이(108)에 전송한다. 단계 318에서, 게이트웨이(108)는 공중 데이터 통신 네트워크(104)를 통해 응답 통신 신호를 상기 사전 설정된 암호화된 데이터 통신 세션을 통해 클라이언트(102)상의 제 1 프로그램으로 전송하며, 상기 데이터 통신 세션은 응답 통신 신호의 암호화, 및 암호화된 응답 통신 신호의 제 1 프로그램으로의 전송을 포함한다. 일실시예에서, 암호화는 SSL 프로토콜 또는 다른 적용 가능 암호화 및 암호 해독 프로토콜에 따라 실행된다.

단계 320에서, 제 1 프로그램은 응답 통신 신호를 암호 해독하여, 클라이언트 운영 체제의 전송 계층 스택에 부착된 제 2 프로그램을 통해 적합한 클라이언트 애플리케이션으로 전달한다.

본 발명의 대안적인 실시예에 따라, 클라이언트(102)는 단계 308에서 인터셉트된 통신 신호를 공중 데이터 통신 네트워크(104)를 통해 전송하기 전에 상기 인터셉트된 통신 신호의 추가적인 처리를 수행한다. 본 발명의 실시예는 이러한 데이터를 암호화하여 사전 설정된 암호화 데이터 통신 세션을 통해 전송하기 전에 클 라이언트에서의 접속을 종료시키는 프록시의 역할을 하는 VPN 솔루션을 제공하기 때문에, 이러한 추가적인 처리는 보다 효율적으로 수행될 수 있다. 이러한 처리는, 클라이언트 애플리케이션이 자신이 선택한 IP 주소들을 이용할 뿐만 아니라 런 타임에서 이들 주소를 동적으로 변경할 수 있도록 하기 위해, 상기 인터셉트된 통신 신호의 DNS 네임 분석을 포함할 수 있다. 이러한 추가적인 처리로, 본 발명의 실시예들은 분산된 게이트웨이들 또는 서버들 사이에서 보다 높은 이용 가능성 및 보다 높은 효율을 달성하기 위한 글로벌 서비스 부하 균형과 같은 다른 기술들과 효과적으로 통합될 수 있다. 추가적인 접속 처리로, 인터셉트된 통신 신호에 관한 상세한 로그 및 통계의 유지가 또한 가능하다.

본 발명의 다른 실시예에서, 단계 312에 도시된 바와 같이, 게이트웨이(108)는 (프록시로서) 클라이언트(102)상의 제 1 프로그램으로부터 수신되는 통신 신호를 종결시키고, 단순히 통신 신호를 곧장 사설 데이터 통신 네트워크(106)상의 목적지로 전송하지 않고 상기 통신 신호에 포함된 하나 이상의 요청을 처리한다. 이 추가적인 처리는 통신 신호를 사설 데이터 통신 네트워크(106)상의 적합한 목적지로 전달하기 전에 게이트웨이(108)로 재암호화하여 종단간 네트워크 보안을 제공하는 백-엔드 암호화를 포함할 수 있다. 그 후, 목적지는 트래픽을 암호 해독하여 적절히 응답한다. 또한, 이러한 처리로, 게이트웨이(108)는 목적지 서버에 의한 추가적인 작업을 요구하지 않고 캐시에서 응답을 제공하고, 사설 데이터 통신 네트워크(106)의 효율 및 응답성을 개선하기 위해 상기 통신 신호에 대해 로컬 네트워크 부하 균형, 글로벌 서비스 부하 균형 및/또는 압축을 수행한다.

상술한 방법들에 따라, 암호화된 데이터 통신 세션 기반의 VPN이 클라이언트(102)와 사설 데이터 통신 네트워크(106) 사이에 구축된다. 예컨대, 일실시예에서, 안전한 VPN이 HTTPS를 통해 구축된다. 그 후, 클라이언트(102)로부터 사설 데이터 통신 네트워크(106)로의 모든 통신 신호는 상기 암호화된 데이터 통신 세션을 통해 제 1 프로그램을 거쳐 게이트웨이(108)로 라우팅되며, 그 역도 성립한다.

상기 암호화된 데이터 통신 세션은 HTTPS를 이용하여 설정될 수 있으나, 상기 암호화된 데이터 통신 세션을 통해 전달되는 통신 신호는 HTTPS 패킷 데이터 또는 HTTP 패킷 데이터일 필요가 없음을 주의해야 한다. 예컨대, 통신 신호는 TCP/UDP(Transmission Control Protocol/User Datagram Protocol) 또는 ICMP(Internet Control Message Protocol) 패킷 데이터를 포함할 수 있으며, 이들 예는 한정하도록 의도되어 있지 않다.

또한, 본 발명의 실시예의 각종 클라이언트측 기능은 제 1 프로그램 및 제 2 프로그램에 의해 수행되는 것으로 위에서 설명되었으나, 이들 기능은 단일 프로그램 또는 다수 프로그램에 의해 수행될 수 있음을 당업자는 쉽게 이해할 수 있음을 주의해야 한다.

또한, 도 3을 참조하여 설명한 방법은 클라이언트(102)상의 애플리케이션과 사설 데이터 통신 네트워크(106)상의 자원 간의 요청-응답 타입 통신을 설명하고 있으나, 본 발명에 따른 암호화된 통신은 요청-응답 기반일 필요는 없다. 오히려, 통신은 임의 타입일 수 있다. 따라서, UDP 세션과 같은 접속 또는 통신 세션을 설정할 수 있는 클라이언트 애플리케이션은 본 발명의 일실시예에 따라 암호화된 통 신 신호를 송수신할 수 있다.

VPN을 구축하는 상술한 방법은, 접속을 종료하고 원래 접속의 TCP 페이로드를 각 애플리케이션 접속을 위한 새로운 TCP 접속에 캡슐화함으로써 암호화된 데이터 통신 세션을 생성한다는 점에서 접속-프록싱이다. 이는, 암호화 터널이 네트워크 패킷 레벨로 전개되어 특별한 애플리케이션 또는 통신 세션에 결합되지 않는 종래 IPSec 접근법과는 대조적이다.

상술한 방법은 또한, 각 접속을 포트 프록시에 의해 설정된 새로운 암호화된 TCP 접속 내부에 모든 TCP 헤더를 포함하는 완전한 엔티티로서 캡슐화하는 포트 프록시 접근법과 같은 다른 종래 SSL 솔루션들과는 구별된다. 캡슐화 접속은 제 2 세션 TCP 접속이며, 이 제 2 세션 TCP 접속은 모든 헤더를 포함한 원래 접속을 수정 없이 그대로 게이트웨이에 전달하고, 게이트웨이는 캡슐 TCP 접속으로부터 원래 접속의 페이로드를 언랩핑하여 수정없이 최종 사설 네트워크 목적지로의 전달을 완료한다. SSL 접속을 통해 터널링되는 다른 접속 내부에서 TCP 접속을 행하는 상술한 포트 프록시 접근법은 문제가 있을 수 있으며, 이는 TCP 프로토콜이 패킷 손실 및 지연의 경우에 감속 및 재전송과 확인 응답을 발생하고, 다수의 완전한 TCP 페이로드들이 단일 SSL TCP 접속 터널을 통해 전달되는 경우에 전송 신호들이 크게 증폭되기 때문이다. 본 실시예는 분리되고 별도로 설정된 새로운 접속을 통해 전달되는, 종료 또는 프록싱된 접속의 TCP 페이로드만을 게이트웨이에 전달함으로써 이들 지연을 피한다.

본 발명의 일실시예는 이러한 데이터를 암호화하여 SSL 세션 터널을 통해 전 송하기 전에 클라이언트에서의 접속을 종료하는 프록시의 역할을 하는 VPN 솔루션을 제공하기 때문에, 상기 프로그램은 이러한 인터셉트된 패킷의 추가적인 처리를 가능하게 하는 방식으로 접속 기반 패킷 흐름을 더 잘 관리할 수 있다. 이러한 추가적인 처리에 따라, 본 발명은 분산된 게이트웨이들 또는 서버들 사이에서 보다 높은 이용 가능성 및 보다 높은 효율을 달성하기 위해 글로벌 서비스 부하 균형과 같은 다른 기술들과 효과적으로 통합될 수 있다. 또한, 상기 실시예 및 추가적인 접속 처리에 따라, 본 발명은 패킷에 관한 상세한 로그 및 통계를 유지할 수 있다.

또한, 원래 접속의 TCP 페이로드만을 보안 VPN을 통해 게이트웨이에 전송하는 접속-프록싱 기반 VPN을 구현함으로써, 상술한 방법에 따라, 네트워크 성능을 향상시키기 위해 웹 객체 요청을 감시하고 서버로부터 검색한 객체를 저장하는 캐싱 기술과의 VPN의 게이트웨이에서의 통합이 가능하다. 또한, 상술한 방법에 따라, 게이트웨이에서의 접속을 프록싱하여 게이트웨이에서 추가적인 접속 처리를 위한 기회를 생성함으로써 부하 균형 및 TCP 버퍼링을 포함한 다른 네트워킹 기술들에 상기 SSL VPN을 성공적으로 통합할 수 있다.

VPN을 구축하는 상술한 방법은 접속-프록싱 기반이기 때문에, 상기 방법에 따라, 애플리케이션 데이터는 종래 VPN 접근법들보다도 AAA(Authentication, Authorization, and Accounting) 정책, 캐싱, 압축, 스위칭, 접속 다중화, SYN 플러드(floods) 및 다른 형태의 공격으로부터의 보호, 및 분할 터널링과 더 호환성이 있는 방식으로 전송될 수 있다. 이전의 문단에서 설명한 접속-프록싱 기반 VPN을 실행하는 이점을 설명하기 위하여, 이전 문단에서 설명된 각각의 방법을 포함해서 이러한 접속의 추가적인 처리를 게이트웨이에서 실행할 수 있는 상술한 방법은 간단하게 그리고 효율적으로 실행될 수 있으며, 이는 게이트웨이가 상기 암호화된 세션의 프록시 엔드포인트의 역할을 하기 때문이다. 특히, 일실시예에서, 상술한 방법에서 게이트웨이가 접속을 종료한 때, 게이트웨이는 하나 이상의 형태의 이러한 처리를 수행할 수 있고, 따라서 이러한 처리를 수행하기 위해 TCP 페이로드를 간단하게 액세스 및 처리할 수 있다. 대조적으로, 접속 터널링 접근법을 포함한 다른 접근법들은 당연히 게이트웨이에서의 접속을 종료하지 않으며(오히려 암호화된 터널 세션만을 프록싱함), 따라서 상기 접근법은 암호화된 세션 내에서 터널링되는 TCP 접속을 종료하는 제 2 레벨의 처리를 필요로 한다. 게이트웨이가 접속상에서 추가적인 처리를 실행해야 하기 때문에, 이들 접근법은 본래 더 복잡하고, 게이트웨이에서 이러한 접속상에서 추가적인 기능적 처리를 실행할 때 비효율적이기 쉽다.

마지막으로, 일실시예에서, 본 발명의 VPN 특징들의 통합은 위에서 설명된 SSL 암호 해독 처리 및 엔드포인트 처리를, 부하 균형, HTTP 동적 애플리케이션 캐싱, HTTP 압축, TCP 압축, 서비스 공격의 TCP 및 HTTP 분산된 거절에 대한 방어, HTTP 바이러스 방어 스캐닝 등과 같은 상술된 것들을 포함해서 게이트웨이에서 실행될 접속들의 다른 처리와 동기시킴으로써 확장될 수 있다.

위에서 설명된 처리 효율 외에, 본 발명의 실시예는 클라이언트 또는 클라이언트 컨트롤과의 각각의 접속을 위한 별도의 TCP 접속을 생성하고, 게이트웨이에서 별도로 각각의 이러한 접속을 종료하며, 따라서 이러한 접속상에서의 추가적인 처 리를 간단하게 그리고 효율적으로 시퀀싱하는 능력을 제공한다.

접속 터널링 접근법을 포함한 다른 접근법들에서, 게이트웨이는 본 발명의 보다 효율적인 접근법들과는 대조적으로, 실행되어야 하는 추가적인 접속 처리에 관하여 이전 문단에서 이전에 설명된 바와 같이 추가적인 처리 문제에 직면한다. 이 덜 효율적인 접근법 하에서는 단일의 암호화된 세션 터널을 통해 다수의 애플리케이션들이 터널링될 수 있기 때문에, 게이트웨이에서의 내부 TCP 접속의 처리는 게이트웨이 프로세서 자원의 이용시 더욱 복잡해지고 덜 경제적이게 된다. 이 방식으로, 본 발명의 실시예는 암호화 세션의 게이트웨이에서의 처리를 다른 형태의 처리와 통합하는 효율을 향상시킨다.

상술한 방법은 클라이언트에 의해 통신이 개시되는 실시예들을 참조하여 설명하였으나, 본 발명은 또한 사설 데이터 통신 네트워크(106)상의 엔티티에 의해 통신이 개시되는 실시예를 포함한다. 이와 같은 실시예에 따라, 게이트웨이(108)는 가상 클라이언트의 역할을 하고, 서버(11Oa-110n)와 같은 사설 통신 네트워크(106)상의 엔티티들은 클라이언트(102a-102n)에 상주하는 애플리케이션들과의 통신을 개시한다. 이와 같은 실시예에서, VPN 세션은 도 3을 참조하여 위에서 설명된 방식으로 설정되나, 세션이 설정된 후에는 클라이언트 또는 서버는 서로 통신 신호를 전송하기 위해 UDP 세션과 같은 접속 또는 통신 세션을 개시할 수 있다.

C. 본 발명의 실시예들에 따른 예시적인 클라이언트/서버/게이트웨이

클라이언트(102a-102n), 서버(11Oa-llOn), 및 게이트웨이(108n)의 각각에 의해 각각 수행되는 본 발명의 기능은 하드웨어, 소프트웨어, 또는 그 조합을 이용하 여 구현될 수 있고 하나 이상의 컴퓨터 시스템 또는 다른 처리 시스템으로 구현될 수 있다. 예컨대, 도 4는 본 발명의 실시예들에 따라 클라이언트(102a-102n), 서버(11Oa-llOn), 및/또는 게이트웨이(108n)를 구현하기 위해 사용될 수 있는 예시적인 컴퓨터 시스템(400)을 나타낸다.

도 4에 도시된 바와 같이, 예시적인 컴퓨터 시스템(400)은 본 발명의 실시예들에 따라 소프트웨어 루틴을 실행하기 위한 프로세서(404)를 포함한다. 명료성을 위해 단일 프로세서가 도시되어 있으나, 컴퓨터 시스템(400)은 또한 멀티-프로세서 시스템을 구비할 수 있다. 프로세서(404)는 컴퓨터 시스템(400)의 다른 구성 요소들과의 통신을 위해 통신 인프라구조(406)에 접속된다. 통신 인프라구조(406)는 예컨대, 통신 버스, 크로스바(cross-bar), 또는 망을 구비할 수 있다.

컴퓨터 시스템(400)은 RAM(random access memory)과 같은 메인 메모리(408), 및 보조 메모리(410)를 더 포함한다. 보조 메모리(410)는 예컨대, 하드 디스크 드라이브(412) 및/또는 제거가능 기억 드라이브(414)를 포함할 수 있고, 이 제거 가능 기억 드라이브는 플로피 디스크 드라이브, 자기 테이프 드라이브, 광 디스크 드라이브 등을 포함할 수 있다. 제거가능 기억 드라이브(414)는 잘 알려진 방식으로 제거 가능 기억 유닛(418)으로부터 판독하고 제거 가능 기억 유닛(418)에 기록한다. 제거 가능 기억 유닛(418)은 제거가능 기억 드라이브(414)에 의해 판독 및 기록되는 플로피 디스크, 자기 테이프, 광 디스크 등을 구비할 수 있다. 당업자에 의해 이해되는 바와 같이, 제거 가능 기억 유닛(418)은 컴퓨터 소프트웨어 및/또는 데이터가 저장된 컴퓨터 사용가능 기억 매체를 포함한다.

대안적인 실시예들에서, 보조 메모리(410)는 컴퓨터 프로그램 또는 다른 명령이 컴퓨터 시스템(400)에 로딩되도록 하는 다른 유사한 수단을 포함할 수 있다. 이러한 수단은 예컨대, 제거 가능 기억 유닛(422) 및 인터페이스(420)를 포함할 수 있다. 제거 가능 기억 유닛(422) 및 인터페이스(420)의 예는 프로그램 카트리지 및 카트리지 인터페이스(예컨대, 비디오 게임 콘솔 디바이스에서 발견되는 프로그램 카트리지 및 카트리지 인터페이스), 제거 가능 메모리 칩(예컨대, EPROM 또는 PROM) 및 연관된 소켓, 및 소프트웨어 및 데이터가 제거 가능 기억 유닛(422)으로부터 컴퓨터 시스템(400)으로 전송되도록 하는 다른 제거 가능 기억 유닛(422) 및 인터페이스(420)를 포함한다.

컴퓨터 시스템(400)은 통신 인프라구조(406) 또는 프레임 버퍼(도시되지 않음)로부터의 그래픽, 텍스트, 및 다른 데이터를 사용자에게 디스플레이하기 위해 디스플레이 유닛(430)에 전송하는 디스플레이 인터페이스(402)를 더 포함한다.

컴퓨터 시스템(400)은 또한 적어도 하나의 통신 인터페이스(424)를 포함한다. 통신 인터페이스(424)는 소프트웨어 및 데이터가 통신 경로(426)를 통해 컴퓨터 시스템(400)과 외부 디바이스들 사이에서 전송되도록 한다. 본 발명의 실시예들에서, 통신 인터페이스(424)는 데이터가 컴퓨터 시스템(400)과, 공중 데이터 통신 네트워크(104) 또는 사설 데이터 통신 네트워크(106)와 같은 데이터 통신 네트워크 사이에서 전송되도록 한다. 통신 인터페이스(424)의 예로는, 모뎀, 네트워크 인터페이스(예컨대, 이더넷 카드), 통신 포트 등을 들 수 있다. 통신 인터페이스(424)를 통해 전송되는 소프트웨어 및 데이터는 신호의 형태이며, 이 신호는 통 신 인터페이스(424)에 의해 수신될 수 있는 전자 신호, 전자기 신호, 광 신호 또는 다른 신호일 수 있다. 이들 신호는 통신 경로(426)를 통해 통신 인터페이스에 제공된다.

여기서 사용된 바와 같이, 용어 "컴퓨터 프로그램 제품"은, 부분적으로는, 제거 가능 기억 유닛(418), 제거 가능 기억 유닛(422), 하드 디스크 드라이브(412)에 설치된 하드 디스크, 또는 통신 경로(426)(무선 링크 또는 케이블)를 통해 소프트웨어를 통신 인터페이스(424)로 운반하는 반송파를 말할 수도 있다. 컴퓨터 사용가능 매체는 자기 매체, 광 매체, 또는 다른 기록 가능 매체, 또는 반송파 또는 다른 신호를 전송하는 매체를 포함할 수 있다. 이들 컴퓨터 프로그램 제품들은 소프트웨어를 컴퓨터 시스템(400)에 제공하기 위한 수단이다.

컴퓨터 프로그램(컴퓨터 제어 로직이라고도 함)은 메인 메모리(408) 및/또는 보조 메모리(410)에 저장된다. 컴퓨터 프로그램은 통신 인터페이스(424)를 통해 수신될 수도 있다. 이러한 컴퓨터 프로그램이 실행될 때, 컴퓨터 시스템(400)은 여기서 설명된 본 발명의 하나 이상의 특징들을 수행할 수 있다. 특히, 컴퓨터 프로그램이 실행될 때, 프로세서(404)는 본 발명의 특징들을 수행할 수 있다. 따라서, 이러한 컴퓨터 프로그램은 컴퓨터 시스템(400)의 제어기를 나타낸다.

본 발명은 소프트웨어, 펌웨어, 하드웨어 또는 그 조합으로 제어 로직으로서 구현될 수 있다. 본 발명을 소프트웨어를 이용하여 구현하는 실시예에서, 소프트웨어는 컴퓨터 프로그램 제품에 저장되어 제거가능 기억 드라이브(414), 하드 디스크 드라이브(412), 또는 인터페이스(420)를 이용하여 컴퓨터 시스템(400)으로 로딩 될 수 있다. 대안으로, 컴퓨터 프로그램 제품은 통신 경로(426)를 통해 컴퓨터 시스템(400)으로 다운로드될 수 있다. 소프트웨어가 프로세서(404)에 의해 실행될 때 프로세서(404)는 여기서 설명된 본 발명의 기능을 수행할 수 있다.

D. 결론

본 발명의 각종 실시예들이 위에서 설명되었으나, 이들 실시예는 단지 예로서 제공된 것이지 한정하기 위한 것이 아님을 이해해야 한다. 따라서, 첨부된 청구의 범위에 정의된 본 발명의 취지 및 범위로부터 벗어나지 않고 형태 및 세부 사항에 대한 각종 변경이 행해질 수 있음을 당업자는 이해할 것이다. 따라서, 본 발명의 폭 및 범위는 상술한 예시적인 실시예들에 의해 한정되어서는 안되고 다음의 청구의 범위 및 그 동등물에 따라서만 정의되어야 한다.

본 발명은 인터넷과 같은 공중 데이터 통신 네트워크를 통해 엔티티들 사이에 가상 사설 네트워크를 구축한다. 본 발명은 소프트웨어, 펌웨어, 하드웨어 또는 그 조합으로 제어 로직으로서 구현될 수 있다.

Claims

클라이언트와 사설 데이터 통신 네트워크 사이에 암호화된 가상 사설 네트워크를 구축하는 방법에 있어서, 상기 클라이언트는 공중 데이터 통신 네트워크를 통해 상기 사설 데이터 통신 네트워크에 접속되고, 상기 가상 사설 네트워크 구축 방법은,

상기 공중 데이터 통신 네트워크를 통해 클라이언트와 암호화된 데이터 통신 세션을 설정하는 단계; 및

상기 암호화된 데이터 통신 세션의 설정에 응답하여 프로그래밍 구성 요소를 상기 클라이언트 상에서의 자동 설치 및 실행을 위해 상기 클라이언트에 전송하는 단계를 포함하고,

상기 프로그래밍 구성 요소는 상기 사설 데이터 통신 네트워크상의 자원을 위해 예정된 클라이언트 애플리케이션으로부터의 통신 신호를 인터셉트하고 상기 인터셉트된 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 상기 사설 데이터 통신 네트워크상의 자원 대신에 게이트웨이에 전송하도록 구성된 가상 사설 네트워크 구축 방법.
제 1 항에 있어서,

상기 클라이언트와 암호화된 데이터 통신 세션을 설정하는 단계는 클라이언트와 SSL(Secure Sockets Layer) 데이터 통신 세션을 설정하는 단계를 포함하는 가 상 사설 네트워크 구축 방법.
제 1 항에 있어서,

상기 프로그래밍 구성 요소를 상기 클라이언트에 전송하는 단계는 제 1 프로그램을 상기 클라이언트에 전송하는 단계를 포함하고, 상기 제 1 프로그램은 제 2 프로그램을 상기 클라이언트상에 설치하도록 구성되며,

상기 제 2 프로그램은 상기 사설 데이터 통신 네트워크상의 자원을 위해 예정된 클라이언트 애플리케이션으로부터의 통신 신호를 인터셉트하고 상기 인터셉트된 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 상기 사설 데이터 통신 네트워크상의 자원 대신에 게이트웨이에 전송하기 위해 상기 제 1 프로그램에 제공하도록 구성된 가상 사설 네트워크 구축 방법.
제 3 항에 있어서,

상기 제 1 프로그램을 상기 클라이언트에 전송하는 단계는 액티브엑스(ActiveX) 컨트롤을 상기 클라이언트에 전송하는 단계를 포함하는 가상 사설 네트워크 구축 방법.
제 3 항에 있어서,

상기 제 1 프로그램을 상기 클라이언트에 전송하는 단계는 자바 애플릿을 상기 클라이언트에 전송하는 단계를 포함하는 가상 사설 네트워크 구축 방법.
제 1 항에 있어서,

제 2 프로그램을 상기 클라이언트상에 설치하도록 구성된 제 1 프로그램을 상기 클라이언트에 전송하는 단계는 상기 클라이언트의 운영 체제의 계층에 동적 인터셉터를 설치하도록 구성된 제 1 프로그램을 상기 클라이언트에 전송하는 단계를 포함하는 가상 사설 네트워크 구축 방법.
제 1 항에 있어서,

상기 암호화된 데이터 통신 세션을 통해 상기 클라이언트로부터 암호화된 통신 신호를 수신하는 단계;

상기 암호화된 통신 신호를 암호 해독하는 단계; 및

상기 암호 해독된 통신 신호를 상기 사설 데이터 통신 네트워크상의 자원에 제공하는 단계를 더 포함하는 가상 사설 네트워크 구축 방법.
제 7 항에 있어서,

상기 암호 해독된 통신 신호를 상기 사설 데이터 통신 네트워크상의 자원에 제공하기 전에 상기 암호 해독된 통신 신호를 처리하는 단계를 더 포함하는 가상 사설 네트워크 구축 방법.
제 8 항에 있어서,

상기 암호 해독된 통신 신호를 처리하는 단계는,

재암호화;

데이터 압축;

부하 균형;

인증(Authentication), 인가(Authorization), 및 과금(Accounting); 또는

캐싱 중 적어도 하나를 수행하는 단계를 포함하는 가상 사설 네트워크 구축 방법.
제 1 항에 있어서,

상기 클라이언트를 위해 예정된 상기 사설 데이터 통신 네트워크상의 자원으로부터 통신 신호를 수신하는 단계; 및

상기 사설 데이터 통신 네트워크상의 자원으로부터의 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 상기 클라이언트에 전송하는 단계를 더 포함하는 가상 사설 네트워크 구축 방법.
클라이언트와 사설 데이터 통신 네트워크 사이에 가상 사설 네트워크를 구축하는 방법에 있어서, 상기 사설 데이터 통신 네트워크는 공중 데이터 통신 네트워크를 통해 상기 클라이언트에 접속되고, 상기 가상 사설 네트워크 구축 방법은,

상기 공중 데이터 통신 네트워크를 통해 게이트웨이와 암호화된 데이터 통신 세션을 설정하는 단계;

상기 사설 데이터 통신 네트워크상의 자원을 위해 예정된 클라이언트 애플리케이션으로부터의 통신 신호를 인터셉트하는 단계; 및

상기 인터셉트된 통신 신호를 상기 사설 데이터 통신 네트워크상의 자원 대신에 상기 게이트웨이에 전송하는 단계를 포함하고,

상기 인터셉트된 통신 신호는 상기 암호화된 데이터 통신 세션을 통해 상기 게이트웨이에 전송되는 가상 사설 네트워크 구축 방법.
제 11 항에 있어서,

상기 게이트웨이와 암호화된 데이터 통신 세션을 설정하는 단계는 게이트웨이와 SSL 데이터 통신 세션을 설정하는 단계를 포함하는 가상 사설 네트워크 구축 방법.
제 11 항에 있어서,

상기 인터셉트된 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 상기 게이트웨이에 전송하는 단계는,

상기 인터셉트된 통신 신호를 암호화하는 단계; 및

상기 암호화된 인터셉트된 통신 신호를 상기 공중 데이터 통신 네트워크를 통해 상기 게이트웨이에 전송하는 단계를 포함하는 가상 사설 네트워크 구축 방법.
제 11 항에 있어서,

상기 암호화된 데이터 통신 세션의 설정에 응답하여 상기 게이트웨이로부터 프로그래밍 구성 요소를 수신하는 단계; 및

상기 프로그래밍 구성 요소를 실행하는 단계를 더 포함하고,

상기 프로그래밍 구성 요소는 상기 사설 데이터 통신 네트워크상의 자원을 위해 예정된 클라이언트 애플리케이션으로부터의 통신 신호를 인터셉트하고 상기 인터셉트된 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 상기 게이트웨이로 전송하기 위해 상기 제 1 프로그램에 제공하도록 구성된 가상 사설 네트워크 구축 방법.
제 14 항에 있어서,

상기 프로그래밍 구성 요소를 수신 및 실행하는 단계는,

상기 게이트웨이로부터 제 1 프로그램을 수신하는 단계; 및

상기 제 1 프로그램을 실행하는 단계를 포함하고,

상기 제 1 프로그램을 실행하는 단계는 제 2 프로그램을 설치하는 단계를 포함하며,

상기 제 2 프로그램은 상기 사설 데이터 통신 네트워크상의 자원을 위해 예정된 클라이언트 애플리케이션으로부터의 통신 신호를 인터셉트하고 상기 인터셉트된 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 상기 게이트웨이로 전송하기 위해 상기 제 1 프로그램에 제공하도록 구성된 가상 사설 네트워크 구축 방법.
제 15 항에 있어서,

상기 게이트웨이로부터 제 1 프로그램을 수신하는 단계는 상기 게이트웨이로부터 액티브엑스 컨트롤을 수신하는 단계를 포함하는 가상 사설 네트워크 구축 방법.
제 15 항에 있어서,

상기 게이트웨이로부터 제 1 프로그램을 수신하는 단계는 상기 게이트웨이로부터 자바 애플릿을 수신하는 단계를 포함하는 가상 사설 네트워크 구축 방법.
제 15 항에 있어서,

상기 제 2 프로그램을 설치하는 단계는 상기 클라이언트의 운영 체제의 계층에 동적 인터셉터를 설치하는 단계를 포함하는 가상 사설 네트워크 구축 방법.
제 11 항에 있어서,

상기 사설 데이터 통신 네트워크상의 자원으로부터 발생된 통신 신호를 포함하는 암호화된 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 상기 게이트웨이로부터 수신하는 단계;

상기 게이트웨이로부터의 암호화된 통신 신호를 암호 해독하는 단계; 및

상기 암호 해독된 통신 신호를 클라이언트 애플리케이션에 제공하는 단계를 더 포함하는 가상 사설 네트워크 구축 방법.
제 11 항에 있어서,

상기 인터셉트된 통신 신호를 상기 게이트웨이로 전송하기 전에 상기 인터셉트된 통신 신호를 처리하는 단계를 더 포함하는 가상 사설 네트워크 구축 방법.
제 20 항에 있어서,

상기 인터셉트된 통신 신호를 처리하는 단계는 도메인 네임 서버(DNS) 네임 분석을 수행하는 단계를 포함하는 가상 사설 네트워크 구축 방법.
게이트웨이에 있어서,

공중 데이터 통신 네트워크를 통해 클라이언트와 암호화된 데이터 통신 세션을 설정하는 수단; 및

상기 암호화된 데이터 통신 세션의 설정에 응답하여 상기 클라이언트 상에서의 자동 설치 및 실행을 위해 프로그래밍 구성 요소를 상기 클라이언트에 전송하는 수단을 구비하고,

상기 프로그래밍 구성 요소는 사설 데이터 통신 네트워크상의 자원을 위해 예정된 클라이언트 애플리케이션으로부터의 통신 신호를 인터셉트하고 상기 인터셉트된 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 상기 사설 데이터 통신 네트워크상의 자원 대신에 상기 게이트웨이에 전송하도록 구성된 게이트웨이.
제 22 항에 있어서,

상기 클라이언트와 암호화된 데이터 통신 세션을 설정하는 수단은 클라이언트와 SSL 데이터 통신 세션을 설정하는 수단을 구비하는 게이트웨이.
제 22 항에 있어서,

상기 프로그래밍 구성 요소를 상기 클라이언트에 전송하는 수단은 제 1 프로그램을 상기 클라이언트에 전송하는 수단을 구비하고, 상기 제 1 프로그램은 제 2 프로그램을 상기 클라이언트상에 설치하도록 구성되며,

상기 제 2 프로그램은 상기 사설 데이터 통신 네트워크상의 자원을 위해 예정된 클라이언트 애플리케이션으로부터의 통신 신호를 인터셉트하고 상기 인터셉트된 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 상기 사설 데이터 통신 네트워크상의 자원 대신에 게이트웨이에 전송하기 위해 상기 제 1 프로그램에 제공하도록 구성된 게이트웨이.
제 24 항에 있어서,

상기 제 1 프로그램을 상기 클라이언트에 전송하는 수단은 액티브엑스 컨트롤을 상기 클라이언트에 전송하는 수단을 구비하는 게이트웨이.
제 24 항에 있어서,

상기 제 1 프로그램을 상기 클라이언트에 전송하는 수단은 자바 애플릿을 상 기 클라이언트에 전송하는 수단을 구비하는 게이트웨이.
제 24 항에 있어서,

제 2 프로그램을 상기 클라이언트상에 설치하도록 구성된 제 1 프로그램을 상기 클라이언트에 전송하는 수단은 상기 클라이언트의 운영 체제의 계층에 동적 인터셉터를 설치하도록 구성된 제 1 프로그램을 상기 클라이언트에 전송하는 수단을 구비하는 게이트웨이.
제 22 항에 있어서,

상기 암호화된 데이터 통신 세션을 통해 상기 클라이언트로부터 암호화된 통신 신호를 수신하는 수단;

상기 암호화된 통신 신호를 암호 해독하는 수단; 및

상기 암호 해독된 통신 신호를 상기 사설 데이터 통신 네트워크상의 자원에 제공하는 수단을 더 구비하는 게이트웨이.
제 28 항에 있어서,

상기 암호 해독된 통신 신호를 상기 사설 데이터 통신 네트워크상의 자원에 제공하기 전에 상기 암호 해독된 통신 신호를 처리하는 수단을 더 구비하는 게이트웨이.
제 29 항에 있어서,

상기 암호 해독된 통신 신호를 처리하는 수단은,

재암호화;

데이터 압축;

부하 균형;

인증(Authentication), 인가(Authorization), 및 과금(Accounting); 또는

캐싱 중 적어도 하나를 수행하는 수단을 구비하는 게이트웨이.
제 22 항에 있어서,

상기 클라이언트를 위해 예정된 상기 사설 데이터 통신 네트워크상의 자원으로부터 통신 신호를 수신하는 수단; 및

상기 사설 데이터 통신 네트워크상의 자원으로부터의 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 상기 클라이언트에 전송하는 수단을 더 구비하는 게이트웨이.
클라이언트에 있어서,

공중 데이터 통신 네트워크를 통해 게이트웨이와 암호화된 데이터 통신 세션을 설정하는 수단;

상기 사설 데이터 통신 네트워크상의 자원을 위해 예정된 클라이언트 애플리케이션으로부터의 통신 신호를 인터셉트하는 수단; 및

상기 인터셉트된 통신 신호를 상기 사설 데이터 통신 네트워크상의 자원 대신에 상기 게이트웨이에 전송하는 수단을 구비하고,

상기 인터셉트된 통신 신호는 상기 암호화된 데이터 통신 세션을 통해 상기 게이트웨이에 전송되는 클라이언트.
제 32 항에 있어서,

상기 게이트웨이와 암호화된 데이터 통신 세션을 설정하는 수단은 게이트웨이와 SSL 데이터 통신 세션을 설정하는 수단을 구비하는 클라이언트.
제 32 항에 있어서,

상기 인터셉트된 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 상기 게이트웨이에 전송하는 수단은,

상기 인터셉트된 통신 신호를 암호화하는 수단; 및

상기 암호화된 인터셉트 통신 신호를 상기 공중 데이터 통신 네트워크를 통해 상기 게이트웨이로 전송하는 수단을 구비하는 클라이언트.
제 32 항에 있어서,

상기 암호화된 데이터 통신 세션의 설정에 응답하여 상기 게이트웨이로부터 프로그래밍 구성 요소를 수신하는 수단; 및

상기 프로그래밍 구성 요소를 실행하는 수단을 더 구비하고,

상기 프로그래밍 구성 요소는 상기 사설 데이터 통신 네트워크상의 자원을 위해 예정된 클라이언트 애플리케이션으로부터의 통신 신호를 인터셉트하고 상기 인터셉트된 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 상기 게이트웨이로 전송하기 위해 상기 제 1 프로그램에 제공하도록 구성된 클라이언트.
제 35 항에 있어서,

상기 게이트웨이로부터 프로그래밍 구성 요소를 수신하는 수단은 상기 게이트웨이로부터 제 1 프로그램을 수신하는 수단을 구비하고,

상기 프로그램 구성 요소를 실행하는 수단은 제 1 프로그램을 실행하는 수단을 구비하며,

상기 제 1 프로그램을 실행하는 것은 제 2 프로그램을 설치하는 것을 포함하고,

상기 제 2 프로그램은 상기 사설 데이터 통신 네트워크상의 자원을 위해 예정된 클라이언트 애플리케이션으로부터의 통신 신호를 인터셉트하고 상기 인터셉트된 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 상기 게이트웨이로 전송하기 위해 상기 제 1 프로그램에 제공하도록 구성된 클라이언트.
제 36 항에 있어서,

상기 게이트웨이로부터 제 1 프로그램을 수신하는 수단은 상기 게이트웨이로부터 액티브엑스 컨트롤을 수신하는 수단을 구비하는 클라이언트.
제 36 항에 있어서,

상기 게이트웨이로부터 제 1 프로그램을 수신하는 수단은 상기 게이트웨이로부터 자바 애플릿을 수신하는 수단을 구비하는 클라이언트.
제 36 항에 있어서,

제 2 프로그램을 설치하는 것은 상기 클라이언트의 운영 체제의 계층에 동적 인터셉터를 설치하는 것을 포함하는 클라이언트.
제 32 항에 있어서,

상기 사설 데이터 통신 네트워크상의 자원으로부터 발생된 통신 신호를 포함하는 암호화된 통신 신호를 상기 암호화된 데이터 통신 세션을 통해 상기 게이트웨이로부터 수신하는 수단;

상기 게이트웨이로부터의 암호화된 통신 신호를 암호 해독하는 수단; 및

상기 암호 해독된 통신 신호를 클라이언트 애플리케이션에 제공하는 수단을 더 구비하는 클라이언트.
제 32 항에 있어서,

상기 인터셉트된 통신 신호를 상기 게이트웨이로 전송하기 전에 상기 인터셉트된 통신 신호를 처리하는 수단을 더 구비하는 클라이언트.
제 41 항에 있어서,

상기 인터셉트된 통신 신호를 처리하는 수단은 도메인 네임 서버(DNS) 네임 분석을 수행하는 수단을 구비하는 클라이언트.