KR20160123102A - Vpn 보호 장치 및 그 동작 방법 - Google Patents

Vpn 보호 장치 및 그 동작 방법 Download PDF

Info

Publication number
KR20160123102A
KR20160123102A KR1020150053235A KR20150053235A KR20160123102A KR 20160123102 A KR20160123102 A KR 20160123102A KR 1020150053235 A KR1020150053235 A KR 1020150053235A KR 20150053235 A KR20150053235 A KR 20150053235A KR 20160123102 A KR20160123102 A KR 20160123102A
Authority
KR
South Korea
Prior art keywords
address
vpn
client
fake
vpn device
Prior art date
Application number
KR1020150053235A
Other languages
English (en)
Inventor
박평구
윤호선
류호용
홍성백
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020150053235A priority Critical patent/KR20160123102A/ko
Priority to US15/017,833 priority patent/US20160308836A1/en
Publication of KR20160123102A publication Critical patent/KR20160123102A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • H04L61/2007
    • H04L61/2061
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2539Hiding addresses; Keeping addresses anonymous
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation

Abstract

본 발명은 VPN 보호 장치 및 그 동작 방법에 관한 것으로, 본 발명의 일 실시예에 따른 VPN 보호 장치의 동작 방법은, 클라이언트로부터 서비스 요청을 수신하는 단계, 상기 클라이언트가 요청한 서비스를 제공하는 서비스 서버와 연결된 VPN 장치의 fake 주소를 동적으로 할당하는 단계 및 상기 VPN 장치에 할당된 상기 fake 주소를 상기 클라이언트와 상기 VPN 장치로 전송하는 단계를 포함하는 것을 특징으로 한다.

Description

VPN 보호 장치 및 그 동작 방법{VIRTUAL PRIVATE NETWORK SECUIRITY APPARATUS AND OPERATOIN METHOD THEREOF}
본 발명은 VPN 보호 장치 및 그 동작 방법에 관한 것이다.
IP 네트워크는 IP 주소만 알면 공격이 가능한 개방형 특성을 가지고 있다. 이러한 취약점을 방지하기 위하여 IPsec 을 이용하고 있다. 하지만, 종래 기술에 따른 IPsec은 데이터에 대한 보안은 가능하지만, 패킷 포워딩을 위한 IP 헤더가 노출되는 특성이 있다. 이에 따라, IP 헤더에 목적지 주소가 노출되면, 해당 IP 주소에 공격자가 플러딩 공격 등으로 IPsec 지원 장치에 부하를 가중시키는 것이 가능하다.
도 1은 종래 기술에 따른 IPsec VPN 서비스에 대한 개념도이다.
일반적으로 IPsec VPN 은 인터넷과 같은 공중망(120)을 이용하여 데이터 센터나 기업망(140) 내부에 위치한 서비스 서버(161, 162,…, 16N)에 보안 통신을 위해 사용된다. 이때, 데이터 센터나 기업망(140)의 경계에는 VPN 장치(150)가 존재하고, 접속을 원하는 단말 및 클라이언트(111, 112,…, 11k)가 IPsec VPN 터널(131, 132,…, 13k)을 요청하여 설정하게 된다. IPsec VPN 은 터널 모드와 Transport 모드로 구분되는데, 여기서는 IPsec VPN 은 터널 모드를 기반으로 설명한다.
도 2는 종래 기술에 따를 IPsec VPN 서비스에 대한 데이터 구성을 나타내는 도면이다.
클라이언트(110)와 VPN 장치(150) 간에 네트워크(120)를 통해 보안 터널이 설정되면, 보안이 필요한 데이터를 보안터널을 이용해서 전송하게 된다. 이때, 데이터(210)는 암호화 되고 IP 헤더(220)를 이용하여 전송 데이터를 생성한다. 또한 생성된 IPsec VPN(이하 보안터널) 헤더(230)를 데이터 앞에 추가한다. 이때, 중간에 인터넷망을 이용하므로 보안 터널 헤더는 반드시 일반 네트워크 장비가 알 수 있는 IP 주소를 이용하게 된다. 데이터를 수신한 VPN 장치(150)는 보안터널 헤더를 이용하여 복호화하고, 원래의 데이터(240)와 IP헤더(250)를 복원한다.
만약, 인터넷 망에 접속한 제3자가 보안 터널 헤더를 알게 된다면, 개방된 IP 인터넷 망의 특성상 IPsec VPN 장치에 대해 지속적인 IPsec VPN 설정 요청을 전달할 수 있어, IPsec VPN 장치의 성능을 저하시키고, 궁극적으로 서비스가 불가능한 상태가 발생할 수 있다. 이 경우, IPsec VPN 장치의 불능 상태는 전체 서비스가 불가능한 상태가 될 수 있다는 문제가 있다.
본 발명은 각 사용자 및 서비스 별로 가상의 주소를 할당하는 VPN 보호 장치 및 그 동작 방법을 제공하는데 그 목적이 있다.
본 발명의 일 실시예에 따른 VPN 보호 장치의 동작 방법은, 클라이언트로부터 서비스 요청을 수신하는 단계, 상기 클라이언트가 요청한 서비스를 제공하는 서비스 서버와 연결된 VPN 장치의 fake 주소를 동적으로 할당하는 단계 및 상기 VPN 장치에 할당된 상기 fake 주소를 상기 클라이언트와 상기 VPN 장치로 전송하는 단계를 포함하는 것을 특징으로 한다.
본 발명의 다른 실시예에 따른 VPN 장치의 동작 방법은, VPN 보호 장치로부터 VPN 장치에 대한 fake 주소를 통해 패킷을 수신하는 단계, 상기 수신한 패킷의 헤더에서 상기 VPN 장치에 대한 fake 주소를 원래 주소로 변환하는 NAT(Network Address Translation)를 수행하는 단계 및 상기 NAT를 수행한 패킷을 복호화 하여 상기 패킷의 헤더에서 상기 VPN 장치에 대한 주소를 제거하는 단계를 포함하는 것을 특징으로 한다.
본 발명의 또다른 실시예에 따른 VPN 보호 장치는, 클라이언트 및 VPN 장치와 데이터를 송수신하는 통신부, 상기 클라이언트가 요청한 서비스를 제공하는 서비스 서버와 연결된 VPN 장치의 fake 주소를 동적으로 할당하는 주소 할당부 및 상기 클라이언트로부터 서비스 요청을 수신하는 경우, 상기 주소 할당부에서 상기 VPN 장치에 할당된 상기 fake 주소를 상기 클라이언트와 상기 VPN 장치에 전송하도록 제어하는 제어부를 포함하는 것을 특징으로 한다.
본 발명의 또다른 실시예에 따른 VPN 장치는, 클라이언트 및 VPN 보호 장치와 데이터를 송수신하는 통신부 및 상기 VPN 보호 장치로부터 할당된 fake 주소를 통해 패킷을 수신하고, 상기 수신한 패킷의 헤더에서 상기 VPN 장치에 대한 fake 주소를 원래 주소로 변환하는 NAT(Network Address Translation)를 수행하며, 상기 NAT를 수행한 패킷을 복호화 하여 상기 패킷의 헤더에서 상기 VPN 장치에 대한 주소를 제거하도록 제어하는 제어부를 포함하는 것을 특징으로 한다.
본 발명에 따르면, 동적으로 VPN 장치의 주소를 변경하여, VPN 장치를 보호할 수 있다.
도 1은 종래 기술에 따른 IPsec VPN 서비스에 대한 개념도이다.
도 2는 종래 기술에 따를 IPsec VPN 서비스에 대한 데이터 구성을 나타내는 도면이다.
도 3은 본 발명의 일 실시예에 따른 VPN 보호 시스템을 나타내는 개념도이다.
도 4는 본 발명의 일 실시예에 따른 VPN 보호 장치의 동작 방법을 나타내는 순서도이다.
도 5는 본 발명의 일 실시예에 따른 VPN 보호 시스템에서의 데이터 구성이다.
도 6은 본 발명의 일 실시예에 따른 VPN 장치의 내부 구성을 나타내는 블록도이다.
도 7은 본 발명의 일 실시예에 따른 VPN 장치의 데이터 처리 과정을 나타내는 도면이다.
도 8은 본 발명의 일 실시예에 따른 VPN 장치의 동작 방법을 나타내는 순서도이다.
도 9는 본 발명의 일 실시예에 따라 가상 주소를 전달하는 메커니즘을 설명하는 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. 이 때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 장치를 사이에 두고 "간접적으로 연결"되어 있는 경우도 포함한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
도 3은 본 발명의 일 실시예에 따른 VPN 보호 시스템을 나타내는 개념도이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 VPN 보호 시스템은, 클라이언트(110), VPN 보호 장치(310) 및 VPN 장치(150)를 포함한다. 여기서 VPN 장치(150)는 IPsec VPN 장치 일 수 있다.
클라이언트(110)와 VPN 장치(150)는 서비스를 위한 기본 장치로 구성되고, VPN 보호 장치(310)는 클라이언트(110)와 VPN 장치(150)의 제어를 수행한다.
VPN 보호 장치(310)는 클라이언트(110)가 접속하는 VPN 장치(150)의 주소정보를 동적으로 할당한다. VPN 보호 장치(310)는 인증 시스템과 연동이 가능하고 인증 후 동적으로 주소를 할당할 수 있도록 한다. 이러한 VPN 보호 장치(310)의 동작 과정이 도 4에 도시되어 있다.
도 4는 본 발명의 일 실시예에 따른 VPN 보호 장치의 동작 방법을 나타내는 순서도이다.
도 4를 참조하면, 먼저, 410 단계에서 VPN 보호 장치(310)는 클라이언트(110)로부터 서비스 요청을 수신한다. 본 발명의 일 실시예에 따르면, VPN 보호 장치(310)는 클라이언트(110)로부터 서비스 요청을 수신한 이후, 해당 클라이언트(110)에 대한 인증을 수행할 수도 있다.
그 후, 420 단계에서 VPN 보호 장치(310)는 상기 클라이언트가 요청한 서비스를 제공하는 서비스 서버와 연결된 VPN 장치(150)의 fake 주소를 동적으로 할당한다. 여기서 fake 주소는 VPN 장치(150)의 원래 주소가 아닌 가상의 주소를 의미한다. 본 발명의 일 실시예에 따르면, VPN 장치(150) 주소 풀(address pool)에서 임의로 하나의 주소를 선택하고, 선택한 주소를 fake 주소로 할당할 수 있다. 또한, VPN 보호 장치(310)는 서비스 서버의 fake 주소를 동적으로 할당할 수도 있다.
다음으로, 430 단계에서 VPN 보호 장치(310)는 VPN 장치(150)에 할당된 fake 주소를 클라이언트(110)와 VPN 장치(150)로 전송한다.
나아가, VPN 보호 장치(310)는 주기적으로 또는 설정된 이벤트가 발생하는 경우, VPN 장치(150)에 새로운 fake 주소를 할당하고, 클라이언트(110)와 VPN 장치(150)에 할당된 새로운 fake 주소를 전송할 수 있다.
VPN 보호 장치(310)는 클라이언트(110)가 접속하는 VPN 장치(150)의 주소정보를 동적으로 할당하기 위하여, 통신부, 주소 할당부 및 제어부를 포함할 수 있다. 통신부는 클라이언트(110) 및 VPN 보호 장치와 데이터를 송수신할 수 있고, 주소 할당부는 클라이언트(110)가 요청한 서비스를 제공하는 서비스 서버와 연결된 VPN 장치(150)의 fake 주소를 동적으로 할당하며, 제어부는 VPN 보호 장치(310)의 전반적인 동작 과정, 즉, 클라이언트로(110)부터 서비스 요청을 수신하는 경우, 주소 할당부에서 VPN 장치(150)에 할당된 fake 주소를 클라이언트(110)와 VPN 장치(150)에 전송하는 과정을 제어할 수 있다.
도 5는 본 발명의 일 실시예에 따른 VPN 보호 시스템에서의 데이터 구성이다.
도 5를 참조하면, 데이터(510) 앞에 VPN 보호 장치(310)가 할당한 주소인 Fake VPN IP 주소(530)와 Fake Service Server IP(520)가 추가된다. 이러한 패킷을 네트워크(120)를 통해 클라이언트(110)에서 VPN 장치(150)까지 전송하면, VPN 장치는 복호화를 통해 Fake VPN IP(530)를 제거한다. 또한 Fake Service Server IP(520)를 원래의 주소(550)로 수정하여 서비스 서버(160)로 전송한다. 이러한 과정을 거치면, 서비스 서버(160)는 클라이언트(110)가 원래의 주소로 서비스를 요청한 것으로 판단하게 된다.
도 6은 본 발명의 일 실시예에 따른 VPN 장치의 내부 구성을 나타내는 블록도이고, 도 7은 본 발명의 일 실시예에 따른 VPN 장치의 데이터 처리 과정을 나타내는 도면이다.
도 5에서 설명한 것과 같이 서비스 서버(160)가 서비스를 제공하기 위해서는 Fake Service Server IP를 원래의 주소로 바꾸어야 한다. 또한, VPN 장치(150)에 대한 Fake IP 역시 원래의 IKE(Internet Key Exchange) Protocol(612)에서 사용하는 주소로 바꿔주어야 한다. 이때, VPN 장치(150)를 제어 평면(610)과 데이터 평면(622)로 표현이 가능하다.
제어 평면(610)은 VPN 보호 장치(VPS) 연동 프로토콜(611)과 IKE 프로토콜(612)로 구성되며, 데이터 평면(622)는 가상 인터페이스(621), IPsec 인터페이스(622), IPsec 엔진(623) 및 NAT 인터페이스(624)를 포함할 수 있다. 또한, 데이터 평면은 물리 인터페이스(631, 632)과 연결되어 있다.
이때, IKE 프로토콜(612)은 IPsec 인터페이스(622) 하나에 대해 IKE 프로토콜(612)이 구동되고, 각각의 가상 주소는 가상 인터페이스(621)를 생성할 수 있다. 물리 인터페이스(631)를 통해 입력되는 데이터(710)는 대응하는 가상 인터페이스로 입력된다. 이러한 데이터(710)는 IPsec 인터페이스(622)에서 NAT를 수행하여 Fake VPN IP를 제거한 데이터(720)가 된다. 이러한 데이터(720)는 IPsec 엔진(623)으로 입력되어 복호화 된다(730). 복호화된 데이터(730)는 NAT 인터페이스(624)에서 Fake Service Server IP 를 원래의 IP 주소로 변경하고, 물리 인터페이스(632)를 통해 서비스 서버로 출력된다. 이러한 VPN 장치의 동작 과정이 도 8에 도시되어 있다.
도 8은 본 발명의 일 실시예에 따른 VPN 장치의 동작 방법을 나타내는 순서도이다.
도 8을 참조하면, 먼저, 810 단계에서 VPN 장치(150)는 VPN 보호 장치(310)로부터 할당된 fake 주소를 통해 패킷을 수신한다. 본 발명의 일 실시예에 따르면, 클라이언트(110)와 VPN 장치(150) 간에 fake 주소를 이용하여 형성된 터널을 통해 패킷을 수신할 수 있다.
그 후, 820 단계에서 VPN 장치(150)는 수신한 패킷의 헤더에서 VPN 장치(150)에 대한 fake 주소를 원래 주소로 변환하는 NAT(Network Address Translation)를 수행한다.
다음으로 830 단계에서 NAT를 수행한 패킷을 복호화 하여 상기 패킷의 헤더에서 VPN 장치(150)에 대한 주소를 제거한다.
나아가, VPN 장치(150)는 수신한 패킷에서 서비스 서버에 대한 fake 주소를 원래 주소로 변환하고, 수신한 패킷을 서비스 서버로 전송할 수 있다.
VPN 장치(150)는 이러한 과정을 수행하기 위하여 통신부와 제어부를 포함할 수 있다. 통신부는 클라이언트 및 VPN 보호 장치와 데이터를 송수신하고, 제어부는 VPN 장치(150)의 전반적인 동작 과정, 즉, VPN 보호 장치(310)로부터 할당된 fake 주소를 통해 패킷을 수신하고, 수신한 패킷의 헤더에서 fake 주소를 원래 주소로 변환하는 NAT(Network Address Translation)를 수행하며, NAT를 수행한 패킷을 복호화 하여 패킷의 헤더에서 상기 VPN 장치에 대한 주소를 제거하는 과정을 제어할 수 있다.
본 발명에 따르면, 가상의 IPsec VPN 주소를 이용하여 공격자가 VPN 장치(150)의 주소를 알게 되더라도 공격이 불가능하게 된다. 특히, 가상주소가 Routable하는 않는 경우라면, 네트워크 중간의 네트워크 장비에서 공격 트래픽을 Drop 하게 된다.
도 9는 본 발명의 일 실시예에 따라 가상 주소를 전달하는 메커니즘을 설명하는 도면이다.
도 9를 참조하면, 가상 주소로 임의의 주소를 할당하는 경우, IKE 프로토콜이 패킷을 전달되지 않게 한다. 따라서, 네트워크 장치(910, 920)는 표준에 정의된 터널을 이용하여 IPsec VPN 장치(150)에 패킷을 전달할 수 있다. 이때, 사용할 수 있는 터널 구조는 GRE(930), MPLS(940), IP-IP(950), IPsec(960) 등 다양하게 사용이 가능하다.
본 명세서와 도면에 개시된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.
110: 클라이언트
120: 네트워크
150: VPN 장치
310: VPN 보호 장치

Claims (16)

  1. 클라이언트로부터 서비스 요청을 수신하는 단계;
    상기 클라이언트가 요청한 서비스를 제공하는 서비스 서버와 연결된 VPN 장치의 fake 주소를 동적으로 할당하는 단계; 및
    상기 VPN 장치에 할당된 상기 fake 주소를 상기 클라이언트와 상기 VPN 장치로 전송하는 단계를 포함하는 것을 특징으로 하는 VPN 보호 장치의 동작 방법.
  2. 제1항에 있어서,
    상기 클라이언트가 요청한 서비스를 제공하는 서비스 서버와 연결된 VPN 장치의 fake 주소를 동적으로 할당하는 단계는,
    주소 풀(address pool)에서 임의로 하나의 주소를 선택하는 단계; 및
    상기 선택한 주소를 상기 fake 주소로 할당하는 단계를 포함하는 것을 특징으로 하는 VPN 보호 장치의 동작 방법.
  3. 제1항에 있어서,
    상기 VPN 장치에 할당된 상기 fake 주소를 상기 클라이언트와 상기 VPN 장치로 전송하는 단계 이후,
    주기적으로 또는 설정된 이벤트가 발생하는 경우, 상기 VPN 장치에 새로운 fake 주소를 할당하는 단계; 및
    상기 클라이언트와 상기 VPN 장치에 할당된 상기 새로운 fake 주소를 전송하는 단계를 포함하는 것을 특징으로 하는 VPN 보호 장치의 동작 방법.
  4. 제1항에 있어서,
    상기 클라이언트가 요청한 서비스를 제공하는 서비스 서버와 연결된 VPN 장치의 fake 주소를 동적으로 할당하는 단계는,
    상기 서비스 서버의 fake 주소를 동적으로 할당하는 단계를 포함하는 것을 특징으로 하는 VPN 보호 장치의 동작 방법.
  5. 제1항에 있어서,
    상기 클라이언트로부터 서비스 요청을 수신하는 단계 이후,
    상기 클라이언트에 대한 인증을 수행하는 단계를 더 포함하는 것을 특징으로 하는 VPN 보호 장치의 동작 방법.
  6. VPN 보호 장치로부터 할당된 fake 주소를 통해 패킷을 수신하는 단계;
    상기 수신한 패킷의 헤더에서 상기 fake 주소를 원래 주소로 변환하는 NAT(Network Address Translation)를 수행하는 단계; 및
    상기 NAT를 수행한 패킷을 복호화 하여 상기 패킷의 헤더에서 VPN 장치에 대한 주소를 제거하는 단계를 포함하는 것을 특징으로 하는 VPN 장치의 동작 방법.
  7. 제6항에 있어서,
    상기 NAT를 수행한 패킷을 복호화 하여 상기 패킷의 헤더에서 상기 VPN 장치에 대한 주소를 제거하는 단계 이후,
    상기 수신한 패킷에서 서비스 서버에 대한 fake 주소를 원래 주소로 변환하는 단계; 및
    상기 수신한 패킷을 상기 서비스 서버로 전송하는 단계를 더 포함하는 것을 특징으로 하는 VPN 장치의 동작 방법.
  8. 제6항에 있어서,
    상기 VPN 보호 장치로부터 할당된 fake 주소를 통해 패킷을 수신하는 단계는,
    클라이언트와 상기 VPN 장치 간에 상기 fake 주소를 이용하여 형성된 터널을 통해 패킷을 수신하는 것을 특징으로 하는 VPN 장치의 동작 방법.
  9. 클라이언트 및 VPN 장치와 데이터를 송수신하는 통신부;
    상기 클라이언트가 요청한 서비스를 제공하는 서비스 서버와 연결된 VPN 장치의 fake 주소를 동적으로 할당하는 주소 할당부; 및
    상기 클라이언트로부터 서비스 요청을 수신하는 경우, 상기 주소 할당부에서 상기 VPN 장치에 할당된 상기 fake 주소를 상기 클라이언트와 상기 VPN 장치에 전송하도록 제어하는 제어부를 포함하는 것을 특징으로 하는 VPN 보호 장치.
  10. 제9항에 있어서,
    상기 주소 할당부는,
    주소 풀(address pool)에서 임의로 하나의 주소를 선택하여, 상기 선택한 주소를 상기 fake 주소로 할당하는 단계를 포함하는 것을 특징으로 하는 VPN 보호 장치.
  11. 제9항에 있어서,
    상기 주소 할당부는,
    주기적으로 또는 설정된 이벤트가 발생하는 경우, 상기 VPN 장치에 새로운 fake 주소를 할당하는 것을 특징으로 하는 VPN 보호 장치.
  12. 제9항에 있어서,
    상기 클라이언트가 요청한 서비스를 제공하는 서비스 서버와 연결된 VPN 장치의 fake 주소를 동적으로 할당하는 단계는,
    상기 서비스 서버의 facke 주소를 동적으로 할당하는 단계를 포함하는 것을 특징으로 하는 VPN 보호 장치.
  13. 제9항에 있어서,
    상기 클라이언트에 대한 인증을 수행하는 인증부를 더 포함하는 것을 특징으로 하는 VPN 보호 장치.
  14. 클라이언트 및 VPN 보호 장치와 데이터를 송수신하는 통신부; 및
    상기 VPN 보호 장치로부터 할당된 fake 주소를 통해 패킷을 수신하고, 상기 수신한 패킷의 헤더에서 fake 주소를 원래 주소로 변환하는 NAT(Network Address Translation)를 수행하며, 상기 NAT를 수행한 패킷을 복호화 하여 상기 패킷의 헤더에서 상기 VPN 장치에 대한 주소를 제거하도록 제어하는 제어부를 포함하는 것을 특징으로 하는 VPN 장치.
  15. 제14항에 있어서,
    상기 제어부는,
    상기 수신한 패킷에서 서비스 서버에 대한 fake 주소를 원래 주소로 변환하고, 상기 수신한 패킷을 상기 서비스 서버로 전송하도록 제어하는 것을 특징으로 하는 VPN 장치.
  16. 제14항에 있어서,
    상기 제어부는,
    상기 클라이언트와 상기 VPN 장치 간에 상기 fake 주소를 이용하여 형성된 터널을 통해 패킷을 수신하는 것을 특징으로 하는 VPN 장치.
KR1020150053235A 2015-04-15 2015-04-15 Vpn 보호 장치 및 그 동작 방법 KR20160123102A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020150053235A KR20160123102A (ko) 2015-04-15 2015-04-15 Vpn 보호 장치 및 그 동작 방법
US15/017,833 US20160308836A1 (en) 2015-04-15 2016-02-08 Virtual private network security apparatus and operation method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150053235A KR20160123102A (ko) 2015-04-15 2015-04-15 Vpn 보호 장치 및 그 동작 방법

Publications (1)

Publication Number Publication Date
KR20160123102A true KR20160123102A (ko) 2016-10-25

Family

ID=57129050

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150053235A KR20160123102A (ko) 2015-04-15 2015-04-15 Vpn 보호 장치 및 그 동작 방법

Country Status (2)

Country Link
US (1) US20160308836A1 (ko)
KR (1) KR20160123102A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102184757B1 (ko) * 2019-11-28 2020-11-30 주식회사 스텔스솔루션 네트워크 은닉 시스템 및 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599901B (zh) * 2009-07-15 2011-06-08 杭州华三通信技术有限公司 远程接入mpls vpn的方法、系统和网关
KR101585936B1 (ko) * 2011-11-22 2016-01-18 한국전자통신연구원 가상 사설 망 관리 시스템 및 그 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102184757B1 (ko) * 2019-11-28 2020-11-30 주식회사 스텔스솔루션 네트워크 은닉 시스템 및 방법

Also Published As

Publication number Publication date
US20160308836A1 (en) 2016-10-20

Similar Documents

Publication Publication Date Title
US10298601B2 (en) Embedding information or information identifier in an IPv6 address
EP3477919B1 (en) Protocol for establishing a secure communications session with an anonymous host over a wireless network
JP7387785B2 (ja) 動的vpnアドレス割り振り
KR101680955B1 (ko) 다중 터널 가상 사설 네트워크
JP3457645B2 (ja) ネットワーク・アドレス変換とプロトコル変換が存在する場合のパケット認証の方法
US20180309717A1 (en) Session Identifier for a Communication Session
CN107534643B (zh) 在ip vpn与传输层vpn之间转换移动业务的方法和系统
US20060182103A1 (en) System and method for routing network messages
US11297115B2 (en) Relaying media content via a relay server system without decryption
WO2016210202A1 (en) Media relay server
KR20070075181A (ko) IPv4/IPv6 통합 네트워크 시스템의 보안 통신방법 및 그 장치
JP2020537428A (ja) データ送信のための装置及び方法
KR20160123102A (ko) Vpn 보호 장치 및 그 동작 방법
US20150381387A1 (en) System and Method for Facilitating Communication between Multiple Networks
KR101821794B1 (ko) 보안 ip 통신 서비스를 제공하기 위한 장치, 방법 및 통신 시스템
KR101584986B1 (ko) 네트워크 접속 인증 방법
JP2007189752A (ja) 通信方法
JP2009260847A (ja) Vpn接続方法、及び通信装置
KR101893209B1 (ko) Ip 통신 서비스를 제공하기 위한 장치, 방법 및 통신 시스템
JP2010028295A (ja) Vpnサーバ、通信制御方法、および、プログラム
Tulimiero An All-Round Secure IoT Network Architecture
KR101424508B1 (ko) 부하 분산을 위한 암호화/복호화 장치 및 방법
KR20040046260A (ko) NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법
KR20030050550A (ko) 패킷데이터서비스 네트워크의 심플 아이피 가상 사설망서비스 방법
JP5126209B2 (ja) アクセスポイントおよびアクセスポイントのパケット中継制御方法