KR20130034401A - 상호 인증 기반의 가상사설망 서비스 장치 및 방법 - Google Patents

상호 인증 기반의 가상사설망 서비스 장치 및 방법 Download PDF

Info

Publication number
KR20130034401A
KR20130034401A KR1020110098387A KR20110098387A KR20130034401A KR 20130034401 A KR20130034401 A KR 20130034401A KR 1020110098387 A KR1020110098387 A KR 1020110098387A KR 20110098387 A KR20110098387 A KR 20110098387A KR 20130034401 A KR20130034401 A KR 20130034401A
Authority
KR
South Korea
Prior art keywords
vpn
user terminal
data
vpn server
private network
Prior art date
Application number
KR1020110098387A
Other languages
English (en)
Other versions
KR101303120B1 (ko
Inventor
이석민
전남수
남승우
김진용
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020110098387A priority Critical patent/KR101303120B1/ko
Priority to US13/306,249 priority patent/US8959614B2/en
Priority to EP12186304.7A priority patent/EP2575297A3/en
Priority to CN201210371379.8A priority patent/CN103036867B/zh
Publication of KR20130034401A publication Critical patent/KR20130034401A/ko
Application granted granted Critical
Publication of KR101303120B1 publication Critical patent/KR101303120B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

상호 인증 기반의 가상사설망 서비스 장치 및 방법이 개시된다. 저장부는 사용자 단말기에 대해 사설망에의 접속을 제공하는 VPN(Virtual Private Network) 서버가 생성한 제1공개키 및 사용자 단말기가 생성한 제2공개키를 저장한다. 인증부는 제1공개키를 이용하여 VPN 서버를 인증하고, 제2공개키를 이용하여 사용자 단말기를 인증한다. 채널관리부는 인증부에 의해 인증된 VPN 서버와의 사이에서 데이터가 이동하는 제1VPN 터널을 생성하고, 인증부에 의해 인증된 사용자 단말기와의 사이에서 데이터가 이동하는 제2VPN 터널을 생성하여, 사용자 단말기와 VPN 서버 사이에서 데이터의 송수신을 중계한다. 본 발명에 따르면, VPN 서비스를 상호 인증된 계층으로 분리하여 신뢰성과 보안성이 유지되는 동시에 높은 확장성과 부하 분산의 효과를 가지는 VPN 서비스 구축이 가능하다.

Description

상호 인증 기반의 가상사설망 서비스 장치 및 방법{Apparatus and method for providing virtual private network service based on mutual authentication}
본 발명은 상호 인증 기반의 가상사설망(Virtual Private Network: VPN) 서비스 장치 및 방법으로, 보다 상세하게는, 신뢰성을 향상시킨 어플리케이션 계층 (application layer)에서 동작하는 VPN 서비스 장치 및 방법에 관한 것이다.
분산된 기업환경에서 본사와 지사를 연결하는 대표적인 방식은 전용회선(leased line)이나 프레임 릴레이(Frame relay)를 이용하여 망을 구축하는 것이다. 그러나 이러한 전용회선(leased line)이나 프레임 릴레이(Frame relay)는 회선비용이 상대적으로 비싸다는 문제점이 있다.
따라서 전용회선이나 프레임 릴레이에 비해 비용이 저렴한 인터넷 공중망을 이용한 망 서비스로 가상사설망 기술이 널리 사용되고 있다. VPN 기술은 기존의 공중망을 이용하여 원거리 단말기(지사)와 본사를 연결하여 외부와 안전한 통신을 할 수 있도록 가상으로 사설 통신망을 구축하는 기술이다.
기존의 VPN은 IPSec, SSL 등의 프로토콜을 사용하여 전송 계층(transport layer)과 네트워크 계층(network layer) 상에서 동작하였다. 그러나 이와 같이 전송 계층 이하에서 동작하는 VPN의 경우는 릴레이 기능을 통한 확장이 어렵고, 하드웨어 의존성이 높기 때문에 클라이언트 이식성이 떨어진다는 문제점이 있다.
이에 대한 해결책으로 SSH 프로토콜을 사용하는 어플리케이션 계층에서 동작하는 VPN 기법이 제시된바 있다. 어플리케이션 계층에서 동작하는 VPN의 경우 비교적 확장이 쉬운 편이나 릴레이 서버(relay server)를 통해 연결시 단순 경로만을 제공하여 신뢰성이 떨어진다는 문제점이 있다. 또한 하나의 릴레이 서버에 다수의 VPN 서버가 연결된 호스티드 VPN(hosted VPN) 서비스 제공시, 단일 업체가 아닌 여러 업체를 대상으로 VPN 서비스를 제공하기에 네트워크 보안 설정 및 IP 충돌 문제가 발생한다.
한국공개특허 제10-2006-0126952호에는 클라이언트가 호스트 서비스에 접속하는 과정을 중계해주는 일차 프로토콜 서비스가 개시되어 있다. 티켓 기관은 제1티켓을 클라이언트에, 제2티켓을 일차 프로토콜 서비스에 전송한다. 티켓을 전송받은 일차 프로토콜 서비스와 호스트 서비스는 제2 프로토콜을 이용하여 통신한다. 또한 일차 프로토콜 서비스는 클라이언트와 제2프로토콜을 캡슐화한 제1프로토콜을 이용하여 통신한다.
티켓 기관에서 티켓을 전송받은 해당 일차 프로토콜 서비스 및 클라이언트는 프로토콜 캡슐화를 통한 데이터 송수신을 함으로써, 데이터의 보안성 및 신뢰성이 유지된다. 그러나 클라이언트로부터 일차 프로토콜 서비스로 능동적으로 인증을 요청하는 것이 아닌 티켓 기관의 선별에 의해 클라이언트 인증이 이루어진다. 또한 호스트 서비스에 대한 인증 과정이 존재하지 않는다. 따라서 해당 일차 프로토콜 서비스가 중계해주는 클라이언트와 호스트 서비스 간의 신뢰성이 부족하다는 문제점이 있다.
본 발명이 이루고자 하는 기술적 과제는, 어플리케이션 계층에서 동작하는 VPN과 사용자 단말기 사이의 통신 경로 설정에 관여하여 비교적 확장이 쉽고 신뢰성이 향상된 VPN 서비스를 제공하는 VPN 서비스 장치 및 방법을 제공함에 있다.
본 발명이 이루고자 하는 다른 기술적 과제는, 어플리케이션 계층에서 동작하는 VPN과 사용자 단말기 사이의 통신 경로 설정에 관여하여 비교적 확장이 쉽고 신뢰성이 향상된 VPN 서비스를 제공하는 VPN 서비스 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공함에 있다.
상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 상호 인증 기반의 가상사설망 서비스 장치는, 사용자 단말기에 대해 사설망에의 접속을 제공하는 VPN(Virtual Private Network) 서버가 생성한 제1공개키 및 상기 사용자 단말기가 생성한 제2공개키가 저장되는 저장부; 상기 제1공개키를 이용하여 상기 VPN 서버를 인증하고, 상기 제2공개키를 이용하여 상기 사용자 단말기를 인증하는 인증부; 및상기 인증부에 의해 인증된 VPN 서버와의 사이에서 데이터가 이동하는 제1VPN 터널을 생성하고, 상기 인증부에 의해 인증된 사용자 단말기와의 사이에서 데이터가 이동하는 제2VPN 터널을 생성하여, 상기 사용자 단말기와 상기 VPN 서버 사이에서 데이터의 송수신을 중계하는 채널관리부;를 구비한다.
상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 상호 인증 기반의 가상사설망 서비스 방법은, 사용자 단말기에 대해 사설망에의 접속을 제공하는 VPN(Virtual Private Network) 서버가 생성한 제1공개키를 이용하여 상기 VPN 서버를 인증하고, 상기 사용자 단말기가 생성한 제2공개키를 이용하여 상기 사용자 단말기를 인증하는 인증단계; 및 상기 인증단계에서 인증된 VPN 서버와의 사이에서 데이터가 이동하는 제1VPN 터널을 생성하고, 상기 인증단계에서 인증된 사용자 단말기와의 사이에서 데이터가 이동하는 제2VPN 터널을 생성하여, 상기 사용자 단말기와 상기 VPN 서버 사이에서 데이터의 송수신을 중계하는 채널관리단계;를 갖는다.
본 발명에 따른 상호 인증 기반의 가상사설망 서비스 장치 및 방법에 의하면, 본 발명은 클라이언트(client) 및 VPN 서버와의 상호 인증을 통해 신뢰성과 보안성이 향상된 연결을 제공한다. 또한 본 발명은 여러 개의 서버가 연결된 멀티티어(multi-tier) 구조를 구축하여 저비용으로 높은 확장성과 부하 분산 효과를 갖는다. 이러한 구조는 IP 할당이 없는 어플리케이션 계층의 호스티드 VPN 서비스로 네트워크 호환성 및 IP 충돌 문제를 해결할 수 있다.
도 1은 본 발명에 따른 상호 인증 기반의 가상사설망 서비스 장치를 포함하는 전체 네트워크 구성을 나타낸 도면,
도 2는 사용자 단말기에 대한 바람직한 실시예의 구성을 도시한 블록도,
도 3은 사용자 단말기에서 VPN 서버로 접속할 수 있는 VPN 클라이언트 프로그램의 실행 과정에 대한 바람직한 실시예의 수행과정을 도시한 흐름도,
도 4는 본 발명에 따른 가상사설망 서비스 장치에 대한 바람직한 실시예의 구성을 도시한 블록도,
도 5는 VPN 서버에 대한 바람직한 실시예의 구성을 도시한 블록도,
도 6은 VPN 서버 관리부에 대한 바람직한 실시예의 구성을 도시한 블록도,
도 7은 가상사설망 서비스 장치와 VPN 서버 사이에서 제1VPN 터널이 형성되기까지의 과정에 대한 바람직한 실시예의 수행과정을 도시한 흐름도,
도 8은 사용자 단말기와 가상사설망 서비스 장치 사이에서 제2VPN 터널이 형성되기까지의 과정에 대한 바람직한 실시예의 수행과정을 도시한 흐름도,
도 9는 본 발명에 따른 가상사설망 서비스 장치로 복수의 고객을 관리하는 실시예를 나타낸 도면, 및
도 10은 본 발명에 따른 가상사설망 서비스 장치로 기업 내 본사와 지사를 연결시키는 실시예를 나타낸 도면이다.
이하에서 첨부된 도면들을 참조하여 본 발명에 따른 상호 인증 기반의 가상사설망 서비스 장치 및 방법의 바람직한 실시예에 대해 상세하게 설명한다.
도 1은 본 발명에 따른 상호 인증 기반의 가상사설망 서비스 장치(100)를 포함하는 전체 네트워크 구성을 나타낸 도면이다.
도 1을 참조하면, 전체 네트워크는 가상사설망 서비스 장치(100), 사용자 단말기(110), 인증 서버(120), 인증 데이터베이스(130) 및 VPN 서버(140)로 구성된다.
사용자 단말기(110)는 VPN 서버(140)에 접속할 수 있는 프로그램이 인스톨되어 실행될 수 있는 장치로서 공중망 네트워크를 이용할 수 있는 PDA, 스마트 폰, 노트북 등의 휴대용 통신기기 등이 될 수 있다.
도 2는 사용자 단말기(110)에 대한 바람직한 실시예의 구성을 도시한 블록도이다.
도 2를 참조하면, 사용자 단말기(110)는 제어부(210), 저장부(220) 및 VPN 접속부(230)를 구비한다.
VPN 접속부(230)는 사용자 단말기(110)가 VPN 서버(140)에 접속할 수 있는 VPN 클라이언트 프로그램을 실행시킨다. 제어부(210)에는 운영시스템(OS: operate system)이 설치되어 있다. 운영시스템은 사용자 단말기(110)의 하드웨어들을 논리적으로 연결하고 제어한다. 또한 운영시스템은 VPN 클라이언트 프로그램 등 다양한 응용 프로그램을 사용자 단말기(110)의 하드웨어와 연결하여 제어한다.
저장부(220)에는 명령어와 데이터가 전자적인 방법으로 저장되어 있다. 사용자 단말기(110)가 정상적으로 동작하는 경우, 저장부(220)에는 보통 운영시스템(OS)의 주요부분, 응용프로그램의 일부나 전부, 현재 사용중인 데이터가 저장된다.
도 3은 VPN 접속부(230)에 의해 수행되는 VPN 서버(140)로의 접속 과정에 대한 바람직한 실시예의 수행과정을 도시한 흐름도이다.
VPN 접속부(230)는 통신하고자 하는 VPN 서버(140)의 식별정보를 포함하는 인증 데이터 및 인증 요청을, VPN 서버(140)로 인증 요청을 전송할 수 있는 인증 서버(120)에 전송한다(S310). 그 후 인증 서버(120)는 인증 데이터에 포함된 VPN 서버(140)의 아이디를 이용하여 VPN 서버(140)로 접속해 사용자 단말기(110)에 대한 인증을 요청할 수 있다(S310).
인증 서버(120)로 전송되는 인증 데이터 및 인증 요청은 공인 IP를 통해 이루어진다. 인증 데이터에는 접속하고자하는 VPN 서버(140)의 아이디, 사용자 단말기(110)의 아이디 및 VPN 서버(140)의 접속 암호가 포함된다.
VPN 서버(140)에 의해 인증 성공시 VPN 접속부(230)는 제2공개키와 제2개인키, 그리고 제3공개키와 제3개인키를 생성한다(S320).
VPN 접속부(230)는 제2공개키를 가상사설망 서비스 장치(100)에 등록하고, 가상사설망 서비스 장치(100)에 의해 제2공개키로 인증을 받는다(S330). 구체적으로 VPN 접속부(230)가 가상사설망 서비스 장치(100)로 사전에 설정되어 있는 인증 프로토콜에 따라 접속을 요청하면 상호 간에 사용될 알고리즘이 선택된다.
이 경우 상호 간에 사용될 수 있는 알고리즘으로는 암호화 알고리즘, 해쉬(hash) 알고리즘, HMAC 알고리즘 및 압축 알고리즘이 있다. 알고리즘 선택 후 알고리즘(AES, 3SES 등)에 사용할 대칭키(제2암호키)를 생성하여 서로 교환한다. 또한 제2암호키는 주기적으로 랜덤하게 재생성되어 교환된다.
그 후 VPN 접속부(230)는 대칭키인 제2암호키로 VPN 서버(140)의 아이디, 사용자 단말기(110)의 아이디 및 제2개인키를 암호화하여 가상사설망 서비스 장치(100)로 인증을 요청한다. 가상사설망 서비스 장치(100)는 제2공개키로 VPN 접속부(230)를 인증하게 된다.
VPN 접속부(230)는 제3공개키를 VPN 서버(140)에 등록하고, VPN 서버(140)에 의해 제3공개키로 인증을 받는다(S340). 구체적으로 VPN 접속부(230)가 VPN 서버(140)로 사전에 설정되어 있는 인증 프로토콜에 따라 접속을 요청하면 상호 간에 사용될 알고리즘이 선택된다.
이 경우 상호 간에 사용될 수 있는 알고리즘으로는 암호화 알고리즘, 해쉬(hash) 알고리즘, HMAC 알고리즘 및 압축 알고리즘이 있다. 알고리즘 선택 후 알고리즘(AES, 3SES 등)에 사용할 대칭키(제1암호키)를 생성하여 서로 교환한다. 또한 제1암호키는 주기적으로 랜덤하게 재생성되어 교환된다.
그 후 VPN 접속부(230)는 대칭키인 제1암호키로 VPN 서버(140)의 아이디, 사용자 단말기(110)의 아이디 및 제3개인키를 암호화하여 VPN 서버(140)로 인증을 요청한다. VPN 서버(140)는 제3공개키로 VPN 접속부(230)를 인증하게 된다.
VPN 접속부(230)는 가상사설망 서비스 장치(100)와의 사이에서 데이터가 이동하는 제2VPN 터널과 가상사설망 서비스 장치(100)와 VPN 서버(140) 사이에서 데이터가 이동하는 제1VPN 터널을 통해, VPN 서버(140)와 데이터를 송수신한다(S350).
VPN 접속부(230)는 VPN 서버(140)로 전송하는 데이터를 제1암호키로 암호화하고, VPN 서버(140)로부터 수신하는 데이터를 제1암호키로 복호화하여 VPN 서버(140)와 데이터를 송수신한다. 또는 VPN 접속부(230)는 VPN 서버(140)로 전송하는 데이터를 제2암호키로 암호화하고, VPN 서버(140)로부터 수신하는 데이터를 제2암호키로 복호화하여 VPN 서버(140)와 데이터를 송수신한다.
또한 데이터 송수신에 있어서 보안성을 높이기 위해, VPN 서버(140)로 전송하는 데이터를 제1암호키로 암호화한 후 제2암호키로 재 암호화하고, VPN 서버(140)로부터 수신하는 데이터를 제2암호키로 복호화한 후 제1암호키로 재 복호화하여 데이터를 송수신할 수 있다.
VPN 클라이언트 프로그램은 어플리케이션의 형태로, VPN 서버(140)를 운영하는 측으로부터 스마트 폰 등의 사용자 단말기(110)에 다운받아 이용할 수 있다. 또는 사전에 사용자 단말기(110)에 VPN 클라이언트 프로그램이 저장될 수도 있다.
다시 도 1을 참조하면, 인증 서버(120)는 VPN 서버(140)와 사용자 단말기(110)의 연결을 위한 최초 등록 과정을 수행한다.
VPN 서버(140)는 인증 서버(120)로 라이센스 키 발급을 요청한다. 인증 서버(120)는 VPN 서버(140)의 라이센스 키 발급 요청에 따라 라이센스 키를 발급하여 VPN 서버(140)로 전송한다. 그 후 인증 서버(120)는 라이센스 키를 발급받은 VPN 서버(140)의 아이디를 VPN 서버(140)에 대한 식별정보 등이 저장되어 있는 인증 데이터베이스(130)에 저장한다.
인증 서버(120)는 라이센스 키를 이용하여 VPN 서버(140)로 인증을 요청한다. VPN 서버(140)는 라이센스 키를 확인하여 인증 서버(120)를 인증하고 제1공개키와 제1개인키를 생성하게 된다.
또한 인증 서버(120)는 라이센스 키를 가지고 라이센스 정보를 암호화한다. 라이센스 정보에는 VPN 서버(140)의 아이디, 라이센스 타입, 라이센스 기간, 사용자 단말기(110) 및 VPN 서버(140)의 수, 대표 IP 및 포트가 해당된다. 라이센스 키에 의해 암호화된 라이센스 정보는 인증 서버(120)에서 VPN 서버(140)로 일반 웹 서버를 통하여 전송된다.
한편 인증 서버(120)는 사용자 단말기(110)로부터 인증 데이터 및 인증 요청을 수신한다. 인증 데이터에는 접속하고자 하는 VPN 서버(140)의 아이디, 사용자 단말기(110)의 아이디 및 VPN 서버(140)의 접속 암호가 포함된다. 또한 인증 서버(120)는 사용자 단말기(110)로부터 수신한 인증 데이터를 인증 데이터베이스(130)에 저장하고, 인증 데이터에 포함된 VPN 서버(140)의 아이디로 VPN 서버(140)에 접속하여 사용자 단말기(110)의 인증을 요청한다.
VPN 서버(140)에 의해 사용자 단말기(110)가 인증된 경우, 인증 서버(120)는 인증이 성공하였음을 사용자 단말기(110)로 전송한다. 인증 성공 여부를 수신한 사용자 단말기(110)는 제2공개키와 제2개인키, 그리고 제3공개키와 제3개인키를 생성하여 VPN 서버(140)와의 데이터 송수신을 준비하게 된다.
다시 도 1을 참조하면, 본 발명에 따른 가상사설망 서비스 장치(100)는 NOC(network operation center)나 사설 네트워크와 공중망 사이의 중립 지역인 DMZ(demilitarized zone) 네트워크상에 위치할 수 있다.
도 4는 본 발명에 따른 가상사설망 서비스 장치(100)에 대한 바람직한 실시예의 구성을 도시한 블록도이다.
도 4를 참조하면, 본 발명에 따른 가상사설망 서비스 장치(100)는 저장부(410), 인증부(420), 터널관리부(430), 보안처리부(440), 연결관리부(450) 및 라우팅부(460)를 구비한다.
저장부(410)에는 VPN 서버(140)가 생성한 제1공개키 및 사용자 단말기(110)가 생성한 제2공개키가 저장된다. 앞서 설명한 바와 같이, VPN 서버(140)는 라이센스 키를 확인하여 인증 서버(120)를 인증하고 제1공개키와 제1개인키를 생성하게 된다. 사용자 단말기(110)는 VPN 서버(140)에 의해 인증된 경우, 제2공개키 및 제2개인키를 생성한다.
인증부(420)는 제1공개키를 이용하여 VPN 서버(140)를 인증하고 제2공개키를 이용하여 사용자 단말기(110)를 인증한다. 구체적으로 VPN 서버(140)가 인증부(420)로 사전에 설정되어 있는 인증 프로토콜에 따라 접속을 요청하면 상호 간에 사용될 알고리즘이 선택된다.
이 경우 상호 간에 사용될 수 있는 알고리즘으로는 암호화 알고리즘, 해쉬(hash) 알고리즘, HMAC 알고리즘 및 압축 알고리즘이 있다. 알고리즘 선택 후 알고리즘(AES, 3SES 등)에 사용할 대칭키(제3암호키)를 생성하여 서로 교환한다. 또한 제3암호키는 주기적으로 랜덤하게 재생성되어 교환된다.
그 후 VPN 서버(140)는 대칭키인 제3암호키로 VPN 서버(140)의 아이디, 사용자 단말기(110)의 아이디 및 제1개인키를 암호화하여 인증부(420)로 인증을 요청한다. 인증부(420)는 제1공개키로 VPN 서버(140)를 인증하게 된다. 즉, VPN 서버(140)의 접속을 통해 아웃 바운드(out-bound) 형식으로 인증이 이루어진다.
마찬가지로 사용자 단말기(110)가 인증부(420)로 사전에 설정되어 있는 인증 프로토콜에 따라 접속을 요청하면 상호 간에 사용될 알고리즘이 선택된다. 이 경우 상호 간에 사용될 수 있는 알고리즘으로는 암호화 알고리즘, 해쉬(hash) 알고리즘, HMAC 알고리즘 및 압축 알고리즘이 있다. 알고리즘 선택 후 알고리즘(AES, 3SES 등)에 사용할 대칭키(제2암호키)를 생성하여 서로 교환한다. 또한 제2암호키는 주기적으로 랜덤하게 재생성되어 교환된다.
그 후 사용자 단말기(110)는 대칭키인 제2암호키로 VPN 서버(140)의 아이디, 사용자 단말기(110)의 아이디 및 제2개인키를 암호화하여 인증부(420)로 인증을 요청한다. 인증부(420)는 제2공개키로 사용자 단말기(110)를 인증하게 된다.
터널관리부(430)는 인증부(420)에 의해 인증된 VPN 서버(140)와의 사이에서 데이터가 이동하는 제1VPN 터널을 생성하고, 인증부(420)에 의해 인증된 사용자 단말기(110)와의 사이에서 데이터가 이동하는 제2VPN 터널을 생성하여, 사용자 단말기(110)와 VPN 서버(140) 사이의 데이터 송수신을 중계한다.
제1VPN 터널과 제2VPN 터널을 통해 사용자 단말기(110)와 VPN 서버(140) 사이에 송수신 되는 데이터는 사용자 단말기(110)와 VPN 서버(140) 사이에 설정되어있는 제1암호키로 암호화될 수 있다.
보안처리부(440)는 사용자 단말기(110)로부터 수신된 데이터를 사용자 단말기(110)와의 사이에 설정되어 있는 제2암호키로 복호화한 후 VPN 서버(140)와의 사이에서 설정된 제3암호키로 암호화하여 VPN 서버(140)로 전송하고, VPN 서버(140)로부터 수신된 데이터를 제3암호키로 복호화한 후 제2암호키로 암호화하여 사용자 단말기(110)로 전송한다.
사용자 단말기(110)로부터 수신되는 데이터는 제1암호키로 암호화한 후 제2암호키로 재 암호화된 것도 가능하다. 또한 VPN 서버(140)로부터 수신되는 데이터는 제1암호키로 암호화한 후 제3암호키로 재 암호화된 것도 가능하다. 즉, 보안처리부(440)는 재 암호화된 데이터를 송수신할 수 있다.
연결관리부(450)는 사용자 단말기(110)로부터 VPN 서버(140)로의 접속 요청이 수신되면, 복수의 VPN 서버(140) 각각에 대응하여 접속이 허용된 적어도 하나의 사용자 단말기(110)의 정보가 연계되어 저장되어 있는 인증 데이터베이스(130)의 정보를 기초로 사용자 단말기(110)와 연결될 VPN 서버(140)를 결정한다.
복수의 VPN 서버(140) 각각에 대응하여 접속이 허용된 적어도 하나의 사용자 단말기(110)의 정보는 사전에 인증 데이터베이스(130)에 저장되어 있거나, VPN 서버(140)로부터 전송되어 인증 데이터베이스(130)에 저장될 수 있다.
또한 접속이 허용된 적어도 하나의 사용자 단말기(110)의 정보가 동일한 복수의 VPN 서버(140)는 동일한 식별정보를 가지며, 서로 다른 상기 식별정보의 하위 식별정보를 갖는다. 이 경우 연결관리부(450)는 사용자 단말기(110)로부터 VPN 서버로(140)의 접속 요청이 수신되면, 동일한 식별정보를 갖는 VPN 서버(140) 간에 사용자 단말기(110)와의 접속에 의해 발생하는 부하가 균등하게 분배되도록 사용자 단말기(110)와 연결될 VPN 서버(140)를 결정한다. 표 1은 동일한 VPN 식별정보 및 서로 다른 VPN 하위 식별정보를 갖는 VPN 서버(140)와 접속 가능한 사용자 단말기(110)를 나타낸 표이다.
VPN 식별정보 VPN 하위 식별정보 접속 가능한 사용자 단말기
A a,b 1,2,3,4
접속 가능한 사용자 단말기(110)가 1,2,3,4로 동일한 VPN 서버(140)는 동일한 VPN 식별정보로 A를 갖는다. 또한 VPN 식별정보의 하위 식별정보로 서로 다른 VPN 하위 식별정보인 a,b를 갖는다. 하위 식별정보로는 실제 VPN 서버(140)의 포트 번호가 가능하다.
만약 사용자 단말기 1이 VPN 하위 식별정보가 a인 VPN 서버와 연결되어 있는 경우, 연결관리부(450)는 사용자 단말기 2로부터 VPN 서버(140)로의 접속 요청이 수신되면 사용자 단말기 2와 연결될 VPN 서버(140)로 VPN 하위 식별정보가 b인 VPN 서버를 결정한다.
라우팅부(460)는 사용자 단말기(110)로부터 VPN 서버(140)로의 접속 요청이 수신되면, 사용자 단말기(110)의 라우팅 경로를 사용자 단말기(110)와 접속 가능한 VPN 서버(140)와 제1VPN 터널을 생성한 가상사설망 서비스 장치(100)로 연결되도록 설정한다.
복수의 가상사설망 서비스 장치(100)는 브로드캐스팅으로 상호 연결되어 있기 때문에, 라우팅부(460)는 사용자 단말기(110)와 접속 가능한 VPN 서버(140)와 제1VPN 터널을 생성한 가상사설망 서비스 장치(100)를 검색할 수 있다.
다시 도 1을 참조하면, VPN 서버(140)는 사용자 단말기(110) 및 가상사설망 서비스 장치(100)의 고객사 시스템으로의 접근을 관리해주는 장치로, 고객사 시스템이 위치한 방화벽으로 분리된 사설망 내에 위치한다.
도 5는 VPN 서버(140)에 대한 바람직한 실시예의 구성을 도시한 블록도이다.
도 5를 참조하면, VPN 서버(140)는 제어부(510), 저장부(520) 및 VPN 서버 관리부(530)를 구비한다.
VPN 서버 관리부(530)는 VPN 서버(140)가 사용자 단말기(110)에 접속할 수 있는 VPN 프로그램을 실행시킨다. 제어부(210)에는 운영시스템(OS: operate system)이 설치되어 있다. 운영시스템은 VPN 서버(140)의 하드웨어들을 논리적으로 연결하고 제어한다. 또한 운영시스템은 VPN 프로그램 등 다양한 응용 프로그램을 VPN 서버(140)의 하드웨어와 연결하여 제어한다.
저장부(220)에는 명령어와 데이터가 전자적인 방법으로 저장되어 있다. VPN 서버(140)가 정상적으로 동작하는 경우, 저장부(220)에는 보통 운영시스템(OS)의 주요부분, 응용프로그램의 일부나 전부, 현재 사용중인 데이터가 저장된다.
도 6은 VPN 서버 관리부(530)에 대한 바람직한 실시예의 구성을 도시한 블록도이다.
도 6을 참조하면, VPN 서버 관리부(530)는 VPN 키관리부(610), VPN 인증부(620), VPN 데이터 송수신부(630) 및 VPN 보안처리부(640)를 구비한다.
VPN 키관리부(610)는 제1공개키 및 제1개인키를 생성한 후, 제1공개키를 가상사설망 서비스 장치(100)에 등록한다. 또한 사용자 단말기(110)가 생성한 제3공개키를 등록받는다.
VPN 인증부(620)는 제3공개키에 의해 사용자 단말기(110)를 인증한다. 즉, 사용자 단말기(110)가 제3개인키로 접속을 요청하면 VPN 인증부(620)에서 제3공개키로 사용자 단말기(110)를 인증하게 된다. 구체적으로 사용자 단말기(110)가 VPN 인증부(620)로 사전에 설정되어 있는 인증 프로토콜에 따라 접속을 요청하면 상호 간에 사용될 알고리즘이 선택된다.
이 경우 상호 간에 사용될 수 있는 알고리즘으로는 암호화 알고리즘, 해쉬(hash) 알고리즘, HMAC 알고리즘 및 압축 알고리즘이 있다. 알고리즘 선택 후 알고리즘(AES, 3SES 등)에 사용할 대칭키(제1암호키)를 생성하여 서로 교환한다. 또한 제1암호키는 주기적으로 랜덤하게 재생성되어 교환된다.
그 후 사용자 단말기(110)는 대칭키인 제1암호키로 VPN 서버(140)의 아이디, 사용자 단말기(110)의 아이디 및 제3개인키를 암호화하여 VPN 인증부(620)로 인증을 요청한다. VPN 인증부(620)는 제3공개키로 사용자 단말기(110)를 인증하게 된다.
VPN 데이터 송신부(630)는 제1공개키로 VPN 서버(140)를 인증한 가상사설망 서비스 장치(100)와 VPN 서버(140) 사이에서 데이터가 이동하는 제1VPN 터널과 VPN 인증부(620)에 의해 인증된 사용자 단말기(110)와 가상사설망 서비스 장치(100) 사이에서 데이터가 이동하는 제2VPN 터널을 통해, 사용자 단말기(110)와 데이터를 송수신한다.
VPN 데이터 송수신부(630)를 통해 사용자 단말기(110)로 전송하는 데이터는 사용자 단말기(110)와의 사이에서 설정되어있는 제1암호키로 암호화되고, 사용자 단말기(110)로부터 수신하는 데이터는 제1암호키로 복호화될 수 있다.
VPN 보안처리부(640)는 사용자 단말기(110)로 전송하는 데이터를 사용자 단말기(110)와의 사이에서 설정되어있는 제1암호키로 암호화한 후 가상사설망 서비스 장치(100)와의 사이에서 설정되어있는 제3암호키로 재 암호화하고, 사용자 단말기(110)로부터 수신하는 데이터를 상기 제3암호키로 복호화한 후 상기 제1암호키로 재 복호화한다. 이처럼 사용자 단말기(100)로 전송할 데이터를 재 암호화하여 통신에 있어서 보안성을 높일 수 있다.
다시 도 1을 참조하면, 인증 데이터베이스(130)는 전체 네트워크상에서 인증 서버(120) 및 VPN 서버(140)로부터 다양한 정보를 수신하여 저장한다. 앞서 설명한 바와 같이, 인증 서버(120)는 인증 데이터베이스(130)에 사용자 단말기(110)에서 전송된 인증 데이터를 수신하여 저장한다.
인증 데이터에는 VPN 서버(140)의 아이디, 사용자 단말기(110)의 아이디 및 VPN 서버(140)의 접속 암호가 포함된다. VPN 서버(140)는 인증 데이터베이스(130)에 저장된 인증 데이터를 기초로 사용자 단말기(110)를 인증할 수 있다. 또한 인증 서버(120)는 라이센스 키를 발급한 VPN 서버(140)의 아이디를 인증 데이터베이스(130)에 저장한다.
인증 데이터베이스(130)에는 VPN 서버(140)로부터 복수의 VPN 서버(140) 각각에 대응하여 접속이 허용된 적어도 하나의 사용자 단말기(110)의 정보가 연계되어 저장된다. 앞서 설명한 바와 같이, 연결관리부(450)는 이 정보를 이용하여 사용자 단말기(110)에 연결될 VPN 서버(140)를 결정할 수 있다. 또한 VPN 서버(140)는 VPN 서버(140)의 아이디를 포함하는 VPN 서버(140)의 정보를 인증 데이터베이스(130)에 저장한다.
한편 앞서 설명한 VPN 서버(140)의 식별정보, 하위 식별정보 및 접속이 허용된 적어도 하나의 사용자 단말기(110)의 정보도 인증 데이터베이스(130)에 저장된다. 이는 VPN 서버(140)로부터 전송되어 저장되거나 인증 데이터베이스(130) 구축 단계에서 사전에 저장될 수도 있다.
도 7은 가상사설망 서비스 장치(100)와 VPN 서버(140) 사이에서 제1VPN 터널이 형성되기까지의 과정에 대한 바람직한 실시예의 수행과정을 도시한 흐름도이다.
VPN 서버(140)는 인증 서버(120)로 라이센스 키 발급을 요청한다(S710). 이에 대응하여 인증 서버(120)는 라이센스 키를 발급하고 VPN 서버(140)로 전송한다. 인증 서버(120)는 발급한 라이센스 키를 갖고 VPN 서버(140)로 인증을 요청한다(S720). VPN 서버(140)는 라이센스 키를 이용하여 인증 서버(120)를 인증하고 제1공개키와 제1개인키를 생성한다(S730).
VPN 서버(140)는 생성한 제1공개키를 가상사설망 서비스 장치(100)에 등록한다(S740). 그 후, VPN 서버(140)는 제1개인키로 가상사설망 서비스 장치(100)에 접속하여 인증을 받는다(S750). 구체적으로, VPN 서버(140)는 사전에 설정된 제3암호키로 암호화하여 제1개인키를 전송한다. 그 후 가상사설망 서비스 장치(100)는 등록받은 제1공개키를 이용하여 VPN 서버(140)를 인증한다. 인증이 성공한 후 가상사설망 서비스 장치(100)와 VPN 서버(140) 사이에서는 제1VPN 터널이 생성되고, 이를 통해 제3암호키로 암호화된 데이터가 이동될 수 있다.
도 8은 사용자 단말기(110)와 가상사설망 서비스 장치(100) 사이에서 제2VPN 터널이 형성되기까지의 과정에 대한 바람직한 실시예의 수행과정을 도시한 흐름도이다.
사용자 단말기(110)가 VPN 서버(140)에 접속할 수 있는 VPN 클라이언트 프로그램을 실행한다(S810). VPN 클라이언트 프로그램이 실행되면 사용자 단말기(110)는 인증 데이터 및 인증 요청을 인증 서버(120)로 전송한다(S820). 인증 데이터에는 앞서 설명한 바와 같이, VPN 서버(140)의 아이디, 사용자 단말기(110) 아이디 및 VPN 서버(140)의 접속 암호가 포함된다.
인증 서버(120)는 수신한 인증 데이터를 인증 데이터베이스(130)에 저장하고, 인증 데이터에 포함된 VPN 서버(140)의 아이디로 VPN 서버(140)에 접속하여 사용자 단말기(110)에 대한 인증을 요청한다(S830). VPN 서버(140)는 인증 데이터베이스(130)에 저장된 인증 데이터를 기초로 사용자 단말기(110)를 인증한다(S840).
그 후 사용자 단말기(110)는 제2공개키와 제2개인키를 생성하고(S850), 제2공개키를 가상사설망 서비스 장치(100)에 등록한다(S860). 사용자 단말기(110)는 사전에 설정된 제2암호키로 제2개인키를 암호화하여 가상사설망 서비스 장치(100)로 전송한다. 가상사설망 서비스 장치(100)는 등록받은 제2공개키로 사용자 단말기(110)를 인증하고, 가상사설망 서비스 장치(100)와 사용자 단말기(110) 사이에 데이터가 송수신 되는 제2VPN 터널을 생성한다. 이 터널을 통해 가상사설망 서비스 장치(100)와 사용자 단말기(110) 사이에서는 제2암호키로 암호화된 데이터가 이동될 수 있다.
또한 사용자 단말기(110)는 제3공개키 및 제3개인키를 생성하고(S870), 제3공개키를 VPN 서버(140)에 등록한다(S880). 제3공개키는 VPN 서버(140)와 가상사설망 서비스 장치(100) 사이의 제1VPN 터널을 통해 VPN 서버(140)로 등록된다. 사용자 단말기(110)는 사전에 설정된 제1암호키로 VPN 서버(140)에 제3개인키를 암호화하여 전송한다. VPN 서버(140)는 등록받은 제3공개키로 사용자 단말기(110)를 인증한다.
제3공개키로 인증된 사용자 단말기(110)와 가상사설망 서비스 장치(100) 사이의 제2VPN 터널 및 VPN 서버(140)와 가상사설망 서비스 장치(100) 사이의 제1VPN 터널을 통해, 제1암호키로 암호화된 데이터가 송수신할 수 있다.
도 9는 본 발명에 따른 가상사설망 서비스 장치(100)로 복수의 고객을 관리하는 실시예를 나타낸 도면이다.
가상사설망 서비스 장치(100)는 고객별로 인증 과정을 수행하고, 데이터가 송수신하는 터널을 형성하여 인증된 VPN 경로를 제공할 수 있다. 즉, 고객 1의 사용자 단말기는 고객 1에 대한 인증된 VPN 경로를 이용하여 고객 1의 VPN 서버에 접속할 수 있으며, 고객 2에 대한 인증된 VPN 경로는 이용할 수 없다.
고객 2에 대한 인증된 VPN 경로에서는 고객 2의 사용자 단말기 및 고객 2의 VPN 서버 사이의 암호화 키를 사용하여 데이터 송수신이 이루어진다. 따라서 고객 1의 사용자 단말기는 이 경로에 접근할 수 없기에 고객별 보안성이 유지된다.
이러한 방식으로 시스템을 구축하는 경우 고객들은 보다 경제적으로 가상사설망 서비스 장치(100)를 도입할 수 있다. 또한 고객은 VPN 서버(140) 도입 후, 가상사설망 서비스 장치(100)의 인증만으로도 통신망 구축이 가능하다.
도 10은 본 발명에 따른 가상사설망 서비스 장치(100)로 기업 내 본사와 지사를 연결시키는 실시예를 나타낸 도면이다.
기존에는 본사와 지사의 통신망을 구축하기 위해서 각각의 VPN 서버(140)들을 연결해야만 했다. 이 경우에는 복잡한 네트워크 연결 및 방화벽 설정이 필요하다. 본 발명에 따른 가상사설망 서비스 장치(100)로 기업 내 본사와 지사를 연결하는 방식은, 각 지사의 VPN 서버가 아웃 바운드(out-bound) 방식으로 가상사설망 서비스 장치(100)에 인증받는 것만으로도 가능하다. 이를 통해 본사에 위치한 가상사설망 서비스 장치(100)를 중심으로 본사와 지사 간의 신뢰성 있는 연결이 가능하다.
또한 다수의 가상사설망 서비스 장치(100)가 연결되는 경우, 전체 가상사설망 서비스 장치(100)에 걸리는 부하가 최소화 되도록 연결 상태를 조절할 수 있다. 이는 사전에 인증 데이터베이스(130)에 연결될 사용자 단말기(110) 및 VPN 서버(140)의 정보를 부하가 최소화되도록 설정하여 저장할 수 있다. 또는 가상사설망 서비스 장치(100)를 관리하는 시스템을 두어 전체 연결 상태를 제어하게끔 할 수도 있다.
이상의 설명에서 '제1', '제2' 등의 용어는 다양한 구성요소들을 설명하기 위해 사용되었지만, 각각의 구성요소들은 이러한 용어들에 의해 한정되어서는 안 된다. 즉, '제1', '제2' 등의 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 목적으로 사용되었다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 '제1공개키'는 '제2공개키'로 명명될 수 있고, 유사하게 '제2공개키'도 '제1공개키'로 명명될 수 있다. 또한, '및/또는' 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함하는 의미로 사용되었다.
또한, 본 명세서에서 사용된 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도로 이해되어서는 안된다. 그리고, 단수의 표현은 문맥상 명백하게 다르게 해석되지 않는 한 복수의 표현을 포함한다. 나아가, 본 명세서에서 '포함하다', '가지다', '구비한다' 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이상에서 본 발명의 바람직한 실시예에 대해 도시하고 설명하였으나, 본 발명은 상술한 특정의 바람직한 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능한 것은 물론이고, 그와 같은 변경은 청구범위 기재의 범위 내에 있게 된다.

Claims (25)

  1. 사용자 단말기에 대해 사설망에의 접속을 제공하는 VPN(Virtual Private Network) 서버가 생성한 제1공개키 및 상기 사용자 단말기가 생성한 제2공개키가 저장되는 저장부;
    상기 제1공개키를 이용하여 상기 VPN 서버를 인증하고, 상기 제2공개키를 이용하여 상기 사용자 단말기를 인증하는 인증부; 및
    상기 인증부에 의해 인증된 VPN 서버와의 사이에서 데이터가 이동하는 제1VPN 터널을 생성하고, 상기 인증부에 의해 인증된 사용자 단말기와의 사이에서 데이터가 이동하는 제2VPN 터널을 생성하여, 상기 사용자 단말기와 상기 VPN 서버 사이에서 데이터의 송수신을 중계하는 터널관리부;를 포함하는 것을 특징으로 하는 가상사설망 서비스 장치.
  2. 제 1항에 있어서,
    상기 제1VPN 터널과 상기 제2VPN 터널을 통해 상기 사용자 단말기와 상기 VPN 서버 사이에 송수신 되는 데이터는 상기 사용자 단말기와 상기 VPN 서버 사이에서 설정되어있는 제1암호키로 암호화된 데이터인 것을 특징으로 하는 가상사설망 서비스 장치.
  3. 제 1항 또는 제2항에 있어서,
    상기 사용자 단말기로부터 수신된 데이터를 상기 사용자 단말기와의 사이에서 설정되어있는 제2암호키로 복호화한 후 상기 VPN 서버와의 사이에서 설정된 제3암호키로 암호화하여 상기 VPN 서버로 전송하고, 상기 VPN 서버로부터 수신된 데이터를 상기 제3암호키로 복호화한 후 상기 제2암호키로 암호화하여 상기 사용자 단말기로 전송하는 보안처리부;를 더 포함하는 것을 특징으로 하는 가상사설망 서비스 장치.
  4. 제 1항에 있어서,
    상기 사용자 단말기로부터 VPN 서버로의 접속 요청이 수신되면, 복수의 VPN 서버 각각에 대응하여 접속이 허용된 적어도 하나의 사용자 단말기의 정보가 연계되어 저장되어 있는 인증 데이터베이스의 정보를 기초로 상기 사용자 단말기와 연결될 VPN 서버를 결정하는 연결관리부;를 더 포함하는 것을 특징으로 하는 가상사설망 서비스 장치.
  5. 제 1항에 있어서,
    접속이 허용된 적어도 하나의 사용자 단말기의 정보가 동일한 복수의 VPN 서버는 동일한 식별정보를 가지며 서로 다른 상기 식별정보의 하위 식별정보를 갖는 경우, 상기 사용자 단말기로부터 VPN 서버로의 접속 요청이 수신되면 동일한 식별정보를 갖는 VPN 서버 간에 상기 사용자 단말기와의 접속에 의해 발생하는 부하가 균등하게 분배되도록 상기 사용자 단말기와 연결될 VPN 서버를 결정하는 연결관리부;를 더 포함하는 것을 특징으로 하는 가상사설망 서비스 장치.
  6. 제 1항에 있어서,
    상기 사용자 단말기로부터 VPN 서버로의 접속 요청이 수신되면, 상기 사용자 단말기의 라우팅 경로가 상기 사용자 단말기와 접속 가능한 VPN 서버와 상기 제1VPN 터널을 생성한 가상사설망 서비스 장치로 연결되도록 설정하는 라우팅부;를 더 포함하는 것을 특징으로 하는 가상사설망 서비스 장치.
  7. 제 1항에 있어서,
    상기 터널관리부는 상기 제2VPN 터널을 통해 상기 사용자 단말기가 상기 VPN 서버에 의해 인증받기 위해 생성한 제3공개키를 수신하고, 상기 제1VPN터널을 통해 상기 VPN 서버로 상기 제3공개키를 전송하는 것을 특징으로 하는 가상사설망 서비스 장치.
  8. 사용자 단말기에 대해 사설망에의 접속을 제공하는 VPN(Virtual Private Network) 서버가 생성한 제1공개키를 이용하여 상기 VPN 서버를 인증하고, 상기 사용자 단말기가 생성한 제2공개키를 이용하여 상기 사용자 단말기를 인증하는 인증단계; 및
    상기 인증단계에서 인증된 VPN 서버와의 사이에서 데이터가 이동하는 제1VPN 터널을 생성하고, 상기 인증단계에서 인증된 사용자 단말기와의 사이에서 데이터가 이동하는 제2VPN 터널을 생성하여, 상기 사용자 단말기와 상기 VPN 서버 사이에서 데이터의 송수신을 중계하는 터널관리단계;를 포함하는 것을 특징으로 하는 가상사설망 서비스 방법.
  9. 제 8항에 있어서,
    상기 제1VPN 터널과 상기 제2VPN 터널을 통해 상기 사용자 단말기와 상기 VPN 서버 사이에 송수신 되는 데이터는 상기 사용자 단말기와 상기 VPN 서버 사이에서 설정되어있는 제1암호키로 암호화된 데이터인 것을 특징으로 하는 가상사설망 서비스 방법.
  10. 제 8항 또는 제 9항에 있어서,
    상기 사용자 단말기로부터 수신된 데이터를 상기 사용자 단말기와의 사이에서 설정되어있는 제2암호키로 복호화한 후 상기 VPN 서버와의 사이에서 설정된 제3암호키로 암호화하여 상기 VPN 서버로 전송하고, 상기 VPN 서버로부터 수신된 데이터를 상기 제3암호키로 복호화한 후 상기 제2암호키로 암호화하여 상기 사용자 단말기로 전송하는 보안처리단계;를 더 포함하는 것을 특징으로 하는 가상사설망 서비스 방법.
  11. 제 8항에 있어서,
    상기 사용자 단말기로부터 VPN 서버로의 접속 요청이 수신되면, 복수의 VPN 서버 각각에 대응하여 접속이 허용된 적어도 하나의 사용자 단말기의 정보가 연계되어 저장되어 있는 인증 데이터베이스의 정보를 기초로 상기 사용자 단말기와 연결될 VPN 서버를 결정하는 연결관리단계;를 더 포함하는 것을 특징으로 하는 가상사설망 서비스 방법.
  12. 제 8항에 있어서,
    접속이 허용된 적어도 하나의 사용자 단말기의 정보가 동일한 복수의 VPN 서버는 동일한 식별정보를 가지며 서로 다른 상기 식별정보의 하위 식별정보를 갖는 경우, 상기 사용자 단말기로부터 VPN 서버로의 접속 요청이 수신되면 동일한 식별정보를 갖는 VPN 서버 간에 상기 사용자 단말기와의 접속에 의해 발생하는 부하가 균등하게 분배되도록 상기 사용자 단말기와 연결될 VPN 서버를 결정하는 연결관리단계;를 더 포함하는 것을 특징으로 하는 가상사설망 서비스 방법.
  13. 제 8항에 있어서,
    상기 사용자 단말기로부터 VPN 서버로의 접속 요청이 수신되면, 상기 사용자 단말기의 라우팅 경로가 상기 사용자 단말기와 접속 가능한 VPN 서버와 상기 제1VPN 터널을 생성한 가상사설망 서비스 장치로 연결되도록 설정하는 라우팅단계;를 더 포함하는 것을 특징으로 하는 가상사설망 서비스 방법.
  14. 제 8항에 있어서,
    상기 터널관리단계에서는 상기 제2VPN 터널을 통해 상기 사용자 단말기가 상기 VPN 서버에 의해 인증받기 위해 생성한 제3공개키를 수신하고, 상기 제1VPN터널을 통해 상기 VPN 서버로 상기 제3공개키를 전송하는 것을 특징으로 하는 가상사설망 서비스 방법.
  15. 제 8항 또는 제 9항에 기재된 가상사설망 서비스 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  16. 사설망에의 접속을 제공하는 VPN 서버에 접속에 접속하기 위해 사용자 단말기에서 수행되는 VPN 서버 접속 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 있어서,
    (a) 상기 VPN 서버로 인증을 요청하고 상기 VPN 서버에 의해 인증이 성공된 경우, 제1공개키와 제1개인키, 그리고 제2공개키와 제2개인키를 생성하는 단계;
    (b) 상기 제1공개키를 상기 VPN 서버와의 사이에서 데이터의 송수신을 중계하는 가상사설망 서비스 장치에 등록하고, 상기 가상사설망 서비스 장치에 의해 상기 제1공개키로 인증받는 단계;
    (c) 상기 제2공개키를 상기 VPN 서버에 등록하고, 상기 VPN 서버에 의해 상기 제2공개키로 인증받는 단계; 및
    (d) 상기 가상사설망 서비스 장치와의 사이에서 데이터가 이동하는 제1VPN 터널과 상기 가상사설망 서비스 장치와 상기 VPN 서버 사이에서 데이터가 이동하는 제2VPN 터널을 통해, 상기 VPN 서버와 데이터를 송수신하는 단계;를 포함하는 VPN 서버 접속 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  17. 제 16항에 있어서,
    상기 (d) 단계에서 상기 VPN 서버로 전송하는 데이터를 상기 VPN 서버와의 사이에서 설정되어있는 제1암호키로 암호화하고, 상기 VPN 서버로부터 수신하는 데이터를 상기 제1암호키로 복호화하는 것을 특징으로 하는 VPN 서버 접속 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  18. 제 16항에 있어서,
    상기 (d) 단계에서 상기 VPN 서버로 전송하는 데이터를 상기 VPN 서버와의 사이에서 설정되어있는 제1암호키로 암호화한 후 상기 가상사설망 서비스 장치와의 사이에서 설정되어있는 제2암호키로 재 암호화하고, 상기 VPN 서버로부터 수신하는 데이터를 상기 제2암호키로 복호화한 후 상기 제1암호키로 재 복호화하는 것을 특징으로 하는 VPN 서버 접속 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  19. 사용자 단말기에 대해 사설망에의 접속을 제공하는 VPN 제공장치에 있어서,
    제1공개키 및 제1개인키를 생성한 후, 상기 제1공개키를 상기 사용자 단말기와의 사이에서 데이터의 송수신을 중계하는 가상사설망 서비스 장치에 등록하고, 상기 사용자 단말기가 생성한 제2공개키를 등록받는 VPN 키관리부;
    상기 제2공개키에 의해 상기 사용자 단말기를 인증하는 VPN 인증부; 및
    상기 제1공개키로 상기 VPN 장치를 인증한 상기 가상사설망 서비스 장치와의 사이에서 데이터가 이동하는 제1VPN 터널과 상기 VPN 인증부에 의해 인증된 사용자 단말기와 상기 가상사설망 서비스 장치 사이에서 데이터가 이동하는 제2VPN 터널을 통해, 상기 사용자 단말기와 데이터를 송수신하는 VPN 데이터 송수신부;를 포함하는 것을 특징으로 하는 VPN 제공장치.
  20. 제 19항에 있어서,
    상기 VPN 데이터 송수신부를 통해 상기 사용자 단말기로 전송하는 데이터를 상기 사용자 단말기와의 사이에서 설정되어있는 제1암호키로 암호화하고, 상기 사용자 단말기로부터 수신하는 데이터를 상기 제1암호키로 복호화하는 것을 특징으로 하는 VPN 제공장치.
  21. 제 19항에 있어서,
    상기 사용자 단말기로 전송하는 데이터를 상기 사용자 단말기와의 사이에서 설정되어있는 제1암호키로 암호화한 후 상기 가상사설망 서비스 장치와의 사이에서 설정되어있는 제2암호키로 재 암호화하고, 상기 사용자 단말기로부터 수신하는 데이터를 상기 제2암호키로 복호화한 후 상기 제1암호키로 재 복호화하는 VPN 보안처리부;를 더 포함하는 것을 특징으로 하는 VPN 제공장치.
  22. 사용자 단말기에 대해 사설망에의 접속을 제공하는 VPN 제공방법에 있어서,
    제1공개키 및 제1개인키를 생성한 후, 상기 제1공개키를 상기 사용자 단말기와의 사이에서 데이터의 송수신을 중계하는 가상사설망 서비스 장치에 등록하고, 상기 사용자 단말기가 생성한 제2공개키를 등록받는 VPN 키관리단계;
    상기 제2공개키에 의해 상기 사용자 단말기를 인증하는 VPN 인증단계; 및
    상기 제1공개키로 상기 VPN 장치를 인증한 상기 가상사설망 서비스 장치와의 사이에서 데이터가 이동하는 제1VPN 터널과 상기 VPN 인증단계에서 인증된 사용자 단말기와 상기 가상사설망 서비스 장치 사이에서 데이터가 이동하는 제2VPN 터널을 통해, 상기 사용자 단말기와 데이터를 송수신하는 VPN 데이터 송수신단계;를 포함하는 것을 특징으로 하는 VPN 제공방법.
  23. 제 22항에 있어서,
    상기 VPN 데이터 송수신단계를 통해 상기 사용자 단말기로 전송하는 데이터를 상기 사용자 단말기와의 사이에서 설정되어있는 제1암호키로 암호화하고, 상기 사용자 단말기로부터 수신하는 데이터를 상기 제1암호키로 복호화하는 것을 특징으로 하는 VPN 제공방법.
  24. 제 22항에 있어서,
    상기 사용자 단말기로 전송하는 데이터를 상기 사용자 단말기와의 사이에서 설정되어있는 제1암호키로 암호화한 후 상기 가상사설망 서비스 장치와의 사이에서 설정되어있는 제2암호키로 재 암호화하고, 상기 사용자 단말기로부터 수신하는 데이터를 상기 제2암호키로 복호화한 후 상기 제1암호키로 재 복호화하는 VPN 보안처리단계;를 더 포함하는 것을 특징으로 하는 VPN 제공방법.
  25. 제 22항 내지 제 24항 중 어느 한 항에 기재된 VPN 제공방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020110098387A 2011-09-28 2011-09-28 상호 인증 기반의 가상사설망 서비스 장치 및 방법 KR101303120B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020110098387A KR101303120B1 (ko) 2011-09-28 2011-09-28 상호 인증 기반의 가상사설망 서비스 장치 및 방법
US13/306,249 US8959614B2 (en) 2011-09-28 2011-11-29 Apparatus and method for providing virtual private network service based on mutual authentication
EP12186304.7A EP2575297A3 (en) 2011-09-28 2012-09-27 Apparatus and method for providing virtual private network service based on mutual authentication
CN201210371379.8A CN103036867B (zh) 2011-09-28 2012-09-28 基于相互认证的虚拟专用网络服务设备和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110098387A KR101303120B1 (ko) 2011-09-28 2011-09-28 상호 인증 기반의 가상사설망 서비스 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20130034401A true KR20130034401A (ko) 2013-04-05
KR101303120B1 KR101303120B1 (ko) 2013-09-09

Family

ID=47191500

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110098387A KR101303120B1 (ko) 2011-09-28 2011-09-28 상호 인증 기반의 가상사설망 서비스 장치 및 방법

Country Status (4)

Country Link
US (1) US8959614B2 (ko)
EP (1) EP2575297A3 (ko)
KR (1) KR101303120B1 (ko)
CN (1) CN103036867B (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102444356B1 (ko) * 2021-11-19 2022-09-16 주식회사 제론소프트엔 보안 강화 인트라넷 접속 방법 및 시스템

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7127520B2 (en) 2002-06-28 2006-10-24 Streamserve Method and system for transforming input data streams
FI125972B (fi) * 2012-01-09 2016-05-13 Tosibox Oy Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi
JP5762991B2 (ja) * 2012-02-03 2015-08-12 株式会社東芝 通信装置、サーバ装置、中継装置、およびプログラム
KR101946874B1 (ko) * 2012-09-03 2019-02-13 엘지이노텍 주식회사 프로그램 인증 시스템.
KR102108000B1 (ko) * 2013-12-23 2020-05-28 삼성에스디에스 주식회사 가상 사설망 접속 제어 시스템 및 방법
CN106537885A (zh) * 2014-07-18 2017-03-22 诺基亚技术有限公司 接入节点
EP3200420B1 (en) * 2016-01-29 2021-03-03 Vodafone GmbH Providing communications security to an end-to-end communication connection
CN105656624A (zh) * 2016-02-29 2016-06-08 浪潮(北京)电子信息产业有限公司 一种客户端、服务器、数据传输方法与系统
US10534843B2 (en) 2016-05-27 2020-01-14 Open Text Sa Ulc Document architecture with efficient storage
US10348698B2 (en) * 2016-09-15 2019-07-09 Nagravision S.A. Methods and systems for link-based enforcement of routing of communication sessions via authorized media relays
US10764263B2 (en) * 2016-11-28 2020-09-01 Ssh Communications Security Oyj Authentication of users in a computer network
EP3379794B1 (en) * 2017-03-20 2019-12-04 LINKK spolka z ograniczona odpowiedzialnoscia Method and system for realising encrypted connection with a local area network
JP6577546B2 (ja) 2017-09-25 2019-09-18 株式会社東芝 リモートアクセス制御システム
CN109639553B (zh) * 2018-12-25 2021-04-27 杭州迪普科技股份有限公司 IPSec协商方法和装置
CN111538781B (zh) * 2020-04-13 2023-01-13 深圳创客区块链技术有限公司 区块链跨链密钥安全访问的方法、装置及存储介质
CN113347071B (zh) * 2021-05-20 2022-07-05 杭州快越科技有限公司 动态虚拟专用网络vpn建立方法、装置及设备
CN113691545B (zh) * 2021-08-26 2023-03-24 中国电信股份有限公司 路由的控制方法、装置、电子设备及计算机可读介质
CN114499954B (zh) * 2021-12-21 2024-05-10 海光信息技术股份有限公司 一种用于敏感数据的管理装置和方法
US11888793B2 (en) 2022-02-22 2024-01-30 Open Text Holdings, Inc. Systems and methods for intelligent delivery of communications
US11552932B1 (en) * 2022-02-24 2023-01-10 Oversee, UAB Identifying virtual private network servers for user devices
WO2023175915A1 (ja) * 2022-03-18 2023-09-21 日本電気株式会社 セッション制御装置、セッション制御システム、セッション制御方法、及び非一時的なコンピュータ可読媒体
US11652800B1 (en) * 2022-10-03 2023-05-16 Uab 360 It Secure connections between servers in a virtual private network
CN116781428B (zh) * 2023-08-24 2023-11-07 湖南马栏山视频先进技术研究院有限公司 一种基于虚拟专用网络vpn流量的转发系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7984157B2 (en) 2002-02-26 2011-07-19 Citrix Systems, Inc. Persistent and reliable session securely traversing network components using an encapsulating protocol
KR100471790B1 (ko) * 2003-01-14 2005-03-10 어울림정보기술주식회사 다중 터널 브이피엔 게이트웨이를 이용한 데이터 전송 장치
JP4173517B2 (ja) * 2003-03-05 2008-10-29 インテリシンク コーポレイション コンピューティング・ネットワークとリモート装置との間のバーチャル・プライベート・ネットワーク
CN100456739C (zh) * 2003-07-04 2009-01-28 日本电信电话株式会社 远程访问虚拟专用网络中介方法和中介装置
JP4492248B2 (ja) * 2004-08-04 2010-06-30 富士ゼロックス株式会社 ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法
JP4707992B2 (ja) * 2004-10-22 2011-06-22 富士通株式会社 暗号化通信システム
US9137043B2 (en) * 2006-06-27 2015-09-15 International Business Machines Corporation System, method and program for determining a network path by which to send a message
JP4802263B2 (ja) * 2009-07-17 2011-10-26 株式会社日立製作所 暗号化通信システム及びゲートウェイ装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102444356B1 (ko) * 2021-11-19 2022-09-16 주식회사 제론소프트엔 보안 강화 인트라넷 접속 방법 및 시스템

Also Published As

Publication number Publication date
CN103036867A (zh) 2013-04-10
EP2575297A2 (en) 2013-04-03
US20130081132A1 (en) 2013-03-28
EP2575297A3 (en) 2015-02-11
CN103036867B (zh) 2016-04-13
US8959614B2 (en) 2015-02-17
KR101303120B1 (ko) 2013-09-09

Similar Documents

Publication Publication Date Title
KR101303120B1 (ko) 상호 인증 기반의 가상사설망 서비스 장치 및 방법
US10667131B2 (en) Method for connecting network access device to wireless network access point, network access device, and application server
US7913080B2 (en) Setting information distribution apparatus, method, program, and medium, authentication setting transfer apparatus, method, program, and medium, and setting information reception program
US20190052626A1 (en) Generation and distribution of secure or cryptographic material
EP2632108B1 (en) Method and system for secure communication
US8966260B1 (en) Credentials management in large scale virtual private network deployment
US20130332724A1 (en) User-Space Enabled Virtual Private Network
US9219709B2 (en) Multi-wrapped virtual private network
US20180375648A1 (en) Systems and methods for data encryption for cloud services
US9124574B2 (en) Secure non-geospatially derived device presence information
US9148757B2 (en) Method for tracking a mobile device onto a remote displaying unit
US20150249639A1 (en) Method and devices for registering a client to a server
WO2022100356A1 (zh) 身份认证系统、方法、装置、设备及计算机可读存储介质
US20140282999A1 (en) Secure access to applications behind firewall
US10158610B2 (en) Secure application communication system
US20230198963A1 (en) Method and system for satellite tasking
EP3367607A1 (en) Communication device, communication method and computer program
JP5388088B2 (ja) 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。
JP4775154B2 (ja) 通信システム、端末装置、プログラム、及び、通信方法
JP7107241B2 (ja) 鍵共有方法、鍵共有システム、エージェント端末
EP4358473A1 (en) System and method for safely relaying and filtering kerberos authentication and authorization requests across network boundaries
US20240137355A1 (en) System and method for safely relaying and filtering kerberos authentication and authorization requests across network boundaries
US11153288B2 (en) System and method for monitoring leakage of internal information by analyzing encrypted traffic
JP6495157B2 (ja) 通信システム、及び通信方法
KR101433538B1 (ko) Nfc 및 음향신호를 이용하여 데이터를 안전하게 공유하는 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160701

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170629

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180625

Year of fee payment: 6