KR100996570B1 - System and method for connecting virtual private network by mobile ip - Google Patents

System and method for connecting virtual private network by mobile ip Download PDF

Info

Publication number
KR100996570B1
KR100996570B1 KR1020080072050A KR20080072050A KR100996570B1 KR 100996570 B1 KR100996570 B1 KR 100996570B1 KR 1020080072050 A KR1020080072050 A KR 1020080072050A KR 20080072050 A KR20080072050 A KR 20080072050A KR 100996570 B1 KR100996570 B1 KR 100996570B1
Authority
KR
South Korea
Prior art keywords
mobile node
virtual private
private network
mobile
packet
Prior art date
Application number
KR1020080072050A
Other languages
Korean (ko)
Other versions
KR20100011016A (en
Inventor
진성일
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020080072050A priority Critical patent/KR100996570B1/en
Publication of KR20100011016A publication Critical patent/KR20100011016A/en
Application granted granted Critical
Publication of KR100996570B1 publication Critical patent/KR100996570B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 모바일 IP를 이용한 가상사설망 접속 방법 및 시스템에 관한 것으로, 본 발명에 따른 모바일 IP를 이용한 가상사설망 접속 방법은 이동노드로부터 등록 요청을 수신하는 단계; 상기 이동노드의 가상사설망 게이트웨이 주소를 확인하여 바인딩하고 등록 응답하는 단계; 상기 이동노드로부터 가상사설망 접속 요청을 수신함에 따라 상기 바인딩된 가상사설망 게이트웨이 주소를 리턴(return)하는 단계; 및 상기 리턴된 주소로 접속한 상기 이동노드의 데이터를 가상사설망 게이트웨이로 전송하는 단계;를 포함한다.The present invention relates to a method and system for accessing a virtual private network using a mobile IP. The method for accessing a virtual private network using a mobile IP according to the present invention comprises the steps of: receiving a registration request from a mobile node; Checking, binding, and registering a virtual private network gateway address of the mobile node; Returning the bound virtual private network gateway address upon receiving a virtual private network connection request from the mobile node; And transmitting data of the mobile node connected to the returned address to a virtual private network gateway.

FA, HA, 이동노드, 모바일 라우터, 바인딩 리스트, 역터널링 플래그 FA, HA, Mobile Node, Mobile Router, Binding List, Reverse Tunneling Flags

Description

모바일 IP를 이용한 가상사설망 접속 방법 및 시스템{SYSTEM AND METHOD FOR CONNECTING VIRTUAL PRIVATE NETWORK BY MOBILE IP}SYSTEM AND METHOD FOR CONNECTING VIRTUAL PRIVATE NETWORK BY MOBILE IP}

본 발명은 모바일 IP를 이용한 가상사설망을 접속하는 방법 및 시스템에 관한 것이다.The present invention relates to a method and system for accessing a virtual private network using a mobile IP.

오늘날 이동통신시스템의 발전과 이동노드의 보급으로 인하여 이동중에 이동노드를 이용하여 홈페이지, 블로그 등에 접속하는 모바일 인터넷의 사용량이 급증하고 있는 추세이다. 또한, 사용자들은 무선랜 모듈을 탑재한 노트북이나 PDA(Personal Digital Assisants) 등의 단말을 이용하여, 무선인터넷 접속이 가능한 장소에서 고속의 데이터 서비스를 제공받고 있다. 상기 무선랜 모듈은 종래의 케이블이 아닌 RF(Radio Frequency) 신호로 데이터를 송수신하기 때문에, 대형 사무실, 물류 센터, 카페 등의 유선 네트워크가 구축되기 어려운 장소에서 널리 이용된다. Today, due to the development of mobile communication system and the spread of mobile nodes, the usage of mobile internet accessing homepages, blogs, etc. using mobile nodes is on the rise. In addition, users are provided with a high-speed data service in a place where wireless Internet access is possible by using a terminal such as a laptop equipped with a wireless LAN module or a personal digital assistant (PDA). Since the wireless LAN module transmits and receives data using a radio frequency (RF) signal instead of a conventional cable, it is widely used in a place where a wired network such as a large office, a distribution center, a cafe, etc. is difficult to establish.

이런 모바일 인터넷을 위한 통신시스템은 이동노드(Mobile Node)의 홈 네트워크에 위치하여 이동노드 대신 패킷을 수신하여 이동노드가 위치한 네트워크로 상기 패킷을 전송하는 홈 에이전트(Home Agent), 이동노드가 위치한 외부 네트워 크(Foreign Network)에 위치하고 상기 홈 에이전트로부터 패킷을 수신하여 상기 이동노드로 전송하는 외부 에이전트(Foreign Agent)를 포함한다. Such a communication system for the mobile Internet is located in a mobile node's home network, receives a packet instead of the mobile node, and transmits the packet to a network in which the mobile node is located. It is located in a network (Foreign Network) includes a foreign agent (Foreign Agent) for receiving a packet from the home agent and transmits to the mobile node.

이동노드는 고유한 IP 주소인 홈 어드레스를 가지며, 홈 네트워크를 벗어나 방문 네트워크에 위치하게 되면 외부 에이전트로부터 COA(Care of Address)를 획득한다. 그리고 이동노드는 획득한 COA 주소(즉, 위치한 외부 네트워크 정보)를 홈 에이전트로 알리고, 홈 에이전트는 바인딩 업데이트를 통하여 이동노드의 위치를 갱신한다.The mobile node has a home address, which is a unique IP address, and obtains a care of address (COA) from an external agent when the mobile node is located outside the home network. The mobile node informs the home agent of the obtained COA address (ie, located external network information), and the home agent updates the location of the mobile node through binding update.

한편, 모바일 인터넷을 통해 가상사설망(Vitural Private Network)에 접속하는 방법이 개시되었다. 이런 모바일 인터넷에서 가상사설망에 접속하는 방법을 살펴보면, 이동노드는 모바일 인터넷 접근을 위하여 외부 에이전트로부터 COA를 할당받은 후, 다시 가상사설망 게이트웨이에 접속하여 상기 가상사설망에 접근 가능한 IP를 할당받는다. 그런데 이런 방법은 COA를 할당받는 과정과 가상사설망 접근 IP를 할당받는 과정이 분리되어 진행하기 때문에 네트워크 토폴로지의 복잡성 증대에 따른 운용비용이 많이 소요되는 문제점이 발생할 수 있다. 또한, 상술한 방법대로 모바일 인터넷을 통하여 가상사설망에 접근하게 되면, 홈 에이전트와 외부 에이전트 사이에 형성되는 모바일 인터넷을 위한 터널과 이동노드와 가상사설망 게이트웨이에서 형성되는 가상사설망을 위한 터널이 혼재하게 되어 이동통신시스템의 패킷 전송 로드가 커지는 단점도 있다.Meanwhile, a method of accessing a virtual private network through a mobile internet has been disclosed. Looking at the method of accessing the virtual private network in the mobile Internet, the mobile node is assigned a COA from an external agent for accessing the mobile internet, and then accesses the virtual private network gateway and is assigned an IP accessible to the virtual private network. However, in this method, a process of allocating a COA and a process of allocating a virtual private network access IP may be separated, which may cause a problem of high operating costs due to the complexity of the network topology. In addition, when the virtual private network is accessed through the mobile Internet as described above, the tunnel for the mobile internet formed between the home agent and the external agent and the tunnel for the virtual private network formed at the mobile node and the virtual private network gateway are mixed. Another disadvantage is that the packet transmission load of the mobile communication system is increased.

본 발명은 상기 문제점을 해결하기 위하여 제안된 것으로, 가상사설망 접근 IP의 할당이 필요치 않고 단순한 네트워크 토폴리지를 통하여 모바일 인터넷상에서 가상사설망을 접속을 위한 방법 및 시스템을 제공하는데 그 목적이 있다.The present invention has been proposed to solve the above problems, and it is an object of the present invention to provide a method and system for accessing a virtual private network on the mobile Internet through a simple network topology without requiring the allocation of a virtual private network access IP.

본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.Other objects and advantages of the present invention can be understood by the following description, and will be more clearly understood by the embodiments of the present invention. Also, it will be readily appreciated that the objects and advantages of the present invention may be realized by the means and combinations thereof indicated in the claims.

상기 목적을 달성하기 위한 본 발명의 제 1 측면에 따른 모바일 IP를 이용한 가상사설망 접속 방법은, (a) 이동노드로부터 등록 요청을 수신하는 단계; (b) 상기 이동노드의 가상사설망 게이트웨이 주소를 확인하여 바인딩하고 등록 응답하는 단계; (c) 상기 이동노드로부터 가상사설망 접속 요청을 수신함에 따라 상기 바인딩된 가상사설망 게이트웨이 주소를 리턴(return)하는 단계; 및 (d) 상기 리턴된 주소로 접속한 상기 이동노드의 데이터를 가상사설망 게이트웨이로 전송하는 단계;를 포함하는 것을 특징으로 한다.A virtual private network access method using mobile IP according to the first aspect of the present invention for achieving the above object comprises the steps of: (a) receiving a registration request from a mobile node; (b) checking, binding and registering a virtual private network gateway address of the mobile node; (c) returning the bound virtual private network gateway address upon receiving a virtual private network connection request from the mobile node; And (d) transmitting data of the mobile node connected to the returned address to a virtual private network gateway.

상기 목적을 달성하기 위한 본 발명의 제 2 측면에 따른 모바일 IP를 이용한 가상사설망 접속 장치는, 바인딩 리스트를 저장하는 저장부; 등록된 요청된 이동노드의 가상사설망 게이트웨이 주소를 확인하여 상기 바인딩 리스트에 기록하는 메시 지 처리부; 및 상기 이동노드로부터 가상사설망 접속 요청을 수신함에 따라 상기 이동노드의 가상사설망 게이트웨이 주소를 상기 바인딩 리스트에서 추출하여 리턴(return)하고, 상기 리턴된 주소로 접속한 상기 이동노드의 데이터를 상기 가상사설망 게이트웨이로 전송하는 데이터 송수신부;를 포함하는 것을 특징으로 한다.In accordance with a second aspect of the present invention for achieving the above object, a virtual private network access device using mobile IP includes: a storage unit for storing a binding list; A message processing unit which checks the virtual private network gateway address of the registered requested mobile node and writes it to the binding list; And extracting and returning a virtual private network gateway address of the mobile node from the binding list when receiving a virtual private network connection request from the mobile node, and returning data of the mobile node connected to the returned address to the virtual private network. And a data transceiver for transmitting to the gateway.

본 발명은 이동노드의 COA 등록 과정과 이동노드의 가설사설망 접근 IP 할당 과정을 분리하지 않고 단일의 COA 등록과정을 통하여 가상사설망에 접근하는 방법을 제공함으로써 네트워크 토폴리지를 단순시킬 뿐 아니라 통신시스템 운용비용도 절감시킨다.The present invention not only simplifies network topology but also provides a method of accessing a virtual private network through a single COA registration process without separating the mobile node's COA registration process and the mobile node's provisional private network access IP allocation process. It also saves money.

또한, 본 발명은 가상사설망을 위한 터널링과 모바일 인터넷을 위한 터널링을 혼재시키지 않음으로써, 통신시스템의 패킷 전송 로드를 감소시킨다.In addition, the present invention does not mix tunneling for the virtual private network and tunneling for the mobile Internet, thereby reducing the packet transmission load of the communication system.

아울러, 본 발명은 가상사설망에 접근할 수 있는 홈 에이전트에서 이동노드의 패킷을 수신하여 그 패킷을 가상사설망으로 전송함으로써, 가상사설망 접근 IP를 이동노드에 별도로 할당하지 않아도 되는 이점이 있다. In addition, the present invention has the advantage of not having to separately allocate the virtual private network access IP to the mobile node by receiving the packet of the mobile node in the home agent that can access the virtual private network and transmitting the packet to the virtual private network.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명 을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.The foregoing and other objects, features and advantages of the present invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings, in which: There will be. In addition, in describing the present invention, when it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. Hereinafter, a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른, 모바일 IP를 이용하여 가상사설망에 접속하는 시스템의 구성을 나타내는 도면이다.1 is a diagram illustrating a configuration of a system for accessing a virtual private network using a mobile IP according to an embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명에 따른 가상사설망을 접속하는 시스템은 이동노드(110, Mobile Node), 외부 에이전트(120, Foreign Agent, 이하 "FA"라 칭함), 홈 에이전트(130, Home Agent, 이하 "HA"라 칭함), AAA 서버(140, Authentication Authorization Accounting Server) 및 가상사설망 게이트웨이(150, Virtual Private Network Gateway, 이하 "VPN G/W"라 칭함)를 포함한다. 상기 FA(120)와 상기 HA(130)는 인터넷 및 이동통신망 등의 통신망(160)을 통해 서로 연결된다.As shown in FIG. 1, a system for accessing a virtual private network according to the present invention includes a mobile node 110, a mobile node 110, an external agent 120, hereinafter referred to as “FA”, and a home agent 130. Agent, hereinafter referred to as "HA"), AAA server 140 (Authentication Authorization Accounting Server) and virtual private network gateway (150, hereinafter referred to as "VPN G / W"). The FA 120 and the HA 130 are connected to each other through a communication network 160 such as the Internet and a mobile communication network.

이동노드(110)는 이동 중에 인터넷이 가능한 노트북, PDA 등으로서, FA(120)로부터 COA(Care Of Address)를 획득하고 그 COA를 HA(130)로 등록한 후 HA(130)를 통하여 가상사설망(170)에 접속할 수 있다. 또한, 이동노드(110)는 역터널링을 위한 플랫폼을 탑재하여 역터널링 플래그(flag)가 설정된 패킷을 전송한다. 상기 역터널링 플래그가 설정된 패킷은 이동노드(110)의 HA(130)를 경유하여 목적지로 전송된다. 그리고 이동노드(110)는 VPN 플랫폼을 탑재하여 웹 브라우저를 통하여 가상사설망(170)에 접근할 수 있다. 한편, 고정 홈 어드레스(Home Address)를 할당받지 않은 이동노드(110)는 HA(130)로부터 전송되는 등록 응답(registration response) 메시지를 통해 동적 홈 어드레스를 할당받을 수 있다.The mobile node 110 is a laptop, PDA, etc. capable of internet while moving, and obtains a care of address (COA) from the FA 120 and registers the COA with the HA 130 and then the virtual private network through the HA 130. 170). In addition, the mobile node 110 mounts a platform for reverse tunneling and transmits a packet in which a reverse tunneling flag is set. The packet in which the reverse tunneling flag is set is transmitted to the destination via the HA 130 of the mobile node 110. The mobile node 110 may be equipped with a VPN platform to access the virtual private network 170 through a web browser. Meanwhile, the mobile node 110 that is not assigned a fixed home address may be assigned a dynamic home address through a registration response message transmitted from the HA 130.

FA(120)는 이동노드(110)의 외부 네트워크에 위치하며, COA가 포함된 에이전트 광고 메시지를 주기적으로 브로드캐스팅한다. 또한, FA(120)는 이동노드(110)가 획득한 COA(Core Of Address)를 방문자 리스트에 기록하고 HA(130)로 등록 요청하며, 이동노드(110)로부터 전송받은 패킷에 역터널링 플래그가 설정되면 상기 패킷을 터널링하여 HA(130)로 전송한다. 한편, FA(120)는 이동노드(110)로 향하는 터널링된 패킷을 터널링 제거하여(즉, 원본 패킷을 복원하여) 이동노드(110)로 전송한다.The FA 120 is located in an external network of the mobile node 110 and periodically broadcasts an agent advertisement message including a COA. In addition, the FA 120 records the Core Of Address (COA) obtained by the mobile node 110 in the visitor list and requests registration with the HA 130, and the reverse tunneling flag is applied to the packet received from the mobile node 110. If set, the packet is tunneled and transmitted to the HA 130. Meanwhile, the FA 120 tunnels the tunneled packet destined for the mobile node 110 (ie, restores the original packet) and transmits the tunneled packet to the mobile node 110.

HA(130)는 이동노드(110)의 홈 네트워크에 위치하고, 이동노드(110)로부터 전송된 등록 요청(Registration Request) 메시지를 수신하여 상기 이동노드(110)의 바인딩 리스트를 갱신한다. 상기 바인딩 리스트에는 이동노드(110)의 홈 어드레스, 이동노드(110)의 COA, 이동노드(110)의 VPN G/W(150) 주소, VPN G/W(150)의 인증 승인 여부, 이동노드(110)의 네트워크 접근 식별자(NAI: Network Access Identifier) 등이 저장된다. 또한, HA(130)는 이동노드(110)로 전송되는 패킷을 가로채(intercept), 상기 패킷을 이동노드(110)가 위치하는 FA(120)로 전송한다. 즉, 모바일 인터넷의 특성상 이동노드(110)의 위치가 유동적으므로, 이동노드(110)의 홈 어드레스를 목적지로 설정한 패킷은 우선적으로 이동노드(110)의 HA(130)가 수신하고, HA(130)는 바인딩 리스트를 참조하여 그 패킷을 모바일 노드(110)가 위치한 FA(120)로 전송한다. The HA 130 is located in the home network of the mobile node 110 and receives a Registration Request message transmitted from the mobile node 110 to update the binding list of the mobile node 110. The binding list includes the home address of the mobile node 110, the COA of the mobile node 110, the VPN G / W 150 address of the mobile node 110, whether the VPN G / W 150 is authorized for authentication, and the mobile node. A network access identifier (NAI) of 110 is stored. In addition, the HA 130 intercepts the packet transmitted to the mobile node 110 and transmits the packet to the FA 120 where the mobile node 110 is located. That is, since the position of the mobile node 110 is flexible due to the characteristics of the mobile internet, the packet set with the home address of the mobile node 110 as a destination is first received by the HA 130 of the mobile node 110, and the HA ( 130 refers to the binding list and transmits the packet to the FA 120 where the mobile node 110 is located.

한편, HA(130)는 이동노드(110)로부터 VPN 접속 요청을 수신하면, 상기 이동노드(110)로 VPN G/W(150)의 주소를 리턴(return)한다. 그리고 HA(130)는 VPN 인증 성공된 이동노드(110)로부터 수신한 터널링된 패킷을 디터널링하여 원본 패킷을 복원하여 VPN G/W(150)로 전송한다. 반면, HA(130)는 VPN 인증 성공되지 않은 이동노드(110)가 가설사성망(170)으로 패킷을 전송하면, 그 패킷을 폐기하여 상기 이동노드(110)의 가상사설망(170) 접근을 차단한다. 한편, HA(130)는 리턴된 VPN G/W(150) 주소에 의거하여 VPN 접속 요청한 이동노드(110)의 패킷은 폐기하지 않고, VPN G/W(150)로 전송한다. 아울러, HA(130)는 FA(120)로 전송되는 패킷을 터널링하여 보안성을 유지하며, 등록 응답 메시지를 이용하여 이동노드(110)의 동적 홈 어드레스를 할당할 수도 있다.Meanwhile, when the HA 130 receives the VPN connection request from the mobile node 110, the HA 130 returns the address of the VPN G / W 150 to the mobile node 110. In addition, the HA 130 detunels the tunneled packet received from the mobile node 110 that has successfully authenticated the VPN, restores the original packet, and transmits the original packet to the VPN G / W 150. On the other hand, the HA 130 blocks the access to the virtual private network 170 of the mobile node 110 by discarding the packet when the mobile node 110, which has not succeeded in VPN authentication, transmits the packet to the temporary hypothetical network 170. do. On the other hand, the HA 130 transmits the packet to the VPN G / W 150 without discarding the packet of the mobile node 110 requesting a VPN connection based on the returned VPN G / W 150 address. In addition, the HA 130 tunnels the packet transmitted to the FA 120 to maintain security, and may allocate a dynamic home address of the mobile node 110 using a registration response message.

AAA 서버(140)는 이동노드(110)의 사용자가 적법한 사용자인지 여부 및 VPN 서비스의 가입 유무를 인증하며, 이동노드(110)별 VPN G/W(150) 주소를 저장한다. 즉, AAA 서버(140)는 HA(130)로부터 이동노드(110)의 인증이 요청되면, 상기 이동노드(110)를 인증함과 아울러 그 이동노드(110)의 사용자가 VPN 회원 가입시 등록한 VPN G/W(150) 주소를 추출하여 HA(130)로 전송한다.The AAA server 140 authenticates whether the user of the mobile node 110 is a legitimate user and whether a VPN service is subscribed, and stores the VPN G / W 150 address for each mobile node 110. That is, when the AAA server 140 requests the authentication of the mobile node 110 from the HA 130, the AAA server 140 authenticates the mobile node 110 and the VPN G registered by the user of the mobile node 110 when the user joins the VPN. / W (150) extracts the address and sends it to HA (130).

VPN G/W(150)는 가상사설망(170)의 관문 역할을 수행하며, 웹 인증을 위한 사용자별 IP와 패스워드를 저장한다. 또한, VPN G/W(150)는 다수의 HA(130, 190)와 다이렉트(direct) 연결되어, HA(130, 190)를 통해 검증된 이동노드(110)의 패킷만을 수신한다.The VPN G / W 150 serves as a gateway of the virtual private network 170 and stores a user-specific IP and password for web authentication. In addition, the VPN G / W 150 is directly connected to the plurality of HAs 130 and 190 to receive only the packets of the verified mobile node 110 through the HAs 130 and 190.

도 2는 본 발명의 일 실시예에 따른, 모바일 IP를 이용하여 가상사설망에 접속하는 방법을 설명하는 절차도이다.2 is a flowchart illustrating a method of accessing a virtual private network using a mobile IP according to an embodiment of the present invention.

도 2의 이중 선으로 표시된 부분은 터널링 구간을 나타낸다. 이동노드(110) 가 패킷을 전송한 경우, FA(120)는 터널링 시작점으로 동작하여 상기 수신한 패킷을 터널링하고, HA(130)는 터널링 종단점으로 동작하여 상기 터널링된 패킷을 디터널링하여 원본 패킷으로 복원한다(S211, S215, S219, S227 단계 참조). 마찬가지로, HA(130)가 VPN G/W(150)로부터 패킷을 수신하거나 VPN G/W 주소를 이동노드(110)로 리턴할 경우, HA(130)는 터널링 시작점으로 동작하여 VPN G/W(150)로부터 수신한 패킷 또는 VPN G/W 주소가 리턴된 패킷을 터널링하고, FA(120)는 터널링 종단점으로 동작하여 상기 터널링된 패킷을 디터널링하여 원본 패킷으로 복원한다(S213, S217, S225 단계 참조). The portion indicated by the double line in FIG. 2 represents the tunneling section. When the mobile node 110 transmits a packet, the FA 120 operates as a tunneling start point and tunnels the received packet, and the HA 130 operates as a tunneling end point to detunate the tunneled packet to decode the original packet. To be restored (see steps S211, S215, S219, and S227). Similarly, when the HA 130 receives a packet from the VPN G / W 150 or returns a VPN G / W address to the mobile node 110, the HA 130 acts as a tunneling starting point to the VPN G / W ( Tunnel the packet received from 150 or the packet returned by the VPN G / W address, and the FA 120 operates as a tunneling endpoint to detunnel the tunneled packet to restore the original packet (S213, S217, and S225). Reference).

도 2를 참조하면, 이동노드(110)는 FA(120)가 담당하는 외부 네트워크로 이동 후, 에이전트 광고 메시지를 통해 COA(Core Of Address)를 획득하고 그 COA를 알리는 등록 요청(Registration Request) 메시지를 FA(120)로 전송한다(S201). 이때, 상기 등록 요청 메시지의 패킷에는 역터널링 플래그가 설정되고 이동노드(110)의 네트워크 접근 식별자(NAI)가 기록된다. 그러면, FA(120)는 상기 COA를 방문자 리스트에 기록한 후 그 등록 요청 메시지를 HA(130)로 전송한다(S201). Referring to FIG. 2, the mobile node 110 moves to an external network that is in charge of the FA 120, and then obtains a Core Of Address (COA) through an agent advertisement message and registers a Registration Request message informing the COA. Is transmitted to the FA 120 (S201). In this case, a reverse tunneling flag is set in the packet of the registration request message, and a network access identifier (NAI) of the mobile node 110 is recorded. Then, the FA 120 records the COA in the visitor list and transmits the registration request message to the HA 130 (S201).

다음으로, HA(130)는 수신한 등록 요청 메시지를 참조하여, 상기 이동노드(110)가 상기 FA(120)의 네트워크에 연결되어 있음을 인지하고 이동노드(110)의 바인딩 리스트를 갱신한다. 이어서, HA(130)는 AAA 서버(140)로 이동노드(110)의 네트워크 접근 식별자(NAI)를 전송하여 상기 이동노드(110)의 인증을 요청한다(S203). 그러면, AAA 서버(140)는 상기 네트워크 접근 식별자를 근거로 이동노드(110) 사용자의 적법성 여부 및 VPN 서비스 가입 여부를 인증하고, 성공하면 이 동노드(110)의 VPN G/W(150) 주소를 추출하여 HA(130)로 전송한다(S205). Next, the HA 130 updates the binding list of the mobile node 110 by recognizing that the mobile node 110 is connected to the network of the FA 120 with reference to the received registration request message. Subsequently, the HA 130 transmits a network access identifier (NAI) of the mobile node 110 to the AAA server 140 and requests authentication of the mobile node 110 (S203). Then, the AAA server 140 authenticates whether the mobile node 110 is legitimate and whether the user subscribes to a VPN service based on the network access identifier, and if successful, the VPN G / W 150 address of the mobile node 110. Extract it and send it to HA 130 (S205).

다음으로, HA(130)는 상기 이동노드(110)의 VPN G/W(150) 주소, COA, 네트워크 접근 식별자(NAI), 홈 어드레스를 바인딩 리스트에 저장하고, 이동노드(110)로 등록 응답(registration Response) 메시지를 전송한다(S207, S209). 만약, 이동노드(110)가 고정 홈 어드레스를 사용하지 않으면, 예컨대 등록 요청 메시지에 홈 어드레스 주소가 기록되지 않으면, HA(130)는 동적 홈 어드레스가 할당하여 바인딩 리스트에 저장하고, 그 홈 어드레스를 상기 등록 응답 메시지에 기록하여 이동노드(110)로 전송할 수 있다.Next, the HA 130 stores the VPN G / W 150 address, the COA, the network access identifier (NAI), and the home address of the mobile node 110 in a binding list, and registers with the mobile node 110. (registration response) message is transmitted (S207, S209). If the mobile node 110 does not use the fixed home address, for example, if the home address address is not recorded in the registration request message, the HA 130 allocates the dynamic home address and stores it in the binding list, and stores the home address. The message may be recorded in the registration response message and transmitted to the mobile node 110.

등록 응답 메시지를 수신한 이동노드(110)는 웹 브라우저를 실행하여 VPN 접속을 시도한다(S211). 이때, 이동노드(110)는 역터널링 플래그가 설정된 패킷을 FA(120)로 전송하고, FA(120)는 수신한 패킷에 역터널링 플래그 설정되어있음을 인지하여 상기 패킷을 터널링하여 모바일 노드(110)의 HA(130)로 전송한다. 그러면, HA(130)는 터널링된 패킷을 디터널링하여 원본 패킷을 복원하고, S207 단계에 저장한 이동노드(110)의 VPN G/W(150) 주소를 추출한 후, 그 VPN G/W(150) 주소가 리턴(return)된 패킷을 터널링하여 FA(120)로 전송한다(S213). Upon receiving the registration response message, the mobile node 110 attempts a VPN connection by executing a web browser (S211). At this time, the mobile node 110 transmits the packet having the reverse tunneling flag set to the FA 120, and the FA 120 recognizes that the reverse tunneling flag is set in the received packet and tunnels the packet to the mobile node 110. ) To the HA 130. Then, the HA 130 restores the original packet by detuning the tunneled packet, extracts the VPN G / W 150 address of the mobile node 110 stored in step S207, and then the VPN G / W 150. ) Tunnels the packet whose address is returned and transmits it to the FA 120 (S213).

이어서, FA(120)는 상기 터널링된 패킷을 디터널링하여 원본 패킷을 복원하여 이동노드(110)로 전송한다. 상기 VPN G/W(150) 주소가 리턴된 패킷을 수신한 이동노드(110)는 웹 브라우저상에서 자동으로 VPN G/W(150)로 접속을 시도한다(S215). 이때, 이동노드(110)는 역터널링 플래그가 설정된 패킷을 FA(120)로 전송하고, FA(120)는 상기 패킷을 터널링하여 HA(130)로 전송한다. 이어서, 상기 패 킷을 수신한 HA(130)는 패킷을 디터널링한 후 원본 패킷을 복원하고, 이동노드(110)가 리턴된 주소에 의하여 VPN G/W(150)로 접속을 시도함을 인지하여 상기 패킷을 폐기하지 않고 VPN G/W(150)로 전송한다. Subsequently, the FA 120 detunels the tunneled packet to recover the original packet and transmits the original packet to the mobile node 110. The mobile node 110 receives the packet from which the VPN G / W 150 address is returned and attempts to connect to the VPN G / W 150 automatically on a web browser (S215). At this time, the mobile node 110 transmits the packet having the reverse tunneling flag set to the FA 120, and the FA 120 transmits the tunneled packet to the HA 130. Subsequently, the HA 130 receiving the packet recovers the original packet after detuning the packet, and recognizes that the mobile node 110 attempts to connect to the VPN G / W 150 based on the returned address. The packet is transmitted to the VPN G / W 150 without discarding the packet.

이동노드(110)의 접속 요청을 수신한 VPN G/W(150)는 상기 이동노드(110)로 웹 인증을 위한 패킷을 전송한다(S217). 그런데, 모바일 인터넷의 특성상 상기 패킷은 이동노드(110)의 HA(130)로 전송되고, HA(130)는 바인딩 리스트를 참조하여 이동노드(110)의 COA를 할당한 FA(120)로 패킷을 터널링하여 전송한다. 그리고 FA(130)는 상기 터널링된 패킷을 디터널링하여 복원하여 이동노드(110)로 전송한다.The VPN G / W 150 receiving the access request of the mobile node 110 transmits a packet for web authentication to the mobile node 110 (S217). However, due to the characteristics of the mobile Internet, the packet is transmitted to the HA 130 of the mobile node 110, and the HA 130 sends the packet to the FA 120 which assigned the COA of the mobile node 110 with reference to the binding list. Tunnel and transmit. The FA 130 transmits the tunneled packet by detuning and restoring the tunneled packet to the mobile node 110.

다음으로, 이동노드(110)는 웹 페이지 상에서 사용자로부터 입력받은 ID와 패스워드를 VPN G/W(150)로 전송한다(S219). 상기 패킷 흐름 및 터널링 시작점과 종단점은 S215 단계와 같다. 그러면, VPN G/W(150)는 상기 ID와 패스워드의 일치 여부를 인증하고, 인증 실패 또는 인증 성공 메시지를 이동노드(110)로 전송한다(S221). 이때, HA(130)는 상기 메시지를 가로채(intercept), VPN 인증 성공 여부를 확인하고 성공한 경우, 이동노드(110)의 VPN 인증성공 정보를 바인딩 리스트에 저장한다(S223). 이어서, HA(130)는 바인딩 리스트를 참조하여 가상사설망(170)의 인증 성공 패킷을 터널링하여 FA(120)로 전송하고, FA(120)는 상기 메시지를 디터널링하여 복원한 원본 패킷을 이동노드(110)로 전송한다(S225). Next, the mobile node 110 transmits the ID and password received from the user on the web page to the VPN G / W 150 (S219). The packet flow and tunneling start and end points are the same as in step S215. Then, the VPN G / W 150 authenticates whether the ID and password match, and transmits an authentication failure or authentication success message to the mobile node 110 (S221). In this case, the HA 130 intercepts the message, checks whether the VPN authentication is successful, and if successful, stores the VPN authentication success information of the mobile node 110 in the binding list (S223). Subsequently, the HA 130 tunnels the authentication success packet of the virtual private network 170 to the FA 120 with reference to the binding list, and the FA 120 detunals the message and restores the original packet to the mobile node. Transmit to 110 (S225).

인증 성공 패킷을 수신한 이동노드(110)는 S215 단계와 같은 터널링을 거쳐 사용자 조작에 따른 패킷을 HA(130)로 전송하고, HA(130)는 상기 이동노드(110)의 바인딩 리스트에 VPN 인증 성공 정보가 기록되어 있음을 확인하여 터널링된 패킷을 디터널링하여 원본 패킷을 복원한 후, 그 패킷을 VPN G/W(150)로 전송한다(S227). 즉, HA(130)는 이동노드(110)의 바인딩 리스트에 VPN 인증 성공 정보가 저장된 경우, 이동노드(110)로부터 수신되는 패킷을 폐기하지 않고 VPN G/W(150)에 전송하여, 이동노드(110)의 가상사설망(170) 접근을 허락한다.The mobile node 110 receiving the authentication success packet transmits the packet according to the user's operation to the HA 130 through tunneling as in step S215, and the HA 130 performs VPN authentication on the binding list of the mobile node 110. After confirming that the success information is recorded, detuning the tunneled packet to restore the original packet, the packet is transmitted to the VPN G / W 150 (S227). That is, when the HA 130 stores the VPN authentication success information in the binding list of the mobile node 110, the HA 130 transmits the packet received from the mobile node 110 to the VPN G / W 150 without discarding the packet. Allow access to the virtual private network 170 of 110.

도 3은 본 발명의 다른 실시예에 따른, 모바일 IP를 이용하여 가상사설망에 접속하는 시스템의 구성을 나타내는 도면이다.3 is a diagram illustrating a configuration of a system for accessing a virtual private network using a mobile IP according to another embodiment of the present invention.

도 3에서 도 1과 동일한 참조 부호를 나타내는 각 구성 요소는 상기 도 1을 참조한 설명과 동일한 역할을 수행하므로, 도 3을 참조한 설명에서는 도 1과의 차이점을 중심으로 설명하고 중복되는 설명은 생략한다. 또한, 도 3 및 도 4를 참조한 설명에서 모바일 라우터(180)는 다른 외부 네트워크로 이동되지 않고 모바일 라우터(180)의 홈 네트워크에 위치하는 것으로 가정하여 설명한다.In FIG. 3, each component having the same reference numeral as that in FIG. 1 performs the same role as the description with reference to FIG. 1, and thus, descriptions with reference to FIG. 3 will be described based on differences from FIG. 1 and redundant descriptions will be omitted. . 3 and 4, it is assumed that the mobile router 180 is located in the home network of the mobile router 180 without moving to another external network.

모바일 라우터(180, Mobile Router)는 카페, 차량 등에 설치되어 그 지역에 위치한 이동노드(110)로 무선 인터넷 서비스를 제공한다. 특히, 모바일 라우터(180)는 이동노드(110)의 IP를 할당하고, 상기 IP의 할당 정보를 저장한다. 또한, 모바일 라우터(180)는 이동노드(110)로부터 전송한 패킷을 터널링하여 모바일 라우터의 HA(190)로 전송하고, 모바일 라우터의 HA(190)로부터 수신한 이동노드(110)로 향하는 패킷을 디터널링하여 이동노드(110)로 전송한다.The mobile router 180 is installed in a cafe, a vehicle, and the like to provide a wireless Internet service to the mobile node 110 located in the area. In particular, the mobile router 180 allocates an IP of the mobile node 110 and stores allocation information of the IP. In addition, the mobile router 180 tunnels the packet transmitted from the mobile node 110 to the HA 190 of the mobile router, and transmits the packet destined for the mobile node 110 received from the HA 190 of the mobile router. Detuning and transmitting to the mobile node (110).

모바일 라우터의 HA(190, Mobile Router Home Agent, 이하 "MR의 HA"라 칭함)는 모바일 라우터(180)의 홈 네트워크에 위치하고, 상기 모바일 라우터(180)의 바인딩 리스트를 저장 및 관리한다. 특히, MR의 HA(190)는 이동노드(110)가 최초 발신지이며 역터널링 플래그가 설정된 패킷을 모바일 라우터(180)로부터 수신하면, 상기 패킷을 이동노드의 HA(130)로 전송한다.The HA of the mobile router 190 (hereinafter referred to as "HA of MR") is located in the home network of the mobile router 180 and stores and manages the binding list of the mobile router 180. In particular, the HA 190 of the MR transmits the packet to the HA 130 of the mobile node when the mobile node 110 receives the packet from the mobile router 180 that is the first source and the reverse tunneling flag is set.

도 4는 본 발명의 다른 실시예에 따른, 모바일 IP를 이용하여 가상사설망에 접속하는 방법을 설명하는 절차도이다.4 is a flowchart illustrating a method of accessing a virtual private network using a mobile IP according to another embodiment of the present invention.

도 4의 이중 선으로 표시된 부분은 터널링 구간을 나타낸다. 이동노드(110)가 패킷을 전송한 경우, 모바일 라우터(180)는 터널링 시작점으로 동작하여 상기 수신한 패킷을 터널링하고, MN의 HA(130)는 터널링 종단점으로 동작하여 상기 터널링된 패킷을 디터널링하여 원본 패킷으로 복원한다(S413, S417, S421, S429 단계 참조). 마찬가지로, MN의 HA(130)가 VPN G/W(150)로부터 패킷을 수신하거나 VPN G/W 주소를 이동노드(110)로 리턴할 경우, MN의 HA(130)는 터널링 시작점으로 동작하여 VPN G/W(150)로부터 수신한 패킷 또는 VPN G/W 주소가 리턴된 패킷을 터널링하고, 모바일 라우터(180)는 터널링 종단점으로 동작하여 상기 터널링된 패킷을 디터널링하여 원본 패킷으로 복원한다(S415, S419, S427 단계 참조). The portion indicated by the double line in FIG. 4 represents the tunneling section. When the mobile node 110 transmits a packet, the mobile router 180 operates as a tunneling start point to tunnel the received packet, and the HA 130 of the MN acts as a tunneling endpoint to detunnel the tunneled packet. To restore the original packet (see steps S413, S417, S421, and S429). Similarly, when the HA 130 of the MN receives a packet from the VPN G / W 150 or returns a VPN G / W address to the mobile node 110, the HA 130 of the MN acts as a tunneling starting point to the VPN. Tunnel the packet received from the G / W 150 or the packet returned by the VPN G / W address, and the mobile router 180 operates as a tunneling endpoint to detunnel the tunneled packet to restore the original packet (S415). , Steps S419, S427).

이하, 도 4는 도 2와 터널링 시작점과 종단점만이 상이하고 터널링 과정과 디터널링 과정은 같으므로, 도 4를 참조한 설명에서는 터널링 및 디터널링의 설명은 생략한다.In FIG. 4, only the tunneling start point and the end point are different from FIG. 2, and the tunneling process and the detuning process are the same. Therefore, in the description with reference to FIG. 4, the description of tunneling and detuning will be omitted.

도 4를 참조하면, 이동노드(110)는 모바일 라우터(180)로 접속하여 사설 IP를 할당받는다(S401). 이어서, 이동노드(110)는 역터널링 플래그가 설정된 등록 요청 메시지를 MN의 HA(130)로 전송한다(S403). 이때, 이동노드(110)는 상기 등록 요 청 메시지에 네트워크 접근 식별자(NAI)를 부가하여 MN의 HA(130)로 전송하고, 상기 역터널링 플래그 설정에 따라 등록 요청 메시지는 모바일 라우터(180)와 MR의 HA(190)를 경유하여 MN의 HA(130)로 전송된다. 한편, 모바일 라우터(180)는 이동노드(110)로부터 등록 요청 메시지를 수신하면, 그 등록 요청 메시지의 COA를 자신의 홈 어드레스로 설정하여 MN의 HA(130)로 전송하며, MN의 HA(130)는 상기 모바일 라우터(180)의 홈 어드레스를 이동노드(110)의 COA로 인식한다.4, the mobile node 110 is connected to the mobile router 180 is assigned a private IP (S401). Subsequently, the mobile node 110 transmits a registration request message with the reverse tunneling flag set to the HA 130 of the MN (S403). At this time, the mobile node 110 adds a network access identifier (NAI) to the registration request message and transmits it to the HA 130 of the MN, and the registration request message is transmitted to the mobile router 180 according to the reverse tunneling flag setting. It is transmitted to HA 130 of MN via HA 190 of MR. On the other hand, when the mobile router 180 receives the registration request message from the mobile node 110, it sets the COA of the registration request message to its home address and transmits it to the HA 130 of the MN, and the HA 130 of the MN. ) Recognizes the home address of the mobile router 180 as the COA of the mobile node 110.

상기 등록 요청 메시지를 수신한 MN의 HA(130)는 AAA 서버(140)로 이동노드(110)의 네트워크 접근 식별자(NAI)를 전송하여 이동노드(110)의 인증을 요청한다(S405). 다음으로, AAA 서버(140)는 상기 네트워크 접근 식별자를 근거로 이동노드(110)를 인증하여, 인증에 성공하면 상기 이동노드(110)가 접근 가능한 VPN G/W(150) 주소를 추출하여 MN의 HA(130)로 전송한다(S407). 그러면, MN의 HA(130)는 상기 이동노드(110)의 VPN G/W(150) 주소, COA(즉, 모바일 라우터의 홈 어드레스), 네트워크 접근 식별자, 홈 어드레스를 바인딩 리스트에 저장하고, 이동노드(110)로 등록 응답(registration Response) 메시지를 전송한다(S409, S411). 이때, MR의 HA(190)는 상기 등록 응답 메시지를 가로채(intercept), 바인딩 리스트를 참조하여 상기 메시지를 이동노드(110)가 접속되어 있는 모바일 라우터(180)로 전송한다. 아울러, MR의 HA(190)는 모바일 라우터(180)로 향하는 등록 응답 메시지를 가로채, 바인딩 리스트를 참조하여 그 메시지를 모바일 라우터(180)로 전송하고, 모바일 라우터(180)는 등록 응답 메시지를 이동 노드(110)로 전송한다.The HA 130 of the MN receiving the registration request message transmits a network access identifier (NAI) of the mobile node 110 to the AAA server 140 and requests authentication of the mobile node 110 (S405). Next, the AAA server 140 authenticates the mobile node 110 based on the network access identifier. If the authentication succeeds, the AAA server 140 extracts the VPN G / W 150 address accessible by the mobile node 110 to the MN. It is transmitted to the HA 130 (S407). Then, the HA 130 of the MN stores the VPN G / W 150 address, the COA (ie, the home address of the mobile router), the network access identifier, and the home address of the mobile node 110 in a binding list, A registration response message is transmitted to the node 110 (S409 and S411). At this time, the HA 190 of the MR intercepts the registration response message and transmits the message to the mobile router 180 to which the mobile node 110 is connected by referring to the binding list. In addition, the HA 190 of the MR intercepts the registration response message directed to the mobile router 180 and transmits the message to the mobile router 180 by referring to the binding list, and the mobile router 180 sends the registration response message. Transmit to mobile node 110.

등록 응답 메시지를 수신한 이동노드(110)는 웹 브라우저를 실행하여 VPN 접 속을 시도할 수 있다(S413). 이때, 이동노드(110)는 역터널링 플래그가 설정된 패킷을 전송하고, 역터널링 플래그 설정에 따라 상기 패킷은 MR의 HA(190)를 경유하여 MN의 HA(130)로 전송된다. 그러면, VPN 접속 요청을 수신한 MN의 HA(130)는 S409 단계에 저장한 VPN G/W(150) 주소를 추출하고, 그 VPN G/W(150) 주소가 리턴(return)된 패킷을 이동노드(110)로 전송한다(S415). Receiving the registration response message, the mobile node 110 may attempt to access a VPN by executing a web browser (S413). At this time, the mobile node 110 transmits a packet having the reverse tunneling flag set, and the packet is transmitted to the HA 130 of the MN via the HA 190 of the MR according to the reverse tunneling flag. Then, the HA 130 of the MN receiving the VPN connection request extracts the VPN G / W 150 address stored in step S409, and moves the packet whose VPN G / W 150 address is returned. Transmit to node 110 (S415).

상기 VPN G/W(150) 주소가 리턴된 패킷을 수신한 이동노드(110)는 웹 브라우저상에서 자동으로 VPN G/W(150)로 접속을 시도한다(S417). 이때, 상기 VPN G/W(150)로 접속을 시도하는 이동노드(110)의 패킷은 모바일 라우터(180), MR의 HA(190)을 경유하여 MN의 HA(130)로 전송된다. 그리고 MN의 HA(130)는 상기 패킷을 디터널링한 후 원본 패킷을 복원하고, 그 패킷에 리턴된 주소에 따라 이동노드(110)가 VPN G/W(150)로 접속을 시도함을 인지하여 상기 패킷을 폐기하지 않고 VPN G/W(150)로 전송한다. The mobile node 110 receives the packet from which the VPN G / W 150 address is returned and attempts to connect to the VPN G / W 150 automatically on a web browser (S417). At this time, the packet of the mobile node 110 attempting to connect to the VPN G / W 150 is transmitted to the HA 130 of the MN via the mobile router 180 and the HA 190 of the MR. The HA 130 of the MN recovers the original packet after detuning the packet, and recognizes that the mobile node 110 attempts to access the VPN G / W 150 according to the address returned to the packet. The packet is transmitted to the VPN G / W 150 without discarding the packet.

그러면, VPN G/W(150)는 상기 이동노드(110)로 웹 인증을 요청하는 패킷을 전송한다(S419). 다음으로, 이동노드(110)는 웹 페이지 상에서 사용자로부터 입력받은 ID와 패스워드를 VPN G/W(150)로 전송한다(S421). 이어서, VPN G/W(150)는 상기 ID와 패스워드의 일치 여부를 인증하고, 인증 실패 또는 인증 성공 메시지를 이동노드(110)로 전송한다(S423). 이때, MN의 HA(130)는 상기 메시지를 가로채(intercept), VPN 인증 성공 여부를 확인하고 성공한 경우, 이동노드(110)의 VPN 인증성공 정보를 바인딩 리스트에 저장한다(S425). 이어서, MN의 HA(130)는 상기 인증 성공 메시지를 이동노드(110)로 전송한다(S427). 인증 성공 메시지를 수신한 이동노드(110)는 사용자 조작에 따른 패킷을 VPN G/W(150)로 전송함으로써, 가상사설망(170)에 접근한다(S429). Then, the VPN G / W 150 transmits a packet for requesting web authentication to the mobile node 110 (S419). Next, the mobile node 110 transmits the ID and password received from the user on the web page to the VPN G / W 150 (S421). Subsequently, the VPN G / W 150 authenticates whether the ID and password match, and transmits an authentication failure or authentication success message to the mobile node 110 (S423). At this time, the HA 130 of the MN intercepts the message, checks whether the VPN authentication is successful, and if successful, stores the VPN authentication success information of the mobile node 110 in the binding list (S425). Subsequently, the HA 130 of the MN transmits the authentication success message to the mobile node 110 (S427). Receiving the authentication success message, the mobile node 110 accesses the virtual private network 170 by transmitting a packet according to a user operation to the VPN G / W 150 (S429).

도 5는 본 발명의 일 실시예에 따른, 홈 에이전트의 구성을 나타내는 도면이다.5 is a diagram illustrating a configuration of a home agent according to an embodiment of the present invention.

도 5에 도시된 바와 같이 본 발명의 일 실시예에 따른 홈 에이전트(130, 190)는, 저장부(510), 메시지 처리부(520), 패킷 송수신부(530) 및 터널링부(540)를 포함한다. As shown in FIG. 5, the home agents 130 and 190 according to an exemplary embodiment of the present invention include a storage unit 510, a message processor 520, a packet transceiver 530, and a tunneling unit 540. do.

저장부(510)는 이동노드(110)의 홈 어드레스, COA, VPN G/W(150) 주소, VPN G/W(150)의 인증 승인 여부, 네트워크 접근 식별자(NAI: Network Access Identifier) 등이 기록된 바인딩 리스트를 저장한다.The storage unit 510 may include a home address of the mobile node 110, a COA, a VPN G / W 150 address, whether the VPN G / W 150 is authorized for authentication, a network access identifier (NAI), and the like. Save the recorded binding list.

메시지 처리부(520)는 이동노드(110)로부터 등록 요청 메시지를 수신하여, AAA 서버(140)로 이동노드(110)의 네트워크 접근 식별자를 전송하여 상기 이동노드(110)의 인증을 요청하고 그 인증 결과를 수신한다. 아울러, 메시지 처리부(520)는 인증 완료된 이동노드(110)의 VPN G/W(150) 주소, COA, 네트워크 접근 식별자(NAI), 홈 어드레스를 저장부(510)의 바인딩 리스트에 저장하고, 이동노드(110)로 등록 응답(registration Response) 메시지를 전송한다. 한편, 메시지 처리부(520)는 등록 요청 메시지에 이동노드(110)의 홈 어드레스가 기록되지 않으면, 상기 이동노드(110)의 동적 홈 어드레스를 할당할 수 있다.The message processing unit 520 receives a registration request message from the mobile node 110, transmits a network access identifier of the mobile node 110 to the AAA server 140, requests authentication of the mobile node 110, and then authenticates the mobile node 110. Receive the result. In addition, the message processing unit 520 stores the VPN G / W 150 address, the COA, the network access identifier (NAI), and the home address of the authenticated mobile node 110 in the binding list of the storage unit 510, and moves them. The node 110 transmits a registration response message. Meanwhile, if the home address of the mobile node 110 is not recorded in the registration request message, the message processor 520 may allocate the dynamic home address of the mobile node 110.

패킷 송수신부(530)는 이동노드(110)로부터 가상사설망(170)을 향하는 패킷을 수신하면, 저장부(510)의 바인딩 리스트에서 상기 이동노드(110)의 VPN 인증 여 부를 확인하고 인증되지 않은 경우, 상기 패킷을 폐기한다. 반면, 패킷 송수신부(530)는 저장부(510)의 바인딩 리스트에 VPN 인증성공 정보가 기록된 경우, 상기 가상사설망(170)으로 향하는 이동노드(110)의 패킷을 VPN G/W(150)로 전송한다. When the packet transceiver 530 receives a packet destined for the virtual private network 170 from the mobile node 110, the packet transceiver 530 checks whether the mobile node 110 is VPN-authenticated in the binding list of the storage unit 510 and has not been authenticated. If so, discard the packet. On the other hand, when the VPN authentication success information is recorded in the binding list of the storage unit 510, the packet transmitting / receiving unit 530 sends a packet of the mobile node 110 directed to the virtual private network 170 to the VPN G / W 150. To send.

또한, 패킷 송수신부(530)는 등록 완료된 이동노드(110)로부터 VPN 접속 요청을 수신하면, 저장부(510)의 바인딩 리스트에서 상기 이동노드(110)의 VPN G/W(150) 주소를 추출하여 그 주소가 리턴된 패킷을 이동노드(110)가 위치한 FA(120) 전송한다. 한편, 패킷 송수신부(530)는 VPN 인증성공 정보가 저장부(510)의 바인딩 리스트에 기록되지 않더라도, 리턴된 VPN G/W(150) 주소로 의거하여 VPN 접속 요청된 이동노드(110)의 패킷은 폐기하지 않고, 그 패킷을 VPN G/W(150)로 전송한다. 또한, 패킷 송수신부(530)는 VPN G/W(150)로부터 이동노드(110)의 인증성공 정보를 수신하면, 저장부(510)의 바인딩 리스트에 상기 이동노드(110)의 VPN 인증성공 정보를 저장하고 이동노드(110)가 위치한 FA(120)로 VPN 인증이 완료되었음을 알리는 패킷을 전송한다. In addition, when the packet transceiver 530 receives a VPN connection request from the registered mobile node 110, the packet transceiver 530 extracts the VPN G / W 150 address of the mobile node 110 from the binding list of the storage 510. Then, the packet whose address is returned is transmitted to the FA 120 in which the mobile node 110 is located. Meanwhile, even if the VPN authentication success information is not recorded in the binding list of the storage unit 510, the packet transceiver 530 may determine that the mobile node 110 requested for the VPN connection is based on the returned VPN G / W 150 address. The packet is not discarded, and the packet is transmitted to the VPN G / W 150. In addition, when the packet transceiver 530 receives the authentication success information of the mobile node 110 from the VPN G / W 150, the VPN authentication success information of the mobile node 110 appears in the binding list of the storage unit 510. Store the packet and transmits a packet indicating that VPN authentication is completed to the FA 120 where the mobile node 110 is located.

터널링부(540)는 패킷 송수신부(530)에서 수신한 터널링된 패킷을 디터널링하여 원본 패킷으로 복원한다. 또한, 터널링부(540)는 VPN G/W(150) 주소가 리턴된 패킷 또는 패킷 송수신부(530)에서 VPN G/W(150)로부터 수신된 패킷을 터널링하여 보안을 유지한다.The tunneling unit 540 detunels the tunneled packet received by the packet transceiver unit 530 and restores the original packet. In addition, the tunneling unit 540 tunnels the packet from which the VPN G / W 150 address is returned or the packet received from the VPN G / W 150 by the packet transmitting / receiving unit 530 to maintain security.

상술한 실시예에 따르면, 본 발명은 종래의 모바일 인터넷에서 가상사설망을 접근하는 시스템보다 보다 간편화된 가상사설망 접속 시스템을 제공한다. 또한, 이동노드(110)는 가상사설망(170)의 접근에 필요한 IP를 할당받지 않고도, VPN G/W(150)와 연결된 이동노드(110)의 HA(130)로 패킷을 전송하여 가상사설망(170)에 접근할 수 있다. 또한, 본 발명은 사용자가 VPN G/W(150)의 주소를 인지하지 못하더라도, 이동노드(110)의 HA(130)에서 리턴되는 VPN G/W(150)의 주소를 통하여 가상사설망(170)에 접근할 수 있다.According to the above-described embodiment, the present invention provides a more simplified virtual private network access system than a system for accessing a virtual private network in the conventional mobile Internet. In addition, the mobile node 110 transmits a packet to the HA 130 of the mobile node 110 connected to the VPN G / W 150 without receiving an IP required for access of the virtual private network 170. 170). In addition, the present invention, even if the user does not know the address of the VPN G / W 150, virtual private network 170 through the address of the VPN G / W 150 returned from the HA 130 of the mobile node 110 ) Can be accessed.

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.The method of the present invention as described above may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form. Since this process can be easily implemented by those skilled in the art will not be described in more detail.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by the drawings.

본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시예를 예시하는 것이며, 전술하는 발명의 상세한 설명과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되어서는 아니된다.The following drawings, which are attached to this specification, illustrate exemplary embodiments of the present invention, and together with the detailed description of the present invention, serve to further understand the technical spirit of the present invention. It should not be construed as limited to.

도 1은 본 발명의 일 실시예에 따른, 모바일 IP를 이용하여 가상사설망에 접속하는 시스템의 구성을 나타내는 도면이다.1 is a diagram illustrating a configuration of a system for accessing a virtual private network using a mobile IP according to an embodiment of the present invention.

도 2는 본 발명의 일 실시예에 따른, 모바일 IP를 이용하여 가상사설망에 접속하는 방법을 설명하는 절차도이다.2 is a flowchart illustrating a method of accessing a virtual private network using a mobile IP according to an embodiment of the present invention.

도 3은 본 발명의 다른 실시예에 따른, 모바일 IP를 이용하여 가상사설망에 접속하는 시스템의 구성을 나타내는 도면이다.3 is a diagram illustrating a configuration of a system for accessing a virtual private network using a mobile IP according to another embodiment of the present invention.

도 4는 본 발명의 다른 실시예에 따른, 모바일 IP를 이용하여 가상사설망에 접속하는 방법을 설명하는 절차도이다.4 is a flowchart illustrating a method of accessing a virtual private network using a mobile IP according to another embodiment of the present invention.

도 5는 본 발명의 일 실시예에 따른, 홈 에이전트의 구성을 나타내는 도면이다.5 is a diagram illustrating a configuration of a home agent according to an embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

110 : 이동노드 120 : FA110: moving node 120: FA

130 : 이동노드의 HA 140 : AAA 서버130: HA 140 of the mobile node: AAA server

150 : VPN 게이트웨이 180 : 모바일 라우터150: VPN Gateway 180: Mobile Router

190 : 모바일 라우터의 HA190: HA of mobile router

Claims (9)

모바일 IP를 이용한 가상사설망 접속 방법으로서,As a virtual private network connection method using mobile IP, (a) 이동노드로부터 모바일 IP 등록 요청을 수신하는 단계;(a) receiving a mobile IP registration request from a mobile node; (b) 상기 이동노드의 가상사설망 게이트웨이 주소를 확인하고, 상기 이동노드의 모바일 IP와 가상사설망 게이트웨이 주소를 바인딩 리스트에 기록하는 단계;(b) checking the virtual private network gateway address of the mobile node and recording the mobile IP and the virtual private network gateway address of the mobile node in a binding list; (c) 상기 이동노드로부터 가상사설망 접속 요청을 수신하면 상기 바인딩 리스트에서 상기 이동노드의 가상사설망 게이트웨이 주소를 추출하여 상기 이동노드로 리턴(return)하는 단계; (c) extracting a virtual private network gateway address of the mobile node from the binding list and returning to the mobile node when receiving the virtual private network connection request from the mobile node; (d) 상기 리턴된 가상사설망 게이트웨이 주소로 접속한 이동노드에 대한 가상사설망 인증 결과를 상기 가상사설망 게이트웨이로부터 수신하여 상기 바인딩 리스트에 기록하는 단계; 및(d) receiving a virtual private network authentication result for the mobile node connected to the returned virtual private network gateway address from the virtual private network gateway and recording the result in the binding list; And (e) 상기 바인딩 리스트에 기록된 가상사설망 인증 결과에 근거하여, 상기 이동노드로부터 수신된 데이터를 상기 가상사설망 게이트웨이로 전송하거나 폐기 처분하는 단계;를 포함하는 가상사설망 접속 방법.(e) transmitting or discarding the data received from the mobile node to the virtual private network gateway based on the virtual private network authentication result recorded in the binding list. 삭제delete 제 1 항에 있어서,The method of claim 1, 상기 (b) 단계는,In step (b), 상기 이동노드의 네트워크 접근 식별자(NAI)를 AAA 서버로 전송하여 상기 가상사설망 게이트웨이 주소를 수신하는 것을 특징으로 하는 가상사설망 접속 방법.And transmitting the network access identifier (NAI) of the mobile node to an AAA server to receive the virtual private network gateway address. 제 1 항에 있어서,The method of claim 1, 상기 이동노드는 역터널링 플래그가 설정된 데이터를 전송하는 것을 특징으로 하는 가상사설망 접속 방법.And the mobile node transmits data having a reverse tunneling flag set. 제 1 항에 있어서,The method of claim 1, 상기 이동노드와 홈 에이전트 사이의 송수신되는 데이터는 터널링 처리되는 것을 특징으로 하는 가상사설망 접속 방법.And the data transmitted and received between the mobile node and the home agent are tunneled. 모바일 IP를 이용한 가상사설망 접속 장치로서,A virtual private network access device using mobile IP, 바인딩 리스트를 저장하는 저장부;A storage unit for storing a binding list; 모바일 IP 등록 요청된 이동노드의 가상사설망 게이트웨이 주소를 확인하여 상기 이동노드의 모바일 IP와 가상사설망 게이트웨이 주소를 상기 바인딩 리스트에 기록하는 메시지 처리부; 및A message processing unit which checks the virtual private network gateway address of the mobile node for which mobile IP registration is requested and records the mobile IP and virtual private network gateway address of the mobile node in the binding list; And 상기 이동노드로부터 가상사설망 접속 요청을 수신하면 상기 이동노드의 가상사설망 게이트웨이 주소를 상기 바인딩 리스트에서 추출하여 상기 이동노드로 리턴(return)하고, 상기 리턴된 주소로 접속한 상기 이동노드에 대한 가상사설망 인증 결과를 상기 가상사설망 게이트웨이로부터 수신하여 상기 바인딩 리스트에 기록하고, 상기 가상사설망 인증 결과에 근거하여 상기 이동노드의 데이터를 상기 가상사설망 게이트웨이로 전송하거나 폐기 처분하는 데이터 송수신부;를 포함하는 가상사설망 접속 장치.Upon receiving the virtual private network access request from the mobile node, the virtual private network gateway address of the mobile node is extracted from the binding list and returned to the mobile node, and the virtual private network for the mobile node connected to the returned address. And a data transmission / reception unit configured to receive an authentication result from the virtual private network gateway, record the binding result in the binding list, and transmit or discard the data of the mobile node to the virtual private network gateway based on the virtual private network authentication result. Connecting device. 삭제delete 제 6 항에 있어서,The method of claim 6, 상기 메시지 처리부는,The message processing unit, 상기 이동노드의 네트워크 접근 식별자(NAI)를 AAA 서버로 전송하여 상기 가상사설망 게이트웨이 주소를 수신하는 것을 특징으로 하는 가상사설망 접속 장치.And transmitting the network access identifier (NAI) of the mobile node to an AAA server to receive the virtual private network gateway address. 제 6 항에 있어서,The method of claim 6, 상기 이동노드로 전송하는 데이터를 터널링하고, 상기 이동노드로부터 수신한 터널링된 데이터를 디터널링하는 터널링부;를 더 포함하는 가상사설망 접속 장치.And a tunneling unit tunneling data transmitted to the mobile node and detuning the tunneled data received from the mobile node.
KR1020080072050A 2008-07-24 2008-07-24 System and method for connecting virtual private network by mobile ip KR100996570B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080072050A KR100996570B1 (en) 2008-07-24 2008-07-24 System and method for connecting virtual private network by mobile ip

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080072050A KR100996570B1 (en) 2008-07-24 2008-07-24 System and method for connecting virtual private network by mobile ip

Publications (2)

Publication Number Publication Date
KR20100011016A KR20100011016A (en) 2010-02-03
KR100996570B1 true KR100996570B1 (en) 2010-11-24

Family

ID=42085532

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080072050A KR100996570B1 (en) 2008-07-24 2008-07-24 System and method for connecting virtual private network by mobile ip

Country Status (1)

Country Link
KR (1) KR100996570B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190003258A (en) 2017-06-30 2019-01-09 주식회사 아라드네트웍스 METHOD AND APPARATUS FOR CONTROLLING IoT DEVICE USING IP TUNNELING

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020015396A1 (en) 2000-08-05 2002-02-07 Samsung Electronics Co., Ltd. Packet transmission method for mobile internet
US20040037260A1 (en) 2002-08-09 2004-02-26 Mitsuaki Kakemizu Virtual private network system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020015396A1 (en) 2000-08-05 2002-02-07 Samsung Electronics Co., Ltd. Packet transmission method for mobile internet
US20040037260A1 (en) 2002-08-09 2004-02-26 Mitsuaki Kakemizu Virtual private network system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190003258A (en) 2017-06-30 2019-01-09 주식회사 아라드네트웍스 METHOD AND APPARATUS FOR CONTROLLING IoT DEVICE USING IP TUNNELING

Also Published As

Publication number Publication date
KR20100011016A (en) 2010-02-03

Similar Documents

Publication Publication Date Title
KR100979616B1 (en) Combining ip and cellular mobility
CN100547979C (en) Be used to utilize mobile IP to connect the method for mobile node and VPN (virtual private network)
CN101848513B (en) Method for switching WiFi access network to WiMAX access network and related equipment
JP2002520923A (en) Authentication system and method in mobile communication system
WO2017167153A1 (en) Mobile communication system and paging method
JP7389870B2 (en) Network access service system and method
CN104125554A (en) Communication method and communication system
US9596576B2 (en) Providing services according to subscription status of user equipment
CN104253798A (en) Network security monitoring method and system
WO2022063181A1 (en) Method and apparatus for processing non-access stratum context
CN109067788B (en) Access authentication method and device
US20130125246A1 (en) Method and system for accessing network on public device
KR101466889B1 (en) System and method for searching session id in wireless mobile ip communication system
KR100996570B1 (en) System and method for connecting virtual private network by mobile ip
EP2299748A1 (en) Method and system for supporting mobility security in the next generation network
KR101513887B1 (en) Method and apparatus for discovering location of information server and method and apparatus for receiving handover information using the location of information server
WO2011134134A1 (en) METHOD, DEVICE AND SYSTEM FOR INTERWORKING BETWEEN WiFi NETWORK AND WiMAX NETWORK
US8909750B2 (en) Method for disconnecting multiple hosts from network when the gateway mobile station used by the multiple hosts indicates it is exiting the network, and network management device
EP2337385A1 (en) Authentication server
CN108540493B (en) Authentication method, user equipment, network entity and service side server
KR100625926B1 (en) Method for providing ccoa-type mobile ip improved in authentication function and system therefor
KR101434750B1 (en) Geography-based pre-authentication for wlan data offloading in umts-wlan networks
KR102026215B1 (en) Method for proving service on the basis location and system therefor
WO2009082935A1 (en) Method, system and device for obtaining the address of mobile access gateway
CN101447978B (en) Method for acquiring correct HA-RK Context by accessing AAA server in WiMAX network

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131105

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20141105

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee