KR100617315B1 - Method and apparatus for performing internet security protocol tunneling - Google Patents
Method and apparatus for performing internet security protocol tunneling Download PDFInfo
- Publication number
- KR100617315B1 KR100617315B1 KR1020040094406A KR20040094406A KR100617315B1 KR 100617315 B1 KR100617315 B1 KR 100617315B1 KR 1020040094406 A KR1020040094406 A KR 1020040094406A KR 20040094406 A KR20040094406 A KR 20040094406A KR 100617315 B1 KR100617315 B1 KR 100617315B1
- Authority
- KR
- South Korea
- Prior art keywords
- ipsec
- mipv6
- processing
- ipv6
- tunnel mode
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/06—Transport layer protocols, e.g. TCP [Transport Control Protocol] over wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
본 발명은 이동 인터넷 프로토콜 버전 6(MIPv6)에서 라우팅 최적화를 위한 MIPv6 신호 및 사용자 패킷을 안전하게 전달하기 위한 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치에 관한 것이다. 이를 위한 방법은 이동 인터넷 프로토콜 버전 6(MIPv6; Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 방법으로서, 이동 노드에서 MIPv6 패킷의 아웃바운드(Outbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 IPsec 터널 모드를 적용하는 단계, 및 이동 노드에서 MIPv6 패킷의 인바운드(Inbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 조회된 보안 정책과 IPsec 처리가 부합하는지를 검증하는 단계를 포함한다. 이로써, 본 발명에 따르면 IPsec 터널 모드 처리 절차를 단말의 이동성이 존재하는 환경에서도 잘 동작할 수 있도록 MIPv6 모듈과 연계함으로써, 보다 단순하고 명확한 IPsec 처리 절차를 제공할 수 있고, 향후 무선 및 이동 네트워크 환경에서 IPsec 보안 기능을 가지는 장비의 구현에 보다 쉽고 빠른 방법을 제공할 수 있다.The present invention relates to a method and apparatus for processing Internet security protocol tunnel mode for securely delivering MIPv6 signals and user packets for routing optimization in Mobile Internet Protocol version 6 (MIPv6). A method for this is a method for processing an Internet Security Protocol (IPsec) tunnel mode established between a mobile node and a home agent on Mobile Internet Protocol version 6 (MIPv6; Mobile IPv6), and outbound IPsec of MIPv6 packets in a mobile node. For tunnel mode processing, selecting a security policy inquiry identifier and applying IPsec tunnel mode using the selected security policy identifier, and for inbound IPsec tunnel mode processing of MIPv6 packets at the mobile node, Selecting an inquiry identifier and verifying whether the inquired security policy and the IPsec process match using the selected security policy identifier. Thus, according to the present invention, by integrating the IPsec tunnel mode processing procedure with the MIPv6 module to operate well in an environment in which the mobility of the terminal exists, it is possible to provide a simpler and clearer IPsec processing procedure, and to provide a wireless and mobile network environment in the future. Can provide an easier and faster way to the implementation of equipment with IPsec security.
Description
도 1은 본 발명의 일 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 방법을 나타내는 흐름도이다.1 is a flowchart illustrating a method for processing an Internet security protocol tunnel mode according to an embodiment of the present invention.
도 2는 본 발명의 다른 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 방법을 나타내는 흐름도이다.2 is a flowchart illustrating a method for processing an Internet security protocol tunnel mode according to another embodiment of the present invention.
도 3은 본 발명의 일 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 장치를 나타내는 블록도이다.3 is a block diagram illustrating an apparatus for processing an Internet security protocol tunnel mode according to an embodiment of the present invention.
도 4는 본 발명의 다른 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 장치를 나타내는 블록도이다.4 is a block diagram illustrating an apparatus for processing an Internet security protocol tunnel mode according to another embodiment of the present invention.
도 5는 보안 정책 및 보안 연계 조회 절차를 나타내는 도면이다.5 is a diagram illustrating a security policy and a security association inquiry procedure.
도 6은 아웃바운드 패킷 처리 절차를 나타내는 도면이다.6 is a diagram illustrating an outbound packet processing procedure.
도 7은 인바운드 패킷 처리 절차를 나타내는 도면이다.7 is a diagram illustrating an inbound packet processing procedure.
<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>
2...IPsec 터널 모드 적용부, 3...검증부,2 ... IPsec tunnel mode application section, 3 ... verification section,
10...IPsec 모듈, 20...MIPv6 모듈,10 ... IPsec module, 20 ... MIPv6 module,
30...IPv6 모듈, 40...IPv6-IPv6 터널링 모듈,30 ... IPv6 module, 40 ... IPv6-IPv6 tunneling module,
50...보안 정책 모듈, 60...보안 연계 모듈.50 ... security policy module, 60 ... security association module.
본 발명은 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치에 관한 것으로, 특히 이동 인터넷 프로토콜 버전 6(MIPv6)에서 라우팅 최적화를 위한 MIPv6 신호 및 사용자 패킷을 안전하게 전달하기 위한 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치에 관한 것이다.The present invention relates to a method and apparatus for processing an Internet security protocol tunnel mode, and more particularly, to a method and apparatus for processing an Internet security protocol tunnel mode for safely delivering MIPv6 signals and user packets for routing optimization in Mobile Internet Protocol version 6 (MIPv6). It is about.
인터넷을 이용하여 정보를 송수신하는 경우, 송수신되는 정보의 보호가 필요하다. 따라서, 인터넷 프로토콜(IP) 보안 프로토콜(IPsec; IP security protocol)이 규정되어 사용되고 있다. IPsec는 안전에 취약한 인터넷에서 안전한 통신을 실현하는 통신 규약으로서, 인터넷상에 전용 회선과 같이 이용 가능한 가상적인 전용 회선을 구축하여 데이터를 도청당하는 등의 행위를 방지하기 위한 통신 규약이다. 이 통신 규약은 사용자 측 단말기에 탑재할 수 있으며, 인터넷을 거쳐 특정 클라이언트와 서버만이 IPsec로 데이터를 주고받을 수 있다.When transmitting and receiving information using the Internet, it is necessary to protect the information transmitted and received. Accordingly, an IP security protocol (IPsec) has been defined and used. IPsec is a communication protocol for realizing secure communication on the Internet, which is vulnerable to security. It is a communication protocol for preventing the act of eavesdropping on data by establishing a virtual dedicated line that can be used like a dedicated line on the Internet. This communication protocol can be installed on the user's terminal, and only certain clients and servers can exchange data with IPsec via the Internet.
한편, 통신 규약인 인터넷 프로토콜 버전 4(IPv4; Internet protocol version 4)가 현재 널리 이용되고 있다. 또한 IPv4의 차세대 버전인 인터넷 프로토콜 버전 6(IPv6; Internet protocol version 6)이 규정되어있다. IPv6는 IP 주소 공간을 128비트로 늘려, 망 확장성이 더욱 향상된 것이 특징이며 차세대 인터넷 통신 규약(IPng)이라고도 한다.Meanwhile, Internet protocol version 4 (IPv4), which is a communication protocol, is widely used. In addition, Internet protocol version 6 (IPv6), the next generation of IPv4, is defined. IPv6 extends the IP address space to 128 bits, further enhancing network scalability, also known as Next Generation Internet Protocol (IPng).
일반적으로 IPsec 서비스는 IP패킷의 아웃바운드(Outbound) 처리와 인바운드(Inbound) 처리로 나누어진다. IP 패킷의 아웃바운드 처리는 송수신 주소와 프로토콜의 식별자를 통해 보안 정책을 검색하고 이에 해당하는 보안연계를 IP 패킷에 적용하는 방식으로 이루어진다. IP 패킷의 인바운드 처리는 먼저 보안연계의 처리 후, 목적지 주소, 보안 파라미터 인덱스(SPI; Security Parameter Index), IPsec 프로토콜을 이용하여 해당 정책이 올바르게 적용되었는지를 검사하게 된다. 하지만, 이러한 일반적인 IPsec적용 방법은 이동 IPv6(MIPv6; Mobile IPv6)에서는 상이한 방식을 요구하게 된다. 왜냐하면, MIPv6에서는 이동 노드가 새로운 네트워크로 이동할 때 새로운 주소를 할당받아야 하기 때문이다. 따라서 이러한 이동 주소와 보안정책을 검색하기 위한 식별자를 구분할 수 있어야 올바른 IPsec 서비스를 제공할 수 있다. 결과적으로, 이러한 처리 방식은 MIPv6의 안전한 이동성 제공을 위한 IPsec 적용에 있어서 매우 중요한 역할을 수행한다.In general, IPsec services are divided into outbound processing and inbound processing of IP packets. Outbound processing of an IP packet is performed by searching for a security policy through a transmission / reception address and an identifier of a protocol and applying a corresponding security association to the IP packet. Inbound processing of the IP packet is first performed after the processing of the security association, and then the target address, the security parameter index (SPI), and the IPsec protocol are used to check whether the corresponding policy is correctly applied. However, this general IPsec application method requires a different method in Mobile IPv6 (MIPv6). This is because in MIPv6, a mobile node must be assigned a new address when moving to a new network. Therefore, it is necessary to distinguish between the mobile address and the identifier for retrieving the security policy to provide the correct IPsec service. As a result, this processing plays a very important role in the application of IPsec for providing secure mobility of MIPv6.
MIPv6는 이동 단말의 이동시, 홈 에이전트와 이동노드사이의 메시지를 보호하기 위해 IPsec 터널 모드와 트랜스포트 모드의 사용을 정의하고 있는데 이 때 보호할 메시지에 대한 정확한 IPsec 정책을 얻는 것이 IPsec의 적용에 있어서 무엇보다도 중요하다.MIPv6 defines the use of IPsec tunnel mode and transport mode to protect the messages between the home agent and the mobile node when the mobile terminal moves. In this case, obtaining the correct IPsec policy for the message to be protected is applied in the application of IPsec. Most important of all.
본 발명이 이루고자 하는 기술적 과제는, 상기와 같은 단점들을 해결하기 위하여, 이동 IPv6(MIPv6; Mobile IPv6)에서 라우팅 최적화를 위한 MIPv6 신호 및 사용자 패킷의 전달을 위해 사용되는 이동 노드와 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜 터널 모드 처리 방법을 제공하는 데 있다.The technical problem to be achieved by the present invention is to set up between the mobile node and the home agent used for the delivery of MIPv6 signaling and user packets for routing optimization in Mobile IPv6 (MIPv6; Mobile IPv6) to solve the above disadvantages The present invention provides a method for processing tunnel mode of the Internet security protocol.
본 발명이 이루고자 하는 다른 기술적 과제는, 상기와 같은 단점들을 해결하기 위하여, 이동 IPv6(MIPv6; Mobile IPv6)에서 라우팅 최적화를 위한 MIPv6 신호 및 사용자 패킷의 전달을 위해 사용되는 이동 노드와 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜 터널 모드 처리 장치를 제공하는 데 있다.Another technical problem to be solved by the present invention is to set up between the mobile node and the home agent used for the delivery of MIPv6 signals and user packets for routing optimization in Mobile IPv6 (MIPv6; Mobile IPv6) to solve the above disadvantages It is to provide an Internet security protocol tunnel mode processing device.
본 발명은 상기한 기술적 과제를 달성하기 위하여, 이동 인터넷 프로토콜 버전 6(MIPv6; Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 방법에 있어서,In order to achieve the above technical problem, the present invention provides a method for processing an Internet Security Protocol (IPsec) tunnel mode established between a mobile node and a home agent on Mobile Internet Protocol version 6 (MIPv6; Mobile IPv6).
(a) 이동 노드에서 MIPv6 패킷의 아웃바운드(Outbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 IPsec 터널 모드를 적용하는 단계; 및(a) selecting a security policy inquiry identifier and applying an IPsec tunnel mode by using the selected security policy identifier for outbound IPsec tunnel mode processing of the MIPv6 packet in the mobile node; And
(b) 이동 노드에서 MIPv6 패킷의 인바운드(Inbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 조회된 보안 정책과 IPsec 처리가 부합하는지를 검증하는 단계를 포함하는 것을 특징으로 하는 인터넷 보안 프로토콜 터널 모드 처리 방법을 제공한다.(b) selecting a security policy query identifier for inbound IPsec tunnel mode processing of the MIPv6 packet at the mobile node and verifying that the queryed security policy matches the IPsec processing using the selected security policy identifier; It provides an Internet security protocol tunnel mode processing method comprising a.
본 발명은 상기한 기술적 과제를 달성하기 위하여, 이동 인터넷 프로토콜 버전 6(Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 방법에 있어서,In order to achieve the above technical problem, the present invention provides a method for processing Internet Security Protocol (IPsec) tunnel mode established between a mobile node and a home agent on Mobile Internet Protocol version 6 (Mobile IPv6),
홈 에이전트에서 대응 노드로부터 수신한 MIPv6 신호로부터 보안 정책 식별 자를 선정하고, 선정된 보안 정책 식별자를 이용하여 IPsec 터널 모드 처리하여 이동 노드로 전달하는 단계; 및Selecting a security policy identifier from the MIPv6 signal received from the corresponding node in the home agent, processing the IPsec tunnel mode using the selected security policy identifier, and delivering the same to the mobile node; And
홈 에이전트에서 이동 노드로부터 수신한 IPsec 터널 모드 처리된 MIPv6 신호로부터 보안 정책 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 MIPv6 신호에서 IPsec 터널을 제거한 후 대응 노드로 전달하는 단계를 포함하는 것을 특징으로 하는 인터넷 보안 프로토콜 터널 모드 처리 방법을 제공한다.Selecting a security policy identifier from the IPsec tunnel mode processed MIPv6 signal received from the mobile node at the home agent, removing the IPsec tunnel from the MIPv6 signal by using the selected security policy identifier, and transmitting the same to the corresponding node; An internet security protocol tunnel mode processing method is provided.
본 발명은 상기한 다른 기술적 과제를 달성하기 위하여, 이동 인터넷 프로토콜 버전 6(MIPv6; Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 장치에 있어서,The present invention provides an apparatus for processing an Internet Security Protocol (IPsec) tunnel mode set up between a mobile node and a home agent on Mobile Internet Protocol version 6 (MIPv6; Mobile IPv6) in order to achieve the above technical problem.
이동 노드에서 MIPv6 패킷의 아웃바운드(Outbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 IPsec 터널 모드를 적용하는 적용 수단; 및Application means for selecting a security policy inquiry identifier and applying the IPsec tunnel mode using the selected security policy identifier for outbound IPsec tunnel mode processing of MIPv6 packets in the mobile node; And
이동 노드에서 MIPv6 패킷의 인바운드(Inbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 조회된 보안 정책과 IPsec 처리가 부합하는지를 검증하는 검증 수단을 포함하는 것을 특징으로 하는 인터넷 보안 프로토콜 터널 모드 처리 장치를 제공한다.For inbound IPsec tunnel mode processing of the MIPv6 packet in the mobile node, a security policy inquiry identifier is selected, and the verification means includes verifying whether the security policy and the IPsec processing matched using the selected security policy identifier. An internet security protocol tunnel mode processing apparatus is provided.
이하, 첨부한 도면을 참조하면서 본 발명에 따른 바람직한 실시예를 상세하게 설명한다. 본 발명을 설명함에 있어서 관련된 공지기술 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, when it is determined that detailed descriptions of related well-known technologies or configurations may unnecessarily obscure the subject matter of the present invention, the detailed description will be omitted. In addition, terms to be described below are terms defined in consideration of functions in the present invention, which may vary according to the intention or custom of a user or an operator. Therefore, the definition should be made based on the contents throughout the specification.
본 발명에 사용되는 용어는 다음과 같이 정의한다.Terms used in the present invention are defined as follows.
IPv6 : 인터넷 프로토콜 버전 6(Internet Protocol version 6)IPv6: Internet Protocol version 6
MIPv6 : 이동 IPv6(Mobile IPv6)MIPv6: Mobile IPv6
SPDB : 보안 정책 데이터베이스(security policy database)SPDB: security policy database
SADB : 보안 연계 데이터베이스(security association database)SADB: security association database
HoA : 이동 노드의 홈 주소HoA: Home address of the mobile node
HA : 홈에이전트의 주소HA: home agent address
CoA : 이동 노드의 이동 주소CoA: mobile address of mobile node
CN : 대응 노드 주소CN: corresponding node address
ESP : 캡슐화 보안 페이로드(Encapsulating Security Payload)ESP: Encapsulating Security Payload
AH : 인증 헤더(Authentication Header)AH: Authentication Header
MH : 이동 헤더(Mobility Header)MH: Mobility Header
HoTI : Mobile IPv6에서 홈 테스트 시작 메시지HoTI: Home Test Start Message on Mobile IPv6
HoT : Mobile IPv6에서 홈 테스트 메시지HoT: Home Test Message on Mobile IPv6
sa, sp : 송신지 주소 및 포트sa, sp: destination address and port
da, dp : 목적지 주소 및 포트da, dp: destination address and port
x_ptc : IPsec 변환 프로토콜로서 ESP, AH가 해당됨x_ptc: ESP, AH as IPsec conversion protocol
Sa_ref : 보안정책과 보안연계를 논리적으로 연계시키기 위한 정보Sa_ref: Information to logically link security policy with security association
도 1은 본 발명의 일 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 방법을 나타내는 흐름도이다.1 is a flowchart illustrating a method for processing an Internet security protocol tunnel mode according to an embodiment of the present invention.
도 1을 참조하여 이동 인터넷 프로토콜 버전 6(MIPv6; Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 방법을 설명한다. 우선, 이동 노드에서 MIPv6 패킷의 아웃바운드(Outbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 IPsec 터널 모드를 적용한다(단계 S10). 또한, 이동 노드에서 MIPv6 패킷의 인바운드(Inbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 조회된 보안 정책과 IPsec 처리가 부합하는지를 검증한다(단계 S12).A method for processing an Internet Security Protocol (IPsec) tunnel mode established between a mobile node and a home agent on Mobile Internet Protocol version 6 (MIPv6) is described with reference to FIG. First, for processing outbound IPsec tunnel mode of the MIPv6 packet in the mobile node, a security policy inquiry identifier is selected, and the IPsec tunnel mode is applied using the selected security policy identifier (step S10). In addition, the mobile node selects a security policy inquiry identifier for inbound IPsec tunnel mode processing of the MIPv6 packet, and verifies whether the inquired security policy matches the IPsec processing using the selected security policy identifier (step S12). ).
바람직하기로는, 상기 단계 S10 및 S12는 보안 정책 조회 식별자로서 IPv6 헤더의 송신지 주소, 목적지 주소, 및 다음 헤더 정보인 프로토콜 유형이 선정되는 단계를 포함할 수 있다.Preferably, the steps S10 and S12 may include selecting a source address of a IPv6 header, a destination address, and a protocol type of next header information as a security policy inquiry identifier.
또한, 상기 단계 S10은 상기 보안 정책 조회 식별자를 이용하여 송신지 주소 및 목적지 주소를 포함하는 IPv6 터널 헤더를 상기 MIPv6 패킷에 추가하는 단계를 포함할 수 있다.Also, the step S10 may include adding an IPv6 tunnel header including a source address and a destination address to the MIPv6 packet using the security policy inquiry identifier.
한편, 상기 단계 S12는 상기 보안 정책 조회 식별자를 이용하여 조회된 정책과 IPsec 처리가 부합하는 경우, 송신지 주소 및 목적지 주소를 포함하는 IPv6 터널 헤더를 상기 MIPv6 패킷으로부터 제거하는 단계를 포함할 수 있다.Meanwhile, the step S12 may include removing an IPv6 tunnel header including a source address and a destination address from the MIPv6 packet when the policy queried using the security policy inquiry identifier matches the IPsec process. .
도 2는 본 발명의 다른 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 방법을 나타내는 흐름도이다.2 is a flowchart illustrating a method for processing an Internet security protocol tunnel mode according to another embodiment of the present invention.
도 2를 참조하여, 이동 인터넷 프로토콜 버전 6(Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 방법을 설명한다. 우선, 홈 에이전트에서 대응 노드로부터 수신한 MIPv6 신호로부터 보안 정책 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 IPsec 터널 모드 처리하여 이동 노드로 전달한다(단계 S20). 또한, 홈 에이전트에서 이동 노드로부터 수신한 IPsec 터널 모드 처리된 MIPv6 신호로부터 보안 정책 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 MIPv6 신호에서 IPsec 터널을 제거한 후 대응 노드로 전달한다(단계 S22).Referring to FIG. 2, a method for processing Internet Security Protocol (IPsec) tunnel mode established between a mobile node and a home agent on Mobile Internet Protocol version 6 (Mobile IPv6) will be described. First, the home agent selects a security policy identifier from the MIPv6 signal received from the corresponding node, processes the IPsec tunnel mode using the selected security policy identifier, and delivers it to the mobile node (step S20). In addition, the home agent selects a security policy identifier from the IPsec tunnel mode processed MIPv6 signal received from the mobile node, removes the IPsec tunnel from the MIPv6 signal using the selected security policy identifier, and transfers the IPsec tunnel to the corresponding node (step S22). .
도 3은 본 발명의 일 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 장치(1)를 나타내는 블록도이다.3 is a block diagram showing the Internet security protocol tunnel
도 3을 참조하면, 이동 인터넷 프로토콜 버전 6(MIPv6; Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 장치(1)는 IPsec 터널 모드 적용부(2) 및 검증부(3)를 포함한다. IPsec 터널 모드 적용부(2)는 이동 노드에서 MIPv6 패킷의 아웃바운드(Outbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 IPsec 터널 모드를 적용할 수 있다. 검증부(3)는 이동 노드에서 MIPv6 패킷의 인바운드(Inbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 조회된 보안 정 책과 IPsec 처리가 부합하는지를 검증할 수 있다.Referring to FIG. 3, an
상기 IPsec 터널 모드 적용부(2) 및 검증부(3)는 보안 정책 조회 식별자로서 IPv6 헤더의 송신지 주소, 목적지 주소, 및 다음 헤더 정보인 프로토콜 유형을 선정할 수 있다.The IPsec tunnel
또한, 상기 IPsec 터널 모드 적용부(2)는 상기 보안 정책 조회 식별자를 이용하여 송신지 주소 및 목적지 주소를 포함하는 IPv6 터널 헤더를 상기 MIPv6 패킷에 추가할 수 있다.In addition, the IPsec tunnel
한편, 상기 검증부(3)는 상기 보안 정책 조회 식별자를 이용하여 조회된 정책과 IPsec 처리가 부합하는 경우, 송신지 주소 및 목적지 주소를 포함하는 IPv6 터널 헤더를 상기 MIPv6 패킷으로부터 제거할 수 있다.Meanwhile, the
도 4는 본 발명의 다른 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 장치(1)를 나타내는 블록도이다.4 is a block diagram showing the Internet security protocol tunnel
도 4를 참조하면, 본 발명에 따른 인터넷 보안 프로토콜 터널 모드 처리 장치(1)는 IPsec 모듈(10), MIPv6 모듈(20), IPv6 모듈(30), IPv6-IPv6 터널링 모듈(40), 보안 정책 모듈(50), 및 보안 연계 모듈(60)을 포함한다.4, the Internet security protocol tunnel
본 발명이 제공하는 MIPv6 IPsec 터널 모드 적용 절차는 아웃바운드(Outbound) 패킷 처리 절차와 인바운드(Inbound) 패킷 처리 절차로 나누어진다. 이러한 절차는 본 발명에 따른 인터넷 보안 프로토콜 터널 모드 처리 장치(1)에 의해 수행될 수 있다.The MIPv6 IPsec tunnel mode application procedure provided by the present invention is divided into an outbound packet processing procedure and an inbound packet processing procedure. This procedure can be performed by the Internet security protocol tunnel
IPsec 모듈(10)은 IPsec 처리를 담당하고, MIPv6 모듈(20)은 노드의 이동성 과 관련된 처리를 수행한다. IPv6 모듈(30)은 IPv6 패킷 처리 절차를 담당하고, IPv6-IPv6 터널링 모듈(40)은 IPv6 터널링 헤더를 제공한다. 보안 정책 모듈(50)은 IPsec을 적용할 패킷에 대한 정보와 IPsec 보안 정책 관리를 담당하고, 보안 연계 모듈(60)은 보안 연계의 관리를 담당한다. The
상술된 바와 같은 본 발명에 따른 인터넷 보안 프로토콜 터널 모드 처리 장치(1)는 이동 노드 및 홈 에이전트에 포함될 수 있다.The Internet security protocol tunnel
이제, 도 4 내지 도 7을 참조하여 본 발명에 따른 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치를 설명한다. 도 5는 보안 정책 및 보안 연계 조회 절차를 나타내는 도면이고, 도 6은 MIPv6 IPsec 터널 모드에서의 아웃바운드 패킷 처리 절차를 나타내는 도면이며, 도 7은 MIPv6 IPsec 터널 모드에서의 인바운드 패킷 처리 절차를 나타내는 도면이다.Now, with reference to Figures 4 to 7 the Internet security protocol tunnel mode processing method and apparatus according to the present invention. 5 is a diagram illustrating a security policy and a security association inquiry procedure, FIG. 6 is a diagram illustrating an outbound packet processing procedure in a MIPv6 IPsec tunnel mode, and FIG. 7 is a diagram illustrating an inbound packet processing procedure in a MIPv6 IPsec tunnel mode. to be.
우선, 이동 노드에 있어서, MIPv6에서의 아웃바운드 IPsec 터널 모드 처리를 설명한다. 아웃바운드 IPsec 터널 모드 처리는 HoTI 메시지를 홈 에이전트를 경유하여 대응 노드로 전달하는 경우 이용될 수 있다. 우선, IPv6 모듈(30)과 MIPv6 모듈(20)은 도 6의 참조번호 100과 같이 IPv6 헤더, MH 헤더 및 데이터를 갖는 패킷을 생성한다.First, outbound IPsec tunnel mode processing in MIPv6 in the mobile node will be described. Outbound IPsec tunnel mode processing can be used when forwarding HoTI messages to corresponding nodes via a home agent. First, the
그 다음, MIPv6 사양에 따라 도 6의 참조번호 102와 같은 패킷을 얻기 위해 IPv6-IPv6 터널링 모듈(40)에게 터널링 작업을 요청한다. IPv6-IPv6 터널링 작업이 완료되면 도 5의 IPsec 보안 정책 조회 절차와 같이 sa와 da 및 프로토콜(MH)을 이용하여 보안 정책 모듈(50)에 해당 IPsec정책을 문의한다. 이 때 정책 조회를 위한 식별자로 sa와 da 및 다음 헤더 정보인 프로토콜 타입은 내부 IPv6 헤더의 정보인 (HoA, CN, MH)를 선정하게 된다. 여기서, 우선 외부 IPv6 헤더의 다음 헤더를 조사한 후, 다음 헤더가 IPv6 헤더일 경우, 상기 내부헤더의 정보를 정책 식별자로 사용하도록 하는 절차가 수행되도록 한다. 즉, 다음 헤더가 IPv6 헤더라는 것은 IPv6-IPv6 터널링된 패킷임을 나타내므로 정책조회를 위한 식별자를 그 내부 IPv6 헤더로부터 취하도록 한다. 따라서, 해당 정책이 조회됨과 동시에 해당 보안 연계를 얻을 수 있는 논리적 구조를 이용하여 도 5와 같이 보안 연계 모듈(60)로부터 보안연계를 얻을 수 있다. 결과적으로, IPsec ESP 처리가 수행된 후 도 6의 참조번호 104와 같은 최종적인 IPv6 패킷을 얻을 수 있다.Then, the tunneling operation is requested to the IPv6-
또한 유사하게, 예를 들어, 대응 노드로부터 홈 에이전트를 경유하여 이동 노드로 전달되는 HoT 메시지의 경우와 같이, sa가 CN이고 da가 HoA인 도 6의 참조번호 100과 비슷한 패킷을 수신하는 홈 에이전트의 경우에 있어서, 처리 절차는 이동 노드의 아웃바운드 IPsec 터널 모드 처리의 경우와 동일하게 진행된다.Similarly, a home agent receiving a packet similar to
한편, 이동 노드에 있어서, 인바운드 IPsec 터널 모드 처리를 설명한다. 우선, 이동 노드는 도 7의 참조번호 200과 같은 IPv6 패킷을 수신한다. 이때, IPsec 모듈(10)은 외부 IPv6헤더와 IPsec 헤더를 보고 도 5의 인바운드 처리와 같이 (da, spi, x_ptc) 정보를 얻고 이를 이용하여 보안 연계 모듈(60)에게 해당 보안 연계 정보를 요청한다. 보안 연계가 조회되면, 이에 따라 IPsec 모듈(10)이 IPsec 처리를 수행하고 도 7의 참조번호 202와 같이 ESP 헤더를 제거한다.Meanwhile, in the mobile node, inbound IPsec tunnel mode processing will be described. First, the mobile node receives an IPv6 packet, such as
성공적으로 IPsec 처리가 수행되고 나면 IPsec 처리가 해당 보안 정책과 부 합하는지에 대한 검증 작업을 수행하게 된다. 이 때 사용되는 보안정책 조회 식별자로는 IPv6 내부헤더의 (sa, da, next header) 정보가 된다. 이것은 아웃바운드 처리 시와 마찬가지로 외부 IPv6의 다음 헤더 정보가 IPv6 헤더일 경우에만 내부 IPv6 헤더 정보를 사용하는 절차를 수행하도록 한다. 따라서 내부 IPv6 헤더로부터 (CN, HoA, MH)를 식별자로 선정하게 되고 조회된 정책과 IPsec 처리가 일치하는지를 검증하게 된다. 검증이 완료되면 IPv6 모듈(30)이 터널 헤더를 도 7의 참조번호 204와 같이 제거한 후, MIPv6 신호 처리를 위해 MIPv6 모듈(20)로 패킷을 넘기게 된다.After successful IPsec processing, it verifies whether the IPsec processing conforms to the security policy. The security policy inquiry identifier used at this time is (sa, da, next header) information of the IPv6 internal header. As in the outbound process, this allows the procedure to use the internal IPv6 header information only when the next header information of the external IPv6 is the IPv6 header. Therefore, it selects (CN, HoA, MH) as an identifier from the internal IPv6 header and verifies whether the inquired policy and IPsec processing match. When the verification is completed, the
한편, sa가 CoA이고 da가 HA인 이동 노드로부터의 IPsec 터널 메시지를 받은 홈 에이전트의 경우도 마찬가지로, 상기 이동 노드 인바운드 IPsec 터널 처리 절차에 따라 수행될 수 있다. 결과적으로, 터널 헤더를 제거한 IPv6 패킷은 내부 헤더의 목적지 주소로 전달된다. On the other hand, a home agent receiving an IPsec tunnel message from a mobile node where sa is CoA and da is HA may be similarly performed according to the mobile node inbound IPsec tunnel processing procedure. As a result, the IPv6 packet with the tunnel header removed is forwarded to the destination address of the inner header.
또한, 본 발명은 MIPv6상에서 사용자 패킷의 전달을 위한 IPsec 터널 모드의 사용에도 그대로 적용될 수 있다.In addition, the present invention can be applied to the use of the IPsec tunnel mode for the delivery of user packets on MIPv6.
본 발명은 IPv6망을 이용하여 단말의 이동성을 안전하고 효율적으로 제공하기 위한 통신서비스에 사용될 수 있다.The present invention can be used in a communication service for providing a mobile terminal safely and efficiently using an IPv6 network.
이상 본 발명의 바람직한 실시예에 대해 상세히 기술하였지만, 본 발명이 속하는 기술분야에 있어서 통상의 지식을 가진 사람이라면, 첨부된 청구범위에 정의된 본 발명의 정신 및 범위를 벗어나지 않으면서 본 발명을 여러 가지로 변형 또는 변경하여 실시할 수 있음을 알 수 있을 것이다. 따라서, 본 발명의 앞으로의 실시 예들의 변경은 본 발명의 기술을 벗어날 수 없을 것이다.Although the preferred embodiments of the present invention have been described in detail above, those of ordinary skill in the art to which the present invention pertains may make various changes without departing from the spirit and scope of the present invention as defined in the appended claims. It will be appreciated that modifications or variations may be made. Accordingly, modifications to future embodiments of the present invention will not depart from the technology of the present invention.
상술한 바와 같이, 본 발명에 따르면 IPsec 터널 모드 처리 절차를 단말의 이동성이 존재하는 환경에서도 잘 동작할 수 있도록 MIPv6 모듈과 연계함으로써, 보다 단순하고 명확한 IPsec 처리 절차를 제공한다. 따라서, 향후 무선 및 이동 네트워크 환경에서 IPsec 보안 기능을 가지는 장비의 구현에 보다 쉽고 빠른 방법을 제공할 수 있다.As described above, the present invention provides a simpler and clearer IPsec processing procedure by linking the IPsec tunnel mode processing procedure with the MIPv6 module so as to operate well in an environment where the mobility of the terminal exists. Therefore, it is possible to provide an easier and faster method for the implementation of equipment with IPsec security in the future wireless and mobile network environment.
Claims (9)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040094406A KR100617315B1 (en) | 2004-11-18 | 2004-11-18 | Method and apparatus for performing internet security protocol tunneling |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040094406A KR100617315B1 (en) | 2004-11-18 | 2004-11-18 | Method and apparatus for performing internet security protocol tunneling |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060055085A KR20060055085A (en) | 2006-05-23 |
KR100617315B1 true KR100617315B1 (en) | 2006-08-30 |
Family
ID=37151306
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020040094406A KR100617315B1 (en) | 2004-11-18 | 2004-11-18 | Method and apparatus for performing internet security protocol tunneling |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100617315B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20150116170A (en) | 2014-04-07 | 2015-10-15 | 한국전자통신연구원 | Access point apparatus for consisting multiple secure tunnel, system having the same and method thereof |
-
2004
- 2004-11-18 KR KR1020040094406A patent/KR100617315B1/en not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
KR20060055085A (en) | 2006-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1463257B1 (en) | Communication between a private network and a roaming mobile terminal | |
US6839338B1 (en) | Method to provide dynamic internet protocol security policy service | |
KR100847167B1 (en) | Terminal and communication system | |
US7861080B2 (en) | Packet communication system | |
US20060182083A1 (en) | Secured virtual private network with mobile nodes | |
US8413243B2 (en) | Method and apparatus for use in a communications network | |
EP2061200B1 (en) | Method and device for binding update between mobile node and correspondent node | |
EP2151142B1 (en) | Methods and apparatus for sending data packets to and from mobile nodes | |
Korhonen et al. | Local mobility anchor (LMA) discovery for proxy mobile IPv6 | |
US8037302B2 (en) | Method and system for ensuring secure forwarding of messages | |
US7623500B2 (en) | Method and system for maintaining a secure tunnel in a packet-based communication system | |
US8514777B1 (en) | Method and apparatus for protecting location privacy of a mobile device in a wireless communications network | |
US8761007B1 (en) | Method and apparatus for preventing a mobile device from creating a routing loop in a network | |
US8805329B2 (en) | Method and system for assigning home agent | |
KR100617315B1 (en) | Method and apparatus for performing internet security protocol tunneling | |
KR20090065023A (en) | Method for handling an ipsec tunnel mode | |
Korhonen et al. | RFC 6097: Local Mobility Anchor (LMA) Discovery for Proxy Mobile IPv6 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |