KR20150073723A - 가상 사설망 접속 제어 시스템 및 방법 - Google Patents

가상 사설망 접속 제어 시스템 및 방법 Download PDF

Info

Publication number
KR20150073723A
KR20150073723A KR1020130161749A KR20130161749A KR20150073723A KR 20150073723 A KR20150073723 A KR 20150073723A KR 1020130161749 A KR1020130161749 A KR 1020130161749A KR 20130161749 A KR20130161749 A KR 20130161749A KR 20150073723 A KR20150073723 A KR 20150073723A
Authority
KR
South Korea
Prior art keywords
vpn
gateway
communication terminal
client
wireless communication
Prior art date
Application number
KR1020130161749A
Other languages
English (en)
Other versions
KR102108000B1 (ko
Inventor
육영수
조양환
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020130161749A priority Critical patent/KR102108000B1/ko
Priority to US14/579,050 priority patent/US9565165B2/en
Priority to CN201410816587.3A priority patent/CN104735051B/zh
Publication of KR20150073723A publication Critical patent/KR20150073723A/ko
Application granted granted Critical
Publication of KR102108000B1 publication Critical patent/KR102108000B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

가상 사설망 접속 제어 시스템 및 방법이 개시된다. 본 발명의 일 실시예에 따른 가상 사설망 접속 제어 시스템은 제1 VPN(Virtual Private Network) 게이트웨이; 제2 VPN 게이트웨이; 상기 제1 VPN(Virtual Private Network) 게이트웨이를 통하여 사내 인트라넷에 접속 중인 무선 통신 단말의 사내 네트워크 접속을 감지하는 무선랜 접속 제어 서버; 및 상기 무선랜 접속 제어 서버로부터 상기 무선 통신 단말의 VPN 설정 변경 요청을 수신하고, 상기 VPN 설정 변경 요청에 따라 상기 무선 통신 단말이 현재 접속 중인 VPN 게이트웨이를 상기 제2 VPN 게이트웨이로 변경하도록 상기 무선 통신 단말을 제어하는 VPN 설정 변경 서버를 포함한다.

Description

가상 사설망 접속 제어 시스템 및 방법{SYSTEM AND METHOD FOR CONTROLLING VIRTUAL PRIVATE NETWORK}
본 발명의 실시예들은 무선 통신 단말의 가상 사설망 접속 제어 기술과 관련된다.
모바일 단말의 경우 휴대 및 이동이 용이한 장점에도 불구하고, 보안상의 문제로 인해 사내 업무 시스템으로의 접근이 제한적으로만 허용되는 경우가 많다. 일반적인 퍼스널 컴퓨터의 경우 대부분 사내에 고정 배치되어 업무 전용으로만 사용되므로 보안 프로그램 등의 설치를 통해 보안 정책을 적용하는 것이 상대적으로 용이하다. 그러나 모바일 단말의 경우 개인이 소유한 단말을 사용하는 BYOD(Bring Your Own Device) 형태가 대부분이어서 보안 정책의 적용에 한계가 있으며, 특히 회사 등의 기관 외부에서 모바일 단말을 통해 사내 업무 시스템에 접속할 경우에는 정보 유출의 문제가 발생할 수 있다.
이에 따라, 종래에는 모바일 단말에 설치되는 업무용 어플리케이션마다 보안 소켓 레이어(SSL; Secure Socket Layer)에서 보안 연결(Secure Connection)을 설정하여 이를 통해 사내 업무 시스템 접속을 허용하도록 하였다. 그러나 이 경우 각각의 업무용 어플리케이션마다 보안 소켓 레이어 접속을 위한 별개의 보안 환경을 가지고 있어야 하는 불편이 있었다.
이와 같은 문제를 개선하기 위하여 최근에는 모바일 단말의 운영체제(OS) 자체에서 보안 모드를 지원하는 경우가 증가하고 있다. 이 경우 모바일 단말은 내부적으로 일반 영역 및 보안 영역으로 분리되며, 보안 영역 내에 설치된 어플리케이션들은 일반 영역에서는 접근이 불가하다. 보안 영역에 접속하기 위한 별도의 인증 절차를 거치면 모바일 단말은 보안 모드에서 동작하게 되며, 보안 모드에서는 가상 사설망(VPN; Virtual Private Network)을 통해 다양한 업무 시스템에 접속할 수 있는 환경을 제공하므로, 업무 시스템 개발자들은 업무용 어플리케이션마다 별도의 보안 환경을 구현할 필요 없이 VPN을 통하여 안전하게 사내 업무 시스템에 접속하도록 할 수 있다.
한편, 보안 모드에서 동작 중인 모바일 단말의 VPN을 통하여 사내 업무 시스템에 접속하는 경우는 다음의 두 가지로 나뉠 수 있다. 첫 번째는 사내 네트워크를 통하여 접속하는 경우이고, 두 번째는 외부에서 이동통신망 또는 공중 무선 네트워크(Public WiFi)를 통하여 접속하는 경우이다. 동일한 보안 모드라고 할 지라도 단말이 사내에 있을 경우와 사외에 있을 경우의 보안 지원 수준은 달라져야 할 필요가 있다. 사외에서는 보안상 중요한 문서를 외부인에게 보여 줄 수도 있으며, 단말을 외부인이 사용하는 경우 또한 배제할 수 없기 때문이다.
대한민국 공개특허공보 제10-2008-0072004 (2008. 08. 05.)
본 발명의 실시예들은 사내 업무 시스템에 접속 가능한 단말의 접속 환경을 인지하고, 인지된 접속 환경에 따라 서로 다른 수준의 보안 정책을 적용하기 위한 수단을 제공하기 위한 것이다.
본 발명의 예시적인 실시예에 따르면, 제1 VPN(Virtual Private Network) 게이트웨이; 제2 VPN 게이트웨이; 상기 제1 VPN(Virtual Private Network) 게이트웨이를 통하여 사내 인트라넷에 접속 중인 무선 통신 단말의 사내 네트워크 접속을 감지하는 무선랜 접속 제어 서버; 및 상기 무선랜 접속 제어 서버로부터 상기 무선 통신 단말의 VPN 설정 변경 요청을 수신하고, 상기 VPN 설정 변경 요청에 따라 상기 무선 통신 단말이 현재 접속 중인 VPN 게이트웨이를 상기 제2 VPN 게이트웨이로 변경하도록 상기 무선 통신 단말을 제어하는 VPN 설정 변경 서버를 포함하는 가상 사설망 접속 제어 시스템이 제공된다.
상기 가상 사설망 접속 제어 시스템은, 상기 무선 통신 단말이 상기 사내 네트워크 접속을 시도하는 경우, 상기 무선 통신 단말을 인증하는 무선랜 컨트롤러; 및 상기 무선랜 컨트롤러로 상기 무선 통신 단말의 인증을 위한 인증 정보를 제공하는 인증 서버를 더 포함하며, 상기 무선랜 접속 제어 서버는, 상기 무선랜 컨트롤러에 의해 상기 무선 통신 단말의 인증이 완료되는 경우, 상기 무선 통신 단말이 상기 무선 네트워크에 접속한 것으로 판단할 수 있다.
상기 인증 서버는, 상기 무선 통신 단말의 인증이 완료되는 경우, 인증된 상기 무선 통신 단말의 상기 인증 정보를 상기 제2 VPN 게이트웨이로 제공하며, 상기 제2 VPN 게이트웨이는 수신된 상기 인증 정보를 이용하여 상기 무선 통신 단말의 상기 제2 VPN 게이트웨이 접속시 상기 무선 통신 단말을 인증할 수 있다.
상기 VPN 설정 변경 서버는 MDM(Mobile Device Management) 서버일 수 있다.
상기 MDM 서버는 상기 무선 통신 단말에 포함된 MDM 클라이언트를 제어하여 상기 무선 통신 단말의 접속 대상 VPN 게이트웨이를 제2 VPN 게이트웨이로 변경할 수 있다.
상기 무선랜 접속 제어 서버는, 상기 무선 통신 단말의 상기 사내 네트워크 접속 단절이 감지되는 경우, 상기 VPN 설정 변경 서버로 상기 무선 통신 단말의 VPN 설정 재변경 요청을 송신하며, 상기 VPN 설정 변경 서버는, 상기 VPN 설정 재변경 요청에 따라 상기 무선 통신 단말이 현재 접속 중인 VPN 게이트웨이를 상기 제1 VPN 게이트웨이로 변경하도록 상기 무선 통신 단말을 제어할 수 있다.
본 발명의 다른 예시적인 실시예에 따르면, 제1 VPN(Virtual Private Network) 게이트웨이에 접속하여 상기 제1 VPN 게이트웨이와 가상 사설망을 형성하는 VPN 클라이언트; 사내 네트워크와의 무선 네트워크 접속을 수행하는 무선랜 클라이언트; 및 상기 무선랜 클라이언트의 상기 무선 네트워크 접속이 완료됨에 따라 VPN 설정 변경 서버로부터 제2 VPN 게이트웨이의 접속 주소를 포함하는 VPN 게이트웨이 제어 요청을 수신하고, 수신된 상기 VPN 게이트웨이 제어 요청에 따라 상기 VPN 클라이언트의 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제2 VPN 게이트웨이로 변경하도록 상기 VPN 클라이언트를 제어하는 VPN 설정 변경 모듈을 포함하는 무선 통신 단말이 제공된다.
상기 VPN 클라이언트는 상기 무선 통신 단말이 보안 모드인 경우 상기 가상 사설망을 형성할 수 있다.
상기 VPN 설정 변경 모듈은 MDM(Mobile Device Management) 클라이언트이고, 상기 VPN 설정 변경 서버는 MDM 서버일 수 있다.
상기 VPN 클라이언트는 상기 VPN 설정 변경 모듈의 제어에 따라 상기 제2 VPN 게이트웨이에 대한 접속을 시도하고, 상기 접속 시도가 실패하는 경우 상기 제1 VPN 게이트웨이로 재접속할 수 있다.
상기 VPN 설정 변경 모듈은, 상기 무선랜 클라이언트의 상기 무선 네트워크 접속이 단절됨에 따라 상기 VPN 설정 변경 서버로부터 VPN 게이트웨이 제어 요청을 재차 수신하고, 상기 재차 수신된 제어 요청에 따라 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제1 VPN 게이트웨이로 재변경하도록 상기 VPN 클라이언트를 제어할 수 있다.
본 발명의 다른 예시적인 실시예에 따르면, 제1 VPN(Virtual Private Network) 게이트웨이에 접속하여 상기 제1 VPN 게이트웨이와 가상 사설망을 형성하는 VPN 클라이언트; 및 사내 네트워크와의 무선 네트워크 접속을 수행하고, 상기 무선 네트워크 접속이 완료된 경우 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제2 VPN 게이트웨이로 변경하도록 상기 VPN 클라이언트를 제어하는 무선랜 클라이언트를 포함하는 무선 통신 단말이 제공된다.
상기 VPN 클라이언트는 상기 무선랜 클라이언트의 제어에 따라 상기 제2 VPN 게이트웨이에 대한 접속을 시도하고, 상기 접속 시도가 실패하는 경우 상기 제1 VPN 게이트웨이로 재접속할 수 있다.
상기 무선랜 클라이언트는, 상기 사내 네트워크와의 상기 무선 네트워크 접속이 단절되는 경우 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제1 VPN 게이트웨이로 재변경하도록 상기 VPN 클라이언트를 제어할 수 있다.
본 발명의 다른 예시적인 실시예에 따르면, 무선랜 접속 제어 서버에서, 제1 VPN(Virtual Private Network) 게이트웨이를 통하여 사내 인트라넷에 접속 중인 무선 통신 단말의 사내 네트워크 접속을 감지하는 단계; VPN 설정 변경 서버에서, 상기 무선랜 접속 제어 서버로부터 상기 무선 통신 단말의 VPN 설정 변경 요청을 수신하는 단계; 및 상기 VPN 설정 변경 서버에서, 상기 VPN 설정 변경 요청에 따라 상기 무선 통신 단말이 현재 접속 중인 VPN 게이트웨이를 상기 제2 VPN 게이트웨이로 변경하도록 상기 무선 통신 단말을 제어하는 단계를 포함하는 가상 사설망 접속 제어 방법이 제공된다.
상기 방법은, 상기 사내 네트워크 접속을 감지하는 단계의 수행 전, 상기 무선 통신 단말이 상기 사내 네트워크 접속을 시도하는 경우, 무선랜 컨트롤러에서, 상기 무선 통신 단말의 인증 정보를 인증 서버로부터 수신하는 단계; 및 상기 무선랜 컨트롤러에서, 수신된 상기 인증 정보를 이용하여 상기 무선 통신 단말을 인증하는 단계를 더 포함하며, 상기 사내 네트워크 접속을 감지하는 단계는, 상기 무선랜 컨트롤러에 해 상기 무선 통신 단말의 인증이 완료되는 경우 상기 무선 통신 단말이 상기 무선 네트워크에 접속한 것으로 판단할 수 있다.
상기 방법은, 상기 인증하는 단계 이후, 상기 인증 서버에서, 인증된 상기 무선 통신 단말의 인증 정보를 상기 제2 VPN 게이트웨이로 제공하는 단계를 더 포함하며, 상기 제2 VPN 게이트웨이는 수신된 상기 인증 정보를 이용하여 상기 무선 통신 단말의 상기 제2 VPN 게이트웨이 접속시 상기 무선 통신 단말을 인증할 수 있다.
상기 무선랜 접속 제어 서버는, 상기 무선 통신 단말의 상기 사내 네트워크 접속 단절이 감지되는 경우, 상기 VPN 설정 변경 서버로 상기 무선 통신 단말의 VPN 설정 재변경 요청을 송신하며, 상기 VPN 설정 변경 서버는, 상기 VPN 설정 재변경 요청에 따라 상기 무선 통신 단말이 현재 접속 중인 VPN 게이트웨이를 상기 제1 VPN 게이트웨이로 변경하도록 상기 무선 통신 단말을 제어할 수 있다.
본 발명의 다른 예시적인 실시예에 따르면, VPN 클라이언트에서, 제1 VPN(Virtual Private Network) 게이트웨이에 접속하여 상기 제1 VPN 게이트웨이와 가상 사설망을 형성하는 단계; 무선랜 클라이언트에서, 사내 네트워크와의 무선 네트워크 접속을 수행하는 단계; VPN 설정 변경 모듈에서, 상기 무선랜 클라이언트의 상기 무선 네트워크 접속이 완료됨에 따라 VPN 설정 변경 서버로부터 VPN 게이트웨이 제어 요청을 수신하는 단계; 및 상기 VPN 설정 변경 모듈에서, 수신된 상기 VPN 게이트웨이 제어 요청에 따라 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제2 VPN 게이트웨이로 변경하도록 상기 VPN 클라이언트를 제어하는 단계를 포함하는 가상 사설망 접속 제어 방법이 제공된다.
상기 VPN 클라이언트는 상기 무선 통신 단말이 보안 모드인 경우 상기 가상 사설망을 형성할 수 있다.
상기 VPN 클라이언트는, 상기 VPN 설정 변경 모듈의 제어에 따라 상기 제2 VPN 게이트웨이에 대한 접속을 시도하고, 상기 접속 시도가 실패하는 경우 상기 제1 VPN 게이트웨이로 재접속할 수 있다.
상기 VPN 설정 변경 모듈은, 상기 무선랜 클라이언트의 상기 무선 네트워크 접속이 단절됨에 따라 상기 VPN 설정 변경 서버로부터 VPN 게이트웨이 제어 요청을 재수신하고, 상기 재수신된 제어 요청에 따라 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제1 VPN 게이트웨이로 재변경하도록 상기 VPN 클라이언트를 재차 제어할 수 있다.
본 발명의 다른 예시적인 실시예에 따르면, VPN 클라이언트에서, 제1 VPN(Virtual Private Network) 게이트웨이에 접속하여 상기 제1 VPN 게이트웨이와 가상 사설망을 형성하는 단계; 무선랜 클라이언트에서, 사내 네트워크와의 무선 네트워크 접속을 수행하는 단계; 및 상기 무선랜 클라이언트에서, 상기 무선 네트워크 접속이 완료된 경우 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제2 VPN 게이트웨이로 변경하도록 상기 VPN 클라이언트를 제어하는 단계를 포함하는 가상 사설망 접속 제어 방법이 제공된다.
상기 VPN 클라이언트는, 상기 무선랜 클라이언트의 제어에 따라 상기 제2 VPN 게이트웨이에 대한 접속을 시도하고, 상기 접속 시도가 실패하는 경우 상기 제1 VPN 게이트웨이로 재접속할 수 있다.
상기 무선랜 클라이언트는, 상기 사내 네트워크와의 상기 무선 네트워크 접속이 단절되는 경우 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제1 VPN 게이트웨이로 재변경하도록 상기 VPN 클라이언트를 재차 제어할 수 있다.
본 발명의 실시예들에 따를 경우, 사내 업무 시스템에 접속 가능한 단말의 접속 환경을 인지하고, 인지된 접속 환경에 따라 서로 다른 수준의 보안 정책을 적용함으로써 무선 통신 단말을 통한 업무의 편의성을 도모함과 동시에 사내 업무 시스템의 보안을 강화할 수 있다.
또한, 본 발명의 실시예들에 따를 경우 무선랜 컨트롤러와 VPN 게이트웨이가 동일한 인증 정보를 이용하여 무선 통신 단말을 인증하게 되는 바, 한 번의 인증 과정을 통해 무선랜 인증 및 VPN 인증을 동시에 완료할 수 있게 된다.
도 1은 본 발명의 일 실시예에 따른 가상 사설망 접속 제어 시스템(100)을 설명하기 위한 블록도
도 2는 본 발명의 일 실시예에 따른 사내 네트워크(106)를 구성하는 각 구성요소들을 설명하기 위한 블록도
도 3은 본 발명의 일 실시예에 따른 무선 통신 단말(102)의 상세 구성을 설명하기 위한 블록도
도 4는 본 발명의 일 실시예에 따라 제1 VPN 게이트웨이(108)와 가상 사설망 연결을 형성한 무선 통신 단말(102)이 사내 네트워크(106)로 진입함에 따라 VPN 게이트웨이를 제2 VPN 게이트웨이(110)로 변경하기 위한 VPN 접속 제어 방법(400)을 설명하기 위한 흐름도
도 5는 본 발명의 일 실시예에 따라 제2 VPN 게이트웨이(110)와 가상 사설망 연결을 형성한 무선 통신 단말(102)이 사내 네트워크(106)에서 벗어남에 VPN 게이트웨이를 제1 VPN 게이트웨이(102)로 재변경하기 위한 VPN 접속 제어 방법(500)을 설명하기 위한 흐름도
도 6은 본 발명의 다른 실시예에 따른 무선 통신 단말(102)의 상세 구성을 설명하기 위한 블록도
도 7은 본 발명의 다른 실시예에 따라 제1 VPN 게이트웨이(108)와 가상 사설망 연결을 형성한 무선 통신 단말(102)이 사내 네트워크(106)로 진입함에 따라 VPN 게이트웨이를 제2 VPN 게이트웨이(110)로 변경하기 위한 VPN 접속 제어 방법(700)을 설명하기 위한 흐름도
도 8은 본 발명의 다른 실시예에 따라 제2 VPN 게이트웨이(110)와 가상 사설망 연결을 형성한 무선 통신 단말(102)이 사내 네트워크(106)에서 벗어남에 따라 VPN 게이트웨이를 제1 VPN 게이트웨이(107)로 재변경하기 위한 VPN 접속 제어 방법(800)을 설명하기 위한 흐름도
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
도 1은 본 발명의 일 실시예에 따른 가상 사설망 접속 제어 시스템(100)을 설명하기 위한 블록도이다. 본 발명의 일 실시예에 따른 가상 사설망 접속 제어 시스템(100)은 무선 통신 단말(102), 외부 네트워크(104), 사내 네트워크(106), 제1 VPN(Virtual Private Network) 게이트웨이(108), 제2 VPN 게이트웨이(110) 및 사내 업무 시스템(112)을 포함한다.
무선 통신 단말(102)은 외부 네트워크(104) 또는 사내 네트워크(106)를 통해 제1 VPN 게이트웨이(108) 또는 제2 VPN 게이트웨이(110)와 가상 사설망을 구성하고, 상기 가상 사설망을 통하여 사내 업무 시스템(112)과 데이터 송수신을 수행하기 위한 단말이다. 일 실시예에서, 무선 통신 단말(102)은 일반 영역 및 보안 영역이 구분된 단말일 수 있다. 이 경우, 무선 통신 단말(102)은 현재 보안 영역에서 동작하는 경우에만 제1 VPN 게이트웨이(108) 또는 제2 VPN 게이트웨이(110)와 가상 사설망을 구성하도록 설정될 수 있다.
외부 네트워크(104) 및 사내 네트워크(106)는 네트워크 자원을 제공하는 주체에 따라 구분된다. 구체적으로, 사내 네트워크(106)는 사내 업무 시스템(112)과 동일하거나 이와 밀접하게 연관된 주체에 의하여 제공되는 네트워크를, 외부 네트워크(104)는 이러한 사내 네트워크(106)의 제공 주체가 아닌 다른 서비스 제공자에 의하여 제공되는 네트워크를 의미한다. 예를 들어, 외부 네트워크(104)는 무선 통신 단말(102)이 가입된 이동통신망 또는 공중 무선 네트워크(Public WiFi) 등이 될 수 있다.
제1 VPN 게이트웨이(108)는 무선 통신 단말(102)이 외부 네트워크(104)에 접속되어 있는 경우 무선 통신 단말(102)과 가상 사설망을 구성하기 위한 VPN 게이트웨이이다. 또한, 제2 VPN 게이트웨이(110)는 무선 통신 단말(102)이 사내 네트워크(106)에 접속되어 있는 경우 무선 통신 단말(102)과 가상 사설망을 구성하기 위한 VPN 게이트웨이이다. 즉, 본 발명의 실시예에서 무선 통신 단말(102)은 접속된 네트워크의 종류에 따라 서로 다른 VPN 게이트웨이를 통해 사내 업무 시스템(112)과 연결된다. 따라서 사내 업무 시스템(112)의 관리자는 무선 통신 단말(102)과 접속 가능한 각각의 VPN 게이트웨이에 서로 다른 수준의 보안 정책을 적용함으로써 무선 통신 단말(102)의 접속 위치에 따라 제공되는 보안 수준을 차별화할 수 있다. 예를 들어, 관리자는 무선 통신 단말(102) 제1 VPN 게이트웨이(108)를 통해 사내 업무 시스템(112)에 접속하는 경우에는 사내 업무 시스템(112) 중 기 설정된 제한 영역(114)에만 접근이 가능하고, 제2 VPN 게이트웨이(110)를 통해 사내 업무 시스템(112)에 접속하는 경우에는 사내 업무 시스템(112) 전체에 제한 없이 접근이 가능하도록 각 VPN 게이트웨이 별 보안 정책을 적용할 수 있다. 다만, 이는 예시적인 것으로서, 관리자는 각 VPN 게이트웨이 별 접근 가능 영역을 제한하는 것 이외에도 다양한 형태의 보안 정책을 적용할 수 있다. 예를 들어, 관리자는 특정 VPN 게이트웨이를 통하여 사내 업무 시스템(112)에 접근하는 경우 파일 쓰기를 제한하거나, 또는 특정 종류의 파일에 대한 액세스를 제한하거나 할 수 있다.
한편, 본 발명의 실시예에서 사내 업무 시스템(112)은 제한된 사용자에게만 액세스를 허용하도록 구성된 인트라넷(Intranet)을 의미한다. 본 명세서에서 사내 업무 시스템(112)은 특정 회사 또는 조직 내부의 구성원들이 그 업무를 위하여 사용하는 컴퓨팅 인프라를 가정한 것이나, 본 발명의 실시예에서 사내 업무 시스템(112)은 반드시 특정 회사 또는 조직에 속한 것일 필요는 없으며, 그 제공 목적 또한 반드시 업무에만 한정되는 것은 아님에 유의한다.
도 2는 본 발명의 일 실시예에 따른 사내 네트워크(106)를 구성하는 각 구성요소들을 설명하기 위한 블록도이다. 도시된 바와 같이, 본 발명의 일 실시예에 따른 사내 네트워크(106)는 무선랜 컨트롤러(202) 무선랜 접속 제어 서버(204), VPN 설정 변경 서버(206) 및 인증 서버(208)를 포함한다.
무선랜 컨트롤러(202)는 사내 네트워크(106)에 접속하기를 희망하는 무선 통신 단말(102)을 인증하고, 상기 인증 결과에 따라 무선 통신 단말(102)의 사내 네트워크 접속을 승인 또는 차단한다.
무선랜 접속 제어 서버(204)는 무선 통신 단말(102)의 무선랜 컨트롤러(202)를 통해 사내 네트워크(106)에 접속되는 경우 이를 감지하고 VPN 설정 변경 서버(206)로 무선 통신 단말(102)의 VPN 설정 변경을 요청한다. 일 실시예에서, 무선랜 접속 제어 서버(204)는 무선랜 컨트롤러(302)에 의해 무선 통신 단말(102)의 인증이 완료되는 경우, 무선 통신 단말(102)이 사내 네트워크(106)에 접속한 것으로 판단할 수 있다. 또한, 무선랜 접속 제어 서버(204)는 사내 네트워크(106)에 접속된 무선 통신 단말(102)의 접속 제어를 수행한다.
VPN 설정 변경 서버(206)는 무선랜 접속 제어 서버(204)로부터 무선 통신 단말(102)의 VPN 설정 변경 요청을 수신하고, 무선 통신 단말(102)이 현재 접속 중인 VPN 게이트웨이를 제1 VPN 게이트웨이(108)에서 제2 VPN 게이트웨이(110)로 변경하도록 무선 통신 단말(102)을 제어한다.
일 실시예에서, VPN 설정 변경 서버(206)는 MDM(Mobile Device Management) 서버일 수 있다. 이 경우 상기 MDM 서버는 무선 통신 단말(102)에 구비된 MDM 클라이언트를 제어하여 무선 통신 단말의 접속 대상 VPN 게이트웨이를 제2 VPN 게이트웨이(110)로 변경할 수 있다.
인증 서버(208)는 무선랜 컨트롤러(202)가 무선 통신 단말(102)을 인증하는 데 필요한 인증 정보(인증 크리덴셜(Credential))을 제공한다. 즉, 무선랜 컨트롤러(202)는 무선 통신 단말(102)로부터 수신된 인증 요청을 상기 정보와 비교하여 무선 통신 단말(102)의 인증을 수행한다.
인증 서버(208)는 무선랜 컨트롤러(202)에서 인증이 완료된 무선 통신 단말(102)의 인증 정보를 제2 VPN 게이트웨이(110)로 제공하도록 구성될 수 있다. 이 경우 제2 VPN 게이트웨이(110)는 수신된 상기 인증 정보를 이용하여 무선 통신 단말(102)의 제2 VPN 게이트웨이(110) 접속시 무선 통신 단말(102)을 인증할 수 있다. 즉, 본 발명의 실시예에서 무선랜 컨트롤러(202) 및 제2 VPN 게이트웨이(110)는 동일한 인증 정보를 이용하여 인증을 수행하도록 구성되며, 이에 따라 무선 통신 단말(102)은 한 번의 인증만으로 사내 네트워크(106) 접속 및 제2 VPN 게이트웨이(110) 접속을 동시에 수행할 수 있게 된다.
도 3은 본 발명의 일 실시예에 따른 무선 통신 단말(102)의 상세 구성을 설명하기 위한 블록도이다. 도시된 바와 같이, 본 발명의 일 실시예에 따른 무선 통신 단말(102)은 VPN 클라이언트(302), 무선랜 클라이언트(304) 및 VPN 설정 변경 모듈을 포함한다.
VPN 클라이언트(302)는 제1 VPN 게이트웨이(108) 또는 제2 VPN 게이트웨이(110)에 접속하여 가상 사설망을 형성한다. 전술한 바와 같이, VPN 클라이언트(302)는 무선 통신 단말(102)이 외부 네트워크(104)에 접속한 경우에는 제1 VPN 게이트웨이(108)와, 사내 네트워크(106)에 접속한 경우에는 제2 VPN 게이트웨이(110)와 각각 가상 사설망을 형성하며, 이때 VPN 클라이언트(302)가 접속을 수행할 대상 VPN 게이트웨이는 VPN 클라이언트(302)의 외부로부터 수신되는 VPN 접속 프로파일(profile)에 따라 결정된다. 즉, VPN 클라이언트(302)는 현재 설정된 VPN 접속 프로파일의 VPN 게이트웨이 주소가 제1 VPN 게이트웨이(108)인 경우 제1 게이트웨이(108)로 접속하고, 제2 게이트웨이(110)인 경우에는 제2 게이트웨이(110)로 접속하도록 구성된다. 또한, 전술한 바와 같이 VPN 클라이언트(302)는 상기 무선 통신 단말이 보안 모드인 경우에만 VPN 클라이언트와 가상 사설망을 형성하도록 구성될 수 있다.
무선랜 클라이언트(304)는 사내 네트워크(106)와의 무선 네트워크 접속을 수행한다. 구체적으로, 무선랜 클라이언트(304)는 무선 액세스포인트(미도시)를 통하여 무선랜 컨트롤러(202)와 연결되며, 무선랜 컨트롤러(202)의 단말 인증을 거쳐 사내 네트워크(106)와 연결된다.
VPN 설정 변경 모듈(306)은 무선랜 클라이언트(304)의 상기 무선 네트워크 접속이 완료되는 경우 이를 인지한 VPN 설정 변경 서버(206)로부터 VPN 게이트웨이 변경 요청을 수신하고, 상기 VPN 게이트웨이 변경 요청에 따라 VPN 클라이언트(302)가 현재 접속 중인 VPN 게이트웨이를 제2 VPN 게이트웨이(110)로 변경하도록 VPN 클라이언트(302)를 제어한다. 구체적으로, VPN 설정 변경 모듈은 VPN 클라이언트(302)의 기존 VPN 접속 프로파일을 제2 VPN 게이트웨이(110)의 VPN 접속 프로파일로 변경함으로써 VPN 클라이언트(302)가 현재 접속 중인 VPN 게이트웨이를 제2 VPN 게이트웨이(110)로 변경할 수 있다.
또한 VPN 설정 변경 모듈(306)은, 무선랜 클라이언트(304)의 무선 네트워크 접속이 단절되는 경우, 이를 인지한 VPN 설정 변경 서버(206)로부터 VPN 게이트웨이 재변경 요청을 수신하고, 상기 VPN 게이트웨이 재변경 요청에 따라 VPN 클라이언트(302)가 현재 접속 중인 VPN 게이트웨이를 제1 VPN 게이트웨이(108)로 재변경하도록 VPN 클라이언트(302)를 제어한다. 즉, 본 실시예에서 VPN 설정 변경 서버(206)는 무선 통신 단말(102)이 사내 네트워크(106)에 접속 중인지의 여부에 따라 무선 통신 단말(102)이 접속할 VPN 게이트웨이를 결정하여 그에 따른 VPN 게이트웨이 변경 요청을 VPN 설정 변경 모듈(306)로 전송하고, VPN 설정 변경 모듈(306)은 수신되는 설정 변경 요청에 따라 VPN 클라이언트(302)를 제어하게 된다.
일 실시예에서, VPN 설정 변경 모듈(306)은 MDM(Mobile Device Management) 클라이언트이고, VPN 설정 변경 서버(206)는 MDM 서버일 수 있다. 무선 통신 단말(102)에 포함된 표준 VPN 클라이언트의 대부분은 사용자에 의해 수동으로 제어되는 경우를 제외하고는 MDM 또는 단말 제조사(Vendor)에 의해서 서명된 특정 어플리케이션에 의해서만 제어될 수 있기 때문이다.
도 4는 본 발명의 일 실시예에 따라 제1 VPN 게이트웨이(108)와 가상 사설망 연결을 형성한 무선 통신 단말(102)이 사내 네트워크(106)로 진입함에 따라 VPN 게이트웨이를 제2 VPN 게이트웨이(110)로 변경하기 위한 VPN 접속 제어 방법(400)을 설명하기 위한 흐름도이다.
단계 402에서, 무선랜 접속 제어 서버(204)는 무선 통신 단말(102)의 사내 네트워크(106) 접속을 인지한다. 전술한 바와 같이, 무선랜 접속 제어 서버(204)는 무선랜 컨트롤러(202)에서 무선 통신 단말(102)의 인증을 완료한 경우 무선 통신 단말(102)이 사내 네트워크(106)에 접속한 것으로 인식할 수 있다.
단계 404에서, 무선랜 접속 제어 서버(204)는 VPN 설정 변경 서버(206)로 무선 통신 단말(102)의 VPN 설정 변경을 요청한다.
단계 406에서, VPN 설정 변경 서버(206)는 무선 통신 단말(102)의 VPN 설정 변경 모듈(306)로 VPN 클라이언트(302)를 제어하여 VPN 클라이언트(302)의 VPN 접속 프로파일을 제2 VPN 게이트웨이(110)의 VPN 접속 프로파일로 변경하도록 요청한다.
단계 408에서, VPN 설정 변경 모듈(306)은 상기 406 단계의 요청에 따라 VPN 클라이언트(302)의 VPN 접속 프로파일을 제2 VPN 게이트웨이(110)의 VPN 접속 프로파일로 변경한다. 이때 VPN 설정 변경 모듈(306)은 제2 VPN 게이트웨이(110)의 VPN 접속 프로파일을 새로 생성하여 VPN 클라이언트(302)로 제공할 수도 있고, 또는 VPN 클라이언트(302)에 기 등록된 VPN 접속 프로파일 중 제2 VPN 게이트웨이(110)의 VPN 접속 프로파일을 선택할 수도 있다.
단계 410에서, VPN 클라이언트(302)는 변경된 VPN 접속 프로파일에 따라 제2 VPN 게이트웨이(110)와 가상 사설망을 형성한다. 이때, 상기 VPN 클라이언트(302)는 상기 410 단계의 수행 과정에서 제 VPN 게이트웨이(110)로의 접속 시도가 실패하는 경우 기존의 제1 VPN 게이트웨이(108)로 재접속하도록 구성될 수 있다.
도 5는 본 발명의 일 실시예에 따라 제2 VPN 게이트웨이(110)와 가상 사설망 연결을 형성한 무선 통신 단말(102)이 사내 네트워크(106)에서 벗어남에 VPN 게이트웨이를 제1 VPN 게이트웨이(102)로 재변경하기 위한 VPN 접속 제어 방법(500)을 설명하기 위한 흐름도이다.
단계 502에서, 무선랜 접속 제어 서버(204)는 무선 통신 단말(102)의 사내 네트워크(106) 접속 단절을 인지한다.
단계 504에서, 무선랜 접속 제어 서버(204)는 VPN 설정 변경 서버(206)로 무선 통신 단말(102)의 VPN 설정 재변경을 요청한다.
단계 506에서, VPN 설정 변경 서버(206)는 무선 통신 단말(102)의 VPN 설정 변경 모듈(306)로 VPN 클라이언트(302)를 제어하여 VPN 클라이언트(302)의 VPN 접속 프로파일을 제1 VPN 게이트웨이(108)의 VPN 접속 프로파일로 변경하도록 요청한다.
단계 508에서, VPN 설정 변경 모듈(306)은 상기 506 단계의 요청에 따라 VPN 클라이언트(302)의 VPN 접속 프로파일을 제1 VPN 게이트웨이(108)의 VPN 접속 프로파일로 변경한다. 이때 VPN 설정 변경 모듈(306)은 제1 VPN 게이트웨이(108)의 VPN 접속 프로파일을 새로 생성하여 VPN 클라이언트(302)로 제공할 수도 있고, 또는 VPN 클라이언트(302)에 기 등록된 VPN 접속 프로파일 중 제1 VPN 게이트웨이(108)의 VPN 접속 프로파일을 선택할 수도 있다.
단계 510에서, VPN 클라이언트(302)는 변경된 VPN 접속 프로파일에 따라 제1 VPN 게이트웨이(108)와 가상 사설망을 형성한다.
도 6은 본 발명의 다른 실시예에 따른 무선 통신 단말(102)의 상세 구성을 설명하기 위한 블록도이다. 도시된 바와 같이, 본 발명의 다른 실시예에 따른 무선 통신 단말(102)은 VPN 클라이언트(602) 및 무선랜 클라이언트(604) 및 VPN 설정 변경 모듈을 포함한다. 본 실시예의 경우 MDM 클라이언트 등의 인증된 클라이언트에 의하지 않고 무선랜 클라이언트(604)에서 직접 VPN 클라이언트(602)를 제어할 수 있는 환경에서 적용될 수 있다.
VPN 클라이언트(602)는 제1 VPN 게이트웨이(108) 또는 제2 VPN 게이트웨이(110)에 접속하여 가상 사설망을 형성한다. 앞선 실시예에서와 마찬가지로, VPN 클라이언트(602)는 무선 통신 단말(102)이 외부 네트워크(104)에 접속한 경우에는 제1 VPN 게이트웨이(108)와, 사내 네트워크(106)에 접속한 경우에는 제2 VPN 게이트웨이(110)와 각각 가상 사설망을 형성하며, 이때 VPN 클라이언트(602)가 접속을 수행할 대상 VPN 게이트웨이는 VPN 클라이언트(602)의 외부로부터 수신되는 VPN 접속 프로파일(profile)에 따라 결정된다. 즉, VPN 클라이언트(602)는 현재 설정된 VPN 접속 프로파일의 VPN 게이트웨이 주소가 제1 VPN 게이트웨이(108)인 경우 제1 게이트웨이(108)로 접속하고, 제2 게이트웨이(110)인 경우에는 제2 게이트웨이(110)로 접속하도록 구성된다. 또한, 전술한 바와 같이 VPN 클라이언트(602)는 무선 통신 단말(102)이 보안 모드인 경우에만 VPN 클라이언트와 가상 사설망을 형성하도록 구성될 수 있다.
무선랜 클라이언트(604)는 사내 네트워크(106)와의 무선 네트워크 접속을 수행한다. 구체적으로, 무선랜 클라이언트(604)는 무선 액세스포인트(미도시)를 통하여 무선랜 컨트롤러(202)와 연결되며, 무선랜 컨트롤러(202)의 단말 인증을 거쳐 사내 네트워크(106)와 연결된다.
또한, 무선랜 클라이언트(604)는 상기 무선 네트워크 접속이 완료되는 경우 VPN 클라이언트(602)가 현재 접속 중인 VPN 게이트웨이를 제2 VPN 게이트웨이(110)로 변경하도록 VPN 클라이언트(602)를 제어한다. 구체적으로, VPN 설정 변경 모듈은 VPN 클라이언트(602)의 기존 VPN 접속 프로파일을 제2 VPN 게이트웨이(110)의 VPN 접속 프로파일로 변경함으로써 VPN 클라이언트(602)가 현재 접속 중인 VPN 게이트웨이를 제2 VPN 게이트웨이(110)로 변경할 수 있다. 또한, 무선랜 클라이언트(604)는 사내 네트워크(106)와의 무선 네트워크 접속이 단절되는 경우, VPN 클라이언트(602)가 현재 접속 중인 VPN 게이트웨이를 제1 VPN 게이트웨이(108)로 재변경하도록 VPN 클라이언트(602)를 제어한다.
도 7은 본 발명의 다른 실시예에 따라 제1 VPN 게이트웨이(108)와 가상 사설망 연결을 형성한 무선 통신 단말(102)이 사내 네트워크(106)로 진입함에 따라 VPN 게이트웨이를 제2 VPN 게이트웨이(110)로 변경하기 위한 VPN 접속 제어 방법(700)을 설명하기 위한 흐름도이다.
단계 702에서, 무선랜 클라이언트(604)는 사내 네트워크(106)와의 무선 네트워크 접속을 수행한다.
단계 704에서, 무선랜 클라이언트(604)는 VPN 클라이언트(602)의 VPN 접속 프로파일을 제2 VPN 게이트웨이(110)의 VPN 접속 프로파일로 변경한다. 이때 무선랜 클라이언트(604)는 제2 VPN 게이트웨이(110)의 VPN 접속 프로파일을 새로 생성하여 VPN 클라이언트(602)로 제공할 수도 있고, 또는 VPN 클라이언트(602)에 기 등록된 VPN 접속 프로파일 중 제2 VPN 게이트웨이(110)의 VPN 접속 프로파일을 선택할 수도 있다.
단계 706에서, VPN 클라이언트(602)는 변경된 VPN 접속 프로파일에 따라 제2 VPN 게이트웨이(110)와 가상 사설망을 형성한다. 이때, 상기 VPN 클라이언트(602)는 상기 706 단계의 수행 과정에서 제 VPN 게이트웨이(110)로의 접속 시도가 실패하는 경우 기존의 제1 VPN 게이트웨이(108)로 재접속하도록 구성될 수 있다.
도 8은 본 발명의 다른 실시예에 따라 제2 VPN 게이트웨이(110)와 가상 사설망 연결을 형성한 무선 통신 단말(102)이 사내 네트워크(106)에서 벗어남에 따라 VPN 게이트웨이를 제1 VPN 게이트웨이(107)로 재변경하기 위한 VPN 접속 제어 방법(800)을 설명하기 위한 흐름도이다.
단계 802에서, 무선랜 클라이언트(604)는 사내 네트워크(106)와의 무선 네트워크 접속 단절을 인지한다.
단계 804에서, 무선랜 클라이언트(604)는 VPN 클라이언트(602)의 VPN 접속 프로파일을 제1 VPN 게이트웨이(108)의 VPN 접속 프로파일로 재변경한다. 이때 무선랜 클라이언트(604)는 제1 VPN 게이트웨이(108)의 VPN 접속 프로파일을 새로 생성하여 VPN 클라이언트(602)로 제공할 수도 있고, 또는 VPN 클라이언트(602)에 기 등록된 VPN 접속 프로파일 중 제1 VPN 게이트웨이(108)의 VPN 접속 프로파일을 선택할 수도 있다.
단계 806에서, VPN 클라이언트(602)는 변경된 VPN 접속 프로파일에 따라 제2 VPN 게이트웨이(108)와 가상 사설망을 형성한다.
한편, 본 발명의 실시예는 본 명세서에서 기술한 방법들을 컴퓨터상에서 수행하기 위한 프로그램을 포함하는 컴퓨터 판독 가능 기록매체를 포함할 수 있다. 상기 컴퓨터 판독 가능 기록매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나, 또는 컴퓨터 소프트웨어 분야에서 통상적으로 사용 가능한 것일 수 있다. 컴퓨터 판독 가능 기록매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 플로피 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
100: 가상 사설망 접속 제어 시스템
102: 무선 통신 단말
104: 외부 네트워크
106: 사내 네트워크
108: 제1 VPN 게이트웨이
110: 제2 VPN 게이트웨이
112: 사내 업무 시스템
114: 제한 영역
202: 무선랜 컨트롤러
204: VPN 설정 변경 서버
206: 무선랜 접속 제어 서버
208: 인증 서버
302, 602: VPN 클라이언트
304, 604: 무선랜 클라이언트
306: VPN 설정 변경 모듈

Claims (25)

  1. 제1 VPN(Virtual Private Network) 게이트웨이;
    제2 VPN 게이트웨이;
    상기 제1 VPN(Virtual Private Network) 게이트웨이를 통하여 사내 인트라넷에 접속 중인 무선 통신 단말의 사내 네트워크 접속을 감지하는 무선랜 접속 제어 서버; 및
    상기 무선랜 접속 제어 서버로부터 상기 무선 통신 단말의 VPN 설정 변경 요청을 수신하고, 상기 VPN 설정 변경 요청에 따라 상기 무선 통신 단말이 현재 접속 중인 VPN 게이트웨이를 상기 제2 VPN 게이트웨이로 변경하도록 상기 무선 통신 단말을 제어하는 VPN 설정 변경 서버를 포함하는 가상 사설망 접속 제어 시스템.
  2. 청구항 1에 있어서,
    상기 무선 통신 단말이 상기 사내 네트워크 접속을 시도하는 경우, 상기 무선 통신 단말을 인증하는 무선랜 컨트롤러; 및
    상기 무선랜 컨트롤러로 상기 무선 통신 단말의 인증을 위한 인증 정보를 제공하는 인증 서버를 더 포함하며,
    상기 무선랜 접속 제어 서버는, 상기 무선랜 컨트롤러에 의해 상기 무선 통신 단말의 인증이 완료되는 경우, 상기 무선 통신 단말이 상기 무선 네트워크에 접속한 것으로 판단하는, 가상 사설망 접속 제어 시스템.
  3. 청구항 2에 있어서,
    상기 인증 서버는, 상기 무선 통신 단말의 인증이 완료되는 경우, 인증된 상기 무선 통신 단말의 상기 인증 정보를 상기 제2 VPN 게이트웨이로 제공하며,
    상기 제2 VPN 게이트웨이는 수신된 상기 인증 정보를 이용하여 상기 무선 통신 단말의 상기 제2 VPN 게이트웨이 접속시 상기 무선 통신 단말을 인증하는, 가상 사설망 접속 제어 시스템.
  4. 청구항 1에 있어서,
    상기 VPN 설정 변경 서버는 MDM(Mobile Device Management) 서버인, 가상 사설망 접속 제어 시스템.
  5. 청구항 4에 있어서,
    상기 MDM 서버는 상기 무선 통신 단말에 포함된 MDM 클라이언트를 제어하여 상기 무선 통신 단말의 접속 대상 VPN 게이트웨이를 제2 VPN 게이트웨이로 변경하는, 가상 사설망 접속 제어 시스템.
  6. 청구항 1에 있어서,
    상기 무선랜 접속 제어 서버는, 상기 무선 통신 단말의 상기 사내 네트워크 접속 단절이 감지되는 경우, 상기 VPN 설정 변경 서버로 상기 무선 통신 단말의 VPN 설정 재변경 요청을 송신하며,
    상기 VPN 설정 변경 서버는, 상기 VPN 설정 재변경 요청에 따라 상기 무선 통신 단말이 현재 접속 중인 VPN 게이트웨이를 상기 제1 VPN 게이트웨이로 변경하도록 상기 무선 통신 단말을 제어하는, 가상 사설망 접속 제어 시스템.
  7. 제1 VPN(Virtual Private Network) 게이트웨이에 접속하여 상기 제1 VPN 게이트웨이와 가상 사설망을 형성하는 VPN 클라이언트;
    사내 네트워크와의 무선 네트워크 접속을 수행하는 무선랜 클라이언트; 및
    상기 무선랜 클라이언트의 상기 무선 네트워크 접속이 완료됨에 따라 VPN 설정 변경 서버로부터 제2 VPN 게이트웨이의 접속 주소를 포함하는 VPN 게이트웨이 제어 요청을 수신하고, 수신된 상기 VPN 게이트웨이 제어 요청에 따라 상기 VPN 클라이언트의 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제2 VPN 게이트웨이로 변경하도록 상기 VPN 클라이언트를 제어하는 VPN 설정 변경 모듈을 포함하는 무선 통신 단말.
  8. 청구항 7에 있어서,
    상기 VPN 클라이언트는 상기 무선 통신 단말이 보안 모드인 경우 상기 가상 사설망을 형성하는, 무선 통신 단말.
  9. 청구항 7에 있어서,
    상기 VPN 설정 변경 모듈은 MDM(Mobile Device Management) 클라이언트이고, 상기 VPN 설정 변경 서버는 MDM 서버인, 무선 통신 단말.
  10. 청구항 7에 있어서,
    상기 VPN 클라이언트는 상기 VPN 설정 변경 모듈의 제어에 따라 상기 제2 VPN 게이트웨이에 대한 접속을 시도하고, 상기 접속 시도가 실패하는 경우 상기 제1 VPN 게이트웨이로 재접속하는, 무선 통신 단말.
  11. 청구항 7에 있어서,
    상기 VPN 설정 변경 모듈은, 상기 무선랜 클라이언트의 상기 무선 네트워크 접속이 단절됨에 따라 상기 VPN 설정 변경 서버로부터 VPN 게이트웨이 제어 요청을 재차 수신하고, 상기 재차 수신된 제어 요청에 따라 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제1 VPN 게이트웨이로 재변경하도록 상기 VPN 클라이언트를 제어하는, 무선 통신 단말.
  12. 제1 VPN(Virtual Private Network) 게이트웨이에 접속하여 상기 제1 VPN 게이트웨이와 가상 사설망을 형성하는 VPN 클라이언트; 및
    사내 네트워크와의 무선 네트워크 접속을 수행하고, 상기 무선 네트워크 접속이 완료된 경우 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제2 VPN 게이트웨이로 변경하도록 상기 VPN 클라이언트를 제어하는 무선랜 클라이언트를 포함하는 무선 통신 단말.
  13. 청구항 12에 있어서,
    상기 VPN 클라이언트는 상기 무선랜 클라이언트의 제어에 따라 상기 제2 VPN 게이트웨이에 대한 접속을 시도하고, 상기 접속 시도가 실패하는 경우 상기 제1 VPN 게이트웨이로 재접속하는, 무선 통신 단말.
  14. 청구항 12에 있어서,
    상기 무선랜 클라이언트는, 상기 사내 네트워크와의 상기 무선 네트워크 접속이 단절되는 경우 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제1 VPN 게이트웨이로 재변경하도록 상기 VPN 클라이언트를 제어하는, 무선 통신 단말.
  15. 무선랜 접속 제어 서버에서, 제1 VPN(Virtual Private Network) 게이트웨이를 통하여 사내 인트라넷에 접속 중인 무선 통신 단말의 사내 네트워크 접속을 감지하는 단계;
    VPN 설정 변경 서버에서, 상기 무선랜 접속 제어 서버로부터 상기 무선 통신 단말의 VPN 설정 변경 요청을 수신하는 단계; 및
    상기 VPN 설정 변경 서버에서, 상기 VPN 설정 변경 요청에 따라 상기 무선 통신 단말이 현재 접속 중인 VPN 게이트웨이를 상기 제2 VPN 게이트웨이로 변경하도록 상기 무선 통신 단말을 제어하는 단계를 포함하는 가상 사설망 접속 제어 방법.
  16. 청구항 15에 있어서,
    상기 사내 네트워크 접속을 감지하는 단계의 수행 전, 상기 무선 통신 단말이 상기 사내 네트워크 접속을 시도하는 경우,
    무선랜 컨트롤러에서, 상기 무선 통신 단말의 인증 정보를 인증 서버로부터 수신하는 단계; 및
    상기 무선랜 컨트롤러에서, 수신된 상기 인증 정보를 이용하여 상기 무선 통신 단말을 인증하는 단계를 더 포함하며,
    상기 사내 네트워크 접속을 감지하는 단계는, 상기 무선랜 컨트롤러에 의해 상기 무선 통신 단말의 인증이 완료되는 경우 상기 무선 통신 단말이 상기 무선 네트워크에 접속한 것으로 판단하는, 가상 사설망 접속 제어 방법.
  17. 청구항 16에 있어서,
    상기 인증하는 단계 이후,
    상기 인증 서버에서, 인증된 상기 무선 통신 단말의 인증 정보를 상기 제2 VPN 게이트웨이로 제공하는 단계를 더 포함하며,
    상기 제2 VPN 게이트웨이는 수신된 상기 인증 정보를 이용하여 상기 무선 통신 단말의 상기 제2 VPN 게이트웨이 접속시 상기 무선 통신 단말을 인증하는, 가상 사설망 접속 제어 방법.
  18. 청구항 15에 있어서,
    상기 무선랜 접속 제어 서버는, 상기 무선 통신 단말의 상기 사내 네트워크 접속 단절이 감지되는 경우, 상기 VPN 설정 변경 서버로 상기 무선 통신 단말의 VPN 설정 재변경 요청을 송신하며,
    상기 VPN 설정 변경 서버는, 상기 VPN 설정 재변경 요청에 따라 상기 무선 통신 단말이 현재 접속 중인 VPN 게이트웨이를 상기 제1 VPN 게이트웨이로 변경하도록 상기 무선 통신 단말을 제어하는, 가상 사설망 접속 제어 방법.
  19. VPN 클라이언트에서, 제1 VPN(Virtual Private Network) 게이트웨이에 접속하여 상기 제1 VPN 게이트웨이와 가상 사설망을 형성하는 단계;
    무선랜 클라이언트에서, 사내 네트워크와의 무선 네트워크 접속을 수행하는 단계;
    VPN 설정 변경 모듈에서, 상기 무선랜 클라이언트의 상기 무선 네트워크 접속이 완료됨에 따라 VPN 설정 변경 서버로부터 VPN 게이트웨이 제어 요청을 수신하는 단계; 및
    상기 VPN 설정 변경 모듈에서, 수신된 상기 VPN 게이트웨이 제어 요청에 따라 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제2 VPN 게이트웨이로 변경하도록 상기 VPN 클라이언트를 제어하는 단계를 포함하는 가상 사설망 접속 제어 방법.
  20. 청구항 19에 있어서,
    상기 VPN 클라이언트는 상기 무선 통신 단말이 보안 모드인 경우 상기 가상 사설망을 형성하는, 가상 사설망 접속 제어 방법.
  21. 청구항 19에 있어서,
    상기 VPN 클라이언트는, 상기 VPN 설정 변경 모듈의 제어에 따라 상기 제2 VPN 게이트웨이에 대한 접속을 시도하고, 상기 접속 시도가 실패하는 경우 상기 제1 VPN 게이트웨이로 재접속하는, 가상 사설망 접속 제어 방법.
  22. 청구항 19에 있어서,
    상기 VPN 설정 변경 모듈은, 상기 무선랜 클라이언트의 상기 무선 네트워크 접속이 단절됨에 따라 상기 VPN 설정 변경 서버로부터 VPN 게이트웨이 제어 요청을 재수신하고, 상기 재수신된 제어 요청에 따라 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제1 VPN 게이트웨이로 재변경하도록 상기 VPN 클라이언트를 재차 제어하는, 가상 사설망 접속 제어 방법.
  23. VPN 클라이언트에서, 제1 VPN(Virtual Private Network) 게이트웨이에 접속하여 상기 제1 VPN 게이트웨이와 가상 사설망을 형성하는 단계;
    무선랜 클라이언트에서, 사내 네트워크와의 무선 네트워크 접속을 수행하는 단계; 및
    상기 무선랜 클라이언트에서, 상기 무선 네트워크 접속이 완료된 경우 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제2 VPN 게이트웨이로 변경하도록 상기 VPN 클라이언트를 제어하는 단계를 포함하는 가상 사설망 접속 제어 방법.
  24. 청구항 24에 있어서,
    상기 VPN 클라이언트는, 상기 무선랜 클라이언트의 제어에 따라 상기 제2 VPN 게이트웨이에 대한 접속을 시도하고, 상기 접속 시도가 실패하는 경우 상기 제1 VPN 게이트웨이로 재접속하는, 가상 사설망 접속 제어 방법.
  25. 청구항 23에 있어서,
    상기 무선랜 클라이언트는, 상기 사내 네트워크와의 상기 무선 네트워크 접속이 단절되는 경우 상기 VPN 클라이언트가 현재 접속 중인 VPN 게이트웨이를 제1 VPN 게이트웨이로 재변경하도록 상기 VPN 클라이언트를 재차 제어하는, 가상 사설망 접속 제어 방법.
KR1020130161749A 2013-12-23 2013-12-23 가상 사설망 접속 제어 시스템 및 방법 KR102108000B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020130161749A KR102108000B1 (ko) 2013-12-23 2013-12-23 가상 사설망 접속 제어 시스템 및 방법
US14/579,050 US9565165B2 (en) 2013-12-23 2014-12-22 System and method for controlling virtual private network access
CN201410816587.3A CN104735051B (zh) 2013-12-23 2014-12-23 虚拟专用网连接控制系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130161749A KR102108000B1 (ko) 2013-12-23 2013-12-23 가상 사설망 접속 제어 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20150073723A true KR20150073723A (ko) 2015-07-01
KR102108000B1 KR102108000B1 (ko) 2020-05-28

Family

ID=53401383

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130161749A KR102108000B1 (ko) 2013-12-23 2013-12-23 가상 사설망 접속 제어 시스템 및 방법

Country Status (3)

Country Link
US (1) US9565165B2 (ko)
KR (1) KR102108000B1 (ko)
CN (1) CN104735051B (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102428444B1 (ko) * 2021-02-05 2022-08-01 한전케이디엔주식회사 Ip정보를 활용한 vpn 보안관제 이상징후 탐지 시스템 및 방법
WO2022231304A1 (ko) * 2021-04-28 2022-11-03 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105636151B (zh) * 2015-06-29 2017-08-11 宇龙计算机通信科技(深圳)有限公司 一种网络连接方法及电子设备
US9906560B2 (en) 2015-08-28 2018-02-27 Nicira, Inc. Distributing remote device management attributes to service nodes for service rule processing
CN110753071B (zh) * 2018-07-23 2022-08-16 视联动力信息技术股份有限公司 一种信息获取方法和装置
US11863588B2 (en) * 2019-08-07 2024-01-02 Cisco Technology, Inc. Dynamically tailored trust for secure application-service networking in an enterprise
CN115225313B (zh) * 2022-06-02 2023-08-29 清华大学 一种高可靠的云网络虚拟专用网络通信方法和装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080072004A (ko) 2005-12-02 2008-08-05 루센트 테크놀러지스 인크 기업 네트워크들에 보안 원격 액세스를 제공하는 방법 및장치
US20090144817A1 (en) * 2007-12-03 2009-06-04 Chendil Kumar Techniques for high availability of virtual private networks (vpn's)
US7673048B1 (en) * 2003-02-24 2010-03-02 Cisco Technology, Inc. Methods and apparatus for establishing a computerized device tunnel connection
US20130205025A1 (en) * 2012-02-07 2013-08-08 Cisco Technology, Inc. Optimized Virtual Private Network Routing Through Multiple Gateways
JP2013192221A (ja) * 2008-11-17 2013-09-26 Qualcomm Inc セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス
US20130297933A1 (en) * 2012-03-29 2013-11-07 Lockheed Martin Corporation Mobile enterprise smartcard authentication

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8296839B2 (en) * 2006-06-06 2012-10-23 The Mitre Corporation VPN discovery server
CN101242261B (zh) * 2008-03-21 2010-08-04 华耀环宇科技(北京)有限公司 一种基于操作系统桌面的vpn连接分离方法
US8613072B2 (en) * 2009-02-26 2013-12-17 Microsoft Corporation Redirection of secure data connection requests
KR101303120B1 (ko) * 2011-09-28 2013-09-09 삼성에스디에스 주식회사 상호 인증 기반의 가상사설망 서비스 장치 및 방법
US8856330B2 (en) * 2013-03-04 2014-10-07 Fmr Llc System for determining whether to block internet access of a portable system based on its current network configuration

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7673048B1 (en) * 2003-02-24 2010-03-02 Cisco Technology, Inc. Methods and apparatus for establishing a computerized device tunnel connection
KR20080072004A (ko) 2005-12-02 2008-08-05 루센트 테크놀러지스 인크 기업 네트워크들에 보안 원격 액세스를 제공하는 방법 및장치
US20090144817A1 (en) * 2007-12-03 2009-06-04 Chendil Kumar Techniques for high availability of virtual private networks (vpn's)
JP2013192221A (ja) * 2008-11-17 2013-09-26 Qualcomm Inc セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス
US20130205025A1 (en) * 2012-02-07 2013-08-08 Cisco Technology, Inc. Optimized Virtual Private Network Routing Through Multiple Gateways
US20130297933A1 (en) * 2012-03-29 2013-11-07 Lockheed Martin Corporation Mobile enterprise smartcard authentication

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102428444B1 (ko) * 2021-02-05 2022-08-01 한전케이디엔주식회사 Ip정보를 활용한 vpn 보안관제 이상징후 탐지 시스템 및 방법
WO2022231304A1 (ko) * 2021-04-28 2022-11-03 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Also Published As

Publication number Publication date
CN104735051A (zh) 2015-06-24
US9565165B2 (en) 2017-02-07
CN104735051B (zh) 2018-08-31
KR102108000B1 (ko) 2020-05-28
US20150180832A1 (en) 2015-06-25

Similar Documents

Publication Publication Date Title
US11507680B2 (en) System and method for access control using network verification
US11120125B2 (en) Configurable internet isolation and security for laptops and similar devices
KR20150073723A (ko) 가상 사설망 접속 제어 시스템 및 방법
US9240977B2 (en) Techniques for protecting mobile applications
EP3215930B1 (en) Mobile authentication in mobile virtual network
US10834133B2 (en) Mobile device security policy based on authorized scopes
EP3422236B1 (en) Policy-based application management
EP2907289B1 (en) Providing virtualized private network tunnels
EP3541104B1 (en) Data management for an application with multiple operation modes
EP2629557B1 (en) Establishing connectivity between an enterprise security perimeter of a device and an enterprise
US20160315940A1 (en) System and method for controlling access
US10298579B2 (en) Integrated hosted directory
US9380077B2 (en) Switching between networks
JP6470597B2 (ja) キャプティブポータル対応のvpn通信端末、その通信制御方法及びそのプログラム
EP3876497A1 (en) Updated compliance evaluation of endpoints
US20190028460A1 (en) Low-overhead single sign on
KR101310631B1 (ko) 네트워크 접근 제어 시스템 및 방법
KR102345866B1 (ko) 서버시스템 및 서버시스템에서 수행되는 사용자단말에 대한 통신 보안방법
US10021036B2 (en) Managing persistent cookies on a corporate web portal
US10601827B2 (en) Integrated hosted directory
US11770365B2 (en) Contextual awareness with Internet of Things (IoT) infrastructure for managed devices
KR101357970B1 (ko) 무선 네트워크 접속 설정 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant