[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR20070026331A - 패킷이 필터링되어 있는 것 이외의 네트워크 프로토콜레이어에서 가상 사설망을 형성하기 위해 보안 통신 링크를설정하기 위한 시스템, 장치 및 방법 - Google Patents

패킷이 필터링되어 있는 것 이외의 네트워크 프로토콜레이어에서 가상 사설망을 형성하기 위해 보안 통신 링크를설정하기 위한 시스템, 장치 및 방법 Download PDF

Info

Publication number
KR20070026331A
KR20070026331A KR1020067009144A KR20067009144A KR20070026331A KR 20070026331 A KR20070026331 A KR 20070026331A KR 1020067009144 A KR1020067009144 A KR 1020067009144A KR 20067009144 A KR20067009144 A KR 20067009144A KR 20070026331 A KR20070026331 A KR 20070026331A
Authority
KR
South Korea
Prior art keywords
packet
server
target
packet traffic
pseudo
Prior art date
Application number
KR1020067009144A
Other languages
English (en)
Inventor
구스맨 피. 라오
로버트 로드리구에쯔
에릭 브루에쥐맨
Original Assignee
사이트릭스 게이트웨이즈, 아이엔씨.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 사이트릭스 게이트웨이즈, 아이엔씨. filed Critical 사이트릭스 게이트웨이즈, 아이엔씨.
Publication of KR20070026331A publication Critical patent/KR20070026331A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

패킷이 필터링된 것 이외의 레이어에서 보안 통신 링크를 구현하기 위한 시스템, 장치 및 방법이 개시된다. 일 실시예에서, 컴퓨터 시스템은 가상 사설망("VPN")을 형성하도록 구성되고 타겟 서버에 어드레스된 초기 타겟 패킷 트래픽을 식별하는 주소 검사 드라이버를 포함한다. 또한, 컴퓨터 시스템은 주소 검사 드라이버로부터 다시 라우팅된 초기 타겟 패킷 트래픽을 수신하는 의사 서버 모듈을 포함한다. 의사 서버 모듈은 VPN 게이트웨이에 패킷 재형성 명령을 이송하도록 구성된다. 주소 검사 드라이버는 타겟 서버에 어드레스된 부가의 타겟 패킷 트래픽을 식별하는 기능을 행하고 의사 서버에 부가의 타겟 패킷 트래픽을 라우팅한다. 일 실시예에서, 의사 서버는 부가의 타겟 패킷 트래픽으로부터 헤더 정보를 제거하여 페이로드를 형성하고, 그 후에 이 페이로드를 타겟 서버에 라우팅하도록 구성된다.
보안 통신 링크, 패킷 트래픽, VPN, 타겟 서버, 의사 서버 모듈, 원격 클라이언트 컴퓨팅 디바이스

Description

패킷이 필터링되어 있는 것 이외의 네트워크 프로토콜 레이어에서 가상 사설망을 형성하기 위해 보안 통신 링크를 설정하기 위한 시스템, 장치 및 방법{SYSTEM, APPARATUS AND METHOD FOR ESTABLISHING A SECURED COMMUNICATIONS LINK TO FORM A VIRTUAL PRIVATE NETWORK AT A NETWORK PROTOCOL LAYER OTHER THAN THAT AT WHICH PACKETS ARE FILTERED}
본 발명은 일반적으로 보안 통신망에 관한 것이다. 더욱 특히 본 발명은 원격 디바이스와 게이트웨이 디바이스 간에 보안 통신 링크를 설정하기 위한 시스템, 장치 및 방법에 관한 것으로, 이에 의해 적어도 원격 디바이스 (예를 들어, 원격 컴퓨팅 디바이스 등)는 그 원격 디바이스에서 패킷 트래픽을 캡쳐하여 방향을 고치고, 또한 실시간 어플리케이션을 위해 암호화된 패킷 트래픽의 레이턴시를 최소화하기 위해 패킷을 수정하도록 구성된다.
인터넷 프로토콜 시큐리티 ("IPsec") 및 보안 소켓 레이어("SSL")는 인터넷 등의 공중 통신망을 통해 가상 사설망("VPN)을 설정하는 데에 이용되는 종래의 암호화 프로토콜의 예들로, 인가된 유저들만이 VPN의 데이터를 억세스할 수 있는 것을 확실히 하기 위한 것이다. 그러나 이들 및 그 외 종래의 암호화 프로토콜을 구현하는 종래의 VPN에는 몇가지 단점들이 있다.
예를 들어, IPsec를 구현하는 데에 있어서의 문제점은 대부분의 방화벽이 최소한의 수고, 특히 네트워크 주소 변환 ("NAT")을 실행하는 것으로는 IPsec 암호화 트래픽을 효율적으로 라우트할 수 없다는 것이다. NAT 트래버설 기술은 IPsec 암호화 패킷이 NAT 방화벽을 통과시키기 위한 것이긴 하지만, 이들 기술은 IPsec 암호화 패킷을 두개의 포트 (예를 들어, 포트 80 및 443)로 제한하고 있어, 이로 인해 병목 현상을 이루게 된다. 다른 문제점으로 IPsec를 구현하는 VPN은 원격 연산 디바이스에 할당된 주소가 그 원격 디바이스가 연결되게 되는 사설망에 의해 가시화될 필요가 있다는 것이 있는데, 이로 인해 특정 보안 침해에 대한 취약성이 발생하게 된다. 예를 들어, 사설망의 클라이언트를 감염시킨 웜 (worm)이 원격 디바이스의 가시 주소를 이용하여 그 원격 디바이스를 포함하는 사설망에 전파되게 된다. IPsec 기반의 VPN의 문제점 중 적어도 일부는 이더넷 프레임 레벨에서와 같은 네트워크 레이어에서 패킷 검사와 암호화 둘 다를 실행하는 것에 기인한다.
예를 들어, SSL를 구현하는 데에 있어서의 문제점 중 하나는 이 프로토콜이 통상 웹 어플리케이션에 제한되고, 이로 인해 브라우저 기반이 아닌 수 많은 다른 어플리케이션의 이용은 배제하게 된다는 것이다. 다른 문제점은 SSL 기반의 VPN이 폭 넓은 범위의 라우팅 프로토콜을 지원한다는 것이다. 따라서, SSL 기반의 VPN은 일반적으로 보이스 오버 IP(voice over IP) 또는 "VoIP" 및 피어-투-피어 어플리케이션 등의 실시간 어플리케이션을 지원할 수가 없다. SSL 기반의 VPN의 문제점 중 적어도 일부는 전송 레이어 (또는 어플리케이션 레이어)에서 패킷 조사와 암호화 둘 다를 실행하는 것에 인한 것으로, 이는 라우팅 프로토콜을 예를 들어, 유저 데 이터 프로토콜 ("UDP") 및 전송 제어 프로토콜 ("TCP")로 제한시킨다.
따라서, VPN에서 상기한 암호화 프로토콜 구현의 문제점을 해결하기 위한, 특히 원격 디바이스에서 패킷 트래픽을 캡쳐하여 방향을 고치고, 이 패킷을 수정하여 실시간 어플리케이션을 위한 암호화 패킷 트래픽의 레이턴시를 적어도 최소화하도록 하여 원격 컴퓨팅 디바이스에서 사설망 까지의 보안 통신 링크를 설정하기 위한 시스템, 장치 및 방법의 필요성이 대두되고 있다.
패킷이 필터링된 것 이외의 레이어에서 보안 통신 링크를 구현하기 위한 시스템, 장치 및 방법이 개시된다. 일 실시예에서, 컴퓨터 시스템은 가상 사설망 ("VPN")을 형성하도록 구성되고, 타켓 서버에 어드레스된 초기 타켓 패킷 트래픽을 식별하기 위해 주소 검사 드라이버를 포함한다. 또한, 컴퓨터 시스템은 주소 검사 드라이버로부터 다시 라우팅된 초기 타켓 패킷 트래픽을 수신하기 위해 의사 (pseudo) 서버 모듈을 포함한다. 의사 서버 모듈은 VPN 게이트웨이로 패킷 재형성 명령을 이송하도록 구성된다. 주소 검사 드라이버는 타켓 서버에 어드레스된 부가의 타겟 패킷 트래픽을 식별하는 기능을 행하며 부가의 타켓 패킷 트래픽을 의사 서버로 라우트한다. 일 실시예에서, 의사 서버는 페이로드를 형성하기 위해, 부가의 타켓 패킷 트래픽으로부터 헤더 정보를 제거하고 그 후에 이 페이로드를 타켓 서벗에 라우트하도록 구성된다.
본 발명의 다른 실시예에 따라, 가상 사설망을 설정하여 원격 클라이언트 컴퓨팅 디바이스와의 통신을 보안하도록 하는 방법이 개시된다. 이 방법은 클라이언트 컴퓨팅 디바이스 상에서 실행되는 통신 어플리케이션으로 패킷 트래픽을 형성하는 단계, 타겟 서버에 어드레스된 패킷 트래픽의 타켓 패킷 트래픽을 클라이언트 컴퓨팅 디바이스에서 식별하는 단계, 컴퓨팅 디바이스 상의 의사 서버 모듈과 타켓 서버 간의 보안 통신 링크를 형성하는 단계, 타켓 서버에 어드레스된 부가의 패킷 트래픽을 의사 서버 모듈로 향하게 하는 단계, 의사 서버 모듈로 다시 라우팅된 부가의 패킷 트래픽의 수신시 통신 어플리케이션에 확인 신호를 보내는 단계 및 타겟 서버에 페이로드를 라우팅하는 단계를 포함한다.
또 다른 실시예에서, 가상 사설망은 클라이언트 머신 상에서 실행되는 통신 어플리케이션에 관련하여 의사 서버 머신으로 구성된 클라이언트 머신을 포함한다. 통신 어플리케이션은 의사 서버 머신으로부터 패킷 트래픽 확인 신호를 수신하도록 구성된다. 가상 사설망 게이트웨이가 포함되며 이는 의사 서버 머신에 관련하여 클라이언트 머신으로 기능하도록 서버 머신과 동작하고, 이로 인해 클라이언트 머신과 서버 머신 간에 보안 통신이 용이해진다.
본 발명의 더욱 완전한 이해는 다음의 상세한 설명 및 청구범위를 첨부한 도면과 관련하여 참조하게 되면 더욱 용이하게 이해될 것이다.
도 1은 본 발명의 일 실시예에 따라, 원격 컴퓨팅 디바이스와 VPN 게이트웨이 컴퓨팅 디바이스 간의 보안 통신 링크를 설정하기 위한 가상 사설망 ("VPN") 시스템을 설명하는 도면이다.
도 2는 본 발명의 일 실시예예 따라, 보안 통신 링크를 통한 패킷의 통신 방 법의 예를 도시하는 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 원격 클라이언트 컴퓨팅 디바이스를 설명하기 위한 블럭도이다.
도 4는 본 발명의 특정 실시예에 따라, 원격 클라이언트로부터 사설망으로 타켓 패킷 트래픽을 전송할 때 의사 서버와 주소 검사 드라이버 간의 상호 작용을 설명하는 기능 블럭도이다.
도 5는 본 발명의 특정 실시예에 따라 사설망으로부터 원격 클라이언트에의 암호화 패킷 트래픽의 수신 이후 의사 서버와 주소 검사 드라이버 간의 상호 작용을 설명하는 기능 블럭도이다.
도 6은 본 발명의 여러 실시예에 따라, 실시간 및 그 외 어플리케이션용 암호화 패킷을 통신하기 위한 여러 의사 서버의 모듈을 설명하는 블럭도이다.
도 1은 본 발명의 일 실시예에 따라, 원격 컴퓨팅 디바이스와 VPN 게이트웨이 컴퓨팅 디바이스 간의 보안 통신 링크를 설정하기 위한 가상 사설망 ("VPN") 시스템을 설명하는 도면이다. 가상 사설망(100)은 암호화 데이터를 교환하기 위해 보안 통신 링크 ("secured comm.link"; 190)를 통해 사설망(150)에 결합된 원격 클라이언트 컴퓨팅 디바이스 ("client"; 110)를 포함한다. 원격 클라이언트 컴퓨팅 디바이스(110)는 네트워크 레이어 (즉, 오픈 시스템 인터커텍션 모델, 또는 "OSI" 모델의 레이어 2)에서나 그 근처에서 하나 이상의 가상 사설망 ("VPN")과 관련된 패킷 트래픽을 캡쳐하고 다시 라우팅하도록 구성된다. 네트워크 레이어에서 패킷 을 캡쳐하여 검사함으로써, 원격 클라이언트 컴퓨팅 디바이스(110)는 예를 들어, 인터넷 프로토콜 ("IP"), TCP, UDP, 인터켓 컨트롤 메시지 프로토콜 ("ICMP"), 제너릭 라우팅 인캡슐레이션 ("GRE") 기술, 애플 토크 (Apple talk), 넷바이오스 (Netbios) 등을 포함하는 광범위한 네트워크 트래픽을 조사할 수 있다. 또한, 원격 클라이언트 컴퓨팅 디바이스(110)는 전송 레이어 (즉, 레이어 4)나 그 근처에서 보안 통신 링크(190) (또는 "터널")를 형성하고, 이로 인해 암호화 패킷이 네트워크 주소 변환 ("NAT") 기반의 방화벽 및 네트워크 디바이스를 통과할 수 있게 한다. 적어도 일 실시예에서, 사설망(150)은 그 사설망의 컴퓨팅 디바이스 (예를 들어, 타겟 서버(154))에게 숨겨질 수 있는 원격 클라이언트 컴퓨팅 디바이스(110)에 주소를 지정하고, 이로 인해 원격 클라이언트 컴퓨팅 디바이스(110)가 웜과 같은 보안 위협에 노출되는 것을 감소시킬 수 있다. 특정 실시예에서, 원격 클라이언트 컴퓨팅 디바이스(110)는 예를 들어, 보안 통신 링크(190)를 통한 전송 이전에 헤더 정보를 제거함으로써 패킷을 수정하도록 구성되고, 이로 인해, 실시간 어플리케이션에서 암호화 패킷 트래픽의 레이턴시를 최소화할 수 있다.
도시하지는 않았지만, 원격 클라이언트 컴퓨팅 장치(110)는 여러 유저 레벨 컴퓨터 소프트웨어 어플리케이션 (예를 들어, 마이크로소프트 아웃룩®)을 실행하기 위해, 프로그램 명령을 각각 실행하고 저장하기 위한 프로세스와 메모리를 포함한다. 원격 클라이언트 컴퓨팅 디바이스(110)는 컴퓨터 소프트웨어 어플리케이션 과 사설망(150) 간에 데이터를 교환하기 위해 중간자로 통신 어플리케이션(112)을 포함한다. 통신 어플리케이션(112)의 예로는 텔넷, 파일 전달 프로토콜 ("FTP"), 간단 전자 우편 전달 프로토콜 ("SMTP"), 하이퍼텍스트 전달 프로토콜 ("HTTP") 등이 있다.
또한, 원격 클라이언트 컴퓨팅 디바이스(110)는 보안 통신 링크(190)의 적어도 일 단부를 형성하도록 구성된 터널 형성기(116)를 포함한다. 터널 형성기(116)는 주소 검사 드라이버 ("AID"; 122), 의사 서버 ("PS"; 120) 및 암호화기(124)를 포함하고, 이들 각각은 하드웨어나 소프트웨어 또는 둘다로 구성된다. 주소 검사 드라이버 ("AID"; 122)는 네트워크 (예를 들어, 이더넷) 프레임 등의 패킷 트래픽을 캡쳐하여 검사하도록 네트워크 레이어에서나 그 근처에 배치되어, 원격 클라이언트 컴퓨팅 디바이스(110)의 하나 이상의 네트워크 어댑터를 트래버스한다. 예를 들어, 캡쳐된 패킷의 IP 헤더의 검사 동안, 주소 검사 드라이버(122)는 캡쳐된 패킷의 목적지가 사설망(150)인지의 여부를 결정한다. 패킷이 사설망(150) 행이 아닌 경우, 주소 검사 드라이버(122)는 패킷을 비암호화 패킷으로서 경로(114)를 거쳐 인터넷(102)으로 전달한다.
그러나 패킷 트래픽의 목적지가 사설망(150) (즉, "타겟 패킷 트래픽")으로 식별될 때, 주소 검사 드라이버(122)는 그 패킷 트래픽이 경로(114) 상으로 전달되지 않게 필터링한다. 주소 검사 드라이버(122)는 이 필터된 패킷 (즉, 타겟 패킷 트래픽)을 "인입 패킷"으로 재구성하여 이들을 의사 서버(120) 상의 트래픽 포트로 다시 라우팅한다. 어떤 실시예에서, 이 트래픽 포트는 원격 클라이언트 컴퓨팅 디바이스(110) 상의 "공지의 포트"일 수 있으며, 여기서 공지의 포트는 포트 번호 0 내지 1024 등일 수 있다. 부가하여, 주소 검사 드라이버(122)는 다시 라우팅된 필 터링 패킷과 함께 제어 패킷으로 캡슐화된 제어 정보를 의사 서버(120)에 보내도록 구성된다. 의사 서버(120)가 동일한 제어 정보가 적용 가능하게 될 다른 패킷을 검출할 수 있기 때문에 다시 라우팅된 모든 필터링 패킷에 대한 제어 패킷을 형성할 필요가 없다는 것에 유의해야 한다. 주소 검사 드라이버(122)는 네트워크 드라이버 인터페이스 사양 ("NDIS")에 따라 구현될 수 있지만, 또한 UNIX®, Linux, Microsoft WindowsTM 등과 같은 공지의 운용 시스템으로도 동작 가능한 프로그램 명령으로 구현될 수도 있다.
의사 서버 ("PS"; 120)는 전송 레이어나 그 근처에 배치되어 보안 통신 링크(190)으로부터 암호화 패킷 트래픽을 수신하고 주소 검사 드라이버(122)로부터 다시 라우팅된 암호화 패킷 트래픽을 전송 (즉, 재전달)하게 된다. 어떤 실시예에서, 의사 서버(120)는 예를 들어, 보안 통신 링크(190)를 통한 전송 이전에 헤더 정보를 제거하여 패킷을 수정하도록 구성된다. 동작시, 의사 서버(120)는 인입되는 다시 라우팅된 패킷과 주소 검사 드라이버(122)로부터 보내진 제어 패킷을 수용하는 것을 대기하는 트래픽 포트를 모니터한다. 의사 서버(120)는 제어 패킷을 다시 라우팅된 각 패킷과 관련되게 한 다음에, 사설망(150)으로의 전송을 위해 메시지 프레임(132)을 형성한다. 메시지 프레임(132)은 무엇보다도, 사설망(150)에서 패킷을 재구성하기 위한 재형성 명령을 포함한다. 메시지 프레임(132)은 일반적으로 암호화되어 보안 통신 링크(190)를 통해 사설망(150)으로 보내진다.
의사 서버(120)가 암호화 패킷 트래픽을 전송하지 않고 보안 통신 링크(190) 로부터 수신하게 되면, 의사 서버(120)는 이들을 암호화기(124)에 전달하여 이들 패킷의 해독을 제공한다는 점에 유의해야 한다. 다음에, 의사 서버(120)는 해독된 패킷을 주소 검사 드라이버(122)에 제어 정보와 함께 전달한다. 응답시, 주소 검사 드라이버(122)는 이들 해독 패킷 신호를 "인입 패킷"으로 재구성하여 이들을 통신 어플리케이션(112)에 다시 라우팅한다.
적어도 하나의 실시예에서, 의사 서버(120)는 인출 패킷을 수정하여 수정된 패킷을 형성하도록 구성된다. 이 예에서, 의사 서버(120)는 사설망(150) 행인 인출 패킷으로부터 헤더 정보를 제거할 수 있다. 제거될 수 있는 헤더 정보의 예는 TCP 헤더, IP 헤더, 링크 레이어 헤드 등을 포함한다. 헤더 정보가 제거되어진 패킷의 잔여 데이터를 "수정 패킷"으로 부르고, 이들 각각은 페이로드를 포함한다. 수정된 패킷은 "페이로드"(138)로서 도 1에 나타나 있다. 또한, 메시지 프레임(132)은 사설망(150)에서 미리 수정된 패킷을 재형성하기 위해 제거된 헤더 정보를 재구성하는 재형성 명령을 포함한다. 어떤 경우, 메시지 프레임(132)은 인증 정보를 포함할 수 있다. 메시지 프레임(132)이 사설망(150)의 적어도 하나의 엔티티로 이해되면, 링크 확인 신호 ("ACK"; 134)가 터널 형성기(116)로 보내진다. 본 발명의 특정 실시예에서, 의사 서버(120)는 수정 패킷을 의사 UDP 패킷으로 형성하고, 이들은 사설망(150)으로 이송되는 수정 패킷으로 구성된 부가의 트래픽(136)을 구성한다. 이와 같이, 터널 형성기(116)는 TCP 표준이 필요로 하는 확인 신호와 관련된 지연을 방지하기 위해 수정 패킷(138)을 보낼 때 확인 신호(130)를 형성한다. 확인 신호(130)는 원격 클라이언트 컴퓨팅 디바이스가 수정 패킷(138)을 보낼 때 확인 신호 (예를 들어, TCP 확인 신호)를 대기할 필요가 없도록 "폴스 (false) 확인 신호"로서 구현될 수 있다. 따라서, 수정된 패킷(138)은 UDP 패킷으로 작용할 수 있는 TCP 패킷이다. 이와 같이, 보안 통신 링크(190)는 패킷 이동 링크(190)가 TCP 패킷으로 위장한 UDP 패킷이기 때문에 표준 TCP 연결 보다는 "가상 TCP 연결"로 언급될 수 있다. 일 실시예에서, 터널 형성기(116)는 시간에 민감하며 (즉, 실시간 어플리케이션) 이들 트래픽 타겟 패킷을 선택적으로 수정하여 수정 패킷(138)을 형성하는, 화상이나 음성 데이터와 같은 특정 유형의 데이터를 포함한다.
암호화기(124)는 사설망(150)과의 연결을 설정하고 원격 클라이언트 컴퓨팅 디바이스(110)에 각각 들어가고 나가는 패킷을 암호화 및 해독하도록 구성된다. 예를 들어, 암호화기(124)는 하이퍼 텍스트 전송 프로토콜 오버 시큐어 소켓 레이어 ("HTTPS"), 프록시 HTTPS 등의 연결 프로토콜을 이용한 연결을 설정할 수 있다. 이들 연결 프로토콜이 전송 레이어 (또는 고위 레이어)에서 일반적으로 동작하고 있기 때문에, 암호화기(124)는 NAT 기반의 방화벽 및 브리지를 트래버스하는 데에 적합한 연결을 설정한다. 일단 연결 (예를 들어, HTTPS)이 설정되면, 사설망(150) 행인 패킷의 페이로드는 예를 들어, 시큐어 소켓 레이어("SSL"), 전송 레이어 시큐리티 ("TLS") 프로토콜 등을 이용하여 암호화된다. 암호화기(124)는 제거되지 않은 경우, IP 헤더와 같은 헤더 정보를 포함하는 전체 패킷을 암호화할 수 있다.
사설망(150)은 VPN 게이트웨이(152) 및 타겟 서버(154)를 포함하고, 이는 원격 클라이언트 컴퓨팅 디바이스(110)가 통신을 설정하게 되는 컴퓨팅 디바이스(서 버나 클라이언트로)를 나타낸다. VPN 게이트웨이(152)는 원격 클라이언트 컴퓨팅 디바이스(110)와의 보안 통신 링크(190) 설정을 조정하는 중간 컴퓨팅 디바이스이다. VPN 게이트웨이(152)는 원격 클라이언트 컴퓨팅 장치(110)와 타겟 서버(154) 간의 통신을 교환한다. 또한, VPN 게이트웨이(152)는 적어도 어느 면에서는 원격 클라이언트 컴퓨팅 디바이스(110)와 유사하다. 즉, VPN 게이트웨이(152)는 도시하지 않은 프로세서, 메모리 및 암호화기 뿐만 아니라, 주소 검사 드라이버 ("AID"; 122) 및 의사 서버 ("PS"; 120)를 포함한다. AID(122) 및 PS(120)는 원격 클라이언트 컴퓨팅 디바이스(110)와 관련하여 기재된 것과 유사한 기능 및/또는 구조를 갖는다.
VPN 게이트웨이(152)는 또한 터널 관리기("Tunnel MGR"; 160) 및 주소 변환기("Addr Trans"; 162)를 포함하다. 터널 관리기(160)는 적어도 의사 서버(120) 및 주소 검사 드라이버(122)를 소프트웨어 프로그램으로 다운로드하도록 구성된다. 또한, 터널 관리기(160)는 구성 정보를 제공하도록 구성된다. 이 구성 정보는 사설망(150)과 관련되는 주소 범위를 포함하여, 원격 클라이언트 컴퓨팅 디바이스(110)가 타겟 패킷 트래픽으로 어느 패킷을 필터할지를 선택할 수 있다. 또한, 터널 관리기(160)는 메시지 프레임(132)을 수신하고, 예를 들어 IP 헤더 정보 및/또는 원격 클라이언트 컴퓨팅 디바이스(110)의 지정 주소를 포함하도록 패킷을 재형성하도록 구성된다.
주소 변환기(162)는 NAT 프로세스 및 구체적으로 원격 클라이언트 컴퓨팅 디바이스(110)의 지정 주소를 타겟 서버(154)로부터 숨기기 위한 역 NAT 프로세스를 제공하도록 구성된다. 설명을 위해, 원격 클라이언트 컴퓨팅 디바이스(110)로부터 목적지 주소가 192.168.1.100인 타겟 서버(154)로의 TCP 연결이 형성되어 있는 다음의 예를 가정한다. 먼저, TCP SYN 패킷이 주소 192.168.1.100에 대해 형성된다. 터널 형성기(116)는 이 SYN 패킷을 보안 통신 링크(190)를 통해 전달한다. VPN 게이트웨이(152)는 도착한 패킷을 조사하여 이것이 192.168.1.100에 대한 SYN 패킷인지를 결정한다. 다음에, VPN 게이트웨이(152)는 목적지가 192.168.1.100인 새로운 SYN를 형성 (즉, 이 패킷을 재생)하고, 소스 주소는 새로운 SYN 패킷이 VPN 게이트웨이(152)의 사설 주소인 192.168.1.2로부터 발원된 것을 나타낸다. 주소 192.168.1.100에서 타겟 서버(154)가 SYN-ACK 패킷을 형성한 후에, VPN 게이트웨이(152)는 이 패킷을 수신한다. 다음에, 새로운 SYN-ACK 패킷이 보안 통신 링크(190)를 통해 다시 터널 형성기(116)에 이송되고, 여기에서 SYN-ACK 패킷을 형성한다. 이 패킷은 원격 클라이언트 컴퓨팅 디바이스(110)에 의해 관찰되는 바와 같이, 주소 192.168.1.100에서 타겟 서버(154)로부터 발원된 것으로 보인다. 간략히, VPN 게이트웨이(152)는 VPN 게이트웨이(152)의 고유의 소스 포트 번호를 이용하여 응답 패킷 및 확인 신호나 그 외 다른 패킷을 그 프로토콜의 일부로 역방향 매핑할 수 있다. 이런 식으로, 원격 클라이언트 컴퓨팅 디바이스(110)는 외래 사설망에 연결될 수 있으며 또한 여전히 IP 비가시성을 보유할 수 있다. 이러한 비가시성은 어플리케이션에 근거할 수 있다. 어떤 경우, VPN 게이트웨이(152)는 성공적으로 설정된 보안 통신 링크에 대해 지정된 사설 주소를 터널 형성기에 보냄으로써 주소 가시성을 선택적으로 가능하게 할 수 있으며, 다음에 그 개인 주소를 이 것이 놓인 원격 클라이언트 컴퓨팅 디바이스에 지정한다. 그러나 원격 클라이언트 컴퓨팅 디바이스의 주소의 가시성이 지배적인 것이 아니고, 예를 들어, 음성 어플리케이션이나 그 외 다른 피어 투 피어 어플리케이션과 같은 특정 어플리케이션을 선택적으로 용이하게 한다는 점에 유의해야 한다.
특정 실시예에서, 원격 클라이언트 컴퓨팅 디바이스(110)는 보안 통신 링크(190)의 지속과 동시적으로 다른 사설망("n"; 198)에 대해 다른 보안 통신 링크(192) (링크(190)의 것과 유사)를 설정할 수 있다. 이와 같이, 원격 클라이언트 컴퓨팅 디바이스(110)는 특히 목적지 네트워크 주소가 부분적으로나 완전히 겹치는 경우에, 여러 사설 서브넷이나 사설망에 다수의 VPN 터널이나 보안 통신 링크를 동시에 설정할 수 있다. 인터넷(102)이 보안 통신 링크(190)가 본 발명의 실시예에 따라 설정될 수 있는 통신망으로 예시되어 있지만, 원격 클라이언트 컴퓨팅 디바이스(110)는 터널 형성기(116)를 이용하여 무선망과 같은 어느 유형의 통신망에의 터널을 형성할 수 있다는 점에 유의해야 한다. 본 발명의 실시예는 본 발명의 정신 및 영역에서 벗어나지 않고, 어느 통신 매체 (예를 들어, 이더넷 케이블링, 무선, 광 섬유 등)를 통해서나 그리고 말단국으로 어느 컴퓨팅 디바이스 (예를 들어, 무선국)에 이용하기 위해서나, 임의의 패킷 교환 기술 (예를 들어, 이더넷 네트워크)로, 임의의 라우팅 프로토콜 (예를 들어, 인터넷 프로토콜 버전 6, "IPv6")를 이용하여 구현될 수 있다.
도 2는 본 발명의 일 실시예에 따르면, 보안 통신 링크를 통한 패킷의 통신 방법의 예를 도시하는 흐름도(200)이다. 202에서, 텔넷 어플리케이션과 같은 원격 클라이언트 컴퓨팅 디바이스 상에서 실행되는 통신 어플리케이션은 사설망을 액세스하기 위해 유저 레벨 어플리케이션에 의한 요청에 응답하여 패킷 트래픽을 형성한다. 204에서 클라이언트 컴퓨팅 디바이스는 타겟 서버 행인 타겟 패킷 트래픽을 식별한다. 206에서, 타겟 패킷 트래픽은 예를 들어, VPN 게이트웨이에 패킷 재형성 명령을 적어도 이송하기 위해 의사 서버 모듈로 다시 라우팅된다. 클라이언트 컴퓨팅 디바이스는 208에서 VPN 게이트웨이로부터 보내진 링크 확인 신호를 수신하고, 이로 인해 예를 들어, 클라이언트와 사설망 간의 보안 통신 링크가 선택적이라고 신호 보낸다. 다음에, 링크 확인 신호는 210에서 패킷 전달을 초기화하도록 통신 어플리케이션에 보내진다. 212에서, 타겟 서버에 어드레스된 부가의 패킷 트래픽은 예를 들어, 주소 검사 드라이버로부터 의사 서버 모듈로 향해질 수 있다. 그 후, 214에서, 확인 신호는 본 발명의 일 실시예에 따라, 타겟 서버에의 전송 이전에 의사 서버 모듈에서의 부가의 패킷 트래픽의 수신시 통신 어플리케이션에 보내질 수 있다. 몇 실시예에서, 헤더 정보는 216에서 페이로드를 형성하기 위해 부가의 패킷 트래픽으로부터 제거된다. 다음에, 218에서 페이로드는 VPN 게이트웨이로 라우팅된다.
도 3은 본 발명의 일 실시예에 따라 원격 클라이언트 컴퓨팅 디바이스를 설명하기 위한 블럭도이다. 이 예의 컴퓨팅 디바이스(302)는 예를 들어, 보안 통신 링크(380)를 통해 사설망에 위치된 다른 컴퓨팅 디바이스와 암호화 패킷 트래픽(390)를 교환할 수 있다. 도 3에 나타낸 예에서, 컴퓨팅 디바이스(302)는 예를 들어, 이더넷 네트워크 어댑터일 수 있는 네트워크 인터페이스 카드("NIC"; 324)에 결합된 운영 시스템(304)를 포함한다. 운영 시스템(304)는 또한 어플리케이션 레이어와 같은 고위 프로토콜 레이어를 NIC(324)를 포함하는 물리적 레이어와 같은 하위 프로토콜 레이어에 결합하기 위한 네트워크 프로토콜의 세트일 수 있는 프로토콜 스택(310)을 포함한다. 나타낸 바와 같이, 프로토콜 스택은 본 발명의 특정 실시예에 따르면 의사 서버(317), 주소 검사 드라이버(323) 및 암호화 프로토콜(310)을 포함한다.
프로토콜 스택(310)은 적어도 전송 레이어, 네트워크 레이어, 및 링크 레이어를 포함하는 것으로 나타나 있다. 전송 레이어는 UDP 프로세스(312), TCP 프로세스(314) (즉, TCP 서비스)와 같은 적어도 하나의 전송 프로토콜 또는 선택적인 다른 유형의 전송 프로토콜, 즉 "ICMP"와 같은 "다른 전송" 프로토콜(316)을 포함한다. 도 3은 IP 프로세스(318) (즉, IPv4 또는 IPv6 서비스)를 포함하는 네트워크 레이러가 링크 레이어를 통해 다음 고위 레이어에 있을 수 있다는 것을 나타낸다. 이 예에서, 의사 서버(317)는 전송 레이어에 배치되며 주소 검사 드라이버(323)는 네트워크 레이어 근처에 배치된다. 특히, 주소 검사 드라이버(323)는 데이터 링크 레이어에 배치된다. SSL와 같은 암호화 프로토콜(310)은 측면을 따라 또는 의사 서버(317) 위에 배치되며, 도 1의 암호화기(124)를 구현하는 데에 적합하다. 도 3에서, 암호화 프로토콜(310)은 TCP 프로세스(314) 위의 레이어에 있다.
본 발명의 일 실시예에 따르면, 프로토콜 스택(310)은 소프트웨어로 구현되는 프로세스의 컬렉션이다. 다른 실시예에서, 프로토콜 스택(310) 및/또는 그 구성물은 소프트웨어나 하드웨어, 또는 둘다로 구현될 수 있다. 프로토콜 스택(310) 의 각 프로세스 (예를 들어, TCP(314), IP(318) 등)는 프로토콜 스택(310)의 레이어를 통해서와 같이, 각 다른 프로세스와 통신하도록 구성된다. 전송 레이어와 같은 고위 레이어는 예를 들어, Winsock API(308) (또는 예를 들어, 원시 소켓을 설정하는 다른 소켓 레이어)를 통해 어플리케이션(306)과 통신하도록 구성될 수 있다. Winsock API(308)은 인터페이스에 어플리케이션(306)을 제공하고, 이는 텔넷 어플리케이션일 수 있다. 네트워크 레이어나 링크 레이어와 같은 하위 레이어는 MAC 드라이버(322)를 통해 NIC(324)와 통신하도록 구성될 수 있다. 보안 통신 링크를 설정하는 의사 서버(317)와 어드레스 검사 드라이버(323) 간의 상호 작용의 예를 도 4 및 도 5에서 다음에 기술한다.
도 4는 본 발명의 특정 실시예에 따라, 원격 클라이언트로부터 사설망으로 타겟 패킷 트래픽을 전송할 때 의사 서버와 주소 검사 드라이버 간의 상호 작용을 설명하는 기능 블럭도(400)이다. 이 예에서, 암호화기(124) 및 의사 서버(120)는 전송 레이어(404)에 배치되고 주소 검사 드라이버 ("AI Drvr"; 122)는 네트워크 레이어(408)에 배치된다. 다시, 어떤 실시예에서는 주소 검사 드라이버가 데이터 링크 레이어에 존재한다는 점에 유의해야 한다. 의사 서버(120)는 "키", 소스 주소 ("SA"), 소스 포트 ("SP"), 목적지 주소 ("DA"), 및 목적지 포트("DP") 등의 패킷 정보를 보유하는 포트 전달 매핑 데이터 구조(440)에 결합된다. 유사하게, 주소 검사 드라이버(122)는 드라이버 매핑 테이블 데이터 구조(422)로 도시된 유사한 데이터 구조를 보유한다. 또한, 주소 검사 드라이버(122)는 VPN 게이트웨이에 의해 제공된 구성 정보를 포함하는 필터 테이블(420)에 결합된다. 필터 테이블(420)은 타켓 패킷 트래픽과 관련된 목적지 정보를 고유하게 식별하기 위해서 소스 주소와 목적지 주소 (예를 들어, 198.0.0.80)와 같은 네트워크 주소, 선택적 서브넷 마스크 (도시 생략), TCP, UDP, ICMP (도시 생략) 등의 프로토콜, 소스 포트와 목적지 포트 등의 포트 정보 및 고유의 매핑 키를 포함한다. 의사 서버(120) 및 주소 검사 드라이버(122)는 이들 데이터 구조 중 하나에 변화가 발생한 경우, 제어 패킷(434)에서와 같이, 제어 정보를 교환하여 이들 데이터 구조를 동기화한다. 예시의 제어 패킷(434)은 UDP 패킷이거나 그외 다른 프로토콜의 패킷일 수 있으며, 통상 다시 라우팅된 데이터 패킷으로 의사 서버(120)에 보내진다. 제어 정보중에 목적지 포트의 변경과 같이 엔트리(442)의 갱신을 포함하는 것이 있는 경우, 이 변경이 입력되게 된다. 어떤 경우에, 제어 정보는 VPN 게이트웨이에서 패킷이 취급되거나 재형성되는 방법을 포함한다.
어플리케이션(112)이 원격 클라이언트 컴퓨팅 디바이스 상에 놓이고 소스 주소 10.0.02와 소스 포트 8678로 식별 가능하고, 타겟 서버(도시 생략)가 목적지 주소 198.0.0.80과 목적지 포트 445에 놓인다고 가정한다. 주소 검사 드라이버(122)가 패킷 프래픽(462)의 목적지 주소 또는 포트를 검출해야만 하는 경우, 타겟 서버용 목적지 주소와 목적지 포트가 드라이버 매핑 테이블 데이터 구조(422)에 저장된다. 이 경우, 소스 주소("SA")를 10.0.0.2로, 소스 포트 ("SP")를 8678로, 목적지 주소("DA")를 198.0.0.80로, 목적지 포트("DP")를 445로 포함하기 위해 엔트리(424) 뿐만 아니라, 주소 검사 드라이버(122)에 의해 형성되어 패킷 트래픽에 지정된 "키"가 만들어진다. 엔트리(426)는 어플리케이션(112)이 다른 VPN 게이트웨 이에 대한 다른 보안 통신 링크를 형성하고 주소 검사 드라이버(112)가 두 엔트리(424 및 426)에 관한 패킷 트래픽을 검사하도록 구성된 것을 나타낸다. 이와 같이, 다수의 VPN이 어플리케이션(112)과 동시에 설정될 수 있다.
다음에, 어플리케이션(112)이 목적지 주소 198.0.0.80 및 목적지 포트 445로 지정된 타겟 패킷 프래픽(464)을 형성하고 있다고 가정한. 이 타겟 패킷 트래픽(464)은 소켓 레이어(402)를 통해 의사 서버(120)에 전달된다. 소켓 레이어(402)는 운영 시스템과는 상관 없이, Winsock API, Winsock 프로바이더 또는 그 외 다른 소켓 연결 프로바이더 프로세스 (예를 들어, 원시 소켓을 제공하는 프로그래밍 인터페이스)를 포함할 수 있다. 의사 서버(120)는 그 패킷 트래픽이 VPN의 일부인지의 여부를 결정하기 위해 데이터 구조(440)의 엔트리를 타겟 패킷 트래픽(464)에서의 정보에 매치시킨다. 데이터 구조(440)의 엔트리가 198.0.0.80 및 445에 각각 대응하는 DA 및 DP를 포함하기 때문에, 매치가 이루어져 의사 서버(120)는 패킷 트래픽(464)이 보안 통신 링크를 통해 라우팅될 것으로 결론내린다. 다음에 의사 서버(120)는 타겟 패킷 트래픽(466)을 주소 검사 드라이버(122)에 보내고, 이에 의해 타겟 패킷 트래픽(466)은 소스 주소 ("SA"; 450), 소스 포트("SP"; 452), 목적지 주소 ("DA"; 454) 및 목적지 포트("DP"; 456)로 특징된다. 도 4는 패킷(466) 및 선택 주소와 포트 정보를 갖는 그 외 패킷을 나타내고; 페이로드를 포함하는 그 외 패킷 데이터는 간단한 설명을 위해 생략했다.
주소 검사 드라이버(122)는 타겟 패킷 트래픽(466)을 재구성하고 이를 다시 라우팅된 패킷(432)으로서 의사 서버(120)로 다시 라우팅한다. 적어도 일 실시예 에서, 주소 검사 드라이버(122)는 이 예에서, "54321"인 "키"를 포함하도록 SP(452)를 재구성한다. 또한, DA 및 DP는 각각 로컬 호스트나 로컬 머신("DM") 주소(454) 및 트래픽 포트("TP"; 456)를 포함하도록 구성된다. 특정 실시예에서, 로컬 머신 주소(454)는 127.0.0.1이고, 이것은 다시 라우팅된 패킷(432)이 OSI 프로토콜 스택에 보내지도록 하는 루프 백 (loop back) 주소이다. 주소 검사 드라이버(122)는 의사 서버(120)의 트래픽 포트("TP"; 430)로 다시 라우팅된 패킷(432)을 보내고, 이 때 TP(430)는 예를 들어, TCP 패킷을 검출하기 위한 리스닝 포트 (listening port)이다. 어떤 실시예에서, 다시 라우팅된 패킷(432)은 의사 서버(120)가 수정 패킷으로 의사 UDP 패킷을 형성하는 경우에서와 같이, 다시 라우팅된 패킷(432)이 UDP 패킷인지에 상관 없이 의사 서버(120)의 TCP 트래픽 포트에 보내진다. 동시에 (또는 거의), 제어 패킷(434)은 로컬 머신 주소 (도시 생략)를 포함하므로 의사 서버(120)의 제어 포트 (도시 생략)에 OSI 프로토콜 스택 위로 보내질 수가 있다. 이 경우, 제어 패킷(434)은 패킷의 수정을 설명하는 정보를 포함하여 다시 라우팅된 패킷(432)을 형성한다. 그 후, 의사 서버(120)는 보안 통신 링크를 통해 전달되는 암호화 패킷(468)을 형성하기 위해 다시 라우팅된 패킷(432)을 암호화기(124)로 방향을 바꾼다.
도 5는 본 발명의 특정 실시예에 따라, 사설망으로부터 원격 클라이언트로의 암호화 패킷 트래픽 수신 이후에 의사 서버와 주소 검사 드라이버 간의 상호 작용을 설명하는 기능 블럭도(500)이다. 이 상호 작용을 설명하기 위해, 암호화 패킷(502)이 해독을 위해 암호화기(124)에 전달된다고 가정한다. 그러면, 해독된 패 킷은 의사 서버(120)에 전달되고, 여기에서 해독 패킷의 컨텐츠 중 적어도 일부를 데이터 구조 ("포트 fwd 테이블"; 440)의 데이터에 대해 매치시킨다. 매치가 이루어져, 이로 인해 해독된 패킷이 설정된 VPN의 일부인 것을 나타낸다고 가정한다. 이와 같이, 의사 서버(120)는 해독 패킷(504) 및 이 경우 패킷(504)과 관련된 키를 포함하는 부속 제어 패킷(505)을 주소 검사 드라이버(122)의 공지 포트("WKP")에 제공한다. 그 후, 주소 검사 드라이버(122)는 키에 의해 인덱스된 정보에 따라 해독된 패킷(504)을 드라이버 테이블(422)에 재구성하는데, 이는 도 4의 데이터 구조와 유사하다. 이와 같이, 재구성된 패킷은 어플리케이션(112)을 식별하는 목적지 정보를 포함하게 된다. 이와 같이, 다시 라우팅된 패킷(432)은 "인입" (또는 수신된) 패킷(520)으로 신호 보내져 어플리케이션(112)에 프로토콜 스택 위로 전달된다.
도 6은 본 발명의 적어도 일 실시예에 따라 실시간 어플리케이션에 대한 패킷을 수정하는 의사 서버의 여러 모듈을 나타내는 블럭도(600)이다. 나타낸 바와 같이, 의사 서버(604)는 flag-UDP-as-TCP 모듈(605), 패킷 수정 모듈(607), 및 확인 신호 생성기 (609)를 포함하고, 이들 중 하나 이상은 본 발명의 보안 통신 링크를 통해 패킷을 보낼 때 동시에 동작할 수 있다. 음성이나 화상 등의 실시간 패킷 트래픽에는 UDP와 같은 세션리스 (session-less) 프로토콜의 성능 장점이라는 이익이 있지만, 표준 UDP 패킷은 많은 방화벽을 통해 트래버스하기가 보통 어려운 반면, TCP 트래픽은 그러한 단점이 없다. 본 발명의 적어도 특정 일 실시예에서, 의사 서버 (604)는 수정된 TCP 패킷을 이용하여 "의사-UDP"을 형성하도록 구성된다.
Flag-UDP-as-TCP 모듈(605)은 IP 헤더에서 UDP 패킷을 TCP 패킷으로 플랙하도록 구성되고, 이는 통신망으로 하여금 패킷이 TCP 세션의 일부라고 생각하게 만든다. 패킷 수정기(607)는 소켓 레이어(602)의 원시 소켓 연결 프로세스(603)로 동작하도록 구성된다. 특히, 패킷 수정기(607)는 IP 헤더 정보와 같은 헤더 정보를 제거하고, 원시 소켓 연결 프로세스(603)에 의해 형성된 원시 소켓 연결을 거쳐 남은 페이로드를 보낸다. 이와 같이, 재형성 명령은 또한 이들 패킷이 헤더 정보가 제거된 채 보안 통신 링크를 통과한 후에 패킷을 어떻게 재구성할지를 설명하도록 보내진다. 일 실시예에서, 재형성 명령은 타겟 서버에서 헤더 정보를 재형성하기 위한 정보를 포함하므로 타겟 패킷 트래픽은 제1 포맷에서 제2 포맷으로 변환될 수 있게 된다. 제1 포맷이 전송 제어 프로토콜 ("TCP")과 관련되고 제2 포맷이 유저 데이터 프로토콜 ("UDP")와 관련되는 경우, 제1 패킷은 의사 UDP (예를 들어, TCP 패킷으로 플랙된 UDP 패킷)으로 포맷되고, 제2 패킷은 예를 들어, 실시간 어플리케이션의 전송을 위해 UDP 패킷으로 포맷된다.
확인 신호 형성기 (609)는 보안 통신 링크를 통해 전송되고 있는 UDP 패킷 (즉, 의사 UDP 패킷)의 TCP 표시에 응답하여 "폴스 확인 신호"를 발하도록 구성된다. 이는 TCP 패킷 (즉, 의사 UDP 패킷)이 손실된 경우, VPN 터널의 전송단이나 수신단에 의해 시퀀스 번호를 동기화하고 그 패킷을 재전송하려는 시도가 이루어지지 않았다는 점에서, TCP 트래픽에 대해 UDP와 같은 동작을 가능하게 한다. 따라서, VPN은 의사 UDP 패킷의 전송을 TCP 패킷 전송으로 해석하지만, 보안 통신 링크의 양 단에서의 원시 소켓으로 이들 패킷이 (RTP 등의) 음성이나 화상을 이송하는 UDP 패킷인지를 해석한다.
의사 서버와 주소 검사 드라이버로, 보안 통신 링크를 설정하기 위한 여러 구조 및 방법이 여기 개시되었다. 이 방법은 예를 들어, 소프트웨어 프로그램의 일부로 소프트웨어 프로세스로 관리되거나 이를 포함할 수 있다. 일 실시예에서, 의사 서버 모듈 및 주소 검사 드라이버 모듈은 본 발명에 따라 보안 통신 링크를 구현하기 위해 컴퓨터 상에서의 실행을 위한 명령을 포함하는 컴퓨터 판독 가능 매체에 구현된 소프트웨어 프로그램으로 개시된다.
본 발명의 일 실시예는 여러 컴퓨터 구현 동작을 실행하기 위한 컴퓨터 코드를 갖고 있는 컴퓨터 판독 가능 매체를 지닌 컴퓨터 저장 제품에 관한 것이다. 매체와 컴퓨터 코드는 특히 본 발명의 목적을 위해 설계 및 구성된 것이거나, 컴퓨터 소프트웨어 기술의 당업자에게 잘 알려져 이용 가능한 종류의 것일 수 있다. 컴퓨터 판독 가능 매체의 예는 이에만 제한되는 것은 아니지만, 하드 디스크, 플로피 디스크, 및 자기 테이프 등과 같은 자기 매체; CD-ROM과 홀로그래픽 장치와 같은 광 매체; 광 디스크와 같은 자기 광 매체; 및 어플리케이션 특정 집적 회로 ("ASIC"), 프로그래머블 로직 디바이스 ("PLD"), 및 ROM 및 RAM 디바이스와 같이 프로그램 코드를 저장 및 실행하도록 특수 구성된 하드웨어 디바이스를 포함한다. 컴퓨터 코드의 예는 컴파일러에 의해 제조된 것과 같은 머신 코드 및 해석기를 이용하여 컴퓨터에 의해 실행되는 고위 코드를 포함하는 파일을 포함한다. 본 발명의 다른 실시예는 머신 실행 가능 소프트웨어 명령 대신에, 또는 이와 조합하여 하드와이어 회로로 구현될 수 있다.
이상 설명에서는 본 발명의 완전한 이해를 제공하도록 특정한 명칭을 이용했다. 그러나, 당업자라면 여기에서 선택된 용어들이 본 발명의 특정 형태를 개시하기 위해 제시된 것으로 여러 실시예의 구현을 제한하려는 것이 아님이 이해될 것이다. 따라서, 본 발명의 특정 실시예의 다음 설명들은 설명의 목적으로 제시된 것이다. 이들은 본 발명을 개시된 형태로만 제한하고자 하는 것이 아니고; 많은 다른 수정 및 변형들이 상기 개시된 것에 비추어 가능하다는 것은 명백하다. 실시예들은 본 발명의 원리와 그 실재적인 응용을 가장 잘 설명하기 위해서 선택되어 개시된 것이므로, 이들은 당업자들로 하여금 본 발명 및 개시된 특정한 이용에 적합하게 다양하게 수정된 여러 실시예들을 잘 이용할 수 있게 해준다. 다음의 청구범위와 그 등가물이 본 발명의 영역을 정의하는 것이다.

Claims (23)

  1. 가상 사설망을 설정하여 원격 클라이언트 컴퓨팅 디바이스와의 통신을 보안하기 위한 방법에 있어서:
    클라이언트 컴퓨팅 디바이스 상에서 실행되는 통신 어플리케이션으로 패킷 트래픽을 형성하는 단계;
    상기 클라이언트 컴퓨팅 디바이스에서 타겟 서버에 어드레스된 상기 패킷 트래픽의 타겟 패킷을 식별하는 단계;
    상기 컴퓨팅 디바이스 상의 의사 서버 모듈과 상기 타겟 서버 간의 보안 통신 링크를 형성하는 단계;
    상기 타겟 서버에 어드레스된 부가의 패킷 트래픽을 상기 의사 서버 모듈로 향하게 하는 단계;
    상기 의사 서버 모듈로 다시 라우팅된 상기 부가의 패킷 트래픽의 수신시 상기 통신 어플리케이션에 확인 신호를 보내는 단계; 및
    상기 타겟 서버로 페이로드를 라우팅하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서, 상기 클라이언트 컴퓨팅 디바이스에서 상기 타켓 패킷 트래픽을 식별하는 단계는:
    상기 패킷 트래픽을 주소 검사 드라이버에서 검사하는 단계;
    상기 패킷 트래픽의 정보를 상기 타켓 서버를 나타내는 주소에 매치시키는 단계; 및
    상기 타겟 서버를 나타내는 상기 주소 행 상기 패킷 트래픽의 서브셋을 상기 의사 서버 모듈에 다시 라우팅될 상기 패킷 트래픽으로 필터링하는 단계
    를 포함하는 방법.
  3. 제1항에 있어서, 상기 의사 서버와 상기 타겟 서버 간에 상기 보안 통신 링크를 형성하는 단계는:
    상기 타겟 패킷 트래픽을 상기 클라이언트 컴퓨팅 디바이스 상의 상기 의사 서버 모듈로 다시 라우팅하는 단계 - 상기 의사 서버 모듈은 상기 타겟 서버에 패킷 재형성 명령을 이송함 - ;
    상기 타겟 서버에서 상기 패킷 재형성 명령의 수신에 응답하여 상기 타겟 서버로부터 링크 확인 신호를 수신하는 단계; 및
    상기 통신 어플리케이션에 상기 링크 확인 신호를 이송하는 단계
    를 포함하는 방법.
  4. 제3항에 있어서, 상기 패킷 재형성 명령을 이송하는 단계는 상기 타겟 서버에서 헤더 정보를 재형성하기 위한 정보를 포함하는 단계를 포함하는 방법.
  5. 제4항에 있어서, 상기 정보를 포함하는 단계는 상기 타겟 패킷 트래픽을 제1 포맷에서 제2 포맷으로 전환하는 전환 정보를 포함하는 단계를 더 포함하는 방법.
  6. 제5항에 있어서, 상기 전환 정보를 포함하는 단계는 전송 제어 프로토콜 ("TCP")와 관련된 상기 제1 포맷을 유저 데이터 프로토콜 ("UDP")과 관련된 제2 포맷으로 전환하기 위한 정보를 포함하는 방법.
  7. 제1항에 있어서, 상기 페이로드를 상기 타겟 서버에 라우팅하는 단계는 상기 부가의 패킷 트래픽으로부터 헤더 정보를 제거하여 페이로드를 형성하는 단계를 포함하는 방법.
  8. 제1항에 있어서, 상기 확인 신호는 폴스 확인 신호인 방법.
  9. 가상 사설망을 형성하기 위한 컴퓨터 시스템에 있어서:
    타겟 서버에 어드레스된 초기 타겟 패킷 트래픽을 식별하는 주소 검사 드라이버; 및
    상기 주소 검사 드라이버로부터 다시 라우팅된 초기 타겟 패킷 트래픽을 수신하는 의사 서버 모듈 - 상기 의사 서버 모듈은 상기 타겟 서버에 패킷 재형성 명령을 이송함 -
    을 포함하고,
    상기 주소 검사 드라이버는 상기 타겟 서버에 어드레스된 부가의 타겟 패킷 트래픽을 식별하고 상기 부가의 타겟 패킷 트래픽을 상기 의사 서버에 라우팅하고,
    상기 의사 서버는 상기 부가의 타겟 패킷 트래픽으로부터 헤더 정보를 제거하여 페이로드를 형성한 후에 상기 페이로드를 상기 타겟 서버에 라우팅하는 컴퓨터 시스템.
  10. 제9항에 있어서, 상기 주소 검사 드라이버가 상기 초기 패킷 트래픽으로부터의 패킷 정보와 비교하게 되는 소스 정보와 목적지 정보를 포함하도록 구성된 드라이버 매핑 데이터 구조를 더 포함하는 컴퓨터 시스템.
  11. 제9항에 있어서, 상기 주소 검사 드라이버는 상기 패킷 정보의 적어도 일부가 상기 목적지 정보의 적어도 일부와 매치할 때 상기 부가의 타겟 패킷 트래픽을 상기 타겟 서버에 비암호화 전달되지 않게 필터링하도록 구성되는 컴퓨터 시스템.
  12. 제9항에 있어서, 상기 주소 검사 드라이버는 상기 초기 타겟 패킷 트래픽과 관련하여 상기 의사 서버에 다시 라우팅된 제어 패킷을 형성하도록 구성되는 컴퓨터 시스템.
  13. 제12항에 있어서, 상기 제어 패킷은 상기 타겟 서버에서 발원된 패킷 트래픽을 검출하기 위해 상기 초기 타겟 패킷 트래픽의 소스 및 목적지 정보를 포함하는 컴퓨터 시스템.
  14. 제9항에 있어서, 상기 패킷 재형성 명령은 재형성된 헤더 정보와 상기 페이로드를 포함하는 재형성 패킷 트래픽을 형성하기 위해 상기 타겟 서버가 상기 타겟 패킷 트래픽을 재형성하게 하도록 구성되는 컴퓨터 시스템.
  15. 제9항에 있어서, 상기 주소 검사 드라이버가 상기 네트워크 레이어나 그 근처에 존재하고 상기 의사 서버 모듈이 상기 전송 레이어나 그 근처에 존재하는 프로토콜 스택을 더 포함하고, 상기 네트워크 레이어와 전송 레이어는 상기 오픈 시스템 인터커넥션 모델에 따른 레이어인 컴퓨터 시스템.
  16. 제15항에 있어서, 상기 주소 검사 드라이버는 상기 네트워크 레이어나 그 근처에서 패킷을 검사 및 필터링하고, 이로써 상기 가상 사설망에서 보안 통신 링크를 설정하는 라우팅 프로토콜을 지원하는 컴퓨터 시스템.
  17. 제16항에 있어서, 상기 의사 서버는 상기 전송 레이어나 그 근처에서 발원된 보안 통신 링크 상에서 암호화 패킷을 전달하고, 이로써 상기 암호화 패킷이 네트워크 주소 변환 ("NAT") 가능 네트워크 디바이스를 통과하는 것이 가능한 컴퓨터 시스템.
  18. 가상 사설망에 있어서,
    상기 클라이언트 머신 상에서 실행되는 통신 어플리케이션과 관련하여 의사 서버 머신으로 구성되어, 상기 통신 어플리케이션이 상기 의사 서버 머신으로부터 패킷 트래픽 확인 신호를 수신하는 클라이언트 머신; 및
    상기 클라이언트 머신과 상기 서버 머신 간에 보안 통신을 용이하게 하기 위해서 상기 의사 서버 머신과 관련하여 클라이언트 머신으로 기능하도록 서버 머신과 작용하는 가상 사설망 게이트웨이
    를 포함하는 가상 사설망.
  19. 제18항에 있어서, 상기 가상 사설망 게이트웨이는 상기 통신 어플리케이션을 실행하는 상기 클라이언트 머신의 주소를 상기 서버 머신으로부터 선택 가능하게 감추는 가상 사설망.
  20. 제18항에 있어서, 상기 의사 서버 머신은 상기 패킷 트래픽 확인 신호를 폴스 확인 신호로 형성하기 위한 확인 신호 형성기 모듈을 포함하는 가상 사설망.
  21. 제17항에 있어서, 상기 의사 서버 머신은 헤더 정보를 제거하여 수정 패킷을 형성하기 위해서 상기 보안 통신을 나타내는 패킷을 수정하도록 구성된 패킷 수정기 모듈을 포함하는 가상 사설망
  22. 제21항에 있어서, 상기 의사 서버 머신은 상기 보안 통신을 전달하는 소켓 레이어에서 원시 소켓을 형성하도록 구성되는 가상 사설망.
  23. 제18항에 있어서, 상기 의사 서버 머신은 상기 UDP 패킷이 TCP 패킷인 것을 나타내기 위해 UDP 패킷의 플랙을 수정하도록 구성된 flag-UDP-as-TCP 모듈을 포함하고, 이로 인해 의사 UDP 패킷을 형성하는 가상 사설망.
KR1020067009144A 2003-11-11 2004-11-12 패킷이 필터링되어 있는 것 이외의 네트워크 프로토콜레이어에서 가상 사설망을 형성하기 위해 보안 통신 링크를설정하기 위한 시스템, 장치 및 방법 KR20070026331A (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US51830503P 2003-11-11 2003-11-11
US60/518,305 2003-11-11
US52499903P 2003-11-24 2003-11-24
US60/524,999 2003-11-24

Publications (1)

Publication Number Publication Date
KR20070026331A true KR20070026331A (ko) 2007-03-08

Family

ID=34594904

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067009144A KR20070026331A (ko) 2003-11-11 2004-11-12 패킷이 필터링되어 있는 것 이외의 네트워크 프로토콜레이어에서 가상 사설망을 형성하기 위해 보안 통신 링크를설정하기 위한 시스템, 장치 및 방법

Country Status (6)

Country Link
US (1) US7496097B2 (ko)
EP (1) EP1683020B1 (ko)
JP (1) JP2007533172A (ko)
KR (1) KR20070026331A (ko)
CA (1) CA2545496C (ko)
WO (1) WO2005048106A2 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101027725B1 (ko) * 2009-12-29 2011-04-12 주식회사 피앤피시큐어 가용성 보장을 위한 프록시 기반의 보안시스템
WO2013018940A1 (ko) * 2011-07-29 2013-02-07 인터리젠 주식회사 전자상거래 불법 거래 탐지 및 차단 방법과 시스템
KR101428999B1 (ko) * 2013-04-12 2014-08-12 주식회사 엑스게이트 Dns 정보를 이용한 패킷 필터링 방법 및 방화벽 장치

Families Citing this family (69)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7117239B1 (en) 2000-07-28 2006-10-03 Axeda Corporation Reporting the state of an apparatus to a remote computer
US8108543B2 (en) 2000-09-22 2012-01-31 Axeda Corporation Retrieving data from a server
US7185014B1 (en) 2000-09-22 2007-02-27 Axeda Corporation Retrieving data from a server
US7254601B2 (en) 2001-12-20 2007-08-07 Questra Corporation Method and apparatus for managing intelligent assets in a distributed environment
US7178149B2 (en) 2002-04-17 2007-02-13 Axeda Corporation XML scripting of soap commands
US8910241B2 (en) 2002-04-25 2014-12-09 Citrix Systems, Inc. Computer security system
US7966418B2 (en) 2003-02-21 2011-06-21 Axeda Corporation Establishing a virtual tunnel between two computer programs
US7978716B2 (en) 2003-11-24 2011-07-12 Citrix Systems, Inc. Systems and methods for providing a VPN solution
US8065418B1 (en) 2004-02-02 2011-11-22 Apple Inc. NAT traversal for media conferencing
US8739274B2 (en) 2004-06-30 2014-05-27 Citrix Systems, Inc. Method and device for performing integrated caching in a data communication network
US8495305B2 (en) 2004-06-30 2013-07-23 Citrix Systems, Inc. Method and device for performing caching of dynamically generated objects in a data communication network
US7757074B2 (en) 2004-06-30 2010-07-13 Citrix Application Networking, Llc System and method for establishing a virtual private network
US8046830B2 (en) * 2004-07-23 2011-10-25 Citrix Systems, Inc. Systems and methods for network disruption shielding techniques
ATE535078T1 (de) 2004-07-23 2011-12-15 Citrix Systems Inc Verfahren und system zur sicherung von zugriff aus der ferne auf private netze
JP4759382B2 (ja) * 2004-12-21 2011-08-31 株式会社リコー 通信機器、通信方法、通信プログラム、及び記録媒体
US20100195538A1 (en) * 2009-02-04 2010-08-05 Merkey Jeffrey V Method and apparatus for network packet capture distributed storage system
CA2619141C (en) * 2004-12-23 2014-10-21 Solera Networks, Inc. Method and apparatus for network packet capture distributed storage system
US8549149B2 (en) 2004-12-30 2013-10-01 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing
US8706877B2 (en) 2004-12-30 2014-04-22 Citrix Systems, Inc. Systems and methods for providing client-side dynamic redirection to bypass an intermediary
US7810089B2 (en) 2004-12-30 2010-10-05 Citrix Systems, Inc. Systems and methods for automatic installation and execution of a client-side acceleration program
US8954595B2 (en) 2004-12-30 2015-02-10 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP buffering
US8255456B2 (en) 2005-12-30 2012-08-28 Citrix Systems, Inc. System and method for performing flash caching of dynamically generated objects in a data communication network
FI118316B (fi) * 2005-02-14 2007-09-28 Teliasonera Ab Tiedonsiirtokanava ainakin kahden yksityisen verkon välillä
AU2006298420B2 (en) * 2005-10-06 2011-02-17 Nds Limited Security device and building block functions
US8301839B2 (en) 2005-12-30 2012-10-30 Citrix Systems, Inc. System and method for performing granular invalidation of cached dynamically generated objects in a data communication network
US7921184B2 (en) 2005-12-30 2011-04-05 Citrix Systems, Inc. System and method for performing flash crowd caching of dynamically generated objects in a data communication network
US8869262B2 (en) 2006-08-03 2014-10-21 Citrix Systems, Inc. Systems and methods for application based interception of SSL/VPN traffic
US7843912B2 (en) * 2006-08-03 2010-11-30 Citrix Systems, Inc. Systems and methods of fine grained interception of network communications on a virtual private network
US8495181B2 (en) * 2006-08-03 2013-07-23 Citrix Systems, Inc Systems and methods for application based interception SSI/VPN traffic
US8370479B2 (en) 2006-10-03 2013-02-05 Axeda Acquisition Corporation System and method for dynamically grouping devices based on present device conditions
US20080155052A1 (en) * 2006-12-22 2008-06-26 Texas Instruments, Inc. Method And System For Capture, Display And Network Analysis For A Wireless Access Point
US8065397B2 (en) 2006-12-26 2011-11-22 Axeda Acquisition Corporation Managing configurations of distributed devices
US7990969B2 (en) 2007-06-22 2011-08-02 Verizon Patent And Licensing Inc. Multiprotocol label switching (MPLS) interface with virtual private network (VPN) application
US8516539B2 (en) 2007-11-09 2013-08-20 Citrix Systems, Inc System and method for inferring access policies from access event records
US8990910B2 (en) 2007-11-13 2015-03-24 Citrix Systems, Inc. System and method using globally unique identities
JP4498406B2 (ja) * 2007-11-21 2010-07-07 株式会社東芝 ネットワーク仮想化システム、中継装置、およびプログラム
KR100930037B1 (ko) * 2007-12-17 2009-12-07 한국전자통신연구원 네트워크 주소 변환 시뮬레이션 방법 및 그 시스템
US8218459B1 (en) * 2007-12-20 2012-07-10 Genbrand US LLC Topology hiding of a network for an administrative interface between networks
US8825883B2 (en) * 2008-02-29 2014-09-02 Microsoft Corporation Connectivity platform
US8364847B2 (en) 2008-02-29 2013-01-29 Microsoft Corporation Address management in a connectivity platform
US20090234953A1 (en) * 2008-03-11 2009-09-17 Palm, Inc. Apparatus and methods for integration of third party virtual private network solutions
US9240945B2 (en) 2008-03-19 2016-01-19 Citrix Systems, Inc. Access, priority and bandwidth management based on application identity
WO2009115132A1 (en) * 2008-03-20 2009-09-24 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for use in a communications network
TWI502952B (zh) * 2008-03-25 2015-10-01 Chunghwa Telecom Co Ltd Digital switch traffic routing auditing method
US8943575B2 (en) 2008-04-30 2015-01-27 Citrix Systems, Inc. Method and system for policy simulation
CN101572643B (zh) * 2008-04-30 2011-06-22 成都市华为赛门铁克科技有限公司 实现私网之间转发数据的方法和系统
US20090292736A1 (en) * 2008-05-23 2009-11-26 Matthew Scott Wood On demand network activity reporting through a dynamic file system and method
US8625642B2 (en) 2008-05-23 2014-01-07 Solera Networks, Inc. Method and apparatus of network artifact indentification and extraction
US8004998B2 (en) * 2008-05-23 2011-08-23 Solera Networks, Inc. Capture and regeneration of a network data using a virtual software switch
US8521732B2 (en) 2008-05-23 2013-08-27 Solera Networks, Inc. Presentation of an extracted artifact based on an indexing technique
US8990573B2 (en) 2008-11-10 2015-03-24 Citrix Systems, Inc. System and method for using variable security tag location in network communications
CN101442494B (zh) * 2008-12-16 2011-06-22 中兴通讯股份有限公司 一种实现快速重路由的方法
WO2011060377A1 (en) * 2009-11-15 2011-05-19 Solera Networks, Inc. Method and apparatus for real time identification and recording of artifacts
US20110125749A1 (en) * 2009-11-15 2011-05-26 Solera Networks, Inc. Method and Apparatus for Storing and Indexing High-Speed Network Traffic Data
US8966112B1 (en) 2009-11-30 2015-02-24 Dell Software Inc. Network protocol proxy
US8811397B2 (en) 2010-02-16 2014-08-19 Ncp Engineering Gmbh System and method for data communication between a user terminal and a gateway via a network node
US8769097B2 (en) * 2010-04-19 2014-07-01 Henri Rizk First-point of entry (FPOE) method for multiple social networks and systems and methods for enabling users to interact democratically within open groups and for managing voting rights in an online social network environment
US8578486B2 (en) 2010-06-18 2013-11-05 Microsoft Corporation Encrypted network traffic interception and inspection
US8849991B2 (en) 2010-12-15 2014-09-30 Blue Coat Systems, Inc. System and method for hypertext transfer protocol layered reconstruction
US8666985B2 (en) 2011-03-16 2014-03-04 Solera Networks, Inc. Hardware accelerated application-based pattern matching for real time classification and recording of network traffic
US10432587B2 (en) * 2012-02-21 2019-10-01 Aventail Llc VPN deep packet inspection
US9451056B2 (en) * 2012-06-29 2016-09-20 Avaya Inc. Method for mapping packets to network virtualization instances
US8448238B1 (en) 2013-01-23 2013-05-21 Sideband Networks, Inc. Network security as a service using virtual secure channels
US9602470B2 (en) * 2013-05-23 2017-03-21 Sercomm Corporation Network device, IPsec system and method for establishing IPsec tunnel using the same
US20220360566A1 (en) * 2015-07-31 2022-11-10 Nicira, Inc. Distributed tunneling for vpn
US10257280B2 (en) 2015-12-28 2019-04-09 Carbonite, Inc. Systems and methods for remote management of appliances
US10567516B2 (en) * 2017-02-24 2020-02-18 Wyse Technology L.L.C. Sharing local network resources with a remote VDI instance
CN107197005B (zh) * 2017-05-12 2020-12-29 广州视源电子科技股份有限公司 数据传输的方法及装置、客户端、服务器及数据传输系统
CN114157534B (zh) * 2021-12-14 2023-04-25 福达新创通讯科技(厦门)有限公司 一种基于分布式的多支流vpn通信、系统、存储介质

Family Cites Families (136)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6850252B1 (en) * 1999-10-05 2005-02-01 Steven M. Hoffberg Intelligent electronic appliance system and method
US5835726A (en) 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
JP3003907B2 (ja) * 1994-05-10 2000-01-31 三菱電機株式会社 サーバ・クライアント型システム
US5623492A (en) * 1995-03-24 1997-04-22 U S West Technologies, Inc. Methods and systems for managing bandwidth resources in a fast packet switching network
US6253027B1 (en) * 1996-06-17 2001-06-26 Hewlett-Packard Company System, method and article of manufacture for exchanging software and configuration data over a multichannel, extensible, flexible architecture
US6026379A (en) * 1996-06-17 2000-02-15 Verifone, Inc. System, method and article of manufacture for managing transactions in a high availability system
US5943424A (en) * 1996-06-17 1999-08-24 Hewlett-Packard Company System, method and article of manufacture for processing a plurality of transactions from a single initiation point on a multichannel, extensible, flexible architecture
US5983208A (en) 1996-06-17 1999-11-09 Verifone, Inc. System, method and article of manufacture for handling transaction results in a gateway payment architecture utilizing a multichannel, extensible, flexible architecture
US5987132A (en) 1996-06-17 1999-11-16 Verifone, Inc. System, method and article of manufacture for conditionally accepting a payment method utilizing an extensible, flexible architecture
US6373950B1 (en) * 1996-06-17 2002-04-16 Hewlett-Packard Company System, method and article of manufacture for transmitting messages within messages utilizing an extensible, flexible architecture
US6002767A (en) 1996-06-17 1999-12-14 Verifone, Inc. System, method and article of manufacture for a modular gateway server architecture
US5850446A (en) 1996-06-17 1998-12-15 Verifone, Inc. System, method and article of manufacture for virtual point of sale processing utilizing an extensible, flexible architecture
US6119105A (en) * 1996-06-17 2000-09-12 Verifone, Inc. System, method and article of manufacture for initiation of software distribution from a point of certificate creation utilizing an extensible, flexible architecture
US5812668A (en) 1996-06-17 1998-09-22 Verifone, Inc. System, method and article of manufacture for verifying the operation of a remote transaction clearance system utilizing a multichannel, extensible, flexible architecture
US6178409B1 (en) * 1996-06-17 2001-01-23 Verifone, Inc. System, method and article of manufacture for multiple-entry point virtual point of sale architecture
US6072870A (en) * 1996-06-17 2000-06-06 Verifone Inc. System, method and article of manufacture for a gateway payment architecture utilizing a multichannel, extensible, flexible architecture
US5889863A (en) * 1996-06-17 1999-03-30 Verifone, Inc. System, method and article of manufacture for remote virtual point of sale processing utilizing a multichannel, extensible, flexible architecture
US6324525B1 (en) 1996-06-17 2001-11-27 Hewlett-Packard Company Settlement of aggregated electronic transactions over a network
US6272556B1 (en) * 1996-07-01 2001-08-07 Sun Microsystems, Inc. Object-oriented system, method and article of manufacture for migrating a client-server application (#5)
US5978840A (en) 1996-09-26 1999-11-02 Verifone, Inc. System, method and article of manufacture for a payment gateway system architecture for processing encrypted payment transactions utilizing a multichannel, extensible, flexible architecture
US5931917A (en) * 1996-09-26 1999-08-03 Verifone, Inc. System, method and article of manufacture for a gateway system architecture with system administration information accessible from a browser
US6101543A (en) * 1996-10-25 2000-08-08 Digital Equipment Corporation Pseudo network adapter for frame capture, encapsulation and encryption
US6026440A (en) * 1997-01-27 2000-02-15 International Business Machines Corporation Web server account manager plug-in for monitoring resources
US5996076A (en) 1997-02-19 1999-11-30 Verifone, Inc. System, method and article of manufacture for secure digital certification of electronic commerce
US6282172B1 (en) * 1997-04-01 2001-08-28 Yipes Communications, Inc. Generating acknowledgement signals in a data communication system
US5958016A (en) * 1997-07-13 1999-09-28 Bell Atlantic Network Services, Inc. Internet-web link for access to intelligent network service control
US6006268A (en) * 1997-07-31 1999-12-21 Cisco Technology, Inc. Method and apparatus for reducing overhead on a proxied connection
US6061796A (en) * 1997-08-26 2000-05-09 V-One Corporation Multi-access virtual private network
US6321337B1 (en) 1997-09-09 2001-11-20 Sanctum Ltd. Method and system for protecting operations of trusted internal networks
US6023724A (en) * 1997-09-26 2000-02-08 3Com Corporation Apparatus and methods for use therein for an ISDN LAN modem that displays fault information to local hosts through interception of host DNS request messages
EA002886B1 (ru) * 1997-11-13 2002-10-31 Хайперспейс Коммьюникейшнз, Инк. Система пересылки файлов
AU1421799A (en) * 1997-11-25 1999-06-15 Packeteer, Inc. Method for automatically classifying traffic in a packet communications network
US6327242B1 (en) 1998-03-17 2001-12-04 Infolibria, Inc. Message redirector with cut-through switch for highly reliable and efficient network traffic processor deployment
US6590588B2 (en) * 1998-05-29 2003-07-08 Palm, Inc. Wireless, radio-frequency communications using a handheld computer
US6308273B1 (en) * 1998-06-12 2001-10-23 Microsoft Corporation Method and system of security location discrimination
AU771091B2 (en) * 1998-06-19 2004-03-11 Juniper Networks, Inc. Device for performing IP forwarding and ATM switching
US6640248B1 (en) 1998-07-10 2003-10-28 Malibu Networks, Inc. Application-aware, quality of service (QoS) sensitive, media access control (MAC) layer
US6452915B1 (en) * 1998-07-10 2002-09-17 Malibu Networks, Inc. IP-flow classification in a wireless point to multi-point (PTMP) transmission system
GB2341523B (en) * 1998-09-12 2003-10-29 Ibm Apparatus and method for establishing communication in a computer network
US6253327B1 (en) * 1998-12-02 2001-06-26 Cisco Technology, Inc. Single step network logon based on point to point protocol
US6697844B1 (en) * 1998-12-08 2004-02-24 Lucent Technologies, Inc. Internet browsing using cache-based compaction
US6333931B1 (en) 1998-12-28 2001-12-25 Cisco Technology, Inc. Method and apparatus for interconnecting a circuit-switched telephony network and a packet-switched data network, and applications thereof
US6760748B1 (en) 1999-01-20 2004-07-06 Accenture Llp Instructional system grouping student terminals
US6615357B1 (en) * 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
US6662221B1 (en) * 1999-04-12 2003-12-09 Lucent Technologies Inc. Integrated network and service management with automated flow through configuration and provisioning of virtual private networks
US7103068B1 (en) * 1999-05-04 2006-09-05 Sprint Communication Company L.P. System and method for configuring bandwidth transmission rates for call connections
US6611822B1 (en) * 1999-05-05 2003-08-26 Ac Properties B.V. System method and article of manufacture for creating collaborative application sharing
US6505230B1 (en) 1999-05-14 2003-01-07 Pivia, Inc. Client-server independent intermediary mechanism
US6792615B1 (en) 1999-05-19 2004-09-14 New Horizons Telecasting, Inc. Encapsulated, streaming media automation and distribution system
US6615166B1 (en) * 1999-05-27 2003-09-02 Accenture Llp Prioritizing components of a network framework required for implementation of technology
US6536037B1 (en) * 1999-05-27 2003-03-18 Accenture Llp Identification of redundancies and omissions among components of a web based architecture
US6473794B1 (en) 1999-05-27 2002-10-29 Accenture Llp System for establishing plan to test components of web based framework by displaying pictorial representation and conveying indicia coded components of existing network framework
US6519571B1 (en) * 1999-05-27 2003-02-11 Accenture Llp Dynamic customer profile management
US6721713B1 (en) 1999-05-27 2004-04-13 Andersen Consulting Llp Business alliance identification in a web architecture framework
US7882247B2 (en) * 1999-06-11 2011-02-01 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
US6704873B1 (en) 1999-07-30 2004-03-09 Accenture Llp Secure gateway interconnection in an e-commerce based environment
US6601233B1 (en) * 1999-07-30 2003-07-29 Accenture Llp Business components framework
US6523027B1 (en) * 1999-07-30 2003-02-18 Accenture Llp Interfacing servers in a Java based e-commerce architecture
US6718535B1 (en) 1999-07-30 2004-04-06 Accenture Llp System, method and article of manufacture for an activity framework design in an e-commerce based environment
US6633878B1 (en) 1999-07-30 2003-10-14 Accenture Llp Initializing an ecommerce database framework
US6609128B1 (en) * 1999-07-30 2003-08-19 Accenture Llp Codes table framework design in an E-commerce architecture
US6578068B1 (en) * 1999-08-31 2003-06-10 Accenture Llp Load balancer in environment services patterns
US6640238B1 (en) 1999-08-31 2003-10-28 Accenture Llp Activity component in a presentation services patterns environment
US6697824B1 (en) * 1999-08-31 2004-02-24 Accenture Llp Relationship management in an E-commerce application framework
US6611867B1 (en) * 1999-08-31 2003-08-26 Accenture Llp System, method and article of manufacture for implementing a hybrid network
US6434568B1 (en) * 1999-08-31 2002-08-13 Accenture Llp Information services patterns in a netcentric environment
US6529909B1 (en) * 1999-08-31 2003-03-04 Accenture Llp Method for translating an object attribute converter in an information services patterns environment
US6640249B1 (en) 1999-08-31 2003-10-28 Accenture Llp Presentation services patterns in a netcentric environment
US6434628B1 (en) * 1999-08-31 2002-08-13 Accenture Llp Common interface for handling exception interface name with additional prefix and suffix for handling exceptions in environment services patterns
US6529948B1 (en) * 1999-08-31 2003-03-04 Accenture Llp Multi-object fetch component
US6606660B1 (en) * 1999-08-31 2003-08-12 Accenture Llp Stream-based communication in a communication services patterns environment
US6442748B1 (en) * 1999-08-31 2002-08-27 Accenture Llp System, method and article of manufacture for a persistent state and persistent object separator in an information services patterns environment
US6601234B1 (en) * 1999-08-31 2003-07-29 Accenture Llp Attribute dictionary in a business logic services environment
US6601192B1 (en) * 1999-08-31 2003-07-29 Accenture Llp Assertion component in environment services patterns
US6715145B1 (en) 1999-08-31 2004-03-30 Accenture Llp Processing pipeline in a base services pattern environment
US6742015B1 (en) 1999-08-31 2004-05-25 Accenture Llp Base services patterns in a netcentric environment
US6615253B1 (en) * 1999-08-31 2003-09-02 Accenture Llp Efficient server side data retrieval for execution of client side applications
US6636242B2 (en) 1999-08-31 2003-10-21 Accenture Llp View configurer in a presentation services patterns environment
US6339832B1 (en) * 1999-08-31 2002-01-15 Accenture Llp Exception response table in environment services patterns
US6539396B1 (en) * 1999-08-31 2003-03-25 Accenture Llp Multi-object identifier system and method for information service pattern environment
US6477580B1 (en) 1999-08-31 2002-11-05 Accenture Llp Self-described stream in a communication services patterns environment
US6496850B1 (en) 1999-08-31 2002-12-17 Accenture Llp Clean-up of orphaned server contexts
US6571282B1 (en) * 1999-08-31 2003-05-27 Accenture Llp Block-based communication in a communication services patterns environment
US6477665B1 (en) 1999-08-31 2002-11-05 Accenture Llp System, method, and article of manufacture for environment services patterns in a netcentic environment
US6289382B1 (en) * 1999-08-31 2001-09-11 Andersen Consulting, Llp System, method and article of manufacture for a globally addressable interface in a communication services patterns environment
US6550057B1 (en) * 1999-08-31 2003-04-15 Accenture Llp Piecemeal retrieval in an information services patterns environment
US6427132B1 (en) * 1999-08-31 2002-07-30 Accenture Llp System, method and article of manufacture for demonstrating E-commerce capabilities via a simulation on a network
US6345239B1 (en) * 1999-08-31 2002-02-05 Accenture Llp Remote demonstration of business capabilities in an e-commerce environment
US6640244B1 (en) 1999-08-31 2003-10-28 Accenture Llp Request batcher in a transaction services patterns environment
US6549949B1 (en) * 1999-08-31 2003-04-15 Accenture Llp Fixed format stream in a communication services patterns environment
US6502213B1 (en) 1999-08-31 2002-12-31 Accenture Llp System, method, and article of manufacture for a polymorphic exception handler in environment services patterns
US6438594B1 (en) * 1999-08-31 2002-08-20 Accenture Llp Delivering service to a client via a locally addressable interface
US6615199B1 (en) * 1999-08-31 2003-09-02 Accenture, Llp Abstraction factory in a base services pattern environment
US6332163B1 (en) 1999-09-01 2001-12-18 Accenture, Llp Method for providing communication services over a computer network system
US6732269B1 (en) 1999-10-01 2004-05-04 International Business Machines Corporation Methods, systems and computer program products for enhanced security identity utilizing an SSL proxy
US6671818B1 (en) 1999-11-22 2003-12-30 Accenture Llp Problem isolation through translating and filtering events into a standard object format in a network based supply chain
US6606744B1 (en) * 1999-11-22 2003-08-12 Accenture, Llp Providing collaborative installation management in a network-based supply chain environment
US6496776B1 (en) 2000-02-29 2002-12-17 Brad W. Blumberg Position-based information access device and method
US8380854B2 (en) * 2000-03-21 2013-02-19 F5 Networks, Inc. Simplified method for processing multiple connections from the same client
US6502102B1 (en) 2000-03-27 2002-12-31 Accenture Llp System, method and article of manufacture for a table-driven automated scripting architecture
US6701514B1 (en) 2000-03-27 2004-03-02 Accenture Llp System, method, and article of manufacture for test maintenance in an automated scripting framework
US6553377B1 (en) * 2000-03-31 2003-04-22 Network Associates, Inc. System and process for maintaining a plurality of remote security applications using a modular framework in a distributed computing environment
US6981041B2 (en) * 2000-04-13 2005-12-27 Aep Networks, Inc. Apparatus and accompanying methods for providing, through a centralized server site, an integrated virtual office environment, remotely accessible via a network-connected web browser, with remote network monitoring and management capabilities
US6732314B1 (en) * 2000-05-26 2004-05-04 3Com Corporation Method and apparatus for L2TP forward error correction
ATE397346T1 (de) * 2000-07-25 2008-06-15 Juniper Networks Inc Netzwerkarchitektur und verfahren zur transparenten online-querschnittskodierung und zum transport von netzwerkkommunikationsdaten
US7221660B1 (en) * 2000-08-08 2007-05-22 E.F. Johnson Company System and method for multicast communications using real time transport protocol (RTP)
US6691227B1 (en) * 2000-09-08 2004-02-10 Reefedge, Inc. Location-independent packet routing and secure access in a short-range wireless networking environment
US20020038339A1 (en) * 2000-09-08 2002-03-28 Wei Xu Systems and methods for packet distribution
US8250357B2 (en) * 2000-09-13 2012-08-21 Fortinet, Inc. Tunnel interface for securing traffic over a network
US7958185B2 (en) * 2000-09-18 2011-06-07 Bentley Systems, Inc. Spatial data enabled engineering, construction, and operations computer-aided design (CAD) project system, method and computer program product
US6735601B1 (en) 2000-12-29 2004-05-11 Vmware, Inc. System and method for remote file access by computer
US7096009B2 (en) * 2001-03-09 2006-08-22 Research In Motion Limited Advanced voice and data operations in a mobile data communication device
US7533409B2 (en) * 2001-03-22 2009-05-12 Corente, Inc. Methods and systems for firewalling virtual private networks
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
US6873988B2 (en) * 2001-07-06 2005-03-29 Check Point Software Technologies, Inc. System and methods providing anti-virus cooperative enforcement
US8200818B2 (en) * 2001-07-06 2012-06-12 Check Point Software Technologies, Inc. System providing internet access management with router-based policy enforcement
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US7908472B2 (en) * 2001-07-06 2011-03-15 Juniper Networks, Inc. Secure sockets layer cut through architecture
US7230949B2 (en) * 2001-08-24 2007-06-12 Juniper Networks, Inc. Efficient method and system for automatic discovery and verification of optimal paths through a dynamic multi-point meshed overlay network
US20030046587A1 (en) * 2001-09-05 2003-03-06 Satyam Bheemarasetti Secure remote access using enterprise peer networks
US20030046586A1 (en) * 2001-09-05 2003-03-06 Satyam Bheemarasetti Secure remote access to data between peers
US7631084B2 (en) * 2001-11-02 2009-12-08 Juniper Networks, Inc. Method and system for providing secure access to private networks with client redirection
US20030123394A1 (en) * 2001-11-13 2003-07-03 Ems Technologies, Inc. Flow control between performance enhancing proxies over variable bandwidth split links
US7707287B2 (en) * 2002-03-22 2010-04-27 F5 Networks, Inc. Virtual host acceleration system
US7979528B2 (en) 2002-03-27 2011-07-12 Radvision Ltd. System and method for traversing firewalls, NATs, and proxies with rich media communications and other application protocols
US6826627B2 (en) * 2002-09-03 2004-11-30 Burnbag, Ltd. Data transformation architecture
US20040078772A1 (en) * 2002-10-16 2004-04-22 Cosine Communications, Inc. Dynamic route exchange
TWI234969B (en) * 2002-11-26 2005-06-21 Ind Tech Res Inst Dynamic network address translation system and method of transparent private network device
AU2003293381A1 (en) * 2002-12-03 2004-06-23 Funk Software, Inc. Tunneled authentication protocol for preventing man-in-the-middle attacks
US7694328B2 (en) * 2003-10-21 2010-04-06 Google Inc. Systems and methods for secure client applications
US7584500B2 (en) * 2003-11-19 2009-09-01 Hughes Network Systems, Llc Pre-fetching secure content using proxy architecture
US8572249B2 (en) * 2003-12-10 2013-10-29 Aventail Llc Network appliance for balancing load and platform services
US8255973B2 (en) * 2003-12-10 2012-08-28 Chris Hopen Provisioning remote computers for accessing resources
US7555772B2 (en) * 2004-01-26 2009-06-30 Juniper Networks, Inc. Wireless firewall with tear down messaging
US9626655B2 (en) * 2004-02-19 2017-04-18 Intellectual Ventures I Llc Method, apparatus and system for regulating electronic mail
US7757074B2 (en) * 2004-06-30 2010-07-13 Citrix Application Networking, Llc System and method for establishing a virtual private network

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101027725B1 (ko) * 2009-12-29 2011-04-12 주식회사 피앤피시큐어 가용성 보장을 위한 프록시 기반의 보안시스템
WO2013018940A1 (ko) * 2011-07-29 2013-02-07 인터리젠 주식회사 전자상거래 불법 거래 탐지 및 차단 방법과 시스템
KR101288103B1 (ko) * 2011-07-29 2013-08-23 인터리젠 주식회사 전자상거래 불법 거래 탐지 및 차단 방법과 시스템
KR101428999B1 (ko) * 2013-04-12 2014-08-12 주식회사 엑스게이트 Dns 정보를 이용한 패킷 필터링 방법 및 방화벽 장치

Also Published As

Publication number Publication date
JP2007533172A (ja) 2007-11-15
EP1683020A2 (en) 2006-07-26
EP1683020B1 (en) 2018-01-24
CA2545496A1 (en) 2005-05-26
EP1683020A4 (en) 2011-08-31
WO2005048106A2 (en) 2005-05-26
US20050185647A1 (en) 2005-08-25
WO2005048106A3 (en) 2005-06-23
US7496097B2 (en) 2009-02-24
CA2545496C (en) 2012-10-30

Similar Documents

Publication Publication Date Title
US8559449B2 (en) Systems and methods for providing a VPN solution
CA2545496C (en) Virtual private network with pseudo server
US7979528B2 (en) System and method for traversing firewalls, NATs, and proxies with rich media communications and other application protocols
US8250643B2 (en) Communication device, communication system, communication method, and program
US7684414B2 (en) System and method for using performance enhancing proxies with IP-layer encryptors
US10506082B2 (en) High availability (HA) internet protocol security (IPSEC) virtual private network (VPN) client
US8605730B2 (en) System and method for multimedia communication across disparate networks
US20020083344A1 (en) Integrated intelligent inter/intra networking device
US12101295B2 (en) Internet protocol security (IPSec) tunnel using anycast at a distributed cloud computing network
Savola Mtu and fragmentation issues with in-the-network tunneling
US20060053485A1 (en) Network connection through NAT routers and firewall devices
US9088542B2 (en) Firewall traversal driven by proximity
Abdulla Survey of security issues in IPv4 to IPv6 tunnel transition mechanisms
JP4356262B2 (ja) パケット通信システム
JP4060764B2 (ja) 通信装置
Seggelmann et al. DTLS mobility
Shanmugaraja et al. An approach to secure Teredo tunneling technology
CN115766063A (zh) 数据传输方法、装置、设备及介质
KR20210045545A (ko) 엔드포인트의 트래픽에 대한 포워딩 시스템 및 방법
Luu et al. Using OpenSSH to secure mobile LAN network traffic
Kim et al. New mechanisms for end-to-end security using IPSec in NAT-based private networks
JP2000307653A (ja) データ秘匿装置およびデータ秘匿方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application