[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR101712922B1 - Virtual Private Network System of Dynamic Tunnel End Type, Manager Apparatus and Virtual Router for the same - Google Patents

Virtual Private Network System of Dynamic Tunnel End Type, Manager Apparatus and Virtual Router for the same Download PDF

Info

Publication number
KR101712922B1
KR101712922B1 KR1020160072703A KR20160072703A KR101712922B1 KR 101712922 B1 KR101712922 B1 KR 101712922B1 KR 1020160072703 A KR1020160072703 A KR 1020160072703A KR 20160072703 A KR20160072703 A KR 20160072703A KR 101712922 B1 KR101712922 B1 KR 101712922B1
Authority
KR
South Korea
Prior art keywords
tunnel end
virtual router
terminal
information
tunnel
Prior art date
Application number
KR1020160072703A
Other languages
Korean (ko)
Inventor
김형환
Original Assignee
주식회사 아라드네트웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아라드네트웍스 filed Critical 주식회사 아라드네트웍스
Priority to KR1020160072703A priority Critical patent/KR101712922B1/en
Priority to CN201610716440.6A priority patent/CN107528778A/en
Application granted granted Critical
Publication of KR101712922B1 publication Critical patent/KR101712922B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/58Association of routers
    • H04L45/586Association of routers of virtual routers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/28Flow control; Congestion control in relation to timing considerations
    • H04L47/286Time to live
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a virtual private network system with a dynamic tunnel end type and a virtual router and a manager apparatus therefor. A tunnel end table including several pieces of tunnel end information is provided to a terminal and a virtual router so that a single virtual router can use a plurality of tunnel ends. The tunnel end dynamically selected according to a predetermined rule to dynamically change a tunneling attribute. Therefore, since the tunneling attribute changes dynamically for each VPN communication, external hacking is difficult compared with a general VPN system, and so, the security of data transmission and reception can be improved.

Description

동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치 {Virtual Private Network System of Dynamic Tunnel End Type, Manager Apparatus and Virtual Router for the same}BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a virtual private network system and a virtual router and a manager apparatus therefor,

본 발명은 가상 사설 네트워크(Virtual Private Network; 이하 'VPN'이라 함), 더 구체적으로는 동적 터널엔드 방식의 가상 사설 네트워크 시스템 및 그를 위한 매니저 장치 등에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a virtual private network (hereinafter referred to as 'VPN'), more specifically, a dynamic private network system with a dynamic tunnel end system and a manager apparatus therefor.

일반적인 통신 시스템의 경우, 클라이언트 단말과 서비스 제공 서버 및 그를 연결하는 통신 네트워크로 구성된다.In the case of a general communication system, the client terminal is composed of a service providing server and a communication network connecting the client terminal and the service providing server.

또한, 금융, 홈 오토메이션 등 여러 통신 서비스를 제공하기 위하여, 하나의 단말을 이용하여 여러 서비스 제공서버에 접속할 필요가 있으며, 이러한 다중 접속을 위하여 통신 네트워크 역시 적절한 망분리가 이루어져야 한다.Also, in order to provide various communication services such as finance, home automation, etc., it is necessary to connect to a plurality of service providing servers by using one terminal, and the communication network should also be appropriately separated for the multiple access.

한편, 인터넷과 같은 공용통신 네트워크를 전용선처럼 사용할 수 있도록, VPN이 사용되고 있다.On the other hand, a VPN is used so that a public communication network such as the Internet can be used as a dedicated line.

이러한 VPN은 통신 연결되는 2개의 종단 장비(End Equipment) 사이에 별도의 게이트웨이 또는 라우터를 배치하고, 게이트웨이 또는 라우터 사이 또는, 종단 장비와 게이트웨이 사이에 특수 통신체계와 암호화 기법을 제공하는 체계인 터널링(Tunneling)을 정의함으로써 구현될 수 있다.These VPNs can be implemented by placing separate gateways or routers between two end devices that are connected to each other, and tunneling, which is a system that provides a special communication scheme and encryption technique between a gateway or a router or between an end device and a gateway Tunneling < / RTI >

이때, 터널링은 하위층 통신 규약의 패킷을 상위층 통신 규약으로 캡슐화하는 것으로, 통신망상의 두 점 간에 통신이 되도록 하는 것을 의미한다.At this time, the tunneling encapsulates the packet of the lower layer communication protocol into the upper layer communication protocol, which means that communication is made between two points on the communication network.

즉, 통신망상에서는 통상의 패킷과 캡슐화된 패킷을 구별할 수 없으나 캡슐화를 해제할 수 있는 양단의 기기, 즉 터널의 양단 장치는 본래의 패킷을 선별할 수 있는 특징이 있다. That is, the devices at both ends, that is, both ends of the tunnel, which can not distinguish an ordinary packet from an encapsulated packet on a communication network, can unencapsulate the original packet.

인터넷과 같은 공용통신망의 2개의 장비 사이에 눈에 보이지 않는 통로를 만들어 통신할 수 있으므로 '터널'이라고 표현하고 있으며, 이러한 터널의 종단을 터녈 엔드(Tunnel End)로 정의할 수 있다.It is called 'tunnel' because it can create invisible path between two equipments of public communication network such as the Internet, and the end of this tunnel can be defined as Tunnel End.

한편, 종래의 VPN 시스템에서는 한 개 이상의 서버(Server)에 연동된 게이트웨이 내부에 정의되는 가상 라우터(Virtual Router)가 각각 1개의 독립적인 터널 엔드로 사용되었다.In the conventional VPN system, a virtual router defined in a gateway interworking with one or more servers is used as one independent tunnel end.

따라서, VPN 시스템에서는 단말과 특정 서버사이의 통신을 위해서는, 해당 서버와 연동된 가상 라우터(VR) 사이에 터널이 형성되어야 하며, 이 때 해당되는 가상 라우터가 터널엔드가 된다.Accordingly, in the VPN system, in order to communicate between the terminal and the specific server, a tunnel must be formed between the virtual router (VR) linked with the server and the corresponding virtual router becomes the tunnel end.

이 상태에서, 단말은 일반적인 5-튜플(Tuples)로 정의되는 홈어드레스인 HoA를 포함하는 데이터 구조의 패킷을 생성하고, 터널링에 의한 데이터 송수신을 위하여 별도의 확장헤더 주소인 CoA(Care-Of-Address)를 더 붙여서 가상 라우터로 전송한다.In this state, the terminal generates a packet having a data structure including HoA, which is a home address defined by a general 5-tuple, and transmits a separate care-of address (CoA) for data transmission / Address) to the virtual router.

해당 가상 라우터에서는 CoA를 제거한 후 해당되는 서버로 패킷을 전달함으로써 데이터 송신이 수행된다.In the virtual router, the data transmission is performed by removing the CoA and then forwarding the packet to the corresponding server.

한편, 이러한 일반적인 VPN 통신에서는 1 이상의 가상 라우터(VR)가 게이트웨이 내부에 정의되며, 각각의 가상 라우터는 1개의 주소만을 터널엔드로 구성할 수 있다.
예를 들어, 한국공개특허 2006-0037556 등에는 사용자 노드와 1개의 터널엔드 포인트 사이에 터널링을 형성하는 구성이 개시되어 있다.
즉, 종래 기술에 의하면, 가상 라우터는 1개의 공인 IP 주소와 1개의 포트(Port)만으로 정의되는 1개의 터널엔드를 구성할 수 있으며, 결과적으로 특정한 단말 1개의 가상 라우터사이에는 1개의 주소를 사용한 터널만 형성될 수 있었다.
In this general VPN communication, at least one virtual router (VR) is defined in the gateway, and each virtual router can configure only one address as a tunnel end.
For example, Korean Unexamined Patent Application Publication No. 2006-0037556 discloses a configuration for forming tunneling between a user node and one tunnel end point.
That is, according to the related art, the virtual router can configure one tunnel end defined by only one public IP address and one port, and as a result, one address is used between virtual routers of one specific terminal Only tunnels could be formed.

삭제delete

따라서, VPN 시스템을 이용하더라도 특정한 단말과 서버 사이에 송수신되는 데이터는 일정한 1개의 터널엔드를 경유하게 되므로, 해킹에 취약하다는 단점이 있었다.Therefore, even if the VPN system is used, the data transmitted / received between a specific terminal and a server goes through a certain tunnel end and is vulnerable to hacking.

즉, 기존의 VPN에서는 단말과 서버 사이에 터널링이 한번 형성되면, 터널엔드를 규정하는 목적지 주소(Dest. Address), 포트번호(Port No.) 등이 변경되지 않고 항상 동일하게 사용되기 때문에, 비록 CoA를 사용하더라도 터널엔드의 주소가 일정하게 유지되어 해킹이 용이하다는 단점이 있었다.That is, once tunneling is established between the terminal and the server in the existing VPN, the destination address (Dest. Address), the port number (Port No.), etc. defining the tunnel end are always used unchanged, Even if CoA is used, there is a disadvantage that the tunnel end address is kept constant and hacking is easy.

이에 본 발명에서는 VPN시스템에서 가상 라우터가 다수의 터널엔드를 가져서 특정 단말과 다수의 터널링이 가능하도록 하되, 특정 단말과 가상라우터 사이의 터널엔드 정보를 동적으로 변경하는 방안을 제안한다. Accordingly, the present invention proposes a method for dynamically changing tunnel end information between a specific terminal and a virtual router in a VPN system in which a virtual router has a plurality of tunnel ends to enable a plurality of tunneling with a specific terminal.

이에 본 발명의 실시예들의 목적은, 단일의 가상 라우터에 복수의 터널엔드 설정이 가능한 VPN 시스템을 제공하는 것이다.It is an object of embodiments of the present invention to provide a VPN system capable of setting a plurality of tunnel ends in a single virtual router.

본 발명의 다른 목적은 단일의 가상 라우터와 단말 사이에 복수의 터널 설정이 가능하며, 특정 단말과 연결되는 가상 라우터의 터널엔드를 동적으로 변경하는 VPN 시스템을 제공하는 것이다.It is another object of the present invention to provide a VPN system capable of setting a plurality of tunnels between a single virtual router and a terminal and dynamically changing a tunnel end of a virtual router connected to a specific terminal.

본 발명의 다른 목적은 매니저 장치(Manager)가 게이트웨이 내부에 정의되는 각각의 가상 라우터가 가지는 다수의 터널엔드들의 설정 순서를 표시하는 동적 터널엔드 테이블(Dynamic Tunnel End Table; DTE Table)을 생성하여 단말 에이전트와 해당 게이트웨이로 전달하고, 해당 가상 라우터는 DTE 테이블을 이용하여 단말 에이전트와 복수의 터널링을 동적으로 가변 설정하는 VPN 시스템용 매니저 장치를 제공하는 것이다.Another object of the present invention is to provide a dynamic tunnel end table (DTE table) which shows a setting order of a plurality of tunnel ends of each virtual router defined in a gateway, And the virtual router provides a manager device for a VPN system that dynamically sets a plurality of tunneling dynamically with the terminal agent using the DTE table.

이러한 목적을 달성하기 위하여 본 발명의 일 실시예에 의하면, 단말과 터널링에 의하여 연결되되, 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있는 가상 라우터와, 상기 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 생성하여 상기 단말 및 상기 가상라우터로 전달하는 매니저 장치를 포함하며, 상기 가상 라우터는 상기 터널엔드 테이블을 저장하고, 상기 터널엔드 테이블을 기초로 상기 단말과 연결되는 터널링의 터널엔드를 일정 간격으로 동적으로 변경하는 가상 사설 네트워크 시스템을 제공한다.According to an aspect of the present invention, there is provided a tunnel including a tunnel defined by at least two public IP addresses, one public IP address selected from two or more port numbers, and one port number, And a manager device for generating a tunnel end table including a plurality of tunnel end information that can be set by the virtual router and delivering the tunnel end table to the terminal and the virtual router, The tunnel end table storing the tunnel end table and dynamically changing the tunnel end of the tunneling connected to the terminal based on the tunnel end table at predetermined intervals.

본 발명의 다른 실시예에 의하면, 단말과 터널링에 의하여 연결되어 상기 단말과 VPN 통신을 하는 가상 라우터로서, 상기 가상라우터는 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있고, 외부의 매니저 장치로부터 상기 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 수신하여 저장하며, 상기 터널엔드 테이블을 기초로 상기 단말과 연결되는 터널링의 터널엔드를 일정 간격으로 동적으로 변경하는 가상 라우터를 제공한다.According to another embodiment of the present invention, there is provided a virtual router connected to a terminal by tunneling to perform VPN communication with the terminal, wherein the virtual router includes one public IP address selected from two or more public IP addresses and two or more port numbers, A plurality of tunnel ends defined by one port number can be set and a tunnel end table including a plurality of tunnel end information that can be set by the virtual router from an external manager device is received and stored, And a tunneling end of the tunneling connected to the terminal is dynamically changed at predetermined intervals.

본 발명의 또다른 실시예에 의하면, 단말 및 가상라우터와 연결되어 상기 단말 및 가상라우터를 제어하는 매니저 장치로서, 상기 가상 라우터는 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있으며, 상기 매니저 장치는 상기 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 생성하여 상기 단말 및 상기 가상라우터로 전달하여, 상기 가상 라우터와 상기 단말로 하여금 상기 터널엔드 테이블을 기초로 상기 단말과 가상 라우터 사이에 연결되는 터널링의 터널엔드를 일정 간격으로 동적으로 변경하도록 하는매니저 장치를 제공한다.According to another embodiment of the present invention, there is provided a manager apparatus connected to a terminal and a virtual router to control the terminal and the virtual router, wherein the virtual router includes at least two public IP addresses and one public IP Address and one port number, and the manager device generates a tunnel end table including a plurality of tunnel end information that can be set by the virtual router, and transmits the tunnel end table to the terminal and the virtual router And to dynamically change the tunnel end of the tunneling connected between the virtual router and the virtual router based on the tunnel end table by the virtual router and the terminal.

도 1은 일반적인 VPN 통신 네트워크의 일 예를 도시한다.
도 2는 도 1과 같은 VPN에서 단말과 서버 사이에 송수신되는 패킷의 데이터구조의 일 예를 도시한다.
도 3은 일반적인 네트워크 주소 변환(Network Address Translation; NAT) 방식의 통신 네트워크의 일 예를 도시한다.
도 4는 본 발명의 일실시예에 의한 VPN 시스템의 전체 구성을 도시한다.
도 5는 본 발명의 실시예에 의한 VPN 시스템에서의 동적 터널엔드(DTE) 설정 과정을 도시한다.
도 6은 본 발명의 실시예에 의한 VPN 시스템에서 매니저 장치(Manager)와 게이트웨이(가상 라우터) 사이에서 수행되는 장비 등록 및 터널엔드 변경 과정을 도시한다.
도 7은 본 발명의 실시예에 의한 VPN 시스템에 사용되는 매니저 장치의 세부 구성을 도시한다.
1 shows an example of a typical VPN communication network.
2 shows an example of a data structure of a packet transmitted and received between a terminal and a server in the VPN as shown in FIG.
3 shows an example of a general network address translation (NAT) communication network.
FIG. 4 shows the overall configuration of a VPN system according to an embodiment of the present invention.
5 illustrates a process of setting up a dynamic tunnel end (DTE) in a VPN system according to an embodiment of the present invention.
FIG. 6 is a diagram illustrating an apparatus registration and a tunnel end change process performed between a manager device and a gateway (virtual router) in a VPN system according to an embodiment of the present invention.
7 shows a detailed configuration of a manager device used in a VPN system according to an embodiment of the present invention.

이하, 본 발명의 일부 실시예들을 예시적인 도면을 참조하여 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가질 수 있다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 수 있다.Hereinafter, some embodiments of the present invention will be described in detail with reference to exemplary drawings. In the drawings, like reference numerals are used to denote like elements throughout the drawings, even if they are shown on different drawings. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질, 차례, 순서 또는 개수 등이 한정되지 않는다. 어떤 구성 요소가 다른 구성요소에 "연결", "결합" 또는 "접속"된다고 기재된 경우, 그 구성 요소는 그 다른 구성요소에 직접적으로 연결되거나 또는 접속될 수 있지만, 각 구성 요소 사이에 다른 구성 요소가 "개재"되거나, 각 구성 요소가 다른 구성 요소를 통해 "연결", "결합" 또는 "접속"될 수도 있다고 이해되어야 할 것이다.In describing the components of the present invention, terms such as first, second, A, B, (a), and (b) may be used. These terms are intended to distinguish the components from other components, and the terms do not limit the nature, order, order, or number of the components. When a component is described as being "connected", "coupled", or "connected" to another component, the component may be directly connected or connected to the other component, Quot; intervening "or that each component may be" connected, "" coupled, "or " connected" through other components.

도 1은 일반적인 VPN 통신 네트워크의 일 예를 도시한다.1 shows an example of a typical VPN communication network.

도 2는 도 1과 같은 VPN에서 단말과 서버 사이에 송수신되는 패킷의 데이터구조의 일 예를 도시한다.2 shows an example of a data structure of a packet transmitted and received between a terminal and a server in the VPN as shown in FIG.

도 1과 같이 일반적인 VPN 시스템은 단말(10)과, 다수의 가상 라우터(Virtual Router; 22)들을 포함하는 게이트웨이(20)와, 게이트웨이에 연동되어 있는 다수의 서버(30)들로 구성된다.1, a general VPN system includes a terminal 10, a gateway 20 including a plurality of virtual routers 22, and a plurality of servers 30 interworking with a gateway.

이러한 VPN 시스템에서는 단말(10)에 설치된 에이전트가 특정한 서버로 패킷을 전송하기 위하여, 전송할 데이터인 페이로드(Payload)에 5-튜플(Tuples)로 이루어지는 이너 헤더(Inner Header)인 부가하여 기본 패킷을 생성한다.In this VPN system, in order to transmit a packet to a specific server, an agent installed in the terminal 10 adds an inner header, which is a 5-tuple packet, to the payload, .

이 때, 이너 헤더는 도 2a에 도시한 바와 같이, 프로토콜(Protocol)과, 자신의 소스 주소(Source Address) 및 소스 포트번호(Source Port No.)와, 해당 서버인 목적지 주소(Dest. Addr.) 및 목적지 포트번호(Dest. Port No.)를 포함하며, 이러한 이너 헤더를 HoA(Home Address)로 표현할 수 있다.At this time, as shown in FIG. 2A, the inner header includes a protocol, its own source address and source port number, and a destination address (Dest. Addr. ) And a destination port number (Dest. Port No.), and these inner headers can be expressed as HoA (Home Address).

또한, 단말 에이전트는 기본 패킷 구조에 확장 헤더 또는 아우터 헤더(Outer Header)를 더 부가하여 확장 패킷을 생성하며, 아우터 헤더는 프로토콜(Protocol)과, 자신의 소스 주소(Source Address) 및 소스 포트번호(Source Port No.)와, 목적지인 가상 라우터(22)의 주소 및 포트번호인 목적지 주소(Dest. Addr.) 및 목적지 포트번호(Dest. Port No.)를 포함한다.The terminal agent generates an extension packet by adding an extension header or an outer header to the basic packet structure. The outer header includes a protocol, a source address of the terminal agent, and a source port number A destination address and a destination port number which are the address and port number of the virtual router 22 as a destination.

이 때, 확장헤더 또는 아우터 헤더를 CoA(Care of Address)로 표현할 수 있다.At this time, an extension header or an outer header can be expressed as a CoA (Care of Address).

한편, 단말과 가상 라우터 사이에는 전용통신로인 터널(Tunnel)이 형성되어 있으며, 단말은 이러한 터널을 통하여 확장 패킷을 게이트웨이 내부의 가상 라우터로 전달한다.Meanwhile, a dedicated communication path tunnel is formed between the terminal and the virtual router, and the terminal transmits the extension packet to the virtual router in the gateway through the tunnel.

그러면, 해당되는 가상 라우터는 확장 패킷으로부터 CoA를 제거한 후 페이로드와 HoA만으로 이루어지는 기본 패킷을 해당 서버로 전송함으로써, 패킷 전송이 완료된다.Then, the corresponding virtual router removes the CoA from the extension packet, and then transmits the basic packet including only the payload and HoA to the server, thereby completing the packet transmission.

본 명세서에서 VPN(Virtual Private Network)은 가상 사설 네트워크의 약자로서, 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계를 제공하는 통신 서비스를 의미한다.In the present specification, a VPN (Virtual Private Network) is an abbreviation of a virtual private network, which means a communication service providing a special communication system to use the Internet network as a private line.

즉, 범용 통신망을 이용하여 클라이언트와 특정 서버가 연결된 후, 양 장치가 미리 정해진 통신체계(프로토콜)를 이용하여 전용통신과 동일한 효과를 나타내도록 하는 통신 기법이다.That is, after a client and a specific server are connected to each other using a general-purpose communication network, both the communication devices have the same effect as dedicated communication using a predetermined communication protocol (protocol).

이러한 VPN을 위해서는 단말(클라이언트)측에서는 일정한 VPN 프로그램 또는 단말 에이전트가 설치되어 있어야 하며, 이러한 단말 에이전트를 실행한 상태에서 데이터를 정해진 프로토콜로 처리하여 게이트웨이 및 서버측으로 전송하면, 게이트웨이 또는 서버는 그를 인식하게 되는 것이다.For such a VPN, a certain VPN program or terminal agent must be installed on the terminal (client) side. When the terminal agent is executed, the gateway or the server recognizes the data by processing the data with the predetermined protocol and transmitting the data to the gateway and the server .

이 때, 단말과 서버측 사이에 전용선과 유사하게 형성되는 통신 채널을 VPN이라 표현할 수 있으며, 특히 단말과 가상 라우터 사이에 형성되는 통신 채널을 터널로 표현할 수 있다. 단말과 가상 라우터 사이의 터널링 설정을 위한 프로토콜은 공중망을 통한 PPTP(Point-to-Point Tunneling Protocol)나 L2TP(Layer 2 Tunneling Protocol) 등을 이용할 수 있다.In this case, a communication channel formed between a terminal and a server side similar to a dedicated line can be referred to as a VPN. In particular, a communication channel formed between a terminal and a virtual router can be expressed as a tunnel. A protocol for establishing tunneling between a terminal and a virtual router can use Point-to-Point Tunneling Protocol (PPTP) or Layer 2 Tunneling Protocol (L2TP) through a public network.

이러한 VPN 시스템에서 단말과 서버 사이의 VPN 통신을 가능하게 하는 엔티티를 가상 라우터(VR)로 정의할 수 있으며, 다수의 가상 라우터를 포함하는 물리적 단위를 게이트웨이(Gateway; G/W)로 정의할 수 있다.In this VPN system, an entity that enables VPN communication between a terminal and a server can be defined as a virtual router (VR), and a physical unit including a plurality of virtual routers can be defined as a gateway (G / W) have.

즉, 도 1과 같이, 게이트웨이(20) 내부에는 다수의 가상 라우터(22)가 함되어 있으며, 각각의 가상 라우터에는 1 이상의 서버(30) 또는 서버팜이 연동되어 있다.That is, as shown in FIG. 1, a plurality of virtual routers 22 are included in the gateway 20, and one or more servers 30 or server farms are linked to each of the virtual routers.

이 때, 각 가상 라우터는 1개의 공인 IP주소와 1개의 포트를 사용하여 식별되며, 이러한 가상 라우터의 공인 IP주소와 포트번호를 터널엔드 정보로 표현할 수 있다.At this time, each virtual router is identified by using one public IP address and one port, and the public IP address and the port number of the virtual router can be expressed by the tunnel end information.

한편, 도 1과 같은 일반적인 VPN 시스템에서는 각 가상 라우터는 특정 단말과 자신 사이에 1개의 터널만 설정할 수 있다.In the conventional VPN system as shown in FIG. 1, each virtual router can set only one tunnel between a specific terminal and itself.

예를 들어, 도 1과 같이, 단말(10)은 가상 라우터1과 제1터널(T1)을 형성하고, 가상 라우터 2와는 제2터널(T2)을 형성하며, 이때 각 터널의 가상 라우터측 종단이 터널엔드이며, 터널엔드는 해당 가상 라우터의 IP주소와 포트번호로 정의되는 터널엔드 정보로서 식별될 수 있다.For example, as shown in FIG. 1, the terminal 10 forms a first tunnel T1 with the virtual router 1 and forms a second tunnel T2 with the virtual router 2. At this time, the virtual router- And the tunnel end can be identified as tunnel end information defined by the IP address and the port number of the corresponding virtual router.

단말(10)이 서버 1(30)과 VPN 통신을 하는 것을 예로서 설명하면 다음과 같다.An example in which the terminal 10 performs VPN communication with the server 1 30 will be described as follows.

우선, 기존의 VPN 시스템에서는 단말(10)과 가상 라우터 1(VR1) 사이 1개의 터널엔드로 정의되는 단일 터널 T1(40)만이 형성된다.In the existing VPN system, only a single tunnel T1 (40) defined as one tunnel end between the terminal 10 and the virtual router 1 (VR1) is formed.

이 터널 T1을 이용하여, 단말에서는 CoA를 포함하는 확장패킷(52)을 생성하여 해당 가상 라우터(22)로 전송하며, 가상 라우터에서는 CoA를 제거한 기본 패킷(54)을 해당되는 서버로 전송하는 것이다.Using the tunnel T1, the terminal generates an extension packet 52 including a CoA and transmits it to the corresponding virtual router 22, and the virtual router removes the CoA from the basic packet 54 to the corresponding server .

이 때, 전송되는 패킷의 HoA 또는 이너 헤더는 도 2a에 도시한 바와 같이, 프로토콜(Protocol)과, 단말의 IP 주소 및 포트 번호인 소스 주소(Source Address) 및 소스 포트번호(Source Port No.)와, 서버 1의 IP 주소 및 포트 번호인 목적지 주소(Dest. Addr.) 및 목적지 포트번호(Dest. Port No.)를 포함하며, CoA 또는 확장 헤더에는 프로토콜(Protocol)과, 단말의 IP 주소 및 포트 번호인 소스 주소(Source Address) 및 소스 포트번호(Source Port No.)와, 가상 라우터 1(VR1)의 IP 주소 및 포트 번호인 목적지 주소(Dest. Addr.) 및 목적지 포트번호(Dest. Port No.)를 포함한다.At this time, as shown in FIG. 2A, the HoA or the inner header of the transmitted packet includes a protocol, a source address and a source port number, which are the IP address and port number of the terminal, And a destination address (Dest.addr.) And a destination port number (Port No.) which are the IP address and port number of the server 1. The CoA or extension header includes a protocol, A source address and a source port number which are a port number and a destination address and a destination port number which are an IP address and a port number of the virtual router 1 (VR1) No.).

이 때, 터널 1의 가상 라우터측 터널엔드는 가상 라우터 1의 IP 주소 및 포트번호인 VR1(IP, PortNo)로 정의될 수 있다.At this time, the virtual router side tunnel end of the tunnel 1 can be defined as VR1 (IP, PortNo), which is the IP address and port number of the virtual router 1.

도 1과 같은 일반적인 VPN 시스템에서는, 가상 라우터는 1개의 공인 IP 주소와 1개의 포트(Port)만으로 정의되는 1개의 터널엔드를 구성할 수 있으며, 결과적으로 특정한 단말과 1개의 가상 라우터사이에는 1개의 터널만 형성될 수 있었다.In the general VPN system as shown in FIG. 1, the virtual router can configure one tunnel end defined by only one public IP address and one port. As a result, one terminal Only tunnels could be formed.

따라서, VPN 시스템을 이용하더라도 특정한 단말과 서버 사이에 송수신되는 데이터는 일정한 1개의 터널엔드를 경유하게 되므로, 해킹에 취약하다는 단점이 있었다.Therefore, even if the VPN system is used, the data transmitted / received between a specific terminal and a server goes through a certain tunnel end and is vulnerable to hacking.

즉, 도 1과 같은 VPN 시스템에서는 단말과 서버 사이에 터널링이 한번 형성되면, 터널엔드를 규정하는 목적지 주소(Dest. Address), 포트번호(Port No.) 등이 변경되지 않고 항상 동일하게 사용되기 때문에, 비록 CoA를 사용하더라도 터널엔드의 주소가 일정하게 유지되어 해킹이 용이하다는 단점이 있었다.That is, in the VPN system as shown in FIG. 1, once tunneling is established between the terminal and the server, the destination address (Dest.Address), the port number (Port No.) Therefore, even if CoA is used, there is a disadvantage that hacking is easy because the address of the tunnel end is kept constant.

도 3은 일반적인 네트워크 주소 변환(Network Address Translation; NAT) 방식의 통신 네트워크의 일 예를 도시한다.3 shows an example of a general network address translation (NAT) communication network.

NAT 시스템은 사설 IP주소를 공인 IP주소로 바꿔주는데 사용하는 통신망의 주소 변환기 시스템을 의미한다.The NAT system refers to the network address translator system used to translate private IP addresses into public IP addresses.

이러한, NAT 통신 시스템에서는 외부 단말(60)과, 인터넷과 같은 공용 통신망(62)와, 주소변환기(70) 및 주소변환기에 연결된 다수의 대응단말(Terminal; 80)을 포함하여 구성된다.The NAT communication system includes an external terminal 60, a public communication network 62 such as the Internet, and a plurality of corresponding terminals 80 connected to the address translator 70 and the address translator.

외부 단말(60)에서는 수신할 대응단말 중 하나 또는 주소변환기의 공인 IP 주소를 이용하여 도 2a와 같은 기본 패킷을 생성하여 전송한다.The external terminal 60 generates and transmits a basic packet as shown in FIG. 2A using one of the corresponding terminals to be received or the public IP address of the address translator.

주소변환기(70)는 기본 패킷의 이너 헤더 또는 HoA에 포함된 목적지 주소(Dest. Addr.)를 공인 IP 주소에서 해당되는 대응 단말에 할당된 사설 IP 주소 또는 유동IP 주소로 변환하여 해당 대응단말로 전송하는 기능을 하는 장치로서, 공유기 등 다른 용어로 표현될 수 있다.The address translator 70 converts the destination address (Dest.addr) included in the inner header or the HoA of the basic packet into a private IP address or a floating IP address assigned to the corresponding terminal from the public IP address, And may be expressed in other terms such as a router.

이러한 NAT 통신 시스템을 이용하면 한정된 하나의 공인 IP를 여러개의 내부 사설 IP로 변환함으로써 공인 IP를 절약할 수 있는 장점과, 내부 사설 IP를 사용함으로서 외부 침입에 대한 보안성을 높이고 장비에 연결된 대응 단말들의 관리가 용이하다는 장점이 있다.Using this NAT communication system, it is possible to save a public IP by converting a limited public IP into a plurality of internal private IPs, and by using an internal private IP, it is possible to increase the security against external intrusion, Is easy to manage.

그러나, 이러한 NAT 시스템에서는 대응단말 자체가 공인 IP 주소를 가지지 못하기 때문에, 대응 단말이 독립적인 공인된 통신 주체가 될 수 없다는 단점이 있다.However, in such a NAT system, there is a disadvantage that the corresponding terminal can not be an independent authorized communication entity because the corresponding terminal itself does not have a public IP address.

즉, 대응단말은 주소변환기에 연동되어 주소변환기의 제어에 의한 사설 IP 주소를 할당받을 뿐 대응단말마다 공인 IP 주소가 할당되지 않기 때문에, 공용통신망에서 외부의 통신 주체가 각 대응단말 자체를 독립적인 통신노드로 인식할 수 없고, 각 대응단말은 반드시 주소변환기에 연동되어서만 사용될 수 있게 된다.That is, since the corresponding terminal is assigned a private IP address under the control of the address translator in association with the address translator, but the public IP address is not assigned to each corresponding terminal, It can not be recognized as a communication node, and each corresponding terminal can be used only in conjunction with an address converter.

따라서, NAT 시스템에서 주소변환기에 연동된 단말은 개인 PC, 모바일 단말 등 클라이언트 단말에 한정되며, 서버장치는 NAT 시스템으로 구현할 수 없다는 단점이 있다.Therefore, the terminal connected to the address translator in the NAT system is limited to the client terminal such as the personal PC and the mobile terminal, and the server device can not be implemented as the NAT system.

이에 본 발명의 실시예에서는 도 1과 같은 일반적인 VPN 시스템 또는 도 3과 같은 NAT 시스템의 단점을 해결하여, 단일의 가상 라우터에 다수의 터널엔드를 정의할 수 있도록 하고, 터널엔드를 동적으로 변경시키기 위한 동적 정보인 동적 터널엔드 테이블을 생성하여 가상 라우터와 단말에 저장해두고, 일정한 룰에 따라 동적 터널엔드 테이블에 포함된 터널엔드 정보를 추출하여 터널링을 수행하는 시스템을 제공하고자 한다.In the embodiment of the present invention, the disadvantage of the general VPN system as shown in FIG. 1 or the NAT system as shown in FIG. 3 is solved, a plurality of tunnel ends can be defined in a single virtual router, A dynamic tunnel end table is generated as a dynamic information for dynamic information and stored in a virtual router and a terminal, and tunnel ending is performed by extracting tunnel end information included in a dynamic tunnel end table according to a certain rule.

이러한 본 발명을 이용하면, 특정 단말과 특정 가상 라우터 사이의 VPN 통신을 위한 터널이 동적으로 변경되기 때문에 해킹 등 외부 침입 또는 패킷 유출 위험성을 감소시키면서도, 가상 라우터 및 그에 연동된 대응단말이 공인 IP주소를 사용하기 때문에 서버-클라이언트 시스템에도 적용할 수 있는 장점이 있다.According to the present invention, since a tunnel for VPN communication between a specific terminal and a specific virtual router is dynamically changed, the risk of external intrusion such as hacking or packet outflow is reduced, and the virtual router and the corresponding terminal connected thereto are registered with a public IP address It can be applied to server-client systems as well.

도 4는 본 발명의 일실시예에 의한 VPN 시스템의 전체 구성을 도시한다.FIG. 4 shows the overall configuration of a VPN system according to an embodiment of the present invention.

도 4에 도시된 바와 같이, 본 발명에 의한 VPN 시스템은 단말(100)과, 단말과 터널링에 의하여 연결되는 1 이상의 가상 라우터(VR; 210)를 포함하는 게이트웨이(200)와, 가상 라우터와 연동되는 서버(410) 또는 서버팜(400)과, 단말 및 가상 라우터들과 연결되어 단말과 가상 라우터 사이의 터널링 설정을 제어하는 매니저 장치(300)를 포함하여 구성될 수 있다.4, a VPN system according to an embodiment of the present invention includes a gateway 200 including a terminal 100, at least one virtual router (VR) 210 connected to the terminal through tunneling, And a manager device 300 connected to the terminal and the virtual router to control the tunneling setting between the terminal and the virtual router.

본 발명에 사용되는 단말(100)은 일반적인 모바일 통신단말,PC, 서버용 컴퓨터 등 여하한 통신 수단일 수 있으며, 단말에는 본 발명에 의한 VPN 통신 기능을 수행하기 위한 소프트웨어인 에이전트가 설치되어 있다.The terminal 100 used in the present invention may be any communication means such as a general mobile communication terminal, a PC, a server computer, and the like, and an agent, which is software for performing the VPN communication function according to the present invention, is installed in the terminal.

단말 에이전트는 매니저장치로부터 각 가상 라우터별로 생성되는 터널엔드 테이블 정보를 수신하여 단말 내부의 동적 터널엔드 DB(110)에 저장하는 기능과, 매니저장치로부터 수신하거나 자체적으로 보유한 룰정보에 따라서 터널엔드 테이블에 있는 다수의 터널엔드 정보로부터 하나를 선택한 후 선택된 터널엔드에 따라서 해당 가상라우터와 터널링을 설정하는 기능 등을 보유한다.The terminal agent receives the tunnel end table information generated for each virtual router from the manager device and stores the tunnel end table information in the dynamic tunnel end DB 110 inside the terminal. And a function of setting tunneling with the corresponding virtual router according to the selected tunnel end.

본 발명에 의한 게이트웨이(200)는 1 이상의 가상 라우터(210)를 포함하는 통신노드의 의미이며, 홈게이트웨이, 공유기 등 다른 용어로 표현될 수 있을 것이다.The gateway 200 according to the present invention means a communication node including one or more virtual routers 210, and may be expressed in other terms such as a home gateway and a router.

게이트웨이에 포함된 가상 라우터(VR; 210) 각각은 단말과 서버(팜) 사이에 위치하는 통신 노드로서, 단말과 터널링에 의하여 연결되어 단말과 서버(팜) 사이의 VPN 통신을 중개하는 장치를 의미한다.Each virtual router (VR) 210 included in the gateway is a communication node located between a terminal and a server (farm), and is a device that mediates VPN communication between a terminal and a server (farm) by tunneling with the terminal do.

VPN 통신 시스템은 리눅스 기반의 MPLS L3 VPN 기술은 라우터나 이더넷 스위치에서 IPVPN 서비스를 제공하기 위해 사용하는 통신 프로토콜 소프트웨어를 이용하여 구축될 수 있다. 이러한 L3 VPN 기술은 인터넷 표준기구(IETF)에서 규정한 표준을 기반으로 IP 네트워크 환경에서 다중 프로토콜 레이블 스위칭(MPLS) 가상사설망(VPN) 서비스를 제공할 수 있다.The VPN communication system can be constructed using the communication protocol software that Linux-based MPLS L3 VPN technology uses to provide IPVPN services in routers or Ethernet switches. This L3 VPN technology can provide multi-protocol label switching (MPLS) virtual private network (VPN) services in an IP network environment based on standards defined by the Internet Engineering Task Force (IETF).

한편, 본 발명에 의하면, 1개의 가상 라우터는 다수의 공인 IP 주소와 다수의 포트번호를 포함하며, 다수의 공인 IP 주소 중 선택되는 하나의 공인 IP 주소와 다수의 포트번호 중 선택되는 하나의 포트번호를 이용하여 단말과 VPN 터널링을 설정할 수 있다.According to another aspect of the present invention, a virtual router includes a plurality of public IP addresses and a plurality of port numbers, one public IP address selected from a plurality of public IP addresses, and one port VPN tunneling can be established with the terminal using the number.

즉, 도 1에 도시된 일반적인 가상 라우터가 1개의 공인 IP 주소와 1개의 포트번호를 가짐으로써 단말과 자신 사이에 1개의 터널엔드만 설정할 수 있는 것과 달리, 본 실시예에 의한 가상 라우터 각각은 다수의 공인 IP 주소와 다수의 포트번호를 보유하고 있어서 그 중 선택되는 공인 IP 주소와 포트번호 조합을 이용하여 단말과 다수의 터널엔드를 설정할 수 있는 점에서 차이가 있다.In other words, since the general virtual router shown in FIG. 1 has one public IP address and one port number, only one tunnel end can be established between the terminal and itself, each of the virtual routers according to the present embodiment has a plurality of And has a public IP address and a plurality of port numbers of the public IP address and the port number of the selected public IP address and port number.

이 때, 다수의 공인 IP 주소 중 선택되는 하나의 공인 IP 주소와 다수의 포트번호 중 선택되는 하나의 포트번호가 터널엔드 또는 터널엔드 정보로 정의될 수 있다.At this time, one public IP address selected from a plurality of public IP addresses and one port number selected from a plurality of port numbers may be defined as tunnel end or tunnel end information.

또한, 터널엔드는 가상 라우터와 단말 사이에 형성되는 터널링의 속성(Attribute) 중 하나를 구성하며, 터널엔드가 변경되는 경우에도 해당 가상 라우터와 단말 사이의 터널링을 동일하게 유지되며, 다만 해당 터널링의 속성만 변경되는 것이다.Also, the tunnel end constitutes one of the attributes of tunneling formed between the virtual router and the terminal. Even if the tunnel end is changed, the tunneling between the virtual router and the terminal remains the same. However, Only the attribute is changed.

예를 들어, 가상 라우터 1(VR1)이 총i개(i>1)의 공인 IP와 총j개(j>1)의 포트번호를 가지고 있다면, 가상 라우터 1에게 생성될 수 있는 터널엔드 정보는 총 i*j개가 된다.For example, if the virtual router 1 (VR1) has a total of i (i> 1) public IPs and a total of j (j> 1) port numbers, the tunnel end information that can be generated to the virtual router 1 Total i * j pieces.

즉, 가상라우터 1은 단말을 포함한 네트워크와 자신 사이에 하나의 터널링에 i*j개의 터널엔드를 설정할 수 있다.That is, the virtual router 1 can set i * j tunnel ends in one tunneling between the network including the terminal and itself.

예를 들어, 터널엔드 정보 TE(IP 1, 포트번호 2)는 가상 라우터 1이 단단과 설정한 터널링의 속성 중 하나가 된다. For example, the tunnel end information TE (IP 1, port number 2) is one of attributes of the tunneling set by the virtual router 1.

또한, 가상 라우터(210) 각각은 매니저장치로부터 수신한 터널엔드 테이블 정보를 저장하는 동적 터널엔드 DB(220)를 포함한다. Each of the virtual routers 210 includes a dynamic tunnel end DB 220 for storing tunnel end table information received from the manager device.

즉, 본 발명에 의한 가상 라우터(210)는 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있고, 외부의 매니저 장치로부터 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 수신하여 저장하는 기능을 수행한다.That is, the virtual router 210 according to the present invention can set a plurality of tunnel ends defined by one public IP address and one port number selected from two or more public IP addresses and two or more port numbers, And a tunnel end table including a plurality of tunnel end information that can be set by the virtual router.

또한, 가상 라우터(210)는 매니저장치로부터 수신한 터널엔드 테이블을 기초로 단말과 연결되는 터널링의 터널엔드를 일정 간격으로 동적으로 변경하여 단말 사이에 형성된 터널링의 속성을 변경하는 기능을 가진다.In addition, the virtual router 210 has a function of dynamically changing the tunnel end of the tunneling connected to the terminal based on the tunnel end table received from the manager device at predetermined intervals to change the attribute of the tunneling formed between the terminals.

본 명세서에서 터널엔드 테이블 정보는 각 가상라우터별로 생성되며 해당 가상 라우터가 설정할 수 있는 다수의 터널엔드 정보의 집합을 의미한다. In this specification, the tunnel end table information means a set of a plurality of tunnel end information which are generated for each virtual router and can be set by the corresponding virtual router.

만일, 해당 가상 라우터가 보유한 공인 IP 주소 및 포트번호가 각각 Ii개 및 j개인 경우, i*j개로 정의되는 터널엔드 정보들을 테이블 형태로 구성한 것이 터널엔드 테이블 정보가 될 수 있다. If the public IP address and the port number held by the virtual router are Ii and j, respectively, the tunnel end table information in which the tunnel end information defined by i * j is configured in the form of a table may be the tunnel end table information.

가상 라우터(210)는 일정 간격으로 수신한 터널엔드 테이블에 포함된 다수의 터널엔드 정보 중 하나를 선택한 후, 선택된 터널엔드 정보에 맞도록 단말과의 터널링 속성을 변경할 수 있다.The virtual router 210 may select one of a plurality of tunnel end information included in the tunnel end table received at predetermined intervals and then change the tunneling property with the terminal according to the selected tunnel end information.

또한, 가상 라우터(210)는 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 선택하기 위한 룰정보를 매니저 장치로부터 더 수신하는 기능을 할 수 있으며, 이 때 수신한 룰정보에 따라 일정 간격으로 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 동적으로 선택하여 터널링 속성을 변경할 수 있다.In addition, the virtual router 210 may further receive rule information for selecting one of a plurality of tunnel end information included in the tunnel end table from the manager device. In accordance with the rule information received at this time, It is possible to dynamically select one of a plurality of tunnel end information included in the tunnel end table to change the tunneling attribute.

이 때, 터널엔드 정보의 변경 및 터널링 변경을 위한 룰(Rule)은 순차방식(제1룰), 랜덤방식(제2룰), 혼합방식(제3룰 및 제4룰) 등에 의하여 수행될 수 있으며, 이에 대해서는 아래에서 더 상세하게 설명한다.At this time, a rule for changing the tunnel end information and changing the tunneling can be performed by a sequential scheme (first rule), a random scheme (second rule), a hybrid scheme (a third rule and a fourth rule) , Which will be described in more detail below.

물론, 터널엔드 정보의 변경 및 터널링 변경을 위한 룰정보는 반드시 매니저장치로부터 수신될 필요는 없다.Of course, the rule information for changing the tunnel end information and changing the tunneling does not necessarily need to be received from the manager device.

한편, 본 발명에 의한 가상라우터와 단말 사이의 터널링 변경은 매 패킷 전송시마다 이루어지거나, 미리 지정된 패킷 송수신 회수가 만족되거나, 일정 주기별로 이루어질 수 있다.Meanwhile, the tunneling change between the virtual router and the MS according to the present invention may be performed every time a packet is transmitted, or a predetermined number of packet transmission / reception may be satisfied, or may be performed every predetermined period.

도 4를 기준으로 예를 들면, 순차방식의 제1룰이 적용되는 경우라면, 첫 번째 패킷 전송 또는 일정회수/시간 동안에는 터널엔드 테이블에 포함된 제1 터널엔드 정보(예를들면, 공인 IP 주소 1번과, 포트번호 1번으로 정의될 수 있음)에 따라 단말과 가상 라우터 1 사이에 설정되는 제1터널링 속성을 가지는 터널링을 통해 패킷을 전송하고, 두 번째 패킷 전송 또는 다음 회수/주기 동안에는 다음의 터널엔드 정보인 제2 터널엔드 정보(예를들면, 공인 IP 주소 1번과, 포트번호 2번으로 정의될 수 있음)에 따라 단말과 가상 라우터 1 사이에 설정되는 제2터널링 속성을 가지는 터널링을 통해 패킷을 전송할 수 있다.For example, if the first rule of the sequential scheme is applied based on FIG. 4, the first tunnel end information included in the tunnel end table (for example, a public IP address 1 and the port number 1), and transmits the packet through the tunneling having the first tunneling attribute set between the terminal and the virtual router 1. In the second packet transmission or the next number of times / Which has a second tunneling attribute set between the terminal and the virtual router 1 according to second tunnel end information (e.g., public IP address 1 and port number 2) Lt; / RTI >

이 때, 단말이 가상 라우터로 전송하는 패킷은 도 2a와 같이 페이로드와 HoA 이외에, 선택된 터널엔드 정보로 정의되는 해당 가상 라우터의 IP 주소(Dest. Addr.)와 포트번호(Port No)를 포함하는 아우터헤더 또는 CoA를 포함하는 확장 패킷이다.At this time, the packet transmitted to the virtual router by the terminal includes an IP address (Dest. Addr.) And a port number (Port No) of the corresponding virtual router defined by the selected tunnel end information in addition to the payload and the HoA, Lt; RTI ID = 0.0 > CoA. ≪ / RTI >

물론, 이 때 기본 패킷의 이너 헤더 또는 HoA는 도 2b와 같이, 프로토콜(Protocol)과, 단말의 소스 주소(Source Address) 및 소스 포트번호(Source Port No.)와, 패킷을 수신할 서버의 목적지 주소(Dest. Addr.) 및 목적지 포트번호(Dest. Port No.)를 포함한다. Of course, at this time, the inner header or HoA of the basic packet includes a protocol, a source address and a source port number of the terminal, a destination of the server to receive the packet, Address (Dest.addr.) And destination port number (Dest.Port No.).

즉, 단말은 룰정보에 따라 저장된 터널엔드 테이블로부터 특정한 터널엔드 정보를 추출한 후, 그 선택된 터널엔드 정보에 포함된 가상 라우터의 공인 IP 주소 및 포트번호를 각각 CoA의 목적지 주소(Dest. Addr.) 및 목적지 포트번호(Dest. Port No)로 설정한다.That is, the terminal extracts specific tunnel end information from the stored tunnel end table according to the rule information, and then assigns the public IP address and the port number of the virtual router included in the selected tunnel end information to the destination address (Dest. Addr. And the destination port number (Dest. Port No).

이와 같이 생성된 아우터헤더 또는 CoA를 기본 패킷 헤더(HoA) 외부에 더 부가하여 확장패킷을 생성한 후 터널링을 통하여 가상 라우터로 전송한다. The generated outer header or CoA is further added to the outside of the basic packet header (HoA) to generate an extended packet, and then transmitted to the virtual router through tunneling.

한편, 본 실시예에서 HoA 및 CoA에 포함되는 프로토콜은 UDP(User Datagram Protocol)일 수 있으나 그에 한정되는 것은 아니다.In the present embodiment, the protocol included in the HoA and the CoA may be UDP (User Datagram Protocol), but the present invention is not limited thereto.

가상 라우터(210)에서는 단말과 동일한 룰에 의하여 선택된 터널엔드로 설정된 터널링을 통하여 확장 패킷을 수신하고, CoA를 제거한 후에 기본패킷을 목적지인 서버로 전송한다.The virtual router 210 receives the extension packet through tunneling set to the tunnel end selected by the same rule as the terminal, removes the CoA, and then transmits the basic packet to the destination server.

한편, 가상 라우터(210) 각각은 설정된 터널링을 통하여 해당 단말로부터 수신한 패킷 수신 회수나 패킷 수신용량 또는 터널링 설정후 경과시간 정보를 이용하여 일정 간격으로 터널엔드 테이블 정보의 업데이트를 매니저 장치에 요청할 수 있다.Each of the virtual routers 210 can request the manager device to update the tunnel end table information at predetermined intervals using the number of times of receiving the packet, the packet receiving capacity, or the elapsed time information after the tunneling setting, have.

더 구체적으로, 가상 라우터(210)는 단말로부터의 패킷 수신 회수가 임계회수 이상이 되거나, 터널링 설정 후 지속시간이 임계시간 이상인 경우, 터널엔드 테이블 업데이트 요청 신호를 생성하여 매니저 장치로 전송하고, 새로운 터널엔드 테이블을 매니저 장치로부터 수신하여 저장할 수 있다.More specifically, when the number of received packets from the terminal exceeds the threshold number of times or the duration after the tunneling setting exceeds the threshold time, the virtual router 210 generates a tunnel end table update request signal and transmits the tunnel end table update request signal to the manager device. The tunnel end table can be received from the manager device and stored.

그 후의 단말과의 터널링 설정은 새롭게 업데이트된 터널엔드 테이블과 룰정보에 의하여 수행된다.The subsequent tunneling setting to the terminal is performed by newly updated tunnel end table and rule information.

본 발명에 사용되는 매니저 장치(300)는 단말 및 가상라우터와 연결되어 단말 및 가상라우터를 제어하는 장치로서, 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 생성하여 단말 및 상기 가상라우터로 전달하는 기능을 수행한다.The manager device 300 used in the present invention is a device connected to a terminal and a virtual router to control a terminal and a virtual router and generates a tunnel end table including a plurality of tunnel end information that can be set by a virtual router, To the virtual router.

또한, 매니저 장치(300)는 터널엔드 테이블 정보 생성 및 전달 기능 이외에, 단말을 인증하는 기능과, 게이트웨이 또는 가상 라우터의 최초 장비 등록 기능을 더 구비할 수 있으며, 이에 대해서는 도 6을 참고로 아래에서 더 상세하게 설명한다.The manager device 300 may further include a function of authenticating a terminal and a function of registering an initial device of a gateway or a virtual router, in addition to a function of generating and transmitting tunnel end table information. Will be described in more detail.

더 구체적으로, 매니저장치(300)는 가상 라우터 또는 그를 포함하는 게이트웨이의 장비 등록에 따라 가상 라우터별로 해당 가상 라우터가 설정할 수 있는 다수의 터널엔드 정보 목록인 터널엔드 테이블을 생성한 후 그를 단말과 해당 가상 라우터로 전달한다.More specifically, the manager device 300 generates a tunnel end table, which is a list of a plurality of tunnel end information that the virtual router can set for each virtual router according to equipment registration of the virtual router or the gateway including the virtual router, To the virtual router.

또한, 매니저 장치(300)는 단말 또는 가상 라우터로부터 터널엔드 테이블 업데이트 요청이 전송되는 경우, 또는 기설정된 터널엔드 테이블 업데이트 조건이 만족하는 경우, 가상 라우터별로 새로운 터널엔드 테이블을 생성하여 단말과 가상 라우터로 전송할 수 있다.In addition, when the tunnel end table update request is transmitted from the terminal or the virtual router, or when the preset tunnel end table update condition is satisfied, the manager device 300 generates a new tunnel end table for each virtual router, Lt; / RTI >

또한, 매니저 장치(300)는 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 동적으로 선택하기 위한 룰(Rule)에 대한 정보인 룰정보를 생성하여 단말 및 가상 라우터로 전달하는 기능을 더 포함할 수 있다.The manager device 300 further has a function of generating rule information, which is information on a rule for dynamically selecting one of a plurality of tunnel end information included in the tunnel end table, and transmitting the generated rule information to the terminal and the virtual router .

단말 및 가상 라우터는 이러한 룰정보에서 규정하는 룰에 따라서, 기저장한 가상 라우터별 터널엔드 테이블에 포함되는 다수의 터널엔드 중 하나의 터널엔드를 선택하고, 그 선택된 터널엔드를 기초로 단말과 가상 라우터 사이의 터널링의 속성을 변경할 수 있다.The terminal and the virtual router select one tunnel end of the plurality of tunnel ends included in the previously stored tunnel end table for each virtual router according to a rule defined in the rule information, You can change the properties of tunneling between routers.

물론, 터널엔드 테이블에 포함되는 다수의 터널엔드 정보 중 하나를 선택하는 룰은 단말과 가상라우터가 적용할 수 있도록 미리 결정되어 있을 수 있으며, 이 경우에는 룰정보를 매니저 장치로부터 수신할 필요 없이 미리 정해진 룰에 따라 터널링 변경을 위한 터널엔드 정보 선택 과정을 수행할 수도 있을 것이다.Of course, the rule for selecting one of the plurality of tunnel end information included in the tunnel end table may be determined in advance so that the terminal and the virtual router can apply the rule. In this case, The tunnel end information selection process for tunneling change may be performed according to a predetermined rule.

아래에서는 터널엔드 테이블에 포함되는 다수의 터널엔드 정보 중 하나를 선택하는 룰에 대하여 설명한다.Hereinafter, a rule for selecting one of a plurality of tunnel end information included in the tunnel end table will be described.

터널엔드 테이블에 포함되는 다수의 터널엔드 정보 중 하나를 선택하는 방식으로는 순차방식(제1룰), 랜덤방식(제2룰), 혼합방식(제3룰 및 제4룰) 등이 가능하지만, 그에 한정되는 것은 아니다.As a method of selecting one of the plurality of tunnel end information included in the tunnel end table, a sequential scheme (first rule), a random scheme (second rule), a hybrid scheme (a third rule and a fourth rule) , But the present invention is not limited thereto.

첫 번째로 순차방식인 제1룰은, 터널엔드 테이블에 포함된 다수의 터널엔드 정보를 순방향 또는 역방향으로 순차적으로 선택하여 적용하는 것이다.The first rule, which is a sequential scheme, sequentially selects and applies a plurality of tunnel end information included in the tunnel end table in a forward direction or a reverse direction.

예를 들면, 터널엔드 테이블에는 (IP_1, PortNo_1)부터 (IP_i, PortNo_j)까지 총 i*j개의 터널엔드가 포함되어 있는 경우, 첫 번째 패킷 전송 또는 최초 n개의 패킷 전송 또는 제1주기 동안의 패킷 전송시에는 테이블의 첫 번째 터널엔드인 (IP_1, PortNo_1)으로 정의되는 제1터널링 속성에 의하여 형성되는 터널링을 통해 통신하고, 두번째 패킷 전송 또는 n~2n개의 패킷 전송 또는 제2주기 동안의 패킷 전송시에는 테이블의 두 번째 터널엔드인 (IP_1, PortNo_2)로 정의되는 제2터널링 속성을 가지는 터널링을 이용하는 것이다.For example, if the tunnel end table includes a total of i * j tunnel ends from (IP_1, PortNo_1) to (IP_i, PortNo_j), the first packet transmission or the first n packet transmission or the first At the time of transmission, through tunneling formed by a first tunneling attribute defined as a first tunnel end (IP_1, PortNo_1) of the table, and communicates through a second packet transmission or a packet transmission of n to 2n packets or a packet transmission , The tunneling having the second tunneling attribute defined by the second tunnel end (IP_1, PortNo_2) of the table is used.

이러한 순차방식의 제1룰에 의하면, 데이터 송수신 과정에서 최초 1번만 터널엔드 테이블을 참조하면 되기 때문에 시스템 오버헤드가 작다는 장점이 있으나, 터널엔드 테이블이 노출된 경우 보안성이 약할 수 있다.According to the first rule of the sequential method, the system overhead is small because the first time the tunnel end table is referred to in the first data transmission / reception process, but the security may be weak when the tunnel end table is exposed.

두 번째, 랜덤방식인 제2룰은, 터널엔드 테이블에 포함된 다수의 터널엔드 정보를 랜덤하게 선택하여 적용하는 것이다.Second, the second rule, which is a random method, is to randomly select and apply a plurality of tunnel end information included in the tunnel end table.

이 때, 제2룰을 적용하는 경우 룰정보는 터널엔드 테이블의 버전을 나타내는 테이블 버전정보(Table Version)와, 가상 라우터의 식별자인 가상 라우터 번호(VR No), 다음으로 선택될 터널엔드 정보를 나타내는 터널엔드 선택정보(n{IP, PortNo}) 등이 포함될 수 있다. At this time, when the second rule is applied, the rule information includes table version information (Table Version) indicating the version of the tunnel end table, virtual router number (VR No) which is the identifier of the virtual router, tunnel end information , And tunnel end selection information (n {IP, PortNo}) indicating the tunnel end.

이러한 룰정보는 매니저 장치(300)에서 생성되어 단말 및 가상 라우터로 전송됨으로써 2개의 노드가 동일한 룰을 적용할 수도 있으나, 패킷을 송신하는 측에서 룰정보를 패킷의 헤더 등으로 포함시켜 전송하고 수신측에서 그 룰정보에 따라서 터널엔드 정보를 선택할 수도 있을 것이다.The rule information is generated by the manager device 300 and transmitted to the terminal and the virtual router so that the two nodes can apply the same rule. However, the rule information is transmitted by including the rule information in the header of the packet, The tunnel end information may be selected according to the rule information.

즉, 단말과 가상 라우터는 매니저 장치로부터 동일한 터널엔드 테이블을 수신하여 저장하고 있으므로, 매니저 장치 또는 송신측에서 전송되는 룰정보를 이용하면 단말과 가상 라우터가 동일한 룰에 의하여 동일한 터널엔드를 선택하여 적용할 수 있는 것이다.That is, since the terminal and the virtual router receive and store the same tunnel end table from the manager device, using the rule information transmitted from the manager device or the transmitting side, the terminal and the virtual router select the same tunnel end according to the same rule You can do it.

이러한 랜덤방식의 제2룰에 의하면, 터널엔드 테이블이 노출되더라도 룰을 알 수 없는한 보안성이 유지된다는 점에서 장점이 있으나, 데이터 송수신 과정마다 터널엔드 테이블을 참조하여야 하므로 시스템 오버헤드가 다소 증가할 수 있다.According to the second rule of the random method, there is an advantage in that the security is maintained as long as the rule is unknown even if the tunnel end table is exposed. However, since the tunnel end table must be referred to each time of data transmission / reception, can do.

세 번째로 혼합방식인 제3룰은, 하나의 공인 IP 주소를 이용하여 순차방식을 적용하다가, 일정 스킵 파라미터에 의하여 터널엔드 테이블의 다른 터널엔드로 이동하여 선택하는 방식이다.Third, the third rule, which is a hybrid method, is a method of applying a sequential scheme using one public IP address, and moving to another tunnel end of the tunnel end table by a predetermined skip parameter and selecting the third rule.

제3룰을 적용하는 경우 룰정보는 터널엔드 테이블의 버전을 나타내는 테이블 버전정보(Table Version)와, 가상 라우터의 식별자인 가상 라우터 번호(VR No), 사용될 1개의 공인 IP 주소 정보(IP)와, 다음으로 선택될 터널엔드 정보를 나타내는 터널엔드 스킵정보(n{skip point or skip count}) 등이 포함될 수 있다.In the case of applying the third rule, the rule information includes table version information (Table Version) indicating the version of the tunnel end table, virtual router number (VR No) as an identifier of the virtual router, one public IP address information , Tunnel end skip information (n {skip point or skip count}) indicating the tunnel end information to be selected next, and the like.

예를 들어, 터널엔드 테이블에는 (IP_1, PortNo_1)부터 (IP_i, PortNo_j)까지 총 i*j개의 터널엔드가 포함되어 있고, 제3룰에 의한 룰정보에 포함된 공인 IP 주소인 IP=1, 터널엔드 스킵정보 n{skip point or skip count}=2{3}인 경우, n=2개의 터널엔드인 (IP_1, PortNo_1), (IP_1, PortNo_2)을 순차적으로 선택하다가, 다음에는 skip count=3개를 이동하여 (IP_1, PortNo_5)로 정의되는 터널엔드를 선택하여 이용하는 것이다.For example, the tunnel end table includes a total of i * j tunnel ends from (IP_1, PortNo_1) to (IP_i, PortNo_j), and IP = 1, which is a public IP address included in the rule information according to the third rule, If the tunnel end skip information n {skip point or skip count} = 2 {3}, n = 2 tunnel ends (IP_1, PortNo_1), (IP_1, PortNo_2) are sequentially selected and skip count = 3 (IP_1, PortNo_5) to select and use the tunnel end.

또다른 혼합방식인 제4룰에 의하면, 일정한 회수까지는 순차방식을 적용하다가, 일정 스킵 파라미터에 의하여 터널엔드 테이블의 다른 터널엔드로 이동하여 선택하는 방식이다.According to the fourth rule, which is another mixing method, the sequential method is applied until a predetermined number of times, and the selected skip parameter is moved to another tunnel end of the tunnel end table and is selected.

제4룰을 적용하는 경우 룰정보는 터널엔드 테이블의 버전을 나타내는 테이블 버전정보(Table Version)와, 가상 라우터의 식별자인 가상 라우터 번호(VR No), 다음으로 선택될 터널엔드 정보를 나타내는 터널엔드 스킵정보(n{IP, skip point or skip count}) 등이 포함될 수 있다.In the case of applying the fourth rule, the rule information includes table version information (Table Version) indicating the version of the tunnel end table, virtual router number (VR No) which is the identifier of the virtual router, tunnel end And skip information (n {IP, skip point or skip count}).

예를 들어, 제4룰에 의한 룰정보에 포함된 터널엔드 스킵정보 n{IP, skip point or skip count}=2{2, 3}인 경우, n=2개의 터널엔드인 (IP_1, PortNo_1), (IP_1, PortNo_2)을 순차적으로 선택하다가, 다음에는 2번째 공인 IP 주소인 IP_2와 그로부터의 skip point=3개로 정의되는 (IP_2, PortNo_3)의 터널엔드를 선택하여 이용하는 것이다.For example, when the tunnel end skip information n {IP, skip point or skip count} included in the rule information according to the fourth rule is 2 {2, 3}, n = 2 tunnel ends (IP_1, PortNo_1) (IP_1, PortNo_2), and then selects a second public IP address (IP_2) and a tunnel end (IP_2, PortNo_3) defined by the skip point = 3 from the second public IP address.

혼합방식의 제3룰 및 제4룰을 이용하면, 순차방식과 랜덤방식의 단점을 보완할 수 있다.By using the third rule and the fourth rule of the mixing method, the disadvantages of the sequential method and the random method can be compensated.

즉, 매번 터널엔드 테이블을 참조하지 않고 터널엔드 스킵조건이 만족한 경우에만 참조하면 되므로 시스템 오버헤드를 감소시킬 수 있으면서도, 터널엔드 스킵조건에 의하여 순차방식의 보안성 약화를 보완할 수 있게 된다.In other words, since the reference is only made when the tunnel end skip condition is satisfied without referring to the tunnel end table every time, the system overhead can be reduced and the weakening of the security of the sequential system can be compensated by the tunnel end skip condition.

이러한 터널엔드 선택 룰은 매니저 장치가 특정 정책에 따라 일정한 주기에 따라 변경될 수 있으며, 변경된 룰정보는 단말 및 가상 라우터로 전달되어야 한다.The tunnel end selection rule can be changed according to a certain policy according to a certain policy, and the changed rule information must be transmitted to the terminal and the virtual router.

이 경우, 룰정보가 송수신측 모두에서 동기화되어 변경되지 못한 경우를 대비하여, 룰정보가 변경된 경우 일정시간 동안에는 바로 직전 룰버전을 인정할 수 있다.In this case, in case that the rule information is changed in synchronization with all of the transmitting and receiving sides, the immediately preceding rule version can be recognized for a certain period of time when the rule information is changed.

예를 들면, 룰정보가 변경된 상태에서 송신측에서는 변경될 룰에 의하여 선택된 터널엔드로 데이터를 전송하지만 수신측에서는 이전 버전의 룰이 적용되고 있다면, 룰 변경 이후 일정 시간동안 수신측에서는 이전 버전의 룰이 적용되도록 할 수 있다.For example, if the rule information is changed, the sender sends the data to the tunnel end selected by the rule to be changed. However, if the previous version rule is applied at the receiver side, .

물론, 이 경우 일정 시간 경과한 이후에도 상대방의 룰이 변경되지 않는 경우에는 해당 상대방으로부터의 데이터 수신을 거부할 수 있다.Of course, in this case, if the rule of the other party is not changed even after a lapse of a predetermined time, the reception of data from the corresponding party can be rejected.

이상과 같이, 본발명의 실시예에 의하면, 단일의 가상 라우터가 복수의 터널엔드 설정이 가능하도록 하되, 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 단말 및 가상 라우터에 제공하고, 정해진 룰에 의하여 터널엔드를 동적으로 선택하여 터널링 속성을 변경한다.As described above, according to the embodiment of the present invention, it is possible to provide a tunnel end table including a plurality of tunnel end information to a terminal and a virtual router so that a single virtual router can set a plurality of tunnel ends, By selecting the tunnel end dynamically, the tunneling property is changed.

따라서, 도 1과 같은 일반적인 VPN 시스템과 달리, VPN 통신마다 터널링 속성이 동적으로 변화되기 때문에, 외부 해킹이 어렵고 따라서 데이터 송수신의 보안성이 향상될 수 있다.Therefore, unlike the conventional VPN system as shown in FIG. 1, since the tunneling attribute is dynamically changed for each VPN communication, external hacking is difficult and the security of data transmission and reception can be improved.

또한, 기존의 네트워크 주소 변환(NAT) 시스템에서는 공유기에 연동된 장치가 공인 IP를 가지지 못하는 클라이언트 단말로 한정되는 것에 비하여, 본 발명에 의하면 가상 라우터에 연동된 장치가 공인 IP 주소를 가지는 서버가 될 수 있음으로써, 서버-클라이언트 통신에도 활용할 수 있다는 장점이 있다.In addition, in the conventional network address translation (NAT) system, a device interworking with a router is limited to a client terminal that does not have a public IP address. In contrast, according to the present invention, a device interworking with a virtual router becomes a server having a public IP address This is advantageous for server-client communication.

즉, 기존의 NAT 시스템에서는 공유기 또는 주소변환기에 연동된 상대 단말이 공인 IP 주소를 가지지 못하기 때문에 독립적인 통신 주체가 되지 못하지만, 본 발명에 서버를 가상 라우터에 연동시켜서 보안성이 향상된 VPN 통신을 할 수 있는 장점이 있다.That is, in the existing NAT system, the partner terminal connected to the router or the address translator does not have a public IP address and thus can not be an independent communication entity. However, in the present invention, the server is connected to the virtual router, There is an advantage to be able to do.

도 5는 본 발명의 실시예에 의한 VPN 시스템에서의 동적 터널엔드(DTE) 설정 과정을 도시한다.5 illustrates a process of setting up a dynamic tunnel end (DTE) in a VPN system according to an embodiment of the present invention.

우선 게이트웨이 또는 가상 라우터가 매니저 장치에 장비등록 과정을 수행한다.(S510)The gateway or the virtual router performs a device registration process to the manager device (S510)

이러한 장비등록 과정은 매니저 장치로 하여금 게이트웨이 또는 가상 라우터를 식별하게 한 후, 해당 가상 라우터를 위한 터널엔드 테이블 정보를 생성할 기본 정보를 제공하기 위하여 수행된다.This equipment registration process is performed to allow the manager device to identify the gateway or the virtual router and then provide basic information for generating the tunnel end table information for the virtual router.

이러한 장비등록 과정에서 게이트웨이는 자신의 가용자원 정보(공인 IP 주소 개수 등)를 매니저 장치에 제공하며, 그에 따라 매니저 장치가 해당 게이트웨이가 운용할 가상 라우터의 개수 등에 대한 정보(VR 정보) 및 가상 라우터별 터널엔드 테이블 정보를 생성하는 과정이 수행될 수 있다.In the device registration process, the gateway provides its own available resource information (the number of public IP addresses, etc.) to the manager device, and the manager information includes information (VR information) about the number of virtual routers operated by the gateway, The process of generating the star tunnel end table information can be performed.

이러한 장비등록 과정은 도 6을 참고로 더 상세하게 설명한다.This equipment registration process will be described in more detail with reference to FIG.

장비 등록이 완료되면, 매니저장치는 단말로부터의 단말 인증 요청을 수신한 후 해당 단말을 인증한다.(S520)When the device registration is completed, the manager device authenticates the terminal after receiving the terminal authentication request from the terminal (S520)

단말 인증과 게이트웨이(가상 라우터)의 장비등록 과정이 완료되면, 매니저 장치는 단말과 해당 가상라우터 사이에 설정될 수 있는 다수의 터널엔드 정보를 포함하는 터널엔드 테이블 정보인 VR(DTE Table)을 생성한다.(S530) When the terminal authentication and the equipment registration process of the gateway (virtual router) are completed, the manager apparatus generates a VR (DTE Table) which is tunnel end table information including a plurality of tunnel end information that can be set between the terminal and the virtual router (S530)

물론 이 과정에서 터널엔드 테이블에 포함된 다수의 터널엔드 정보 중 하나를 선택하기 위한 룰정보를 함께 생성할 수 있다.Of course, in this process, rule information for selecting one of a plurality of tunnel end information included in the tunnel end table can be generated together.

다음으로, 매니저 장치는 생성된 가상 라우터별 터널엔드 테이블 정보 VR(DTE Table)를 인증된 단말과 해당 가상 라우터(게이트웨이)로 각각 전송하고, 단말 및 가상 라우터는 수신한 터널엔드 테이블 정보 VR(DTE Table)를 터널엔드 DB에 저장한다.(S535, S540)Next, the manager device transmits the generated virtual router-specific tunnel end table information VR (DTE Table) to the authenticated terminal and the corresponding virtual router (gateway), and the terminal and the virtual router transmit the received tunnel end table information VR Table) to the tunnel end DB (S535, S540)

이후에는 단말과 가상 라우터는 정해진 룰과 터널엔드 테이블을 이용하여 일정 간격마다 새롭게 선택되는 터널엔드를 이용하여 터널링 속성을 변경한 후. 변경된 터널엔드로 정의되는 터널링을 통해서 VPN에 의한 데이터 송수신을 수행한다.(S550)After that, the terminal and the virtual router change the tunneling property using the newly selected tunnel end at predetermined intervals using the defined rule and the tunnel end table. Data transmission / reception by VPN is performed through tunneling defined as the changed tunnel end (S550)

이후, 가상 라우터는 터널엔드 테이블의 갱신 조건이 만족하는지 모니터링하다가(S555), 터널엔드 테이블의 갱신 조건이 만족하는 경우 터널엔드 테이블 재생성 요청을 매니저 장치로 전송한다.(S560)The virtual router monitors whether the update condition of the tunnel end table is satisfied (S555). If the update condition of the tunnel end table is satisfied, the virtual router transmits a tunnel end table regeneration request to the manager device (S560)

이 때, 터널엔드 테이블의 갱신 조건은 현재 터널링 설정이 유지된 이후 경과한 시간이 임계시간 이상인 경우, 또는 현재 터널링으로 수신한 패킷의 수신회수가 임계회수 이상이 되는 경우 등이 될 수 있으나 그에 한정되는 것은 아니다.In this case, the update condition of the tunnel end table may be a case where the time elapsed since the current tunneling setting is maintained is equal to or longer than the threshold time, or a case where the number of receipt of the packet received in the current tunneling becomes more than a threshold number, It is not.

이러한 가상 라우터의 터널엔드 테이블의 재생성 요청에 따라, 매니저 장치는 새로운 터널엔드 테이블을 생성하여 해당 단말 및 가상 라우터로 다시 전송하여, 기존의 터널엔드 테이블을 갱신하도록 한다.(S575, S580)In response to a request for regenerating the tunnel end table of the virtual router, the manager device generates a new tunnel end table and transmits the new tunnel end table back to the corresponding terminal and the virtual router to update the existing tunnel end table (S575, S580).

도 6은 본 발명의 실시예에 의한 VPN 시스템에서 매니저 장치(Manager)와 게이트웨이(가상 라우터) 사이에서 수행되는 장비 등록 및 터널엔드 변경 과정을 도시한다.FIG. 6 is a diagram illustrating an apparatus registration and a tunnel end change process performed between a manager device and a gateway (virtual router) in a VPN system according to an embodiment of the present invention.

도 6과 같이, 가상 라우터를 운용할 게이트웨이가 자신의 식별정보(G/W ID)와 자신의 공인 IP 주소 정보인 CoA 정보를 포함하는 장비등록 요청을 매니저 장치로 전송한다.(S610)6, the gateway to operate the virtual router transmits a device registration request including its own identification information (G / W ID) and CoA information as its public IP address information to the manager device (S610)

그에 따라 매니저 장치는 해당 게이트웨이 정보를 저장하고, 해당 게이트웨이가 운용할 가상 라우터 정보(VR 정보)를 생성한 후 게이트웨이로 전송한다.(S615, S620)Accordingly, the manager device stores the gateway information, generates virtual router information (VR information) to be operated by the gateway, and transmits the virtual router information (VR information) to the gateway (S615, S620)

가상 라우터 정보(VR 정보)는 해당 게이트웨이가 운용할 수 있는 가상 라우터의 개수, 각 가상 라우터에 연동되는 서버(팜)에 대한 정보 등을 포함할 수 있다.The virtual router information (VR information) may include the number of virtual routers that the gateway can operate, information about the server (farm) linked to each virtual router, and the like.

즉, 복수의 서버(팜)을 라우팅하기 위한 각 게이트웨이의 기능 및 보유 가상 라우터 개수 등을 매니저 장치가 결정하도록 하는 것이다. That is, the manager device determines the function of each gateway for routing a plurality of servers (farms) and the number of virtual routers possessed.

이로써, 다수의 게이트웨이와 서버(팜)이 존재하는 경우 그들 사이의 VPN 통신을 위한 시스템 구성을 매니저 장치가 통합하여 수행함으로써, 시스템 구성요소의 변동시에도 효과적으로 대처할 수 있게 된다.Accordingly, when there are a plurality of gateways and servers (farms), the manager device performs the system configuration for the VPN communication between them, thereby effectively coping with changes in system components.

다음으로, 게이트웨이는 자신이 보유한 공인 IP 주소의 개수와 포트개수 등의 가용자원 정보를 매니저 장치로 전송한다.(S625)Next, the gateway transmits available resource information such as the number of public IP addresses and the number of ports held by the gateway to the manager device (S625)

매니저 장치는 S615과정에서 자신이 생성한 가상 라우터 정보(VR정보)와 게이트웨이로부터 수신한 가용자원정보를 이용하여 각 가상 라우터별로 터널엔드 테이블을 생성한다.(S630)In step S615, the manager apparatus generates a tunnel end table for each virtual router using the virtual router information (VR information) generated by the manager apparatus and the available resource information received from the gateway in step S615.

만일, 장비등록한 게이트웨이가 담당할 가상 라우터가 2개이고, 게이트웨이로부터 전송된 가용자원 정보 중 공인 IP주소가 6개, 포트개수가 j개라면, 매니저 장치는 해당 게이트웨이에 가상 라우터 1(VR1) 및 가상 라우터 2(VR2)를 할당하고, 가상 라우터 1(VR1)을 위해서는 공인 IP주소 1~3을, 가상 라우터 2(VR2)를 위해서는 공인 IP주소 4~6을 할당할 수 있다.If there are two virtual routers to be handled by the gateway registered with the equipment and six public IP addresses and j ports among the available resource information transmitted from the gateway, the manager device sends virtual router 1 (VR1) and virtual It is possible to assign the public IP addresses 1 to 3 for the virtual router 1 (VR1) and the public IP addresses 4 to 6 for the virtual router 2 (VR2).

이 경우, 매니저 장치는 가상 라우터 1(VR1)을 위한 터널엔드 정보인 TE(IP_1, PortNo_1), TE(IP_1, PortNo_2),..., TE(IP_3, PortNo_j)의 총3*j개의 터널엔드 정도를 포함하는 터널엔드 테이블 VR1(TE Table)을 생성하여 가상 라우터 1(VR1) 및 단말로 전송한다.(S635)In this case, the manager apparatus transmits a total of 3 * j tunnel ends of TE (IP_1, PortNo_1), TE (IP_1, PortNo_2), ..., TE (IP_3, PortNo_j) which are tunnel end information for the virtual router 1 And transmits the tunnel end table VR1 (TE Table) to the virtual router 1 (VR1) and the terminal (S635)

물론, 가상 라우터별 터널엔드 테이블을 생성하는 과정 또는 그 전후에 터널엔드 테이블에 포함된 다수의 터널엔드 정보 중 하나를 선택하기 위한 룰정보를 더 생성하고, 그를 단말 및 가상 라우터로 전송할 수 있다.Of course, it is possible to further generate rule information for selecting one of a plurality of tunnel end information included in the tunnel end table in the process of generating the tunnel end table for each virtual router or before and after the tunnel end table, and transmit the generated rule information to the terminal and the virtual router.

이러한 룰정보는 반드시 매니저 장치가 생성하여 제공할 필요는 없으며, 단말과 해당 가상 라우터가 동일한 룰정보를 식별할 수 있는 한 다른 장치가 생성하여 제공하거나, 미리 단말과 가상라우터에 저장되어 있을 수도 있다.The rule information does not necessarily have to be generated by the manager device, but may be generated by another device as long as the terminal and the virtual router can identify the same rule information, or may be stored in advance in the terminal and the virtual router .

터널엔드 테이블 정보를 수신한 가상 라우터는 터널엔드 테이블 정보 및/또는 룰정보를 터널엔드 DB에 저장한다.(S640)The virtual router receiving the tunnel end table information stores tunnel end table information and / or rule information in the tunnel end DB (S640)

이 때 단말에도 동일한 가상 라우터별 터널엔드 테이블 및/또는 룰정보가 제공되므로, 가상 라우터는 룰정보에 의하여 터널엔드 테이블에서 선택되는 하나의 터널엔드에 따라 터널링을 형성한 후 데이터를 송수신한다.(S645)In this case, since the same virtual router-specific tunnel end table and / or rule information is provided to the terminal, the virtual router forms tunneling according to one tunnel end selected from the tunnel end table according to rule information, and then transmits / receives data. S645)

물론, 터널링 설정을 위하여 선택되는 터널엔드 정보는 일정 간격에 따라 동적으로 가변됨으로써, 특정한 단말과 가상 라우터 사이에서도 일정 간격마다 상이한 터널엔드로 정의되는 터널링을 통하여 데이터가 송수신된다.Of course, the tunnel end information selected for the tunneling setting is dynamically changed according to a predetermined interval, so that data is transmitted / received through tunneling defined between different terminals and virtual routers at regular intervals.

도 7은 본 발명의 실시예에 의한 VPN 시스템에 사용되는 매니저 장치의 세부 구성을 도시한다.7 shows a detailed configuration of a manager device used in a VPN system according to an embodiment of the present invention.

본 발명에 의한 매니저 장치는 장비등록/인증부(320)와, 게이트웨이의 요청에 따라 가상 라우터 정보를 생성하여 전달하는 VR 관리부(330)와, 가상 라우터별 터널엔드 테이블을 생성하여 단말 및 해당 가상 라우터로 전송하는 DTE 테이블 관리부(340) 및 관리하는 모든 가상 라우터에 대한 터널엔드 테이블 등을 저장하는 DTE DB(310) 등을 포함하여 구성될 수 있다.The manager apparatus according to the present invention includes a device registration / authentication unit 320, a VR management unit 330 for generating and delivering virtual router information at the request of the gateway, a tunnel end table for each virtual router, And a DTE DB 310 for storing a tunnel end table for all the virtual routers to be managed and the like.

또한, 가상 라우터 또는 단말의 요청 등에 따라 일정한 간격에 따라 새로운 터널엔드 테이블을 생성하여 제공하는 DTE 테이블 갱신부(350)을 더 포함할 수 있다.The DTE table updating unit 350 may further include a DTE table updating unit 350 for generating and providing a new tunnel end table at a predetermined interval according to requests from the virtual router or the terminal.

장비등록/인증부(320)는 게이트웨이의 장비등록 요청과 단말의 인증 요청을 수신한 후, 게이트웨이에 대한 정보를 저장하여 장비 등록 과정을 수행하고, 단말의 ID 등을 이용하여 정당한 단말을 인증하는 과정을 수행한다.After receiving the device registration request of the gateway and the authentication request of the terminal, the device registration / authentication unit 320 stores the information about the gateway to perform the device registration process, and authenticates the legitimate terminal using the ID of the terminal .

VR 관리부(330)는 장비 등록을 요청한 게이트웨이가 운용할 가상 라우터 정보(VR 정보)를 생성한 후 게이트웨이로 전송하는 기능을 수행하는 것으로, 이 때 가상 라우터 정보(VR 정보)는 해당 게이트웨이가 운용할 수 있는 가상 라우터의 개수, 각 가상 라우터에 연동되는 서버(팜)에 대한 정보 등을 포함할 수 있다.The VR management unit 330 generates virtual router information (VR information) to be operated by the gateway requesting device registration and transmits the generated virtual router information to the gateway. At this time, the virtual router information (VR information) The number of virtual routers available, and information about the server (farm) associated with each virtual router.

이와 같이, VR 관리부(330)는 복수의 서버(팜)을 라우팅하기 위한 각 게이트웨이의 기능 및 보유 가상 라우터 개수 등을 설정하고 관리하는 기능을 한다.In this manner, the VR management unit 330 functions to set and manage the functions of each gateway and the number of virtual routers possessed for routing a plurality of servers (farms).

DTE 테이블 관리부(340)는 게이트웨이가 제공한 가용자원 정보를 기초로 각 가상 라우터가 사용할 공인 IP 주소 및 포트개수를 결정하고, 그를 기초로 각 가상 라우터별로 복수의 터널엔드 정보를 포함하는 터널엔드 테이블 정보를 생성하여 단말 및 해당 가상 라우터로 전송하는 기능을 수행한다.The DTE table management unit 340 determines a public IP address and a port number to be used by each virtual router based on the available resource information provided by the gateway and generates a tunnel end table including a plurality of tunnel end information for each virtual router And transmits the generated information to the terminal and the corresponding virtual router.

DTE 테이블 관리부(340)는 상기 기능 이외에, 터널엔드 테이블에 포함된 다수의 터널엔드 정보 중 하나를 동적으로 선택하기 위한 룰정보를 더 생성하고, 그를 단말 및 가상 라우터로 전송하는 기능도 수행할 수 있다.The DTE table management unit 340 may further generate rule information for dynamically selecting one of a plurality of tunnel end information included in the tunnel end table and transmit the generated rule information to the terminal and the virtual router have.

또한, DTE 테이블 관리부(340)는 각 가상 라우터별 터널엔드 테이블 및/또는 룰정보를 DTE DB(310)에 저장한다.In addition, the DTE table management unit 340 stores the tunnel end table and / or rule information for each virtual router in the DTE DB 310.

DTE 테이블 갱신부(350)는 일정한 갱신 조건이 만족하거나, 단말 또는 가상 라우터로부터 테이블 재생성 요청이 전송된 경우, 해당 가상 라우터를 위한 새로운 터널엔드 테이블을 생성하여 단말 및 해당 가상 라우터로 전송하는 기능을 수행한다.The DTE table update unit 350 generates a new tunnel end table for the corresponding virtual router and transmits the generated tunnel end table to the terminal and the corresponding virtual router when a certain update condition is satisfied or a table regeneration request is transmitted from the terminal or the virtual router .

이상과 같은 본 발명의 실시예에 의하면, 단일의 가상 라우터가 복수의 터널링 설정이 가능하도록 하되, 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 단말 및 가상 라우터에 제공하고, 정해진 룰에 의하여 터널엔드를 동적으로 선택하여 터널링 속성을 동적으로 변경한다.According to the present invention as described above, it is possible to provide a tunnel end table including a plurality of tunnel end information to a terminal and a virtual router so that a single virtual router can establish a plurality of tunneling settings, End dynamically to change the tunneling attributes dynamically.

따라서, VPN 통신마다 터널링 속성이 동적으로 변화되기 때문에, 도 1과 같은 일반적인 VPN 시스템과 비교할 때, 외부 해킹이 어렵고 따라서 데이터 송수신의 보안성이 향상될 수 있다.Therefore, since the tunneling attribute changes dynamically for each VPN communication, external hacking is difficult compared with the general VPN system as shown in FIG. 1, and therefore, security of data transmission and reception can be improved.

또한, 기존의 네트워크 주소 변환(NAT) 시스템에서는 공유기에 연동된 장치가 공인 IP를 가지지 못하는 클라이언트 단말로 한정되는 것이 비하여, 본 발명에 의하면 가상 라우터에 연동된 장치가 공인 IP 주소를 가지는 서버가 될 수 있음으로써, 서버-클라이언트 통신에도 활용할 수 있다는 장점이 있다.In addition, in the conventional network address translation (NAT) system, a device interworking with a router is limited to a client terminal that does not have a public IP address. According to the present invention, a device interworking with a virtual router becomes a server having a public IP address This is advantageous for server-client communication.

이상에서의 설명 및 첨부된 도면은 본 발명의 기술 사상을 예시적으로 나타낸 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 구성의 결합, 분리, 치환 및 변경 등의 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다. It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the present invention as defined by the appended claims. , Separation, substitution, and alteration of the invention will be apparent to those skilled in the art. Therefore, the embodiments disclosed in the present invention are intended to illustrate rather than limit the scope of the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas within the scope of equivalents should be construed as falling within the scope of the present invention.

100 : 단말(에이전트) 110, 220 : DTE 테이블 DB
200 : 게이트웨이 210 : 가상 라우터(VR)
300 : 매니저 장치 310 : DTE DB
330 : VR 관리부 340 : DTE 테이블 관리부
400 : 서버팜 410 : 서버
100: terminal (agent) 110, 220: DTE table DB
200: Gateway 210: Virtual Router (VR)
300: manager device 310: DTE DB
330: VR management unit 340: DTE table management unit
400: Server Farm 410: Server

Claims (11)

단말과 터널링에 의하여 연결되되, 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있는 가상 라우터;
상기 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 생성하여 상기 단말 및 상기 가상라우터로 전달하는 매니저 장치;
를 포함하며,
상기 가상 라우터는 상기 터널엔드 테이블을 저장하고, 상기 터널엔드 테이블을 기초로 상기 단말과 연결되는 터널링의 터널엔드를 일정 간격으로 동적으로 변경하여 상기 터널링의 속성을 변경하며,
상기 매니저 장치는 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 선택하기 위한 룰정보를 생성하여 상기 단말 또는 가상 라우터로 전송하고,
상기 가상 라우터는 상기 룰정보에 따라 일정 간격으로 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 동적으로 선택하여 상기 터널링의 속성을 변경하며,
상기 룰정보는 터널엔드 테이블에 포함된 복수의 터널엔드 정보를 순차적으로 선택하는 제1룰정보와, 상기 터널엔드 테이블에 포함된 복수의 터널엔드 정보 중 하나를 랜덤하게 선택하는 제2룰정보와, 하나의 공인 IP 주소에서 상기 포트번호를 순차적으로 변경하다가 기설정 위치에서 다른 포트번호로 스킵하도록 터널엔드 정보를 선택하는 제3룰정보와, 공인 IP 주소와 포트번호를 순차적으로 변경하다가 기설정 위치에서 다른 공인 IP 주소와 다른 포트번호로 스킵하도록 터널엔드 정보를 선택하는 제4룰정보 중 하나 이상을 포함하는 것을 특징으로 하는 가상 사설 네트워크 시스템.
A virtual router capable of establishing a plurality of tunnel ends which are defined by one public IP address and one port number selected from among two or more public IP addresses and two or more port numbers,
A manager device for generating a tunnel end table including a plurality of tunnel end information that can be set by the virtual router and delivering the tunnel end table to the terminal and the virtual router;
/ RTI >
Wherein the virtual router stores the tunnel end table and changes the tunneling property by dynamically changing the tunnel end of the tunneling connected to the terminal based on the tunnel end table at a predetermined interval,
The manager apparatus generates rule information for selecting one of a plurality of tunnel end information included in the tunnel end table and transmits the generated rule information to the terminal or the virtual router,
Wherein the virtual router dynamically selects one of a plurality of tunnel end information included in the tunnel end table at predetermined intervals according to the rule information to change an attribute of the tunneling,
The rule information includes first rule information for sequentially selecting a plurality of tunnel end information included in a tunnel end table, second rule information for randomly selecting one of a plurality of tunnel end information included in the tunnel end table, Third rule information for selecting the tunnel end information to sequentially change the port number from one public IP address to skip from the preset port to another port number, and sequentially changing the public IP address and the port number, And fourth rule information for selecting tunnel end information to skip to another public IP address and a different port number at a location of the virtual private network system.
삭제delete 제1항에 있어서,
상기 가상 라우터는 패킷 수신 회수가 임계회수 이상이 되거나, 터널링 설정 후 지속시간이 임계시간 이상인 경우, 터널엔드 테이블 업데이트 요청 신호를 생성하여 매니저 장치로 전송하고, 상기 매니저 장치는 새로운 터널엔드 테이블을 생성하여 상기 단말 및 가상 라우터로 전송하는 것을 특징으로 하는 가상 사설 네트워크 시스템.
The method according to claim 1,
The virtual router generates a tunnel end table update request signal and transmits the tunnel end table update request signal to the manager device when the number of packet reception times is more than a threshold number of times or the duration after setting tunneling is longer than the threshold time, To the terminal and the virtual router.
삭제delete 삭제delete 삭제delete 단말과 터널링에 의하여 연결되어 상기 단말과 VPN 통신을 하는 가상 라우터로서,
상기 가상라우터는 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있고,
외부의 매니저 장치로부터 상기 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 수신하여 저장하며,
상기 터널엔드 테이블을 기초로 상기 단말과 연결되는 터널링의 터널엔드를 일정 간격으로 동적으로 변경하여 상기 터널링의 속성을 변경하며,
상기 가상 라우터는 상기 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 선택하기 위한 룰정보를 상기 매니저 장치로부터 더 수신하고,
수신한 상기 룰정보에 따라 일정 간격으로 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 동적으로 선택하여 상기 터널링의 속성을 변경하고,
상기 가상 라우터는 상기 단말로부터의 패킷 수신 회수가 임계회수 이상이 되거나, 터널링 변경 후 지속시간이 임계시간 이상인 경우, 터널엔드 테이블 업데이트 요청 신호를 생성하여 매니저 장치로 전송하고, 새로운 터널엔드 테이블을 상기 매니저 장치로부터 수신하여 저장하는 것을 특징으로 하는 가상 라우터.
1. A virtual router connected to a terminal by tunneling and performing VPN communication with the terminal,
The virtual router can set a plurality of tunnel ends defined by one public IP address and one port number selected from two or more public IP addresses and two or more port numbers,
Receiving and storing a tunnel end table including a plurality of tunnel end information that can be set by the virtual router from an external manager device,
And changing a tunneling end of the tunneling connected to the terminal based on the tunnel end table at a predetermined interval,
Wherein the virtual router further receives rule information for selecting one of a plurality of tunnel end information included in the tunnel end table from the manager apparatus,
And dynamically selecting one of a plurality of tunnel end information included in the tunnel end table at predetermined intervals according to the received rule information to change an attribute of the tunneling,
The virtual router generates a tunnel end table update request signal and transmits the tunnel end table update request signal to the manager device when the number of received packets from the terminal exceeds the threshold number of times or the duration after the tunneling change exceeds the threshold time, From the manager device, and stores the received virtual router.
삭제delete 삭제delete 단말 및 가상라우터와 연결되어 상기 단말 및 가상라우터를 제어하는 매니저 장치로서,
상기 가상 라우터는 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있으며,
상기 매니저 장치는 상기 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 생성하여 상기 단말 및 상기 가상라우터로 전달하여, 상기 가상 라우터와 상기 단말로 하여금 상기 터널엔드 테이블을 기초로 상기 단말과 가상 라우터 사이에 연결되는 터널링의 속성인 터널엔드를 일정 간격으로 동적으로 변경하도록 하며,
상기 매니저 장치는 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 선택하기 위한 룰정보를 생성하여 상기 단말 또는 가상 라우터로 전송하고,
상기 매니저 장치는 상기 터널링을 통한 패킷 송수신 회수가 임계회수 이상이 되거나, 터널링 설정 후 지속시간이 임계시간 이상인 경우, 상기 가상 라우터로부터 전송되는 터널엔드 테이블 업데이트 요청 신호에 따라 새로운 터널엔드 테이블을 생성하여 상기 단말 및 가상 라우터로 전송하는 것을 특징으로 하는 매니저 장치.
1. A manager device connected to a terminal and a virtual router for controlling the terminal and a virtual router,
The virtual router may set a plurality of tunnel ends defined by one public IP address and one port number selected from two or more public IP addresses and two or more port numbers,
Wherein the manager device generates a tunnel end table including a plurality of tunnel end information that can be set by the virtual router and transfers the tunnel end table to the terminal and the virtual router so as to allow the virtual router and the terminal to transmit the tunnel end table based on the tunnel end table The tunnel end which is an attribute of tunneling connected between the terminal and the virtual router is dynamically changed at a predetermined interval,
The manager apparatus generates rule information for selecting one of a plurality of tunnel end information included in the tunnel end table and transmits the generated rule information to the terminal or the virtual router,
The manager device generates a new tunnel end table according to a tunnel end table update request signal transmitted from the virtual router when the number of packet transmission / reception times through the tunneling is greater than or equal to a threshold number of times, or the duration after tunneling is greater than or equal to a threshold time To the terminal and the virtual router.
단말 및 가상라우터와 연결되어 상기 단말 및 가상라우터를 제어하는 매니저 장치로서,
상기 가상 라우터는 2 이상의 공인 IP 주소와 2 이상의 포트 번호 중 선택되는 1개의 공인 IP 주소 및 1개의 포트번호로 정의되는 터널엔드를 복수개 설정할 수 있으며,
상기 매니저 장치는 상기 가상 라우터가 설정할 수 있는 복수의 터널엔드 정보를 포함하는 터널엔드 테이블을 생성하여 상기 단말 및 상기 가상라우터로 전달하여, 상기 가상 라우터와 상기 단말로 하여금 상기 터널엔드 테이블을 기초로 상기 단말과 가상 라우터 사이에 연결되는 터널링의 속성인 터널엔드를 일정 간격으로 동적으로 변경하도록 하며,
상기 매니저 장치는 터널엔드 테이블에 포함되는 복수의 터널엔드 정보 중 하나를 선택하기 위한 룰정보를 생성하여 상기 단말 또는 가상 라우터로 전송하고,
상기 룰정보는 터널엔드 테이블에 포함된 복수의 터널엔드 정보를 순차적으로 선택하는 제1룰정보와, 상기 터널엔드 테이블에 포함된 복수의 터널엔드 정보 중 하나를 랜덤하게 선택하는 제2룰정보와, 하나의 공인 IP 주소에서 상기 포트번호를 순차적으로 변경하다가 기설정 위치에서 다른 포트번호로 스킵하도록 터널엔드 정보를 선택하는 제3룰정보와, 공인 IP 주소와 포트번호를 순차적으로 변경하다가 기설정 위치에서 다른 공인 IP 주소와 다른 포트번호로 스킵하도록 터널엔드 정보를 선택하는 제4룰정보 중 하나 이상을 포함하는 것을 특징으로 하는 매니저 장치.
1. A manager device connected to a terminal and a virtual router for controlling the terminal and a virtual router,
The virtual router may set a plurality of tunnel ends defined by one public IP address and one port number selected from two or more public IP addresses and two or more port numbers,
Wherein the manager device generates a tunnel end table including a plurality of tunnel end information that can be set by the virtual router and transfers the tunnel end table to the terminal and the virtual router so as to allow the virtual router and the terminal to transmit the tunnel end table based on the tunnel end table The tunnel end which is an attribute of tunneling connected between the terminal and the virtual router is dynamically changed at a predetermined interval,
The manager apparatus generates rule information for selecting one of a plurality of tunnel end information included in the tunnel end table and transmits the generated rule information to the terminal or the virtual router,
The rule information includes first rule information for sequentially selecting a plurality of tunnel end information included in a tunnel end table, second rule information for randomly selecting one of a plurality of tunnel end information included in the tunnel end table, Third rule information for selecting the tunnel end information to sequentially change the port number from one public IP address to skip from the preset port to another port number, and sequentially changing the public IP address and the port number, And fourth rule information for selecting tunnel end information to skip to another public IP address and a different port number from the location.
KR1020160072703A 2016-06-10 2016-06-10 Virtual Private Network System of Dynamic Tunnel End Type, Manager Apparatus and Virtual Router for the same KR101712922B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020160072703A KR101712922B1 (en) 2016-06-10 2016-06-10 Virtual Private Network System of Dynamic Tunnel End Type, Manager Apparatus and Virtual Router for the same
CN201610716440.6A CN107528778A (en) 2016-06-10 2016-08-24 The vpn system of dynamic tunnel end mode, virtual router and manager devices for it

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160072703A KR101712922B1 (en) 2016-06-10 2016-06-10 Virtual Private Network System of Dynamic Tunnel End Type, Manager Apparatus and Virtual Router for the same

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020160114610A Division KR20170140051A (en) 2016-09-06 2016-09-06 Virtual Private Network System of Dynamic Tunnel End Type, Manager Apparatus and Virtual Router for the same

Publications (1)

Publication Number Publication Date
KR101712922B1 true KR101712922B1 (en) 2017-03-08

Family

ID=58404146

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160072703A KR101712922B1 (en) 2016-06-10 2016-06-10 Virtual Private Network System of Dynamic Tunnel End Type, Manager Apparatus and Virtual Router for the same

Country Status (2)

Country Link
KR (1) KR101712922B1 (en)
CN (1) CN107528778A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190005368A (en) * 2017-07-06 2019-01-16 주식회사 아라드네트웍스 Method and apparatus for dynamic vpn manegenment

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101206637B1 (en) * 2008-07-18 2012-11-29 알까뗄 루슨트 Establishing pseudowires in packet switching networks
JP2015177430A (en) * 2014-03-17 2015-10-05 日本電気株式会社 Tunnel endpoint device, communication device, communication system, communication method and program

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7489700B2 (en) * 2002-11-20 2009-02-10 Hitachi Communication Technologies, Ltd. Virtual access router
EP1763197B1 (en) * 2002-11-27 2009-11-18 Research In Motion Limited Associating a temporary IPv6 address with a temporary IPv4 address for communicating in an IPv4 network with a wireless device
WO2006043463A1 (en) * 2004-10-19 2006-04-27 Nec Corporation Vpn gateway device and hosting system
US20080281978A1 (en) * 2007-05-10 2008-11-13 Motorola, Inc. Methods for utilizing multiple tunnels within a communication network
US9345065B2 (en) * 2008-11-17 2016-05-17 Qualcomm Incorporated Remote access to local network
CN101753401A (en) * 2008-12-03 2010-06-23 北京天融信科技有限公司 A method for realizing backup and load of IPSec virtual private network tunnel
KR101308089B1 (en) * 2011-12-29 2013-09-12 주식회사 시큐아이 Ipsec vpn system and method for supporing high availability
KR20150116170A (en) * 2014-04-07 2015-10-15 한국전자통신연구원 Access point apparatus for consisting multiple secure tunnel, system having the same and method thereof
CN104869118B (en) * 2015-05-15 2018-07-31 北京云杉世纪网络科技有限公司 A kind of method and system for realizing DDoS defence based on dynamic tunneling technique

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101206637B1 (en) * 2008-07-18 2012-11-29 알까뗄 루슨트 Establishing pseudowires in packet switching networks
JP2015177430A (en) * 2014-03-17 2015-10-05 日本電気株式会社 Tunnel endpoint device, communication device, communication system, communication method and program

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190005368A (en) * 2017-07-06 2019-01-16 주식회사 아라드네트웍스 Method and apparatus for dynamic vpn manegenment
KR101947170B1 (en) * 2017-07-06 2019-05-08 주식회사 아라드네트웍스 Method and apparatus for dynamic vpn manegenment

Also Published As

Publication number Publication date
CN107528778A (en) 2017-12-29

Similar Documents

Publication Publication Date Title
US10862863B2 (en) Session identifier for a communication session
CN107995052B (en) Method and apparatus for common control protocol for wired and wireless nodes
US8295285B2 (en) Method and apparatus for communication of data packets between local networks
CN106878253B (en) MAC (L2) layer authentication, security and policy control
CA3021367C (en) Using wlan connectivity of a wireless device
US20140075505A1 (en) System and method for routing selected network traffic to a remote network security device in a network environment
JP5987122B2 (en) Network address translated device identification for device specific traffic flow steering
WO2016210196A1 (en) Media relay server
US20130182651A1 (en) Virtual Private Network Client Internet Protocol Conflict Detection
CN103812960A (en) Network address translation for application of subscriber-aware services
WO2016210202A1 (en) Media relay server
CN110290093A (en) The SD-WAN network architecture and network-building method, message forwarding method
US11831607B2 (en) Secure private traffic exchange in a unified network service
CN103188351A (en) IPSec VPN communication service processing method and system under IPv6 environment
KR20140099598A (en) Method for providing service of mobile vpn
CN106878259B (en) Message forwarding method and device
CN107733764B (en) Method, system and related equipment for establishing virtual extensible local area network tunnel
JP2004328029A (en) Network access system
KR101712922B1 (en) Virtual Private Network System of Dynamic Tunnel End Type, Manager Apparatus and Virtual Router for the same
Abdulla Survey of security issues in IPv4 to IPv6 tunnel transition mechanisms
CN101572729B (en) Processing method of node information of virtual private network, interrelated equipment and system
Liang et al. A SDN-Based Hierarchical Authentication Mechanism for IPv6 Address
KR20170140051A (en) Virtual Private Network System of Dynamic Tunnel End Type, Manager Apparatus and Virtual Router for the same
JP5947763B2 (en) COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
Komal Performance Evaluation of Tunneling Mechanisms in IPv6 Transition: A Detailed Review

Legal Events

Date Code Title Description
N231 Notification of change of applicant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200227

Year of fee payment: 4