KR20150060050A - 네트워크 장치 및 네트워크 장치의 터널 형성 방법 - Google Patents

네트워크 장치 및 네트워크 장치의 터널 형성 방법 Download PDF

Info

Publication number
KR20150060050A
KR20150060050A KR1020130143979A KR20130143979A KR20150060050A KR 20150060050 A KR20150060050 A KR 20150060050A KR 1020130143979 A KR1020130143979 A KR 1020130143979A KR 20130143979 A KR20130143979 A KR 20130143979A KR 20150060050 A KR20150060050 A KR 20150060050A
Authority
KR
South Korea
Prior art keywords
tunnel
network
server
network device
authentication
Prior art date
Application number
KR1020130143979A
Other languages
English (en)
Inventor
김영민
김학서
전기철
정부금
박혜숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130143979A priority Critical patent/KR20150060050A/ko
Publication of KR20150060050A publication Critical patent/KR20150060050A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 장치에 관한 것이다. 본 발명의 네트워크 장치는, 서비스 품질 정보를 저장하는 서비스 관리 모듈, 식별자 및 암호를 이용하여 인증을 수행하는 사용자 인증 모듈, 인증이 성공하면 서비스 품질 정보에 기반하여 네트워크 보안을 제공하는 외부 터널을 형성하는 외부 터널 관리 모듈, 그리고 인증이 성공하면 데이터 보안을 제공하는 내부 터널을 형성하는 내부 터널 관리 모듈로 구성된다.

Description

네트워크 장치 및 네트워크 장치의 터널 형성 방법{NETWORK DEVICE AND METHOD OF FORMING TUNNEL OF NETWORK DEVICE}
본 발명은 네트워크에 관한 것으로, 더 상세하게는 네트워크 장치 및 네트워크 장치의 터널 형성 방법에 관한 것이다.
인터넷과 같은 네트워크의 사용 빈도가 증가하면서, 일상 생활에서 사용되는 전자장치들의 대부분이 네트워크에 연결되어 사용되고 있다. 네트워크의 사용은 사용자들 사이의 정보의 교환을 용이하게 하는 점에서, 많은 편익을 제공하고 있다.
네트워크의 사용이 보편화되면서, 클라우드 컴퓨팅이 도입되고 있다. 클라우드 컴퓨팅은, 컴퓨터와 같은 고성능 전자장치를 설치하는 대신, 서버로부터 네트워크를 통해 리소스를 할당받아 사용하는 컴퓨팅 방법이다. 클라우드 컴퓨팅이 도입되면, 고성능 전자장치를 설치하여야 하는 비용 및 공간을 감소시킬 수 있고, 점유하는 리소스의 양의 변경이 용이하다는 점에서, 큰 편익을 제공한다.
그러나, 클라우드 컴퓨팅은 서로 다른 사용자들에게 네트워크를 통해 리소스를 할당하는 만큼, 높은 보안성이 요구된다. 보안성에 대한 요구가 충족되지 않아, 클라우드 컴퓨팅이 기업 및 공공기관과 같은 큰 규모의 시설에 적용되고 있지 않다. 따라서, 향상된 보안 터널을 형성하는 방법 및 장치가 지속적으로 요구되고 있다.
본 발명의 목적은, 향상된 보안성을 갖는 네트워크 장치 및 네트워크 장치의 터널 형성 방법을 제공하는 데에 있다.
본 발명의 실시 예에 따른 네트워크 장치는, 서비스 품질(QoS) 정보를 저장하도록 구성되는 서비스 관리 모듈; 식별자 및 암호를 수신하고, 상기 수신된 식별자 및 암호를 이용하여 인증을 수행하도록 구성되는 사용자 인증 모듈; 상기 사용자 인증 모듈에 의한 인증이 성공하면, 상기 서비스 관리 모듈에 저장된 서비스 품질 정보에 기반하여, 네트워크 보안을 제공하는 외부 터널을 형성하는 외부 터널 관리 모듈; 그리고 상기 사용자 인증 모듈에 의한 인증이 성공하면, 데이터 보안을 제공하는 내부 터널을 형성하는 내부 터널 관리 모듈을 포함한다.
실시 예로서, 상기 서비스 관리 모듈은, 서버로부터 상기 서비스 품질 정보를 수신하여 저장하도록 구성된다.
실시 예로서, 상기 네트워크 장치는, 상기 서버와 직접 또는 공용 인터넷 네트워크와 분리된 보안 네트워크를 통해 연결된다.
실시 예로서, 상기 사용자 인증 모듈은, 상기 수신된 식별자 및 암호를 서버로 전송하고, 상기 서버로부터 인증 성공을 가리키는 메시지가 수신되면, 인증이 성공한 것으로 판별한다.
실시 예로서, 상기 사용자 인증 모듈은, 상기 서버로부터 인증 실패를 가리키는 메시지가 수신되면, 상기 수신된 식별자 및 암호에 대응하는 주소와의 통신을 거부한다.
실시 예로서, 상기 외부 터널 관리 모듈은, 상기 사용자 인증 모듈에 의한 인증이 성공하면, 상기 서비스 품질 정보에 기반하여 상기 수신된 식별자 및 암호에 대응하는 주소와의 가상 네트워크를 네트워크 서버에 요청하도록 구성된다.
실시 예로서, 상기 주소와의 사이에 존재하는 네트워크가 둘 이상일 때, 상기 외부 터널 관리 모듈은 상기 둘 이상의 네트워크들의 네트워크 서버들에 상기 주소와의 가상 네트워크를 요청하도록 구성된다.
실시 예로서, 상기 주소는 상기 수신된 식별자 및 암호를 전송한 단말의 주소이다.
실시 예로서, 상기 주소는 상기 수신된 식별자 및 암호를 전송한 단말과 연결된 게이트웨이의 주소이다.
실시 예로서, 상기 내부 터널 관리 모듈은, 상기 사용자 인증 모듈에 의한 인증이 성공하면, 상기 수신된 식별자 및 암호에 대응하는 주소의 장치와 암호화 방법을 설정한다.
실시 예로서, 상기 암호화 방법은, IPsec (IP Security)를 포함한다.
실시 예로서, 상기 암호화 방법은, 암호 알고리즘의 종류, 키 교환 방법 및 키 교환 주기 중 적어도 하나를 포함한다.
본 발명의 실시 예에 따른 네트워크 장치의 터널 형성 방법은, 내부 터널 정보 및 외부 터널 정보를 저장하는 단계; 식별자 및 암호를 포함하는 통신 요청을 수신하고, 상기 수신된 식별자 및 암호를 이용하여 인증을 수행하는 단계; 상기 인증이 성공하면, 상기 외부 터널 정보에 기반하여, 네트워크 보안을 제공하는 외부 터널을 상기 수신된 식별자 및 암호에 대응하는 주소와 형성하는 단계; 그리고 상기 인증이 성공하면, 데이터 보안을 제공하는 내부 터널을 상기 주소와 형성하는 단계를 포함한다.
실시 예로서, 상기 내부 터널은 상기 주소와 연결되는 단일 터널로 형성되고, 상기 외부 터널은 상기 주소와의 사이에 존재하는 네트워크들에 각각 대응하는 터널들을 포함한다.
실시 예로서, 상기 터널들은 이종의 터널들을 포함한다.
실시 예로서, 상기 내부 터널은 IPsec (IP security)를 포함한다.
실시 예로서, 상기 외부 터널은 가상 네트워크를 포함한다.
실시 예로서, 상기 네트워크 장치는 공용 인터넷 네트워크와 분리된 보안 네트워크를 통해 서버와 연결되고, 상기 서버로부터 상기 외부 터널 정보를 수신하여 저장한다.
실시 예로서, 상기 보안 네트워크는 기업 네트워크 또는 공용 클라우드 네트워크를 포함한다.
본 발명에 따르면, 사용자 단말 및 서버 사이에 데이터 보안을 제공하는 내부 터널 및 네트워크 보안을 제공하는 외부 터널이 형성된다. 따라서, 향상된 보안성을 갖는 네트워크 장치 및 네트워크 장치의 터널 형성 방법이 제공된다.
도 1은 일 실시 예에 따른 네트워크 시스템을 보여준다.
도 2는 본 발명의 실시 예에 따른 네트워크 장치를 보여주는 블록도이다.
도 3은 본 발명의 실시 예에 따른 터널 형성 방법을 보여주는 순서도이다.
도 4는 본 발명의 실시 예에 따른 네트워크 장치가 적용된 네트워크 시스템을 보여준다.
도 5는 네트워크 장치에 의해 서버와 단말 사이에 내부 터널 및 외부 터널을 포함하는 보안 터널이 형성되는 과정을 보여준다.
도 6은 본 발명의 실시 예에 따른 네트워크 장치가 적용된 네트워크 시스템의 다른 예를 보여준다.
이하에서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 실시 예를 첨부된 도면을 참조하여 설명하기로 한다.
도 1은 일 실시 예에 따른 네트워크 시스템(10)을 보여준다. 도 1을 참조하면, 네트워크 시스템(10)은 공용 인터넷 네트워크(20), 기업 네트워크(30), 단말(40), 방화벽(50), 제 1 서버(60), 제 2 서버(70), 제 3 서버(80), 그리고 게이트웨이들(90)을 포함한다.
단말(40)은 게이트웨이(90)를 통해 공용 인터넷 네트워크(20)에 접속할 수 있다. 공용 인터넷 네트워크(20)는 방화벽(50) 및 게이트웨이(90)를 통해 기업 네트워크(30)와 연결될 수 있다. 기업 네트워크(30)는 제 1 내지 제 3 서버들(60, 70, 80)과 연결될 수 있다.
방화벽(50)은 통신을 모니터하고, 악성 데이터 및 공격을 차단하는 보안 장비일 수 있다.
예시적으로, 제 1 서버(60)는 사내 게시판과 같이, 상대적으로 낮은 보안이 요구되는 콘텐츠를 관리하는 서버일 수 있다. 제 2 및 제 3 서버(70, 80)는 자료실, 문서함 등과 같이 상대적으로 높은 보안이 요구되는 콘텐츠를 관리하는 서버들일 수 있다.
단말(40)은 공용 인터넷 네트워크(20)를 통해 기업 네트워크(30)에 원격으로 접속할 수 있다. 단말(40)은 기업 네트워크(30)에 접근할 수 있는 권한을 가질 수 있다.
방화벽(50)은 기업 네트워크(30)와 제 1 내지 제 3 서버들(60, 70, 80)을 외부의 공격으로부터 보호하기 위해 제공될 수 있다. 방화벽(50)은 권한을 가진 단말(40)의 접근은 허용하고, 권한을 갖지 않은 공격은 차단할 수 있다.
방화벽(50)에 의해 권한을 갖지 않은 공격이 차단된다고 하더라도, 권한을 가진 단말(40)로부터 전송되는 패킷이 해킹되거나 악성 코드에 오염되는 것은 방화벽(50)에 의해 차단되기 어렵다. 이로 인해, 통상적으로, 낮은 보안이 요구되는 제 1 서버(60)로의 원격 접근은 허용되더라도, 높은 보안이 요구되는 제 2 및 제 3 서버들(70, 80)로의 원격 접근은 차단될 수 있다. 즉, 방화벽(50)이 제공되더라도, 기업 네트워크(30) 및 제 1 내지 제 3 서버들(60, 70, 80)에 대한 원격 접근은 제한적으로만 허용될 수 있다. 원격 접근이 제한적으로만 허용되면, 클라우드 컴퓨팅이 적용될 수 없다.
이와 같은 문제를 해결하기 위하여, 본 발명은 공용 네트워크에 높은 보안성을 갖는 터널을 형성하는 네트워크 장치 및 네트워크 장치의 터널 형성 방법을 제공한다. 본 발명에 따르면, 단말과 서버 사이에 공용 네트워크를 통해 수행되는 통신의 보안성이 향상되므로, 기업 네트워크(30) 및 제 1 내지 제 3 서버들(60, 70, 80)에 대한 원격 접근이 허용되고, 클라우드 컴퓨팅이 실현될 수 있다.
도 2는 본 발명의 실시 예에 따른 네트워크 장치(100)를 보여주는 블록도이다. 도 2를 참조하면, 네트워크 장치(100)는 서비스 제어부(110) 및 터널 제어부(120)를 포함한다. 서비스 제어부(110)는 네트워크 장치(100)가 터널을 형성할 지, 그리고 터널을 어떻게 형성할 지를 결정할 수 있다. 터널 제어부(120)는 터널을 형성 및 관리할 수 있다.
서비스 제어부(110)는 서비스 관리 모듈(111) 및 사용자 인증 모듈(113)을 포함한다. 서비스 관리 모듈(111)은 네트워크 장치(100)가 외부 네트워크와 형성하는 터널에 대한 정보를 저장할 수 있다. 예를 들어, 서비스 관리 모듈(111)은 네트워크 장치(100)가 형성하는 외부 터널에 대한 정보, 더 상세하게는 외부 터널의 서비스 품질(QoS)에 대한 정보를 저장할 수 있다. 서비스 관리 모듈(111)은 외부 서버로부터 외부 터널에 대한 정보를 수신하여 저장할 수 있다. 서비스 관리 모듈(111)은 외부 터널의 지연, 대역 등에 대한 정보를 저장할 수 있다. 서비스 관리 모듈(111)은 데이터의 암호화를 위해 필요한 암호화 키를 관리할 수 있다.
사용자 인증 모듈(113)은 외부로부터 수신되는 식별자 및 암호를 이용하여 사용자 인증을 수행할 수 있다. 예를 들어, 사용자 인증 모듈(113)은 네트워크를 통해 식별자 및 암호를 수신할 수 있다. 사용자 인증 모듈(113)은 수신된 식별자 및 암호를 외부 서버로 전송할 수 있다. 사용자 인증 모듈(113)은 외부 서버로부터 인증 결과를 수신함으로써, 인증을 수행할 수 있다.
터널 제어부(120)는 내부 터널 관리 모듈(121) 및 외부 터널 관리 모듈(123)을 포함한다. 내부 터널 관리 모듈(121)은 네트워크 장치(100)와 외부 단말 사이에 내부 터널을 형성 및 관리할 수 있다. 내부 터널은 데이터 암호화에 기반한 데이터 보안을 제공할 수 있다. 내부 터널 관리 모듈(121)은 외부 단말과 교환되는 데이터를 암호화 및 복호화할 수 있다.
외부 터널 관리 모듈(123)은 네트워크 장치(100)와 외부 단말 사이에 외부 터널을 형성 및 관리할 수 있다. 외부 터널은 가상 네트워크에 기반한 네트워크 보안을 제공할 수 있다. 외부 터널 관리 모듈(123)은 외부 단말과의 사이에 가상 네트워크를 형성할 수 있다.
도 3은 본 발명의 실시 예에 따른 터널 형성 방법을 보여주는 순서도이다. 예시적으로, 도 2의 네트워크 장치(100)의 터널 형성 방법이 도 3에 도시된다. 도 2 및 도 3을 참조하면, S110 단계에서, 내부 터널 정보 및 외부 터널 정보가 저장된다. 내부 터널 정보 및 외부 터널 정보는 서비스 관리 모듈(111)에 저장될 수 있다. 네트워크 장치(100)는 사용자로부터 직접 외부 터널 정보 및 외부 터널 정보를 수신하여 저장할 수 있다. 네트워크 장치(100)는 외부 서버로부터 내부 터널 정보 및 외부 터널 정보를 수신하여 저장할 수 있다. 예를 들어, 외부 서버는 네트워크 장치(100)와 직접 또는 보안 네트워크를 통해 연결된 서버일 수 있다. 외부 서버는, 네트워크 장치(100)가 외부 단말과의 사이에 터널을 형성하고자 하는 서버일 수 있다.
S120 단계에서, 통신 요청이 수신되고 인증이 수행된다. 네트워크 장치(100)는 외부 단말로부터 네트워크를 통해 식별자 및 암호를 포함하는 통신 요청을 수신할 수 있다. 네트워크 장치(100)는 수신된 식별자 및 암호를 이용하여 인증을 수행할 수 있다. 예를 들어, 네트워크 장치(100)는 외부 서버로 식별자 및 암호를 전송하고, 서버로부터 인증 결과를 수신할 수 있다. 인증은 사용자 인증 모듈(113)에 의해 수행될 수 있다. 인증이 실패하면, 식별자 및 암호를 전송한 단말과의 통신은 거부된다. 인증이 성공하면, S130 단계 및 S140 단계가 수행될 수 있다.
S130 단계에서, 외부 터널 정보에 따라 외부 터널이 생성된다. 외부 터널 관리 모듈(123)은 서비스 관리 모듈(111)에 저장되어 있는 서비스 품질(QoS)의 정보에 기반하여, 외부 터널을 형성할 수 있다. 외부 터널 관리 모듈(123)은 서비스 품질(QoS)을 충족하는 가상 네트워크를 네트워크 서버에 요청할 수 있다. 네트워크 장치(100)가 둘 이상의 네트워크들을 통해 식별자 및 암호를 전송한 단말과 연결되어 있는 경우, 외부 터널 관리 모듈(123)은 둘 이상의 네트워크들에 가상 네트워크를 요청할 수 있다.
S140 단계에서, 내부 터널 정보에 따라 내부 터널이 생성된다. 내부 터널 관리 모듈(121)은 서비스 관리 모듈(111)에 저장되어 있는 내부 터널 정보에 기반하여, 내부 터널을 형성할 수 있다. 내부 터널 관리 모듈(121)은 서비스 관리 모듈(111)로부터 암호 알고리즘의 종류, 키 교환 방법 및 키 교환 주기에 대한 정보를 읽고, 읽어진 정보에 따라 내부 터널을 형성할 수 있다. 내부 터널 관리 보듈(121)은 식별자 및 암호를 전송한 단말, 또는 단말과 연결된 인입 게이트웨이와 협의하여 내부 터널을 형성할 수 있다.
외부 터널 및 내부 터널이 형성되면, 네트워크 장치(100)는 단말과 서버 사이의 통신을 허용할 수 있다. 예를 들어, 네트워크 장치(100)는 외부 터널 및 내부 터널을 이용하여 전송되는 패킷을 단말과 서버 사이에서 교환할 수 있다. 네트워크 장치(100)는 외부 터널 및 내부 터널을 이용하여 않고 전송되는 패킷을 단말과 서버 사이에서 차단할 수 있다.
도 4는 본 발명의 실시 예에 따른 네트워크 장치(100)가 적용된 네트워크 시스템(10')을 보여준다. 도 2 및 도 4를 참조하면, 네트워크 시스템(10')은 공용 인터넷 네트워크(20), 기업 네트워크(30), 단말(40), 제 1 내지 제 3 서버들(60, 70, 80), 게이트웨이(90), 그리고 본 발명의 실시 예에 따른 네트워크 장치(100)를 포함한다.
예시적으로, 도 4에서, 네트워크 장치(100)는 서버측 게이트웨이(예를 들어, 인입 게이트웨이)일 수 있다. 그러나, 네트워크 장치(100)는 서버측 게이트웨인 것으로 한정되지 않는다. 네트워크 장치(100)는 게이트웨이가 아닌 라우터, 스위치 등과 같은 다른 네트워크 장치일 포함될 수 있다. 네트워크 장치(100)는 독립적인 장치로 형성될 수 있다. 게이트웨이(90)는 단말(40)과 연결된 인입 게이트웨이일 수 있다.
도 5는 네트워크 장치(100)에 의해 서버와 단말 사이에 내부 터널 및 외부 터널을 포함하는 보안 터널이 형성되는 과정을 보여준다. 도 4 및 도 5를 참조하면, S210 단계에서, 서버(60, 70 또는 80)는 네트워크 장치(100)에 터널 정보를 등록할 수 있나. 예를 들어, 내부 터널 정보 및 외부 터널 정보가 네트워크 장치(100)에 등록될 수 있다. 서버(60, 70 또는 80)는 기업 네트워크(30)를 통해 네트워크 장치(100)에 연결된다. 기업 네트워크(30)는 공용 인터넷 네트워크(20)와 분리된 보안 네트워크일 수 있다.
S220 단계에서, 단말(40)은 네트워크 장치(100)로 연결 요청을 전송한다. 단말(40)은 서버(60, 70 또는 80)와 통신하고자 하는 단말일 수 있다. 단말(40)은 공용 인터넷 네트워크(20)를 연결 요청을 전송할 수 있다. 연결 요청은 단말(40) 또는 단말(40)의 사용자에 의해 설정된 식별자 및 암호를 포함할 수 있다. 단말(40)은 네트워크 장치(100) 또는 서버(60, 70 또는 80)를 목적지로 하여 통신 요청을 전송할 수 있다.
S230 단계에서, 네트워크 장치(100)는 서버(60, 70 또는 80)와 함께 인증을 수행할 수 있다. 네트워크 장치(100)는 단말(40)로부터 수신된 통신 요청으로부터 식별자 및 암호를 검출하고, 검출된 식별자 및 암호를 이용하여 서버(60, 70 또는 80)와 함께 인증을 수행할 수 있다. 예시적으로, 네트워크 장치(100)는 식별자 및 암호를 서버(60, 70 또는 80)로 전송하고, 서버(60, 70 또는 80)로부터 인증 결과를 수신할 수 있다. 서버(60, 70 또는 80)는 네트워크 장치(100)로부터 수신된 식별자 및 암호가 미리 등록된 식별자 및 암호와 일치할 때, 인증이 성공한 것으로 판별할 수 있다.
예시적으로, 네트워크 장치(100)는 식별자 및 암호 뿐 아니로, MAC 주소와 같이 단말(40)의 고유한 정보를 인증을 위해 더 전송할 수 있다. 네트워크 장치(100)는 수신된 고유한 정보를 이용하여, 서버(60, 70 또는 80)와 함께 인증을 수행할 수 있다.
예시적으로, 인증이 성공할 때까지, 네트워크 장치(100)는 서버(60, 70 또는 80)를 목적지로 하여 전송된 통신 요청을 서버(60, 70 또는 80)로 전달하지 않을 수 있다.
S240 단계에서, 네트워크 장치(100)는 게이트웨이(90)와 외부 터널을 생성한다. 네트워크 장치(100)는 S210 단계에서 저장된 외부 터널 정보를 이용하여, 게이트웨이(90)와 외부 터널을 생성할 수 있다. 예시적으로, 네트워크 장치(100)는 서비스 품질(QoS) 정보에 기반하여, 공용 인터넷 네트워크(20)에 연결된 네트워크 서버(미도시)에 외부 터널을 요청할 수 있다. 외부 터널은 가상 네트워크를 포함할 수 있다. 즉, 네트워크 장치(100)는 공용 인터넷 네트워크(20)에 연결된 가상 네트워크 서버(미도시)에 가상 네트워크를 요청할 수 있다. 가상 네트워크 서버에 의해 서비스 품질(QoS)을 만족하는 가상 네트워크가 생성되면, 네트워크 장치(100) 및 게이트웨이(90)는 가상 네트워크를 통해 서로 연결될 수 있다. 즉, 기업 네트워크(30)의 인입 게이트웨이인 네트워크 장치(100)와 단말(40)의 인입 게이트웨이(90) 사이에, 망 보안을 제공하는 외부 터널이 형성된다.
S250 단계에서, 네트워크 장치(100)는 게이트웨이(90)와 내부 터널 정보를 교환한다. 예시적으로, 내부 터널은 IPsec를 포함할 수 있다. 네트워크 장치(100)는 게이트웨이(90)와 암호 알고리즘의 종류, 키 교환 방법 및 키 교환 주기에 대한 정보를 교환할 수 있다.
정보 교환이 완료되면, 네트워크 장치(100)는 게이트웨이(90)와 내부 터널을 형성한다. 예를 들어, 게이트웨이(90) 및 네트워크 장치(100)는 교환된 암호 알고리즘의 종류, 키 교환 방법 및 키 교환 주기에 대한 정보를 이용하여, 데이터를 암호화 및 복호화할 수 있다. 게이트웨이(90) 및 네트워크 장치(100)는 서로 암호화된 데이터를 교환할 수 있다. 게이트웨이(90)는 복호화된 데이터를 단말(40)과 교환할 수 있다. 네트워크 장치(100)는 복호화된 데이터를 서버(60, 70 또는 80)와 교환할 수 있다. 암호화에 의해, 데이터 보안을 제공하는 내부 터널이 네트워크 장치(100) 및 게이트웨이(90) 사이에 형성된다.
예시적으로, 도 5에서, 외부 터널이 생성된 후에 내부 터널이 생성되는 것으로 도시되어 있다. 그러나, 외부 터널 및 내부 터널이 생성되는 순서는 한정되지 않는다. 외부 터널 및 내부 터널은 순차적으로, 역순으로, 또는 동시에 생성될 수 있다.
도 4 및 도 5에서, 내부 터널 및 외부 터널은 네트워크 장치(100)와 게이트웨이(90) 사이에 형성되는 것으로 도시되어 있다. 그러나, 내부 터널 및 외부 터널이 형성되는 위치는 한정되지 않는다. 예시적으로, 내부 터널 및 외부 터널은 네트워크 장치(100)와 게이트웨이(90), 단말(40), 단말과 인접한 라우터, 또는 단말과 인접한 스위치의 사이에 형성될 수 있다.
내부 터널 및 외부 터널의 형성이 완료되면, S270 단계에서, 게이트웨이(90)는 터널 생성 완료 응답을 단말(40)로 전송한다. 그리고, S280 단계에서, 단말(40)과 서버(60, 70 또는 80) 사이에 통신이 수행된다.
본 발명의 실시 예에 따르면, 통신을 요청한 단말(40)이 권한을 가질 때, 네트워크 장치(100)는 게이트웨이(90)와 망 보안을 제공하는 외부 터널 및 데이터 보안을 제공하는 내부 터널을 형성한다. 내부 터널 및 외부 터널이 모두 형성되면, 네트워크 장치(100)는 터널들을 통해 수신되는 데이터를 서버(60, 70 또는 80)로 전달할 수 있다. 또한, 네트워크 장치(100)는, 서버(60, 70 또는 80)로부터 전달되는 데이터를 터널들을 통해 단말(40)로 전달할 수 있다. 따라서, 향상된 보안성을 갖는 네트워크 장치 및 네트워크 장치의 터널 형성 방법이 제공된다.
예시적으로, 네트워크 시스템(10')에 방화벽이 추가로 제공될 수 있다. 방화벽은 공용 인터넷 네트워크(20)와 네트워크 장치(100)의 사이 또는 네트워크 장치(100)와 기업 네트워크(30)의 사이에 제공될 수 있다. 다른 예로서, 네트워크 장치(100)는 방화벽의 일부로 제공될 수 있다.
도 6은 본 발명의 실시 예에 따른 네트워크 장치가 적용된 네트워크 시스템의 다른 예를 보여준다. 도 6을 참조하면, 네트워크 시스템(10'')은 공용 인터넷 네트워크(20), 제 1 네트워크(21), 제 2 네트워크(23), 기업 네트워크(30), 클라우드 네트워크(31), 단말(40), 제 1 내지 제 3 서버들(60, 70, 80), 게이트웨이들(90a, 90b, 90c), 그리고 네트워크 장치들(100a, 100b)을 포함한다.
서버(60)는 클라우드 네트워크(31)와 연결된다. 즉, 서버(60)는 클라우드 네트워크(31), 네트워크 장치(100b), 제 2 네트워크(23), 게이트웨이(90c), 공용 인터넷 네트워크(20), 게이트웨이(90b), 제 1 네트워크(21), 그리고 게이트웨이(90a)를 통해 단말(40)과 통신할 수 있다.
서버들(70, 80)은 기업 네트워크(30)와 연결된다. 즉, 서버들(70, 80)은 기업 네트워크(30), 네트워크 장치(100a), 제 2 네트워크(23), 게이트웨이(90c), 공용 인터넷 네트워크(20), 게이트웨이(90b), 제 1 네트워크(21), 그리고 게이트웨이(90a)를 통해 단말(40)과 통신할 수 있다.
도 6에 도시된 바와 같이, 단말(40) 및 서버(60, 70 또는 80)의 사이에, 둘 이상의 네트워크들이 존재할 수 있다. 둘 이상의 네트워크들은 서로 다른 특성을 가질 수 있다. 예를 들어, 제 1 및 제 2 네트워크들(21, 23)은 지역 네트워크들일 수 있다.
단말(40) 및 서버(60, 70 또는 80)의 사이에 둘 이상의 이종 네트워크들이 존재할 때, 네트워크 장치(100a 또는 100b)는 단일 내부 터널을 형성할 수 있다. 네트워크 장치(100a 또는 100b)는 단말(40)과 가장 인접한 게이트웨이(90a)와 협의하여, 내부 터널을 형성할 수 있다.
단말(40) 및 서버(60, 70 또는 80)의 사이에 둘 이상의 이종 네트워크들이 존재할 때, 네트워크 장치(100a 또는 100b)는 이종 네트워크들에 서로 다른 외부 터널들을 형성할 수 있다. 네트워크 장치(100a 또는 100b)는 제 2 네트워크(23)의 네트워크 서버와 협의하여, 제 2 외부 터널을 형성할 수 있다. 제 2 외부 터널은 게이트웨이(90c) 및 네트워크 장치(100a 또는 100b) 사이에 형성될 수 있다. 예를 들어, 제 2 외부 터널은 IP-in-IP 터널일 수 있다.
네트워크 장치(100a 또는 100b)는 공용 인터넷 네트워크(20)의 네트워크 서버와 협의하여, 메인 외부 터널을 형성할 수 있다. 메인 외부 터널은 게이트웨이들(90b, 90c) 사이에 형성될 수 있다. 예를 들어, 메인 외부 터널은 VPN (Virtual Private Network)터널일 수 있다.
네트워크 장치(100a 또는 100b)는 제 1 네트워크(21)의 네트워크 서버와 협의하며, 제 1 외부 터널을 형성할 수 있다. 제 1 외부 터널은 게이트웨이들(90a, 90b) 사이에 형성될 수 있다. 예를 들어, 제 1 외부 터널은 IP-in-IP 터널일 수 있다.
제 1 외부 터널, 메인 외부 터널, 그리고 제 2 외부 터널이 조합되어, 네트워크 장치(100a 또는 100b)와 단말(40)에 인접한 게이트웨이(90a) 사이에 외부 터널이 생성될 수 있다.
상술된 바와 같이, 단말(40)과 인접한 게이트웨이(90a) 및 네트워크 장치(100a 또는 100b) 사이에 둘 이상의 이종 네트워크들이 존재할 때, 네트워크 장치(100a 또는 100b)는 하나의 단일 내부 터널, 그리고 둘 이상의 이종 외부 터널들을 생성할 수 있다.
본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위와 기술적 사상에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 자명하다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.
100; 네트워크 장치
110; 서비스 제어부
111; 서비스 관리 모듈
113; 사용자 인증 모듈
120; 터널 제어부
121; 내부 터널 관리 모듈
123; 외부 터널 관리 모듈

Claims (19)

  1. 서비스 품질(QoS) 정보를 저장하도록 구성되는 서비스 관리 모듈;
    식별자 및 암호를 수신하고, 상기 수신된 식별자 및 암호를 이용하여 인증을 수행하도록 구성되는 사용자 인증 모듈;
    상기 사용자 인증 모듈에 의한 인증이 성공하면, 상기 서비스 관리 모듈에 저장된 서비스 품질 정보에 기반하여, 네트워크 보안을 제공하는 외부 터널을 형성하는 외부 터널 관리 모듈; 그리고
    상기 사용자 인증 모듈에 의한 인증이 성공하면, 데이터 보안을 제공하는 내부 터널을 형성하는 내부 터널 관리 모듈을 포함하는 네트워크 장치.
  2. 제 1 항에 있어서,
    상기 서비스 관리 모듈은,
    서버로부터 상기 서비스 품질 정보를 수신하여 저장하도록 구성되는 네트워크 장치.
  3. 제 2 항에 있어서,
    상기 네트워크 장치는, 상기 서버와 직접 또는 공용 인터넷 네트워크와 분리된 보안 네트워크를 통해 연결되는 네트워크 장치.
  4. 제 1 항에 있어서,
    상기 사용자 인증 모듈은, 상기 수신된 식별자 및 암호를 서버로 전송하고, 상기 서버로부터 인증 성공을 가리키는 메시지가 수신되면, 인증이 성공한 것으로 판별하는 네트워크 장치.
  5. 제 4 항에 있어서,
    상기 사용자 인증 모듈은, 상기 서버로부터 인증 실패를 가리키는 메시지가 수신되면, 상기 수신된 식별자 및 암호에 대응하는 주소와의 통신을 거부하는 네트워크 장치.
  6. 제 1 항에 있어서,
    상기 외부 터널 관리 모듈은, 상기 사용자 인증 모듈에 의한 인증이 성공하면, 상기 서비스 품질 정보에 기반하여 상기 수신된 식별자 및 암호에 대응하는 주소와의 가상 네트워크를 네트워크 서버에 요청하도록 구성되는 네트워크 장치.
  7. 제 6 항에 있어서,
    상기 주소와의 사이에 존재하는 네트워크가 둘 이상일 때, 상기 외부 터널 관리 모듈은 상기 둘 이상의 네트워크들의 네트워크 서버들에 상기 주소와의 가상 네트워크를 요청하도록 구성되는 네트워크 장치.
  8. 제 6 항에 있어서,
    상기 주소는 상기 수신된 식별자 및 암호를 전송한 단말의 주소인 네트워크 장치.
  9. 제 6 항에 있어서,
    상기 주소는 상기 수신된 식별자 및 암호를 전송한 단말과 연결된 게이트웨이의 주소인 네트워크 장치.
  10. 제 1 항에 있어서,
    상기 내부 터널 관리 모듈은, 상기 사용자 인증 모듈에 의한 인증이 성공하면, 상기 수신된 식별자 및 암호에 대응하는 주소의 장치와 암호화 방법을 설정하는 네트워크 장치.
  11. 제 10 항에 있어서,
    상기 암호화 방법은, IPsec (IP Security)를 포함하는 네트워크 장치.
  12. 제 10 항에 있어서,
    상기 암호화 방법은, 암호 알고리즘의 종류, 키 교환 방법 및 키 교환 주기 중 적어도 하나를 포함하는 네트워크 장치.
  13. 네트워크 장치의 터널 형성 방법에 있어서:
    내부 터널 정보 및 외부 터널 정보를 저장하는 단계;
    식별자 및 암호를 포함하는 통신 요청을 수신하고, 상기 수신된 식별자 및 암호를 이용하여 인증을 수행하는 단계;
    상기 인증이 성공하면, 상기 외부 터널 정보에 기반하여, 네트워크 보안을 제공하는 외부 터널을 상기 수신된 식별자 및 암호에 대응하는 주소와 형성하는 단계; 그리고
    상기 인증이 성공하면, 데이터 보안을 제공하는 내부 터널을 상기 주소와 형성하는 단계를 포함하는 터널 형성 방법.
  14. 제 13 항에 있어서,
    상기 내부 터널은 상기 주소와 연결되는 단일 터널로 형성되고,
    상기 외부 터널은 상기 주소와의 사이에 존재하는 네트워크들에 각각 대응하는 터널들을 포함하는 터널 형성 방법.
  15. 제 14 항에 있어서,
    상기 터널들은 이종의 터널들을 포함하는 터널 형성 방법.
  16. 제 13 항에 있어서,
    상기 내부 터널은 IPsec (IP security)를 포함하는 터널 형성 방법.
  17. 제 13 항에 있어서,
    상기 외부 터널은 가상 네트워크를 포함하는 터널 형성 방법.
  18. 제 13 항에 있어서,
    상기 네트워크 장치는 공용 인터넷 네트워크와 분리된 보안 네트워크를 통해 서버와 연결되고, 상기 서버로부터 상기 외부 터널 정보를 수신하여 저장하는 터널 형성 방법.
  19. 제 18 항에 있어서,
    상기 보안 네트워크는 기업 네트워크 또는 공용 클라우드 네트워크를 포함하는 터널 형성 방법.
KR1020130143979A 2013-11-25 2013-11-25 네트워크 장치 및 네트워크 장치의 터널 형성 방법 KR20150060050A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130143979A KR20150060050A (ko) 2013-11-25 2013-11-25 네트워크 장치 및 네트워크 장치의 터널 형성 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130143979A KR20150060050A (ko) 2013-11-25 2013-11-25 네트워크 장치 및 네트워크 장치의 터널 형성 방법

Publications (1)

Publication Number Publication Date
KR20150060050A true KR20150060050A (ko) 2015-06-03

Family

ID=53504751

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130143979A KR20150060050A (ko) 2013-11-25 2013-11-25 네트워크 장치 및 네트워크 장치의 터널 형성 방법

Country Status (1)

Country Link
KR (1) KR20150060050A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113766019A (zh) * 2021-09-01 2021-12-07 江苏信臣健康科技股份有限公司 基于云端以及边缘计算相结合的物联网系统
CN115987629A (zh) * 2022-12-22 2023-04-18 四川启睿克科技有限公司 基于分布式加密隧道的网络系统及组网方法
WO2024177382A1 (ko) * 2023-02-21 2024-08-29 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113766019A (zh) * 2021-09-01 2021-12-07 江苏信臣健康科技股份有限公司 基于云端以及边缘计算相结合的物联网系统
CN113766019B (zh) * 2021-09-01 2024-04-30 江苏信臣健康科技股份有限公司 基于云端以及边缘计算相结合的物联网系统
CN115987629A (zh) * 2022-12-22 2023-04-18 四川启睿克科技有限公司 基于分布式加密隧道的网络系统及组网方法
WO2024177382A1 (ko) * 2023-02-21 2024-08-29 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Similar Documents

Publication Publication Date Title
JP4707992B2 (ja) 暗号化通信システム
US9654453B2 (en) Symmetric key distribution framework for the Internet
US7774837B2 (en) Securing network traffic by distributing policies in a hierarchy over secure tunnels
US8104082B2 (en) Virtual security interface
US9306936B2 (en) Techniques to classify virtual private network traffic based on identity
JP2020080530A (ja) データ処理方法、装置、端末及びアクセスポイントコンピュータ
US20170201382A1 (en) Secure Endpoint Devices
Park et al. Lightweight secure communication for CoAP-enabled internet of things using delegated DTLS handshake
US20240323027A1 (en) System and method for pre-shared key (psk) based content signing for tamper resistance
US20170126623A1 (en) Protected Subnet Interconnect
KR102167627B1 (ko) 데이터 통신 시스템 및 방법
US10158610B2 (en) Secure application communication system
US20110154469A1 (en) Methods, systems, and computer program products for access control services using source port filtering
KR20150060050A (ko) 네트워크 장치 및 네트워크 장치의 터널 형성 방법
US20150381387A1 (en) System and Method for Facilitating Communication between Multiple Networks
JP2011054182A (ja) ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体
JP2008199497A (ja) ゲートウェイ装置および認証処理方法
KR20170017860A (ko) 네트워크 vpn 기반의 네트워크 가상화 시스템
US20240195795A1 (en) Computer-implemented methods and systems for establishing and/or controlling network connectivity
EP3698510B1 (en) Secure communication system and method for transmission of messages
WO2023199189A1 (en) Methods and systems for implementing secure communication channels between systems over a network
Fan et al. A Mutual Authentication Method For Local MAC Address Allocation
KR20160123102A (ko) Vpn 보호 장치 및 그 동작 방법

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E601 Decision to refuse application